KR20230024779A

KR20230024779A - 무선 통신 시스템에서 사용자 평면에서 송수신되는 정보를 보호하는 방법 및 장치

Info

Publication number: KR20230024779A
Application number: KR1020210106944A
Authority: KR
Inventors: 임태형; 이덕기; 손중제; 최홍진
Original assignee: 삼성전자주식회사
Priority date: 2021-08-12
Filing date: 2021-08-12
Publication date: 2023-02-21
Also published as: WO2023018250A1

Abstract

본 개시는 사용자 평면에서 사용될 보호 키의 보안성을 향상함으로써 통신 시스템에서 사용자 평면의 보안을 개선하는 방법과 장치에 대한 것이다. 본 개시의 일 실시예에 따른 무선 네트워크 시스템에서 기지국이 동작하는 방법은, 기지국의 보호 키 생성 정보를 식별하는 단계, 기지국에 포함된 CU-CP 또는 CU-UP에 의해, 기지국의 보호 키 생성 정보에 기초하여, 사용자 평면에서 송수신되는 적어도 하나의 데이터 또는 시그널링의 무결성 보호를 위한 제1 보호 키, 또는 암호화 및 복호화를 위한 제2 보호 키 중 적어도 하나를 포함하는 사용자 평면 보호 키를 생성하는 단계, 사용자 평면 보호 키를 생성하기 위한 단말의 보호 키 생성 정보를 상기 단말로 전송하는 단계, 및 단말과 상기 사용자 평면에서 송수신되는 적어도 하나의 데이터 또는 시그널링에 대해 상기 사용자 평면 보호 키를 적용하는 단계를 포함할 수 있다.

Description

무선 통신 시스템에서 사용자 평면에서 송수신되는 정보를 보호하는 방법 및 장치 {METHOD AND APPARATUS FOR PROTECTING INFORMATION TRANSMITTED AND RECEIVED IN A USER PLANE IN A WIRELESS COMMUNICATION SYSTEM}

본 개시는 무선 통신 시스템에 관련된 것으로, 보다 구체적으로 본 개시는 통신 시스템에서 사용자 평면의 보안을 개선하는 방법 및 장치에 관한 것이다.

4G(4th generation) 통신 시스템 상용화 이후 증가 추세에 있는 무선 데이터 트래픽 수요를 충족시키기 위해, 개선된 5G(5th generation) 통신 시스템 또는 pre-5G 통신 시스템을 개발하기 위한 노력이 이루어지고 있다. 이러한 이유로, 5G 통신 시스템 또는 pre-5G 통신 시스템은 4G 네트워크 이후 (Beyond 4G Network) 통신 시스템 또는 LTE(long term evolution) 시스템 이후 (Post LTE) 이후의 시스템이라 불리어지고 있다.

높은 데이터 전송률을 달성하기 위해, 5G 통신 시스템은 초고주파(mmWave) 대역(예를 들어, 60기가(60GHz) 대역과 같은)에서의 구현이 고려되고 있다. 초고주파 대역에서의 전파의 경로손실 완화 및 전파의 전달 거리를 증가시키기 위해, 5G 통신 시스템에서는 빔포밍(beamforming), 거대 배열 다중 입출력(massive MIMO), 전차원 다중입출력(Full Dimensional MIMO: FD-MIMO), 어레이 안테나(array antenna), 아날로그 빔형성(analog beam-forming), 및 대규모 안테나 (large scale antenna) 기술들이 논의되고 있다.

또한 시스템의 네트워크 개선을 위해, 5G 통신 시스템에서는 진화된 소형 셀, 개선된 소형 셀 (advanced small cell), 클라우드 무선 액세스 네트워크 (cloud radio access network: cloud RAN), 초고밀도 네트워크 (ultra-dense network), 기기 간 통신 (Device to Device communication: D2D), 무선 백홀 (wireless backhaul), 이동 네트워크 (moving network), 협력 통신 (cooperative communication), CoMP (Coordinated Multi-Points), 및 수신 간섭제거 (interference cancellation) 등의 기술 개발이 이루어지고 있다.

이 밖에도, 5G 시스템에서는 진보된 코딩 변조(Advanced Coding Modulation: ACM) 방식인 FQAM (Hybrid FSK and QAM Modulation) 및 SWSC (Sliding Window Superposition Coding)과, 진보된 접속 기술인 FBMC(Filter Bank Multi Carrier), NOMA(non orthogonal multiple access), 및 SCMA(sparse code multiple access) 등이 개발되고 있다.

5G 시스템에서는 기존 4G 시스템 대비 다양한 서비스에 대한 지원을 고려하고 있다. 예를 들어, 가장 대표적인 서비스들은 모바일 초광대역 통신 서비스(eMBB: enhanced mobile broad band), 초 고신뢰성/저지연 통신 서비스(URLLC: ultra-reliable and low latency communication), 대규모 기기간 통신 서비스(mMTC: massive machine type communication), 차세대 방송 서비스(eMBMS: evolved multimedia broadcast/multicast Service) 등이 있을 수 있다. 그리고, 상기 URLLC 서비스를 제공하는 시스템을 URLLC 시스템, eMBB 서비스를 제공하는 시스템을 eMBB 시스템 등이라 칭할 수 있다. 또한, 서비스와 시스템이라는 용어는 혼용되어 사용될 수 있다.

이 중 URLLC 서비스는 기존 4G 시스템과 달리 5G 시스템에서 새롭게 고려하고 있는 서비스이며, 다른 서비스들 대비 초 고 신뢰성(예를 들면, 패킷 에러율 약 10^-5)과 저 지연(latency)(예를 들면, 약 0.5msec) 조건 만족을 요구한다. 이러한 엄격한 요구 조건을 만족시키기 위하여 URLLC 서비스는 eMBB 서비스보다 짧은 전송 시간 간격(TTI: transmission time interval)의 적용이 필요할 수 있고 이를 활용한 다양한 운용 방식들이 고려되고 있다.

한편, 인터넷은 인간이 정보를 생성하고 소비하는 인간 중심의 연결 망에서, 사물 등 분산된 구성 요소들 간에 정보를 주고 받아 처리하는 IoT(Internet of Things, 사물인터넷) 망으로 진화하고 있다. 클라우드 서버 등과의 연결을 통한 빅데이터(Big data) 처리 기술 등이 IoT 기술에 결합된 IoE(Internet of Everything) 기술도 대두되고 있다. IoT를 구현하기 위해서, 센싱 기술, 유무선 통신 및 네트워크 인프라, 서비스 인터페이스 기술, 및 보안 기술과 같은 기술 요소 들이 요구되어, 최근에는 사물간의 연결을 위한 센서 네트워크(sensor network), 사물 통신(Machine to Machine, M2M), MTC(Machine Type Communication)등의 기술이 연구되고 있다.

IoT 환경에서는 연결된 사물들에서 생성된 데이터를 수집, 분석하여 인간의 삶에 새로운 가치를 창출하는 지능형 IT(Internet Technology) 서비스가 제공될 수 있다. IoT는 기존의 IT(information technology)기술과 다양한 산업 간의 융합 및 복합을 통하여 스마트홈, 스마트 빌딩, 스마트 시티, 스마트 카 혹은 커넥티드 카, 스마트 그리드, 헬스 케어, 스마트 가전, 첨단의료서비스 등의 분야에 응용될 수 있다.

이에, 5G 통신 시스템을 IoT 망에 적용하기 위한 다양한 시도들이 이루어지고 있다. 예를 들어, 센서 네트워크(sensor network), 사물 통신(Machine to Machine, M2M), MTC(Machine Type Communication)등의 기술이 5G 통신 기술인 빔 포밍, MIMO, 및 어레이 안테나 등의 기법에 의해 구현되고 있는 것이다. 앞서 설명한 빅데이터 처리 기술로써 클라우드 무선 액세스 네트워크(cloud RAN)가 적용되는 것도 5G 기술과 IoT 기술 융합의 일 예라고 할 수 있을 것이다.

한편, 셀룰러 이동통신 표준을 담당하는 3GPP는 기존 4G LTE 시스템에서 5G 시스템으로의 진화를 꾀하기 위해 새로운 코어 네트워크(core network) 구조를 5G core(5GC)라는 이름으로 명명하고 표준화를 진행하고 있다.

5GC는 기존 4G를 위한 네트워크 코어인 진화된 패킷 코어(EPC: evolved packet core) 대비 다음과 같은 차별화된 기능을 지원한다.

첫째, 5GC에서는 네트워크 슬라이스(network slice) 기능이 도입된다. 5G의 요구 조건으로, 5GC는 다양한 종류의 단말 타입 및 서비스를 지원해야 한다. 예를 들면, 초광대역 이동 통신(eMBB: enhanced mobile broadband:), 초고신뢰 저지연 통신(URLLC: ultra reliable low latency communications), 대규모 사물 통신(mMTC: massive machine type communications). 이러한 단말/서비스는 각각 코어 네트워크에 요구하는 요구조건이 다르다. 예를 들면, eMBB 서비스인 경우에는 높은 데이터 전송 속도(data rate)를 요구하고 URLLC 서비스인 경우에는 높은 안정성과 낮은 지연을 요구한다. 이러한 다양한 서비스 요구조건을 만족하기 위해 제안된 기술이 네트워크 슬라이스(network slice) 방안이다.

Network slice는 하나의 물리적인 네트워크를 가상화(virtualization) 하여 여러 개의 논리적인 네트워크를 만드는 방법으로, 각 network slice instance(NSI) 는 서로 다른 특성을 가질 수 있다. 따라서, 각 NSI 마다 그 특성에 맞는 네트워크 기능(network function(NF))을 가짐으로써 다양한 서비스 요구조건을 만족시킬 수 있다. 각 단말마다 요구하는 서비스의 특성에 맞는 NSI를 할당하여 여러 5G 서비스를 효율적으로 지원 할 수 있다.

둘째, 5GC는 이동성 관리 기능과 세션 관리 기능의 분리를 통해 네트워크 가상화 패러다임 지원을 수월하게 할 수 있다. 기존 4G LTE에서는 모든 단말이 등록, 인증, 이동성 관리 및 세션 관리 기능을 담당하는 이동성 관리 엔티티(mobility management entity(MME)) 라는 단일 코어 장비와의 시그널링 교환을 통해서 망에서 서비스를 제공받을 수 있었다. 하지만, 5G에서는 단말의 수가 폭발적으로 늘어나고 단말의 타입에 따라 지원해야 하는 이동성 및 트래픽/세션 특성이 세분화됨에 따라 MME와 같은 단일 장비에서 모든 기능을 지원하게 되면 필요한 기능별로 엔티티를 추가하는 확장성(scalability)이 떨어질 수 밖에 없다. 따라서, 제어 평면을 담당하는 코어 장비의 기능/구현 복잡도와 시그널링 부하 측면에서 확장성 개선을 위해 이동성 관리 기능과 세션 관리 기능을 분리하는 구조를 기반으로 다양한 기능들이 개발되고 있다.

본 개시는 통신 시스템에서 발생할 수 있는 보안적 위협을 해결하기 위해 사용자 평면의 보안을 개선하는 방법 및 장치를 제공하고자 하는 목적이 있다.

본 개시에서 이루고자 하는 기술적 과제들은 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급하지 않은 또 다른 기술적 과제들은 아래의 기재로부터 본 개시가 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.

본 개시의 일 실시예에 따를 때, 무선 네트워크 시스템에서 기지국이 동작하는 방법이 개시될 수 있다. 기지국이 동작하는 방법은, 상기 기지국의 보호 키 생성 정보를 식별하는 단계, 기지국에 포함된 CU (Central Unit)-CP (Control Plane) 또는 CU-UP (User Plane) 에 의해, 상기 기지국의 보호 키 생성 정보에 기초하여, 사용자 평면에서 송수신되는 적어도 하나의 데이터 또는 시그널링의 무결성 보호를 위한 제1 보호 키, 또는 암호화 및 복호화를 위한 제2 보호 키 중 적어도 하나를 포함하는 사용자 평면 보호 키를 생성하는 단계, 상기 기지국의 보호 키 생성 정보에 기초하여, 상기 사용자 평면 보호 키를 생성하기 위한 단말의 보호 키 생성 정보를 상기 단말로 전송하는 단계, 및 상기 단말과 상기 사용자 평면에서 송수신되는 적어도 하나의 데이터 또는 시그널링에 대해 상기 사용자 평면 보호 키를 적용하는 단계;를 포함할 수 있다.

본 개시의 일 실시예에 따를 때, 무선 네트워크 시스템에서 단말이 동작하는 방법이 개시될 수 있다. 단말이 동작하는 방법은, 기지국의 보호 키 생성 정보에 기초하여, 상기 기지국에 의해 생성된 사용자 평면 보호 키를 생성하기 위한 상기 단말의 보호 키 생성 정보를 수신하는 단계; 상기 단말의 보호 키 생성 정보에 기초하여, 사용자 평면에서 송수신되는 적어도 하나의 데이터 또는 시그널링의 무결성 보호를 위한 제1 보호 키, 또는 암호화 및 복호화를 위한 제2 보호 키 중 적어도 하나를 포함하는 상기 사용자 평면 보호 키를 생성하는 단계; 및 상기 기지국과 상기 사용자 평면에서 송수신되는 적어도 하나의 데이터 또는 시그널링에 대해 상기 사용자 평면 보호 키를 적용하는 단계;를 포함할 수 있다.

본 개시의 일 실시예에 따를 때, 무선 네트워크 시스템에서 동작하는 기지국이 개시될 수 있다. 기지국은, 송수신부; 및 적어도 하나의 프로세서;를 포함하고, 상기 적어도 하나의 프로세서는, 상기 기지국의 보호 키 생성 정보를 식별하고, 상기 기지국에 포함된 CU (Central Unit)-CP (Control Plane) 또는 CU-UP (User Plane) 에 의해, 상기 기지국의 보호 키 생성 정보에 기초하여, 사용자 평면에서 송수신되는 적어도 하나의 데이터 또는 시그널링의 무결성 보호를 위한 제1 보호 키, 또는 암호화 및 복호화를 위한 제2 보호 키 중 적어도 하나를 포함하는 사용자 평면 보호 키를 생성하고, 상기 기지국의 보호 키 생성 정보에 기초하여, 상기 사용자 평면 보호 키를 생성하기 위한 단말의 보호 키 생성 정보를 상기 단말로 전송하고, 상기 단말과 상기 사용자 평면에서 송수신되는 적어도 하나의 데이터 또는 시그널링에 대해 상기 사용자 평면 보호 키를 적용할 수 있다.

상기 사용자 평면 보호 키를 적용하는 단계;를 포함할 수 있다.

본 개시의 일 실시예에 따를 때, 무선 네트워크 시스템에서 동작하는 단말이 개시될 수 있다. 단말은, 송수신부; 및 적어도 하나의 프로세서;를 포함하고, 상기 적어도 하나의 프로세서는, 기지국으로부터, 기지국의 보호 키 생성 정보에 기초하여, 상기 기지국에 의해 생성된 사용자 평면 보호 키를 생성하기 위한 상기 단말의 보호 키 생성 정보를 수신하고, 상기 단말의 보호 키 생성 정보에 기초하여, 사용자 평면에서 송수신되는 적어도 하나의 데이터 또는 시그널링의 무결성 보호를 위한 제1 보호 키, 또는 암호화 및 복호화를 위한 제2 보호 키 중 적어도 하나를 포함하는 상기 사용자 평면 보호 키를 생성하고, 상기 기지국과 상기 사용자 평면에서 송수신되는 적어도 하나의 데이터 또는 시그널링에 대해 상기 사용자 평면 보호 키를 적용할 수 있다.

본 개시의 일 실시 예에 따르면, UE와 gNB(특히, gNB-CU-UP)는 보안성이 향상된 사용자 평면을 위한 보호 키를 생성할 수 있다.

본 개시에서 얻을 수 있는 효과는 이상에서 언급한 효과들로 제한되지 않으며, 언급하지 않은 또 다른 효과들은 아래의 기재로부터 본 개시가 속하는 기술 분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.

도 1은 본 개시의 일 실시 예에 따른 5G 시스템의 네트워크 아키텍처를 도시한 도면이다.
도 2는 본 개시의 일 실시예에 따른 사용자 평면에서 통신을 수행하는 네트워크 아키텍처를 도시한 도면이다.
도 3a, 도 3b 및 도 3c는 본 개시의 일 실시예에 따른 사용자 평면에서 사용될 보호 키를 생성하는 방법을 설명하기 위한 도면이다.
도 4는 본 개시의 일 실시예에 따른 단말 및 기지국이 사용자 평면에서 사용될 보호 키를 생성하기 위한 데이터 송수신 흐름도를 도시하는 도면이다.
도 5는 본 개시의 일 실시예에 따른 무선 네트워크 시스템에서 기지국이 동작하는 방법을 설명하기 위한 흐름도이다.
도 6는 본 개시의 일 실시예에 따른 무선 네트워크 시스템에서 단말이 동작하는 방법을 설명하기 위한 흐름도이다.
도 7는 본 개시의 일 실시예에 따른 단말의 구성을 나타낸 도면이다.
도 8은 본 개시의 일 실시예에 따른 네트워크 엔티티(network entity)의 구성을 나타낸 도면이다.
도 9는 본 개시의 일 실시예에 따른 기지국의 구성을 나타낸 도면이다.

본 개시의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시 예들을 참조하면 명확해질 것이다. 그러나 본 개시는 이하에서 개시되는 실시 예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시 예들은 본 개시의 개시가 완전하도록 하고, 본 개시가 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 개시는 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.

이때, 처리 흐름도 도면들의 각 블록과 흐름도 도면들의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수 있음을 이해할 수 있을 것이다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 흐름도 블록(들)에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 흐름도 블록(들)에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 흐름도 블록(들)에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.

또한, 각 블록은 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실행 예들에서는 블록들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예를 들면, 잇달아 도시되어 있는 두 개의 블록들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.

이때, 본 실시예에서 사용되는 '~부'라는 용어는 소프트웨어 또는 FPGA(Field Programmable Gate Array) 또는 ASIC(Application Specific Integrated Circuit)과 같은 하드웨어 구성요소를 의미하며, '~부'는 어떤 역할들을 수행한다. 그렇지만 '~부'는 소프트웨어 또는 하드웨어에 한정되는 의미는 아니다. '~부'는 어드레싱할 수 있는 저장 매체에 있도록 구성될 수도 있고 하나 또는 그 이상의 프로세서들을 재생시키도록 구성될 수도 있다. 따라서, 일 예로서 '~부'는 소프트웨어 구성요소들, 객체지향 소프트웨어 구성요소들, 클래스 구성요소들 및 태스크 구성요소들과 같은 구성요소들과, 프로세스들, 함수들, 속성들, 프로시저들, 서브루틴들, 프로그램 코드의 세그먼트들, 드라이버들, 펌웨어, 마이크로코드, 회로, 데이터, 데이터베이스, 데이터 구조들, 테이블들, 어레이들, 및 변수들을 포함한다. 구성요소들과 '~부'들 안에서 제공되는 기능은 더 작은 수의 구성요소들 및 '~부'들로 결합되거나 추가적인 구성요소들과 '~부'들로 더 분리될 수 있다. 뿐만 아니라, 구성요소들 및 '~부'들은 디바이스 또는 보안 멀티미디어카드 내의 하나 또는 그 이상의 CPU들을 재생시키도록 구현될 수도 있다. 또한 실시예에서 '~부'는 하나 이상의 프로세서를 포함할 수 있다.

하기에서 본 개시를 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 개시의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 이하 첨부된 도면을 참조하여 본 개시의 실시 예를 설명하기로 한다.

이하 설명에서 사용되는 접속 노드(node)를 식별하기 위한 용어, 망 객체(network entity, 네트워크 엔티티)들을 지칭하는 용어, 메시지들을 지칭하는 용어, 망 객체들 간 인터페이스를 지칭하는 용어, 다양한 식별 정보들을 지칭하는 용어 등은 설명의 편의를 위해 예시된 것이다. 따라서, 본 개시가 후술되는 용어들에 한정되는 것은 아니며, 동등한 기술적 의미를 가지는 대상을 지칭하는 다른 용어가 사용될 수 있다.

이하 설명의 편의를 위하여, 본 개시는 3GPP LTE(3rd Generation Partnership Project Long Term Evolution) 규격에서 정의하고 있는 용어 및 명칭들을 사용한다. 하지만, 본 개시가 상기 용어 및 명칭들에 의해 한정되는 것은 아니며, 다른 규격에 따르는 시스템에도 동일하게 적용될 수 있다. 본 개시에서 eNB는 설명의 편의를 위하여 gNB와 혼용되어 사용될 수 있다. 즉 eNB로 설명한 기지국은 gNB를 나타낼 수 있다. 또한 단말이라는 용어는 핸드폰, NB-IoT 기기들, 센서들 뿐만 아니라 또 다른 무선 통신 기기들을 나타낼 수 있다.

이하, 기지국은 단말의 자원할당을 수행하는 주체로서, gNode B, eNode B, Node B, BS (Base Station), 무선 접속 유닛, 기지국 제어기, 또는 네트워크 상의 노드 중 적어도 하나일 수 있다. 단말은 UE (User Equipment), MS (Mobile Station), 셀룰러폰, 스마트폰, 컴퓨터, 또는 통신기능을 수행할 수 있는 멀티미디어시스템을 포함할 수 있다. 물론 상기 예시에 제한되는 것은 아니다.

특히 본 개시는 3GPP NR (5세대 이동통신 표준)에 적용할 수 있다. 또한 본 개시는 5G 통신 기술 및 IoT 관련 기술을 기반으로 지능형 서비스(예를 들어, 스마트 홈, 스마트 빌딩, 스마트 시티, 스마트 카 또는 커넥티드 카, 헬스 케어, 디지털 교육, 소매업, 보안 및 안전 관련 서비스 등)에 적용될 수 있다. 본 발명에서 eNB는 설명의 편의를 위하여 gNB와 혼용되어 사용될 수 있다. 즉 eNB로 설명한 기지국은 gNB를 나타낼 수 있다. 또한 단말이라는 용어는 핸드폰, NB-IoT 기기들, 센서들 뿐만 아니라 또 다른 무선 통신 기기들을 나타낼 수 있다.

무선 통신 시스템은 초기의 음성 위주의 서비스를 제공하던 것에서 벗어나 예를 들어, 3GPP의 HSPA(High Speed Packet Access), LTE(Long Term Evolution 또는 E-UTRA (Evolved Universal Terrestrial Radio Access)), LTE-Advanced(LTE-A), LTE-Pro, 3GPP2의 HRPD(High Rate Packet Data), UMB(Ultra Mobile Broadband), 및 IEEE의 802.16e 등의 통신 표준과 같이 고속, 고품질의 패킷 데이터 서비스를 제공하는 광대역 무선 통신 시스템으로 발전하고 있다.

광대역 무선 통신 시스템의 대표적인 예로, LTE 시스템에서는 하향링크(DL; DownLink)에서는 OFDM(Orthogonal Frequency Division Multiplexing) 방식을 채용하고 있고, 상향링크(UL; UpLink)에서는 SC-FDMA(Single Carrier Frequency Division Multiple Access) 방식을 채용하고 있다. 상향링크는 단말(UE; User Equipment 또는 MS; Mobile Station)이 기지국(eNode B 또는 BS; Base Station)으로 데이터 또는 제어신호를 전송하는 무선링크를 뜻하고, 하향링크는 기지국이 단말로 데이터 또는 제어신호를 전송하는 무선링크를 뜻한다. 상기와 같은 다중 접속 방식은, 각 사용자 별로 데이터 또는 제어정보를 실어 보낼 시간-주파수 자원을 서로 겹치지 않도록, 즉 직교성(Orthogonality)이 성립하도록, 할당 및 운용함으로써 각 사용자의 데이터 또는 제어정보를 구분한다.

