KR20240034831A - 분산형 네트워크 에지 보안 아키텍처 - Google Patents

분산형 네트워크 에지 보안 아키텍처 Download PDF

Info

Publication number
KR20240034831A
KR20240034831A KR1020247005468A KR20247005468A KR20240034831A KR 20240034831 A KR20240034831 A KR 20240034831A KR 1020247005468 A KR1020247005468 A KR 1020247005468A KR 20247005468 A KR20247005468 A KR 20247005468A KR 20240034831 A KR20240034831 A KR 20240034831A
Authority
KR
South Korea
Prior art keywords
plmn
secure
node
sepp
interface
Prior art date
Application number
KR1020247005468A
Other languages
English (en)
Inventor
랄프 켈러
조지 포티
벵트 살린
마리 아마리사 로빈슨
Original Assignee
텔레호낙티에볼라게트 엘엠 에릭슨(피유비엘)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 텔레호낙티에볼라게트 엘엠 에릭슨(피유비엘) filed Critical 텔레호낙티에볼라게트 엘엠 에릭슨(피유비엘)
Publication of KR20240034831A publication Critical patent/KR20240034831A/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/51Discovery or management thereof, e.g. service location protocol [SLP] or web services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/322Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
    • H04L69/326Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the transport layer [OSI layer 4]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/037Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/04Large scale networks; Deep hierarchical networks
    • H04W84/042Public Land Mobile systems, e.g. cellular systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/18Service support devices; Network management devices
    • H04W88/182Network node acting on behalf of an other network entity, e.g. proxy

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

공중 육상 모바일 네트워크(PLMN)에서의 보안 중계 노드에 의해 구현되는 방법으로서, 여기서 이 방법은, PLMN 내의 네트워크 펑션(NF)으로부터, 추가 PLMN에 제공될 제어 패킷을 수신하는 단계, 추가 PLMN에의 제어 패킷의 전달을 위해 원격 보안 노드에 상기 제어 패킷을 중계하는 단계를 포함하고, 여기서 원격 보안 노드는 PLMN의 외측과 추가 PLMN의 외측 양측 모두에 있다.

