KR20230019930A - 네트워크에 가입하지 않은 디바이스의 인증 - Google Patents

네트워크에 가입하지 않은 디바이스의 인증 Download PDF

Info

Publication number
KR20230019930A
KR20230019930A KR1020237000069A KR20237000069A KR20230019930A KR 20230019930 A KR20230019930 A KR 20230019930A KR 1020237000069 A KR1020237000069 A KR 1020237000069A KR 20237000069 A KR20237000069 A KR 20237000069A KR 20230019930 A KR20230019930 A KR 20230019930A
Authority
KR
South Korea
Prior art keywords
authentication
identifier
remote unit
service provider
request
Prior art date
Application number
KR1020237000069A
Other languages
English (en)
Inventor
안드레아스 쿤츠
세바 박키아 마리 바스카란
게나디 페레프
Original Assignee
레노보 (싱가포르) 피티이. 엘티디.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 레노보 (싱가포르) 피티이. 엘티디. filed Critical 레노보 (싱가포르) 피티이. 엘티디.
Publication of KR20230019930A publication Critical patent/KR20230019930A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/16Discovering, processing access restriction or access information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
    • H04W60/06De-registration or detaching
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/105PBS [Private Base Station] network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

외부 자격증명들을 이용하여 NPN에 액세스하기 위한 장치들, 방법들, 및 시스템들이 개시된다. 모바일 통신 네트워크에서의 하나의 장치(800)는 프로세서(805), 및 UE에 대한 등록 요청을 수신하는(905) 트랜시버(825)를 포함한다. 여기서, UE는 모바일 통신 네트워크에 가입하지 않았다. 프로세서(805)는 UE의 서비스 제공자를 식별하고(910) 식별된 서비스 제공자의 AAA 서버에 인증 메시지를 전송하도록(915) 트랜시버(825)를 제어한다. 프로세서(805)는 UE의 성공적인 인증에 응답하여 AAA 서버로부터 마스터 세션 키를 포함하는 인증 응답을 수신하고(920) 마스터 세션 키를 이용하여 보안 키들의 세트(예를 들어, KAUSF, KSEAF)를 도출한다(925).