LTE 이후의 향후 통신 시스템으로서, 즉, 5G 통신시스템은 사용자 및 서비스 제공자 등의 다양한 요구 사항을 자유롭게 반영할 수 있어야 하기 때문에 다양한 요구사항을 동시에 만족하는 서비스가 지원되어야 한다. 5G 통신시스템을 위해 고려되는 서비스로는 향상된 모바일 광대역 통신(eMBB; Enhanced Mobile BroadBand), 대규모 기계형 통신(mMTC; massive Machine Type Communication), 초신뢰 저지연 통신(URLLC; Ultra Reliability Low Latency Communication) 등이 있다.

일부 실시예에 따르면, eMBB는 기존의 LTE, LTE-A 또는 LTE-Pro가 지원하는 데이터 전송 속도보다 더욱 향상된 데이터 전송 속도를 제공하는 것을 목표로 할 수 있다. 예를 들어, 5G 통신시스템에서 eMBB는 하나의 기지국 관점에서 하향링크에서는 20Gbps의 최대 전송 속도(peak data rate), 상향링크에서는 10Gbps의 최대 전송 속도를 제공할 수 있어야 한다. 또한 5G 통신시스템은 최대 전송 속도를 제공하는 동시에, 증가된 단말의 실제 체감 전송 속도(User perceived data rate)를 제공해야 할 수 있다. 이와 같은 요구 사항을 만족시키기 위해, 5G 통신 시스템에서는 더욱 향상된 다중 안테나 (MIMO; Multi Input Multi Output) 전송 기술을 포함하여 다양한 송수신 기술의 향상을 요구될 수 있다. 또한 현재의 LTE가 사용하는 2GHz 대역에서 최대 20MHz 전송대역폭을 사용하여 신호를 전송하는 반면에 5G 통신시스템은 3~6GHz 또는 6GHz 이상의 주파수 대역에서 20MHz 보다 넓은 주파수 대역폭을 사용함으로써 5G 통신시스템에서 요구하는 데이터 전송 속도를 만족시킬 수 있다.

동시에, 5G 통신시스템에서 사물 인터넷(IoT; Internet of Thing)와 같은 응용 서비스를 지원하기 위해 mMTC가 고려되고 있다. mMTC는 효율적으로 사물 인터넷을 제공하기 위해 셀 내에서 대규모 단말의 접속 지원, 단말의 커버리지 향상, 향상된 배터리 시간, 단말의 비용 감소 등이 요구될 수 있다. 사물 인터넷은 여러 가지 센서 및 다양한 기기에 부착되어 통신 기능을 제공하므로 셀 내에서 많은 수의 단말(예를 들어, 1,000,000 단말/km2)을 지원할 수 있어야 한다. 또한 mMTC를 지원하는 단말은 서비스의 특성상 건물의 지하와 같이 셀이 커버하지 못하는 음영지역에 위치할 가능성이 높으므로 5G 통신시스템에서 제공하는 다른 서비스 대비 더욱 넓은 커버리지가 요구될 수 있다. mMTC를 지원하는 단말은 저가의 단말로 구성되어야 하며, 단말의 배터리를 자주 교환하기 힘들기 때문에 10~15년과 같이 매우 긴 배터리 생명시간(battery life time)이 요구될 수 있다.

마지막으로, URLLC의 경우, 특정한 목적(mission-critical)으로 사용되는 셀룰러 기반 무선 통신 서비스로서, 로봇(Robot) 또는 기계 장치(Machinery)에 대한 원격 제어(remote control), 산업 자동화(industrial automation), 무인 비행장치(Unmanned Aerial Vehicle), 원격 건강 제어(Remote health care), 비상 상황 알림(emergency alert) 등에 사용되는 서비스 등에 사용될 수 있다. 따라서 URLLC가 제공하는 통신은 매우 낮은 저지연(초저지연) 및 매우 높은 신뢰도(초신뢰도)를 제공해야 할 수 있다. 예를 들어, URLLC을 지원하는 서비스는 0.5 밀리초보다 작은 무선 접속 지연시간(Air interface latency)를 만족해야 하며, 동시에 10-5 이하의 패킷 오류율(Packet Error Rate)의 요구사항을 가질 수 있다. 따라서, URLLC을 지원하는 서비스를 위해 5G 시스템은 다른 서비스보다 작은 전송 시간 구간(TTI; Transmit Time Interval)를 제공해야 하며, 동시에 통신 링크의 신뢰성을 확보하기 위해 주파수 대역에서 넓은 리소스를 할당해야 하는 설계사항이 요구될 수 있다.

전술한 5G 통신 시스템에서 고려되는 세가지 서비스들, 즉 eMBB, URLLC, mMTC는 하나의 시스템에서 다중화되어 전송될 수 있다. 이 때, 각각의 서비스들이 갖는 상이한 요구사항을 만족시키기 위해 서비스 간에 서로 다른 송수신 기법 및 송수신 파라미터를 사용할 수 있다. 다만, 전술한 mMTC, URLLC, eMBB는 서로 다른 서비스 유형의 일 예일 뿐, 본 개시의 적용 대상이 되는 서비스 유형이 전술한 예에 한정되는 것은 아니다.

또한, 이하에서 LTE, LTE-A, LTE Pro 또는 5G(또는 NR, 차세대 이동 통신) 시스템을 일례로서 본 개시의 실시예를 설명하지만, 유사한 기술적 배경 또는 채널형태를 갖는 여타의 통신시스템에도 본 개시의 실시예가 적용될 수 있다. 또한, 본 개시의 실시 예는 숙련된 기술적 지식을 가진 자의 판단으로써 본 개시의 범위를 크게 벗어나지 아니하는 범위에서 일부 변형을 통해 다른 통신시스템에도 적용될 수 있다.

이하 본 개시의 실시예를 첨부한 도면과 함께 상세히 설명한다. 또한 본 개시를 설명함에 있어서 관련된 공지 기능 혹은 구성에 대한 구체적인 설명이 본 개시의 요지를 불필요하게 흐릴 수 있다고 판단된 경우 그 상세한 설명은 생략한다. 그리고 후술되는 용어들은 본 개시에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다. 이하, 기지국은 단말의 자원할당을 수행하는 주체로서, eNode B(eNB), Node B, BS(Base Station), RAN(Radio Access Network), AN(Access Network), RAN node, NR NB, gNB, 무선 접속 유닛, 기지국 제어기, 또는 네트워크 상의 노드 중 적어도 하나일 수 있다. 단말은 UE(User Equipment), MS(Mobile Station), 셀룰러폰, 스마트폰, 컴퓨터, 또는 통신 기능을 수행할 수 있는 멀티미디어 시스템을 포함할 수 있다. 본 개시에서 하향링크(Downlink; DL)는 기지국이 단말에게 전송하는 신호의 무선 전송경로이고, 상향링크는(Uplink; UL)는 단말이 기국에게 전송하는 신호의 무선 전송경로를 의미한다. 또한, 이하에서 LTE 혹은 LTE-A 시스템을 일례로서 본 개시의 실시예를 설명하지만, 유사한 기술적 배경 또는 채널형태를 갖는 여타의 통신 시스템에도 본 개시의 실시예가 적용될 수 있다. 또한, 본 개시의 실시예는 숙련된 기술적 지식을 가진자의 판단으로써 본 개시의 범위를 크게 벗어나지 아니하는 범위에서 일부 변형을 통해 다른 통신시스템에도 적용될 수 있다.

도 1은 본 개시의 일 실시 예에 따른 5G 시스템을 위한 네트워크 아키텍처를 도시한 도면이다.

5G 네트워크 시스템이 제공하는 각 기능들을 수행하는 단위는 NF(network function, 네트워크 기능)로 정의될 수 있다. 5G 이동통신 네트워크의 구조는 도 1에 도시되어 있다. 이러한 네트워크 기능은 특정한 서버 또는 네트워크 장치에 구현될 수 있다. 네트워크 기능이 특정한 서버 또는 네트워크 장치에 구현되는 경우 하나의 특정한 서버(또는 네트워크 장치)에 둘 이상의 네트워크 기능을 탑재할 수 있다. 탑재된다는 의미는 네트워크 기능을 수행하는 장치로 동작함을 의미할 수 있다. 네트워크 기능이 서버에 탑재되는 경우 동일한 기능을 수행하는 서로 다른 둘 이상의 네트워크 기능이 탑재될 수 있다. 서로 다른 둘 이상의 네트워크 기능은 동일한 동작을 제어하는 네트워크 기능일 수도 있고, 서로 다른 네트워크 기능일 수도 있다.

5G 코어(core) 네트워크는 단말(UE, user equipment)(10)의 네트워크 접속과 이동성을 관리 하는 AMF(access and mobility management function)(120), 단말에 대한 세션과 관련된 기능을 수행하는 SMF(session management function)(130), 사용자 데이터의 전달을 담당하고 SMF에 의해 제어를 받는 UPF(user plane function)(125), 제공을 위해 5GC와 통신하는 AF(application function)(180), 5GC와 AF(180) 사이의 통신을 지원 하는 NEF(network exposure function)(170), 데이터 저장 및 관리를 위한 UDM(unified data management)(160)과 UDR(unified data repository)(미도시), 정책을 관리 하는 PCF(policy and control function)(150), 및 사용자 데이터가 전달되는 인터넷과 같은 DN(data network)(140)를 포함할 수 있다. 또한, 5G 이동통신 네트워크에는 네트워크 기능 외에 단말 및 5G 이동통신 네트워크를 관리 하기 위한 시스템인 OAM(operation, administration, and management)(미도시)가 존재 할 수 있다. 세션 정보는 QoS 정보, 과금 정보, 패킷 처리에 대한 정보 등을 포함할 수 있다. 또한, 5G 네트워크 시스템에는 RAN(20)(또는, 기지국), AUSF(authentication server function)(165), NSSF(network slice selection function)(175), NRF(network repository function)(155))가 더 포함될 수 있다.

도 1을 참조하면, UE(10)는 5G 네트워크에 접속 가능한 단말이 될 수 있다. UE(10)는 그 외에 다른 무선 접속 방식 예를 들어, 4G 네트워크 및/또는 WiFi 네트워크 등의 다양한 네트워크와 접속할 수도 있다. 또한 UE(10)는 다양한 형태를 가질 수 있다. 예컨대, UE(10)는 IoT 기능만을 제공하는 단말로 구현되거나, 또는 스마트, 태블릿 컴퓨터와 같은 형태일 수도 있고, 스마트 워치 또는 스마트 글래스와 같은 웨어러블 형태의 기기로 구현될 수도 있다. 본 개시에서 UE(10)의 구현 형태에는 특별한 제약을 두지 않는다.

무선 접속 노드(radio access node, (R)AN)(20)는 UE(10)와 5G 무선 접속 방식으로 air 상의 신호 또는 데이터의 송수신을 수행하는 네트워크 노드가 될 수 있다. 또한 (R)AN(20)은 4G 무선 액세스 기술의 진화된 버전인 진화된 E-UTRA(evolved E-UTRA)와 새로운 무선 액세스 기술(new radio, NR)(예를 들어, gNB)을 모두 지원하는 새로운 무선 액세스 네트워크를 총칭할 수 있다.