Description

분산형 네트워크 에지 보안 아키텍처
본 개시내용은 일반적으로 무선 통신 네트워크들의 분야에 관한 것이다. 현대의 무선 통신 네트워크들은 다른 네트워크들과 고도로 상호연결되어 있다. 이들 네트워크들 중 많은 것이, 이들 네트워크들 사이를 로밍하는 사용자 장비(User Equipment)(UE)에 서비스의 연속성이 제공될 수 있도록 서로와의 관계들을 갖고 있다. 각각의 다른 네트워크는, 예를 들어, 악성 소프트웨어, 데이터 스크래핑(data scraping), 스푸핑, 서비스 거부 공격들, 크리덴셜 도용(credential theft), 및/또는 다른 보안 위험들의 형태의, 중단(disruption)의 잠재적 원인이다. 그러한 보안 위협들에 대처하기 위해, 보안 펑션(security function)들이 통상적으로 네트워크들의 에지들에 배치된다. 특히, 이웃 네트워크들의 수가 증가함에 따라, 네트워크 에지에서의 보안 펑션들에 대한 계산 부담도 또한 증가한다.
본 개시내용의 예들은 일반적으로, 네트워크 에지에서 제어 시그널링을 안전하게 보호하기 위해 상이한 노드들을 사용하는 분산형 보안 아키텍처에 관한 것이다.
본 개시내용의 특정 예들은, 공중 육상 모바일 네트워크(Public Land Mobile Network)(PLMN)에서의 보안 중계 노드(security relay node)에 의해 구현되는 방법을 포함한다. 이 방법은, PMLN 내의 네트워크 펑션(Network Function, NF)으로부터, 추가 PLMN에 제공될 제어 패킷을 수신하는 단계, 및 추가 PLMN에의 제어 패킷의 전달을 위해 원격 보안 노드에 제어 패킷을 중계하는 단계를 포함한다. 원격 보안 노드는 PLMN과 추가 PLMN 양측 모두의 외측에 있다. 이 방법은, 원격 보안 노드를 통해 추가 PLMN으로부터 수신된 인바운드 제어 평면 트래픽(inbound control plane traffic)을 PLMN 내의 목적지에 중계하는 단계를 더 포함한다.
일부 예들에서, 이 방법은, 바람직하게는 표준화된 N32 인터페이스에 기초하여, 보안 중계 노드와 원격 보안 중계 노드 사이에 보안 인터페이스를 확립하는 단계를 포함하고, 여기서 중계하는 단계는, 확립된 보안 인터페이스를 통해 제어 패킷을 중계하는 단계를 포함한다.
일부 예들에서, 인바운드 및 아웃바운드 데이터 평면 트래픽을 중계하는 것은, 전송 계층 보안(Transport Layer Security)(TLS)을 사용하여 중계하는 것을 포함한다.
일부 예들에서, 이 방법은, 제어 패킷을 중계하는 단계에 앞서, 제어 패킷에서 적어도 정보 요소(Information Element, IE)를 암호화하는 단계를 더 포함한다.
암호화하는 단계는, 원격 보안 노드를 통해 획득된 추가 PLMN의 피어 보안 노드(peer security node)의 암호화 키를 사용하여 수행될 수도 있다. 따라서, 피어 보안 노드는 추가 PLMN에 의해 포함될 수도 있다.
이 방법은, 원격 보안 노드로부터 피어 보안 노드의 암호화 키를 획득하는 단계를 포함할 수도 있다.
일부 예에서, 이 방법은, 보안 인터페이스와 연관된 제어 시그널링을 원격 보안 노드와 교환하는 단계를 더 포함한다. 일부 그러한 실시예들에서, 보안 인터페이스는 N32-f 인터페이스이고, 제어 시그널링을 교환하는 단계는, N32-f 인터페이스를 셋업하기 위해 N32 c 인터페이스를 통해 제어 시그널링을 교환하는 단계를 포함한다. 다른 그러한 실시예들에서, 보안 인터페이스를 통해 아웃바운드 및 인바운드 제어 평면 트래픽을 중계하는 것은, TLS 커넥션을 통해 아웃바운드 및 인바운드 제어 평면 트래픽을 중계하는 것을 포함하고, 제어 시그널링을 교환하는 단계는, TLS 커넥션을 통해 제어 시그널링을 교환하는 단계를 포함한다.
일부 예들에서, 이 방법은, 보안 에지 보호 프록시(Security Edge Protection Proxy)(SEPP)로서 PLMN의 네트워크 리포지토리 펑션(Network Repository Function)(NRF)에 등록함으로써 PLMN의 적어도 하나의 네트워크 펑션에 의해 보안 중계 노드의 발견(discovery)을 가능하게 하는 단계를 더 포함한다.
일부 예들에서, 이 방법은, 추가 PLMN으로부터 PLMN의 토폴로지(topology)를 은닉(hiding)하는 단계를 더 포함한다.
일부 예들에서, 이 방법은, PLMN에서의 네트워크 펑션의 텔레스코픽 전체 주소 도메인 네임(telescopic fully qualified domain name)을 사용하여 추가 PLMN으로부터 네트워크 펑션의 주소를 은닉하는 단계를 더 포함한다.
일부 예들에서, 이 방법은, 보안 인증서들을 원격 보안 노드와 교환하는 단계를 더 포함하고, 인바운드 및 아웃바운드 제어 평면 트래픽을 중계하는 것은, 원격 보안 노드의 보안 인증서를 사용하여 원격 보안 노드를 인증하는 것에 응답한다.
일부 예들에서, 이 방법은, 원격 보안 노드를 통해 획득된 추가 PLMN의 피어 보안 노드의 암호화 키를 사용하여 정보 요소(IE)를 암호화하는 단계를 더 포함한다. 이 방법은, 암호화된 IE를 원격 보안 노드를 통해 피어 보안 노드에 송신하는 단계를 더 포함한다. 일부 그러한 예들에서, 이 방법은, 원격 보안 노드로부터 피어 보안 노드의 암호화 키를 획득하는 단계를 더 포함한다.
일부 예들에서, 원격 보안 노드는 인터넷 프로토콜 교환(Internet Protocol Exchange)(IPX) 네트워크에 포함된다. 일부 다른 실시예들에서, 원격 보안 노드는 로밍 허브 네트워크에 포함된다.
다른 예들은, 프로세싱 회로부 및 메모리를 포함하는 보안 중계 노드를 포함한다. 메모리는, 프로세싱 회로부에 의해 실행가능한 명령어들을 포함하여, 그에 의해 보안 중계 노드가, 공중 육상 모바일 네트워크(PLMN) 내로부터, PLMN 내의 소스로부터 수신된 아웃바운드 제어 평면 트래픽을, 추가 PLMN에의 아웃바운드 제어 평면 트래픽의 전달을 위해 보안 인터페이스를 통해 원격 보안 노드에 중계하도록 구성된다. 원격 보안 노드는 PLMN과 추가 PLMN 양측 모두의 외측에 있다. 보안 중계 노드는 보안 인터페이스를 통해 원격 보안 노드를 통해 추가 PLMN으로부터 수신된 인바운드 제어 평면 트래픽을 PLMN 내의 목적지에 중계하도록 추가로 구성된다.
다른 예에서, 보안 중계 노드는 프로세싱 회로부 및 메모리를 포함하고, 메모리는, 프로세싱 회로부에 의해 실행가능한 명령어들을 포함하여, 그에 의해 보안 중계 노드가 공중 육상 모바일 네트워크(PLMN) 내로부터: PLMN 내의 네트워크 펑션(NF)으로부터, 추가 PLMN에 제공될 제어 패킷을 수신하고; 추가 PLMN에의 제어 패킷의 전달을 위해 원격 보안 노드에 상기 제어 패킷을 중계하도록 구성되고, 원격 보안 노드는 PLMN과 추가 PLMN 양측 모두의 외측에 있다.
일부 예들에서, 보안 중계 노드는 상술된 방법들 중 임의의 것을 수행하도록 추가로 구성된다.
다른 예들은, 보안 중계 노드의 프로세싱 회로부 상에서 실행될 때, 프로세싱 회로부로 하여금 상술된 방법들 중 임의의 것을 수행하게 하는 명령어들을 포함하는 컴퓨터 프로그램을 포함한다.
다른 실시예들은, 그러한 컴퓨터 프로그램을 포함하는 캐리어를 포함한다. 캐리어는 전자 신호, 광학 신호, 라디오 신호, 또는 컴퓨터 판독가능 저장 매체 중 하나이다.
또 다른 예들은, 원격 보안 노드에 의해 구현되는 방법을 포함한다. 이 방법은, 공중 육상 모바일 네트워크(PLMN)에서의 보안 중계 노드로부터, 추가 PLMN에 제공될 제어 패킷을 수신하는 단계, 및 제어 패킷을 추가 PLMN에 중계하는 단계를 포함하고, 여기서 원격 보안 노드는 PLMN과 추가 PLMN 양측 모두의 외측에 있다.
일부 예에서, 이 방법은, 바람직하게는 표준화된 N32 인터페이스에 기초하여, 보안 중계 노드와 원격 보안 중계 노드 사이에 보안 인터페이스를 확립하는 단계를 포함하고, 여기서 수신하는 단계는, 확립된 보안 인터페이스를 통해 제어 패킷을 수신하는 단계를 포함한다.
일부 예들에서, 임의의 인바운드 및 아웃바운드 제어 평면 트래픽을 중계하는 것은, TLS를 사용하여 중계하는 것을 포함한다.
일부 예에서, 이 방법은, 적어도 정보 요소(IE)가 암호화되어 있는 제어 패킷을 수신하는 단계를 포함한다.
암호화는, 원격 보안 노드가 그것을 암호화해제하는 것이 불가능하도록 추가 PLMN의 피어 보안 노드의 암호화 키를 사용하여 수행될 수도 있다. 암호화 키는 추가 PLMN의 피어 보안 노드로부터 획득될 수도 있고, 원격 보안 노드에 제공될 수도 있다.
일부 예들에서, 이 방법은, 보안 인터페이스와 연관된 제어 시그널링을 보안 중계 노드와 교환하는 단계를 더 포함한다. 일부 그러한 실시예들에서, 보안 인터페이스는 N32-f 인터페이스이고, 제어 시그널링을 교환하는 단계는, N32-f 인터페이스를 셋업하기 위해 N32-c 인터페이스를 통해 제어 시그널링을 교환하는 단계를 포함한다. 다른 그러한 실시예들에서, 보안 인터페이스를 통해 아웃바운드 및 인바운드 제어 평면 트래픽을 중계하는 것은, TLS 커넥션을 통해 아웃바운드 및 인바운드 제어 평면 트래픽을 중계하는 것을 포함하고, 제어 시그널링을 교환하는 단계는, TLS 커넥션을 통해 제어 시그널링을 교환하는 단계를 포함한다.
일부 예들에서, 이 방법은, PLMN과 부가적인 PLMN 사이에 추가 제어 평면 트래픽을 중계하는 단계를 더 포함한다. 이 방법은, PLMN과 추가 PLMN 사이에 중계되는 인바운드 및 아웃바운드 제어 평면 트래픽을, PLMN과 부가적인 PLMN 사이에 중계되는 추가 제어 평면 트래픽으로부터 격리시키는 단계를 더 포함한다.
일부 예들에서, 이 방법은, 추가 PLMN으로부터 PLMN의 토폴로지를 은닉하는 단계를 더 포함한다.
일부 예들에서, 이 방법은, 보안 인증서들을 보안 중계 노드와 교환하는 단계를 더 포함하고, 인바운드 및 아웃바운드 제어 평면 트래픽을 중계하는 것은, 보안 중계 노드의 보안 인증서를 사용하여 보안 중계 노드를 인증하는 것에 응답한다.
일부 예들에서, 이 방법은, 추가 PLMN의 피어 보안 노드의 암호화 키로 암호화된 정보 요소(IE)를 보안 중계 노드로부터 수신하는 단계를 더 포함한다. 이 방법은, 암호화된 IE를 피어 보안 노드에 포워딩하는 단계를 더 포함한다. 일부 그러한 예들에서, 이 방법은, 피어 보안 노드의 암호화 키로 추가 IE를 암호화하는 단계, 및 암호화된 추가 IE를 암호화된 IE와 함께 피어 보안 노드에 포워딩하는 단계를 더 포함한다. 일부 예들에서, 이 방법은 부가적으로 또는 대안적으로, 피어 보안 노드로부터 피어 보안 노드의 암호화 키를 획득하는 단계, 및 피어 보안 노드의 암호화 키를 보안 중계 노드에 제공하는 단계를 포함한다.
일부 실시예들에서, 원격 보안 노드는 인터넷 프로토콜 교환(IPX) 네트워크에 포함된다. 일부 다른 예들에서, 원격 보안 노드는 로밍 허브 네트워크에 포함된다.
다른 예들은, 프로세싱 회로부 및 메모리를 포함하는 원격 보안 노드를 포함한다. 메모리는, 프로세싱 회로부에 의해 실행가능한 명령어들을 포함하여, 그에 의해 보안 중계 노드가 보안 인터페이스를 통해 PLMN 내의 보안 중계 노드로부터 수신된 아웃바운드 제어 평면 트래픽을 추가 PLMN에 중계하도록 구성된다. 원격 보안 노드는 PLMN과 추가 PLMN 양측 모두의 외측에 있다. 보안 중계 노드는 추가 PLMN 내의 소스로부터 수신된 인바운드 제어 평면 트래픽을 보안 인터페이스를 통해 보안 중계 노드에 중계하도록 추가로 구성된다.
일부 예들에서, 원격 보안 노드는 상술된 원격 보안 노드에 의해 구현되는 방법들 중 임의의 것을 수행하도록 추가로 구성된다.
다른 예들은, 원격 보안 노드의 프로세싱 회로부 상에서 실행될 때, 프로세싱 회로부로 하여금 상술된 원격 보안 노드 방법들 중 어느 하나를 수행하게 하는 명령어들을 포함하는 컴퓨터 프로그램을 포함한다.
다른 예들은, 그러한 컴퓨터 프로그램을 포함하는 캐리어를 포함한다. 캐리어는 전자 신호, 광학 신호, 라디오 신호, 또는 컴퓨터 판독가능 저장 매체 중 하나이다.
다른 예들은 첨부 도면들과 관련하여 아래에 더욱 상세히 설명된다.