Description

네트워크에 가입하지 않은 디바이스의 인증
관련 출원들에 대한 상호 참조
본 출원은 Andreas Kunz, Sheeba Backia Mary Baskaran, 및 Genadi Velev에 의해 2020년 6월 5일자로 출원된 "ACCESSING SNPN WITH EXTERNAL CREDENTIALS"라는 명칭의 미국 가특허 출원 제63/035,654호에 대한 우선권을 주장하며, 이 출원은 본 명세서에 참조로 포함된다.
기술분야
본 명세서에 개시된 주제는 일반적으로 무선 통신들에 관한 것이며, 더 구체적으로는 외부 자격증명들(external credentials)을 이용하여 비공용 네트워크("NPN")에 액세스하는 것에 관한 것이다.
특정 무선 통신 시스템들에서, 독립형 비공용 네트워크("SNPN")에 등록하기 위해, 디바이스(즉, 사용자 장비("UE"))는 인증될 필요가 있고, 3세대 파트너십 프로젝트("3GPP") 기술 사양("TS") 33.501에서 5세대("5G") 시스템에 대해 지정된 바와 같이 보안을 셋업할 필요가 있다. 그러나, SNPN은 이 특정 UE의 어떠한 가입도 보유하지 않을 수 있고, 따라서 SNPN은 UE를 인증할 수 없다.
외부 자격증명들을 이용하여 NPN에 액세스하기 위한 절차들이 개시된다. 이러한 절차들은 장치, 시스템들, 방법들, 또는 컴퓨터 프로그램 제품들에 의해 구현될 수 있다.
모바일 통신 네트워크에서의 인증 기능의 하나의 방법은 사용자 장비("UE")에 대한 등록 요청을 수신하는 단계를 포함하고, 여기서 UE는 모바일 통신 네트워크에 가입하지 않았다. 이 방법은 UE의 서비스 제공자를 식별하는 단계, 및 식별된 서비스 제공자의 인증, 허가 및 과금("AAA") 서버에 인증 메시지를 전송하는 단계를 포함한다. 이 방법은 UE의 성공적인 인증에 응답하여 AAA 서버로부터 마스터 세션 키를 포함하는 인증 응답을 수신하는 단계, 및 마스터 세션 키를 이용하여 보안 키들의 세트를 도출하는 단계를 포함한다.
위에서 간략하게 설명된 실시예들의 더 구체적인 설명은 첨부 도면들에서 예시되는 특정 실시예들을 참조하여 이루어질 것이다. 이러한 도면들은 단지 일부 실시예들만을 도시할 뿐이고, 그에 따라, 범위를 제한하는 것으로 고려되지 않아야 한다는 이해 하에서, 실시예들은 첨부 도면들의 이용을 통해 추가적인 구체성 및 상세로 기술 및 설명될 것이다.
도 1은 외부 자격증명들을 이용하여 NPN에 액세스하기 위한 무선 통신 시스템의 일 실시예를 예시하는 개략적인 블록도이다.
도 2는 외부 인증 및 키 합의를 이용하는 등록 절차의 일 실시예를 예시하는 도면이다.
도 3a는 외부 인증 및 키 합의를 이용하는 등록 절차의 다른 실시예를 예시하는 도면이다.
도 3b는 도 3a의 도면의 연속이다.
도 4a는 외부 인증 및 키 합의를 이용하는 등록 절차의 대안적인 실시예를 예시하는 도면이다.
도 4b는 도 4a의 도면의 연속이다.
도 5는 가입 취소 절차의 일 실시예를 예시하는 도면이다.
도 6은 재인증을 위한 절차의 일 실시예를 예시하는 도면이다.
도 7은 외부 자격증명들을 이용하여 NPN에 액세스하는데 이용될 수 있는 사용자 장비 장치의 일 실시예를 예시하는 도면이다.
도 8은 외부 자격증명들을 이용하여 NPN에 액세스하는데 이용될 수 있는 네트워크 장치의 일 실시예를 예시하는 도면이다.
도 9는 외부 자격증명들을 이용하여 NPN에 액세스하기 위한 하나의 방법의 일 실시예를 예시하는 흐름도이다.
본 기술분야의 통상의 기술자에 의해 인식될 바와 같이, 실시예들의 양태들은 시스템, 장치, 방법, 또는 프로그램 제품으로서 구현될 수 있다. 따라서, 실시예들은 전체적인 하드웨어 실시예, 전체적인 소프트웨어 실시예(펌웨어, 상주 소프트웨어, 마이크로-코드 등을 포함함), 또는 소프트웨어와 하드웨어 양태들을 조합한 실시예의 형태를 취할 수 있다.
예컨대, 개시되는 실시예들은 맞춤형 초고밀도 집적("VLSI") 회로들 또는 게이트 어레이들, 기성 반도체들, 이를테면, 로직 칩들, 트랜지스터들, 또는 다른 별개의 구성요소들을 포함하는 하드웨어 회로로서 구현될 수 있다. 개시되는 실시예들은 또한, 필드 프로그래밍가능한 게이트 어레이들, 프로그래밍가능한 어레이 로직, 프로그래밍가능한 로직 디바이스들 등과 같은 프로그래밍가능한 하드웨어 디바이스들로 구현될 수 있다. 다른 예로서, 개시되는 실시예들은, 예컨대, 오브젝트, 절차, 또는 함수로서 구성될 수 있는 실행가능한 코드의 하나 이상의 물리적 또는 논리적 블록을 포함할 수 있다.
게다가, 실시예들은 머신 판독가능한 코드, 컴퓨터 판독가능한 코드, 및/또는 프로그램 코드(이하에서, 코드로 지칭됨)를 저장하는 하나 이상의 컴퓨터 판독가능한 저장 디바이스에 구현되는 프로그램 제품의 형태를 취할 수 있다. 저장 디바이스들은 유형적, 비일시적, 및/또는 비전송일 수 있다. 저장 디바이스들은 신호들을 구현하지 않을 수 있다. 특정 실시예에서, 저장 디바이스들은 코드에 액세스하기 위한 신호들만을 이용한다.
하나 이상의 컴퓨터 판독가능한 매체의 임의의 조합이 활용될 수 있다. 컴퓨터 판독가능한 매체는 컴퓨터 판독가능한 저장 매체일 수 있다. 컴퓨터 판독가능한 저장 매체는 코드를 저장하는 저장 디바이스일 수 있다. 저장 디바이스는, 예컨대, 전자, 자기, 광학, 전자기, 적외선, 홀로그래픽, 마이크로기계, 또는 반도체 시스템, 장치, 또는 디바이스, 또는 전술된 것들의 임의의 적절한 조합일 수 있지만 이에 제한되지는 않는다.
저장 디바이스의 더 구체적인 예들(비포괄적인 리스트)은 다음의 것들을 포함할 것이다: 하나 이상의 와이어를 갖는 전기 연결, 휴대용 컴퓨터 디스켓, 하드 디스크, 랜덤 액세스 메모리("RAM"), 판독 전용 메모리("ROM"), 소거가능 프로그래밍가능한 판독 전용 메모리("EPROM" 또는 플래시 메모리), 휴대용 콤팩트 디스크 판독 전용 메모리("CD-ROM"), 광학 저장 디바이스, 자기 저장 디바이스, 또는 전술된 것들의 임의의 적절한 조합. 본 문서의 맥락에서, 컴퓨터 판독가능한 저장 매체는 명령어 실행 시스템, 장치, 또는 디바이스에 의해 또는 그와 관련하여 이용하기 위한 프로그램을 보유 또는 저장할 수 있는 임의의 유형적 매체일 수 있다.
실시예들에 대한 동작들을 수행하기 위한 코드는 임의의 수의 라인일 수 있고, 파이썬(Python), 루비(Ruby), 자바(Java), 스몰토크(Smalltalk), C++ 등과 같은 객체 지향 프로그래밍 언어, 및 "C" 프로그래밍 언어 등과 같은 종래의 절차적 프로그래밍 언어들을 포함하는 하나 이상의 프로그래밍 언어, 및/또는 어셈블리 언어들과 같은 머신 언어들의 임의의 조합으로 작성될 수 있다. 코드는 사용자의 컴퓨터 상에서 완전히 실행될 수 있거나, 독립형 소프트웨어 패키지로서 사용자의 컴퓨터 상에서 부분적으로 실행될 수 있거나, 사용자의 컴퓨터 상에서 부분적으로 그리고 원격 컴퓨터 상에서 부분적으로 실행될 수 있거나, 또는 원격 컴퓨터 또는 서버 상에서 완전히 실행될 수 있다. 후자의 시나리오에서, 원격 컴퓨터는 근거리 네트워크("LAN"), 무선 LAN("WLAN") 또는 광역 네트워크("WAN")를 포함하는 임의의 유형의 네트워크를 통해 사용자의 컴퓨터에 접속될 수 있거나, (예를 들어, 인터넷 서비스 제공자("ISP")를 이용하여 인터넷을 통해) 외부 컴퓨터에 대해 접속이 이루어질 수 있다.
게다가, 실시예들의 설명되는 특징들, 구조들, 또는 특성들은 임의의 적절한 방식으로 조합될 수 있다. 다음의 설명에서, 실시예들의 완전한 이해를 제공하기 위해, 프로그래밍, 소프트웨어 모듈들, 사용자 선택들, 네트워크 트랜잭션들, 데이터베이스 질의들, 데이터베이스 구조들, 하드웨어 모듈들, 하드웨어 회로들, 하드웨어 칩들 등의 예들과 같은 다수의 특정 상세들이 제공된다. 그러나, 본 기술분야의 통상의 기술자는 실시예들이 특정 상세들 중 하나 이상 없이, 또는 다른 방법들, 구성요소들, 재료들 등을 이용하여 실시될 수 있다는 것을 인식할 것이다. 다른 경우들에서, 잘 알려져 있는 구조들, 재료들, 또는 동작들은 실시예의 양태들을 모호하게 하는 것을 피하기 위해 상세히 도시 또는 설명되지 않는다.
"일 실시예", "실시예", 또는 유사한 언어에 대한 본 명세서 전체에 걸친 언급은 실시예와 관련하여 설명되는 특정 특징, 구조, 또는 특성이 적어도 하나의 실시예에 포함된다는 것을 의미한다. 따라서, 본 명세서 전체에 걸친 "일 실시예에서", "실시예에서", 및 유사한 언어와 같은 문구들의 출현들은 모두 동일한 실시예를 지칭할 수 있지만 반드시 그런 것은 아니고, 명시적으로 달리 지정되지 않는 한 "모든 실시예들은 아닌 하나 이상의 실시예"를 의미할 수 있다. "포함하는", "갖는", 및 그 변형들과 같은 용어들은, 명시적으로 달리 지정되지 않는 한, "포함하지만 이에 제한되지는 않는"을 의미한다. 아이템들의 열거된 목록은, 명시적으로 달리 지정되지 않는 한, 아이템들 중 임의의 것 또는 전부가 상호 배타적이라는 것을 암시하지 않는다. 단수형의 용어들은 또한, 명시적으로 달리 지정되지 않는 한, "하나 이상"을 지칭한다.
본 명세서에서 사용되는 바와 같이, "및/또는"의 접속사를 갖는 리스트는 리스트 내의 임의의 단일 아이템 또는 리스트 내의 아이템들의 조합을 포함한다. 예컨대, A, B, 및/또는 C의 리스트는 A만을 포함하거나, B만을 포함하거나, C만을 포함하거나, A와 B의 조합을 포함하거나, B와 C의 조합을 포함하거나, A와 C의 조합을 포함하거나, 또는 A, B 및 C의 조합을 포함한다. 본 명세서에서 사용되는 바와 같이, "~ 중 하나 이상"이라는 용어를 사용하는 리스트는 리스트 내의 임의의 단일 아이템 또는 리스트 내의 아이템들의 조합을 포함한다. 예컨대, A, B, 및 C 중 하나 이상은 A만을 포함하거나, B만을 포함하거나, C만을 포함하거나, A와 B의 조합을 포함하거나, B와 C의 조합을 포함하거나, A와 C의 조합을 포함하거나, 또는 A, B 및 C의 조합을 포함한다. 본 명세서에서 사용되는 바와 같이, "~ 중 하나"라는 용어를 사용하는 리스트는 리스트 내의 임의의 단일 아이템 중 하나만을 포함한다. 예컨대, "A, B, 및 C 중 하나"는 A만을 포함하거나, B만을 포함하거나, 또는 C만을 포함하고, A, B, 및 C의 조합들을 배제한다. 본 명세서에서 사용되는 바와 같이, "A, B, 및 C로 구성된 그룹으로부터 선택되는 멤버"는 A, B, 또는 C 중 하나만을 포함하고, A, B, 및 C의 조합들을 배제한다. 본 명세서에서 사용되는 바와 같이, "A, B 및 C, 및 그 조합들로 구성된 그룹으로부터 선택되는 멤버"는 A만을 포함하거나, B만을 포함하거나, C만을 포함하거나, A와 B의 조합을 포함하거나, B와 C의 조합을 포함하거나, A와 C의 조합을 포함하거나, 또는 A, B, 및 C의 조합을 포함한다.
실시예들의 양태들은 실시예들에 따른 방법들, 장치들, 시스템들, 및 프로그램 제품들의 개략적인 흐름도들 및/또는 개략적인 블록도들을 참조하여 아래에서 설명된다. 개략적인 흐름도들 및/또는 개략적인 블록도들의 각각의 블록, 및 개략적인 흐름도들 및/또는 개략적인 블록도들 내의 블록들의 조합들은 코드에 의해 구현될 수 있다는 것을 이해할 것이다. 이러한 코드는 범용 컴퓨터, 특수 목적 컴퓨터, 또는 다른 프로그래밍가능한 데이터 처리 장치의 프로세서에 제공되어 머신을 생성할 수 있고, 그에 따라, 컴퓨터 또는 다른 프로그래밍가능한 데이터 처리 장치의 프로세서를 통해 실행되는 명령어들은 흐름도들 및/또는 블록도들에서 지정되는 기능들/동작들을 구현하기 위한 수단을 생성한다.
또한, 코드는 저장 디바이스에 저장될 수 있어서 컴퓨터, 다른 프로그래밍가능한 데이터 처리 장치, 또는 다른 디바이스들에게 특정 방식으로 기능할 것을 지시할 수 있고, 그에 따라, 저장 디바이스에 저장된 명령어들은 흐름도들 및/또는 블록도들에서 지정되는 기능/동작을 구현하는 명령어들을 포함하는 제조 물품을 생성한다.
또한, 코드는 컴퓨터, 다른 프로그래밍가능한 데이터 처리 장치, 또는 다른 디바이스들 상에 로딩되어, 일련의 동작 단계들이 컴퓨터, 다른 프로그래밍가능한 장치, 또는 다른 디바이스들 상에서 수행되게 하여 컴퓨터 구현 프로세스를 생성할 수 있고, 그에 따라, 컴퓨터 또는 다른 프로그래밍가능한 장치 상에서 실행되는 코드는 흐름도들 및/또는 블록도들에서 지정되는 기능들/동작들을 구현하기 위한 프로세스들을 제공한다.
도면들 내의 흐름도들 및/또는 블록도들은 다양한 실시예들에 따른 장치들, 시스템들, 방법들, 및 프로그램 제품들의 가능한 구현들의 아키텍처, 기능, 및 동작을 예시한다. 이와 관련하여, 흐름도들 및/또는 블록도들 내의 각각의 블록은 지정된 논리적 기능(들)을 구현하기 위한 코드의 하나 이상의 실행가능한 명령어를 포함하는 모듈, 세그먼트, 또는 코드의 일부분을 표현할 수 있다.
또한, 일부 대안적인 구현들에서, 블록에서 언급되는 기능들은 도면들에서 언급되는 순서와 다르게 발생할 수 있다는 점에 유의해야 한다. 예컨대, 관련된 기능에 따라, 연속적으로 도시된 2개의 블록이 실제로는 실질적으로 동시에 실행될 수 있거나, 또는 블록들은 때때로 역순으로 실행될 수 있다. 예시되는 도면들의 하나 이상의 블록 또는 그 부분들과 기능, 로직, 또는 효과에서 동등한 다른 단계들 및 방법들이 구상될 수 있다.
다양한 화살표 유형들 및 라인 유형들이 흐름도 및/또는 블록도에서 이용될 수 있지만, 그들은 대응하는 실시예들의 범위를 제한하지 않는 것으로 이해된다. 실제로, 일부 화살표들 또는 다른 커넥터들은 도시된 실시예의 논리적 흐름만을 표시하는데 이용될 수 있다. 예컨대, 화살표는 도시된 실시예의 열거된 단계들 사이의 지정되지 않은 지속기간의 대기 또는 모니터링 기간을 표시할 수 있다. 또한, 블록도들 및/또는 흐름도들의 각각의 블록, 및 블록도들 및/또는 흐름도들 내의 블록들의 조합들은 지정된 기능들 또는 동작들을 수행하는 특수 목적 하드웨어 기반 시스템들에 의해 구현될 수 있거나, 또는 특수 목적 하드웨어와 코드의 조합들에 의해 구현될 수 있다는 점에 유의해야 할 것이다.
각각의 도면 내의 요소들의 설명은 진행 도면들의 요소들을 지칭할 수 있다. 유사한 번호들은 유사한 요소들의 대안적인 실시예들을 포함하여 모든 도면들 내의 유사한 요소들을 지칭한다.
일반적으로, 본 개시내용은 외부 자격증명들을 이용하여 독립형 비공용 네트워크에 액세스하기 위한 시스템들, 방법들, 및 장치들을 설명한다. 독립형 비공용 네트워크("SNPN")에 등록하기 위해, UE는 인증될 필요가 있고, 3GPP TS 33.501에서 5G 시스템에 대해 지정된 대로 보안을 셋업할 필요가 있다. 문제는 SNPN이 이 특정 UE의 어떠한 가입도 보유하지 않고, 따라서 SNPN이 UE를 인증할 수 없다는 것이다. 그러나, UE가 SNPN과 서비스 합의를 하는 서비스 제공자에 속하는 경우, UE는 서비스 제공자에 대한 가입을 이용하여 SNPN에 액세스할 수 있을 것이다. 문제는 UE의 보안 자격증명들이 SNPN 신뢰 도메인 외부의 엔티티에 저장될 때 그리고 이 엔티티가 UE의 인증을 수행할 때 SNPN 네트워크 액세스에 대한 주요 인증 및 허가를 수행하는 방법이다. 일 실시예에서, 서비스 제공자는 AUSF 및/또는 UDM 기능을 지원하지 않는다. 다른 실시예들에서, 서비스 제공자는 AUSF 및 UDM 기능을 지원하지만, 주요 인증 및 허가는 SNPN에서의 AUSF 및 UDM 기능을 이용한다.
현재의 3GPP 사양은 SNPN과 AAA 서버 사이의 키 프로비저닝이 어떻게 실행될 수 있는지, 그리고 SNPN에 알려지지 않은 UE가 SNPN에 대한 액세스를 획득하고 서비스를 이용하기 위한 적법한 UE로서 인증되게 하기 위해 무엇이 수행되어야 하는지를 논의하지 않는다.
이러한 문제들을 해결하기 위해, UE의 새로운 거동이 개시된다. 일부 실시예들에서, UE는 그 길이뿐만 아니라 액세스 네트워크 아이덴티티 파라미터로서 SNPN의 SNN을 이용하여 키들(CK, IK)로부터 키들(CK', IK')을 도출한다. 여기서, CK는 암호 키를 나타낼 수 있고, IK는 무결성 키를 나타낼 수 있다. 일부 실시예들에서, UE는 그 길이뿐만 아니라 액세스 네트워크 아이덴티티 파라미터로서 서비스 제공자 식별자("SP-ID")를 이용하여 CK, IK로부터 CK', IK'를 도출한다. 특정 실시예들에서, UE는 네트워크 액세스 식별자("NAI")의 사용자명 또는 할당된 UE ID를 이용하여 마스터 키("MK")를 도출한다. 특정 실시예들에서, UE는 비-액세스 계층("NAS") 보안 모드 명령("SMC") 메시지를 통해 SNPN 할당 UE ID를 수신한다.
이러한 문제들을 해결하기 위해, AMF의 새로운 거동이 개시된다. 일부 실시예들에서, AMF는 NAI의 영역 및 허용된 서비스 제공자들의 구성된 리스트에 기반하여 허가를 수행한다. 일부 실시예들에서, AMF는 SNPN으로부터의 할당된 UE ID와 서비스 제공자로부터의 가입 ID(NAI의 사용자명)의 바인딩(binding)을 생성한다. 일부 실시예들에서, AMF는 NAS SMC 메시지에서의 SNPN 할당 UE ID를 UE에 전송한다. 재인증을 위해, AMF는 AUSF, AAA 프록시 및/또는 AAA 상호연동 기능과 같은 인증 프록시에 대한 인증 요청에서 NAI에 대한 아이덴티티를 전송할 수 있다.
이러한 문제들을 추가로 해결하기 위해, 인증 기능의 새로운 거동이 개시된다. 일부 실시예들에서, AUSF, AAA 프록시, 및/또는 AAA 상호연동 기능과 같은 인증 프록시("AUP")는 NAI의 영역 및 허용된 서비스 제공자들의 구성된 리스트에 기반하여 허가를 수행한다. 일부 실시예들에서, AUP는 AAA 서버로부터 인증 응답을 수신하고, 이 응답은 MSK를 포함한다. 일부 실시예들에서, AUP는 MSK로부터 KAUSF 및 KSEAF를 도출한다.
일부 실시예들에서, AUP는 AAA 서버로부터 인증을 요청하고, SNPN SNN을 AAA 서버에 제공할 수 있다. 일부 실시예들에서, AUP는 AAA 서버로부터 인증 응답을 수신하고, 이 응답은 KSP_AUSF 또는 CK', IK', 유효 시간, 라우팅 ID, 및 UE의 실제 사용자명을 갖는 NAI를 포함한다. 일부 실시예들에서, AUP는 NAI의 사용자명 또는 할당된 UE ID를 이용하여 MK를 도출한다. 일부 실시예들에서, AUP는 유효 시간 및 UE ID를 AMF/SEAF에 제공한다.
이러한 문제들을 추가로 해결하기 위해, AAA 서버의 새로운 거동이 개시된다. 다양한 실시예들에서, AAA 서버는 UE ID들의 풀/수 및 디폴트 프로파일을 저장하는 UDM의 라우팅 ID로 사전 구성될 수 있다. 일부 실시예들에서, AAA 서버는 그 길이뿐만 아니라 액세스 네트워크 아이덴티티 파라미터로서 SNPN의 SNN을 이용하여 CK, IK로부터 CK', IK'를 도출한다. 일부 실시예들에서, AAA 서버는 그 길이뿐만 아니라 액세스 네트워크 아이덴티티 파라미터로서 서비스 제공자 식별자(SP-ID)를 이용하여 CK, IK로부터 CK', IK'를 도출한다. 일부 실시예들에서, AAA 서버는 NAI의 사용자명을 이용하여 MK를 도출한다. 일부 실시예들에서, AAA 서버는 KSP_AUSF 또는 CK', IK', 유효 시간, 라우팅 ID, 및 확장가능한 인증 프로토콜("EAP") 방법이 프라이버시를 지원한 경우의 UE의 실제 사용자명을 갖는 NAI를 제공한다.
이러한 문제들을 추가로 해결하기 위해, UDM의 새로운 거동이 개시된다. 다양한 실시예들에서, UDM은 서비스 제공자에의 가상 가입들에 대한 보안 컨텍스트 없이 디폴트 프로파일로 사전 구성된다. 추가적으로, UDM은 (가상/임시) 가입들의 풀 또는 서비스 제공자의 가입자들에게 할당될 수 있는 활성 가입들의 최대 수로 사전 구성될 수 있거나, 또는 요청 시에 가입을 동적으로 생성한다.
