KR20230040368A - 통신 방법 및 장치 - Google Patents

통신 방법 및 장치 Download PDF

Info

Publication number
KR20230040368A
KR20230040368A KR1020237005735A KR20237005735A KR20230040368A KR 20230040368 A KR20230040368 A KR 20230040368A KR 1020237005735 A KR1020237005735 A KR 1020237005735A KR 20237005735 A KR20237005735 A KR 20237005735A KR 20230040368 A KR20230040368 A KR 20230040368A
Authority
KR
South Korea
Prior art keywords
service
mac
target
node
length
Prior art date
Application number
KR1020237005735A
Other languages
English (en)
Inventor
융 왕
징 첸
Original Assignee
후아웨이 테크놀러지 컴퍼니 리미티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 후아웨이 테크놀러지 컴퍼니 리미티드 filed Critical 후아웨이 테크놀러지 컴퍼니 리미티드
Publication of KR20230040368A publication Critical patent/KR20230040368A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/037Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • H04W12/37Managing security policies for mobile devices or for controlling mobile applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/106Packet or message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W28/00Network traffic management; Network resource management
    • H04W28/02Traffic management, e.g. flow control or congestion control
    • H04W28/06Optimizing the usage of the radio link, e.g. header compression, information sizing, discarding information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W28/00Network traffic management; Network resource management
    • H04W28/16Central resource management; Negotiation of resources or communication parameters, e.g. negotiating bandwidth or QoS [Quality of Service]
    • H04W28/18Negotiating wireless communication parameters
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W74/00Wireless channel access
    • H04W74/04Scheduled access

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Quality & Reliability (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 출원의 실시예는 근거리 통신 분야 특히 콕피트 도메인 통신에 적용되는 통신 방법 및 장치를 제공한다. 이 방법은 연관 요청 메시지를 수신하는 단계 - 연관 요청 메시지는 제2 노드가 지원하는 보안 알고리즘에 관한 정보를 포함함 -; 제1 알고리즘 선택 정책에 따라 시그널링 평면의 타깃 보안 알고리즘 및 시그널링 평면의 타깃 MAC 길이를 결정하는 단계 - 시그널링 평면의 타깃 보안 알고리즘은 제2 노드가 지원하는 보안 알고리즘에 관한 정보에 의해 지시된 보안 알고리즘 세트에 속함 -; 및 시그널링 평면의 타깃 보안 알고리즘을 사용하여 제1 MAC을 생성하는 단계 - 제1 MAC의 길이는 시그널링 평면의 타깃 MAC 길이임 - 를 포함한다. 본 출원의 실시예에 따르면, 사용자 요건을 충족하는 MAC 길이가 결정될 수 있다. 이 솔루션은 추가로, ADAS(advanced driver assistant system) 능력을 개선하는 데 사용될 수 있으며, 차량의 인터넷, 예를 들어, V2X(vehicle to everything), LTE-V(long term evolution-vehicle), V2V(vehicle to vehicle)에 적용될 수 있다.