UPF(110)는 DN(115)으로부터 수신한 하향링크 PDU를 (R)AN(20)을 경유하여 UE(10)에게 전달하며, (R)AN(20)을 경유하여 UE(10)로부터 수신한 상향링크 PDU를 DN(115)으로 전달할 수 있다. 구체적으로, UPF(110)는 인트라(intra)/인터(inter) RAT 이동성을 위한 앵커 포인트, 데이터 네트워크(Data Network)로의 상호연결(interconnect)의 외부 PDU 세션 포인트, 패킷 라우팅 및 포워딩, 패킷 검사(inspection) 및 정책 규칙 시행의 사용자 평면 부분, 합법적 감청(lawful intercept), 트래픽 사용량 보고, 데이터 네트워크로의 트래픽 플로우의 라우팅을 지원하기 위한 상향링크 분류자(classifier), 멀티-홈(multi-homed) PDU 세션을 지원하기 위한 브랜치 포인트(branching point), 사용자 평면을 위한 QoS 핸들링(handling)(예를 들어 패킷 필터링, 게이팅(gating), 상향링크/하향링크 레이트 시행), 상향링크 트래픽 검증 (서비스 데이터 플로우(service data flow, SDF)와 QoS 플로우 간 SDF 매핑), 상향링크 및 하향링크 내 전달 레벨(transport level) 패킷 마킹, 하향링크 패킷 버퍼링 및 하향링크 데이터 통지 트리거링 기능 등을 지원할 수 있다.

이상에서 설명한 도 1에 예시된 5G 코어 네트워크를 통해 UE(10)는 5G 네트워크 접속 및 데이터 송수신 등의 서비스를 제공받을 수 있다. 또한 5G 코어 네트워크는 UE(10)를 관리하기 위하여 상기 NF들간에 통신을 수행 할 수 있다.

도 2는 본 개시의 일 실시예에 따른 사용자 평면에서 통신을 수행하는 네트워크 아키텍처를 도시한 도면이다.

도 2에 도시된 5GC는 도 1에 도시된 네트워크 기능 중 UE(10)와 RAN(20)을 제외한 네트워크 기능들의 전부 및/또는 일부를 포함할 수 있다.

도 2에 도시된 gNB(210)는 도 1에 도시된 RAN(20)를 의미할 수 있다.

gNB(210)는 gNB-CU(220)와 gNB-DU(225)로 구성될 수 있다. gNB-CU(220)는 gNB(210)의 기능을 구성하는 요소 중 중앙 유닛(Central Unit)을 의미할 수 있으며, gNB(210)의 RRC(radio resource control), SDAP(service data adaptation protocol) 및 PDCP(packet data convergence protocol) 계층을 호스팅하는 로지컬 노드(logical node)일 수 있다. gNB-DU(225)는 gNB(210)의 기능을 구성하는 요소 중 분산 유닛(Distributed Unit)을 의미할 수 있으며, gNB(210)의 RLC(radio link control), MAC(media access control) 및 PHY(physical) 계층을 호스팅하는 로지컬 노드일 수 있다.

gNB-CU(220)는 gNB-CU-CP(230)와 gNB-CU-UP(240, 242, 244, 246)로 구성될 수 있다. gNB-CU-CP(230)는 gNB-CU(220)의 기능을 구성하는 요소 중 제어 평면(Control Plane)과 관련된 시그널링 및/또는 데이터 송수신을 담당하는 유닛을 의미할 수 있으며, RRC(radio resource control) 및 PDCP(packet data convergence protocol)-C 프로토콜을 호스트 하는 논리 노드일 수 있다. gNB-CU-UP(240, 242, 244, 246)는 gNB-CU(220)의 기능을 구성하는 요소 중 사용자 평면(User Plane)과 관련된 시그널링 및/또는 데이터 송수신을 담당하는 유닛을 의미할 수 있으며, PDCP-U 프로토콜을 호스트 하는 논리 노드일 수 있다.

본 개시에서, 시그널링은 제어 정보를 의미할 수 있고, 데이터는 제어 정보가 아닌 정보(예로, 사용자 데이터)를 의미할 수 있다.

도 2에 도시된 gNB-CU(220)는 하나 이상의 gNB-CU-UP(240, 242, 244, 246)를 포함할 수 있다.

도 2에 도시된 gNB-CU-CP(230)는 N2 인터페이스를 통해 5GC(260)에 연결될 수 있다. 도 1에 도시된 것처럼 gNB-CU-CP(230)는 AMF(125)와 N2 인터페이스를 통해 연결될 수 있다.

도 2에 도시된 gNB-CU-UP(240)는 N3 인터페이스를 통해 5GC(250)의 UPF에 연결될 수 있고, gNB-CU-UP(242, 242)는 N3 인터페이스를 통해 UPF(260)에 연결될 수 있고, gNB-CU-UP(244)는 N3 인터페이스를 통해 UPF(265)에 연결될 수 있다. 도 1에 도시된 것처럼, gNB-CU-UP(240, 242, 244, 246)는 UPF(110)와 N3 인터페이스를 통해 연결될 수 있다.

gNB-CU-CP(230)는 gNB-DU(225)와 F1-C 인터페이스를 통해 연결될 수 있다. gNB-CU-UP(240, 242, 244, 246)는 gNB-DU(225)와 F1-U 인터페이스를 통해 연결될 수 있다.

도 2에 도시된 gNB-CU-CP(230)와 gNB-CU-UP(240, 242, 244, 246)는 E1 인터페이스를 통해 연결될 수 있다.

UE(10)가 사용자 평면의 시그널링 및/또는 데이터 송수신을 위해 RAN(20)(또는 gNB(210))과 통신을 할 때, 사용자 평면에서 송수신되는 시그널링 및/또는 데이터는 보안을 위해 보호되어야 할 수 있다. 보안을 위해서, 사용자 평면의 시그널링 및/또는 데이터는 메시지의 무결성을 보장하기 위한 무결성 보호(integrity protection) 및 메시지의 기밀성을 보장하기 위한 암호화(encryption)/복호화(decryption)가 수행되어 보호될 수 있다.

사용자 평면의 시그널링 및/또는 데이터의 보안을 위해서, UE(10)와 gNB(210)(특히, gNB-CU-UP들(240, 242, 244, 246))는 사용자 평면에서 사용될 보호 키를 공유하여야 한다. 각 gNB-CU-UP(240, 242, 244, 246)는 다양한 PDU session 및/또는 DRB를 사용해 UE(10)와 통신할 수 있다. 하나의 동일한 보호 키를 사용하여, 각 gNB-CU-UP(240, 242, 244, 246)와 UE(10)가 사용자 평면의 시그널링 및/또는 데이터를 송수신하는 경우, 적어도 하나의 보호 키의 유출은 모든 보호 키가 노출되는 것과 동일한 효과를 가지므로, 보안적인 위협이 발생할 수 있다.

따라서, 본 개시는 상술한 보안적 위협을 해결하기 위해, 사용자 평면의 보안을 개선하기 위한 방법을 제공하고자 한다. 일 예로, 본 개시는 각 gNB-CU-UP(240, 242, 244, 246))가 서로 다른 보호 키를 생성 및 사용하는 방법을 제공할 수 있다. 또한, 본 개시는 UE(10)가 각 gNB-CU-UP(240, 242, 244, 246))에 따라 달라지는 보호 키를 생성 및 사용하는 방법을 제공할 수 있다. 또한, 본 개시는 각 gNB-CU-UP(240, 242, 244, 246))와 UE(10)가 사용하는 세션에 따라 서로 다른 보호 키를 생성 및 사용하는 방법을 제공할 수 있다. 본 개시의 일 실시예에 따를 때, UE(10)와 gNB(210)는 사용 목적, 사용 주체, 또는 사용 용도 중 적어도 하나에 따라 구별되는 보호 키를 생성할 수 있다. 또한, 사용자 평면에서 gNB(210)와 통신하는 UE(10)는 gNB(210)가 사용하는 보호 키와 동일한 보호 키를 생성할 수 있으므로, UE(10) 및 gNB(210)는 동일한 보호 키를 공유할 수 있다. 따라서 하나의 보호 키가 유출된다고 하여도 다른 보호 키는 안전하게 보호됨으로써, 사용자 평면의 보안 레벨을 향상할 수 있다.

하기의 도면들을 이용하여, 사용자 평면에서 사용될 보호 키의 보안성을 향상함으로써, 통신 시스템에서 사용자 평면의 보안을 개선하는 방법과 장치를 보다 구체적으로 후술한다.

도 3a, 도 3b 및 도 3c는 본 개시의 일 실시예에 따른 사용자 평면에서 사용될 보호 키를 생성하는 방법을 설명하기 위한 도면이다.

도 3a을 참고하여, UE(10)와 gNB(210)가 사용자 평면에서 시그널링 및/또는 데이터를 송수신 할 때 사용하는 사용자 평면에서 사용될 보호 키(310)를 설명할 수 있다.

gNB(210)(또는 RAN(20))와 UE(10)는 사용자 평면에서 사용될 보호 키(310)(이하, 보호 키는 사용자 평면에서 사용될 보호 키를 의미할 수 있음)를 생성할 수 있다. gNB(210)가 보호 키(310)를 생성할 때, 도 2에 도시된 gNB(210)의 세부 유닛 (예를 들어, gNB-CU-CP(230) 및/또는 gNB-CU-UP(240, 242, 244, 246))들의 구체적인 동작은 도 4에서 보다 자세히 후술된다.

사용자 평면에서 사용될 보호 키(310)는 사용자 평면에서 송수신되는 시그널링 및/또는 데이터의 무결성 보호(integrity protection)를 위해 사용되는 K_UPint(320)를 포함할 수 있다. 사용자 평면에서 사용될 보호 키(310)는 사용자 평면에서 송수신되는 시그널링 및/또는 데이터의 암호 및 복호(encryption and decryption)을 위해 사용되는 K_UPenc(325)를 포함할 수 있다.

사용자 평면에서 사용될 보호 키(310)인 K_UPint(320) 및/또는 K_UPenc(325)는 루트 키(root key)인 K_gNB(330)로부터 유도될 수 있다. 보다 자세한 유도 과정은 도 3b에서 설명하기로 한다.

K_gNB(330)는 사용자 평면에서 사용될 보호 키(310)를 생성하기 전 gNB(220)와 UE(10) 사이에 공유되어 있을 수 있다. K_gNB(330)는 UE(10)와 통신 네트워크의 인증 과정 (예를 들어, primary authentication) 과정에서 생성되었을 수 있다.

일 실시예에 따른 UE(10)와 RAN(20)은 각각 사용자 평면에서 사용될 보호 키(310)를 생성할 수 있다. 일 예로, gNB-CU-CP(230), gNB-CU-UP(240) 또는 UE(10)는 도 3b 및 도 3c에서 설명하는 사용자 평면에서 사용될 보호 키를 생성하는 방법을 이용하여 사용자 평면에서 사용될 보호 키(310)를 생성할 수 있다.

도 3b를 참고하여, UE(10)와 gNB(210)가 보호 키(310)를 생성하는 방법을 설명할 수 있다.

도 3b를 참조하면 사용자 평면에서 사용될 보호 키(310)인 K_UPint(320) 및/또는 K_UPenc(325)는 다음의 두 가지 입력을 키 유도 함수(KDF, Key Derivation Function)에 넣어 유도될 수 있다. 일 실시예에 따른 UE(10) 또는 RAN(20)은 키 유도 함수를 이용하여 사용자 평면에서 사용될 보호 키(310)를 생성할 수 있다.

- 입력 키: K_gNB(330)

- 입력 스트링: S

본 개시의 일 실시예에 따른 키 유도 함수는 키와 스트링을 입력으로 받아 새로운 키를 유도해 내는 임의의 키 유도 함수일 수 있다. 한정되지 않은 일 예로, 키 유도 함수는 해쉬 함수를 이용해 메시지 인증 코드(Message Authentication Code, MAC)를 만드는 HMAC(keyed-hash message authentication code, hash-based message authentication code) 함수일 수 있다. 상기 해쉬 함수는 임의의 문자열을 입력으로 받아 해쉬 값을 만들어 내는 임의의 해쉬 함수일 수 있다. 한정되지 않을 일 예로, 해쉬 함수는 SHA-256 함수일 수 있다.