일부 실시예들에서, UDM은 이용가능한 경우, 서비스 제공자의 가입자에게 디폴트 프로파일을 갖는 가입을 할당하고 활성화한다. 일부 실시예들에서, UDM은 가입 UE ID를 서비스 제공자의 가입자의 NAI와 바인딩한다. 일부 실시예들에서, UDM은, 최대 수의 활성 가입들이 소진되거나 사전 구성된 가입 풀로부터 더 이상의 가입들이 할당될 수 없다면 가입을 거부한다. 일부 실시예들에서, UDM은 할당된 UE ID를 갖는 UE가 등록해제하면 UE의 가입을 비활성화하고 바인딩을 제거하여, UE ID가 동일한 서비스 제공자로부터의 다른 가입자에게 할당될 수 있게 한다.
도 1은 본 개시내용의 실시예들에 따라, 외부 자격증명들을 이용하여 NPN에 액세스하기 위한 무선 통신 시스템(100)을 도시한다. 일 실시예에서, 무선 통신 시스템(100)은 적어도 하나의 원격 유닛(105), 라디오 액세스 네트워크("RAN")(120), 및 모바일 코어 네트워크(140)를 포함한다. RAN(120) 및 모바일 코어 네트워크(140)는 모바일 통신 네트워크를 형성한다. RAN(120)은 원격 유닛(105)이 무선 통신 링크들(123)을 이용하여 통신하는 베이스 유닛(121)으로 구성될 수 있다. 특정 수의 원격 유닛들(105), 베이스 유닛들(121), 무선 통신 링크들(123), RAN들(120), 및 모바일 코어 네트워크들(140)이 도 1에 도시되어 있지만, 본 기술분야의 통상의 기술자는 임의의 수의 원격 유닛들(105), 베이스 유닛들(121), 무선 통신 링크들(123), RAN들(120), 및 모바일 코어 네트워크들(140)이 무선 통신 시스템(100)에 포함될 수 있다는 것을 인식할 것이다.
일 구현에서, RAN(120)은 3GPP 사양들에서 지정된 5G 시스템을 따른다. 예를 들어, RAN(120)은 NR 라디오 액세스 기술("RAT") 및/또는 롱 텀 에볼루션("LTE") RAT를 구현하는 신세대 RAN("NG-RAN")일 수 있다. 다른 예에서, RAN(120)은 비-3GPP RAT(예를 들어, Wi-Fi® 또는 IEEE(Institute of Electrical and Electronics Engineers) 802.11-패밀리 준수 WLAN)를 포함할 수 있다. 다른 구현에서, RAN(120)은 3GPP 사양들에서 지정된 LTE 시스템에 따른다. 그러나, 보다 일반적으로, 무선 통신 시스템(100)은 다른 네트워크들 중에서도, 일부 다른 개방 또는 독점 통신 네트워크, 예를 들어, WiMAX(Worldwide Interoperability for Microwave Access) 또는 IEEE 802.16-패밀리 표준들을 구현할 수 있다. 본 개시내용은 임의의 특정한 무선 통신 시스템 아키텍처 또는 프로토콜의 구현으로 제한되도록 의도되지 않는다.
일 실시예에서, 원격 유닛들(105)은, 예컨대 데스크톱 컴퓨터들, 랩톱 컴퓨터들, PDA(personal digital assistant)들, 태블릿 컴퓨터들, 스마트폰들, 스마트 텔레비전들(예를 들어, 인터넷에 접속된 텔레비전들), 스마트 기기들(예를 들어, 인터넷에 접속된 기기들), 셋톱 박스들, 게임 콘솔들, (보안 카메라들을 포함한) 보안 시스템들, 차량 탑재 컴퓨터들, 네트워크 디바이스들(예를 들어, 라우터들, 스위치들, 모뎀들) 등의 컴퓨팅 디바이스들을 포함할 수 있다. 일부 실시예들에서, 원격 유닛들(105)은, 예컨대 스마트 시계들, 피트니스 밴드들, 광학 헤드 장착형 디스플레이들 등의 웨어러블 디바이스들을 포함한다. 또한, 원격 유닛들(105)은, UE들, 가입자 유닛들, 모바일들, 이동국들, 사용자들, 단말기들, 모바일 단말기들, 고정 단말기들, 가입자국들, 사용자 단말기들, 무선 전송/수신 유닛("WTRU"), 디바이스, 또는 본 기술분야에서 사용되는 다른 용어로 지칭될 수 있다. 다양한 실시예들에서, 원격 유닛(105)은, 가입자 아이덴티티 및/또는 식별 모듈("SIM"), 및 모바일 종료 기능들(예를 들어, 라디오 전송, 핸드오버, 음성 인코딩 및 디코딩, 에러 검출 및 정정, SIM으로의 시그널링 및 액세스)을 제공하는 모바일 장비("ME")를 포함한다. 특정 실시예들에서, 원격 유닛(105)은 단말 장비("TE")를 포함할 수 있고/있거나 기기 또는 디바이스(예를 들어, 전술된 바와 같은 컴퓨팅 디바이스)에 내장될 수 있다.
원격 유닛들(105)은 업링크("UL") 및 다운링크("DL") 통신 신호들을 통해 RAN(120) 내의 하나 이상의 베이스 유닛(121)과 직접 통신할 수 있다. 또한, UL 및 DL 통신 신호들은 무선 통신 링크들(123)을 통해 운반될 수 있다. 여기서, RAN(120)은 원격 유닛들(105)에게 모바일 코어 네트워크(140)로의 액세스를 제공하는 중간 네트워크이다.
일부 실시예들에서, 원격 유닛들(105)은 모바일 코어 네트워크(140)와의 네트워크 접속을 통해 애플리케이션 서버(151)와 통신한다. 예를 들어, 원격 유닛(105) 내의 애플리케이션(107)(예를 들어, 웹 브라우저, 미디어 클라이언트, 전화 및/또는 VoIP(Voice-over-Internet-Protocol) 애플리케이션)은 RAN(120)을 통해 모바일 코어 네트워크(140)와 프로토콜 데이터 유닛("PDU") 세션(또는 다른 데이터 접속)을 확립하도록 원격 유닛(105)을 트리거링할 수 있다. 그 후 모바일 코어 네트워크(140)는 PDU 세션을 이용하여 패킷 데이터 네트워크(150)에서의 애플리케이션 서버(151)와 원격 유닛(105) 사이의 트래픽을 중계한다. PDU 세션은 원격 유닛(105)과 사용자 평면 기능("UPF")(141) 사이의 논리적 접속을 나타낸다.
PDU 세션(또는 PDN 접속)을 확립하기 위해, 원격 유닛(105)은 모바일 코어 네트워크(140)에 등록되어야 한다(이것은 또한 4세대("4G") 시스템의 맥락에서 "모바일 코어 네트워크에 속하는 것"이라고도 한다). 원격 유닛(105)은 모바일 코어 네트워크(140)와 하나 이상의 PDU 세션(또는 다른 데이터 접속)을 확립할 수 있다는 점에 유의한다. 따라서, 원격 유닛(105)은 패킷 데이터 네트워크(150)와 통신하기 위한 적어도 하나의 PDU 세션을 가질 수 있다. 원격 유닛(105)은 다른 데이터 네트워크들 및/또는 다른 통신 피어들과 통신하기 위한 추가적인 PDU 세션들을 확립할 수 있다.
5G 시스템("5GS")의 맥락에서, 용어 "PDU 세션"이란, UPF(141)를 통해 원격 유닛(105)과 특정한 데이터 네트워크("DN") 사이에 종단간("E2E") 사용자 평면("UP") 접속성을 제공하는 데이터 접속을 지칭한다. PDU 세션은 하나 이상의 서비스 품질("QoS") 흐름을 지원한다. 특정 실시예들에서, 특정 QoS 흐름에 속하는 모든 패킷들이 동일한 5G QoS 식별자("5QI")를 갖도록, QoS 흐름과 QoS 프로파일 사이에 일대일 매핑이 있을 수 있다.
진화된 패킷 시스템("EPS")과 같은 4G/LTE 시스템의 맥락에서, 패킷 데이터 네트워크("PDN") 접속(EPS 세션이라고도 함)은 원격 유닛과 PDN 사이에 E2E UP 접속성을 제공한다. PDN 접속 절차는 EPS 베어러, 즉, 원격 유닛(105)과 모바일 코어 네트워크(140) 내의 패킷 게이트웨이("PGW", 도시되지 않음) 사이의 터널을 확립한다. 특정 실시예들에서, 특정 EPS 베어러에 속하는 모든 패킷들이 동일한 QoS 부류 식별자("QCI")를 갖도록, EPS 베어러와 QoS 프로파일 사이에 일대일 매핑이 존재한다.
베이스 유닛들(121)은 지리적 영역에 걸쳐 분산될 수 있다. 특정 실시예들에서, 베이스 유닛(121)은 또한, 액세스 단말기, 액세스 포인트, 베이스, 기지국, 노드-B("NB"), (eNodeB 또는 "eNB"라고 약칭되고, E-UTRAN(Evolved Universal Terrestrial Radio Access Network) 노드 B라고도 알려진) 진화된 노드 B, 5G/NR 노드 B("gNB"), 홈 노드-B, 중계 노드, RAN 노드, 또는 본 기술분야에서 사용되는 임의의 다른 용어로 지칭될 수 있다. 베이스 유닛들(121)은 일반적으로, 하나 이상의 대응하는 베이스 유닛(121)에 통신가능하게 결합된 하나 이상의 제어기를 포함할 수 있는 RAN, 예컨대 RAN(120)의 일부이다. 라디오 액세스 네트워크의 이들 및 다른 요소들은 예시되어 있지 않지만, 본 기술분야의 통상의 기술자에게는 일반적으로 널리 공지되어 있다. 베이스 유닛들(121)은 RAN(120)을 통해 모바일 코어 네트워크(140)에 접속된다.
베이스 유닛들(121)은, 무선 통신 링크(123)를 통해, 서빙 영역, 예를 들어, 셀 또는 셀 섹터 내의 다수의 원격 유닛(105)을 서빙할 수 있다. 베이스 유닛들(121)은 통신 신호들을 통해 하나 이상의 원격 유닛(105)과 직접 통신할 수 있다. 일반적으로, 베이스 유닛들(121)은, 시간, 주파수, 및/또는 공간 도메인에서 원격 유닛들(105)을 서빙하기 위해 DL 통신 신호들을 전송한다. 또한, DL 통신 신호들은 무선 통신 링크들(123)을 통해 운반될 수 있다. 무선 통신 링크들(123)은 허가 또는 비허가 라디오 스펙트럼에서의 임의의 적절한 캐리어일 수 있다. 무선 통신 링크들(123)은 하나 이상의 원격 유닛(105) 및/또는 하나 이상의 베이스 유닛(121) 사이의 통신을 용이하게 한다. 비허가 스펙트럼에서의 NR("NR-U") 동작 동안, 베이스 유닛(121) 및 원격 유닛(105)은 비허가(즉, 공유) 라디오 스펙트럼을 통해 통신한다는 점에 유의한다.
일 실시예에서, 모바일 코어 네트워크(140)는 5G 코어 네트워크("5GC") 또는 진화된 패킷 코어("EPC")이며, 이는 다른 데이터 네트워크들 중에서도 인터넷 및 개인 데이터 네트워크들과 같은 패킷 데이터 네트워크(150)에 결합될 수 있다. 원격 유닛(105)은 모바일 코어 네트워크(140)에의 가입 또는 다른 계정을 가질 수 있다. 각각의 모바일 코어 네트워크(140)는 단일 PLMN에 속한다. 본 개시내용은 임의의 특정한 무선 통신 시스템 아키텍처 또는 프로토콜의 구현으로 제한되도록 의도되지 않는다.
모바일 코어 네트워크(140)는 여러 네트워크 기능들("NF들")을 포함한다. 도시된 바와 같이, 모바일 코어 네트워크(140)는 적어도 하나의 UPF(141)를 포함한다. 모바일 코어 네트워크(140)는 또한 RAN(120)을 서빙하는 액세스 및 이동성 관리 기능("AMF")(143), 세션 관리 기능("SMF")(145), 정책 제어 기능("PCF")(147), 및 통합 데이터 관리 기능("UDM")을 포함하지만 이에 제한되지 않는 복수의 제어 평면("CP") 기능들을 포함한다. 일부 실시예들에서, UDM은 조합된 엔티티 "UDM/UDR"(149)로서 도시된 사용자 데이터 저장소("UDR")와 공동 위치된다. 다양한 실시예들에서, 모바일 코어 네트워크(140)는 또한 인증 서버 기능("AUSF"), 네트워크 저장소 기능("NRF")(애플리케이션 프로그래밍 인터페이스들("API들")을 통해 서로를 발견하고 통신하기 위해 다양한 NF들에 의해 이용됨), 또는 5GC에 대해 정의된 다른 NF들을 포함할 수 있다. 특정 실시예들에서, 모바일 코어 네트워크(140)는 인증, 허가, 및 과금("AAA") 서버를 포함할 수 있다.
다양한 실시예들에서, 모바일 코어 네트워크(140)는 상이한 유형들의 모바일 데이터 접속들 및 상이한 유형들의 네트워크 슬라이스들을 지원하며, 각각의 모바일 데이터 접속은 특정 네트워크 슬라이스를 이용한다. 여기서, "네트워크 슬라이스"는 특정 트래픽 유형 또는 통신 서비스에 대해 최적화된 모바일 코어 네트워크(140)의 일부를 지칭한다. 네트워크 인스턴스는 단일-네트워크 슬라이스 선택 지원 정보("S-NSSAI")에 의해 식별될 수 있는 반면, 원격 유닛(105)이 이용하도록 허가되는 네트워크 슬라이스들의 세트는 네트워크 슬라이스 선택 지원 정보("NSSAI")에 의해 식별된다. 여기서, "NSSAI"는 하나 이상의 S-NSSAI 값을 포함하는 벡터 값을 지칭한다. 특정 실시예들에서, 다양한 네트워크 슬라이스들은 SMF(145) 및 UPF(141)와 같은 네트워크 기능들의 별개의 인스턴스들을 포함할 수 있다. 일부 실시예들에서, 상이한 네트워크 슬라이스들은 AMF(143)와 같은 일부 공통 네트워크 기능들을 공유할 수 있다. 상이한 네트워크 슬라이스들은 예시의 용이함을 위해 도 1에 도시되지 않았지만, 그 지원이 가정된다.
특정 수들 및 유형들의 네트워크 기능들이 도 1에 도시되지만, 본 기술분야의 통상의 기술자는 임의의 수 및 유형의 네트워크 기능들이 모바일 코어 네트워크(140)에 포함될 수 있음을 인식할 것이다. 또한, 모바일 코어 네트워크(140)가 EPC인 LTE 변형에서, 도시된 네트워크 기능들은 이동성 관리 엔티티("MME"), 서빙 게이트웨이("SGW"), PGW, 홈 가입자 서버("HSS") 등과 같은 적절한 EPC 엔티티들로 대체될 수 있다. 예를 들어, AMF(143)는 MME에 매핑될 수 있고, SMF(145)는 PGW의 제어 평면 부분 및/또는 MME에 매핑될 수 있고, UPF(141)는 SGW 및 PGW의 사용자 평면 부분에 매핑될 수 있고, UDM/UDR(149)은 HSS에 매핑될 수 있는 식이다.
다양한 실시예들에서, 서비스 제공자 도메인(160)은 원격 유닛(105)이 가입한 PLMN이다. 서비스 제공자 도메인(160)은 모바일 코어 네트워크(140) 외부에 있다. 아래에 더 상세히 설명되는 바와 같이, 원격 유닛(105)은 모바일 코어 네트워크(140)에 등록하기 위해 외부 자격증명, 즉 서비스 제공자 도메인(160)의 자격증명을 이용할 수 있다. 여기서, 원격 유닛(105)을 인증하는 것은 서비스 제공자 도메인(160)에 위치된 AAA 서버(161)를 수반할 수 있다.
도 1이 5G RAN 및 5G 코어 네트워크의 구성요소들을 도시하지만, 외부 자격증명들을 이용하여 NPN에 액세스하기 위한 설명된 실시예들은 IEEE 802.11 변형들, GSM(Global System for Mobile Communications)(즉, 2G 디지털 셀룰러 네트워크), GPRS(General Packet Radio Service), UMTS(Universal Mobile Telecommunications System), LTE 변형들, CDMA 2000, 블루투스, 지그비(ZigBee), Sigfox 등을 포함하는 다른 유형들의 통신 네트워크들 및 RAT들에 적용된다.
이하의 설명들에서, 용어 "RAN 노드"는 기지국에 대해 사용되지만, 임의의 다른 라디오 액세스 노드, 예를 들어, gNB, eNB, 기지국("BS"), 액세스 포인트("AP") 등에 의해 대체가능하다. 또한, 이러한 동작들은 주로 5G NR의 맥락에서 설명된다. 그러나, 제안된 솔루션들/방법들은 외부 자격증명들을 이용하여 NPN에 액세스하는 것을 지원하는 다른 모바일 통신 시스템들에도 동등하게 적용가능하다.
도 2는 본 개시내용의 실시예들에 따라, 외부 인증 및 키 합의를 이용하여 등록하기 위한 절차(200)를 도시한다. 절차(200)는 UE(201), SNPN 내의 AMF 및/또는 SEAF(AMF/SEAF(203)로서 도시됨), SNPN 내의 UDM(205), SNPN 내의 AUP/AUSF(207)뿐만 아니라, 서비스 제공자 도메인 내의 외부 AAA 서버(209)를 수반한다. AUP는 AUSF와 공동 위치될 수 있고, 단순화를 위해 양쪽 모두가 도면에 함께 도시되어 있다.
SNPN은 외부 AAA 서버(들)(209)와의 인증들을 핸들링하고 있는 구성된 UDM(205) 및 AUP를 가질 수 있다. UDM(205) 및 AUP의 발견은 SNPN에서의 사전 구성에 기반하거나, 또는 SP-ID(UE의 NAI의 영역 부분)에 기반하거나, 또는 UDM(205)을 식별하고 AAA 서버(209)에서 이 SNPN에 대한 가입 프로파일에 저장된 라우팅 ID에 기반할 수 있다.
제1 솔루션에 따르면, 마스터 세션 키("MSK")는 AAA 서버로부터 인증 프록시 기능(예를 들어, "AUP"라고 불리고 향상된 AUSF, AAA 프록시, 또는 AAA 상호연동 기능일 수 있음)으로 프로비저닝되고, 여기서 AUP는 KAUSF 및 KSEAF를 도출한다. 이 솔루션에서, 다음의 가정들이 이루어진다:
그 자신의 식별자(즉, SP-ID)를 갖는 서비스 제공자는 SNPN과 비즈니스 관계(즉, 서비스 합의)를 갖고, 예를 들어, 가입자 영구 식별자("SUPI"), 국제 모바일 가입자 식별자("IMSI"), 일반 공용 가입 식별자("GPSI") 등일 수 있는 개별 UE ID들에 의해 식별되는, SNPN 내의 특정 수의 가입들을 이용하도록 허용된다. UE ID는 UE에 대한 SNPN에서의 임시 가입 식별자를 나타낸다. UE는 서비스 제공자에 대한 가입자이고, 둘 다는 UE(201) 내의 USIM(Universal Subscriber Identity Module)에 저장되거나 저장되지 않을 수 있는 그 공유 자격증명 세트를 갖는다. 또한, 이 자격증명들은 사용자명/패스워드, 공개/개인 키 세트, 인증서들 등일 수 있다.
서비스 제공자는 서비스 제공자의 모든 가입자들에 대해 SNPN에서의 특정 "디폴트 프로파일"을 이용하도록 허용된다. 이 "디폴트 프로파일"은 SNPN에서 구성되거나 할당된 UE ID들의 풀 또는 수에 대해 동일하다. SNPN에서의 UE ID는 여기서 "사용자명"이라고 하는 서비스 제공자의 가입 식별자와 관련되지 않으며, 즉, SNPN에서 등록하고 있는 서비스 제공자의 가입자는 SNPN에서의 후속 등록들을 위해 SNPN에서 상이한 UE ID를 얻거나 얻지 않을 수 있다. UE ID는 서비스 제공자와의 동일한 사용자명의 재인증을 위해 동일하게 유지될 수 있다. 서비스 제공자는 간격을 표현하는 유효 시간을 UE(201)의 다음 요구되는 재인증, 또는 SNPN에서 UE(201)에 대한 서비스 제공자 발행 가입 정보의 수명으로 설정할 수 있다.
등록 절차(200)는 단계 0에서 시작하는데, 여기서 서비스 제공자는 SNPN과의 서비스 합의를 갖고, SNPN은 성공적인 인증 후에 서비스 제공자의 가입자들에게 SNPN 특정 UE ID를 할당한다. UE ID의 할당은 동적으로 생성될 수 있거나, 또는 특정 풀 또는 수의 SNPN 특정 UE ID들, 또는 단지 이용가능한 비활성화된 UE ID들로부터 생성될 수 있고, SNPN은 단지 이 특정 서비스 제공자에 대한 SNPN에서의 활성 임시 가입들의 수를 카운팅한다. 서비스 제공자 및 SNPN은 UE ID들의 풀에 대한 "디폴트 프로파일"을 확인응답하며, 즉 서비스 제공자로부터의 모든 가입자들은 예를 들어 QoS, NSSAI들 등에 대해 동일한 프로파일을 갖는다(블록(211) 참조).
5G 시스템에서의 보통의 가입자 프로파일과의 중요한 차이점은 디폴트 프로파일이 어떠한 보안 관련 정보도 포함하지 않는다는 것, 즉, SUPI 은폐(해제)를 위한 공개/개인 키 쌍도 포함하지 않고 공유 루트 비밀 K도 포함하지 않는다는 것이다. 이것은 서비스 제공자가 단지 디폴트 프로파일에서의 미리 합의된 특징들의 세트로 SNPN에서 다수의 가상 가입들을 예약할 수 있다는 이점을 갖는다.
단계 1에서, UE(201)는 UE 아이덴티티로서 서비스 제공자의 NAI(예컨대, 'pseudonym@realm' 또는 'username@realm'의 형태임)를 갖는 등록 요청을 AMF/SEAF(203)에게 전송한다(메시징(213) 참조). NAI의 사용자명은 서비스 제공자의 EAP 방법이 프라이버시를 지원하는 경우 익명으로, 또는 사전 구성된 가명 또는 서비스 제공자의 가입 식별자로 설정될 수 있다. NAI의 사용자명 부분은 또한 가입자 은폐 식별자("SUCI"), SUPI, IMSI 또는 AAA 서버(209)에 의미 있는 임의의 다른 식별자일 수 있다.