본 개시내용의 양태들은 예로서 예시되고, 동일한 요소들을 표시하는 동일한 참조 번호들을 갖는 첨부 도면들에 의해 제한되지 않는다. 일반적으로, 참조 번호의 사용은 하나 이상의 실시예에 따라 도시된 대상물을 지칭하는 것으로서 간주되어야 하는 반면, 예시된 요소의 특정 사례의 논의가 거기에 문자 지정을 덧붙일 것이다(예를 들어, 일반적으로, 공중 육상 모바일 네트워크(PLMN)들(10a, 10b)의 특정 사례들의 논의와는 대조적인, PLMN(10)의 논의).
도 1은 본 개시내용의 하나 이상의 예에 따른, 사용자 장비(UE)에게 데이터 네트워크에의 액세스를 제공하는 PLMN의 일 예를 예시하는 개략적인 블록도이다.
도 2는 본 개시내용의 하나 이상의 실시예에 따른, PLMN 간 통신을 지원하는 예시적인 네트워크 환경을 예시하는 개략적인 블록도이다.
도 3a 내지 도 3e는 본 개시내용의 특정 예들에 따른, 예시적인 분산형 네트워크 에지 보안 아키텍처들을 예시하는 개략적인 블록도들이다.
도 4는 본 개시내용의 하나 이상의 예에 따른, 네트워크들 사이에 정보를 전송하기 위한 보안 접근법의 일 예를 예시하는 개략적인 블록도이다.
도 5는 본 개시내용의 하나 이상의 예에 따른, 네트워크들 사이에 정보를 안전하게 전송하기 위한 예시적인 프로세스를 예시하는 호 흐름도이다.
도 6은 본 개시내용의 하나 이상의 예에 따른, 보안 중계 노드에 의해 구현되는 예시적인 방법을 예시하는 흐름도이다.
도 7은 본 개시내용의 하나 이상의 예에 따른, 원격 보안 노드에 의해 구현되는 예시적인 방법을 예시하는 흐름도이다.
도 8은 본 개시내용의 하나 이상의 예에 따른, 예시적인 보안 중계 노드를 예시하는 개략적인 블록도이다.
도 9는 본 개시내용의 하나 이상의 예에 따른, 예시적인 원격 보안 노드를 예시하는 개략적인 블록도이다.
일반적으로, 아래의 논의는 5G 무선 통신 네트워크의 맥락에서 제공된다. 그럼에도 불구하고, 본 기술분야의 통상의 기술자들은, 아래에 제공되는 기법들 및 솔루션들이 5G 네트워크들에 대한 이들의 적용가능성에 있어서 제한되지 않는다는 것을 인식할 것이다. 실제로, 아래에 제공되는 교시들 중 많은 것이, 다른 표준들에 따라 동작하는 무선 통신 네트워크들에서도 또한 사용될 수도 있다. 특히, 아래에 설명되는 예들은, 예를 들어, 5G 네트워크들의 파생물들 및/또는 이들에 대한 후속자들에 대해 특히 매우 적합할 수도 있다(그러나 이에 제한되지 않는다). 다른 예들은 선행자 3세대 파트너십 프로젝트(Third Generation Partnership Project)(3GPP) 네트워크들에서 부가적으로 또는 대안적으로 사용될 수도 있다.
도 1은 3GPP 5G 시스템 아키텍처와 부합하는 예시적인 무선 통신 네트워크를 예시한다. 무선 통신 네트워크는, 서비스 기반 아키텍처를 채용하는 코어 네트워크(30) 및 라디오 액세스 네트워크(radio access network)(RAN)(20)를 포함한다. RAN(20) 및 코어 네트워크(30)는, 동일한 오퍼레이터에 의해 동작될 때, 오퍼레이터의 공중 육상 모바일 네트워크(PLMN)(10)라고 때때로 집합적으로 지칭된다.
RAN(20)은, PLMN(10)의 커버리지 영역 내에서 동작하는 하나 이상의 UE(100)에 라디오 액세스를 제공하도록 구성되는 하나 이상의 기지국(25)을 포함한다. 기지국들(25)은 gNodeB(gNB)들이라고 지칭될 수도 있다. 코어 네트워크(30)는 RAN(20)과 예를 들어 인터넷과 같은 하나 이상의 데이터 네트워크(data network)(DN)(90) 사이의 커넥션을 제공한다. 이 예에서, PLMN(10)은, DN(90)에 로컬 브레이크아웃(local breakout)을 제공하는 방문 PLMN(Visited PLMN)(VPLMN)이다. 그렇긴 하지만, 아래에 더욱 상세히 논의될 다른 예들에서, 특정 실시예들의 PLMN(10)은 그 대신에 홈 PLMN(Home PLMN)(HPLMN)에 홈 라우팅 사용자 평면을 제공할 수도 있다.
코어 네트워크(30)는 복수의 네트워크 펑션(NF)들을 포함한다. 이들 NF들은 코어 네트워크(30)의 사용자 평면(33) 또는 제어 평면(37) 중 어느 하나에 있을 수도 있다. 사용자 평면(33)(데이터 평면이라고 때때로 지칭됨)은 전형적으로 사용자 데이터 트래픽을 반송한다. 제어 평면(37)은 전형적으로 시그널링 트래픽(예를 들어, 제어 패킷들)을 반송한다.
이 예에서, 사용자 평면(33)의 NF들은 사용자 평면 펑션(User Plane Function)(UPF)(35)을 포함한다. 제어 평면(37)의 NF들은 액세스 및 이동성 관리 펑션(Access and Mobility Management Function)(AMF)(40), 세션 관리 펑션(Session Management Function)(SMF)(45), 정책 제어 펑션(Policy Control Function)(PCF)(50), 단일화 데이터 관리(Unified Data Management)(UDM) 펑션(55), 단일화 데이터 리포지토리(Unified Data Repository)(UDR) 펑션(57), 인증 서버 펑션(Authentication Server function)(AUSF)(60), 네트워크 데이터 분석 펑션(Network Data Analytics Function)(NWDAF)(65), 네트워크 노출 펑션(Network Exposure Function)(NEF)(70), 네트워크 리포지토리 펑션(Network Repository Function)(NRF)(75), 및 네트워크 슬라이스 선택 펑션(Network Slice Selection Function)(NSSF)(80)을 포함한다. 코어 네트워크(30)의 제어 평면(37)은 또한 애플리케이션 펑션(Application Function)(AF)(85), 및 보안 에지 보호 프록시(SEPP)(95)를 포함한다.
코어 네트워크(30)의 NF들은, 하나 이상의 프로세서, 메모리, 네트워크 인터페이스들, 또는 이들의 조합과 같은 컴퓨팅 하드웨어를 사용하여 구현될 수도 있는, 하나 이상의 코어 네트워크 노드에 상주하는 논리적 엔티티들을 포함한다. 펑션들은 단일 코어 네트워크 노드에 상주할 수도 있거나 또는 복수의 코어 네트워크 노드들 간에 분산될 수도 있다. NF들은 미리 정의된 인터페이스들을 사용하여 서로와 통신할 수도 있다. 인터페이스들 중 일부는 네트워크 내의 표준화된 참조 포인트들로 지칭되는 반면, 다른 인터페이스들은 단순히 명명된다.
N1은 UE(100)와 AMF(40) 사이의 참조 포인트이다. N2는 RAN(20)과 AMF(40) 사이의 참조 포인트이다. N3은 RAN(20)과 UPF(35) 사이의 참조 포인트이다. N4는 SMF(45)와 UPF(35) 사이의 참조 포인트이다. N6은 UPF(35)와 DN(90) 사이의 참조 포인트이다. N9는 UPF들(35) 사이의 참조 포인트이다. NF들 중 몇몇은, Nxxx의 포맷으로 이들의 이름을 따서 명명된 서비스 기반 인터페이스를 노출시키고, 여기서 xxx는 NF의 이름이다. 예를 들어, NEF(70)는 Nnef 인터페이스를 제공하고, NRF(75)는 Nnrf 인터페이스를 제공하는 것 등으로 된다.
SEPP(95)는, 오퍼레이터 네트워크의 에지를 보호하도록 구성되는 제어 평면 메시지들에 대한 프록시이다. 도 2는 홈 PLMN(HPLMN)(180)으로부터 멀리 로밍되었고 현재는 VPLMN(190)에 어태치되어 있는 UE(100)의 일 예를 예시한다. 도 1과는 대조적으로, 도 2는 HPLMN(190)에서 DN(90)에 대한 브레이크아웃이 발생하는 홈 라우팅 시나리오를 예시한다. 설명의 명확성을 위해, SEPP들 이외의 수반된 제어 평면 노드들이 도시되어 있지 않다. VPLMN(180) 및 HPLMN(190)은 제각기 방문 SEPP(vSEPP)(95a) 및 홈 SEPP(hSEPP)(95b)를 사용하여 PLMN들(180, 190) 사이의 에지(130)에서 보안 펑션들을 제공한다. vSEPP(95a) 및 hSEPP(95b)는 N32 인터페이스를 통해 서로와 통신한다. 이들 SEPP(95a, 95b)는 SEPP(95)가 서비스 소비자 측에 있는지 또는 서비스 제공자 측에 있는지 여부에 기초하여 대안적으로 지칭될 수도 있다. 서비스 소비자 측의 SEPP(95)는 c-SEPP라고 지칭될 수도 있는 반면, 서비스 제공자 측의 SEPP(95)는 p-SEPP라고 지칭될 수도 있다.
주어진 네트워크의 SEPP(95)는 오퍼레이터가 다른 네트워크들 - 이들은, 예를 들어, 수백 개일 수도 있다 - 과 갖는 대단히 많은 로밍 관계들에 대한 보안 펑션들을 제공하도록 요구될 수도 있다. 그러한 상당한 수의 로밍 관계들을 지원하면, SEPP(95)에 대해 실질적인 계산 부담이 그리고 PLMN(10)에 대해 실질적인 관리 부담이 가해질 수 있다.
네트워크(10)에서 SEPP(95)의 과도한 부담을 갖는 것을 회피하기 위해, 본 개시내용의 실시예들은, SEPP(95)의 일부 양태들을, 네트워크(10)의 외측에 있는 제공자에게 위임한다. 예를 들어, 다른 상황에서는 SEPP(95)에 의해 수행되었을 수도 있는 특정 펑션들이 그 대신에, 도 3a에 도시된 바와 같이, PLMN(10)에서의 보안 NF로부터 PLMN(10)의 외측의 보안 NF(예를 들어, 인터넷 프로토콜(IP) 교환(IPX)(140) 제공자에 의해 동작됨)로 위임될 수도 있다. 도 3a의 예에서, SEPP(95)에 의해 통상적으로 제공되었을 수도 있는 특정 펑션들이 그 대신에, PLMN(10)에서의 중계 SEPP(R-SEPP)(150) 및 PLMN(10)의 외측의(예를 들어, IPX(140)에서의) 위임된 SEPP(D-SEPP)(160)를 포함하는 분산형 SEPP 아키텍처를 사용하여 제공된다.
R-SEPP(150) 및 D-SEPP(160)는 하나 이상의 보안 인터페이스를 통해 이들 사이에 정보를 교환할 수도 있다. 이와 관련하여, R-SEPP(150) 및 D-SEPP(160)는, 전송 계층 보안(TLS)을 포함하는(그러나 이에 제한되지 않음), 이들 사이의 인터페이스(들)의 보안을 보장하기 위한 임의의 적절한 프로토콜을 사용할 수도 있다. 특정 실시예들에 따라 사용되는 인터페이스들 및 프로토콜들의 특정 예들이 아래에 더욱 상세히 논의될 것이다.
본 개시내용의 특정 실시예들에 따르면, R-SEPP(150)는, NF들과 서비스 통신 프록시(Service Communication Proxy)(SCP)들 사이의 시그널링을 D-SEPP(160)로 그리고/또는 D-SEPP(160)로부터 중계하는 것을 담당할 수도 있다. 일부 실시예들에서, R-SEPP는 3GPP에 표준화된 바와 같이(예를 들어, 특정 구성에 의해 또는 NRF 발견에 의해) 시그널링에 포함될 수도 있다. 적어도 일부 그러한 실시예들에서, R-SEPP(150)는, 예를 들어, R-SEPP(150)가 하나 이상의 NF에 의해 발견될 수도 있도록 NRF(75)에 SEPP(95)로서 등록될 수도 있다.
부가적으로 또는 대안적으로, 일부 실시예들에서(그리고 D-SEPP(160)에 위임되지 않는 범위까지), R-SEPP(150)는 토폴로지 은닉을 수행하거나, 특정 로밍 관련 보안 펑션들을 제공하거나, 텔레스코픽 전체 주소 도메인 네임(FQDN) 핸들링을 수행하고/거나, 그 자신의 PLMN(10)에 대한 파이어월링(firewalling)을 제공할 수도 있다.
이에 대응하여, D-SEPP(160)는 (예를 들어, R-SEPP(150)로부터 수신된 메시지들을 수신 및 포워딩함으로써) R-SEPP(150)와 상호작용하고, 로밍 파트너들에 대한 일부 또는 모든 로밍 관계들 및/또는 N32 커넥션들(예를 들어, N32 상호연결 보안을 위한 프로토콜(Protocol for N32 Interconnect Security)(PRINS) 및/또는 전송 계층 보안(TLS) 커넥션들)을 핸들링할 수도 있다. 그의 역할을 이행함에 있어서, 특정 실시예들의 D-SEPP(160)는 다수의 R-SEPP들(150)과의 상호작용을 지원할 수도 있고, 인커밍(incoming) 및/또는 포워딩된 요청들에 대해 적절한 R-SEPP를 선택할 수도 있다.
D-SEPP(160)는, 로밍 파트너들의 네트워크들을, 이들이 분산형 SEPP 아키텍처를 또한 채택하였는지 또는 아닌지의 여부에 관계없이 지원할 수도 있다. 즉, 일부 실시예들에서, 이들 로밍 파트너들 중 하나 이상은, R-SEPP(150) 및 D-SEPP를 포함하는 유사한 분산형 SEPP 아키텍처를 채택할 수도 있다. 부가적으로 또는 대안적으로, 이들 로밍 파트너들 중 하나 이상은 네트워크 에지에서의 보안을 위해 종래의 SEPP(95)를 사용할 수도 있다.
PLMN(10)은 D-SEPP(160)가 특정 보안 프로토콜들을 사용하도록 요구할 수도 있다. 예를 들어, PLMN(10)은 PRINS가 N32-f 인터페이스 상에서 사용되도록 요구할 수도 있다. 부가적으로 또는 대안적으로, PLMN(10)은 TLS가 N32-f 및/또는 N32-c 커넥션들 상에서 사용되도록 요구할 수도 있다. 이와 관련하여, D-SEPP(160)는, 예를 들어, 오퍼레이터들 사이의 계약상의 합의로 인해 이러한 방식으로 구성될 수도 있다. 적어도 일부 그러한 시나리오들에서, D-SEPP(160)는 다른 PLMN들에서의 SEPP들(90)과 상호작용하는 반면, R-SEPP(150)는 그렇지 않다. 추가로, 적어도 일부 실시예들에서, D-SEPP(160)는 하나 이상의 로밍 파트너에 고유한 파이어월링을 수행한다.
적어도 일부 실시예들에서, D-SEPP는 R-SEPP들과 로밍 합의들 사이의 적절한 바인딩들을 추가로 유지하거나, (R-SEPP(150)에 의해 수행되지 않는 범위까지) 토폴로지 은닉을 수행할 수도 있고/거나 상이한 PLMN들(10)의 트래픽을 서로로부터 격리시킨다.
특정 실시예들은, 도 3b의 예에 예시된 바와 같은, 하나 초과의 D-SEPP(160)를 포함할 수도 있다. 도 3b는 2개의 PLMN(10a, 10b)이 분산형 SEPP 아키텍처를 사용하여 서로와 통신하는 일 예를 예시한다. 특히, PLMN(10a)은 R-SEPP들(150a-c)을 포함하는 반면, PLMN(10b)은 R-SEPP들(150d-f)을 포함한다.
각각의 R-SEPP(150a-f)는 대응하는 D-SEPP(160a-f)와 연관된다. 특히, R-SEPP(150a)는 대응하는 D-SEPP(160a)를 사용하여 PLMN(10b)과 통신한다. 이 예에서, PLMN(10b)은, 대응하는 D-SEPP(160b)를 유사하게 사용하여 PLMN(10a)과 통신하는 R-SEPP(150d)를 포함한다. D-SEPP들(160a, 160b)은 제각기의 IPX들(140a, 140b)에 있고 N32-c 인터페이스 및 N32-f 인터페이스를 사용하여 서로와 통신한다. N32-c 인터페이스는, 예를 들어, N32 메시지 포워딩을 위해 적용될 초기 핸드셰이킹 및 협상 파라미터들을 수행하기 위한 제어 평면 인터페이스이다. N32-f 인터페이스는, 예를 들어, 상이한 PLMN들(10a, 10b)에서의 NF들 사이의 통신을 포워딩하기 위한 포워딩 인터페이스이다.
R-SEPP(150b)는 대응하는 D-SEPP(160c)를 사용하여 그의 대응하는 D-SEPP(160d)를 통해 R-SEPP(150e)와 통신한다. D-SEPP들(160c, 160d)은 동일한 로밍 허브(Roaming Hub)(RH)(170a)에 포함되고, 이들 자신의 N32-c 및 N32-f 인터페이스들을 사용하여 서로와 통신한다.
R-SEPP(150c)는 대응하는 D-SEPP(160e)를 사용하여 그의 대응하는 D-SEPP(160f)를 통해 R-SEPP(150f)와 통신한다. D-SEPP들(160e, 160f)은 동일한 로밍 허브(RH)(170b)에 포함되고 TLS를 사용하여 서로와 통신한다.
이에 따라, 2개의 D-SEPP(160)가 (예를 들어, IPX들(140a, 140b)에서와 같이) 구별되는 배치들에 있는 경우, 이들은, 일부 실시예들에서, 표준 N32 인터페이스에 따라 상호작용할 수도 있다. 2개의 D-SEPP(160)가 (예를 들어, 로밍 허브(170a 또는 170b)에서와 같이 그 사이에 국내 또는 국제 상호연결 없이) 동일한 배치에서의 단일 회사에 의해 동작되는 경우, 그러면 D-SEPP들 사이의 통신은 그 배치 내에 포함될 수도 있다.
더욱이, D-SEPP들 사이에는 PRINS 또는 TLS 중 어느 하나가 사용될 수 있다. TLS가 사용될 때, 각각의 D-SEPP(160)는 TLS 커넥션을 확립하기 위해 올바른 타깃 D-SEPP(160)를 찾도록 요구될 수도 있다. 예를 들어, D-SEPP(160e)는 D-SEPP(160f)를 발견하도록 요구될 수도 있고/거나, 그 반대의 경우도 가능하다.
도 3c는 다수의 PLMN들(10c-f) 사이의 통신을 포함하는 실시예들의 일 예를 예시한다. PLMN들(10c-f) 각각은 그 자신의 R-SEPP(150g-j)를 포함하고, 이들 각각은 제각기의 D-SEPP(160g-j)와 상호작용한다. D-SEPP(160g) 및 D-SEPP(160i)가 동일한 IPX(140c) 제공자에 의해 동작되지만, D-SEPP들(160g 및 160i)은 서로로부터 격리되어 있다. D-SEPP(160j)는, D-SEPP들(160g, 160i)의 것과는 상이한 IPX(170d) 제공자에 의해 동작된다. 이 예에서, PLMN들(10c-e) 각각은 PLMN(10f)과의 로밍 관계를 갖고 있다.
본 개시내용의 맥락에서, R-SEPP(150a)는, 예를 들어, 보안 중계 노드라고 지칭될 수도 있고 R-SEPP(150d)는, 예를 들어, PMLN의 피어 보안 노드라고 지칭될 수도 있다. D-SEPP들(160a-f)은 원격 보안 노드라고 지칭될 수도 있다.
다른 것들 중에서도, 상기의 예들은 특정 실시예가 전송 솔루션을 사이에 두고 SEPP 기능성을 2개의 역할로 분할한다는 것을 예시한다. 일부 실시예들에서, D-SEPP(160)는 (예를 들어, 아웃고잉 요청(outgoing request)들에 대해) R-SEPP(150)를 선택할 수도 있다. 부가적으로 또는 대안적으로, 일부 실시예들에서, 도 3d에 도시된 바와 같이, 상이한 R-SEPP들(150k, 150l)이 동일한 D-SEPP(160k)에 연결될 수도 있다. 본 명세서에서 설명되는 실시예들 중 하나 이상은, 예를 들어, 로밍 파트너들에게 부정적인 영향을 주는 일 없이, 로밍 허브 배치들에 대해 사용될 수도 있다. 특히, 하나 이상의 실시예는 D-SEPP(160)가 상이한 회사(예를 들어, IPX 제공자)에 의해 동작되는 것을 허용하면서 R-SEPP(150)와 D-SEPP(160) 양측 모두를 포함하도록 오퍼레이터의 "서비스 기반 인터페이스(Service Based Interface)(SBI) 도메인"을 안전하게 확장한다.
상기에 언급된 바와 같이, R-SEPP(150)와 D-SEPP(160) 사이에 사용되는 프로토콜은, 일부 특정 실시예들에서, TLS 커넥션을 사용할 수도 있다(그러나, 예를 들어, R-SEPP(150)가, 다른 상황에서는 포워딩된 메시지들로부터 도출될 수 없는 특정 부가적인 정보를 D-SEPP(160)에 제공할 필요가 없는 한, 특정 프로토콜에 대한 필요성이 없을 수도 있다). 특정 실시예들은 (도 3e에 도시된 바와 같은) 다수의 D-SEPP들(160l, 160m)을 사용하는 R-SEPP(150m)을 포함하지만, 대부분의 상황들 하에서, 다수의 D-SEPP(160) 시나리오에서의 임의의 부가적인 D-SEPP들(160)이 순전히 리던던시(redundancy) 목적들을 위해 R-SEPP(150)에 의해 사용될 것으로 예상된다. 포워딩된 메시지들로부터 도출될 수 없는 부가적인 정보를 D-SEPP(160)에 제공할 필요성이 있다면, 특정 실시예들에서 N32가 사용될 수도 있다.
본 개시내용의 실시예들은 본 명세서에서 설명되는 다양한 네트워크 노드들에 관해 다양한 보안 및 신뢰 모델들을 채택할 수도 있다. 예를 들어, 일부 실시예들에서, D-SEPP(160)는 그의 대응하는 R-SEPP(150)의 PLMN(10)의 보안 도메인에 속할 수도 있다. 그렇긴 하지만, 다른 실시예들에 따르면, D-SEPP(160) 및 R-SEPP(150)는 인트라넷/엑스트라넷/인터넷 신뢰 모델처럼 배치될 수도 있고, 여기서 D-SEPP(160)는 엑스트라넷 디바이스와 유사하게 처리되고 R-SEPP(150)는 인트라넷 디바이스와 유사하게 처리된다. 특히, 적어도 일부 실시예들에서, D-SEPP(160)는 단지 R-SEPP(150)를 통해서만 PLMN(10)에 연결되고, PLMN(10)에서의 어떠한 다른 NF에도 직접 연결될 수 없다.
특정 실시예들은 R-SEPP(150)와 D-SEPP(160) 사이의 표준 N32 인터페이스를 사용할 수도 있지만, 다른 실시예들은 R-SEPP(150)와 D-SEPP(160) 사이의 TLS를 단순히 지원할 수도 있다. 이와 관련하여, D-SEPP(160)는 본질적으로 그의 이웃들 간의 PLMN(10)을 표현하고, R-SEPP(150)는 PLMN(10)의 외측에서 가시적이지 않아야 한다. 그렇긴 하지만, R-SEPP(150)와 D-SEPP(160) 사이에 다른 인터페이스들이 적합할 수도 있다. 예를 들어, N32 인터페이스의 일부 파생물(예를 들어, 간소화된 또는 감소된 N32 인터페이스)이 R-SEPP(150)와 D-SEPP(160) 사이에서 적절할 수도 있다. 일부 특정 실시예들에서, D-SEPP(160)는 R-SEPP(150)에 대한 인터페이스뿐만 아니라 다른 SEPP들(95)에 대한 표준화된 N32 인터페이스 양측 모두를 지원한다. 후자는 N32-f 상에서 TLS, PRINS, 또는 심지어 이들 양측 모두를 지원한다는 것을 암시할 수도 있다. 부가적으로 또는 대안적으로, 원격 부가 가치 서비스들(Remote Value Added Services)(RVAS)은 R-SEPP(150) 또는 D-SEPP(160) 중 어느 하나에 의해 제공될 수도 있다. 그러한 실시예들은, 예를 들어, 세계 이동 통신 사업자 협회(Global System for Mobile communications Association)(GSMA)가 SEPP 95 시나리오들에서 RVAS를 지원하기 시작하는 경우 유리할 수도 있다. 특히, D-SEPP(160)를 호스팅하는 IPX(170) 제공자에 의해 RVAS가 제공된다면, 그 D-SEPP(160)가 특히 적절할 수도 있다.
상기에 언급된 바와 같이, R-SEPP(150)와 D-SEPP(160) 사이의 인터페이스를 보호하기 위해 TLS(및/또는 다른 보안 프로토콜)가 사용될 수도 있다. 이에 따라, R-SEPP(150)와 D-SEPP(160)는 인터페이스의 기밀성과 무결성을 보호할 뿐만 아니라, 서로를 상호 인증하기 위한 인증서들의 교환이 필요할 수도 있다. SEPP(95) 기능성을 D-SEPP(160)에 위임하는 것은, 일부 실시예들에서, D-SEPP(160)가 PLMN(10)을 대신하여, 다른 PLMN들(10)에서의 SEPP들(95)에 안전하게 연결하는 데 사용되는 인증서를 보유하도록 요구할 수도 있다.
PLMN들(10) 사이의 인터페이스의 보안이 또한 매우 중요할 수도 있다. 예를 들어, D-SEPP(160)가 다른 PLMN(10)의 피어 D-SEPP(160) 또는 피어 SEPP(95)와의 N32-f 인터페이스 상에서 PRINS를 사용하는 실시예들을 고려한다. 상기에 논의된 바와 같이, D-SEPP(160)(R-SEPP(150)가 아님)는 본 명세서에 개시된 분산형 SEPP 아키텍처의 특정 실시예들에서 다른 PLMN들(10)과의 로밍 관계들을 유지하는 것을 담당할 수도 있다. 이에 따라, R-SEPP(150)는 피어 SEPP(95) 또는 피어 D-SEPP(160)와의 보안 커넥션을 갖지 않을 수도 있다. 그러한 실시예들에서, PLMN들(10) 사이의 어떤 형태의 보안 없이, R-SEPP(150)로부터 D-SEPP(160)로 (예를 들어, TLS를 통해) 전송된 정보 요소(IE)들은, 이들이 D-SEPP(160)에 의해 다른 PLMN(10)에 포워딩되기 전에 완전히 클리어(clear) 상태일 수도 있다. 따라서, 어떤 형태의 보안 없이는, 분산형 SEPP 아키텍처를 채택하는 PLMN들(10)은, PLMN(10) 및/또는 그의 피어 PLMN(10)에 의해서만 단지 판독가능해야 하는 특정 IE들을 보호하는 것이 불가능할 수도 있다.
상기의 관점에서, 본 개시내용의 실시예들은 PLMN들(10) 사이에 전송되는 특정 정보(예를 들어, IE들)를 보호하기 위한 조치를 취한다. 일부 그러한 실시예들에서, R-SEPP(150)는 D-SEPP(160)로부터 피어 SEPP(95)/D-SEPP(160)의 보안 크리덴셜(예를 들어, 공개 암호화 키, 디지털 인증서)을 요청한다. 보안 크리덴셜은, 예를 들어, 하나 이상의 IE를 암호화하는 데 사용될 수도 있다.
보안 크리덴셜에 대한 요청은 R-SEPP(150)와 D-SEPP(160) 사이의 보안 인터페이스(예를 들어, TLS 커넥션)를 통해 수행된다. 이에 따라, 본 개시내용의 실시예들은, 보안 크리덴셜 요청이 수신될 때, 예를 들어, D-SEPP(160)가 피어 PLMN의 SEPP/D-SEPP(이하, 피어 SEPP라고 단순히 지칭됨)에 대한 추가 TLS 커넥션을 셋업한 후에, D-SEPP(160)가 요청된 보안 크리덴셜을 이미 갖고 있도록 요구할 수도 있다.
예를 들어, D-SEPP(160)는 보안 인터페이스를 통해 피어 SEPP와의 크리덴셜 교환을 수행하고, D-SEPP(160)와 R-SEPP(150) 사이의 TLS 또는 PRINS 커넥션을 통해 요청 시에 피어 SEPP의 보안 크리덴셜을 R-SEPP(150)에 제공할 수도 있다. 보안 크리덴셜이 디지털 인증서인 경우, R-SEPP(150)는 피어 SEPP의 인증서를 검증할 수도 있고, 인증서가 유효한 것에 응답하여, R-SEPP(150)는 인증서로부터 피어 SEPP의 공개 키를 추출할 수도 있다. 공개 키는 (예를 들어, PRINS를 사용하여, 자바스크립트 객체 표기법(JavaScript Object Notation)(JSON) 웹 암호화(Web Encryption)(JWE)를 사용하여, 또는 이와 유사한 것을 사용하여) 하나 이상의 IE를 암호화하고 이들을 D-SEPP(160)에 전송하는 데 사용될 수도 있다. 그 후에, D-SEPP(160)는 PRINS(또는 다른 보안 프로토콜)를 사용하여 암호화된 IE들을 피어 SEPP에 전송할 수도 있다.
더욱이, D-SEPP는, 일부 실시예들에서, (예를 들어, PLMN(10)의 보호 정책에 의해 설명된 바와 같이) 하나 이상의 다른 IE를 암호화할 수도 있다. 이와 관련하여, 암호화된 IE들이 일반적으로 보호 정책에 포함되는 것이 유리할 수도 있다. 그럼에도 불구하고, 특정 실시예들의 D-SEPP(160)는 R-SEPP 암호화된 IE들을 N32-f 인터페이스를 통해 다른 PLMN으로의 아웃고잉 메시지들 내에 넣을 수도 있다.
도 4는 IE들이 R-SEPP(150)로부터 D-SEPP(160)로 전송되는 일 예를 예시한다. R-SEPP는, 예를 들어, JWE 또는 PASETO를 사용하여 IE들을 암호화함으로써, IE들을 보호하기 위한 임의의 적절한 메커니즘을 사용할 수도 있다. 그 후에, D-SEPP(160)에 의해 수신된 IE들은, N32-f 인터페이스를 통해, 즉, 암호화된 형태로 D-SEPP(160)로부터 피어 SEPP(120)로 전송된다. 이러한 방식으로, R-SEPP(150)에 의해 D-SEPP(160)를 통해 피어 SEPP(120)로 전송된 IE들이 보호된다. 일부 실시예들에서, IE들은 또한 피어 SEPP(120)에 의해 다시 D-SEPP(160)로 전송될 수도 있다. 그러한 실시예들에서, D-SEPP(160)는 IE들을 암호화해제하고 이들을 R-SEPP(150)에 전송할 수도 있다.
이 예에서 D-SEPP는 PRINS를 사용하여 피어 SEPP(120)에 대한 N32-f 인터페이스를 지원하지만, D-SEPP(160)는 부가적으로 또는 대안적으로 피어 SEPP(120) 및/또는 R-SEPP(150)에 대한 하나 이상의 TLS 커넥션을 지원할 수도 있다. 특히, D-SEPP(160)는, N32-f 인터페이스를 셋업하는 데 사용될 수도 있는 피어 SEPP(120)에 대한 N32-c 인터페이스를 지원할 수도 있다. 일부 실시예들에서, D-SEPP(160)로부터의 인터페이스들 중 하나 이상은 HTTP 프록시(195)를 통과한다. 부가적으로 또는 대안적으로, D-SEPP(160)로부터의 인터페이스들 중 하나 이상은 HTTP 프록시(195)에 대한 커넥션에 기초하고, HTTP 프록시(195)는 피어 SEPP(120)에 대한 대응하는 보안 커넥션을 갖는다.
도 5는 피어 SEPP(120)의 인증서 및/또는 공개 키가 D-SEPP(160)로부터 R-SEPP(150)에 의해 페치되는 예시적인 호 흐름을 예시한다. 이 예에서, R-SEPP(150)와 D-SEPP(160) 양측 모두는 피어 SEPP(120)에 전송될 IE들을 암호화하는 것이 가능하다.
도 5의 예에 따르면, R-SEPP(150)는, 예를 들어, R-SEPP(150)의 PLMN(10)에서의 노드 또는 NF로부터 요청을 수신한다(단계 510). 이 요청은, 예를 들어, PLMN(10)의 외측의 엔티티에 의해 제공되는 서비스에 대한 서비스 요청일 수도 있다. 요청에 응답하여, R-SEPP(150)는 D-SEPP(160)가 피어 SEPP(120)의 보안 크리덴셜(예를 들어, 인증서 및/또는 공개 키)을 제공하도록 요청한다(단계 520). D-SEPP(160)는 (일부 실시예들에서) 보안 크리덴셜에 대한 요청을 수신한 것에 응답하여 피어 SEPP(120)에 대한 TLS 커넥션을 확립할 수도 있다(단계 530). 예를 들어, D-SEPP(160)는 피어 SEPP(120)에 대한 TLS 커넥션을 확립하여 요청된 보안 크리덴셜을 획득하여, 추후에 서비스 요청을 포워딩할 보안 채널을 셋업할 수도 있다. 대안적으로, D-SEPP(160)는 이미 피어 SEPP(120)에 대한 TLS 커넥션을 가질 수도 있고, 이 경우에 어떠한 새로운 TLS 커넥션도 확립될 필요가 없을 수도 있다.
D-SEPP(160)는 요청된 보안 크리덴셜을 R-SEPP(150)에 제공하고(단계 540), R-SEPP(150)는 상기에 논의된 바와 같이 보안 크리덴셜을 사용하여 하나 이상의 IE를 암호화한다(단계 550). R-SEPP(150)는 암호화된 IE들과 함께 서비스 요청을 D-SEPP(160)에 전송한다(단계 560).
암호화된 IE들로 서비스 요청을 수신한 것에 응답하여, D-SEPP(160)는, 일부 실시예들에서, 피어 SEPP(120)의 보안 크리덴셜을 사용하여 하나 이상의 부가적인 IE를 암호화할 수도 있다(단계 570). D-SEPP(160)는 암호화된 IE들(그리고, 존재하는 경우, 부가적인 암호화된 IE들)과 함께 요청을 피어 SEPP(120)에 전송한다(단계 580).
암호화된 IE들과 함께 요청을 수신한 것에 응답하여, 피어 SEPP(120)는 IE들(그리고, 존재하는 경우, 부가적인 IE들)을 암호화해제하고(단계 590), 포함된 IE들 없이 그의 목적지를 향해 서비스 요청을 전송한다. 따라서, 하나 이상의 IE가 안전한 방식으로 피어 SEPP에 제공된다. 일단 D-SEPP(160) 및 R-SEPP(150)가 피어 SEPP(120)의 보안 크리덴셜을 획득하였다면, 이들은 각각 장래의 사용을 위해 그 보안 크리덴셜을 유지할 수도 있다는 것에 주목해야 한다. 예를 들어, R-SEPP(150)에 후속 요청이 도착한 것에 응답하여, 단계들 520, 530, 및 540이 생략될 수도 있다.
상기의 모든 것을 고려하여, 특정 실시예들은 표준화된 SEPP(95)를 보안 전송 솔루션을 사이에 두고 2개의 역할로 분할하고, D-SEPP(160)가 다른 오퍼레이터들에 대한 D-SEPP 배치의 가시성 없이 다른 회사에 의해 동작되는 것이 허용되도록 오퍼레이터의 SBI 도메인을 확장할 수도 있다. 일부 그러한 실시예들에서, 모든 로밍 관계들을 핸들링할 필요성이 D-SEPP(160)에 위임될 수도 있는 한편, (D-SEPP(160)와 함께) R-SEPP(150)가 오퍼레이터 경계를 보호한다. 특히, R-SEPP(150)는 알려진 D-SEPP들(160)로부터의 트래픽만을 단지 허용할 수도 있다.
이에 따라, 본 개시내용의 실시예들은, 도 6에 예시된 바와 같은, PLMN(10a-f)에서의 보안 중계 노드(예를 들어, R-SEPP(150))에 의해 구현되는 방법(200)을 포함한다. 방법(200)은, PLMN(10a-f) 내의 소스로부터 수신된 아웃바운드 제어 평면 트래픽을, 추가 PLMN(10a-f)에의 아웃바운드 제어 평면 트래픽의 전달을 위해 보안 인터페이스를 통해 원격 보안 노드(예를 들어, D-SEPP(160a-m))에 중계하는 단계(블록 210)를 포함한다. 원격 보안 노드는 PLMN(10a-f)과 추가 PLMN(10a-f) 양측 모두의 외측에 있다. 방법(200)은, 보안 인터페이스를 통해 원격 보안 노드를 통해 추가 PLMN(10a-f)으로부터 수신된 인바운드 제어 평면 트래픽을 PLMN(10a-f) 내의 목적지에 중계하는 단계(블록 220)를 더 포함한다.
본 개시내용의 다른 실시예들은, 도 7에 예시된 바와 같은, 원격 보안 노드(예를 들어, D-SEPP(160))에 의해 구현되는 방법(300)을 포함한다. 방법(300)은, 보안 인터페이스를 통해 PLMN(10a-f) 내의 보안 중계 노드(예를 들어, R-SEPP(150))로부터 수신된 아웃바운드 제어 평면 트래픽을 추가 PLMN(10a-f)에 중계하는 단계(블록 310)를 포함한다. 원격 보안 노드는 PLMN(10a-f)과 추가 PLMN(10a-f) 양측 모두의 외측에 있다. 방법(300)은, 추가 PLMN(10a-f) 내의 소스로부터 수신된 인바운드 제어 평면 트래픽을 보안 인터페이스를 통해 보안 중계 노드에 중계하는 단계(블록 320)를 더 포함한다.
본 개시내용의 또 다른 실시예들은, 도 8 및 도 9에 각각 예시된 하드웨어에 따라 구현되는 보안 중계 노드(400) 및 원격 보안 노드(500)를 포함한다. 도 8 및 도 9 각각의 예시적인 하드웨어는 프로세싱 회로부(910a, 910b), 메모리 회로부(920a, 920b), 및 인터페이스 회로부(930a, 930b)를 포함한다. 각각의 제각기 노드에서, 프로세싱 회로부(910a, 910b)는, 예를 들어, 하나 이상의 버스를 통해, 메모리 회로부(920a, 920b) 및 인터페이스 회로부(930a, 930b)에 통신가능하게 커플링된다. 프로세싱 회로부(910a, 910b)는 하나 이상의 마이크로프로세서, 마이크로컨트롤러, 하드웨어 회로, 이산 로직 회로, 하드웨어 레지스터, 디지털 신호 프로세서(digital signal processor)(DSP), 필드 프로그래밍가능 게이트 어레이(field-programmable gate array)(FPGA), 주문형 집적 회로(application-specific integrated circuit)(ASIC), 또는 이들의 조합을 포함할 수도 있다. 예를 들어, 프로세싱 회로부(910a, 910b)는, 예를 들어, 메모리 회로부(920a, 920b)에 머신 판독가능 컴퓨터 프로그램으로서 저장되는 소프트웨어 명령어들(960a, 960b)을 실행하는 것이 가능한 프로그래밍가능 하드웨어일 수도 있다. 다양한 실시예들의 메모리 회로부(920a, 920b)는, 휘발성이든 또는 비휘발성이든 간에, 본 기술분야에 알려져 있거나 또는 개발될 수도 있는 임의의 비일시적 머신 판독가능 매체들을 포함할 수도 있는데, 이들은, 전체적으로 또는 임의의 조합으로, 솔리드 스테이트 매체들(예를 들어, SRAM, DRAM, DDRAM, ROM, PROM, EPROM, 플래시 메모리, 솔리드 스테이트 드라이브 등), 이동식 저장 디바이스들(예를 들어, 보안 디지털(Secure Digital)(SD) 카드, miniSD 카드, microSD 카드, 메모리 스틱, 섬 드라이브(thumb-drive), USB 플래시 드라이브, ROM 카트리지, 유니버설 미디어 디스크), 고정식 드라이브(예를 들어, 자기 하드 디스크 드라이브), 또는 이와 유사한 것을 포함하지만 이에 제한되지 않는다.
인터페이스 회로부(930a, 930b)는, 그의 제각기 노드(400, 500)의 입력 및 출력(I/O) 데이터 경로들을 제어하도록 구성되는 컨트롤러 허브일 수도 있다. 그러한 I/O 데이터 경로들은, 통신 네트워크(예를 들어, PLMN(10), IPX(140), 로밍 허브(170))를 통해 신호들을 교환하기 위한 데이터 경로들을 포함할 수도 있다. 예를 들어, 인터페이스 회로부(930a, 930b)는, 셀룰러 네트워크, 이더넷 네트워크, 및/또는 광학 네트워크를 통해 통신 신호들을 전송 및 수신하도록 구성되는 트랜시버를 포함할 수도 있다.
인터페이스 회로부(930a, 930b)는 단일의 물리적 컴포넌트로서, 또는 연속적으로 또는 별개로 배열되는 복수의 물리적 컴포넌트들로서 구현될 수도 있는데, 이들 중 임의의 것이 임의의 다른 것에 통신가능하게 커플링될 수도 있거나, 또는 그의 제각기 노드(400, 500)의 프로세싱 회로부(910a, 910b)를 통해 임의의 다른 것과 통신할 수도 있다. 예를 들어, 인터페이스 회로부(930a, 930b)는 출력 회로부(예를 들어, 통신 네트워크를 통해 통신 신호들을 전송하도록 구성되는 송신기 회로부) 및 입력 회로부(예를 들어, 통신 네트워크를 통해 통신 신호들을 수신하도록 구성되는 수신기 회로부)를 포함할 수도 있다.
도 8에 예시된 하드웨어의 실시예들에 따르면, 보안 중계 노드(400)의 프로세싱 회로부(910a)는, PLMN(10a-f) 내로부터, PLMN(10a-f) 내의 소스로부터 수신된 아웃바운드 제어 평면 트래픽을, 추가 PLMN(10a-f)에의 아웃바운드 제어 평면 트래픽의 전달을 위해 보안 인터페이스를 통해 원격 보안 노드(500)에 중계하도록 구성된다. 원격 보안 노드(500)는 PLMN(10a-f)과 추가 PLMN(10a-f) 양측 모두의 외측에 있다. 프로세싱 회로부(910a)는 보안 인터페이스를 통해 원격 보안 노드(500)를 통해 추가 PLMN(10a-f)으로부터 수신된 인바운드 제어 평면 트래픽을 PLMN(10a-f) 내의 목적지에 중계하도록 추가로 구성된다.
도 9에 예시된 하드웨어의 실시예들에 따르면, 원격 보안 노드(500)의 프로세싱 회로부(910b)는 보안 인터페이스를 통해 PLMN(10a-f) 내의 보안 중계 노드(400)로부터 수신된 아웃바운드 제어 평면 트래픽을 추가 PLMN(10a-f)에 중계하도록 구성된다. 원격 보안 노드(500)는 PLMN(10a-f)과 추가 PLMN(10a-f) 양측 모두의 외측에 있다. 프로세싱 회로부(910b)는 추가 PLMN(10a-f) 내의 소스로부터 수신된 인바운드 제어 평면 트래픽을 보안 인터페이스를 통해 보안 중계 노드(400)에 중계하도록 추가로 구성된다.
물론, 본 발명은 본 발명의 본질적인 특성들로부터 벗어남이 없이 본 명세서에 구체적으로 제시된 것들 이외의 다른 방식들로 수행될 수도 있다. 본 실시예들은 모든 관점들에서 예시적이고 제한적이지 않은 것으로서 간주되어야 하고, 본 명세서에 논의된 실시예들의 의미 및 등가 범위 내에 있는 모든 변경들이 포괄되도록 의도된다.
조항들
1. 공중 육상 모바일 네트워크(PLMN)에서의 보안 중계 노드에 의해 구현되는 방법으로서,
PLMN 내의 소스로부터 수신된 아웃바운드 제어 평면 트래픽을, 추가 PLMN에의 아웃바운드 제어 평면 트래픽의 전달을 위해 보안 인터페이스를 통해 원격 보안 노드에 중계하는 단계 - 원격 보안 노드는 PLMN과 추가 PLMN 양측 모두의 외측에 있음 -;
보안 인터페이스를 통해 원격 보안 노드를 통해 추가 PLMN으로부터 수신된 인바운드 제어 평면 트래픽을 PLMN 내의 목적지에 중계하는 단계
를 포함하는, 방법.
2. 실시예 1에 있어서, 보안 인터페이스는 표준화된 N32 인터페이스에 기초하는, 방법.
3. 실시예들 1 및 2 중 어느 하나에 있어서, 인바운드 및 아웃바운드 데이터 평면 트래픽을 중계하는 것은, 전송 계층 보안(TLS)을 사용하여 중계하는 것을 포함하는, 방법.
4. 실시예들 1 내지 3 중 어느 하나에 있어서, 보안 인터페이스와 연관된 제어 시그널링을 원격 보안 노드와 교환하는 단계를 더 포함하는, 방법.
5. 실시예 4에 있어서,
보안 인터페이스는 N32-f 인터페이스이고;
제어 시그널링을 교환하는 단계는, N32-f 인터페이스를 셋업하기 위해 N32-c 인터페이스를 통해 제어 시그널링을 교환하는 단계를 포함하는, 방법.
6. 실시예 4에 있어서,
보안 인터페이스를 통해 아웃바운드 및 인바운드 제어 평면 트래픽을 중계하는 것은, TLS 커넥션을 통해 아웃바운드 및 인바운드 제어 평면 트래픽을 중계하는 것을 포함하고;
제어 시그널링을 교환하는 단계는, TLS 커넥션을 통해 제어 시그널링을 교환하는 단계를 포함하는, 방법.
7. 실시예들 1 내지 6 중 어느 하나에 있어서, 보안 에지 보호 프록시(SEPP)로서 PLMN의 네트워크 리포지토리 펑션(NRF)에 등록함으로써 PLMN의 적어도 하나의 네트워크 펑션에 의해 보안 중계 노드의 발견을 가능하게 하는 단계를 더 포함하는, 방법.
8. 실시예들 1 내지 7 중 어느 하나에 있어서, 추가 PLMN으로부터 PLMN의 토폴로지를 은닉하는 단계를 더 포함하는, 방법.
9. 실시예들 1 내지 8 중 어느 하나에 있어서, PLMN에서의 네트워크 펑션의 텔레스코픽 전체 주소 도메인 네임을 사용하여 추가 PLMN으로부터 네트워크 펑션의 주소를 은닉하는 단계를 더 포함하는, 방법.
10. 실시예들 1 내지 9 중 어느 하나에 있어서, 보안 인증서들을 원격 보안 노드와 교환하는 단계를 더 포함하고, 인바운드 및 아웃바운드 제어 평면 트래픽을 중계하는 것은, 원격 보안 노드의 보안 인증서를 사용하여 원격 보안 노드를 인증하는 것에 응답하는, 방법.
11. 실시예들 1 내지 10 중 어느 하나에 있어서,
원격 보안 노드를 통해 획득된 추가 PLMN의 피어 보안 노드의 암호화 키를 사용하여 정보 요소(IE)를 암호화하는 단계; 및
암호화된 IE를 원격 보안 노드를 통해 피어 보안 노드에 송신하는 단계
를 더 포함하는, 방법.
12. 실시예 11에 있어서, 원격 보안 노드로부터 피어 보안 노드의 암호화 키를 획득하는 단계를 더 포함하는, 방법.
13. 실시예들 1 내지 12 중 어느 하나에 있어서, 원격 보안 노드는 인터넷 프로토콜 교환(IPX) 네트워크에 포함되는, 방법.
14. 실시예들 1 내지 12 중 어느 하나에 있어서, 원격 보안 노드는 로밍 허브 네트워크에 포함되는, 방법.
15. 보안 중계 노드로서,
프로세싱 회로부 및 메모리
를 포함하고,
메모리는, 프로세싱 회로부에 의해 실행가능한 명령어들을 포함하여, 그에 의해 보안 중계 노드가 공중 육상 모바일 네트워크(PLMN) 내로부터:
PLMN 내의 소스로부터 수신된 아웃바운드 제어 평면 트래픽을, 추가 PLMN에의 아웃바운드 제어 평면 트래픽의 전달을 위해 보안 인터페이스를 통해 원격 보안 노드에 중계하고 - 원격 보안 노드는 PLMN과 추가 PLMN 양측 모두의 외측에 있음 -;
보안 인터페이스를 통해 원격 보안 노드를 통해 추가 PLMN으로부터 수신된 인바운드 제어 평면 트래픽을 PLMN 내의 목적지에 중계하도록
구성되는, 보안 중계 노드.
16. 선행하는 실시예에 있어서, 실시예들 2 내지 14 중 어느 하나의 실시예의 방법을 수행하도록 추가로 구성되는, 보안 중계 노드.
17. 명령어들을 포함하는 컴퓨터 프로그램으로서, 명령어들은, 보안 중계 노드의 프로세싱 회로부 상에서 실행될 때, 프로세싱 회로부로 하여금 실시예들 1 내지 14 중 어느 하나에 따른 방법을 수행하게 하는, 컴퓨터 프로그램.
18. 선행하는 실시예의 컴퓨터 프로그램을 포함하는 캐리어로서, 캐리어는 전자 신호, 광학 신호, 라디오 신호, 또는 컴퓨터 판독가능 저장 매체 중 하나인, 캐리어.
19. 원격 보안 노드에 의해 구현되는 방법으로서,
보안 인터페이스를 통해 공중 육상 모바일 네트워크(PLMN) 내의 보안 중계 노드로부터 수신된 아웃바운드 제어 평면 트래픽을 추가 PLMN에 중계하는 단계 - 원격 보안 노드는 PLMN과 추가 PLMN 양측 모두의 외측에 있음 -;
추가 PLMN 내의 소스로부터 수신된 인바운드 제어 평면 트래픽을 보안 인터페이스를 통해 보안 중계 노드에 중계하는 단계
를 포함하는, 방법.
20. 실시예 19에 있어서, 보안 인터페이스는 표준화된 N32 인터페이스에 기초하는, 방법.
21. 실시예들 19 및 20 중 어느 하나에 있어서, 인바운드 및 아웃바운드 제어 평면 트래픽을 중계하는 것은, 전송 계층 보안(TLS)을 사용하여 중계하는 것을 포함하는, 방법.
22. 실시예들 19 내지 21 중 어느 하나에 있어서, 보안 인터페이스와 연관된 제어 시그널링을 보안 중계 노드와 교환하는 단계를 더 포함하는, 방법.
23. 실시예 22에 있어서,
보안 인터페이스는 N32-f 인터페이스이고;
제어 시그널링을 교환하는 단계는, N32-f 인터페이스를 셋업하기 위해 N32-c 인터페이스를 통해 제어 시그널링을 교환하는 단계를 포함하는, 방법.
24. 실시예 22에 있어서,
보안 인터페이스를 통해 아웃바운드 및 인바운드 제어 평면 트래픽을 중계하는 것은, TLS 커넥션을 통해 아웃바운드 및 인바운드 제어 평면 트래픽을 중계하는 것을 포함하고;
제어 시그널링을 교환하는 단계는, TLS 커넥션을 통해 제어 시그널링을 교환하는 단계를 포함하는, 방법.
25. 실시예들 19 내지 24 중 어느 하나에 있어서,
PLMN과 부가적인 PLMN 사이에 추가 제어 평면 트래픽을 중계하는 단계; 및
PLMN과 추가 PLMN 사이에 중계되는 인바운드 및 아웃바운드 제어 평면 트래픽을, PLMN과 부가적인 PLMN 사이에 중계되는 추가 제어 평면 트래픽으로부터 격리시키는 단계
를 더 포함하는, 방법.
26. 실시예들 19 내지 25 중 어느 하나에 있어서, 추가 PLMN으로부터 PLMN의 토폴로지를 은닉하는 단계를 더 포함하는, 방법.
27. 실시예들 19 내지 26 중 어느 하나에 있어서, 보안 인증서들을 보안 중계 노드와 교환하는 단계를 더 포함하고, 인바운드 및 아웃바운드 제어 평면 트래픽을 중계하는 것은, 보안 중계 노드의 보안 인증서를 사용하여 보안 중계 노드를 인증하는 것에 응답하는, 방법.
28. 실시예들 19 내지 27 중 어느 하나에 있어서,
추가 PLMN의 피어 보안 노드의 암호화 키로 암호화된 정보 요소(IE)를 보안 중계 노드로부터 수신하는 단계; 및
암호화된 IE를 피어 보안 노드에 포워딩하는 단계
를 더 포함하는, 방법.
29. 실시예 28에 있어서,
피어 보안 노드의 암호화 키로 추가 IE를 암호화하는 단계; 및
암호화된 추가 IE를 암호화된 IE와 함께 피어 보안 노드에 포워딩하는 단계
를 더 포함하는, 방법.
30. 실시예들 28 및 29 중 어느 하나에 있어서,
피어 보안 노드로부터 피어 보안 노드의 암호화 키를 획득하는 단계; 및
피어 보안 노드의 암호화 키를 보안 중계 노드에 제공하는 단계
를 더 포함하는, 방법.
31. 실시예들 19 내지 30 중 어느 하나에 있어서, 원격 보안 노드는 인터넷 프로토콜 교환(IPX) 네트워크에 포함되는, 방법.
32. 실시예들 19 내지 30 중 어느 하나에 있어서, 원격 보안 노드는 로밍 허브 네트워크에 포함되는, 방법.
33. 원격 보안 노드로서,
프로세싱 회로부 및 메모리
를 포함하고,
메모리는, 프로세싱 회로부에 의해 실행가능한 명령어들을 포함하여, 그에 의해 보안 중계 노드가:
보안 인터페이스를 통해 공중 육상 모바일 네트워크(PLMN) 내의 보안 중계 노드로부터 수신된 아웃바운드 제어 평면 트래픽을 추가 PLMN에 중계하고 - 원격 보안 노드는 PLMN과 추가 PLMN 양측 모두의 외측에 있음 -;
추가 PLMN 내의 소스로부터 수신된 인바운드 제어 평면 트래픽을 보안 인터페이스를 통해 보안 중계 노드에 중계하도록
구성되는, 원격 보안 노드.
34. 선행하는 실시예에 있어서, 실시예들 20 내지 32 중 어느 하나의 실시예의 방법을 수행하도록 추가로 구성되는, 원격 보안 노드.
35. 명령어들을 포함하는 컴퓨터 프로그램으로서, 명령어들은, 원격 보안 노드의 프로세싱 회로부 상에서 실행될 때, 프로세싱 회로부로 하여금 실시예들 19 내지 32 중 어느 하나에 따른 방법을 수행하게 하는, 컴퓨터 프로그램.
36. 선행하는 실시예의 컴퓨터 프로그램을 포함하는 캐리어로서, 캐리어는 전자 신호, 광학 신호, 라디오 신호, 또는 컴퓨터 판독가능 저장 매체 중 하나인, 캐리어.

Claims (26)

  1. 공중 육상 모바일 네트워크(Public Land Mobile Network, PLMN)에서의 보안 중계 노드(security relay node)에 의해 구현되는 방법으로서,
    - 상기 PLMN 내의 네트워크 펑션(Network Function, NF)으로부터, 추가 PLMN에 제공될 제어 패킷을 수신하는 단계;
    - 상기 추가 PLMN에의 상기 제어 패킷의 전달을 위해 원격 보안 노드에 상기 제어 패킷을 중계하는 단계
    를 포함하고,
    상기 원격 보안 노드는 상기 PLMN과 상기 추가 PLMN 양측 모두의 외측에 있는, 방법.
  2. 제1항에 있어서,
    상기 방법은:
    - 바람직하게는 표준화된 N32 인터페이스에 기초하여, 상기 보안 중계 노드와 상기 원격 보안 중계 노드 사이에 보안 인터페이스를 확립하는 단계
    를 포함하고,
    상기 중계하는 단계는, 상기 확립된 보안 인터페이스를 통해 상기 제어 패킷을 중계하는 단계를 포함하는, 방법.
  3. 제2항에 있어서,
    상기 중계하는 단계는:
    - 전송 계층 보안(Transport Layer Security, TLS)을 사용하여 상기 제어 패킷을 중계하는 단계
    를 포함하는, 방법.
  4. 제1항 내지 제3항 중 어느 한 항에 있어서,
    상기 방법은, 상기 제어 패킷을 중계하는 단계에 앞서:
    - 상기 제어 패킷에서 적어도 정보 요소(Information Element, IE)를 암호화하는 단계
    를 더 포함하는, 방법.
  5. 제4항에 있어서,
    상기 암호화 단계는:
    - 상기 원격 보안 노드를 통해 획득된 상기 추가 PLMN의 피어 보안 노드(peer security node)의 암호화 키를 사용하여 상기 IE를 암호화하는 단계
    를 포함하는, 방법.
  6. 제5항에 있어서,
    - 상기 원격 보안 노드로부터 상기 피어 보안 노드의 암호화 키를 획득하는 단계
    를 더 포함하는, 방법.
  7. 제1항 내지 제6항 중 어느 한 항에 있어서,
    - 상기 보안 인터페이스와 연관된 제어 시그널링을 상기 원격 보안 노드와 교환하는 단계
    를 더 포함하는, 방법.
  8. 제7항에 있어서,
    상기 보안 인터페이스는 N32-f 인터페이스이고, 상기 교환하는 단계는:
    - N32-f 인터페이스를 셋업하기 위해 상기 N32-c 인터페이스를 통해 상기 제어 시그널링을 교환하는 단계
    를 포함하는, 방법.
  9. 제1항 내지 제8항 중 어느 한 항에 있어서,
    - 보안 에지 보호 프록시(Security Edge Protection Proxy, SEPP)로서 상기 PLMN의 네트워크 리포지토리 펑션(Network Repository Function, NRF)에 등록함으로써 상기 PLMN의 적어도 하나의 네트워크 펑션에 의해 상기 보안 중계 노드의 발견(discovery)을 가능하게 하는 단계
    를 더 포함하는, 방법.
  10. 제1항 내지 제9항 중 어느 한 항에 있어서,
    - 상기 추가 PLMN으로부터 상기 PLMN의 토폴로지(topology)를 은닉(hiding)하는 단계
    를 더 포함하는, 방법.
  11. 제1항 내지 제10항 중 어느 한 항에 있어서,
    상기 PLMN에서의 네트워크 펑션의 텔레스코픽 전체 주소 도메인 네임(telescopic fully qualified domain name)을 사용하여 상기 추가 PLMN으로부터 상기 네트워크 펑션의 주소를 은닉하는 단계
    를 더 포함하는, 방법.
  12. 제1항 내지 제11항 중 어느 한 항에 있어서,
    상기 원격 보안 노드는 인터넷 프로토콜 교환(Internet Protocol Exchange)(IPX) 네트워크에 포함되는, 방법.
  13. 제1항 내지 제11항 중 어느 한 항에 있어서,
    상기 원격 보안 노드는 로밍 허브 네트워크에 포함되는, 방법.
  14. 보안 중계 노드로서,
    프로세싱 회로부 및 메모리
    를 포함하고,
    상기 메모리는, 상기 프로세싱 회로부에 의해 실행가능한 명령어들을 포함하여, 그에 의해 상기 보안 중계 노드가 공중 육상 모바일 네트워크(PLMN) 내로부터:
    - 상기 PLMN 내의 네트워크 펑션(NF)으로부터, 추가 PLMN에 제공될 제어 패킷을 수신하고;
    - 상기 추가 PLMN에의 상기 제어 패킷의 전달을 위해 원격 보안 노드에 상기 제어 패킷을 중계하도록
    구성되고,
    상기 원격 보안 노드는 상기 PLMN과 상기 추가 PLMN 양측 모두의 외측에 있는, 보안 중계 노드.
  15. 명령어들을 저장하는 컴퓨터 판독가능 매체를 포함하는 컴퓨터 프로그램 제품으로서,
    상기 명령어들은, 보안 중계 노드의 프로세싱 회로부 상에서 실행될 때, 상기 프로세싱 회로부로 하여금 제1항 내지 제13항 중 어느 한 항에 따른 방법을 수행하게 하는, 컴퓨터 프로그램 제품.
  16. 원격 보안 노드에 의해 구현되는 방법으로서,
    - 공중 육상 모바일 네트워크(PLMN)에서의 보안 중계 노드로부터, 추가 PLMN에 제공될 제어 패킷을 수신하는 단계,
    - 상기 제어 패킷을 상기 추가 PLMN에 중계하는 단계
    를 포함하고,
    상기 원격 보안 노드는 상기 PLMN과 상기 추가 PLMN 양측 모두의 외측에 있는, 방법.
  17. 제16항에 있어서,
    상기 방법은:
    - 바람직하게는 표준화된 N32 인터페이스에 기초하여, 상기 보안 중계 노드와 상기 원격 보안 중계 노드 사이에 보안 인터페이스를 확립하는 단계
    를 포함하고,
    상기 수신하는 단계는, 상기 확립된 보안 인터페이스를 통해 상기 제어 패킷을 수신하는 단계를 포함하는, 방법.
  18. 제17항에 있어서,
    상기 수신하는 단계는:
    - 전송 계층 보안(TLS)을 사용하여 상기 제어 패킷을 수신하는 단계
    를 포함하는, 방법.
  19. 제18항에 있어서,
    상기 수신하는 단계는:
    - 적어도 정보 요소(IE)가 암호화되어 있는 상기 제어 패킷을 수신하는 단계
    를 포함하는, 방법.
  20. 제19항에 있어서,
    상기 적어도 IE는 상기 원격 보안 노드가 그것을 암호화해제하는 것이 불가능하도록 상기 추가 PLMN의 피어 보안 노드의 암호화 키를 사용하여 암호화되는, 방법.
  21. 제20항에 있어서,
    상기 방법은:
    - 상기 추가 PLMN의 상기 피어 보안 노드로부터 상기 암호화 키를 획득하는 단계, 및
    - 상기 획득된 암호화 키를 상기 원격 보안 노드에 제공하는 단계
    를 포함하는, 방법.
  22. 제16항 내지 제21항 중 어느 한 항에 있어서,
    - 상기 추가 PLMN으로부터 상기 PLMN의 토폴로지를 은닉하는 단계
    를 더 포함하는, 방법.
  23. 제16항 내지 제22항 중 어느 한 항에 있어서,
    상기 원격 보안 노드는 인터넷 프로토콜 교환(IPX) 네트워크에 포함되는, 방법.
  24. 제16항 내지 제23항 중 어느 한 항에 있어서,
    상기 원격 보안 노드는 로밍 허브 네트워크에 포함되는, 방법.
  25. 원격 보안 노드로서,
    프로세싱 회로부 및 메모리
    를 포함하고,
    상기 메모리는, 상기 프로세싱 회로부에 의해 실행가능한 명령어들을 포함하여, 그에 의해 상기 보안 중계 노드가:
    - 공중 육상 모바일 네트워크(PLMN)에서의 보안 중계 노드로부터, 추가 PLMN에 제공될 제어 패킷을 수신하고,
    - 상기 제어 패킷을 상기 추가 PLMN에 중계하도록
    구성되고,
    상기 원격 보안 노드는 상기 PLMN과 상기 추가 PLMN 양측 모두의 외측에 있는, 원격 보안 노드.
  26. 명령어들을 저장하는 컴퓨터 판독가능 매체를 포함하는 컴퓨터 프로그램 제품으로서,
    상기 명령어들은, 원격 보안 노드의 프로세싱 회로부 상에서 실행될 때, 상기 프로세싱 회로부로 하여금 실시예 16 내지 24 중 어느 하나에 따른 방법을 수행하게 하는, 컴퓨터 프로그램 제품.
KR1020247005468A 2021-07-21 2022-07-20 분산형 네트워크 에지 보안 아키텍처 KR20240034831A (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US202163224196P 2021-07-21 2021-07-21
US63/224,196 2021-07-21
PCT/EP2022/070334 WO2023001881A1 (en) 2021-07-21 2022-07-20 Distributed network edge security architecture

Publications (1)

Publication Number Publication Date
KR20240034831A true KR20240034831A (ko) 2024-03-14

Family

ID=82932717

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020247005468A KR20240034831A (ko) 2021-07-21 2022-07-20 분산형 네트워크 에지 보안 아키텍처

Country Status (4)

Country Link
EP (1) EP4374553A1 (ko)
KR (1) KR20240034831A (ko)
CN (1) CN117652125A (ko)
WO (1) WO2023001881A1 (ko)

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020065130A1 (en) * 2018-09-24 2020-04-02 Nokia Technologies Oy Security management between edge proxy and internetwork exchange node in a communication system
EP4050968A1 (en) * 2021-02-26 2022-08-31 Syniverse Technologies, LLC A method of implementing 5g core roaming routing in an ipx network

Also Published As

Publication number Publication date
CN117652125A (zh) 2024-03-05
EP4374553A1 (en) 2024-05-29
WO2023001881A1 (en) 2023-01-26

Similar Documents

Publication Publication Date Title
JP6889263B2 (ja) ユーザ機器の二次認証
KR102517014B1 (ko) 서비스 레이어에서의 트래픽 스티어링
EP3753226B1 (en) Security management in communication systems between security edge protection proxy elements
US11038923B2 (en) Security management in communication systems with security-based architecture using application layer security
EP2910036B1 (en) Offloaded security as a service
KR102258016B1 (ko) 로컬 콘텐츠 리다이렉션을 위한 매핑 서비스
JP2023548370A (ja) 受信メッセージレート制限のための方法、システム、およびコンピュータ読み取り可能な媒体
CN110268690A (zh) 保护物联网中的设备通信
US20240196212A1 (en) Enabling coordinated identity management between an operator-managed mobile-edge platform and an external network
JP2022550165A (ja) ローミング・シグナリング・メッセージ送信方法、関連するデバイス、および通信システム
US20190289666A1 (en) Selection of ip version
US11076281B1 (en) 5G core roaming network function proxy in an IPX network
CN112335274A (zh) 用于通信系统中服务访问的安全管理
US20210219137A1 (en) Security management between edge proxy and internetwork exchange node in a communication system
WO2021094349A1 (en) Multi-step service authorization for indirect communication in a communication system
JP2024509941A (ja) セキュリティエッジ保護プロキシ(sepp)における代行承認のための方法、システム、およびコンピュータ可読媒体
KR101689012B1 (ko) 다중망 병합 전송을 위한 네트워크 장치 및 단말, 그리고 이들의 동작 방법
CN111819874A (zh) 避免基于5g服务的架构中plmn间路由和tls问题的方法和解决方案
KR20190000781A (ko) 단말의 데이터 전송 방법, 단말 장치 및 데이터 전송 제어 방법
JP6472030B2 (ja) 通信システム及びその認証接続方法
WO2021099676A1 (en) Indicator tls extension handling for indirect communication in communication network
EP3821562A1 (en) Security management for unauthorized requests in communication system with service-based architecture
KR20240034831A (ko) 분산형 네트워크 에지 보안 아키텍처
JP2023529951A (ja) 安全な通信方法、関連する装置、およびシステム
EP4152691A1 (en) Roaming hub for secure interconnect in roaming scenarios

Legal Events

Date Code Title Description
A201 Request for examination