KR20220122555A - Ipx 네트워크에서 5g 코어 로밍 라우팅을 구현하는 방법 - Google Patents

Ipx 네트워크에서 5g 코어 로밍 라우팅을 구현하는 방법 Download PDF

Info

Publication number
KR20220122555A
KR20220122555A KR1020220025391A KR20220025391A KR20220122555A KR 20220122555 A KR20220122555 A KR 20220122555A KR 1020220025391 A KR1020220025391 A KR 1020220025391A KR 20220025391 A KR20220025391 A KR 20220025391A KR 20220122555 A KR20220122555 A KR 20220122555A
Authority
KR
South Korea
Prior art keywords
tls
routing agent
psepp
csepp
routing
Prior art date
Application number
KR1020220025391A
Other languages
English (en)
Inventor
에드워드 야우
프랭크 춘
레이 램
Original Assignee
시니버스 테크놀로지스, 엘엘씨
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 시니버스 테크놀로지스, 엘엘씨 filed Critical 시니버스 테크놀로지스, 엘엘씨
Publication of KR20220122555A publication Critical patent/KR20220122555A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/18Service support devices; Network management devices
    • H04W88/182Network node acting on behalf of an other network entity, e.g. proxy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W40/00Communication routing or communication path finding
    • H04W40/02Communication route or path selection, e.g. power-based or shortest path routing
    • H04W40/12Communication route or path selection, e.g. power-based or shortest path routing based on transmission quality or channel quality
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W40/00Communication routing or communication path finding
    • H04W40/24Connectivity information management, e.g. connectivity discovery or connectivity update
    • H04W40/248Connectivity information update
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/088Access security using filters or firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W40/00Communication routing or communication path finding
    • H04W40/02Communication route or path selection, e.g. power-based or shortest path routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/08Mobility data transfer
    • H04W8/12Mobility data transfer between location registers or mobility servers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • H04W76/12Setup of transport tunnels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/06Transport layer protocols, e.g. TCP [Transport Control Protocol] over wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/04Large scale networks; Deep hierarchical networks
    • H04W84/042Public Land Mobile systems, e.g. cellular systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/14Backbone network devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Databases & Information Systems (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

5G 코어 로밍을 위한 인터넷 프로토콜 교환 (IPX) 네트워크에서 전송 계층 보안 (TLS) 라우팅 에이전트를 구현하는 시스템 및 방법. 송신 제어 프로토콜 (TCP) 연결들은 TLS 라우팅 에이전트와 소비자 보안 에지 보호 프록시 (cSEPP) 및 생성자 보안 에지 보호 프록시 (pSEPP) 사이에 확립된다. TLS 라우팅 에이전트는, 단-대-단 TLS 보안이 유지되도록, 후속 TLS 핸드쉐이크 및 HTTP/2 애플리케이션 메시지들을 생성자 SEPP 로 투명하게 라우팅한다. TLS 라우팅 에이전트는 메시지 방화벽이 모바일 오퍼레이터의 SEPP 를 보호하는 것을 가능하게 한다. TLS 라우팅 에이전트는 IPX 네트워크에 걸쳐 지능적으로 HTTP/2 메시지를 라우팅하도록 폴리시 라우팅을 적용하고 TCP 엔드 포인트들사이의 긴 라운드 트립 시간을 더 짧은 세그먼트들로 분할함으로써 TCP 성능을 개선한다.