단계 2에서, AMF/SEAF(203)는 NAI의 영역에 기반하여 등록 요청이 SNPN의 가입자로부터가 아니라 서비스 제공자로부터 온 것임을 검출한다. AMF/SEAF(203)는 NAI의 영역 및 SNPN이 이 서비스 제공자와 활성 합의를 갖는지를 검증함으로써 요청을 허가한다. AMF/SEAF(203)는 외부 서비스 제공자들에 대한 요청들을 핸들링하기 위해 사전 구성될 수 있는 AUP/AUSF(207)에 요청을 전달한다(메시징(215) 참조).
단계 3에서, AUP/AUSF(207)는 NAI의 영역 및 SNPN이 이 서비스 제공자와 활성 합의를 갖는지를 검증함으로써 등록 요청의 허가를 수행할 수 있다. AUP/AUSF(207)에서의 허가는 AMF/SEAF(203)가 이를 수행하지 않는 경우에, 또는 그것에 더하여 수행될 수 있다. AUP/AUSF(207)는 서비스 제공자를 식별하고 관련 메시지를 대응하는 AAA 서버(209)에 전송한다(메시징(217) 참조). AAA 서버(209)가 서비스 기반 인터페이스들을 지원하는 경우, AUP/AUSF(207)는 대응하는 인증 요청을 AAA 서버(209)에 전송하고, 그렇지 않다면, AUP/AUSF(207)는 UE NAI(예를 들어, pseudonym@realm)를 포함하는 AAA 프로토콜 인증 요청 메시지를 전송한다. 특정 실시예들에서, AAA 서버(209)로의 메시지는 또한 SNPN 서빙 네트워크 이름("SNN")을 포함한다.
단계 4에서, AAA 서버(209)는 사용자명에 기반하여 인증 요청을 검증한다. AAA 서버(209)가 프라이버시를 지원하면, 예를 들어, 터널 모드에서의 관련된 EAP 메시지는 UE(201)와의 제1 교환에서 보호되는 실제 아이덴티티를 수신할 것이다. AAA 서버(209)가 사용자명으로서의 SUCI 및 그 은폐해제를 지원하면, AAA 서버(209)는 SUCI를 사용자명으로서 SUPI로 은폐해제한다. AAA 서버(209)는 사용자명에 기반하여 가입자 프로파일을 선택하고(블록(219) 참조), UE(201)에서의 미리 공유된 자격증명들 및 AAA 서버(209)에서의 가입자 프로파일을 이용하여, UE(201)와의 EAP 기반 인증을 수행한다(메시징(221) 참조).
단계 5a에서, 성공적인 인증 후에 AAA 서버(209)는 CK, IK로부터 CK', IK'를 도출한다(블록(223) 참조). 일 실시예에서, 키 도출은 3GPP TS 33.402에 지정된 바와 같이 구현된다. AAA 서버(209)는 정상 키 도출을 따를 수 있고, 예를 들어, IETF RFC 5448에 따른 키 도출에 대한 입력을 이용하여 CK', IK'로부터 마스터 키("MK")를 도출하고, 즉 MK = PRF'(IK' | CK', "EAP-AKA' " | Identity)이고, 서비스 제공자의 가입 프로파일에서 PRF를 의사 난수 함수로서 그리고 Identity를 사용자명으로서 이용하며, 여기서 심볼 '|'는 입력 문자열을 구축하기 위한 연결 연산을 나타낸다.
AAA 서버(209)는 마스터 세션 키("MSK") 또는 확장된 마스터 세션 키("EMSK")를 생성할 수 있다. 일부 실시예들에서, MSK는 MK의 하위 문자열, 즉 MK[640 .. 1151]이고(표기 "[n .. m]"은 비트 'n'으로부터 비트 'm'까지의 하위 문자열을 나타냄), EMSK는 MK의 마지막 512 비트(즉, MK[1152 .. 1663])이다. 대안적으로, KAUSF는 입력으로서 CK', IK' 그리고 SNN을 이용하여 키 도출 함수(KDF)에 의해 KAUSF: KDF(CK' || IK', SNN)와 같이 도출될 수 있고, 여기서 심볼 '||'는 CK'와 IK'의 연결을 나타낸다.
단계 5b에서, UE(201)는 그에 따라 동일한 키들을 도출한다(블록(225) 참조).
AAA 서버(209)는 하나의 인증 기간 동안, 즉 그 후에 AMF/SEAF(203)가 재인증 요청을 트리거링해야 하는 유효 시간뿐만 아니라 SNPN에 대한 저장된 라우팅 ID(단계 0에서 사전 구성됨)를 선택할 수 있다.
단계 6에서, AAA 서버(209)는 인증 응답에서 인증의 결과를 AUP/AUSF(207)에 다시 전송한다(메시징(227) 참조). 이 메시지는 다음 중 적어도 하나를 포함할 수 있다: UE NAI(예컨대, pseudonym@realm), MSK, 유효 시간, 라우팅 ID, 및 UE의 AAA 서버에서의 가입 프로파일의 실제 사용자명을 갖는 NAI(예컨대, username@realm).
단계 7에서, AUP/AUSF(207)는 응답을 검증하고 MSK로부터 KAUSF를 도출한다(블록(229) 참조). AUP/AUSF(207)는, 예를 들어, 3GPP TS 33.501에 따라 KAUSF로부터 KSEAF를 추가로 도출한다.
단계 8에서, AUP/AUSF(207)는 인증 응답을 AMF/SEAF(203)에 전송할 수 있다(메시징(231) 참조). 여기서, 인증 응답은 다음과 같은 파라미터들 중 하나 이상을 포함할 수 있다: 서비스 제공자 및 KSEAF로부터의 인증 결과, UE ID(예컨대, SUPI), 유효 시간, 즉 다음 재인증까지의 시간. AUP/AUSF(207)는 AMF/SEAF(203)가 응답 메시지와 관련될 수 있도록 단계 2에서 수신된 NAI(예를 들어, pseudonym@realm)를 포함할 수 있다.
단계 9에서, AMF/SEAF(203)는 유효 시간의 만료 후의 잠재적 재인증들을 위해 UE ID 및 서비스 제공자로부터의 NAI(예컨대, username@realm)를 저장할 수 있다. AMF/SEAF(203)는 NAI 또는 UE ID에 기반하여 UDM(205)으로부터 가입 프로파일을 요청할 수 있다(블록(233) 참조).
단계 10에서, AMF/SEAF(203)는 이제부터 보통의 5G 가입자를 위한, 예를 들어, NAS SMC, AS SMC 등과 같은 정상 절차들을 수행할 수 있고, NAS 프로토콜 및 라디오 인터페이스에 대한 보안을 셋업한다(블록(235) 참조). 절차(200)는 종료된다.
도 3a 및 도 3b는 본 개시내용의 실시예들에 따라, 외부 인증 및 키 합의를 이용하여 등록하기 위한 절차(300)를 도시한다. 절차(300)는 UE(201), SNPN 내의 AMF/SEAF(203), SNPN 내의 UDM(205), SNPN 내의 AUP/AUSF(207), 및 서비스 제공자 도메인 내의 AAA 서버(209)를 수반한다.
제2 솔루션에 따르면, 키(KAUSF)는 AAA 서버(209)로부터 AUP/AUSF(207)로 프로비저닝된다. 이 솔루션에서, 다음의 가정들이 이루어진다:
그 자신의 식별자(SP-ID)를 갖는 서비스 제공자는 SNPN과의 서비스 합의를 가지며, 예를 들어 SUPI, IMSI, GPSI 등일 수 있는 개별 UE ID들에 의해 식별되는, SNPN에서의 특정 수의 가입들을 이용하도록 허용된다. UE ID는 UE(201)에 대한 SNPN에서의 임시 가입 식별자를 나타낸다. UE(201)는 서비스 제공자에 대한 가입자이고, 둘 다는 UE(201) 내의 USIM에 저장되거나 저장되지 않을 수 있는 그 공유 자격증명 세트를 갖는다. 또한, 이 자격증명들은 사용자명/패스워드, 공개/개인 키 세트, 인증서들 등일 수 있다.
서비스 제공자는 서비스 제공자의 모든 가입자들에 대해 SNPN에서의 특정 "디폴트 프로파일"을 이용하도록 허용된다. 이 "디폴트 프로파일"은 SNPN에서 구성되거나 할당된 UE ID들의 풀 또는 수에 대해 동일하다. SNPN에서의 UE ID는 여기서 "사용자명"이라고 하는 서비스 제공자의 가입 식별자와 관련되지 않으며, 즉, SNPN에서 등록하고 있는 서비스 제공자의 가입자는 SNPN에서의 후속 등록들을 위해 SNPN에서 상이한 UE ID를 얻거나 얻지 않을 수 있다. UE ID는 서비스 제공자와의 동일한 사용자명의 재인증을 위해 동일하게 유지될 수 있다. 서비스 제공자는 간격을 표현하는 유효 시간을 UE(201)의 다음 요구되는 재인증, 또는 SNPN에서 UE(201)에 대한 서비스 제공자 발행 가입 정보의 수명으로 설정할 수 있다.
SNPN은 외부 AAA 서버(들)(209)와의 인증들을 핸들링하고 있는 구성된 UDM(205) 및 AUP를 가질 수 있다. 일부 실시예들에서, AUP는 도 3a 및 도 3b에 도시된 바와 같이, AUSF와 공동 위치된다. UDM(205) 및 AUP의 발견은 SNPN에서의 사전 구성에 기반하거나, 또는 SP-ID(UE의 NAI의 영역 부분)에 기반하거나, 또는 UDM(205)을 식별하고 AAA 서버(209)에서 이 SNPN에 대한 가입 프로파일에 저장된 라우팅 ID에 기반할 수 있다.
도 3a에서, 등록 절차(300)는 도 2를 참조하여 위에서 논의된 것과 동일한 단계들 1-4를 수행함으로써 시작한다(블록들(211 및 219) 참조; 메시징(213, 215, 217, 및 221) 참조).
단계 5a에서, 성공적인 인증 후에, AAA 서버(209)는 그 길이뿐만 아니라 액세스 네트워크 아이덴티티 파라미터로서 SNPN의 SNN 또는 서비스 제공자 식별자(SP-ID)를 이용하여 CK, IK로부터 CK', IK'를 도출한다(블록(301) 참조). 일 실시예에서, 키 도출은 3GPP TS 33.402에 지정된 바와 같이 구현된다. AAA 서버(209)는 정상 키 도출을 따를 수 있고, IETF RFC 5448에 따른 키 도출에 대한 입력을 이용하여 CK', IK'로부터 마스터 키("MK")를 도출하고, 즉 MK = PRF'(IK' | CK', "EAP-AKA' " | Identity)이고, 서비스 제공자의 가입 프로파일에서 PRF를 의사 난수 함수로서 그리고 Identity를 사용자명으로서 이용하며, 여기서 심볼 '|'는 입력 문자열을 구축하기 위한 연결 연산을 나타낸다.
AAA 서버(209)는 MK의 마지막 512 비트(즉, MK[1152 .. 1663])인 확장된 마스터 세션 키(EMSK) 및 EMSK의 최상위 356 비트인 KSP_AUSF를 생성할 수 있다. 대안적으로, KSP_AUSF는 입력으로서 CK', IK' 그리고 SNN을 이용하여 키 도출 함수(KDF)에 의해 KSP_AUSF: KDF(CK' || IK', SNN)와 같이 도출될 수 있고, 여기서 심볼 '||'는 CK'와 IK'의 연결을 나타낸다.
단계 5b에서, UE(201)는 그에 따라 동일한 키들을 도출한다(블록(303) 참조).
AAA 서버(209)는 하나의 인증 기간 동안, 즉 그 후에 AMF/SEAF(203)가 재인증 요청을 트리거링해야 하는 유효 시간뿐만 아니라 SNPN에 대한 저장된 라우팅 ID(단계 0에서 사전 구성됨)를 선택할 수 있다.
단계 6에서, AAA 서버(209)는 인증 응답에서 인증의 결과를 AUP/AUSF(207)에 다시 전송한다(메시징(305) 참조). 이 메시지는 다음 중 적어도 하나를 포함할 수 있다: UE NAI(예를 들어, pseudonym@realm), KSP_AUSF, 유효 시간, 라우팅 ID, 및 UE(201)의 AAA 서버(209)에서의 가입 프로파일의 실제 사용자명을 갖는 NAI(예를 들어, username@realm). 대안으로, MK 또는 EMSK가 KSP_AUSF 대신에 전송되고, AUP/AUSF(207)는 KSEAF를 도출하기 전에 단계 7에서 이로부터 KAUSF를 도출할 것이다.
도 3b를 계속 참조하면, 단계 7a에서, AUP/AUSF(207)는 응답을 검증하고, 예를 들어, 사전 구성에 기반하여 또는 라우팅 ID에 기반하여, 서비스 제공자의 디폴트 프로파일을 저장하는 UDM(205)을 선택한다. AUP/AUSF(207)는 서비스 제공자 가입자의 NAI(예를 들어, username@realm)를 가지는, 외부 가입을 갖는 UE(201)에 대한 내부 식별자의 할당을 위한 요청(예를 들어, UE ID 요청이라고 불림)을 UDM(205)에 전송한다(메시징(307) 참조).
단계 7b에서, UDM(205)은 SNPN-특정 UE ID를 할당하고, 이를 서비스 제공자 가입자의 NAI(예를 들어, username@realm)에 바인딩한다(블록(309) 참조). UE ID는 SUPI, IMSI, GPSI 또는 SNPN 내의 임의의 다른 적절한 아이덴티티일 수 있다. 할당된 UE ID는 전역적으로 고유하지만 SNPN 도메인에서만 적용가능하며, 즉, SNPN 도메인 외부에서 UE ID를 운반하는 시그널링이 없다.
UDM(205)은 UE ID를 동적으로 생성할 수 있거나, 특정 SP에 대한 SNPN-특정 아이덴티티들의 풀을 가질 수 있거나, 단지 이 서비스 제공자의 활성화되는 가입들의 현재 수를 카운팅하고 있는 카운터를 이용하여 허용된 수의 가입들을 가질 수 있다. UDM(205)은 UE(201)가 서비스 제공자로부터 등록해제할 때 UE ID를 비활성화하고 바인딩을 제거할 수 있다.
UDM(205)은 UDM(205)에서의 활성화된 가입들의 수가 서비스 제공자와의 합의된 최대 수를 초과하거나 또는 어떠한 UE ID도 서비스 제공자에 대해 사전 구성된 UE ID들의 풀에 남아 있지 않다면 AUP/AUSF(207)로부터의 요청을 거부할 수 있으며, 즉 이 경우에 UE(201)는 거부될 것이고 이 서비스 제공자의 다른 UE(201)가 등록해제할 때까지 SNPN에 액세스할 수 없다.
단계 7c에서, UDM(205)은 할당된 UE ID를 AUP/AUSF(207)에 제공할 수 있다(메시징(311) 참조). UDM(205)은 또한 UE ID가 할당되는 NAI를 제공할 수 있으며, 따라서 AUSF는 메시지들을 관련시킬 수 있다.
단계 7d에서, AUP/AUSF(207)는 3GPP TS 33.501에 따라 KSP_AUSF로부터 KSEAF를 도출할 수 있다(블록(313) 참조).
단계 8에서, AUP/AUSF(207)는 인증 응답을 AMF/SEAF(203)에 전송할 수 있다(메시징(315) 참조). 여기서, 인증 응답은 다음 파라미터들 중 하나 이상을 포함할 수 있다: 서비스 제공자 및 KSEAF로부터의 인증 결과, 할당된 UE ID, 유효 시간, 즉, 다음 재인증까지의 시간. AUP/AUSF(207)는 AMF/SEAF(203)가 응답 메시지와 관련될 수 있도록 단계 3에서 수신된 NAI(예를 들어, pseudonym@realm)를 포함할 수 있다.
단계 9에서, AMF/SEAF(203)는 유효 시간의 만료 후의 잠재적 재인증들을 위해 UE ID와 서비스 제공자로부터의 NAI(예컨대, username@realm)의 바인딩을 저장할 수 있다. AMF/SEAF(203)는 NAI 또는 UE ID에 기반하여 UDM(205)으로부터 가입 프로파일을 요청할 수 있다(블록(317) 참조). 나중의 재인증의 경우에, AMF/SEAF(203)는 서비스 제공자로부터의 NAI를 갖고 할당된 UE ID를 갖지 않는, AUP/AUSF(207)에 대한 인증 요청을 개시할 필요가 있다.
단계 10에서, AMF/SEAF(203)는 이제부터 보통의 5G 가입자를 위한, 예를 들어, NAS SMC, AS SMC 등과 같은 정상 절차들을 수행할 수 있고, NAS 프로토콜 및 라디오 인터페이스에 대한 보안을 셋업한다(블록(319) 참조). 절차(300)는 종료된다.
도 4a 및 도 4b는 본 개시내용의 제3 솔루션의 실시예들에 따른, (절차(400)와 비교하여) 대안적인 키 도출을 이용하는 등록 절차(400)의 예를 도시한다. 제3 솔루션에 따르면, 도 4a 및 도 4b에 설명된 키 도출은 상이한 키 도출 및 분배 스킴으로 다음과 같이 단계 4 내지 단계 7 사이에서 수정된다.
절차(400)는 도 2를 참조하여 위에서 논의된 것과 동일한 단계들 0-4를 수행함으로써 시작한다(블록들(211 및 219) 참조; 메시징(213, 215, 217, 및 221) 참조).
단계 5a에서, 성공적인 인증 후에, AAA 서버(209)는 그 길이뿐만 아니라 액세스 네트워크 아이덴티티 파라미터로서 SNPN의 SNN 또는 서비스 제공자 식별자(SP-ID)를 이용하여 CK, IK로부터 CK', IK'를 도출한다(블록(401) 참조). 일 실시예에서, 키 도출은 3GPP TS 33.402에 지정된 바와 같이 구현된다. AAA 서버(209)는 하나의 인증 기간 동안, 즉 그 후에 AMF/SEAF(203)가 재인증 요청을 트리거링해야 하는 유효 시간뿐만 아니라 SNPN에 대한 저장된 라우팅 ID(즉, 단계 0에서 사전 구성됨)를 선택할 수 있다.
단계 5b에서, UE는 제3 솔루션에 따라 보안 키들을 도출한다(블록(403) 참조). 여기서, UE는 SP 및/또는 SNN 특정 키들(CK', IK', KAUSF 및 KSEAF)을 도출할 수 있다. UE(205)는 후술되는 바와 같이 CK', IK'로부터 마스터 키("MK")를 도출한다.
단계 6에서, AAA 서버(209)는 인증 응답에서 인증의 결과를 AUP/AUSF(207)에 다시 전송한다(메시징(405) 참조). 이 메시지는 CK', IK', 유효 시간, 라우팅 ID, 및 UE(201)의 AAA 서버(209)의 가입 프로파일에서의 실제 사용자명을 갖는 NAI를 포함할 수 있다.
도 4b를 계속 참조하면, 단계 7a에서, AUP/AUSF(207)는 응답을 검증하고, 예를 들어 사전 구성에 기반하여 또는 라우팅 ID에 기반하여 서비스 제공자의 디폴트 프로파일을 저장하는 UDM(205)을 선택한다. AUP/AUSF(207)는 서비스 제공자 가입자의 NAI를 갖는 UE ID 요청을 UDM(205)에 전송한다(메시징(407) 참조).
단계 7b에서, UDM(205)은 UE ID를 할당하고 이를 서비스 제공자 가입자의 NAI에 바인딩한다(블록(409) 참조). UE ID는 SUPI, IMSI, GPSI 또는 SNPN 내의 임의의 다른 적절한 아이덴티티일 수 있다. UDM(205)은 UE ID를 동적으로 생성할 수 있거나, 또는 가입들의 풀을 가질 수 있거나, 또는 단지 이 서비스 제공자의 활성화되는 가입들의 현재 수를 카운팅하고 있는 카운터를 이용하여 허용된 수의 가입들을 가질 수 있다.
UDM(205)은 UE(201)가 서비스 제공자로부터 등록해제할 때 UE ID를 비활성화하고 바인딩을 제거할 수 있다. UDM(205)은 UDM(205)에서의 활성화된 가입들의 수가 서비스 제공자와의 합의된 최대 수를 초과하거나 또는 어떠한 UE ID도 서비스 제공자에 대해 사전 구성된 UE ID들의 풀에 남아 있지 않다면 AUP/AUSF(207)로부터의 요청을 거부할 수 있으며, 즉 이 경우에 UE(201)는 거부될 것이고 이 서비스 제공자의 다른 UE(201)가 등록해제할 때까지 SNPN에 액세스할 수 없다.
단계 7c에서, UDM(205)은 할당된 UE ID를 AUP/AUSF(207)에 제공한다(메시징(411) 참조).
단계 7d에서, AUP/AUSF(207)는 정상 키 도출을 따를 수 있고, IETF RFC 4448에 따른 키 도출에 대한 입력을 이용하여 CK', IK'로부터 마스터 키("MK")를 도출하고, 즉 MK = PRF'(IK' | CK', "EAP-AKA' " | Identity)이고, PRF를 의사 난수 함수로서 그리고 Identity를 서비스 제공자의 AAA 서버(209)로부터 단계 6에서 수신된 NAI의 사용자명으로서 이용하며, 여기서 심볼 '|'는 입력 문자열을 구축하기 위한 연결 연산을 나타낸다(블록(413) 참조). AUP/AUSF(207)는 MK의 마지막 512 비트(즉, MK[1152 .. 1663])인 확장된 마스터 세션 키("EMSK") 및 EMSK의 최상위 256 비트인 KAUSF를 생성할 수 있다. AUP/AUSF(207)는 3GPP TS 33.501에 따라 KAUSF로부터 KSEAF를 도출할 수 있으며, 예를 들어, KSEAF = KDF(KAUSF, SNN, SNN 길이)이다.
