KR20230032337A - Apparatus and method for MAC secure communication in mobile communication system - Google Patents

Apparatus and method for MAC secure communication in mobile communication system Download PDF

Info

Publication number
KR20230032337A
KR20230032337A KR1020210115079A KR20210115079A KR20230032337A KR 20230032337 A KR20230032337 A KR 20230032337A KR 1020210115079 A KR1020210115079 A KR 1020210115079A KR 20210115079 A KR20210115079 A KR 20210115079A KR 20230032337 A KR20230032337 A KR 20230032337A
Authority
KR
South Korea
Prior art keywords
authentication
mac
user
user device
supporting
Prior art date
Application number
KR1020210115079A
Other languages
Korean (ko)
Inventor
차정환
김일용
신태영
이진근
임규태
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020210115079A priority Critical patent/KR20230032337A/en
Publication of KR20230032337A publication Critical patent/KR20230032337A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0485Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Abstract

An apparatus and method for providing Media Access Control (MAC) secure communication in a mobile communication system supporting Ethernet-type data such as a 5G mobile communication system are disclosed. According to one aspect, a control plane function device supporting MAC secure communication in a mobile communication system supporting Ethernet type data comprises: a communication interface connected with the subscriber management device and a user plane function device and connected with a user device via an access network; a memory to store instructions; and at least one processor connected to the memory and the communication interface. The at least one processor executes the instructions so that upon receiving a session establishment request from the user device, authentication for the user device is performed, a master key obtained as a result of authentication is transmitted to the user device and shared, and the session key generated by performing session key agreement with the user device is transmitted and shared to the user plane function device that supports MAC secure communication.

Description

이동통신시스템에서 MAC 보안 통신을 위한 장치 및 방법{Apparatus and method for MAC secure communication in mobile communication system}Apparatus and method for MAC secure communication in mobile communication system

본 발명은 이동통신시스템에서의 보안 통신을 위한 장치 및 방법에 관한 것으로, 보다 구체적으로 5G 이동통신시스템에서 MAC(Media Access Control) 보안 통신을 위한 장치 및 방법에 관한 것이다. The present invention relates to an apparatus and method for secure communication in a mobile communication system, and more particularly to an apparatus and method for MAC (Media Access Control) secure communication in a 5G mobile communication system.

기존의 이동통신 표준에서는 IP 타입의 PDU(Protocal Data Unit)만 지원했기 때문에, 필드버스 프로토콜이나 산업용 이더넷이 주로 활용되는 산업용 네트워크 분야에 이동통신 기술을 적용하기가 어려웠다. 5G 이동통신기술에서는 스마트 팩토리와 같은 산업계의 다양한 요구사항을 만족하기 위하여 기존의 IP(Internet Protocl) 타입(Type) 뿐만 아니라 Ethernet 타입과 Unstructured 타입과 같은 다양한 형태의 데이터 타입을 지원한다. Since existing mobile communication standards supported only IP-type PDU (Protocal Data Unit), it was difficult to apply mobile communication technology to industrial networks where fieldbus protocols or industrial Ethernet are mainly used. In 5G mobile communication technology, various types of data such as Ethernet type and unstructured type are supported as well as the existing IP (Internet Protocol) type in order to satisfy various requirements of the industry such as smart factory.

이와 같이, 5G 이동통신 표준에서 Ethernet 타입이 새로 지원됨으로써 5G 통신 채널 영역과 데이터 네트워크 영역까지 L2 Ethernet 트래픽을 유통시킬 수 있게 되었고, 이는 5G 이동통신 기술이 산업용 통신 분야에 진출할 수 있는 계기가 되었다. 산업용 네트워크 환경에서는 보안이 가장 큰 요구사항 중 하나이다. 산업 시설 내 설비들의 데이터들은 기업의 기밀 및 안정성 등과 직접적인 연관을 갖기 때문이다. 이러한 보안 요구사항을 만족시키기 위해, IEEE 802.1AE 표준에 정의되어 있는 MAC(Media Access Control) 보안 통신 기술, 즉 MACsec를 고려할 수 있다. 하지만 MACsec은 이동통신 환경을 고려되어 설계되지 않아 이를 바로 5G 이동통신시스템에 적용하기에 어려움이 있다. As such, the newly supported Ethernet type in the 5G mobile communication standard made it possible to distribute L2 Ethernet traffic to the 5G communication channel area and data network area, which served as an opportunity for 5G mobile communication technology to enter the industrial communication field. . Security is one of the biggest requirements in an industrial network environment. This is because the data of facilities in industrial facilities are directly related to the confidentiality and stability of the company. To satisfy these security requirements, Media Access Control (MAC) security communication technology defined in the IEEE 802.1AE standard, that is, MACsec, may be considered. However, since MACsec is not designed in consideration of the mobile communication environment, it is difficult to apply it directly to the 5G mobile communication system.

본 발명은 상술한 문제점을 해결하기 위해 제한된 것으로, 5G 이동통신시스템 등의 이더넷 타입의 데이터를 지원하는 이동통신시스템에서 MAC(Media Access Control) 보안 통신을 제공하기 위한 장치 및 방법을 제공하는데 그 목적이 있다.The present invention is limited to solve the above problems, and the purpose of the present invention is to provide an apparatus and method for providing MAC (Media Access Control) secure communication in a mobile communication system supporting Ethernet type data such as a 5G mobile communication system. there is

일 측면에 따른, 이더넷 타입의 데이터를 지원하는 이동통신시스템에서 MAC(Media Access Control) 보안 통신을 지원하는 제어 평면 기능 장치는, 가입자 관리 장치 및, 사용자 평면 기능 장치와 연결되고, 또한 액세스 네트워크를 통해 사용자 장치와 연결되는 통신 인터페이스; 명령들을 저장하는 메모리; 및 상기 메모리 및 상기 통신 인터페이스와 연결된 적어도 하나의 프로세서를 포함하고, 상기 적어도 하나의 프로세서는, 상기 명령들을 실행하여, 상기 사용자 장치로부터 세션 설립 요청을 수신함에 따라, 상기 사용자 장치에 대한 인증을 수행하고, 인증 결과로 획득된 마스터 키를 상기 사용자 장치로 전송하여 공유하며, 상기 사용자 장치와 세션 키 합의를 수행하여 생성한 세션 키를 MAC 보안 통신을 지원하는 사용자 평면 기능 장치로 전송하여 공유한다.According to one aspect, a control plane function device supporting MAC (Media Access Control) secure communication in a mobile communication system supporting Ethernet type data is connected to a subscriber management device and a user plane function device, and also provides an access network. a communication interface connected to a user device through; memory to store instructions; and at least one processor connected to the memory and the communication interface, wherein the at least one processor executes the commands to perform authentication of the user device upon receiving a session establishment request from the user device. and transmits and shares the master key obtained as a result of authentication to the user device, and transmits and shares the session key generated by performing a session key agreement with the user device to a user plane function device supporting secure MAC communication.

상기 적어도 하나의 프로세서는, 상기 세션 설립 요청의 수신시, 상기 MAC 보안 통신을 지원하는 사용자 평면 기능 장치를 선택하여 상기 사용자 장치에 대한 인증을 수행할 수 있다.Upon reception of the session establishment request, the at least one processor may select a user plane function device supporting the secure MAC communication and perform authentication of the user device.

상기 적어도 하나의 프로세서는, 상기 세션 설립 요청의 수신시, MAC 보안 통신을 미지원하는 사용자 평면 기능 장치를 선택하여 상기 사용자 장치에 대한 인증을 수행하고, 인증 완료 후, 상기 MAC 보안 통신을 지원하는 사용자 평면 기능 장치를 선택하여 상기 세션 키를 공유할 수 있다.Upon reception of the session establishment request, the at least one processor selects a user plane function device that does not support MAC secure communication, performs authentication on the user device, and after authentication is completed, the user supporting the MAC secure communication. Select flat function devices can share the session key.