Description

IPX 네트워크에서 5G 코어 로밍 라우팅을 구현하는 방법{A METHOD OF IMPLEMENTING 5G CORE ROAMING ROUTING IN AN IPX NETWORK}
본 정규 특허 출원은 2021년 2월 26일자로 출원된 미국 가특허출원 제63/154,344호의 계속 출원이며 이에 대해 우선권을 주장한다.
본 발명은 일반적으로 인터넷 프로토콜(IP) 및 통신 네트워크 분야, 특히 인터네트워크 패킷 교환 (Internetwork Packet Exchange: IPX) 에서의 5G 코어 로밍에 관한 것이다. 보다 구체적으로, 본 발명은 5G 코어 로밍을 위해 IPX 네트워크에서 모바일 시그널링 트래픽을 라우팅하기 위한 방법 및 시스템에 관한 것이다.
모바일 로밍은 홈 공중 육상 모바일 네트워크 (Home Public Land Mobile Network; HPLMN) 오퍼레이터의 모바일 가입자가 방문 공중 육상 모바일 네트워크 (Visited Public Land Mobile Network; VPLMN) 에 의해 서비스되는 해외 위치에서 모바일 서비스를 사용하고 있는 시나리오를 나타낸다.
5G 시스템 아키텍처는 3GPP TS23.501 “3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; System Architecture for the 5G System; Stage 2” 및 TS23.502 “3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; Procedures for the 5G System; Stage 2” 에 특정되어 있다. 로밍 오퍼레이터들 간의 5G 시그널링 메시지는 3GPP TS29.573 “3rd Generation Partnership Project; Technical Specification Group Core Network and Terminals; 5G System; Public Land Mobile Network (PLMN) Interconnection; Stage 3” 에서 특정된다. 5G 보안 설계는 3GPP TS33.501 "3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; Security architecture and procedures for 5G system” 에서 특정된다.
사용자 장비 (UE)(12)에 로밍 서비스를 제공하기 위해, 홈 공중 육상 모바일 네트워크 (HPLMN)(14) 및 방문 공중 육상 모바일 네트워크 (VPLMN)(16)의 네크워크 기능들 (Network Functions: NFs) 이 인터넷 프로토콜 교환 (IPX) 네트워크를 통해 서로 통신할 필요가 있다. 이러한 통신은 HPLMN(14)에 가입된 UE(12)가 VPLMN(16)에서 5G 서비스를 사용할 수 있도록 하는 데 필요하다.
도 1 은 홈 라우팅 (Home Routed: HR) 로밍 아키텍처의 서비스 기반 표현을 도시한 반면, 도 2 는 로컬 브레이크아웃 (Local Breakout: LBO) 로밍 아키텍처의 서비스 기반 표현을 도시한다. HR 및 LBO 로밍 아키텍처는 사용자 페이로드의 핸들링이 다르다. HR 아키텍처에서, 사용자 페이로드는 인터넷에 도달하기 위해 HPLMN (14)로 라우팅되는 반면, LBO 아키텍처에서는 사용자 페이로드가 VPLMN (16)에서 인터넷으로 직접 브레이크아웃된다. 도 1 및 도 2 에 도시된 바와 같이, HR 및 LBO 로밍 아키텍처 모두에서, HPLMN (14) 및 VPLMN (16)의 네트워크 기능은 인증, 인가, 과금, 등록, 세션 관리, 정책, 사용자 페이로드 전송 등을 비롯한 여러 목적을 위해 서로 통신합니다. 이러한 네트워크 기능들의 예들은 NRF (Network Repository Function) (18), AUSF (Authentication Server Function) (20), UDM (Unified Data Management) (22), AMF (Access and Mobility Management Function) (24), SMF (Session Management Function) (26), PCF (Policy Control Function) (28), NSSF (Network Slice Selection Function) (30) 및 UPF (User Plane Function) (32) 이다. 5G 의 시그널링 메시지는 IETF RFC7540 에 특정된 HTTP/2 프로토콜을 기반으로 한다.
도 1 및 도 2 를 계속 참조하면, 3GPP TS29.573에 지정된 대로 5G 코어 로밍에서, VPLMN (16) 및 HPLMN (14)의 네트워크 기능 간의 모든 시그널링 메시지는 VPLMN vSEPP(Security Edge Protection Proxy) (34) 와 HPLMN SEPP(hSEPP) (36) 간의 N32 인터페이스를 통해 반송된다. vSEPP (34) 및 hSEPP (36)의 주요 양태는 그것들이 토폴로지 은닉, 메시지 진정성 (message authenticity), 무결성 및 기밀성 검사, 정보 요소들의 암호화 등과 같은 로밍 파트너들과 통신하는 데 필요한 보안 조치를 제공하는 '애플리케이션 방화벽'으로서 기능한다는 것이다.
vSEPP (34)와 hSEPP (36) 사이의 N32 인터페이스는 (1) 제어 평면용 N32-c와 (2) 순방향 평면용 N32-f의 두 부분으로 구성된다. N32-c 제어 평면은 다음 기능들을 위해 사용된다: (1) 보안 능력 협상, (2) 파라미터 교환, (3) n32-f 종료, 및 (4) n32-f 오류 보고. N32-f 평면은 네트워크 기능 간에 실제 애플리케이션 메시지를 반송한다. 본 개시는 N32-c 및 N32-f 메시지 모두에 관한 것이다.
3GPP TS33.501 및 TS29.573에 따르면, N32-f 인터페이스의 모든 HTTP/2 요청 및 응답 메시지는 'PRINS' 모델 (PRotocol for N32 INterconnect Security) 또는 TLS (Transport Layer Security) 모델로 보호된다. 본 개시는 도 3 에 개략적으로 도시된 TLS 모델에 관한 것이다. (주: vSEPP (34) 및 hSEPP (36)을 참조하는 대신 후속 설명 및 도면은 소비자 SEPP (cSEPP) (42) 및 생산자 SEPP (pSEPP) (44) 를 참조한다. cSEPP(42)는 요청 발신자이고 pSEPP(44)는 목적지 서버이다. 요청이 VPLMN (16)에서 시작되면 vSEPP (34)는 cSEPP (42)가 되고 hSEPP (36)은 pSEPP (44)가 된다. 반면에 HPLMN (14)에서 요청이 시작되면 hSEPP (36)은 cSEPP (42)가 되고 vSEPP (34)는 pSEPP (44)가 된다.)
도 3 을 계속 참조하면, TLS 모델에 따르면 TLS 세션은 IPX 제공자에 연결되는 cSEPP (42)와 pSEPP (44) 사이에 직접 확립된다. cSEPP(42)가 연결되는 IPX 제공자를 소비자-IPX(cIPX)(46)라고 하는 반면, pSEPP(44)가 연결되는 IPX 제공자를 생산자-IPX(pIPX)(48)라고 한다. TLS 세션은 cSEPP(42)와 pSEPP(44) 사이에 종단 간 보안을 제공하여 IPX가 그들 사이에서 교환되는 메시지의 내용에 대해 가시성이 없고 원본 메시지 내용이 변경되지 않은 상태로 유지되도록 한다.
기존의 3G 및 4G 로밍 시그널링 메시지는 2G/3G의 SS7 STP(Signal Point Code) 또는 4G 로밍의 DRA(Diameter Routing Agent)를 통해 IPX에서 라우팅된다. 3G STP는 SCCP(Signaling Connection Control Part) Called-Party-Address를 검사하고 4G DRA는 착신 메시지의 Diameter Destination-Realm을 검사하여 'next-hop' 라우팅을 결정하며, 이 라우팅은 직접 연결된 PLMN 일 수 있거나, 제 3 자 IPX('IPX 피어링'이라고 알려짐) 를 통할 수 있다. N32-c 및 N32-f에서 TLS 트래픽의 종단 간 암호화 때문에 TLS 세션은 cSEPP (42)와 pSEPP (44) 간에 직접 확립되는 것으로 의도된다. 일반적으로 cSEPP (42)는 pSEPP (44)와 직접 전송 제어 프로토콜 (TCP) 연결을 설정하고 TLS 핸드셰이크를 수행하며 TCP 연결을 통해 TLS 터널을 통해 HTTP/2 시그널링 메시지를 보낸다. IPX 는 더 이상 트래픽 라우팅을 수행하기 위한 '시그널링' 에이전트가 없다.
TLS 세션은 TCP 연결을 통해 실행된다. 로밍 상황에서 cSEPP(42)와 pSEPP(44)는 지리적으로 먼 거리에 떨어져 있을 수 있다 - 예를 들어 HPLMN (14)는 북미에 있고 VPLMN (16)은 남아프리카에 있을 수도 있다. TCP는 원래 근거리 통신망 통신용으로 개발되었으며 RTT(Round-Trip-Time)가 증가함에 따라 성능이 저하된다. 다음을 비롯한 여러 가지 이유로 성능 저하가 발생한다: 1) '슬로우-스타트 (slow-start)' 메커니즘, 2) 재전송과 함께 증가하는 정체 윈도우, 및 3) 모든 패킷의 신뢰성있는 전송을 요구하는 스트리밍 프로토콜인 것. TCP의 전체 성능을 향상시키기 위해, 경로를 따라 중간 프록시들을 전개하여 긴 '종단 간' 연결을 여러 개의 짧은 '홉-바이-홉 (hop-by-hop)' 연결로 나눌 수 있다. 이것은 (TLS 가 없는) HTTP 통신용 HTTP 프록시와 HTTPS (TLS 를 통한 HTTP) 통신용 HTTPS MITM(Man-In-The-Middle) 프록시를 사용하여 실현될 수 있다. 그러나 HTTPS MITM 프록시는 인증서가 프록시에 설치되어야 함을 요구하고, 따라서, TLS의 종단 간 보안 모델을 위반한다.
이에 따라, 5G 모바일 오퍼레이터 네트워크에서 cSEPP(42)와 pSEPP(44) 사이의 HTTP/2 기반 N32 트래픽을 라우팅하기 위해 IPX에서 TLS 라우팅 에이전트를 구현하는 방법이 필요하다. 이러한 필요성은 도 1 에 도시된 HR 로밍 아키텍처, 및 도 2 에 도시된 LBO 로밍 아키텍처 양자 모두에 존재한다.
본 발명은 5G 보안 요건을 준수하면서 5G 코어 로밍을 위해 인터네트워크 패킷 교환 (IPX) 네트워크에서 전송 계층 보안 (TLS) 라우팅 에이전트를 구현하기 위한 방법 및 시스템에 관한 것이다. 본 발명은 HPLMN SEPP(hSEPP)와 VPLMN SEPP(vSEPP) 사이의 N32-f 인터페이스에서 사용되는 TLS 모델에 관한 것이다. 본 발명은 도 1 에 도시된 홈 라우팅 (HR) 로밍 아키텍처, 및 도 2 에 도시된 로컬 브레이크아웃 (LBO) 로밍 아키텍처 양자 모두에 적용된다.
본 발명의 일 실시형태에 따르면, 소비자 SEPP(cSEPP)(요청 발신자)는 RFC7540에 특정된 HTTP/2 'CONNECT' 방법을 사용하여 HTTP/2 트래픽을 '순방향 프록시'로 전송하도록 구성될 것이다. TLS 라우팅 에이전트는 CONNECT 방법을 지원하고 HTTP/2 요청을 목적지 서버(pSEPP)로 직접 또는 다른 TLS 라우팅 에이전트를 통해 라우팅하는 HTTP/2 순방향 프록시로 기능한다. TLS 라우팅 에이전트는 또한 트래픽 필터링을 위한 메시지 방화벽 능력과 최적의 라우팅 경로를 결정하기 위한 정책 라우팅 엔진을 가질 수도 있다.
본 발명의 일 실시형태에 따르면, TLS 라우팅 에이전트는 다음 컴포넌트들을 포함할 수 있다: 1) HTTP/2 프로토콜 스택, 2) HTTP/2 서버 구현, 3) HTTP/2 클라이언트 구현, 4) 동적 TLS 연결 맵, 5) 메시지 방화벽 구성, 6) 정책 라우팅 엔진, 7) 프로비저닝, 로깅, 알람, 핵심 성과 지표(KPI) 모니터링 등을 위한 노스바운드 (Northbound) 인터페이스를 지원하는 OA&M 모듈.
본 발명의 일 실시형태는 방문 공중 육상 모바일 네트워크 (VPLMN) 가 IPX 네트워크를 통해 홈 공중 육상 모바일 네트워크 (HPLMN) 에 가입된 사용자 장비(UE)에 5G 로밍 서비스를 제공하는 것을 가능하게 하는 방법에 관한 것이다. IPX 네트워크에서 호스팅되는 TLS 라우팅 에이전트, VPLMN의 cSEPP 및 HPLMN의 pSEPP와 통신하도록 구성된 TLS 라우팅 에이전트. 이 방법은 cSEPP 가 TLS 라우팅 에이전트를 향해 전송 제어 프로토콜(TCP) 핸드셰이크를 개시하는 것으로 시작된다. TLS 라우팅 에이전트와 cSEPP는 3 방향 핸드셰이크를 수행하여 서로 TCP 연결을 확립한다.
TLS 라우팅 에이전트와 cSEPP 간의 제 1 TCP 핸드셰이크 이후에, cSEPP는 TLS 라우팅 에이전트에 하이퍼텍스트 전송 프로토콜 프록시 (HTTP)/2 CONNECT 요청을 보내도록 구성된다. TLS 라우팅 에이전트는 HTTP/2 CONNECT 요청 메시지의 의사 헤더를 기반으로 pSEPP를 식별하도록 구성된다. 다음으로, TLS 라우팅 에이전트는 (직접 또는 하나 이상의 중간 TLS 라우팅 에이전트를 통해) 식별된 pSEPP 를 향해 3 방향 TCP 핸드셰이크를 개시하여 그것들과 TCP 연결을 확립한다. 중간 TLS 라우팅 에이전트와 관련된 시나리오에서는 피어 TLS 라우팅 에이전트의 각 쌍 간에 TCP 연결이 확립된다.
cSEPP와 TLS 라우팅 에이전트 간의 제 1 TCP 연결 및 TLS 라우팅 에이전트와 pSEPP 간의 제 2 TCP 연결을 확립한 후, TLS 라우팅 에이전트는 제 1 TCP 연결을 통해 cSEPP로부터 TLS 핸드셰이크 메시지('클라이언트 헬로우')를 수신한다. 그후 TLS 라우팅 에이전트는 이 메시지를 pSEPP로 보낸다. pSEPP는 TLS 라우팅 에이전트가 cSEPP로 보내는 TLS 핸드셰이크 응답 메시지('서버 헬로우 및 인증서')로 응답한다. cSEPP 에 의한 TLS 핸드셰이크 메시지에 대한 응답의 수신 시, TLS 라우팅 에이전트를 통해 cSEPP와 pSEPP 간에 TLS 터널이 설정되어 TLS 라우팅 에이전트를 통해 cSEPP 과 pSEPP 간에 N32-c TLS 세션 및 N32-f TLS 세션이 확립된다.
일단 TLS 터널이 확립되면, cSEPP와 pSEPP는 TLS 터널을 통해 요청 및 응답 애플리케이션 메시지를 서로 교환할 수 있다. TLS 라우팅 에이전트는 cSEPP와 pSEPP 사이에 교환되는 메시지의 내용에 대한 가시성이 없으므로 이들 사이에 종단 간 보안을 제공한다. 이러한 방식으로, TLS 라우팅 에이전트는 종단 간 보안으로 cSEPP와 pSEPP 간의 통신을 가능하게 하여 VPLMN 이 UE 에게 5G 로밍 서비스를 제공할 수 있도록 한다.
일 실시형태에서, TLS 라우팅 에이전트는 cSEPP 및 pSEPP와 통신하도록 구성되는 HTTP/2 프록시를 포함한다. cSEPP와 pSEPP 간에 교환되는 요청 애플리케이션 메시지 및 응답 애플리케이션 메시지는 HTTP/2 메시지일 수 있다.
일 실시형태에서, pSEPP와의 TCP 핸드셰이크를 개시하기 전에, TLS 라우팅 에이전트는 cSEPP로부터 수신된 HTTP/2 CONNECT 요청이 pSEPP로 라우팅되도록 허용되는지 확인하도록 구성된다. 확인에 성공하면 TLS 라우팅 에이전트가 cSEPP와 pSEPP 사이의 라우팅 경로를 결정하도록 구성된다.
IPX 네트워크에 TLS 라우팅 에이전트를 전개하는 것은 TLS 에서 종단 간 보안 모델에 영향을 주지 않으면서 모바일 네트워크 오퍼레이터 (MNO) 및 IPX 서비스 제공자에게 다음과 같은 이익을 제공한다: 1) cSEPP와 pSEPP 사이의 장거리 통신에서 향상된 TCP 성능; 2) TLS 라우팅 에이전트는 허용된 로밍 파트너로부터 시작되지 않은 HTTP/2 트래픽에 대해 pSEPP를 보호하는 메시지 방화벽으로 기능할 수 있다; 3) 모든 로밍 파트너의 SEPP가 아닌 IPX TLS 라우팅 에이전트로부터의 착신 TCP 연결만 수락하면 되도록 MNO의 네트워크 방화벽 구성을 단순화; 4) IPX 제공자에 직접 연결되지 않은 MNO를 위한 IPX 피어링, 여기서 TLS 라우팅 에이전트는 대역폭, 비용, 대기 시간, 서비스 품질(QoS) 및 각 링크의 신뢰성을 고려하여 최선 루트 (best-route) N32 트래픽에 대한 인텔리전스 정책 라우팅을 추가로 지원할 수 있다; 및 5) TLS 라우팅 에이전트를 통한 패킷 흐름을 검사하여, IPX 제공자는 트래픽 보고, 빌링 및 비즈니스 인텔리전스 목적을 위해 유용한 정보 소스인 TLS 라우팅 에이전트를 통해 흐르는 트래픽 양에 대한 가시성을 갖는다.
발명의 보다 완전한 이해를 위해, 첨부 도면들과 함께 취해진, 다음의 상세한 설명이 참조되어야 한다.
도 1 은 서비스 기반 표현의 홈 라우팅 시나리오에서 5G 로밍 아키텍처를 개략적으로 도시하는 블록도이다. 네트워크 기능들에서의 지원되는 서비스 이름이 표시된다.
도 2 는 서비스 기반 표현의 로컬 브레이크아웃 시나리오에서 5G 로밍 아키텍처를 개략적으로 도시하는 블록도이다. 네트워크 기능들에서의 지원되는 서비스 이름이 표시된다.
도 3 은 TLS 모델(참조 3GPP TS33.501 및 TS29.573) 하에 소비자-SEPP(cSEPP)와 생산자-SEPP(pSEPP) 간의 N32 인터페이스를 통한 통신을 개략적으로 나타내는 블록도이다. N32 인터페이스는 N32-c (제어 평면) 및 N32-f (순방향 평면) 로 구성되며, 여기서 N32-c 및 N32-f TLS 세션 모두는 cSEPP와 pSEPP 사이에 직접 확립된다. 주: cSEPP는 방문 네트워크일 수 있고 pSEPP는 홈 네트워크일 수 있거나, 또는 cSEPP는 홈 네트워크일 수 있고 pSEPP는 방문 네트워크일 수 있다.
도 4 는 TLS 라우팅 에이전트를 갖는 TLS 모델을 사용하여 소비자-SEPP(cSEPP)와 생산자-SEPP(pSEPP) 간의 N32 인터페이스 통신을 개략적으로 나타내는 블록도이다. N32-c 및 N32-f TLS 세션은 모두 cSEPP와 pSEPP 간에 종단 간이다. 그러나 TCP 연결은 각 TLS 라우팅 에이전트에서 홉-바이-홉으로 이루어진다.
도 5 는 TLS 라우팅 에이전트를 가로지르는 cSEPP와 pSEPP 사이의 N32 통신의 TLS 세션 확립, HTTP/2 요청 및 응답 메시지 쌍, TCP 연결 해제의 콜 흐름 (call flow) 을 개략적으로 나타내는 시퀀스 다이어그램이다.
도 6 은 하나 이상의 IPX 제공자를 통한 MNO의 PLMN 간 연결성을 개략적으로 도시하는 블록도이다.
도 7 은 TLS 라우팅 에이전트의 소프트웨어 컴포넌트 아키텍처를 개략적으로 도시하는 블록도이다.
바람직한 실시형태의 다음의 상세한 설명에서, 본 발명의 일부를 형성하고 본 발명이 실시될 수도 있는 특정 실시형태들이 예시로서 도시되는 첨부된 도면을 참조한다. 다른 실시형태들이 사용될 수도 있고 변경들이 본 발명의 범위로부터 일탈함없이 행해질 수도 있음이 이해될 것이다.
도 4 에 도시된 본 발명의 실시형태에서, 소비자 SEPP (cSEPP) (42) 는 소비자 IPX (cIPX) (46) 에 연결되고 pSEPP (44)는 생산자 IPX (pIPX) (48) 에 연결된다. 도 4 는 TLS 라우팅 에이전트(50)가 cIPX (46)과 pIPX (48) 모두에 전개될 뿐만 아니라 적용 가능한 경우 임의의 중간 IPX (cIPX (46)과 pIPX (48) 사이) 에 전개되는 것을 보여준다. "TLS 라우팅 에이전트"라는 용어는 컴퓨터 프로세서, 소프트웨어 및/또는 펌웨어로 프로그래밍된 특수 목적 하드웨어, 또는 특수 목적 및 프로그래밍 가능 회로의 조합에 의해 실행되도록 구성된 소프트웨어 애프리케이션을 나타낸다. 따라서, 실시형태들은 프로세스를 수행하기 위해 컴퓨터(또는 다른 전자 디바이스)를 프로그래밍하는 데 사용될 수 있는 명령들을 저장하고 있는 머신 판독가능 매체를 포함할 수 있다. TLS 라우팅 에이전트(50)의 소프트웨어 컴포넌트 아키텍처가 도 7 에 개략적으로 도시되고, 하기에 보다 자세하게 개시된다.
도 4 는 N32-c 및 N32-f 전송 제어 프로토콜 (TCP) 연결들이 (1) cSEPP (42) 와 cIPX (46) 에 호스팅되는 TLS 라우팅 에이전트 (50) 사이; (2) cIPX (46) 및 pIPX (48) 에 호스팅되는 TLS 라우팅 에이전트들 (50) 사이; 및 (3) pIPX (48) 에 호스팅되는 TLS 라우팅 에이전트 (50) 와 pSEPP (44) 사이의 홉-바이-홉 모델에서 확립됨을 도시한다. cSEPP(42)와 pSEPP(44) 사이의 지리적 위치들에 중간 TLS 라우팅 에이전트 노드(50)를 배치함으로써, 장거리 TCP 연결(cSEPP와 pSEPP 사이)이 TLS 라우팅 에이전트 노드(50) 사이의 단거리 연결로 대체되어 TCP 성능이 향상된다.
TLS 라우팅 에이전트 노드(50)는 cSEPP(42)와 pSEPP(44) 사이에서 TLS 세션이 종단 간으로 확립될 수 있도록 하며, TLS 라우팅 에이전트 노드(50)는 TLS 핸드셰이크 메시지 및 HTTP/2 애플리케이션 메시지에 대한 라우팅 에이전트 역할만 한다. 따라서 TLS 라우팅 에이전트 노드(50)는 메시지 내용에 대한 가시성이 없다. 따라서 cSEPP(42)와 pSEPP(44) 간의 종단 간 TLS 보안이 유지된다.
도 5 는 하나 이상의 TLS 라우팅 에이전트(50)를 통해 cSEPP(42)와 pSEPP(44) 사이의 통신을 가능하게 하기 위한 시그널링 흐름도를 도시한다. 도 5 및 아래에 제공된 설명은 단일 TLS 라우팅 에이전트(50)를 참조할 수 있지만, 당업자는 이 방법이 이전 단락에서 설명되고 아래에서 논의되는 도 6에 도시된 바와 같이 중간 TLS 라우팅 에이전트 노드(50)를 포함할 수 있음을 이해할 것이다.
도 5 는 cSEPP(42)와 pSEPP(44)를 연결하는 방법이 단계 102 에서 시작되는 것을 도시하고 있으며, 여기서 cSEPP(42)와 IPX에서 호스팅되는 TLS 라우팅 에이전트(50)는 TCP 핸드셰이크를 수행하여 그들 사이에 TCP 연결을 확립한다. 다음으로, 단계 104에서, cSEPP(42)는 HTTP/2 CONNECT 메시지를 TLS 라우팅 에이전트(50)로 전송한다. CONNECT 요청을 수신하면 TLS 라우팅 에이전트(50)는 다음 단계들을 실행한다: 1) ":authority" 의사 헤더에서와 같이 대상 서버를 검사, 2) HTTP/2 메시지가 발신자에서 대상 서버로 라우팅될 수 있는지 여부를 확인하여 메시지 필터링을 수행, 3) 라우팅 정책을 확인하고 최선의 라우팅 경로를 결정. 이러한 단계를 성공적으로 완료하면 방법은 TLS 라우팅 에이전트(50)가 (직접 또는 다음 홉 중간 TLS 라우팅 에이전트(50)를 통해 간접적으로) pSEPP(44)와 TCP 핸드셰이크를 수행하여 그들 사이에 TCP 연결을 확립하는 단계 106으로 진행한다. 그런 다음 대상 서버(또는 다음 홉 TLS 라우팅 에이전트 (50))에 대한 TCP 연결이 성공하면 TLS 라우팅 에이전트(50)는 cSEPP (42)에 '200 OK' 메시지를 보낸다. 이 시점에서 TCP 연결은 cSEPP(42)와 TLS 라우팅 에이전트(50) 사이, 그리고 TLS 라우팅 에이전트(50)와 pSEPP(44) 사이에 (직접 또는 중간 TLS 라우팅 에이전트 노드(50)를 통해) 확립된다.
다음으로, CONNECT 절차에 대한 '200 OK' 응답을 수신한 후, cSEPP(42)는 TLS 라우팅 에이전트(50)를 통해 대상 서버(pSEPP (44))와 TLS 세션을 확립한다. 단계 110 에서, cSEPP(42)는 ‘클라이언트 헬로우 (Client Hello)’ TLS 핸드셰이크 메시지를 TLS 라우팅 에이전트(50)로 전송한다. 단계 112 에서 TLS 라우팅 에이전트(50)는 '클라이언트 헬로우' TLS 핸드셰이크 메시지를 pSEPP(44)에 투명하게 전달한다. 단계 114 에서 pSEPP(44)는 '서버 헬로우 및 인증서 (Server Hello and Certificate)' TLS 핸드셰이크 메시지를 TLS 라우팅 에이전트(50)로 보낸다. 단계 118에서, cSEPP 는 ‘클라이언트 키 교환’ TLS 핸드셰이크 메시지를 TLS 라우팅 에이전트(50)로 전송한다. 단계 120 에서 TLS 라우팅 에이전트(50)는 이 메시지를 pSEPP(44)로 보낸다. 이 시점에서 cSEPP(42)와 pSEPP(44) 사이의 TLS 핸드셰이크가 완료되었고 그들 사이에 TLS 터널이 확립된다.
다음으로, TLS 핸드셰이크의 완료 시에, 단계 122에서 cSEPP(42)는 TLS 라우팅 에이전트(50)(및 임의의 중간 TLS 라우팅 에이전트 노드(50))를 횡단하는 TLS 터널을 통해 pSEPP(44)에 HTTP/2 요청 본문 메시지를 전송한다. 단계 124 에서 TLS 라우팅 에이전트(50)는 HTTP/2 요청 본문 메시지를 pSEPP(44)로 보낸다. 단계 126 에서, pSEPP(44)는 TLS 터널을 통해 HTTP/2 응답 애플리케이션 메시지를 전송한다. TLS 라우팅 에이전트(50)는 이 메시지를 수신하고 단계 128에서 이를 cSEPP(42)로 보낸다. 이러한 방식으로, 전체 TLS 핸드셰이크가 cSEPP (42)와 pSEPP (44) 사이에 있기 때문에 cSEPP (42)와 pSEPP (44) 사이의 종단 간 보안이 유지된다. cSEPP(42)와 pSEPP(44) 사이의 통신이 완료되면, cSEPP(42)와 TLS 라우팅 에이전트(50)는 단계 130 에서 그들 사이의 TCP 연결을 폐쇄하도록 구성된다. 단계 132 에서 TLS 라우팅 에이전트(50) 및 pSEPP(44)도 TCP 연결을 폐쇄한다.
도 6은 다수의 IPX 네트워크를 통해 다수의 MNO(Mobile Network Operators)를 상호 연결하기 위한 예시적인 아키텍처를 개략적으로 도시한다. 제1 MNO(52)는 1차 루트를 통해 제1 IPX 네트워크(54)에 연결되고, 2차 루트를 통해 제2 IPX 네트워크(56)에 연결된다. 제1 IPX 네트워크(54)는 제1 MNO(52), 제2 MNO(58) 및 제3 MNO(62)와 직접 연결되는 반면, 제2 IPX 네트워크(56)는 제3 MNO(60) 및 제4 MNO(62)와 직접 연결된다. 따라서, 제1 IPX 네트워크(54)가 제1 MNO(52)에서 제4 MNO(62)로 트래픽을 라우팅해야 하는 경우, 그것은 TLS 라우팅 에이전트(50a)와 TLS 라우팅 에이전트(50c) 사이의 피어링 링크를 통해 제2 IPX 네트워크(56)를 통해 라우팅함으로써 이 목적을 달성할 수 있다. 유사하게, 제2 IPX(56)가 제1 MNO(52)에서 제2 MNO(58)로 트래픽을 라우팅해야 하는 경우, 그것은 TLS 라우팅 에이전트(50c)와 TLS 라우팅 에이전트(50a) 사이의 피어링 링크를 통해 제1 IPX 네트워크(54)를 통해 라우팅함으로써 이를 달성할 수 있다.
도 7 은 TLS 라우팅 에이전트 (50) 의 예시적인 소프트웨어 컴포넌트 아키텍처를 개략적으로 도시하는 블록도이다. 본 실시형태에 따르면, TLS 라우팅 에이전트 (50) 는 다음 컴포넌트들을 포함한다: (1) HTTP/2 프로토콜 스택 (64), (2) HTTP/2 서버 구현 (66), (3) HTTP/2 클라이언트 구현 (68), (4) 동적 TLS 연결 맵 (70), (5) 메시지 방화벽 구성 (72), (6) 정책 라우팅 엔진 (74), (7) 프로비저닝, 로깅, 알람, 핵심 성과 지표(KPI) 모니터링 등을 위한 노스바운드 인터페이스를 지원하는 OA&M 모듈 (76).
HTTP/2 프로토콜 스택(64)은 RFC7540에 따른 HTTP/2 프로토콜의 구현이다. 이 구현은 TLS 연결을 프록시하기 위한 CONNECT 메서드를 지원한다. HTTP/2 클라이언트 (68) 및 HTTP/2 서버 (66)은 HTTP/2 연결의 클라이언트 및 서버 구현이다. TLS 연결 맵(70)은 TLS 연결들의 목록을 저장하며, 각 목록은 cSEPP(42)에 대한 TCP 연결 정보와 pSEPP(44)에 대한 대응하는 TCP 연결 정보로 구성된다. 이 맵은 HTTP/2 서버(66)와 HTTP/2 클라이언트(68) 연결 간에 TLS 및 HTTP/2 애플리케이션 메시지를 라우팅하는데 사용될 수 있다.
메시지 방화벽 (72) 은 원치 않는 인바운드 HTTP/2 연결로부터 pSEPP (44)를 보호하는 데 사용될 수 있다. 그것은 pSEPP (44)에 연결하도록 허용된 cSEPP (42)의 화이트리스트를 포함한다. 화이트리스트에 포함되지 않은 발신 및 목적지 노드에 대한 임의의 HTTP/2 CONNECT 시도는 거부된다.
정책 라우팅 엔진 (74) 는 cSEPP (42) 및 pSEPP (44)의 특정 쌍에 대한 최선의 루트를 결정하는 데 사용된다. 일부 MNO는 IPX에 직접 연결되지 않으며, 따라서, 트래픽은 제 3 자 IPX 네트워크를 통해 라우팅될 필요가 있을 수 있다 (IPX 피어링이라고 함). 정책 라우팅 엔진 (74) 은 대역폭, 비용, 대기 시간, 신뢰성 및 각 링크의 QoS와 같은 여러 팩터들을 기반으로 최선의 루트를 결정한다.
OA&M 모듈(76)은 IPX의 OSS(Operation and Supporting System)에 대한 연결을 위해 노스바운드 인터페이스를 지원한다. 그것은 구성 프로비저닝, 로깅, 경보 및 핵심 성과 지표 (KPI) 모니터링 등에 사용된다.
하드웨어 및 소프트웨어 인프라스트럭처 예들
본 발명은 다양한 플랫폼들 상에서 구현될 수 있다. 다음은 본 발명을 가능하게 하기 위해 이용될 수 있는 정보 기술에 대한 선행 기반을 제공한다.
본 발명의 실시형태들은 하드웨어, 소프트웨어, 펌웨어, 또는 이들의 임의의 조합에서 구현될 수도 있다. 본 발명의 실시형태들은 또한 하나 이상의 프로세서들에 의해 판독되고 실행될 수 있는 머신 판독 가능 매체에 저장된 명령으로서 구현될 수 있다. 머신-판독가능 매체는 머신 (예를 들어, 컴퓨팅 디바이스) 에 의해 판독가능한 형태로 정보를 저장 또는 송신하기 위한 임의의 메커니즘을 포함할 수도 있다. 예를 들어, 머신-판독가능 매체는 판독 전용 메모리(ROM); 랜덤 액세스 메모리(RAM); 자기 디스크 저장 매체; 광학 저장 매체; 플래시 메모리 디바이스들; 전기, 광학, 음향 또는 다른 형태들의 전파 신호들 (예를 들어, 반송파들, 적외선 신호들, 디지털 신호들 등) 및 기타를 포함한다. 추가로, 펌웨어, 소프트웨어, 루틴들, 또는 명령들이 특정 액션들을 수행하는 것으로서 본원에서 설명될 수 있다. 하지만, 이러한 설명들은 단지 편의를 위한 것이고 실제로 그러한 액션들은 펌웨어, 소프트웨어, 루틴들, 명령들 등을 실행하는 컴퓨팅 디바이스들, 프로세서들, 제어기들, 또는 다른 디바이스들로부터 기인함이 인식되어야 한다.
머신 판독가능 매체는, 예를 들어, 전자적, 자기적, 광학적, 전자기적, 적외선, 또는 반도체 시스템, 장치, 또는 디바이스, 또는 전술한 것의 임의의 적합한 조합일 수 있지만 이에 한정되지 않는다. 컴퓨터 판독가능한 저장 매체의 더 많은 구체예들 (비한정적인 목록) 은 다음: 하나 이상의 와이어를 갖는 전기 연결부, 휴대용 컴퓨터 디스켓, 하드 디스크, 랜덤 액세스 메모리 (RAM), 읽기 전용 메모리 (ROM), 소거 및 프로그램 가능한 읽기 전용 메모리 (EPROM 또는 플래시 메모리), 광섬유, 및 휴대용 콤팩트 디스크 읽기 전용 메모리 (CDROM), 광학 저장 디바이스, 자기 저장 디바이스, 또는 위의 설명된 것의 임의의 적절한 조합을 포함할 것이다. 이 문서의 문맥에 있어서, 컴퓨터 판독가능 저장 매체는, 명령 실행 시스템, 장치 또는 디바이스에 의해 또는 그와 관련하여 사용하기 위해 프로그램을 포함 또는 저장할 수 있는 임의의 비일시적 유형의 매체일 수 있다. 스토리지 및 서비스는 MICROSOFT AZURE, AMAZON WEB SERVICSE, RACKSPACE 및 KAMATERA 브랜드로 운영되는 공급업체를 통해 "클라우드"와 같이 온 프레미스 (on premise) 또는 원격에 있을 수 있다.
머신 판독 가능 신호 매체는 예를 들어 기저대역에서 또는 반송파의 일부로서 머신 판독 가능 프로그램 코드가 내장된 전파된 데이터 신호를 포함할 수 있다. 일한 전파된 신호는 전자기, 광학 또는 임의의 적절한 이들의 조합을 포함하지만 이에 한정되지 않는 다양한 형태들의 어느 것을 취할 수 있다. 머신 판독가능 신호 매체는 컴퓨터 판독가능 저장 매체가 아닌, 명령 실행 시스템, 장치 또는 디바이스와 연계하여 또는 이들을 사용하여 프로그램을 통신, 전파 또는 트랜스포트할 수 있는 임의의 머신 판독가능 매체일 수 있다. 그러나, 위에 표시된 바와 같이, 회로 법적 청구대상 제한으로 인해, 소프트웨어 제품으로서의 본 발명의 청구 범위는 컴퓨터 하드 드라이브, 플래시-RAM, 광 디스크 등과 같은 비일시적 소프트웨어 매체에서 구현된 것이다.
하드웨어 장비는 일반 컴퓨팅에 대해 불가지론적일 수도 있거나 통신에 특정한 것일 수도 있다. 일부 장비 제공자는 HUAWEI, CISCO SYSTEMS, NOKIA 및 QUALCOMM 브랜드가 포함된다.
머신-판독 가능 매체에서 구현된 프로그램 코드는 무선, 유선, 광섬유 케이블, 무선 주파수 등을 포함하지만 이에 제한되지 않는 임의의 적절한 매체를 사용하여 송신될 수 있다. 본 발명의 양태에 대한 동작을 수행하기 위한 머신 판독 가능 프로그램 코드는 Java, C#, C++, Visual Basic 등과 같은 객체 지향 프로그래밍 언어 및 종래의 절차적 프로그래밍 언어들, 이를 테면, "C” 프로그래밍 언어 또는 유사한 프로그래밍 언어들을 포함하는 하나 이상의 프로그래밍 언어의 임의의 조합으로 작성될 수 있다. ERLANG(또는 Open Telecom Platform, OTP)과 같은 추가 언어를 사용하거나 PYTHON, LUA 및 PERL과 같은 스크립팅 언어를 사용할 수 있다.
본 발명의 양태들은 본 발명의 실시형태에 따른 방법, 장치 (시스템) 및 컴퓨터 프로그램 제품의 플로우차트 예시도 및/또는 블록도들을 참조하여 아래에 설명된다. 플로우차트 예시도들 및 블록도들의 각각의 블록 및 플로우차트 예시도들 및 블록도들의 블록들의 조합들은 각각, 머신 판독가능 프로그램 명령들에 의해 구현될 수 있다는 것이 이해될 것이다.
전술한 장점 및 전술한 개시로부터 명백한 장점이 효율적으로 달성된다. 본 발명의 범위로부터 벗어나지 않으면서 상기 구성에 다양한 변경이 이루어질 수 있기 때문에, 상기 개시에 포함되고 첨부된 도면에 나타난 모든 사항은 예시적이며 제한하는 의미가 아닌 예시적인 것으로 해석되어야 하는 것으로 의도된다.

Claims (20)

  1. 방문 공중 육상 모바일 네트워크 (VPLMN) 가 인터넷 프로토콜 교환 (IPX) 네트워크를 통해 홈 공중 육상 모바일 네트워크 (HPLMN) 에 가입된 사용자 장비 (UE) 에 5G 로밍 서비스를 제공하는 것을 가능하게 하는 방법으로서,
    상기 IPX 네트워크에 호스팅된 전송 계층 보안 (TLS) 라우팅 에이전트를 제공하는 단계로서, 상기 TLS 라우팅 에이전트는 상기 VPLMN 의 소비자 보안 에지 보호 프록시 (cSEPP) 및 상기 HPLMN 의 생산자 보안 에지 보호 프록시 (pSEPP) 와 통신하도록 구성되는, 상기 TLS 라우팅 에이전트를 제공하는 단계;
    상기 cSEPP 와 상기 TLS 라우팅 에이전트 사이에 제 1 전송 제어 프로토콜 (TCP) 연결을 확립하기 위해 상기 TLS 라우팅 에이전트와 상기 cSEPP 사이의 제 1 TCP 핸드셰이크를 수행하는 단계;
    상기 TLS 라우팅 에이전트와 상기 pSEPP 사이에 제 2 TCP 연결을 확립하기 위해 상기 TLS 라우팅 에이전트와 상기 pSEPP 사이의 제 2 TCP 핸드셰이크를 수행하는 단계;
    상기 제 1 TCP 연결을 통해 상기 TLS 라우팅 에이전트에 의해, 상기 cSEPP 로부터 TLS 핸드셰이크 메시지를 수신하고, 상기 제 2 TCP 연결을 통해 상기 TLS 핸드셰이크 메시지를 상기 pSEPP 로 전송하는 단계;
    상기 제 2 TCP 연결을 통해 상기 TLS 라우팅 에이전트에 의해, 상기 pSEPP 로부터 상기 TLS 핸드셰이크 메시지에 대한 응답을 수신하고, 상기 제 1 TCP 연결을 통해 상기 TLS 핸드셰이크 메시지에 대한 상기 응답을 상기 cSEPP 로 전송하는 단계;
    상기 cSEPP 에 의한 상기 TLS 핸드셰이크 메시지에 대한 상기 응답의 수신 시, 상기 TLS 라우팅 에이전트를 통해 상기 cSEPP 와 상기 pSEPP 사이에 TLS 터널을 확립하는 단계;
    상기 TLS 터널을 통해 상기 cSEPP 로부터 상기 TLS 라우팅 에이전트에 의해 요청 애플리케이션 메시지를 수신하고, 상기 TLS 터널을 통해 상기 pSEPP 에 상기 요청 애플리케이션 메시지를 전송하는 단계;
    상기 TLS 터널을 통해 상기 pSEPP 로부터 상기 TLS 라우팅 에이전트에 의해 응답 애플리케이션 메시지를 수신하고, 상기 TLS 터널을 통해 상기 cSEPP 에 상기 응답 애플리케이션 메시지를 전송함으로써, 종단 간 보안으로 상기 cSEPP 와 상기 pSEPP 사이의 통신을 가능하게 하고, 상기 VPLMN 이 상기 UE 에 상기 5G 로밍 서비스를 제공하는 것을 가능하게 하는 단계를 포함하는, 5G 로밍 서비스를 제공하는 것을 가능하게 하는 방법.
  2. 제 1 항에 있어서,
    상기 TLS 라우팅 에이전트는 하이퍼텍스트 전송 프로토콜 프록시 (HTTP)/2 프록시를 포함하는, 5G 로밍 서비스를 제공하는 것을 가능하게 하는 방법.
  3. 제 2 항에 있어서,
    상기 HTTP/2 프록시는 상기 cSEPP 및 상기 pSEPP 와 통신하는, 5G 로밍 서비스를 제공하는 것을 가능하게 하는 방법.
  4. 제 1 항에 있어서,
    상기 요청 애플리케이션 메시지 및 상기 응답 애플리케이션 메시지는 하이퍼텍스트 전송 프로토콜 프록시 (HTTP)/2 메시지들인, 5G 로밍 서비스를 제공하는 것을 가능하게 하는 방법.
  5. 제 1 항에 있어서,
    상기 TLS 라우팅 에이전트와 상기 cSEPP 사이의 상기 제 1 TCP 핸드셰이크에 후속하여, 상기 cSEPP 는 상기 TLS 라우팅 에이전트에 하이퍼텍스트 전송 프로토콜 프록시 (HTTP)/2 CONNECT 요청을 전송하도록 구성되는, 5G 로밍 서비스를 제공하는 것을 가능하게 하는 방법.
  6. 제 5 항에 있어서,
    상기 TLS 라우팅 에이전트는 상기 HTTP/2 CONNECT 요청의 의사 헤더에 기초하여 상기 pSEPP 를 식별하도록 구성되는, 5G 로밍 서비스를 제공하는 것을 가능하게 하는 방법.
  7. 제 6 항에 있어서,
    상기 TLS 라우팅 에이전트와 상기 pSEPP 사이의 상기 제 2 TCP 핸드셰이크 이전에, 상기 TLS 라우팅 에이전트는 상기 HTTP/2 CONNECT 요청이 상기 pSEPP 로 라우팅되도록 허용되는 것을 확인하도록 구성되는, 5G 로밍 서비스를 제공하는 것을 가능하게 하는 방법.
  8. 제 1 항에 있어서,
    상기 TLS 라우팅 에이전트는 상기 cSEPP 와 상기 pSEPP 사이의 라우팅 경로를 결정하도록 구성되는, 5G 로밍 서비스를 제공하는 것을 가능하게 하는 방법.
  9. 제 1 항에 있어서,
    N32-c TLS 세션 및 N32-f TLS 세션이 상기 TLS 라우팅 에이전트를 통해 상기 cSEPP 와 상기 pSEPP 사이에 확립되는, 5G 로밍 서비스를 제공하는 것을 가능하게 하는 방법.
  10. 제 1 항에 있어서,
    상기 제 1 TCP 핸드셰이크 및/또는 상기 제 2 TCP 핸드셰이크는 3 방향 핸드셰이크인, 5G 로밍 서비스를 제공하는 것을 가능하게 하는 방법.
  11. 제 1 항에 있어서,
    상기 TLS 핸드셰이크 메시지는 TLS '클라이언트 헬로우' 메시지이고, 상기 TLS 핸드셰이크 메시지에 대한 상기 응답은 TLS '서버 헬로우 및 인증서' 메시지인, 5G 로밍 서비스를 제공하는 것을 가능하게 하는 방법.
  12. 제 1 항에 있어서,
    상기 제 2 TCP 연결은 하나 이상의 중간 TLS 라우팅 에이전트들을 통해 상기 TLS 라우팅 에이전트와 상기 pSEPP 사이에 확립되고, 제 1 중간 TCP 연결은 상기 TLS 라우팅 에이전트와 상기 하나 이상의 중간 TLS 라우팅 에이전트들 사이에 확립되고 제 2 중간 TCP 연결은 상기 하나 이상의 TLS 라우팅 에이전트들과 상기 pSEPP 사이에 확립되어, 상기 제 1 중간 TCP 연결 및 상기 제 2 중간 TCP 연결이 집합적으로 상기 제 2 TCP 연결을 확립하는, 5G 로밍 서비스를 제공하는 것을 가능하게 하는 방법.
  13. 제 1 항에 있어서,
    상기 TLS 라우팅 에이전트는 상기 cSEPP 와 상기 pSEPP 사이에 교환되는 메시지들의 내용들에 대한 가시성이 없어, 이들 사이에 상기 종단 간 보안을 제공하는, 5G 로밍 서비스를 제공하는 것을 가능하게 하는 방법.
  14. 5G 로밍 서비스를 가능하게 하는 방법으로서,
    제 1 인터넷 프로토콜 교환 (IPX) 네트워크에 호스팅된 제 1 전송 계층 보안 (TLS) 라우팅 에이전트를 제공하는 단계로서, 상기 제 1 TLS 라우팅 에이전트는 제 1 모바일 네트워크의 소비자 보안 에지 보호 프록시 (cSEPP) 와 통신하도록 구성되는, 상기 제 1 TLS 라우팅 에이전트를 제공하는 단계;
    제 2 IPX 네트워크에 호스팅된 제 2 TLS 라우팅 에이전트를 제공하는 단계로서, 상기 제 2 TLS 라우팅 에이전트는 제 2 모바일 네트워크의 생산자 보안 에지 보호 프록시 (pSEPP) 와 통신하도록 구성되는, 상기 제 2 TLS 라우팅 에이전트를 제공하는 단계;
    상기 제 1 TLS 라우팅 에이전트와 상기 cSEPP 사이에 제 1 전송 제어 프로토콜 (TCP) 연결을 확립하는 단계;
    상기 제 1 TLS 라우팅 에이전트와 상기 제 2 TLS 라우팅 에이전트 사이에 제 2 TCP 연결을 확립하는 단계;
    상기 제 2 TLS 라우팅 에이전트와 상기 pSEPP 사이에 제 3 TCP 연결을 확립하는 단계;
    상기 제 1 TCP 연결을 통해, 상기 cSEPP 로부터 TLS 핸드셰이크 메시지를 수신하는 단계;
    상기 제 2 TCP 연결 및 상기 제 3 TCP 연결을 통해, 상기 TLS 핸드셰이크 메시지를 상기 pSEPP 로 전송하는 단계;
    상기 제 3 TCP 연결을 통해, 상기 pSEPP 로부터 상기 TLS 핸드셰이크 메시지에 대한 응답을 수신하는 단계;
    상기 제 2 TCP 연결 및 상기 제 1 TCP 연결을 통해, 상기 TLS 핸드셰이크 메시지에 대한 상기 응답을 상기 cSEPP 로 전송하는 단계;
    상기 cSEPP 에 의한 상기 TLS 핸드셰이크 메시지에 대한 상기 응답의 수신 시, 상기 제 1 TLS 라우팅 에이전트 및 상기 제 2 TLS 라우팅 에이전트를 통해 상기 cSEPP 와 상기 pSEPP 사이에 TLS 터널을 확립하는 단계로서, 상기 pSEPP 및 상기 cSEPP 는 상기 TLS 터널을 통해 서로 통신하도록 구성되는, 상기 TLS 터널을 확립하는 단계;
    상기 제 1 TLS 라우팅 에이전트에 의해, 상기 TLS 터널을 통해 상기 cSEPP 로부터 요청 애플리케이션 메시지를 수신하고, 상기 제 1 TLS 라우팅 에이전트에 의해, 상기 제 2 TLS 라우팅 에이전트를 통해 상기 TLS 터널을 통해 상기 pSEPP 에 상기 요청 애플리케이션 메시지를 전송하는 단계; 및
    상기 제 2 TLS 라우팅 에이전트에 의해, 상기 TLS 터널을 통해 상기 pSEPP 로부터 응답 애플리케이션 메시지를 수신하고, 상기 제 2 TLS 라우팅 에이전트에 의해, 상기 제 1 TLS 라우팅 에이전트를 통해 상기 TLS 터널을 통해 상기 cSEPP 로 상기 응답 애플리케이션 메시지를 전송함으로써, 종단 간 보안으로 상기 cSEPP 와 상기 pSEPP 사이의 통신을 가능하게 하는 단계를 포함하는, 5G 로밍 서비스를 가능하게 하는 방법.
  15. 제 14 항에 있어서,
    상기 제 1 TLS 라우팅 에이전트는 하이퍼텍스트 전송 프로토콜 프록시 (HTTP)/2 프록시를 포함하는, 5G 로밍 서비스를 가능하게 하는 방법.
  16. 제 14 항에 있어서,
    상기 요청 애플리케이션 메시지 및 상기 응답 애플리케이션 메시지는 HTTP/2 메시지들인, 5G 로밍 서비스를 가능하게 하는 방법.
  17. 제 14 항에 있어서,
    상기 제 1 TLS 라우팅 에이전트 또는 상기 제 2 TLS 라우팅 에이전트는 상기 cSEPP 에 의해 전송된 상기 HTTP/2 CONNECT 요청의 의사 헤더에 기초하여 상기 pSEPP 를 식별하도록 구성되는, 5G 로밍 서비스를 가능하게 하는 방법.
  18. 제 17 항에 있어서,
    상기 제 2 TLS 라우팅 에이전트와 상기 pSEPP 사이에 상기 제 2 TCP 연결을 확립하기 전에, 상기 제 2 TLS 라우팅 에이전트는 상기 HTTP/2 CONNECT 요청이 상기 pSEPP 로 라우팅되도록 허용되는 것을 확인하도록 구성되는, 5G 로밍 서비스를 가능하게 하는 방법.
  19. 제 14 항에 있어서,
    상기 제 1 TLS 라우팅 에이전트와 상기 제 2 TLS 라우팅 에이전트 사이의 상기 제 2 TCP 연결은 하나 이상의 중간 TLS 라우팅 에이전트들을 통해 확립되는, 5G 로밍 서비스를 가능하게 하는 방법.
  20. 제 15 항에 있어서,
    상기 제 1 TLS 라우팅 에이전트 및 상기 제 2 TLS 라우팅 에이전트는 상기 cSEPP 와 상기 pSEPP 사이에 교환되는 메시지들의 내용들에 대한 가시성이 없어, 이들 사이에 상기 종단 간 보안을 제공하는, 5G 로밍 서비스를 가능하게 하는 방법.














KR1020220025391A 2021-02-26 2022-02-25 Ipx 네트워크에서 5g 코어 로밍 라우팅을 구현하는 방법 KR20220122555A (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US202163154344P 2021-02-26 2021-02-26
US63/154,344 2021-02-26

Publications (1)

Publication Number Publication Date
KR20220122555A true KR20220122555A (ko) 2022-09-02

Family

ID=80787238

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020220025391A KR20220122555A (ko) 2021-02-26 2022-02-25 Ipx 네트워크에서 5g 코어 로밍 라우팅을 구현하는 방법

Country Status (5)

Country Link
US (1) US11463939B2 (ko)
EP (1) EP4050968A1 (ko)
JP (1) JP2022132195A (ko)
KR (1) KR20220122555A (ko)
CN (1) CN114980246A (ko)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117652125A (zh) * 2021-07-21 2024-03-05 瑞典爱立信有限公司 分布式网络边缘安全架构
GB2624216A (en) * 2022-11-10 2024-05-15 Nokia Solutions & Networks Oy V-EASDF and IPUPS
WO2024147696A1 (en) * 2023-01-07 2024-07-11 Samsung Electronics Co., Ltd. Device and method for managing information in a wireless communication

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11038967B2 (en) * 2017-01-26 2021-06-15 Verizon Patent And Licensing Inc. Enabling hypertext transfer protocol (HTTP) connect in association with a toll-free data service
KR102395384B1 (ko) 2017-03-20 2022-05-10 삼성전자 주식회사 셀룰러망의 효율적 pdu 세션 활성화 및 비활성화 방안
EP3614721B1 (en) 2017-05-29 2023-09-13 LG Electronics Inc. Method for managing uplink quality of service and base station for performing same method
US10616200B2 (en) * 2017-08-01 2020-04-07 Oracle International Corporation Methods, systems, and computer readable media for mobility management entity (MME) authentication for outbound roaming subscribers using diameter edge agent (DEA)
US20210219137A1 (en) * 2018-09-24 2021-07-15 Nokia Technologies Oy Security management between edge proxy and internetwork exchange node in a communication system
US10834571B1 (en) * 2019-08-02 2020-11-10 Syniverse Technologies, Llc Steering of roaming for 5G core roaming in an internet packet exchange network
US11076281B1 (en) * 2020-01-31 2021-07-27 Syniverse Technologies, Llc 5G core roaming network function proxy in an IPX network
US11553342B2 (en) * 2020-07-14 2023-01-10 Oracle International Corporation Methods, systems, and computer readable media for mitigating 5G roaming security attacks using security edge protection proxy (SEPP)
US12063312B2 (en) * 2020-11-16 2024-08-13 Nokia Technologies Oy Security procedure for cryptographic signature verification based on a trust relationship between edge nodes connecting home and visited networks

Also Published As

Publication number Publication date
EP4050968A1 (en) 2022-08-31
CN114980246A (zh) 2022-08-30
JP2022132195A (ja) 2022-09-07
US20220279422A1 (en) 2022-09-01
US11463939B2 (en) 2022-10-04

Similar Documents

Publication Publication Date Title
CN112640372B (zh) 提供移动设备连接性的方法、系统和计算机可读介质
US11463939B2 (en) Method of implementing 5G core roaming routing in an IPX network
US11832172B2 (en) Methods, systems, and computer readable media for mitigating spoofing attacks on security edge protection proxy (SEPP) inter-public land mobile network (inter-PLMN) forwarding interface
US10085253B2 (en) Methods and apparatus for controlling wireless access points
JP3613453B2 (ja) 移動ポイント・ツー・ポイント・プロトコル
EP2144416B1 (en) Mobile network managing apparatus and mobile information managing apparatus for controlling access requests
US20050268332A1 (en) Extensions to filter on IPv6 header
JP2023548370A (ja) 受信メッセージレート制限のための方法、システム、およびコンピュータ読み取り可能な媒体
US11240729B1 (en) Network path routing for wireless traffic
US11395211B2 (en) Systems and methods for restricting network traffic based on geographic information
US11076281B1 (en) 5G core roaming network function proxy in an IPX network
US9680737B2 (en) Telecommunications networks
KR20070110864A (ko) 종단 점에 의한 방화벽 특징의 교섭을 가능하게 하는 방법,장치 및 컴퓨터 프로그램 생성물
US11184356B1 (en) System and method for seamless user equipment authentication
CN111819874B (zh) 避免基于5g服务的架构中plmn间路由和tls问题的方法和解决方案
US20150181592A1 (en) Telecommunications Networks
KR20180051621A (ko) 전기통신 네트워크와 적어도 하나의 사용자 장비 간의 적어도 하나의 통신 교환의 개선된 핸들링을 위한 방법, 전기통신 네트워크, 사용자 장비, 시스템, 프로그램 및 컴퓨터 프로그램 제품
CN117321976A (zh) 用于使用网络切片信息来选择软件定义广域网(sd-wan)链路的方法、系统和计算机可读介质
CN106982427B (zh) 连接建立方法及装置
WO2015184840A1 (zh) 响应消息的获取、响应消息的路由方法、装置及系统
GB2606613A (en) System and method of intelligent edge routing
Roseti Integration of a non-3GPP satellite interface in a 5G multiple access configuration
US20240334184A1 (en) Distributed Network Edge Security Architecture
US11533358B1 (en) Roaming hub for secure interconnect in roaming scenarios
US20230261997A1 (en) Policy provisioning to a mobile communication system