단계 1에서 UE(201)에 의해 전송된 NAI에서의 가명은 SUCI일 수 있고, AAA 서버(209)로부터 AUP/AUSF(207)로 전송된 사용자명은 SUPI일 수 있다. 이 경우, UE(201)는 또한 SUPI를 이용하여 MK를 도출한다(블록(403) 참조).
절차(400)는 도 4b를 참조하여 위에서 논의된 것과 동일한 단계들 8-10을 수행함으로써 완료된다(메시징(315) 참조; 블록들(317 및 319) 참조).
제4 솔루션에 따르면, 절차(400)는 상이한 키 도출 및 분배 스킴으로 다음과 같이 단계들 7d 및 10에서 수정된다:
수정된 단계 7d에서, AUP/AUSF(207)는 정상 키 도출을 따를 수 있고, IETF RFC 4448에 따른 키 도출에 대한 입력을 이용하여 CK', IK'로부터 마스터 키(MK)를 도출하고, 즉 MK = PRF'(IK' | CK', "EAP-AKA' " | Identity)이고, PRF를 의사 난수 함수로서 그리고 Identity를 UDM(205)으로부터 단계 7c에서 수신된 UE ID로서 이용하며, 여기서 심볼 '|'는 입력 문자열을 구축하기 위한 연결 연산을 나타낸다. UE ID는 SUPI 또는 IMSI일 수 있다. 단계 5에서의 UE 키 도출은 또한 UE(201) 및 네트워크에서 도출된 키들이 일치하도록 수정될 것이라는 점에 유의한다.
수정된 단계 10에서, AMF/SEAF(203)는 할당된 UE ID를 또한 포함하는 NAS SMC 메시지를 UE(201)에 전송한다. UE(201)에서의 단계 4는, UE(201)가 MK를 도출하기 위해 UE ID가 수신될 때까지 키 도출을 기다려야 하고 수신된 NAS SMC의 무결성을 검증할 수 있도록 KAMF 및 NAS 키들까지 도출된 키들을 따라야 하기 때문에, 이 시점에서 수행될 것이다.
도 5는 본 개시내용의 실시예들에 따른 가입 취소 절차(500)의 예를 도시한다. 제5 솔루션에 따르면, UE(201)는 다양한 이유들로 인해 더 이상 AAA 서버(209)에 가입하지 않거나 그로부터 등록해제될 수 있다. 이 경우, 이 특정 UE(201)에 대한 활성 등록을 여전히 갖는 SNPN들은 또한 UE(201)를 등록해제해야 한다.
단계 1에서, AAA 서버(209)는 만료된 또는 비활성화된 가입자 프로파일에 대해 임의의 SNPN들에 활성 등록들이 있는지를 식별할 수 있다(블록(501) 참조).
단계 2에서, AAA 서버(209)는 UE(201)의 AAA 서버(209)의 가입 프로파일에 실제 사용자명을 갖는 NAI를 포함할 수 있고 라우팅 ID를 포함할 수 있는 등록해제 요청 메시지를 AUP/AUSF(207)에 전송할 수 있다(메시징(503) 참조).
단계 3에서, AUP/AUSF(207)는 응답을 검증하고, 예를 들어 사전 구성에 기반하여 또는 라우팅 ID에 기반하여 서비스 제공자의 디폴트 프로파일을 저장하는 UDM(205)을 선택한다. AUP/AUSF(207)는 서비스 제공자 가입자의 NAI를 갖는 등록해제 요청을 UDM(205)에 전송한다(메시징(505) 참조).
단계 4에서, UDM(205)은 UE ID(예를 들어, SUPI)와 NAI 사이의 바인딩을 제거한다. UDM(205)은 추가 이용을 위해 UE ID를 비활성화할 수 있다(블록(507) 참조).
단계 5에서, UDM(205)은 3GPP TS 23.502에 따라 네트워크 개시 등록해제 절차를 트리거링하고, 이는 SNPN으로부터 UE(201)를 등록해제한다(블록(509) 참조).
단계 6에서, UDM(205)은 등록해제 확인응답을 AUP/AUSF(207)에 전송하고, AUP/AUSF(207)가 그 응답을 요청에 관련시킬 수 있도록 NAI를 포함할 수 있다(메시징(511) 참조).
단계 7에서, AUP/AUSF(207)는 AAA 서버(209)가 그 응답을 요청에 관련시킬 수 있고 가입 프로파일을 제거할 수 있도록 username@realm을 포함할 수 있는 등록해제 응답 메시지를 AAA 서버(209)에 전송한다(메시징(513) 참조).
도 6은 본 개시내용의 실시예들에 따른, AAA 서버 트리거링 재인증을 위한 절차(600)를 도시한다.
제6 솔루션에 따르면, AAA 서버(209)는 다양한 이유들, 예를 들어, 가입자가 여전히 SNPN에 위치하는지를 체크하기 위해 재인증을 트리거링하기를 원할 수 있다.
단계 1에서, AAA 서버(209)는, 예컨대, 이전의 실시예들에서 명시된 바와 같이 AAA 서버에 의해 설정된 타이머 또는 유효 시간에 기반하여, 특정 가입자에 대해 재인증이 요구되도록 트리거링될 수 있다(블록(601) 참조).
단계 2에서, AAA 서버(209)는 서비스 제공자 가입자의 NAI를 포함할 수 있고 라우팅 ID를 포함할 수 있는 재인증을 위한 EAP 요청을 AUP/AUSF(207)에 전송할 수 있다(메시징(603) 참조).
단계 3에서, AUP/AUSF(207)는 응답을 검증하고, 예를 들어 사전 구성에 기반하여 또는 라우팅 ID에 기반하여 서비스 제공자의 디폴트 프로파일을 저장하는 UDM(205)을 선택한다. AUP/AUSF(207)는 서비스 제공자 가입자의 NAI를 갖는 라우팅 요청을 UDM(205)에 전송하는데, 왜냐하면 AUP/AUSF(207)는 UE(201)가 어느 AMF/SEAF(203)에 의해 서빙되는지에 대한 바인딩을 갖지 않기 때문이다(메시징(605) 참조).
단계 4에서, UDM(205)은 NAI에 대한 UE(201)의 등록 상태를 체크할 수 있고 UE(201)를 서빙하는 AMF/SEAF(203) 인스턴스를 탐색한다(블록(607) 참조).
단계 5에서, UDM(205)은 라우팅 응답 메시지에서 AMF/SEAF(203) 인스턴스 ID를 AUP/AUSF(207)에 반환할 수 있다(메시징(609) 참조).
단계 6에서, AUP/AUSF(207)는 재인증을 위한 EAP 요청을 AMF/SEAF(203)에 전달할 수 있고, AMF/SEAF(203)는 이를 NAS 컨테이너 메시지에서 UE(201)에 전송할 수 있다(메시징(611) 참조).
단계 7에서, UE(201)와 AAA 서버(209) 사이의 인증이 수행되고, 이 절차에 이어서 위의 솔루션들에서 설명된 키 도출들 중 임의의 것은 물론, 임의의 추가 단계들이 뒤따를 수 있다(블록(613) 참조).
단계 8에서, UE(205), AUP/AUSF(207) 및/또는 AAA 서버(209)는 전술한 솔루션들 중 임의의 것에 따라 키 도출(및 적용가능한 경우, 분배)을 수행한다(블록(615) 참조).
도 7은 본 개시내용의 실시예들에 따라, 외부 자격증명들을 이용하여 NPN에 액세스하는데 이용될 수 있는 사용자 장비 장치(700)를 도시한다. 다양한 실시예들에서, 사용자 장비 장치(700)는 전술한 솔루션들 중 하나 이상을 구현하는데 이용된다. 사용자 장비 장치(700)는 전술된 원격 유닛(105) 및/또는 UE(201)의 일 실시예일 수 있다. 또한, 사용자 장비 장치(700)는 프로세서(705), 메모리(710), 입력 디바이스(715), 출력 디바이스(720), 및 트랜시버(725)를 포함할 수 있다.
일부 실시예들에서, 입력 디바이스(715) 및 출력 디바이스(720)는 터치스크린과 같은 단일 디바이스로 결합된다. 특정 실시예들에서, 사용자 장비 장치(700)는 임의의 입력 디바이스(715) 및/또는 출력 디바이스(720)를 포함하지 않을 수 있다. 다양한 실시예들에서, 사용자 장비 장치(700)는, 프로세서(705), 메모리(710), 및 트랜시버(725) 중 하나 이상을 포함할 수 있고, 입력 디바이스(715) 및/또는 출력 디바이스(720)를 포함하지 않을 수 있다.
도시된 바와 같이, 트랜시버(725)는 적어도 하나의 전송기(730) 및 적어도 하나의 수신기(735)를 포함한다. 일부 실시예들에서, 트랜시버(725)는 하나 이상의 베이스 유닛(121)에 의해 지원되는 하나 이상의 셀(또는 무선 커버리지 영역)과 통신한다. 다양한 실시예들에서, 트랜시버(725)는 비허가 스펙트럼 상에서 동작가능하다. 또한, 트랜시버(725)는 하나 이상의 빔을 지원하는 복수의 UE 패널을 포함할 수 있다. 또한, 트랜시버(725)는 적어도 하나의 네트워크 인터페이스(740) 및/또는 애플리케이션 인터페이스(745)를 지원할 수 있다. 애플리케이션 인터페이스(들)(745)는 하나 이상의 API를 지원할 수 있다. 네트워크 인터페이스(들)(740)는 Uu, N1, PC5 등과 같은 3GPP 참조 포인트들을 지원할 수 있다. 본 기술분야의 통상의 기술자에 의해 이해되는 바와 같이, 다른 네트워크 인터페이스들(740)이 지원될 수 있다.
프로세서(705)는, 일 실시예에서, 컴퓨터 판독가능한 명령어들을 실행할 수 있고/있거나 논리적 연산들을 수행할 수 있는 임의의 공지된 제어기를 포함할 수 있다. 예를 들어, 프로세서(705)는, 마이크로제어기, 마이크로프로세서, 중앙 처리 유닛("CPU"), 그래픽 처리 유닛("GPU"), 보조 처리 유닛, 필드 프로그래밍가능한 게이트 어레이("FPGA"), 또는 유사한 프로그래밍가능한 제어기일 수 있다. 일부 실시예들에서, 프로세서(705)는 메모리(710)에 저장된 명령어들을 실행하여 본 명세서에 설명된 방법들 및 루틴들을 수행한다. 프로세서(705)는, 메모리(710), 입력 디바이스(715), 출력 디바이스(720), 및 트랜시버(725)에 통신가능하게 결합된다.
다양한 실시예들에서, 프로세서(705)는 전술한 UE 거동들을 구현하도록 사용자 장비 장치(700)를 제어한다. 특정 실시예들에서, 프로세서(705)는 애플리케이션 도메인 및 운영 체제("OS") 기능들을 관리하는 애플리케이션 프로세서("메인 프로세서"라고도 알려짐) 및 라디오 기능들을 관리하는 기저대역 프로세서("기저대역 라디오 프로세서"라고도 알려짐)를 포함할 수 있다.
일 실시예에서, 메모리(710)는 컴퓨터 판독가능한 저장 매체이다. 일부 실시예들에서, 메모리(710)는 휘발성 컴퓨터 저장 매체를 포함한다. 예를 들어, 메모리(710)는 동적 RAM("DRAM"), 동기식 동적 RAM("SDRAM"), 및/또는 정적 RAM("SRAM")을 포함하는 RAM을 포함할 수 있다. 일부 실시예들에서, 메모리(710)는 비휘발성 컴퓨터 저장 매체를 포함한다. 예를 들어, 메모리(710)는 하드 디스크 드라이브, 플래시 메모리, 또는 임의의 다른 적절한 비휘발성 컴퓨터 저장 디바이스를 포함할 수 있다. 일부 실시예들에서, 메모리(710)는 휘발성 및 비휘발성 컴퓨터 저장 매체 둘 다를 포함한다.
일부 실시예들에서, 메모리(710)는 외부 자격증명들을 이용하여 NPN에 액세스하는 것과 관련된 데이터를 저장한다. 예를 들어, 메모리(710)는, 전술된 바와 같이, 다양한 파라미터들, 패널/빔 구성들, 리소스 할당들, 정책들 등을 저장할 수 있다. 특정 실시예들에서, 메모리(710)는 또한 장치(700) 상에서 동작하는 운영 체제 또는 다른 제어기 알고리즘들과 같은 프로그램 코드 및 관련 데이터를 저장한다.
입력 디바이스(715)는, 일 실시예에서, 터치 패널, 버튼, 키보드, 스타일러스, 마이크로폰 등을 포함하는 임의의 공지된 컴퓨터 입력 디바이스를 포함할 수 있다. 일부 실시예들에서, 입력 디바이스(715)는, 예를 들어, 터치스크린 또는 유사한 터치 감응 디스플레이로서 출력 디바이스(720)와 통합될 수 있다. 일부 실시예들에서, 입력 디바이스(715)는, 텍스트가 터치스크린 상에 표시된 가상 키보드를 이용하여 그리고/또는 터치스크린 상에 필기함으로써 입력될 수 있도록 터치스크린을 포함한다. 일부 실시예들에서, 입력 디바이스(715)는 키보드 및 터치 패널과 같은 2개 이상의 상이한 디바이스를 포함한다.
출력 디바이스(720)는, 일 실시예에서, 시각적, 청각적, 및/또는 촉각적 신호들을 출력하도록 설계된다. 일부 실시예들에서, 출력 디바이스(720)는 시각적 데이터를 사용자에게 출력할 수 있는 전자적으로 제어가능한 디스플레이 또는 디스플레이 디바이스를 포함한다. 예를 들어, 출력 디바이스(720)는, 액정 디스플레이("LCD"), 발광 다이오드("LED") 디스플레이, 유기 LED("OLED") 디스플레이, 프로젝터, 또는 이미지들, 텍스트 등을 사용자에게 출력할 수 있는 유사한 디스플레이 디바이스를 포함할 수 있지만, 이것으로 제한되는 것은 아니다. 다른 비제한적인 예로서, 출력 디바이스(720)는, 스마트 시계, 스마트 안경, 헤드-업 디스플레이 등과 같은, 사용자 장비 장치(700)의 나머지와 별개이지만 이에 통신가능하게 결합된 웨어러블 디스플레이를 포함할 수 있다. 또한, 출력 디바이스(720)는 스마트폰, 개인 휴대 정보 단말기, 텔레비전, 테이블 컴퓨터, 노트북(랩톱) 컴퓨터, 개인용 컴퓨터, 차량 대시보드 등의 구성요소일 수 있다.
특정 실시예들에서, 출력 디바이스(720)는 사운드를 생성하기 위한 하나 이상의 스피커를 포함한다. 예를 들어, 출력 디바이스(720)는 가청 경보 또는 통지(예컨대, 비프음 또는 차임음)를 생성할 수 있다. 일부 실시예들에서, 출력 디바이스(720)는 진동들, 모션, 또는 다른 촉각적 피드백을 생성하기 위한 하나 이상의 촉각적 디바이스를 포함한다. 일부 실시예들에서, 출력 디바이스(720)의 전부 또는 일부는 입력 디바이스(715)와 통합될 수 있다. 예를 들어, 입력 디바이스(715) 및 출력 디바이스(720)는 터치스크린 또는 유사한 터치 감응 디스플레이를 형성할 수 있다. 다른 실시예들에서, 출력 디바이스(720)는 입력 디바이스(715) 근처에 위치할 수 있다.
트랜시버(725)는 하나 이상의 액세스 네트워크를 통해 모바일 통신 네트워크의 하나 이상의 네트워크 기능과 통신한다. 트랜시버(725)는 메시지들, 데이터, 및 다른 신호들을 전송하고 또한 메시지들, 데이터, 및 다른 신호들을 수신하기 위해 프로세서(705)의 제어 하에서 동작한다. 예를 들어, 프로세서(705)는 메시지들을 전송 및 수신하기 위해 특정 시간들에서 트랜시버(725)(또는 그 부분들)를 선택적으로 활성화할 수 있다.
트랜시버(725)는 적어도 전송기(730) 및 적어도 하나의 수신기(735)를 포함한다. 하나 이상의 전송기(730)는, 본 명세서에서 설명된 UL 전송들 등의, UL 통신 신호들을 베이스 유닛(121)에 제공하는데 이용될 수 있다. 유사하게, 하나 이상의 수신기(735)는, 본 명세서에서 설명된 바와 같이, 베이스 유닛(121)으로부터 DL 통신 신호들을 수신하는데 이용될 수 있다. 하나의 전송기(730) 및 하나의 수신기(735)만이 도시되지만, 사용자 장비 장치(700)는 임의의 적절한 수의 전송기들(730) 및 수신기들(735)을 가질 수 있다. 또한, 전송기(들)(730) 및 수신기(들)(735)는 임의의 적절한 유형의 전송기들 및 수신기들일 수 있다. 일 실시예에서, 트랜시버(725)는 허가 라디오 스펙트럼을 통해 모바일 통신 네트워크와 통신하는데 이용되는 제1 전송기/수신기 쌍 및 비허가 라디오 스펙트럼을 통해 모바일 통신 네트워크와 통신하는데 이용되는 제2 전송기/수신기 쌍을 포함한다.
특정 실시예들에서, 허가 라디오 스펙트럼을 통해 모바일 통신 네트워크와 통신하는데 이용되는 제1 전송기/수신기 쌍 및 비허가 라디오 스펙트럼을 통해 모바일 통신 네트워크와 통신하는데 이용되는 제2 전송기/수신기 쌍은 단일 트랜시버 유닛, 예를 들어, 허가 및 비허가 라디오 스펙트럼 모두와 함께 이용하기 위한 기능들을 수행하는 단일 칩으로 결합될 수 있다. 일부 실시예들에서, 제1 전송기/수신기 쌍 및 제2 전송기/수신기 쌍은 하나 이상의 하드웨어 구성요소를 공유할 수 있다. 예를 들어, 특정 트랜시버들(725), 전송기들(730), 및 수신기들(735)은, 예를 들어, 네트워크 인터페이스(740)와 같은, 공유 하드웨어 리소스 및/또는 소프트웨어 리소스에 액세스하는 물리적으로 별개의 구성요소들로서 구현될 수 있다.
다양한 실시예들에서, 하나 이상의 전송기(730) 및/또는 하나 이상의 수신기(735)는 멀티-트랜시버 칩, 시스템-온-칩, 주문형 집적 회로("ASIC"), 또는 다른 유형의 하드웨어 구성요소와 같은 단일 하드웨어 구성요소로 구현 및/또는 통합될 수 있다. 특정 실시예들에서, 하나 이상의 전송기(730) 및/또는 하나 이상의 수신기(735)는 멀티-칩 모듈로 구현 및/또는 통합될 수 있다. 일부 실시예들에서, 네트워크 인터페이스(740) 또는 다른 하드웨어 구성요소들/회로들과 같은 다른 구성요소들은 임의의 수의 전송기들(730) 및/또는 수신기들(735)과 함께 단일 칩으로 통합될 수 있다. 이러한 실시예에서, 전송기들(730) 및 수신기들(735)은 하나 이상의 공통 제어 신호를 이용하는 트랜시버(725)로서, 또는 동일한 하드웨어 칩 또는 멀티-칩 모듈에서 구현된 모듈식 전송기들(730) 및 수신기들(735)로서 논리적으로 구성될 수 있다.
도 8은 본 개시내용의 실시예들에 따라, 외부 자격증명들을 이용하여 NPN에 액세스하는데 이용될 수 있는 네트워크 장치(800)를 도시한다. 일 실시예에서, 네트워크 장치(800)는 전술한 바와 같은 AUSF(148) 및/또는 AUP/AUSF(207)와 같은 모바일 통신 네트워크에서의 인증 프록시 장치의 일 구현일 수 있다. 또한, 네트워크 장치(800)는 프로세서(805), 메모리(810), 입력 디바이스(815), 출력 디바이스(820), 및 트랜시버(825)를 포함할 수 있다.
일부 실시예들에서, 입력 디바이스(815) 및 출력 디바이스(820)는 터치스크린과 같은 단일 디바이스로 결합된다. 특정 실시예들에서, 네트워크 장치(800)는 임의의 입력 디바이스(815) 및/또는 출력 디바이스(820)를 포함하지 않을 수 있다. 다양한 실시예들에서, 네트워크 장치(800)는 프로세서(805), 메모리(810), 및 트랜시버(825) 중 하나 이상을 포함할 수 있고, 입력 디바이스(815) 및/또는 출력 디바이스(820)를 포함하지 않을 수 있다.
도시된 바와 같이, 트랜시버(825)는 적어도 하나의 전송기(830) 및 적어도 하나의 수신기(835)를 포함한다. 여기서, 트랜시버(825)는 하나 이상의 원격 유닛(85)과 통신한다. 또한, 트랜시버(825)는 적어도 하나의 네트워크 인터페이스(840) 및/또는 애플리케이션 인터페이스(845)를 지원할 수 있다. 애플리케이션 인터페이스(들)(845)는 하나 이상의 API를 지원할 수 있다. 네트워크 인터페이스(들)(840)는 Uu, N1, N2 및 N3과 같은 3GPP 참조 포인트들을 지원할 수 있다. 본 기술분야의 통상의 기술자에 의해 이해되는 바와 같이, 다른 네트워크 인터페이스들(840)이 지원될 수 있다.
프로세서(805)는, 일 실시예에서, 컴퓨터 판독가능한 명령어들을 실행할 수 있고/있거나 논리적 연산들을 수행할 수 있는 임의의 공지된 제어기를 포함할 수 있다. 예를 들어, 프로세서(805)는 마이크로제어기, 마이크로프로세서, CPU, GPU, 보조 처리 유닛, FPGA, 또는 유사한 프로그래밍가능한 제어기일 수 있다. 일부 실시예들에서, 프로세서(805)는 메모리(810)에 저장된 명령어들을 실행하여 본 명세서에 설명된 방법들 및 루틴들을 수행한다. 프로세서(805)는, 메모리(810), 입력 디바이스(815), 출력 디바이스(820), 및 트랜시버(825)에 통신가능하게 결합된다.
다양한 실시예들에서, 네트워크 장치(800)는 본 명세서에 설명된 바와 같이 하나 이상의 UE와 통신하는 RAN 노드(예를 들어, gNB)이다. 이러한 실시예들에서, 프로세서(805)는 전술한 RAN 거동들을 수행하도록 네트워크 장치(800)를 제어한다. RAN 노드로서 동작할 때, 프로세서(805)는 애플리케이션 도메인 및 운영 체제("OS") 기능들을 관리하는 애플리케이션 프로세서("메인 프로세서"라고도 알려짐) 및 라디오 기능들을 관리하는 기저대역 프로세서("기저대역 라디오 프로세서"라고도 알려짐)를 포함할 수 있다.
다양한 실시예들에서, 네트워크 장치(800)는 제1 모바일 통신 네트워크(예를 들어, NPN)에서의 AMF 및/또는 SEAF이다. 이러한 실시예들에서, 프로세서(805)는 NPN에서 AMF/SEAF의 전술한 거동들을 구현하도록 네트워크 장치(800)를 제어한다. 예를 들어, 프로세서(805)는 본 명세서에 설명된 바와 같이, 외부 자격증명들(즉, 서비스 제공자에 대한 자격증명들)을 이용하여 NPN과의 UE의 등록, 인증, 등록해제, 및/또는 재인증을 용이하게 할 수 있다.
다양한 실시예들에서, 네트워크 장치(800)는 제1 모바일 통신 네트워크(예를 들어, NPN)에서의 UDM/UDR이다. 이러한 실시예들에서, 프로세서(805)는 NPN에서 UDM/UDR의 전술한 거동들을 구현하도록 네트워크 장치(800)를 제어한다. 예를 들어, 프로세서(805)는 본 명세서에 설명된 바와 같이, 외부 자격증명들(즉, 서비스 제공자에 대한 자격증명들)을 이용하여 NPN과의 UE의 등록, 인증, 등록해제, 및/또는 재인증을 용이하게 할 수 있다.
다양한 실시예들에서, 네트워크 장치(800)는 서비스 제공자 도메인(예를 들어, PLMN)에서의 AAA 서버이다. 이러한 실시예들에서, 프로세서(805)는 서비스 제공자 도메인에서 AAA 서버의 전술한 거동들을 구현하도록 네트워크 장치(800)를 제어한다. 예를 들어, 프로세서(805)는 본 명세서에 설명된 바와 같이, 외부 자격증명들(즉, 서비스 제공자에 대한 자격증명들)을 이용하여 NPN과의 UE의 인증, 가입 취소, 및/또는 재인증을 용이하게 할 수 있다.
다양한 실시예들에서, 네트워크 장치(800)는 제1 모바일 통신 네트워크(즉, NPN)에서의 인증 프록시이다. 이러한 실시예들에서, 프로세서(805)는 NPN에서 AUP 및/또는 AUSF의 전술한 거동들을 구현하도록 네트워크 장치(800)를 제어한다. 예를 들어, 트랜시버(825)는 UE에 대한 등록 요청을 수신할 수 있다. 여기서, UE는 NPN에 가입하지 않았다. 여기서, 프로세서(805)는 UE의 서비스 제공자(예를 들어, PLMN)를 식별하고, 식별된 서비스 제공자의 AAA 서버에 인증 메시지를 전송하도록 트랜시버(825)를 제어한다. 프로세서(805)는 UE의 성공적인 인증에 응답하여 AAA 서버로부터 인증 응답을 수신하고, 인증 응답은 마스터 세션 키("MSK")를 포함한다. 또한, 프로세서(805)는 MSK를 이용하여 보안 키들의 세트(예를 들어, KAUSF, KSEAF)를 도출한다.
일부 실시예들에서, 등록 요청은 NAI를 포함한다. 여기서, 제1 방법은 NAI의 영역을 식별하고 제1 모바일 통신 네트워크와 서비스 제공자 사이에 서비스 합의가 존재함을 검증함으로써 등록 요청을 허가하는 단계를 포함한다. 특정 실시예들에서, 원격 유닛을 서빙하는 액세스 관리 기능(즉, AMF)은 인증 프록시 기능에 전송하기 전에 등록 요청을 허가할 수 있다.
일부 실시예들에서, 인증 응답은 제1 모바일 통신 네트워크의 라우팅 식별자 및 마스터 세션 키에 대한 유효 시간을 포함하고, 여기서, 유효 시간의 만료 후에 원격 유닛의 재인증이 요구된다. 일부 실시예들에서, 도출된 보안 키들의 세트는 인증 서버 기능 키(즉, KAUSF) 및 보안 앵커 기능 키(즉, KSEAF)를 포함하고, 여기서 KAUSF는 (확장된 마스터 세션 키로부터가 아니라) 마스터 세션 키로부터 도출되고, KSEAF는 KAUSF로부터 도출된다. 일 실시예에서, KAUSF는 제1 모바일 통신 네트워크에 특정적이다. 다른 실시예에서, KAUSF는 서비스 제공자에 특정적이다. 다른 실시예들에서, KAUSF는 제1 모바일 통신 네트워크 및 서비스 제공자에 특정적이지 않다.
특정 실시예들에서, 등록 요청은 원격 유닛을 서빙하는 액세스 관리 기능(즉, AMF)으로부터 수신된다. 여기서, 제1 방법은 서빙 액세스 관리 기능에 제2 인증 응답을 전송하는 단계를 포함하고, 제2 인증 응답은 원격 유닛의 UE 식별자, 유효 시간 및 KSEAF를 포함한다. 추가 실시예들에서, 제1 모바일 통신 네트워크는 독립형 비공용 네트워크("SNPN")와 같은 비공용 네트워크("NPN")일 수 있고, 서비스 제공자는 공용 육상 모바일 네트워크("PLMN")와 같은 제2 모바일 통신 네트워크일 수 있다.
일부 실시예들에서, 프로세서(805)는 또한, 서비스 제공자에 특정적인 원격 유닛의 제1 식별자(예를 들어, NAI)를 제1 모바일 통신 네트워크에 특정적인 제2 식별자(예를 들어, UE ID 또는 SUPI)에 바인딩한다. 특정 실시예들에서, 프로세서(805)는 또한, 원격 유닛을 등록해제하라는 등록해제 요청을 AAA 서버로부터 수신하고 등록해제 요청을 검증한다. 이러한 실시예들에서, 프로세서(805)는 또한, (예를 들어, UDM에 등록해제 요청을 전송함으로써) 제1 식별자와 제2 식별자의 바인딩의 제거를 트리거링한다.
일부 실시예들에서, 프로세서(805)는 또한, AAA 서버로부터 재인증 요청을 수신하고 라우팅 요청을 사용자 데이터 관리 기능에 전송한다. 이러한 실시예들에서, 프로세서(805)는 또한, 서빙 액세스 관리 기능의 식별자를 포함하는 라우팅 응답을 수신하고 재인증 요청을 서빙 액세스 관리 기능에 전달한다.
특정 실시예들에서, 재인증 요청은 라우팅 식별자를 포함한다. 이러한 실시예들에서, 라우팅 요청을 전송하는 것은 라우팅 식별자로부터 사용자 데이터 관리 기능을 식별하는 것과 라우팅 요청을 식별된 사용자 데이터 관리 기능에 전송하는 것 둘 다를 포함한다.
일 실시예에서, 메모리(810)는 컴퓨터 판독가능한 저장 매체이다. 일부 실시예들에서, 메모리(810)는 휘발성 컴퓨터 저장 매체를 포함한다. 예를 들어, 메모리(810)는 동적 RAM("DRAM"), 동기식 동적 RAM("SDRAM"), 및/또는 정적 RAM("SRAM")을 포함하는 RAM을 포함할 수 있다. 일부 실시예들에서, 메모리(810)는 비휘발성 컴퓨터 저장 매체를 포함한다. 예를 들어, 메모리(810)는 하드 디스크 드라이브, 플래시 메모리, 또는 임의의 다른 적절한 비휘발성 컴퓨터 저장 디바이스를 포함할 수 있다. 일부 실시예들에서, 메모리(810)는 휘발성 및 비휘발성 컴퓨터 저장 매체 둘 다를 포함한다.
일부 실시예들에서, 메모리(810)는 외부 자격증명들을 이용하여 NPN에 액세스하는 것과 관련된 데이터를 저장한다. 예를 들어, 메모리(810)는, 전술된 바와 같이, 파라미터들, 구성들, 리소스 할당들, 정책들 등을 저장할 수 있다. 특정 실시예들에서, 메모리(810)는 또한 장치(800) 상에서 동작하는 운영 체제 또는 다른 제어기 알고리즘들과 같은 프로그램 코드 및 관련 데이터를 저장한다.
입력 디바이스(815)는, 일 실시예에서, 터치 패널, 버튼, 키보드, 스타일러스, 마이크로폰 등을 포함하는 임의의 공지된 컴퓨터 입력 디바이스를 포함할 수 있다. 일부 실시예들에서, 입력 디바이스(815)는, 예를 들어, 터치스크린 또는 유사한 터치 감응 디스플레이로서 출력 디바이스(820)와 통합될 수 있다. 일부 실시예들에서, 입력 디바이스(815)는, 텍스트가 터치스크린 상에 표시된 가상 키보드를 이용하여 그리고/또는 터치스크린 상에 필기함으로써 입력될 수 있는 터치스크린을 포함한다. 일부 실시예들에서, 입력 디바이스(815)는 키보드 및 터치 패널과 같은 2개 이상의 상이한 디바이스를 포함한다.
출력 디바이스(820)는, 일 실시예에서, 시각적, 청각적, 및/또는 촉각적 신호들을 출력하도록 설계된다. 일부 실시예들에서, 출력 디바이스(820)는 시각적 데이터를 사용자에게 출력할 수 있는 전자적으로 제어가능한 디스플레이 또는 디스플레이 디바이스를 포함한다. 예를 들어, 출력 디바이스(820)는, LCD 디스플레이, LED 디스플레이, OLED 디스플레이, 프로젝터, 또는 이미지들, 텍스트 등을 사용자에게 출력할 수 있는 유사한 디스플레이 디바이스를 포함할 수 있지만, 이것으로 제한되는 것은 아니다. 다른 비제한적인 예로서, 출력 디바이스(820)는, 스마트 시계, 스마트 안경, 헤드-업 디스플레이 등의, 네트워크 장치(800)의 나머지와는 별개이지만 이에 통신가능하게 결합된 웨어러블 디스플레이를 포함할 수 있다. 또한, 출력 디바이스(820)는 스마트폰, 개인 휴대 정보 단말기, 텔레비전, 테이블 컴퓨터, 노트북(랩톱) 컴퓨터, 개인용 컴퓨터, 차량 대시보드 등의 구성요소일 수 있다.
특정 실시예들에서, 출력 디바이스(820)는 사운드를 생성하기 위한 하나 이상의 스피커를 포함한다. 예를 들어, 출력 디바이스(820)는 가청 경보 또는 통지(예컨대, 비프음 또는 차임음)를 생성할 수 있다. 일부 실시예들에서, 출력 디바이스(820)는 진동들, 모션, 또는 다른 촉각적 피드백을 생성하기 위한 하나 이상의 촉각적 디바이스를 포함한다. 일부 실시예들에서, 출력 디바이스(820)의 전부 또는 일부는 입력 디바이스(815)와 통합될 수 있다. 예를 들어, 입력 디바이스(815) 및 출력 디바이스(820)는 터치스크린 또는 유사한 터치 감응 디스플레이를 형성할 수 있다. 다른 실시예들에서, 출력 디바이스(820)는 입력 디바이스(815) 근처에 위치될 수 있다.
트랜시버(825)는 적어도 전송기(830) 및 적어도 하나의 수신기(835)를 포함한다. 본 명세서에 설명된 바와 같이, UE와 통신하는데 하나 이상의 전송기(830)가 이용될 수 있다. 이와 유사하게, 하나 이상의 수신기(835)는, 본 명세서에 설명된 바와 같이, PLMN 및/또는 RAN에서의 네트워크 기능들과 통신하는데 이용될 수 있다. 단 하나의 전송기(830) 및 하나의 수신기(835)가 도시되어 있지만, 네트워크 장치(800)는 임의의 적절한 수의 전송기들(830) 및 수신기들(835)을 가질 수 있다. 또한, 전송기(들)(830) 및 수신기(들)(835)는 임의의 적절한 유형의 전송기들 및 수신기들일 수 있다.
트랜시버(825)는 비허가 스펙트럼 상에서 동작가능하고, 여기서 트랜시버(825)는 복수의 gNB 패널들을 포함한다. 본 명세서에서 이용되는 바와 같이, "gNB 패널"은 물리적 gNB 안테나들에 매핑될 수 있는 논리적 엔티티를 지칭한다. 구현에 따라, "gNB 패널"은 그 Tx 빔을 독립적으로 제어하기 위해 안테나 그룹 단위의 동작 역할을 가질 수 있다.
도 9는 본 개시내용의 실시예들에 따라, 외부 자격증명들을 이용하여 NPN에 액세스하기 위한 방법(900)의 일 실시예를 도시한다. 다양한 실시예들에서, 방법(900)은 전술한 AUSF(148) 및/또는 AUP/AUSF(207) 및/또는 네트워크 장치(800)와 같은 모바일 통신 네트워크에서의 인증 프록시 장치에 의해 수행된다. 일부 실시예들에서, 방법(900)은 마이크로제어기, 마이크로프로세서, CPU, GPU, 보조 처리 유닛, FPGA 등과 같은 프로세서에 의해 수행된다.
방법(900)이 시작되고 UE에 대한 등록 요청을 수신하며(905), 여기서 UE는 모바일 통신 네트워크에 가입하지 않았다. 방법(900)은 원격 유닛의 서비스 제공자를 식별하는 단계(910)를 포함한다. 방법(900)은 식별된 서비스 제공자의 AAA 서버에 인증 메시지를 전송하는 단계(915)를 포함한다. 방법(900)은 UE의 성공적인 인증에 응답하여 AAA 서버로부터 인증 응답을 수신하는 단계(920)를 포함하고, 인증 응답은 마스터 세션 키를 포함한다. 방법(900)은 마스터 세션 키를 이용하여 보안 키들의 세트를 도출하는 단계(925)를 포함한다. 방법(900)은 종료한다.
본 개시내용의 실시예들에 따르면, 외부 자격증명들을 이용하여 NPN에 액세스하기 위한 제1 장치가 본 명세서에 개시된다. 제1 장치는 전술한 AUSF(148) 및/또는 AUP/AUSF(207) 및/또는 네트워크 장치(800)와 같은 모바일 통신 네트워크에서의 인증 프록시 장치에 의해 구현될 수 있다. 제1 장치는 원격 유닛(예를 들어, UE)에 대한 등록 요청을 수신하는 트랜시버(예를 들어, 네트워크 인터페이스를 지원함)를 포함한다. 여기서, 원격 유닛은 제1 모바일 통신 네트워크에 가입하지 않았다.
제1 장치는 원격 유닛의 서비스 제공자를 식별하고 식별된 서비스 제공자의 AAA 서버에 인증 메시지를 전송하도록 트랜시버를 제어하는 프로세서를 포함한다. 프로세서는 원격 유닛의 성공적인 인증에 응답하여 AAA 서버로부터 인증 응답을 수신하고 - 인증 응답은 마스터 세션 키를 포함함 -, 마스터 세션 키를 이용하여 보안 키들의 세트(예를 들어, KAUSF, KSEAF)를 도출한다.
일부 실시예들에서, 등록 요청은 NAI를 포함한다. 여기서, 제1 방법은 NAI의 영역을 식별하고 제1 모바일 통신 네트워크와 서비스 제공자 사이에 서비스 합의가 존재함을 검증함으로써 등록 요청을 허가하는 단계를 포함한다. 특정 실시예들에서, 원격 유닛을 서빙하는 액세스 관리 기능(즉, AMF)은 인증 프록시 기능에 전송하기 전에 등록 요청을 허가할 수 있다.
일부 실시예들에서, 인증 응답은 제1 모바일 통신 네트워크의 라우팅 식별자 및 마스터 세션 키에 대한 유효 시간을 포함하고, 여기서, 유효 시간의 만료 후에 원격 유닛의 재인증이 요구된다. 일부 실시예들에서, 도출된 보안 키들의 세트는 인증 서버 기능 키(즉, KAUSF) 및 보안 앵커 기능 키(즉, KSEAF)를 포함하고, 여기서 KAUSF는 (확장된 마스터 세션 키로부터가 아니라) 마스터 세션 키로부터 도출되고, KSEAF는 KAUSF로부터 도출된다. 일 실시예에서, KAUSF는 제1 모바일 통신 네트워크에 특정적이다. 다른 실시예에서, KAUSF는 서비스 제공자에 특정적이다. 다른 실시예들에서, KAUSF는 제1 모바일 통신 네트워크 및 서비스 제공자에 특정적이지 않다.
특정 실시예들에서, 등록 요청은 원격 유닛을 서빙하는 액세스 관리 기능(즉, AMF)으로부터 수신된다. 여기서, 제1 방법은 서빙 액세스 관리 기능에 제2 인증 응답을 전송하는 단계를 포함하고, 제2 인증 응답은 원격 유닛의 UE 식별자, 유효 시간 및 KSEAF를 포함한다. 추가 실시예들에서, 제1 모바일 통신 네트워크는 독립형 비공용 네트워크("SNPN")와 같은 비공용 네트워크("NPN")일 수 있고, 서비스 제공자는 공용 육상 모바일 네트워크("PLMN")와 같은 제2 모바일 통신 네트워크일 수 있다.
일부 실시예들에서, 프로세서는 또한, 서비스 제공자에 특정적인 원격 유닛의 제1 식별자(예를 들어, NAI)를 제1 모바일 통신 네트워크에 특정적인 제2 식별자(예를 들어, UE ID 또는 SUPI)에 바인딩한다. 특정 실시예들에서, 프로세서는 또한, 원격 유닛을 등록해제하라는 등록해제 요청을 AAA 서버로부터 수신하고 등록해제 요청을 검증한다. 이러한 실시예들에서, 프로세서는 또한, (예를 들어, UDM에 등록해제 요청을 전송함으로써) 제1 식별자와 제2 식별자의 바인딩의 제거를 트리거링한다.
일부 실시예들에서, 프로세서는 또한, AAA 서버로부터 재인증 요청을 수신하고 라우팅 요청을 사용자 데이터 관리 기능에 전송한다. 이러한 실시예들에서, 프로세서는 또한, 서빙 액세스 관리 기능의 식별자를 포함하는 라우팅 응답을 수신하고 재인증 요청을 서빙 액세스 관리 기능에 전달한다.
특정 실시예들에서, 재인증 요청은 라우팅 식별자를 포함한다. 이러한 실시예들에서, 라우팅 요청을 전송하는 것은 라우팅 식별자로부터 사용자 데이터 관리 기능을 식별하는 것과 라우팅 요청을 식별된 사용자 데이터 관리 기능에 전송하는 것 둘 다를 포함한다.
본 개시내용의 실시예들에 따르면, 외부 자격증명들을 이용하여 NPN에 액세스하기 위한 제1 방법이 본 명세서에 개시된다. 제1 방법은 전술한 AUSF(148) 및/또는 AUP/AUSF(207) 및/또는 네트워크 장치(800)와 같은 모바일 통신 네트워크에서의 인증 프록시 기능에 의해 수행될 수 있다. 제1 방법은 원격 유닛(즉, UE)에 대한 등록 요청을 수신하는 단계를 포함하고, 여기서 원격 유닛은 제1 모바일 통신 네트워크에 가입하지 않았다.
제1 방법은 원격 유닛의 서비스 제공자를 식별하는 단계, 및 식별된 서비스 제공자의 AAA 서버에 인증 메시지를 전송하는 단계를 포함한다. 제1 방법은 원격 유닛의 성공적인 인증에 응답하여 AAA 서버로부터 인증 응답을 수신하는 단계 - 인증 응답은 마스터 세션 키를 포함함 -, 및 마스터 세션 키를 이용하여 보안 키들의 세트(예를 들어, KAUSF, KSEAF)를 도출하는 단계를 포함한다.
일부 실시예들에서, 등록 요청은 NAI를 포함한다. 이러한 실시예들에서, 제1 방법은 NAI의 영역을 식별하고 제1 모바일 통신 네트워크와 서비스 제공자 사이에 서비스 합의가 존재함을 검증함으로써 등록 요청을 허가하는 단계를 포함할 수 있다. 특정 실시예들에서, 원격 유닛을 서빙하는 액세스 관리 기능(즉, AMF)은 인증 프록시 기능에 전송하기 전에 등록 요청을 허가할 수 있다.
일부 실시예들에서, 인증 응답은 제1 모바일 통신 네트워크의 라우팅 식별자 및 마스터 세션 키에 대한 유효 시간을 포함하고, 여기서, 유효 시간의 만료 후에 원격 유닛의 재인증이 요구된다. 일부 실시예들에서, 도출된 보안 키들의 세트는 인증 서버 기능 키("KAUSF") 및 보안 앵커 기능 키("KSEAF")를 포함하고, 여기서 KAUSF는 (확장된 마스터 세션 키로부터가 아니라) 마스터 세션 키로부터 도출되고, KSEAF는 KAUSF로부터 도출된다. 일 실시예에서, KAUSF는 제1 모바일 통신 네트워크에 특정적이다. 다른 실시예에서, KAUSF는 서비스 제공자에 특정적이다. 다른 실시예들에서, KAUSF는 제1 모바일 통신 네트워크 및 서비스 제공자에 특정적이지 않다.
특정 실시예들에서, 등록 요청은 원격 유닛을 서빙하는 액세스 관리 기능(즉, AMF)으로부터 수신된다. 이러한 실시예들에서, 제1 방법은 서빙 액세스 관리 기능에 제2 인증 응답을 전송하는 단계를 포함하고, 제2 인증 응답은 원격 유닛의 UE 식별자, 유효 시간 및 KSEAF를 포함한다. 추가 실시예들에서, 제1 모바일 통신 네트워크는 독립형 비공용 네트워크("SNPN")와 같은 비공용 네트워크("NPN")일 수 있고, 서비스 제공자는 공용 육상 모바일 네트워크("PLMN")와 같은 제2 모바일 통신 네트워크일 수 있다.
일부 실시예들에서, 제1 방법은 서비스 제공자에 특정적인 원격 유닛의 제1 식별자(예를 들어, NAI)를 제1 모바일 통신 네트워크에서 이용되는 제2 식별자(예를 들어, UE ID 또는 SUPI)에 바인딩하는 단계를 포함한다. 특정 실시예들에서, 제1 방법은 원격 유닛을 등록해제하라는 등록해제 요청을 AAA 서버로부터 수신하는 단계, 등록해제 요청을 검증하는 단계, 및 (예를 들어, UDM에 등록해제 요청을 전송함으로써) 제1 식별자와 제2 식별자의 바인딩의 제거를 트리거링하는 단계를 더 포함한다.
일부 실시예들에서, 제1 방법은 AAA 서버로부터 재인증 요청을 수신하는 단계 및 라우팅 요청을 사용자 데이터 관리 기능에 전송하는 단계를 포함한다. 여기서, 제1 방법은 서빙 액세스 관리 기능의 식별자를 포함하는 라우팅 응답을 수신하는 단계 및 재인증 요청을 서빙 액세스 관리 기능에 전달하는 단계를 더 포함한다.
특정 실시예들에서, 재인증 요청은 라우팅 식별자를 포함한다. 이러한 실시예들에서, 라우팅 요청을 전송하는 것은 라우팅 식별자로부터 사용자 데이터 관리 기능을 식별하는 것과 라우팅 요청을 식별된 사용자 데이터 관리 기능에 전송하는 것 둘 다를 포함할 수 있다.
실시예들은 다른 특정 형태들로 실시될 수 있다. 설명되는 실시예들은 모든 면들에서 제한적인 것이 아니라 단지 예시적인 것으로만 고려되어야 한다. 따라서, 본 발명의 범위는 전술한 설명에 의해 표시되는 것이 아니라 첨부된 청구항들에 의해 표시된다. 청구항들의 등가의 의미 및 범위 내에 속하는 모든 변경들은 그 범위 내에 포함되어야 한다.

Claims (18)

  1. 모바일 통신 네트워크에서의 인증 프록시의 방법으로서,
    원격 유닛에 대한 등록 요청을 수신하는 단계 - 상기 원격 유닛은 상기 모바일 통신 네트워크에 가입하지 않음 -;
    상기 원격 유닛의 서비스 제공자를 식별하는 단계;
    식별된 서비스 제공자의 인증, 허가 및 과금("AAA") 서버에 인증 메시지를 전송하는 단계;
    상기 원격 유닛의 성공적인 인증에 응답하여 상기 AAA 서버로부터 인증 응답을 수신하는 단계 - 상기 인증 응답은 마스터 세션 키를 포함함 -; 및
    상기 마스터 세션 키를 이용하여 보안 키들의 세트를 도출하는 단계
    를 포함하는, 방법.
  2. 제1항에 있어서,
    상기 등록 요청은 네트워크 액세스 식별자("NAI")를 포함하고, 상기 방법은 상기 NAI의 영역을 식별하고 상기 모바일 통신 네트워크와 상기 서비스 제공자 사이에 서비스 합의가 존재함을 검증함으로써 상기 등록 요청을 허가하는 단계를 더 포함하는, 방법.
  3. 제1항에 있어서,
    상기 인증 응답은 상기 모바일 통신 네트워크의 라우팅 식별자 및 상기 마스터 세션 키에 대한 유효 시간을 포함하고, 상기 유효 시간의 만료 후에 상기 원격 유닛의 재인증이 요구되는, 방법.
  4. 제1항에 있어서,
    도출된 상기 보안 키들의 세트는 인증 서버 기능 키("KAUSF") 및 보안 앵커 기능 키("KSEAF")를 포함하고, 상기 KAUSF는 상기 마스터 세션 키로부터 도출되고, 상기 KSEAF는 상기 KAUSF로부터 도출되는, 방법.
  5. 제4항에 있어서,
    상기 등록 요청은 상기 원격 유닛을 서빙하는 액세스 관리 기능으로부터 수신되고, 상기 방법은 서빙 액세스 관리 기능에 제2 인증 응답을 전송하는 단계를 더 포함하고, 상기 제2 인증 응답은 상기 원격 유닛의 사용자 장비("UE") 식별자, 유효 시간 및 상기 KSEAF를 포함하는, 방법.
  6. 제1항에 있어서,
    상기 서비스 제공자에 특정적인 상기 원격 유닛의 제1 식별자를 상기 모바일 통신 네트워크에 특정적인 제2 식별자에 바인딩(bind)하는 단계를 더 포함하는, 방법.
  7. 제6항에 있어서,
    상기 원격 유닛을 등록해제하라는 등록해제 요청을 상기 AAA 서버로부터 수신하는 단계;
    상기 등록해제 요청을 검증하는 단계; 및
    상기 제1 식별자와 상기 제2 식별자의 바인딩의 제거를 트리거링하는 단계
    를 더 포함하는, 방법.
  8. 제1항에 있어서,
    상기 AAA 서버로부터 재인증 요청을 수신하는 단계;
    라우팅 요청을 사용자 데이터 관리 기능에 전송하는 단계;
    서빙 액세스 관리 기능의 식별자를 포함하는 라우팅 응답을 수신하는 단계; 및
    상기 재인증 요청을 상기 서빙 액세스 관리 기능에 전달하는 단계
    를 더 포함하는, 방법.
  9. 제8항에 있어서,
    상기 재인증 요청은 라우팅 식별자를 포함하고, 상기 라우팅 요청을 전송하는 단계는 상기 라우팅 식별자로부터 상기 사용자 데이터 관리 기능을 식별하는 단계 및 상기 라우팅 요청을 식별된 사용자 데이터 관리 기능에 전송하는 단계를 포함하는, 방법.
  10. 모바일 통신 네트워크에서의 인증 프록시 장치로서,
    원격 유닛에 대한 등록 요청을 수신하는 트랜시버 - 상기 원격 유닛은 상기 모바일 통신 네트워크에 가입하지 않음 -; 및
    상기 원격 유닛의 서비스 제공자를 식별하는 프로세서
    를 포함하며, 상기 트랜시버는 추가로,
    식별된 서비스 제공자의 인증, 허가 및 과금("AAA") 서버에 인증 메시지를 전송하고,
    상기 원격 유닛의 성공적인 인증에 응답하여 상기 AAA 서버로부터 인증 응답을 수신하며 - 상기 인증 응답은 마스터 세션 키를 포함함 -;
    상기 프로세서는 추가로 상기 마스터 세션 키를 이용하여 보안 키들의 세트를 도출하는, 인증 프록시 장치.
  11. 제10항에 있어서,
    상기 등록 요청은 네트워크 액세스 식별자("NAI")를 포함하고, 상기 프로세서는 상기 NAI의 영역을 식별하고 상기 모바일 통신 네트워크와 상기 서비스 제공자 사이에 서비스 합의가 존재함을 검증함으로써 상기 등록 요청을 허가하는, 인증 프록시 장치.
  12. 제10항에 있어서,
    상기 인증 응답은 상기 모바일 통신 네트워크의 라우팅 식별자 및 상기 마스터 세션 키에 대한 유효 시간을 포함하고, 상기 유효 시간의 만료 후에 상기 원격 유닛의 재인증이 요구되는, 인증 프록시 장치.
  13. 제10항에 있어서,
    도출된 상기 보안 키들의 세트는 인증 서버 기능 키("KAUSF") 및 보안 앵커 기능 키("KSEAF")를 포함하고, 상기 KAUSF는 상기 마스터 세션 키로부터 도출되고, 상기 KSEAF는 상기 KAUSF로부터 도출되는, 인증 프록시 장치.
  14. 제13항에 있어서,
    상기 등록 요청은 상기 원격 유닛을 서빙하는 액세스 관리 기능으로부터 수신되고, 상기 트랜시버는 서빙 액세스 관리 기능에 제2 인증 응답을 전송하고, 상기 제2 인증 응답은 상기 원격 유닛의 사용자 장비("UE") 식별자, 유효 시간 및 상기 KSEAF를 포함하는, 인증 프록시 장치.
  15. 제10항에 있어서,
    상기 프로세서는 상기 서비스 제공자에 특정적인 상기 원격 유닛의 제1 식별자를 상기 모바일 통신 네트워크에 특정적인 제2 식별자에 바인딩하는, 인증 프록시 장치.
  16. 제15항에 있어서,
    상기 프로세서는 추가로,
    상기 원격 유닛을 등록해제하라는 등록해제 요청을 상기 AAA 서버로부터 수신하고;
    상기 등록해제 요청을 검증하며;
    상기 제1 식별자와 상기 제2 식별자의 바인딩의 제거를 트리거링하는, 인증 프록시 장치.
  17. 제10항에 있어서,
    상기 프로세서는 추가로,
    상기 AAA 서버로부터 재인증 요청을 수신하고;
    라우팅 요청을 사용자 데이터 관리 기능에 전송하고;
    서빙 액세스 관리 기능의 식별자를 포함하는 라우팅 응답을 수신하며;
    상기 재인증 요청을 상기 서빙 액세스 관리 기능에 전달하는, 인증 프록시 장치.
  18. 제17항에 있어서,
    상기 재인증 요청은 라우팅 식별자를 포함하고, 상기 라우팅 요청을 전송하는 것은 상기 라우팅 식별자로부터 상기 사용자 데이터 관리 기능을 식별하는 것 및 상기 라우팅 요청을 식별된 사용자 데이터 관리 기능에 전송하는 것을 포함하는, 인증 프록시 장치.
KR1020237000069A 2020-06-05 2021-06-04 네트워크에 가입하지 않은 디바이스의 인증 KR20230019930A (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US202063035654P 2020-06-05 2020-06-05
US63/035,654 2020-06-05
PCT/IB2021/054936 WO2021245629A1 (en) 2020-06-05 2021-06-04 Authenticating a device not having a subscription in a network

