KR20230048322A - Uas 인증 및 보안 확립 - Google Patents

Uas 인증 및 보안 확립 Download PDF

Info

Publication number
KR20230048322A
KR20230048322A KR1020237004122A KR20237004122A KR20230048322A KR 20230048322 A KR20230048322 A KR 20230048322A KR 1020237004122 A KR1020237004122 A KR 1020237004122A KR 20237004122 A KR20237004122 A KR 20237004122A KR 20230048322 A KR20230048322 A KR 20230048322A
Authority
KR
South Korea
Prior art keywords
uas
uav
identifier
security
network
Prior art date
Application number
KR1020237004122A
Other languages
English (en)
Inventor
세바 박키아 마리 바스카란
안드레아스 쿤츠
디미트리오스 카람파트시스
Original Assignee
레노보 (싱가포르) 피티이. 엘티디.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 레노보 (싱가포르) 피티이. 엘티디. filed Critical 레노보 (싱가포르) 피티이. 엘티디.
Publication of KR20230048322A publication Critical patent/KR20230048322A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0433Key management protocols
    • GPHYSICS
    • G08SIGNALLING
    • G08GTRAFFIC CONTROL SYSTEMS
    • G08G5/00Traffic control systems for aircraft, e.g. air-traffic control [ATC]
    • G08G5/0004Transmission of traffic-related information to or from an aircraft
    • G08G5/0013Transmission of traffic-related information to or from an aircraft with a ground station
    • GPHYSICS
    • G08SIGNALLING
    • G08GTRAFFIC CONTROL SYSTEMS
    • G08G5/00Traffic control systems for aircraft, e.g. air-traffic control [ATC]
    • G08G5/0017Arrangements for implementing traffic-related aircraft activities, e.g. arrangements for generating, displaying, acquiring or managing traffic information
    • G08G5/0026Arrangements for implementing traffic-related aircraft activities, e.g. arrangements for generating, displaying, acquiring or managing traffic information located on the ground
    • GPHYSICS
    • G08SIGNALLING
    • G08GTRAFFIC CONTROL SYSTEMS
    • G08G5/00Traffic control systems for aircraft, e.g. air-traffic control [ATC]
    • G08G5/0043Traffic management of multiple aircrafts from the ground
    • GPHYSICS
    • G08SIGNALLING
    • G08GTRAFFIC CONTROL SYSTEMS
    • G08G5/00Traffic control systems for aircraft, e.g. air-traffic control [ATC]
    • G08G5/0047Navigation or guidance aids for a single aircraft
    • G08G5/0052Navigation or guidance aids for a single aircraft for cruising
    • GPHYSICS
    • G08SIGNALLING
    • G08GTRAFFIC CONTROL SYSTEMS
    • G08G5/00Traffic control systems for aircraft, e.g. air-traffic control [ATC]
    • G08G5/0047Navigation or guidance aids for a single aircraft
    • G08G5/0069Navigation or guidance aids for a single aircraft specially adapted for an unmanned aircraft
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/50Secure pairing of devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/71Hardware identity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Aviation & Aerospace Engineering (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Remote Sensing (AREA)
  • Radar, Positioning & Navigation (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Navigation (AREA)
  • Traffic Control Systems (AREA)
  • Lock And Its Accessories (AREA)

Abstract

UAS 인증 및 보안 확립을 위한 장치들, 방법들, 및 시스템들이 개시된다. 하나의 장치(1200)는, 모바일 무선 통신 네트워크의 제1 네트워크 기능으로부터, 사용자 장비("UE")로부터의 인증 요청 메시지를 UAS 서비스 공급자("USS")/UAS 트래픽 관리("UTM")로 전송하는 트랜시버(1225)를 포함하고, UE는 무인 항공기("UAV") 및 UAV 제어기("UAV-C") 중 적어도 하나를 포함한다. 트랜시버(1225)는, 제1 네트워크 기능에서 USS/UTM으로부터, UAS 식별자 및 UAS 보안 컨텍스트를 포함하는 인증 응답 메시지를 수신하고, UAS 보안 컨텍스트는 UAS 루트 키 및 UAS 루트 키 식별자를 포함한다.

Description

UAS 인증 및 보안 확립
관련 출원들에 대한 상호 참조
본 출원은 Sheeba Backia Mary Baskaran 등에 의해 2020년 8월 6일자로 출원된, 발명의 명칭이 "APPARATUSES, METHODS, AND SYSTEMS FOR UAS COMMAND AND CONTROL SECURITY SETUP AND MANAGEMENT IN 3GPP NETWORKS"인 미국 가특허 출원 번호 제63/062,286호에 대한 우선권을 주장하며, 이 출원은 본 명세서에 참조로 포함된다.
본 명세서에 개시된 주제는 일반적으로 무선 통신에 관한 것이며, 보다 상세하게는 UAS 인증 및 보안 확립에 관한 것이다.
특정 무선 통신 시스템들에서, 사용자 장비 디바이스("UE")는 공용 육상 모바일 네트워크("PLMN")에서 5세대("5G") 코어 네트워크(즉, "5GC")와 접속할 수 있다. 무선 네트워크들에서, 무인 항공 시스템들(unmanned aerial systems)("UAS들")은 무선 통신 시스템들을 통해 통신하는 무인 항공기들("UAV들"), UAV 제어기들("UAV-C들"), UAS 서비스 공급자들("USS들") 및 UAS 트래픽 관리("UTM") 기능들을 포함할 수 있다.
UAS 인증 및 보안 확립을 위한 절차들이 개시된다. 이러한 절차들은 장치, 시스템들, 방법들, 및/또는 컴퓨터 프로그램 제품들에 의해 구현될 수 있다.
모바일 통신 네트워크에서의 네트워크 기능(예컨대, UCFS, UAS NF, NEF)의 하나의 방법은 모바일 무선 통신 네트워크의 제1 네트워크 기능으로부터, 사용자 장비("UE")로부터의 인증 요청 메시지를 UAS 서비스 공급자("USS")/UAS 트래픽 관리("UTM")로 전송하는 단계를 포함하고, UE는 무인 항공기("UAV") 및 UAV 제어기("UAV-C") 중 적어도 하나를 포함한다. 이 방법은, 특정 실시예들에서, 제1 네트워크 기능에서 USS/UTM으로부터, UAS 식별자 및 UAS 보안 컨텍스트를 포함하는 인증 응답 메시지를 수신하는 단계를 포함하고, UAS 보안 컨텍스트는 UAS 루트 키(root key) 및 UAS 루트 키 식별자를 포함한다.
네트워크 기능(예를 들어, UCFS, UCF)의 다른 방법은, 모바일 무선 통신 네트워크의 네트워크 기능에서, 제1 사용자 장비("UE") 디바이스로부터 명령 및 제어("C2") 페어링 요청을 수신하는 단계를 포함하고, C2 페어링 요청은 제1 UE 디바이스와 제2 UE 디바이스 사이의 보안 통신을 확립하기 위한 적어도 하나의 파라미터를 포함한다. 이 방법은, 일 실시예에서, 네트워크 기능에서, 네트워크 기능에 로컬로 저장되어 있는 무인 항공 시스템("UAS") 보안 컨텍스트에 기반하여 적어도 하나의 파라미터를 검증하는 단계를 포함하고, UAS는 제1 및 제2 UE 디바이스들을 포함한다. 일 실시예에서, 제2 방법은 적어도 하나의 파라미터의 성공적인 검증에 응답하여, C2 페어링 요청을 네트워크 기능으로부터 UAS 서비스 공급자("USS")/UAS 트래픽 관리("UTM")로 전송하는 단계, 네트워크 기능에서, USS/UTM으로부터 C2 페어링 응답을 수신하는 단계, 및 보안 통신을 확립하기 위해 C2 페어링 응답을 네트워크 기능으로부터 제1 UE 디바이스로 전송하는 단계를 포함한다.
사용자 장비 디바이스("UE")(예컨대, UAV, UAV-C)의 하나의 방법은, 제1 사용자 장비("UE") 디바이스로부터 모바일 무선 통신 네트워크의 네트워크 기능으로, 제1 UE 디바이스와 제2 UE 디바이스 사이의 보안 통신을 확립하기 위한 명령 및 제어("C2") 페어링 요청을 전송하는 단계를 포함하고, C2 페어링 요청은 제1 UE 디바이스에 대한 식별자, 제2 UE 디바이스에 대한 식별자, 제1 및 제2 UE 디바이스들을 포함하는 무인 항공 시스템("UAS")에 대한 식별자, 제1 UE 디바이스에 대한 보안 능력 정보, UAS 허가 토큰, 넌스(nonce), UAS 보안 정보 식별자, UAS 루트 키, 및 UAS 세션 키 식별자 중 적어도 하나를 포함한다.
일 실시예에서, 이 방법은, 네트워크 기능으로부터, 성공 표시자, UAS 세션 키 식별자, UAS 세션 키, UAS 보안 정보, 선택된 보안 알고리즘, 및 제2 UE 디바이스에 대한 어드레스 중 적어도 하나를 포함하는 C2 페어링 응답을 수신하는 단계를 포함한다. 일 실시예에서, 이 방법은 로컬로 저장된 UAS 루트 키를 이용하여 제2 UAS 세션 키를 도출하고 제2 UAS 세션 키를 이용하여 제2 UAS 세션 키 식별자를 도출하는 단계, 제2 UAS 세션 키 식별자가 C2 페어링 응답에서 수신된 UAS 세션 키 식별자와 매칭하는 것을 검증하는 단계, UAS 세션 키에 기반하여 제1 UE 디바이스와 제2 UE 디바이스 사이의 통신을 보호하기 위한 적어도 하나의 보안 키를 도출하는 단계, 및 적어도 하나의 보안 키를 이용하여 제2 UE 디바이스와의 보안 통신을 확립하는 단계를 포함한다.
위에서 간략하게 설명된 실시예들의 더 구체적인 설명은 첨부 도면들에서 예시되는 특정 실시예들을 참조하여 이루어질 것이다. 이러한 도면들은 단지 일부 실시예들만을 도시할 뿐이고, 그에 따라, 범위를 제한하는 것으로 고려되지 않아야 한다는 이해 하에서, 실시예들은 첨부 도면들의 이용을 통해 추가적인 구체성 및 상세로 기술 및 설명될 것이다.
도 1은 UAS 인증 및 보안 확립을 위한 무선 통신 시스템의 일 실시예를 예시하는 개략적인 블록도이다.
도 2는 UAS 인증 및 키 확립을 위한 절차의 일 실시예를 예시하는 신호 흐름도이다.
도 3은 C2 보안 모드 명령을 위한 절차의 일 실시예를 예시하는 신호 흐름도이다.
도 4a는 UAS 키 계층구조의 제1 옵션을 도시한다.
도 4b는 UAS 키 계층구조의 제2 옵션을 도시한다.
도 5는 UAV와 UAV-C 사이의 명령 및 제어 보안 셋업을 위한 절차의 제1 옵션을 예시하는 신호 흐름도이다.
도 6은 UAV와 UAV-C 사이의 명령 및 제어 보안 셋업을 위한 절차의 제2 옵션을 예시하는 신호 흐름도이다.
도 7은 UAV와 TPAE 사이의 명령 및 제어 보안 셋업 절차를 위한 절차의 일 실시예를 예시하는 신호 흐름도이다.
도 8a는 SEAL 기반 UAS 인증을 위한 절차의 일 실시예를 예시하는 신호 흐름도이다.
도 8b는 SEAL 기반 UAS 키 관리를 위한 절차의 일 실시예를 예시하는 신호 흐름도이다.
도 9는 AKMA 기반 UAS 키 계층구조의 일 실시예를 도시한다.
도 10은 C2 보안 확립을 위한 AKMA 기반 UAS 키 생성 절차의 일 실시예를 예시하는 신호 흐름도이다.
도 11은 UAS 인증 및 보안 확립에 이용될 수 있는 사용자 장비 장치의 일 실시예를 예시하는 블록도이다.
도 12는 UAS 인증 및 보안 확립에 이용될 수 있는 네트워크 장치의 일 실시예를 예시하는 블록도이다.
도 13은 UAS 인증 및 보안 확립을 위한 방법의 일 실시예를 예시하는 흐름도이다.
도 14는 UAS 인증 및 보안 확립을 위한 방법의 일 실시예를 예시하는 흐름도이다.
도 15는 UAS 인증 및 보안 확립을 위한 방법의 일 실시예를 예시하는 흐름도이다.
본 기술분야의 통상의 기술자에 의해 인식될 바와 같이, 실시예들의 양태들은 시스템, 장치, 방법, 또는 프로그램 제품으로서 구현될 수 있다. 따라서, 실시예들은 전체적인 하드웨어 실시예, 전체적인 소프트웨어 실시예(펌웨어, 상주 소프트웨어, 마이크로-코드 등을 포함함), 또는 소프트웨어와 하드웨어 양태들을 조합한 실시예의 형태를 취할 수 있다.
예컨대, 개시되는 실시예들은 맞춤형 초고밀도 집적("VLSI") 회로들 또는 게이트 어레이들, 기성 반도체들, 이를테면, 로직 칩들, 트랜지스터들, 또는 다른 별개의 구성요소들을 포함하는 하드웨어 회로로서 구현될 수 있다. 개시되는 실시예들은 또한, 필드 프로그래밍가능한 게이트 어레이들, 프로그래밍가능한 어레이 로직, 프로그래밍가능한 로직 디바이스들 등과 같은 프로그래밍가능한 하드웨어 디바이스들로 구현될 수 있다. 다른 예로서, 개시되는 실시예들은, 예컨대, 오브젝트, 절차, 또는 함수로서 구성될 수 있는 실행가능한 코드의 하나 이상의 물리적 또는 논리적 블록을 포함할 수 있다.
게다가, 실시예들은 머신 판독가능한 코드, 컴퓨터 판독가능한 코드, 및/또는 프로그램 코드(이하에서, 코드로 지칭됨)를 저장하는 하나 이상의 컴퓨터 판독가능한 저장 디바이스에 구현되는 프로그램 제품의 형태를 취할 수 있다. 저장 디바이스들은 유형적, 비일시적, 및/또는 비전송일 수 있다. 저장 디바이스들은 신호들을 구현하지 않을 수 있다. 특정 실시예에서, 저장 디바이스들은 코드에 액세스하기 위한 신호들만을 이용한다.
하나 이상의 컴퓨터 판독가능한 매체의 임의의 조합이 활용될 수 있다. 컴퓨터 판독가능한 매체는 컴퓨터 판독가능한 저장 매체일 수 있다. 컴퓨터 판독가능한 저장 매체는 코드를 저장하는 저장 디바이스일 수 있다. 저장 디바이스는, 예컨대, 전자, 자기, 광학, 전자기, 적외선, 홀로그래픽, 마이크로기계, 또는 반도체 시스템, 장치, 또는 디바이스, 또는 전술된 것들의 임의의 적절한 조합일 수 있지만 이에 제한되지는 않는다.
저장 디바이스의 더 구체적인 예들(전부는 아닌 리스트)은 다음의 것들을 포함할 것이다: 하나 이상의 와이어를 갖는 전기 연결, 휴대용 컴퓨터 디스켓, 하드 디스크, 랜덤 액세스 메모리("RAM"), 판독 전용 메모리("ROM"), 소거가능 프로그래밍가능한 판독 전용 메모리("EPROM" 또는 플래시 메모리), 휴대용 콤팩트 디스크 판독 전용 메모리("CD-ROM"), 광학 저장 디바이스, 자기 저장 디바이스, 또는 전술된 것들의 임의의 적절한 조합. 본 문서의 맥락에서, 컴퓨터 판독가능한 저장 매체는 명령어 실행 시스템, 장치, 또는 디바이스에 의해 또는 그와 관련하여 이용하기 위한 프로그램을 보유 또는 저장할 수 있는 임의의 유형적 매체일 수 있다.
실시예들에 대한 동작들을 수행하기 위한 코드는 임의의 수의 라인일 수 있고, 파이썬(Python), 루비(Ruby), 자바(Java), 스몰토크(Smalltalk), C++ 등과 같은 객체 지향 프로그래밍 언어, 및 "C" 프로그래밍 언어 등과 같은 종래의 절차적 프로그래밍 언어들을 포함하는 하나 이상의 프로그래밍 언어, 및/또는 어셈블리 언어들과 같은 머신 언어들의 임의의 조합으로 작성될 수 있다. 코드는 사용자의 컴퓨터 상에서 완전히 실행될 수 있거나, 독립형 소프트웨어 패키지로서 사용자의 컴퓨터 상에서 부분적으로 실행될 수 있거나, 사용자의 컴퓨터 상에서 부분적으로 그리고 원격 컴퓨터 상에서 부분적으로 실행될 수 있거나, 또는 원격 컴퓨터 또는 서버 상에서 완전히 실행될 수 있다. 후자의 시나리오에서, 원격 컴퓨터는 근거리 네트워크("LAN"), 무선 LAN("WLAN") 또는 광역 네트워크("WAN")를 포함하는 임의의 유형의 네트워크를 통해 사용자의 컴퓨터에 접속될 수 있거나, (예를 들어, 인터넷 서비스 제공자("ISP")를 이용하여 인터넷을 통해) 외부 컴퓨터에 대해 접속이 이루어질 수 있다.
게다가, 실시예들의 설명되는 특징들, 구조들, 또는 특성들은 임의의 적절한 방식으로 조합될 수 있다. 다음의 설명에서, 실시예들의 완전한 이해를 제공하기 위해, 프로그래밍, 소프트웨어 모듈들, 사용자 선택들, 네트워크 트랜잭션들, 데이터베이스 질의들, 데이터베이스 구조들, 하드웨어 모듈들, 하드웨어 회로들, 하드웨어 칩들 등의 예들과 같은 다수의 특정 상세들이 제공된다. 그러나, 본 기술분야의 통상의 기술자는 실시예들이 특정 상세들 중 하나 이상 없이, 또는 다른 방법들, 구성요소들, 재료들 등을 이용하여 실시될 수 있다는 것을 인식할 것이다. 다른 경우들에서, 잘 알려져 있는 구조들, 재료들, 또는 동작들은 실시예의 양태들을 모호하게 하는 것을 피하기 위해 상세히 도시 또는 설명되지 않는다.
"일 실시예", "실시예", 또는 유사한 언어에 대한 본 명세서 전체에 걸친 언급은 실시예와 관련하여 설명되는 특정 특징, 구조, 또는 특성이 적어도 하나의 실시예에 포함된다는 것을 의미한다. 따라서, 본 명세서 전체에 걸친 "일 실시예에서", "실시예에서", 및 유사한 언어와 같은 문구들의 출현들은 모두 동일한 실시예를 지칭할 수 있지만 반드시 그런 것은 아니고, 명시적으로 달리 지정되지 않는 한 "모든 실시예들은 아닌 하나 이상의 실시예"를 의미할 수 있다. "포함하는", "갖는", 및 그 변형들과 같은 용어들은, 명시적으로 달리 지정되지 않는 한, "포함하지만 이에 제한되지는 않는"을 의미한다. 아이템들의 열거된 목록은, 명시적으로 달리 지정되지 않는 한, 아이템들 중 임의의 것 또는 전부가 상호 배타적이라는 것을 암시하지 않는다. 단수형의 용어들은 또한, 명시적으로 달리 지정되지 않는 한, "하나 이상"을 지칭한다.
본 명세서에서 사용되는 바와 같이, "및/또는"의 접속사를 갖는 리스트는 리스트 내의 임의의 단일 아이템 또는 리스트 내의 아이템들의 조합을 포함한다. 예컨대, A, B, 및/또는 C의 리스트는 A만을 포함하거나, B만을 포함하거나, C만을 포함하거나, A와 B의 조합을 포함하거나, B와 C의 조합을 포함하거나, A와 C의 조합을 포함하거나, 또는 A, B 및 C의 조합을 포함한다. 본 명세서에서 사용되는 바와 같이, "~ 중 하나 이상"이라는 용어를 사용하는 리스트는 리스트 내의 임의의 단일 아이템 또는 리스트 내의 아이템들의 조합을 포함한다. 예컨대, A, B, 및 C 중 하나 이상은 A만을 포함하거나, B만을 포함하거나, C만을 포함하거나, A와 B의 조합을 포함하거나, B와 C의 조합을 포함하거나, A와 C의 조합을 포함하거나, 또는 A, B 및 C의 조합을 포함한다. 본 명세서에서 사용되는 바와 같이, "~ 중 하나"라는 용어를 사용하는 리스트는 리스트 내의 임의의 단일 아이템 중 하나만을 포함한다. 예컨대, "A, B, 및 C 중 하나"는 A만을 포함하거나, B만을 포함하거나, 또는 C만을 포함하고, A, B, 및 C의 조합들을 배제한다. 본 명세서에서 사용되는 바와 같이, "A, B, 및 C로 구성된 그룹으로부터 선택되는 멤버"는 A, B, 또는 C 중 하나만을 포함하고, A, B, 및 C의 조합들을 배제한다. 본 명세서에서 사용되는 바와 같이, "A, B 및 C, 및 그 조합들로 구성된 그룹으로부터 선택되는 멤버"는 A만을 포함하거나, B만을 포함하거나, C만을 포함하거나, A와 B의 조합을 포함하거나, B와 C의 조합을 포함하거나, A와 C의 조합을 포함하거나, 또는 A, B, 및 C의 조합을 포함한다.
실시예들의 양태들은 실시예들에 따른 방법들, 장치들, 시스템들, 및 프로그램 제품들의 개략적인 흐름도들 및/또는 개략적인 블록도들을 참조하여 아래에서 설명된다. 개략적인 흐름도들 및/또는 개략적인 블록도들의 각각의 블록, 및 개략적인 흐름도들 및/또는 개략적인 블록도들 내의 블록들의 조합들은 코드에 의해 구현될 수 있다는 것을 이해할 것이다. 이러한 코드는 범용 컴퓨터, 특수 목적 컴퓨터, 또는 다른 프로그래밍가능한 데이터 처리 장치의 프로세서에 제공되어 머신을 생성할 수 있고, 그에 따라, 컴퓨터 또는 다른 프로그래밍가능한 데이터 처리 장치의 프로세서를 통해 실행되는 명령어들은 흐름도들 및/또는 블록도들에서 지정되는 기능들/동작들을 구현하기 위한 수단을 생성한다.
또한, 코드는 저장 디바이스에 저장될 수 있어서 컴퓨터, 다른 프로그래밍가능한 데이터 처리 장치, 또는 다른 디바이스들에게 특정 방식으로 기능할 것을 지시할 수 있고, 그에 따라, 저장 디바이스에 저장된 명령어들은 흐름도들 및/또는 블록도들에서 지정되는 기능/동작을 구현하는 명령어들을 포함하는 제조 물품을 생성한다.
또한, 코드는 컴퓨터, 다른 프로그래밍가능한 데이터 처리 장치, 또는 다른 디바이스들 상에 로딩되어, 일련의 동작 단계들이 컴퓨터, 다른 프로그래밍가능한 장치, 또는 다른 디바이스들 상에서 수행되게 하여 컴퓨터 구현 프로세스를 생성할 수 있고, 그에 따라, 컴퓨터 또는 다른 프로그래밍가능한 장치 상에서 실행되는 코드는 흐름도들 및/또는 블록도들에서 지정되는 기능들/동작들을 구현하기 위한 프로세스들을 제공한다.
도면들 내의 흐름도들 및/또는 블록도들은 다양한 실시예들에 따른 장치들, 시스템들, 방법들, 및 프로그램 제품들의 가능한 구현들의 아키텍처, 기능, 및 동작을 예시한다. 이와 관련하여, 흐름도들 및/또는 블록도들 내의 각각의 블록은 지정된 논리적 기능(들)을 구현하기 위한 코드의 하나 이상의 실행가능한 명령어를 포함하는 모듈, 세그먼트, 또는 코드의 일부분을 표현할 수 있다.
또한, 일부 대안적인 구현들에서, 블록에서 언급되는 기능들은 도면들에서 언급되는 순서와 다르게 발생할 수 있다는 점에 유의해야 한다. 예컨대, 관련된 기능에 따라, 연속적으로 도시된 2개의 블록이 실제로는 실질적으로 동시에 실행될 수 있거나, 또는 블록들은 때때로 역순으로 실행될 수 있다. 예시되는 도면들의 하나 이상의 블록 또는 그 부분들과 기능, 로직, 또는 효과에서 동등한 다른 단계들 및 방법들이 구상될 수 있다.
다양한 화살표 유형들 및 라인 유형들이 흐름도 및/또는 블록도에서 이용될 수 있지만, 그들은 대응하는 실시예들의 범위를 제한하지 않는 것으로 이해된다. 실제로, 일부 화살표들 또는 다른 커넥터들은 도시된 실시예의 논리적 흐름만을 표시하는데 이용될 수 있다. 예컨대, 화살표는 도시된 실시예의 열거된 단계들 사이의 지정되지 않은 지속기간의 대기 또는 모니터링 기간을 표시할 수 있다. 또한, 블록도들 및/또는 흐름도들의 각각의 블록, 및 블록도들 및/또는 흐름도들 내의 블록들의 조합들은 지정된 기능들 또는 동작들을 수행하는 특수 목적 하드웨어 기반 시스템들에 의해 구현될 수 있거나, 또는 특수 목적 하드웨어와 코드의 조합들에 의해 구현될 수 있다는 점에 유의해야 할 것이다.
각각의 도면 내의 요소들의 설명은 진행 도면들의 요소들을 지칭할 수 있다. 유사한 번호들은 유사한 요소들의 대안적인 실시예들을 포함하여 모든 도면들 내의 유사한 요소들을 지칭한다.
일반적으로, 본 개시내용은 UAS 인증, 허가, 및 보안 확립을 위한 시스템들, 방법들, 및 장치를 설명한다. 특정 실시예들에서, 이러한 방법들은 컴퓨터 판독가능한 매체 상에 내장된 컴퓨터 코드를 이용하여 수행될 수 있다. 특정 실시예들에서, 장치 또는 시스템은, 프로세서에 의해 실행될 때, 장치 또는 시스템으로 하여금 이하에서 설명되는 솔루션들의 적어도 일부분을 수행하게 하는 컴퓨터 판독가능한 코드를 포함하는 컴퓨터 판독가능한 매체를 포함할 수 있다.
일 실시예에서, 3GPP 시스템들은, UAV-C, UAS 서비스 공급자/UAS 트래픽 관리("USS/UTM") 및/또는 제3자 허가된 엔티티("TPAE")와 같은 다양한 당사자들에 의해 제어되는, UAV 통신에 대한 유비쿼터스 커버리지, 끊김 없는 이동성, 높은 신뢰성, 및 보다 중요하게 향상된 보안 및 안전성을 제공하는 UAS들을 지원한다. 특정 실시예들에서, 종래의 5G 시스템들은 UAS 동작들(예컨대, 명령 및 제어("C2") 시그널링)을 5G 인프라스트럭처를 통해 UAV와, UAV-C, USS/UTM, 및 TPAE와 같은 제어 당사자들 사이에서 지원하지 않으며, 따라서 UAS 통신 보호에 이용가능한 보안 특징이 없다.
본 개시내용에서 제안된 솔루션들은 5G 시스템에서의 전체 UAS 보안을 향상시키기 위해 UAV-C, USS/UTM 및/또는 TPAE에 의해 UAV에 전송된 C2 시그널링에 대한 데이터 보호(예를 들어, 기밀성, 무결성 및 리플레이)를 지원하기 위한 C2 보안 확립 절차들을 제공한다.
도 1은 본 개시내용의 실시예들에 따른, UAS 인증 및 보안 확립을 위한 무선 통신 시스템(100)을 도시한다. 일 실시예에서, 무선 통신 시스템(100)은 적어도 하나의 원격 유닛(105), 5세대 라디오 액세스 네트워크("5G-RAN")(115), 모바일 코어 네트워크(140), UAV 게이트웨이(109), 및 UAS(101)를 포함한다. 5G-RAN(115) 및 모바일 코어 네트워크(140)는 모바일 통신 네트워크를 형성한다. 5G-RAN(115)은 적어도 하나의 셀룰러 베이스 유닛(121)을 포함하는 3GPP 액세스 네트워크(120) 및/또는 적어도 하나의 액세스 포인트(131)를 포함하는 비-3GPP 액세스 네트워크(130)로 구성될 수 있다. 원격 유닛(105)은 3GPP 통신 링크들(123)을 이용하여 3GPP 액세스 네트워크(120)와 통신하고/하거나 비-3GPP 통신 링크들(133)을 이용하여 비-3GPP 액세스 네트워크(130)와 통신한다. 특정 수의 원격 유닛들(105), 3GPP 액세스 네트워크들(120), 셀룰러 베이스 유닛들(121), 3GPP 통신 링크들(123), 비-3GPP 액세스 네트워크들(130), 액세스 포인트들(131), 비-3GPP 통신 링크들(133) 및 모바일 코어 네트워크들(140)이 도 1에 도시되어 있지만, 본 기술분야의 통상의 기술자는 임의의 수의 원격 유닛들(105), 3GPP 액세스 네트워크들(120), 셀룰러 베이스 유닛들(121), 3GPP 통신 링크들(123), 비-3GPP 액세스 네트워크들(130), 액세스 포인트들(131), 비-3GPP 통신 링크들(133) 및 모바일 코어 네트워크들(140)이 무선 통신 시스템(100)에 포함될 수 있다는 것을 인식할 것이다.
일 구현에서, RAN(120)은 3세대 파트너십 프로젝트("3GPP") 사양들에서 지정된 5G 시스템에 따른다. 예를 들어, RAN(120)은 NR RAT 및/또는 LTE RAT를 구현하는 NG-RAN일 수 있다. 다른 예에서, RAN(120)은 비-3GPP RAT(예를 들어, Wi-Fi® 또는 IEEE(Institute of Electrical and Electronics Engineers) 802.11-패밀리 준수 WLAN)를 포함할 수 있다. 다른 구현에서, RAN(120)은 3GPP 사양들에서 지정된 LTE 시스템에 따른다. 그러나, 보다 일반적으로, 무선 통신 시스템(100)은 다른 네트워크들 중에서도, 일부 다른 개방 또는 독점 통신 네트워크, 예를 들어, WiMAX(Worldwide Interoperability for Microwave Access) 또는 IEEE 802.16-패밀리 표준들을 구현할 수 있다. 본 개시내용은 임의의 특정한 무선 통신 시스템 아키텍처 또는 프로토콜의 구현으로 제한되도록 의도되지 않는다.
일 실시예에서, 원격 유닛들(105)은, 데스크톱 컴퓨터들, 랩톱 컴퓨터들, PDA(personal digital assistant)들, 태블릿 컴퓨터들, 스마트폰들, 스마트 텔레비전들(예를 들어, 인터넷에 접속된 텔레비전들), 스마트 기기들(예를 들어, 인터넷에 접속된 기기들), 셋톱 박스들, 게임 콘솔들, (보안 카메라들을 포함한) 보안 시스템들, 차량 탑재 컴퓨터들, 네트워크 디바이스들(예를 들어, 라우터들, 스위치들, 모뎀들) 등의 컴퓨팅 디바이스들을 포함할 수 있다. 일부 실시예들에서, 원격 유닛들(105)은, 스마트 시계들, 피트니스 밴드들, 광학 헤드 장착형 디스플레이들 등의 웨어러블 디바이스들을 포함한다. 또한, 원격 유닛들(105)은, UE들, 가입자 유닛들, 모바일들, 이동국들, 사용자들, 단말기들, 모바일 단말기들, 고정 단말기들, 가입자국들, 사용자 단말기들, 무선 전송/수신 유닛("WTRU"), 디바이스, 또는 본 기술분야에서 사용되는 다른 용어로 지칭될 수 있다. 다양한 실시예들에서, 원격 유닛(105)은, 가입자 아이덴티티 및/또는 식별 모듈("SIM"), 및 모바일 종료 기능들(예를 들어, 라디오 전송, 핸드오버, 음성 인코딩 및 디코딩, 에러 검출 및 정정, SIM으로의 시그널링 및 액세스)을 제공하는 모바일 장비("ME")를 포함한다. 특정 실시예들에서, 원격 유닛(105)은 단말 장비("TE")를 포함할 수 있고/있거나 기기 또는 디바이스(예를 들어, 전술된 바와 같은 컴퓨팅 디바이스)에 내장될 수 있다.
일 실시예에서, 원격 유닛들(105)은, 데스크톱 컴퓨터들, 랩톱 컴퓨터들, PDA(personal digital assistant)들, 태블릿 컴퓨터들, 스마트폰들, 스마트 텔레비전들(예를 들어, 인터넷에 접속된 텔레비전들), 스마트 기기들(예를 들어, 인터넷에 접속된 기기들), 셋톱 박스들, 게임 콘솔들, (보안 카메라들을 포함한) 보안 시스템들, 차량 탑재 컴퓨터들, 네트워크 디바이스들(예를 들어, 라우터들, 스위치들, 모뎀들) 등의 컴퓨팅 디바이스들을 포함할 수 있다. 일부 실시예들에서, 원격 유닛들(105)은, 스마트 시계들, 피트니스 밴드들, 광학 헤드 장착형 디스플레이들 등의 웨어러블 디바이스들을 포함한다. 또한, 원격 유닛들(105)은, UE들, 가입자 유닛들, 모바일들, 이동국들, 사용자들, 단말기들, 모바일 단말기들, 고정 단말기들, 가입자국들, 사용자 단말기들, 무선 전송/수신 유닛("WTRU"), 디바이스, 또는 본 기술분야에서 사용되는 다른 용어로 지칭될 수 있다.
원격 유닛들(105)은 업링크("UL") 및 다운링크("DL") 통신 신호들을 통해 3GPP 액세스 네트워크(120) 내의 셀룰러 베이스 유닛들(121) 중 하나 이상과 직접 통신할 수 있다. 또한, UL 및 DL 통신 신호들은 3GPP 통신 링크들(123)을 통해 운반될 수 있다. 유사하게, 원격 유닛들(105)은 비-3GPP 통신 링크들(133)을 통해 운반되는 UL 및 DL 통신 신호들을 통해 비-3GPP 액세스 네트워크(들)(130) 내의 하나 이상의 액세스 포인트(131)와 통신할 수 있다. 여기서, 액세스 네트워크들(120 및 130)은 원격 유닛들(105)에게 모바일 코어 네트워크(140)에 대한 액세스를 제공하는 중간 네트워크들이다.
일부 실시예들에서, 원격 유닛들(105)은 모바일 코어 네트워크(140)와의 네트워크 접속을 통해 (예를 들어, 데이터 네트워크(150) 내의 또는 데이터 네트워크(160) 내의) 원격 호스트와 통신한다. 예를 들어, 원격 유닛(105) 내의 애플리케이션(107)(예를 들어, 웹 브라우저, 미디어 클라이언트, 전화 및/또는 VoIP(Voice-over-Internet-Protocol) 애플리케이션)은 5G-RAN(115)을 통해(즉, 3GPP 액세스 네트워크(120) 및/또는 비-3GPP 네트워크(130)를 통해) 모바일 코어 네트워크(140)와 프로토콜 데이터 유닛("PDU") 세션(또는 다른 데이터 접속)을 확립하도록 원격 유닛(105)을 트리거링할 수 있다. 그 후, 모바일 코어 네트워크(140)는 PDU 세션을 이용하여 원격 유닛(105)과 원격 호스트 사이에서 트래픽을 중계한다. PDU 세션은 원격 유닛(105)과 사용자 평면 기능("UPF")(141) 사이의 논리적 접속을 나타낸다.
PDU 세션(또는 PDN 접속)을 확립하기 위해, 원격 유닛(105)은 모바일 코어 네트워크(140)에 등록되어야 한다(이것은 또한 4세대("4G") 시스템의 맥락에서 "모바일 코어 네트워크에 속하는 것"이라고도 한다). 원격 유닛(105)은 모바일 코어 네트워크(140)와 하나 이상의 PDU 세션(또는 다른 데이터 접속)을 확립할 수 있다는 점에 유의한다. 따라서, 원격 유닛(105)은 패킷 데이터 네트워크(150)와 통신하기 위한 적어도 하나의 PDU 세션을 가질 수 있다. 추가적으로 또는 대안적으로, 원격 유닛(105)은 패킷 데이터 네트워크(160)와 통신하기 위한 적어도 하나의 PDU 세션을 가질 수 있다. 원격 유닛(105)은 다른 데이터 네트워크들 및/또는 다른 통신 피어들과 통신하기 위한 추가적인 PDU 세션들을 확립할 수 있다.
5G 시스템("5GS")의 맥락에서, 용어 "PDU 세션"이란, UPF(131)를 통해 원격 유닛(105)과 특정한 데이터 네트워크("DN") 사이에 종단간("E2E") 사용자 평면("UP") 접속성을 제공하는 데이터 접속을 지칭한다. PDU 세션은 하나 이상의 서비스 품질("QoS") 흐름을 지원한다. 특정 실시예들에서, 특정 QoS 흐름에 속하는 모든 패킷들이 동일한 5G QoS 식별자("5QI")를 갖도록, QoS 흐름과 QoS 프로파일 사이에 일대일 매핑이 있을 수 있다.
진화된 패킷 시스템("EPS")과 같은 4G/LTE 시스템의 맥락에서, 패킷 데이터 네트워크("PDN") 접속(EPS 세션이라고도 함)은 원격 유닛과 PDN 사이에 E2E UP 접속성을 제공한다. PDN 접속 절차는 EPS 베어러, 즉, 원격 유닛(105)과 모바일 코어 네트워크(130) 내의 패킷 게이트웨이("PGW", 도시되지 않음) 사이의 터널을 확립한다. 특정 실시예들에서, 특정 EPS 베어러에 속하는 모든 패킷들이 동일한 QoS 부류 식별자("QCI")를 갖도록, EPS 베어러와 QoS 프로파일 사이에 일대일 매핑이 존재한다.
아래에 더 상세히 설명되는 바와 같이, 원격 유닛(105)은 제1 모바일 코어 네트워크(130)와 확립된 제1 데이터 접속(예를 들어, PDU 세션)을 이용하여 제2 모바일 코어 네트워크(140)와의 제2 데이터 접속(예를 들어, 제2 PDU 세션의 일부)을 확립할 수 있다. 제2 모바일 코어 네트워크(140)와의 데이터 접속(예를 들어, PDU 세션)을 확립할 때, 원격 유닛(105)은 제1 데이터 접속을 이용하여 제2 모바일 코어 네트워크(140)에 등록한다.
셀룰러 베이스 유닛들(121)은 지리적 영역에 걸쳐 분산될 수 있다. 특정 실시예들에서, 셀룰러 베이스 유닛(121)은 또한, 액세스 단말기, 베이스, 기지국, 노드-B("NB"), (eNodeB 또는 "eNB"라고 약칭되며, E-UTRAN(Evolved Universal Terrestrial Radio Access Network) 노드 B라고도 알려진) 진화된 노드 B, 5G/NR 노드 B("gNB"), 홈 노드-B, 홈 노드-B, 중계 노드, 디바이스, 또는 본 기술분야에서 사용되는 임의의 다른 용어로 지칭될 수 있다. 셀룰러 베이스 유닛들(121)은 일반적으로, 하나 이상의 대응하는 셀룰러 베이스 유닛(121)에 통신가능하게 결합된 하나 이상의 제어기를 포함할 수 있는, 3GPP 액세스 네트워크(120) 등의 라디오 액세스 네트워크("RAN")의 일부이다. 라디오 액세스 네트워크의 이들 및 다른 요소들은 예시되어 있지 않지만, 본 기술분야의 통상의 기술자에게 일반적으로 널리 공지되어 있다. 셀룰러 베이스 유닛들(121)은 3GPP 액세스 네트워크(120)를 통해 모바일 코어 네트워크(140)에 접속한다.
셀룰러 베이스 유닛들(121)은 3GPP 무선 통신 링크(123)를 통해 서빙 영역, 예를 들어 셀 또는 셀 섹터 내의 다수의 원격 유닛(105)을 서빙할 수 있다. 셀룰러 베이스 유닛들(121)은 통신 신호들을 통해 하나 이상의 원격 유닛(105)과 직접 통신할 수 있다. 일반적으로, 셀룰러 베이스 유닛들(121)은, 시간, 주파수, 및/또는 공간 도메인에서 원격 유닛들(105)을 서빙하기 위해 DL 통신 신호들을 전송한다. 또한, DL 통신 신호들은 3GPP 통신 링크들(123)을 통해 운반될 수 있다. 3GPP 통신 링크들(123)은 허가 또는 비허가 라디오 스펙트럼에서의 임의의 적절한 캐리어일 수 있다. 3GPP 통신 링크들(123)은 하나 이상의 원격 유닛(105) 및/또는 하나 이상의 셀룰러 베이스 유닛(121) 사이의 통신을 용이하게 한다. 비허가 스펙트럼 상의 NR("NR-U"로 지칭됨) 동작 동안, 베이스 유닛(121) 및 원격 유닛(105)은 비허가(즉, 공유) 라디오 스펙트럼을 통해 통신한다는 점에 유의한다.
비-3GPP 액세스 네트워크들(130)은 지리적 영역에 걸쳐 분산될 수 있다. 각각의 비-3GPP 액세스 네트워크(130)는 서빙 영역을 갖는 다수의 원격 유닛(105)을 서빙할 수 있다. 비-3GPP 액세스 네트워크(130)에서의 액세스 포인트(131)는 시간, 주파수 및/또는 공간 도메인에서 원격 유닛들(105)을 서빙하기 위해 UL 통신 신호들을 수신하고 DL 통신 신호들을 전송함으로써 하나 이상의 원격 유닛(105)과 직접 통신할 수 있다. DL 및 UL 통신 신호들 둘 다는 비-3GPP 통신 링크들(133)을 통해 운반된다. 3GPP 통신 링크들(123) 및 비-3GPP 통신 링크들(133)은 상이한 주파수들 및/또는 상이한 통신 프로토콜들을 이용할 수 있다. 다양한 실시예들에서, 액세스 포인트(131)는 비허가 라디오 스펙트럼을 이용하여 통신할 수 있다. 모바일 코어 네트워크(140)는 본 명세서에서 더 상세히 설명되는 바와 같이 비-3GPP 액세스 네트워크들(130)을 통해 원격 유닛(105)에 서비스들을 제공할 수 있다.
일부 실시예들에서, 비-3GPP 액세스 네트워크(130)는 상호연동 엔티티(135)를 통해 모바일 코어 네트워크(140)에 접속한다. 상호연동 엔티티(135)는 비-3GPP 액세스 네트워크(130)와 모바일 코어 네트워크(140) 사이의 상호연동을 제공한다. 상호연동 엔티티(135)는 "N2" 및 "N3" 인터페이스들을 통해 접속성을 지원한다. 도시된 바와 같이, 3GPP 액세스 네트워크(120) 및 상호연동 엔티티(135) 양쪽 모두는 "N2" 인터페이스를 이용하여 AMF(143)와 통신한다. 3GPP 액세스 네트워크(120) 및 상호연동 엔티티(135)는 또한 "N3" 인터페이스를 이용하여 UPF(141)와 통신한다. 모바일 코어 네트워크(140) 외부에 있는 것으로 도시되어 있지만, 다른 실시예들에서, 상호연동 엔티티(135)는 코어 네트워크의 일부일 수 있다. 비-3GPP RAN(130) 외부에 있는 것으로 도시되어 있지만, 다른 실시예들에서, 상호연동 엔티티(135)는 비-3GPP RAN(130)의 일부일 수 있다.
일 실시예에서, UAS(101)는 UAV(106), 예컨대, 드론과 UAV 제어기(108) 사이에서 무인 항공기 동작들을 수행하기 위한 구성요소들, 네트워크들, 하드웨어, 소프트웨어 및/또는 기타 등등을 포함한다. UAV(106)는 UAV 제어기(108)를 이용하여 원격으로 제어되는, 인간 조종사, 승무원, 또는 승객들이 없는 항공기를 지칭할 수 있다. UAV 제어기(108)는, 예컨대, 모바일 네트워크(140), 액세스 네트워크(120, 130) 등을 통해, UAV를 제어하기 위한, 예컨대, UAV의 속도, 방향, 배향 등을 제어하기 위한 명령어들을 UAV(106)에 무선으로 전송하도록 구성되는 디바이스를 지칭할 수 있다. UAS 오퍼레이터(102)는 (예컨대, UAV 제어기(108)를 통해) UAV(106)를 동작시키고, 전형적으로, 비행 허가들을 요청하는 사람일 수 있다. UAV(106) 및 UAV 제어기(108)는 각각 무선 통신 시스템(100) 내의 UE들일 수 있고/있거나 원격 유닛(105)의 인스턴스를 포함할 수 있다. 이와 같이, UAV(106) 및/또는 UAV 제어기(108)는 모바일 코어 네트워크(140)에 의해 제공되는 서비스들에 액세스하기 위해 액세스 네트워크(120)와 통신할 수 있다.
일부 실시예들에서, UAV(106) 및/또는 UAV-C 제어기(108)는 모바일 코어 네트워크(140)와의 네트워크 접속을 통해 UAV 비행 인에이블먼트 서브시스템("UFES")/UAS 네트워크 기능("UAS-NF")/네트워크 노출 기능("NEF")(155)(단순화를 위해, 본 명세서에서는 집합적으로 UFES(155)로 지칭됨) 및/또는 USS/UTM(157) 기능과 통신한다. 일 실시예에서, UAS 네트워크 기능은 NEF에 의해 지원되고 USS로의 서비스들의 외부 노출에 이용된다. UAS-NF는 UAV/UAS 인증/허가를 위해, UAV 비행 허가를 위해, UAV-UAV-C 페어링 허가 및 관련 취소를 위해; 위치 보고, 및 C2 통신을 위한 QoS/트래픽 필터링의 제어를 위해 기존의 NEF/SCEF 노출 서비스들을 이용한다. USS/UTM(157)은, 일 실시예에서, UAV(106) 오퍼레이터들(102)이 안전하고 순응적인 동작들을 수행하는 것을 보조하는 중첩 USS들의 세트를 제공한다. 서비스들은 비행 충돌 방지 계획들, 원격 식별 등을 포함할 수 있다.
일 실시예에서, UAV(106) 및/또는 UAV 제어기(108)는 RAN(115)을 이용하여 모바일 코어 네트워크(140)와 PDU 세션(또는 유사한 데이터 접속)을 확립할 수 있다. 모바일 코어 네트워크(140)는 그 후에 PDU 세션을 이용하여 UAV(106)와 UAV 제어기(108) 및 패킷 데이터 네트워크(150) 사이에서 트래픽을 중계할 수 있다.
특정 실시예들에서, 비-3GPP 액세스 네트워크(130)는 모바일 코어 네트워크(140)의 오퍼레이터에 의해 제어될 수 있고 모바일 코어 네트워크(140)에 대한 직접 액세스를 가질 수 있다. 이러한 비-3GPP AN 배치는 "신뢰할 수 있는 비-3GPP 액세스 네트워크"라고 지칭된다. 비-3GPP 액세스 네트워크(130)는 3GPP 오퍼레이터 또는 신뢰할 수 있는 파트너에 의해 운영될 때 "신뢰할 수 있는" 것으로 고려되고, 강한 무선 인터페이스 암호화와 같은 특정 보안 특징들을 지원한다. 대조적으로, 모바일 코어 네트워크(140)의 오퍼레이터(또는 신뢰할 수 있는 파트너)에 의해 제어되지 않거나, 모바일 코어 네트워크(140)에 대한 직접 액세스를 갖지 않거나, 특정 보안 특징들을 지원하지 않는 비-3GPP AN 배치는 "신뢰할 수 없는" 비-3GPP 액세스 네트워크라고 지칭된다. 신뢰할 수 있는 비-3GPP 액세스 네트워크(130)에 배치된 상호연동 엔티티(135)는 본 명세서에서 신뢰할 수 있는 네트워크 게이트웨이 기능("TNGF")으로 지칭될 수 있다. 신뢰할 수 없는 비-3GPP 액세스 네트워크(130)에 배치된 상호연동 엔티티(135)는 본 명세서에서 비-3GPP 상호연동 기능("N3IWF")으로 지칭될 수 있다. 비-3GPP 액세스 네트워크(130)의 일부로서 도시되지만, 일부 실시예들에서 N3IWF는 모바일 코어 네트워크(140)의 일부일 수 있거나 데이터 네트워크(150)에 위치될 수 있다.
일 실시예에서, 모바일 코어 네트워크(140)는 5G 코어("5GC") 또는 진화된 패킷 코어("EPC")이며, 이는 다른 데이터 네트워크들 중에서도 인터넷 및 개인 데이터 네트워크들과 같은 데이터 네트워크(150)에 결합될 수 있다. 원격 유닛(105)은 모바일 코어 네트워크(140)에 가입 또는 다른 계정을 가질 수 있다. 각각의 모바일 코어 네트워크(140)는 단일 공용 육상 모바일 네트워크("PLMN")에 속한다. 본 개시내용은 임의의 특정 무선 통신 시스템 아키텍처 또는 프로토콜의 구현으로 제한되도록 의도되지 않는다.
모바일 코어 네트워크(140)는 여러 네트워크 기능들("NF들")을 포함한다. 도시된 바와 같이, 모바일 코어 네트워크(140)는 적어도 하나의 UPF("UPF")(141)를 포함한다. 모바일 코어 네트워크(140)는 또한 5G-RAN(115)을 서빙하는 액세스 및 이동성 관리 기능("AMF")(143), 세션 관리 기능("SMF")(145), 정책 제어 기능("PCF")(146), 인증 서버 기능("AUSF")(147), 통합 데이터 관리("UDM") 및 통합 데이터 저장소 기능("UDR")을 포함하지만 이에 제한되지 않는 복수의 제어 평면 기능을 포함한다.
UPF(들)(141)는 5G 아키텍처에서 패킷 라우팅 및 포워딩, 패킷 검사, QoS 처리, 및 데이터 네트워크("DN") 상호접속을 위한 외부 PDU 세션을 담당한다. AMF(143)는 NAS 시그널링의 종료, NAS 암호화 및 무결성 보호, 등록 관리, 접속 관리, 이동성 관리, 액세스 인증 및 허가, 보안 컨텍스트 관리를 담당한다. SMF(145)는 세션 관리(즉, 세션 확립, 수정, 해제), 원격 유닛(즉, UE) IP 어드레스 할당 및 관리, DL 데이터 통지, 및 적절한 트래픽 라우팅을 위한 UPF에 대한 트래픽 조정 구성을 담당한다.
PCF(146)는 통합 정책 프레임워크, CP 기능들에 정책 규칙들을 제공하는 것, UDR에서의 정책 결정들을 위한 가입 정보에 액세스하는 것을 담당한다. AUSF(147)는 인증 서버로서 작용한다.
UDM은 AKA(Authentication and Key Agreement) 자격증명들, 사용자 식별 처리, 액세스 허가, 가입 관리의 생성을 담당한다. UDR은 가입자 정보의 저장소이며, 다수의 네트워크 기능을 서비스하는데 이용될 수 있다. 예를 들어, UDR은, 가입 데이터, 정책 관련 데이터, 제3자 애플리케이션들에 노출되는 것이 허용되는 가입자 관련 데이터 등을 저장할 수 있다. 일부 실시예들에서, UDM은 결합된 엔티티 "UDM/UDR"(149)로서 도시된 UDR과 공동 위치된다.
다양한 실시예들에서, 모바일 코어 네트워크(140)는 또한 네트워크 노출 기능("NEF")(이는 네트워크 데이터 및 리소스들을, 예를 들어, 하나 이상의 API를 통해, 고객들 및 네트워크 파트너들에게 쉽게 액세스가능하게 만드는 것을 담당함), 네트워크 저장소 기능("NRF")(이는 NF 서비스 등록 및 발견을 제공하여, NF들이 적절한 서비스들을 서로 식별하고 애플리케이션 프로그래밍 인터페이스들("API들")을 통해 서로 통신할 수 있게 함), 또는 5GC에 대해 정의된 다른 NF들을 포함할 수 있다. 특정 실시예들에서, 모바일 코어 네트워크(140)는 인증, 허가, 및 과금("AAA") 서버를 포함할 수 있다.
다양한 실시예들에서, 모바일 코어 네트워크(140)는 상이한 유형들의 모바일 데이터 접속들 및 상이한 유형들의 네트워크 슬라이스들을 지원하며, 각각의 모바일 데이터 접속은 특정 네트워크 슬라이스를 이용한다. 여기서, "네트워크 슬라이스"는 특정 트래픽 유형 또는 통신 서비스에 대해 최적화된 모바일 코어 네트워크(140)의 일부를 지칭한다. 네트워크 인스턴스는 S-NSSAI에 의해 식별될 수 있는 반면, 원격 유닛(105)이 이용하도록 허가되는 네트워크 슬라이스들의 세트는 NSSAI에 의해 식별된다. 특정 실시예들에서, 다양한 네트워크 슬라이스들은 SMF 및 UPF(141)와 같은 네트워크 기능들의 별개의 인스턴스들을 포함할 수 있다. 일부 실시예들에서, 상이한 네트워크 슬라이스들은 AMF(143)와 같은 일부 공통 네트워크 기능들을 공유할 수 있다. 상이한 네트워크 슬라이스들은 예시의 용이함을 위해 도 1에 도시되지 않았지만, 그 지원이 가정된다.
특정 수들 및 유형들의 네트워크 기능들이 도 1에 도시되지만, 본 기술분야의 통상의 기술자는 임의의 수 및 유형의 네트워크 기능들이 모바일 코어 네트워크(140)에 포함될 수 있음을 인식할 것이다. 또한, 모바일 코어 네트워크(140)가 EPC를 포함하는 경우, 도시된 네트워크 기능들은 MME, S-GW, P-GW, HSS 등과 같은 적절한 EPC 엔티티들로 대체될 수 있다.
도 1이 5G RAN 및 5G 코어 네트워크의 구성요소들을 도시하지만, 비-3GPP 액세스를 통한 액세스 인증을 위해 가명을 이용하기 위한 설명된 실시예들은 IEEE 802.11 변형들, GSM, GPRS, UMTS, LTE 변형들, CDMA 2000, 블루투스, 지그비, Sigfoxx 등을 포함하는 다른 유형들의 통신 네트워크들 및 RAT들에 적용된다. 예를 들어, EPC를 수반하는 4G/LTE 변형에서, AMF(143)는 MME에 매핑될 수 있고, SMF는 PGW의 제어 평면 부분 및/또는 MME에 매핑될 수 있고, UPF(141)는 SGW 및 PGW의 사용자 평면 부분에 매핑될 수 있고, UDM/UDR(149)은 HSS에 매핑될 수 있는 식이다.
도시된 바와 같이, 원격 유닛(105)(예를 들어, UE)은 2가지 유형의 액세스를 통해, 즉 (1) 3GPP 액세스 네트워크(120)를 통해 그리고 (2) 비-3GPP 액세스 네트워크(130)를 통해 모바일 코어 네트워크(예를 들어, 5G 모바일 통신 네트워크)에 접속할 수 있다. 제1 유형의 액세스(예를 들어, 3GPP 액세스 네트워크(120))는 3GPP-정의된 유형의 무선 통신(예를 들어, NG-RAN)을 이용하고, 제2 유형의 액세스(예를 들어, 비-3GPP 액세스 네트워크(130))는 비-3GPP-정의된 유형의 무선 통신(예를 들어, WLAN)을 이용한다. 5G-RAN(115)은 3GPP 액세스 네트워크(120) 및 비-3GPP 액세스 네트워크(130)를 포함하는, 모바일 코어 네트워크(140)에 대한 액세스를 제공할 수 있는 임의의 유형의 5G 액세스 네트워크를 지칭한다.
위에서 설명된 5G 시스템을 통해 UAS 통신을 보호하는 문제를 해결하기 위해, 본 개시내용은 5G 시스템에서 전체 UAS 보안을 가능하게 하기 위해 UAV-C, USS/UTM 및/또는 TPAE에 의해 UAV에 전송된 C2 시그널링에 대한 데이터 보호(예를 들어, 기밀성, 무결성 및 리플레이)를 지원하기 위한 C2 보안 확립 절차들을 제공하는 솔루션들을 제안한다.
일 실시예에서, 3GPP 시스템은 UAS들을 지원하여, 유비쿼터스 커버리지, 끊김 없는 이동성, 높은 신뢰성, 및 향상된 보안 및 안전성을 제공한다. 예를 들어, 5G 시스템들은 가시선 시나리오들을 넘어 UAS 원격 식별 및 추적을 가능하게 해주는데 이용될 수 있으며, 허가된 UAS들만이 동작하도록 허용될 수 있다.
특정 실시예들에서, 예를 들어, 아이덴티티들의 기밀성 보호, 스푸핑 공격들에 대한 보호, 상이한 접속들에 대한 상이한 레벨들의 무결성 및 프라이버시 보호, 시그널링 및 데이터, 애플리케이션 계층에서의 데이터 교환의 부인 방지(non-repudiation) 등과 같은 보안 UAS 시스템 배치를 지원하는데 보안이 중요하다. 수반되는 당사자들, 예를 들어, 레귤레이터들, 네트워크 오퍼레이터들 등의 요구들을 충족시킬 수 있는 강건한 전체 시스템을 보장하기 위한 솔루션들을 제공할 필요가 있으며, 이는 UAS 시스템의 보안 양태들의 고려를 필요로 한다.
특정 실시예들에서, UAS 접속성, 식별, 및 추적을 위해 하기의 아키텍처 요건들 및 가정들이 고려된다. 일 실시예에서, 3GPP 시스템은 UTM(157)이 UAV(106)와 UAV 제어기(108)를 연관시키고 3GPP 네트워킹된 UAV 제어기(108) 및 비-3GPP 네트워킹된 UAV 제어기(108) 둘 다에 대해 이들을 식별할 수 있게 해줄 것이다.
일 실시예에서, 각각의 UAS(101)는 하나의 UAV 제어기(108) 및 하나의 UAV(106)로 구성된다. UTM(157)은 3GPP 시스템 외부에서 정의되고 특정 지역 요건들에 종속되는 기능들의 세트를 포함할 수 있다. UAV(106)의 명령 및 제어를 위한 접속성은 UAV(106)와, 상호 배타적으로, UAV 제어기(108), 또는 TPAE, 또는 UTM(157) 사이에 있을 수 있다.
일 실시예에서, UAV(106)가 할당되고, 항공 도메인(예를 들어, USS(157))에서의 기능들에 의해 또는 USS/UTM(157)에서의 기능들에 의해 CAA-레벨 UAV 아이덴티티가 네트워킹된 UAV-C(108)에 할당될 수 있다. 이 할당된 아이덴티티는 원격 식별 및 추적에 이용될 수 있다. 일 실시예에서, 3GPP UAV ID는 UAV(106)를 식별하기 위해 3GPP 시스템에 의해 이용된다.
네트워킹된 UAV 제어기들(108) 및 비-네트워킹된 UAV 제어기들(108)에 대해, 일 실시예에서, UAV3 또는 UAV5 기준 포인트들의 이용을 위한 UAV(106)와 UAV 제어기(108) 사이의 페어링이 적어도 허가되거나, 또는 심지어 인증될 수 있다. 페어링 허가/인증은, 수행될 때, 3GPP 시스템이 아니라 USS/UTM에 의해 허가된다. 3GPP 시스템은 이러한 허가 프로세스를 가능하게 한다. 이러한 허가/인증의 결과는 USS/UTM(157)이 UAV(106)와 UAV 제어기(108) 사이의 접속성을 가능하게 할 수 있도록 MNO에 알려지게 된다. 일 실시예에서, UAV(106)는 기존의 MNO 정책들에 기반하여 UAV9 기준 포인트를 통해 USS(157)에 접속하는 것이 허가되고, USS 허가 없이 USS(157)와 트래픽을 교환하기 위해 데이터 네트워크 명칭("DNN")과의 접속성을 확립하도록 허용된다.
일 실시예에서, 본 명세서에 개시된 주제는 C2 보안 컨텍스트들을 확립하고 UAV(106)와, UAV-C(108), UTM/USS(157), TPAE 등과 같은 다양한 당사자들 사이에서 운반되는 C2(애플리케이션 데이터) 트래픽을 보호하기 위한 솔루션들을 제안한다.
일반적으로, 본 개시내용은 UAS 인증 및 키 관리 및 C2 보안 셋업 절차에 중점을 둔다. UAS 인증 및 키 관리를 위해, UAS 관리 기능("UASMF")/UAS 네트워크 기능("UASNF")이라고도 불리는 UAS 제어 기능("UCF")이 도입되고, 이는 UAS 기반 제어 및 관리 동작들을 시행하기 위해 UTM/USS를 대신하여 3GPP 네트워크에서 기능한다. 일 실시예에서, UAS 네트워크 기능은 NEF에 의해 지원되고 USS로의 서비스들의 외부 노출에 이용된다. UASNF는 UAS/UAV 인증/허가를 위해, UAV 비행 허가를 위해, UAV-UAVC 페어링 허가 및 관련 취소를 위해; 위치 보고, 및 C2 통신을 위한 QoS/트래픽 필터링의 제어를 위해 기존의 NEF/SCEF 노출 서비스들을 이용한다. UCF는 예를 들어, TR 23.754에 정의된 바와 같이, UFES(155) 및 UAS AF/UASNF와 관련되고 동등할 수 있다는 점에 유의한다. 그러므로, 본 개시내용은 본 개시내용의 나머지에서 공통 용어 UFES(155)를 사용할 것이고, UFES(155)에 대해 본 개시내용에서 설명된 모든 새로운 특징들 및 동작들은 새로운 3GPP 네트워크 기능 UCF에 적용가능하다.
일 실시예에서, USS/UTM(157)은 적절한 UAV3 인터페이스(예를 들어, PLMN내 UAV3 또는 PLMN간 UAV3) 선택을 돕기 위해 C2 보조 정보를 3GPP 네트워크 내의 다른 네트워크 기능들("NF")(예를 들어, UCF/UFES/UASNF/AMF/SMF 등)에 제공한다. C2 보조 정보는 UAV3 유형 표시자 및 UAV-C 서빙 PLMN ID를 포함할 수 있다.
일 실시예에서, USS/UTM(157)은 성공적인 UAS 인증 동안 UAS에 식별자를 할당하고, 그 식별자를 3GPP NF들을 통해 UAV(106) 및/또는 UAV-C(108)에 제공한다. UAS ID는, 본 명세서에서 이용되는 바와 같이, UAS(101)를 형성하는 UAV(106)와 UAV-C(108) 쌍을 고유하게 식별할 수 있다. 일 실시예에서, 본 개시내용에서 설명되는 UAS ID 이용은 UAV(106)와 UAV-C(108) 페어링 기능을 위해 할당되는 임의의 ID에 적용가능하다는 것에 유의한다.
일 실시예에서, 성공적인 UAS 인증(예컨대, 애플리케이션 또는 EAP 기반 인증) 동안, 일 실시예에서, 키 KUAS(예컨대, UAS 관련 데이터 보호를 위한 다른 보안 키들을 도출하기 위한 루트 키)가 미리 구성된 장기 자격증명들로부터 도출된다. 추가 실시예들에서, 성공적인 UAS 인증 동안, 허가 토큰이 도출되어 USS/UTM(157) 또는 UFES(155)가 UAV-C(108)와의 UAV C2 연관을 허가할 수 있게 한다. 허가 토큰에서 이용되는 입력들은 UAS ID, UAV-CAA-레벨 ID, UAV-C ID, 넌스, 및 타임스탬프를 포함할 수 있다.
일 실시예에서, 허가 토큰은 허가 토큰이 연관을 위해 또는 UTM/USS(157)로부터 임의의 서비스를 얻기 위해 UAV(106)에 의해 성공적으로 이용될 수 있는 지속 시간을 정의하기 위해 유효 시간/수명을 할당받는다. 특정 실시예들에서, UAV(106)와 UTM/USS(157) 사이의 성공적인 UAS 인증 후에, UFES(155) 또는 UTM/USS(157)와 UAV(106)에 대한 C2 보안 컨텍스트를 셋업하기 위해 C2 보안 모드 명령 절차가 제안된다.
일 실시예에서, UAS 보안을 가능하게 하기 위해 키 KUAS(예컨대, UAS 루트 키), KUAS-Sess(예컨대, UAS/C2 세션 키), CCEK(예컨대, 명령 제어 암호화 키) 및 CCIK(예컨대, 명령 제어 무결성 키)를 포함하는 UAS 키 계층구조가 제안된다.
C2 보안 셋업 절차와 관련하여, 다음의 시나리오들, 즉 UAV3 인터페이스를 통한 UAV(106)와 UAV-C(108) 사이에서, UAV4 인터페이스를 통한 UAV(106)와 TPAE 사이에서, 그리고 UAV9 인터페이스를 통한 UAV(106)와 UFES/UTM/USS 사이에서 C2(애플리케이션 데이터) 기밀성, 및 무결성 보호를 위해 세션 키들이 확립된다.
본 개시내용은 또한 5G 시스템과의 UAS 통신을 가능하게 하는 SEAL 기반 인증 및 키 관리, 및 애플리케이션들에 대한 인증 및 키 관리("AKMA") 기반 UAS 보안 관리를 지원하는 대안적인 솔루션을 설명한다.
일 실시예에서, UAV 통신을 위해 USS/UTM(157)에서 C2 보안 컨텍스트가 어떻게 확립되는지의 명확화와 함께, UAV(106)와 UAV-C(108) 및 USS/UTM(157) 사이의 UAS 인증 및 키 합의 절차가 설명된다. 실시예는 또한 동일한 절차가 진화된 패킷 시스템("EPS") 4G 네트워크에서 어떻게 지원될 수 있는지를 설명한다. 도 2에 도시된 UAS 인증 절차(200)는 다음의 단계들에서 설명된다.
일 실시예에서, 단계들(1 및 2)(블록들(202 및 204) 참조)에서, 전제 조건으로서, UAV(106)는 3GPP 오퍼레이터 범위 밖의 임의의 방법을 이용하여 UAS 오퍼레이터(102)에 의해 USS/UTM(157)에 등록된다. UAV(106)는, 예컨대, TS 33.501에 명시된 바와 같이, 1차 인증을 수행하는 것에 의해 5G 네트워크에 등록한다. 일 실시예에서, AMF(143)는, UDM/UDR(149)로부터 페치된 UAV(106) 가입 정보에 기반하여, 등록 수락 메시지에서 UAS 인증을 트리거링하고 UAS 인증 요구 표시자를 전송하도록 결정한다.
단계(3)에서, 일 실시예(메시징(206 내지 226) 참조)에서, UAV(106)는, AMF(143)로부터 'UAS 인증 요구' 표시자를 수신할 시에, 5G 네트워크 제어 평면 기능들(예컨대, AMF(143), SMF(145), UFES(155) 및/또는 기타 등등)을 통해 USS/UTM(157)과의 UAS 인증을 개시하고 수행한다. 본 명세서에서 정의된 절차(200)는, 일 실시예에서, UAV(106)와 USS/UTM(157) 사이에서 교환되는 UAS 인증 관련 요청/응답 정보를 지정하고, 따라서, 이 정보는 NAS 계층에서의 애플리케이션 기반 인증 프로토콜을 통해 또는 EAP 기반 인증 프로토콜을 통해 운반될 수 있다. UAS 인증 메시지는 5G NAS 보안을 이용하여 기밀성 및 무결성 둘 다가 보호되는 NAS 접속을 통해 전송될 수 있다.
단계(3a)에서, 일 실시예(메시징(206) 참조)에서, UAV(106)는 USS 라우팅 정보를 갖는 CAA 레벨 UAV ID(예를 들어, USS 라우팅 정보는 단계(1)에서 USS(157)에 의해 UAV(106)에서 미리 구성될 수 있거나 또는 CAA 레벨 UAV ID의 일부일 수 있음), 비행 경로 데이터, (예를 들어, UAS를 형성하기 위한) 타겟 CAV-C ID를 포함하는 UAS 인증 요청 메시지를 전송한다.
단계(3b)에서, 일 실시예(블록(208) 참조)에서, AMF(143)가 USS 라우팅 정보를 갖는 CAA 레벨 UAV ID를 수신하면, AMF(143)는 USS 라우팅 정보를 갖는 CAA 레벨 UAV ID를 로컬로 저장한다. 단계(3c)에서, 일 실시예(메시징(210) 참조)에서, USS 라우팅 정보에 기반하여, AMF(143)는 UAS 인증 요청 메시지를 (예를 들어, 직접 또는 SMF(145)를 통해) UFES(155)에 전달한다. 대안적으로, 일 실시예에서, USS 라우팅 정보에 기반하여, AMF(143)는 또한 UAS 인증 요청 메시지를 (예를 들어, 직접 또는 UFES(155)를 통해) USS/UTM(157)에 전달할 수 있다.
단계(3d)에서, 일 실시예(메시징(212) 참조)에서, UFES(155)는, 수신되는 경우, CAA 레벨 UAV ID를 로컬로 저장하고, 수신된 UAS 인증 요청 메시지를 USS/UTM(157)에 전달한다. 단계(3e)에서, 일 실시예(메시징(214) 참조)에서, USS/UTM(157)은 UAV(106)를 인증하기 위해 그리고 UAV(106)에 대해 자신을 인증하기 위해 UAV(106)와 인증 방법 특정 메시지 교환(예컨대, 애플리케이션 기반 인증 또는 EAP 기반 인증)을 수행한다.
단계(3f)에서, 일 실시예(블록(216) 참조)에서, USS/UTM(157)은, 성공적인 인증을 수행할 시에, UAV(106)에 의해 또는 UAV 가입에 기반하여 제공되는 경우, 미리 구성된 CAA 레벨 UAV ID를 검증하고, 새로운 CAA 레벨 UAV ID를 UAV(106)에 할당한다. 게다가, 일 실시예에서, UAV-C ID가 인증 요청에서 UAV(106)로부터 수신되면, USS/UTM(157)은, UAV(106) 및/또는 UAS 가입에 기반하여, UAV(106)가 UAS(101)를 형성하기 위해 UAV-C ID와 연관되도록 허가되는지를 검증한다.
일 실시예에서, UAV ID 및 UAV-C ID 연관 검증이 성공적인 경우, USS/UTM(157)은 UAV(106) 및 UAV-C(108)에 의해 형성되는 UAS(101)를 고유하게 식별하기 위해 UAS ID를 할당한다. 일 실시예에서, USS/UTM(157)은, 임의의 UAV(106) 또는 UAV-C(108)의 모든 성공적인 UAS 인증 후에, UAV(106) 및 UAV-C(106)의 ID, UAV(106) 및 UAV-C(108)의 서빙 네트워크 정보(예를 들어, SN ID/서빙 PLMN ID 및 홈 PLMN ID)를 로컬로 저장한다.
또한, 일 실시예에서, USS/UTM(157)은, USS/UTM(157)에서 이용가능한 UAS 가입, 활동 보고, 및 인증 상태 정보(예를 들어, UAS 상태 기록)에 기반하여, UAV-C(108)가 최근에 UAS 인증되었는지 여부를 체크한다. USS/UTM(157)에서의 UAV-C(108)의 인증 상태 기록이 최근에 인증되었음을 표시하는 경우, 일 실시예에서, USS/UTM(157)은 UAV-C(108)의 서빙 네트워크 식별자에 기반하여 UAV(106)에 대한 C2 보조 정보를 생성한다. C2 보조 정보의 정보 요소("IE")는 UAV-C ID, UAV3 유형 표시자(예를 들어, PLMN내 UAV3/PLMN간 UAV3), 및 UAV-C 서빙 네트워크 ID를 포함할 수 있다.
UAS 인증이 성공적인 경우, 일 실시예에서, USS/UTM(157)은 USS/UTM(157) 내의 UAV/UAS 가입 정보에 저장된 장기 자격증명으로부터 UAS 루트 키 KUAS를 생성한다. KUAS ID는 UAS ID/CAA 레벨 UAV ID를 갖는 UAS 루트 키의 해시를 단순히 생성하는 것에 의해 USS/UTM(157)에 의해 도출될 수 있다. KUAS ID는 USS/UTM(157)에서 UAS 루트 키를 고유하게 식별하는데 이용된다.
USS/UTM(157)은, 일 실시예에서, CAA 레벨 UAV ID, UAV-C ID, UAS ID 및 KUAS와 같은 입력들을 이용하여 허가 토큰을 추가로 생성한다. USS/UTM(157)은 또한 UAV 통신을 위한 C2 보안 셋업 동안 UAV(106)를 허가하기 위해 3GPP 네트워크에 의해 이용될 허가 토큰에 대한 수명(예를 들어, 유효 기간 또는 지속 시간)을 할당한다.
일 실시예에서, KUAS ID는 다음과 같이 생성된다: KUAS ID: 해시 (KUAS|| CAA 레벨 UAV ID||UAS ID). KUAS ID를 생성하는데 이용되는 해시 함수는 임의의 해시 함수, 예를 들어, SHA-2, SHA-3 등일 수 있다.
단계(3g)에서, 일 실시예(메시징(218) 참조)에서, 성공적인 UAS 인증에 응답하여, USS/UTM(157)은 UAS 인증 응답 메시지를 UFES(155)에 전송한다. UAS 인증 응답 메시지는 성공 표시, CAA 레벨 UAV ID, UAS ID, C2 보조 정보, 허가 토큰, 및 KUAS ID 및 키 KUAS를 포함하는 UAS 보안 컨텍스트를 포함할 수 있다.
단계(3h)에서, 일 실시예(블록(220) 참조)에서, UFES(155)는 UAS 인증 응답 메시지를 수신하고 수신된 CAA 레벨 UAV ID, UAS ID, C2 보조 정보(예컨대, UAV-C ID, UAV3 유형 표시자(PLMN내 UAV3/PLMN간 UAV3) 및 UAV-C 서빙 네트워크 ID), 허가 토큰 및 UAS 보안 컨텍스트(KUAS ID, KUAS)를 UAV(106)에 대한 UAS 정보(또는 UAS 보안 컨텍스트)의 일부로서 로컬로 저장한다.
단계(3i)에서, 일 실시예(메시징(222) 참조)에서, UFES(155)는 수신된 UAS 인증 응답 메시지를 AMF(143)에 전송한다. UAS 인증 응답 메시지는 성공 표시, CAA 레벨 UAV ID, UAS ID, C2 보조 정보, 허가 토큰, 및 UAS 보안 컨텍스트(KUAS ID, KUAS)를 포함한다.
단계(3j)에서, 일 실시예(메시징(224) 참조)에서, AMF(143)는 수신된 CAA 레벨 UAV ID, UAS ID, C2 보조 정보(예를 들어, UAV-C ID, UAV3 유형 표시자(PLMN내 UAV3/PLMN간 UAV3) 및 UAV-C 서빙 네트워크 ID), 허가 토큰, 및 UAS 보안 컨텍스트(KUAS ID, KUAS)를 UAV(106)에 대한 UAS 정보(또는 UAS 보안 컨텍스트)의 일부로서 로컬로 저장한다.
AMF(143)는, 일 실시예에서, UAS 인증 응답 메시지를 UAV(106)에 추가로 전송한다. UAS 인증 응답 메시지는 성공 표시, CAA 레벨 UAV ID, UAS ID, 허가 토큰, UAS 보안 컨텍스트(KUAS ID)를 포함한다.
AMF(143)는, 일 실시예에서, UAV(106) 및 UAV-C(108) 통신을 위해 UAV3 인터페이스를 통해 C2 접속을 개시하면서 로컬로 저장된 C2 연관 정보를 이용한다.
단계(3k)에서, 일 실시예(블록(226) 참조)에서, UAV(106)는 UAV 인증 응답 메시지를 수신하고, '성공 표시'를 수신할 시에, UAV(106)는, 단계(1)에서 UAV(106)에 미리 구성된 장기 자격증명들로부터 그리고 UAS 인증 응답 메시지에서 수신된 (예컨대, 단계(3f)에서와 같은) ID들을 이용하여, USS/UTM(157)과 유사하게, UAS 보안 컨텍스트(KUAS ID, KUAS)를 생성한다.
UAV(106)는, 일 실시예에서, 로컬로 생성된 KUAS ID가 단계(3j)에서 수신된 KUAS ID와 매칭하는지를 검증한다. 로컬로 생성된 KUAS ID 및 수신된 KUAS ID 둘 다가 매칭하는 경우, 일 실시예에서, UAV(106)는 UAS 인증을 성공적인 것으로 고려하고, CAA 레벨 UAV ID, UAS ID, 허가 토큰, UAS 보안 컨텍스트(KUAS ID)를 가장 최근에 도출된 KUAS와 함께 UAS 보안 컨텍스트의 일부로서 로컬로 저장한다. 일 실시예에서, UAV(106)는 KUAS ID를 이용하여 KUAS를 고유하게 식별한다.
일 실시예에서, UAS 특정 PDU 세션 확립 절차 동안 UAS 루트 키 도출 및 C2 보조 정보 생성을 지원하기 위해, USS/UTM(157)은 UAV 동작 요청이 (인증 요청 대신에) 단계(3d)에서 UFES(155)로부터 수신될 때 단계(3f)를 수행할 수 있다. 이어서, 일 실시예에서, 앞서 설명된 단계(3f)가 수행될 수 있고, USS/UTM(157)은 (UAS 인증 응답에서 전송하는 대신에) UAV 동작 응답 메시지에서 단계(3g)에서 전송된 정보를 UFES(155)에게 전송한다. UAV 동작 응답은, 일 실시예에서, 성공 표시, CAA 레벨 UAV ID, UAS ID, C2 보조 정보, 허가 토큰, 및 UAS 보안 컨텍스트(KUAS ID, KUAS)를 포함한다.
단계(4a)에서, 일 실시예(메시징(228) 참조)에서, UAV(106)는 UAV(106)와 USS/UTM(157) 사이에 C2 세션 보안을 확립하기 위해 USS/UTM(157)과의 C2 보안 셋업 절차를 개시한다. UAS/C2 보안 셋업 절차는 NAS 보안으로 보호되는 NAS 접속을 통해 그리고/또는 RRC 접속을 통해 전송된다.
UAV(106)는, 일 실시예에서, C2 보안 확립 요청 메시지를 NAS 컨테이너에서의 AMF(143)에 전송한다. C2 보안 확립 요청 메시지는, 일 실시예에서, 라우팅 정보를 갖는 UAV ID(예를 들어, CAA 레벨 UAV ID), UAS ID, 허가 토큰, Nonce_1, 보안 능력들, 및 KUAS ID를 포함한다.
단계(4b)에서, 일 실시예(메시징(230) 참조)에서, AMF(143)는 NAS 컨테이너를 해독하고 수신된 C2 보안 확립 요청 메시지를 UFES(155)에 전달한다. 단계(4c)에서, 일 실시예(메시징(232) 참조)에서, UFES(155)는 C2 보안 확립 요청 메시지를 USS/UTM(157)에 전달한다.
단계(4d)에서, 일 실시예(블록(234) 및 메시징(236) 참조)에서, USS/UTM(157)은 UAS ID에 관련된 로컬로 저장된 UAS 보안 컨텍스트 정보로 KUAS ID, UAS ID, 및 허가 토큰을 검증한다. 일 실시예에서, KUAS ID에 관련되는 UAS 보안 컨텍스트가 이용가능한 경우, USS/UTM(157)은 Nonce_2를 생성하고, 아래에 나타낸 바와 같이, 로컬로 저장되는 UAS 루트 키(KUAS)로부터 C2 세션 키(KUAS_Sess)를 도출한다:
Figure pct00001
KUAS_Sess = KDF (KUAS, UAS ID, CAA 레벨 UAV ID, Nonce1, Nonce2)
Figure pct00002
KUAS_Sess ID: 해시 (KUAS_Sess)
Figure pct00003
CCEK = KDF (KUAS_Sess, UAS ID, 암호화 알고리즘 ID, C2 유형 ID)
Figure pct00004
CCIK = KDF (KUAS_Sess, UAS ID, 무결성 알고리즘 ID, C2 유형 ID)
USS/UTM(157)은, 일 실시예에서, UAS 세션 키를 고유하게 식별하기 위해 KUAS_Sess ID(예컨대, 16 비트 길이)를 추가로 도출한다. USS/UTM(157)은, 일 실시예에서, 로컬 구성 및 UAV 보안 능력들에 기반하여, C2 보호를 위한 암호화 및 무결성 알고리즘들을 선택한다. 또한, 일 실시예에서, USS/UTM(157)은 선택된 보안 알고리즘들(암호화 및 무결성), Nonce_2, KUAS_Sess ID, 및 KUAS_Sess 키를 UFES(155)로의 C2 보안 확립 응답 메시지에서 UFES(155)에 제공한다.
단계(4e)에서, 일 실시예(블록(238) 참조)에서, UFES(155)는 수신된 KUAS_Sess ID 및 KUAS_Sess 키를 UAS 보안 컨텍스트 정보와 함께 로컬로 저장한다. 일 실시예에서, UFES(155)는 수신된 C2 보안 확립 응답 메시지를 AMF(143)에 추가로 전송하고, 여기서 C2 보안 확립 응답 메시지는 선택된 보안 알고리즘들(암호화 및 무결성), Nonce_2, 및 KUAS_Sess ID를 포함한다.
단계(4f)에서, 일 실시예(메시징(240) 참조)에서, AMF(143)는 수신된 C2 보안 확립 응답 메시지를 UAV(106)에 전송하고, 여기서 C2 보안 확립 응답 메시지는 선택된 보안 알고리즘들(암호화 및 무결성), Nonce_2, 및 KUAS_Sess ID를 포함한다.
단계(4g)에서, 일 실시예(메시징(242) 참조)에서, UAV(106)는, Nonce_2를 수신할 시에, USS/UTM(157)과 같이, 로컬로 저장된 UAS 루트 키(KUAS)로부터 C2 세션 키(KUAS_Sess)를 생성한다. UAV(106)는 C2 세션 보안이 USS/UTM(157)과 동기화되는지를 체크하기 위해, USS/UTM(157)과 같이, KUAS_Sess ID를 추가로 생성한다. 일 실시예에서, C2 세션 키 및 ID가 동기화되는 것으로 발견되면, UAV(106)는 UAS 세션 키 셋업이 성공적이라는 것을 발견한다. UAV(106)는, 일 실시예에서, 수신된 선택된 보안 알고리즘들(암호화 및 무결성) 및 Nonce_2를 로컬로 저장한다.
단계(4h)에서, 일 실시예(메시징(244) 참조)에서, UAV(106)는 C2 보안 확립 완료 메시지를 USS/UTM(157)에 전송하는데, 이는 암호화되고, 새로운 KUAS_Sess 키를 이용하여 C2 애플리케이션 레벨에서 (예를 들어, 위에서 도출된 CCEK 및 CCIK를 이용하여) 무결성 보호된다. 일 실시예에서, 단계(4h)는 NAS 접속을 통해 또는 사용자 평면 시그널링을 이용하여 전송될 수 있다. 일 실시예에서, 오퍼레이터(102)의 배치 시나리오에 기반하여, 옵션으로서, UAS/C2 보안 셋업 절차는 대안적으로 UAV(106)와 UFES(155) 사이에서 수행될 수 있고, 여기서 UFES(155)는 위에서 설명된 단계들(4a-4h)에서 USS/UTM(157) 대신에 이용된다.
대안적인 실시예에서, UAV(106)와 USS/UTM(157) 사이의 UAS/C2 보안 셋업은 도 3에 도시된 C2 보안 모드 명령 절차를 이용하여 수행될 수 있다. 일 실시예에서, 도 2에 도시된 단계들(4a-4h) 대신에, 도 3의 단계들(1-6)이 수행되어 UAV(106)와 USS/UTM(157) 사이의 보안을 셋업할 수 있다.
단계(1)에서, 일 실시예(블록(302) 참조)에서, UFES(155) 및/또는 USS/UTM(157)은, 성공적인 UAS 인증 후에, 위의 도 2의 단계(4d)에서 설명된 바와 같이 도출되고 저장되는 UAS 루트 키를 포함한다. 일 실시예에서, UFES(155) 및/또는 USS/UTM(157)은 세션 키 도출에서 입력으로서 이용할 Nonce_1을 추가로 생성한다.
일 실시예에서, UFES(155) 및/또는 USS/UTM(157)은 다음과 같이 UAS 세션 보안 키(KUAS_Sess) 및 세션 키 식별자(KUAS_Sess ID)를 도출한다:
Figure pct00005
KUAS_Sess = KDF (KUAS, UAS ID, CAA 레벨 UAV ID, Nonce1)
Figure pct00006
KUAS_Sess ID: 해시 (KUAS_Sess)
Figure pct00007
CCEK = KDF (KUAS_Sess, UAS ID, 암호화 알고리즘 ID, C2 유형 ID)
Figure pct00008
CCIK = KDF (KUAS_Sess, UAS ID, 무결성 알고리즘 ID, C2 유형 ID)
일 실시예에서, UFES(155) 및/또는 USS/UTM(157)은 C2 보안 모드 명령 메시지를 UAV(106)에 (예를 들어, 3GPP 네트워크 기능들 AMF(143), UFES(155) 등을 통해) 전송한다. C2 보안 모드 명령 메시지는, 일 실시예에서, UAS ID, Nonce_1, 선택된 암호화 및 무결성 보호 알고리즘 식별자(들), KUAS ID 및/또는 KUAS_Sess ID를 포함한다. C2 보안 모드 명령 메시지는, 일 실시예에서, 새로 도출된 CCIK 및 선택된 무결성 알고리즘을 이용하여 무결성 보호된다.
단계(2)에서, 일 실시예(메시징(304 및 306) 참조)에서, 3GPP NF(들)(301)는 C2 보안 모드 명령 메시지를 수신하고 수신된 C2 보안 모드 명령 메시지를 UAV(106)에 전달한다.
단계(3)에서, 일 실시예(블록(308) 참조)에서, UAV(106)는 로컬로 저장된 KUAS ID를 수신된 KUAS ID로 검증하고, 둘 다가 매칭되면, UAV(106)는, 위의 단계(1)에서 명시된 바와 같이, UFES(155) 및/또는 USS/UTM(157)과 유사하게, 수신된 Nonce_1을 이용하여 UAS 세션 키 및 UAS 세션 키 ID를 도출한다. 일 실시예에서, UAV(106)는, 새롭게 도출된 KUAS_Sess ID가 수신된 KUAS_Sess ID와 매칭하는지를 추가로 검증하고, 둘 다가 매칭되면, UAV(106)는, 위의 단계(1)에서 명시된 바와 같이, UFES(155) 및/또는 USS/UTM(157)과 유사하게, 새롭게 도출된 UAS 세션 키로부터 CCEK 및 CCIK를 도출한다. 이러한 실시예에서, UAV(106)는 수신된 C2 보안 모드 명령 메시지의 무결성을 검증하기 위해 새롭게 도출된 CCIK를 이용하고, 무결성 검증이 성공적이면, UAV(106)는 단계(4)를 수행한다.
단계(4)에서, 일 실시예(메시징(310 및 312) 참조)에서, UAV(106)는 C2 보안 모드 완료 메시지를 UFES(155) 및/또는 USS/UTM(157)에 직접 또는 3GPP 네트워크 기능(들)(301)(예를 들어, AMF(143), UFES(155) 등)을 통해 전송하며, 여기서 3GPP NF(들)(301)는 수신된 C2 보안 모드 완료 메시지를 USS/UTM(157)에 전달한다. C2 보안 모드 완료 메시지는, 일 실시예에서, '성공 표시' 및 올바른 세션 키 소유의 증명으로서 새로 도출된 KUAS_Sess ID를 포함한다.
단계(5)에서, 일 실시예(블록(314) 참조)에서, UFES(155) 및/또는 USS/UTM(157)은 C2 보안 모드 완료 메시지를 수신하고 KUAS_Sess 기반 CCEK 및 CCIK를 이용하여 수신된 메시지를 복호화/해독하고 무결성 검증한다. '성공 표시'는 UAV(106)가 세션 보안을 셋업하였고 KUAS_Sess ID가 올바른 세션 키에 대한 소유의 증명으로서 작용한다는 것을 보여준다.
단계(6)에서, 일 실시예(메시징(316) 참조)에서, UAV(106) 및 UFES(155) 및/또는 USS/UTM(157)은 UAS 키 또는 UAS 세션 키의 수명까지 C2 통신 데이터(C2 애플리케이션 데이터/시그널링)를 보호하기 위해 CCEK 및 CCIK를 이용한다.
UAS 키 계층구조와 관련하여, 도 4a 및 도 4b에 도시된 바와 같이, 2개의 옵션이 도시되며, 이들 모두는 UAS 보안을 위해 구현되고 이용될 수 있다. 여기에 도시된 UAS 키 계층구조는 도 2 및 도 3에 도시된 절차들에서 설명되는 UAS 키(KUAS), UAS 세션 키(KUAS_Sess) 및 UAS/C2 보호 키들(예를 들어, 기밀성 보호/암호화를 위한 CCEK 및 무결성 보호를 위한 CCIK)을 포함한다.
키들의 상이한 계층들은 다음과 같다:
Figure pct00009
장기 자격증명들(402): 이들은 UAV(들)(106)에서 프로비저닝되고 C2 애플리케이션 계층 데이터의 보안의 루트를 형성하는 자격증명들이다. 자격증명들은 UAS 배치 시나리오에 따라 대칭 키(들) 또는 공개/개인 키 쌍을 포함할 수 있다.
Figure pct00010
대안적으로, UAS(101) 내의 UAV(106) 및 대응하는 UAV-C(108)에는 동일한 UAS 장기 자격증명이 프로비저닝되며, 이는 UAV(106) 및 UAV-C(108)가 UAS 인증 후에 동일한 UAS 루트 키를 도출하게 한다.
Figure pct00011
KUAS(404): 이것은 UAV(106)와 UTM/USS(157) 사이에서 공유되는 루트 키(예를 들어, 256 비트 키)이고, 또한 UAV3, UAV4 및 UAV9 인터페이스를 통해 C2를 이용하여 통신하는 3GPP 네트워크에서의 UAV-C(108), TPAE 및 UAS 제어 기능/UFES(155)와 공유될 수 있다. 이것은 장기 자격증명들을 이용하여 인증 시그널링을 재실행함으로써 리프레시될 수 있다. KUAS-Sess(키들의 다음 계층)를 생성하기 위해, UAV(106)와 UTM/USS(155) 사이에서 넌스(들)가 교환된다. UAV들(106)이 활성 C2 통신 세션을 갖지 않을 때에도 KUAS가 유지될 수 있다. KUAS ID는 KUAS를 식별하는데 이용될 수 있다.
Figure pct00012
KUAS-sess(406): 이것은 UAV(106)와 UTM/USS(155) 사이의, UAV(106)와 UAV-C(108) 사이의, 그리고 UAV(106)와 TPAE들 사이의 C2 데이터의 전송을 보호하는데 이용되고 있는(또는 적어도 확립되고 있는 프로세스에서) 실제 보안 컨텍스트의 루트인 세션 키(예를 들어, 256 비트 키)이다. 기밀성 및 무결성 알고리즘들에서 이용되는 실제 키들은 KUAS-sess로부터 직접 도출될 수 있다. 16 비트 KUAS-Sess ID는 KUAS-sess를 식별하는데 이용될 수 있다.
Figure pct00013
CCEK(408) 및 CCIK(410): C2 암호화 키(CCPEK) 및 C2 무결성 키(CCPIK)(예를 들어, 256 비트 키)는 C2 애플리케이션 데이터를 보호하기 위해, 선택된 기밀성 및 무결성 알고리즘들과 함께 각각 이용된다. 이들은 KUAS-sess 키로부터 도출되고 KUAS-Sess가 변경될 때마다 자동으로 리프레시된다.
일 실시예에서, UAS 루트 키는 UAV(106) 및 UAV-C(108)에 의해 도출될 수 있다는 것에 유의한다. UAV-C(108)에 대해, 일 실시예에서, 대안적으로 UAS 루트 키는 USS/UTM(157)에 의해 제공될 수 있다. 네트워크 측에서, 일 실시예에서, UAS 루트 키는 성공적인 UAS 인증 동안 USS/UTM(157) 또는 UFES(155)에 의해 도출될 수 있다. UAS 세션 키들은 UAV(106), UAV-C(108), USS/UTM(157), UFES(155) 및 TPAE에 의해 (도 4a 및 도 4b에 도시된 바와 같이) 도출될 수 있다. TPAE에 대해, 대안적으로 일 실시예에서, UAS 세션 키는 UFES(155)에 의해 제공될 수 있다. CCIK 및 CCEK는 C2 보호를 위해 UAV(106), UAV-C(108), USS/UTM(157), UFES(155), TPAE 등에 의해 도출될 수 있다. 대안적으로, TPAE에 대해, UFES(155)는 대응하는 CCEK 및 CCIK를 제공할 수 있다.
KUAS로부터 KUAS-sess를 계산할 때, 일 실시예에서, 키 도출 함수("KDF")에 대한 입력 S를 형성하기 위해 하기의 파라미터들이 이용될 것이다:
Figure pct00014
FC = XXXX
Figure pct00015
P0 = Nonce_1
Figure pct00016
L0 = Nonce_1의 길이(즉, 0x00 0x10)
Figure pct00017
P1 = Nonce_2
Figure pct00018
L1 = Nonce_2의 길이(즉, 0x00 0x10)
Figure pct00019
P2 = UAS ID
Figure pct00020
L2 = UAS ID의 길이
Figure pct00021
P3 = UAV ID(예시적인 CAA 레벨 UAV ID)
Figure pct00022
L3 = UAV ID의 길이
일 실시예에서, 입력 키는 256 비트 KUAS이다. UAV3, UAV4 및 UAV9에 대한 C2 특정 KUAS-sess 도출의 경우, 일 실시예에서, 위의 입력들에 더하여 하기의 입력이 또한 이용된다.
Figure pct00023
P4 = C2 유형 코드들(즉, UAS C2, 또는 USS C2 또는 TPAE C2인지를 표시함)
Figure pct00024
L4 = C2 유형 코드들의 길이(즉, UAS C2, 또는 USS C2 또는 TPAE C2인지를 표시함)
KUAS-sess로부터 CCIK 또는 CCEK를 계산할 때, 일 실시예에서, KDF에 대한 입력 S를 형성하기 위해 하기의 파라미터들이 이용될 것이다:
Figure pct00025
FC = XXXX
Figure pct00026
CCEK가 도출되는 경우 P0 = 0x00이거나 CCIK가 도출되는 경우 P0 = 0x01
Figure pct00027
L0 = P0의 길이(즉, 0x00 0x01)
Figure pct00028
P1 = 알고리즘 아이덴티티
Figure pct00029
L1 = 알고리즘 아이덴티티의 길이(즉, 0x00 0x01)
Figure pct00030
P2 = C2 유형 코드들(즉, UAS C2, 또는 USS C2 또는 TPAE C2인지를 표시함)
Figure pct00031
L2 = C2 유형 코드들의 길이(즉, UAS C2, 또는 USS C2 또는 TPAE C2인지를 표시함)
일 실시예에서, 알고리즘 아이덴티티는 TS 33.501에 설명된 바와 같이 설정된다. 일 실시예에서, 입력 키는 256 비트 KUAS-sess이다. 일 실시예에서, 길이 n 비트(n은 256 이하임)의 알고리즘 키에 대해, KDF 출력의 256 비트의 n개의 최하위 비트가 알고리즘 키로서 이용될 것이다.
일 실시예에서, C2 유형 코드들은 UAV-UAV-C 쌍, UAV-USS/UTM 쌍 및 UAV-TPAE 쌍 중에서 C2 애플리케이션 데이터 보안 사이의 암호 분리를 보장하는데 이용될 수 있다. C2 유형 코드들은, 일 실시예에서, UAS 세션 키 도출에서의 입력으로서 또는 기밀성 및 무결성 보호 동안 애플리케이션 데이터와 함께 입력으로서 이용될 수 있다. C2 유형 구별자들의 예들이 이하의 표에 나타내어져 있다:
Figure pct00032
일 실시예에서, 도 2에 설명된 UAS 인증 및 키 확립 절차 및 도 3에 설명된 C2 보안 모드 명령 절차는 앞서 주어진 명시된 단계 설명들로서 EPS/4G에 적용가능하며, 다음과 같은 변경들이 있다:
Figure pct00033
AMF(143)를 이용하는 것 대신에, 이동성 관리 엔티티("MME")가 EPS/4G에 수반되고, UDM(149) 대신에, 홈 가입자 서비스("HSS")/인증 센터("AuC")가 도 2 및 관련된 단계 설명들에 수반된다. 게다가, 도 2에서, 일 실시예에서, UAS 인증 전에 (1차 인증 대신에) EPS/4G 인증이 실행된다.
Figure pct00034
도 3 및 관련된 단계 설명들에서, 일 실시예에서, MME 및 UFES(155)는 3GPP 네트워크 기능들로서 수반된다.
Figure pct00035
도 4a 및 도 4b에 도시된 키 도출 및 계층구조는 EPS/4G에도 적용가능하다.
제안된 솔루션의 일 실시예는 UAV(106)와 당사자들, 예컨대 UAV-C(108), TPAE, 및 UTM/USS(157)(예를 들어, UAS에 수반되는 레귤레이터들, 네트워크 오퍼레이터들) 사이에 C2 보안을 확립하는 것에 관한 것이다. 일 실시예에서, 안전하고 보안된 UAV 비행 동작을 위한 보안 명령 및 제어 통신을 가능하게 하기 위해 다양한 신뢰할 수 있는 당사자들(예컨대, USS/UTM(1557), UAV-C(108), TPAE)이 있는 UAV(106)에 대해 보안이 확립될 수 있다.
일 실시예에서, 아래에 열거된 바와 같이 UAV(104)와 신뢰할 수 있는 당사자들 사이에 보안이 셋업될 필요가 있는 3개의 시나리오가 있다:
Figure pct00036
(예를 들어, UAV9 인터페이스를 통한 C2 보호를 위한) UAV(106)와 USS/UTM(157) 사이의 보안 셋업
Figure pct00037
(예를 들어, UAV3 인터페이스를 통한 C2 보호를 위한) UAV(106)와 UAV-C(108) 사이의 보안 셋업
Figure pct00038
(예를 들어, UAV4 인터페이스를 통한 C2 보호를 위한) UAV(106)와 TPAE 사이의 보안 셋업
UAV(106)와 UTM/USS(157) 사이에 보안이 어떻게 셋업되는지를 설명하는 전술한 실시예 1과 비교하여, 이하에서 설명되는 실시예는 UAV(106)와 UAV-C(108) 및 TPAE 사이의 보안 셋업을 설명한다.
일 실시예에서, 새로운 네트워크 기능, 즉 다르게는 UAS 관리 기능("UASMF")이라고도 알려진 UAS 제어 기능("UCF")이 도입되며, 이는 UAS 기반 제어 및 관리 동작들을 시행하기 위해 UTM/USS(157)를 대신하여 3GPP 네트워크에서 기능한다. UCF/UASMF는 예를 들어, TR 23.754에 정의된 바와 같이, UFES(155) 및 UAS AF와 관련되고 동등할 수 있다. 가독성의 용이함을 위해, 본 개시내용은 공통 용어 UFES(155)를 사용할 것이다. 그러므로, UFES(155)에 대해 본 개시내용에서 설명된 모든 새로운 특징들 및 동작들은 새로운 3GPP 네트워크 기능 UCF에 적용가능하다.
도 5는 UAV(106)와 UAV-C(108) 사이의 명령 및 제어 보안 셋업에 대한 제1 옵션에 관한 절차(500)의 신호 흐름도를 예시하는 도면이다.
단계(1)에 도시된 바와 같이, 일 실시예(메시징(502) 참조)에서, UAV(106)는 C2 보안 연관 요청 메시지를 UFES(155)(또는 UAS 통신을 관리/제어하는 임의의 3GPP NF)에 직접(예를 들어, 양방향 질의/응답 통신을 이용하는 직접 통신을 통해) 또는 다른 3GPP NF들(501), 예를 들어, UFES, UASMF, UASNF, NEF를 통해 간접적으로 전송한다. 일 실시예에서, C2 보안 연관 요청 메시지는 UAV ID(예시적인 CAA UAV ID), UAV-C ID, (예컨대, 성공적인 UAS 인증 동안 수신된) UAS ID, (예컨대, 성공적인 UAS 인증 동안 수신된) UAS 허가 토큰, KUAS ID/KUAS_Sess ID, UAV 보안 능력들(예컨대, 보안 알고리즘 식별자들) 및 Nonce_1을 포함한다. 대안적으로, 일 실시예에서, UAV(106) 및/또는 UAV-C(108)는 단계(1)를 UFES(155) 또는 USS/UTM(157)에 전송할 수 있다. 따라서, 이러한 실시예에서, 이 절차에서의 아래의 단계들에 대해, USS/UTM(157)이 UFES(155) 대신에 수반된다.
단계(2)에서, 일 실시예(블록(504) 참조)에서, UFES/3GPP NF(501)는 C2 보안 연관 요청 메시지를 수신할 시에, 수신된 KUAS ID/KUAS_Sess ID를 이용하여, 로컬로 저장되어 있는 UAS/C2 보안 컨텍스트를 페치한다.
일 실시예에서, UFES(155)는 (예를 들어, CAA 레벨 UAV ID, UAS ID 및 허가 토큰과 같은) 로컬로 저장된 정보로 수신된 UAV ID, UAS ID, 및 허가 토큰을 검증하고, 매칭이 성공적이면, UFES(155)는 'C2 연관 정보'가 UAV ID에 대해 로컬로 저장되어 있는지를 체크하여 대응하는, 연관된, 또는 페어링된 UAV-C(108)가 UAS 통신에 이용가능한지를 결정하고; (예를 들어, UAV-C의 서빙 네트워크 정보에 기반하여) UAV-C(108)의 위치를 알고; (예를 들어, 선택적으로 UDM/HSS에 직접 또는 AMF/MME를 통해 접촉함으로써) UAV-C(108)가 이미 인증되었는지를 체크한다. 인증 결과에 기반하여, UAV-C(108)가 네트워크에 이미 등록되어 있고 UAS가 인증된 경우, UFES(155)는 C2 보안 연관 요청을 (예를 들어, 직접적으로(UAV-C(108)가 동일한 PLMN에 있는 경우) 또는 간접적으로(UAV-C(108)가 다른 PLMN에 있는 경우)) UAV-C(108)에 전달한다.
단계(3)에서, 일 실시예(블록(506) 참조)에서, UAV-C(108)가 PLMN에 등록되어 있고 UAS가 아직 인증되지 않은 경우 또는 UAV-C(108)가 아직 등록되지 않은 경우, 네트워크는 등록 및 UAV 인증을 개시하기 위해 네트워크 개시 PDU 세션 확립을 수행한다.
단계(4)에서, 일 실시예(메시징(508) 참조)에서, UFES(155)는 C2 보안 연관 요청 메시지를 전달하고 UAS 루트 키 및/또는 UAS 세션 키를 UAV-C(108)에 제공한다. C2 보안 연관 요청 메시지는 UAV ID(예를 들어, CAA UAV ID), UAV-C ID, UAS ID, UAS 허가 토큰, UAV 보안 능력들, KUAS ID/KUAS_Sess ID 및 Nonce_1을 포함할 수 있다.
일 실시예에서, UAV-C(108)가 USS/UTM(157)과의 성공적인 UAS 인증 후에 UAV(106)와 유사하게 동일한 UAS 루트 키를 도출할 수 있는 경우, KUAS/KUAS_Sess를 UAV-C(108)에 전송하는 것은 스킵될 수 있다. 그렇지 않으면, UAV-C(108)에서 동일한 UAS 루트 키 가용성을 가능하게 하기 위해 UAV(106) 및 UAV-C(108) 페어링/연관 동안 UFES(155)에 의해 UAV-C(108)에 KUAS/KUAS_Sess가 제공될 필요가 있을 수 있다.
대안적인 실시예에서, 단계(4)는 UAV-C(108)로부터 UFES(155) 또는 USS/UTM(157)으로 전송되어 UAV-C(108)를 UAV(106)와 페어링 또는 연관시킬 수 있다. 이 경우, 단계(5)가 실행될 수 있고, 그 후에 단계(4)는 UAV-C(108)에 의해 UFES(155) 또는 USS/UTM(157)에 전송된다.
일 실시예에서, 단계(5)(블록(510) 참조)에서, UAV-C(108)는 수신된 UAV ID, UAS ID, 및 허가 토큰을 로컬로 저장된 정보(예컨대, CAA 레벨 UAV ID, UAS ID 및 허가 토큰 등)로 검증하고, 매칭이 성공적이면, UAV-C(108)는, 아래에 나타내진 바와 같이, UAV(106)와 유사하게, (예컨대, UAS 인증 후에 도출된, 로컬 메모리에서 이용가능하거나 UFES(155)로부터 수신된) KUAS로부터 KUAS-Sess 키를 도출하기 위해 Nonce_2를 생성한다:
Figure pct00039
KUAS_Sess = KDF (KUAS, UAS ID, CAA 레벨 UAV ID, Nonce_1, Nonce_2)
Figure pct00040
KUAS_Sess ID: 해시 (KUAS_Sess)
Figure pct00041
CCEK = KDF (KUAS_Sess, UAS ID, 암호화 알고리즘 ID, C2 유형 ID)
Figure pct00042
CCIK = KDF (KUAS_Sess, UAS ID, 무결성 알고리즘 ID, C2 유형 ID)
대안적으로, 일 실시예에서, UAV-C(108)가 UFES(155)로부터 KUAS 키 대신에 KUAS-Sess 키를 수신하면, UAV-C(108)는 KUAS-Sess 키로부터 CCEK 및 CCIK 키들을 도출함으로써 C2 암호화 및 무결성 보호를 위해 수신된 KUAS-Sess 키를 이용한다.
추가 실시예들에서, UAV-C(108)가 UAV 보안 능력들을 수신하면, UAV-C(108)는 그 자신의 능력들 및 UAV 보안 능력들에 기반하여 암호화 알고리즘 및 무결성 알고리즘을 선택한다.
일 실시예에서, 단계(6)(메시징(512) 참조)에서, UAV-C(108)는 성공 표시, UAS ID, KUAS-Sess ID, 선택된 암호화 및 무결성 알고리즘 ID들, Nonce_2, 및 어드레스(예를 들어, MAC)를 포함하는 C2 보안 연관 응답 메시지를 UFES(155)에 전송한다. C2 보안 연관 응답 메시지는 선택된 보안 알고리즘 및 새로 도출된 CCIK로 무결성 보호될 수 있다. 대안적인 실시예에서, 단계(4)에서 UAV-C(108)로부터 C2 연관 요청이 수신되는 경우, C2 보안 연관 응답 메시지가 UFES(155) 또는 USS/UTM(157)에 의해 UAV-C(108)에 전송될 수 있다.
일 실시예에서, 단계(7)(메시징(514) 참조)에서, UFES(155)는 C2 보안 연관 응답 메시지를 UAV(106)에 전달한다. 단계(8a)에서, 일 실시예에서, UAV(106)는 수신된 Nonce_2를 이용하여 로컬로 저장된 KUAS 키로부터 KUAS-Sess 키를 도출한다. 게다가, 일 실시예에서, UAV(106)는 KUAS-Sess ID를 도출하고 수신된 KUAS-Sess ID를 갖는 새로 도출된 것을 검증한다. 둘 다가 매칭되면, UAV(106)는 보안 셋업을 성공적인 것으로 고려하고 새로 도출된 KUAS-Sess 키로부터 CCEK 및 CCIK를 도출한다. 게다가, 일 실시예에서, UAV(106)는 수신된 MAC를 체크함으로써 수신된 C2 보안 연관 응답 메시지의 무결성을 검증하기 위해 CCIK를 이용한다. 성공적인 MAC 검증은 또한 UAV(106)와 UAV-C(108) 사이의 C2 보안의 성공적인 세트를 확인한다. 키 도출은 다음과 같다:
Figure pct00043
KUAS_Sess = KDF (KUAS, UAS ID, CAA 레벨 UAV ID, Nonce_1, Nonce_2)
Figure pct00044
KUAS_Sess ID: 해시 (KUAS_Sess)
Figure pct00045
CCEK = KDF (KUAS_Sess, UAS ID, 암호화 알고리즘 ID, C2 유형 ID)
Figure pct00046
CCIK = KDF (KUAS_Sess, UAS ID, 무결성 알고리즘 ID, C2 유형 ID)
단계(8b)로서, 일 실시예(메시징(518) 참조)에서, UAV(106) 및 UAV-C(108)는 CCEK 및 CCIK로 보호되는 C2 애플리케이션 데이터를 교환한다.
도 6은 UAV(106)와 UAV-C(108) 사이의 명령 및 제어 보안 셋업에 대한 제2 옵션에 관한 절차(600)의 신호 흐름도를 예시하는 도면이다.
단계들(1a-1b)에서, 일 실시예(메시징(602 및 604) 참조)에서, UAV-C(108)는 PLMN에 등록되고 USS/UTM(157)과의 UAS 인증을 성공적으로 수행하였다. 단계들(2a-2b)에서, 일 실시예(메시징(606 및 608) 참조)에서, UAV(106)는 PLMN에 등록되고 USS/UTM(157)과의 UAS 인증을 성공적으로 수행하였다. UAV(106)는, 일 실시예에서, UAS 보안 컨텍스트의 일부로서 UAS 루트 키(KUAS), UAS ID, KUAS ID, 및 허가 토큰을 보유한다.
단계(2c)에서, 일 실시예(메시징(610) 참조)에서, UAV(106) 및 UFES(155)(예를 들어, UFES, UASMF, UASNF, NEF) 또는 USS/UTM(157)은 보안 셋업을 성공적으로 수행하였고, (도 3을 참조하여 설명되고 도시된 바와 같이) KUAS-Sess 키를 이용하여 UAV(106)와 UFES(155) 또는 USS/UTM(157) 사이에 C2 보안이 확립된다.
단계(3a)에서, 일 실시예(메시징(612) 참조)에서, 3GPP 네트워크 기능(5G 네트워크의 경우에는 AMF(143)/UFES(155) 또는 4G 네트워크의 경우에는 MME/UFES)은 UAV(106)와 UAV-C(108) 사이의 C2 접속 및 C2 보안 셋업을 연관시키기로 결정한다. 이러한 실시예에서, 3GPP NF(601)는 UAV(106)를 대신하여 C2/UAS 연관 요청 메시지를 UAV-C(108)에 전송한다. UAS 연관 요청 메시지는 UAV ID, UAV 보안 능력들, 허가 토큰, UAS ID, 및 KUAS ID를 포함할 수 있다.
단계(3b)에서, 일 실시예(메시징(614) 참조)에서, UAV-C(108)는 C2 보안 컨텍스트 셋업 요청 메시지를 USS/UTM(155)에 전송한다. C2 보안 컨텍스트 셋업 요청 메시지는 수신된 UAV ID, 허가 토큰, UAS ID, 및 KUAS ID를 포함할 수 있다.
단계(3c)에서, 일 실시예(블록(616) 참조)에서, USS/UTM(155)은 수신된 UAV ID, 허가 토큰, UAS ID, 및 KUAS ID를, UAS ID를 이용하여 식별되는 로컬로 저장된 UAS 보안 정보로 검증하고, 둘 다가 매칭되는 경우, USS/UTM(155)은 UAS 루트 키/UAS 세션 키를 UAV-C(108)에 제공한다.
단계(3d)에서, 일 실시예(메시징(618) 참조)에서, USS/UTM(155)은 UAS ID, KUAS ID, 넌스, KUAS 키/KUAS_Sess 키를 C2 보안 컨텍스트 셋업 응답 메시지에서 UAV-C(108)에 전송한다. 단계(3e)에서, 일 실시예(블록(620) 참조)에서, UAV-C(108)는 수신된 KUAS ID, 넌스, KUAS 키/ KUAS_Sess 키를 UFES(155)로부터 수신되는 UAS 컨텍스트 정보(예컨대, UAV ID, UAV 보안 능력들, 허가 토큰, UAS ID, KUAS ID)와 함께 그 메모리에 로컬로 저장한다. UAV-C(108)가 UAS 루트 키를 수신하면, 일 실시예에서, UAV-C(108)는 다음과 같이 UAS 세션 키 및 C2 보안 키들(CCEK, CCIK)을 도출한다:
Figure pct00047
KUAS_Sess = KDF (KUAS, UAS ID, CAA 레벨 UAV ID, 넌스)
Figure pct00048
KUAS_Sess ID: 해시 (KUAS_Sess)
Figure pct00049
CCEK = KDF (KUAS_Sess, UAS ID, 암호화 알고리즘 ID, C2 유형 ID)
Figure pct00050
CCIK = KDF (KUAS_Sess, UAS ID, 무결성 알고리즘 ID, C2 유형 ID)
일 실시예에서, UAV-C(108)는 그 자신의 보안 능력들 및 UAV의 보안 능력들에 기반하여 암호화 알고리즘 및 무결성 보호 알고리즘을 선택한다. 일 실시예에서, UAV-C(108)가 UAS 세션 키만을 수신하는 경우, UAV-C(108)는 위에서 나타낸 바와 같이 수신된 UAS 세션 키로부터 CCEK 및 CCIK를 도출한다.
단계(3f)에서, 일 실시예(메시징(622) 참조)에서, UAV-C(108)는 C2/UAS 연관 응답 메시지를 성공 표시와 함께 UFES(155)에 전송한다. 일 실시예에서, 단계(3g)(메시징(624) 참조)에서, UAV-C(108)는 또한 C2 연관 통지를 UAV(106)에 전송하고, 여기서 C2 연관 통지 메시지는 KUAS ID, UAV-C ID, 선택된 보안 알고리즘 ID(들), KUAS_Sess ID 및 MAC를 포함한다. C2 연관 통지는 새로 도출된 세션 키로 무결성 보호될 수 있다.
단계(3h)에서, 일 실시예에서, UAV(106) 및 UAV-C(108)는 UAV3 인터페이스를 통해 C2 보안을 성공적으로 확립하고, 모든 C2 애플리케이션 데이터는 새로 도출된 CCEK 및 CCIK를 이용하여 보호된다.
도 7은 UAV(106)와 TPAE(701) 사이의 명령 및 제어 보안 셋업에 관한 절차(700)의 신호 흐름도를 예시하는 도면이다.
일 실시예에서, 하나의 옵션으로서, TPAE(701)는 UAV4 인터페이스를 통해 보안 접속을 개시하기 위해 단계들(3b 내지 3e)을 수행함으로써 도 6에 도시된 절차를 이용하여 UAV(106)와 C2 보안 셋업을 확립할 수 있으며, 여기서 TPAE는 UAV-C 동작을 대체한다.
이 실시예는 TPAE(701)가 UAV 제어에서 C2 애플리케이션 교환을 보호하기 위해 UAV(106)와 C2 보안 셋업을 어떻게 확립하는지를 설명한다. UAV(106)와 TPAE(701) 사이의 보안 셋업 절차가 도 7에 도시되어 있다.
단계들(1-3)(메시징(702-706) 참조)에서, 일 실시예에서, UAV(106)는 3GPP 네트워크에 성공적으로 등록되고, UAV(106)는 USS/UTM(157)에 의해 성공적으로 UAV 인증된다. 이러한 실시예에서, UAV(106)는 UFES(155)(예를 들어, UFES/UASNF/NEF)를 통해 UDM(149)/HSS에 저장되는, USS/UTM(155)에 대한 그 원격 식별 및 추적 정보를 업데이트하는 것을 시작하였다.
단계(4)에서, 일 실시예(메시징(708) 참조)에서, TPAE(701)는, 임의의 UAV(106)와 명령 및 제어를 교환하기로 결정하는 경우, UFES(155) 및/또는 USS/UTM(157)으로부터 C2 보안 컨텍스트(예컨대, UAV 보안 능력들/선택된 보안 알고리즘 ID들(암호화 및 무결성 보호 알고리즘들), UAS ID, KUAS_Sess/CCEK 및 CCIK)를 페치하기로 결정한다.
이러한 실시예에서, TPAE(701)는 UAV 질의를 UFES(155)에 (예를 들어, 직접적으로 또는 USS/UTM(157)을 통해) 그리고/또는 USS/UTM(157)에 전송한다. UAV 질의는 UAV ID, UAS ID, 및 C2 보안 정보 요청 표시를 포함할 수 있다.
단계(5)에서, 일 실시예(블록(710) 참조)에서, UFES(155) 및/또는 UTM/USS(157)는 UAV ID에 기반하여 그 로컬 메모리로부터 C2 보안 정보를 페치한다. 오퍼레이터의 구현에 기반하여, 일 실시예에서, UFES(155) 및/또는 USS/UTM(157)은 (UAS 키 계층구조와 관련하여 도 4a에 도시된 바와 같이) 공통 UAS 세션 키를 이용하거나 TPAE C2 특정 UAS 세션 키를 도출하기로 결정할 수 있다. 일 실시예에서, UAV C2 보안 정보는 암호화 및 무결성 알고리즘들, C2 데이터 메시지를 보호하기 위한 세션 키(들) 등과 같은 UAV 보안 능력들을 포함한다.
단계(6)에서, 일 실시예(메시징(712) 참조)에서, USS/UTM(157) 및/또는 (예를 들어, 직접 또는 USS/UTM(157)을 통해) UFES(155)는 UAV 응답을 TPAE(701)에 전송하며, 여기서 UAV 응답 메시지는 UAV ID 및 C2 보안 정보를 포함한다. C2 보안 정보는, 일 실시예에서, UAV 보안 능력들/선택된 보안 알고리즘 ID들(예컨대, 암호화 및 무결성 보호 알고리즘들), UAS ID, KUAS_Sess/CCEK 및 CCIK를 포함한다.
단계(7)에서, 일 실시예(블록(714) 참조)에서, TPAE(701)가 선택된 보안 알고리즘 및 C2 보안 키들(CCEK 및 CCIK)을 수신한 경우, TPAE(701)는 수신된 C2 보안 정보를 UAV ID와 함께 로컬로 저장한다. 대안적으로, 일 실시예에서, TPAE(701)가 KUAS_Sess 키를 수신하면, TPAE(701)는 CCEK 및 CCIK를 다음과 같이 도출한다:
Figure pct00051
CCEK = KDF(KUAS_Sess, UAS ID/UAV ID, 암호화 알고리즘 ID, C2 유형 ID = 'TPAE C2의 값')
Figure pct00052
CCIK = KDF (KUAS_Sess, UAS ID/UAV ID, 무결성 알고리즘 ID, C2 유형 ID = 'TPAE C2의 값').
일 실시예에서, TPAE(701)가 UAV 보안 능력들을 수신한 경우, TPAE(701)는 그 자신의 보안 능력들 및 수신된 UAV 보안 능력들에 기반하여 C2 보호를 위한 암호화 및 무결성 알고리즘을 선택한다.
단계(8a)에서, 일 실시예(메시징(716) 참조)에서, TPAE(701)는 선택된 알고리즘들, TPAE C2 시작 표시, 및 MAC를 갖는 무결성 보호된 C2 보안 셋업 통지 메시지를 전송함으로써 UAV(106)에 통지한다. 단계(8b)에서, 일 실시예(메시징(718) 참조)에서, TPAE(701)는 UAV(106)에 전송되는 C2 애플리케이션 데이터를 보호하기 위해 수신된 C2 보안 키들 및 선택된 보안 알고리즘을 이용한다.
본 명세서에 개시된 솔루션의 다른 실시예는 보안 UAS C2 동작들을 위한 서비스 인에이블러 아키텍처 계층("SEAL") 기반 UAV(106) 및 UAV-C(108) 인증 및 키 관리에 관한 것이다. 도 8a는 UAS(101)에서의 UAV(106) 및 UAV-C(108)에 대한 SEAL 기반 버티컬 애플리케이션 계층("VAL") 사용자 인증을 도시한다.
단계(1)에서, 일 실시예(메시징(802) 참조)에서, VAL UE(801)(예를 들어, UAV(106)/UAV-C(108))는 SIM-S(803)(예를 들어, USS/UTM(157))와의 보안 터널을 확립한다. 일 실시예에서, ("SIM-C") SEAL 아이덴티티 관리 클라이언트(801) 및 ("SIM-S") SEAL 아이덴티티 관리 서버(803)는 SEAL 기반 UAS 인증 절차에 수반될 수 있다.
일 실시예에서, 단계(2)(메시징(804) 참조)에서, VAL UE(801)(예를 들어, UAV(106)/UAV-C(108))는 SIM-S(803)(예를 들어, USS/UTM(157))에 OpenID 접속 인증 요청을 전송한다. 이 요청은 UE(예를 들어, UAV(106)/UAV-C(108))에 의해 지원되는 인증 방법들의 표시를 포함할 수 있다.
일 실시예에서, 단계(3)(메시징(806) 참조)에서, VAL UE(801)(예를 들어, UAV(106)/UAV-C(108))와 SIM-S(803)(예를 들어, USS/UTM(157)) 사이에서 사용자 인증이 수행된다. 이러한 실시예에서, 사용자 인증을 위한 1차 자격증명들(예를 들어, 생체인식, secureID, OTP, 사용자명/패스워드 등)은 VAL 서비스 제공자 정책에 기반한다. 인증 및 허가를 위해 VAL 서비스 제공자에 의해 선택된 방법은 버티컬 서비스 및 이에 의해 지원되는 인증 및 허가 방법들에 의존할 수 있다.
일 실시예에서, 단계(4)(메시징(808) 참조)에서, SIM-S(803)(예를 들어, USS/UTM(157))는 허가 코드를 포함하는 OpenID 접속 인증 응답을 UE(예를 들어, UAV(106)/UAV-C(108))에 전송한다. 허가 코드는 USS/UTM(157)에 의해 할당된 UAS ID 및 UAV CAA 레벨 ID를 이용하여 도출될 수 있다. 단계(5)에서, 일 실시예(메시징(810) 참조)에서, VAL UE(801)는 허가 코드를 전달하는 OpenID 접속 토큰 요청을 SIM-S(803)에 전송한다.
일 실시예에서, 단계(6)(메시징(814) 참조)에서, SIM-S(803)(예를 들어, USS/UTM(157))는 ID 토큰 및 액세스 토큰(그 각각은 VAL 서비스의 사용자를 고유하게 식별함)을 포함하는 OpenID 접속 토큰 응답을 VAL UE(801)(예를 들어, UAV(106)/UAV-C(108))에 전송한다. 액세스 토큰은 UAS ID 및 CAA 레벨 UAV ID/UAV-C ID를 각각 입력들로서 이용하여 도출될 수 있다(블록(812) 참조).
일 실시예에서, ID 토큰은 UAV(106)/UAV-C(108)에 의해 소비되어 VAL 사용자에 대해 VAL 클라이언트를 개인화하고, 액세스 토큰은 UAV(106)/UAV-C(108)에 의해 이용되어 VAL 서버(들) 및 VAL 서비스들에 VAL 사용자의 아이덴티티를 통신 및 허가한다.
도 8b는 UAS 보안 키/UAS 세션 보안을 확립하기 위한 SEAL 기반 키 관리 절차를 도시한다. 일 실시예에서, ("SKM-C") SEAL 키 관리 클라이언트(821) 및 ("SKM-S") SEAL 키 관리 서버(823)는 SEAL 기반 키 관리 절차에 수반된다.
단계(1)에서, 일 실시예(블록(822) 참조)에서, SKM-C(821)(예를 들어, UAV(106)/UAV-C(108))는 SKM-S(823)(예를 들어, USS/UTM(157))에 대한 직접 HTTPS 접속을 확립한다. 특정 실시예들에서, 단계들(2 및 3)은 이 보안 접속 내에 있다.
단계(2)에서, 일 실시예(메시징(824) 참조)에서, SKM-C(821)는 UAV ID, UAV-C ID 및 UAS 액세스 토큰을 포함하는 SEAL KM 요청 메시지를 SKM-S(823)에 전송한다.
단계(3)에서, 일 실시예(메시징(826) 참조)에서, SKM-S(823)는 그 요청을 허가하고, 유효한 경우, UAS ID 특정 KUAS/KUAS_Sess 키, KUAS ID/KUAS_Sess ID, 및 UAS ID를 포함하는 요청된 키 자료(또는 에러 코드)를 포함하는 SEAL KM 응답 메시지를 전송한다.
이 절차의 성공적인 결과로서, 일 실시예에서, VAL UE 또는 VAL 서버는 VAL 시스템(UAS 애플리케이션) 내에서 이용하기 위한 서비스 특정 키 자료를 안전하게 획득하였다.
본 명세서에 개시된 솔루션의 다른 실시예는, 일 실시예에서, 애플리케이션들에 대한 인증 및 키 관리("AKMA") 기반 UAS 인증 및 키 관리에 관한 것이다.
이 실시예는 어떻게 UAS 루트 키가 AKMA 키로부터 3GPP 네트워크에서 도출되고 UFES(155)에 제공되어 C2 통신 보안을 가능하게 할 수 있는지를 설명한다. UAS 루트 키의 나머지 이용, 예컨대, UAS 세션 키 및 C2 보안 키들의 도출 및 이용은 실시예들 1, 2 및 3에서 설명된 것과 동일할 수 있다.
도 9는, 일 실시예에서, 성공적인 UAS 인증 및 허가 절차 후에 3GPP 네트워크의 AUSF에서 이용가능한 KAKMA 키로부터 UAS 루트 키(KUAS)가 어떻게 도출될 수 있는지를 도시한다.
KAKMA로부터 KUAS를 도출할 때, KDF에 대한 입력 S를 형성하기 위해 다음의 파라미터들이 이용될 것이다:
Figure pct00053
FC = XXX;
Figure pct00054
P0 = AF_ID/UFES ID;
Figure pct00055
L0 = AF_ID/UFES ID의 길이;
Figure pct00056
P1 = UAS ID;
Figure pct00057
L1 = UAS ID의 길이.
일 실시예에서, 입력 키는 KAKMA일 것이다.
도 10은, 일 실시예에서, UFES/UASMF(155)가 오퍼레이터의 네트워크에 위치할 때, C2 애플리케이션 기능 특정 AKMA 키들을 5GC로부터 직접 요청하기 위해 UFES/UASMF(155)에 의해 이용되는 절차(1000)를 도시한다. 일 실시예에서, UE(801)(예를 들어, UAV(106)/UAV-C(108))와 UFES(155)(USS/UTM(157) 및 TPAE(701)를 대신함) 사이의 통신이 시작될 수 있기 전에, UE(801) 및 UFES(155)는 AKMA를 이용할지를 알 필요가 있다. 이 지식은 UE(801) 및 UFES(155)(예컨대, USS/UTM(157) 및 TPAE(701)를 대신함) 상의 C2 애플리케이션에 암시적일 수 있다.
전제 조건으로서(메시징(1002 및 1004) 참조), 일 실시예에서, UE(801)는 1차 인증을 수행하고 AAnF(803)와 AKMA 앵커 키 K_AKMA를 확립한다. 추가 실시예들에서, UE(801)는 USS/UTM(157)과의 UAS 인증 및 허가를 수행한다.
일 실시예에서, 단계(1)(메시징(1006 및 1008) 참조)에서, UE(801)(예를 들어, UAV(106)/UAV-C(108))는 UFES(155)와의 통신을 개시할 때, 애플리케이션 세션 확립 요청 메시지에 도출된 A-KID(AKMA 키 식별자 - 이는 AUSF 및 UE에 의해 KAUSF로부터 도출됨)를 포함할 것이다.
단계(2)에서, 일 실시예(메시징(1010) 참조)에서, UFES(155)가 A-KID와 연관된 활성 컨텍스트를 갖지 않으면, AF는 UE(801)에 대한 AKMA 애플리케이션 키를 요청하기 위해 Naanf_AKMA_UASKey 요청을 A-KID를 갖는 AKMA 앵커 기능("AAnF")(803)에 전송한다. UFES(155)는 또한 요청에서의 그 아이덴티티(UFES ID) 및 UAS 루트 키 도출에서 결합할 UAS ID를 포함한다. AAnF(803)는 일 실시예에서 UFES(155)를 허가한다. AAnF(803)는 일부 실시예들에서 AAnF(803)가 구성된 로컬 정책에 기반하여 또는 UFES(155)를 이용하여 NEF/NRF에 의해 제공되는 허가 정보 또는 정책에 기반하여 UFES(155)에게 서비스를 제공할 수 있는지를 체크한다. 성공적인 경우, 일 실시예에서, 다음의 절차가 실행된다. 그렇지 않으면, AAnF(803)는 절차를 거부한다.
일 실시예에서, AAnF(803)는 AUSF로부터 수신된 AKMA 앵커 키 K_AKMA의 존재에 의해 가입자가 AKMA를 이용하도록 허가되는지를 체크한다. 특정 실시예들에서, AAnF(803)가 UAS 애플리케이션 키(KUAS)를 소유하고 있는 경우, AAnF(803)는 KUAS로 UFES(155)에 응답한다. 그렇지 않다면, AAnF(803)는 A-KID에 의해 식별된 UE 특정 KAKMA 키를 갖는지를 체크할 수 있다. 추가 실시예들에서, KAKMA가 AAnF(803)에서 이용가능한 경우, AAnF(803)는 단계(3)를 계속한다. 다양한 실시예들에서, KAKMA가 이용가능하지 않은 경우, AAnF(803)는 단계(4)를 계속하고, 에러 응답을 전송한다.
일 실시예에서, 단계(3)(블록(1012) 참조)에서, AAnF(803)는 KAKMA로부터 UAS 애플리케이션 키(KUAS)를 도출한다. KUAS의 키 도출은, 일 실시예에서, TS 33.220에 명시된 키 도출 함수("KDF")를 이용하여 수행된다. KUAS는 KUAS = KDF (KAKMA, UFES ID, UAS ID)로서 계산되고, 여기서 UFES ID는 다음과 같이 구성된다: UFES ID = UFES의 FQDN || Ua*/C2 보안 프로토콜 식별자. Ua*/C2 보안 프로토콜 식별자는 TS 33.220의 부록 H에서의 Ua 보안 프로토콜 식별자로서 지정될 수 있다. KUAS의 도출에 이용되는 키는 KAKMA이다.
단계(4)에서, 일 실시예(메시징(1014) 참조)에서, AAnF(803)는 KUAS 및 수명을 갖는 Naanf_AKMA_UASKey 응답을 UFES(155)에 전송한다. 단계(5)에서, 일 실시예(블록(1016) 참조)에서, UFES(155)는 UAS 루트 키로부터 직접 또는 (예를 들어, UAS 세션 키가 UAS 루트 키로부터 도출되는 경우) UAS 세션 키로부터 CCEK 및 CCIK를 도출한다. UAS 세션 키 도출 및 C2 보안 키(CCEK 및 CCIK) 도출은 이전에 전술한 실시예들에 기반할 수 있다.
단계(6)에서, 일 실시예(메시징(1018) 참조)에서, UFES(155)는 UAS 루트 키로부터 도출된 UAS 세션 키에 대응하는 UAS 세션 키 ID로 애플리케이션 세션 확립 요청에 대해 UE(801)에 응답한다. C2 보안은 AKMA 기반 UAS 키를 이용하여 셋업될 수 있다.
도 11은 본 개시내용의 실시예들에 따른, UAS 인증 및 보안 확립에 이용될 수 있는 사용자 장비 장치(1100)를 도시한다. 다양한 실시예들에서, 사용자 장비 장치(1100)는 전술한 솔루션들 중 하나 이상을 구현하는데 이용된다. 사용자 장비 장치(1100)는 전술한 원격 유닛(105), UE(205), UAV(106), 및/또는 UAV-C(108)의 일 실시예일 수 있다. 또한, 사용자 장비 장치(1100)는 프로세서(1105), 메모리(1110), 입력 디바이스(1115), 출력 디바이스(1120), 및 트랜시버(1125)를 포함할 수 있다.
일부 실시예들에서, 입력 디바이스(1115) 및 출력 디바이스(1120)는 터치스크린과 같은 단일 디바이스로 결합된다. 특정 실시예들에서, 사용자 장비 장치(1100)는 임의의 입력 디바이스(1115) 및/또는 출력 디바이스(1120)를 포함하지 않을 수 있다. 다양한 실시예들에서, 사용자 장비 장치(1100)는, 프로세서(1105), 메모리(1110), 및 트랜시버(1125) 중 하나 이상을 포함할 수 있고, 입력 디바이스(1115) 및/또는 출력 디바이스(1120)를 포함하지 않을 수 있다.
도시된 바와 같이, 트랜시버(1125)는 적어도 하나의 전송기(1130) 및 적어도 하나의 수신기(1135)를 포함한다. 일부 실시예들에서, 트랜시버(1125)는 하나 이상의 베이스 유닛(121)에 의해 지원되는 하나 이상의 셀(또는 무선 커버리지 영역)과 통신한다. 다양한 실시예들에서, 트랜시버(1125)는 비허가 스펙트럼 상에서 동작가능하다. 또한, 트랜시버(1125)는 하나 이상의 빔을 지원하는 복수의 UE 패널을 포함할 수 있다. 또한, 트랜시버(1125)는 적어도 하나의 네트워크 인터페이스(1140) 및/또는 애플리케이션 인터페이스(1145)를 지원할 수 있다. 애플리케이션 인터페이스(들)(1145)는 하나 이상의 API를 지원할 수 있다. 네트워크 인터페이스(들)(1140)는 Uu, N1, PC5 등과 같은 3GPP 기준 포인트들을 지원할 수 있다. 본 기술분야의 통상의 기술자에 의해 이해되는 바와 같이, 다른 네트워크 인터페이스들(1140)이 지원될 수 있다.
프로세서(1105)는, 일 실시예에서, 컴퓨터 판독가능한 명령어들을 실행할 수 있고/있거나 논리적 연산들을 수행할 수 있는 임의의 공지된 제어기를 포함할 수 있다. 예를 들어, 프로세서(1105)는, 마이크로제어기, 마이크로프로세서, 중앙 처리 유닛("CPU"), 그래픽 처리 유닛("GPU"), 보조 처리 유닛, 필드 프로그래밍가능한 게이트 어레이("FPGA"), 또는 유사한 프로그래밍가능한 제어기일 수 있다. 일부 실시예들에서, 프로세서(1105)는 메모리(1110)에 저장된 명령어들을 실행하여 본 명세서에 설명된 방법들 및 루틴들을 수행한다. 프로세서(1105)는, 메모리(1110), 입력 디바이스(1115), 출력 디바이스(1120), 및 트랜시버(1125)에 통신가능하게 결합된다. 특정 실시예들에서, 프로세서(1105)는 애플리케이션 도메인 및 운영 체제("OS") 기능들을 관리하는 애플리케이션 프로세서("메인 프로세서"라고도 알려짐) 및 라디오 기능들을 관리하는 기저대역 프로세서("기저대역 라디오 프로세서"라고도 알려짐)를 포함할 수 있다.
다양한 실시예들에서, 프로세서(1105) 및 트랜시버(1125)는 전술한 UE 거동들을 구현하도록 사용자 장비 장치(1100)를 제어한다. 예를 들어, UE는 제1 사용자 장비("UE") 디바이스로부터 모바일 무선 통신 네트워크의 네트워크 기능으로, 제1 UE 디바이스와 제2 UE 디바이스 사이의 보안 통신을 확립하기 위한 명령 및 제어("C2") 페어링 요청을 전송하는 트랜시버(1125)를 포함하는 UAV(106) 및/또는 UAV-C(108)를 포함할 수 있고, C2 페어링 요청은 제1 UE 디바이스에 대한 식별자, 제2 UE 디바이스에 대한 식별자, 제1 및 제2 UE 디바이스들을 포함하는 무인 항공 시스템("UAS")에 대한 식별자, 제1 UE 디바이스에 대한 보안 능력 정보, UAS 허가 토큰, 넌스, UAS 보안 정보 식별자, UAS 루트 키, 및 UAS 세션 키 식별자 중 적어도 하나를 포함한다.
일 실시예에서, 트랜시버(1125)는, 네트워크 기능으로부터, 성공 표시자, UAS 세션 키 식별자, UAS 세션 키, UAS 보안 정보, 선택된 보안 알고리즘, 및 제2 UE 디바이스에 대한 어드레스 중 적어도 하나를 포함하는 C2 페어링 응답을 수신한다.
일 실시예에서, 프로세서(1105)는 로컬로 저장된 UAS 루트 키를 이용하여 제2 UAS 세션 키를 도출하고 제2 UAS 세션 키를 이용하여 제2 UAS 세션 키 식별자를 도출하고, 제2 UAS 세션 키 식별자가 C2 페어링 응답에서 수신된 UAS 세션 키 식별자와 매칭하는 것을 검증하고, UAS 세션 키에 기반하여 제1 UE 디바이스와 제2 UE 디바이스 사이의 통신을 보호하기 위한 적어도 하나의 보안 키를 도출하고, 적어도 하나의 보안 키를 이용하여 제2 UE 디바이스와의 보안 통신을 확립한다.
일 실시예에서, 트랜시버(1125)는 모바일 무선 통신 네트워크의 제2 네트워크 기능으로부터 인증 응답 메시지를 추가로 수신하고, 인증 응답 메시지는 성공 표시, UAV 식별자, UAS 식별자, UAV-C 식별자, 허가 토큰, 및 UAS 보안 컨텍스트 중 적어도 하나 이상을 포함한다.
일 실시예에서, 성공 표시를 갖는 인증 응답 메시지를 수신하는 것에 응답하여, 프로세서(1105)는 UAV 식별자, UAS 식별자, UAV-C 식별자, 허가 토큰, 및 수신된 UAS 보안 컨텍스트를 로컬로 저장하고, UAV, UAS 식별자, 및 UAV 식별자에 대한 장기 자격증명들을 이용하여 UAS 보안 컨텍스트를 생성한다. 일 실시예에서, 프로세서(1105)는 UAS 보안 컨텍스트를 이용하여 USS/UTM과의 보안 접속을 확립한다.
일 실시예에서, 메모리(1110)는 컴퓨터 판독가능한 저장 매체이다. 일부 실시예들에서, 메모리(1110)는 휘발성 컴퓨터 저장 매체를 포함한다. 예를 들어, 메모리(1110)는 동적 RAM("DRAM"), 동기식 동적 RAM("SDRAM"), 및/또는 정적 RAM("SRAM")을 포함하는 RAM을 포함할 수 있다. 일부 실시예들에서, 메모리(1110)는 비휘발성 컴퓨터 저장 매체를 포함한다. 예를 들어, 메모리(1110)는 하드 디스크 드라이브, 플래시 메모리, 또는 임의의 다른 적절한 비휘발성 컴퓨터 저장 디바이스를 포함할 수 있다. 일부 실시예들에서, 메모리(1110)는 휘발성 및 비휘발성 컴퓨터 저장 매체 둘 다를 포함한다.
일부 실시예들에서, 메모리(1110)는 UAS 인증 및 보안 확립에 관련된 데이터를 저장한다. 예를 들어, 메모리(1110)는, 전술된 바와 같이, 다양한 파라미터들, 패널/빔 구성들, 리소스 할당들, 정책들 등을 저장할 수 있다. 특정 실시예들에서, 메모리(1110)는 또한 사용자 장비 장치(1100) 상에서 동작하는 운영 체제 또는 다른 제어기 알고리즘들과 같은 프로그램 코드 및 관련 데이터를 저장한다.
입력 디바이스(1115)는, 일 실시예에서, 터치 패널, 버튼, 키보드, 스타일러스, 마이크로폰 등을 포함하는 임의의 공지된 컴퓨터 입력 디바이스를 포함할 수 있다. 일부 실시예들에서, 입력 디바이스(1115)는, 예를 들어, 터치스크린 또는 유사한 터치 감응 디스플레이로서 출력 디바이스(1120)와 통합될 수 있다. 일부 실시예들에서, 입력 디바이스(1115)는, 텍스트가 터치스크린 상에 표시된 가상 키보드를 이용하여 그리고/또는 터치스크린 상에 필기함으로써 입력될 수 있도록 터치스크린을 포함한다. 일부 실시예들에서, 입력 디바이스(1115)는 키보드 및 터치 패널과 같은 2개 이상의 상이한 디바이스를 포함한다.
출력 디바이스(1120)는, 일 실시예에서, 시각적, 청각적, 및/또는 촉각적 신호들을 출력하도록 설계된다. 일부 실시예들에서, 출력 디바이스(1120)는 시각적 데이터를 사용자에게 출력할 수 있는 전자적으로 제어가능한 디스플레이 또는 디스플레이 디바이스를 포함한다. 예를 들어, 출력 디바이스(1120)는, LCD 디스플레이, LED 디스플레이, OLED 디스플레이, 프로젝터, 또는 이미지들, 텍스트 등을 사용자에게 출력할 수 있는 유사한 디스플레이 디바이스를 포함할 수 있지만, 이것으로 제한되는 것은 아니다. 다른 비제한적인 예로서, 출력 디바이스(1120)는, 스마트 시계, 스마트 안경, 헤드-업 디스플레이 등과 같은, 사용자 장비 장치(1100)의 나머지와 별개이지만 이에 통신가능하게 결합된 웨어러블 디스플레이를 포함할 수 있다. 또한, 출력 디바이스(1120)는 스마트폰, 개인 휴대 정보 단말기, 텔레비전, 테이블 컴퓨터, 노트북(랩톱) 컴퓨터, 개인용 컴퓨터, 차량 대시보드 등의 구성요소일 수 있다.
특정 실시예들에서, 출력 디바이스(1120)는 사운드를 생성하기 위한 하나 이상의 스피커를 포함한다. 예를 들어, 출력 디바이스(1120)는 가청 경보 또는 통지(예컨대, 비프음 또는 차임음)를 생성할 수 있다. 일부 실시예들에서, 출력 디바이스(1120)는 진동들, 모션, 또는 다른 촉각적 피드백을 생성하기 위한 하나 이상의 촉각적 디바이스를 포함한다. 일부 실시예들에서, 출력 디바이스(1120)의 전부 또는 일부는 입력 디바이스(1115)와 통합될 수 있다. 예를 들어, 입력 디바이스(1115) 및 출력 디바이스(1120)는 터치스크린 또는 유사한 터치 감응 디스플레이를 형성할 수 있다. 다른 실시예들에서, 출력 디바이스(1120)는 입력 디바이스(1115) 근처에 위치할 수 있다.
트랜시버(1125)는 하나 이상의 액세스 네트워크를 통해 모바일 통신 네트워크의 하나 이상의 네트워크 기능과 통신한다. 트랜시버(1125)는 메시지들, 데이터, 및 다른 신호들을 전송하고 또한 메시지들, 데이터, 및 다른 신호들을 수신하기 위해 프로세서(1105)의 제어 하에서 동작한다. 예를 들어, 프로세서(1105)는 메시지들을 전송 및 수신하기 위해 특정 시간들에서 트랜시버(1125)(또는 그 부분들)를 선택적으로 활성화할 수 있다.
트랜시버(1125)는 적어도 전송기(1130) 및 적어도 하나의 수신기(1135)를 포함한다. 하나 이상의 전송기(1130)는, 본 명세서에서 설명된 UL 전송들 등의, UL 통신 신호들을 베이스 유닛(121)에 제공하는데 이용될 수 있다. 유사하게, 하나 이상의 수신기(1135)는, 본 명세서에서 설명된 바와 같이, 베이스 유닛(121)으로부터 DL 통신 신호들을 수신하는데 이용될 수 있다. 하나의 전송기(1130) 및 하나의 수신기(1135)만이 도시되지만, 사용자 장비 장치(1100)는 임의의 적절한 수의 전송기들(1130) 및 수신기들(1135)을 가질 수 있다. 또한, 전송기(들)(1130) 및 수신기(들)(1135)는 임의의 적절한 유형의 전송기들 및 수신기들일 수 있다. 일 실시예에서, 트랜시버(1125)는 허가 라디오 스펙트럼을 통해 모바일 통신 네트워크와 통신하는데 이용되는 제1 전송기/수신기 쌍 및 비허가 라디오 스펙트럼을 통해 모바일 통신 네트워크와 통신하는데 이용되는 제2 전송기/수신기 쌍을 포함한다.
특정 실시예들에서, 허가 라디오 스펙트럼을 통해 모바일 통신 네트워크와 통신하는데 이용되는 제1 전송기/수신기 쌍 및 비허가 라디오 스펙트럼을 통해 모바일 통신 네트워크와 통신하는데 이용되는 제2 전송기/수신기 쌍은 단일 트랜시버 유닛, 예를 들어, 허가 및 비허가 라디오 스펙트럼 모두와 함께 이용하기 위한 기능들을 수행하는 단일 칩으로 결합될 수 있다. 일부 실시예들에서, 제1 전송기/수신기 쌍 및 제2 전송기/수신기 쌍은 하나 이상의 하드웨어 구성요소를 공유할 수 있다. 예를 들어, 특정 트랜시버들(1125), 전송기들(1130), 및 수신기들(1135)은, 예를 들어, 네트워크 인터페이스(1140)와 같은, 공유 하드웨어 리소스 및/또는 소프트웨어 리소스에 액세스하는 물리적으로 별개의 구성요소들로서 구현될 수 있다.
다양한 실시예들에서, 하나 이상의 전송기(1130) 및/또는 하나 이상의 수신기(1135)는 멀티-트랜시버 칩, 시스템-온-칩, ASIC, 또는 다른 유형의 하드웨어 구성요소와 같은 단일 하드웨어 구성요소로 구현 및/또는 통합될 수 있다. 특정 실시예들에서, 하나 이상의 전송기(1130) 및/또는 하나 이상의 수신기(1135)는 멀티-칩 모듈로 구현 및/또는 통합될 수 있다. 일부 실시예들에서, 네트워크 인터페이스(1140) 또는 다른 하드웨어 구성요소들/회로들과 같은 다른 구성요소들은 임의의 수의 전송기들(1130) 및/또는 수신기들(1135)과 함께 단일 칩으로 통합될 수 있다. 이러한 실시예에서, 전송기들(1130) 및 수신기들(1135)은 하나 이상의 공통 제어 신호를 이용하는 트랜시버(1125)로서, 또는 동일한 하드웨어 칩 또는 멀티-칩 모듈에서 구현된 모듈식 전송기들(1130) 및 수신기들(1135)로서 논리적으로 구성될 수 있다.
도 12는 본 개시내용의 실시예들에 따른, UAS 인증 및 보안 확립에 이용될 수 있는 네트워크 장치(1200)를 도시한다. 일 실시예에서, 네트워크 장치(1200)는 전술한 베이스 유닛(121), RAN 노드(210) 또는 gNB와 같은 RAN 노드의 일 구현일 수 있다. 또한, 베이스 네트워크 장치(1200)는 프로세서(1205), 메모리(1210), 입력 디바이스(1215), 출력 디바이스(1220), 및 트랜시버(1225)를 포함할 수 있다.
일부 실시예들에서, 입력 디바이스(1215) 및 출력 디바이스(1220)는 터치스크린과 같은 단일 디바이스로 결합된다. 특정 실시예들에서, 네트워크 장치(1200)는 임의의 입력 디바이스(1215) 및/또는 출력 디바이스(1220)를 포함하지 않을 수 있다. 다양한 실시예들에서, 네트워크 장치(1200)는 프로세서(1205), 메모리(1210), 및 트랜시버(1225) 중 하나 이상을 포함할 수 있고, 입력 디바이스(1215) 및/또는 출력 디바이스(1220)를 포함하지 않을 수 있다.
도시된 바와 같이, 트랜시버(1225)는 적어도 하나의 전송기(1230) 및 적어도 하나의 수신기(1235)를 포함한다. 여기서, 트랜시버(1225)는 하나 이상의 원격 유닛(105)과 통신한다. 또한, 트랜시버(1225)는 적어도 하나의 네트워크 인터페이스(1240) 및/또는 애플리케이션 인터페이스(1245)를 지원할 수 있다. 애플리케이션 인터페이스(들)(1245)는 하나 이상의 API를 지원할 수 있다. 네트워크 인터페이스(들)(1240)는 Uu, N1, N2 및 N3과 같은 3GPP 기준 포인트들을 지원할 수 있다. 본 기술분야의 통상의 기술자에 의해 이해되는 바와 같이, 다른 네트워크 인터페이스들(1240)이 지원될 수 있다.
프로세서(1205)는, 일 실시예에서, 컴퓨터 판독가능한 명령어들을 실행할 수 있고/있거나 논리적 연산들을 수행할 수 있는 임의의 공지된 제어기를 포함할 수 있다. 예를 들어, 프로세서(1205)는 마이크로제어기, 마이크로프로세서, CPU, GPU, 보조 처리 유닛, FPGA, 또는 유사한 프로그래밍가능한 제어기일 수 있다. 일부 실시예들에서, 프로세서(1205)는 메모리(1210)에 저장된 명령어들을 실행하여 본 명세서에 설명된 방법들 및 루틴들을 수행한다. 프로세서(1205)는, 메모리(1210), 입력 디바이스(1215), 출력 디바이스(1220), 및 트랜시버(1225)에 통신가능하게 결합된다. 특정 실시예들에서, 프로세서(805)는 애플리케이션 도메인 및 운영 체제("OS") 기능들을 관리하는 애플리케이션 프로세서("메인 프로세서"라고도 알려짐) 및 라디오 기능을 관리하는 기저대역 프로세서("기저대역 라디오 프로세서"라고도 알려짐)를 포함할 수 있다.
다양한 실시예들에서, 네트워크 장치(1200)는 전술한 UFES 또는 다른 3GPP NF(예를 들어, UASNF)이다. 이러한 실시예들에서, 트랜시버(1225)는, 모바일 무선 통신 네트워크의 제1 네트워크 기능으로부터, 사용자 장비("UE")로부터의 인증 요청 메시지를 UAS 서비스 공급자("USS")/UAS 트래픽 관리("UTM")로 전송하고, UE는 무인 항공기("UAV") 및 UAV 제어기("UAV-C") 중 적어도 하나를 포함한다. 특정 실시예들에서, 트랜시버(1225)는, 제1 네트워크 기능에서 USS/UTM으로부터, UAS 식별자 및 UAS 보안 컨텍스트를 포함하는 인증 응답 메시지를 수신하고, UAS 보안 컨텍스트는 UAS 루트 키 및 UAS 루트 키 식별자를 포함한다.
일 실시예에서, 트랜시버(1225)는 제1 네트워크 기능으로부터, 수신된 인증 응답 메시지를 모바일 무선 통신 네트워크의 액세스 및 이동성 관리 기능("AMF")에 전송한다. 일 실시예에서, 트랜시버(1225)는 모바일 무선 통신 네트워크의 액세스 및 이동성 관리 기능("AMF")으로부터 인증 요청 메시지를 수신하고, 인증 요청 메시지는 UAV에 대한 식별자를 포함하고, 프로세서(1205)는 제1 네트워크 기능에서 UAV 식별자를 로컬로 저장하고, 트랜시버는 인증 요청 메시지를 수신하는 것에 응답하여 인증 요청 메시지를 USS/UTM에 전송한다.
다양한 실시예들에서, 네트워크 장치(1200)는 전술한 UFES, UCF, 또는 다른 3GPP NF이다. 이러한 실시예들에서, 트랜시버(1225)는 모바일 무선 통신 네트워크의 네트워크 기능에서, 제1 사용자 장비("UE") 디바이스로부터 명령 및 제어("C2") 페어링 요청을 수신하고, C2 페어링 요청은 제1 UE 디바이스와 제2 UE 디바이스 사이의 보안 통신을 확립하기 위한 적어도 하나의 파라미터를 포함한다.
일 실시예에서, 프로세서(1205)는, 네트워크 기능에서, 네트워크 기능에 로컬로 저장되어 있는 무인 항공 시스템("UAS") 보안 컨텍스트에 기반하여 적어도 하나의 파라미터를 검증하고, UAS는 제1 및 제2 UE 디바이스들을 포함한다. 일 실시예에서, 트랜시버(1225)는 적어도 하나의 파라미터의 성공적인 검증에 응답하여, C2 페어링 요청을 네트워크 기능으로부터 UAS 서비스 공급자("USS")/UAS 트래픽 관리("UTM")로 전송하고, 네트워크 기능에서, USS/UTM으로부터 C2 페어링 응답을 수신하고, 보안 통신을 확립하기 위해 C2 페어링 응답을 네트워크 기능으로부터 제1 UE 디바이스로 전송한다.
일 실시예에서, 프로세서(1205)는 수신된 UAV 식별자, UAS 식별자, 및 UAS 허가 토큰이 제1 네트워크 기능에 로컬로 저장되어 있는 대응하는 UAV 식별자, UAS 식별자, 및 UAS 허가 토큰과 매칭하는 것을 검증하고, 성공적인 매칭에 응답하여, UAV 및/또는 UAV-C가 UAS 통신에 이용가능한지, UAV 및/또는 UAV-C의 위치, 그리고 UAV 및/또는 UAV-C가 인증되는지를 체크하기 위해 네트워크 기능에 로컬로 저장된 C2 페어링 정보를 결정한다.
일 실시예에서, 메모리(1210)는 컴퓨터 판독가능한 저장 매체이다. 일부 실시예들에서, 메모리(1210)는 휘발성 컴퓨터 저장 매체를 포함한다. 예를 들어, 메모리(1210)는 동적 RAM("DRAM"), 동기식 동적 RAM("SDRAM"), 및/또는 정적 RAM("SRAM")을 포함하는 RAM을 포함할 수 있다. 일부 실시예들에서, 메모리(1210)는 비휘발성 컴퓨터 저장 매체를 포함한다. 예를 들어, 메모리(1210)는 하드 디스크 드라이브, 플래시 메모리, 또는 임의의 다른 적절한 비휘발성 컴퓨터 저장 디바이스를 포함할 수 있다. 일부 실시예들에서, 메모리(1210)는 휘발성 및 비휘발성 컴퓨터 저장 매체 둘 다를 포함한다.
일부 실시예들에서, 메모리(1210)는 UAS 인증 및 보안 확립에 관련된 데이터를 저장한다. 예를 들어, 메모리(1210)는, 전술된 바와 같이, 파라미터들, 구성들, 리소스 할당들, 정책들 등을 저장할 수 있다. 특정 실시예들에서, 메모리(1210)는 또한 네트워크 장치(1200) 상에서 동작하는 운영 체제 또는 다른 제어기 알고리즘들과 같은 프로그램 코드 및 관련 데이터를 저장한다.
입력 디바이스(1215)는, 일 실시예에서, 터치 패널, 버튼, 키보드, 스타일러스, 마이크로폰 등을 포함하는 임의의 공지된 컴퓨터 입력 디바이스를 포함할 수 있다. 일부 실시예들에서, 입력 디바이스(1215)는, 예를 들어, 터치스크린 또는 유사한 터치 감응 디스플레이로서 출력 디바이스(1220)와 통합될 수 있다. 일부 실시예들에서, 입력 디바이스(1215)는, 텍스트가 터치스크린 상에 표시된 가상 키보드를 이용하여 그리고/또는 터치스크린 상에 필기함으로써 입력될 수 있도록 터치스크린을 포함한다. 일부 실시예들에서, 입력 디바이스(1215)는 키보드 및 터치 패널과 같은 2개 이상의 상이한 디바이스를 포함한다.
출력 디바이스(1220)는, 일 실시예에서, 시각적, 청각적, 및/또는 촉각적 신호들을 출력하도록 설계된다. 일부 실시예들에서, 출력 디바이스(1220)는 시각적 데이터를 사용자에게 출력할 수 있는 전자적으로 제어가능한 디스플레이 또는 디스플레이 디바이스를 포함한다. 예를 들어, 출력 디바이스(1220)는, LCD 디스플레이, LED 디스플레이, OLED 디스플레이, 프로젝터, 또는 이미지들, 텍스트 등을 사용자에게 출력할 수 있는 유사한 디스플레이 디바이스를 포함할 수 있지만, 이것으로 제한되는 것은 아니다. 다른 비제한적인 예로서, 출력 디바이스(1220)는, 스마트 시계, 스마트 안경, 헤드-업 디스플레이 등의, 네트워크 장치(1200)의 나머지와는 별개이지만 이에 통신가능하게 결합된 웨어러블 디스플레이를 포함할 수 있다. 또한, 출력 디바이스(1220)는 스마트폰, 개인 휴대 정보 단말기, 텔레비전, 테이블 컴퓨터, 노트북(랩톱) 컴퓨터, 개인용 컴퓨터, 차량 대시보드 등의 구성요소일 수 있다.
특정 실시예들에서, 출력 디바이스(1220)는 사운드를 생성하기 위한 하나 이상의 스피커를 포함한다. 예를 들어, 출력 디바이스(1220)는 가청 경보 또는 통지(예컨대, 비프음 또는 차임음)를 생성할 수 있다. 일부 실시예들에서, 출력 디바이스(1220)는 진동들, 모션, 또는 다른 촉각적 피드백을 생성하기 위한 하나 이상의 촉각적 디바이스를 포함한다. 일부 실시예들에서, 출력 디바이스(1220)의 전부 또는 일부는 입력 디바이스(1215)와 통합될 수 있다. 예를 들어, 입력 디바이스(1215) 및 출력 디바이스(1220)는 터치스크린 또는 유사한 터치 감응 디스플레이를 형성할 수 있다. 다른 실시예들에서, 출력 디바이스(1220)는 입력 디바이스(1215) 근처에 위치될 수 있다.
트랜시버(1225)는 적어도 전송기(1230) 및 적어도 하나의 수신기(1235)를 포함한다. 본 명세서에 설명된 바와 같이, UE와 통신하는데 하나 이상의 전송기(1230)가 이용될 수 있다. 이와 유사하게, 하나 이상의 수신기(1235)는, 본 명세서에 설명된 바와 같이, NPN, PLMN 및/또는 RAN에서의 네트워크 기능들과 통신하는데 이용될 수 있다. 단 하나의 전송기(1230) 및 하나의 수신기(1235)가 도시되어 있지만, 네트워크 장치(1200)는 임의의 적절한 수의 전송기들(1230) 및 수신기들(1235)을 가질 수 있다. 또한, 전송기(들)(1230) 및 수신기(들)(1235)는 임의의 적절한 유형의 전송기들 및 수신기들일 수 있다.
도 13은 UAS 인증 및 보안 확립을 위한 방법(1300)의 흐름도이다. 방법(1300)은 네트워크 기능, 예컨대 UFES(155), 3GPP 네트워크 기능, 및/또는 네트워크 장비 장치(1200)에 의해 수행될 수 있다. 일부 실시예들에서, 방법(1300)은 프로그램 코드를 실행하는 프로세서, 예를 들어, 마이크로제어기, 마이크로프로세서, CPU, GPU, 보조 처리 유닛, FPGA 등에 의해 수행될 수 있다.
일 실시예에서, 방법(1300)은, 모바일 무선 통신 네트워크의 제1 네트워크 기능으로부터, 사용자 장비("UE")로부터의 인증 요청 메시지를 UAS 서비스 공급자("USS")/UAS 트래픽 관리("UTM")로 전송하는 단계(1305)를 포함하고, UE는 무인 항공기("UAV") 및 UAV 제어기("UAV-C") 중 적어도 하나를 포함한다. 추가 실시예들에서, 방법(1300)은 제1 네트워크 기능에서 USS/UTM으로부터, UAS 식별자 및 UAS 보안 컨텍스트를 포함하는 인증 응답 메시지를 수신하는 단계(1310)를 포함하고, UAS 보안 컨텍스트는 UAS 루트 키 및 UAS 루트 키 식별자를 포함한다. 방법(1300)은 종료한다.
도 14는 UAS 인증 및 보안 확립을 위한 방법(1400)의 흐름도이다. 방법(1400)은 네트워크 기능, 예컨대 UFES(155), UCF, 3GPP 네트워크 기능, 및/또는 네트워크 장비 장치(1200)에 의해 수행될 수 있다. 일부 실시예들에서, 방법(1400)은 프로그램 코드를 실행하는 프로세서, 예를 들어, 마이크로제어기, 마이크로프로세서, CPU, GPU, 보조 처리 유닛, FPGA 등에 의해 수행될 수 있다.
일 실시예에서, 방법(1400)은 모바일 무선 통신 네트워크의 네트워크 기능에서, 제1 사용자 장비("UE") 디바이스로부터 명령 및 제어("C2") 페어링 요청을 수신하는 단계(1405)를 포함하고, C2 페어링 요청은 제1 UE 디바이스와 제2 UE 디바이스 사이의 보안 통신을 확립하기 위한 적어도 하나의 파라미터를 포함한다.
일 실시예에서, 방법(1400)은, 네트워크 기능에서, 네트워크 기능에 로컬로 저장되어 있는 무인 항공 시스템("UAS") 보안 컨텍스트에 기반하여 적어도 하나의 파라미터를 검증하는 단계(1410)를 포함하고, UAS는 제1 및 제2 UE 디바이스들을 포함한다. 일 실시예에서, 방법(1400)은, 적어도 하나의 파라미터의 성공적인 검증에 응답하여, C2 페어링 요청을 네트워크 기능으로부터 UAS 서비스 공급자("USS")/UAS 트래픽 관리("UTM")로 전송하는 단계(1415)를 포함한다.
일 실시예에서, 방법(1400)은 네트워크 기능에서, USS/UTM으로부터 C2 페어링 응답을 수신하는 단계(1420)를 포함한다. 일 실시예에서, 방법(1400)은 보안 통신을 확립하기 위해 C2 페어링 응답을 네트워크 기능으로부터 제1 UE 디바이스로 전송하는 단계(1425)를 포함한다. 방법(1400)은 종료한다.
도 15는 UAS 인증 및 보안 확립을 위한 방법(1500)의 흐름도이다. 방법(1500)은 UE, 예컨대 UAV(106), UAV-C(108), 원격 유닛(105), 및/또는 사용자 장비 장치(1100)에 의해 수행될 수 있다. 일부 실시예들에서, 방법(1500)은 프로그램 코드를 실행하는 프로세서, 예를 들어, 마이크로제어기, 마이크로프로세서, CPU, GPU, 보조 처리 유닛, FPGA 등에 의해 수행될 수 있다.
일 실시예에서, 방법(1500)은 제1 사용자 장비("UE") 디바이스로부터 모바일 무선 통신 네트워크의 네트워크 기능으로, 제1 UE 디바이스와 제2 UE 디바이스 사이의 보안 통신을 확립하기 위한 명령 및 제어("C2") 페어링 요청을 전송하는 단계(1505)를 포함한다.
일 실시예에서, 방법(1500)은, 네트워크 기능으로부터, 성공 표시자, UAS 세션 키 식별자, UAS 세션 키, UAS 보안 정보, 선택된 보안 알고리즘, 및 제2 UE 디바이스에 대한 어드레스 중 적어도 하나를 포함하는 C2 페어링 응답을 수신하는 단계(1520)를 포함한다.
일 실시예에서, 방법(1500)은 로컬로 저장된 UAS 루트 키를 이용하여 제2 UAS 세션 키를 도출하고 제2 UAS 세션 키를 이용하여 제2 UAS 세션 키 식별자를 도출하는 단계(1515)를 포함한다. 일 실시예에서, 방법(1500)은 제2 UAS 세션 키 식별자가 C2 페어링 응답에서 수신된 UAS 세션 키 식별자와 매치하는 것을 검증하는 단계(1520)를 포함한다.
일 실시예에서, 방법(1500)은 UAS 세션 키에 기반하여 제1 UE 디바이스와 제2 UE 디바이스 사이의 통신을 보호하기 위한 적어도 하나의 보안 키를 도출하는 단계(1525)를 포함한다. 일 실시예에서, 방법(1500)은 적어도 하나의 보안 키를 이용하여 제2 UE 디바이스와의 보안 통신을 확립하는 단계(1530)를 포함한다. 방법(1500)은 종료한다.
UAS 인증 및 보안 확립을 위한 제1 장치가 개시된다. 제1 장치는 네트워크 기능, 예컨대 UFES(155), 3GPP 네트워크 기능, 및/또는 네트워크 장비 장치(1200)를 포함할 수 있다. 일부 실시예들에서, 제1 장치는 프로그램 코드를 실행하는 프로세서, 예를 들어, 마이크로제어기, 마이크로프로세서, CPU, GPU, 보조 처리 유닛, FPGA 등을 포함할 수 있다.
일 실시예에서, 제1 장치는, 모바일 무선 통신 네트워크의 제1 네트워크 기능으로부터, 사용자 장비("UE")로부터의 인증 요청 메시지를 UAS 서비스 공급자("USS")/UAS 트래픽 관리("UTM")로 전송하는 트랜시버를 포함하고, UE는 무인 항공기("UAV") 및 UAV 제어기("UAV-C") 중 적어도 하나를 포함한다. 특정 실시예들에서, 트랜시버는, 제1 네트워크 기능에서 USS/UTM으로부터, UAS 식별자 및 UAS 보안 컨텍스트를 포함하는 인증 응답 메시지를 수신하고, UAS 보안 컨텍스트는 UAS 루트 키 및 UAS 루트 키 식별자를 포함한다.
일 실시예에서, 인증 응답 메시지는 인증 성공 표시, UAV에 대한 식별자, 명령 및 제어("C2") 보조 정보, 및 허가 토큰 중 적어도 하나를 더 포함한다. 일 실시예에서, 제1 장치는, 제1 네트워크 기능에서, 인증 성공, 수신된 UAV 식별자, UAS 식별자, C2 보조 정보, 허가 토큰, 및 UAS 보안 컨텍스트를 로컬로 저장하는 프로세서를 포함한다.
일 실시예에서, C2 보조 정보는 UAV-C에 대한 식별자, UAV3 유형 표시자, 및 UAV-C 서빙 네트워크 식별자 중 적어도 하나를 포함한다. 일 실시예에서, 트랜시버는 제1 네트워크 기능으로부터, 수신된 인증 응답 메시지를 모바일 무선 통신 네트워크의 액세스 및 이동성 관리 기능("AMF")에 전송한다.
일 실시예에서, 트랜시버는 모바일 무선 통신 네트워크의 액세스 및 이동성 관리 기능("AMF")으로부터 인증 요청 메시지를 수신하고, 인증 요청 메시지는 UAV에 대한 식별자를 포함하고, 프로세서는 제1 네트워크 기능에서 UAV 식별자를 로컬로 저장하고, 트랜시버는 인증 요청 메시지를 수신하는 것에 응답하여 인증 요청 메시지를 USS/UTM에 전송한다.
UAS 인증 및 보안 확립을 위한 제1 방법이 개시된다. 제1 방법은 네트워크 기능, 예컨대 UFES(155), 3GPP 네트워크 기능, 및/또는 네트워크 장비 장치(1200)에 의해 수행될 수 있다. 일부 실시예들에서, 제1 방법은 프로그램 코드를 실행하는 프로세서, 예를 들어, 마이크로제어기, 마이크로프로세서, CPU, GPU, 보조 처리 유닛, FPGA 등에 의해 수행될 수 있다.
일 실시예에서, 제1 방법은, 모바일 무선 통신 네트워크의 제1 네트워크 기능으로부터, 사용자 장비("UE")로부터의 인증 요청 메시지를 UAS 서비스 공급자("USS")/UAS 트래픽 관리("UTM")로 전송하는 단계를 포함하고, UE는 무인 항공기("UAV") 및 UAV 제어기("UAV-C") 중 적어도 하나를 포함한다. 제1 방법은, 특정 실시예들에서, 제1 네트워크 기능에서 USS/UTM으로부터, UAS 식별자 및 UAS 보안 컨텍스트를 포함하는 인증 응답 메시지를 수신하는 단계를 포함하고, UAS 보안 컨텍스트는 UAS 루트 키 및 UAS 루트 키 식별자를 포함한다.
일 실시예에서, 인증 응답 메시지는 인증 성공 표시, UAV에 대한 식별자, 명령 및 제어("C2") 보조 정보, 및 허가 토큰 중 적어도 하나를 더 포함한다. 일 실시예에서, 제1 방법은, 제1 네트워크 기능에서, 인증 성공, 수신된 UAV 식별자, UAS 식별자, C2 보조 정보, 허가 토큰, 및 UAS 보안 컨텍스트를 로컬로 저장하는 단계를 포함한다.
일 실시예에서, C2 보조 정보는 UAV-C에 대한 식별자, UAV3 유형 표시자, 및 UAV-C 서빙 네트워크 식별자 중 적어도 하나를 포함한다. 일 실시예에서, 제1 방법은 제1 네트워크 기능으로부터, 수신된 인증 응답 메시지를 모바일 무선 통신 네트워크의 액세스 및 이동성 관리 기능("AMF")에 전송하는 단계를 포함한다.
일 실시예에서, 제1 방법은 모바일 무선 통신 네트워크의 액세스 및 이동성 관리 기능("AMF")으로부터 인증 요청 메시지를 수신하는 단계 - 인증 요청 메시지는 UAV에 대한 식별자를 포함함 -, 제1 네트워크 기능에서 UAV 식별자를 로컬로 저장하는 단계, 및 인증 요청 메시지를 수신하는 것에 응답하여 인증 요청 메시지를 USS/UTM에 전송하는 단계를 포함한다.
UAS 인증 및 보안 확립을 위한 제2 장치가 개시된다. 제2 장치는 네트워크 기능, 예컨대 UFES(155), UCF, 3GPP 네트워크 기능, 및/또는 네트워크 장비 장치(1200)를 포함할 수 있다. 일부 실시예들에서, 제2 장치는 프로그램 코드를 실행하는 프로세서, 예를 들어, 마이크로제어기, 마이크로프로세서, CPU, GPU, 보조 처리 유닛, FPGA 등을 포함한다.
일 실시예에서, 제2 장치는 모바일 무선 통신 네트워크의 네트워크 기능에서, 제1 사용자 장비("UE") 디바이스로부터 명령 및 제어("C2") 페어링 요청을 수신하는 트랜시버를 포함하고, C2 페어링 요청은 제1 UE 디바이스와 제2 UE 디바이스 사이의 보안 통신을 확립하기 위한 적어도 하나의 파라미터를 포함한다.
일 실시예에서, 제2 장치는, 네트워크 기능에서, 네트워크 기능에 로컬로 저장되어 있는 무인 항공 시스템("UAS") 보안 컨텍스트에 기반하여 적어도 하나의 파라미터를 검증하는 프로세서를 포함하고, UAS는 제1 및 제2 UE 디바이스들을 포함한다. 일 실시예에서, 트랜시버는 적어도 하나의 파라미터의 성공적인 검증에 응답하여, C2 페어링 요청을 네트워크 기능으로부터 UAS 서비스 공급자("USS")/UAS 트래픽 관리("UTM")로 전송하고, 네트워크 기능에서, USS/UTM으로부터 C2 페어링 응답을 수신하고, 보안 통신을 확립하기 위해 C2 페어링 응답을 네트워크 기능으로부터 제1 UE 디바이스로 전송한다.
일 실시예에서, 제1 UE 디바이스가 무인 항공기("UAV")를 포함하고, 제2 UE 디바이스가 UAV 제어기("UAV-C")를 포함하고, 제1 UE 디바이스가 UAV-C를 포함하고, 제2 UE 디바이스가 UAV를 포함한다. 일 실시예에서, C2 페어링 요청은 UAV에 대한 식별자, UAV-C에 대한 식별자, UAS에 대한 식별자, UAV에 대한 보안 능력 정보, UAS 허가 토큰, 넌스, UAS 보안 정보 식별자, UAS 루트 키, 및 UAS 세션 키 식별자 중 적어도 하나를 포함한다.
일 실시예에서, 프로세서는 수신된 UAV 식별자, UAS 식별자, 및 UAS 허가 토큰이 제1 네트워크 기능에 로컬로 저장되어 있는 대응하는 UAV 식별자, UAS 식별자, 및 UAS 허가 토큰과 매칭하는 것을 검증하고, 성공적인 매칭에 응답하여, UAV 및/또는 UAV-C가 UAS 통신에 이용가능한지, UAV 및/또는 UAV-C의 위치, 그리고 UAV 및/또는 UAV-C가 인증되는지를 체크하기 위해 네트워크 기능에 로컬로 저장된 C2 페어링 정보를 결정한다.
일 실시예에서, C2 페어링 응답은 성공 표시자, UAS 세션 키, UAS 세션 키 식별자, UAS 보안 정보, 선택된 보안 알고리즘, 및 UAV-C에 대한 어드레스 중 적어도 하나를 포함한다.
UAS 인증 및 보안 확립을 위한 제2 방법이 개시된다. 제2 방법은 네트워크 기능, 예컨대 UFES(155), UCF, UASNF, 3GPP 네트워크 기능, 및/또는 네트워크 장비 장치(1200)에 의해 수행될 수 있다. 일부 실시예들에서, 제2 방법은 프로그램 코드를 실행하는 프로세서, 예를 들어, 마이크로제어기, 마이크로프로세서, CPU, GPU, 보조 처리 유닛, FPGA 등에 의해 수행될 수 있다.
일 실시예에서, 제2 방법은 모바일 무선 통신 네트워크의 네트워크 기능에서, 제1 사용자 장비("UE") 디바이스로부터 명령 및 제어("C2") 페어링 요청을 수신하는 단계를 포함하고, C2 페어링 요청은 제1 UE 디바이스와 제2 UE 디바이스 사이의 보안 통신을 확립하기 위한 적어도 하나의 파라미터를 포함한다.
일 실시예에서, 제2 방법은, 네트워크 기능에서, 네트워크 기능에 로컬로 저장되어 있는 무인 항공 시스템("UAS") 보안 컨텍스트에 기반하여 적어도 하나의 파라미터를 검증하는 단계를 포함하고, UAS는 제1 및 제2 UE 디바이스들을 포함한다. 일 실시예에서, 제2 방법은 적어도 하나의 파라미터의 성공적인 검증에 응답하여, C2 페어링 요청을 네트워크 기능으로부터 UAS 서비스 공급자("USS")/UAS 트래픽 관리("UTM")로 전송하는 단계, 네트워크 기능에서, USS/UTM으로부터 C2 페어링 응답을 수신하는 단계, 및 보안 통신을 확립하기 위해 C2 페어링 응답을 네트워크 기능으로부터 제1 UE 디바이스로 전송하는 단계를 포함한다.
일 실시예에서, 제1 UE 디바이스가 무인 항공기("UAV")를 포함하고, 제2 UE 디바이스가 UAV 제어기("UAV-C")를 포함하고, 제1 UE 디바이스가 UAV-C를 포함하고, 제2 UE 디바이스가 UAV를 포함한다. 일 실시예에서, C2 페어링 요청은 UAV에 대한 식별자, UAV-C에 대한 식별자, UAS에 대한 식별자, UAV에 대한 보안 능력 정보, UAS 허가 토큰, UAS 루트 키, 및 UAS 세션 키 식별자 중 적어도 하나를 포함한다.
일 실시예에서, 제2 방법은 수신된 UAV 식별자, UAS 식별자, 및 UAS 허가 토큰이 제1 네트워크 기능에 로컬로 저장되어 있는 대응하는 UAV 식별자, UAS 식별자, 및 UAS 허가 토큰과 매칭하는 것을 검증하는 단계, 및 성공적인 매칭에 응답하여, UAV 및/또는 UAV-C가 UAS 통신에 이용가능한지, UAV 및/또는 UAV-C의 위치, 그리고 UAV 및/또는 UAV-C가 인증되는지를 체크하기 위해 네트워크 기능에 로컬로 저장된 C2 페어링 정보를 결정하는 단계를 포함한다.
일 실시예에서, C2 페어링 응답은 성공 표시자, UAS 세션 키, UAS 세션 키 식별자, UAS 보안 정보, 선택된 보안 알고리즘, 및 UAV-C에 대한 어드레스 중 적어도 하나를 포함한다.
UAS 인증 및 보안 확립을 위한 제3 장치가 개시된다. 제3 장치는 UE, 예컨대 UAV(106), UAV-C(108), 원격 유닛(105), 및/또는 사용자 장비 장치(1100)를 포함할 수 있다. 일부 실시예들에서, 제3 장치는 프로그램 코드를 실행하는 프로세서, 예를 들어, 마이크로제어기, 마이크로프로세서, CPU, GPU, 보조 처리 유닛, FPGA 등을 포함할 수 있다.
일 실시예에서, 제3 장치는 제1 사용자 장비("UE") 디바이스로부터 모바일 무선 통신 네트워크의 네트워크 기능으로, 제1 UE 디바이스와 제2 UE 디바이스 사이의 보안 통신을 확립하기 위한 명령 및 제어("C2") 페어링 요청을 전송하는 트랜시버를 포함하고, C2 페어링 요청은 제1 UE 디바이스에 대한 식별자, 제2 UE 디바이스에 대한 식별자, 제1 및 제2 UE 디바이스들을 포함하는 무인 항공 시스템("UAS")에 대한 식별자, 제1 UE 디바이스에 대한 보안 능력 정보, UAS 허가 토큰, 넌스, UAS 보안 정보 식별자, UAS 루트 키, 및 UAS 세션 키 식별자 중 적어도 하나를 포함한다.
일 실시예에서, 트랜시버는, 네트워크 기능으로부터, 성공 표시자, UAS 세션 키 식별자, UAS 세션 키, UAS 보안 정보, 선택된 보안 알고리즘, 및 제2 UE 디바이스에 대한 어드레스 중 적어도 하나를 포함하는 C2 페어링 응답을 수신한다.
일 실시예에서, 제3 장치는 로컬로 저장된 UAS 루트 키를 이용하여 제2 UAS 세션 키를 도출하고 제2 UAS 세션 키를 이용하여 제2 UAS 세션 키 식별자를 도출하고, 제2 UAS 세션 키 식별자가 C2 페어링 응답에서 수신된 UAS 세션 키 식별자와 매칭하는 것을 검증하고, UAS 세션 키에 기반하여 제1 UE 디바이스와 제2 UE 디바이스 사이의 통신을 보호하기 위한 적어도 하나의 보안 키를 도출하고, 적어도 하나의 보안 키를 이용하여 제2 UE 디바이스와의 보안 통신을 확립하는 프로세서를 포함한다.
일 실시예에서, 트랜시버는 모바일 무선 통신 네트워크의 제2 네트워크 기능으로부터 인증 응답 메시지를 추가로 수신하고, 인증 응답 메시지는 성공 표시, UAV 식별자, UAS 식별자, UAV-C 식별자, 허가 토큰, 및 UAS 보안 컨텍스트 중 적어도 하나 이상을 포함한다.
일 실시예에서, 성공 표시를 갖는 인증 응답 메시지를 수신하는 것에 응답하여, 프로세서는 UAV 식별자, UAS 식별자, UAV-C 식별자, 허가 토큰, 및 수신된 UAS 보안 컨텍스트를 로컬로 저장하고, UAV, UAS 식별자, 및 UAV 식별자에 대한 장기 자격증명들을 이용하여 UAS 보안 컨텍스트를 생성한다. 일 실시예에서, 프로세서는 UAS 보안 컨텍스트를 이용하여 USS/UTM과의 보안 접속을 확립한다.
UAS 인증 및 보안 확립을 위한 제3 방법이 개시된다. 제3 방법은 UE, 예컨대 UAV(106), UAV-C(108), 원격 유닛(105), 및/또는 사용자 장비 장치(1100)에 의해 수행될 수 있다. 일부 실시예들에서, 제3 방법은 프로그램 코드를 실행하는 프로세서, 예를 들어, 마이크로제어기, 마이크로프로세서, CPU, GPU, 보조 처리 유닛, FPGA 등에 의해 수행될 수 있다.
일 실시예에서, 제3 방법은 제1 사용자 장비("UE") 디바이스로부터 모바일 무선 통신 네트워크의 네트워크 기능으로, 제1 UE 디바이스와 제2 UE 디바이스 사이의 보안 통신을 확립하기 위한 명령 및 제어("C2") 페어링 요청을 전송하는 단계를 포함하고, C2 페어링 요청은 제1 UE 디바이스에 대한 식별자, 제2 UE 디바이스에 대한 식별자, 제1 및 제2 UE 디바이스들을 포함하는 무인 항공 시스템("UAS")에 대한 식별자, 제1 UE 디바이스에 대한 보안 능력 정보, UAS 허가 토큰, UAS 루트 키, 및 UAS 세션 키 식별자 중 적어도 하나를 포함한다.
일 실시예에서, 제3 방법은, 네트워크 기능으로부터, 성공 표시자, UAS 세션 키 식별자, UAS 세션 키, UAS 보안 정보, 선택된 보안 알고리즘, 및 제2 UE 디바이스에 대한 어드레스 중 적어도 하나를 포함하는 C2 페어링 응답을 수신하는 단계를 포함한다.
일 실시예에서, 제3 방법은 로컬로 저장된 UAS 루트 키를 이용하여 제2 UAS 세션 키를 도출하고 제2 UAS 세션 키를 이용하여 제2 UAS 세션 키 식별자를 도출하는 단계, 제2 UAS 세션 키 식별자가 C2 페어링 응답에서 수신된 UAS 세션 키 식별자와 매칭하는 것을 검증하는 단계, UAS 세션 키에 기반하여 제1 UE 디바이스와 제2 UE 디바이스 사이의 통신을 보호하기 위한 적어도 하나의 보안 키를 도출하는 단계, 및 적어도 하나의 보안 키를 이용하여 제2 UE 디바이스와의 보안 통신을 확립하는 단계를 포함한다.
일 실시예에서, 제3 방법은 모바일 무선 통신 네트워크의 제2 네트워크 기능으로부터 인증 응답 메시지를 수신하는 단계를 포함하고, 인증 응답 메시지는 성공 표시, UAV 식별자, UAS 식별자, UAV-C 식별자, 허가 토큰, 및 UAS 보안 컨텍스트 중 적어도 하나 이상을 포함한다.
일 실시예에서, 성공 표시를 갖는 인증 응답 메시지를 수신하는 것에 응답하여, 제3 방법은 UAV 식별자, UAS 식별자, UAV-C 식별자, 허가 토큰, 및 수신된 UAS 보안 컨텍스트를 로컬로 저장하는 단계, 및 UAV, UAS 식별자 및 UAV 식별자에 대한 장기 자격증명들을 이용하여 UAS 보안 컨텍스트를 생성하는 단계를 포함한다. 일 실시예에서, 제3 방법은 UAS 보안 컨텍스트를 이용하여 USS/UTM과의 보안 접속을 확립하는 단계를 포함한다.
실시예들은 다른 특정 형태들로 실시될 수 있다. 설명되는 실시예들은 모든 면들에서 제한적인 것이 아니라 단지 예시적인 것으로만 고려되어야 한다. 따라서, 본 발명의 범위는 전술한 설명에 의해 표시되는 것이 아니라 첨부된 청구항들에 의해 표시된다. 청구항들의 등가의 의미 및 범위 내에 속하는 모든 변경들은 그 범위 내에 포함되어야 한다.

Claims (15)

  1. 장치로서,
    트랜시버를 포함하며, 상기 트랜시버는,
    모바일 무선 통신 네트워크의 제1 네트워크 기능으로부터, 사용자 장비("UE")로부터의 인증 요청 메시지를 UAS 서비스 공급자("USS")/UAS 트래픽 관리("UTM")로 전송하고 - 상기 UE는 무인 항공기("UAV") 및 UAV 제어기("UAV-C") 중 적어도 하나를 포함함 -;
    상기 제1 네트워크 기능에서 상기 USS/UTM으로부터, UAS 식별자 및 UAS 보안 컨텍스트를 포함하는 인증 응답 메시지를 수신하며,
    상기 UAS 보안 컨텍스트는 UAS 루트 키(root key) 및 UAS 루트 키 식별자를 포함하는, 장치.
  2. 제1항에 있어서,
    상기 인증 응답 메시지는 인증 성공 표시, 상기 UAV에 대한 식별자, 명령 및 제어("C2") 보조 정보, 및 허가 토큰 중 적어도 하나를 더 포함하는, 장치.
  3. 제2항에 있어서,
    상기 제1 네트워크 기능에서, 인증 성공, 수신된 UAV 식별자, 상기 UAS 식별자, 상기 C2 보조 정보, 상기 허가 토큰, 및 상기 UAS 보안 컨텍스트를 로컬로 저장하는 프로세서를 더 포함하는, 장치.
  4. 제2항에 있어서,
    상기 C2 보조 정보는 상기 UAV-C에 대한 식별자, UAV3 유형 표시자, 및 UAV-C 서빙 네트워크 식별자 중 적어도 하나를 포함하는, 장치.
  5. 제2항에 있어서,
    상기 트랜시버는 상기 제1 네트워크 기능으로부터, 수신된 인증 응답 메시지를 상기 모바일 무선 통신 네트워크의 액세스 및 이동성 관리 기능("AMF")에 전송하는, 장치.
  6. 제1항에 있어서,
    상기 트랜시버는 상기 모바일 무선 통신 네트워크의 액세스 및 이동성 관리 기능("AMF")으로부터 상기 인증 요청 메시지를 수신하고, 상기 인증 요청 메시지는 상기 UAV에 대한 식별자를 포함하고;
    상기 프로세서는 상기 제1 네트워크 기능에서 UAV 식별자를 로컬로 저장하고;
    상기 트랜시버는 상기 인증 요청 메시지를 수신하는 것에 응답하여 상기 인증 요청 메시지를 상기 USS/UTM에 전송하는, 장치.
  7. 장치로서,
    트랜시버; 및
    프로세서를 포함하며,
    상기 트랜시버는 모바일 무선 통신 네트워크의 네트워크 기능에서, 제1 사용자 장비("UE") 디바이스로부터 명령 및 제어("C2") 페어링 요청을 수신하고, 상기 C2 페어링 요청은 상기 제1 UE 디바이스와 제2 UE 디바이스 사이의 보안 통신을 확립하기 위한 적어도 하나의 파라미터를 포함하고;
    상기 프로세서는 상기 네트워크 기능에서, 상기 네트워크 기능에 로컬로 저장되어 있는 무인 항공 시스템("UAS") 보안 컨텍스트에 기반하여 상기 적어도 하나의 파라미터를 검증하고, 상기 UAS는 상기 제1 및 제2 UE 디바이스들을 포함하고;
    상기 트랜시버는,
    상기 적어도 하나의 파라미터의 성공적인 검증에 응답하여, 상기 C2 페어링 요청을 상기 네트워크 기능으로부터 UAS 서비스 공급자("USS")/UAS 트래픽 관리("UTM")로 전송하고;
    상기 네트워크 기능에서, 상기 USS/UTM으로부터 C2 페어링 응답을 수신하고;
    상기 보안 통신을 확립하기 위해 상기 C2 페어링 응답을 상기 네트워크 기능으로부터 상기 제1 UE 디바이스로 전송하는, 장치.
  8. 제7항에 있어서,
    상기 제1 UE 디바이스가 무인 항공기("UAV")를 포함하고, 상기 제2 UE 디바이스가 UAV 제어기("UAV-C")를 포함하는 것; 및
    상기 제1 UE 디바이스가 UAV-C를 포함하고, 상기 제2 UE 디바이스가 UAV를 포함하는 것 중 적어도 하나인, 장치.
  9. 제8항에 있어서,
    상기 C2 페어링 요청은 상기 UAV에 대한 식별자, 상기 UAV-C에 대한 식별자, 상기 UAS에 대한 식별자, 상기 UAV에 대한 보안 능력 정보, UAS 허가 토큰, 넌스(nonce), UAS 보안 정보 식별자, UAS 루트 키, 및 UAS 세션 키 식별자 중 적어도 하나를 포함하는, 장치.
  10. 제9항에 있어서,
    상기 프로세서는,
    수신된 UAV 식별자, UAS 식별자, 및 UAS 허가 토큰이 제1 네트워크 기능에 로컬로 저장되어 있는 대응하는 UAV 식별자, UAS 식별자, 및 UAS 허가 토큰과 매칭하는 것을 검증하고;
    성공적인 매칭에 응답하여, 상기 UAV 및/또는 상기 UAV-C가 UAS 통신에 이용가능한지, 상기 UAV 및/또는 UAV-C의 위치, 그리고 상기 UAV 및/또는 UAV-C가 인증되는지를 체크하기 위해 상기 네트워크 기능에 로컬로 저장된 C2 페어링 정보를 결정하는, 장치.
  11. 제8항에 있어서,
    상기 C2 페어링 응답은 성공 표시자, UAS 세션 키, UAS 세션 키 식별자, UAS 보안 정보, 선택된 보안 알고리즘, 및 상기 UAV-C에 대한 어드레스 중 적어도 하나를 포함하는, 장치.
  12. 장치로서,
    트랜시버; 및
    프로세서를 포함하며, 상기 트랜시버는,
    제1 사용자 장비("UE") 디바이스로부터 모바일 무선 통신 네트워크의 네트워크 기능으로, 상기 제1 UE 디바이스와 제2 UE 디바이스 사이의 보안 통신을 확립하기 위한 명령 및 제어("C2") 페어링 요청을 전송하고 - 상기 C2 페어링 요청은 상기 제1 UE 디바이스에 대한 식별자, 상기 제2 UE 디바이스에 대한 식별자, 상기 제1 및 제2 UE 디바이스들을 포함하는 무인 항공 시스템("UAS")에 대한 식별자, 상기 제1 UE 디바이스에 대한 보안 능력 정보, UAS 허가 토큰, 넌스, UAS 보안 정보 식별자, UAS 루트 키, 및 UAS 세션 키 식별자 중 적어도 하나를 포함함 -;
    상기 네트워크 기능으로부터, 성공 표시자, UAS 세션 키 식별자, UAS 세션 키, UAS 보안 정보, 선택된 보안 알고리즘, 및 상기 제2 UE 디바이스에 대한 어드레스 중 적어도 하나를 포함하는 C2 페어링 응답을 수신하고;
    상기 프로세서는,
    로컬로 저장된 UAS 루트 키를 이용하여 제2 UAS 세션 키를 도출하고 상기 제2 UAS 세션 키를 이용하여 제2 UAS 세션 키 식별자를 도출하고;
    상기 제2 UAS 세션 키 식별자가 상기 C2 페어링 응답에서 수신된 상기 UAS 세션 키 식별자와 매칭하는 것을 검증하고;
    상기 UAS 세션 키에 기반하여 상기 제1 UE 디바이스와 상기 제2 UE 디바이스 사이의 통신을 보호하기 위한 적어도 하나의 보안 키를 도출하고;
    상기 적어도 하나의 보안 키를 이용하여 상기 제2 UE 디바이스와의 보안 통신을 확립하는, 장치.
  13. 제12항에 있어서,
    상기 트랜시버는 상기 모바일 무선 통신 네트워크의 제2 네트워크 기능으로부터 인증 응답 메시지를 추가로 수신하고, 상기 인증 응답 메시지는 성공 표시, UAV 식별자, UAS 식별자, UAV-C 식별자, 허가 토큰, 및 UAS 보안 컨텍스트 중 적어도 하나 이상을 포함하는, 장치.
  14. 제13항에 있어서,
    상기 성공 표시를 갖는 상기 인증 응답 메시지를 수신하는 것에 응답하여, 상기 프로세서는 상기 UAV 식별자, 상기 UAS 식별자, UAV-C 식별자, 상기 허가 토큰, 및 수신된 UAS 보안 컨텍스트를 로컬로 저장하고, UAV, 상기 UAS 식별자, 및 상기 UAV 식별자에 대한 장기 자격증명들을 이용하여 상기 UAS 보안 컨텍스트를 생성하는, 장치.
  15. 제14항에 있어서,
    상기 프로세서는 상기 UAS 보안 컨텍스트를 이용하여 USS/UTM과의 보안 접속을 확립하는, 장치.
KR1020237004122A 2020-08-06 2021-08-06 Uas 인증 및 보안 확립 KR20230048322A (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US202063062286P 2020-08-06 2020-08-06
US63/062,286 2020-08-06
PCT/IB2021/057274 WO2022029714A1 (en) 2020-08-06 2021-08-06 Uas authentication and security establishment

Publications (1)

Publication Number Publication Date
KR20230048322A true KR20230048322A (ko) 2023-04-11

Family

ID=77398608

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020237004122A KR20230048322A (ko) 2020-08-06 2021-08-06 Uas 인증 및 보안 확립

Country Status (8)

Country Link
US (1) US20230284030A1 (ko)
EP (1) EP4193345A1 (ko)
JP (1) JP2023537729A (ko)
KR (1) KR20230048322A (ko)
CN (1) CN116057600A (ko)
BR (1) BR112023002137A2 (ko)
MX (1) MX2023001381A (ko)
WO (1) WO2022029714A1 (ko)

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180090012A1 (en) * 2015-04-10 2018-03-29 The Board of Regents of the Nevada System of Higher Education on behalf of the University of Methods and systems for unmanned aircraft systems (uas) traffic management
CN110121196B (zh) * 2018-02-05 2021-11-02 大唐移动通信设备有限公司 一种安全标识管理方法及装置

Also Published As

Publication number Publication date
CN116057600A (zh) 2023-05-02
WO2022029714A1 (en) 2022-02-10
MX2023001381A (es) 2023-03-03
JP2023537729A (ja) 2023-09-05
EP4193345A1 (en) 2023-06-14
US20230284030A1 (en) 2023-09-07
BR112023002137A2 (pt) 2023-03-07

Similar Documents

Publication Publication Date Title
US11350278B2 (en) Core network attachment through standalone non-3GPP access networks
US20230231851A1 (en) Authenticating a device not having a subscription in a network
US20230388788A1 (en) Key-based authentication for a mobile edge computing network
US20230171600A1 (en) Distinct user plane security
US20230276509A1 (en) Authorizing and configuring pairing of unmanned aerial system
KR20220164762A (ko) Eap 절차에서의 통보
US20240098494A1 (en) Revocation of uas-related authorization and security information
EP4173335B1 (en) Authentication using slice capability indication
CN118020330A (zh) 使用应用的认证及密钥管理实现漫游
WO2023198297A1 (en) Registering with a mobile network after a first authentication with a wlan access network
CN117296401A (zh) 建立到移动网络的附加注册
US20230284030A1 (en) Uas authentication and security establishment
US20230292114A1 (en) Securing communications between user equipment devices
CN116171598A (zh) 控制平面和用户平面受信任的非3gpp网关功能
US20230319545A1 (en) Dynamic user equipment identifier assignment
US20240187856A1 (en) Registration authentication based on a capability
CN117917042A (zh) 在应用实体与无线通信网络之间建立信任关系
KR20230129443A (ko) 무인 항공기에 대한 허가
WO2024017486A1 (en) Tunnel establishment for non-seamless wlan offloading
WO2021260661A1 (en) Security context for target amf
CN117957814A (zh) 向接入网络连接的方法