상기 적어도 하나의 프로세서는, 상기 MAC 보안 통신을 지원하는 사용자 평면 기능 장치로, 상기 세션 키를 포함하는 세션 수정 메시지를 전송함으로써 상기 세션 키를 공유할 수 있다.The at least one processor may share the session key by transmitting a session modification message including the session key to a user plane function device supporting the MAC secure communication.

상기 적어도 하나의 프로세서는, 상기 사용자 장치와 인증 절차를 수행한 AAA(authentication, authorization and accounting)로부터 상기 마스터 키를 수신할 수 있다.The at least one processor may receive the master key from an authentication, authorization and accounting (AAA) that has performed an authentication procedure with the user device.

상기 적어도 하나의 프로세서는, 상기 가입자 관리 장치로부터 상기 사용자 장치의 MAC 보안 통신에 대한 청약 정보를 수신하여 상기 사용자 장치의 MAC 보안 통신 가입 및 지원 여부를 확인할 수 있다.The at least one processor may receive subscription information for the MAC secure communication of the user device from the subscriber management device to determine whether the user device subscribes to and supports the MAC secure communication.

다른 측면에 따른, 이더넷 타입의 데이터를 지원하는 이동통신시스템의 제어 평면 기능 장치에서 MAC(Media Access Control) 보안 통신을 지원하는 방법은, 상기 사용자 장치에 대한 인증을 수행하는 단계; 인증 결과로 획득된 마스터 키를 상기 사용자 장치로 전송하여 공유하는 단계; 및 상기 사용자 장치와 세션 키 합의를 수행하여 생성한 세션 키를 MAC 보안 통신을 지원하는 사용자 평면 기능 장치로 전송하여 공유하는 단계를 포함한다.According to another aspect, a method for supporting Media Access Control (MAC) secure communication in a control plane functional device of a mobile communication system supporting Ethernet type data includes performing authentication on the user device; transmitting and sharing the master key obtained as a result of authentication to the user device; and transmitting and sharing the session key generated by performing session key agreement with the user device to a user plane functional device supporting MAC secure communication.

상기 인증을 수행하는 단계는, 상기 MAC 보안 통신을 지원하는 사용자 평면 기능 장치를 선택하여 상기 사용자 장치에 대한 인증을 수행할 수 있다.In the performing of the authentication, authentication of the user device may be performed by selecting a user plane function device supporting the MAC security communication.

상기 인증을 수행하는 단계는, MAC 보안 통신을 미지원하는 사용자 평면 기능 장치를 선택하여 상기 사용자 장치에 대한 인증을 수행하고, 상기 방법은, 상기 세션 키를 MAC 보안 통신을 지원하는 사용자 평면 기능 장치로 전송하여 공유하는 단계 이전에, 상기 MAC 보안 통신을 지원하는 사용자 평면 기능 장치를 선택하여 세션을 설립하는 단계를 더 포함할 수 있다.In the performing of the authentication, authentication of the user device is performed by selecting a user plane function device that does not support MAC secure communication, and the method transmits the session key to a user plane function device that supports MAC secure communication. Prior to the transmitting and sharing, a step of establishing a session by selecting a user plane functional device supporting the secure MAC communication may be further included.

상기 세션 키를 MAC 보안 통신을 지원하는 사용자 평면 기능 장치로 전송하여 공유하는 단계는, 상기 MAC 보안 통신을 지원하는 사용자 평면 기능 장치로, 상기 세션 키를 포함하는 세션 수정 메시지를 전송함으로써 상기 세션 키를 공유할 수 있다.The step of transmitting and sharing the session key to a user plane function device supporting MAC security communication may include transmitting a session modification message including the session key to the user plane function device supporting MAC security communication, thereby transmitting the session key to the user plane function device supporting MAC security communication. can share.

상기 마스터 키는, 상기 사용자 장치와 인증 절차를 수행한 AAA(authentication, authorization and accounting)로부터 수신될 수 있다.The master key may be received from an authentication, authorization and accounting (AAA) that has performed an authentication procedure with the user device.

상기 인증을 수행하는 단계는, 상기 가입자 관리 장치로부터 상기 사용자 장치의 MAC 보안 통신에 대한 청약 정보를 수신하여 상기 사용자 장치의 MAC 보안 통신 가입 및 지원 여부를 확인하는 단계를 포함할 수 있다.The performing of the authentication may include receiving subscription information for MAC secure communication of the user device from the subscriber management device and checking whether the user device subscribes to and supports MAC secure communication.

본 발명에 따르면, 5G 이동통신시스템 등의 이더넷 타입의 데이터를 지원하는 이동통신시스템의 L2 이더넷 PDU 세션에 대한 암호화를 제공할 수 있게 되어 보안에 민감한 여러 스마트 팩토리 등 산업용 네트워크 시장에 5G 등의 이더넷 타입의 데이터를 지원하는 이동통신기술이 적용될 수 있도록 한다.According to the present invention, it is possible to provide encryption for the L2 Ethernet PDU session of a mobile communication system that supports Ethernet type data such as a 5G mobile communication system, thereby enabling Ethernet such as 5G in the industrial network market such as various smart factories sensitive to security. Mobile communication technology that supports this type of data can be applied.

도 1은 본 발명의 일 실시예에 따른 5G 이동통신시스템의 아키텍처를 나타낸 블록도이다.
도 2는 본 발명의 일 실시예에 따른 이동통신시스템에서 MAC 보안 통신을 위한 방법을 설명하는 흐름도이다.
도 3은 본 발명의 다른 실시예에 따른 이동통신시스템에서 MAC 보안 통신을 위한 방법을 설명하는 흐름도이다.
도 4는 본 발명의 일 실시예에 따른 이동통신시스템의 네트워크 노드의 하드웨어 구성도이다.1 is a block diagram showing the architecture of a 5G mobile communication system according to an embodiment of the present invention.
2 is a flowchart illustrating a method for secure MAC communication in a mobile communication system according to an embodiment of the present invention.
3 is a flowchart illustrating a method for secure MAC communication in a mobile communication system according to another embodiment of the present invention.
4 is a hardware configuration diagram of a network node of a mobile communication system according to an embodiment of the present invention.

이하, 첨부된 도면을 참조하여 본 명세서에 개시된 실시예를 상세히 설명하되, 도면 부호에 관계없이 동일하거나 유사한 구성요소는 동일한 참조 번호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다. 본 명세서에 개시된 실시예를 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 명세서에 개시된 실시예의 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다. 또한, 첨부된 도면은 본 명세서에 개시된 실시예를 쉽게 이해할 수 있도록 하기 위한 것일 뿐, 첨부된 도면에 의해 본 명세서에 개시된 기술적 사상이 제한되지 않으며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.Hereinafter, the embodiments disclosed in this specification will be described in detail with reference to the accompanying drawings, but the same or similar components are given the same reference numerals regardless of reference numerals, and redundant description thereof will be omitted. In describing the embodiments disclosed in this specification, if it is determined that a detailed description of a related known technology may obscure the gist of the embodiment disclosed in this specification, the detailed description thereof will be omitted. In addition, the accompanying drawings are only for easy understanding of the embodiments disclosed in this specification, the technical idea disclosed in this specification is not limited by the accompanying drawings, and all changes included in the spirit and technical scope of the present invention , it should be understood to include equivalents or substitutes.

단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함한다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.Singular expressions include plural expressions unless the context clearly dictates otherwise. In this application, terms such as "comprise" or "have" are intended to designate that there is a feature, number, step, operation, component, part, or combination thereof described in the specification, but one or more other features It should be understood that the presence or addition of numbers, steps, operations, components, parts, or combinations thereof is not precluded.

