KR20230101818A - 검증된 디지털 아이덴티티를 사용한 가입 온보딩 - Google Patents

검증된 디지털 아이덴티티를 사용한 가입 온보딩 Download PDF

Info

Publication number
KR20230101818A
KR20230101818A KR1020237015387A KR20237015387A KR20230101818A KR 20230101818 A KR20230101818 A KR 20230101818A KR 1020237015387 A KR1020237015387 A KR 1020237015387A KR 20237015387 A KR20237015387 A KR 20237015387A KR 20230101818 A KR20230101818 A KR 20230101818A
Authority
KR
South Korea
Prior art keywords
subscription
dig
key
onboarding
information
Prior art date
Application number
KR1020237015387A
Other languages
English (en)
Inventor
쉬바 백키아 마리 바스카란
아포스톨리스 살킨치스
안드레아 쿤즈
제나디 벨레브
루즈베흐 아타리우스
이스한 바이쉬나비
엠마노우일 파테로미첼라키스
디미트리오스 카람팟시스
Original Assignee
레노보 (싱가포르) 피티이. 엘티디.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 레노보 (싱가포르) 피티이. 엘티디. filed Critical 레노보 (싱가포르) 피티이. 엘티디.
Publication of KR20230101818A publication Critical patent/KR20230101818A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/72Subscriber identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • H04W12/35Protecting application or service provisioning, e.g. securing SIM application provisioning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/75Temporary identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/40Security arrangements using identity modules

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Information Transfer Between Computers (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

디지털 식별자 기반 가입 온보딩을 위한 장치들, 방법들 및 시스템들이 개시된다. 하나의 장치(600)는 디지털 식별자("DIG-ID") - DIG-ID는 검증 가능한 보안 아이덴티티를 포함함 - 를 획득(805)하고 개인 키를 사용하여 DIG-ID 및 타임스탬프의 디지털 서명을 생성(810)하는 프로세서(605)를 포함한다. 장치(600)는 제1 요청을 모바일 통신 네트워크에게 송신(815)하고 온보딩 인증 성공 지시 및 검증된 DIG-ID를 포함하는 응답을 수신(820)하는 트랜시버(625)를 포함하며, 상기 제1 요청은 DIG-ID, 타임스탬프 및 생성된 디지털 서명을 포함한다. 프로세서(605)는 모바일 통신 네트워크에 대한 프로비저닝 연결을 설정(825)하고, 프로비저닝 연결을 통해 가입 자격 증명 및/또는 사용자 가입 프로필을 수신(830)한다.

Description

검증된 디지털 아이덴티티를 사용한 가입 온보딩
본 명세서에서 개시되는 주제는 일반적으로 무선 통신에 관한 것이며, 보다 상세하게는 디지털 ID 기반 가입 온보딩(subscription onboarding)에 관한 것이다.
이하의 약어들이 여기에서 정의되며, 그 중 적어도 일부는 이하의 설명 내에서 언급된다: 3세대 파트너십 프로젝트("3GPP"), 5세대 코어 네트워크("5CG"), 5세대 시스템("5GS"), 인증, 권한 부여 및 계정 관리("AAA"), AAA 프록시("AAA-P"), 긍정 확인응답("ACK"), 인증 및 키 합의("AKA"), 액세스 및 이동성 관리 기능("AMF"), 애플리케이션 프로그래밍 인터페이스("API"), 인증 자격 증명 리포지토리 및 처리 기능("ARPF"), 액세스 계층(Access Stratum)("AS"), 애플리케이션 서버("AS"), 인증 서버 기능("AUSF"), 인증 토큰("AUTN"), 인증 벡터("AV"), 기지국("BS"), 블록체인 서비스 인에이블러 기능("BSEF"), 대역폭 부분("BWP"), 클리어 채널 평가("CCA"), 코드 분할 다중 액세스("CDMA"), 제어 요소("CE"), 사이클릭 프리픽스("CP"), 채널 상태 정보("CSI"), 구성된 그랜트("CG"), 코어 네트워크("CN"), 제어 평면("CP"), 탈중앙화 식별자("DID"), 디지털 식별자("DIG- ID"), 디지털 서명("DS"), 분산 원장 기술("DLT"), 디지털 식별, 인증 및 신뢰 서비스 인에이블러 기능("D-IDASEF"), 디지털 ID 기반 가입 영구 식별자("D-SUPI"), 다운링크 제어 정보("DCI"), 다운링크("DL"), 불연속 전송("DTX"), 향상된 클리어 채널 평가("eCCA"), 전자 식별, 인증 및 신뢰 서비스("elDAS"), 향상된 모바일 광대역("eMBB"), 진화된 노드 B("eNB"), 진화된 패킷 코어("EPC"), 진화된 패킷 시스템("EPS"), 진화된 UMTS 지상 무선 액세스("E-UTRA"), 진화된 UMTS 지상 무선 액세스 네트워크("E-UTRAN"), 유럽 전기통신 표준 기구("ETSI"), 일반 패킷 무선 서비스("GPRS"), 모바일 통신을 위한 글로벌 시스템("GSM"), 하이브리드 자동 반복 요청( "HARQ"), 홈 가입자 서버("HSS"), 홈 공중 육상 모바일 네트워크("HPLMN"), 아이덴티티(Identity)("ID", 관련 개념들 '식별자(Identifier)' 또는 '신분 증명(Identification)'의 두문자어이기도 함), 아이덴티티 제공자("IDP"), 아이덴티티 서비스 제공자("IDSP"), 아이덴티티 프레임워크("IDF"), 정보 요소("IE"), 사물 인터넷("loT"), 리슨-비포-토크(Listen-Before-Talk)("LBT"), 롱 텀 에볼루션("LTE"), 다중 액세스("MA"), 이동성 관리("MM"), 이동성 관리 엔티티("MME"), 모바일 네트워크 운영자("MNO"), 마스터 세션 키("MSK"), 협대역("NB"), 부정 확인응답("NACK" 또는 "NAK"), 신세대(5G) 노드 B("gNB"), 신세대 무선 액세스 네트워크("NG-RAN", 5GS 네트워크들에 사용되는 RAN), 뉴 라디오("NR", 5G 무선 액세스 기술; "5G NR"이라고도 지칭됨), 비면허 스펙트럼을 사용하는 NR("NR-U"), 비액세스 계층(Non-Access Stratum)("NAS"), 네트워크 노출 기능("NEF"), 한 번 사용되는 숫자(Number Used Once)("논스(Nonce)"), 네트워크 슬라이스 선택 보조 정보("NSSAI"), 온보딩 보조 정보("OAI"), 허가형 분산 원장("PDL"), 패킷 데이터 유닛("PDU", 'PDU 세션'과 관련하여 사용됨), 패킷 교환("PS", 예를 들면, 패킷 교환 도메인 또는 패킷 교환 서비스), 프라이머리 셀("PCell"), 물리 다운링크 제어 채널("PDCCH"), 패킷 데이터 네트워크("PDN"), 물리 다운링크 공유 채널("PDSCH") ), PDN 게이트웨이("P-GW"), 물리 하이브리드 자동 반복 요청 지시자 채널("PHICH"), 물리 랜덤 액세스 채널("PRACH"), 물리 자원 블록("PRB"), 물리 업링크 제어 채널( "PUCCH"), 물리 업링크 공유 채널("PUSCH"), 공중 육상 모바일 네트워크("PLMN"), 서비스 품질("QoS"), 무선 액세스 네트워크("RAN"), 무선 자원 제어("RRC") ), 랜덤 액세스 채널("RACH"), 랜덤 액세스 응답("RAR"), 참조 신호("RS"), 등록 영역("RA", LTE/EPC에서 사용되는 추적 영역 리스트와 유사함), 수신("RX"), 무선 링크 제어("RLC"), 단일 캐리어 세컨더리 셀("SCell"), 공유 채널("SCH"), 서빙 게이트웨이 보안 앵커 기능("SEAF"), 가입 식별자 은닉 해제 기능(Subscription Identifier De-concealing Function)("SIDE"), 서빙 게이트웨이("S-GW"), 세션 관리("SM"), 보안 모드 명령("SMC"), 세션 관리 기능("SMF"), 서빙 네트워크 식별자("SN Id"), 서비스 제공자("SP"), 단일 네트워크 슬라이스 선택 보조 정보("S-NSSAI"), 사운딩 참조 신호("SRS"), 자기 주권 식별자("SSI"), 가입 은닉 식별자("SUCI"), 가입 영구 식별자("SUPI"), 타이밍 정렬 타이머("TAT"), 추적 영역("TA"), 전송 블록("TB"), 전송 블록 크기("TBS"), 타임스탬프("TS"), 신뢰 서비스 제공자("TSP"), 전송 시간 간격("TTI"), 전송("TX"), 통합 데이터 관리("UDM"), 사용자 데이터 리포지토리("UDR"), 업링크 제어 정보("UCI") , 사용자 엔티티/장비(모바일 단말)("UE"), 업링크("UL"), 사용자 평면("UP"), 범용 모바일 원격통신 시스템("UMTS"), UMTS 지상 무선 액세스("UTRA"), UMTS 지상 무선 액세스 네트워크("UTRAN"), 월드 와이드 웹 컨소시엄("W3C") 및 마이크로파 액세스를 위한 전세계적 상호운용성(Worldwide Interoperability for Microwave Access)("WiMAX"). 본 명세서에서 사용되는 바와 같이, "HARQ-ACK"는 긍정 확인응답("ACK") 및 부정 확인응답("NACK") 및 불연속 전송("DTX")을 집합적으로 나타낼 수 있다. ACK는 TB가 올바르게 수신되었다는 것을 의미하는 반면, NACK(또는 NAK)는 TB가 잘못 수신되었다는 것을 의미한다. DTX는 TB가 검출되지 않았다는 것을 의미한다.
모바일 네트워크 운영자들("MNO들")은 고객 알기(Know-Your-Customer)("KYC") 요구 사항들의 일부로서 SIM 카드가 활성화될 수 있기 전에 고객들에게 정부 인정(Government recognized) 신원 자격 증명들을 제시하도록 요구하는 필수적인 SIM 등록 의무들을 따른다. 대부분의 경우에, 이러한 KYC 규정들은 고객들이, 국가 신분증들, 여권들, 또는 운전면허증들과 같은, 정부 기관에 의해 발급된 신분 증명서(identity document)들을 제시하는 것만을 허용한다.
디지털 ID 기반 가입 온보딩을 위한 절차들이 개시된다. 상기 절차들은 장치들, 시스템들, 방법들 및/또는 컴퓨터 프로그램 제품들에 의해 구현될 수 있다.
UE의 하나의 방법은 디지털 식별자("DIG-ID")를 획득하는 단계 - 상기 디지털 식별자는 검증 가능한 보안 아이덴티티(verifiably secure identity)를 포함함 -, 및 개인 키(private key)를 사용하여 상기 DIG-ID 및 타임스탬프의 디지털 서명을 생성하는 단계를 포함한다. 상기 방법은 제1 요청을 모바일 통신 네트워크에게 송신하는 단계 및 제1 응답을 수신하는 단계를 포함하며, 여기서 상기 제1 요청은 상기 DIG-ID, 상기 타임스탬프 및 상기 생성된 디지털 서명을 포함하고, 여기서 상기 제1 응답은 온보딩 인증 성공 지시 및 검증된 DIG-ID를 포함한다. 상기 방법은 상기 모바일 통신 네트워크에 대한 프로비저닝 연결을 설정하는 단계 및 상기 프로비저닝 연결을 통해 가입 자격 증명 및/또는 사용자 가입 프로필을 수신하는 단계를 포함한다.
네트워크 기능의 하나의 방법은 UE의 DIG-ID, 타임스탬프 및 디지털 서명을 포함하는 메시지인 제1 요청을 수신하는 단계를 포함하며, 여기서 상기 디지털 식별자는 검증 가능한 보안 아이덴티티를 포함한다. 상기 방법은 상기 DIG-ID에 기초하여 신뢰 서비스 제공자를 식별하는 단계 및 검증 요청을 상기 신뢰 서비스 제공자에게 송신하는 단계를 포함한다. 여기서, 상기 검증 요청은 상기 DIG-ID, 상기 타임스탬프, 상기 디지털 서명, 최소 데이터 세트(minimum data set) 요청, 및 보안 키 요청을 포함한다. 상기 방법은 상기 DIG-ID의 성공적인 검증에 응답하여 상기 서비스 제공자로부터 검증된 DIG-ID, 검증 결과, DIG-ID 수명, MDS 정보 및 온보드 루트 키를 수신하는 단계를 포함한다. 상기 방법은 상기 MDS 정보에 기초하여 상기 UE의 가입 프로비저닝을 호출하는 단계를 포함하며, 여기서 상기 가입 프로비저닝은 상기 온보드 루트 키를 사용하여 보호된다.
위에서 간략히 설명된 실시예들에 대한 보다 상세한 설명은 첨부된 도면들에 예시되는 특정 실시예들을 참조하여 이루어질 것이다. 이 도면들이 일부 실시예들만을 묘사하고 따라서 범위를 제한하는 것으로 간주되어서는 안 된다는 것을 이해하면서, 해당 실시예들이 첨부 도면들을 사용하여 더 구체적이고 상세하게 기술되고 설명될 것이다:
도 1은 디지털 ID 기반 가입 온보딩을 위한 무선 통신 시스템의 일 실시예를 예시하는 개략적인 블록 다이어그램이다;
도 2는 네트워크 서비스 액세스를 위해 MNO 네트워크에서 가입자 온보딩을 가능하게 하는 디지털 ID 검증 및 가입 자격 증명들/정보 프로비저닝을 위한 절차의 일 실시예를 예시하는 다이어그램이다;
도 3a는 등록 절차 동안 네트워크 액세스를 위한 디지털 ID 기반 온보딩을 위한 절차의 일 실시예를 예시하는 다이어그램이다;
도 3b는 도 3a에서의 절차의 연속이다;
도 4a는 온보딩 절차를 사용하는 동안 네트워크 액세스를 위한 디지털 ID 기반 온보딩을 위한 절차의 일 실시예를 예시하는 다이어그램이다;
도 4b는 도 4a에서의 절차의 연속이다;
도 5는 DIG-ID 기반 식별, 인증 및 신뢰 서비스를 가능하게 하는 서비스 인에이블러 기능을 통한 디지털 ID 기반 온보딩을 위한 절차의 일 실시예를 예시하는 다이어그램이다;
도 6은 디지털 ID 기반 가입 온보딩에 사용될 수 있는 사용자 장비 장치의 일 실시예를 예시하는 다이어그램이다;
도 7은 디지털 ID 기반 가입 온보딩에 사용될 수 있는 네트워크 장비 장치의 일 실시예를 예시하는 다이어그램이다;
도 8은 디지털 ID 기반 가입 온보딩을 위한 방법의 일 실시예를 예시하는 플로차트 다이어그램이다;
도 9는 디지털 ID 기반 가입 온보딩을 위한 방법의 일 실시예를 예시하는 플로차트 다이어그램이다.
본 기술 분야의 통상의 기술자에 의해 이해될 것인 바와 같이, 실시예들의 양상들은 시스템, 장치, 방법 또는 프로그램 제품으로서 구체화될 수 있다. 그에 따라, 실시예들은 전적으로 하드웨어인 실시예, 전적으로 소프트웨어인 실시예(펌웨어, 상주 소프트웨어, 마이크로 코드 등을 포함함) 또는 소프트웨어 양상과 하드웨어 양상을 겸비하는 실시예의 형태를 취할 수 있다.
예를 들어, 개시된 실시예들은 커스텀 "VLSI"(very-large-scale integration) 회로들 또는 게이트 어레이들, 로직 칩들, 트랜지스터들, 또는 다른 개별 컴포넌트들과 같은 기성품(off-the-shelf) 반도체들을 포함하는 하드웨어 회로로서 구현될 수 있다. 개시된 실시예들은, 또한, 필드 프로그래머블 게이트 어레이들, 프로그래머블 어레이 로직, 프로그래머블 로직 디바이스들 등과 같은 프로그래밍 가능한 하드웨어 디바이스들로 구현될 수 있다. 다른 예로서, 개시된 실시예들은, 예를 들어, 오브젝트(object), 프로시저(procedure) 또는 함수(function)로서 조직화될 수 있는 하나 이상의 물리적 또는 논리적 실행 가능 코드 블록(block of executable code)을 포함할 수 있다.
게다가, 실시예들은 머신 판독 가능 코드, 컴퓨터 판독 가능 코드, 및/또는 프로그램 코드 - 이후부터 코드라고 지칭됨 - 를 저장하는 하나 이상의 컴퓨터 판독 가능 저장 디바이스에 구체화되는 프로그램 제품의 형태를 취할 수 있다. 저장 디바이스들은 유형적(tangible), 비일시적(non-transitory) 및/또는 비전송적(non-transmission)일 수 있다. 저장 디바이스들은 신호들을 구체화하지 않을 수 있다. 특정 실시예에서, 저장 디바이스들은 코드에 액세스하기 위해 신호들을 이용할 뿐이다.
하나 이상의 컴퓨터 판독 가능 매체의 임의의 조합이 활용될 수 있다. 컴퓨터 판독 가능 매체는 컴퓨터 판독 가능 저장 매체일 수 있다. 컴퓨터 판독 가능 저장 매체는 코드를 저장하는 저장 디바이스일 수 있다. 저장 디바이스는, 예를 들어, 전자, 자기, 광학, 전자기, 적외선, 홀로그래픽, 마이크로기계 또는 반도체 시스템, 장치 또는 디바이스, 또는 이들의 임의의 적합한 조합일 수 있지만 이에 제한되지 않는다.
저장 디바이스의 보다 구체적인 예들(비전수적인(non-exhaustive) 목록)은 하나 이상의 와이어를 갖는 전기 연결부(electrical connection), 휴대용 컴퓨터 디스켓, 하드 디스크, 랜덤 액세스 메모리("RAM"), 판독 전용 메모리("ROM"), 소거 가능 프로그래밍 가능 판독 전용 메모리("EPROM" 또는 플래시 메모리), 휴대용 콤팩트 디스크 판독 전용 메모리("CD-ROM"), 광학 저장 디바이스, 자기 저장 디바이스, 또는 이들의 임의의 적합한 조합을 포함할 것이다. 본 문서의 맥락에서, 컴퓨터 판독 가능 저장 매체는 명령어 실행 시스템, 장치 또는 디바이스에 의해 또는 이들과 관련하여 사용하기 위한 프로그램을 포함하거나 저장할 수 있는 임의의 유형적 매체일 수 있다.
실시예들에 대한 동작들을 수행하기 위한 코드는 임의의 수의 라인들일 수 있고, Python, Ruby, Java, Smalltalk, C++ 등과 같은 객체 지향 프로그래밍 언어, 및 "C" 프로그래밍 언어 등과 같은 종래의 절차적 프로그래밍 언어, 및/또는 어셈블리어와 같은 기계어를 포함한, 하나 이상의 프로그래밍 언어의 임의의 조합으로 작성될 수 있다. 코드는 전체적으로 사용자의 컴퓨터 상에서, 부분적으로 사용자의 컴퓨터 상에서, 독립형(stand-alone) 소프트웨어 패키지로서, 부분적으로 사용자의 컴퓨터 상에서 그리고 부분적으로 원격 컴퓨터 상에서 또는 전체적으로 원격 컴퓨터 또는 서버 상에서 실행될 수 있다. 후자의 시나리오에서, 원격 컴퓨터는 로컬 영역 네트워크("LAN") 또는 광역 네트워크("WAN")를 포함한, 임의의 유형의 네트워크를 통해 사용자의 컴퓨터에 연결될 수 있거나, (예를 들어, 인터넷 서비스 제공자를 사용하여 인터넷을 통해) 외부 컴퓨터에 대한 연결이 이루어질 수 있다.
게다가, 실시예들의 설명된 특징들, 구조들 또는 특성들은 임의의 적합한 방식으로 조합될 수 있다. 이하의 설명에서, 실시예들에 대한 완전한 이해를 제공하기 위해, 프로그래밍, 소프트웨어 모듈들, 사용자 선택들, 네트워크 트랜잭션들, 데이터베이스 질의들, 데이터베이스 구조들, 하드웨어 모듈들, 하드웨어 회로들, 하드웨어 칩들 등의 예들과 같은, 수많은 구체적인 세부 사항들이 제공된다. 그렇지만, 관련 기술 분야의 통상의 기술자는 구체적인 세부 사항들 중 하나 이상을 사용하지 않고도 또는 다른 방법들, 컴포넌트들, 재료들 등을 사용하여 실시예들이 실시될 수 있다는 것을 인식할 것이다. 다른 경우에, 실시예의 양상들을 불명료하게 하는 것을 피하기 위해 잘 알려진 구조들, 재료들 또는 동작들이 상세히 도시되지 않거나 설명되지 않는다.
본 명세서 전반에 걸쳐 “일 실시예”, “실시예”, 또는 유사한 표현에 대한 언급은 해당 실시예와 관련하여 설명되는 특정 특징, 구조, 또는 특성이 적어도 하나의 실시예에 포함된다는 것을 의미한다. 따라서, 본 명세서 전반에 걸쳐 “일 실시예에서”, “실시예에서”, 및 유사한 표현의 문구들의 등장은 모두 동일한 실시예를 지칭할 수 있지만 반드시 그러한 것은 아니며, 명확하게 달리 언급되지 않는 한, “모든 실시예들이 아닌 하나 이상의 실시예”를 의미할 수 있다. 용어들 “포함하는(including, comprising)”, “갖는(having)” 및 이들의 변형들은, 명확하게 달리 언급되지 않는 한, “포함하지만 이에 제한되지 않는”을 의미한다. 항목들의 열거된 목록은, 명확하게 달리 언급되지 않는 한, 항목들 중 일부 또는 전부가 상호 배타적임을 암시하지 않는다. “한”, “어떤”, 및 “그”라는 용어들은 또한, 명확하게 달리 언급되지 않는 한, “하나 이상”을 지칭한다.
본 명세서에서 사용되는 바와 같이, "및/또는"의 접속사를 갖는 목록은 목록 내의 임의의 단일 항목 또는 목록 내의 항목들의 조합을 포함한다. 예를 들어, A, B 및/또는 C의 목록은 A만, B만, C만, A와 B의 조합, B와 C의 조합, A와 C의 조합, 또는 A, B 및 C의 조합을 포함한다. 본 명세서에서 사용되는 바와 같이, "~ 중 하나 이상"이라는 용어를 사용하는 목록은 목록 내의 임의의 단일 항목 또는 목록 내의 항목들의 조합을 포함한다. 예를 들어, A, B 및 C 중 하나 이상은 A만, B만, C만, A와 B의 조합, B와 C의 조합, A와 C의 조합, 또는 A, B 및 C의 조합을 포함한다. 본 명세서에서 사용되는 바와 같이, "~ 중 하나"라는 용어를 사용하는 목록은 목록 내의 임의의 단일 항목 단 하나만을 포함한다. 예를 들어, "A, B 및 C 중 하나"는 A만, B만 또는 C만을 포함하고, A, B 및 C의 조합들을 제외한다. 본 명세서에서 사용되는 바와 같이, "A, B, 및 C로 이루어진 그룹으로부터 선택되는 멤버"는 A, B, 또는 C 중 단 하나만을 포함하며, A, B, 및 C의 조합들을 제외한다. 본 명세서에서 사용되는 바와 같이, "A, B, 및 C와 이들의 조합들로 이루어진 그룹으로부터 선택되는 멤버"는 A만, B만, C만, A와 B의 조합, B와 C의 조합, A와 C의 조합 또는 A, B 및 C의 조합을 포함한다.
실시예들의 양상들은 실시예들에 따른 방법들, 장치들, 시스템들, 및 프로그램 제품들의 개략적인 플로차트 다이어그램들 및/또는 개략적인 블록 다이어그램들을 참조하여 아래에서 설명된다. 개략적인 플로차트 다이어그램들 및/또는 개략적인 블록 다이어그램들의 각각의 블록, 및 개략적인 플로차트 다이어그램들 및/또는 개략적인 블록 다이어그램들 내의 블록들의 조합들이 코드에 의해 구현될 수 있다는 것이 이해될 것이다. 컴퓨터 또는 다른 프로그래밍 가능한 데이터 프로세싱 장치의 프로세서를 통해 실행되는 명령어들이 플로차트 다이어그램들 및/또는 블록 다이어그램들에 지정된 기능들/동작들을 구현하기 위한 수단들을 생성하도록, 머신을 생성하기 위해 이 코드가 범용 컴퓨터, 특수 목적 컴퓨터, 또는 다른 프로그래밍 가능한 데이터 프로세싱 장치의 프로세서에 제공될 수 있다.
저장 디바이스에 저장된 명령어들이 플로차트 다이어그램들 및/또는 블록 다이어그램들에 지정된 기능/동작을 구현하는 명령어들을 포함한 제조 물품을 생성하도록, 특정 방식으로 기능하도록 컴퓨터, 다른 프로그래밍 가능한 데이터 프로세싱 장치, 또는 다른 디바이스들에 지시할 수 있는 코드가 또한 저장 디바이스에 저장될 수 있다.
컴퓨터 또는 다른 프로그래밍 가능한 장치 상에서 실행되는 코드가 플로차트 다이어그램들 및/또는 블록 다이어그램들에 지정된 기능들/동작들을 구현하기 위한 프로세스들을 제공하도록 컴퓨터 구현 프로세스를 생성하기 위해 일련의 동작 단계들이 컴퓨터, 다른 프로그래밍 가능한 장치 또는 다른 디바이스들 상에서 수행되게 하기 위해, 코드가 또한 컴퓨터, 다른 프로그래밍 가능한 데이터 프로세싱 장치, 또는 다른 디바이스들 상에 로딩될 수 있다.
도면들에서의 플로차트 다이어그램들 및/또는 블록 다이어그램들은 다양한 실시예들에 따른 장치들, 시스템들, 방법들 및 프로그램 제품들의 가능한 구현들의 아키텍처, 기능 및 동작을 예시한다. 이와 관련하여, 플로차트 다이어그램들 및/또는 블록 다이어그램들에서의 각각의 블록은 지정된 논리적 기능(들)을 구현하기 위한 코드의 하나 이상의 실행 가능 명령어를 포함하는 모듈, 세그먼트 또는 코드 부분을 나타낼 수 있다.
일부 대안적인 구현들에서, 블록에서 언급된 기능들이 도면들에서 언급된 순서와 달리 발생할 수 있다는 점에 또한 유의해야 한다. 예를 들어, 연속적으로 도시된 2 개의 블록이, 실제로, 실질적으로 동시에 실행될 수 있거나, 블록들이, 때때로, 관련 기능에 따라, 반대 순서로 실행될 수 있다. 예시된 도면들의 하나 이상의 블록 또는 그의 부분들과 기능, 로직, 또는 효과 면에서 동등한 다른 단계들 및 방법들이 고려될 수 있다.
다양한 화살표 유형들 및 라인 유형들이 플로차트 및/또는 블록 다이어그램들에서 이용될 수 있지만, 이들은 대응하는 실시예들의 범위를 제한하지 않는 것으로 이해된다. 실제로, 일부 화살표들 또는 다른 커넥터들은 묘사된 실시예의 논리적 흐름만을 나타내기 위해 사용될 수 있다. 예를 들어, 화살표는 묘사된 실시예의 열거된 단계들 사이의 지정되지 않은 지속기간의 대기 또는 모니터링 기간을 나타낼 수 있다. 블록 다이어그램들 및/또는 플로차트 다이어그램들의 각각의 블록, 및 블록 다이어그램들 및/또는 플로차트 다이어그램들에서의 블록들의 조합들이 지정된 기능들 또는 동작들을 수행하는 특수 목적 하드웨어 기반 시스템들, 또는 특수 목적 하드웨어와 코드의 조합들에 의해 구현될 수 있다는 점에 또한 유의해야 할 것이다.
각각의 도면에서의 요소들에 대한 설명은 선행 도면들의 요소들을 참조할 수 있다. 유사한 번호들은, 유사한 요소들의 대안적인 실시예들을 포함한, 모든 도면들에서의 유사한 요소들을 지칭한다.
일반적으로, 본 개시내용은 디지털 ID 기반 가입 온보딩을 위한 시스템들, 방법들 및 장치들을 설명한다. UE를 위한 온디맨드(on-demand) 네트워크 액세스 및 서비스들을 가능하게 하기 위해 디지털 식별자에 기초한 UE를 위한 가입자/사용자 인증 및 가입 프로비저닝이 본 명세서에서 설명된다. 신원 사기(Identity fraud) 및 위험들을 완화시키기 위한 디지털 식별자 기반 가입 처리가 또한 설명된다. 본 개시내용은 모바일 네트워크들에 관련된 이하의 문제를 해결한다.
SIM 활성화에 관련된 레거시 고객 알기("KYC") 프로세스에 수반되는 신원 사기 및 복잡성은 중요한 문제이다. 따라서, 모바일 네트워크 운영자들은 보다 많은 온디맨드 서비스들을 지원하기 위해 디지털 KYC 및 온라인 사인업(online sign up)을 채택하는 쪽으로 옮겨가고 있다. 수직 서비스 제공자 시장은 디지털 전환(digital transformation)과 함께 진화하고 있는 반면, 현재의 3GPP 모바일 네트워크는 디지털 시장에서 (MNO로부터의 또는 상이한 서비스 제공자들로부터의) 사용자 온디맨드 서비스들을 가능하게 하는 온디맨드 사용자 식별, 인증 및 네트워크 가입 관리를 지원하지 않는다.
디지털 고객 식별 및 가입 처리를 필요로 하는 몇 가지 사용 사례들은 USIM들/UICC들이 없는 디바이스들에 대한 서비스 가입 프로비저닝, 종량제(Pay per Use) 모델(즉, 사용자들이 전용 SIM을 구매하지 않고 온더고(on-the-go) 방식으로 서비스들을 구매하고 사용하는 경우), 임시 서비스 가입(즉, 외국을 방문하는 사용자가 체류 기간 동안 로컬 MNO로부터 임시 가입을 구매할 수 있음. 서비스형 네트워크(Network as a Service) 모델과 같은 상이한 시나리오에서, 일부 위치들에서, 로컬 사용자들 또는 디바이스들, 예를 들면, 스포츠 경기장들/스타디움들 등에 5G 커버리지 및 연결을 제공하기 위해, 애드혹(ad hoc) 및/또는 임시 이벤트들에 5G 네트워크가 이용 가능하고/배포될 수 있음)을 포함한다.
그렇지만, KYC 프로세스들은 비용이 많이 들고 시간이 오래 걸리며 서비스 제공자들에게 잠재적으로 문제가 될 수 있으며, MNO들이 정부 데이터베이스와 대조하여 고객들의 ID 자격 증명들을 유효성 확인할 의무가 있고 MNO들이 행하는 각각의 유효성 확인 질의에 대해 요금을 부과받을 때 특히 그렇다. 고객 등록, 데이터 보호 및 문서 관리와 연관된 운영 비용 외에도, 신원 사기의 경우들은 무거운 벌금에 처하게 되고 회사의 브랜드 평판을 손상시킬 수 있다.
IoT 디바이스들의 수가 폭발적으로 증가함에 따라, 임베디드 SIM 기술이 진화하고 물리적 SIM 카드들을 대체하고 있다. 일반적으로, USIM/UICC는 IMSI(International mobile subscription Identifier)와 함께 가입 정보를 저장하며, 네트워크에 액세스하기 위해 그리고 가입 관련 서비스들에 도움이 되기 위해, 모바일 네트워크 상에서 가입자들을 인증하는 일을 담당하고 있다. eSIM 및 iSIM은 원격 SIM 프로비저닝("RSP") 해결책들에 크게 의존한다. 네트워크 액세스를 위한 SIM 활성화에 관련된 KYC 프로세스에 수반되는 신원 사기 및 복잡성은 모바일 운영자들 및 가입자들에게 큰 위협이 된다.
IoT 디바이스들의 수가 증가함에 따라, USIM들이 없는 디바이스들이 또한 IoT 및 수직 서비스 생태계에서 중요한 역할을 할 가능성이 보다 높다. 현재, 모바일 운영자들과 3GPP 네트워크는 전통적인 KYC만을 지원한다, 즉 가입자는 상점에서의 레거시 신원 검사, 예를 들면, 여권, 그 후에 네트워크 액세스 및 서비스를 제공하기 위한 SIM 기반 가입 활성화 및 사용자 식별 인증 프로세스 이후에만 SIM 카드를 획득하고 가입을 활성화시킬 수 있다. 진화하는 디지털 시장에서 온디맨드 가입 및 사용자 식별 관리를 가능하게 하기 위해, 지금까지, 3GPP 네트워크는 어떠한 디지털 가입 및 식별 처리 방법도 없고 어떠한 표준 가입 온보딩 방법도 없다.
사용자 인증을 가능하게 하기 위해 디지털 ID 검증을 지원하고, 성공적인 디지털 ID 검증 이후에, 네트워크 서비스 액세스를 가능하게 하기 위해 UE에게 사용자 가입 정보를 프로비저닝하는 절차들이 본 명세서에서 설명된다. (예를 들면, PLMN/NPN/콘텐츠 제공자의 서비스 제공을 위한 운영자의 네트워크에서) MNO 네트워크로의 온보딩의 일부로서 네트워크로부터 가입 정보를 페치하기 위해 디지털 ID를 제공하는 것에 의해 UE가 네트워크 액세스를 시도하는 시나리오들을 다루는, 실시예들이 도 2 내지 도 5에서 설명된다.
도 1은 본 개시내용의 실시예들에 따른, 디지털 ID 기반 가입 온보딩을 위한 무선 통신 시스템(100)을 묘사한다. 일 실시예에서, 무선 통신 시스템(100)은 적어도 하나의 원격 유닛(105), 무선 액세스 네트워크("RAN")(120), 모바일 코어 네트워크(130) 및 서비스 제공자 도메인(140)을 포함한다. RAN(120)과 모바일 코어 네트워크(130)는 모바일 통신 네트워크를 형성한다. 모바일 통신 네트워크는 서비스 제공자 도메인(140)에 의해 제공되는 하나 이상의 서비스에 대한 액세스를 원격 유닛(105)에 제공할 수 있다. RAN(120)은 무선 통신 링크들을 사용하여 원격 유닛(105)과 통신하는 베이스 유닛(110)으로 구성될 수 있다. 특정 수의 원격 유닛들(105), 베이스 유닛들(110), RAN들(120), 모바일 코어 네트워크들(130) 및 서비스 제공자 도메인들(140)이 도 1에 묘사되어 있지만, 본 기술 분야의 통상의 기술자는 임의의 수의 원격 유닛들(105), 베이스 유닛들(110), RAN들(120), 모바일 코어 네트워크들(130) 및 서비스 제공자 도메인들(140)이 무선 통신 시스템(100)에 포함될 수 있다는 것을 인식할 것이다.
일 구현에서, RAN(120)은 3GPP 사양들에 지정된 5G 시스템을 준수한다. 다른 구현에서, RAN(120)은 3GPP 사양들에 지정된 LTE 시스템을 준수한다. 그렇지만, 보다 일반적으로, 무선 통신 시스템(100)은, 다른 네트워크 중에서도, 어떤 다른 개방형 또는 독점적 통신 네트워크, 예를 들어, WiMAX를 구현할 수 있다. 본 개시내용은 임의의 특정 무선 통신 시스템 아키텍처 또는 프로토콜의 구현으로 제한되는 것으로 의도되지 않는다.
일 실시예에서, 원격 유닛들(105)은, 데스크톱 컴퓨터들, 랩톱 컴퓨터들, 개인 휴대 정보 단말(personal digital assistant)("PDA")들, 태블릿 컴퓨터들, 스마트 폰들, 스마트 텔레비전들(예를 들면, 인터넷에 연결된 텔레비전들), 스마트 기기들(예를 들면, 인터넷에 연결된 기기들), 셋톱 박스들, 게임 콘솔들, 보안 시스템들(보안 카메라들을 포함함), 차량 온보드 컴퓨터들, 네트워크 디바이스들(예를 들면, 라우터들, 스위치들, 모뎀들) 등과 같은, 컴퓨팅 디바이스들을 포함할 수 있다. 일부 실시예들에서, 원격 유닛들(105)은, 스마트 워치들, 피트니스 밴드들, 광학 머리 장착형 디스플레이들 등과 같은, 웨어러블 디바이스들을 포함한다. 더욱이, 원격 유닛들(105)은 UE들, 가입자 유닛들, 모바일들, 이동국들, 사용자들, 단말들, 모바일 단말들, 고정 단말들, 가입자 스테이션들, 사용자 단말들, 무선 송수신 유닛("WTRU"), 디바이스라고 지칭될 수 있거나, 본 기술 분야에서 사용되는 다른 용어에 의해 지칭될 수 있다.
원격 유닛들(105)은 업링크("UL") 및 다운링크("DL") 통신 신호들을 통해 RAN(120) 내의 베이스 유닛들(121) 중 하나 이상과 직접 통신할 수 있다. 게다가, UL 및 DL 통신 신호들은 무선 통신 링크들을 통해 전달될 수 있다. 여기서, RAN(120)은 모바일 코어 네트워크(130)에 대한 액세스를 원격 유닛들(105)에 제공하는 중간 네트워크이다.
일부 실시예들에서, 원격 유닛들(105)은 모바일 코어 네트워크(130)와의 네트워크 연결을 통해 애플리케이션 서버(141)와 통신한다. 예를 들어, 원격 유닛(105)에 있는 모바일 애플리케이션(107)(예를 들면, 웹 브라우저, 미디어 클라이언트, 전화/VoIP 애플리케이션)은 RAN(120)을 통해 모바일 코어 네트워크(130)와 PDU 세션(또는 다른 데이터 연결)을 설정하도록 원격 유닛(105)을 트리거할 수 있다. 모바일 코어 네트워크(130)는 이어서 PDU 세션을 사용하여 원격 유닛(105)과 서비스 제공자 도메인(140)에 있는 애플리케이션 서버(141) 사이에서 트래픽을 중계한다. PDU 세션은 원격 유닛(105)과 UPF(131) 사이의 논리적 연결을 나타낸다. PDU 세션을 설정하기 위해, 원격 유닛(105)는 모바일 코어 네트워크에 등록되어야 한다. 원격 유닛(105)이 모바일 코어 네트워크(130)와 하나 이상의 PDU 세션(또는 다른 데이터 연결)을 설정할 수 있다는 점에 유의한다. 그와 같이, 원격 유닛(105)은 서비스 제공자 도메인(140)과 통신하기 위한 적어도 하나의 PDU 세션 및 다른 데이터 네트워크(예를 들면, 패킷 데이터 네트워크(150))와 통신하기 위한 적어도 하나의 PDU 세션을 동시에 가질 수 있다. 도 2 내지 도 5를 참조하여 아래에서 논의되는 바와 같이, 모바일 애플리케이션(107)의 다른 예들은 사용자 에이전트, ID 서비스 애플리케이션, 신뢰 서비스 애플리케이션, 가입 프로필 관리 서비스 애플리케이션, 블록체인/DLT 지갑을 포함한다.
베이스 유닛들(121)은 지리적 영역에 걸쳐 분산될 수 있다. 특정 실시예들에서, 베이스 유닛(121)은 액세스 단말, 액세스 포인트, 베이스(base), 기지국, 노드 B, eNB, gNB, 홈 노드 B, 릴레이 노드, RAN 노드라고도 지칭될 수 있거나, 본 기술 분야에서 사용되는 임의의 다른 용어에 의해서도 지칭될 수 있다. 베이스 유닛들(121)은 일반적으로 하나 이상의 대응하는 베이스 유닛(121)에 통신 가능하게 결합되는 하나 이상의 제어기를 포함할 수 있는, RAN(120)과 같은, 무선 액세스 네트워크("RAN")의 일부이다. 무선 액세스 네트워크의 이들 및 다른 요소들은 예시되어 있지 않지만 일반적으로 본 기술 분야의 통상의 기술자에게 잘 알려져 있다. 베이스 유닛들(121)은 RAN(120)을 통해 모바일 코어 네트워크(130)에 연결된다.
베이스 유닛들(121)은 무선 통신 링크를 통해 서빙 영역, 예를 들어, 셀 또는 셀 섹터 내의 다수의 원격 유닛들(105)을 서빙할 수 있다. 묘사된 바와 같이, 베이스 유닛(121)은 특별 셀(special cell)(123)(즉, PCell 또는 PSCell) 및/또는 SCell(125)을 지원할 수 있다. 베이스 유닛들(121)은 통신 신호들을 통해 원격 유닛들(105) 중 하나 이상과 직접 통신할 수 있다. 일반적으로, 베이스 유닛들(121)은 시간, 주파수 및/또는 공간 도메인에서 원격 유닛들(105)을 서빙하기 위해 DL 통신 신호들을 전송한다. 게다가, DL 통신 신호들은 무선 통신 링크들을 통해 전달될 수 있다. 무선 통신 링크들은 면허 또는 비면허 무선 스펙트럼에서의 임의의 적합한 캐리어일 수 있다. 무선 통신 링크들은 원격 유닛들(105) 중 하나 이상 및/또는 베이스 유닛들(121) 중 하나 이상 사이의 통신을 용이하게 한다.
일 실시예에서, 모바일 코어 네트워크(130)는, 다른 데이터 네트워크들 중에서도, 인터넷 및 사설 데이터 네트워크들과 같은, 패킷 데이터 네트워크(150)에 결합될 수 있는, 5G 코어("5GC") 또는 진화된 패킷 코어("EPC")이다. 원격 유닛(105)은 모바일 코어 네트워크(130)에 대한 가입 또는 다른 계정을 가질 수 있다. 각각의 모바일 코어 네트워크(130)는 단일 공중 육상 모바일 네트워크("PLMN")에 속한다. 본 개시내용은 임의의 특정 무선 통신 시스템 아키텍처 또는 프로토콜의 구현으로 제한되는 것으로 의도되지 않는다.
모바일 코어 네트워크(130)는 여러 네트워크 기능들("NF들")을 포함한다. 묘사된 바와 같이, 모바일 코어 네트워크(130)는 하나 이상의 사용자 평면 기능("UPF")(131)을 포함한다. 모바일 코어 네트워크(130)는 RAN(120)을 서빙하는 액세스 및 이동성 관리 기능("AMF")(132), 세션 관리 기능("SMF")(133), 보안 앵커 기능("SEAF")(134), 인증 서버 기능("AUSF")(135), 정책 제어 기능("PCF")(136), 디지털 식별, 인증 및 신뢰 서비스 인에이블러 기능("D-IDASEF")(137), 및 블록체인 서비스 인에이블러 기능("BSEF")(138), 및 통합 데이터 관리/사용자 데이터 리포지토리 기능("UDM/UDR")(139)을 포함하지만 이에 제한되지는 않는 다수의 제어 평면 기능들을 또한 포함한다. 다양한 실시예들에서, 모바일 코어 네트워크(130)는 네트워크 리포지토리 기능("NRF")(API들을 통해 서로를 발견하고 서로 통신하기 위해 다양한 NF들에 의해 사용됨), 네트워크 노출 기능("NEF"), 또는 5GC에 대해 정의된 다른 NF들을 또한 포함할 수 있다. 다양한 실시예들에서, AUSF(135)는, 온보드 인에이블러 기능들과 같은, 모바일 코어 네트워크(130)에 대한 온보딩 기능들을 제공한다. 그러한 실시예들에서, AUSF(135)는 온보드 인에이블러 AUSF("O-AUSF")일 수 있다.
다양한 실시예들에서, 모바일 코어 네트워크(130)는 상이한 유형들의 모바일 데이터 연결들 및 상이한 유형들의 네트워크 슬라이스들을 지원하며, 여기서 각각의 모바일 데이터 연결은 특정 네트워크 슬라이스를 활용한다. 여기서, "네트워크 슬라이스"는 특정 트래픽 유형 또는 통신 서비스에 최적화된 모바일 코어 네트워크(130)의 일 부분을 지칭한다. 각각의 네트워크 슬라이스는 CP 및/또는 UP 네트워크 기능 세트를 포함한다. 네트워크 인스턴스는 S-NSSAI에 의해 식별될 수 있는 반면, 원격 유닛(105)이 사용하도록 인가된 네트워크 슬라이스 세트는 NSSAI에 의해 식별된다. 특정 실시예들에서, 다양한 네트워크 슬라이스들은, SMF(133) 및 UPF(131)와 같은, 네트워크 기능들의 개별 인스턴스들을 포함할 수 있다. 일부 실시예들에서, 상이한 네트워크 슬라이스들은, AMF(132)와 같은, 일부 공통 네트워크 기능들을 공유할 수 있다. 상이한 네트워크 슬라이스들이 예시의 용이성을 위해 도 1에 도시되어 있지 않지만, 그들이 지원되는 것으로 가정된다.
특정 수 및 유형의 네트워크 기능들이 도 1에 묘사되어 있지만, 본 기술 분야의 통상의 기술자는 임의의 수 및 유형의 네트워크 기능들이 모바일 코어 네트워크(130)에 포함될 수 있다는 것을 인식할 것이다. 더욱이, 모바일 코어 네트워크(130)가 EPC인 경우, 묘사된 네트워크 기능들은, MME, S-GW, P-GW, HSS 등과 같은, 적절한 EPC 엔티티들로 대체될 수 있다. 특정 실시예들에서, 모바일 코어 네트워크(130)는 AAA 서버를 포함할 수 있다.
서비스 제공자 도메인(140)은 무선 통신 시스템(100)에서 서비스들을 지원한다. 서비스 제공자 도메인(140)을 통해 제공되는 서비스들의 예들은 아이덴티티 서비스들, 신뢰 서비스들, 블록체인 서비스들, 분산 원장 서비스들을 포함할 수 있지만 이에 제한되지는 않는다. 묘사된 바와 같이, 서비스 제공자 도메인(140)은 아이덴티티 서비스 제공자("IDSP")(142), 신뢰 서비스 제공자("TSP")(143) 및 블록체인 서비스 인프라스트럭처("BSI")(144)를 포함할 수 있다. IDSP(142) 및 TSP(143)는 아래에서 보다 상세히 설명된다. IDSP(142) 및 TSP(143)는 모바일 코어 네트워크(130) 및/또는 원격 유닛(105)에, 제각기, 아이덴티티 서비스 및 신뢰 서비스를 제공한다. BSI(144)는 탈중앙화 플랫폼에서 최종 사용자(또는 디바이스)(105) 생성 디지털 ID 및 검증 가능한 자격 증명들의 저장을 지원하여 모바일 코어 네트워크(130)에 의한 디지털 ID 기반 최종 사용자 인증을 가능하게 하도록 모바일 코어 네트워크(130) 및/또는 원격 유닛(105)에 블록체인(예를 들면, 분산 원장) 서비스들을 제공하기 위해 블록체인/분산 원장 네트워크(160)와 상호 작용한다.
도 1이 5G RAN 및 5G 코어 네트워크의 컴포넌트들을 묘사하지만, 디지털 ID 기반 가입 온보딩에 대한 설명된 실시예들은, IEEE 802.11 변형들, GSM, GPRS, UMTS, LTE 변형들, CDMA 2000, Bluetooth, ZigBee, Sigfoxx 등을 포함한, 다른 유형들의 통신 네트워크들 및 RAT들에 적용된다. 예를 들어, EPC를 수반하는 LTE 변형에서, AMF(132)는 MME에 매핑될 수 있고, SMF(133)는 PGW의 제어 평면 부분 및/또는 MME에 매핑될 수 있으며, UPF(131)는 SGW 및 PGW의 사용자 평면 부분에 매핑될 수 있고, UDM/UDR(139)은 HSS에 매핑될 수 있는 등이다.
이하의 설명에서 "RAN 노드"라는 용어는 기지국에 대해 사용되지만, 임의의 다른 무선 액세스 노드, 예를 들면, gNB, eNB, BS, AP, NR 등으로 대체될 수 있다. 게다가, 동작들은 주로 5G NR과 관련하여 설명된다. 그렇지만, 제안된 해결책들/방법들은 또한 디지털 ID 인증에 기초한 모바일 가입 프로비저닝을 지원하는 다른 모바일 통신 시스템들에 동일하게 적용될 수 있다.
도 2는 본 개시내용의 실시예들에 따른, 디지털 ID 인증에 기초한 모바일 가입 프로비저닝 방법(예를 들면, 가입자 온보딩)을 위한 절차(200)를 묘사한다. 절차(200)는 서빙 네트워크에서의 네트워크 기능("NF")(207)에 의해 및 온보드 인에이블러 AUSF("O-AUSF")(209)에 의해 서빙되는 UE(205)에 의해 수행될 수 있다. 절차(200)는 또한 디지털 아이덴티티 및 신뢰 서비스 제공자("ID/TSP")(211), 온보딩 관련 사용자 정보를 저장하는 NF("MNO NF"(213)로서 묘사됨), 및 프로비저닝 서버 및/또는 가입 관리자(215)를 수반한다. O-AUSF(209)는 온보딩 관련 서비스들을 서빙/처리하는 일을 맡고 있는 홈 네트워크에서의 네트워크 기능일 수 있다. MNO NF(213)는 ID/TSP(211)와 통신할 수 있으며, 여기서 ID/TSP는 제3자에 속할 수 있고/있거나 MNO 외부에 있을 수 있다. ID/TSP(211)는 수신된 DIG-ID 및 DIG-ID의 사용자/소유자를 검증하기 위해 디지털 식별자 인프라스트럭처 및 DIG-ID 관련 문서들(즉, 검증 가능한 주장(verifiable claim)들)에 액세스할 수 있는 자이다. 일 실시예에서, MNO NF(213)는 MNO 네트워크 외부에 위치한다. 다른 실시예에서, MNO NF(213)는 MNO 네트워크 내에 위치한다. 일부 실시예들에서, 서빙 네트워크는 홈 네트워크(예를 들면, H-PLMN)이다. 다른 실시예들에서, 서빙 네트워크는, 홈 네트워크와 상이한, 방문/로밍 네트워크(예를 들면, V-PLMN)이다.
다양한 실시예들에서, UE(205)는 원격 유닛(105)의 일 실시예이고, NF(207)는 AMF(132) 및/또는 SEAF(134)의 일 실시예이며, O-AUSF(209)는 AUSF(135)의 일 실시예이다. MNO NF(213)는 UDM/UDR(139)의 일 실시예일 수 있다. 절차(200)는 성공적으로 인증되고 네트워크 가입 정보를 수신하여 네트워크 서비스 액세스를 가능하게 하기 위해 네트워크에 디지털 ID를 제공하는 것에 의해 사용자가 UE(205)를 모바일 운영자의 네트워크에 어떻게 온보딩할 수 있는지를 보여준다.
다양한 실시예들에서, 디지털 ID는 글로벌적으로 해석 가능(globally resolvable)하고 암호적으로 검증 가능한 식별자(즉, 검증 가능한 보안 사용자 식별자 또는 디바이스 식별자)이다. 특정 실시예들에서, 디지털 ID는 분산 원장(예를 들면, 블록체인)에 직접 등록될 수 있다. 여기서, UE(205)는 분산 원장 기술("DLT") 최종 사용자 디바이스일 수 있다. 일부 실시예들에서, 디지털 ID는 사용자 인증을 위해 디지털 ID를 MNO에 제공하는 것에 의해 모바일 네트워크 운영자("MNO") 서비스에 액세스할 필요가 있는 사용자 디바이스에 의해 생성된다. 성공적인 사용자 인증 시에, MNO(예를 들면, 홈 네트워크)는 사용자를 MNO 네트워크의 가입자로서 온보딩하기 위해 임시 가입 자격 증명 또는 실제 가입 프로필을 제공한다. 여기서, 임시(temporary)인지 실제(actual)인지의 결정은 가입 구매 정보에 기초할 수 있다.
디지털 ID("DIG-ID")는 이하의 아이덴티티들 중 임의의 것을 포함/지칭할 수 있다.
Figure pct00001
탈중앙화 ID(Decentralized ID)("DID"): DID의 신택스 = 'did:' method-name method-specific-id이다. 예시적인 DID는 "did:example:123456789abcdefghi"이다.
Figure pct00002
자기 주권 ID("SSI"): 여기서, 사용자 또는 조직(예를 들면, MNO/서비스 제공자)은 자신의 아이덴티티를 제어하고 관리한다.
Figure pct00003
아래에서 설명되는 가입 고유 온보딩 ID("SUOI")와 같은, 디지털 온보딩 ID.
도 2에 도시된 해결책의 개요는 이하의 단계들을 수반한다.
전제 조건으로서, 사용자가 상점으로부터 또는 온라인 사인업을 통해 MNO 네트워크 가입을 구매했다고 가정된다. 그렇지만, 여기서 사용자 디바이스는 네트워크 서비스에 액세스하기 위해 구입된 가입에 관련된 어떠한 실제 가입 자격 증명들 또는 정보(또는 사용자 가입 프로필)도 포함하지 않는다. MNO는 사용자 디바이스들에 온보딩 서비스를 제공하기 위해 자신의 네트워크에서 제한된 액세스를 제공하는 반면, 온보딩 네트워크는 UE 온보딩을 위해 UE에 초기 등록 및/또는 액세스를 제공한다고 가정된다.
선택적으로, UE(205)는 MNO 네트워크(예를 들면, PLMN 또는 NPN)에 연결되고 보안 없이 제어 평면 연결 및 사용자 평면 연결을 설정할 수 있다. UE(205)는 이어서 신뢰 서비스 제공자("TSP")와 DIG-ID를 생성하기 위해 모바일 애플리케이션 또는 브라우저를 사용할 수 있다. 일반적으로, TSP는 전자 거래들에 대한 신뢰 서비스들을 제공하는 반면, ID 서비스 제공자는 엔드 투 엔드 애플리케이션 보안에 의해 보호되는 전자 디바이스에 대한 아이덴티티 서비스들을 제공한다. ID 서비스 제공자와 신뢰 서비스 제공자가 동일한 서비스 제공자("SP")에 의해 제공될 수 있고 동일 위치에 배치될 수 있다는 점에 유의한다. 본 명세서에서 사용되는 바와 같이, TSP는 신뢰 서비스 제공자만을 지칭하거나 결합된 ID/신뢰 서비스 제공자를 지칭할 수 있다.
대안적으로, UE(205)가 무선 로컬 영역 네트워크 연결(예를 들면, Wi-Fi 연결)을 갖는 경우, UE(205)는 온라인으로 MNO 가입을 구매하는 동안 또는 별도로 신뢰 서비스 제공자와 DIG-ID를 생성할 수 있다. 이 시나리오에서, 사용자는 사용자에 의해 지정되는 DIG-ID 관련 정보의 사용과 함께 MNO와 공유될 수 있는 DIG-ID 관련 문서들 및 사용자 정보를 명확하게 링크시킨다.
가입의 온라인 구매 동안, MNO 포털 또는 애플리케이션은 ID/TSP 관련 액션을 링크시키는 수단을 또한 제공할 수 있으며, MNO는 임의의 가입 관련 데이터(예컨대, 가입 유형, MNO 정보 및 MNO 관련 사용자 가입 프로필을 프로비저닝할 수 있는 프로비저닝 서버/가입 데이터 관리 기능의 주소 또는 URL 또는 URI)를 ID/TSP(211)에 제공할 수 있다. ID/TSP(211)는 DIG-ID와 DIG-ID 문서 주소를 저장소에 저장한다. DIG-ID 문서 주소는 DIG-ID에 링크된 DIG-ID 문서들을 실제로 저장하는 임의의 탈중앙화 플랫폼 또는 데이터베이스로 해석(resolve)될 수 있다. DIG-ID 문서는 DIG-ID를 검증하기 위한 공개 키, MNO 가입 활성화 요구 사항들에 따라 사용자에 의해 구성되는 바와 같은 사용자 정보(즉, 임의의 검증 가능한 자격 증명들) 및 MNO 가입 관련 정보(MNO에 의해 제공되는 경우)를 포함할 수 있다.
UE(205)는 생성된 DIG-ID와 함께 모든 암호화 정보를 (신뢰할 수 있는 보안 플랫폼, 스마트 보안 플랫폼, 디지털 플랫폼, 메모리 및/또는 환경에) 로컬로 저장할 수 있다. 암호화 정보는 디바이스 공개/개인 키 쌍, 네트워크 및/또는 ID/TSP(211)의 공개 키, 암호화 알고리즘들 또는 공유 비밀 키(예를 들면, 네트워크 및/또는 TSP(211)에 알려져 있음) 중 하나 이상을 포함할 수 있다. 유사하게, ID/TSP(211)는, ID/TSP(211)의 공개/개인 키 쌍, UE(205)의 공개 키, 암호화 알고리즘들 또는 공유 비밀 키(예를 들면, UE(205)에 알려져 있음)를 포함하는 암호화 정보를 저장할 수 있다. UE(205)가 ID/TSP(211)와 상호 작용하는 ID/신뢰 서비스 애플리케이션(217) 및 프로비저닝 서버/가입 관리자들(215)과 상호 작용하는 가입 프로필 관리 서비스 애플리케이션(219)을 포함할 수 있다는 점에 또한 유의한다.
단계 1에서, UE(205)는 ID/신뢰 서비스 제공자 관련 사용자 에이전트 또는 애플리케이션 또는 브라우저를 사용하여 DIG-ID를 생성한다. UE(205)는 타임스탬프(또는 임의의 다른 신선도 파라미터(freshness parameter)가 또한 사용될 수 있음)와 같은 신선도 파라미터를 생성한다. UE(205)는 요청 메시지에서 DIG-ID, 타임스탬프 및 DIG-ID와 타임스탬프의 디지털 서명을 서빙 MNO의 네트워크 내의 NF(207)(예를 들면, AMF)에게 송신한다(메시징(221) 참조). 일 예에서, 요청은 N1 컨테이너에서 AMF에게 송신된다. 특정 실시예들에서, 요청은 등록 요청 메시지일 수 있다. 대안적으로, 요청은 온보딩 요청 메시지일 수 있다.
UE(205)가 온라인으로 신규 DIG-ID를 생성하는 수단이 없는 경우, UE(205)가 (ID/TSP(211)에서 구성된 바와 같은) 자신의 기본 생체 인식들 중 임의의 것을 사용하여 DIG-ID를 생성하고, 사용자의 신뢰 서비스 계정 및 ID/TSP(211)에 링크된 공유 비밀 키로 이를 보호하며, 이를 ID/TSP(211)와 타임스탬프의 공개 키에 첨부(append)는 점에 유의한다. 추가적으로, 사용자는 또한 새로 생성된 DIG-ID, TSP 공개 키 ID 및 타임스탬프의 디지털 서명을 송신할 수 있으며, 이는 TSP가 나중에 DIG-ID를 복호화하고 그에 따라 이를 검증하는 데 도움이 될 수 있다.
단계 2에서, DIG-ID 내의 DIG-ID 유형 지시에 기초하여, NF(207)는 DIG-ID, 타임스탬프 및 디지털 서명을 갖는 수신된 요청을, O-AUSF(209)와 같은, 홈 네트워크 내의 NF에게 포워딩한다(메시징(223) 참조). NF(207)는 직접 또는 서빙 네트워크 내의 다른 NF를 통해(예를 들면, SEAF를 통해) 요청을 포워딩한다. 묘사된 실시예가 O-AUSF(209)를 도시하지만, O-AUSF(209)가 상이한 AUSF로 또는 코어 네트워크에서의 온보딩을 처리하도록 구성된 다른 네트워크 기능(예를 들면, 새로운 NF 또는 기존의 3GPP NF)으로 대체될 수 있다는 것이 이해된다.
단계 3에서, DIG-ID, 타임스탬프, 및 디지털 서명을 갖는 요청을 수신할 시에, DIG-ID 내의 도메인 정보에 기초하여, O-AUSF(209)는 DIG-ID 검증 및 관련 사용자 인증을 위해 ID 검증 요청을 ID/TSP(211)에게 송신하기로 결정한다(블록(225) 참조).
단계 4에서, O-AUSF(209)는 수신된 DIG-ID, 타임스탬프, 디지털 서명, 임의의 MNO 선호 최소 데이터 세트(MDS) 요청 정보 및 보안 키 요청을 포함하는 ID 검증 요청(즉, 서비스 운영 메시지)을 ID/TSP(211)에게 송신한다.
단계 5에서, ID/TSP(211)는, DID를 수신할 시에, DID 해석자(resolver) 또는 데이터베이스를 사용하여 DID 관련 문서들을 페치할 수 있다. ID/TSP(211)는 또한 검증자(verifier)를 검증(즉, MNO가 검증 서비스를 요청할 권한이 있는지 알아보기 위해 MNO 정보를 검증)할 수 있다. 일단 DID 문서들이 페치되면, ID/TSP(211)는 DID 관련 사용자 공개 키를 사용하여 디지털 서명을 검증한다. 디지털 서명 검증이 성공적인 경우, ID/TSP(211)는 사용자에 의해 구성된 바와 같은 사용자 정보, 저장되어 있는 경우, 추가적인 MNO 정보를 페치하고, 공유 비밀 키로부터 온보드 루트 키를 생성한다(블록(229) 참조).
단계 6에서, ID/TSP(211)는 검증된 DIG-ID(즉, DIG-ID), 검증 결과, 최소 데이터 세트(사용자 정보 및 MNO 가입 프로비저닝 관련 URI/URL/주소) 및 온보드 루트 키를 포함하는 ID 검증 응답(즉, 서비스 운영 메시지)을 O-AUSF(209)에게 송신한다. 검증된 DIG-ID가 단계 4에서 송신된 DIG-ID와 동일할 수 있다는 점에 유의한다. 네트워크 측에서의 DIG-ID의 성공적인 검증 이후에, ID/TSP(211)는 이제 검증된 DIG-ID를 성공 지시와 함께 송신하며, 따라서 검증 결과가 어느 DIG-ID에 적용되는지를 식별한다.
단계 7에서, 성공 지시를 갖는 ID 검증 응답을 수신할 시에, O-AUSF(209)는, 수신된 MDS 정보에 기초하여, 임시 가입 자격 증명 프로비저닝을 호출할지 실제(즉, 비임시(non-temporary)) 가입 프로필 프로비저닝을 호출할지를 결정한다(블록(233) 참조). 일 실시예에서, O-AUSF(209)는 사용자 정보만이 제공되고 임시 가입에 적격인 경우 임시 가입 자격 증명 프로비저닝을 호출하였다. 다른 실시예에서, O-AUSF(209)는 프로비저닝 서버/가입 관리 기능 관련 URI/URL/주소가 수신되는 경우에만 실제 가입 프로필 프로비저닝을 호출하였다.
단계 8a에서, 예를 들면, 서비스 운영 메시지를 사용하여, O-AUSF(209)는 수신된 DIG-ID, 검증 결과, 최소 데이터 세트(예를 들면, 사용자 정보 및 MNO 가입 프로비저닝 관련 URI/URL/주소를 포함함) 및 온보드 루트 키를 MNO NF(213)에 저장한다(메시징(235) 참조). MNO NF(213)는, MNO 내의 UDM/UDR과 같은, 온보딩 관련 사용자 정보를 저장하는 MNO 내의 임의의 NF일 수 있다.
프로비저닝을 지원하는 제1 변형에서, O-AUSF(209)는 UDM/UDR 및/또는 MNO NF(213)로부터 검증된 DIG-ID에 대한 기본 가입 자격 증명을 페치할 수 있다. 여기서, 기본 가입 자격 증명들은 SUPI(즉, 사용자 가입 식별자), AKA 자격 증명들, 슬라이스 정보, MCC 및 MNC를 포함할 수 있다.
프로비저닝을 지원하는 제2 변형에서, O-AUSF(209)는 최소 데이터 세트의 일부로서 수신되는 MNO 관련 정보 및 사용자 정보를 제공하는 것에 의해 프로비저닝 서버 및/또는 가입 관리자(프로비저닝 서버/가입 관리자(215)로서 묘사됨)로부터 검증된 DIG-ID에 대한 사용자 가입 프로필을 페치할 수 있다. 묘사된 예에서, O-AUSF(209)는 사용자 가입 프로필을 MNO NF(213)(즉, UDM)를 통해 페치하지만(메시징(237) 참조); 다른 실시예들에서, O-AUSF(209)는 검증된 DIG-ID에 대한 사용자 가입 프로필을 프로비저닝 서버(215)로부터 직접 페치할 수 있다. 사용자 가입 프로필은, UE(205)가 UE(205)에서, eUICC 또는 비-UICC 플랫폼과 같은, 신뢰할 수 있는 보안 위치에 가입 프로필로서 저장할 수 있게 할, SUPI, AKA 자격 증명들, 슬라이스 정보, MCC, MNC 및 네트워크 액세스 관련 정보를 포함할 수 있다.
UP 기반 프로비저닝을 지원하는 제3 변형에서, 검증된 DIG-ID, 검증 결과 및 MDS를 수신한 후에, MNO NF(213)는 (KYC를 위해) DIG-ID 및 MDS를 사용하여 가입 페칭 및 활성화 프로세스를 호출할 수 있다(메시징(237) 참조).
단계 8b에서 O-AUSF(209)는, 예를 들면, KDF에서 CK',IK' / MSK / EMSK / Kausf로서, 수신된 온보드 루트 키를 사용하여 SEAF 키(Kseaf)를 도출하였다. O-AUSF(209)는 검증된 DIG-ID, Kseaf 및 ID 검증 결과를 포함하는 응답 메시지를 서빙 네트워크 내의 NF(207)에게 송신한다(메시징(239) 참조). 단계 2와 유사하게, O-AUSF(209)는 직접 또는, SEAF와 같은, 서빙 네트워크 내의 다른 NF를 통해 NF(207)(예를 들면, AMF)와 통신할 수 있다.
특정 실시예들에서, 응답 메시지를 수신할 시에, 서빙 네트워크 내의 SEAF는 Kseaf로부터 AMF 키(Kamf)를 생성하고, 성공 지시를 포함하는 검증 결과 및 DIG-ID를 갖는 응답을 AMF에게 포워딩한다.
프로비저닝을 지원하는 제1 변형에 따르면, O-AUSF(209)는, DIG-ID, 온보드 루트 키로부터 도출되는 키, 및 그 키를 생성하는 데 사용되는 논스(nonce)와 함께, 검증된 DIG-ID에 대한 기본 가입 자격 증명을 AMF/SEAF에게 추가적으로 송신할 수 있다.
프로비저닝을 지원하는 제2 변형에 따르면, O-AUSF(209)는, DIG-ID, 온보드 루트 키로부터 도출되는 키, 및 그 키를 생성하는 데 사용되는 논스와 함께, 검증된 DIG-ID에 대한 사용자 가입 프로필을 AMF/SEAF에게 추가적으로 송신할 수 있다.
단계 8c에서, NF(207)(예를 들면, AMF)는, DID, Kamf 및 성공 지시를 수신할 시에, Kamf에 기초하여 기본 보안을 셋업하기 위해 NAS 및 AS를 개시한다(메시징(241) 참조). 제어 평면 및 사용자 평면 보안이 또한 기존의 메커니즘에 기초하여, 예를 들면, 암호화 및 무결성 보호 알고리즘들의 기본 선택들을 사용하여, 셋업될 수 있다. UE(205) 및 NF(207)가 온보드 루트 키 - 또는 그로부터 도출되는 키(들) - 를 사용하여 프로비저닝을 보호한다는 점에 유의한다. 예를 들어, NAS, AS 및 UP 보안을 설정하기 위해 온보드 루트 키가 Kausf로서 사용될 수 있다. 단계 8c 이후에, UE(205)는 MNO와 보안을 설정할 것이다.
NF(207)가 가입 자격 증명들/사용자 가입 프로필을 갖는 온보드 컨테이너 정보를 수신하는 경우, NF(207)는 DIG-ID와 함께 온보드 컨테이너 정보를 (예를 들면, AMF에) 로컬로 저장한다. NF(207)는 온보드 루트 키로부터 도출되는 보안 키를 선택적으로 수신할 수 있다. Kseaf가 수신되지 않는 경우, NAS 보안이 설정되지 않는다는 점에 유의한다.
UP 기반 프로비저닝을 지원하는 제3 변형에 따르면, UP 보안을 셋업하기 위해 NAS 및 AS SMC 이후에 RRC 재구성 절차가 실행될 수 있다. 여기서, PDU 세션 설정은 UDM/UDR에서 이용 가능한 MDS 정보 또는 미리 구성된 정보에 기초하여 프로비저닝 서버 또는 가입 관리자(215)(MNO에 위치하거나 대안적으로 MNO 네트워크 외부에 위치할 수 있음)로 제한될 수 있다.
가입 자격 증명들/프로필 프로비저닝은 이하의 옵션들 중 임의의 것에 기초하여 트리거될 수 있다.
제1 옵션에 따르면, 제어 평면("CP") 기반 프로비저닝은 가입 자격 증명들/사용자 가입 프로필을 UE에 제공하는 데 사용될 수 있다. 제어 평면 해결책이 채택되는 경우, 단계 9가 수행되고, 단계 10은 스킵된다.
제1 옵션의 제1 변형에서, CP 프로비저닝 연결이 NAS 보안으로 보호된다. 여기서, AMF(예를 들면, NF(207))는 NAS 키를 사용하여 DIG-ID와 함께 가입 자격 증명들/사용자 가입 프로필을 보호하고, 임의의 N1 메시지에서 UE(205)에게 송신한다.
제1 옵션의 제2 변형에서, CP 프로비저닝 연결은 NAS 보안으로 보호되지 않는다. 여기서, AMF(예를 들면, NF(207))는, O-AUSF(209)에 의해 제공되고 온보드 루트 키로부터 도출되는 키를 사용하여, 검증된 DID에 대한 가입 자격 증명들/사용자 가입 프로필을 보호한다. 단계 8c에서 대안적으로, 단계 9a에서.
단계 9a에서, NF(207)(AMF)는 N1을 통한 응답 메시지에서 DIG-ID를 갖는 온보드 컨테이너를 UE(205)에게 송신한다(메시징(245) 참조). 일부 실시예들에서, N1 메시지는 옵션 1의 변형 1을 지원하기 위해 NAS 보안으로 보호된다. 대안적으로, NF(207)(AMF)는 옵션 1의 변형 2를 지원하기 위해 응답 메시지에서 DIG-ID를 갖는 보호된 온보드 컨테이너를 UE에게 송신할 수 있다. 보호된 온보드 컨테이너는 아래에서 더욱 상세히 논의된다.
제2 옵션에 따르면, 사용자 평면("UP") 기반 프로비저닝은 가입 자격 증명들/사용자 가입 프로필을 UE에 제공하는 데 사용될 수 있다. 제어 평면 해결책이 채택되는 경우, 단계 10이 수행되고, 단계 9는 스킵된다.
단계 10에서, UE(205)는 프로비저닝 서버 또는 가입 관리자(215)와 설정된 PDU 세션을 통해 사용자 가입 프로필로 프로비저닝될 수 있다(메시징(247) 참조). UE에 가입 정보를 프로비저닝할 권한을 갖는 서버는 가입 관리자로서 정의될 수 있다. 단계 8a에서(237에서) DIG-ID, 검증 결과, 수명 및 MDS를 수신한 가입 관리자는, DIG-ID 검증 결과가 성공인 경우, UE에 대한 가입의 프로비저닝을 용이하게 하기로 결정할 수 있다. 대안적으로, MDS가 임의의 MNO 가입 관련 정보를 포함하지 않는 경우, UE(205)는 MNO 가입에 관련된 QR 코드를 구매하거나 스캔하도록 프롬프트될 수 있다.
도 3a 및 도 3b는 본 개시내용의 실시예들에 따른, 등록 절차 동안 네트워크 액세스를 위한 DIG-ID 기반 가입 온보딩을 위한 절차(300)를 예시한다. 절차(300)는 UE(205), RAN(301), AMF(303), AUSF(305), UDM(307) 및 디지털 ID/신뢰 서비스 플랫폼(309)을 사용하여 구현될 수 있다. 다양한 실시예들에서, RAN(301)은 RAN(120)의 일 실시예이고, AMF(303)는 AMF(132) 및/또는 NF(207)의 일 실시예이며, AUSF(305)는 O-AUSF(209) 및/또는 AUSF(138)의 일 실시예이고, UDM(307)은 UDM/UDR(139)의 일 실시예이며, 디지털 아이덴티티/신뢰 서비스 플랫폼("ID/TSP")(309)은 IDSP(142), TSP(143) 및/또는 ID/TSP(211)의 일 실시예이다. 절차(300)는 등록 절차 동안 DIG-ID 기반 가입자 온보딩 및 가입 프로비저닝에 수반되는 상세한 메시지 교환을 보여준다. 절차(300)에서, UE(205)가 네트워크 액세스를 위한 유효한 가입 프로필을 UICC 상에 가지고 있지 않는 것으로 가정된다.
단계 0에서, 전제 조건으로서, UE(205)(즉, 임의의 모바일 애플리케이션/사용자 에이전트를 갖는 디바이스)는 MNO 또는 서비스 제공자로부터 네트워크/서비스 가입을 구매한다(블록(311) 참조). 서비스 제공자는 DIG-ID/DID 유효성 확인을 통해 보안 가입 온보딩(secured subscription onboarding)을 가능하게 하기 위해 아이덴티티 서비스 프레임워크/아이덴티티 서비스 제공자들 및 신뢰 서비스 제공자들(309)과 서비스 수준 협약을 맺었다. 사용자 에이전트는, 보유자들(예를 들면, 사용자/UE/디바이스), 발행자들(예를 들면, 임의의 법적 단체/정부/조직) 및 검증자들(예를 들면, 모바일 운영자/서비스 제공자/아이덴티티 제공자들/신뢰 서비스 제공자들) 사이의 통신을 중재하는 브라우저, 모바일 앱, 블록체인/DLT 지갑 또는 다른 웹 클라이언트와 같은, 프로그램일 수 있다. 사용자 에이전트는, 위에서 설명된, 모바일 애플리케이션(107)의 일 실시예일 수 있다.
탈중앙화 아이덴티티 서비스 프레임워크/아이덴티티 서비스 제공자들 및 신뢰 서비스 제공자들은 DIG-ID/DID 생성 및 보안 링킹(secured linking), 사용자/디바이스에 관련된 검증 가능한 자격 증명들의 검증 및 저장을 용이하게 하는 하나의 당사자 또는 상이한 당사자들일 수 있다. 사용자/UE(205)는 이어서 사용자 선호 사항들 및/또는 서비스 제공자 요구 사항들(예를 들면, 이름, 주소, 휴대폰 번호, 나이, 기관/법적 식별자(Institutional/Legal Identifier), 문서, 생체 인식 등과 같은 임의의 속성 세트를 가짐)에 기초하여 사용자 에이전트를 통해 DIG-ID/DID를 생성하고, 가입/서비스 활성화를 위해 필요한 검증 가능한 자격 증명들(예컨대, 여권, 개인 ID, 정부 ID 문서, 운전 면허증 등)을 사용자 에이전트를 통해 제출한다.
사용자 에이전트를 통해 UE(205)에 의해 생성되는 DIG-ID/DID는 실제로 (사용자의 개인 키 및 제출된 검증 가능한 자격 증명들을 사용하여 생성되는 디지털 ID의 디지털 서명의 검증을 위해 사용될 수 있는) 관련 사용자 공개 키 저장에 대한 링크/직접 또는 간접 주소로서 역할하며, 여기서 제출된 검증 가능한 자격 증명들은 아이덴티티 인프라스트럭처/프레임워크(예를 들면, 주권 네트워크/주권 ID 프레임워크 또는 eIDAS 프레임워크)에서 신뢰 서비스 제공자/아이덴티티 서비스 제공자에 의해 검증되고 별도의 블록체인/허가형 분산 원장(PDL)에 저장될 수 있다. 아이덴티티/검증 가능한 주장들은 블록체인에서 익명으로 봉인되고 제2 암호화로 보호된 허가형 분산 원장에 저장될 수 있다.
DIG-ID/DID들은 전형적으로 보안 통신 채널들을 설정하기 위해, 사용자 공개-개인 키 쌍들, ID/신뢰 서비스 제공자 정보(공개 키 및 공개 키 식별자) 및 서비스 엔드포인트들과 같은, 암호화 자료(cryptographic material)와 연관된다. 사용자 에이전트/애플리케이션은 정부/네트워크 운영자/서비스 제공자/신뢰 서비스 제공자/아이덴티티 서비스 제공자 프레임워크에 의해 소유될 수 있다.
UE(205)는 생성된 DIG-ID/DID와 함께 모든 암호화 정보를 신뢰할 수 있는 보안 플랫폼/스마트 보안 플랫폼/디지털 플랫폼/메모리/환경에 로컬로 저장할 것이다. 암호화 정보는 임의의 인증서(예를 들면, ECDH)/사용자 공개/개인 키 쌍, 검증자 공개 키 및 공개 키 ID, 가입의 수명 등을 포함할 수 있다.
단계 0에서, UE(205)는 성공적인 온라인 사인업(즉, 서비스 가입 지불, DIG-ID/DID 생성 및 서비스 활성화를 위해 KYC와 관련하여 제출되는 검증 가능한 자격 증명에 대한 DIG-ID/DID 링킹)만 성공적으로 수행했고 UE(205)는 DIG-ID/DID를 생성하였다. UE(205)는 요구된 서비스와 관련하여 이용 가능한 DIG-ID/DID를 가지고 있으며 UE(205)는 서비스에 액세스하기 위한 실제 가입 정보(예를 들면, IMSUNAI, 인증 및 키 합의(AKA) 자격 증명들, 슬라이스 정보 등)가 없다.
도 3a 및 도 3b의 묘사된 실시예에서, 해결책이 DID를 DIG-ID로 하여 설명되고 해결책이 DID와 관련하여 설명된다. 그렇지만, 동일한 절차 및 설명이 SSI 또는 디지털 온보딩 ID 등과 같은 임의의 DIG-ID에 적용 가능하며, 이 경우에, DID 대신에, 임의의 DIG-ID 적응성을 위해 메시지 흐름 및 단계 설명에서 SSI/온보딩 ID가 대체될 수 있다. 게다가, 절차(300)는 PLMN/NPN 네트워크 운영자가 UE(205)에 대한 MNO의 PLMN/NPN/제3자 서비스 제공자의 가입의 온보딩 및 프로비저닝을 트리거하기 위해 ID/신뢰 서비스 제공자 인프라스트럭처/탈중앙화 ID 프레임워크를 통해 DID 사용자 아이덴티티 인증을 수행하는 시나리오에도 채택될 수 있다.
단계 1에서, UE(205)(임의의 모바일 사용자 장비 또는 IoT 디바이스일 수 있음)는 온보딩 지시 및 가입 고유 온보딩 ID(SUOI)(또는) 타임스탬프(TS)를 갖는 DID 및 DID와 타임스탬프의 관련 디지털 서명(DS)을 포함하는 등록 요청 메시지를 (NAS 메시지를 통해) AMF(303)에게 송신한다(메시징(313) 참조).
여기서, UE(205)는 다음 중 어느 하나를 송신한다
Figure pct00004
SUOI + 타임스탬프 + 서명; 또는
Figure pct00005
DID + 타임스탬프 + 서명; 또는
Figure pct00006
은닉된 SUOI.
제1 옵션(옵션 A)에 따르면, UE(205)는 단계 0에서 디지털 ID(즉, 탈중앙화 ID/자기 주권 ID/디지털 온보딩 ID)를 생성하고 DIG-ID의 익명성 및 무결성 보호가 충분한 경우 이를 등록 요청에서 송신한다. 여기서, 등록 요청에서 송신하는 동안 UE(205)에 의해 DID 외에도 타임스탬프("TS")가 추가된다. DID와 TS의 조합은 "DID_TS"로 나타내어져 있다. 타임스탬프는 임의의 공격자가 재생 공격을 위해 캐싱된 DID를 재사용하는 것을 방지하기 위해 UE(205)에 의해 사용된다.
제1 옵션에 따르면, DID_TS에 대한 디지털 서명은, 자격 증명 소유자(즉, UE/사용자)에 의한 개인 키의 소유의 증명과 함께, DID를 무결성 보호하기 위해 UE(205)에 의해 생성된다. 디지털 서명의 방법들은 아래에서 옵션 B, 사례 1에 언급되는 임의의 방법을 포함할 수 있다. DID, 타임스탬프 및 DID_TS의 디지털 서명은 UE에 의해 등록 요청에서 네트워크에게 송신된다. 묘사된 실시예에서, "DS를 갖는 DID_TS"라는 표기는 아이덴티티 소유자(즉, UE(205))에 의해 생성되는 타임스탬프를 갖는 디지털 ID 및 디지털 서명을 나타내는 데 사용된다.
제2 옵션(옵션 B)에 따르면, UE(205)는 디지털 ID/DID가 은닉에 의한 프라이버시 보호를 필요로 하는 경우 등록 요청에서 온보딩을 위해 가입자 고유 온보딩 식별자("SUOI")를 생성하고 사용한다. SUOI의 생성 및 사용과 관련하여, UE(205)는 요구된 서비스에 특정하게 생성되는 DID를 사용하여 SUOI를 구성할 수 있다.
SUOI는 이하의 포맷들 중 임의의 것을 가질 수 있다:
SUOI 포맷 1: DIG-ID 유형/DID 유형, DIG-ID(즉, 탈중앙화 ID/자기 주권 ID/디지털 온보딩 ID), 서비스 제공자 ID, 아이덴티티/신뢰 서비스 제공자 정보. 위의 정보 모두가 함께 연결(concatenate)될 수 있다는 점에 유의한다. DIG-ID/DID는 또한 SUOI의 MAC/SUOI의 디지털 서명과 같은 임의의 DIG-ID/DID 관련 보안 정보를 추가로 포함할 수 있다.
SUOI 포맷 2: DIG-ID(즉, 탈중앙화 ID/자기 주권 ID/디지털 온보딩 ID) @서비스 제공자 ID. 아이덴티티/신뢰 서비스 제공자 정보. DID가 또한 SUOI의 MAC/SUOI의 디지털 서명과 같은 임의의 DID 관련 보안 정보를 추가로 포함할 수 있다는 점에 유의한다.
SUOI 포맷 3: Username = 'DIG-ID type_ DIG-ID(즉, 탈중앙화 ID/자기 주권 ID/디지털 온보딩 ID)' @Realm = '서비스 제공자 ID. 아이덴티티/신뢰 서비스 제공자 정보'. 여기서 DIG-ID 유형은 탈중앙화 ID/자기 주권 DI/디지털 온보딩 ID/및 다른 디지털 ID 유형인지를 지정하기 위해 표시들을 취할 수 있다. DIG-ID는 또한 SUOI의 MAC/SUOI의 디지털 서명과 같은 임의의 DIG-ID 관련 보안 정보를 추가로 포함할 수 있다.
SUOI가 프라이버시를 필요로 하는 경우, UE는 이하의 옵션들 중 임의의 것을 사용하여 SUOI 대신에 보호된 SUOI/은닉된 SUOI를 AMF에게 송신할 수 있다:
사례 1: DIG-ID 무결성 보호를 위해 디지털 서명이 사용될 수 있다. 여기서, DIG-ID의 디지털 서명은 UE에 의해 생성되며, DIG-ID를 보호하는 데 사용되는 개인 키의 소유의 증명을 증명하는 데 사용된다. 방식 출력(scheme output)은 DIG-ID의 디지털 서명을 포함할 것이다. 디지털 서명 생성을 위한 전제 조건들로서, UE(205)와 서비스 제공자(예를 들면, MNO/TSP/IDP)가 PKI를 지원하기 위한 인증서(들)(예를 들면, X.509, 카드 검증 가능 인증서 등)를 가지고 있다는 점에 유의한다. 서비스 제공자(즉, 서비스 제공자는 MNO 또는 제3자일 수 있음)에 온라인 사인업하는 동안, UE들은 연결하도록 허용되는 네트워크에 대한 서명된 공개 키를 갖는 인증서들을 제공받는다. TSP(Trusted Service Provider)(309)는 적격 UE들의 인증서들을 마찬가지로 제공받을 것이다.
일 실시예에서, 각각의 서비스 제공자는 공개 및 개인 키 쌍(sp_PUB_Key, sp_PRI_Key)을 갖는다. 일 실시예에서, UE들은 대응하는 공개 및 개인 키 쌍(UE_PUB_Key, UE_PRI_Key)을 갖는다. 일 실시예에서, 각각의 서비스 제공자는 인증서로 자신의 공개 키(sp_PUB_Key)를 모든 UE들과 공유한다. 일 실시예에서, UE들은 인증서로 자신의 공개 키들(UE_PUB_Key)를 서비스 제공자와 공유한다.
선택적으로, 서비스 제공자의 가입자들에 액세스를 제공할 필요가 있는 상이한 네트워크 운영자가 있는 경우, 네트워크 운영자는 동일한 sp_PRI_Key를 프로비저닝받을 수 있다. 다른 실시예에서, UE들 및 서비스 제공자들은 SUOI에 해싱 알고리즘을 적용하는 것에 의해 메시지 다이제스트(message digest)를 생성한다. 다른 실시예에서, UE 및 서비스 제공자들은 서명이 되는 코어 네트워크 UE_PRI_Key로 메시지 다이제스트를 암호화한다. 일 실시예에서, 서명은 실제 메시지(즉, SUOI)에 첨부된다.
대안적으로, 공유 비밀 키가 DIG-ID의 MAC 태그를 생성하는 데 사용될 수 있다. 방식 출력은 DIG-ID의 MAC 태그를 포함할 것이다. SUOI가, DIG-ID 지시, DIG-ID, 서비스 제공자/아이덴티티 서비스 제공자/TSP ID 및 관련 공개 키 ID, 보호 방식 ID, 방식 출력을 포함하는, 은닉된 SUOI(Concealed-SUOI) 포맷을 지원할 수 있다는 점에 유의한다.
사례 2: 5G에서의 SUCI 보호와 유사한 DIG-ID 보호에 사용되는 공유 비밀 키. 여기서, UE는 SUOI를 암호화하기 위해 ID/TSP 공개 키에 기초하여 도출되는 공유 비밀 키를 사용할 수 있고, 대응하는 ID/TSP 공개 키 ID는, ID/TSP가 은닉된 SUOI를 SUOI로 은닉 해제(de-conceal)하고 그에 따라 SUOI를 검증할 수 있게 하기 위해, UE에 의해 은닉된 SUOI와 함께 송신된다. 사례 2가 또한, DIG-ID 지시, 서비스 제공자/아이덴티티 제공자/TSP ID, 보호 방식 ID, SP/IP/TSP 공개 키 ID, 임시 공개 키(Ephemeral Public Key)를 갖는 방식 출력을 포함하는, 은닉된 SUOI 포맷을 또한 지원한다는 점에 유의한다.
DID가 DIG-ID로서 사용되는 경우, DIG-ID/DID 정보가, 예를 들면, DID들의 W3C 작업 초안(W3C Working Draft)으로부터의 임의의 DID 신택스 기반 정보를 포함할 수 있다는 점에 유의한다. 예를 들어: URI 방식 식별자(did), DID 방법(DID method)에 대한 식별자, DID 방법 특정 식별자.
단계 2에서, AMF(303)는 온보딩 지시 및 수신된 SUOI(또는 은닉된 SUOI)/DS를 갖는 DID_TS를 갖는 인증 요청 메시지(즉, Nausf_UEAuth_Request)를 AUSF(305)에게 송신한다(메시징(315) 참조).
단계 3에서, DID 기반 일반 텍스트를 갖는 온보딩 지시/은닉된 SUOI/DS를 갖는 DID_TS를 수신할 시에, AUSF(305)는 수신된 온보딩 지시 및 SUOI, 대안적으로 은닉된 SUOI, 대안적으로 DS를 갖는 DID_TS를 갖는 인증 데이터 요청 메시지(즉, Nudm_UEAuth_Request)를 UDM(307)에게 송신한다(메시징(317) 참조).
하나의 대안에서, AUSF(305)는 - DID 기반 일반 텍스트를 갖는 온보딩 지시/은닉된 SUOI/DS를 갖는 DID_TS를 수신할 시에 - 수신된 온보딩 지시 및 SUOI(또는 은닉된 SUOI)/DS를 갖는 DID_TS를 갖는 인증/온보딩 데이터 요청 메시지를 프로비저닝 서버에게 송신한다. 인증/온보딩 데이터 요청 메시지의 일 예는 서비스 운영 메시지 Npserver_UEAuth_GetRequest이다. 인증/온보딩 데이터 요청 메시지의 다른 예는 서비스 운영 메시지 Npserver_UESubscriptionProvisioing_Request이다.
단계 4에서, DID 유형 및/또는 서비스 제공자 정보에 기초하여, UDM(307)은 DID 및 관련 DID 문서들(검증 가능한 사용자/디바이스 자격 증명들)을 관리/제어하는 ID 서비스/신뢰 서비스 제공자를 통해 DID의 검증을 호출하기로 결정할 수 있다. 대안적으로, DID 유형에 기초하여, 프로비저닝 서버는 DID 및 관련 DID 문서들(검증 가능한 사용자/디바이스 자격 증명들)을 관리/제어하는 ID 서비스/신뢰 서비스 제공자를 통해 DID의 검증을 호출하기로 결정할 수 있다.
단계 5에서, DID 또는 SUOI/은닉된 SUOI에 존재하는 ID 서비스 제공자 정보 및/또는 신뢰 서비스 제공자 정보에 기초하여, UDM(307)은 ID/TSP(309)를 선택하고, 키 요청 지시와 함께 수신된 SUOI/DID/은닉된 DID를 갖는 가입자 ID 검증 요청 메시지를 ID/TSP(309)에게 송신한다. 메시지는, 전체 가입 프로필을 생성하고 KYC 요구 사항들을 충족시키기 위해, 가입자/사용자에 관한 추가적인 정보 요청 지시, 예를 들면, 이름, 주소, 생년월일, 은행 계좌 등을 포함할 수 있다. ID 서비스 제공자 및/또는 신뢰 서비스 제공자는 함께 디지털 아이덴티티 서비스 플랫폼을 형성할 수 있다.
대안적으로, DID 또는 SUOI/은닉된 SUOI/DS를 갖는 DID_TS에 존재하는 ID 서비스/신뢰 서비스 제공자 정보에 기초하여, 프로비저닝 서버(215)는 키 요청 지시와 함께 수신된 SUOI/DID/은닉된 DID/DS를 갖는 DID_TS를 갖는 가입자 ID 검증 요청 메시지를 ID/TSP(309)에게 송신한다.
대안적으로, UDM(307) 및/또는 프로비저닝 서버(215)가 DS를 갖는 DID_TS를 수신하는 경우, 이는, DID를 검증하고/하거나 ID/신뢰 서비스 제공자 정보를 페치하기 위해, DS를 갖는 DID_TS를 사용하여 탈중앙화 ID 프레임워크로 ID 검증 요청을 호출한다. 수신된 ID/TSP(309) 주소 정보에 기초하여, UDM/프로비저닝 서버는 키 요청 지시와 함께 수신된 DS를 갖는 DID_TS를 갖는 가입자 ID 검증 요청 메시지를 ID/TSP(309)에게 송신한다.
단계 6에서, SUOI/은닉된 SUOI/DS를 갖는 DID_TS를 수신할 시에, ID/TSP(309)는 DID의 연관성(association) 및 블록체인/PDL에서의 DID 문서들 저장의 주소를 저장하는 범용 해석자 또는 로컬 데이터베이스 정보에 기초하여 DID를 검증한다. ID/TSP(309)는 DID 정보 및 사용자 문서들(검증 가능한 자격 증명들)을 페치하는 것에 의해 DID의 유효성, DID 사용 범위(범위는 DID가 사용자/네트워크에 의해 어떤 목적으로 사용될 수 있는지를 명확히 하는 DID에 관련된 사용 정보를 지칭함) 및 진위성(authenticity)을 검증한다.
서비스 제공자/MNO 도메인으로부터의 임의의 NF(여기서는 UDM(307), 또는 가입 프로비저닝 서버/온보딩 서버일 수도 있음)가 임의의 가입자 관련 정보를 요청하는 경우, ID/TSP(309)는 가입자/사용자에 관한 모든 요구된 가입 정보를 갖는 최소 데이터 세트를 생성한다(최소 데이터 세트는, 예를 들어, 가입자 이름, 위치, DID 유효성, 서비스 지불 정보, 서비스 활성화 상태 등을 포함할 수 있다).
추가적으로, 서비스 제공자/MNO 도메인이 또한 가입 온보딩을 보호하기 위해 임의의 보안 키 요청을 요청하는 경우, ID/TSP(309)는 UE(205)에서 이용 가능한 보안 자격 증명들(예를 들면, 공개/개인 키 쌍 및 공유 비밀 키)에 기초하여 온보딩 루트 키(KONB_Root)를 도출한다. MNO ID를 사용한 온보딩 루트 키(KONB_Root)의 예시적인 도출은 다음과 같다:
[수학식 1]
KONB_Root = KDF(공유 비밀 키, MNO ID)
여기서 KDF는 공유 비밀 키와 MNO 식별자를 그의 입력들로서 갖는 키 도출 함수를 나타낸다.
서비스 제공자 ID를 사용한 온보딩 루트 키(KONB_Root)의 예시적인 도출은 다음과 같다:
[수학식 2]
KONB_Root = KDF(공유 비밀 키, 서비스 제공자 ID)
여기서 KDF는 공유 비밀 키와 서비스 제공자 식별자를 그의 입력들로서 갖는 키 도출 함수를 나타낸다.
대안적으로, ID/TSP(309, 309)가 DS를 갖는 DID_TS를 수신하는 경우, DID_TS와 함께 수신되는 디지털 서명을 검증하기 위해, DID 문서들과 함께 저장된 DID에 연관된 공개 키가 페치된다. 검증이 성공적인 경우, DID 인증은 성공적인 것으로 간주되고, MNO/서비스 제공자의 ID 검증 및 키 요청을 처리하기 위해, 관련 DID 정보가 ID/TSP(309)에 의해 페치될 수 있다.
그렇지만, DID_TS에서 수신되는 타임스탬프가 디지털 서명 생성에서 사용된 타임스탬프와 동일하지 않은 경우, ID/TSP(309)는 타임스탬프가 공격자들에 의해 변조되었음을 식별하거나, 타임스탬프가 오래된 시간인 경우, 이는 재생 공격으로서 분류된다.
대안적으로, ID/TSP(309)가 일반 텍스트 SUOI 대신에 은닉된 SUOI/DID를 수신하는 경우, 은닉된 SUOI는 공개 키 ID가 나타내는 공개 키에 관련된 개인 키를 사용하여 은닉 해제된다. SUOI로부터 페치되는 DID의 유효성 검사, 최소 데이터 세트 생성 및 온보딩 키 생성에 수반되는 나머지 프로세스는 위에서 설명된 것과 동일할 것이다.
디지털 서명 검증 방법과 관련하여, SUOI/DID_TS에 대해 디지털 서명이 적용되는 경우, 서비스 제공자 측에서, 서비스 제공자는 대응하는 UE_PUB_Key를 사용하여 SUOI/DID_TS의 서명을 검증해야 한다. 서명이 성공적으로 검증되는 경우, 서비스 제공자는 메시지들을 수락할 수 있으며; 그렇지 않은 경우, 메시지들이 폐기되고 검증 결과가 단계 7에서 실패로 설정될 것이다.
단계 7에서, ID/TSP(309, 309)는 검증된 DID, DID 검증 결과(성공 또는 실패), 가입자/사용자 정보를 갖는 최소 데이터 세트, 및 온보드 루트 키(KONB_Root)를 포함하는 가입자 ID 검증 응답 메시지를 UDM(307)(또는 서비스 제공자 도메인 내의 NF)에게 송신한다(메시지(325) 참조). 온보드 루트 키는 온보드 키라고도 지칭된다.
대안적으로, ID/TSP(309, 309)는 검증된 DID, DID 검증 결과(성공 또는 실패), 사용자 정보를 갖는 최소 데이터 세트, 및 온보드 루트 키(KONB_Root)를 포함하는 가입자 ID 검증 응답 메시지를 프로비저닝 서버(또는 서비스 제공자 도메인 내의 NF)에게 송신한다.
도 3b에서 계속하면, 단계 8에서, UDM(307)이 DID 검증 결과를 '성공'으로서 수신하는 경우, UDM(307)은 가입 정보를 생성하고, 이를, 검증된 DID, DID 검증 결과(성공 또는 실패), 사용자 정보를 갖는 최소 데이터 세트 및 온보드 루트 키(KONB_Root)를 갖는 수신된 정보와 함께 UDR에 저장한다(블록(327) 참조). 그렇지만, UDM(307)이 DID 검증 결과를 '실패'로서 수신하는 경우, UDM(307)은 검증된 DID, DID 검증 결과(실패)와 같은 수신된 정보를 UDR에 저장한다.
DID 검증이 성공적일 때, UDM(307)은 추가로 논스를 생성하고, 다음과 같이 키 도출에서 입력으로서 논스를 사용하여 수신된 온보드 루트 키로부터 온보딩 보안 키(KONB_Sec)를 도출한다:
[수학식 3]
KONB_Sec = KDF (KONB_Root, MNO/서비스 제공자 ID, 논스)
여기서 KDF는 공유 비밀 키와 MNO ID를 그의 입력들로서 갖는 키 도출 함수를 나타낸다.
KONB_Sec는, 예를 들면, 다음과 같이 온보딩 암호화 키(KONB_enc) 및 온보딩 무결성 키(KONB_int)를 도출하는 것에 의해, UE에 프로비저닝되는 사용자 가입 정보를 포함하는 온보드 컨테이너를 기밀성 및 무결성 보호하는 데 사용된다:
[수학식 4]
KONB_ enc = KDF (KONB_Sec, MNO/서비스 제공자 ID, '암호화 알고리즘 ID,' 'DID,' 키워드: '가입 온보딩')
[수학식 5]
KONB_int = KDF (KONB_Sec, MNO/서비스 제공자 ID, '무결성 알고리즘 ID,' 'DID,' 키워드: '가입 온보딩')
온보드 컨테이너는 K, SUPVIMSI, AKA 자격 증명들, 보안 능력들(인증 방법, 보안 알고리즘 능력), 슬라이스 가입 정보, SUPI 은닉을 위한 모바일 운영자 공개 키 및 다른 사용자/서비스 가입 정보를 포함해야 한다. UDM(307)은 프로비저닝 서버로부터 UE 가입 정보를 페치하거나, 로컬로 UE 가입 정보를 생성한다. UDM(307)은 추가로 새로운 사용자 가입 정보(K, IMSI, AKA 자격 증명들, SUCI 생성 입력들, 라우팅 ID, 슬라이스 가입 정보, 보안 정보 등)로 온보드 컨테이너를 구성하고 키 KONB_enc로 온보드 컨테이너를 암호화한다.
UDM(307)은 UE에게 송신되는 가입 정보 및 관련 정보를 무결성 보호하기 위해 무결성 키 KONB_int를 사용하여 온보드 보조 정보("OAI") 정보 요소("IE")와 함께 온보드 컨테이너의 MAC를 생성한다. OAI IE는 '성공 지시'를 갖는 온보드 결과에 대한 정보, 보안 알고리즘들 및 온보드 컨테이너(즉, 사용자 가입 정보) 및 관련 정보를 보호하는 데 사용되는 암호화 및 무결성 보호 알고리즘들을 식별해 주는 데 사용되는 ID들을 포함한다.
대안적으로, 온보딩 보안 키들은 새로운 논스를 입력으로서 사용하여 온보드 루트 키(KONB_Root)로부터 도출될 수 있고, 온보딩 보안 키들은 가입 온보딩에 관련된 가입 정보를 보호하는 데 사용될 수 있다.
[수학식 6]
KONB_enc = KDF (KONB_Root, MNO/서비스 제공자 ID, 논스, '암호화 알고리즘 ID,' 'DID,' 키워드: '가입 온보딩')
[수학식 7]
KONB_int = KDF (KONB_Root, MNO/서비스 제공자 ID, 논스, '무결성 알고리즘 ID,' 'DID,' 키워드: '가입 온보딩')
대안적으로, 프로비저닝 서버가 UDM(307) 대신에 가입 온보딩 절차에 관여하는 경우, 단계 8에 대해 지정된 위의 처리 모두가 프로비저닝 서버에 의해 수행될 것이다.
대안적으로, UDM(307)은 키 K를 가입을 위한 새로운 루트 키로서 ARPF에 저장한다. UDM(307)은 DID/SUPI에 기초하여 인증 방법을 선택하고, UDM(307)이 가입 프로비저닝과 함께 1차 인증(primary authentication)을 수행하기로 결정하는 경우/새로운 자격 증명들에 기초한 다음 전체 인증 실행 시에, CK7IK' (또는) KAUSF는 일반 사양에 따라 키 K로부터 도출되고 인증 벡터(AUTN, RAND 및 키들)와 함께 AUSF에 프로비저닝될 수 있다.
단계 9에서, UDM(307)은 논스, OAI 및 MAC과 함께 암호화된 가입 정보를 갖는 보호된 온보드 컨테이너를 AUSF(305)에게 송신한다(메시징(329) 참조). 묘사된 예에서, MAC는 다음과 같이 문자열을 해싱하는 해시 함수를 사용하여 생성된다: 온보드 컨테이너 || 논스 || OAI || DID || MNO/서비스 제공자 ID. 여기서, 심벌 "||"는 연결(concatenation)을 나타내는 데 사용된다. 특정 실시예들에서, UDM(307)은 보호된 온보드 컨테이너를 Nudm_UEAuth_GetResponse 메시지에서 송신한다.
대안적으로, 프로비저닝 서버는 논스, OAI 및 MAC와 함께 암호화된 가입 정보를 갖는 보호된 온보드 컨테이너(즉, 온보드 컨테이너의 해시 || 논스 || OAI || DID || MNO/서비스 제공자 ID)를, 예를 들면, 서비스 운영 메시지 Npserver_UEAuth_GetResponse 및/또는 Npserver_UESubscriptionProvisioing_Response를 사용하여, 인증/온보딩 데이터 응답 메시지에서 AUSF(305)에게 송신할 수 있다.
대안적으로, UDM(307)은 온보드 보안 콘텍스트 ((KONB_Root)/(KONB_enc, KONB_int)) 및 논스와 함께 OAI의 일부로서 포함된 '요구된 NAS 보호 지시(Required NAS Protection Indication)'와 함께 일반 텍스트 온보드 컨테이너를 AUSF에게 송신할 수 있다. 특정 실시예들에서, UDM(307)은 인증 벡터를 온보드 컨테이너와 함께 Nudm_UEAuth_Get 응답 메시지에서 AUSF에게 송신하며, 이는 UE가 온보드 컨테이너로부터 가입 정보를 페치한 직후 1차 인증을 계속할 수 있게 한다.
단계 10에서, AUSF(305)는 논스, OAI 및 MAC와 함께 암호화된 가입 정보를 갖는 수신된 보호된 온보드 컨테이너(즉, 온보드 컨테이너의 해시 || 논스 || OAI || DID || MNO/서비스 제공자 ID)를 서비스 운영 메시지, 예를 들면, Nudm_UEAuth_Response에서 AMF(303)에게 포워딩한다.
대안적으로, AUSF(305)는 온보드 보안 콘텍스트 ((KONB_Root)/(KONB_enc, KONB_int)) 및 논스와 함께 OAI의 일부로서 포함된 '요구된 NAS 보호 지시'와 함께 수신된 일반 텍스트 온보드 컨테이너를 AMF(303)에게 포워딩할 수 있다.
선택적으로, AUSF(305)는 또한 온보드 컨테이너(보호된 또는 일반 텍스트)와 함께 인증 챌린지(authentication challenge) 및 RAND를 AMF(303)에게 송신할 수 있으며, 이는 UE(205)가 온보드 컨테이너로부터 가입 정보를 페치한 직후 1차 인증을 계속할 수 있게 한다.
단계 11에서, AMF(303)는 논스, OAI 및 MAC와 함께 암호화된 가입 정보를 갖는 수신된 보호된 온보딩 컨테이너(즉, 온보드 컨테이너의 해시 || 논스 || OAI || DID || MNO/서비스 제공자 ID)를 NAS 전송/메시지를 통해 Auth_Response 메시지에서 UE(205)에게 송신한다.
대안적으로, AMF(303)는 논스, 온보드 보안 콘텍스트 ((KONB_Root)/(KONB_enc, KONB_int)) 및 NAS 보호 지시를 갖는 OAI를 갖는 일반 텍스트 온보딩 컨테이너를 수신한다. AMF(303)가 온보드 루트 키를 온보드 보안 콘텍스트로서 수신하는 경우, AMF(303)는 KONB_enc 및 KONB_int 키들을 도출한다. 이어서 AMF(303)는 온보드 보안 콘텍스트 (KONB_enc, KONB_int)를 사용하여 온보드 컨테이너에 기밀성 및 무결성 보호를 적용한다. AMF(303)는 키 KONB_enc로 온보드 컨테이너를 암호화하고, 가입 정보를 무결성 보호하기 위해 무결성 키 KONB_int를 사용하여 OAI IE와 함께 온보드 컨테이너의 MAC를 생성한다. KONB_enc는 위의 수학식 6에 따라 도출될 수 있는 반면, KONB_int는 위의 수학식 7에 따라 도출될 수 있다.
AMF(303)는 이어서 논스, OAI 및 MAC와 함께 암호화된 가입 정보를 갖는 보호된 온보딩 컨테이너(즉, 온보드 컨테이너의 해시 || 논스 || OAI || DID || MNO/서비스 제공자 ID)를 NAS 전송/메시지를 통해 Auth_Response 메시지에서 UE(205)에게 송신한다. OAI IE는 수신된 '성공 지시'를 갖는 온보드 결과에 대한 정보, 온보드 컨테이너(즉, 사용자 가입 정보)를 보호하는 데 사용되는 암호화 및 무결성 보호 알고리즘들을 식별해 주는 데 사용되는 보안 알고리즘 ID들 및 ' 요구된 NAS 보호 지시'를 포함할 수 있다.
대안적으로, AMF(303)는 또한 온보드 컨테이너와 함께 인증 챌린지 및 RAND를 UE(205)에게 송신할 수 있으며, 이는 UE(205)가 온보드 컨테이너로부터 가입 정보를 페치한 직후 1차 인증을 계속할 수 있게 한다.
대안적으로, AMF(303)는 보호된 온보딩 컨테이너 및 온보드/온보드 인증 성공 지시를 포함하는 등록 거부를 UE(205)에게 송신한다. 거부 메시지는 UE(205)가 온보딩 컨테이너에서 프로비저닝되는 자격 증명들을 사용하여 재등록해야 한다는 지시를 가질 수 있다.
단계 12에서, '성공 지시'를 갖는 온보드 결과를 갖는 OAI를 수신할 시에, UE(205)는, UDM(307)/프로비저닝 서버와 유사한 구현에 기초하여 KONB_Root, KONB_Sec, KONB_enc, KONB_int 키들과 같은 온보딩 보안 콘텍스트를 생성하기 위해, 수신된 논스 및 DID에 관련된 로컬로 이용 가능한 공유 비밀 키를 사용할 수 있다. UE(205)는 KONB_enc를 사용하여 온보드 컨테이너를 복호화하고, KONB_int를 사용하여 MAC를 생성하며, 온보드 컨테이너, 논스 및 OAI 정보의 무결성을 검사하기 위해 계산된 MAC가 수신된 MAC와 동일한지를 검증한다. MAC 검증이 성공적인 경우, UE(205)는 수신된 가입 정보를, 후속 네트워크/서비스 액세스에 사용하기 위해, 신뢰할 수 있는 저장소에 로컬로 저장한다.
온보드 컨테이너에서 수신되는 가입 정보는 다음과 같은 정보: K, SUPI/IMSI, AKA 자격 증명들, 보안 능력들(인증 방법, 보안 알고리즘 능력), 슬라이스 가입 정보, 임의의 다른 사용자/서비스 가입 정보 등 중 하나 이상을 포함할 수 있다.
대안적으로, UE(205)가 OAI의 일부로서 '요구된 NAS 보호 지시'를 수신하는 경우, UE(205)는 온보드 컨테이너가 NAS 레벨에서 보호되고, 단계 12에서 설명된 바와 같이, UE(205)가 무결성을 검증하고 수신되는 OAI 정보에 기초하여 온보드 컨테이너를 복호화할 수 있다는 것을 이해한다.
대안적으로, UE(205)가 온보드/온보드 인증 성공 지시를 갖는 보호된 온보딩 컨테이너를 갖는 등록 거부를 수신하는 경우, UE(205)는 이전에 설명된 바와 같이 온보딩 키들을 도출하고 이어서 온보딩 컨테이너를 복호화 및 검증할 수 있다. UE(205)는 신규 SUCI를 생성하고, 온보딩 컨테이너에서 수신된 가입 프로필에 기초하여 초기 등록을 송신한다. UE(205)는 가입 프로필을 새로운 USIM 프로필에 저장하거나 기존의 USIM 프로필을 업데이트할 수 있다.
대안적으로, UE(205)가 온보드 컨테이너와 함께 인증 챌린지 및 RAND를 수신한 경우, 성공적인 가입 수신 이후에, UE(205)는 1차 인증을 계속하기 위해 네트워크와 인증 챌린지 응답의 교환을 계속한다.
단계 13에서, UE(205)는 수신된 가입 정보에 기초하여 AMF(303)에 대한 등록 요청(초기 등록)을 개시할 수 있고, 1차 인증이 수행될 수 있다. 1차 인증이 성공적인 경우, UE(205)는 3GPP TS 33.501에 지정된 대로 Kausf를 도출할 수 있다. 여기서, 새로 도출된 Kausf는 온보드 루트 키에 기초했던 이전에 도출된 Kausf를 대체한다.
단계 14에서, AMF(303)는 NAS 보안을 셋업하기 위해 NAS SMC를 개시하고 이어서 AMF(303)는 RAN(301) 내의 gNB와 UE 초기 콘텍스트 셋업을 개시하도록 트리거한다.
단계 15에서, (RAN(301) 내의) gNB는 AS 보안 콘텍스트를 셋업하기 위해 AS SMC를 개시하고 수행한다.
단계 16에서, 성공적인 AS 보안 셋업 이후에, 보호된 등록 수락(Registration Accept) 메시지가 UE(205)에게 송신된다.
도 4a 및 도 4b는 본 개시내용의 실시예들에 따른, 온보딩 절차 동안 네트워크 액세스를 위한 DIG-ID 기반 가입 온보딩을 위한 절차(400)를 예시한다. 절차(400)는 UE(205), RAN(301), AMF(303), AUSF(305), UDM/UDR(307) 및 디지털 ID/신뢰 서비스 플랫폼("ID/TSP")(309)을 사용하여 구현될 수 있다. 절차(400)는, 주로 절차(400)가 등록 절차를 사용하는 대신에/5G 온보딩 절차를 사용하는 것으로 인한, 절차(300)에 대한 대안적인 가입 온보딩 절차를 나타낸다.
간략함을 위해, 절차(400)는 절차(300)와 동일한 것으로 가정되는데 이하의 차이점들은 주로 5G 시스템에서 온보딩 메시지를 교환하는 데 사용되는 온보딩 관련 서비스 운영 메시지들에 대한 것이다. 따라서, 아래에서 제공되는 이하의 설명은 5G 온보딩 절차와 관련하여 요구되는 변경 사항들로 위에서 설명된 유사한 단계들을 확장한다.
단계 0(블록(311) 참조)은 실질적으로 도 3a를 참조하여 위에서 설명된 바와 같다.
단계 1에서, UE(205)(임의의 모바일 사용자 장비 또는 IoT 디바이스일 수 있음)는 요구된 서비스에 특정하게 생성되는 DID를 사용하여 가입 고유 온보딩 ID("SUOI")를 구성한다. SUOI는 도 3a를 참조하여 위에서 설명된 바와 같이 구성될 수 있다. 대안적으로, UE(205)는 DID, 타임스탬프, 및 DID/타임스탬프 조합("DID_TS"로 표기됨)의 디지털 서명("DS")을 생성할 수 있다. 여기서, UE(205)는 가입 온보딩 지시 및 SUOI(대안적으로, 은닉된 SUOI) 또는 DS를 갖는 DID_TS를 포함하는 온보딩 요청 메시지를 (N1/NAS 인터페이스를 통해) AMF(303)에게 송신한다(메시징(413) 참조).
단계 2에서, AMF(303)는 가입 온보딩 지시 및 수신된 SUOI(대안적으로, 은닉된 SUOI) 또는 DS를 갖는 DID_TS를 갖는 온보딩 요청 메시지를 AUSF(305)에게 포워딩한다(메시징(415) 참조). 일부 실시예들에서, AMF(303)는 수신된 온보딩 요청을 포워딩하기 위해 서비스 운영 메시지, 즉 Nausf_UEOnboard_Request를 사용한다.
단계 3에서, DID 기반 일반 텍스트/은닉된 SUOI 또는 DS를 갖는 DID_TS를 갖는 가입 온보딩 지시를 수신할 시에, AUSF(305)는 수신된 가입 온보딩 지시 및 SUOI(또는 은닉된 SUOI), 대안적으로, DS를 갖는 DID_TS를 갖는 인증/온보딩 데이터 요청 메시지를 UDM/UDR(307)에게 송신한다(메시징(407) 참조). 일 실시예에서, AUSF(305)는 서비스 운영 메시지 Nudm_UEOnboard_Request를 사용하여 인증/온보딩 데이터 요청 메시지를 송신한다. 다른 실시예에서, AUSF(305)는 서비스 운영 메시지 Nudm_Subscription_GetRequest를 사용하여 인증/온보딩 데이터 요청 메시지를 송신한다.
대안적으로, DID 기반 일반 텍스트/은닉된 SUOI 또는 DS를 갖는 DID_TS를 갖는 가입 온보딩 지시를 수신할 시에, AUSF(305)는 수신된 가입 온보딩 지시 및 SUOI(또는 은닉된 SUOI), 대안적으로, DS를 갖는 DID_TS를 갖는 인증/온보딩 데이터 요청 메시지를 프로비저닝 서버에게 송신한다. 일 실시예에서, AUSF(305)는 서비스 운영 메시지 Npserver_UEOnboard_GetRequest를 사용하여 인증/온보딩 데이터 요청 메시지를 송신한다. 다른 실시예에서, AUSF(305)는 서비스 운영 메시지 Npserver_UESubscriptionProvisioing_Request를 사용하여 인증/온보딩 데이터 요청 메시지를 송신한다.
단계 4에서, DID 유형 및/또는 가입 온보딩 지시에 기초하여, UDM/UDR(307)은 DID 및 관련 DID 문서들(검증 가능한 사용자/디바이스 자격 증명들)을 관리/제어하는 ID 서비스/신뢰 서비스 제공자(309)를 통해 DID의 검증을 호출하기로 결정할 수 있다.
대안적으로, DID 유형 및 가입 온보딩 지시에 기초하여, 프로비저닝 서버는 DID 및 관련 DID 문서들(검증 가능한 사용자/디바이스 자격 증명들)을 관리/제어하는 ID 서비스/신뢰 서비스 제공자를 통해 DID의 검증을 호출하기로 결정할 수 있다.
단계 5 내지 단계 7은 실질적으로 도 3a를 참조하여 위에서 설명된 바와 같다(메시징(321), 블록(323) 및 메시징(325) 참조).
도 4b에서 계속하면, 단계 8은 실질적으로 도 4b를 참조하여 위에서 설명된 바와 같다(블록(327) 참조).
단계 9에서, UDM/UDR(307)은 논스, OAI 및 MAC와 함께 암호화된 가입 정보를 갖는 보호된 온보딩 컨테이너(즉, 온보드 컨테이너의 해시 || 논스 || OAI || DID || MNO/서비스 제공자 ID)를 인증 또는 온보딩 데이터 응답 메시지에서 AUSF(305)에게 송신한다(메시징(429) 참조). 일 실시예에서, UDM/UDR(307)은 서비스 운영 메시지 Nudm_UEOnboard_Response를 사용하여 보호된 온보딩 컨테이너를 송신한다. 대안적으로, UDM/UDR(307)은 서비스 운영 메시지 Nudm_Subscription_GetResponse를 사용하여 보호된 온보딩 컨테이너를 송신한다.
대안적으로, 프로비저닝 서버는 논스, OAI 및 MAC와 함께 암호화된 가입 정보를 갖는 보호된 온보딩 컨테이너(온보드 컨테이너의 해시 || 논스 || OAI || DID || MNO/서비스 제공자 ID)를 인증 또는 온보딩 데이터 응답 메시지에서 AUSF(305)에게 송신할 수 있다. 일 실시예에서, 프로비저닝 서버는 서비스 운영 메시지 Npserver_UEOnboard_GetResponse를 사용하여 보호된 온보딩 컨테이너를 송신한다. 대안적으로, 프로비저닝 서버는 서비스 운영 메시지 Npserver_UESubscriptionProvisioing_Response 메시지를 사용하여 보호된 온보딩 컨테이너를 송신할 수 있다.
대안적으로, UDM(307) 및/또는 프로비저닝 서버는 인증/온보딩 데이터 응답 메시지에서, 예를 들어, 서비스 운영 메시지들 Nudm_UEOnboard_Response, Nudm_Subscription_GetRequest, Npserver_UEOnboard_GetResponse, 및/또는 Npserver_UESubscriptionProvisioing_Response 메시지 중 하나에서 논스, 온보드 보안 콘텍스트 ((KONB_Root)/(KONB_enc, KONB_int)) 및 OAI와 함께 가입 정보를 AUSF(305)에게 송신할 수 있다.
단계 10에서, AUSF(305)는 논스, OAI 및 MAC와 함께 암호화된 가입 정보를 갖는 수신된 보호된 온보딩 컨테이너(즉, 온보드 컨테이너의 해시 || 논스 || OAI || DID || MNO/서비스 제공자 ID)를, 예를 들면, Nudm_UEOnboard_Response 메시지에서 AMF(303)에게 포워딩한다(메시징(425) 참조).
대안적으로, AUSF(305)는 논스, 온보드 보안 콘텍스트 ((KONB_Root)/(KONB_enc, KONB_int)) 및 OAI와 함께 일반 텍스트 가입 정보를 갖는 수신된 보호되지 않은 온보딩 컨테이너를 Nudm_UEOnboard_Response 메시지에서 AMF(303)에게 포워딩한다.
단계 11에서, AMF(303)는 논스, OAI 및 MAC와 함께 암호화된 가입 정보를 갖는 수신된 보호된 온보딩 컨테이너(즉, 온보드 컨테이너의 해시 || 논스 || OAI || DID || MNO/서비스 제공자 ID)를 NAS 전송/메시지를 통해 Onboard_Response 메시지에서 UE(205)에게 송신한다(메시징(433) 참조).
대안적으로, AMF(303)는 수신된 온보딩 컨테이너에 기밀성 및 무결성 보호를 적용하고, 논스, OAI 및 MAC와 함께 암호화된 가입 정보(즉, 온보드 컨테이너의 해시 || 논스 || OAI || DID || MNO/서비스 제공자 ID)를 NAS 전송/메시지를 통해 Onboard_Response 메시지에서 UE에게 송신한다.
단계 12 내지 단계 16은 실질적으로 도 3b를 참조하여 위에서 설명된 바와 같다(블록(335), 메시징(337), 메시징(339), 메시징(341) 및 메시징(343) 참조).
절차(400)가 PEMN/NPN 네트워크 운영자가 UE(205)에 대한 MNO의 PEMN/NPN/제3자 서비스 제공자의 가입의 온보딩 및 프로비저닝을 트리거하기 위해 ID/신뢰 서비스 제공자 인프라스트럭처/탈중앙화 ID 프레임워크를 통해 DID 사용자 아이덴티티 인증을 수행하는 시나리오에도 채택될 수 있다는 점에 유의한다.
도 5는 본 개시내용의 실시예들에 따른, DIG-ID 기반 식별, 인증 및 신뢰 서비스를 가능하게 하는 서비스 인에이블러 기능을 통한 DIG-ID 기반 온보딩을 위한 절차(500)를 예시한다. 절차(500)는 절차들(300 및 400)에 대한 대안적인 가입 온보딩 절차를 나타낸다.
간략함을 위해, 절차(500)는 도 3a의 단계 3 이후에 시작하고 절차(300)의 단계 4 내지 단계 8을 대체하는 것으로 가정된다. 대안적으로, 절차(500)는 도 4a의 단계 3 이후에 시작할 수 있고, 절차(400)의 단계 4 내지 단계 8을 대체한다. 도 5에 도시된 이하의 DID 검증 및 키 요청 절차는 DID 기반 ID 검증 및 인증을 수행하여 적절한 UE에 대한 가입 프로비저닝을 가능하게 하기 위해 3GPP 네트워크 기능("NF")(501)(예컨대, AUSF 및/또는 UDM 및/또는 프로비저닝 서버)이 디지털 식별, 인증 및 신뢰 서비스 인에이블러 기능("D-IDASEF") 또는 블록체인 서비스 인에이블러 기능("BSEF")(집합적으로 "D-IDASEF/BSEF"(503)라고 지칭됨)을 통해 외부 아이덴티티 프레임워크(505)와 통신할 수 있게 하는 데 사용될 수 있다. D-IDASEF/BSEF(503)은 모바일 네트워크 운영자 또는 서비스 제공자 도메인에 속할 수 있는 새로운 3GPP 네트워크 기능이다. 특정 실시예들에서, D-IDASEF/BSEF(503)는 AAA 프록시 기능들을 수행한다. D-IDASEF/BSEF(503)가 D-IDASEF(137) 및/또는 BSEF(138)의 실시예들일 수 있다는 점에 유의한다.
외부 아이덴티티 프레임워크(505)는 아이덴티티 서비스 제공자 및/또는 신뢰 서비스 제공자("TSP"), 예를 들어, ID/TSP(211) 및/또는 ID/TSP(309)를 포함할 수 있다. 위에서 언급된 바와 같이, ID/신뢰 서비스 제공자는 함께 디지털 아이덴티티 서비스 플랫폼("DISP")을 형성할 수 있다. 일부 실시예들에서, 아이덴티티 프레임워크(505)는 블록체인 서비스 인프라스트럭처(예를 들면, BSI(144)) 및/또는 허가형 분산 원장("PDL") 서비스 인프라스트럭처를 포함한다. 일부 실시예들에서, 아이덴티티 프레임워크(505)는 디지털 ID 프레임워크, 탈중앙화 ID 프레임워크 및/또는 자기 주권 ID 프레임워크를 포함한다.
다양한 실시예들에서, 아이덴티티 프레임워크(505)는 PLMN 또는 NPN 운영자에 의해 제어되는 아이덴티티 제공자 및/또는 DID 서비스 인프라스트럭처에 의해 제공되는 서비스 ID(507)와 연관된다. 대안적으로, 서비스 ID(507)를 제공하는 인프라스트럭처는 제3자 서비스 제공자에 의해 제어될 수 있다.
예를 들면, 블록체인/PDL 서비스 인프라스트럭처가 제3자 서비스 제공자에 의해 관리되는 경우, 아이덴티티 프레임워크(505)는 3GPP 네트워크 외부에 위치할 수 있다. 그러한 실시예들에서, DIG-ID(예를 들면, DID 또는 SSI)는 블록체인 또는 PDL(예를 들면, 블록체인 및/또는 분산 원장 네트워크(160))에 저장될 수 있다. 다른 실시예들에서, 아이덴티티 프레임워크(505)는 3GPP 네트워크에서 MNO 또는 서비스 제공자에 의해 관리될 수 있다. 3GPP NF(501) 및 D-IDASEF/BSEF(503)가 3GPP 네트워크에 위치한다는 점에 유의한다. AUSF/UDM은 D-IDASEF/BSEF(503)와 직접 통신할 수 있거나, 프로비저닝 서버(예컨대, 프로비저닝 서버(215))를 통해 D-IDASEF/BSEF(503)와 통신할 수 있다.
절차(500)는, - DID 유형 및/또는 ID/신뢰 서비스 제공자 ID(즉, 도메인 이름)에 기초하여 -, 3GPP NF(501)(예를 들면, AUSF/UDM)가 DID 및 관련 DID 문서들(검증 가능한 사용자/디바이스 자격 증명들)을 관리/제어하는 ID 서비스/신뢰 서비스 제공자를 통해 DID의 검증을 호출하기로 결정할 수 있는 단계 4(블록(509) 참조)에서 시작한다. 대안적으로, DID 유형 및 ID/신뢰 서비스 제공자 ID(즉, 도메인 이름)에 기초하여, (3GPP NF(501)로서의) 프로비저닝 서버는 DID 및 관련 DID 문서들(검증 가능한 사용자/디바이스 자격 증명들)을 관리/제어하는 ID 서비스/신뢰 서비스 제공자를 통해 DID의 검증을 호출하기로 결정할 수 있다.
단계 5a에서, DID 또는 SUOI/은닉된 SUOI에 존재하는 ID 서비스/신뢰 서비스 제공자 정보에 기초하여, 3GPP NF(501)(예를 들면, AUSF/UDM)는 키 요청 지시와 함께 수신된 SUOI/DID/은닉된 DID/DS를 갖는 DID_TS를 갖는 가입자 ID 검증 요청 메시지를 D-IDASEF/BSEF(503)에게 송신한다(메시징(511) 참조). 대안적으로, DID 또는 SUOI/은닉된 SUOI에 존재하는 ID 서비스/신뢰 서비스 제공자 정보에 기초하여, 프로비저닝 서버는 키 요청 지시와 함께 수신된 SUOI/DID/은닉된 DID/DS를 갖는 DID_TS를 갖는 가입자 ID 검증 요청 메시지를 D-IDASEF/BSEF(503)에게 송신한다.
단계 5b에서, DID 또는 SUOI/은닉된 SUOI에 존재하는 ID 서비스/신뢰 서비스 제공자 정보에 기초하여, D-IDASEF/BSEF(503)는 키 요청 지시와 함께 수신된 SUOI/DID/은닉된 DID/DS를 갖는 DID_TS를 갖는 수신된 가입자 ID 검증 요청 메시지를 아이덴티티 프레임워크(505)에게 포워딩한다(메시징(513) 참조).
단계 6에서, 아이덴티티 프레임워크(505)(예를 들면, ID/TSP)는, SUOI/DID/DS를 갖는 DID_TS를 수신할 시에, DID의 연관성 및 블록체인/PDL에서의 DID 문서들 및 연관된 사용자 공개 키 저장의 주소를 저장하는 범용 해석자 또는 로컬 데이터베이스 정보에 기초하여 DID를 검증한다(블록(515) 참조). 아이덴티티 프레임워크(505)는 DID 정보 및 사용자 문서들(검증 가능한 자격 증명들)을 페치하는 것에 의해 DID의 유효성, DID 사용 범위, 및 진위성을 검증한다. 서비스 제공자/MNO 도메인으로부터의 임의의 NF(예를 들면, UDM, 대안적으로 가입 프로비저닝 서버/온보딩 서버일 수 있음)가 임의의 가입자 관련 정보를 요청하는 경우, 아이덴티티 프레임워크(505)는 모든 요구된 검증 가능한 가입자 자격 증명들을 갖는 최소 데이터 세트("MDS")를 생성한다(최소 데이터 세트는, 예를 들어, 가입자 이름, 가입자 위치, DID 유효성, 서비스 지불 정보, 서비스 활성화 상태 등을 포함할 수 있다).
추가적으로, 서비스 제공자가 또한 가입 온보딩을 보호하기 위해 임의의 보안 키 요청을 요청하는 경우, 아이덴티티 프레임워크(505)(예를 들면, ID/TSP)는 UE에서 이용 가능한 보안 자격 증명들(예를 들면, 공개-개인 키 쌍 및 공유 비밀 키)에 기초하여 온보딩 루트 키(KONB_Root)를 도출한다. KONB_Root는 위의 수학식 1 또는 수학식 2에 따라 도출될 수 있다.
대안적으로, 아이덴티티 프레임워크(505)(예를 들면, ID/TSP)가 일반 텍스트 SUOI 대신에 은닉된 SUOI/DID를 수신하는 경우, 은닉된 SUOI는 공개 키 ID가 나타내는 공개 키에 관련된 개인 키를 사용하여 은닉 해제된다. SUOI로부터 페치되는 DID의 유효성 검사, 최소 데이터 세트 생성 및 온보딩 키 생성에 수반되는 나머지 프로세스는 위에서 설명된 것과 동일할 것이다.
대안적으로, 아이덴티티 프레임워크(505)(예를 들면, ID/TSP)가 DS를 갖는 DID_TS를 수신하는 경우, DID는 DID 문서 및 공개 키 저장 정보를 찾는 데 사용된다. 이어서, 사용자 공개 키는 수신된 DID가 인가된 사용자(즉, UE(205))로부터 발신되고 있음을 검증하기 위해 DID_TS의 일부로서 제공되는 타임스탬프와 함께 DID의 디지털 서명을 검증하기 위해 아이덴티티 프레임워크(505)에 의해 페치된다.
단계 7a에서, 아이덴티티 프레임워크(505)(예를 들면, ID/TSP)는 검증된 DID, DID 수명, DID 검증 결과(성공 또는 실패), 사용자 정보를 갖는 최소 데이터 세트, 및 온보드 루트 키(KONB_Root)를 포함하는 가입자 ID 검증 응답 메시지를 D-IDASEF/BSEF(503)(또는 서비스 제공자 도메인 내의 NF)에게 송신한다(메시지(517) 참조). 아이덴티티 프레임워크(505)는 UE의 DID와 연관된 자격 증명들/DID 문서들의 수명에 기초하여 DID 수명을 결정한다.
단계 7b에서, D-IDASEF/BSEF(503)는 검증된 DID, DID 수명, DID 검증 결과(성공 또는 실패), 사용자 정보를 갖는 최소 데이터 세트, 및 온보드 루트 키(KONB_Root)를 포함하는 수신된 가입자 ID 검증 응답 메시지를 AUSF/UDM (예를 들어, 서비스 제공자 도메인 내의 NF(501))에게 포워딩한다(메시징(519) 참조). 대안적으로, D-IDASEF/BSEF(503)는 검증된 DID, DID 검증 결과(성공 또는 실패), 사용자 정보를 갖는 최소 데이터 세트, 및 온보드 루트 키(KONB_Root)를 포함하는 수신된 가입자 ID 검증 응답 메시지를 프로비저닝 서버(예를 들면, 서비스 제공자 도메인 내의 NF(501))에게 포워딩한다.
단계 8에서, 3GPP NF(501)(예를 들면, AUSF/UDM)는, DID 검증 결과를 '성공'으로서 수신하는 경우, 검증된 DID, DID 검증 결과(성공 또는 실패), 사용자 정보를 갖는 최소 데이터 세트 및 온보드 루트 키(KONB_Root)와 같은 수신된 정보를 UDR에 저장한다(블록(521) 참조). 그렇지만, 3GPP NF(501)가 DID 검증 결과를 '실패'로서 수신하는 경우, 3GPP NF(501)는 검증된 DID, DID 검증 결과(실패)와 같은 수신된 정보를 UDR에 저장할 수 있다.
3GPP NF(501)(예를 들면, UDM)는 추가로 논스를 생성하고, 다음과 같이 키 도출에서 입력으로서 논스를 사용하여 수신된 온보드 루트 키로부터 온보딩 보안 키(KONB_Sec)를 도출한다: KONB_Sec는 UE(205)에 프로비저닝되는 사용자 가입 정보를 포함하는 온보드 컨테이너를 기밀성 및 무결성 보호하는 데 사용된다. KONB_Sec는 수학식 3을 사용하여 도출될 수 있다. KONB_enc는 수학식 4를 사용하여 도출될 수 있다. KONB_int는 수학식 5를 사용하여 도출될 수 있다.
3GPP NF(501)(예를 들면, UDM)는 프로비저닝 서버로부터 UE 가입 정보를 페치하거나, 로컬로 UE 가입 정보를 생성한다. 3GPP NF(501)(예를 들면, UDM)는 추가로 새로운 사용자 가입 정보(K, SUPI/IMSI, AKA 자격 증명들, HN 공개 키 ID, 보호 방식 등과 같은 SUCI 생성 입력들, 라우팅 ID, 슬라이스 가입 정보, 보안 정보 등)로 온보드 컨테이너를 구성할 수 있다. 특정 실시예들에서, 3GPP NF(501)(예를 들면, UDM)는 키 KONB_enc로 온보드 컨테이너를 암호화하고, UE에게 송신되는 가입 정보 및 관련 정보를 무결성 보호하기 위해 무결성 키 KONB_int를 사용하여 OAI IE와 함께 온보드 컨테이너의 MAC를 생성한다. OAI IE는 '성공 지시'를 갖는 온보드 결과에 대한 정보, 보안 알고리즘들 및 온보드 컨테이너(즉, 사용자 가입 정보) 및 관련 정보(예를 들면, OAI)를 보호하는 데 사용되는 암호화 및 무결성 보호 알고리즘들을 식별해 주는 데 사용되는 ID들을 포함할 수 있다.
대안적으로, 온보딩 보안 키들은 새로운 논스를 입력으로서 사용하여 온보드 루트 키(KONB_Root)로부터 도출될 수 있고, 온보딩 보안 키들은 가입 온보딩에 관련된 가입 정보를 보호하는 데 사용될 수 있다. 그러한 실시예들에서, KONB_enc는 수학식 6을 사용하여 도출될 수 있는 반면, KONB_int는 수학식 7을 사용하여 도출될 수 있다.
대안적으로, 프로비저닝 서버가 UDM 대신에 가입 온보딩 절차에 관여하는 경우, 위의 처리 모두가 프로비저닝 서버에 의해 수행될 것이다. 대안적으로, UDM은 온보딩 보안 키(들)를 생성하고, 이를 논스 및 '요구된 NAS 보호 지시'를 갖는 OAI와 함께 AMF에 제공하여, 제공된 온보드 보안 키(들)를 사용하여 온보드 컨테이너를 보호하도록 AMF를 트리거할 수 있다.
일 실시예에서, 절차(500)는 도 3b로부터의 단계 9 내지 단계 16을 수행하는 것에 의해 완료된다. 다른 실시예에서, 절차(500)는 도 4b로부터의 단계 9 내지 단계 16을 수행하는 것에 의해 완료된다.
대안적인 옵션에서, 예를 들면, UE 가입 정보를 네트워크 운영자(예를 들면, NPN/PLMN)를 통해 UE에 제공하는 서비스 제공자(예를 들어, 콘텐츠 서비스 제공자 또는 온디맨드 서비스를 제공한 자)를 지원하기 위해, 절차(500)는 네트워크 운영자 A가 (종량제 모델에 대한 사용자 온라인 사인업에 기초하여) 서비스 제공자 B에 의해 제공되는 자격 증명들을 사용하여 서비스 제공자 B의 사용자들에게 네트워크 액세스를 제공하는 시나리오에도 사용될 수 있다.
여기서 이 시나리오에 대해, 서비스 제공자 B는 단계들 5b, 6, 및 7a의 메시지들을 처리할 것이고, 서비스 제공자 B는 성공적인 DID 기반 ID 인증 이후에 단계 7a에서 최소 데이터 세트 내의 사용자 가입 정보를 네트워크 운영자 A에게 제공한다. 이어서 네트워크 운영자 A는 사용자 가입 정보 관련 최소 데이터 세트를 사용하여 네트워크 운영자 A 특정 슬라이스 선택 정보(예를 들면, NSSAI)를 다른 요구된 네트워크 가입 정보와 합하는 것에 의해 완전한 사용자 가입 정보를 구성하고, 도 3b, 대안적으로 도 4b에 도시된 절차를 사용하여 사용자 가입 정보를 UE에게 프로비저닝할 것이다(단계 설명들은 네트워크 운영자 A 및 서비스 제공자 B에 관한 상기 수정에 따라 적용 가능함).
도 6은 본 개시내용의 실시예들에 따른, 디지털 ID 기반 가입 온보딩에 사용될 수 있는 사용자 장비 장치(600)를 묘사한다. 다양한 실시예들에서, 사용자 장비 장치(600)는 위에서 설명된 해결책들 중 하나 이상을 구현하는 데 사용된다. 사용자 장비 장치(600)는, 위에서 설명된, 원격 유닛(105) 및/또는 UE(205)의 일 실시예일 수 있다. 게다가, 사용자 장비 장치(600)는 프로세서(605), 메모리(610), 입력 디바이스(615), 출력 디바이스(620) 및 트랜시버(625)를 포함할 수 있다.
일부 실시예들에서, 입력 디바이스(615) 및 출력 디바이스(620)는, 터치스크린과 같은, 단일 디바이스로 결합된다. 특정 실시예들에서, 사용자 장비 장치(600)는 어떠한 입력 디바이스(615) 및/또는 출력 디바이스(620)도 포함하지 않을 수 있다. 다양한 실시예들에서, 사용자 장비 장치(600)는 프로세서(605), 메모리(610) 및 트랜시버(625) 중 하나 이상을 포함할 수 있고, 입력 디바이스(615) 및/또는 출력 디바이스(620)를 포함하지 않을 수 있다.
묘사된 바와 같이, 트랜시버(625)는 적어도 하나의 송신기(630) 및 적어도 하나의 수신기(635)를 포함한다. 여기서, 트랜시버(625)는 하나 이상의 베이스 유닛(121)에 의해 지원되는 하나 이상의 서빙 셀과 통신한다. 추가적으로, 트랜시버(625)는 적어도 하나의 네트워크 인터페이스(640) 및/또는 애플리케이션 인터페이스(645)를 지원할 수 있다. 애플리케이션 인터페이스(들)(645)는 하나 이상의 API를 지원할 수 있다. 네트워크 인터페이스(들)(640)는, Uu 및 PC5와 같은, 3GPP 참조점들을 지원할 수 있다. 본 기술 분야의 통상의 기술자에 의해 이해되는 바와 같이, 다른 네트워크 인터페이스들(640)이 지원될 수 있다.
프로세서(605)는, 일 실시예에서, 컴퓨터 판독 가능 명령어들을 실행할 수 있고/있거나 논리 연산들을 수행할 수 있는 임의의 알려진 제어기를 포함할 수 있다. 예를 들어, 프로세서(605)는 마이크로컨트롤러, 마이크로프로세서, 중앙 프로세싱 유닛("CPU"), 그래픽 프로세싱 유닛("GPU"), 보조 프로세싱 유닛, 필드 프로그래머블 게이트 어레이("FPGA"), 또는 유사한 프로그래밍 가능 제어기일 수 있다. 일부 실시예들에서, 프로세서(605)는 본 명세서에서 설명되는 방법들 및 루틴들을 수행하기 위해 메모리(610)에 저장된 명령어들을 실행한다. 프로세서(605)는 메모리(610), 입력 디바이스(615), 출력 디바이스(620) 및 트랜시버(625)에 통신 가능하게 결합된다.
다양한 실시예들에서, 프로세서(605)는 위에서 설명된 UE 거동들을 구현하도록 사용자 장비 장치(600)를 제어한다. 예를 들어, 프로세서(605)는 위에서 설명된 UE 거동들을 구현하도록 사용자 장비 장치(600)를 제어한다. 예를 들어, 프로세서(605)는 DIG-ID를 획득하고, 상기 DIG-ID는 검증 가능한 보안 아이덴티티를 포함한다. 일부 실시예들에서, DIG-ID는 DID, SSI 및 DOID 중 적어도 하나를 포함한다. 특정 실시예들에서, DIG-ID를 획득하는 것은 모바일 통신 네트워크와 연관된 가입을 구매하는 것 및/또는 UE에서 DIG-ID를 생성하는 것을 포함한다.
프로세서(605)는 개인 키를 사용하여 DIG-ID와 타임스탬프의 디지털 서명을 생성한다. 일부 실시예들에서, DIG-ID는 신뢰 서비스 제공자 및/또는 ID 서비스 제공자와 연관된 신뢰할 수 있는 탈중앙화 플랫폼 또는 디지털 식별자 인프라스트럭처에 저장되는 사용자의 검증 가능한 자격 증명들에 링크된 검증 가능한 보안 식별자이다. 그러한 실시예들에서, DIG-ID는 UE에 대한 온보딩 및 가입 자격 증명 프로비저닝 동안 사용자 인증을 수행하는 데 사용된다. 특정 실시예들에서, DIG-ID는 NAI의 사용자 이름 부분 내에 포함되며, 상기 NAI는 <username@realm> 형태를 갖는다. 그러한 실시예들에서, NAI는 DIG-ID, 및 타임스탬프, 디지털 서명, 키 관련 정보, 신뢰 서비스 제공자 정보 및/또는 아이덴티티 서비스 제공자 정보 중 적어도 하나를 포함할 수 있다.
트랜시버(625)를 통해, 프로세서(605)는 제1 요청을 모바일 통신 네트워크에게(즉, 서빙 MNO에게) 송신하고 제1 응답을 수신한다. 여기서, 제1 요청은 DIG-ID, 타임스탬프 및 생성된 디지털 서명을 포함하고, 제1 응답은 온보딩 인증 성공 지시 및 검증된 DIG-ID를 포함한다.
일부 실시예들에서, 제1 요청은 DIG-ID, 타임스탬프 및 디지털 서명을 포함하는 SUOI를 포함한다. 특정 실시예들에서, SUOI는 DIG-ID 유형, 서비스 제공자 식별자, ID 서비스 제공자 도메인 정보 및 신뢰 서비스 제공자 도메인 정보 중 하나 이상을 또한 포함한다. 그러한 실시예들에서, 디지털 서명은 전체 SUOI를 사용하여 생성된다. 디지털 서명이 수신된 ID 및 관련 정보가 임의의 공격자들에 의해 변조(예를 들면, 변경)되지 않았음을 메시지 수신자(즉, 서빙 MNO)가 확인하는 데 도움이 된다는 점에 유의한다.
특정 실시예들에서, DIG-ID는 공유 비밀 암호화 키를 사용하여 보호된다. DIG-ID가 공유 비밀 암호화 키를 사용하여 보호되는 경우에, SUOI는 SUOI의 MAC, 사용자의 공개 키, 및 ID 서비스 제공자 정보에 의해 식별되는 ID 서비스 제공자 및/또는 신뢰 서비스 제공자 정보에 의해 식별되는 신뢰 서비스 제공자에 대응하는 공개 키 식별자를 더 포함한다.
프로세서(605)는 모바일 통신 네트워크에 대한 프로비저닝 연결을 설정하고, 프로비저닝 연결을 통해 가입 자격 증명 및/또는 사용자 가입 프로필을 수신한다. 일부 실시예들에서, DIG-ID는 DID, SSI 및 DOID 중 적어도 하나를 포함한다. 일부 실시예들에서, 가입 자격 증명 및/또는 사용자 가입 프로필을 수신하는 것은 온보드 루트 키에 기초한 보안 키로부터 도출되는 암호화 키 및 무결성 키를 사용하여 보호되는 NAS 메시지 또는 사용자 평면 메시지 내에서 보호된 온보딩 컨테이너를 수신하는 것을 포함한다.
일부 실시예들에서, 제1 요청은 모바일 통신 네트워크에 대한 등록 절차를 개시하는 등록 요청을 포함한다. 그러한 실시예들에서, 가입 자격 증명 및/또는 사용자 가입 프로필은 등록 절차 동안 NAS 또는 제어 평면 메시지를 통해 온보드 컨테이너에서 성공적인 DIG-ID 기반 사용자 인증 및/또는 온보드 루트 키 기반 보안 셋업 이후에 UE에게 프로비저닝된다. 여기서, 보안 셋업은 적어도 비액세스 계층을 통할 수 있으며, 선택적으로 액세스 계층 및 사용자 평면을 포함할 수 있다.
다른 실시예들에서, 제1 요청은 온보딩 요청을 포함한다. 그러한 실시예들에서, 가입 자격 증명 및/또는 사용자 가입 프로필은 온보딩 및 프로비저닝 절차 동안 성공적인 DIG-ID 기반 사용자 인증 및/또는 온보드 루트 키 기반 보안 셋업 이후에 온보딩 응답에서 및/또는 사용자 평면 메시지에서 UE에게 프로비저닝된다.
일부 실시예들에서, 가입 자격 증명 및/또는 사용자 가입 프로필을 수신하는 것은 모바일 통신 네트워크에서의 AMF로부터 NAS 메시지 내에서 보호된 온보딩 컨테이너를 수신하는 것을 포함하며, 여기서 NAS 메시지는 OAI, 논스 및 MAC를 포함한다. 그러한 실시예들에서, 프로세서(605)는 공유 비밀 키 및 성공적으로 검증된 DIG-ID를 사용하여 온보드 루트 키를 도출하고 온보드 루트 키를 AUSF 키로서 사용할 수 있다. 프로세서(605)는 온보드 루트 키를 사용하여 그리고 논스, PLMN 식별자 및 네트워크 식별자 중 적어도 하나를 사용하여 적어도 하나의 보안 키를 추가로 도출할 수 있다.
프로세서(605)는 이어서 하나의 보안 키를 SEAF 키로서 사용하여 네트워크와 보안(즉, NAS 보안, AS 보안 및/또는 사용자 평면 보안)을 셋업할 수 있거나, 하나의 보안 키를 사용하여 보호된 온보드 컨테이너를 복호화할 온보드 기밀성 키 및 또한 보호된 온보드 컨테이너를 제공하는 NAS 메시지의 MAC를 검증할 온보드 무결성 키 둘 모두를 도출할 수 있다. 추가적으로, 프로세서(605)는 OAI에 기초하여 NAS 메시지의 MAC를 검증할 수 있으며, 여기서 OAI는 '성공 지시' 및 하나 이상의 보안 알고리즘 식별자를 갖는 온보드 결과를 포함한다. 프로세서(605)는, MAC를 성공적으로 검증하는 것에 응답하여, 수신된 가입 자격 증명 및/또는 사용자 가입 프로필을 복호화하여 저장할 수 있다.
메모리(610)는, 일 실시예에서, 컴퓨터 판독 가능 저장 매체이다. 일부 실시예들에서, 메모리(610)는 휘발성 컴퓨터 저장 매체를 포함한다. 예를 들어, 메모리(610)는, 동적 RAM("DRAM"), 동기식 동적 RAM("SDRAM") 및/또는 정적 RAM("SRAM")을 포함한, RAM을 포함할 수 있다. 일부 실시예들에서, 메모리(610)는 비휘발성 컴퓨터 저장 매체를 포함한다. 예를 들어, 메모리(610)는 하드 디스크 드라이브, 플래시 메모리, 또는 임의의 다른 적합한 비휘발성 컴퓨터 저장 디바이스를 포함할 수 있다. 일부 실시예들에서, 메모리(610)는 휘발성 및 비휘발성 컴퓨터 저장 매체 둘 모두를 포함한다.
일부 실시예들에서, 메모리(610)는 디지털 ID 기반 가입 온보딩에 관련된 데이터를 저장한다. 예를 들어, 메모리(610)는 UE 식별자들, 사용자 식별자들, 네트워크 기능 식별자들, 암호화 키들, 보안 알고리즘들, 디지털 서명들, 메시지 인증 코드들, 네트워크 자원 식별자들 등을 저장할 수 있다. 특정 실시예들에서, 메모리(610)는 또한, 장치(600)에서 작동하는 운영 체제 또는 다른 제어기 알고리즘들과 같은, 프로그램 코드 및 관련 데이터를 저장한다.
입력 디바이스(615)는, 일 실시예에서, 터치 패널, 버튼, 키보드, 스타일러스, 마이크로폰 등을 포함한 임의의 알려진 컴퓨터 입력 디바이스를 포함할 수 있다. 일부 실시예들에서, 예를 들어, 터치스크린 또는 유사한 터치 감응형 디스플레이처럼, 입력 디바이스(615)가 출력 디바이스(620)와 통합될 수 있다. 일부 실시예들에서, 입력 디바이스(615)는 터치스크린 상에 디스플레이되는 가상 키보드를 사용하여 및/또는 터치스크린 상에 필기하는 것에 의해 텍스트가 입력될 수 있도록 터치스크린을 포함한다. 일부 실시예들에서, 입력 디바이스(615)는, 키보드 및 터치 패널과 같은, 2 개 이상의 상이한 디바이스를 포함한다.
출력 디바이스(620)는, 일 실시예에서, 시각적, 청각적 및/또는 햅틱 신호들을 출력하도록 설계된다. 일부 실시예들에서, 출력 디바이스(620)는 시각적 데이터를 사용자에게 출력할 수 있는 전자적으로 제어 가능한 디스플레이 또는 디스플레이 디바이스를 포함한다. 예를 들어, 출력 디바이스(620)는 LCD 디스플레이, LED 디스플레이, OLED 디스플레이, 프로젝터, 또는 이미지들, 텍스트 등을 사용자에게 출력할 수 있는 유사한 디스플레이 디바이스를 포함할 수 있지만, 이에 제한되지는 않는다. 다른 비제한적인 예로서, 출력 디바이스(620)는, 스마트 워치, 스마트 안경, 헤드업 디스플레이 등과 같은, 사용자 장비 장치(600)의 나머지와 분리되지만 그에 통신 가능하게 결합되는 웨어러블 디스플레이를 포함할 수 있다. 게다가, 출력 디바이스(620)는 스마트폰, 개인 휴대 정보 단말, 텔레비전, 테이블 컴퓨터, 노트북(랩톱) 컴퓨터, 개인용 컴퓨터, 차량 대시보드 등의 컴포넌트일 수 있다.
특정 실시예들에서, 출력 디바이스(620)는 사운드를 생성하기 위한 하나 이상의 스피커를 포함한다. 예를 들어, 출력 디바이스(620)는 가청 경보 또는 통지(예를 들면, 비프음(beep) 또는 차임벨 소리(chime))를 생성할 수 있다. 일부 실시예들에서, 출력 디바이스(620)는 진동들, 모션 또는 다른 햅틱 피드백을 생성하기 위한 하나 이상의 햅틱 디바이스를 포함한다. 일부 실시예들에서, 출력 디바이스(620)의 전부 또는 부분들이 입력 디바이스(615)와 통합될 수 있다. 예를 들어, 입력 디바이스(615) 및 출력 디바이스(620)는 터치스크린 또는 유사한 터치 감응형 디스플레이를 형성할 수 있다. 다른 실시예들에서, 출력 디바이스(620)는 입력 디바이스(615) 근처에 위치할 수 있다.
트랜시버(625)는 적어도 하나의 송신기(630) 및 적어도 하나의 수신기(635)를 포함한다. 하나 이상의 송신기(630)는, 본 명세서에서 설명되는 UL 전송들과 같은, UL 통신 신호들을 베이스 유닛(121)에 제공하는 데 사용될 수 있다. 유사하게, 하나 이상의 수신기(635)는, 본 명세서에서 설명되는 바와 같이, 베이스 유닛(121)으로부터 DL 통신 신호들을 수신하는 데 사용될 수 있다. 단지 하나의 송신기(630) 및 하나의 수신기(635)가 예시되어 있지만, 사용자 장비 장치(600)는 임의의 적합한 수의 송신기들(630) 및 수신기들(635)을 가질 수 있다. 게다가, 송신기(들)(630) 및 수신기(들)(635)는 임의의 적합한 유형의 송신기들 및 수신기들일 수 있다. 일 실시예에서, 트랜시버(625)는 면허 무선 스펙트럼을 통해 모바일 통신 네트워크와 통신하는 데 사용되는 제1 송신기/수신기 쌍 및 비면허 무선 스펙트럼을 통해 모바일 통신 네트워크와 통신하는 데 사용되는 제2 송신기/수신기 쌍을 포함한다.
특정 실시예들에서, 면허 무선 스펙트럼을 통해 모바일 통신 네트워크와 통신하는 데 사용되는 제1 송신기/수신기 쌍 및 비면허 무선 스펙트럼을 통해 모바일 통신 네트워크와 통신하는 데 사용되는 제2 송신기/수신기 쌍은 단일 트랜시버 유닛, 예를 들어, 면허 무선 스펙트럼과 비면허 무선 스펙트럼 둘 모두에 사용하기 위한 기능들을 수행하는 단일 칩으로 결합될 수 있다. 일부 실시예들에서, 제1 송신기/수신기 쌍 및 제2 송신기/수신기 쌍은 하나 이상의 하드웨어 컴포넌트를 공유할 수 있다. 예를 들어, 특정 트랜시버들(625), 송신기들(630) 및 수신기들(635)은, 예를 들어, 네트워크 인터페이스(640)와 같은, 공유 하드웨어 자원 및/또는 소프트웨어 자원에 액세스하는 물리적으로 분리된 컴포넌트들로서 구현될 수 있다.
다양한 실시예들에서, 하나 이상의 송신기(630) 및/또는 하나 이상의 수신기(635)는, 멀티 트랜시버 칩, 시스템 온 칩(system-on-a-chip), ASIC, 또는 다른 유형의 하드웨어 컴포넌트와 같은, 단일 하드웨어 컴포넌트로 구현 및/또는 통합될 수 있다. 특정 실시예들에서, 하나 이상의 송신기(630) 및/또는 하나 이상의 수신기(635)가 멀티칩 모듈로 구현 및/또는 통합될 수 있다. 일부 실시예들에서, 네트워크 인터페이스(640) 또는 다른 하드웨어 컴포넌트들/회로들과 같은 다른 컴포넌트들은 임의의 수의 송신기들(630) 및/또는 수신기들(635)과 단일 칩으로 통합될 수 있다. 그러한 실시예들에서, 송신기들(630) 및 수신기들(635)은 하나 이상의 공통 제어 신호를 사용하는 트랜시버(625)로서 또는 동일한 하드웨어 칩으로 또는 멀티칩 모듈로 구현되는 모듈식 송신기들(630) 및 수신기들(635)로서 논리적으로 구성될 수 있다.
도 7은 본 개시내용의 실시예들에 따른, 디지털 ID 기반 가입 온보딩에 사용될 수 있는 네트워크 장비 장치(700)의 일 실시예를 묘사한다. 일부 실시예들에서, 네트워크 장치(700)는 위에서 설명된 해결책들 중 임의의 것을 구현하는 데 사용되는 네트워크 기능의 일 실시예일 수 있다. 예를 들어, 네트워크 장비 장치(700)는, AUSF(135), D-IDASEF(137), BSEF(138), UDM/UDR(139), O-AUSF(209), AUSF(305), UDM/UDR(307), 3GPP NF(501), 및/또는 D-IDASEF/BSEF(503)와 같은, 모바일 통신 네트워크(즉, PLMN, NPN 및/또는 MNO)에서의 위에서 설명된 네트워크 기능들 중 하나를 실현하기 위한 하드웨어 및/또는 소프트웨어 자원들을 포함할 수 있다. 게다가, 네트워크 장비 장치(700)는 프로세서(705), 메모리(710), 입력 디바이스(715), 출력 디바이스(720) 및 트랜시버(725)를 포함할 수 있다. 특정 실시예들에서, 네트워크 장비 장치(700)는 어떠한 입력 디바이스(715) 및/또는 출력 디바이스(720)도 포함하지 않는다.
묘사된 바와 같이, 트랜시버(725)는 적어도 하나의 송신기(730) 및 적어도 하나의 수신기(735)를 포함한다. 여기서, 트랜시버(725)는 하나 이상의 원격 유닛(105)과 통신한다. 추가적으로, 트랜시버(725)는 적어도 하나의 네트워크 인터페이스(740) 및/또는 애플리케이션 인터페이스(745)를 지원할 수 있다. 애플리케이션 인터페이스(들)(745)는 하나 이상의 API를 지원할 수 있다. 네트워크 인터페이스(들)(740)는, N1, N3 등과 같은, 3GPP 참조점들을 지원할 수 있다. 본 기술 분야의 통상의 기술자에 의해 이해되는 바와 같이, 다른 네트워크 인터페이스들(740)이 지원될 수 있다.
프로세서(705)는, 일 실시예에서, 컴퓨터 판독 가능 명령어들을 실행할 수 있고/있거나 논리 연산들을 수행할 수 있는 임의의 알려진 제어기를 포함할 수 있다. 예를 들어, 프로세서(705)는 마이크로컨트롤러, 마이크로프로세서, 중앙 프로세싱 유닛("CPU"), 그래픽 프로세싱 유닛("GPU"), 보조 프로세싱 유닛, 필드 프로그래머블 게이트 어레이("FPGA"), 또는 유사한 프로그래밍 가능 제어기일 수 있다. 일부 실시예들에서, 프로세서(705)는 본 명세서에서 설명되는 방법들 및 루틴들을 수행하기 위해 메모리(710)에 저장된 명령어들을 실행한다. 프로세서(705)는 메모리(710), 입력 디바이스(715), 출력 디바이스(720) 및 트랜시버(725)에 통신 가능하게 결합된다.
다양한 실시예들에서, 프로세서(705)는 위에서 설명된 네트워크 기능 거동들을 구현하도록 네트워크 장비 장치(700)를 제어한다. 예를 들어, 네트워크 인터페이스(740)를 통해, 프로세서(705)는 UE의 DIG-ID, 타임스탬프 및 디지털 서명을 포함하는 메시지인 제1 요청을 수신하며, 여기서 디지털 식별자는 검증 가능한 보안 아이덴티티를 포함한다. 예를 들어, DIG-ID는 DID, SSI, 검증 가능한 보안 식별자 및 DOID 중 적어도 하나를 포함할 수 있다.
일부 실시예들에서, DIG-ID는 신뢰 서비스 제공자 및/또는 ID 서비스 제공자와 연관된 신뢰할 수 있는 탈중앙화 플랫폼 또는 디지털 식별자 인프라스트럭처에 저장되는 사용자의 검증 가능한 자격 증명들에 링크된 검증 가능한 보안 식별자이다. 그러한 실시예들에서, DIG-ID는 UE에 대한 온보딩 및 가입 자격 증명 프로비저닝 동안 사용자 인증을 수행하는 데 사용된다. 특정 실시예들에서, DIG-ID는 NAI의 사용자 이름 부분 내에 포함되며, 상기 NAI는 <username@realm> 형태를 갖는다. 그러한 실시예들에서, NAI는 DIG-ID, 및 타임스탬프, 디지털 서명, 키 관련 정보, 신뢰 서비스 제공자 정보 및/또는 아이덴티티 서비스 제공자 정보 중 적어도 하나를 포함할 수 있다.
일부 실시예들에서, 제1 요청은 DIG-ID, 타임스탬프 및 디지털 서명을 포함하는 SUOI를 포함한다. 특정 실시예들에서, SUOI는 DIG-ID 유형, 서비스 제공자 식별자, ID 서비스 제공자 도메인 정보 및 신뢰 서비스 제공자 도메인 정보 중 하나 이상을 더 포함한다. 그러한 실시예들에서, 디지털 서명은 전체 SUOI를 사용하여 생성된다.
특정 실시예들에서, DIG-ID는 공유 비밀 암호화 키를 사용하여 보호된다. DIG-ID가 공유 비밀 암호화 키를 사용하여 보호되는 경우에, SUOI는 SUOI의 MAC, 사용자의 공개 키, 및/또는 ID 서비스 제공자 정보에 의해 식별되는 ID 서비스 제공자 및/또는 신뢰 서비스 제공자 정보에 의해 식별되는 신뢰 서비스 제공자에 대응하는 공개 키 식별자를 더 포함한다.
프로세서(705)는 DIG-ID에 기초하여 신뢰 서비스 제공자를 식별하고, 검증 요청을 신뢰 서비스 제공자에게 송신하도록 네트워크 인터페이스(740)를 제어한다. 여기서, 검증 요청은 DIG-ID, 타임스탬프, 디지털 서명, 최소 데이터 세트 요청, 및 보안 키 요청을 포함한다.
프로세서(705)는 (예를 들면, 네트워크 인터페이스(740)를 통해) DIG-ID의 성공적인 검증에 응답하여 서비스 제공자로부터 검증된 DIG-ID, 검증 결과, DIG-ID 수명, MDS 정보 및 온보드 루트 키를 수신한다. 다양한 실시예들에서, MDS 정보는 사용자 정보를 포함한다. 특정 실시예들에서, MDS 정보에 기초하여 UE의 가입 프로비저닝을 호출하는 것은 임시 가입 자격 증명 프로비저닝을 호출하는 것을 포함한다. 일부 실시예들에서, MDS 정보는 사용자 정보, 가입 구매 정보, 가입 서비스 관련 정보, 가입 유효성 및 가입 프로비저닝을 위한 네트워크 자원(즉, MNO 가입 프로비저닝 관련 URI/URL/주소) 중 적어도 하나를 포함한다. 그러한 실시예들에서, MDS 정보에 기초하여 UE에 대한 가입 프로비저닝을 호출하는 것은 실제 사용자 가입 프로필 프로비저닝을 호출하는 것을 포함할 수 있다.
일부 실시예들에서, 프로세서는 검증된 DIG-ID, 검증 결과, DIG-ID 수명, MDS 정보 및 온보드 루트 키를 모바일 통신 네트워크의 DMF 또는 UDM/UDR에 저장한다. 구체적으로, 데이터는 UDR에 저장될 수 있으며, UDM은 데이터에 대한 액세스를 제공하는 프런트 엔드이다. 여기서, UDM과 UDR은 함께, "UDM/UDR"이라고 지칭되는, 네트워크 기능을 형성한다.
프로세서(705)는 MDS 정보에 기초하여 UE의 가입 프로비저닝을 호출하며, 여기서 가입 프로비저닝은 온보드 루트 키를 사용하여 보호된다.
일부 실시예들에서, 프로세서는 논스를 생성하고, 온보드 루트 키, 및 논스, PLMN 식별자 및 네트워크 식별자 중 적어도 하나를 사용하여 하나 이상의 보안 키를 도출한다. 그러한 실시예들에서, 프로세서는 하나의 보안 키를 사용하여 하나 이상의 온보드 보안 키(즉, 온보드 컨테이너를 암호화하고 온보드 컨테이너를 무결성 보호하기 위한 기밀성 키 및 무결성 키)를 도출하고 일반 텍스트(plain text) 또는 보호된 온보딩 컨테이너, 및 UE에 대한 OAI를 생성하며, 여기서 온보딩 컨테이너는 도출된 보안 키들 중 적어도 하나를 사용하여 보호된다.
특정 실시예들에서, 프로세서는 DMF 또는 UDM/UDR로부터 DIG-ID에 대한 기본 가입 자격 증명을 페치하고 하나 이상의 온보드 보안 키를 도출한다. 그러한 실시예들에서, 기본 가입 자격 증명 및 하나 이상의 온보드 보안 키는 AMF 및/또는 SEAF인 제2 네트워크 기능에 제공된다.
일부 실시예들에서, 프로세서는 수신된 온보드 루트 키를 AUSF 키로서 사용하고, 프로비저닝 연결을 위해 UE와 보안(즉, NAS 보안, AS 보안 및/또는 사용자 평면 보안)을 셋업하기 위해 하나의 보안 키를 SEAF 키로서 AMF/SEAF에 제공한다. 특정 실시예들에서, 제2 네트워크 기능(즉, AMF/SEAF)은, 보호되지 않은 온보딩 컨테이너에서 기본 가입 자격 증명을 수신하는 것에 응답하여, 수신된 온보드 보안 키로부터 도출되는 암호화 키 및 무결성 키를 사용하여 온보딩 컨테이너에 기밀성 보호 및 무결성 보호를 적용한다. 그러한 실시예들에서, UE의 가입 프로비저닝은 제2 네트워크 기능이 NAS 메시지를 UE에게 송신하는 것을 포함하며, 상기 NAS 메시지는 기밀성 및 무결성 보호되거나, 보호된 온보딩 컨테이너, 온보드 보조 정보, 논스 및 MAC를 포함한다.
일부 실시예들에서, 온보딩 컨테이너는 가입 자격 증명(즉, SUPI), 비밀 장기 키(secret long-term Key)('K'로 표기됨), 인증 및 키 합의("AKA") 자격 증명들, 및 슬라이스 정보(예를 들면, 하나 이상의 S-NSSAI)를 포함한다. 특정 실시예들에서, 가입 자격 증명은 가입 고유 영구 식별자를 포함한다. 더욱이, 온보딩 컨테이너는 네트워크 액세스 정보 및 추가적인 가입 정보를 더 포함할 수 있다.
일부 실시예들에서, 제1 요청은 모바일 통신 네트워크에 대한 인증 절차를 개시하는 인증 요청을 포함한다. 그러한 실시예들에서, 가입 자격 증명들 및/또는 사용자 가입 프로필은 등록 절차 동안 NAS 또는 제어 평면 메시지를 통해 온보드 컨테이너를 사용하여 성공적인 DIG-ID 기반 사용자 인증 및/또는 온보드 루트 키 기반 보안 셋업 이후에 UE에 프로비저닝된다. 여기서, 보안 셋업은 적어도 NAS를 통할 수 있으며, 선택적으로 액세스 계층(AS) 및 사용자 평면(UP) 보안 셋업을 포함할 수 있다. UE가 등록 요청을 AMF/SEAF에게 송신할 수 있고, 이어서 AMF/SEAF가, 등록 요청을 수신할 시에, 등록 요청에서 수신되는 모든 정보를 갖는 인증 요청을 AUSF에게 송신할 수 있다는 점에 유의한다.
다른 실시예들에서, 제1 요청은 온보딩 요청을 포함한다. 그러한 실시예들에서, 가입 자격 증명 및/또는 사용자 가입 프로필은 온보딩 및 프로비저닝 절차 동안 성공적인 DIG-ID 기반 사용자 인증 및/또는 온보드 루트 키 기반 보안 셋업 이후에 온보딩 응답에서 및/또는 사용자 평면 메시지에서 UE에게 프로비저닝된다.
메모리(710)는, 일 실시예에서, 컴퓨터 판독 가능 저장 매체이다. 일부 실시예들에서, 메모리(710)는 휘발성 컴퓨터 저장 매체를 포함한다. 예를 들어, 메모리(710)는, 동적 RAM("DRAM"), 동기식 동적 RAM("SDRAM") 및/또는 정적 RAM("SRAM")을 포함한, RAM을 포함할 수 있다. 일부 실시예들에서, 메모리(710)는 비휘발성 컴퓨터 저장 매체를 포함한다. 예를 들어, 메모리(710)는 하드 디스크 드라이브, 플래시 메모리, 또는 임의의 다른 적합한 비휘발성 컴퓨터 저장 디바이스를 포함할 수 있다. 일부 실시예들에서, 메모리(710)는 휘발성 및 비휘발성 컴퓨터 저장 매체 둘 모두를 포함한다.
일부 실시예들에서, 메모리(710)는 디지털 ID 기반 가입 온보딩에 관한 데이터를 저장하며, 예를 들어, UE 식별자들, 사용자 식별자들, 네트워크 기능 식별자들, 암호화 키들, 보안 알고리즘들, 디지털 서명들, 메시지 인증 코드들, 네트워크 자원 식별자들 등을 저장한다. 특정 실시예들에서, 메모리(710)는 또한, 네트워크 장비 장치(700) 상에서 작동하는 운영 체제("OS") 또는 다른 제어기 알고리즘들 및 하나 이상의 소프트웨어 애플리케이션과 같은, 프로그램 코드 및 관련 데이터를 저장한다.
입력 디바이스(715)는, 일 실시예에서, 터치 패널, 버튼, 키보드, 스타일러스, 마이크로폰 등을 포함한 임의의 알려진 컴퓨터 입력 디바이스를 포함할 수 있다. 일부 실시예들에서, 예를 들어, 터치스크린 또는 유사한 터치 감응형 디스플레이처럼, 입력 디바이스(715)가 출력 디바이스(720)와 통합될 수 있다. 일부 실시예들에서, 입력 디바이스(715)는 터치스크린 상에 디스플레이되는 가상 키보드를 사용하여 및/또는 터치스크린 상에 필기하는 것에 의해 텍스트가 입력될 수 있도록 터치스크린을 포함한다. 일부 실시예들에서, 입력 디바이스(715)는, 키보드 및 터치 패널과 같은, 2 개 이상의 상이한 디바이스를 포함한다.
출력 디바이스(720)는, 일 실시예에서, 임의의 알려진 전자적으로 제어 가능한 디스플레이 또는 디스플레이 디바이스를 포함할 수 있다. 출력 디바이스(720)는 시각적, 청각적 및/또는 햅틱 신호들을 출력하도록 설계될 수 있다. 일부 실시예들에서, 출력 디바이스(720)는 시각적 데이터를 사용자에게 출력할 수 있는 전자 디스플레이를 포함한다. 게다가, 출력 디바이스(720)는 스마트폰, 개인 휴대 정보 단말, 텔레비전, 테이블 컴퓨터, 노트북(랩톱) 컴퓨터, 개인용 컴퓨터, 차량 대시보드 등의 컴포넌트일 수 있다.
특정 실시예들에서, 출력 디바이스(720)는 사운드를 생성하기 위한 하나 이상의 스피커를 포함한다. 예를 들어, 출력 디바이스(720)는 가청 경보 또는 통지(예를 들면, 비프음 또는 차임벨 소리)를 생성할 수 있다. 일부 실시예들에서, 출력 디바이스(720)는 진동들, 모션 또는 다른 햅틱 피드백을 생성하기 위한 하나 이상의 햅틱 디바이스를 포함한다. 일부 실시예들에서, 출력 디바이스(720)의 전부 또는 부분들이 입력 디바이스(715)와 통합될 수 있다. 예를 들어, 입력 디바이스(715) 및 출력 디바이스(720)는 터치스크린 또는 유사한 터치 감응형 디스플레이를 형성할 수 있다. 다른 실시예들에서, 출력 디바이스(720)의 전부 또는 부분들이 입력 디바이스(715) 근처에 위치할 수 있다.
위에서 논의된 바와 같이, 트랜시버(725)는 하나 이상의 원격 유닛과 및/또는 하나 이상의 PLMN에 대한 액세스를 제공하는 하나 이상의 네트워크 기능과 통신할 수 있다. 트랜시버(725)는 프로세서(705)의 제어 하에서 메시지들, 데이터 및 다른 신호들을 전송하고 또한 메시지들, 데이터 및 다른 신호들을 수신하도록 작동한다. 예를 들어, 프로세서(705)는 메시지들을 송신 및 수신하기 위해 특정 시간들에서 트랜시버(또는 그의 부분들)를 선택적으로 활성화시킬 수 있다.
트랜시버(725)는 하나 이상의 송신기(730) 및 하나 이상의 수신기(735)를 포함할 수 있다. 특정 실시예들에서, 하나 이상의 송신기(730) 및/또는 하나 이상의 수신기(735)는 트랜시버 하드웨어 및/또는 회로를 공유할 수 있다. 예를 들어, 하나 이상의 송신기(730) 및/또는 하나 이상의 수신기(735)는 안테나(들), 안테나 튜너(들), 증폭기(들), 필터(들), 발진기(들), 믹서(들), 변조기/복조기(들), 전력 공급 장치 등을 공유할 수 있다. 일 실시예에서, 트랜시버(725)는, 공통의 물리적 하드웨어를 사용하면서, 상이한 통신 프로토콜들 또는 프로토콜 스택들을 사용하여 다수의 논리적 트랜시버들을 구현한다.
도 8은 본 개시내용의 실시예들에 따른, 디지털 ID 기반 가입 온보딩을 위한 방법(800)의 일 실시예를 묘사한다. 다양한 실시예들에서, 방법(800)은, 위에서 설명된, 원격 유닛(105), UE(205) 및/또는 사용자 장비 장치(600)와 같은, UE에 의해 수행된다. 일부 실시예들에서, 방법(800)은, 마이크로컨트롤러, 마이크로프로세서, CPU, GPU, 보조 프로세싱 유닛, FPGA 등과 같은, 프로세서에 의해 수행된다.
방법(800)은 시작되어 DIG-ID를 획득(805)하며, 상기 DIG-ID는 검증 가능한 보안 아이덴티티를 포함한다. 방법(800)은 개인 키를 사용하여 DIG-ID 및 타임스탬프의 디지털 서명을 생성하는 단계(810)를 포함한다. 방법(800)은 제1 요청을 모바일 통신 네트워크(즉, 서빙 MNO)에게 송신하는 단계 - 제1 요청은 DIG-ID, 타임스탬프 및 생성된 디지털 서명을 포함함 - (815)를 포함한다. 방법(800)은 온보딩 인증 성공 지시 및 검증된 DIG-ID를 수신하는 단계(820)를 포함한다. 방법(800)은 모바일 통신 네트워크에 대한 프로비저닝 연결을 설정하는 단계(825)를 포함한다. 방법(800)은, 프로비저닝 연결을 통해, 가입 자격 증명 및/또는 사용자 가입 프로필을 수신하는 단계(830)를 포함한다. 방법(800)이 종료된다.
도 9는 본 개시내용의 실시예들에 따른, 디지털 ID 기반 가입 온보딩을 위한 방법(900)의 일 실시예를 묘사한다. 다양한 실시예들에서, 방법(900)은, 위에서 설명된, AUSF(135), D-IDASEF(137), BSEF(138), UDM/UDR(139), O-AUSF(209), AUSF(305), UDM/UDR(307), 3GPP NF(501), 및/또는 D-IDASEF/BSEF(503)와 같은, 네트워크 기능, 및/또는 네트워크 장비 장치(700)에 의해 수행된다. 일부 실시예들에서, 방법(900)은, 마이크로컨트롤러, 마이크로프로세서, CPU, GPU, 보조 프로세싱 유닛, FPGA 등과 같은, 프로세서에 의해 수행된다.
방법(900)은 시작되어 UE의 DIG-ID, 타임스탬프 및 디지털 서명을 포함하는 메시지인 제1 요청을 수신하며(905), 여기서 디지털 식별자는 검증 가능한 보안 아이덴티티를 포함한다. 방법(900)은 DIG-ID에 기초하여 신뢰 서비스 제공자를 식별하는 단계(910)를 포함한다. 방법(900)은 검증 요청을 신뢰 서비스 제공자에게 송신하는 단계(915)를 포함한다. 여기서, 검증 요청은 DIG-ID, 타임스탬프, 디지털 서명, 최소 데이터 세트 요청, 및 보안 키 요청을 포함한다. 방법(900)은 DIG-ID의 성공적인 검증에 응답하여 서비스 제공자로부터 검증된 DIG-ID, 검증 결과, DIG-ID 수명, MDS 정보 및 온보드 루트 키를 수신하는 단계(920)를 포함한다. 방법(900)은 MDS 정보에 기초하여 UE의 가입 프로비저닝을 호출하는 단계(925)를 포함하며, 여기서 가입 프로비저닝은 온보드 루트 키를 사용하여 보호된다. 방법(900)이 종료된다.
본 개시내용의 실시예들에 따른, 디지털 ID 기반 가입 온보딩을 위한 제1 장치가 본 명세서에서 개시된다. 제1 장치는, 위에서 설명된, 원격 유닛(105), UE(205) 및/또는 사용자 장비 장치(600)와 같은, UE에 의해 구현될 수 있다. 제1 장치는 DIG-ID를 획득하는 프로세서를 포함하며, 상기 DIG-ID는 검증 가능한 보안 아이덴티티를 포함한다. 프로세서는 개인 키를 사용하여 DIG-ID와 타임스탬프의 디지털 서명을 생성한다. 제1 장치는 제1 요청을 모바일 통신 네트워크에게(즉, 서빙 MNO에게) 송신하고 제1 응답을 수신하는 트랜시버를 포함하며, 여기서 제1 요청은 DIG-ID, 타임스탬프 및 생성된 디지털 서명을 포함하고, 여기서 제1 응답은 온보딩 인증 성공 지시 및 검증된 DIG-ID를 포함한다. 프로세서는 모바일 통신 네트워크에 대한 프로비저닝 연결을 설정하고, 프로비저닝 연결을 통해 가입 자격 증명 및/또는 사용자 가입 프로필을 수신한다.
일부 실시예들에서, 제1 요청은 DIG-ID, 타임스탬프 및 디지털 서명을 포함하는 SUOI를 포함한다. 특정 실시예들에서, SUOI는 DIG-ID 유형, 서비스 제공자 식별자, ID 서비스 제공자 도메인 정보 및 신뢰 서비스 제공자 도메인 정보 중 하나 이상을 또한 포함한다. 그러한 실시예들에서, 디지털 서명은 전체 SUOI를 사용하여 생성된다.
특정 실시예들에서, DIG-ID는 공유 비밀 암호화 키를 사용하여 보호된다. 그러한 실시예들에서, SUOI는 SUOI의 MAC, 사용자의 공개 키, 및 ID 서비스 제공자 정보에 의해 식별되는 ID 서비스 제공자 및/또는 신뢰 서비스 제공자 정보에 의해 식별되는 신뢰 서비스 제공자에 대응하는 공개 키 식별자를 더 포함한다.
일부 실시예들에서, 제1 요청은 모바일 통신 네트워크에 대한 등록 절차를 개시하는 등록 요청을 포함한다. 그러한 실시예들에서, 가입 자격 증명 및/또는 사용자 가입 프로필은 등록 절차 동안 NAS 또는 제어 평면 메시지를 통해 온보드 컨테이너에서 성공적인 DIG-ID 기반 사용자 인증 및/또는 온보드 루트 키 기반 보안 셋업 이후에 UE에게 프로비저닝된다. 여기서, 보안 셋업은 적어도 NAS를 통할 수 있으며, 선택적으로 AS 및 UP를 포함할 수 있다.
다른 실시예들에서, 제1 요청은 온보딩 요청을 포함한다. 그러한 실시예들에서, 가입 자격 증명 및/또는 사용자 가입 프로필은 온보딩 및 프로비저닝 절차 동안 성공적인 DIG-ID 기반 사용자 인증 및/또는 온보드 루트 키 기반 보안 셋업 이후에 온보딩 응답에서 및/또는 사용자 평면 메시지에서 UE에게 프로비저닝된다.
일부 실시예들에서, 가입 자격 증명 및/또는 사용자 가입 프로필을 수신하는 것은 모바일 통신 네트워크에서의 AMF로부터 NAS 메시지 내에서 보호된 온보딩 컨테이너를 수신하는 것을 포함하며, 여기서 NAS 메시지는 OAI, 논스 및 MAC를 포함한다. 그러한 실시예들에서, 프로세서는 공유 비밀 키 및 성공적으로 검증된 DIG-ID를 사용하여 온보드 루트 키를 도출하고 온보드 루트 키를 AUSF 키로서 사용할 수 있다. 프로세서는 온보드 루트 키를 사용하여 그리고 논스, PLMN 식별자 및 네트워크 식별자 중 적어도 하나를 사용하여 적어도 하나의 보안 키를 추가로 도출할 수 있다. 프로세서는 이어서 하나의 보안 키를 SEAF 키로서 사용하여 네트워크와 보안(즉, NAS 보안, AS 보안 및/또는 사용자 평면 보안)을 셋업할 수 있거나, 하나의 보안 키를 사용하여 보호된 온보드 컨테이너를 복호화할 온보드 기밀성 키 및 또한 보호된 온보드 컨테이너를 제공하는 NAS 메시지의 MAC를 검증할 온보드 무결성 키 둘 모두를 도출할 수 있다. 추가적으로, 프로세서는 OAI에 기초하여 NAS 메시지의 MAC를 검증할 수 있으며, 여기서 OAI는 '성공 지시' 및 하나 이상의 보안 알고리즘 식별자를 갖는 온보드 결과를 포함한다. 프로세서는, MAC를 성공적으로 검증하는 것에 응답하여, 수신된 가입 자격 증명 및/또는 사용자 가입 프로필을 복호화하여 저장할 수 있다.
일부 실시예들에서, DIG-ID는 DID, SSI 및 DOID 중 적어도 하나를 포함한다. 특정 실시예들에서, DIG-ID를 획득하는 것은 모바일 통신 네트워크와 연관된 가입을 구매하는 것 및/또는 UE에서 DIG-ID를 생성하는 것을 포함한다. 일부 실시예들에서, 가입 자격 증명 및/또는 사용자 가입 프로필을 수신하는 것은 온보드 루트 키에 기초한 보안 키로부터 도출되는 암호화 키 및 무결성 키를 사용하여 보호되는 NAS 메시지 또는 사용자 평면 메시지 내에서 보호된 온보딩 컨테이너를 수신하는 것을 포함한다.
일부 실시예들에서, DIG-ID는 신뢰 서비스 제공자 및/또는 ID 서비스 제공자와 연관된 신뢰할 수 있는 탈중앙화 플랫폼 또는 디지털 식별자 인프라스트럭처에 저장되는 사용자의 검증 가능한 자격 증명들에 링크된 검증 가능한 보안 식별자이다. 그러한 실시예들에서, DIG-ID는 UE에 대한 온보딩 및 가입 자격 증명 프로비저닝 동안 사용자 인증을 수행하는 데 사용된다. 특정 실시예들에서, DIG-ID는 NAI의 사용자 이름 부분 내에 포함되며, 상기 NAI는 <username@realm> 형태를 갖는다. 그러한 실시예들에서, NAI는 DIG-ID, 및 타임스탬프, 디지털 서명, 키 관련 정보, 신뢰 서비스 제공자 정보 및/또는 아이덴티티 서비스 제공자 정보 중 적어도 하나를 포함할 수 있다.
본 개시내용의 실시예들에 따른, 디지털 ID 기반 가입 온보딩을 위한 제1 방법이 본 명세서에서 개시된다. 제1 방법은, 위에서 설명된, 원격 유닛(105), UE(205) 및/또는 사용자 장비 장치(600)와 같은, UE에 의해 수행될 수 있다. 제1 방법은 DIG-ID를 획득하는 단계를 포함하며, 상기 DIG-ID는 검증 가능한 보안 아이덴티티를 포함한다. 제1 방법은 개인 키를 사용하여 DIG-ID와 타임스탬프의 디지털 서명을 생성하는 단계를 포함한다. 제1 방법은 제1 요청을 모바일 통신 네트워크에게(즉, 서빙 MNO에게) 송신하는 단계를 포함하며, 여기서 제1 요청은 DIG-ID, 타임스탬프 및 생성된 디지털 서명을 포함한다. 제1 방법은 모바일 통신 네트워크로부터 제1 응답을 수신하는 단계를 포함하며, 여기서 제1 응답은 온보딩 인증 성공 지시 및 검증된 DIG-ID를 포함한다. 제1 방법은 모바일 통신 네트워크에 대한 프로비저닝 연결을 설정하는 단계를 포함한다. 제1 방법은 프로비저닝 연결을 통해 가입 자격 증명 및/또는 사용자 가입 프로필을 수신하는 단계를 포함한다.
일부 실시예들에서, 제1 요청은 DIG-ID, 타임스탬프 및 디지털 서명을 포함하는 SUOI를 포함한다. 특정 실시예들에서, SUOI는 DIG-ID 유형, 서비스 제공자 식별자, ID 서비스 제공자 도메인 정보 및 신뢰 서비스 제공자 도메인 정보 중 하나 이상을 또한 포함한다. 그러한 실시예들에서, 디지털 서명은 전체 SUOI를 사용하여 생성된다.
특정 실시예들에서, DIG-ID는 공유 비밀 암호화 키를 사용하여 보호된다. 그러한 실시예들에서, SUOI는 SUOI의 MAC, 사용자의 공개 키, 및 ID 서비스 제공자 정보에 의해 식별되는 ID 서비스 제공자 및/또는 신뢰 서비스 제공자 정보에 의해 식별되는 신뢰 서비스 제공자에 대응하는 공개 키 식별자를 더 포함한다.
일부 실시예들에서, 제1 요청은 모바일 통신 네트워크에 대한 등록 절차를 개시하는 등록 요청을 포함한다. 그러한 실시예들에서, 가입 자격 증명 및/또는 사용자 가입 프로필은 등록 절차 동안 NAS 또는 제어 평면 메시지를 통해 온보드 컨테이너에서 성공적인 DIG-ID 기반 사용자 인증 및/또는 온보드 루트 키 기반 보안 셋업 이후에 UE에게 프로비저닝된다. 여기서, 보안 셋업은 적어도 NAS를 통할 수 있으며, 선택적으로 AS 및 UP를 포함할 수 있다. 다른 실시예들에서, 제1 요청은 온보딩 요청을 포함한다. 그러한 실시예들에서, 가입 자격 증명 및/또는 사용자 가입 프로필은 온보딩 및 프로비저닝 절차 동안 성공적인 DIG-ID 기반 사용자 인증 및/또는 온보드 루트 키 기반 보안 셋업 이후에 온보딩 응답에서 및/또는 사용자 평면 메시지에서 UE에게 프로비저닝된다.
일부 실시예들에서, 가입 자격 증명 및/또는 사용자 가입 프로필을 수신하는 단계는 모바일 통신 네트워크에서의 AMF로부터 NAS 메시지 내에서 보호된 온보딩 컨테이너를 수신하는 단계를 포함하며, 여기서 NAS 메시지는 OAI, 논스 및 MAC를 포함한다. 그러한 실시예들에서, 제1 방법은: 공유 비밀 키 및 성공적으로 검증된 DIG-ID를 사용하여 온보드 루트 키를 도출하는 단계; 온보드 루트 키를 AUSF 키로서 사용하는 단계; 온보드 루트 키를 사용하여 그리고 논스, PLMN 식별자 및 네트워크 식별자 중 적어도 하나를 사용하여 적어도 하나의 보안 키를 도출하는 단계; 하나의 보안 키를 SEAF 키로서 사용하여 네트워크와 보안(즉, NAS 보안, AS 보안 및/또는 사용자 평면 보안)을 셋업하거나, 하나의 보안 키를 사용하여 보호된 온보드 컨테이너를 복호화할 온보드 기밀성 키 및 보호된 온보드 컨테이너를 제공하는 NAS 메시지의 MAC를 검증할 온보드 무결성 키를 도출하는 단계; '성공 지시' 및 보안 알고리즘 식별자(들)를 갖는 온보드 결과를 포함하는 OAI에 기초하여 NAS 메시지의 MAC를 검증하는 단계; 및 MAC를 성공적으로 검증하는 것에 응답하여, 수신된 가입 자격 증명 및/또는 사용자 가입 프로필을 복호화하여 저장하는 단계를 포함할 수 있다.
일부 실시예들에서, DIG-ID는 DID, SSI 및 DOID 중 적어도 하나를 포함한다. 특정 실시예들에서, DIG-ID를 획득하는 단계는 모바일 통신 네트워크와 연관된 가입을 구매하는 단계 및/또는 UE에서 DIG-ID를 생성하는 단계를 포함한다. 일부 실시예들에서, 가입 자격 증명 및/또는 사용자 가입 프로필을 수신하는 단계는 온보드 루트 키에 기초한 보안 키로부터 도출되는 암호화 키 및 무결성 키를 사용하여 보호되는 NAS 메시지 또는 사용자 평면 메시지 내에서 보호된 온보딩 컨테이너를 수신하는 단계를 포함한다.
일부 실시예들에서, DIG-ID는 신뢰 서비스 제공자 및/또는 ID 서비스 제공자와 연관된 신뢰할 수 있는 탈중앙화 플랫폼 또는 디지털 식별자 인프라스트럭처에 저장되는 사용자의 검증 가능한 자격 증명들에 링크된 검증 가능한 보안 식별자이다. 그러한 실시예들에서, DIG-ID는 UE에 대한 온보딩 및 가입 자격 증명 프로비저닝 동안 사용자 인증을 수행하는 데 사용된다. 특정 실시예들에서, DIG-ID는 NAI의 사용자 이름 부분 내에 포함되며, 상기 NAI는 <username@realm> 형태를 갖는다. 그러한 실시예들에서, NAI는 DIG-ID, 및 타임스탬프, 디지털 서명, 키 관련 정보, 신뢰 서비스 제공자 정보 및/또는 아이덴티티 서비스 제공자 정보 중 적어도 하나를 포함할 수 있다.
본 개시내용의 실시예들에 따른, 디지털 ID 기반 가입 온보딩을 위한 제2 장치가 본 명세서에서 개시된다. 제2 장치는, 위에서 설명된, AUSF(135), D-IDASEF(137), BSEF(138), UDM/UDR(139), O-AUSF(209), AUSF(305), UDM/UDR(307), 3GPP NF(501), 및/또는 D-IDASEF/BSEF(503)와 같은, 모바일 통신 네트워크(즉, PLMN, NPN 및/또는 MNO)에서의 네트워크 기능, 및/또는 네트워크 장비 장치(700)에 의해 구현될 수 있다.
제2 장치는 UE의 DIG-ID, 타임스탬프 및 디지털 서명을 포함하는 메시지인 제1 요청을 수신하는 트랜시버를 포함하며, 여기서 디지털 식별자는 검증 가능한 보안 아이덴티티를 포함한다. 제2 장치는, DIG-ID에 기초하여 신뢰 서비스 제공자를 식별하고 검증 요청을 신뢰 서비스 제공자에게 송신하도록 트랜시버를 제어하는, 프로세서를 포함한다. 여기서, 검증 요청은 DIG-ID, 타임스탬프, 디지털 서명, 최소 데이터 세트 요청, 및 보안 키 요청을 포함한다. 트랜시버는 DIG-ID의 성공적인 검증에 응답하여 서비스 제공자로부터 검증된 DIG-ID, 검증 결과, DIG-ID 수명, MDS 정보 및 온보드 루트 키를 수신한다. 프로세서는 MDS 정보에 기초하여 UE의 가입 프로비저닝을 호출하며, 여기서 가입 프로비저닝은 온보드 루트 키를 사용하여 보호된다.
다양한 실시예들에서, MDS 정보는 사용자 정보를 포함한다. 특정 실시예들에서, MDS 정보에 기초하여 UE의 가입 프로비저닝을 호출하는 것은 임시 가입 자격 증명 프로비저닝을 호출하는 것을 포함한다. 일부 실시예들에서, MDS 정보는 사용자 정보, 가입 구매 정보, 가입 서비스 관련 정보, 가입 유효성 및 가입 프로비저닝을 위한 네트워크 자원(즉, MNO 가입 프로비저닝 관련 URI/URL/주소) 중 적어도 하나를 포함한다. 그러한 실시예들에서, MDS 정보에 기초하여 UE에 대한 가입 프로비저닝을 호출하는 것은 실제 사용자 가입 프로필 프로비저닝을 호출하는 것을 포함할 수 있다.
일부 실시예들에서, 프로세서는 논스를 생성하고, 온보드 루트 키, 및 논스, PLMN 식별자 및 네트워크 식별자 중 적어도 하나를 사용하여 하나 이상의 보안 키를 도출한다. 그러한 실시예들에서, 프로세서는 하나의 보안 키를 사용하여 하나 이상의 온보드 보안 키(즉, 온보드 컨테이너를 암호화하고 온보드 컨테이너를 무결성 보호하기 위한 기밀성 키 및 무결성 키)를 도출하고 일반 텍스트 또는 보호된 온보딩 컨테이너, 및 UE에 대한 OAI를 생성하며, 여기서 온보딩 컨테이너는 도출된 보안 키들 중 적어도 하나를 사용하여 보호된다.
일부 실시예들에서, 프로세서는 검증된 DIG-ID, 검증 결과, DIG-ID 수명, MDS 정보 및 온보드 루트 키를 모바일 통신 네트워크의 DMF 또는 UDM/UDR에 저장한다. 구체적으로, 데이터는 UDR에 저장될 수 있으며, UDM은 데이터에 대한 액세스를 제공하는 프런트 엔드이다. 여기서, UDM과 UDR은 함께, "UDM/UDR"이라고 지칭되는, 네트워크 기능을 형성한다. 특정 실시예들에서, 프로세서는 DMF 또는 UDM/UDR로부터 DIG-ID에 대한 기본 가입 자격 증명을 페치하고 하나 이상의 온보드 보안 키를 도출한다. 그러한 실시예들에서, 기본 가입 자격 증명 및 하나 이상의 온보드 보안 키는 AMF 및/또는 SEAF인 제2 네트워크 기능에 제공된다.
일부 실시예들에서, 프로세서는 수신된 온보드 루트 키를 AUSF 키로서 사용하고, 프로비저닝 연결을 위해 UE와 보안(즉, NAS 보안, AS 보안 및/또는 사용자 평면 보안)을 셋업하기 위해 하나의 보안 키를 SEAF 키로서 AMF/SEAF에 제공한다. 특정 실시예들에서, 제2 네트워크 기능(즉, AMF/SEAF)은, 보호되지 않은 온보딩 컨테이너에서 기본 가입 자격 증명을 수신하는 것에 응답하여, 수신된 온보드 보안 키로부터 도출되는 암호화 키 및 무결성 키를 사용하여 온보딩 컨테이너에 기밀성 보호 및 무결성 보호를 적용한다. 그러한 실시예들에서, UE의 가입 프로비저닝은 제2 네트워크 기능이 NAS 메시지를 UE에게 송신하는 것을 포함하며, 상기 NAS 메시지는 기밀성 및 무결성 보호되거나, 보호된 온보딩 컨테이너, 온보드 보조 정보, 논스 및 MAC를 포함한다.
일부 실시예들에서, 온보딩 컨테이너는 가입 자격 증명(즉, SUPI), 비밀 장기 키('K'로 표기됨), 인증 및 키 합의("AKA") 자격 증명들, 및 슬라이스 정보(예를 들면, 하나 이상의 S-NSSAI)를 포함한다. 특정 실시예들에서, 가입 자격 증명은 가입 고유 영구 식별자를 포함한다. 더욱이, 온보딩 컨테이너는 네트워크 액세스 정보 및 추가적인 가입 정보를 더 포함할 수 있다.
일부 실시예들에서, 제1 요청은 DIG-ID, 타임스탬프 및 디지털 서명을 포함하는 SUOI를 포함한다. 특정 실시예들에서, SUOI는 DIG-ID 유형, 서비스 제공자 식별자, ID 서비스 제공자 도메인 정보 및 신뢰 서비스 제공자 도메인 정보 중 하나 이상을 더 포함한다. 그러한 실시예들에서, 디지털 서명은 전체 SUOI를 사용하여 생성된다.
특정 실시예들에서, DIG-ID는 공유 비밀 암호화 키를 사용하여 보호된다. 그러한 실시예들에서, SUOI는 SUOI의 MAC, 사용자의 공개 키, 및 ID 서비스 제공자 정보에 의해 식별되는 ID 서비스 제공자 및/또는 신뢰 서비스 제공자 정보에 의해 식별되는 신뢰 서비스 제공자에 대응하는 공개 키 식별자를 더 포함한다.
일부 실시예들에서, 제1 요청은 모바일 통신 네트워크에 대한 인증 절차를 개시하는 인증 요청을 포함한다. 그러한 실시예들에서, 가입 자격 증명들 및/또는 사용자 가입 프로필은 등록 절차 동안 NAS 또는 제어 평면 메시지를 통해 온보드 컨테이너를 사용하여 성공적인 DIG-ID 기반 사용자 인증 및/또는 온보드 루트 키 기반 보안 셋업 이후에 UE에 프로비저닝된다. 여기서, 보안 셋업은 적어도 NAS를 통할 수 있으며, 선택적으로 AS 및 UP를 포함할 수 있다.
다른 실시예들에서, 제1 요청은 온보딩 요청을 포함한다. 그러한 실시예들에서, 가입 자격 증명 및/또는 사용자 가입 프로필은 온보딩 및 프로비저닝 절차 동안 성공적인 DIG-ID 기반 사용자 인증 및/또는 온보드 루트 키 기반 보안 셋업 이후에 온보딩 응답에서 및/또는 사용자 평면 메시지에서 UE에게 프로비저닝된다.
일부 실시예들에서, DIG-ID는 신뢰 서비스 제공자 및/또는 ID 서비스 제공자와 연관된 신뢰할 수 있는 탈중앙화 플랫폼 또는 디지털 식별자 인프라스트럭처에 저장되는 사용자의 검증 가능한 자격 증명들에 링크된 검증 가능한 보안 식별자이다. 예를 들어, DIG-ID는 DID, SSI, 검증 가능한 보안 식별자 및 DOID 중 적어도 하나를 포함한다. 그러한 실시예들에서, DIG-ID는 UE에 대한 온보딩 및 가입 자격 증명 프로비저닝 동안 사용자 인증을 수행하는 데 사용된다. 특정 실시예들에서, DIG-ID는 NAI의 사용자 이름 부분 내에 포함되며, 상기 NAI는 <username@realm> 형태를 갖는다. 그러한 실시예들에서, NAI는 DIG-ID, 및 타임스탬프, 디지털 서명, 키 관련 정보, 신뢰 서비스 제공자 정보 및/또는 아이덴티티 서비스 제공자 정보 중 적어도 하나를 포함할 수 있다.
본 개시내용의 실시예들에 따른, 디지털 ID 기반 가입 온보딩을 위한 제2 방법이 본 명세서에서 개시된다. 제2 방법은, 위에서 설명된, AUSF(135), D-IDASEF(137), BSEF(138), UDM/UDR(139), O-AUSF(209), AUSF(305), UDM/UDR(307), 3GPP NF(501), 및/또는 D-IDASEF/BSEF(503)와 같은, 모바일 통신 네트워크(즉, PLMN, NPN 및/또는 MNO)에서의 네트워크 기능, 및/또는 네트워크 장비 장치(700)에 의해 수행될 수 있다. 제2 방법은 UE의 DIG-ID, 타임스탬프 및 디지털 서명을 포함하는 메시지인 제1 요청을 수신하는 단계를 포함하며, 여기서 디지털 식별자는 검증 가능한 보안 아이덴티티를 포함한다. 제2 방법은 DIG-ID에 기초하여 신뢰 서비스 제공자를 식별하고 검증 요청을 신뢰 서비스 제공자에게 송신하는 단계를 포함한다. 여기서, 검증 요청은 DIG-ID, 타임스탬프, 디지털 서명, 최소 데이터 세트 요청, 및 보안 키 요청을 포함한다. 제2 방법은 DIG-ID의 성공적인 검증에 응답하여 서비스 제공자로부터 검증된 DIG-ID, 검증 결과, DIG-ID 수명, MDS 정보 및 온보드 루트 키를 수신하는 단계를 포함한다. 제2 방법은 MDS 정보에 기초하여 UE의 가입 프로비저닝을 호출하는 단계를 포함하며, 여기서 가입 프로비저닝은 온보드 루트 키를 사용하여 보호된다.
다양한 실시예들에서, MDS 정보는 사용자 정보를 포함한다. 특정 실시예들에서, MDS 정보에 기초하여 UE의 가입 프로비저닝을 호출하는 단계는 임시 가입 자격 증명 프로비저닝을 호출하는 단계를 포함한다. 일부 실시예들에서, MDS 정보는 사용자 정보, 가입 구매 정보, 가입 서비스 관련 정보, 가입 유효성 및 가입 프로비저닝을 위한 네트워크 자원(즉, MNO 가입 프로비저닝 관련 URI/URL/주소) 중 적어도 하나를 포함한다. 그러한 실시예들에서, MDS 정보에 기초하여 UE에 대한 가입 프로비저닝을 호출하는 단계는 실제 사용자 가입 프로필 프로비저닝을 호출하는 단계를 포함할 수 있다.
일부 실시예들에서, 제2 방법은 논스를 생성하는 단계 및 온보드 루트 키, 및 논스, PLMN 식별자 및 네트워크 식별자 중 적어도 하나를 사용하여 하나 이상의 보안 키를 도출하는 단계를 포함한다. 그러한 실시예들에서, 제2 방법은 하나의 보안 키를 사용하여 하나 이상의 온보드 보안 키(즉, 온보드 컨테이너를 암호화하고 온보드 컨테이너를 무결성 보호하기 위한 기밀성 키 및 무결성 키)를 도출하는 단계 및 일반 텍스트 또는 보호된 온보딩 컨테이너, 및 UE에 대한 OAI를 생성하는 단계를 더 포함하며, 여기서 온보딩 컨테이너는 도출된 보안 키들 중 적어도 하나를 사용하여 보호된다.
일부 실시예들에서, 제2 방법은 검증된 DIG-ID, 검증 결과, DIG-ID 수명, MDS 정보 및 온보드 루트 키를 모바일 통신 네트워크의 DMF 또는 UDM/UDR에 저장하는 단계를 포함한다. 구체적으로, 데이터는 UDR에 저장될 수 있으며, UDM은 데이터에 대한 액세스를 제공하는 프런트 엔드이다. 여기서, UDM과 UDR은 함께, "UDM/UDR"이라고 지칭되는, 네트워크 기능을 형성한다. 특정 실시예들에서, 제2 방법은 DMF 또는 UDM/UDR로부터 DIG-ID에 대한 기본 가입 자격 증명을 페치하는 단계 및 하나 이상의 온보드 보안 키를 도출하는 단계를 포함한다. 그러한 실시예들에서, 기본 가입 자격 증명 및 하나 이상의 온보드 보안 키는 AMF 및/또는 SEAF인 제2 네트워크 기능에 제공된다.
일부 실시예들에서, 제2 방법은 수신된 온보드 루트 키를 AUSF 키로서 사용하는 단계, 및 프로비저닝 연결을 위해 UE와 보안(즉, NAS 보안, AS 보안 및/또는 사용자 평면 보안)을 셋업하기 위해 하나의 보안 키를 SEAF 키로서 AMF/SEAF에 제공하는 단계를 포함한다. 특정 실시예들에서, 제2 네트워크 기능(즉, AMF/SEAF)은, 보호되지 않은 온보딩 컨테이너에서 기본 가입 자격 증명을 수신하는 것에 응답하여, 수신된 온보드 보안 키로부터 도출되는 암호화 키 및 무결성 키를 사용하여 온보딩 컨테이너에 기밀성 보호 및 무결성 보호를 적용한다. 그러한 실시예들에서, UE의 가입 프로비저닝은 제2 네트워크 기능이 NAS 메시지를 UE에게 송신하는 것을 포함하며, 상기 NAS 메시지는 기밀성 및 무결성 보호되거나, 보호된 온보딩 컨테이너, 온보드 보조 정보, 논스 및 MAC를 포함한다.
일부 실시예들에서, 온보딩 컨테이너는 가입 자격 증명(즉, SUPI), 비밀 장기 키('K'로 표기됨), 인증 및 키 합의("AKA") 자격 증명들, 및 슬라이스 정보(예를 들면, 하나 이상의 S-NSSAI)를 포함한다. 특정 실시예들에서, 가입 자격 증명은 가입 고유 영구 식별자를 포함한다. 더욱이, 온보딩 컨테이너는 네트워크 액세스 정보 및 추가적인 가입 정보를 더 포함할 수 있다.
일부 실시예들에서, 제1 요청은 DIG-ID, 타임스탬프 및 디지털 서명을 포함하는 SUOI를 포함한다. 특정 실시예들에서, SUOI는 DIG-ID 유형, 서비스 제공자 식별자, ID 서비스 제공자 도메인 정보 및 신뢰 서비스 제공자 도메인 정보 중 하나 이상을 더 포함한다. 그러한 실시예들에서, 디지털 서명은 전체 SUOI를 사용하여 생성된다.
특정 실시예들에서, DIG-ID는 공유 비밀 암호화 키를 사용하여 보호된다. 그러한 실시예들에서, SUOI는 SUOI의 MAC, 사용자의 공개 키, 및 ID 서비스 제공자 정보에 의해 식별되는 ID 서비스 제공자 및/또는 신뢰 서비스 제공자 정보에 의해 식별되는 신뢰 서비스 제공자에 대응하는 공개 키 식별자를 더 포함한다.
일부 실시예들에서, 제1 요청은 모바일 통신 네트워크에 대한 인증 절차를 개시하는 인증 요청을 포함한다. 그러한 실시예들에서, 가입 자격 증명들 및/또는 사용자 가입 프로필은 등록 절차 동안 NAS 또는 제어 평면 메시지를 통해 온보드 컨테이너를 사용하여 성공적인 DIG-ID 기반 사용자 인증 및/또는 온보드 루트 키 기반 보안 셋업 이후에 UE에 프로비저닝된다. 여기서, 보안 셋업은 적어도 NAS를 통할 수 있으며, 선택적으로 AS 및 UP를 포함할 수 있다.
다른 실시예들에서, 제1 요청은 온보딩 요청을 포함한다. 그러한 실시예들에서, 가입 자격 증명 및/또는 사용자 가입 프로필은 온보딩 및 프로비저닝 절차 동안 성공적인 DIG-ID 기반 사용자 인증 및/또는 온보드 루트 키 기반 보안 셋업 이후에 온보딩 응답에서 및/또는 사용자 평면 메시지에서 UE에게 프로비저닝된다.
일부 실시예들에서, DIG-ID는 신뢰 서비스 제공자 및/또는 ID 서비스 제공자와 연관된 신뢰할 수 있는 탈중앙화 플랫폼 또는 디지털 식별자 인프라스트럭처에 저장되는 사용자의 검증 가능한 자격 증명들에 링크된 검증 가능한 보안 식별자이다. 예를 들어, DIG-ID는 DID, SSI, 검증 가능한 보안 식별자 및 DOID 중 적어도 하나를 포함한다. 그러한 실시예들에서, DIG-ID는 UE에 대한 온보딩 및 가입 자격 증명 프로비저닝 동안 사용자 인증을 수행하는 데 사용된다. 특정 실시예들에서, DIG-ID는 NAI의 사용자 이름 부분 내에 포함되며, 상기 NAI는 <username@realm> 형태를 갖는다. 그러한 실시예들에서, NAI는 DIG-ID, 및 타임스탬프, 디지털 서명, 키 관련 정보, 신뢰 서비스 제공자 정보 및/또는 아이덴티티 서비스 제공자 정보 중 적어도 하나를 포함할 수 있다.
실시예들은 다른 특정 형태들로 실시될 수 있다. 설명된 실시예들은 모든 점들에서 단지 예시적인 것으로 간주되어야 하고 제한적인 것으로 간주되어서는 안 된다. 따라서, 본 발명의 범위는 전술한 설명에 의해서보다는 첨부된 청구항들에 의해 표시된다. 청구항들의 등가성(equivalency)의 의미 및 범위 내에 있는 모든 변경들은 그들의 범위 내에 포괄되어야 한다.

Claims (20)

  1. UE의 방법으로서,
    디지털 식별자("DIG-ID")를 획득하는 단계 - 상기 디지털 식별자는 검증 가능한 보안 아이덴티티를 포함함 -;
    개인 키를 사용하여 상기 DIG-ID 및 타임스탬프의 디지털 서명을 생성하는 단계;
    제1 요청을 모바일 통신 네트워크에게 송신하는 단계 - 상기 제1 요청은 상기 DIG-ID, 상기 타임스탬프 및 상기 생성된 디지털 서명을 포함함 -;
    온보딩 인증 성공 지시 및 검증된 DIG-ID를 수신하는 단계;
    상기 모바일 통신 네트워크에 대한 프로비저닝 연결을 설정하는 단계; 및
    상기 프로비저닝 연결을 통해 가입 자격 증명 및 사용자 가입 프로필 중 적어도 하나를 수신하는 단계
    를 포함하는, 방법.
  2. 제1항에 있어서,
    상기 제1 요청은 가입 고유 온보딩 ID("SUOI")를 포함하며, 상기 SUOI는 상기 DIG-ID, 상기 타임스탬프 및 상기 디지털 서명을 포함하고, 상기 SUOI는 DIG-ID 유형, 서비스 제공자 식별자, 아이덴티티("ID") 서비스 제공자 도메인 정보 및 신뢰 서비스 제공자 도메인 정보 중 하나 이상을 더 포함하며, 상기 디지털 서명은 상기 SUOI를 사용하여 생성되고,
    상기 DIG-ID가 공유 비밀 암호화 키를 사용하여 보호되는 경우, 상기 SUOI는 SUOI의 메시지 인증 코드("MAC"), 사용자의 공개 키, 및 상기 ID 서비스 제공자 정보에 의해 식별되는 ID 서비스 제공자 및/또는 상기 신뢰 서비스 제공자 정보에 의해 식별되는 신뢰 서비스 제공자에 대응하는 공개 키 식별자를 더 포함하는, 방법.
  3. 제1항에 있어서, 상기 제1 요청은 상기 모바일 통신 네트워크에 대한 등록 절차를 개시하는 등록 요청을 포함하고, 상기 가입 자격 증명 및/또는 사용자 가입 프로필은 상기 등록 절차 동안 성공적인 DIG-ID 기반 사용자 인증 및/또는 온보드 루트 키 기반 보안 셋업 이후에 비액세스 계층("NAS") 또는 제어 평면 메시지를 통해 온보드 컨테이너에서 상기 UE에 의해 수신되는, 방법.
  4. 제1항에 있어서, 상기 제1 요청은 온보딩 요청을 포함하고, 상기 가입 자격 증명 및/또는 사용자 가입 프로필은 온보딩 및 프로비저닝 절차 동안 성공적인 DIG-ID 기반 사용자 인증 및/또는 온보드 루트 키 기반 보안 셋업 이후에 온보딩 응답에서 및/또는 사용자 평면 메시지에서 상기 UE에 의해 수신되는, 방법.
  5. 제1항에 있어서, 상기 디지털 식별자는 탈중앙화 식별자("DID"), 자기 주권 식별자("SSI"), 및 디지털 온보딩 식별자("DOID") 중 적어도 하나를 포함하고, 상기 DIG-ID를 획득하는 단계는 상기 모바일 통신 네트워크와 연관된 가입을 구매하는 단계 및/또는 상기 UE에서 상기 DIG-ID를 생성하는 단계를 포함하는, 방법.
  6. 제1항에 있어서,
    가입 자격 증명들 및/또는 사용자 가입 프로필을 수신하는 단계는 상기 모바일 통신 네트워크에서의 액세스 및 이동성 관리 기능("AMF")으로부터 보호된 온보딩 컨테이너를 수신하는 단계를 포함하고,
    상기 보호된 온보딩 컨테이너는 온보드 루트 키에 기초한 보안 키로부터 도출되는 암호화 키 및 무결성 키를 사용하여 보호되는 비액세스 계층("NAS") 메시지 또는 사용자 평면 메시지 내에서 수신되며,
    상기 NAS 메시지는 온보딩 보조 정보("OAI"), 논스 및 메시지 인증 코드("MAC")를 포함하는, 방법.
  7. 제6항에 있어서,
    공유 비밀 키 및 성공적으로 검증된 DIG-ID를 사용하여 온보드 루트 키를 도출하는 단계;
    상기 온보드 루트 키를 인증 서버 기능("AUSF") 키로서 사용하는 단계;
    상기 온보드 루트 키를 사용하여 그리고 상기 논스, PLMN 식별자 및 네트워크 식별자 중 적어도 하나를 사용하여 적어도 하나의 보안 키를 도출하는 단계;
    상기 하나의 보안 키를 보안 앵커 키로서 사용하여 상기 네트워크와 보안을 셋업하거나, 상기 하나의 보안 키를 사용하여 보호된 온보드 컨테이너를 복호화할 온보드 기밀성 키 및 상기 보호된 온보드 컨테이너를 제공하는 상기 NAS 메시지의 상기 MAC를 검증할 온보드 무결성 키를 도출하는 단계;
    '성공 지시' 및 보안 알고리즘 식별자(들)를 갖는 온보드 결과를 포함하는 상기 OAI에 기초하여 상기 NAS 메시지의 상기 MAC를 검증하는 단계; 및
    상기 MAC를 성공적으로 검증하는 것에 응답하여, 상기 수신된 가입 자격 증명들 및/또는 사용자 가입 프로필을 복호화하여 저장하는 단계
    를 더 포함하는, 방법.
  8. 모바일 통신 네트워크에서의 네트워크 기능의 방법으로서,
    UE의 디지털 식별자("DIG-ID"), 타임스탬프 및 디지털 서명을 포함하는 메시지인 제1 요청을 수신하는 단계 - 상기 디지털 식별자는 검증 가능한 보안 아이덴티티를 포함함 -;
    상기 DIG-ID에 기초하여 신뢰 서비스 제공자를 식별하는 단계;
    검증 요청을 상기 신뢰 서비스 제공자에게 송신하는 단계 - 상기 검증 요청은 상기 DIG-ID, 상기 타임스탬프, 상기 디지털 서명, 최소 데이터 세트 요청 및 보안 키 요청을 포함함 -;
    상기 DIG-ID의 성공적인 검증에 응답하여 상기 서비스 제공자로부터 검증된 DIG-ID, 검증 결과, DIG-ID 수명, 최소 데이터 세트("MDS") 정보 및 상기 온보드 루트 키를 수신하는 단계; 및
    상기 MDS 정보에 기초하여 상기 UE의 가입 프로비저닝을 호출하는 단계 - 상기 가입 프로비저닝은 상기 온보드 루트 키를 사용하여 보호됨 -
    를 포함하는, 방법.
  9. 제8항에 있어서,
    상기 MDS 정보는 적어도 사용자 정보를 포함하고,
    상기 MDS 정보에 기초하여 상기 UE의 가입 프로비저닝을 호출하는 단계는 상기 MDS 정보가 사용자 정보만을 포함하는 것에 응답하여 임시 가입 자격 증명 프로비저닝을 호출하는 단계를 포함하고,
    상기 MDS 정보에 기초하여 상기 UE에 대한 가입 프로비저닝을 호출하는 단계는 상기 MDS 정보가 사용자 정보, 및 가입 구매 정보, 가입 서비스 관련 정보, 가입 유효성 및 가입 프로비저닝을 위한 네트워크 자원 중 하나 이상을 포함하는 것에 응답하여 실제 사용자 가입 프로필 프로비저닝을 호출하는 단계를 포함하는, 방법.
  10. 제8항에 있어서,
    논스를 생성하는 단계;
    상기 온보드 루트 키, 및 상기 논스, PLMN 식별자 및 네트워크 식별자 중 적어도 하나를 사용하여 하나 이상의 보안 키를 도출하는 단계;
    상기 하나의 보안 키를 사용하여 온보드 보안 키들을 도출하는 단계;
    일반 텍스트 또는 보호된 온보딩 컨테이너, 및 상기 UE를 위한 OAI를 생성하는 단계 - 상기 온보딩 컨테이너는 상기 도출된 보안 키들 중 적어도 하나를 사용하여 보호됨 -; 및
    상기 검증된 DIG-ID, 검증 결과, DIG-ID 수명, 상기 MDS 정보, 및 상기 온보드 루트 키를 상기 모바일 통신 네트워크의 데이터 관리 기능("DMF") 또는 통합 데이터 관리 및 통합 데이터 리포지토리("UDM/UDR")에 저장하는 단계
    를 더 포함하는, 방법.
  11. 제10항에 있어서, 상기 DMF 또는 UDM/UDR로부터 상기 DIG-ID에 대한 기본 가입 자격 증명을 페치하고 하나 이상의 온보드 보안 키를 도출하는 단계를 더 포함하며, 상기 기본 가입 자격 증명 및 상기 하나 이상의 온보드 보안 키는 액세스 및 이동성 관리 기능("AMF") 및 보안 앵커 기능("SEAF") 중 하나인 제2 네트워크 기능에 제공되는, 방법.
  12. 제11항에 있어서, 상기 수신된 온보드 루트 키를 인증 서버 기능("AUSF") 키로서 사용하는 단계 및 프로비저닝 연결을 위해 UE와 보안을 셋업하도록 상기 하나의 보안 키를 보안 앵커 키로서 상기 AMF 및/또는 SEAF에 제공하는 단계를 더 포함하는, 방법.
  13. 제10항에 있어서,
    상기 제2 네트워크 기능은, 보호되지 않은 온보딩 컨테이너에서 상기 기본 가입 자격 증명을 수신하는 것에 응답하여, 상기 수신된 온보드 보안 키로부터 도출되는 암호화 키 및 무결성 키를 사용하여 상기 온보딩 컨테이너에 기밀성 보호 및 무결성 보호를 적용하고,
    상기 UE의 상기 가입 프로비저닝은 상기 제2 네트워크 기능이 비액세스 계층("NAS") 메시지를 상기 UE에게 송신하는 것을 포함하며, 상기 NAS 메시지는 기밀성 및 무결성 보호되거나, 상기 보호된 온보딩 컨테이너, 온보드 보조 정보, 논스, 및 메시지 인증 코드("MAC")를 포함하는, 방법.
  14. 제13항에 있어서,
    상기 온보딩 컨테이너는 가입 자격 증명, 비밀 장기 키(K), 인증 및 키 합의("AKA") 자격 증명들, 및 슬라이스 정보를 포함하며,
    상기 가입 자격 증명은 가입 고유 영구 식별자를 포함하고, 상기 온보딩 컨테이너는 네트워크 액세스 정보 및 추가적인 가입 정보를 더 포함하는, 방법.
  15. 제8항에 있어서, 상기 제1 요청은 가입 고유 온보딩 ID("SUOI")를 포함하며, 상기 SUOI는 상기 DIG-ID, 상기 타임스탬프 및 상기 디지털 서명을 포함하고, 상기 SUOI는 DIG-ID 유형, 서비스 제공자 식별자, 아이덴티티("ID") 서비스 제공자 도메인 정보 및 신뢰 서비스 제공자 도메인 정보 중 하나 이상을 더 포함하며, 상기 디지털 서명은 상기 SUOI를 사용하여 생성되는, 방법.
  16. 제15항에 있어서, 상기 DIG-ID가 공유 비밀 암호화 키를 사용하여 보호되는 경우, 상기 SUOI는 SUOI의 메시지 인증 코드("MAC"), 사용자의 공개 키, 및 상기 ID 서비스 제공자 정보에 의해 식별되는 ID 서비스 제공자 및/또는 상기 신뢰 서비스 제공자 정보에 의해 식별되는 신뢰 서비스 제공자에 대응하는 공개 키 식별자를 더 포함하는, 방법.
  17. 제8항에 있어서, 상기 제1 요청은 상기 모바일 통신 네트워크에 대한 인증 절차를 개시하는 인증 요청을 포함하고, 상기 가입 자격 증명들 및/또는 사용자 가입 프로필은 등록 절차 동안 비액세스 계층("NAS") 또는 제어 평면 메시지를 통해 온보드 컨테이너에서 성공적인 DIG-ID 기반 사용자 인증 및/또는 온보드 루트 키 기반 보안 셋업 이후에 상기 UE에 프로비저닝되는, 방법.
  18. 제8항에 있어서, 상기 제1 요청은 온보딩 요청을 포함하고, 가입 자격 증명 및/또는 사용자 가입 프로필은 온보딩 및 프로비저닝 절차 동안 온보딩 응답에서 및/또는 사용자 평면 메시지에서 상기 UE에게 프로비저닝되는, 방법.
  19. 제8항에 있어서,
    상기 DIG-ID는 상기 신뢰 서비스 제공자 및/또는 ID 서비스 제공자와 연관된 신뢰할 수 있는 탈중앙화 플랫폼 또는 디지털 식별자 인프라스트럭처에 저장되는 상기 사용자의 검증 가능한 자격 증명들에 링크된 검증 가능한 보안 식별자이고,
    상기 DIG-ID는 탈중앙화 식별자("DID"), 자기 주권 식별자("SSI"), 검증 가능한 보안 식별자, 및 디지털 온보딩 식별자("DOID") 중 적어도 하나를 포함하며,
    상기 DIG-ID는 상기 UE에 대한 온보딩 및 가입 자격 증명들 프로비저닝 동안 사용자 인증을 수행하는 데 사용되는, 방법.
  20. 제19항에 있어서, 상기 DIG-ID는 네트워크 액세스 식별자("NAI")의 사용자 이름 부분 내에 포함되며, 상기 NAI는 상기 DIG-ID, 및 타임스탬프, 디지털 서명, 키 관련 정보, 신뢰 서비스 제공자 정보 및/또는 아이덴티티 서비스 제공자 정보 중 적어도 하나를 포함하고, 상기 NAI는 <username@realm> 형태를 갖는, 방법.
KR1020237015387A 2020-11-06 2020-11-06 검증된 디지털 아이덴티티를 사용한 가입 온보딩 KR20230101818A (ko)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/EP2020/081375 WO2022096126A1 (en) 2020-11-06 2020-11-06 Subscription onboarding using a verified digital identity

Publications (1)

Publication Number Publication Date
KR20230101818A true KR20230101818A (ko) 2023-07-06

Family

ID=73288572

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020237015387A KR20230101818A (ko) 2020-11-06 2020-11-06 검증된 디지털 아이덴티티를 사용한 가입 온보딩

Country Status (5)

Country Link
US (1) US20230413060A1 (ko)
EP (1) EP4241479A1 (ko)
KR (1) KR20230101818A (ko)
CN (1) CN116391378A (ko)
WO (1) WO2022096126A1 (ko)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023217398A1 (en) * 2022-05-13 2023-11-16 Lenovo (Singapore) Pte. Ltd Method to enable adaptable operation and service provision of a mobile network
CN115174146B (zh) * 2022-06-02 2024-02-23 浙江毫微米科技有限公司 基于分布式身份的通信方法及装置
US20240029061A1 (en) * 2022-07-25 2024-01-25 AVAST Software s.r.o. Systems and methods for transacting over a network
WO2024054491A1 (en) * 2022-09-06 2024-03-14 Apple Inc. Cellular onboarding using a short range communication connection
WO2024062374A1 (en) * 2022-09-21 2024-03-28 Lenovo (Singapore) Pte. Ltd. Digital identity management

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150032655A1 (en) * 2013-07-23 2015-01-29 Bare Said Facilitating Introductions During The Onboarding Process Using A Mobile Device
WO2020139513A1 (en) * 2018-12-28 2020-07-02 Apple Inc. Providing verified claims of user identity
US10743176B1 (en) * 2019-04-05 2020-08-11 Verizon Patent And Licensing, Inc. Secure onboarding of a device having an embedded universal integrated circuit card without a preloaded provisioning profile

Also Published As

Publication number Publication date
US20230413060A1 (en) 2023-12-21
WO2022096126A1 (en) 2022-05-12
EP4241479A1 (en) 2023-09-13
CN116391378A (zh) 2023-07-04

Similar Documents

Publication Publication Date Title
EP3704885B1 (en) User authentication using connection information provided by a blockchain network
KR101684753B1 (ko) 신뢰적인 연합 아이덴티티를 위한 방법 및 장치
KR102535674B1 (ko) 블록체인 결제들을 이용한 네트워크 액세스의 제공
US20230413060A1 (en) Subscription onboarding using a verified digital identity
KR100959315B1 (ko) Gaa를 위한 일반 키-결정 메커니즘
EP3834449A1 (en) Network function authentication based on public key binding in access token in a communication system
US9668139B2 (en) Secure negotiation of authentication capabilities
WO2020053481A1 (en) Network function authentication using a digitally signed service request in a communication system
CN113491142B (zh) 使用公钥加密网络切片凭证
US20230247423A1 (en) Supporting remote unit reauthentication
US20230224704A1 (en) Using a pseudonym for access authentication over non-3gpp access
US20240022908A1 (en) Authentication using a digital identifier for ue access
CN115943652A (zh) 使用隐藏标识的移动网络认证
US20230108626A1 (en) Ue challenge to a network before authentication procedure
WO2024049335A1 (en) Two factor authentication
WO2023175461A1 (en) Establishing an application session corresponding to a pin element

Legal Events

Date Code Title Description
A201 Request for examination