Description

통신 방법 및 장치
본 발명은 통신 기술 분야에 관한 것으로, 특히 콕피트 도메인(cockpit domain) 통신과 같은 단거리 통신 기술 분야에 관한 것이다. 구체적으로, 본 발명은 통신 방법 및 장치에 관한 것이다.
정보화의 비약적인 발전과 함께 통신 기술은 사람들의 생활 속으로 파고들었다. 사람들은 통신의 편리함을 누리는 동시에 보안 취약점과 개인 정보 유출(privacy leakage)의 위협에 직면해 있다. 통신 프로세스에서 데이터의 전송 및 저장 보안을 보장하기 위해서는 데이터에 대해 무결성 보호(integrity protection)(또는 줄여서 무결성 보호)가 수행되어야 한다. 구체적으로, 데이터에 대한 무결성 보호는 무결성 보호 알고리즘에 따라 메시지 인증 코드(Message Authentication Code, MAC)를 계산하는 방식으로 수행될 수 있다. 메시지 인증 코드(Message authentication code, MAC)는 특정 알고리즘을 사용하여 생성된 작은 정보 세그먼트로 메시지 무결성을 검사하는(check) 데 사용된다.
무결성 보호 알고리즘을 사용하여 생성된 메시지 인증 코드는 복수의 길이를 갖는다. 그러나, 통신 프로세스에서 일반적으로 고정 길이의 메시지 인증 코드만 통신에 사용할 수 있다. 예를 들어, LTE와 5세대(5th generation, 5G) 통신 프로토콜에서 지원하는 MAC 길이는 32비트이다. Wi-Fi WPA2/WPA3 프로토콜에서, TKIP, CCMP-128 또는 GCMP-128 알고리즘을 사용할 때 MAC 길이는 64비트이고; CCMP-256/GCMP-256 알고리즘을 사용할 때 MAC 길이는 128비트이다. 블루투스 프로토콜에서, AES-CCM 알고리즘을 사용할 때 MAC 길이는 32비트이다.
통신 기술의 발달로 노드 간에 점점 더 많은 메시지가 통신되며, 서로 다른 노드는 MAC 길이에 대한 서로 다른 요건(requirement)을 갖는다. 예를 들어, 상대적으로 긴 고정 길이의 MAC(예를 들어, 256비트 또는 128비트의 MAC)을 사용하면, MAC이 메시지에서 차지하는 비중이 상대적으로 크며, 그 결과 메시지 전송 효율에 큰 영향을 미치게 된다. 다른 예로, 상이한 MAC 길이의 보안성이 상이하며, MAC 길이가 길수록 보안성이 높으며, 상대적으로 짧은 길이의 MAC을 사용하면 데이터 보안을 보장할 수 없다. 결과적으로, 기존 통신 프로세스에서는 고정 길이의 MAC이 요건을 충족할 수 없다.
요건을 충족하는 MAC 길이를 결정하는 방법은 당업자에 의해 연구되고 있는 기술적 문제임을 알 수 있다.
본 출원의 실시예는 MAC 길이 선택의 유연성을 향상시키기 위해 요건을 충족하는 MAC 길이를 결정하기 위한 통신 방법 및 장치를 개시한다.
제1 측면에 따르면, 본 출원의 실시 예는 통신 방법을 제공한다. 상기 통신 방법은,
제2 노드로부터 연관(association) 요청 메시지를 수신하는 단계 - 상기 연관 요청 메시지는 상기 제2 노드가 지원하는 보안 알고리즘에 관한 정보를 포함함 -;
제1 알고리즘 선택 정책에 따라 시그널링 평면(signaling plane)의 타깃 보안 알고리즘 및 상기 시그널링 평면의 타깃 MAC 길이를 결정하는 단계 - 상기 시그널링 평면의 타깃 보안 알고리즘은 상기 제2 노드가 지원하는 상기 보안 알고리즘에 관한 정보에 의해 지시된 보안 알고리즘 세트에 속함 -; 및
상기 시그널링 평면의 타깃 보안 알고리즘을 사용하여 제1 MAC을 생성하는 단계 - 상기 제1 MAC의 길이는 상기 시그널링 평면의 타깃 MAC 길이임 - 를 포함한다.
본 출원의 실시예에서, 제1 노드는 제2 노드가 지원하는 보안 알고리즘에 관한 정보에 기반하고 그리고 알고리즘 정책을 사용하여, 시그널링 평면의 타깃 보안 알고리즘 및 시그널링 평면의 타깃 MAC 길이를 결정하고, 그런 다음 시그널링 평면의 타깃 MAC 길이를 제1 노드와 제2 노드 사이의 시그널링 메시지의 MAC 길이로 사용한다. 이와 같이, 제1 노드에 구성된 상이한 정책에 기반하여 상이한 MAC 길이가 결정되어, MAC 길이의 유연성을 향상시킬 수 있다. 또한, 알고리즘 선택 정책은 제1 노드의 통신 요건에 기반하여 미리 구성되거나 미리 정의될 수 있다. 예를 들어, 상대적으로 보안성이 높고 MAC 길이가 상대적으로 긴 알고리즘을 우선적으로 선택하여 데이터 보안성을 높일 수 있다.
제1 측면의 가능한 구현에서, 상기 제1 알고리즘 선택 정책에 따라 시그널링 평면의 타깃 보안 알고리즘 및 상기 시그널링 평면의 타깃 MAC 길이를 결정하는 단계는,
제1 길이 선택 정책 및 상기 제1 알고리즘 선택 정책에 따라 상기 시그널링 평면의 타깃 보안 알고리즘 및 상기 시그널링 평면의 타깃 MAC 길이를 결정하는 단계를 포함한다.
제1 측면의 다른 가능한 구현에서, 상기 제1 길이 선택 정책 및 상기 제1 알고리즘 선택 정책에 따라 상기 시그널링 평면의 타깃 보안 알고리즘 및 상기 시그널링 평면의 타깃 MAC 길이를 결정하는 단계는,
상기 제1 알고리즘 선택 정책에 따라 상기 시그널링 평면의 타깃 보안 알고리즘을 결정하는 단계; 및
상기 제1 길이 선택 정책 및 상기 시그널링 평면의 타깃 보안 알고리즘에 따라 상기 시그널링 평면의 타깃 MAC 길이를 결정하는 단계를 포함한다.
제1 측면의 다른 가능한 구현에서,
상기 제1 알고리즘 선택 정책에 따라 시그널링 평면의 타깃 보안 알고리즘 및 상기 시그널링 평면의 타깃 MAC 길이를 결정하는 단계는,
상기 제1 알고리즘 선택 정책에 따라 상기 시그널링 평면의 타깃 보안 알고리즘을 결정하는 단계 - 상기 시그널링 평면의 타깃 보안 알고리즘에 대응하는 MAC 길이는 상기 시그널링 평면의 타깃 MAC 길이임 - 를 포함한다.
제1 측면의 다른 가능한 구현에서, 상기 통신 방법은,
보안 콘텍스트 요청 메시지를 상기 제2 노드에 송신하는 단계 - 상기 보안 콘텍스트 요청 메시지는 상기 제1 MAC, 상기 시그널링 평면의 타깃 보안 알고리즘을 지시하는 정보, 및 상기 시그널링 평면의 타깃 MAC 길이를 포함하고, 상기 제1 MAC은 상기 보안 콘텍스트 요청 메시지의 무결성을 검사하는 데 사용됨 - 를 더 포함한다.
제1 노드가 시그널링 평면의 타깃 보안 알고리즘을 지시하는 정보와 시그널링 평면의 타깃 MAC 길이를 콘텍스트 요청 메시지에 추가하므로, 제2 노드가 보안 콘텍스트 요청 메시지를 사용하여 시그널링 평면의 타깃 보안 알고리즘 및 시그널링 평면의 타깃 MAC 길이를 획득할 수 있음을 알 수 있다. 또한, 보안 콘텍스트 요청 메시지는 보안 콘텍스트 요청 메시지가 공격자에 의해 위조되는(tampered) 것을 방지하기 위해, 보안 콘텍스트 요청 메시지의 무결성을 검사하기 위해 제2 노드에 의해 사용되는 제1 MAC을 운반할 수 있다.
제1 측면의 다른 가능한 구현에서, 상기 통신 방법은,
보안 콘텍스트 요청 메시지를 상기 제2 노드에 송신하는 단계 - 상기 보안 콘텍스트 요청 메시지는 상기 제1 MAC 및 상기 시그널링 평면의 타깃 보안 알고리즘을 지시하는 정보를 포함하고, 상기 제1 MAC은 상기 보안 콘텍스트 요청 메시지의 무결성을 검사하는 데 사용되며, 상기 제1 MAC은 추가로, 상기 시그널링 평면의 타깃 MAC 길이를 지시하는 데 사용됨 - 를 더 포함한다.
제1 측면의 다른 가능한 구현에서, 상기 제1 알고리즘 선택 정책에 따라 시그널링 평면의 타깃 보안 알고리즘 및 상기 시그널링 평면의 타깃 MAC 길이를 결정하는 단계 이후에, 상기 통신 방법은,
보안 콘텍스트 요청 메시지를 상기 제2 노드에 송신하는 단계 - 상기 보안 콘텍스트 요청 메시지는 상기 제1 MAC, 상기 시그널링 평면의 타깃 보안 알고리즘을 지시하는 정보, 상기 시그널링 평면의 타깃 MAC 길이, 및 제1 아이덴티티 인증(identity authentication) 정보를 포함하고, 상기 제1 MAC은 상기 보안 콘텍스트 요청 메시지의 무결성을 검사하는 데 사용되며, 상기 제1 노드와 상기 제2 노드 사이의 공유 키에 기반하여 상기 제1 아이덴티티 인증 정보가 생성됨 -; 및
상기 제2 노드로부터 보안 콘텍스트 응답 메시지를 수신하는 단계 - 상기 보안 콘텍스트 응답 메시지는 제2 아이덴티티 인증 정보 및 제2 MAC을 포함하고, 상기 제2 MAC의 길이는 상기 시그널링 평면의 타깃 MAC 길이이며, 상기 제2 아이덴티티 인증 정보가 상기 제2 노드의 아이덴티티를 검증하는 데 사용되고, 상기 제2 MAC은 상기 보안 콘텍스트 응답 메시지의 무결성을 검사하는 데 사용됨 - 를 더 포함한다.
공유 키는 제1 노드와 제2 노드 사이에 공유되는 비밀 값으로, 노드의 아이덴티티를 검증하기 위한 아이덴티티 인증 정보를 생성하는 데 사용될 수 있다. 제1 노드는 공유 키를 사용하여 제1 아이덴티티 인증 정보를 생성할 수 있고, 제1 아이덴티티 인증 정보는 제1 노드의 아이덴티티를 검증하기 위해 제2 노드에 의해 사용됨을 알 수 있다. 이에 대응하여, 제1 노드도 제2 아이덴티티 인증 정보를 사용하여 제2 노드의 아이덴티티를 검증할 수 있다. 공격자가 제2 노드의 아이덴티티를 위조하여 시그널링 평면의 타깃 보안 알고리즘 또는 시그널링 평면의 타깃 MAC 길이를 획득하려고 하면, 공유 키를 위조할 수 없기 때문에 아이덴티티에 대해 제1 노드가 수행한 검증이 성공할 수 없다. 따라서, 제1 노드가 신뢰할 수 없는 노드와 통신하는 것을 방지하고, 제1 노드의 통신 보안이 향상된다.
제1 측면의 다른 가능한 구현에서, 상기 통신 방법은,
상기 시그널링 평면의 타깃 보안 알고리즘 및 상기 제2 MAC에 기반하여 상기 보안 콘텍스트 응답 메시지의 무결성을 검사하는 단계;
상기 공유 키에 기반하여 상기 제2 아이덴티티 정보에 대해 검증을 수행하는 단계; 및
상기 보안 콘텍스트 응답 메시지의 무결성에 대한 검사가 성공하고 상기 제2 아이덴티티 정보에 대한 검증이 성공하면, 연관 구축 메시지를 상기 제2 노드에 송신하는 단계 - 상기 연관 구축 메시지는 상기 제1 노드와의 연관을 구축하도록 상기 제2 노드에 지시함 - 를 더 포함한다.
제1 측면의 다른 가능한 구현에서, 상기 보안 콘텍스트 요청 메시지는 사용자 평면의 타깃 보안 알고리즘을 더 포함하고, 상기 통신 방법은,
제2 알고리즘 선택 정책에 따라 상기 사용자 평면의 타깃 보안 알고리즘을 결정하는 단계 - 상기 사용자 평면의 타깃 보안 알고리즘은 상기 제2 노드가 지원하는 상기 보안 알고리즘에 관한 정보에 의해 지시된 보안 알고리즘 세트에 속함 - 를 더 포함한다.
제1 측면의 다른 가능한 구현에서, 상기 통신 방법은
제1 서비스의 식별자 및/또는 상기 제1 서비스의 데이터 패킷 크기를 획득하는 단계;
상기 사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이 그리고 상기 제1 서비스의 식별자와 상기 제1 서비스의 데이터 패킷 크기 중 적어도 하나에 기반하여, 상기 사용자 평면의 타깃 MAC 길이를 결정하는 단계 - 상기 사용자 평면의 타깃 MAC 길이는 상기 제1 서비스의 데이터에 대한 무결성 보호를 수행하기 위한 MAC의 길이를 지시하는 데 사용됨 -; 및
자원 스케줄링 메시지를 상기 제2 노드에 송신하는 단계 - 상기 자원 스케줄링 메시지는 상기 사용자 평면의 타깃 MAC 길이를 포함함 - 를 더 포함한다.
사용자 평면의 타깃 MAC 길이는 사용자 평면의 보안 알고리즘이 지원하는 MAC 길이, 제1 서비스의 식별자 및 제1 서비스의 데이터 패킷 크기에 기반하여 결정될 수 있음을 알 수 있다. 상이한 서비스 또는 상이한 데이터 패킷 크기를 갖는 상이한 서비스에 대해 상이한 MAC 길이가 결정될 수 있다. 이는 MAC 길이의 유연성을 향상시킨다. 상대적으로 기밀성이 높은 서비스의 경우, 상대적으로 긴 MAC 길이를 사용할 수 있으므로, 크랙되는(cracked) 것이 어렵고 데이터 보안이 향상된다.
제2 측면에 따르면, 본 출원의 실시 예는 통신 방법을 더 제공하며, 상기 통신 방법은,
연관 요청 메시지를 제1 노드에 송신하는 단계 - 상기 연관 요청 메시지는 제2 노드가 지원하는 보안 알고리즘에 관한 정보를 포함함 -; 및
상기 제1 노드로부터 보안 콘텍스트 요청 메시지를 수신하는 단계 - 상기 보안 콘텍스트 요청 메시지는 시그널링 평면의 타깃 보안 알고리즘을 지시하는 데 사용되는 정보 및 상기 시그널링 평면의 타깃 MAC 길이를 지시하는 데 사용되는 정보를 포함하고, 상기 시그널링 평면의 타깃 보안 알고리즘 및 상기 시그널링 평면의 타깃 MAC 길이는 제1 알고리즘 선택 정책에 대응하며, 상기 시그널링 평면의 타깃 보안 알고리즘은 상기 제2 노드가 지원하는 보안 알고리즘에 관한 정보에 의해 지시된 보안 알고리즘 세트에 속함 - 를 포함한다.
본 출원의 실시예에서, 제2 노드가, 제2 노드가 지원하는 보안 알고리즘에 관한 정보를 제1 노드에 송신한다. 제1 노드는 제2 노드가 지원하는 보안 알고리즘에 관한 정보에 기반하고 그리고 미리 구성되거나 미리 정의된 알고리즘 정책을 사용하여, 시그널링 평면의 타깃 보안 알고리즘 및 시그널링 평면의 타깃 MAC 길이를 결정하고, 그런 다음 시그널링 평면의 타깃 MAC 길이를 제1 노드와 제2 노드 사이의 시그널링 메시지의 MAC 길이로 사용한다. 이와 같이, 제1 노드에 구성된 상이한 정책에 기반하여 상이한 MAC 길이가 결정되어, MAC 길이의 유연성을 향상시킬 수 있다. 예를 들어, 제2 노드가 지원하는 알고리즘 중에서 상대적으로 보안성이 높은 알고리즘을 선택하고, 상대적으로 긴 MAC 길이를 추가로 선택하여 데이터 보안성을 높일 수 있다.
제2 측면의 가능한 구현에서, 상기 보안 콘텍스트 요청 메시지는 제1 MAC을 포함하고, 상기 제1 MAC의 길이는 상기 시그널링 평면의 타깃 MAC 길이이다. 상기 통신 방법은,
상기 시그널링 평면의 타깃 보안 알고리즘을 사용하여 상기 제1 MAC을 기반으로 상기 보안 콘텍스트 요청 메시지의 무결성을 검사하는 단계를 더 포함한다.
제2 측면의 다른 가능한 구현에서, 상기 제1 MAC은 상기 시그널링 평면의 타깃 MAC 길이를 지시하는 데 사용된다.
제2 측면의 다른 가능한 구현에서, 상기 시그널링 평면의 타깃 보안 알고리즘 및 상기 시그널링 평면의 타깃 MAC 길이는 상기 제1 알고리즘 선택 정책에 따라 결정되고, 상기 제1 MAC은 상기 시그널링 평면의 타깃 보안 알고리즘에 따라 생성된다.
제2 측면의 다른 가능한 구현에서, 상기 보안 콘텍스트 요청 메시지는 제1 아이덴티티 정보를 더 포함한다. 상기 통신 방법은,
상기 제2 노드와 상기 제1 노드 사이의 공유 키에 기반하여 상기 제1 아이덴티티 인증 정보에 대한 검증을 수행하는 단계;
상기 보안 콘텍스트 요청 메시지의 무결성에 대한 검사가 성공하고 상기 제1 아이덴티티 인증 정보에 대한 검증이 성공하면, 상기 시그널링 평면의 타깃 보안 알고리즘을 사용하여 제2 MAC을 생성하는 단계 - 상기 제2 MAC의 길이는 상기 시그널링 평면의 타깃 MAC 길이임 -; 및
보안 콘텍스트 응답 메시지를 상기 제1 노드에 송신하는 단계 - 상기 보안 콘텍스트 응답 메시지는 상기 제2 MAC 및 제2 아이덴티티 인증 정보를 포함하고, 상기 제2 아이덴티티 인증 정보는 상기 제2 노드와 상기 제1 노드 사이의 공유 키에 기반하여 생성됨 - 를 더 포함한다.
제2 측면의 다른 가능한 구현에서, 상기 통신 방법은, 상기 제1 노드로부터 연관 구축 메시지를 수신하는 단계를 더 포함한다. 상기 연관 구축 메시지는 상기 제1 노드와의 연관을 구축하도록 상기 제2 노드에 지시한다.
제2 측면의 다른 가능한 구현에서, 상기 보안 콘텍스트 요청 메시지는 사용자 평면의 타깃 보안 알고리즘을 지시하는 정보를 더 포함하고, 상기 사용자 평면의 타깃 보안 알고리즘은 제2 알고리즘 선택 정책에 대응하며, 상기 사용자 평면의 타깃 보안 알고리즘은 상기 제2 노드가 지원하는 상기 보안 알고리즘에 관한 정보에 의해 지시된 보안 알고리즘 세트에 속한다. 상기 통신 방법은,
상기 제1 노드로부터 자원 스케줄링 메시지를 수신하는 단계 - 상기 자원 스케줄링 메시지는 상기 사용자 평면의 타깃 MAC 길이를 포함하고, 상기 사용자 평면의 타깃 MAC 길이는 상기 사용자 평면의 타깃 보안 알고리즘 그리고 제1 서비스의 식별자와 상기 제1 서비스의 데이터 패킷 크기 중 적어도 하나에 대응하며, 상기 사용자 평면의 타깃 MAC 길이는 상기 제1 서비스의 데이터에 대한 무결성 보호를 수행하기 위한 MAC의 길이를 지시하는 데 사용됨 - 를 더 포함한다.
제1 노드는 사용자 평면의 보안 알고리즘이 지원하는 MAC 길이, 제1 서비스의 식별자 및 제1 서비스의 데이터 패킷 크기에 기반하여 사용자 평면의 타깃 MAC 길이를 결정하고, 그런 다음 사용자 평면의 타깃 MAC 길이를 제1 서비스를 처리하는 데 사용되는 메시지의 MAC 길이로 사용할 수 있음을 알 수 있다. 이러한 방식으로, 상이한 서비스 또는 상이한 데이터 패킷 크기의 서비스에 대해 상이한 MAC 길이가 결정되어, MAC 길이의 유연성을 향상시킬 수 있다. 상대적으로 기밀성이 높은 서비스의 경우, 상대적으로 긴 MAC 길이를 사용할 수 있으므로, 크랙되는 것이 어렵고 데이터 보안이 향상된다.
또한, 제1 노드는 사용자 평면의 타깃 보안 알고리즘을 지시하는 정보 및 사용자 평면의 타깃 MAC 길이를 자원 스케줄링 메시지에 추가하므로, 제2 노드가 자원 스케줄링 메시지를 사용하여, 사용자 평면의 타깃 보안 알고리즘 및 사용자 평면의 타깃 MAC 길이를 획득할 수 있다.
제3 측면에 따르면, 본 출원의 실시 예는 통신 방법을 더 제공하며, 상기 통신 방법은,
제2 노드로부터 서비스 속성 보고 응답 메시지를 수신하는 단계 - 상기 서비스 속성 보고 응답 메시지는 제1 서비스의 식별자 및/또는 상기 제1 서비스의 데이터 패킷 크기를 포함함 -; 및
사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이 그리고 상기 제1 서비스의 식별자와 상기 제1 서비스의 데이터 패킷 크기 중 적어도 하나에 기반하여, 상기 사용자 평면의 타깃 MAC 길이를 결정하는 단계 - 상기 사용자 평면의 타깃 MAC 길이는 상기 제1 서비스의 데이터에 대한 무결성 보호를 수행하기 위한 MAC의 길이를 지시하는 데 사용됨 - 를 포함한다.
본 출원의 실시예에서, 제1 노드는 사용자 평면의 보안 알고리즘이 지원하는 MAC 길이 그리고 제1 서비스의 식별자 및/또는 상기 제1 서비스의 데이터 패킷 크기에 기반하여, 사용자 평면의 타깃 MAC 길이를 결정하며, 그런 다음 사용자 평면의 타깃 MAC 길이를 제1 서비스를 처리하는 데 사용되는 메시지의 MAC 길이로 사용한다. 이와 같이, 상이한 서비스 또는 상이한 데이터 패킷 크기의 서비스에 대해 상이한 MAC 길이가 결정되어, MAC 길이의 유연성을 향상시킬 수 있다. 상대적으로 보안성이 높은 서비스의 경우, 상대적으로 긴 MAC 길이를 사용할 수 있으므로, 크랙되는 것이 어렵고 데이터 보안이 향상된다. 또한, 높은 보안 요건을 가지지 않거나 데이터 패킷이 상대적으로 작은 일부 메시지의 경우, 상대적으로 짧은 MAC 길이를 사용하여, 네트워크 전송 중에 통신 효율성에 영향을 미치는 것을 방지하고 자원 소비를 감소시킬 수 있다.
제3 측면의 가능한 구현에서, 상기 사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이 그리고 상기 제1 서비스의 식별자와 상기 제1 서비스의 데이터 패킷 크기 중 적어도 하나에 기반하여, 상기 사용자 평면의 타깃 MAC 길이를 결정하는 단계는,
상기 사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이 및 상기 제1 서비스의 식별자에 기반하여, 상기 사용자 평면의 타깃 MAC 길이를 결정하는 단계; 또는
상기 사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이 및 상기 제1 서비스의 데이터 패킷 크기에 기반하여, 상기 사용자 평면의 타깃 MAC 길이를 결정하는 단계를 포함한다.
제3 측면의 다른 가능한 구현에서, 상기 사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이 그리고 상기 제1 서비스의 식별자와 상기 제1 서비스의 데이터 패킷 크기 중 적어도 하나에 기반하여, 상기 사용자 평면의 타깃 MAC 길이를 결정하는 단계는,
상기 사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이 및 상기 제1 서비스의 식별자와 MAC 길이 사이의 대응 관계에 기반하여, 상기 제1 서비스의 식별자에 대응하는 MAC 길이를 상기 사용자 평면의 타깃 MAC 길이로 결정하는 단계; 또는
상기 사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이 및 상기 제1 서비스의 데이터 패킷 크기와 MAC 길이 사이의 대응 관계에 기반하여, 상기 제1 서비스의 데이터 패킷 크기에 대응하는 MAC 길이를 상기 사용자 평면의 타깃 MAC 길이로 결정하는 단계를 포함한다.
제3 측면의 다른 가능한 구현에서, 상기 사용자 평면의 타깃 보안 알고리즘 그리고 상기 제1 서비스의 식별자와 상기 제1 서비스의 데이터 패킷 크기 중 적어도 하나에 기반하여, 상기 사용자 평면의 타깃 MAC 길이를 결정하는 단계는,
상기 제1 서비스의 식별자 및/또는 상기 제1 서비스의 데이터 패킷 크기에 기반하여 제2 길이 선택 정책을 결정하는 단계; 및
상기 제2 길이 선택 정책 및 상기 사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이에 기반하여, 상기 사용자 평면의 타깃 MAC 길이를 결정하는 단계를 포함한다.
제3 측면의 다른 가능한 구현에서, 상기 제1 서비스의 식별자는 제1 서비스 유형에 대응하고, 유형이 상기 제1 서비스 유형인 서비스의 데이터에 대해 무결성 보호가 수행되어야 한다.
서로 다른 서비스 유형의 서비스는 서로 다른 무결성 보호 요건을 갖는다. 제1 노드는 제1 서비스의 식별자에 기반하여, 무결성 보호를 활성화할지를(enable) 판정할 수 있고, 무결성 보호가 활성화되어야 하는 서비스에 대해서만 사용자 평면의 대응하는 타깃 MAC을 생성할 수 있으며, 따라서, 서로 다른 서비스의 보안 요건을 충족할 수 있다. 예를 들어, 비디오 업로드(video upload) 서비스는 상대적으로 보안 요건이 높은 서비스이므로, 비디오 업로드 서비스의 데이터에 대해 무결성 보호가 수행되어야 하며, 따라서, 이 서비스의 데이터를 보호하기 위해 사용되는 MAC의 길이가 결정되어야 한다.
제3 측면의 다른 가능한 구현에서, 상기 통신 방법은,
자원 스케줄링 메시지를 상기 제2 노드에 송신하는 단계 - 상기 자원 스케줄링 메시지는 상기 사용자 평면의 타깃 MAC 길이를 지시하는 데 사용되는 정보를 포함함 - 를 더 포함한다.
제3 측면의 다른 가능한 구현에서, 상기 통신 방법은,
상기 사용자 평면의 타깃 보안 알고리즘을 사용하여 제3 MAC을 생성하는 단계 - 상기 제3 MAC의 길이는 상기 사용자 평면의 타깃 MAC 길이이고, 상기 제3 MAC는 상기 제1 서비스의 데이터에 대한 무결성 보호를 수행하는 데 사용됨 - 를 더 포함한다.
제3 측면의 다른 가능한 구현에서, 상기 통신 방법은,
상기 제2 노드가 지원하는 보안 알고리즘에 관한 정보를 획득하는 단계;
제1 알고리즘 선택 정책에 따라 시그널링 평면의 타깃 보안 알고리즘 및 상기 시그널링 평면의 타깃 MAC 길이를 결정하는 단계 - 상기 시그널링 평면의 타깃 보안 알고리즘은 상기 제2 노드가 지원하는 상기 보안 알고리즘에 관한 정보에 의해 지시된 보안 알고리즘 세트에 속함 -;
상기 시그널링 평면의 타깃 보안 알고리즘을 사용하여 제4 MAC을 생성하는 단계 - 상기 제4 MAC의 길이는 상기 시그널링 평면의 타깃 MAC 길이임 -; 및
자원 스케줄링 메시지를 상기 제2 노드에 송신하는 단계 - 상기 자원 스케줄링 메시지는 상기 제4 MAC 및 상기 사용자 평면의 타깃 MAC 길이를 포함하고, 상기 제4 MAC은 상기 자원 스케줄링 메시지에 대한 무결성 보호를 수행하는 데 사용됨 - 를 더 포함한다.
제3 측면의 다른 가능한 구현에서, 상기 통신 방법은,
제2 알고리즘 선택 정책에 따라 상기 사용자 평면의 타깃 보안 알고리즘을 결정하는 단계 - 상기 사용자 평면의 타깃 보안 알고리즘은 상기 제2 노드가 지원하는 상기 보안 알고리즘에 관한 정보에 의해 지시된 보안 알고리즘 세트에 속함 - 를 더 포함한다.
제4 측면에 따르면, 본 출원의 실시 예는 통신 방법을 더 제공하며, 상기 통신 방법은,
서비스 속성 보고 응답 메시지를 제1 노드에 송신하는 단계 - 상기 서비스 속성 보고 응답 메시지는 제1 서비스의 식별자 및/또는 상기 제1 서비스의 데이터 패킷 크기를 포함함 -; 및
상기 제1 노드로부터 자원 스케줄링 메시지를 수신하는 단계 - 상기 자원 스케줄링 메시지는 사용자 평면의 타깃 MAC 길이를 포함하고, 상기 사용자 평면의 타깃 MAC 길이는 상기 사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이이며, 상기 사용자 평면의 타깃 MAC 길이는 상기 제1 서비스의 식별자와 상기 제1 서비스의 데이터 패킷 크기 중 적어도 하나에 대응하고, 상기 사용자 평면의 타깃 MAC 길이는 상기 제1 서비스의 데이터에 대해 무결성 보호를 수행하기 위한 MAC의 길이를 지시하는 데 사용됨 - 를 포함한다.
본 출원의 실시예에서, 서로 다른 서비스 유형의 서비스는 서로 다른 무결성 보호 요건을 가진다. 제1 노드는 제1 서비스의 식별자에 기반하여 무결성 보호를 활성화할지를 판정할 수 있다. 예를 들어, 오디오 노이즈 감소 서비스는 상대적으로 보안 요건이 낮은 서비스이므로, 오디오 노이즈 감소 서비스의 데이터에 대해 무결성 보호를 수행할 필요가 없을 수 있으며, 따라서, 오디오 노이즈 감소 서비스에 대응하는 MAC 길이는 결정되지 않을 수 있다.
또한, 제1 노드는 지시 정보를 자원 스케줄링 메시지에 추가하므로, 제2 노드가 지시 정보에 기반하여 서비스에 대해 무결성 보호가 활성화되는지를 판정할 수 있다.
제4 측면의 가능한 구현에서, 상기 사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이 그리고 상기 제1 서비스의 식별자와 상기 제1 서비스의 데이터 패킷 크기 중 적어도 하나에 기반하여, 상기 사용자 평면의 타깃 MAC 길이가 결정된다.
제4 측면의 다른 가능한 구현에서, 상기 제1 서비스의 식별자는 제1 서비스 유형에 대응하고, 유형이 상기 제1 서비스 유형인 서비스의 데이터에 대해 무결성 보호가 수행되어야 한다.
서로 다른 서비스 유형의 서비스는 서로 다른 무결성 보호 요건을 갖는다. 제1 노드는 제1 서비스의 식별자에 기반하여 무결성 보호를 활성화할지를 판정할 수 있고, 무결성 보호가 활성화되어야 하는 서비스에 대해서만 사용자 평면의 대응하는 타깃 MAC을 생성할 수 있으며, 따라서, 서로 다른 서비스의 보안 요건을 충족할 수 있다. 예를 들어, 비디오 업로드 서비스는 상대적으로 보안 요건이 높은 서비스이므로 비디오 업로드 서비스의 데이터에 대해 무결성 보호가 수행되어야 하며, 따라서, 이 서비스의 데이터를 보호하기 위해 사용되는 MAC의 길이가 결정되어야 한다.
제4 측면의 다른 가능한 구현에서, 상기 사용자 평면의 타깃 보안 알고리즘은 제2 알고리즘 선택 정책에 대응하고, 상기 사용자 평면의 타깃 보안 알고리즘은 제2 노드가 지원하는 보안 알고리즘에 관한 정보에 의해 지시되는 보안 알고리즘 세트에 속한다.
제4 측면의 다른 가능한 구현에서, 상기 자원 스케줄링 메시지는 제4 MAC을 더 포함하고, 상기 통신 방법은,
상기 사용자 평면의 타깃 보안 알고리즘을 사용하여 상기 제4 MAC을 기반으로 상기 자원 스케줄링 메시지의 메시지 무결성을 검사하는 단계를 더 포함한다.
제5 측면에 따르면, 본 출원의 실시 예는 통신 방법을 더 제공하며, 상기 통신 방법은,
서비스 속성 보고 응답 메시지를 제1 노드에 송신하는 단계 - 상기 서비스 속성 보고 응답 메시지는 제1 서비스의 식별자 및/또는 상기 제1 서비스의 데이터 패킷 크기를 포함함 -; 및
사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이 그리고 상기 제1 서비스의 식별자와 상기 제1 서비스의 데이터 패킷 크기 중 적어도 하나에 기반하여, 상기 사용자 평면의 타깃 MAC 길이를 결정하는 단계 - 상기 사용자 평면의 타깃 MAC 길이는 상기 제1 서비스의 데이터에 대한 무결성 보호를 수행하기 위한 MAC의 길이를 지시하는 데 사용됨 - 를 포함한다.
제1 노드와 동일한 사용자 평면의 타깃 MAC 길이를 결정하는 방법이 제2 노드에 구성되어 있음을 알 수 있다. 따라서, 제2 노드는 사용자 평면의 보안 알고리즘이 지원하는 MAC 길이 그리고 제1 서비스의 식별자 및/또는 제1 서비스의 데이터 패킷 크기에 기반하여, 사용자 평면의 타깃 MAC 길이를 결정할 수 있고, 그런 다음 사용자 평면의 타깃 MAC 길이를 제1 서비스를 처리하는 데 사용되는 메시지의 MAC 길이로 사용한다. 이러한 방식으로, 상이한 서비스 또는 상이한 데이터 패킷 크기의 서비스에 대해 상이한 MAC 길이가 결정되어, MAC 길이의 유연성을 향상시킬 수 있다.
그러나, 사용자 평면의 타깃 MAC 길이를 결정하는 동일한 방법이 제2 노드와 제1 노드 모두에 구성되므로, 제1 노드가 특정 방식으로 사용자 평면의 타깃 MAC 길이를 결정하며, 따라서 제2 노드도 동일한 방식으로 사용자 평면의 타깃 MAC 길이를 결정한다. 이러한 방식으로, 노드는 타깃 MAC 길이를 피어(peer) 노드에 송신할 필요가 없어서, 네트워크 자원을 절약할 수 있다.
제5 측면의 가능한 구현에서, 상기 사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이 그리고 상기 제1 서비스의 식별자와 상기 제1 서비스의 데이터 패킷 크기 중 적어도 하나에 기반하여, 상기 사용자 평면의 타깃 MAC 길이를 결정하는 단계는,
상기 사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이 및 상기 제1 서비스의 식별자(identifier, ID)와 MAC 길이 사이의 대응 관계에 기반하여, 상기 제1 서비스의 ID에 대응하는 MAC 길이를 상기 사용자 평면의 타깃 MAC 길이로 결정하는 단계; 또는
상기 사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이 및 상기 제1 서비스의 데이터 패킷 크기와 MAC 길이 사이의 대응 관계에 기반하여, 상기 제1 서비스의 데이터 패킷 크기에 대응하는 MAC 길이를 상기 사용자 평면의 타깃 MAC 길이로 결정하는 단계를 포함한다.
제5 측면의 다른 가능한 구현에서, 상기 사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이 그리고 상기 제1 서비스의 식별자와 상기 제1 서비스의 데이터 패킷 크기 중 적어도 하나에 기반하여, 상기 사용자 평면의 타깃 MAC 길이를 결정하는 단계는,
상기 사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이 및 상기 제1 서비스의 식별자에 기반하여, 상기 사용자 평면의 타깃 MAC 길이를 결정하는 단계; 또는
상기 사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이 및 상기 제1 서비스의 데이터 패킷 크기에 기반하여, 상기 사용자 평면의 타깃 MAC 길이를 결정하는 단계를 포함한다.
제5 측면의 다른 가능한 구현에서, 상기 사용자 평면의 타깃 보안 알고리즘 그리고 상기 제1 서비스의 식별자와 상기 제1 서비스의 데이터 패킷 크기 중 적어도 하나에 기반하여, 상기 사용자 평면의 타깃 MAC 길이를 결정하는 단계는,
상기 제1 서비스의 ID 및/또는 상기 제1 서비스의 데이터 패킷 크기에 기반하여 제2 길이 선택 정책을 결정하는 단계; 및
상기 제2 길이 선택 정책 및 상기 사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이에 기반하여, 상기 사용자 평면의 타깃 MAC 길이를 결정하는 단계를 포함한다.
제5 측면의 다른 가능한 구현에서, 상기 제1 서비스의 식별자는 제1 서비스 유형에 대응하고, 유형이 상기 제1 서비스 유형인 서비스의 데이터에 대해 무결성 보호가 수행되어야 한다.
서로 다른 서비스 유형의 서비스는 서로 다른 무결성 보호 요건을 갖는다. 제1 노드는 제1 서비스의 식별자에 기반하여 무결성 보호를 활성화할지를 판정할 수 있고, 무결성 보호가 활성화되어야 하는 서비스에 대해서만 사용자 평면의 대응하는 타깃 MAC을 생성할 수 있으며, 따라서, 서로 다른 서비스의 보안 요건을 충족할 수 있다. 예를 들어, 비디오 업로드 서비스는 상대적으로 보안 요건이 높은 서비스이므로 비디오 업로드 서비스의 데이터에 대해 무결성 보호가 수행되어야 하며, 따라서, 이 서비스의 데이터를 보호하기 위해 사용되는 MAC의 길이가 결정되어야 한다.
제5 측면의 다른 가능한 구현에서, 상기 사용자 평면의 타깃 보안 알고리즘은 제2 알고리즘 선택 정책에 대응하고, 상기 사용자 평면의 타깃 보안 알고리즘은 상기 제2 노드가 지원하는 보안 알고리즘에 관한 정보에 의해 지시된 보안 알고리즘 세트에 속한다.
제6 측면에 따르면, 본 출원의 실시 예는 통신 방법을 더 제공하며, 상기 통신 방법은,
제2 노드로부터 서비스 속성 보고 응답 메시지를 수신하는 단계 - 상기 서비스 속성 보고 응답 메시지는 적어도 하나의 서비스 식별자를 포함하고, 상기 적어도 하나의 서비스 식별자는 적어도 하나의 제2 서비스의 식별자를 포함하며, 상기 적어도 하나의 제2 서비스의 식별자는 제2 서비스 유형에 대응하고, 유형이 상기 제2 서비스 유형인 서비스의 데이터에 대해 무결성 보호를 수행할 필요가 없음 -; 및
자원 스케줄링 메시지를 상기 제2 노드에 송신하는 단계 - 상기 자원 스케줄링 메시지는 상기 적어도 하나의 제2 서비스의 식별자에 대응하는 서비스에 대해 무결성 보호가 활성화되지 않음을 지시하는 데 사용됨 - 를 포함한다.
서로 다른 서비스 유형의 서비스는 서로 다른 무결성 보호 요건을 가짐을 알 수 있다. 제1 노드는 제1 서비스의 식별자에 기반하여 무결성 보호를 활성화할지를 판정할 수 있다. 예를 들어, 오디오 노이즈 감소 서비스는 상대적으로 보안 요건이 낮은 서비스이므로, 오디오 노이즈 감소 서비스의 데이터에 대해 무결성 보호를 수행할 필요가 없을 수 있으며, 따라서, 오디오 노이즈 감소 서비스에 대응하는 MAC 길이는 결정되지 않을 수 있다.
또한, 제1 노드는 지시 정보를 자원 스케줄링 메시지에 추가하므로, 제2 노드는 지시 정보에 기반하여, 서비스에 대해 무결성 보호가 활성화되는지를 판정할 수 있다.
제6 측면의 가능한 구현에서, 상기 적어도 하나의 서비스 식별자는 적어도 하나의 제1 서비스의 식별자를 포함하고, 상기 적어도 하나의 제1 서비스의 식별자는 제1 서비스 유형에 대응하며, 유형이 상기 제1 서비스 유형인 서비스의 데이터에 대해 무결성 보호가 수행되어야 한다.
제6 측면의 다른 가능한 구현에서, 상기 자원 스케줄링 메시지는 추가로, 상기 적어도 하나의 제1 서비스에 사용되는 사용자 평면의 타깃 MAC 길이를 지시하는 데 사용된다.
무결성 보호를 수행해야 하는 서비스의 경우, 사용자 평면의 타깃 MAC 길이를 지시하는 정보가 제1 노드에 추가될 수 있으며, 이는 서비스 데이터에 대해 무결성 보호를 수행하기 위한 MAC의 길이를 지시하는 데 사용됨을 알 수 있다.
제7 측면에 따르면, 본 출원의 실시 예는 통신 방법을 더 제공하며, 상기 통신 방법은,
서비스 속성 보고 응답 메시지를 제1 노드에 송신하는 단계 - 상기 서비스 속성 보고 응답 메시지는 적어도 하나의 서비스 식별자를 포함하고, 상기 적어도 하나의 서비스 식별자는 적어도 하나의 제2 서비스의 식별자를 포함하며, 상기 적어도 하나의 제2 서비스의 식별자는 제2 서비스 유형에 대응하고, 유형이 상기 제2 서비스 유형인 서비스의 데이터에 대해 무결성 보호를 수행할 필요가 없음 -;
상기 제1 노드로부터 자원 스케줄링 메시지를 수신하는 단계; 및
상기 자원 스케줄링 메시지에 기반하여, 상기 적어도 하나의 제2 서비스의 식별자에 대응하는 서비스에 대해 무결성 보호가 활성화되지 않는 것으로 결정하는 단계를 포함한다.
서로 다른 서비스 유형의 서비스는 서로 다른 무결성 보호 요건을 가짐을 알 수 있다. 제1 노드는 제1 서비스의 식별자에 기반하여 무결성 보호를 활성화할지를 판정할 수 있다. 예를 들어, 오디오 노이즈 감소 서비스는 상대적으로 보안 요건이 낮은 서비스이므로, 오디오 노이즈 감소 서비스의 데이터에 대해 무결성 보호를 수행할 필요가 없을 수 있으며, 따라서, 오디오 노이즈 감소 서비스에 대응하는 MAC 길이는 결정되지 않을 수 있다.
제7 측면의 가능한 구현에서, 상기 적어도 하나의 서비스 식별자는 적어도 하나의 제1 서비스의 식별자를 포함하고, 상기 적어도 하나의 제1 서비스의 식별자는 제1 서비스 유형에 대응하며, 유형이 상기 제1 서비스 유형인 서비스의 데이터에 대해 무결성 보호가 수행되어야 한다. 상기 통신 방법은,
상기 자원 스케줄링 메시지에 기반하여, 상기 적어도 하나의 제1 서비스의 식별자에 대응하는 서비스에 대해 무결성 보호가 활성화되는 것으로 결정하는 단계를 더 포함한다.
제7 측면의 다른 가능한 구현에서, 상기 자원 스케줄링 메시지는 추가로, 상기 적어도 하나의 제1 서비스의 데이터에 대해 무결성 보호를 수행하기 위한 MAC의 길이를 지시하는 데 사용된다.
제8 측면에 따르면, 본 출원의 실시 예는 통신 장치를 제공하며, 상기 통신 장치는,
제2 노드로부터 연관 요청 메시지를 수신하도록 - 상기 연관 요청 메시지는 상기 제2 노드가 지원하는 보안 알고리즘에 관한 정보를 포함함 - 구성된 수신 유닛; 및
제1 알고리즘 선택 정책에 따라 시그널링 평면의 타깃 보안 알고리즘 및 상기 시그널링 평면의 타깃 MAC 길이를 결정하도록 - 상기 시그널링 평면의 타깃 보안 알고리즘은 상기 제2 노드가 지원하는 상기 보안 알고리즘에 관한 정보에 의해 지시된 보안 알고리즘 세트에 속함 - 구성된 처리 유닛을 포함한다.
상기 처리 유닛은 추가로, 상기 시그널링 평면의 타깃 보안 알고리즘을 사용하여 제1 MAC을 생성하도록 구성되고, 상기 제1 MAC의 길이는 상기 시그널링 평면의 타깃 MAC 길이이다.
본 출원의 이 실시예에서, 상기 통신 장치는, 제2 노드가 지원하는 보안 알고리즘에 관한 정보에 기반하고 그리고 미리 구성된 또는 미리 정의된 알고리즘 정책을 사용하여, 시그널링 평면의 타깃 보안 알고리즘 및 시그널링 평면의 타깃 MAC 길이를 결정하고, 그런 다음 시그널링 평면의 타깃 MAC 길이를 제1 노드와 제2 노드 사이의 신호 메시지의 MAC 길이로 사용한다. 이와 같이, 상기 통신 장치에 구성된 상이한 정책에 기반하여 상이한 MAC 길이가 결정되어, MAC 길이의 유연성을 향상시킬 수 있다. 또한, 알고리즘 선택 정책은 제1 노드의 통신 요건에 기반하여 미리 구성되거나 미리 정의될 수 있다. 예를 들어, 상대적으로 보안성이 높고 MAC 길이가 상대적으로 긴 알고리즘을 우선적으로 선택하여 데이터 보안성을 높일 수 있다.
제8 측면의 가능한 구현에서, 상기 처리 유닛은 구체적으로,
제1 길이 선택 정책 및 상기 제1 알고리즘 선택 정책에 따라 상기 시그널링 평면의 타깃 보안 알고리즘 및 상기 시그널링 평면의 타깃 MAC 길이를 결정하도록 구성된다.
제8 측면의 다른 가능한 구현에서, 상기 처리 유닛은 구체적으로,
상기 제1 알고리즘 선택 정책에 따라 상기 시그널링 평면의 타깃 보안 알고리즘을 결정하도록 구성되고, 상기 시그널링 평면의 타깃 보안 알고리즘에 대응하는 MAC 길이는 상기 시그널링 평면의 타깃 MAC 길이이다.
제8 측면의 다른 가능한 구현에서, 상기 통신 장치는,
보안 콘텍스트 요청 메시지를 상기 제2 노드에 송신하도록 - 상기 보안 콘텍스트 요청 메시지는 상기 제1 MAC, 상기 시그널링 평면의 타깃 보안 알고리즘을 지시하는 정보, 및 상기 시그널링 평면의 타깃 MAC 길이를 포함하고, 상기 제1 MAC은 상기 보안 콘텍스트 요청 메시지의 무결성을 검사하는 데 사용됨 - 구성된 송신 유닛을 더 포함한다.
제8 측면의 다른 가능한 구현에서, 상기 통신 장치는,
보안 콘텍스트 요청 메시지를 상기 제2 노드에 송신하도록 - 상기 보안 콘텍스트 요청 메시지는 상기 제1 MAC 및 상기 시그널링 평면의 타깃 보안 알고리즘을 지시하는 정보를 포함하고, 상기 제1 MAC은 상기 보안 콘텍스트 요청 메시지의 무결성을 검사하는 데 사용되며, 상기 제1 MAC은 추가로, 상기 시그널링 평면의 타깃 MAC 길이를 지시하는 데 사용됨 - 구성된 송신 유닛을 더 포함한다.
제8 측면의 다른 가능한 구현에서, 상기 통신 장치는, 보안 콘텍스트 요청 메시지를 상기 제2 노드에 송신하도록 구성된 송신 유닛을 더 포함한다. 상기 보안 콘텍스트 요청 메시지는 상기 제1 MAC, 상기 시그널링 평면의 타깃 보안 알고리즘을 지시하는 정보, 상기 시그널링 평면의 타깃 MAC 길이, 및 제1 아이덴티티 인증 정보를 포함하고, 상기 제1 MAC은 상기 보안 콘텍스트 요청 메시지의 무결성을 검사하는 데 사용되며, 상기 제1 노드와 상기 제2 노드 사이의 공유 키에 기반하여 상기 제1 아이덴티티 인증 정보가 생성된다.
상기 수신 유닛은 추가로, 상기 제2 노드로부터 보안 콘텍스트 응답 메시지를 수신하도록 구성된다. 상기 보안 콘텍스트 응답 메시지는 제2 아이덴티티 인증 정보 및 제2 MAC을 포함하고, 상기 제2 MAC의 길이는 상기 시그널링 평면의 타깃 MAC 길이이며, 상기 제2 아이덴티티 인증 정보가 상기 제2 노드의 아이덴티티를 검증하는 데 사용되고, 상기 제2 MAC은 상기 보안 콘텍스트 응답 메시지의 무결성을 검사하는 데 사용된다.
공유 키는 제1 노드와 제2 노드가 공유하는 비밀 값으로, 노드의 아이덴티티를 검증하기 위한 아이덴티티 인증 정보 생성에 사용될 수 있다. 상기 통신 장치는 공유 키를 사용하여 제1 아이덴티티 인증 정보를 생성할 수 있고, 제1 아이덴티티 인증 정보가 제1 노드의 아이덴티티를 검증하기 위해 제2 노드에 의해 사용됨을 알 수 있다. 이에 대응하여, 제1 노드도 제2 아이덴티티 인증 정보를 사용하여 제2 노드의 아이덴티티를 검증할 수 있다. 공격자가 제2 노드의 아이덴티티를 위조하여 시그널링 평면의 타깃 보안 알고리즘이나 시그널링 평면의 타깃 MAC 길이를 획득하려고 하면, 공유 키가 위조될 수 없기 때문에 상기 통신 장치가 아이덴티티에 대해 수행한 검증은 성공할 수 없다. 따라서, 제1 노드가 신뢰할 수 없는 노드와 통신하는 것을 방지하고, 제1 노드의 통신 보안이 향상된다.
제8 측면의 다른 가능한 구현에서, 상기 보안 콘텍스트 요청 메시지는 사용자 평면의 타깃 보안 알고리즘을 더 포함하고, 상기 처리 유닛은 구체적으로,
제2 알고리즘 선택 정책에 따라 상기 사용자 평면의 타깃 보안 알고리즘을 결정하도록 구성되고, 상기 사용자 평면의 타깃 보안 알고리즘은 상기 제2 노드가 지원하는 상기 보안 알고리즘에 관한 정보에 의해 지시된 보안 알고리즘 세트에 속한다.
제8 측면의 다른 가능한 구현에서, 상기 수신 유닛은 추가로, 제1 서비스의 식별자 및/또는 상기 제1 서비스의 데이터 패킷 크기를 획득하도록 구성된다.
상기 처리 유닛은 추가로, 상기 사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이 그리고 상기 제1 서비스의 식별자와 상기 제1 서비스의 데이터 패킷 크기 중 적어도 하나에 기반하여, 상기 사용자 평면의 타깃 MAC 길이를 결정하도록 구성된다. 상기 사용자 평면의 타깃 MAC 길이는 상기 제1 서비스의 데이터에 대한 무결성 보호를 수행하기 위한 MAC의 길이를 지시하는 데 사용된다.
상기 송신 유닛은 추가로, 자원 스케줄링 메시지를 상기 제2 노드에 송신하도록 구성되고, 상기 자원 스케줄링 메시지는 상기 사용자 평면의 타깃 MAC 길이를 포함한다.
제9 측면에 따르면, 본 출원의 실시 예는 통신 장치를 제공하며, 상기 통신 장치는,
연관 요청 메시지를 제1 노드에 송신하도록 - 상기 연관 요청 메시지는 제2 노드가 지원하는 보안 알고리즘에 관한 정보를 포함함 - 구성된 송신 유닛; 및
상기 제1 노드로부터 보안 콘텍스트 요청 메시지를 수신하도록 - 상기 보안 콘텍스트 요청 메시지는 시그널링 평면의 타깃 보안 알고리즘을 지시하는 데 사용되는 정보 및 상기 시그널링 평면의 타깃 MAC 길이를 지시하는 데 사용되는 정보를 포함하고, 상기 시그널링 평면의 타깃 보안 알고리즘 및 상기 시그널링 평면의 타깃 MAC 길이는 제1 알고리즘 선택 정책에 대응하며, 상기 시그널링 평면의 타깃 보안 알고리즘은 상기 제2 노드가 지원하는 보안 알고리즘에 관한 정보에 의해 지시된 보안 알고리즘 세트에 속함 - 구성된 수신 유닛을 포함한다.
본 출원의 이 실시예에서, 상기 통신 장치는 제2 노드가 지원하는 보안 알고리즘에 관한 정보를 제1 노드에 송신한다. 제1 노드는 제2 노드가 지원하는 보안 알고리즘에 관한 정보에 기반하고 그리고 미리 구성 또는 미리 정의된 알고리즘 정책을 사용하여, 시그널링 평면의 타깃 보안 알고리즘과 시그널링 평면의 타깃 MAC 길이를 결정하고, 그런 다음 시그널링 평면의 타깃 MAC 길이를 제1 노드와 제2 노드 사이의 시그널링 메시지의 MAC 길이로 사용한다. 이와 같이, 상기 통신 장치에 구성된 상이한 정책에 기반하여 상이한 MAC 길이가 결정되어, MAC 길이의 유연성을 향상시킬 수 있다. 예를 들어, 제2 노드가 지원하는 알고리즘 중에서 상대적으로 보안성이 높은 알고리즘을 선택하고, 상대적으로 긴 MAC 길이를 추가로 선택하여 데이터 보안성을 높일 수 있다.
제9 측면의 가능한 구현에서, 상기 보안 콘텍스트 요청 메시지는 제1 MAC을 포함하고, 상기 제1 MAC의 길이는 상기 시그널링 평면의 타깃 MAC 길이이이다. 상기 통신 장치는,
상기 시그널링 평면의 타깃 보안 알고리즘을 사용하여 상기 제1 MAC을 기반으로 상기 보안 콘텍스트 요청 메시지의 무결성을 검사하도록 구성된 처리 유닛을 더 포함한다.
제9 측면의 다른 가능한 구현에서, 상기 제1 MAC은 상기 시그널링 평면의 타깃 MAC 길이를 지시하는 데 사용되는 정보이다.
제9 측면의 다른 가능한 구현에서, 상기 보안 콘텍스트 요청 메시지는 제1 아이덴티티 인증 정보를 더 포함한다. 상기 처리 유닛은 추가로, 상기 제2 노드와 상기 제1 노드 사이의 공유 키에 기반하여 상기 제1 아이덴티티 인증 정보에 대한 검증을 수행하도록 구성된다.
상기 처리 유닛은 추가로, 상기 보안 콘텍스트 요청 메시지의 무결성에 대한 검사가 성공하고 상기 제1 아이덴티티 인증 정보에 대한 검증이 성공하면, 상기 시그널링 평면의 타깃 보안 알고리즘을 사용하여 제2 MAC을 생성하도록 구성된다. 상기 제2 MAC의 길이는 상기 시그널링 평면의 타깃 MAC 길이이다.
상기 송신 유닛은 추가로, 보안 콘텍스트 응답 메시지를 상기 제1 노드에 송신하도록 구성된다. 상기 보안 콘텍스트 응답 메시지는 상기 제2 MAC 및 제2 아이덴티티 인증 정보를 포함하고, 상기 제2 아이덴티티 인증 정보는 상기 제2 노드와 상기 제1 노드 사이의 공유 키에 기반하여 생성된다.
제9 측면의 다른 가능한 구현에서, 상기 보안 콘텍스트 요청 메시지는 사용자 평면의 타깃 보안 알고리즘을 지시하는 정보를 더 포함하고, 상기 사용자 평면의 타깃 보안 알고리즘은 제2 알고리즘 선택 정책에 대응하며, 상기 사용자 평면의 타깃 보안 알고리즘은 상기 제2 노드가 지원하는 상기 보안 알고리즘에 관한 정보에 의해 지시된 보안 알고리즘 세트에 속한다.
상기 수신 유닛은 추가로, 상기 제1 노드로부터 자원 스케줄링 메시지를 수신하도록 구성된다. 상기 자원 스케줄링 메시지는 상기 사용자 평면의 타깃 MAC 길이를 포함하고, 상기 사용자 평면의 타깃 MAC 길이는 상기 사용자 평면의 타깃 보안 알고리즘 그리고 제1 서비스의 식별자와 상기 제1 서비스의 데이터 패킷 크기 중 적어도 하나에 대응하며, 상기 사용자 평면의 타깃 MAC 길이는 상기 제1 서비스의 데이터에 대한 무결성 보호를 수행하기 위한 MAC의 길이를 지시하는 데 사용된다.
제10 측면에 따르면, 본 출원의 실시 예는 통신 장치를 제공하며, 상기 통신 장치는,
제2 노드로부터 서비스 속성 보고 응답 메시지를 수신하도록 - 상기 서비스 속성 보고 응답 메시지는 제1 서비스의 식별자 및/또는 상기 제1 서비스의 데이터 패킷 크기를 포함함 - 구성된 수신 유닛; 및
사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이 그리고 상기 제1 서비스의 식별자와 상기 제1 서비스의 데이터 패킷 크기 중 적어도 하나에 기반하여, 상기 사용자 평면의 타깃 MAC 길이를 결정하도록 - 상기 사용자 평면의 타깃 MAC 길이는 상기 제1 서비스의 데이터에 대한 무결성 보호를 수행하기 위한 MAC의 길이를 지시하는 데 사용됨 - 구성된 처리 유닛을 포함한다.
본 출원의 이 실시예에서, 상기 통신 장치는 사용자 평면의 보안 알고리즘이 지원하는 MAC 길이, 제1 서비스의 식별자 및 제1 서비스의 데이터 패킷 크기에 기반하여 사용자 평면의 타깃 MAC 길이를 결정하고, 그런 다음 사용자 평면의 타깃 MAC 길이를 제1 서비스를 처리하는 데 사용되는 메시지의 MAC 길이로 사용한다. 이러한 방식으로, 상이한 서비스 또는 상이한 데이터 패킷 크기의 서비스에 대해 상이한 MAC 길이가 결정되어, MAC 길이의 유연성을 향상시킬 수 있다. 상대적으로 보안성이 높은 서비스의 경우, 상대적으로 긴 MAC 길이를 사용할 수 있으므로 크랙되는 것이 어렵고 데이터 보안이 향상된다. 또한, 프라이버시 요건이 높지 않거나 데이터 패킷이 상대적으로 작은 일부 메시지의 경우, 상대적으로 짧은 MAC 길이를 사용하여, 네트워크 전송 중에 통신 효율성에 영향을 미치는 것을 방지하고 자원 소비를 감소시킬 수 있다.
제10 측면의 가능한 구현에서, 상기 처리 유닛은 구체적으로,
상기 사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이 및 상기 제1 서비스의 식별자와 MAC 길이 사이의 대응 관계에 기반하여, 상기 제1 서비스의 식별자에 대응하는 MAC 길이를 상기 사용자 평면의 타깃 MAC 길이로 결정하거나; 또는
상기 사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이 및 상기 제1 서비스의 데이터 패킷 크기와 MAC 길이 사이의 대응 관계에 기반하여, 상기 제1 서비스의 데이터 패킷 크기에 대응하는 MAC 길이를 상기 사용자 평면의 타깃 MAC 길이로 결정하도록 구성된다.
제10 측면의 다른 가능한 구현에서, 상기 처리 유닛은 구체적으로,
상기 제1 서비스의 식별자 및/또는 상기 제1 서비스의 데이터 패킷 크기에 기반하여 제2 길이 선택 정책을 결정하고; 그리고
상기 제2 길이 선택 정책 및 상기 사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이에 기반하여, 상기 사용자 평면의 타깃 MAC 길이를 결정하도록 구성된다.
제10 측면의 다른 가능한 구현에서, 상기 제1 서비스의 식별자는 제1 서비스 유형에 대응하고, 유형이 상기 제1 서비스 유형인 서비스의 데이터에 대해 무결성 보호가 수행되어야 한다.
제10 측면의 다른 가능한 구현에서, 상기 통신 장치는, 자원 스케줄링 메시지를 상기 제2 노드에 송신하도록 구성되는 송신 유닛을 더 포함하고, 상기 자원 스케줄링 메시지는 상기 사용자 평면의 타깃 MAC 길이를 포함한다.
제10 측면의 다른 가능한 구현에서, 상기 처리 유닛은 추가로,
상기 사용자 평면의 타깃 보안 알고리즘을 사용하여 제3 MAC을 생성하도록 구성되고, 상기 제3 MAC의 길이는 상기 사용자 평면의 타깃 MAC 길이이고, 상기 제3 MAC는 상기 제1 서비스의 데이터에 대한 무결성 보호를 수행하는 데 사용된다.
제10 측면의 다른 가능한 구현에서, 상기 수신 유닛은 추가로, 상기 제2 노드가 지원하는 보안 알고리즘에 관한 정보를 획득하도록 구성된다.
상기 처리 유닛은 추가로, 제1 알고리즘 선택 정책에 따라 시그널링 평면의 타깃 보안 알고리즘 및 상기 시그널링 평면의 타깃 MAC 길이를 결정하도록 구성된다. 상기 시그널링 평면의 타깃 보안 알고리즘은 상기 제2 노드가 지원하는 상기 보안 알고리즘에 관한 정보에 의해 지시된 보안 알고리즘 세트에 속한다.
상기 처리 유닛은 추가로, 상기 시그널링 평면의 타깃 보안 알고리즘을 사용하여 제4 MAC을 생성하도록 구성되며, 상기 제4 MAC의 길이는 상기 시그널링 평면의 타깃 MAC 길이이다.
상기 송신 유닛은 추가로, 자원 스케줄링 메시지를 상기 제2 노드에 송신하도록 구성된다. 상기 자원 스케줄링 메시지는 상기 제4 MAC 및 상기 사용자 평면의 타깃 MAC 길이를 포함하고, 상기 제4 MAC은 상기 자원 스케줄링 메시지에 대한 무결성 보호를 수행하는 데 사용된다.
제10 측면의 다른 가능한 구현에서, 상기 처리 유닛은 추가로,
제2 알고리즘 선택 정책에 따라 상기 사용자 평면의 타깃 보안 알고리즘을 결정하도록 구성되고, 상기 사용자 평면의 타깃 보안 알고리즘은 상기 제2 노드가 지원하는 상기 보안 알고리즘에 관한 정보에 의해 지시된 보안 알고리즘 세트에 속한다.
제11 측면에 따르면, 본 출원의 실시 예는 통신 장치를 제공하며, 상기 통신 장치는,
서비스 속성 보고 응답 메시지를 제1 노드에 송신하도록 - 상기 서비스 속성 보고 응답 메시지는 제1 서비스의 식별자 및/또는 상기 제1 서비스의 데이터 패킷 크기를 포함함 - 구성된 송신 유닛; 및
상기 제1 노드로부터 자원 스케줄링 메시지를 수신하도록 - 상기 자원 스케줄링 메시지는 사용자 평면의 타깃 MAC 길이를 포함하고, 상기 사용자 평면의 타깃 MAC 길이는 상기 사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이이며, 상기 사용자 평면의 타깃 MAC 길이는 상기 제1 서비스의 식별자와 상기 제1 서비스의 데이터 패킷 크기 중 적어도 하나에 대응하고, 상기 사용자 평면의 타깃 MAC 길이는 상기 제1 서비스의 데이터에 대해 무결성 보호를 수행하기 위한 MAC의 길이를 지시하는 데 사용된다.
본 실시예에서, 서로 다른 서비스 유형의 서비스는 서로 다른 무결성 보호 요건을 갖는다. 장치(170)는 제1 서비스의 식별자에 기반하여 무결성 보호를 활성화할지를 판정할 수 있다. 예를 들어, 오디오 노이즈 감소 서비스는 상대적으로 보안 요건이 낮은 서비스이므로, 오디오 노이즈 감소 서비스의 데이터에 대해 무결성 보호를 수행할 필요가 없을 수 있다.
제11 측면의 가능한 구현에서, 상기 제1 서비스의 식별자는 제1 서비스 유형에 대응하고, 유형이 상기 제1 서비스 유형인 서비스의 데이터에 대해 무결성 보호가 수행되어야 한다.
제11 측면의 다른 가능한 구현에서, 상기 사용자 평면의 타깃 보안 알고리즘은 제2 알고리즘 선택 정책에 대응하고, 상기 사용자 평면의 타깃 보안 알고리즘은 제2 노드가 지원하는 보안 알고리즘에 관한 정보에 의해 지시되는 보안 알고리즘 세트에 속한다.
제11 측면의 다른 가능한 구현에서, 상기 자원 스케줄링 메시지는 제4 MAC을 더 포함하고, 상기 처리 유닛은 추가로,
상기 사용자 평면의 타깃 보안 알고리즘을 사용하여 상기 제4 MAC을 기반으로 상기 자원 스케줄링 메시지의 메시지 무결성을 검사하도록 구성된다.
제12 측면에 따르면, 본 출원의 실시 예는 통신 장치를 제공하며, 상기 통신 장치는,
서비스 속성 보고 응답 메시지를 제1 노드에 송신하도록 - 상기 서비스 속성 보고 응답 메시지는 제1 서비스의 식별자 및/또는 상기 제1 서비스의 데이터 패킷 크기를 포함함 - 구성된 송신 유닛; 및
사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이 그리고 상기 제1 서비스의 식별자와 상기 제1 서비스의 데이터 패킷 크기 중 적어도 하나에 기반하여, 상기 사용자 평면의 타깃 MAC 길이를 결정하도록 - 상기 사용자 평면의 타깃 MAC 길이는 상기 제1 서비스의 데이터에 대한 무결성 보호를 수행하기 위한 MAC의 길이를 지시하는 데 사용됨 - 구성된 처리 유닛을 포함한다.
제1 노드와 동일한 사용자 평면의 타깃 MAC 길이를 결정하는 방법이 상기 통신 장치에 구성되어 있다. 따라서, 상기 통신 장치는 사용자 평면의 보안 알고리즘이 지원하는 MAC 길이와 제1 서비스의 식별자 및/또는 제1 서비스의 데이터 패킷 크기에 기반하여 사용자 평면의 타깃 MAC 길이를 결정하고, 그런 다음 사용자 평면의 타깃 MAC 길이를 제1 서비스를 처리하기 위해 사용되는 메시지의 MAC 길이로 사용할 수 있다. 이러한 방식으로, 상이한 서비스 또는 상이한 데이터 패킷 크기의 서비스에 대해 상이한 MAC 길이가 결정되어, MAC 길이의 유연성을 향상시킬 수 있다.
그러나, 사용자 평면의 타깃 MAC 길이를 결정하기 위한 동일한 방법이 상기 통신 장치 및 제1 노드 모두에 구성되므로, 제1 노드가 특정 방식으로 사용자 평면의 타깃 MAC 길이를 결정하며, 따라서 상기 통신 장치도 또한 동일한 방식으로 사용자 평면의 타깃 MAC 길이를 결정한다. 이러한 방식으로, 노드는 타깃 MAC 길이를 피어 노드에 송신할 필요가 없어서, 네트워크 자원을 절약할 수 있다.
제12 측면의 가능한 구현에서, 상기 처리 유닛은 구체적으로,
상기 사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이 및 상기 제1 서비스의 식별자(identifier, ID)와 MAC 길이 사이의 대응 관계에 기반하여, 상기 제1 서비스의 ID에 대응하는 MAC 길이를 상기 사용자 평면의 타깃 MAC 길이로 결정하거나; 또는
상기 사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이 및 상기 제1 서비스의 데이터 패킷 크기와 MAC 길이 사이의 대응 관계에 기반하여, 상기 제1 서비스의 데이터 패킷 크기에 대응하는 MAC 길이를 상기 사용자 평면의 타깃 MAC 길이로 결정하도록 구성된다.
제12 측면의 다른 가능한 구현에서, 상기 처리 유닛은 구체적으로,
상기 제1 서비스의 ID 및/또는 상기 제1 서비스의 데이터 패킷 크기에 기반하여 제2 길이 선택 정책을 결정하고; 그리고
상기 제2 길이 선택 정책 및 상기 사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이에 기반하여, 상기 사용자 평면의 타깃 MAC 길이를 결정하도록 구성된다.
제12 측면의 다른 가능한 구현에서, 상기 제1 서비스의 식별자는 제1 서비스 유형에 대응하고, 유형이 상기 제1 서비스 유형인 서비스의 데이터에 대해 무결성 보호가 수행되어야 한다.
제12 측면의 다른 가능한 구현에서, 상기 사용자 평면의 타깃 보안 알고리즘은 제2 알고리즘 선택 정책에 대응하고, 상기 사용자 평면의 타깃 보안 알고리즘은 상기 제2 노드가 지원하는 보안 알고리즘에 관한 정보에 의해 지시된 보안 알고리즘 세트에 속한다.
제13 측면에 따르면, 본 출원의 실시 예는 통신 장치를 제공하며, 상기 통신 장치는,
제2 노드로부터 서비스 속성 보고 응답 메시지를 수신하도록 - 상기 서비스 속성 보고 응답 메시지는 적어도 하나의 서비스 식별자를 포함하고, 상기 적어도 하나의 서비스 식별자는 적어도 하나의 제2 서비스의 식별자를 포함하며, 상기 적어도 하나의 제2 서비스의 식별자는 제2 서비스 유형에 대응하고, 유형이 상기 제2 서비스 유형인 서비스의 데이터에 대해 무결성 보호를 수행할 필요가 없음 - 구성된 수신 유닛; 및
자원 스케줄링 메시지를 상기 제2 노드에 송신하도록 - 상기 자원 스케줄링 메시지는 상기 적어도 하나의 제2 서비스의 식별자에 대응하는 서비스에 대해 무결성 보호가 활성화되지 않음을 지시하는 데 사용됨 - 구성되는 송신 유닛을 포함한다.
서로 다른 서비스 유형의 서비스는 서로 다른 무결성 보호 요건을 가짐을 알 수 있다. 상기 통신 장치는 제1 서비스의 식별자에 기반하여 무결성 보호를 활성화할지를 판정할 수 있다. 예를 들어, 오디오 노이즈 감소 서비스는 상대적으로 보안 요건이 낮은 서비스이므로, 오디오 노이즈 감소 서비스의 데이터에 대해 무결성 보호를 수행할 필요가 없을 수 있으며, 따라서, 오디오 노이즈 감소 서비스에 대응하는 MAC 길이는 결정되지 않을 수 있다.
제13 측면의 다른 가능한 구현에서, 상기 적어도 하나의 서비스 식별자는 적어도 하나의 제1 서비스의 식별자를 포함하고, 상기 적어도 하나의 제1 서비스의 식별자는 제1 서비스 유형에 대응하며, 유형이 상기 제1 서비스 유형인 서비스의 데이터에 대해 무결성 보호가 수행되어야 한다.
제13 측면의 다른 가능한 구현에서, 상기 자원 스케줄링 메시지는 추가로, 상기 적어도 하나의 제1 서비스에 사용되는 사용자 평면의 타깃 MAC 길이를 지시하는 데 사용된다.
제14 측면에 따르면, 본 출원의 실시 예는 통신 장치를 제공하며, 상기 통신 장치는,
서비스 속성 보고 응답 메시지를 제1 노드에 송신하도록 - 상기 서비스 속성 보고 응답 메시지는 적어도 하나의 서비스 식별자를 포함하고, 상기 적어도 하나의 서비스 식별자는 적어도 하나의 제2 서비스의 식별자를 포함하며, 상기 적어도 하나의 제2 서비스의 식별자는 제2 서비스 유형에 대응하고, 유형이 상기 제2 서비스 유형인 서비스의 데이터에 대해 무결성 보호를 수행할 필요가 없음 - 구성된 송신 유닛;
상기 제1 노드로부터 자원 스케줄링 메시지를 수신하도록 구성된 수신 유닛; 및
상기 자원 스케줄링 메시지에 기반하여, 상기 적어도 하나의 제2 서비스의 식별자에 대응하는 서비스에 대해 무결성 보호가 활성화되지 않는 것으로 결정하도록 구성된 처리 유닛을 포함한다.
서로 다른 서비스 유형의 서비스는 서로 다른 무결성 보호 요건을 가짐을 알 수 있다. 제1 노드는 제1 서비스의 식별자에 기반하여 무결성 보호를 활성화할지를 판정할 수 있다. 예를 들어, 오디오 노이즈 감소 서비스는 상대적으로 보안 요건이 낮은 서비스이므로, 오디오 노이즈 감소 서비스의 데이터에 대해 무결성 보호를 수행할 필요가 없을 수 있으며, 따라서, 오디오 노이즈 감소 서비스에 대응하는 MAC 길이는 결정되지 않을 수 있다.
제14 측면의 가능한 구현에서, 상기 적어도 하나의 서비스 식별자는 적어도 하나의 제1 서비스의 식별자를 포함하고, 상기 적어도 하나의 제1 서비스의 식별자는 제1 서비스 유형에 대응하며, 유형이 상기 제1 서비스 유형인 서비스의 데이터에 대해 무결성 보호가 수행되어야 한다.
상기 처리 유닛은 추가로, 상기 자원 스케줄링 메시지에 기반하여, 상기 적어도 하나의 제1 서비스의 식별자에 대응하는 서비스에 대해 무결성 보호가 활성화되는 것으로 결정하도록 구성된다.
제14 측면의 다른 가능한 구현에서, 상기 자원 스케줄링 메시지는 추가로, 상기 적어도 하나의 제1 서비스의 데이터에 대해 무결성 보호를 수행하기 위한 MAC의 길이를 지시하는 데 사용된다.
제15 측면에 따르면, 본 출원의 실시 예는 통신 방법을 더 제공하며, 상기 통신 방법은,
제2 노드로부터 연관 요청 메시지를 수신하는 단계 - 상기 연관 요청 메시지는 상기 제2 노드가 지원하는 보안 알고리즘에 관한 정보 및 상기 제2 노드의 아이덴티티를 포함함 -;
제1 알고리즘 선택 정책에 따라 시그널링 평면의 타깃 보안 알고리즘 및 상기 시그널링 평면의 타깃 MAC 길이를 결정하는 단계 - 상기 시그널링 평면의 타깃 보안 알고리즘은 상기 제2 노드가 지원하는 상기 보안 알고리즘에 관한 정보에 의해 지시된 보안 알고리즘 세트에 속함 -;
제2 알고리즘 선택 정책 및 상기 제2 노드의 아이덴티티에 따라 사용자 평면의 타깃 보안 알고리즘 및 상기 사용자 평면의 타깃 MAC 길이를 결정하는 단계 - 상기 사용자 평면의 타깃 보안 알고리즘은 상기 제2 노드가 지원하는 상기 보안 알고리즘에 관한 정보에 의해 지시된 보안 알고리즘 세트에 속하고, 상기 사용자 평면의 타깃 MAC 길이는 제1 서비스의 데이터에 대한 무결성 보호를 수행하기 위한 MAC의 길이를 지시하는 데 사용됨 -; 및
상기 시그널링 평면의 타깃 보안 알고리즘을 사용하여 제1 MAC을 생성하는 단계 - 상기 제1 MAC의 길이는 상기 시그널링 평면의 타깃 MAC 길이임 - 를 포함한다.
본 출원의 실시예에서, 상이한 MAC 길이를 결정하기 위해 제1 노드에 상이한 정책이 구성되어, MAC 길이의 유연성을 향상시킬 수 있다. 또한, 제1 노드는 제2 노드의 아이덴티티에 기반하여 사용자 평면의 타깃 보안 알고리즘 및 사용자 평면의 타깃 MAC을 결정할 수 있어, MAC 길이에 대한 서로 다른 유형의 노드의 요건을 충족할 수 있다. 예를 들어, 중요한 서비스를 처리하는 일부 노드는 보안을 향상시키기 위해 상대적으로 긴 MAC 길이를 사용할 수 있다. 다른 예로, 일부 보조 노드 또는 일반 노드는 상대적으로 짧은 MAC 길이를 사용하여, 자원 소모를 감소시키고 통신 효율성을 높일 수 있다.
제15 측면의 가능한 구현에서, 상기 제1 알고리즘 선택 정책에 따라 시그널링 평면의 타깃 보안 알고리즘 및 상기 시그널링 평면의 타깃 MAC 길이를 결정하는 단계는,
제1 길이 선택 정책 및 상기 제1 알고리즘 선택 정책에 따라 상기 시그널링 평면의 타깃 보안 알고리즘 및 상기 시그널링 평면의 타깃 MAC 길이를 결정하는 단계를 포함한다.
제15 측면의 다른 가능한 구현에서, 상기 제1 알고리즘 선택 정책에 따라 시그널링 평면의 타깃 보안 알고리즘 및 상기 시그널링 평면의 타깃 MAC 길이를 결정하는 단계는,
상기 제1 알고리즘 선택 정책에 따라 상기 시그널링 평면의 타깃 보안 알고리즘을 결정하는 단계; 및
상기 제1 길이 선택 정책 및 상기 시그널링 평면의 타깃 보안 알고리즘에 따라 상기 시그널링 평면의 타깃 MAC 길이를 결정하는 단계를 포함한다.
제15 측면의 다른 가능한 구현에서, 상기 제1 알고리즘 선택 정책에 따라 시그널링 평면의 타깃 보안 알고리즘 및 상기 시그널링 평면의 타깃 MAC 길이를 결정하는 단계는,
상기 제1 알고리즘 선택 정책에 따라 상기 시그널링 평면의 타깃 보안 알고리즘을 결정하는 단계 - 상기 시그널링 평면의 타깃 보안 알고리즘에 대응하는 MAC 길이는 상기 시그널링 평면의 타깃 MAC 길이임 - 를 포함한다.
제15 측면의 다른 가능한 구현에서, 상기 제2 알고리즘 선택 정책 및 상기 제2 노드의 아이덴티티에 따라 사용자 평면의 타깃 보안 알고리즘 및 상기 사용자 평면의 타깃 MAC 길이를 결정하는 단계는,
상기 제2 알고리즘 선택 정책에 따라 상기 사용자 평면의 타깃 보안 알고리즘을 결정하는 단계;
상기 제2 노드의 아이덴티티에 기반하여 제2 길이 선택 정책을 결정하는 단계; 및
상기 제2 길이 선택 정책 및 상기 사용자 평면의 타깃 보안 알고리즘에 기반하여 상기 시그널링 평면의 타깃 MAC 길이를 결정하는 단계를 포함한다.
제15 측면의 다른 가능한 구현에서, 상기 제2 알고리즘 선택 정책 및 상기 제2 노드의 아이덴티티에 따라 사용자 평면의 타깃 보안 알고리즘 및 상기 사용자 평면의 타깃 MAC 길이를 결정하는 단계는,
상기 제2 알고리즘 선택 정책에 따라 상기 사용자 평면의 타깃 보안 알고리즘을 결정하는 단계; 및
상기 사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이 및 상기 제2 노드의 아이덴티티와 NAC 길이 사이의 대응 관계에 기반하여, 상기 제2 노드의 아이덴티티에 대응하는 MAC 길이를 상기 사용자 평면의 타깃 MAC 길이로 결정하는 단계를 포함한다.
제15 측면의 다른 가능한 구현에서, 상기 통신 방법은,
보안 콘텍스트 요청 메시지를 상기 제2 노드에 송신하는 단계 - 상기 보안 콘텍스트 요청 메시지는 제1 MAC, 상기 시그널링 평면의 타깃 보안 알고리즘을 지시하는 정보, 상기 사용자 평면의 타깃 보안 알고리즘을 지시하는 정보, 상기 시그널링 평면의 타깃 MAC 길이, 및 상기 사용자 평면의 타깃 MAC 길이를 포함하고, 상기 제1 MAC은 상기 보안 콘텍스트 요청 메시지의 무결성을 검사하는 데 사용됨 - 를 더 포함한다.
제15 측면의 다른 가능한 구현에서, 상기 통신 방법은,
보안 콘텍스트 요청 메시지를 상기 제2 노드에 송신하는 단계 - 상기 보안 콘텍스트 요청 메시지는 제1 MAC, 상기 시그널링 평면의 타깃 보안 알고리즘을 지시하는 정보, 상기 사용자 평면의 타깃 보안 알고리즘을 지시하는 정보, 상기 시그널링 평면의 타깃 MAC 길이, 상기 사용자 평면의 타깃 MAC 길이, 및 제1 아이덴티티 인증 정보를 포함하고, 상기 제1 MAC은 상기 보안 콘텍스트 요청 메시지의 무결성을 검사하는 데 사용되며, 상기 제1 아이덴티티 정보는 상기 제1 노드와 상기 제2 노드 사이의 공유 키에 기반하여 생성됨 -; 및
상기 제2 노드로부터 보안 콘텍스트 응답 메시지를 수신하는 단계 - 상기 보안 콘텍스트 응답 메시지는 제2 아이덴티티 인증 정보 및 제2 MAC을 포함하고, 상기 제2 MAC의 길이는 상기 시그널링 평면의 타깃 MAC 길이이며, 상기 제2 아이덴티티 인증 정보가 상기 제2 노드의 아이덴티티를 검증하는 데 사용되고, 상기 제2 MAC은 상기 보안 콘텍스트 응답 메시지의 무결성을 검사하는 데 사용됨 - 를 더 포함한다.
제15 측면의 다른 가능한 구현에서, 상기 통신 방법은,
상기 시그널링 평면의 타깃 보안 알고리즘 및 상기 제2 MAC에 기반하여 상기 보안 콘텍스트 응답 메시지의 무결성을 검사하는 단계;
상기 공유 키에 기반하여 상기 제2 아이덴티티 정보에 대해 검증을 수행하는 단계; 및
상기 보안 콘텍스트 응답 메시지의 무결성에 대한 검사가 성공하고 상기 제2 아이덴티티 정보에 대한 검증이 성공하면, 연관 구축 메시지를 상기 제2 노드에 송신하는 단계 - 상기 연관 구축 메시지는 상기 제1 노드와의 연관을 구축하도록 상기 제2 노드에 지시함 - 를 더 포함한다.
제16 측면에 따르면, 본 출원의 실시 예는 통신 방법을 더 제공하며, 상기 통신 방법은,
연관 요청 메시지를 제1 노드에 송신하는 단계 - 상기 연관 요청 메시지는 제2 노드가 지원하는 보안 알고리즘에 관한 정보 및 상기 제2 노드의 아이덴티티를 포함함 -;
상기 제1 노드로부터 보안 콘텍스트 요청 메시지를 수신하는 단계 - 상기 보안 콘텍스트 요청 메시지는 시그널링 평면의 타깃 보안 알고리즘을 지시하는 정보, 사용자 평면의 타깃 보안 알고리즘을 지시하는 정보, 상기 시그널링 평면의 타깃 MAC 길이, 상기 사용자 평면의 타깃 MAC 길이, 및 제1 MAC을 포함하고, 상기 시그널링 평면의 타깃 보안 알고리즘 및 상기 시그널링 평면의 타깃 MAC 길이는 제1 알고리즘 선택 정책에 대응하며, 상기 시그널링 평면의 타깃 보안 알고리즘은 상기 제2 노드가 지원하는 보안 알고리즘에 관한 정보에 의해 지시된 보안 알고리즘 세트에 속하고, 상기 사용자 평면의 타깃 보안 알고리즘 및 상기 사용자 평면의 타깃 MAC 길이는 제2 알고리즘 선택 정책에 대응하며, 상기 사용자 평면의 타깃 보안 알고리즘은 상기 제2 노드가 지원하는 보안 알고리즘에 관한 정보에 의해 지시된 보안 알고리즘 세트에 속하고, 상기 제1 MAC의 길이는 상기 시그널링 평면의 타깃 MAC 길이임 -; 및
상기 시그널링 평면의 타깃 보안 알고리즘을 사용하여 상기 제1 MAC을 기반으로 상기 보안 콘텍스트 요청 메시지의 무결성을 검사하는 단계를 포함한다.
본 출원의 실시예에서, 상이한 MAC 길이를 결정하기 위해 제1 노드에 상이한 정책이 구성되어, MAC 길이의 유연성을 향상시킬 수 있다. 또한, 제1 노드는 제2 노드의 아이덴티티에 기반하여 사용자 평면의 타깃 보안 알고리즘 및 사용자 평면의 타깃 MAC을 결정할 수 있어 MAC 길이에 대한 서로 다른 유형의 노드의 요건을 충족할 수 있다. 제2 노드는 제1 노드로부터 타깃 MAC 길이를 획득하고 타깃 MAC 길이를 사용하여 메시지 무결성을 보호한다. 예를 들어, 중요한 서비스를 처리하는 일부 노드는 보안을 향상시키기 위해 상대적으로 긴 MAC 길이를 사용할 수 있다. 다른 예로, 일부 보조 노드 또는 일반 노드는 상대적으로 짧은 MAC 길이를 사용하여 자원 소모를 감소시키고 통신 효율성을 높일 수 있다.
제16 측면의 다른 가능한 구현에서, 상기 시그널링 평면의 타깃 보안 알고리즘 및 상기 시그널링 평면의 타깃 MAC 길이는 상기 제1 알고리즘 선택 정책에 따라 결정되고, 상기 시그널링 평면의 타깃 보안 알고리즘은 상기 제2 노드가 지원하는 상기 보안 알고리즘에 관한 정보에 의해 지시된 보안 알고리즘 세트에 속하며, 상기 제1 MAC은 상기 시그널링 평면의 타깃 보안 알고리즘에 따라 생성된다.
제16 측면의 다른 가능한 구현에서, 상기 사용자 평면의 타깃 보안 알고리즘 및 상기 사용자 평면의 타깃 MAC 길이는 상기 제2 알고리즘 선택 정책에 따라 결정되고, 상기 사용자 평면의 타깃 보안 알고리즘은 상기 제2 노드가 지원하는 상기 보안 알고리즘에 관한 정보에 의해 지시된 보안 알고리즘 세트에 속하며, 상기 제1 MAC은 상기 시그널링 평면의 타깃 보안 알고리즘에 따라 생성된다.
제16 측면의 다른 가능한 구현에서, 상기 보안 콘텍스트 요청 메시지는 제1 아이덴티티 정보를 더 포함한다. 상기 통신 방법은,
상기 제2 노드와 상기 제1 노드 사이의 공유 키에 기반하여 상기 제1 아이덴티티 인증 정보에 대한 검증을 수행하는 단계;
상기 보안 콘텍스트 요청 메시지의 무결성에 대한 검사가 성공하고 상기 제1 아이덴티티 인증 정보에 대한 검증이 성공하면, 상기 시그널링 평면의 타깃 보안 알고리즘을 사용하여 제2 MAC을 생성하는 단계 - 상기 제2 MAC의 길이는 상기 시그널링 평면의 타깃 MAC 길이임 -; 및
보안 콘텍스트 응답 메시지를 상기 제1 노드에 송신하는 단계 - 상기 보안 콘텍스트 응답 메시지는 상기 제2 MAC 및 제2 아이덴티티 인증 정보를 포함하고, 상기 제2 아이덴티티 인증 정보는 상기 제2 노드와 상기 제1 노드 사이의 공유 키에 기반하여 생성됨 - 를 더 포함한다.
제16 측면의 다른 가능한 구현에서, 상기 통신 방법은, 상기 제1 노드로부터 연관 구축 메시지를 수신하는 단계를 더 포함한다. 상기 연관 구축 메시지는 상기 제1 노드와의 연관을 구축하도록 상기 제2 노드에 지시한다.
제17 측면에 따르면, 본 출원의 실시 예는 통신 장치를 더 제공하며, 상기 통신 장치는,
제2 노드로부터 연관 요청 메시지를 수신하도록 - 상기 연관 요청 메시지는 상기 제2 노드가 지원하는 보안 알고리즘에 관한 정보 및 상기 제2 노드의 아이덴티티를 포함함 - 구성된 수신 유닛; 및
제1 알고리즘 선택 정책에 따라 시그널링 평면의 타깃 보안 알고리즘 및 상기 시그널링 평면의 타깃 MAC 길이를 결정하도록 - 상기 시그널링 평면의 타깃 보안 알고리즘은 상기 제2 노드가 지원하는 상기 보안 알고리즘에 관한 정보에 의해 지시된 보안 알고리즘 세트에 속함 - 구성된 처리 유닛을 포함한다.
상기 처리 유닛은 추가로, 제2 알고리즘 선택 정책 및 상기 제2 노드의 아이덴티티에 따라 사용자 평면의 타깃 보안 알고리즘 및 상기 사용자 평면의 타깃 MAC 길이를 결정하도록 구성된다. 상기 사용자 평면의 타깃 보안 알고리즘은 상기 제2 노드가 지원하는 상기 보안 알고리즘에 관한 정보에 의해 지시된 보안 알고리즘 세트에 속하고, 상기 사용자 평면의 타깃 MAC 길이는 제1 서비스의 데이터에 대한 무결성 보호를 수행하기 위한 MAC의 길이를 지시하는 데 사용된다.
상기 처리 유닛은 추가로, 상기 시그널링 평면의 타깃 보안 알고리즘을 사용하여 제1 MAC을 생성하도록 구성되고, 상기 제1 MAC의 길이는 상기 시그널링 평면의 타깃 MAC 길이이다.
본 출원의 실시예에서, 상이한 MAC 길이를 결정하기 위해 상기 통신 장치에 상이한 정책이 구성되어, MAC 길이의 유연성을 향상시킬 수 있다. 또한, 상기 통신 장치는 제2 노드의 아이덴티티에 기반하여 사용자 평면의 타깃 보안 알고리즘 및 사용자 평면의 타깃 MAC을 결정할 수 있어, MAC 길이에 대한 서로 다른 유형의 노드의 요건을 충족할 수 있다. 예를 들어, 중요한 서비스를 처리하는 일부 노드는 보안을 향상시키기 위해 상대적으로 긴 MAC 길이를 사용할 수 있다. 다른 예로, 일부 보조 노드 또는 일반 노드는 상대적으로 짧은 MAC 길이를 사용하여, 자원 소모를 감소시키고 통신 효율성을 높일 수 있다.
제17 측면의 가능한 구현에서, 상기 처리 유닛은 구체적으로,
제1 길이 선택 정책 및 상기 제1 알고리즘 선택 정책에 따라 상기 시그널링 평면의 타깃 보안 알고리즘 및 상기 시그널링 평면의 타깃 MAC 길이를 결정하도록 구성된다.
제17 측면의 다른 가능한 구현에서, 상기 처리 유닛은 구체적으로,
상기 제1 알고리즘 선택 정책에 따라 상기 시그널링 평면의 타깃 보안 알고리즘을 결정하고; 그리고
상기 제1 길이 선택 정책 및 상기 시그널링 평면의 타깃 보안 알고리즘에 따라 상기 시그널링 평면의 타깃 MAC 길이를 결정하도록 구성된다.
제15 측면의 다른 가능한 구현에서, 상기 처리 유닛은 구체적으로,
상기 제1 알고리즘 선택 정책에 따라 상기 시그널링 평면의 타깃 보안 알고리즘을 결정하도록 구성되고, 상기 시그널링 평면의 타깃 보안 알고리즘에 대응하는 MAC 길이는 상기 시그널링 평면의 타깃 MAC 길이이다.
제17 측면의 다른 가능한 구현에서, 상기 처리 유닛은 구체적으로,
상기 제2 알고리즘 선택 정책에 따라 상기 사용자 평면의 타깃 보안 알고리즘을 결정하고;
상기 제2 노드의 아이덴티티에 기반하여 제2 길이 선택 정책을 결정하며; 그리고
상기 제2 길이 선택 정책 및 상기 사용자 평면의 타깃 보안 알고리즘에 기반하여 상기 시그널링 평면의 타깃 MAC 길이를 결정하도록 구성된다.
제17 측면의 다른 가능한 구현에서, 상기 처리 유닛은 구체적으로,
상기 제2 알고리즘 선택 정책에 따라 상기 사용자 평면의 타깃 보안 알고리즘을 결정하고; 그리고
상기 사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이 및 상기 제2 노드의 아이덴티티와 NAC 길이 사이의 대응 관계에 기반하여, 상기 제2 노드의 아이덴티티에 대응하는 MAC 길이를 상기 사용자 평면의 타깃 MAC 길이로 결정하도록 구성된다.
제17 측면의 다른 가능한 구현에서, 상기 통신 장치는 송신 유닛을 더 포함한다. 상기 송신 유닛은 보안 콘텍스트 요청 메시지를 상기 제2 노드에 송신하도록 구성된다. 상기 보안 콘텍스트 요청 메시지는 제1 MAC, 상기 시그널링 평면의 타깃 보안 알고리즘을 지시하는 정보, 상기 사용자 평면의 타깃 보안 알고리즘을 지시하는 정보, 상기 시그널링 평면의 타깃 MAC 길이, 및 상기 사용자 평면의 타깃 MAC 길이를 포함하고, 상기 제1 MAC은 상기 보안 콘텍스트 요청 메시지의 무결성을 검사하는 데 사용된다.
제15 측면의 다른 가능한 구현에서, 상기 통신 장치는 송신 유닛을 더 포함한다. 상기 송신 유닛은 보안 콘텍스트 요청 메시지를 상기 제2 노드에 송신하도록 구성된다. 상기 보안 콘텍스트 요청 메시지는 제1 MAC, 상기 시그널링 평면의 타깃 보안 알고리즘을 지시하는 정보, 상기 사용자 평면의 타깃 보안 알고리즘을 지시하는 정보, 상기 시그널링 평면의 타깃 MAC 길이, 상기 사용자 평면의 타깃 MAC 길이, 및 제1 아이덴티티 인증 정보를 포함한다. 상기 제1 MAC은 상기 보안 콘텍스트 요청 메시지의 무결성을 검사하는 데 사용되며, 상기 제1 아이덴티티 정보는 상기 제1 노드와 상기 제2 노드 사이의 공유 키에 기반하여 생성된다.
상기 수신 유닛은 추가로, 상기 제2 노드로부터 보안 콘텍스트 응답 메시지를 수신하도록 구성된다. 상기 보안 콘텍스트 응답 메시지는 제2 아이덴티티 인증 정보 및 제2 MAC을 포함하고, 상기 제2 MAC의 길이는 상기 시그널링 평면의 타깃 MAC 길이이며, 상기 제2 아이덴티티 인증 정보가 상기 제2 노드의 아이덴티티를 검증하는 데 사용되고, 상기 제2 MAC은 상기 보안 콘텍스트 응답 메시지의 무결성을 검사하는 데 사용된다.
제17 측면의 다른 가능한 구현에서, 상기 처리 유닛은 추가로, 상기 시그널링 평면의 타깃 보안 알고리즘 및 상기 제2 MAC에 기반하여 상기 보안 콘텍스트 응답 메시지의 무결성을 검사하도록 구성된다.
상기 처리 유닛은 추가로, 상기 공유 키에 기반하여 상기 제2 아이덴티티 정보에 대해 검증을 수행하도록 구성된다.
상기 송신 유닛은 추가로, 상기 보안 콘텍스트 응답 메시지의 무결성에 대한 검사가 성공하고 상기 제2 아이덴티티 정보에 대한 검증이 성공하면, 연관 구축 메시지를 상기 제2 노드에 송신하도록 구성된다. 상기 연관 구축 메시지는 상기 제1 노드와의 연관을 구축하도록 상기 제2 노드에 지시한다.
제18 측면에 따르면, 본 출원의 실시 예는 통신 장치를 더 제공하며, 상기 통신 장치는,
연관 요청 메시지를 제1 노드에 송신하도록 - 상기 연관 요청 메시지는 제2 노드가 지원하는 보안 알고리즘에 관한 정보 및 상기 제2 노드의 아이덴티티를 포함함 - 구성된 송신 유닛;
상기 제1 노드로부터 보안 콘텍스트 요청 메시지를 수신하도록 - 상기 보안 콘텍스트 요청 메시지는 시그널링 평면의 타깃 보안 알고리즘을 지시하는 정보, 사용자 평면의 타깃 보안 알고리즘을 지시하는 정보, 상기 시그널링 평면의 타깃 MAC 길이, 상기 사용자 평면의 타깃 MAC 길이, 및 제1 MAC을 포함하고, 상기 시그널링 평면의 타깃 보안 알고리즘 및 상기 시그널링 평면의 타깃 MAC 길이는 제1 알고리즘 선택 정책에 대응하며, 상기 시그널링 평면의 타깃 보안 알고리즘은 상기 제2 노드가 지원하는 보안 알고리즘에 관한 정보에 의해 지시된 보안 알고리즘 세트에 속하고, 상기 사용자 평면의 타깃 보안 알고리즘 및 상기 사용자 평면의 타깃 MAC 길이는 제2 알고리즘 선택 정책에 대응하며, 상기 사용자 평면의 타깃 보안 알고리즘은 상기 제2 노드가 지원하는 보안 알고리즘에 관한 정보에 의해 지시된 보안 알고리즘 세트에 속하고, 상기 제1 MAC의 길이는 상기 시그널링 평면의 타깃 MAC 길이임 - 구성된 수신 유닛; 및
상기 시그널링 평면의 타깃 보안 알고리즘을 사용하여 상기 제1 MAC을 기반으로 상기 보안 콘텍스트 요청 메시지의 무결성을 검사하도록 구성된 처리 유닛을 포함한다.
본 출원의 실시예에서, 상이한 MAC 길이를 결정하기 위해 제1 노드에 상이한 정책이 구성되어, MAC 길이의 유연성을 향상시킬 수 있다. 또한, 제1 노드는 제2 노드의 아이덴티티에 기반하여 사용자 평면의 타깃 보안 알고리즘 및 사용자 평면의 타깃 MAC을 결정할 수 있어 MAC 길이에 대한 서로 다른 유형의 노드의 요건을 충족할 수 있다. 상기 통신 장치는 제1 노드로부터 타깃 MAC 길이를 획득하고 타깃 MAC 길이를 사용하여 메시지 무결성을 보호한다. 예를 들어, 중요한 서비스를 처리하는 일부 노드는 보안을 향상시키기 위해 상대적으로 긴 MAC 길이를 사용할 수 있다. 다른 예로, 일부 보조 노드 또는 일반 노드는 상대적으로 짧은 MAC 길이를 사용하여 자원 소모를 감소시키고 통신 효율성을 높일 수 있다.
제18 측면의 다른 가능한 구현에서, 상기 시그널링 평면의 타깃 보안 알고리즘 및 상기 시그널링 평면의 타깃 MAC 길이는 상기 제1 알고리즘 선택 정책에 따라 결정되고, 상기 시그널링 평면의 타깃 보안 알고리즘은 상기 제2 노드가 지원하는 상기 보안 알고리즘에 관한 정보에 의해 지시된 보안 알고리즘 세트에 속하며, 상기 제1 MAC은 상기 시그널링 평면의 타깃 보안 알고리즘에 따라 생성된다.
제18 측면의 다른 가능한 구현에서, 상기 사용자 평면의 타깃 보안 알고리즘 및 상기 사용자 평면의 타깃 MAC 길이는 상기 제2 알고리즘 선택 정책에 따라 결정되고, 상기 사용자 평면의 타깃 보안 알고리즘은 상기 제2 노드가 지원하는 상기 보안 알고리즘에 관한 정보에 의해 지시된 보안 알고리즘 세트에 속하며, 상기 제1 MAC은 상기 시그널링 평면의 타깃 보안 알고리즘에 따라 생성된다.
제18 측면의 다른 가능한 구현에서, 상기 보안 콘텍스트 요청 메시지는 제1 아이덴티티 정보를 더 포함한다. 상기 처리 유닛은 추가로,
상기 제2 노드와 상기 제1 노드 사이의 공유 키에 기반하여 상기 제1 아이덴티티 인증 정보에 대한 검증을 수행하고; 그리고
상기 보안 콘텍스트 요청 메시지의 무결성에 대한 검사가 성공하고 상기 제1 아이덴티티 인증 정보에 대한 검증이 성공하면, 상기 시그널링 평면의 타깃 보안 알고리즘을 사용하여 제2 MAC을 생성하도록 구성되며, 상기 제2 MAC의 길이는 상기 시그널링 평면의 타깃 MAC 길이이다.
상기 수신 유닛은 추가로, 보안 콘텍스트 응답 메시지를 상기 제1 노드에 송신하도록 구성된다. 상기 보안 콘텍스트 응답 메시지는 상기 제2 MAC 및 제2 아이덴티티 인증 정보를 포함하고, 상기 제2 아이덴티티 인증 정보는 상기 제2 노드와 상기 제1 노드 사이의 공유 키에 기반하여 생성된다.
제18 측면의 다른 가능한 구현에서, 상기 수신 유닛은 추가로, 상기 제1 노드로부터 연관 구축 메시지를 수신하도록 구성된다. 상기 연관 구축 메시지는 상기 제1 노드와의 연관을 구축하도록 상기 제2 노드에 지시한다.
제19 측면에 따르면, 본 출원의 실시예는 통신 장치를 더 제공한다. 상기 통신 장치는 적어도 하나의 프로세서 및 통신 인터페이스를 포함하고, 상기 적어도 하나의 프로세서는, 상기 통신 장치가 제1 측면 또는 제1 측면의 가능한 구현 중 어느 하나에 기술된 방법, 또는 제3 측면 또는 제3 측면의 가능한 구현 중 어느 하나에 기술된 방법, 또는 제6 측면 또는 제6 측면의 가능한 구현 중 어느 하나에 기술된 방법, 또는 제15 측면 또는 제15 측면의 가능한 구현 중 어느 하나에 기술된 방법을 구현하도록, 적어도 하나의 메모리에 저장된 컴퓨터 프로그램을 호출하도록 구성된다.
제20 측면에 따르면, 본 출원의 실시예는 통신 장치를 더 제공한다. 상기 통신 장치는 적어도 하나의 프로세서 및 통신 인터페이스를 포함하고, 상기 적어도 하나의 프로세서는, 상기 통신 장치가 제2 측면 또는 제2 측면의 가능한 구현 중 어느 하나에 기술된 방법, 또는 제4 측면 또는 제4 측면의 가능한 구현 중 어느 하나에 기술된 방법, 또는 제5 측면 또는 제5 측면의 가능한 구현 중 어느 하나에 기술된 방법, 또는 제7 측면 또는 제7 측면의 가능한 구현 중 어느 하나에 기술된 방법, 또는 제16 측면 또는 제16 측면의 가능한 구현 중 어느 하나에 기술된 방법을 구현하도록, 적어도 하나의 메모리에 저장된 컴퓨터 프로그램을 호출하도록 구성된다.
제21 측면에 따르면, 본 출원의 실시예는 통신 시스템을 더 제공한다. 상기 통신 시스템은 제1 노드 및 제2 노드를 포함한다. 상기 제1 노드는 제8 측면 또는 제8 측면의 가능한 구현 중 어느 하나에 기술된 장치를 포함한다. 상기 제2 노드는 제9 측면 또는 제9 측면의 가능한 구현 중 어느 하나에 기술된 장치를 포함한다.
제22 측면에 따르면, 본 출원의 실시예는 통신 시스템을 더 제공한다. 상기 통신 시스템은 제1 노드 및 제2 노드를 포함한다. 상기 제1 노드는 제10 측면 또는 제10 측면의 가능한 구현 중 어느 하나에 기술된 장치를 포함한다. 상기 제2 노드는 제11 측면 또는 제11 측면의 가능한 구현 중 어느 하나에 기술된 장치를 포함한다.
제23 측면에 따르면, 본 출원의 실시예는 통신 시스템을 더 제공한다. 상기 통신 시스템은 제1 노드 및 제2 노드를 포함한다. 상기 제1 노드는 제10 측면 또는 제10 측면의 가능한 구현 중 어느 하나에 기술된 장치를 포함한다. 상기 제2 노드는 제12 측면 또는 제12 측면의 가능한 구현 중 어느 하나에 기술된 장치를 포함한다.
제24 측면에 따르면, 본 출원의 실시예는 통신 시스템을 더 제공한다. 상기 통신 시스템은 제1 노드 및 제2 노드를 포함한다. 상기 제1 노드는 제13 측면 또는 제13 측면의 가능한 구현 중 어느 하나에 기술된 장치를 포함한다. 상기 제2 노드는 제14 측면 또는 제14 측면의 가능한 구현 중 어느 하나에 기술된 장치를 포함한다.
제25 측면에 따르면, 본 출원의 실시예는 통신 시스템을 더 제공한다. 상기 통신 시스템은 제1 노드 및 제2 노드를 포함한다. 상기 제1 노드는 제17 측면 또는 제17 측면의 가능한 구현 중 어느 하나에 기술된 장치를 포함한다. 상기 제2 노드는 제18 측면 또는 제18 측면의 가능한 구현 중 어느 하나에 기술된 장치를 포함한다.
제26 측면에 따르면, 본 출원의 실시예는 컴퓨터가 판독 가능한 저장 매체를 개시한다. 상기 컴퓨터가 판독 가능한 저장 매체는 컴퓨터 프로그램을 저장한다. 상기 컴퓨터 프로그램이 하나 이상의 프로세서에서 실행될 때, 제1 측면 또는 제1 측면의 가능한 구현 중 어느 하나에 기술된 방법이 수행되거나, 제3 측면 또는 제3 측면의 가능한 구현 중 어느 하나에 기술된 방법이 수행되거나, 제6 측면 또는 제6 측면의 가능한 구현 중 어느 하나에 기술된 방법이 수행되거나, 제15 측면 또는 제15 측면의 가능한 구현 중 어느 하나에 기술된 방법이 수행된다.
제27 측면에 따르면, 본 출원의 실시예는 컴퓨터가 판독 가능한 저장 매체를 개시한다. 상기 컴퓨터가 판독 가능한 저장 매체는 컴퓨터 프로그램을 저장한다. 상기 컴퓨터 프로그램이 하나 이상의 프로세서에서 실행될 때, 제2 측면 또는 제2 측면의 가능한 구현 중 어느 하나에 기술된 방법이 수행되거나, 제4 측면 또는 제4 측면의 가능한 구현 중 어느 하나에 기술된 방법이 수행되거나, 제5 측면 또는 제5 측면의 가능한 구현 중 어느 하나에 기술된 방법이 수행되거나, 제7 측면 또는 제7 측면의 가능한 구현 중 어느 하나에 기술된 방법이 수행되거나, 제16 측면 또는 제16 측면의 가능한 구현 중 어느 하나에 기술된 방법이 수행된다.
제28 측면에 따르면, 본 출원의 실시예는 칩 시스템을 개시한다. 상기 칩 시스템은 적어도 하나의 프로세서 및 통신 인터페이스를 포함하고, 상기 적어도 하나의 프로세서는 적어도 하나의 메모리에 저장된 컴퓨터 프로그램을 호출하도록 구성되므로, 상기 칩 시스템이 위치한 장치는 제1 측면 또는 제1 측면의 가능한 구현 중 어느 하나에 기술된 방법, 또는 제3 측면 또는 제3 측면의 가능한 구현 중 어느 하나에 기술된 방법, 제6 측면 또는 제6 측면의 가능한 구현 중 어느 하나에 기술된 방법, 또는 제15 측면 또는 제15 측면의 가능한 구현 중 어느 하나에 기술된 방법을 구현한다.
제29 측면에 따르면, 본 출원의 실시예는 칩 시스템을 개시한다. 상기 칩 시스템은 적어도 하나의 프로세서 및 통신 인터페이스를 포함하고, 상기 적어도 하나의 프로세서는 적어도 하나의 메모리에 저장된 컴퓨터 프로그램을 호출하도록 구성되므로, 상기 칩 시스템이 위치한 장치는 제2 측면 또는 제2 측면의 가능한 구현 중 어느 하나에 기술된 방법, 또는 제4 측면 또는 제4 측면의 가능한 구현 중 어느 하나에 기술된 방법, 제5 측면 또는 제5 측면의 가능한 구현 중 어느 하나에 기술된 방법, 또는 제7 측면 또는 제7 측면의 가능한 구현 중 어느 하나에 기술된 방법, 또는 제16 측면 또는 제16 측면의 가능한 구현 중 어느 하나에 기술된 방법을 구현한다.
제30 측면에 따르면, 본 출원의 실시예는 스마트 콕피트 제품을 더 제공한다. 스마트 콕피트 제품은 제1 노드(예를 들어, 차량 콕피트 도메인 컨트롤러(vehicle cockpit domain controller, CDC))를 포함한다. 상기 제1 노드는 제1 측면 또는 제1 측면의 가능한 구현 중 어느 하나에 기술된 장치, 또는 제3 측면 또는 제3 측면의 가능한 구현 중 어느 하나에 기술된 장치, 또는 제6 측면 또는 제6 측면의 가능한 구현 중 어느 하나에 기술된 장치, 또는 제15 측면 또는 제15 측면의 가능한 구현 중 어느 하나에 기술된 장치를 포함한다.
또한, 상기 스마트 콕피트 제품은 제2 노드(예를 들어, 카메라, 스크린, 마이크, 스피커, 레이더, 전자 키, 패시브 엔트리 패시브 스타트 시스템 컨트롤러 등의 모듈 중 적어도 하나)를 더 포함한다. 상기 제2 노드는 제2 측면 또는 제2 측면의 가능한 구현 중 어느 하나에 기술된 장치, 또는 제4 측면 또는 제4 측면의 가능한 구현 중 어느 하나에 기술된 장치, 또는 제5 측면 또는 제5 측면의 가능한 구현 중 어느 하나에 기술된 장치, 또는 제7 측면 또는 제7 측면의 가능한 구현 중 어느 하나에 기술된 장치, 또는 제16 측면 또는 제16 측면의 가능한 구현 중 어느 하나에 기술된 장치를 포함한다.
제31 측면에 따르면, 본 출원의 실시예는 차량을 더 제공한다. 상기 차량은 제1 노드(예를 들어, 차량 콕피트 도메인 컨트롤러(vehicle cockpit domain controller, CDC))를 포함한다. 상기 제1 노드는 제1 측면 또는 제1 측면의 가능한 구현 중 어느 하나에 기술된 장치, 또는 제3 측면 또는 제3 측면의 가능한 구현 중 어느 하나에 기술된 장치, 또는 제6 측면 또는 제6 측면의 가능한 구현 중 어느 하나에 기술된 장치, 또는 제15 측면 또는 제15 측면의 가능한 구현 중 어느 하나에 기술된 장치를 포함한다.
또한, 차량은 제2 노드(예를 들어, 카메라, 스크린, 마이크, 스피커, 레이더, 전자키, 패시브 엔트리 패시브 스타트 시스템 컨트롤러 등의 모듈 중 적어도 하나)를 더 포함한다. 상기 제2 노드는 제2 측면 또는 제2 측면의 가능한 구현 중 어느 하나에 기술된 장치, 또는 제4 측면 또는 제4 측면의 가능한 구현 중 어느 하나에 기술된 장치, 또는 제5 측면 또는 제5 측면의 가능한 구현 중 어느 하나에 기술된 장치, 또는 제7 측면 또는 제7 측면의 가능한 구현 중 어느 하나에 기술된 장치, 또는 제16 측면 또는 제16 측면의 가능한 구현 중 어느 하나에 기술된 장치를 포함한다.
다음은 본 출원의 실시예에서 사용되는 첨부 도면을 설명한다.
도 1은 본 출원의 실시예에 따른 통신 시스템의 아키텍처의 개략도이다.
도 2는 본 출원의 실시예에 따른 통신 방법의 애플리케이션 시나리오의 개략도이다.
도 3은 본 출원의 실시예에 따른 통신 방법의 개략적인 흐름도이다.
도 4는 본 출원의 실시예에 따른 알고리즘 선택 정책의 개략도이다.
도 5는 본 출원의 실시예에 따라 시그널링 평면의 타깃 MAC 길이를 결정하는 개략도이다.
도 6은 본 출원의 실시예에 따라 시그널링 평면의 타깃 MAC 길이를 결정하는 또 다른 개략도이다.
도 7은 본 출원의 실시예에 따라 시그널링 평면의 타깃 MAC 길이를 결정하는 또 다른 개략도이다.
도 8은 본 출원의 실시예에 따른 다른 통신 방법의 개략적인 흐름도이다.
도 9a 및 도 9b는 본 출원의 실시예에 따라 사용자 평면의 타깃 MAC 길이를 결정하는 개략도이다.
도 10은 본 출원의 실시예에 따라 사용자 평면의 타깃 MAC 길이를 결정하는 또 다른 개략도이다.
도 11은 본 출원의 실시예에 따른 다른 통신 방법의 개략적인 흐름도이다.
도 12는 본 출원의 실시예에 따른 다른 통신 방법의 개략적인 흐름도이다.
도 13은 본 출원의 실시예에 따른 다른 통신 방법의 개략적인 흐름도이다.
도 14는 본 출원의 실시예에 따른 통신 장치의 구조의 개략도이다.
도 15는 본 출원의 실시예에 따른 다른 통신 장치의 구조의 개략도이다.
도 16은 본 출원의 실시예에 따른 다른 통신 장치의 구조의 개략도이다.
도 17은 본 출원의 실시예에 따른 다른 통신 장치의 구조의 개략도이다.
도 18은 본 출원의 실시예에 따른 다른 통신 장치의 구조의 개략도이다.
도 19는 본 출원의 실시예에 따른 다른 통신 장치의 구조의 개략도이다.
도 20은 본 출원의 실시예에 따른 다른 통신 장치의 구조의 개략도이다.
도 21은 본 출원의 실시예에 따른 다른 통신 장치의 구조의 개략도이다.
도 22는 본 출원의 실시예에 따른 다른 통신 장치의 구조의 개략도이다.
도 23은 본 출원의 실시예에 따른 다른 통신 장치의 구조의 개략도이다.
도 24는 본 출원의 실시예에 따른 다른 통신 장치의 구조의 개략도이다.
도 25는 본 출원의 실시예에 따른 다른 통신 장치의 구조의 개략도이다.
도 26은 본 출원의 실시예에 따른 다른 통신 장치의 구조의 개략도이다.
도 27은 본 출원의 실시예에 따른 다른 통신 장치의 구조의 개략도이다.
도 28은 본 출원의 실시예에 따른 다른 통신 장치의 구조의 개략도이다.
도 29는 본 출원의 실시예에 따른 다른 통신 장치의 구조의 개략도이다.
도 30은 본 출원의 실시예에 따른 다른 통신 장치의 구조의 개략도이다.
도 31은 본 출원의 실시예에 따른 다른 통신 장치의 구조의 개략도이다.
다음은 본 출원의 실시예에서 첨부된 도면을 참조하여 본 출원의 실시예를 설명한다. 본 출원에서 "예(example)" 또는 "예를 들어"와 같은 단어는 예시, 예시 또는 설명을 제공하는 것을 지시하는 데 사용된다는 점에 유의해야 한다. 본 출원에서 "예" 또는 "예를 들어"를 사용하여 설명된 모든 실시예 또는 설계 솔루션은 다른 실시예 또는 설계 솔루션보다 더 바람직하거나 유리한 것으로 해석되지 않아야 한다. "예" 또는 "예를 들어"와 같은 단어의 사용은 특정 방식으로 관련 개념을 제시하기 위한 것이다.
다음은 이해의 편의를 위해 먼저 본 출원에 관련된 기술 및 기술 용어에 대해 간략히 설명한다.
1. 노드(node)
노드는 데이터 수신 및 송신 기능이 있는 전자 디바이스이다. 예를 들어, 노드는 차량 콕피트 도메인(Cockpit Domain) 디바이스 또는 차량 콕피트 도메인 디바이스에서의 모듈(콕피트 도메인 컨트롤러(cockpit domain controller, CDC), 카메라, 스크린, 마이크, 스피커, 전자 키 및 패시브 엔트리 패시브 스타트 시스템 컨트롤러와 같은 하나 이상의 모듈)일 수 있다. 특정 구현 프로세스에서, 노드는 라우터, 중계기, 브리지 또는 스위치와 같은 데이터 전달(transit) 디바이스일 수 있으며; 또는 다양한 유형의 사용자 장비(user equipment, UE), 모바일폰(mobile phone), 태블릿 컴퓨터(패드), 데스크톱 컴퓨터, 헤드셋 또는 스피커와 같은 단말 디바이스일 수 있고; 또는 자율주행(self-driving) 디바이스, 교통안전(transportation safety) 디바이스, 가상현실(virtual reality, VR) 단말 디바이스, 증강현실(augmented reality, AR) 단말 디바이스, 기계형 통신(machine type communication, MTC) 디바이스, 산업 제어(industrial control) 디바이스, 원격 의료(remote medical) 디바이스, 스마트 그리드(smart grid) 디바이스 또는 스마트 시티(smart city) 디바이스와 같은 머신 지능형 디바이스일 수 있으며; 또는 웨어러블 디바이스(예: 스마트 워치, 스마트 밴드 또는 만보계) 등을 포함할 수 있다. 일부 기술 시나리오에서는 데이터 수신(receiving) 및 송신(sending) 능력이 유사한 디바이스의 이름이 "노드"가 아닐 수 있다. 그러나, 설명을 쉽게 하기 위해, 데이터 수신 및 송신 능력을 가진 전자 디바이스는 본 출원의 실시예에서 총칭하여 노드로 지칭된다.
2. 메시지 인증 코드(message authentication code, MAC)
메시지 인증 코드(MAC)는 암호화에서 두 통신 엔티티가 사용하는 검증 메커니즘이다. 메시지 무결성을 보장하기 위한 도구이다. 메시지를 송신하기 전에, 송신자는 먼저 두 통신 당사자가 협상한 무결성 보호 알고리즘을 사용하여(또는 추가로 키를 사용) MAC을 계산한다. 그런 다음, MAC과 데이터가 함께 송신된다. 수신자는 패킷을 수신한 후, 송신자와 동일한 무결성 보호 알고리즘을 사용하여(또는 추가로 키를 사용) MAC을 계산하고, 계산된 MAC과 수신된 MAC을 비교한다. 이들이 동일하면, 메시지 무결성 검사가 성공한다.
예를 들어, 롱 텀 에볼루션(Long Term Evolution, LTE) 시스템에서 LTE의 무결성 보호 기능은 패킷 데이터 융합 프로토콜(Packet Data Convergence Protocol, PDCP) 계층에 위치되고, 송신단의 노드가 PDCP 프로토콜 데이터 유닛(Protocol Data Unit, PDU)의 헤더(header) 및 데이터 부분에 대한 무결성 보호를 수행할 수 있다. 구체적으로, 송신단의 노드는 상위 프로토콜 계층에 구성된 무결성 보호 알고리즘을 사용하고 그리고 키, COUNT 값, 무선 베어러 식별자, DIRECTION, 메시지 등과 같은 파라미터 중 적어도 하나를 입력 파라미터로 사용하여, 무결성을 위한 32비트(bit) 메시지 인증 코드(Message Authentication Code for Integrity, MAC-I)를 계산하고, 무결성을 위한 32비트 메시지 인증 코드를 PDCP PDU의 MAC-I 도메인에 넣는다. 수신단의 노드는 메시지를 수신한 후 동일한 방법을 사용하여, 메시지의 예상되는 인증 코드 XMAC-I를 계산하고, 그런 다음 XMAC-I와 MAC-I를 비교하여 무결성 검사를 수행한다. MAC-I가 XMAC-I와 같으면(equal), 수신단이 무결성 검사가 성공했다고 결정하며; 또는 MAC-I가 XMAC-I와 같지 않으면, 수신단이 무결성 검사가 실패했다고 결정한다.
3. 무결성 보호 알고리즘
MAC은 무결성 보호 알고리즘을 사용하여 생성될 수 있으며, 무결성 보호 알고리즘은 다르게는 MAC 알고리즘, 무결성 보호 알고리즘 등으로 지칭될 수 있다. 선택적으로, 무결성 보호 알고리즘은 다른 암호화(encryption) 알고리즘을 사용하여 구현될 수 있다. 예를 들어, 해시 알고리즘을 사용하여 구현된 무결성 보호 알고리즘을 해시 기반 메시지 인증 코드(hash-based message authentication code, HMAC) 알고리즘이라고 한다. 해시 알고리즘은 MD5, SHA-1, SHA-256 등 중 하나일 수 있다. 이들 상이한 HMAC 구현은 일반적으로 HMAC-MD5, HMAC-SHA1, HMAC-SHA256 등으로 표시된다(marked). 다른 예로, 블록 암호(cipher) 알고리즘에 기반하여 구현된 MAC 알고리즘을 암호 기반 메시지 인증 코드(Cipher-based Message Authentication Code, CMAC) 알고리즘이라 할 수 있으며, 블록 암호 알고리즘은 고급 암호화 표준(Advanced Encryption Standard, AES)일 수 있다. 블록 암호화에는 ECB, CBC, CFB 및 OFB의 네 가지 동작 모드(working mod)가 있기 때문에, 서로 다른 동작 모드에서 블록 암호화 알고리즘에 기반하여 구현된 무결성 보호 알고리즘을 ECB-MAC 알고리즘, CBC-MAC 알고리즘 등으로 지칭할 수 있다. 또한, CBC-MAC 알고리즘을 개선하여 원-키 메시지 인증 코드(One-key CBC-MAC, OMAC)를 획득하며, 이는 2006년에 국가표준기술원(National Institute of Standards and Technology, NIST)에 의해 권장 표준으로 리스트되었다.
또한, 무결성 보호 알고리즘은 갈루와 메시지 인증 코드(Galois message authentication code mode, GMAC), ZUC 암호 알고리즘(예: ZUC128, ZUC256), 메시지 다이제스트(message digest, MD) 알고리즘(예: MD2, MD4 또는 MD5)을 더 포함할 수 있다. 또한, 암호 알고리즘은 cDNA 단의 급속 증폭(rapid amplification of cDNA ends, RACE) 무결성 프리미티브 평가 메시지 다이제스트(RACE Integrity Primitives Evaluation Message Digest, RIPEMD) 알고리즘을 더 포함할 수 있다.
또한, 무결성 보호 알고리즘은 둘 이상의 알고리즘을 조합하므로, 알고리즘들 중 하나가 취약한 것으로 판명되더라도 다른 하나가 메시지 무결성을 계속해서 보호할 수 있다. 예를 들어, 전송 계층 보안(Transport Layer Security, TLS)에서는 입력 데이터를 두 개의 부분으로 나누고, 두 개의 부분을 각각 상이한 무결성 보호 알고리즘(MD5 및 SHA-1)을 사용하여 처리하며, 그런 다음 두 개의 처리된 부분을 XOR 연산하여 MAC을 획득한다.
무결성 보호 알고리즘은 적어도 하나의 길이의 MAC을 생성하는 데 사용될 수 있다. 표 1은 본 출원의 실시예에서 제공되는 가능한 MAC 알고리즘을 사용하여 생성된 MAC의 길이에 관한 정보를 보여준다. CMAC 알고리즘을 사용하여 생성된 MAC은 일반적으로 128비트, 64비트 또는 32비트 암호 블록을 지원하며; GMAC를 사용하여 생성된 MAC의 길이는 32비트 ~ 128비트일 수 있고; HMAC는 복수의 길이의 다이제스트를 MAC으로 생성하는 데 사용될 수 있음을 알 수 있다.
서로 다른 무결성 보호 알고리즘을 사용하여 생성된 MAC의 길이
알고리즘 MAC의 길이
CMAC 대응하는 블록 암호 알고리즘을 사용하여 생성된 패스워드의 길이에 의해 결정되며, 일반적으로 128비트, 64비트 또는 32비트
GMAC 32비트 ~ 128비트
HMAC 대응하는 해시 알고리즘을 사용하여 생성된 다이제스트의 길이에 의해 결정되며, 일반적으로 256비트 또는 128비트
ZUC128 32비트
ZUC256 32비트, 64비트, 또는 128비트
일부 특정 시나리오에서는 인증된 암호화 알고리즘을 사용하여 주어진 원본 텍스트에 대해 데이터를 암호화할 수 있으며 메시지 인증 코드도 생성할 수 있다. 따라서, 메시지에 대한 인증 및 암호화를 수행하는 프로세스에서 메시지에 대한 무결성 보호가 수행된다고 볼 수도 있다. 예를 들어, GMAC 기반의 AES 알고리즘(AES-Galois/Counter Mode, AES-GCM), CMAC/Counter 모드 기반의 AES 알고리즘(AES-CMAC/Counter Mode, AES-CCM) 등이 메시지에 대한 인증 및 암호화를 수행하는 데 사용될 수 있으며, 메시지의 무결성을 보호하기 위해 인증 및 암호화를 수행하는 프로세스에서 MAC이 생성될 수 있다. 선택적으로, 서로 다른 인증된 암호화 알고리즘을 사용하여 생성된 MAC의 길이는 무결성 보호 알고리즘을 사용하여 생성된 MAC의 길이를 참조한다. 예를 들어, AES-GCM 알고리즘에 기반하여 생성된 MAC의 길이는 GMAC를 사용하여 생성된 MAC의 길이를 참조한다.
4. 공유 키(shared key, SK)
통신 프로세스에서, 데이터는 통신 노드 간에 전송된다. 데이터를 기밀로 유지해야 하면, 키를 사용하여 데이터를 암호화해야 한다. 공유 키는 양 통신 당사자의 노드에 저장된 동일한 비밀 값이다. 공유 키는 양 통신 당사자의 노드에서 미리 정의되거나 미리 구성될 수 있으며, 또는 동일한 키 획득 방법을 사용하여 양 통신 당사자에 의해 생성될 수 있으며, 또는 신뢰할 수 있는 디바이스(예: 키 배포 센터(Key Distribution Center, KDC))에 의해 제1 노드와 제2 노드에 송신될 수 있다.
예를 들어, 차량의 콕피트 도메인 컨트롤러(cockpit domain controller, CDC)와 차량 탑재 레이더 디바이스는 서로 통신할 수 있는 두 개의 노드이다. CDC와 차량 탑재 레이더를 배치할 때, 자동차 공장의 작업자는 CDC와 차량 탑재 레이더 간에 공유 키를 미리 구성한다. 공유 키를 사용하면 차량의 CDC와 차량 탑재 레이더 간의 통신 보안을 보장할 수 있다.
다른 예로, CDC와 차량 소유자의 모바일폰은 서로 통신할 수 있는 두 개의 노드이다. 차량 소유자가 모바일폰을 사용하여 차량의 CDC와 연동해야 할 때, 차량 소유자는 키 획득 방법을 사용하여 공유 키를 획득할 수 있으며, 예를 들어, 공유 키는 키 합의 알고리즘을 사용하여 모바일폰과 차량의 CDC 사이에 키 합의 알고리즘 파라미터를 교환하는 것에 의해 생성된다. 이후 모바일폰이 다시 차량의 CDC와 연결을 요청할 때, 공유 키를 사용하여 두 노드의 아이덴티티를 확인할 수 있다.
5. 키 도출
키 도출은 하나의 비밀 값으로부터 하나 이상의 비밀 값을 도출하는 프로세스이다. 키를 도출하는 데 사용되는 알고리즘을 키 도출 함수(key derivation function, KDF)라고 하며, 키 도출 알고리즘이라고도 한다. 예를 들어 비밀 값 Key에서 도출된 신규 비밀 값 DK는 다음:DK = KDF(Key)과 같이 나타낼 수 있다.
일반적인 키 도출 알고리즘으로는 패스워드 기반 키 도출 함수(password-based key derivation function, PBKDF), 스크립트(scrypt) 알고리즘 등이 있다. PBKDF 알고리즘은 1세대 PBKDF1과 2세대 PBKDF2를 더 포함한다. 선택적으로, 특정 구현 중에 키 도출 프로세스에서 해시 알고리즘을 사용하여 입력된 비밀 값에 대한 해시 변경을 수행할 수 있다. 따라서, KDF에서는 사용할 특정 해시 알고리즘을 지시하기 위해 알고리즘 식별자를 입력으로 추가로 받을 수 있다.
6. 시그널링 평면과 사용자 평면
통신 시스템에는 보통 사용자 평면(User Plane)과 제어 평면(Control Plane)이 존재한다. 소프트웨어 정의 네트워킹(Software Defined Network, SDN) 기술의 등장으로 제어 평면과 사용자 평면(Control Plane and User Plane, CU) 분리가 점차 통신 시스템의 발전 방향이 되고 있다. 제어 평면은 시그널링 평면 또는 제어 평면이라고도 하며 일반적으로 제어 신호를 전송하는 데 사용된다. 설명의 편의를 위해, "시그널링 평면"은 본 출원의 실시예에서 설명을 위해 일률적으로 사용된다. 사용자 평면은 데이터 평면이라고도 하며 일반적으로 사용자 데이터를 전송하는 데 사용된다. 설명의 편의를 위해, "사용자 평면"은 본 출원의 실시예에서 설명을 위해 일률적으로 사용된다.
예를 들어, 음성 통화(voice call) 프로세스에서 제어 평면은 호 절차 구축, 유지 및 해제를 제어하는 시그널링을 전송하는 데 사용되고 사용자 평면은 음성 데이터를 전송하는 데 사용된다.
일부 특정 애플리케이션 시나리오에서 네트워크 전송은 무선 네트워크 계층과 전송 네트워크 계층으로 나뉜다. 무선 네트워크 계층에서의 사용자 평면은 회선 교환 도메인(Circuit Switching Domain, CS) 서비스(예: 음성 코딩 및 비디오 코딩) 또는 패킷 데이터 패킷(Packet Switching Domain, PS) 서비스, 즉 진정한 사용자 데이터이다. 무선 네트워크 계층의 제어 평면은 무선 액세스 네트워크 애플리케이션 부분(Radio Access Network Application Part, RANAP), 무선 네트워크 서브시스템 애플리케이션 부분(Radio Network Subsystem Application Part, RNSAP) 프로토콜, 노드B 애플리케이션 부분(NodeB Application Part, NBAP) 프로토콜 등 중 하나 이상을 포함하고, 호 프로세스의 시그널링 제어에 사용된다. 전송 네트워크 계층은 하위 계층 베어러이다. 따라서, 전송 네트워크 계층의 사용자 평면은 사용자 데이터와 시그널링 데이터를 모두 포함한다. 달리 말하면, 무선 네트워크 계층(제어 평면 및 사용자 평면)의 메시지는 전송 네트워크 계층의 사용자 평면 메시지이며, 송신/수신을 위해 전송 네트워크 계층에 의해 운반된다. 전송 네트워크 계층의 제어 평면은 독립적인 제어 평면으로 전송 네트워크 계층에만 위치되며, 무선 네트워크 계층의 사용자 평면 데이터에 대한 전송 베어러를 설정(비동기 전송 모드 적응 계층(Asynchronous Transfer Mode Adaptation Layer, AAL2) 연결을 생성, 유지 및 해제)에 사용된다.
또한, 본 출원의 실시예에서 언급되는 "인증(authentication)", "검사(check)", "검증(verification)"은 검사가 정확한지(correct) 또는 합리적인지를 의미할 수 있음에 유의해야 한다. 본 출원의 실시예에서 "연관(association)"은 제1 노드가 제2 노드에 대한 연결(connection)을 구축하는 프로세스를 지시한다. 일부 특정 기술 시나리오에서 "연관"은 "액세스"로 설명될 수 있다.
다음은 본 출원의 실시예에서 시스템 아키텍처 및 서비스 시나리오를 설명한다. 본 출원에 설명된 시스템 아키텍처 및 서비스 시나리오는 본 출원의 기술 솔루션을 보다 명확하게 설명하기 위한 것이며, 본 출원에서 제공되는 기술 솔루션에 대한 제한을 구성하지 않음을 유의해야 한다. 당업자는 시스템 아키텍처의 진화와 신규 서비스 시나리오의 출현으로 본 출원에서 제공되는 기술 솔루션이 유사한 기술 문제에도 적용될 수 있음을 알 수 있다.
도 1은 본 출원의 실시예에 따른 통신 시스템의 아키텍처의 개략도이다. 통신 시스템은 제1 노드(101) 및 제2 노드(102)를 포함한다. 제2 노드(202)는 제1 노드(101)와의 연관을 요청할 수 있다. 연관이 성공한 후, 제1 노드(101)는 데이터 링크를 통해 제2 노드(102)와 통신할 수 있다. 선택적으로, 제1 노드(101)와 제2 노드(102) 사이의 통신에 사용되는 데이터 링크는 다양한 연결 매체를 포함할 수 있으며, 예를 들어 802.11b/g, 블루투스(Bluetooth), 지그비(Zigbee), 무선 주파수 식별(Radio Frequency Identification, RFID) 기술, 초광대역(Ultra Wideband, UWB) 기술 등을 포함할 수 있으며; 다른 예로, 이동 통신을 위한 글로벌 시스템(Global System for Mobile Communications, GSM), 일반 패킷 무선 서비스(GPRS, General Packet Radio Service), 및 범용 이동 통신 시스템(Universal Mobile Telecommunications System, UMTS)과 같은 무선 액세스 유형 기술을 포함하는 장거리 연결 기술일 수 있다. 물론, 제1 노드와 제2 노드 사이의 통신을 지원하기 위해 다른 기술이 사용될 수 있음을 배제하지 않는다.
제1 노드와 제2 노드 간의 통신 보안을 위해, 메시지 인증 코드를 사용하여 메시지에 대한 무결성 보호를 수행할 수 있다. 예를 들어, 제1 노드는 무결성 보호 알고리즘을 사용하여(또는 추가로 무결성 보호 키를 사용하여) 메시지의 일부 또는 모든 데이터에 기반하여 MAC을 생성하고, MAC을 메시지(예를 들어, 메시지의 프리픽스(prefix) 또는 서픽스(suffix)에 추가하며, 메시지를 제2 노드에 송신한다. 메시지를 수신한 후, 제2 노드는 먼저 대응하는 무결성 보호 알고리즘을 사용하여(또는 대응하는 무결성 보호 키를 사용하여) 대응하는 일부 데이터 또는 모든 데이터에 기반하여 검사 값(check value)을 생성한다. 검사 값이 MAC과 일치하면, 메시지의 대응하는 데이터가 위조되지 않았음을 지시한다.
선택적으로, 제1 노드(101)는 통신 개시자일 수 있으며, 프라이머리(primary) 노드 또는 액세스 포인트(access point, AP)로 지칭될 수 있다. 이에 대응하여, 제2 노드(102)는 통신 수신기일 수 있고, 세컨더리(secandary) 노드로 지칭될 수 있다.
또한, 제1 노드(101)와 제2 노드(102)는 동일한 유형의 디바이스일 수도 있고, 상이한 유형의 디바이스일 수도 있다. 예를 들어, 도 2는 본 출원의 실시예에 따른 통신 방법의 애플리케이션 시나리오의 개략도이다. 차량 내 콕피트 도메인 컨트롤러(cockpit domain controller, CDC)(201)는 스마트 콕피트 디바이스 내 제어 센터로서, 제1 노드(101)로 간주될 수 있다. 스마트폰(202)은 데이터 수신 및 송신 능력을 가진 디바이스이며, 제2 노드(102)로 간주될 수 있다. CDC(201)가 스마트폰(202)에 송신하는 메시지는 MAC을 운반할 수 있으며, 스마트폰(202)은 메시지를 수신하고 MAC을 사용하여 메시지의 무결성을 검사한 후, 메시지에 기반하여 대응하는 작동(operation)을 수행한다. 그러나, 기존의 메시지 인증 코드 기술에서, 메시지 인증 코드의 길이가 일반적으로 고정되어 있어 사용자의 요건을 충족시키기 어렵다. 예를 들어, 스마트폰(202)은 블루투스를 사용하여 CDC(201)와 연결된다. CDC(201)가 음성 데이터를 스마트폰(202)에 송신해야 할 때, 차량 내 음성 데이터는 상대적으로 프라이버시 요건이 높고 블루투스 통신 프로세스에서 메시지 인증 코드의 길이가 32비트이기 때문에, 메시지 인증 코드는 공격자에 의해 크랙되기 쉽고 보안 요건을 충족할 수 없다. 따라서, 데이터 보호를 위해 더 긴 MAC 길이가 요구된다.
도 3은 본 출원의 실시예에 따른 통신 방법의 개략적인 흐름도이다. 통신 방법은 도 1에 도시된 통신 시스템에 기반하여 구현될 수 있다. 이 방법은 적어도 다음 단계를 포함한다.
단계(S301): 제2 노드가 연관 요청 메시지를 제1 노드에 송신한다.
구체적으로, 연관 요청 메시지는 제2 노드가 지원하는 보안 알고리즘에 관한 정보를 포함하며, 보안 알고리즘에 관한 정보는 보안 알고리즘의 이름, 식별자, 미리 정의된 심볼 등일 수 있다. 제2 노드가 지원하는 보안 알고리즘은 무결성 보호 알고리즘에 관한 정보, 인증된 암호화 알고리즘에 관한 정보 등을 하나 이상 포함한다. 선택적으로, 제2 노드가 지원하는 보안 알고리즘에 관한 정보는 다르게는 제2 노드의 보안 능력(Sec Capabilities)이라고 할 수 있다.
표 2는 본 출원의 이 실시예에서 제공되는 가능한 알고리즘 정보 테이블이다. 연관 요청 메시지에서 제2 노드가 지원하는 보안 알고리즘에 관한 정보는 알고리즘 이름 또는 알고리즘 식별자일 수 있다. 예를 들어, 제2 노드가 지원하는 보안 알고리즘에 관한 정보는 "GIA2, GIA3, GAC1"일 수 있으며, 이는 제2 노드가 ZUC(ZUC) 암호화 알고리즘, AES-CMAC 알고리즘(구체적으로, 64비트 MAC 길이와 128비트 MAC 길이를 지원하는 AES-CMAC 알고리즘), AES-GCM 알고리즘(구체적으로, 32비트 MAC 길이를 지원하는 AES-GCM 알고리즘)을 지원함을 지시한다. 다른 예로, 제2 노드가 지원하는 보안 알고리즘에 관한 정보는 "0010, 0011, 1000"일 수 있으며, 이는 제2 노드가 ZUC(ZUC) 암호화 알고리즘, AES-CMAC 알고리즘, AES-GCM 알고리즘을 지원함을 지시한다.
알고리즘 정보 테이블
알고리즘 유형 알고리즘 이름 알고리즘 식별자 알고리즘 소개
무결성 보호 알고리즘 GIA0 0000 널(Null) 무결성 보호 알고리즘
GIA1 0001 AES-CMAC 알고리즘; 및 MAC 길이: 32비트
GIA2 0010 ZUC 알고리즘; 및 MAC 길이: 32비트
GIA3 0011 AES-CMAC 알고리즘; 및 MAC 길이: 64비트 및 128비트
인증된 암호화 알고리즘 GAC1 1000 AES-GCM 알고리즘; 및 MAC 길이: 32비트
GAC2 1001 AES-CCM 알고리즘; 및 MAC 길이: 32 비트
GAC3 1010 AES-GCM 알고리즘; 및 MAC 길이: 64비트 및 128비트
GAC4 1011 ZUC 알고리즘; 및 MAC 길이: 64비트 및 128비트
선택적으로, 연관 요청 메시지는 제2 노드에 의해 획득(또는 생성)된 신규(fresh) 파라미터를 더 포함할 수 있다. 신규 파라미터는 논스(number once, NONCE), 카운터(counter), 시퀀스 번호(number) 등 중 적어도 하나를 포함할 수 있다. 설명을 쉽게 하기 위해, 본 출원의 실시예에서, 제1 연관 요청 메시지에서 제2 노드에 의해 획득(또는 생성)된 신규 파라미터는 제1 신규 파라미터로 지칭된다.
선택적으로, 제1 노드는 액세스 메시지 또는 브로드캐스트 메시지를 송신하고, 제2 노드는 제1 노드로부터 액세스 메시지 또는 브로드캐스트 메시지를 수신할 수 있다. 제2 노드는 액세스 메시지 또는 브로드캐스트 메시지에 기반하여 제1 연관 요청 메시지를 제1 노드에 송신한다. 구체적으로, 제1 노드의 액세스 메시지 또는 브로드캐스트 메시지는 제1 노드의 아이덴티티(identity), 제1 노드의 설명 정보, 다른 노드에 의한 액세스를 지시하기 위한 정보 등 중 적어도 하나를 포함할 수 있다.
단계(S302): 제1 노드가 제1 알고리즘 선택 정책에 따라 시그널링 평면의 타깃 보안 알고리즘 및 시그널링 평면의 타깃 MAC 길이를 결정한다.
구체적으로, 시그널링 평면의 타깃 보안 알고리즘은 시그널링 평면의 무결성 보호 알고리즘, 인증된 암호화 알고리즘 등 중 하나를 포함한다. 시그널링 평면의 타깃 보안 알고리즘은 시그널링 평면의 메시지의 무결성 보호를 위해 사용되며, 시그널링 평면의 타깃 보안 알고리즘은 제2 노드가 지원하는 보안 알고리즘에 관한 정보에 의해 지시되는 보안 알고리즘 세트에 속한다. 예를 들어, 제2 노드가 지원하는 보안 알고리즘에 관한 정보는 "GIA2, GIA3, GAC1"일 수 있으며, 이는 제2 노드가 ZUC(ZUC) 암호화 알고리즘, AES-CMAC 알고리즘(구체적으로, 64비트 MAC 길이와 128비트 MAC 길이를 지원하는 AES-CMAC 알고리즘), AES-GCM 알고리즘(구체적으로, 32비트 MAC 길이를 지원하는 AES-GCM 알고리즘)을 지원함을 지시한다. 이 경우, 제1 노드에서 결정되는 시그널링 평면의 타깃 보안 알고리즘은 ZUC(ZUC) 암호화 알고리즘, AES-CMAC 알고리즘(구체적으로, 64비트 MAC 길이와 128비트 MAC 길이를 지원하는 AES-CMAC 알고리즘), AES-GCM 알고리즘(구체적으로, 32비트 MAC 길이를 지원하는 AES-GCM 알고리즘)을 포함하는 세트에 속한다.
제1 알고리즘 선택 정책은 제1 노드에 미리 구성되거나 미리 정의된 선택 정책일 수 있다. 선택적으로, 제1 알고리즘 선택 정책은 우선순위를 사용하여 구현될 수 있거나, 미리 구성 또는 미리 정의된 선택 시퀀스에 따라 구현될 수 있거나, 알고리즘, 모델 등의 방식으로 구현될 수 있다. 예를 들어, 도 4는 본 출원의 실시예에 따른 가능한 제1 알고리즘 선택 정책의 개략도이다. 영역(401)을 참조한다. 식별자가 "0001"인 알고리즘(대응하는 알고리즘은 AES-CMAC 알고리즘)의 우선순위는 1이다. 이는 제1 노드가 우선적으로 AES-CMAC 알고리즘(자세한 내용은 표 2를 참조하며, 이는 32비트 MAC 길이를 지원하는 AES-CMAC 알고리즘임)을 시그널링 평면의 타깃 보안 알고리즘으로 선택함을 지시할 수 있다. 다른 예로, 제1 모델이 제1 노드에 미리 구성되어 있다. 제1 모델은 심층 강화 학습 훈련을 통해 얻은 신경망이다. 신경망은 복수의 샘플 데이터를 이용한 훈련을 통해 얻어진다. 따라서, 제1 모델은 제2 노드가 지원하는 보안 알고리즘에 관한 정보에 기반하여 최적의 타깃 보안 알고리즘을 결정할 수 있다. 이와 같이 제1 모델을 제1알고리즘 선택 정책으로 볼 수 있다.
선택적으로, 제1 노드가 제1 알고리즘 선택 정책에 따라 시그널링 평면의 타깃 보안 알고리즘 및 시그널링 평면의 타깃 MAC 길이를 결정하는 것은 적어도 다음 두 가지 사례를 포함한다.
사례 1: 제1 노드는 제1 길이 선택 정책 및 제1 알고리즘 선택 정책에 따라 시그널링 평면의 타깃 보안 알고리즘 및 시그널링 평면의 타깃 MAC 길이를 결정한다. 제1 길이 선택 정책은 제1 노드에서 미리 구성 또는 미리 정의된 선택 정책일 수 있으며, 또는 우선 순위를 사용하여 구현될 수도 있고, 미리 구성 또는 미리 정의된 선택 시퀀스에 따라 구현될 수도 있으며, 알고리즘 방식, 모델 등으로 구현될 수도 있다. 예를 들어, 제1 길이 선택 정책은 가장 긴 MAC 길이 또는 가장 짧은 MAC 길이를 선택하는 것일 수 있다. 또한 선택적으로, 가장 긴 MAC 길이를 선택하는 것은 제1 노드에서 디폴트 길이 선택 정책으로 구성된 길이 선택 정책일 수 있다.
선택적으로, 제1 노드가 제1 길이 선택 정책 및 제1 알고리즘 선택 정책에 따라 시그널링 평면의 타깃 보안 알고리즘 및 시그널링 평면의 타깃 MAC 길이를 결정하는 것은 구체적으로 적어도 다음의 두 구현을 가질 수 있다:
구현 1: 제1 노드는 제1 알고리즘 선택 정책에 따라 시그널링 평면의 타깃 보안 알고리즘을 결정하고, 제1 길이 선택 정책 및 시그널링 평면의 타깃 보안 알고리즘에 따라 시그널링 평면의 타깃 MAC 길이를 결정한다.
예를 들어, 도 5는 본 출원의 실시예에 따라 시그널링 평면의 타깃 MAC 길이를 결정하는 가능한 방법의 개략도이다. 영역(501)을 참조하면, 제2 노드가 지원하는 보안 알고리즘에 관한 정보가, 제2 노드가 지원하는 보안 알고리즘에 관한 정보가 "0011, 1010"임을 지시하고, 제2 노드가 지원하는 보안 알고리즘이 AES-CMAC 알고리즘과 AES-GCM 알고리즘임을 지시하는 것을 알 수 있다. 제1 노드는 제1 알고리즘 선택 정책을 우선순위 방식으로 구현한다. 영역(502)을 참조하면, AES-CMAC 알고리즘의 우선순위는 2이고, AES-GCM 알고리즘의 우선순위는 3임을 알 수 있다. 따라서, AES-CMAC는 제1 알고리즘 선택 정책에 따라 시그널링 평면의 타깃 보안 알고리즘으로 결정된다. 식별자 "0011"에 대응하는 AES-CMAC 알고리즘이 지원하는 MAC 길이는 64비트와 128비트이다. 도 5에 도시된 제1 길이 선택 정책에 따르면. 64비트의 우선순위가 128비트의 우선순위보다 높은 것을 알 수 있다. 따라서, 64비트를 시그널링 평면의 타깃 MAC 길이로 결정한다(영역 503 참조).
다른 예로, 제1 노드에 구성된 디폴트 제1 길이 선택 정책은 타깃 보안 알고리즘이 지원하는 MAC 길이 중 가장 긴 MAC 길이를 선택하는 것일 수 있다. 예를 들어, 식별자 "0011"에 대응하는 AES-CMAC 알고리즘이 지원하는 MAC 길이는 64비트와 128비트이며, 제1 노드는 기본적으로 128비트를 시그널링 평면의 타깃 MAC 길이로 선택할 수 있다. 다르게는, 제1 노드에 구성된 디폴트 제1 길이 선택 정책은 타깃 보안 알고리즘이 지원하는 MAC 길이 중에서 가장 짧은 MAC 길이를 선택하는 것일 수 있다.
구현 2: 제1 노드는 제1 길이 선택 정책에 따라 제1 길이를 지원하는 알고리즘 또는 알고리즘 세트를 결정한다. 제1 노드는 제1 알고리즘 선택 정책에 따라 알고리즘 또는 알고리즘 세트에서 제1 길이를 지원하는 제1 알고리즘을 결정하고, 제1 알고리즘이 제2 노드가 지원하는 보안 알고리즘이면, 제1 알고리즘을 시그널링 평면의 타깃 보안 알고리즘으로 결정하며, 제1 길이를 시그널링 평면의 타깃 MAC 길이로 결정한다.
예를 들어, 도 6은 본 출원의 실시예에 따라 시그널링 평면의 타깃 MAC 길이를 결정하기 위한 다른 가능한 방법의 개략도이다. 영역(602)을 참조하면, 제1 노드는 제1 길이 선택 정책에 따라, 128비트 MAC 길이를 지원하는 알고리즘 그룹(즉, 식별자 "0011, 1010, 1011"에 각각 대응하는 알고리즘)을 결정한다. 영역(603)을 참조하면, 제1 노드는 제1 알고리즘 선택 정책에 따라 우선 순위가 가장 높은 알고리즘(즉, 식별자 "0011"에 대응하는 AES-CMAC 알고리즘)을 결정한다. 영역(601)을 참조하면, 제2 노드가 식별자 "0011"에 대응하는 알고리즘을 지원함을 알 수 있다. 따라서, AES-CMAC 알고리즘을 시그널링 평면의 타깃 보안 알고리즘으로 결정하고, 128비트를 시그널링 평면의 타깃 MAC 길이로 결정한다.
특정 길이를 지원하는 알고리즘이 제2 노드에서 지원되지 않으면, 다음 길이를 지원하는 알고리즘 또는 알고리즘 세트가 선택될 수 있음을 알 수 있다. 예를 들어, 128비트를 지원하는 알고리즘(즉, 식별자 "0011, 1010, 1011"에 각각 대응하는 알고리즘)이 제2 노드에 의해 지원되지 않으면, 다음 우선 순위의 MAC 길이에 대응하는 알고리즘 중에서 타깃 보안 알고리즘을 선택할 수 있다. 사례 2: 제1 노드는 제1 알고리즘 선택 정책에 따라 시그널링 평면의 타깃 보안 알고리즘을 결정하며, 여기서 시그널링 평면의 타깃 보안 알고리즘에 대응하는 MAC 길이는 시그널링 평면의 타깃 MAC 길이이다. 구체적으로, 적어도 다음 두 가지 구현이 있을 수 있다.
구현 3: 시그널링 평면의 타깃 보안 알고리즘은 길이가 하나뿐인 MAC 생성을 지원한다. 이 경우, 제1 노드는 제1 알고리즘 선택 정책에 따라 시그널링 평면의 타깃 보안 알고리즘을 결정하고, 시그널링 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이를 시그널링 평면의 타깃 MAC 길이로 결정한다. 예를 들어 식별자가 "0001"인 알고리즘(대응하는 알고리즘은 AES-CMAC 알고리즘)은 32비트의 한 길이만 가지는 MAC 생성을 지원한다. 제1 노드가 제1 알고리즘 선택 정책에 따라, 시그널링 평면의 타깃 보안 알고리즘이 식별자가 "0001"인 알고리즘이라고 결정할 때, 대응하는 32비트를 시그널링 평면의 타깃 MAC 길이로 사용한다. 다른 예로, HMAC256 알고리즘은 HMAC 알고리즘 중 하나로 256비트 MAC 길이만 생성할 수 있다. 따라서, 제2 노드가 HMAC256 알고리즘만을 지원할 때, HMAC256에 대응하는 256비트를 시그널링 평면의 타깃 MAC 길이로 사용한다.
구현 4: 제1 노드는 타깃 보안 알고리즘과 MAC 길이 사이의 대응 관계를 미리 저장하고, 제1 노드는 시그널링 평면의 타깃 보안 알고리즘과 MAC 길이 사이의 대응 관계에 기반하여, 시그널링 평면의 타깃 보안 알고리즘에 대응하는 MAC 길이를 시그널링 평면의 타깃 MAC 길이로 결정한다. 대응 관계는 미리 구성되거나 미리 정의될 수 있다. 예를 들어, 도 7은 본 출원의 실시예에 따른 다른 가능한 제1 알고리즘 선택 정책의 개략도이다. 영역(701)을 참조하면, 제1 알고리즘 정책은 추가로, 보안 알고리즘과 길이 사이의 대응 관계를 지시할 수 있다. 상이한 대응 관계는 상이한 우선 순위를 지시한다. 식별자가 "0001"인 AES-CMAC 알고리즘의 우선순위와 대응하는 32비트 MAC 길이의 우선순위는 1이다. 제1 알고리즘 선택 정책에 따라 식별자가 "0001"인 AES-CMAC 알고리즘을 시그널링 평면의 타깃 보안 알고리즘으로 결정한 후, 제1 노드는 AES-CMAC 알고리즘과 MAC 길이 사이의 대응 관계에 기반하여, 식별자가 "0001"인 AES-CMAC 알고리즘에 대응하는 32비트를 시그널링 평면의 타깃 MAC 길이로 결정한다.
단계(S303): 제1 노드가 시그널링 평면의 타깃 보안 알고리즘을 사용하여 제1 MAC을 생성한다.
구체적으로, 제1 MAC의 길이는 시그널링 평면의 타깃 MAC 길이이고, 제1 MAC은 보안 콘텍스트 요청 메시지의 무결성을 검사하기 위해 제2 노드에 의해 사용된다.
선택적으로, 타깃 보안 알고리즘 외에, 제1 MAC을 생성할 때, 제1 노드와 제2 노드 사이의 공유 키(구체적으로는 무결성 보호 키일 수 있음) 및 제1 MAC을 사용하여 무결성 보호가 수행되어야 하는 메시지 데이터가 추가로 요구된다. 예를 들어, 공유 키 K1(구체적으로 무결성 보호 키일 수 있음) 및 보안 콘텍스트 요청 메시지에서 제1 MAC 이외의 데이터 data1의 일부 또는 전부를 사용하여 암호 기반 메시지 인증 코드(Cipher-based Message Authentication Code, CMAC) 알고리즘에 따라 제1 MAC을 획득할 수 있다. 예를 들어, 제1 MAC = CMAC(K1, data1)이다.
선택적으로, 본 출원의 이 실시예에서의 통신 방법은 단계(S304) 또는 단계(S304) 내지 단계(S311)의 일부 또는 전부를 더 포함할 수 있다. 단계(S304) 내지 단계(S311)는 구체적으로 다음과 같다.
단계(S304): 제1 노드가 보안 콘텍스트 요청 메시지를 제2 노드에 송신한다.
구체적으로, 보안 콘텍스트 요청 메시지는 시그널링 평면의 타깃 보안 알고리즘을 지시하는 데 사용되는 정보 및 시그널링 평면의 타깃 MAC 길이를 지시하는 데 사용되는 정보를 포함한다. 또한, 보안 콘텍스트 요청 메시지는 제1 MAC을 포함한다. 제1 MAC의 길이는 시그널링 평면의 타깃 MAC 길이이며, 제1 MAC은 추가로, 보안 콘텍스트 요청 메시지의 무결성을 검사하는 데 사용된다. 구체적으로, 제1 MAC은 제2 노드에서 보안 콘텍스트 요청 메시지의 무결성을 검사하는 데 사용된다.
선택적으로, 시그널링 평면의 타깃 MAC 길이를 지시하는 데 사용되는 정보는 적어도 다음과 같은 몇 가지 가능한 사례를 가질 수 있다.
사례 1: 시그널링 평면의 타깃 MAC 길이를 지시하는 데 사용되는 정보는 바로 시그널링 평면의 타깃 MAC 길이일 수 있다. 예를 들어, 보안 콘텍스트 요청 메시지는 "시그널링 평면 MAC 길이: 64비트"를 포함하고, 제2 노드는 콘텍스트 요청 메시지에 기반하여 시그널링 평면의 타깃 MAC 길이를 획득할 수 있다. 이 경우, 보안 콘텍스트 요청 메시지는 제1 MAC, 시그널링 평면의 타깃 보안 알고리즘을 지시하는 데 사용되는 정보, 및 시그널링 평면의 타깃 MAC 길이를 포함한다.
사례 2: 시그널링 평면의 타깃 MAC 길이를 지시하는 데 사용되는 정보는 제1 MAC일 수 있다. 구체적으로, 제1 MAC의 길이는 시그널링 평면의 타깃 MAC 길이이고, 제2 노드는 제1 MAC의 길이에 기반하여 시그널링 평면의 타깃 MAC 길이를 결정할 수 있다. 이 경우, 보안 콘텍스트 요청 메시지는 제1 MAC 및 시그널링 평면의 타깃 보안 알고리즘을 지시하는 데 사용되는 정보를 포함한다.
사례 3: 결정된 시그널링 평면의 타깃 보안 알고리즘이 단 하나의 MAC 길이에 대응할 때, 시그널링 평면의 타깃 MAC 길이를 지시하는 데 사용되는 정보는 시그널링 평면의 타깃 보안 알고리즘을 지시하는 데 사용되는 정보일 수 있다. 예를 들어, 식별자가 "0001"인 알고리즘(대응하는 알고리즘은 AES-CMAC 알고리즘)은 32비트의 한 길이만 갖는 MAC 생성을 지원한다. 따라서, 시그널링 평면의 타깃 보안 알고리즘이 식별자 "0001"에 대응하면, 식별자 "0001"은 보안 콘텍스트 요청 메시지에서 운반될 수 있다. 식별자 "0001"은 시그널링 평면의 타깃 보안 알고리즘을 지시하는 데 사용된다. 알고리즘이 32비트 MAC에만 대응하기 때문에, 식별자는 시그널링 평면의 타깃 MAC 길이가 32비트임을 지시할 수도 있다. 이 경우, 보안 콘텍스트 요청 메시지는 제1 MAC, 및 시그널링 평면의 타깃 보안 알고리즘을 지시하는 데 사용되는 정보를 포함한다.
본 출원의 실시예에서 선택적 설계가 있음을 유의해야 한다. 결정된 시그널링 평면의 타깃 보안 알고리즘이 하나의 MAC 길이에만 대응하면, 제1 노드는 시그널링 평면의 타깃 보안 알고리즘을 지시하는 정보를 제2 노드에 송신하는 메시지에 추가할 수 있으며, 시그널링 평면의 타깃 보안 알고리즘을 지시하는 정보는 또한 시그널링 평면의 타깃 MAC 길이를 지시하는 데 사용될 수 있다. 이에 대응하여, 결정된 사용자 평면의 타깃 보안 알고리즘이 하나의 MAC 길이에만 대응하면, 제1 노드는 사용자 평면의 타깃 보안 알고리즘을 지시하는 정보 및 사용자 평면의 타깃 보안 알고리즘을 지시하는 정보를 메시지에 추가할 수 있으며, 사용자 평면의 타깃 보안 알고리즘을 지시하는 정보는 또한 사용자 평면의 타깃 MAC 길이를 지시하는 데 사용될 수 있다.
선택적으로, 보안 콘텍스트 요청 메시지는 제1 노드에 의해 획득(또는 생성)된 신규 파라미터를 더 포함할 수 있다. 신규 파라미터는 논스(number once, NONCE), 카운터(counter), 시퀀스 번호(number) 등 중 적어도 하나를 포함할 수 있다. 설명의 편의를 위해 보안 콘텍스트 요청 메시지의 신규 파라미터를 제2 신규 파라미터라고 한다.
선택적으로, 보안 콘텍스트 요청 메시지는 제1 아이덴티티 인증 정보를 더 포함한다. 제1 아이덴티티 인증 정보는 제1 노드와 제2 노드 사이의 공유 키에 기반하여 제1 노드에 의해 생성된다. 공유 키는 제1 노드와 제2 노드 사이에 미리 공유된 키일 수 있다. 예를 들어, 제1 노드는 KDF를 사용하여 미리 공유한 키 PSK에 기반하여 제1 아이덴티티 인증 정보 AUTHa 즉, AUTHa = KDF(PSK)를 생성할 수 있다. 선택적으로, 연관 요청 메시지가 제1 신규 파라미터를 포함할 때, 제1 아이덴티티 인증 정보는 공유 키 및 제1 신규 파라미터에 기반하여 생성될 수 있다. 예를 들어, 제1 아이덴티티 인증 정보 AUTHa는 미리 공유한 키 PSK와 제1 신규 파라미터 NONCEe를 KDF를 사용하여 생성되며, 예를 들어 AUTHa = KDF(PSK, NONCEe)이다.
추가 선택적으로, 실제 처리 동안, 제1 아이덴티티 인증 정보를 생성하기 위해 제1 노드에 의해 사용되는 파라미터는 다른 정보를 더 포함할 수 있다. 예를 들어, 생성된 제1 아이덴티티 인증 정보 AUTHa는 AUTHa = KDF(PSK, 연관 요청 메시지)를 충족할 수 있다.
추가로 선택적으로, 보안 콘텍스트 요청 메시지가 제2 신규 파라미터를 포함할 때, 제1 노드에 의해 생성된 제1 아이덴티티 인증 정보 AUTHa는 다음: AUTHa = KDF(PSK, NONCEa, 연관 요청 메시지)를 더 충족할 수 있으며, 여기서 NONCEa는 보안 콘텍스트 요청 메시지에서의 제2 신규 파라미터이다.
선택적으로, 제1 노드는 암호화 키를 사용하여 보안 콘텍스트 요청 메시지의 일부 또는 모든 데이터를 암호화할 수 있다. 이에 대응하여, 제2 노드는 보안 콘텍스트 요청 메시지를 수신하고, 대응하는 암호화 부분을 암호 해제하여 메시지 콘텐츠를 획득할 수 있다.
단계(S305): 제2 노드가 시그널링 평면의 타깃 보안 알고리즘을 사용하여 제1 MAC을 기반으로 보안 콘텍스트 요청 메시지의 무결성을 검사한다.
구체적으로, 제2 노드는 보안 콘텍스트 요청 메시지의 콘텐츠가 공격자에 의해 위조되는 것을 방지하기 위해, 제1 MAC에 기반하여 보안 콘텍스트 요청 메시지의 메시지 무결성을 검사한다.
가능한 솔루션에서, 제1 노드는 특정 방식으로 제1 MAC을 생성하고, 따라서, 제2 노드도 동일한 방식으로 검사 값을 생성한다. 생성된 검사 값이 제1 MAC과 같으면, 메시지 무결성 검사가 성공한다. 예를 들어, 보안 콘텍스트 요청 메시지에서 제1 MAC 이외의 데이터 data1의 일부 또는 전부 및 공유 키 K1을 기반으로 시그널링 평면의 타깃 보안 알고리즘을 사용하여 제1 노드가 제1 MAC을 획득하면, 제2 노드도 동일한 방식으로 검사 값 check1을 생성하며, 즉, check1 = CMAC(K1, data1)이다. check1이 제1 MAC과 같으면, 데이터 data1이 위조되지 않았으며 보안 콘텍스트 요청 메시지에 대한 무결성 검사가 성공했음을 지시한다.
선택적으로, 무결성 검사가 실패하면 보안 콘텍스트 요청 메시지가 공격자에 의해 위조될 수 있음을 지시한다. 따라서, 제2 노드는 보안 콘텍스트 요청 메시지를 폐기하거나 보안 콘텍스트 요청 메시지를 무시할 수 있으며, 또는 보안 콘텍스트 요청 메시지에서의 타깃 보안 알고리즘 적용을 스킵하는 것 또는 보안 콘텍스트 요청 메시지에서의 타깃 MAC 정보 적용을 스킵하는 것을 더 포함할 수 있다.
단계(S306): 제2 노드가 제2 노드와 제1 노드 사이의 공유 키에 기반하여 제1 아이덴티티 인증 정보에 대한 검증을 수행한다.
구체적으로, 제1 노드와 제2 노드 사이의 공유 키에 기반하여 제1 노드에 의해 제1 아이덴티티 인증 정보가 생성된다. 따라서, 제2 노드도 공유 키에 기반하여 제1 아이덴티티 인증 정보가 정확한지를 검증한다.
선택적 솔루션에서, 프로토콜 사양에 따라, 제1 노드가 특정 파라미터를 사용하여 제1 아이덴티티 인증 정보를 생성하면, 제2 노드도 동일한 파라미터를 사용하여 검사 정보를 생성해야 한다. 검사 정보가 제1 아이덴티티 인증 정보와 동일하면, 검증에 성공한 것으로 간주한다. 예를 들어, 제1 아이덴티티 인증 정보는 KDF를 사용하여 생성된다. 따라서, 제2 노드는 KDF를 사용하여 검사 정보를 생성할 수 있으며, 이는 또한 검사 값 test1으로 지칭된다. 제2 노드는 검사 정보를 사용하여 제1 아이덴티티 인증 정보가 정확한지를 검증한다. 아래 설명에는 예가 사용된다.
예를 들어, 제1 아이덴티티 인증 정보 AUTHa가 KDF(PSK, NONCEe)이면, 제2 노드는 KDF를 사용하여 PSK와 제1 신규 파라미터 NONCEe에 기반하여, 검사값 test1 = KDF(PSK, NONCEe)을 획득한다. 검사 값 test1이 AUTHa와 같으면, 검증에 성공한 것이다.
선택적으로, 제1 아이덴티티 인증 정보에 대한 검증이 실패하면 제1 노드의 아이덴티티가 신뢰할 수 없음을 지시한다. 따라서, 제2 노드는 보안 콘텍스트 요청 메시지를 폐기하거나, 보안 콘텍스트 요청 메시지를 무시할 수 있으며, 또한 보안 콘텍스트 요청 메시지에서의 타깃 보안 알고리즘 적용을 스킵하는 것, 또는 보안 콘텍스트 요청 메시지에서의 타깃 MAC 길이 적용을 스킵하는 것을 더 포함할 수 있다. 또한, 제2 노드는 정확한 노드를 연관시키기 위해 제1 노드로부터 연결 해제될 수 있다.
선택적으로, 제2 노드는 단계(S306)의 작동을 먼저 수행한 후 단계(S305)의 작동을 수행할 수 있다.
단계(S307): 제2 노드가 시그널링 평면의 타깃 보안 알고리즘을 사용하여 제2 MAC을 생성한다.
구체적으로, 제2 MAC의 길이는 시그널링 평면의 타깃 MAC 길이이고, 제2 MAC은 보안 콘텍스트 응답 메시지의 무결성을 검사하기 위해 제1 노드에 의해 사용된다. 특정 구현 시 타깃 보안 알고리즘 외에, 제2 MAC을 생성할 때, 제2 노드와 제1 노드 사이의 공유 키(구체적으로 무결성 보호 키일 수 있음) 및 제2 MAC을 사용하여 무결성 보호가 수행되어야 하는 메시지 데이터가 추가로 요구된다.
예를 들어, 제2 MAC은 공유 키 K1(구체적으로 무결성 보호 키일 수 있음) 및 보안 콘텍스트 응답 메시지에서 제2 MAC 이외의 데이터 data2의 일부 또는 전부를 사용하여 CMAC 알고리즘에 따라 획득될 수 있다. 예를 들어, 제2 MAC = CMAC(K1, data2)이다.
단계(S308): 제2 노드가 보안 콘텍스트 응답 메시지를 제1 노드에 송신한다.
구체적으로, 보안 콘텍스트 응답 메시지는 제2 MAC을 포함하고, 제2 MAC은 보안 콘텍스트 응답 메시지의 무결성을 검증하는 데 사용된다.
선택적으로, 보안 콘텍스트 응답 메시지는 제2 아이덴티티 인증 정보를 더 포함한다. 제2 아이덴티티 인증 정보는 제2 노드와 제1 노드 사이의 공유 키에 기반하여 제2 노드에 의해 생성된다. 공유 키는 제2 노드와 제1 노드 사이의 미리 공유된 키일 수 있다. 예를 들어, 제2 노드는 KDF를 사용하여 미리 공유한 키 PSK에 기반하여 제2 아이덴티티 인증 정보 AUTHe를 생성할 수 있으며, 예를 들어, AUTHe = KDF(PSK)이다.
선택적으로, 보안 콘텍스트 요청 메시지가 제2 신규 파라미터를 포함할 때, 공유 키 및 제2 신규 파라미터에 기반하여 제2 노드에 의해 제2 아이덴티티 인증 정보가 생성될 수 있다. 예를 들어, 제2 노드는 KDF를 사용하여 미리 공유한 키 PSK와 제2 신규 파라미터 NONCEa에 기반하여 제2 아이덴티티 인증 정보 AUTHe를 생성하며, 예를 들어, AUTHe = KDF(PSK, NONCEa)이다.
추가로 선택적으로, 실제 처리 동안, 제2 아이덴티티 인증 정보를 생성하기 위해 제2 노드에 의해 사용되는 파라미터는 다른 정보를 더 포함할 수 있다. 예를 들어, 생성된 제2 아이덴티티 인증 정보 AUTHe는 AUTHe = KDF(PSK, 보안 콘텍스트 요청 메시지)를 충족할 수 있다.
또한 선택적으로, 연관 요청 메시지가 제1 신규 파라미터를 포함할 때, 제2 노드에 의해 생성된 제2 아이덴티티 인증 정보 AUTHe는: AUTHe = KDF(PSK, NONCEa, 보안 콘텍스트 요청 메시지)을 더 충족할 수 있으며, 여기서 NONCEa는 연관 요청 메시지에서의 제1 신규 파라미터이다.
선택적으로, 제2 노드는 암호화 키를 사용하여 보안 콘텍스트 응답 메시지의 일부 또는 모든 데이터를 암호화할 수 있다. 이에 대응하여, 제1 노드는 보안 콘텍스트 응답 메시지를 수신하고, 대응하는 암호화 부분을 암호 해제하여 메시지 콘텐츠를 획득할 수 있다.
단계(S309): 제2 노드가 시그널링 평면의 타깃 보안 알고리즘을 사용하여 제2 MAC을 기반으로 보안 콘텍스트 응답 메시지의 무결성을 검사한다.
구체적으로, 제1 노드는 보안 콘텍스트 응답 메시지의 내용이 공격자에 의해 위조되는 것을 방지하기 위해, 제2 MAC에 기반하여 보안 콘텍스트 응답 메시지의 메시지 무결성을 검사한다.
가능한 솔루션에서, 제2 노드는 특정 방식으로 제2 MAC을 생성하고, 따라서, 제1 노드도 동일한 방식으로 검사 값을 생성한다. 생성된 검사 값이 제2 MAC과 동일하면, 메시지 무결성 검사가 성공한 것이다. 예를 들어, 공유 키 K1 및 보안 콘텍스트 요청 메시지에서의 제2 MAC 이외의 데이터 data2의 일부 또는 전부를 기반으로 시그널링 평면의 타깃 보안 알고리즘을 사용하여, 제2 노드가 제2 MAC을 획득하면, 제1 노드도 동일한 방식으로 검사 값 check2를 생성하며, 즉, check2 = CMAC(K1, data2)이다. check2가 제2 MAC과 동일하면 데이터 data2가 위조되지 않았으며 보안 콘텍스트 요청 메시지에 대한 무결성 검사가 성공했음을 지시한다.
선택적으로, 무결성 검사가 실패하면 보안 콘텍스트 응답 메시지가 공격자에 의해 위조될 수 있음을 지시한다. 따라서, 제1 노드는 보안 콘텍스트 응답 메시지를 폐기하거나, 보안 콘텍스트 응답 메시지를 무시할 수 있으며, 또는 시그널링 평면의 타깃 보안 알고리즘 적용을 스킵하는 것 또는 시그널링 평면의 타깃 MAC 길이 적용을 스킵하는 것을 더 포함할 수 있다.
단계(S310): 제1 노드가 제1 노드와 제2 노드 사이의 공유 키에 기반하여 제2 아이덴티티 인증 정보에 대한 검증을 수행한다.
구체적으로, 제2 아이덴티티 인증 정보는 제2 노드와 제1 노드 사이의 공유 키에 기반하여 제2 노드에 의해 생성된다. 따라서, 제1 노드도 공유 키에 기반하여 제2 아이덴티티 인증 정보가 정확한지를 검증한다.
선택적 솔루션에서, 프로토콜 사양에 따라 제2 노드가 특정 파라미터를 사용하여 제2 아이덴티티 인증 정보를 생성하면, 제1 노드도 동일한 파라미터를 사용하여 검사 정보를 생성해야 한다. 검사 정보가 제2 아이덴티티 인증 정보와 동일하면 검증에 성공한 것으로 간주한다. 예를 들어, KDF를 사용하여 제2 아이덴티티 인증 정보를 생성한다. 따라서, 제1 노드는 KDF를 사용하여 검사 정보를 생성할 수 있며, 이는 검사 값 test2라고도 한다. 제1 노드는 검사 정보를 사용하여 제2 아이덴티티 인증 정보가 정확한지를 검증한다. 다음은 설명을 위해 예를 사용한다.
예를 들어, 제2 아이덴티티 인증 정보 AUTHe가 KDF(PSK, NONCEa)이면, 제1 노드는 KDF를 사용하여 PSK와 제2 신규 파라미터 NONCEa를 기반으로 검사값 test2 = KDF(PSK, NONCEa)를 획득한다. 검사 값 test2가 AUTHe와 같으면 검증에 성공한 것이다.
선택적으로, 제2 아이덴티티 인증 정보에 대한 검증이 실패하면 제2 노드의 아이덴티티를 신뢰할 수 없음을 지시한다. 따라서, 제1 노드는 보안 콘텍스트 응답 메시지를 폐기하거나, 보안 콘텍스트 응답 메시지를 무시할 수 있으며, 또는 시그널링 평면의 타깃 보안 알고리즘 적용을 스킵하는 것, 또는 시그널링 평면의 타깃 MAC 길이 적용을 스킵하는 것을 더 포함할 수 있다. 또한, 제1 노드는 정확한 노드를 연관시키기 위해 제2 노드로부터 연결 해제될 수 있다.
선택적으로, 제2 노드는 단계(S310)의 작동을 먼저 수행한 후 단계(S309)의 작동을 수행할 수 있다.
단계(S311): 제1 노드는 연관 구축 메시지를 제2 노드에 송신한다.
구체적으로, 연관 구축 메시지는 제2 노드가 제1 노드와 연관을 구축하도록 지시할 수 있다.
선택적으로, 연관 구축 메시지는 연관 구축 메시지의 무결성을 보호하는 MAC을 추가로 운반할 수 있다. 연관 구축 메시지의 무결성을 보호하는 MAC은 시그널링 평면의 타깃 보안 알고리즘을 사용하여 생성될 수 있다. 연관 구축 메시지의 무결성을 보호하는 MAC의 길이는 시그널링 평면의 타깃 MAC 길이이다.
선택적으로, 제1 노드는 암호화 키를 사용하여 연관 구축 메시지의 데이터의 일부 또는 전부를 암호화할 수 있다. 이에 대응하여, 제2 노드는 연관 구축 메시지를 수신하고, 대응하는 암호화 부분을 암호 해제하여 메시지 콘텐츠를 획득할 수 있다.
선택적으로, 제1 노드는 추가로, 제2 알고리즘 정책에 따라 사용자 평면의 타깃 보안 알고리즘을 결정할 수 있다. 사용자 평면의 타깃 보안 알고리즘은 제2 노드가 지원하는 보안 알고리즘에 관한 정보에 의해 지시되는 보안 알고리즘 세트에 속한다. 보안 콘텍스트 요청 메시지를 사용하여 사용자 평면의 타깃 보안 알고리즘을 제2 노드에 송신함으로써, 제2 노드가 보안 콘텍스트 요청 메시지를 수신하여 사용자 평면의 타깃 보안 알고리즘을 획득할 수 있다. 또한, 선택적으로, 제2 알고리즘 정책과 제1 알고리즘 정책은 동일한 알고리즘 정책일 수 있다.
선택적으로, 제1 노드는 제1 서비스의 식별자 및/또는 제1 서비스의 데이터 패킷 크기를 더 획득할 수 있다. 제1 노드는 사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이 그리고 제1 서비스의 식별자와 제1 서비스의 데이터 패킷 크기 중 적어도 하나에 기반하여 사용자 평면의 타깃 MAC 길이를 결정할 수 있다. 사용자 평면의 타깃 MAC 길이는 제1 서비스의 데이터에 대한 무결성 보호를 수행하기 위한 MAC의 길이를 지시하는 데 사용된다. 또한, 선택적으로, 제1 노드는 자원 스케줄링 메시지를 제2 노드에 송신할 수 있다. 자원 스케줄링 메시지는 사용자 평면의 타깃 MAC 길이를 포함한다. 이에 대응하여, 제2 노드는 자원 스케줄링 메시지를 수신하여, 사용자 평면의 타깃 MAC 길이를 획득한다. 제1 서비스는 제2 노드에 의해 처리(또는 실행)되는 서비스이거나, 다른 노드에 의해 처리되고 제2 노드에 의해 포워딩되는 서비스일 수 있음에 유의해야 한다.
도 3에 도시된 방법에서, 제1 노드는 제2 노드가 지원하는 보안 알고리즘에 관한 정보에 기반하고 그리고 미리 구성된 또는 미리 정의된 알고리즘 정책에 따라, 시그널링 평면의 타깃 보안 알고리즘과 시그널링 평면의 타깃 MAC 길이를 결정하고, 시그널링 평면의 타깃 MAC 길이를 제1 노드와 제2 노드 사이의 시그널링 메시지의 MAC 길이로 사용한다. 이러한 방식으로, 제1 노드는 요건에 기반하여 상이한 선택 정책을 공식화하여 요건을 충족하는 MAC 길이를 결정하여 MAC 길이의 유연성을 향상시킬 수 있다. 예를 들어, 제2 노드가 지원하는 알고리즘 중에서 상대적으로 보안성이 높은 알고리즘을 선택하고, 상대적으로 긴 MAC 길이를 추가로 선택하므로, 공격자가 MAC을 크랙하기 어려우며, 이에 따라 MAC에 의해 보호되는 메시지의 무결성을 높이고, 노드 통신 프로세스에서 데이터 보안을 향상시킬 수 있다.
도 8은 본 출원의 실시예에 따른 통신 방법의 개략적인 흐름도이다. 통신 방법은 도 1에 도시된 통신 시스템에 기반하여 구현될 수 있다. 이 방법은 적어도 다음 단계를 포함한다.
단계(S801): 제2 노드가 서비스 속성 보고 응답 메시지를 제1 노드에 송신한다.
구체적으로, 서비스 속성 보고 응답 메시지는 제1 서비스의 식별자 및/또는 제1 서비스의 데이터 패킷 크기를 포함한다.
선택적으로, 제1 노드는 서비스 속성 보고 요청 메시지를 제2 노드를 포함하는 하나 이상의 노드에 송신할 수 있다. 이에 대응하여, 제2 노드는 제1 노드로부터 서비스 속성 보고 요청 메시지를 수신하고 서비스 속성 보고 응답 메시지를 제1 노드에 송신한다. 구체적으로, 제1 노드의 서비스 속성 보고 요청 메시지는 제1 노드의 아이덴티티, 제1 노드의 아이덴티티 설명 정보, 서비스 속성 보고 응답 메시지 송신을 지시하는 데 사용되는 정보 등 중 적어도 하나를 포함할 수 있다. 서비스 속성 보고 요청 메시지를 수신한 후, 제2 노드는 서비스 속성 보고 응답 메시지를 제1 노드에 송신한다.
단계(S802): 제1 노드가 사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이 그리고 제1 서비스의 식별자와 제1 서비스의 데이터 패킷 크기 중 적어도 하나에 기반하여 사용자 평면의 타깃 MAC 길이를 결정한다.
구체적으로, 사용자 평면의 타깃 MAC 길이는 제1 서비스의 데이터에 대한 무결성 보호를 수행하기 위한 MAC의 길이를 지시하는 데 사용된다. 특정 구현 프로세스에는 적어도 다음 네 가지 사례가 포함된다.
사례 1: 제1 노드는 제1 서비스의 식별자 및/또는 제1 서비스의 데이터 패킷 크기에 기반하여 제2 길이 선택 정책을 결정한다. 제2 노드는 제2 길이 선택 정책 및 사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이에 기반하여 사용자 평면의 타깃 MAC 길이를 결정한다. 사용자 평면의 타깃 MAC 길이는 제1 서비스의 데이터에 대한 무결성 보호를 수행하는 MAC의 길이를 지시하는 데 사용된다. 제2 길이 선택 정책은 제1 노드에서 미리 구성 또는 미리 정의된 선택 정책일 수 있으며, 우선 순위를 사용하여 구현될 수 있고, 또는 미리 구성 또는 미리 정의된 선택 시퀀스에 따라 구현될 수 있거나, 알고리즘 방식, 모델 등으로 구현될 수도 있다.
예를 들어, 도 9a 및 도 9b는 본 출원의 실시예에 따른 사용자 평면의 타깃 MAC 길이를 결정하기 위한 방법의 개략도이다. 영역(901)은 서비스의 식별자로 사용될 수 있는 일부 서비스의 아이덴티티 번호(identify, ID)를 포함한다. 서로 다른 서비스 식별자는 일반적으로 서로 다른 서비스에 대응한다. 예를 들어 식별자 "0001"은 비디오 업로드를 지시하고, 식별자 "0002"는 음성 통화를 지시하며, 식별자 "0003"은 오디오 재생을 지시한다. 영역(902)을 참조한다. 서로 다른 서비스의 식별자에 따라 서로 다른 길이 선택 정책이 결정될 수 있음을 알 수 있다. 예를 들어, 식별자가 "0001"인 비디오 업로드 서비스는 길이 선택 정책 A에 대응한다. 제1 노드는 서비스에 대응하는 길이 선택 정책 A와 사용자 평면의 타깃 보안 알고리즘이 지원하는 길이(903)에 기반하여 사용자 평면의 타깃 MAC의 길이가 128비트(영역 904 참조)인 것으로 결정할 수 있으며, MAC 길이에 기반하여 생성된 MAC은 식별자가 "0001"인 서비스의 데이터에 대한 무결성 보호를 위해 사용된다. 이와 유사하게, 영역(905)을 참조하면 식별자가 "0002"인 서비스에 대해 무결성 보호를 수행하기 위한 MAC의 길이는 64비트임을 알 수 있다. 영역(906)을 참조하면 식별자가 "0003"인 서비스에 대해 무결성 보호를 수행하기 위한 MAC의 길이가 64비트임을 알 수 있다.
서비스의 식별자를 사용하여, 서비스에 대해 무결성 보호가 활성화되지 않은 것으로 결정될 수 있음에 유의해야 한다. 예를 들어, 도 9a 및 도 9b를 참조하며, 식별자가 "0004"인 노이즈 감소 서비스에 대해서는 무결성 보호가 활성화되지 않을 수 있다. 또한, 길이 선택 정책을 사용하여 무결성 보호를 활성화할지를 판정할 수도 있다. 예를 들어, 길이 선택 정책 C에서, MAC 길이가 0이면 무결성 보호가 활성화되지 않음을 지시한다.
다른 예를 들어, 도 10은 본 출원의 실시예에 따라 사용자 평면의 타깃 MAC 길이를 결정하기 위한 방법의 개략도이다. 영역(1001)에는 일부 서비스의 식별자와 대응하는 데이터 패킷 크기가 제공된다. 예를 들어, 식별자 "0001"에 대응하는 데이터 패킷 크기는 500비트이다. 영역(1002)을 참조한다. 서로 다른 데이터 패킷 크기에 기반하여 서로 다른 길이 선택 정책이 결정될 수 있음을 알 수 있다. 예를 들어, 65비트와 256비트 사이의 데이터 패킷 크기는 길이 선택 정책 F에 대응한다. 제1 노드는 데이터 패킷 크기에 대응하는 길이 선택 정책 F 및 사용자 평면의 타깃 보안 알고리즘이 지원하는 길이(1003)에 기반하여 사용자 평면의 타깃 MAC 길이가 64비트(영역 1004 참조)라고 결정할 수 있으며, MAC 길이에 기반하여 생성된 MAC은 식별자가 "0002"인 서비스의 데이터에 대한 무결성 보호를 수행하는 데 사용된다. 이와 유사하게, 영역(1004)을 참조하면, 식별자가 "0001"인 서비스에 대해 무결성 보호를 수행하기 위한 MAC의 길이가 128비트임을 알 수 있다. 물론, 도 10에 도시된 데이터 패킷 크기는 단지 예일 뿐이다. 구체적인 구현 프로세스에서, 다른 데이터 패킷 크기가 존재하거나 데이터 패킷 크기의 범위를 사용하여 대응하는 길이 선택 정책을 결정할 수 있다. 자세한 내용은 여기서 다시 설명하지 않는다.
사례 2: 제1 노드는 사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이와 제1 서비스의 식별자에 기반하여 사용자 평면의 타깃 MAC 길이를 결정한다.
선택적으로, 제1 서비스의 식별자와 MAC 길이 사이의 대응 관계가 제1 노드에 있고, 이 대응 관계는 미리 구성되거나 미리 정의될 수 있다. 제1 노드는 사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이 및 제1 서비스의 식별자와 MAC 길이 사이의 대응 관계에 기반하여, 제1 서비스의 식별자에 대응하는 MAC 길이를 사용자 평면의 타깃 MAC 길이로 결정할 수 있다.
서비스 식별자와 MAC 길이 사이의 대응 관계
서비스의 식별자 서비스 이름 MAC 길이 무결성 보호를 활성화할지의 여부
0001 비디오 업로드 128비트
0002 음성 통화 128비트
0003 오디오 재생 64비트
0004 오디오 노이즈 감소 0 아니오
0005 위치 데이터 동기화 128비트
예를 들어, 표 3은 본 출원의 실시예에 따른 서비스 식별자와 MAC 길이 사이의 가능한 대응 관계를 보여준다. 식별자 "0001"은 비디오 업로드 서비스를 지시하며 대응하는 MAC 길이는 128비트이다. 사용자 평면의 타깃 보안 알고리즘이 128비트 MAC 길이를 지원하면, 128비트를 사용자 평면의 타깃 MAC 길이로 결정할 수 있다.
사용자 평면의 타깃 보안 알고리즘이 서비스에 대응하는 MAC 길이를 지원하지 않으면, 사용자 평면의 타깃 보안 알고리즘이 지원하는 길이 중에서 상대적으로 근접한 MAC 길이를 사용자 평면의 타깃 MAC 길이로 선택할 수 있음을 이해할 수 있다. 구체적인 구현 프로세스는 다시 설명하지 않는다.
선택적으로, 서비스 보고 요청 메시지는 복수의 서비스의 식별자를 포함할 수 있다. 이에 대응하여, 제1 노드는 복수의 사용자 평면의 대응하는 타깃 MAC 길이를 결정할 수 있고, 복수의 사용자 평면의 복수의 타깃 MAC 길이는 복수의 서비스의 데이터에 대한 무결성 보호를 수행하기 위해 개별적으로 사용된다.
사례 3: 제1 노드는 사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이와 제1 서비스의 데이터 패킷 크기에 기반하여 사용자 평면의 타깃 MAC 길이를 결정한다. 구체적으로, 제1 노드는 제1 서비스의 데이터 패킷 크기와 MAC 길이 사이의 대응 관계를 미리 구성하거나 미리 정의할 수 있다. 제1 노드는 사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이 및 제1 서비스의 데이터 패킷 크기와 MAC 길이 사이의 대응 관계에 기반하여, 제1 서비스의 데이터 패킷 크기에 대응하는 MAC 길이를 사용자 평면의 타깃 MAC 길이로 결정할 수 있다.
사례 4: 사용자 평면의 타깃 보안 알고리즘이 단 하나의 MAC 길이에 대응할 때, 제1 노드도 사용자 평면의 타깃 보안 알고리즘에 대응하는 MAC 길이에 기반하여 MAC 길이를 사용자 평면의 타깃 MAC 길이로 결정할 수 있다. 예를 들어, 식별자가 "0001"인 알고리즘(대응하는 알고리즘은 AES-CMAC 알고리즘)은 32비트의 한 길이만 갖는 MAC 생성을 지원한다. 사용자 평면의 타깃 보안 알고리즘이 식별자가 "0001"인 알고리즘일 때, 대응하는 32비트를 사용자 평면의 타깃 MAC 길이로 사용한다. 다른 예로, HMAC256은 256비트 MAC 길이만 생성하는 것을 지원한다. 따라서, 사용자 평면의 타깃 보안 알고리즘이 HMAC256 알고리즘일 때, HMAC256에 대응하는 256비트를 사용자 평면의 타깃 MAC 길이로 사용한다.
선택적으로, 사용자 평면의 타깃 MAC 길이를 결정하기 전에, 제1 노드는 먼저 제1 서비스의 데이터에 대해 무결성 보호가 수행될 필요가 있는 것을 결정한다. 구체적으로, 서로 다른 서비스 유형의 서비스에는 서로 다른 무결성 보호 요건이 있다. 제1 노드는 제1 서비스의 식별자에 기반하여 무결성 보호를 활성화할지를 판정할 수 있고, 무결성 보호가 활성화되어야 하는 서비스에 대해서만 사용자 평면의 대응하는 타깃 MAC을 생성할 수 있으며, 따라서, 서로 다른 서비스의 보안 요건을 충족할 수 있다. 예를 들어, 비디오 업로드 서비스는 상대적으로 보안 요건이 높은 서비스이므로 비디오 업로드 서비스의 데이터에 대해 무결성 보호가 수행되어야 하며, 따라서, 이 서비스의 데이터를 보호하기 위해 사용되는 MAC의 길이가 결정되어야 한다. 다른 예로, 제1 서비스의 식별자는 제1 서비스 유형에 대응하고, 유형이 제1 서비스 유형인 서비스의 데이터에 대해 무결성 보호를 수행하므로, 제1 서비스 유형에 속하는 서비스의 MAC 길이가 결정된다.
선택적으로, 사용자 평면의 타깃 보안 알고리즘은 제2 노드가 지원하는 보안 알고리즘에 관한 정보에 의해 지시되는 보안 알고리즘 세트에 속한다. 또한, 선택적으로, 사용자 평면의 타깃 보안 알고리즘은 제2 알고리즘 선택 정책을 사용하여 제1 노드에 의해 결정될 수 있으며, 제2 알고리즘 선택 정책은 제1 노드에서 미리 구성되거나 미리 정의된 선택 정책일 수 있다. 선택적으로, 제2 알고리즘 선택 정책은 우선 순위를 사용하여 구현될 수 있거나 미리 구성된 또는 미리 정의된 선택 순서에 따라 구현될 수 있다. 예를 들어, 도 4는 본 출원의 실시예에 따른 가능한 알고리즘 선택 정책의 개략도이다. 영역(401)을 참조한다. AES-CMAC 알고리즘의 우선순위는 1이며, 이는 제2 노드가 AES-CMAC 알고리즘을 지원할 때 AES-CMAC 알고리즘이 사용자 평면의 타깃 보안 알고리즘으로 우선적으로 선택됨을 지시한다.
선택적으로, 본 출원의 이 실시예에서의 통신 방법은 단계(S803) 및 단계(S804) 중 하나 또는 모두를 더 포함할 수 있다. 단계(S803) 및 단계(S804)는 구체적으로 다음과 같다.
단계(S803): 제2 노드는 사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이 그리고 제1 서비스의 식별자와 제1 서비스의 데이터 패킷 크기 중 적어도 하나에 기반하여 사용자 평면의 타깃 MAC 길이를 결정한다.
구체적으로, 제1 노드에서의 방법과 동일한, 사용자 평면의 타깃 MAC 길이를 결정하는 방법이 제2 노드에 구성되므로, 제2 노드에서 사용자 평면의 타깃 MAC 길이를 결정할 수 있다. 가능한 솔루션에서, 프로토콜 사양에 따라, 제1 노드는 특정 방식으로 사용자 평면의 타깃 MAC 길이를 결정하며, 따라서, 제2 노드도 동일한 방식으로 사용자 평면의 타깃 MAC 길이를 결정한다. 이러한 방식으로, 노드는 타깃 MAC 길이를 피어 노드에 송신할 필요가 없어서 네트워크 자원을 절약할 수 있다. 사용자 평면의 타깃 MAC 길이를 결정하기 위한 구체적인 방법은 단계(S802)의 구체적인 설명을 참조하는 것으로 이해될 수 있다. 자세한 내용은 여기서 다시 설명하지 않는다.
단계(S804): 제1 노드가 자원 스케줄링 메시지를 제2 노드에 송신한다.
구체적으로, 자원 스케줄링 메시지는 사용자 평면의 타깃 MAC 길이를 포함하거나, 자원 스케줄링 메시지는 사용자 평면의 타깃 MAC 길이를 지시하는 데 사용되는 정보를 포함할 수 있다. 선택적으로, 제2 노드가 단계(S803)를 사용하여 사용자 평면의 타깃 MAC 길이를 결정할 때, 자원 스케줄링 메시지는 사용자 평면의 타깃 MAC 길이를 포함하지 않을 수 있다.
선택적으로, 제2 노드는 추가로 자원 응답 메시지를 제1 노드에 송신할 수 있다. 자원 응답 메시지는 제2 노드가 자원 스케줄링 메시지를 수신했음을 지시하는 데 사용된다.
선택적으로, 제1 노드 및/또는 제2 노드는 사용자 평면의 타깃 보안 알고리즘 및 사용자 평면의 타깃 MAC 길이를 사용하여 제3 MAC을 추가로 생성할 수 있으며, 제3 MAC은 제1 서비스의 데이터에 대한 무결성 보호를 수행하는 데 사용된다. 예를 들어, 제1 노드가 비디오 업로드 서비스(즉, 식별자가 "0001"인 서비스)의 MAC 길이가 128비트라고 결정하면, 제1 노드 및/또는 제2 노드는 길이가 128비트인 제3 MAC을 생성할 수 있다. 제3 MAC은 비디오 업로드 서비스의 메시지 무결성을 보장하는 데 사용된다.
선택적으로, 서비스 속성 보고 요청 메시지, 서비스 속성 보고 응답 메시지, 자원 스케줄링 메시지, 자원 응답 메시지 등은 시그널링 평면 메시지이다. 따라서, 시그널링 평면의 타깃 보안 알고리즘을 사용하여 메시지 콘텐츠에 대한 무결성 보호를 수행할 수 있다. 시그널링 평면의 타깃 보안 알고리즘은 제1 알고리즘 선택 정책에 대응한다. 또한 선택적으로, 제1 노드는 제2 노드의 보안 알고리즘에 관한 정보를 더 획득할 수 있고, 제1 노드는 제1 알고리즘 선택 정책에 기반하여 시그널링 평면의 타깃 보안 알고리즘 및 시그널링 평면의 타깃 MAC 길이를 결정할 수 있다. 시그널링 평면의 타깃 보안 알고리즘은 제2 노드가 지원하는 보안 알고리즘에 관한 정보에 의해 지시되는 보안 알고리즘 세트에 속한다. 자원 스케줄링 메시지가 예로 사용된다. 제1 노드는 시그널링 평면의 타깃 보안 알고리즘을 사용하여 제4 MAC을 생성할 수 있다. 제4 MAC의 길이는 시그널링 평면의 타깃 MAC 길이이다. 제4 MAC은 자원 스케줄링 메시지의 무결성을 보장하기 위해 자원 스케줄링 메시지의 프리픽스 또는 서픽스에서 운반될 수 있다.
또한 선택적으로, 제1 노드는 보안 콘텍스트 요청 메시지를 제2 노드에 송신할 수 있다. 보안 콘텍스트 요청 메시지는 시그널링 평면의 타깃 보안 알고리즘, 사용자 평면의 타깃 보안 알고리즘, 시그널링 평면의 타깃 MAC 길이를 포함한다. 이에 대응하여, 제2 노드는 보안 콘텍스트 요청 메시지를 수신하여 시그널링 평면의 타깃 보안 알고리즘, 사용자 평면의 타깃 보안 알고리즘 및 시그널링 평면의 타깃 MAC 길이를 획득한다.
도 8에 도시된 방법에서, 제1 노드는 사용자 평면의 보안 알고리즘이 지원하는 MAC 길이와 제1 서비스의 식별자 및/또는 제1 서비스의 데이터 패킷 크기에 기반하여 사용자 평면의 타깃 MAC 길이를 결정하고, 그런 다음 사용자 평면의 타깃 MAC 길이를 제1 서비스를 처리하는 데 사용되는 메시지의 MAC 길이로 사용할 수 있다. 이러한 방식으로, 상이한 서비스 또는 상이한 데이터 패킷 크기의 서비스에 대해 상이한 MAC 길이가 결정되어, MAC 길이의 유연성을 향상시킬 수 있다. 상대적으로 보안성이 높은 서비스의 경우, 상대적으로 긴 MAC 길이를 사용할 수 있으므로 크랙되는 것이 어렵고 데이터 보안이 향상된다. 또한 보안 요건이 높지 않거나 데이터 패킷이 상대적으로 작은 일부 메시지의 경우, 상대적으로 짧은 MAC 길이를 사용하여, 네트워크 전송 중에 통신 효율성에 영향을 미치는 것을 방지하고 자원 소비를 감소시킬 수 있다.
도 11은 본 출원의 실시예에 따른 통신 방법의 개략적인 흐름도이다. 통신 방법은 도 1에 도시된 통신 시스템에 기반하여 구현될 수 있다. 이 방법은 적어도 다음 단계를 포함한다.
단계(S1101): 제2 노드가 서비스 속성 보고 응답 메시지를 제1 노드에 송신한다. 이에 대응하여, 제1 노드는 서비스 속성 보고 응답 메시지를 수신한다.
구체적으로, 서비스 속성 보고 응답 메시지는 적어도 하나의 서비스 식별자를 포함한다. 또한, 적어도 하나의 서비스 식별자는 적어도 하나의 제2 서비스의 식별자를 포함할 수 있으며, 적어도 하나의 제2 서비스의 식별자는 제2 서비스 유형에 대응하고, 무결성 보호는 유형이 제2 서비스 유형인 서비스의 데이터에 대해 수행될 필요가 없다.
예를 들어, 표 4는 본 출원의 이 실시예에 따른 서비스 식별자에 대응하는 가능한 서비스 유형이다. 식별자 "0001"은 비디오 업로드 서비스를 지시하며, 메이저(major) 서비스 유형이고, 무결성 보호를 활성화해야 함을 알 수 있다. 이에 대응하여, 식별자 "0004"는 오디오 노이즈 감소 서비스를 지시하며 마이너(minor) 서비스 유형이며 무결성 보호를 활성화할 필요가 없다.
서비스 식별자에 대응하는 서비스 유형
서비스 식별자 서비스 이름 서비스 유형 무결성 보호를 활성화할지의 여부
0001 비디오 업로드 메이저
0002 음성 통화 메이저
0003 오디오 재생 일반(Normal)
0004 오디오 노이즈 감소 마이너 아니오
0005 위치 데이터 동기화 메이저
단계(S1102): 제1 노드는 자원 스케줄링 메시지를 제2 노드에 송신한다.
구체적으로, 자원 스케줄링 메시지는 무결성 보호를 활성화하기를 지시하는 정보 및/또는 무결성 보호를 활성화하지 않기를 지시하는 정보를 포함한다. 무결성 보호를 활성화할 필요가 없는 서비스의 경우, 자원 스케줄링 메시지는 서비스에 대한 무결성 보호를 활성화하지 않기를 지시하는 정보를 포함할 수 있다. 이에 대응하여, 무결성 보호를 활성화해야 하는 서비스의 경우, 자원 스케줄링 메시지가 서비스의 데이터에 대해 무결성 보호를 수행할 것을 지시하는 MAC 길이를 포함할 수 있다.
예를 들어, 제2 서비스의 식별자는 제2 서비스 유형에 대응하며, 유형이 제2 서비스 유형인 서비스의 데이터에 대해서는 무결성 보호를 수행할 필요가 없다. 따라서, 자원 스케줄링 메시지는 제1 필드를 포함할 수 있고, 제1 필드의 데이터는 적어도 하나의 제2 서비스의 식별자에 대응하는 서비스에 대해 무결성 보호가 활성화되지 않음을 지시하는 데 사용될 수 있다. 예를 들어, 제1 필드의 데이터가 "0"일 때, 제2 서비스의 식별자에 대응하는 서비스에 대해 무결성 보호가 활성화되지 않음을 지시한다.
제1 노드는 자원 스케줄링 메시지를 제2 노드에 송신하고, 이에 대응하여, 제2 노드는 제1 노드로부터 자원 스케줄링 메시지를 수신한다.
단계(S1103): 제2 노드는 자원 스케줄링 메시지에 기반하여, 적어도 하나의 제2 서비스의 식별자에 대응하는 서비스에 대해 무결성 보호가 활성화되지 않는 것으로 결정한다. 이 단계는 선택 사항이며, 적어도 하나의 제2 서비스가 존재할 때만 수행됨을 유의해야 한다.
구체적으로, 자원 스케줄링 메시지는 제1 필드를 포함할 수 있고, 제1 필드의 데이터는 적어도 하나의 제2 서비스의 식별자에 대응하는 서비스에 대해 무결성 보호가 활성화되지 않음을 지시하는 데 사용될 수 있다. 예를 들어, 제1 필드의 데이터가 "0"일 때, 제2 서비스의 식별자에 대응하는 서비스에 대해 무결성 보호가 활성화되지 않음을 지시한다.
단계(S1104): 제2 노드가 자원 스케줄링 메시지에 기반하여, 적어도 하나의 제1 서비스의 식별자에 대응하는 서비스에 대해 무결성 보호가 활성화되는 것으로 결정한다. 이 단계는 선택 사항이며, 적어도 하나의 제1 서비스가 존재할 때만 수행됨을 유의해야 한다. 구체적으로, 무결성 보호가 활성화되어야 하는 서비스의 경우, 자원 스케줄링 메시지는 서비스의 데이터에 대해 무결성 보호를 수행하기를 지시하는 MAC 길이를 포함할 수 있다. 예를 들어, 제1 서비스의 식별자는 제1 서비스 유형에 대응하며, 유형이 제1 서비스 유형인 서비스의 데이터에 대해 무결성 보호가 수행되어야 한다. 따라서, 자원 스케줄링 메시지는 제1 서비스의 식별자에 대응하는 서비스에 대해 무결성 보호가 활성화됨을 지시하는 정보를 포함한다. 구체적으로 다음과 같은 세 가지 구현이 있을 수 있다.
방식 1: 자원 스케줄링 메시지는 제2 필드를 포함할 수 있고, 제2 필드의 데이터는 무결성 보호를 활성화하기를 지시하는 데 사용될 수 있다. 예를 들어, 제2 필드의 데이터가 "1"일 때, 제1 서비스의 식별자에 대응하는 서비스에 대해 무결성 보호가 활성화됨을 지시한다.
방법 2: 자원 스케줄링 메시지가 서비스의 데이터에 대한 무결성 보호를 수행하기 위한 알고리즘/또는 MAC 길이를 포함할 때, 자원 스케줄링 메시지는 서비스에 대한 무결성 보호를 활성화하도록 제2 노드에 지시할 수 있다. 예를 들어, 자원 스케줄링 메시지는 제1 서비스에 대응하는 사용자 평면의 타깃 MAC 길이를 포함하거나, 자원 스케줄링 메시지는 제1 서비스에 대응하는 사용자 평면의 타깃 MAC 길이를 지시하는 데 사용되는 정보를 포함한다. 제1 서비스에 대응하는 사용자 평면의 타깃 MAC 길이는 제1 서비스의 데이터에 대한 무결성 보호를 수행하기 위한 MAC의 길이를 지시하는 데 사용된다. 또한, 제1 서비스에 대응하는 사용자 평면의 타깃 MAC 길이는 도 8의 실시예에서 설명한 방법에 기반하여 결정될 수 있으며, 자세한 내용은 여기에서 다시 설명하지 않는다.
선택적으로, 제2 노드는 추가로 자원 응답 메시지를 제1 노드에 송신할 수 있다. 자원 응답 메시지는 제2 노드가 자원 스케줄링 메시지를 수신했음을 지시하는 데 사용된다.
도 11에 도시된 방법에서, 서로 다른 서비스 유형의 서비스는 서로 다른 무결성 보호 요건을 갖는다. 제1 노드는 제1 서비스의 식별자에 기반하여 무결성 보호를 활성화할지를 판정할 수 있다. 예를 들어, 오디오 노이즈 감소 서비스는 상대적으로 보안 요건이 낮은 서비스이므로, 오디오 노이즈 감소 서비스의 데이터에 대해 무결성 보호를 수행할 필요가 없을 수 있으며, 따라서, 오디오 노이즈 감소 서비스에 대응하는 MAC 길이는 결정되지 않을 수 있다.
또한, 제1 노드는 지시 정보를 자원 스케줄링 메시지에 추가할 수 있으므로, 제2 노드는 지시 정보에 기반하여, 서비스에 대해 무결성 보호가 활성화되는지를 판정할 수 있다.
도 11에 도시된 전술한 방법 실시예는 많은 가능한 구현 솔루션을 포함한다. 다음은 도 12를 참조하여 일부 구현 솔루션을 설명한다. 도 12에 기술되지 않은 관련 개념 또는 작동 또는 논리적 관계에 대해서는 도 11에 도시된 실시예의 대응하는 설명을 참조함을 유의해야 한다.
도 12는 본 출원의 실시예에 따른 통신 방법의 개략적인 흐름도이다. 통신 방법은 도 1에 도시된 통신 시스템에 기반하여 구현될 수 있다. 이 방법은 적어도 다음 단계를 포함한다.
단계(S1201): 제2 노드가 서비스 속성 보고 응답 메시지를 제1 노드에 송신한다.
구체적으로, 서비스 속성 보고 응답 메시지는 적어도 하나의 서비스 식별자를 포함하고, 적어도 하나의 서비스 식별자는 제1 서비스의 서비스 식별자를 포함한다. 선택적으로, 서비스 속성 보고 응답 메시지는 적어도 하나의 서비스의 데이터 패킷 크기를 더 포함할 수 있고, 적어도 하나의 데이터 패킷 크기는 제1 서비스의 데이터 패킷 크기를 포함한다.
선택적으로, 제1 노드는 서비스 속성 보고 요청 메시지를 제2 노드를 포함하는 하나 이상의 노드에 송신하고, 제2 노드는 제1 노드로부터 서비스 속성 보고 요청 메시지를 수신하여 서비스 속성 보고 응답 메시지를 제1 노드에 송신할 수 있다.
단계(S1202): 제1 노드가 적어도 하나의 서비스 중 제1 서비스에 대한 무결성 보호를 활성화할지를 판정한다.
구체적으로, 제1 노드는 제1 서비스의 식별자를 사용하여, 서비스에 대한 무결성 보호를 활성화할지를 판정할 수 있다. 예를 들어, 표 4는 본 출원의 이 실시예에 따른 서비스 식별자에 대응하는 가능한 서비스 유형이다. 식별자 "0001"은 비디오 업로드 서비스를 지시하며 무결성 보호를 활성화해야 함을 알 수 있다. 이에 따라, 식별자 "0004"는 오디오 노이즈 감소 서비스를 지시하며 무결성 보호를 활성화할 필요가 없다.
단계(S1203): 제1 노드가 제1 서비스에 대해 무결성 보호가 활성화되어야 한다고 결정하면, 제1 노드는 사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이 그리고 제1 서비스의 식별자와 제1 서비스의 데이터 패킷 크기 중 적어도 하나에 기반하여, 사용자 평면의 타깃 MAC 길이를 결정한다.
구체적으로, 서비스 속성 보고 메시지는 제1 서비스의 서비스 식별자를 포함한다. 따라서, 제1 노드는 사용자 평면이 지원하는 MAC 길이 및 제1 서비스의 식별자에 기반하여 사용자 평면의 타깃 MAC 길이를 결정할 수 있다. 또한, 선택적으로, 서비스 속성 보고 메시지가 제1 서비스에 대응하는 데이터 패킷 크기를 포함할 때, 제1 노드는 사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이 그리고 제1 서비스의 식별자와 제1 서비스의 데이터 패킷 크기 중 적어도 하나에 기반하여, 사용자 평면의 타깃 MAC 길이를 결정할 수 있다. 사용자 평면의 타깃 MAC 길이는 제1 서비스의 데이터에 대한 무결성 보호를 수행하기 위한 MAC의 길이를 지시하는 데 사용된다. 사용자 평면의 타깃 MAC 길이를 결정하는 구체적인 방법에 대해서는, 단계(S802)의 상세한 설명을 참조한다. 자세한 내용은 여기서 다시 설명하지 않는다.
단계(S1204): 제1 노드가 자원 스케줄링 메시지를 제2 노드에 송신한다.
구체적으로, 제1 서비스에 대해 무결성 보호가 활성화되어야 할 때, 자원 스케줄링 메시지는 사용자 평면의 타깃 MAC 길이를 포함하거나, 자원 스케줄링 메시지는 사용자 평면의 타깃 MAC 길이를 지시하는 데 사용되는 정보를 포함한다. 사용자 평면의 타깃 MAC 길이는 제1 서비스의 데이터에 대한 무결성 보호를 수행하기 위한 MAC의 길이를 지시하는 데 사용된다.
이에 대응하여, 제2 노드는 자원 스케줄링 메시지를 수신하고, 사용자 평면의 타깃 MAC 길이를 획득할 수 있다.
단계(S1205): 제1 노드가 제1 서비스에 대해 무결성 보호가 활성화될 필요가 없다고 결정하면, 제1 노드는 자원 스케줄링 메시지를 제2 노드에 송신한다.
구체적으로, 제1 서비스에 대해 무결성 보호가 활성화될 필요가 없을 때, 자원 스케줄링 메시지에 제1 필드가 있을 수 있고, 제1 필드의 데이터는 제1 서비스의 식별자에 대응하는 서비스에 대해 무결성 보호가 활성화되지 않음을 지시하는 데 사용될 수 있다. 예를 들어, 제1 필드의 데이터가 "0"일 때, 제1 서비스의 식별자에 대응하는 서비스에 대해 무결성 보호가 활성화되지 않음을 지시한다.
선택적으로, 서비스 속성 보고 응답 메시지는 복수의 서비스의 식별자를 운반할 수 있다. 이 경우, 제2 노드는 복수의 서비스에 대해 무결성 보호가 활성화되는지를 판정할 수 있다. 이에 대응하여, 자원 스케줄링 메시지는 복수의 서비스에 대해 무결성 보호가 활성화되는지를 지시하는 데 사용될 수 있다. 무결성 보호가 활성화되어야 하는 서비스의 경우, 복수의 서비스에 개별적으로 대응하는 MAC 길이를 더 포함해야 한다.
이에 대응하여, 제2 노드는 자원 스케줄링 메시지를 수신하고, 제1 서비스에 대한 무결성 보호를 활성화하지 않기로 결정할 수 있다.
선택적으로, 제2 노드는 추가로 자원 응답 메시지를 제1 노드에 송신할 수 있다. 자원 응답 메시지는 제1 노드가 자원 스케줄링 메시지를 수신했음을 지시하는 데 사용된다.
도 13은 본 출원의 실시예에 따른 통신 방법의 개략적인 흐름도이다. 통신 방법은 도 1에 도시된 통신 시스템에 기반하여 구현될 수 있다. 이 방법은 적어도 다음 단계를 포함한다.
단계(S1301): 제2 노드가 연관 요청 메시지를 제1 노드에 송신한다.
구체적으로, 제1 메시지는 제2 노드가 지원하는 보안 알고리즘에 관한 정보 및 제2 노드의 아이덴티티를 포함한다. 제2 노드가 지원하는 보안 알고리즘은 제2 노드가 지원하는 암호화 알고리즘, 무결성 보호 알고리즘, 인증 암호화 알고리즘 등 중 하나 이상을 포함한다. 선택적으로, 제2 노드가 지원하는 보안 알고리즘에 관한 정보는 다르게는 제2 노드의 보안 능력(Sec Capabilities)이라고 할 수 있다. 제2 노드의 아이덴티티는 제2 노드의 디바이스 식별자라고도 하며, 제2 노드의 아이덴티티는 ID, 미디어 액세스 제어(media access control, MAC) 주소, 도메인 이름, 도메인 주소 또는 제2 노드의 다른 사용자 정의 식별자일 수 있다. 제2 노드의 ID는 고정 ID일 수도 있고, 임시 ID일 수도 있다.
선택적으로, 제1 메시지는 제2 노드에 의해 획득(또는 생성)된 신규 파라미터를 더 포함할 수 있다.
선택적으로, 제1 노드는 액세스 메시지 또는 브로드캐스트 메시지를 송신하고, 제2 노드는 제1 노드로부터 액세스 메시지 또는 브로드캐스트 메시지를 수신하여 제1 연관 요청 메시지를 제1 노드에 송신할 수 있다.
단계(S1302): 제1 노드가 제1 알고리즘 선택 정책에 따라 시그널링 평면의 타깃 보안 알고리즘 및 시그널링 평면의 타깃 MAC 길이를 결정한다.
구체적인 설명에 대해서는, 단계(S302)를 참조한다.
단계(S1303: 제1 노드가 제2 노드의 아이덴티티 및 제2 알고리즘 선택 정책에 기반하여 사용자 평면의 타깃 보안 알고리즘 및 사용자 평면의 타깃 MAC 길이를 결정한다.
구체적으로, 적어도 다음의 세 가지 방식이 있을 수 있다.
방식 1: 제1 노드는 제2 알고리즘 선택 정책에 따라 사용자 평면의 타깃 보안 알고리즘을 결정한다. 또한, 제1 노드는 제2 노드의 아이덴티티에 기반하여 제2 길이 선택 정책을 결정하므로, 사용자 평면의 타깃 MAC 길이는 제2 길이 선택 정책 및 사용자 평면의 타깃 보안 알고리즘에 기반하여 결정될 수 있다.
방식 2: 제1 노드는 제2 알고리즘 선택 정책에 따라 사용자 평면의 타깃 보안 알고리즘을 결정하고, 사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이및 제2 노드의 아이덴티티와 MAC 길이 사이의 대응 관계에 기반하여, 추가로 제2 노드의 아이덴티티에 대응하는 MAC 길이를 사용자 평면의 타깃 MAC 길이로 결정할 수 잇다.
방식 3: 제1 노드는 제2 알고리즘 선택 정책에 기반하여 사용자 평면의 타깃 보안 알고리즘을 결정한다. 제1 노드는 제2 길이 선택 정책을 결정할 수 있고, 제2 길이 선택 정책에 따라 사용자 평면의 타깃 MAC 길이를 결정할 수 있다. 사용자 평면의 타깃 MAC 길이는 사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이이다. 선택적으로, 제2 길이 선택 정책은 제1 노드에서 미리 구성 또는 미리 정의된 길이 선택 정책일 수 있다. 따라서, 제2 길이 선택 정책이 결정될 때, 제2 노드의 아이덴티티는 사용되지 않을 수 있다.
단계(S1304): 제1 노드가 시그널링 평면의 타깃 보안 알고리즘을 사용하여 제1 MAC을 생성한다.
구체적인 설명에 대해서는, 단계(S303)를 참조한다.
선택적으로, 본 출원의 이 실시예에서의 통신 방법은 단계(S1305) 또는 단계(S1305) 내지 단계(S1312)의 일부 또는 전부를 더 포함할 수 있다. 단계(S1305) 내지 단계(S1312)는 구체적으로 다음과 같다.
단계(S1305): 제1 노드가 보안 콘텍스트 요청 메시지를 제2 노드에 송신한다.
구체적으로, 보안 콘텍스트 요청 메시지는 제1 MAC, 시그널링 평면의 타깃 보안 알고리즘을 지시하는 정보, 사용자 평면의 타깃 보안 알고리즘을 지시하는 정보, 시그널링 평면의 타깃 MAC 길이를 지시하는 정보, 및 사용자 평면의 타깃 MAC 길이를 지시하는 정보를 포함하며, 제1 MAC은 보안 콘텍스트 요청 메시지의 무결성을 검증하는 데 사용된다. 선택적으로, 보안 콘텍스트 요청 메시지는 제1 노드에 의해 획득(또는 생성)된 제2 신규 파라미터를 더 포함할 수 있다.
선택적으로, 보안 콘텍스트 요청 메시지는 제1 아이덴티티 인증 정보를 더 포함한다. 제1 아이덴티티 인증 정보는 제1 노드와 제2 노드 사이의 공유 키에 기반하여 제1 노드에 의해 생성된다. 자세한 설명에 대해서는 S304의 대응하는 설명을 참조한다.
선택적으로, 보안 콘텍스트 요청 메시지는 제1 노드의 암호화 키를 사용하여 암호화될 수 있다. 이에 대응하여, 제2 노드는 보안 콘텍스트 요청 메시지를 수신한 후, 대응하는 암호화 키를 사용하여 메시지 콘텐츠를 암호 해제한다.
단계(S1306): 제2 노드가 시그널링 평면의 타깃 보안 알고리즘을 사용하여 제1 MAC을 기반으로 보안 콘텍스트 요청 메시지의 무결성을 검사한다.
구체적인 설명에 대해서는, 단계(S305)를 참조한다.
단계(S1307): 제2 노드가 제2 노드와 제1 노드 사이의 공유 키에 기반하여 제1 아이덴티티 인증 정보에 대한 검증을 수행한다.
구체적인 설명에 대해서는, 단계(S306)를 참조한다.
단계(S1308): 제2 노드가 시그널링 평면의 타깃 보안 알고리즘을 사용하여 제2 MAC을 생성한다.
구체적인 설명에 대해서는, 단계(S307)를 참조한다.
단계(S1309): 제2 노드가 보안 콘텍스트 응답 메시지를 제1 노드에 송신한다.
구체적인 설명에 대해서는, 단계(S308)를 참조한다.
단계(S1310): 제2 노드가 시그널링 평면의 타깃 보안 알고리즘을 사용하여 제2 MAC을 기반으로 보안 콘텍스트 응답 메시지의 무결성을 검사한다.
구체적인 설명에 대해서는, 단계(S309)를 참조한다.
단계(S1311): 제1 노드가 제1 노드와 제2 노드 사이의 공유 키에 기반하여 제2 아이덴티티 인증 정보에 대한 검증을 수행한다.
구체적인 설명에 대해서는, 단계(S310)를 참조한다.
단계(S1312): 제1 노드가 연관 구축 메시지를 제2 노드에 송신한다.
구체적으로, 연관 구축 메시지는 제1 노드와 연관을 구축하도록 제2 노드에 지시한다.
구체적인 설명에 대해서는, 단계(S311)를 참조한다.
도 13에 도시된 실시예에서, 상이한 MAC 길이를 결정하기 위해 제1 노드에 상이한 정책이 구성되어, MAC 길이의 유연성을 향상시킬 수 있다. 또한, 제1 노드는 제2 노드의 아이덴티티에 기반하여 사용자 평면의 타깃 보안 알고리즘 및 사용자 평면의 타깃 MAC을 결정할 수 있어서, MAC 길이에 대한 서로 다른 유형의 노드의 요건을 충족할 수 있다. 예를 들어, 중요한 서비스를 처리하는 일부 노드는 보안을 향상시키기 위해 상대적으로 긴 MAC 길이를 사용할 수 있다. 다른 예로, 일부 보조 노드 또는 일반 노드는 상대적으로 짧은 MAC 길이를 사용하여, 자원 소모를 감소시키고 통신 효율성을 높일 수 있다.
전술한 내용은 본 출원의 실시예에서의 방법을 상세히 설명한다. 다음은 본 출원의 실시예에서 장치를 제공한다.
도 14는 본 출원의 실시예에 따른 통신 장치(140)의 구조의 개략도이다. 장치(140)는 노드일 수 있거나, 노드 내의 칩 또는 집적 회로와 같은 컴포넌트일 수 있다. 장치(140)는 수신 유닛(1401) 및 처리 유닛(1402)을 포함할 수 있다. 유닛에 대한 설명은 다음과 같다.
수신 유닛(1401)은 제2 노드로부터 연관 요청 메시지를 수신하도록 구성된다. 연관 요청 메시지는 제2 노드가 지원하는 보안 알고리즘에 관한 정보를 포함한다.
처리 유닛(1402)은 제1 알고리즘 선택 정책에 따라 시그널링 평면의 타깃 보안 알고리즘 및 시그널링 평면의 타깃 MAC 길이를 결정하도록 구성된다. 시그널링 평면의 타깃 보안 알고리즘은 제2 노드가 지원하는 보안 알고리즘에 관한 정보에 의해 지시되는 보안 알고리즘 세트에 속한다.
처리 유닛(1402)은 추가로, 시그널링 평면의 타깃 보안 알고리즘을 사용하여 제1 MAC을 생성하도록 구성된다. 제1 MAC의 길이는 시그널링 평면의 타깃 MAC 길이이다.
본 출원의 이 실시예에서, 장치(140)는 제2 노드가 지원하는 보안 알고리즘에 관한 정보에 기반하고 그리고 미리 구성 또는 미리 정의된 알고리즘 정책을 사용하여, 시그널링 평면의 타깃 보안 알고리즘 및 시그널링 평면의 타깃 MAC 길이를 결정하고, 그런 다음 시그널링 평면의 타깃 MAC 길이를 제1 노드와 제2 노드 사이의 시그널링 메시지의 MAC 길이로 사용한다. 이러한 방식으로, 장치(140)에 구성된 상이한 정책에 기반하여 상이한 MAC 길이가 결정되어, MAC 길이의 유연성을 향상시킬 수 있다. 또한, 알고리즘 선택 정책은 제1 노드의 통신 요건에 기반하여 미리 구성되거나 미리 정의될 수 있다. 예를 들어, 상대적으로 보안성이 높고 MAC 길이가 상대적으로 긴 알고리즘을 우선적으로 선택하여 데이터 보안성을 높일 수 있다.
가능한 구현에서, 처리 유닛(1402)은 구체적으로:
제1 길이 선택 정책 및 제1 알고리즘 선택 정책에 따라 시그널링 평면의 타깃 보안 알고리즘 및 시그널링 평면의 타깃 MAC 길이를 결정하도록 구성된다
다른 가능한 구현에서, 처리 유닛(1402)은 구체적으로:
제1 알고리즘 선택 정책에 따라 시그널링 평면의 타깃 보안 알고리즘을 결정하도록 - 시그널링 평면의 타깃 보안 알고리즘에 대응하는 MAC 길이는 시그널링 평면의 타깃 MAC 길이임 - 구성된다.
다른 가능한 구현에서, 장치(140)는:
보안 콘텍스트 요청 메시지를 제2 노드에 송신하도록 - 보안 콘텍스트 요청 메시지는 제1 MAC, 시그널링 평면의 타깃 보안 알고리즘을 지시하는 정보, 및 시그널링 평면의 타깃 MAC 길이를 포함하고, 제1 MAC은 보안 콘텍스트 요청 메시지의 무결성을 검사하는 데 사용됨 - 구성된 송신 유닛(1403)을 더 포함한다.
다른 가능한 구현에서, 장치(140)는:
보안 콘텍스트 요청 메시지를 제2 노드에 송신하도록 - 보안 콘텍스트 요청 메시지는 제1 MAC 및 시그널링 평면의 타깃 보안 알고리즘을 지시하는 정보를 포함하고, 제1 MAC은 보안 콘텍스트 요청 메시지의 무결성을 검사하는 데 사용되며, 제1 MAC은 추가로, 시그널링 평면의 타깃 MAC 길이를 지시하는 데 사용됨 - 구성된 송신 유닛(1403)을 더 포함한다.
다른 가능한 구현에서, 장치는 보안 콘텍스트 요청 메시지를 제2 노드에 송신하도록 구성된 송신 유닛(1403)을 더 포함한다. 보안 콘텍스트 요청 메시지는 제1 MAC, 시그널링 평면의 타깃 보안 알고리즘을 지시하는 정보, 시그널링 평면의 타깃 MAC 길이, 및 제1 아이덴티티 인증 정보를 포함하고; 제1 MAC은 보안 콘텍스트 요청 메시지의 무결성을 검사하는 데 사용되고, 제1 아이덴티티 인증 정보는 제1 노드와 제2 노드 사이의 공유 키에 기반하여 생성된다.
수신 유닛(1401)은 추가로, 제2 노드로부터 보안 콘텍스트 응답 메시지를 수신하도록 구성된다. 보안 콘텍스트 응답 메시지는 제2 아이덴티티 인증 정보 및 제2 MAC을 포함하고, 제2 MAC의 길이는 시그널링 평면의 타깃 MAC 길이이며, 제2 아이덴티티 인증 정보는 제2 노드의 아이덴티티를 검증하는 데 사용되고, 제2 MAC은 보안 콘텍스트 응답 메시지의 무결성을 검사하는 데 사용된다.
다른 가능한 구현에서, 보안 콘텍스트 요청 메시지는 사용자 평면의 타깃 보안 알고리즘을 더 포함하고, 처리 유닛(1402)은 구체적으로:
제2 알고리즘 선택 정책에 따라 사용자 평면의 타깃 보안 알고리즘을 결정하도록 - 사용자 평면의 타깃 보안 알고리즘은 제2 노드가 지원하는 보안 알고리즘에 관한 정보에 의해 지시된 보안 알고리즘 세트에 속함 - 구성된다.
다른 가능한 구현에서, 수신 유닛(1401)은 추가로, 제1 서비스의 식별자 및/또는 제1 서비스의 데이터 패킷 크기를 획득하도록 구성된다.
처리 유닛(1402)은 추가로, 사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이 그리고 제1 서비스의 식별자와 제1 서비스의 데이터 패킷 크기 중 적어도 하나에 기반하여 사용자 평면의 타깃 MAC 길이를 결정하도록 구성된다. 사용자 평면의 타깃 MAC 길이는 제1 서비스의 데이터에 대한 무결성 보호를 수행하기 위한 MAC의 길이를 지시하는 데 사용된다.
송신 유닛(1403)은 추가로, 자원 스케줄링 메시지를 제2 노드에 송신하도록 구성되며, 자원 스케줄링 메시지는 사용자 평면의 타깃 MAC 길이를 포함한다.
각 유닛의 구현에 대해서는 도 3에 도시된 실시예에서 대응하는 설명을 참조함을 유의해야 한다. 장치(140)는 도 3에 도시된 실시예에서 제1 노드이다.
또한, 본 출원의 실시예에서 장치 내의 유닛의 분할은 기능에 기반한 논리적인 분할일 뿐 장치의 특정 구조에 대한 제한으로 사용되지 않는다. 특정 구현에서, 일부 기능 모듈은 더 작은 기능 모듈로 세분되거나 일부 기능 모듈이 하나의 기능 모듈로 조합될 수 있다. 그러나, 이러한 기능 모듈이 세분화되거나 조합되는지에 관계없이 수행되는 절차는 거의 동일하다. 예를 들어, 장치(140)가 일 예로서 사용된다. 수신 유닛(1401) 및 송신 유닛(1403)은 다르게는 통신 유닛으로 조합될 수 있고, 통신 유닛은 수신 유닛(1401) 및 송신 유닛(1403)의 기능을 구현하도록 구성된다. 일반적으로 각 유닛은 유닛의 프로그램 코드(또는 프로그램 명령어)에 대응한다. 유닛에 대응하는 프로그램 코드가 프로세서에서 실행될 때, 유닛은 대응하는 기능을 구현하기 위해 대응하는 절차를 수행할 수 있다.
도 15는 본 출원의 실시예에 따른 통신 장치(150)의 구조의 개략도이다. 장치(150)는 노드일 수 있거나, 노드 내의 칩 또는 집적 회로와 같은 컴포넌트일 수 있다. 장치(150)는 송신 유닛(1501) 및 수신 유닛(1502)을 포함할 수 있다. 유닛에 대한 설명은 다음과 같다.
송신 유닛(1501)은 연관 요청 메시지를 제1 노드에 송신하도록 구성되며, 연관 요청 메시지는 제2 노드가 지원하는 보안 알고리즘에 관한 정보를 포함한다.
수신 유닛(1502)은 제1 노드로부터 보안 콘텍스트 요청 메시지를 수신하도록 구성되며, 보안 콘텍스트 요청 메시지는 시그널링 평면의 타깃 보안 알고리즘을 지시하는 데 사용되는 정보 및 시그널링 평면의 타깃 MAC 길이를 지시하는 데 사용되는 정보를 포함하고, 시그널링 평면의 타깃 보안 알고리즘과 시그널링 평면의 타깃 MAC 길이는 제1 알고리즘 선택 정책에 대응하며, 시그널링 평면의 타깃 보안 알고리즘은 제2 노드가 지원하는 보안 알고리즘에 관한 정보에 의해 지시되는 보안 알고리즘 세트에 속한다.
본 출원의 이 실시예에서, 장치(150)는 제2 노드가 지원하는 보안 알고리즘에 관한 정보를 제1 노드에 송신한다. 제1 노드는 제2 노드가 지원하는 보안 알고리즘에 관한 정보에 기반하고 그리고 미리 구성 또는 미리 정의된 알고리즘 정책을 사용하여, 시그널링 평면의 타깃 보안 알고리즘과 시그널링 평면의 타깃 MAC 길이를 결정하고, 그런 다음 시그널링 평면의 타깃 MAC 길이를 제1 노드와 제2 노드 사이의 시그널링 메시지의 MAC 길이로 사용한다. 이러한 방식으로, 장치(150)에 구성된 상이한 정책에 기반하여 상이한 MAC 길이가 결정되어, MAC 길이의 유연성을 향상시킬 수 있다. 예를 들어, 제2 노드가 지원하는 알고리즘 중에서 상대적으로 보안성이 높은 알고리즘을 선택하고, 상대적으로 긴 MAC 길이를 추가로 선택하여 데이터 보안성을 높일 수 있다.
가능한 구현에서, 보안 콘텍스트 요청 메시지는 제1 MAC을 포함하고, 제1 MAC의 길이는 시그널링 평면의 타깃 MAC 길이이다. 이 장치는:
시그널링 평면의 타깃 보안 알고리즘을 사용하여 제1 MAC을 기반으로 보안 콘텍스트 요청 메시지의 무결성을 검사하도록 구성된 처리 유닛(1503)을 더 포함한다.
가능한 구현에서, 제1 MAC은 시그널링 평면의 타깃 MAC 길이를 지시하는 데 사용되는 정보이다. 가능한 구현에서, 보안 콘텍스트 요청 메시지는 제1 아이덴티티 인증 정보를 더 포함한다. 처리 유닛은 추가로, 제2 노드와 제1 노드 사이의 공유 키에 기반하여 제1 아이덴티티 인증 정보에 대한 검증을 수행하도록 구성된다.
처리 유닛(1503)은 추가로, 보안 콘텍스트 요청 메시지이 무결성에 대한 검사가 성공하고 제1 아이덴티티 인증 정보에 대한 검증이 성공하면, 시그널링 평면의 타깃 보안 알고리즘을 사용하여 제2 MAC을 생성하도록 구성된다. 제2 MAC의 길이는 시그널링 평면의 타깃 MAC 길이이다.
송신 유닛(1501)은 추가로, 보안 콘텍스트 응답 메시지를 제1 노드에 송신하도록 구성된다. 보안 콘텍스트 응답 메시지는 제2 MAC 및 제2 아이덴티티 인증 정보를 포함하고, 제2 아이덴티티 인증 정보는 제2 노드와 제1 노드 사이의 공유 키에 기반하여 생성된다.
다른 가능한 구현에서, 보안 콘텍스트 요청 메시지는 사용자 평면의 타깃 보안 알고리즘을 지시하는 정보를 더 포함하고, 사용자 평면의 타깃 보안 알고리즘은 제2 알고리즘 선택 정책에 대응하며, 사용자 평면의 타깃 보안 알고리즘은 제2 노드가 지원하는 보안 알고리즘에 관한 정보에 의해 지시되는 보안 알고리즘 세트에 속한다.
수신 유닛(1502)은 추가로, 제1 노드로부터 자원 스케줄링 메시지를 수신하도록 구성된다. 자원 스케줄링 메시지는 사용자 평면의 타깃 MAC 길이를 포함하고, 사용자 평면의 타깃 MAC 길이는 사용자 평면의 타깃 보안 알고리즘 그리고 제1 서비스의 식별자와 데이터 패킷 크기 중 적어도 하나에 대응하고, 사용자 평면의 타깃 MAC 길이는 제1 서비스의 데이터에 대한 무결성 보호를 수행하기 위한 MAC의 길이를 지시하는 데 사용된다.
각 유닛의 구현에 대해서는 도 3에 도시된 실시예에서 대응하는 설명을 참조함을 유의해야 한다. 장치(150)는 도 3에 도시된 실시예에서 제2 노드이다.
도 16은 본 출원의 실시예에 따른 통신 장치(160)의 구조의 개략도이다. 장치(160)는 노드일 수 있거나, 노드 내의 칩 또는 집적 회로와 같은 컴포넌트일 수 있다. 장치(160)는 수신 유닛(1601) 및 처리 유닛(1602)을 포함할 수 있다. 유닛에 대한 설명은 다음과 같다.
수신 유닛(1601)은 제2 노드로부터 서비스 속성 보고 응답 메시지를 수신하도록 구성되며, 서비스 속성 보고 응답 메시지는 제1 서비스의 식별자 및/또는 제1 서비스의 데이터 패킷 크기를 포함한다.
처리 유닛(1602)은 사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이 그리고 제1 서비스의 식별자와 제1 서비스의 데이터 패킷 크기 중 적어도 하나에 기반하여, 사용자 평면의 타깃 MAC 길이를 결정하도록 구성되며, 사용자 평면의 타깃 MAC 길이는 제1 서비스의 데이터에 대한 무결성 보호를 수행하기 위한 MAC의 길이를 지시하는 데 사용된다.
본 출원의 이 실시예에서, 장치(160)는 사용자 평면의 보안 알고리즘이 지원하는 MAC 길이, 제1 서비스의 식별자 및 제1 서비스의 데이터 패킷 크기에 기반하여, 사용자 평면의 타깃 MAC 길이를 결정하며, 그런 다음 사용자 평면의 타깃 MAC 길이를 제1 서비스를 처리하기 위해 사용되는 메시지의 MAC 길이로 사용한다. 이러한 방식으로, 상이한 서비스 또는 상이한 데이터 패킷 크기의 서비스에 대해 상이한 MAC 길이가 결정되어, MAC 길이의 유연성을 향상시킬 수 있다. 상대적으로 보안성이 높은 서비스의 경우, 상대적으로 긴 MAC 길이를 사용할 수 있으므로, 크랙되는 것이 어렵고 데이터 보안이 향상된다. 또한 프라이버시 요건이 높지 않거나 데이터 패킷이 상대적으로 작은 일부 메시지의 경우, 상대적으로 짧은 MAC 길이를 사용하여, 네트워크 전송 중에 통신 효율성에 영향을 미치는 것을 방지하고 자원 소비를 감소시킬 수 있다.
가능한 구현에서, 처리 유닛(1602)은 구체적으로:
사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이 및 제1 서비스의 식별자와 MAC 길이 사이의 대응 관계에 기반하여, 제1 서비스의 식별자에 대응하는 MAC 길이를 사용자 평면의 타깃 MAC 길이로 결정하거나; 또는
사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이 및 제1 서비스의 데이터 패킷 크기와 MAC 길이 사이의 대응 관계에 기반하여, 제1 서비스의 데이터 패킷 크기에 대응하는 MAC 길이를 사용자 평면의 타깃 MAC 길이로 결정하도록 구성된다.
다른 가능한 구현에서, 처리 유닛(1602)은 구체적으로:
제1 서비스의 식별자 및/또는 제1 서비스의 데이터 패킷 크기에 기반하여 제2 길이 선택 정책을 결정하고; 그리고
제2 길이 선택 정책 및 사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이에 기반하여 사용자 평면의 타깃 MAC 길이를 결정하도록 구성된다.
다른 가능한 구현에서, 제1 서비스의 식별자는 제1 서비스 유형에 대응하고, 유형이 제1 서비스 유형인 서비스의 데이터에 대해 무결성 보호가 수행되어야 한다.
다른 가능한 구현에서, 장치(160)는 자원 스케줄링 메시지를 제2 노드에 송신하도록 구성된 송신 유닛(1603)을 더 포함하고, 자원 스케줄링 메시지는 사용자 평면의 타깃 MAC 길이를 포함한다.
다른 가능한 구현에서, 처리 유닛(1602)은 추가로:
사용자 평면의 타깃 보안 알고리즘을 사용하여 제3 MAC을 생성하도록 구성되고, 제3 MAC의 길이는 사용자 평면의 타깃 MAC 길이이고, 제3 MAC은 제1 서비스의 데이터에 대한 무결성 보호를 수행하는 데 사용된다.
다른 가능한 구현에서, 수신 유닛(1601)은 추가로, 제2 노드가 지원하는 보안 알고리즘에 관한 정보를 획득하도록 구성된다.
처리 유닛(1602)은 추가로, 제1 알고리즘 선택 정책에 따라 시그널링 평면의 타깃 보안 알고리즘 및 시그널링 평면의 타깃 MAC 길이를 결정하도록 구성된다. 시그널링 평면의 타깃 보안 알고리즘은 제2 노드가 지원하는 보안 알고리즘에 관한 정보에 의해 지시되는 보안 알고리즘 세트에 속한다.
처리 유닛(1602)은 추가로, 시그널링 평면의 타깃 보안 알고리즘을 사용하여 제4 MAC을 생성하도록 구성되고, 제4 MAC의 길이는 시그널링 평면의 타깃 MAC 길이이다.
송신 유닛(1603)은 추가로, 자원 스케줄링 메시지를 제2 노드에 송신하도록 구성된다. 자원 스케줄링 메시지는 제4 MAC 및 사용자 평면의 타깃 MAC 길이를 포함하며, 제4 MAC은 자원 스케줄링 메시지에 대한 무결성 보호를 수행하는 데 사용된다.
다른 가능한 구현에서, 처리 유닛(1602)은 추가로:
제2 알고리즘 선택 정책에 따라 사용자 평면의 타깃 보안 알고리즘을 결정하도록 구성되고, 사용자 평면의 타깃 보안 알고리즘은 제2 노드가 지원하는 보안 알고리즘에 관한 정보에 의해 지시된 보안 알고리즘 세트에 속한다.
각 유닛의 구현에 대해서는 도 8에 도시된 실시예에서 대응하는 설명을 참조함을 유의해야 한다. 장치(160)는 도 8에 도시된 실시예에서 제1 노드이다.
도 17은 본 출원의 실시예에 따른 통신 장치(170)의 구조의 개략도이다. 장치(170)는 노드일 수 있거나, 노드 내의 칩 또는 집적 회로와 같은 컴포넌트일 수 있다. 장치(170)는 송신 유닛(1701) 및 수신 유닛(1702)을 포함할 수 있다. 유닛에 대한 설명은 다음과 같다.
송신 유닛(1701)은 서비스 속성 보고 응답 메시지를 제1 노드에 송신하도록 구성되며, 서비스 속성 보고 응답 메시지는 제1 서비스의 식별자 및/또는 제1 서비스의 데이터 패킷 크기를 포함한다.
수신 유닛(1702)은 제1 노드로부터 자원 스케줄링 메시지를 수신하도록 구성되며, 자원 스케줄링 메시지는 사용자 평면의 타깃 MAC 길이를 포함하고, 사용자 평면의 타깃 MAC 길이는 사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이이며, 사용자 평면의 타깃 MAC 길이는 제1 서비스의 식별자와 제1 서비스의 데이터 패킷 크기 중 적어도 하나에 대응하고, 사용자 평면의 타깃 MAC 길이는 제1 서비스의 데이터에 대해 무결성 보호를 수행하기 위한 MAC의 길이를 지시하는 데 사용된다.
이 실시예에서, 서로 다른 서비스 유형의 서비스는 서로 다른 무결성 보호 요건을 갖는다. 장치(170)는 제1 서비스의 식별자에 기반하여 무결성 보호를 활성화할지를 판정할 수 있다. 예를 들어, 오디오 노이즈 감소 서비스는 상대적으로 보안 요건이 낮은 서비스이므로, 오디오 노이즈 감소 서비스의 데이터에 대해 무결성 보호를 수행할 필요가 없을 수 있다.
가능한 구현에서, 제1 서비스의 식별자는 제1 서비스 유형에 대응하고, 유형이 제1 서비스 유형인 서비스의 데이터에 대해 무결성 보호가 수행되어야 한다.
다른 가능한 구현에서, 사용자 평면의 타깃 보안 알고리즘은 제2 알고리즘 선택 정책에 대응하고, 사용자 평면의 타깃 보안 알고리즘은 제2 노드가 지원하는 보안 알고리즘에 관한 정보에 의해 지시되는 보안 알고리즘 세트에 속한다.
다른 가능한 구현에서, 자원 스케줄링 메시지는 제4 MAC를 더 포함하고, 처리 유닛은 추가로:
사용자 평면의 타깃 보안 알고리즘을 사용하여 제4 MAC을 기반으로 자원 스케줄링 메시지의 메시지 무결성을 검사하도록 구성된다.
각 유닛의 구현에 대해서는 도 8에 도시된 실시예에서 대응하는 설명을 참조함을 유의해야 한다. 장치(170)는 도 8에 도시된 실시예에서 제2 노드이다.
도 18은 본 출원의 실시예에 따른 통신 장치(180)의 구조의 개략도이다. 장치(180)는 노드일 수 있거나, 노드 내의 칩 또는 집적 회로와 같은 컴포넌트일 수 있다. 장치(180)는 송신 유닛(1801) 및 처리 유닛(1802)을 포함할 수 있다. 유닛에 대한 설명은 다음과 같다.
송신 유닛(1801)은 서비스 속성 보고 응답 메시지를 제1 노드에 송신하도록 구성되며, 서비스 속성 보고 응답 메시지는 제1 서비스의 식별자 및/또는 제1 서비스의 데이터 패킷 크기를 포함한다.
처리 유닛(1802)은 사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이 그리고 제1 서비스의 식별자와 제1 서비스의 데이터 패킷 크기 중 적어도 하나에 기반하여, 사용자 평면의 타깃 MAC 길이를 결정하도록 구성되며, 사용자 평면의 타깃 MAC 길이는 제1 서비스의 데이터에 대한 무결성 보호를 수행하기 위한 MAC의 길이를 지시하는 데 사용된다.
제1 노드와 동일한 사용자 평면의 타깃 MAC 길이를 결정하는 방법이 장치(180)에 구성되어 있다. 따라서, 장치(180)는 사용자 평면의 보안 알고리즘이 지원하는 MAC 길이와 제1 서비스의 식별자 및/또는 제1 서비스의 데이터 패킷 크기에 기반하여 사용자 평면의 타깃 MAC 길이를 결정하고, 그런 다음 사용자 평면의 타깃 MAC 길이를 제1 서비스를 처리하는 데 사용되는 메시지의 MAC 길이로 사용할 수 있다. 이러한 방식으로, 상이한 서비스 또는 상이한 데이터 패킷 크기의 서비스에 대해 상이한 MAC 길이가 결정되어, MAC 길이의 유연성을 향상시킬 수 있다.
그러나, 사용자 평면의 타깃 MAC 길이를 결정하는 방법은 장치(180)와 제1 노드 모두에 동일하게 구성되어 있으므로, 제1 노드는 특정 방식으로 사용자 평면의 타깃 MAC 길이를 결정하며, 따라서 장치(180)도 동일한 방식으로 사용자 평면의 타깃 MAC 길이를 결정한다. 이러한 방식으로, 노드는 타깃 MAC 길이를 피어 노드에 송신할 필요가 없어서, 네트워크 자원을 절약할 수 있다.
다른 가능한 구현에서, 처리 유닛(1802)은 구체적으로:
사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이 및 제1 서비스의 식별자(identifier, ID)와 MAC 길이 사이의 대응 관계에 기반하여, 제1 서비스의 ID에 대응하는 MAC 길이를 사용자 평면의 타깃 MAC 길이로 결정하거나; 또는
사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이 및 제1 서비스의 데이터 패킷 크기와 MAC 길이 사이의 대응 관계에 기반하여, 제1 서비스의 데이터 패킷 크기에 대응하는 MAC 길이를 사용자 평면의 타깃 MAC 길이로 결정하도록 구성된다.
다른 가능한 구현에서, 처리 유닛(1802)은 구체적으로:
제1 서비스의 ID 및/또는 제1 서비스의 데이터 패킷 크기에 기반하여 제2 길이 선택 정책을 결정하고; 그리고
제2 길이 선택 정책 및 사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이에 기반하여 사용자 평면의 타깃 MAC 길이를 결정하도록 구성된다.
다른 가능한 구현에서, 제1 서비스의 식별자는 제1 서비스 유형에 대응하고, 유형이 제1 서비스 유형인 서비스의 데이터에 대해 무결성 보호가 수행되어야 한다.
다른 가능한 구현에서, 사용자 평면의 타깃 보안 알고리즘은 제2 알고리즘 선택 정책에 대응하고, 사용자 평면의 타깃 보안 알고리즘은 제2 노드가 지원하는 보안 알고리즘에 관한 정보에 의해 지시되는 보안 알고리즘 세트에 속한다.
각 유닛의 구현에 대해서는 도 8에 도시된 실시예에서 대응하는 설명을 참조함을 유의해야 한다. 장치(180)는 도 8에 도시된 실시예에서 제2 노드이다.
도 19는 본 출원의 실시예에 따른 통신 장치(190)의 구조의 개략도이다. 장치(190)는 노드일 수 있거나, 노드 내의 칩 또는 집적 회로와 같은 컴포넌트일 수 있다. 장치(190)는 수신 유닛(1901) 및 송신 유닛(1902)을 포함할 수 있다. 유닛에 대한 설명은 다음과 같다.
수신 유닛(1901)은 제2 노드로부터 서비스 속성 보고 응답 메시지를 수신하도록 구성되며, 서비스 속성 보고 응답 메시지는 적어도 하나의 서비스 식별자를 포함하고, 적어도 하나의 서비스 식별자는 적어도 하나의 제2 서비스의 식별자를 포함하며, 적어도 하나의 제2 서비스의 식별자는 제2 서비스 유형에 대응하고, 유형이 제2 서비스 유형인 서비스의 데이터에 대해 무결성 보호가 수행될 필요가 없다.
송신 유닛(1902)은 자원 스케줄링 메시지를 제2 노드에 송신하도록 구성되며, 자원 스케줄링 메시지는 적어도 하나의 제2 서비스의 식별자에 대응하는 서비스에 대해 무결성 보호가 활성화되지 않음을 지시하는 데 사용된다.
서로 다른 서비스 유형의 서비스는 서로 다른 무결성 보호 요건을 가짐을 알 수 있다. 장치는 제1 서비스의 식별자에 기반하여 무결성 보호를 활성화할지를 판정할 수 있다. 예를 들어, 오디오 노이즈 감소 서비스는 상대적으로 보안 요건이 낮은 서비스이므로, 오디오 노이즈 감소 서비스의 데이터에 대해 무결성 보호를 수행할 필요가 없을 수 있으며, 따라서, 오디오 노이즈 감소 서비스에 대응하는 MAC 길이는 결정되지 않을 수 있다.
가능한 구현에서, 적어도 하나의 서비스 식별자는 적어도 하나의 제1 서비스의 식별자를 포함하고, 적어도 하나의 제1 서비스의 식별자는 제1 서비스 유형에 대응하며, 무결성 보호는 유형이 제1 서비스 유형인 서비스의 데이터에 대해 수행되어야 한다.
다른 가능한 구현에서, 자원 스케줄링 메시지는 추가로, 적어도 하나의 제1 서비스에 사용되는 사용자 평면의 타깃 MAC 길이를 지시하는 데 사용된다.
각 유닛의 구현에 대해서는 도 11 또는 도 12에 도시된 실시예에서 대응하는 설명을 참조함을 유의해야 한다. 장치(190)는 도 11 또는 도 12에 도시된 실시예에서 제1 노드일 수 있다.
도 20은 본 출원의 실시예에 따른 통신 장치(200)의 구조의 개략도이다. 장치(200)는 노드일 수도 있고, 노드 내의 칩이나 집적 회로와 같은 컴포넌트일 수도 있다. 장치(200)는 송신 유닛(2001), 수신 유닛(2002) 및 처리 유닛(2003)를 포함할 수 있다. 유닛에 대한 설명은 다음과 같다.
송신 유닛(2001)은 서비스 속성 보고 응답 메시지를 제1 노드에 송신하도록 구성되며, 서비스 속성 보고 응답 메시지는 적어도 하나의 서비스 식별자를 포함하고, 적어도 하나의 서비스 식별자는 적어도 하나의 제2 서비스의 식별자를 포함하며, 적어도 하나의 제2 서비스의 식별자는 제2 서비스 유형에 대응하고, 유형이 제2 서비스 유형인 서비스의 데이터에 대해 무결성 보호가 수행될 필요가 없다.
수신 유닛(2002)은 제1 노드로부터 자원 스케줄링 메시지를 수신하도록 구성된다.
처리 유닛(2003)은 자원 스케줄링 메시지에 기반하여, 적어도 하나의 제2 서비스의 식별자에 대응하는 서비스에 대해 무결성 보호가 활성화되지 않음을 결정하도록 구성된다.
서로 다른 서비스 유형의 서비스는 서로 다른 무결성 보호 요건을 가짐을 알 수 있다. 제1 노드는 제1 서비스의 식별자에 기반하여 무결성 보호를 활성화할지를 판정할 수 있다. 예를 들어, 오디오 노이즈 감소 서비스는 상대적으로 보안 요건이 낮은 서비스이므로, 오디오 노이즈 감소 서비스의 데이터에 대해 무결성 보호를 수행할 필요가 없을 수 있으며, 따라서, 오디오 노이즈 감소 서비스에 대응하는 MAC 길이는 결정되지 않을 수 있다.
가능한 구현에서, 적어도 하나의 서비스 식별자는 적어도 하나의 제1 서비스의 식별자를 포함하고, 적어도 하나의 제1 서비스의 식별자는 제1 서비스 유형에 대응하며, 무결성 보호는 유형이 제1 서비스 유형인 서비스의 데이터에 대해 수행되어야 한다.
처리 유닛(2003)은 추가로, 자원 스케줄링 메시지에 기반하여, 적어도 하나의 제1 서비스의 식별자에 대응하는 서비스에 대해 무결성 보호가 활성화됨을 결정하도록 구성된다.
다른 가능한 구현에서, 자원 스케줄링 메시지는 추가로, 적어도 하나의 제1 서비스의 데이터에 대해 무결성 보호를 수행하기 위한 MAC의 길이를 지시하는 데 사용된다.
각 유닛의 구현에 대해서는 도 11 또는 도 12에 도시된 실시예에서 대응하는 설명을 참조함을 유의해야 한다. 장치(200)는 도 11 또는 도 12에 도시된 실시예에서 제2 노드이다.
도 21은 본 출원의 실시예에 따른 통신 장치(210)의 구조의 개략도이다. 장치(210)는 노드일 수 있거나, 노드 내의 칩 또는 집적 회로와 같은 컴포넌트일 수 있다. 장치(210)는 수신 유닛(2101) 및 처리 유닛(2102)을 포함할 수 있다. 유닛에 대한 설명은 다음과 같다.
수신 유닛(2101)은 제2 노드로부터 연관 요청 메시지를 수신하도록 구성되며, 연관 요청 메시지는 제2 노드가 지원하는 보안 알고리즘에 관한 정보 및 제2 노드의 아이덴티티를 포함한다.
처리 유닛(2102)은 제1 알고리즘 선택 정책에 따라 시그널링 평면의 타깃 보안 알고리즘 및 시그널링 평면의 타깃 MAC 길이를 결정하도록 구성되며, 시그널링 평면의 타깃 보안 알고리즘은 제2 노드가 지원하는 보안 알고리즘에 관한 정보에 의해 지시되는 보안 알고리즘 세트에 속한다.
처리 유닛(2102)은 추가로, 제2 알고리즘 선택 정책 및 제2 노드의 아이덴티티에 기반하여 사용자 평면의 타깃 보안 알고리즘 및 사용자 평면의 타깃 MAC 길이를 결정하도록 구성된다. 사용자 평면의 타깃 보안 알고리즘은 제2 노드가 지원하는 보안 알고리즘에 관한 정보에 의해 지시되는 보안 알고리즘 세트에 속하며, 사용자 평면의 타깃 MAC 길이는 제1 서비스의 데이터에 대해 무결성 보호를 수행하기 위한 MAC의 길이를 지시하는 데 사용된다.
처리 유닛(2102)은 추가로, 시그널링 평면의 타깃 보안 알고리즘을 사용하여 제1 MAC을 생성하도록 구성되고, 제1 MAC의 길이는 시그널링 평면의 타깃 MAC 길이이다.
본 출원의 실시예에서, 상이한 MAC 길이를 결정하기 위해 장치(210)에서 상이한 정책이 구성되어, MAC 길이의 유연성을 향상시킬 수 있다. 또한, 장치(210)는 MAC 길이에 대한 서로 다른 노드 유형의 요건을 충족시키기 위해, 제2 노드의 아이덴티티에 기반하여 사용자 평면의 타깃 보안 알고리즘 및 사용자 평면의 타깃 MAC을 결정할 수 있다. 예를 들어, 중요한 서비스를 처리하는 일부 노드는 보안을 향상시키기 위해 상대적으로 긴 MAC 길이를 사용할 수 있다. 다른 예로, 일부 보조 노드 또는 일반 노드는 상대적으로 짧은 MAC 길이를 사용하여 자원 소모를 감소시키고 통신 효율성을 높일 수 있다.
가능한 구현에서, 처리 유닛(2102)은 구체적으로:
제1 길이 선택 정책 및 제1 알고리즘 선택 정책에 따라 시그널링 평면의 타깃 보안 알고리즘 및 시그널링 평면의 타깃 MAC 길이를 결정하도록 구성된다.
다른 가능한 구현에서, 처리 유닛(2102)은 구체적으로:
제1 알고리즘 선택 정책에 따라 시그널링 평면의 타깃 보안 알고리즘을 결정하고; 그리고
제1 길이 선택 정책 및 시그널링 평면의 타깃 보안 알고리즘에 따라 시그널링 평면의 타깃 MAC 길이를 결정하도록 구성된다.
다른 가능한 구현에서, 처리 유닛(2102)은 구체적으로:
제1 알고리즘 선택 정책에 따라 시그널링 평면의 타깃 보안 알고리즘을 결정하도록 구성되고, 시그널링 평면의 타깃 보안 알고리즘에 대응하는 MAC 길이는 시그널링 평면의 타깃 MAC 길이이다.
다른 가능한 구현에서, 처리 유닛(2102)은 구체적으로:
제2 알고리즘 선택 정책에 따라 사용자 평면의 타깃 보안 알고리즘을 결정하고;
제2 노드의 아이덴티티에 기반하여 제2 길이 선택 정책을 결정하며; 그리고
제2 길이 선택 정책 및 사용자 평면의 타깃 보안 알고리즘에 기반하여 시그널링 평면의 타깃 MAC 길이를 결정하도록 구성된다.
다른 가능한 구현에서, 처리 유닛(2102)은 구체적으로:
제2 알고리즘 선택 정책에 따라 사용자 평면의 타깃 보안 알고리즘을 결정하고; 그리고
사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이 및 제2 노드의 아이덴티티와 MAC 길이 사이의 대응 관계에 기반하여, 제2 노드의 아이덴티티에 대응하는 MAC 길이를 사용자 평면의 타깃 MAC 길이로 결정하도록 구성된다.
다른 가능한 구현에서, 장치는 송신 유닛(2103)을 더 포함한다. 송신 유닛(2103)은 보안 콘텍스트 요청 메시지를 제2 노드에 송신하도록 구성된다. 보안 콘텍스트 요청 메시지는 제1 MAC, 시그널링 평면의 타깃 보안 알고리즘을 지시하는 정보, 사용자 평면의 타깃 보안 알고리즘을 지시하는 정보, 시그널링 평면의 타깃 MAC 길이, 및 사용자 평면의 타깃 MAC 길이를 포함하며, 제1 MAC은 보안 콘텍스트 요청 메시지의 무결성을 검사하는 데 사용된다.
다른 가능한 구현에서, 장치는 송신 유닛(2103)을 더 포함한다. 송신 유닛(2103)은 보안 콘텍스트 요청 메시지를 제2 노드에 송신하도록 구성된다. 보안 콘텍스트 요청 메시지는 제1 MAC, 시그널링 평면의 타깃 보안 알고리즘을 지시하는 정보, 사용자 평면의 타깃 보안 알고리즘을 지시하는 정보, 시그널링 평면의 타깃 MAC 길이, 사용자 평면의 타깃 MAC 길이, 및 제1 아이덴티티 인증 정보를 포함한다. 제1 MAC은 보안 콘텍스트 요청 메시지의 무결성을 검사하는 데 사용되며, 제1 노드와 제2 노드 사이의 공유 키에 기반하여 제1 아이덴티티 인증 정보가 생성된다.
수신 유닛(2101)은 추가로, 제2 노드로부터 보안 콘텍스트 응답 메시지를 수신하도록 구성된다. 보안 콘텍스트 응답 메시지는 제2 아이덴티티 인증 정보 및 제2 MAC을 포함하고, 제2 MAC의 길이는 시그널링 평면의 타깃 MAC 길이이며, 제2 아이덴티티 인증 정보는 제2 노드의 아이덴티티를 검증하는 데 사용되고, 제2 MAC은 보안 콘텍스트 응답 메시지의 무결성을 검사하는 데 사용된다.
다른 가능한 구현에서, 처리 유닛(2102)은 추가로, 시그널링 평면의 타깃 보안 알고리즘 및 제2 MAC에 기반하여 보안 콘텍스트 응답 메시지의 무결성을 검사하도록 구성된다.
처리 유닛(2102)은 추가로, 공유 키에 기반하여 제2 아이덴티티 인증 정보에 대한 검증을 수행하도록 구성된다.
장치는 송신 유닛(2103)을 더 포함한다. 송신 유닛(2103)은 보안 콘텍스트 응답 메시지의 무결성에 대한 검사가 성공하고 제2 아이덴티티 인증 정보에 대한 검증이 성공하면, 연관 구축 메시지를 제2 노드에 송신하도록 구성된다. 연관 구축 메시지는 제1 노드와 연관을 구축하도록 제2 노드에 지시한다.
각 유닛의 구현에 대해서는 도 13에 도시된 실시예에서 대응하는 설명을 참조함을 유의해야 한다. 장치(210)는 도 13에 도시된 실시예에서 제1 노드이다.
도 22는 본 출원의 실시예에 따른 통신 장치(220)의 구조의 개략도이다. 장치(220)는 노드일 수 있거나, 노드 내의 칩 또는 집적 회로와 같은 컴포넌트일 수 있다. 장치(220)는 송신 유닛(2201), 수신 유닛(2202) 및 처리 유닛(2203)를 포함할 수 있다. 유닛에 대한 설명은 다음과 같다.
송신 유닛(2201)은 연관 요청 메시지를 제1 노드에 송신하도록 구성되며, 연관 요청 메시지는 제2 노드가 지원하는 보안 알고리즘에 관한 정보 및 제2 노드의 아이덴티티를 포함한다.
수신 유닛(2202)은 제1 노드로부터 보안 콘텍스트 요청 메시지를 수신하도록 구성되며, 보안 콘텍스트 요청 메시지는 시그널링 평면의 타깃 보안 알고리즘을 지시하는 데 사용되는 정보, 사용자 평면의 타깃 보안 알고리즘을 지시하는 데 사용되는 정보, 시그널링 평면의 타깃 MAC 길이, 사용자 평면의 타깃 MAC 길이, 및 제1 MAC를 포함하고; 시그널링 평면의 타깃 보안 알고리즘과 시그널링 평면의 타깃 MAC 길이는 제1 알고리즘 선택 정책에 대응하고, 시그널링 평면의 타깃 보안 알고리즘은 제2 노드가 지원하는 보안 알고리즘에 관한 정보에 의해 지시되는 보안 알고리즘 세트에 속하고; 사용자 평면의 타깃 보안 알고리즘 및 사용자 평면의 타깃 MAC 길이는 제2 알고리즘 선택 정책 및 제2 노드의 아이덴티티에 대응하고, 사용자 평면의 타깃 보안 알고리즘은 제2 노드가 지원하는 보안 알고리즘에 관한 정보에 의해 지시되는 보안 알고리즘 세트에 속하고; 제1 MAC의 길이는 시그널링 평면의 타깃 MAC 길이이다.
처리 유닛(2203)은 시그널링 평면의 타깃 보안 알고리즘을 사용하여 제1 MAC을 기반으로 보안 콘텍스트 요청 메시지의 무결성을 검사하도록 구성된다.
본 출원의 실시예에서, 상이한 MAC 길이를 결정하기 위해 제1 노드에 상이한 정책이 구성되어, MAC 길이의 유연성을 향상시킬 수 있다. 또한, 제1 노드는 제2 노드의 아이덴티티에 기반하여 사용자 평면의 타깃 보안 알고리즘 및 사용자 평면의 타깃 MAC을 결정할 수 있어, MAC 길이에 대한 서로 다른 유형의 노드의 요건을 충족할 수 있다. 장치(220)는 제1 노드로부터 타깃 MAC 길이를 획득하고, 타깃 MAC 길이를 사용하여 메시지 무결성을 보호한다. 예를 들어, 중요한 서비스를 처리하는 일부 노드는 상대적으로 긴 MAC 길이를 사용하여, 보안을 향상시킬 수 있다. 다른 예로, 일부 보조 노드 또는 일반 노드는 상대적으로 짧은 MAC 길이를 사용하여, 자원 소모를 감소시키고 통신 효율성을 높일 수 있다.
가능한 구현에서, 시그널링 평면의 타깃 보안 알고리즘 및 시그널링 평면의 타깃 MAC 길이는 제1 알고리즘 선택 정책에 따라 결정되고, 시그널링 평면의 타깃 보안 알고리즘은 제2 노드가 지원하는 보안 알고리즘에 관한 정보에 의해 지시되는 보안 알고리즘 세트에 속하며, 시그널링 평면의 타깃 보안 알고리즘에 따라 제1 MAC이 생성된다.
다른 가능한 구현에서, 사용자 평면의 타깃 보안 알고리즘 및 사용자 평면의 타깃 MAC 길이는 제2 알고리즘 선택 정책에 따라 결정되고, 사용자 평면의 타깃 보안 알고리즘은 제2 노드가 지원하는 보안 알고리즘에 관한 정보에 의해 지시되는 보안 알고리즘 세트에 속하며, 시그널링 평면의 타깃 보안 알고리즘에 따라 제1 MAC이 생성된다.
다른 가능한 구현에서, 보안 콘텍스트 요청 메시지는 제1 아이덴티티 인증 정보를 더 포함한다. 처리 유닛(2203)은 추가로: 제2 노드와 제1 노드 사이의 공유 키에 기반하여 제1 아이덴티티 인증 정보에 대한 검증을 수행하도록 구성된다.
처리 유닛(2202)은 추가로, 보안 콘텍스트 요청 메시지의 무결성에 대한 검사가 성공하고 제1 아이덴티티 인증 정보에 대한 검증이 성공하면, 시그널링 평면의 타깃 보안 알고리즘을 사용하여 제2 MAC을 생성하도록 구성된다. 제2 MAC의 길이는 시그널링 평면의 타깃 MAC 길이이다.
수신 유닛(2202)은 추가로, 보안 콘텍스트 응답 메시지를 제1 노드에 송신하도록 구성된다. 보안 콘텍스트 응답 메시지는 제2 MAC 및 제2 아이덴티티 인증 정보를 포함하고, 제2 아이덴티티 인증 정보는 제2 노드와 제1 노드 사이의 공유 키에 기반하여 생성된다.
다른 가능한 구현에서, 수신 유닛(2202)은 추가로, 제1 노드로부터 연관 구축 메시지를 수신하도록 구성된다. 연관 구축 메시지는 제1 노드와 연관을 구축하도록 제2 노드에 지시한다.
각 유닛의 구현에 대해서는 도 13에 도시된 실시예에서 대응하는 설명을 참조함을 유의해야 한다. 장치(220)는 도 13에 도시된 실시예에서 제2 노드이다.
도 23은 본 출원의 실시예에 따른 통신 장치(230)의 구조의 개략도이다. 장치(230)는 노드일 수 있거나 노드 내의 컴포넌트일 수 있다. 장치(230)는 적어도 하나의 메모리(2301) 및 적어도 하나의 프로세서(2302)를 포함할 수 있다. 선택적으로, 장치는 버스(2303)를 더 포함할 수 있다. 선택적으로, 장치는 통신 인터페이스(2304)를 더 포함할 수 있다. 메모리(2301), 프로세서(2302) 및 통신 인터페이스(2304)는 버스(2303)를 통해 연결된다.
메모리(2301)는 저장 공간을 제공하도록 구성되며, 저장 공간은 운영 체제 및 컴퓨터 프로그램과 같은 데이터를 저장할 수 있다. 메모리(2301)는 랜덤 액세스 메모리(random access memory, RAM), 읽기 전용 메모리(read-only memory, ROM), 소거 가능 프로그래밍 가능한 읽기 전용 메모리(erasable programmable read-only memory, EPROM), 컴팩트 디스크 읽기 전용 메모리(compact disc read-only memory, CD-ROM) 등 중 하나 또는 이들의 조합일 수 있다.
프로세서(2302)는 산술 연산 및/또는 논리 연산을 수행하는 모듈이며, 구체적으로 중앙 처리 유닛(central processing unit, CPU), 그래픽 처리 유닛(graphics processing unit, GPU), 마이크로프로세서 유닛(microprocessor unit, MPU), 주문형 집적 회로(Application-Specific Integrated Circuit, ASIC), 필드 프로그래밍 가능한 게이트 어레이(Field Programmable Gate Array, FPGA), 복합 프로그래밍 가능한 로직 디바이스(Complex programmable logic device, CPLD)와 같은 처리 모듈 중 하나 또는 이들의 조합일 수 있다.
통신 인터페이스(2304)는 외부로부터 송신되는 데이터를 수신하거나 및/또는 데이터를 외부로 송신하도록 구성되며, 이더넷 케이블과 같은 유선 링크의 인터페이스일 수도 있고, 무선 링크(Wi-Fi, 블루투스, 등) 인터페이스일 수 있다. 선택적으로, 통신 인터페이스(2304)는 인터페이스에 결합된 송신기(예를 들어, 무선 주파수 송신기 또는 안테나), 수신기 등을 더 포함할 수 있다.
장치(230)의 프로세서(2302)는 메모리(2301)에 저장된 컴퓨터 프로그램을 읽어서 전술한 통신 방법, 예를 들어 도 3, 도 8, 도 11, 도 12, 또는 도 13에 설명된 통신 방법을 수행하도록 구성된다.
예를 들어, 장치(230)의 프로세서(2302)는 메모리(2301)에 저장된 컴퓨터 프로그램을 읽어서, 다음 작동:
통신 인터페이스(2304)를 통해 제2 노드로부터 연관 요청 메시지를 수신하는 작동 - 연관 요청 메시지는 제2 노드가 지원하는 보안 알고리즘에 관한 정보를 포함함 -;
제1 알고리즘 선택 정책에 따라 시그널링 평면의 타깃 보안 알고리즘 및 시그널링 평면의 타깃 MAC 길이를 결정하는 작동 - 시그널링 평면의 타깃 보안 알고리즘은 제2 노드가 지원하는 보안 알고리즘에 관한 정보에 의해 지시된 보안 알고리즘 세트에 속함 -; 및
시그널링 평면의 타깃 보안 알고리즘을 사용하여 제1 MAC을 생성하는 작동 - 제1 MAC의 길이는 시그널링 평면의 타깃 MAC 길이임 - 을 수행하도록 구성된다.
본 출원의 이 실시예에서, 장치(230)는 제2 노드가 지원하는 보안 알고리즘에 관한 정보에 기반하고 그리고 미리 구성 또는 미리 정의된 알고리즘 정책을 사용하여 시그널링 평면의 타깃 보안 알고리즘 및 시그널링 평면의 타깃 MAC 길이를 결정하고, 그런 다음 시그널링 평면의 타깃 MAC 길이를 제1 노드와 제2 노드 사이의 시그널링 메시지의 MAC 길이로 사용한다. 이러한 방식으로, 장치(230)에 구성된 상이한 정책에 기반하여 상이한 MAC 길이가 결정되어, MAC 길이의 유연성을 향상시킬 수 있다. 또한, 알고리즘 선택 정책은 제1 노드의 통신 요건에 기반하여 미리 구성되거나 미리 정의될 수 있다. 예를 들어, 상대적으로 보안성이 높고 MAC 길이가 상대적으로 긴 알고리즘을 우선적으로 선택하여 데이터 보안성을 높일 수 있다.
가능한 구현에서, 프로세서(2302)는 구체적으로, 제1 길이 선택 정책 및 제1 알고리즘 선택 정책에 따라 시그널링 평면의 타깃 보안 알고리즘 및 시그널링 평면의 타깃 MAC 길이를 결정하도록 구성된다.
다른 가능한 구현에서, 프로세서(2302)는 구체적으로:
제1 알고리즘 선택 정책에 따라 시그널링 평면의 타깃 보안 알고리즘을 결정하고; 그리고
제1 길이 선택 정책 및 시그널링 평면의 타깃 보안 알고리즘에 따라 시그널링 평면의 타깃 MAC 길이를 결정하도록 구성된다.
다른 가능한 구현에서, 프로세서(2302)는 구체적으로, 제1 알고리즘 선택 정책에 따라 시그널링 평면의 타깃 보안 알고리즘을 결정하도록 구성되며, 시그널링 평면의 타깃 보안 알고리즘에 대응하는 MAC 길이는 시그널링 평면의 타깃 MAC 길이이다.
다른 가능한 구현에서, 프로세서(2302)는 추가로, 보안 콘텍스트 요청 메시지를 통신 인터페이스(2304)를 통해 제2 노드에 송신하도록 구성되며, 보안 콘텍스트 요청 메시지는 제1 MAC, 시그널링 평면의 타깃 보안 알고리즘을 지시하는 정보, 및 시그널링 평면의 타깃 MAC 길이를 포함하며, 제1 MAC은 보안 콘텍스트 요청 메시지의 무결성을 검사하는 데 사용된다.
장치(230)가 시그널링 평면의 타깃 보안 알고리즘을 지시하는 정보 및 시그널링 평면의 타깃 MAC 길이를 보안 콘텍스트 요청 메시지에 추가하므로, 제2 노드가 보안 콘텍스트 요청 메시지를 사용하여 시그널링 평면의 타깃 보안 알고리즘 및 시그널링 평면의 타깃 MAC 길이를 획득할 수 있음을 알 수 있다. 또한, 보안 콘텍스트 요청 메시지는 보안 콘텍스트 요청 메시지가 공격자에 의해 위조되는 것을 방지하기 위해, 보안 콘텍스트 요청 메시지의 무결성을 검사하기 위해 제2 노드에 의해 사용되는 제1 MAC을 운반할 수 있다.
다른 가능한 구현에서, 프로세서(2302)는 추가로, 보안 콘텍스트 요청 메시지를 통신 인터페이스(2304)를 통해 제2 노드에 송신하도록 구성되며, 보안 콘텍스트 요청 메시지는 제1 MAC 및 시그널링 평면의 타깃 보안 알고리즘을 지시하는 정보를 포함하고, 제1 MAC은 보안 콘텍스트 요청 메시지의 무결성을 검사하는 데 사용되며, 제1 MAC은 추가로, 시그널링 평면의 타깃 MAC 길이를 지시하는 데 사용된다.
다른 가능한 구현에서, 제1 알고리즘 선택 정책에 따라 시그널링 평면의 타깃 보안 알고리즘 및 시그널링 평면의 타깃 MAC 길이를 결정한 후, 프로세서(2302)는 추가로:
통신 인터페이스(2304)를 통해 보안 콘텍스트 요청 메시지를 제2 노드에 송신하고 - 보안 콘텍스트 요청 메시지는 제1 MAC, 시그널링 평면의 타깃 보안 알고리즘을 지시하는 정보, 시그널링 평면의 타깃 MAC 길이, 및 제1 아이덴티티 인증 정보를 포함하고, 제1 MAC은 보안 콘텍스트 요청 메시지의 무결성을 검사하는 데 사용되며, 제1 아이덴티티 인증 정보는 제1 노드와 제2 노드 사이의 공유 키에 기반하여 생성됨 -; 그리고
통신 인터페이스(2304)를 통해 제2 노드로부터 보안 콘텍스트 응답 메시지를 수신하도록 - 보안 콘텍스트 응답 메시지는 제2 아이덴티티 인증 정보 및 제2 MAC을 포함하고, 제2 MAC의 길이는 시그널링 평면의 타깃 MAC 길이이며, 제2 아이덴티티 인증 정보는 제2 노드의 아이덴티티를 검증하는 데 사용되며, 제2 MAC은 보안 콘텍스트 응답 메시지의 무결성을 검사하는 데 사용됨 - 구성된다.
공유 키는 제1 노드와 제2 노드가 공유하는 비밀 값으로, 노드의 아이덴티티를 검증하기 위한 아이덴티티 인증 정보 생성에 사용될 수 있다. 장치(230)는 공유 키를 사용하여 제1 아이덴티티 인증 정보를 생성할 수 있고, 제1 아이덴티티 인증 정보는 제2 노드에 의해 제1 노드의 아이덴티티를 검사하는 데 사용됨을 알 수 있다. 이에 대응하여, 제1 노드도 제2 아이덴티티 인증 정보를 사용하여 제2 노드의 아이덴티티를 검증할 수 있다. 공격자가 제2 노드의 아이덴티티를 위조하여 시그널링 평면의 타깃 보안 알고리즘이나 시그널링 평면의 타깃 MAC 길이를 획득하고자 하면, 공유 키를 위조할 수 없기 때문에 아이덴티티에 대해 장치(230)가 수행한 검증은 성공할 수 없다. 따라서, 제1 노드가 신뢰할 수 없는 노드와 통신하는 것이 방지되고, 제1 노드의 통신 보안이 향상된다.
다른 가능한 구현에서, 프로세서(2302)는 추가로:
시그널링 평면의 타깃 보안 알고리즘 및 제2 MAC에 기반하여 보안 콘텍스트 응답 메시지의 무결성을 검사하고;
공유 키에 기반하여 제2 아이덴티티 인증 정보에 대한 검증을 수행하며; 그리고
보안 콘텍스트 응답 메시지의 무결성에 대한 검사가 성공하고 제2 아이덴티티 인증 정보에 대한 검증이 성공하면, 연관 구축 메시지를 제2 노드에 송신하도록 - 연관 구축 메시지는 제1 노드와 연관을 구축하도록 제2 노드에 지시함 - 구성된다.
다른 가능한 구현에서, 보안 콘텍스트 요청 메시지는 사용자 평면의 타깃 보안 알고리즘을 더 포함한다. 프로세서(2302)는 추가로, 제2 알고리즘 선택 정책에 따라 사용자 평면의 타깃 보안 알고리즘을 결정하도록 구성되며, 사용자 평면의 타깃 보안 알고리즘은 제2 노드가 지원하는 보안 알고리즘에 관한 정보에 의해 지시되는 보안 알고리즘 세트에 속한다.
다른 가능한 구현에서, 프로세서(2302)는 추가로:
제1 서비스의 식별자 및/또는 제1 서비스의 데이터 패킷 크기를 획득하고;
사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이 그리고 제1 서비스의 식별자와 제1 서비스의 데이터 패킷 크기 중 적어도 하나에 기반하여 사용자 평면의 타깃 MAC 길이를 결정하며 - 사용자 평면의 타깃 MAC 길이는 제1 서비스의 데이터에 대한 무결성 보호를 수행하기 위한 MAC의 길이를 지시하는 데 사용됨 -; 그리고
통신 인터페이스(2304)를 통해 자원 스케줄링 메시지를 제2 노드에 송신하도록 - 자원 스케줄링 메시지는 사용자 평면의 타깃 MAC 길이를 포함함 - 구성된다.
사용자 평면의 보안 알고리즘이 지원하는 MAC 길이, 제1 서비스의 식별자 및 제1 서비스의 데이터 패킷 크기에 기반하여, 사용자 평면의 타깃 MAC 길이가 결정될 수 있음을 알 수 있다. 상이한 서비스 또는 상이한 데이터 패킷 크기를 갖는 서비스에 대해 상이한 MAC 길이가 결정될 수 있다. 이는 MAC 길이의 유연성을 향상시킨다. 상대적으로 보안성이 높은 서비스의 경우, 상대적으로 긴 MAC 길이를 사용할 수 있으므로, 크랙되는 것이 어렵고 데이터 보안이 향상된다.
각 유닛의 구현에 대해서는 도 3에 도시된 실시예에서 대응하는 설명을 참조함을 유의해야 한다. 장치(230)는 도 3에 도시된 실시예에서 제1 노드이다.
도 24는 본 출원의 실시예에 따른 통신 장치(240)의 구조의 개략도이다. 장치(240)는 노드일 수 있거나, 노드 내의 컴포넌트일 수 있다. 장치(240)는 적어도 하나의 메모리(2401) 및 적어도 하나의 프로세서(2402)를 포함할 수 있다. 선택적으로, 장치는 버스(2403)를 더 포함할 수 있다. 선택적으로, 장치는 통신 인터페이스(2404)를 더 포함할 수 있다. 메모리(2401), 프로세서(2402) 및 통신 인터페이스(2404)는 버스(2403)를 통해 연결된다.
메모리(2401)는 저장 공간을 제공하도록 구성되며, 저장 공간은 운영 체제 및 컴퓨터 프로그램과 같은 데이터를 저장할 수 있다. 메모리(2401)는 RAM, ROM, EPROM, CD-ROM 등 중 하나 또는 이들의 조합일 수 있다.
프로세서(2402)는 산술 연산 및/또는 논리 연산을 수행하는 모듈로서, 구체적으로 CPU, GPU, MPU, ASIC, FPGA, CPLD 등과 같은 처리 모듈 중 하나 또는 이들의 조합일 수 있다.
통신 인터페이스(2404)는 외부로부터 송신되는 데이터를 수신하거나 및/또는 데이터를 외부로 송신하도록 구성되며, 이더넷 케이블과 같은 유선 링크의 인터페이스일 수도 있고, 무선 링크(Wi-Fi, 블루투스, 등) 인터페이스일 수 있다. 선택적으로, 통신 인터페이스(2404)는 인터페이스에 결합된 송신기(예를 들어, 무선 주파수 송신기 또는 안테나), 수신기 등을 더 포함할 수 있다.
장치(240)의 프로세서(2402)는 메모리(2401)에 저장된 컴퓨터 프로그램을 읽어서 전술한 통신 방법, 예를 들어 도 3에 설명된 통신 방법을 수행하도록 구성된다.
예를 들어, 장치(240)의 프로세서(2402)는 메모리(2401)에 저장된 컴퓨터 프로그램을 읽어서, 다음 작동:
통신 인터페이스(2404)를 통해 연관 요청 메시지를 제1 노드에 송신하는 작동 - 연관 요청 메시지는 제2 노드가 지원하는 보안 알고리즘에 관한 정보를 포함함 -;
통신 인터페이스(2404)를 통해 제1 노드로부터 보안 콘텍스트 요청 메시지를 수신하는 작동 - 보안 콘텍스트 요청 메시지는 시그널링 평면의 타깃 보안 알고리즘을 지시하는 데 사용되는 정보, 시그널링 평면의 타깃 MAC 길이 및 제1 MAC을 포함하고, 시그널링 평면의 타깃 보안 알고리즘과 시그널링 평면의 타깃 MAC 길이는 제1 알고리즘 선택 정책에 대응하며, 시그널링 평면의 타깃 보안 알고리즘은 제2 노드가 지원하는 보안 알고리즘에 관한 정보에 의해 지시되는 보안 알고리즘 세트에 속함 - 을 수행하도록 구성된다.
본 출원의 이 실시예에서, 장치(240)는 제2 노드가 지원하는 보안 알고리즘에 관한 정보를 제1 노드에 송신한다. 제1 노드는 제2 노드가 지원하는 보안 알고리즘에 관한 정보에 기반하고 그리고 미리 구성 또는 미리 정의된 알고리즘 정책을 사용하여, 시그널링 평면의 타깃 보안 알고리즘과 시그널링 평면의 타깃 MAC 길이를 결정하고, 그런 다음 시그널링 평면의 타깃 MAC 길이를 제1 노드와 제2 노드 사이의 시그널링 메시지의 MAC 길이로 사용한다. 이러한 방식으로, 장치(240)에 구성된 상이한 정책에 기반하여 상이한 MAC 길이가 결정되어, MAC 길이의 유연성을 향상시킬 수 있다. 예를 들어, 제2 노드가 지원하는 알고리즘 중에서 상대적으로 보안성이 높은 알고리즘을 선택하고, 상대적으로 긴 MAC 길이를 추가로 선택하여 데이터 보안성을 높일 수 있다.
가능한 구현에서, 보안 콘텍스트 요청 메시지는 제1 MAC을 포함하고, 제1 MAC의 길이는 시그널링 평면의 타깃 MAC 길이이다. 프로세서(2402)는 구체적으로, 시그널링 평면의 타깃 보안 알고리즘을 사용하여 제1 MAC을 기반으로, 보안 콘텍스트 요청 메시지의 무결성을 검사하도록 구성된다.
가능한 구현에서, 제1 MAC은 시그널링 평면의 타깃 MAC 길이를 지시하는 데 사용되는 정보이다.
가능한 구현에서, 시그널링 평면의 타깃 보안 알고리즘 및 시그널링 평면의 타깃 MAC 길이는 제1 알고리즘 선택 정책에 따라 결정되고, 제1 MAC은 시그널링 평면의 타깃 보안 알고리즘에 따라 생성된다.
다른 가능한 구현에서, 보안 콘텍스트 요청 메시지는 제1 아이덴티티 인증 정보를 더 포함한다. 프로세서(2402)는 추가로:
제2 노드와 제1 노드 사이의 공유 키에 기반하여 제1 아이덴티티 인증 정보에 대한 검증을 수행하고;
보안 콘텍스트 요청 메시지에 대한 무결성 검사가 성공하고 제1 아이덴티티 인증 정보에 대한 검증이 성공하면, 시그널링 평면의 타깃 보안 알고리즘을 사용하여 제2 MAC을 생성하며 - 제2 MAC의 길이는 시그널링 평면의 타깃 MAC 길이임 -; 그리고
보안 콘텍스트 응답 메시지를 통신 인터페이스(2404)를 통해 제1 노드에 송신하도록 - 보안 콘텍스트 응답 메시지는 제2 MAC 및 제2 아이덴티티 인증 정보를 포함하고, 제2 아이덴티티 인증 정보는 제2 노드와 제1 노드 사이의 공유 키에 기반하여 생성됨 - 구성된다.
다른 가능한 구현에서, 프로세서(2402)는 추가로, 통신 인터페이스(2404)를 통해 제1 노드로부터 연관 구축 메시지를 수신하도록 구성된다. 연관 구축 메시지는 제1 노드와 연관을 구축하도록 제2 노드에 지시한다.
다른 가능한 구현에서, 보안 콘텍스트 요청 메시지는 사용자 평면의 타깃 보안 알고리즘을 지시하는 정보를 더 포함하고, 사용자 평면의 타깃 보안 알고리즘은 제2 알고리즘 선택 정책에 대응하고, 사용자 평면의 타깃 보안 알고리즘은 제2 노드가 지원하는 보안 알고리즘에 관한 정보에 의해 지시되는 보안 알고리즘 세트에 속한다. 이 방법은 추가로:
통신 인터페이스(2404)를 통해 제1 노드로부터 자원 스케줄링 메시지를 수신하는 단계 - 자원 스케줄링 메시지는 사용자 평면의 타깃 MAC 길이를 포함하고, 사용자 평면의 타깃 MAC 길이는 사용자 평면의 타깃 보안 알고리즘 그리고 제1 서비스의 식별자와 제1 서비스의 데이터 패킷 크기 중 적어도 하나에 대응하며, 사용자 평면의 타깃 MAC 길이는 제1 서비스의 데이터에 대해 무결성 보호를 수행하기 위한 MAC의 길이를 지시하는 데 사용됨 - 를 포함한다.
상이한 서비스 또는 상이한 데이터 패킷 크기의 서비스에 대해 상이한 MAC 길이가 결정되어, MAC 길이의 유연성을 향상시킬 수 있음을 알 수 있다. 상대적으로 보안성이 높은 서비스의 경우, 상대적으로 긴 MAC 길이를 사용할 수 있으므로, 크랙되는 것이 어렵고 데이터 보안이 향상된다.
또한, 제1 노드는 사용자 평면의 타깃 보안 알고리즘을 지시하는 정보 및 사용자 평면의 타깃 MAC 길이를 자원 스케줄링 메시지에 추가하므로, 장치(240)가 자원 스케줄링 메시지를 사용하여 사용자 평면의 타깃 보안 알고리즘 및 사용자 평면의 타깃 MAC 길이를 획득할 수 있다.
각 유닛의 구현에 대해서는 도 3에 도시된 실시예에서 대응하는 설명을 참조함을 유의해야 한다. 장치(240)는 도 3에 도시된 실시예에서 제2 노드이다.
도 25는 본 출원의 실시예에 따른 통신 장치(250)의 구조의 개략도이다. 장치(250)는 노드일 수 있거나, 노드 내의 컴포넌트일 수 있다. 장치(250)는 적어도 하나의 메모리(2501) 및 적어도 하나의 프로세서(2502)를 포함할 수 있다. 선택적으로, 장치는 버스(2503)를 더 포함할 수 있다. 선택적으로, 장치는 통신 인터페이스(2504)를 더 포함할 수 있다. 메모리(2501), 프로세서(2502) 및 통신 인터페이스(2504)는 버스(2503)를 통해 연결된다.
메모리(2501)는 저장 공간을 제공하도록 구성되며, 저장 공간은 운영 체제 및 컴퓨터 프로그램과 같은 데이터를 저장할 수 있다. 메모리(2501)는 RAM, ROM, EPROM, CD-ROM 등 중 하나 또는 조합일 수 있다.
프로세서(2502)는 산술 연산 및/또는 논리 연산을 수행하는 모듈로서, 구체적으로 CPU, GPU, MPU, ASIC, FPGA, CPLD 등과 같은 처리 모듈 중 하나 또는 이들의 조합일 수 있다.
통신 인터페이스(2504)는 외부로부터 송신되는 데이터를 수신하거나 및/또는 데이터를 외부로 송신하도록 구성되며, 이더넷 케이블과 같은 유선 링크의 인터페이스일 수도 있고, 무선 링크(Wi-Fi, 블루투스, 등) 인터페이스일 수 있다. 선택적으로, 통신 인터페이스(2504)는 인터페이스에 결합된 송신기(예를 들어, 무선 주파수 송신기 또는 안테나), 수신기 등을 더 포함할 수 있다.
장치(250)의 프로세서(2502)는 메모리(2501)에 저장된 컴퓨터 프로그램을 읽어서 전술한 통신 방법, 예를 들어 도 8에 설명된 통신 방법을 수행하도록 구성된다.
예를 들어, 장치(250)의 프로세서(2502)는 메모리(2501)에 저장된 컴퓨터 프로그램을 읽어서, 다음 작동:
통신 인터페이스(2504)를 통해 제2 노드로부터 서비스 속성 보고 응답 메시지를 수신하는 작동 - 서비스 속성 보고 응답 메시지는 제1 서비스의 식별자 및/또는 제1 서비스의 데이터 패킷 크기를 포함함 -; 및
사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이 그리고 제1 서비스의 식별자와 제1 서비스의 데이터 패킷 크기 중 적어도 하나에 기반하여. 사용자 평면의 타깃 MAC 길이를 결정하는 작동 - 사용자 평면의 타깃 MAC 길이는 제1 서비스의 데이터에 대한 무결성 보호를 수행하기 위한 MAC의 길이를 지시하는 데 사용됨 - 을 수행하도록 구성된다.
본 출원의 이 실시예에서, 장치(250)는 사용자 평면의 보안 알고리즘이 지원하는 MAC 길이, 제1 서비스의 식별자, 및 제1 서비스의 데이터 패킷 크기에 기반하여 사용자 평면의 타깃 MAC 길이를 결정하고, 그런 다음 사용자 평면의 타깃 MAC 길이를 제1 서비스를 처리하기 위해 사용되는 메시지의 MAC 길이로 사용한다. 이러한 방식으로, 상이한 서비스 또는 상이한 데이터 패킷 크기의 서비스에 대해 상이한 MAC 길이를 결정할 수 있어, MAC 길이의 유연성을 향상시킬 수 있다. 상대적으로 보안성이 높은 서비스의 경우, 상대적으로 긴 MAC 길이를 사용할 수 있으므로, 크랙되는 것이 어렵고 데이터 보안이 향상된다. 또한 프라이버시 요건이 높지 않거나 데이터 패킷이 상대적으로 작은 일부 메시지의 경우, 상대적으로 짧은 MAC 길이를 사용하여, 네트워크 전송 중에 통신 효율성에 영향을 미치는 것을 방지하고 자원 소비를 감소시킬 수 있다.
가능한 구현에서, 프로세서(2502)는 구체적으로, 사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이 및 제1 서비스의 식별자에 기반하여 사용자 평면의 타깃 MAC 길이를 결정하거나; 또는
사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이 및 제1 서비스의 데이터 패킷 크기에 기반하여 사용자 평면의 타깃 MAC 길이를 결정하도록 구성된다.
다른 가능한 구현에서, 프로세서(2502)는 구체적으로:
사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이 및 제1 서비스의 식별자와 MAC 길이 사이의 대응 관계에 기반하여, 제1 서비스의 식별자에 대응하는 MAC 길이를 사용자 평면의 타깃 MAC 길이로 결정하거나; 또는
사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이 및 제1 서비스의 데이터 패킷 크기와 MAC 길이 사이의 대응 관계에 기반하여, 제1 서비스의 데이터 패킷 크기에 대응하는 MAC 길이를 사용자 평면의 타깃 MAC 길이로 결정하도록 구성된다.
다른 가능한 구현에서, 사용자 평면의 타깃 보안 알고리즘 그리고 제1 서비스의 식별자와 제1 서비스의 데이터 패킷 크기 중 적어도 하나에 기반하여 사용자 평면의 타깃 MAC 길이를 결정하는 것은:
제1 서비스의 식별자 및/또는 제1 서비스의 데이터 패킷 크기에 기반하여 제2 길이 선택 정책을 결정하는 것; 및
제2 길이 선택 정책 및 사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이에 기반하여 사용자 평면의 타깃 MAC 길이를 결정하는 것을 포함한다.
다른 가능한 구현에서, 제1 서비스의 식별자는 제1 서비스 유형에 대응하고, 유형이 제1 서비스 유형인 서비스의 데이터에 대해 무결성 보호가 수행되어야 한다.
서로 다른 서비스 유형의 서비스는 서로 다른 무결성 보호 요건을 갖는다. 제1 노드는 제1 서비스의 식별자에 기반하여 무결성 보호를 활성화할지를 판정할 수 있고, 무결성 보호가 활성화되어야 하는 서비스에 대해서만 사용자 평면의 대응하는 타깃 MAC을 생성할 수 있으며, 따라서, 서로 다른 서비스의 보안 요건을 충족할 수 있다. 예를 들어, 비디오 업로드 서비스는 상대적으로 보안 요건이 높은 서비스이므로 비디오 업로드 서비스의 데이터에 대해 무결성 보호가 수행되어야 하며, 따라서, 이 서비스의 데이터를 보호하기 위해 사용되는 MAC의 길이가 결정되어야 한다.
다른 가능한 구현에서, 프로세서(2502)는 추가로, 통신 인터페이스(2504)를 통해 자원 스케줄링 메시지를 제2 노드에 송신하도록 구성되며, 자원 스케줄링 메시지는 사용자 평면의 타깃 MAC 길이를 포함한다.
가능한 구현에서, 방법은:
사용자 평면의 타깃 보안 알고리즘을 사용하여 제3 MAC을 생성하는 단계 - 제3 MAC의 길이는 사용자 평면의 타깃 MAC 길이이고, 제3 MAC은 제1 서비스의 데이터에 대한 무결성 보호를 수행하는 데 사용됨 - 를 더 포함한다.
다른 가능한 구현에서, 프로세서(2502)는 추가로:
제2 노드가 지원하는 보안 알고리즘에 관한 정보를 획득하고;
제1 알고리즘 선택 정책에 따라 시그널링 평면의 타깃 보안 알고리즘 및 시그널링 평면의 타깃 MAC 길이를 결정하며 - 시그널링 평면의 타깃 보안 알고리즘은 제2 노드가 지원하는 보안 알고리즘에 관한 정보에 의해 지시된 보안 알고리즘 세트에 속함 -;
시그널링 평면의 타깃 보안 알고리즘을 사용하여 제4 MAC을 생성하고 - 제4 MAC의 길이는 시그널링 평면의 타깃 MAC 길이임 -; 그리고
통신 인터페이스(2504)를 통해 자원 스케줄링 메시지를 제2 노드에 송신하도록 - 자원 스케줄링 메시지는 제4 MAC 및 사용자 평면의 타깃 MAC 길이를 포함하고, 제4 MAC은 자원 스케줄링 메시지에 대한 무결성 보호를 수행하는 데 사용됨 - 구성된다.
다른 가능한 구현에서, 프로세서(2502)는 추가로, 제2 알고리즘 선택 정책에 따라 사용자 평면의 타깃 보안 알고리즘을 결정하도록 구성되며, 사용자 평면의 타깃 보안 알고리즘은 제2 노드가 지원하는 보안 알고리즘에 관한 정보에 의해 지시된 보안 알고리즘 세트에 속한다.
각 유닛의 구현에 대해서는 도 8에 도시된 실시예에서 대응하는 설명을 참조함을 유의해야 한다. 장치(250)는 도 8에 도시된 실시예에서 제1 노드이다.
도 26은 본 출원의 실시예에 따른 통신 장치(260)의 구조의 개략도이다. 장치(260)는 노드일 수 있거나 노드 내의 컴포넌트일 수 있다. 장치(260)는 적어도 하나의 메모리(2601) 및 적어도 하나의 프로세서(2602)를 포함할 수 있다. 선택적으로, 장치는 버스(2603)를 더 포함할 수 있다. 선택적으로, 장치는 통신 인터페이스(2604)를 더 포함할 수 있다. 메모리(2601), 프로세서(2602) 및 통신 인터페이스(2604)는 버스(2603)를 통해 연결된다.
메모리(2601)는 저장 공간을 제공하도록 구성되며, 저장 공간은 운영 체제 및 컴퓨터 프로그램과 같은 데이터를 저장할 수 있다. 메모리(2601)는 RAM, ROM, EPROM, CD-ROM 등 중 하나 또는 조합일 수 있다.
프로세서(2602)는 산술 연산 및/또는 논리 연산을 수행하는 모듈로서, 구체적으로 CPU, GPU, MPU, ASIC, FPGA, CPLD 등과 같은 처리 모듈 중 하나 또는 이들의 조합일 수 있다.
통신 인터페이스(2604)는 외부로부터 송신되는 데이터를 수신하거나 및/또는 데이터를 외부로 송신하도록 구성되며, 이더넷 케이블과 같은 유선 링크의 인터페이스일 수도 있고, 무선 링크(Wi-Fi, 블루투스, 등) 인터페이스일 수 있다. 선택적으로, 통신 인터페이스(2604)는 인터페이스에 결합된 송신기(예를 들어, 무선 주파수 송신기 또는 안테나), 수신기 등을 더 포함할 수 있다.
장치(260)의 프로세서(2602)는 메모리(2601)에 저장된 컴퓨터 프로그램을 읽어서 전술한 통신 방법, 예를 들어 도 8에 설명된 통신 방법을 수행하도록 구성된다.
예를 들어, 장치(260)의 프로세서(2602)는 메모리(2601)에 저장된 컴퓨터 프로그램을 읽어서, 다음 작동:
통신 인터페이스(2604)를 통해 서비스 속성 보고 응답 메시지를 제1 노드에 송신하는 작동 - 서비스 속성 보고 응답 메시지는 제1 서비스의 식별자 및/또는 제1 서비스의 데이터 패킷 크기를 포함함 -; 및
통신 인터페이스(2604)를 통해 제1 노드로부터 자원 스케줄링 메시지를 수신하는 작동 - 자원 스케줄링 메시지는 사용자 평면의 타깃 MAC 길이를 포함하고, 사용자 평면의 타깃 MAC 길이는 사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이이며, 사용자 평면의 타깃 MAC 길이는 제1 서비스의 식별자 및 제1 서비스의 데이터 패킷 크기 중 적어도 하나에 대응하고, 사용자 평면의 타깃 MAC 길이는 제1 서비스의 데이터에 대해 무결성 보호를 수행하기 위한 MAC의 길이를 지시하는 데 사용됨 - 을 수행하도록 구성된다.
이 실시예에서, 서로 다른 서비스 유형의 서비스는 서로 다른 무결성 보호 요건을 갖는다. 장치(260)는 제1 서비스의 식별자에 기반하여 무결성 보호를 활성화할지를 판정할 수 있다. 예를 들어, 오디오 노이즈 감소 서비스는 상대적으로 보안 요건이 낮은 서비스이므로, 오디오 노이즈 감소 서비스의 데이터에 대해 무결성 보호를 수행할 필요가 없을 수 있다.
또한, 제1 노드는 지시 정보를 자원 스케줄링 메시지에 추가할 수 있으므로, 제2 노드는 지시 정보에 기반하여, 서비스에 대해 무결성 보호가 활성화되는지를 판정할 수 있다.
가능한 구현에서, 사용자 평면의 타깃 MAC 길이는 사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이 그리고 제1 서비스의 식별자와 제1 서비스의 데이터 패킷 크기 중 적어도 하나에 기반하여 결정된다.
다른 가능한 구현에서, 제1 서비스의 식별자는 제1 서비스 유형에 대응하고, 유형이 제1 서비스 유형인 서비스의 데이터에 대해 무결성 보호가 수행되어야 한다.
서로 다른 서비스 유형의 서비스는 서로 다른 무결성 보호 요건을 갖는다. 제1 노드는 제1 서비스의 식별자에 기반하여 무결성 보호를 활성화할지를 판정할 수 있고, 무결성 보호가 활성화되어야 하는 서비스에 대해서만 사용자 평면의 대응하는 타깃 MAC을 생성할 수 있으며, 따라서, 서로 다른 서비스의 보안 요건을 충족할 수 있다. 예를 들어, 비디오 업로드 서비스는 상대적으로 보안 요건이 높은 서비스이므로, 비디오 업로드 서비스의 데이터에 대해 무결성 보호가 수행되어야 하며, 따라서, 이 서비스의 데이터를 보호하기 위해 사용되는 MAC의 길이가 결정되어야 한다.
다른 가능한 구현에서, 사용자 평면의 타깃 보안 알고리즘은 제2 알고리즘 선택 정책에 대응하고, 사용자 평면의 타깃 보안 알고리즘은 제2 노드가 지원하는 보안 알고리즘에 관한 정보에 의해 지시되는 보안 알고리즘 세트에 속한다.
다른 가능한 구현에서, 자원 스케줄링 메시지는 제4 MAC을 더 포함하고, 프로세서(2602)는 추가로, 사용자 평면의 타깃 보안 알고리즘을 사용하여 제4 MAC을 기반으로, 자원 스케줄링 메시지의 메시지 무결성을 검사하도록 구성된다.
각 유닛의 구현에 대해서는 도 8에 도시된 실시예에서 대응하는 설명을 참조함을 유의해야 한다. 장치(260)는 도 8에 도시된 실시예에서 제2 노드이다.
도 27은 본 출원의 실시예에 따른 통신 장치(270)의 구조의 개략도이다. 장치(270)는 노드일 수 있거나 노드 내의 컴포넌트일 수 있다. 장치(270)는 적어도 하나의 메모리(2701) 및 적어도 하나의 프로세서(2702)를 포함할 수 있다. 선택적으로, 장치는 버스(2703)를 더 포함할 수 있다. 선택적으로, 장치는 통신 인터페이스(2704)를 더 포함할 수 있다. 메모리(2701), 프로세서(2702) 및 통신 인터페이스(2704)는 버스(2703)를 통해 연결된다.
메모리(2601)는 저장 공간을 제공하도록 구성되며, 저장 공간은 운영 체제 및 컴퓨터 프로그램과 같은 데이터를 저장할 수 있다. 메모리(2701)는 RAM, ROM, EPROM, CD-ROM 등 중 하나 또는 조합일 수 있다.
프로세서(2702)는 산술 연산 및/또는 논리 연산을 수행하는 모듈로서, 구체적으로 CPU, GPU, MPU, ASIC, FPGA, CPLD 등과 같은 처리 모듈 중 하나 또는 이들의 조합일 수 있다.
통신 인터페이스(2704)는 외부로부터 송신되는 데이터를 수신하거나 및/또는 데이터를 외부로 송신하도록 구성되며, 이더넷 케이블과 같은 유선 링크의 인터페이스일 수도 있고, 무선 링크(Wi-Fi, 블루투스, 등) 인터페이스일 수 있다. 선택적으로, 통신 인터페이스(2704)는 인터페이스에 결합된 송신기(예를 들어, 무선 주파수 송신기 또는 안테나), 수신기 등을 더 포함할 수 있다.
장치(270)의 프로세서(2702)는 메모리(2701)에 저장된 컴퓨터 프로그램을 읽어서 전술한 통신 방법, 예를 들어 도 8에 설명된 통신 방법을 수행하도록 구성된다.
예를 들어, 장치(270)의 프로세서(2702)는 메모리(2701)에 저장된 컴퓨터 프로그램을 읽어서 다음 작동:
통신 인터페이스(2704)를 통해 서비스 속성 보고 응답 메시지를 제1 노드에 송신하는 작동 - 서비스 속성 보고 응답 메시지는 제1 서비스의 식별자 및/또는 제1 서비스의 데이터 패킷 크기를 포함함 -; 및
사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이 그리고 제1 서비스의 식별자와 제1 서비스의 데이터 패킷 크기 중 적어도 하나에 기반하여, 사용자 평면의 타깃 MAC 길이를 결정하는 작동 - 사용자 평면의 타깃 MAC 길이는 제1 서비스의 데이터에 대한 무결성 보호를 수행하기 위한 MAC의 길이를 지시하는 데 사용됨 - 을 수행하도록 구성된다.
제1 노드와 동일한 사용자 평면의 타깃 MAC 길이를 결정하는 방법이 장치(270)에 구성되어 있다. 따라서, 장치(270)는 사용자 평면의 보안 알고리즘이 지원하는 MAC 길이와 제1 서비스의 식별자 및/또는 제1 서비스의 데이터 패킷 크기에 기반하여 사용자 평면의 타깃 MAC 길이를 결정하고, 그런 다음 사용자 평면의 타깃 MAC 길이를 제1 서비스를 처리하는 데 사용되는 메시지의 MAC 길이로 사용할 수 있다. 이러한 방식으로, 상이한 서비스 또는 상이한 데이터 패킷 크기의 서비스에 대해 상이한 MAC 길이를 결정할 수 있어, MAC 길이의 유연성을 향상시킬 수 있다.
그러나, 사용자 평면의 타깃 MAC 길이를 결정하는 방법은 장치(270)와 제1 노드 모두에 동일하게 구성되어 있으므로, 제1 노드는 특정 방식으로 사용자 평면의 타깃 MAC 길이를 결정하며, 따라서 장치(270)도 동일한 방식으로 사용자 평면의 타깃 MAC 길이를 결정한다. 이러한 방식으로, 노드는 타깃 MAC 길이를 피어 노드에 송신할 필요가 없어서 네트워크 자원을 절약할 수 있다.
가능한 구현에서, 프로세서(2702)는 구체적으로:
사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이 및 제1 서비스의 식별자(identifier, ID)와 MAC 길이 사이의 대응 관계에 기반하여, 제1 서비스의 ID에 대응하는 MAC 길이를 사용자 평면의 타깃 MAC 길이로서 결정하거나; 또는
사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이 및 제1 서비스의 데이터 패킷 크기와 MAC 길이 사이의 대응 관계에 기반하여, 제1 서비스의 데이터 패킷 크기에 대응하는 MAC 길이를 사용자 평면의 타깃 MAC 길이로 결정하도록 구성된다.
가능한 구현에서 프로세서(2702)는 구체적으로:
사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이 및 제1 서비스의 식별자에 기반하여 사용자 평면의 타깃 MAC 길이를 결정하거나; 또는
사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이 및 제1 서비스의 데이터 패킷 크기에 기반하여 사용자 평면의 타깃 MAC 길이를 결정하도록 구성된다.
다른 가능한 구현에서, 프로세서(2702)는 구체적으로:
제1 서비스의 ID 및/또는 제1 서비스의 데이터 패킷 크기에 기반하여 제2 길이 선택 정책을 결정하고; 그리고
제2 길이 선택 정책 및 사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이에 기반하여 사용자 평면의 타깃 MAC 길이를 결정하도록 구성된다.
다른 가능한 구현에서, 제1 서비스의 식별자는 제1 서비스 유형에 대응하고, 유형이 제1 서비스 유형인 서비스의 데이터에 대해 무결성 보호가 수행되어야 한다.
서로 다른 서비스 유형의 서비스는 서로 다른 무결성 보호 요건을 갖는다. 제1 노드는 제1 서비스의 식별자에 기반하여 무결성 보호를 활성화할지를 판정할 수 있고, 무결성 보호가 활성화되어야 하는 서비스에 대해서만 사용자 평면의 대응하는 타깃 MAC을 생성할 수 있으며, 따라서, 서로 다른 서비스의 보안 요건을 충족할 수 있다. 예를 들어, 비디오 업로드 서비스는 상대적으로 보안 요건이 높은 서비스이므로, 비디오 업로드 서비스의 데이터에 대해 무결성 보호가 수행되어야 하며, 따라서, 이 서비스의 데이터를 보호하기 위해 사용되는 MAC의 길이가 결정되어야 한다.
다른 가능한 구현에서, 사용자 평면의 타깃 보안 알고리즘은 제2 알고리즘 선택 정책에 대응하고, 사용자 평면의 타깃 보안 알고리즘은 제2 노드가 지원하는 보안 알고리즘에 관한 정보에 의해 지시되는 보안 알고리즘 세트에 속한다.
각 유닛의 구현에 대해서는 도 8에 도시된 실시예에서 대응하는 설명을 참조함을 유의해야 한다. 장치(270)는 도 8에 도시된 실시예에서 제2 노드이다.
도 28은 본 출원의 실시예에 따른 통신 장치(280)의 구조의 개략도이다. 장치(280)는 노드일 수 있거나 노드 내의 컴포넌트일 수 있다. 장치(280)는 적어도 하나의 메모리(2801) 및 적어도 하나의 프로세서(2802)를 포함할 수 있다. 선택적으로, 장치는 버스(2803)를 더 포함할 수 있다. 선택적으로, 장치는 통신 인터페이스(2804)를 더 포함할 수 있다. 메모리(2801), 프로세서(2802) 및 통신 인터페이스(2804)는 버스(2803)를 통해 연결된다.
메모리(2801)는 저장 공간을 제공하도록 구성되며, 저장 공간은 운영 체제 및 컴퓨터 프로그램과 같은 데이터를 저장할 수 있다. 메모리(2801)는 RAM, ROM, EPROM, CD-ROM 등 중 하나 또는 조합일 수 있다.
프로세서(2802)는 산술 연산 및/또는 논리 연산을 수행하는 모듈로서, 구체적으로 CPU, GPU, MPU, ASIC, FPGA, CPLD 등과 같은 처리 모듈 중 하나 또는 이들의 조합일 수 있다.
통신 인터페이스(2804)는 외부로부터 송신되는 데이터를 수신하거나 및/또는 데이터를 외부로 송신하도록 구성되며, 이더넷 케이블과 같은 유선 링크의 인터페이스일 수도 있고, 무선 링크(Wi-Fi, 블루투스, 등) 인터페이스일 수 있다. 선택적으로, 통신 인터페이스(2804)는 인터페이스에 결합된 송신기(예를 들어, 무선 주파수 송신기 또는 안테나), 수신기 등을 더 포함할 수 있다.
장치(280)의 프로세서(2802)는 메모리(2801)에 저장된 컴퓨터 프로그램을 읽어서 전술한 통신 방법, 예를 들어 도 11 또는 도 12에 설명된 통신 방법을 수행하도록 구성된다.
예를 들어, 장치(280)의 프로세서(2802)는 메모리(2801)에 저장된 컴퓨터 프로그램을 읽어서 다음 작동:
통신 인터페이스(2804)를 통해 제2 노드로부터 서비스 속성 보고 응답 메시지를 수신하는 작동 - 서비스 속성 보고 응답 메시지는 적어도 하나의 서비스 식별자를 포함하고, 적어도 하나의 서비스 식별자는 적어도 하나의 제2 서비스의 식별자를 포함하며, 적어도 하나의 제2 서비스의 식별자는 제2 서비스 유형에 대응하고, 유형이 제2 서비스 유형인 서비스의 데이터에 대해 무결성 보호가 수행될 필요가 없음 -; 및
통신 인터페이스(2804)를 통해 자원 스케줄링 메시지를 제2 노드에 송신하는 작동 - 자원 스케줄링 메시지는 적어도 하나의 제2 서비스의 식별자에 대응하는 서비스에 대해 무결성 보호가 활성화되지 않음을 지시하는 데 사용됨 - 을 수행하도록 구성된다.
서로 다른 서비스 유형의 서비스는 서로 다른 무결성 보호 요건을 가짐을 알 수 있다. 장치는 제1 서비스의 식별자에 기반하여 무결성 보호를 활성화할지를 판정할 수 있다. 예를 들어, 오디오 노이즈 감소 서비스는 상대적으로 보안 요건이 낮은 서비스이므로, 오디오 노이즈 감소 서비스의 데이터에 대해 무결성 보호를 수행할 필요가 없을 수 있으며, 따라서, 오디오 노이즈 감소 서비스에 대응하는 MAC 길이는 결정되지 않을 수 있다.
또한, 제1 노드는 지시 정보를 자원 스케줄링 메시지에 추가하므로, 제2 노드는 지시 정보에 기반하여, 서비스에 대해 무결성 보호가 활성화되는지를 판정할 수 있다.
가능한 구현에서, 적어도 하나의 서비스 식별자는 적어도 하나의 제1 서비스의 식별자를 포함하고, 적어도 하나의 제1 서비스의 식별자는 제1 서비스 유형에 대응하며, 무결성 보호는 유형이 제1 서비스 유형인 서비스의 데이터에 대해 수행되어야 한다.
다른 가능한 구현에서, 자원 스케줄링 메시지는 추가로, 적어도 하나의 제1 서비스에 사용되는 사용자 평면의 타깃 MAC 길이를 지시하는 데 사용된다.
무결성 보호가 수행되어야 하는 서비스에 대해서는 사용자 평면의 타깃 MAC 길이를 지시하는 정보가 장치(280)에서 추가될 수 있으며, 이는 서비스의 데이터에 대한 무결성 보호를 수행하기 위한 MAC의 길이를 지시하는데 사용됨을 알 수 있다.
각 유닛의 구현에 대해서는 도 11 또는 도 12에 도시된 실시예에서 대응하는 설명을 참조함을 유의해야 한다. 장치(280)는 도 11 또는 도 12에 도시된 실시예에서 제1 노드일 수 있다.
도 29는 본 출원의 실시예에 따른 통신 장치(290)의 구조의 개략도이다. 장치(290)는 노드일 수 있거나 노드 내의 컴포넌트일 수 있다. 장치(290)는 적어도 하나의 메모리(2801) 및 적어도 하나의 프로세서(2902)를 포함할 수 있다. 선택적으로, 장치는 버스(2903)를 더 포함할 수 있다. 선택적으로, 장치는 통신 인터페이스(2904)를 더 포함할 수 있다. 메모리(2901), 프로세서(2902) 및 통신 인터페이스(2904)는 버스(2903)를 통해 연결된다.
메모리(2901)는 저장 공간을 제공하도록 구성되며, 저장 공간은 운영 체제 및 컴퓨터 프로그램과 같은 데이터를 저장할 수 있다. 메모리(2901)는 RAM, ROM, EPROM, CD-ROM 등 중 하나 또는 조합일 수 있다.
프로세서(2902)는 산술 연산 및/또는 논리 연산을 수행하는 모듈로서, 구체적으로 CPU, GPU, MPU, ASIC, FPGA, CPLD 등과 같은 처리 모듈 중 하나 또는 이들의 조합일 수 있다.
통신 인터페이스(2904)는 외부로부터 송신되는 데이터를 수신하거나 및/또는 데이터를 외부로 송신하도록 구성되며, 이더넷 케이블과 같은 유선 링크의 인터페이스일 수도 있고, 무선 링크(Wi-Fi, 블루투스, 등) 인터페이스일 수 있다. 선택적으로, 통신 인터페이스(2904)는 인터페이스에 결합된 송신기(예를 들어, 무선 주파수 송신기 또는 안테나), 수신기 등을 더 포함할 수 있다.
장치(290)의 프로세서(2902)는 메모리(2901)에 저장된 컴퓨터 프로그램을 읽어서 전술한 통신 방법, 예를 들어 도 11 또는 도 12에 설명된 통신 방법을 수행하도록 구성된다.
예를 들어, 장치(290)의 프로세서(2902)는 메모리(2901)에 저장된 컴퓨터 프로그램을 읽어서 다음 작동:
서비스 속성 보고 응답 메시지를 통신 인터페이스(2904)를 통해 제1 노드에 송신하는 작동 - 서비스 속성 보고 응답 메시지는 적어도 하나의 서비스 식별자를 포함하고, 적어도 하나의 서비스 식별자는 적어도 하나의 제2 서비스의 식별자를 포함하며, 적어도 하나의 제2 서비스의 식별자는 제2 서비스 유형에 대응하고, 유형이 제2 서비스 유형인 서비스의 데이터에 대해 무결성 보호가 수행될 필요가 없음 -;
통신 인터페이스(2904)를 통해 제1 노드로부터 자원 스케줄링 메시지를 수신하는 작동; 및
자원 스케줄링 메시지에 기반하여, 적어도 하나의 제2 서비스의 식별자에 대응하는 서비스에 대해 무결성 보호가 활성화되지 않는 것으로 결정하는 작동을 수행하도록 구성된다.
서로 다른 서비스 유형의 서비스는 서로 다른 무결성 보호 요건을 가짐을 알 수 있다. 제1 노드는 제1 서비스의 식별자에 기반하여 무결성 보호를 활성화할지를 판정할 수 있다. 예를 들어, 오디오 노이즈 감소 서비스는 상대적으로 보안 요건이 낮은 서비스이므로, 오디오 노이즈 감소 서비스의 데이터에 대해 무결성 보호를 수행할 필요가 없을 수 있으며, 따라서, 오디오 노이즈 감소 서비스에 대응하는 MAC 길이는 결정되지 않을 수 있다.
다른 가능한 구현에서, 적어도 하나의 서비스 식별자는 적어도 하나의 제1 서비스의 식별자를 포함하고, 적어도 하나의 제1 서비스의 식별자는 제1 서비스 유형에 대응하고, 무결성 보호는 유형이 제1 서비스 유형인 서비스의 데이터에 대해 수행되어야 한다. 이 방법은:
자원 스케줄링 메시지에 기반하여, 적어도 하나의 제1 서비스의 식별자에 대응하는 서비스에 대해 무결성 보호가 활성화되는 것으로 결정하는 단계를 더 포함하다.
다른 가능한 구현에서, 자원 스케줄링 메시지는 추가로, 적어도 하나의 제1 서비스의 데이터에 대해 무결성 보호를 수행하기 위한 MAC의 길이를 지시하는 데 사용된다.
각 유닛의 구현에 대해서는 도 11 또는 도 12에 도시된 실시예에서 대응하는 설명을 참조함을 유의해야 한다. 장치(290)는 도 11 또는 도 12에 도시된 실시예에서 제2 노드이다.
도 30은 본 출원의 실시예에 따른 통신 장치(300)의 구조의 개략도이다. 장치(300)는 노드일 수도 있고, 노드 내의 컴포넌트일 수도 있다. 장치(300)는 적어도 하나의 메모리(3001) 및 적어도 하나의 프로세서(3002)를 포함할 수 있다. 선택적으로, 장치는 버스(3003)를 더 포함할 수 있다. 선택적으로, 장치는 통신 인터페이스(3004)를 더 포함할 수 있다. 메모리(3001), 프로세서(3002) 및 통신 인터페이스(3004)는 버스(3003)를 통해 연결된다.
메모리(3001)는 저장 공간을 제공하도록 구성되며, 저장 공간은 운영 체제 및 컴퓨터 프로그램과 같은 데이터를 저장할 수 있다. 메모리(3001)는 RAM, ROM, EPROM, CD-ROM 등 중 하나 또는 이들의 조합일 수 있다.
프로세서(3002)는 산술 연산 및/또는 논리 연산을 수행하는 모듈로서, 구체적으로 CPU, GPU, MPU, ASIC, FPGA, CPLD 등과 같은 처리 모듈 중 하나 또는 이들의 조합일 수 있다.
통신 인터페이스(3004)는 외부로부터 송신되는 데이터를 수신하거나 및/또는 데이터를 외부로 송신하도록 구성되며, 이더넷 케이블과 같은 유선 링크의 인터페이스일 수도 있고, 무선 링크(Wi-Fi, 블루투스, 등) 인터페이스일 수 있다. 선택적으로, 통신 인터페이스(3004)는 인터페이스에 결합된 송신기(예를 들어, 무선 주파수 송신기 또는 안테나), 수신기 등을 더 포함할 수 있다.
장치(300)의 프로세서(3002)는 메모리(3001)에 저장된 컴퓨터 프로그램을 읽어서 전술한 통신 방법, 예를 들어 도 13에 설명된 통신 방법을 수행하도록 구성된다.
예를 들어, 장치(300)의 프로세서(3002)는 메모리(3001)에 저장된 컴퓨터 프로그램을 읽어서, 다음 작동:
통신 인터페이스(3004)를 통해 제2 노드로부터 연관 요청 메시지를 수신하는 작동 - 연관 요청 메시지는 제2 노드가 지원하는 보안 알고리즘에 관한 정보 및 제2 노드의 아이덴티티를 포함함 -;
제1 알고리즘 선택 정책에 따라 시그널링 평면의 타깃 보안 알고리즘 및 시그널링 평면의 타깃 MAC 길이를 결정하는 작동 - 시그널링 평면의 타깃 보안 알고리즘은 제2 노드가 지원하는 보안 알고리즘에 관한 정보에 의해 지시된 보안 알고리즘 세트에 속함 -;
제2 알고리즘 선택 정책 및 제2 노드의 아이덴티티에 기반하여 사용자 평면의 타깃 보안 알고리즘 및 사용자 평면의 타깃 MAC 길이를 결정하는 작동 - 사용자 평면의 타깃 보안 알고리즘은 제2 노드가 지원하는 보안 알고리즘에 관한 정보에 의해 지시되는 보안 알고리즘 세트에 속하고, 사용자 평면의 타깃 MAC 길이는 제1 서비스의 데이터에 대한 무결성 보호를 수행하기 위한 MAC의 길이를 지시하는 데 사용됨 -; 및
시그널링 평면의 타깃 보안 알고리즘을 사용하여 제1 MAC을 생성하는 작동 - 제1 MAC의 길이는 시그널링 평면의 타깃 MAC 길이임 - 을 수행하도록 구성된다.
본 출원의 실시예에서, 상이한 MAC 길이를 결정하기 위해 장치(300)에서 상이한 정책이 구성되어, MAC 길이의 유연성을 향상시킬 수 있다. 또한, 장치(300)는 제2 노드의 아이덴티티에 기반하여 사용자 평면의 타깃 보안 알고리즘 및 사용자 평면의 타깃 MAC을 결정하여, MAC 길이에 대한 서로 다른 노드 유형의 요건을 충족할 수 있다. 예를 들어, 중요한 서비스를 처리하는 일부 노드는 보안을 향상시키기 위해 상대적으로 긴 MAC 길이를 사용할 수 있다. 다른 예로, 일부 보조 노드 또는 일반 노드는 상대적으로 짧은 MAC 길이를 사용하여 자원 소모를 감소시키고 통신 효율성을 높일 수 있다.
가능한 구현에서, 프로세서(3002)는 구체적으로, 제1 길이 선택 정책 및 제1 알고리즘 선택 정책에 따라 시그널링 평면의 타깃 보안 알고리즘 및 시그널링 평면의 타깃 MAC 길이를 결정하도록 구성된다.
다른 가능한 구현에서, 프로세서(3002)는 구체적으로:
제1 알고리즘 선택 정책에 따라 시그널링 평면의 타깃 보안 알고리즘을 결정하고; 그리고
제1 길이 선택 정책 및 시그널링 평면의 타깃 보안 알고리즘에 따라 시그널링 평면의 타깃 MAC 길이를 결정하도록 구성된다.
다른 가능한 구현에서, 프로세서(3002)는 구체적으로:
제1 알고리즘 선택 정책에 따라 시그널링 평면의 타깃 보안 알고리즘을 결정하도록 구성되고, 시그널링 평면의 타깃 보안 알고리즘에 대응하는 MAC 길이는 시그널링 평면의 타깃 MAC 길이이다.
다른 가능한 구현에서, 프로세서(3002)는 구체적으로:
제2 알고리즘 선택 정책에 따라 사용자 평면의 타깃 보안 알고리즘을 결정하고;
제2 노드의 아이덴티티에 기반하여 제2 길이 선택 정책을 결정하며; 그리고
사용자 평면의 타깃 보안 알고리즘 및 제2 길이 선택 정책에 기반하여 시그널링 평면의 타깃 MAC 길이를 결정하도록 구성된다.
다른 가능한 구현에서, 프로세서(3002)는 구체적으로:
제2 알고리즘 선택 정책에 따라 사용자 평면의 타깃 보안 알고리즘을 결정하고; 그리고
사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이 및 제2 노드의 아이덴티티와 MAC 길이 사이의 대응 관계에 기반하여, 제2 노드의 아이덴티티에 대응하는 MAC 길이를 사용자 평면의 타깃 MAC 길이로 결정하도록 구성된다.
다른 가능한 구현에서, 프로세서(3002)는 추가로, 보안 콘텍스트 요청 메시지를 통신 인터페이스(3004)를 통해 제2 노드에 송신하도록 구성되며, 보안 콘텍스트 요청 메시지는 제1 MAC, 시그널링 평면의 타깃 보안 알고리즘을 지시하는 정보, 사용자 평면의 타깃 보안 알고리즘을 지시하는 정보, 시그널링 평면의 타깃 MAC 길이, 및 사용자 평면의 타깃 MAC 길이를 포함하며, 제1 MAC은 보안 콘텍스트 요청 메시지의 무결성을 검사하는 데 사용된다.
다른 가능한 구현에서, 프로세서(3002)는 추가로:
보안 콘텍스트 요청 메시지를 통신 인터페이스(3004)를 통해 제2 노드에 송신하고 - 보안 콘텍스트 요청 메시지는 제1 MAC, 시그널링 평면의 타깃 보안 알고리즘을 지시하는 정보, 사용자 평면의 타깃 보안 알고리즘을 지시하는 정보, 시그널링 평면의 타깃 MAC 길이, 사용자 평면의 타깃 MAC 길이 및 제1 아이덴티티 인증 정보를 포함하고, 제1 MAC은 보안 콘텍스트 요청 메시지의 무결성 검사에 사용되며, 제1 아이덴티티 인증 정보는 제1 노드와 제2 노드 사이의 공유 키에 기반하여 생성됨 -; 그리고
통신 인터페이스(3004)를 통해 제2 노드로부터 보안 콘텍스트 응답 메시지를 수신하도록 - 보안 콘텍스트 응답 메시지는 제2 아이덴티티 인증 정보 및 제2 MAC을 포함하고, 제2 MAC의 길이는 시그널링 평면의 타깃 MAC 길이이며, 제2 아이덴티티 인증 정보는 제2 노드의 아이덴티티를 검증하는 데 사용되고, 제2 MAC은 보안 콘텍스트 응답 메시지의 무결성을 검사하는 데 사용됨 - 구성된다.
다른 가능한 구현에서, 프로세서(3002)는 추가로:
시그널링 평면의 타깃 보안 알고리즘 및 제2 MAC에 기반하여 보안 콘텍스트 응답 메시지의 무결성을 검사하고;
공유 키에 기반하여 제2 아이덴티티 인증 정보에 대한 검증을 수행하며; 그리고
보안 콘텍스트 응답 메시지의 무결성에 대한 검사가 성공하고 제2 아이덴티티 인증 정보에 대한 검증이 성공하면, 연관 구축 메시지를 제2 노드에 송신하도록 - 연관 구축 메시지는 제1 노드와 연관을 구축하도록 제2 노드에 지시함 - 구성된다.
각 유닛의 구현에 대해서는 도 13에 도시된 실시예에서 대응하는 설명을 참조함을 유의해야 한다. 장치(300)는 도 13에 도시된 실시예에서 제1 노드이다.
도 31은 본 출원의 실시예에 따른 통신 장치(310)의 구조의 개략도이다. 장치(310)는 노드일 수 있거나, 노드 내의 컴포넌트일 수 있다. 장치(310)는 적어도 하나의 메모리(3101) 및 적어도 하나의 프로세서(3102)를 포함할 수 있다. 선택적으로, 장치는 버스(3103)를 더 포함할 수 있다. 선택적으로, 장치는 통신 인터페이스(3104)를 더 포함할 수 있다. 메모리(3101), 프로세서(3102) 및 통신 인터페이스(3104)는 버스(3103)를 통해 연결된다.
메모리(3101)는 저장 공간을 제공하도록 구성되며, 저장 공간은 운영 체제 및 컴퓨터 프로그램과 같은 데이터를 저장할 수 있다. 메모리(3101)는 RAM, ROM, EPROM, CD-ROM 등 중 하나 또는 조합일 수 있다.
프로세서(3102)는 산술 연산 및/또는 논리 연산을 수행하는 모듈로서, 구체적으로 CPU, GPU, MPU, ASIC, FPGA, CPLD 등과 같은 처리 모듈 중 하나 또는 이들의 조합일 수 있다.
통신 인터페이스(3104)는 외부로부터 송신되는 데이터를 수신하거나 및/또는 데이터를 외부로 송신하도록 구성되며, 이더넷 케이블과 같은 유선 링크의 인터페이스일 수도 있고, 무선 링크(Wi-Fi, 블루투스, 등) 인터페이스일 수 있다. 선택적으로, 통신 인터페이스(3104)는 인터페이스에 결합된 송신기(예를 들어, 무선 주파수 송신기 또는 안테나), 수신기 등을 더 포함할 수 있다.
장치(310)의 프로세서(3102)는 메모리(3101)에 저장된 컴퓨터 프로그램을 읽어서 전술한 통신 방법, 예를 들어 도 13에 설명된 통신 방법을 수행하도록 구성된다.
예를 들어, 장치(310)의 프로세서(3102)는 메모리(3101)에 저장된 컴퓨터 프로그램을 읽어서 다음 작동:
통신 인터페이스(3104)를 통해 연관 요청 메시지를 제1 노드에 송신하는 작동 - 연관 요청 메시지는 제2 노드가 지원하는 보안 알고리즘에 관한 정보 및 제2 노드의 아이덴티티를 포함함 -;
통신 인터페이스(3104)를 통해 제1 노드로부터 보안 콘텍스트 요청 메시지를 수신하는 작동 - 보안 콘텍스트 요청 메시지는 시그널링 평면의 타깃 보안 알고리즘을 지시하는 데 사용되는 정보, 사용자 평면의 타깃 보안 알고리즘을 지시하는 데 사용되는 정보, 시그널링 평면의 타깃 MAC 길이, 사용자 평면의 타깃 MAC 길이 및 제1 MAC를 포함하고, 시그널링 평면의 타깃 보안 알고리즘과 시그널링 평면의 타깃 MAC 길이는 제1 알고리즘 선택 정책에 대응하며, 시그널링 평면의 타깃 보안 알고리즘은 제2 노드가 지원하는 보안 알고리즘에 관한 정보에 의해 지시되는 보안 알고리즘 세트에 속하고, 사용자 평면의 타깃 보안 알고리즘 및 사용자 평면의 타깃 MAC 길이는 제2 알고리즘 선택 정책 및 제2 노드의 아이덴티티에 대응하며, 사용자 평면의 타깃 보안 알고리즘은 제2 노드가 지원하는 보안 알고리즘에 관한 정보에 의해 지시되는 보안 알고리즘 세트에 속하고, 제1 MAC의 길이는 시그널링 평면의 타깃 MAC 길이임 -; 및
시그널링 평면의 타깃 보안 알고리즘을 사용하여 제1 MAC 기반 보안 콘텍스트 요청 메시지의 무결성을 검사하는 작동을 수행하도록 구성된다.
본 출원의 실시예에서, 상이한 MAC 길이를 결정하기 위해 제1 노드에 상이한 정책이 구성되어, MAC 길이의 유연성을 향상시킬 수 있다. 또한, 제1 노드는 제2 노드의 아이덴티티에 기반하여 사용자 평면의 타깃 보안 알고리즘 및 사용자 평면의 타깃 MAC을 결정할 수 있어서, MAC 길이에 대한 서로 다른 유형의 노드 요건을 충족할 수 있다. 장치(310)는 제1 노드로부터 타깃 MAC 길이를 획득하고, 타깃 MAC 길이를 사용하여 메시지 무결성을 보호한다. 예를 들어, 중요한 서비스를 처리하는 일부 노드는 보안을 향상시키기 위해 상대적으로 긴 MAC 길이를 사용할 수 있다. 다른 예로, 일부 보조 노드 또는 일반 노드는 상대적으로 짧은 MAC 길이를 사용하여 자원 소모를 감소시키고 통신 효율성을 높일 수 있다.
가능한 구현에서, 시그널링 평면의 타깃 보안 알고리즘 및 시그널링 평면의 타깃 MAC 길이는 제1 알고리즘 선택 정책에 따라 결정되고, 시그널링 평면의 타깃 보안 알고리즘은 제2 노드가 지원하는 보안 알고리즘에 관한 정보에 의해 지시되는 보안 알고리즘 세트에 속하며, 시그널링 평면의 타깃 보안 알고리즘에 따라 제1 MAC이 생성된다.
다른 가능한 구현에서, 사용자 평면의 타깃 보안 알고리즘 및 사용자 평면의 타깃 MAC 길이는 제2 알고리즘 선택 정책에 따라 결정되고, 사용자 평면의 타깃 보안 알고리즘은 제2 노드가 지원하는 보안 알고리즘에 관한 정보에 의해 지시되는 보안 알고리즘 세트에 속하며, 시그널링 평면의 타깃 보안 알고리즘에 따라 제1 MAC이 생성된다.
다른 가능한 구현에서, 프로세서(3102)는 추가로:
제2 노드와 제1 노드 사이의 공유 키에 기반하여 제1 아이덴티티 인증 정보에 대한 검증을 수행하고;
보안 콘텍스트 요청 메시지에 대한 무결성 검사가 성공하고 제1 아이덴티티 인증 정보에 대한 검증이 성공하면, 시그널링 평면의 타깃 보안 알고리즘을 사용하여 제2 MAC을 생성하며 - 제2 MAC의 길이는 시그널링 평면의 타깃 MAC 길이임 -; 그리고
통신 인터페이스(3104)를 통해 보안 콘텍스트 응답 메시지를 제1 노드에 송신하도록 - 보안 콘텍스트 응답 메시지는 제2 MAC 및 제2 아이덴티티 인증 정보를 포함하고, 제2 아이덴티티 인증 정보는 제2 노드와 제1 노드 사이의 공유 키에 기반하여 생성됨 - 구성된다.
다른 가능한 구현에서, 이 방법은 제1 노드로부터 연관 구축 메시지를 수신하는 단계를 더 포함한다. 연관 구축 메시지는 제1 노드와 연관을 구축하도록 제2 노드에 지시한다.
각 유닛의 구현에 대해서는 도 13에 도시된 실시예에서 대응하는 설명을 참조함을 유의해야 한다. 장치(310)는 도 13에 도시된 실시예에서 제2 노드이다.
본 출원의 실시예는 컴퓨터가 판독 가능한 저장 매체를 제공한다. 컴퓨터가 판독 가능한 저장 매체는 컴퓨터 프로그램을 저장한다. 컴퓨터 프로그램이 하나 이상의 프로세서에서 실행될 때, 도 3, 도 7, 도 8, 또는 도 9a 및 도 9b에 도시된 통신 방법이 수행된다.
본 출원의 실시예는 컴퓨터 프로그램 제품을 제공한다. 컴퓨터 프로그램 제품이 하나 이상의 프로세서에서 실행될 때, 도 3, 도 8, 도 11, 도 12 또는 도 13에 도시된 통신 방법이 구현될 수 있다.
본 출원의 실시예는 칩 시스템을 제공한다. 칩 시스템은 적어도 하나의 프로세서와 통신 인터페이스를 포함하고, 적어도 하나의 프로세서는 적어도 하나의 메모리에 저장된 컴퓨터 프로그램을 호출하도록 구성되므로, 칩 시스템이 위치한 장치는 도 3, 도 8, 도 11, 또는 도 12에 도시된 통신 방법을 구현한다. 본 출원의 실시예는 통신 시스템을 제공한다. 통신 시스템은 제1 노드 및 제2 노드를 포함하고, 제1 노드는 도 14, 도 16, 도 19, 또는 도 21에 기재된 장치를 포함하며, 제2 노드는 도 15, 도 17, 도 18, 도 20 또는 도 22에 기재된 장치를 포함한다.
본 출원의 실시예는 통신 시스템을 제공한다. 통신 시스템은 제1 노드 및 제2 노드를 포함하고, 제1 노드는 도 23, 도 25, 도 28, 또는 도 30에 기재된 장치를 포함하며, 제2 노드는 도 24, 도 26, 도 27, 도 29 또는 도 31에 기재된 장치를 포함한다.
본 출원의 실시예는 스마트 콕피트 제품을 제공한다. 스마트 콕피트 제품은 제1 노드(예를 들어, 차량 콕피트 도메인 컨트롤러(vehicle cockpit domain controller CDC))를 포함하고, 제1 노드는 도 14, 도 16, 도 19, 또는 도 21에 기재된 장치를 포함한다.
또한, 스마트 콕피트 제품은 제2 노드(예를 들어, 카메라, 스크린, 마이크, 스피커, 레이더, 전자키, 패시브 엔트리 패시브 스타트 시스템 컨트롤러 등의 모듈 중 적어도 하나)를 포함하고, 제2 노드는 도 15, 도 17, 도 18, 도 20 또는 도 22에 기재된 장치를 포함한다.
본 출원의 실시예는 스마트 콕피트 제품을 개시한다. 스마트 콕피트 제품은 제1 노드(예를 들어, 차량 콕피트 도메인 컨트롤러(vehicle cockpit domain controller, CDC))를 포함하고, 제1 노드는 도 23, 도 25, 도 28, 또는 도 30에 기재된 장치를 포함한다.
또한, 스마트 콕피트 제품은 제2 노드(예를 들어, 카메라, 스크린, 마이크, 스피커, 레이더, 전자키, 패시브 엔트리 패시브 스타트 시스템 컨트롤러 등의 모듈 중 적어도 하나)를 포함하고, 제2 노드는 도 24, 도 26, 도 27, 도 29 또는 도 31에 기재된 장치를 포함한다.
본 출원의 실시예는 차량을 제공한다. 차량은 제1 노드(예를 들어, 차량 콕피트 도메인 컨트롤러(vehicle cockpit domain controller, CDC))를 포함하고, 제1 노드는 도 14, 도 16, 도 19, 또는 도 21에 기재된 장치를 포함한다.
또한, 차량은 제2 노드(예를 들어, 카메라, 스크린, 마이크, 스피커, 레이더, 전자키, 패시브 엔트리 패시브 스타트 시스템 컨트롤러 등의 모듈 중 적어도 하나)를 포함하고, 제2 노드는 도 15, 도 17, 도 18, 도 20 또는 도 22에 기재된 장치를 포함한다. 다르게는, 차량은 드론이나 로봇과 같은 지능형 단말이나 운송 차량으로 대체될 수 있다.
본 출원의 실시예는 차량을 제공한다. 차량은 제1 노드(예를 들어, 차량 콕피트 도메인 컨트롤러(vehicle cockpit domain controller, CDC))를 포함하고, 제1 노드는 도 23, 도 25, 도 28, 또는 도 30에 기재된 장치를 포함한다.
또한, 차량은 제2 노드(예를 들어, 카메라, 스크린, 마이크, 스피커, 레이더, 전자키, 패시브 엔트리 패시브 스타트 시스템 컨트롤러 등의 모듈 중 적어도 하나)를 포함하고, 제2 노드는 도 24, 도 26, 도 27, 도 29 또는 도 31에 기재된 장치를 포함한다. 다르게는, 차량은 드론이나 로봇과 같은 지능형 단말이나 운송 차량으로 대체될 수 있다.
전술한 실시예의 전부 또는 일부는 소프트웨어, 하드웨어, 펌웨어 또는 이들의 임의의 조합을 사용하여 구현될 수 있다. 실시예를 구현하기 위해 소프트웨어가 사용되는 경우, 실시예의 전부 또는 일부는 컴퓨터 프로그램 제품의 형태로 구현될 수 있다. 컴퓨터 프로그램 제품은 하나 이상의 컴퓨터 명령어를 포함한다. 컴퓨터 프로그램 명령어가 컴퓨터에 로딩되어 실행될 때, 본 출원의 실시예에 따른 절차 또는 기능은 모두 또는 부분적으로 구현된다. 컴퓨터는 범용 컴퓨터, 전용 컴퓨터, 컴퓨터 네트워크 또는 기타 프로그래밍 가능한 장치일 수 있다. 컴퓨터 명령어는 컴퓨터가 판독 가능한 저장 매체에 저장되거나, 컴퓨터가 판독 가능한 저장 매체를 사용하여 전송될 수 있다. 컴퓨터가 판독 가능한 저장 매체는 하나 이상의 사용 가능한 매체를 통합하는 서버 또는 데이터 센터와 같은 데이터 저장 디바이스 또는 컴퓨터에 의해 액세스 가능한 임의의 사용 가능한 매체일 수 있다. 사용 가능한 매체는 자기 매체(예를 들어, 플로피 디스크, 하드 디스크 드라이브 또는 자기 테이프), 광학 매체(예를 들어, DVD), 반도체 매체(예를 들어, 솔리드 스테이트 디스크(solid-state disk, SSD)) 등일 수 있다.
시퀀스 조정, 조합 또는 삭제는 실제 요건에 기반하여 본 출원의 방법 실시예의 단계에서 수행될 수 있다.
본 출원의 장치 실시예의 모듈은 실제 요건에 따라 조합, 분할 또는 삭제될 수 있다.

Claims (74)

  1. 통신 방법으로서,
    제2 노드로부터 연관(association) 요청 메시지를 수신하는 단계 - 상기 연관 요청 메시지는 상기 제2 노드가 지원하는 보안 알고리즘에 관한 정보를 포함함 -;
    제1 알고리즘 선택 정책에 따라 시그널링 평면의 타깃 보안 알고리즘 및 상기 시그널링 평면의 타깃 MAC 길이를 결정하는 단계 - 상기 시그널링 평면의 타깃 보안 알고리즘은 상기 제2 노드가 지원하는 상기 보안 알고리즘에 관한 정보에 의해 지시된 보안 알고리즘 세트에 속함 -; 및
    상기 시그널링 평면의 타깃 보안 알고리즘을 사용하여 제1 MAC을 생성하는 단계 - 상기 제1 MAC의 길이는 상기 시그널링 평면의 타깃 MAC 길이임 -
    를 포함하는 통신 방법.
  2. 제1항에 있어서,
    상기 제1 알고리즘 선택 정책에 따라 시그널링 평면의 타깃 보안 알고리즘 및 상기 시그널링 평면의 타깃 MAC 길이를 결정하는 단계는,
    제1 길이 선택 정책 및 상기 제1 알고리즘 선택 정책에 따라 상기 시그널링 평면의 타깃 보안 알고리즘 및 상기 시그널링 평면의 타깃 MAC 길이를 결정하는 단계
    를 포함하는, 통신 방법.
  3. 제1항에 있어서,
    상기 제1 알고리즘 선택 정책에 따라 시그널링 평면의 타깃 보안 알고리즘 및 상기 시그널링 평면의 타깃 MAC 길이를 결정하는 단계는,
    상기 제1 알고리즘 선택 정책에 따라 상기 시그널링 평면의 타깃 보안 알고리즘을 결정하는 단계 - 상기 시그널링 평면의 타깃 보안 알고리즘에 대응하는 MAC 길이는 상기 시그널링 평면의 타깃 MAC 길이임 -
    를 포함하는, 통신 방법.
  4. 제2항에 있어서,
    상기 제1 길이 선택 정책 및 상기 제1 알고리즘 선택 정책에 따라 상기 시그널링 평면의 타깃 보안 알고리즘 및 상기 시그널링 평면의 타깃 MAC 길이를 결정하는 단계는,
    상기 제1 알고리즘 선택 정책에 따라 상기 시그널링 평면의 타깃 보안 알고리즘을 결정하는 단계; 및
    상기 제1 길이 선택 정책 및 상기 시그널링 평면의 타깃 보안 알고리즘에 따라 상기 시그널링 평면의 타깃 MAC 길이를 결정하는 단계
    를 포함하는, 통신 방법.
  5. 제1항 내지 제4항 중 어느 한 항에 있어서,
    상기 통신 방법은,
    보안 콘텍스트 요청 메시지를 상기 제2 노드에 송신하는 단계 - 상기 보안 콘텍스트 요청 메시지는 상기 제1 MAC, 상기 시그널링 평면의 타깃 보안 알고리즘을 지시하는 정보, 및 상기 시그널링 평면의 타깃 MAC 길이를 포함하고, 상기 제1 MAC은 상기 보안 콘텍스트 요청 메시지의 무결성을 검사하는 데 사용됨 -
    를 더 포함하는 통신 방법.
  6. 제1항 내지 제4항 중 어느 한 항에 있어서,
    상기 제1 알고리즘 선택 정책에 따라 시그널링 평면의 타깃 보안 알고리즘 및 상기 시그널링 평면의 타깃 MAC 길이를 결정하는 단계 이후에,
    상기 통신 방법은,
    보안 콘텍스트 요청 메시지를 상기 제2 노드에 송신하는 단계 - 상기 보안 콘텍스트 요청 메시지는 상기 제1 MAC, 상기 시그널링 평면의 타깃 보안 알고리즘을 지시하는 정보, 상기 시그널링 평면의 타깃 MAC 길이, 및 제1 아이덴티티 인증(identity authentication) 정보를 포함하고, 상기 제1 MAC은 상기 보안 콘텍스트 요청 메시지의 무결성을 검사하는 데 사용되며, 상기 제1 노드와 상기 제2 노드 사이의 공유 키에 기반하여 상기 제1 아이덴티티 인증 정보가 생성됨 -; 및
    상기 제2 노드로부터 보안 콘텍스트 응답 메시지를 수신하는 단계 - 상기 보안 콘텍스트 응답 메시지는 제2 아이덴티티 인증 정보 및 제2 MAC을 포함하고, 상기 제2 MAC의 길이는 상기 시그널링 평면의 타깃 MAC 길이이며, 상기 제2 아이덴티티 인증 정보가 상기 제2 노드의 아이덴티티를 검증하는 데 사용되고, 상기 제2 MAC은 상기 보안 콘텍스트 응답 메시지의 무결성을 검사하는 데 사용됨 -
    를 더 포함하는 통신 방법.
  7. 제1항 내지 제5항 중 어느 한 항에 있어서,
    상기 보안 콘텍스트 요청 메시지는 사용자 평면의 타깃 보안 알고리즘을 더 포함하고,
    상기 통신 방법은,
    제2 알고리즘 선택 정책에 따라 상기 사용자 평면의 타깃 보안 알고리즘을 결정하는 단계 - 상기 사용자 평면의 타깃 보안 알고리즘은 상기 제2 노드가 지원하는 상기 보안 알고리즘에 관한 정보에 의해 지시된 보안 알고리즘 세트에 속함 -
    를 더 포함하는 통신 방법.
  8. 제7항에 있어서,
    상기 통신 방법은
    제1 서비스의 식별자 및/또는 상기 제1 서비스의 데이터 패킷 크기를 획득하는 단계;
    상기 사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이 그리고 상기 제1 서비스의 식별자와 상기 제1 서비스의 데이터 패킷 크기 중 적어도 하나에 기반하여, 상기 사용자 평면의 타깃 MAC 길이를 결정하는 단계 - 상기 사용자 평면의 타깃 MAC 길이는 상기 제1 서비스의 데이터에 대한 무결성 보호를 수행하기 위한 MAC의 길이를 지시하는 데 사용됨 -; 및
    자원 스케줄링 메시지를 상기 제2 노드에 송신하는 단계 - 상기 자원 스케줄링 메시지는 상기 사용자 평면의 타깃 MAC 길이를 포함함 -
    를 더 포함하는 통신 방법.
  9. 통신 방법으로서,
    연관 요청 메시지를 제1 노드에 송신하는 단계 - 상기 연관 요청 메시지는 제2 노드가 지원하는 보안 알고리즘에 관한 정보를 포함함 -; 및
    상기 제1 노드로부터 보안 콘텍스트 요청 메시지를 수신하는 단계 - 상기 보안 콘텍스트 요청 메시지는 시그널링 평면의 타깃 보안 알고리즘을 지시하는 데 사용되는 정보 및 상기 시그널링 평면의 타깃 MAC 길이를 지시하는 데 사용되는 정보를 포함하고, 상기 시그널링 평면의 타깃 보안 알고리즘 및 상기 시그널링 평면의 타깃 MAC 길이는 제1 알고리즘 선택 정책에 대응하며, 상기 시그널링 평면의 타깃 보안 알고리즘은 상기 제2 노드가 지원하는 보안 알고리즘에 관한 정보에 의해 지시된 보안 알고리즘 세트에 속함 -
    를 포함하는 통신 방법.
  10. 제9항에 있어서,
    상기 보안 콘텍스트 요청 메시지는 제1 MAC을 포함하고, 상기 제1 MAC의 길이는 상기 시그널링 평면의 타깃 MAC 길이이며,
    상기 통신 방법은,
    상기 시그널링 평면의 타깃 보안 알고리즘을 사용하여 상기 제1 MAC을 기반으로 상기 보안 콘텍스트 요청 메시지의 무결성을 검사하는 단계
    를 더 포함하는 통신 방법.
  11. 제9항 또는 제10항에 있어서,
    상기 보안 콘텍스트 요청 메시지는 제1 아이덴티티 인증 정보를 더 포함하고,
    상기 통신 방법은,
    상기 제2 노드와 상기 제1 노드 사이의 공유 키에 기반하여 상기 제1 아이덴티티 인증 정보에 대한 검증을 수행하는 단계;
    상기 보안 콘텍스트 요청 메시지의 무결성에 대한 검사가 성공하고 상기 제1 아이덴티티 인증 정보에 대한 검증이 성공하면, 상기 시그널링 평면의 타깃 보안 알고리즘을 사용하여 제2 MAC을 생성하는 단계 - 상기 제2 MAC의 길이는 상기 시그널링 평면의 타깃 MAC 길이임 -; 및
    보안 콘텍스트 응답 메시지를 상기 제1 노드에 송신하는 단계 - 상기 보안 콘텍스트 응답 메시지는 상기 제2 MAC 및 제2 아이덴티티 인증 정보를 포함하고, 상기 제2 아이덴티티 인증 정보는 상기 제2 노드와 상기 제1 노드 사이의 공유 키에 기반하여 생성됨 -
    를 더 포함하는 통신 방법.
  12. 제9항 내지 제11항 중 어느 한 항에 있어서,
    상기 보안 콘텍스트 요청 메시지는 사용자 평면의 타깃 보안 알고리즘을 지시하는 정보를 더 포함하고, 상기 사용자 평면의 타깃 보안 알고리즘은 제2 알고리즘 선택 정책에 대응하며, 상기 사용자 평면의 타깃 보안 알고리즘은 상기 제2 노드가 지원하는 상기 보안 알고리즘에 관한 정보에 의해 지시된 보안 알고리즘 세트에 속하고,
    상기 통신 방법은,
    상기 제1 노드로부터 자원 스케줄링 메시지를 수신하는 단계 - 상기 자원 스케줄링 메시지는 상기 사용자 평면의 타깃 MAC 길이를 포함하고, 상기 사용자 평면의 타깃 MAC 길이는 상기 사용자 평면의 타깃 보안 알고리즘 그리고 제1 서비스의 식별자와 상기 제1 서비스의 데이터 패킷 크기 중 적어도 하나에 대응하며, 상기 사용자 평면의 타깃 MAC 길이는 상기 제1 서비스의 데이터에 대한 무결성 보호를 수행하기 위한 MAC의 길이를 지시하는 데 사용됨 -
    를 더 포함하는 통신 방법.
  13. 통신 방법으로서,
    제2 노드로부터 서비스 속성 보고 응답 메시지를 수신하는 단계 - 상기 서비스 속성 보고 응답 메시지는 제1 서비스의 식별자 및/또는 상기 제1 서비스의 데이터 패킷 크기를 포함함 -; 및
    사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이 그리고 상기 제1 서비스의 식별자와 상기 제1 서비스의 데이터 패킷 크기 중 적어도 하나에 기반하여, 상기 사용자 평면의 타깃 MAC 길이를 결정하는 단계 - 상기 사용자 평면의 타깃 MAC 길이는 상기 제1 서비스의 데이터에 대한 무결성 보호를 수행하기 위한 MAC의 길이를 지시하는 데 사용됨 -
    를 포함하는 통신 방법.
  14. 제13항에 있어서,
    상기 사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이 그리고 상기 제1 서비스의 식별자와 상기 제1 서비스의 데이터 패킷 크기 중 적어도 하나에 기반하여, 상기 사용자 평면의 타깃 MAC 길이를 결정하는 단계는,
    상기 사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이 및 상기 제1 서비스의 식별자와 MAC 길이 사이의 대응 관계에 기반하여, 상기 제1 서비스의 식별자에 대응하는 MAC 길이를 상기 사용자 평면의 타깃 MAC 길이로 결정하는 단계; 또는
    상기 사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이 및 상기 제1 서비스의 데이터 패킷 크기와 MAC 길이 사이의 대응 관계에 기반하여, 상기 제1 서비스의 데이터 패킷 크기에 대응하는 MAC 길이를 상기 사용자 평면의 타깃 MAC 길이로 결정하는 단계
    를 포함하는, 통신 방법.
  15. 제13항에 있어서,
    상기 사용자 평면의 타깃 보안 알고리즘 그리고 상기 제1 서비스의 식별자와 상기 제1 서비스의 데이터 패킷 크기 중 적어도 하나에 기반하여, 상기 사용자 평면의 타깃 MAC 길이를 결정하는 단계는,
    상기 제1 서비스의 식별자 및/또는 상기 제1 서비스의 데이터 패킷 크기에 기반하여 제2 길이 선택 정책을 결정하는 단계; 및
    상기 제2 길이 선택 정책 및 상기 사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이에 기반하여, 상기 사용자 평면의 타깃 MAC 길이를 결정하는 단계
    를 포함하는, 통신 방법.
  16. 제13항 내지 제15항 중 어느 한 항에 있어서,
    상기 제1 서비스의 식별자는 제1 서비스 유형에 대응하고, 유형이 상기 제1 서비스 유형인 서비스의 데이터에 대해 무결성 보호가 수행되어야 하는, 통신 방법.
  17. 제13항 내지 제16항 중 어느 한 항에 있어서,
    상기 통신 방법은,
    자원 스케줄링 메시지를 상기 제2 노드에 송신하는 단계 - 상기 자원 스케줄링 메시지는 상기 사용자 평면의 타깃 MAC 길이를 지시하는 데 사용되는 정보를 포함함 -
    를 더 포함하는 통신 방법.
  18. 제13항 내지 제17항 중 어느 한 항에 있어서,
    상기 통신 방법은,
    상기 사용자 평면의 타깃 보안 알고리즘을 사용하여 제3 MAC을 생성하는 단계 - 상기 제3 MAC의 길이는 상기 사용자 평면의 타깃 MAC 길이이고, 상기 제3 MAC는 상기 제1 서비스의 데이터에 대한 무결성 보호를 수행하는 데 사용됨 -
    를 더 포함하는 통신 방법.
  19. 제13항에 있어서,
    상기 통신 방법은,
    상기 제2 노드가 지원하는 보안 알고리즘에 관한 정보를 획득하는 단계;
    제1 알고리즘 선택 정책에 따라 시그널링 평면의 타깃 보안 알고리즘 및 상기 시그널링 평면의 타깃 MAC 길이를 결정하는 단계 - 상기 시그널링 평면의 타깃 보안 알고리즘은 상기 제2 노드가 지원하는 상기 보안 알고리즘에 관한 정보에 의해 지시된 보안 알고리즘 세트에 속함 -;
    상기 시그널링 평면의 타깃 보안 알고리즘을 사용하여 제4 MAC을 생성하는 단계 - 상기 제4 MAC의 길이는 상기 시그널링 평면의 타깃 MAC 길이임 -; 및
    자원 스케줄링 메시지를 상기 제2 노드에 송신하는 단계 - 상기 자원 스케줄링 메시지는 상기 제4 MAC 및 상기 사용자 평면의 타깃 MAC 길이를 포함하고, 상기 제4 MAC은 상기 자원 스케줄링 메시지에 대한 무결성 보호를 수행하는 데 사용됨 -
    를 더 포함하는 통신 방법.
  20. 제19항에 있어서,
    상기 통신 방법은,
    제2 알고리즘 선택 정책에 따라 상기 사용자 평면의 타깃 보안 알고리즘을 결정하는 단계 - 상기 사용자 평면의 타깃 보안 알고리즘은 상기 제2 노드가 지원하는 상기 보안 알고리즘에 관한 정보에 의해 지시된 보안 알고리즘 세트에 속함 -
    를 더 포함하는 통신 방법.
  21. 통신 방법으로서,
    서비스 속성 보고 응답 메시지를 제1 노드에 송신하는 단계 - 상기 서비스 속성 보고 응답 메시지는 제1 서비스의 식별자 및/또는 상기 제1 서비스의 데이터 패킷 크기를 포함함 -; 및
    상기 제1 노드로부터 자원 스케줄링 메시지를 수신하는 단계 - 상기 자원 스케줄링 메시지는 사용자 평면의 타깃 MAC 길이를 포함하고, 상기 사용자 평면의 타깃 MAC 길이는 상기 사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이이며, 상기 사용자 평면의 타깃 MAC 길이는 상기 제1 서비스의 식별자와 상기 제1 서비스의 데이터 패킷 크기 중 적어도 하나에 대응하고, 상기 사용자 평면의 타깃 MAC 길이는 상기 제1 서비스의 데이터에 대해 무결성 보호를 수행하기 위한 MAC의 길이를 지시하는 데 사용됨 -
    를 포함하는 통신 방법.
  22. 제21항에 있어서,
    상기 제1 서비스의 식별자는 제1 서비스 유형에 대응하고, 유형이 상기 제1 서비스 유형인 서비스의 데이터에 대해 무결성 보호가 수행되어야 하는, 통신 방법.
  23. 제21항 또는 제22항에 있어서,
    상기 사용자 평면의 타깃 보안 알고리즘은 제2 알고리즘 선택 정책에 대응하고, 상기 사용자 평면의 타깃 보안 알고리즘은 제2 노드가 지원하는 보안 알고리즘에 관한 정보에 의해 지시되는 보안 알고리즘 세트에 속하는, 통신 방법.
  24. 제23항에 있어서,
    상기 자원 스케줄링 메시지는 제4 MAC을 더 포함하고,
    상기 통신 방법은,
    상기 사용자 평면의 타깃 보안 알고리즘을 사용하여 상기 제4 MAC을 기반으로 상기 자원 스케줄링 메시지의 메시지 무결성을 검사하는 단계
    를 더 포함하는 통신 방법.
  25. 통신 방법으로서,
    서비스 속성 보고 응답 메시지를 제1 노드에 송신하는 단계 - 상기 서비스 속성 보고 응답 메시지는 제1 서비스의 식별자 및/또는 상기 제1 서비스의 데이터 패킷 크기를 포함함 -; 및
    사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이 그리고 상기 제1 서비스의 식별자와 상기 제1 서비스의 데이터 패킷 크기 중 적어도 하나에 기반하여, 상기 사용자 평면의 타깃 MAC 길이를 결정하는 단계 - 상기 사용자 평면의 타깃 MAC 길이는 상기 제1 서비스의 데이터에 대한 무결성 보호를 수행하기 위한 MAC의 길이를 지시하는 데 사용됨 -
    를 포함하는 통신 방법.
  26. 제25항에 있어서,
    상기 사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이 그리고 상기 제1 서비스의 식별자와 상기 제1 서비스의 데이터 패킷 크기 중 적어도 하나에 기반하여, 상기 사용자 평면의 타깃 MAC 길이를 결정하는 단계는,
    상기 사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이 및 상기 제1 서비스의 식별자(identifier, ID)와 MAC 길이 사이의 대응 관계에 기반하여, 상기 제1 서비스의 ID에 대응하는 MAC 길이를 상기 사용자 평면의 타깃 MAC 길이로 결정하는 단계; 또는
    상기 사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이 및 상기 제1 서비스의 데이터 패킷 크기와 MAC 길이 사이의 대응 관계에 기반하여, 상기 제1 서비스의 데이터 패킷 크기에 대응하는 MAC 길이를 상기 사용자 평면의 타깃 MAC 길이로 결정하는 단계
    를 포함하는, 통신 방법.
  27. 제25항에 있어서,
    상기 사용자 평면의 타깃 보안 알고리즘 그리고 상기 제1 서비스의 식별자와 상기 제1 서비스의 데이터 패킷 크기 중 적어도 하나에 기반하여, 상기 사용자 평면의 타깃 MAC 길이를 결정하는 단계는,
    상기 제1 서비스의 ID 및/또는 상기 제1 서비스의 데이터 패킷 크기에 기반하여 제2 길이 선택 정책을 결정하는 단계; 및
    상기 제2 길이 선택 정책 및 상기 사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이에 기반하여, 상기 사용자 평면의 타깃 MAC 길이를 결정하는 단계
    를 포함하는, 통신 방법.
  28. 제25항 내지 제27항 중 어느 한 항에 있어서,
    상기 제1 서비스의 식별자는 제1 서비스 유형에 대응하고, 유형이 상기 제1 서비스 유형인 서비스의 데이터에 대해 무결성 보호가 수행되어야 하는, 통신 방법.
  29. 제24항 내지 제27항 중 어느 한 항에 있어서,
    상기 사용자 평면의 타깃 보안 알고리즘은 제2 알고리즘 선택 정책에 대응하고, 상기 사용자 평면의 타깃 보안 알고리즘은 상기 제2 노드가 지원하는 보안 알고리즘에 관한 정보에 의해 지시된 보안 알고리즘 세트에 속하는, 통신 방법.
  30. 통신 방법으로서,
    제2 노드로부터 서비스 속성 보고 응답 메시지를 수신하는 단계 - 상기 서비스 속성 보고 응답 메시지는 적어도 하나의 서비스 식별자를 포함하고, 상기 적어도 하나의 서비스 식별자는 적어도 하나의 제2 서비스의 식별자를 포함하며, 상기 적어도 하나의 제2 서비스의 식별자는 제2 서비스 유형에 대응하고, 유형이 상기 제2 서비스 유형인 서비스의 데이터에 대해 무결성 보호를 수행할 필요가 없음 -; 및
    자원 스케줄링 메시지를 상기 제2 노드에 송신하는 단계 - 상기 자원 스케줄링 메시지는 상기 적어도 하나의 제2 서비스의 식별자에 대응하는 서비스에 대해 무결성 보호가 활성화되지 않음을 지시하는 데 사용됨 -
    를 포함하는 통신 방법.
  31. 제30항에 있어서,
    상기 적어도 하나의 서비스 식별자는 적어도 하나의 제1 서비스의 식별자를 포함하고, 상기 적어도 하나의 제1 서비스의 식별자는 제1 서비스 유형에 대응하며, 유형이 상기 제1 서비스 유형인 서비스의 데이터에 대해 무결성 보호가 수행되어야 하는, 통신 방법.
  32. 제30항에 있어서,
    상기 자원 스케줄링 메시지는 추가로, 상기 적어도 하나의 제1 서비스에 사용되는 사용자 평면의 타깃 MAC 길이를 지시하는 데 사용되는, 통신 방법.
  33. 통신 방법으로서,
    서비스 속성 보고 응답 메시지를 제1 노드에 송신하는 단계 - 상기 서비스 속성 보고 응답 메시지는 적어도 하나의 서비스 식별자를 포함하고, 상기 적어도 하나의 서비스 식별자는 적어도 하나의 제2 서비스의 식별자를 포함하며, 상기 적어도 하나의 제2 서비스의 식별자는 제2 서비스 유형에 대응하고, 유형이 상기 제2 서비스 유형인 서비스의 데이터에 대해 무결성 보호를 수행할 필요가 없음 -;
    상기 제1 노드로부터 자원 스케줄링 메시지를 수신하는 단계; 및
    상기 자원 스케줄링 메시지에 기반하여, 상기 적어도 하나의 제2 서비스의 식별자에 대응하는 서비스에 대해 무결성 보호가 활성화되지 않는 것으로 결정하는 단계
    를 포함하는 통신 방법.
  34. 제33항에 있어서,
    상기 적어도 하나의 서비스 식별자는 적어도 하나의 제1 서비스의 식별자를 포함하고, 상기 적어도 하나의 제1 서비스의 식별자는 제1 서비스 유형에 대응하며, 유형이 상기 제1 서비스 유형인 서비스의 데이터에 대해 무결성 보호가 수행되어야 하며,
    상기 통신 방법은,
    상기 자원 스케줄링 메시지에 기반하여, 상기 적어도 하나의 제1 서비스의 식별자에 대응하는 서비스에 대해 무결성 보호가 활성화되는 것으로 결정하는 단계
    를 더 포함하는 통신 방법.
  35. 제34항에 있어서,
    상기 자원 스케줄링 메시지는 추가로, 상기 적어도 하나의 제1 서비스의 데이터에 대해 무결성 보호를 수행하기 위한 MAC의 길이를 지시하는 데 사용되는, 통신 방법.
  36. 통신 장치로서,
    제2 노드로부터 연관 요청 메시지를 수신하도록 - 상기 연관 요청 메시지는 상기 제2 노드가 지원하는 보안 알고리즘에 관한 정보를 포함함 - 구성된 수신 유닛; 및
    제1 알고리즘 선택 정책에 따라 시그널링 평면의 타깃 보안 알고리즘 및 상기 시그널링 평면의 타깃 MAC 길이를 결정하도록 - 상기 시그널링 평면의 타깃 보안 알고리즘은 상기 제2 노드가 지원하는 상기 보안 알고리즘에 관한 정보에 의해 지시된 보안 알고리즘 세트에 속함 - 구성된 처리 유닛
    을 포함하고,
    상기 처리 유닛은 추가로, 상기 시그널링 평면의 타깃 보안 알고리즘을 사용하여 제1 MAC을 생성하도록 구성되고, 상기 제1 MAC의 길이는 상기 시그널링 평면의 타깃 MAC 길이인, 통신 장치.
  37. 제36항에 있어서,
    상기 처리 유닛은 구체적으로,
    제1 길이 선택 정책 및 상기 제1 알고리즘 선택 정책에 따라 상기 시그널링 평면의 타깃 보안 알고리즘 및 상기 시그널링 평면의 타깃 MAC 길이를 결정하도록 구성되는, 통신 장치.
  38. 제36항에 있어서,
    상기 처리 유닛은 구체적으로,
    상기 제1 알고리즘 선택 정책에 따라 상기 시그널링 평면의 타깃 보안 알고리즘을 결정하도록 구성되고, 상기 시그널링 평면의 타깃 보안 알고리즘에 대응하는 MAC 길이는 상기 시그널링 평면의 타깃 MAC 길이인, 통신 장치.
  39. 제37항에 있어서,
    상기 처리 유닛은 구체적으로,
    상기 제1 알고리즘 선택 정책에 따라 상기 시그널링 평면의 타깃 보안 알고리즘을 결정하고; 그리고
    상기 제1 길이 선택 정책 및 상기 시그널링 평면의 타깃 보안 알고리즘에 따라 상기 시그널링 평면의 타깃 MAC 길이를 결정하도록 구성되는, 통신 장치.
  40. 제36항 내지 제39항 중 어느 한 항에 있어서,
    상기 통신 장치는,
    보안 콘텍스트 요청 메시지를 상기 제2 노드에 송신하도록 - 상기 보안 콘텍스트 요청 메시지는 상기 제1 MAC, 상기 시그널링 평면의 타깃 보안 알고리즘을 지시하는 정보, 및 상기 시그널링 평면의 타깃 MAC 길이를 포함하고, 상기 제1 MAC은 상기 보안 콘텍스트 요청 메시지의 무결성을 검사하는 데 사용됨 - 구성된 송신 유닛
    을 더 포함하는 통신 장치.
  41. 제36항 내지 제39항 중 어느 한 항에 있어서,
    상기 통신 장치는,
    보안 콘텍스트 요청 메시지를 상기 제2 노드에 송신하도록 - 상기 보안 콘텍스트 요청 메시지는 상기 제1 MAC, 상기 시그널링 평면의 타깃 보안 알고리즘을 지시하는 정보, 상기 시그널링 평면의 타깃 MAC 길이, 및 제1 아이덴티티 인증 정보를 포함하고, 상기 제1 MAC은 상기 보안 콘텍스트 요청 메시지의 무결성을 검사하는 데 사용되며, 상기 제1 노드와 상기 제2 노드 사이의 공유 키에 기반하여 상기 제1 아이덴티티 인증 정보가 생성됨 - 구성된 송신 유닛
    을 더 포함하고,
    상기 수신 유닛은 추가로, 상기 제2 노드로부터 보안 콘텍스트 응답 메시지를 수신하도록 구성되며, 상기 보안 콘텍스트 응답 메시지는 제2 아이덴티티 인증 정보 및 제2 MAC을 포함하고, 상기 제2 MAC의 길이는 상기 시그널링 평면의 타깃 MAC 길이이며, 상기 제2 아이덴티티 인증 정보가 상기 제2 노드의 아이덴티티를 검증하는 데 사용되고, 상기 제2 MAC은 상기 보안 콘텍스트 응답 메시지의 무결성을 검사하는 데 사용되는, 통신 장치.
  42. 제36항 내지 제41항 중 어느 한 항에 있어서,
    상기 보안 콘텍스트 요청 메시지는 사용자 평면의 타깃 보안 알고리즘을 더 포함하고,
    상기 처리 유닛은 구체적으로,
    제2 알고리즘 선택 정책에 따라 상기 사용자 평면의 타깃 보안 알고리즘을 결정하도록 구성되고, 상기 사용자 평면의 타깃 보안 알고리즘은 상기 제2 노드가 지원하는 상기 보안 알고리즘에 관한 정보에 의해 지시된 보안 알고리즘 세트에 속하는, 통신 장치.
  43. 제42항에 있어서,
    상기 수신 유닛은 추가로, 제1 서비스의 식별자 및/또는 상기 제1 서비스의 데이터 패킷 크기를 획득하도록 구성되고,
    상기 처리 유닛은 추가로, 상기 사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이 그리고 상기 제1 서비스의 식별자와 상기 제1 서비스의 데이터 패킷 크기 중 적어도 하나에 기반하여, 상기 사용자 평면의 타깃 MAC 길이를 결정하도록 - 상기 사용자 평면의 타깃 MAC 길이는 상기 제1 서비스의 데이터에 대한 무결성 보호를 수행하기 위한 MAC의 길이를 지시하는 데 사용됨 - 구성되며; 그리고
    상기 송신 유닛은 추가로, 자원 스케줄링 메시지를 상기 제2 노드에 송신하도록 구성되고, 상기 자원 스케줄링 메시지는 상기 사용자 평면의 타깃 MAC 길이를 포함하는, 통신 장치.
  44. 통신 장치로서,
    연관 요청 메시지를 제1 노드에 송신하도록 - 상기 연관 요청 메시지는 제2 노드가 지원하는 보안 알고리즘에 관한 정보를 포함함 - 구성된 송신 유닛; 및
    상기 제1 노드로부터 보안 콘텍스트 요청 메시지를 수신하도록 - 상기 보안 콘텍스트 요청 메시지는 시그널링 평면의 타깃 보안 알고리즘을 지시하는 데 사용되는 정보 및 상기 시그널링 평면의 타깃 MAC 길이를 지시하는 데 사용되는 정보를 포함하고, 상기 시그널링 평면의 타깃 보안 알고리즘 및 상기 시그널링 평면의 타깃 MAC 길이는 제1 알고리즘 선택 정책에 대응하며, 상기 시그널링 평면의 타깃 보안 알고리즘은 상기 제2 노드가 지원하는 보안 알고리즘에 관한 정보에 의해 지시된 보안 알고리즘 세트에 속함 - 구성된 수신 유닛
    을 포함하는 통신 장치.
  45. 제42항에 있어서,
    상기 보안 콘텍스트 요청 메시지는 제1 MAC을 포함하고, 상기 제1 MAC의 길이는 상기 시그널링 평면의 타깃 MAC 길이이며,
    상기 통신 장치는,
    상기 시그널링 평면의 타깃 보안 알고리즘을 사용하여 상기 제1 MAC을 기반으로 상기 보안 콘텍스트 요청 메시지의 무결성을 검사하도록 구성된 처리 유닛
    을 더 포함하는 통신 장치.
  46. 제44항 또는 제45항에 있어서,
    상기 보안 콘텍스트 요청 메시지는 제1 아이덴티티 인증 정보를 더 포함하고,
    상기 처리 유닛은 추가로, 상기 제2 노드와 상기 제1 노드 사이의 공유 키에 기반하여 상기 제1 아이덴티티 인증 정보에 대한 검증을 수행하도록 구성되며,
    상기 처리 유닛은 추가로, 상기 보안 콘텍스트 요청 메시지의 무결성에 대한 검사가 성공하고 상기 제1 아이덴티티 인증 정보에 대한 검증이 성공하면, 상기 시그널링 평면의 타깃 보안 알고리즘을 사용하여 제2 MAC을 생성하도록 - 상기 제2 MAC의 길이는 상기 시그널링 평면의 타깃 MAC 길이임 - 구성되고, 그리고
    상기 송신 유닛은 추가로, 보안 콘텍스트 응답 메시지를 상기 제1 노드에 송신하도록 구성되며, 상기 보안 콘텍스트 응답 메시지는 상기 제2 MAC 및 제2 아이덴티티 인증 정보를 포함하고, 상기 제2 아이덴티티 인증 정보는 상기 제2 노드와 상기 제1 노드 사이의 공유 키에 기반하여 생성되는, 통신 장치.
  47. 제43항 내지 제46항 중 어느 한 항에 있어서,
    상기 보안 콘텍스트 요청 메시지는 사용자 평면의 타깃 보안 알고리즘을 지시하는 정보를 더 포함하고, 상기 사용자 평면의 타깃 보안 알고리즘은 제2 알고리즘 선택 정책에 대응하며, 상기 사용자 평면의 타깃 보안 알고리즘은 상기 제2 노드가 지원하는 상기 보안 알고리즘에 관한 정보에 의해 지시된 보안 알고리즘 세트에 속하고,
    상기 수신 유닛은 추가로, 상기 제1 노드로부터 자원 스케줄링 메시지를 수신하도록 구성되고, 상기 자원 스케줄링 메시지는 상기 사용자 평면의 타깃 MAC 길이를 포함하고, 상기 사용자 평면의 타깃 MAC 길이는 상기 사용자 평면의 타깃 보안 알고리즘 그리고 제1 서비스의 식별자와 상기 제1 서비스의 데이터 패킷 크기 중 적어도 하나에 대응하며, 상기 사용자 평면의 타깃 MAC 길이는 상기 제1 서비스의 데이터에 대한 무결성 보호를 수행하기 위한 MAC의 길이를 지시하는 데 사용되는, 통신 장치.
  48. 통신 장치로서,
    제2 노드로부터 서비스 속성 보고 응답 메시지를 수신하도록 - 상기 서비스 속성 보고 응답 메시지는 제1 서비스의 식별자 및/또는 상기 제1 서비스의 데이터 패킷 크기를 포함함 - 구성된 수신 유닛; 및
    사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이 그리고 상기 제1 서비스의 식별자와 상기 제1 서비스의 데이터 패킷 크기 중 적어도 하나에 기반하여, 상기 사용자 평면의 타깃 MAC 길이를 결정하도록 - 상기 사용자 평면의 타깃 MAC 길이는 상기 제1 서비스의 데이터에 대한 무결성 보호를 수행하기 위한 MAC의 길이를 지시하는 데 사용됨 - 구성된 처리 유닛
    을 포함하는 통신 장치.
  49. 제48항에 있어서,
    상기 처리 유닛은 구체적으로,
    상기 사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이 및 상기 제1 서비스의 식별자와 MAC 길이 사이의 대응 관계에 기반하여, 상기 제1 서비스의 식별자에 대응하는 MAC 길이를 상기 사용자 평면의 타깃 MAC 길이로 결정하거나; 또는
    상기 사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이 및 상기 제1 서비스의 데이터 패킷 크기와 MAC 길이 사이의 대응 관계에 기반하여, 상기 제1 서비스의 데이터 패킷 크기에 대응하는 MAC 길이를 상기 사용자 평면의 타깃 MAC 길이로 결정하도록 구성되는, 통신 장치.
  50. 제48항에 있어서,
    상기 처리 유닛은 구체적으로,
    상기 제1 서비스의 식별자 및/또는 상기 제1 서비스의 데이터 패킷 크기에 기반하여 제2 길이 선택 정책을 결정하고; 그리고
    상기 제2 길이 선택 정책 및 상기 사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이에 기반하여, 상기 사용자 평면의 타깃 MAC 길이를 결정하도록 구성되는, 통신 장치.
  51. 제48항 내지 제50항 중 어느 한 항에 있어서,
    상기 제1 서비스의 식별자는 제1 서비스 유형에 대응하고, 유형이 상기 제1 서비스 유형인 서비스의 데이터에 대해 무결성 보호가 수행되어야 하는, 통신 장치.
  52. 제48항 내지 제51항 중 어느 한 항에 있어서,
    송신 유닛은 추가로, 자원 스케줄링 메시지를 상기 제2 노드에 송신하도록 구성되고, 상기 자원 스케줄링 메시지는 상기 사용자 평면의 타깃 MAC 길이를 포함하는, 통신 장치.
  53. 제48항 내지 제52항 중 어느 한 항에 있어서,
    상기 처리 유닛은 추가로, 상기 사용자 평면의 타깃 보안 알고리즘을 사용하여 제3 MAC을 생성하도록 구성되고, 상기 제3 MAC의 길이는 상기 사용자 평면의 타깃 MAC 길이이고, 상기 제3 MAC는 상기 제1 서비스의 데이터에 대한 무결성 보호를 수행하는 데 사용되는, 통신 장치.
  54. 제48항에 있어서,
    상기 수신 유닛은 추가로, 상기 제2 노드가 지원하는 보안 알고리즘에 관한 정보를 획득하도록 구성되고,
    상기 처리 유닛은 추가로, 제1 알고리즘 선택 정책에 따라 시그널링 평면의 타깃 보안 알고리즘 및 상기 시그널링 평면의 타깃 MAC 길이를 결정하도록 - 상기 시그널링 평면의 타깃 보안 알고리즘은 상기 제2 노드가 지원하는 상기 보안 알고리즘에 관한 정보에 의해 지시된 보안 알고리즘 세트에 속함 - 구성되며,
    상기 처리 유닛은 추가로, 상기 시그널링 평면의 타깃 보안 알고리즘을 사용하여 제4 MAC을 생성하도록 - 상기 제4 MAC의 길이는 상기 시그널링 평면의 타깃 MAC 길이임 - 구성되고; 그리고
    송신 유닛은 추가로, 자원 스케줄링 메시지를 상기 제2 노드에 송신하도록 구성되고, 상기 자원 스케줄링 메시지는 상기 제4 MAC 및 상기 사용자 평면의 타깃 MAC 길이를 포함하고, 상기 제4 MAC은 상기 자원 스케줄링 메시지에 대한 무결성 보호를 수행하는 데 사용되는, 통신 장치.
  55. 제54항에 있어서,
    상기 처리 유닛은 추가로,
    제2 알고리즘 선택 정책에 따라 상기 사용자 평면의 타깃 보안 알고리즘을 결정하도록 구성되고, 상기 사용자 평면의 타깃 보안 알고리즘은 상기 제2 노드가 지원하는 상기 보안 알고리즘에 관한 정보에 의해 지시된 보안 알고리즘 세트에 속하는, 통신 장치.
  56. 통신 장치로서,
    서비스 속성 보고 응답 메시지를 제1 노드에 송신하도록 - 상기 서비스 속성 보고 응답 메시지는 제1 서비스의 식별자 및/또는 상기 제1 서비스의 데이터 패킷 크기를 포함함 - 구성된 송신 유닛; 및
    상기 제1 노드로부터 자원 스케줄링 메시지를 수신하도록 - 상기 자원 스케줄링 메시지는 사용자 평면의 타깃 MAC 길이를 포함하고, 상기 사용자 평면의 타깃 MAC 길이는 상기 사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이이며, 상기 사용자 평면의 타깃 MAC 길이는 상기 제1 서비스의 식별자와 상기 제1 서비스의 데이터 패킷 크기 중 적어도 하나에 대응하고, 상기 사용자 평면의 타깃 MAC 길이는 상기 제1 서비스의 데이터에 대해 무결성 보호를 수행하기 위한 MAC의 길이를 지시하는 데 사용됨 - 구성된 수신 유닛
    을 포함하는 통신 장치.
  57. 제56항에 있어서,
    상기 제1 서비스의 식별자는 제1 서비스 유형에 대응하고, 유형이 상기 제1 서비스 유형인 서비스의 데이터에 대해 무결성 보호가 수행되어야 하는, 통신 장치.
  58. 제56항 또는 제57항에 있어서,
    상기 사용자 평면의 타깃 보안 알고리즘은 제2 알고리즘 선택 정책에 대응하고, 상기 사용자 평면의 타깃 보안 알고리즘은 제2 노드가 지원하는 보안 알고리즘에 관한 정보에 의해 지시되는 보안 알고리즘 세트에 속하는, 통신 장치.
  59. 제56항에 있어서,
    상기 자원 스케줄링 메시지는 제4 MAC을 더 포함하고,
    처리 유닛은 추가로, 상기 사용자 평면의 타깃 보안 알고리즘을 사용하여 상기 제4 MAC을 기반으로 상기 자원 스케줄링 메시지의 메시지 무결성을 검사하도록 구성되는, 통신 장치.
  60. 통신 장치로서,
    서비스 속성 보고 응답 메시지를 제1 노드에 송신하도록 - 상기 서비스 속성 보고 응답 메시지는 제1 서비스의 식별자 및/또는 상기 제1 서비스의 데이터 패킷 크기를 포함함 - 구성된 송신 유닛; 및
    사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이 그리고 상기 제1 서비스의 식별자와 상기 제1 서비스의 데이터 패킷 크기 중 적어도 하나에 기반하여, 상기 사용자 평면의 타깃 MAC 길이를 결정하도록 - 상기 사용자 평면의 타깃 MAC 길이는 상기 제1 서비스의 데이터에 대한 무결성 보호를 수행하기 위한 MAC의 길이를 지시하는 데 사용됨 - 구성된 처리 유닛
    을 포함하는 통신 장치.
  61. 제60항에 있어서,
    상기 처리 유닛은 구체적으로,
    상기 사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이 및 상기 제1 서비스의 식별자(identifier, ID)와 MAC 길이 사이의 대응 관계에 기반하여, 상기 제1 서비스의 ID에 대응하는 MAC 길이를 상기 사용자 평면의 타깃 MAC 길이로 결정하거나; 또는
    상기 사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이 및 상기 제1 서비스의 데이터 패킷 크기와 MAC 길이 사이의 대응 관계에 기반하여, 상기 제1 서비스의 데이터 패킷 크기에 대응하는 MAC 길이를 상기 사용자 평면의 타깃 MAC 길이로 결정하도록 구성되는, 통신 장치.
  62. 제60항에 있어서,
    상기 처리 유닛은 구체적으로,
    상기 제1 서비스의 ID 및/또는 상기 제1 서비스의 데이터 패킷 크기에 기반하여 제2 길이 선택 정책을 결정하고; 그리고
    상기 제2 길이 선택 정책 및 상기 사용자 평면의 타깃 보안 알고리즘이 지원하는 MAC 길이에 기반하여, 상기 사용자 평면의 타깃 MAC 길이를 결정하도록 구성되는, 통신 장치.
  63. 제60항 내지 제62항 중 어느 한 항에 있어서,
    상기 제1 서비스의 식별자는 제1 서비스 유형에 대응하고, 유형이 상기 제1 서비스 유형인 서비스의 데이터에 대해 무결성 보호가 수행되어야 하는, 통신 장치.
  64. 제60항 내지 제63항 중 어느 한 항에 있어서,
    상기 사용자 평면의 타깃 보안 알고리즘은 제2 알고리즘 선택 정책에 대응하고, 상기 사용자 평면의 타깃 보안 알고리즘은 상기 제2 노드가 지원하는 보안 알고리즘에 관한 정보에 의해 지시된 보안 알고리즘 세트에 속하는, 통신 장치.
  65. 통신 장치로서,
    제2 노드로부터 서비스 속성 보고 응답 메시지를 수신하도록 - 상기 서비스 속성 보고 응답 메시지는 적어도 하나의 서비스 식별자를 포함하고, 상기 적어도 하나의 서비스 식별자는 적어도 하나의 제2 서비스의 식별자를 포함하며, 상기 적어도 하나의 제2 서비스의 식별자는 제2 서비스 유형에 대응하고, 유형이 상기 제2 서비스 유형인 서비스의 데이터에 대해 무결성 보호를 수행할 필요가 없음 - 구성된 수신 유닛; 및
    자원 스케줄링 메시지를 상기 제2 노드에 송신하도록 - 상기 자원 스케줄링 메시지는 상기 적어도 하나의 제2 서비스의 식별자에 대응하는 서비스에 대해 무결성 보호가 활성화되지 않음을 지시하는 데 사용됨 - 구성되는 송신 유닛
    을 포함하는 통신 장치.
  66. 제65항에 있어서,
    상기 적어도 하나의 서비스 식별자는 적어도 하나의 제1 서비스의 식별자를 포함하고, 상기 적어도 하나의 제1 서비스의 식별자는 제1 서비스 유형에 대응하며, 유형이 상기 제1 서비스 유형인 서비스의 데이터에 대해 무결성 보호가 수행되어야 하는, 통신 장치.
  67. 제66항에 있어서,
    상기 자원 스케줄링 메시지는 추가로, 상기 적어도 하나의 제1 서비스에 사용되는 사용자 평면의 타깃 MAC 길이를 지시하는 데 사용되는, 통신 장치.
  68. 통신 장치로서,
    서비스 속성 보고 응답 메시지를 제1 노드에 송신하도록 - 상기 서비스 속성 보고 응답 메시지는 적어도 하나의 서비스 식별자를 포함하고, 상기 적어도 하나의 서비스 식별자는 적어도 하나의 제2 서비스의 식별자를 포함하며, 상기 적어도 하나의 제2 서비스의 식별자는 제2 서비스 유형에 대응하고, 유형이 상기 제2 서비스 유형인 서비스의 데이터에 대해 무결성 보호를 수행할 필요가 없음 - 구성된 송신 유닛;
    상기 제1 노드로부터 자원 스케줄링 메시지를 수신하도록 구성된 수신 유닛; 및
    상기 자원 스케줄링 메시지에 기반하여, 상기 적어도 하나의 제2 서비스의 식별자에 대응하는 서비스에 대해 무결성 보호가 활성화되지 않는 것으로 결정하도록 구성된 처리 유닛
    을 포함하는 통신 장치.
  69. 제68항에 있어서,
    상기 적어도 하나의 서비스 식별자는 적어도 하나의 제1 서비스의 식별자를 포함하고, 상기 적어도 하나의 제1 서비스의 식별자는 제1 서비스 유형에 대응하며, 유형이 상기 제1 서비스 유형인 서비스의 데이터에 대해 무결성 보호가 수행되어야 하며,
    상기 처리 유닛은 추가로, 상기 자원 스케줄링 메시지에 기반하여, 상기 적어도 하나의 제1 서비스의 식별자에 대응하는 서비스에 대해 무결성 보호가 활성화되는 것으로 결정하도록 구성되는, 통신 장치.
  70. 제69항에 있어서,
    상기 자원 스케줄링 메시지는 추가로, 상기 적어도 하나의 제1 서비스의 데이터에 대해 무결성 보호를 수행하기 위한 MAC의 길이를 지시하는 데 사용되는, 통신 장치.
  71. 칩 시스템으로서,
    상기 칩 시스템은
    적어도 하나의 프로세서 및 통신 인터페이스를 포함하고,
    상기 칩 시스템이 위치된 장치가 제1항 내지 제8항 중 어느 한 항에 따른 방법, 제13항 내지 제20항 중 어느 한 항에 따른 방법, 또는 제30항 내지 제32항 중 어느 한 항에 따른 방법을 구현하도록, 상기 적어도 하나의 프로세서는 적어도 하나의 메모리에 저장된 컴퓨터 프로그램을 호출하도록 구성되는, 칩 시스템.
  72. 칩 시스템으로서,
    상기 칩 시스템은
    적어도 하나의 프로세서 및 통신 인터페이스를 포함하고,
    상기 칩 시스템이 위치된 장치가 제9항 내지 제12항 중 어느 한 항에 따른 방법, 제21항 내지 제24항 중 어느 한 항에 따른 방법, 제25항 내지 제29항 중 어느 한 항에 따른 방법 또는 제33항 내지 제35항 중 어느 한 항에 따른 방법을 구현하도록, 상기 적어도 하나의 프로세서는 적어도 하나의 메모리에 저장된 컴퓨터 프로그램을 호출하도록 구성되는, 칩 시스템.
  73. 통신 시스템으로서,
    제1 노드 및 제2 노드
    를 포함하고,
    상기 제1 노드는 제36항 내지 제43항 중 어느 한 항에 따른 장치를 포함하고; 제2 노드는 제44항 내지 제47항 중 어느 한 항에 따른 장치를 포함하며; 또는
    상기 제1 노드는 제48항 내지 제55항 중 어느 한 항에 따른 장치를 포함하고; 제2 노드는 제56항 내지 제59항 중 어느 한 항에 따른 장치를 포함하며; 또는
    상기 제1 노드는 제48항 내지 제55항 중 어느 한 항에 따른 장치를 포함하고; 제2 노드는 제60항 내지 제64항 중 어느 한 항에 따른 장치를 포함하며; 또는
    상기 제1 노드는 제65항 내지 제67항 중 어느 한 항에 따른 장치를 포함하고; 제2 노드는 제68항 내지 제70항 중 어느 한 항에 따른 장치를 포함하는, 통신 시스템.
  74. 컴퓨터가 판독 가능한 저장 매체로서,
    상기 컴퓨터가 판독 가능한 저장 매체는 컴퓨터 프로그램을 저장하고, 상기 컴퓨터 프로그램이 하나 이상의 프로세서에서 실행될 때, 제1항 내지 제8항 중 어느 한 항에 따른 방법이 수행되거나, 제13항 내지 제20항 중 어느 한 항에 따른 방법이 수행되거나, 또는 제30항 내지 제32항 중 어느 한 항에 따른 방법이 수행되고; 또는 제9항 내지 제12항 중 어느 한 항에 따른 방법이 수행되거나, 제21항 내지 제24항 중 어느 한 항에 따른 방법이 수행되거나, 제25항 내지 제29항 중 어느 한 항에 따른 방법이 수행되거나, 또는 제33항 내지 제35항 중 어느 한 항에 따른 방법이 수행되는, 컴퓨터가 판독 가능한 저장 매체.
KR1020237005735A 2020-07-30 2020-07-30 통신 방법 및 장치 KR20230040368A (ko)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2020/106013 WO2022021258A1 (zh) 2020-07-30 2020-07-30 一种通信方法及装置

Publications (1)

Publication Number Publication Date
KR20230040368A true KR20230040368A (ko) 2023-03-22

Family

ID=77808750

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020237005735A KR20230040368A (ko) 2020-07-30 2020-07-30 통신 방법 및 장치

Country Status (6)

Country Link
US (1) US20230171602A1 (ko)
EP (1) EP4185003A4 (ko)
JP (1) JP2023537680A (ko)
KR (1) KR20230040368A (ko)
CN (3) CN115175189A (ko)
WO (1) WO2022021258A1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117241263A (zh) * 2022-06-06 2023-12-15 华为技术有限公司 一种报文通信方法和设备

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101854625B (zh) * 2009-04-03 2014-12-03 华为技术有限公司 安全算法选择处理方法与装置、网络实体及通信系统
JP6126980B2 (ja) * 2013-12-12 2017-05-10 日立オートモティブシステムズ株式会社 ネットワーク装置およびネットワークシステム
US20160026787A1 (en) * 2014-07-25 2016-01-28 GM Global Technology Operations LLC Authenticating messages sent over a vehicle bus that include message authentication codes
CN109560929B (zh) * 2016-07-01 2020-06-16 华为技术有限公司 密钥配置及安全策略确定方法、装置
US10630481B2 (en) * 2016-11-07 2020-04-21 Ford Global Technologies, Llc Controller area network message authentication
CN113630773B (zh) * 2017-01-24 2023-02-14 华为技术有限公司 安全实现方法、设备以及系统
WO2018201506A1 (zh) * 2017-05-05 2018-11-08 华为技术有限公司 一种通信方法及相关装置
US11297502B2 (en) * 2017-09-08 2022-04-05 Futurewei Technologies, Inc. Method and device for negotiating security and integrity algorithms
CN110121168B (zh) * 2018-02-06 2021-09-21 华为技术有限公司 安全协商方法及装置
WO2020067961A1 (en) * 2018-09-25 2020-04-02 Telefonaktiebolaget Lm Ericsson (Publ) A radio network node, a wireless device and methods therein for resuming a radio connection
WO2020146661A1 (en) * 2019-01-09 2020-07-16 Futurewei Technologies, Inc. Integrity protection for user plane edt with multiple pdcp pdus

Also Published As

Publication number Publication date
EP4185003A4 (en) 2023-09-13
CN113455034A (zh) 2021-09-28
EP4185003A1 (en) 2023-05-24
CN115175189A (zh) 2022-10-11
US20230171602A1 (en) 2023-06-01
JP2023537680A (ja) 2023-09-05
CN113455034B (zh) 2022-06-10
WO2022021258A1 (zh) 2022-02-03
CN115550924A (zh) 2022-12-30

Similar Documents

Publication Publication Date Title
US11695742B2 (en) Security implementation method, device, and system
TWI556659B (zh) 在無線傳輸/接收單元中傳輸或處理非存取層的方法及無線傳輸接收單元
JP5479474B2 (ja) 選択的な制御信号暗号化方法
CN113545115B (zh) 一种通信方法及装置
KR20180006664A (ko) 의료 기기, 게이트웨이 기기 및 이를 이용한 프로토콜 보안 방법
US20230171602A1 (en) Communication Method and Apparatus
WO2020146661A1 (en) Integrity protection for user plane edt with multiple pdcp pdus
CN115885496B (zh) 一种通信方法及相关装置
EP2984783B1 (en) Secure radio information transfer over mobile radio bearer
US12010243B2 (en) Methods and devices for providing message authentication code suitable for short messages
US20230099065A1 (en) Key obtaining method and related apparatus
US20220006644A1 (en) Methods and devices for providing message authentication code suitable for short messages
CN118020326A (zh) 用于操作蜂窝网络的方法
CN115884173A (zh) 一种通信方法及装置
KR20100030610A (ko) 선택적인 제어신호 암호화 방법