KR20230015224A - 이동통신 시스템의 네트워크 기능의 인증 및 권한 부여 방법 및 장치 - Google Patents

이동통신 시스템의 네트워크 기능의 인증 및 권한 부여 방법 및 장치 Download PDF

Info

Publication number
KR20230015224A
KR20230015224A KR1020210096706A KR20210096706A KR20230015224A KR 20230015224 A KR20230015224 A KR 20230015224A KR 1020210096706 A KR1020210096706 A KR 1020210096706A KR 20210096706 A KR20210096706 A KR 20210096706A KR 20230015224 A KR20230015224 A KR 20230015224A
Authority
KR
South Korea
Prior art keywords
provider
consumer
certificate
information
cca
Prior art date
Application number
KR1020210096706A
Other languages
English (en)
Inventor
손중제
이덕기
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Priority to KR1020210096706A priority Critical patent/KR20230015224A/ko
Priority to US17/814,197 priority patent/US20230027515A1/en
Priority to PCT/KR2022/010680 priority patent/WO2023003379A1/en
Publication of KR20230015224A publication Critical patent/KR20230015224A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/51Discovery or management thereof, e.g. service location protocol [SLP] or web services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/005Discovery of network devices, e.g. terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 개시는 무선 통신 시스템에서 NF 소비자가 동작하는 방법을 제공한다. NF 소비자의 동작 방법은 SCP에게 NF 소비자의 CCA 인증서, NF 제공자에 대한 요구 특성 정보, 또는 네트워크 슬라이스 정보 중 적어도 하나를 포함하는 서비스 요청 메시지를 전송하는 단계, SCP로부터 서비스 요청 메시지에 기초하여 NF 제공자의 CCA 인증서를 포함하는 서비스 응답 메시지를 수신하는 단계, 및 서비스 응답 메시지에 기초하여, 서비스 응답 메시지를 전송한 NF 제공자를 인증하는 단계를 포함할 수 있다.

Description

이동통신 시스템의 네트워크 기능의 인증 및 권한 부여 방법 및 장치 {METHOD AND APPARATUS FOR AUTHENTICATION AND AUTHORIZATION OF NETWORK FUNCTION IN A MOBILE COMMUNICATION SYSTEM}
본 개시는 이동통신 시스템 내 네트워크 장치 간 인증 방법 및 장치에 관한 것으로, 특히 네트워크 장치들이 연결 대리자 또는 중계장치를 통해서 연결 되고 서로 간에 통신이 이루어 질 때, 통신하는 네트워크 장치 간의 인증 및 권한 관리를 위한 방법 및 장치에 관한 것이다.
4G 통신 시스템 상용화 이후 증가 추세에 있는 무선 데이터 트래픽 수요를 충족시키기 위해, 개선된 5G 통신 시스템 또는 pre-5G 통신 시스템을 개발하기 위한 노력이 이루어지고 있다. 이러한 이유로, 5G 통신 시스템 또는 pre-5G 통신 시스템은 4G 네트워크 이후 (Beyond 4G Network) 통신 시스템 또는 LTE 시스템 이후 (Post LTE) 이후의 시스템이라 불리어지고 있다. 높은 데이터 전송률을 달성하기 위해, 5G 통신 시스템은 초고주파(mmWave) 대역 (예를 들어, 60기가(60GHz) 대역과 같은)에서의 구현이 고려되고 있다. 초고주파 대역에서의 전파의 경로손실 완화 및 전파의 전달 거리를 증가시키기 위해, 5G 통신 시스템에서는 빔포밍(beamforming), 거대 배열 다중 입출력(massive MIMO), 전차원 다중입출력(Full Dimensional MIMO: FD-MIMO), 어레이 안테나(array antenna), 아날로그 빔형성(analog beam-forming), 및 대규모 안테나 (large scale antenna) 기술들이 논의되고 있다. 또한 시스템의 네트워크 개선을 위해, 5G 통신 시스템에서는 진화된 소형 셀, 개선된 소형 셀 (advanced small cell), 클라우드 무선 액세스 네트워크 (cloud radio access network: cloud RAN), 초고밀도 네트워크 (ultra-dense network), 기기 간 통신 (Device to Device communication: D2D), 무선 백홀 (wireless backhaul), 이동 네트워크 (moving network), 협력 통신 (cooperative communication), CoMP (Coordinated Multi-Points), 및 수신 간섭제거 (interference cancellation) 등의 기술 개발이 이루어지고 있다. 이 밖에도, 5G 시스템에서는 진보된 코딩 변조(Advanced Coding Modulation: ACM) 방식인 FQAM (Hybrid FSK and QAM Modulation) 및 SWSC (Sliding Window Superposition Coding)과, 진보된 접속 기술인 FBMC(Filter Bank Multi Carrier), NOMA(non orthogonal multiple access), 및SCMA(sparse code multiple access) 등이 개발되고 있다.
한편, 인터넷은 인간이 정보를 생성하고 소비하는 인간 중심의 연결 망에서, 사물 등 분산된 구성 요소들 간에 정보를 주고 받아 처리하는 IoT(Internet of Things, 사물인터넷) 망으로 진화하고 있다. 클라우드 서버 등과의 연결을 통한 빅데이터(Big data) 처리 기술 등이 IoT 기술에 결합된 IoE (Internet of Everything) 기술도 대두되고 있다. IoT를 구현하기 위해서, 센싱 기술, 유무선 통신 및 네트워크 인프라, 서비스 인터페이스 기술, 및 보안 기술과 같은 기술 요소 들이 요구되어, 최근에는 사물간의 연결을 위한 센서 네트워크(sensor network), 사물 통신(Machine to Machine, M2M), MTC(Machine Type Communication)등의 기술이 연구되고 있다. IoT 환경에서는 연결된 사물들에서 생성된 데이터를 수집, 분석하여 인간의 삶에 새로운 가치를 창출하는 지능형 IT(Internet Technology) 서비스가 제공될 수 있다. IoT는 기존의 IT(information technology)기술과 다양한 산업 간의 융합 및 복합을 통하여 스마트홈, 스마트 빌딩, 스마트 시티, 스마트 카 혹은 커넥티드 카, 스마트 그리드, 헬스 케어, 스마트 가전, 첨단의료서비스 등의 분야에 응용될 수 있다.
이에, 5G 통신 시스템을 IoT 망에 적용하기 위한 다양한 시도들이 이루어지고 있다. 예를 들어, 센서 네트워크(sensor network), 사물 통신(Machine to Machine, M2M), MTC(Machine Type Communication)등의 기술이 5G 통신 기술인 빔 포밍, MIMO, 및 어레이 안테나 등의 기법에 의해 구현되고 있는 것이다. 앞서 설명한 빅데이터 처리 기술로써 클라우드 무선 액세스 네트워크(cloud RAN)가 적용되는 것도 5G 기술과 IoT 기술 융합의 일 예라고 할 수 있을 것이다
상술한 것과 이동통신 시스템의 발전에 따라, 네트워크 장치 들이 연결 대리자 또는 중계 장치를 통해서 연결 되고 서로 간에 통신이 이루어 질 때, 통신하는 네트워크 장치 간의 인증 및 권한 관리를 위한 방법이 필요한 실정이다.
본 개시는 이동통신 시스템 단말의 네트워크 접속 및 데이터 수신 관리를 위한 이동통신 시스템 내 네트워크 장치 간 연결에서, 네트워크 장치들(또는 네트워크 기능들)이 연결 대리자를 통해서 통신이 이루어 질 때, 통신을 수행하는 네트워크 장치(또는 네트워크 기능) 간의 인증 및 권한 관리를 위한 방법을 제공하고자 하는 목적이 있다.
본 개시의 일 실시예에 따라 무선 통신 시스템에서 NF 소비자가 동작하는 방법을 제공할 수 있다. NF 소비자의 동작 방법은 SCP에게 NF 소비자의 CCA 인증서, NF 제공자에 대한 요구 특성 정보, 또는 네트워크 슬라이스 정보 중 적어도 하나를 포함하는 서비스 요청 메시지를 전송하는 단계, SCP로부터 서비스 요청 메시지에 기초하여 NF 제공자의 CCA 인증서를 포함하는 서비스 응답 메시지를 수신하는 단계, 및 서비스 응답 메시지에 기초하여, 서비스 응답 메시지를 전송한 NF 제공자를 인증하는 단계를 포함할 수 있다.
본 개시의 일 실시예에 따라 무선 통신 시스템에서 NF 제공자가 동작하는 방법을 제공할 수 있다. NF 제공자의 동작 방법은 SCP로부터 NF 소비자의 CCA 인증서 및 액세스 토큰을 포함하는 서비스 요청 메시지를 수신하는 단계, 상기 서비스 요청 메시지에 기초하여, 상기 NF 소비자를 인증하는 단계, 상기 NF 소비자를 인증한 경우, 상기 NF 제공자의 CCA 인증서를 포함하는 서비스 응답 메시지를 생성하는 단계, 및 상기 SCP 로, 상기 NF 제공자의 CCA 인증서를 포함하는 서비스 응답 메시지를 전송하는 단계를 포함할 수 있다.
도 1은 본 개시의 실시 예에 따른 5G 이동통신 시스템의 구조이다.
도 2는 본 개시의 실시 예에 따른 연결 대리자에서 네트워크 장치의 인증 확인을 활용한 네트워크 장치 간 REQUEST-RESPONSE 모델의 서비스 요청 및 회신의 인증 및 권한 허가 절차에 대한 예시도이다.
도 3은 본 개시의 실시 예에 따른 연결 대리자에서 네트워크 장치의 선택을 대행할 때, 네트워크 장치 유형 및 집합 정보 등을 포함하는 네트워크 장치 인증 정보를 활용한 네트워크 장치 간 REQUEST-RESPONSE 모델의 서비스 요청 및 회신의 인증 및 권한 허가 절차에 대한 예시도이다.
도 4는 본 개시의 실시 예에 따른 연결 대리자에서 네트워크 장치의 선택을 대행할 때, 네트워크 장치 유형 및 집합 정보 등을 포함하는 디지털 인증서를 활용한 네트워크 장치 간 REQUEST-RESPONSE 모델의 서비스 요청 및 회신의 인증 및 권한 허가 절차에 대한 예시도 이다.
도 5는 본 개시의 실시 예에 따른 네트워크 장치 집합 정보를 네트워크 장치 선택을 활용한 네트워크 장치 간 REQUEST-RESPONSE 모델의 서비스 요청 및 회신의 인증 및 권한 허가 절차에 대한 예시도이다.
도 6은 본 개시의 일실시예에 따른 무선 통신 시스템에서 NF (network function) 소비자 (consumer)가 동작하는 방법에 대한 흐름도이다.
도 7은 본 개시의 일 실시예에 따른 무선 통신 시스템에서 NF (network function) 제공자(producer)가 동작하는 방법에 대한 흐름도이다.
도 8는 본 개시의 실시 예에 따른 단말의 구성을 나타낸 도면이다.
도 9은 본 개시의 실시 예에 따른 네트워크 엔티티(Network Entity)의 구성을 나타낸 도면이다.
이하, 첨부된 도면들을 참조하여 다양한 실시 예들을 상세히 설명한다. 이때, 첨부된 도면들에서 동일한 구성 요소는 가능한 동일한 부호로 나타내고 있음에 유의해야 한다. 또한 이하에 첨부된 본 개시의 도면은 본 개시의 이해를 돕기 위해 제공되는 것으로, 본 개시의 도면에 예시된 형태 또는 배치 등에 본 개시가 제한되지 않음에 유의해야 한다. 또한 본 개시의 요지를 흐리게 할 수 있는 공지 기능 및 구성에 대한 상세한 설명은 생략할 것이다. 하기의 설명에서는 본 개시의 다양한 실시 예들에 따른 동작을 이해하는데 필요한 부분만이 설명되며, 그 이외 부분의 설명은 본 개시의 요지를 흩트리지 않도록 생략될 것이라는 것을 유의하여야 한다.
본 명세서와 도면에 개시된 실시 예들은 본 개시의 내용을 쉽게 설명하고, 이해를 돕기 위해 특정 예를 제시한 것일 뿐이며, 본 개시의 범위를 한정하고자 하는 것은 아니다. 따라서 본 개시의 범위는 여기에 개시된 실시 예들 이외에도 본 개시의 기술적 사상을 바탕으로 도출되는 모든 변경 또는 변형된 형태가 본 개시의 범위에 포함되는 것으로 해석되어야 한다.
이때, 처리 흐름도 도면들의 각 블록과 흐름도 도면들의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수 있음을 이해할 수 있을 것이다.
또한, 각 블록은 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실행 예들에서는 블록들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.
이때, 본 실시예에서 사용되는 '~부'라는 용어는 소프트웨어 또는 FPGA(Field Programmable Gate Array) 또는 ASIC(Application Specific Integrated Circuit)과 같은 하드웨어 구성요소를 의미하며, '~부'는 어떤 역할들을 수행한다. 그렇지만 '~부'는 소프트웨어 또는 하드웨어에 한정되는 의미는 아니다. '~부'는 어드레싱할 수 있는 저장 매체에 있도록 구성될 수도 있고 하나 또는 그 이상의 프로세서들을 재생시키도록 구성될 수도 있다. 따라서, 일 예로서 '~부'는 소프트웨어 구성요소들, 객체지향 소프트웨어 구성요소들, 클래스 구성요소들 및 태스크 구성요소들과 같은 구성요소들과, 프로세스들, 함수들, 속성들, 프로시저들, 서브루틴들, 프로그램 코드의 세그먼트들, 드라이버들, 펌웨어, 마이크로코드, 회로, 데이터, 데이터베이스, 데이터 구조들, 테이블들, 어레이들, 및 변수들을 포함한다. 구성요소들과 '~부'들 안에서 제공되는 기능은 더 작은 수의 구성요소들 및 '~부'들로 결합되거나 추가적인 구성요소들과 '~부'들로 더 분리될 수 있다. 뿐만 아니라, 구성요소들 및 '~부'들은 디바이스 또는 보안 멀티미디어카드 내의 하나 또는 그 이상의 CPU들을 재생시키도록 구현될 수도 있다. 또한 실시예에서 '~부'는 하나 이상의 프로세서를 포함할 수 있다.
이하 설명에서 사용되는 접속 노드(node)를 식별하기 위한 용어, 망 객체(network entity)들을 지칭하는 용어, 메시지들을 지칭하는 용어, 망 객체들 간 인터페이스를 지칭하는 용어, 다양한 식별 정보들을 지칭하는 용어 등은 설명의 편의를 위해 예시된 것이다. 따라서, 본 개시가 후술되는 용어들에 한정되는 것은 아니며, 동등한 기술적 의미를 가지는 대상을 지칭하는 다른 용어가 사용될 수 있다.
이하 설명의 편의를 위하여, 본 개시는 3GPP LTE(3rd Generation Partnership Project Long Term Evolution) 규격에서 정의하고 있는 용어 및 명칭들, 혹은 이를 기반으로 변형한 용어 및 명칭들을 사용한다. 하지만, 본 개시가 상술된 용어 및 명칭들에 의해 한정되는 것은 아니며, 다른 규격에 따르는 시스템에도 동일하게 적용될 수 있다. 본 개시에서 eNB는 설명의 편의를 위하여 gNB와 혼용되어 사용될 수 있다. 즉 eNB로 설명한 기지국은 gNB를 나타낼 수 있다. 본 개시에서, 단말이라는 용어는 UE (User Equipment), MS (Mobile Station), 핸드폰, NB-IoT 기기들, 센서들 뿐만 아니라 다양한 무선 통신 기기들을 나타낼 수 있다.
본 개시에서 NF instance를 예로서 설명하였으나, 반드시 NF instance일 필요는 없다. 예컨대, NF가 instance로 구현되지 않고 하나의 서버 자체가 NF로 구현되는 경우 서버에 대한 서버 ID와 주소 정보(예를 들어 FQDN 또는 IP 주소 등)이 NF의 정보로 제공할 수 있다. 즉, NF instance는 NF 서버로 대체 가능하며, 하나의 NF 서버 및/또는 하나의 NF instance는 하나의 독립된 네트워크 엔티티(entity)가 될 수 있다. 이하에서는 설명의 편의를 위해 NF가 instance로 구현된 경우를 가정하여 설명하기로 한다.
도 1은 본 개시의 실시 예에 따른 5G 이동통신 시스템의 구조도이다.
도 1을 참조하기에 앞서 5G 이동통신 시스템의 코어 네트워크에서 각 기능들을 수행하는 단위는 네트워크 기능(network function, NF)으로 정의될 수 있다. 이러한 네트워크 기능은 특정한 서버 또는 네트워크 장치에 구현될 수 있다. 네트워크 기능이 특정한 서버 또는 네트워크 장치에 구현되는 경우 하나의 특정한 서버(또는 네트워크 장치)에 둘 이상의 네트워크 기능을 탑재할 수 있다. 탑재된다는 의미는 네트워크 기능을 수행하는 장치로 동작함을 의미할 수 있다. 네트워크 기능이 서버에 탑재되는 경우 동일한 기능을 수행하는 서로 다른 둘 이상의 네트워크 기능이 탑재될 수 있다. 서로 다른 둘 이상의 네트워크 기능은 동일한 동작을 제어하는 네트워크 기능일 수도 있고, 서로 다른 네트워크 기능일 수도 있다.
일 실시예에 따라 하나의 서버에 동일한 네트워크 기능이 둘 이상 포함될 있다. 예를 들면, 사용자 장치(user equipment, UE)(10)로 사용자 데이터를 제공하는 사용자 평면 네트워크 기능(user plane function, UPF)(110)가 하나의 서버 내에 둘 이상 존재할 수 있다. 다른 예로, 하나의 서버 내에 서로 다른 네트워크 기능들이 탑재될 수 있다. 예를 들면, UPF(110)와 세션 관리 기능(session management function, SMF)(113)가 하나의 서버 내에 탑재될 수도 있다.
또 다른 예로, 하나의 네트워크 기능이 서로 다른 둘 이상의 서버(또는 네트워크 장치)로 구현될 수도 있다. 예컨대, 하나의 UPF(110)가 둘 이상의 서버를 통해 구현될 수도 있다.
이상에서 설명한 바와 같이 본 명세서에서 설명되는 5G 코어(core) 네트워크의 네트워크 기능들은 네트워크 내에서 특정한 동작을 하는 하나의 엔티티를 지칭하는 용어일 수 있다. 네트워크 기능들은 단순한 기능이 아닌 서버 또는 네트워크 장치로 구현될 수 있다.
도 1을 참조하면, UE(10)는 적어도 5G 네트워크에 접속 가능한 단말이 될 수 있다. UE(10)는 그 외에 다른 무선 접속 방식 예를 들어, 4G 네트워크 및/또는 WiFi 네트워크 등의 다양한 네트워크와 접속할 수도 있다. 또한 UE(10)는 다양한 형태를 가질 수 있다. 예컨대, UE(10)는 IoT 기능만을 제공하는 단말로 구현되거나, 또는 스마트, 태블릿 컴퓨터와 같은 형태일 수도 있고, 스마트 워치 또는 스마트 글래스와 같은 웨어러블 형태의 기기로 구현될 수도 있다. 본 개시에서 UE(10)의 구현 형태에는 특별한 제약을 두지 않는다.
무선 접속 노드(radio access node, (R)AN)(20)는 UE(10)와 5G 무선 접속 방식으로 air 상의 신호 또는 데이터의 송수신을 수행하는 네트워크 노드가 될 수 있다. 또한 (R)AN(20)은 4G 무선 액세스 기술의 진화된 버전인 진화된 E-UTRA(evolved E-UTRA)와 새로운 무선 액세스 기술(new radio, NR)(예를 들어, gNB)을 모두 지원하는 새로운 무선 액세스 네트워크를 총칭할 수 있다.
다음으로 5G 코어 네트워크를 구성하는 NF들에 대하여 살펴보기로 한다. 도 1에 예시된 NF들은 사용자 평면 기능(user plane function, UPF)(110), 인증 서버 기능(authentication server function, AUSF)(111), 액세스 및 이동성 관리 기능(access and mobility management function, AMF)(112), 세션 관리 기능(session management function, SMF)(113), 서비스 통신 프록시(Service Communication Proxy, SCP)(114), 네트워크 슬라이스 선택 기능(Network Slice Selection Function, NSSF)(115), 네트워크 노출 기능(network exposure function, NEF)(116), NF 저장소 기능(NF repository function, NRF)(117), 정책 및 제어 기능(policy and control function, PCF)(118), 통합된 데이터 관리(unified data management, UDM)(119) 및 어플리케이션 기능(application function, AF)(120)을 포함할 수 있다.
UPF(110)는 DN(180)으로부터 수신한 하향링크 PDU를 (R)AN(20)을 경유하여 UE(10)에게 전달하며, (R)AN(20)을 경유하여 UE(10)로부터 수신한 상향링크 PDU를 DN(180)으로 전달할 수 있다. 구체적으로, UPF(110)는 인트라(intra)/인터(inter) RAT 이동성을 위한 앵커 포인트, 데이터 네트워크(Data Network)로의 상호연결(interconnect)의 외부 PDU 세션 포인트, 패킷 라우팅 및 포워딩, 패킷 검사(inspection) 및 정책 규칙 시행의 사용자 평면 부분, 합법적 감청(lawful intercept), 트래픽 사용량 보고, 데이터 네트워크로의 트래픽 플로우의 라우팅을 지원하기 위한 상향링크 분류자(classifier), 멀티-홈(multi-homed) PDU 세션을 지원하기 위한 브랜치 포인트(branching point), 사용자 평면을 위한 QoS 핸들링(handling)(예를 들어 패킷 필터링, 게이팅(gating), 상향링크/하향링크 레이트 시행), 상향링크 트래픽 검증 (서비스 데이터 플로우(service data flow, SDF)와 QoS 플로우 간 SDF 매핑), 상향링크 및 하향링크 내 전달 레벨(transport level) 패킷 마킹, 하향링크 패킷 버퍼링 및 하향링크 데이터 통지 트리거링 기능 등을 지원할 수 있다.
AUSF(111)는 UE(10)의 인증을 위한 데이터를 처리하고 저장할 수 있다. 또한, AUSF(111)는 3GPP 접속 네트워크와 비-3GPP(non-3GPP) 접속 네트워크에서 UE(10)의 인증을 수행할 수 있다.
AMF(112)는 UE 단위의 접속 및 이동성 관리를 위한 기능을 제공할 수 있으며, 하나의 UE 당 기본적으로 하나의 AMF(112)에 연결될 수 있다. 구체적으로, AMF(112)는 3GPP 액세스 네트워크들 간의 이동성을 위한 CN 노드 간 시그널링, 무선 액세스 네트워크(radio access network, RAN) CP 인터페이스(즉, N2 인터페이스)의 종단(termination), NAS 시그널링의 종단(N1), NAS 시그널링 보안(NAS 암호화(ciphering) 및 무결성 보호(integrity protection)), AS 보안 제어, 등록 관리(등록 영역(registration area) 관리), 연결 관리, 아이들 모드 UE 접근성(reachability)(페이징 재전송의 제어 및 수행 포함), 이동성 관리 제어(가입 및 정책), 인트라-시스템 이동성 및 인터-시스템 이동성 지원, 네트워크 슬라이싱(network slicing)의 지원, SMF 선택, 합법적 감청(lawful intercept)(AMF 이벤트 및 LI 시스템으로의 인터페이스에 대한), UE와 SMF 간의 세션 관리(session management, SM) 메시지의 전달 제공, SM 메시지 라우팅을 위한 트랜스패런트 프록시(transparent proxy), 액세스 인증(access authentication), 로밍 권한 체크를 포함한 액세스 허가(access authorization), UE와 단문 메시지 서비스 기능(Short Message Service Function, SMSF) 간의 SMS 메시지의 전달 제공, 보안 앵커 기능(security anchor function, SAF) 및/또는 보안 컨텍스트 관리(security context management, SCM) 등의 기능을 지원할 수 있다. 이러한 AMF(112)의 일부 기능(들) 또는 전체의 기능들은 하나의 AMF로 동작하는 단일 AMF 인스턴스(instance) 내에서 지원될 수 있다. 또한 AMF(112)는 UE(10)의 보안 관련 기능을 담당하는 보안 앵커 기능(Security Anchor Function, SEAF)을 포함할 수 있다.
SMF(113)는 세션 관리 기능을 제공하며, UE(10)가 다수 개의 세션을 가지는 경우 각 세션 별로 서로 다른 SMF에 의해 관리될 수 있다. 구체적으로, SMF(113)는 세션 관리(예를 들어, UPF와 AN 노드 간의 터널(tunnel) 유지를 포함하여 세션 확립, 수정 및 해지), UE IP 주소 할당 및 관리(선택적으로 인증 포함), UP 기능의 선택 및 제어, UPF에서 트래픽을 적절한 목적지로 라우팅하기 위한 트래픽 스티어링(traffic steering) 설정, 정책 제어 기능(policy control functions)를 향한 인터페이스의 종단, 정책 및 서비스 품질(quality of service, QoS)의 제어 부분 시행, 합법적 감청(lawful intercept)(SM 이벤트 및 LI 시스템으로의 인터페이스에 대한), NAS 메시지의 SM 부분의 종단, 하향링크 데이터 통지(downlink data notification), AN 특정 SM 정보의 개시자(AMF를 경유하여 N2를 통해 AN에게 전달), 세션의 SSC 모드 결정, 로밍 기능 등의 기능을 지원할 수 있다. 앞에서 설명한 바와 같이 SMF(113)의 일부 기능(들) 또는 전체의 기능들은 하나의 SMF로 동작하는 단일 SMF 인스턴스(instance) 내에서 지원될 수 있다.
SCP(114)는 특정한 서로 다른 NF들 SCP(114)를 통해 간접 통신을 제공할 수 있다. 또한 SCP(114)는 보안 통신 예를 들어 NF 서비스 생산자(producer) API에 액세스하기 위한 NF 서비스 소비자(Consumer)의 권한 부여를 수행할 수 있고, 부하 분산, 모니터링, 과부하 제어 등을 수행할 수 있다. 즉, SCP(114)는 특정한 서로 다른 둘 이상의 NF들 간의 간접적인 통신 경로를 제공할 수 있다.
NSSF(115)는 UE(10)를 서비스하는 네트워크 슬라이스 인스턴스 세트 선택, 허용된 NSSAI 결정 및 필요한 경우 가입된 S-NSSAI에 대한 매핑, 구성된 NSSAI 결정 및 필요한 경우 가입된 S-NSSAI에 대한 매핑, UE(10)를 서비스하는데 사용될 AMF 세트를 결정하거나, 구성에 기초하여, 가능하면 NRF(117)를 쿼리함으로써 후보 AMF(들)의 목록을 결정할 수 있다.
NEF(116)는 네트워크 기능 능력(NF capability) 및 이벤트(event)를 외부 네트워크에 노출할 수 있다. 또한 NEF(116)는 통합된 데이터 저장소(Unified Data Repository, UDR)에 대한 표준화된 인터페이스(Nudr)를 사용하여 정보를 구조화 된 데이터로 저장 및 검색할 수 있다.
NRF(117)는 서비스 검색 기능을 지원한다. NRF(117)는 NF 인스턴스 또는 SCP(114)에서 NF 검색 요청을 수신하고 검색된 NF 인스턴스(검색 대상)의 정보를 NF 인스턴스 또는 SCP(114)로 제공한다. 또한 NRF(117)는 P-CSCF 디스커버리를 지원하고, 사용 가능한 NF 인스턴스 및 지원되는 서비스의 NF 프로필을 유지한다. 또한 NRF(117)는 신규 등록/업데이트/등록 취소된 NF 인스턴스에 대해 NF 서비스와 함께 가입한 NF 서비스 소비자 또는 SCP(114)에게 알린다.
PCF(118)는 어플리케이션 서버로부터 패킷 흐름에 대한 정보를 수신하여, 이동성 관리, 세션 관리 등의 정책을 결정하는 기능을 제공할 수 있다. 구체적으로, PCF(118)는 네트워크 동작을 통제하기 위한 단일화된 정책 프레임워크 지원, 제어평면 기능(들)(예를 들어, AMF, SMF 등)이 정책 규칙을 시행할 수 있도록 정책 규칙 제공, 사용자 데이터 저장소(user data repository, UDR) 내 정책 결정을 위해 관련된 가입 정보에 액세스하기 위한 프론트 엔드(front end) 구현 등의 기능을 지원할 수 있다.
UDM(119)은 사용자의 가입 데이터, 정책 데이터 등을 저장할 수 있다. UDM(119)은 2개의 부분, 즉 어플리케이션 프론트 엔드(front end, FE)(미도시) 및 사용자 데이터 저장소(user data repository, UDR)(미도시)를 포함할 수 있다.
AF(120)는 서비스 제공(예를 들어, 트래픽 라우팅 상에서 어플리케이션 영향, 네트워크 능력 노출(network capability exposure)에 대한 접근, 정책 제어를 위한 정책 프레임워크와의 상호동작 등의 기능을 지원)을 위해 3GPP 코어 네트워크와 상호 동작할 수 있다. 어플리케이션 기능(application function, AF)(120)은 서비스를 제공하기 위해 3GPP 코어 네트워크와 상호작용하여 동작할 수 있다. 예컨대, 어플리케이션의 트래픽 라우팅에 관한 동작, NEF(116)에 접속(access), 정책 제어를 위한 정책 프레임 워크와의 상호 작용을 수행할 수 있다.
DN(180)은 예를 들어, 운영자 서비스, 인터넷 접속 또는 서드파티(3rd party) 서비스 등을 의미할 수 있다. DN(180)은 UPF(110)로 하향링크 프로토콜 데이터 유닛(protocol data unit, PDU)을 전송하거나, UE(10)로부터 전송된 PDU를 UPF(110)를 통해 수신할 수 있다.
이상에서 설명한 도 1에 예시된 5G 코어 네트워크를 통해 UE(10)는 5G 네트워크 접속 및 데이터 송수신 등의 서비스를 제공받을 수 있다. 또한 5G 코어 네트워크는 UE(10)를 관리하기 위하여 상기 NF들간에 통신을 수행 할 수 있다. 이때, 상기 NF들은 NF 소비자(Consumer)와 NF 제공자(Producer)로서 동작을 하여 상호 간에 통신을 수행할 수 있다. NF Producer는 서버로서 NF Consumer들이 접속하여 NF Producer의 서비스를 받을 수 있도록 한다. NF Consumer는 NF Producer에 접속하여 NF Producer가 제공해주는 서비스를 사용한다. NF Producer와 NF Consumer는 NF Producer가 제공해주는 서비스를 사용하여 UE(10) 또는 네트워크 관련 제어나 관리를 위해서 필요한 동작을 수행할 수 있다.
NF Producer는 NF Consumer의 서비스 요청에 대한 응답으로 서비스를 제공해 줄 수 있다. 또한, NF Producer는 필요한 조건을 만족하는 경우, 데이터를 제공해 주는 통지 서비스(Notification)를 제공할 수 있다. 이때, NF Producer는 통지 서비스에 가입(Subscription)한 NF Consumer가 서비스 가입 시 등록한 정보에 기반하여 통지 서비스를 제공할 수 있다.
본 개시의 실시 예에 따라서 NF Consumer와 NF Producer는 직접 통신을 할 수도 있고, 중간에 SCP(114)를 통해서 통신할 수도 있다.
일 예로, NF Consumer와 NF Producer가 직접 통신을 수행하는 경우, NF Consumer는 NRF(117)과 NF Producer를 검색(Discovery)하는 절차를 수행하고, NF Consumer는 NF Producer를 선택할 수 있다.
다른 일 예로, NF Consumer와 NF Producer가 직접 통신을 수행하지 않는 경우, NF Consumer는 NF Producer에 대한 Service Request를 SCP(114)로 전송하고, SCP(114)는 수신한 NF Consumer의 Service Request를 요청 받은 대로 NF Producer에게 전송할 수 있다. NF와 NF 사이의 통신과, NF와 NRF(117) 간의 통신은 모두 SCP(114)를 통해서 전송될 수 있다. 이때, NF Producer는 NF Consumer와 직접 통신을 수행하지 않으므로 NF Consumer가 Service Request 메시지에 포함하여(또는 함께) 제공하는 클라이언트 인증서(Client Credentials Assertion, CCA)를 통해서 NF Consumer를 인증할 수 있다. 일 예로, NF Consumer는 NRF(117)와의 데이터 송수신을 통해 NF Producer를 선택하고, 선택한 NF Producer의 주소를 SCP에게 전송할 수 있다. 다른 일 예로, NF Consumer가 아닌 SCP(114)가 NF Producer를 선택할 수 있다.
일 예로, NF Consumer와 NF Producer가 직접 연결되어 있거나, 직접 통신을 수행하는 경우에는 NF Consumer와 NF Producer 간의 상호 인증이 가능할 수 있다. 예로, NF Consumer가 AMF가 NF Producer의 웹 서버에 접속하면, NF Producer가 NF Producer의 인증서를 NF Consumer에게 전송할 수 있다. 또한, NF Consumer는 인증 서버에서 NF Producer의 인증서(예, 디지털 인증서)를 확인할 수 있고, NF Consumer는 NF Producer가 올바른 서버임을 확인 및 인증하고 NF Producer에 접속을 수행할 수 있다. 또한, NF Producer도 NF Consumer를 인증하고자 하는 경우, NF Producer의 인증서에 대한 회신으로 수신한 NF Consumer의 인증서를 확인 및 인증할 수 있으므로, NF Producer는 NF Consumer를 인증할 수 있다. (즉, NF Producer와 NF Consumer 간의 상호 인증 가능)
그러나, 본 개시의 일 실시예에 따른 NF Consumer와 NF Producer가 SCP를 통해 통신을 수행하는 경우, NF Consumer와 SCP 간의 인증은 가능하고, NF Producer와 SCP간의 인증은 가능하나, 보안 상의 문제로 NF Producer와 NF Consumer 간의 상호 인증은 어려울 수 있다.
일 예로, NF Consumer와 NF Producer가 SCP를 통해 통신을 수행하는 경우에, NF Producer는 NF Consumer를 인증을 할 수 있다. 먼저, NF Consumer는 NF Consumer를 인증할 수 있는 NF Consumer의 CCA 인증서를 포함한 메시지를 SCP에게 전송할 수 있다. 예로, NF Consumer는 NF Consumer를 인증할 수 있는 NF Consumer의 CCA 인증서를 생성할 수 있다. 그리고, NF Consumer는 NF Consumer의 CCA 인증서를 Service Request에 포함하여 SCP(114)에게 전송할 수 있다. SCP(114)는 NF Producer에게 NF Consumer의 CCA 인증서를 포함한 메시지 (예, Service Request)를 전송할 수 있다. NF Producer는 NF Consumer의 CCA 인증서를 이용하여, 해당 메시지가 어느 NF Consumer에서 왔는지 확인할 수 있고, NF Consumer가 서명한 CCA 인증서를 확인하면, 그 서명한 인증서에 연결된 디지털 인증서를 이용하여 NF Consumer가 올바른 NF Consumer인지 인증을 할 수 있다. 따라서, 상술한 방식으로 NF Producer는 NF Consumer를 인증을 할 수 있다.
반면, NF Consumer가 아닌 SCP(114)가 NF Producer를 선택하는 경우, 상술한 방식으로 NF Consumer이 NF Producer를 인증하기에는 한계가 존재한다. 일 예로, NF Consumer가 아닌 SCP(114)가 NF Producer를 선택하는 경우, NF Consumer는 SCP(114)에게 NF Consumer가 요청하는 NF Producer과 관련된 정보를 포함하여 전송 만을 수행할 뿐이고 SCP(114)가 NF Producer를 선택할 수 있다. 따라서, NF Producer가 NF Producer의 인증서를 SCP(114)를 통해 NF Consumer에게 전송하여도, NF Consumer가 NF Producer를 검색하지 않았으므로, NF Consumer는 해당 NF Producer가 NF Consumer가 의도했던 NF Consumer가 맞는지, 또는 신뢰할 수 있는 NF Producer인지 여부에 대해 확인하기 어렵기 때문에 NF Producer를 인증하는데 한계가 존재할 수 있다.
본 개시는 상술한 상황들에서 발생할 수 있는 네트워크 기능들의 인증과 관련하여 발생할 수 있는 문제를 해결하기 위한 해결 방법을 제공할 수 있다. 또한, 본 개시는 SCP(114)를 통해 NF Consumer와 NF Producer가 통신하는 경우에, NF Consumer가 인증받은 올바른 NF Producer로부터 안전하게 서비스를 받기 위한 방법을 제공할 수 있다. 따라서, 본 개시는 하기의 도면들을 이용하여 상술한 한계와 네트워크 기능들 간의 발생할 수 있는 보안 문제를 해결하기 위한 방법을 제공하고자 한다.
도 2는 본 개시의 실시 예에 따른 연결 대리자에서 네트워크 장치의 인증 확인을 활용한 네트워크 장치 간 REQUEST-RESPONSE 모델의 서비스 요청 및 회신의 인증 및 권한 허가 절차에 대한 신호 흐름도이다.
도 2를 참조하여 설명하기에 앞서 본 개시에서 사용되는 네트워크 기능들을 살펴보기로 한다. 먼저 NF Consumer(130)는 NFc로 예시하였으며, NF Producer(140)는 NFp로 예시하였다. 따라서 이하의 설명에서 NF Consumer(130)와 NFc가 혼용되어 사용될 수 있으며, NF Producer(140)와 NFp가 혼용되어 사용될 수 있다. 또한 도 2에서 설명하는 실시예는 도 1에서 설명한 SCP(114)와 NRF(117)의 구성 요소들을 이용하는 경우를 가정한다.
도 2는 SCP(114)가 NF Producer(140)의 CCA 인증서에 포함된 정보들을 이용하여 NF Producer(140)를 인증하는 실시예를 도시한다. 특히, 본 개시의 일 실시예에 따르면, NF Consumer(130) 대신 NF Producer(140)를 선택한 SCP(114)가 NF Producer(140)의 CCA를 인증해서 NF Consumer(130)에게 알려줄 수 있다.
본 개시의 실시예에 따르면, NF Consumer(130)가 NF Producer(140)를 직접 찾지 않고, SCP(114)가 NRF(117)와 데이터를 송수신하여 NF Producer(140)를 선택한 경우라도, 보안 문제의 발생 없이 NF Producer(140)를 인증할 수 있는 효과를 제공할 수 있다. 또한, SCP(114)가 NF Producer(140)를 인증한 결과 정보를 NF Consumer(130)에 전송하므로, NF Consumer(130)가 인증된 NF Producer(140)에 대한 정보를 확인하고, 안전하게 NF Producer(140)에게 서비스를 받을 수 있는 효과를 제공할 수 있다. 또한, 본 개시에 따르면 NF Producer(140)가 생성하는 NF Producer(140)의 CCA를 이용하여 SCP(114)가 NF Producer(140)를 인증하는 효과를 제공할 수 있다. 또한, 본 개시는 네트워크 기능들 간의 발생할 수 있는 보안 문제를 해결하여, NF Consumer(130)가 인증된 NF Producer(140)로부터 안전하게 서비스를 받을 수 있는 효과를 제공할 수 있다.
단계 S201에서, NF Consumer(130)는 Service Request를 SCP(114)에 전송할 수 있다. 본 개시의 실시 예에 따라서 NF Consumer(130)는 NF Producer(140)에게 특정 UE(10) 또는 UE(10)의 그룹 등을 대상으로 하는 특정 서비스를 요청하고, 이에 대한 회신을 수신할 수 있다. 이때, NF Consumer(130)는 서비스 요청이 전송될 NF Producer(140)를 선택하지 않을 수 있다. 대신에, NF Consumer(130)는 NF Producer(140)를 특정할 수 있는 요구 특성(한정되지 않은 예로, 요구 특성은 AMF(112), SMF(113), UDM(119) 등의 Network Function Type을 포함함), 특정 UE(10) 또는 UE(10)의 그룹이 서비스를 제공 받을 수 있는 네트워크 슬라이스 또는 NF Consumer가 속한 네트워크 슬라이스를 나타낼 수 있는 네트워크 슬라이스 정보, 또는 NF Consumer(130)를 인증할 수 있는 CCA 인증서(Client Credential Assertion) 중 적어도 하나를 포함하는 Service Request를 SCP(114)에 전송할 수 있다.
본 개시의 실시 예에서 NF Consumer(130)의 CCA 인증서는 NF Consumer(130)의 NF Instance ID, 인증서의 유효기간을 알릴 수 있는 시간 정보, 예상되는 NF Producer의 NF Type, NF Consumer가 속한 네트워크 슬라이스 정보, 또는 NF Consumer(130)의 디지털 인증서(또는 디지털 인증서의 URL 정보) 중 적어도 하나를 포함할 수 있다. NF의 CCA는 NF의 서명 키로 서명될 수 있다.
단계 S203에서, NF Consumer(130)에게서 Service Request를 수신한 SCP(114)는 NF Consumer(130)에서 지정한 요구 특성에 맞는 NF Producer(140)를 선택할 수 있다. SCP(114)는 NF Producer(140)를 선택할 때, 단계 S202에서, NRF(117)에게 NF Consumer(130)에게서 수신한 요구 특성을 포함하는 정보들을 전달할 수 있다. 또한, SCP(114)는 요구 특성에 맞는 NF Producer(140)가 될 수 있는 Network Function들의 정보를 NRF(117)에게서 수신할 수 있다. 단계 S203에서, SCP(114)는 수신한 정보를 바탕으로 NF Producer(140)를 선택할 수 있다. SCP(114)는 NF Producer(140)를 선택할 때, 요구특성을 만족하는 NF Set을 선택하고 선택한 NF Set에 속한 NF Producer(140)를 선택할 수 있다.
단계 S204에서, SCP(114)는 선택된 NF Producer(140)에게 NF Consumer(130)에게서 수신한 Service Request를 전송하기 위해서 필요한 Access Token 발행을 NRF(117)에게 요청할 수 있다. 이때, Access Token Request 메시지는 아래의 정보들을 전부 또는 일부 포함할 수 있다.
- NF Consumer(130)의 NF Instance ID, NF Type
- 접근 허가를 원하는 NF 서비스에 대한 정보
- 접근 허가를 원하는 NF Producer(140)의 NF Type 또는 NF Producer Instance ID 중 전부 또는 적어도 하나를 포함하는 정보
SCP(114)는 상기 정보 외에 추가로 NF Consumer(130)의 CCA 인증서를 포함해서 Access Token 발행 요청을 NRF(117)에게 전송할 수 있다.
단계 S205에서, NRF(117)는 SCP(114)에게서 Access Token 발행 요청을 수신하였을 때, 함께 포함된 NF Consumer(130)의 CCA 인증서 정보와 NF Producer(140)의 정보를 확인하여 NF Consumer(130)가 NF Producer(140)에게서 서비스를 제공받을 수 있는 Network Function인지 권한 확인을 진행할 수 있다. NF Consumer(130)가 올바른 권한을 가지고 있는 Network Function으로 판정된 경우, 단계 S206에서, NRF(117)는 SCP(114)에게 NF Producer(140)에게 Service 요청 시 사용할 수 있는 Access Token을 발행할 수 있다.
단계 S207에서, SCP(114)는 NRF(117)에게서 Access Token을 발행 받은 후, 발행 받은 Access Token과 NF Consumer(130)의 CCA 인증서를 포함하여 NF Producer(140)에게 Service Request를 전송할 수 있다.
단계 S208에서, SCP(114)에게서 Service Request를 수신한 NF Producer(140)는 Service Request와 같이 수신한, Access Token과 NF Consumer(130)의 CCA 인증서를 확인하여, NF Consumer(130)가 NF Producer(140)에게 Service를 요청할 수 있는 올바른 Network Function인지를 확인하고, NRF(117)에게서 허가 받은 Service Request인지를 확인할 수 있다.
NF Producer(140)는 NF Consumer(130)의 인증과 Access Token 확인을 성공한 후, 단계 S209에서, NF Producer(140)는 NF Producer(140)의 CCA 인증서를 구성할 수 있다.
NF Producer(140)는 NF Consumer(130)의 인증과 Access Token 확인을 성공한 후, 단계 S210에서, NF Producer(140)는 Service Request의 응답으로 Service Response를 SCP(114)에게 전송할 수 있다. 이때, Service Response는 Service Request에서 요청된 정보 또는 서비스에 대한 응답 정보를 포함할 수 있다. 또한, Service Response는 NF Producer(140)를 인증할 수 있는 NF Producer의 CCA 인증서를 포함할 수 있다.
본 개시의 일 실시예에 따른 NF Producer(140)의 CCA 인증서는 NF Producer(140)의 NF Instance ID, NF Consumer(130)의 NF Instance ID, 인증서의 유효기간을 알릴 수 있는 시간 정보, 및 NF Producer(140)의 디지털 인증서 또는 디지털 인증서의 URL 정보 등을 포함할 수 있다. NF의 CCA는 NF의 서명 키로 서명될 수 있다.
단계 S211에서, SCP(114)는 NF Producer(140)로부터 수신한 Service Response 메시지에 포함된 NF Producer(140)의 CCA 인증서를 검증하여, 해당 메시지가 Service Request를 수신한 NF Producer(140)에게서 전송된 것이며, 올바른 NF Producer(140)에게서 전송된 것인지 확인 할 수 있다.
단계 S212에서, SCP(114)는 NF Producer(140)로부터 수신한 Service Response와 같이 동봉된 CCA 인증서를 성공적으로 확인하고 Service Request를 수신한 올바른 NF Producer(140)에게서 Service Response를 수신하였음을 확인하는 정보를 포함하여 Service Response를 NF Consumer(130)에게 전송할 수 있다.
단계 S213에서, SCP(114)에서 Service Response를 수신한 NF Consumer(130)는 Service Response에 포함된 SCP(114)에서의 NF Producer(140)의 인증 결과 및 NF Producer(140)의 CCA 인증서의 확인 절차 등을 진행하고 이들 절차가 성공적으로 진행 된 경우, Service Response가 NF Consumer(130)가 전송한 Service Request의 올바른 응답 임을 인지하고 해당 Service Response를 처리할 수 있다.
도 3은 본 개시의 실시 예에 따른 연결 대리자에서 네트워크 장치의 선택을 대행할 때, 네트워크 장치 유형 및 집합 정보 등을 포함하는 네트워크 장치의 CCA 인증 정보를 활용한 네트워크 장치 간 REQUEST-RESPONSE 모델의 서비스 요청 및 회신의 인증 및 권한 허가 절차에 대한 신호 흐름도이다.
도 3는 NF Consumer(130)가 NF Producer(140)의 CCA의 인증서에 포함된 정보들을 이용하여 NF Producer(140)를 인증하는 실시예를 도시한다. 본 개시의 실시예에 따른 NF Producer(140)는 NF Producer(140)의 CCA 인증서에 NF Consumer(130)가 예상 또는 타겟했던 NF Producer(140)가 맞는지 여부에 대해 NF Consumer(130)가 확인 또는 인증할 수 있는 정보들을 포함할 수 있다. NF Consumer(130)는 NF Producer(140)의 CCA 인증서에 포함된 정보들을 이용하여 Service Response를 전송한 NF Producer(140)가 NF Consumer(130)가 예상 또는 타겟했던 NF Producer(140)가 맞는지 확인하고, NF Producer(140)를 인증할 수 있다.
본 개시의 실시예에 따르면, NF Consumer(130)가 NF Producer(140)를 직접 찾지 않고, SCP(114)가 NRF(117)와 데이터를 송수신하여 NF Producer(140)를 선택한 경우라도, NF Consumer(130)가 NF Producer(140)를 인증하는 효과를 제공할 수 있다. 또한, 본 개시에 따르면 NF Producer(140)가 생성하는 NF Producer(140)의 CCA를 이용하여 NF Consumer(130)가 NF Producer(140)를 인증하는 효과를 제공할 수 있다. 또한, 본 개시는 네트워크 기능들 간의 발생할 수 있는 보안 문제를 해결하여, NF Consumer(130)가 인증된 NF Producer(140)로부터 안전하게 서비스를 받을 수 있는 효과를 제공할 수 있다.단계 S301에서, NF Consumer(130)는 Service Request를 SCP(114)에 전송할 수 있다. 본 개시의 실시 예에 따라서 NF Consumer(130)는 NF Producer(140)에게 특정 UE(10) 또는 UE(10)의 그룹 등을 대상으로 하는 특정 서비스를 요청하고, 이에 대한 회신을 수신할 수 있다. 이때, NF Consumer(130)는 서비스 요청이 전송될 NF Producer(140)를 선택하지 않을 수 있다. 대신에, NF Consumer(130)는 NF Producer(140)를 특정할 수 있는 요구 특성(한정되지 않은 예로, 요구 특성은 AMF(112), SMF(113), UDM(119) 등의 Network Function Type을 포함함), 특정 UE(10) 또는 UE(10)의 그룹이 서비스를 제공 받을 수 있는 네트워크 슬라이스 또는 NF Consumer(130)가 속한 네트워크 슬라이스를 나타낼 수 있는 네트워크 슬라이스 정보, 또는 NF Consumer(130)를 인증할 수 있는 CCA 인증서(Client Credential Assertion) 중 적어도 하나를 포함하는 Service Request를 SCP(114)에 전송할 수 있다.
본 개시의 실시 예에서 NF Consumer(130)의 CCA 인증서는 NF Consumer(130)의 NF Instance ID, 인증서의 유효기간을 알릴 수 있는 시간 정보, 예상되는 NF Producer의 NF Type, NF Consumer(130)가 속한 네트워크 슬라이스 정보, 또는 NF Consumer(130)의 디지털 인증서 또는 디지털 인증서의 URL 정보 중 적어도 하나를 포함할 수 있다. NF의 CCA는 NF의 서명 키로 서명될 수 있다.
단계 S303에서, NF Consumer(130)에게서 Service Request를 수신한 SCP(114)는 NF Consumer(130)에서 지정한 요구 특성에 맞는 NF Producer(140)를 선택할 수 있다. SCP(114)는 NF Producer(140)를 선택할 때, 단계 S302에서, NRF(117)에게 NF Consumer(130)에게서 수신한 요구 특성을 포함하는 정보들을 전달할 수 있다. 또한, SCP(114)는 요구 특성에 맞는 NF Producer(140)가 될 수 있는 Network Function들의 정보를 NRF(117)에게서 수신할 수 있다. 단계 S303에서, SCP(114)는 수신한 정보를 바탕으로 NF Producer(140)를 선택할 수 있다. SCP(114)는 NF Producer(140)를 선택할 때, 요구특성을 만족하는 NF Set을 선택하고 선택한 NF Set에 속한 NF Producer(140)를 선택할 수 있다.
단계 S304에서, SCP(114)는 선택된 NF Producer(140)에게 NF Consumer(130)에게서 수신한 Service Request를 전송하기 위해서 필요한 Access Token 발행을 NRF(117)에게 요청할 수 있다. 이때, Access Token Request 메시지는 아래의 정보들을 전부 또는 일부 포함할 수 있다.
- NF Consumer(130)의 NF Instance ID, NF Type
- 접근 허가를 원하는 NF 서비스에 대한 정보
- 접근 허가를 원하는 NF Producer(140)의 NF Type 및 NF Producer Instance ID 중 전부 또는 적어도 하나를 포함하는 정보.
SCP(114)는 상기 정보 외에 추가로 NF Consumer(130)의 CCA 인증서를 포함해서 Access Token 발행 요청을 NRF(117)에게 전송할 수 있다.
단계 S305에서, NRF(117)는 SCP(114)에게서 Access Token 발행 요청을 수신하였을 때, 함께 포함된 NF Consumer(130)의 CCA 인증서 정보와 NF Producer(140)의 정보를 확인하여 NF Consumer(130)가 NF Producer(140)에게서 서비스를 제공받을 수 있는 Network Function인지 권한 확인을 진행할 수 있다. NF Consumer(130)가 올바른 권한을 가지고 있는 Network Function으로 판정된 경우, 단계 S306에서, NRF(117)는 SCP(114)에게 NF Producer(140)에게 Service 요청 시 사용할 수 있는 Access Token을 발행할 수 있다.
단계 S307에서, SCP(114)는 NRF(117)에게서 Access Token을 발행 받은 후, 발행 받은 Access Token과 NF Consumer(130)의 CCA 인증서를 포함하여 NF Producer(140)에게 Service Request를 전송할 수 있다.
단계 S308에서, SCP(114)에게서 Service Request를 수신한 NF Producer(140)는 Service Request와 같이 수신한, Access Token과 NF Consumer(130)의 CCA 인증서를 확인하여, NF Consumer(130)가 NF Producer(140)에게 Service를 요청할 수 있는 올바른 Network Function인지를 확인하고, NRF(117)에게서 허가 받은 Service Request인지를 확인할 수 있다.
NF Producer(140)는 NF Consumer(130)의 인증과 Access Token 확인을 성공한 후, 단계 S309에서, NF Producer(140)는 NF Producer(140)의 CCA 인증서를 구성할 수 있다.
NF Producer(140)는 NF Consumer(130)의 인증과 Access Token 확인을 성공한 후, 단계 S310에서, NF Producer(140)는 Service Request의 응답으로 Service Response를 SCP(114)에게 전송할 수 있다. 이때, Service Response는 Service Request에서 요청된 정보 또는 서비스에 대한 응답 정보를 포함할 수 있다. 또한, Service Response는 NF Producer(140)를 인증할 수 있는 NF Producer(140)의 CCA 인증서를 포함할 수 있다.
본 개시의 일 실시예에 따른 NF Producer(140)의 CCA 인증서는 NF Producer의 NF Instance ID, NF Producer(140)가 속한 NF Set 정보, NF Producer(140)가 속한 NF type 정보, NF Producer(140)가 속한 네트워크 슬라이스 정보, NF Consumer(130)의 NF Instance ID, 인증서의 유효기간을 알릴 수 있는 시간 정보, 또는 NF Producer(140)의 디지털 인증서 또는 디지털 인증서의 URL 정보 중 적어도 하나를 포함할 수 있다. NF의 CCA는 NF의 서명 키로 서명될 수 있다.
단계 S312에서, SCP(114)는 NF Producer(140)로부터 수신한 Service Response 메시지를 NF Consumer(130)에게 전송할 수 있다.
본 개시의 또 다른 실시예로, 단계 S311에서, SCP(114)는 NF Producer(140)로부터 수신한 Service Response 메시지에 포함된 NF Producer(140)의 CCA 인증서를 검증하여, 해당 메시지가 Service Request를 수신한 NF Producer(140)에게서 전송된 것이며, 올바른 NF Producer(140)에게서 전송된 것인지 성공적으로 확인할 수 있다. 또한, SCP(114)는 해당 절차들이 성공적으로 수행된 경우에만 Service Response 메시지를 NF Consumer(130)에게 전송 할 수 있다. 단계 S311의 SCP(114) 동작은 선택적으로 수행될 수 있다.
단계 S313에서, SCP(114)에서 Service Response를 수신한 NF Consumer(130)는 Service Response에 포함된 NF Producer(140)의 CCA 인증서에 포함된 정보들을 확인할 수 있다. 일 예로, NF Consumer(130)는 NF Producer(140)의 NF type이 NF Consumer(130)가 Service Request를 전송할 때, 포함한 예상되는 NF Producer(140)의 NF type과 동일한 NF type인지를 확인하고, NF Producer(140)가 올바른 Network Function인지 인증할 수 있다. 일 예로, NF Consumer(130)는 NF Producer(140)의 CCA 인증서에 포함된 정보 중 네트워크 슬라이스 정보를 확인하여 NF Consumer(130)가 요청한 네트워크 슬라이스 정보와 NF Producer(140)가 서비스할 수 있는 네트워크 슬라이스 정보가 동일한지 확인할 수 있다. NF Producer(140)의 CCA 인증서의 확인 절차가 성공적으로 진행 된 경우, NF Consumer(130)는 Service Response가 NF Consumer(130)가 전송한 Service Request의 올바른 응답 임을 인지하고 해당 Service Response를 처리할 수 있다.
도 4는 본 개시의 실시 예에 따른 연결 대리자에서 네트워크 장치의 선택을 대행할 때, 네트워크 장치 유형 및 집합 정보 등을 포함하는 디지털 인증서를 활용한 네트워크 장치 간 REQUEST-RESPONSE 모델의 서비스 요청 및 회신의 인증 및 권한 허가 절차에 대한 신호 흐름도 이다.
도 4는 NF Consumer(130)가 NF Producer(140)의 CCA의 인증서에 연결된 NF Producer(140)의 디지털 인증서에 포함된 정보들을 이용하여 NF Producer(140)를 인증하는 실시예를 도시한다. 본 개시의 실시예에 따른 NF Producer(140)는 NF Producer(140)의 CCA 인증서에 연결된 NF Producer(140)의 디지털 인증서에 NF Consumer(130)가 예상 또는 타겟했던 NF Producer(140)가 맞는지 여부에 대해 NF Consumer(130)가 확인 또는 인증할 수 있는 정보들을 포함할 수 있다. NF Consumer(130)는 NF Producer(140)의 CCA 인증서에 연결된 NF Producer(140)의 디지털 인증서에 포함된 정보들을 이용하여 Service Response를 전송한 NF Producer(140)가 NF Consumer(130)가 예상 또는 타겟했던 NF Producer(140)가 맞는지 확인하고, NF Producer(140)를 인증할 수 있다.
본 개시의 실시예에 따르면, NF Consumer(130)가 NF Producer(140)를 직접 찾지 않고, SCP(114)가 NRF(117)와 데이터를 송수신하여 NF Producer(140)를 선택한 경우라도, NF Consumer(130)가 NF Producer(140)를 인증하는 효과를 제공할 수 있다. 또한, 공인된 인증서인 디지털 인증서를 이용하여 NF Consumer(130)가 NF Producer(140)를 인증할 수 있으므로, 신뢰도 높은 인증서를 사용하여 NF Producer(140)를 인증하는 효과를 제공할 수 있다. 또한, 본 개시는 네트워크 기능들 간의 발생할 수 있는 보안 문제를 해결하여, NF Consumer(130)가 인증된 NF Producer(140)로부터 안전하게 서비스를 받을 수 있는 효과를 제공할 수 있다.
본 개시의 실시 예에 따른 Network Function의 디지털 인증서는 아래의 정보들을 포함할 수 있다.
- Version: 디지털 인증서의 버전 정보
- Serial Number: 디지털 인증서의 고유 번호
- Validity Period: 디지털 인증서의 유효 기간
- Signature: 디지털 인증서에서 사용되는 서명 알고리즘에 따른 서명 정보
- Subject Public Key Info: 디지털 인증서에 포함된 Network Function의 공개키 정보
- Extensions: 디지털 인증서의 확장 정보
- Extensions에는 subjectAltName이 포함될 수 있다.
- subjectAltName은 Network Function을 지칭할 수 있는 정보들을 포함 될 수 있다.
본 개시의 실시 예에 따라서 Network Function들은 Network Function의 디지털 인증서에 Network Function의 Network Function type의 정보, Network Function이 속한 NF Set의 정보 등을 포함할 수 있다. 상기 Network Function에 관한 정보는 상기 디지털 인증서의 Extensions의 하나인 subjectAltName에 포함될 수도 있고, 다른 Extension에 포함될 수도 있다.
단계 S401에서, NF Consumer(130)는 Service Request를 SCP(114)에 전송할 수 있다. 본 개시의 실시 예에 따라서 NF Consumer(130)는 NF Producer(140)에게 특정 UE(10) 또는 UE(10)의 그룹 등을 대상으로 하는 특정 서비스를 요청하고, 이에 대한 회신을 수신할 수 있다. 이때, NF Consumer(130)는 서비스 요청이 전송될 NF Producer(140)를 선택하지 않을 수 있다. 대신에, NF Consumer(130)는 NF Producer(140)를 특정할 수 있는 요구 특성(한정되지 않는 예로, 요구 특성은 AMF(112), SMF(113), UDM(119) 등의 Network Function Type을 포함함), 특정 UE(10) 또는 UE(10)의 그룹이 서비스를 제공 받을 수 있는 네트워크 슬라이스 또는 NF Consumer가 속한 네트워크 슬라이스를 나타낼 수 있는 네트워크 슬라이스 정보, 또는 NF Consumer(130)를 인증할 수 있는 CCA 인증서(Client Credential Assertion) 중 적어도 하나를 포함하는 Service Request를 SCP(114)에 전송할 수 있다.
본 개시의 실시 예에서 NF Consumer(130)의 CCA 인증서는 NF Consumer(130)의 NF Instance ID, 인증서의 유효기간을 알릴 수 있는 시간 정보, 예상되는 NF Producer의 NF Type, NF Consumer가 속한 네트워크 슬라이스 정보, 또는 NF Consumer(130)의 디지털 인증서 또는 디지털 인증서의 URL 정보 등을 포함할 수 있다. NF의 CCA는 NF의 서명 키로 서명될 수 있다.
단계 S403에서, NF Consumer(130)에게서 Service Request를 수신한 SCP(114)는 NF Consumer(130)에서 지정한 요구 특성에 맞는 NF Producer(140)를 선택할 수 있다. SCP(114)는 NF Producer(140)를 선택할 때, 단계 S402에서, NRF(117)에게 NF Consumer(130)에게서 수신한 요구 특성을 포함하는 정보들을 전달할 수 있다. 또한, SCP(114)는 요구 특성에 맞는 NF Producer(140)가 될 수 있는 Network Function들의 정보를 NRF(117)에게서 수신할 수 있다. 단계 S403에서, SCP(114)는 수신한 정보를 바탕으로 NF Producer(140)를 선택할 수 있다. SCP(114)는 NF Producer(140)를 선택할 때, 요구특성을 만족하는 NF Set을 선택하고 선택한 NF Set에 속한 NF Producer(140)를 선택할 수 있다.
단계 S404에서, SCP(114)는 선택된 NF Producer(140)에게 NF Consumer(130)에게서 수신한 Service Request를 전송하기 위해서 필요한 Access Token 발행을 NRF(117)에게 요청할 수 있다. 이때, Access Token Request 메시지는 아래의 정보들을 전부 또는 일부 포함할 수 있다.
- NF Consumer(130)의 NF Instance ID, NF Type
- 접근 허가를 원하는 NF 서비스에 대한 정보
- 접근 허가를 원하는 NF Producer(140)의 NF Type 및 NF Producer Instance ID 중 전부 또는 적어도 하나를 포함하는 정보.
SCP(114)는 상기 정보 외에 추가로 NF Consumer(130)의 CCA 인증서를 포함해서 Access Token 발행 요청을 NRF(117)에게 전송할 수 있다.
단계 S405에서, NRF(117)는 SCP(114)에게서 Access Token 발행 요청을 수신하였을 때, 함께 포함된 NF Consumer(130)의 CCA 인증서 정보와 NF Producer(140)의 정보를 확인하여 NF Consumer(130)가 NF Producer(140)에게서 서비스를 제공받을 수 있는 Network Function인지 권한 확인을 진행할 수 있다. NF Consumer(130)가 올바른 권한을 가지고 있는 Network Function으로 판정된 경우, 단계 S406에서, NRF(117)는 SCP(114)에게 NF Producer(140)에게 Service 요청 시 사용할 수 있는 Access Token을 발행할 수 있다
단계 S407에서, SCP(114)는 NRF(117)에게서 Access Token을 발행 받은 후, 발행 받은 Access Token과 NF Consumer(130)의 CCA 인증서를 포함하여 NF Producer(140)에게 Service Request를 전송할 수 있다.
단계 S408에서, SCP(114)에게서 Service Request를 수신한 NF Producer(140)는 Service Request와 같이 수신한, Access Token과 NF Consumer(130)의 CCA 인증서를 확인하여, NF Consumer(130)가 NF Producer(140)에게 Service를 요청할 수 있는 올바른 Network Function인지를 확인하고, NRF(117)에게서 허가 받은 Service Request인지를 확인할 수 있다.
NF Producer(140)는 NF Consumer(130)의 인증과 Access Token 확인을 성공한 후, 단계 S409에서, NF Producer(140)는 NF Producer(140)의 CCA 인증서를 구성할 수 있다.
NF Producer(140)는 NF Consumer(130)의 인증과 Access Token 확인을 성공한 후, 단계 S410에서, NF Producer(140)는 Service Request의 응답으로 Service Response를 SCP(114)에게 전송할 수 있다. 이때, Service Response는 Service Request에서 요청된 정보 또는 서비스에 대한 응답 정보를 포함할 수 있다. 또한, Service Response는 NF Producer(140)를 인증할 수 있는 CCA 인증서를 포함할 수 있다.
본 개시의 일 실시예에 따른 NF Producer(140)의 CCA 인증서는 NF Producer(140)의 NF Instance ID, NF Consumer(130)의 NF Instance ID, 인증서의 유효기간을 알릴 수 있는 시간 정보, 또는 NF Producer(140)가 속한 네트워크 슬라이스 정보, NF Producer(140)의 디지털 인증서 또는 디지털 인증서의 URL 정보 중 적어도 하나를 포함할 수 있다. NF의 CCA는 NF의 서명 키로 서명될 수 있다. 본 개시의 일 실시예에 따른 NF Producer(140)의 디지털 인증서는 상술한 디지털 인증서에 포함된 정보들을 포함할 수 있다. 일 예로, NF Producer(140)의 CCA 인증서와 연결된 디지털 인증서는 NF Producer(140)의 NF Type, NF Producer(140)가 속한 NF Set의 정보 중 적어도 하나를 포함할 수 있다.
단계 S411에서, SCP(114)는 NF Producer(140)로부터 수신한 Service Response 메시지를 NF Consumer(130)에게 전송할 수 있다.
본 개시의 일 실시예에 따른 SCP(114)는 NF Producer(140)로부터 수신한 Service Response 메시지에 포함된 NF Producer(140)의 CCA 인증서 및 NF Producer(140)의 CCA 인증서와 연결된 디지털 인증서에 포함된 정보들을 검증하여, 해당 메시지가 Service Request를 수신한 NF Producer(140)에게서 전송된 것이며, 올바른 NF Producer(140)에게서 전송된 것인지 성공적으로 확인할 수 있다. 또한, SCP(114)는 해당 절차들이 성공적으로 수행된 경우에만 Service Response 메시지를 NF Consumer(130)에게 전송 할 수 있다. 상술한 SCP(114) 동작은 선택적으로 수행될 수 있다. 해당 실시예에 따르면, 단계 S412에서, SCP(114)에서 Service Response를 수신한 NF Consumer(130)는 Service Response에 포함된 NF Producer(140)의 CCA 인증서의 확인 절차 등을 진행할 수 있다. NF Consumer(130)는 확인 절차가 성공적으로 진행 된 경우, Service Response가 NF Consumer(130)가 전송한 Service Request의 올바른 응답 임을 인지하고 해당 Service Response를 처리할 수 있다.
다른 일 실시예에 따른 NF Consumer(130)는, 단계 S412에서, Service Response에 포함된 NF Producer(140)의 CCA 인증서에 포함된 정보들 또는 NF Producer(140)의 CCA 인증서와 연결된 디지털 인증서에 포함된 정보들 중 적어도 하나를 확인할 수 있다. 일예로, NF Consumer(130)는 NF Producer(140)의 CCA 인증서와 연결된 디지털 인증서에 포함된 정보들을 확인하여 NF Producer(140)의 NF type이 NF Consumer(130)가 Service Request를 전송할 때, 포함한 예상되는 NF Producer(140)의 NF type과 동일한 NF type인지를 확인하고, NF Producer(140)가 올바른 Network Function인지 인증할 수 있다. NF Producer(140)의 CCA 인증서 및 연결된 디지털 인증서의 확인 절차가 성공적으로 진행 된 경우, Service Response가 NF Consumer(130)가 전송한 Service Request의 올바른 응답 임을 인지하고 해당 Service Response를 처리할 수 있다.
도 5는 본 개시의 실시 예에 따른 네트워크 장치 집합 정보를 네트워크 장치 선택을 활용한 네트워크 장치 간 REQUEST-RESPONSE 모델의 서비스 요청 및 회신의 인증 및 권한 허가 절차에 대한 신호 흐름도이다.
도 5는 NF Consumer(130)가 NF Producer(140)의 CCA의 인증서에 포함된 정보들을 이용하여 NF Producer(140)를 인증하는 실시예를 도시한다. 도 5의 실시예에서, NF Consumer(130)는 NRF(117)과의 데이터 송수신을 통해 NF Producer(140)을 선택할 수 있다. 다만, 도 5의 실시예에서, NF Consumer(130)과 NF Producer(140) 간의 통신은 SCP(114)를 통해서 수행될 수 있다. 이때, SCP(114)는 NF Consumer(130)의 CCA 인증서를 포함한 Service Request를 전송할 때, NF Consumer(130)가 선택한 NF Producer(140)와 다른 NF Producer(140)로 NF Consumer(130)의 Service Request를 전송할 수 있다. 따라서, SCP(114)이 NF Producer(140)에 대해 리셀렉션(re-selection)을 수행하는 것을 대비하여, NF Producer(140)는 NF Producer(140)의 CCA 인증서 및 CCA 인증서에 연결된 디지털 인증서에 NF Consumer(130)가 예상 또는 타겟했던 NF Producer(140)가 맞는지 NF Consumer(130)가 확인 또는 인증할 수 있는 정보들을 포함할 수 있다. NF Consumer(130)는 NF Producer(140)의 CCA 인증서 또는 디지털 인증서에 포함된 정보들을 이용하여 Service Response를 전송한 NF Producer(140)가 NF Consumer(130)가 예상 또는 타겟했던 NF Producer(140)가 맞는지 확인하고, NF Producer(140)를 인증할 수 있다.
본 개시의 실시예에 따르면, NF Consumer(130)가 선택한 NF Producer(140)와 다른 NF Producer(140)를 SCP(114)가 선택한 경우라도, NF Consumer(130)가 NF Producer(140)를 인증하는 효과를 제공할 수 있다. 또한, 본 개시에 따르면 NF Producer(140)가 생성하는 NF Producer(140)의 CCA 또는 디지털 인증서를 이용하여 NF Consumer(130)가 NF Producer(140)를 인증하는 효과를 제공할 수 있다. 또한, 본 개시는 네트워크 기능들 간의 발생할 수 있는 보안 문제를 해결하여, NF Consumer(130)가 인증된 NF Producer(140)로부터 안전하게 서비스를 받을 수 있는 효과를 제공할 수 있다.
본 개시의 실시 예에 따라서 NF Consumer(130)는 NF Producer(140)에게 특정 UE(10) 또는 UE(10)의 그룹 등을 대상으로 하는 특정 서비스를 요청하고 이에 대한 회신을 수신할 수 있다. NF Consumer(130)는 서비스 회신을 수신할 때, 이 서비스 회신을 전송한 NF가 NF Consumer(130)가 서비스를 받고자 예상했던 NF Producer(140)인지 또는 서비스를 받고자 예상했던 NF Producer(140)와 같은 NF Set에 포함된 NF 인지 검증할 수 있다. 여기서 NF set은 둘 이상의 NF들을 포함할 수 있으며, 서로 다른 NF가 동일한 서비스를 제공할 수도 있고, 서로 다른 서비스를 제공하는 NF일 수도 있다.
단계 S501에서, NF Consumer(130)는 다른 NF에게서 서비스를 받아야 함을 결정하고, 서비스를 제공해줄 수 있는 NF의 정보를 NRF(117)에게서 획득할 수 있다.
이때, NRF(117)는 NF Consumer(130)가 서비스를 요청하고자 하는 Network Function의 NF Type의 정보에 해당하는 NF Instance 정보 및 해당 NF Instance들이 속한 NF Set의 NF Set ID 정보들을 NF Consumer(130)에게 알려 줄 수 있다.
NF Consumer(130)는 NRF(117)에서 수신한 NF instance(들)의 정보 및/또는 NF Set의 정보를 각각 후보 NF 인스턴스 리스트(list of candidate NF instances)와 타겟 NF Set의 정보로 저장할 수 있다. 이처럼 저장된 정보는 향후, 이 정보에 대응하여 수신할 Service Response 메시지가 올바른 NF Producer(140)에서 온 것인지 검증할 때 활용할 수 있다.
단계 S502에서, NF Consumer(130)는 Service Request 메시지를 전송할 수 있도록 NRF(117)에게서 권한 확인을 수행하고 토큰을 발행 받기 위하여 Access Token Request 메시지를 전송할 수 있다. 이때, Access Token Request 메시지는 아래의 정보들을 전부 또는 일부 포함할 수 있다.
- NF Consumer(130)의 NF Instance ID, NF Type
- 접근 허가를 원하는 NF 서비스에 대한 정보
- 접근 허가를 원하는 NF Producer(140)의 NF Type 및 NF Producer Instance ID 중 전부 또는 적어도 하나를 포함하는 정보.
상기 Access Token Request 메시지의 정보는 상기 NRF(117)에게서 수신한 NF Instance ID들의 정보를 활용하여 NF Producer Instance ID 등의 정보를 지정할 수 있다.
NRF(117)는 Access Token Request 메시지에 포함된 정보 및 예상되는 NF Producer(140)가 지정한 정보(예를 들어, 서비스를 받을 수 있는 NF Consumer(130)의 NF type 등)를 활용하여 해당 토큰 요청에 대한 권한 허가를 결정하고 토큰을 발행할 수 있다. 단계 S503에서, 이처럼 발행된 토큰을 포함하는 Access Token Response 메시지는 NFR(117)로부터 NF Consumer(130)로 전송될 수 있다.
본 개시의 다른 실시 예로 Access Token Request 메시지의 전송 및 Access token Response 메시지의 수신 절차는 NF Discovery Request 메시지 전송 전에 이루어 질 수도 있다 (단계 S504).
NF Consumer(130)는 Access Token Response 메시지를 수신하고, NF Consumer(130)에 대한 CCA 인증서를 생성할 수 있다.
단계 S505에서, NF Consumer(130)는 CCA 인증서를 생성한 후 NF Producer(140)에게 보낼 Service Request 메시지를 SCP(114)에게 전송할 수 있다. 이때, Service Request 메시지는 요청되는 서비스의 정보, CCA 인증서 및 NRF(117)로부터 수신한 토큰을 포함할 수 있다. 이때, NF Consumer(130)는 후보 NF 인스턴스 리스트 또는 NF set 정보를 Service Request 메시지에 포함하거나 별도의 메시지를 Service Request 메시지와 함께 SCP(114)로 전달할 수 있다. 이처럼 별도의 메시지를 통해 또는 Service Request 메시지의 별도의 필드를 이용하여 후보 NF 인스턴스 리스트를 전송하는 경우 SCP(114)는 지칭된 NF Producer(140)가 연결되지 않을 때, 후보 NF 인스턴스 리스트 또는 NF Set에 포함된 다른 NF Instance를 선택하고 선택된 NF Instance로 Service Request 메시지를 전송할 수 있다. 즉, SCP(114)는 수신된 Service Request 메시지에 기반하여 NF Producer(140)를 선택할 수 있다.
단계 S506에서, SCP(114)는 NF Consumer(130)로부터 수신한 Service Request 메시지를 NF Producer(140)에게 전송할 수 있다. 이때, SCP(114)는 NF Consumer(130)로부터 수신한 Service Request 메시지에 지칭된 NF Producer(140)를 확인할 수 없거나, NF Producer(140)에게 연결이 되지 않는 등의 문제로 NF Producer(140)가 Service Request 메시지를 처리할 수 없을 것으로 예상되는 경우, 수신한 후보 NF 인스턴스 리스트 또는 타겟 NF Set의 정보에서 해당 Service Request 메시지를 처리해 줄 다른 후보 NF Producer(140)를 찾고, 찾아진 후보 NF Producer(140)에게 Service Request 메시지를 전송할 수 있다.
단계 S507에서, NF Producer(140)는 수신한 Service Request 메시지에 포함된 토큰과 CCA 인증서를 검증하여 Service Request 메시지를 전송한 NF Consumer(130)를 인증하고 NRF(117)에서 접근 허가를 받은 NF인지 확인할 수 있다. 본 개시에서는 정상적인 경우 즉, Service Request 메시지를 전송한 NF Consumer(130)가 NRF(117)에서 접근 허가를 받은 NF인 경우를 가정한다.
이후, 단계 S508에서, NF Producer(140)는 NF Producer(140)의 CCA 인증서를 생성할 수 있다.
단계 S509에서, NF Producer(140)는 NF Consumer(130)에게 요청 받은 Service를 제공하기 위해 NF Consumer(130)에게 Service Response 메시지를 SCP(114)를 경유하여 전송할 수 있다. 이때, NF Producer(140)는 NF Consumer(130)에게 자신을 인증 할 수 있는 CCA 인증서를 Service Response 메시지에 추가하여 전송할 수 있다.
본 개시의 실시 예에서 NF Producer(140)가 생성하는 CCA 인증서는 NF Consumer(130)의 NF Instance ID, NF Producer(140)의 NF Instance ID, NF Producer(140)가 속한 NF Set 정보, NF Producer(140)가 속한 네트워크 슬라이스 정보, 인증서의 유효기간을 알릴 수 있는 시간 정보, 또는 NF Producer(140)의 디지털 인증서 또는 디지털 인증서의 URL 정보 중 적어도 하나를 포함할 수 있다. NF의 CCA는 NF의 서명 키로 서명될 수 있다.
본 개시의 또 다른 실시 예로 NF Producer(140)의 디지털 인증서는 도4에서 상술한 디지털 인증서에 포함된 정보들을 포함할 수 있다. 일 예로, NF Producer(140)의 CCA 인증서와 연결된 디지털 인증서는 NF Producer(140)의 NF Type, NF Producer(140)가 속한 NF Set의 정보 중 적어도 하나를 포함할 수 있다.
단계 S510에서, SCP(114)는 NF Producer(140)로부터 수신한 Service Response를 NF Consumer(130)로 전송할 수 있다.
NF Consumer(130)는 Service Response 메시지를 수신한 후, 단계 S511에서, NF Producer(140)의 CCA 인증서 및 NF Producer(140)의 디지털 인증서를 검증하여 NF Producer(140)를 인증할 수 있다. 일 예로, NF Consumer(130)가 NF Producer(140)를 인증하는 경우, NF Consumer(130)는 해당 NF Producer(140)가 NF Consumer(130)가 Service Request를 전송할 때, 관리했던 후보 NF 인스턴스 리스트 또는 타겟 NF Set에 포함되는지 검증할 수 있다. 검증 결과 NF Producer(140)가 Service Request 메시지에서 전송한 후보 NF 인스턴스 리스트 또는 타겟 NF Set에 포함된 경우, NF Consumer(130)는 올바른 NF Producer(140)가 전송한 Service Response 메시지인지 인증할 수 있다.
본 개시의 또 다른 실시 예로 NF Producer(140)가 생성하는 CCA는 NF Producer(140)가 수신한 Service Request를 전송해준 SCP(114)를 지칭할 수 있는 정보, 예를 들어 SCP(114)의 NF Instance ID 등의 정보를 포함할 수 있다.
NF Producer(140)가 생성하는 CCA(CCA of NFp)를 포함하는 Service Response 메시지를 수신하는 SCP(114)는 2가지 상황을 고려할 수 있다.
첫 번째 경우는 SCP(114)가 수신한 Service response 메시지에 포함된 CCA 정보(즉, NF Producer(140)가 생성한 CCA(CCA of NFp) 정보)에서 지시하는 SCP(114)가 해당 SCP(114)(즉, 자신)인 경우일 수 있다. 일 실시예에 따른 SCP(114)는 CCA 정보에서 자신을 지칭하고 있으므로, SCP(114)는 수신한 Service Response 메시지가 정상적인 것으로 인증할 수 있다.
두 번째 경우는 SCP(114)가 수신한 Service response 메시지에 포함된 CCA 정보(즉, NF Producer(140)가 생성한 CCA(CCA of NFp) 정보)에서 지시하는 SCP(114)가 해당 SCP(114)(즉, 자신)이 아닌 다른 SCP인 경우일 수 있다.
일 실시예에 따른 SCP(114)는 CCA 정보에서 다른 SCP를 지칭하고 있으므로, Service Response 메시지가 비정상적인 것으로 판정(식별)할 수 있다.
하지만, SCP(114)가 수신한 Service response 메시지에 포함된 NF Producer(140)가 생성한 CCA(CCA of NFp) 정보에서 지시하는 SCP(114)가 자신이 아닌 다른 SCP(SCP_2)인 경우에도 Service Response 메시지가 정상적일 수 있다. 한정되지 않은 일 예로, Service Request 메시지의 전송을 요청 받은 SCP(SCP_2)는 직접 NF Producer(140)에게 Service Request 메시지를 전송하지 않고, 다른 SCP(SCP_1)에게 Service Request 메시지의 전송을 의뢰할 수 있다. 이런 경우 Service response 메시지에 포함된 CCA 정보(즉, NF Producer(140)가 생성한 CCA(CCA of NFp) 정보)에서 지시하는 SCP는 SCP_2일 수 있다. 본 개시의 일 실시예에 따른 SCP_1은 해당하는 Service Request 메시지에 대하여 SCP_2로부터 전송을 요청 받았는지 여부를 식별할 수 있다. 만일 SCP_2로부터 해당하는 Service Request 메시지의 전송을 요청 받은 경우라면, SCP_1은 추가적인 정보를 이용하여 SCP_1가 수신한 Service Response 메시지가 올바른 메시지인지 식별할 수 있다.
추가적인 정보를 이용하여 식별하는 예로, NF Consumer(130)가 NF Producer(140)로 Service Request 메시지를 전송한 경우, SCP_1은 해당하는 NF Producer(140)로부터 해당 NF Consumer(130)로 전송되는 응답으로 Service Response 메시지가 수신된 것인지를 검증함으로써 Service Response 메시지가 올바른 메시지인지 식별(검증)할 수 있다.
만일 상술한 검증 방법 중 적어도 하나의 방법에 의해 검증이 실패하는 경우 SCP(114)는 Service Response 메시지를 거절하거나 NF Consumer(130)로 해당하는 Service Response 메시지가 올바른 NF Producer(140)에게서 수신되지 않은 것임을 알릴 수 있다.
일 실시예에 따른 NF Consumer(130)는 SCP(114)로부터 Service Response가 올바른 NF Producer(140)로부터 수신되지 않은 것임을 통지(연락)받는 경우, 해당 Service Response를 올바르지 않은 Service Response로 판정할 수 있다. 이후 NF Consumer(130)는 필요한 일련의 동작을 수행할 수 있다.
본 개시에 따르면, 네트워크 장치 간에 연결 대리자를 통해서 연결이 이루어 질 때, 네트워크 장치 간에 서비스를 요청하고, 이에 대한 인증 및 허가를 수행할 수 있다. 특히 service consumer가 연결 대리자(Service Communication Proxy)를 통해서 service producer를 선택하고 service producer에게 요청 할 수 있다.
도 6은 본 개시의 일실시예에 따른 무선 통신 시스템에서 NF (network function) 소비자 (consumer)가 동작하는 방법에 대한 흐름도이다.
본 개시의 일 실시예에 따른 NF (network function) 소비자 (consumer)(130)는 도1에서 전술한 네트워크 기능(network function), 또는 네트워크 엔티티 중 하나일 수 있다. 또한, NF 제공자(producer)(140)는 도1에서 전술한 네트워크 기능(network function), 또는 네트워크 엔티티 중 하나일 수 있다.
단계 S610에서, NF 소비자(130)는 SCP (service communication proxy)(114)에게 NF 소비자(130)의 CCA (client credentials assertion) 인증서, NF 제공자(producer)(140)에 대한 요구 특성 정보, 또는 네트워크 슬라이스 정보 중 적어도 하나를 포함하는 서비스 요청 메시지를 전송할 수 있다.
일 실시예에 따른 NF 제공자(140)에 대한 요구 특성 정보는 NF 소비자(140)가 요청하는 NF 제공자의 네트워크 기능 타입 정보를 포함할 수 있다. NF 제공자(140)는 요구 특성 정보에 기초하여 SCP(114)에 의해 선택될 수 있다.
단계 S620에서, NF 소비자(130)는 SCP(114)로부터 서비스 요청 메시지에 기초하여 NF 제공자(140)의 CCA 인증서를 포함하는 서비스 응답 메시지를 수신할 수 있다.
일 실시예에 따른 NF 소비자(130)의 CCA 인증서에 연결된 NF 소비자(130)의 디지털 인증서는, NF 소비자(130)의 네트워크 기능 타입 정보, NF 소비자(130)가 속한 네트워크 기능 세트의 정보, 또는 네트워크 슬라이스 정보 중 적어도 하나의 정보를 포함할 수 있다.
일 실시예에 따른 NF 제공자(140)의 CCA 인증서는, NF 제공자(140)의 NF Instance ID, NF 제공자(140)가 속한 네트워크 기능 세트 정보, NF 제공자(140)가 속한 네트워크 기능 타입 정보, NF 제공자가 속한 네트워크 슬라이스 정보, NF 소비자(130)의 NF Instance ID, 인증서의 유효기간 정보, NF 제공자(140)의 디지털 인증서, 또는 NF 제공자(140)의 디지털 인증서의 URL 정보 중 적어도 하나의 정보를 포함할 수 있다.
단계 S630에서, NF 소비자(130)는 서비스 응답 메시지에 기초하여, 서비스 응답 메시지를 전송한 NF 제공자(140)를 인증할 수 있다.
일 실시예에 따른 NF 소비자(130)는 SCP(114)가 서비스 응답 메시지에 기초하여 NF 제공자(140)의 CCA 인증서에 대해 인증한 결과 정보를 SCP(114)로부터 수신할 수 있다. NF 소비자(130)는 NF 제공자(140)의 CCA 인증서에 대해 인증한 결과 정보에 기초하여 NF 제공자(140)의 CCA 인증서를 확인할 수 있다.
일 실시예에 따른 NF 소비자(130)는 NF 제공자(140)의 CCA 인증서에 포함된 NF 제공자(140)가 속한 네트워크 기능 타입 정보 및 서비스 요청 메시지에서 요청한 NF 제공자(140)의 네트워크 기능 타입 정보에 기초하여 NF 제공자(140)를 인증할 수 있다.
일 실시예에 따른 NF 소비자(130)는 NF 제공자(140)의 CCA 인증서에 연결된 NF 제공자(140)의 디지털 인증서에 포함된 적어도 하나의 NF 제공자(140)의 네트워크 기능 타입 정보, 또는 NF 제공자(140)가 속한 네트워크 기능 타입 세트 정보에 기초하여 NF 제공자를 인증할 수 있다.
도 7은 본 개시의 일 실시예에 따른 무선 통신 시스템에서 NF (network function) 제공자(producer)가 동작하는 방법에 대한 흐름도이다.
본 개시의 일 실시예에 따른 NF (network function) 소비자 (consumer)(130)는 도1에서 전술한 네트워크 기능(network function), 또는 네트워크 엔티티 중 하나일 수 있다. 또한, NF 제공자(producer)(140)는 도1에서 전술한 네트워크 기능(network function), 또는 네트워크 엔티티 중 하나일 수 있다.
단계 S710에서, NF 제공자(140)는 SCP (service communication proxy)(114)로부터 NF 소비자 (130)의 CCA (client credentials assertion) 인증서 및 액세스 토큰을 포함하는 서비스 요청 메시지를 수신할 수 있다.
일 실시예에 따른 NF 제공자(140)는 NF 소비자(130)가 SCP(114)에게 전송한 메시지에 포함된 NF 제공자(140)에 대한 요구 특성 정보에 기초하여 SCP(114)에 의해 선택될 수 있다. NF 소비자(130)가 SCP(114)에게 전송한 메시지는 NF 소비자(130)의 CCA 인증서, NF 제공자(140)에 대한 요구 특성 정보, 또는 네트워크 슬라이스 정보 중 적어도 하나를 포함할 수 있다. 일 예로, NF 제공자(140)에 대한 요구 특성 정보는 NF 소비자(130)가 요청하는 NF 제공자(140)의 네트워크 기능 타입 정보를 포함할 수 있다.
단계 S720에서, NF 제공자(140)는 서비스 요청 메시지에 기초하여, NF 소비자(130)를 인증할 수 있다.
단계 S730에서, NF 제공자(140)는 NF 소비자(130)를 인증한 경우, NF 제공자(140)의 CCA 인증서를 포함하는 서비스 응답 메시지를 생성할 수 있다.
일 실시예에 따른 NF 제공자(140)는 NF 제공자(140)의 NF Instance ID, NF 제공자(140)가 속한 네트워크 기능 세트 정보, NF 제공자(140)가 속한 네트워크 기능 타입 정보, NF 제공자가 속한 네트워크 슬라이스 정보, NF 소비자(130)의 NF Instance ID, 인증서의 유효기간 정보, NF 제공자(140)의 디지털 인증서, 또는 NF 제공자(140)의 디지털 인증서의 URL 정보 중 적어도 하나의 정보를 포함하는 NF 제공자(140)의 CCA 인증서를 생성할 수 있다.일 실시예에 따른 NF 소비자(130)의 CCA 인증서에 연결된 NF 소비자(130)의 디지털 인증서는, NF 소비자(130)의 네트워크 기능 타입 정보, NF 소비자(130)가 속한 네트워크 기능 세트의 정보, 또는 네트워크 슬라이스 정보 중 적어도 하나의 정보를 포함할 수 있다.
단계 S730에서, NF 제공자(140)는 NF 제공자(140)의 CCA 인증서를 포함하는 서비스 응답 메시지를 SCP(114)로 전송할 수 있다.
일 실시예에 따른 NF 제공자(140)의 CCA 인증서에 연결된 NF 제공자(140)의 디지털 인증서는 적어도 하나의 NF 제공자(140)의 네트워크 기능 타입 정보, 또는 NF 제공자(140)가 속한 네트워크 기능 타입 세트 정보를 포함할 수 있다.
일 실시예에 따른 NF 제공자(140)의 CCA 인증서는 서비스 응답 메시지에 기초하여 SCP(114)에 의해 인증될 수 있다. SCP(114)가 NF 제공자(140)의 CCA 인증서에 대해 인증한 결과 정보는 NF 소비자(130)에게 전송될 수 있다.
일 실시예에 따른 NF 제공자(140)는 NF 제공자(140)의 CCA 인증서에 포함된 NF 제공자(140)가 속한 네트워크 기능 타입 정보 및 서비스 요청 메시지에서 요청한 NF 제공자(140)의 네트워크 기능 타입 정보에 기초하여 상기 NF 소비자에 의해 인증될 수 있다.
도 8는 본 개시의 실시 예에 따른 단말의 구성을 나타낸 도면이다.
본 개시의 일 실시예에 따른 단말은 단말의 전반적인 동작을 제어하는 프로세서(801), 송신부 및 수신부를 포함하는 송수신부(802) 및 메모리(803)를 포함할 수 있다. 물론 상기 예시에 제한되는 것은 아니며 단말은 도 8에 도시된 구성보다 더 많은 구성을 포함할 수도 있고, 더 적은 구성을 포함할 수도 있다.
본 개시의 일 실시예에 따르면, 송수신부(802)는 네트워크 엔티티(Network Entity)들 또는 다른 단말과 신호를 송수신할 수 있다. 네트워크 엔티티와 송수신하는 신호는 제어 정보와 데이터를 포함할 수 있다. 또한 송수신부(802)는 무선 채널을 통해 신호를 수신하여 프로세서(801)로 출력하고, 프로세서(801)로부터 출력된 신호를 무선 채널을 통해 전송할 수 있다.
본 개시의 일 실시예에 따르면, 프로세서(801)는 상술한 실시 예들 중 어느 하나의 동작을 수행하도록 단말을 제어할 수 있다. 한편, 프로세서(801), 메모리(803), 및 송수신부(802)는 반드시 별도의 모듈들로 구현되어야 하는 것은 아니고, 단일 칩과 같은 형태로 하나의 구성부로 구현될 수 있음은 물론이다. 그리고, 프로세서(801) 및 송수신부(802)는 전기적으로 연결될 수 있다. 또한 프로세서(801)는 AP(Application Processor), CP(Communication Processor), 회로(circuit), 어플리케이션 특정(application-specific) 회로, 또는 적어도 하나의 프로세서(processor)일 수 있다.
본 개시의 일 실시예에 따르면, 메모리(803)는 단말의 동작을 위한 기본 프로그램, 응용 프로그램, 설정 정보 등의 데이터를 저장할 수 있다. 특히, 메모리(803)는 프로세서(801)의 요청에 따라 저장된 데이터를 제공한다. 메모리(803)는 롬 (ROM), 램(RAM), 하드디스크, CD-ROM 및 DVD 등과 같은 저장 매체 또는 저장 매체들의 조합으로 구성될 수 있다. 또한, 메모리(803)는 복수 개일 수 있다. 또한 프로세서(801)는 메모리(803)에 저장된 전술한 본 개시의 실시예들을 수행하기 위한 프로그램에 기초하여 전술한 실시예들을 수행할 수 있다.
도 9은 본 개시의 실시 예에 따른 네트워크 엔티티(Network Entity)의 구성을 나타낸 도면이다.
본 개시의 일 실시예에 따른 네트워크 엔티티는 네트워크 엔티티의 전반적인 동작을 제어하는 프로세서(901), 송신부 및 수신부를 포함하는 송수신부(902) 및 메모리(903)를 포함할 수 있다. 물론 상기 예시에 제한되는 것은 아니며 네트워크 엔티티는 도 9에 도시된 구성보다 더 많은 구성을 포함할 수도 있고, 더 적은 구성을 포함할 수도 있다.
본 개시의 일 실시예에 따르면, 송수신부(902)는 다른 네트워크 엔티티들 또는 단말 중 적어도 하나와 신호를 송수신할 수 있다. 다른 네트워크 엔티티들 또는 단말 중 적어도 하나와 송수신하는 신호는 제어 정보와 데이터를 포함할 수 있다.
본 개시의 일 실시예에 따르면, 프로세서(901)는 상술한 실시 예들 중 어느 하나의 동작을 수행하도록 네트워크 엔티티를 제어할 수 있다. 한편, 프로세서(901), 메모리(903) 및 송수신부(902)는 반드시 별도의 모듈들로 구현되어야 하는 것은 아니고, 단일 칩과 같은 형태로 하나의 구성부로 구현될 수 있음은 물론이다. 그리고, 프로세서(901) 및 송수신부(902)는 전기적으로 연결될 수 있다. 또한, 프로세서(901)는 AP(Application Processor), CP(Communication Processor), 회로(circuit), 어플리케이션 특정(application-specific) 회로, 또는 적어도 하나의 프로세서(processor)일 수 있다.
본 개시의 일 실시예에 따르면, 메모리(903)는 네트워크 엔티티의 동작을 위한 기본 프로그램, 응용 프로그램, 설정 정보 등의 데이터를 저장할 수 있다. 특히, 메모리(903)는 프로세서(901)의 요청에 따라 저장된 데이터를 제공한다. 메모리(903)는 롬(ROM), 램(RAM), 하드디스크, CD-ROM 및 DVD 등과 같은 저장 매체 또는 저장 매체들의 조합으로 구성될 수 있다. 또한, 메모리(903)는 복수 개일 수 있다. 또한 프로세서(901)는 메모리(903)에 저장된 전술한 본 개시의 실시예들을 수행하기 위한 프로그램에 기초하여 전술한 실시예들을 수행할 수 있다.
전술한 구성도, 제어/데이터 신호 송신 방법의 예시도, 동작 절차 예시도, 구성도들은 본 개시의 권리범위를 한정하기 위한 의도가 없음을 유의하여야 한다. 즉, 본 개시의 실시 예에 기재된 모든 구성부, 엔티티, 또는 동작의 단계가 개시의 실시를 위한 필수구성요소인 것으로 해석되어서는 안되며, 일부 구성요소 만을 포함하여도 개시의 본질을 해치지 않는 범위 내에서 구현될 수 있다. 또한 각 실시예는 필요에 따라 서로 조합되어 운용할 수 있다. 예컨대, 본 개시에서 제안하는 방법들의 일부분들이 서로 조합되어 네트워크 엔티티와 단말이 운용될 수 있다.
앞서 설명한 기지국이나 단말의 동작들은 해당 프로그램 코드를 저장한 메모리 장치를 기지국 또는 단말 장치 내의 임의의 구성부에 구비함으로써 실현될 수 있다. 즉, 기지국 또는 단말 장치의 제어부는 메모리 장치 내에 저장된 프로그램 코드를 프로세서 혹은 CPU(Central Processing Unit)에 의해 읽어내어 실행함으로써 앞서 설명한 동작들을 실행할 수 있다.
본 명세서에서 설명되는 엔티티, 기지국 또는 단말 장치의 다양한 구성부들과, 모듈(module)등은 하드웨어(hardware) 회로, 일 예로 상보성 금속 산화막 반도체(complementary metal oxide semiconductor) 기반 논리 회로와, 펌웨어(firmware)와, 소프트웨어(software) 및/혹은 하드웨어와 펌웨어 및/혹은 머신 판독 가능 매체에 삽입된 소프트웨어의 조합과 같은 하드웨어 회로를 사용하여 동작될 수도 있다. 일 예로, 다양한 전기 구조 및 방법들은 트랜지스터(transistor)들과, 논리 게이트(logic gate)들과, 주문형 반도체와 같은 전기 회로들을 사용하여 실시될 수 있다.
소프트웨어로 구현하는 경우, 하나 이상의 프로그램(소프트웨어 모듈)을 저장하는 컴퓨터 판독 가능 저장 매체가 제공될 수 있다. 컴퓨터 판독 가능 저장 매체에 저장되는 하나 이상의 프로그램은, 전자 장치(device) 내의 하나 이상의 프로세서에 의해 실행 가능하도록 구성된다(configured for execution). 하나 이상의 프로그램은, 전자 장치로 하여금 본 개시의 청구항 또는 명세서에 기재된 실시 예들에 따른 방법들을 실행하게 하는 명령어(instructions)를 포함한다.
이러한 프로그램(소프트웨어 모듈, 소프트웨어)은 랜덤 액세스 메모리 (random access memory), 플래시(flash) 메모리를 포함하는 불휘발성(non-volatile) 메모리, 롬(ROM: Read Only Memory), 전기적 삭제가능 프로그램가능 롬(EEPROM: Electrically Erasable Programmable Read Only Memory), 자기 디스크 저장 장치(magnetic disc storage device), 컴팩트 디스크 롬(CD-ROM: Compact Disc-ROM), 디지털 다목적 디스크(DVDs: Digital Versatile Discs) 또는 다른 형태의 광학 저장 장치, 마그네틱 카세트(magnetic cassette)에 저장될 수 있다. 또는, 이들의 일부 또는 전부의 조합으로 구성된 메모리에 저장될 수 있다. 또한, 각각의 구성 메모리는 다수 개 포함될 수도 있다.
또한, 상기 프로그램은 인터넷(Internet), 인트라넷(Intranet), LAN(Local Area Network), WLAN(Wide LAN), 또는 SAN(Storage Area Network)과 같은 통신 네트워크, 또는 이들의 조합으로 구성된 통신 네트워크를 통하여 접근(access)할 수 있는 부착 가능한(attachable) 저장 장치(storage device)에 저장될 수 있다. 이러한 저장 장치는 외부 포트를 통하여 본 개시의 실시 예를 수행하는 장치에 접속할 수 있다. 또한, 통신 네트워크상의 별도의 저장장치가 본 개시의 실시 예를 수행하는 장치에 접속할 수도 있다.
기기로 읽을 수 있는 저장매체는, 비일시적(non-transitory) 저장매체의 형태로 제공될 수 있다. 여기서, ‘비일시적 저장매체'는 실재(tangible)하는 장치이고, 신호(signal)(예: 전자기파)를 포함하지 않는다는 것을 의미할 뿐이며, 이 용어는 데이터가 저장매체에 반영구적으로 저장되는 경우와 임시적으로 저장되는 경우를 구분하지 않는다. 예로, '비일시적 저장매체'는 데이터가 임시적으로 저장되는 버퍼를 포함할 수 있다.
일 실시예에 따르면, 본 문서에 개시된 다양한 실시예들에 따른 방법은 컴퓨터 프로그램 제품(computer program product)에 포함되어 제공될 수 있다. 컴퓨터 프로그램 제품은 상품으로서 판매자 및 구매자 간에 거래될 수 있다. 컴퓨터 프로그램 제품은 기기로 읽을 수 있는 저장 매체(예: compact disc read only memory (CD-ROM))의 형태로 배포되거나, 또는 어플리케이션 스토어(예: 플레이 스토어TM)를 통해 또는 두개의 사용자 장치들(예: 스마트폰들) 간에 직접, 온라인으로 배포(예: 다운로드 또는 업로드)될 수 있다. 온라인 배포의 경우에, 컴퓨터 프로그램 제품(예: 다운로더블 앱(downloadable app))의 적어도 일부는 제조사의 서버, 어플리케이션 스토어의 서버, 또는 중계 서버의 메모리와 같은 기기로 읽을 수 있는 저장 매체에 적어도 일시 저장되거나, 임시적으로 생성될 수 있다.
상술한 본 개시의 구체적인 실시 예들에서, 개시에 포함되는 구성 요소는 제시된 구체적인 실시 예에 따라 단수 또는 복수로 표현되었다. 그러나, 단수 또는 복수의 표현은 설명의 편의를 위해 제시한 상황에 적합하게 선택된 것으로서, 본 개시가 단수 또는 복수의 구성 요소에 제한되는 것은 아니며, 복수로 표현된 구성 요소라 하더라도 단수로 구성되거나, 단수로 표현된 구성 요소라 하더라도 복수로 구성될 수 있다.
한편 본 개시의 상세한 설명에서는 구체적인 실시 예에 관해 설명하였으나, 본 개시의 범위에서 벗어나지 않는 한도 내에서 여러 가지 변형이 가능함은 물론이다. 그러므로 본 의 범위는 설명된 실시 예에 국한되어 정해져서는 아니 되며 후술하는 특허청구의 범위뿐만 아니라 이 특허청구의 범위와 균등한 것들에 의해 정해져야 한다. 즉, 본 개시의 기술적 사상에 바탕을 둔 다른 변형예들이 실시 가능하다는 것은 본 개시의 속하는 기술 분야에서 통상의 지식을 가진 자에게 자명한 것이다. 또한 상기 각각의 실시 예는 필요에 따라 서로 조합되어 운용할 수 있다. 예컨대, 본 개시에서 제안하는 방법들의 일부분들이 서로 조합되어 기지국과 단말이 운용될 수 있다. 또한 상기 실시예들은 5G, NR 시스템을 기준으로 제시되었지만, LTE, LTE-A, LTE-A-Pro 시스템 등 다른 시스템에도 상기 실시예의 기술적 사상에 바탕을 둔 다른 변형예들이 실시 가능할 것이다.
한편 본 개시의 상세한 설명에서는 구체적인 실시 예에 관해 설명하였으나, 본 개시의 범위에서 벗어나지 않는 한도 내에서 여러 가지 변형이 가능함은 물론이다. 그러므로 본 개시의 범위는 설명된 실시 예에 국한되어 정해져서는 안되며 후술하는 특허청구의 범위뿐만 아니라 이 특허청구의 범위와 균등한 것들에 의해 정해져야 한다.

Claims (20)

  1. 무선 통신 시스템에서 NF (network function) 소비자 (consumer)가 동작하는 방법에 있어서,
    SCP (service communication proxy)에게 상기 NF 소비자의 CCA (client credentials assertion) 인증서, NF 제공자(producer)에 대한 요구 특성 정보, 또는 네트워크 슬라이스 정보 중 적어도 하나를 포함하는 서비스 요청 메시지를 전송하는 단계;
    상기 SCP로부터 상기 서비스 요청 메시지에 기초하여 상기 NF 제공자의 CCA 인증서를 포함하는 서비스 응답 메시지를 수신하는 단계; 및
    상기 서비스 응답 메시지에 기초하여, 상기 서비스 응답 메시지를 전송한 상기 NF 제공자를 인증하는 단계;를 포함하는, 방법.
  2. 제1항에 있어서,
    상기 NF 제공자에 대한 요구 특성 정보는 상기 NF 소비자가 요청하는 NF 제공자의 네트워크 기능 타입 정보를 포함하고,
    상기 SCP에 의해, 상기 NF 제공자는 상기 요구 특성 정보에 기초하여 선택되는, 방법.
  3. 제1항에 있어서,
    상기 SCP로부터, 상기 SCP가 상기 서비스 응답 메시지에 기초하여 상기 NF 제공자의 CCA 인증서에 대해 인증한 결과 정보를 수신하는 단계;를 더 포함하고,
    상기 NF 제공자를 인증하는 단계;는,
    상기 NF 제공자의 CCA 인증서에 대해 인증한 결과 정보에 기초하여 상기 NF 제공자의 CCA 인증서를 확인하는 단계;를 포함하는, 방법.
  4. 제1항에 있어서, 상기 NF 제공자의 CCA 인증서는,
    상기 NF 제공자의 NF Instance ID, 상기 NF 제공자가 속한 네트워크 기능 세트 정보, 상기 NF 제공자가 속한 네트워크 기능 타입 정보, 상기 NF 제공자가 속한 네트워크 슬라이스 정보, 상기 NF 소비자의 NF Instance ID, 인증서의 유효기간 정보, NF 제공자의 디지털 인증서, 또는 상기 NF 제공자의 디지털 인증서의 URL 정보 중 적어도 하나의 정보를 포함하는, 방법.
  5. 제1항에 있어서, 상기 NF 제공자를 인증하는 단계;는,
    상기 NF 제공자의 CCA 인증서에 포함된 상기 NF 제공자가 속한 네트워크 기능 타입 정보 및 상기 서비스 요청 메시지에서 요청한 상기 NF 제공자의 네트워크 기능 타입 정보에 기초하여 상기 NF 제공자를 인증하는 단계;를 포함하는 방법.
  6. 제1항에 있어서,
    상기 NF 소비자의 CCA 인증서에 연결된 NF 소비자의 디지털 인증서는, 상기 NF 소비자의 네트워크 기능 타입 정보, NF 소비자가 속한 네트워크 기능 세트의 정보, 또는 네트워크 슬라이스 정보 중 적어도 하나의 정보를 포함하는, 방법.
  7. 제1항에 있어서, 상기 NF 제공자를 인증하는 단계;는,
    상기 NF 제공자의 CCA 인증서에 연결된 NF 제공자의 디지털 인증서에 포함된 적어도 하나의 상기 NF 제공자의 네트워크 기능 타입 정보, 또는 NF 제공자가 속한 네트워크 기능 타입 세트 정보에 기초하여 상기 NF 제공자를 인증하는 단계;를 포함하는, 방법.
  8. 무선 통신 시스템에서 NF (network function) 제공자(producer)가 동작하는 방법에 있어서,
    SCP (service communication proxy)로부터 NF 소비자(consumer)의 CCA (client credentials assertion) 인증서 및 액세스 토큰을 포함하는 서비스 요청 메시지를 수신하는 단계;
    상기 서비스 요청 메시지에 기초하여, 상기 NF 소비자를 인증하는 단계;
    상기 NF 소비자를 인증한 경우, 상기 NF 제공자의 CCA 인증서를 포함하는 서비스 응답 메시지를 생성하는 단계; 및
    상기 SCP 로, 상기 NF 제공자의 CCA 인증서를 포함하는 서비스 응답 메시지를 전송하는 단계;를 포함하는, 방법.
  9. 제8항에 있어서,
    상기 SCP에 의해, 상기 NF 소비자가 상기 SCP에 전송한 메시지에 포함된 NF 제공자에 대한 요구 특성 정보에 기초하여 상기 NF 제공자가 선택되고,
    상기 NF 소비자가 상기 SCP에 전송한 메시지는 상기 NF 소비자의 CCA 인증서, 상기 NF 제공자에 대한 요구 특성 정보, 또는 네트워크 슬라이스 정보 중 적어도 하나를 포함하고,
    상기 NF 제공자에 대한 요구 특성 정보는 상기 NF 소비자가 요청하는 NF 제공자의 네트워크 기능 타입 정보를 포함하는, 방법.
  10. 제8항에 있어서,
    상기 NF 제공자의 CCA 인증서는, 상기 SCP에 의해, 상기 서비스 응답 메시지에 기초하여 인증되고,
    상기 SCP가 상기 NF 제공자의 CCA 인증서에 대해 인증한 결과 정보는 상기 NF 소비자에게 전송되는, 방법.
  11. 제8항에 있어서, 상기 NF 제공자의 CCA 인증서를 포함하는 서비스 응답 메시지를 생성하는 단계;는
    상기 NF 제공자의 NF Instance ID, 상기 NF 제공자가 속한 네트워크 기능 세트 정보, 상기 NF 제공자가 속한 네트워크 기능 타입 정보, 상기 NF 제공자가 속한 네트워크 슬라이스 정보, 상기 NF 소비자의 NF Instance ID, 인증서의 유효기간 정보, NF 제공자의 디지털 인증서, 또는 상기 NF 제공자의 디지털 인증서의 URL 정보 중 적어도 하나의 정보를 포함하는 상기 NF 제공자의 CCA 인증서를 생성하는 단계;를 포함하는, 방법.
  12. 제8항에 있어서,
    상기 NF 제공자는, 상기 NF 소비자에 의해, 상기 NF 제공자의 CCA 인증서에 포함된 상기 NF 제공자가 속한 네트워크 기능 타입 정보 및 상기 서비스 요청 메시지에서 요청한 상기 NF 제공자의 네트워크 기능 타입 정보에 기초하여 인증되는 방법.
  13. 제8항에 있어서,
    상기 NF 소비자의 CCA 인증서에 연결된 NF 소비자의 디지털 인증서는, 상기 NF 소비자의 네트워크 기능 타입 정보, 상기 NF 소비자가 속한 네트워크 기능 세트의 정보, 또는 네트워크 슬라이스 정보 중 적어도 하나의 정보`를 포함하는, 방법.
  14. 제8항에 있어서,
    상기 NF 제공자의 CCA 인증서에 연결된 NF 제공자의 디지털 인증서는 적어도 하나의 상기 NF 제공자의 네트워크 기능 타입 정보, 또는 NF 제공자가 속한 네트워크 기능 타입 세트 정보를 포함하는, 방법.
  15. 무선 통신 시스템에서 동작하는 NF (network function) 소비자 (consumer)에 있어서,
    송수신부; 및
    적어도 하나의 프로세서;를 포함하고,
    상기 적어도 하나의 프로세서는,
    SCP (service communication proxy)에게 상기 NF 소비자의 CCA (client credentials assertion) 인증서, NF 제공자(producer)에 대한 요구 특성 정보, 또는 네트워크 슬라이스 정보 중 적어도 하나를 포함하는 서비스 요청 메시지를 전송하고,
    상기 SCP로부터 상기 서비스 요청 메시지에 기초하여 상기 NF 제공자의 CCA 인증서를 포함하는 서비스 응답 메시지를 수신하고,
    상기 서비스 응답 메시지에 기초하여, 상기 서비스 응답 메시지를 전송한 상기 NF 제공자를 인증하는, NF 소비자.
  16. 제15항에 있어서,
    상기 적어도 하나의 프로세서는, 상기 SCP로부터, 상기 SCP가 상기 서비스 응답 메시지에 기초하여 상기 NF 제공자의 CCA 인증서에 대해 인증한 결과 정보를 수신하고,
    상기 NF 제공자의 CCA 인증서에 대해 인증한 결과 정보에 기초하여 상기 NF 제공자의 CCA 인증서를 확인하는, NF 소비자.
  17. 제15항에 있어서, 상기 적어도 하나의 프로세서는,
    상기 NF 제공자의 CCA 인증서에 포함된 상기 NF 제공자가 속한 네트워크 기능 타입 정보 및 상기 서비스 요청 메시지에서 요청한 상기 NF 제공자의 네트워크 기능 타입 정보에 기초하여 상기 NF 제공자를 인증하는, NF 소비자.
  18. 무선 통신 시스템에서 동작하는 NF (network function) 제공자(producer) 에 있어서,
    송수신부; 및
    적어도 하나의 프로세서;를 포함하고,
    상기 적어도 하나의 프로세서는,
    SCP (service communication proxy)로부터 NF 소비자(consumer)의 CCA (client credentials assertion) 인증서 및 액세스 토큰을 포함하는 서비스 요청 메시지를 전송하고,
    상기 서비스 요청 메시지에 기초하여, 상기 NF 소비자를 인증하고,
    상기 NF 소비자를 인증한 경우, 상기 NF 제공자의 CCA 인증서를 포함하는 서비스 응답 메시지를 생성하고,
    상기 SCP 로, 상기 NF 제공자의 CCA 인증서를 포함하는 서비스 응답 메시지를 전송하는, NF 제공자.
  19. 제18항에 있어서, 상기 적어도 하나의 프로세서는,
    상기 NF 제공자의 NF Instance ID, 상기 NF 제공자가 속한 네트워크 기능 세트 정보, 상기 NF 제공자가 속한 네트워크 기능 타입 정보, 상기 NF 제공자가 속한 네트워크 슬라이스 정보, 상기 NF 소비자의 NF Instance ID, 인증서의 유효기간 정보, NF 제공자의 디지털 인증서, 또는 상기 NF 제공자의 디지털 인증서의 URL 정보 중 적어도 하나의 정보를 포함하는 상기 NF 제공자의 CCA 인증서를 생성하는, NF 제공자.
  20. 제18항에 있어서,
    상기 NF 제공자의 CCA 인증서에 연결된 NF 제공자의 디지털 인증서는 적어도 하나의 상기 NF 제공자의 네트워크 기능 타입 정보, 또는 NF 제공자가 속한 네트워크 기능 타입 세트 정보를 포함하는, NF 제공자.
KR1020210096706A 2021-07-22 2021-07-22 이동통신 시스템의 네트워크 기능의 인증 및 권한 부여 방법 및 장치 KR20230015224A (ko)

Priority Applications (3)

Application Number Priority Date Filing Date Title
KR1020210096706A KR20230015224A (ko) 2021-07-22 2021-07-22 이동통신 시스템의 네트워크 기능의 인증 및 권한 부여 방법 및 장치
US17/814,197 US20230027515A1 (en) 2021-07-22 2022-07-21 Method and apparatus for authenticating and authorizing network function in mobile communication system
PCT/KR2022/010680 WO2023003379A1 (en) 2021-07-22 2022-07-21 Method and apparatus for authenticating and authorizing network function in mobile communication system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210096706A KR20230015224A (ko) 2021-07-22 2021-07-22 이동통신 시스템의 네트워크 기능의 인증 및 권한 부여 방법 및 장치

Publications (1)

Publication Number Publication Date
KR20230015224A true KR20230015224A (ko) 2023-01-31

Family

ID=84977378

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210096706A KR20230015224A (ko) 2021-07-22 2021-07-22 이동통신 시스템의 네트워크 기능의 인증 및 권한 부여 방법 및 장치

Country Status (3)

Country Link
US (1) US20230027515A1 (ko)
KR (1) KR20230015224A (ko)
WO (1) WO2023003379A1 (ko)

Also Published As

Publication number Publication date
US20230027515A1 (en) 2023-01-26
WO2023003379A1 (en) 2023-01-26

Similar Documents

Publication Publication Date Title
CN110268690B (zh) 保护物联网中的设备通信
US11943615B2 (en) Method and apparatus for discussing digital certificate by ESIM terminal and server
ES2755953T3 (es) Sistemas y procedimientos para la gestión remota de credenciales
US9681296B2 (en) Secure remote subscription management
WO2020030852A1 (en) Network function authentication based on public key binding in access token in a communication system
WO2018013925A1 (en) Adaptive authorization framework for communication networks
JP2022502922A (ja) 3gppプライベートlan
US20210377054A1 (en) Systems and methods for managing public key infrastructure certificates for components of a network
US20210037026A1 (en) Protection of Traffic between Network Functions
US11489825B2 (en) Systems and methods for configuring a network function proxy for secure communication
CN113709736B (zh) 网络认证方法及装置、系统
CN114339688A (zh) 用于ue与边缘数据网络的认证的装置和方法
CN113508569B (zh) 用于处理系统信息的方法和节点
KR20230071551A (ko) 통신 시스템에서 원격 권한 설정을 위한 단말 인증을 위한 방법 및 장치
WO2023011630A1 (zh) 授权验证的方法及装置
CN117320002A (zh) 通信方法及装置
KR20230015224A (ko) 이동통신 시스템의 네트워크 기능의 인증 및 권한 부여 방법 및 장치
EP3677063B1 (en) Reconfiguration of communications devices
US20220338104A1 (en) Method and apparatus for authentication between core network devices in mobile communication system
KR20220144739A (ko) 이동통신 시스템의 네트워크 장치 간 인증 방법 및 장치
US20230209343A1 (en) Network-assisted attachment for hybrid subscribers
CN116980218A (zh) 一种楼宇设备的生命周期管控SaaS系统及方法
WO2023224915A1 (en) Security for distributed non-access stratum protocol in a mobile system
KR20230022767A (ko) 무선 통신 시스템에서 단말을 인증하기 위한 방법 및 장치
CN115843028A (zh) 网络验证的方法和装置