Publications (1)

Publication Number Publication Date
KR20230019930A true KR20230019930A (ko) 2023-02-09

Family

ID=76444475

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020237000069A KR20230019930A (ko) 2020-06-05 2021-06-04 네트워크에 가입하지 않은 디바이스의 인증

Country Status (7)

Country Link
US (1) US20230231851A1 (ko)
EP (1) EP4162714A1 (ko)
KR (1) KR20230019930A (ko)
CN (1) CN115699838A (ko)
BR (1) BR112022024850A2 (ko)
MX (1) MX2022015402A (ko)
WO (1) WO2021245629A1 (ko)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020183236A1 (en) * 2019-03-08 2020-09-17 Lenovo (Singapore) Pte. Ltd. Security mode integrity verification
WO2023126296A1 (en) * 2021-12-27 2023-07-06 Koninklijke Kpn N.V. Authentication support for an electronic device to connect to a telecommunications network
EP4203392A1 (en) * 2021-12-27 2023-06-28 Koninklijke KPN N.V. Authentication support for an electronic device to connect to a telecommunications network
EP4300883A1 (de) * 2022-06-30 2024-01-03 Siemens Mobility GmbH Netzwerkadapter geeignet zum unterstützen eines berechtigten sendens und/oder empfangens von daten
WO2024092826A1 (zh) * 2022-11-04 2024-05-10 北京小米移动软件有限公司 身份验证方法及装置

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9167427B2 (en) * 2013-03-15 2015-10-20 Alcatel Lucent Method of providing user equipment with access to a network and a network configured to provide access to the user equipment
US11849322B2 (en) * 2018-08-07 2023-12-19 Lenovo (Singapore) Pte. Ltd. Delegated data connection

Also Published As

Publication number Publication date
CN115699838A (zh) 2023-02-03
US20230231851A1 (en) 2023-07-20
BR112022024850A2 (pt) 2022-12-27
MX2022015402A (es) 2023-01-16
EP4162714A1 (en) 2023-04-12
WO2021245629A1 (en) 2021-12-09

Similar Documents

Publication Publication Date Title
US20230231851A1 (en) Authenticating a device not having a subscription in a network
US20240064514A1 (en) Delegated data connection
US20230269589A1 (en) Slice-specific security requirement information
US20230247423A1 (en) Supporting remote unit reauthentication
WO2021214732A1 (en) Distinct user plane security
CN118020330A (zh) 使用应用的认证及密钥管理实现漫游
WO2023198297A1 (en) Registering with a mobile network after a first authentication with a wlan access network
US20240098494A1 (en) Revocation of uas-related authorization and security information
US20230224704A1 (en) Using a pseudonym for access authentication over non-3gpp access
US20230188988A1 (en) Gateway function reauthentication
EP4331290A1 (en) Establishing an additional registration with a mobile network
CN115943652A (zh) 使用隐藏标识的移动网络认证
US20230292114A1 (en) Securing communications between user equipment devices
US20230231720A1 (en) Supporting remote unit reauthentication
WO2023041188A1 (en) Method to connect to an access network
WO2024017486A1 (en) Tunnel establishment for non-seamless wlan offloading
KR20230048322A (ko) Uas 인증 및 보안 확립
WO2023274567A1 (en) Establishing a trust relationship between an application entity and a wireless communication network
WO2021260661A1 (en) Security context for target amf