KR20220159991A - 무선 통신 시스템에서 akma 서비스를 제공하는 방법 및 장치 - Google Patents

무선 통신 시스템에서 akma 서비스를 제공하는 방법 및 장치 Download PDF

Info

Publication number
KR20220159991A
KR20220159991A KR1020227033305A KR20227033305A KR20220159991A KR 20220159991 A KR20220159991 A KR 20220159991A KR 1020227033305 A KR1020227033305 A KR 1020227033305A KR 20227033305 A KR20227033305 A KR 20227033305A KR 20220159991 A KR20220159991 A KR 20220159991A
Authority
KR
South Korea
Prior art keywords
akma
key
ausf
aanf
udm
Prior art date
Application number
KR1020227033305A
Other languages
English (en)
Inventor
라자벨사미 라자두라이
쿤단 티와리
바리니 굽타
니베다 퍼램버쓰 사시
로히니 라젠드라
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Publication of KR20220159991A publication Critical patent/KR20220159991A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0433Key management protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 개시의 일 실시예에 따르면, 무선 통신 시스템에서 AAnF(AKMA anchor function)에 의해 수행되는 방법이 제공된다. 그 방법은, AF(application function)로부터, 사용자 장비(UE)에 대한 AKMA(authentication and key management for applications) 애플리케이션 키를 요청하는 메시지를 수신하는 단계; 로컬 정책에 기초하여 상기 AAnF가 AKMA 서비스를 상기 AF에 제공할지의 여부를 체크하는 단계; 및 상기 체크하는 단계의 결과에 기초하여, UE에 대한 요청된 AKMA 애플리케이션 키를 도출할지의 여부를 결정하는 단계를 포함할 수 있다.

Description

무선 통신 시스템에서 AKMA 서비스를 제공하는 방법 및 장치
본 개시는 대체로 무선 통신 시스템에서의 애플리케이션용 인증 및 키 관리(AKMA; Authentication and Key Management for Applications) 서비스에 관한 것이고, 더 상세하게는, 네트워크 액세스 인증으로부터 도출된 키를 사용하여 애플리케이션 특정 키들을 생성하는 장치 및 방법에 관한 것이다.
4세대(4G) 통신 시스템들의 상용화 후 계속 증가하는 무선 데이터 트래픽으로 인한 요구를 충족시키기 위해, 어드밴스드 5세대(5G) 시스템 또는 pre-5G 통신 시스템을 개발하기 위한 노력들이 이루어졌다. 이런 이유로, 5G 또는 pre-5G 통신 시스템은 또한 4세대 이후(beyond 4G) 네트워크 통신 시스템 또는 포스트 LTE(long term evolution) 시스템이라고 또한 지칭된다. 초 주파수(ultra-frequency) 밀리미터파(mmWave) 대역들, 예컨대, 60 기가 헤르츠(GHz) 대역들을 사용하는 5G 통신 시스템의 구현예가 더 높은 데이터 전송 레이트들을 달성하는 것으로 간주된다. 초 주파수 대역들에서 무선 파들의 전파 손실을 줄이고 송신 범위를 늘이기 위해, 빔포밍, 매시브 MIMO(massive multiple-input multiple-output), FD-MIMO(Full Dimensional MIMO), 어레이 안테나, 아날로그 빔포밍, 및 대규모(large-scale) 안테나 기법들이 논의 하에 있다. 시스템 네트워크들을 개선하기 위해, 차세대 소형 셀들, 클라우드 RAN들(radio access networks), 초고밀(ultra-dense) 네트워크들, D2D(device-to-device) 통신, 무선 백홀(backhaul), 무빙 네트워크들, 협력 통신, CoMP(coordinated multi-points), 수신단 간섭 제거 등을 위한 기술들이 또한 5G/NR 통신 시스템들에서 개발되고 있다. 덧붙여서, 5G 시스템에서, ACM(advanced coding modulation), 예컨대, 하이브리드 주파수 시프트 키잉(frequency-shift keying)(FSK) 및 직교 진폭 변조(quadrature amplitude modulation)(QAM)(FQAM), 슬라이딩 윈도우 중첩 코딩(sliding window superposition coding)(SWSC), 및 어드밴스드 액세스 기술, 예컨대, 필터 뱅크 멀티 캐리어(filter bank multi carrier)(FBMC), 비직교 다중 접속(non-orthogonal multiple access)(NOMA), 및 희소 코드 다중 접속(sparse code multiple access)(SCMA)이 개발되고 있다.
한편, 인터넷은 인간들이 정보를 생성하고 소비하는 인간 중심 연결성 네트워크로부터 사물들과 같은 분산형 엔티티들이 인간 개입 없이 정보를 송신하며, 수신하고 프로세싱하는 사물 인터넷(Internet of things)(IoT)으로 진화하고 있다. 예를 들어, 클라우드 서버와의 연결을 통해 빅 데이터 프로세싱 기술들과 같이 IoT와 결합되는 만물 인터넷(Internet of everything)(IoE)이 또한 출현하였다. IoT를 구현하기 위해, 감지 기술, 유선/무선 통신 및 네트워크 인프라스트럭처, 서비스 인터페이싱 기술, 및 보안 기술과 같은 다양한 기술들이 요구되고, 최근에는, 센서 네트워크, M2M(machine-to-machine), 사물들 간의 연결을 위한 MTC(machine type communication)를 위한 기술들조차도 연구되고 있다. 이러한 IoT 환경은 연결된 사물들 간에 생성되는 데이터를 수집하고 분석함으로써 인간의 삶에 새로운 가치를 생성하는 지능형 인터넷 기술(Internet Technology)(IT) 서비스들을 제공할 수 있다. IoT는 현존 정보 기술(information technology)(IT)과 다양한 산업적 응용들 사이의 컨버전스 및 조합을 통하여 스마트 홈들, 스마트 빌딩들, 스마트 도시들, 스마트 자동차들 또는 연결형 자동차들, 스마트 그리드들, 헬스 케어, 스마트 가전기기들 및 차세대 의료 서비스들과 같은 다양한 분야들에 적용될 수 있다.
이와 관련하여, 5G 통신 시스템을 IoT 네트워크에 적용하기 위한 다양한 시도들이 이루어지고 있다. 예를 들어, 센서 네트워크, M2M, MTC 등에 관한 기술들은 빔포밍, MIMO, 어레이 안테나 스킴들 등과 같은 5G 통신 기술들에 의해 구현된다. 전술한 빅 데이터 프로세싱 기술로서의 클라우드 무선 액세스 네트워크(cloud RAN)의 적용조차도 5G 및 IoT 기술들의 컨버전스의 일 예로서 보일 수 있다.
위에서 설명된 바와 같이, 다양한 서비스들은 무선 통신 시스템의 발전에 따라 제공될 수 있고, 따라서 이러한 서비스들을 손쉽게 제공하는 방법이 요구된다.
본 개시는 무선 통신 시스템에서 AKMA 서비스들에 연관되는 키들을 도출하는 방법 및 장치에 관한 것이다.
본 개시의 이들 및 다른 특징들, 양태들, 및 장점들은 유사한 문자들이 도면들 전체에 걸쳐 유사한 부분들을 나타내는 첨부 도면들을 참조하여 다음의 상세한 설명이 읽혀질 때 더 잘 이해될 것이며, 도면들 중:
도 1은 AKMA를 위한 네트워크 모델을 예시하며;
도 2는 AKMA 키 계층구조를 예시하며;
도 3a는 사용자 장비(UE)를 위한 프라이머리 인증을 개시하는 방법을 예시하며;
도 3b는 3GPP에서 AKMA(authentication and key management for applications) 서비스에 따라 네트워크 액세스 재인증으로부터 도출된 키를 사용하여 애플리케이션 특정 키들을 생성하는 방법을 예시하며;
도 3c는 UDM에 의해 개시된 재인증을 위한 해결 대안-1에 대한 메시지 흐름을 예시하며;
도 4는 인증 절차 후 세션 확립 요청을 재개하라는 UE에 대한 지시가 있는, UDM에 의해 개시되는 재인증을 위한 해결 대안-2에 대한 메시지 흐름을 예시하며;
도 5는 AMF(Access and Mobility Management Function)에 대해 직접 UDM에 의해 개시되는 재인증을 위한 해결 대안-3에 대한 메시지 흐름을 예시하며;
도 6은 AMF와 함께 UE에 의해 개시되는 재인증을 위한 해결 대안-4에 대한 메시지 흐름을 예시하며;
도 7은 AUSF(authentication server function)에 의해 수행되는 AKMA 인가 체크를 위한 해결 대안-1에 대한 메시지 흐름을 예시하며;
도 8은 AUSF에 의해 요청된, UDM에 의해 수행되는 AKMA 인가 체크를 위한 해결 대안-2에 대한 메시지 흐름을 예시하며;
도 9는 AAnF에 의해 수행되는 AKMA 인가 체크를 위한 해결 대안-1에 대한 메시지 흐름을 예시하며;
도 10은 AAnF에 의해 요청된, UDM에 의해 수행되는 AKMA 인가 체크를 위한 해결 대안-2에 대한 메시지 흐름을 예시하며;
도 11a는 3GPP에서 AKMA(authentication and key management for applications) 서비스에 따른 동작의 방법을 예시하며;
도 11b는 AKMA 키 식별자 도출 메커니즘을 위한 메시지 흐름을 예시하며;
도 12는 본 개시의 일 실시예에 따른 사용자 장비를 예시하는 도면이며; 그리고
도 13은 본 개시의 실시예들에 따른 코어 네트워크 엔티티를 예시하는 도면이다.
게다가, 통상의 기술자들은 도면들에서의 엘리먼트들이 단순화를 위해 예시되고 반드시 축척대로 그려지지 않을 수 있다는 것을 이해할 것이다. 예를 들어, 흐름도들은 본 개시의 양태들의 이해를 개선하는 것을 돕는 것에 수반하는 가정 두드러진 단계들의 측면에서의 방법을 예시한다. 더욱이, 디바이스의 구성의 측면에서, 디바이스의 하나 이상의 컴포넌트들은 기존의 심볼들에 의해 도면들에서 나타내어질 수 있고, 그 도면들은 본 개시에서의 설명의 혜택을 누리는 당해 기술분야의 통상의 기술자에게 쉽사리 명확하게 될 세부사항들로 도면들을 모호하게 하지 않기 위하여 본 개시의 실시예들을 이해하는 것에 적절한 그들 특정 세부사항들만을 도시할 수 있다.
다른 기술적 특징들은 다음의 도면들, 설명들 및 청구항들로부터 본 기술분야의 통상의 기술자에게 쉽사리 명확하게 될 수 있다.
아래의 "발명을 실시하기 위한 구체적인 내용의 설명"에 착수하기에 앞서, 본 특허 문서의 전체에 걸쳐 사용되는 특정 단어들 및 문구들의 정의들을 언급하는 것이 유리할 수 있다. "커플"이란 용어 및 그것의 파생어들은, 그들 엘리먼트들이 서로 물리적으로 접촉하든 아니든, 둘 이상의 엘리먼트들 사이의 임의의 직접 또는 간접 통신을 지칭한다. "송신한다", "수신한다" 및 "통신한다"라는 용어들뿐만 아니라 그 파생어들은 직접 통신 및 간접 통신 둘 다를 포함한다. "구비한다" 및 "포함한다"라는 용어들뿐만 아니라 그 파생어들은, 제한 없는 포함을 의미한다. "또는"이란 용어는 포함적(inclusive)이며, "및/또는"을 의미한다. "~에 연관된"이란 문구 뿐만 아니라 그 파생어들은, ~를 포함한다, ~내에 포함된다, ~와 상호연결한다, ~를 담고 있다, ~내에 담긴다, ~에 또는 ~와 연결한다, ~에 또는 ~와 커플링한다, ~와 통신 가능하다, ~와 협력한다, ~를 인터리브한다, ~를 병치한다, ~에 근접된다, ~에 또는 ~와 결부된다, ~를 가진다, ~의 특성을 가진다, ~에 또는 ~와 관계를 가진다 등을 의미한다. "제어부"라는 용어는 적어도 하나의 동작을 제어하는 임의의 디바이스, 시스템 또는 그 부분을 의미한다. 이러한 제어부는 하드웨어 또는 하드웨어 및 소프트웨어 및/또는 펌웨어의 조합으로 구현될 수 있다. 임의의 특정 제어부에 연관된 기능은, 국부적으로든 또는 원격으로든, 중앙집중식 또는 분산식일 수 있다. "~중 적어도 하나"라는 문구는, 항목들의 목록과 함께 사용될 때, 열거된 항목들 중 하나 이상의 항목들의 상이한 조합들이 사용될 수 있고 목록에서의 임의의 하나의 항목만이 필요할 수 있다는 것을 의미한다. 예를 들어, "A, B, 및 C 중 적어도 하나"는 다음의 조합들 중 임의의 것을 포함한다: A, B, C, A 및 B, A 및 C, B 및 C, 그리고 A 및 B 및 C.
더구나, 아래에서 설명되는 다양한 기능들은 하나 이상의 컴퓨터 프로그램들에 의해 구현 또는 지원될 수 있으며, 그러한 컴퓨터 프로그램들의 각각은 컴퓨터 판독가능 프로그램 코드로부터 형성되고 컴퓨터 판독가능 매체에 수록된다. "애플리케이션" 및 "프로그램"이란 용어들은 적합한 컴퓨터 판독가능 프로그램 코드에서의 구현에 적합한 하나 이상의 컴퓨터 프로그램들, 소프트웨어 컴포넌트들, 명령 세트들, 프로시저들, 함수들, 개체들(objects), 클래스들, 인스턴스들, 관련된 데이터, 또는 그 부분을 지칭한다. "컴퓨터 판독가능 프로그램 코드"라는 문구는 소스 코드, 목적 코드, 및 실행가능 코드를 포함하는 임의의 유형의 컴퓨터 코드를 포함한다. "컴퓨터 판독가능 매체"라는 문구는, ROM(read only memory), RAM(random access memory), 하드 디스크 드라이브, CD(compact disc), DVD(digital video disc), 또는 임의의 다른 유형의 메모리와 같은, 컴퓨터에 의해 액세스될 수 있는 임의의 유형의 매체를 포함한다. "비일시적" 컴퓨터 판독가능 매체가 일시적인 전기적 또는 다른 신호들을 전송하는 유선, 무선, 광학적, 또는 다른 통신 링크들을 배제한다. 비일시적 컴퓨터 판독가능 매체가 데이터가 영구적으로 저장될 수 있는 매체와 데이터가 저장되고 나중에 덮어쓰기될 수 있는 매체, 이를테면 재기입가능 광 디스크 또는 소거가능 메모리 디바이스를 포함한다.
다른 특정 단어들 및 문구들에 대한 정의들은 본 특허 문서의 전체에 걸쳐 제공된다. 본 기술분야의 통상의 기술자들은, 대부분은 아니지만 많은 경우들에서, 이러한 정의들이 이렇게 정의된 단어들 및 문구들의 이전 및 장래의 사용들에 적용된다는 것을 이해하여야 한다.
이후로는, 설명의 편의를 위해, 본 개시는 3세대 파트너십 프로젝트(3rd 생성 partnership 프로젝트) LTE(3GPP LTE) 표준들에서 정의된 용어들 및 명칭들을 사용한다. 그러나, 본 개시는 그 용어들 및 명칭들로 제한되지 않고, 다른 표준들을 따르는 시스템들에 또한 적용될 수 있다.
본 개시에서, 진화형 노드 B(eNB)가 설명의 편의를 위해 차세대 노드 B(gNB)와 교환적으로 사용될 수 있다. 다시 말하면, eNB에 의해 설명되는 기지국(BS)이 gNB를 나타낼 수 있다. 다음의 설명들에서, "기지국"이란 용어는 리소스들을 사용자 장비(UE)에 할당하기 위한 엔티티를 지칭하고 gNode B, eNode B, 노드 B, 기지국(BS), 무선 액세스 유닛, 기지국 제어기(BSC), 또는 네트워크 상의 노드 중 적어도 하나와 교환적으로 사용될 수 있다. "단말"이란 용어는 통신 기능들을 수행할 수 있는 사용자 장비(UE), 이동국(mobile 스테이션)(MS), 셀룰러 폰, 스마트폰, 컴퓨터, 또는 멀티미디어 시스템과 교환적으로 사용될 수 있다. 그러나, 본 개시는 전술한 예들로 제한되지 않는다. 특히, 본 개시는 3GPP 새 무선(new radio)(NR)(또는 5세대(5G)) 모바일 통신 표준들에 적용 가능하다. 다음의 설명에서, eNB라는 용어는 설명의 편의를 위해 gNB와 교환적으로 사용될 수 있다. 다시 말하면, eNB로서 설명되는 기지국이 gNB를 또한 나타낼 수 있다. UE라는 용어는 모바일 폰, NB-IoT 디바이스들, 센서들, 및 다른 무선 통신 디바이스들을 또한 나타낼 수 있다.
본 개시의 원리들의 이해를 촉진할 목적으로, 도면들에서 예시된 실시예가 이제 참조될 것이고, 특정 언어표현이 그 실시예를 설명하는데 사용될 것이다. 그럼에도 불구하고 본 개시의 범위의 제한은 이에 의해 의도되지 않으며, 예시된 시스템에서의 이러한 개조들 및 추가의 수정들과 본원에서 예시된 바와 같은 본 개시의 원리들의 이러한 추가의 적용들은 본 개시가 관련되는 당업자에게 일반적으로 일어날 바와 같이 생각될 수 있는 것임이 이해될 것이다.
전술한 일반적인 설명과 다음의 상세한 설명은 본 개시를 설명하는 것이고 그것의 제한으로서 의도되지 않는다는 것이 본 기술분야의 통상의 기술자들에 의해 이해될 것이다.
"일 양태", "다른 양태" 또는 유사한 언어표현에 대한 이 명세서의 전체에 걸친 언급은 실시예에 관련하여 설명되는 특정 특징, 구조, 또는 특성이 본 개시의 적어도 하나의 실시예에 포함된다는 것을 의미한다. 따라서, 이 명세서의 전체에 걸친 문구인 "일 실시예에서", "다른 실시예에서" 및 유사한 언어표현의 출현들은 동일한 실시예를 언급할 수 있지만, 반드시 그러한 것은 아니다.
"포함한다", "포함하는", 또는 그것의 임의의 다른 변형들의 용어들은 비배타적인 포함을 커버하도록 의도되어서, 단계들의 리스트를 포함하는 프로세스 또는 방법은 그들 단계들만을 포함하는 것이 아니라, 명시적으로 나열되거나 또는 이러한 프로세스 또는 방법에 내재하는 다른 단계들을 포함할 수 있다. 마찬가지로, ~가 ...을 포함한다"에서 ...에 속하는 하나 이상의 디바이스들 또는 서브시스템들 또는 엘리먼트들 또는 구조들 또는 컴포넌트들은, 더 이상의 제약조건들 없이, 다른 디바이스들 또는 다른 서브시스템들 또는 다른 엘리먼트들 또는 다른 구조들 또는 다른 컴포넌트들 또는 추가적인 디바이스들 또는 추가적인 서브시스템들 또는 추가적인 엘리먼트들 또는 추가적인 구조들 또는 추가적인 컴포넌트들의 존재를 배제하지 않는다.
달리 정의되지 않으면, 본 개시에서 사용되는 모든 용어들(기술적 및 과학적 용어들을 포함)은 본 개시가 속한 기술분야의 통상의 기술자가 통상적으로 이해하는 것과 동일한 의미를 가진다. 본 개시에서 제공되는 시스템, 방법들, 및 예들은 예시적일 뿐이고 제한하는 것으로 의도되지 않는다.
본 개시의 실시예들은 첨부 도면들을 참조하여 아래에서 상세히 설명될 것이다.
3GPP는 서드 파티 및/또는 3GPP 애플리케이션들 및 서비스들에 대해, 5G 시스템에서의 3GPP 네트워크 액세스 자격에 기초하여 인증 및 키 관리를 지원하도록 의도되는 네트워크 서비스인 도 1에 도시된 바와 같은 AKMA(authentication and key management for applications) 서비스를 현재 특정하고 있다. AKMA는 본질적으로 인증 및 키 관리 서비스이며, 애플리케이션 기능부(application function)(AF)/서버에 대한 액세스와 UE와 애플리케이션 기능부 사이의 보안 인터페이스의 확립은 확립된 네트워크 액세스 보안 자격(프라이머리 인증 동안 확립됨)에 기초한다. AF에 의해 표시되는, AKMA를 사용하는 애플리케이션 제공자(애플리케이션 기능부 또는 애플리케이션 서버)는 HPLMN에게 AF 사용자의 인증을 위임한다. 그러므로, 서비스 제공자는 MNO(HPLMN)에 의해 제공되는 보안 자격을 활용한다.
도 1에 도시된 바와 같이, AAnF는 UE와 AF 사이에서 사용될 키 재료를 생성하고 후속 부트스트래핑 요청들을 위해 사용될 UE AKMA 콘텍스트들을 유지하는 HPLMN에서의 앵커 기능부이다. AAnF가 AKMA 서비스를 위한 AKMA 앵커 키(KAKMA) 도출을 가능하게 한다. AKMA 서비스를 호출하기 전에, UE는 5G 코어에 성공적으로 등록해야 하며, 이는 성공적인 5G 프라이머리 인증 후 KAUSF가 AUSF 및 UE에 저장되는 결과를 초래한다[TS 33.535 v020].
이 문서의 전체에 걸쳐, "애플리케이션 기능부" 또는 "AKMA 애플리케이션 기능부"라는 용어는 AKMA 및 애플리케이션 키 도출 절차들을 위해 교환적으로 사용된다. "AF ID"라는 용어는 AKMA 애플리케이션 기능부 ID를 나타내며, 이는 5GC 네트워크에 대한 요청된 개별 애플리케이션을 애플리케이션 기능부로부터 식별하는 파라미터로서 사용된다. "Kaaf", "KAAF" 및 "KAF"라는 용어는 KAKMA로부터 도출되는 애플리케이션 기능 키를 나타내기 위해 교환적으로 사용된다.
도 2에 도시된 바와 같은 키 계층구조는 다음 키들을 포함한다: KAUSF, KAKMA 및 KAF.
KAUSF는 TS 33.501에서 특정되는 바와 같이 AUSF에 의해 생성된다.
AAnF에 대한 키들:
KAKMA는 KAUSF로부터 ME 및 AUSF에 의해 도출되는 키이다.
AF에 대한 키들:
KAF는 KAKMA로부터 ME 및 AAnF에 의해 도출되는 키이다.
AKMA 키 계층구조는 UE 및 AUSF에서 키 KAKMA를 도출하기 위한 방법을 설명한다. AUSF는 KAKMA를 앵커 기능부에 전송한다. KAKMA는 TS 33.220에서의 GBA에 대한 키 K들과 동등하다. AAnF 및 UE 둘 다는 AKMA 애플리케이션 기능부들(AF들)에 필요한 애플리케이션 특정 키들을 도출하기 위해 KAKMA를 사용해야 한다.
앵커 키 KAKMA는 암시적 수명을 사용해야 하고 애플리케이션 키 KAF는 [TS 33.535 v020]에서 특정된 바와 같이 오퍼레이터의 정책에 기초하여 명시적 수명들을 사용해야 한다. 애플리케이션 키는 최대 수명을 제공받아야 한다. 애플리케이션 키 수명이 만료될 때, 재협상되어야 한다. 일단 애플리케이션 키가 앵커 키로부터 도출되면, 앵커 기능부가 도출된 애플리케이션 키의 유효성에 관해 애플리케이션 기능부에게 통지하는 것이 필요하다.
키 KAKMA가 시간 제한되므로, 키 수명이 만료되면 AAnF는 KAKMA를 무효로 만든다. KAKMA 유효성 타이머가 만료될 때, UE와 네트워크가 다른 KAKMA를 계산하는 방법이 명확하지 않다. 추가적으로, 키 KAF가 시간제한되므로, 키 수명이 만료되면 AF는 KAF를 무효로 만든다. UE가 애플리케이션 세션 확립에 대해 AF에게 요청할 때, 만약 AF가 유효한 KAF를 갖지 않고 KAKMA가 UE에 대한 AAnF에서 변경되지 않으면(다시 말하면 현재 KAKMA가 KAF를 도출하는데 이미 사용되었으면), AAnF는 새로운 수명으로 다시 동일한 키를 제공하지 않아야 한다. 이 경우, UE 및 네트워크가 신선한 KAF를 도출하기 위해서 다른 KAKMA를 계산하는 방법이 명확하지 않다. 게다가, 진행중인 작업은, 서비스들을 획득하기 위한 인가/구독이 있든 아니든, UE 및 AF의 인가를 체크하는 시스템 및 방법을 고려하지 않는다. 더 나아가, 진행중인 작업은, AKA 외의 인증 장법, 예를 들어, EAP-TLS가 사용되면, KAKMA ID를 생성하는 시스템 및 방법을 고려하지 않는다.
따라서, 위에서 언급된 결함들을 극복하는 해법이 필요하다.
도 3a는 사용자 장비(UE)를 위한 프라이머리 인증을 개시하는 방법을 예시한다.
단계 302에서, UDM은 인증의 일부로서 도출된 현존 자격이 더 이상 유효하지 않다는 지시를 포함하는 네트워크 기능부(NF)로부터의 메시지를 수신할 수 있다. NF는 액세스 및 이동성 관리 기능부(AMF), AKMA 앵커 기능부(AKMA anchor function)(AAnF), 인증 서버 기능부(AUSF), 애플리케이션 기능부(AF) 중 적어도 하나일 수 있다. 현존 자격은 a) 자격의 수명 만료, 및 b) 네트워크 문제들 및/또는 제약조건들로 인한 자격 손실로 인해 네트워크 기능부(NF)에서 더 이상 유효하지 않을 수 있다.
단계 304에서, UDM은 UE에 대한 프라이머리 인증 절차를 개시할 필요가 있다는 지시를 포함하는 다른 NF로의 메시지를 개시할 수 있다. 프라이머리 인증을 개시하기 위한 지시를 UDM에 의해 이렇게 개시하는 것은 수행될 인증이 즉시 요구되는지 또는 지연이 허용 가능한지의 지시를 결정하고 포함하는 것을 더 포함한다. 수행될 인증이 즉시 요구되는지 또는 나중(이지만 이른 시기)에 요구되는지가 다른 NF로부터의 요청에 기초하여 UDM에 의해 결정된다.
게다가, 단계 306에서, 액세스 및 이동성 관리 기능부(AMF)는 UE에 대한 프라이머리 인증 절차를 개시하라는 지시를 포함하는, 다른 네트워크 기능부(NF) 및/또는 UDM 중 하나로부터의 메시지를 수신할 수 있다.
단계 308에서, AMF는 UE와 프라이머리 인증 절차를 개시하여, UE에서 그리고 AUSF에서 새로운 KAUSF를 도출할 수 있다.
도 3b는 3GPP에서 AKMA 서비스에 따라 네트워크 액세스 재인증으로부터 도출된 키를 사용하여 애플리케이션 특정 키들을 생성하는 방법을 예시한다.
단계 102에서, UE는 애플리케이션 세션 확립 요청을 애플리케이션 기능부(AF)에 전송함으로써 애플리케이션 세션 확립을 개시할 수 있으며, 그 요청은 AKMA 키 Id, GPSI 및 라우팅 ID 중 하나 이상을 포함한다.
단계 104에서, AF는 UE에 대한 애플리케이션 기능부 특정 AKMA 키들을 요청하는 키 식별자가 있는 요청을 AAnF에게 송신할 수 있다.
단계 106에서, AAnF는 AKMA 키 식별자에 의해 식별된 UE 특정 KAKMA 키의 가용성을 체크할 수 있다.
단계 108에서, AAnF는 KAKMA가 AAnF에서 이용 가능하면 KAKMA로부터 AF 특정 AKMA 키(KAF)를 도출함으로써 KAF로 AF에 응답할 수 있다.
단계 110에서, AAnF는 만약 KAKMA가 AAnF에서 이용 가능하지 않거나 또는 KAKMA가 요청 AF에 대한 KAF 도출을 위해 이미 사용되고 있으면 UE에 특정한 KAKMA 키를 획득하기 위한 요청을 송신할 수 있다. AAnF에서부터 AUSF로의 요청은 AKMA 키 식별자와 옵션적으로 SUPI를 포함한다.
단계 112에서, AUSF는 UE에 대한 프라이머리 인증을 개시하기 위한 요청을 UDM에게 송신할 수 있고 UE의 SUPI를 UDM에 대한 요청에 포함시킬 수 있다.
단계 114에서, UDM은 AUSF로부터의 요청을 수신 시 재인증 절차를 개시할 것을 UE에게 서비스하는 AMF에게 요청할 수 있다.
단계 116에서, AMF는 UE와 인증 절차를 개시함으로써 UE에서 그리고 AUSF에서 KAUSF를 생성할 수 있다.
단계 118에서, AUSF는 KAUSF에 기초하여 키 KAKMA를 도출하고 AF에 대한 특정 키 KAF를 결국 도출하기 위해 도출된 키 KAKMA를 AAnF에 제공할 수 있다.
단계 120에서, AF는 애플리케이션 세션 확립 응답을 UE에게 송신할 수 있다.
도 3c는 도 3a에서 제공된 설명에 따라 UDM에 의해 개시되는 재인증을 위한 해결 대안-1에 대한 메시지 흐름을 예시한다.
단계 1: UE는 애플리케이션 세션 확립 요청을 애플리케이션 기능부(AF)에 전송함으로써 애플리케이션 세션 확립을 개시한다. UE는 다음 파라미터들 중 적어도 하나를 요청 메시지에 포함시킨다: AKMA 키 Id, GPSI 및 라우팅 ID.
- UE는 홈 네트워크 식별자(Home Network Identifier)(HNI)와 함께 적절한 AUSF(이는 키 KAUSF를 소유하고 있음)를 식별하기 위해, HPLMN에 의해 프로비저닝된 라우팅 지시자(RI)를 포함한다. 하나의 예에서, 이는 SUCI에서 전송되는 라우팅 아이덴티티와 동일하다.
- GPSI는 UE의 ID이며, 이는 AKMA 서비스에서 UE를 고유하게 식별한다.
단계 2: AF가 키 식별자에 연관된 액티브 콘텍스트를 갖지 않으면, AF는 UE에 대한 애플리케이션 기능부 특정 AKMA 키들을 요청하는 키 식별자가 있는 요청을 AAnF에게 전송한다. AF는 또한 자신의 아이덴티티(AF Id)를 그 요청에 포함시킨다.
단계 3: AF로부터 요청을 수신 시, AAnF는 AF 특정 키(KAF)를 소유하면, KAF 키로 AF에 응답한다. 아니면, AAnF는 AKMA 키 식별자에 의해 식별되는 UE 특정 KAKMA 키를 갖는지를 체크해야 한다.
KAKMA가 AAnF에서 이용 가능하면, KAKMA로부터 AF 특정 AKMA 키(KAF)를 도출해야 하고(단계 10) KAF 및 수명으로 AF에 응답해야 한다(단계 11).
단계 4: 만약 KAKMA가 이용 가능하지 않거나 또는 KAKMA의 유효성이 만료되며 그리고/또는 AF에 대한 KAF가 현재 KAKMA로부터 이미 도출되었으면, AAnF는 UE에 특정한 KAKMA 키를 획득하기 위한 요청을 AUSF에게 전송해야 한다. AAnF는 AKMA 키 식별자를 요청에 포함시킬 수 있고 SUPI가 있으면 그 SUPI를 포함시킬 수 있다.
단계 5: AAnF로부터 요청을 수신 시, 만약 AUSF가 UE 특정 키(KAUSF)를 소유하고 KAKMA가 KAUSF로부터 도출되지 않으면, AUSF는 KAUSF를 사용하여 KAKMA를 도출하고 AUSF는 KAKMA 키로 AAnF에 응답할 수 있다. AUSF는 KAUSF와 대응하는 KAKMA 사이의 연관을 저장한다. 만약 KAUSF가 이용 가능하지 않거나 또는 이미 KAKMA가 현재 KAUSF로부터 도출되었으면 다음 단계들이 수행된다.
단계 6: 만약 KAUSF가 이용 가능하지 않으면(또는 KAUSF의 유효성이 만료되거나 또는 유효한 KAUSF가 이용 가능하지 않거나 또는 KAKMA가 현재 KAUSF로부터 도출되지 않았으면), AUSF는 UE에 대한 프라이머리 인증을 개시하라는 요청을 UDM에게 전송한다. 이는 UE의 SUPI를 그 요청에 포함시킨다.
일 실시예에서, KAUSF가 UE에 대해 만료되려고 함을 AUSF가 식별하면, AUSF는 UE에 대한 프라이머리 인증을 개시하라는요청을 UDM에게 또는 AMF에게 전송함으로써 스스로(AAnF로부터의 요청과는 독립적으로) 인증을 개시하여, UE에 대한 신선한 KAUSF를 생성한다. AUSF는 인증이 즉시 또는 나중에 수행될 것임을 지시할 수 있다. 그 다음에 AMF는, TS 33.501(인증 절차의 개시 및 인증 방법의 선택)에 특정된 바와 같이, (AUSF로부터의 또는 UDM으로부터의 지시에 기초하여) UE와 인증 절차를 개시하며, 다시 말하면, SEAF/AMF는 Nausf_UEAuthentication_Authenticate 요청 메시지를 AUSF에게 전송함으로써 Nausf_UEAuthentication 서비스를 호출한다. AUSF는 인증이 성공적이었는지의 여부를 Nausf_UEAuthentication_Authenticate 응답에서 SEAF/AMF에게 지시해야 한다. KAUSF는 성공적인 프라이머리 인증을 실행할 때 AUSF에서 그리고 UE에서 생성된다. AUSF는 프라이머리 인증의 완료 후 KAUSF를 저장한다.
단계 7: AUSF로부터 요청을 수신 시, UDM은 UE에 서비스하는 AMF에게 인증 절차를 개시할 것을 요청한다. 인증 절차의 개시는 서비스의 일부로서 AMF에 의해 제공된다. 예시를 위해, 포스트 서비스가 사용된다.
일 실시예에서, UDM은 다른 NF로부터의 요청에 기초하여 수행될 인증이 즉시 요구되는지 또는 나중에 요구되는지를 결정할 수 있다.
예시 목적으로,
- 통합된 데이터 리포지터리(Unified Data Repository)(UDR)가 (예를 들어, 하드 재시작(hard restart)으로 인해) UE 콘텍스트를 손실하는 경우, UDM은 새로운 UE 콘텍스트를 생성하기 위해 신선한 인증 절차를 수행할 것을 결정할 수 있다. 이 경우, UDM은 가장 일찍 인증을 수행할 것을 AMF에게 지시할 수 있다(예를 들어, AMF는 UE가 Connected 상태로 이전할 때마다 인증 절차를 개시한다).
- KAUSF가 AUSF에서 이용 가능하지 않거나 또는 이미 KAKMA가 AUSF에 의해 현재 KAUSF로부터 도출되었던 경우 AUSF는 신선한 KAUSF를 생성하기 위해서, 새로운 인증 절차를 수행하라고 UDM에게 요청한다. 이 경우, UDM은 인증을 즉시 수행할 것을 AMF에게 지시할 수 있다.
다른 실시예에서, 요청 NF는 인증이 즉시 수행되어야 하는지 또는 나중에 수행되어야 하는지의 명시적 지시를 제공한다.
단계 8: AMF는, TS 33.501에 특정된 바와 같이, (AUSF로부터의 또는 UDM으로부터의 지시에 기초하여) UE와 인증 절차를 개시하며, 다시 말하면, SEAF/AMF는 Nausf_UEAuthentication_Authenticate 요청 메시지를 AUSF에게 전송함으로써 Nausf_UEAuthentication 서비스를 호출한다. AUSF는 인증이 성공적이었는지의 여부를 Nausf_UEAuthentication_Authenticate 응답에서 SEAF/AMF에게 지시해야 한다.
단계 9: 일단 KAUSF가 단계 8의 일부로서 생성되면, AUSF는 키 KAKMA를 도출하고 도출된 키 KAKMA를 AAnF에게 AKMA 키 응답 메시지로 제공한다.
단계 10: AAnF는 AF 특정 키 KAF를 도출한다.
단계 11: AAnF는 명시적 수명과 함께, 도출된 키 KAF를 AF에게 제공한다.
단계 12: AAnF로부터 애플리케이션 키 응답 메시지를 수신 시, AF는 애플리케이션 세션 확립 응답을 UE에게 전송한다.
도 4는 인증 절차 후 세션 확립 요청을 재개하라는 UE에 대한 지시가 있는, UDM에 의해 개시되는 재인증을 위한 해결 대안-2에 대한 메시지 흐름을 예시한다.
단계 1: UE는 애플리케이션 세션 확립 요청을 애플리케이션 기능부(AF)에 전송함으로써 애플리케이션 세션 확립을 개시한다. UE는 다음 파라미터들 중 적어도 하나를 요청 메시지에 포함시킨다: AKMA 키 Id, GPSI 및 라우팅 ID.
- UE는 홈 네트워크 식별자(HNI)와 함께 적절한 AUSF(이는 키 KAUSF를 소유하고 있음)를 식별하기 위해, HPLMN에 의해 프로비저닝된 라우팅 지시자(RI)를 포함한다.
- GPSI는 UE의 ID이며, 이는 AKMA 서비스에서 UE를 고유하게 식별한다.
단계 2: AF가 키 식별자에 연관된 액티브 콘텍스트를 갖지 않으면, AF는 UE에 대한 애플리케이션 기능부 특정 AKMA 키들을 요청하는 키 식별자가 있는 요청을 AAnF에게 전송한다. AF는 또한 자신의 아이덴티티(AF Id)를 그 요청에 포함시킨다.
단계 3: AF로부터 요청을 수신 시, AAnF가 AF 특정 키(KAF)를 소유하면, KAF 키로 AF에 응답한다. 아니면, AAnF는 AKMA 키 식별자에 의해 식별되는 UE 특정 KAKMA 키를 갖는지를 체크해야 한다.
KAKMA가 AAnF에서 이용 가능하면, KAKMA로부터 AF 특정 AKMA 키(KAF)를 도출해야 하고 KAF 및 수명으로 AF에 응답해야 한다.
일 실시예에서, AAnF가 UE에 특정한 KAKMA 키를 획득하기 위해 AUSF에게 요청을 전송하는(단계 4) 대신, AAnF는 KAUSF 키 요청된 메시지의 부트스트래핑을 UE에게 직접 전송할 수 있다(단계 6B). 옵션적으로 게다가, AAnF는 새로운 AKMA 키 ID, KAUSF 등의 새로운 파라미터들을 고려하여 인증 절차 후 세션 확립 요청을 재개할 필요가 있음을 UE에게 지시할 수 있다.
단계 4: 만약 KAKMA가 이용 가능하지 않거나 또는 KAKMA의 유효성이 만료되며 그리고/또는 AF에 대한 KAF가 현재 KAKMA로부터 이미 도출되었으면, AAnF는 UE에 특정한 KAKMA 키를 획득하기 위한 요청을 AUSF에게 전송해야 한다. AAnF는 AKMA 키 식별자를 요청에 포함시키고 SUPI가 있으면 그 SUPI를 포함시킬 수 있다.
단계 5: AAnF로부터 요청을 수신 시, AUSF가 UE 특정 키(KAUSF)를 소유하면, KAKMA 키로 AAnF에 응답한다. KAUSF가 이용 가능하지 않으면(KAUSF가 이용 가능하지 않으면(또는 KAUSF의 유효성이 만료되거나 또는 유효한 KAUSF가 이용 가능하지 않으면), 다음 단계들이 수행된다.
단계 6A~6C: AUSF는 KAUSF 키의 부트스트래핑이 요구됨을 AAnF에게 그리고 또한 UE에게 지시하고 게다가, 새로운 AKMA 키 ID, KAUSF 등의 새로운 파라미터들을 고려하여, 인증 절차의 성공적인 완료 후 UE가 세션 확립 요청을 재개할 필요가 있다는 것을 나타낸다.
단계 7: 게다가, AUSF는 UE에 대한 프라이머리 인증을 개시하라는 요청을 UDM에게 전송한다. 이는 UE의 SUPI를 그 요청에 포함시킨다.
단계 8: AUSF로부터 요청을 수신 시, UDM은 UE에 서비스하는 AMF에게 인증 절차를 개시할 것을 요청한다. 인증 절차의 개시는 서비스의 일부로서 AMF에 의해 제공된다. 예시를 위해, 포스트 서비스가 사용된다.
일 실시예에서, UDM은 다른 NF로부터의 요청에 기초하여 수행될 인증이 즉시 요구되는지 또는 나중에 요구되는지를 결정할 수 있고 그 지시를 AMF에 대한 요청에 포함시킬 수 있다.
예시 목적으로,
- 통합된 데이터 리포지터리(UDR)가 (예를 들어, 하드 재시작으로 인해) UE 콘텍스트를 손실하는 경우, UDM은 새로운 UE 콘텍스트를 생성하기 위해 신선한 인증 절차를 수행할 것을 결정할 수 있다. 이 경우, UDM은 가장 일찍 인증을 수행할 것을 AMF에게 지시할 수 있다(예를 들어, AMF는 UE가 Connected 상태로 이전할 때마다 인증 절차를 개시한다).
- KAUSF가 AUSF에서 이용 가능하지 않거나 또는 이미 KAKMA가 AUSF에 의해 현재 KAUSF로부터 도출되었던 경우 AUSF는 신선한 KAUSF를 생성하기 위해서, 새로운 인증 절차를 수행하라고 UDM에게 요청할 수 있다. 이 경우, UDM은 인증을 즉시 수행할 것을 AMF에게 지시할 수 있다.
다른 실시예에서, 요청하는 NF는 수행될 인증이 즉시 수행될지 또는 나중에 수행될지의 명시적 지시를 UDM에게 제공하고 UDM은 그지시를 AMF에 대한 요청에 포함시킨다.
단계 9: AMF는, TS 33.501에 특정된 바와 같이, (AUSF로부터의 또는 UDM으로부터의 지시에 기초하여) UE와 인증 절차를 개시하며, 다시 말하면, SEAF/AMF는 Nausf_UEAuthentication_Authenticate 요청 메시지를 AUSF에게 전송함으로써 Nausf_UEAuthentication 서비스를 호출한다. AUSF는 인증이 성공적이었는지의 여부를 Nausf_UEAuthentication_Authenticate 응답에서 SEAF/AMF에게 지시해야 한다.
단계 10: UE는 새로운 파라미터들을 고려하여, 애플리케이션 세션 확립 요청을 애플리케이션 기능부에 다시 전송함으로써 애플리케이션 세션 확립을 개시한다. UE는 다음 파라미터들 중 적어도 하나를 요청 메시지에 포함시킨다: AKMA 키 Id, GPSI 및 라우팅 ID.
단계 11~17: 정상적인 AKMA 절차가 뒤따른다. AF가 키 식별자에 연관된 액티브 콘텍스트를 갖지 않으면, 단계 11에서, AF는 UE에 대한 애플리케이션 기능부 특정 AKMA 키들을 요청하는 키 식별자가 있는 요청을 AAnF에게 전송한다. AF는 또한 자신의 아이덴티티(AF Id)를 그 요청에 포함시킨다. AAnF는 AF Id를 체크함으로써 AAnF가 서비스를 AF에 제공할 수 있는지의 여부를 체크해야 한다. 성공하면, 다음 절차들이 실행된다. 그렇지 않으면, AAnF는 그 절차를 거부해야 한다.
AAnF가 AF 특정 키(KAF)를 소유하면, KAF 키로 AF에 응답한다. 아니면, AAnF는 AKMA 키 식별자에 의해 식별되는 UE 특정 KAKMA 키를 갖는지를 체크해야 한다.
KAKMA가 AAnF에서 이용 가능하면, KAKMA로부터 AF 특정 AKMA 키(KAF)를 도출해야 하고 KAF 및 수명으로 AF에 응답해야 한다.
KAKMA가 이용 가능하지 않으면(단계 12), 단계 13에서, AAnF는 UE에 특정한 KAKMA 키를 획득하기 위한 요청을 AUSF에게 전송해야 한다. 이는 AKMA 키 식별자를 그 요청에 포함시킨다.
단계 14에서, AUSF는 키 식별자에 의해 식별되는 KAKMA 키로 응답해야 한다.
단계 15에서, AAnF는 KAKMA로부터 AF 특정 키(KAF)를 도출하고 단계 16에서, AAnF는 KAF 및 수명으로 AF에 응답한다.
도 5는 AMF에 대해 직접 AUSF에 의해 개시되는 재인증을 위한 해결 대안-3에 대한 메시지 흐름을 예시하며;
단계 1: UE는 애플리케이션 세션 확립 요청을 애플리케이션 기능부에 전송함으로써 애플리케이션 세션 확립을 개시한다. UE는 다음 파라미터들 중 적어도 하나를 요청 메시지에 포함시킨다: AKMA 키 Id, GPSI, 라우팅 ID.
- UE는 홈 네트워크 식별자(HNI)와 함께 적절한 AUSF(이는 키 KAUSF를 소유하고 있음)를 식별하기 위해, HPLMN에 의해 프로비저닝된 라우팅 지시자(RI)를 포함한다.
- GPSI는 UE의 ID이며, 이는 AKMA 서비스에서 UE를 고유하게 식별한다.
단계 2: AF가 키 식별자에 연관된 액티브 콘텍스트를 갖지 않으면, AF는 UE에 대한 애플리케이션 기능부 특정 AKMA 키들을 요청하는 키 식별자가 있는 요청을 AAnF에게 전송한다. AF는 또한 자신의 아이덴티티(AF Id)를 그 요청에 포함시킨다.
단계 3: AF로부터 요청을 수신 시, AAnF는 AF 특정 키(KAF)를 소유하면, KAF 키로 AF에 응답한다. 아니면, AAnF는 AKMA 키 식별자에 의해 식별되는 UE 특정 KAKMA 키를 갖는지를 체크해야 한다.
KAKMA가 AAnF에서 이용 가능하면, KAKMA로부터 AF 특정 AKMA 키(KAF)를 도출해야 하고 KAF 및 수명으로 AF에 응답해야 한다.
단계 4: 만약 KAKMA가 이용 가능하지 않거나 또는 KAKMA의 유효성이 만료되며 그리고/또는 AF에 대한 KAF가 현재 KAKMA로부터 이미 도출되었으면, AAnF는 UE에 특정한 KAKMA 키를 획득하기 위한 요청을 AUSF에게 전송해야 한다. 이는 AKMA 키 식별자를 요청에 포함시키고 SUPI가 있으면 그 SUPI를 포함시킬 수 있다. 일 실시예에서, AUSF는 AAnF로부터 KAKMA 리프레시 요청을 수신하기 위해 새로운 서비스 또는 서비스 동작을 지원한다.
단계 5: AAnF로부터 요청을 수신 시, AUSF가 UE 특정 키(KAUSF)를 소유하면, KAKMA 키로 AAnF에 응답한다. KAUSF가 이용 가능하지 않으면 다음 단계들은 수행된다.
단계 6: KAUSF가 이용 가능하지 않으면(또는 KAUSF의 유효성이 만료되거나 또는 유효한 KAUSF가 이용 가능하지 않으면), AUSF는 UE와 프라이머리 인증을 개시하기 위한 요청을 AMF에 전송한다. AUSF는 인증이 즉시 또는 나중에 수행될 것임을 지시할 수 있다. 이는 UE의 SUPI를 그 요청에 포함시킨다. AKMA의 경우, 인증 절차의 개시는 새로운 서비스 또는 서비스 동작의 일부로서 AMF에 의해 제공된다. 예시를 위해, 포스트 서비스가 사용된다. 대안적으로, AUSF는 NRF에서의 AMF에 의해 등록되는 통지 끝점에서 NF-Profile의 일부로서 AMF에 통지를 전송할 수 있다.
예를 들어, AKMA 애플리케이션 키의 수명이 만료되는 경우, AF는 AKMA 애플리케이션 키를 무효화할 수 있다. AKMA 애플리케이션 키가 무효한 경우, AF는 AKMA 애플리케이션 키의 재-키잉(re-keying)을 트리거할 수 있다. 예를 들어, AF는 새로운 AKMA 애플리케이션 키를 제공할 것을 AAnF에게 요청할 수 있다. AAnF에 저장되는 제1 AKMA 앵커 키가 무효한 AKMA 애플리케이션 키를 생성하는데 사용되는 제2 AKMA 앵커 키와 동일한 경우, AAnF는 AUSF에게 새로운 AKMA 앵커 키를 생성할 것을 요청할 수 있다. 새로운 AKMA 앵커 키를 생성하기 위해, AUSF는 프라이머리 인증을 개시할 것을 AMF에게 요청함으로써 프라이머리 인증에 기초하여 만료된 AKMA 애플리케이션 키를 리프레시할 수 있다.
단계 7: AUSF로부터 요청을 수신 시, AMF는, TS 33.501에 특정된 바와 같이, (AUSF로부터의 또는 UDM으로부터의 지시에 기초하여) UE와 인증 절차를 개시하며, 다시 말하면, SEAF/AMF는 Nausf_UEAuthentication_Authenticate 요청 메시지를 AUSF에게 전송함으로써 Nausf_UEAuthentication 서비스를 호출한다. AUSF는 인증이 성공적이었는지의 여부를 Nausf_UEAuthentication_Authenticate 응답에서 SEAF/AMF에게 지시해야 한다.
단계 8: 일단 KAUSF가 단계 7의 일부로서 생성되면, AUSF는 키 KAKMA를 도출하고 도출된 키 KAKMA를 AAnF에게 AKMA 키 응답 메시지로 제공한다.
단계 9: AAnF는 AF 특정 키 KAF를 도출한다.
단계 10: AAnF는 명시적 시간과 함께, 도출된 키 KAF를 AF에게 제공한다.
단계 11: AAnF로부터 애플리케이션 키 응답 메시지를 수신 시, AF는 애플리케이션 세션 확립 응답을 UE에게 전송한다.
도 6은 AMF와 함께 UE에 의해 개시되는 재인증을 위한 해결 대안-4에 대한 메시지 흐름을 예시한다.
단계 1: UE는 애플리케이션 세션 확립 요청을 애플리케이션 기능부에 전송함으로써 애플리케이션 세션 확립을 개시한다. UE는 다음 파라미터들 중 적어도 하나를 요청 메시지에 포함시킨다: AKMA 키 Id, GPSI 및 라우팅 ID.
- UE는 홈 네트워크 식별자(HNI)와 함께 적절한 AUSF(이는 키 KAUSF를 소유하고 있음)를 식별하기 위해, HPLMN에 의해 프로비저닝된 라우팅 지시자(RI)를 포함한다. 하나의 예에서 라우팅 ID는 SUCI에서 전송된 라우팅 ID와 동일하다.
- GPSI는 UE의 ID이며, 이는 AKMA 서비스에서 UE를 고유하게 식별한다.
단계 2: AF가 키 식별자에 연관된 액티브 콘텍스트를 갖지 않으면, AF는 UE에 대한 애플리케이션 기능부 특정 AKMA 키들을 요청하는 키 식별자가 있는 요청을 AAnF에게 전송한다. AF는 또한 자신의 아이덴티티(AF Id)를 그 요청에 포함시킨다.
단계 3: AF로부터 요청을 수신 시, AAnF는 AF 특정 키(KAF)를 소유하면, KAF 키로 AF에 응답한다. 아니면, AAnF는 AKMA 키 식별자에 의해 식별되는 UE 특정 KAKMA 키를 갖는지를 체크해야 한다.
KAKMA가 AAnF에서 이용 가능하면, KAKMA로부터 AF 특정 AKMA 키(KAF)를 도출해야 하고 KAF 및 수명으로 AF에 응답해야 한다.
단계 4: 만약 KAKMA가 이용 가능하지 않거나 또는 KAKMA의 유효성이 만료되며 그리고/또는 AF에 대한 KAF가 현재 KAKMA로부터 이미 도출되었으면, AAnF는 UE에 특정한 KAKMA 키를 획득하기 위한 요청을 AUSF에게 전송해야 한다. 이는 AKMA 키 식별자를 요청에 포함시키고 SUPI가 있으면 그 SUPI를 포함시킬 수 있다.
일 실시예에서, AAnF가 UE에 특정한 KAKMA 키를 획득하기 위해 AUSF에게 요청을 전송하는(단계 4) 대신, AAnF는 KAUSF 키 요청된 메시지의 부트스트래핑을 UE에게 직접 전송할 수 있다(단계 6B). 옵션적으로 게다가, AAnF는 새로운 AKMA 키 ID, KAUSF 등의 새로운 파라미터들을 고려하여 인증 절차 후 세션 확립 요청을 재개할 필요가 있음을 UE에게 지시할 수 있다.
단계 5: AAnF로부터 요청을 수신 시, AUSF가 UE 특정 키(KAUSF)를 소유하면, KAKMA 키로 AAnF에 응답한다. KAUSF가 이용 가능하지 않으면(KAUSF가 이용 가능하지 않으면(또는 KAUSF의 유효성이 만료되거나 또는 유효한 KAUSF가 이용 가능하지 않으면), 다음 단계들이 수행된다.
단계 6A~6C: AUSF는 KAUSF 키의 부트스트래핑이 요구됨을 AAnF에게 그리고 또한 UE에게 지시하고 게다가, 새로운 AKMA 키 ID, KAUSF 등의 새로운 파라미터들을 고려하여, 인증 절차 후 UE가 세션 확립 요청을 재개할 필요가 있다는 것을 나타낸다.
단계 7: 부트스트래핑 요청 절차를 수신 시, UE는 AMF를 향하여 등록 요청 절차 또는 서비스 요청 절차 또는 PDU 세션 확립 절차 또는 새로운 NAS 절차를 개시한다. NAS 메시지는 UE 요청이 새로운 인증 절차를 개시할 것을 AMF에게 요청하도록 지시 또는 정보(예를 들어, 새로운 SRP 지시(인증 요청)) 및/또는 5G에서의 키 세트 식별자(ngKSI) 값을 111로 설정하는 것을 포함한다.
예를 들어, AKMA 애플리케이션 키의 수명이 만료되는 경우, AF는 AKMA 애플리케이션 키의 재-키잉을 트리거할 수 있다. 구체적으로는, AKMA 애플리케이션 키의 수명이 만료되는 경우, AF는 UE에서부터 AF로의 액세스를 거부할 수 있다. UE는, AMF에게, 새로운 NAS 메시지의 존재를 통해 프라이머리 인증을 트리거하는 지시를 송신할 수 있다. 프라이머리 인증 후, 새로운 AKMA 애플리케이션 키가 AKMA 애플리케이션 키의 재-키잉을 통해 생성될 수 있고 UE는 AF에 액세스하기 위한 요청을 다시 개시할 수 있다.
단계 7A: UE로부터 요청을 수신 시, AMF는 UE와 인증 절차를 개시한다. 인증 절차는 3GPP TS 33.501에서 특정된 바와 같이 수행된다.
단계 8: 성공적인 인증 절차의 완료 후, UE는 새로운 파라미터들을 고려하여, 애플리케이션 세션 확립 요청을 애플리케이션 기능부에 다시 전송함으로써 애플리케이션 세션 확립을 개시한다. UE는 다음 파라미터들 중 적어도 하나를 요청 메시지에 포함시킨다: AKMA 키 Id, GPSI 및 라우팅 ID.
단계 9~15: 정상적인 AKMA 절차가 뒤따른다. AF가 키 식별자에 연관된 액티브 콘텍스트를 갖지 않으면, 단계 9에서, AF는 UE에 대한 애플리케이션 기능부 특정 AKMA 키들을 요청하는 AKMA 키 식별자가 있는 요청을 AAnF에게 전송한다. AF는 또한 자신의 아이덴티티(AF Id)를 그 요청에 포함시킨다.
AAnF는 AF Id를 체크함으로써 AAnF가 서비스를 AF에 제공할 수 있는지의 여부를 체크해야 한다. 성공하면, 다음 절차들이 실행된다. 그렇지 않으면, AAnF는 그 절차를 거부해야 한다.
AAnF가 AF 특정 키(KAF)를 소유하면, KAF 키로 AF에 응답한다(단계 14). 아니면, AAnF는 AKMA 키 식별자에 의해 식별되는 UE 특정 KAKMA 키를 갖는지를 체크해야 한다.
KAKMA가 AAnF에서 이용 가능하면, KAKMA로부터 AF 특정 AKMA 키(KAF)를 도출해야 하고 KAF 및 수명으로 AF에 응답해야 한다(단계 14).
만약 KAKMA가 이용 가능하지 않거나 또는 KAKMA의 유효성이 만료되며 그리고/또는 AF에 대한 KAF가 현재 KAKMA로부터 이미 도출되었으면(단계 10), 단계 11에서, AAnF는 UE에 특정한 KAKMA 키를 획득하기 위한 요청을 AUSF에게 전송해야 한다. 이는 AKMA 키 식별자를 그 요청에 포함시킨다.
단계 12에서, AUSF는 키 식별자에 의해 식별되는 KAKMA 키로 응답해야 한다.
단계 13에서, AAnF는 KAKMA로부터 AF 특정 키(KAF)를 도출하고 단계 14에서, AAnF는 KAF 및 수명으로 AF에 응답한다.
도 7은 AUSF에 의해 수행되는 AKMA 인가 체크를 위한 해결 대안-1에 대한 메시지 흐름을 예시한다.
일 실시예에서, AKMA 서비스에 액세스할 UE의 인가 및/또는 UE에 서비스할 AF의 인가 및/또는 AKMA 서비스에 액세스할 AF의 인가는 UDM으로부터 수신되는 허용된 GPSI/AF 리스트 및/또는 UE의 가입 데이터 및/또는 서비스 프로파일을 사용하여, AUSF에 의해 수행된다.
단계 1~10: 특정 AF에 대한 AKMA 애플리케이션 키를 도출하는 절차를 예시한다.
단계 4 후, 단계 5에서, AUSF는 AKMA 서비스를 사용할 UE 및/또는 AF의 인가를 체크하기 위한 필요한 정보를 제공할 것을 UDM에게 요청할 수 있다.
단계 6에서, UDM은 UE의 서비스 프로파일 및/또는 가입 데이터 및/또는 UE의 허용된 GPSI(들)의 리스트 및/또는 UE에 서비스할 수 있는 허용된 AF(들) 리스트 및/또는 네트워크로부터의 AKMA 서비스를 사용할 수 있는 AF의 리스트 및/또는 UE가 5GS에서 AUSF에 등록되는지의 여부를 제공한다.
AUSF는 UDM으로부터의 수신된 정보(UE의 서비스 프로파일 및/또는 가입 데이터 및/또는 허용된 GPSI(들)의 리스트 및/또는 UE에 서비스할 수 있는 AF(들)의 허용된 리스트 및/또는 네트워크로부터의 AKMA 서비스를 사용할 수 있는 AF의 리스트 및/또는 UE가 5GS에 등록되는지의 여부) 및 AAnF로부터 수신된 요청에 기초하여 UE의 인가 체크를 수행할 수 있다.
인가 체크가 AUSF에 의해 수행되면, AUSF는 인가 체크가 성공적인 경우에만 추가로 진행할 수 있으며, 그렇지 않으면 AUSF는 AAnF로부터의 요청을 거부하고 AUSF는 적절한 에러 메시지를 AAnF에 전송하고 AAnF는 그 에러 메시지를 AF에 포워딩하고 UE에게도 포워딩할 수 있다.
일 실시예에서, AAnF는 설정된 로컬 정책에 기초하여 그리고/또는 (예를 들어, 액세스 토큰을 사용하여) NEF에 의해 제공되는 인가 정보/정책에 기초하여 AF(AF가 AKMA 서비스를 획득하도록 허용되는지)를 인가할 수 있다.
예를 들어, AF는 AAnF와 직접 통신하는 내부 AF일 수 있다. 네트워크 노출 기능부(network exposure function)(NEF)를 통해 AAnF와 통신하는 외부 AF와 비교하여, 운영 네트워크 내부에 위치되는 내부 AF는 NEF 없이 AAnF와 통신할 수 있다. AF가 AKMA 애플리케이션 키를 제공할 것을 AAnF에게 요청하는 경우, AF는 로컬 정책에 기초하여 AAnF가 AKMA 서비스를 AF에 제공하는지의 여부를 체크함으로써 인가 체크를 수행할 수 있다. 예를 들어, 로컬 정책은 AAnF로부터의 AKMA 서비스들 요청하고 액세스할 수 있는 애플리케이션 기능부들의 리스트로 설정될 수 있다. 인가 체크의 결과에 기초하여, AAnF는 AKMA 애플리케이션 키를 도출할지의 여부를 결정할 수 있다. 예를 들어, 인가 체크가 성공하면, AAnF는 AKMA 애플리케이션 키를 도출할 수 있다. 인가 체크가 실패하면, AAnF는 AF로부터의 요청을 거부할 수 있다.
도 8은 AUSF에 의해 요청된, UDM에 의해 수행되는 AKMA 인가 체크를 위한 해결 대안-2에 대한 메시지 흐름을 예시한다.
일 실시예에서, AKMA 서비스에 액세스할 UE의 인가는 AUSF로부터 수신된 필요한 정보에 기초하여, UDM에 의해 수행된다.
일 실시예에서, AKMA 서비스에 액세스할 UE의 인가 및/또는 UE에 서비스할 AF의 인가 및/또는 AKMA 서비스에 액세스할 AF의 인가는, UE의 가입 데이터 및/또는 서비스 프로파일 및/또는 허용된 GPSI/AF 리스트 및/또는 UE가 5GS에서 등록되는지의 여부를 사용하여, UDM에 의해 수행된다. UDM은, 예를 들어 GET 방법을 사용하여, AAnF에 대한 서비스로서 AKMA 인가 체크를 제공한다.
단계 1-10: 특정 AF에 대한 AKMA 애플리케이션 키를 도출하는 절차를 예시한다. 단계 4 후, 단계 5에서, AUSF는 다음 중 적어도 하나의 필요한 입력 파라미터들을 제공함으로써 인가 체크를 수행할 것을 UDM에게 요청할 수 있다: SUPI, GPSI 및 AF ID.
요청을 수신 시, 단계 5A에서, UDM은 저장된 정보, 즉, 서비스 프로파일, UE의 가입 데이터, UE의 허용된 GPSI(들)의 리스트, UE에 서비스할 수 있는 AF(들)의 허용된 리스트 및 네트워크로부터의 AKMA 서비스를 사용할 수 있는 AF의 리스트 및/또는 UE가 5GS에서 등록되는지의 여부 중 적어도 하나에 기초하여, UE 및/또는 AF가 AKMA 특징을 사용하도록 인가되는지의 여부에 대한 인가 체크를 수행할 수 있다.
인가 체크에 기초하여, 단계 6에서, UDM은 그 결과를 AUSF에 제공한다. 만약 인가 체크가 UDM에 의해 수행되고 그 결과가 인가 체크가 성공적임을 나타내면, AUSF만이 절차를 추가로 진행하고, 그렇지 않으면 AUSF는 AF로부터의 요청을 거부하고 AUSF는 적절한 에러 메시지를 AAnF에 전송하고 AAnF는 그 에러 메시지를 AF에 포워딩하고 UE에게도 포워딩할 수 있다.
일 실시예에서, UDM으로부터의 인가 체크 결과, 예를 들어, UE가 인가되는지, GPSI가 허용되는지, AF가 인가되는지 등은 각각의 엔티티에 제공된다(요청에서의 입력 파라미터들, SUPI, GPSI, AF ID에 기초할 수 있다).
도 9는 AAnF에 의해 수행되는 AKMA 인가 체크를 위한 해결 대안-1에 대한 메시지 흐름을 예시한다.
일 실시예에서, AKMA 서비스에 액세스할 UE의 인가는, UDM으로부터 수신되는 필요한 정보를 사용하여, AAnF에 의해 수행된다.
일 실시예에서, AKMA 서비스에 액세스할 UE의 인가 및/또는 UE에 서비스할 AF의 인가 및/또는 AKMA 서비스에 액세스할 AF의 인가는, UDM으로부터 수신되는, UE의 가입 데이터 및/또는 서비스 프로파일 및/또는 허용된 GPSI/AF 리스트 및/또는 UE가 5GS에서 등록되는지의 여부를 사용하여, AAnF에 의해 수행된다.
단계 1~10: 특정 AF에 대한 AKMA 애플리케이션 키를 도출하는 절차를 예시한다. 단계 5 후, 단계 6에서, AAnF는 AKMA 특징을 사용할 UE 및/또는 AF의 인가를 체크하기 위한 필요한 정보를 제공할 것을 UDM에게 요청할 수 있다.
단계 7에서, UDM은 UE의 서비스 프로파일 및/또는 가입 데이터 및/또는 UE의 허용된 GPSI(들)의 리스트 및/또는 UE에 서비스할 수 있는 허용된 AF(들) 리스트 및/또는 네트워크로부터의 AKMA 서비스를 사용할 수 있는 AF의 리스트 및/또는 UE가 5GS에서 AAnF에 등록되는지의 여부를 제공한다.
단계 8에서, AAnF는 UDM으로부터의 수신된 정보(UE의 서비스 프로파일 및/또는 가입 데이터 및/또는 허용된 GPSI(들)의 리스트 및/또는 UE에 서비스할 수 있는 AF(들)의 허용된 리스트 및/또는 네트워크로부터 AKMA 서비스를 사용할 수 있는 AF의 리스트) 및 단계 2에서 AF로부터 수신된 요청에 기초하여 UE의 인가 체크를 수행할 수 있다. 인가 체크가 AAnF에 의해 수행되면, AAnF는 인가 체크가 성공적인 경우에만 추가로 진행할 수 있고, 그렇지 않으면 AAnF는 AF로부터의 요청을 거부하고 AAnF는 적절한 에러 메시지를 AF에 전송하고 AF는 그 에러 메시지를 UE에 포워딩할 수 있다.
도 10은 AAnF에 의해 요청된, UDM에 의해 수행되는 AKMA 인가 체크를 위한 해결 대안-2에 대한 메시지 흐름을 예시한다.
일 실시예에서, AKMA 서비스에 액세스할 UE의 인가는 AAnF로부터 수신되는 필요한 정보에 기초하여, UDM에 의해 수행된다.
일 실시예에서, AKMA 서비스에 액세스할 UE의 인가 및/또는 UE에 서비스할 AF의 인가 및/또는 AKMA 서비스에 액세스할 AF의 인가는, UE의 가입 데이터 및/또는 서비스 프로파일 및/또는 허용된 GPSI/AF 리스트 및/또는 UE가 5GS에서 등록되는지의 여부를 사용하여, UDM에 의해 수행된다. UDM은, 예를 들어 GET 방법을 사용하여, AAnF에 대한 서비스로서 AKMA 인가 체크를 제공한다.
단계 1~11: 특정 AF에 대한 AKMA 애플리케이션 키를 도출하는 절차를 예시한다. 단계 5 후, 단계 6에서, AAnF는 다음 중 적어도 하나의 필요한 입력 파라미터들을 제공함으로써 인가 체크를 수행할 것을 UDM에게 요청할 수 있다: SUPI, GPSI 및 AF ID.
요청을 수신 시, 단계 7에서, UDM은 저장된 정보, 즉, 서비스 프로파일, UE의 가입 데이터, UE의 허용된 GPSI(들)의 리스트, UE에 서비스할 수 있는 AF(들)의 허용된 리스트 및 AKMA 서비스를 사용할 수 있는 AF의 리스트 및/또는 UE가 네트워크로부터 5GS에서 등록되는지의 여부 중 적어도 하나에 기초하여, UE 및/또는 AF가 AKMA 특징을 사용하도록 인가되는지의 여부에 대한 인가 체크를 수행할 수 있다.
단계 8에서, 인가 체크에 기초하여, UDM은 그 결과를 AAnF에 제공한다.
만약 인가 체크가 UDM에 의해 수행되고 그 결과가 인가 체크가 성공적임을 나타내면, AAnF만이 절차를 추가로 진행하고, 그렇지 않으면 AAnF는 AF로부터의 요청을 거부하고 AAnF는 적절한 에러 메시지를 AF에 전송하고 AF는 에러 메시지를 UE에 포워딩할 수 있다.
일 실시예에서, UDM으로부터의 인가 체크 결과, 예를 들어, UE가 인가되는지, GPSI가 허용되는지, AF가 인가되는지 등은 각각의 엔티티에 제공된다(요청에서의 입력 파라미터들, SUPI, GPSI, AF ID에 기초할 수 있다).
도 11a는 3GPP에서 AKMA(authentication and key management for applications) 서비스에 따른 동작의 방법을 예시한다.
단계 1102에서, UDM은 가입자가 AKMA 가입을 갖는다는 결정에 기초하여 AUSF로의 지시를 수납하여 전송할 수 있다.
단계 1104에서, AKMA 지시가 UDM으로부터 수신되는 경우, AUSF는 프라이머리 인증 절차의 성공적인 완료 후 KAUSF로부터 AKMA 키 ID를 생성할 수 있다.
단계 1106에서, UE는 프라이머리 인증 절차의 성공적인 완료 후 AF에 대한 애플리케이션 세션 확립을 개시할 수 있다.
도 11b는 AKMA 키 식별자 도출 메커니즘을 위한 메시지 흐름을 예시한다.
단계 1~12, UE는 TS 23.501 및 TS 23.502에서 특정된 바와 같이, AMF를 향하여 등록 요청 절차 또는 서비스 요청 절차 또는 PDU 세션 확립 절차 또는 새로운 NAS 절차를 개시한다. 상기한 임의의 하나 또는 모든 언급된 절차들의 일부로서, 단계 4에서, UDM은 인증 벡터(들)를 요청하기 위해, AUSF가 UE 인증 Get 요청에 대해 UDM에게 요청할 때, UE가 AKMA 가입을 가짐(UE가 AKMA 서비스에 대해 인가됨)을 AUSF에게 나타낸다.
일 실시예에서, UDM은 UE의 가입 데이터(및/또는 서비스 프로파일)에 기초하여 그리고/또는 (예를 들어, 선택된 인증이 EAP-TLS이면) 선택된 인증 방법에 기초하여 UE가 AKMA에 대해 인가된다는 것을 AUSF에게 나타낸다.
UE가 AKMA에 대해 인가/가입된다는 지시를 수신 시 또는 로컬 정책에 기초하여 또는 UDM으로부터의 응답에서의 (예를 들어, 선택된 인증이 EAP-TLS이면) 선택된 인증 방법에 기초하여, AUSF는 UE에 대한 AKMA 키 식별자(KAKMA ID)의 고유 사용자 부분을 생성하고 단계 5에서, AUSF는 옵션적으로 AKMA 키 식별자(KAKMA ID)의 생성된 사용자 부분을 AMF/SEAF로의 응답 메시지에 포함시킨다.
그 다음에 단계 6에서, AMF는 KAKMA ID의 사용자 부분을, 수신된다면, 다른 파라미터들과 함께, UE에게 인증 요청 메시지로 포워딩한다. NAI 포맷 userpart@realmpart의 일 예.
단계 7에서, UE가 네트워크의 진위를 검정/검증하면, UE는 KAKMA ID의 사용자 부분을, 수신되면, 저장한다.
단계 13~19: 성공적인 인증 절차의 완료 후, 단계 13에서, UE는 새로운 파라미터들을 고려하여, 애플리케이션 세션 확립 요청을 애플리케이션 기능부에 전송함으로써 애플리케이션 세션 확립을 개시한다.
일 실시예에서, 요청 메시지에 포함되는 KAKMA ID는 인증 절차에서의 KAKMA ID(단계 7에서의 저장된 ID)의 (NAI 포맷의 사용자 부분) 네트워크 배정 사용자 부분 또는 RES(인증 절차의 부분으로서 도출됨) 또는 RES*(인증 절차의 부분으로서 도출됨) 또는 RAND(인증 절차의 부분으로서 도출됨) 또는 "세션 ID"(EAP-TLS 인증 절차에서 사용되고 UE에 저장됨 그리고 AUSF는 AUSF에서 UE를 고유하게 식별하기 위해, AKMA 키 식별자의 사용자 부분에 사용됨)로 구성되거나 또는 KAUSF를 사용하여 도출된다.
일 실시예에서, AKMA 키 식별자의 사용자 부분의 사이즈가 128 개 비트들로 제한되는 것이면, AKMA 키 식별자의 사용자 부분은 다음의 적어도 하나의 파라미터의 128 개 최소 유효 비트들 또는 최대 유효 비트들로 식별된다: RES, RES*, 세션 ID.
UE는 다음 파라미터들 중 적어도 하나를 요청 메시지에 포함시킨다: AKMA 키 식별자 (KAKMA ID), GPSI, 라우팅 ID(NAI 포맷의 영역(realm)의 부분일 수 있음).
AF가 키 식별자에 연관된 액티브 콘텍스트를 갖지 않으면, 단계 14에서, AF는 UE에 대한 애플리케이션 기능부 특정 AKMA 키들을 요청하는 키 식별자가 있는 요청을 AAnF에게 전송한다. AF는 또한 자신의 아이덴티티(AF Id)를 그 요청에 포함시킨다. AAnF는 AF Id를 체크함으로써 AAnF가 서비스를 AF에 제공할 수 있는지의 여부를 체크해야 한다. 성공하면, 다음 절차들이 실행된다. 그렇지 않으면, AAnF는 그 절차를 거부해야 한다.
AAnF가 AF 특정 키(KAF)를 소유하면, KAF 키로 AF에 응답한다. 아니면, AAnF는 AKMA 키 식별자에 의해 식별되는 UE 특정 KAKMA 키를 갖는지를 체크해야 한다.
KAKMA가 AAnF에서 이용 가능하면, KAKMA로부터 AF 특정 AKMA 키(KAF)를 도출해야 하고 KAF 및 수명으로 AF에 응답해야 한다.
만약 KAKMA가 이용 가능하지 않거나 또는 KAKMA의 유효성이 만료되며 그리고/또는 AF에 대한 KAF가 현재 KAKMA로부터 이미 도출되었으면, 단계 15에서, AAnF는 UE에 특정한 KAKMA 키를 획득하기 위한 요청을 AUSF에게 전송해야 한다. 이는 AKMA 키 식별자를 그 요청에 포함시킨다.
단계 16에서, AUSF는 키 식별자에 의해 식별되는 KAKMA 키로 응답해야 한다.
단계 17에서, AAnF는 KAKMA로부터 AF 특정 키(KAF)를 도출하고 단계 18에서, AAnF는 KAF 및 수명으로 AF에 응답한다.
위의 모든 실시예에서, AKMA 절차들(이 실시예에서 정의된 절차 또는 TS 33.501 또는 TR 33.835에서 정의된 절차)을 지원하는 UE는 네트워크 기능부(NF)(예컨대, AMF, AUSF, UDM 등)에게 AKMA 절차를 지원함을 나타내는 네트워크에 대한 능력 지시를 전송한다. 하나의 예에서, UE는 NAS 절차 동안 NAS 메시지에서(예컨대, 등록 절차 동안의 등록 요청 메시지에서) 능력 지시자를 전송한다. 이 능력 지시자는 무결성 보호로 또는 암호화로 또는 둘 다로 전송된다. NF가 이 능력 지시자를 (UE 및/또는 다른 NF 중 어느 하나로부터) 수신하는 경우, UE가 AKMA 특징을 지원함을 능력 지시자가 나타내면, AKMA 절차를 실행하고, 그렇지 않으면, NF는 UE에 대한 AKMA 절차를 실행하지 않아야 한다. 네트워크는 AKMA 특징을 지원하든 안하든 자신의 AKMA 능력을 UE에게 메시지로 또한 전송하거나 또는 HPLMN이 AKMA 특징을 지원하든 안하든, USIM에서 미리 설정된다. NAS 절차 동안(예컨대, 등록 수락 메시지에서) 애플리케이션 계층을 통해 또는 NAS 메시지를 통해 중 어느 하나로 전송된다. 네트워크가 AKMA를 지원하는 경우 UE가 그 네트워크로부터 AKMA 능력을 수신하면 UE는 AKMA 관련 절차를 개시한다.
도 12는 본 개시의 일 실시예에 따른 사용자 장비를 예시하는 도면이다.
도 12를 참조하면, UE(1200)는 프로세서(1210), 송수신부(1220) 및 메모리(1230)를 포함할 수 있다. 그러나, 예시된 구성요소들의 모두는 필수적이지 않다. UE(1200)는 도 12에서 예시된 구성요소들보다 더 많거나 또는 더 적은 구성요소들에 의해 구현될 수 있다. 추가적으로, 프로세서(1210)와 송수신부(1220) 및 메모리(1230)는 다른 실시예에 따라 단일 칩으로서 구현될 수 있다.
전술한 구성요소들은 이제 상세히 설명될 것이다.
프로세서(1210)는 제안된 기능, 프로세스, 및/또는 방법을 제어하는 하나 이상의 프로세서들 또는 다른 프로세싱 디바이스들을 포함할 수 있다. UE(1200)의 동작은 프로세서(1210)에 의해 구현될 수 있다.
송수신부(1220)는 프로세서(1210)에 연결되고 신호를 송신 및/또는 수신할 수 있다. 또한, 송수신부(1220)는 신호를 무선 채널을 통해 수신하고 그 신호를 프로세서(1210)에 출력할 수 있다. 송수신부(1220)는 프로세서(1210)로부터 출력된 신호를 무선 채널을 통해 송신할 수 있다.
메모리(1230)는 UE(1200)에 의해 획득된 신호에 포함된 제어 정보 또는 데이터를 저장할 수 있다. 메모리(1230)는 프로세서(1210)에 연결되고 제안된 기능, 프로세스, 및/또는 방법을 위한 적어도 하나의 명령 또는 프로토콜 또는 파라미터를 저장할 수 있다. 메모리(1230)는 ROM(read-only memory) 및/또는 RAM(random access memory) 및/또는 하드 디스크 및/또는 CD-ROM 및/또는 DVD 및/또는 다른 저장 디바이스들을 포함할 수 있다.
도 13은 본 개시의 실시예들에 따른 코어 네트워크 엔티티를 예시하는 도면이다.
코어 네트워크 엔티티(1300)는 위에서 설명된 바와 같은 네트워크 기능부(NF)에 해당할 수 있다.
도 13을 참조하면, 코어 네트워크 엔티티(1300)는 프로세서(1310), 송수신부(1320) 및 메모리(1330)를 포함할 수 있다. 그러나, 예시된 구성요소들의 모두는 필수적이지 않다. 코어 네트워크 엔티티(1300)는 도 13에서 예시된 구성요소들보다 더 많거나 또는 더 적은 구성요소들에 의해 구현될 수 있다. 추가적으로, 프로세서(1310)와 송수신부(1320) 및 메모리(1330)는 다른 실시예에 따라 단일 칩으로서 구현될 수 있다.
전술한 구성요소들은 이제 상세히 설명될 것이다.
송수신부(1320)는 네트워크에서 다른 디바이스들과의 통신을 수행하기 위한 인터페이스를 제공할 수 있다. 다시 말하면, 송수신부(1320)는 코어 네트워크 엔티티(1300)로부터 다른 디바이스들에 송신되는 비트스트림을 물리적 신호로 변환하고 다른 디바이스들로부터 수신되는 물리적 신호를 비트스트림으로 변환할 수 있다. 다시 말하면, 송수신부(1320)는 신호를 송신하고 수신할 수 있다. 송수신부(1320)는 모뎀, 송신기, 수신기, 통신 유닛 및 통신 모듈을 지칭할 수 있다. 송수신부(1320)는 코어 네트워크 엔티티(1300)가 다른 디바이스들 또는 시스템과 백홀 연결 또는 다른 연결 방법을 통해 통신하는 것을 가능하게 할 수 있다.
메모리(1330)는 기본 프로그램, 애플리케이션 프로그램, 코어 네트워크 엔티티(1300)의 동작에 대한 설정 정보를 저장할 수 있다. 메모리(1330)는 휘발성 메모리, 비휘발성 메모리 그리고 휘발성 메모리 및 비휘발성 메모리의 조합을 포함할 수 있다. 메모리(1330)는 프로세서(1310)로부터의 요청에 따라 데이터를 제공할 수 있다.
프로세서(1310)는 코어 네트워크 엔티티(1300)의 전체 동작들을 제어할 수 있다. 예를 들어, 프로세서(1310)는 송수신부(1320)를 통해 신호를 송신하고 수신할 수 있다. 프로세서(1310)는 적어도 하나의 프로세서를 포함할 수 있다. 프로세서(1310)는 본 개시의 실시예들에 따라 동작들을 수행하도록 코어 네트워크 엔티티(1300)를 제어할 수 있다.
이 개요는 본 개시의 상세한 설명에서 추가로 설명되는 단순화된 포맷으로 개념들의 선택을 도입하기 위해 제공된다. 이 개요는 본 개시의 핵심 또는 필수적인 발명적 개념들을 식별하도록 의도되지 않았고, 본 개시의 범위를 결정하기 위해 의도되지도 않았다.
본 발명의 주제는 사용자 장비(UE)에 대한 프라이머리 인증을 개시하는 방법을 언급한다. 그 방법은, 통합된 데이터 관리 기능부(UDM)에 의해, 인증의 일부로서 도출된 현존 자격이 더 이상 유효하지 않다는 지시를 포함하는 다른 네트워크 기능부(NF)로부터의 메시지를 수신하는 단계를 포함한다. 다른 NF는 다음 중 적어도 하나일 수 있다: 액세스 및 이동성 관리 기능부 (AMF), AKMA 앵커 기능부(AAnF), 인증 서버 기능부(AUSF), AF. UDM은 UE에 대한 프라이머리 인증 절차를 개시할 필요가 있다는 지시를 포함하는 다른 NF로의 메시지를 개시할 수 있다. 프라이머리 인증을 개시하기 위한 지시를 UDM에 의해 이렇게 개시하는 것은 수행될 인증이 즉시 요구되는지 또는 지연 후에 요구되는지의 지시를 결정하고 포함하는 것을 더 포함한다. 다른 NF로부터의 요청에 기초하여 수행될 인증이 즉시 요구되는지 또는 나중에 요구되는지가 UDM에 의해 결정된다. 게다가, 그 방법은 AMF에 의해, UE에 대한 프라이머리 인증 절차를 개시하라는 지시를 포함하는 NF 및/또는 UDM 중 하나로부터의 메시지를 수신하는 단계를 포함한다. AMF는 UE에 대한 프라이머리 인증 절차를 개시한다.
다른 실시예에서, 본 발명의 주제는 3GPP에서 AKMA(authentication and key management for applications) 서비스에 따른 동작의 방법을 예시한다. 그 방법은 가입자가 AKMA 가입을 갖는다는 결정에 기초하여 AUSF로의 UDM에 의한 지시를 포함하는 단계를 포함한다. AKMA 지시는, 프라이머리 인증 절차의 성공적으로 완료 후 KAUSF로부터 AKMA 키 ID를 생성하는 AUSF에 의해 UDM으로부터 수신된다. 애플리케이션 세션 확립은 프라이머리 인증 절차의 성공적인 완료 후 AF에 대해 UE에 의해 개시된다.
본 개시는, 기존에 생성한 애플리케이션 특정 키들이 무효하게 될 때, 네트워크 액세스 인증으로부터 도출된 키를 사용하여 애플리케이션 특정 키들을 생성하는 시스템 및 방법을 개시한다. 본 개시에서, 가입 데이터가 UDM과 함께 있기 때문에, 새로운 서비스 또는 AUSF에 의한 및/또는 AAnF에 의한 인가를 수행하기 위해 가입 데이터를 회수하기 위한 새로운 서비스는 AKMA 인가를 검증하기 위해 UDM에 의해 제공된다. 본 개시에서, AKMA ID는, UDM 인증 방법에 의해 지시될 때, AUSF에 의해 생성되고 발행되고 AKMA ID를 생성하고 UE에게 발행할 수 있다.
본 개시의 장점들 및 특징들을 더 명확하게 하기 위해, 본 개시의 더 구체적인 설명이 첨부된 도면들에서 예시되는 본 개시의 특정 실시예들을 참조하여 제공될 것이다. 이들 도면들은 본 개시의 전형적인 실시예들만을 묘사하고 그러므로 본 개시의 범위의 제한으로서 간주되지 않아야 한다는 것이 이해된다. 본 개시는 첨부 도면들과 함께 추가적인 구체성(specificity) 및 세부사항으로 기술되고 설명될 것이다.
본 개시의 일 실시예에 따르면, 사용자 장비(UE)에 대한 프라이머리 인증을 개시하는 방법이 제공된다. 그 방법은, 통합된 데이터 관리 기능부(UDM)에 의해, 인증의 일부로서 도출된 현존 자격이 더 이상 유효하지 않다는 지시를 포함하는 네트워크 기능부(NF)로부터의 지시를 수신하는 단계(302); UDM에 의해, UE에 대한 프라이머리 인증 절차를 개시할 필요가 있다는 지시를 포함하는 NF로의 메시지를 개시하는 단계(304); 액세스 및 이동성 관리 기능부(AMF)에 의해, UE에 대한 프라이머리 인증 절차를 개시하라는 지시를 포함하는 NF 및/또는 UDM 중 하나로부터의 메시지를 수신하는 단계(306); 및 AMF에 의해, UE에 대한 프라이머리 인증 절차를 개시하는 단계(308)를 포함할 수 있다.
일 실시예에서, NF는 AMF, AKMA 앵커 기능부(AAnF), 인증 서버 기능부(AUSF), 애플리케이션 기능부(AF) 중 적어도 하나이고 현존 자격은 a) 자격의 수명 만료; 및 b) 네트워크 문제들 및/또는 제약들로 인한 자격 손실 중 하나 이상으로 인해 NF에서 더 이상 유효하지 않다.
일 실시예에서, 프라이머리 인증을 개시하기 위한 지시를 UDM에 의해 개시하는 것은, i) 수행될 인증이 즉시 요구되는지 또는 지연 후에 요구되는지의 지시를 결정하고 포함시키는 것; 및 ii) NF로부터의 요청에 기초하여 수행될 인증 즉시 요구되는지 또는 나중에 요구되는지를 UDM에 의해 결정하는 것을 더 포함한다.
본 개시의 일 실시예에 따라, 3GPP에서 AKMA(authentication and key management for applications) 서비스에 따라 애플리케이션 특정 키들을 생성하는 방법이 제공된다. 그 방법은 애플리케이션 세션 확립 요청을 애플리케이션 기능부(AF)에 전송함으로써 사용자 장비(UE)에 의해 애플리케이션 세션 확립을 개시하는 단계(102)로서, 그 요청은 AKMA 키 Id, GPSI, 라우팅 ID 중 하나 이상을 포함하는, 상기 개시하는 단계; UE에 대한 애플리케이션 기능부 특정 AKMA 키들을 요청하는 키 식별자가 있는 요청을 AKAM 앵커 기능부(AAnF)에게 AF에 의해 전송하는 단계(104); AKMA 키 식별자에 의해 식별된 UE 특정 KAKMA 키의 가용성을 AAnF에 의해 체크하는 단계(106); AAnF에 의해, KAKMA가 AAnF에서 이용 가능하면 KAKMA로부터 AF 특정 AKMA 키(KAF)를 도출함으로써 KAF로 AF에 응답하는 단계(108); 만약 KAKMA가 AAnF에서 이용 가능하지 않거나 또는 AAnF에서 무효하거나 또는 KAKMA가 요청하는 AF에 대한 KAF 도출을 위해 이미 사용되고 있으면 UE에 특정한 KAKMA 키를 획득하기 위해 AAnF에 의해 인증 서버 기능부(AUSF)에 요청을 전송하는 단계(110)로서, AAnF에서부터 AUSF로의 상기 요청은 AKMA 키 식별자와 옵션적으로 SUPI를 포함하는, 상기 전송하는 단계; AUSF에 의해 UE에 대한 프라이머리 인증을 개시하기 위한 요청을 통합된 데이터 관리 기능부(UDM)에게 전송하고 UE의 SUPI를 UDM에 대한 요청에 포함시키는 단계(112); AUSF로부터 요청을 수신 시 재인증 절차를 개시하라고 UE에 서비스하는 AMF에게 UDM에 의해 요청하는 단계(114); AMF에 의해 UE와 인증 절차를 개시함으로써 KAUSF를 생성하는 단계(116); AUSF에 의해 KAUSF 에 기초하여 키 KAKMA를 도출하고 AF에 대한 특정 키 KAF를 결국 도출하기 위해 도출된 키 KAKMA를 AAnF에게 제공하는 단계(118); 및 AF에 의해 애플리케이션 세션 확립 응답을 UE에게 전송하는 단계(120)를 포함할 수 있다.
일 실시예에서, 애플리케이션 특정 키들은 네트워크 액세스 재인증으로부터 도출된 키를 사용하여 생성되고 AAnF에서의 유효한 KAKMA의 비가용성 또는 KAKMA의 무효성에 기초한다.
일 실시예에서, 그 방법은, KAUSF 키의 부트스트래핑이 요구됨을 AAnF에게 그리고 또한 UE에게 AUSF에 의해 지시하는 단계; 성공적인 인증 절차 후 UE가 세션 확립 요청을 재개할 필요가 있다는 것을 AUSF에 의해 추가로 지시하는 단계; UE에 대한 프라이머리 인증을 개시하기 위한 UMD로의 요청을 AUSF에 의해 전송하는 단계; UE와의 AMF 인증 절차에 의한 개시로부터 요청을 수신 시 재인증 절차를 개시할 것을 UE에 서비스하는 AMF에게 UDM에 의해 요청하는 단계; 새로운 AKMA 키 Id, GPSI, 라우팅 ID 중 하나 이상에 기초하여 성공적인 재인가 후 애플리케이션 세션 확립 요청을 AF에게 다시 전송함으로써 애플리케이션 세션 확립을 UE에 의해 개시하는 단계; AF가 키 식별자에 연관된 액티브 콘텍스트를 갖지 않으면 UE에 대한 애플리케이션 기능부 특정 키들을 요청하는 키 식별자가 있는 AAnF로의 요청을 AF에 의해 전송하는 단계; AKMA 키 식별자에 의해 식별되는 UE 특정 KAKMA 키가 있는 지를 AAnF에 의해 체크하는 단계; 키 식별자에 의해 식별된 KAKMA 키로 AUSF에 의해 응답하는 단계; KAKMA로부터의 AF 특정 키(KAF)를 AAnF에 의해 도출하고 KAF 및 수명으로 AF에 응답하는 단계를 더 포함할 수 있다.
일 실시예에서, 재인증 요청을 AUSF에 의해 전송하는 단계는, 재인증 절차를 개시하기 위한 요청을 UE에 서비스하는 AMF에게 AUSF에 의해 직접 전송하는 단계; 새로운 AKMA 키 Id, GPSI, 라우팅 ID 중 하나 이상에 기초하여 애플리케이션 세션 확립 요청을 AF에게 재전송함으로써 애플리케이션 세션 확립을 UE에 의해 개시하는 단계를 포함한다.
일 실시예에서, AAnF는 KAUSF 키의 부트스트래핑이 요구됨을 UE에게 지시하고 인증 절차 후 세션 확립 요청을 재개하며; NAS 절차에서의 지시를 포함함으로써 인증 절차를 개시할 것을 AMF에게 UE에 의해 요청하도록 구성되고; NAS 절차에서의 지시는 새로운 지시자, 키 세트 식별자 값을 111로서 설정하는 것 중 하나이다.
본 개시의 일 실시예에 따라, 3GPP에서의 AKMA(authentication and key management for applications) 서비스에 따라 동작하는 방법이 제공된다. 그 방법은 가입자가 AKMA 가입을 갖는다는 결정에 기초하여 인증 서버 기능부(AUSF)에게 통합된 데이터 관리 기능부(UDM)에 의한 지시를 수납하여 전송하는 단계; 프라이머리 인증 절차의 성공적인 완료 후 KAUSF로부터 AKMA 키 ID를 생성하는 AUSF에 의해, UDM으로부터 AKMA 지시를 수신하는 단계; 및 프라이머리 인증 절차의 성공적인 완료 후 애플리케이션 기능부(AF)에 대해 사용자 장비(UE)에 의해 애플리케이션 세션 확립을 개시하는 단계를 포함할 수 있다.
일 실시예에서, 그 방법은, AKMA 절차에 대한 지원을 지시하는 네트워크 기능부(NF)로의 능력 지시를 UE에 의해 전송하는 단계로서, 상기 지시는 무결성 보호되며 그리고/또는 암호화되는, 상기 전송하는 단계; UE가 AKMA 특징을 지원함을 나타내는 능력을 NF에 의해 수신하는 단계; NAS 절차 동안 NAS 메시지를 통해 또는 애플리케이션 계층을 통한 메시지에서 UE에게 AKMA 특징에 대한 지원을 나타내는 AKMA 능력을 NF에 의해 전송하는 단계; 및 메시지를 수신하는 것에 기초하여 AKMA 관련 절차를 UE에 의해 개시하는 단계를 더 포함할 수 있다.
일 실시예에서, AUSF는 AKMA 서비스에 액세스할 UE의 인가 체크; UE에 서비스할 AF의 인가 체크; 및 AKMA 서비스에 액세스할 AF의 인가 체크를 수행하도록 구성되며; 인가 체크는, UDM으로부터 수신된 정보; 및 AAnF로부터 수신된 요청 중 하나 이상을 사용하여 수행되며, UDM으로부터 수신된 정보는, UE의 서비스 프로파일 및/또는 가입 데이터 및/또는 허용된 GPSI(들)의 리스트 및/또는 UE에 서비스할 수 있는 AF(들)의 허용된 리스트 및/또는 네트워크로부터 AKMA 서비스를 사용할 수 있는 AF의 리스트 및/또는 UE가 5G에서 등록되는지의 여부를 포함한다.
일 실시예에서, AUSF는, AKMA 특징을 사용할 UE 및/또는 AF의 인가를 체크하기 위한 필요한 정보를 제공할 것을 UDM에게 요청하며; UE의 서비스 프로파일 및/또는 가입 데이터 및/또는 UE의 허용된 GPSI(들)의 리스트 및/또는 UE에 서비스할 수 있는 AF(들)의 허용된 리스트 및/또는 네트워크로부터의 AKMA 서비스를 사용하는 AF의 리스트 및/또는 UE가 AUSF에 대해 5G에서 등록되는지의 여부를 UDM으로부터 수신하며; UDM으로부터의 수신된 정보 및 AAnF로부터 수신된 요청에 기초하여 UE의 인가 체크를 AUSF에 의해 수행하며; 그리고 인가 체크의 실패의 경우, AAnF로부터의 요청을 AUSF에 의해 거부하고 에러 메시지를 AAnF에게 전송하고 AF를 통해 UE에게 포워딩하도록 구성된다.
일 실시예에서, UDM은 AKMA 서비스에 액세스할 UE의 인가 체크 및/또는 UE에 서비스할 AF의 인가 및/또는 AKMA 서비스에 액세스할 AF의 인가를 수행하도록 구성되며, 상기 UDM에 의한 인가 체크는, SUPI, GPSI, AF ID 중 하나 이상을 포함하는 입력 파라미터들을 수신함으로써 인가 체크를 수행하기 위한 요청을 AUSF로부터 수신하는 단계; 서비스 프로파일, UE의 가입 데이터, UE의 허용된 GPSI(들)의 리스트, UE에 서비스할 수 있는 AF(들)의 허용된 리스트 및 네트워크로부터의 AKMA 서비스를 사용하는 AF의 리스트 및/또는 UE가 5G에서 등록되는지의 여부에 기초하여, UE 및/또는 AF가 AKMA 특징을 사용하도록 인가되는지의 여부에 대한 인가 체크를 UDM에 의해 수행하는 단계; UDM에 의한 인가 체크 결과를 AUSF에게 제공하는 단계; 및 부정적인 인가 체크 결과의 경우, AUSF가 AF로부터의 요청을 거부하는 것을 가능하게 하고 AUSF가 적절한 에러 메시지를 AAnF에 전송하고 그 후 AF를 통해 UE에게 전송하도록 허용하는 단계를 포함한다.
일 실시예에서, AAnF는 AKMA 서비스에 액세스할 UE의 인가 체크 및/또는 UE에 서비스할 AF의 인가 및/또는 AKMA 서비스에 액세스할 AF의 인가를 수행하도록 구성되며, 상기 UDM에 의한 인가 체크는, AKMA를 사용할 UE 및/또는 AF의 인가를 체크하기 위한 필요한 정보를 AAnF에 의해 UDM에게 요청하는 단계; UE의 서비스 프로파일 및/또는 가입 데이터 및/또는 UE의 허용된 GPSI(들)의 리스트 및/또는 UE에 서비스할 수 있는 AF(들)의 허용된 리스트 및/또는 네트워크로부터의 AKMA 서비스를 사용할 수 있는 AF의 리스트 및/또는 UE가 AAnF에 대해 5GS에서 등록되는지의 여부를 UDM으로부터 수신하는 단계; UDM으로부터의 수신된 정보에 기초하여 UE의 인가 체크를 AAnF에 의해 수행하는 단계; 부정적인 인가 체크 결과의 경우, AAnF에 의해 AF로부터의 요청을 거부하고 에러 메시지를 AF를 통해 UE에게 전송하는 단계를 포함한다.
일 실시예에서, UDM은 AKMA 서비스에 액세스할 UE의 인가 체크를 수행하도록 구성되며, 상기 UDM에 의한 인가 체크는, SUPI, GPSI, AF ID를 포함하는 입력 파라미터들을 수신함으로써 인가 체크를 수행하기 위한 요청을 AAnF로부터 수신하는 단계; 서비스 프로파일, UE의 가입 데이터, UE의 허용된 GPSI(들)의 리스트, UE에 서비스하는 AF(들)의 허용된 리스트 및 AKMA 서비스를 사용하는 AF의 리스트 및/또는 UE가 네트워크로부터 5GS에서 등록되는지의 여부 중 적어도 하나에 기초하여 인가 체크를 수행하는 단계; UDM에 의한 인가 체크 결과를 AAnF에게 제공하는 단계; 부정적인 인가 체크 결과의 경우, AAnF가 AF로부터의 요청을 거부하는 것을 가능하게 하고 AAnF가 적절한 에러 메시지를 AF를 통해 UE에게 전송하는 것을 허용하는 단계를 포함한다.
본 개시의 일 실시예에 따라, 사용자 장비(UE)에 대한 프라이머리 인증을 개시하는 시스템이 제공된다. 그 시스템은, 통합된 데이터 관리 기능부(UDM)에 의해, 인증의 일부로서 도출된 현존 자격이 더 이상 유효하지 않다는 지시를 포함하는 네트워크 기능부(NF)로부터의 지시를 수신하는 것(302); UDM에 의해, UE에 대한 프라이머리 인증 절차를 개시할 필요가 있다는 지시를 포함하는 다른 NF로의 메시지를 개시하는 것(304); 액세스 및 이동성 관리 기능부(AMF)에 의해, UE에 대한 프라이머리 인증 절차를 개시하라는 지시를 포함하는 NF 및/또는 UDM 중 하나로부터의 메시지를 수신하는 것(306); 및 AMF에 의해, UE에 대한 프라이머리 인증 절차를 개시하는 것(308)을 포함하도록 구성되는 하나 이상의 네트워킹 노드들을 포함할 수 있다.
일 실시예에서, NF는 AMF, AKMA 앵커 기능부(AAnF), 인증 서버 기능부(AUSF), 애플리케이션 기능부(AF) 중 적어도 하나이고 현존 자격은 a) 자격의 수명 만료; 및 b) 네트워크 문제들 및/또는 제약들로 인한 자격 손실 중 하나 이상으로 인해 NF에서 더 이상 유효하지 않다.
일 실시예에서, 프라이머리 인증을 개시하기 위한 지시를 UDM에 의해 개시하는 것은, i) 수행될 인증이 즉시 요구되는지 또는 지연 후에 요구되는지의 지시를 결정하고 포함시키는 것; 및 ii) 다른 NF로부터의 요청에 기초하여 수행될 인증 즉시 요구되는지 또는 나중에 요구되는지를 UDM에 의해 결정하는 것을 더 포함한다.
본 개시의 일 실시예에 따라, 3GPP에서 AKMA(authentication and key management for applications) 서비스에 따라 애플리케이션 특정 키들을 생성하는 시스템이 제공된다. 그 방법은 애플리케이션 세션 확립 요청을 애플리케이션 기능부(AF)에 전송함으로써 사용자 장비(UE)에 의해 애플리케이션 세션 확립을 개시하는 단계(102)로서, 그 요청은 AKMA 키 Id, GPSI, 라우팅 ID 중 하나 이상을 포함하는, 상기 개시하는 단계; UE에 대한 애플리케이션 기능부 특정 AKMA 키들을 요청하는 키 식별자가 있는 요청을 AKMA 앵커 기능부(AAnF)에게 AF에 의해 전송하는 단계(104); AKMA 키 식별자에 의해 식별된 UE 특정 KAKMA 키의 가용성을 AAnF에 의해 체크하는 단계(106); AAnF에 의해, KAKMA가 AAnF에서 이용 가능하면 KAKMA로부터 AF 특정 AKMA 키(KAF)를 도출함으로써 KAF로 애플리케이션 기능부(AF)에 응답하는 단계(108); 만약 KAKMA가 AAnF에서 이용 가능하지 않거나 또는 AAnF에서 무효하거나 또는 KAKMA가 요청하는 AF에 대한 KAF 도출을 위해 이미 사용되고 있으면 UE에 특정한 KAKMA 키를 획득하기 위해 AAnF에 의해 인증 서버 기능부(AUSF)에 요청을 전송하는 단계(110)로서, AAnF에서부터 AUSF로의 상기 요청은 AKMA 키 식별자와 옵션적으로 SUPI를 포함하는, 상기 전송하는 단계; AUSF에 의해 UE에 대한 프라이머리 인증을 개시하기 위한 요청을 통합된 데이터 관리 기능부(UDM)에게 전송하고 UE의 SUPI를 UDM에 대한 요청에 포함시키는 단계(112); AUSF로부터 요청을 수신 시 재인증 절차를 개시하라고 UE에 서비스하는 액세스 및 이동성 관리 기능부(AMF)에게 UDM에 의해 요청하는 단계(114); AMF에 의해 UE와 인증 절차를 개시함으로써 KAUSF를 생성하는 단계(116); AUSF에 의해 KAUSF 에 기초하여 키 KAKMA를 도출하고 AF에 대한 특정 키 KAF를 결국 도출하기 위해 도출된 키 KAKMA를 AAnF에게 제공하는 단계(118); 및 AF에 의해 애플리케이션 세션 확립 응답을 UE에게 전송하는 단계(120)를 포함할 수 있다.
일 실시예에서, 애플리케이션 특정 키들은 네트워크 액세스 재인증으로부터 도출된 키를 사용하여 생성되고 AAnF에서의 유효한 KAKMA의 비가용성 또는 KAKMA의 무효성에 기초한다.
일 실시예에서, 그 방법은, KAUSF 키의 부트스트래핑이 요구됨을 AAnF에게 그리고 또한 UE에게 AUSF에 의해 지시하는 단계; 성공적인 인증 절차 후 UE가 세션 확립 요청을 재개할 필요가 있다는 것을 AUSF에 의해 추가로 지시하는 단계; UE에 대한 프라이머리 인증을 개시하기 위한 UMD로의 요청을 AUSF에 의해 전송하는 단계; UE와의 AMF 인증 절차에 의한 개시로부터 요청을 수신 시 재인증 절차를 개시할 것을 UE에 서비스하는 AMF에게 UDM에 의해 요청하는 단계; 새로운 AKMA 키 Id, GPSI, 라우팅 ID 중 하나 이상에 기초하여 성공적인 재인가 후 애플리케이션 세션 확립 요청을 AF에게 다시 전송함으로써 애플리케이션 세션 확립을 UE에 의해 개시하는 단계; AF가 키 식별자에 연관된 액티브 콘텍스트를 갖지 않으면 UE에 대한 애플리케이션 기능부 특정 키들을 요청하는 키 식별자가 있는 AAnF로의 요청을 AF에 의해 전송하는 단계; AKMA 키 식별자에 의해 식별되는 UE 특정 KAKMA 키가 있는 지를 AAnF에 의해 체크하는 단계; 키 식별자에 의해 식별된 KAKMA 키로 AUSF에 의해 응답하는 단계; 및 KAKMA로부터의 AF 특정 키(KAF)를 AAnF에 의해 도출하고 KAF 및 수명으로 AF에 응답하는 단계를 더 포함할 수 있다.
일 실시예에서, 재인증 요청을 AUSF에 의해 전송하는 단계는, 재인증 절차를 개시하기 위한 요청을 UE에 서비스하는 AMF에게 AUSF에 의해 직접 전송하는 단계; 및 새로운 AKMA 키 Id, GPSI, 라우팅 ID 중 하나 이상에 기초하여 애플리케이션 세션 확립 요청을 AF에게 재전송함으로써 애플리케이션 세션 확립을 UE에 의해 개시하는 단계를 포함한다.
일 실시예에서, AAnF는 KAUSF 키의 부트스트래핑이 요구됨을 UE에게 지시하고 인증 절차 후 세션 확립 요청을 재개하며; NAS 절차에서의 지시를 포함함으로써 인증 절차를 개시할 것을 AMF에게 UE에 의해 요청하도록 구성되고; NAS 절차에서의 지시는 새로운 지시자, 키 세트 식별자 값을 111로서 설정하는 것 중 하나이다.
본 개시의 일 실시예에 따라, 3GPP에서 AKMA(authentication and key management for applications) 서비스를 렌더링하는 시스템은, 가입자가 AKMA 가입을 갖는다는 결정에 기초하여 인증 서버 기능부(AUSF)에 대한 통합된 데이터 관리 기능부(UDM)에 의한 지시를 포함하는 것; 프라이머리 인증 절차의 성공적인 완료 후 KAUSF로부터 AKMA 키 ID를 생성하는 AUSF에 의해, UDM으로부터 AKMA 지시를 수신하는 것; 및 프라이머리 인증 절차의 성공적인 완료 후 애플리케이션 기능부(AF)에 대해 사용자 장비(UE)에 의해 애플리케이션 세션 확립을 개시하는 것을 하도록 구성되는 복수의 네트워킹 노드들을 포함할 수 있다.
일 실시예에서, 그 방법은, AKMA 절차에 대한 지원을 지시하는 네트워크 기능부(NF)로의 능력 지시를 UE에 의해 전송하는 단계로서, 상기 지시는 무결성 보호되며 그리고/또는 암호화되는, 상기 전송하는 단계; UE가 AKMA 특징을 지원함을 나타내는 능력을 NF에 의해 수신하는 단계; NAS 절차 동안 NAS 메시지를 통해 또는 애플리케이션 계층을 통한 메시지에서 UE에게 AKMA 특징에 대한 지원을 나타내는 AKMA 능력을 NF에 의해 전송하는 단계; 및 메시지를 수신하는 것에 기초하여 AKMA 관련 절차를 UE에 의해 개시하는 단계를 더 포함할 수 있다.
일 실시예에서, AUSF는 AKMA 서비스에 액세스하기 위한 UE의 인가 체크; UE에 서비스하기 위한 AF의 인가 체크; 및 AKMA 서비스에 액세스하기 위한AF의 인가 체크를 수행하도록 구성되며, 인가 체크는, UDM로부터 수신된 정보; 및 AAnF로부터 수신된 요청 중 하나 이상을 사용하여 수행되며, UDM로부터 수신된 정보는, UE의 서비스 프로파일 및/또는 가입 데이터 및/또는 허용된 GPSI(들)의 리스트 및/또는 UE에 서비스할 수 있는 AF(들)의 허용된 리스트 및/또는 네트워크로부터 AKMA 서비스를 사용할 수 있는 AF의 리스트 및/또는 UE가 5G에서 등록되는지의 여부를 포함한다.
일 실시예에서, AUSF는, AKMA 특징을 사용할 UE 및/또는 AF의 인가를 체크하기 위한 필요한 정보를 제공할 것을 UDM에게 요청하며; UE의 서비스 프로파일 및/또는 가입 데이터 및/또는 UE의 허용된 GPSI(들)의 리스트 및/또는 UE에 서비스할 수 있는 AF(들)의 허용된 리스트 및/또는 네트워크로부터의 AKMA 서비스를 사용하는 AF의 리스트 및/또는 UE가 AUSF에 대해 5G에서 등록되는지의 여부를 UDM으로부터 수신하며; UDM으로부터의 수신된 정보 및 AAnF로부터 수신된 요청에 기초하여 UE의 인가 체크를 AUSF에 의해 수행하며; 인가 체크의 실패의 경우, AAnF로부터의 요청을 AUSF에 의해 거부하고 에러 메시지를 AAnF에게 전송하고 AF를 통해 UE에게 포워딩하며; 설정된 로컬 정책에 기초하여 AAnF에 의한 AF 인가 체크(AF가 AKMA 서비스를 획득하도록 허용되는지의 여부)를 수행하며; 그리고 NEF에 의해(예를 들어, 액세스 토큰을 사용하여) 제공되는 인가 정보/정책에 기초하여 AAnF에 의해 AF 인가 체크를 수행하도록 구성된다.
일 실시예에서, UDM은 AKMA 서비스에 액세스할 UE의 인가 체크 및/또는 UE에 서비스할 AF의 인가 및/또는 AKMA 서비스에 액세스할 AF의 인가를 수행하도록 구성되며, 상기 UDM에 의한 인가 체크는, SUPI, GPSI, AF ID 중 하나 이상을 포함하는 입력 파라미터들을 수신함으로써 인가 체크를 수행하기 위한 요청을 AUSF로부터 수신하는 단계; 서비스 프로파일, UE의 가입 데이터, UE의 허용된 GPSI(들)의 리스트, UE에 서비스할 수 있는 AF(들)의 허용된 리스트 및 네트워크로부터의 AKMA 서비스를 사용하는 AF의 리스트 및/또는 UE가 5G에서 등록되는지의 여부에 기초하여, UE 및/또는 AF가 AKMA 특징을 사용하도록 인가되는지의 여부에 대한 인가 체크를 UDM에 의해 수행하는 단계; UDM에 의한 인가 체크 결과를 AUSF에게 제공하는 단계; 및 부정적인 인가 체크 결과의 경우, AUSF가 AF로부터의 요청을 거부하는 것을 가능하게 하고 AUSF가 적절한 에러 메시지를 AAnF에 전송하고 그 후 AF를 통해 UE에게 전송하도록 허용하는 단계를 포함한다.
일 실시예에서, AAnF는 AKMA 서비스에 액세스할 UE의 인가 체크 및/또는 UE에 서비스할 AF의 인가 및/또는 AKMA 서비스에 액세스할 AF의 인가를 수행하도록 구성되며, 상기 UDM에 의한 인가 체크는, AKMA를 사용할 UE 및/또는 AF의 인가를 체크하기 위한 필요한 정보를 AAnF에 의해 UDM에게 요청하는 단계; UE의 서비스 프로파일 및/또는 가입 데이터 및/또는 UE의 허용된 GPSI(들)의 리스트 및/또는 UE에 서비스할 수 있는 AF(들)의 허용된 리스트 및/또는 네트워크로부터의 AKMA 서비스를 사용할 수 있는 AF의 리스트 및/또는 UE가 AAnF에 대해 5GS에서 등록되는지의 여부를 UDM으로부터 수신하는 단계; UDM으로부터의 수신된 정보에 기초하여 UE의 인가 체크를 AAnF에 의해 수행하는 단계; 및 부정적인 인가 체크 결과의 경우, AAnF에 의해 AF로부터의 요청을 거부하고 에러 메시지를 AF를 통해 UE에게 전송하는 단계를 포함한다.
일 실시예에서, UDM은 AKMA 서비스에 액세스할 UE의 인가 체크를 수행하도록 구성되며, 상기 UDM에 의한 인가 체크는, SUPI, GPSI, AF ID를 포함하는 입력 파라미터들을 수신함으로써 인가 체크를 수행하기 위한 요청을 AAnF로부터 수신하는 단계; 서비스 프로파일, UE의 가입 데이터, UE의 허용된 GPSI(들)의 리스트, UE에 서비스하는 AF(들)의 허용된 리스트 및 AKMA 서비스를 사용하는 AF의 리스트 및/또는 UE가 네트워크로부터 5GS에서 등록되는지의 여부 중 적어도 하나에 기초하여 인가 체크를 수행하는 단계; UDM에 의한 인가 체크 결과를 AAnF에게 제공하는 단계; 및 부정적인 인가 체크 결과의 경우, AAnF가 AF로부터의 요청을 거부하는 것을 가능하게 하고 AAnF가 적절한 에러 메시지를 AF를 통해 UE에게 전송하는 것을 허용하는 단계를 포함한다.
본 개시의 일 실시예에 따라, 무선 통신 시스템에서 인증 서버 기능부(AUSF)에 의해 수행되는 방법이 제공된다. 그 방법은, UDM(unified data management)에게, 사용자 장비(UE)에 연관되는 인증 정보를 요청하는 메시지를 송신하는 단계; 송신된 메시지에 응답하여, UDM으로부터, AKMA 앵커 키들이 UE에 대해 생성될 필요가 있음을 지시하는 AKMA(authentication and key management for applications) 지시를 수신하는 단계; 및 수신된 AKMA 지시에 기초하여, UE에 대한 AKMA 키 식별자(A-KID)를 포함하는 UE의 AKMA 키 재료를 생성하는 단계를 포함할 수 있으며, AKMA 지시는 UDM에 저장되는 AKMA 가입 데이터가 UE가 AKMA를 사용하도록 허용됨을 지시하는 경우에 UDM으로부터 수신된다.
본 개시의 일 실시예에 따라, 무선 통신 시스템에서 AAnF(AKMA anchor function)에 의해 수행되는 방법이 제공된다. 그 방법은, AF(application function)로부터, 사용자 장비(UE)에 대한 AKMA(authentication and key management for applications) 애플리케이션 키를 요청하는 메시지를 수신하는 단계; 로컬 정책에 기초하여 상기 AAnF가 AKMA 서비스를 상기 AF에 제공할지의 여부를 체크하는 단계; 및 상기 체크하는 단계의 결과에 기초하여, UE에 대한 요청된 AKMA 애플리케이션 키를 도출할지의 여부를 결정하는 단계를 포함할 수 있다.
일 실시예에서, AF는 내부 AF를 포함한다.
일 실시예에서, 내부 AF는 AAnF와 직접 통신한다.
일 실시예에서, UE에 대해 요청된 AKMA 애플리케이션 키를 도출할지의 여부의 결정하는 단계는, 체크가 성공한 경우, 상기 UE에 대한 상기 요청된 AKMA 애플리케이션 키를 도출하는 단계를 포함한다.
일 실시예에서, UE에 대해 요청된 AKMA 애플리케이션 키를 도출할지의 여부의 결정하는 단계는, 체크가 실패한 경우, UE에 대한 AKMA 애플리케이션 키에 대해 수신된 메시지를 거부하는 단계를 포함한다.
본 개시의 일 실시예에 따라, 무선 통신 시스템에서 인증 서버 기능부(AUSF)에 의해 수행되는 방법이 제공된다. 그 방법은, AAnF(AKMA anchor function)로부터, 만료된 AKMA 애플리케이션 키를 재-키잉하기 위한 AKMA(authentication and key management for applications) 앵커 키를 생성할 것을 AUSF에게 요청하는 메시지를 수신하는 단계; 수신된 메시지에 기초하여, 프라이머리 인증 절차를 개시할 것을 액세스 및 이동성 관리 기능부(AMF)에게 요청하는 단계; 및 프라이머리 인증 절차로부터 취득된 AUSF에 대한 키에 기초하여 AKMA 애플리케이션 키를 생성하는 단계를 포함할 수 있다.
일 실시예에서, 메시지의 수신하는 단계는, 만료된 AKMA 애플리케이션 키의 재-키잉이 애플리케이션 기능부(AF)에 의해 트리거되는 경우, AAnF로부터, 만료된 AKMA 애플리케이션 키를 재-키잉하기 위한 AKMA 앵커 키를 생성할 것을 AUSF에게 요청하는 메시지를 수신하는 단계를 포함한다.
일 실시예에서, 메시지의 수신하는 단계는, AAnF에 저장되는 제1 AKMA 앵커 키가 만료된 AKMA 애플리케이션 키를 생성하는데 사용되는 제2 AKMA 앵커 키와 동일한 경우, AAnF로부터, 만료된 AKMA 애플리케이션 키를 재-키잉하기 위한 AKMA 앵커 키를 생성할 것을 AUSF에게 요청하는 메시지를 수신하는 단계를 포함한다.
본 개시의 일 실시예에 따라, 무선 통신 시스템에서 사용자 장비(UE)에 의해 수행되는 방법이 제공된다. 그 방법은, 애플리케이션 기능부(AF)에 액세스하기 위한 요청이 AKMA(authentication and key management for applications) 애플리케이션 키의 수명 만료로 인해 거부되는 경우, 액세스 및 이동성 관리 기능부(AMF)에게, 프라이머리 인증 절차를 트리거하라는 지시가 있는 메시지를 송신하는 단계; 및 프라이머리 인증 절차의 완료 후, AF에 대한 액세스를 요청하는 단계를 포함할 수 있다.
일 실시예에서, AKMA 애플리케이션 키는 프라이머리 인증 절차에 기초하여 재-키잉된다.
일 실시예에서, AKMA 애플리케이션 키의 재-키잉은 AF에 의해 트리거된다.
본 개시의 일 실시예에 따라, 무선 통신 시스템에서 UDM(unified data management)에 의해 수행되는 방법이 제공된다. 그 방법은 인증 서버 기능부(AUSF)로부터, 사용자 장비(UE)에 연관되는 인증 정보를 요청하는 메시지를 수신하는 단계; 및 수신된 메시지에 응답하여, AUSF에게, AKMA 앵커 키들이 UE에 대해 생성될 필요가 있음을 지시하는 AKMA(authentication and key management for applications) 지시를 송신하는 단계를 포함할 수 있으며, UE에 대한 AKMA 키 식별자(A-KID)를 포함하는 UE의 AKMA 키 재료는 송신된 AKMA 지시에 기초하여 생성되고, AKMA 지시는 UDM에 저장되는 AKMA 가입 데이터가 UE가 AKMA를 사용하도록 허용됨을 지시하는 경우에 AUSF에 송신된다.
본 개시의 일 실시예에 따라, 무선 통신 시스템에서의 인증 서버 기능부(AUSF)가 제공된다. AUSF는, 송수신부; 및 적어도 하나의 프로세서를 포함할 수 있으며, 상기 프로세서는, UDM(unified data management)에게, 사용자 장비(UE)에 연관되는 인증 정보를 요청하는 메시지를 송신하며; 송신된 메시지에 응답하여, UDM으로부터 송수신부를 통해, AKMA 앵커 키들이 UE에 대해 생성될 필요가 있음을 지시하는 AKMA(authentication and key management for applications) 지시를 수신하며; 그리고 수신된 AKMA 지시에 기초하여, UE에 대한 AKMA 키 식별자(A-KID)를 포함하는 UE의 AKMA 키 재료를 생성하도록 구성되며, AKMA 지시는 UDM에 저장되는 AKMA 가입 데이터가 UE가 AKMA를 사용하도록 허용됨을 지시하는 경우에 UDM으로부터 수신된다.
본 개시의 일 실시예에 따라, 무선 통신 시스템에서의 AKMA 앵커 기능부(AAnF)가 제공된다. AAnF는 송수신부; 및 적어도 하나의 프로세서를 포함할 수 있으며, 상기 프로세서는, 애플리케이션 기능부(AF)로부터 송수신부를 통해, 사용자 장비(UE)에 대한 AKMA(authentication and key management for applications) 애플리케이션 키를 요청하는 메시지를 수신하며; 로컬 정책에 기초하여 AAnF가 AKMA 서비스를 AF에게 제공하는지의 여부를 체크하며; 그리고 상기 체크하는 단계의 결과에 기초하여, UE에 대해 요청된 AKMA 애플리케이션 키를 도출할지의 여부를 결정하도록 구성된다.
일 실시예에서, AF는 내부 AF를 포함한다.
일 실시예에서, 내부 AF는 AAnF와 직접 통신한다.
일 실시예에서, 적어도 하나의 프로세서는 추가로, 체크가 성공한 경우, UE에 대한 요청된 AKMA 애플리케이션 키를 도출하도록 구성된다.
일 실시예에서, 적어도 하나의 프로세서는 추가로, 체크가 실패한 경우, UE에 대한 AKMA 애플리케이션 키에 대해 수신된 메시지를 거부하도록 구성된다.
본 개시의 일 실시예에 따라, 무선 통신 시스템에서의 인증 서버 기능부(AUSF)가 제공된다. AUSF는 송수신부; 및 적어도 하나의 프로세서를 포함할 수 있으며, 상기 프로세서는, AAnF(AKMA anchor function)로부터 송수신부를 통해, 만료된 AKMA 애플리케이션 키를 재-키잉하기 위한 AKMA(authentication and key management for applications) 앵커 키를 생성할 것을 AUSF에게 요청하는 메시지를 수신하며; 수신된 메시지에 기초하여, 송수신부를 통해, 프라이머리 인증 절차를 개시할 것을 액세스 및 이동성 관리 기능부(AMF)에게 요청하며; 그리고 프라이머리 인증 절차로부터 취득된 AUSF에 대한 키에 기초하여 AKMA 애플리케이션 키를 생성하도록 구성된다.
일 실시예에서, 적어도 하나의 프로세서는, 만료된 AKMA 애플리케이션 키의 재-키잉이 애플리케이션 기능부(AF)에 의해 트리거되는 경우, AAnF로부터 송수신부를 통해, 만료된 AKMA 애플리케이션 키를 재-키잉하기 위한 AKMA 앵커 키를 생성할 것을 AUSF에게 요청하는 메시지를 수신하도록 구성된다.
일 실시예에서, 적어도 하나의 프로세서는, AAnF에 저장되는 제1 AKMA 앵커 키가 만료된 AKMA 애플리케이션 키를 생성하는데 사용되는 제2 AKMA 앵커 키와 동일한 경우, AAnF로부터 송수신부를 통해, 만료된 AKMA 애플리케이션 키를 재-키잉하기 위한 AKMA 앵커 키를 생성할 것을 AUSF에게 요청하는 메시지를 수신하도록 구성된다.
본 개시의 일 실시예에 따라, 무선 통신 시스템에서의 사용자 장비(UE)가 제공된다. UE는 송수신부; 및 적어도 하나의 프로세서를 포함할 수 있으며, 상기 프로세서는, 애플리케이션 기능부(AF)에 액세스하기 위한 요청이 AKMA(authentication and key management for applications) 애플리케이션 키의 수명 만료로 인해 거부되는 경우, 액세스 및 이동성 관리 기능부(AMF)에게, 프라이머리 인증 절차를 트리거하라는 지시가 있는 메시지를 송신하며; 그리고 프라이머리 인증 절차의 완료 후, 송수신부를 통해 AF에 대한 액세스를 요청하도록 구성된다.
일 실시예에서, AKMA 애플리케이션 키는 프라이머리 인증 절차에 기초하여 재-키잉된다.
일 실시예에서, AKMA 애플리케이션 키의 재-키잉은 AF에 의해 트리거된다.
본 개시의 일 실시예에 따라, 무선 통신 시스템에서의 UDM(unified data management)이 제공된다. UDM은 송수신부; 및 적어도 하나의 프로세서를 포함할 수 있으며, 상기 프로세서는, 인증 서버 기능부(AUSF)로부터 송수신부를 통해, 사용자 장비(UE)에 연관되는 인증 정보를 요청하는 메시지를 수신하며; 그리고 수신된 메시지에 응답하여, 송수신부를 통해 AUSF에게, AKMA 앵커 키들이 UE에 대해 생성될 필요가 있음을 지시하는 AKMA(authentication and key management for applications) 지시를 송신하도록 구성되며, UE에 대한 AKMA 키 식별자(A-KID)를 포함하는 UE의 AKMA 키 재료는 송신된 AKMA 지시에 기초하여 생성되고, AKMA 지시는 UDM에 저장되는 AKMA 가입 데이터가 UE가 AKMA를 사용하도록 허용됨을 지시하는 경우에 AUSF에 송신된다.
본 개시의 일 실시예에 따라, 무선 통신 시스템에서 인증 서버 기능부(AUSF)에 의해 수행되는 방법이 제공된다. 그 방법은, AAnF(AKMA anchor function)로부터, AKMA 애플리케이션 키에 대한 AKMA(authentication and key management for applications) 앵커 키를 생성할 것을 AUSF에게 요청하는 메시지를 수신하는 단계; 수신된 메시지에 기초하여, 프라이머리 인증 절차를 개시할 것을 액세스 및 이동성 관리 기능부(AMF)에게 요청하는 단계; 및 프라이머리 인증 절차로부터 취득된 AUSF에 대한 키에 기초하여 AKMA 애플리케이션 키를 생성하는 단계를 포함할 수 있다.
일 실시예에서, 요청하는 단계는, UDM(unified data management function)을 통해, 프라이머리 인증 절차를 개시할 것을 AMF에게 요청하는 단계를 포함한다.
본 개시의 일 실시예에 따르면, 무선 통신 시스템에서 사용자 장비(UE)에 의해 수행되는 방법이 제공된다. 그 방법은, 애플리케이션 기능부(AF)에 액세스하기 위한 요청이 거부되는 경우, 액세스 및 이동성 관리 기능부(AMF)에게, 프라이머리 인증 절차를 트리거하라는 지시가 있는 메시지를 송신하는 단계; 및 프라이머리 인증 절차의 완료 후, AF에 대한 액세스를 요청하는 단계를 포함할 수 있다.
일 실시예에서, AKMA 애플리케이션 키는 프라이머리 인증 절차에 기초하여 생성된다.
본 개시의 일 실시예에 따르면, 사용자 장비(UE)에 대한 프라이머리 인증을 개시하는 방법이 제공된다. 그 방법은, 통합된 데이터 관리 기능부(UDM)에 의해, 인증의 일부로서 도출된 현존 자격이 더 이상 유효하지 않다는 지시를 포함하는 네트워크 기능부(NF)로부터의 지시를 수신하는 단계(302); UDM에 의해, UE에 대한 프라이머리 인증 절차를 개시할 필요가 있다는 지시를 포함하는 NF로의 메시지를 개시하는 단계(304); 액세스 및 이동성 관리 기능부(AMF)에 의해, UE에 대한 프라이머리 인증 절차를 개시하라는 지시를 포함하는 NF 및/또는 UDM 중 하나로부터의 메시지를 수신하는 단계(306); 및 AMF에 의해, UE에 대한 프라이머리 인증 절차를 개시하는 단계(308)를 포함할 수 있다.
일 실시예에서, NF는 AMF, AKMA 앵커 기능부(AAnF), 인증 서버 기능부(AUSF), 애플리케이션 기능부(AF) 중 적어도 하나이고 현존 자격은 a) 자격의 수명 만료; 및 b) 네트워크 문제들 및/또는 제약들로 인한 자격 손실 중 하나 이상으로 인해 NF에서 더 이상 유효하지 않다.
일 실시예에서, 프라이머리 인증을 개시하기 위한 지시를 UDM에 의해 개시하는 것은, i) 수행될 인증이 즉시 요구되는지 또는 지연 후에 요구되는지의 지시를 결정하고 포함시키는 것; 및 ii) NF로부터의 요청에 기초하여 수행될 인증 즉시 요구되는지 또는 나중에 요구되는지를 UDM에 의해 결정하는 것을 더 포함한다.
특정 언어표현이 본원의 주제를 설명하는데 사용되었지만, 그것 때문에 발생하는 임의의 제한들은 의도되지 않는다. 본 기술의 통상의 기술자에게 명백할 바와 같이, 본 개시에서 교시되는 바와 같은 발명적 개념을 구현하기 위하여 본 방법에 대해 다양한 작업 수정들이 이루어질 수 있다. 도면들 및 앞서의 설명은 실시예들의 예들을 제공한다. 본 기술분야의 통상의 기술자들은 설명된 엘리먼트들의 하나 이상이 단일 기능 엘리먼트로 잘 결합될 수 있다는 것을 이해할 것이다. 대안적으로, 특정한 엘리먼트들이 다수의 기능성 엘리먼트들로 분할될 수 있다. 하나의 실시예로부터의 엘리먼트들이 다른 실시형태에 추가될 수 있다.

Claims (11)

  1. 무선 통신 시스템에서 인증 서버 기능부(authentication server function: AUSF)에 의해 수행되는 방법에 있어서,
    UDM(unified data management)에게, 사용자 장비(user equipment: UE)에 연관되는 인증 정보를 요청하는 메시지를 송신하는 단계;
    상기 송신된 메시지에 응답하여, 상기 UDM으로부터, AKMA(authentication and key management for applications) 앵커 키들이 상기 UE에 대해 생성될 필요가 있음을 지시하는 AKMA 지시를 수신하는 단계; 및
    상기 수신된 AKMA 지시에 기초하여, 상기 UE에 대한 AKMA 키 식별자(A-KID)를 포함하는 상기 UE의 AKMA 키 재료(material)를 생성하는 단계를 포함하며,
    상기 AKMA 지시는 상기 UDM에 저장되는 AKMA 가입 데이터가 상기 UE가 AKMA를 사용하도록 허용됨을 지시하는 경우에 상기 UDM으로부터 수신되는, 방법.
  2. 무선 통신 시스템에서 AAnF(AKMA anchor function)에 의해 수행되는 방법에 있어서,:
    AF(application function)로부터, 사용자 장비(UE)에 대한 AKMA(authentication and key management for applications) 애플리케이션 키를 요청하는 메시지를 수신하는 단계;
    로컬 정책에 기초하여 상기 AAnF가 AKMA 서비스를 상기 AF에 제공할지의 여부를 체크하는 단계; 및
    상기 체크하는 단계의 결과에 기초하여, 상기 UE에 대한 요청된 AKMA 애플리케이션 키를 도출할지의 여부를 결정하는 단계를 포함하는, 방법.
  3. 제2항에 있어서, 상기 AF는 상기 AAnF와 직접 통신하는 내부 AF를 포함하는, 방법.
  4. 제2항에 있어서, 상기 UE에 대해 요청된 AKMA 애플리케이션 키를 도출할지의 여부의 상기 결정하는 단계는,
    상기 체크가 성공한 경우, 상기 UE에 대한 상기 요청된 AKMA 애플리케이션 키를 도출하는 단계를 포함하는, 방법.
  5. 제2항에 있어서, 상기 UE에 대해 요청된 AKMA 애플리케이션 키를 도출할지의 여부의 상기 결정하는 단계는,
    상기 체크가 실패한 경우, 상기 UE에 대한 상기 AKMA 애플리케이션 키에 대해 수신된 메시지를 거부하는 단계를 포함하는, 방법.
  6. 무선 통신 시스템에서 인증 서버 기능부(authentication server function: AUSF)에 의해 수행되는 방법에 있어서,
    AAnF(AKMA anchor function)로부터, AKMA 애플리케이션 키에 대한 AKMA(authentication and key management for applications) 앵커 키를 생성할 것을 상기 AUSF에게 요청하는 메시지를 수신하는 단계;
    상기 수신된 메시지에 기초하여, 프라이머리 인증 절차를 개시할 것을 액세스 및 이동성 관리 기능부(access and mobility management function: AMF)에게 요청하는 단계; 및
    상기 프라이머리 인증 절차로부터 취득된 상기 AUSF에 대한 키에 기초하여 상기 AKMA 애플리케이션 키를 생성하는 단계를 포함하는, 방법.
  7. 제6항에 있어서, 상기 요청하는 단계는,
    UDM(unified data management function)을 통해, 상기 프라이머리 인증 절차를 개시할 것을 상기 AMF에게 요청하는 단계를 포함하는, 방법.
  8. 무선 통신 시스템에서 사용자 장비(UE)에 의해 수행되는 방법에 있어서,
    애플리케이션 기능부(AF)에 액세스하기 위한 요청이 거부되는 경우, 액세스 및 이동성 관리 기능부(AMF)에게, 프라이머리 인증 절차를 트리거하라는 지시가 있는 메시지를 송신하는 단계; 및
    상기 프라이머리 인증 절차의 완료 후, 상기 AF에 대한 액세스를 요청하는 단계를 포함하는, 방법.
  9. 제8항에 있어서, 상기 AKMA 애플리케이션 키는 상기 프라이머리 인증 절차에 기초하여 생성되는, 방법.
  10. 무선 통신 시스템에서 UDM(unified data management)에 의해 수행되는 방법에 있어서,
    인증 서버 기능부(AUSF)로부터, 사용자 장비(UE)에 연관되는 인증 정보를 요청하는 메시지를 수신하는 단계; 및
    수신된 메시지에 응답하여, 상기 AUSF에게, AKMA 앵커 키들이 상기 UE에 대해 생성될 필요가 있음을 지시하는 AKMA(authentication and key management for applications) 지시를 송신하는 단계를 포함하며,
    상기 UE에 대한 AKMA 키 식별자(A-KID)를 포함하는 상기 UE의 AKMA 키 재료는 송신된 AKMA 지시에 기초하여 생성되고,
    상기 AKMA 지시는 상기 UDM에 저장되는 AKMA 가입 데이터가 상기 UE가 AKMA를 사용하도록 허용됨을 지시하는 경우에 상기 AUSF에게 송신되는, 방법.
  11. 사용자 장비(UE)에 대한 프라이머리 인증을 개시하는 방법에 있어서,
    통합된 데이터 관리 기능부(UDM)에 의해, 인증의 일부로서 도출된 현존 자격이 더 이상 유효하지 않다는 지시를 포함하는 네트워크 기능부(NF)로부터의 지시를 수신하는 단계(302);
    상기 UDM에 의해, 상기 UE에 대한 프라이머리 인증 절차를 개시할 필요가 있다는 지시를 포함하는 NF로의 메시지를 개시하는 단계(304);
    액세스 및 이동성 관리 기능부(AMF)에 의해, 상기 UE에 대한 프라이머리 인증 절차를 개시하라는 지시를 포함하는 NF 및/또는 상기 UDM 중 하나로부터의 메시지를 수신하는 단계(306); 및
    상기 AMF에 의해, 상기 UE에 대한 상기 프라이머리 인증 절차를 개시하는 단계(308)를 포함하는, 방법.
KR1020227033305A 2020-03-30 2021-03-30 무선 통신 시스템에서 akma 서비스를 제공하는 방법 및 장치 KR20220159991A (ko)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
IN202041014023(???) 2020-03-30
IN202041014023 2020-03-30
IN202041014023 2021-03-26
PCT/KR2021/003912 WO2021201558A1 (en) 2020-03-30 2021-03-30 Method and apparatus for providing akma service in wireless communication system

