KR20230088627A - 가입 데이터 업데이트 방법과 장치, 노드, 및 저장 매체 - Google Patents
가입 데이터 업데이트 방법과 장치, 노드, 및 저장 매체 Download PDFInfo
- Publication number
- KR20230088627A KR20230088627A KR1020227031756A KR20227031756A KR20230088627A KR 20230088627 A KR20230088627 A KR 20230088627A KR 1020227031756 A KR1020227031756 A KR 1020227031756A KR 20227031756 A KR20227031756 A KR 20227031756A KR 20230088627 A KR20230088627 A KR 20230088627A
- Authority
- KR
- South Korea
- Prior art keywords
- network function
- function node
- subscription data
- message
- subscription
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 77
- 238000013523 data management Methods 0.000 claims abstract description 57
- 230000004044 response Effects 0.000 claims abstract description 56
- 238000007726 management method Methods 0.000 claims abstract description 11
- 238000012508 change request Methods 0.000 claims description 23
- 230000005540 biological transmission Effects 0.000 claims description 5
- 230000008569 process Effects 0.000 claims description 4
- 238000004590 computer program Methods 0.000 claims 3
- 230000006870 function Effects 0.000 description 235
- 238000010586 diagram Methods 0.000 description 17
- 238000004891 communication Methods 0.000 description 11
- 230000011664 signaling Effects 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 5
- 239000000463 material Substances 0.000 description 5
- 238000013459 approach Methods 0.000 description 4
- 238000013461 design Methods 0.000 description 4
- 230000003993 interaction Effects 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 238000013500 data storage Methods 0.000 description 2
- 238000009795 derivation Methods 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 239000000969 carrier Substances 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000004880 explosion Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000007723 transport mechanism Effects 0.000 description 1
- 238000012384 transportation and delivery Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0433—Key management protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/72—Subscriber identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/18—Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/14—Backbone network devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Databases & Information Systems (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
가입 데이터 업데이트 방법과 장치, 노드, 및 저장 매체가 제공되며, 방법은: 사용자의 애플리케이션들을 위한 인증 및 키 관리(authentication and key management for applications; AKMA) 가입 데이터가 업데이트되었다고 제1 네트워크 기능 노드가 결정하는 경우, 상기 제1 네트워크 기능 노드에 의해, 상기 사용자의 AKMA 컨텍스트(context)를 저장한 제2 네트워크 기능 노드를 결정하는 단계; 상기 제1 네트워크 기능 노드에 의해, 가입 데이터 관리 통지 메시지를 상기 제2 네트워크 기능 노드에 전송하는 단계; 및 상기 제1 네트워크 기능 노드에 의해, 상기 제2 네트워크 기능 노드에 의해 전송된 가입 데이터 관리 통지 응답 메시지를 수신하는 단계를 포함하며, 가입 데이터 관리 통지 응답 메시지는 가입 데이터 관리 통지 메시지에 따라 제2 네트워크 기능 노드가 사용자의 AKMA 컨텍스트를 삭제한 후에 전송된다.
Description
본 출원은 무선 통신 기술 분야에 관한 것이며, 예를 들어, 가입 데이터 업데이트 방법과 장치, 노드, 및 저장 매체에 관한 것이다.
3세대 파트너쉽 프로젝트(3rd Generation Partnership Project; 3GPP) 표준 작업 그룹의 정의에 따르면, 5세대 이동 통신 기술(5G) 시스템은 5G 무선 액세스 네트워크(5G radio access network; 5G RAN) 서브시스템과 5G 코어(5G core; 5GC) 서브시스템을 포함한다. 도 1에서 도시된 바와 같이, 5G 시스템의 아키텍처는 다중 네트워크 기능부(network function; NF)들을 포함한다. 5G RAN 서브시스템은 신규 무선(new radio; NR) 기지국, 즉 무선 액세스 노드(radio access node; AN)를 포함한다. 5G 코어 네트워크 서브시스템은 통합 데이터 관리(unified data management; UDM), 액세스 관리 기능부(access management function; AMF), 세션 관리 기능부(session management function; SMF), 사용자 평면 기능부(user plane function; UPF), 정책 제어 기능부(policy control function; PCF), 보안 앵커 기능부(security anchor function; SEAF), 인증 서버 기능부(authentication server function; AUSF) 및 인증 크리덴셜 저장소 및 프로세싱 기능부(authentication credential repository and processing function; ARPF)를 포함한다. 5G 네트워크는 가입 은닉 식별자(subscription concealed identifier; SUCI) 및 가입 영구 식별자(subscription permanent identifier; SUPI)를 포함하며, 여기서 SUPI는 국제 이동 가입자 식별 번호(international mobile subscriber identification number; IMSI) 또는 네트워크 액세스 식별자(network access identifier; NAI)를 포함할 수 있다.
도 2는 서비스 기반 아키텍처에 기초한 애플리케이션들을 위한 인증 및 키 관리(authentication and key management for applications; AKMA)를 위한 아키텍처의 개략도이다. 5G 시스템과 비교하여, AKMA는 새로운 네트워크 기능부인, AKMA 앵커 기능부(AKMA anchor function; AAnF)를 도입시킨다. AAnF는 홈 네트워크에 위치하며, 사용자 장비(user equipment; UE)와 애플리케이션 기능부(application function; AF) 간의 세션 키를 생성하고 AAnF와 UE 간의 보안 컨텍스트(security context)를 유지하는 데 주로 사용된다. AAnF는 일반 부트스트래핑 아키텍처(General Bootstrapping Architecture; GBA)에서의 부트스트래핑 서버 기능부(Bootstrapping Server Function; BSF)와 유사하고, UE와 AF 간의 인터페이스 Ua*는 GBA에서의 Ua 인터페이스와 유사하다. 도 2에서의 Nnef, Nausf, Naanf, Namf는 각각 네트워크 개방 기능부(network explosion function; NF), AUSF, AAnF, AMF를 위한 서비스 기반 인터페이스들이다.
도 3은 애플리케이션들을 위한 인증 및 키 관리 시스템을 위한 키 도출 아키텍처의 개략도이다. UE가 5G 네트워크에 액세스하고, 5G-인증 및 키 협정(authentication and key agreement; AKA), 즉, 5G-AKA, 또는 확장가능형 인증 프로토콜(extensible authentication protocol)-AKA', 즉, EAP-AKA'를 통한 인증이 성공한 후, AUSF와 UE는 KAUSF 키를 생성하고, AKMA 앵커 키(KAKMA)가 KAUSF 키로부터 도출되고, 이동 장비(mobile equipment; ME)와 AAnF는 KAKMA 키로부터 애플리케이션 키(KAF)를 도출하며, 여기서 AUSF와 AAnF는 둘 다 홈 네트워크 내에 있다.
본 출원의 실시예들은 가입 데이터 업데이트 방법과 장치, 노드, 및 저장 매체를 제공하여, 사용자 가입 데이터가 업데이트되는 경우에, 제2 네트워크 기능 노드가 AKMA와 연관된 컨텍스트를 보유하지 않음으로써, AKMA 트래픽이 공격자에 의해 악용되는 상황을 회피하도록 한다.
본 출원의 실시예들은 가입 데이터 업데이트 방법을 제공하고, 이 방법은, AKMA 가입 데이터가 업데이트되었다고 제1 네트워크 기능 노드가 결정하는 경우, 제1 네트워크 기능 노드에 의해, 사용자의 AKMA 컨텍스트를 저장한 제2 네트워크 기능 노드를 결정하는 단계; 제1 네트워크 기능 노드에 의해, 가입 데이터 관리 통지 메시지를 제2 네트워크 기능 노드에 전송하는 단계; 및 제1 네트워크 기능 노드에 의해, 제2 네트워크 기능 노드에 의해 전송된 가입 데이터 관리 통지 응답 메시지를 수신하는 단계를 포함한다. 가입 데이터 관리 통지 응답 메시지는 가입 데이터 관리 통지 메시지에 따라 제2 네트워크 기능 노드가 사용자의 AKMA 컨텍스트를 삭제한 후에 전송된다.
본 출원의 실시예들은 가입 데이터 업데이트 방법을 제공하고, 이 방법은, 제3 네트워크 기능 노드에 의해, 제1 네트워크 기능 노드에 의해 전송된 질의 메시지를 수신하는 단계; 제3 네트워크 기능 노드에 의해, 질의 메시지에 따라 제2 네트워크 기능 노드를 결정하는 단계; 및 제3 네트워크 기능 노드에 의해, 제1 네트워크 기능 노드에 질의 응답 메시지를 전송하는 단계를 포함한다. 질의 응답 메시지는 제2 네트워크 기능 노드의 식별자 또는 주소를 운송한다.
본 출원의 실시예들은 가입 데이터 업데이트 방법을 제공하고, 이 방법은, 제4 네트워크 기능 노드에 의해, 제2 네트워크 기능 노드를 결정하는 단계; 및 제4 네트워크 기능 노드에 의해, 제1 네트워크 기능 노드에 메시지를 전송하는 단계를 포함한다. 메시지는 제2 네트워크 기능 노드의 식별자 또는 주소를 운송한다.
본 출원의 실시예들은 가입 데이터 업데이트 장치를 제공하고, 이 장치는, 사용자의 AKMA 가입 데이터가 업데이트되었다고 결정하는 경우, 사용자의 AKMA 컨텍스트를 저장한 제2 네트워크 기능 노드를 결정하도록 구성된 결정 모듈; 가입 데이터 관리 통지 메시지를 제2 네트워크 기능 노드에 전송하도록 구성된 전송 모듈; 및 제2 네트워크 기능 노드에 의해 전송된 가입 데이터 관리 통지 응답 메시지를 수신하도록 구성된 수신 모듈을 포함하며; 가입 데이터 관리 통지 응답 메시지는 가입 데이터 관리 통지 메시지에 따라 제2 네트워크 기능 노드가 사용자의 AKMA 컨텍스트를 삭제한 후에 전송된다.
본 출원의 실시예들은 가입 데이터 업데이트 장치를 제공하고, 이 장치는, 제1 네트워크 기능 노드에 의해 전송된 질의 메시지를 수신하도록 구성된 수신 모듈; 질의 메시지에 따라 제2 네트워크 기능 노드를 결정하도록 구성된 결정 모듈; 및 질의 응답 메시지를 제1 네트워크 기능 노드에 전송하도록 구성된 전송 모듈을 포함하며, 질의 응답 메시지는 제2 네트워크 기능 노드의 식별자 또는 주소를 운송한다.
본 출원의 실시예들은 가입 데이터 업데이트 장치를 제공하고, 이 장치는, 제2 네트워크 기능 노드를 결정하도록 구성된 결정 모듈; 및 제1 네트워크 기능 노드에 메시지를 전송하도록 구성된 전송 모듈을 포함하며, 메시지는 제2 네트워크 기능 노드의 식별자 또는 주소를 운송한다.
본 출원의 실시예들은 네트워크 기능 노드를 제공한다. 노드는 프로그램이 프로세서에 의해 실행될 때, 본 출원의 실시예들에 의해 제공되는 가입 데이터 업데이트 방법을 수행하는 프로세서를 포함한다.
본 출원의 실시예들은 컴퓨터 저장소용으로 사용되는 판독가능/기록가능 저장 매체를 제공한다. 저장 매체는 하나 이상의 프로그램을 저장하고, 여기서 하나 이상의 프로그램은 본 출원의 실시예들에 의해 제공되는 가입 데이터 업데이트 방법을 수행하도록 하나 이상의 프로세서에 의해 실행될 수 있다.
본 출원의 실시예들은 가입 데이터 업데이트 방법과 장치, 노드, 및 저장 매체를 제공한다. 본 방법은, 사용자의 AKMA 가입 데이터가 업데이트되었다고 제1 네트워크 기능 노드가 결정하는 경우, 제1 네트워크 기능 노드가 사용자의 AKMA 컨텍스트를 저장한 제2 네트워크 기능 노드를 결정하는 단계; 제1 네트워크 기능 노드가 가입 데이터 관리 통지 메시지를 제2 네트워크 기능 노드에 전송하는 단계; 및 제1 네트워크 기능 노드가 제2 네트워크 기능 노드에 의해 전송된 가입 데이터 관리 통지 응답 메시지를 수신하는 단계를 포함하며; 가입 데이터 관리 통지 응답 메시지는 가입 데이터 관리 통지 메시지에 따라 제2 네트워크 기능 노드가 사용자의 AKMA 컨텍스트를 삭제한 후에 전송된다. 이러한 설계 방식을 통해, 사용자 가입 데이터가 업데이트된 경우, 제2 네트워크 기능 노드는 AKMA와 연관된 컨텍스트를 보유하지 않으므로, AKMA 트래픽이 공격자에 의해 악용되는 상황을 회피할 수 있다.
도 1은 관련 기술에서의 5G 시스템의 아키텍처의 개략도이다.
도 2는 관련 기술에서의 애플리케이션들을 위한 인증 및 키 관리 시스템을 위한 아키텍처의 개략도이다.
도 3은 관련 기술에서의 애플리케이션들을 위한 인증 및 키 관리 시스템을 위한 키 도출 아키텍처의 개략도이다.
도 4는 관련 기술에서의 AKMA 앵커 키 생성 방법의 흐름도이다.
도 5는 본 출원의 실시예에 따른 가입 데이터 업데이트 방법의 흐름도이다.
도 6은 본 출원의 실시예에 따른 가입 데이터 업데이트 방법의 시그널링 상호작용을 보여주는 도면이다.
도 7은 본 출원의 실시예에 따른 다른 가입 데이터 업데이트 방법의 시그널링 상호작용을 보여주는 도면이다.
도 8은 본 출원의 실시예에 따른 다른 가입 데이터 업데이트 방법의 시그널링 상호작용을 보여주는 도면이다.
도 9는 본 출원의 실시예에 따른 다른 가입 데이터 업데이트 방법의 시그널링 상호작용을 보여주는 도면이다.
도 10은 본 출원의 실시예에 따른 다른 가입 데이터 업데이트 방법의 흐름도이다.
도 11은 본 출원의 실시예에 따른 다른 가입 데이터 업데이트 방법의 흐름도이다.
도 12는 본 출원의 실시예에 따른 가입 데이터 업데이트 장치의 구조도이다.
도 13은 본 출원의 실시예에 따른 다른 가입 데이터 업데이트 장치의 구조도이다.
도 14는 본 출원의 실시예에 따른 다른 가입 데이터 업데이트 장치의 구조도이다.
도 15는 본 출원의 실시예에 따른 네트워크 기능 노드의 구조도이다.
도 2는 관련 기술에서의 애플리케이션들을 위한 인증 및 키 관리 시스템을 위한 아키텍처의 개략도이다.
도 3은 관련 기술에서의 애플리케이션들을 위한 인증 및 키 관리 시스템을 위한 키 도출 아키텍처의 개략도이다.
도 4는 관련 기술에서의 AKMA 앵커 키 생성 방법의 흐름도이다.
도 5는 본 출원의 실시예에 따른 가입 데이터 업데이트 방법의 흐름도이다.
도 6은 본 출원의 실시예에 따른 가입 데이터 업데이트 방법의 시그널링 상호작용을 보여주는 도면이다.
도 7은 본 출원의 실시예에 따른 다른 가입 데이터 업데이트 방법의 시그널링 상호작용을 보여주는 도면이다.
도 8은 본 출원의 실시예에 따른 다른 가입 데이터 업데이트 방법의 시그널링 상호작용을 보여주는 도면이다.
도 9는 본 출원의 실시예에 따른 다른 가입 데이터 업데이트 방법의 시그널링 상호작용을 보여주는 도면이다.
도 10은 본 출원의 실시예에 따른 다른 가입 데이터 업데이트 방법의 흐름도이다.
도 11은 본 출원의 실시예에 따른 다른 가입 데이터 업데이트 방법의 흐름도이다.
도 12는 본 출원의 실시예에 따른 가입 데이터 업데이트 장치의 구조도이다.
도 13은 본 출원의 실시예에 따른 다른 가입 데이터 업데이트 장치의 구조도이다.
도 14는 본 출원의 실시예에 따른 다른 가입 데이터 업데이트 장치의 구조도이다.
도 15는 본 출원의 실시예에 따른 네트워크 기능 노드의 구조도이다.
이하, 도면들을 참조하여 본 출원의 실시예들을 상세히 설명한다. 충돌하지 않는 경우, 여기에서 설명되는 실시예들과 그 특징들은 서로 결합될 수 있음에 유의해야 한다.
또한, 본 출원의 실시예들에서, "선택적으로" 또는 "예를 들어"라는 단어는 예제, 예시, 또는 예증으로서의 역할을 의미하는 것으로 여기서 사용된다. 본 출원의 실시예들에서 "선택적" 또는 "예시적"으로서 설명되는 임의의 실시예 또는 설계 방식은 다른 실시예들 또는 설계 방식들보다 더 바람직하거나 유리한 것으로서 해석되어서는 안 된다. "선택적으로" 또는 "예를 들어"라는 단어의 사용은 개념을 구체적인 방식으로 제시하려고 의도된 것이다.
관련 기술에서는, 5G 주 인증(primary authentication) 프로시저(즉, 상술된 5G-AKA 또는 EAP-AKA')를 재사용하여 KAKMA 키가 생성되는 것이 일반적이었다. 인증이 성공한 후, UE와 AUSF는 KAUSF 키로부터 AKMA 앵커 키(KAKMA)를 도출하고, 그 동안, KAKMA 키와 연관된 AKMA 키 식별자(A-KID)가 생성된다. 이러한 방식으로, 5G 주 인증 프로시저를 통해서만 KAKMA 키가 업데이트될 수 있다. AKMA 기술은 5G 네트워크 사용자들을 위해 사용자들에서부터 애플리케이션들까지 종단 간 보안 보호를 제공한다. 사용자 가입 데이터가 업데이트되면, AKMA 트래픽의 사용이 영향을 받는다. AAnF가 AKMA와 연관된 보안 컨텍스트를 계속 보유하는 경우, 공격자는 AKMA 트래픽을 사용할 수 있고, 이는 AKMA 트래픽이 공격자에 의해 악용될 수 있을 가능성으로 이어진다.
본 출원의 실시예들에 의해 제공되는 방법들의 이해를 용이하게 하기 위해, 본 출원의 실시예들 및 도면들에서 포함된 네트워크 기능 노드 기능들의 관련 개념들을 아래에서 더 설명한다.
UDM은 사용자 가입 데이터를 영구적으로 저장하는 데 사용되며, 사용자에 의해 가입된 홈 네트워크 내에 있다. ARPF는 인증을 위한 장기(long-term) 키 크리덴셜들을 저장하고, 장기 키 크리덴셜들을 키 동작들을 수행하기 위한 입력으로서 사용한다. UDM과 ARPF는 운영자 또는 제3자 시스템의 보안 환경 내에 위치하며 무단 물리적 액세스에 노출되지 않는다. 또한, ARPF와 AUSF는 서로 상호작용할 수 있다.
AMF는 네트워크에 액세스하기 위한 사용자의 요구를 관리하기 위해 사용되며, 단말에서 네트워크로의 비액세스 계층(non-access stratum; NAS)의 시그널링 관리, 사용자 이동성 관리, 및 기타 기능들을 책임진다. AMF는 SEAF를 갖고, AMF/SEAF는 AUSF 및 UE와 상호작용하고, UE 인증 프로시저를 위해 구축된 중간 키를 수신한다. AMF는, 범용 가입자 식별 모듈(universal subscriber identity module; USIM)의 인증 방식에 기초하여, AUSF로부터 보안 관련 데이터를 취득한다.
AUSF는 ARPF와 상호작용하는 인증 기능을 가지고 있으며, SEAF로부터의 요청을 종료시킬 수 있다. AUSF는 운영자 또는 제3자 시스템의 보안 환경 내에 위치하며 무단 물리적 액세스에 노출되지 않는다.
SMF는 사용자의 패킷 데이터 유닛(packet data unit; PDU) 세션 및 서비스 품질(quality of service; QoS) 흐름을 관리하고 UPF에 대한 패킷 검출 및 포워딩 규칙들을 제정하는 데 사용된다.
UPF는 인터넷 프로토콜(IP) 데이터 및 비 IP 데이터의 라우팅 및 포워딩, 사용량 보고 등과 같은 기능들을 책임진다.
PCF는 AMF 및 SMF에 대한 모든 레벨들에서의 정책 규칙들을 제공할 책임이 있다.
데이터 네트워크(data network; DN)는 운영자 서비스, 네트워크 액세스, 및 제3자 서비스와 같은 네트워크를 포함한다.
AF는 AF 세션들을 관리하는 데 사용된다.
SUCI는 다음과 같이, 6개 부분들로 구성된다:
(1) 0 내지 7의 값을 갖는 SUPI 유형, 여기서 값 0은 IMSI이고, 값 1은 네트워크 액세스 식별자(network access identifier; NAI)이며, 기타의 것들은 사용될 예정이다.
(2) 홈 네트워크의 사용자들을 식별하는 홈 네트워크 식별자. SUPI가 IMSI인 경우, 홈 네트워크 식별자는 이동 국가 코드(mobile country code; MCC)와 이동 네트워크 코드(mobile network code; MNC)로 구성되고; SUPI가 NAI인 경우, NAI는 IETF RFC 7542의 섹션 2.2에 의해 정의된다.
(3) 홈 네트워크의 운영자에 의해 할당되고 USIM에서 구성되는 라우팅 표시자(routing indicator; RID), 이것은 홈 네트워크 식별자 함께, 네트워크 시그널링이 서빙 사용자의 AUSF 및 UDM으로 라우팅됨을 표시한다.
(4) 널 스킴(null-scheme) 또는 비 널 스킴(non-null-scheme) 중 하나를 가리키는 보호 스킴 식별자.
(5) SUPI를 보호하기 위해 홈 네트워크에 의해 제공되는 공개 키의 식별자를 나타내는 홈 네트워크 공개 키 식별자, 널 스킴의 경우, 홈 네트워크 공개 키 식별자의 값은 0이다.
(6) 스킴 출력, 널 스킴의 경우, 스킴 출력은 NAI 또는 IMSI의 이동 가입자 식별 번호(mobile subscriber identification number; MSIN)이며; 비 널 스킴의 경우, 스킴 출력은 타원 곡선 암호 방식(elliptic curve cryptography; EEC)을 사용한 MSIN 및 NAI의 값들이다.
예를 들어, IMSI가 234150999999999일 때, MCC=234이고, MNC=15이며, MSIN=099999999일 때, 라우팅 표시자는 678이고, 홈 네트워크 공개 키 식별자가 27일 때, 널 스킴의 SUCI는 0, 234, 15, 678, 0, 0 및 0999999999으로 구성되고, 비 널 스킴의 SUCI가 0, 234, 15, 678, 1, 27, <타원 곡선 암호 방식(EEC) 순시적 공개 키 값>, <암호화 09999999> 및 <메시지 인증 코드(message authentication code; MAC) 값 (MAC 태그 값)>으로 구성된다.
도 4에서 도시된 바와 같이, 5G 주 인증 프로시저는 S401, S402, S403, S404, S405를 포함한다.
S401에서, AUSF는 인증 크리덴셜(예를 들어, AKA 인증 벡터(authentication vector; AV))과 같은 인증 정보를 취득하기 위해 UDM과 상호작용하며, 여기서 인증 방식은 Nudm_UEAuthentication_Get Request 서비스 동작이다.
S402에서, UDM은, 응답 메시지에서, AKMA 키가 UE에 대해 생성될 필요가 있는지 여부를 AUSF에게 표시할 수 있다.
S403에서, AUSF가 UDM으로부터 AKMA 표시를 수신하면, AUSF는 KAUSF를 저장하고 주 인증이 성공한 후 KAUSF에 기초하여 AKMA 앵커 키(KAKMA) 및 A-KID를 생성한다. UE가 AKMA 애플리케이션 서버와 통신을 시작하기 전에, UE는 KAUSF에 기초하여 AKMA 앵커 키(KAKMA) 및 A-KID를 생성한다.
S404에서, AUSF가 AKMA 키 자료를 생성한 후, 사용자의 SUPI와 생성된 A-KID 및 KAKMA가 Naanf_AKMA_KeyRegistration Request 서비스 동작을 사용하여 AAnF로 전송된다. AAnF는 AUSF에 의해 전송된 최신 키 자료를 저장한다.
S405에서, AAnF는 Naanf_AKMA_KeyRegistration Response 서비스 동작을 사용하여 AUSF에 응답을 전송한다.
상술한 개념에 기초하여, 본 출원의 실시예들은 가입 데이터 업데이트 방법을 제공한다. 방법의 흐름도는 도 5에서 도시되어 있고, S501, S502, S503을 포함하지만 이에 한정되지는 않는다.
S501에서, 사용자의 AKMA 가입 데이터가 업데이트되었다고 제1 네트워크 기능 노드가 결정하는 경우, 제1 네트워크 기능 노드가 사용자의 AKMA 컨텍스트를 저장한 제2 네트워크 기능 노드를 결정한다.
본 출원의 이 실시예에 있어서, S501에서는, 제1 네트워크 기능 노드가 UDM으로서 이해될 수 있고, 제2 네트워크 기능 노드는 AAnF로서 이해될 수 있다.
S501에서의 사용자의 AKMA 가입 데이터의 업데이트는 다음의 경우들을 포함할 수 있되 이에 한정되지는 않는다: 첫번째 경우에서, 사용자가 네트워크로부터 탈퇴하고 UDM에서 사용자의 가입 메시지를 삭제함; 두번째 경우에서, 사용자가 AKMA 트래픽을 사용하지 않고 AKMA 가입 정보를 삭제함; 및 세번째 경우에서, 사용자가 체납과 같은 다양한 사유로 서비스를 사용할 수 없음.
즉, S501은 사용자의 AKMA 가입 데이터가 업데이트된 경우에서, UDM이 사용자의 AKMA 컨텍스트를 저장한 AAnF를 확인할 필요가 있는 것으로서 이해될 수 있다.
S502에서, 제1 네트워크 기능 노드가 가입 데이터 관리 통지 메시지를 제2 네트워크 기능 노드에 전송한다.
제1 네트워크 기능 노드가 제2 네트워크 기능 노드를 결정하고 가입 데이터 관리 통지 메시지를 제2 네트워크 기능 노드에 전송할 때, 사용자 식별자(SUPI)가 가입 데이터 관리 통지 메시지에서 운송될 수 있다. 선택적으로, 사용자의 AKMA 가입 표시가 또한 가입 데이터 관리 통지 메시지에서 운송될 수 있다.
S503에서, 제1 네트워크 기능 노드가 제2 네트워크 기능 노드에 의해 전송된 가입 데이터 관리 통지 응답 메시지를 수신한다.
제2 네트워크 기능 노드가 제1 네트워크 기능 노드에 의해 전송된 가입 데이터 관리 통지 메시지를 수신한 후, 제2 네트워크 기능 노드는 가입 데이터 관리 통지 메시지에서 운송된 사용자 식별자(SUPI)에 따라 SUPI, A-KID 및 KAKMA와 같은 사용자의 저장된 AKMA 컨텍스트를 삭제할 수 있고, 그런 후 제1 네트워크 기능 노드에 가입 데이터 관리 통지 응답 메시지를 전송할 수 있다.
본 출원의 이 실시예는 가입 데이터 업데이트 방법을 제공하며, 이 방법은 다음을 포함한다: 사용자의 AKMA 가입 데이터가 업데이트되었다고 제1 네트워크 기능 노드가 결정하는 경우, 제1 네트워크 기능 노드가 사용자의 AKMA 컨텍스트를 저장한 제2 네트워크 기능 노드를 결정하는 단계; 제1 네트워크 기능 노드가 가입 데이터 관리 통지 메시지를 제2 네트워크 기능 노드에 전송하는 단계; 및 제1 네트워크 기능 노드가 제2 네트워크 기능 노드에 의해 전송된 가입 데이터 관리 통지 응답 메시지를 수신하는 단계. 가입 데이터 관리 통지 응답 메시지는 가입 데이터 관리 통지 메시지에 따라 제2 네트워크 기능 노드가 사용자의 AKMA 컨텍스트를 삭제한 후에 전송된다. 이러한 설계 방식을 통해, 사용자 가입 데이터가 업데이트된 경우, 제2 네트워크 기능 노드는 AKMA와 연관된 컨텍스트를 보유하지 않으므로, AKMA 트래픽이 공격자에 의해 악용되는 상황을 회피할 수 있다.
실시예에서, 상기 S501의 구현은 다음의 경우들을 포함할 수 있지만 이에 한정되지는 않는다: 첫번째 경우에서, 제1 네트워크 기능 노드가 로컬 구성에 따라 제2 네트워크 기능 노드를 결정함; 두번째 경우에서, 제1 네트워크 기능 노드가 제3 네트워크 기능 노드를 통해 제2 네트워크 기능 노드를 결정함; 및 세번째 경우에서, 제1 네트워크 기능 노드가 제4 네트워크 기능 노드를 통해 제2 네트워크 기능 노드를 결정함.
도 6에서 도시된 바와 같이, 상술된 첫번째 경우의 구현은 제1 네트워크 기능 노드가 사용자 식별자의 부분 필드에 따라 제2 네트워크 기능 노드를 결정하는 것을 포함할 수 있다.
예를 들어, 부분 필드는 MCC, MNC 등을 포함할 수 있다.
도 7에서 도시된 바와 같이, 두번째 경우의 구현은 다음 프로세스들을 포함할 수 있다: 제1 네트워크 기능 노드가 제3 네트워크 기능 노드에 질의 메시지를 전송하고; 제1 네트워크 기능 노드가 질의 메시지에 따라 제3 네트워크 기능 노드에 의해 전송된 질의 응답 메시지를 수신하며, 여기서 질의 응답 메시지는 제2 네트워크 기능 노드의 식별자 또는 주소를 운송하고; 제1 네트워크 기능 노드가 질의 응답 메시지에 따라 제2 네트워크 기능 노드를 결정한다.
예를 들어, 질의 메시지는 (AAnF와 같은) 네트워크 기능 명칭 및/또는 (AAnF 유형과 같은) 네트워크 유형 및 사용자 식별자(SUPI) 및/또는 제1 네트워크 기능 노드의 위치 정보를 운송할 수 있다. 제3 네트워크 기능 노드는 네트워크 저장소 기능부(network repository function; NRF)일 수 있는데, 즉, NRF는 질의 메시지 내의 SUPI 및/또는 UDM 위치 정보 및 AAnF 네트워크 기능 명칭 및/또는 AAnF 네트워크 유형에 따라 사용자의 AKMA 컨텍스트를 저장한 AAnF를 질의하고, 그런 후 질의 응답 메시지를 UDM에 전송한다.
도 8에서 도시된 바와 같이, 실시예에서, 세번째 경우의 구현은 다음 프로세스들을 포함할 수 있다: 제1 네트워크 기능 노드가 제4 네트워크 기능 노드에 가입 변경 요청 메시지를 전송하고; 제1 네트워크 기능 노드가 제4 네트워크 기능 노드에 의해 전송된 가입 변경 요청 응답 메시지를 수신하고, 여기서 가입 변경 요청 응답 메시지는 제2 네트워크 기능 노드의 식별자 또는 주소를 운송하며; 제1 네트워크 기능 노드가 가입 변경 요청 응답 메시지에 따라 제2 네트워크 기능 노드를 결정한다.
예를 들어, 제4 네트워크 기능 노드는 AUSF일 수 있고, 가입 변경 요청은 (AAnF와 같은) 네트워크 기능 명칭 및/또는 (AAnF 유형과 같은) 네트워크 유형 및 사용자 식별자(SUPI) 및/또는 제1 네트워크 기능 노드의 위치 정보를 운송할 수 있다. 즉, AUSF는 SUPI 및/또는 UDM 위치 정보 및 AAnF 네트워크 기능 명칭 및/또는 AAnF 네트워크 유형에 따라 사용자의 AKMA 컨텍스트를 저장한 AAnF를 질의하고 질의 결과를 가입 변경 요청 응답 메시지의 형태로 UDM에 전송한다.
도 9에서 도시된 바와 같이, 실시예에서, 세번째 경우의 구현은 다음 프로세스들을 포함할 수 있다: 제1 네트워크 기능 노드가 제4 네트워크 기능 노드에 의해 전송된 가입 데이터 관리 가입 메시지를 수신하고, 여기서 가입 데이터 관리 가입 메시지는 제2 네트워크 기능 노드의 식별자 또는 주소를 운송하고; 제1 네트워크 기능 노드가 가입 데이터 관리 가입 메시지에 따라 제2 네트워크 기능 노드의 식별자 또는 주소를 저장하고; 제1 네트워크 기능 노드가 제2 네트워크 기능 노드의 저장된 식별자 또는 주소에 따라 제2 네트워크 기능 노드를 결정한다.
선택적으로, 제1 네트워크 기능 노드가 제4 네트워크 기능 노드에 의해 전송된 가입 데이터 관리 가입 메시지를 수신한 후, 제1 네트워크 기능 노드는 또한 가입 데이터 관리 가입 응답 메시지를 제4 네트워크 기능 노드에 전송할 수 있다.
제1 네트워크 기능 노드가 제4 네트워크 기능 노드에 의해 전송된 가입 데이터 관리 가입 메시지를 수신하기 전에, 제1 네트워크 기능 노드는 또한 제4 네트워크 기능 노드를 통해 주 인증 프로시저를 실행할 수 있으며, 여기서 주 인증 프로시저는 본 출원의 도 4에서 제공된 구현 모드이다. 도 4에서 알 수 있는 바와 같이, AUSF가 AKMA 키 자료를 생성한 후, AUSF는 AKMA 키 자료를 AAnF에 전송하고, AAnF는 AKMA 키 자료를 저장한다. 이러한 방식으로, 사용자의 AKMA 가입 데이터가 업데이트될 때, UDM은 AAnF의 저장된 식별자 또는 주소에 따라 가입 데이터 관리 통지 메시지를 AAnF에 전송할 수 있다.
도 10은 본 출원의 실시예에 따른 다른 가입 데이터 업데이트 방법의 흐름도이다. 도 10에서 도시된 바와 같이, 방법은 S1001, S1002, S1003을 포함할 수 있지만 이에 한정되지는 않는다.
S1001에서, 제3 네트워크 기능 노드가 제1 네트워크 기능 노드에 의해 전송된 질의 메시지를 수신한다.
본 출원의 이 실시예에서, 제3 네트워크 기능 노드는 NRF일 수 있고, 제1 네트워크 기능 노드는 UDM일 수 있고, 제1 네트워크 기능 노드에 의해 전송된 질의 메시지는 네트워크 기능 명칭 및/또는 네트워크 유형 및 사용자 식별자 및/또는 제1 네트워크 기능 노드의 위치 정보를 운송할 수 있다.
S1002에서, 제3 네트워크 기능 노드가 질의 메시지에 따라 제2 네트워크 기능 노드를 결정한다.
제3 네트워크 기능 노드는 질의 메시지 내의 네트워크 기능 명칭 및/또는 네트워크 유형 및 사용자 식별자 및/또는 제1 네트워크 기능 노드의 위치 정보에 따라 제2 네트워크 기능 노드를 질의한다.
제2 네트워크 기능 노드는 AAnF일 수 있고, AAnF는 사용자의 AKMA 컨텍스트를 저장하는 데 사용된다.
S1003에서, 제3 네트워크 기능 노드가 제1 네트워크 기능 노드에 질의 응답 메시지를 전송한다.
제3 네트워크 기능 노드에 의해 전송된 질의 응답 메시지는 제2 네트워크 기능 노드의 식별자 또는 주소를 운송한다.
본 출원의 이 실시예는 가입 데이터 업데이트 방법을 제공하고, 이 방법은 다음을 포함한다: 제3 네트워크 기능 노드가 제1 네트워크 기능 노드에 의해 전송된 질의 메시지를 수신하고; 제3 네트워크 기능 노드가 질의 메시지에 따라 제2 네트워크 기능 노드를 결정하고; 제3 네트워크 기능 노드가 제1 네트워크 기능 노드에 질의 응답 메시지를 전송하고, 여기서 질의 응답 메시지는 제2 네트워크 기능 노드의 식별자 또는 주소를 운송한다. 상술된 해결책을 통해, 제2 네트워크 기능 노드가 효과적으로 결정될 수 있음으로써, 사용자 가입 데이터가 업데이트된 경우에, 제1 네트워크 기능 노드가 제2 네트워크 기능 노드에 가입 데이터 관리 통지 메시지를 전송할 수 있고, 제2 네트워크 기능 노드가 AKMA와 연관된 컨텍스트를 보유하지 않도록 하여, AKMA 트래픽이 공격자에 의해 악용되는 상황을 회피할 수 있다.
도 11은 본 출원의 실시예에 따른 다른 가입 데이터 업데이트 방법의 흐름도이다. 도 11에서 도시된 바와 같이, 방법은 S1101, S1102를 포함할 수 있지만 이에 한정되지는 않는다.
S1101에서, 제4 네트워크 기능 노드가 제2 네트워크 기능 노드를 결정한다.
본 출원의 이 실시예에서, 제4 네트워크 기능 노드는 AUSF일 수 있고, 제2 네트워크 기능 노드는 AAnF일 수 있고, AAnF는 사용자의 AKMA 컨텍스트를 저장하는 데 사용된다.
예를 들어, S1101의 구현 모드는 다음을 포함할 수 있다: 제4 네트워크 기능 노드가 제1 네트워크 기능 노드에 의해 전송된 가입 변경 요청 메시지를 수신하고, 여기서 가입 변경 요청 메시지는 사용자 식별자를 운송하며; 제4 네트워크 기능 노드가 사용자 식별자에 따라 제2 네트워크 기능 노드를 질의한다.
제1 네트워크 기능 노드는 UDM일 수 있는데, 즉, AUSF가 UDM에 의해 전송된 가입 변경 요청 메시지를 수신한 후, AUSF는 메시지 내의 사용자 식별자에 따라 사용자의 AKMA 컨텍스트를 저장한 AAnF를 질의한다.
S1102에서, 제4 네트워크 기능 노드는 제1 네트워크 기능 노드에 메시지를 전송한다.
제4 네트워크 기능 노드에 의해 전송된 메시지는 제2 네트워크 기능 노드의 식별자 또는 주소를 운송할 수 있다.
본 출원의 이 실시예는 가입 데이터 업데이트 방법을 제공하고, 이 방법은 다음을 포함한다: 제4 네트워크 기능 노드가 제2 네트워크 기능 노드를 결정하며; 제4 네트워크 기능 노드가 제1 네트워크 기능 노드에 메시지를 전송하고, 여기서 메시지는 제2 네트워크 기능 노드의 식별자 또는 주소를 운송한다. 상술된 해결책을 통해, 제1 네트워크 기능 노드가 제2 네트워크 기능 노드를 결정할 수 있음으로써, 사용자 가입 데이터가 업데이트된 경우에, 제1 네트워크 기능 노드가 제2 네트워크 기능 노드에 가입 데이터 관리 통지 메시지를 전송하고, 제2 네트워크 기능 노드가 AKMA와 연관된 컨텍스트를 보유하지 않도록 하여, AKMA 트래픽이 공격자에 의해 악용되는 상황을 회피된다.
도 12는 본 출원의 실시예에 따른 가입 데이터 업데이트 장치의 구조도이다. 도 12에서 도시된 바와 같이, 장치는 결정 모듈(1201), 전송 모듈(1202), 및 수신 모듈(1203)을 포함할 수 있다. 결정 모듈은 사용자의 AKMA 가입 데이터가 업데이트되었다고 결정하는 경우, 사용자의 AKMA 컨텍스트를 저장한 제2 네트워크 기능 노드를 결정하도록 구성된다. 전송 모듈은 가입 데이터 관리 통지 메시지를 제2 네트워크 기능 노드에 전송하도록 구성된다. 수신 모듈은 제2 네트워크 기능 노드에 의해 전송된 가입 데이터 관리 통지 응답 메시지를 수신하도록 구성된다. 가입 데이터 관리 통지 응답 메시지는 가입 데이터 관리 통지 메시지에 따라 제2 네트워크 기능 노드가 사용자의 AKMA 컨텍스트를 삭제한 후에 전송된다.
예시에서, 결정 모듈은, 로컬 구성에 따라 제2 네트워크 기능 노드를 결정하고; 제3 네트워크 기능 노드를 통해 제2 네트워크 기능 노드를 결정하며; 제4 네트워크 기능 노드를 통해 제2 네트워크 기능 노드를 결정하도록 구성된다.
예시에서, 결정 모듈은 사용자 식별자의 부분 필드에 따라 제2 네트워크 기능 노드를 결정하도록 구성된다.
예시에서, 결정 모듈은 통신 유닛 및 결정 유닛을 포함할 수 있다. 통신 유닛은 제3 네트워크 기능 노드에 질의 메시지를 전송하고 질의 메시지에 따라 제3 네트워크 기능 노드에 의해 전송된 질의 응답 메시지를 수신하도록 구성되며, 여기서 질의 응답 메시지는 제2 네트워크 기능 노드의 식별자 또는 주소를 운송한다. 결정 유닛은 질의 응답 메시지에 따라 제2 네트워크 기능 노드를 결정하도록 구성된다.
예시에서, 결정 모듈은 통신 유닛 및 결정 유닛을 포함할 수 있다. 통신 유닛은 가입 변경 요청 메시지를 제4 네트워크 기능 노드에 전송하고 제4 네트워크 기능 노드에 의해 전송된 가입 변경 요청 응답 메시지를 수신하도록 구성되며, 여기서 가입 변경 요청 응답 메시지는 제2 네트워크 기능 노드의 식별자 또는 주소를 운송한다. 결정 유닛은 가입 변경 요청 응답 메시지에 따라 제2 네트워크 기능 노드를 결정하도록 구성된다.
질의 메시지는 네트워크 기능 명칭 및/또는 네트워크 유형 및 사용자 식별자 및/또는 제1 네트워크 기능 노드의 위치 정보를 운송할 수 있다. 가입 변경 요청 메시지는 네트워크 기능 명칭 및/또는 네트워크 유형 및 사용자 식별자 및/또는 제1 네트워크 기능 노드의 위치 정보를 운송할 수 있다.
예시에서, 결정 모듈은 통신 유닛, 저장 유닛, 및 결정 유닛을 포함할 수 있다. 통신 유닛은 제4 네트워크 기능 노드에 의해 전송된 가입 데이터 관리 가입 메시지를 수신하도록 구성되고, 여기서 가입 데이터 관리 가입 메시지는 제2 네트워크 기능 노드의 식별자 또는 주소를 운송한다. 저장 유닛은 가입 데이터 관리 가입 메시지에 따라 제2 네트워크 기능 노드의 식별자 또는 주소를 저장하도록 구성된다. 결정 유닛은 제2 네트워크 기능 노드의 저장된 식별자 또는 주소에 따라 제2 네트워크 기능 노드를 결정하도록 구성된다.
예시에서, 장치는 제4 네트워크 기능 노드를 통해 주 인증 프로시저를 실행하도록 구성된 인증 모듈을 더 포함할 수 있다.
본 실시예에 의해 제공되는 가입 데이터 업데이트 장치는 도 5, 도 6, 도 7, 도 8, 및 도 9에서 도시된 실시예들의 가입 데이터 업데이트 방법들을 구현하기 위해 사용된다. 장치의 구현 원리 및 기술적 효과는 방법들의 것들과 유사하며, 여기서는 상세한 설명을 생략한다.
도 13은 본 출원의 실시예에 따른 다른 가입 데이터 업데이트 장치의 구조도이다. 도 13에서 도시된 바와 같이, 본 장치는 수신 모듈(1301), 결정 모듈(1302), 및 전송 모듈(1303)을 포함할 수 있다. 수신 모듈은 제1 네트워크 기능 노드에 의해 전송된 질의 메시지를 수신하도록 구성된다. 결정 모듈은 질의 메시지에 따라 제2 네트워크 기능 노드를 결정하도록 구성된다. 전송 모듈은 제1 네트워크 기능 노드에 질의 응답 메시지를 전송하도록 구성되고, 여기서 질의 응답 메시지는 제2 네트워크 기능 노드의 식별자 또는 주소를 운송한다.
질의 메시지는 네트워크 기능 명칭 및/또는 네트워크 유형 및 사용자 식별자 및/또는 제1 네트워크 기능 노드의 위치 정보를 운송한다.
이 실시예에 의해 제공되는 가입 데이터 업데이트 장치는 도 10에서 도시된 실시예의 가입 데이터 업데이트 방법을 구현하기 위해 사용된다. 장치의 구현 원리 및 기술적 효과는 방법의 것들과 유사하며, 여기서는 상세한 설명을 생략한다.
도 14는 본 출원의 실시예에 따른 다른 가입 데이터 업데이트 장치의 구조도이다. 도 14에서 도시된 바와 같이, 장치는 결정 모듈(1401) 및 전송 모듈(1402)을 포함할 수 있다. 결정 모듈은 제2 네트워크 기능 노드를 결정하도록 구성된다. 전송 모듈은 제1 네트워크 기능 노드에 메시지를 전송하도록 구성되고, 여기서 메시지는 제2 네트워크 기능 노드의 식별자 또는 주소를 운송한다.
선택적으로, 결정 모듈은 통신 유닛과 질의 유닛을 포함할 수 있다. 통신 유닛은 제1 네트워크 기능 노드에 의해 전송된 가입 변경 요청 메시지를 수신하도록 구성되며, 여기서 가입 변경 요청 메시지는 사용자 식별자를 운송한다. 질의 유닛은 사용자 식별자에 따라 제2 네트워크 기능 노드를 질의하도록 구성된다.
이 실시예에 의해 제공되는 가입 데이터 업데이트 장치는 도 11에서 도시된 실시예의 가입 데이터 업데이트 방법을 구현하기 위해 사용된다. 장치의 구현 원리 및 기술적 효과는 방법의 것들과 유사하며, 여기서는 상세한 설명을 생략한다.
도 15는 본 출원의 실시예에 따른 네트워크 기능 노드의 구조도이다. 도 15에서 도시된 바와 같이, 네트워크 기능 노드는 프로세서(1501)와 메모리(1502)를 포함한다. 네트워크 기능 노드 내의 프로세서들(1501)의 수는 하나 이상일 수 있으며, 도 15에서는 하나의 프로세서(1501)가 예시로서 도해되어 있다. 네트워크 기능 노드 내의 프로세서(1501)와 메모리(702)는 버스를 통해 또는 다른 방식으로 연결될 수 있으며, 도 15에서는 버스를 통한 연결이 예시로서 도해되어 있다.
컴퓨터 판독가능 저장 매체로서, 메모리(1502)는 도 5 내지 도 11에서 도시된 본 출원의 실시예들 중 임의의 실시예의 방법에 대응하는 프로그램 명령어들/모듈들과 같은, 소프트웨어 프로그램, 컴퓨터 실행가능 프로그램, 및 모듈을 저장하도록 구성될 수 있다. 프로세서(1501)는 메모리(1502)에 저장된 소프트웨어 프로그램, 명령어, 또는 모듈을 실행하여, 도 5 내지 도 11에서 도시된 실시예들의 방법을 수행한다.
메모리(1502)는 프로그램 저장 영역과 데이터 저장 영역을 주로 포함할 수 있으며, 프로그램 저장 영역은 적어도 하나의 기능에 의해 필요한 운영체제 및 애플리케이션 프로그램을 저장할 수 있는 반면, 데이터 저장 영역은 셋톱박스의 용도에 따라 생성되는 데이터를 저장할 수 있다. 또한, 메모리(1502)는 고속 랜덤 액세스 메모리를 포함할 수 있고, 또한 적어도 하나의 디스크 메모리, 플래시 메모리, 또는 다른 비휘발성 솔리드 스테이트 메모리와 같은 비휘발성 메모리를 포함할 수 있다.
예시에서, 가능한 경우, 노드 내의 프로세서는 또한 자신의 내부 로직 회로, 게이트 회로, 및 기타 하드웨어 회로들을 통해 가입 데이터 업데이트 방법을 구현할 수 있다.
본 출원의 실시예들은 컴퓨터 저장소용으로 사용되는 판독가능/기록가능 저장 매체를 더 제공한다. 저장 매체는 하나 이상의 프로그램을 저장하고, 하나 이상의 프로그램은, 하나 이상의 프로세서에 의해 실행될 때, 도 5 내지 도 11에서 도시된 실시예들 중 임의의 실시예에 의해 제공된 방법을 수행할 수 있다.
앞선 설명에서 개시된 방법의 단계들과 디바이스의 전부 또는 일부에서의 기능 모듈들/유닛들이 소프트웨어, 펌웨어, 하드웨어, 또는 이들의 임의의 적절한 조합으로서 구현될 수 있다는 것이 당업자에 의해 이해될 것이다.
하드웨어 구현에서, 기능 모듈들/유닛들의 분할은 물리적 컴포넌트들의 분할에 대응하지 않을 수 있다. 예를 들어, 하나의 물리적 컴포넌트가 여러 기능을 가질 수 있거나, 또는 하나의 기능 또는 단계가 여러 물리적 컴포넌트들에 의해 공동으로 수행될 수 있다. 물리적 컴포넌트들의 일부 또는 전부는 중앙 처리 장치, 디지털 신호 프로세서 또는 마이크로프로세서와 같은 프로세서에 의해 실행되는 소프트웨어로서 구현될 수 있거나, 하드웨어로서 구현될 수 있거나, 또는 주문형 집적 회로와 같은 집적 회로로서 구현될 수 있다. 그러한 소프트웨어는 컴퓨터 판독가능 매체를 통해 배포될 수 있다. 컴퓨터 판독가능 매체는 컴퓨터 저장 매체(또는 비일시적 매체) 및 통신 매체(또는 일시적 매체)를 포함할 수 있다. 당업자에게 공지된 바와 같이, 컴퓨터 저장 매체라는 용어는 (컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈, 또는 기타 데이터와 같은) 정보를 저장하기 위한 임의의 방법 또는 기술에서 구현되는 휘발성 및 비휘발성 뿐만 아니라 착탈식 및 비착탈식 매체를 포함한다. 컴퓨터 저장 매체는, 비제한적인 예시로서, 랜덤 액세스 메모리(random-access memory; RAM), 판독 전용 메모리(read-only memory; ROM), 전기적 소거가능 프로그래밍가능 판독 전용 메모리(electrically erasable programmable read-only memory; EEPROM), 플래시 메모리 또는 다른 메모리 기술, 컴팩트 디스크 판독 전용 메모리(compact disc read-only memory; CD-ROM), 디지털 다목적 디스크(digital versatile disc; DVD) 또는 다른 광학 디스크 저장소, 자기 카세트, 자기 테이프, 디스크 저장소 또는 다른 자기 저장 장치, 또는 원하는 정보를 저장하는 데 사용되고 컴퓨터에 의해 액세스가능한 임의의 기타 매체를 포함한다. 또한, 당업자에게 공지된 바와 같이, 통신 매체는 일반적으로 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈 또는 기타 데이터를 캐리어들 내에 또는 기타 전송 메커니즘으로 전송되는 변조 데이터 신호 내에 포함시키고, 임의의 정보 전달 매체를 포함할 수 있다.
본 출원의 바람직한 실시예들은 도면들을 참조하여 여기서 예시되며 본 출원의 범위를 한정시키도록 의도된 것은 아니다. 본 출원의 범위와 사상을 벗어나지 않고서 당업자에 의해 이루어지는 모든 수정, 균등 대체물, 및 개선은 본 출원의 범위에 속한다.
Claims (18)
- 가입 데이터 업데이트 방법에 있어서,
사용자의 애플리케이션들을 위한 인증 및 키 관리(authentication and key management for applications; AKMA) 가입 데이터가 업데이트되었다고 제1 네트워크 기능 노드가 결정하는 경우, 상기 제1 네트워크 기능 노드에 의해, 상기 사용자의 AKMA 컨텍스트(context)를 저장한 제2 네트워크 기능 노드를 결정하는 단계;
상기 제1 네트워크 기능 노드에 의해, 가입 데이터 관리 통지 메시지를 상기 제2 네트워크 기능 노드에 전송하는 단계; 및
상기 제1 네트워크 기능 노드에 의해, 상기 제2 네트워크 기능 노드에 의해 전송된 가입 데이터 관리 통지 응답 메시지를 수신하는 단계
를 포함하며,
상기 가입 데이터 관리 통지 응답 메시지는, 상기 가입 데이터 관리 통지 메시지에 따라 상기 제2 네트워크 기능 노드가 상기 사용자의 AKMA 컨텍스트를 삭제한 후에 전송되는 것인 가입 데이터 업데이트 방법. - 제1항에 있어서,
상기 제1 네트워크 기능 노드에 의해, 상기 사용자의 AKMA 컨텍스트를 저장한 제2 네트워크 기능 노드를 결정하는 단계는,
상기 제1 네트워크 기능 노드에 의해, 로컬 구성에 따라 상기 제2 네트워크 기능 노드를 결정하는 단계; 또는
상기 제1 네트워크 기능 노드에 의해, 제3 네트워크 기능 노드에 따라 상기 제2 네트워크 기능 노드를 결정하는 단계; 또는
상기 제1 네트워크 기능 노드에 의해, 제4 네트워크 기능 노드에 따라 상기 제2 네트워크 기능 노드를 결정하는 단계
를 포함한 것인 가입 데이터 업데이트 방법. - 제2항에 있어서,
상기 제1 네트워크 기능 노드에 의해, 상기 로컬 구성에 따라 상기 제2 네트워크 기능 노드를 결정하는 단계는,
상기 제1 네트워크 기능 노드에 의해, 사용자 식별자의 부분 필드에 따라 상기 제2 네트워크 기능 노드를 결정하는 단계
를 포함한 것인 가입 데이터 업데이트 방법. - 제2항에 있어서,
상기 제1 네트워크 기능 노드에 의해, 상기 제3 네트워크 기능 노드에 따라 상기 제2 네트워크 기능 노드를 결정하는 단계는,
상기 제1 네트워크 기능 노드에 의해, 상기 제3 네트워크 기능 노드에 질의 메시지를 전송하는 단계;
상기 제1 네트워크 기능 노드에 의해, 상기 질의 메시지에 따라 상기 제3 네트워크 기능 노드에 의해 전송된 질의 응답 메시지를 수신하는 단계 - 상기 질의 응답 메시지는 상기 제2 네트워크 기능 노드의 식별자 또는 주소를 운송함 -; 및
상기 제1 네트워크 기능 노드에 의해, 상기 질의 응답 메시지에 따라 상기 제2 네트워크 기능 노드를 결정하는 단계
를 포함한 것인 가입 데이터 업데이트 방법. - 제2항에 있어서,
상기 제1 네트워크 기능 노드에 의해, 상기 제4 네트워크 기능 노드에 따라 상기 제2 네트워크 기능 노드를 결정하는 단계는,
상기 제1 네트워크 기능 노드에 의해, 상기 제4 네트워크 기능 노드에 가입 변경 요청 메시지를 전송하는 단계;
상기 제1 네트워크 기능 노드에 의해, 상기 제4 네트워크 기능 노드에 의해 전송된 가입 변경 요청 응답 메시지를 수신하는 단계 - 상기 가입 변경 요청 응답 메시지는 상기 제2 네트워크 기능 노드의 식별자 또는 주소를 운송함 -; 및
상기 제1 네트워크 기능 노드에 의해, 상기 가입 변경 요청 응답 메시지에 따라 상기 제2 네트워크 기능 노드를 결정하는 단계
를 포함한 것인 가입 데이터 업데이트 방법. - 제4항에 있어서,
상기 질의 메시지는, 상기 제2 네트워크 기능 노드의 네트워크 기능 명칭 또는 상기 제2 네트워크 기능 노드의 네트워크 유형 중 적어도 하나, 및 사용자 식별자 또는 상기 제1 네트워크 기능 노드의 위치 정보 중 적어도 하나를 운송하는 것인 가입 데이터 업데이트 방법. - 제5항에 있어서,
상기 가입 변경 요청 메시지는, 상기 제2 네트워크 기능 노드의 네트워크 기능 명칭 또는 상기 제2 네트워크 기능 노드의 네트워크 유형 중 적어도 하나, 및 사용자 식별자 또는 상기 제1 네트워크 기능 노드의 위치 정보 중 적어도 하나를 운송하는 것인 가입 데이터 업데이트 방법. - 제2항에 있어서,
상기 제1 네트워크 기능 노드에 의해, 상기 제4 네트워크 기능 노드에 따라 상기 제2 네트워크 기능 노드를 결정하는 단계는,
상기 제1 네트워크 기능 노드에 의해, 상기 제4 네트워크 기능 노드에 의해 전송된 가입 데이터 관리 가입 메시지를 수신하는 단계 - 상기 가입 데이터 관리 가입 메시지는 상기 제2 네트워크 기능 노드의 식별자 또는 주소를 운송함 -;
상기 제1 네트워크 기능 노드에 의해, 상기 가입 데이터 관리 가입 메시지에 따라 상기 제2 네트워크 기능 노드의 상기 식별자 또는 상기 주소를 저장하는 단계; 및
상기 제1 네트워크 기능 노드에 의해, 상기 제1 네트워크 기능 노드에 의해 저장된 상기 제2 네트워크 기능 노드의 상기 식별자 또는 상기 주소에 따라 상기 제2 네트워크 기능 노드를 결정하는 단계
를 포함한 것인 가입 데이터 업데이트 방법. - 제8항에 있어서,
상기 제1 네트워크 기능 노드에 의해, 상기 제4 네트워크 기능 노드에 의해 전송된 상기 가입 데이터 관리 가입 메시지를 수신하기 전에,
상기 제1 네트워크 기능 노드에 의해, 상기 제4 네트워크 기능 노드를 통해 주 인증 프로세스를 수행하는 단계
를 더 포함한 것인 가입 데이터 업데이트 방법. - 가입 데이터 업데이트 방법에 있어서,
제3 네트워크 기능 노드에 의해, 제1 네트워크 기능 노드에 의해 전송된 질의 메시지를 수신하는 단계;
상기 제3 네트워크 기능 노드에 의해, 상기 질의 메시지에 따라 제2 네트워크 기능 노드를 결정하는 단계; 및
상기 제3 네트워크 기능 노드에 의해, 상기 제1 네트워크 기능 노드에 질의 응답 메시지를 전송하는 단계
를 포함하며,
상기 질의 응답 메시지는 상기 제2 네트워크 기능 노드의 식별자 또는 주소를 운송하는 것인 가입 데이터 업데이트 방법. - 제10항에 있어서,
상기 질의 메시지는, 상기 제2 네트워크 기능 노드의 네트워크 기능 명칭 또는 상기 제2 네트워크 기능 노드의 네트워크 유형 중 적어도 하나, 및 사용자 식별자 또는 상기 제1 네트워크 기능 노드의 위치 정보 중 적어도 하나를 운송하는 것인 가입 데이터 업데이트 방법. - 가입 데이터 업데이트 방법에 있어서,
제4 네트워크 기능 노드에 의해, 제2 네트워크 기능 노드를 결정하는 단계; 및
상기 제4 네트워크 기능 노드에 의해, 제1 네트워크 기능 노드에 메시지를 전송하는 단계
를 포함하며,
상기 메시지는 상기 제2 네트워크 기능 노드의 식별자 또는 주소를 운송하는 것인 가입 데이터 업데이트 방법. - 제12항에 있어서,
상기 제4 네트워크 기능 노드에 의해, 상기 제2 네트워크 기능 노드를 결정하는 단계는,
상기 제4 네트워크 기능 노드에 의해, 상기 제1 네트워크 기능 노드에 의해 전송된 가입 변경 요청 메시지를 수신하는 단계 - 상기 가입 변경 요청 메시지는 사용자 식별자를 운송함 -; 및
상기 제4 네트워크 기능 노드에 의해, 상기 사용자 식별자에 따라 상기 제2 네트워크 기능 노드를 질의하는 단계
를 포함한 것인 가입 데이터 업데이트 방법. - 가입 데이터 업데이트 장치에 있어서,
사용자의 애플리케이션들을 위한 인증 및 키 관리(AKMA) 가입 데이터가 업데이트되었다고 결정하는 경우, 상기 사용자의 AKMA 컨텍스트를 저장한 제2 네트워크 기능 노드를 결정하도록 구성된 결정 모듈;
가입 데이터 관리 통지 메시지를 상기 제2 네트워크 기능 노드에 전송하도록 구성된 전송 모듈; 및
상기 제2 네트워크 기능 노드에 의해 전송된 가입 데이터 관리 통지 응답 메시지를 수신하도록 구성된 수신 모듈
을 포함하며;
상기 가입 데이터 관리 통지 응답 메시지는, 상기 가입 데이터 관리 통지 메시지에 따라 상기 제2 네트워크 기능 노드가 상기 사용자의 AKMA 컨텍스트를 삭제한 후에 전송되는 것인 가입 데이터 업데이트 장치. - 가입 데이터 업데이트 장치에 있어서,
제1 네트워크 기능 노드에 의해 전송된 질의 메시지를 수신하도록 구성된 수신 모듈;
상기 질의 메시지에 따라 제2 네트워크 기능 노드를 결정하도록 구성된 결정 모듈; 및
상기 제1 네트워크 기능 노드에 질의 응답 메시지를 전송하도록 구성된 전송 모듈
을 포함하며,
상기 질의 응답 메시지는 상기 제2 네트워크 기능 노드의 식별자 또는 주소를 운송하는 것인 가입 데이터 업데이트 장치. - 가입 데이터 업데이트 장치에 있어서,
제2 네트워크 기능 노드를 결정하도록 구성된 결정 모듈; 및
제1 네트워크 기능 노드에 메시지를 전송하도록 구성된 전송 모듈
을 포함하며,
상기 메시지는 상기 제2 네트워크 기능 노드의 식별자 또는 주소를 운송하는 것인 가입 데이터 업데이트 장치. - 프로세서를 포함한 네트워크 기능 노드로서, 상기 프로세서는, 컴퓨터 프로그램을 실행할 때, 제1항 내지 제9항 중 어느 한 항의 가입 데이터 업데이트 방법, 제10항 또는 제11항의 가입 데이터 업데이트 방법, 또는 제12항 또는 제13항의 가입 데이터 업데이트 방법을 수행하는 것인 네트워크 기능 노드.
- 컴퓨터 프로그램을 저장한 판독가능/기록가능 저장 매체로서, 상기 컴퓨터 프로그램은, 프로세서에 의해 실행될 때, 제1항 내지 제9항 중 어느 한 항의 가입 데이터 업데이트 방법, 제10항 또는 제11항의 가입 데이터 업데이트 방법, 또는 제12항 또는 제13항의 가입 데이터 업데이트 방법을 수행하는 것인 판독가능/기록가능 저장 매체.
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011111639.9A CN112512044A (zh) | 2020-10-16 | 2020-10-16 | 签约数据更新方法、装置、节点和存储介质 |
| CN202011111639.9 | 2020-10-16 | ||
| PCT/CN2021/121564 WO2022078214A1 (zh) | 2020-10-16 | 2021-09-29 | 签约数据更新方法、装置、节点和存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR20230088627A true KR20230088627A (ko) | 2023-06-20 |
Family
ID=74954136
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020227031756A KR20230088627A (ko) | 2020-10-16 | 2021-09-29 | 가입 데이터 업데이트 방법과 장치, 노드, 및 저장 매체 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US20230232240A1 (ko) |
| EP (1) | EP4106372A4 (ko) |
| JP (1) | JP2023544664A (ko) |
| KR (1) | KR20230088627A (ko) |
| CN (2) | CN117041955A (ko) |
| TW (1) | TW202142010A (ko) |
| WO (1) | WO2022078214A1 (ko) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117041955A (zh) * | 2020-10-16 | 2023-11-10 | 中兴通讯股份有限公司 | 签约数据更新方法、装置、节点和存储介质 |
| CN113316138B (zh) * | 2021-04-27 | 2023-04-07 | 中盈优创资讯科技有限公司 | 一种应用层加密实现方法及其实现装置 |
| CN117750349A (zh) * | 2022-09-20 | 2024-03-22 | 维沃移动通信有限公司 | 参数获取方法、装置、第一网络功能及第二网络功能 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020031157A1 (en) * | 2018-08-10 | 2020-02-13 | Nokia Technologies Oy | Method and apparatus for network function selection scheme in service based architecture of communication network |
| EP3957040A1 (en) * | 2019-02-27 | 2022-02-23 | Telefonaktiebolaget LM Ericsson (publ) | Non-public network authentication in 5g |
| CN117041955A (zh) * | 2020-10-16 | 2023-11-10 | 中兴通讯股份有限公司 | 签约数据更新方法、装置、节点和存储介质 |
-
2020
- 2020-10-16 CN CN202311034974.7A patent/CN117041955A/zh active Pending
- 2020-10-16 CN CN202011111639.9A patent/CN112512044A/zh active Pending
-
2021
- 2021-04-29 TW TW110115569A patent/TW202142010A/zh unknown
- 2021-09-29 KR KR1020227031756A patent/KR20230088627A/ko unknown
- 2021-09-29 JP JP2022555641A patent/JP2023544664A/ja active Pending
- 2021-09-29 WO PCT/CN2021/121564 patent/WO2022078214A1/zh active Application Filing
- 2021-09-29 EP EP21879260.4A patent/EP4106372A4/en active Pending
-
2022
- 2022-11-16 US US17/988,431 patent/US20230232240A1/en active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| EP4106372A4 (en) | 2024-02-07 |
| JP2023544664A (ja) | 2023-10-25 |
| TW202142010A (zh) | 2021-11-01 |
| WO2022078214A1 (zh) | 2022-04-21 |
| US20230232240A1 (en) | 2023-07-20 |
| CN117041955A (zh) | 2023-11-10 |
| EP4106372A1 (en) | 2022-12-21 |
| CN112512044A (zh) | 2021-03-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2021093164A1 (en) | Method, device, and system for updating anchor key in a communication network for encrypted communication with service applications | |
| AU2018261590B2 (en) | Privacy indicators for controlling authentication requests | |
| US10574462B2 (en) | Interfaces for privacy management as service or function | |
| KR102307106B1 (ko) | 통신 시스템의 통합 가입 식별자 관리 | |
| KR20230088627A (ko) | 가입 데이터 업데이트 방법과 장치, 노드, 및 저장 매체 | |
| US20220368684A1 (en) | Method, Device, and System for Anchor Key Generation and Management in a Communication Network for Encrypted Communication with Service Applications | |
| US20210219137A1 (en) | Security management between edge proxy and internetwork exchange node in a communication system | |
| US20220337408A1 (en) | Method, Device, and System for Application Key Generation and Management in a Communication Network for Encrypted Communication with Service Applications | |
| US11789803B2 (en) | Error handling framework for security management in a communication system | |
| TWI837450B (zh) | 密鑰再生方法及終端裝置 | |
| US20240114057A1 (en) | Secure user equipment policy data in a communication network environment | |
| US20240154803A1 (en) | Rekeying in authentication and key management for applications in communication network | |
| RU2801267C1 (ru) | Способ, устройство и система для обновления привязочного ключа в сети связи для зашифрованной связи с приложениями предоставления услуг | |
| WO2023082161A1 (en) | Secure information pushing by service applications in communication networks | |
| WO2022151464A1 (en) | Method, device, and system for authentication and authorization with edge data network | |
| KR20230156685A (ko) | 무선 네트워크에서의 코어 네트워크 디바이스 재할당을 위한 방법, 디바이스 및 시스템 | |
| EP4381762A1 (en) | Secure information pushing by service applications in communication networks |