KR20230090232A - 무선 통신 시스템에서 종단 보안 형성을 위한 방법 및 장치 - Google Patents

무선 통신 시스템에서 종단 보안 형성을 위한 방법 및 장치 Download PDF

Info

Publication number
KR20230090232A
KR20230090232A KR1020220145917A KR20220145917A KR20230090232A KR 20230090232 A KR20230090232 A KR 20230090232A KR 1020220145917 A KR1020220145917 A KR 1020220145917A KR 20220145917 A KR20220145917 A KR 20220145917A KR 20230090232 A KR20230090232 A KR 20230090232A
Authority
KR
South Korea
Prior art keywords
terminal
security
relay
security information
electronic signature
Prior art date
Application number
KR1020220145917A
Other languages
English (en)
Inventor
박준현
임태형
손중제
최홍진
이덕기
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from KR1020220125622A external-priority patent/KR20230090225A/ko
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Priority to PCT/KR2022/019602 priority Critical patent/WO2023113341A1/en
Priority to US18/064,522 priority patent/US20230188360A1/en
Publication of KR20230090232A publication Critical patent/KR20230090232A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices
    • H04W88/04Terminal devices adapted for relaying to or from another terminal or user

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 개시의 일 실시예에 따른 무선 통신 시스템에서 제1 단말의 방법은 제1 엔티티로 단말간 보안 형성에 필요한 정보에 대한 제1 요청 메시지를 송신하는 과정과, 상기 제1 엔티티로부터 제1 요청메시지에 대한 응답으로 상기 단말간 보안 형성에 필요한 정보를 포함하는 제1 응답 메시지를 수신하는 과정과, 상기 응답메시지를 기반으로 상기 제1 단말에 대한 보안 정보를 생성하는 과정과, 릴레이 단말로 상기 제1 단말에 대한 보안 정보를 포함하는 제2 요청 메시지를 송신하는 과정과, 상기 릴레이 단말과 보안 형성을 수행하는 과정과, 상기 릴레이 단말로부터 상기 제2 요청메시지에 대한 응답으로 제2 단말에 대한 보안 정보를 포함하는 제2 응답 메시지를 수신하는 과정과, 상기 수신한 제2 단말에 대한 보안 정보를 기반으로 단말간 종단 세션 키 (end-to-end session key: E2E session key)를 생성하는 과정을 포함한다.

Description

무선 통신 시스템에서 종단 보안 형성을 위한 방법 및 장치 {Method and apparatus for end-to-end security establishment in the Wireless Communication System}
본 개시는 무선 통신 시스템에 관련된 것으로, 본 개시는 무선 통신 시스템에서 두 단말이 릴레이를 거쳐 통신을 하는 경우 종단을 구성하는 두 단말 간의 보안을 형성하기 위한 방법에 관한 것이다.
4G(4th generation) 통신 시스템 상용화 이후 증가 추세에 있는 무선 데이터 트래픽 수요를 충족시키기 위해, 개선된 5G(5th generation) 통신 시스템 또는 pre-5G 통신 시스템을 개발하기 위한 노력이 이루어지고 있다. 이러한 이유로, 5G 통신 시스템 또는 pre-5G 통신 시스템은 4G 네트워크 이후 (Beyond 4G Network) 통신 시스템 또는 LTE(long term evolution) 시스템 이후 (Post LTE) 이후의 시스템이라 불리어지고 있다.
높은 데이터 전송률을 달성하기 위해, 5G 통신 시스템은 초고주파(mmWave) 대역(예를 들어, 60기가(60GHz) 대역과 같은)에서의 구현이 고려되고 있다. 초고주파 대역에서의 전파의 경로손실 완화 및 전파의 전달 거리를 증가시키기 위해, 5G 통신 시스템에서는 빔포밍(beamforming), 거대 배열 다중 입출력(massive MIMO), 전차원 다중입출력(Full Dimensional MIMO: FD-MIMO), 어레이 안테나(array antenna), 아날로그 빔형성(analog beam-forming), 및 대규모 안테나 (large scale antenna) 기술들이 논의되고 있다.
또한 시스템의 네트워크 개선을 위해, 5G 통신 시스템에서는 진화된 소형 셀, 개선된 소형 셀 (advanced small cell), 클라우드 무선 액세스 네트워크 (cloud radio access network: cloud RAN), 초고밀도 네트워크 (ultra-dense network), 기기 간 통신 (Device to Device communication: D2D), 무선 백홀 (wireless backhaul), 이동 네트워크 (moving network), 협력 통신 (cooperative communication), CoMP (Coordinated Multi-Points), 및 수신 간섭제거 (interference cancellation) 등의 기술 개발이 이루어지고 있다.
이 밖에도, 5G 시스템에서는 진보된 코딩 변조(Advanced Coding Modulation: ACM) 방식인 FQAM (Hybrid FSK and QAM Modulation) 및 SWSC (Sliding Window Superposition Coding)과, 진보된 접속 기술인 FBMC(Filter Bank Multi Carrier), NOMA(non orthogonal multiple access), 및 SCMA(sparse code multiple access) 등이 개발되고 있다.
5G 시스템에서는 기존 4G 시스템 대비 다양한 서비스에 대한 지원을 고려하고 있다. 예를 들어, 가장 대표적인 서비스들은 모바일 초광대역 통신 서비스(eMBB: enhanced mobile broad band), 초 고신뢰성/저지연 통신 서비스(URLLC: ultra-reliable and low latency communication), 대규모 기기간 통신 서비스(mMTC: massive machine type communication), 차세대 방송 서비스(eMBMS: evolved multimedia broadcast/multicast Service) 등이 있을 수 있다. 그리고, 상기 URLLC 서비스를 제공하는 시스템을 URLLC 시스템, eMBB 서비스를 제공하는 시스템을 eMBB 시스템 등이라 칭할 수 있다. 또한, 서비스와 시스템이라는 용어는 혼용되어 사용될 수 있다.
이 중 URLLC 서비스는 기존 4G 시스템과 달리 5G 시스템에서 새롭게 고려하고 있는 서비스이며, 다른 서비스들 대비 초 고 신뢰성(예를 들면, 패킷 에러율 약 10-5)과 저 지연(latency)(예를 들면, 약 0.5msec) 조건 만족을 요구한다. 이러한 엄격한 요구 조건을 만족시키기 위하여 URLLC 서비스는 eMBB 서비스보다 짧은 전송 시간 간격(TTI: transmission time interval)의 적용이 필요할 수 있고 이를 활용한 다양한 운용 방식들이 고려되고 있다.
한편, 인터넷은 인간이 정보를 생성하고 소비하는 인간 중심의 연결 망에서, 사물 등 분산된 구성 요소들 간에 정보를 주고 받아 처리하는 IoT(Internet of Things, 사물인터넷) 망으로 진화하고 있다. 클라우드 서버 등과의 연결을 통한 빅데이터(Big data) 처리 기술 등이 IoT 기술에 결합된 IoE(Internet of Everything) 기술도 대두되고 있다. IoT를 구현하기 위해서, 센싱 기술, 유무선 통신 및 네트워크 인프라, 서비스 인터페이스 기술, 및 보안 기술과 같은 기술 요소 들이 요구되어, 최근에는 사물간의 연결을 위한 센서 네트워크(sensor network), 사물 통신(Machine to Machine, M2M), MTC(Machine Type Communication)등의 기술이 연구되고 있다.
IoT 환경에서는 연결된 사물들에서 생성된 데이터를 수집, 분석하여 인간의 삶에 새로운 가치를 창출하는 지능형 IT(Internet Technology) 서비스가 제공될 수 있다. IoT는 기존의 IT(information technology)기술과 다양한 산업 간의 융합 및 복합을 통하여 스마트홈, 스마트 빌딩, 스마트 시티, 스마트 카 혹은 커넥티드 카, 스마트 그리드, 헬스 케어, 스마트 가전, 첨단의료서비스 등의 분야에 응용될 수 있다.
이에, 5G 통신 시스템을 IoT 망에 적용하기 위한 다양한 시도들이 이루어지고 있다. 예를 들어, 센서 네트워크(sensor network), 사물 통신(Machine to Machine, M2M), MTC(Machine Type Communication)등의 기술이 5G 통신 기술인 빔 포밍, MIMO, 및 어레이 안테나 등의 기법에 의해 구현되고 있는 것이다. 앞서 설명한 빅데이터 처리 기술로써 클라우드 무선 액세스 네트워크(cloud RAN)가 적용되는 것도 5G 기술과 IoT 기술 융합의 일 예라고 할 수 있을 것이다.
한편, 셀룰러 이동통신 표준을 담당하는 3GPP는 기존 4G LTE 시스템에서 5G 시스템으로의 진화를 꾀하기 위해 새로운 코어 네트워크(core network) 구조를 5G core(5GC)라는 이름으로 명명하고 표준화를 진행하고 있다.
5GC는 기존 4G를 위한 네트워크 코어인 진화된 패킷 코어(EPC: evolved packet core) 대비 다음과 같은 차별화된 기능을 지원한다.
첫째, 5GC에서는 네트워크 슬라이스(network slice) 기능이 도입된다. 5G의 요구 조건으로, 5GC는 다양한 종류의 단말 타입 및 서비스를 지원해야 한다. 예를 들면, 초광대역 이동 통신(eMBB: enhanced mobile broadband:), 초고신뢰 저지연 통신(URLLC: ultra reliable low latency communications), 대규모 사물 통신(mMTC: massive machine type communications). 이러한 단말/서비스는 각각 코어 네트워크에 요구하는 요구조건이 다르다. 예를 들면, eMBB 서비스인 경우에는 높은 데이터 전송 속도(data rate)를 요구하고 URLLC 서비스인 경우에는 높은 안정성과 낮은 지연을 요구한다. 이러한 다양한 서비스 요구조건을 만족하기 위해 제안된 기술이 네트워크 슬라이스(network slice) 방안이다.
Network slice는 하나의 물리적인 네트워크를 가상화(virtualization) 하여 여러 개의 논리적인 네트워크를 만드는 방법으로, 각 network slice instance(NSI) 는 서로 다른 특성을 가질 수 있다. 따라서, 각 NSI 마다 그 특성에 맞는 네트워크 기능(network function(NF))을 가짐으로써 다양한 서비스 요구조건을 만족시킬 수 있다. 각 단말마다 요구하는 서비스의 특성에 맞는 NSI를 할당하여 여러 5G 서비스를 효율적으로 지원 할 수 있다.
둘째, 5GC는 이동성 관리 기능과 세션 관리 기능의 분리를 통해 네트워크 가상화 패러다임 지원을 수월하게 할 수 있다. 기존 4G LTE에서는 모든 단말이 등록, 인증, 이동성 관리 및 세션 관리 기능을 담당하는 이동성 관리 엔티티(mobility management entity(MME)) 라는 단일 코어 장비와의 시그널링 교환을 통해서 망에서 서비스를 제공받을 수 있었다. 하지만, 5G에서는 단말의 수가 폭발적으로 늘어나고 단말의 타입에 따라 지원해야 하는 이동성 및 트래픽/세션 특성이 세분화됨에 따라 MME와 같은 단일 장비에서 모든 기능을 지원하게 되면 필요한 기능별로 엔티티를 추가하는 확장성(scalability)이 떨어질 수 밖에 없다. 따라서, 제어 평면을 담당하는 코어 장비의 기능/구현 복잡도와 시그널링 부하 측면에서 확장성 개선을 위해 이동성 관리 기능과 세션 관리 기능을 분리하는 구조를 기반으로 다양한 기능들이 개발되고 있다.
기존의 D2D(Device-to-Device) 시스템은 기지국의 커버리지(Coverage)외에 있는 복수 개의 단말이 릴레이 단말 (Relay UE)를 이용하여 서로 통신하는 방법을 제공하고 있다. 복수 개의 단말이 Relay 단말을 사이에 두고 통신을 하는 경우, 종단을 구성하는 복수 개의 단말 간의 데이터를 종단 간 보호(E2E protection, end-to-end protection)하기 위한 방법이 필요하다. 상기에서 언급한 보호란 메시지의 무결성을 보장하기 위한 integrity protection과 메시지의 기밀성을 보장하기 위한 encryption /decryption을 의미할 수 있다.
본 개시에서 해결하고자 하는 문제는 상기에 기술된 종단 간 보안을 형성하는 방법 및 장치를 제시하는 것이다.
본 개시에서 이루고자 하는 기술적 과제들은 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급하지 않은 또 다른 기술적 과제들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
본 개시의 일 실시예에 따른 무선 통신 시스템에서 제1 단말의 방법은, 제1 엔티티로 단말간 보안 형성에 필요한 정보에 대한 제1 요청 메시지를 송신하는 과정과, 상기 제1 엔티티로부터 상기 제1 요청메시지에 대한 응답으로 단말간 보안 형성에 필요한 정보를 포함하는 제1 응답 메시지를 수신하는 과정과, 상기 응답메시지를 기반으로 상기 제1 단말에 대한 보안 정보를 생성하는 과정과, 릴레이 단말로 상기 제1 단말에 대한 보안 정보를 포함하는 제2 요청 메시지를 송신하는 과정과, 상기 릴레이 단말과 보안 형성을 수행하는 과정과, 상기 릴레이 단말로부터 상기 제2 요청메시지에 대한 응답으로 제2 단말에 대한 보안 정보를 포함하는 제2 응답 메시지를 수신하는 과정과, 상기 수신한 제2 단말에 대한 보안 정보를 기반으로 단말간 종단 세션 키 (end-to-end session key: E2E session key)를 생성하는 과정을 포함할 수 있다.
본 개시의 일 실시예에 따른 무선 통신 시스템에서 릴레이 단말의 방법은, 1 단말로부터 상기 제1 단말에 대한 보안 정보를 포함하는 제1 요청 메시지를 수신하는 과정, 제2 단말로 상기 제1 요청메시지를 기반으로 제2 요청메시지를 송신하는 과정, 상기 제2 단말과 보안 형성을 수행하는 과정, 상기 제2 요청메시지에 대한 응답으로 상기 제2 단말에 대한 보안 정보를 포함하는 제1 응답 메시지를 수신하는 과정, 상기 제1 단말과 보안 형성을 수행하는 과정, 및 상기 제1 단말로 상기 제1 요청메시지에 대한 응답으로 상기 제2 단말에 대한 보안 정보를 포함하는 제2 응답 메시지를 송신하는 과정을 포함할 수 있다.
본 개시의 일 실시예에 따른 무선 통신 시스템에서 제1 단말은, 송수신기 및 상기 송수신기에 연결된 제어기를 포함할 수 있다. 상기 제어기는 제1 엔티티로 단말간 보안 형성에 필요한 정보에 대한 제1 요청 메시지를 송신하고, 상기 제1 엔티티로부터 상기 제1 요청메시지에 대한 응답으로 단말간 보안 형성에 필요한 정보를 포함하는 제1 응답 메시지를 수신하고, 상기 응답메시지를 기반으로 상기 제1 단말에 대한 보안 정보를 생성하고, 릴레이 단말로 상기 제1 단말에 대한 보안 정보를 포함하는 제2 요청 메시지를 송신하고, 상기 릴레이 단말과 보안 형성을 수행하고, 상기 릴레이 단말로부터 상기 제2 요청메시지에 대한 응답으로 상기 제2 단말에 대한 보안 정보를 포함하는 제2 응답 메시지를 수신하고, 그리고 상기 수신한 제2 단말에 대한 보안 정보를 기반으로 단말간 종단 세션 키 (end-to-end session key: E2E session key)를 생성하도록 구성될 수 있다.
본 개시의 일 실시예에 따른 무선 통신 시스템에서 릴레이 단말은, 송수신기 및 상기 송수신기에 연결된 제어기를 포함할 수 있다. 상기 제어기는, 제1 단말로부터 상기 제1 단말에 대한 보안 정보를 포함하는 제1 요청 메시지를 수신하고, 제2 단말로 상기 제1 요청메시지를 기반으로 제2 요청메시지를 송신하고, 상기 제2 단말과 보안 형성을 수행하고, 상기 제2 요청메시지에 대한 응답으로 상기 제2 단말에 대한 보안 정보를 포함하는 제1 응답 메시지를 수신하고, 상기 제1 단말과 보안 형성을 수행하고, 그리고 상기 제1 단말로 상기 제1 요청메시지에 대한 응답으로 상기 제2 단말에 대한 보안 정보를 포함하는 제2 응답 메시지를 송신하도록 구성될 수 있다.
본 개시의 일 실시 예에 따르면, 두 개의 단말이 Relay를 이용하여 통신을 수행 하는 경우 종단 간 보호(E2E protection)가 가능할 수 있다.
본 개시에서 얻을 수 있는 효과는 이상에서 언급한 효과들로 제한되지 않으며, 언급하지 않은 또 다른 효과들은 아래의 기재로부터 본 개시가 속하는 기술 분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
도 1은 본 개시의 일 실시 예에 따른 5G 시스템의 네트워크 구조를 도시한 도면이다.
도 2는 본 개시의 일 실시예에 따른 디지털 서명을 위한 사전 작업 과정을 도시한 도면이다.
도 3은 본 개시의 일 실시예에 따른, 단말이 전자 서명을 검증하는 과정을 도시한 도면이다.
도 4는 본 개시의 일 실시예에 따른 단말 간 릴레이 시 종단 보안 형성을 수행하는 과정을 도시하는 도면이다.
도 5는 본 개시의 일 실시예에 따른 단말 간 릴레이 시 종단 보안 형성을 수행하는 과정의 일 예를 도시한 도면이다.
도 6은 본 개시의 일 실시예에 따른 단말 간 릴레이 시 종단 보안을 형성하는 방법을 도시한 도면이다.
도 7은 본 개시의 일 실시예에 따른 단말의 구성을 도시한 도면이다.
도 8은 본 개시의 일 실시예에 따른 네트워크 엔티티(network entity)의 구성을 도시한 도면이다.
이하 본 발명의 실시예를 첨부한 도면과 함께 상세히 설명한다. 또한 본 발명을 설명함에 있어서 관련된 공지 기능 혹은 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단된 경우 그 상세한 설명은 생략한다. 그리고 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
이하, 기지국은 단말의 자원할당을 수행하는 주체로서, eNode B(eNB), Node B, BS(Base Station), RAN(Radio Access Network), AN(Access Network), RAN node, NR NB, gNB, 무선 접속 유닛, 기지국 제어기, 또는 네트워크 상의 노드 중 적어도 하나일 수 있다. 단말은 UE(User Equipment), MS(Mobile Station), 셀룰러폰, 스마트폰, 컴퓨터, 또는 통신 기능을 수행할 수 있는 멀티미디어 시스템을 포함할 수 있다. 본 발명에서 하향링크(Downlink; DL)는 기지국이 단말에게 전송하는 신호의 무선 전송경로이고, 상향링크는(Uplink; UL)는 단말이 기국에게 전송하는 신호의 무선 전송경로를 의미한다. 또한, 이하에서 LTE 혹은 LTE-A 시스템을 일례로서 본 발명의 실시예를 설명하지만, 유사한 기술적 배경 또는 채널형태를 갖는 여타의 통신 시스템에도 본 발명의 실시예가 적용될 수 있다. 또한, 본 발명의 실시예는 숙련된 기술적 지식을 가진자의 판단으로써 본 발명의 범위를 크게 벗어나지 아니하는 범위에서 일부 변형을 통해 다른 통신시스템에도 적용될 수 있다.
도 1은 본 개시의 일 실시 예에 따른 5G 시스템을 위한 네트워크 구조를 도시한 도면이다.
본 개시에서 네트워크 기술은 ITU (international telecommunication union) 또는 3GPP에 의하여 정의되는 표준 규격 (예를 들어, TS 23.501, TS 23.502, TS 23.503 등)을 참조할 수 있으며, 도 1의 네트워크 구조에 포함되는 구성 요소들은 각각 물리적인 엔터티(entity)를 의미하거나, 혹은 개별적인 기능(function)을 수행하는 소프트웨어 혹은 소프트웨어와 결합된 하드웨어를 의미할 수 있다. 도 1에서 N1, N2, N3, ... 등과 같이 Nx로 도시된 참조 부호들은 5G 코어 네트워크 (CN)에서 NF들 간의 공지된 인터페이스들을 나타낸 것이며, 관련 설명은 표준 규격(TS 23.501)을 참조할 수 있으므로 구체적인 설명은 생략하기로 한다. 그리고 이하 도 1의 설명에서 본 개시와 직접적인 관련이 없는 NF들에 대한 도시/설명은 생략하기로 한다.
5G 네트워크 시스템이 제공하는 각 기능들을 수행하는 단위는 NF(network function, 네트워크 기능)로 정의될 수 있다. 5G 이동통신 네트워크의 구조는 도 1에 도시되어 있다.
도 1을 참조하면, 5G 네트워크 시스템은 단말(UE, user equipment)(111)의 무선 접속을 위한 NR(New Radio) 기지국 (NG-RAN(radio access node))(112), 네트워크 접속과 이동성을 관리 하는 AMF(access and mobility management function)(180), 단말에 대한 세션과 관련된 기능을 수행하는 SMF(session management function)(190), 사용자 데이터의 전달을 담당하고 SMF에 의해 제어를 받는 UPF(user plane function)(113), AF(application function)(160), 5GC와 AF(160) 사이의 통신을 지원 하는 NEF(network exposure function)(120), 데이터 저장 및 관리를 위한 UDM(unified data management)(150)과 UDR(unified data repository)(160), 정책을 관리 하는 PCF(policy and control function)(140), 그리고 사용자 데이터가 전달되는 인터넷과 같은 DN(data network)(170)이 있다. 그리고 사용자 권한 인증 및 UDM(150)/AMF(180)로 권한 인증 서비스를 제공하는 AUSF(authentication server function)이 존재할 수 있다. NF 외에 단말 및 5G 이동통신 네트워크를 관리 하기 위한 시스템인 OAM(operation, administration, and management)(미도시)가 존재 할 수 있다. 세션 정보에는 QoS 정보, 과금 정보, 패킷 처리에 대한 정보를 포함한다. 그리고 상기 5G 네트워크 시스템에는 기지국(112), , NSSF(network slice selection function)(110), NRF(network repository function)(130))가 더 포함될 수 있다.
도 2는 본 개시의 일 실시예에 따른 디지털 서명을 위한 사전 작업 과정을 도시한 도면이다.
도 2에 개시된 UE(201)은 도 1 에 도시된 단말(111)의 구성 일부 또는 전부와 동일할 수 있다. 본 개시의 다양한 실시예에 따르면, KMS(Key Management Server, 200)는 도 1에 도시된 네트워크 기능(NF) 중 하나 또는 하나 이상의 NF들에 포함될 수 있다. 일 예로, KMS는 도 1에 도시된 AUSF 내지는 AUSF 안에 구현된 논리적 네트워크 기능일 수 있다. 본 개시의 일 실시예에 따르면, KMS는 도 1에 도시된 네트워크 기능 중 하나가 아닌, 전자 서명 (digital signature)을 위한 사전 작업을 위해 도입된 새로운 엔터티(entity)일 수 있다. 새로운 entity는 도 1에 도시된 네트워크 기능과 협업할 수 있다. 일 실시예에 따르면, 전자 서명은 identity based digital signature 방식을 포함할 수 있다. 도 2를 참조하면, KMS는 다음의 과정 중 적어도 하나 이상을 수행할 수 있다 (210 단계).
과정 1: 본 개시의 일 실시예에 따르면, KMS(200)는 자신의 비대칭키 (일 예로, 공개키를 포함할 수 있다.) 쌍을 보유하고 있을 수 있다. 본 개시의 일 실시예에 따르면, 비대칭키 쌍은 KSAK(KMS Secret Authentication Key) 및 KPAK(KMS Public Authentication Key)를 포함할 수 있다. 본 개시의 일 실시예에 따르면, KSAK는 KMS(200)의 비밀키(private key or secret key)일 수 있다. 본 개시의 일 실시예에 따르면, KPAK는 KMS(200)의 공개키(public key)일 수 있다. 본 개시의 일 실시예에 따르면 KPAK 및 KSAK는 임의의 비대칭키 시스템을 사용해 생성된 비대칭키와 비밀키의 쌍일 수 있다. 본 개시의 일 실시예에 따르면, 임의의 비대칭키 시스템은 RSA 또는 Elliptic curve cryptosystem을 포함할 수 있다. 일 예로, RSA 는 정수론, 특히 소인수분해의 난해성에 기반을 둔 비대칭키 시스템이며, Elliptic curve cryptosystem은 대수기하 혹은 타원기하학, 특히 타원 곡선의 discrete logarithm problem의 난해함에 기반을 둔 비대칭키 시스템이다.
과정 2: 본 개시의 일 실시예에 따르면, KMS(200)는 SSK(Secret Signing Key) 및 PVT(Public Validation Token)를 생성할 수 있다. 본 개시의 일 실시예에 따르면, SSK는 전자 서명을 위해 이용될 수 있으며, PVT는 전자 서명 검증을 위해 이용될 수 있으며, 상기 SSK 및 PVT는 UE(201)에게 제공될 수 있으며, UE 별로 상이한 값일 수 있다. 본 개시의 일 실시예에 따르면, UE(201)는 UE(201)의 SSK를 사용해 UE(201)의 전자 서명을 생성할 수 있으며, 상기 서명은 PVT를 사용해 검증될 수 있다.
KMS(200)가 SSK와 PVT를 생성하는 과정은 다양할 수 있다. 일 예로, KMS(200)는 비대칭키 쌍 (PVT, v)를 생성할 수 있다. 본 개시의 일 실시예에 따르면, v는 공개키 시스템의 비밀키에 해당할 수 있고, PVT는 v에 대응되는 공개키일 수 있다. 본 개시의 일 실시예에 따르면, KMS(200)는 KPAK, KSAK, v, PVT 및 UE의 ID 값들 중 적어도 하나를 이용해 SSK를 생성할 수 있다. 본 개시의 다양한 실시예에 따르면, KMS(200)는 KPAK, KSAK, v, PVT 및 UE의 ID 값들 이외에도 필요한 값들을 추가하여 SSK 생성할 수 있다.
KMS(200)는 UE(210)에게 UE(201)의 서명을 위한 비밀키인 SSK, 서명 검증을 위한 PVT 및 KMS(200)의 KPAK 중 적어도 하나를 전송할 수 있다.
도 3은 본 개시의 일 실시예에 따른, 단말이 전자 서명을 검증하는 과정을 도시한 도면이다.
도 3에 도시된 UE1 및 UE2는 도 1의 단말 (111)의 구성의 일부 또는 전부와 동일할 수 있다.
도 3에 도시된 UE 1은 도 2에서 도시한 과정을 통해 다음의 값들을 보유하고 있을 수 있다.
- KMS의 KPAK
- UE의 “서명을 위한 비밀키 SSK” 와 “서명 검증을 위한 토큰 PVT” (이하, UE1.SSK 및 UE1.PVT라 칭함)
도 3에 도시된 UE 2는 다음의 값을 보유하고 있을 수 있다.
- KMS의 KPAK
도 3을 참조하면 UE 1(301)은 메시지 M에 대해서 전자 서명을 생성할 수 있다 (310 단계). UE 1(301)이 전자 서명을 생성하는 방법은 다양할 수 있다. 일 예로, UE 1(301)은 임의의 값 r을 선택할 수 있다. UE 1(301)은 상기 r 값, 메시지 M, UE_1.ID (UE_1의 ID), KPAK, UE_1.PVT 및 UE_1.SSK 중 적어도 하나를 이용해 새로운 s 값을 생성할 수 있다. 본 개시의 일 실시예에 따르면, UE_1(301)은 상기 r 값, 메시지 M, UE_1.ID (UE_1의 ID), KPAK, UE_1.PVT 및 UE_1.SSK 이외에도 다른 값들을 추가하여 전자 서명을 생성할 수 있다.
본 개시의 일 실시예에 따르면, 생성된 r,s 값의 조합은 UE_1(301)에 의해 메시지 M에 대해 생성된 “전자서명” 값으로 정의할 수 있다. 상기 생성된 “전자서명” 값(일 예로, r 및 s 값의 조합)과 UE1.PVT의 묶음, (일 예로, r,s,UE1.PVT의 조합)는 UE_1(301)에서 생성된 전자서명 값과 상기 전자서명 값을 검증할 수 있는 값의 조합으로서 Sig라 칭하기로 한다. 본 개시의 일 실시예에 따르면, 상기 UE1.PVT가 이미 전자 서명을 수신할 상대에게 알려져 있을 경우 Sig의 구성 중 UE1.PVT는 생략될 수 있으며, 이 경우 Sig는 위에서 정의된 “전자서명”값과 동일할 수 있다.
UE 1(301)은 UE 2(302)에게 UE1.ID, 메시지 M 및 UE1.Sig 중 적어도 하나를 전송할 수 있다(320 단계). 본 개시의 일 실시예에 따르면, UE 1(301)의 ID (UE1.ID.)가 이미 UE 2(302)로 전달되는 정보에서 알려져 있다면, UE 1(301)의 ID는 320 단계에서 생략될 수 있다.
UE 2(302)는 수신한 전자서명 r,s 값의 진위를 검증할 수 있다(330 단계). 본 개시의 일 실시예에 따르면, UE 2(302)는 UE1.ID, UE1.PVT, KPAK 및 메시지 M 중 적어도 하나의 들을 이용해 수신한 전자서명 r,s 값이 수신한 메시지 M에 대해 올바르게 만들어진 전자서명 r,s 값인지 여부를 검증할 수 있다. 일 예로, 검증 방법은 아래의 과정을 통해 수행될 수 있다.
1) UE 2(302)는 수신한 PVT가 주어진 타원곡선 상의 유효한 point인지를 검증
2) 타원곡선의 generator, KPAK, UE 1(301)의 ID, PVT를 concatenation 한 뒤 hash 함수를 적용해 HS 도출
3) HS, r, M을 concatenation 한 뒤 hash 함수를 적용해 HE 도출
4) HS와 PVT를 사용해 타원 곡선 상의 scalar multiplication 수행 후 KPAK를 타원 곡선 상의 addition하여 Y값 도출
5) HE 값과 generator를 타원 곡선 상의 scalar multiplication 수행. Y와 r을 타원 곡선 상의 scalar multiplication 수행. 상기 두 값을 타원 곡선 상의 addition 수행. 상기 값과 s값에 대해 타원 곡선 상의 scalar multiplication을 통해 J값 도출
6) 상기 J를 아핀(affinie) 좌표계의 점으로 보고 x 좌표와 y 좌표를 도출한 뒤, x 좌표에 모듈로 연산을 적용하여 r 값과 동일한지 확인
본 개시의 일 실시예에 따르면, UE 2(302)는 UE1.ID, UE1.PVT, KPAK 및 메시지 M 외에 다른 값들을 추가하여 전자서명 검증에 이용할 수 있다.
도 4는 본 개시의 일 실시예에 따른 단말 간 릴레이 시 종단 보안 형성을 수행하는 과정을 도시하는 도면이다.
도 4에 도시된 UE(400), AUSF(401) 및 UDM(402)은 도 1에 도시된 단말(111), AUSF(170) 및 UDM(150)의 구성의 일부 또는 전부와 동일할 수 있다.
도 4를 참조하면, UE(400)는 AUSF(401)으로 “단말 간 릴레이 시 종단 보안 형성을 위해 필요한 정보”를 포함하는 요청 메시지를 송신할 수 있다 (410 단계). 본 개시의 일 실시예에 따르면, UE(400)가 요청을 하지 않아도 상기 “단말 간 릴레이시 종단 보안 형성을 위해 필요한 정보”가 UE(400)에게 제공되는 경우, 410 단계는 생략될 수 있다.
AUSF(401)는 UE(400)의 구독 정보를 관리하는 UDM(402)에게 UE(400)가 단말 간 릴레이를 사용할 권한이 있는지 여부 및 UE(400)가 단말 간 릴레이 사용할 권한 있을 시 단말간 종단 보안 형성이 필요한지 여부에 중 적어도 하나 이상에 대해서 확인을 요청하는 메시지를 송신할 수 있다(420 단계).
만약 AUSF(401)가 특별히 요청을 하지 않아도, UE(400)가 단말 간 릴레이를 사용할 권한이 있는지 여부, UE(400)가 단말 간 릴레이를 사용할 권한 있을 시 단말간 종단 보안 형성이 필요한지 여부 및 UE(400)가 사용할 수 있는 단말간 종단 보안 형성 방법(들)에 대한 정보가 UDM(402)으로부터 AUSF(401)에게 제공되는 경우, 420 단계는 생략될 수 있다.
AUSF(401)로 수신한 요청 메시지에 대한 응답으로 UDM(402)은 AUSF(401)에게 UE(400)가 단말간 릴레이를 사용할 권한이 있는지 여부, UE(400)가 단말 간 릴레이를 사용할 권한이 있을 시 단말간 종단 보안 형성이 필요한지 여부 및 UE(400)가 사용할 수 있는 단말간 종단 보안 형성 방법(들)에 대한 정보 중 적어도 하나 이상을 포함하는 응답 메시지를 송신할 수 있다 (430 단계).
UE(400)가 단말간 릴레이를 사용할 권한이 있는지 여부, UE(400)가 단말간 릴레이를 사용할 권한이 있을 시 단말간 종단 보안 형성이 필요한지 여부 및 UE(400)가 사용할 수 있는 단말간 종단 보안 형성 방법(들)에 대한 정보는 다양한 형식으로 송신될 수 있다. 일 예로, 상기 정보는 상기 정보를 지칭하는 파라미터 값이나 플래그 값을 이용하여 송신될 수 있다. 본 개시의 일 실시예에 따르면, 상기 정보는 UE-to-UE indication 이라 지칭될 수 있다.
AUSF(401)는 UE(400)에게 “단말 간 릴레이 시 종단 보안 형성을 위해 필요한 정보”를 생성하기 위해 필요한 정보를 요청하는 메시지를 송신한다 (440 단계). 상기 메시지는 AUSF(401)가 430 단계에서 UDM(402)으로부터 수신한 UE-to-UE Indication을 포함할 수 있다.
UE(400)는 수신한 요청 메시지 내에 포함된 정보들을 기반으로 AUSF(401)에게 “단말 간 릴레이 시 종단 보안 형성을 위해 필요한 정보”를 생성하기 위해 필요한 정보를 송신해야 하는지 판단할 수 있다. UE(400)가 AUSF(401)에게 “단말 간 릴레이 시 종단 보안 형성을 위해 필요한 정보”를 생성하기 위해 필요한 정보를 송신해야 할 필요가 있다고 판단되는 경우, UE(400)는 상기 “단말 간 릴레이 시 종단 보안 형성을 위해 필요한 정보”를 생성하기 위해 필요한 정보를 AUSF(401)에게 송신한다 (450 단계). 본 개시의 실시예에 따르면, “단말 간 릴레이 시 종단 보안 형성을 위해 필요한 정보”를 생성하기 위해 필요한 정보는 “UE-to-UE Auth Info”라 정의될 수 있다. 본 개시의 일 실시예에 따르면, UE-to-UE Auth Info는 다양한 방법으로 구성될 수 있다. 본 개시의 일 실시예에 따르면, UE(400)는 수신한 UE-to-UE Indication에 포함된 UE(400)가 사용할 수 있는 단말간 종단 보안 형성 방법(들) 중 적어도 하나를 선택하여 UE-to-UE Auth Info를 구성할 수 있다. UE-to-UE Indication은 UE(400)가 사용할 수 있는(즉, 네트워크에서 지원되는) 단말간 종단 보안 형성 방법(들)을 나타내는 정보를 포함할 수 있다. UE(400)는 UE(400)가 사용할 수 있는 단말간 종단 보안 형성 방법(들)에 따라 UE-to-UE Auth Info를 구성할 수 있다. 예를 들어, UE-to-UE Indication이 복수의 UE(400)가 사용할 수 있는 단말간 종단 보안 형성 방법들을 나타내는 정보를 포함한다면, UE(400) 복수의 UE(400)가 사용할 수 있는 단말간 종단 보안 형성 방법들 모두에 필요한 정보들을 포함하도록 UE-to-UE Auth Info를 구성할 수 있다. 일 예로, 단말간 종단 보안 형성 방법들은 아래와 같은 두 가지 방법들을 포함할 수 있다.
제1 방법: Certificate-based approach
1) 본 개시의 일 실시예에 따르면, Certificate-based approach를 사용할 경우, UE-to-UE Auth Info는 다음의 값 중 적어도 하나를 포함할 수 있다.
a) UE.ID (UE의 ID)
b) AUSF(401)로부터 발급 받은 UE.Cert (UE의 인증서)가 있는 경우 UE.Cert (UE의 인증서는 UE의 공개 키(UE.PK)를 포함함)
c) AUSF(401)로부터 발급 받은 UE.Cert (UE의 인증서)가 없는 경우 UE.PK
2) 본 개시의 일 실시예에 다르면, 상기 UE.Cert는 다음의 정보들 중 적어도 하나 이상을 포함할 수 있다. 일 예로, 다음의 정보들 중 하나 이상이 상기 UE.Cert의 일부로 포함되어 있거나, 또는 다음의 정보들과 대응되는 값들이 UE.Cert의 일부로 포함되어 있을 수 있다.
a) UE.Cert의 유효 기간. 일 예로, UE.Cert가 언제까지 유효한지를 나타내는 정보. 본 개시의 일 실시예에 따르면, UE.Cert의 유효기간과 관련된 정보는 다양한 방식으로 제공될 수 있다. 가능한 몇 가지 예는 아래와 같다. 하지만 유효 기간을 표현하는 방법은 하기 방법으로 제한되지 않으며, UE.Cert의 유효 기간을 특정할 수 있는 임의의 방법도 허용될 수 있다.
(a) UE.Cert가 유효한 마지막 시간
(b) UE.Cert가 유효한 시작 시간과 유효성이 지속되는 시간
(c) UE.Cert가 유효한 시작 시간과 마지막 시간
제2 방법: identity-based approach
1) 본 개시의 일 실시예에 따르면, Identity-based approach를 사용할 경우, UE-to-UE Auth Info는 UE.ID (UE의 ID)를 포함할 수 있다.
2) 본 개시의 일 실시예에 따르면, 상기 UE.ID는 다음의 정보들 중 적어도 하나 이상을 포함할 수 있다. 일 예로, 다음의 정보들 중 하나 이상이 상기 UE.ID의 일부로 포함되어 있거나, 또는 다음의 정보들과 대응되는 값들이 UE.ID의 일부로 포함되어 있을 수 있다.
a) UE.SSK와 UE.PVT의 유효 기간. 일 예로, UE.SSK가 UE.PVT가 언제까지 유효한지를 나타내는 정보. 본 개시의 일 실시예에 따르면, UE.SSK 및 UE.PVT의 유효기간과 관련된 정보는 다양한 방식으로 제공될 수 있다. 가능한 몇 가지 예는 아래와 같다. 하지만 유효 기간을 표현하는 방법은 하기 방법으로 제한되지 않으며, UE.SSK와 UE.PVT의 유효 기간을 특정할 수 있는 임의의 방법도 허용될 수 있다.
(a) UE.SSK와 UE.PVT가 유효한 마지막 시간
(b) UE.SSK와 UE.PVT가 유효한 시작 시간과 유효성이 지속되는 시간
(c) UE.SSK와 UE.PVT가 유효한 시작 시간과 마지막 시간
b) UE(400)가 단말 간 릴레이 연결을 할 때 discovery 및/또는 “연결 수립 여부 결정”을 위해 사용하는 UE의 ID (일 예로, 하나 이상의 UE가 서로의 layer-2 ID를 사용해 상대 UE를 discovery 및/또는 “연결 수립 여부를 결정”한다면 이 경우 UE의 layer-2 ID)
AUSF(401)는 430 단계와 450 단계에서 수신한 응답 메시지 내에 포함된 정보들을 기반으로 UE(400)에게 “단말 간 릴레이 시 종단 보안 형성을 위해 필요한 정보”를 송신해야 하는지 판단할 수 있다. AUSF(401)가 UE(400)에게 “단말 간 릴레이 시 종단 보안 형성을 위해 필요한 정보”를 송신해야 할 필요가 있다고 판단되는 경우, AUSF(401)는 상기 “단말 간 릴레이 시 종단 보안 형성을 위해 필요한 정보”를 생성할 수 있다(460 단계). 본 개시의 일 실시예에 따르면, 상기 AUSF(401)로부터 UE(400)로 전달되기 위해 준비되는 “단말 간 릴레이 시 종단 보안 형성을 위해 필요한 정보”는 “UE-to-UE Auth Material”이라 정의될 수 있다. 본 개시의 일 실시예에 따르면, UE-to-UE Auth Material은 다양한 방법으로 구성될 수 있다. 일 예로, 아래와 같은 두 가지 예가 존재할 수 있다.
제1 방법: Certificate-based approach
1) Certificate-based approach를 사용할 경우, UE-to-UE Auth Material은 다음의 값 중 적어도 하나를 포함할 수 있다.
a) UE.Cert (UE의 인증서)
b) UE.Cert를 검증할 수 있는 정보들 (일 예로, 인증서 체인의 root CA(certificate authority) public key 및/또는 root CA certificate 및/또는 인증서 체인 상에 존재하는 sub-CA(s) certificate(s)). 2) 본 개시의 일 실시예에 다르면, 상기 UE.Cert는 다음의 정보들 중 적어도 하나 이상을 포함할 수 있다. 일 예로, 다음의 정보들 중 하나 이상이 상기 UE.Cert의 일부로 포함되어 있거나, 또는 다음의 정보들과 대응되는 값들이 UE.Cert의 일부로 포함되어 있을 수 있다.
a) UE.Cert의 유효 기간. 일 예로, UE.Cert가 언제까지 유효한지를 나타내는 정보. 본 개시의 일 실시예에 따르면, UE.Cert의 유효기간과 관련된 정보는 다양한 방식으로 제공될 수 있다. 가능한 몇 가지 예는 아래와 같다. 하지만 유효 기간을 표현하는 방법은 하기 방법으로 제한되지 않으며, UE.Cert의 유효 기간을 특정할 수 있는 임의의 방법도 허용될 수 있다.
(a) UE.Cert가 유효한 마지막 시간
(b) UE.Cert가 유효한 시작 시간과 유효성이 지속되는 시간
(c) UE.Cert가 유효한 시작 시간과 마지막 시간
제2 방법: identity-based approach
1) Identity-based digital signature은 본 개시의 도 2와 도 3에서 자세히 설명하고 있으므로, 설명을 생략하도록 한다.
2) 본 개시의 일 실시예에 따르면, Identity-based approach를 사용할 경우, UE-to-UE Auth Material은 다음의 값 중 적어도 하나 이상을 포함할 수 있다.
a) UE.ID (UE의 ID)
b) UE.SSK
c) UE.PVT
d) KPAK
3) 본 개시의 일 실시예에 따르면, 상기 UE.ID는 다음의 정보들 중 적어도 하나 이상을 포함할 수 있다. 일 예로, 다음의 정보들 중 하나 이상이 상기 UE.ID의 일부로 포함되어 있거나, 또는 다음의 정보들과 대응되는 값들이 UE.ID의 일부로 포함되어 있을 수 있다.
a) UE.SSK와 UE.PVT의 유효 기간. 일 예로, UE.SSK가 UE.PVT가 언제까지 유효한지를 나타내는 정보. 본 개시의 일 실시예에 따르면, UE.SSK 및 UE.PVT의 유효기간과 관련된 정보는 다양한 방식으로 제공될 수 있다. 가능한 몇 가지 예는 아래와 같다. 하지만 유효 기간을 표현하는 방법은 하기 방법으로 제한되지 않으며, UE.SSK와 UE.PVT의 유효 기간을 특정할 수 있는 임의의 방법도 허용될 수 있다.
(a) UE.SSK와 UE.PVT가 유효한 마지막 시간
(b) UE.SSK와 UE.PVT가 유효한 시작 시간과 유효성이 지속되는 시간
(c) UE.SSK와 UE.PVT가 유효한 시작 시간과 마지막 시간
b) UE(400)가 단말 간 릴레이 연결을 할 때 discovery 및/또는 “연결 수립 여부 결정”을 위해 사용하는 UE의 ID (일 예로, 하나 이상의 UE가 서로의 layer-2 ID를 사용해 상대 UE를 discovery 및/또는 “연결 수립 여부를 결정”한다면 이 경우 UE의 layer-2 ID)
AUSF(401)는 UE(400)에게 460 단계에서 생성한 “UE-to-UE Auth Material”를 송신할 수 있다(470 단계).
상기 도 4의 일 실시예는 단말과 릴레이 간 홉 보안 형성이 필요한 경우에도 같은 방법으로 적용할 수 있다. 이 때, 상기 UE-to-UE Indication은 단말 간 릴레이를 사용할 권한이 있을 시 단말과 릴레이 간 홉 보안 형성이 필요한지 여부 및 UE(400)가 사용할 수 있는 단말과 릴레이 간 홉 보안 형성 방법(들)에 대한 정보를 포함할 수 있다. 단말과 릴레이 간 홉 보안을 위해 UE(400)는 상기 도 4의 일 실시예와 같은 방법으로 UE-to-UE Auth Info를 구성할 수 있다. AUSF(401)가 UE(400)에게 “단말과 릴레이 간 홉 보안 형성을 위해 필요한 정보”를 송신해야 할 필요가 있다고 판단되는 경우, AUSF(401)는 상기 도 4의 실시예와 같은 방법으로 UE-to-UE Auth Material을 생성하여 UE(400)에게 전달할 수 있다. 단말 간 종단 보안 형성과 단말과 릴레이 간 홉 보안 형성이 모두 필요한 경우 동일한 UE-to-UE Auth Material이 사용될 수 있다. 예를 들어, 릴레이 단말이 UE(400)로부터 UE(400)에 대한 보안 정보를 포함하는 UE(400)와 릴레이 단말 간의 보안 형성에 대한 요청 메시지를 수신하고, 상기 요청 메시지가 UE(400)와 릴레이 단말 간의 보안 형성에 필요한 정보가 인증서-기반 접근법(certificate-based approach)을 나타내는 정보를 포함하는 경우 릴레이 단말은 AUSF(401)로 릴레이 단말의 공개 키를 포함하는 메시지를 전송할 수 있다. 상기 요청 메시지가 UE(400)와 릴레이 단말 간의 보안 형성에 필요한 정보가 아이덴티티-기반 접근법(identity-based approach)을 나타내는 정보를 포함하는 경우, 릴레이 단말은 AUSF(401)로 릴레이 단말의 ID 및 릴레이 단말의 ID의 유효기간에 대한 정보를 포함하는 메시지를 전송할 수 있다. AUSF(401)는, 릴레이 단말의 ID 및 상기 릴레이 단말의 ID의 유효기간에 대한 정보를 포함하는 메시지를 수신한 경우, 유효기간의 만료가 임박한 경우 상기 릴레이 단말에 대한 인증서를 새롭게 생성하거나, 아니면 기존의 인증서를 사용하라는 표시를 포함하는 메시지를 상기 릴레이 단말로 전송할 수 있다.
본 개시의 일 실시예에 따르면, 도 4에 도시된 “UE가 단말 간 릴레이 시 종단 보안 형성을 위해 필요한 정보들을 획득하는 과정”은 독립적으로 수행될 수 있지만, UE가 진행하는 다른 과정의 일부로 포함되어 진행될 수 있다. 일 예로, “UE가 단말 간 릴레이 시 종단 보안 형성을 위해 필요한 정보들을 획득하는 과정”은 UE(400)가 네트워크에 접속해 인증을 수행하는 primary authentication 과정(일 예로, EAP-AKA' (Extensible Authentication Protocol-Authentication and Key Agreement), 5G-AKA (5G-Authentication and Key Agreement))의 일부로서 수행될 수 있다. 상기 예는 “UE가 단말과 릴레이 간 홉 보안 형성을 위해 필요한 정보들을 획득하는 과정”에 동일하게 적용할 수 있으며, 이에 대하여 도 5에서 자세히 설명하기로 한다.
도 5는 본 개시의 일 실시예에 따른 단말간 릴레이시 종단 보안 형성을 수행하는 과정의 일 예를 도시한 도면이다.
본 개시의 일 실시예에 따르면, “UE가 단말 간 릴레이 시 종단 보안 형성을 위해 필요한 정보들을 획득하는 과정”은 UE(500)가 네트워크 접속을 위해 인증을 하는 primary authentication 과정의 일부로서 구현될 수 있다.
도 5에 도시된 UE(500), AUSF(502) 및 UDM(503)은 도 1에 도시된 단말(111), AUSF(170) 및 UDM(150)의 구성의 일부 또는 전부와 동일할 수 있다.
도 5에 도시된 SEAF(Security Anchor Function, 501)는 UE(500)의 네트워크 인증에 관계하는 논리적 기능으로서 도 1에 도시된 NF 중 하나의 기능으로 구현되어 있을 수 있다. 일 예로, 도 5에 도시된 SEAF(501)는 도 1에 도시된 AMF(180)의 기능 중 하나로 구현되어 있을 수 있다.
도 5를 참조하면, UE(500)는 SEAF(501)에게 네트워크 접속을 위한 인증을 요청하는 메시지를 송신 할 수 있다 (5010 단계).
UE(500)로부터 인증 요청 메시지를 수신한 SEAF(501)는 AUSF(502)에게 상기 인증과 관련된 절차 진행을 요청하는 메시지를 송신할 수 있다(5020 단계).
AUSF(502)는 UDM(503)에게 상기 인증과 관련된 자료를 요청하는 메시지를 송신할 수 있다 (5030 단계).
AUSF(502)로부터 상기 인증과 관련된 자료를 요청하는 메시지를 수신한 UDM(503)은 다음의 과정 중 하나 이상을 수행할 수 있다(5040 단계).
과정 1: 본 개시의 일 실시예에 따르면, UDM(503)은 UE(500)의 신원을 파악한 뒤 UE(500)의 구독 정보를 확인할 수 있다. 본 개시의 일 실시예에 따르면, UE(500)의 구독 정보는 다음의 사항 중 적어도 하나 이상을 포함할 수 있다.
a) UE(500)가 해당 사업자의 고객인지 여부에 대한 정보
b) UE(500)가 구독한 서비스의 종류 대한 정보. 특히 본 명세서와 관련해서는 단말 간 릴레이와 관련된 UE(500)의 구독 정보. 본 개시의 일 실시예에 따르면, 단말 간 릴레이와 관련된 UE(500)의 구독 정보는 UE(500)가 단말 간 릴레이를 사용할 권한이 있는지 여부, UE(500)가 단말 간 릴레이를 사용할 권한이 있을 시 단말 간 종단 보안 형성이 필요한지 여부 및 UE(400)가 사용할 수 있는 단말간 종단 보안 형성 방법(들)에 대한 정보 중 적어도 하나 이상을 포함할 수 있다.
과정 2: 본 개시의 일 실시 예에 따르면, UE(500)가 인증을 하기 위해 필요한 정보(일 예로, AV (authentication vector))를 생성할 수 있다.
UDM(503)은 AUSF(502)에서 수신한 요청 메시지에 대한 응답으로 AUSF(502)로 5040 단계에서 생성한 AV 및 5040 단계에서 확인한 UE(500)의 구독 정보에 따른 UE-to-UE indication 정보 중 적어도 하나 이상을 포함하는 정보를 포함하는 응답 메시지를 송신할 수 있다(5050 단계). 본 개시의 일 실시예에 따르면, 상기 UE-to-UE indication 정보는 도 4에서 설명한 UE-to-UE indication 정보와 동일할 수 있다.
AUSF(502)는 UDM(503)으로부터 수신한 UE-to-UE Indication을 포함하는 응답메시지를 SEAF(501)로 송신할 수 있다(5060 단계).
SEAF(501)는 AUSF(502)로부터 수신한 UE-to-UE Indication을 포함하는 응답메시지를 UE(500)로 송신할 수 있다. (5070 단계).
SEAF(501)로부터 상기 인증과 관련된 자료를 요청하는 메시지를 수신한 UE(500)는 다음의 과정 중 하나 이상을 수행할 수 있다(5080 단계).
과정 1: 본 개시의 일 실시예에 따르면, UE(500)는 SEAF(501)로부터 수신한 요청 메시지를 기반으로 자신을 인증하기 위해 authentication response를 생성할 수 있다.
과정 2: 본 개시의 일 실시예에 따르면, SEAF(501)로부터 수신한 UE-to-UE Indication 정보를 기반으로 UE(500)는 AUSF(502)에 송신할 authentication response에 UE-to-UE Auth Info를 포함할 수 있다. 상기 UE-to-UE Auth Info에 대한 설명은 도 4에서의 UE-to-UE Auth Info에 대한 설명과 동일할 수 있다.
UE(500)는 SEAF(501)로 UE-to-UE Auth Info를 포함하는 authentication response를 송신할 수 있다(5090 단계). SEAF(501)는 UE(500)로부터 수신한 UE-to-UE Auth Info를 포함하는 authentication response를 AUSF(502)로 송신할 수 있다(5100 단계).
AUSF(502)는 SEAF(501)로부터 받은 authentication response를 검증할 수 있다. 본 개시의 일 실시예에 따르면, 상기 검증 과정을 거쳐 네트워크는 UE(500)가 정당한 사용자임을 인증할 수 있다(5110 단계).
UDM(503)으로부터 수신한 UE-to-UE Indication과 SEAF(501)로부터 수신한 UE-to-UE Auth Info를 기반으로 AUSF(502)는 UE(500)로 송신할 UE-to-UE Auth Material을 생성할 지 여부를 판단하고, 상기 판단에 따라 UE(500)로 송신할 UE-to-UE Auth Material을 생성할 수 있다. (5120 단계). 상기 UE-to-UE Auth Material에 대한 설명은 도 4에서의 UE-to-UE Auth Material에 대한 설명과 동일할 수 있다.
AUSF(502)는 5120 단계에서 UE-to-UE Auth Material을 생성한 경우, SEAF(501)로 AUSF(502)가 생성한 UE-to-UE Auth Material을 포함하는 응답 메시지를 송신할 수 있다(5130 단계).
UE(500)와 SEAF(501) 사이에서 UE(500)와 SEAF(501)간 보안 통신을 위한 키 형성 작업 (SMC(Security Mode Command)라고 통칭) 및 SEAF(501)에서 UE(500)로 UE-to-UE Auth Material의 송신 중 적어도 하나 이상이 수행될 수 있다(5140 단계).
도 6은 본 개시의 일 실시예에 따른 단말 간 릴레이 시 종단 보안을 형성하는 방법을 도시한 도면이다.
도 6에 도시된 UE 1(601) 및 UE 2(603)은 도1에 도시된 단말(111)의 구성 전부와 동일할 수 있다. 도 6에 도시된 Relay UE(602)는 도 1에 도시된 단말(111) 및/또는 도 1에 도시된 NF 중 하나일 수 있다.
도 6을 참조하면, UE 1(601)과 UE 2(603)는 Relay UE(602)를 거쳐 통신을 하게 되며, 종단 간 보안을 형성하기 위해 종단 간 암호화 키를 생성 및 공유할 수 있다.
UE 1(601) 및 UE 2(603)는 도 4 내지 도 5에서 개시된 “UE가 단말 간 릴레이 시 종단 보안 형성을 위해 필요한 정보들을 획득하는 과정”을 수행한다(600 단계). 일 실시예에 따르면, UE 1(601) 및 UE 2(603)는 600 단계에서 단말 간 릴레이를 사용할 권한이 있는지를 네트워크로부터 검증 받을 수 있다. 일 실시예에 따르면, Relay UE(602)는 600 단계에서 단말 간 릴레이를 중개할 수 있는 권한이 있는지 여부를 네트워크로부터 검증 받을 수 있다. 본 개시의 일 실시예에 따르면, 600 단계에서 UE 1(601) 및 UE 2(603)는 각각 UE-to-UE Auth Material을 획득하고, 상기 획득한 UE-to-UE Auth Material을 기반으로 메시지 M에 대해 전자서명을 생성하고, 상기 생성된 전자 서명 및 상기 전자 서명을 검증할 수 있는 정보를 포함하여 UE 1.Sig 및 UE 2. Sig를 생성할 수 있다. 본 개시의 일 실시예에 따르면, UE 1.Sig 및 UE 2. Sig를 생성하는 과정은 Certificate-based approach 또는 identity-based approach를 통해 구현될 수 있다. 상기 Certificate-based approach 및 identity-approach는 도 4에서 상세히 설명한 바, 설명을 생략한다.
참조하면 UE 1(601)은 공개키 UE1.ePK 및 비밀키 UE1.eSK를 생성하고 UE 2(603)와 보안을 형성하기 위한 정보를 UE 1(601)의 Generic Container인 UE1.Auth_Key_Info에 담을 수 있다(610 단계). 본 개시의 일 실시예에 따르면, UE 1(601)은 UE1.ePK를 기반으로 전자서명을 생성할 수 있으며, 상기 생성된 전자 서명을 포함하는 UE1.Sig를 생성할 수 있다. 본 개시의 일 실시예에 따르면, UE1.ePK 및 UE1.eSK는 임의의 공개키 암호 시스템에서 사용되는 공개키와 비밀키의 쌍일 수 있다. 본 개시의 일 실시예에 따르면, UE 1(601)은 UE1.Auth_Key_Info에 UE1.ID, UE1.ePK 및 UE1.Sig 중 적어도 하나 이상을 포함할 수 있다. 본 개시의 일 실시예에 따르면, UE 1(601)이 certificate-based approach를 기반으로 UE1.Sig를 생성하는 경우, UE1.Auth_Key_Info는 UE1.ID를 포함하지 않을 수 있다.
UE 1(601)은 Relay UE(602)로 UE1.Auth_Key_Info를 포함하는 메시지를 송신할 수 있다(620 단계).
Relay UE(602)는 620 단계에서 수신한 메시지를 기반으로 UE 2(603)에게 UE1.Auth_Key_Info를 포함하는 메시지를 송신할 수 있다(630 단계).
UE 2(603)는 630 단계에서 수신한 메시지를 기반으로 다음의 과정 중 적어도 하나 이상을 수행할 수 있다 (640 단계).
과정 1: UE2 (603)는 UE1.Auth_Key_Info에 포함된 UE1.Sig를 기반으로 UE 1(601)이 보낸 전자 서명의 유효성을 검증할 수 있다.
과정 2: UE 2(603)는 공개키 UE2.ePK와 비밀키 UE2.eSK를 생성할 수 있다. 본 개시의 일 실시예에 따르면 상기 UE2.ePK와 UE2.eSK는 임의의 공개키 암호 시스템에서 사용되는 공개키와 비밀키의 쌍일 수 있다.
과정 3: UE 2(603)는 상기 UE2.ePK를 대상으로 하여 전자 서명을 생성할 수 있다.
과정 4: UE 2(603)는 상기 전자서명을 포함하여 UE2.Sig를 생성할 수 있다.
과정 5: UE 2(603)는 UE 1(601)과 보안을 형성하기 위한 정보를 UE 2(603)의 Generic Container인 UE2.Auth_Key_Info에 담을 수 있다. 본 개시의 일 실시예에 따르면, UE 2(603)은 UE2.Auth_Key_Info에 UE2.ID, UE2.ePK 및 UE2.Sig 중 적어도 하나 이상을 포함할 수 있다. 본 개시의 일 실시예에 따르면, UE 2(603)가 certificate-based approach를 기반으로 UE2.Sig를 생성하는 경우, UE2.Auth_Key_Info는 UE2.ID를 포함하지 않을 수 있다.
과정 6: UE2 (603)는 UE1.ePK와 UE2.eSK를 사용하여 종단 보안에 사용될 보안 키(일 예로, E2E session key를 포함할 수 있다.)를 생성할 수 있다.
Relay UE(602)와 UE 2(603) 사이의 보안이 형성될 수 있다 (650 단계). 본 개시의 일 실시예에 따르면, 650 단계에서 생성된 보안은 Relay UE(602)와 UE 2(603) 사이에서 이루어지는 통신을 보호하기 위해 사용될 수 있다. 본 개시의 일 실시예에 따르면, Relay UE(602)와 UE 2(603) 사이는 hop-by-hop 방식으로 보안이 형성될 수 있다.
UE 2(603)는 Relay UE(602)에게 UE2.Auth_Key_Info를 포함하는 메시지를 송신할 수 있다(660 단계).
Relay UE(602)와 UE 1(601) 사이의 보안이 형성될 수 있다(670 단계). 본 개시의 일 실시예에 따르면 670 단계에서 생성된 보안은 Relay UE(602)와 UE 1(601) 사이에서 이루어지는 통신을 보호하기 위해 사용될 수 있다.
Relay UE(602)는 UE 1(601)에게 UE2.Auth_Key_Info를 포함하는 메시지를 송신할 수 있다(680 단계).
UE 1(601)은 다음의 과정 중 적어도 하나 이상을 수행할 수 있다(690 단계).
과정 1: UE 1(601)은 680 단계에서 수신한 UE2.Auth_Key_Info에포함된 UE2.Sig를 사용해 UE 2(603)가 보낸 전자 서명의 유효성을 검증할 수 있다.
과정 2: UE 1(601)은 680 단계에서 수신한 UE2.Auth_Key_Info에 포함된 UE2.ePK와 UE1.eSK를 사용하여 종단 보안에 사용될 보안 키(E2E session key라 칭함)를 생성할 수 있다.
본 개시의 일 실시예에 따르면, 600 내지 690 단계를 통해 UE 1(601)과 UE 2(603)는 종단 간 보안을 위해 사용될 session key를 생성 및 공유할 수 있다. 본 개시의 일 실시예에 따르면, 상기 생성된 session key를 이용해 종단 간 보안 통신을 수행할 수 있다. 본 개시의 일 실시예에 따르면, 상기 수행되는 보안 통신이란 아래의 보안 통신 중 적어도 하나 이상을 포함할 수 있다.
1) UEx에서 UEy로 전송되는 메시지의 무결성 (integrity protection) 통신. 일 예로, 메시지의 무결성 통신은 MAC(Message Authentication Code) 의 생성 등을 통한 통신을 포함할 수 있다.
2) UEx에서 UEy로 전성되는 메시지의 기밀성 (confidentiality) 통신. 일 예로, 메시지의 기밀성 통신은 메시지의 암복호화 과정을 통한 통신을 포함할 수 있다.
도 6과 관련된 일 실시예에 따르면, 단말과 릴레이간 홉 보안 형성이 필요한 경우 단말과 릴레이간 홉 보안을 수립하는 과정에 유사하게 적용될 수 있다. UE 1(601) 또는 UE 2(603)는 Relay UE(602)와 각 UE의 Auth_Key_Info를 포함하는 Direct Communication Request 메시지와 Direct Communication Request 메시지를 주고 받아 상호 인증을 수행하고 홉 간 보안을 위해 사용될 session key를 생성 및 공유할 수 있다. UE 1(601) 또는 UE 2(603)와 Relay UE(602)는 상기 생성된 session key를 이용해 홉 간 보안 통신을 수행할 수 있다(650 단계 및 670 단계). 일 실시예에 따르면, Relay UE(602)에 대한 보안 정보(즉, Auth_Key_Info)는 Relay UE(602)의 ID, Relay UE(602)의 공개 키 및 Relay UE(602)의 전자 서명과 관련된 보안 정보 중 적어도 하나를 포함할 수 있다. 일 실시예에 따르면, UE 1(601)의 전자 서명과 관련된 보안 정보, UE 2(603)의 전자 서명과 관련된 보안 정보 및 상기 Relay UE(602)의 전자 서명과 관련된 보안 정보는 UE 1(601)의 전자 서명, UE 2(603)의 전자 서명 및 Relay UE(602)의 전자 서명을 검증 할 수 있는 값의 조합으로 구성될 수 있다.
도 7은 본 개시의 일 실시예에 따른 단말의 구성을 도시한 도면이다.
도 7에 도시되어 있는 단말의 실시 예는 오직 예시만을 위한 것이며, 따라서 도 7은 본 개시의 범위를 단말의 임의의 특정한 구현으로 제한하지는 않는다.
도 7에 도시되어 있는 바와 같이, 단말은 안테나(705), 무선 주파수(radio frequency: RF) 송수신기(710), TX 프로세싱 회로(715), 마이크로폰(microphone)(720) 및 수신(receive: RX) 프로세싱 회로(725)를 포함한다. 단말은 또한 스피커(730), 프로세서(740), 입/출력(input/output: I/O) 인터페이스(interface: IF)(745), 터치 스크린(750), 디스플레이(display)(755) 및 메모리(760)를 포함한다. 메모리(760)는 운영 시스템(operating system: OS)(761) 및 하나 혹은 그 이상의 어플리케이션(application)들(762)을 포함한다.
RF 송수신기(710)는 안테나(705)로부터 네트워크의 기지국에 의해 송신된, 입력되는 RF 신호를 수신한다. RF 송수신기(710)는 입력되는 RF 신호를 다운 컨버팅하여 중간 주파수(intermediate frequency: IF) 혹은 기저대역 신호로 생성한다. IF 혹은 기저 대역 신호는 RX 프로세싱 회로(725)로 송신되고, RX 프로세싱 회로(725)는 기저대역 혹은 IF 신호를 필터링, 디코딩, 및/혹은 디지털화하여 프로세싱된 기저대역 신호를 생성한다. RX 프로세싱 회로(725)는 추가적인 프로세싱을 위해 프로세싱된 기저대역 신호를 스피커(730)로(음성 데이터를 위해서와 같이) 혹은 프로세서(740)(웹 브라우징 데이터(web browsing data)를 위해서와 같이)로 송신한다.
TX 프로세싱 회로(715)는 마이크로폰(720)으로부터 아날로그 혹은 디지털 음성 데이터를 수신하거나, 혹은 프로세서(740)로부터 다른 출력 기저 대역 데이터(웹 데이터, 이메일, 혹은 양방향 비디오 게임 데이터(interactive video game data)와 같은)를 수신한다. TX 프로세싱 회로(715)는 출력 기저 대역 데이터를 인코딩, 다중화 및/혹은 디지털화하여 프로세싱된 기저대역 혹은 IF 신호로 생성한다. RF 송수신기(710)는 TX 프로세싱 회로(715)로부터 출력되는 프로세싱된 기저대역 혹은 IF 신호를 수신하고, 기저대역 혹은 IF 신호를 안테나(705)를 통해 송신되는 RF 신호로 업 컨버트(up-convert)한다.
프로세서(740)는 하나 혹은 그 이상의 프로세서들 혹은 다른 프로세싱 디바이스들을 포함할 수 있으며, 단말의 전반적인 동작을 제어하기 위해 메모리(760)에 저장되어 있는 OS(761)을 실행할 수 있다. 일 예로, 프로세서(740)는 공지의 원칙들에 따라 RF 송수신기(710), RX 프로세싱 회로(725) 및 TX 프로세싱 회로(715)에 의한 다운링크 채널 신호들의 수신 및 업링크 채널 신호들의 송신을 제어할 수 있다. 몇몇 실시 예들에서, 프로세서(740)는 적어도 하나의 마이크로 프로세서 혹은 마이크로 제어기를 포함한다.
본 개시의 다양한 실시 예들에서, 프로세서(740)는 5GC 시스템에서 UPF의 선택을 지원하는 방법에 관련된 동작에 관련된 전반적인 동작을 제어한다. 즉, 프로세서(740)는 일 예로 도 1 내지 도 6에서 설명한 바와 단말간 종단 보안 형성하는 방법에 관련된 동작에 관련된 전반적인 동작을 제어한다.
프로세서(740)는 데이터를 실행중인 프로세스에 의해 요구될 경우 메모리(760) 내로 혹은 메모리(760)로부터 이동시킬 수 있다. 몇몇 실시 예들에서, 프로세서(740)는 OS 프로그램(761)을 기반으로 혹은 기지국들 혹은 운영자로부터 수신되는 신호들에 응답하여 어플리케이션들(762)을 실행하도록 구성된다. 또한, 프로세서(740)는 I/O 인터페이스(745)에 연결되고, I/O 인터페이스(745)는 단말에게 랩탑 컴퓨터들 및 핸드헬드(handheld) 컴퓨터들과 같은 다른 디바이스들에 대한 연결 능력을 제공한다. I/O 인터페이스(745)는 이런 악세사리들과 프로세서(740)간의 통신 경로이다.
프로세서(740)는 또한 터치 스크린(750) 및 디스플레이 유닛(755)에 연결된다. 단말의 운영자는 터치 스크린(750)을 사용하여 단말에 데이터를 입력할 수 있다. 디스플레이(755)는 웹 사이트(web site)들로부터와 같은 텍스트 및/혹은 적어도 제한된 그래픽들을 렌더링(rendering)할 수 있는 액정 크리스탈 디스플레이, 발광 다이오드 디스플레이, 혹은 다른 디스플레이가 될 수 있다.
메모리(760)는 프로세서(740)에 연결된다. 메모리(760)의 일부는 랜덤 억세스 메모리(random access memory: RAM)를 포함할 수 있으며, 메모리(760)의 나머지 부분은 플래시 메모리 혹은 다른 리드 온니 메모리(read-only memory: ROM)를 포함할 수 있다.
도 7이 단말의 일 예를 도시하고 있다고 할지라도, 다양한 변경들이 도 7에 대해서 이루어질 수 있다. 일 예로, 도 7에서의 다양한 컴포넌트들은 조합되거나, 더 추가 분할 되거나, 혹은 생략될 수 있으며, 다른 컴포넌트들이 특별한 필요들에 따라서 추가될 수 있다. 또한, 특별한 예로서, 프로세서(740)는 하나 혹은 그 이상의 중앙 프로세싱 유닛(central processing unit: CPU)들 및 하나 혹은 그 이상의 그래픽 프로세싱 유닛(graphics processing unit: GPU)들과 같은 다수의 프로세서들로 분할될 수 있다. 또한, 도 7에서는 단말이 이동 전화기 혹은 스마트 폰과 같이 구성되어 있다고 할지라도, 단말은 다른 타입들의 이동 혹은 고정 디바이스들로서 동작하도록 구성될 수 있다.
도 8은 본 개시의 일 실시예에 따른 네트워크 엔티티(network entity)의 구성을 도시한 도면이다.
본 개시의 일 실시예에 따르면 네트워크 엔티티는 시스템 구현에 따라 네트워크 펑션(network function)을 포함하는 개념이다.
도 8을 참고하면, 네트워크 엔티티(800)는 송신부(810), 수신부(820) 및 네트워크 엔티티의 전반적인 동작을 제어하는 제어부(830)를 포함할 수 있다. 또한 상기 네트워크 엔티티(800)는 5G 시스템의 코어 네트워크에서 다른 네트워크 엔터티(들)과 통신을 위한 통신 인터페이스와 프로세서를 포함하여 구현될 수 있다. 또한, 상기 네트워크 엔티티(800)는 서버에 상기 네트워크 엔티티(800)의 기능을 포함하여 구현될 수도 있다.
상기 제어부 (830)은 상기 네트워크 엔티티(800)의 전반적인 동작을 제어하며, 특히, 단말간 종단 보안 형성을 수행하도록 제어한다. 상기 제어부 (830)가 상기 네트워크 엔티티(800)를 제어하는 동작은 도 1 내지 도 6 에서 설명한 바와 동일하므로, 여기서는 그 상세한 설명을 생략하기로 한다.
상기 수신부 (810)은 상기 제어부 (830)의 제어에 따라 각종 메시지, 정보등을 수신한다.
상기 송신부 (820)은 상기 제어부 (830)의 제어에 따라 각종 메시지, 정보등을 송신한다.
도 8에서는 상기 수신부 (810), 송신부 (820) 및 제어부 (830)가 별도의 유닛들로 구현되어 있으나, 상기 수신부 (810), 송신부 (820) 및 제어부 (830) 중 적어도 두 개는 하나로 통합될 수 있다. 또한, 상기 수신부 (810), 송신부 (820) 및 제어부 (830)는 적어도 하나의 프로세서로도 구현될 수 있다.
상기 네트워크 엔티티는 기지국(RAN), AMF, SMF, UPF, PCF, NF, NEF, NRF, NSSF, UDM, UDR, AF, DN, AUSF, SCP, UDSF, context storage, OAM, EMS, AAA-P, AAA-H 중 어느 하나일 수 있다.
상기 도 1 내지 도 8이 예시하는 구성도, 제어/데이터 신호 송수신 방법의 예시도, 동작 절차 예시도 들은 본 개시의 권리범위를 한정하기 위한 의도가 없음을 유의하여야 한다. 즉, 상기 도 1 내지 도 8에 기재된 모든 구성부, 엔티티, 또는 동작의 단계가 개시의 실시를 위한 필수구성요소인 것으로 해석되어서는 안되며, 일부 구성요소 만을 포함하여도 개시의 본질을 해치지 않는 범위 내에서 구현될 수 있다.
앞서 설명한 기지국이나 단말의 동작들은 해당 프로그램 코드를 저장한 메모리 장치를 기지국 또는 단말 장치 내의 임의의 구성부에 구비함으로써 실현될 수 있다. 즉, 기지국 또는 단말 장치의 제어부는 메모리 장치 내에 저장된 프로그램 코드를 프로세서 혹은 CPU(Central Processing Unit)에 의해 읽어내어 실행함으로써 앞서 설명한 동작들을 실행할 수 있다.
본 명세서에서 설명되는 엔티티, 기지국 또는 단말 장치의 다양한 구성부들과, 모듈(module)등은 하드웨어(hardware) 회로, 일 예로 상보성 금속 산화막 반도체(complementary metal oxide semiconductor) 기반 논리 회로와, 펌웨어(firmware)와, 소프트웨어(software) 및/혹은 하드웨어와 펌웨어 및/혹은 머신 판독 가능 매체에 삽입된 소프트웨어의 조합과 같은 하드웨어 회로를 사용하여 동작될 수도 있다. 일 예로, 다양한 전기 구조 및 방법들은 트랜지스터(transistor)들과, 논리 게이트(logic gate)들과, 주문형 반도체와 같은 전기 회로들을 사용하여 실시될 수 있다.
한편 본 개시의 상세한 설명에서는 구체적인 실시 예에 관해 설명하였으나, 본 개시의 범위에서 벗어나지 않는 한도 내에서 여러 가지 변형이 가능함은 물론이다. 그러므로 본 개시의 범위는 설명된 실시 예에 국한되어 정해져서는 안되며 후술하는 특허청구의 범위뿐만 아니라 이 특허청구의 범위와 균등한 것들에 의해 정해져야 한다.

Claims (20)

  1. 무선 통신 시스템에서 제1 단말의 방법에 있어서,
    제1 엔티티로 단말간 보안 형성에 필요한 정보에 대한 제1 요청 메시지를 송신하는 과정;
    상기 제1 엔티티로부터 상기 제1 요청메시지에 대한 응답으로 단말간 상기 보안 형성에 필요한 정보를 포함하는 제1 응답 메시지를 수신하는 과정;
    상기 응답메시지를 기반으로 상기 제1 단말에 대한 보안 정보를 생성하는 과정;
    릴레이 단말로 상기 제1 단말에 대한 보안 정보를 포함하는 제2 요청 메시지를 송신하는 과정;
    상기 릴레이 단말과 보안 형성을 수행하는 과정;
    상기 릴레이 단말로부터 상기 제2 요청메시지에 대한 응답으로 제2 단말에 대한 보안 정보를 포함하는 제2 응답 메시지를 수신하는 과정; 및
    상기 수신한 제2 단말에 대한 보안 정보를 기반으로 단말간 종단 세션 키 (end-to-end session key: E2E session key)를 생성하는 과정을 포함하는 제1 단말의 방법.
  2. 제1항에 있어서,
    상기 제1 단말에 대한 보안 정보는 상기 제1 단말의 ID, 상기 제1 단말의 공개 키 및 상기 제1 단말의 전자 서명과 관련된 보안 정보 중 적어도 하나를 포함하고,
    상기 제2 단말에 대한 보안 정보는 상기 제2 단말의 ID, 상기 제2 단말의 공개 키 및 상기 제2 단말의 전자 서명과 관련된 보안 정보 중 적어도 하나를 포함하고,
    상기 릴레이 단말에 대한 보안 정보는 상기 릴레이 단말의 ID, 상기 릴레이 단말의 공개 키 및 상기 릴레이 단말의 전자 서명과 관련된 보안 정보 중 적어도 하나를 포함하는 제1 단말의 방법.
  3. 제2항에 있어서,
    상기 제1 단말의 전자 서명과 관련된 보안 정보, 상기 제2 단말의 전자 서명과 관련된 보안 정보 및 상기 릴레이 단말의 전자 서명과 관련된 보안 정보는 상기 제1 단말의 전자 서명, 상기 제2 단말의 전자 서명 및 상기 릴레이 단말의 전자 서명을 검증 할 수 있는 값의 조합으로 구성되는 제1 단말의 방법.
  4. 제1항에 있어서,
    상기 제1 메시지에 포함된 상기 단말간 보안 형성에 필요한 정보가 인증서-기반 접근법(certificate-based approach)을 나타내는 정보를 포함하는 경우, 상기 제1 엔티티로 상기 제1 단말의 공개 키를 포함하는 메시지를 전송하는 단계를 더 포함하고,
    상기 제1 메시지에 포함된 상기 단말간 보안 형성에 필요한 정보가 아이덴티티-기반 접근법(identity-based approach)을 나타내는 정보를 포함하는 경우, 상기 제1 엔티티로 상기 제1 단말의 ID 및 상기 제1 단말의 ID의 유효기간에 대한 정보를 포함하는 메시지를 전송하는 단계를 더 포함하는 제1 단말의 방법.
  5. 제4항에 있어서,
    상기 제1 엔티티는, 상기 제1 단말의 ID 및 상기 제1 단말의 ID의 유효기간에 대한 정보를 포함하는 메시지를 수신한 경우, 상기 유효기간의 만료가 임박한 경우 상기 제1 단말에 대한 인증서를 새롭게 생성하거나, 아니면 기존의 인증서를 사용하라는 표시를 포함하는 메시지를 상기 제1 단말로 전송하도록 구성되는 제1 단말의 방법.
  6. 무선 통신 시스템에서 릴레이 단말의 방법에 있어서,
    제1 단말로부터 상기 제1 단말에 대한 보안 정보를 포함하는 제1 요청 메시지를 수신하는 과정;
    제2 단말로 상기 제1 요청메시지를 기반으로 제2 요청메시지를 송신하는 과정;
    상기 제2 단말과 보안 형성을 수행하는 과정;
    상기 제2 요청메시지에 대한 응답으로 상기 제2 단말에 대한 보안 정보를 포함하는 제1 응답 메시지를 수신하는 과정;
    상기 제1 단말과 보안 형성을 수행하는 과정; 및
    상기 제1 단말로 상기 제1 요청메시지에 대한 응답으로 상기 제2 단말에 대한 보안 정보를 포함하는 제2 응답 메시지를 송신하는 과정을 포함하는 릴레이 단말의 방법.
  7. 제6항에 있어서,
    상기 제1 단말에 대한 보안 정보는 상기 제1 단말의 ID, 상기 제1 단말의 공개 키 및 상기 제1 단말의 전자 서명과 관련된 보안 정보 중 적어도 하나 이상을 포함하고,
    상기 제2 단말에 대한 보안 정보는 상기 제2 단말의 ID, 상기 제2 단말의 공개 키 및 상기 제2 단말의 전자 서명과 관련된 보안 정보 중 적어도 하나 이상을 포함하고,
    상기 릴레이 단말에 대한 보안 정보는 상기 릴레이 단말의 ID, 상기 릴레이 단말의 공개 키 및 상기 릴레이 단말의 전자 서명과 관련된 보안 정보 중 적어도 하나를 포함하는 릴레이 단말의 방법.
  8. 제6항에 있어서,
    상기 제1 단말의 전자 서명과 관련된 보안 정보, 상기 제2 단말의 전자 서명과 관련된 보안 정보 및 상기 릴레이 단말의 전자 서명과 관련된 보안 정보는 상기 제1 단말의 전자 서명, 상기 제2 단말의 전자 서명 및 상기 릴레이 단말을 검증 할 수 있는 값의 조합으로 구성되는 릴레이 단말의 방법.
  9. 제 6항에 있어서,
    상기 제1 메시지에 포함된 상기 단말과 릴레이 간 홉 보안 형성에 필요한 정보가 인증서-기반 접근법(certificate-based approach)을 나타내는 정보를 포함하는 경우, 제1 엔티티로 상기 릴레이 단말의 공개 키를 포함하는 메시지를 전송하는 단계를 더 포함하고,
    상기 제1 메시지에 포함된 상기 단말과 릴레이 간 홉 보안 형성에 필요한 정보가 아이덴티티-기반 접근법(identity-based approach)을 나타내는 정보를 포함하는 경우, 상기 제1 엔티티로 상기 릴레이 단말의 ID 및 상기 릴레이 단말의 ID의 유효기간에 대한 정보를 포함하는 메시지를 전송하는 단계를 더 포함하는 릴레이 단말의 방법.
  10. 제 9항에 있어서,
    상기 제1 엔티티는, 상기 릴레이 단말의 ID 및 상기 릴레이 단말의 ID의 유효기간에 대한 정보를 포함하는 메시지를 수신한 경우, 상기 유효기간의 만료가 임박한 경우 상기 릴레이 단말에 대한 인증서를 새롭게 생성하거나, 아니면 기존의 인증서를 사용하라는 표시를 포함하는 메시지를 상기 릴레이 단말로 전송하도록 구성되는 릴레이 단말의 방법.
  11. 무선 통신 시스템에서 제1 단말에 있어서,
    송수신기; 및
    상기 송수신기에 연결된 제어기를 포함하고, 상기 제어기는:
    제1 엔티티로 단말간 보안 형성에 필요한 정보에 대한 제1 요청 메시지를 송신하고,
    상기 제1 엔티티로부터 상기 제1 요청메시지에 대한 응답으로 상기 단말간 보안 형성에 필요한 정보를 포함하는 제1 응답 메시지를 수신하고,
    상기 응답메시지를 기반으로 상기 제1 단말에 대한 보안 정보를 생성하고,
    릴레이 단말로 상기 제1 단말에 대한 보안 정보를 포함하는 제2 요청 메시지를 송신하고,
    상기 릴레이 단말과 보안 형성을 수행하고,
    상기 릴레이 단말로부터 상기 제2 요청메시지에 대한 응답으로 상기 제2 단말에 대한 보안 정보를 포함하는 제2 응답 메시지를 수신하고, 그리고
    상기 수신한 제2 단말에 대한 보안 정보를 기반으로 단말간 종단 세션 키 (end-to-end session key: E2E session key)를 생성하도록 구성되는 제1 단말.
  12. 제11항에 있어서,
    상기 제1 단말에 대한 보안 정보는 상기 제1 단말의 ID, 상기 제1 단말의 공개 키 및 상기 제1 단말의 전자 서명과 관련된 보안 정보 중 적어도 하나 이상을 포함하고,
    상기 제2 단말에 대한 보안 정보는 상기 제2 단말의 ID, 상기 제2 단말의 공개 키 및 상기 제2 단말의 전자 서명과 관련된 보안 정보 중 적어도 하나 이상을 포함하고,
    상기 릴레이 단말에 대한 보안 정보는 상기 릴레이 단말의 ID, 상기 릴레이 단말의 공개 키 및 상기 릴레이 단말의 전자 서명과 관련된 보안 정보 중 적어도 하나를 포함하는 제1 단말.
  13. 제11항에 있어서,
    상기 제1 단말의 전자 서명과 관련된 보안 정보, 상기 제2 단말의 전자 서명과 관련된 보안 정보 및 상기 릴레이 단말의 전자 서명과 관련된 보안 정보는 상기 제1 단말의 전자 서명, 상기 제2 단말의 전자 서명 및 상기 릴레이 단말의 전자 서명을 검증 할 수 있는 값의 조합으로 구성되는 제1 단말.
  14. 제11항에 있어서,
    상기 제어기는:
    상기 제1 메시지에 포함된 상기 단말간 보안 형성에 필요한 정보가 인증서-기반 접근법(certificate-based approach)을 나타내는 정보를 포함하는 경우, 상기 제1 엔티티로 상기 제1 단말의 공개 키를 포함하는 메시지를 전송하고, 그리고
    상기 제1 메시지에 포함된 상기 단말간 보안 형성에 필요한 정보가 아이덴티티-기반 접근법(identity-based approach)을 나타내는 정보를 포함하는 경우, 상기 제1 엔티티로 상기 제1 단말의 ID 및 상기 제1 단말의 ID의 유효기간에 대한 정보를 포함하는 메시지를 전송하도록 추가로 구성되는 제1 단말.
  15. 제14항에 있어서,
    상기 제1 엔티티는, 상기 제1 단말의 ID 및 상기 제1 단말의 ID의 유효기간에 대한 정보를 포함하는 메시지를 수신한 경우, 상기 유효기간의 만료가 임박한 경우 상기 제1 단말에 대한 인증서를 새롭게 생성하거나, 아니면 기존의 인증서를 사용하라는 표시를 포함하는 메시지를 상기 제1 단말로 전송하도록 구성되는 제1 단말의 방법.
  16. 무선 통신 시스템에서 릴레이 단말에 있어서,
    송수신기; 및
    상기 송수신기에 연결된 제어기를 포함하고, 상기 제어기는:
    제1 단말로부터 상기 제1 단말에 대한 보안 정보를 포함하는 제1 요청 메시지를 수신하고,
    제2 단말로 상기 제1 요청메시지를 기반으로 제2 요청메시지를 송신하고,
    상기 제2 단말과 보안 형성을 수행하고,
    상기 제2 요청메시지에 대한 응답으로 상기 제2 단말에 대한 보안 정보를 포함하는 제1 응답 메시지를 수신하고,
    상기 제1 단말과 보안 형성을 수행하고, 그리고
    상기 제1 단말로 상기 제1 요청메시지에 대한 응답으로 상기 제2 단말에 대한 보안 정보를 포함하는 제2 응답 메시지를 송신하도록 구성되는 릴레이 단말.
  17. 제16항에 있어서,
    상기 제1 단말에 대한 보안 정보는 상기 제1 단말의 ID, 상기 제1 단말의 공개 키 및 상기 제1 단말의 전자 서명과 관련된 보안 정보 중 적어도 하나 이상을 포함하고,
    상기 제2 단말에 대한 보안 정보는 상기 제2 단말의 ID, 상기 제2 단말의 공개 키 및 상기 제2 단말의 전자 서명과 관련된 보안 정보 중 적어도 하나 이상을 포함하고,
    상기 릴레이 단말에 대한 보안 정보는 상기 릴레이 단말의 ID, 상기 릴레이 단말의 공개 키 및 상기 릴레이 단말의 전자 서명과 관련된 보안 정보 중 적어도 하나를 포함하는 릴레이 단말.
  18. 제16항에 있어서,
    상기 제1 단말의 전자 서명과 관련된 보안 정보, 상기 제2 단말의 전자 서명과 관련된 보안 정보 및 상기 릴레이 단말의 전자 서명과 관련된 보안 정보는 상기 제1 단말의 전자 서명, 상기 제2 단말의 전자 서명 및 상기 릴레이 단말의 전자 서명을 검증 할 수 있는 값의 조합으로 구성되는 릴레이 단말.
  19. 제 16항에 있어서,
    상기 제어기는:
    상기 제1 메시지에 포함된 상기 단말과 릴레이 간 홉 보안 형성에 필요한 정보가 인증서-기반 접근법(certificate-based approach)을 나타내는 정보를 포함하는 경우, 제1 엔티티로 상기 릴레이 단말의 공개 키를 포함하는 메시지를 전송하고, 그리고
    상기 제1 메시지에 포함된 상기 단말과 릴레이 간 홉 보안 형성에 필요한 정보가 아이덴티티-기반 접근법(identity-based approach)을 나타내는 정보를 포함하는 경우, 상기 제1 엔티티로 상기 릴레이 단말의 ID 및 상기 릴레이 단말의 ID의 유효기간에 대한 정보를 포함하는 메시지를 전송하도록 구성되는 릴레이 단말.
  20. 제 19항에 있어서,
    상기 제1 엔티티는, 상기 릴레이 단말의 ID 및 상기 릴레이 단말의 ID의 유효기간에 대한 정보를 포함하는 메시지를 수신한 경우, 상기 유효기간의 만료가 임박한 경우 상기 릴레이 단말에 대한 인증서를 새롭게 생성하거나, 아니면 기존의 인증서를 사용하라는 표시를 포함하는 메시지를 상기 릴레이 단말로 전송하도록 구성되는 릴레이 단말.
KR1020220145917A 2021-12-14 2022-11-04 무선 통신 시스템에서 종단 보안 형성을 위한 방법 및 장치 KR20230090232A (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
PCT/KR2022/019602 WO2023113341A1 (en) 2021-12-14 2022-12-05 Method and apparatus for establishing end-to-end security in wireless communication system
US18/064,522 US20230188360A1 (en) 2021-12-14 2022-12-12 Method and apparatus for establishing end-to-end security in wireless communication system

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
KR20210179157 2021-12-14
KR1020210179157 2021-12-14
KR1020220125622A KR20230090225A (ko) 2021-12-14 2022-09-30 무선 통신 시스템에서 종단 보안 형성을 위한 방법 및 장치
KR1020220125622 2022-09-30

Publications (1)

Publication Number Publication Date
KR20230090232A true KR20230090232A (ko) 2023-06-21

Family

ID=86989776

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020220145917A KR20230090232A (ko) 2021-12-14 2022-11-04 무선 통신 시스템에서 종단 보안 형성을 위한 방법 및 장치

Country Status (1)

Country Link
KR (1) KR20230090232A (ko)

Similar Documents

Publication Publication Date Title
US20200287907A1 (en) Method and apparatus for providing profile
CN109644134B (zh) 用于大型物联网组认证的系统和方法
US10142769B2 (en) Method and system for establishing a secure communication between remote UE and relay UE in a device to device communication network
US20180014178A1 (en) Method and apparatus for accessing cellular network for sim profile
KR102382851B1 (ko) eSIM 단말과 서버가 디지털 인증서를 협의하는 방법 및 장치
CN115413413A (zh) 用于安全链路建立的中继侧行链路通信
KR20210024985A (ko) 무선 네트워크에서 IAB(Integrated Access and Backhaul) 노드의 인증을 위한 방법 및 장치
CN112534851A (zh) 委托数据连接
CN113709736B (zh) 网络认证方法及装置、系统
WO2023283789A1 (zh) 一种安全通信方法及装置、终端设备、网络设备
CN114071452B (zh) 用户签约数据的获取方法及装置
CN114025352A (zh) 终端设备的鉴权方法及其装置
CN113841366B (zh) 通信方法及装置
CN112019489B (zh) 验证方法及装置
CN114449521B (zh) 通信方法及通信装置
JP2024507208A (ja) セルラネットワークを動作させるための方法
CN116723507B (zh) 针对边缘网络的终端安全方法及装置
CN113412636B (zh) 支持对dn授权的pdu会话进行重新认证并根据dn授权数据的改变管理pdu会话的方法和装置
KR20230090232A (ko) 무선 통신 시스템에서 종단 보안 형성을 위한 방법 및 장치
KR20230090225A (ko) 무선 통신 시스템에서 종단 보안 형성을 위한 방법 및 장치
CN105340353A (zh) 设备到设备通信安全
WO2021134381A1 (zh) 本地通信的方法、装置和系统
US20230188360A1 (en) Method and apparatus for establishing end-to-end security in wireless communication system
WO2023143022A1 (zh) 用于随机接入过程中数据处理的方法和装置
WO2017190306A1 (en) Universal key agreement in device-to-device (d2d) communications