본 개시의 일 실시예에 따른 입력 스트링 S는 다양한 방식으로 구성될 수 있다. 도 3b에는 한 예로 FC, P0, L0, P1, L1, …, Pn, Ln 값을 연결해 스트링 S를 만드는 방법이 도시되어 있지만 스트링 S를 만드는 방법이 이것으로 국한되는 것은 아니다. 도 3b에 도시된 FC, P0, L0, P1, L1, …, Pn, Ln의 상세한 의미에 대해서는 도 3c를 참조하기로 한다.

도 3c를 참고하여, UE(10)와 gNB(210)가 보호 키(310)를 생성할 때, 사용하는 정보를 설명할 수 있다.

도 3c를 참조하면 도 3b에 도시된 스트링 S는 하기에서 기술될 세가지 종류의 값들을 연결해 구성될 수 있다. 하기 기술될 세가지 종류의 값들을 연결해 S를 구성하는 방법은 도 3b를 참조하기로 한다.

- FC

- Pn (여기서 n은 0부터 시작하는 자연수)

- Ln (여기서 n은 0부터 시작하는 자연수)

FC는 임의의 값일 수 있다. 일 예로 FC는 도 3c에 도시된 것처럼 0x69 라는 값을 가질 수 있다.

Pn은 다양한 정보를 포함하는 값일 수 있으며, Ln은 Pn의 길이를 나타내는 값일 수 있다.

일 실시예에 따른 Pn이 지시하는 정보들(즉, Pn에 들어갈 수 있는 값들)을 후술한다. 하지만 상기 Pn에 들어갈 수 있는 값들은 하기 실시예에 국한되는 것이 아니다. 즉, 하기 실시예의 일부 및/또는 전체가 사용될 수 있으며, 하기에 기술되지 않은 다른 정보가 추가될 수 있다. 또한, 하기 실시예에 도시된 값들의 순서는 하기 기술된 것으로 국한되는 것이 아니며 임의의 순서를 가질 수 있다.

- P0: 알고리즘 타입 구별자. 유도할 보호 키가 K_UPint

(320) 인지, 또는 K_UPenc(325)인지를 나타내는 인자.

- P1: 알고리즘 아이덴티티. 보호 키를 만들기 위해 사용할 알고리즘의 종류. (예를 들어, SNOW 3G, Advanced Encryption Standard(AES), Zuc Stream Cipher(ZUC) 등)

- P2: UP key ID. 사용자 평면에 사용될 보호 키(310)의 ID(identifier)

P2의 예로서 기술된 UP key ID는 사용자 평면에 사용될 보호 키(310)를 특정하기 위해 사용되는 정보를 의미할 수 있다. UP key ID는 다음에 제시된 다양한 값(또는 정보) 중 하나를 포함할 수 있다. 하지만 UP Key ID가 반드시 하기 예들 중 하나로 국한되는 것은 아니다. 즉, UP Key ID는 사용자 평면에 사용될 보호 키(310)를 특정할 수 있는 임의의 정보일 수 있다.

- Key index: Key의 index 값 (예를 들어, 자연수)

- Nonce (예를 들어, 임의의 랜덤 값)

- DRB ID (사용자 평면에서 송수신할 시그널 및/또는 데이터가 속한 DRB의 ID)

- PDU session ID (사용자 평면에서 송수신할 시그널 및/또는 데이터가 속한 PDU session의 ID)

- UP ID (사용자 평면 시그널 및/또는 데이터를 송수신하기 위해 UE와 통신할 gNB-CU-UP의 ID)

일 실시예에 따른 P2가 UP key ID에 대한 정보를 포함하는 경우, L2는 UP key ID의 길이에 대한 정보를 포함할 수 있다.

상술한 방법을 이용하여, RAN(20)(예, gNB-CU-CP(230) 또는 gNB-CU-UP(240)) 및 UE(10)는 사용자 평면에서 사용될 보호 키(310)를 생성할 수 있다. RAN(20)(예, gNB-CU-CP(230) 또는 gNB-CU-UP(240)) 및 UE(10)의 동작은 하기의 도면들을 이용하여 보다 구체적으로 후술된다.

도 4는 본 개시의 일 실시예에 따른 단말 및 기지국이 사용자 평면에서 사용될 보호 키를 생성하기 위한 데이터 송수신 흐름도를 도시하는 도면이다.

도 4를 참고하여, UE(10) 및 RAN(20)이 사용자 평면에서 사용될 보호 키(310)를 생성하고, 공유하고, 사용하기 위해, 본 개시의 일 실시예에 따른 UE(10), RAN(20) 및 5GC(30) 간의 데이터 송수신 방법 및 동작 방법이 설명될 수 있다. gNB(210)는 다수의 gNB-CU-UP를 보유하고 있을 수 있으나, 설명의 편의를 위하여 하나의 gNB-CU-UP(240)을 예시하여 도 4의 동작을 설명한다.

단계 S410에서, UE(10)는 RAN(20)(본 개시에서 RAN(20)은 gNB를 의미할 수 있음)에게 PDU 세션 형성 요청(PDU session establishment request) 메시지를 송신할 수 있다. 일 예로, 단계 S410에서, gNB-CU(220)는 UE(10)로부터 PDU 세션 형성 요청 메시지를 수신할 수 있다. 다른 일 예로, gNB-CU-CP(230)는 UE(10)로부터 PDU 세션 형성 요청 메시지를 수신할 수 있다. 다른 일 예로, gNB-CU-UP(240)는 UE(10)로부터 PDU 세션 형성 요청 메시지를 수신할 수 있다.

PDU 세션 형성 요청 메시지는 UE(10)가 생성한 PDU session ID를 포함할 수 있으며, 전술한 예에 한정되지 않는다.

단계 S420에서 RAN(20)과 5GC(30)는 PDU 세션 형성을 위해 시그널링 및/또는 데이터를 송수신할 수 있다. RAN(20)과 5GC(30)에 포함된 네트워크 기능에 대한 설명은 도 1 내지 도 2의 설명을 참조할 수 있다.

PDU 세션을 형성하기 위해서, RAN(20)과 5GC(30)는 후술하는 동작 중 적어도 하나를 수행할 수 있다. 일 예로, gNB-CU(220)은 하기에 서술된 RAN(20)의 동작을 수행할 수 있다. 다른 일 예로, gNB-CU-CP(230)은 하기에 서술된 RAN(20)의 동작을 수행할 수 있다.

- RAN(20)은 AMF(120)에게 UE(10)로부터 받은 PDU 세션 형성 요청 메시지를 전송할 수 있다.

- AMF(120)는 SMF(130)를 선택한 후 SMF(130)에게 PDU 세션의 새로운 생성 또는 기존에 존재하는 PDU 세션의 업데이트를 요청하는 메시지를 전송할 수 있다.

- SMF(130)는 UDM(160)과의 통신을 통해 PDU 세션 형성을 위해 필요한 UE(10)의 구독 정보를 얻어올 수 있다.

- SMF(130)는 PCF(150)를 선택한 후 PCF(150)와 통신하여 PDU 세션 형성을 위한 정책 정보를 얻어올 수 있다.

- SMF(130)는 UPF(125)를 선택한 후, 선택된 UPF(125)와 PDU 세션 형성을 위한 준비 과정을 위한 일련의 절차를 수행할 수 있다.

- SMF(130)는 AMF(120)에게 PDU 세션 형성을 위해 필요한 정보를 송신할 수 있다.

- AMF(120)는 RAN(20)에게 PDU 세션 형성을 위해 필요한 정보를 송신할 수 있다.

단계 S430에서, RAN(20)은 사용자 평면에서 사용될 보호 키를 생성할 수 있다.

본 개시의 일 실시예에 따른 RAN(20)은 UE(10)와 RAN(20)의 보호 또는 암호화 통신을 위해 사용자 평면에서 사용될 보호 키(310)를 생성할 수 있다. RAN(20)은 도 3a, 도 3b 및 도 3c에서 전술한 사용자 평면에서 사용될 보호 키(310)를 생성하는 방법을 이용하여, 암호화 통신을 위해 사용자 평면에서 사용될 보호 키(310)를 생성할 수 있다. 단계 S430에서, gNB-CU-UP(240)는 사용자 평면에서 사용될 보호 키를 생성 또는 획득할 수 있다.

본 개시의 일 실시예에 따른 RAN(20)은 다음의 방법 중 하나를 수행하여, 사용자 평면에서 사용될 보호 키를 생성 및/또는 획득할 수 있다.

일 실시예에 따른 gNB-CU-CP(230)는 사용자 평면에서 사용될 보호 키(310)를 생성할 수 있다. 도 3a, 도 3b 및 도 3c를 참고할 때, gNB-CU-CP(230)는 K_gNB(330), 알고리즘 타입 구별자, 알고리즘 아이덴티티, 또는 UP key ID 중 적어도 하나에 기초하여 사용자 평면에서 사용될 보호 키(310)를 생성할 수 있다. 한정되지 않은 일 예로, UP key ID는 Key index, Nonce, DRB ID, PDU session ID, UP ID 또는, 사용자 평면에 사용될 보호 키(310)를 특정할 수 있는 임의의 정보 중 적어도 하나 일 수 있다. 그 후, gNB-CU-CP(230)는 생성한 사용자 평면에서 사용될 보호 키(310)를 추후 사용자 평면(UP)와 통신하게 될 gNB-CU-UP(240)로 전송할 수 있다. 이때, gNB-CU-CP(230)는 gNB-CU-UP(240)가 사용하게 될 PDU 세션의 ID 또는 DRB의 목록 (예를 들어, DRB ID(s)) 중 적어도 하나를 사용자 평면에서 사용될 보호 키(310)와 함께 gNB-CU-UP(240)로 전송할 수 있다.

일 실시예에 따른 gNB-CU-CP(230)는 사용자 평면에서 사용될 보호 키(310)를 생성하기 위한 정보를 gNB-CU-UP(240)로 전송할 수 있다. 일 예로, 사용자 평면에서 사용될 보호 키를 생성하기 위한 정보는 K_gNB(330), 알고리즘 타입 구별자, 알고리즘 아이덴티티, 또는 UP key ID 중 적어도 하나를 포함할 수 있다. 한정되지 않은 일 예로, UP key ID는 Key index, Nonce, DRB ID, PDU session ID, UP ID 또는, 사용자 평면에 사용될 보호 키(310)를 특정할 수 있는 임의의 정보 중 적어도 하나 일 수 있다. gNB-CU-UP(240)는 gNB-CU-CP(230)로부터 수신한 보호 키를 생성하기 위한 정보에 기초하여 사용자 평면에서 사용될 보호 키(310)를 생성할 수 있다. 이때, gNB-CU-CP(230)는 gNB-CU-UP(240)가 사용하게 될 PDU 세션의 ID, 또는 DRB의 목록 (예를 들어, DRB ID(s)) 중 적어도 하나를 사용자 평면에서 사용될 보호 키를 생성하기 위한 정보와 함께 전송할 수 있다.

도 4에서는 S430 단계가 S420 단계 이후에 수행되는 것으로 기술되었지만 S430 단계와 S420 단계의 수행 순서는 도 4에서 설명한 순서에 국한되지 않는다. 즉, S430 단계는 S420 단계 이전에 수행될 수도 있고, S430 단계는 S420 단계에서 수행되는 동작 사이에서 수행될 수도 있고, S430 단계는 S420 단계의 수행 이후에 수행될 수도 있다.

단계 S440에서 RAN(20)은 UE(10)에게 PDU 세션 형성 응답(PDU session establishment response) 메시지를 송신할 수 있다. 일 예로, gNB-CU(220)은 PDU 세션 형성 응답 메시지를 UE(10)로 송신할 수 있다. 다른 일 예로, gNB-CU-CP(230)는 PDU 세션 형성 응답 메시지를 UE(10)로 송신할 수 있다.

본 개시의 일 실시예에 따른 RAN(20)은 UE(10)와 RAN(20)의 보호 또는 암호화 통신을 위해 사용자 평면에서 사용될 보호 키(310)를 UE(10)가 생성할 수 있도록, 사용자 평면에서 사용될 보호 키(310)를 생성하기 위해 필요한 정보를 UE(10)로 송신할 수 있다.

일 예로, 상기 RAN(20)으로부터 UE(10)로 전달되는 사용자 평면에서 사용될 보호 키(310)를 생성하기 위해 필요한 정보는 상기 PDU 세션 형성 응답 메시지에 포함되어 전송될 수 있다. 다른 일 예로, 상기 RAN(20)으로부터 UE(10)로 전달되는 사용자 평면에서 사용될 보호 키(310)를 생성하기 위해 필요한 정보는 상기 PDU 세션 형성 응답 메시지와 별도의 메시지로 전달될 수 있다.

일 실시예에서, RAN(20)으로부터 UE(10)로 전송되는 UE(10)가 보호 키(310)를 생성하기 위해 필요한 정보는, UP key ID (사용자 평면에 사용될 보호 키(310)의 ID(identifier))를 포함할 수 있다. 한정되지 않은 일 예로, UP key ID는 Key index, Nonce, DRB ID, PDU session ID, UP ID 또는, 사용자 평면에 사용될 보호 키(310)를 특정할 수 있는 임의의 정보 중 적어도 하나 일 수 있다.

일 실시예에서, RAN(20)으로부터 UE(10)로 전송되는 UE(10)가 보호 키(310)를 생성하기 위해 필요한 정보는, UE(10)가 사용하게 될 PDU 세션의 ID 또는 DRB의 목록 (예를 들어, DRB ID(s)) 중 적어도 하나를 포함할 수 있다.

일 실시예에서, RAN(20)으로부터 UE(10)로 전송되는 UE(10)가 보호 키(310)를 생성하기 위해 필요한 정보는, K_gNB(330), 알고리즘 타입 구별자, 알고리즘 아이덴티티 중 적어도 하나를 포함할 수 있다.

단계 S450에서, UE(10)는 사용자 평면에서 사용될 보호 키를 생성할 수 있다.

본 개시의 일 실시예에 따른 UE(10)는, 단계 S440에서 수신한 사용자 평면에서 사용될 보호 키를 생성하기 위해 필요한 정보를 이용해 사용자 평면에서 사용될 보호 키(310)를 생성할 수 있다.

일 예로, 도 3a, 도 3b 및 도 3c를 참고할 때, UE(10)는 K_gNB(330), 알고리즘 타입 구별자, 알고리즘 아이덴티티, UP key ID 중 적어도 하나에 기초하여 사용자 평면에서 사용될 보호 키(310)를 생성할 수 있다.

단계 S460에서, UE(10)와 RAN(20)은 PDU 세션 형성을 완료할 수 있다.

일 예로, 단계 S460에서, UE(10), RAN(20) 및 5GC(30)은 PDU 세션 형성을 마무리하는 과정을 수행할 수 있다.

상기 PDU 세션 형성을 마무리하는 과정은 다음의 동작 중 하나 이상을 포함할 수 있다. 후술하는 RAN(20)의 동작은 gNB-CU(220)에 의해 수행될 수 있다. 후술하는 RAN(20)의 동작은 gNB-CU-CP(220)에 의해 수행될 수 있다.

- RAN(20)은 AMF(120)로 PDU 세션 형성을 마무리하기 위한 메시지를 전송할 수 있다.

- AMF(120)는 SMF(130)과 PDU 세션 형성을 마무리하기 위한 절차를 수행할 수 있다. 이때, SMF(130)는 UPF(125)와 PDU 세션 형성을 마무리하기 위한 절차를 더 수행할 수 있다.

- SMF(130)는 UDM(160)에게 생성된 PDU 세션과 관련된 정보를 제공할 수 있다.

일 예로, 단계 S460에서, UE(10)와 RAN(20)은 사용자 평면을 사용해 시그널링 및/또는 데이터를 송수신 할 수 있다. UE(10)와 RAN(20)이 사용자 평면을 사용해 송수신하는 시그널링 및/또는 데이터는 단계 S430 및 단계 S450를 통해 생성된 보호 키(310)에 의해 보호될 수 있다. 예로, gNB-CU(220) 또는 gNB-CU-UP(240)은 단계 S430에서 생성 또는 획득한 보호 키(310)를 이용하여 UE(10)에게 전송할 시그널링 및/또는 데이터에 대해 무결성 보호, 또는 암호화 중 적어도 하나를 수행할 수 있다. 또한, gNB-CU(220) 또는 gNB-CU-UP(240)은 단계 S430에서 생성 또는 획득한 보호 키(310)를 이용하여 UE(10)로부터 수신한 시그널링 및/또는 데이터에 대해 무결성 확인, 또는 복호화 중 적어도 하나를 수행할 수 있다. 예로, UE(10)는 단계 S450에서 생성한 보호 키(310)를 이용하여 gNB(210) 에게 전송할 시그널링 및/또는 데이터에 대해 무결성 보호, 또는 암호화 중 적어도 하나를 수행할 수 있다. 또한, UE(10)는 단계 S450에서 생성한 보호 키(310)를 이용하여 gNB(210)로부터 수신한 시그널링 및/또는 데이터에 대해 무결성 확인, 또는 복호화 중 적어도 하나를 수행할 수 있다.

도 5는 본 개시의 일 실시예에 따른 무선 네트워크 시스템에서 기지국이 동작하는 방법을 설명하기 위한 흐름도이다.

도 3a, 도3b, 도3c 및 도 4에서 전술한 중복되는 내용은 생략한다. 후술하는 사용자 평면 보호 키는, 전술한 사용자 평면에서 사용될 보호 키(310)를 의미할 수 있다.

본 개시의 일실시예에 따른 사용자 평면 보호 키는, 상기 사용자 평면에서 송수신되는 적어도 하나의 데이터 또는 시그널링의 무결성 보호를 위한 제1 보호 키, 또는 암호화 및 복호화를 위한 제2 보호 키 중 적어도 하나를 포함할 수 있다.

단계 S510에서, 기지국은 기지국의 보호 키 생성 정보를 식별할 수 있다.

본 개시의 일 실시예에 따른 기지국의 보호 키 생성 정보는, 루트 키(root key) (예, K_gNB(330)), 사용자 평면 보호 키의 종류를 지시하는 알고리즘 타입 구별자, 보호 키를 생성하기 위한 알고리즘의 식별 정보, 또는 사용자 평면 보호 키의 식별 정보 중 적어도 하나의 정보를 포함할 수 있다.

본 개시의 일 실시예에 따른 사용자 평면 보호 키의 식별 정보는, 보호 키의 인덱스 값, 랜덤 값, PDU (Protocol Data Unit) 세션의 식별 정보, DRB (Data Radio Bearer)의 (식별) 정보, 또는 CU-UP의 식별 정보 중 적어도 하나를 포함할 수 있다. 한정되지 않은 일 예로, 사용자 평면 보호 키의 식별 정보는, 보호 키의 인덱스 값, 랜덤 값, PDU 세션의 식별 정보, DRB의 (식별) 정보, 또는 CU-UP의 식별 정보 중 하나에 대응될 수도 있다.

본 개시의 일 실시예에 따른 사용자 평면 보호 키의 식별 정보는, 보호 키의 인덱스 값, 랜덤 값, PDU (Protocol Data Unit) 세션의 식별 정보, DRB (Data Radio Bearer)의 (식별) 정보, 또는 CU-UP의 식별 정보 중 적어도 하나에 기초하여 생성될 수 있다.

단계 S520에서, 기지국은 기지국에 포함된 CU (Central Unit)-CP (Control Plane) 또는 CU-UP (User Plane) 에 의해, 기지국의 보호 키 생성 정보에 기초하여, 사용자 평면 보호 키를 생성할 수 있다.

본 개시의 일 실시예에 따른 기지국은, 기지국의 보호 키 생성 정보에 기초하여, CU-CP에 의해, 사용자 평면 보호 키를 생성할 수 있다. 또한, 기지국은 CU-CP에 의해, 사용자 평면 보호 키를 CU-UP로 전송할 수 있다.

본 개시의 일 실시예에 따른 기지국은, CU-CP에 의해, 기지국의 보호 키 생성 정보를 CU-UP로 전송할 수 있다. 또한, 기지국은, CU-UP에 의해, 기지국의 보호 키 생성 정보에 기초하여 사용자 평면 보호 키를 생성할 수 있다.

단계 S530에서, 기지국은 사용자 평면 보호 키를 생성하기 위한 단말의 보호 키 생성 정보를 상기 단말로 전송할 수 있다.

본 개시의 일 실시예에 따른 기지국은, 기지국의 보호 키 생성 정보에 기초하여, 단말의 보호 키 생성 정보를 생성할 수 있다. 일 예로, 단말의 보호 키 생성 정보는, 루트 키(root key) (예, K_gNB(330)), 사용자 평면 보호 키의 종류를 지시하는 알고리즘 타입 구별자, 보호 키를 생성하기 위한 알고리즘의 식별 정보, 또는 사용자 평면 보호 키의 식별 정보 중 적어도 하나의 정보를 포함할 수 있다.단계 S540에서, 기지국은 단말과 사용자 평면에서 송수신되는 적어도 하나의 데이터 또는 시그널링에 대해 사용자 평면 보호 키를 적용할 수 있다.

본 개시의 일 실시예에 따른 기지국은 단말로부터 PDU 세션 설정 요청을 수신할 수 있다. 기지국은 단말로, PDU 세션 설정 요청에 기초하여, PDU 세션 설정 응답을 전송할 수 있다. 일 예로, 기지국의 보호 키 생성 정보는, PDU 세션 설정 요청, 기지국 설정 정보, 또는 PDU 세션에 대한 정보 중 적어도 하나에 기초하여 식별될 수 있다. 일 예로, PDU 세션 설정 응답은 단말로 전송되는 단말의 보호 키 생성 정보를 포함할 수 있다.

도 6는 본 개시의 일 실시예에 따른 무선 네트워크 시스템에서 단말이 동작하는 방법을 설명하기 위한 흐름도이다.

본 개시의 일실시예에 따른 사용자 평면 보호 키는, 사용자 평면에서 송수신되는 적어도 하나의 데이터 또는 시그널링의 무결성 보호를 위한 제1 보호 키, 또는 암호화 및 복호화를 위한 제2 보호 키 중 적어도 하나를 포함할 수 있다.

단계 S610에서, 단말은 기지국으로부터, 기지국에 의해 기지국의 보호 키 생성 정보에 기초하여 생성된 사용자 평면 보호 키를 생성하기 위한 단말의 보호 키 생성 정보를 수신할 수 있다.

본 개시의 일 실시예에 따른 단말의 보호 키 생성 정보는, 기지국의 보호 키 생성 정보에 기초하여 생성될 수 있다. 일예로, 단말의 보호 키 생성 정보는, 루트 키, 상기 사용자 평면 보호 키의 종류를 지시하는 알고리즘 타입 구별자, 상기 보호 키를 생성하기 위한 알고리즘의 식별 정보, 또는 상기 사용자 평면 보호 키의 식별 정보 중 적어도 하나를 포함할 수 있다.

본 개시의 일 실시예에 따른 사용자 평면 보호 키의 식별 정보는, 보호 키의 인덱스 값, 랜덤 값, PDU (Protocol Data Unit) 세션의 식별 정보, DRB (Data Radio Bearer)의 정보, 또는 CU-UP의 식별 정보 중 하나에 기초하여 생성될 수 있다.

본 개시의 일 실시예에 따른 기지국에 의해 생성된 사용자 평면 보호 키는, 기지국에 포함된 CU (Central Unit)-CP (Control Plane)에 의해, 보호 키 생성 정보에 기초하여 생성될 수 있다. 또한, 기지국에 의해 생성된 사용자 평면 보호 키는, CU-CP에 의해, 기지국에 포함된 CU-UP (User Plane)로 전송될 수 있다.

본 개시의 일 실시예에 따른 기지국에 포함된 CU-CP에 의해, 보호 키 생성 정보가 기지국에 포함된 CU-UP로 전송될 수 있다. 또한, 기지국에 의해 생성된 사용자 평면 보호 키는, CU-UP에 의해, 보호 키 생성 정보에 기초하여 생성될 수 있다.

