KR20230079179A - 무선 네트워크에서 보안 키 동기화를 처리하기 위한 방법, 단말, 및 네트워크 개체 - Google Patents

무선 네트워크에서 보안 키 동기화를 처리하기 위한 방법, 단말, 및 네트워크 개체 Download PDF

Info

Publication number
KR20230079179A
KR20230079179A KR1020237014732A KR20237014732A KR20230079179A KR 20230079179 A KR20230079179 A KR 20230079179A KR 1020237014732 A KR1020237014732 A KR 1020237014732A KR 20237014732 A KR20237014732 A KR 20237014732A KR 20230079179 A KR20230079179 A KR 20230079179A
Authority
KR
South Korea
Prior art keywords
terminal
nas
ausf
authentication
security key
Prior art date
Application number
KR1020237014732A
Other languages
English (en)
Inventor
라자벨사미 라자듀라이
바리니 굽타
랄리스 쿠마르
로히니 라젠드라
니베디아 파람바스 사시
데니스 에선 하쉬미
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Publication of KR20230079179A publication Critical patent/KR20230079179A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0433Key management protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
    • H04W60/04Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration using triggered events
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/18Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

실시예들은 무선 네트워크에서 홈 네트워크(HN) 보안 키(들)의 동기화를 처리하기 위한 방법을 제공한다. 제안된 방법은 네트워크 개체(200A)로부터 NAS(Non-Access Stratum) 인증 요청 메시지를 수신하는 단계를 포함하며, 여기서 단말(100A)은 제1 HN 보안 키를 보유한다. 또한, 이 방법은 수신된 NAS 인증 요청 메시지에 대한 인증 응답 메시지를 결정하고, NAS 인증 요청 메시지에서 수신된 복수의 입력 파라미터들로부터 제2 HN 보안 키를 생성하고, 인증 응답 메시지를 네트워크 개체(200A)로 전송하는 단계를 포함한다. 또한, 이 방법은 네트워크 개체(200A)로부터 NAS 보안 모드 명령 메시지를 수신하면 제2 HN 보안 키를 저장하거나 네트워크 개체(200A)로부터 NAS 거부 메시지를 수신하면 제2 HN 보안 키를 무시하는 단계를 포함한다.

Description

무선 네트워크에서 보안 키 동기화를 처리하기 위한 방법, 단말, 및 네트워크 개체
본 발명은 인증 및 키 관리에 관한 것으로, 보다 상세하게는 무선 네트워크에서 보안 키를 처리하기 위한 방법, 단말(UE: User Equipment) 및 네트워크 개체에 관한 것이다.
4G 통신 시스템의 상용화 이후 증가 추세에 있는 무선 데이터 트래픽 수요를 충족시키기 위해, 개선된 5G 또는 pre-5G 통신 시스템을 개발하기 위한 노력이 이루어지고 있다. 따라서 5G 또는 pre-5G 통신 시스템은 '4G 이후 네트워크(Beyond 4G Network)’ 또는 ‘LTE 이후 시스템(Post LTE System)’으로 불리기도 한다. 높은 데이터 전송률을 달성하기 위해, 5G 통신 시스템은 초고주파(mmWave) 대역(예를 들어, 60 GHz 대역)에서의 구현이 고려되고 있다. 전파의 경로 손실을 줄이고 전파의 전달 거리를 증가시키기 위해, 5G 통신 시스템에서는 빔포밍(beamforming), 거대 배열 다중 입출력(massive MIMO(multiple-input multiple-output)), 전차원 다중 입출력(FD(full dimension)-MIMO), 어레이 안테나(array antenna), 아날로그 빔포밍(analog beamforming), 및 대규모 안테나(large scale antenna) 기술들이 논의되고 있다. 또한, 시스템의 네트워크 개선을 위해, 5G 통신 시스템에서는 진화된 소형 셀(advanced small cells), 클라우드 무선 액세스 네트워크(cloud RAN(Radio Access Network)), 초고밀도 네트워크(ultra-dense network), 기기간 통신(D2D(device-to-device) communication), 무선 백홀(wireless backhaul), 이동 네트워크(moving network), 협력 통신(cooperative communication), CoMP(coordinated multi-points), 수신 간섭 제거(reception-end interference cancellation) 등의 기술 개발이 이루어지고 있다. 이 밖에도, 5G 시스템에서는 진보된 코딩 변조(ACM: advanced coding modulation) 방식인 FQAM(hybrid FSK and QAM modulation) 및 SWSC(sliding window superposition coding)과, 진보된 접속 기술인 FBMC(filter bank multi carrier), NOMA(non-orthogonal multiple access), 및 SCMA(sparse code multiple access) 등이 개발되고 있다.
한편, 인터넷은 인간이 정보를 생성하고 소비하는 인간 중심의 연결 망에서 사물과 같은 분산된 개체들이 인간의 개입 없이 정보를 교환하고 처리하는 사물 인터넷(IoT: Internet of Things)으로 진화하고 있다. 클라우드 서버와의 연결을 통한 빅 데이터(big data) 처리 기술과 IoT 기술이 결합된 만물 인터넷(IoE: Internet of Everything) 기술도 대두되고 있다. IoT를 구현하기 위해서, 센싱 기술, 유무선 통신 및 네트워크 인프라, 서비스 인터페이스 기술, 및 보안 기술과 같은 기술 요소들이 요구되어, 최근에는 사물간의 연결을 위한 센서 네트워크(sensor network), 사물 통신(M2M: Machine-to-Machine), MTC(Machine Type Communication) 등의 기술이 연구되고 있다. IoT 환경에서는 연결된 사물들에서 생성된 데이터를 수집하고 분석하여 인간의 삶에 새로운 가치를 창출하는 지능형 인터넷 기술 서비스가 제공될 수 있다. IoT는 기존의 정보 기술(IT: Information Technology)과 다양한 산업간의 융복합을 통해 스마트 홈, 스마트 빌딩, 스마트 시티, 스마트 카 혹은 커넥티드 카, 스마트 그리드, 헬스 케어, 스마트 가전, 첨단 의료 서비스 등의 다양한 분야에 응용될 수 있다.
이에 따라, 5G 통신 시스템을 IoT 망에 적용하기 위한 다양한 시도들이 이루어지고 있다. 예를 들어, 센서 네트워크, 사물 통신(M2M), MTC 등의 기술이 5G 통신 기술인 빔포밍, MIMO, 및 어레이 안테나 등의 기법에 의해 구현되고 있다. 앞서 설명한 빅 데이터 처리 기술로서 클라우드 무선 액세스 네트워크(cloud RAN)가 적용되는 것도 5G 기술과 IoT 기술 간의 융합의 일 예라 할 수 있을 것이다.
일반적으로, 사용자(가입자) 및 네트워크 기능의 인증은 안전하고 신뢰할 수 있는 무선 네트워크의 중요한 요소이다. 적절한 인증 메커니즘이 없으면, 악의적인 사용자가 중요한 사용자 데이터에 접근하고 이를 사칭하여 불법 활동에 가담할 수 있다. 따라서 사용자의 단말과 무선 네트워크 간의 상호 인증을 위해서는 1차 인증 및 키 동의 절차(primary authentication and key agreement procedure)가 필요하다. 1차 인증 및 키 동의 절차는 후속 보안 절차에서 단말과 무선 네트워크 간에 사용될 수 있고 기존 기술 규격(TS: Technical Specification) 33.501 및 TS 24.501에 정의되어 있는 키 자료(예를 들어, KAUSF, KSEAF, KAMF 등)를 제공한다. 기존의 TS 33.501 및 TS 24.501은 두 가지 1차 인증 기술들을 명시한다. 예를 들어, 확장 가능한 인증 프로토콜(EAP: Extensible Authentication Protocol) 기반의 1차 인증 및 키 동의 절차와 5G 인증 및 키 동의(AKA: Authentication and Key Agreement) 기반의 1차 인증 및 키 동의 절차이다. 그러나 기존의 TS 33.501 및 TS 24.501은 단말과 무선 네트워크 간 키 자료(keying material)의 동기화를 명시하지 않으며, 5G AKA 기반의 1차 인증 및 키 동의 절차가 수행될 때, 상세한 예시적인 시나리오들은 도 4 내지 도 6에 설명되어 있다.
본 발명은 무선 네트워크에서 보안 키/키 자료를 처리하기 위한 유용한 대안을 제공한다.
본 발명에 따른 실시예들의 주요 목적은 3GPP(3rd Generation Partnership Project) 및/또는 비-3GPP 네트워크들에 등록 시, 단말과 무선 네트워크 간의 최신 보안 키(예를 들어, KAUSF-2)를 처리하기 위한 인증 및 키 관리를 제공하는 것이다. 또한, 이 방법은 신구 인증 서버 기능(new/old AUSF(Authentication Server Function))을 통해 재-인증 후 최신 보안 키를 처리하는 단계를 포함한다. 또한, 이 방법은 여러 서빙 네트워크들(SNs: Serving Networks)을 통한 등록 시에 최신 보안 키를 처리하는 단계를 포함한다. 단말과 무선 네트워크 간의 최신 보안 키 처리는 단말과 무선 네트워크 간의 향상된 동기화를 제공한다. 그 결과, 단말의 서비스 중단, 특히 홈 네트워크 키(KAUSF)를 사용하는 절차들 및 서비스들의 중단이 방지된다.
본 발명에 따른 실시예들의 다른 목적은 이전의 보안 키(KAUSF-1)를 최신 보안 키(KAUSF-2)로 덮어쓰는 것과 이전의 보안 키를 최신 보안 키로 덮어쓰지 않는 것 중 하나를 수행함으로써 무선 네트워크로부터의 메시지(예를 들어, NAS SMC, 인증 거부 등) 수신에 기초하여 최신 보안 키를 처리하는 것이다.
따라서, 본 발명의 실시예들은 무선 네트워크에서 5G 인증 및 키 동의(AKA: Authentication and Key Agreement) 기반의 1차 인증 및 키 동의 절차를 이용하여 단말을 재-인증할 때 홈 네트워크(HN: Home Network) 보안 키(들)의 동기화를 처리하는 방법을 개시한다. 또한, 이 방법은 상기 단말이 네트워크 개체(예를 들어, AMF, SEAF 등)로부터 NAS(Non-access stratum) 인증 요청 메시지를 수신하는 단계를 포함하며, 여기서 상기 단말은 제1 HN 보안 키(예들 들어, KAUSF-1)를 보유한다. 또한, 이 방법은 상기 단말이 상기 NAS 인증 요청 메시지에 대한 인증 응답 메시지를 결정하고 상기 NAS 인증 요청 메시지에서 수신된 복수의 입력 파라미터들(예를 들어, 무결성 키들(IK, CK))로부터 제2 HN 보안 키(예들 들어, KAUSF-2)를 생성하는 단계를 포함한다. 또한, 이 방법은 상기 단말이 상기 인증 응답 메시지를 상기 네트워크 개체로 전송하는 단계를 포함한다. 또한, 이 방법은 상기 단말이 상기 네트워크 개체로부터 NAS 보안 모드 명령 메시지를 수신하면 상기 제2 HN 보안 키를 저장하는 것 또는 상기 네트워크 개체로부터 NAS 거부 메시지를 수신하면 상기 제2 HN 보안 키를 무시하는 것 중 하나를 수행하는 단계를 포함한다.
일 실시예에서, 상기 단말은 상기 제2 HN 보안 키를 보유하고 상기 NAS 보안 모드 명령 메시지를 수신한 후에만 상기 제2 HN 보안 키를 저장한다. 상기 제2 HN 보안 키는 상기 제1 HN 보안 키를 덮어쓴다.
일 실시예에서, 상기 네트워크 개체는 상기 단말을 재-인증하기 위해 상기 NAS 인증 요청 메시지를 상기 단말로 전송한다.
일 실시예에서, 상기 제1 HN 보안 키 및 상기 제2 HN 보안 키는 상기 1차 (재)인증 절차로부터 상기 단말과 상기 HN 사이에 수립되는 키 KAUSF이다.
일 실시예에서, 상기 NAS 거부 메시지는 서비스 거부 메시지, 등록 거부 메시지, 및 인증 거부 메시지 중 적어도 하나를 포함한다.
일 실시예에서, 상기 방법은 상기 네트워크 개체가 상기 단말로부터 NAS 인증 응답 메시지를 수신할 때 상기 네트워크 개체가 서빙 네트워크 관점에서 상기 단말의 신빙성 혹은 진위(authenticity)를 결정하는 단계를 더 포함한다. 또한, 상기 방법은 상기 네트워크 개체가 인증 서버 기능(AUSF: Authentication Server Function) 개체로부터 Nausf_UEAuthentication_Authenticate 응답을 수신할 때 상기 네트워크 개체가 홈 네트워크 관점에서 상기 단말의 진위를 결정하는 단계를 포함한다. 또한, 상기 방법은 상기 네트워크 개체가 서빙 네트워크 관점 및 홈 네트워크 관점 모두에서 상기 단말의 진위가 성공적으로 검증되었다고 결정하면, 상기 네트워크 개체가 NAS 보안 모드 명령(SMC: NAS Security Mode Command) 메시지를 상기 단말로 전송하는 단계를 포함한다.
일 실시예에서, 상기 방법은 보안 모드 제어 절차를 통해 새로운 부분 네이티브 5G NAS 보안 컨텍스트가 생성되고/되거나 상기 새로 생성된 부분 네이티브 5G NAS 보안 컨텍스트가 사용되는 경우를 결정하는 단계를 포함한다. 또한, 상기 방법은 상기 단말이 다음 중 하나를 수행하는 단계를 포함한다: 상기 보안 모드 제어 절차를 통해 상기 새로운 부분 네이티브 5G NAS 보안 컨텍스트가 생성되고/되거나 상기 새로 생성된 부분 네이티브 5G NAS 보안 컨텍스트가 사용되는 것으로 결정되면, 상기 제1 HN 보안 키를 상기 제2 HN 보안 키로 덮어쓰는 단계, 또는 상기 보안 모드 제어 절차를 통해 상기 새로운 부분 네이티브 5G NAS 보안 컨텍스트가 생성되지 않고/않거나 상기 새로 생성된 부분 네이티브 5G NAS 보안 컨텍스트가 사용되지 않는 것으로 결정되면 상기 제1 HN 보안 키를 상기 제2 HN 보안 키로 덮어쓰지 않는 단계.
일 실시예에서, 상기 방법은 상기 단말이 긴급 등록으로 설정된 5GS 등록 타입 IE로 등록 절차를 시작하는 단계를 포함한다. 또한, 상기 방법은 상기 단말이 NAS 보안 모드 절차가 NIA0 및 NEA0의 사용을 시그널링하는지 여부를 결정하는 단계를 포함한다. 또한, 상기 방법은 상기 단말이 상기 NAS SMC 절차가 NIA0 및 NEA0의 사용을 시그널링한다는 결정에 응답하여 상기 제2 HN 보안 키를 무시하는 단계를 포함한다.
따라서, 본 발명의 실시예들은 무선 네트워크에서 5G AKA 기반의 1차 인증 및 키 동의 절차를 이용하여 단말을 재-인증할 때 HN 보안 키(들)의 동기화를 처리하는 단말을 개시한다. 상기 단말은 메모리 및 프로세서 연결되는 보안 키 컨트롤러를 포함한다. 상기 보안 키 컨트롤러는 네트워크 개체로부터 NAS 인증 요청 메시지를 수신하도록 구성되고, 여기서 상기 단말은 제1 HN 보안 키를 보유한다. 또한, 상기 보안 키 컨트롤러는 상기 NAS 인증 요청 메시지에 대한 인증 응답 메시지를 결정하고 상기 NAS 인증 요청 메시지에서 수신된 복수의 입력 파라미터들로부터 제2 HN 보안 키를 생성하도록 구성된다. 또한, 상기 보안 키 컨트롤러는 상기 인증 응답 메시지를 상기 네트워크 개체로 전송하도록 구성된다. 또한, 상기 보안 키 컨트롤러는 상기 네트워크 개체로부터 NAS 보안 모드 명령 메시지를 수신하면 상기 제2 HN 보안 키를 저장하는 것, 또는 상기 네트워크 개체로부터 NAS 거부 메시지를 수신하면 상기 제2 HN 보안 키를 무시하는 것 중 하나를 수행하도록 구성된다.
따라서, 본 발명의 실시예들은 무선 네트워크에서 5G AKA 기반의 1차 인증 및 키 동의 절차를 이용하여 단말을 재-인증할 때 HN 보안 키(들)의 동기화를 처리하는 네트워크 개체를 개시한다. 상기 네트워크 개체는 메모리 및 프로세서와 연결되는 보안 키 컨트롤러를 포함한다. 상기 보안 키 컨트롤러는 상기 네트워크 개체가 단말로부터 NAS 인증 응답 메시지를 수신할 때 서빙 네트워크 관점에서 상기 단말의 진위를 결정하도록 구성된다. 또한, 상기 보안 키 컨트롤러는 상기 네트워크 개체가 인증 서버 기능(AUSF: Authentication Server Function) 개체로부터 Nausf_UEAuthentication_Authenticate 응답을 수신할 때 홈 네트워크 관점에서 상기 단말의 진위를 결정하도록 구성된다. 또한, 상기 보안 키 컨트롤러는 상기 네트워크 개체가 서빙 네트워크 관점 및 홈 네트워크 관점 모두에서 상기 단말의 상기 진위가 성공적으로 검증되었다고 결정하면, NAS 보안 모드 명령(SMC: NAS Security Mode Command) 메시지를 상기 단말로 전송하도록 구성된다.
본 발명의 실시예들의 상기 및 그 밖의 측면들은 다음의 상세한 설명 및 첨부된 도면과 함께 고려될 때 더 잘 인식되고 이해될 것이다. 그러나, 이하의 설명은 바람직한 실시예들 및 많은 구체적인 세부사항들을 나타내지만, 예시로서 제공될 뿐이며 한정을 위한 것이 아니다. 본 발명의 실시예들의 범위 내에서 많은 변경들과 변형들이 이루어질 수 있으며, 본 발명의 실시예들은 이러한 모든 변경들과 변형들을 포함한다.
본 발명의 실시예들은 무선 네트워크에서 보안 키/키 자료를 처리하기 위한 유용한 대안들을 제공한다.
본 발명은 첨부된 도면에 도시되며, 동일한 참조 번호는 다양한 도면들에서 대응하는 부분을 나타낸다. 본 발명의 실시예들은 도면을 참조한 다음의 설명으로부터 더 잘 이해될 것이다.
도 1은 종래 기술에 따른, TS 33.501에 기술된 바와 같은 인증 절차를 시작하고 인증 방법을 선택하기 위한 다양한 동작들을 도시하는 순서도이다.
도 2는 종래 기술에 따른, 5G AKA(TS 33.501) 인증 절차를 위한 다양한 동작들을 도시하는 순서도이다.
도 3은 종래 기술에 따른, TS 33.501에 기술된 바와 같은 5G 시스템에서의 키 계층 생성을 도시한다.
도 4a는 종래 기술에 따른, 무선 네트워크에서 성공적인 인증 시 보안 키(들)(예를 들어, KAUSF)를 처리하기 위한 시나리오를 예시하는 순서도이다.
도 4b는 종래 기술에 따른, 무선 네트워크에서 성공적인 인증 시 보안 키(들)(예를 들어, KAUSF)를 처리하기 위한 시나리오를 예시하는 순서도이다.
도 4c는 종래 기술에 따른, 무선 네트워크에서 성공적인 인증 시 보안 키(들)(예를 들어, KAUSF)를 처리하기 위한 시나리오를 예시하는 순서도이다.
도 5a는 종래 기술에 따른, 무선 네트워크에서 성공적이지 못한 인증 시 보안 키(들)를 처리하기 위한 문제 시나리오를 도시하는 순서도이다.
도 5b는 종래 기술에 따른, 무선 네트워크에서 성공적이지 못한 인증 시 보안 키(들)를 처리하기 위한 문제 시나리오를 도시하는 순서도이다.
도 5c는 종래 기술에 따른, 무선 네트워크에서 성공적이지 못한 인증 시 보안 키(들)를 처리하기 위한 문제 시나리오를 도시하는 순서도이다.
도 6은 종래 기술에 따른, 상이한 액세스 네트워크들에 대한 다수의 등록들 시 보안 키(들)를 처리하기 위한 다른 문제 시나리오를 도시하는 순서도이다.
도 7a는 본 발명의 실시예들에 따른, 무선 네트워크에서 보안 키(들)를 처리하기 위한 제안된 방법을 도시하는 순서도이다.
도 7b는 본 발명의 실시예들에 따른, 무선 네트워크에서 보안 키(들)를 처리하기 위한 제안된 방법을 도시하는 순서도이다.
도 7c는 본 발명의 실시예들에 따른, 무선 네트워크에서 보안 키(들)를 처리하기 위한 제안된 방법을 도시하는 순서도이다.
도 7d는 본 발명의 실시예들에 따른, 무선 네트워크에서 보안 키(들)를 처리하기 위한 제안된 방법을 도시하는 순서도이다.
도 8은 본 발명의 실시예들에 따른, 무선 네트워크로부터의 메시지(들) 수신 및 타이머에 기초하여 보안 키(들)를 처리하기 위한 시나리오를 도시하는 신호 흐름도이다.
도 9는 본 발명의 조합된 실시예들에 따른 신호 흐름도를 도시한다.
도 10은 본 발명의 실시예들에 따른, 무선 네트워크에서 보안 키(들)를 처리하기 위한 단말의 블록도를 도시한다.
도 11은 본 발명의 실시예들에 따른, 무선 네트워크에서 보안 키(들)를 처리하기 위한 네트워크 개체의 블록도를 도시한다.
본 발명의 실시예들 및 그의 다양한 특징들과 세부사항들은 첨부된 도면에 도시되고 아래에서 상세히 설명되는 비-제한적인 실시예들을 참조하여 충분히 설명된다. 이때 실시예들을 불필요하게 모호하게 하지 않도록 하기 위해 잘 알려진 구성요소들과 프로세싱 기술들에 대한 설명은 생략된다. 또한, 여기에 설명된 다양한 실시예들은 일부 실시예들이 하나 이상의 다른 실시예들과 결합하여 새로운 실시예들을 형성할 수 있기 때문에 반드시 상호 배타적인 것은 아니다. 본 명세서에서 사용된 용어 "또는"은 달리 나타내지 않는 한 비-배타적인 "또는"을 의미한다. 여기에 사용된 예들은 단지 실시예들이 실행될 수 있는 방식을 쉽게 이해할 수 있도록 하고 통상의 기술자가 실시예들을 실행할 수 있도록 하기 위한 것일 뿐이다. 따라서, 그러한 예들은 본 발명의 실시예들의 범위를 한정하는 것으로 해석되어서는 안 된다.
해당 분야에서 전통적인 것처럼, 실시예들은 설명된 기능 또는 기능들을 수행하는 블록의 관점에서 설명되고 도시될 수 있다. 본 명세서에서 매니저, 부(unit), 모듈, 하드웨어 구성요소 등으로 지칭될 수 있는 이들 블록은 논리 게이트, 집적 회로, 마이크로프로세서, 마이크로컨트롤러, 메모리 회로, 수동 전자 부품, 능동 전자 부품, 광학 부품, 유선 회로 등과 같은 아날로그 및/또는 디지털 회로에 의해 물리적으로 구현되며, 선택적으로 펌웨어 및 소프트웨어에 의해 구동될 수 있다. 회로는 예를 들어 하나 이상의 반도체 칩 내에 또는 인쇄 회로 기판 등과 같은 기판 상에 구현될 수 있다. 블록을 구성하는 회로는 전용 하드웨어에 의해, 또는 프로세서(예: 하나 이상의 프로그래밍된 마이크로프로세서 및 관련 회로)에 의해, 또는 블록의 일부 기능을 수행하는 전용 하드웨어와 블록의 다른 기능을 수행하는 프로세서의 조합에 의해 구현될 수 있다. 실시예의 각 블록은 본 발명의 범위를 벗어나지 않고 2개 이상의 상호 작용하는 별개의 블록들로 물리적으로 분리될 수 있다. 마찬가지로, 실시예의 블록은 본 발명의 범위를 벗어나지 않고 더 복잡한 블록으로 물리적으로 결합될 수 있다.
첨부된 도면은 다양한 기술적 특징들을 쉽게 이해할 수 있도록 사용된 것으로서 본 명세서에 제시된 실시예들은 첨부된 도면에 의해 한정되지 않는다. 이와 같이, 본 발명은 첨부된 도면에 특별히 기재된 것 이외에도 모든 변경들, 균등물들, 및 대체물들을 포함하는 것으로 해석되어야 한다. 본 명세서에서 제1, 제2 등의 용어들이 다양한 구성요소들을 설명하기 위해 사용될 수 있지만, 이러한 구성요소들이 이러한 용어들에 의해 한정되지 않는다. 이러한 용어들은 일반적으로 하나의 구성요소를 다른 구성요소와 구별하기 위해 사용될 뿐이다.
"AMF" 및 "SEAF"라는 용어는 문서 전체에서 상호교환적으로 사용되며, 이는 AMF 및/또는 SEAF를 의미하며 메시지는 AMF 및/또는 SEAF 기능에서 온 것이다. 본 명세서 전반에 걸쳐, "KAUSF#2" 및 "KAUSF-2"라는 용어들은 상호교환적으로 사용되며 동일한 의미를 갖는다. KAUSF#1" 및 "KAUSF-1"이라는 용어들은 상호 교환적으로 사용되며 동일한 의미를 갖는다. 본 명세서 전반에 걸쳐, "AMF 개체" 및 "AMF"라는 용어들은 상호교환적으로 사용되며 동일한 의미를 갖는다. 본 명세서 전반에 걸쳐, "AUSF 개체" 및 "AUSF"라는 용어들은 상호교환적으로 사용되며 동일한 의미를 갖는다. 본 명세서 전반에 걸쳐, "UDM 개체" 및 "UDM"이라는 용어는 상호교환적으로 사용되며 동일한 의미를 갖는다.
도 1은 종래 기술에 따른, TS 33.501에 기술된 바와 같은 인증 절차를 시작하고 인증 방법을 선택하기 위한 다양한 동작들을 도시하는 순서도이다.
5G 네트워크 기반의 3GPP 표준에 따르면, 홈 네트워크(UDM: Unified Data Management)(40)는 서빙 네트워크(예를 들어, SEAF: Security Anchor Function)(20)가 사용자의 신원 및 가입 정보에 액세스하기 전에 그리고 사용자가 서빙 네트워크(20)에 의해 제공되는 서비스에 액세스할 수 있을 때, 단말(10)의 사용자가 서빙 네트워크에서 인증되도록 보장할 책임이 있다.
101 단계에서, 단말(10)은 SEAF(20)로 NAS(Non-access stratum) 메시지(예를 들어, N1 메시지)를 전송하고, 이때 NAS 메시지는 SUCI(Subscription Concealed Identifier) 또는 5G-GUTI(Globally Unique Temporary ID)를 포함한다. 102 단계에서, SEAF(20)는 AUSF(Authentication Server Function)(30) 인스턴스를 발견 및 선택하고 Nausf_UEAuthentication_Authenticate 요청을 전송하여 AUSF(30)에게 인증 절차를 시작하도록 요청한다. 이 요청은 SEAF(20)가 유효한 5G-GUTI를 갖고 단말(10)을 재인증하는 경우 SUCI 또는 SUPI(Subscription Permanent Identifier) 및 서빙 네트워크 이름을 포함한다.
103 단계에서, AUSF(30)는 UDM(40)으로부터 사용자 인증에 필요한 정보를 다운로드하고 UDM(40)로 Nudm_UEAuthentication_Get 요청을 전송하여 3GPP TS 33.501 및 TS 24.501에 정의된 바와 같은 인증 절차를 수행한다. 이 요청은 SUCI 또는 SUPI 및 서빙 네트워크 이름을 포함한다. 104 단계에서, UDM(40)(또는 ARPF(Authentication Credential Repository and Processing Function) 또는 SIDF(Subscription Identifier De-concealing function))은 SUPI를 기반으로 인증 방법(예를 들어, 5G AKA, EAP)을 선택한다.
도 2는 종래 기술에 따른, 5G AKA(TS 33.501) 인증 절차를 위한 다양한 동작들을 도시하는 순서도이다.
201 단계에서, UDM(40)은 각각의 인증 획득 요청(Nudm_Authenticate_Get Request)에 대하여 5G-HEAV(Fifth-Generation Home Environment Authentication Vector)를 생성한다. UDM(40)은 인증 관리 필드(AMF: Authentication Management Field) 분리 비트가 "1"로 설정된 인증 벡터(AV: Authentication Vector)를 생성한다. 그런 다음 UDM(40)은 KAUSF를 도출하고 예상 결과(XRES*)를 산출한다. UDM(40)은 난수(RAND: Random number), 인증 키(AUTN: Authentication Key), XRES*, KAUSF로부터 5G-HEAV를 생성한다.
202 단계에서, UDM(40)은 Nudm_UEAuthentication_Get 응답에서 5G-HEAV가 5G-AKA에 사용될 것이라는 지시(indication)와 함께 5G-HEAV를 AUSF(30)로 전송한다. SUCI가 Nudm_UEAuthentication_Get 응답에 포함되었던 경우, UDM(40)은 Nudm_UEAuthentication_Get 응답에 SUPI를 포함시킨다. 단말(10)이 AKMA 가입을 가지고 있으면, UDM(40)은 Nudm_UEAuthentication_Get 응답에 AKMA 지시를 포함시킨다.
203 단계에서, AUSF(30)는 수신된 SUCI 또는 SUPI와 함께 XRES*를 임시로 저장한다. 204 단계에서, AUSF(30)는 XRES*로부터 HXRES*를 결정하고 KAUSF로부터 KSEAF를 결정함으로써 UDM(40)으로부터 수신된 5G-HEAV로부터 5G-AV를 생성하고 5G-HEAV에서 XRES*를 HXRES*로 대체하고 KAUSF를 KSEAF로 대체한다. 205 단계에서, AUSF(30)는 KSEAF를 제거하고 Nausf_UEAuthentication_Authenticate 응답에서 5G-SEAV(즉, RAND, AUTN, HXRES*)를 SEAF(20)로 전송한다.
206 단계에서, SEAF(20)(또는 AMF)는 NAS 인증 요청 메시지에서 RAND, AUTN을 단말(10)로 전송한다. NAS 인증 요청 메시지는 단말(10)과 AMF(20)가 KAMF를 식별하기 위해 사용하는 ngKSI(Key Set Identifier)와 인증 성공 시 생성되는 부분 네이티브 보안 컨텍스트(partial native security context)를 포함한다. 단말(10)은 NAS 인증 요청 메시지에서 수신된 RAND 및 AUTN을 단말(10)의 USIM(UMTS Subscriber Identity Module)으로 전달한다.
207 단계에서, 단말(10)의 USIM은 AMF(20)로부터 RAND와 AUTN을 수신하면 AUTN이 수락될 수 있는지 확인하여 5G-AV의 신선도(freshness)를 확인한다. AUTN이 수락되면, 단말(10)의 USIM은 응답(RES)을 산출한다. 그리고 단말(10)의 USIM은 RES, 복수의 무결성 키들(IK, CK)을 단말(10)에게 반환한다. 그러면 단말(10)은 RES로부터 RES*을 결정한다. 단말(10)은 CK||IK로부터 새로운 KAUSF(예를 들어, KAUSF#2)를 산출한다. 그리고 단말(10)은 KAUSF로부터 KSEAF를 산출한다. 5G에 액세스하는 단말(10)은 AUTN의 AMF 필드의 "분리 비트"가 1로 설정되어 있는지 인증 시 확인한다. "분리 비트"는 AUTN의 AMF 필드의 비트 0이다. 단말(10)은 새로운 KAUSF(예를 들어, KAUSF#2)의 산출 시에 KAUSF(예를 들어, 이전의 키: KAUSF#1)를 덮어쓰는데, 이는 기존 방법(TS 33.501)의 큰 단점 중 하나로, 기존 방법은 다른 네트워크 개체들(예를 들어, AMF(20), AUSF(30))를 고려하지 않고 이전의 키를 업데이트/수정/덮어쓴다.
208 단계에서, 단말(10)은 NAS 인증 응답 메시지에서 RES*를 SEAF(20)로 전송한다. 209 단계에서, SEAF(20)는 RES*로부터 해시 응답(HRES*: Hash RESponse)을 결정한다. 그리고 SEAF(20)는 HRES*를 HXRES*(Hash eXpected RESponse)과 비교한다. HRES*와 HXRES*가 일치하면, SEAF(20)는 서빙 네트워크의 관점에서 인증이 성공한 것으로 간주한다. 단말(10)에 도달하지 않거나 RES*가 SEAF(20)에 의해 수신되지 않으면, SEAF(20)는 인증이 실패한 것으로 간주하고 AUSF(30)에 실패를 알린다.
210 단계에서, SEAF(20)는 Nausf_UEAuthentication_Authenticate 요청 메시지를 통해 단말(10)로부터 수신된 RES*를 AUSF(30)로 전송한다. 단계 211에서, AUSF(30)는 SEAF(20)로부터 Nausf_UEAuthentication_Authenticate 요청 메시지를 수신하면 Av의 만료 여부를 판단한다. AV가 만료되면, AUSF(30)는 홈 네트워크의 관점에서 인증이 실패한 것으로 간주한다. AV가 만료되지 않은 경우, AUSF(30)는 KAUSF를 저장한다. AUSF(30)는 수신된 RES*를 저장된 XRES*와 비교한다. RES*와 XRES*가 같으면, AUSF(30)는 홈 네트워크의 관점에서 인증이 성공한 것으로 간주한다. 단계 212에서, AUSF(30)는 홈 네트워크의 관점에서 인증의 성공 여부를 Nausf_UEAuthentication_Authenticate 응답을 통해 SEAF(20)로 알린다. 인증 성공 시, KSEAF는 Nausf_UEAuthentication_Authenticate 응답에서 SEAF(20)로 전송된다.
따라서, 특히 5G AKA 기반의 1차 인증 및 키 동의 절차에서는 네트워크(20/30/40)로부터 단말(10)로 1차 인증이 성공적으로 완료되었는지 여부를 (명시적 또는 묵시적으로) 나타내는 지시가 없다. 새로 도출된 키 KAUSF를 최신 키로 사용하여 단말(10)과 홈 네트워크 사이에 동기를 맞추는데 문제가 있다. 1차 인증 상태에 대한 네트워크(20/30/40)의 지시가 없기 때문에, 단말(10)은 새로 도출된 키 KAUSF를 최신 키로 간주하여 네트워크(20/30/40)와 동기화되지 않을 수 있으며, 자세한 내용은 도 4 및 도 5에 설명되어 있다.
도 3은 종래 기술에 따른, TS 33.501에 기술된 바와 같은 5G 시스템에서의 키 계층 생성을 도시한다.
EAP-AKA'가 인증 방법으로 사용되는 경우, AUSF는 6.1.3.1절에 명시된 바와 같이 EAP-AKA'에 대한 CK' 및 IK'로부터 키 KAUSF를 도출해야 한다. 5G AKA가 인증 방법으로 사용되는 경우, UDM/ARPF는 6.1.3.2절에 명시된 바와 같이 KAUSF를 생성해야 한다.
KAUSF는 두 개의 후속 인증 및 키 동의 절차들 사이에서 AUSF에 저장될 수 있다. AUSF가 KAUSF를 저장할 때, AUSF는 최신 1차 인증의 성공적 완료 이후 생성된 최신 KAUSF를 저장해야 한다. 인증은 성공한 것으로 간주되며 AUSF는 최신 KAUSF를 저장하거나 이전의 KAUSF를 최신 KAUSF로 교체해야 한다(만약 AMF(들)이 단말의 (재)인증을 위해 동일한 AUSF 인스턴스를 선택하는 경우):
5G AKA가 인증 방법으로 사용되는 경우, RES*와 XRES*가 동일할 때(6.1.3.2.0절, 11단계 참조).
EAP-AKA'가 인증 방법으로 사용되는 경우, AUSF가 EAP-Success 메시지를 SEAF로 전송할 때(6.1.3.1절, 10단계 참조).
AUSF는 인증 및 키 동의 절차 동안 ARPF로부터 수신된 인증 키 자료로부터 앵커 키(KSEAF로도 불림)를 생성해야 한다.
인증이 성공하면, UDM(40)은 단말(10)을 인증한 AUSF 인스턴스 ID를 저장하고, 선택된 AUSF 인스턴스 저장 키(KAUSF)는 인증 절차의 일부로 생성된다. 이는 UDM(40)이 단말(10)로 향후 보호 메시지(예를 들어, SoR(Steering-of-Roaming) 정보 또는 그 밖의 단말 설정 파라미터들)를 보내는 데 도움이 된다. 또한, 단말(10)은 메시지의 무결성을 검증할 수 있고 및/또는 서빙 네트워크를 통해 홈 네트워크가 전송한 메시지를 해독할 수 있는 KAUSF를 생성하고 저장한다.
단말(10)이 비-3GPP 액세스를 통해 다른 서빙 네트워크에 동시에 등록함으로 인해 또는 그 밖의 요인들로 인해 홈 네트워크가 초기 인증 후 단말(10)을 다시 인증해야 하는 경우, AMF(20)는 새로운 AUSF 인스턴스를 선택할 수 있으며, 성공적인 인증 절차의 결과로 새로운 AUSF 인스턴스뿐만 아니라 단말(10)에 새로운 KAUSF가 생성될 수 있다. 이러한 시나리오에서, 네트워크(20/30/40)/단말(10)은 후속 통신 보호를 위해 최신 KAUSF만 사용할 것으로 예상된다. KAUSF는 1차 인증 절차로부터 단말(10)과 홈 네트워크 사이에 수립된 추가 키이다. KAUSF는 예를 들어 SoR 또는 단말 파라미터 업데이트 절차에 대한 제어 평면 솔루션이 HPLMN(Home Public Land Mobile Network)에 의해 지원되는 경우 그러한 키를 사용하는 홈 운영자의 정책에 기초하여 AUSF(30)에 안전하게 저장될 수 있다.
단말(10)은 가장 최근의 1차 인증이 성공적으로 완료된 후 최신 KAUSF를 저장한다. USIM이 5G 파라미터 저장을 지원하는 경우, KAUSF는 USIM에 저장된다. 그렇지 않으면, KAUSF는 ME/단말(10)의 비휘발성 메모리에 저장된다. KAUSF는 두 개의 후속 인증 및 키 동의 절차들 사이에서 AUSF(30)에 저장될 수 있다. AUSF(30)가 KAUSF를 저장할 때, AUSF(30)는 가장 최근의 1차 인증이 성공적으로 완료된 후 생성된 최신 KAUSF를 저장한다.
다수 등록들에서 KAUSF 처리: 단말(10)이 서로 다른 PLMN의 서빙 네트워크들 또는 동일한 PLMN의 서빙 네트워크들에 다중 등록될 수 있는 두 가지 경우들이 있다.
첫 번째 경우는 단말(10)이 특정 유형의 액세스(예: 3GPP)를 통해 하나의 PLMN 서빙 네트워크에 등록되고 다른 유형의 액세스(예: 비-3GPP)를 통해 다른 PLMN 서빙 네트워크에 등록되는 경우이다.
두 번째 경우는 단말(10)이 3GPP 액세스 및 비-3GPP 액세스 모두를 통해 동일한 PLMN 서빙 네트워크에서 동일한 AMF(20)에 등록되는 경우이다.
단말(10)는 두 가지 경우들 모두(즉, a 및 b)에서 네트워크와 두 개의 NAS 연결들을 수립한다. 그러나, KAUSF는 단말(10)과 HPLMN 간의 보안 연결이므로 AUSF(30)와 단말(10)에는 단지 하나의 KAUSF(최신의 것)만 유지된다. 홈 PLMN의 AUSF(30)는 단말(10)의 사용자가 서로 다른 액세스 유형들(3gpp 및 비-3gpp)을 통해 두 개의 서빙 네트워크들에 동시에 등록될 때 두 개의 KAUSF를 유지하지 않는다. KAUSF 도출이 서빙 네트워크 ID를 입력으로 사용하더라도(SN ID는 이전 Rel-15 UICC와의 하위 호환성을 위해 포함됨), 저장된 KAUSF는 서빙 네트워크에 종속되지 않는다. 또한, KAUSF로부터 도출된 키들은 서빙 네트워크에 고유한 것들이지만, KAUSF는 서빙 네트워크에 고유한 것이 아니며 단말(10)과 홈 네트워크 사이에 연관된 키이다.
5G 보안 컨텍스트의 경우, 5G 보안 컨텍스트는 단말(10)과 서빙 네트워크 사이에 있으며 KAUSF는 5G 보안 컨텍스트의 일부가 아니다. 단말(10)은 PLMN의 서빙 네트워크당 하나씩 두 개의 서로 다른 5G 보안 컨텍스트들(예를 들어, 5G NAS 보안 컨텍스트 및 5G AS 보안 컨텍스트(들))을 독립적으로 유지하고 사용하지만, 단말(10)과 HPLMN은 가장 최근에 성공한 인증을 기반으로 단지 하나의 KAUSF만 유지한다. 단말(10)과 HPLMN에서 다수의 KAUSF를 유지할 필요는 없다. 또한, 이전의 키들을 네트워크에 보관하는 것은 좋은 보안 관행이 아니다.
UDM(40)은 다수의 등록들에서 두 서빙 네트워크들 모두에 대한 인증 이벤트를 저장한다. 다수의 등록들을 가지는 단말(10)이 새로운 서빙 네트워크로부터 등록을 해제하는 경우 SoR 및 UPU 실패를 방지하기 위해 UDM(40)은 가장 최근에 성공한 인증 결과를 보고하는 AUSF(30)를 선택한다.
AUSF(30)와 단말(10)은 단말 등록 해제 후 최신 KAUSF를 저장한다.
UDM(40)은 새로운 서빙 네트워크에 대한 인증 결과를 삭제할 때 인증 이벤트들에 AUSF 정보를 유지한다.
두 개의 서로 다른 AUSF들이 두 개의 서빙 PLMN들에 의해 선택되면, UDM(40)은 단말(10)에 서빙한 가장 최근의 AUSF를 선택하고 SoR 보호 또는 UPU 보호 서비스들을 위해 최신 KAUSF를 유지한다. UDM(40)은 SoR 보호 또는 UPU 보호 서비스들이 제공될 서빙 네트워크에 관계없이 최신 AUSF를 선택한다. 동일한 AUSF(30)가 두 개의 서빙 PLMN들에 의해 선택되면, AUSF(30)는 성공적인 인증 절차에 따른 최신 KAUSF만 저장하고 저장된 이전의 KAUSF는 삭제한다. 단말(10)은 성공적인 인증 절차에 따른 최신 KAUSF만 저장하고 저장된 이전의 KAUSF는 삭제한다. 자세한 내용은 도 4 및 도 5에서 설명된다.
도 4a 내지 도 4c는 종래 기술에 따른, 무선 네트워크에서 성공적인 인증 시 보안 키(들)(예를 들어, KAUSF)를 처리하기 위한 시나리오를 예시하는 순서도들이다.
400-400a 단계들에서, 이 예시적인 메시지 순서의 전제조건은 KAUSF(즉, KAUSF#1)가 1차 (재)인증 절차로부터 단말(10)과 홈 네트워크(AUSF(30) 및 UDM(40)) 사이에 수립되는 것이다. 단말(10)은 핸드오버로 인해 EPS(Evolved Packet System)로부터 5GS(5G System)로 이동 중이므로, 핸드오버 절차의 일부로서 AMF(20)는 UDM(40)에게 단말 컨텍스트 관리 등록을 요청한다.
400b 단계에서, AMF/SEAF(20)는 UDM/ARPF(40)로 Nudm_UEContextManagement_Registration 요청 메시지를 전송한다. 400c 단계에서, UDM(40)은 UDM(40)이 (재)인증의 필요성을 결정한 경우 404 금지 오류(재-인증 절차 필요)와 함께 Nudm_UEContextManagement_Registration 응답 메시지 지시를 전송한다. 400d 단계에서, AMF(20)는 재-인증 절차를 시작하기 위해 Nausf_UEAuthentication_Authenticate 요청 메시지를 전송한다. AMF(20)는 SEAF가 유효한 5G-GUTI를 가지고 단말(10)을 재-인증하는 경우 SUPI와 서빙 네트워크 이름을 Nausf_UEAuthentication_Authenticate 요청 메시지에 포함시킨다. 400e 단계에서, AUSF(30)는 UDM(40)으로 Nudm_UEAuthentication_Get 요청을 전송한다. Nudm_UEAuthentication_Get 요청은 SUCI 또는 SUPI 및 서빙 네트워크 이름을 포함한다. AMF(20)는 주기적인 인증 절차들을 수행하거나 (매핑된 보안 컨텍스트로부터 네이티브 보안 컨텍스트로) 키 계층을 새로고침/재키잉(refresh/rekeying)하기 위해 400d 단계로부터 예시적인 순서를 시작할 수 있다. SUPI를 기반으로, UDM(40)은 인증 방식을 선택한다.
401 단계에서, UDM(40)은 각각의 인증 획득 요청(Nudm_Authenticate_Get Request)에 대하여 5G-HEAV를 생성한다. UDM(40)은 AMF 분리 비트가 "1"로 설정된 AV를 생성한다. 그런 다음 UDM(40)은 KAUSF를 도출하고 XRES*를 산출한다. 그리고 UDM(40)은 RAND, AUTN, XRES*, 및 KAUSF로부터 5G-HEAV를 생성한다.
402 단계에서, UDM(40)은 Nudm_UEAuthentication_Get 응답에서 5G-HEAV가 5G-AKA에 사용될 것이라는 지시(indication)와 함께 5G-HEAV를 AUSF(30)로 전송한다. SUCI가 Nudm_UEAuthentication_Get 응답에 포함되었던 경우, UDM(40)은 Nudm_UEAuthentication_Get 응답에 SUPI를 포함시킨다. 단말(10)이 AKMA 가입을 가지고 있으면, UDM(40)은 Nudm_UEAuthentication_Get 응답에 AKMA 지시를 포함시킨다.
403 단계에서, AUSF(30)는 수신된 SUCI 또는 SUPI와 함께 XRES*를 임시로 저장한다. 404 단계에서, AUSF(30)는 XRES*로부터 HXRES*를 결정하고 KAUSF로부터 KSEAF를 결정함으로써 UDM(40)으로부터 수신된 5G-HEAV로부터 5G-AV를 생성하고 5G-HEAV에서 XRES*를 HXRES*로 대체하고 KAUSF를 KSEAF로 대체한다. 405 단계에서, AUSF(30)는 KSEAF를 제거하고 Nausf_UEAuthentication_Authenticate 응답에서 5G-SEAV(즉, RAND, AUTN, HXRES*)를 SEAF(20)로 전송한다.
406 단계에서, SEAF(20)(또는 AMF)는 NAS 인증 요청 메시지에서 RAND, AUTN을 단말(10)로 전송한다. NAS 인증 요청 메시지는 단말(10)과 AMF(20)가 KAMF를 식별하기 위해 사용하는 ngKSI와 인증 성공 시 생성되는 부분 네이티브 보안 컨텍스트(partial native security context)를 포함한다. 단말(10)은 NAS 인증 요청 메시지에서 수신된 RAND 및 AUTN을 단말(10)의 USIM으로 전달한다.
407a 단계에서, 단말(10)의 USIM은 AMF(20)로부터 RAND와 AUTN을 수신하면 AUTN이 수락될 수 있는지 확인하여 5G-AV의 신선도(freshness)를 확인한다. AUTN이 수락되면, 단말(10)의 USIM은 응답(RES)을 산출한다. 그리고 단말(10)의 USIM은 RES, 복수의 무결성 키들(IK, CK)을 단말(10)에게 반환한다. 그러면 단말(10)은 RES에서 RES*을 결정한다. 단말(10)은 CK||IK로부터 새로운 KAUSF(예를 들어, KAUSF#2)를 산출한다. 그리고 단말(10)은 KAUSF로부터 KSEAF를 산출한다. 5G에 액세스하는 단말(10)은 AUTN의 AMF 필드의 "분리 비트"가 1로 설정되어 있는지 인증 시 확인한다. "분리 비트"는 AUTN의 AMF 필드의 비트 0이다. 407b 단계에서, 단말(10)은 새로운 KAUSF(예를 들어, KAUSF#2)의 산출 시에 KAUSF(예를 들어, 이전의 키: KAUSF#1)를 덮어쓰는데, 이는 기존 방법(TS 33.501)의 큰 단점 중 하나로, 기존 방법은 다른 네트워크 개체들(예를 들어, AMF(20), AUSF(30))를 고려하지 않고 이전의 키를 업데이트/수정/덮어쓴다.
408 단계에서, 단말(10)은 NAS 인증 응답 메시지에 RES*를 SEAF(20)로 전송한다. 409 단계에서, SEAF(20)는 RES*로부터 HRES*를 결정한다. 그리고 SEAF(20)는 HRES*를 HXRES*와 비교한다. HRES*와 HXRES*가 일치하면, SEAF(20)는 서빙 네트워크의 관점에서 인증이 성공한 것으로 간주한다. 단말(10)에 도달하지 않거나 RES*가 SEAF(20)에 의해 수신되지 않으면, SEAF(20)는 인증이 실패한 것으로 간주하고 AUSF(30)에 실패를 알린다.
410 단계에서, SEAF(20)는 Nausf_UEAuthentication_Authenticate 요청 메시지를 통해 단말(10)로부터 수신된 RES*를 AUSF(30)로 전송한다. 411 단계에서, AUSF(30)는 SEAF(20)로부터 Nausf_UEAuthentication_Authenticate 요청 메시지를 수신하면 Av의 만료 여부를 판단한다. AV가 만료되면, AUSF(30)는 홈 네트워크의 관점에서 인증이 실패한 것으로 간주한다. AV가 만료되지 않은 경우, AUSF(30)는 KAUSF를 저장한다. AUSF(30)는 수신된 RES*를 저장된 XRES*와 비교한다. RES*와 XRES*가 같으면, AUSF(30)는 홈 네트워크의 관점에서 인증이 성공한 것으로 간주한다. 단계 412에서, AUSF(30)는 홈 네트워크의 관점에서 인증의 성공 여부를 Nausf_UEAuthentication_Authenticate 응답을 통해 SEAF(20)로 알린다. 인증 성공 시, KSEAF는 Nausf_UEAuthentication_Authenticate 응답에서 SEAF(20)로 전송된다.
413 단계에서, AUSF(30)는 인증 성공 시 이전의 KAUSF#1을 덮어쓰는 새로운 KAUSF(KAUSF#2)를 저장한다. 414 단계에서, AUSF(30)는 단말(10)과의 인증 절차 결과 및 시간을 알려주기 위해 Nudm_UEAuthentication_ResultConfirmation 요청을 UDM(40)로 전송한다. Nudm_UEAuthentication_ResultConfirmation 요청은 SUPI, 인증의 타임스탬프, 인증 유형(예: EAP 방법 또는 5G-AKA), 및 서빙 네트워크 이름을 포함한다.
415 단계에서, UDM(40)은 단말(10)의 인증 상태(예: SUPI, 인증 결과, 타임스탬프, 서빙 네트워크 이름)를 저장한다. 416 단계에서, UDM(40)은 최신 키 KAUSF#2(아마도 타임스탬프 사용)를 소유하고 있는 AUSF의 세부사항을 포함하는 인증 상태 수신 시 단말의 인증 이벤트 세부사항을 고려하거나 기록한다. 417 단계에서, UDM(40)은 Nudm_UEAuthentication_ResultConfirmation 응답을 AUSF(30)로 전송한다.
418 단계에서, UDM(40)은 415 단계에서 저장된 인증 상태를 기반으로 후속 절차 승인을 진행한다. 419-420 단계들에서, 단말(10)의 서빙 AMF(20)(또는 SEAF)는 Nudm_UEContextManagement_Registration 요청 메시지를 전송하여 UDM(40)에 자신을 등록한다. UDM(40)은 204 콘텐츠 없음 상태(등록 성공을 의미)를 나타내는 Nudm_UEContextManagement_Registration 응답 메시지로 응답한다.
421 단계에서, UDM(40)은 Nudm_SDM_Notification 메시지를 전송함으로써 KAUSF#2를 이용하여 보호된 UPU-MAC-IAUSF(AUSF(30)에 의해) 및 "가입 데이터 유형" 입력 추가 UDM-관련 파라미터들에 의해 지시된 가입 데이터의 업데이트를 SMF(20)에 통지한다. 422 단계에서, AMF(20)는 Nudm_SDM_Notification 메시지를 수신하면 서빙된 단말(10)로 DL NAS 전송 메시지를 전송한다. AMF(20)는 UDM(40)으로부터 수신된 투명 컨테이너를 DL NAS 전송 메시지에 포함시킨다. 423 단계에서, 단말(10)은 KAUSF#2를 이용하여 UPU-MAC-IAUSF를 산출하고 DL NAS 전송 메시지에서 수신된 UPU-MAC-IAUSF 값과 일치하는지 확인한다. 성공 시, 단말(10)은 추가 절차를 진행한다.
따라서 단말(10)과 홈 네트워크(예를 들어, UDM(40))가 최신 KAUSF의 사용과 어떻게 동기화되는지 명확하지 않다. 또한, 기존 절차는 인증 절차가 언제 성공으로 간주될 것인지 명확하게 나타내지 않으므로 새로 생성된 KAUSF를 최신의 것으로 간주한다. 단말(10)이 인증을 성공이 아닌 것으로 간주하는 가능한 시나리오들이 있으므로, 예를 들어 NAS SMC 확인이 단말(10)에서 실패하지만 홈 네트워크 측에서는 인증이 성공으로 간주될 때 새로 생성된 KAUSF를 최신 KAUSF로 업데이트한다. 다른 가능한 시나리오는 AUTN이 성공적으로 검증되면 단말(10)이 인증을 성공으로 간주하는 것이다. 반면에 네트워크(20/30/40)에서는 네트워크(20/30/40)가 인증 실패로 간주되어 홈 네트워크를 지시하지 않으므로 KAUSF가 업데이트되지 않는다.
단말(10)이 네트워크(20/30/40)로부터 연결 해제되고 AMF(20)가 단말(10)을 퍼지하기로 결정한 경우, AMF(20)는 UDM(40)으로 퍼지 지시(purge indication)를 전송한다. 이는 UDM(40)이 데이터베이스에서 해당 정보를 삭제하여 해당 AUSF(30)와의 연관을 삭제하도록 할 것이다. 또한, AMF(20)는 단말의 보안 정보(KAUSF 포함)를 삭제하도록 AUSF(30) 인스턴스로 지시를 전송할 수 있으므로, 사용되지 않는(더 이상 사용되지 않는) 키들을 데이터베이스에 불필요하게 유지하지 않는다.
도 5a 내지 도 5c는 종래 기술에 따른, 무선 네트워크에서 성공적이지 못한 인증 시 보안 키(들)를 처리하기 위한 문제 시나리오를 도시하는 순서도들이다.
500 내지 510 단계들은 도 4에서 설명된 400 내지 410 단계들과 동일하다. 511 단계에서, AUSF(30)는 AV가 만료되는지 여부를 결정한다. AV가 만료된 경우, AUSF(30)는 홈 네트워크의 관점에서 인증이 실패한 것으로 간주할 수 있다. AV가 만료되지 않은 경우, AUSF(30)는 홈 네트워크의 관점에서 인증이 성공한 것으로 간주할 수 있다. AUSF(30)는 KAUSF(즉, 단말(10)에서 새로 생성된 KAUSF#2과 동일)를 저장한다. AUSF(30)는 수신된 RES*를 저장된 XRES*와 비교한다. RES*와 XRES*가 같지 않으면, AUSF(30)는 인증을 실패로 간주한다.
512 단계에서, AUSF(30)는 Nausf_UEAuthentication_Authenticate 응답을 SEAF(20)로 전송하며, Nausf_UEAuthentication_Authenticate 응답은 홈 네트워크의 관점에서 인증이 실패한 것임을 나타낸다. 513 단계에서, AMF(20)는 단말(10)로 인증 거부 메시지를 전송할 수도 있고 전송하지 않을 수도 있다. AMF(20)가 인증 거부 메시지를 단말(10)로 전송하지 않는 경우 AMF(20)는 추후의 재-인증 과정을 보류한다(이러한 조건에 대한 시나리오들 중 하나는 "긴급 등록"이고 다른 시나리오는 AMF(20)가 인증 거부 메시지를 단말(10)로 성공적으로 전달할 수 없었던 경우일 수 있다).
514 내지 516 단계들에서, SEAF는 Nudm_UEContextManagement_Registration 요청에서 컨텍스트 관리 등록 요청을 재전송하고 UDM(40)은 204 콘텐츠 없음 상태를 나타내는 Nudm_UEContextManagement_Registration 응답 메시지로 응답한다. UDM(40)은 특히 단말(10)에 대한 재-인증을 수행하지 않을 수 있다. 517 단계에서, UDM(40)은 Nudm_SDM_Notification 메시지를 전송한다. 여기에는 업데이트된 UDM 데이터, 또는 UPU MAC(KAUSF#1을 사용하여 보호됨)과 함께 SoR 정보가 포함된다. 518 단계에서, AMF(20)는 Nudm_SDM_Notification 메시지를 수신하면 서빙된 단말(10)로 DL NAS 전송 메시지를 전송한다. AMF(20)는 UDM(40)으로부터 수신된 투명 컨테이너를 DL NAS 전송 메시지에 포함시킨다. 519 단계에서, 단말(10)은 KAUSF#1을 KAUSF#2로 덮어쓰고(결과적으로 KAUSF#2를 이용하는 UPU-MAC-IAUSF) DL NAS 전송 메시지에서 수신된 UPU-MAC-IAUSF 값과 일치하지 않는지 확인한다.
도 6은 종래 기술에 따른, 상이한 액세스 네트워크들에 대한 다수의 등록들 시 보안 키(들)를 처리하기 위한 다른 문제 시나리오를 도시하는 순서도이다.
601 단계에서, 단말(10)과 코어 네트워크(70)는 최초 액세스를 위한 5G AKA 기반 인증 절차를 수행한다. 602a 및 602b 단계들에서, 단말과 코어 네트워크는 성공적인 인증 후에 KAUSF-1을 저장한다. 603 단계에서, 단말(10)과 AMF(20)(도 6에 도시되지 않음)는 NAS SMC 절차를 수행하고, 이를 기반으로 NAS 키들이 생성된다. NAS SMC는 단말(10)과 AMF(20) 사이에 NAS 보안 컨텍스트를 수립하도록 사용된다. 이 절차는 TS 33.501의 6.7.2절에 지시된 바와 같이 AMF(20)와 단말(10) 간의 메시지 송수신으로 구성된다. AMF(20)는 단말(10)로 NAS 보안 모드 명령 메시지를 전송하고 단말(10)은 NAS 보안 모드 완료 메시지로 응답한다. 604 및 605 단계들에서, 네트워크 측에서, SoR은 KAUSF-1을 이용하여 보호되고 SoR 정보와 함께 등록 수락을 단말(10)로 제공한다.
606 단계에서, 단말(10)은 KAUSF-1을 이용하여 SoR을 검증하고, 검증 절차는 성공적으로 완료된다. 607 단계에서, 단말(10)은 그의 자격을 이용하여 새로운 PLMN에 액세스하려고 시도하고 첫 번째 PLMN에 대하여 601 단계에서 수행된 바와 같이 코어 네트워크와 인증 절차를 수행한다. 608a 단계에서, 단말(10)은 성공적인 AUTN 검증 결과를 기반으로 최신 KAUSF, 즉 KAUSF-2를 저장한다. 608b 단계에서, 단말(10)은 AUTN이 성공적으로 검증되면 인증이 성공한 것으로 간주한다. 반면에 코어 네트워크(70)에서는 네트워크가 인증 실패로 간주되어 홈 네트워크를 지시하지 않으므로 KAUSF가 업데이트되지 않는다.
609 단계에서, 코어 네트워크(70)는 코어 네트워크(70)에 KAUSF 업데이트가 없으므로 인증 거부 메시지를 단말(10)로 전송한다. 610 및 611 단계들에서, 코어 네트워크(70)(예: UDM)는 업데이트된 키를 가지고 있지 않다. 따라서, UDM(40)은 이전의 KAUSF, 즉 KAUSF-1로 UPU MAC을 보호한다. UDM(40)은 추가 검증을 위해 보호된 MAC을 단말(10)로 전송한다. 612 단계에서, 단말(10)은 업데이트된 KAUSF-2로 수신된 UPU MAC을 검증한다. 이로 인해 저장 및 수신된 키들이 일치하지 않아 인증 실패 시나리오가 발생한다. 따라서, 단말과 네트워크가 어떻게 최신 보안 키(KAUSF)를 처리할 지 명시하는 제안 방법을 구현하는 것이 바람직하다.
따라서, 본 발명의 실시예들은 무선 네트워크에서 5G 인증 및 키 동의(AKA: Authentication and Key Agreement) 기반의 1차 인증 및 키 동의 절차를 이용하여 단말을 재-인증할 때 홈 네트워크(HN: Home Network) 보안 키(들)의 동기화를 처리하는 방법을 개시한다. 또한, 이 방법은 상기 단말이 네트워크 개체(예를 들어, AMF, SEAF 등)로부터 NAS(Non-access stratum) 인증 요청 메시지를 수신하는 단계를 포함하며, 여기서 상기 단말은 제1 HN 보안 키(예들 들어, KAUSF-1)를 보유한다. 또한, 이 방법은 상기 단말이 상기 NAS 인증 요청 메시지에 대한 인증 응답 메시지를 결정하고 상기 NAS 인증 요청 메시지에서 수신된 복수의 입력 파라미터들(예를 들어, 무결성 키들(IK, CK))로부터 제2 HN 보안 키(예들 들어, KAUSF-2)를 생성하는 단계를 포함한다. 또한, 이 방법은 상기 단말이 상기 인증 응답 메시지를 상기 네트워크 개체로 전송하는 단계를 포함한다. 또한, 이 방법은 상기 단말이 상기 네트워크 개체로부터 NAS 보안 모드 명령 메시지를 수신하면 상기 제2 HN 보안 키를 저장하는 것 또는 상기 네트워크 개체로부터 NAS 거부 메시지를 수신하면 상기 제2 HN 보안 키를 무시하는 것 중 하나를 수행하는 단계를 포함한다.
따라서, 본 발명의 실시예들은 무선 네트워크에서 5G AKA 기반의 1차 인증 및 키 동의 절차를 이용하여 단말을 재-인증할 때 HN 보안 키(들)의 동기화를 처리하는 단말을 개시한다. 상기 단말은 메모리 및 프로세서 연결되는 보안 키 컨트롤러를 포함한다. 상기 보안 키 컨트롤러는 네트워크 개체로부터 NAS 인증 요청 메시지를 수신하도록 구성되고, 여기서 상기 단말은 제1 HN 보안 키를 보유한다. 또한, 상기 보안 키 컨트롤러는 상기 NAS 인증 요청 메시지에 대한 인증 응답 메시지를 결정하고 상기 NAS 인증 요청 메시지에서 수신된 복수의 입력 파라미터들로부터 제2 HN 보안 키를 생성하도록 구성된다. 또한, 상기 보안 키 컨트롤러는 상기 인증 응답 메시지를 상기 네트워크 개체로 전송하도록 구성된다. 또한, 상기 보안 키 컨트롤러는 상기 네트워크 개체로부터 NAS 보안 모드 명령 메시지를 수신하면 상기 제2 HN 보안 키를 저장하는 것, 또는 상기 네트워크 개체로부터 NAS 거부 메시지를 수신하면 상기 제2 HN 보안 키를 무시하는 것 중 하나를 수행하도록 구성된다.
따라서, 본 발명의 실시예들은 무선 네트워크에서 5G AKA 기반의 1차 인증 및 키 동의 절차를 이용하여 단말을 재-인증할 때 HN 보안 키(들)의 동기화를 처리하는 네트워크 개체를 개시한다. 상기 네트워크 개체는 메모리 및 프로세서와 연결되는 보안 키 컨트롤러를 포함한다. 상기 보안 키 컨트롤러는 상기 네트워크 개체가 단말로부터 NAS 인증 응답 메시지를 수신할 때 서빙 네트워크 관점에서 상기 단말의 진위를 결정하도록 구성된다. 또한, 상기 보안 키 컨트롤러는 상기 네트워크 개체가 인증 서버 기능(AUSF: Authentication Server Function) 개체로부터 Nausf_UEAuthentication_Authenticate 응답을 수신할 때 홈 네트워크 관점에서 상기 단말의 진위를 결정하도록 구성된다. 또한, 상기 보안 키 컨트롤러는 상기 네트워크 개체가 서빙 네트워크 관점 및 홈 네트워크 관점 모두에서 상기 단말의 상기 진위가 성공적으로 검증되었다고 결정하면, NAS 보안 모드 명령(SMC: NAS Security Mode Command) 메시지를 상기 단말로 전송하도록 구성된다.
기존의 방법들 및 시스템들과 달리, 제안하는 방법은 단말과 네트워크 개체들(예를 들어, AMF/UDM/AUSF)이 3GPP 및 비-3GPP 네트워크들에 대한 동시 등록 및/또는 새로운 AUSF를 통한 재-인증 후 최신 보안 키 처리 및/또는 여러 SN들을 통한 등록 중 최신 보안 키 처리 시, 단말과 무선 네트워크 간에, 최신 보안 키(예들 들어, KAUSF-2)를 처리하기 위한 인증 및 키 관리를 제공할 수 있도록 한다. 단말과 무선 네트워크 간의 최신 보안 키 처리는 단말과 무선 네트워크 간의 동기화를 향상시킨다. 그 결과, 단말과 무선 네트워크는 시그널링을 줄이고 네트워크 자원을 보존한다.
기존의 방법들 및 시스템들과 달리, 제안하는 방법은 단말과 네트워크 개체들이 이전의 보안 키(예를 들어, KAUSF-1)를 최신 보안 키로 덮어쓰는 것과 이전의 보안 키를 최신 보안 키로 덮어쓰지 않는 것 중 하나를 수행함으로써 무선 네트워크로부터의 메시지(예를 들어, NAS SMC, 등록 수락 메시지, 등록 거부 메시지 등) 수신에 기초하여 최신 보안 키(예들 들어, KAUSF-2)를 처리할 수 있도록 한다.
이하 도면, 특히 도 7a 내지 도 11을 참조한다. 유사한 참조 부호는 도면 전체에 걸쳐 일관되게 대응하는 특징을 나타내며, 바람직한 실시예들이 도시되어 있다.
도 7a 내지 도 7d는 본 발명의 실시예들에 따른, 무선 네트워크에서 보안 키(들)를 처리하기 위한 제안된 방법을 도시하는 순서도들이다.
700-700a 단계들에서, 이 예시적인 메시지 순서의 전제조건은 KAUSF(즉, KAUSF#1)가 1차 (재)인증 절차로부터 단말(100A)과 홈 네트워크(AUSF(300A) 및 UDM(400A)) 사이에 수립되는 것이다. 단말(100A)은 핸드오버로 인해 EPS로부터 5GS로 이동 중이므로, 핸드오버 절차의 일부로서 AMF(200A)는 UDM(400A)에게 단말 컨텍스트 관리 등록을 요청한다.
700b 단계에서, AMF/SEAF(200A)는 UDM/ARPF(400A)로 Nudm_UEContextManagement_Registration 요청 메시지를 전송한다. 700c 단계에서, UDM(400A)은 UDM(400A)이 (재)인증의 필요성을 결정한 경우 404 금지 오류(재-인증 절차 필요)와 함께 Nudm_UEContextManagement_Registration 응답 메시지 지시를 전송한다. 700d 단계에서, AMF(200A)는 재-인증 절차를 시작하기 위해 Nausf_UEAuthentication_Authenticate 요청 메시지를 전송한다. AMF(200A)는 SEAF가 유효한 5G-GUTI를 가지고 단말(100A)을 재-인증하는 경우 SUPI와 서빙 네트워크 이름을 Nausf_UEAuthentication_Authenticate 요청 메시지에 포함시킨다. 700e 단계에서, AUSF(300A)는 UDM(400A)으로 Nudm_UEAuthentication_Get 요청을 전송한다. Nudm_UEAuthentication_Get 요청은 SUCI 또는 SUPI 및 서빙 네트워크 이름을 포함한다. AMF(200A)는 주기적인 인증 절차들을 수행하거나 (매핑된 보안 컨텍스트로부터 네이티브 보안 컨텍스트로) 키 계층을 새로고침/재키잉(refresh/rekeying)하기 위해 700d 단계로부터 예시적인 순서를 시작할 수 있다. SUPI를 기반으로, UDM(400A)은 인증 방식을 선택한다.
701 단계에서, UDM(400A)은 각각의 인증 획득 요청(Nudm_Authenticate_Get Request)에 대하여 5G-HEAV를 생성한다. UDM(400A)은 AMF 분리 비트가 "1"로 설정된 AV를 생성한다. 그런 다음 UDM(400A)은 KAUSF를 도출하고 XRES*를 산출한다. 그리고 UDM(400A)은 RAND, AUTN, XRES*, 및 KAUSF로부터 5G-HEAV를 생성한다.
702 단계에서, UDM(400A)은 Nudm_UEAuthentication_Get 응답에서 5G-HEAV가 5G-AKA에 사용될 것이라는 지시(indication)와 함께 5G-HEAV를 AUSF(300A)로 전송한다. SUCI가 Nudm_UEAuthentication_Get 응답에 포함되었던 경우, UDM(400A)은 Nudm_UEAuthentication_Get 응답에 SUPI를 포함시킨다. 단말(100A)이 AKMA 가입을 가지고 있으면, UDM(400A)은 Nudm_UEAuthentication_Get 응답에 AKMA 지시를 포함시킨다.
703 단계에서, AUSF(300A)는 수신된 SUCI 또는 SUPI와 함께 XRES*를 임시로 저장한다. 704 단계에서, AUSF(300A)는 XRES*로부터 HXRES*를 결정하고 KAUSF로부터 KSEAF를 결정함으로써 UDM(400A)으로부터 수신된 5G-HEAV로부터 5G-AV를 생성하고 5G-HEAV에서 XRES*를 HXRES*로 대체하고 KAUSF를 KSEAF로 대체한다. 705 단계에서, AUSF(300A)는 KSEAF를 제거하고 Nausf_UEAuthentication_Authenticate 응답에서 5G-SEAV(즉, RAND, AUTN, HXRES*)를 SEAF(200A)로 전송한다.
706 단계에서, SEAF(200A)(또는 AMF)는 NAS 인증 요청 메시지에서 RAND, AUTN을 단말(100A)로 전송한다. NAS 인증 요청 메시지는 단말(100A)과 AMF(200A)가 KAMF를 식별하기 위해 사용하는 ngKSI와 인증 성공 시 생성되는 부분 네이티브 보안 컨텍스트(partial native security context)를 포함한다. 단말(100A)은 NAS 인증 요청 메시지에서 수신된 RAND 및 AUTN을 단말(100A)의 USIM으로 전달한다.
707 단계에서, 단말(100A)의 USIM은 AMF(200A)로부터 RAND와 AUTN을 수신하면 AUTN이 수락될 수 있는지 확인하여 5G-AV의 신선도(freshness)를 확인한다. AUTN이 수락되면, 단말(100A)의 USIM은 RES를 산출한다. 그리고 단말(100A)의 USIM은 RES, 복수의 무결성 키들(IK, CK)을 단말(100A)에게 반환한다. 그러면 단말(100A)은 RES에서 RES*을 결정한다. 단말(100A)은 CK||IK로부터 새로운 KAUSF(예를 들어, KAUSF#2)를 산출한다. 그리고 단말(100A)은 KAUSF로부터 KSEAF를 산출한다. 5G에 액세스하는 단말(100A)은 AUTN의 AMF 필드의 "분리 비트"가 1로 설정되어 있는지 인증 시 확인한다. "분리 비트"는 AUTN의 AMF 필드의 비트 0이다. 단말(100A)은 NAS 인증 요청 메시지를 수신하면 타이머(예를 들어, T3516)를 시작한다.
708 단계에서, 단말(100A)은 NAS 인증 응답 메시지에서 RES*를 SEAF(200A)로 전송한다. 709 단계에서, 단말(100A)은 새로운 KAUSF#2의 저장을 유지한다. 즉, 단말(100A)은 이전의 KAUSF#1을 덮어쓰지 않는다. 710 단계에서, SEAF(200A)는 RES*로부터 HRES*를 결정하고 SEAF(200A)는 HRES*를 HXRES*와 비교한다. HRES*와 HXRES*가 일치하면, SEAF(200A)는 서빙 네트워크의 관점에서 인증이 성공한 것으로 간주한다. 인증 요청이 단말(100A)에 도달하지 않고 RES*가 SEAF(200A)에 의해 수신되지 않으면, SEAF(200A)는 인증이 실패한 것으로 간주하고 AUSF(300A)에 실패를 알린다.
실시예에서, 711 및 712 단계들에서, AMF(200A)는 HRES* 및 HXRES*가 동일하지 않거나 일치하지 않을 때 단말(100A)로 인증 거부 메시지를 전송한다. 인증 거부 메시지를 수신한 단말(100A)은 타이머를 중지하고 단말(100A)은 KAUSF#2를 저장하지 않는다. 따라서, 최신 키는 KAUSF#1이며 단말(100A)은 TS 24.501에 명시된 바와 같이 절차 중단을 지시하고, 다음 단계들은 수행되지 않는다.
713 단계에서, SEAF(200A)는 Nausf_UEAuthentication_Authenticate 요청 메시지를 통해 단말(100A)로부터 수신된 RES*를 AUSF(300A)로 전송한다. 713 단계는 SEAF(200A)가 서빙 네트워크의 관점에서 인증이 성공이라고 판단되면 수행된다. 714 단계에서, AUSF(300A)가 RES*를 포함하는 Nausf_UEAuthentication_Authenticate 요청 메시지에서 인증 확인을 수신하면, AUSF(300A)는 AV의 만료 여부를 확인할 수 있다. AV가 만료된 경우, AUSF(300A)는 홈 네트워크의 관점에서 인증이 실패한 것으로 간주할 수 있다. 인증 성공 시, AUSF(300A)는 KAUSF를 저장한다. AUSF(300A)는 수신된 RES*를 저장된 XRES*와 비교한다. RES*와 XRES*가 같으면, AUSF(300A)는 홈 네트워크의 관점에서 인증이 성공한 것으로 간주한다.
715 단계에서, AUSF(300A)는 Nausf_UEAuthentication_Authenticate 응답을 SEAF(200A)로 전송하고, Nausf_UEAuthentication_Authenticate 응답은 홈 네트워크의 관점에서 인증 성공 여부를 나타낸다. 인증 성공 시, KSEAF는 Nausf_UEAuthentication_Authenticate 응답에서 SEAF(200A)로 전송된다.
실시예에서, 716 및 717 단계들에서, AMF(200A)는 인증이 실패했다는 결과를 수신하면 인증 거부 메시지를 전송한다. 인증 거부 메시지를 수신한 단말(100A)은 KAUSF#2(최신 키가 KAUSF#1임을 의미함)를 저장하지 않으며, 단말(100A)은 타이머를 중지하고 TS 24.501에 명시된 바와 같이 절차 중단을 지시하고, 다음 단계들은 수행되지 않는다.
718 단계에서, AUSF(300A)는 인증 성공 시 새로운 KAUSF(KAUSF#2)를 저장한다. AUSF(300A)는 AMF(300A)가 이전의 인증에 대해서도 동일한 인스턴스를 선택하는 경우 이전의 KAUSF#1을 덮어쓸 수 있다. 719 단계에서, AUSF(300A)는 Nudm_UEAuthentication_ResultConfirmation 요청을 UDM(400A)으로 전송하고, Nudm_UEAuthentication_ResultConfirmation 요청은 단말(100A)과의 인증 절차 결과 및 시간, SUPI, 인증의 타임스탬프, 인증 유형(예: EAP 방법 또는 5G-AKA), 및 서빙 네트워크 이름을 포함한다.
720 단계에서, UDM(400A)은 단말(100A)의 인증 상태(예: SUPI, 인증 결과, 타임스탬프, 및 서빙 네트워크 이름)를 저장한다. 721 단계에서, 인증 상태 수신 시, UDM(400A)은 최신 키 KAUSF#2(아마도 타임스탬프 사용)를 소유하고 있는 AUSF(300A)의 세부사항을 포함하는 단말(100A)의 인증 이벤트 세부사항을 고려하거나 기록한다. 722 단계에서, UDM(400A)은 Nudm_UEAuthentication_ResultConfirmation 응답을 AUSF(300A)로 전송한다.
723 단계에서, UDM(400A)은 720 단계에서 저장된 인증 상태를 기반으로 인증하는 후속 절차 승인을 진행한다. 일 실시예에서, 724 단계에서, AMF(200A)는 Nausf_UEAuthentication_Authenticate 응답(715 단계)이 홈 네트워크의 관점에서 인증 성공을 나타내는 경우, NAS 보안 모드 명령 메시지를 단말(100A)로 전송한다. 725 단계에서, 단말(100A)은 NAS 보안 모드 명령 메시지 수신 시 KAUSF#2를 저장하고 타이머를 중지한다. 726 단계에서, 단말(100A)은 NAS 보안 모드 명령 완료 메시지를 AMF(200A)로 전송한다.
727 및 728 단계들에서, 단말(100A)의 서빙 AMF/SEAF(200A)는 Nudm_UEContextManagement_Registration 요청 메시지를 전송하여 UDM(400A)에 자신을 등록한다. UDM(400A)은 "204 콘텐츠 없음 상태(no content status)", "403 찾을 수 없음(not found)", "403 금지됨(forbidden)" 중 하나를 나타내는 Nudm_UEContextManagement_Registration 응답 메시지로 응답한다.
실시예에서, 729 단계에서, AMF(200A)가 "403 찾을 수 없음" 및 "403 금지됨" 중 하나를 나타내는 Nudm_UEContextManagement_Registration 응답 메시지를 수신한 경우, AMF(200A)는 등록 또는 서비스 거부 메시지를 전송한다. 730 단계에서, 단말(100A)은 등록/서비스 거부 메시지를 수신하였지만, 단말(100A)은 인증에 성공한 것으로 간주하여 KAUSF#2를 저장한다. 그런 다음 단말(100A)은 타이머를 중지한다.
731 단계에서, AMF(200A)는 Nudm_SubscriberDataManagement_Get 요청을 전송하며, Nudm_SubscriberDataManagement_Get 응답은 UE-context-in-SMF-data, SMF-select-data, 및 AM-data 중 하나를 포함한다. 732 단계에서, UDM(400A)은 성공 상태와 함께 Nudm_SubscriberDataManagement_Get 응답을 전송한다.
실시예에서, 733 단계에서, AMF(200A)는 인증을 수행할 때 단말(100A)이 하나 이상의 시나리오/기준/서비스(예를 들어, 허용되지 않는 추적 영역, 승인되지 않은 서비스 네트워크 등)에 대하여 승인되지 않음을 확인 및 식별하므로 등록 또는 서비스 거부 메시지를 전송한다. 734 단계에서, 단말(100A)은 인증이 성공이라고 간주하여 KAUSF#2를 저장한다. 단말(100A)은 등록 또는 서비스 거부 메시지를 수신하면 타이머를 중지한다.
일 실시예에서, 735 단계에서, AMF(200A)는 NAS 메시지에서 등록 또는 서비스 수락을 전송한다. 736 단계에서, 단말(100A)은 KAUSF#2를 저장한다. 단말(100A)은 등록 또는 서비스 수락 메시지를 수신하면 타이머를 중지한다. 737 단계에서, UDM(400A)은 KAUSF#2(새로운 AUSF 키)를 이용하여 보호된 UPU-MAC-IAUSF 및 "가입 데이터 유형" 입력 추가 UDM-관련 파라미터들에 의해 지시된 가입 데이터의 업데이트를 Nudm_SDM_Notification를 통해 AUSF(300A)에 통지한다
일 실시예에서, 738 단계에서, AMF(200A)는 Nudm_SDM_Notification 메시지를 수신하면 서빙되는 단말(100A)로 DL NAS 전송 메시지를 전송한다. AMF(200A)는 UDM(400A)으로부터 수신된 투명 컨테이너를 DL NAS 전송 메시지에 포함시킨다. 739 단계에서, 단말(100A)은 KAUSF#2를 저장한다. 단말(100A)은 DL NAS 전송 메시지를 수신하면 타이머를 중지한다.
일 실시예에서, 740 단계에서, 단말(100A)은 KAUSF#2를 이용하여 UPU-MAC-IAUSF를 산출하고 DL NAS 전송 메시지에서 수신된 UPU-MAC-IAUSF 값과 일치하는지 확인한다. UPU-MAC-IAUSF 값과 일치하는 경우, 추가 절차를 진행한다. 일 실시예에서, 741 단계에서, 타이머 T3(156)가 만료되고 단말(100A)은 KAUSF#2를 저장한다.
도 7a 내지 도 7d의 순서도에서 다양한 동작들, 행위들, 블록들, 단계들 등은 제시된 순서대로, 다른 순서로, 또는 동시에 수행될 수 있다. 또한, 일부 실시예들에서, 그 동작들, 행위들, 블록들, 단계들 등의 일부는 본 발명의 범위를 벗어나지 않고 생략, 추가, 변형될 수 있다.
예시적인 실시예에서, 도시된 바와 같은 도 7a 내지 도 7d의 메시지 순서(단계 711/716, 724, 729/733, 735, 738)는 반드시 차례대로일 필요가 없다. 예를 들어, 738 단계는 724 단계 이전에 발생할 수 있다.
예시적인 실시예에서, 일단 단말(100A)이 KAUSF#2를 저장하면, KAUSF#2를 업데이트하기 위한 타이머 및 메시지의 추가적인 확인은 수행되지 않는다(예를 들어, 네트워크(200A/300A/400A)로부터 NAS 보안 모드 명령 메시지 수신, 네트워크(200A/300A/400A)로부터 등록 수락 메시지 수신, 네트워크(200A/300A/400A)로부터 서비스 수락 메시지 수신, 타이머 T3516의 만료, 단말(100A)의 5GMM-IDLE 모드 진입, EAP 성공 메시지를 전달하는 EAP 메시지 IE를 통한 인증 결과). 단말(100A)이 새로운 키 KAUSF#3을 도출한 경우(예를 들어 Kausf#2가 단말(100A)에 저장되면, 새로운 키 Kausf#3이 도출되더라도 덮어쓸 필요가 없음).
예시적인 실시예에서, 단말(100A)은 UDM 투명 컨테이너를 전달/포함하지 않고 또한 설정 업데이트 명령과 같은 인증 절차와 관련되지 않는 NAS 메시지들을 수신할 때 KAUSF#2를 저장하지 않을 수 있다.
예시적인 실시예에서, 단말(100A)은 새로 도출된 KAUSF에 대하여 독점적인 새로운 타이머(예를 들어, T3516 대신에 Txyza)를 시작한다. 단말(100A)에서 타이머가 시작되는 원인은 네트워크(200A/300A/400A)로의 인증 응답 메시지의 전송이다. EAP 실패 메시지 또는 인증 거부 메시지를 전달하는 EAP 메시지 IE로 인증 결과를 수신하면, 새로 도출된 KAUSF가 삭제되고 타이머(Txyza)가 실행 중인 경우 중지된다. 타이머(Txyza)가 만료되면, 1차 인증이 성공한 것으로 간주되고 새로 생성된 KAUSF는 최신 KAUSF로 간주된다.
예시적인 실시예에서, 단말(100A)은 1차 인증 실패의 지시를 위한 독점적인 새로운 타이머(예를 들어, Txyza)를 시작한다. AMF(200A)에서 타이머가 시작되는 원인은 AUSF(300A)로의 Nausf_UEAuthentication_Authenticate 요청(RES*) 메시지의 전송이다. 전송된 요청 메시지에 대한 응답이 있으면, 타이머(Txyza)가 중지된다. 타이머(Txyza)가 만료되면, 1차 인증이 실패한 것으로 간주하고 AMF(200A)는 인증 거부 메시지를 전송한다.
도 8은 본 발명의 실시예들에 따른, 무선 네트워크로부터의 메시지(들) 수신 및 타이머에 기초하여 보안 키(들)를 처리하기 위한 시나리오를 도시하는 신호 흐름도이다.
801 단계에서, 단말(100A)은 앞의 도면들에서 설명된 바와 같이 네트워크로부터 인증 요청 메시지를 수신하면 인증 응답 메시지를 네트워크로 전송한다. 예시적인 실시예에서, 타이머 T3516이 단말(100A)에서 실행 중이고 후속 이벤트가 발생하면, 인증은 성공한 것으로 간주되고 새로 도출된 KAUSF는 최신 KAUSF로 간주되고 기존 KAUSF는 새로 도출된 KAUSF로 덮어쓰이거나 대체될 것이다. 이 경우 후속 이벤트의 예들은 네트워크로부터 NAS 보안 모드 명령 메시지 수신(804), 네트워크로부터 등록 수락 메시지 수신(802), 네트워크로부터 서비스 수락 메시지 수신(803), 타이머 T3516의 만료(806), 단말(100A)의 5GMM-IDLE 모드 진입(805), EAP 성공 메시지를 전달하는 EAP 메시지 IE를 통한 인증 결과 등이다.
예시적인 실시예에서, 타이머 T3516이 단말(100A)에서 실행 중이고 후속 이벤트가 발생하면, 인증은 실패한 것으로 간주되고 새로 도출된 KAUSF는 최신 KAUSF로 간주되지 않거나 기존 KAUSF는 새로 도출된 KAUSF로 덮어쓰이지 않거나 대체되지 않을 것이다. 이 경우 후속 이벤트의 예들은 네트워크로부터 서비스 거부 메시지 수신(809), 네트워크로부터 등록 거부 메시지 수신(808), 네트워크로부터 인증 거부 메시지 수신(807), 단말(100A)의 5GMM 상태 5GMM-DEREGISTERED 또는 5GMM-NULL 진입(810), EAP-실패 메시지를 전달하는 EAP 메시지 IE를 통한 인증 결과 등이다.
예시적인 실시예에서, 타이머 T3516이 실행 중인 경우, 단말(100A)은 타이머 T3516이 만료될 때까지 대기하고 제어 평면 메시지들을 확인하기 위해 새로 도출된 KAUSF를 사용하지 않는다. 타이머 T3516이 실행 중이 아니고 부분 컨텍스트가 저장되거나 사용되면, 단말(100A)은 새로 도출된 KAUSF를 최신으로 간주하고 이전의 KAUSF가 있는 경우 대체하거나 덮어쓴다. 타이머 T3516이 실행 중이 아니고 부분 컨텍스트가 삭제되면, 단말(100A)은 새로 도출된 KAUSF를 무시하고 이전의 KAUSF가 있는 경우 대체하지 않거나 덮어쓰지 않는다.
예시적인 실시예에서, 1차 인증 후, 새로운 부분 네이티브 5G NAS 보안 컨텍스트가 생성되고 및/또는 새로 생성된 부분 네이티브 5G NAS 보안 컨텍스트가 보안 모드 제어 절차를 통해 사용되면, 새로 생성된 KAUSF는 최신 KAUSF로 간주된다. 그렇지 않으면, 새로 생성된 KAUSF는 삭제/무시되거나 최신 KAUSF로 간주되지 않는다.
예시적인 실시예에서, 부분적인 네이티브 보안 컨텍스트가 생성되면, 1차 인증은 성공한 것으로 간주된다. 단말(100A)은 최신 1차 인증의 성공적 완료 후 최신 KAUSF를 저장한다.
예시적인 실시예에서, 타이머 T3516이 실행 중이고 인증 거부가 수신되면, KAUSF는 최신 KAUSF로 간주되지 않는다. 그렇지 않으면, 인증에 성공한 것으로 간주되며 KAUSF도 네트워크에 저장된다.
예시적인 실시예에서, 타이머 T3516이 인증 거부 메시지에 의해 중지된 경우에만, KAUSF는 최신 KAUSF로 간주되지 않는다. 타이머 T3516이 다른 메시지에 의해 중지되면, 1차 인증이 성공한 것으로 간주된다.
예시적인 실시예에서, 1차 인증이 진행 중일 때, 단말(100A)은 1차 인증이 완료될 때까지 AKMA 관련 절차들의 시작을 보류할 것이다. 1차 인증이 완료되면, 단말(100A)은 AKMA 절차들을 위해 최신 KAUSF를 사용한다. AKMA 키들은 1차 인증 실행의 KAUSF를 기반으로 하므로, 새로운 1차 인증을 실행해야만 AKMA 키들을 리프레시(refresh)할 수 있다. 부분 네이티브 5G NAS 보안 컨텍스트는 5G 인증이 성공적으로 수행되고 인증 요청 응답 후 SMC 절차가 필수가 아닌 경우 단말(100A)과 네트워크에서 수립된다. 부분 보안 컨텍스트가 존재할 것이고 최신 KAUSF가 생성된다. AKMA 절차에서 재-인증이 실행되면, AUSF(300A)는 새로운 A-KID(AKMA)와 새로운 KAKMA(AKMA 키)를 생성하고 새로 생성된 A-KID와 KAKMA를 AAnF(AKMA Anchor Function)로 전송한다. AAnF는 새로 생성된 A-KID와 KAKMA를 수신한 후 이전의 A-KID와 KAKMA를 삭제하고 새로 생성된 A-KID와 KAKMA를 저장한다.
예시적인 실시예에서, 1차 인증이 단말(100A)에 대하여 진행 중일 때, AMF(200A)는 1차 인증이 완료될 때까지 Nudm_SDM_Notification 서비스 동작에 관련된 요청/메시지들을 드롭할 것이다.
예시적인 실시예에서, 긴급 세션 동안 KAUSF 처리에서, 단말(100A)이 "긴급 등록"으로 설정된 5GS 등록 유형 IE로 등록 절차를 시작하고 NAS SMC 절차가 NIA0 및 NEA0의 사용을 시그널링할 때, 단말(100A)은 인증 절차가 실패한 것으로 간주하고 새로 도출된 KAUSF를 최신 KAUSF로 간주하지 않거나 기존 KAUSF를 새로 도출된 KAUSF로 덮어쓰거나 대체하지 않을 것이다.
예시적인 실시예에서, 인증 상태의 명시적 지시에서, 네트워크(AMF(200A))는 1차 5G-AKA 인증 방법에 대한 NAS 메시지에서 단말(100A)에 대한 1차 인증의 결과를 명시적으로 지시한다. AMF(200A)이 AUSF(300A)로부터 수신한 Nausf_UEAuthentication_Authenticate 응답의 결과 지시가 성공으로 지시된 경우, AMF(200A)는 인증 성공을 전달하기 위해 인증 결과를 전송한다.
도 9는 본 발명의 조합된 실시예들에 따른 신호 흐름도를 도시한다.
901 단계에서, 이 예시적인 메시지 순서의 전제조건은 KAUSF(즉, KAUSF#1)가 단말(100A)과 홈 네트워크(AUSF(300A)(도면에 도시되지 않음) 사이에 수립되는 것이다. 902 단계에서, AMF(200A)(또는 SEAF)는 재-인증을 트리거하고 인증 요청 메시지를 단말(100A)로 전송하기로 결정한다. 903 단계에서, SEAF(200A)(또는 AMF)는 NAS 인증 요청 메시지를 전송한다. 904 단계에서, 단말(100A)은 AUTN(AUthentication TokeN)의 검증이 성공적이면 키들 CK 및 IK로부터 새로운 KAUSF(예를 들어, KAUSF#2)를 산출한다. 단말(100A)은 KAUSF로부터 KSEAF를 산출한다.
905 단계에서, 단말(100A)은 인증 응답 메시지를 AMF(200A)로 전송한다. 906 단계에서, 단말(100A)은 새로운 KAUSF#2의 저장을 유지한다. 즉, 단말(100A)은 이전의 KAUSF#1을 덮어쓰지 않는다. 907 단계에서, AMF 및/또는 SEAF(200A)는 서빙 네트워크의 관점에서 진위를 검증한다. 908 단계에서, SEAF(200A)는 Nausf_UEAuthentication_Authenticate 요청 메시지를 AUSF(300A)로 전송한다. 909 단계에서, AUSF(300A)는 단말(100A)의 진위를 검증하고 검증에 성공하면 AUSF(300A)는 홈 네트워크의 관점에서 인증이 성공한 것으로 간주한다.
910 단계에서, AUSF(300A)는 홈 네트워크의 관점에서 인증 성공 여부를 나타내는 Nausf_UEAuthentication_Authenticate 응답을 SEAF(200A)로 전송한다. 인증에 성공하면, KSEAF는 Nausf_UEAuthentication_Authenticate 응답에서 SEAF(200A)로 전송된다. 911 단계에서, 검증 성공 시, AUSF(300A)는 KAUSF(KAUSF#2)를 저장한다.
실시예에서, 912 단계에서, AMF(200A)는 NAS 보안 모드 명령 메시지를 단말(100A)로 전송하여, 1차 (재)인증 및 키 동의 절차에 의해 생성된 부분 네이티브 5G NAS 보안 컨텍스트를 사용하도록 한다. 913 단계에서, 단말(100A)은 유효한 NAS 보안 모드 명령 메시지를 수신하면 KAUSF#2를 저장하고 타이머를 중지한다. 단계 914에서, 단말(100A)는 유효한 NAS 보안 모드 명령 메시지에 대한 응답으로 NAS 보안 모드 명령 완료 메시지를 AMF(200A)로 전송한다.
도 10은 본 발명의 실시예들에 따른, 무선 네트워크에서 보안 키(들)를 처리하기 위한 단말(100A)의 블록도를 도시한다. 단말(100A)은 예를 들어 스마트폰, 로봇 장치, 사물 인터넷(IoT) 장치일 수 있으나, 이에 제한되지 않는다.
일 실시예에서, 단말(100A)은 메모리(110), 프로세서(120), 통신부(130), 및 보안 키 컨트롤러(140)를 포함한다.
일 실시예에서, 메모리(110)는 이전의 보안 키(예: KAUSF-1) 및 새로운 보안 키(예: KAUSF-2)를 저장하도록 구성된다. 메모리(110)는 프로세서(120)에 의해 실행될 명령들을 저장한다. 메모리(110)는 비-휘발성 저장 소자들을 포함할 수 있다. 비-휘발성 저장 소자들은 예를 들어 자기 하드 디스크, 광 디스크, 플로피 디스크, 플래시 메모리, 또는 EPROM(electrically programmable memory) 또는 EEPROM(electrically erasable and programmable) 메모리의 형태를 포함할 수 있다. 또한, 메모리(110)는 일부 예들에서 비-일시적 저장 매체로 간주될 수 있다. "비-일시적(non-transitory)"이라는 용어는 저장 매체가 반송파 또는 전파되는 신호로 구현되지 않음을 나타낼 수 있다. 그러나 "비-일시적"이라는 용어는 메모리(110)가 움직이지 않는 것으로 해석되어서는 안 된다. 일부 예들에서, 메모리(110)는 메모리보다 많은 양의 정보를 저장하도록 구성될 수 있다. 특정 예들에서, 비-일시적 저장 매체는 시간이 지남에 따라 변경될 수 있는 데이터를 저장할 수 있다(예: RAM(Random Access Memory) 또는 캐시). 메모리(110)는 내부 저장 장치일 수 있거나 단말(100A)의 외부 저장 장치, 클라우드 스토리지, 또는 그 밖의 다른 유형의 외부 스토리지일 수 있다.
프로세서(120)는 메모리(110), 통신부(130), 및 보안 키 컨트롤러(140)와 통신한다. 프로세서(120)는 메모리(110)에 저장된 명령들을 실행하고 다양한 프로세스들을 수행하도록 구성된다. 프로세서(120)는 하나 또는 복수의 프로세서들을 포함할 수 있으며, CPU(Central Processing Unit), AP(Application Processor) 등과 같은 범용 프로세서, GPU(Graphics Processing Unit), VPU(Visual Processing Unit)와 같은 그래픽 전용 처리 장치, 및/또는 NPU(Neural Processing Unit)와 같은 AI(Artificial Intelligence) 전용 프로세서일 수 있다.
통신부(130)는 내부 하드웨어 구성요소들 사이에서 내부적으로 통신하고 하나 이상의 네트워크들(예: 무선 기술)을 통해 외부 장치들(예를 들어, AMF/SEAF(200A), AUSF(300A), 및 UDM(400A))과 통신하도록 구성된다. 통신부(130)는 유무선 통신을 가능하게 하는 규격에 특화된 전자회로를 포함한다.
보안 키 컨트롤러(140)는 논리 게이트, 집적 회로, 마이크로프로세서, 마이크로컨트롤러, 메모리 회로, 수동 전자 부품, 능동 전자 부품, 광학 부품, 하드와이어 회로 등과 같은 처리 회로에 의해 구현되며, 선택적으로 펌웨어에 의해 구동된다. 이 회로들은 예를 들어 하나 이상의 반도체 칩, 또는 인쇄 회로 기판 등과 같은 기판 지지대에 구현될 수 있다.
일 실시예에서, 보안 키 컨트롤러(140)는 네트워크 개체(200A)(예를 들어, AMF/SEAF)로부터 NAS 인증 요청 메시지를 수신하며, 여기서 단말(100A)은 제1 HN 보안 키(예들 들어, KAUSF-1)를 보유한다. 또한, 보안 키 컨트롤러(140)는 NAS 인증 요청 메시지에 대한 인증 응답 메시지를 결정하고 NAS 인증 요청 메시지에서 수신된 복수의 입력 파라미터들(예를 들어, 무결성 키들(IK, CK))로부터 제2 HN 보안 키(예들 들어, KAUSF-2)를 생성한다. 또한, 보안 키 컨트롤러(140)는 인증 응답 메시지를 네트워크 개체(200A)로 전송한다. 또한, 보안 키 컨트롤러(140)는 네트워크 개체(200A)로부터 NAS 보안 모드 명령 메시지를 수신하면 제2 HN 보안 키를 저장하는 것 또는 네트워크 개체(200A)로부터 NAS 거부 메시지를 수신하면 제2 HN 보안 키를 무시하는 것 중 하나를 수행한다.
일 실시예에서, 단말(100A)은 제2 HN 보안 키를 보유하고 NAS 보안 모드 명령 메시지를 수신한 후에만 제2 HN 보안 키를 저장한다. 제1 HN 보안 키는 제2 HN 보안 키에 의해 덮어쓰여진다. 네트워크 개체(200A)는 단말(100A)을 재-인증하기 위해 NAS 인증 요청 메시지를 단말(100A)로 전송한다. 제1 HN 보안 키 및 제2 HN 보안 키는 1차 (재)인증 절차로부터 단말(100A)과 HN 사이에 수립되는 키 KAUSF이다.
또한, 보안 키 컨트롤러(140)는 보안 모드 제어 절차를 통해 새로운 부분 네이티브 5G NAS 보안 컨텍스트가 생성되고/되거나 새로 생성된 부분 네이티브 5G NAS 보안 컨텍스트가 사용되는 경우를 결정한다. 또한, 보안 키 컨트롤러(140)는 보안 모드 제어 절차를 통해 새로운 부분 네이티브 5G NAS 보안 컨텍스트가 생성되고/되거나 새로 생성된 부분 네이티브 5G NAS 보안 컨텍스트가 사용되는 것으로 결정되면, 제1 HN 보안 키를 제2 HN 보안 키로 덮어쓴다. 또한, 보안 키 컨트롤러(140)는 보안 모드 제어 절차를 통해 새로운 부분 네이티브 5G NAS 보안 컨텍스트가 생성되지 않고/않거나 새로 생성된 부분 네이티브 5G NAS 보안 컨텍스트가 사용되지 않는 것으로 결정되면, 제1 HN 보안 키를 제2 HN 보안 키로 덮어쓰지 않는다.
또한, 보안 키 컨트롤러(140)는 긴급 등록으로 설정된 5GS 등록 타입 IE로 등록 절차를 시작한다. 또한, 보안 키 컨트롤러(140)는 NAS 보안 모드 절차가 NIA0 및 NEA0의 사용을 시그널링하는지 여부를 결정한다. 또한, 보안 키 컨트롤러(140)는 NAS SMC 절차가 NIA0 및 NEA0의 사용을 시그널링한다는 결정에 응답하여 제2 HN 보안 키를 무시한다.
도 10은 단말(100A)의 다양한 하드웨어 구성요소들을 도시하지만, 다른 실시예들은 이에 한정되지 않는다. 다른 실시예들에서, 단말(100A)은 더 적거나 더 많은 수의 구성요소들을 포함할 수 있다. 또한, 구성요소들 명칭은 예시 목적으로만 사용되며 본 발명의 범위를 한정하지 않는다. 하나 이상의 구성요소들이 함께 결합되어 무선 네트워크에서 HN 보안 키(들)의 동기화를 처리하도록 동일하거나 실질적으로 유사한 기능을 수행할 수 있다.
도 11은 본 발명의 실시예들에 따른, 무선 네트워크에서 보안 키(들)를 처리하기 위한 네트워크 개체(200A)의 블록도를 도시한다.
일 실시예에서, 네트워크 개체(200A)는 메모리(210A), 프로세서(220A), 통신부(230A), 및 보안 키 컨트롤러(240A)를 포함한다.
일 실시예에서, 메모리(210A)는 이전의 보안 키(예: KAUSF-1) 및 새로운 보안 키(예: KAUSF-2)를 저장하도록 구성된다. 메모리(210A)는 프로세서(220A)에 의해 실행될 명령들을 저장한다. 메모리(210A)는 비-휘발성 저장 소자들을 포함할 수 있다. 비-휘발성 저장 소자들은 예를 들어 자기 하드 디스크, 광 디스크, 플로피 디스크, 플래시 메모리, 또는 EPROM(electrically programmable memory) 또는 EEPROM(electrically erasable and programmable) 메모리의 형태를 포함할 수 있다. 또한, 메모리(210A)는 일부 예들에서 비-일시적 저장 매체로 간주될 수 있다. "비-일시적(non-transitory)"이라는 용어는 저장 매체가 반송파 또는 전파되는 신호로 구현되지 않음을 나타낼 수 있다. 그러나 "비-일시적"이라는 용어는 메모리(210A)가 움직이지 않는 것으로 해석되어서는 안 된다. 일부 예들에서, 메모리(210A)는 메모리보다 많은 양의 정보를 저장하도록 구성될 수 있다. 특정 예들에서, 비-일시적 저장 매체는 시간이 지남에 따라 변경될 수 있는 데이터를 저장할 수 있다(예: RAM(Random Access Memory) 또는 캐시). 메모리(210A)는 내부 저장 장치일 수 있거나 네트워크 개체(200A)의 외부 저장 장치, 클라우드 스토리지, 또는 그 밖의 다른 유형의 외부 스토리지일 수 있다.
프로세서(220A)는 메모리(210A), 통신부(230A), 및 보안 키 컨트롤러(240A)와 통신한다. 프로세서(220A)는 메모리(210A)에 저장된 명령들을 실행하고 다양한 프로세스들을 수행하도록 구성된다. 프로세서(220A)는 하나 또는 복수의 프로세서들을 포함할 수 있으며, CPU(Central Processing Unit), AP(Application Processor) 등과 같은 범용 프로세서, GPU(Graphics Processing Unit), VPU(Visual Processing Unit)와 같은 그래픽 전용 처리 장치, 및/또는 NPU(Neural Processing Unit)와 같은 AI(Artificial Intelligence) 전용 프로세서일 수 있다.
통신부(230A)는 내부 하드웨어 구성요소들 사이에서 내부적으로 통신하고 하나 이상의 네트워크들(예: 무선 기술)을 통해 외부 장치들(예를 들어, 단말(100A), AUSF(300A), 및 UDM(400A))과 통신하도록 구성된다. 통신부(230A)는 유무선 통신을 가능하게 하는 규격에 특화된 전자회로를 포함한다.
보안 키 컨트롤러(240A)는 논리 게이트, 집적 회로, 마이크로프로세서, 마이크로컨트롤러, 메모리 회로, 수동 전자 부품, 능동 전자 부품, 광학 부품, 하드와이어 회로 등과 같은 처리 회로에 의해 구현되며, 선택적으로 펌웨어에 의해 구동된다. 이 회로들은 예를 들어 하나 이상의 반도체 칩, 또는 인쇄 회로 기판 등과 같은 기판 지지대에 구현될 수 있다.
일 실시예에서, 보안 키 컨트롤러(240A)는 단말(100A)로부터 NAS 인증 응답 메시지를 수신할 때 네트워크 개체(200A)가 서빙 네트워크 관점에서 단말의 진위를 결정한다. 또한, 보안 키 컨트롤러(240A)는 네트워크 개체(200A)가 AUSF 개체(300A)로부터 Nausf_UEAuthentication_Authenticate 응답을 수신할 때 홈 네트워크 관점에서 단말(100A)의 진위를 결정한다. 또한, 보안 키 컨트롤러(240A)는 네트워크 개체(200A)가 서빙 네트워크 관점 및 홈 네트워크 관점 모두에서 단말(100A)의 진위가 성공적으로 검증되었다고 결정하면, NAS 보안 모드 명령(SMC: NAS Security Mode Command) 메시지를 단말(100A)로 전송한다.
도 11은 네트워크 개체(200A)의 다양한 하드웨어 구성요소들을 도시하지만, 다른 실시예들은 이에 한정되지 않는다. 다른 실시예들에서, 네트워크 개체(200A)는 더 적거나 더 많은 수의 구성요소들을 포함할 수 있다. 또한, 구성요소들 명칭은 예시 목적으로만 사용되며 본 발명의 범위를 한정하지 않는다. 하나 이상의 구성요소들이 함께 결합되어 무선 네트워크에서 HN 보안 키(들)의 동기화를 처리하도록 동일하거나 실질적으로 유사한 기능을 수행할 수 있다.
본 명세서에 개시된 실시예들은 적어도 하나의 하드웨어 장치를 이용하고 구성요소들을 제어하기 위해 네트워크 관리 기능들을 수행하여 구현될 수 있다.
특정 실시예들에 대한 상기 설명은 그 실시예들의 일반적인 특성을 나타내는 것이며, 이에 따라 현재 지식을 적용함으로써 일반적인 개념에서 벗어나지 않고 이러한 실시예들의 다양한 응용들에 대한 변형 및/또는 적응을 용이하게 할 수 있다. 따라서, 이러한 변형 및 적응은 개시된 실시예들의 균등물의 의미 및 범위 내에서 이해되도록 의도된 것이다. 본 명세서에서 사용된 표현 내지 용어는 설명을 위한 것일 뿐 한정을 위한 것이 아니다. 따라서, 본 발명의 실시예들은 바람직한 실시예들의 관점에서 설명되었지만, 통상의 기술자라면 본 발명의 실시예들이 본 명세서에 기재된 바와 같은 실시예들의 범위 내에서 변형되어 실시될 수 있음을 인식할 것이다.

Claims (15)

  1. 무선 네트워크에서 홈 네트워크(HN: Home Network) 보안 키(들)의 동기화를 처리하는 방법에 있어서,
    단말(100A)이 네트워크 개체(200A)로부터 NAS(Non-access stratum) 인증 요청 메시지를 수신하는 단계, 여기서 상기 단말(100A)은 제1 HN 보안 키를 보유함;
    상기 단말(100A)이 상기 NAS 인증 요청 메시지에 대한 인증 응답 메시지를 결정하고 상기 NAS 인증 요청 메시지에서 수신된 복수의 입력 파라미터들로부터 제2 HN 보안 키를 생성하는 단계;
    상기 단말(100A)이 상기 인증 응답 메시지를 상기 네트워크 개체(200A)로 전송하는 단계;
    상기 단말(100A)이:
    상기 네트워크 개체(200A)로부터 NAS 보안 모드 명령 메시지를 수신하면 상기 제2 HN 보안 키를 저장하는 것; 또는
    상기 네트워크 개체(200A)로부터 NAS 거부 메시지를 수신하면 상기 제2 HN 보안 키를 무시하는 것
    중 하나를 수행하는 단계;
    를 포함하는 방법.
  2. 제1항에 있어서,
    상기 단말(100A)은 상기 제2 HN 보안 키를 보유하고 상기 NAS 보안 모드 명령 메시지를 수신한 후에만 상기 제2 HN 보안 키를 저장하며, 상기 제1 HN 보안 키는 상기 제2 HN 보안 키에 의해 덮어쓰여지는 것을 특징으로 하는 방법.
  3. 제1항에 있어서,
    상기 단말(100A)이 상기 네트워크 개체(200A)로부터 상기 단말(100A)을 재-인증하기 위한 상기 NAS 인증 요청 메시지를 수신하는 단계를 더 포함하는 것을 특징으로 하는 방법.
  4. 제1항에 있어서,
    상기 제1 HN 보안 키 및 상기 제2 HN 보안 키는 상기 1차(primary) (재)인증 절차로부터 상기 단말(100A)과 상기 HN 사이에 수립되는 키 KAUSF인 것을 특징으로 하는 방법.
  5. 제1항에 있어서,
    상기 NAS 거부 메시지는 서비스 거부 메시지, 등록 거부 메시지, 인증 거부 메시지 중 적어도 하나를 포함하는 것을 특징으로 하는 방법.
  6. 제1항에 있어서,
    서빙 네트워크 관점 및 홈 네트워크 관점 모두에서 상기 단말(100A)의 진위가 성공적으로 검증된 경우, 상기 단말(100A)이 상기 네트워크 개체(200A)로부터 NAS 보안 모드 명령(SMC: NAS Security Mode Command) 메시지를 수신하는 단계를 더 포함하고,
    상기 서빙 네트워크 관점에서 상기 단말(100A)의 상기 진위는 상기 단말(100A)이 상기 네트워크 개체(200A)로 NAS 인증 응답 메시지를 전송하는 것에 기초하여 결정되고,
    상기 홈 네트워크 관점에서 상기 단말(100A)의 상기 진위는 Nausf_UEAuthentication_Authenticate 응답에 기초하여 결정되는 것을 특징으로 하는 방법.
  7. 제1항에 있어서,
    상기 단말(100A)이 새로운 부분 네이티브 5G NAS 보안 컨텍스트가 생성되고/되거나 상기 새로 생성된 부분 네이티브 5G NAS 보안 컨텍스트가 보안 모드 제어 절차를 통해 사용되는 경우를 결정하는 단계; 및
    상기 단말(100A)이:
    상기 새로운 부분 네이티브 5G NAS 보안 컨텍스트가 생성되고/되거나 상기 새로 생성된 부분 네이티브 5G NAS 보안 컨텍스트가 상기 보안 모드 제어 절차를 통해 사용되는 것으로 결정되면, 상기 제1 HN 보안 키를 상기 제2 HN 보안 키로 덮어쓰는 단계, 또는
    상기 새로운 부분 네이티브 5G NAS 보안 컨텍스트가 생성되지 않고/않거나 상기 새로 생성된 부분 네이티브 5G NAS 보안 컨텍스트가 상기 보안 모드 제어 절차를 통해 사용되지 않는 것으로 결정되면, 상기 제1 HN 보안 키를 상기 제2 HN 보안 키로 덮어쓰지 않는 단계
    중 하나를 수행하는 단계;
    를 포함하는 것을 특징으로 하는 방법.
  8. 제1항에 있어서,
    상기 단말(100A)이 긴급 등록으로 설정된 5GS 등록 타입 IE로 등록 절차를 시작하는 단계;
    상기 단말(100A)이 NAS 보안 모드 절차가 NIA0 및 NEA0의 사용을 시그널링하는지 여부를 결정하는 단계; 및
    상기 단말(100A)이 상기 NAS SMC 절차가 NIA0 및 NEA0의 사용을 시그널링한다는 결정에 응답하여 상기 제2 HN 보안 키를 무시하는 단계;
    를 포함하는 것을 특징으로 하는 방법.
  9. 무선 네트워크에서 홈 네트워크(HN: Home Network) 보안 키(들)의 동기화를 처리하는 단말(100A)에 있어서,
    메모리(110);
    프로세서(120); 및
    상기 메모리(110) 및 상기 프로세서(120)와 작동적으로 연결되는 보안 키 컨트롤러(140);
    를 포함하고,
    상기 보안 키 컨트롤러(140)는:
    네트워크 개체(200A)로부터 NAS(Non-access stratum) 인증 요청 메시지를 수신하고, 여기서 상기 단말(100A)은 제1 HN 보안 키를 보유함;
    상기 NAS 인증 요청 메시지에 대한 인증 응답 메시지를 결정하고 상기 NAS 인증 요청 메시지에서 수신된 복수의 입력 파라미터들로부터 제2 HN 보안 키를 생성하고;
    상기 인증 응답 메시지를 상기 네트워크 개체(200A)로 전송하고;
    상기 네트워크 개체(200A)로부터 NAS 보안 모드 명령 메시지를 수신하면 상기 제2 HN 보안 키를 저장하는 것, 또는 상기 네트워크 개체(200A)로부터 NAS 거부 메시지를 수신하면 상기 제2 HN 보안 키를 무시하는 것 중 하나를 수행하도록;
    구성되는 것을 특징으로 하는 단말(110A).
  10. 제9항에 있어서,
    상기 단말은 상기 제2 HN 보안 키를 보유하고 상기 NAS 보안 모드 명령 메시지를 수신한 후에만 상기 제2 HN 보안 키를 저장하며, 상기 제2 HN 보안 키는 상기 제1 HN 보안 키를 덮어쓰는 것을 특징으로 하는 단말(100A).
  11. 제9항에 있어서,
    상기 프로세서(120)는 상기 네트워크 개체(200A)로부터 상기 단말(100A)을 재-인증하기 위한 상기 NAS 인증 요청 메시지를 수신하도록 구성되는 것을 특징으로 하는 단말(100A).
  12. 무선 네트워크에서 홈 네트워크(HN: Home Network) 보안 키(들)의 동기화를 처리하는 네트워크 개체(200A)에 있어서,
    메모리(210A);
    프로세서(220A); 및
    상기 메모리(210A) 및 상기 프로세서(220A)와 작동적으로 연결되는 보안 키 컨트롤러(240A);
    를 포함하고,
    상기 보안 키 컨트롤러(240A)는:
    상기 네트워크 개체(200A)가 단말(100A)로부터 NAS(Non-access stratum) 인증 응답 메시지를 수신할 때 서빙 네트워크 관점에서 상기 단말(100A)의 진위를 결정하고;
    상기 네트워크 개체(200A)가 인증 서버 기능(AUSF: Authentication Server Function) 개체(300A)로부터 Nausf_UEAuthentication_Authenticate 응답을 수신할 때 홈 네트워크 관점에서 상기 단말의(100A) 진위를 결정하고;
    상기 네트워크 개체(200A)가 서빙 네트워크 관점 및 홈 네트워크 관점 모두에서 상기 단말(100A)의 상기 진위가 성공적으로 검증되었다고 결정하면, NAS 보안 모드 명령(SMC: NAS Security Mode Command) 메시지를 상기 단말(100A)로 전송하도록;
    구성되는 것을 특징으로 하는 네트워크 개체(200A).
  13. 제12항에 있어서,
    상기 프로세서(220A)는:
    복수의 입력 파라미터들을 포함하는 NAS 인증 요청 메시지를 상기 단말(100A)로 전송하고, 이때 상기 단말(100A)은 제1 HN(Home Network) 보안 키를 보유하고, 상기 복수의 입력 파라미터들은 제2 HN 보안 키와 관련되며; 그리고
    상기 단말(100A)로부터 상기 인증 응답 메시지를 수신하도록;
    구성되는 것을 특징으로 하는 네트워크 개체(200A).
  14. 무선 네트워크에서 홈 네트워크(HN: Home Network) 보안 키(들)의 동기화를 처리하는 네트워크 개체(200A)에 수행되는 방법에 있어서,
    상기 네트워크 개체(200A)가 단말(100A)로부터 NAS(Non-access stratum) 인증 응답 메시지를 수신할 때 서빙 네트워크 관점에서 상기 단말(100A)의 진위를 결정하는 단계;
    상기 네트워크 개체(200A)가 인증 서버 기능(AUSF: Authentication Server Function) 개체(300A)로부터 Nausf_UEAuthentication_Authenticate 응답을 수신할 때 홈 네트워크 관점에서 상기 단말의(100A) 진위를 결정하는 단계; 및
    상기 네트워크 개체(200A)가 서빙 네트워크 관점 및 홈 네트워크 관점 모두에서 상기 단말(100A)의 상기 진위가 성공적으로 검증되었다고 결정하면, NAS 보안 모드 명령(SMC: NAS Security Mode Command) 메시지를 상기 단말(100A)로 전송하는 단계;
    를 포함하는 방법.
  15. 제14항에 있어서,
    복수의 입력 파라미터들을 포함하는 NAS 인증 요청 메시지를 상기 단말(100A)로 전송하는 단계, 이때 상기 단말(100A)은 제1 HN(Home Network) 보안 키를 보유하고, 상기 복수의 입력 파라미터들은 제2 HN 보안 키와 관련되며; 그리고
    상기 단말(100A)로부터 상기 인증 응답 메시지를 수신하는 단계;
    를 더 포함하는 것을 특징으로 하는 방법.
KR1020237014732A 2020-09-30 2021-09-30 무선 네트워크에서 보안 키 동기화를 처리하기 위한 방법, 단말, 및 네트워크 개체 KR20230079179A (ko)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
IN202041042652 2020-09-30
IN202041042652??? 2020-09-30
IN202041042652 2020-09-30
PCT/KR2021/013441 WO2022071779A1 (en) 2020-09-30 2021-09-30 Method, ue, and network entity for handling synchronization of security key in wireless network

Publications (1)

Publication Number Publication Date
KR20230079179A true KR20230079179A (ko) 2023-06-05

Family

ID=80951942

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020237014732A KR20230079179A (ko) 2020-09-30 2021-09-30 무선 네트워크에서 보안 키 동기화를 처리하기 위한 방법, 단말, 및 네트워크 개체

Country Status (3)

Country Link
US (1) US20230370840A1 (ko)
KR (1) KR20230079179A (ko)
WO (1) WO2022071779A1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116528234B (zh) * 2023-06-29 2023-09-19 内江师范学院 一种虚拟机的安全可信验证方法及装置

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018008983A1 (en) * 2016-07-05 2018-01-11 Samsung Electronics Co., Ltd. Method and system for authenticating access in mobile wireless network system
US11997078B2 (en) * 2018-08-02 2024-05-28 Telefonaktiebolaget Lm Ericsson (Publ) Secured authenticated communication between an initiator and a responder
US20210400475A1 (en) * 2018-11-12 2021-12-23 Telefonaktiebolaget Lm Ericsson (Publ) Authentication of a Communications Device

Also Published As

Publication number Publication date
WO2022071779A1 (en) 2022-04-07
US20230370840A1 (en) 2023-11-16

Similar Documents

Publication Publication Date Title
US20240064144A1 (en) Security lifecycle management of devices in a communications network
US10716002B2 (en) Method and system for authenticating access in mobile wireless network system
CN108028758B (zh) 在通信系统中下载简档的方法和装置
KR102033465B1 (ko) 통신 디바이스와 네트워크 디바이스 사이의 통신에서의 보안 설비
US11937079B2 (en) Communication terminal, core network device, core network node, network node, and key deriving method
WO2019019736A1 (zh) 安全实现方法、相关装置以及系统
US9668139B2 (en) Secure negotiation of authentication capabilities
JP7452600B2 (ja) 通信端末装置及びその方法
CN107835204B (zh) 配置文件策略规则的安全控制
AU2020200523B2 (en) Methods and arrangements for authenticating a communication device
US11477640B2 (en) Security protection method and apparatus in wireless communication system
US11546759B2 (en) Method and device for communicating in wireless communication system
KR20220159991A (ko) 무선 통신 시스템에서 akma 서비스를 제공하는 방법 및 장치
KR20230124621A (ko) 비-3gpp 서비스 액세스를 위한 ue 인증 방법 및 시스템
US20220060896A1 (en) Authentication Method, Apparatus, And System
US20220182822A1 (en) Methods and apparatus relating to authentication of a wireless device
KR20230121093A (ko) Msgin5g 서버의 인증 및 인가 방법 및 시스템
KR20230079179A (ko) 무선 네트워크에서 보안 키 동기화를 처리하기 위한 방법, 단말, 및 네트워크 개체
US20230007481A1 (en) Enhancement of authentication
US20240080321A1 (en) Control plane based security provisioning in a non-public network
US20220150696A1 (en) Method and apparatus for establishing secure connections for edge computing services
WO2023193214A1 (en) Network relay security
EP4325812A1 (en) Packet transmission method and apparatus
KR20230105957A (ko) 제어 평면을 이용하여 credential을 UE에 프로비저닝 시 종단 보안 형성을 위한 방법 및 장치
WO2020090861A1 (ja) 通信端末、コアネットワーク装置、通信方法、及び通信システム