본 발명을 구현함에 있어서 설명의 편의를 위하여 구성요소를 세분화하여 설명할 수 있으나, 이들 구성요소가 하나의 장치 또는 모듈 내에 구현될 수도 있고, 혹은 하나의 구성요소가 다수의 장치 또는 모듈들에 나뉘어져서 구현될 수도 있다. In implementing the present invention, components may be subdivided for convenience of description, but these components may be implemented in one device or module, or one component may be divided into multiple devices or modules may be implemented in

도 1은 본 발명의 일 실시예에 따른 5G 이동통신시스템의 아키텍처를 나타낸 블록도이다. 도 1을 참조하면, 본 실시예에 따른 5G 이동통신시스템의 아키텍처는 다양한 구성요소들(즉, 네트워크 기능(Network Function, NF)들)을 포함할 수 있으나, 도 1은 그 중에서 MAC(Media Access Control) 보안 통신, 즉 MACsec를 제공하기 위한 구성요소들만을 도시한다. 1 is a block diagram showing the architecture of a 5G mobile communication system according to an embodiment of the present invention. Referring to FIG. 1, the architecture of the 5G mobile communication system according to this embodiment may include various components (ie, Network Functions (NFs)), but FIG. 1 shows Media Access (MAC) among them. Control) shows only components for providing secure communication, that is, MACsec.

도 1을 참조하면, MACsec를 제공하기 위한 5G 이동통신시스템은, 사용자 장치(UE: User Equipment)(110), 무선 액세스 네트워크(RAN: Radio Access Network)(120), 세션 관리 기능(SMF: Session Management Function)(130), 통합 데이터 관리(UDM: Unified Data Management)(140), 사용자 평면 기능(UPF: User plane Function)(150), 인증 서버(AAA: authentication, authorization and accounting)(160)를 포함한다.Referring to FIG. 1, a 5G mobile communication system for providing MACsec includes a user equipment (UE) 110, a radio access network (RAN) 120, a session management function (SMF: Session Management Function (130), Unified Data Management (UDM) (140), User Plane Function (UPF) (150), and Authentication Server (AAA: authentication, authorization and accounting) (160). include

UE(110)는, 고정되거나 이동성을 가질 수 있으며, 단말(Terminal), MS(Mobile Station), UT(user terminal), MSS(Mobile Subscriber Station), SS(Subscriber Station), AMS(Advanced Mobile Station), WT(Wireless terminal), MTC(Machine-Type Communication) 장치, M2M(Machine-to-Machine) 장치, D2D(Device-to-Device) 장치 등의 용어로 대체될 수 있다. The UE 110 may be fixed or mobile, and may include a terminal, a mobile station (MS), a user terminal (UT), a mobile subscriber station (MSS), a subscriber station (SS), and an advanced mobile station (AMS). , wireless terminal (WT), machine-type communication (MTC) device, machine-to-machine (M2M) device, device-to-device (D2D) device, and the like.

UE(110)는 MACsec를 지원하는 사용자 장치로서, MACsec를 지원하는 SMF의 APN(Access Point Name)이 설정되어 있고, 해당 SMF의 APN을 이용하여 이더넷 타입의 PDU 세션 설립 요청(Session Establishment Request)를 전송한다. PDU 세션 설립 요청은, NAS(Non Access Stratum) 메시지를 통해 전송되며, 이하에서 설명하는 2차 인증을 위한 식별정보인 DN-Specific ID(NAI(Network Access Identity) 포맷 EAP(Extensible Authentication Protocol) 크리덴셜)를 포함한다. The UE 110 is a user device that supports MACsec, has an Access Point Name (APN) of an SMF that supports MACsec set, and sends an Ethernet-type PDU session establishment request (Session Establishment Request) using the APN of the corresponding SMF. send. The PDU session establishment request is transmitted through a NAS (Non Access Stratum) message, and the DN-Specific ID (NAI (Network Access Identity) format EAP (Extensible Authentication Protocol) credential, which is identification information for secondary authentication described below ).

RAN(120)은, 무선 액세스 네트워크로써, 5G 코어 네트워크에 접속하기 위한 무선 채널을 제공할 수 있다. RAN(120)은 같은 기지국(예, gNodeB)을 통해 UE(110)에게 무선 접속을 제공할 수 있다. 기지국은 UE(110)에게 무선 접속을 제공하는 네트워크 인프라스트럭쳐(infrastructure)이다. 기지국은, 신호를 송신할 수 있는 거리에 기초하여 일정한 지리적 영역으로 정의되는 커버리지(coverage)를 가진다. The RAN 120, as a radio access network, may provide a radio channel for accessing the 5G core network. The RAN 120 may provide radio access to the UE 110 through the same base station (eg, gNodeB). A base station is a network infrastructure that provides wireless access to UEs 110 . A base station has coverage defined as a certain geographical area based on a distance over which a signal can be transmitted.

UDM(140)은, 가입자 정보 관리 장치로서, UE(110)의 가입자 정보를 저장 및 관리하고, UE(110)의 위치 등록, 가입자 인증 등을 수행한다. 본 실시예에서, UDM(140)은, MACsec를 이용하는 가입자의 청약 정보를 저장하고, SMF(130)로부터의 요청시 가입자의 MACsec 청약 정보를 SMF(130)로 회신한다. 여기서 MACsec 청약 정보는, UE(110)의 MACsec 가입 및 지원 여부 정보를 포함한다. The UDM 140, as a subscriber information management device, stores and manages subscriber information of the UE 110, performs location registration of the UE 110, subscriber authentication, and the like. In this embodiment, the UDM 140 stores subscription information of subscribers using MACsec, and returns MACsec subscription information of subscribers to the SMF 130 upon request from the SMF 130 . Here, the MACsec subscription information includes MACsec subscription and support information of the UE 110 .

본 실시예에서, IEEE 802.1AE 표준에 정의되어 있어 있는 인증자(Authenticator)의 제어 평면(Control Plane)과 데이터 평면(Data Plane) 기능을 분리하여, 상기 제어 평면의 기능을 SMF(130)이 담당하고 상기 데이터 평면의 기능을 UFP(150)가 담당한다. 5G 이동통신시스템에는 다수의 SMF와 다수의 UPF를 포함하고, 이중 일부의 SMF(130)와 UPF(150)가 MACsec를 지원하도록 설계된다. MACsec를 지원하는 SMF(130)는, MACsec 표준의 인증자(Authenticator)의 마스터 키 분배(Master Key Distribution) 및 세션 키 합의(Session Key Agreement)를 수행하고, MACsec를 지원하는 UPF(150)는 MACsec를 지원하는 SMF(130)로부터 수신된 세션 키를 기반으로 UE(110)와 MACsec 보안 세션을 수립한다. 이하에서 보다 자세히 설명한다.In this embodiment, the control plane and data plane functions of the authenticator defined in the IEEE 802.1AE standard are separated, and the SMF 130 is in charge of the control plane function. And the function of the data plane is in charge of the UFP (150). The 5G mobile communication system includes a plurality of SMFs and a plurality of UPFs, and some of the SMFs 130 and UPFs 150 are designed to support MACsec. The SMF (130) supporting MACsec performs Master Key Distribution and Session Key Agreement of the Authenticator of the MACsec standard, and the UPF (150) supporting MACsec performs MACsec standard authentication. Based on the session key received from the SMF 130 supporting the UE 110 and MACsec security session is established. It is explained in more detail below.

SMF(130)는, 일반적으로 세션 관리 기능을 제공한다. 구체적으로, SMF(130)는 세션 관리, UE IP 주소 할당 및 관리, UPF 기능의 선택 및 제어, UPF에서 트래픽을 적절한 목적지로 라우팅하기 위한 트래픽 스티어링(traffic steering) 설정, 정책 제어 기능(Policy control functions)를 향한 인터페이스의 종단, 정책 및 QoS의 제어 부분 시행, 로밍 기능 등의 기능을 지원할 수 있다.SMF 130 generally provides session management functions. Specifically, the SMF 130 includes session management, UE IP address allocation and management, selection and control of UPF functions, traffic steering settings for routing traffic to appropriate destinations in UPF, and policy control functions. ), implementation of policy and control part of QoS, and roaming function.

