KR20230125262A - 로밍 시나리오에서 akma 서비스를 활성화하는 방법및 시스템 - Google Patents

로밍 시나리오에서 akma 서비스를 활성화하는 방법및 시스템 Download PDF

Info

Publication number
KR20230125262A
KR20230125262A KR1020237025244A KR20237025244A KR20230125262A KR 20230125262 A KR20230125262 A KR 20230125262A KR 1020237025244 A KR1020237025244 A KR 1020237025244A KR 20237025244 A KR20237025244 A KR 20237025244A KR 20230125262 A KR20230125262 A KR 20230125262A
Authority
KR
South Korea
Prior art keywords
akma
vaanf
key
service
haanf
Prior art date
Application number
KR1020237025244A
Other languages
English (en)
Inventor
바리니 굽타
라자벨사미 라자듀라이
니베디야 파람바스 사시
랄리스 쿠마르
나렌드라나트 두르가 타구두
라젠드란 로히니
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Publication of KR20230125262A publication Critical patent/KR20230125262A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/08Mobility data transfer
    • H04W8/12Mobility data transfer between location registers or mobility servers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
    • H04W60/04Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration using triggered events
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0033Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
    • H04W36/0038Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Databases & Information Systems (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 개시는 4G 시스템 이후 보다 높은 데이터 전송률을 지원하기 위한 5G 통신 시스템을 IoT 기술과 융합하는 통신 기법 및 그 시스템에 관한 것이다. 본 개시는 5G 통신 기술 및 IoT 관련 기술을 기반으로 지능형 서비스 (예를 들어, 스마트 홈, 스마트 빌딩, 스마트 시티, 스마트 카 혹은 커넥티드 카, 헬스 케어, 디지털 교육, 소매업, 보안 및 안전 관련 서비스 등)에 적용될 수 있다. 본 명세서의 실시예는 사용자 장치의 로밍 모드에서 인증 및 키 관리 애플리케이션(AKMA) 서비스를 가능하게 하는 방법을 제공하며, 이 방법은 네트워크 엔티티가 무선 네트워크로 UE의 1차 인증을 수행한 후 AKMA 서비스와 연관된 적어도 하나의 키를 생성하는 단계; 네트워크 엔티티가 AKMA 서비스와 연관된 적어도 하나의 키를 방문 AKMA 앵커 기능(vAAnF)과 공유할지를 결정하는 단계; 및 네트워크 엔티티가 적어도 하나의 키가 AKMA 서비스를 가능하게 하기 위해 vAAnF와 공유된다는 결정에 응답하여 AKMA 서비스와 연관된 적어도 하나의 키를 vAAnF와 공유하는 단계를 포함한다.

Description

로밍 시나리오에서 AKMA 서비스를 활성화하는 방법 및 시스템
본 발명은 통신 시스템에 관한 것으로, 보다 상세하게는 로밍 시나리오에서 애플리케이션(AKMA) 서비스에 대한 인증 및 키 관리를 가능하게 하는 방법 및 시스템에 관한 것이다.
4G 통신 시스템 상용화 이후 증가 추세에 있는 무선 데이터 트래픽 수요를 충족시키기 위해, 개선된 5G 통신 시스템 또는 pre-5G 통신 시스템을 개발하기 위한 노력이 이루어지고 있다. 이러한 이유로, 5G 통신 시스템 또는 pre-5G 통신 시스템은 4G 네트워크 이후 (Beyond 4G Network) 통신 시스템 또는 LTE 시스템 이후 (Post LTE) 시스템이라 불리어지고 있다. 높은 데이터 전송률을 달성하기 위해, 5G 통신 시스템은 초고주파(mmWave) 대역 (예를 들어, 60기가(60GHz) 대역과 같은)에서의 구현이 고려되고 있다. 초고주파 대역에서의 전파의 경로손실 완화 및 전파의 전달 거리를 증가시키기 위해, 5G 통신 시스템에서는 빔포밍(beamforming), 거대 배열 다중 입출력(massive MIMO), 전차원 다중입출력(Full Dimensional MIMO: FD-MIMO), 어레이 안테나(array antenna), 아날로그 빔형성(analog beam-forming), 및 대규모 안테나 (large scale antenna) 기술들이 논의되고 있다. 또한 시스템의 네트워크 개선을 위해, 5G 통신 시스템에서는 진화된 소형 셀, 개선된 소형 셀 (advanced small cell), 클라우드 무선 액세스 네트워크 (cloud radio access network: cloud RAN), 초고밀도 네트워크 (ultra-dense network), 기기 간 통신 (Device to Device communication: D2D), 무선 백홀 (wireless backhaul), 이동 네트워크 (moving network), 협력 통신 (cooperative communication), CoMP (Coordinated Multi-Points), 및 수신 간섭제거 (interference cancellation) 등의 기술 개발이 이루어지고 있다. 이 밖에도, 5G 시스템에서는 진보된 코딩 변조(Advanced Coding Modulation: ACM) 방식인 FQAM (Hybrid FSK and QAM Modulation) 및 SWSC (Sliding Window Superposition Coding)과, 진보된 접속 기술인 FBMC(Filter Bank Multi Carrier), NOMA(non orthogonal multiple access), 및SCMA(sparse code multiple access) 등이 개발되고 있다.
한편, 인터넷은 인간이 정보를 생성하고 소비하는 인간 중심의 연결 망에서, 사물 등 분산된 구성 요소들 간에 정보를 주고 받아 처리하는 IoT(Internet of Things, 사물인터넷) 망으로 진화하고 있다. 클라우드 서버 등과의 연결을 통한 빅데이터(Big data) 처리 기술 등이 IoT 기술에 결합된 IoE (Internet of Everything) 기술도 대두되고 있다. IoT를 구현하기 위해서, 센싱 기술, 유무선 통신 및 네트워크 인프라, 서비스 인터페이스 기술, 및 보안 기술과 같은 기술 요소 들이 요구되어, 최근에는 사물간의 연결을 위한 센서 네트워크(sensor network), 사물 통신(Machine to Machine, M2M), MTC(Machine Type Communication)등의 기술이 연구되고 있다. IoT 환경에서는 연결된 사물들에서 생성된 데이터를 수집, 분석하여 인간의 삶에 새로운 가치를 창출하는 지능형 IT(Internet Technology) 서비스가 제공될 수 있다. IoT는 기존의 IT(information technology)기술과 다양한 산업 간의 융합 및 복합을 통하여 스마트홈, 스마트 빌딩, 스마트 시티, 스마트 카 혹은 커넥티드 카, 스마트 그리드, 헬스 케어, 스마트 가전, 첨단의료서비스 등의 분야에 응용될 수 있다.
이에, 5G 통신 시스템을 IoT 망에 적용하기 위한 다양한 시도들이 이루어지고 있다. 예를 들어, 센서 네트워크(sensor network), 사물 통신(Machine to Machine, M2M), MTC(Machine Type Communication)등의 기술이 5G 통신 기술인 빔 포밍, MIMO, 및 어레이 안테나 등의 기법에 의해 구현되고 있는 것이다. 앞서 설명한 빅데이터 처리 기술로써 클라우드 무선 액세스 네트워크(cloud RAN)가 적용되는 것도 5G 기술과 IoT 기술 융합의 일 예라고 할 수 있을 것이다.
일반적으로, 3GPP(3rd Generation Partnership Project)는 Release-17에서 AKMA 특징을 명시하여 제3자(3rd party) 애플리케이션이 3GPP 자격 증명을 사용하여 사용자 장치(user equipment; UE)와 애플리케이션 서버 간의 통신을 보호할 수 있도록 한다.
도 1은 선행 기술에 따라 3GPP 네트워크 기능 간의 AKMA 키 생성 및 분배 의 표현을 예시하는 시그널링 다이어그램이다.
도 1을 참조하면, 사용자(USIM)의 성공적인 1차 인증 후, USIM을 호스팅하는 AUSF 및 모바일 장치(mobile equipment; ME)가 KAUSF로부터 KAKMA 및 A-KID를 도출하는 종래의 방법 및 시스템을 고려한다. AUSF는 A-KID, KAKMA 및 SUPI를 AAnF에 등록한다.
KAF는 UE에 미리 설정될 수 있는 KAKMA 및 애플리케이션 기능(application function; AF) 아이덴티티(예를 들어, FQDN)로부터 ME에서 생성된다. 네트워크 측에서, KAF는 AF로부터의 요청에 따라 AAnF에서 유사하게 생성되며, AF는 아이덴티티(예를 들어, FQDN) 및 A-KID를 AAnF에 제공한다. AF는 Ua* 시그널링 연결을 통해 UE로부터 A-KID를 수신한다. AF는 제3자 애플리케이션을 위한 앵커(anchor)이고, (AF가 오퍼레이터 자신에 의해 호스팅되는 경우) 직접적으로 또는 네트워크 노출 기능(network exposure function; NEF)을 통해 간접적으로 3GPP 코어(AAnF)와 인터페이스한다.
AKMA 서비스의 언급된 기능은 현재 사용자의 "홈 네트워크"로 제한되며, 사용자가 로밍할 때 비활성화된다.
따라서, 상술한 단점 또는 다른 결점을 해결하거나 적어도 유용한 대안을 제공하는 것이 바람직히다.
본 명세서의 실시예의 주된 목적은 무선 네트워크에서 로밍 시 AKMA(authentication and key management for application) 서비스를 가능하게 하는 방법 및 시스템을 제공하는 것이다.
따라서, 본 명세서의 실시예는 무선 네트워크에서 로밍 시 AKMA(authentication and key management for application) 서비스를 위한 방법 및 시스템을 제공하는 것이다. 제공된 방법은 푸시 메커니즘(push mechanism), 예를 들어 알림(notification)을 통해 홈 네트워크의 엔티티가 방문 네트워크의 AKMA 앵커 기능과 AKMA 키 자료(AKMA 애플리케이션 키 및/또는 AKMA 앵커 키)를 공유하는 것을 설명한다. 또한, 제공된 방법은 홈 네트워크의 엔티티로부터 풀 메커니즘(pull mechanism)을 통해 방문 네트워크의 AKMA 앵커 기능이 AKMA 키 자료(AKMA 애플리케이션 키 및/또는 AKMA 앵커 키)를 검색하는 것을 설명한다.
본 명세서의 실시예의 이러한 및 다른 양태는 다음의 설명 및 첨부된 도면과 함께 고려될 때 더 잘 인식되고 이해될 것이다. 그러나, 다음의 설명은, 적어도 하나의 실시예 및 이의 수많은 특정 상세 사항을 나타내지만, 제한이 아니라 예시로서 제공된다는 것이 이해되어야 한다. 본 명세서의 실시예의 사상을 벗어나지 않고 본 명세서의 실시예의 범위 내에서 많은 변경 및 수정이 이루어질 수 있으며, 본 명세서의 실시예는 이러한 모든 수정을 포함한다.
아래의 상세한 설명을 착수하기 전에, 본 특허 문서의 전체에 걸쳐 사용된 특정 단어 및 문구를 정의하는 것이 유리할 수 있다: "포함한다(include)" 및 "구성한다(comprise)"이라는 용어뿐만 아니라 이의 파생어는 제한 없이 포함(inclusion)을 의미하고; "또는"이라는 용어는 포괄적이며, 및/또는(and/or)을 의미하며; "~와 관련된(associated with)"이라는 용어뿐만 아니라 이의 파생어는, "~를 포함하고(include)", "~내에 포함되고(included within)", "~와 상호 연결하고(interconnect with)", "~을 함유하고(contain)", "~내에 함유되고(be contained within)", "~에 또는, ~와 연결하고(connect to or with)", "~에 또는, ~와 결합하고(couple to or with)", "~와 통신 가능하고(be communicable with)", "~와 협력하고(cooperate with)", "~를 인터리브하고(interleave)", "~와 병치하고(juxtapose)", "~에 가까이 있고(be proximate to)", "~에 또는, ~와 묶이고(be bound to or with)", "가지고(have)", "소유하고 있고(have a property of)" 등인 것을 의미하며; "제어부"라는 용어는 적어도 하나의 동작을 제어하는 임의의 디바이스, 시스템 또는 이의 일부를 의미하며, 이러한 장치는 하드웨어, 펌웨어 또는 소프트웨어, 또는 이들 중 적어도 둘의 일부 조합으로 구현될 수 있다. 임의의 특정 제어부와 관련된 기능은 로컬로든 원격으로든 중앙 집중화되거나 분산될 수 있다는 것이 주목되어야 한다.
더욱이, 아래에서 설명되는 다양한 기능은 하나 이상의 컴퓨터 프로그램에 의해 구현되거나 지원될 수 있으며, 각각의 컴퓨터 프로그램은 컴퓨터 판독 가능 프로그램 코드(computer readable program code)로부터 형성되고, 컴퓨터 판독 가능 매체(computer readable medium)에서 구현된다. "애플리케이션" 및 "프로그램"이라는 용어는 적절한 컴퓨터 판독 가능 프로그램 코드에서 구현을 위해 적응된 하나 이상의 컴퓨터 프로그램, 소프트웨어 구성 요소(software components), 명령어 세트(sets of instructions), 절차, 기능, 객체(object), 클래스, 인스턴스(instance), 관련된 데이터 또는 이의 일부를 지칭한다. 문구 "컴퓨터 판독 가능 프로그램 코드"는 소스 코드(source code), 객체 코드(object code) 및 실행 가능 코드(executable code)를 포함하는 임의의 Type의 컴퓨터 코드를 포함한다. 문구 "컴퓨터 판독 가능 매체"는 판독 전용 메모리(read only memory; ROM), 랜덤 액세스 메모리(random access memory; RAM), 하드 디스크 드라이브, 콤팩트 디스크(compact disc; CD), 디지털 비디오 디스크(digital video disc; DVD), 또는 임의의 다른 Type의 메모리와 같이 컴퓨터에 의해 액세스될 수 있는 임의의 Type의 매체를 포함한다. "비일시적(non-transitory)" 컴퓨터 판독 가능 매체는 일시적 전기적 또는 다른 신호를 송신하는 유선, 무선, 광학 또는 다른 통신 링크를 배제한다. 비일시적 컴퓨터 판독 가능 매체는 데이터가 영구적으로 저장될 수 있는 매체, 및 재기록 가능 광 디스크 또는 소거 가능 메모리 디바이스와 같이 데이터가 저장되고 나중에 중복 기록(overwriting)될 수 있는 매체를 포함한다.
특정 단어 및 문구에 대한 정의는 본 특허 문서 전체에 걸쳐 제공된다. 통상의 기술자는 대부분의 경우는 아니지만 이러한 정의가 이러한 정의된 단어 및 문구의 이전 및 이후의 사용에 적용된다는 것을 이해해야 한다.
따라서, 실시예는 무선 네트워크에서 로밍 시 AKMA(authentication and key management for application) 서비스를 위한 방법 및 시스템을 제공하는 것이다.
이 방법은 첨부된 도면에 예시되어 있으며, 동일한 참조 문자는 다양한 도면에서 상응하는 부분을 나타낸다. 본 명세서의 실시예는 도면을 참조하여 다음의 설명으로부터 더 잘 이해될 것이다.
도 1은 선행 기술에 따라 3GPP 네트워크 기능 간의 AKMA 키 생성 및 분배의 표현을 예시하는 시그널링 다이어그램이다.
도 2a는 본 명세서에 개시된 실시예에 따라 UE의 로밍 모드에서 AKMA 서비스를 가능하게 하기 위한 UE의 블록도를 도시한다.
도 2b는 본 명세서에 개시된 실시예에 따라 UE의 로밍 모드에서 AKMA 서비스를 가능하게 하기 위한 AUSF의 블록도를 도시한다.
도 2c는 본 명세서에 개시된 실시예에 따라 UE의 로밍 모드에서 AKMA 서비스를 가능하게 하기 위한 hAAnF 서버의 블록도를 도시한다.
도 2d는 본 명세서에 개시된 실시예에 따라 UE의 로밍 모드에서 AKMA 서비스를 가능하게 하기 위한 hAAnF 서버의 블록도를 도시한다.
도 3은 본 명세서에 개시된 실시예에 따라 홈 네트워크의 AAnF에 의해 방문 네트워크의 AAnF에 제공된 AKMA 애플리케이션 키 알림을 예시하는 시그널링 다이어그램이다.
도 4는 본 명세서에 개시된 실시예에 따라 홈 네트워크의 AAnF에 의해 방문 네트워크의 AAnF에 제공된 AKMA 앵커 키 알림을 예시하는 시그널링 다이어그램이다.
도 5는 본 명세서에 개시된 실시예에 따라 홈 네트워크의 AUSF에 의해 방문 네트워크의 AAnF에 제공된 AKMA 앵커 키 등록을 예시하는 시그널링 다이어그램이다.
도 6은 본 명세서에 개시된 실시예에 따라, 홈 네트워크의 AAnF로부터, 방문 네트워크의 AAnF에 의해 제공된 AKMA 앵커 키 또는 AKMA 애플리케이션 키 검색을 예시하는 시그널링 다이어그램이다.
도 7은 본 명세서에 개시된 실시예에 따라, 홈 네트워크의 AUSF로부터, 방문 네트워크의 AAnF에 의해 제공된 AKMA 앵커 키 검색을 예시하는 시그널링 다이어그램이다.
도 8은 본 명세서에 개시된 실시예에 따라 홈 네트워크의 AAnF에 의해 서빙 네트워크의 AMF에 제공된 AKMA 애플리케이션 키 알림을 예시하는 시그널링 다이어그램이다.
도 9는 본 명세서에 개시된 실시예에 따라 홈 네트워크의 AUSF에 의해 vAAnF 및 hAAnF에 제공되는 암호학적으로 별개의 AKMA 앵커 키 알림을 예시하는 시그널링 다이어그램이다.
아래에서 논의되는 도 1 내지 도 9, 및 본 특허 문서에서 본 개시의 원리를 설명하기 위해 사용된 다양한 실시예는 예시만을 위한 것이고, 어떤 식으로든 본 개시의 범위를 제한하는 것으로 해석되지 않아야 한다. 통상의 기술자는 본 개시의 원리가 적절히 배치된 임의의 시스템 또는 장치에서 구현될 수 있다는 것을 이해할 수 있다.
본 명세서의 실시예 및 이의 다양한 특징 및 유리한 상세 사항은 첨부된 도면에 예시되고 다음의 설명에서 상세히 설명되는 비제한적 실시예를 참조하여 보다 충분하게 설명된다. 본 명세서에서의 실시예를 불필요하게 모호하게 하지 않기 위해 잘 알려진 구성 요소 및 처리 기술에 대한 설명은 생략된다. 또한, 본 명세서에 설명된 다양한 실시예는 일부 실시예가 하나 이상의 다른 실시예와 조합되어 새로운 실시예를 형성할 수 있기 때문에 반드시 상호 배타적인 것은 아니다. 본 명세서에서 사용된 바와 같은 "또는(or)"이라는 용어는 달리 나타내지 않는 한 비배타적임을 지칭한다. 본 명세서에서 사용된 예는 본 명세서의 실시예가 실시될 수 있는 방식의 이해를 용이하게 하고 통상의 기술자가 본 명세서의 실시예를 실시할 수 있도록 하기 위한 것일 뿐이다. 따라서, 예는 본 명세서의 실시예의 범위를 제한하는 것으로서 해석되지 않아야 한다.
본 분야에서는 통상적인 바와 같이, 실시예는 설명된 기능을 수행하는 블록의 관점에서 설명되고 예시될 수 있다. 본 명세서에서 관리자, 유닛, 모듈, 하드웨어 구성 요소 등으로서 지칭될 수 있는 이러한 블록은 논리 게이트, 집적 회로, 마이크로프로세서, 마이크로 제어부, 메모리 회로, 수동 전자 구성 요소, 능동 전자 구성 요소, 광학 구성 요소, 하드와이어 회로 등과 같은 아날로그 및/또는 디지털 회로에 의해 물리적으로 구현될 수 있고, 선택적으로 펌웨어에 의해 구동될 수 있다. 회로는 하나 이상의 반도체 칩 또는 인쇄 회로 기판(printed circuit board; PCB) 등과 같은 기판 지지대에서 구현될 수 있다. 블록을 구성하는 회로는 전용 하드웨어 또는 프로세서(예를 들어, 하나 이상의 프로그래밍된 마이크로프로세서 및 연관된 회로), 또는 블록의 일부 기능을 수행하기 위한 전용 하드웨어와 블록의 다른 기능을 수행하기 위한 프로세서의 조합에 의해 구현될 수 있다. 실시예의 각각의 블록은 본 개시의 범위으로부터 벗어나지 않고 둘 이상의 상호 작용 및 이산 블록으로 물리적으로 분리될 수 있다. 마찬가지로, 실시예의 블록은 본 개시의 범위로부터 벗어나지 않고 더 복잡한 블록으로 물리적으로 조합될 수 있다.
다음은 본 설명에 사용된 약어이다.
AMF - access and mobility management function;
UE - 사용자 장치;
UDM - 통합 데이터 관리;
NRF - 네트워크 저장소 기능;
3GPP - 3rd generation partnership project;
ME - 모바일 장치;
AKMA - authentication and key management for applications;
AUSF - 인증 서버 기능;
AAnF - AKMA 앵커 기능;
USIM - 범용 가입자 아이덴티티 모듈;
SUPI - 가입 영구 식별자;
AF - 애플리케이션 기능;
URL - 균일한 자원 로케이터;
HTTP - 하이퍼텍스트 송신 프로토콜;
PLMN - 공공 육상 모바일 네트워크;
H-PLMN - 가정-공공 육상 모바일 네트워크;
V-PLMN - 방문 공중 육상 모바일 네트워크;
A- KID - AKMA 키 식별자;
KAKMA - AKMA 앵커 키;
KAF - AKMA 애플리케이션 키;
NEF - 네트워크 노출 기능;
LI - 합법적 감청;
SN - 서빙 네트워크;
HN - 홈 네트워크; 및
로밍 모드 - UE는 UE의 홈 네트워크와 상이한 네트워크에 있다.
AKMA는 대부분의 경우 서빙 PLMN에서 암호화(예를 들어, 통신 보호(암호화 및/또는 무결성 보호)를 위해 KAUSF로부터 추가 키의 도출)를 위해 사용될 수 있는 보안 키를 KAUSF로부터 도출한다. 이는 사용자가 로밍 중일 때 home-PLMN으로 암호화된 터널을 설정할 수도 있음을 의미한다. 즉, 사용자는 V-PLMN 외부의 서버에 연결할 수 있고, 사용자의 H-PLMN과 협상된 키를 사용하여 서버와 통신할 수 있으며, V-PLMN은 사용자가 통신을 보호하는 데 사용된 키를 갖고 있지 않기 때문에 이 통신을 이해할 수단이 없을 수 있다.
이렇게 하면 필요에 따라 VPLMN에서 합법적 감청(lawful interception; L1)이 발생하지 않는다. MNO가 설정에 관여한 암호화의 경우, 암호화된 트래픽을 제공하거나 법 집행 기관이 트래픽을 해독할 수 있는 수단을 제공해야 하는 LI 요구 사항이 있다. 이 요구 사항은 암호화를 위한 주요 자료의 설정 및 배포하는 데 MNO가 관여하는 AKMA와 같은 메커니즘에 적용된다.
부가적으로, 로밍할 때, LI는 HPLMN으로부터의 명시적 지원 없이 수행할 수 있어야 하며, 즉, HPLMN은 HPLMN의 로밍 가입자가 VPLMN의 LI 대상(target)임을 알지 못할 수 있다. 상술한 LI 요구 사항으로 인해, AKMA는 현재 H-PLMN 전용 기능으로서 제한되었다. 즉, AKMA 기능은 사용자가 로밍할 때 사용할 수 없다.
본 개시의 방법은 사용자가 로밍할 때 AKMA 기능이 지원될 수 있는 다수의 방법을 제공한다.
따라서, 본 명세서의 실시예는 무선 네트워크에서 로밍 시 AKMA(authentication and key management for application) 서비스 방법 및 시스템을 제공하는 것이다. 제공된 방법은 알림을 통해 홈 네트워크의 엔티티가 방문 네트워크의 AKMA 앵커 기능과 AKMA 키 자료(AKMA 애플리케이션 키 및/또는 AKMA 앵커 키)를 공유하는 것을 설명한다. 또한, 본 개시의 방법은 홈 네트워크의 엔티티로부터 방문 네트워크의 AKMA 앵커 기능이 AKMA 키 자료(AKMA 애플리케이션 키 및/또는 AKMA 앵커 키)를 검색하는 것을 제공한다.
일 실시예에서, 홈 네트워크(HN)에 의해 제공되는 설정(지역 규제 요구 사항/정책을 고려한 설정)에 기초하여, UE는 홈 PLMN 또는 서빙 PLMN의 MNC 및 MCC를 사용하여 A-KID를 구성한다. 그런 다음, UE로부터 수신된 A-KID를 기반으로, AF는 방문 네트워크 또는 홈 네트워크에서 AAnF를 검색한다(discover).
일 실시예에서, 서빙 네트워크(SN)에 의해 제공되는 설정(지역 규제 요구 사항/정책을 고려한 설정)에 기초하여, UE는 홈 PLMN 또는 서빙 PLMN의 MNC 및 MCC를 사용하여 A-KID를 구성한다. 그런 다음, UE로부터 수신된 A-KID를 기반으로, AF는 방문 네트워크 또는 홈 네트워크에서 AAnF를 검색한다.
일 실시예에서, 버티컬(vertical)(예를 들어, 에지 설정 서버)에 의해 제공되는 설정(지역 규제 요구 사항/정책을 고려한 설정)에 기초하여, UE는 홈 PLMN 또는 서빙 PLMN의 MNC 및 MCC를 사용하여 A-KID를 구성한다. 그런 다음, UE로부터 수신된 A-KID를 기반으로, AF는 방문 네트워크 또는 홈 네트워크에서 AAnF를 검색한다.
일 실시예에서, UE는 HPLMN 및 서빙 PLMN 상세 사항 모두의 상세 사항을 AF에 제공한다. 일 실시예에서, AF는 vAAnF를 검색하기 위해 서빙 PLMN의 PLMN ID를 사용하고, vAAnF는 hAAnF를 검색하기 위해 HPLMN의 PLMN-ID를 사용한다.
설명 전반에 걸쳐, 하나의 솔루션에 제공된 실시예는 로밍에서 AKMA를 지원하기 위한 최종 솔루션에 도달하기 위해 다른 솔루션에 제공된 실시예와 함께 사용될 수 있다.
이제 도면, 특히 도 2a 내지 9를 참조하면, 바람직한 실시예가 도시되어 있다.
도 2a는 본 명세서에 개시된 실시예에 따라 UE(100)가 무선 네트워크에서 로밍 모드에 있는 동안 AKMA(authentication and key management for application) 서비스를 가능하게 하는 사용자 장치(UE)(100)의 블록도를 도시한다.
UE(100)의 예는 스마트폰, 태블릿 컴퓨터, PDA(Personal Digital Assistance), IoT(Internet of Things) 장치, 웨어러블 장치 등을 포함하지만, 이에 제한되지 않는다. 또한, UE(100)는 애플리케이션 엔티티(101), AKMA 엔티티(102) 및 NAS 엔티티(103)(도 2a에 도시되지 않음)를 포함한다.
일 실시예에서, UE(100)를 사용하는 사용자는 홈 네트워크로부터 로밍 네트워크로 이동하며, 서비스를 소비하기 위해 애플리케이션 기능(AF)과 통신하기를 원한다.
일 실시예에서, UE(100)는 메모리(110), 프로세서(120), 커뮤니케이터(130) 및 AKMA 제어부(140)를 포함한다.
일 실시예에서, 메모리(110)는 AKMA 앵커(AKMA anchor; KAKMA) 키와 KAKMA의 수명(lifetime) 및 AKMA 키 식별자(AKMA key identifier; A-KID)와 AKMA 애플리케이션 키(KAF), 및 KAF의 수명을 저장하도록 설정된다. 메모리(110)는 프로세서(120)에 의해 실행될 명령어를 저장한다. 메모리(110)는 비휘발성 저장 요소를 포함할 수 있다. 이러한 비휘발성 저장 요소의 예는 자기 하드 디스크, 광 디스크, 플로피 디스크, 플래시 메모리, 또는 EPROM(electrically programmable memory) 또는 EEPROM(electrically erasable and programmable) 메모리의 형태를 포함할 수 있다. 또한, 메모리(110)는 일부 예에서 비일시적 저장 매체로서 간주될 수 있다. "비일시적(non-transitory)"이라는 용어는 저장 매체가 반송파 또는 전파 신호로 구현되지 않음을 나타낼 수 있다. 그러나, "비일시적"이라는 용어는 메모리(110)가 이동 가능하지 않은 것으로 해석되지 않아야 한다. 일부 예에서, 메모리(110)는 메모리보다 많은 양의 정보를 저장하도록 설정될 수 있다. 특정 예에서, 비일시적 저장 매체는 시간이 지남에 따라 (예를 들어, RAM(Random Access Memory) 또는 캐시에서) 변경될 수 있는 데이터를 저장할 수 있다. 메모리(110)는 내부 저장 유닛일 수 있거나 메모리는 UE(100)의 외부 저장 유닛, 클라우드 저장소(cloud storage) 또는 임의의 다른 타입의 외부 저장소일 수 있다.
프로세서(120)는 메모리(110), 커뮤니케이터(130) 및 AKMA 제어부(140)와 통신한다. 프로세서(120)는 메모리(110)에 저장된 명령어를 실행하고 다양한 프로세스를 수행하도록 설정된다. 프로세서(120)는 하나 또는 복수의 프로세서를 포함할 수 있으며, CPU(Central Processing Unit), AP(Application Processor) 등과 같은 범용 프로세서, GPU(Graphics Processing Unit), VPU(Visual Processing Unit), 및/또는 NPU(Neural Processing Unit)와 같은 AI(Artificial Intelligence) 전용 프로세서일 수 있다.
커뮤니케이터(130)는 하나 이상의 네트워크(예를 들어, 무선 기술)를 통해 내부 하드웨어 구성 요소와 외부 장치(예를 들어, UDM, 서버 등) 사이에서 내부적으로 통신하기 위해 설정된다. 커뮤니케이터(130)는 유무선 통신을 가능하게 하는 규격에 특정한 전자 회로를 포함한다.
AKMA 제어부(140)는 논리 게이트, 집적 회로, 마이크로프로세서, 마이크로컨트롤러, 메모리 회로, 수동 전자 구성 요소, 능동 전자 구성 요소, 광학 구성 요소, 하드와이어 회로 등과 같은 처리 회로에 의해 구현되며, 선택적으로 펌웨어에 의해 구동될 수 있다. 회로는 예를 들어 하나 이상의 반도체 칩 또는 인쇄 회로 기판 등과 같은 기판 지지대에서 구현될 수 있다.
일 실시예에서, AKMA 제어부(140)는 AKMA 애플리케이션 키(KAF)를 사용하여 애플리케이션 기능(AF) 서버와의 통신을 설정한다. 또한, UE(100)는 인증 서버 기능(AUSF)(200A)으로 1차 인증을 수행한다. 또한, AKMA 제어부(140)는 AUSF 키(KAUSF)로부터 KAKMA 및 A-KID를 생성한다. 또한, AKMA 제어부(140)는 AF 서버(200C)에 의해 호스팅되는 애플리케이션에 액세스하기 위해 KAKMA와 AF-ID(AF-Identity)를 사용하여 KAF를 생성한다. 또한, AKMA 제어부(140)는 AF 서버(200C)에 의해 호스팅되는 애플리케이션에 액세스하기 위해 AF 서버(200C)와의 통신을 설정하며, 여기서 UE(100)는 A-KID를 설정된 커뮤니케이션을 통해 AF 서버(200C)로 송신한다. AUSF(200A)는 KAUSF로부터 KAKMA 및 A-KID를 도출하며, 여기서 AUSF(200A)는 KAKMA, A-KID 및 가입 영구 식별자(SUPI)를 AKMA 앵커 기능(AAnF) 서버(200B1 또는 200B2)에 등록한다.
도 2a가 UE(100)의 다양한 하드웨어 구성 요소를 도시하지만, 다른 실시예는 이에 제한되지 않는 것으로 이해되어야 한다. 다른 실시예에서, UE(100)는 더 적거나 더 많은 수의 구성 요소를 포함할 수 있다. 또한, 구성 요소의 라벨 또는 이름은 예시를 위해서만 사용되고 본 개시의 범위를 제한하지 않는다. 하나 이상의 구성 요소는 UE(100)가 로밍하는 동안 AKMA 서비스를 가능하게 하는 것과 동일하거나 실질적으로 유사한 기능을 수행하기 위해 조합될 수 있다.
도 2b는 본 명세서에 개시된 실시예에 따라 UE(100)가 무선 네트워크에서 로밍하는 동안 AKMA 서비스를 가능하게 하기 위한 AUSF 서버(200A)의 블록도를 도시한다.
일 실시예에서, AUSF 서버(200A)는 메모리(210A), 프로세서(220A), 커뮤니케이터(230A) 및 AKMA 제어부(240A)를 포함한다.
일 실시예에서, 메모리(210A)는 AKMA 앵커(KAKMA) 키 및 AKMA 키 식별자(A-KID)와 AKMA 애플리케이션 키(KAF), 및 KAF의 수명을 저장하도록 설정된다. 메모리(210A)는 프로세서(220A)에 의해 실행될 명령어를 저장한다. 메모리(210A)는 비휘발성 저장 요소를 포함할 수 있다. 이러한 비휘발성 저장 요소의 예는 자기 하드 디스크, 광 디스크, 플로피 디스크, 플래시 메모리, 또는 EPROM(electrically programmable memory) 또는 EEPROM(electrically erasable and programmable) 메모리의 형태를 포함할 수 있다. 또한, 메모리(210A)는 일부 예에서 비일시적 저장 매체로서 간주될 수 있다. "비일시적"이라는 용어는 저장 매체가 반송파 또는 전파 신호로 구현되지 않음을 나타낼 수 있다. 그러나, "비일시적"이라는 용어는 메모리(210A)가 이동 가능하지 않은 것으로 해석되지 않아야 한다. 일부 예에서, 메모리(210A)는 메모리보다 많은 양의 정보를 저장하도록 설정될 수 있다. 특정 예에서, 비일시적 저장 매체는 시간이 지남에 따라 (예를 들어, RAM(Random Access Memory) 또는 캐시에서) 변경될 수 있는 데이터를 저장할 수 있다. 메모리(210A)는 내부 저장 유닛일 수 있거나 메모리는 AUSF 서버(200A)의 외부 저장 유닛, 클라우드 저장소 또는 임의의 다른 타입의 외부 저장소일 수 있다.
프로세서(220A)는 메모리(210A), 커뮤니케이터(230A) 및 AKMA 제어부(240A)와 통신한다. 프로세서(220A)는 메모리(210A)에 저장된 명령어를 실행하고 다양한 프로세스를 수행하도록 설정된다. 프로세서(220A)는 하나 또는 복수의 프로세서를 포함할 수 있으며, CPU(Central Processing Unit), AP(Application Processor) 등과 같은 범용 프로세서, GPU(Graphics Processing Unit), VPU(Visual Processing Unit), 및/또는 NPU(Neural Processing Unit)와 같은 AI(Artificial Intelligence) 전용 프로세서일 수 있다.
커뮤니케이터(230A)는 하나 이상의 네트워크(예를 들어, 무선 기술)를 통해 내부 하드웨어 구성 요소와 외부 장치(예를 들어, AAnF 서버, UDM, 서버 등) 사이에서 내부적으로 통신하기 위해 설정된다. 커뮤니케이터(230A)는 유무선 통신을 가능하게 하는 규격에 특정한 전자 회로를 포함한다.
AKMA 제어부(240A)는 논리 게이트, 집적 회로, 마이크로프로세서, 마이크로컨트롤러, 메모리 회로, 수동 전자 구성 요소, 능동 전자 구성 요소, 광학 구성 요소, 하드와이어 회로 등과 같은 처리 회로에 의해 구현되며, 선택적으로 펌웨어에 의해 구동될 수 있다. 회로는 예를 들어 하나 이상의 반도체 칩 또는 인쇄 회로 기판 등과 같은 기판 지지대에서 구현될 수 있다.
일 실시예에서, AKMA 제어부(240A)는 AKMA 앵커 기능(AAnF)과의 통신을 설정한다. 또한, AUSF(200A)는 UE(100)와 1차 인증을 수행한다. 또한, AKMA 제어부(140)는 AUSF 키(KAUSF)로부터 KAKMA 및 A-KID를 생성한다. AUSF(200A)는 KAUSF로부터 KAKMA 및 A-KID를 도출하고, 여기서 AUSF(200A)는 KAKMA, A-KID 및 가입 영구 식별자(SUPI)를 AKMA 앵커 기능(AAnF) 서버(200B1 또는 200B2)에 등록한다.
일 실시예에서, AKMA 제어부(240A)는 통합 데이터 관리(unified data management; UDM)(200D)로부터 제1 AKMA 인디케이션(indication) "AKMA 인디케이션 1"을 수신하며, 이는 KAKMA, A-KID가 UE(100)를 위해 생성될 필요가 있는지를 나타낸다. 제1 AKMA 인디케이션에 기초하여, AKMA 제어부(240A)는 KAKMA 및 A-KID를 생성한다.
일 실시예에서, AKMA 제어부(240A)는 VPLMN에서 오퍼레이터 계약(operator agreements) 및/또는 AKMA 지원에 따라 KAKMA 및 A-KID 및/또는 KAF 키가 방문 PLMN으로 전파될 필요가 있는지를 명시하는 제2 AKMA 인디케이션 "AKMA 인디케이션 2"를 UDM으로부터 수신한다.
도 2b는 AUSF 서버(200A)의 다양한 하드웨어 구성 요소를 도시하지만, 다른 실시예는 이에 제한되지 않는 것으로 이해되어야 한다. 다른 실시예에서, AUSF 서버(200A)는 더 적거나 더 많은 수의 구성 요소를 포함할 수 있다. 또한, 구성 요소의 라벨 또는 이름은 예시를 위해서만 사용되고 본 개시의 범위를 제한하지 않는다. 하나 이상의 구성 요소는 UE(100)가 로밍하는 동안 AKMA 서비스를 가능하게 하는 것과 동일하거나 실질적으로 유사한 기능을 수행하기 위해 조합될 수 있다.
도 2c는 본 명세서에 개시된 실시예에 따라 UE(100)가 무선 네트워크에서 로밍하는 동안 AKMA 서비스를 가능하게 하기 위한 홈 AAnF(home AAnF; hAAnF) 서버(200B1)의 블록도를 도시한다.
일 실시예에서, hAAnF 서버(200B1)는 메모리(210B1), 프로세서(220B1), 커뮤니케이터(230B1) 및 AKMA 제어부(240B1)를 포함한다.
일 실시예에서, 메모리(210B1)는 KAKMA, KAKMA의 수명, KAF, A-KID 및 KAF의 수명을 저장하도록 설정된다. 메모리(210B1)는 프로세서(220B1)에 의해 실행될 명령어를 저장한다. 메모리(210B1)는 비휘발성 저장 요소를 포함할 수 있다. 이러한 비휘발성 저장 요소의 예는 자기 하드 디스크, 광 디스크, 플로피 디스크, 플래시 메모리, 또는 EPROM(electrically programmable memory) 또는 EEPROM(electrically erasable and programmable) 메모리의 형태를 포함할 수 있다. 또한, 메모리(210B1)는 일부 예에서 비일시적 저장 매체로서 간주될 수 있다. "비일시적"이라는 용어는 저장 매체가 반송파 또는 전파 신호로 구현되지 않음을 나타낼 수 있다. 그러나, "비일시적"이라는 용어는 메모리(210B1)가 이동 가능하지 않은 것으로 해석되지 않아야 한다. 일부 예에서, 메모리(210B1)는 메모리보다 많은 양의 정보를 저장하도록 설정될 수 있다. 특정 예에서, 비일시적 저장 매체는 시간이 지남에 따라 (예를 들어, RAM(Random Access Memory) 또는 캐시에서) 변경될 수 있는 데이터를 저장할 수 있다. 메모리(210B1)는 내부 저장 유닛일 수 있거나 메모리는 AAnF 서버(200B1)의 외부 저장 유닛, 클라우드 저장소 또는 임의의 다른 타입의 외부 저장소일 수 있다.
프로세서(220B1)는 메모리(210B1), 커뮤니케이터(230B1) 및 AKMA 제어부(240B1)와 통신한다. 프로세서(220B1)는 메모리(210B1)에 저장된 명령어를 실행하고 다양한 프로세스를 수행하도록 설정된다. 프로세서(220B1)는 하나 또는 복수의 프로세서를 포함할 수 있으며, CPU(Central Processing Unit), AP(Application Processor) 등과 같은 범용 프로세서, GPU(Graphics Processing Unit), VPU(Visual Processing Unit), 및/또는 NPU(Neural Processing Unit)와 같은 AI(Artificial Intelligence) 전용 프로세서일 수 있다.
커뮤니케이터(230B1)는 하나 이상의 네트워크(예를 들어, 무선 기술)를 통해 내부 하드웨어 구성 요소와 외부 장치(예를 들어, AAnF 서버, UDM, 서버 등) 사이에서 내부적으로 통신하기 위해 설정된다. 커뮤니케이터(230B1)는 유무선 통신을 가능하게 하는 규격에 특정한 전자 회로를 포함한다.
AKMA 제어부(240B1)는 논리 게이트, 집적 회로, 마이크로프로세서, 마이크로컨트롤러, 메모리 회로, 수동 전자 구성 요소, 능동 전자 구성 요소, 광학 구성 요소, 하드와이어 회로 등과 같은 처리 회로에 의해 구현되며, 선택적으로 펌웨어에 의해 구동될 수 있다. 회로는 예를 들어 하나 이상의 반도체 칩 또는 인쇄 회로 기판 등과 같은 기판 지지대에서 구현될 수 있다.
일 실시예에서, AKMA 제어부(240B1)는 VPLMN에서 오퍼레이터 계약 및/또는 AKMA 지원에 따라 KAKMA 및 A-KID 및/또는 KAF 키가 방문 PLMN으로 전파될 필요가 있는지를 명시하는 AKMA 인디케이션 "AKMA 인디케이션 2"를 AUSF(200A)로부터 수신한다.
또한, AKMA 제어부(240B1)는 UE(100)를 서빙하기 위해 vAAnF(visit AAnF) 인스턴스(instance)를 선택한다. 또한, AKMA 제어부(240B1)는 생성된 KAKMA 및 A-KID 및/또는 KAF 키가 UDM 및/또는 로컬 정책(local policy)으로부터의 인디케이션에 기초하여 방문 PLMN으로 전파될 필요가 있다고 결정한다. 따라서, AKMA 제어부(240B1)는 방문 PLMN에서 AKMA 키 자료를 수신할 책임이 있는 vAAnF 인스턴스 정보를 검색한다. AKMA 제어부(240B1)는 NRF(200E)에 질의하기 위해 등록 절차 동안 AMF에 의해 AUSF에 제공된 방문 네트워크 정보를 사용한다.
vAAnF 인스턴스 정보는 NRF(200E)에서 vAAnF(200B2)에 의해 등록된 알림 엔드포인트(notification endpoint)일 수 있다. 대안적으로, 정보는 예를 들어 UE(100)의 KAKMA, A-KID 및 SUPI를 포함하는 AKMA 키 자료를 수신하기 위해 vAAnF(200B2)에 의해 노출된 신규 또는 기존 서비스일 수 있다.
일 실시예에서, AKMA 제어부(240B1)는 vAAnF(200B2)에 SUPI, KAKMA 및 A-KID를 등록한다. 일 실시예에서, AKMA 제어부(240B1)는 vAAnF(200B2)로부터 수신된 리디렉션 정보(redirection information)를 hAAnF(200B1)로 송신한다. 대안적으로, AKMA 제어부(240B1)는 방문 네트워크 정보를 hAAnF에 제공할 수 있으며, 여기서 hAAnF는 NRF에 질의함으로써 vAAnF(200B2) 정보를 검색할 수 있다.
도 2c는 AUSF 서버(200A)의 다양한 하드웨어 구성 요소를 도시하지만, 다른 실시예는 이에 제한되지 않는 것으로 이해되어야 한다. 다른 실시예에서, hAAnF(200B1)는 더 적거나 더 많은 수의 구성 요소를 포함할 수 있다. 또한, 구성 요소의 라벨 또는 이름은 예시를 위해서만 사용되고 본 개시의 범위를 제한하지 않는다. 하나 이상의 구성 요소는 무선 네트워크에서 로밍 모드로 AKMA 서비스를 가능하게 하는 것과 동일하거나 실질적으로 유사한 기능을 수행하기 위해 조합될 수 있다.
도 2d는 본 명세서에 개시된 실시예에 따라 UE(100)가 무선 네트워크에서 로밍하는 동안 AKMA 서비스를 가능하게 하기 위한 방문 AAnF(vAAnF) 서버(200B2)의 블록도를 도시한다.
일 실시예에서, vAAnF 서버(200B2)는 메모리(210B2), 프로세서(220B2), 커뮤니케이터(230B2) 및 AKMA 제어부(240B2)를 포함한다.
일 실시예에서, 메모리(210B2)는 KAKMA, KAKMA의 수명, KAF, A-KID 및 KAF의 수명을 저장하도록 설정된다. 메모리(210B2)는 프로세서(220B2)에 의해 실행될 명령어를 저장한다. 메모리(210B2)는 비휘발성 저장 요소를 포함할 수 있다. 이러한 비휘발성 저장 요소의 예는 자기 하드 디스크, 광 디스크, 플로피 디스크, 플래시 메모리, 또는 EPROM(electrically programmable memory) 또는 EEPROM(electrically erasable and programmable) 메모리의 형태를 포함할 수 있다. 또한, 메모리(210B2)는 일부 예에서 비일시적 저장 매체로서 간주될 수 있다. "비일시적"이라는 용어는 저장 매체가 반송파 또는 전파 신호로 구현되지 않음을 나타낼 수 있다. 그러나, "비일시적"이라는 용어는 메모리(210B2)가 이동 가능하지 않은 것으로 해석되지 않아야 한다. 일부 예에서, 메모리(210B2)는 메모리보다 많은 양의 정보를 저장하도록 설정될 수 있다. 특정 예에서, 비일시적 저장 매체는 시간이 지남에 따라 (예를 들어, RAM(Random Access Memory) 또는 캐시에서) 변경될 수 있는 데이터를 저장할 수 있다. 메모리(210B2)는 내부 저장 유닛일 수 있거나 메모리는 AAnF 서버(200B2)의 외부 저장 유닛, 클라우드 저장소 또는 임의의 다른 타입의 외부 저장소일 수 있다.
프로세서(220B2)는 메모리(210B2), 커뮤니케이터(230B2) 및 AKMA 제어부(240B2)와 통신한다. 프로세서(220B2)는 메모리(210B2)에 저장된 명령어를 실행하고 다양한 프로세스를 수행하도록 설정된다. 프로세서(220B2)는 하나 또는 복수의 프로세서를 포함할 수 있으며, CPU(Central Processing Unit), AP(Application Processor) 등과 같은 범용 프로세서, GPU(Graphics Processing Unit), VPU(Visual Processing Unit), 및/또는 NPU(Neural Processing Unit)와 같은 AI(Artificial Intelligence) 전용 프로세서일 수 있다.
커뮤니케이터(230B2)는 하나 이상의 네트워크(예를 들어, 무선 기술)를 통해 내부 하드웨어 구성 요소와 외부 장치(예를 들어, AAnF 서버, UDM, 서버 등) 사이에서 내부적으로 통신하기 위해 설정된다. 커뮤니케이터(230B2)는 유무선 통신을 가능하게 하는 규격에 특정한 전자 회로를 포함한다.
AKMA 제어부(240B2)는 논리 게이트, 집적 회로, 마이크로프로세서, 마이크로컨트롤러, 메모리 회로, 수동 전자 구성 요소, 능동 전자 구성 요소, 광학 구성 요소, 하드와이어 회로 등과 같은 처리 회로에 의해 구현되며, 선택적으로 펌웨어에 의해 구동될 수 있다. 회로는 예를 들어 하나 이상의 반도체 칩 또는 인쇄 회로 기판 등과 같은 기판 지지대에서 구현될 수 있다.
일 실시예에서, AKMA 제어부(240B2)는 hAAnF(200B1)로부터 AKMA 키 자료를 검색한다. AKMA 키 자료는 예를 들어 UE의 KAKMA, A-KID 및 SUPI일 수 있다. 일 실시예에서, AKMA 제어부(240B2)는 KAKMA, A-KID 및 SUPI를 수신하는 것에 응답하여 리디렉션 정보를 AKMA 제어부(240B1)에 제공한다. 리디렉션 정보는 예를 들어 vAAnF URL 및/또는 방문 네트워크의 NEF의 URL, 및 vAAnF를 선택하기 위해 방문 네트워크의 NEF에 의해 사용될 수 있는 임의의 다른 정보를 포함할 수 있다.
도 2d는 vAAnF 서버(200B2)의 다양한 하드웨어 구성 요소를 도시하지만, 다른 실시예는 이에 제한되지 않는 것으로 이해되어야 한다. 다른 실시예에서, vAAnF 서버(200B2)는 더 적거나 더 많은 수의 구성 요소를 포함할 수 있다. 또한, 구성 요소의 라벨 또는 이름은 예시를 위해서만 사용되고 본 개시의 범위를 제한하지 않는다. 하나 이상의 구성 요소는 무선 네트워크에서 로밍 모드로 AKMA 서비스를 가능하게 하는 것과 동일하거나 실질적으로 유사한 기능을 수행하기 위해 조합될 수 있다.
도 3은 본 명세서에 개시된 실시예에 따라 홈 네트워크의 AAnF에 의해 방문 네트워크의 AAnF에 제공된 AKMA 애플리케이션 키 알림을 예시하는 시그널링 다이어그램이다.
도 3을 참조하면, 제공된 방법을 고려하며, 이는 새로운 KAF가 HN에서 도출될 때마다 hAAnF가 알림의 시나리오를 vAAnF(200B2)에 제공한다.
단계 #1, UE(100)는 네트워크에 등록하고, 1차 인증이 이루어진다. 1차 인증 중에, UDM은 AKMA 키가 UE에 대해 생성될 필요가 있는지를 명시하는 "AKMA 인디케이션 1"을 AUSF에 제공한다.
일 실시예에서, UDM은 또한 VPLMN에서 오퍼레이터 계약 및/또는 AKMA 지원에 따라 생성된 AKMA 키가 방문 PLMN으로 전파될 필요가 있는지를 명시하는 "AKMA 인디케이션 2"를 AUSF에 제공한다.
단계 #2, AUSF는 KAKMA 및 A-KID를 생성한다. 이에 따라, ME에서도 KAKMA와 A-KID가 생성된다. AUSF는 UE를 서빙할 AAnF 인스턴스를 선택하고, hAAnF(home AAnF)에 SUPI, KAKMA 및 A-KID를 등록한다. 일 실시예에서, AUSF는 생성된 AKMA 키가 방문 PLMN으로 전파될 필요가 있는지를 명시하는 "AKMA 인디케이션 2"를 hAAnF에 제공한다. AUSF는 단계 #1 및/또는 로컬 정책에서 UDM으로부터의 인디케이션을 기반으로 이를 결정할 수 있다. AUSF는 또한 방문 네트워크 정보를 hAAnF에 제공한다(예시를 위해, 방문 네트워크 정보는 AAnF의 서빙 네트워크 아이덴티티, IP 주소 또는 FQDN일 수 있음).
다른 실시예에서, AUSF는 생성된 AKMA 키가 AMF로부터의 1차 인증 요청 메시지(Nausf_UEAuthentication_Authenticate Request)의 서빙 네트워크 이름/ID에 기초하여 방문 PLMN으로 전파될 필요가 있는지를 식별한다. AUSF는 (SN-이름/ID에 기초하여) 방문 PLMN으로 전파할지에 대해 설정된 로컬 정책을 가질 수 있다.
단계 #3: 일 실시예에서, hAAnF는 AKMA 키 자료를 수신할 책임이 있는 vAAnF(200B2) 인스턴스 정보를 검색한다. hAAnF는 단계 (2)에서 AUSF에 의해 제공된 방문 네트워크 정보를 사용하여 NRF에 질의한다.
정보는 NRF(200E)에서 vAAnF(200B2)에 의해 등록된 알림 엔드포인트일 수 있다. 대안적으로, 정보는 AKMA 키 자료를 수신하기 위해 vAAnF(200B2)에 의해 노출되고 NRF(200E)에 등록된 신규 또는 기존 서비스일 수 있다. 대안적으로, vAAnF(200B2) 정보는 방문 네트워크의 서빙 AMF로부터 AUSF(200A)에 의해 질의되고, hAAnF(200B1)에 제공될 수 있다. 다른 대안은 vAAnF(200B2) 정보(예를 들어, IP 주소 또는 FQDN)가 로컬 설정 또는 NRF(200E)와 같은 다른 NF로부터 AUSF(200A)에 의해 획득될 수 있다는 것이다.
단계 #4: hAAnF는 (직접적으로 또는 NEF를 통해) AF로부터의 요청에 의해 트리거되는 KAF를 생성하며, 이는 차례로 Ua* 인터페이스를 통해 AF와의 UE 통신에 의해 트리거될 수 있다.
단계 #5: hAAnF는 KAF 및 키 수명을 AF에 제공한다. 부가적으로, 단계 #5a에서, 일 실시예에서, hAAnF는 새로운 KAF가 생성될 때마다 vAAnF(200B2)에 알림을 송신하여, UE의 KAF, 키 수명, AF-Identity(예를 들어, FQDN) 및 SUPI를 새로운 KAF에 제공한다. 대안적으로, hAAnF는 새로운 KAF가 생성될 때마다 vAAnF(200B2)에 알림을 송신하여, (KAKMA가 초기에 공유되지 않은 경우) 사용 중인 KAKMA 및/또는 AF-Identity(어떤 AF에 대해 도출된 키)를 새로운 KAF에 제공한다.
따라서, 방문 네트워크는 AF와 UE 간의 통신을 암호화하는 데 사용되는 키에 액세스하여, LI 목적을 위해 규제 기관(regulatory authorities)에 키를 제공할 수 있다.
도 4는 본 명세서에 개시된 실시예에 따라 홈 네트워크의 AAnF에 의해 방문 네트워크의 AAnF에 제공된 AKMA 앵커 키 알림을 예시하는 시그널링 다이어그램이다.
도 4를 참조하면, 제공된 방법을 고려하며, 이는 vAAnF(200B2)에 AKMA 컨텍스트를 푸시하는 시나리오와 또한 방문/서빙 네트워크에 대한 AF 요청 리디렉션을 제공한다.
단계 #1, UE(100)는 네트워크에 등록하고, 1차 인증이 이루어진다. 1차 인증 중에, UDM(200D)은 AKMA 키가 UE(100)에 대해 생성될 필요가 있는지를 명시하는 "AKMA 인디케이션 1"을 AUSF에 제공한다.
일 실시예에서, UDM(200D)은 또한 VPLMN에서 오퍼레이터 계약 및/또는 AKMA 지원에 따라 생성된 AKMA 키가 방문 PLMN으로 전파될 필요가 있는지를 명시하는 "AKMA 인디케이션 2"를 AUSF에 제공한다.
AUSF는 KAKMA 및 A-KID를 생성한다. 이에 따라, ME에서도 KAKMA와 A-KID가 생성된다.
단계 #2, AUSF는 UE(100)를 서빙할 AAnF 인스턴스를 선택하고, hAAnF(200B1)(home AAnF)에 SUPI, KAKMA 및 A-KID를 등록한다.
일 실시예에서, AUSF(200A)는 생성된 AKMA 키가 방문 PLMN(200B2)으로 전파될 필요가 있는지를 명시하는 "AKMA 인디케이션 2"를 hAAnF(200B1)에 제공한다. AUSF(200A)는 단계 #1 및/또는 로컬 정책에서 UDM(200D)으로부터의 인디케이션을 기반으로 이를 결정할 수 있다. AUSF(200A)는 또한 방문 네트워크 정보를 hAAnF(200B1)에 제공한다.
단계 #3: 일 실시예에서, hAAnF(200B1)는 AKMA 키 자료를 수신할 책임이 있는 vAAnF 인스턴스 정보를 검색한다. hAAnF(200B1)는 단계 #2에서 AUSF(200A)에 의해 제공된 방문 네트워크 정보를 사용하여 NRF(200E)에 질의한다.
정보는 NRF(200E)에서 vAAnF(200B2)에 의해 등록된 알림 엔드포인트일 수 있다. 대안적으로, 정보는 예를 들어 UE의 KAKMA, A-KID 및 SUPI를 포함하는 AKMA 키 자료를 수신하기 위해 vAAnF(200B2)에 의해 노출되고 NRF에 등록된 신규 또는 기존 서비스일 수 있다.
대안적으로, vAAnF(200B2) 정보는 방문 네트워크의 서빙 AMF로부터 AUSF(200A)에 의해 질의되어, hAAnF(200B1)에 제공될 수 있다. 단계 #4에서, hAAnF(200B1)는 hAAnF(200B1)에서 새로운 KAKMA가 생성될 때마다 메시지를 vAAnF(200B2)로 송신하여, UE(100)의 KAKMA, A-KID 및 SUPI를 vAAnF(200B2)에 제공한다.
vAAnF(200B2)는 이 메시지에 응답하여 리디렉션 정보를 hAAnF(200B1)에 제공할 수 있다. 리디렉션 정보는 예를 들어 방문 네트워크에서 NEF의 vAAnF URL 및/또는 URL, 및 vAAnF(200B2)를 선택하기 위해 방문 네트워크에서의 NEF에 의해 사용될 수 있는 임의의 다른 정보를 포함할 수 있다.
단계 #5: AF는 Ua* 인터페이스를 통해 AF와의 UE 통신에 의해 트리거된 KAF를 제공하기 위해 (직접 또는 NEF를 통해) 요청 hAAnF를 송신한다. 요청은 AF-Identity(예를 들어, FQDN) 및 A-KID를 포함한다.
이 시점에, 단계 #6에서, 일 실시예에서, hAAnF(200B1)는 단계 #4에서 수신된 리디렉션 정보를 사용하여 요청을 vAAnF(200B2)로 리디렉션한다. 이는 기존 http 리디렉션 메커니즘을 사용하여 동일한 결과를 달성할 수 있다.
대안적으로, 단계 #6a에 도시된 바와 같이, 일 실시예에서, hAAnF(200B1)는 AF-브로커(broker)의 역할을 맡고, AF(200C)를 대신하여 요청을 vAAnF(200B2)로 포워딩(forwarding)한다. 요청은 NRF(200E)에 등록된 vAAnF(200B2)에 의해 노출된 기존 또는 새로운 서비스를 활용하여 송신될 수 있다. hAAnF(200B1)는 NRF(200E)에 질의함으로써 이 서비스를 검색할 수 있다.
단계 #7: vAAnF(200B2)는 KAF를 생성하여 KAF 및 키 수명을 (직접 또는 hAAnF(200B2)를 통해) AF(200C)에 제공한다.
따라서, 필요한 키 자료가 방문 네트워크 자체에서 생성되므로, 방문 네트워크는 AF(200C)와 UE(100) 간의 통신을 암호화하는 데 사용되는 키에 액세스하여, LI 목적을 위해 규제 기관에 키를 제공할 수 있다.
도 5는 본 명세서에 개시된 실시예에 따라 홈 네트워크의 AUSF(200A)에 의해 방문 네트워크의 AAnF에 제공된 AKMA 앵커 키 등록을 예시하는 시그널링 다이어그램이다.
도 5를 참조하면, 제공된 방법을 고려하며, AUSF(200A)가 KAKMA를 vAAnF(200B2)로 푸시하고 리디렉션 정보를 hAAnF(200B1)로 푸시하는 시나리오를 제공한다. 단계 #1에서, UE(100)는 네트워크에 등록하고, 1차 인증이 이루어진다. 1차 인증 중에, UDM(200D)은 AKMA 키가 UE(100)에 대해 생성될 필요가 있는지를 명시하는 "AKMA 인디케이션 1"을 AUSF(200A)에 제공한다.
일 실시예에서, UDM(200D)은 또한 VPLMN에서 오퍼레이터 계약 및/또는 AKMA 지원에 따라 생성된 AKMA 키가 방문 PLMN으로 전파될 필요가 있는지를 명시하는 "AKMA 인디케이션 2"를 AUSF(200A)에 제공한다.
AUSF(200A)는 KAKMA 및 A-KID를 생성한다. 이에 따라, ME에서도 KAKMA와 A-KID가 생성된다.
단계 #2, AUSF(200A)는 UE(100)를 서빙하기 위해 방문 및 홈 AAnF 인스턴스(hAAnF 및 vAAnF(200B2))를 선택한다.
일 실시예에서, AUSF(200A)는 단계 #1 및/또는 로컬 정책에서 UDM(200D)으로부터의 인디케이션을 기반으로 생성된 AKMA 키가 방문 PLMN으로 전파될 필요가 있다고 결정한다. 따라서, AUSF(200A)는 방문 PLMN에서 AKMA 키 자료를 수신할 책임이 있는 vAAnF 인스턴스 정보를 검색한다. AUSF(200A)는 NRF(200E)를 질의하기 위해 등록 절차 동안 AMF에 의해 제공된 방문 네트워크 정보를 사용한다.
vAAnF 인스턴스 정보는 vAAnF(200B2)에 의해 NRF에 등록된 알림 엔드포인트일 수 있다. 대안적으로, 정보는 예를 들어 UE의 KAKMA, A-KID 및 SUPI를 포함하는 AKMA 키 자료를 수신하기 위해 vAAnF(200B2)에 의해 노출된 신규 또는 기존 서비스일 수 있다.
단계 #3: AUSF는 vAAnF(200B2)에 SUPI, KAKMA 및 A-KID를 등록한다. 일 실시예에서, vAAnF(200B2)는 이 메시지에 응답하여 리디렉션 정보를 AUSF에 제공할 수 있다. 리디렉션 정보는 예를 들어 방문 네트워크에서 NEF의 vAAnF URL 및/또는 URL, 및 vAAnF(200B2)를 선택하기 위해 방문 네트워크에서의 NEF에 의해 사용될 수 있는 임의의 다른 정보를 포함할 수 있다.
단계 #4: 일 실시예에서, AUSF(200A)는 단계(3)에서 수신된 리디렉션 정보를 hAAnF(200B1)로 송신한다. 대안적으로, AUSF(200A_)는 방문 네트워크 정보를 hAAnF(200B1)에 제공할 수 있고, hAAnF(200B1)는 NRF(200E)에 질의함으로써 vAAnF(200B2) 정보를 검색할 수 있다. 단계 #5에서, AF(200C) )는 Ua* 인터페이스를 통해 AF(200C)와의 UE(100) 통신에 의해 트리거되는 KAF를 제공하기 위해 (직접 또는 NEF를 통해) 요청을 hAAnF(200B1)에 송신한다. 요청은 AF-Identity(예를 들어, FQDN) 및 A-KID를 포함한다.
단계 #6: 이 시점에, 일 실시예에서, hAAnF(200B1)는 단계(4)에서 수신된 리디렉션 정보를 사용하여 요청을 vAAnF(200B2)로 리디렉션한다. 이는 기존 http 리디렉션 메커니즘을 사용하여 동일한 결과를 달성할 수 있다.
대안적으로, 단계 #6a에 도시된 바와 같이, 일 실시예에서, hAAnF(200B1)는 AF-브로커의 역할을 맡고, AF(200C)를 대신하여 요청을 vAAnF(200B2)로 포워딩한다. 요청은 NRF(200E)에 등록된 vAAnF(200B2)에 의해 노출된 기존 또는 새로운 서비스를 활용하여 송신될 수 있다. hAAnF(200B1)는 NRF(200E)에 질의함으로써 이 서비스를 검색할 수 있다. 그런 다음, 단계 #7에서, vAAnF(200B2)는 KAF를 생성하여 KAF 및 키 수명을 (직접 또는 hAAnF를 통해) AF(200C)에 제공한다. 따라서, 필요한 키 자료가 방문 네트워크 자체에서 생성되므로, 방문 네트워크는 AF(200C)와 UE(100) 간의 통신을 암호화하는 데 사용되는 키에 액세스하여, LI 목적을 위해 규제 기관에 키를 제공할 수 있다.
도 6은 본 명세서에 개시된 실시예에 따라 홈 네트워크의 AAnF로부터 방문 네트워크의 AAnF에 의해 제공된 AKMA 앵커 키 또는 AKMA 애플리케이션 키 검색을 예시하는 시그널링 다이어그램이다.
도 6을 참조하면, 제공된 방법을 고려하며, 이는 AF(200C)가 KAF를 위해 vAAnF(200B2)에 접촉하고, vAAnF(200B2)가 hAAnF(200B1)로부터 키를 풀링(pulling)하는 시나리오를 제공한다. 아래에는 단계가 상세히 나와 있다.
단계 #1: UE(100)는 네트워크에 등록하고, 1차 인증이 이루어진다. 1차 인증 중에, UDM(200D)은 AKMA 키가 UE(100)에 대해 생성될 필요가 있는지를 명시하는 "AKMA 인디케이션 1"을 AUSF(200A)에 제공한다.
일 실시예에서, UDM(200D)은 또한 VPLMN에서 오퍼레이터 계약 및/또는 AKMA 지원에 따라 생성된 AKMA 키가 방문 PLMN으로 전파될 필요가 있는지를 명시하는 "AKMA 인디케이션 2"를 AUSF(200A)에 제공한다.
단계 #2: AUSF(200A)는 KAKMA 및 A-KID를 생성한다. 이에 따라, ME에서도 KAKMA와 A-KID가 생성된다.
AUSF(200A)는 UE(100)를 서빙할 AAnF 인스턴스를 선택하고, hAAnF(home AAnF)(200B1)에 SUPI, KAKMA 및 A-KID를 등록한다.
일 실시예에서, AUSF(200A)는 생성된 AKMA 키가 방문 PLMN으로 전파될 필요가 있는지를 명시하는 "AKMA 인디케이션 2"를 hAAnF(200A)에 제공한다. AUSF(200A)는 단계(1) 및/또는 로컬 정책에서 UDM(200D)으로부터의 인디케이션을 기반으로 이를 결정할 수 있다. AUSF(200A)는 또한 방문 네트워크 정보를 hAAnF(200B1)에 제공한다.
또한, 선택적으로, hAAnF(200B1)는 방문 네트워크에서 AAnF를 검색하여 솔루션(1)에 설명된 바와 같이 KAF 키 자료를 vAAnF(200B2)에 푸시하거나 상술한 바와 같이 KAKMA 키 자료를 vAAnF(200B2)에 푸시할 수 있다.
단계 #3: UE(100)는 UE의 필요한 애플리케이션에 기초하여 AF(200C)와의 Ua* 인터페이스를 통한 통신을 트리거한다. 일 실시예에서, UE(100)는 선택적으로 A-KID와 함께 AF(200C)에 방문 네트워크 정보(예를 들어, 서빙 PLMN ID)를 제공한다. 로컬 설정 및/또는 UE(100) 요청 시의 방문 네트워크 정보의 존재에 기초하여, AF(200C)는 KAF를 제공하기 위해 (직접 또는 NEF를 통해) 요청을 vAAnF(200B2)에 송신한다. 요청은 AF-Identity(예를 들어, FQDN) 및 A-KID를 포함한다.
단계 #4: A-KID에 포함된 정보(라우팅 ID, 홈 네트워크 정보)를 기반으로, vAAnF(200B2)는 NRF(200E)에 질의함으로써 hAAnF(200B1)를 검색한다.
단계 #5: vAAnF(200B2)는 AKMA 키 자료를 제공하도록 hAAnF(200B1)에 요청한다. 요청은 hAAnF(200B1)에 의해 노출된 신규 또는 기존 서비스를 활용하여 송신되고 NRF(200E)를 통해 vAAnF(200B2)에 의해 검색된다. 요청은 다음의 정보를 포함한다.
KAKMA에 대한 요청이든 KAF에 대한 요청이든 UE(100)의 A-KID는 AF(200C)에 의해 제공된다. 요청이 KAF에 대한 것인 경우, AF-Identity(예를 들어, FQDN)는 AF(200C)에 의해 제공된다. 요청이 KAKMA에 대한 것인 경우, 선택적으로 콜백 URL은 새로운 KAKMA가 생성될 때마다 알림이 송신될 수 있는 엔드포인트를 명시한다.
단계 #6: 수신된 요청 및/또는 로컬 정책 및/또는 "AKMA 인디케이션 2"를 제공한 UDM에 따라, hAAnF는 KAKMA 키 자료를 vAAnF에 제공하거나 hAAnF는 KAKMA 및 AF-Identity(예를 들어, FQDN)로부터 KAF 키 자료를 생성하여, vAAnF에 제공한다.
단계 #6a: 또한, 새로운 KAKMA가 생성될 때마다, 이는 단계 (5)에서 수신된 알림 엔드포인트 상에서 vAAnF에 제공될 수 있다.
단계 #7: 수신된 정보를 기반으로, vAAnF가 KAF와 키 수명을 수신하면, vAAnF는 이를 AF에 제공한다. 그렇지 않으면, vAAnF가 KAKMA를 수신하는 경우, vAAnF는 KAKMA와 AF-Identity(예를 들어, FQDN)로부터 KAF를 생성하여 AF(200C)에 제공한다.
따라서, 방문 네트워크는 AF(200)와 UE(100) 간의 통신을 암호화하는 데 사용되는 키에 액세스하고, LI 목적을 위해 규제 기관에 키를 제공할 수 있다.
도 7은 본 명세서에 개시된 실시예에 따라, 홈 네트워크의 AUSF(200A)로부터 방문 네트워크의 AAnF에 의해 제공된 AKMA 앵커 키 검색을 예시하는 시그널링 다이어그램이다.
도 7을 참조하면, 제공된 방법을 고려하며, 이는 AF(200C)가 KAF를 위해 vAAnF(200B2)에 접촉하고, vAAnF(200B2)가 AUSF(200A)로부터 키를 풀링하는 시나리오를 제공한다. 아래에는 단계가 상세히 나와 있다.
단계 #1: UE(100)는 네트워크에 등록하고, 1차 인증이 이루어진다. 1차 인증 중에, UDM(200D)은 AKMA 키가 UE(100)에 대해 생성될 필요가 있는지를 명시하는 "AKMA 인디케이션 1"을 AUSF(200A)에 제공한다.
일 실시예에서, UDM(200D)은 또한 VPLMN에서 오퍼레이터 계약 및/또는 AKMA 지원에 따라 생성된 AKMA 키가 방문 PLMN으로 전파될 필요가 있는지를 명시하는 "AKMA 인디케이션 2"를 AUSF(200A)에 제공한다.
단계 #2: AUSF(200A)는 KAKMA 및 A-KID를 생성하여, UE-Context에 로컬로 저장한다. 1차 인증 절차 동안 AUSF(100A)에 의해 학습된 바와 같이, V-PLMN에서의 UE(100)의 존재는 AUSF(100A)가 AUSF가 홈-AAnF(200B1)에 KAKMA를 저장할 필요가 없다는 것을 알게 한다. 이에 따라, KAKMA와 A-KID는 ME에서도 생성된다.
로컬 정책 및/또는 "AKMA 인디케이션 2"를 제공한 UDM(200D)에 따라, AUSF(100A)는 (vAAnF(200B2)로부터의 어떠한 요청 없이) KAKMA 키 자료를 vAAnF(200B2)에 제공한다.
단계 #3: UE(100)는 UE의 필요한 애플리케이션에 기초하여 AF(200C)와의 Ua* 인터페이스를 통한 통신을 트리거한다. 일 실시예에서, UE(100)는 선택적으로 A-KID와 함께 AF(200C)에 방문 네트워크 정보(예를 들어, 서빙 PLMN ID)를 제공한다(또는 대안적으로, A-KID는 서빙 PLMN ID 및 또한 선택적으로 포함된 홈 네트워크 정보를 기반으로 설정되고 도출됨). 로컬 설정 및/또는 UE(100) 요청 시의 방문 네트워크 정보의 존재에 기초하여, AF(200C)는 KAF를 획득하기 위해 (직접 또는 NEF를 통해) 요청을 vAAnF(200B2)에 송신한다. 요청은 AF-Identity(예를 들어, FQDN) 및 A-KID를 포함한다.
단계 #4: A-KID에 포함된 정보(라우팅 ID, 홈 네트워크 정보) 및 다른 로컬 정보에 기초하여, vAAnF(200B2)는 (예를 들어, NRF에 질의함으로써) AUSF(200A)를 검색하고, vAAnF(200B2)에서 사용 가능한 AKMA 컨텍스트가 없는 경우(예를 들어, 단계 2에서 AKMA 보안 컨텍스트를 획득할 수 있음) AKMA 키 자료를 제공하기 위한 요청을 AUSF(200A)로 송신한다. 요청은 AUSF(200A)에 의해 노출된 신규 또는 기존 서비스를 활용하여 송신될 수 있고, NRF(200E)를 통해 vAAnF(200B2)에 의해 학습될 수 있다. 요청은 AF(200C)에 의해 제공된 UE(100)의 A-KID와 같은 정보를 포함한다.
선택적으로, 콜백 URL은 새로운 KAKMA가 생성될 때마다 알림이 송신될 수 있는 엔드포인트를 명시한다.
일 실시예에서, vAAnF(200B2)는 단계 (2)에서와 같이 UE(100)에 대한 AKMA 컨텍스트가 사용 가능하지 않은 경우 AF(200C)에 오류를 반환하며, AUSF(200A)는 UE(100)가 1차 인증 절차를 성공적으로 완료한 경우 AKMA 보안 컨텍스트를 vAAnF(200B2)에 제공했을 수 있다. 일 실시예에서, 단계(2)가 지원에 필수적이고 AAnF로부터의 키 요청에 대해 AUSF(200A)에 의해 노출된 신규 또는 기존 서비스가 없는 경우, 단계(4) 및 단계(5)는 스킵(skip)된다.
단계 #5: 수신된 요청 및/또는 로컬 정책 및/또는 "AKMA 인디케이션 2"를 제공한 UDM(200D)에 기초하여, AUSF(200A)는 KAKMA 키 자료를 vAAnF(200B2)에 제공한다. 또한, 단계 #5a에 나타내어진 바와 같이, 새로운 KAKMA가 생성될 때마다, 새로운 KAKMA가 단계 (4)에서 수신된 알림 엔드포인트 상의 vAAnF(200B2)에 제공될 수 있다.
단계 #6: 수신된 정보를 기반으로, vAAnF(200B2)는 KAKMA와 AF-Identity(예를 들어, FQDN)로부터 KAF를 생성하여 AF(200C)에 제공한다.
따라서, 방문 네트워크는 AF(200C)와 UE(100) 간의 통신을 암호화하는 데 사용되는 키에 액세스하고, LI 목적을 위해 규제 기관에 키를 제공할 수 있다.
도 8은 본 명세서에 개시된 실시예에 따라 홈 네트워크의 AAnF에 의해 서빙 네트워크의 AMF에 제공된 AKMA 애플리케이션 키 알림을 예시한 시그널링 다이어그램이다.
도 8을 참조하면, 제공된 방법을 고려하며, 이는 AAnF에서 AMF가 KAF 생성 이벤트에 가입하는 시나리오를 제공한다. 아래에서 단계가 상세히 제공된다.
단계 #1: UE(100)는 네트워크에 등록하고, 1차 인증이 이루어진다. 1차 인증 중에, UDM(200D)은 AKMA 키가 UE(100)에 대해 생성될 필요가 있는지를 명시하는 "AKMA 인디케이션 1"을 AUSF(200A)에 제공한다.
일 실시예에서, UDM(200D)은 또한 VPLMN에서 오퍼레이터 계약 및/또는 AKMA 지원에 따라 생성된 AKMA 키가 방문 PLMN으로 전파될 수 있는지를 명시하는 "AKMA 인디케이션 2"를 AUSF(200A)에 제공한다.
인증 응답의 일부로서, 성공한 경우, 일 실시예에서, AUSF(200A)는 또한 AKMA 키가 UE(100)에 대해 생성될 것임을 방문 네트워크의 AMF에 알린다.
단계 #2: AUSF(200A)는 KAKMA 및 A-KID를 생성한다. 이에 따라, ME에서도 KAKMA와 A-KID가 생성된다.
AUSF(200A)는 UE(100)를 서빙할 AAnF 인스턴스를 선택하고, hAAnF(home AAnF)(200B1)에 SUPI, KAKMA 및 A-KID를 등록한다.
일 실시예에서, AUSF(200A)는 생성된 AKMA 키가 방문 PLMN으로 전파될 필요가 있는지를 명시하는 "AKMA 인디케이션 2"를 hAAnF(200B1) 제공한다. AUSF(200A)는 단계 #1 및/또는 로컬 정책에서 UDM(200D)으로부터의 인디케이션을 기반으로 이를 결정할 수 있다.
단계 #3: 일 실시예에서, AMF는 hAAnF(200B1)에서 KAF 생성 이벤트에 가입한다. 이는 다음과 같은 방법에 의해 달성될 수 있다.
일 실시예에서, AMF는 NRF(200E)에 질의하고 UE(100)를 서빙할 책임이 있는 AAnF의 상세 사항을 얻을 수 있다. 검색된 상세 사항은 KAF 생성 이벤트에 대한 가입 서비스를 제공하는 aAnF 서비스 상세 사항을 포함한다. 일 실시예에서, AAnF는 이러한 가입을 관리하기 위해 NRF(200E)에 새로운 서비스를 등록하여, NF-소비자(예를 들어, AMF)가 검색하고 가입할 수 있도록 한다.
그런 다음, AMF는 KAF 키 자료가 송신될 수 있는 콜백 URL을 제공하는 가입 요청을 hAAnF(200B1)로 송신한다.
AMF는 KAF 키 자료가 1차 인증 절차의 일부로서 또는 1차 인증 절차 후에 송신될 수 있는 콜백 URL을 (예를 들어, AUSF를 통해) hAAnF(200B1)에 제공할 수 있다.
단계 #4: hAAnF(200B1)는 (직접 또는 NEF를 통해) AF(200C)로부터의 요청에 의해 트리거되는 KAF를 생성하고, 이는 차례로 Ua* 인터페이스를 통해 AF와의 UE(100) 통신에 의해 트리거될 수 있다.
단계 #5: hAAnF(200B1)는 KAF와 키 수명을 AF(200C)에 제공한다. 또한, 일 실시예에서, hAAnF(200B1)는 새로운 KAF가 생성될 때마다 vAMF에 알림을 송신하여, UE(100)의 KAF, 키 수명, AF-Identity(예를 들어, FQDN) 및 SUPI를 KAF에 제공한다.
vAMF는 수신된 정보를 UE 컨텍스트에 저장하고, LI 목적을 위해 질의된 경우 수신된 정보를 규제 기관에 제공한다. vAMF는 UE(100)의 등록 취소 후에 이러한 알림을 수신하는 것을 가입 취소할 수 있다.
따라서, 방문 네트워크는 AF(200c)와 UE(100) 간의 통신을 암호화하는 데 사용되는 키에 액세스하고, LI 목적을 위해 규제 기관에 키를 제공할 수 있다.
도 9는 본 명세서에 개시된 바와 같은 실시예에 따라 홈 네트워크에서 AUSF(200A)에 의해 vAAnF(200B2) 및 hAAnF(200B1)에 제공되는 암호학적으로 별개의 AKMA 앵커 키 알림을 예시하는 시그널링 다이어그램이다.
도 9를 참조하면, 제공된 방법을 고려하며, 이는 AKMA 키의 암호화 분리 시나리오를 제공한다. 아래에서 단계가 상세히 제공된다.
단계 #1: UE(100)는 네트워크에 등록하고, 1차 인증이 이루어진다. 1차 인증 중에, UDM(200D)은 AKMA 키가 UE(100)에 대해 생성될 필요가 있는지를 명시하는 "AKMA 인디케이션 1"을 AUSF(200A)에 제공한다.
일 실시예에서, UDM(200D)은 또한 VPLMN에서 오퍼레이터 계약 및/또는 AKMA 지원에 따라 생성된 AKMA 키가 VPLMN으로 전파될 수 있는지를 명시하는 "AKMA 인디케이션 2"를 AUSF(200A)에 제공한다.
단계 #2: AUSF(200A)는 AKMA 키 자료를 hAAnF(200B1) 및 또한 (인증 요청의 SN ID에 기반한) vAAnF(200B2)에 제공한다. hAAnF(200B1)와 vAAnF(200B2)에 제공된 KAKMA 키는 암호화 방식이 상이하다. 일 실시예에서, 암호학적으로 별개의 KAKMA 키는 KAKMA 도출에서 SN 이름/ID를 포함함으로써 도출된다. KAKMA = KDF(KAUSF, FC, "AKMA", SUPI, SN-ID)이다.
이에 따라, KAKMA와 A-KID는 ME에서도 생성된다. 일 실시예에서, UE(100)는 SN PLMN ID에 기초하고/하거나 (AF/서비스 설정에 기반한) HPLMN ID를 사용하여 A-KID를 설정한다. 예를 들어, AF(200C)는 HPLMN ID를 사용하여 A-KID를 생성하도록 ME를 설정할 수 있는 반면, 다른 AF(200C)는 VPLMN ID를 사용하여 A-KID를 생성하도록 ME를 설정할 수 있다. UE(100)에서의 애플리케이션은 이 정보를 UE(100) 내의 AKMA 기능 처리 계층으로 전달할 수 있다. 대안적으로, 이것은 방문 또는 홈 네트워크 ID를 사용하여 UE(100)에 의해 형성된 AF-FQDN에 기반할 수 있다. 다른 실시예에서, UE(100)는 항상 SN ID를 사용하여 A-KID 및 SN ID를 사용하여 도출된 KAKMA 키를 생성한다. AAnF가 AF(200C)에 도달할 수 없는 경우, AF(200C)는 Ua* 인터페이스를 통한 UE의 요청에 응답하여 오류 인디케이션을 제공한다. 오류 응답을 수신하면, UE(100)는 HN ID 및 HN ID를 사용하여 도출된 키를 사용하여 요청을 다시 개시한다. 다른 실시예에서, UE(100)는 항상 HN ID와 HN ID를 사용하여 도출된 키를 먼저 사용한 후, 오류 응답을 수신하면, UE(100)는 SN ID 및 SN ID를 사용하여 도출된 키를 사용할 수 있다.
AUSF(200A)는 로컬 정책 및/또는 (vAAnF(200B2)로부터의 어떠한 요청 없이) "AKMA 인디케이션 2"를 제공한 UDM(200D)에 기초하여 KAKMA 키 자료를 vAAnF(200B2)에 제공할 수 있다.
단계 #3: UE(100)는 UE의 필요한 애플리케이션에 기초하여 AF(200C)와의 Ua* 인터페이스를 통한 통신을 트리거하고, 단계 #2에 명시된 바와 같이 A-KID를 제공한다. 따라서 AF(200C)는 KAF를 획득하기 위한 요청을 vAAnF(200B2) 또는 hAAnF(200B1)로 송신한다. 요청은 AF-Identity(예를 들어, FQDN) 및 A-KID를 포함한다.
단계 #4: 단계 (3/3a)에서 AF(200C)에 의해 접촉된 AAnF에 따라, hAAnF(200B1) 또는 vAAnF(200B2)는 KAF 키 자료를 AF(200C)에 제공한다.
따라서, 방문 네트워크는 AF(200C)와 UE(100) 간의 통신을 암호화하는 데 사용되는 키에 액세스하고, LI 목적을 위해 규제 기관에 키를 제공할 수 있다.
특정 실시예에 대한 상술한 설명은 다른 실시예가 현재 지식을 적용함으로써 일반적인 개념에서 벗어나지 않고 특정 실시예와 같은 다양한 적용을 위해 쉽게 수정 및/또는 적응될 수 있도록 본 명세서의 실시예의 일반적인 특성을 완전히 드러낼 것이며, 따라서, 이러한 적응 및 수정은 개시된 실시예의 등가물의 의미 및 범위 내에서 이해되어야 하고 이해되도록 의도된다. 본 명세서에서 사용된 어법 또는 용어는 설명을 위한 것이며 제한을 위한 것이 아님이 이해되어야 한다. 따라서, 본 명세서의 실시예는 바람직한 실시예의 관점에서 설명되었지만, 통상의 기술자는 본 명세서의 실시예가 본 명세서에 설명된 바와 같이 실시예의 범위 내에서 수정되어 실시될 수 있음을 인식할 것이다.
본 개시는 다양한 실시예로 설명되었지만, 통상의 기술자에게는 다양한 변경 및 수정이 제안될 수 있다. 본 개시는 첨부된 청구항의 범위 내에서 이러한 변경 및 수정을 포함하는 것으로 의도된다.

Claims (15)

  1. 사용자 장치의 로밍 모드에서 AKMA(Authentication and Key Management Application) 서비스를 가능하게 하는 방법에 있어서,
    네트워크 엔티티가 무선 네트워크로 UE의 1차 인증을 수행한 후 상기 AKMA 서비스와 연관된 적어도 하나의 키를 생성하는 단계;
    상기 네트워크 엔티티가 상기 AKMA 서비스와 연관된 적어도 하나의 키를 방문 AKMA 앵커 기능(vAAnF)과 공유할지를 결정하는 단계; 및
    상기 네트워크 엔티티 상기 적어도 하나의 키가 로밍 모드에서 상기 AKMA 서비스를 가능하게 하기 위해 상기 vAAnF와 공유된다는 결정에 응답하여 상기 AKMA 서비스와 연관된 적어도 하나의 키를 상기 vAAnF와 공유하는 단계를 포함하는, 방법.
  2. 제 1 항에 있어서,
    상기 네트워크 엔티티 - 상기 네트워크 엔티티는 인증 서버 기능(AuSF)임 - 가 상기 AKMA 서비스와 연관된 적어도 하나의 키가 상기 vAAnF와 공유됨을 나타내는 통합 데이터 관리(UDM)로부터 제1 인디케이션을 수신하는 단계;
    상기 네트워크 엔티티가 상기 AKMA 서비스와 연관된 적어도 하나의 키가 상기 제1 인디케이션을 수신한 것에 응답하여 상기 vAAnF와 공유된다고 결정하는 단계;
    상기 네트워크 엔티티가 상기 제1 인디케이션을 홈 AKMA 앵커 기능(hAAnF)으로 포워딩하는 단계; 및
    상기 hAAnF가 상기 AKMA 서비스와 연관된 적어도 하나의 키가 상기 제1 인디케이션을 수신한 것에 응답하여 상기 vAAnF와 공유된다고 결정하는 단계를 더 포함하는, 방법.
  3. 제 1 항에 있어서,
    상기 hAAnF는 상기 AKMA 서비스와 연관된 적어도 하나의 키를 공유하기 위해 상기 vAAnF로부터 요청을 수신한 것에 응답하여 상기 AKMA 서비스와 연관된 상기 적어도 하나의 키를 송신하고, 및
    AUSF는 상기 AKMA 서비스와 연관된 적어도 하나의 키를 공유하기 위해 상기 vAAnF로부터 요청을 수신한 것에 응답하여 상기 AKMA 서비스와 연관된 상기 적어도 하나의 키를 송신하는, 방법.
  4. 제 1 항에 있어서,
    상기 hAAnF는 상기 AKMA 서비스와 연관된 새로운 키가 상기 hAAnF에 의해 생성되는 경우 상기 AKMA 서비스와 연관된 적어도 하나의 키를 상기 vAAnF로 송신하고, 및
    AUSF는 상기 AKMA 서비스와 연관된 새로운 키가 상기 AUSF에 의해 생성되는 경우 상기 AKMA 서비스와 연관된 적어도 하나의 키를 상기 vAAnF로 송신하는, 방법.
  5. 제 1 항에 있어서,
    상기 AKMA 서비스와 연관된 적어도 하나의 키는 AKMA 앵커 키(KAKMA), 연관된 AKMA 키 식별자(A-KID) 및 키 수명을 포함하거나, 또는
    상기 AKMA 서비스와 연관된 적어도 하나의 키는 AKMA 애플리케이션 키(KAF), 연관된 키 수명 및 선택적 AF-Identity를 포함하는, 방법.
  6. 제 1 항에 있어서,
    상기 hAAnf가 상기 UE와 통신하기 위해 상기 AKMA 서비스와 연관된 적어도 하나의 키를 요청하는 애플리케이션 기능(AF)으로부터 요청을 수신하는 단계;
    상기 hAAnF가 상기 AF로부터 수신된 요청을 상기 vAAnF로 리디렉션하는 단계; 및
    상기 vAAnf가 상기 hAAnF로부터 수신된 요청을 리디렉션하는 것에 응답하여 상기 AKMA 서비스와 연관된 적어도 하나의 키를 AF에 제공하는 단계를 더 포함하는, 방법.
  7. 제 1 항에 있어서,
    상기 UE가 상기 무선 네트워크로 상기 UE의 1차 인증을 수행한 후 AKMA 앵커 키(KAKMA) 및 A-KID를 생성하는 단계;
    상기 UE가 AF로부터 상기 A-KID를 공유하기 위한 요청을 수신하는 단계; 및
    상기 UE가 상기 KAKMA로부터 AKMA 애플리케이션 키(KAF)를 생성하는 단계를 더 포함하고,
    상기 AF가 애플리케이션에 액세스하기 위해 상기 AF와 통신하기 위한 요청을 상기 UE로부터 수신하는 단계; 및
    상기 AF가 상기 KAF를 공유하기 위한 요청을 상기 네트워크 엔티티로 송신하는 단계를 더 포함하며,
    상기 요청은 AF 아이덴티티 및 상기 A-KID를 포함하는, 방법.
  8. 제 1 항에 있어서,
    상기 네트워크 엔티티가 상기 KAKMA 및 상기 A-KID를 생성하기 위해 통합 데이터 관리(UDM)로부터 AKMA 인디케이션을 수신하는 단계; 및
    상기 네트워크 엔티티가 상기 AKMA 인디케이션에 기초하여 상기 KAKMA 및 상기 A-KID를 생성하는 단계를 더 포함하며,
    상기 네트워크 엔티티는 AKMA 앵커 키(KAKMA), AKMA 키 식별자(A-KID) 및 AKMA 애플리케이션 키(KAF)를 생성하는, AKMA 서비스를 가능하게 하는 방법.
  9. 제 1 항에 있어서,
    상기 네트워크 엔티티가 상기 무선 네트워크에서 상기 UE를 서빙하기 위해 상기 hAAnF를 선택하는 단계;
    상기 네트워크 엔티티가 KAKMA 및 A-KID를 상기 hAAnF에 등록하는 단계;
    상기 네트워크 엔티티가 상기 KAKMA, A-KID 및 방문 네트워크 정보를 전파하기 위한 AKMA 인디케이션을 상기 hAAnF로 송신하는 단계;
    상기 hAAnF가 상기 방문 네트워크에서 상기 KAKMA 및 상기 A-KID를 수신할 책임이 있는 vAAnF 인스턴스 정보를 선택하는 단계; 및
    상기 hAAnF가 상기 KAKMA 및 상기 A-KID를 상기 vAAnF로 송신하는 단계를더 포함하는, 방법.
  10. 제 1 항에 있어서,
    상기 네트워크 엔티티가 상기 무선 네트워크에서 상기 UE를 서빙하기 위해 상기 vAAnF를 선택하는 단계; 및
    상기 네트워크 엔티티가 KAKMA 및 A-KID를 상기 vAAnF에 등록하는 단계를 더 포함하며, 상기 KAKMA 및 상기 A-KID는 상기 AKMA 서비스와 연관된 키인, 방법.
  11. 제 1 항에 있어서,
    상기 vAAnF가 KAKMA, A-KID 및 AF-Identity를 기반으로 KAF를 생성하는 단계; 및
    상기 vAAnF가 상기 KAF를 상기 AF와 공유하는 단계를 더 포함하는, 방법.
  12. 제 1 항에 있어서,
    상기 hAAnF가 KAKMA, A-KID 및 AF-Identity를 기반으로 KAF를 생성하는 단계;
    상기 hAAnF가 상기 vAAnF와 상기 KAF를 공유하는 단계;
    상기 vAAnF가 상기 KAF를 상기 AF와 공유하는 단계; 및
    상기 네트워크 엔티티가 서빙 네트워크 아이덴티티를 포함하는 상기 KAKMA 및 상기 A-KID를 생성하는 단계를 더 포함하는, 방법.
  13. 로밍 모드에서 AKMA(Authentication and Key Management Application) 서비스를 가능하게 하는 사용자 장치(UE)에 있어서,
    메모리;
    프로세서; 및
    상기 메모리 및 상기 프로세서에 동작 가능하게 연결된 AKMA 제어부를 포함하며, 상기 AKMA 제어부는,
    1차 인증을 수행함으로써 상기 UE를 무선 네트워크에 등록하고, 및
    무선 네트워크로 상기 UE의 1차 인증을 수행한 후 상기 AKMA 서비스와 연관된 적어도 하나의 키를 생성하도록 설정하도록 설정되는, 사용자 장치(UE).
  14. 로밍 모드에서 AKMA(Authentication and Key Management Application) 서비스를 가능하게 하는 인증 서버 기능(AuSF) 서버에 있어서,
    메모리;
    프로세서; 및
    상기 메모리 및 상기 프로세서에 동작 가능하게 연결된 AKMA 제어부를 포함하며, 상기 AKMA 제어부는,
    무선 네트워크로 상기 UE의 1차 인증을 수행한 후 상기 AKMA 서비스와 연관된 적어도 하나의 키를 생성하고,
    상기 AKMA 서비스와 연관된 적어도 하나의 키를 방문 AKMA 앵커 기능(vAAnF)과 공유할지를 결정하며, 및
    상기 로밍 모드에서 상기 AKMA 서비스를 가능하게 하기 위해 상기 적어도 하나의 키가 상기 vAAnF와 공유된다는 결정에 응답하여 상기 AKMA 서비스와 연관된 적어도 하나의 키를 상기 vAAnF와 공유하도록 설정되는, 인증 서버 기능(AuSF) 서버.
  15. 무선 네트워크에서의 로밍 모드에서 AKMA 서비스에 대한 인증 및 키 관리를 가능하게 하는 홈 인증 및 키 관리 애플리케이션(AKMA) 앵커 기능(hAAnF) 서버에 있어서,
    메모리;
    프로세서; 및
    상기 메모리 및 상기 프로세서에 동작 가능하게 연결된 AKMA 제어부를 포함하며, 상기 AKMA 제어부는,
    무선 네트워크로 상기 UE의 1차 인증을 수행한 후 상기 AKMA 서비스와 연관된 적어도 하나의 키를 네트워크 엔티티로부터 수신하고;
    상기 AKMA 서비스와 연관된 적어도 하나의 키를 방문 AKMA 앵커 기능(vAAnF)과 공유할지를 결정하며; 및
    상기 로밍 모드에서 상기 AKMA 서비스를 가능하게 하기 위해 상기 적어도 하나의 키가 상기 vAAnF와 공유된다는 결정에 응답하여 상기 AKMA 서비스와 연관된 적어도 하나의 키를 상기 vAAnF와 공유하도록 설정되는, hAAnF 서버.
KR1020237025244A 2020-12-29 2021-12-29 로밍 시나리오에서 akma 서비스를 활성화하는 방법및 시스템 KR20230125262A (ko)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
IN202041056987 2020-12-29
IN202041056987??? 2020-12-29
IN202041056987 2021-12-09
PCT/KR2021/020125 WO2022146014A1 (en) 2020-12-29 2021-12-29 Method and system of enabling akma service in roaming scenario

Publications (1)

Publication Number Publication Date
KR20230125262A true KR20230125262A (ko) 2023-08-29

Family

ID=82120299

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020237025244A KR20230125262A (ko) 2020-12-29 2021-12-29 로밍 시나리오에서 akma 서비스를 활성화하는 방법및 시스템

Country Status (3)

Country Link
US (1) US20220210636A1 (ko)
KR (1) KR20230125262A (ko)
WO (1) WO2022146014A1 (ko)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20230136693A1 (en) * 2021-10-29 2023-05-04 Lenovo (Singapore) Pte. Ltd. Enabling roaming with authentication and key management for applications
WO2024014640A1 (ko) * 2022-07-14 2024-01-18 엘지전자 주식회사 무선 통신 시스템에서 단말 인증 방법 및 장치
WO2024050692A1 (zh) * 2022-09-06 2024-03-14 Oppo广东移动通信有限公司 无线通信的方法及装置
WO2024069502A1 (en) * 2022-09-29 2024-04-04 Lenovo (Singapore) Pte. Ltd. Providing security keys to a serving network of a user equipment
WO2024065502A1 (en) * 2022-09-29 2024-04-04 Apple Inc. Authentication and key management for applications (akma) for roaming scenarios
EP4346251A1 (en) * 2022-09-29 2024-04-03 Nokia Technologies Oy Method and apparatus for lawful interception for akma roaming architecture
CN117812586A (zh) * 2022-09-30 2024-04-02 中国移动通信有限公司研究院 一种通信方法、装置、通信设备和计算机存储介质
WO2024092624A1 (en) * 2022-11-03 2024-05-10 Zte Corporation Encryption key transfer method and device for roaming users in communication networks
WO2024098219A1 (zh) * 2022-11-07 2024-05-16 北京小米移动软件有限公司 一种密钥分发方法、装置、设备及存储介质
WO2024103509A1 (en) * 2023-01-05 2024-05-23 Zte Corporation Enabling authentication and key management for application service for roaming users

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20200068391A1 (en) * 2017-05-09 2020-02-27 Intel IP Corporation Privacy protection and extensible authentication protocol authentication and autorization in cellular networks
WO2020099182A1 (en) * 2018-11-12 2020-05-22 Telefonaktiebolaget Lm Ericsson (Publ) Security parameter negotiation in a wireless communication system
EP3909275A1 (en) * 2019-01-11 2021-11-17 NEC Corporation A method and a device for enabling key re-usage in a communication network
WO2020152087A1 (en) * 2019-01-21 2020-07-30 Telefonaktiebolaget Lm Ericsson (Publ) Key revocation for the authentication and key management for applications feature in 5g
EP4091351A4 (en) * 2020-01-16 2023-10-04 ZTE Corporation METHOD, DEVICE AND SYSTEM FOR GENERATING AND MANAGING ANCHORING KEYS IN A COMMUNICATIONS NETWORK FOR ENCRYPTED COMMUNICATIONS WITH SERVICE APPLICATIONS
US11818570B2 (en) * 2020-12-15 2023-11-14 Oracle International Corporation Methods, systems, and computer readable media for message validation in fifth generation (5G) communications networks

Also Published As

Publication number Publication date
WO2022146014A1 (en) 2022-07-07
US20220210636A1 (en) 2022-06-30

Similar Documents

Publication Publication Date Title
KR20230125262A (ko) 로밍 시나리오에서 akma 서비스를 활성화하는 방법및 시스템
US20230013720A1 (en) Method and system for managing discovery of edge application servers
Kekki et al. MEC in 5G networks
KR102699862B1 (ko) 단말에게 사설 셀룰러 네트워크들에 대한 가입정보를 제공하는 방법
US20220078616A1 (en) Method and apparatus for discussing digital certificate by esim terminal and server
US11659621B2 (en) Selection of IP version
KR20180038304A (ko) 네크워크 슬라이스를 지원하는 로밍 환경에서 단말의 attach 및 home routed PDU session 생성 방법
CN110557744B (zh) 订阅事件的方法与网络功能网元
CN112438041B (zh) 用于执行接入的方法与装置
CN109417536A (zh) 用于管理内容递送网络中的安全内容传输的技术
KR20180093333A (ko) eSIM 접근 제어 방법 및 장치
US20210120416A1 (en) Secure inter-mobile network communication
WO2018219462A1 (en) User authentication in wireless access network
US20220150696A1 (en) Method and apparatus for establishing secure connections for edge computing services
US12081974B2 (en) Method and system for optimizing AKMA key refresh mechanism in wireless network
US20240187860A1 (en) Methods and means for providing access to external networks
KR20230079004A (ko) Mc 네트워크에서 파일 콘텐츠를 저장 및 배포하는 방법 및 디바이스
KR20220144739A (ko) 이동통신 시스템의 네트워크 장치 간 인증 방법 및 장치
US20230144174A1 (en) Method and apparatus for supporting service continuity policy control
EP4210302A1 (en) Apparatus, methods, and computer programs
US9788229B2 (en) Method and apparatus for traffic re-routing based on application-layer traffic optimization services in wireless networks
CN117580079B (zh) 一种基于网络环境的电力态势感知方法
US11800596B2 (en) Systems and methods for temporary service provisioning
WO2022176425A1 (ja) サーバ、要求エンティティ、及びこれらの方法
WO2024079365A1 (en) Notification handling for vertical federated learning enablement