단계 S620에서, 단말은 단말의 보호 키 생성 정보에 기초하여, 사용자 평면 보호 키를 생성할 수 있다.

단계 S630에서, 단말은 기지국과 사용자 평면에서 송수신되는 적어도 하나의 데이터 또는 시그널링에 대해 사용자 평면 보호 키를 적용할 수 있다.

본 개시의 일 실시예에 따른 단말은 기지국으로 PDU 세션 설정 요청을 전송할 수 있다. 단말은 기지국으로부터, PDU 세션 설정 요청에 기초하여, PDU 세션 설정 응답을 수신할 수 있다. 일 예로, 보호 키 생성 정보는, PDU 세션 설정 요청, 기지국 설정 정보, 또는 PDU 세션에 대한 정보 중 적어도 하나에 기초하여 식별될 수 있다. 일 예로, PDU 세션 설정 응답은 기지국으로부터 수신되는 보호 키 생성 정보를 포함할 수 있다.

도 7는 본 개시의 일 실시예에 따른 단말의 구성을 나타낸 도면이다.

도 7를 참고하면, 본 개시의 일 실시 예에 따른 단말은 송수신부(720) 및 단말의 전반적인 동작을 제어하는 제어부(710)를 포함할 수 있다. 그리고, 상기 송수신부(720)는 송신부(725) 및 수신부(723)를 포함할 수 있다.

송수신부(720)는 다른 네트워크 엔티티들과 신호를 송수신할 수 있다.

제어부(710)는 상술한 실시 예들 중 어느 하나의 동작을 수행하도록 단말을 제어할 수 있다. 한편, 상기 제어부(710) 및 송수신부(720)는 반드시 별도의 모듈들로 구현되어야 하는 것은 아니고, 단일 칩과 같은 형태로 하나의 구성부로 구현될 수 있음은 물론이다. 그리고, 상기 제어부(710) 및 송수신부(720)는 전기적으로 연결될 수 있다. 그리고, 예를 들면 제어부(710)는 회로(circuit), 어플리케이션 특정(application-specific) 회로, 또는 적어도 하나의 프로세서(processor)일 수 있다. 또한, 단말의 동작들은 해당 프로그램 코드를 저장한 메모리 장치를 단말 내의 임의의 구성부에 구비함으로써 실현될 수 있다.

본 개시의 일 실시예에 따른 적어도 하나의 프로세서는, 기지국으로부터 기지국에 의해 기지국의 보호 키 생성 정보에 기초하여 생성된 사용자 평면 보호 키를 생성하기 위한 상기 단말의 보호 키 생성 정보를 수신할 수 있다. 적어도 하나의 프로세서는 단말의 보호 키 생성 정보에 기초하여, 사용자 평면에서 송수신되는 적어도 하나의 데이터 또는 시그널링의 무결성 보호를 위한 제1 보호 키, 또는 암호화 및 복호화를 위한 제2 보호 키 중 적어도 하나를 포함하는 상기 사용자 평면 보호 키를 생성할 수 있다. 적어도 하나의 프로세서는, 기지국과 상기 사용자 평면에서 송수신되는 적어도 하나의 데이터 또는 시그널링에 대해 사용자 평면 보호 키를 적용할 수 있다.

도 8은 본 개시의 일 실시예에 따른 네트워크 엔티티(network entity)의 구성을 나타낸 도면이다.

본 개시의 네트워크 엔티티는 시스템 구현에 따라 네트워크 펑션(network function)을 포함하는 개념이다.

도 8을 참고하면, 본 개시의 일 실시 예에 따른 네트워크 엔티티는 송수신부(820) 및 네트워크 엔티티의 전반적인 동작을 제어하는 제어부(810)를 포함할 수 있다. 그리고, 상기 송수신부(820)는 송신부(825) 및 수신부(823)를 포함할 수 있다.

송수신부(820)는 다른 네트워크 엔티티들과 신호를 송수신할 수 있다.

제어부(810)는 상술한 실시 예들 중 어느 하나의 동작을 수행하도록 네트워크 엔티티를 제어할 수 있다. 한편, 상기 제어부(810) 및 송수신부(820)는 반드시 별도의 모듈들로 구현되어야 하는 것은 아니고, 단일 칩과 같은 형태로 하나의 구성부로 구현될 수 있음은 물론이다. 그리고, 상기 제어부(810) 및 송수신부(820)는 전기적으로 연결될 수 있다. 그리고, 예를 들면 제어부(810)는 회로(circuit), 어플리케이션 특정(application-specific) 회로, 또는 적어도 하나의 프로세서(processor)일 수 있다. 또한, 네트워크 엔티티의 동작들은 해당 프로그램 코드를 저장한 메모리 장치를 네트워크 엔티티 내의 임의의 구성부에 구비함으로써 실현될 수 있다.

상기 네트워크 엔티티는 기지국(RAN)(20), AMF, SMF, UPF, PCF, NF, NEF, NRF, NSSF, UDM, UDR, AF, DN, AUSF, SCP, UDSF, context storage, OAM, EMS, AAA-P, AAA-H 중 어느 하나일 수 있다.

도 9는 본 개시의 일 실시예에 따른 기지국의 구성을 나타낸 도면이다.

도 9을 참고하면, 본 개시의 일 실시 예에 따른 기지국은 송수신부(920) 및 기지국의 전반적인 동작을 제어하는 제어부(910)를 포함할 수 있다. 그리고, 상기 송수신부(920)는 송신부(921) 및 수신부(923)를 포함할 수 있다.

송수신부(920)는 다른 기지국, 단말, 네트워크 엔티티들과 신호를 송수신할 수 있다.

제어부(910)는 상술한 실시 예들 중 어느 하나의 동작을 수행하도록 기지국을 제어할 수 있다. 한편, 상기 제어부(910) 및 송수신부(820)는 반드시 별도의 모듈들로 구현되어야 하는 것은 아니고, 단일 칩과 같은 형태로 하나의 구성부로 구현될 수 있음은 물론이다. 그리고, 상기 제어부(810) 및 송수신부(820)는 전기적으로 연결될 수 있다. 그리고, 예를 들면 제어부(810)는 회로(circuit), 어플리케이션 특정(application-specific) 회로, 또는 적어도 하나의 프로세서(processor)일 수 있다. 또한, 기지국의 동작들은 해당 프로그램 코드를 저장한 메모리 장치를 기지국 내의 임의의 구성부에 구비함으로써 실현될 수 있다.

본 개시의 일 실시예에 따른 적어도 하나의 프로세서는, 기지국의 보호 키 생성 정보를 식별할 수 있다. 적어도 하나의 프로세서는 기지국에 포함된 CU (Central Unit)-CP (Control Plane) 또는 CU-UP (User Plane) 에 의해, 상기 기지국의 보호 키 생성 정보에 기초하여, 사용자 평면에서 송수신되는 적어도 하나의 데이터 또는 시그널링의 무결성 보호를 위한 제1 보호 키, 또는 암호화 및 복호화를 위한 제2 보호 키 중 적어도 하나를 포함하는 사용자 평면 보호 키를 생성할 수 있다. 적어도 하나의 프로세서는, 사용자 평면 보호 키를 생성하기 위한 단말의 보호 키 생성 정보를 단말로 전송하고, 단말과 상기 사용자 평면에서 송수신되는 적어도 하나의 데이터 또는 시그널링에 대해 상기 사용자 평면 보호 키를 적용할 수 있다.

상기 도 1 내지 도 9가 예시하는 구성도, 제어/데이터 신호 송수신 방법의 예시도, 동작 절차 예시도 들은 본 개시의 권리범위를 한정하기 위한 의도가 없음을 유의하여야 한다. 즉, 상기 도 1 내지 도 9에 기재된 모든 구성부, 엔티티, 또는 동작의 단계가 개시의 실시를 위한 필수구성요소인 것으로 해석되어서는 안되며, 일부 구성요소 만을 포함하여도 개시의 본질을 해치지 않는 범위 내에서 구현될 수 있다.

앞서 설명한 기지국이나 단말의 동작들은 해당 프로그램 코드를 저장한 메모리 장치를 기지국 또는 단말 장치 내의 임의의 구성부에 구비함으로써 실현될 수 있다. 즉, 기지국 또는 단말 장치의 제어부는 메모리 장치 내에 저장된 프로그램 코드를 프로세서 혹은 CPU(Central Processing Unit)에 의해 읽어내어 실행함으로써 앞서 설명한 동작들을 실행할 수 있다.

본 명세서에서 설명되는 엔티티, 기지국 또는 단말 장치의 다양한 구성부들과, 모듈(module)등은 하드웨어(hardware) 회로, 일 예로 상보성 금속 산화막 반도체(complementary metal oxide semiconductor) 기반 논리 회로와, 펌웨어(firmware)와, 소프트웨어(software) 및/혹은 하드웨어와 펌웨어 및/혹은 머신 판독 가능 매체에 삽입된 소프트웨어의 조합과 같은 하드웨어 회로를 사용하여 동작될 수도 있다. 일 예로, 다양한 전기 구조 및 방법들은 트랜지스터(transistor)들과, 논리 게이트(logic gate)들과, 주문형 반도체와 같은 전기 회로들을 사용하여 실시될 수 있다.

한편 본 개시의 상세한 설명에서는 구체적인 실시 예에 관해 설명하였으나, 본 개시의 범위에서 벗어나지 않는 한도 내에서 여러 가지 변형이 가능함은 물론이다. 그러므로 본 개시의 범위는 설명된 실시 예에 국한되어 정해져서는 안되며 후술하는 특허청구의 범위뿐만 아니라 이 특허청구의 범위와 균등한 것들에 의해 정해져야 한다.

기기로 읽을 수 있는 저장매체는, 비일시적(non-transitory) 저장매체의 형태로 제공될 수 있다. 여기서, '비일시적 저장매체'는 실재(tangible)하는 장치이고, 신호(signal)(예: 전자기파)를 포함하지 않는다는 것을 의미할 뿐이며, 이 용어는 데이터가 저장매체에 반영구적으로 저장되는 경우와 임시적으로 저장되는 경우를 구분하지 않는다. 예로, '비일시적 저장매체'는 데이터가 임시적으로 저장되는 버퍼를 포함할 수 있다.

일 실시예에 따르면, 본 문서에 개시된 다양한 실시예들에 따른 방법은 컴퓨터 프로그램 제품(computer program product)에 포함되어 제공될 수 있다. 컴퓨터 프로그램 제품은 상품으로서 판매자 및 구매자 간에 거래될 수 있다. 컴퓨터 프로그램 제품은 기기로 읽을 수 있는 저장 매체(예: compact disc read only memory (CD-ROM))의 형태로 배포되거나, 또는 어플리케이션 스토어를 통해 또는 두개의 사용자 장치들(예: 스마트폰들) 간에 직접, 온라인으로 배포(예: 다운로드 또는 업로드)될 수 있다. 온라인 배포의 경우에, 컴퓨터 프로그램 제품(예: 다운로더블 앱(downloadable app))의 적어도 일부는 제조사의 서버, 어플리케이션 스토어의 서버, 또는 중계 서버의 메모리와 같은 기기로 읽을 수 있는 저장 매체에 적어도 일시 저장되거나, 임시적으로 생성될 수 있다.

Claims

무선 네트워크 시스템에서 기지국이 동작하는 방법에 있어서,
상기 기지국의 보호 키 생성 정보를 식별하는 단계;
상기 기지국에 포함된 CU (Central Unit)-CP (Control Plane) 또는 CU-UP (User Plane) 에 의해, 상기 기지국의 보호 키 생성 정보에 기초하여, 사용자 평면에서 송수신되는 적어도 하나의 데이터 또는 시그널링의 무결성 보호를 위한 제1 보호 키, 또는 암호화 및 복호화를 위한 제2 보호 키 중 적어도 하나를 포함하는 사용자 평면 보호 키를 생성하는 단계;
상기 사용자 평면 보호 키를 생성하기 위한 단말의 보호 키 생성 정보를 상기 단말로 전송하는 단계; 및
상기 단말과 상기 사용자 평면에서 송수신되는 적어도 하나의 데이터 또는 시그널링에 대해 상기 사용자 평면 보호 키를 적용하는 단계;를 포함하는, 방법.
제1항에 있어서,
상기 기지국의 보호 키 생성 정보는, 루트 키, 상기 사용자 평면 보호 키의 종류를 지시하는 알고리즘 타입 구별자, 상기 보호 키를 생성하기 위한 알고리즘의 식별 정보, 또는 상기 사용자 평면 보호 키의 식별 정보 중 적어도 하나를 포함하고,
상기 사용자 평면 보호 키의 식별 정보는, 상기 보호 키의 인덱스 값, 랜덤 값, PDU (Protocol Data Unit) 세션의 식별 정보, DRB (Data Radio Bearer)의 정보, 또는 상기 CU-UP의 식별 정보 중 적어도 하나를 포함하는, 방법.
제1항에 있어서,
상기 기지국의 보호 키 생성 정보에 기초하여, 상기 단말의 보호 키 생성 정보를 생성하는 단계;를 더 포함하고,
상기 단말의 보호 키 생성 정보는, 루트 키, 상기 사용자 평면 보호 키의 종류를 지시하는 알고리즘 타입 구별자, 상기 보호 키를 생성하기 위한 알고리즘의 식별 정보, 또는 상기 사용자 평면 보호 키의 식별 정보 중 적어도 하나를 포함하는, 방법.
제1항에 있어서, 상기 기지국의 보호 키 생성 정보에 기초하여, 상기 사용자 평면 보호 키를 생성하는 단계는,
상기 기지국의 보호 키 생성 정보에 기초하여, 상기 CU-CP에 의해, 상기 사용자 평면 보호 키를 생성하는 단계; 및
상기 CU-CP에 의해, 상기 사용자 평면 보호 키를 상기 CU-UP로 전송하는 단계;를 포함하는, 방법.
제1항에 있어서, 상기 기지국의 보호 키 생성 정보에 기초하여, 상기 사용자 평면 보호 키를 생성하는 단계는,
상기 CU-CP에 의해, 상기 기지국의 보호 키 생성 정보를 상기 CU-UP로 전송하는 단계; 및
상기 CU-UP에 의해, 상기 기지국의 보호 키 생성 정보에 기초하여 상기 사용자 평면 보호 키를 생성하는 단계;를 포함하는, 방법.
제1항에 있어서,
상기 단말로부터 PDU 세션 설정 요청을 수신하는 단계; 및
상기 단말로, 상기 PDU 세션 설정 요청에 기초하여, PDU 세션 설정 응답을 전송하는 단계;를 더 포함하고,
상기 기지국의 보호 키 생성 정보는, 상기 PDU 세션 설정 요청, 기지국 설정 정보, 또는 PDU 세션에 대한 정보 중 적어도 하나에 기초하여 식별되고,
상기 PDU 세션 설정 응답은 상기 단말의 보호 키 생성 정보를 포함하는, 방법.
무선 네트워크 시스템에서 단말이 동작하는 방법에 있어서,
기지국으로부터, 상기 기지국에 의해 기지국의 보호 키 생성 정보에 기초하여 생성된 사용자 평면 보호 키를 생성하기 위한 상기 단말의 보호 키 생성 정보를 수신하는 단계;
상기 단말의 보호 키 생성 정보에 기초하여, 사용자 평면에서 송수신되는 적어도 하나의 데이터 또는 시그널링의 무결성 보호를 위한 제1 보호 키, 또는 암호화 및 복호화를 위한 제2 보호 키 중 적어도 하나를 포함하는 상기 사용자 평면 보호 키를 생성하는 단계; 및
상기 기지국과 상기 사용자 평면에서 송수신되는 적어도 하나의 데이터 또는 시그널링에 대해 상기 사용자 평면 보호 키를 적용하는 단계;를 포함하는, 방법.
제7항에 있어서,
상기 기지국의 보호 키 생성 정보는, 루트 키, 상기 사용자 평면 보호 키의 종류를 지시하는 알고리즘 타입 구별자, 상기 보호 키를 생성하기 위한 알고리즘의 식별 정보, 또는 상기 사용자 평면 보호 키의 식별 정보 중 적어도 하나를 포함하는, 방법.
제7항에 있어서,
상기 단말의 보호 키 생성 정보는, 상기 기지국의 보호 키 생성 정보에 기초하여 생성되고,
상기 단말의 보호 키 생성 정보는, 루트 키, 상기 사용자 평면 보호 키의 종류를 지시하는 알고리즘 타입 구별자, 상기 보호 키를 생성하기 위한 알고리즘의 식별 정보, 또는 상기 사용자 평면 보호 키의 식별 정보 중 적어도 하나를 포함하고,
상기 사용자 평면 보호 키의 식별 정보는, 상기 보호 키의 인덱스 값, 랜덤 값, PDU (Protocol Data Unit) 세션의 식별 정보, DRB (Data Radio Bearer)의 정보, 또는 상기 CU-UP의 식별 정보 중 적어도 하나를 포함하는, 방법.
제7항에 있어서,
상기 기지국에 의해 생성된 사용자 평면 보호 키는, 상기 기지국에 포함된 CU (Central Unit)-CP (Control Plane)에 의해, 상기 기지국의 보호 키 생성 정보에 기초하여 생성되고,
상기 기지국에 포함된 CU-UP (User Plane)로 전송되는, 방법.
제7항에 있어서,
상기 기지국에 포함된 CU-CP에 의해, 상기 기지국의 보호 키 생성 정보가 상기 기지국에 포함된 CU-UP로 전송되고,
상기 기지국에 의해 생성된 사용자 평면 보호 키는, 상기 CU-UP에 의해, 상기 기지국의 보호 키 생성 정보에 기초하여 생성되는, 방법.
제7항에 있어서,
상기 기지국으로 PDU 세션 설정 요청을 전송하는 단계; 및
상기 기지국으로부터, 상기 PDU 세션 설정 요청에 기초하여, PDU 세션 설정 응답을 수신하는 단계;를 더 포함하고,
상기 기지국의 보호 키 생성 정보는, 상기 PDU 세션 설정 요청, 기지국 설정 정보, 또는 상기 PDU 세션에 대한 정보 중 적어도 하나에 기초하여 식별되고,
상기 PDU 세션 설정 응답은 상기 단말의 보호 키 생성 정보를 포함하는, 방법.
무선 네트워크 시스템에서 동작하는 기지국에 있어서,
송수신부; 및
적어도 하나의 프로세서;를 포함하고,
상기 적어도 하나의 프로세서는,
상기 기지국의 보호 키 생성 정보를 식별하고,
상기 기지국에 포함된 CU (Central Unit)-CP (Control Plane) 또는 CU-UP (User Plane) 에 의해, 상기 기지국의 보호 키 생성 정보에 기초하여, 사용자 평면에서 송수신되는 적어도 하나의 데이터 또는 시그널링의 무결성 보호를 위한 제1 보호 키, 또는 암호화 및 복호화를 위한 제2 보호 키 중 적어도 하나를 포함하는 사용자 평면 보호 키를 생성하고,
상기 사용자 평면 보호 키를 생성하기 위한 단말의 보호 키 생성 정보를 상기 단말로 전송하고,
상기 단말과 상기 사용자 평면에서 송수신되는 적어도 하나의 데이터 또는 시그널링에 대해 상기 사용자 평면 보호 키를 적용하는, 기지국.
제13항에 있어서,
상기 기지국의 보호 키 생성 정보는, 루트 키, 상기 사용자 평면 보호 키의 종류를 지시하는 알고리즘 타입 구별자, 상기 보호 키를 생성하기 위한 알고리즘의 식별 정보, 또는 상기 사용자 평면 보호 키의 식별 정보 중 적어도 하나를 포함하고,
상기 사용자 평면 보호 키의 식별 정보는, 상기 보호 키의 인덱스 값, 랜덤 값, PDU (Protocol Data Unit) 세션의 식별 정보, DRB (Data Radio Bearer)의 정보, 또는 상기 CU-UP의 식별 정보 중 적어도 하나를 포함하는, 기지국.
제13항에 있어서,
상기 적어도 하나의 프로세서는, 상기 기지국의 보호 키 생성 정보에 기초하여, 상기 단말의 보호 키 생성 정보를 생성하고,
상기 단말의 보호 키 생성 정보는, 루트 키, 상기 사용자 평면 보호 키의 종류를 지시하는 알고리즘 타입 구별자, 상기 보호 키를 생성하기 위한 알고리즘의 식별 정보, 또는 상기 사용자 평면 보호 키의 식별 정보 중 적어도 하나를 포함하는, 방법.
제13항에 있어서, 상기 적어도 하나의 프로세서는,
상기 기지국의 보호 키 생성 정보에 기초하여, 상기 CU-CP에 의해, 상기 사용자 평면 보호 키를 생성하고,
상기 CU-CP에 의해, 상기 사용자 평면 보호 키를 상기 CU-UP로 전송하는, 기지국.
제13항에 있어서, 상기 적어도 하나의 프로세서는,
상기 CU-CP에 의해, 상기 기지국의 보호 키 생성 정보를 상기 CU-UP로 전송하고,
상기 상기 CU-UP에 의해, 상기 기지국의 보호 키 생성 정보에 기초하여 상기 사용자 평면 보호 키를 생성하는, 기지국.
제13항에 있어서, 상기 적어도 하나의 프로세서는,
상기 단말로부터 PDU 세션 설정 요청을 수신하고,
상기 단말로, 상기 PDU 세션 설정 요청에 기초하여, PDU 세션 설정 응답을 전송하고,
상기 기지국의 보호 키 생성 정보는, 상기 PDU 세션 설정 요청, 기지국 설정 정보, 또는 상기 PDU 세션에 대한 정보 중 적어도 하나에 기초하여 식별되고,
상기 PDU 세션 설정 응답은 상기 단말의 보호 키 생성 정보를 포함하는, 방법.
무선 네트워크 시스템에서 동작하는 단말에 있어서,
송수신부; 및
적어도 하나의 프로세서;를 포함하고,
상기 적어도 하나의 프로세서는,
기지국으로부터 상기 기지국에 의해 기지국의 보호 키 생성 정보에 기초하여 생성된 사용자 평면 보호 키를 생성하기 위한 상기 단말의 보호 키 생성 정보를 수신하고,
상기 단말의 보호 키 생성 정보에 기초하여, 사용자 평면에서 송수신되는 적어도 하나의 데이터 또는 시그널링의 무결성 보호를 위한 제1 보호 키, 또는 암호화 및 복호화를 위한 제2 보호 키 중 적어도 하나를 포함하는 상기 사용자 평면 보호 키를 생성하고,
상기 기지국과 상기 사용자 평면에서 송수신되는 적어도 하나의 데이터 또는 시그널링에 대해 상기 사용자 평면 보호 키를 적용하는, 단말.
제19항에 있어서,
상기 단말의 보호 키 생성 정보는, 상기 기지국의 보호 키 생성 정보에 기초하여 생성되고,
상기 단말의 보호 키 생성 정보는, 루트 키, 상기 사용자 평면 보호 키의 종류를 지시하는 알고리즘 타입 구별자, 상기 보호 키를 생성하기 위한 알고리즘의 식별 정보, 또는 상기 사용자 평면 보호 키의 식별 정보 중 적어도 하나를 포함하고,
상기 사용자 평면 보호 키의 식별 정보는, 상기 보호 키의 인덱스 값, 랜덤 값, PDU (Protocol Data Unit) 세션의 식별 정보, DRB (Data Radio Bearer)의 정보, 또는 상기 CU-UP의 식별 정보 중 적어도 하나를 포함하는, 단말.