MACsec를 지원하는 SMF(130)는, UE(110)로부터 이더넷 타입의 PDU 세션 설립 요청를 수신하면, UDM(140)으로 UE(110)의 청약 정보를 요청하여 수신하고, 수신된 청약 정보를 기반으로 UE(110)의 MACsec 가입 및 지원 여부를 1차 인증한다. SMF(130)는, UE(110)에 MACsec를 제공해야 한다면, MACsec를 지원하는 UPF(150)를 선택하고 해당 UPF(150)와 N4 세션을 설립한 후 AAA(160)와 3GPP 표준 및 MACsec 표준의 인증 절차에 따라 2차 인증을 수행한다. When receiving an Ethernet-type PDU session establishment request from the UE 110, the SMF 130 supporting MACsec requests and receives subscription information of the UE 110 from the UDM 140, and based on the received subscription information Primary authentication is performed whether the UE 110 subscribes to MACsec and supports it. If the SMF 130 needs to provide MACsec to the UE 110, it selects a UPF 150 that supports MACsec, establishes an N4 session with the corresponding UPF 150, and then connects the AAA 160 with the 3GPP standard and the MACsec standard. Perform secondary authentication according to the authentication procedure of

구체적으로, SMF(130)는, 인증/인가 요청(Authentication/Authorization Request)를 AAA(160)로 전송하고, 이에 따라 AAA(160)와 UE(110)는 SMF(130)를 통해 EAP 인증을 수행한다. 예를 들어, EAP 인증으로서, PEAP(Protected Extensible Authentication Protocol), EAP-TLS(Extensible Authentication Protocol Transport Layer Security) 등이 수행될 수 있다. SMF(130)는, AAA(160)와 UE(110) 간의 EAP 인증이 성공하면, AAA(160)로부터 마스터 키인 연결 연관키(CAK: Connectivity Association Key)를 포함하는 인증/인가 응답(Authentication/Authorization Response)를 수신한다. 그리고 SMF(130)는 상기 CAK를 포함하는 PDU 세션 설립 응답(Session Establishment Respone)를 UE(110)로 전송한다.Specifically, the SMF 130 transmits an Authentication/Authorization Request to the AAA 160, and accordingly, the AAA 160 and the UE 110 perform EAP authentication through the SMF 130. do. For example, as EAP authentication, Protected Extensible Authentication Protocol (PEAP), Extensible Authentication Protocol Transport Layer Security (EAP-TLS), and the like may be performed. When the EAP authentication between the AAA 160 and the UE 110 succeeds, the SMF 130 sends an authentication/authorization response including a Connectivity Association Key (CAK), which is a master key, from the AAA 160. Response) is received. In addition, the SMF 130 transmits a PDU Session Establishment Response including the CAK to the UE 110.

SMF(130)는, 상기 CK를 UE(110)와 공유한 후, UE(110)와 세션 키 합의(Session Key Agreement)를 수행하여, 세션 키인 SAK(Secure Association Key)를 생성하여 UE(110)와 공유한다. 예를 들어, IEEE 802.1X 표준에서 정의하는 EAPOL(Encapsulation over LAN)-MKA(MACsec Key Agreement) 절차에 따라 SAK를 생성한다. 또한, SMF(130)는 생성된 SAK를 UPF(150)로 전송하여 UPF(150)와도 공유한다. 바람직하게, SMF(130)는, 상기 생성된 SAK를 포함하는 N4 세션 수정(Session Modification) 메시지를 UPF(150)로 전송함으로써, UPF(150)와 상기 SAK를 공유한다. After the SMF 130 shares the CK with the UE 110, it performs a Session Key Agreement with the UE 110 to generate a session key, Secure Association Key (SAK), and the UE 110 share with For example, the SAK is generated according to the EAPOL (Encapsulation over LAN)-MKA (MACsec Key Agreement) procedure defined in the IEEE 802.1X standard. In addition, the SMF 130 transmits the generated SAK to the UPF 150 and shares it with the UPF 150 as well. Preferably, the SMF 130 shares the SAK with the UPF 150 by transmitting an N4 Session Modification message including the generated SAK to the UPF 150.

일 실시예에서, SMF(130)는, 2차 인증을 수행하기 위해 MACsec를 지원하는 UPF(150)를 선택하지 않고 MACsec를 미지원하는 일반 UPF를 선택하였을 경우, 2차 인증 완료 후에, PDU 세션 앵커로서 MACsec를 지원하는 UPF(150)를 선택하여 해당 UPF(150)와 N4 세션을 새로 설립할 수 있다.In one embodiment, when the SMF 130 selects a general UPF that does not support MACsec without selecting the UPF 150 supporting MACsec to perform the second authentication, after completing the second authentication, the PDU session anchor As , an N4 session with the corresponding UPF 150 may be newly established by selecting a UPF 150 supporting MACsec.

일 실시예에서, SMF(130)는, SAK를 생성한 후 타이머를 구동하여 타이머가 만료되면, UE(110)와 다시 세션 키 합의를 수행하여 새로운 SAK를 생성하여 UE(110)와 공유하고 또한 UPF(150)와도 공유한다. 즉 SMF(130)는 주기적으로 SAK를 교체함으로써, SAK 유출에 의한 보안 사고를 방지한다. In one embodiment, the SMF 130 drives a timer after generating the SAK, and when the timer expires, performs session key agreement again with the UE 110 to generate a new SAK and share it with the UE 110. It is also shared with UPF (150). That is, the SMF 130 periodically replaces the SAK to prevent security incidents caused by leakage of the SAK.

UPF(150)는, 일반적으로, 인터넷과 같은 데이터 네트워크(DN: Data Network)로부터 수신된 하향링크 PDU(Protocol Data Unit)을 경유하여 UE(110)에게 전달하며, RAN(120)을 경유하여 UE(110)로부터 수신한 상향링크 PDU를 데이터 네트워크(DN)으로 전달할 수 있다. The UPF 150, in general, transmits to the UE 110 via a downlink protocol data unit (PDU) received from a data network (DN) such as the Internet, and transmits the UE via the RAN 120. The uplink PDU received from (110) may be delivered to the data network (DN).

MACsec를 지원하는 UPF(150)는, MACsec를 지원하는 SMF(130)의 선택에 따라 해당 SMF(130)와 N4 세션을 설립하고, MACsec를 지원하는 SMF(130)로부터 수신되는 세션 키인 SAK(Secure Association Key)를 수신하여 UE(110)와 이더넷 데이터를 상기 SAK로 암호화 및 복호화한다. The UPF 150 supporting MACsec establishes an N4 session with the corresponding SMF 130 according to the selection of the SMF 130 supporting MACsec, and the session key received from the SMF 130 supporting MACsec, SAK (Secure Association Key) and encrypts and decrypts the UE 110 and Ethernet data with the SAK.

도 2는 본 발명의 일 실시예에 따른 이동통신시스템에서 MAC 보안 통신을 위한 방법을 설명하는 흐름도이다. 2 is a flowchart illustrating a method for secure MAC communication in a mobile communication system according to an embodiment of the present invention.

도 2를 참조하면, 단계 S201에서, UE(110)는, 내부에 설정된 MACsec를 지원하는 SMF(130)의 APN(Access Point Name)에 따라, 이더넷 타입의 PDU 세션 설립 요청(Session Establishment Request)를 SMF(130)로 전송한다. PDU 세션 설립 요청은, NAS(Non Access Stratum) 메시지를 통해 전송되며, 식별정보인 DN-Specific ID(NAI(Network Access Identity) 포맷 EAP(Extensible Authentication Protocol) 크리덴셜)를 포함한다. Referring to FIG. 2, in step S201, the UE 110 sends an Ethernet-type PDU session establishment request (Session Establishment Request) according to the access point name (APN) of the SMF 130 supporting MACsec configured therein. It is transmitted to the SMF (130). The PDU session establishment request is transmitted through a Non Access Stratum (NAS) message and includes identification information, DN-Specific ID (Network Access Identity (NAI) format Extensible Authentication Protocol (EAP) credential).

단계 S202에서, SMF(130)는, UDM(140)으로 UE(110)의 청약 정보를 요청하고, 단계 S203에서, UDM(140)으로부터 UE(110)의 청약 정보를 수신한다. 단계 S204에서, SMF(130)는, 수신된 청약 정보를 기반으로 UE(110)의 MACsec 가입 및 지원 여부를 1차 인증한다. In step S202, the SMF 130 requests subscription information of the UE 110 from the UDM 140, and receives subscription information of the UE 110 from the UDM 140 in step S203. In step S204, the SMF 130 first authenticates MACsec subscription and support of the UE 110 based on the received subscription information.

UE(110)가 MACsec에 가입되어 있고 지원 가능하면, 단계 S205에서, SMF(130)는, MACsec를 지원하는 UPF(150)를 선택한다. 그리고 단계 S206에서, SMF(130)는, 해당 UPF(150)와 N4 세션을 설립하고, AAA(160)와 3GPP 표준 및 MACsec 표준의 인증 절차에 따른 2차 인증을 시작한다.If the UE (110) subscribes to MACsec and can support it, in step S205, the SMF (130) selects the UPF (150) supporting MACsec. In step S206, the SMF 130 establishes an N4 session with the corresponding UPF 150, and starts secondary authentication with the AAA 160 according to the authentication procedures of the 3GPP standard and the MACsec standard.

단계 S207에서, SMF(130)는, 인증/인가 요청(Authentication/Authorization Request)를 AAA(160)로 전송한다. 이에 따라 단계 S208에서, AAA(160)와 UE(110)는 SMF(130)를 통해 EAP 인증을 수행한다. 예를 들어, EAP 인증으로서, PEAP(Protected Extensible Authentication Protocol), EAP-TLS(Extensible Authentication Protocol Transport Layer Security) 등이 수행될 수 있다.In step S207, the SMF 130 transmits an Authentication/Authorization Request to the AAA 160. Accordingly, in step S208, the AAA 160 and the UE 110 perform EAP authentication through the SMF 130. For example, as EAP authentication, Protected Extensible Authentication Protocol (PEAP), Extensible Authentication Protocol Transport Layer Security (EAP-TLS), and the like may be performed.

EAP 인증이 성공한 후, 단계 S209에서, SMF(130)는, AAA(160)로부터 마스터 키인 연결 연관키(CAK: Connectivity Association Key)를 포함하는 인증/인가 응답(Authentication/Authorization Response)를 수신한다. 그리고 단계 S210에서, SMF(130)는 상기 CAK를 포함하는 PDU 세션 설립 응답(Session Establishment Respone)를 UE(110)로 전송하여 UE(110)와 상기 CAK를 공유한다.After the EAP authentication succeeds, in step S209, the SMF 130 receives an Authentication/Authorization Response including a Connectivity Association Key (CAK) as a master key from the AAA 160. In step S210, the SMF 130 transmits a PDU Session Establishment Response including the CAK to the UE 110 to share the CAK with the UE 110.

단계 S211에서, SMF(130)는, UE(110)와 세션 키 합의(Session Key Agreement)를 수행하여, 세션 키인 SAK(Secure Association Key)를 생성하여 UE(110)와 공유한다. 예를 들어, IEEE 802.1X 표준에서 정의하는 EAPOL(Encapsulation over LAN)-MKA(MACsec Key Agreement) 절차에 따라 SAK를 생성한다. In step S211, the SMF 130 performs a Session Key Agreement with the UE 110 to generate a session key, Secure Association Key (SAK), and share it with the UE 110. For example, the SAK is generated according to the EAPOL (Encapsulation over LAN)-MKA (MACsec Key Agreement) procedure defined in the IEEE 802.1X standard.

단계 S212에서, SMF(130)는, 생성된 SAK를 포함하는 N4 세션 수정(Session Modification) 메시지를 UPF(150)로 전송하여 UPF(150)와 공유한다. 따라서, UE(110)와 UPF(150)는 세션 키인 SAK를 상호 공유하게 되고, 따라서 단계 S213에서, UPF(150)는, SAK를 이용하여 UE(110)와 이더넷 데이터를 암호화/복호화하여 송수신한다. In step S212, the SMF 130 transmits an N4 Session Modification message including the generated SAK to the UPF 150 to share with the UPF 150. Therefore, the UE 110 and the UPF 150 mutually share the SAK, which is a session key. Accordingly, in step S213, the UPF 150 encrypts/decrypts Ethernet data with the UE 110 using the SAK, and transmits/receives the data. .

일 실시예에서, SMF(130)는, SAK를 생성한 후 타이머를 구동하여 타이머가 만료되면, UE(110)와 다시 세션 키 합의를 수행하여 새로운 SAK를 생성하여 UE(110)와 공유하고 또한 UPF(150)와도 공유한다. 즉 SMF(130)는 단계 S211부터 반복 수행하여, 주기적으로 SAK를 교체함으로써, SAK 유출에 의한 보안 사고를 방지한다. In one embodiment, the SMF 130 drives a timer after generating the SAK, and when the timer expires, performs session key agreement again with the UE 110 to generate a new SAK and share it with the UE 110. It is also shared with UPF (150). That is, the SMF 130 repeatedly performs from step S211 and periodically replaces the SAK to prevent a security accident due to leakage of the SAK.

도 3은 본 발명의 다른 실시예에 따른 이동통신시스템에서 MAC 보안 통신을 위한 방법을 설명하는 흐름도이다. 3 is a flowchart illustrating a method for secure MAC communication in a mobile communication system according to another embodiment of the present invention.

도 3을 참조하면, 단계 S301에서, UE(110)는, 내부에 설정된 MACsec를 지원하는 SMF(130)의 APN(Access Point Name)에 따라, 이더넷 타입의 PDU 세션 설립 요청(Session Establishment Request)를 SMF(130)로 전송한다. PDU 세션 설립 요청은, NAS(Non Access Stratum) 메시지를 통해 전송되며, 식별정보인 DN-Specific ID(NAI(Network Access Identity) 포맷 EAP(Extensible Authentication Protocol) 크리덴셜)를 포함한다. Referring to FIG. 3, in step S301, the UE 110 sends an Ethernet-type PDU session establishment request (Session Establishment Request) according to the Access Point Name (APN) of the SMF 130 supporting MACsec configured therein. It is transmitted to the SMF (130). The PDU session establishment request is transmitted through a Non Access Stratum (NAS) message and includes identification information, DN-Specific ID (Network Access Identity (NAI) format Extensible Authentication Protocol (EAP) credential).

단계 S302에서, SMF(130)는, UDM(140)으로 UE(110)의 청약 정보를 요청하고, 단계 S303에서, UDM(140)으로부터 UE(110)의 청약 정보를 수신한다. 단계 S304에서, SMF(130)는, 수신된 청약 정보를 기반으로 UE(110)의 MACsec 가입 및 지원 여부를 1차 인증한다. In step S302, the SMF 130 requests subscription information of the UE 110 from the UDM 140, and receives subscription information of the UE 110 from the UDM 140 in step S303. In step S304, the SMF 130 first authenticates MACsec subscription and support of the UE 110 based on the received subscription information.

UE(110)가 MACsec에 가입되어 있고 지원 가능하면, 단계 S305에서, SMF(130)는, 2차 인증을 위해 MACsec를 미지원하는 일반 UPF(320)를 선택한다. 그리고 단계 S306에서, SMF(130)는, 해당 UPF(320)와 N4 세션을 설립하고, AAA(160)와 3GPP 표준 및 MACsec 표준의 인증 절차에 따른 2차 인증을 시작한다.If the UE 110 subscribes to MACsec and can support it, in step S305, the SMF 130 selects a general UPF 320 that does not support MACsec for secondary authentication. In step S306, the SMF 130 establishes an N4 session with the corresponding UPF 320, and starts secondary authentication with the AAA 160 according to the authentication procedures of the 3GPP standard and the MACsec standard.

단계 S307에서, SMF(130)는, 인증/인가 요청(Authentication/Authorization Request)를 AAA(160)로 전송한다. 이에 따라 단계 S308에서, AAA(160)와 UE(110)는 SMF(130)를 통해 EAP 인증을 수행한다. 예를 들어, EAP 인증으로서, PEAP(Protected Extensible Authentication Protocol), EAP-TLS(Extensible Authentication Protocol Transport Layer Security) 등이 수행될 수 있다.In step S307, the SMF 130 transmits an Authentication/Authorization Request to the AAA 160. Accordingly, in step S308, the AAA 160 and the UE 110 perform EAP authentication through the SMF 130. For example, as EAP authentication, Protected Extensible Authentication Protocol (PEAP), Extensible Authentication Protocol Transport Layer Security (EAP-TLS), and the like may be performed.

EAP 인증이 성공한 후, 단계 S309에서, SMF(130)는, AAA(160)로부터 마스터 키인 연결 연관키(CAK: Connectivity Association Key)를 포함하는 인증/인가 응답(Authentication/Authorization Response)를 수신한다. After the EAP authentication succeeds, in step S309, the SMF 130 receives an Authentication/Authorization Response including a Connectivity Association Key (CAK) as a master key from the AAA 160.

단계 S310에서, SMF(130)는, MACsec를 지원하는 UPF(150)를 선택한다. 그리고 단계 S311에서, SMF(130)는, UPF(150)와 N4 세션을 설립한다. 그리고 단계 S312에서, SMF(130)는 상기 CAK를 포함하는 PDU 세션 설립 응답(Session Establishment Respone)를 UE(110)로 전송하여 UE(110)와 상기 CAK를 공유한다.In step S310, the SMF 130 selects the UPF 150 supporting MACsec. Then, in step S311, the SMF 130 establishes an N4 session with the UPF 150. In step S312, the SMF 130 transmits a PDU Session Establishment Response including the CAK to the UE 110 to share the CAK with the UE 110.

단계 S313에서, SMF(130)는, UE(110)와 세션 키 합의(Session Key Agreement)를 수행하여, 세션 키인 SAK(Secure Association Key)를 생성하여 UE(110)와 공유한다. 예를 들어, IEEE 802.1X 표준에서 정의하는 EAPOL(Encapsulation over LAN)-MKA(MACsec Key Agreement) 절차에 따라 SAK를 생성한다. In step S313, the SMF 130 performs a Session Key Agreement with the UE 110 to generate a session key, Secure Association Key (SAK), and shares it with the UE 110. For example, the SAK is generated according to the EAPOL (Encapsulation over LAN)-MKA (MACsec Key Agreement) procedure defined in the IEEE 802.1X standard.

단계 S314에서, SMF(130)는, 생성된 SAK를 포함하는 N4 세션 수정(Session Modification) 메시지를 UPF(150)로 전송하여 UPF(150)와 공유한다. 따라서, UE(110)와 UPF(150)는 세션 키인 SAK를 상호 공유하게 되고, 따라서 단계 S315에서, MACsec를 지원하는 UPF(150)는, SAK를 이용하여 UE(110)와 이더넷 데이터를 암호화/복호화하여 송수신한다. In step S314, the SMF 130 transmits an N4 session modification message including the generated SAK to the UPF 150 to share with the UPF 150. Therefore, the UE 110 and the UPF 150 mutually share the SAK, which is a session key. Accordingly, in step S315, the UPF 150 supporting MACsec encrypts/encrypts Ethernet data with the UE 110 using the SAK. Decrypt and send/receive.

일 실시예에서, SMF(130)는, SAK를 생성한 후 타이머를 구동하여 타이머가 만료되면, UE(110)와 다시 세션 키 합의를 수행하여 새로운 SAK를 생성하여 UE(110)와 공유하고 또한 UPF(150)와도 공유한다. 즉 SMF(130)는 단계 S313부터 반복 수행하여, 주기적으로 SAK를 교체함으로써, SAK 유출에 의한 보안 사고를 방지한다. In one embodiment, the SMF 130 drives a timer after generating the SAK, and when the timer expires, performs session key agreement again with the UE 110 to generate a new SAK and share it with the UE 110. It is also shared with UPF (150). That is, the SMF 130 repeatedly performs from step S313 and periodically replaces the SAK to prevent a security accident due to leakage of the SAK.

도 4는 본 발명의 일 실시예에 따른 이동통신시스템의 네트워크 노드의 하드웨어 구성도이다. 도 4에 도시된 네트워크 노드는, 도 1을 참조하여 설명한 SMF(130), UDM(140), UPF(150) 또는 AAA(160)일 수 있다. 도 4를 참조하면, 네트워크 노드의 하드웨어는, 적어도 하나의 프로세서(410), 메모리(420), 통신 인터페이스(430)를 포함할 수 있고, 이들은 버스(440)를 통해 연결될 수 있다. 이외에도 입력 장치 및 출력 장치 등의 하드웨어가 포함될 수 있다.4 is a hardware configuration diagram of a network node of a mobile communication system according to an embodiment of the present invention. The network node shown in FIG. 4 may be the SMF 130, UDM 140, UPF 150, or AAA 160 described with reference to FIG. Referring to FIG. 4 , the hardware of the network node may include at least one processor 410, memory 420, and communication interface 430, which may be connected through a bus 440. In addition, hardware such as an input device and an output device may be included.

프로세서(410)는 네트워크 노드의 동작을 제어하는 장치로서, 메모리(420)에 로드된 프로그램에 포함된 명령들을 처리하는 다양한 형태의 프로세서일 수 있고, 예를 들면, CPU(Central Processing Unit), MPU(Micro Processor Unit), MCU(Micro Controller Unit), GPU(Graphic Processing Unit) 등 일 수 있다. The processor 410 is a device for controlling the operation of a network node, and may be various types of processors that process commands included in a program loaded into the memory 420, for example, a Central Processing Unit (CPU) or MPU. (Micro Processor Unit), MCU (Micro Controller Unit), GPU (Graphic Processing Unit), and the like.

메모리(420)는, 프로그램을 구동할 수 있는 운영체제와, 도 1 내지 도 3을 참조하여 설명한 동작을 실행하는데 요구되는 각종 데이터, 프로그램 등을 저장할 수 있다. 메모리(420)는, 프로세서(410)에 의해 처리되도록 해당 프로그램을 로드할 수 있다. 메모리(420)는 예를들면, ROM(read only memory), RAM(random access memory) 등 일 수 있다. 프로세서(410)는, 메모리(420)에 로드된, 도 1 내지 도 3을 참조하여 설명한 동작을 실행하도록 기술된 명령들(instructions)이 포함된 프로그램을 실행할 수 있다.The memory 420 may store an operating system capable of driving programs and various data, programs, and the like required to execute operations described with reference to FIGS. 1 to 3 . The memory 420 may load a corresponding program to be processed by the processor 410 . The memory 420 may be, for example, read only memory (ROM) or random access memory (RAM). The processor 410 may execute a program, which is loaded into the memory 420 and includes instructions described for executing the operation described with reference to FIGS. 1 to 3 .

통신 인터페이스(440)는, 유/무선 통신 모듈일 수 있고, 이동통신시스템의 다른 네트워크 노드와 연결되어 통신한다. 예를 들어, 도 4의 네트워크 노드가 SMF(130)인 경우, 통신 인터페이스(440)는, 가입자 관리 장치(UDM)(140) 및 MAC 보안 통신을 위한 데이터 평면의 기능을 수행하는 UPF(150)와 연결되고, 또한 액세스 네트워크(120)를 통해 사용자 장치(UE)(110)와 연결된다. The communication interface 440 may be a wired/wireless communication module, and is connected to and communicates with other network nodes of the mobile communication system. For example, when the network node of FIG. 4 is the SMF 130, the communication interface 440 includes a subscriber management device (UDM) 140 and a UPF 150 performing the function of a data plane for secure MAC communication. Connected to, and also connected to the user equipment (UE) 110 through the access network 120.

이상의 실시예에 따르면, 5G 이동통신시스템의 L2 이더넷 PDU 세션에 대한 암호화를 제공할 수 있게 되어 보안에 민감한 여러 스마트 팩토리 등 산업용 네트워크 시장에 5G 이동통신기술이 적용될 수 있도록 한다. 또한 기존 5G 표준 및 MACsec 표준의 원칙과 절차의 수정을 최소화한만큼 빠르게 해당 기능의 개발 및 배포를 가능하게 한다. According to the above embodiment, it is possible to provide encryption for the L2 Ethernet PDU session of the 5G mobile communication system, so that 5G mobile communication technology can be applied to industrial network markets such as various smart factories that are sensitive to security. In addition, it enables the development and distribution of the function as quickly as the modification of the principles and procedures of the existing 5G standard and MACsec standard is minimized.

본 명세서는 많은 특징을 포함하는 반면, 그러한 특징은 본 발명의 범위 또는 특허청구범위를 제한하는 것으로 해석되어서는 안 된다. 또한, 본 명세서에서 개별적인 실시예에서 설명된 특징들은 단일 실시예에서 결합되어 구현될 수 있다. 반대로, 본 명세서에서 단일 실시예에서 설명된 다양한 특징들은 개별적으로 다양한 실시예에서 구현되거나, 적절히 결합되어 구현될 수 있다.While this specification contains many features, such features should not be construed as limiting the scope of the invention or the claims. Also, features described in separate embodiments in this specification may be implemented in combination in a single embodiment. Conversely, various features that are described in this specification in a single embodiment may be implemented in various embodiments individually or in combination as appropriate.

도면에서 동작들이 특정한 순서로 설명되었으나, 그러한 동작들이 도시된 바와 같은 특정한 순서로 수행되는 것으로, 또는 일련의 연속된 순서, 또는 원하는 결과를 얻기 위해 모든 설명된 동작이 수행되는 것으로 이해되어서는 안 된다. 특정 환경에서 멀티태스킹 및 병렬 프로세싱이 유리할 수 있다. 아울러, 상술한 실시예에서 다양한 시스템 구성요소의 구분은 모든 실시예에서 그러한 구분을 요구하지 않는 것으로 이해되어야 한다. 상술한 프로그램 구성요소 및 시스템은 일반적으로 단일 소프트웨어 제품 또는 멀티플 소프트웨어 제품에 패키지로 구현될 수 있다.Although actions are described in a particular order in the drawings, it should not be understood that such actions are performed in the specific order as shown, or that the actions are performed in a series of sequential order, or that all described actions are performed to achieve a desired result. . Multitasking and parallel processing can be advantageous in certain circumstances. In addition, it should be understood that the division of various system components in the above-described embodiments does not require such division in all embodiments. The program components and systems described above may generally be implemented as a package in a single software product or multiple software products.

상술한 바와 같은 본 발명의 방법은 프로그램으로 구현되어 컴퓨터로 읽을 수 있는 형태로 기록매체(시디롬, 램, 롬, 플로피 디스크, 하드 디스크, 광자기 디스크 등)에 저장될 수 있다. 이러한 과정은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있으므로 더 이상 상세히 설명하지 않기로 한다.The method of the present invention as described above may be implemented as a program and stored in a recording medium (CD-ROM, RAM, ROM, floppy disk, hard disk, magneto-optical disk, etc.) in a computer-readable form. Since this process can be easily performed by a person skilled in the art to which the present invention belongs, it will not be described in detail.

이상에서 설명한 본 발명은, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하므로 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니다.The present invention described above is capable of various substitutions, modifications, and changes without departing from the technical spirit of the present invention to those skilled in the art to which the present invention belongs, and thus the above-described embodiments and It is not limited by drawings.

110 : UE
120 : RAN
130 : SMF
140 : UDM
150 : UPF
160 : AAA
410 : 프로세서
420 : 메모리
430 : 스토리지
440 : 통신 인터페이스
450 : 버스110: UE
120: RAN
130: SMF
140: UDM
150 : UPF
160: AAA
410: processor
420: memory
430: Storage
440: communication interface
450: bus

Claims (12)

이더넷 타입의 데이터를 지원하는 이동통신시스템에서 MAC(Media Access Control) 보안 통신을 지원하는 제어 평면 기능 장치에 있어서,
가입자 관리 장치 및, 사용자 평면 기능 장치와 연결되고, 또한 액세스 네트워크를 통해 사용자 장치와 연결되는 통신 인터페이스;
명령들을 저장하는 메모리; 및
상기 메모리 및 상기 통신 인터페이스와 연결된 적어도 하나의 프로세서를 포함하고, 상기 적어도 하나의 프로세서는, 상기 명령들을 실행하여,
상기 사용자 장치로부터 세션 설립 요청을 수신함에 따라, 상기 사용자 장치에 대한 인증을 수행하고, 인증 결과로 획득된 마스터 키를 상기 사용자 장치로 전송하여 공유하며,
상기 사용자 장치와 세션 키 합의를 수행하여 생성한 세션 키를 MAC 보안 통신을 지원하는 사용자 평면 기능 장치로 전송하여 공유하는 것을 특징으로 하는 제어 평면 기능 장치.In a control plane function device supporting MAC (Media Access Control) secure communication in a mobile communication system supporting Ethernet type data,
a communication interface connected to the subscriber management device and the user plane function device, and also to the user device through an access network;
memory to store instructions; and
and at least one processor connected to the memory and the communication interface, wherein the at least one processor executes the instructions,
Upon receiving a session establishment request from the user device, authentication of the user device is performed, and a master key obtained as a result of the authentication is transmitted to and shared with the user device;
The control plane function device characterized in that the session key generated by performing the session key agreement with the user device is transmitted to and shared with a user plane functional device supporting MAC secure communication. 제1항에 있어서,
상기 적어도 하나의 프로세서는,
상기 세션 설립 요청의 수신시, 상기 MAC 보안 통신을 지원하는 사용자 평면 기능 장치를 선택하여 상기 사용자 장치에 대한 인증을 수행하는 것을 특징으로 하는 제어 평면 기능 장치.According to claim 1,
The at least one processor,
and upon receiving the session establishment request, selecting a user plane functional device supporting the MAC secure communication and performing authentication of the user device. 제1항에 있어서,
상기 적어도 하나의 프로세서는,
상기 세션 설립 요청의 수신시, MAC 보안 통신을 미지원하는 사용자 평면 기능 장치를 선택하여 상기 사용자 장치에 대한 인증을 수행하고,
인증 완료 후, 상기 MAC 보안 통신을 지원하는 사용자 평면 기능 장치를 선택하여 상기 세션 키를 공유하는 것을 특징으로 하는 제어 평면 기능 장치.According to claim 1,
The at least one processor,
Upon reception of the session establishment request, selecting a user plane function device that does not support MAC security communication and performing authentication of the user device;
After completion of the authentication, the control plane function device, characterized in that for sharing the session key by selecting a user plane function device supporting the secure MAC communication. 제2항 또는 제3항에 있어서,
상기 적어도 하나의 프로세서는,
상기 MAC 보안 통신을 지원하는 사용자 평면 기능 장치로, 상기 세션 키를 포함하는 세션 수정 메시지를 전송함으로써 상기 세션 키를 공유하는 것을 특징으로 하는 제어 평면 기능 장치.According to claim 2 or 3,
The at least one processor,
and sharing the session key by transmitting a session modification message including the session key to the user plane function device supporting the MAC secure communication. 제1항에 있어서,
상기 적어도 하나의 프로세서는,
상기 사용자 장치와 인증 절차를 수행한 AAA(authentication, authorization and accounting)로부터 상기 마스터 키를 수신하는 것을 특징으로 하는 제어 평면 기능 장치.According to claim 1,
The at least one processor,
Control plane function device, characterized in that for receiving the master key from AAA (authentication, authorization and accounting) that performed an authentication procedure with the user device. 제1항에 있어서,
상기 적어도 하나의 프로세서는,
상기 가입자 관리 장치로부터 상기 사용자 장치의 MAC 보안 통신에 대한 청약 정보를 수신하여 상기 사용자 장치의 MAC 보안 통신 가입 및 지원 여부를 확인하는 것을 특징으로 하는 제어 평면 기능 장치.According to claim 1,
The at least one processor,
The control plane functional device, characterized in that, by receiving subscription information for the MAC security communication of the user device from the subscriber management device, confirming whether the user device subscribes to and supports the MAC security communication. 이더넷 타입의 데이터를 지원하는 이동통신시스템의 제어 평면 기능 장치에서 MAC(Media Access Control) 보안 통신을 지원하는 방법으로서,
사용자 장치로부터 세션 설립 요청을 수신하는 단계;
상기 사용자 장치에 대한 인증을 수행하는 단계;
인증 결과로 획득된 마스터 키를 상기 사용자 장치로 전송하여 공유하는 단계; 및
상기 사용자 장치와 세션 키 합의를 수행하여 생성한 세션 키를 MAC 보안 통신을 지원하는 사용자 평면 기능 장치로 전송하여 공유하는 단계를 포함하는 방법.As a method of supporting MAC (Media Access Control) secure communication in a control plane functional device of a mobile communication system supporting Ethernet type data,
Receiving a session establishment request from a user device;
performing authentication on the user device;
transmitting and sharing the master key obtained as a result of authentication to the user device; and
and transmitting and sharing a session key generated by performing a session key agreement with the user device to a user plane function device supporting secure MAC communication. 제7항에 있어서,
상기 인증을 수행하는 단계는,
상기 MAC 보안 통신을 지원하는 사용자 평면 기능 장치를 선택하여 상기 사용자 장치에 대한 인증을 수행하는 것을 특징으로 하는 방법.According to claim 7,
The step of performing the authentication is,
and performing authentication of the user device by selecting a user plane functional device supporting the MAC secure communication. 제7항에 있어서,
상기 인증을 수행하는 단계는,
MAC 보안 통신을 미지원하는 사용자 평면 기능 장치를 선택하여 상기 사용자 장치에 대한 인증을 수행하고,
상기 세션 키를 MAC 보안 통신을 지원하는 사용자 평면 기능 장치로 전송하여 공유하는 단계 이전에,
상기 MAC 보안 통신을 지원하는 사용자 평면 기능 장치를 선택하여 세션을 설립하는 단계를 더 포함하는 방법.According to claim 7,
The step of performing the authentication is,
Selecting a user plane function device that does not support MAC secure communication and performing authentication on the user device;
Prior to the step of transmitting and sharing the session key to a user plane functional device supporting MAC secure communication,
and establishing a session by selecting a user plane functional device supporting the MAC secure communication. 제8항 또는 제9항에 있어서,
상기 세션 키를 MAC 보안 통신을 지원하는 사용자 평면 기능 장치로 전송하여 공유하는 단계는,
상기 MAC 보안 통신을 지원하는 사용자 평면 기능 장치로, 상기 세션 키를 포함하는 세션 수정 메시지를 전송함으로써 상기 세션 키를 공유하는 것을 특징으로 하는 방법.The method of claim 8 or 9,
The step of transmitting and sharing the session key to a user plane functional device supporting MAC secure communication,
and sharing the session key by transmitting a session modification message including the session key to the user plane function device supporting the MAC secure communication. 제7항에 있어서,
상기 마스터 키는,
상기 사용자 장치와 인증 절차를 수행한 AAA(authentication, authorization and accounting)로부터 수신되는 것을 특징으로 하는 방법.According to claim 7,
The master key is
Characterized in that it is received from AAA (authentication, authorization and accounting) that performed an authentication procedure with the user device. 제7항에 있어서,
상기 인증을 수행하는 단계는,
상기 가입자 관리 장치로부터 상기 사용자 장치의 MAC 보안 통신에 대한 청약 정보를 수신하여 상기 사용자 장치의 MAC 보안 통신 가입 및 지원 여부를 확인하는 단계를 포함하는 것을 특징으로 하는 방법.According to claim 7,
The step of performing the authentication is,
and receiving subscription information for the MAC security communication of the user device from the subscriber management device and confirming whether the user device subscribes to and supports the MAC security communication.
KR1020210115079A 2021-08-30 2021-08-30 Apparatus and method for MAC secure communication in mobile communication system KR20230032337A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020210115079A KR20230032337A (en) 2021-08-30 2021-08-30 Apparatus and method for MAC secure communication in mobile communication system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210115079A KR20230032337A (en) 2021-08-30 2021-08-30 Apparatus and method for MAC secure communication in mobile communication system

Publications (1)

Publication Number Publication Date
KR20230032337A true KR20230032337A (en) 2023-03-07

Family

ID=85512541

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210115079A KR20230032337A (en) 2021-08-30 2021-08-30 Apparatus and method for MAC secure communication in mobile communication system

Country Status (1)

Country Link
KR (1) KR20230032337A (en)

Similar Documents

Publication Publication Date Title
US9699820B2 (en) Establishing a device-to-device communication session
KR101877733B1 (en) Method and system of securing group communication in a machine-to-machine communication environment
US11805409B2 (en) System and method for deriving a profile for a target endpoint device
US10687213B2 (en) Secure establishment method, system and device of wireless local area network
CN110830989B (en) Communication method and device
US20130189955A1 (en) Method for context establishment in telecommunication networks
CN101785343B (en) Method, system and device for fast transitioning resource negotiation
TW201304486A (en) Key generation in a communication system
CN104871579A (en) Security management method and apparatus for group communication in mobile communication system
KR20150051568A (en) Security supporting method and system for proximity based service device to device discovery and communication in mobile telecommunication system environment
WO2022028259A1 (en) User subscription data obtaining method and apparatus
CN107295507A (en) A kind of private network cut-in method, apparatus and system
EP3637815B1 (en) Data transmission method, and device and system related thereto
CN113841366B (en) Communication method and device
CN116723507B (en) Terminal security method and device for edge network
WO2023246942A1 (en) Communication method and apparatus
JP6861285B2 (en) Methods and devices for parameter exchange during emergency access
KR20230032337A (en) Apparatus and method for MAC secure communication in mobile communication system
WO2023104123A1 (en) Communication method and apparatus, and device
CN115320428B (en) Charging control method and device for electric automobile charging pile
WO2023213209A1 (en) Key management method and communication apparatus
EP4250641A1 (en) Method, devices and system for performing key management
WO2024065469A1 (en) Direct-link establishment method, device and storage medium
WO2022160275A1 (en) Wireless communication method, and devices and storage medium
WO2024001889A1 (en) V2x policy requesting method and device

Legal Events

Date Code Title Description
E902 Notification of reason for refusal