Publications (1)

Publication Number Publication Date
KR20220159991A true KR20220159991A (ko) 2022-12-05

Family

ID=77932427

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020227033305A KR20220159991A (ko) 2020-03-30 2021-03-30 무선 통신 시스템에서 akma 서비스를 제공하는 방법 및 장치

Country Status (5)

Country Link
US (1) US20230232221A1 (ko)
EP (1) EP4111722A4 (ko)
KR (1) KR20220159991A (ko)
CN (1) CN115413414A (ko)
WO (1) WO2021201558A1 (ko)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023131860A1 (en) * 2022-01-07 2023-07-13 Lenovo (Singapore) Pte. Ltd. User equipment authentication for applications
WO2023153578A1 (ko) * 2022-02-08 2023-08-17 엘지전자 주식회사 무선 통신 시스템에서 단말 인증 방법 및 장치
WO2023208183A2 (zh) * 2022-04-29 2023-11-02 中国移动通信有限公司研究院 一种信息传输方法及设备
CN117062071A (zh) * 2022-05-06 2023-11-14 华为技术有限公司 鉴权方法、通信装置和计算机可读存储介质
WO2023212901A1 (en) * 2022-05-06 2023-11-09 Apple Inc. Authentication proxy use in authentication and key management for applications
CN117295068A (zh) * 2022-06-20 2023-12-26 中国移动通信有限公司研究院 一种通信方法、装置、通信设备和计算机存储介质

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102435266B1 (ko) * 2018-06-30 2022-08-22 노키아 솔루션스 앤드 네트웍스 오와이 5gcn에 대한 비-3gpp 액세스가 허용되지 않는 실패 핸들링

Also Published As

Publication number Publication date
EP4111722A1 (en) 2023-01-04
US20230232221A1 (en) 2023-07-20
EP4111722A4 (en) 2023-08-23
CN115413414A (zh) 2022-11-29
WO2021201558A1 (en) 2021-10-07

Similar Documents

Publication Publication Date Title
US10972970B2 (en) Method for capability negotiation and slice information mapping between network and terminal in 5G system
US11716621B2 (en) Apparatus and method for providing mobile edge computing services in wireless communication system
US20200296574A1 (en) Method and apparatus for accessing cellular network for sim profile
KR20220159991A (ko) 무선 통신 시스템에서 akma 서비스를 제공하는 방법 및 장치
CN112534851B (zh) 委托数据连接
WO2019019736A1 (zh) 安全实现方法、相关装置以及系统
US11659621B2 (en) Selection of IP version
CN114503630A (zh) 激活5g用户的方法和装置
US20230145595A1 (en) Apparatus and method for providing interworking of network slices in wireless communication system
CN114902794A (zh) 用于在无线通信系统中提供服务的方法和装置
CN115362699A (zh) 无线通信系统中根据用户设备策略应用的会话管理方法
CN109936444B (zh) 一种密钥生成方法及装置
KR20230079179A (ko) 무선 네트워크에서 보안 키 동기화를 처리하기 위한 방법, 단말, 및 네트워크 개체
CN115669081A (zh) 发现和选择用于供应ue订户数据的网络的方法和装置
KR20220144670A (ko) 이동 통신 시스템에서 단말 간 연결을 통한 네트워크 접속 요청의 인증을 위한 방법 및 장치
US20220150696A1 (en) Method and apparatus for establishing secure connections for edge computing services
EP4101253B1 (en) Path section between uu and pc5
WO2024092624A1 (en) Encryption key transfer method and device for roaming users in communication networks
WO2023216273A1 (zh) 密钥管理方法、装置、设备及存储介质
CN115669084A (zh) 检索和选择用于终端认证和订阅数据传输的服务器的方法和装置
KR20230073737A (ko) 무선 통신 시스템에서 단말의 자격 증명 정보를 프로비저닝하는 방법 및 장치
JP2023536406A (ja) ネットワークスライス登録の方法及び装置
CN115915114A (zh) 注册方法及装置

Legal Events

Date Code Title Description
A201 Request for examination