KR20230047837A - 통신 시스템에서 사용자 평면 보안을 위한 방법, 장치 및 시스템 - Google Patents
통신 시스템에서 사용자 평면 보안을 위한 방법, 장치 및 시스템 Download PDFInfo
- Publication number
- KR20230047837A KR20230047837A KR1020210131165A KR20210131165A KR20230047837A KR 20230047837 A KR20230047837 A KR 20230047837A KR 1020210131165 A KR1020210131165 A KR 1020210131165A KR 20210131165 A KR20210131165 A KR 20210131165A KR 20230047837 A KR20230047837 A KR 20230047837A
- Authority
- KR
- South Korea
- Prior art keywords
- data
- packet
- encrypted
- integrity protection
- present disclosure
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 107
- 238000004891 communication Methods 0.000 title abstract description 97
- 238000007689 inspection Methods 0.000 claims description 17
- 230000004044 response Effects 0.000 claims description 5
- 230000005540 biological transmission Effects 0.000 abstract description 30
- 230000006870 function Effects 0.000 description 101
- 238000010586 diagram Methods 0.000 description 58
- 230000011664 signaling Effects 0.000 description 35
- 238000012795 verification Methods 0.000 description 17
- 238000012384 transportation and delivery Methods 0.000 description 16
- 238000005516 engineering process Methods 0.000 description 14
- 238000012545 processing Methods 0.000 description 8
- 238000013507 mapping Methods 0.000 description 7
- 238000003860 storage Methods 0.000 description 7
- 230000008901 benefit Effects 0.000 description 6
- 230000008569 process Effects 0.000 description 6
- 238000001514 detection method Methods 0.000 description 5
- 230000002708 enhancing effect Effects 0.000 description 5
- 230000014509 gene expression Effects 0.000 description 5
- 238000012546 transfer Methods 0.000 description 5
- 230000003213 activating effect Effects 0.000 description 4
- 238000013473 artificial intelligence Methods 0.000 description 4
- 238000004590 computer program Methods 0.000 description 4
- 238000011161 development Methods 0.000 description 4
- 230000018109 developmental process Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 230000001965 increasing effect Effects 0.000 description 3
- 230000006798 recombination Effects 0.000 description 3
- 238000005215 recombination Methods 0.000 description 3
- 238000002591 computed tomography Methods 0.000 description 2
- 238000012937 correction Methods 0.000 description 2
- 230000006837 decompression Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000002595 magnetic resonance imaging Methods 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 238000010295 mobile communication Methods 0.000 description 2
- 238000005457 optimization Methods 0.000 description 2
- 230000008707 rearrangement Effects 0.000 description 2
- 238000000926 separation method Methods 0.000 description 2
- 238000001228 spectrum Methods 0.000 description 2
- 102100022734 Acyl carrier protein, mitochondrial Human genes 0.000 description 1
- 102100023078 Early endosome antigen 1 Human genes 0.000 description 1
- WQZGKKKJIJFFOK-GASJEMHNSA-N Glucose Natural products OC[C@H]1OC(O)[C@H](O)[C@@H](O)[C@@H]1O WQZGKKKJIJFFOK-GASJEMHNSA-N 0.000 description 1
- 101000678845 Homo sapiens Acyl carrier protein, mitochondrial Proteins 0.000 description 1
- 101001050162 Homo sapiens Early endosome antigen 1 Proteins 0.000 description 1
- 238000010521 absorption reaction Methods 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 238000002583 angiography Methods 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000003190 augmentative effect Effects 0.000 description 1
- 230000036772 blood pressure Effects 0.000 description 1
- 230000036760 body temperature Effects 0.000 description 1
- 230000006835 compression Effects 0.000 description 1
- 238000007906 compression Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 239000011521 glass Substances 0.000 description 1
- 239000008103 glucose Substances 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000001151 other effect Effects 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 238000012827 research and development Methods 0.000 description 1
- 238000013468 resource allocation Methods 0.000 description 1
- 230000011218 segmentation Effects 0.000 description 1
- 238000005728 strengthening Methods 0.000 description 1
- 238000001356 surgical procedure Methods 0.000 description 1
- 238000005406 washing Methods 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/106—Packet or message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3242—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/033—Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
본 개시는 4G, 5G 통신 시스템 이후 높은 데이터 전송 속도 및 초저지연시간을 달성하기 위한 6G 통신 시스템과 관련된 것이다.
본 개시의 다양한 실시예들에 따르면, 데이터(예를 들어, UP 데이터, 사용자 데이터 또는 어플리케이션 데이터)에 대해 선택적으로 무결성 보호 또는 암호화를 수행하는 방법, 상기 방법을 수행할 수 있는 장치, 그리고 실시예들이 구현될 수 있는 시스템이 제공된다. 본 개시의 일 실시예에 따르면, 데이터가 암호화되었는지 여부에 기반한 UP 보안 절차가 제공된다. 또한, 본 개시의 일 실시예에 따르면, 데이터에 대해 기밀성 및 무결성을 제공함에 있어, 연산 효율성을 향상시킬 수 있는 패킷 구조가 제공된다. 이에 따르면, 이미 암호화된 데이터에 대해서는 중복적으로 암호화하지 않도록 함으로써, 데이터의 보안성을 강화하는데 소모되는 연산 자원 및 연산 시간을 감소시킬 수 있는 효과를 얻을 수 있는 바, 보다 효율적인 통신 시스템이 구현될 수 있다.
본 개시의 다양한 실시예들에 따르면, 데이터(예를 들어, UP 데이터, 사용자 데이터 또는 어플리케이션 데이터)에 대해 선택적으로 무결성 보호 또는 암호화를 수행하는 방법, 상기 방법을 수행할 수 있는 장치, 그리고 실시예들이 구현될 수 있는 시스템이 제공된다. 본 개시의 일 실시예에 따르면, 데이터가 암호화되었는지 여부에 기반한 UP 보안 절차가 제공된다. 또한, 본 개시의 일 실시예에 따르면, 데이터에 대해 기밀성 및 무결성을 제공함에 있어, 연산 효율성을 향상시킬 수 있는 패킷 구조가 제공된다. 이에 따르면, 이미 암호화된 데이터에 대해서는 중복적으로 암호화하지 않도록 함으로써, 데이터의 보안성을 강화하는데 소모되는 연산 자원 및 연산 시간을 감소시킬 수 있는 효과를 얻을 수 있는 바, 보다 효율적인 통신 시스템이 구현될 수 있다.
Description
본 개시는 통신 시스템에서 UP(user plane, 사용자 평면) 보안에 관한 것이다. 보다 구체적으로, 본 개시는 통신 시스템에서 UP 데이터에 대한 기밀성(confidentiality) 및 무결성(integrity)를 제공하기 위한 UP 보안에 관한 것이다.
무선 통신 세대를 거듭하면서 발전한 과정을 돌아보면 음성, 멀티미디어, 데이터 등 주로 인간 대상의 서비스를 위한 기술이 개발되어 왔다. 5G(5th generation) 통신 시스템 상용화 이후 폭발적인 증가 추세에 있는 커넥티드 기기들이 통신 네트워크에 연결될 것으로 전망되고 있다. 네트워크에 연결된 사물의 예로는 차량, 로봇, 드론, 가전제품, 디스플레이, 각종 인프라에 설치된 스마트 센서, 건설 기계, 공장 장비 등이 있을 수 있다. 모바일 기기는 증강현실 안경, 가상현실 헤드셋, 홀로그램 기기 등 다양한 폼팩터로 진화할 것으로 예상된다. 6G(6th generation) 시대에는 수천억 개의 기기 및 사물을 연결하여 다양한 서비스를 제공하기 위해, 개선된 6G 통신 시스템을 개발하기 위한 노력이 이루어지고 있다. 이러한 이유로, 6G 통신 시스템은 5G 통신 이후(beyond 5G) 시스템이라 불리어지고 있다.
2030년쯤 실현될 것으로 예측되는 6G 통신 시스템에서 최대 전송 속도는 테라(즉, 1,000기가) bps, 무선 지연시간은 100마이크로초(μsec) 이다. 즉, 5G 통신 시스템대비 6G 통신 시스템에서의 전송 속도는 50배 빨라지고 무선 지연시간은 10분의 1로 줄어든다.
이러한 높은 데이터 전송 속도 및 초저(ultra low) 지연시간을 달성하기 위해, 6G 통신 시스템은 테라헤르츠(terahertz) 대역(예를 들어, 95기가헤르츠(95GHz)에서 3테라헤르츠(3THz)대역과 같은)에서의 구현이 고려되고 있다. 테라헤르츠 대역에서는 5G에서 도입된 밀리미터파(mmWave) 대역에 비해 더 심각한 경로손실 및 대기흡수 현상으로 인해서 신호 도달거리, 즉 커버리지를 보장할 수 있는 기술의 중요성이 더 커질 것으로 예상된다. 커버리지를 보장하기 위한 주요 기술로서 RF(radio frequency) 소자, 안테나, OFDM(orthogonal frequency division multiplexing)보다 커버리지 측면에서 더 우수한 신규 파형(waveform), 빔포밍(beamforming) 및 거대 배열 다중 입출력(massive multiple-input and multiple-output, massive MIMO), 전차원 다중입출력(full dimensional MIMO, FD-MIMO), 어레이 안테나(array antenna), 대규모 안테나(large scale antenna)와 같은 다중 안테나 전송 기술 등이 개발되어야 한다. 이 외에도 테라헤르츠 대역 신호의 커버리지를 개선하기 위해 메타물질(metamaterial) 기반 렌즈 및 안테나, OAM(orbital angular momentum)을 이용한 고차원 공간 다중화 기술, RIS(reconfigurable intelligent surface) 등 새로운 기술들이 논의되고 있다.
또한 주파수 효율 향상 및 시스템 네트워크 개선을 위해, 6G 통신 시스템에서는 상향링크(uplink)와 하향링크(downlink)가 동일 시간에 동일 주파수 자원을 동시에 활용하는 전이중화(full duplex) 기술, 위성(satellite) 및 HAPS(high-altitude platform stations)등을 통합적으로 활용하는 네트워크 기술, 이동 기지국 등을 지원하고 네트워크 운영 최적화 및 자동화 등을 가능하게 하는 네트워크 구조 혁신 기술, 스펙트럼 사용 예측에 기초한 충돌 회피를 통한 동적 주파수 공유(dynamic spectrum sharing) 기술, AI(artificial intelligence)를 설계 단계에서부터 활용하고 종단간(end-to-end) AI 지원 기능을 내재화하여 시스템 최적화를 실현하는 AI 기반 통신 기술, 단말 연산 능력의 한계를 넘어서는 복잡도의 서비스를 초고성능 통신과 컴퓨팅 자원(mobile edge computing(MEC), 클라우드 등)을 활용하여 실현하는 차세대 분산 컴퓨팅 기술 등의 개발이 이루어지고 있다. 뿐만 아니라 6G 통신 시스템에서 이용될 새로운 프로토콜의 설계, 하드웨어 기반의 보안 환경의 구현 및 데이터의 안전 활용을 위한 메커니즘 개발 및 프라이버시 유지 방법에 관한 기술 개발을 통해 디바이스 간의 연결성을 더 강화하고, 네트워크를 더 최적화하고, 네트워크 엔티티의 소프트웨어화를 촉진하며, 무선 통신의 개방성을 높이려는 시도가 계속되고 있다.
이러한 6G 통신 시스템의 연구 및 개발로 인해, 사물 간의 연결뿐만 아니라 사람과 사물 간의 연결까지 모두 포함하는 6G 통신 시스템의 초연결성(hyper-connectivity)을 통해 새로운 차원의 초연결 경험(the next hyper-connected experience)이 가능해질 것으로 기대된다. 구체적으로 6G 통신 시스템을 통해 초실감 확장 현실(truly immersive extended reality(XR)), 고정밀 모바일 홀로그램(high-fidelity mobile hologram), 디지털 복제(digital replica) 등의 서비스 제공이 가능할 것으로 전망된다. 또한 보안 및 신뢰도 증진을 통한 원격 수술(remote surgery), 산업 자동화(industrial automation) 및 비상 응답(emergency response)과 같은 서비스가 6G 통신 시스템을 통해 제공됨으로써 산업, 의료, 자동차, 가전 등 다양한 분야에서 응용될 것이다.
한편, 상술한 바와 같은 통신 시스템에서는 높은 신뢰도를 갖는 데이터 전송 방법을 지원해야 하며, 데이터의 전송 에러 또는 확인되지 않은 불특정 사용자로부터의 공격에 대처하기 위해 보안성을 강화해야 할 필요성이 있다. 이에, 다양한 서비스에 대한 데이터(예를 들어, 사용자 데이터, UP 데이터 또는 어플리케이션 데이터)의 보안성을 강화하기 위한 다양한 방안이 논의되고 있다.
데이터의 보안성을 강화하기 위한 방법으로, 데이터에 기밀성(confidentiality protection)을 제공하는 암호화(ciphering) 및 무결성을 제공하는 무결성 보호(integrity protection)가 고려될 수 있다. 한편, 통신 시스템에서는 데이터가 이미 암호화, 무결성 보호 또는 암호화 및 무결성 보호가 되었음에도 불구하고, 상기 데이터에 대해 암호화가 중복적으로 수행되는 경우가 있을 수 있다. 암호화 또는 무결성 보호는 연산 복잡도가 높으며, 연산 자원 및 연산 시간을 많이 필요로 하는 절차라는 점을 고려해볼 때, 효율적인 통신 시스템을 구현하기 위해서는, 데이터가 암호화되었는지 여부에 따라 상기 데이터에 대해 선택적으로 암호화 또는 무결성 보호를 수행하는 방법이 고안될 필요가 있다.
상술한 문제점을 해결하기 위해, 본 개시의 일 실시예에 따르면, 네트워크 엔티티(network entity)의 방법이 제공된다. 상기 보안 방법은, 패킷에 포함된 데이터의 암호화 여부를 확인하는 단계; 및 상기 데이터가 암호화된 경우, 상기 패킷에 포함된 상기 데이터와 관련된 정보에 대해 보안을 제공할 것을 지시하는 신호를 전송하는 단계를 포함하는 것을 특징으로 한다.
또한, 본 개시의 일 실시예에 따르면, 단말의 방법이 제공된다. 상기 단말의 방법은, 패킷에 포함된 데이터의 암호화 여부를 확인하는 단계; 상기 데이터가 암호화된 경우, 상기 패킷에 포함된 상기 데이터와 관련된 정보에 대해 보안을 제공할 것을 요청하는 신호를 전송하는 단계; 및 상기 신호에 응답하여, 상기 데이터와 관련된 정보에 대해 보안을 제공할 것을 지시하는 신호를 수신하는 단계를 포함하는 것을 특징으로 한다.
또한, 본 개시의 일 실시예에 따르면, 서버의 방법이 제공된다. 상기 서버의 방법은, 패킷에 포함된 데이터의 암호화 여부를 확인하는 단계; 및 상기 데이터가 암호화된 경우, 패킷에 포함된 상기 데이터와 관련된 정보에 대해 보안을 제공할 것을 요청하는 신호를 전송하는 단계를 포함하는 것을 특징으로 한다.
또한, 본 개시의 일 실시예에 따르면, 네트워크 엔티티가 제공된다. 상기 네트워크 엔티티는 송수신부; 및 상기 송수신부와 연결되고, 패킷에 포함된 데이터의 암호화 여부를 확인하고, 상기 데이터가 암호화된 경우, 상기 패킷에 포함된 상기 데이터와 관련된 정보에 대해 보안을 제공할 것을 지시하는 신호를 상기 송수신부를 통해 전송하는 제어부를 포함하는 것을 특징으로 한다.
또한, 본 개시의 일 실시예에 따르면, 단말이 제공된다. 상기 단말은 송수신부; 및 상기 송수신부와 연결되고, 패킷에 포함된 데이터의 암호화 여부를 확인하고, 상기 데이터가 암호화된 경우, 상기 패킷에 포함된 상기 데이터와 관련된 정보에 대해 보안을 제공할 것을 요청하는 신호를 상기 송수신부를 통해 전송하며, 상기 신호에 응답하여, 상기 데이터와 관련된 정보에 대해 보안을 제공할 것을 지시하는 신호를 상기 송수신부를 통해 수신하는 제어부를 포함하는 것을 특징으로 한다.
또한, 본 개시의 일 실시예에 따르면, 서버가 제공된다. 상기 서버는, 송수신부; 및 상기 송수신부와 연결되고, 패킷에 포함된 데이터의 암호화 여부를 확인하고, 상기 데이터가 암호화된 경우, 패킷에 포함된 상기 데이터와 관련된 정보에 대해 보안을 제공할 것을 요청하는 신호를 상기 송수신부를 통해 전송하는 제어부를 포함하는 것을 특징으로 한다.
본 개시의 다양한 실시예들에 따르면, 데이터(예를 들어, UP 데이터, 사용자 데이터 또는 어플리케이션 데이터)에 대해 선택적으로 무결성 보호 또는 암호화를 수행하는 방법, 상기 방법을 수행할 수 있는 장치, 그리고 실시예들이 구현될 수 있는 시스템이 제공된다.
본 개시의 일 실시예에 따르면, 데이터가 암호화되었는지 여부에 기반한 UP 보안 절차가 제공된다. 또한, 본 개시의 일 실시예에 따르면, 데이터에 대해 기밀성 및 무결성을 제공함에 있어, 연산 효율성을 향상시킬 수 있는 패킷 구조가 제공된다.
이에 따르면, 이미 암호화된 데이터에 대해서는 중복적으로 암호화하지 않도록 함으로써, 데이터의 보안성을 강화하는데 소모되는 연산 자원 및 연산 시간을 감소시킬 수 있는 효과를 얻을 수 있는 바, 보다 효율적인 통신 시스템이 구현될 수 있다.
본 개시에서 얻을 수 있는 효과는 이상에서 언급한 효과들로 제한되지 않으며, 언급하지 않은 또 다른 효과들은 아래의 기재로부터 본 개시가 속하는 기술 분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
본 개시의 상기 및 다른 목적, 특징 및 이점은 첨부된 도면을 참조하여 본 개시의 실시예들에 대한 다음의 설명을 통해, 보다 명확해질 것이다.
도 1은 본 개시가 적용될 수 있는 통신 시스템을 도시한 도면이다.
도 2는 본 개시가 적용될 수 있는 통신 시스템의 프로토콜(protocol) 구조를 도시한 도면이다.
도 3은 본 개시가 적용될 수 있는 통신 시스템에서 단말이 네트워크와 연결을 설정하는 경우, 기지국과 RRC(radio resource control) 연결 설정을 수행하는 절차를 도시한 도면이다.
도 4는 본 개시가 적용될 수 있는 통신 시스템에서 데이터에 대한 무결성 보호 또는 암호화를 활성화(activation)하는 절차를 도시한 도면이다.
도 5는 본 개시가 적용될 수 있는 통신 시스템에서 프로토콜 계층 중 데이터에 대해 무결성 보호 또는 암호화가 수행되는 계층을 도시한 도면이다.
도 6은 본 개시가 적용될 수 있는 통신 시스템에서 데이터에 대해 무결성을 제공하기 위한 무결성 보호의 일례를 도시한 도면이다.
도 7은 본 개시가 적용될 수 있는 통신 시스템에서 데이터에 대해 기밀성을 제공하기 위한 암호화의 일례를 도시한 도면이다.
도 8은 본 개시가 적용될 수 있는 통신 시스템에서 데이터의 암호화 및 무결성 보호가 수행되는 계층에서의 패킷 구조의 일례를 도시한 도면이다.
도 9A는 본 개시가 적용될 수 있는 통신 시스템에서 데이터가 송수신될 수 있는 프로토콜 구조의 일례를 도시한 도면이다.
도 9B는 본 개시가 적용될 수 있는 통신 시스템에서 데이터가 송수신될 수 있는 프로토콜 구조의 일례를 도시한 도면이다.
도 10은 본 개시가 적용될 수 있는 통신 시스템에서 패킷의 구조를 도시한 도면이다.
도 11은 본 개시에서 제안하는 UP 보안 절차를 도시한 도면이다.
도 12는 본 개시의 일 실시예에 따른 데이터의 암호화 여부에 기반한 UP 보안 절차를 도시한 도면이다.
도 13은 본 개시의 일 실시예에 따른 데이터의 암호화 여부에 기반한 UP 보안 절차를 도시한 도면이다.
도 14는 본 개시의 일 실시예에 따른 데이터의 암호화 여부에 기반한 UP 보안 절차를 도시한 도면이다.
도 15A는 본 개시의 일 실시예에 따른 패킷 구조의 일례를 도시한 도면이다.
도 15B는 본 개시의 일 실시예에 따른 패킷 구조의 또 다른 일례를 도시한 도면이다.
도 15C는 본 개시의 일 실시예에 따른 패킷 구조의 또 다른 일례를 도시한 도면이다.
도 15D는 본 개시의 일 실시예에 따른 패킷 구조의 또 다른 일례를 도시한 도면이다.
도 15E는 본 개시의 일 실시예에 따른 패킷 구조의 또 다른 일례를 도시한 도면이다.
도 16은 본 개시의 일 실시예에 따른 데이터의 암호화 여부에 기반한 UP 보안 절차에서 송신부(transmitter) 및 수신부(receiver)의 동작을 도시한 도면이다.
도 17은 본 개시의 일 실시예에 따른 네트워크 엔티티의 동작을 도시한 도면이다.
도 18은 본 개시의 일 실시예에 따른 단말의 동작을 도시한 도면이다.
도 19는 본 개시의 일 실시예에 따른 서버의 동작을 도시한 도면이다.
도 20은 본 개시가 적용될 수 있는 네트워크 엔티티의 구조를 도시한 도면이다.
도 21은 본 개시가 적용될 수 있는 단말의 구조를 도시한 도면이다.
도 22는 본 개시가 적용될 수 있는 서버의 구조를 도시한 도면이다.
도 1은 본 개시가 적용될 수 있는 통신 시스템을 도시한 도면이다.
도 2는 본 개시가 적용될 수 있는 통신 시스템의 프로토콜(protocol) 구조를 도시한 도면이다.
도 3은 본 개시가 적용될 수 있는 통신 시스템에서 단말이 네트워크와 연결을 설정하는 경우, 기지국과 RRC(radio resource control) 연결 설정을 수행하는 절차를 도시한 도면이다.
도 4는 본 개시가 적용될 수 있는 통신 시스템에서 데이터에 대한 무결성 보호 또는 암호화를 활성화(activation)하는 절차를 도시한 도면이다.
도 5는 본 개시가 적용될 수 있는 통신 시스템에서 프로토콜 계층 중 데이터에 대해 무결성 보호 또는 암호화가 수행되는 계층을 도시한 도면이다.
도 6은 본 개시가 적용될 수 있는 통신 시스템에서 데이터에 대해 무결성을 제공하기 위한 무결성 보호의 일례를 도시한 도면이다.
도 7은 본 개시가 적용될 수 있는 통신 시스템에서 데이터에 대해 기밀성을 제공하기 위한 암호화의 일례를 도시한 도면이다.
도 8은 본 개시가 적용될 수 있는 통신 시스템에서 데이터의 암호화 및 무결성 보호가 수행되는 계층에서의 패킷 구조의 일례를 도시한 도면이다.
도 9A는 본 개시가 적용될 수 있는 통신 시스템에서 데이터가 송수신될 수 있는 프로토콜 구조의 일례를 도시한 도면이다.
도 9B는 본 개시가 적용될 수 있는 통신 시스템에서 데이터가 송수신될 수 있는 프로토콜 구조의 일례를 도시한 도면이다.
도 10은 본 개시가 적용될 수 있는 통신 시스템에서 패킷의 구조를 도시한 도면이다.
도 11은 본 개시에서 제안하는 UP 보안 절차를 도시한 도면이다.
도 12는 본 개시의 일 실시예에 따른 데이터의 암호화 여부에 기반한 UP 보안 절차를 도시한 도면이다.
도 13은 본 개시의 일 실시예에 따른 데이터의 암호화 여부에 기반한 UP 보안 절차를 도시한 도면이다.
도 14는 본 개시의 일 실시예에 따른 데이터의 암호화 여부에 기반한 UP 보안 절차를 도시한 도면이다.
도 15A는 본 개시의 일 실시예에 따른 패킷 구조의 일례를 도시한 도면이다.
도 15B는 본 개시의 일 실시예에 따른 패킷 구조의 또 다른 일례를 도시한 도면이다.
도 15C는 본 개시의 일 실시예에 따른 패킷 구조의 또 다른 일례를 도시한 도면이다.
도 15D는 본 개시의 일 실시예에 따른 패킷 구조의 또 다른 일례를 도시한 도면이다.
도 15E는 본 개시의 일 실시예에 따른 패킷 구조의 또 다른 일례를 도시한 도면이다.
도 16은 본 개시의 일 실시예에 따른 데이터의 암호화 여부에 기반한 UP 보안 절차에서 송신부(transmitter) 및 수신부(receiver)의 동작을 도시한 도면이다.
도 17은 본 개시의 일 실시예에 따른 네트워크 엔티티의 동작을 도시한 도면이다.
도 18은 본 개시의 일 실시예에 따른 단말의 동작을 도시한 도면이다.
도 19는 본 개시의 일 실시예에 따른 서버의 동작을 도시한 도면이다.
도 20은 본 개시가 적용될 수 있는 네트워크 엔티티의 구조를 도시한 도면이다.
도 21은 본 개시가 적용될 수 있는 단말의 구조를 도시한 도면이다.
도 22는 본 개시가 적용될 수 있는 서버의 구조를 도시한 도면이다.
이하 본 개시의 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.
실시예를 설명함에 있어서 본 개시가 속하는 기술 분야에 익히 알려져 있고, 본 개시와 직접적으로 관련이 없는 기술 내용에 대해서는 설명을 생략한다.
이는 불필요한 설명을 생략함으로써 본 개시의 요지를 흐리지 않고 더욱 명확히 전달하기 위함이다.
마찬가지 이유로, 첨부 도면에 있어서 일부 구성 요소는 과장되거나 생략되거나 개략적으로 도시되었다. 또한, 각 구성요소의 크기는 실제 크기를 전적으로 반영하는 것이 아니다. 각 도면에서 동일한 또는 대응하는 구성요소는 동일한 참조 번호를 부여하였다.
본 개시의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다.
그러나, 본 개시는 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 개시의 구성을 완전하도록 하고, 본 개시가 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 개시는 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일참조 부호는 동일 구성 요소를 지칭한다.
이 때, 처리 흐름도 도면들의 각 블록과 흐름도 도면들의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수 있음을 이해할 수 있을 것이다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 흐름도 블록(들)에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 흐름도 블록(들)에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 흐름도 블록(들)에서 설명된 기능들을 실행하기 위한 단계들은 제공하는 것도 가능하다.
또한, 각 블록은 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실행 예들에서는 블록들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들은 사실 실질적으로 동시에 수행되는 것도 가능하고, 또는 그 블록들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.
이 때, 본 실시예에서 사용되는 '~부'라는 용어는 소프트웨어 또는 FPGA 또는 ASIC과 같은 하드웨어 구성요소를 의미하며, '~부'는 어떤 역할들을 수행한다. 그렇지만 '~부'는 소프트웨어 또는 하드웨어에 한정되는 의미는 아니다. '~부'는 어드레싱(addressing)할 수 있는 저장 매체에 있도록 구성될 수 있고, 하나 또는 그 이상의 프로세서들을 재생시키도록 구성될 수도 있다. 따라서, 일 예로서 '~부'는 소프트웨어 구성요소들, 객체지향 소프트웨어 구성요소들, 클래스 구성요소들 및 태스크 구성요소들과 같은 구성요소들과, 프로세스들, 함수들, 속성들, 프로시저들, 서브루틴들, 프로그램 코드의 세그먼트들, 드라이버들, 펌웨어, 마이크로코드, 회로, 데이터, 데이터베이스, 데이터 구조들, 테이블들, 어레이들, 및 변수들을 포함한다. 구성요소들과 '~부'들 안에서 제공되는 기능은 더 작은 수의 구성요소들 및 '~부'들로 결합되거나 추가적인 구성요소들과 '~부'들로 더 분리될 수 있다. 뿐만 아니라, 구성 요소들 및 '~부'들은 디바이스 또는 보안 멀티미디어카드 내의 하나 또는 그 이상의 CPU들을 재생시키도록 구현될 수 있다.
이하의 설명의 편의를 위하여, 3GPP(3rd generation partnership project) 규격(5G, NR, LTE 또는 이와 유사한 시스템의 규격)에서 정의하고 있는 용어 및 명칭들이 일부 사용될 수 있다. 또한, 본 개시가 적용될 수 있는 차세대 통신 시스템(예를 들어, 6G, Beyond 5G 시스템)에서 새롭게 정의되거나, 기존의 통신 시스템에서 사용되는 용어 및 명칭들이 사용될 수 있다. 이러한 용어의 사용은 본 개시의 용어 및 명칭들에 의해 한정되는 것은 아니며, 다른 규격에 따르는 시스템에도 동일하게 적용될 수 있고, 본 개시의 기술적 사상을 벗어나지 않는 범위에서 다른 형태로 변경될 수 있다. 본 개시의 실시예들은 다른 통신 시스템에서도 용이하게 변형되어 적용될 수 있다.
또한, 본 개시의 일 실시예에서 명백하게 다른 내용을 지시하지 않는 "한"과, "상기"와 같은 단수 표현들은 복수 표현들을 포함한다는 것이 이해될 수 있을 것이다.
또한, 본 개시의 일 실시예에서 제1, 제2 등과 같이 서수를 포함하는 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성 요소들은 상기 용어들에 의해 한정되지는 않는다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 개시의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다.
또한, 본 개시의 일 실시예에서 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.
또한, 본 개시의 일 실시예에서 사용되는 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 개시를 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 명세서에서, "포함하다" 또는 "가지다" 등의 용어는 명세서 상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
또한, 본 개시의 일 실시예에서 사용되는 용어 "~와 연관되는(associated with)" 및 "~와 연관되는(associated therewith)"과 그 파생어들은 포함하고(include), ~내에 포함되고(be included within), ~와 서로 연결되고(interconnect with), 포함하고(contain), ~내에 포함되고(be contained within), ~에 연결하거나 혹은 ~와 연결하고(connect to or with), ~에 연결하거나 혹은 ~와 연결하고(couple to or with), ~와 통신 가능하고(be communicated with), ~와 협조하고(cooperate with), 인터리빙하고(interleave), 병치하고(juxtapose), ~로 가장 근접하고(be proximate to), ~로 할 가능성이 크거나 혹은 ~와 ~할 가능성이 크고(be bound to or with), 가지고(have), 소유하고(have a property of) 등과 같은 것을 의미할 수 있다.
또한, 본 개시에서, 특정 조건의 만족(satisfied), 충족(fulfilled) 여부를 판단하기 위해, 초과 또는 미만의 표현이 사용되었으나, 이는 일 예를 표현하기 위한 기재일 뿐 이상 또는 이하의 기재를 배제하는 것이 아니다. '이상'으로 기재된 조건은 '초과', '이하'로 기재된 조건은 '미만', '이상 및 미만'으로 기재된 조건은 '초과 및 이하'로 대체될 수 있다.
또한, 본 개시에서, 일부 통신 규격(예: 3GPP(3rd generation partnership project)에서 정의하는 LTE(long term evolution), NR(new radio))에서 사용되는 용어들을 이용하여 실시 예들을 설명하지만, 이는 설명을 위한 예시일 뿐이다. 본 개시의 실시 예들은 다른 통신 시스템에서도 용이하게 변형되어 적용될 수 있다.
본 개시에 대한 자세한 설명에 앞서, 본 명세서에서 사용되는 몇 가지 용어들에 대해 해석 가능한 의미의 예를 제시한다. 하지만, 아래 제시하는 해석 예로 한정되는 것은 아님을 주의하여야 한다.
본 개시에서, 단말(또는, 통신 단말)은 기지국 또는 다른 단말과 통신하는 일 주체로서, 노드, UE(user equipment), NG UE(next generation UE), MS(mobile station), 디바이스(device), 또는 터미널(terminal) 등으로 지칭될 수 있다. 또한, 단말은 스마트폰, 태블릿 PC, 이동 전화기, 영상 전화기, 전자책 리더기, 데스크탑 PC, 랩탑 PC, 넷북 컴퓨터, PDA, PMP(portable multimedia player), MP3 플레이어, 의료기기, 카메라, 또는 웨어러블 장치 중 적어도 하나를 포함할 수 있다. 또한, 단말은 텔레비전, DVD(digital video disk) 플레이어, 오디어, 냉장고, 에어컨, 청소기, 오븐, 전자레인지, 세탁기, 공기 청정기, 셋톱 박스, 홈 오토매이션 컨트롤 패널, 보안 컨트롤 패널, 미디어 박스, 게임 콘솔, 전자 사전, 전자 키, 캠코더, 또는 전자 액자 중 적어도 하나를 포함할 수 있다. 또한, 단말은 각종 의료기기(예: 각종 휴대용 의료측정기기(혈당 측정기, 심박 측정기, 혈압 측정기, 또는 체온 측정기 등), MRA(magnetic resonance angiography), MRI(magnetic resonance imaging), CT(computed tomography), 촬영기, 또는 초음파기 등), 네비게이션 장치, 위성 항법 시스템(GNSS(global navigation satellite system)), EDR(event data recorder), FDR(flight data recorder), 자동차 인포테인먼트 장치, 선박용 전자 장비(예: 선박용 항법 장치, 자이로 콤파스 등), 항공 전자기기(avionics), 보안 기기, 차량용 헤드 유닛(head unit), 산업용 또는 가정용 로봇, 드론(drone), 금융 기관의 ATM, 상점의 POS(point of sales), 또는 사물 인터넷 장치(예: 전구, 각종 센서, 스프링클러 장치, 화재 경보기, 온도조절기, 가로등, 토스터, 운동기구, 온수탱크, 히터, 보일러 등) 중 적어도 하나를 포함할 수 있다. 그 밖에, 단말은 통신 기능을 수행할 수 있는 다양한 종류의 멀티 미디어 시스템을 포함할 수 있다. 한편, 본 개시는 상술한 바에 국한되지 않으며, 단말은 이와 동일 또는 유사한 의미를 가지는 용어에 의해 지칭될 수도 있다.
또한, 본 개시에서 기지국은 단말과 통신하며, 단말의 자원할당을 수행하는 주체로서, 다양한 형태를 가질 수 있고, BS(base station), NodeB(NB), NG RAN(next generation radio access network), AP(access point), TRP(transmission reception point), 무선 접속 유닛, 기지국 제어기, 또는 네트워크 상의 노드 등으로 지칭될 수 있다. 또는, 기능 분리에 따라 CU(central unit) 또는 DU(distributed unit)으로 지칭될 수도 있다. 한편, 본 개시는 이에 국한되지 않고, 기지국은 이와 동일 또는 유사한 의미를 가지는 용어에 의해 지칭될 수도 있다.
또한, 본 개시에서, RRC(radio resource control) 메시지는 상위레벨 정보 상위레벨 메시지, 상위레벨 신호, 상위레벨 시그널링, 상위 레이어 시그널링(high layer signaling), 또는 상위 계층 시그널링으로 지칭될 수 있으며, 본 개시는 이에 국한되지 않고, 이와 동일 또는 유사한 의미를 가지는 용어에 의해 지칭될 수도 있다.
또한, 본 개시에서, 데이터는 사용자 데이터(user data), UP(user plane) 데이터, 또는 어플리케이션 데이터(application data)로 지칭될 수 있으며, 또는 DRB(data radio bearer)를 통해 송수신되는 신호와 동일 또는 유사한 의미를 갖는 용어에 의해 지칭될 수도 있다.
또한, 본 개시에서, 단말로부터 전송되는 데이터의 방향을 상향링크(uplink)로 지칭할 수 있으며, 단말에 전송되는 데이터의 방향을 하향링크(downlink)로 지칭할 수 있다. 이에 따라, 상향링크 전송의 경우, 송신부(transmitter)는 단말을 지칭할 수 있고, 수신부(receiver)는 기지국 또는 통신 시스템의 특정 네트워크 엔티티(network entity)를 지칭할 수 있다. 또는, 하향링크 전송의 경우, 송신부는 기지국 또는 통신 시스템의 특정 네트워크 엔티티를 지칭할 수 있고, 수신부는 단말을 지칭할 수 있다.
또한, 본 개시에서, 무결성 보호는 송신부 측의 무결성 보호 및 수신부 측의 무결성 검증(integrity verification)을 포함하는 것을 지칭할 수 있다. 이에 따라, 본 개시에서 데이터에 대해 무결성 보호를 수행한다는 것은 데이터에 대해 무결성을 제공한다는 것과 동일한 의미일 수 있으며, 이는 송신부 측에서는 데이터에 대해 무결성 보호를 수행하고, 수신부 측에서는 무결성 검증을 수행하는 것을 의미할 수 있다.
또한, 본 개시에서, 암호화는 송신부 측의 암호화 및 수신부 측의 복호화를 포함하는 것을 지칭할 수 있다. 이에 따라, 본 개시에서 데이터에 대해 암호화를 수행한다는 것은 데이터에 대해 기밀성을 제공한다는 것과 동일한 의미일 수 있으며, 이는 송신부 측에서는 데이터에 대해 암호화를 수행하고, 수신부 측에서는 복호화를 수행하는 것을 의미할 수 있다.
또한, 본 개시에서, 데이터에 대해 보안을 제공한다는 것은 데이터에 대해 보안을 적용한다는 것과 동일한 의미일 수 있으며, 이는 데이터의 보안성 강화를 위한 일련의 절차를 수행한다는 것을 의미할 수 있다. 예를 들어, 상기 데이터에 기밀성을 제공하기 위한 암호화를 수행하거나 또는 상기 데이터에 무결성을 제공하기 위한 무결성 보호를 수행하는 것을 의미할 수 있다.
한편, 이하에서는 UP의 DRB에서 송수신되는 데이터(사용자 데이터 또는 어플리케이션 데이터)에 보안을 제공하는 UP 보안 절차를 중심으로 기술하였으나, 본 개시가 이에 국한되는 것은 아니다. 다양한 보안 절차에도 본 개시가 적용될 수 있음은 통상의 기술자 입장에서 자명하다.
도 1은 본 개시가 적용될 수 있는 통신 시스템을 도시한 도면이다.
도 1을 참조하면, 도시된 RAN(radio access network) 노드(1-100, 1-200)는 EPC(Evolved Packet Core) 또는 5GC(5G Core Network) 등의 이동통신 코어 망(core network, CN)과 연결된 LTE eNB(evolved Node B, eNodeB), NR gNB(next generation Node B, gNodeB), 차세대 이동통신 시스템의 기지국 또는 이와 동일, 유사한 기능을 수행하는 네트워크 노드를 의미할 수 있다. 한편, RAN 노드(1-100, 1-200)는 CU(centralized unit)와 DU(distributed unit)으로 기능이 분리될 수 있으며, CU는 다시 CU-CP(control plane) 및 CU-UP(user plane)로 기능이 분리될 수 있다.
본 개시에서, 하나의 RAN 노드는 하나 이상의 CU-CUP, 하나 이상의 CU-UP 하나 이상의 DU로 구성될 수 있다. 또한, 하나의 RAN 노드는 CU-CP, CU-UP 및 DU로 구성될 수 있다. 예를 들어, 하나의 RAN 노드는 CU-CP와 CU-UP가 함께 구현된 CU 및 DU로 구성될 수 있다. 또는, 하나의 RAN 노드는 CU-CP, CU-UP 및 DU가 함께 구현된 일체형 기지국 형태로 구성될 수도 있다. 한편, 상술한 바와 같은 RAN 노드의 구성은 일례에 해당할 뿐, 본 개시가 이에 국한되는 것은 아니다. 상술한 예시 외 임의의 다른 조합으로 하나의 RAN 노드가 구성될 수 있다.
본 개시에서, CU와 DU는 각각 기지국의 기능을 나누어서 지원할 수 있다. 예를 들어, CU는 RRC(radio resource control) 계층 또는 PDCP(packet data convergence protocol) 계층의 기능을 지원할 수 있고, DU는 RLC(radio link control) 계층, MAC(medium access control) 계층, PHY(physical) 계층 또는 RF(radio frequency) 계층의 기능을 지원할 수 있다. 또한, CU와 DU는 W1 인터페이스(interface) 또는 F1 인터페이스와 같은 기지국 내부 기능 간 인터페이스를 통해 서로 연결될 수 있다. 한편, CU 및 DU가 지원하는 각 계층의 기능에 대한 구체적인 내용은 도 2에서 후술하기로 한다.
본 개시에서, CU는 CU-CP와 CU-UP로 나누어질 수 있다. 이 경우, 예를 들어, CU-CP는 RRC 계층 또는 PDCP(RRC 용) 계층의 기능을 지원할 수 있고, CU-UP는 PDCH(사용자 데이터 전송 용) 계층의 기능을 지원할 수 있다. CU-CP와 CU-UP는 E1 인터페이스와 같은 기지국 내부 기능 간 인터페이스를 통해 연결될 수 있다.
또한, 본 개시에서, RAN 노드 또는 기지국은 일체형 구조 또는 분리형 구조로 구현될 수 있으며, 일체형 구조 기지국 간, 분리형 기지국 간, 일체형 구조 기지국 및 분리형 구조 기지국 간 연결이 가능할 수 있다. RAN 노드 간에는 X2 인터페이스 또는 Xn 인터페이스와 같은 기지국 간 인터페이스를 통해 연결될 수 있다. 또한, RAN 노드와 코어 망은 S1 인터페이스 또는 NG 인터페이스와 같이 기지국-코어 망 간 인터페이스를 통해 연결될 수 있다.
또한, 본 개시에서, 코어 망은 다양한 네트워크 엔티티(예를 들어, UPF(user plane function), SMF(session management function), AMF(access and mobility function), NEF(network exposure function), 또는 AF(application function) 등 그 외 특정 기능(function)을 수행하는 네트워크 엔티티)를 포함하여 구성될 수 있다.
UPF는 코어 망에서 사용자 평면을 담당하는 네트워크 기능(network function, NF)이다. UPF는 제어 평면 NF들 중 하나(예를 들어, SMF)로부터 수신된 정보(예를 들어, PDF(packet detection rule), FAR(forwarding action rule), QER(quality of service enforcement rule) 또는 URR(usage reporting rule) 중 적어도 하나)에 기반하여, IP(internet protocol) 플로우(flow)의 패킷을 특정 PDU(protocol data unit) 세션에 속한 특정 QoS 플로우에 맵핑하는 기능을 수행할 수 있다.
SMF는 코어 망에서 제어 평면을 담당하는 네트워크 기능(network function, NF)들 중 하나이다. SMF는 QoS(quality of service)를 보장하기 위하여 필요한 정보(예를 들어, QFI(QoS flow indicator), QoS 프로파일, PDR, FAR, QER 또는 URR 중 적어도 하나)를 UPF 및 기지국에 전송할 수 있다. 또한, SMF는 PDU 세션 수립(PDU session establishment) 절차에서, 해당 PDU 세션에 속한 모든 DRB에 대해 UP 기밀성 또는 UP 무결성을 활성화할지 여부에 대한 UP 보안 정책(UP security policy)를 결정하고, 이를 AMF를 통해 기지국에 전달할 수 있다.
한편, 상술한 통신 시스템은 본 개시가 적용될 수 있는 통신 시스템의 일례를 설명한 것일 뿐, 본 개시가 이에 국한되는 것은 아니다. 즉, 본 개시에서 제안되는 실시예들은 다양한 통신 시스템에 적용되어 실시될 수 있다.
도 2는 본 개시가 적용될 수 있는 통신 시스템의 프로토콜 구조를 도시한 도면이다.
도 2를 참조하면, 통신 시스템의 프로토콜 구조는 단말과 기지국에서 각각 SDAP(service data adaptation protocol)(2-01, 2-45), PDCP(2-05, 2-40), RLC(2-10, 2-35), MAC(2-15, 2-30), PHY(2-20, 2-25)로 구성될 수 있다.
SDAP(2-01, 2-45)의 주요 기능은 다음의 기능들 중 일부를 포함할 수 있다.
- 사용자 데이터의 전달 기능(transfer of user plane data)
- 상향링크와 하향링크에 대해서 QoS flow와 데이터 베어러의 맵핑 기능(mapping between a QoS flow and a DRB for both DL and UL)
- 상향링크와 하향링크에 대해서 QoS flow ID를 마킹 기능(marking QoS flow ID in both DL and UL packets)
- 상향링크 SDAP PDU들에 대해서 reflective QoS flow를 데이터 베어러에 맵핑시키는 기능(reflective QoS flow to DRB mapping for the UL SDAP PDUs).
SDAP 계층(또는, SDAP 계층 장치)에 대해, 단말은 무선 자원 제어(radio resource control, RRC) 메시지로 각 PDCP 계층 별로 또는 베어러 별로 또는 로지컬(logical) 채널 별로 SDAP 계층 장치의 헤더(header)를 사용할 지 여부, 또는 SDAP 계층 장치의 기능을 사용할 지 여부를 설정 받을 수 있다. SDAP 헤더가 설정된 경우, 단말은, SDAP 헤더의 비접속 계층(Non-Access Stratum, NAS) QoS(Quality of Service) 반영 설정 1비트 지시자(NAS reflective QoS)와, 접속 계층(Access Stratum, AS) QoS 반영 설정 1비트 지시자(AS reflective QoS)로, 단말이 상향링크와 하향링크의 QoS 플로우(flow)와 데이터 베어러에 대한 맵핑 정보를 갱신 또는 재설정할 수 있도록 지시할 수 있다. SDAP 헤더는 QoS를 나타내는 QoS flow ID 정보를 포함할 수 있다. QoS 정보는 원할한 서비스를 지원하기 위한 데이터 처리 우선 순위, 스케줄링 정보 등으로 사용될 수 있다.
PDCP(2-05, 2-40)의 주요 기능은 다음의 기능들 중 일부를 포함할 수 있다.
- 헤더 압축 및 압축 해제 기능(Header compression and decompression: ROHC only)
- 사용자 데이터 전송 기능(Transfer of user data)
- 순차적 전달 기능(In-sequence delivery of upper layer PDUs)
- 비순차적 전달 기능(Out-of-sequence delivery of upper layer PDUs)
- 순서 재정렬 기능(PDCP PDU reordering for reception)
- 중복 탐지 기능(Duplicate detection of lower layer SDUs)
- 재전송 기능(Retransmission of PDCP SDUs)
- 암호화 및 복호화 기능(Ciphering and deciphering)
- 타이머 기반 SDU 삭제 기능(Timer-based SDU discard in uplink.)
상술한 내용에서, PDCP 계층(또는, PDCH 계층 장치)의 순서 재정렬 기능(reordering)은 하위 계층에서 수신한 PDCP PDU들을 PDCP SN(sequence number)을 기반으로 순서대로 재정렬하는 기능을 의미할 수 있다. PDCP 계층의 순서 재정렬 기능(reordering)은 재정렬된 순서대로 데이터를 상위 계층에 전달하는 기능을 포함할 수 있다. 또는 PDCP 계층의 순서 재정렬 기능은, 순서를 고려하지 않고 바로 전달하는 기능을 포함할 수 있다. 그리고, PDCP 계층의 순서 재정렬 기능은 순서를 재정렬하여 유실된 PDCP PDU들을 기록하는 기능을 포함할 수 있으며, 유실된 PDCP PDU들에 대한 상태 보고를 송신 측에 하는 기능을 포함할 수 있으며, 유실된 PDCP PDU들에 대한 재전송을 요청하는 기능을 포함할 수 있다.
RLC(2-10, 2-35)의 주요 기능은 다음의 기능들 중 일부를 포함할 수 있다.
- 데이터 전송 기능(Transfer of upper layer PDUs)
- 순차적 전달 기능(In-sequence delivery of upper layer PDUs)
- 비순차적 전달 기능(Out-of-sequence delivery of upper layer PDUs)
- ARQ 기능(Error Correction through ARQ)
- 접합, 분할, 재조립 기능(Concatenation, segmentation and reassembly of RLC SDUs)
- 재분할 기능(Re-segmentation of RLC data PDUs)
- 순서 재정렬 기능(Reordering of RLC data PDUs)
- 중복 탐지 기능(Duplicate detection)
- 오류 탐지 기능(Protocol error detection)
- RLC SDU 삭제 기능(RLC SDU discard)
- RLC 재수립 기능(RLC re-establishment)
상술한 내용에서, RLC 계층(또는, RLC 계층 장치)의 순차적 전달 기능(In-sequence delivery)은 하위 계층으로부터 수신한 RLC SDU들을 순서대로 상위 계층에 전달하는 기능을 의미할 수 있다. 원래 하나의 RLC SDU가 여러 개의 RLC SDU들로 분할되어 수신된 경우, RLC 계층의 순차적 전달 기능(In-sequence delivery)은 이를 재조립하여 전달하는 기능을 포함할 수 있다.
RLC 계층의 순차적 전달 기능(In-sequence delivery)은, 수신한 RLC PDU들을 RLC SN(sequence number) 또는 PDCP SN(sequence number)을 기준으로 재정렬하는 기능을 포함할 수 있다. 또한, RLC 계층의 순차적 전달 기능은 순서를 재정렬하여 유실된 RLC PDU들을 기록하는 기능을 포함할 수 있다. 또한, RLC 계층의 순차적 전달 기능은 유실된 RLC PDU들에 대한 상태 보고를 송신 측에 하는 기능을 포함할 수 있으며, 유실된 RLC PDU들에 대한 재전송을 요청하는 기능을 포함할 수 있다.
RLC 계층의 순차적 전달 기능(In-sequence delivery)은, 유실된 RLC SDU가 있을 경우, 유실된 RLC SDU 이전까지의 RLC SDU들만을 순서대로 상위 계층에 전달하는 기능을 포함할 수 있다.
RLC 계층의 순차적 전달 기능(In-sequence delivery)은, 유실된 RLC SDU가 있어도 소정의 타이머가 만료되었다면 타이머가 시작되기 전에 수신된 모든 RLC SDU들을 순서대로 상위 계층에 전달하는 기능을 포함할 수 있다.
RLC 계층의 순차적 전달 기능(In-sequence delivery)은, 유실된 RLC SDU가 있어도 소정의 타이머가 만료되었다면 현재까지 수신된 모든 RLC SDU들을 순서대로 상위 계층에 전달하는 기능을 포함할 수 있다.
RLC 계층은, 일련번호(Sequence number)의 순서와 상관없이(Out-of sequence delivery) RLC PDU들을 수신하는 순서대로 처리하여 NR PDCP 계층으로 전달할 수 있다.
RLC 계층이 세그먼트(segment)를 수신할 경우에는, 버퍼에 저장되어 있거나 추후에 수신될 세그먼트들을 수신하여, 온전한 하나의 RLC PDU로 재구성한 후, 이를 PDCP 계층으로 전달할 수 있다.
RLC 계층은 접합(Concatenation) 기능을 포함하지 않을 수 있다. 또는, MAC 계층에서 접합 기능이 수행되거나, MAC 계층의 다중화(multiplexing) 기능으로 접합 기능이 대체될 수 있다.
상술한 내용에서, RLC 계층의 비순차적 전달 기능(Out-of-sequence delivery)은 하위 계층으로부터 수신한 RLC SDU들을 순서와 상관없이 바로 상위 계층으로 전달하는 기능을 의미할 수 있다. RLC 계층의 비순차적 전달 기능(Out-of-sequence delivery)은, 원래 하나의 RLC SDU가 여러 개의 RLC SDU들로 분할되어 수신된 경우, 이를 재조립하여 전달하는 기능을 포함할 수 있다. RLC 계층의 비순차적 전달 기능(Out-of-sequence delivery)은, 수신한 RLC PDU들의 RLC SN 또는 PDCP SN을 저장하고 순서를 정렬하여 유실된 RLC PDU들을 기록해두는 기능을 포함할 수 있다.
MAC(2-15, 2-30)은 한 단말에 구성된 여러 NR RLC 계층들과 연결될 수 있으며, NR MAC의 주요 기능은 다음의 기능들 중 일부를 포함할 수 있다.
- 맵핑 기능(Mapping between logical channels and transport channels)
- 다중화 및 역다중화 기능(Multiplexing/demultiplexing of MAC SDUs)
- 스케줄링 정보 보고 기능(Scheduling information reporting)
- HARQ 기능(Error correction through HARQ)
- 로지컬 채널 간 우선 순위 조절 기능(Priority handling between logical channels of one UE)
- 단말간 우선 순위 조절 기능(Priority handling between UEs by means of dynamic scheduling)
- MBMS 서비스 확인 기능(MBMS service identification)
- 전송 포맷 선택 기능(Transport format selection)
- 패딩 기능(Padding)
PHY 계층(2-20, 2-25)은 상위 계층 데이터를 채널 코딩 및 변조하고, OFDM 심벌로 만들어서 무선 채널로 전송하거나, 무선 채널을 통해 수신한 OFDM 심벌을 복조하고 채널 디코딩해서 상위 계층으로 전달하는 동작을 수행할 수 있다.
한편, 도 2를 참조하여 설명한 프로토콜 구조의 각 계층의 기능 또는 명칭 등은 변경될 수 있다.
도 3은 본 개시가 적용될 수 있는 통신 시스템에서 단말이 네트워크와 연결을 설정하는 경우, 기지국과 RRC(radio resource control) 연결 설정을 수행하는 절차의 일례를 도시한 도면이다.
도 3을 참조하면, 기지국은 RRC 연결 모드(예를 들어, RRC connected mode, RRC connected state 또는 이와 동일, 유사한 의미를 갖는 용어에 의해 지칭될 수 있다.)에서 데이터를 송수신하는 단말이 소정의 이유로 또는 일정 시간 동안 데이터의 송수신이 없으면, RRC 메시지(예를 들어, RRCConnectionRelease 메시지)를 단말에 전송하여, 단말이 RRC 유휴 모드(예를 들어, RRC idle mode, RRC idle state 또는 이와 동일, 유사한 의미를 갖는 용어에 의해 지칭될 수 있다.)로 전환하도록 할 수 있다(3-01). 추후에 연결이 설정되어 있지 않은 단말(예를 들어, idle mode의 단말)은 전송할 데이터가 발생하면, 기지국과 RRC 연결 설정 절차(예를 들어, RRC connection establishment 절차)를 수행할 수 있다.
단말은 랜덤 액세스 절차를 통해 기지국과의 동기화를 수행하고, RRC 메시지(예를 들어, RRCConnectionRequest 메시지)를 기지국에 전송한다(3-05). 이때, RRC 메시지에는 단말의 식별자와 연결을 설정하고자 하는 이유(establishment cause) 등이 포함될 수 있다.
기지국은 단말이 RRC 연결을 설정하도록 RRC 메시지(예를 들어, RRCConnectionSetup 메시지)를 전송할 수 있다(3-10). 이때, RRC 메시지에는 로지컬 채널 별 설정 정보, 베어러 별 설정 정보, PDCP 계층에 대한 설정 정보, RLC 계층에 대한 설정 정보, 또는 MAC 계층에 대한 설정 정보 중 적어도 하나가 포함될 수 있다. 또한, RRC 메시지에는 각 베어러에 대한 베어러 식별자(예를 들어, SRB 식별자 또는 DRB 식별자)를 할당해주고, 각 베어러에 대해 PDCP 계층, RLC 계층, MAC 계층 또는 PHY 계층에 대한 설정을 지시해줄 수 있다. 또한, RRC 메시지에서 각 베어러 별로 PDCP 계층에 대해 암호화 기능 또는 복호화 기능을 수행할지 여부 또는 무결성 보호 기능 또는 무결성 보호 기능을 수행할지 여부를 지시할 수 있다. 예를 들어, RRC 메시지에는 각 베어러 별로 PDCP 계층에 대해 암호화 기능을 비활성화(disable)하는 지시자 또는 무결성 보호 기능을 활성화(enable)하는 지시자 중 적어도 하나가 포함될 수 있다.
RRC 연결을 설정한 단말은 RRC 메시지(예를 들어, RRCConnectionSetupComplete 메시지)를 기지국에 전송한다(3-15). 이때, RRC 메시지는 단말이 소정의 서비스를 위한 베어러 설정을 AMF 또는 MME에 요청하는 메시지(예를 들어, service request 메시지)를 포함할 수 있다. 기지국은 RRC 메시지에 포함된 메시지를 AMF 또는 MME에 전송할 수 있다(3-20). AMF 또는 MME는 단말이 요청한 서비스를 제공할지 여부를 판단할 수 있다.
판단 결과, 단말이 요청한 서비스를 제공하기로 결정하였다면, AMF 또는 MME는 기지국에 메시지(예를 들어, Initial context setup request 메시지)를 전송할 수 있다(3-25). 이때, 메시지에는 DRB 설정 시 적용할 QoS(quality of service) 정보, DRB에 적용할 보안 관련 정보(예를 들어, security key, security algorithm) 등의 정보가 포함될 수 있다.
기지국은 단말과 보안을 설정하기 위해서 보안 설정 관련 메시지(예를 들어, SecurityModeCommand 메시지 및 SecurityModeComplete 메시지)을 교환할 수 있다(3-30, 3-35). 보안 설정이 완료되면, 기지국은 단말에 RRC 메시지(예를 들어, RRCConnectionReconfiguration 메시지)를 전송할 수 있다(3-40). 이때, RRC 메시지에는 각 베어러에 대한 베어러 식별자(예를 들어, SRB 식별자 또는 DRB 식별자)를 할당해주고, 각 베어러에 대해 PDCP 계층, RLC 계층, MAC 계층 또는 PHY 계층에 대한 설정을 지시해줄 수 있다. 또한, RRC 메시지에서 각 베어러 별로 PDCP 계층에 대해 암호화 기능 또는 복호화 기능을 수행할지 여부 또는 무결성 보호 기능 또는 무결성 보호 기능을 수행할지 여부를 지시할 수 있다. 예를 들어, RRC 메시지에는 각 베어러 별로 PDCP 계층에 대해 암호화 기능을 비활성화(disable)하는 지시자 또는 무결성 보호 기능을 활성화(enable)하는 지시자 중 적어도 하나가 포함될 수 있다. 또한, RRC 메시지에는 사용자 데이터가 처리될 DRB의 설정 정보가 포함될 수 있으며, 단말은 상기 정보를 적용하여 DRB를 설정하고, 기지국에 RRC 메시지(예를 들어, RRCConnectionReconfigurationComplete 메시지)를 전송할 수 있다(3-45). 단말과 DRB 설정을 완료한 기지국은 AMF 또는 MME에 메시지(예를 들어, Initial context setup complete 메시지)를 전송하고, 연결을 완료할 수 있다.
상기 절차가 모두 완료되면, 단말은 기지국 및 코어 망을 통해 데이터를 송수신할 수 있다(3-55, 3-60). 일 실시예에 따르면, 데이터 전송 과정은 크게 RRC 연결 설정, 보안 설정, DRB 설정으로 구성될 수 있으며, 기지국은 소정의 이유로 단말에 설정을 새로 하거나, 추가하거나 또는 변경하기 위해서 RRC 메시지(예를 들어 RRCConnectionReconfiguration 메시지)를 전송할 수도 있다. 이때, RRC 메시지에는 각 베어러에 대한 베어러 식별자(예를 들어, SRB 식별자 또는 DRB 식별자)를 할당해주고, 각 베어러에 대해 PDCP 계층, RLC 계층, MAC 계층 또는 PHY 계층에 대한 설정을 지시해줄 수 있다. 또한, RRC 메시지에서 각 베어러 별로 PDCP 계층에 대해 암호화 기능 또는 복호화 기능을 수행할지 여부 또는 무결성 보호 기능 또는 무결성 보호 기능을 수행할지 여부를 지시할 수 있다. 예를 들어, RRC 메시지에는 각 베어러 별로 PDCP 계층에 대해 암호화 기능을 비활성화(disable)하는 지시자 또는 무결성 보호 기능을 활성화(enable)하는 지시자 중 적어도 하나가 포함될 수 있다.
상술한 바와 같은 단말과 기지국 간 연결 설정 절차는 단말과 NR 시스템의 기지국 간 연결 설정뿐만 아니라 단말과 LTE 기지국과의 연결 설정에도 적용될 수 있으며, 또한 본 개시가 적용될 수 있는 다양한 통신 시스템에서의 기지국과 단말 간 연결 설정에도 적용될 수 있다. 또한, 상기 절차에서 메시지의 명칭 및 메시지에 포함될 수 있는 정보는 변경될 수 있다.
한편, 상술한 바와 같은 통신 시스템에서는 높은 신뢰도를 갖는 데이터 전송 방법을 지원해야 하며, 데이터의 전송 에러 또는 확인되지 않은 불특정 사용자로부터의 공격에 대처하기 위해 보안성을 강화해야 할 필요성이 대두하였다. 한편, 데이터의 보안성을 강화하기 위한 방법으로, 데이터에 기밀성을 제공하는 암호화 또는 무결성을 제공하는 무결성 보호가 고려될 수 있다. 이를 위해, 암호화 및 무결성 보호를 활성화하는 절차가 수행될 수 있다. 이하, 도 4를 참조하여 구체적으로 설명하기로 한다.
도 4는 본 개시가 적용될 수 있는 통신 시스템에서 암호화 또는 무결성 보호를 활성화하는 절차를 도시한 도면이다.
단말이 SMF(또는, SMF를 수행하는 네트워크 엔티티)에 데이터 전송 요청을 한 경우, SMF는 PDU(protocol data unit) 세션 수립 절차에서, 해당 PDU 세션에 속한 모든 DRB에 대하여 UP 기밀성(Confidentiality) 또는 무결성을 활성화할지 여부에 대한 UP 보안 정책을 결정하고, 이를 기지국에 전송할 수 있다. UP 보안 정책은 기지국이 해당 PDU 세션에 속한 모든 DRB에 대하여 UP 기밀성 또는 UP 무결성을 활성화하는데 사용될 수 있다. 예를 들어, UP 보안 정책이 UP 기밀성 또는 UP 무결성 보호에 대해 "Required"라 지시하는 경우, 기지국은 UP 기밀성 또는 UP 무결성 보호를 활성화하고, 이를 해당 PDU 세션 상의 모든 트래픽(데이터)에 적용할 수 있다. 또는, UP 보안 정책이 UP 기밀성 또는 UP 무결성 보호에 대해 "Not needed"라 지시하는 경우, 기지국은 UP 기밀성 또는 UP 무결성 보호를 활성화하지 않고, 해당 PDU 세션에 대해 적용하지 않을 수 있다. 한편, 기지국은 도 3에서 설명한 RRC 시그널링을 사용하여, 각 DRB 별로 UP 기밀성 또는 UP 무결성 보호를 활성화할 수 있다. 즉, 기지국은 해당 UP 보안 정책에 따라, UP 기밀성 또는 UP 무결성 보호의 활성화를 RRC 시그널링을 사용하여 단말에 지시할 수 있다. 이후, 기지국과 단말은 공유하고 있는 UP 기밀성 또는 UP 무결성 보호의 활성화 여부에 따라, 데이터에 암호화 또는 무결성 보호 절차를 수행함으로써, 해당 데이터를 보호할 수 있다.
한편, 도 4를 참조하면, UP 기밀성 또는 UP 무결성 보호를 활성화하는 절차는 도 3에서 설명한 RRC 연결 재설정 절차를 사용한 DRB 추가(또는, 수정)의 일부분으로써 수행될 수 있다.
DRB를 추가(또는, 수정)하는 데 사용되는 RRC 연결 재설정 절차는 AS security 모드 명령 절차의 일부로써, RRC 보안이 활성화된 후에 수행될 수 있다. 즉, RRC 암호화 및 RRC 무결성 보호를 포함한 RRC 보안이 활성화된 후에 수행될 수 있다. 따라서, 405 단계에서, 기지국은 RRC 보안이 활성화되었는지 여부를 확인할 수 있다.
RRC 보안이 활성화된 경우, 410 단계에서, 기지국은 SMF로부터 제공받은 UP 보안 정책에 따라, 각 DRB에 대해 기밀성 제공을 위한 암호화의 활성화 여부를 지시하는 지시자 또는 무결성 제공을 위한 무결성 보호의 활성화 여부를 지시하는 지시자를 포함하는 RRC 메시지(예를 들어 RRC connection reconfiguration 메시지)를 단말에 전송할 수 있다.
415 단계에서, RRC 메시지에 지시된 바와 같이, DRB에 대해 무결성 보호가 활성화되고, 기지국이 UP 무결성 보호에 사용되는 키(예를 들어, K_UPint)를 갖고 있지 않은 경우, 기지국은 상기 키(K_UPint)를 생성하고, DRB에 대한 UP 무결성 보호는 기지국에서 시작된다. 마찬가지로, RRC 메시지에 지시된 바와 같이, DRB에 대해 암호화가 활성화되고, 기지국이 UP 암호화에 사용되는 키(예를 들어, K_UPEnc)를 갖고 있지 않은 경우, 기지국은 상기 키(K_UPEnc)를 생성하고, DRB에 대한 UP 암호화는 기지국에서 시작된다.
420 단계에서, 단말은 기지국으로부터 수신된 RRC 메시지를 검증(verification)해야 한다.
검증이 성공한 경우, 425 단계에서, RRC 메시지에 지시된 바와 같이, DRB에 대해 UP 무결성 보호가 활성화되고, 단말이 UP 무결성 보호에 사용되는 키(예를 들어, K_UPint)를 갖고 있지 않은 경우, 단말은 상기 키(K_UPint)를 생성하고, DRB에 대한 UP 무결성 보호는 단말에서 시작된다.
마찬가지로, RRC 메시지에 지시된 바와 같이, DRB에 대해 UP 암호화가 활성화되고, 단말이 UP 암호화에 사용되는 키(예를 들어, K_UPEnc)를 갖고 있지 않은 경우, 단말은 상기 키(K_UPEnc)를 생성하고, DRB에 대한 UP 암호화는 단말에서 시작된다.
이후, 단말이 RRC 메시지의 무결성을 성공적으로 검증하면, 430 단계에서, 단말은 기지국에 RRC 메시지(예를 들어, RRC connection reconfiguration complete 메시지)를 전송할 수 있다.
한편, DRB에 대해 UP 무결성 보호가 활성화되지 않은 경우, 기지국과 단말은 해당 DRB에서 송수신되는 데이터(또는, 트래픽)의 무결성을 보호하지 않으며, 기지국과 단말의 데이터의 무결성 보호를 위한 정보(예를 들어, MAC-I(message authentication code-integrity)를 생성하지 않으며, 이를 상기 데이터를 포함하는(또는, 운반하는) 패킷에 삽입하지 않는다.
또한, DRB에 대해 UP 암호화가 활성화되지 않은 경우, 기지국과 단말은 해당 DRB에서 송수신되는 데이터(또는, 트래픽)을 암호화하지 않는다.
한편, 본 개시에서, 데이터의 보안성 강화를 위한 암호화 및 무결성 보호 절차는 앞서 설명한 프로토콜 구조 상 특정 계층에서 수행될 수 있다. 이는 도 5를 참조하여, 구체적으로 설명하기로 한다.
도 5는 본 개시가 적용될 수 있는 통신 시스템에서 프로토콜 계층 중 데이터에 대해 무결성 보호 또는 암호화가 수행되는 계층을 도시한 도면이다.
도 5에서는, 데이터의 암호화 및 무결성 보호가 수행되는 계층으로, PDCP 계층을 예시로 들었다. 그러나, 본 개시가 이에 국한되는 것은 아니며, 본 개시에 따른 데이터의 암호화 및 무결성 보호가 수행되는 계층은 변경될 수 있으며, 명칭에 제한되지 않는다. 또한, 암호화 및 무결성 보호가 적어도 하나의 계층에서 수행되는 경우에도 본 개시가 적용될 수 있다.
도 5를 참조하면, 송신부의 PDCP 계층에서는, 보안 설정에 따라 데이터에 대해 무결성 보호를 수행하고, 이를 암호화할 수 있다. 한편, 수신부의 PDCP 계층에서는 수신한 패킷에 대해 복호화를 수행하고, 무결성 검증을 수행할 수 있다. 만약, 복호화 및 무결성 검증에 오류가 없으면, 수신부의 PDCP 계층은 해당 패킷에 대해 순서 재정렬, 중복 패킷 검사, 헤더 압축 해제 등과 같은 절차를 수행할 수 있다.
도 6은 본 개시가 적용될 수 있는 통신 시스템에서 데이터에 대해 무결성을 제공하기 위한 무결성 보호의 일례를 도시한 도면이다.
도 6을 참조하면, 송신부의 PDCP 계층에서는, 상위 계층(예를 들어, RRC 계층, NAS(non-access stratum) 계층)로부터 유도되거나 적용된 보안키, 무결성 보호할 데이터에 해당하는 COUNT 값, 또는 데이터에 해당하는 베어러 식별자들에 기반하여, 무결성 보호 절차를 수행할 수 있다. 예를 들어, 송신부의 PDCP 계층은 무결성 보호할 데이터를 특정 크기의 바이트(예를 들어, 8 바이트(64 비트)) 단위로 무결성 보호 알고리즘에 따라 계산하고, 최종적으로 특정 바이트(예를 들어, 4 바이트(32 비트))의 MAC-I를 계산해내어, 데이터의 맨 뒤에 부착할 수 있다. 한편, 수신부의 PDCP 계층에서는 수신한 데이터에 대해서 무결성 검증 알고리즘을 적용하여 획득된 X-MAC과 MAC-I를 비교하여, 두 값이 같으면 수신한 데이터에 대한 무결성 검증이 성공적으로 수행되었다고 판단할 수 있다. 또는, 만약 두 값이 다르면, 무결성 검증이 실패하였다고 판단하고, 수신한 데이터를 폐기할 수 있다. 한편, 본 개시에서 무결성 보호 알고리즘 및 무결성 검증 알고리즘은 EIA0, EIA1, 또는 EIA2 중 적어도 하나를 포함할 수 있으며, 또는 그 외 다양한 알고리즘이 사용될 수도 있다. 도 6에서 설명한 무결성 보호를 위한 절차는 일례에 해당할 뿐, 본 개시가 이에 국한되는 것은 아니다. 따라서, 데이터에 무결성을 제공하기 위한 다양한 방법에 따라 데이터의 무결성 보호가 수행될 수 있으며, 이러한 경우에도 본 개시가 적용될 수 있다.
도 7은 본 개시가 적용될 수 있는 통신 시스템에서 데이터에 대해 기밀성을 제공하기 위한 암호화의 일례를 도시한 도면이다.
도 7을 참조하면, 송신부의 PDCP 계층에서는, 상위 계층(예를 들어, RRC 계층, NAS(non-access stratum) 계층)로부터 유도되거나 적용된 보안키, 암호화할 데이터에 해당하는 COUNT 값, 또는 데이터에 해당하는 베어러 식별자들에 기반하여, 암호화 알고리즘을 통해 암호화할 데이터와 동일한 길이의 키 스트림(key steam)을 생성할 수 있다. 이후, 생성된 키 스트림과 암호화할 데이터에 대해 XOR 절차를 수행함으로써, 암호화된 데이터를 생성할 수 있다. 한편, 수신부의 PDCP 계층에서는, 복호화 알고리즘을 통해 생성된 키 스트림과 암호화된 데이터에 대해 XOR 절차를 수행하여 복호화할 수 있다. 한편, 본 개시에서 암호화 알고리즘 및 복호화 알고리즘은 EEA0, EEA1, EEA2, 또는 EEA3 중 적어도 하나를 포함할 수 있으며, 그 외 다양한 알고리즘이 사용될 수도 있다. 도 7에서 설명한 암호화를 위한 절차는 일례에 해당할 뿐, 본 개시가 이에 국한되는 것은 아니다. 따라서, 데이터에 기밀성을 제공하기 위한 다양한 방법에 따라 데이터의 암호화가 수행될 수 있으며, 이러한 경우에도 본 개시가 적용될 수 있다.
도 8은 본 개시가 적용될 수 있는 통신 시스템에서 데이터의 암호화 및 무결성 보호가 수행되는 계층에서의 패킷 구조의 일례를 도시한 도면이다.
도 8을 참조하면, PDCP 계층에서의 패킷 구조가 도시되었다. 본 개시에서, 프로토콜 구조 상 데이터가 전송되는 각 계층은 데이터와 관련된 정보(예를 들어, 해당 계층의 헤더(header) 또는 부가 정보)를 데이터에 추가하고, 하위 계층에 전달한다. 예를 들어, PDU(protocol data unit) 계층은 데이터에 대하여 PDU 헤더(PDU-H)를 추가하고, 하위 계층인 SDAP 계층에 PDU 헤더 및 데이터를 포함하는 패킷을 전달한다. SDAP 계층은 PDU 계층으로부터 전달받은 패킷에 SDAP 헤더(SDAP-H)를 추가하여, 하위 계층인 PDCP 계층에 전달한다. PDCP 계층은 SDPA 계층으로부터 전달받은 패킷에 대해 무결성 보호 또는 암호화를 수행하고, PDCP 헤더(PDCP-H)를 추가한 패킷을 하위 계층(예를 들어, RLC 계층)에 전달한다. 한편, PDCP 계층에서 패킷에 대해 무결성 보호를 수행하는 경우, 해당 패킷의 무결성 보호를 위한 정보(예를 들어, MAC-I)가 생성되어, 패킷 내 데이터의 다음에 위치하도록 추가(또는, 삽입)된다. 또한, PDCP 계층에서 기밀성을 제공하기 위한 암호화를 수행하는 경우, 패킷 내 SDAP 헤더를 제외한 부분이 암호화된다.
한편, 본 개시가 적용될 수 있는 통신 시스템에서의 데이터 송수신은 상술한 바와 같은 프로토콜 구조에 따라 수많은 계층을 거쳐 수행될 수 있고, 이중 일부 계층(예를 들어, PDCP 계층)에서는 데이터에 대한 보안을 제공할 수 있다. 이러한 통신 시스템에서는 데이터가 이미 암호화되었음에도 불구하고, 상기 데이터가 중복적으로 암호화되는 경우가 있을 수 있다. 이하, 도 9A 내지 도 10을 참조하여, 이에 대해 구체적으로 설명하기로 한다.
도 9A 및 도 9B는 본 개시가 적용될 수 있는 통신 시스템에서 데이터가 송수신될 수 있는 UP 프로토콜 구조의 일례를 도시한 도면이다.
도 9A 및 도 9B를 참조하면, DN(data network)에서 데이터 전송 시 적어도 하나의 계층을 거쳐 단말에 전송될 수 있다. 한편, 데이터가 거쳐 지나가는 계층 중 일부 계층에서는 데이터에 대해 보안을 제공할 수 있다. 예를 들어, 데이터가 어플리케이션 데이터인 경우, 어플리케이션 계층에서 TLS(transport layer security)와 같은 어플리케이션 보안에 의해 데이터가 보호될 수 있다. 또한, 예를 들어, 도 9B에 도시된 F1-U구간 및 NR-Uu 구간에서 데이터를 보호하기 위하여, SMF에서 UP 보안 정책을 "required"로 설정하고, 이를 기지국에 지시한 경우, 기지국은 UP 보안 정책에 따라 데이터에 대한 보안(예를 들어, 무결성 보호 또는 암호화)를 활성화하고, 단말과 기지국의 PDCP 계층에서는 해당 데이터에 대해 무결성 보호 또는 암호화를 수행한다. 이러한 경우, 데이터가 이미 암호화되었음에도 불구하고, PDCP 계층에서 상기 데이터에 대해 암호화가 중복적으로 수행될 수 있다.
한편, 도 9A 및 도 9B에 도시된 프로토콜 구조는 설명의 편의를 위해 예로 든 것일 뿐, 본 개시가 이에 국한되는 것은 아니다. 도 9A 및 도 9B에 도시된 프로토콜 구조 내 각 계층의 명칭 및 기능은 변경될 수 있으며, CU와 DU 간 인터페이스 또한 변경될 수 있다. 또한, 본 개시는 CU 및 DU의 기능 분리를 고려하지 않은 프로토콜 구조에도 적용될 수 있다.
도 10은 본 개시가 적용될 수 있는 통신 시스템에서 패킷 구조의 일례를 도시한 도면이다.
도 10은, 도 9에서 설명한 바와 같이 어플리케이션 계층 및 PDCP 계층에서 데이터를 암호화하는 경우, F1-U 구간에서의 상기 데이터를 포함하는 패킷의 구조를 도시한 것이다.
도 10을 참조하면, PDCP-H, SDAP-H, PDU-H, 데이터에 대해 UP 보안(예를 들어, 암호화)이 제공되고, 데이터에 대해 TLS 보안(예를 들어, 암호화)이 제공되는 경우를 도시하였다. 이와 같이, 어플리케이션 계층 및 PDCP 계층에서 암호화를 수행하는 경우, 패킷 내 데이터는 중복적으로 암호화된다. 도 6 및 도 7에서 설명한 바와 같이, 암호화는 연산 복잡도가 높으며, 연산 자원 및 연산 자원을 많이 필요로 하는 절차인데, 암호화가 중복적으로 수행될 때마다 소요되는 연산 자원 및 연산 시간이 크게 증가하게 되는 것과 비교하여, 데이터의 보안성은 일정 임계 값 이상으로는 크게 향상되지 않는다. 따라서, 이는 비효율적인 통신 시스템을 야기할 수 있다.
한편, 본 개시가 적용될 수 있는 통신 시스템 또는 6G 통신 시스템과 같은 차세대 통신 시스템에서는 높은 신뢰도를 갖고 지연이 낮은 효율적인 데이터 전송 방법이 지원되어야 한다. 따라서, 본 개시를 통해 데이터의 중복 암호화로 인한 연산 자원 소모 및 연산 시간 증가에 따른 통신 지연의 문제점을 해결할 수 있는 다양한 실시예들을 제공한다. 본 개시의 일 실시예에 따르면, 데이터의 암호화 여부를 확인하는 방법, 이를 수행할 수 있는 장치 및 시스템이 제공된다. 또한, 본 개시의 일 실시예에 따르면, 데이터의 암호화 여부에 기반하여 상기 데이터에 대해 선택적으로 보안을 제공(예를 들어, 암호화 또는 무결성 보호)하는 방법, 이를 수행할 수 있는 장치 및 시스템이 제공된다. 또한, 본 개시의 일 실시예에 따르면, 데이터의 암호화 여부에 기반하여 상기 데이터에 대해 선택적으로 보안을 제공(예를 들어, 암호화 또는 무결성 보호)할 것을 지시하는 방법, 이를 수행할 수 있는 장치 및 시스템이 제공된다. 또한, 본 개시의 일 실시예에 따르면, 데이터에 대해 보안을 제공함에 있어, 연산 효율성을 향상시킬 수 있는 패킷의 구조가 제공된다. 이하, 본 개시에서 제안하는 실시예들에 대해 구체적으로 설명하기로 한다.
기존 통신 시스템에서는 단말 또는 네트워크 엔티티(예를 들어, 기지국, 기지국, 코어 망의 특정 네트워크 엔티티)가 암호화된 데이터가 전송되는지 여부를 확인할 수 없기 때문에 데이터에 대해 보안 적용 시 상기 데이터를 포함하는 패킷 전체에 대해 보안을 적용하였다. 따라서, 만약, 데이터가 이미 암호화된 데이터에 해당하는 경우, 상기 데이터에 대해서는 중복적으로 암호화가 수행된다. 한편, 본 개시에서 제안하는 실시예에 따르면, 통신 시스템의 단말 또는 네트워크 엔티티가 송수신되는 패킷 내 데이터(또는, 페이로드)의 암호화 여부를 판단하고, 이에 따라 상기 패킷 내 데이터와 관련된 정보(예를 들어, 각 프로토콜 계층의 헤더 또는 부가 정보를 지칭할 수 있다.)에 대해서만 암호화 또는 무결성 보호를 수행하거나, 또는 상기 데이터를 포함하여 암호화 또는 무결성 보호를 수행하는 선택적인 UP 보안 방법, 이를 수행할 수 있는 장치 및 시스템이 제공된다.
상술한 바와 같이 패킷 내 데이터가 암호화되어 있는지 여부에 따라 상기 데이터에 대해 선택적으로 암호화 또는 무결성 보호하기 위해서는, 먼저 단말과 DN 간 송수신되는 데이터가 암호화되어 있는지 여부가 확인되어야 한다. 한편, 데이터가 암호화되었는지 여부는 데이터를 생성하여 전송하는 송신부, 데이터를 수신하는 수신부, 또는 송신부와 수신부 사이에서 데이터를 전달하는 노드에서 판단할 수 있으며, 본 개시에서는 데이터가 암호화되었는지 여부를 판단하는 주체 별 UP 보안 절차를 제공한다.
도 11은 본 개시에서 제안하는 UP 보안 절차를 도시한 도면이다.
구체적으로, 도 11을 참조하면, 본 개시의 일 실시예에 따른 UP 보안 절차는 다음 중 적어도 하나 또는 이들 중 일부의 조합으로 구성될 수 있다.
A. 통신 시스템의 네트워크 엔티티(예를 들어, 기지국 또는 코어 망의 특정 네트워크 엔티티를 지칭할 수 있다.)는 송수신되는 데이터가 암호화되었는지 여부를 판단(또는, 인지)할 수 있다. 판단 결과, 데이터가 암호화된 데이터인 경우, 네트워크 엔티티는 패킷 내 암호화된 데이터의 일부 또는 전부와 상기 데이터와 관련된 정보(예를 들어, 프로토콜 계층의 헤더 또는 부가 정보)의 일부 또는 전부에 대해 암호화 또는 무결성 보호할 것을 단말에 요청하거나 지시할 수 있다.
B. 통신 시스템의 단말은 송수신되는 데이터에 대해 보안을 제공하는 경우, 데이터가 암호화되었는지 여부를 통신 시스템의 네트워크 엔티티(예를 들어, 기지국 또는 코어 망의 특정 네트워크 엔티티를 지칭할 수 있다.)에 알리거나(notify), 또는 패킷 내 암호화된 데이터의 일부 또는 전부와 상기 데이터와 관련된 정보(예를 들어, 프로토콜 계층의 헤더 또는 부가 정보)의 일부 또는 전부에 대해 암호화 또는 무결성 보호할 것을 네트워크 엔티티에 요청할 수 있다.
C. 통신 시스템 외부의 서버는 송수신되는 데이터에 대해 보안을 제공하는 경우, 데이터가 암호화되었는지 여부를 통신 시스템의 네트워크 엔티티(예를 들어, 기지국 또는 코어 망의 특정 네트워크 엔티티를 지칭할 수 있다.)에 알리거나(notify), 또는 패킷 내 암호화된 데이터의 일부 또는 전부와 상기 데이터와 관련된 정보(예를 들어, 부가 정보, 또는 프로토콜 계층의 헤더)의 일부 또는 전부에 대해 암호화 또는 무결성 보호할 것을 네트워크 엔티티에 요청할 수 있다.
한편, 본 개시에서 데이터는 TLS(transport layer security), SSL(secure sockets layer), IPSec(internet protocol security), VPN(virtual private network), HTTPS(hypertext transfer protocol secure), SNMP(simple network management protocol), DNSSEC(domain name system security extensions), MACSec(medium access control security), 또는 그 외 다양한 프로토콜에 기반하여 암호화될 수 있다. 일 실시예에 따르면, 데이터의 암호화 여부는 상기와 같은 프로토콜 중 적어도 하나에 기반하여 데이터가 암호화되었는지 여부를 판단함으로써 확인될 수 있다. 이하, 도 12 내지 14를 참조하여, 상술한 방법에 대해 구체적으로 설명하기로 한다.
도 12는 본 개시의 일 실시예에 따른 데이터의 암호화 여부에 기반한 UP 보안 절차를 도시한 도면이다.
도 12를 참조하면, 통신 시스템의 네트워크 엔티티(예를 들어, 기지국 또는 코어 망의 특정 네트워크 엔티티를 지칭할 수 있다.)는 단말과 서버 사이에 위치하여, 서버로부터 수신되는 데이터를 단말에 전달하거나, 또는 단말로부터 수신되는 데이터를 서버에 전달할 수 있다. 또한, 단말이 이동하더라도 데이터를 전달해줄 수 있다. 이러한 과정에서, 네트워크 엔티티는 단말과 서버 사이에서 송수신되는 패킷의 검사(inspection)를 수행할 수 있으며, 패킷의 검사에서 암호화 프로토콜(예를 들어, 상술한 TLS, SSL, IPSec, VPN, HTTPS, SNMP, DNSSEC, MACSec 또는 그 외 다양한 프로토콜 중 적어도 하나를 지칭할 수 있다.)에 기반하여 해당 패킷이 암호화되었는지 여부 등을 확인할 수 있다. 이를 통해 패킷 내 데이터가 암호화되었는지 여부를 판단할 수 있다. 이는 암호화 프로토콜은 정해진 규칙에 따라 패킷의 구조를 생성하므로, 예를 들어, 패킷의 검사에서 패킷이 암호화 프로토콜과 연관된 특정 구조를 갖는 것으로 확인되는 경우, 네트워크 엔티티는 상기 암호화 프로토콜에 기반하여 상기 패킷이 암호화되었음을 확인할 수 있고, 이에 따라 패킷 내 데이터가 암호화되었다는 것을 확인할 수 있다. 한편, 일 실시예에 따르면, 특정 QoS(quality of service) 요구 조건, QoS 플로우(QoS flow indicator, QFI), GBR(guaranteed bit rate) 또는 비-GBR(non-GBR)인지 여부 중 적어도 하나와 연관된 IP 플로우 별로, 네트워크 엔티티는 해당 IP 플로우의 패킷에 대한 검사를 수행할 수 있다. 이때, IP 플로우의 패킷 내 데이터가 암호화되었는지 여부를 판단하기 위해 검사되는 패킷의 수는 특정 개수로 미리 결정될 수 있다. 또는, 해당 IP 플로우의 패킷을 모두 검사할 수도 있다. 또는, 해당 IP 플로우와 연관된 QoS 요구 조건, QoS 플로우, GBR 또는 비-GBR인지 여부 중 적어도 하나에 기반하여, 해당 IP 플로우에 대해 검사되는 패킷의 수가 결정될 수도 있다. 또 다른 일 실시예에 따르면, 네트워크 엔티티는 DRB 별로 송수신되는 패킷 검사를 수행할 수 있으며, 이러한 경우, 해당 DRB에서 송수신되는 패킷 내 데이터가 암호화되었는지 여부를 판단하기 위해 검사되는 패킷의 수는 특정 개수로 미리 결정될 수 있다. 또는, 해당 DRB에서 송수신되는 패킷을 모두 검사할 수도 있으며, 해당 DRB와 연관된 QoS 요구 조건, QoS 플로우, GBR 또는 비-GBR인지 여부 중 적어도 하나에 기반하여, 해당 DRB에 대해 검사되는 패킷의 수가 결정될 수도 있다. 또 다른 일 실시예에 따르면, 네트워크 엔티티는 PDU 세션 별로 송수신되는 패킷 검사를 수행할 수 있으며, 이러한 경우, 해당 PDU 세션에서 송수신되는 패킷 내 데이터가 암호화되었는지 여부를 판단하기 위해 검사되는 패킷의 수는 특정 개수로 미리 결정될 수 있으며, 또는 해당 PDU 세션에서 송수신되는 패킷을 모두 검사할 수도 있다. 한편, 네트워크 엔티티는 패킷의 검사를 수행한 이후 NAS 시그널링 또는 RRC 시그널링, 그 외 다양한 제어 시그널링을 통해 상기 패킷의 암호화 여부를 단말 또는 서버에 확인할 수도 있다. 패킷 내 데이터가 암호화된 것으로 확인되는 경우, 네트워크 엔티티는 해당 데이터가 암호화되었다는 것을 단말에 알려줄 수 있다. 예를 들어, 네트워크 엔티티는 NAS 시그널링 또는 RRC 시그널링, 그 외 다양한 제어 시그널링을 통해 데이터의 암호화 여부를 단말에 알려줄 수 있다. 또는, 네트워크 엔티티는 패킷 내 암호화된 데이터를 제외한 상기 데이터와 관련된 정보(예를 들어, 부가 정보, 또는 프로토콜 계층의 헤더)의 일부 또는 전부에 대해서만 암호화 또는 무결성 보호할 것을 단말에 요청하거나 또는 지시함으로써, 단말에 UP 보안을 설정할 수 있다. 또는, 네트워크 엔티티는 패킷 내 암호화된 데이터의 일부 또는 전부와 상기 데이터와 관련된 정보(예를 들어, 부가 정보, 또는 프로토콜 계층의 헤더)의 일부 또는 전부에 대해 암호화 또는 무결성 보호할 것을 단말에 요청하거나 또는 지시함으로써, 단말에 UP 보안을 설정할 수 있다. 예를 들어, 네트워크 엔티티는 NAS 시그널링 또는 RRC 시그널링, 그 외 다양한 제어 시그널링을 통해 단말에 UP 보안을 설정할 수 있다. 한편, UP 보안의 설정은 도 4에서 설명한 절차에 따라 수행될 수도 있다. 예를 들어, 네트워크 엔티티는 패킷 내 암호화된 데이터를 제외한 상기 데이터와 관련된 정보(예를 들어, 부가 정보, 또는 프로토콜 계층의 헤더)의 일부 또는 전부에 대해서만 암호화할 것을 지시하는 지시자를 포함하는 RRC 메시지를 단말에 전송함으로써, 단말에 UP 보안을 설정할 수 있다. 또는, 네트워크 엔티티는 패킷 내 암호화된 데이터의 일부 또는 전부와 상기 데이터와 관련된 정보(예를 들어, 부가 정보, 또는 프로토콜 계층의 헤더)의 일부 또는 전부에 대한 암호화를 지시하는 지시자를 포함하는 RRC 메시지를 단말에 전송함으로써, 단말에 UP 보안을 설정할 수 있다. 또한, 패킷 내 데이터가 암호화된 것으로 확인되는 경우, 네트워크 엔티티는 패킷 내 상기 데이터와 관련된 정보(예를 들어, 부가 정보, 또는 프로토콜 계층의 헤더)의 일부 또는 전부에 대해서만 암호화 또는 무결성 보호를 할 수 있다. 또는, 네트워크 엔티티는 패킷 내 암호화된 해당 데이터의 일부 또는 전부와 상기 데이터와 관련된 정보(예를 들어, 부가 정보, 또는 프로토콜 계층의 헤더)의 일부 또는 전부에 대해 암호화 또는 무결성 보호를 할 수 있다.
한편, 도 12에서 설명한 실시예는 상향링크 및 하향링크 데이터 송수신에 모두 적용될 수 있다.
도 13은 본 개시의 일 실시예에 따른 데이터의 암호화 여부에 기반한 UP 보안 절차를 도시한 도면이다.
도 13을 참조하면, 통신 시스템의 단말은 송수신되는 데이터에 대해 보안을 제공하는 경우, 이를 통신 시스템의 네트워크 엔티티(예를 들어, 기지국 또는 코어 망의 특정 네트워크 엔티티를 지칭할 수 있다.)에 알릴 수 있다. 예를 들어, 단말은 송수신되는 데이터가 암호화된 데이터라는 것을 네트워크 엔티티에 알릴 수 있으며, 이는 NAS 시그널링 또는 RRC 시그널링, 그 외 다양한 제어 시그널링을 통해 이루어질 수 있다. 또는, 단말은 패킷 내 암호화된 데이터를 제외한 상기 데이터와 관련된 정보(예를 들어, 부가 정보, 또는 프로토콜 계층의 헤더)의 일부 또는 전부에 대해서만 암호화 또는 무결성 보호할 것을 네트워크 엔티티에 요청할 수 있으며, 이는 NAS 시그널링 또는 RRC 시그널링, 그 외 다양한 제어 시그널링을 통해 이루어질 수 있다. 또는, 단말은 패킷 내 암호화된 데이터의 일부 또는 전부와 상기 데이터와 관련된 정보(예를 들어, 부가 정보, 또는 프로토콜 계층의 헤더)의 일부 또는 전부에 대해 암호화 또는 무결성 보호할 것을 네트워크 엔티티에 요청할 수 있으며, 이는 NAS 시그널링 또는 RRC 시그널링, 그 외 다양한 제어 시그널링을 통해 이루어질 수 있다. 상기와 같은 알림 또는 요청을 통해 네트워크 엔티티는 단말과 서버 사이에서 송수신되는 패킷 내 데이터가 암호화되었는지 여부를 확인할 수 있다. 네트워크 엔티티는 상기 알림 또는 요청을 신뢰하여 동작할 수 있다. 예를 들어, 네트워크 엔티티는 상기 알림 또는 요청에 기반하여, 패킷 내 암호화된 데이터를 제외한 상기 데이터와 관련된 정보(예를 들어, 부가 정보, 또는 프로토콜 계층의 헤더)의 일부 또는 전부에 대해서만 암호화 또는 무결성 보호할 것을 단말에 지시함으로써 UP 보안을 단말에 설정할 수 있으며, 이는 NAS 시그널링 또는 RRC 시그널링, 그 외 다양한 제어 시그널링을 통해 이루어질 수 있다. 또는, 네트워크 엔티티는 상기 알림 또는 요청에 기반하여, 패킷 내 암호화된 데이터의 일부 또는 전부와 상기 데이터와 관련된 정보(예를 들어, 프로토콜 계층의 헤더 또는 부가 정보)의 일부 또는 전부에 대해 암호화 또는 무결성 보호 할 것을 단말에 지시함으로써, 단말에 UP 보안을 설정할 수 있으며, 이는 NAS 시그널링 또는 RRC 시그널링, 그 외 다양한 제어 시그널링을 통해 이루어질 수 있다. 한편, UP 보안의 설정은 도 4에서 설명한 절차에 따라 수행될 수 있다. 예를 들어, 네트워크 엔티티는 패킷 내 암호화된 데이터를 제외한 상기 데이터와 관련된 정보(예를 들어, 프로토콜 계층의 헤더 또는 부가 정보)의 일부 또는 전부에 대해서만 암호화 또는 무결성 보호할 것을 지시하는 지시자를 포함하는 RRC 메시지를 단말에 전송함으로써, 단말에 UP 보안을 설정할 수 있다. 또는, 네트워크 엔티티는 패킷 내 암호화된 데이터의 일부 또는 전부와 상기 데이터와 관련된 정보(예를 들어, 프로토콜 계층의 헤더 또는 부가 정보)의 일부 또는 전부에 대해 암호화 또는 무결성 보호할 것을 지시하는 지시자를 포함하는 RRC 메시지를 단말에 전송함으로써, 단말에 UP 보안을 설정할 수 있다. 또한, 패킷 내 데이터가 암호화된 것으로 확인되는 경우, 네트워크 엔티티는 패킷 내 암호화된 데이터를 제외한 상기 데이터와 관련된 정보(예를 들어, 프로토콜 계층의 헤더 또는 부가 정보)의 일부 또는 전부에 대해서만 암호화 또는 무결성 보호를 할 수 있다. 또는, 네트워크 엔티티는 패킷 내 암호화된 데이터의 일부 또는 전부와 상기 데이터와 관련된 정보(예를 들어, 프로토콜 계층의 헤더 또는 부가 정보)의 일부 또는 전부에 대해 암호화 또는 무결성 보호를 할 수 있다.
한편, 도 13에서 설명한 실시예는 상향링크 및 하향링크 데이터 송수신에 모두 적용될 수 있다.
상술한 방법에서는 통신 시스템에서 단말과 네트워크 엔티티 간 데이터 송수신에 대해 기술하였으나, 본 개시가 이에 국한되는 것은 아니다. 예를 들어, 상술한 방법은 단말 간 통신(예를 들어, D2D(device to device) 통신, 사이드링크 통신, 또는 V2X(vehicle to everything) 통신 등)에도 적용될 수 있다. 이러한 경우, 송신 단말은 패킷의 검사를 수행하여, 전송하고자 하는 패킷 내 데이터의 암호화 여부를 판단할 수 있다. 패킷의 검사 결과, 패킷 내 데이터가 암호화된 것으로 확인되는 경우, 송신 단말은 패킷 내 암호화된 데이터를 제외한 상기 데이터와 관련된 정보(예를 들어, 프로토콜 계층의 헤더 또는 부가 정보)의 일부 또는 전부에 대해서만 암호화 또는 무결성 보호할 수 있다. 또는, 송신 단말은 패킷 내 암호화된 데이터의 일부 또는 전부와 상기 데이터와 관련된 정보(예를 들어, 프로토콜 계층의 헤더 또는 부가 정보)의 일부 또는 전부에 대해 암호화 또는 무결성 보호할 수 있다.
한편, 네트워크 엔티티는 도 12에서 설명한 바와 같이, 단말과 서버 사이에서 송수신되는 패킷의 검사를 수행하여, 패킷 내 데이터가 실제로 암호화되었는지 여부를 검증하는 동작을 수행할 수도 있으며, 또는, 통신 시스템 외부의 서버를 통해서 단말의 알림 또는 요청에 대한 신뢰성 여부를 검증할 수도 있다. 예를 들어, 네트워크 엔티티는 서버에 단말의 알림 또는 요청에 대한 검증을 요청하고, 서버는 신뢰할 수 있는 단말의 리스트에 상기 단말이 포함되어 있는지 여부, 서버와 단말 간 통신에 사용되는 정보(예를 들어, credential과 같은 비밀 정보), 또는 제3자 CA(credential authority) 등 다양한 방법에 기반하여, 단말의 알림 또는 요청에 대한 신뢰성을 검증한 후, 검증 결과를 네트워크 엔티티에 알려줄 수 있다.
도 14는 본 개시의 일 실시예에 따른 데이터의 암호화 여부에 기반한 UP 보안 절차를 도시한 도면이다.
도 14를 참조하면, 통신 시스템 외부의 서버에서 송수신되는 데이터에 대해 보안을 제공하는 경우, 이를 통신 시스템의 네트워크 엔티티(예를 들어, 기지국 또는 코어 망의 특정 네트워크 엔티티를 지칭할 수 있다.)에 알릴 수 있다. 예를 들어, 서버는 송수신되는 데이터가 암호화된 데이터라는 것을 네트워크 엔티티에 알릴 수 있다. 또는, 서버는 패킷 내 암호화된 데이터를 제외한 상기 데이터와 관련된 정보(예를 들어, 프로토콜 계층의 헤더 또는 부가 정보)의 일부 또는 전부에 대해서만 암호화 또는 무결성 보호할 것을 네트워크 엔티티에 요청할 수 있다. 또는, 서버는 패킷 내 암호화된 데이터의 일부 또는 전부와 상기 데이터와 관련된 정보(예를 들어, 프로토콜 계층의 헤더 또는 부가 정보)의 일부 또는 전부에 대해 암호화 또는 무결성 보호할 것을 네트워크 엔티티에 요청할 수 있다. 상기와 같은 알림 또는 요청을 통해 네트워크 엔티티는 단말과 서버 사이에서 송수신되는 패킷 내 데이터가 암호화되었는지 여부를 확인할 수 있다. 네트워크 엔티티는 상기 알림 또는 요청을 신뢰하여 동작할 수 있다. 예를 들어, 네트워크 엔티티는 상기 알림 또는 요청에 기반하여, 패킷 내 암호화된 데이터를 제외한 상기 데이터와 관련된 정보(예를 들어, 프로토콜 계층의 헤더 또는 부가 정보)의 일부 또는 전부에 대한 암호화 또는 무결성 보호할 것을 지시함으로써 UP 보안을 단말에 설정할 수 있으며, 이는 NAS 시그널링 또는 RRC 시그널링, 그 외 다양한 제어 시그널링을 통해 이루어질 수 있다. 또는, 네트워크 엔티티는 상기 알림 또는 요청에 기반하여, 패킷 내 암호화된 데이터의 일부 또는 전부와 상기 데이터와 관련된 정보(예를 들어, 프로토콜 계층의 헤더 또는 부가 정보)의 일부 또는 전부에 대해 암호화 또는 무결성 보호할 것을 단말에 지시함으로써, 단말에 UP 보안을 설정할 수 있으며, 이는 NAS 시그널링 또는 RRC 시그널링, 그 외 다양한 제어 시그널링을 통해 이루어질 수 있다. 한편, UP 보안의 설정은 도 4에서 설명한 절차에 따라 수행될 수 있다. 예를 들어, 네트워크 엔티티는 패킷 내 암호화된 데이터를 제외한 상기 데이터와 관련된 정보(예를 들어, 프로토콜 계층의 헤더 또는 부가 정보)의 일부 또는 전부에 대해서만 암호화 또는 무결성 보호할 것을 지시하는 지시자를 포함하는 RRC 메시지를 단말에 전송함으로써, 단말에 UP 보안을 설정할 수 있다. 또는, 네트워크 엔티티는 패킷 내 암호화된 데이터의 일부 또는 전부와 상기 데이터와 관련된 정보(예를 들어, 프로토콜 계층의 헤더 또는 부가 정보)의 일부 또는 전부에 대한 암호화를 지시하는 지시자를 포함하는 RRC 메시지를 단말에 전송함으로써, 단말에 UP 보안을 설정할 수 있다. 또한, 패킷 내 데이터가 암호화된 것으로 확인되는 경우, 네트워크 엔티티는 패킷 내 암호화된 데이터를 제외한 상기 데이터와 관련된 정보(예를 들어, 프로토콜 계층의 헤더 또는 부가 정보)의 일부 또는 전부에 대해서만 암호화 또는 무결성 보호를 할 수 있다. 또는, 네트워크 엔티티는 패킷 내 암호화된 데이터의 일부 또는 전부와 상기 데이터와 관련된 정보(예를 들어, 프로토콜 계층의 헤더)의 일부 또는 전부에 대해 암호화 또는 무결성 보호를 할 수 있다.
한편, 네트워크 엔티티는 도 12에서 설명한 바와 같이, 단말과 서버 사이에서 송수신되는 패킷의 검사를 수행하여, 패킷 내 데이터가 실제로 암호화되었는지 여부를 검증하는 동작을 수행할 수도 있으며, 또는, 단말을 통해서 서버의 알림 또는 요청에 대한 신뢰성 여부를 검증할 수도 있다. 예를 들어, 네트워크 엔티티는 단말에 서버의 알림 또는 요청에 대한 검증을 요청하고, 단말은 신뢰할 수 있는 통신 대상의 리스트, 서버와 단말 간 통신에 사용되는 정보(예를 들어, credential과 같은 비밀 정보), 또는 제3자 CA(credential authority) 등 다양한 방법에 기반하여, 서버의 알림 또는 요청에 대한 신뢰성을 검증한 후, 검증 결과를 네트워크 엔티티에 알려줄 수 있다.
한편, 도 14에서 설명한 실시예는 상향링크 및 하향링크 데이터 송수신에 모두 적용될 수 있다.
이하에서는, 본 개시의 실시예들에 따라 데이터에 선택적으로 보안을 제공함에 있어, 연산 효율성을 보다 향상시킬 수 있는 패킷의 구조를 제안한다. 이에 대해서는, 도 15A 내지 도 15E를 참조하여 구체적으로 설명하기로 한다.
도 15A는 본 개시의 일 실시예에 따른 패킷 구조의 일례를 도시한 도면이다.
도 15A를 참조하면, 데이터가 암호화되었는지 여부에 기반하여, 상기 데이터에 대해 선택적으로 보안을 제공하는 경우, 상기 데이터가 포함된 패킷의 구조를 도시하였다. 일 실시예에 따르면, 패킷 내 이미 암호화된 데이터를 제외한 상기 데이터와 관련된 정보(예를 들어, 프로토콜 계층의 헤더(PDCP-H, SDAP-H, IP-H, TCP-H 또는 TLS-H) 또는 부가 정보)의 일부 또는 전부에 대해서만 무결성을 제공하기 위한 무결성 보호를 할 수 있다. 이에 따라, 상기 데이터와 관련된 정보의 일부 또는 전부에 대한 무결성 보호를 위한 정보(예를 들어, MAC-I)가 생성될 수 있고, 이는 상기 데이터의 바로 앞에 위치하도록 추가될 수 있다. 무결성 보호를 위한 정보(MAC-I)가 상기 데이터의 바로 앞에 위치하도록 함으로써, 수신부의 PDCP 계층에서 상기 무결성 보호를 위한 정보(MAC-I)을 통한 패킷의 무결성 검증을 수행하는 경우, 패킷의 마지막까지 디코딩을 할 필요가 없게 되므로, 연산의 효율성을 향상시킬 수 있다.
또한, 일 실시예에 따르면, 암호화는 패킷 내 암호화된 데이터를 제외한 상기 데이터와 관련된 정보(예를 들어, 프로토콜 계층의 헤더 또는 부가 정보)의 일부 또는 전부 및 무결성 보호를 위한 정보(MAC-I)에 대해 수행될 수 있다. 또는, 패킷 내 암호화된 데이터의 일부 또는 전부, 상기 데이터와 관련된 정보(예를 들어, 프로토콜 계층의 헤더 또는 부가 정보)의 일부 또는 전부 및 무결성 보호를 위한 정보(MAC-I)에 대해 수행될 수 있다. 도 15A에 도시된 패킷의 구조에 따르면, 무결성 보호를 위한 정보가 상기 데이터와 관련된 정보와 암호화가 수행되지 않는 데이터 사이에 위치하도록 추가됨으로써, 암호화를 수행함에 있어 블록 암호화의 연산 효율성을 향상시키는 효과를 얻을 수도 있다.
한편, 도 15A에는 패킷 내 암호화된 데이터를 제외한 상기 데이터와 관련된 정보(예를 들어, 프로토콜 계층의 헤더 또는 부가 정보)에 대해서만 무결성 보호 및 암호화가 수행되는 것을 도시하였으나, 이는 설명의 편의를 위해 일례로 든 것이지 본 개시가 이에 국한되는 것은 아니다. 예를 들어, 패킷 내 암호화된 데이터의 일부 또는 전부, 또는 상기 데이터와 관련된 정보의 일부 또는 전부에 대해 무결성 보호 및 암호화가 수행될 수 있다. 이러한 경우, 암호화된 데이터의 일부 또는 전부, 또는 상기 데이터와 관련된 일부 또는 전부에 대한 무결성 보호를 위한 정보가 생성되어, 상기 데이터의 바로 앞에 위치하도록 추가될 수 있다.
도 15B는 본 개시의 일 실시예에 따른 패킷 구조의 또 다른 일례를 도시한 도면이다.
도 15B를 참조하면, 데이터가 암호화되었는지 여부에 기반하여, 상기 데이터에 대해 선택적으로 보안을 제공하는 경우, 상기 데이터가 포함된 패킷의 구조를 도시하였다. 일 실시예에 따르면, 패킷 내 이미 암호화된 데이터를 제외한 상기 데이터와 관련된 정보(예를 들어, 프로토콜 계층의 헤더(PDCP-H, SDAP-H, IP-H, TCP-H 또는 TLS-H) 또는 부가 정보)의 일부 또는 전부에 대해서만 무결성을 제공하기 위한 무결성 보호를 할 수 있다. 이에 따라, 상기 데이터와 관련된 정보의 일부 또는 전부에 대한 무결성 보호를 위한 정보(예를 들어, MAC-I)가 생성될 수 있고, 이는 상기 데이터의 바로 뒤에 위치하도록 추가될 수 있다. 이러한 패킷 구조에 따르면, 상위 계층으로부터 수신한 SDU(service data unit)을 기반으로 하위 계층으로 전달한 PDU(protocol data unit) 생성하는 경우, 패킷 재조합에서 발생하는 별도의 동작(예를 들어, 바이트 복사) 없이 데이터의 바로 뒤에 무결성 보호를 위한 정보가 위치하도록 추가하면 되므로 동작의 복잡도를 줄일 수 있다는 장점이 있다. 도 15B에 도시된 패킷 구조에 따르면, 데이터와 관련된 정보 및 무결성 보호를 위한 정보를 연속적인 데이터로 만든 후 이에 대해 한번에 암호화를 수행할 수 있거나, 또는 데이터와 관련된 정보 및 무결성 보호를 위한 정보에 개별적으로 암호화를 수행할 수도 있다.
한편, 도 15B에는 패킷 내 암호화된 데이터를 제외한 상기 데이터와 관련된 정보(예를 들어, 프로토콜 계층의 헤더 또는 부가 정보)에 대해서만 무결성 보호 및 암호화가 수행되는 것을 도시하였으나, 이는 설명의 편의를 위해 일례로 든 것이지 본 개시가 이에 국한되는 것은 아니다. 예를 들어, 패킷 내 암호화된 데이터의 일부 또는 전부, 또는 상기 데이터와 관련된 정보의 일부 또는 전부에 대해 무결성 보호 및 암호화가 수행될 수 있다. 이러한 경우, 암호화된 데이터의 일부 또는 전부, 또는 상기 데이터와 관련된 일부 또는 전부에 대한 무결성 보호를 위한 정보가 생성되어, 상기 데이터의 바로 뒤에 위치하도록 추가될 수 있다.
도 15C는 본 개시의 일 실시예에 따른 패킷 구조의 또 다른 일례를 도시한 도면이다.
도 15C를 참조하면, 데이터가 암호화되었는지 여부에 기반하여, 상기 데이터에 대해 선택적으로 보안을 제공하는 경우, 상기 데이터가 포함된 패킷의 구조를 도시하였다. 일 실시예에 따르면, 패킷 내 이미 암호화된 데이터를 제외한 상기 데이터와 관련된 정보(예를 들어, 프로토콜 계층의 헤더(PDCP-H, SDAP-H, IP-H, TCP-H 또는 TLS-H) 또는 부가 정보)의 일부 또는 전부에 대해서만 무결성을 제공하기 위한 무결성 보호를 할 수 있다. 이에 따라, 상기 데이터와 관련된 정보의 일부 또는 전부에 대한 무결성 보호를 위한 정보(예를 들어, MAC-I)가 생성될 수 있고, 이는 패킷의 맨 앞에 위치하도록 추가될 수 있다. 이러한 패킷 구조에 따르면, 무결성 보호를 위한 정보(MAC-I)와 데이터와 관련된 정보가 연속적으로 모이게 위치하게 되므로, 패킷을 한번에 보다 효율적으로 처리할 수 있다는 장점이 있다.
한편, 도 15C에는 패킷 내 암호화된 데이터를 제외한 상기 데이터와 관련된 정보(예를 들어, 프로토콜 계층의 헤더 또는 부가 정보)에 대해서만 무결성 보호 및 암호화가 수행되는 것을 도시하였으나, 이는 설명의 편의를 위해 일례로 든 것이지 본 개시가 이에 국한되는 것은 아니다. 예를 들어, 패킷 내 암호화된 데이터의 일부 또는 전부, 또는 상기 데이터와 관련된 정보의 일부 또는 전부에 대해 무결성 보호 및 암호화가 수행될 수 있다. 이러한 경우, 암호화된 데이터의 일부 또는 전부, 또는 상기 데이터와 관련된 일부 또는 전부에 대한 무결성 보호를 위한 정보가 생성되어, 패킷의 맨 앞에 위치하도록 추가될 수 있다.
도 15D는 본 개시의 일 실시예에 따른 패킷 구조의 또 다른 일례를 도시한 도면이다.
도 15D를 참조하면, 데이터가 암호화되었는지 여부에 기반하여, 상기 데이터에 대해 선택적으로 보안을 제공하는 경우, 상기 데이터가 포함된 패킷의 구조를 도시하였다. 일 실시예에 따르면, 패킷 내 이미 암호화된 데이터를 제외한 상기 데이터와 관련된 정보(예를 들어, 프로토콜 계층의 헤더(PDCP-H, SDAP-H, IP-H, TCP-H 또는 TLS-H) 또는 부가 정보)의 일부 또는 전부에 대해서만 무결성을 제공하기 위한 무결성 보호를 할 수 있다. 이에 따라, 상기 데이터와 관련된 정보의 일부 또는 전부에 대한 무결성 보호를 위한 정보(예를 들어, MAC-I)가 생성될 수 있고, 이는 무결성 보호를 위한 정보의 생성에 고려된 데이터와 관련된 정보의 앞에 위치하도록 추가될 수 있다. 이러한 패킷 구조에 따르면, 무결성 보호를 위한 정보(MAC-I)와 데이터와 관련된 정보가 연속적으로 모이게 위치하게 되므로, 패킷을 한번에 보다 효율적으로 처리할 수 있으며, 패킷 재조합에서 발생하는 별도의 동작(예를 들어, 바이트 복사) 없이 무결성 보호를 위한 정보의 생성에 고려된 데이터와 관련된 정보의 앞에 무결성 보호를 위한 정보가 위치하도록 추가하면 되므로, 동작의 복잡도를 줄일 수 있다는 장점이 있다.
한편, 도 15D에는 패킷 내 암호화된 데이터를 제외한 상기 데이터와 관련된 정보(예를 들어, 프로토콜 계층의 헤더 또는 부가 정보)에 대해서만 무결성 보호 및 암호화가 수행되는 것을 도시하였으나, 이는 설명의 편의를 위해 일례로 든 것이지 본 개시가 이에 국한되는 것은 아니다. 예를 들어, 패킷 내 암호화된 데이터의 일부 또는 전부, 또는 상기 데이터와 관련된 정보의 일부 또는 전부에 대해 무결성 보호 및 암호화가 수행될 수 있다. 이러한 경우, 암호화된 데이터의 일부 또는 전부, 또는 상기 데이터와 관련된 일부 또는 전부에 대한 무결성 보호를 위한 정보가 생성되어, 무결성 보호를 위한 정보의 생성에 고려된 데이터와 관련된 정보의 앞에 위치하도록 추가될 수 있다.
도 15E는 본 개시의 일 실시예에 따른 패킷 구조의 또 다른 일례를 도시한 도면이다.
도 15E를 참조하면, 데이터가 암호화되었는지 여부에 기반하여, 상기 데이터에 대해 선택적으로 보안을 제공하는 경우, 상기 데이터가 포함된 패킷의 구조를 도시하였다. 일 실시예에 따르면, 패킷 내 이미 암호화된 데이터를 제외한 상기 데이터와 관련된 정보(예를 들어, 프로토콜 계층의 헤더(PDCP-H, SDAP-H, IP-H, TCP-H 또는 TLS-H) 또는 부가 정보)의 일부 또는 전부에 대해서만 무결성을 제공하기 위한 무결성 보호를 할 수 있다. 이에 따라, 상기 데이터와 관련된 정보의 일부 또는 전부에 대한 무결성 보호를 위한 정보(예를 들어, MAC-I)가 생성될 수 있고, 이는 무결성 보호를 위한 정보의 생성에 고려된 데이터와 관련된 정보들 사이에 위치하도록 추가될 수 있다. 일례로, 무결성 보호를 위한 정보는 데이터와 관련된 정보들 사이에서 PDCP-H, SDAP-H 뒤에 위치하도록 추가될 수 있다. 이러한 패킷 구조에 따르면, 연속적인 암호화가 수행될 수 있는 바, 연산의 효울성을 증대시킬 수 있다. 또 다른 일례에 따르면, 무결성 보호를 위한 정보는 데이터와 관련된 정보들 중 PDCP-H 및 SDAP-H 사이에 위치하도록 추가될 수 있다. 이러한 패킷 구조에 따르면, 패킷 재조합에서 발생하는 별도의 동작(예를 들어, 바이트 복사) 없이 무결성 보호를 위한 정보가 PDCH-H 및 SDAP-H 사이에 위치하도록 추가하면 되므로 동작의 복잡도를 줄일 수 있다는 장점이 있다.
한편, 상술한 도 15A 내지 도 15E는 본 개시가 적용될 수 있는 패킷 구조의 일례에 해당할 뿐, 본 개시가 이에 국한되는 것은 아니다. 예를 들어, 도 15A 내지 도 15E에 도시되지 않은 패킷 구조에도 본 개시가 적용될 수 있다. 또한, 상기에서는 PDCP 계층에서 무결성 보호 및 암호화가 수행되는 것으로 기술되었으나, 본 개시가 이에 국한되는 것은 아니다. 무결성 보호 및 암호화가 수행되는 계층의 명칭에 제한되지 않으며, 적어도 하나의 계층에서 수행될 수도 있다.
도 16은 본 개시의 일 실시예에 따른 데이터의 암호화 여부에 기반한 UP 보안 절차에서 송신부 및 수신부의 동작을 도시한 도면이다.
도 16에서는, 데이터는 암호화 되어있고, 무결성 보호 및 암호화에 사용되는 키는 송신부 및 수신부 사이에 공유되어 있다고 가정한다. 한편, 이러한 가정은 설명의 편의를 위한 것이지, 본 개시가 이에 국한되는 것은 아니다. 또한, 도 16에 도시된 각각의 데이터와 관련된 정보는 PDCP, SDAP, IP, TCP, TLS와 같이 해당 프로토콜 계층의 헤더를 포함할 수 있고, 또는 데이터가 송수신되면서 부가되는 정보를 포함할 수 있다.
도 16을 참조하면, 송신부는 본 개시에 따른 무결성 보호할 패킷 내 데이터와 관련된 정보의 일부 또는 전부를 무결성 보호 알고리즘의 입력 값으로 하여, 무결성 보호를 위한 정보(도 16에는 MAC-I로 도시하였다.)를 생성하고, 이를 패킷의 특정 위치에 추가한다. 한편, 무결성 보호는 패킷 내 데이터와 관련된 정보의 일부 또는 전부뿐 아니라 암호화된 데이터의 일부 또는 전부에 대해서도 수행될 수 있다. 일 실시예에 따르면, 무결성 보호할 데이터 또는 데이터와 관련된 정보는 송신부와 수신부 간 사전 설정에 의해 정의될 수 있다. 예를 들어, 송신부와 수신부는 무결성 보호를 수행할 데이터의 일부 또는 전부, 데이터와 관련된 정보의 일부 또는 전부 등을 지시하는 정보를 사전 설정을 통해 공유할 수 있다. 한편, 도 16에 도시된 패킷 구조에서 무결성 보호를 위한 정보(MAC-I)의 위치는 데이터의 바로 앞에 위치하나 본 개시가 이에 국한되는 것은 아니다. 일 실시예에 따르면, 무결성 보호를 위한 정보(MAC-I)의 위치(예를 들어, 도 15A 내지 도 15E에서 설명한 위치에 해당할 수 있으며, 도 15A 내지 도 15E에서 설명한 바와 다른 위치에도 해당할 수 있다.)는 송신부와 수신부 간 사전 설정에 의해서 정의될 수 있다.
무결성 보호 절차를 수행한 이후, 송신부는 데이터와 관련된 정보의 일부 또는 전부 및 무결성 보호를 위한 정보(MAC-I)를 암호화 알고리즘의 입력 값으로 하여, 암호화를 하고, 이를 기존 패킷과 치환하여 수신부를 향해 전송 할 수 있다. 한편, 암호화는 패킷 내 데이터와 관련된 정보의 일부 또는 전부 아니라 암호화된 데이터의 일부 또는 전부에 대해서도 수행될 수 있다. 일 실시예에 따르면, 암호화를 통해 기밀성을 제공할 데이터 또는 데이터와 관련된 정보는 송신부와 수신부 간 사전 설정에 의해 정의될 수 있다. 예를 들어, 송신부와 수신부는 암호화를 수행할 데이터의 일부 또는 전부, 데이터와 관련된 정보의 일부 또는 전부 등을 지시하는 정보를 사전 설정을 통해 공유할 수 있다. 수신부는 수신한 패킷을 복호화 알고리즘의 입력 값으로 하여 복호화 한다. 이후, 패킷 내 데이터와 관련된 정보의 일부 또는 전부를 무결성 검증 알고리즘의 입력 값으로 하여 무결성 검증을 위한 정보(예를 들어, X-MAC)을 계산하고, 이를 패킷 내 MAC-I와 비교함으로써 무결성 검증을 한다. 만약, 비교한 결과, 동일하면 무결성 검증이 성공적으로 수행되었다고 판단할 수 있다. 또는, 비교한 결과, 상이하면 무결성 검증이 실패한 것으로 판단하고, 수신한 패킷을 폐기할 수 있다.
도 16에는 도 15A에서 설명한 패킷의 구조에 따라 UP 보안 절차에서 송신부 및 수신부의 동작이 수행되는 것이 도시되었다. 한편, 본 개시가 이에 국한되는 것은 아니며, 도 15B 또는 도 15E에서 설명한 패킷의 구조에 따라 도 16에서 설명한 동작이 수행될 수 있으며, 또는 도 15A 내지 도 15E와 다른 패킷 구조에 따라 도 16에서 설명한 동작이 수행될 수도 있다.
한편, 상향링크인 경우, 송신부는 단말(또는, 단말의 PDCP 계층, 단말의 프로토콜 계층 중 무결성 보호 및 암호화를 수행하는 계층)을 지칭할 수 있으며, 수신부는 네트워크 엔티티(또는, 기지국, 기지국의 PDCP 계층, 기지국의 단말의 프로토콜 계층 중 무결성 보호 및 암호화를 수행하는 계층)을 지칭할 수 있다. 또는, 하향링크인 경우, 송신부는 네트워크 엔티티(또는, 기지국, 기지국의 PDCP 계층, 기지국의 단말의 프로토콜 계층 중 무결성 보호 및 암호화를 수행하는 계층)을 지칭할 수 있으며, 수신부는 단말(또는, 단말의 PDCP 계층, 단말의 프로토콜 계층 중 무결성 보호 및 암호화를 수행하는 계층)을 지칭할 수 있다.
도 17은 본 개시의 일 실시예에 따른 네트워크 엔티티의 동작을 도시한 도면이다.
도 17을 참조하면, 1705 단계에서 네트워크 엔티티는, 송수신되는 패킷 내 데이터에 대해 선택적으로 보안을 제공할 것을 요청 받았는지 여부를 확인할 수 있다. 예를 들어, 도 13에서 설명한 바와 같이, 네트워크 엔티티는 패킷 내 데이터에 대해서는 보안을 제공하지 않고, 상기 데이터와 관련된 정보(예를 들어, 부가 정보, 또는 프로토콜 계층의 헤더)의 일부 또는 전부에 대해서만 암호화 또는 무결성 보호할 것을 단말로부터 요청 받았는지 여부를 확인할 수 있다. 또는, 도 14에서 설명한 바와 같이, 네트워크 엔티티는 패킷 내 데이터에 대해서는 보안을 제공하지 않고, 상기 데이터와 관련된 정보(예를 들어, 부가 정보, 또는 프로토콜 계층의 헤더)의 일부 또는 전부에 대해서만 암호화 또는 무결성 보호할 것을 통신 시스템 외부의 서버로부터 요청 받았는지 여부를 확인할 수 있다.
만약, 상기와 같은 요청을 받은 경우, 1710 단계에서 네트워크 엔티티는 송수신되는 패킷 내 데이터에 대해서는 암호화 또는 무결성 보호를 하지 않고, 패킷 내 상기 데이터와 관련된 정보(예를 들어, 프로토콜 계층의 헤더 또는 부가 정보)의 일부 또는 전부에 대해서만 암호화 또는 무결성 보호를 할 수 있다.
또는, 만약 상기와 같은 요청을 받지 않은 경우, 1715 단계에서, 네트워크 엔티티는 송수신되는 패킷을 검사 수행할 수 있다. 1720 단계에서, 네트워크 엔티티는 패킷의 검사 결과에 기반하여, 해당 패킷 내 데이터가 암호화되었는지 여부를 판단할 수 있다. 예를 들어, 네트워크 엔티티는 패킷의 검사를 통해 해당 패킷이 특정 암호화 포로토콜에 기반하여 암호화되었는지 여부를 확인할 수 있고, 이에 따라 해당 패킷 내 데이터가 암호화되었는지 여부를 판단할 수 있다. 한편, 일 실시예에 따르면, 특정 QoS 요구 조건, QoS 플로우(QFI), GBR 또는 비-GBR 인지 여부 중 적어도 하나와 연관된 IP 플로우 별로 네트워크 엔티티는 해당 IP 플로우의 패킷에 대한 검사를 수행할 수 있다. 이때, IP 플로우의 패킷 내 데이터가 암호화되었는지 여부를 판단하기 위해 검사되는 패킷의 수는 특정 개수로 미리 결정될 수 있다. 또는, 해당 IP 플로우의 패킷을 모두 검사할 수도 있다. 또는, 해당 IP 플로우와 연관된 QoS 요구 조건, QoS 플로우, GBR 또는 비-GBR인지 여부 중 적어도 하나에 기반하여, 해당 IP 플로우에 대해 검사되는 패킷의 수가 결정될 수도 있다. 또 다른 일 실시예에 따르면, 네트워크 엔티티는 DRB 별로 송수신되는 패킷 검사를 수행할 수 있으며, 이러한 경우, 해당 DRB에서 송수신되는 패킷 내 데이터가 암호화되었는지 여부를 판단하기 위해 검사되는 패킷의 수는 특정 개수로 미리 결정될 수 있다. 또는, 해당 DRB에서 송수신되는 패킷을 모두 검사할 수도 있으며, 해당 DRB와 연관된 QoS 요구 조건, QoS 플로우, GBR 또는 비-GBR인지 여부 중 적어도 하나에 기반하여, 해당 DRB에 대해 검사되는 패킷의 수가 결정될 수도 있다. 또 다른 일 실시예에 따르면, 네트워크 엔티티는 PDU 세션 별로 송수신되는 패킷 검사를 수행할 수 있으며, 이러한 경우, 해당 PDU 세션에서 송수신되는 패킷 내 데이터가 암호화되었는지 여부를 판단하기 위해 검사되는 패킷의 수는 특정 개수로 미리 결정될 수 있으며, 또는 해당 PDU 세션에서 송수신되는 패킷을 모두 검사할 수도 있다.
상술한 바와 같은 패킷의 검사를 통해, 패킷 내 데이터가 암호화된 것으로 확인되는 경우, 1710 단계로 진행하여 네트워크 엔티티는 송수신되는 패킷 내 데이터에 대해서는 암호화 또는 무결성 보호를 하지 않고, 패킷 내 상기 데이터와 관련된 정보(예를 들어, 프로토콜 계층의 헤더 또는 부가 정보)의 일부 또는 전부에 대해서만 암호화 또는 무결성 보호를 할 수 있다. 또한, 도 12에서 설명한 바와 같이, 네트워크 엔티티는 송수신되는 패킷 내 데이터와 관련된 정보의 일부 또는 전부에 대해서만 암호화 또는 무결성 보호할 것을 단말에 요청하거나 지시할 수 있다.
또는, 패킷의 검사를 통해, 패킷 내 데이터가 암호화되지 않은 것으로 확인 경우, 1725 단계에서 네트워크 엔티티는 송수신되는 패킷 내 데이터 및 상기 데이터와 관련된 정보에 대해 암호화 또는 무결성 보호를 할 수 있다.
한편, 도 17에 도시된 1705 단계 내지 1725 단계는 순서가 변경되어 수행될 수 있고, 일부가 생략될 수 있으며, 또한 동시에 수행될 수 있다. 또한, 도 17에서는, 패킷 내 암호화된 데이터에 대해서는 암호화 또는 무결성 보호를 하지 않는 것으로 기술하였으나, 본 개시가 이에 국한된 것은 아니며, 패킷 내 데이터와 관련된 정보의 일부 또는 전부뿐만 아니라 암호화된 데이터의 일부 또는 전부에 대해 암호화 또는 무결성 보호를 할 수도 있다.
도 18은 본 개시의 일 실시예에 따른 단말의 동작을 도시한 도면이다.
도 18을 참조하면, 1805 단계에서 단말은 네트워크 엔티티에 패킷 내 데이터의 암호화 여부를 지시하거나 또는 패킷 내 데이터와 관련된 정보(예를 들어, 프로토콜 계층의 헤더 또는 부가 정보)에 대해서만 암호화 또는 무결성 보호할 것을 요청할 수 있다.
1810 단계에서, 단말은 네트워크 엔티티로부터 패킷 내 데이터와 관련된 정보에 대해서만 암호화 또는 무결성 보호할 것을 지시 받음으로써, UP 보안을 설정 받을 수 있다.
이후, 1815 단계에서, 단말은 설정된 UP 보안에 따라 네트워크 엔티티와 데이터를 송수신할 수 있다.
한편, 도 18에 도시된 1805 단계 내지 1815 단계는 순서가 변경되어 수행될 수 있고, 일부가 생략될 수 있으며, 또한 동시에 수행될 수 있다.
도 19는 본 개시의 일 실시예에 따른 서버의 동작을 도시한 도면이다.
도 19를 참조하면, 1905 단계에서 서버는 데이터의 암호화 여부를 판단할 수 있다.
데이터가 암호화된 경우, 1910 단계에서 서버는 네트워크 엔티티에 패킷 내 데이터의 암호화 여부를 지시하거나 또는 패킷 내 데이터와 관련된 정보(예를 들어, 프로토콜 계층의 헤더 또는 부가 정보)에 대해서만 암호화 또는 무결성 보호할 것을 요청할 수 있다.
한편, 도 19에 도시된 1905 단계 내지 1910 단계는 순서가 변경되어 수행될 수 있고, 일부가 생략될 수 있으며, 또한 동시에 수행될 수 있다.
도 20 본 개시가 적용될 수 있는 네트워크 엔티티의 구조를 도시한 도면이다.
도 20을 참조하면, 본 개시의 일 실시예에 따른 네트워크 엔티티(2000)는 송수신부(2005), 제어부(2010) 및 저장부(2015)를 포함하여 구성될 수 있다. 본 개시에서 네트워크 엔티티(2000)의 제어부(2010)는 회로 또는 어플리케이션 특정 통합 회로 또는 적어도 하나의 프로세서라고 정의될 수 있다.
송수신부(2005)는 신호를 송수신할 수 있다. 송수신부(2005)는 예를 들어, 본 개시의 일 실시예에 따른 단말 또는 서버에 신호를 송신할 수 있고, 단말 또는 서버로부터 신호를 수신할 수 있다.
제어부(2010)은 본 개시에서 제안하는 일 실시예에 따른 네트워크 엔티티(2000)의 전반적인 동작을 제어할 수 있다. 예를 들어, 제어부(2010)은 상기에서 기술한 도면(또는, 순서도, 흐름도)에 따른 동작을 수행하도록 각 블록 간 신호 흐름을 제어할 수 있다.
저장부(2015)는 송수신부(2005)를 통해 송수신되는 정보 및 제어부(2010)를 통해 생성되는 정보 중 적어도 하나를 저장할 수 있다.
도 21은 본 개시가 적용될 수 있는 단말의 구조를 도시한 도면이다.
도 21을 참조하면, 본 개시의 일 실시예에 따른 단말(2100)은 송수신부(2105), 제어부(2110) 및 저장부(2115)를 포함하여 구성될 수 있다. 본 개시에서 단말(2100)의 제어부(2110)는 회로 또는 어플리케이션 특정 통합 회로 또는 적어도 하나의 프로세서라고 정의될 수 있다.
송수신부(2105)는 신호를 송수신할 수 있다. 송수신부(2105)는 예를 들어, 본 개시의 일 실시예에 따른 네트워크 엔티티에 신호를 송신하고, 네트워크 엔티티로부터 신호를 수신할 수 있다.
제어부(2110)은 본 개시에서 제안하는 일 실시예에 따른 단말(2100)의 전반적인 동작을 제어할 수 있다. 예를 들어, 제어부(2110)은 상기에서 기술한 도면(또는, 순서도, 흐름도)에 따른 동작을 수행하도록 각 블록 간 신호 흐름을 제어할 수 있다.
저장부(2115)는 송수신부(2105)를 통해 송수신되는 정보 및 제어부(2010)를 통해 생성되는 정보 중 적어도 하나를 저장할 수 있다.
도 22는 본 개시가 적용될 수 있는 서버의 구조를 도시한 도면이다.
도 22를 참조하면, 본 개시의 일 실시예에 따른 서버(2200)는 송수신부(2205), 제어부(2210) 및 저장부(2215)를 포함하여 구성될 수 있다. 본 개시에서 서버(2200)의 제어부(2210)는 회로 또는 어플리케이션 특정 통합 회로 또는 적어도 하나의 프로세서라고 정의될 수 있다.
송수신부(2205)는 신호를 송수신할 수 있다. 송수신부(2205)는 예를 들어, 본 개시의 일 실시예에 따른 네트워크 엔티티에 신호를 송신하고, 네트워크 엔티티로부터 신호를 수신할 수 있다.
제어부(2210)는 본 개시에서 제안하는 일 실시예에 따른 서버(2200)의 전반적인 동작을 제어할 수 있다. 예를 들어, 제어부(2210)는 상기에서 기술한 도면(또는, 순서도, 흐름도)에 따른 동작을 수행하도록 각 블록 간 신호 흐름을 제어할 수 있다.
저장부(2215)는 송수신부(2205)를 통해 송수신되는 정보 및 제어부(2210)를 통해 생성되는 정보 중 적어도 하나를 저장할 수 있다.
상기에서는, 통신 시스템에서 데이터의 중복 암호화로 인한 연산 자원 소모 및 연산 시간 증가에 따른 통신 지연의 문제점을 해결할 수 있는 다양한 실시예들이 설명되었다.
본 개시의 일 실시예에 따르면, 데이터의 암호화 여부를 확인하는 방법, 이를 수행할 수 있는 장치 및 시스템이 제공된다. 또한, 본 개시의 일 실시예에 따르면, 데이터의 암호화 여부에 기반하여 상기 데이터에 대해 선택적으로 보안을 제공(예를 들어, 암호화 또는 무결성 보호)하는 방법, 이를 수행할 수 있는 장치 및 시스템이 제공된다. 또한, 본 개시의 일 실시예에 따르면, 데이터의 암호화 여부에 기반하여 상기 데이터에 대해 선택적으로 보안을 제공(예를 들어, 암호화 또는 무결성 보호)할 것을 지시하는 방법, 이를 수행할 수 있는 장치 및 시스템이 제공된다. 또한, 본 개시의 일 실시예에 따르면, 데이터에 대해 보안을 제공함에 있어, 연산 효율성을 향상시킬 수 있는 패킷의 구조가 제공된다. 이에 따르면, 데이터가 이미 암호화된 경우, 중복적으로 암호화되지 않도록 함으로써, 암호화 절차 또는 무결성 보호 절차에 소모되는 연산 자원의 최소화, 연산 시간의 감소를 통한 연산 지연 시간의 최소화 등의 효과를 얻을 수 있는 바, 보다 효율적인 통신 시스템이 구현될 수 있다.
본 개시에서 제안하는 방법들은 발명의 본질을 해치지 않는 범위 내에서 각 실시예에 포함된 내용의 일부 또는 전부가 조합되어 실행될 수도 있다.
한편, 본 명세서와 도면에 개시된 본 발명의 실시예들은 본 발명의 기술 내용을 쉽게 설명하고 본 개시의 이해를 돕기 위해 특정 예를 제시한 것일 뿐이며, 본 개시의 범위를 한정하고자 하는 것은 아니다. 즉, 본 개시의 기술적 사상에 바탕을 둔 다른 변형 예들이 실시 가능하다는 것은 본 개시의 속하는 기술 분야에서 통상의 지식을 가진 자에게 자명한 것이다.
또한, 본 명세서와 도면에는 본 개시의 바람직한 실시예에 대하여 개시하였으며, 비록 특정 용어들이 사용되었으나, 이는 단지 본 발명의 기술 내용을 쉽게 설명하고 발명의 이해를 돕기 위한 일반적인 의미에서 사용된 것이지, 본 개시의 범위를 한정하고자 하는 것은 아니다. 여기에 개시된 실시예 외에도 본 개시의 기술적 사상에 바탕을 둔 다른 변형 예들이 실시 가능하다는 것은 본 개시가 속하는 기술 분야에서 통상의 지식을 가진 자에게 자명한 것이다.
Claims (20)
- 네트워크 엔티티(network entity)의 방법에 있어서,
패킷에 포함된 데이터의 암호화 여부를 확인하는 단계; 및
상기 데이터가 암호화된 경우, 상기 패킷에 포함된 상기 데이터와 관련된 정보에 대해 보안을 제공할 것을 지시하는 신호를 전송하는 단계를 포함하는 것을 특징으로 하는 방법.
- 제1항에 있어서,
상기 데이터의 암호화 여부를 확인하는 단계는,
적어도 하나의 패킷의 검사(inspection)를 수행하는 단계; 및
적어도 하나의 암호화 프로토콜에 기반하여, 상기 적어도 하나의 패킷에 포함된 데이터의 암호화 여부를 확인하는 단계를 포함하는 것을 특징으로 하는 방법.
- 제1항에 있어서,
상기 데이터의 암호화 여부를 확인하는 단계는,
단말 또는 서버로부터, 상기 데이터의 암호화 여부를 지시하는 신호를 수신하는 단계; 및
상기 단말 또는 서버로부터 수신된 신호에 기반하여, 상기 데이터의 암호화 여부를 확인하는 단계를 포함하는 것을 특징으로 하는 방법.
- 제1항에 있어서,
상기 데이터의 암호화 여부를 확인하는 단계는,
단말 또는 서버로부터, 상기 패킷에 포함된 상기 데이터와 관련된 정보에 대해 보안을 제공할 것을 요청하는 메시지를 수신하는 단계를 포함하는 것을 특징으로 하는 방법.
- 제1항에 있어서,
상기 신호를 전송하는 단계는,
상기 패킷에 포함된 상기 데이터와 관련된 정보에 대해 보안을 제공할 것을 지시하는 상기 신호를 단말에 전송하는 것을 특징으로 하는 방법.
- 제1항에 있어서,
상기 데이터가 암호화된 경우, 상기 데이터와 관련된 정보에 대해 무결성 보호 절차를 수행하는 단계; 및
상기 무결성 보호 절차의 결과에 기반하여 생성된 무결성 보호를 위한 정보 및 상기 데이터와 관련된 정보에 대해 암호화 절차를 수행하는 단계를 포함하며,
상기 무결성 보호를 위한 정보는 MAC-I(message authentication code-integrity)를 포함하며,
상기 패킷 내 상기 무결성 보호를 위한 정보의 위치는 상기 데이터의 위치에 기반하는 것을 특징으로 하는 방법.
- 단말의 방법에 있어서,
패킷에 포함된 데이터의 암호화 여부를 확인하는 단계;
상기 데이터가 암호화된 경우, 상기 패킷에 포함된 상기 데이터와 관련된 정보에 대해 보안을 제공할 것을 요청하는 신호를 전송하는 단계; 및
상기 신호에 응답하여, 상기 데이터와 관련된 정보에 대해 보안을 제공할 것을 지시하는 신호를 수신하는 단계를 포함하는 것을 특징으로 하는 방법.
- 제7항에 있어서,
상기 데이터의 암호화 여부를 지시하는 신호를 전송하는 단계를 더 포함하며,
상기 데이터와 관련된 정보에 대해 무결성 보호 절차가 수행되고,
상기 무결성 보호 절차의 결과에 기반하여 생성된 무결성 보호를 위한 정보 및 상기 데이터와 관련된 정보에 대해 암호화 절차가 수행되고,
상기 무결성 보호를 위한 정보는 MAC-I(message authentication code-integrity)를 포함하며,
상기 패킷 내 상기 무결성 보호를 위한 정보의 위치는 상기 데이터의 위치에 기반하는 것을 특징으로 하는 방법.
- 서버의 방법에 있어서,
패킷에 포함된 데이터의 암호화 여부를 확인하는 단계; 및
상기 데이터가 암호화된 경우, 상기 패킷에 포함된 상기 데이터와 관련된 정보에 대해 보안을 제공할 것을 요청하는 신호를 전송하는 단계를 포함하는 것을 특징으로 하는 방법.
- 제9항에 있어서,
상기 데이터의 암호화 여부를 지시하는 신호를 전송하는 단계를 더 포함하는 것을 특징으로 하는 방법.
- 네트워크 엔티티(network entity)에 있어서,
송수신부; 및
상기 송수신부와 연결되고,
패킷에 포함된 데이터의 암호화 여부를 확인하고,
상기 데이터가 암호화된 경우, 상기 패킷에 포함된 상기 데이터와 관련된 정보에 대해 보안을 제공할 것을 지시하는 신호를 상기 송수신부를 통해 전송하는 제어부를 포함하는 것을 특징으로 하는 네트워크 엔티티.
- 제11항에 있어서,
상기 제어부는,
적어도 하나의 패킷의 검사(inspection)를 수행하고,
적어도 하나의 암호화 프로토콜에 기반하여, 상기 적어도 하나의 패킷에 포함된 데이터의 암호화 여부를 확인하는 것을 특징으로 하는 네트워크 엔티티.
- 제11항에 있어서,
상기 제어부는,
단말 또는 서버로부터, 상기 데이터의 암호화 여부를 지시하는 신호를 상기 송수신부를 통해 수신하고,
상기 단말 또는 서버로부터 수신된 신호에 기반하여, 상기 데이터의 암호화 여부를 확인하는 것을 특징으로 하는 네트워크 엔티티.
- 제11항에 있어서,
상기 제어부는,
단말 또는 서버로부터, 상기 패킷에 포함된 상기 데이터와 관련된 정보에 대해 보안을 제공할 것을 요청하는 메시지를 상기 송수신부를 통해 수신하는 것을 특징으로 하는 네트워크 엔티티.
- 제11항에 있어서,
상기 제어부는,
상기 데이터가 암호화된 경우, 상기 패킷에 포함된 상기 데이터와 관련된 정보에 대해 보안을 제공할 것을 지시하는 상기 신호를 상기 송수신부를 통해 단말에 전송하는 것을 특징으로 하는 네트워크 엔티티.
- 제11항에 있어서,
상기 제어부는,
상기 데이터가 암호화된 경우, 상기 데이터와 관련된 정보에 대해 무결성 보호 절차를 수행하고,
상기 무결성 보호 절차의 결과에 기반하여 생성된 무결성 보호를 위한 정보 및 상기 데이터와 관련된 정보에 대해 암호화 절차를 수행하며,
상기 무결성 보호를 위한 정보는 MAC-I(message authentication code-integrity)를 포함하고,
상기 패킷 내 상기 무결성 보호를 위한 정보의 위치는 상기 데이터의 위치에 기반하는 것을 특징으로 하는 네트워크 엔티티.
- 단말에 있어서,
송수신부; 및
상기 송수신부와 연결되고,
패킷에 포함된 데이터의 암호화 여부를 확인하고,
상기 데이터가 암호화된 경우, 상기 패킷에 포함된 상기 데이터와 관련된 정보에 대해 보안을 제공할 것을 요청하는 신호를 상기 송수신부를 통해 전송하며,
상기 신호에 응답하여, 상기 데이터와 관련된 정보에 대해 보안을 제공할 것을 지시하는 신호를 상기 송수신부를 통해 수신하는 제어부를 포함하는 것을 특징으로 하는 단말.
- 제17항에 있어서,
상기 제어부는,
상기 데이터의 암호화 여부를 지시하는 신호를 상기 송수신부를 통해 전송하며,
상기 데이터와 관련된 정보에 대해 무결성 보호 절차가 수행되고,
상기 무결성 보호 절차의 결과에 기반하여 생성된 무결성 보호를 위한 정보 및 상기 데이터와 관련된 정보에 대해 암호화 절차가 수행되고,
상기 무결성 보호를 위한 정보는 MAC-I(message authentication code-integrity)를 포함하며,
상기 패킷 내 상기 무결성 보호를 위한 정보의 위치는 상기 데이터의 위치에 기반하는 것을 특징으로 하는 단말.
- 서버에 있어서,
송수신부; 및
상기 송수신부와 연결되고,
패킷에 포함된 데이터의 암호화 여부를 확인하고,
상기 데이터가 암호화된 경우, 상기 패킷에 포함된 상기 데이터와 관련된 정보에 대해 보안을 제공할 것을 요청하는 신호를 상기 송수신부를 통해 전송하는 제어부를 포함하는 것을 특징으로 하는 서버.
- 제19항에 있어서,
상기 제어부는,
상기 데이터의 암호화 여부를 지시하는 신호를 상기 송수신부를 통해 전송하는 것을 특징을 하는 서버.
Priority Applications (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020210131165A KR20230047837A (ko) | 2021-10-01 | 2021-10-01 | 통신 시스템에서 사용자 평면 보안을 위한 방법, 장치 및 시스템 |
| EP22876712.5A EP4388709A1 (en) | 2021-10-01 | 2022-09-14 | Method, apparatus, and system for user plane security in communication system |
| CN202280066168.5A CN118044156A (zh) | 2021-10-01 | 2022-09-14 | 一种通信系统中用户平面安全性的方法、装置及系统 |
| PCT/KR2022/013686 WO2023054937A1 (en) | 2021-10-01 | 2022-09-14 | Method, apparatus, and system for user plane security in communication system |
| US17/934,142 US20230107731A1 (en) | 2021-10-01 | 2022-09-21 | Method, apparatus, and system for user plane security in communicaiton system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020210131165A KR20230047837A (ko) | 2021-10-01 | 2021-10-01 | 통신 시스템에서 사용자 평면 보안을 위한 방법, 장치 및 시스템 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR20230047837A true KR20230047837A (ko) | 2023-04-10 |
Family
ID=85774971
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020210131165A KR20230047837A (ko) | 2021-10-01 | 2021-10-01 | 통신 시스템에서 사용자 평면 보안을 위한 방법, 장치 및 시스템 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20230107731A1 (ko) |
| EP (1) | EP4388709A1 (ko) |
| KR (1) | KR20230047837A (ko) |
| CN (1) | CN118044156A (ko) |
| WO (1) | WO2023054937A1 (ko) |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080226074A1 (en) * | 2007-03-15 | 2008-09-18 | Interdigital Technology Corporation | Method and apparatus for ciphering packet units in wireless communications |
| US8155130B2 (en) * | 2008-08-05 | 2012-04-10 | Cisco Technology, Inc. | Enforcing the principle of least privilege for large tunnel-less VPNs |
| US10313878B2 (en) * | 2016-09-16 | 2019-06-04 | Qualcomm Incorporated | On-demand network function re-authentication based on key refresh |
| CN112203362A (zh) * | 2019-07-08 | 2021-01-08 | 联发科技(新加坡)私人有限公司 | 减少移动中断的方法和用户设备 |
-
2021
- 2021-10-01 KR KR1020210131165A patent/KR20230047837A/ko active Search and Examination
-
2022
- 2022-09-14 CN CN202280066168.5A patent/CN118044156A/zh active Pending
- 2022-09-14 WO PCT/KR2022/013686 patent/WO2023054937A1/en active Application Filing
- 2022-09-14 EP EP22876712.5A patent/EP4388709A1/en active Pending
- 2022-09-21 US US17/934,142 patent/US20230107731A1/en active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| WO2023054937A1 (en) | 2023-04-06 |
| US20230107731A1 (en) | 2023-04-06 |
| CN118044156A (zh) | 2024-05-14 |
| EP4388709A1 (en) | 2024-06-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9456381B2 (en) | Method of selectively applying a PDCP function in wireless communication system | |
| US9432847B2 (en) | Method and apparatus for reconfiguring connection to base station at relay node in a wireless communication system | |
| KR102556490B1 (ko) | 무선 통신 시스템에서 암호화 및 복호화 처리를 가속화하는 방법 및 장치 | |
| CN109479336A (zh) | 用于连接管理的系统和方法 | |
| JP2022528843A (ja) | 高信頼低遅延サービスをサポートするシステムでのpdcp制御データを処理する方法及び装置 | |
| US11589220B2 (en) | Communications method and apparatus for secure communication when a terminal is in a radio resource control inactive state | |
| CN107113895A (zh) | 通信方法、网络侧设备和用户设备 | |
| KR20200076561A (ko) | 차세대 이동 통신 시스템에서 pdcp 계층 장치 기반 보안키 확인 방법 및 장치 | |
| CN114503451A (zh) | 基于组的scell波束故障恢复 | |
| KR20230047837A (ko) | 통신 시스템에서 사용자 평면 보안을 위한 방법, 장치 및 시스템 | |
| US20230188973A1 (en) | Method and apparatus for signalling network coding capabilities | |
| US11363461B2 (en) | Method for managing security key of mobile communication system, and apparatus therefor | |
| KR20210023687A (ko) | 이동 통신 시스템의 보안키 관리 방법 및 이를 위한 장치 | |
| WO2018170645A1 (zh) | 一种用于上行传输的方法和装置 | |
| US20230422106A1 (en) | Method for authenticating access layer on basis of public key infrastructure in consideration of handover in next-generation wireless communication system | |
| WO2023051409A1 (zh) | 一种通信方法及装置 | |
| US20240214891A1 (en) | Method and apparatus for improving coverage in wireless communication system | |
| WO2021203318A1 (en) | Methods, devices, and computer readable medium for communication | |
| WO2023125914A1 (zh) | 业务传输的协同方法及设备 | |
| WO2023098209A1 (zh) | 一种数据传输保护方法、设备及系统 | |
| JP2024505918A (ja) | 方法、インフラストラクチャ機器および通信デバイス | |
| KR20240076302A (ko) | 무선 통신 시스템에서 보안 강도를 이용한 보안 설정 방법 및 장치 | |
| KR20240099079A (ko) | 무선 통신 시스템에서 커버리지를 개선시키기 위한 방법 및 장치 | |
| WO2018170646A1 (zh) | 一种用于下行传输的方法和装置 | |
| KR20240030906A (ko) | 패킷 처리를 위해 무선 네트워크 기능을 수행하는 방법 및 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination |