KR20230142626A - 통신 방법 및 장치 - Google Patents
통신 방법 및 장치 Download PDFInfo
- Publication number
- KR20230142626A KR20230142626A KR1020237031465A KR20237031465A KR20230142626A KR 20230142626 A KR20230142626 A KR 20230142626A KR 1020237031465 A KR1020237031465 A KR 1020237031465A KR 20237031465 A KR20237031465 A KR 20237031465A KR 20230142626 A KR20230142626 A KR 20230142626A
- Authority
- KR
- South Korea
- Prior art keywords
- network element
- identifier
- request message
- uav
- terminal device
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 380
- 238000004891 communication Methods 0.000 title claims abstract description 107
- 238000013475 authorization Methods 0.000 claims description 94
- 238000013507 mapping Methods 0.000 claims description 54
- 238000012545 processing Methods 0.000 claims description 27
- 238000004590 computer program Methods 0.000 claims description 18
- 230000006870 function Effects 0.000 description 59
- 230000004044 response Effects 0.000 description 28
- 230000008569 process Effects 0.000 description 25
- 238000007726 management method Methods 0.000 description 19
- 238000005516 engineering process Methods 0.000 description 17
- 238000010586 diagram Methods 0.000 description 9
- 230000005540 biological transmission Effects 0.000 description 7
- 238000012795 verification Methods 0.000 description 6
- 238000013461 design Methods 0.000 description 5
- 230000009471 action Effects 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 230000001360 synchronised effect Effects 0.000 description 4
- 230000008859 change Effects 0.000 description 3
- 230000000977 initiatory effect Effects 0.000 description 3
- 230000007774 longterm Effects 0.000 description 3
- 230000008878 coupling Effects 0.000 description 2
- 238000010168 coupling process Methods 0.000 description 2
- 238000005859 coupling reaction Methods 0.000 description 2
- 238000013523 data management Methods 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000007613 environmental effect Effects 0.000 description 2
- 239000000835 fiber Substances 0.000 description 2
- 238000005242 forging Methods 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 230000033001 locomotion Effects 0.000 description 2
- 238000010295 mobile communication Methods 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- RZVHIXYEVGDQDX-UHFFFAOYSA-N 9,10-anthraquinone Chemical compound C1=CC=C2C(=O)C3=CC=CC=C3C(=O)C2=C1 RZVHIXYEVGDQDX-UHFFFAOYSA-N 0.000 description 1
- 230000001133 acceleration Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000003139 buffering effect Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000006698 induction Effects 0.000 description 1
- 230000003340 mental effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000004064 recycling Methods 0.000 description 1
- 238000005096 rolling process Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000012384 transportation and delivery Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0893—Assignment of logical groups to network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/082—Access security using revocation of authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B64—AIRCRAFT; AVIATION; COSMONAUTICS
- B64U—UNMANNED AERIAL VEHICLES [UAV]; EQUIPMENT THEREFOR
- B64U2201/00—UAVs characterised by their flight controls
- B64U2201/20—Remote controls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
본 출원은 통신 방법 및 장치를 제공한다. 이 방법은 다음을 포함한다. 제1 네트워크 요소는 제2 네트워크 요소로부터 제1 요청 메시지를 수신하고, 제1 요청 메시지는 제1 단말 디바이스에 대해 제1 동작을 수행할 것을 요청하는 데 사용된다. 제1 네트워크 요소는 제1 요청 메시지에 기초해서, 제2 네트워크 요소가 제1 단말 디바이스에 대해 제1 동작을 수행할 것을 요청하는 권한을 부여받았는지 여부를 결정한다. 요청 메시지를 송신하는 네트워크 요소가 관련 동작을 수행할 것을 요청하는 권한을 부여받았는지 여부가 검증되어서, 네트워크 요소가 공격자인지 여부를 판단할 수 있다. 이로써, 공격자의 요청으로 인해서 시스템 서비스에 미치는 영향이 줄어들고 시스템 보안이 향상된다.
Description
본 출원은 2021년 2월 21일에 중국 국가지식재산관리국에 출원된 "COMMUNICATION METHOD AND APPARATUS"라는 명칭의 중국 특허 출원 제202110194700.9호의 우선권을 주장하며, 이는 그 전체가 본 명세서에 참조로서 포함된다.
기술 분야
본 출원은 통신 분야에 관한 것으로서, 보다 상세하게는, 통신 방법 및 장치에 관한 것이다.
일부 시나리오에서, 공격자가 아이덴티티를 가장하여 다른 통신 장치에 대해 일부 작업의 수행을 요청할 수 있다. 예를 들어, 단말 디바이스와 네트워크 슬라이스 사이에서 인증 절차가 완료된 후에, 공격자가 인증, 권한 부여 및 과금 서버(authentication, authorization, and accounting server, AAA-S)로 가장해서 재인증을 요청하거나 혹은 네트워크 슬라이스 특정 인증 및 권한 부여 기능(network slice-specific authentication and authorization function, NSSAAF)으로부터 인증 철회를 요청할 수도 있다. 또 다른 예로, 무인 항공기 인증 및 권한 부여 절차 후에, 공격자는 무인 항공 시스템 교통 관리(uncrewed aerial system traffic management, UTM)/무인 항공 시스템 서비스 공급 업체(unmanned aerial system service supplier, USS)로 가장하여 무인 항공기 기능(예를 들어, 무인 항공기 네트워크 기능(uncrewed aerial vehicle network function, UAV-NF)을 가진 네트워크 요소로부터 인증 및 권한 부여를 철회할 것을 요청할 수 있다. 이는 통신 보안에 심각한 영향을 미친다. 따라서, 통신 보안을 향상시킬 수 있는 기술이 요구되고 있다.
본 출원의 실시예의 통신 방법 및 장치는 통신 보안을 향상시킬 수 있다.
제1 양상에 따르면, 통신 방법이 제공된다. 이 방법은 다음을 포함한다: 제1 네트워크 요소는 제2 네트워크 요소로부터 제1 요청 메시지를 수신하고, 제1 요청 메시지는 제1 단말 디바이스에 대해 제1 동작을 수행할 것을 요청하는 데 사용된다. 제1 네트워크 요소는 제1 요청 메시지에 기초해서, 제2 네트워크 요소가 제1 단말 디바이스에 대해 제1 동작을 수행할 것을 요청하는 권한을 부여받았는지 여부를 결정한다.
예를 들어, 제2 네트워크 요소는 제1 네트워크 요소에 다른 통신 디바이스에 대해 동작을 수행할 것을 요청한다. 예를 들어, 제2 네트워크 요소는 제1 네트워크 요소에 제1 단말 디바이스에 대해 제1 동작을 수행할 것을 요청한다.
예를 들어, 네트워크 슬라이스 시나리오에서, 제2 네트워크 요소는, 예를 들어 AAA-S이고, 제1 네트워크 요소는, 예를 들어 NSSAAF이며, 제1 단말 디바이스는, 예를 들어 사용자 장비(UE)이고, 제1 동작은, 예를 들어 네트워크 슬라이스 특정 재인증이다. 구체적으로, AAA-S는 제1 요청 메시지를 NSSAAF에 송신해서 UE에 대해 네트워크 슬라이스 특정 재인증을 수행할 것을 요청한다. 제1 동작은 네트워크 슬라이스 특정 재인증 또는 네트워크 슬라이스 특정 인증 철회를 포함한다.
다른 예로, 무인 항공기 시나리오에서는, 제2 네트워크 요소는, 예를 들어 UTM이고, 제1 네트워크 요소는, 예를 들어 UAV-NF이며, 제1 네트워크 요소는, 예를 들어 UAV-NF이고, 제1 단말 디바이스는, 예를 들어 UAV이며, 제1 동작은, 예를 들어 무인 항공기 인증 및 권한 부여 철회이다. 구체적으로, UTM은 UAV-NF에 제1 요청 메시지를 송신해서 UAV에 대해 무인 항공기 인증 및 권한 부여를 철회하는 동작을 수행할 것을 요청한다. 제1 동작은 인증 및 권한 부여 철회 또는 페어링 인증 및 권한 부여 철회를 포함한다.
따라서, 본 출원의 이 실시예의 통신 방법에 따라, 요청 메시지를 송신하는 네트워크 요소가 관련 동작을 수행할 것을 요청하는 권한을 부여받았는지 여부가 검증되어서, 네트워크 요소가 악의적인 공격자인지 여부를 판단할 수 있다. 이로써, 공격자의 요청으로 인해서 시스템 서비스에 미치는 영향이 줄어들고 시스템 보안이 향상된다.
제2 네트워크 요소가, 제1 요청 메시지를 통해서, 제1 네트워크 요소에 제1 단말 디바이스에 대해 제1 동작을 수행할 것을 요청하는 것은, 제2 네트워크 요소가, 제1 요청 메시지를 통해서, 제1 요청과 관련되고 제1 단말 디바이스에 의해 사용되는 모든 파라미터에 대해 제1 동작을 수행할 것을 요청하는 것이거나, 또는 제2 네트워크 요소가 제1 요청 메시지를 통해서 제1 요청과 관련되고 제1 단말 디바이스에 의해 사용되는 파라미터에 대해 제1 동작을 수행할 것을 요청하는 것이라고 이해해야 한다. 예를 들어, 네트워크 슬라이스 시나리오에서, 제2 네트워크 요소는, 예를 들어 AAA-S이고, 제1 네트워크 요소는, 예를 들어 NSSAAF이며, 제1 단말 디바이스는, 예를 들어 사용자 장비(UE)이고, UE에 대응하는 파라미터는 S-NSSA 중 적어도 하나이며, 제1 동작은, 예를 들어 네트워크 슬라이스 특정 재인증이다. 구체적으로, AAA-S는 NSSAAF에 제1 요청 메시지를 송신해서 UE의 모든 S-NSSAI에 대응하는 네트워크 슬라이스에 대해 네트워크 슬라이스 특정 재인증을 수행할 것을 요청하거나, 또는 AAA-S는 NSSAAF에 제1 요청 메시지를 송신해서 UE의 S-NSSAI 중 하나에 대응하는 네트워크 슬라이스에 대해 네트워크 슬라이스 특정 재인증을 수행할 것을 요청한다.
제1 양상을 참조해서, 제1 양상의 일부 구현예에서, 제1 요청 메시지는 제1 식별자 및 제2 식별자를 포함하되, 제1 식별자는 제1 단말 디바이스와 연관되고, 제2 식별자는 제2 네트워크 요소와 연관된다.
제1 식별자 및 제2 식별자가 제1 단말 디바이스에 대해 제1 동작을 수행하는 권한을 제2 네트워크 요소가 부여받았는지 여부를 검증하는 데 사용된다는 것은, 제1 식별자 및 제2 식별자가 제2 네트워크 요소가 제1 식별자와의 연관 관계를 갖고 있는지 여부를 검증하는 데 사용된다는 것으로 이해될 수 있다.
제1 단말 디바이스와 연관된 제1 식별자는 제1 단말 디바이스의 아이덴티티를 식별하기 위한 식별자일 수도 있고 혹은 제1 단말 디바이스에 대한 서비스 식별자일 수도 있음을 이해해야 한다. 제2 네트워크 요소와 연관된 제2 식별자는, 제2 네트워크 요소를 식별하기 위한 정보, 예를 들어 제2 네트워크 요소의 주소 정보 또는 아이덴티티 정보일 수도 있고, 혹은 제2 네트워크 요소의 서비스와 연관된 정보일 수도 있다. 이 정보는, 공격자는 얻을 수 없는 정보여야 한다. 따라서, 시스템 보안을 향상시키기 위해서, 제2 네트워크 요소와 연관된 제2 식별자를 검증하는 방식으로 제2 네트워크 요소의 아이덴티티가 올바른지 여부가 검증될 수 있다.
제1 양상을 참조해서, 제1 양상의 일부 구현예에서, 제2 식별자는 제2 네트워크 요소의 아이덴티티(ID), 제2 네트워크 요소의 인터넷 프로토콜(IP) 어드레스, 및 제2 네트워크 요소의 전체 주소 도메인 이름(FQDN) 중 적어도 하나의 정보를 포함하고, 제1 식별자는 단일 네트워크 슬라이스 선택 보조 정보(S-NSSAI)를 포함한다. 이 구현예에서 제2 식별자는 전술한 슬라이스 시나리오에서의 예와 조합될 수 있다는 것을 이해해야 한다.
제1 양상을 참조해서, 제1 양상의 일부 구현예에서, 제2 식별자는 제2 네트워크 요소의 아이덴티티(ID)와 제1 단말 디바이스의 민간 항공 당국 수준의 무인 항공기 식별자 중 적어도 하나의 정보를 포함하고, 제1 식별자는 제1 단말 디바이스의 아이덴티티(ID)를 포함한다. 이 구현예에서 제2 식별자는 전술한 무인 항공기 시나리오에서의 예와 조합될 수 있다는 것을 이해해야 한다.
제1 양상을 참조해서, 제1 양상의 일부 구현예에서, 이 방법은 다음을 더 포함한다: 제1 네트워크 요소는, 제3 식별자와 상기 제1 식별자 사이의 매핑을 저장한다. 제1 네트워크 요소는 제1 요청 메시지에 기초해서, 제2 네트워크 요소가 제1 단말 디바이스에 대해 제1 동작을 수행할 것을 요청하는 권한을 부여받았는지 여부를 결정하는 것은, 제1 네트워크 요소는 제1 식별자에 기초해서 매핑을 획득하고; 제2 식별자가 제3 식별자와 일치하면, 제1 네트워크 요소는 제2 네트워크 요소가 제1 단말 디바이스에 대해 제1 동작을 수행할 것을 요청하는 권한을 부여받은 것으로 결정하고; 또는 제2 식별자가 제3 식별자와 일치하지 않으면, 제1 네트워크 요소는 제2 네트워크 요소가 제1 단말 디바이스에 대해 제1 동작을 수행할 것을 요청하는 권한을 부여받지 않은 것으로 결정한다.
매핑은 유효한 연관 관계를 나타낸다는 것을 이해해야 한다. 구체적으로, 매핑은 제1 식별자의 유효한 연관 객체(예를 들어, FQDN 또는 IP 주소)를 획득하는 데 사용될 수 있다. 매핑은 유효한 연관 개체 예를 들어, 제3 식별자를 나타내는 데 사용된다. 대응하는 네트워크 요소는 제1 단말 디바이스에 대해 제1 동작을 수행하는 권한을 부여받았다. 유효한 연관 객체와 동일한 식별자에 대응하는 네트워크 요소는 제1 단말 디바이스에 대해 제1 동작을 수행할 수 있는 권한을 부여받는다.
제2 식별자가 제3 식별자와 일치한다는 것은, 제2 식별자가 제3 식별자와 일치하다는 것을 나타내거나, 혹은 제2 식별자와 동일한 식별자가 제3 식별자에 기초할 수 있다는 점에 주의한다. 예를 들어, 제2 식별자는 제2 네트워크 요소의 IP 주소#1이고, 제3 식별자는 제3 네트워크 요소의 IP 주소#2이다. IP 주소 #1이 IP 주소 #2와 동일하면, 제2 식별자가 제3 식별자와 일치한다는 것을 나타내고, 혹은 IP 주소 #1이 IP 주소 #2와 동일하지 않으면, 제2 식별자가 제3 식별자와 일치하지 않는다는 것을 나타낸다. 다른 예로서, 제2 식별자는 제2 네트워크 요소의 IP 주소#1이고, 제3 식별자는 제3 네트워크 요소의 FQDN이며, 제1 네트워크 요소는 FQDN에 기초해서 제3 네트워크 요소의 IP 주소#2를 결정한다. IP 주소 #1이 IP 주소 #2와 동일하면, 제2 식별자가 제3 식별자와 일치한다는 것을 나타내고, 혹은 IP 주소 #1이 IP 주소 #2와 동일하지 않으면, 제2 식별자가 제3 식별자와 일치하지 않는다는 것을 나타낸다.
제1 네트워크 요소가 제2 네트워크 요소가 제1 단말 디바이스에 대해 제1 동작을 수행할 것을 요청하는 권한을 부여받은 것으로 결정하면, 제1 요청 메시지에 기초해서 제1 단말 디바이스에 대해 제1 동작의 절차를 수행한다. 제1 네트워크 요소가 제2 네트워크 요소가 제1 단말 디바이스에 대해 제1 동작을 수행할 것을 요청하는 권한을 부여받지 않은 것으로 결정하면, 제1 네트워크 요소는 제1 동작의 절차를 종료한다. 구체적으로, 예를 들어, 제1 네트워크 요소는 제1 요청 메시지를 무시 또는 폐기하거나, 또는 제1 네트워크 요소는 응답 메시지를 제2 네트워크 요소에 송신하는데, 여기서 응답 메시지는 제1 요청 메시지를 거절하는 데 사용되는 것이다.
제1 네트워크 요소는, 시스템 내의 복수의 제어 디바이스와 연관된 복수의 식별자와 복수의 단말 디바이스와 연관된 복수의 식별자 사이의 매핑으로 미리 구성될 수도 있고, 또는 시스템의 다른 관련 식별자에 기초해서 매핑을 결정한 이후에 복수의 제어 디바이스와 연관된 복수의 식별자와 복수의 단말 디바이스와 연관된 복수의 식별자 사이의 매핑을 로컬하게 저장할 수도 있다는 것을 이해해야 한다.
제3 식별자의 속성이 제2 식별자의 속성과 동일하다는 것은 제3 식별자와 제2 식별자가 동일한 유형의 식별자임을 나타낸다는 것을 이해해야 한다. 예를 들어, 제3 식별자와 제2 식별자가 모두 IP 주소인 경우, 제3 식별자는 제3 네트워크 요소의 IP 주소이고, 제2 식별자는 제2 네트워크 요소의 IP 주소이다.
제1 양상을 참조해서, 제1 양상의 일부 구현예에서, 제1 동작은 네트워크 슬라이스-특정 재인증 또는 네트워크 슬라이스-특정 인증 철회를 포함한다.
따라서, 본 출원의 본 실시예에서의 통신 방법은 네트워크 슬라이스 특정 재인증 시나리오에서 보안을 향상시킬 수 있으며, 즉 공격자의 요청으로 인한 단말 디바이스와 네트워크 슬라이스 사이의 반복적인 재인증 또는 인증 철회를 감소시킬 수 있다.
제1 양상을 참조해서, 제1 양상의 일부 구현예에서, 제1 동작은 인증 및 권한 부여 철회 또는 페어링 인증 및 권한 부여 철회를 포함한다.
그러므로, 본 출원의 이 실시예에서 통신 방법은 무인 항공기 시나리오에서 보안을 향상시킬 수 있으며, 즉 공격자의 요청으로 인해 무인 항공기에 대한 인증 및 권한 부여가 철회되는 경우를 줄일 수 있다.
제1 양상을 참조해서, 제1 양상의 일부 구현예에서, 이 방법은 다음을 더 포함한다: 제1 네트워크 요소는 타임스탬프 정보를 획득하고, 여기서 타임스탬프 정보는 제2 식별자의 유효 시간을 나타낸다.
구체적으로, 제2 식별자는 타임스탬프 정보에 바인딩되고, 타임스탬프 정보는 유효 시간을 나타내며, 제1 네트워크 요소는 유효 시간이 만료된 이후에 제2 식별자를 삭제한다. 따라서, 식별 정보가 유효하지 않아서 검증에 실패하는 경우를 방지할 수 있어서, 시스템 보안성이 향상된다.
제1 양상을 참조해서, 제1 양상의 일부 구현예에서, 제1 네트워크 요소가 제2 네트워크 요소로부터 제1 요청 메시지를 수신하기 이전에, 이 방법은 다음을 더 포함한다: 제1 네트워크 요소는 제2 네트워크 요소로의 보안 링크를 구축한다.
보안 링크를 구축하는 것은, 네트워크 구축 동안에, 디바이스 사전 구성 또는 수동 트리거링에 기초해서 제1 네트워크 요소에 의해 제2 네트워크 요소로의 보안 링크를 구축하는 것, 제1 네트워크 요소 및 제2 네트워크 요소가 피어 단부와 처음으로 통신할 때 보안 링크를 구축하는 것, 또는 제1 네트워크 요소 및 제2 네트워크 요소가 피어 단부와 다시 통신할 때 보안 링크를 구축하는 것을 포함할 수 있다. 차이점은, 제1 네트워크 요소에 의한 제2 네트워크 요소로의 보안 링크의 구축이 제1 네트워크 요소에 의해 개시되는 링크 구축 절차라는 점에 있다. 예를 들어, NSSAA 절차에서, 제1 네트워크 요소가 제2 네트워크 요소로의 보안 링크를 구축하는 절차를 개시한다. 그러나, 보안 링크를 다시 구축하는 과정이 제2 네트워크 요소에 의해 개시될 수도 있다. 예를 들어, 네트워크 슬라이스-특정 재인증 절차에서, 제2 네트워크 요소가 제1 네트워크 요소로의 보안 링크를 구축하는 절차를 개시한다.
제1 양상을 참조해서, 제1 양상의 일부 구현예에서, 제1 네트워크 요소는 제2 네트워크 요소로의 보안 링크를 구축하는 것은: 제1 네트워크 요소가 제2 네트워크 요소의 보안 인증서 정보를 획득하는 것과, 제1 네트워크 요소가 보안 인증서 정보에 기초해서 제2 네트워크 요소와의 인터넷 프로토콜 보안(Ipsec) 터널을 구축하는 것을 포함한다.
제1 양상을 참조해서, 제1 양상의 일부 구현예에서, 제1 통신 장치가 제2 제어 장치로의 보안 링크를 구축하는 것은: 제1 네트워크 요소가 제2 네트워크 요소의 보안 인증서 정보를 획득하는 것과, 제1 네트워크 요소가 보안 인증서 정보에 기초해서 제2 네트워크 요소로의 전송 계층 보안(TLS) 프로토콜/데이터그램 전송 계층 보안(DTLS) 프로토콜 링크를 구축한다.
제1 네트워크 요소는 보안 링크의 구축 동안에 또는 보안 링크의 구축 이후에 제4 식별자를 저장하고, 여기서 제4 식별자는 제2 네트워크 요소 및 보안 링크와 연관된다. 제4 식별자가 제2 네트워크 요소와 연관되고, 보안 링크는 제4 식별자가 제2 네트워크 요소와 연관되어 있는 보안-보호되고 증명 가능한 식별자라는 것을 이해해야 한다. 예를 들어, 제1 네트워크 요소는 보안 링크 설정 과정으로부터 제2 네트워크 요소의 보안 인증서를 획득하고, 제2 네트워크 요소의 보안 인증서로부터 제4 식별자를 획득한다. 대안적으로, 제4 식별자는 보안 링크의 식별자와 연관된다. 따라서, 제4 식별자는, 제2 네트워크 요소와 연관된, 인증되고 손상되지 않은 식별자인 것으로 간주될 수 있다.
제1 네트워크 요소는 보안 링크를 통해 제2 네트워크 요소로부터 제1 요청 메시지를 수신하고, 제1 요청 메시지로부터 제2 식별자를 획득한다. 제1 네트워크 요소가 제2 식별자가 제4 식별자와 동일하다고 결정하면, 제1 네트워크 요소는 현재 절차를 계속 수행한다. 제1 네트워크 요소가 제2 식별자가 제4 식별자와 다르다고 결정하면, 제1 네트워크 요소는 절차를 종료한다. 예를 들어, 제1 네트워크 요소는 제1 요청 메시지를 무시 또는 폐기하거나, 또는 제1 네트워크 요소는 응답 메시지를 제2 네트워크 요소에 송신하는데, 여기서 응답 메시지는 제1 요청 메시지를 거절하는 데 사용되는 것이다.
제1 네트워크 요소는 보안 링크를 통해 제2 네트워크 요소로부터 제1 요청 메시지를 수신하고, 제1 요청 메시지로부터 제1 식별자를 획득한다. 제1 네트워크 요소가 제1 식별자와 연관된 제3 식별자 또는 제3 식별자에 대응하는 매핑이 제4 식별자와 동일하다고 결정하면, 제1 네트워크 요소는 현재의 절차를 계속 수행한다. 제1 네트워크 요소가 제3 식별자가 제4 식별자와 다르다고 결정하면, 제1 네트워크 요소는 절차를 종료한다. 예를 들어, 제1 네트워크 요소는 제1 요청 메시지를 무시 또는 폐기하거나, 또는 제1 네트워크 요소는 응답 메시지를 제2 네트워크 요소에 송신하는데, 여기서 응답 메시지는 제1 요청 메시지를 거절하는 데 사용되는 것이다.
제2 양상에 따르면, 통신 방법이 제공된다. 이 방법은: 제2 네트워크 요소가 제1 요청 메시지를 생성하는 단계, 및 제2 네트워크 요소가 제1 요청 메시지를 제1 네트워크 요소에 송신하는 단계를 포함하되, 제1 요청 메시지는 제1 단말 디바이스에 대해 제1 동작을 수행할 것을 요청하는 데 사용되고, 제1 요청 메시지는 제2 네트워크 요소가 제1 단말 디바이스에 대해 제1 동작을 수행할 것을 요청하는 권한을 부여받았는지 여부를 결정하는데 사용된다.
제2 양상을 참조해서, 제2 양상의 일부 구현예에서, 제2 식별자는 제2 네트워크 요소의 아이덴티티(ID), 제2 네트워크 요소의 인터넷 프로토콜(IP) 어드레스, 및 제2 네트워크 요소의 전체 주소 도메인 이름(FQDN) 중 적어도 하나의 정보를 포함하고, 제1 식별자는 단일 네트워크 슬라이스 선택 보조 정보(S-NSSAI)를 포함한다.
제2 양상을 참조해서, 제2 양상의 일부 구현예에서, 제2 식별자는 제2 네트워크 요소의 아이덴티티(ID)와 제1 단말 디바이스의 민간 항공 당국 수준의 무인 항공기 식별자 중 적어도 하나의 정보를 포함하고, 제1 식별자는 제1 단말 디바이스의 아이덴티티(ID)를 포함한다.
제2 양상을 참조해서, 제2 양상의 일부 구현예에서, 제1 동작은 네트워크 슬라이스-특정 재인증 또는 네트워크 슬라이스-특정 인증 철회를 포함한다.
제2 양상을 참조해서, 제12양상의 일부 구현예에서, 제1 동작은 제1 단말 디바이스에 대한 인증 및 권한 부여 철회 또는 제1 단말 디바이스에 대한 페어링 인증 및 권한 부여 철회를 포함한다.
제2 양상을 참조해서, 제2 양상의 일부 구현예에서, 제2 네트워크 요소가 제1 네트워크 요소에 제1 요청 메시지를 송신하기 이전에, 이 방법은 다음을 더 포함한다: 제2 네트워크 요소는 제1 네트워크 요소로의 보안 링크를 구축한다. 제2 네트워크 요소가 제1 요청 메시지를 제1 네트워크 요소에 송신하는 것은: 제2 네트워크 요소가 보안 링크를 통해 제1 네트워크 요소에 제1 요청 메시지를 송신하는 것을 포함한다.
보안 링크를 구축하는 것은, 네트워크 구축 동안에, 디바이스 사전 구성 또는 수동 트리거링에 기초해서 제1 네트워크 요소에 의해 제2 네트워크 요소로의 보안 링크를 구축하는 것, 제1 네트워크 요소 및 제2 네트워크 요소가 피어 단부와 처음으로 통신할 때 보안 링크를 구축하는 것, 또는 제1 네트워크 요소 및 제2 네트워크 요소가 피어 단부와 다시 통신할 때 보안 링크를 구축하는 것을 포함할 수 있다. 차이점은, 제1 네트워크 요소에 의한 제2 네트워크 요소로의 보안 링크의 구축이 제1 네트워크 요소에 의해 개시되는 링크 구축 절차라는 점에 있다. 예를 들어, NSSAA 절차에서, 제1 네트워크 요소가 제2 네트워크 요소로의 보안 링크를 구축하는 절차를 개시한다. 그러나, 보안 링크를 다시 구축하는 과정이 제2 네트워크 요소에 의해 개시될 수도 있다. 예를 들어, 네트워크 슬라이스-특정 재인증 절차에서, 제2 네트워크 요소가 제1 네트워크 요소로의 보안 링크를 구축하는 절차를 개시한다.
제2 양상을 참조해서, 제2 양상의 일부 구현예에서, 제2 네트워크 요소는 제1 네트워크 요소로의 보안 링크를 구축하는 것은: 제2 네트워크 요소가 제2 네트워크 요소의 보안 인증서 정보를 제1 네트워크 요소에 송신하는 것과, 제2 네트워크 요소가 보안 인증서 정보에 기초해서 제1 네트워크 요소와의 인터넷 프로토콜 보안(Ipsec) 터널을 구축하는 것을 포함한다.
제2 양상을 참조해서, 제2 양상의 일부 구현예에서, 제2 네트워크 요소는 제1 네트워크 요소로의 보안 링크를 구축하는 것은: 제2 네트워크 요소가 제2 네트워크 요소의 보안 인증서 정보를 제1 네트워크 요소에 송신하는 것과, 제2 네트워크 요소가 보안 인증서 정보에 기초해서 제1 네트워크 요소로의 전송 계층 보안(TLS) 프로토콜/데이터그램 전송 계층 보안(DTLS) 프로토콜 링크를 구축한다.
제3 양상에 따르면, 통신 방법이 제공된다. 이 방법은: 제1 네트워크 요소가 제2 네트워크 요소로부터 제1 요청 메시지를 수신하는 단계 - 제1 요청 메시지는 제1 단말 디바이스에 대해 네트워크 슬라이스-특정 재인증 또는 네트워크 슬라이스-특정 인증 철회를 수행할 것을 요청하는데 사용됨 - 와, 제1 네트워크 요소가 제1 요청 메시지에 기초해서, 제2 네트워크 요소가 제1 단말 디바이스에 대해 네트워크 슬라이스-특정 재인증 또는 네트워크 슬라이스-특정 인증 철회를 수행할 것을 요청하는 권한을 부여받았는지 여부를 결정하는 단계를 포함한다.
제3 양상을 참조해서, 제3 양상의 일부 구현예에서, 제1 요청 메시지는 제1 식별자 및 제2 식별자를 포함하고, 제1 식별자는 제1 단말 디바이스와 연관되며, 제2 식별자는 제2 네트워크 요소와 연관되고, 제1 식별자 및 제2 식별자는 제2 네트워크 요소가 제1 단말 디바이스에 대해 네트워크 슬라이스-특정 재인증 또는 네트워크 슬라이스-특정 인증 철회를 수행할 것을 요청하는 권한을 부여받았는지 여부를 결정하는데 사용된다.
제3 양상을 참조해서, 제3 양상의 일부 구현예에서, 제2 식별자는 제2 네트워크 요소의 아이덴티티(ID), 제2 네트워크 요소의 인터넷 프로토콜(IP) 어드레스, 및 제2 네트워크 요소의 전체 주소 도메인 이름(FQDN) 중 적어도 하나의 정보를 포함하고, 제1 식별자는 단일 네트워크 슬라이스 선택 보조 정보(S-NSSAI)를 포함한다.
제3 양상을 참조해서, 제3 양상의 일부 구현예에서, 제1 네트워크 요소는 NSSAAF를 포함하고, 제2 네트워크 요소는 AAA-S를 포함하며, 제1 단말 디바이스는 사용자 장비(UE)를 포함한다.
제3 양상을 참조해서, 제3 양상의 일부 구현예에서, 이 방법은 다음을 더 포함한다: 제1 네트워크 요소가 제2 네트워크 요소의 보안 인증서 정보를 획득하는 것과, 제1 네트워크 요소가 보안 인증서 정보에 기초해서 제2 네트워크 요소와의 인터넷 프로토콜 보안(Ipsec) 터널을 구축하는 것을 포함한다.
따라서, 본 출원의 이 실시예에서 제공되는 통신 방법에 따르면, AAA-S가 NSSAAF로 송신하는 제1 요청 메시지는 AAA-S의 주소 정보 및/또는 아이덴티티 정보를 전달하고, AAA-S의 주소 정보 및/또는 아이덴티티 정보를 검증하여 AAA-S의 아이덴티티가 올바른지 여부를 결정한다. 이로써, 공격자의 요청으로 인한 단말 디바이스와 네트워크 슬라이스 사이의 반복적인 재인증 또는 인증 철회를 감소시킬 수 있다.
제4 양상에 따르면, 통신 방법이 제공된다. 이 방법은: 제1 네트워크 요소가 제2 네트워크 요소로부터 제1 요청 메시지를 수신하는 단계 - 제1 요청 메시지는 제1 단말 디바이스에 대해 인증 및 권한 부여 철회/페어링 인증 및 권한 부여 철회를 수행할 것을 요청하는데 사용됨 - 와, 제1 네트워크 요소가 제1 요청 메시지에 기초해서, 제2 네트워크 요소가 제1 단말 디바이스에 대해 인증 및 권한 부여 철회/페어링 인증 및 권한 부여 철회를 수행할 것을 요청하는 권한을 부여받았는지 여부를 결정하는 단계를 포함한다.
제4 양상을 참조해서, 제4 양상의 일부 구현예에서, 제1 요청 메시지는 제1 식별자 및 제2 식별자를 포함하고, 제1 식별자는 제1 단말 디바이스와 연관되며, 제2 식별자는 제1 단말 디바이스 또는 제2 네트워크 요소와 연관되고, 제1 식별자 및 제2 식별자는 제2 네트워크 요소가 제1 단말 디바이스에 대해 인증 및 권한 부여 철회/페어링 인증 및 권한 부여 철회를 수행할 것을 요청하는 권한을 부여받았는지 여부를 결정하는데 사용된다.
제4 양상을 참조해서, 제4 양상의 일부 구현예에서, 제2 식별자는 제2 네트워크 요소의 아이덴티티(ID)와 제1 단말 디바이스의 민간 항공 당국 수준의 무인 항공기 식별자(CAA-수준 UAV ID) 중 적어도 하나의 정보를 포함하고, 제1 식별자는 제1 단말 디바이스의 아이덴티티(ID)를 포함한다.
제4 양상을 참조해서, 제4 양상의 일부 구현예에서, 제1 네트워크 요소는 UAV-NF 또는 AAA-P를 포함하고, 제2 네트워크 요소는 UTM/USS를 포함하며, 제1 단말 디바이스는 UAV를 포함한다.
제4 양상을 참조해서, 제4 양상의 일부 구현예에서, 이 방법은 다음을 더 포함한다: 제1 네트워크 요소가 제2 네트워크 요소의 보안 인증서 정보를 획득하는 것과, 제1 네트워크 요소가 보안 인증서 정보에 기초해서 제2 네트워크 요소로의 전송 계층 보안(TLS) 프로토콜 링크 또는 데이터그램 전송 계층 보안(DTLS) 프로토콜 링크를 구축한다.
따라서, 본 출원의 이 실시예에서 제공되는 통신 방법에 따르면, UTM/USS에 의해 UAV-NF로 송신되는 제1 요청 메시지는 CAA-수준 UAV ID 및/또는 UTM/USS ID를 전달하고, CAA-수준 UAV ID 및/또는 UTM/USS ID가 검증되어서 UTM/USS의 아이덴티티가 올바른지 여부를 결정한다. 이로써 공격자의 요청으로 인해 무인 항공기에 대한 인증 및 권한 부여가 철회되는 경우를 줄일 수 있다. 구체적으로, 본 출원의 이 실시예에서 제공되는 통신 방법에 따르면, UAV-NF는 인증 및 권한 부여 철회 요청을 송신하는 UTM/USS의 아이덴티티가 올바른 것인지 검출할 수 있으며, 즉 UTM/USS가 권한 부여된 UTM/USS인지 여부를 검출할 수 있다. 이로써 공격자의 요청으로 인해 무인 항공기에 대한 인증 및 권한 부여가 예기치 않게 철회되는 경우를 줄일 수 있고, 이로써 시스템 보안을 향상시킨다.
제5 양상에 따르면, 통신 방법이 제공된다. 이 방법은: 제1 네트워크 요소가 제2 네트워크 요소로부터 제1 요청 메시지를 수신하는 단계 - 제1 요청 메시지는 제1 단말 디바이스에 대해 인증 및 권한 부여 철회/페어링 인증 및 권한 부여 철회를 수행할 것을 요청하는데 사용됨 - 와, 제1 네트워크 요소가 제2 네트워크 요소로의 보안 링크가 구축되는지 여부 및 무결성 보호가 인에이블되는지 여부를 결정하며, 제1 네트워크 요소와 제2 네트워크 요소 사이에 보안 링크가 구축되고, 무결성 보호가 인에이블된 경우, 제1 네트워크 요소가 제1 요청 메시지에 기초해서, 제2 네트워크 요소가 제1 단말 디바이스에 대해 인증 및 권한 부여 철회/페어링 인증 및 권한 부여 철회를 수행할 것을 요청하는 권한을 부여받았는지 여부를 결정하는 단계를 포함한다.
제5 양상을 참조해서, 제5 양상의 일부 구현예에서, 제1 네트워크 요소는 UAV-NF 또는 AAA-P를 포함하고, 제2 네트워크 요소는 UTM/USS를 포함하며, 제1 단말 디바이스는 UAV를 포함한다.
제5 양상을 참조해서, 제5 양상의 일부 구현예에서, 이 방법은 다음을 더 포함한다: UAV-NF는 UTM/USS로의 TLS 링크를 구축하는 과정에서 UTM/USS의 식별 정보 및 TLS 링크의 식별 정보를 획득하고, UTM/USS로의 TLS 링크를 성공적으로 구축한 이후에, TLS 링크의 식별 정보와 UTM/USS의 식별 정보 사이의 연관 관계를 저장한다. UAV-NF는 UTM/USS가 송신한 인증 및 권한 부여 철회/페어링 인증 및 권한 부여 철회를 위한 제1 요청 메시지를 TLS 링크를 통해 수신한 이후에, TLS 링크의 식별자에 기초해서 UTM/USS의 식별 정보를 획득하고 검증을 수행해서 UTM/USS의 아이덴티티가 올바른지 여부를 확인한다. 이로써 공격자의 요청으로 인해 무인 항공기에 대한 인증 및 권한 부여가 철회되는 경우를 줄일 수 있다. TLS 링크를 구축하는 것은, 네트워크 구축 동안에, 디바이스 사전 구성 또는 수동 트리거링에 기초해서 UAV-NF에 의해 UTM/USS로의 TLS 링크를 구축하는 것, UTM/USS 및 UAV-NF가 피어 단부와 처음으로 통신할 때 TLS 링크를 구축하는 것, 또는 UTM/USS 및 UAV-NF가 피어 단부와 다시 통신할 때 TLS 링크를 구축하는 것을 포함할 수 있다. 구체적으로, 본 출원의 이 실시예에서 제공되는 통신 방법에 따르면, UAV-NF는 인증 및 권한 부여 철회 요청을 송신하는 UTM/USS의 아이덴티티가 올바른 것인지 검출할 수 있으며, 즉 UTM/USS가 권한 부여된 UTM/USS인지 여부를 검출할 수 있다. 이로써 공격자의 요청으로 인해 무인 항공기에 대한 인증 및 권한 부여가 예기치 않게 철회되는 경우를 줄일 수 있고, 이로써 시스템 보안을 향상시킨다.
따라서, 본 출원의 이 실시예에서 제공되는 통신 방법에 따르면, UAV-NF와 UTM/USS 사이에 TLS 링크가 구축되어서 무결성 보호가 인에이블된 것으로 결정되면, UAV 인증 철회 절차가 수행된다. 그렇지 않으면, UTM/USS의 아이덴티티가 검증되어야 한다. 이로써 공격자의 요청으로 인해 무인 항공기에 대한 인증 및 권한 부여가 예기치 않게 철회되는 경우를 줄일 수 있다.
제6 양상에 따르면, 통신 장치가 제공된다. 장치는, 제2 네트워크 요소로부터 제1 요청 메시지를 수신하도록 구성된 송수신기 모듈 - 제1 요청 메시지는 제1 단말 디바이스에 대해 제1 동작을 수행할 것을 요청하는 데 사용됨 -과, 제1 요청 메시지에 기초해서, 제2 네트워크 요소가 제1 단말 디바이스에 대해 제1 동작을 수행할 것을 요청하는 권한을 부여받았는지 여부를 결정하도록 구성된 처리 모듈을 포함한다.
송수신기 모듈은 제1 양상에서의 수신 및 송신 처리를 수행할 수 있고, 처리 모듈은 제1 양상에서의 수신 및 송신 처리 이외의 처리를 수행할 수 있다.
제7 양상에 따르면, 통신 장치가 제공된다. 장치는, 제1 요청 메시지를 제1 네트워크 요소에 송신하도록 구성된 송수신기 모듈을 포함하되, 제1 요청 메시지는 제1 단말 디바이스에 대해 제1 동작을 수행할 것을 요청하는 데 사용되고, 제1 요청 메시지는 제1 식별자 및 제2 식별자를 포함하며, 제1 식별자는 제1 단말 디바이스와 연관되며, 제2 식별자는 제2 네트워크 요소와 연관되며, 제2 식별자는 제2 네트워크 요소가 제1 단말 디바이스에 대해 제1 동작을 수행할 것을 요청하는 권한을 부여 받아았는지 여부를 결정하는데 사용된다.
송수신기 모듈은 제2 양상에서의 수신 및 송신 처리를 수행할 수 있다. 장치는 처리 모듈을 더 포함하고, 처리 모듈은 제2 양상에서의 수신 및 송신 이외의 처리를 수행할 수 있다.
제8 양상에 따르면, 통신 장치가 제공된다. 장치는 메모리에 저장된 컴퓨터 프로그램을 실행하도록 구성된 프로세서를 포함하여, 통신 장치가 제1 양상 및 제2 양상의 가능한 구현예 중 어느 하나를 수행하게 된다.
제 9 양상에 따르면, 컴퓨터 판독 가능한 저장 매체가 제공된다. 컴퓨터 판독 가능 저장 매체는 컴퓨터 프로그램을 저장하고, 컴퓨터 프로그램이 컴퓨터 상에서 실행될 때, 컴퓨터는 제1 양상 및 제2 양상의 가능한 구현예 중 어느 하나를 수행하게 된다.
제10 양상에 따르면, 칩 시스템이 제공된다. 칩 시스템은, 메모리로부터 컴퓨터 프로그램을 호출하고 컴퓨터 프로그램을 실행하도록 구성된 프로세서를 포함하여, 칩 시스템이 설치된 통신 장치가 제1 양상 및 제2 양상의 가능한 구현예 중 어느 하나를 수행한다.
도 1은 본 출원의 실시예에 따른 방법에 적용 가능한 네트워크 아키텍처의 개략도이다.
도 2는 본 출원의 실시예에 따른 방법에 적용 가능한 다른 네트워크 아키텍처의 개략도이다.
도 3은 본 출원의 실시예에 따른 통신 방법의 개략 흐름도이다.
도 4는 본 출원의 다른 실시예에 따른 통신 방법의 개략 흐름도이다.
도 5는 본 출원의 또 다른 실시예에 따른 통신 방법의 개략 흐름도이다.
도 6은 본 출원의 또 다른 실시예에 따른 통신 방법의 개략 흐름도이다.
도 7은 본 출원의 또 다른 실시예에 따른 통신 방법의 개략 흐름도이다.
도 8은 본 출원의 또 다른 실시예에 따른 통신 방법의 개략 흐름도이다.
도 9는 본 출원의 또 다른 실시예에 따른 통신 방법의 개략 흐름도이다.
도 10은 본 출원의 또 다른 실시예에 따른 통신 방법의 개략 흐름도이다.
도 11은 본 출원의 또 다른 실시예에 따른 통신 방법의 개략 흐름도이다.
도 12는 본 출원의 또 다른 실시예에 따른 통신 방법의 개략 흐름도이다.
도 13은 본 출원에 따른 예시적인 통신 장치의 개략 블록도이다.
도 14는 본 출원에 따른 다른 예시적인 통신 장치의 개략 블록도이다.
도 2는 본 출원의 실시예에 따른 방법에 적용 가능한 다른 네트워크 아키텍처의 개략도이다.
도 3은 본 출원의 실시예에 따른 통신 방법의 개략 흐름도이다.
도 4는 본 출원의 다른 실시예에 따른 통신 방법의 개략 흐름도이다.
도 5는 본 출원의 또 다른 실시예에 따른 통신 방법의 개략 흐름도이다.
도 6은 본 출원의 또 다른 실시예에 따른 통신 방법의 개략 흐름도이다.
도 7은 본 출원의 또 다른 실시예에 따른 통신 방법의 개략 흐름도이다.
도 8은 본 출원의 또 다른 실시예에 따른 통신 방법의 개략 흐름도이다.
도 9는 본 출원의 또 다른 실시예에 따른 통신 방법의 개략 흐름도이다.
도 10은 본 출원의 또 다른 실시예에 따른 통신 방법의 개략 흐름도이다.
도 11은 본 출원의 또 다른 실시예에 따른 통신 방법의 개략 흐름도이다.
도 12는 본 출원의 또 다른 실시예에 따른 통신 방법의 개략 흐름도이다.
도 13은 본 출원에 따른 예시적인 통신 장치의 개략 블록도이다.
도 14는 본 출원에 따른 다른 예시적인 통신 장치의 개략 블록도이다.
이하 첨부된 도면을 참조하면서 본 출원의 기술 해결 방안을 설명한다.
본 출원에서 제공되는 기술적 해결 방안은 다양한 통신 시스템, 예를 들어, 롱 텀 에볼루션(long term evolution, LTE) 시스템, LTE 주파수 분할 듀플렉스(frequency division duplex, FDD) 시스템, LTE 시분할 듀플렉스(time division duplex, TDD) 시스템, 범용 이동 통신 시스템(universal mobile telecommunications system, UMTS), 마이크로파 액세스를 위한 전 세계 상호운용성(worldwide interoperability for microwave access, WiMAX) 통신 시스템, 5세대(5th generation, 5G) 시스템, 뉴 라디오(new radio, NR) 시스템 등에 적용될 수 있다.
본 출원의 실시예에서 제공되는 방법의 코드를 기록한 프로그램이 실행되어서 본 출원의 실시예에서 제공되는 방법에 따라 통신을 수행할 수 있다면, 본 출원의 실시예에서 제공되는 방법의 실행 본체의 특정 구조는 본 출원의 실시예에서 특별히 제한되지 않는다는 것을 이해해야 한다. 예를 들어, 본 출원의 실시예에서 제공되는 방법의 실행 본체는 단말 또는 네트워크 장치일 수도 있고, UE 또는 네트워크 장치 내에서 프로그램을 호출하고 실행할 수 있는 기능 모듈일 수도 있다.
본 출원의 실시예의 이해를 용이하게 하기 위해서, 본 출원의 실시예의 응용 시나리오를 먼저 도 1을 참조해서 상세하게 설명한다.
도 1은 본 출원의 실시예에 따른 방법에 적용 가능한 네트워크 아키텍처의 개략도이다. 도 1에 도시된 네트워크 아키텍처는 구체적으로 다음과 같은 네트워크 요소를 포함할 수 있다.
1. 사용자 장비(user equipment, UE): UE는 단말 디바이스, 단말, 액세스 단말, 가입자 유닛, 가입자 스테이션, 이동국, 모바일 콘솔, 원격 스테이션, 원격 단말, 모바일 디바이스, 사용자 단말, 무선 통신 디바이스, 사용자 에이전트, 또는 사용자 장치로 지칭될 수 있다. 이와 달리, UE는 셀룰러폰, 무선 폰, 세션 개시 프로토콜(session initiation protocol, SIP) 폰, 무선 로컬 루프(wireless local loop, WLL) 스테이션, 개인 휴대 정보 단말기(personal digital assistant, PDA), 무선 통신 기능을 가진 핸드헬드 디바이스, 무선 모뎀에 연결된 컴퓨팅 디바이스 또는 다른 처리 디바이스, 차량 탑재 디바이스, 웨어러블 디바이스, 5G 네트워크 내의 단말 디바이스, 또는 미래 진화된 공공 육상 이동 네트워크(Public Land Mobile Network, PLMN)에서의 단말 디바이스일 수도 있고, 또는 엔드 디바이스, 논리적 엔티티, 휴대폰과 같은 지능형 디바이스, 지능형 단말과 같은 단말 디바이스, 서버, 게이트웨이, 기지국 또는 제어기와 같은 통신 디바이스, 또는 센서, 전기 계량기 또는 수도 계량기와 같은 사물 인터넷(Internet of Things) 디바이스일 수도 있다. 이와 달리, UE는 컴퓨터 또는 노트북 컴퓨터와 같은 유선 디바이스일 수도 있다. 이것은 본 출원의 실시예에서 제한되지 않는다. UE는 롱 텀 키(long-term key) 및 관련 기능을 저장한다. 코어 네트워크 요소(예를 들어, AMF 또는 AUSF)로 양방향 인증을 수행할 때, UE는 롱텀 키 및 관련 기능을 사용해서 네트워크의 신뢰도를 검증한다.
2. 액세스 네트워크(access network, AN): AN은 특정 지역에서 권한 부여된 사용자에게 네트워크 액세스 기능을 제공하는 데 사용되며, 사용자 수준, 서비스 요구 등에 기초해서 다양한 품질의 전송 터널을 사용할 수 있다. 액세스 네트워크는 상이한 액세스 기술을 사용하는 액세스 네트워크일 수도 있다. 현재 무선 접속 기술에는, 3세대 파트너십 프로젝트(3rd generation partnership project, 3GPP) 액세스 기술(예를 들어, 3G, 4G 또는 5G 시스템에서 사용되는 무선 액세스 기술)과 비-3세대 파트너십 프로젝트(non-3GPP) 액세스 기술의 두 가지 타입이 있다. 3GPP 액세스 기술은 3GPP 표준 규격을 준수하는 액세스 기술이다. 3GPP 액세스 기술을 사용하는 액세스 네트워크를 무선 액세스 네트워크(radio access network, RAN)라고 한다. 5G 시스템에서 액세스 네트워크 디바이스를 차세대 노드 기지국(next generation Node Base station, gNB)이라고 한다. 비-3GPP 액세스 기술은 3GPP 규격에 부합하지 않는 액세스 기술로, 예를 들어 Wi-Fi에서 액세스 포인트(access point, AP)로 대표되는 무선 인터페이스 기술이다.
유선 통신 기술에 기초한 네트워크 액세스 기능을 구현하는 액세스 네트워크는 유선 액세스 네트워크라고 지칭될 수 있다.
무선 통신 기술에 기초한 네트워크 액세스 기능을 구현하는 액세스 네트워크는 무선 액세스 네트워크 (radio access network, RAN)라고 지칭될 수 있다. 무선 액세스 네트워크는 무선 리소스를 관리하고, 단말에 대한 액세스 서비스를 제공하며, 단말과 코어 네트워크 사이의 제어 신호 및 사용자 데이터의 포워딩을 더 구현할 수 있다.
무선 액세스 네트워크는, 예를 들어 NodeB(NodeB), 진화된 NodeB(evolved NodeB, eNB 또는 eNodeB), 5G 이동통신 시스템에서의 기지국(gNB), 미래 이동통신 시스템에서의 기지국, 또는 와이파이 시스템에서의 AP 일 수도 있고, 또는 클라우드 무선 액세스 네트워크(cloud radio access network, CRAN) 시나리오에서의 무선 제어기일 수도 있다. 이와 달리, 액세스 네트워크 디바이스는 중계국, 액세스 포인트, 차량-탑재 디바이스, 웨어러블 디바이스, 미래 5G 네트워크에서의 네트워크 디바이스, 미래 진화형 PLMN 네트워크에서의 네트워크 디바이스 등일 수 있다. 무선 액세스 네트워크 디바이스에 의해 사용되는 특정 기술 및 특정 디바이스 형태는, 본 출원의 실시예에서 한정되지 않는다.
3. 액세스 및 이동성 관리 기능(access and mobility management function, AMF) 엔티티: AMF 엔티티는 이동성 관리, 액세스 관리 등에 주로 사용되며, 이동성 관리 엔티티(mobility management entity, MME)의 기능에서 세션 관리 이외의 기능, 예를 들어 합법적 감청 또는 액세스 권한 부여(또는 인증)를 구현하는 데 사용될 수 있다. 본 출원의 실시예에서, AMF 엔티티는 액세스 및 이동성 관리 네트워크 요소의 기능을 구현하는 데 사용될 수 있다.
4. 세션 관리 기능(session management function, SMF) 엔티티. SMF 엔티티는 주로 세션 관리, UE 인터넷 프로토콜(internet protocol, IP) 주소 할당 및 관리, 사용자 플레인 기능 및 정책 제어 또는 과금 기능의 관리를 위한 인터페이스의 종료 선택, 하향링크 데이터 통지 등에 사용된다. 본 출원의 실시예에서, SMF 엔티티는 세션 관리 네트워크 요소의 기능을 구현하는 데 사용될 수 있다.
5. 사용자 플레인 기능(user plane function, UPF) 엔티티, 즉, 데이터 플레인 게이트웨이: UPF 엔티티는 패킷 라우팅과 포워딩, 사용자 플레인 데이터에 대한 서비스 품질(quality of service, QoS) 핸들링 등에 사용될 수 있다. 사용자 데이터는 이러한 네트워크 요소를 통해 데이터 네트워크(data network, DN)에 액세스될 수 있다. 본 출원의 실시예에서, UPF 엔티티는 사용자 플레인 게이트웨이의 기능을 구현하는데 사용될 수 있다.
6. 데이터 네트워크(DN): DN은 데이터 전송을 제공하는 네트워크로서, 예를 들어 사업자 서비스 네트워크, 인터넷(Internet), 제3자 서비스 네트워크 등이다.
7. 인증 서버 기능(authentication server function, AUSF) 엔티티: AUSF 엔티티는 주로 사용자 인증 등에 사용된다.
8. 네트워크 노출 기능(network exposure function, NEF) 엔티티: NEF 엔티티는 3GPP 네트워크 기능이 제공하는 서비스, 기능 등을 안전하게 노출시키는 데 사용된다.
9. 네트워크 저장소 기능(network function(NF) repository function, NRF) 엔티티: NRF 엔티티는 네트워크 기능 엔티티 및 네트워크 기능 엔티티가 제공하는 서비스의 속성 정보를 저장하고, 서비스 디스커버리, 네트워크 요소 엔티티 디스커버리 등을 지원하는데 사용된다.
10. 정책 제어 기능(policy control function, PCF) 엔티티: PCF 엔티티는 네트워크 동작을 통제하기 위한 통합 정책 프레임워크를 지원하고, 컨트롤 플레인 기능 네트워크 요소(AMF 및 SMF 네트워크 요소와 같은)를 위한 정책 규칙 정보 등을 제공한다.
11. 통합 데이터 관리(unified data management, UDM) 엔티티: UDM 엔티티는 사용자 식별 핸들링, 액세스 인증, 등록, 이동성 관리 등에 사용된다.
12. 애플리케이션 기능(application function, AF) 엔티티: AF 엔티티는 트래픽 라우팅에 대한 애플리케이션 영향을 수행하거나, 네트워크 노출 기능 네트워크 요소에 액세스하거나, 정책 제어를 위한 정책 프레임워크와 상호 작용 하는 등의 작업을 수행하는 데 사용된다.
네트워크 아키텍처에서, 인터페이스(N1)는 단말과 AMF 개체 사이의 기준점이다. 인터페이스(N2)는 비-액세스 계층(non-access stratum, NAS) 메시지 등의 전송을 위한 AN과 AMF 개체 사이의 기준점이다. 인터페이스(N3)는 사용자 플레인 데이터 등의 전송을 위한 (R)AN과 UPF 엔티티 사이의 기준점이다. 인터페이스(N4)는 SMF 엔티티와 UPF 엔티티 사이의 기준점으로, N3에 연결된 터널의 식별 정보, 데이터 버퍼링 표시 정보, 다운링크 데이터 통지 메시지 등의 전송을 위한 것이다. 인터페이스(N6)는 사용자 평면 데이터 등의 전송을 위한 UPF 엔티티와 DN 사이의 기준점이다.
도 1의 네트워크 요소들 사이의 인터페이스의 명칭은 단지 예시일 뿐, 인터페이스는 특정 구현 동안에 다른 명칭을 가질 수도 있다. 이것은 본 출원에서 특별히 제한되지 않는다. 나아가, 전술한 네트워크 요소들 사이에서 전송되는 메시지의 명칭(또는 시그널링)은 단지 예일 뿐, 메시지의 기능을 제한하는 것은 전혀 아니다.
본 출원의 실시예에 적용되는 전술한 네트워크 아키텍처는 종래의 점대점 아키텍처 및 서비스-기반 아키텍처의 관점에서 설명된 네트워크 아키텍처의 일 예에 불과하다는 것을 이해해야 한다. 본 출원의 실시예에 적용 가능한 네트워크 아키텍처는 이것으로 제한되지 않는다. 전술한 네트워크 요소의 기능을 구현할 수 있는 네트워크 아키텍처라면, 본 출원의 실시예에 적용 가능하다.
도 1에 도시된 AMF 네트워크 요소, SMF 네트워크 요소, UPF 네트워크 요소, NSSF 네트워크 요소, NEF 네트워크 요소, AUSF 네트워크 요소, NRF 네트워크 요소, PCF 네트워크 요소 및 UDM 네트워크 요소는 모두 코어 네트워크에서 서로 다른 기능을 구현하는 데 사용되는 네트워크 요소라고 이해될 수 있으며, 예를 들어, 필요에 따라 네트워크 슬라이스에 결합될 수도 있다. 이들 코어 네트워크 요소는 독립적인 디바이스일 수도 있고, 혹은 동일한 디바이스에 통합되어서 상이한 기능을 구현할 수도 있다. 이것은 본 출원에서 제한되지 않는다. 코어 네트워크 요소의 기능을 수행하는 디바이스는 코어 네트워크 디바이스 또는 네트워크 디바이스라고도 지칭될 수 있다.
전술한 명칭들은 단지 상이한 기능을 구별하기 위해 사용되는 것일 뿐, 이러한 네트워크 요소가 독립적인 물리적 디바이스이라는 것을 의미하지는 않는다. 전술한 네트워크 요소의 특정 형태는 본 출원에서 제한되지 않는다. 예를 들어, 네트워크 요소들이 동일한 물리적 디바이스에 통합될 수도 있고, 또는 상이한 물리적 디바이스들일 수도 있다. 또한, 전술한 명칭들은 서로 다른 기능을 구별하기 위한 것일 뿐이며, 본 출원을 제한하는 것은 전혀 아니다. 본 출원은 5G 네트워크 및 다른 미래 네트워크에서 다른 명칭을 사용할 가능성을 배제하는 것은 아니다. 예를 들어, 6G 네트워크에서, 전술한 네트워크 요소 중 일부 또는 전부는 5G의 용어를 사용할 수도 있고, 또는 다른 명칭 등을 사용할 수도 있다. 이는 본 명세서에서 일관되게 설명되며, 상세한 내용은 이하에서 설명되지 않는다.
도 2는 본 출원의 실시예에 따른 방법에 적용 가능한 다른 네트워크 아키텍처의 개략도이다. 도 2에 도시된 네트워크 아키텍처는 구체적으로 다음과 같은 네트워크 요소를 포함할 수 있다.
1. 무인 항공기(uncrewed aerial vehicle, UAV): 무인 항공기(uncrewed aerial vehicle, UAV) 또는 무인 항공기(unmanned aircraft) 또는 항공 로봇이라고도 하며, 무선 원격 제어 디바이스 및 자체 제공 프로그램 제어 디바이스를 사용하는 무인 비행기이며, 사람이 탑승하지 않고도 항공 비행 작업 및 다양한 적재 작업을 완료 할 수 있다. 본 출원의 실시예에서의 무인 항공기는 무인 헬리콥터, 고정익 항공기, 다중 로터 항공기, 무인 비행선 또는 무인 패러윙일 수도 있고; 또는 우주선, 예를 들어, 성층권 비행선, 고고도 풍선, 또는 태양열 무인 항공기를 포함할 수도 있으며, 또는 4축 차량, 6축 차량, 단축 차량, 벡터 제어 차량 등의 다양한 형태의 무인 항공기일 수도 있다. 본 출원의 실시예에서 무인 항공기는 군사, 산업, 토목, 농업, 건설, 비디오 및 환경 보호와 같은 분야 및 군사 정찰, 순찰, 항공 사진, 환경 모니터링, 국경 모니터링, 특급 배송 및 전력 검사, 권리 확인, 홍수 조절과 가뭄 구호, 재난 후 구호와 같은 특수 산업에서 사용될 수도 있으며, 여기서 동작에 무인 항공기가 사용된다. 이것은 본 출원의 실시예에서 제한되지 않는다.
무인 항공기의 특정 유형은 본 명세서에서 제한되지 않는다는 것을 이해해야 한다. 지능의 발달로 다른 시나리오에 적용되거나 다른 공중 임무를 수행하기 위해서, 무인 항공기의 기능을 가진 디바이스의 명칭은 달라질 수도 있다. 설명을 용이하게 하기 위해서, 본 출원의 모든 실시예에서, 무인 항공기의 기능을 가질 수 있는 전술한 디바이스를 모두 무인 항공기라고 한다.
무인 항공기는 자이로스코프(비행 자세 감지), 가속도계, 지자기 유도, 기압 센서(개략적 호버 높이 제어), 초음파 센서(정확한 호버 높이 제어 또는 장애물 회피), 광학 흐름 센서(정확한 호버 수평 위치 결정), 글로벌 포지셔닝 시스템(global positioning system, GPS) 모듈(개략적 수평 위치 포지셔닝), 제어 회로, 및 나침반을 포함하며, 무인 항공기의 각속도, 자세, 위치, 가속도, 높이, 풍속 등을 수집하여 무인 항공기의 정상 비행 자세를 자동으로 유지할 수 있다. 무인 항공기용으로 구성된 모듈 또는 하드웨어의 명칭은 단지 예시일 뿐이라는 것을 이해해야 한다. 특정 구현 동안, 각각의 기능 모듈은 다른 명칭을 가질 수도 있다. 이것은 본 출원의 실시예에서 제한되지 않는다. 본 출원의 실시예에서 무인 항공기는 더 많은 혹은 더 적은 기능 모듈을 가질 수도 있고 혹은 더 많은 혹은 더 적은 기능을 구현할 수도 있다. 이것도 본 출원의 실시예에서 제한되지 않는다.
2. 무인 항공기 컨트롤러(uncrewed aerial vehicle controller, UAVC). UAV는 무인 항공기(202)를 제어하도록 구성되며, 예를 들어 무인 항공기의 비행 상태 또는 비행 동작을 제어한다. 무인 항공기 제어기는 스마트 폰, 태블릿, 노트북 컴퓨터, 스마트워치, 스마트 리모콘, 종래의 리모콘, 전용 리모콘 등일 수 있고; 제스처를 사용해서 무인 항공기를 제어할 수 있는 장치 예를 들어, 손목 밴드, 반지, 장갑, 완장, 또는 시계일 수 있으며; 무인 항공기를 정신적으로 제어할 수 있는 헤드 장착 디바이스, 예를 들어, 헤드 커버일 수도 있고; 또는 사용자의 신체 움직임을 통해서 무인 항공기를 제어할 수 있는 장치, 예를 들어, 스마트 재킷 또는 재킷일 수도 있다.
무인 항공기 제어기의 특정 유형은 본 명세서에서 제한되지 않는다는 것을 이해해야 한다. 지능의 발달로 무인 항공기 관제사의 기능을 가진 디바이스의 명칭 및 형태가 달라질 수도 있다. 설명을 용이하게 하기 위해서, 본 출원의 모든 실시예에서, 무인 항공기 제어기의 기능을 가질 수 있거나 혹은 무인 항공기를 제어할 수 있는 전술한 장치를 모두 무인 항공기 제어기라고 한다.
무인 항공기 제어기는 무인 항공기의 비행 상태를 제어할 수 있다. 예를 들어, 무인 항공기 제어기는 무인 항공기의 방향, 에일러론, 승강과 하강, 기울임, 속도, 스로틀, 플랩 등을 제어할 수 있고, 무인 항공기의 선회, 상승, 피치다운, 롤링, 호버링, 이륙 및 착륙 등의 동작을 추가로 제어할 수 있다. 이것은 본 출원의 실시예에서 제한되지 않는다.
3. 무인 항공 시스템(uncrewed aerial system, UAS): UAS는 무인 항공기 및 보조 통신 스테이션 및 무인 항공기의 이착륙(발사) 재활용 디바이스, 무인 항공기 운송, 보관, 검충 디바이스 등을 총칭한다. 본 출원에서 UAS는 UAV와 UAVC로 구성된다. 예를 들어, 하나의 무인 항공기 제어기가 하나 이상의 무인 항공기 차량을 제어할 수도 있고, 하나의 무인 항공기가 하나 이상의 무인 항공기 제어기에 의해 제어될 수도 있으며, 복수의 무인 항공기 제어기가 복수의 무인 항공기를 협력적으로 제어할 수도 있다. 이것은 본 출원의 실시예에서 제한되지 않는다.
4. 무인 항공 시스템 서비스 공급 업체(UAS 서비스 공급 업체, USS): USS는 무인 항공기의 동작 요건을 충족하기 위해 무인 항공기의 조작자 또는 조종사에게 서비스를 제공함으로써 영공의 안전하고 효율적인 사용을 지원하는 서비스를 제공하는 엔티티이다. USS는 공급 업체의 비즈니스 목표를 충족하기 위해 모든 기능의 서브셋을 제공할 수 있다. 이 명칭은 USS의 기능을 나타내는 데만 사용되며 본 출원을 제한하는 것은 전혀 아니다. 본 출원은 후속 표준에서 다른 명칭을 사용할 가능성을 배제하지 않는다.
5. 무인 항공 시스템 교통 관리(uncrewed aerial system traffic management, UTM): UTM은 다양한 자율 주행 차량 동작(무인 항공기 인증, 무인 항공기 서비스 권한 부여, 무인 항공기 정책 관리 및 영공에서 무인 항공기 제어와 같은)을 관리하기위한 일련의 기능 및 서비스를 제공한다. 이 명칭은 UTM의 기능을 나타내는 데만 사용되며 본 출원을 제한하는 것은 전혀 아니다. 본 출원은 후속 표준에서 다른 명칭을 사용할 가능성을 배제하지 않는다.
나아가, USS의 엔티티와 UTM의 엔티티는 하나의 엔티티일 수도 있고, 포함 관계에 있을 수도 있으며, 병렬 관계에 있을 수도 있다. 이것은 본 출원에서 제한되지 않는다.
6. 제3자 권한 부여 엔티티(third party authorized entity, TPAE): TPAE는 UAV를 식별 및/또는 추적하고 일정 범위 내에서 유효하지 않은 UAV를 확인할 수 있다.
도 3에 도시된 아키텍처에서 PLMN-a 와 PLMN-b는 서로 다른 운영자에 속하며, 식별자(UAV 1 내지 UAV 9)는 전술한 아키텍처에서 네트워크 요소의 인터페이스 또는 다른 컴포넌트에 연결된다.
상술한 네트워크 요소 이외에, 본 출원은 무인 항공기 네트워크 기능(UAV network function, UAV-NF) 및 무인 항공기 비행 가능 서브시스템(UAV flight enablement subsystem, UFES)을 더 포함한다. UAV-NF 또는 UFES는 USS 또는 UTM에 개별 인터페이스를 제공하고, USS 또는 UTM이 제공하는 명령을 실행해서 무인 항공 시스템 내부 및 외부로 정보를 전송한다. 이 명칭은 기능을 나타내는 데만 사용되며 본 출원을 제한하는 것은 전혀 아니다. 본 출원은 후속 표준에서 다른 명칭을 사용할 가능성을 배제하지 않는다. 나아가, UAV-NF 또는 UFES는 기존의 네트워크 요소일 수도 있고 또는 새로운 네트워크 요소일 수도 있으며, NEF 또는 서비스 능력 노출 기능(service capability exposure function, SCEF)과 함께 배치될 수도 있고, 또는 NEF가 UAV-NF의 기능을 수행할 수도 있다. 나아가, UAV-NF의 엔티티와 UFES의 엔티티는 하나의 엔티티일 수도 있고, 포함 관계에 있을 수도 있으며, 병렬 관계에 있을 수도 있다. 이것은 본 출원에서 제한되지 않는다.
이해를 돕기 위해, 본 출원의 실시예를 설명하기 전에, 본 출원의 일부 네트워크 요소 또는 용어를 먼저 간략하게 설명한다.
네트워크 슬라이스 특정 인증 및 권한 부여 기능(network slice-specific authentication and authorization function, NSSAAF): NSSAAF는 AMF 및 AAA-S(또는 AAA-P)와 상호 작용한다. NSSAAF는 서비스-기반 인터페이스를 통해 AMF와 상호 작용한다. NSSAAF는 AAA 인터페이스를 통해 AAA-S 또는 AAA-P와 상호 작용한다. 따라서, NSSAAF는 서비스 기반 인터페이스 데이터와 AAA 프로토콜 기반 데이터 간의 데이터 변환 기능을 담당한다.
인증, 권한 부여 및 과금 서버(인증, 권한 부여 및 계정 서버, AAA-S). AAA-S는 권한 부여된 사용자가 사용할 수 있는 네트워크 서버 및 서비스에 액세스할 수 있는 사용자, 네트워크 리소스를 사용해서 사용자에게 과금하는 방법 등을 관리하는 데 사용된다. AAA-S는 3GPP 네트워크 내부에 위치될 수도 있고 또는 외부에 위치될 수도 있다. AAA-S가 3GPP 네트워크 내부에 위치된다는 것은, AAA-S가 운영자가 배치한 AAA-S이라는 것을 이해할 수 있다. AAA-S가 3GPP 네트워크 외부에 위치된다는 것은, AAA-S 서버가 제3자(운영자가가 아닌)가 배치한 서버라는 것을 이해할 수 있다.
인증, 권한 부여 및 과금 프록시(authentication, authorization, and accounting proxy, AAA-P): AAA-P는 주로 3GPP 네트워크 외부에서 NSSAAF와 AAA-S 사이의 메시지 교환에 사용된다.
무인 항공기 네트워크 기능(UAV network function, UAV-NF): UAV-NF는 기존 네트워크 노출 서비스, UUAA, UAV 페어링 인증 및 권한 부여, 관련 철회 절차, UAV 위치 보고 등을 수행한다.
도 3은 본 출원의 실시예에 따른 통신 방법 300의 개략 흐름도이다. 도 3에 도시된 바와 같이, 방법 300은 다음의 단계를 포함한다.
S310: 제2 네트워크 요소는 제1 네트워크 요소에 제1 요청 메시지를 송신하고, 제1 요청 메시지는 제1 단말 디바이스에 대해 제1 동작을 수행할 것을 요청하는 데 사용된다.
특정 예로, 네트워크 슬라이스 시나리오에서, 제2 네트워크 요소는, 예를 들어 AAA-S이고, 제1 네트워크 요소는, 예를 들어 NSSAAF이며, 제1 단말 디바이스는, 예를 들어 사용자 장비(UE)이고, 제1 동작은, 예를 들어 네트워크 슬라이스 특정 재인증이다. 구체적으로, AAA-S는 제1 요청 메시지를 NSSAAF에 송신해서 UE에 대해 네트워크 슬라이스 특정 재인증을 수행할 것을 요청한다. 제1 동작은 네트워크 슬라이스 특정 재인증 또는 네트워크 슬라이스 특정 인증 철회를 포함한다.
다른 특정 예로, 무인 항공기 시나리오에서는, 제2 네트워크 요소는, 예를 들어 UTM이고, 제1 네트워크 요소는, 예를 들어 UAV-NF이며, 제1 네트워크 요소는, 예를 들어 UAV-NF이고, 제1 단말 디바이스는, 예를 들어 UAV이며, 제1 동작은, 예를 들어 무인 항공기 인증 및 권한 부여 철회이다. 구체적으로, UTM은 UAV-NF에 제1 요청 메시지를 송신해서 UAV에 대해 무인 항공기 인증 및 권한 부여를 철회하는 동작을 수행할 것을 요청한다. 제1 동작은 인증 및 권한 부여 철회 또는 페어링 인증 및 권한 부여 철회를 포함한다.
제2 네트워크 요소가 제1 요청 메시지를 통해서 제1 네트워크 요소에 제1 단말 디바이스에 대해 제1 동작을 수행할 것을 요청한 것은, 제2 네트워크 요소가 제1 요청 메시지를 통해서 제1 요청과 관련되고 제1 단말 디바이스에 의해 사용되는 모든 파라미터에 대해 제1 동작을 수행할 것을 요청하는 것이거나, 또는 제2 네트워크 요소가 제1 요청 메시지를 통해서 제1 요청과 관련되고 제1 단말 디바이스에 의해 사용되는 파라미터에 대해 제1 동작을 수행할 것을 요청하는 것이라고 이해해야 한다. 예를 들어, 네트워크 슬라이스 시나리오에서, 제2 네트워크 요소는, 예를 들어 AAA-S이고, 제1 네트워크 요소는, 예를 들어 NSSAAF이며, 제1 단말 디바이스는, 예를 들어 사용자 장비(UE)이고, UE에 대응하는 파라미터는 S-NSSA의 적어도 하나이며, 제1 동작은, 예를 들어 네트워크 슬라이스 특정 재인증이다. 구체적으로, AAA-S는 NSSAAF에 제1 요청 메시지를 송신해서 UE의 모든 S-NSSAI에 대응하는 네트워크 슬라이스에 대해 네트워크 슬라이스 특정 재인증을 수행할 것을 요청하거나, 또는 AAA-S는 NSSAAF에 제1 요청 메시지를 송신해서 UE의 S-NSSAI 중 하나에 대응하는 네트워크 슬라이스에 대해 네트워크 슬라이스 특정 재인증을 수행할 것을 요청한다.
선택적으로, S310 이전에, 제1 네트워크 요소는 제2 네트워크 요소에 대해 제2 동작을 수행하고, 이때 제2 동작은 제1 동작과 연관된다. 예를 들어, 네트워크 슬라이스 시나리오에서, 제2 동작은 네트워크 슬라이스 특정 인증이고 제1 동작은 네트워크 슬라이스 특정 재인증이다. 또 다른 예로, 무인 항공기 시나리오에서, 제2 동작은 인증 및 권한 부여이고, 제1 동작은 인증 및 권한 부여 철회이다.
S320: 제1 네트워크 요소는 제2 네트워크 요소가 제1 단말 디바이스에 대해 제1 동작을 수행할 것을 요청하는 권한을 부여받았는지 여부를 결정한다.
제1 단말 디바이스에 대해 제1 동작을 수행할 것을 요청하는 권한이 부여된 제2 네트워크 요소는 정확한 아이덴티티 또는 유효한 아이덴티티를 가진 네트워크 요소, 또는 관련 서비스 정보와 연관된 아이덴티티 정보를 가진 네트워크 요소라고 이해될 수 있으며, 여기서 연관은 유효한 연관을 갖는 것을 의미한다. 예를 들어, 사전 정의를 만족하는 연관 관계가 유효한 연관 관계라고 이해될 수 있다. 선택적으로, 제1 요청 메시지는 제1 식별자 및 제2 식별자를 포함하고, 제1 식별자 및 제2 식별자는 제1 단말 디바이스에 대해 제1 동작을 수행하는 권한을 제2 네트워크 요소가 부여를 받았는지 여부를 검증하는 데 사용된다. 제1 식별자는 제1 단말 디바이스와 연관되고, 제2 식별자는 제2 네트워크 요소와 연관된다. 제1 단말 디바이스와 연관된 제1 식별자는 제1 단말 디바이스의 아이덴티티를 식별하기 위한 식별자일 수도 있음을 이해해야 한다. 예를 들어, 무인 항공기 시나리오에서, 제1 식별자는 UAV의 3GPP UAV ID일 수 있다. 대안적으로, 제1 식별자는 제1 단말 디바이스의 서비스 식별자일 수 있다. 예를 들어, 네트워크 슬라이스 시나리오에서, 제1 식별자는 단일 네트워크 슬라이스 선택 보조 정보(S-NSSAI)이다. 제2 네트워크 요소와 연관된 제2 식별자는, 제2 네트워크 요소의 식별 정보, 예를 들어 제2 네트워크 요소의 주소 정보 또는 아이덴티티 정보일 수도 있고, 혹은 제2 네트워크 요소의 서비스와 연관된 정보일 수도 있다. 이 정보는, 공격자는 입수하기 어려운 정보여야 한다.
구체적인 예로, 네트워크 슬라이스 시나리오에서, 제2 식별자는, 제2 네트워크 요소의 아이덴티티(ID), 제2 네트워크 요소의 인터넷 프로토콜(IP) 어드레스, 및 제2 네트워크 요소의 전체 주소 도메인 이름(FQDN) 중 적어도 하나의 정보를 포함할 수 있고, 제1 식별자는 단일 네트워크 슬라이스 선택 보조 정보(S-NSSAI)를 포함한다.
다른 구체적인 예에서, 무인 항공기 시나리오에서, 제2 식별자는 제2 네트워크 요소의 아이덴티티(ID) 및/또는 제1 단말 디바이스의 민간 항공 당국 수준의 무인 항공기 식별자를 포함할 수 있고, 제1 식별자는 제1 단말 디바이스의 아이덴티티(ID)를 포함할 수 있다. 선택적으로, S330에서, 제1 네트워크 요소는 제3 식별자와 제1 식별자 사이의 매핑을 저장하고, 여기서 제3 식별자는 제3 네트워크 요소와 연관된다.
매핑은 권한 부여 관계를 나타낼 수 있고, 매핑은 제3 식별자에 대응하는 네트워크 요소가 제1단말 디바이스에 대해 제1 동작을 수행할 수 있는 권한을 부여받았음을 나타낸다.
제3 식별자의 속성은 제2 식별자의 속성과 동일하며, 즉 제3 식별자와 제2 식별자는 동일한 유형의 식별자인 것을 이해해야 한다. 예를 들어, 제3 식별자와 제2 식별자가 모두 IP 주소인 경우, 제3 식별자는 제3 네트워크 요소의 IP 주소이고, 제2 식별자는 제2 네트워크 요소의 IP 주소이다. 제3 식별자와 제1 식별자 사이에 매핑이 존재하며, 즉 제3 네트워크 요소는 제1 식별자와 연관되는데, 이는 제 3 네트워크 요소가 제1 단말 디바이스에 대해 제1 동작을 수행할 수 있는 권한을 부여받았음을 나타낸다. 단말 디바이스와의 매핑이 있는 네트워크 요소가 단말 디바이스에 대해 제1 동작을 수행할 것을 요청하는 권한을 부여받았다는 것은, 두 식별자 사이에 매핑이 존재하는 경우에 두 식별자가 각각 단말 디바이스 및 네트워크 요소를 식별하는 것으로 이해될 수 있으며, 이는 네트워크 요소가 단말 디바이스에 대해 제1 동작을 수행할 것을 요청하는 권한을 부여받았음을 나타낸다. 단말 디바이스를 식별하는 것은, 식별자가 단말 디바이스의 식별자이거나, 단말 디바이스에 대응하는 하나 이상의 파라미터의 식별자인 것으로 이해될 수 있다. 예를 들어, 슬라이스 시나리오에서, 단말 디바이스의 식별자는 S-NSSAI이고, 네트워크 요소의 식별자는 IP 주소, FQDN 등이다. 또 다른 예로, 무인 항공기 시나리오에서, 단말 디바이스의 식별자는 3GPP UAV ID이고, 네트워크 요소의 식별자는 UTM/USS ID, 또는 CAA-수준 UAV ID 등이다.
제2 네트워크 요소는 제3 네트워크 요소와 동일할 수도 있고 상이할 수도 있음을 이해해야 한다. 예를 들어, 제2 네트워크 요소가 공격자인 경우, 제2 네트워크 요소는 제1 식별자와 연관된 제어 디바이스가 아니다.
제1 네트워크 요소는, 시스템 내의 복수의 제어 디바이스와 연관된 복수의 식별자와 복수의 단말 디바이스와 연관된 복수의 식별자 사이의 매핑으로 미리 구성될 수도 있고, 또는 시스템의 다른 관련 식별자에 기초해서 매핑을 결정한 이후에 복수의 제어 디바이스와 연관된 복수의 식별자와 복수의 단말 디바이스와 연관된 복수의 식별자 사이의 매핑을 로컬하게 저장할 수도 있다는 것을 이해해야 한다.
예를 들어, 제1 요청 메시지를 수신한 후, 제1 네트워크 요소는, 제1 식별자, 제2 식별자 및 매핑에 기초해서, 제2 네트워크 요소가 제1 단말 디바이스에 대해 제1 동작을 수행하는 권한을 부여받았는지 여부를 결정한다.
예를 들어, 제1 네트워크 요소는 제3 식별자와 제1 식별자 사이의 매핑을 로컬에 저장한다. 제1 요청 메시지를 수신하고, 제1 요청 메시지로부터 제1 식별자를 획득한 후, 제1 네트워크 요소는 제1 식별자 및 매핑에 기초해서 제3 식별자를 결정한다. 제2 식별자가 제3 식별자와 일치하면, 제1 네트워크 요소는 제2 네트워크 요소가 제1 단말 디바이스에 대해 제1 동작을 수행할 것을 요청하는 권한을 부여받은 것으로 결정하고; 또는 제2 식별자가 제3 식별자와 일치하지 않으면, 제1 네트워크 요소는 제2 네트워크 요소가 제1 단말 디바이스에 대해 제1 동작을 수행할 것을 요청하는 권한을 부여받지 않은 것으로 결정한다.
제2 식별자가 제3 식별자와 일치한다는 것은, 제2 식별자가 제3 식별자와 동일하다는 것을 나타내거나, 또는 제2 식별자와 동일한 식별자가 제3 식별자에 기초할 수도 있고, 또는 제2 식별자와 동일한 식별자가 제3 식별자에 기초할 수도 있다는 것을 나타낸다. 예를 들어, 제2 식별자는 제2 네트워크 요소의 IP 주소#1이고, 제3 식별자는 제3 네트워크 요소의 IP 주소#2이다. IP 주소 #1이 IP 주소 #2와 동일하면, 제2 식별자가 제3 식별자와 일치한다는 것을 나타내고, 혹은 IP 주소 #1이 IP 주소 #2와 동일하지 않으면, 제2 식별자가 제3 식별자와 일치하지 않는다는 것을 나타낸다. 다른 예로서, 제2 식별자는 제2 네트워크 요소의 IP 주소#1이고, 제3 식별자는 제3 네트워크 요소의 FQDN이며, 제1 네트워크 요소는 FQDN에 기초해서 제3 네트워크 요소의 IP 주소#2를 결정한다. IP 주소 #1이 IP 주소 #2와 동일하면, 제2 식별자가 제3 식별자와 일치한다는 것을 나타내고, 혹은 IP 주소 #1이 IP 주소 #2와 동일하지 않으면, 제2 식별자가 제3 식별자와 일치하지 않는다는 것을 나타낸다. 다른 예로서, 제2 식별자는 제2 네트워크 요소의 IP 주소#1이고, 제3 식별자는 제3 네트워크 요소의 FQDN이며, 제1 네트워크 요소는 IP 주소#1에 기초해서 제3 네트워크 요소의 FQDN #2를 결정한다. FQDN #1이 FQDN #2와 동일하면, 제2 식별자가 제3 식별자와 일치한다는 것을 나타내고, 혹은 FQDN #1이 FQDN #2와 동일하지 않으면, 제2 식별자가 제3 식별자와 일치하지 않는다는 것을 나타낸다.
제1 네트워크 요소가 제2 네트워크 요소가 제1 단말 디바이스에 대해 제1 동작을 수행할 것을 요청하는 권한을 부여받은 것으로 결정하면, 제1 요청 메시지에 기초해서 제1 단말 디바이스에 대해 제1 동작의 절차를 수행한다. 제1 네트워크 요소가 제2 네트워크 요소가 제1 단말 디바이스에 대해 제1 동작을 수행할 것을 요청하는 권한을 부여받지 않은 것으로 결정하면, 제1 네트워크 요소는 제1 동작의 절차를 종료한다. 구체적으로, 예를 들어, 제1 네트워크 요소는 제1 요청 메시지를 무시 또는 폐기하거나, 또는 제1 네트워크 요소는 응답 메시지를 제2 네트워크 요소에 송신하는데, 여기서 응답 메시지는 제1 요청 메시지를 거절하는 데 사용되는 것이다.
선택적으로, 제1 네트워크 요소는 제2 네트워크 요소로의 보안 링크를 구축한다.
보안 링크를 구축하는 것은, 네트워크 구축 동안에, 디바이스 사전 구성 또는 수동 트리거링에 기초해서 제1 통신 장치에 의해 제2 제어 디바이스로의 보안 링크를 구축하는 것, 제1 통신 장치 및 제2 제어 디바이스가 피어 단부와 처음으로 통신할 때 보안 링크를 구축하는 것, 또는 제1 네트워크 요소 및 제2 네트워크 요소가 피어 단부와 다시 통신할 때 보안 링크를 구축하는 것을 포함할 수 있다. 차이점은, 제1 네트워크 요소에 의한 제2 네트워크 요소로의 보안 링크의 구축이 제1 네트워크 요소에 의해 개시되는 링크 구축 절차라는 점에 있다. 예를 들어, NSSAA 절차에서, 제1 네트워크 요소가 제2 네트워크 요소로의 보안 링크를 구축하는 절차를 개시한다. 그러나, 보안 링크를 다시 구축하는 과정이 제2 네트워크 요소에 의해 개시될 수도 있다. 예를 들어, 네트워크 슬라이스-특정 재인증 절차에서, 제2 네트워크 요소가 제1 네트워크 요소로의 보안 링크를 구축하는 절차를 개시한다.
예를 들어, 제1 네트워크 요소가 제2 네트워크 요소의 보안 인증서 정보를 획득하는 것과, 보안 인증서 정보에 기초해서 제2 네트워크 요소와의 인터넷 프로토콜 보안(Ipsec) 터널을 구축하는 것을 포함한다.
제1 네트워크 요소는 보안 링크의 구축 동안에 또는 보안 링크의 구축 이후에 제4 식별자를 저장하고, 여기서 제4 식별자는 제2 네트워크 요소 및 보안 링크와 연관된다.
제4 식별자는 제2 네트워크 요소 및 보안 링크와 연관된다는 것을 이해해야 한다. 따라서, 제4 식별자는, 제2 네트워크 요소와 연관된, 실제 조작되지 않은 식별자인 것으로 간주될 수 있다.
제1 네트워크 요소는 보안 링크를 통해 제2 네트워크 요소로부터 제1 요청 메시지를 수신하고, 제1 요청 메시지로부터 제2 식별자를 획득한다. 제1 네트워크 요소가 제2 식별자가 제4 식별자와 동일하다고 결정하면, 제1 네트워크 요소는 S320의 절차를 계속 수행한다. 제1 네트워크 요소가 제2 식별자가 제4 식별자와 다르다고 결정하면, 제1 네트워크 요소는 절차를 종료한다. 예를 들어, 제1 네트워크 요소는 제1 요청 메시지를 무시 또는 폐기하거나, 또는 제1 네트워크 요소는 거절 메시지를 제2 네트워크 요소에 송신한다.
제1 네트워크 요소는 보안 링크를 통해 제2 네트워크 요소로부터 제1 요청 메시지를 수신하고, 제1 요청 메시지로부터 제1 식별자를 획득한다. 제1 네트워크 요소가 제1 식별자와 연관된 제3 식별자 또는 제3 식별자에 대응하는 매핑이 제4 식별자와 동일하다고 결정하면, 제1 네트워크 요소는 S320의 절차를 계속 수행한다. 제1 네트워크 요소가 제3 식별자가 제4 식별자와 다르다고 결정하면, 제1 네트워크 요소는 절차를 종료한다. 예를 들어, 제1 네트워크 요소는 제1 요청 메시지를 무시 또는 폐기하거나, 또는 제1 네트워크 요소는 응답 메시지를 제2 네트워크 요소에 송신하는데, 여기서 응답 메시지는 제1 요청 메시지를 거절하는 데 사용되는 것이다.
따라서, 본 출원의 이 실시예의 통신 방법에 따라, 요청 메시지를 송신하는 네트워크 요소가 요청하는 권한을 부여받았는지 여부가 검증되어서, 네트워크 요소가 악의적인 공격자인지 여부를 판단할 수 있다. 이로써, 공격자의 요청으로 인해서 시스템 서비스에 미치는 영향이 줄어들고 시스템 보안이 향상된다.
네트워크 디바이스가 단말 디바이스에 대해 슬라이스 특정 인증을 완료한 이후에, AAA-S는 몇 가지 이유로 재인증 절차 또는 인증 철회 절차를 시작할 수 있다. 그러나, AAA-S가 악의적인 공격자이거나, AAA-S가 위치된 제3자 네트워크가 손상된 경우, 공격자는 악의적으로 S-NSSAI 및 GPSI를 위조하여 AMF에 대해 인증 철회 또는 재인증 동작을 개시할 수 있다. 예를 들어, 공격자는 네트워크에 저장된 S-NSSAI에 대응하는 GPSI에 기초해서 S-NSSAI의 일부를 랜덤하게 생성한다. 만약, 랜덤하게 생성된 S-NSSAI 및 GPSI가 쌍으로 사용될 수 있다면, 랜덤하게 생성된 S-NSSAI에 대응하는 단말 디바이스에 의해 사용되는 네트워크 슬라이스는 반복적으로 재인증되거나 예기치 않게 철회된다. 결과적으로 단말 디바이스의 사용자 경험이 감소되거나, 네트워크 슬라이스를 더 이상 사용할 수 없다. 따라서 AAA-S가 악의적인 공격자인지 여부를 식별하는 방법은 현재 해결해야 할 시급한 문제이다.
도 4는 본 출원의 실시예에 따른 네트워크 슬라이스 시나리오에서의 통신 방법 400의 개략 흐름도이다.
방법 400 이전에, 네트워크 측은 슬라이스 특정 인증 절차를 완료한다는 것을 이해해야 한다.
예를 들어, AMF는 슬라이스 특정 인증(네트워크 슬라이스 특정 인증 및 권한 부여(network slice-specific authentication and authorization), NSSAA) 절차를 개시한다. 예를 들어, AMF는 가입 데이터의 변경 또는 제1 AAA-S의 트리거링에 기초해서 NSSAA 절차를 개시한다.
AMF는 단말 디바이스로부터 단일 네트워크 슬라이스 선택 보조 정보(single network slice selection assistance information, S-NSSAI)를 획득한 후, NSSAAF에 인증 요청 메시지를 송신한다. 인증 요청 메시지는 확장 가능한 인증 프로토콜 식별자(extensible authentication protocol identity document, EAP ID), 일반 공개 가입 아이덴티티(generic public subscription identifier, GPSI), 및 S-NSSAI를 포함한다.
만약, 단말 디바이스의 가입 데이터에 복수의 GPSI가 존재한다면, AMF는 복수의 GPSI 중에서 하나의 GPSI를 랜덤하게 선택한 후, 선택된 GPSI, EAP ID 및 S-NSSAI를 인증 요청 메시지를 통해 NSSAAF로 송신한다는 점에 유의해야 한다.
NSSAAF는 로컬하게 배치된 제1 AAA-S의 어드레스와 S-NSSAI 사이의 연관 관계(S-NSSAI당 AAA-S 주소의 로컬 구성)에 기초해서 제1 AAA-S를 결정하고, AAA 프로토콜을 통해 제1 AAA-S에 인증 요청 메시지를 송신한다. 제1 AAA-S가 3GPP 네트워크 외부에 있는 경우, NSSAAF는 AAA-P를 통해 제1 AAA-S와 통신해야 한다는 점에 유의해야 한다. 환언하면, NSSAAF가 먼저 인증 요청 메시지를 AAA-P에 송신한 다음, AAA-P가 이 메시지를 AAA-P에 송신한다. 유사하게, 3GPP 네트워크 외부의 제1 AAA-S가 NSSAAF에 메시지를 송신해야 하는 경우, 메시지는 또한 AAA-P를 통해 포워딩되어야 한다. 간결하게 하기 위해서, 후속하는 솔루션에서, 유사한 절차는 이 출원에서 상세히 설명되지 않는다.
네트워크 측은 전술한 정보에 기초해서 슬라이스-특정 인증 절차를 완료한다.
NSSAAF는 제1 AAA-S의 주소 정보 #1과 S-NSSAI 사이의 연관 관계로 로컬하게 사전 구성되고, 주소 정보 #1은 AAA-S를 찾는데 사용될 수 있는 정보라고 이해될 수 있음에 유의해야 한다. 예를 들어, 제1 AAA-S의 주소 정보가 제1 AAA-S의 IP 주소인 경우, NSSAAF는 제1 AAA-S에 직접 메시지를 송신할 수 있다. 예를 들어, 제1 AAA-S의 주소 정보는, 예를 들어, 전체 주소 도메인 이름(FQDN)일 수 있다. FQDN은 인덱스이며, 이 인덱스는 예를 들어 "제1 네트워크의 AAA-S"를 나타낼 수 있다. 따라서, NSSAAF는 FQDN에 기초해서 제1 AAA-S의 IP 주소를 획득할 수 있고, 나아가 제1 AAA-S에 메시지를 송신할 수 있다. 예를 들어, 제1 AAA-S의 주소 정보는 제1 AAA-S가 위치된 애플리케이션의 데이터 네트워크 이름(data network name, DN)으로, 예를 들어, "Google" 또는 "Baidu"를 포함할 수 있다. NSSAAF는 데이터 네트워크 이름에 기초해서 도메인 네임 서버(domain name server, DNS)로부터 제1 AAA-S의 IP 어드레스 또는 제1 AAA-S가 위치된 네트워크 측 상의 게이트웨이의 IP 어드레스를 획득하여, 제1 AAA-S를 찾을 수 있다.
제1 AAA-S의 아이덴티티 정보 #1은 제1 AAA-S를 고유하게 식별한다. 예를 들어, 제1 AAA-S의 아이덴티티 정보(identity information)#1은 AAA-S의 인터넷 프로토콜(internet protocol, IP) 주소, 제1 AAA-S의 글로벌하게 고유한 아이덴티티(아이덴티티 도큐먼트(identity document), ID), 또는 인증서에 실린 아이덴티티 정보(identity information)를 포함할 수 있다.
결과적으로, 제1 AAA-S의 주소 정보 #1는 제1 AAA-S의 아이덴티티 정보 #1와 같을 수도 있고, 다를 수도 있다. 만약, 제1 AAA-S의 주소 정보 #1이 제1 AAA-S의 아이덴티티 정보 #1과 동일할 수 있다면, 제1 AAA-S의 주소 정보 #1은 제1 AAA-S의 아이덴티티를 직접 반영할 수 있다고 이해될 수 있다. 만약, 제1 AAA-S의 주소 정보가 제1 AAA-S의 아이덴티티 정보와 다르다면, 제1 AAA-S의 주소 정보 #1는 제1 AAA-S의 아이덴티티를 직접 반영할 수 없다. 이 경우, 제1 AAA-S의 주소 정보 #1에 기초해서 제1 AAA-S의 아이덴티티 정보 #1이 획득될 수 있다.
제1 AAA-S의 주소 정보 #1이 제1 AAA-S의 아이덴티티를 직접 반영할 수 없는 경우, NSSAAF는 제1 AAA-S의 주소 정보 #1에 기초해서 제1 AAA-S의 아이덴티티 정보 #1을 결정하고, 선택적으로 제1 AAA-S의 아이덴티티 정보 #1과 S-NSSAI 사이의 연관 관계를 저장할 수 있다. 예를 들어, 제1 AAA-S의 주소 정보가 FQDN인 경우, FQDN은 제1 AAA-S의 아이덴티티 정보(예를 들어, IP 주소)가 아니다. NSSAAF는 FQDN에 기초해서 제1 AAA-S의 아이덴티티 정보 #1을 결정하고, 선택적으로 제1 AAA-S의 아이덴티티 정보 #1과 S-NSSAI 사이의 연관 관계를 저장할 수 있다.
선택적으로, NSSAAF는 타임스탬프 정보를 획득한다. 타임스탬프는 제1 AAA-S의 아이덴티티 정보 #1에 바인딩되며, 제1 AAA-S의 아이덴티티 정보의 유효 시간을 나타낸다. 예를 들어, 제1 AAA-S의 아이덴티티 정보 #1는 제1 AAA-S의 IP 주소이고, 유효 시간이 만료된 후에 IP 주소는 갱신된다. 이 경우, NSSAAF는 타임스탬프 정보에 기초해서 IP 주소의 유효 시간을 결정할 수 있다. 유효 시간이 만료된 후 NSSAAF는 제1 AAA-S의 아이덴티티 정보 #1을 삭제한다.
도 4에 도시된 바와 같이, 방법 400은 다음의 단계를 포함한다.
S410: 제2 AAA-S는 제1 요청 메시지를 송신하고, 여기서 제1 요청 메시지는 단말 디바이스에 대한 네트워크 슬라이스-특정 재인증 또는 네트워크 슬라이스-특정 인증 철회를 수행할 것을 요청하는 데 사용되며(도면에 도시되지 않음), 제1 요청 메시지는 단말 디바이스의 GPSI 및 S-NSSAI를 포함한다. 선택적으로, 제1 요청 메시지는 제2 AAA-S의 아이덴티티 정보 #2 또는 제2 AAA-S의 주소 정보 #2를 더 포함한다. 이에 따라 NSSAAF는 제2 AAA-S로부터 제1 요청 메시지를 수신한다.
제2 AAA-S는 슬라이스-특정 인증 절차에서 제1 AAA-S와 동일할 수도 있고 다를 수도 있음에 유의해야 한다. 예를 들어, 제2 AAA-S는 악의적인 공격자이며, 이 경우 제2 AAA-S와 제1 AAA-S는 동일하지 않다.
S420: NSSAAF는 제2 AAA-S의 아이덴티티가 올바른지 여부를 결정한다. NSSAAF는 제2 AAA-S와 S-NSSAI 사이에 연관 관계가 존재하는지 여부를 결정한다는 것이 이해될 수 있다. 연관 관계가 존재하는 경우, 제2 AAA-S는 S-NSSAI와 관련된 슬라이스-특정 인증 절차를 합법적으로 개시할 수 있다. 연관 관계가 없는 경우 AAA-S는 S-NSSAI의 실제 제어기가 아니다. 환언하면, 제2 AAA-S는 공격자에 의해 제어되는 악성 AAA-S로 간주될 수 있다.
예를 들어, NSSAAF는 제1 요청 메시지에 기초해서 AAA-S의 아이덴티티를 식별하기 위한 정보, 예를 들어, AAA-S의 아이덴티티 정보 #2 또는 AAA-S의 주소 정보 #2를 획득한 후, AAA-S와 S-NSSAI를 식별하기 위한 아이덴티티 정보 사이의 연관 관계가 올바른지 검증한다. AAA-S의 아이덴티티가 올바르다면, AAA-S가 NSSAI에서 네트워크 슬라이스-특정 재인증 또는 네트워크 슬라이스-특정 인증 철회를 수행할 것을 요청할 권한이 있음을 나타낸다.
일례로, NSSAAF는 제1 AAA-S의 주소 정보 #1과 S-NSSAI 사이의 연관 관계로 사전 구성된다. S410에서 AAA-S가 송신하는 제1 요청 메시지는 GPSI, S-NSSAI 및 제2 AAA-S의 주소 정보 #2를 전달한다. 주소 정보 #1는 NSSAAF의 사전 설정된 정보에 저장된 주소 정보이므로, 주소 정보 #1은 AAA-S의 실제 주소 정보인 것으로 간주될 수 있음에 유의해야 한다. 주소 정보 #2는 재인증 또는 인증 철회를 요청하는 제2 AAA-S의 주소 정보로서, 제2 AAA-S는 공격자에 의해 가장될 수 있다. NSSAAF는 제1 요청 메시지를 수신하고, 제1 요청 메시지로부터 주소 정보 #2를 획득하고, 제1 요청 메시지로 전달되는 S-NSSAI에 기초해서 로컬 스토리지로부터 S-NSSAI와 연관된 주소 정보#1를 획득하고, 주소 정보 #1과 주소 정보 #2를 비교한다. 주소 정보 #2가 주소 정보 #1과 동일하면, NSSAAF는 제2 AAA-S의 아이덴티티가 올바르다고, 즉 제2 AAA-S가 S-NSSAI와 연관될 수 있다고 결정한다. 주소 정보 #2가 주소 정보 #1와 동일하지 않은 경우, NSSAAF는 제2 AAA-S의 아이덴티티가 올바르지 않다고, 즉 제2 AAA-S가 S-NSSAI와 연관될 수 없다고 결정한다. 여기서 공격자가 제2 AAA-S를 제어할 수는 있지만, 제2 AAA-S의 주소 정보 #2는 제어할 수 없다는 점에 주의한다. 따라서, 주소 정보 #2는 재인증 또는 인증 철회를 요청하는 제2 AAA-S의 실제 주소 정보라고 간주할 수 있다.
또 다른 예로, 슬라이스-특정 인증 절차에서 또는 슬라이스-특정 인증 절차가 성공한 후, NSSAAF는 제1 AAA-S의 로컬하게 사전 구성된 주소 정보 #1에 기초해서 제1 AAA-S의 아이덴티티 정보 #1를 결정한다. 예를 들어, NSSAAF는 제1 AAA-S의 주소 정보 #1에 기초해서 아이덴티티 정보 #1를 획득한다. 구체적으로, 예를 들어, NSSAAF는 제1 AAA-S의 주소 정보 #1에 기초해서 네트워크 관리 시스템 또는 DNS 서버에 제1 AAA-S의 아이덴티티 정보 #1을 요청한다. 아이덴티티 정보 #1을 획득한 후, NSSAAF는 제1 AAA-S의 아이덴티티 정보 #1과 S-NSSAI 사이의 연관 관계를 저장한다. S410에서 제2 AAA-S에 의해 송신되는 제1 요청 메시지는 GPSI, S-NSSAI 및 제2 AAA-S의 주소 정보 #2를 전달한다. NSSAAF는 제1 요청 메시지를 수신하고, 제1 요청 메시지로부터 주소 정보 #2를 획득한다. 이후, NSSAAF는, 주소 정보 #2에 기초해서, 주소 정보 #2에 대응하는 아이덴티티 정보 #2를 결정하고, 아이덴티티 정보 #2는 제1 요청 메시지를 송신하는 제2 AAA-S의 아이덴티티 정보이다. NSSAAF는 제1 요청 메시지 내의 S-NSSAI에 기초해서 S-NSSAI와 연관된 아이덴티티 정보 #1을 획득하고, 아이덴티티 정보 #1과 아이덴티티 정보 #2를 비교한다. 아이덴티티 정보 #1가 아이덴티티 정보 #2와 동일하면, NSSAAF는 제2 AAA-S의 아이덴티티가 올바르다고, 즉 제2 AAA-S가 S-NSSAI와 연관될 수 있다고 결정한다. 아이덴티티 정보 #1가 아이덴티티 정보 #2와 동일하지 않다면, NSSAAF는 제2 AAA-S의 아이덴티티가 올바르지 않다고, 즉 제2 AAA-S가 S-NSSAI와 연관될 수 없다고 결정한다. 본 실시예에서의 방법은 NSSAAF에 저장된 주소 정보 #1이 AAA-S에 저장된 주소 정보 #2와는 상이한 방법에 적용될 수 있지만, 두개의 주소 정보를 사용해서 동일한 아이덴티티 정보를 획득할 수 있다. 예를 들어, NSSAAF에 저장된 주소 정보 #1은 FQDN의 형태로 저장되고, 제2 AAA-S에 의해 송신되는 주소 정보 #2는 DN의 형태로 송신된다. 그러나, FQDN과 DN 모두에 기초해서 동일한 IP 주소가 획득될 수 있다.
다른 예로, NSSAAF는 제1 AAA-S의 주소 정보 #1과 S-NSSAI 사이의 연관 관계로 사전 구성된다. S410에서 제2 AAA-S에 의해 송신되는 제1 요청 메시지는 GPSI, S-NSSAI 및 제2 AAA-S의 아이덴티티 정보 #2를 전달한다. NSSAAF는 제1 요청 메시지를 수신하고, 아이덴티티 정보 #2를 획득한다. NSSAAF는 제1 요청 메시지 내 S-NSSAI에 기초해서 로컬 스토리지로부터 S-NSSAI에 대응하는 주소 정보 #1을 획득하고, 주소 정보 #1에 기초해서 주소 정보 #1에 대응되는 아이덴티티 정보 #1을 획득한다. NSSAAF는 아이덴티티 정보 #1을 아이덴티티 정보 #2와 비교한다. 아이덴티티 정보 #1가 아이덴티티 정보 #2와 동일하면, NSSAAF는 제2 AAA-S의 아이덴티티가 올바르다고, 즉 제2 AAA-S가 S-NSSAI와 연관될 수 있다고 결정한다. 아이덴티티 정보 #1가 아이덴티티 정보 #2와 동일하지 않다면, NSSAAF는 제2 AAA-S의 아이덴티티가 올바르지 않다고, 즉 제2 AAA-S가 S-NSSAI와 연관될 수 없다고 결정한다.
또 다른 예로, 슬라이스-특정 인증 절차에서 또는 슬라이스-특정 인증 절차가 성공한 후, NSSAAF는 제1 AAA-S의 로컬로 미리 구성된 주소 정보 #1에 기초해서 제1 AAA-S의 아이덴티티 정보 #1를 결정하고, 슬라이스-특정 인증 절차에 성공한 후 제1 AAA-S의 아이덴티티 정보 #1과 S-NSSAI 사이의 연관 관계를 저장한다. S410에서 제2 AAA-S에 의해 송신되는 제1 요청 메시지는 GPSI, S-NSSAI 및 AAA-S의 아이덴티티 정보 #2를 전달한다. NSSAAF는 제1 요청 메시지를 수신하고, 아이덴티티 정보 #2를 획득한다. NSSAAF는 제1 요청 메시지 내의 S-NSSAI에 기초해서 로컬 스토리지로부터 S-NSSAI에 대응하는 아이덴티티 정보 #1을 획득한다. NSSAAF는 아이덴티티 정보 #1을 아이덴티티 정보 #2와 비교한다. 아이덴티티 정보 #1가 아이덴티티 정보 #2와 동일하면, NSSAAF는 제2 AAA-S의 아이덴티티가 올바르다고, 즉 제2 AAA-S가 S-NSSAI와 연관될 수 있다고 결정한다. 아이덴티티 정보 #1가 아이덴티티 정보 #2와 동일하지 않다면, NSSAAF는 제2 AAA-S의 아이덴티티가 올바르지 않다고, 즉 제2 AAA-S가 S-NSSAI와 연관될 수 없다고 결정한다.
또 다른 예에서, S410에서 제2 AAA-S에 의해 송신된 제1 요청 메시지는 GPSI 및 S-NSSAI를 전달한다. NSSAAF는 제1 요청 메시지를 수신한 후, 제1 요청 메시지에 기초해서 제2 AAA-S의 주소 정보 #2 또는 아이덴티티 정보 #2를 결정한다. 예를 들어, NSSAAF는 제1 요청 메시지에서 소스 IP 주소를 획득하고, 소스 IP 주소를 아이덴티티 정보 #2로 결정한다. NSSAAF는 제1 요청 메시지를 수신하고, 제1 요청 메시지 내의 S-NSSAI에 기초해서 로컬 스토리지로부터 S-NSSAI에 대응하는 주소 정보 #1을 획득한다. NSSAAF는 주소 정보 #1과 주소 정보 #2를 비교하거나, NSSAAF는 주소 정보 #1에 기초해서 아이덴티티 정보 #1을 획득하고, 아이덴티티 정보 #1과 아이덴티티 정보 #2를 비교한다. 주소 정보 #1이 주소 정보 #2와 동일하거나, 또는 아이덴티티 정보 #1이 아이덴티티 정보 #2와 동일하면, NSSAAF는 제2 AAA-S의 아이덴티티가 올바르다고 즉, 제2 AAA-S가 S-NSSAI와 연관될 수 있다고 결정한다. 주소 정보 #1이 주소 정보 #2와 동일하지 않거나, 또는 아이덴티티 정보 #1이 아이덴티티 정보 #2와 동일하지 않다면, NSSAAF는 제2 AAA-S의 아이덴티티가 올바르지 않다고 즉, 제2 AAA-S가 S-NSSAI와 연관될 수 없다고 결정한다.
선택적으로, S430에서 NSSAAF가 제2 AAA-S의 아이덴티티가 올바르지 않다고 결정하면, 재인증 절차/인증 철회 절차를 종료한다. 선택적으로, NSSAAF는 경보를 개시하고, 경보를 로그에 기록한다. 예를 들어, NSSAAF가 제2 AAA-S의 아이덴티티가 올바르지 않다고 결정하면, NSSAAF는 제1 요청 메시지를 직접 폐기한다. 또 다른 예로, NSSAAF가 제2 AAA-S의 아이덴티티가 올바르지 않다고 결정하면, NSSAAF는 제1 응답 메시지를 제2 AAA-S로 송신한다. 제1 응답 메시지는 GPSI 및 S-NSSAI를 포함하며, 재인증 실패/인증 철회 실패를 나타낸다.
NSSAAF가 제2 AAA-S의 아이덴티티가 올바르다고 결정하면, NSSAAF는 재인증 절차 또는 인증 철회 절차를 계속 수행한다. 예를 들어, S440에서 NSSAAF는 UDM에 AMF ID를 질의할 것을 요청하고, AMF ID에 기초해서 단말 디바이스에 대응하는 AMF를 결정하고, S450에서 AMF에 제2 요청 메시지를 송신한다. 제2 요청 메시지는 재인증/인증 철회를 요청하는 데 사용된다. AMF는 제1 요청 메시지에 기초해서 재인증/인증 철회를 수행한다.
따라서, 본 출원의 이 실시예에서 제공되는 통신 방법에 따르면, AAA-S가 NSSAAF로 송신하는 제1 요청 메시지는 AAA-S의 주소 정보 및/또는 아이덴티티 정보를 전달하고, AAA-S의 주소 정보 및/또는 아이덴티티 정보를 검증하여 AAA-S의 아이덴티티가 올바른지 여부를 결정한다. 이로써, 공격자의 요청으로 인한 단말 디바이스와 네트워크 슬라이스 사이의 반복적인 재인증 또는 인증 철회를 감소시킬 수 있다.
도 5는 본 출원의 실시예에 따른 네트워크 슬라이스 시나리오에서의 통신 방법 500의 개략 흐름도이다. 방법 500에서, AAA-S는 3GPP 네트워크 외부에 있다. 이 경우 AAA-S는 AAA-P를 통해 NSSAAF와 통신한다.
방법 500 이전에, 네트워크 측은 제1 AAA-S로 슬라이스-특정 인증 절차를 완료한다는 것을 이해해야 한다. 이 절차는 방법 400 이전의 슬라이스-특정 인증 절차와 유사하다. 간결하게 하기 위해 세부 사항은 다시 설명하지 않는다.
도 5에 도시된 바와 같이, 방법 500은 다음의 단계를 포함한다.
선택적으로, S510에서, AAA-P는 제1 AAA-S의 아이덴티티 정보 #1과 S-NSSAI 사이의 매핑을 저장한다.
예를 들어, 슬라이스-특정 인증 절차에서 또는 슬라이스-특정 인증 절차 이후, AAA-P는 제1 AAA-S의 아이덴티티 정보 #1과 S-NSSAI 사이의 매핑을 저장한다. 아이덴티티 정보 #1은, 예를 들어 제1 AAA-S ID 또는 제1 AAA-S IP일 수 있다.
S520: 제2 AAA-S는 제1 요청 메시지를 송신하고, 여기서 제1 요청 메시지는 단말 디바이스에 대한 네트워크 슬라이스-특정 재인증 또는 네트워크 슬라이스-특정 인증 철회를 수행할 것을 요청하는 데 사용되며, 요청 메시지는 단말 디바이스의 GPSI 및 S-NSSAI를 포함한다. 선택적으로, 제1 요청 메시지는 제2 AAA-S의 아이덴티티 정보 #2 또는 제2 AAA-S의 주소 정보 #2를 더 포함한다. 이에 따라 AAA-P는 제2 AAA-S로부터 제1 요청 메시지를 수신한다.
AAA-P가 S510을 수행하지 않으면, 즉 AAA-P가 S520 이전에 제1 AAA-S의 아이덴티티 정보 #1와 S-NSSAI 사이의 매핑을 저장하지 않으면, 선택적으로 S530에서 AAA-P는 NSSAAF에 제2 요청 메시지를 송신하고, 여기서 제2 요청 메시지는 S-NSSAI를 포함하고, 제1 AAA-S의 주소 정보 #1 또는 아이덴티티 정보 #1을 획득하도록 요청하는 데 사용된다.
S540: NSSAAF는 AAA-P에 제2 응답 메시지를 송신한다.
예를 들어, NSSAAF는 AAA-P가 송신한 제2 요청 메시지를 수신하고, 제2 요청 메시지로 전달되는 S-NSSAI를 획득한다. NSSAAF는, S-NSSAI에 기초해서, S-NSSAI에 대응하는 아이덴티티 정보 정보 #1 또는 주소 정보 #1를 결정한다. 그 후, NSSAAF는 AAA-P에 제2 응답 메시지를 송신하고, 여기서 제2 응답 메시지는 아이덴티티 정보 #1 또는 주소 정보 #1을 포함하고, 아이덴티티 정보 #1 및 주소 정보 #1은 S-NSSAI와 연관된다.
일례로, S520에서 제2 AAA-S가 송신하는 제1 요청 메시지는 GPSI, S-NSSAI 및 주소 정보 #2를 포함한다. 제1 요청 메시지를 수신한 후, AAA-P는 제2 요청 메시지를 NSSAAF에 송신하고, 여기서 제2 요청 메시지는 S-NSSAI를 포함한다. NSSAAF는, S-NSSAI에 기초해서 로컬 스토리지에서, S-NSSAI와 연관된 주소 정보 #1을 결정한다. 그 후, NSSAAF는 AAA-P에 제2 응답 메시지를 송신하고, 여기서 제2 응답 메시지는 주소 정보 #1을 포함하며, 주소 정보 #1은 S-NSSAI와 연관된다.
다른 예로, S520에서 제2 AAA-S가 송신하는 제1 요청 메시지는 GPSI, S-NSSAI 및 아이덴티티 정보 #2를 포함한다. 제1 요청 메시지를 수신한 후, AAA-P는 제2 요청 메시지를 NSSAAF에 송신하고, 여기서 제2 요청 메시지는 S-NSSAI를 포함한다. NSSAAF는, S-NSSAI에 기초해서 S-NSSAI와 연관된 아이덴티티 정보 #1을 결정한다. 그 후, NSSAAF는 AAA-P에 제2 응답 메시지를 송신하고, 여기서 제2 응답 메시지는 아이덴티티 정보 #1을 포함하며, 아이덴티티 정보 #1은 S-NSSAI와 연관된다. NSSAAF는 슬라이스-특정 인증 절차에서 또는 슬라이스-특정 인증 절차가 완료된 후에 S-NSSAI와 제1 AAA-S의 아이덴티티 정보 #1 사이의 매핑을 로컬하게 저장하거나, 또는 제2 요청 메시지를 수신한 후 S-NSSAI에 기초해서 제1 AAA-S의 주소 정보 #1를 먼저 결정할 수 있으며, 이후 주소 정보 #1에 기초해서 아이덴티티 정보 #1을 결정한다. 이것은 본 출원에서 제한되지 않는다.
S550: AAA-P는 제2 AAA-S의 아이덴티티가 올바른지 여부를 결정한다.
방법 500에서의 S550은 방법 400에서의 S420과 유사하다는 것을 이해해야 한다. 간결하게 하기 위해서, 본 출원에서 세부 사항은 다시 설명하지 않는다.
선택적으로, S560에서 AAA-P가 제2 AAA-S의 아이덴티티가 올바르지 않다고 결정하면, AAA-P는 재인증 절차/인증 철회 절차를 종료한다.
방법 500에서의 S560은 방법 400에서의 S430과 유사하다는 것을 이해해야 한다. 간결하게 하기 위해서, 본 출원에서 세부 사항은 다시 설명하지 않는다.
AAA-P가 제2 AAA-S의 아이덴티티가 올바르다고 결정하면, AAA-P는 재인증 절차 또는 인증 철회 절차를 계속 수행한다. 예를 들어, S570에서 AAA-P는 NSSAAF에 제1 요청 메시지를 포워딩하고, 이때 제1 요청 메시지는 재인증 요청 또는 인증 철회를 요청하는 데 사용되며, 요청 메시지는 단말 디바이스의 GPSI와 S-NSSAI를 포함한다.
방법 500의 S580 및 S590은 방법 400의 S440 및 S450과 유사하다는 것을 이해해야 한다. 간결하게 하기 위해서, 본 출원에서 세부 사항은 다시 설명하지 않는다.
따라서, 본 출원의 이 실시예에서 제공되는 통신 방법에 따르면, AAA-S가 AAA-P로 송신하는 제1 요청 메시지는 AAA-S의 주소 정보 및/또는 아이덴티티 정보를 전달하고, AAA-S의 주소 정보 및/또는 아이덴티티 정보를 검증하여 AAA-S의 아이덴티티가 올바른지 여부를 결정한다. 이로써, 공격자의 요청으로 인한 단말 디바이스와 네트워크 슬라이스 사이의 반복적인 재인증 또는 인증 철회를 감소시킬 수 있다.
일부 공격자는 AAA-S의 실제 주소 정보 또는 아이덴티티 정보를 추가로 위조할 수 있다. 예를 들어, 방법 400 및 방법 500에서, 공격자에 의해 위조된 주소 정보 #2는 GPSI 및 S-NSSAI와 연관되고, 주소 정보 #2는 주소 정보 #1과 동일하다. 이와 달리, 공격자에 의해 위조된 아이덴티티 정보 #2는 GPSI 및 S-NSSAI와 연관되고, 아이덴티티 정보 #2는 주소 정보 #1과 동일하다. 이 경우, NSSAAF 또는 AAA-P는 공격자의 아이덴티티가 올바르다고 간주할 수 있다. 따라서, 공격자가 AAA-S의 주소 정보 또는 아이덴티티 정보를 위조해서 검출을 회피하는 것을 방지하는 것은 해결해야 할 기술적 과제이다.
도 6는 본 출원의 실시예에 따른 네트워크 슬라이스 시나리오에서의 통신 방법 600의 개략 흐름도이다.
방법 600 이전에, 네트워크 측은 제1 AAA-S로 슬라이스-특정 인증 절차를 완료한다는 것을 이해해야 한다. 이 절차는 방법 400 이전의 슬라이스-특정 인증 절차와 유사하다. 간결하게 하기 위해 세부 사항은 다시 설명하지 않는다.
도 6에 도시된 바와 같이, 방법 600은 다음의 단계를 포함한다.
S610: NSSAAF와 제2 AAA-S 사이에 보안 링크를 구축한다.
일례로, NSSAAF는 제2 AAA-S의 보안 인증서를 획득하고, 여기서 보안 인증서는 제2 AAA-S의 아이덴티티 정보 #2를 전달한다. NSSAAF는 제2 AAA-S의 보안 인증서에 기초해서 제2 AAA-S와 인터넷 프로토콜 보안(internet protocol security, IPsec) 터널을 구축하고, 보안 인증서를 이용해서 IPsec 터널에서 인증이 수행된다.
또 다른 예로, 송신 계층 보안(transport layer security, TLS) 프로토콜/데이터그램 송신 계층 보안(datagram transport layer security, DTLS) 프로토콜과 같은 애플리케이션 계층 링크가 NSSAAF와 제2 AAA-S 사이에 구축된다.
보안 링크를 구축하는 방법은 본 출원에서 제한되지 않는다.
보안 링크를 구축하는 것은, 네트워크 구축 동안에, 디바이스 사전 구성 또는 수동 트리거링에 기초해서 NSSAAF와 제2 AAA-S 사이에 보안 링크를 구축하는 것, NSSAAF 및 제2 AAA-S가 피어 단부와 처음으로 통신할 때 보안 링크를 구축하는 것, 또는 제1 네트워크 요소 및 제2 네트워크 요소가 피어 단부와 다시 통신할 때 보안 링크를 구축하는 것을 포함할 수 있다. 차이점은, 제1 네트워크 요소에 의한 제2 네트워크 요소로의 보안 링크의 구축이 제1 네트워크 요소에 의해 개시되는 링크 구축 절차라는 점에 있다. 예를 들어, NSSAA 절차에서, 제1 네트워크 요소가 제2 네트워크 요소로의 보안 링크를 구축하는 절차를 개시한다. 그러나, 보안 링크를 다시 구축하는 과정이 제2 네트워크 요소에 의해 개시될 수도 있다. 예를 들어, 네트워크 슬라이스-특정 재인증 절차에서, 제2 네트워크 요소가 제1 네트워크 요소로의 보안 링크를 구축하는 절차를 개시한다.
나아가, NSSAAF와 제2 AAA-S 사이의 보안 링크의 구축이 완료된 이후에, NSSAAF와 제2 AAA-S 사이에 전송되는 메시지에 대해 무결성 보호가 수행될 수 있으며, 즉 협상된 키를 사용해서 NSSAAF와 AAA-S 사이에 데이터 송신이 수행됨으로써, 공격자가 아이덴티티를 가장하는 것을 효과적으로 방지할 수 있다는 점에 유의해야 한다. AAA-S의 보안 인증서는 위조되거나 조작될 수 없다. 따라서, 보안 인증서로 전달되는 신원 정보도 위조되거나 조작될 수 없다. 환언하면, 제2 AAA-S의 보안 인증서로 전달되는 아이덴티티 정보 #2는 제2 AAA-S의 실제 아이덴티티 정보이다.
선택적으로, NSSAAF는 제2 AAA-S로의 보안 링크를 구축하는 동안에 제2 AAA-S의 아이덴티티 정보 #2 및 보안 링크의 식별 정보를 획득하고, 제2 AAA-S로의 보안 링크의 구축에 성공한 후, 보안 링크의 식별자과 아이덴티티 정보 #2 사이의 연관 관계를 저장한다. 보안 링크를 통해, 제2 AAA-S이 송신한 제1 요청 메시지를 수신한 후, NSSAAF는 제1 요청 메시지에서 S-NSSAI를 획득한다. NSSAAF는 보안 링크의 식별자에 기초해서 아이덴티티 정보 #2를 더 획득한다. NSSAAF는 S-NSSAI에 기초해서 아이덴티티 정보 #1을 결정한다. 구체적인 방식은 방법 400 내지 방법 600과 유사하다. 세부 사항은 다시 설명하지 않는다. NSSAAF는 아이덴티티 정보 #1을 아이덴티티 정보 #2와 비교한다. 아이덴티티 정보 #1가 아이덴티티 정보 #2와 동일하면, NSSAAF는 제2 AAA-S의 아이덴티티가 올바르다고 결정한다. 아이덴티티 정보 #1가 아이덴티티 정보 #2와 동일하지 않으면, NSSAAF는 제2 AAA-S의 아이덴티티가 올바르지 않다고 결정한다.
S620: 제2 AAA-S는 제1 요청 메시지를 NSSAAF에 송신하고, 여기서 제1 요청 메시지는 단말 디바이스에 대한 네트워크 슬라이스-특정 재인증 또는 네트워크 슬라이스-특정 인증 철회를 수행할 것을 요청하는 데 사용되며(도면에 도시되지 않음), 제1 요청 메시지는 GPSI 및 S-NSSAI를 포함한다.
S630: NSSAAF는 제2 AAA-S의 아이덴티티가 올바른지 여부를 결정한다.
일례로, NSSAAF는 제2 AAA-S의 보안 인증서를 획득하고, S610에서 제2 AAA-S의 보안 인증서로부터 제2 AAA-S의 아이덴티티 정보 #2를 획득한다. NSSAAF는 제1 요청 메시지를 수신하고, 제1 요청 메시지로부터 S-NSSAI를 획득한다. NSSAAF는, S-NSSAI에 기초해서 사전 구성된 로컬 정보로부터, S-NSSAI와 연관된 제1 AAA-S의 주소 정보 #1을 결정하고, 주소 정보 #1에 기초해서 AAA-S의 아이덴티티 정보 #1을 결정한다. NSSAAF는 주소 정보 #1을 주소 정보 #2와 비교한다. 주소 정보 #2가 주소 정보 #1과 동일하면, NSSAAF는 제2 AAA-S의 아이덴티티가 올바르다고 결정한다. 주소 정보 #2가 주소 정보 #1과 동일하지 않으면, NSSAAF는 제2 AAA-S의 아이덴티티가 올바르지 않다고 결정한다.
또 다른 예로, 방법 400에서 제2 AAA-S의 아이덴티티를 검증하는 방법은 제2 AAA-S의 아이덴티티가 올바른지 여부를 결정하는 데 사용된다. 예를 들어, S620에서 제1 요청 메시지는 제2 AAA-S의 주소 정보 #2를 더 전달한다. NSSAAF는, 제1 요청 메시지 내의 S-NSSAI에 기초해서, S-NSSAI와 연관된 제1 AAA-S의 주소 정보 #1을 결정하고, 이후 주소 정보 #1과 주소 정보 #2를 비교한다. 주소 정보 #2가 주소 정보 #1과 동일하면, NSSAAF는 제2 AAA-S의 아이덴티티가 올바르다고 결정한다. 주소 정보 #2가 주소 정보 #1과 동일하지 않으면, NSSAAF는 제2 AAA-S의 아이덴티티가 올바르지 않다고 결정한다.
제2 AAA-S의 아이덴티티가 올바른지 여부를 결정하기 위한 방법 400에 제공된 또 다른 예시적인 방법이 방법 600에도 적용 가능하다는 것을 이해해야 한다. 세부 사항은 다시 설명하지 않는다.
방법 600의 S640 내지 S660은 방법 400의 S430 내지 S450과 유사하다. 상세한 내용은 본원에서 다시 설명하지 않는다.
방법 600에서 S630은 AAA-P에 의해서도 수행될 수 있음에 유의해야 한다. 이 경우, S610에서, AAA-P와 제2 AAA-S 사이의 보안 링크가 구축된다. 유사하게, AAA-P는 제2 AAA-S로부터 제1 요청 메시지를 수신하고, 여기서 제1 요청 메시지는 단말 디바이스에 대한 네트워크 슬라이스-특정 재인증 또는 네트워크 슬라이스-특정 인증 철회를 수행할 것을 요청하는 데 사용되며(도면에 도시되지 않음), 제1 요청 메시지는 GPSI 및 S-NSSAI를 포함한다. 이후, AAA-P는 제2 AAA-S의 아이덴티티가 올바른지 여부를 결정한다. 구체적인 절차는 S630에서 NSSAAF가 제2 AAA-S의 아이덴티티가 올바른지 여부를 결정하는 절차와 유사하다. 상세한 내용은 본 명세서에서 다시 설명하지 않는다.
방법 500에서 제공되는 검증 방법은 또한 방법 600과 조합될 수도 있다는 것을 이해해야 한다. 이 경우 AAA-P는 결정 작업을 수행한다. 구체적인 검증 방법에 대해서는 방법 500에서 S520 내지 S550을 참조한다. 세부 사항은 다시 설명하지 않는다.
따라서, 본 출원의 이 실시예에서 제공되는 통신 방법에 따르면, NSSAAF와 AAA-S 사이에 보안 링크가 구축되어, NSSAAF와 AAA-S 사이의 통신이 보호될 수 있다. 따라서, 공격자가 AAA-S의 실제 주소 정보나 아이덴티티 정보를 위조하여 재인증, 인증 철회 등을 요청하는 것은 어렵다.
도 7은 본 출원의 실시예에 따른 네트워크 슬라이스 시나리오에서의 통신 방법 700의 개략 흐름도이다. 도 7에 도시된 바와 같이, 방법 700은 다음의 단계를 포함한다.
S710: 네트워크 측은 슬라이스 특정 인증 절차를 완료한다.
S710은 방법 400에서 S410과 유사하다는 것을 이해해야 한다. 간결하게 하기 위해 세부 사항은 다시 설명하지 않는다.
슬라이스-특정 인증 절차에서, S711에서, AMF는 S-NSSAI 각각에 서로 다른 GPSI를 할당한다.
일례로, 슬라이스-특정 인증 절차에서, 슬라이스-특정 인증을 개시할 때, AMF는 단말 디바이스에 외부 식별자 형식의 GPSI를 일시적으로 할당한다. GPSI는 각 단말 디바이스, 각 슬라이스 및 각 액세스마다 상이하다.
외부 식별자의 포맷에서 GPSI는 사업자에 의해 할당되는 것으로, 단말 디바이스의 국제 모바일 가입자 아이덴티티(international mobile subscriber identity, IMSI)와 연관된 식별자라는 점에 유의해야 한다. 하나 이상의 GPSI가 있을 수 있다. 외부 식별자는 username@realm의 형식이며, 여기서 username은 로컬 식별자를 포함해야 하고 realm은 도메인 명칭을 포함해야 한다. 예를 들어, 슬라이스-특정 인증 절차에서, 도메인 네임은 AAA-S의 주소 정보 또는 데이터 네트워크 이름(data network name, DNN) 정보일 수 있다.
또 다른 예로, UDM은 단말 디바이스가 액세스하는 S-NSSAI의 수에 기초해서 GPSI를 생성하며, 여기서 생성된 GPSI의 수는 S-NSSAI의 수 이상이다. 슬라이스-특정 인증 절차에서, UDM은 생성된 모든 GPSI 및 가입 정보를 AMF로 송신한다. 가입 데이터에 기초해서, 슬라이스-특정 인증이 수행될 S-NSSAI를 결정할 때, AMF는 UDM이 송신한 GPSI로부터 사용될 GPSI를 획득할 수 있다. GPSI의 수가 S-NSSAI의 수 이상이기 때문에, S-NSSAI 각각은 서로 다른 GPSI에 대응한다.
S720 내지 S740은 방법 600에서 S620, S650, S660과 유사하다. 간결하게 하기 위해서, 본 출원에서 세부 사항은 다시 설명하지 않는다.
방법 700은 별도로 구현될 수도 있고, 다른 방법과 조합하여 구현될 수도 있으며, 예를 들어, 방법 400, 방법 500 또는 방법 600과 조합하여 구현될 수도 있음을 이해해야 한다.
일례로, AMF는 S-NSSAI 각각에 서로 다른 GPSI를 할당한 후, 방법 400 내지 방법 600 중 어느 하나에 따라, AAA-S의 주소 정보 #2 또는 아이덴티티 정보 #2가 올바른지를 검증한다. 만약, AAA-S의 주소 정보 #2 또는 아이덴티티 정보 #2가 올바르다면, S-NSSAI와 GPSI를 수신할 때, AMF는 GPSI가 올바른지 다시 확인한다. GPSI가 올바르면 절차가 계속된다. GPSI가 올바르지 않다면 절차는 종료된다.
또 다른 예로, NSSAAF는 슬라이스-특정 인증 절차에서 또는 슬라이스-특정 인증 절차가 완료된 후 GPSI, S-NSSAI 및 AAA-S의 주소 정보 간의 연관 관계를 저장한다. NSSAAF는 제1 요청 메시지로부터 GPSI #2를 획득하고, S-NSSAI에 기초해서 로컬 스토리지로부터 S-NSSAI에 대응하는 GPSI #1을 획득한다. NSSAAF는 GPSI #1과 GPSI #2를 비교한다. GPSI #1이 GPSI #2와 다른 경우 NSSAAF는 절차를 종료한다. GPSI#1이 GPSI#2와 동일하다면, NSSAAF는 방법 400 내지 방법 600 중 어느 하나에 따라 AAA-S의 주소 정보 #2가 올바른지 검증한다. AAA-S의 주소 정보 #2가 올바르다면 절차가 계속된다. AAA-S의 주소 정보 #2가 올바르지 않으면 절차가 종료된다.
따라서, 본 출원의 이 실시예에서 제공되는 통신 방법에 따르면, 각각의 슬라이스 및 각각의 액세스마다 단말 디바이스마다 서로 다른 GPSI가 할당되어서, 공격자에 의한 위장의 어려움이 크게 증가하게 된다. 환언하면, 공격자에 의해 랜덤하게 생성된 S-NSSAI와 GPSI가 페어링되어 사용될 수 있는 확률이 크게 감소되어, 시스템 보안성이 향상된다.
무인 항공기는 3GPP 시스템을 통해서 UTM/USS와 무인 항공기 인증 및 권한 부여(USS UAV authorization/authentication, UUAA) 절차를 수행할 수 있다. UUAA 절차는 UTM/USS와 UAV 사이의 상호 인증 및 권한 부여에 사용된다. 인증 및 권한 부여는 UAV가 UAV 관련 서비스 데이터(비행 제어, 비디오 백홀 및 UAV 식별과 같은 서비스 데이터)를 UTM/USS로 송신할 수 있는지 여부를 결정하는 데 사용된다. 인증 및 권한 부여는 UTM/USS가 UAV의 비행을 제어할 권한을 부여받았는지 여부를 결정하는 데에도 사용된다. 3GPP 네트워크는, 3GPP 네트워크를 통해 UAV에 의해 UTM/USS에 UAV 서비스 데이터를 송신하고, 3GPP 네트워크를 통해 UTM/USS에 의해 UAV의 비행을 제어하는 것을 포함해서, UUAA 결과에 기초해서 UAV에 대해 UAV 관련 서비스 통신 서비스가 제공될 수 있는지 여부를 결정할 필요가 있다. UUAA 절차 이후에, USS/UTM이 UAV가 UAV 서비스를 수행할 필요가 없다고 결정하는 경우, 예를 들어, UAV의 비행 인증서가 만료된 경우나 혹은 USS/UTM이 UAV가 악의적인 사용자임을 감지한 경우, USS/UTM은 UAV 인증 및 권한 부여가 완료된 UAV를 철회해서, UAV가 UAV 서비스를 계속 사용하지 못하게 할 수 있다. 대안적으로, 페어링 인증 및 권한 부여 절차 이후에, USS/UTM은 UAV 페어링 인증 및 권한 부여가 완료된 UAV를 철회할 수 있다. 설명을 용이하게 하기 위해서, 본 출원의 이후 실시예에서는 설명을 위해, USS/UTM이 UAV 인증 및 권한 부여가 완료된 UAV를 철회하는 예를 사용한다. UAV 페어링 인증 및 권한 부여가 완료된 UAV를 철회하는 과정은 유사하다. 세부 사항은 다시 설명하지 않는다. 3GPP를 통해 UTM/USS에 연결되고, 3GPP 네트워크를 통해 UTM/USS와 UUAA를 완료한 UAV의 경우, UTM/USS는 3GPP UAV ID에 대응하는 UAV에 대해 UUAA 철회 절차를 실행하도록 3GPP 네트워크를 트리거하기 위해 3GPP UAV ID를 사용할 필요가 있다. 3GPP UAV ID는, 예를 들어 3GPP 네트워크에 의해 UAV에 할당된 GPSI일 수 있다. 그러나, 악의적인 UTM/USS는 3GPP 네트워크에 의해 UAV에 할당된 3GPP UAV ID를 다른 장소에서 획득할 수 있다. 예를 들어, 악의적인 UTM/USS는 도청(eavesdropping)을 통해 UAV의 3GPP UAV ID를 획득한 것으로, 악의적인 UTM/USS는 무단의 UTM/USS이다. 악의적인 UTM/USS는 UAV를 제공하는 UTM/USS인 것처럼 가장해서 UAV의 3GPP UAV ID를 송신해야만 UAV의 UUAA를 철회할 수 있다. 그 결과, UAV에 대한 인증 및 권한 부여가 예기치 않게 철회될 수 있으며 관련 서비스 사용에 영향을 미친다. 따라서 UTM/USS가 악의적인 공격자인지 여부를 식별하는 방법은 현재 해결해야 할 시급한 문제이다.
도 8은 본 출원의 실시예에 따른 무인 항공기 시나리오에서의 통신 방법 800의 개략 흐름도이다.
방법 800 이전에, UAV는 제1 UTM/USS와 무인 항공기 등록을 수행한다는 것을 이해해야 한다.
예를 들어, UAV(도면에 도시되지 않음)는 UTM/USS와 등록하고, 등록 절차에서 민간 항공 당국 수준 UAV 식별자(civil aviation authority level UAV ID, CAA 수준 UAV ID)를 획득한다. CAA 수준 UAV ID는 3GPP 네트워크의 외부 식별자로, UAV를 고유하게 식별하기 위해 민간 항공 당국에 의해 발행된다.
방법 800 이전에, UAV는 제1 UTM/USS와 무인 항공기 인증 및 권한 부여 절차/무인 항공기 페어링 인증 및 권한 부여 절차를 수행한다는 것을 더 이해해야 한다.
3GPP 네트워크를 통해 UAS 서비스에 액세스하여 사용하기 전에, UAV는 제1 USS/UTM으로부터 UAS 서비스를 이용하기 위한 인증 및 권한 부여를 요청, 즉 UUAA 절차를 실행한다. UUAA 절차는 AMF 또는 SMF에 의해 트리거될 수 있다.
일례로, 무인 항공기는 등록 절차에서 CAA 수준 UAV ID를 전달하며, 액세스 및 이동성 관리 기능(access and mobility management function, AMF)은 CAA 수준 UAV ID에 기초해서 통합 데이터 관리 기능(unified data management, UDM)에서 UAV의 가입 정보 및 사업자의 로컬 구성을 결정하고, UUAA가 수행되어야 한다. UUAA 절차에서, AMF는 UAV에 대해 3GPP UAV ID를 생성한다. 3GPP UAV ID는 3GPP 네트워크 내부 및/또는 외부의 UAV를 식별하는 데 사용될 수 있으며, GPSI일 수 있다.
또 다른 예로, UAV는 프로토콜 데이터 유닛(protocol data unit, PDU) 세션 구축 절차에서 CAA 수준 UAV ID를 전달하고, 세션 관리 기능(session management function, SMF)은 CAA 수준 UAV ID, UDM 내 UAV의 가입 정보 및 사업자의 로컬 구성에 기초해서 UUAA가 수행되어야 하는지 결정한다. UUAA 절차에서, SMF는 UAV에 대해 3GPP UAV ID를 생성한다. 3GPP UAV ID는 3GPP 네트워크 내부 및/또는 외부의 UAV를 식별하는 데 사용될 수 있으며, GPSI일 수 있다.
UUAA 절차에서, AMF 또는 SMF는 UAV-NF에 UUAA 요청 메시지를 송신한다. 메시지는 3GPP UAV ID 및 CAA 수준 UAV ID를 포함한다.
UAV-NF는 CAA 수준 UAV ID에 기초해서 UTM/USS의 주소 정보를 결정한다. 구체적으로, 예를 들어 UAV-NF는 CAA 수준 UAV ID에 기초해서 UTM/USS ID를 결정한 후, UTM/USS ID에 기초해서 UTM/USS의 주소를 결정한다.
S810에서 UAV가 UTM/USS의 주소 정보를 획득하면, UUAA 요청 메시지에는 UTM/USS의 주소 정보를 포함할 수 있다. 이 경우, UAV-NF는 CAA 수준의 UAV ID에 기초해서 UTM/USS의 주소 정보를 결정하지 않고, UUAA 요청 메시지로부터 UTM/USS의 주소 정보를 획득할 수 있다.
무인 항공기 인증 및 권한 부여 절차가 종료되고 UAV 및 UTM/USS가 상호 인증 및 권한 부여를 성공적으로 수행한 이후에, UTM/USS는 UAV-NF에 UUAA 응답 메시지를 송신하되, 여기서 UUAA 응답 메시지는 3GPP 네트워크의 UUAA 결과가 UUAA 성공임을 나타낸다. UAV-NF는 AMF 또는 SMF에 UUAA 응답 메시지를 송신하며, 여기서 UUAA 응답 메시지는 UUAA 결과가 UUAA 성공임을 나타낸다. 도 8에 도시된 바와 같이, 방법 800은 다음의 단계를 포함한다.
S810: UAV-NF는 3GPP UAV ID와 CAA 수준 UAV ID #1 및/또는 UTM/USS ID #1 사이의 매핑을 저장한다.
예를 들어, 무인 항공기 등록 절차/무인 항공기 인증 및 권한 부여 절차에 또는 그 이후에, UAV-NF는 3GPP UAV ID와 CAA 수준 UAV ID #1 사이의 매핑을 저장하고; UAV-NF는 3GPP UAV ID와 UTM/USS ID #1 사이의 매핑을 저장하며, 여기서 UTM/USS ID #1은 제1 UTM/USS의 아이덴티티이고, 또는 UAV-NF는 3GPP UAV ID, CAA 수준 UAV ID #1 및 UTM/USS ID #1 사이의 매핑을 저장한다.
제1 UTM/USS는 또한 3GPP UAV ID 및 CAA 수준 UAV ID 및/또는 UTM/USS ID 사이의 매핑을 저장한다는 것을 이해해야 한다.
예를 들어, 무인 항공기 등록 절차 및 무인 항공기 인증 및 권한 부여 절차에 또는 그 이후에, 제1 UTM/USS는 3GPP UAV ID와 CAA 수준 UAV ID #1 사이의 매핑을 저장하고; 제1 UTM/USS는 3GPP UAV ID와 UTM/USS ID #1 사이의 매핑을 저장하며. 또는 제1 UTM/USS는 3GPP UAV ID, CAA 수준 UAV ID #1 및 UTM/USS ID #1 사이의 매핑을 저장한다.
UTM/USS ID #1은 UAV-NF의 사전 구성된 정보에 저장된 정보 또는 사전 설정된 정보에 기초한 정보이고, CAA 수준 UAV ID#1은 UAV-NF의 기 설정된 정보에 저장된 정보일 수 있다는 점에 주의해야 한다. 따라서, CAA 수준 UAV ID #1 및 UTM/USS ID #1은 UTM/USS의 실제 내부 식별자 및 UTM/USS의 실제 식별자인 것으로 간주될 수 있다.
S820: 제2 UTM/USS는 UAV-NF에 제3 요청 메시지를 송신하고, 여기서 제3 요청 메시지는 3GPP UAV ID 및 CAA 수준 UAV ID#2 및/또는 UTM/USS ID #2를 포함하고, UTM/USS ID #2는 제2 UTM/USS의 아이덴티티이며, 제3 요청 메시지는 무인 항공기 인증 및 권한 부여를 철회할 것을 요청하는 데 사용된다.
제2 UTM/USS는 무인 항공기 등록 절차 및 무인 항공기 인증 및 권한 부여 절차에서 제1 UTM/USS와 동일할 수도 있고 다를 수도 있음에 주의해야 한다. 예를 들어, 제2 UTM/USS는 악의적인 공격자와 같은 또 다른 권한을 부여받지 않은 통신 디바이스이며, 이 경우 제2 UTM/USS는 제1 UTM/USS와 동일한 UTM/USS가 아니다.
S830: UAV-NF는 제2 UTM/USS의 아이덴티티가 올바른지 여부를 결정한다.
UAV-NF가 제2 UTM/USS의 아이덴티티가 올바른지 여부를 결정한다는 것은 UAV-NF가 제2 UTM/USS가 무인 항공기 인증 및 권한 부여 철회를 요청할 권한을 부여받았는지 여부를 결정한다는 것을 이해해야 한다. 구체적으로, UAV-NF는 제2 UTM/USS가 3GPP UAV ID와 연관 관계를 갖는지 여부를 결정한다는 것을 이해할 수 있다. 연관 관계가 있는 경우 제2 UTM/USS는 3GPP UAV ID와 연관된 무인 항공기 인증 및 권한 부여 철회를 합법적으로 시작할 수 있다. 연관 관계가 없는 경우, 제2 UTM/USS는 공격자에 의해 제어되는 악의적인 UTM/USS라고 간주될 수 있다.
일례로, S810에서 UAV-NF는 3GPP UAV ID와 CAA 수준 UAV ID #1 사이의 매핑을 저장한다. S820에서, 제3 요청 메시지는 3GPP UAV ID 및 CAA 수준 UAV ID #2를 전달한다. UAV-NF는 제3 요청 메시지로부터 3GPP UAV ID 및 CAA 수준 UAV ID #2를 획득하고, 3GPP UAV ID에 기초해서 로컬 스토리지로부터 3GPP UAV ID에 대응하는 CAA 수준 UAV ID #1를 획득한다. UAV-NF는 CAA 수준 UAV ID #1과 CAA 수준 UAV ID #2를 비교한다. CAA 수준 UAV ID #1이 CAA 수준 UAV ID #2와 동일한 경우, UAV-NF는 제2 UTM/USS의 아이덴티티가 올바르다고 결정한다. CAA 수준 UAV ID #1이 CAA 수준 UAV ID #2와 동일하지 않은 경우, UAV-NF는 제2 UTM/USS의 아이덴티티가 올바르지 않다고 결정한다.
또 다른 예로, S810에서 UAV-NF는 3GPP UAV ID와 UTM/USS ID #1 사이의 매핑을 저장한다. S840에서 제3 요청 메시지는 3GPP UAV ID 및 CAA 수준 UAV ID#2를 전달하고, 또는 제3 요청 메시지는 3GPP UAV ID 및 UTM/USS ID #2를 전달한다. 제3 요청 메시지가 3GPP UAV ID 및 CAA 수준 UAV ID #2를 전달하는 경우, UAV-NF는 제3 요청 메시지로부터 3GPP UAV ID 및 CAA 수준 UAV ID #2를 획득하고, CAA 수준 UAV ID #2에 기초해서 CAA 수준 UAV ID #2에 대응하는 UTM/USS ID #2를 획득한다. UAV-NF는 3GPP UAV ID에 기초해서 로컬 스토리지로부터 3GPP UAV ID에 대응하는 UTM/USS ID #1을 획득한다. UAV-NF는 UTM/USS ID #1을 UTM/USS ID #2와 비교한다. CAA 수준 UTM/USS ID #1이 UTM/USS ID #2와 동일한 경우, UAV-NF는 제2 UTM/USS의 아이덴티티가 올바르다고 결정한다. CAA 수준 UTM/USS ID #1이 UTM/USS ID #2와 동일하지 않은 경우, UAV-NF는 제2 UTM/USS의 아이덴티티가 올바르지 않다고 결정한다. 제3 요청 메시지가 3GPP UAV ID 및 UTM/USS ID #2를 전달하는 경우, UAV-NF는 제3 요청 메시지로부터 3GPP UAV ID 및 UTM/USS ID #2를 획득하고, 3GPP UAV ID에 기초해서 로컬 스토리지로부터 3GPP UAV ID에 대응하는 UTM/USS ID #1을 획득한다. UAV-NF는 UTM/USS ID #1을 UTM/USS ID #2와 비교한다. CAA 수준 UTM/USS ID #1이 UTM/USS ID #2와 동일한 경우, UAV-NF는 제2 UTM/USS의 아이덴티티가 올바르다고 결정한다. CAA 수준 UTM/USS ID #1이 UTM/USS ID #2와 동일하지 않은 경우, UAV-NF는 제2 UTM/USS의 아이덴티티가 올바르지 않다고 결정한다.
또 다른 예로, S810에서 UAV-NF는 3GPP UAV ID, CAA 수준 UAV ID#1 및 UTM/USS ID #1 사이의 매핑을 저장한다. S840에서, 제3 요청 메시지는 3GPP UAV ID 및 CAA 수준 UAV ID#2를 전달하고, 제3 요청 메시지는 3GPP UAV ID 및 UTM/USS ID #2를 전달하며, 또는 제3 요청 메시지는 3GPP UAV ID, UTM/USS ID #2 및 CAA 수준 UAV ID#2를 전달한다. 제3 요청 메시지가 3GPP UAV ID 및 UTM/USS ID #2를 전달하는 경우, UAV-NF는 제3 요청 메시지로부터 3GPP UAV ID 및 UTM/USS ID #2를 획득하고, 3GPP UAV ID에 기초해서 로컬 스토리지로부터 3GPP UAV ID에 대응하는 UTM/USS ID #1을 획득한다. UAV-NF는 UTM/USS ID #1을 UTM/USS ID #2와 비교한다. CAA 수준 UTM/USS ID #1이 UTM/USS ID #2와 동일한 경우, UAV-NF는 제2 UTM/USS의 아이덴티티가 올바르다고 결정한다. CAA 수준 UTM/USS ID #1이 UTM/USS ID #2와 동일하지 않은 경우, UAV-NF는 제2 UTM/USS의 아이덴티티가 올바르지 않다고 결정한다. 제3 요청 메시지가 3GPP UAV ID 및 CAA 수준 UAV ID #2를 전달하는 경우, UAV-NF는 제3 요청 메시지로부터 3GPP UAV ID 및 CAA 수준 UAV ID #2를 획득하고, 3GPP UAV ID에 기초해서 로컬 스토리지로부터 3GPP UAV ID에 대응하는 CAA 수준 UAV ID #1을 획득한다. UAV-NF는 CAA 수준 UAV ID #1과 CAA 수준 UAV ID #2를 비교한다. CAA 수준 UAV ID #1이 CAA 수준 UAV ID #2와 동일한 경우, UAV-NF는 제2 UTM/USS의 아이덴티티가 올바르다고 결정한다. CAA 수준 UAV ID #1이 CAA 수준 UAV ID #2와 동일하지 않은 경우, UAV-NF는 제2 UTM/USS의 아이덴티티가 올바르지 않다고 결정한다. 제3 요청 메시지가 3GPP UAV ID, UTM/USS ID #2 및 CAA 수준 UAV ID #2를 전달하는 경우, UAV-NF는 제3 요청 메시지로부터 3GPP UAV ID, UTM/USS ID #2 및 CAA 수준 UAV ID #2를 획득하고, 3GPP UAV ID에 기초해서 로컬 스토리지로부터 3GPP UAV ID에 대응하는 UTM/USS ID #1 및 CAA 수준 UAV ID #1을 획득한다. UAV-NF는 UTM/USS ID #1을 UTM/USS ID #2와 비교하고, UAV-NF는 CAA 수준 UAV ID #1을 CAA 수준 UAV ID #2와 비교한다. UTM/USS ID #1이 UTM/USS ID #2와 동일하고 CAA 수준 UAV ID #1도 CAA 수준 UAV ID #2와 동일한 경우, UAV-NF는 제2 UTM/USS의 아이덴티티가 올바르다고 결정한다. UTM/USS ID #1이 UTM/USS ID #2와 동일하지 않고 거나 CAA 수준 UAV ID #1가 CAA 수준 UAV ID #2와 동일하지 않은 경우, UAV-NF는 제2 UTM/USS의 아이덴티티가 올바르지 않다고 결정한다.
S820에서 제3 요청 메시지로 전달되는 식별자는 적어도 제1 UTM/USS에 저장될 필요가 있음을 이해해야 한다. 예를들어, 제3 요청 메시지는 3GPP UAV ID 및 CAA 수준 UAV ID #2를 전달한다. 이 경우, 제1 UTM/USS는 무인 항공기 등록 절차 및 무인 항공기 인증 및 권한 부여 절차에 또는 그 이후에 3GPP UAV ID와 CAA 수준 UAV ID #1 사이의 매핑을 저장한다. 이와 달리, UTM/USS는 3GPP UAV ID, CAA 수준 UAV ID #1 및 UTM/USS ID #1 사이의 매핑을 저장한다.
선택적으로, S840에서, UAV-NF가 제2 UTM/USS의 아이덴티티가 올바르지 않다고 결정하면, UAV-NF는 UUAA 철회 절차를 종료한다. 예를 들어, UAV-NF가 제2 UTM/USS의 아이덴티티가 올바르지 않다고 결정하면, UAV-NF는 제3 요청 메시지를 직접 폐기한다. 또 다른 예로, UAV-NF가 제2 UTM/USS의 아이덴티티가 올바르지 않다고 결정하면, UAV-NF는 제3 응답 메시지를 UTM/USS에 송신한다. 제3 응답 메시지에는 3GPP UAV ID 및/또는 CAA 수준 UAV ID를 포함하며, 제1 응답 메시지는 UUAA 철회가 실패했음을 나타낸다.
UAV-NF가 제2 UTM/USS의 아이덴티티가 올바르다고 결정하면 UAV-NF는 UUAA 철회 절차를 계속 수행한다. 예를 들어, S850에서, UAV-NF는 UDM에 AMF ID 또는 SMF ID를 질의할 것을 요청하고, 여기서 요청 메시지는 UAV의 3GPP UAV ID 및/또는 가입 영구 식별자(subscription permanent identifier, SUPI) 정보를 전달할 수 있다. UDM는 3GPP UAV ID 및/또는 UAV의 SUPI에 기초해서, UAV를 제공하는 AMF ID 또는 SMF ID를 질의한다. UAV-NF는 AMF ID 또는 SMF ID에 기초해서, 단말 디바이스를 서비스하는 AMF 또는 SMF를 결정하고, S860에 AMF 또는 SMF에게 제4 요청 메시지를 송신한다. 제4 요청 메시지는 UUAA를 철회하는 데 사용된다. AMF 또는 SMF는 제4 요청 메시지에 기초해서 UUAA를 철회한다.
따라서, 본 출원의 이 실시예에서 제공되는 통신 방법에 따르면, UTM/USS에 의해 UAV-NF로 송신되는 제3 요청 메시지는 CAA-수준 UAV ID 및/또는 UTM/USS ID를 전달하고, CAA-수준 UAV ID 및/또는 UTM/USS ID가 검증되어서 UTM/USS의 아이덴티티가 올바른지 여부를 결정한다. 이로써 공격자의 요청으로 인해 무인 항공기에 대한 인증 및 권한 부여가 철회되는 경우를 줄일 수 있다. 구체적으로, 본 출원의 이 실시예에서 제공되는 통신 방법에 따르면, UAV-NF는 인증 및 권한 부여 철회 요청을 송신하는 UTM/USS의 아이덴티티가 올바른 것인지 검출할 수 있으며, 즉 UTM/USS가 권한 부여된 UTM/USS인지 여부를 검출할 수 있다. 이로써 공격자의 요청으로 인해 무인 항공기에 대한 인증 및 권한 부여가 예기치 않게 철회되는 경우를 줄일 수 있고, 이로써 시스템 보안을 향상시킨다.
도 9는 본 출원의 실시예에 따른 무인 항공기 시나리오에서의 통신 방법 900의 개략 흐름도이다. 방법 900 이전에, UAV는 제1 UTM/USS와 무인 항공기 등록 및 무인 항공기 인증 및 인증을 수행한다는 것을 이해해야 한다. 특정 절차는 방법 800에 설명된 무인 항공기 등록 및 무인 항공기 인증 및 권한 부여 절차와 유사하다. 상세한 내용은 본 명세서에서 설명하지 않는다.
도 9에 도시된 바와 같이, 방법은 다음의 단계를 포함한다.
S910: AMF 또는 SMF는 3GPP UAV ID와 CAA 수준 UAV ID #1 및/또는 UTM/USS ID #1 사이의 매핑을 저장한다. 제1 UTM/USS는 또한 3GPP UAV ID 및 CAA 수준 UAV ID #1 및/또는 UTM/USS ID #1 사이의 매핑을 저장한다. 구체적인 해결책은 방법 800의 S830과 유사하다. 세부 사항은 다시 설명하지 않는다.
S920: 제2 UTM/USS는 UAV-NF에 제3 요청 메시지를 송신한다.
선택적으로, S940에서, 제2 UTM/USS가 3GPP UAV ID 및 CAA 수준 UAV ID#2를 전달하지만, 제3 요청 메시지에서 UTM/USS ID #2를 전달하지 않는 경우, UAV-NF는 제3 요청 메시지로부터 CAA 수준 UAV ID#2를 획득하고, CAA 수준 UAV ID#2에 기초해서 CAA레벨 UAV ID#2에 대응하는 UTM/USS ID #2를 획득한다. S920은 방법 800의 S820과 유사하며, S820의 예시적인 해결책은 S920에도 적용 가능하다는 것을 이해해야 한다. 간결하게 하기 위해 세부 사항은 다시 설명하지 않는다.
S930: UAV-NF는 UDM에 AMF ID 또는 SMF ID를 질의할 것을 요청하고, 요청 메시지는 UAV의 3GPP UAV ID 및/또는 SUPI 정보를 전달할 수 있다. UDM는 3GPP UAV ID 및/또는 UAV의 SUPI에 기초해서, UAV를 제공하는 AMF ID 또는 SMF ID를 질의한다. UAV-NF는 AMF ID 또는 SMF ID에 기초해서, 단말 디바이스를 서비스하는 AMF 또는 SMF를 결정하고, S940에 AMF 또는 SMF에게 제4 요청 메시지를 송신한다. 제4 요청 메시지는 UUAA를 철회하는 데 사용된다. 선택적으로, S940에서, 제2 UTM/USS가 3GPP UAV ID 및 CAA 수준 UAV ID#2를 전달하지만, 제3 요청 메시지에서 UTM/USS ID #2를 전달하지 않는 경우, UAV-NF는 제3 요청 메시지로부터 CAA 수준 UAV ID#2를 획득하고, CAA 수준 UAV ID#2에 기초해서 CAA레벨 UAV ID#2에 대응하는 UTM/USS ID #2를 획득하고, 이 경우, 제4 요청 메시지는 UTM/USS ID #2도 포함한다.
S950: AMF 또는 SMF는 UTM/USS의 아이덴티티가 올바른지 여부를 결정한다.
방법 900에서의 S950은 방법 800에서의 S830과 유사하며, UAV-NF가 AMF 또는 SMF로 대체되고, 제3 요청 메시지가 제4 요청 메시지로 대체된다는 점에서 차이점이 있다. 간결하게 하기 위해 세부 사항은 다시 설명하지 않는다.
선택적으로, S950에서 AMF 또는 SMF가 UTM/USS의 아이덴티티가 올바르지 않다고 결정하면, UAV-NF는 UUAA 철회 절차를 종료한다. AMF 또는 SMF가 UTM/USS의 아이덴티티가 올바르다고 결정하면 UAV-NF는 UUAA 철회 절차를 계속 수행한다.
따라서, 본 출원의 이 실시예에서 제공되는 통신 방법에 따르면, AMF 또는 SMF는 인증 및 권한 부여 철회 절차에서 UTM/USS의 아이덴티티가 올바른지 여부를 검증하여, 공격자의 요청으로 인해 무인 항공기에 대한 인증 및 권한 부여가 철회되는 경우를 줄일 수 있다.
도 10은 본 출원의 실시예에 따른 무인 항공기 시나리오에서의 통신 방법 1000의 개략 흐름도이다.
방법 1000 이전에, UAV는 제1 UTM/USS와 무인 항공기 등록 및 무인 항공기 인증 및 인증을 수행한다는 것을 이해해야 한다. 특정 절차는 방법 800에 설명된 무인 항공기 등록 및 무인 항공기 인증 및 권한 부여 절차와 유사하다. 상세한 내용은 본 명세서에서 설명하지 않는다.
도 10에 도시된 바와 같이, 방법 1000은 다음의 단계를 포함한다.
S1010: UAV-NF는 3GPP UAV ID와 CAA 수준 UAV ID #1 및/또는 UTM/USS ID #1 사이의 매핑을 UDM으로 송신한다.
예를 들어 UAV-NF는 UDM에 등록 요청 메시지를 송신한다. 등록 요청 메시지는 3GPP UAV ID와 CAA 수준 UAV ID #1 및/또는 UTM/USS ID #1 사이의 매핑을 포함한다. 등록 요청 메시지는 3GPP UAV ID와 CAA 수준 UAV ID #1 및/또는 UTM/USS ID #1 사이의 매핑을 UDM에 등록하도록 요청하는 데 사용된다. 이에 따라, UDM은 등록 요청 메시지를 수신하고, S1020에서 UDM은 3GPP UAV ID와 CAA 수준 UAV ID #1 및/또는 UTM/USS ID #1 사이의 매핑을 저장한다. 제1 UTM/USS는 또한 무인 항공기 등록 절차 및 무인 항공기 인증 및 권한 부여 절차에 또는 그 이후에 3GPP UAV ID 및 CAA 수준 UAV ID #1 및/또는 UTM/USS ID #1 사이의 매핑을 저장한다는 것을 이해해야 한다.
S1030: UTM/USS는 UAV-NF에 제3 요청 메시지를 송신하고, 여기서 제3 요청 메시지는 3GPP UAV ID 및 CAA 수준 UAV ID #2 및/또는 UTM/USS ID #2를 포함하고, 제3 요청 메시지는 무인 항공기 인증 및 권한 부여를 철회하는 데 사용된다.
S1040: UAV-NF는 UDM에 제4 요청 메시지를 송신하고, 여기서 제4 요청 메시지는 3GPP UAV ID 및 CAA 수준 UAV ID#2, 및/또는 UTM/USS ID #2를 포함하며, 제4 요청 메시지는 무인 항공기 인증 및 권한 부여를 철회하도록 요청하는 데 사용된다.
S1020에서 UDM은 3GPP UAV ID와 UTM/USS ID #1 사이의 매핑을 저장하며, 여기서 매핑은 CAA 수준 UAV ID #1은 포함하지 않는다는 점에 주의한다. S1030에서 제3 요청 메시지는 3GPP UAV ID 및 CAA 수준 UAV ID#2를 전달하고, UTM/USS ID #2는 전달하지 않는다. S1030에서 제3 요청 메시지를 수신한 후, UAV-NF는 제3 요청 메시지로부터 3GPP UAV ID 및 CAA 수준 UAV ID#2를 획득하고, CAA 수준 UAV ID#2에 기초해서 CAA 수준 UAV ID#2에 대응하는 UTM/USS ID #2를 결정한 후, S1040에서 UDM에 제4 요청 메시지를 송신하고, 여기서 제4 요청 메시지는 3GPP UAV ID 및 UTM/USS ID #2를 전달한다.
S1050: UDM는 제UTM/USS의 아이덴티티가 올바른지 여부를 결정한다.
S1050은 방법 800의 S830과 유사하며, UAV-NF가 UDM으로 대체된다는 점에서 차이가 있다. 상세한 내용은 본 명세서에서 다시 설명하지 않는다.
선택적으로, UDM은 S1060에서 UAV-NF에 제4 응답 메시지를 송신하고, 여기서 제4 응답 메시지는 UTM/USS의 아이덴티티의 확인 결과를 피드백하는 데 사용된다.
선택적으로, UAV-NF가 UTM/USS의 아이덴티티가 올바르지 않다고 결정하면, UAV-NF는 UUAA 철회 절차를 종료한다. UAV-NF가 UTM/USS의 아이덴티티가 올바르다고 결정하면 UAV-NF는 UUAA 철회 절차를 계속 수행한다.
따라서, 본 출원의 이 실시예에서 제공되는 통신 방법에 따르면, UDM는 인증 및 권한 부여 철회 절차에서 UTM/USS의 아이덴티티가 올바른지 여부를 검증하여, 공격자의 요청으로 인해 무인 항공기에 대한 인증 및 권한 부여가 예기치 않게 철회되는 경우를 줄일 수 있다.
도 11은 본 출원의 실시예에 따른 무인 항공기 시나리오에서의 통신 방법 1100의 개략 흐름도이다.
방법 1100 이전에, UAV는 UTM/USS와 무인 항공기 등록 및 무인 항공기 인증 및 인증을 수행한다는 것을 이해해야 한다. 특정 절차는 방법 800에 설명된 무인 항공기 등록 및 무인 항공기 인증 및 권한 부여 절차와 유사하다. 상세한 내용은 본 명세서에서 설명하지 않는다.
도 11에 도시된 바와 같이, 방법 1100은 다음의 단계를 포함한다.
S1110: AMF 또는 SMF는 3GPP UAV ID와 CAA 수준 UAV ID #1 및/또는 UTM/USS ID #1 사이의 매핑을 저장한다. UTM/USS는 또한 3GPP UAV ID 및 CAA 수준 UAV ID #1 및/또는 UTM/USS ID #1 사이의 매핑을 저장한다. 구체적인 해결책은 방법 800의 S830과 유사하다. 세부 사항은 다시 설명하지 않는다.
방법 1100에서의 S1120은 방법 900에서의 S920과 유사하다. 세부 사항은 다시 설명하지 않는다.
S1130: UAV-NF는 UAV-NF와 UTM/USS 사이에 TLS 링크가 구축되었는지 여부 및 무결성 보호가 인에이블되었는지 여부를 결정한다.
UAV-NF가 네트워크 노출 기능(network exposure function, NEF)을 통해 UTM/USS와 통신하는 경우에, NEF는 UTM/USS로의 TLS 링크를 구축한다는 점에 주목한다. UAV-NF 및 NEF가 함께 위치되거나 동일한 네트워크 요소가 NEF 및 UAV-NF의 기능을 갖는 경우, UAV-NF는 UTM/USS로의 TLS 링크를 구축한다. 동일한 네트워크 요소가 NEF 및 UAV-NF의 기능을 갖는 경우, 방법 1100에서, UAV-NF를 사용하여 네트워크 요소를 나타낸다. TLS 링크를 구축하는 것은, 네트워크 구축 동안에, 디바이스 사전 구성 또는 수동 트리거링에 기초해서 UAV-NF에 의해 UTM/USS로의 TLS 링크를 구축하는 것, UTM/USS 및 UAV-NF가 피어 단부와 처음으로 통신할 때 TLS 링크를 구축하는 것, 또는 UTM/USS 및 UAV-NF가 피어 단부와 다시 통신할 때 TLS 링크를 구축하는 것을 포함할 수 있다.
UAV-NF와 UTM/USS 사이에 TLS 링크가 구축되고, 무결성 보호 및/또는 기밀성 보호가 인에이블된 경우, UAV-NF와 UTM/USS 사이의 통신이 안전하게 보호되는 것으로 간주될 수 있으며, 공격자는 UTM/USS로 가장해서 UUAA 철회를 요청할 수 없다.
선택적으로, TLS 링크가 UAV-NF와 UTM/USS 사이에 구축될 때, 무결성 보호 및/또는 기밀성 보호가 강제적으로 인에이블되고, 즉, 비-널(NULL) 무결성 및/또는 알고리즘이 선택된다.
UAV-NF가, UAV-NF와 UTM/USS 사이에 TLS 링크가 구축되고 무결성 보호가 인에이블되었다고 결정하면, UAV-NF는 추가 확인 절차 없이 철회 절차를 계속한다. 예를 들어, UAV-NF가 UAV-NF와 UTM/USS 사이에 TLS 링크가 구축되었다고 결정하고, 무결성 보호가 인에이블된 경우, S1160에서 UAV-NF는 UDM에 AMF ID 또는 SMF ID를 질의하는 요청을 하고, AMF ID 또는 SMF ID를 기초로 AMF 또는 단말 디바이스를 서비스하는 SMF를 결정하며, S1170에서 AMF 또는 SMF에 제4 요청 메시지를 송신한다. 제4 요청 메시지는 UUAA를 철회하는 데 사용된다. AMF 또는 SMF는 제4 요청 메시지에 기초해서 UUAA를 철회한다. 그렇지 않으면, UAV-NF는 철회 절차를 종료하거나, 방법 800 내지 방법 1000 중 어느 하나가 UTM/USS의 아이덴티티를 검증하는데 사용된다.
선택적으로, UAV-NF는 UTM/USS로의 TLS 링크를 설정하는 과정에서 UTM/USS의 UTM/USS ID #2 및 TLS 링크의 식별 정보를 획득하고, UTM/USS로의 TLS 링크를 성공적으로 구축한 이후에 TLS 링크의 식별자와 UTM/USS ID #2 사이의 연관 관계를 저장한다. UAV-NF는 TLS 링크를 통해서, UTM/USS가 송신한 3GPP UAV ID를 전달하는 제3 요청 메시지를 수신한 이후에, 3GPP UAV ID를 취한다. UAV-NF는 TLS 링크의 식별자에 기초해서 UTM/USS ID #2를 취한다. UTM/USS는 3GPP UAV ID에 기초해서 UTM/USS ID #1을 획득한다. 구체적인 방식은 방법 800 내지 방법 1000에서의 방식과 유사하다. 세부 사항은 다시 설명하지 않는다. UAV-NF는 UTM/USS ID #1을 UTM/USS ID #2와 비교한다. CAA 수준 UTM/USS ID #1이 UTM/USS ID #2와 동일한 경우, UAV-NF는 UTM/USS의 아이덴티티가 올바르다고 결정한다. CAA 수준 UTM/USS ID #1이 UTM/USS ID #2와 동일하지 않은 경우, UAV-NF는 UTM/USS의 아이덴티티가 올바르지 않다고 결정한다.
따라서, 본 출원의 이 실시예에서 제공되는 통신 방법에 따르면, UAV-NF와 UTM/USS 사이에 TLS 링크가 구축되어서 무결성 보호가 인에이블된 것으로 결정되면, UAV 인증 철회 절차가 수행된다. 그렇지 않으면, UTM/USS의 아이덴티티가 검증되어야 한다. 이로써 공격자의 요청으로 인해 무인 항공기에 대한 인증 및 권한 부여가 예기치 않게 철회되는 경우를 줄일 수 있다.
도 12는 본 출원의 실시예에 따른 무인 항공기 시나리오에서의 통신 방법 1200의 개략 흐름도이다. 도 12에 도시된 바와 같이, 방법 1200은 다음의 단계를 포함한다.
방법 1200의 S1210 및 S1220은 방법 800의 무인 항공기 등록 절차 및 무인 항공기 인증 및 권한 부여 절차와 유사하다. 세부 사항은 다시 설명하지 않는다.
S1221에서 AMF 또는 SMF는 무인 항공기 인증 및 권한 부여 절차에, 각각 단말 디바이스에 서로 다른 3GPP UAV ID를 할당한다.
예를 들어, 무인 항공기 인증 및 권한 부여 절차에서, 무인 항공기 인증 및 권한 부여를 개시할 때, AMF 또는 SMF는 단말 디바이스에 외부 식별자의 포맷으로 GPSI를 일시적으로 할당한다. 각각의 단말 디바이스의 각 액세스마다 GPSI가 다르며 GPSI는 3GPP UAV ID로서 사용된다.
S1230 내지 S1250은 방법 900의 S920 내지 S940과 유사하다. 간결하게 하기 위해서, 본 출원에서 세부 사항은 다시 설명하지 않는다.
방법 1200은 별도로 구현될 수도 있고, 또는 다른 방법과 조합하여 구현될 수도 있음을 이해해야 한다. 이것은 본 출원에서 제한되지 않는다.
따라서, 본 출원의 이 실시예에서 제공되는 통신 방법에 따르면, 각각의 단말 디바이스의 액세스마다 서로 다른 3GPP UAV ID가 할당됨으로써, 공격자에 의한 위장의 어려움이 크게 증가하여, 시스템 보안성을 향상시킬 수 있다.
본 출원의 실시예에서 제공되는 방법은 도 3 내지 도 12를 참조하여 상술한 바와 같다. 본 출원의 실시예에서 제공되는 디바이스는 도 13 및 도 14를 참조하여 이하에서 상세히 설명된다.
도 13은 본 출원의 실시예에 따른 통신 장치(10)의 개략 블록도이다. 도 13에 도시된 바와 같이, 통신 장치(10)는 송수신기 모듈(11) 및 처리 모듈(12)을 포함할 수 있다.
가능한 설계에 있어서, 통신 장치(10)는 전술한 방법 실시예에서 제1 네트워크 요소, NSSAAF, AAA-P, UAV-NF, 또는 AMF/SMF에 대응할 수 있다.
예를 들어, 통신 장치(10)는 본 출원의 실시예에서 방법 300에서의 제1 네트워크 요소, 방법 400, 600, 700에서의 NSSAAF, 방법 500에서의 AAA-P, 방법 800, 1100, 1200에서의 UAV-NF, 방법 900에서의 AMF/SMF, 또는 방법 1000에서의 UDM에 대응할 수 있다. 통신 장치(10)는 도 3의 방법 300, 도 4의 방법 400, 도 5의 방법 500, 도 6의 방법 600, 도 7의 방법 700, 도 8의 방법 800, 도 9의 방법 900, 도 10의 방법 1000, 도 11의 방법 1100 또는 도 12 의 방법 1200의 제1 네트워크 요소인 NSSAAF, AAA-P, UAV-NF 또는 AMF/SMF에 의해 수행되는 방법을 수행하도록 구성된 모듈을 포함할 수 있다. 나아가, 통신 장치(10) 내의 유닛 및 전술한 다른 동작 및/또는 기능은 방법 300 내지 방법 1200의 대응하는 절차를 구현하기 위해 개별적으로 사용된다. 통신 장치(10) 내의 송수신기 모듈(11)은 전술한 방법 실시예에서 제1 네트워크 요소, NSSAAF, AAA-P, UAV-NF 또는 AMF/SMF에 의해 수행되는 수신 및 송신 동작을 수행하고, 처리 모듈(12)은 수신 및 송신 동작 이외의 동작을 수행한다.
다른 가능한 설계에서, 통신 장치(10)는 전술한 방법 실시예에서 제3 네트워크 요소, AAA-S, 또는 UTM/USS에 대응할 수 있다.
예를 들어, 도 13에서 통신 장치(10)는 방법 300에서의 제3 네트워크 요소, 방법 400에서의 AAA-S, 방법 400 내지 방법 700, 또는 방법 800 내지 방법 1200에서의 UTM/USS에 대응할 수 있다. 통신 장치(10)는 도 3의 방법 300, 도 4의 방법 400, 도 5의 방법 500, 도 6의 방법 600, 도 7의 방법 700, 도 8의 방법 800, 도 9의 방법 900, 도 10의 방법 1000, 도 11의 방법 1100 또는 도 12 의 방법 1200의 제3 네트워크 요소, AAA-S 또는 UTM/USS에 의해 수행되는 방법을 수행하도록 구성된 모듈을 포함할 수 있다. 나아가, 통신 장치(10) 내의 유닛 및 전술한 다른 동작 및/또는 기능은 방법 200 내지 방법 1000의 대응하는 절차를 구현하기 위해 개별적으로 사용된다.
통신 장치(10) 내의 송수신기 모듈(11)은 전술한 방법 실시예에서 제3 네트워크 요소, AAA-S 또는 UTM/USS에 의해 수행되는 수신 및 송신 동작을 수행하고, 처리 모듈(12)은 수신 및 송신 동작 이외의 동작을 수행한다.
전술한 방법에 따르면, 가능한 설계에서, 도 14는 본 출원의 실시예에 따른 통신 장치(20)의 개략도이다. 도 14에 도시된 바와 같이, 장치(20)는 네트워크 디바이스와 같은 통신 장치일 수 있으며, 전술한 방법 실시예에서 제1 네트워크 요소, NSSAAF, AAA-P, UAV-NF, AMF/SMF, 등을 포함한다.
전술한 방법에 따르면, 가능한 설계에서, 도 14는 본 출원의 실시예에 따른 다른 통신 장치(20)의 개략도이다. 통신 장치(20)는 전술한 방법 실시예에서 제3 네트워크 요소, AAA-S, 또는 UTM/USS 등일 수 있다.
장치(20)는 프로세서(21)(즉, 처리 모듈의 일례)와 메모리(22)를 포함할 수 있다. 메모리(22)는 명령어를 저장하도록 구성되고, 프로세서(21)는 메모리(22)에 저장된 명령어를 실행해서, 장치(30)가 도 3 내지 도 12에 대응하는 방법에서 수행되는 단계를 구현한다.
또한, 장치(20)는 입력 포트(24)(즉, 송수신기 모듈의 일례) 및 출력 포트(24)(즉, 송수신기 모듈의 다른 예)를 더 포함할 수 있다. 또한, 프로세서(21), 메모리(22), 입력 포트(23) 및 출력 포트(24)는 내부 연결 경로를 통해 서로 통신하여, 제어 신호 및/또는 데이터 신호를 송신할 수 있다. 메모리(22)는 컴퓨터 프로그램을 저장하도록 구성된다. 프로세서(21)는 메모리(22)로부터 컴퓨터 프로그램을 호출해서 컴퓨터 프로그램을 실행하여, 입력 포트(23)가 신호를 수신하도록 제어하고 출력 포트(24)가 신호를 송신하도록 제어하여, 전술한 방법의 네트워크 디바이스의 단계를 완료하도록 구성될 수 있다. 메모리(22)는 프로세서(21)에 통합될 수도 있고, 혹은 메모리(22) 및 프로세서(21)가 별도로 배치될 수도 있다.
선택적으로, 통신 장치(20)가 통신 디바이스인 경우, 입력 포트(23)는 수신기이고, 출력 포트(24)는 송신기이다. 수신기와 송신기는 동일한 물리적 엔티티일 수도 있고 또는 상이한 물리적 엔티티일 수도 있다. 수신기와 송신기가 동일한 물리적 개체인 경우, 수신기와 송신기를 통칭하여 송수신기라고 할 수도 있다.
선택적으로, 통신 장치(20)가 칩 또는 회로인 경우, 입력 포트(23)는 입력 인터페이스이고, 출력 포트(24)는 출력 인터페이스이다.
구현예에서, 입력 포트(23) 및 출력 포트(24)의 기능은 송수신기 회로 또는 전용 송수신기 칩을 이용해서 구현되는 것으로 간주될 수 있다. 프로세서(21)는 전용 처리 칩, 처리 회로, 프로세서 또는 범용 칩을 이용해서 구현되는 것으로 간주될 수 있다.
다른 구현예에서, 본 출원의 이 실시예에서 제공되는 통신 디바이스는 범용 컴퓨터를 이용해서 구현되는 것으로 간주될 수 있다. 구체적으로 말하면, 프로세서(21), 입력 포트(23) 및 출력 포트(24)의 기능을 구현하기 위한 프로그램 코드가 메모리(22)에 저장되어 있다. 범용 프로세서는 메모리(22)에서 코드를 실행함으로써 프로세서(31), 입력 포트(23) 및 출력 포트(24)의 기능을 구현한다.
본 출원의 실시예에서 제공되는 기술적 해결책들과 관련되고 장치(20)와 연관된 개념, 설명, 상세한 설명 및 다른 단계에 대해서는, 전술한 방법 또는 다른 실시예에서의 내용에 관한 설명을 참조한다. 상세한 내용은 본원에서 다시 설명하지 않는다.
본 출원의 실시예는 컴퓨터 판독 가능 저장 매체를 더 제공한다. 컴퓨터 판독 가능한 저장 매체는 전술한 방법 실시예에서 네트워크 디바이스에 의해 수행되는 방법을 구현하는 데 사용되는 컴퓨터 명령어를 저장한다.
예를 들어, 컴퓨터 프로그램이 컴퓨터에 의해 실행될 때, 컴퓨터는 전술한 방법 실시예에서 네트워크 디바이스에 의해 수행되는 방법을 구현하게 된다.
본 출원의 실시예는 명령어를 포함하는 컴퓨터 프로그램 제품을 더 제공한다. 명령어가 컴퓨터에 의해 실행될 때, 컴퓨터는 전술한 방법 실시예에서 제1 디바이스에 의해 수행되는 방법 또는 제2 디바이스에 의해 수행되는 방법을 구현하게 된다.
본 출원의 실시예는 통신 시스템을 더 제공한다. 통신 시스템은 전술한 실시예에서 네트워크 디바이스를 포함한다.
위에 제공한 임의의 디바이스에서의 관련 내용의 설명 및 유익한 효과에 대해서는, 위에 제공된 대응하는 방법 실시예를 참조한다. 상세한 내용은 본원에서 다시 설명하지 않는다.
본 출원의 이 실시예에서, 네트워크 디바이스는 하드웨어 계층, 하드웨어 계층 상에서 구동되는 운영 체제 계층 및 운영 체제 계층 상에서 구동되는 애플리케이션 계층을 포함할 수 있다. 하드웨어 계층은 중앙 처리 장치(central processing unit, CPU), 메모리 관리 유닛(memory management unit, MMU) 및 메모리(메인 메모리라고도 함) 등의 하드웨어를 포함할 수 있다. 운영 체제 계층에서의 운영 체제는 프로세스(process)를 통해 서비스 처리를 구현하는 임의의 하나 이상의 컴퓨터 운영 체제로서, 예를 들면, 리눅스 운영 체제, 유닉스 운영 체제, 안드로이드 운영 체제, iOS 운영 체제, 또는 윈도우 운영 체제일 수 있다. 애플리케이션 계층은 브라우저, 주소록, 워드 프로세싱 소프트웨어 및 인스턴트 메시징 소프트웨어와 같은 애플리케이션을 포함할 수 있다.
본 출원의 실시예에서 제공되는 방법의 코드를 기록한 프로그램이 실행되어서 본 출원의 실시예에서 제공되는 방법에 따라 통신을 수행할 수 있다면, 본 출원의 실시예에서 제공되는 방법의 실행 본체의 특정 구조는 본 출원의 실시예에서 특별히 제한되지 않는다. 예를 들어, 본 출원의 실시예에서 제공되는 방법의 실행 본체는 네트워크 디바이스일 수도 있고, 또는 네트워크 디바이스 내에서 프로그램을 호출하고 실행할 수 있는 기능 모듈일 수도 있다.
본 출원의 양상 또는 특징은 표준 프로그래밍 및/또는 엔지니어링 기술을 사용하는 방법, 장치, 또는 제품으로서 구현될 수 있다. 본 명세서에서 사용되는 용어 "제품"은 임의의 컴퓨터 판독 가능 구성 요소, 캐리어 또는 매체로부터 액세스될 수 있는 컴퓨터 프로그램을 포괄할 수 있다. 예를 들어, 컴퓨터 판독 가능 매체는 자기식 저장 컴포넌트(예를 들어, 하드 디스크, 플로피 디스크, 또는 자기 테이프), 광학 디스크(예를 들어, 콤팩트 디스크(compact disc, CD) 또는 디지털 다목적 디스크(digital versatile disc, DVD)), 스마트 카드, 및 플래시 메모리 부품(예를 들어, 소거 가능 프로그래밍 가능 판독 전용 메모리(erasable programmable read-only memory, EPROM), 카드, 스틱 또는 키 드라이브)를 포함할 수 있지만, 이것으로 한정되는 것은 아니다.
본 명세서에 기술된 다양한 저장 매체는 정보를 저장하도록 구성된 하나 이상의 디바이스 및/또는 다른 머신 판독가능 매체를 나타낼 수 있다. 용어 '머신-판독 가능 매체'는 무선 채널, 및 명령어 및/또는 데이터를 저장, 포함 및/또는 운반할 수 있는 다양한 다른 매체를 포함할 수 있지만, 이것으로 한정되는 것은 아니다.
본 출원의 실시예에서 언급된 프로세서는 중앙 처리 장치(central processing unit, CPU)일 수도 있고, 다른 범용 프로세서, 디지털 신호 프로세서(digital signal processor, DSP), 주문형 집적 회로(application-specific integrated circuit, ASIC), 필드 프로그래머블 게이트 어레이(field-programmable gate array, FPGA) 또는 다른 프로그래머블 로직 디바이스, 이산 게이트 또는 트랜지스터 로직 디바이스, 이산 하드웨어 컴포넌트 등일 수도 있다. 범용 프로세서는 마이크로프로세서일 수도 있고, 혹은 프로세서는 임의의 종래의 프로세서 등일 수도 있다.
본 출원의 실시예에서 언급된 메모리는 휘발성 메모리 또는 비휘발성 메모리일 수도 있고, 또는 휘발성 메모리 및 비휘발성 메모리 모두를 포함할 수도 있다는 것이 더 이해해야 한다. 비휘발성 메모리는 판독 전용 메모리(read-only memory, ROM), 프로그래밍 가능 판독 전용 메모리(programmable ROM, PROM), 소거 가능한 프로그래밍 가능 판독 전용 메모리(erasable PROM, EPROM), 전기적으로 소거 가능한 프로그래밍 가능한 판독 전용 메모리(electrically EPROM, EEPROM), 또는 플래시 메모리일 수 있다. 휘발성 메모리는 랜덤 액세스 메모리(random access memory, RAM)일 수 있다. 예를 들어, RAM은 외부 캐시로 사용될 수 있다. 제한이 아닌 일례로, RAM은 다음과 같은 복수의 형태를 포함할 수 있다: 정적 랜덤 액세스 메모리(static RAM, SRAM), 동적 랜덤 액세스 메모리(dynamic RAM, DRAM), 동기식 동적 랜덤 액세스 메모리(synchronous DRAM, SDRAM), 이중 데이터 레이트 동기식 동적 랜덤 액세스 메모리(double data rate SDRAM, DDR SDRAM), 향상된 동기식 동적 랜덤 액세스 메모리(Enhanced SDRAM, ESDRAM), 싱크링크 동적 랜덤 액세스 메모리(Synchlink DRAM, SLDRAM) 및 직접 램버스 랜덤 액세스 메모리(Direct Rambus RAM, DR RAM)와 같은 많은 형태의 RAM이 사용될 수 있다.
프로세서가 범용 프로세서, DSP, ASIC, FPGA 또는 다른 프로그래머블 로직 디바이스, 이산 게이트 또는 트랜지스터 로직 디바이스, 또는 이산 하드웨어 컴포넌트인 경우, 메모리(저장 모듈)는 프로세서에 통합될 수 있다.
본 명세서에 기술된 메모리는 이들 메모리 및 다른 적절한 타입의 임의의 메모리를 포함하지만 이것으로 한정되는 것은 아님에 더 주의한다.
당업자라면, 유닛 및 방법이 본 명세서에 개시된 실시예에 기술된 예와 조합해서 전자 하드웨어에 의해 구현될 수도 있고 또는 컴퓨터 소프트웨어와 전자 하드웨어의 조합에 의해 구현될 수도 있다는 것을 이해할 것이다. 기능이 하드웨어로 수행될지 또는 소프트웨어로 수행될지 여부는, 기술적인 해결 방안의 특정 응용예 및 설계 요건에 따라 달라진다. 당업자는 각각의 특정 출원에 대해 설명된 기능을 구현하는데 다양한 방법을 사용할 수 있지만, 구현예가 본 출원의 보호 범주를 벗어나는 것으로 간주되어서는 안 된다.
당업자라면, 설명을 편리하고 간략하게 하기 위해, 전술한 시스템, 디바이스 및 유닛의 상세한 작업 프로세스에 대해서는, 전술한 방법 실시예에서 대응하는 프로세스를 참조한다는 것을 명확하게 이해할 수 있다. 상세한 내용은 본원에서 다시 설명하지 않는다.
본 출원에 제공된 여러 실시예에서, 개시된 장치 및 방법은 다른 방식으로 구현될 수도 있다는 것을 이해해야 한다. 예를 들어, 설명된 디바이스 실시예는 단지 예시에 불과하다. 예를 들어, 유닛들을 분할한 것은 단지 논리적인 기능 분할일 뿐, 실제 구현예에서는 다른 분할일 수도 있다. 예를 들어, 복수의 유닛 또는 컴포넌트가 다른 시스템에 결합 또는 통합될 수도 있고, 또는 일부 특징은 무시되거나 수행되지 않을 수도 있다. 나아가, 표시된 혹은 설명된 상호 결합, 직접 결합 또는 통신 연결은 일부 인터페이스를 통해 구현될 수 있다. 장치들 또는 유닛들 간의 간접적인 결합 또는 통신 연결은 전기적 형태, 기계적 형태 또는 다른 형태로 구현될 수 있다.
별개의 구성요소들로 설명된 유닛들은 물리적으로 분리될 수도 있고 그렇지 않을 수도 있으며, 유닛들로서 표시된 구성요소들은 물리적 유닛일 수도 있고 그렇지 않을 수도 있다. 구체적으로, 구성요소들은 한 위치에 위치될 수도 있고, 또는 복수의 네트워크 디바이스에 분산될 수도 있다. 유닛의 일부 또는 전부는 본 출원에서 제공되는 솔루션을 구현하기 위한 실제 요구 사항에 따라 선택될 수 있다.
나아가, 본 출원의 실시예에서 기능 유닛들은 하나의 유닛으로 통합될 수 있고, 각각의 유닛은 물리적으로 단독으로 존재할 수도 있고, 또는 둘 이상의 유닛이 하나의 유닛으로 통합될 수도 있다.
전술한 실시예 중 일부 또는 전부는 소프트웨어, 하드웨어, 펌웨어, 또는 이들의 임의의 조합을 사용하여 구현될 수 있다. 실시예를 구현하는데 소프트웨어가 사용되는 경우, 실시예 중 일부 또는 전부는 컴퓨터 프로그램 제품의 형태로 구현될 수 있다. 컴퓨터 프로그램 제품은 하나 이상의 컴퓨터 명령어를 포함한다. 컴퓨터 프로그램 명령어가 컴퓨터에 로딩되어 실행될 때, 본 출원의 실시예에 따른 절차 또는 기능은 전부 또는 부분적으로 생성된다. 컴퓨터는 특수 목적 컴퓨터, 전용 컴퓨터, 컴퓨터 네트워크, 또는 다른 프로그램가능 장치일 수 있다. 예를 들어, 컴퓨터는 퍼스널 컴퓨터, 서버, 네트워크 디바이스 등일 수 있다. 컴퓨터 명령어는 컴퓨터 판독 가능 저장 매체에 저장될 수도 있고, 컴퓨터 판독 가능 저장 매체로부터 다른 컴퓨터 판독 가능 저장 매체로 전송될 수도 있다. 예를 들어, 컴퓨터 명령어는 웹사이트, 컴퓨터, 서버 또는 데이터 센터로부터 다른 웹사이트, 컴퓨터, 서버 또는 데이터 센터로 유선(예를 들어, 동축 케이블, 광섬유, 또는 디지털 가입자 회선(DSL)) 또는 무선(예를 들어, 적외선, 무선, 또는 마이크로파) 방식으로 전송될 수 있다. 컴퓨터 판독 가능 저장 매체는 컴퓨터에 의해 또는 데이터 저장 장치에 의해, 예를 들어, 서버 또는 데이터 센터에 의해 액세스될 수 있는 임의의 사용 가능한 매체일 수 있으며, 하나 이상의 사용 가능한 매체를 통합할 수 있다. 사용 가능한 매체는 자기식 매체(예를 들어, 플로피 디스크, 하드 디스크, 또는 자기 테이프), 광 매체(예를 들어, DVD), 반도체 매체(예를 들어, 솔리드 스테이트 디스크(solid state disk, SSD)) 등일 수 있다. 예를 들어, 전술한 사용 가능한 매체는 프로그램 코드를 저장할 수 있는 임의의 매체, 예를 들어 USB 플래시 드라이브, 이동식 하드 디스크, 판독 전용 메모리(read-only memory, ROM), 랜덤 액세스 메모리(random access memory, RAM), 자기 디스크, 또는 광 디스크를 포함할 수 있다.
전술한 설명은 본 출원의 특정 구현예에 불과하며, 본 출원의 보호 범주를 제한하는 것은 아니다. 본 출원에 개시된 기술적 범위 내에서 당업자에 의해 용이하게 파악되는 임의의 변형 또는 대안은 본 출원의 보호 범주 내에 속한다. 그러므로, 본 출원의 실시예의 보호 범주는 청구항 및 그 상세한 설명의 보호 범위에 따른다.
Claims (37)
- 통신 방법으로서,
제1 네트워크 요소에 의해, 제2 네트워크 요소로부터 제1 요청 메시지를 수신하는 단계 - 상기 제1 요청 메시지는 제1 단말 디바이스에 대해 제1 동작을 수행할 것을 요청하는 데 사용됨 - 와,
상기 제1 요청 메시지에 기초해서, 상기 제1 네트워크 요소에 의해, 상기 제2 네트워크 요소가 상기 제1 단말 디바이스에 대해 상기 제1 동작을 수행할 것을 요청하는 권한을 부여받았는지 여부를 결정하는 단계
를 포함하는 방법.
- 제1항에 있어서,
상기 제1 요청 메시지는 제1 식별자 및 제2 식별자를 포함하되, 상기 제1 식별자는 상기 제1 단말 디바이스와 연관되고, 상기 제2 식별자는 상기 제2 네트워크 요소와 연관되는,
방법.
- 제2항에 있어서,
상기 방법은, 상기 제1 네트워크 요소에 의해, 제3 식별자와 상기 제1 식별자 사이의 매핑을 저장하는 단계를 더 포함하고,
상기 제1 요청 메시지에 기초해서, 상기 제1 네트워크 요소에 의해, 상기 제2 네트워크 요소가 상기 제1 단말 디바이스에 대해 상기 제1 동작을 수행할 것을 요청하는 권한을 부여받았는지 여부를 결정하는 단계는,
상기 제1 네트워크 요소에 의해, 상기 제1 식별자에 기초해서 상기 매핑을 획득하는 단계와,
상기 제2 식별자가 상기 제3 식별자와 일치하면, 상기 제1 네트워크 요소에 의해, 상기 제2 네트워크 요소가 상기 제1 단말 디바이스에 대해 상기 제1 동작을 수행할 것을 요청하는 권한을 부여받은 것으로 결정하고; 또는 상기 제2 식별자가 상기 제3 식별자와 일치하지 않으면, 상기 제1 네트워크 요소에 의해, 상기 제2 네트워크 요소가 상기 제1 단말 디바이스에 대해 상기 제1 동작을 수행할 것을 요청하는 권한을 부여받지 않은 것으로 결정하는 단계
를 더 포함하는,
방법.
- 제2항 또는 제3항에 있어서,
상기 제2 식별자는 상기 제2 네트워크 요소의 아이덴티티(ID), 상기 제2 네트워크 요소의 인터넷 프로토콜(IP) 주소, 또는 상기 제2 네트워크 요소의 전체 주소 도메인 이름(fully qualified domain name, FQDN) 중 적어도 하나의 정보를 포함하고,
상기 제1 식별자는 단일 네트워크 슬라이스 선택 보조 정보(single network slice selection assistance information, S-NSSAI)를 포함하는,
방법.
- 제2항 또는 제3항에 있어서,
상기 제2 식별자는, 상기 제2 네트워크 요소의 아이덴티티(ID), 또는 상기 제1 단말 디바이스의 민간 항공 당국 수준의 무인 항공기 식별자(uncrewed aerial vehicle identifier) 중 적어도 하나의 정보를 포함하고,
상기 제1 식별자는 상기 제1 단말 디바이스의 아이덴티티(ID)를 포함하는,
방법.
- 제1항 내지 제4항 중 어느 한 항에 있어서,
상기 제1 동작은 네트워크 슬라이스 특정 재인증 또는 네트워크 슬라이스 특정 인증 철회를 포함하는,
방법.
- 제1항 내지 제3항 및 제5항 중 어느 한 항에 있어서,
상기 제1 동작은 인증 및 권한 부여 철회 또는 페어링 인증 및 권한 부여 철회를 포함하는,
방법.
- 제2항 내지 제7항 중 어느 한 항에 있어서,
상기 제1 네트워크 요소에 의해, 제2 네트워크 요소로부터 제1 요청 메시지를 수신하는 단계 이전에, 상기 방법은,
상기 제1 네트워크 요소에 의해, 상기 제2 네트워크 요소로의 보안 링크를 구축하는 단계와,
상기 제1 네트워크 요소에 의해, 제4 식별자를 저장하는 단계 - 상기 제4 식별자는 상기 제2 네트워크 요소 및 상기 보안 링크와 연관됨 - 와,
상기 제1 네트워크 요소에 의해, 상기 제2 식별자가 상기 제4 식별자와 동일하다고 결정하는 단계
를 더 포함하고,
상기 제1 네트워크 요소에 의해, 제2 네트워크 요소로부터 제1 요청 메시지를 수신하는 단계는,
상기 제1 네트워크 요소에 의해, 상기 보안 링크를 통해 상기 제2 네트워크 요소로부터 상기 제1 요청 메시지를 수신하는 단계를 포함하는,
방법.
- 제8항에 있어서,
상기 제1 네트워크 요소에 의해, 상기 제2 네트워크 요소로의 보안 링크를 구축하는 단계는,
상기 제1 네트워크 요소에 의해, 상기 제2 네트워크 요소의 보안 인증서 정보를 획득하는 단계와,
상기 제1 네트워크 요소에 의해, 상기 보안 인증서 정보에 기초해서 상기 제2 네트워크 요소와의 인터넷 프로토콜 보안(IPsec) 터널을 구축하는 단계
를 포함하는,
방법.
- 제1항 내지 제9항 중 어느 한 항에 있어서,
상기 제1 네트워크 요소에 의해, 제2 네트워크 요소로부터 제1 요청 메시지를 수신하는 단계 이전에, 상기 방법은,
상기 제1 네트워크 요소에 의해, 상기 제1 단말 디바이스에 대해 제2 동작을 수행하는 단계 - 상기 제2 동작은 상기 제1 동작과 연관됨 - 를 더 포함하는,
방법.
- 통신 방법으로서,
제2 네트워크 요소에 의해, 제1 요청 메시지를 생성하는 단계와,
상기 제2 네트워크 요소에 의해, 상기 제1 요청 메시지를 제1 네트워크 요소에 송신하는 단계 - 상기 제1 요청 메시지는 상기 제1 단말 디바이스에 대해 제1 동작을 수행할 것을 요청하는 데 사용되고, 상기 제1 요청 메시지는 상기 제2 네트워크 요소가 상기 제1 단말 디바이스에 대해 상기 제1 동작을 수행할 것을 요청하는 권한을 부여받았는지 여부를 결정하는데 사용됨 -
를 포함하는 방법.
- 제11항에 있어서,
상기 제1 요청 메시지는 제1 식별자 및 제2 식별자를 포함하되, 상기 제1 식별자는 상기 제1 단말 디바이스와 연관되고, 상기 제2 식별자는 상기 제2 네트워크 요소와 연관되는,
방법.
- 제12항에 있어서,
상기 제2 식별자는 상기 제2 네트워크 요소의 아이덴티티(ID), 상기 제2 네트워크 요소의 인터넷 프로토콜(IP) 주소, 또는 상기 제2 네트워크 요소의 전체 주소 도메인 이름(fully qualified domain name, FQDN) 중 적어도 하나의 정보를 포함하고,
상기 제1 식별자는 단일 네트워크 슬라이스 선택 보조 정보(S-NSSAI)를 포함하는,
방법.
- 제12항에 있어서,
상기 제2 식별자는 상기 제2 네트워크 요소의 아이덴티티(ID), 또는 상기 제1 단말 디바이스의 민간 항공 당국 수준의 무인 항공기 식별자 중 적어도 하나의 정보를 포함하고,
상기 제1 식별자는 상기 제1 단말 디바이스의 아이덴티티(ID)를 포함하는,
방법.
- 제11항 내지 제13항 중 어느 한 항에 있어서,
상기 제1 동작은 네트워크 슬라이스 특정 재인증 또는 네트워크 슬라이스 특정 인증 철회를 포함하는,
방법.
- 제11항, 제12항 또는 제14항 중 어느 한 항에 있어서,
상기 제1 동작은 상기 제1 단말 디바이스에 대한 인증 및 권한 부여 철회 또는 상기 제1 단말 디바이스에 대한 페어링 인증 및 권한 부여 철회를 포함하는,
방법.
- 제11항 내지 제16항 중 어느 한 항에 있어서,
상기 제2 네트워크 요소에 의해, 상기 제1 요청 메시지를 제1 네트워크 요소에 송신하는 단계 이전에, 상기 방법은,
상기 제2 네트워크 요소에 의해, 상기 제1 네트워크 요소로의 보안 링크를 구축하는 단계를 더 포함하고,
상기 제2 네트워크 요소에 의해, 상기 제1 요청 메시지를 제1 네트워크 요소에 송신하는 단계는:
상기 제2 네트워크 요소에 의해, 상기 보안 링크를 통해 상기 제1 네트워크 요소에 상기 제1 요청 메시지를 송신하는 단계를 포함하는,
방법.
- 제17항에 있어서,
상기 제2 네트워크 요소에 의해, 상기 제1 네트워크 요소로의 보안 링크를 구축하는 단계는,
상기 제2 네트워크 요소에 의해, 상기 제2 네트워크 요소의 보안 인증서 정보를 상기 제1 네트워크 요소에 송신하는 단계와,
상기 제2 네트워크 요소에 의해, 상기 보안 인증서 정보에 기초해서 상기 제1 네트워크 요소와의 인터넷 프로토콜 보안(IPsec) 터널을 구축하는 단계
를 포함하는,
방법.
- 통신 장치로서,
제2 네트워크 요소로부터 제1 요청 메시지를 수신하도록 구성되는 송수신기 모듈 - 상기 제1 요청 메시지는 제1 단말 디바이스에 대해 제1 동작을 수행할 것을 요청하는 데 사용됨 - 과,
상기 제1 요청 메시지에 기초해서, 상기 제2 네트워크 요소가 상기 제1 단말 디바이스에 대해 상기 제1 동작을 수행할 것을 요청하는 권한을 부여받았는지 여부를 결정하도록 구성되는 처리 모듈
을 포함하는 장치.
- 제19항에 있어서,
상기 제1 요청 메시지는 제1 식별자 및 제2 식별자를 포함하되, 상기 제1 식별자는 상기 제1 단말 디바이스와 연관되고, 상기 제2 식별자는 상기 제2 네트워크 요소와 연관되는,
장치.
- 제20항에 있어서,
상기 처리 모듈은 또한, 제3 식별자와 상기 제1 식별자 사이의 매핑을 저장하도록 구성되고,
상기 처리 모듈은,
상기 제1 식별자에 기초해서 상기 매핑을 획득하고,
상기 제2 식별자가 상기 제3 식별자와 일치하면, 상기 제2 네트워크 요소가 상기 제1 단말 디바이스에 대해 상기 제1 동작을 수행할 것을 요청하는 권한을 부여받은 것으로 결정하고; 또는 상기 제2 식별자가 상기 제3 식별자와 일치하지 않으면, 상기 제2 네트워크 요소가 상기 제1 단말 디바이스에 대해 상기 제1 동작을 수행할 것을 요청하는 권한을 부여받지 않은 것으로 결정하도록
더 구성되는,
장치.
- 제20항 또는 제21항에 있어서,
상기 제2 식별자는 상기 제2 네트워크 요소의 아이덴티티(ID), 상기 제2 네트워크 요소의 인터넷 프로토콜(IP) 주소, 또는 상기 제2 네트워크 요소의 전체 주소 도메인 이름(FQDN) 중 적어도 하나의 정보를 포함하고,
상기 제1 식별자는 단일 네트워크 슬라이스 선택 보조 정보(S-NSSAI)를 포함하는,
장치.
- 제20항 또는 제21항에 있어서,
상기 제2 식별자는 상기 제2 네트워크 요소의 아이덴티티(ID), 또는 상기 제1 단말 디바이스의 민간 항공 당국 수준의 무인 항공기 식별자 중 적어도 하나의 정보를 포함하고,
상기 제1 식별자는 상기 제1 단말 디바이스의 아이덴티티(ID)를 포함하는,
장치.
- 제19항 내지 제22항 중 어느 한 항에 있어서,
상기 제1 동작은 네트워크 슬라이스 특정 재인증 또는 네트워크 슬라이스 특정 인증 철회를 포함하는,
장치.
- 제19항 내지 제21항 및 제23항 중 어느 한 항에 있어서,
상기 제1 동작은 인증 및 권한 부여 철회 또는 페어링 인증 및 권한 부여 철회를 포함하는,
장치.
- 제20항 내지 제25항 중 어느 한 항에 있어서,
상기 처리 모듈은,
상기 제2 네트워크 요소로의 보안 링크를 구축하고,
제4 식별자를 저장하며 - 상기 제4 식별자는 상기 제2 네트워크 요소 및 상기 보안 링크와 연관됨 - ,
상기 제2 식별자가 상기 제4 식별자와 동일하다고 결정하도록
더 구성되며,
상기 송수신기 모듈은 상기 보안 링크를 통해 상기 제2 네트워크 요소로부터 상기 제1 요청 메시지를 수신하도록 더 구성되는,
장치.
- 제26항에 있어서,
상기 처리 모듈은,
상기 제2 네트워크 요소의 보안 인증서 정보를 획득하고,
상기 보안 인증서 정보에 기초해서 상기 제2 네트워크 요소와의 인터넷 프로토콜 보안(IPsec) 터널을 구축하도록
더 구성되는,
장치.
- 제19항 내지 제27항 중 어느 한 항에 있어서,
상기 처리 모듈은,
상기 제1 단말 디바이스에 대해 제2 동작을 수행하도록 더 구성되고, 상기 제2 동작은 상기 제1 동작과 연관되는,
장치.
- 통신 장치로서,
제1 요청 메시지를 생성하도록 구성되는 처리 모듈과,
상기 제1 요청 메시지를 제1 네트워크 요소에 송신하도록 구성된 송수신기 모듈 - 상기 제1 요청 메시지는 상기 제1 단말 디바이스에 대해 제1 동작을 수행할 것을 요청하는 데 사용되고, 상기 제1 요청 메시지는 제2 네트워크 요소가 상기 제1 단말 디바이스에 대해 상기 제1 동작을 수행할 것을 요청하는 권한을 부여받았는지 여부를 결정하는데 사용됨 -
을 포함하는 장치.
- 제29항에 있어서,
제2 식별자는 상기 제2 네트워크 요소의 아이덴티티(ID), 상기 제2 네트워크 요소의 인터넷 프로토콜(IP) 주소, 또는 상기 제2 네트워크 요소의 전체 주소 도메인 이름(FQDN) 중 적어도 하나의 정보를 포함하고,
제1 식별자는 단일 네트워크 슬라이스 선택 보조 정보(S-NSSAI)를 포함하는,
장치.
- 제30항에 있어서,
상기 제2 식별자는 상기 제2 네트워크 요소의 상기 아이덴티티(ID), 상기 제2 네트워크 요소의 상기 인터넷 프로토콜(IP) 주소, 또는 상기 제2 네트워크 요소의 상기 전체 주소 도메인 이름(FQDN) 중 적어도 하나의 정보를 포함하고,
상기 제1 식별자는 상기 단일 네트워크 슬라이스 선택 보조 정보(S-NSSAI)를 포함하는,
장치.
- 제30항에 있어서,
상기 제2 식별자는 상기 제2 네트워크 요소의 상기 아이덴티티(ID), 또는 상기 제1 단말 디바이스의 민간 항공 당국 수준의 무인 항공기 식별자 중 적어도 하나의 정보를 포함하고,
상기 제1 식별자는 상기 제1 단말 디바이스의 아이덴티티(ID)를 포함하는,
장치.
- 제29항 내지 제31항 중 어느 한 항에 있어서,
상기 제1 동작은 네트워크 슬라이스 특정 재인증 또는 네트워크 슬라이스 특정 인증 철회를 포함하는,
장치.
- 제29항, 제30항 또는 제32항 중 어느 한 항에 있어서,
상기 제1 동작은 상기 제1 단말 디바이스에 대한 인증 및 권한 부여 철회 또는 상기 제1 단말 디바이스에 대한 페어링 인증 및 권한 부여 철회를 포함하는,
방법.
- 제29항 내지 제34항 중 어느 한 항에 있어서,
상기 처리 모듈은, 상기 제1 네트워크 요소로의 보안 링크를 구축하도록 더 구성되고,
상기 송수신기 모듈은,
상기 보안 링크를 통해 상기 제1 네트워크 요소에 상기 제1 요청 메시지를 송신하도록 더 구성되는,
장치.
- 컴퓨터 판독 가능 저장 매체로서, 상기 컴퓨터 판독 가능 저장 매체는 컴퓨터 프로그램을 저장하고, 상기 컴퓨터 프로그램이 컴퓨터에서 실행될 때, 상기 컴퓨터는 제1항 내지 제18항 중 어느 한 항에 따른 방법을 수행하게 되는, 컴퓨터 판독 가능 저장 매체.
- 프로세서 및 메모리를 포함하되, 상기 메모리는 컴퓨터 프로그램을 저장하도록 구성되며, 상기 프로세서는 상기 메모리에 저장된 컴퓨터 프로그램을 호출 및 실행해서 제1항 내지 제18항 중 어느 한 항에 따른 방법을 수행하도록 구성되는, 칩.
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110194700.9 | 2021-02-21 | ||
CN202110194700.9A CN114980094A (zh) | 2021-02-21 | 2021-02-21 | 通信方法和通信装置 |
PCT/CN2022/076667 WO2022174794A1 (zh) | 2021-02-21 | 2022-02-17 | 通信方法和通信装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
KR20230142626A true KR20230142626A (ko) | 2023-10-11 |
Family
ID=82932097
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020237031465A KR20230142626A (ko) | 2021-02-21 | 2022-02-17 | 통신 방법 및 장치 |
Country Status (7)
Country | Link |
---|---|
US (1) | US20240214365A1 (ko) |
EP (1) | EP4284045A4 (ko) |
JP (1) | JP2024507835A (ko) |
KR (1) | KR20230142626A (ko) |
CN (1) | CN114980094A (ko) |
BR (1) | BR112023016732A2 (ko) |
WO (1) | WO2022174794A1 (ko) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20210092103A1 (en) * | 2018-10-02 | 2021-03-25 | Arista Networks, Inc. | In-line encryption of network data |
US20230413032A1 (en) * | 2022-05-26 | 2023-12-21 | Qualcomm Incorporated | Consent management procedures for wireless devices |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10726102B2 (en) * | 2014-01-08 | 2020-07-28 | Ipra Technologies Oy Ltd. | Method of and system for providing access to access restricted content to a user |
US20160371987A1 (en) * | 2015-06-17 | 2016-12-22 | Verizon Patent And Licensing Inc. | Command and control interface for uavs communication through a mobile wireless network |
CN110557270B (zh) * | 2018-05-31 | 2021-10-22 | 华为技术有限公司 | 一种网络切片的管理方法及装置 |
CN110838245A (zh) * | 2018-08-16 | 2020-02-25 | 华为技术有限公司 | 一种基于移动网络的无人机监管方法及装置 |
CN111757419B (zh) * | 2019-03-29 | 2021-08-03 | 华为技术有限公司 | 一种网络接入方法和装置 |
CN112105015B (zh) * | 2019-06-17 | 2022-08-26 | 华为技术有限公司 | 二级认证的方法和装置 |
CN112291784B (zh) * | 2019-07-09 | 2022-04-05 | 华为技术有限公司 | 一种通信方法以及网元 |
CN111314386B (zh) * | 2020-03-23 | 2021-04-23 | 北京邮电大学 | 一种智能网联汽车的入侵检测方法和装置 |
-
2021
- 2021-02-21 CN CN202110194700.9A patent/CN114980094A/zh active Pending
-
2022
- 2022-02-17 BR BR112023016732A patent/BR112023016732A2/pt unknown
- 2022-02-17 WO PCT/CN2022/076667 patent/WO2022174794A1/zh active Application Filing
- 2022-02-17 JP JP2023550037A patent/JP2024507835A/ja active Pending
- 2022-02-17 KR KR1020237031465A patent/KR20230142626A/ko active Search and Examination
- 2022-02-17 EP EP22755567.9A patent/EP4284045A4/en active Pending
-
2023
- 2023-08-21 US US18/452,575 patent/US20240214365A1/en active Pending
Also Published As
Publication number | Publication date |
---|---|
EP4284045A1 (en) | 2023-11-29 |
WO2022174794A1 (zh) | 2022-08-25 |
BR112023016732A2 (pt) | 2023-10-31 |
CN114980094A (zh) | 2022-08-30 |
JP2024507835A (ja) | 2024-02-21 |
US20240214365A1 (en) | 2024-06-27 |
EP4284045A4 (en) | 2024-07-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9882894B2 (en) | Secure authentication service | |
US11240660B2 (en) | Unified security architecture | |
US20240214365A1 (en) | Communication method and apparatus | |
US20210377054A1 (en) | Systems and methods for managing public key infrastructure certificates for components of a network | |
US20230102300A1 (en) | A mechanism for unmanned vehicle authorization for operation over cellular networks | |
US20240298174A1 (en) | Method and systems for authenticating ue for accessing non-3gpp service | |
US11489825B2 (en) | Systems and methods for configuring a network function proxy for secure communication | |
US20230388788A1 (en) | Key-based authentication for a mobile edge computing network | |
EP3459278B1 (en) | Authentication for next generation systems | |
EP3531658B1 (en) | Providing inter-enterprise data communications between enterprise applications on an electronic device | |
US11785462B2 (en) | Registration and authentication of a drone, ground control station, and user for flights leveraging a wide area network | |
CN114600487B (zh) | 身份认证方法及通信装置 | |
JP2024508724A (ja) | セルラーネットワークにおけるプロビジョニングサーバの選択 | |
FI129401B (en) | REGISTRATION PROCEDURE | |
WO2023246942A1 (zh) | 通信方法及装置 | |
CN115004638A (zh) | 用户设备、非公共网络认证授权计费服务器、认证服务器功能实体 | |
CN114915968A (zh) | 认证授权的方法与通信装置 | |
WO2021063399A1 (zh) | 物联网设备的身份标识认证方法、相关装置及系统 | |
WO2022013601A1 (en) | Provisioning drone flight in 5g networks | |
US20230284030A1 (en) | Uas authentication and security establishment | |
EP3993469A1 (en) | Security procedure | |
US20230292114A1 (en) | Securing communications between user equipment devices | |
WO2024179262A1 (zh) | 通信方法和通信装置 | |
US20240251239A1 (en) | Technologies for non-seamless wireless local area access offload | |
CN110830415B (zh) | 网络接入控制方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination |