KR20240064005A - 주 인증 방법 및 장치 - Google Patents

주 인증 방법 및 장치 Download PDF

Info

Publication number
KR20240064005A
KR20240064005A KR1020247013687A KR20247013687A KR20240064005A KR 20240064005 A KR20240064005 A KR 20240064005A KR 1020247013687 A KR1020247013687 A KR 1020247013687A KR 20247013687 A KR20247013687 A KR 20247013687A KR 20240064005 A KR20240064005 A KR 20240064005A
Authority
KR
South Korea
Prior art keywords
authentication
terminal device
authentication procedure
procedure
amf
Prior art date
Application number
KR1020247013687A
Other languages
English (en)
Inventor
허 리
룽 우
Original Assignee
후아웨이 테크놀러지 컴퍼니 리미티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 후아웨이 테크놀러지 컴퍼니 리미티드 filed Critical 후아웨이 테크놀러지 컴퍼니 리미티드
Publication of KR20240064005A publication Critical patent/KR20240064005A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W24/00Supervisory, monitoring or testing arrangements
    • H04W24/02Arrangements for optimising operational condition

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 출원은 주 인증 방법 및 장치를 제공한다. 방법은 다음을 포함한다: AMF는 홈 네트워크 디바이스로부터 제1 인증 요청 메시지를 수신하고, 여기서 제1 인증 요청 메시지는 주 인증 절차를 트리거하는 데 사용되고, 주 인증 절차는 단말 디바이스에 대한 주 인증을 수행하는 데 사용되고, 홈 네트워크 디바이스는 단말 디바이스의 홈 네트워크 내의 네트워크 디바이스이다. AMF는 주 인증 절차의 트리거링을 거부할 때 제1 인증 응답 메시지를 홈 네트워크 디바이스에 전송하며, 여기서 제1 인증 응답 메시지는 제1 거부 원인 정보를 포함하고, 제1 거부 원인 정보는 주 인증 절차의 트리거링을 거부하는 원인을 표시한다. 이 방법에 따르면, 홈 네트워크 내의 홈 네트워크 디바이스가 단말 디바이스에 대한 주 인증 절차를 트리거할 때, AMF에 의해 트리거된 주 인증 절차와의 충돌 또는 주 인증 절차의 빈번한 실행을 회피하기 위해, AMF는 홈 네트워크 디바이스에 의해 트리거된 요청을 수락할지 여부를 결정한다.

Description

주 인증 방법 및 장치
관련 출원들에 대한 교차-참조
본 출원은 2021년 9월 30일자로 중국 지적 재산권 관리국(China National Intellectual Property Administration)에 출원되고 발명의 명칭이 "PRIMARY AUTHENTICATION METHOD AND APPARATUS"인 중국 특허 출원 제202111166048.6호에 대한 우선권을 주장하며, 그 전체가 본 명세서에 참고로 포함된다.
기술분야
본 출원은 통신 기술 분야에 관한 것으로, 특히, 주 인증 방법 및 장치에 관한 것이다.
단말 디바이스와 네트워크 측 사이의 통신의 보안을 보장하기 위해, 인증 및 키 합의(authentication and key agreement, AKA) 절차가 단말 디바이스와 네트워크 사이에서 실행될 필요가 있다. AKA 절차는 사용자 인증 및 네트워크 인증을 포함하는 양방향 인증 절차이다. 사용자 인증은 인가되지 않은 사용자들이 네트워크 자원들을 점유하는 것을 방지하기 위해 네트워크가 사용자들을 인증하는 것을 의미한다. 네트워크 인증은 사용자에 의한 인가되지 않은 네트워크의 액세스로 인해 키 정보가 추출되는 것을 방지하기 위해 사용자가 네트워크를 인증하는 것을 의미한다.
5세대(5th-generation, 5G) 통신 시스템에서는, 2가지 인증 방법이 지원된다: 5G-AKA 및 확장가능 인증 프로토콜-인증 및 키 합의(extensible authentication protocol-authentication and key agreement, EAP-AKA'). 현재의 표준에서는, 서빙 네트워크(serving network, SN)에서의 액세스 및 이동성 관리 기능(access and mobility management function, AMF)에 의해 주 인증 절차의 트리거링이 결정된다. 현재, 해결책에서는, 홈 네트워크(home network, HN)가 주 인증 절차를 트리거할 수 있다. 구체적으로, HN 내의 인증 서버 기능(authentication server function, AUSF)이 주 인증 절차를 트리거하도록 AMF에 요청할 수 있거나, 또는 사용자 데이터 관리(user data management, UDM)가 주 인증 절차를 트리거하도록 AMF에 요청할 수 있다.
주 인증 절차를 트리거하는 디바이스들의 수량이 증가한다. 따라서, 통신 보안을 보장할 때 인증 효율을 어떻게 개선할지는 해결되어야 할 긴급한 문제이다.
본 출원은, 통신 보안을 보장할 때 인증 효율을 어떻게 개선할지의 문제를 해결하기 위한 주 인증 방법 및 장치를 제공한다.
본 출원에서는, 제1 양태 및 제3 양태의 액세스 및 이동성 관리 기능 디바이스가 도 2 내지 도 5의 절차들에서 AMF에 의해 수행되는 단계들 또는 절차들을 수행할 수 있고, 홈 네트워크 디바이스가 도 2 내지 도 5의 절차들에서 UDM 또는 제2 AUSF에 의해 수행되는 단계들 또는 절차들을 수행할 수 있고, 사용자 데이터 관리 디바이스가 도 2 내지 도 5의 절차들에서 UDM에 의해 수행되는 단계들 또는 절차들을 수행할 수 있고, 인증 서버 기능 디바이스가 도 2 내지 도 5의 절차들에서 제3 AUSF에 의해 수행되는 단계들 또는 절차들을 수행할 수 있다.
제1 양태에 따르면, 본 출원은 주 인증 방법을 제공한다. 방법은 다음을 포함한다: 액세스 및 이동성 관리 기능 디바이스가 홈 네트워크 디바이스로부터 제1 인증 요청 메시지를 수신하며, 여기서 제1 인증 요청 메시지는 단말 디바이스의 식별자를 포함하고, 제1 인증 요청 메시지는 단말 디바이스에 대한 주 인증 절차를 트리거하는 데 사용되고, 홈 네트워크 디바이스는 단말 디바이스의 홈 네트워크 내의 네트워크 디바이스이다. 액세스 및 이동성 관리 기능 디바이스가 주 인증 절차의 트리거링을 거부할 때, 액세스 및 이동성 관리 기능 디바이스는 제1 인증 응답 메시지를 홈 네트워크 디바이스에 전송하며, 여기서 제1 인증 응답 메시지는 제1 거부 원인 정보를 포함하고, 제1 거부 원인 정보는 주 인증 절차의 트리거링을 거부하는 원인을 표시한다.
이 방법에 따르면, 홈 네트워크 내의 홈 네트워크 디바이스가 단말 디바이스에 대한 주 인증 절차를 트리거할 때, AMF는 홈 네트워크 디바이스에 의해 트리거된 요청을 수락할지 여부를 결정하므로, AMF에 의해 트리거된 주 인증 절차와의 충돌이 회피될 수 있고, 불필요한 반복된 인증 절차가 회피될 수 있어, 인증 효율을 개선할 수 있다.
가능한 구현에서, 액세스 및 이동성 관리 기능 디바이스는, 제1 인증 요청 메시지에 기초하여, 단말 디바이스에 대한 주 인증 절차의 트리거링을 거부하는 것을 결정한다.
가능한 구현에서, 액세스 및 이동성 관리 기능 디바이스가, 제1 인증 요청 메시지에 기초하여, 주 인증 절차의 트리거링을 거부하는 것을 결정하는 것은:
식별자에 기초하여, 미리 설정된 지속기간 내에 단말 디바이스에 대해 주 인증 절차가 트리거되었다고 결정하면, 액세스 및 이동성 관리 기능 디바이스가 주 인증 절차의 트리거링을 거부하는 것을 결정한다.
가능한 구현에서, 액세스 및 이동성 관리 기능 디바이스가 식별자에 기초하여 홈 네트워크 디바이스가 주 인증 절차를 트리거할 권한이 없다고 결정하는 것은 다음을 포함한다: 액세스 및 이동성 관리 기능 디바이스는 식별자에 기초하여 단말 디바이스의 가입 데이터를 획득한다. 액세스 및 이동성 관리 기능 디바이스는 가입 데이터에 기초하여 홈 네트워크 디바이스가 주 인증 절차를 트리거할 권한이 없다고 결정한다.
가능한 구현에서, 가입 데이터는, 단말 디바이스가 로밍의 스티어링(steering of roaming) 절차, 사용자 장비 파라미터 업데이트(user equipment parameter update) 절차, 또는 애플리케이션들에 대한 인증 및 키 관리(authentication and key management for applications) 절차 중 적어도 하나를 지원하지 않음을 표시한다.
가능한 구현에서, 액세스 및 이동성 관리 기능 디바이스가, 제1 인증 요청 메시지에 기초하여, 주 인증 절차의 트리거링을 거부하는 것을 결정하는 것은:
식별자에 기초하여, 단말 디바이스에 대해 주 인증 절차가 실행중이라고 결정하면, 액세스 및 이동성 관리 기능 디바이스가 주 인증 절차의 트리거링을 거부하는 것을 결정한다.
가능한 구현에서, 액세스 및 이동성 관리 기능 디바이스가 식별자에 기초하여 단말 디바이스에 대해 주 인증 절차가 실행중이라고 결정하는 것은 다음을 포함한다:
액세스 및 이동성 관리 기능 디바이스가 식별자에 대응하는 단말 디바이스에 대한 인증 절차를 트리거했지만 대응하는 인증 결과를 수신하지 못한 경우, 액세스 및 이동성 관리 기능 디바이스는 단말 디바이스에 대해 주 인증 절차가 실행중이라고 결정한다.
제2 양태에 따르면, 본 출원은 통신 장치를 추가로 제공한다. 통신 장치는 전술한 제1 양태에 따른 임의의 방법을 구현한다. 통신 장치는 하드웨어에 의해 구현될 수 있거나, 하드웨어에 의해 대응하는 소프트웨어를 실행함으로써 구현될 수 있다. 하드웨어 또는 소프트웨어는 전술한 기능에 대응하는 하나 이상의 유닛 또는 모듈을 포함한다.
가능한 구현에서, 통신 장치는 프로세서를 포함한다. 프로세서는 전술한 방법에서 액세스 및 이동성 관리 기능 디바이스의 대응하는 기능을 수행함에 있어서 통신 장치를 지원하도록 구성된다. 통신 장치는 메모리를 추가로 포함할 수 있고, 메모리는 프로세서에 결합될 수 있고, 통신 장치에 필요한 프로그램 명령어들 및 데이터를 저장할 수 있다. 선택적으로, 통신 장치는 인터페이스 회로를 추가로 포함한다. 인터페이스 회로는 통신을 수행함에 있어서 통신 장치를 지원하도록 구성된다.
가능한 구현에서, 통신 장치는 전술한 방법에서의 단계들을 구현하도록 구성되는 대응하는 기능 모듈들을 포함한다. 기능은 하드웨어에 의해 구현될 수 있거나, 또는 대응하는 소프트웨어를 실행하는 하드웨어에 의해 구현될 수 있다. 하드웨어 또는 소프트웨어는 전술한 기능에 대응하는 하나 이상의 모듈을 포함한다.
가능한 구현에서, 통신 장치의 구조는 처리 유닛 및 통신 유닛을 포함한다. 이러한 유닛들은 전술한 방법 예들에서 대응하는 기능들을 수행할 수 있다. 상세사항들에 대해서는, 제1 양태에 따른 방법에서의 설명들을 참조한다. 상세사항들은 여기서 다시 설명되지 않는다.
제3 양태에 따르면, 본 출원은 주 인증 방법을 제공하며, 이 방법은 다음을 포함한다: 사용자 데이터 관리 디바이스가 인증 서버 기능 디바이스로부터 제1 메시지를 수신하며, 여기서 제1 요청 메시지는 단말 디바이스의 식별자를 포함하고, 제1 메시지는 단말 디바이스에 대한 제1 인증 벡터를 요청하는 데 사용된다.
제1 인증 벡터의 반환을 거부할 때, 사용자 데이터 관리 디바이스는 제1 응답 메시지를 인증 서버 기능 디바이스에 전송하며, 여기서 제1 응답 메시지는 제2 거부 원인 정보를 포함하고, 제2 거부 원인 정보는 제1 인증 벡터의 반환을 거부하는 원인을 표시한다.
각각의 주 인증 절차에서, 사용자 데이터 관리 디바이스는 인증 벡터를 생성하고, 그 후 인증 벡터에 기초하여 네트워크 측과 단말 디바이스 사이의 양방향 인증을 완료하고, 인증 프로세스에서 대응하는 보안 컨텍스트를 생성할 필요가 있다. 전술한 방법에 따르면, 사용자 데이터 관리 디바이스는 제1 인증 벡터를 반환할지 여부를 결정함으로써 주 인증 절차를 제어할 수 있다. 이러한 방식으로, 불필요한 인증 절차가 회피될 수 있다. 예를 들어, 짧은 시간에 복수 회의 주 인증 절차의 반복된 실행이 회피될 수 있어, 인증 효율 및 통신 효율을 개선할 수 있다.
가능한 구현에서, 제1 인증 벡터를 반환하는 것을 결정할 때, 사용자 데이터 관리 디바이스는 제1 응답 메시지를 인증 서버 기능 디바이스에 전송하며, 여기서 제1 응답 메시지는 트리거 표시 정보를 포함하고, 트리거 표시 정보는 단말 디바이스에 대한 주 인증 절차를 실행하는 것을 표시한다.
가능한 구현에서, 사용자 데이터 관리 디바이스는, 제1 요청 메시지에 기초하여, 제1 인증 벡터의 반환을 거부하는 것을 결정한다.
가능한 구현에서, 사용자 데이터 관리 디바이스가, 제1 요청 메시지에 기초하여, 제1 인증 벡터의 반환을 거부하는 것을 결정하는 것은: 식별자에 기초하여, 미리 설정된 지속기간 내에 단말 디바이스에 대해 주 인증 절차가 트리거되었다고 결정하면, 사용자 데이터 관리 디바이스가 제1 인증 벡터의 반환을 거부하는 것을 결정하는 것을 포함한다.
가능한 구현에서, 제1 요청 메시지는 단말 디바이스의 식별자를 포함하고, 사용자 데이터 관리 디바이스가, 제1 요청 메시지에 기초하여, 제1 인증 벡터의 반환을 거부하는 것을 결정하는 것은:
식별자에 기초하여, 단말 디바이스에 대해 주 인증 절차가 실행중이라고 결정하면, 사용자 데이터 관리 디바이스가 제1 인증 벡터의 반환을 거부하는 것을 결정하는 것을 포함한다.
가능한 구현에서, 사용자 데이터 관리 디바이스가 식별자에 기초하여 단말 디바이스에 대해 주 인증 절차가 실행중이라고 결정하는 것은: 사용자 데이터 관리 디바이스가 식별자에 대응하는 단말 바이스에 대한 인증을 수행하기 위해 사용되는 제2 인증 벡터를 전송했지만 제2 인증 벡터에 대응하는 인증 결과 확인 메시지를 수신하지 못한 경우, 단말 디바이스에 대해 주 인증 절차가 실행중이라고 결정하는 것을 포함한다.
제4 양태에 따르면, 본 출원은 통신 장치를 추가로 제공한다. 통신 장치는 전술한 제3 양태에 따른 임의의 방법을 구현한다. 통신 장치는 하드웨어에 의해 구현될 수 있거나, 하드웨어에 의해 대응하는 소프트웨어를 실행함으로써 구현될 수 있다. 하드웨어 또는 소프트웨어는 전술한 기능에 대응하는 하나 이상의 유닛 또는 모듈을 포함한다.
가능한 구현에서, 통신 장치는 프로세서를 포함한다. 프로세서는 전술한 방법에서 사용자 데이터 관리 디바이스의 대응하는 기능을 수행함에 있어서 통신 장치를 지원하도록 구성된다. 통신 장치는 메모리를 추가로 포함할 수 있고, 메모리는 프로세서에 결합될 수 있고, 통신 장치에 필요한 프로그램 명령어들 및 데이터를 저장할 수 있다. 선택적으로, 통신 장치는 인터페이스 회로를 추가로 포함한다. 인터페이스 회로는 통신을 수행함에 있어서 통신 장치를 지원하도록 구성된다.
가능한 구현에서, 통신 장치는 전술한 방법에서의 단계들을 구현하도록 구성되는 대응하는 기능 모듈들을 포함한다. 기능은 하드웨어에 의해 구현될 수 있거나, 또는 대응하는 소프트웨어를 실행하는 하드웨어에 의해 구현될 수 있다. 하드웨어 또는 소프트웨어는 전술한 기능에 대응하는 하나 이상의 모듈을 포함한다.
가능한 구현에서, 통신 장치의 구조는 처리 유닛 및 통신 유닛을 포함한다. 이러한 유닛들은 전술한 방법 예들에서 대응하는 기능들을 수행할 수 있다. 상세사항들에 대해서는, 제3 양태에 따른 방법에서의 설명들을 참조한다. 상세사항들은 여기서 다시 설명되지 않는다.
제5 양태에 따르면, 프로세서 및 인터페이스 회로를 포함하는 통신 장치가 제공된다. 인터페이스 회로는: 통신 장치 이외의 다른 통신 장치로부터 신호를 수신하여 신호를 프로세서에 송신하거나, 프로세서로부터 통신 장치 이외의 다른 통신 장치에 신호를 전송하도록 구성된다. 프로세서는 제1 양태의 임의의 가능한 구현에 따른 방법을 구현하기 위해 메모리에 저장된 컴퓨터 프로그램 또는 명령어들을 실행하도록 구성된다. 선택적으로, 장치는 컴퓨터 프로그램 또는 명령어들을 저장하는 메모리를 추가로 포함할 수 있다.
제6 양태에 따르면, 프로세서 및 인터페이스 회로를 포함하는 통신 장치가 제공된다. 인터페이스 회로는: 통신 장치 이외의 다른 통신 장치로부터 신호를 수신하여 신호를 프로세서에 송신하거나, 프로세서로부터 통신 장치 이외의 다른 통신 장치에 신호를 전송하도록 구성된다. 프로세서는 제3 양태의 임의의 가능한 구현에 따른 방법을 구현하기 위해 메모리에 저장된 컴퓨터 프로그램 또는 명령어들을 실행하도록 구성된다. 선택적으로, 장치는 컴퓨터 프로그램 또는 명령어들을 저장하는 메모리를 추가로 포함할 수 있다.
제7 양태에 따르면, 컴퓨터 판독가능 저장 매체가 제공되며, 컴퓨터 판독가능 저장 매체는 컴퓨터 프로그램 또는 명령어들을 저장한다. 컴퓨터 프로그램 또는 명령어들이 컴퓨터 상에서 실행될 때, 컴퓨터는 제1 양태의 임의의 가능한 구현에 따른 방법을 구현할 수 있게 된다.
제8 양태에 따르면, 컴퓨터 판독가능 저장 매체가 제공되며, 컴퓨터 판독가능 저장 매체는 컴퓨터 프로그램 또는 명령어들을 저장한다. 컴퓨터 프로그램 또는 명령어들이 컴퓨터 상에서 실행될 때, 컴퓨터는 제3 양태의 임의의 가능한 구현에 따른 방법을 구현할 수 있게 된다.
제9 양태에 따르면, 컴퓨터 판독가능 명령어들을 저장한 컴퓨터 프로그램 제품이 제공된다. 컴퓨터 판독가능 명령어들이 컴퓨터 상에서 실행될 때, 컴퓨터는 제1 양태의 임의의 가능한 구현에 따른 방법을 구현할 수 있게 된다.
제10 양태에 따르면, 컴퓨터 판독가능 명령어들을 저장한 컴퓨터 프로그램 제품이 제공된다. 컴퓨터 판독가능 명령어들이 컴퓨터 상에서 실행될 때, 컴퓨터는 제3 양태의 임의의 가능한 구현에 따른 방법을 구현할 수 있게 된다.
제11 양태에 따르면, 칩이 제공된다. 칩은 프로세서를 포함하고, 메모리를 추가로 포함할 수 있다. 프로세서는 메모리에 결합되고, 메모리에 저장된 컴퓨터 프로그램 또는 명령어들을 실행하도록 구성되어, 칩이 제1 양태의 임의의 가능한 구현에 따른 방법을 구현하게 한다.
제12 양태에 따르면, 칩이 제공된다. 칩은 프로세서를 포함하고, 메모리를 추가로 포함할 수 있다. 프로세서는 메모리에 결합되고, 메모리에 저장된 컴퓨터 프로그램 또는 명령어들을 실행하도록 구성되어, 칩이 제3 양태의 임의의 가능한 구현에 따른 방법을 구현하게 한다.
도 1은 본 출원의 실시예에 적용가능한 네트워크 아키텍처의 개략도이다.
도 2는 본 출원의 실시예에 따른 주 인증 방법의 개략적인 흐름도이다.
도 3은 본 출원의 실시예에 따른 통신 방법의 개략적인 흐름도이다.
도 4는 본 출원의 실시예에 따른 주 인증 방법의 개략적인 흐름도이다.
도 5는 본 출원의 실시예에 따른 주 인증 방법의 개략적인 흐름도이다.
도 6은 본 출원의 실시예에 따른 통신 장치의 구조의 개략도이다.
도 7은 본 출원의 실시예에 따른 통신 장치의 구조의 개략도이다.
이하에서는 본 명세서의 첨부 도면들을 참조하여 본 출원의 실시예들을 상세히 설명한다.
본 출원의 실시예들은 다양한 이동 통신 시스템들, 예를 들어, 뉴 라디오(new radio, NR) 시스템, 롱 텀 에볼루션(long term evolution, LTE) 시스템, 미래의 통신 시스템, 및 다른 통신 시스템들에 적용될 수 있다. 구체적으로, 이것은 여기서 제한되지 않는다.
본 출원의 실시예들의 이해를 용이하게 하기 위해, 먼저 도 1에 도시된 통신 시스템을 예로서 사용하여 본 출원의 실시예들에 적용가능한 통신 시스템을 상세히 설명한다. 도 1은 본 출원의 실시예에 따른 통신 방법에 적용가능한 통신 시스템의 개략도이다. 도 1에 도시된 바와 같이, 통신 시스템은 사용자 장비(user equipment, UE), 액세스 네트워크(access network, AN) 디바이스, 사용자 평면 기능(user plane function, UPF), 데이터 네트워크(data network, DN), AUSF, AMF, 세션 관리 기능(session management function, SMF), 정책 제어 기능(policy control function, PCF), UDM 등을 포함한다.
도 1의 AMF 및 SMF는 각각 단말 디바이스의 서빙 네트워크(serving network)이고, 방문 네트워크(visited network)라고도 지칭된다. AUSF 및 UDM은 단말 디바이스의 홈 네트워크에 속하고, 홈 네트워크라고도 지칭된다.
UE는 단말 디바이스라고도 지칭될 수 있고, 디바이스에 배치될 수 있는 칩 또는 무선 송수신기 기능을 갖는 디바이스이다. 실제 응용 동안, 본 출원의 실시예들에서의 단말 디바이스는 이동 전화(mobile phone), 태블릿 컴퓨터(Pad), 무선 송수신기 기능을 갖는 컴퓨터, 가상 현실(virtual reality, VR) 단말, 증강 현실(augmented reality, AR) 단말, 산업 제어(industrial control)에서의 무선 단말, 자율 주행(self driving)에서의 무선 단말, 원격 의료(remote medical)에서의 무선 단말, 스마트 그리드(smart grid)에서의 무선 단말, 교통 안전(transportation safety)에서의 무선 단말, 스마트 시티(smart city)에서의 무선 단말, 스마트 홈(smart home)에서의 무선 단말 등일 수 있다. 응용 시나리오가 본 출원의 실시예들에서 제한되는 것은 아니다. 본 출원에서, 무선 송수신기 기능을 갖는 디바이스 및 디바이스에 배치될 수 있는 칩은 집합적으로 단말 디바이스라고 지칭된다.
액세스 네트워크 디바이스는 무선 액세스 네트워크(radio access network, RAN) 디바이스라고도 지칭될 수 있고, 다양한 표준들에서의 무선 액세스 디바이스일 수 있으며, 예를 들어, NR 시스템에서의 차세대 기지국(next generation NodeB, gNB), 진화된 NodeB(evolved NodeB, eNB), 무선 네트워크 제어기(radio network controller, RNC), NodeB(NodeB, NB), 기지국 제어기(base station controller, BSC), 기지국 송수신기(base transceiver station, BTS), 홈 기지국(홈 진화된 NodeB, 또는 홈 NodeB, HNB), 기저대역 유닛(baseband unit, BBU), 송신 및 수신 포인트(transmission and reception point, TRP 또는 transmission point, TP) 등일 수 있다.
AUSF는 주로 사용자 인증을 담당하고, 사용자가 인가되어 있는지 여부를 검증하기 위해 네트워크에 의해 사용된다.
UPF는 단말 디바이스의 사용자 평면 데이터 출구(user-plane data egress)이고, 외부 네트워크에 연결된다.
AMF는 이동성 관리를 주로 담당하는 네트워크 요소이며, 주요 기능들은 무선 액세스 네트워크 제어 평면의 종단점, 비-액세스 시그널링의 종단점, 이동성 관리, 합법적 감청, 액세스 인가 또는 인증 등을 포함한다. AMF와 보안 앵커 기능(security anchor function, SEAF)은 하나의 물리적 엔티티로 조합될 수 있거나, 독립적인 물리적 엔티티들로서 개별적으로 설정될 수 있다.
UDM은 사용자 가입 데이터 관리와 같은 기능들을 주로 담당한다.
DN은 단말 디바이스에 대한 서비스를 제공하는 네트워크일 수 있다.
도 1의 다른 디바이스들의 기능들은 본 출원에서 제한되지 않으며, 상세사항들은 여기서 다시 설명되지 않는다.
통신 보안을 보장하기 위해, 단말 디바이스와 네트워크 사이에서 AKA 절차가 실행된다. 구현에서, AMF는 AKA 절차를 트리거할지 여부를 결정한다. 트리거링 방법에서, 단말 디바이스는 초기 NAS 메시지, 예를 들어, 등록 요청 메시지를 전송하고, AMF는 초기 NAS 메시지에 기초하여 인증을 트리거할지 여부를 결정할 수 있다. 다른 트리거링 방법에서, AMF는, 로컬 정책에 따라, 인증을 트리거할 때를 결정할 수 있다. 예를 들어, 비-액세스 스트라텀(non-access stratum, NAS) 카운터(COUNT)가 랩 어라운드(wrap around)하려고 하면, AMF는 인증을 트리거하는 것을 결정한다. 또 다른 트리거링 방법에서, 단말 디바이스가 4G 네트워크로부터 5G 네트워크로 이동하고, 단말 디바이스가 5G 네이티브 보안 컨텍스트(5G native security context)를 갖지 않는 경우, AMF는 5G 네이티브 보안 컨텍스트를 획득하기 위해 주 인증 절차를 트리거할 수 있다.
다른 구현에서는, AKA 절차에서, 홈 네트워크 내의 AUSF가 주 인증 절차를 트리거하도록 AMF에 요청할 수 있거나, 홈 네트워크 내의 UDM이 주 인증 절차를 트리거하도록 AMF에 요청할 수 있다. AUSF가 주 인증 절차를 트리거하는 프로세스는 다음을 포함할 수 있다: AUSF는 UE에 대한 초기 인증 절차를 실행하도록 SEAF에 요청하고, SEAF는 주 인증 절차를 개시한다. UDM이 주 인증 절차를 트리거하는 프로세스는 다음을 포함할 수 있다: UDM은 주 인증 절차를 트리거하도록 AMF에 요청하고, AMF는 주 인증 절차를 개시한다.
특정 주 인증 절차에 대해서는, 종래 기술에서의 관련 설명들을 참조한다. 이것은 본 출원에서 제한되지 않으며, 관련 설명들은 다시 설명되지 않는다.
주 인증 절차를 트리거하는 디바이스들의 수량이 증가함에 따라, 주 인증 절차는 무질서해질 수 있다. 예를 들어, AMF가 주 인증 절차를 트리거하는 프로세스에서, UDM은 또한 주 인증 절차를 트리거한다. 이 경우, 주 인증 절차가 자주 실행될 수 있다. 자주 실행되는 주 인증 절차는 사용자에 의해 사용되는 보안 키를 자주 업데이트하고, 잠재적인 실패 위험이 존재한다. 이는 사용자 경험을 악화시킨다. 본 출원은 전술한 문제를 해결하기 위한 방법을 제공한다. 이하에서는 방법을 상세히 설명한다.
본 출원의 실시예들에서, 달리 언급되거나 논리적 충돌이 없는 한, 상이한 실시예들에서의 용어들 및/또는 설명들은 일관되고 상호 참조될 수 있으며, 상이한 실시예들에서의 기술적 특징들은 그의 내부 논리적 관계에 기초하여 조합되어, 새로운 실시예를 형성할 수 있다.
본 출원에서 사용되는 다양한 숫자들은 단지 설명의 용이함을 위해 구별된 것일 뿐이고, 본 출원의 범위를 제한하기 위해 사용되지 않는다는 점이 이해될 수 있다. 전술한 프로세스들의 시퀀스 번호들은 실행 순서를 의미하는 것이 아니며, 프로세스들의 실행 순서들은 프로세스들의 기능들 및 내부 로직에 기초하여 결정되어야 한다.
본 출원의 실시예들에서 설명되는 네트워크 아키텍처 및 서비스 시나리오는 본 출원의 실시예들에서의 기술적 해결책들을 더 명확하게 설명하기 위한 것이며, 본 출원의 실시예들에서 제공되는 기술적 해결책들에 대한 제한을 구성하는 것은 아니다. 본 기술분야의 통상의 기술자는, 네트워크 아키텍처가 진화하고 새로운 서비스 시나리오들이 출현함에 따라, 본 출원의 실시예들에서 제공되는 기술적 해결책들이 유사한 기술적 문제들에도 적용가능하다는 것을 알 수 있다.
도 2는 본 출원의 실시예에 따른 주 인증 방법의 개략적인 흐름도이다. 그 방법은 다음의 단계들을 포함한다.
S201A: AMF는 제1 인증 및 인가 요청 메시지를 제1 AUSF에 전송한다.
SEAF와 AMF가 통합되는 경우, 즉, SEAF가 AMF의 일부인 경우, 도 2의 절차에서, AMF에 의해 수행되는 단계들은 또한, SEAF와 AMF가 통합되는 디바이스에 의해 수행될 수 있다. SEAF가 AMF의 일부가 아닌 경우, 도 2의 절차에서, AMF에 의해 수행되는 단계들은 또한, SEAF에 의해 수행될 수 있다.
제1 인증 및 인가 요청 메시지는 단말 디바이스에 대한 주 인증 절차를 실행하도록 요청하는 데 사용된다. 제1 인증 및 인가 요청 메시지의 특정 명칭은 제한되지 않으며, 예를 들어, Nausf_UEAuthentication_Authenticate Request 메시지일 수 있다.
제1 인증 및 인가 요청 메시지는 단말 디바이스의 가입 은닉 식별자(subscription concealed identifier, SUCI) 또는 가입 영구 식별자(subscription permanent identifier, SUPI), 및 서빙 네트워크 명칭(SN name)을 포함할 수 있다.
AMF는 단말 디바이스에 대한 주 인증 절차를 트리거하는 것을 결정할 때 제1 인증 및 인가 요청 메시지를 전송할 수 있다. AMF가 단말 디바이스에 대한 주 인증 절차를 해제 및 트리거하는 것을 결정하는 방법은 본 출원에서 제한되지 않는다. 예를 들어, 단말 디바이스로부터 등록 요청 메시지를 수신할 때, AMF는 단말 디바이스에 대한 주 인증 절차를 트리거하는 것을 결정할 수 있다. 다른 예를 들어, NAS COUNT가 랩 어라운드하려고 한다고 결정할 때, AMF는 주 인증 절차를 트리거하는 것을 결정한다.
S202A: 제1 AUSF는 인증 획득 요청 메시지를 UDM에 전송한다.
인증 획득 요청 메시지는 Nudm_UEAuthentication_Get Request 메시지와 같은 명칭으로도 지칭될 수 있으며, 인증 획득 요청 메시지는 단말 디바이스의 SUCI 또는 SUPI 및 서빙 네트워크 명칭을 포함할 수 있다.
S203A: UDM은 인증 획득 응답 메시지를 제1 AUSF에 전송한다.
인증 획득 응답 메시지는 Nudm_UEAuthentication_Get Response 메시지와 같은 명칭으로도 지칭될 수 있다. 인증 획득 응답 메시지는 인증 벡터를 포함하고, 인증 벡터는 SUPI에 기초하여 결정된다. 인증 획득 요청 메시지가 SUCI를 포함하는 경우, UDM은 먼저 SUCI에 기초하여 SUPI를 결정하고, 그 후 SUPI에 기초하여 인증 벡터를 결정할 수 있다. 특정 결정 프로세스는 본 출원에서 제한되지 않으며, 상세사항들은 여기서 다시 설명되지 않는다.
추가로, 이 프로세스에서, UDM은 인증 방법을 추가로 선택할 수 있고, 구체적으로, UDM은 인증을 수행하기 위해 5G-AKA 인증 방법을 사용할지 또는 EAP-AKA' 인증 방법을 사용할지를 결정한다. UDM은 SUPI에 기초하여 인증 방법을 결정할 수 있다. 특정 결정 프로세스는 본 출원에서 제한되지 않으며, 상세사항들은 여기서 다시 설명되지 않는다.
S203A에 이어서 주 인증 절차의 특정 프로세스가 이어진다. 주 인증 절차의 특정 프로세스는 본 출원에서 제한되지 않는다. 상세사항들에 대해서는, 5G-AKA 인증 방법 또는 EAP-AKA' 인증 방법의 기존 설명들을 참조한다. 상세사항들은 여기서 다시 설명되지 않는다.
전술한 절차는 AMF가 주 인증 절차를 트리거하는 프로세스를 설명한다. 본 출원의 이 실시예에서, 홈 네트워크 내의 UDM 또는 제2 AUSF는 또한 주 인증 절차를 트리거할 수 있다. 이하에서는, AMF가 단말 디바이스에 대한 주 인증 절차를 트리거하는 프로세스에서 단말 디바이스의 홈 네트워크가 또한 주 인증 절차를 트리거하는 예를 사용하여 설명이 제공된다.
홈 네트워크 내의 홈 네트워크 디바이스는 주 인증 절차를 트리거하는 것을 결정한다. 상세사항들에 대해서는, S201B를 참조한다. 본 출원의 이 실시예에서, S201A 이후에 그리고 S202A 이전에 S202B가 수행될 수 있는 예가 사용된다. 실제 응용에서, 전술한 절차들의 순서는 제한되지 않는다.
S201B: 홈 네트워크 디바이스는 단말 디바이스에 대한 주 인증 절차를 트리거하는 것을 결정한다.
단말 디바이스에 대한 주 인증 절차를 트리거하는 것은 홈 네트워크 디바이스가 단말 디바이스를 인증할 필요가 있다는 것으로도 이해될 수 있다. 단말 디바이스에 대한 주 인증 절차를 실행하는 것은, 단말 디바이스가 실제 또는 유효 단말 디바이스인지 여부를 네트워크 측이 검증할 필요가 있다는 것을 의미한다. 단말 디바이스에 대한 주 인증은 5G-AKA 또는 EAP-AKA' 절차를 실행하는 것에 의해 구현된다. 5G-AKA 또는 EAP-AKA' 절차가 성공적이면, 단말 디바이스에 대한 주 인증은 성공한다. 그렇지 않으면, 단말 디바이스에 대한 주 인증은 실패한다.
홈 네트워크 디바이스는 UDM 또는 제2 AUSF일 수 있다. 제1 AUSF는 네트워크 리포지토리 기능(network repository function, NRF)을 사용하여 AMF에 의해 결정되고, 제2 AUSF는 NRF를 사용하여 UDM에 의해 결정되거나 UDM 내에 저장된 AUSF ID를 사용하여 결정되기 때문에, 제2 AUSF와 제1 AUSF는 동일한 AUSF일 수 있거나, 상이한 AUSF들일 수 있다.
홈 네트워크 디바이스가 UDM인 경우, UDM은, UDM에 저장된 단말 디바이스 컨텍스트 정보에 기초하여, 단말 디바이스를 서빙하고 있는 AMF를 결정할 수 있다. 홈 네트워크 디바이스가 제2 AUSF인 경우, 제2 AUSF는 단말 디바이스를 서빙하고 있는 AMF를 UDM으로부터 요청할 수 있다. 특히, 이 경우, 도 2의 홈 네트워크 디바이스와 UDM은 동일한 디바이스이다.
S202B: 홈 네트워크 디바이스는 제1 인증 요청 메시지를 AMF에 전송한다.
제1 인증 요청 메시지는 주 인증 절차를 트리거하는 데 사용되고, 주 인증 절차는 단말 디바이스에 대한 주 인증을 수행하는 데 사용되거나; 또는 제1 인증 요청 메시지는 단말 디바이스에 대한 주 인증 절차를 트리거하는 데 사용된다. 제1 인증 요청 메시지의 특정 명칭은 제한되지 않으며, 예를 들어, Namff_UEAuthentication_ReAuthenticate Request 메시지일 수 있다.
제1 인증 요청 메시지는 단말 디바이스의 식별자를 포함할 수 있다. 예를 들어, 식별자는 단말 디바이스의 SUPI일 수 있다. 제1 인증 요청 메시지는 단말 디바이스의 서빙 네트워크 명칭(SN name)을 추가로 포함할 수 있다.
홈 네트워크 디바이스가 UDM일 때, 제1 인증 요청 메시지는 UDM에 의해 AMF로 직접 전송될 수 있거나, AUSF에 의해 AMF로 포워딩될 수 있다. 제1 인증 요청 메시지가 AUSF에 의해 포워딩될 때, AUSF는 제1 인증 요청 메시지에 기초하여 새로운 제2 인증 요청 메시지를 생성하고, 제2 인증 요청 메시지를 AMF에 전송할 수 있다. 제2 인증 요청 메시지는 또한 주 인증 절차를 트리거하는 데 사용된다. 제2 인증 요청 메시지는 단말 디바이스의 식별자 및 단말 디바이스의 서빙 네트워크 명칭과 같은 정보를 포함할 수 있다.
홈 네트워크 디바이스가 제2 AUSF일 때, 제1 인증 요청 메시지는 제2 AUSF에 의해 AMF로 직접 전송될 수 있거나, UDM에 의해 AMF로 포워딩될 수 있다. 제1 인증 요청 메시지가 UDM에 의해 포워딩될 때, UDM은 제1 인증 요청 메시지에 기초하여 새로운 제2 인증 요청 메시지를 생성하고, 제2 인증 요청 메시지를 AMF에 전송할 수 있다.
S203B: 제1 인증 요청 메시지 또는 제2 인증 요청 메시지를 수신한 후에, AMF는 단말 디바이스에 대한 주 인증 절차를 트리거할지 여부를 결정한다.
AMF는 제1 인증 요청 메시지 또는 제2 인증 요청 메시지의 SUPI에 기초하여 단말 디바이스를 결정한다.
선택적으로, AMF는 AMF가 단말 디바이스를 서빙하고 있는 AMF인지를 결정한다. 예를 들어, AMF는, SUPI에 기초하여, SUPI에 대응하는 이동성 관리 컨텍스트 정보가 획득될 수 있는지 여부를 체크한다. AMF가 이동성 관리 컨텍스트 정보를 획득할 수 없는 경우, AMF는 주 인증 절차를 시작하는 것을 거부한다. 주 인증 절차를 실행하는 것은, AMF가 단말 디바이스에 대한 인증 요청 메시지를 AUSF(AUSF는 여기서 제1 AUSF, 제2 AUSF, 또는 다른 AUSF일 수 있음)에 전송하여, 단말 디바이스에 대한 주 인증 절차를 실행하도록 요청하는 것을 의미할 수 있다. 인증 요청 메시지를 수신한 후, AUSF는 UDM으로부터 인증 벡터를 요청한다. 상세사항들에 대해서는, 5G-AKA 인증 방법 또는 EAP-AKA' 인증 방법에서의 설명들을 참조한다. 상세사항들은 여기서 다시 설명되지 않는다.
본 출원에서, AMF가 단말 디바이스에 대한 주 인증 절차를 트리거하는 것을 결정하는 경우, 이는 AMF가 단말 디바이스에 대한 주 인증 절차를 명확히 트리거한다는 것을 의미하지는 않는다. 단말 디바이스에 대한 주 인증 절차를 트리거하기 위한 복수의 조건이 존재할 수 있다. AMF가, 제1 인증 요청 메시지 또는 제2 인증 요청 메시지에 기초하여, 주 인증 절차를 트리거할지 여부를 결정하는 것은 복수의 조건 중 하나일 뿐이다. AMF는, 다른 주 인증 트리거링 또는 실행 조건을 참조하여, 단말 디바이스에 대한 주 인증 절차를 트리거할지 여부를 추가로 결정할 수 있다. 제1 인증 요청 메시지 또는 제2 인증 요청 메시지를 수신한 후에, AMF가 단말 디바이스에 대한 주 인증 절차를 트리거하는 것을 결정하지만, 주 인증 절차를 트리거하기 위한 다른 조건이 충족되지 않으면, AMF는 단말 디바이스에 대한 주 인증 절차를 실행하지 않을 수 있다.
AMF가 단말 디바이스에 대한 주 인증 절차를 트리거할지 여부를 구체적으로 결정하는 방법에 대한 복수의 구현이 존재할 수 있다. 예를 들어, 제1 구현에서, AMF가, 단말 디바이스의 식별자에 기초하여, 미리 설정된 지속기간 내에 단말 디바이스에 대해 주 인증 절차가 트리거되었다고 결정할 수 있다면, AMF는 주 인증 절차의 트리거링을 거부하는 것을 결정할 수 있다.
예를 들어, AMF는 단말 디바이스에 대한 주 인증이 성공하는 시간을 매번 기록할 수 있다. 예를 들어, AMF가 인증이 성공한 것을 표시하는 주 인증 결과를 포함하는 응답 메시지를 수신할 때마다, AMF는 응답 메시지가 수신되는 시간을 주 인증이 성공한 시간으로서 기록한다. AMF는 주 인증이 성공한 시간과 단말 디바이스의 식별자 사이의 연관 관계를 확립(establish)하여, 단말 디바이스의 식별자에 기초하여, 매번 단말 디바이스에 대한 주 인증이 성공한 시간을 결정할 수 있다.
AMF가, 단말 디바이스에 대한 이전의 주 인증이 성공한 시간에 기초하여, 주 인증 절차를 시작할지 여부를 결정하는 복수의 구현이 존재할 수 있다. 예를 들어, 단말 디바이스에 대한 이전의 주 인증이 성공한 제1 시간과 제1 인증 요청 메시지가 수신된 제2 시간 사이의 차이의 절대 값이 미리 설정된 지속기간 이하라고 결정하면, AMF는 단말 디바이스에 대한 주 인증 절차의 트리거링을 거부할 수 있다. 차이의 절대 값이 미리 설정된 지속기간보다 더 큰 경우, AMF는 주 인증 절차를 시작하는 것을 결정할 수 있다. 미리 설정된 지속기간은 AMF에 의해 결정될 수 있거나, 프로토콜에서 합의될 수 있다. 주 인증 절차를 시작하는 것은, AMF가 단말 디바이스에 대한 인증 요청 메시지를 AUSF에 전송하는 것으로서 이해될 수 있다. 주 인증 절차를 시작하는 것을 거부하는 것 또는 단말 디바이스에 대한 주 인증 절차를 시작하는 것을 스킵하는 것은, AMF가 단말 디바이스에 대한 인증 요청 메시지를 AUSF에 전송하지 않는 것으로서 이해될 수 있다.
주 인증 절차는 단말 디바이스의 키 아키텍처에 영향을 미치고 단말 디바이스에 의해 사용중인 키를 업데이트한다. 주 인증 절차가 과도하게 자주 개시되는 경우, 사용자 경험이 영향을 받고, 통신 효율이 감소된다. 전술한 방법에 따르면, 홈 네트워크가 단말 디바이스에 대한 주 인증 절차를 자주 트리거하는 것이 회피될 수 있다. 이는 사용자 경험 및 통신 효율을 개선한다.
제2 구현에서, AMF는 홈 네트워크 디바이스가 주 인증 절차를 실행하도록 트리거 또는 요청할 권한이 있는지 여부를 결정한다. 홈 네트워크 디바이스가 주 인증 절차를 트리거할 권한이 없다고 결정하면, AMF는 주 인증 절차의 트리거링 또는 요청을 거부하는 것을 결정한다. 홈 네트워크 디바이스가 주 인증 절차를 트리거할 권한이 있다고 결정하면, AMF는 주 인증 절차가 트리거 또는 요청될 수 있다고 결정한다.
예를 들어, AMF는, 단말 디바이스의 식별자에 기초하여, 홈 네트워크 디바이스가 주 인증 절차를 트리거할 권한이 있는지 여부를 결정할 수 있다. 예를 들어, AMF는 단말 디바이스의 식별자에 기초하여 단말 디바이스의 가입 데이터를 결정하고, 가입 데이터에 기초하여, 홈 네트워크 디바이스가 주 인증 절차를 트리거할 권한이 있는지 여부를 결정할 수 있다. 가입 데이터는, 단말 디바이스가 로밍의 스티어링(steering of roaming, SoR) 절차, 사용자 장비 파라미터 업데이트(UE parameter update, UPU) 절차, 및 애플리케이션들에 대한 인증 및 키 관리(authentication and key management for applications, AKMA) 절차 중 하나 이상을 지원하는지를 표시할 수 있다.
단말 디바이스의 가입 데이터가, 단말 디바이스가 SoR 절차, UPU 절차, 및 AKMA 절차 중 하나 이상을 지원함을 표시하면, 홈 네트워크 디바이스는 주 인증 절차를 트리거 또는 요청할 권한이 있다고 결정될 수 있으며, 단말 디바이스에 대한 주 인증을 트리거하는 것이 결정될 수 있다.
단말 디바이스의 가입 데이터가, 단말 디바이스가 SoR 절차, UPU 절차, 및 AKMA 절차를 지원하지 않음을 표시하면, 홈 네트워크 디바이스는 주 인증 절차를 트리거 또는 요청할 권한이 없다고 결정될 수 있으며, 단말 디바이스에 대한 주 인증 절차의 트리거링을 거부하는 것이 결정될 수 있다.
다른 예로서, AMF는 단말 디바이스에 대응하는 홈 네트워크가 홈 네트워크 디바이스가 위치한 네트워크와 일치하는지 여부를 결정하며, 예를 들어, UDM/AUSF에 관한 국부적으로 저장된 정보 또는 SUPI에서 운반되는 모바일 국가 코드(mobile country code, MCC) 및 모바일 네트워크 코드(mobile network code, MNC)에 관한 정보가 제1 인증 요청 메시지의 전송자에 대응하는 MCC 및 MNC와 일치하는지 여부를 결정한다.
단말 디바이스에 대응하는 홈 네트워크가 홈 네트워크 디바이스가 위치하는 네트워크와 동일하면, 단말 디바이스에 대한 주 인증을 트리거하는 것이 결정될 수 있다. 단말 디바이스에 대응하는 홈 네트워크가 홈 네트워크 디바이스가 위치하는 네트워크와 상이하면, 단말 디바이스에 대한 주 인증의 트리거링을 거부하는 것이 결정될 수 있다.
제3 구현에서, AMF는, 단말 디바이스의 식별자에 기초하여, 단말 디바이스에 대해 주 인증 절차가 실행중인지 여부를 결정하여, 주 인증 절차의 트리거링을 거부할지 여부를 결정할 수 있다. 단말 디바이스에 대해 실행중인 주 인증 절차가 존재하는 경우, AMF는 주 인증 절차의 트리거링을 시작하는 것을 거부할 수 있다. 주 인증 절차가 존재하지 않는 경우, AMF는 주 인증 절차를 시작하는 것을 결정할 수 있다.
구체적으로, AMF가 단말 디바이스에 대한 인증 절차를 트리거했지만 대응하는 인증 결과를 수신하지 못한 경우, AMF는 단말 디바이스에 대해 주 인증 절차가 실행중이라고 결정한다. AMF가 단말 디바이스에 대한 인증 절차를 트리거했고 대응하는 인증 결과를 수신한 경우, AMF는 단말 디바이스에 대해 주 인증 절차가 실행되지 않는다고 결정한다.
예를 들어, 제1 인증 요청 메시지를 수신할 때, AMF는, 단말 디바이스의 식별자에 기초하여, S201A에서 제1 인증 및 인가 요청 메시지에 대응하는 단말 디바이스에 대해 주 인증 절차가 실행중이라고 결정하고, AMF는 주 인증 절차를 시작하는 것을 거부할 수 있다.
또한, AMF가 단말 디바이스에 대한 주 인증을 트리거할지 여부를 결정할 때, 제1 구현 내지 제3 구현 중 적어도 하나가 사용될 수 있다.
전술한 것은 단지 예일 뿐이며, 단말 디바이스에 대한 주 인증을 트리거할지 여부를 결정하는 또 다른 방식이 있을 수 있다. 예를 들어, AMF는 단말 디바이스에 대한 타이머를 설정할 수 있고, 단말 디바이스의 타이머가 만료될 때마다, 단말 디바이스는 등록해제 상태에 진입할 수 있게 될 수 있다. 제1 인증 요청 메시지를 수신할 때, AMF는 단말 디바이스의 타이머가 만료되려고 하는지 여부를 결정한다. 단말 디바이스의 타이머가 만료되려고 하는 경우, AMF는 주 인증 절차를 시작하는 것을 거부한다. 단말 디바이스의 타이머가 만료되려고 하지 않는 경우, AMF는 주 인증 절차를 시작한다.
선택적으로, S204B: AMF는 제1 인증 응답 메시지를 홈 네트워크 디바이스에 전송한다.
제1 인증 응답 메시지는 Namff_UEAuthentication_ReAuthenticate Response 메시지 등으로도 지칭될 수 있다. 제1 인증 응답 메시지의 특정 명칭이 본 출원에서 제한되는 것은 아니다.
홈 네트워크 디바이스가 UDM이고 UDM이 S201B를 수행할 때, 다시 말해서, UDM이 주 인증을 트리거할 때, AMF는 제1 인증 응답 메시지를 전송하지 않을 수 있다. 이는 UDM이 단말 디바이스의 상태를 추적할 필요가 없고, 단말 디바이스에 대한 인증 벡터만을 제공하기 때문이다. UDM이 단말 디바이스에 대한 인증이 성공했는지 여부를 추적할 필요가 있다면, AMF는 제1 인증 응답 메시지를 전송할 필요가 있다. 다시 말해서, UDM에 의해 트리거된 인증이 반복된 인증 또는 다른 이유로 인해 취소된 것을 UDM이 알게 되면, UDM은 단말 디바이스 컨텍스트 정보를 삭제한다.
구현에서, AMF가 단말 디바이스에 대한 주 인증 절차를 시작하는 것을 거부하는 경우, 제1 인증 응답 메시지는 제1 거부 원인 정보를 포함할 수 있고, 제1 거부 원인 정보는 AMF가 단말 디바이스에 대한 주 인증 절차를 시작하는 것을 거부하는 원인을 표시할 수 있거나, 또는 제1 거부 원인 정보는 AMF가 주 인증 절차의 트리거링을 거부하는 원인을 표시한다. 예를 들어, 제1 거부 원인 정보에 의해 표시된 원인은, 주 인증 절차가 다른 디바이스에 의해 현재 트리거되거나, 또는 미리 설정된 지속기간 내에 단말 디바이스에 대해 주 인증 절차가 실행되었다는 것이다. UDM이 제1 인증 응답 메시지를 수신하고, 제1 거부 원인 정보에 기초하여, UE에 대해 인증이 수행될 수 없다고 결정한 후에, UDM은 현재의 UE 컨텍스트 정보를 계속 사용한다. 다시 말해서, UDM은, UDM에 의한 UE에 대한 주 인증 수행의 실패로 인해, UE가 네트워크를 계속 사용할 수 없다는 점을 고려하지 않는다. 예를 들어, UDM은 UE 컨텍스트 정보를 삭제하지 않거나, UDM은 등록해제 절차를 개시하지 않는다. 제1 거부 원인 정보를 수신한 후에, UDM은 원인 정보에 기초하여 추가 처리를 수행할 수 있다. 예를 들어, 거부 원인이 주 인증에 대한 시간이 너무 짧다는 것이면, UDM은 타이머를 시작하고, 타이머가 만료된 후에 주 인증 절차를 다시 트리거할 수 있다. 다른 예로서, 거부 원인이 다른 디바이스에 의해 트리거된 주 인증 절차가 존재한다는 것이면, UDM은 어떠한 후속 처리도 수행하지 않을 수 있다.
다른 구현에서, AMF가 단말 디바이스에 대한 주 인증 절차를 시작하는 것을 결정하는 경우, 선택적으로, 제1 인증 응답 메시지는 트리거 표시 정보를 포함할 수 있고, 트리거 표시 정보는 단말 디바이스에 대한 주 인증 절차를 실행하는 것을 표시한다.
전술한 방법에 따르면, 홈 네트워크 내의 홈 네트워크 디바이스가 단말 디바이스에 대한 주 인증 절차를 트리거할 때, AMF는 홈 네트워크 디바이스에 의해 트리거된 요청을 수락할지 여부를 결정한다. 충돌이 있을 때, AMF는 단말 디바이스에 대한 주 인증 절차의 시작을 스킵하는 것을 결정할 수 있어, 인증 효율을 개선할 수 있다.
본 출원의 이 실시예에서, AMF가 단말 디바이스에 대한 주 인증 절차를 트리거하는 것을 결정할 때, AMF는 단말 디바이스에 대한 주 인증 절차를 시작할 수 있으며, 예를 들어, S201A를 수행할 수 있다. AMF, 제2 AUSF 및 UDM은 5G-AKA 인증 방법 또는 EAP-AKA' 인증 방법을 사용하여 단말 디바이스에 대한 주 인증을 수행할 수 있다. 특정 프로세스가 다시 설명되지 않는다.
본 출원의 이 실시예에서, AMF가 단말 디바이스에 대한 주 인증 절차의 트리거링을 거부할 때, S201B가 제2 AUSF에 의해 수행되는 경우, 거부 원인 정보를 수신한 후에, 제2 AUSF는 주 인증 절차가 이미 실행되었다고 결정한다. 제2 AUSF와 제1 AUSF가 동일한 AUSF가 아니면, 제2 AUSF는 S201A에서 메시지를 수신하지 않는다. 이 경우, 제2 AUSF는 UDM이 통지 메시지를 전송하기를 기다릴 수 있고, 여기서 통지 메시지는 제2 ASUF에게 단말 디바이스의 보안 컨텍스트 메시지를 삭제하도록 표시한다.
구체적으로, 제2 AUSF는 타이머를 시작할 수 있고, 타이머의 타이밍 지속기간은 프로토콜에서 미리 정의될 수 있거나, 제2 AUSF에 의해 결정될 수 있다. 타이머가 만료되면, 제2 AUSF가 단말 디바이스의 보안 컨텍스트 정보를 삭제하도록 표시하는 통지 메시지를 수신하지 않은 경우, 제2 AUSF는 인증 요청 절차를 다시 트리거할 수 있거나, 제2 AUSF는 단말 디바이스의 보안 컨텍스트 정보를 능동적으로 삭제한다.
선택적으로, 제2 AUSF가 단말 디바이스의 보안 컨텍스트 정보를 능동적으로 삭제하기 전에 또는 그 후에, 제2 AUSF는 UDM에 메시지를 전송하여, 제2 AUSF가 단말 디바이스의 보안 컨텍스트 정보를 삭제했음을 UDM에 통지할 수 있다. 상세사항들에 대해서는, 도 3에 도시된 절차를 참조한다.
제2 AUSF는 단말 디바이스에 대한 인증 절차를 실행했다는 것이 이해될 수 있다. 따라서, 제2 AUSF는 단말 디바이스의 보안 컨텍스트, 예를 들어, 단말 디바이스의 SUPI 및 대응하는 KAUSF 및 SoR Counter를 저장한다. SoR Counter가 랩 어라운드하려고 하면, 제2 AUSF는 단말 디바이스에 대한 주 인증 절차를 트리거하는 것을 결정한다. 위에서 설명한 바와 같이, 제2 AUSF는 제1 인증 요청 메시지를 AMF에 직접 전송하거나, 메시지를 UDM에 먼저 전송할 수 있고, UDM은 제1 인증 요청 메시지를 포워딩하거나 제2 인증 요청 메시지를 AMF에 전송한다. AMF가 제1 인증 요청 메시지 또는 제2 인증 요청 메시지를 수신할 때, AMF가 단말 디바이스에 대한 인증 절차를 실행중인 경우, 제1 AUSF가 사용되고, 단말 디바이스는 그 절차에서 성공적으로 인증되고, 새로운 보안 컨텍스트가 생성되고, 제2 AUSF에 저장된 단말 디바이스의 보안 컨텍스트는 구식이 된다. 제2 AUSF는 단말 디바이스에 대한 주 인증 절차가 실행중인 것을 감지할 수 없고, 제2 AUSF는 거부 원인 값을 수신하기 때문에, 제2 AUSF는 단말 디바이스의 국부적으로 저장된 보안 컨텍스트를 삭제할 필요가 있다.
도 3은 본 출원의 실시예에 따른 통신 방법의 개략적인 흐름도이다. 그 방법은 다음의 단계들을 포함한다.
S301: 제2 AUSF는 단말 디바이스의 보안 컨텍스트 정보를 삭제한다.
보안 컨텍스트 정보에 포함된 내용은 제한되지 않는다. 예를 들어, 보안 컨텍스트 정보는 보안 키 Kausf를 포함할 수 있다.
위에서 설명한 바와 같이, 제2 AUSF는 UDM으로부터의 제2 통지 메시지가 수신되지 않은 것으로 결정할 때 단말 디바이스의 보안 컨텍스트 정보를 삭제할 수 있다. 제2 통지 메시지는 단말 디바이스의 보안 컨텍스트 정보를 삭제하도록 제2 AUSF에 표시한다.
S302: 제2 AUSF는 제1 통지 메시지를 UDM에 전송하고, 여기서 제1 통지 메시지는 제2 AUSF에 저장된 단말 디바이스의 보안 컨텍스트 정보를 삭제하는 것을 제2 AUSF에 통지한다.
S301과 S302의 실행 순서는 제한되지 않는다.
제1 통지 메시지는 단말 디바이스의 식별자 및 거부 원인 정보를 포함할 수 있고, 단말 디바이스의 식별자는 단말 디바이스의 SUPI일 수 있다.
S303: UDM은 제1 통지 응답 메시지를 제2 AUSF에 전송한다.
제2 AUSF가 단말 디바이스의 보안 컨텍스트 정보를 저장한 경우, UDM은 제2 AUSF의 식별자를 저장하여, SoR 절차 또는 UPU 절차에 대한 제2 AUSF를 찾고, 제2 AUSF에 저장된 보안 컨텍스트 정보, 예를 들어, Kausf를 사용한다. 제2 AUSF가 단말 디바이스에 대한 주 인증을 개시하는 경우, 이는 단말 디바이스의 보안 컨텍스트 정보가 더 이상 사용될 수 없음을 표시한다. 따라서, 제2 AUSF는 제2 AUSF의 식별자를 삭제하는 것을 UDM에 통지할 필요가 있다. 따라서, 제1 통지 메시지를 수신한 후에, UDM은 제2 AUSF의 식별자를 삭제한다.
본 출원의 이 실시예에서, 2가지 주 인증 절차가 동시에 트리거되는 경우, 2가지 주 인증 절차는 대안적으로 순차적으로 실행될 수 있다. 상세사항들은 아래에서 설명된다.
도 4는 본 출원의 실시예에 따른 주 인증 방법의 개략적인 흐름도이다. 그 방법은 다음의 단계들을 포함한다.
S401: AMF는 제1 인증 및 인가 요청 메시지를 제1 AUSF에 전송한다.
S401에서, AMF는 제1 인증 및 인가 요청 메시지를 전송함으로써 단말 디바이스에 대한 주 인증 절차를 트리거한다. S401의 특정 내용에 대해서는, S201A에서의 설명들을 참조한다. 상세사항들은 여기서 다시 설명되지 않는다.
S402: 홈 네트워크 디바이스는 단말 디바이스에 대한 주 인증 절차를 트리거하는 것을 결정한다.
홈 네트워크 디바이스는 UDM 또는 제2 AUSF일 수 있다. 특히, 홈 네트워크 디바이스가 UDM인 경우, 도 4의 홈 네트워크 디바이스와 UDM은 동일한 디바이스이다.
S403: 홈 네트워크 디바이스는 제1 인증 요청 메시지 또는 제2 인증 요청 메시지를 AMF에 전송한다.
제1 인증 요청 메시지는 홈 네트워크 디바이스에 의해 AMF에 직접 전송되는 메시지일 수 있고, 제2 인증 요청 메시지는 홈 네트워크 디바이스에 의해 AUSF를 사용하여 AMF에 전송되는 메시지일 수 있다. 2개의 메시지의 기능은 유사할 수 있고, 운반된 정보는 동일할 수 있다.
제1 인증 요청 메시지 또는 제2 인증 요청 메시지를 수신한 후에, AMF는 단말 디바이스에 대해 주 인증 절차가 트리거될 필요가 있다고 결정할 수 있다. AMF가 S401에서 트리거된 인증 절차가 실행중이라고 결정하기 때문에, AMF는 제1 인증 요청 메시지 또는 제2 인증 요청 메시지에 기초하여 단말 디바이스에 대한 주 인증 절차를 트리거하는 것을 중단할 수 있다.
그 후, 예를 들어, 단말 디바이스에 대해 AMF, 제1 AUSF 및 UDM에 의해 실행되는 주 인증 절차는 다음을 포함할 수 있다:
구현 방법에서, S404: AMF는 제2 인증 및 인가 요청 메시지를 제1 AUSF에 전송할 수 있다.
제2 인증 및 인가 요청 메시지 및 운반된 정보의 기능에 대해서는, 제1 인증 및 인가 요청 메시지의 전술한 설명들을 참조한다. 상세사항들은 여기서 다시 설명되지 않는다.
구현 방법에서, AMF 또는 SEAF는 단지 주 인증 절차를 완료하기 때문에, AMF 또는 SEAF는 제1 AUSF에 대해 주 인증 절차를 다시 개시할 수 있다. 이 방법은 다른 AUSF에 대해 AMF 또는 SEAF에 의해 주 인증 절차를 개시함으로써 야기되는 보안 컨텍스트 삭제 문제를 회피할 수 있다.
다른 구현 방법에서, AMF는 제2 인증 및 인가 요청 메시지를 다른 AUSF에 전송한다.
S405: 제1 AUSF는 인증 획득 요청 메시지를 UDM에 전송한다.
S406: UDM은 인증 획득 응답 메시지를 제1 AUSF에 전송한다.
S406 후에, 다른 단계가 추가로 포함된다. 상세사항들에 대해서는, 5G-AKA 인증 방법 또는 EAP-AKA' 인증 방법의 기존 설명들을 참조한다. 상세사항들은 여기서 다시 설명되지 않는다.
S201에서 트리거된 주 인증 절차의 인증 결과를 수신한 후에, AMF/SEAF는 S401에서 트리거된 주 인증 절차를 복원(restore)한다. S401에서 트리거된 주 인증 절차가 최종적으로 인증에 성공하면, S401에서 트리거된 주 인증 절차에서 생성된 보안 컨텍스트 정보는 S201에서 트리거된 주 인증 절차에서 생성된 보안 컨텍스트 정보를 대체한다.
도 2에 도시된 절차에서, 홈 네트워크 디바이스가 단말 디바이스에 대한 주 인증 절차를 트리거하는 것을 결정할 때, AMF는 주 인증 절차를 거부할지 여부를 결정한다. 본 출원의 이 실시예에서, UDM은 대안적으로 홈 네트워크 디바이스에 의해 트리거된 주 인증 절차를 거부할지 여부를 결정할 수 있다. 상세사항들은 아래에서 설명된다.
도 5는 본 출원의 실시예에 따른 주 인증 방법의 개략적인 흐름도이다. 그 방법은 다음의 단계들을 포함한다.
S501A: AMF는 제1 인증 및 인가 요청 메시지를 제1 AUSF에 전송한다.
S502A: 제1 AUSF는 인증 획득 요청 메시지를 UDM에 전송한다.
S503A: UDM은 인증 획득 응답 메시지를 제1 AUSF에 전송한다.
S501A 내지 S503A의 특정 내용에 대해서는, S201A 내지 S203A의 설명들을 참조한다. 상세사항들은 여기서 다시 설명되지 않는다.
S503A에 이어서 주 인증 절차가 이어진다. 주 인증 절차의 특정 프로세스는 본 출원에서 제한되지 않는다. 상세사항들에 대해서는, 5G-AKA 인증 방법 또는 EAP-AKA' 인증 방법의 기존 설명들을 참조한다. 상세사항들은 여기서 다시 설명되지 않는다.
전술한 절차는 AMF가 주 인증 절차를 트리거하는 프로세스를 설명한다. 본 출원의 이 실시예에서, 홈 네트워크 내의 UDM 또는 제2 AUSF는 또한 주 인증 절차를 트리거할 수 있다. 이하에서는, AMF가 단말 디바이스에 대한 주 인증 절차를 트리거하는 프로세스에서 단말 디바이스의 홈 네트워크가 또한 주 인증 절차를 트리거하는 예를 사용하여 설명이 제공된다.
홈 네트워크 내의 홈 네트워크 디바이스는 주 인증 절차를 트리거하는 것을 결정한다고 가정된다. 상세사항들에 대해서는, 다음의 절차를 참조한다.
S501B: 홈 네트워크 디바이스는 단말 디바이스에 대한 주 인증 절차를 트리거하는 것을 결정한다.
홈 네트워크 디바이스는 UDM 또는 제2 AUSF일 수 있다. 특히, 홈 네트워크 디바이스가 UDM인 경우, 도 5의 홈 네트워크 디바이스와 UDM은 동일한 디바이스이다.
S502B: 홈 네트워크 디바이스는 제1 인증 요청 메시지를 AMF에 전송한다.
제1 인증 요청 메시지는 단말 디바이스에 대한 주 인증 절차를 트리거하는 데 사용된다.
S502B의 내용에 대해서는, S202B에서의 설명들을 참조한다. 상세사항들은 여기서 다시 설명되지 않는다.
S501B 및 S502B는 S501A에서 트리거된 주 인증 절차의 프로세스에서 수행될 수 있다. 이 프로세스에서, 제1 인증 요청 메시지를 수신한 후에, AMF는 주 인증 절차를 즉시 트리거할 수 있거나, 또는 제1 인증 요청 메시지의 처리를 일시적으로 스킵할 수 있지만, S501A에서 트리거된 주 인증 절차가 완료된 후에 제1 인증 요청 메시지를 처리할 수 있다.
S503B: AMF는 제2 메시지를 제3 AUSF에 전송한다.
위에서 설명한 바와 같이, 제2 메시지는 S501A에서 트리거된 주 인증 절차가 완료된 후에 전송될 수 있다.
제2 메시지는 제1 인증 요청 메시지에 응답한 메시지이다. 제2 메시지는 단말 디바이스의 식별자 및 서빙 네트워크 명칭을 포함할 수 있고, 단말 디바이스의 식별자는 SUPI일 수 있다. 제2 메시지는 제2 정보를 추가로 포함할 수 있고, 제2 정보는 제2 메시지가 제1 인증 요청 메시지에 응답한 메시지임을 표시한다.
제2 메시지는 Nausf_UEAuthentication_Authenticate Request 메시지 등으로도 지칭될 수 있다. 제2 메시지의 명칭은 본 출원에서 제한되지 않는다.
제3 AUSF는 단말 디바이스의 식별자에 기초하여 AMF에 의해 결정된다. 제3 AUSF와 제1 AUSF는 동일한 AUSF일 수 있거나, 상이한 AUSF들일 수 있다. 제3 AUSF와 제2 AUSF는 동일한 AUSF일 수 있거나, 상이한 AUSF들일 수 있다.
S504B: 제3 AUSF는 제1 메시지를 UDM에 전송한다.
제1 메시지는 단말 디바이스의 식별자 및 서빙 네트워크 명칭을 포함할 수 있다. 제1 메시지는 제1 정보를 추가로 포함할 수 있고, 제1 정보는 제1 메시지가 제1 인증 요청 메시지에 응답한 메시지임을 표시한다. 제1 메시지는 제1 인증 벡터를 요청하는 데 사용될 수 있다.
제1 메시지는 Nudm_UEAuthentication_Get Request 메시지로도 지칭될 수 있다. 제1 메시지의 명칭은 본 출원에서 제한되지 않는다.
S505B: UDM은 단말 디바이스에 대한 주 인증 절차를 계속할지 여부를 결정한다.
다시 말해서, UDM은 제1 인증 벡터를 반환할지 여부를 결정한다. UDM이 제1 인증 벡터를 반환하는 경우, 이는 단말 디바이스에 대해 주 인증 절차가 계속 실행됨을 표시한다. UDM이 제1 인증 벡터의 반환을 거부하는 경우, 이는 단말 디바이스에 대해 주 인증 절차가 계속 실행되지 않음을 표시한다.
본 출원에서, UDM이 단말 디바이스에 대한 주 인증 절차를 계속하는 것을 결정하는 경우, 이는 UDM이 단말 디바이스에 대한 주 인증 절차를 명확히 실행한다는 것을 표시하지는 않는다. 단말 디바이스에 대한 주 인증 절차를 계속하는 것을 결정하기 위한 복수의 조건이 존재할 수 있다. UDM은, 다른 주 인증 트리거링 또는 실행 조건을 참조하여, 단말 디바이스에 대한 주 인증 절차를 실행할지 여부를 추가로 결정할 수 있다. 제1 메시지를 수신한 후에, UDM이 단말 디바이스에 대한 주 인증 절차를 계속하는 것을 결정하지만, 다른 조건이 충족되지 않으면, UDM은 단말 디바이스에 대한 주 인증 절차를 실행하지 않을 수 있다.
UDM이 단말 디바이스에 대한 주 인증 절차를 계속할지 여부를 구체적으로 결정하는 방법에 대한 복수의 구현이 존재할 수 있다. 예를 들어, 제1 구현에서, UDM이, 단말 디바이스의 식별자에 기초하여, 미리 설정된 지속기간 내에 단말 디바이스에 대해 주 인증 절차가 트리거되었다고 결정할 수 있다면, UDM은 주 인증 절차의 트리거링을 거부하는 것을 결정할 수 있다.
예를 들어, UDM은 단말 디바이스에 대한 주 인증이 성공하는 시간을 매번 기록할 수 있다. 예를 들어, UDM이 인증이 성공한 것을 표시하는 주 인증 결과를 포함하는 응답 메시지를 수신할 때마다, UDM은 응답 메시지가 수신되는 시간을 주 인증이 성공한 시간으로서 기록한다. UDM은 주 인증이 성공한 시간과 단말 디바이스의 식별자 사이의 연관 관계를 확립하여, 단말 디바이스의 식별자에 기초하여, 매번 단말 디바이스에 대한 주 인증이 성공한 시간을 결정할 수 있다. UDM은, 단말 디바이스에 대한 이전의 주 인증이 성공한 시간에 기초하여, 단말 디바이스에 대한 주 인증을 계속 수행할지 여부를 결정하거나, 제1 인증 벡터를 반환할지 여부를 결정한다.
구체적으로, UDM이 단말 디바이스에 대한 이전의 주 인증이 완료된 제1 시간과 제1 인증 요청 메시지가 수신된 제2 시간 사이의 차이의 절대 값이 미리 설정된 지속기간 이하라고 결정하면, UDM은 단말 디바이스에 대한 주 인증 절차를 계속하는 것을 거부할 수 있거나, 제1 인증 벡터의 반환을 거부하는 것을 결정할 수 있다. 차이의 절대 값이 미리 설정된 지속기간보다 더 큰 경우, UDM은 단말 디바이스에 대한 주 인증을 계속 수행하는 것을 결정하거나, 제1 인증 벡터를 반환하는 것을 결정할 수 있다. 미리 설정된 지속기간은 UDM에 의해 결정될 수 있거나, 프로토콜에서 합의될 수 있다.
주 인증 절차는 단말 디바이스의 키 아키텍처에 영향을 미치고 단말 디바이스에 의해 사용중인 키를 업데이트한다. 주 인증 절차가 과도하게 자주 개시되는 경우, 사용자 경험이 영향을 받고, 통신 효율이 감소된다. 전술한 방법에 따르면, 홈 네트워크가 단말 디바이스에 대한 주 인증 절차를 자주 트리거하는 것이 회피될 수 있다. 이는 사용자 경험 및 통신 효율을 개선한다.
제2 구현에서, UDM은, 단말 디바이스의 식별자에 기초하여, 단말 디바이스에 대해 주 인증 절차가 실행중인지 여부를 결정하여, 주 인증 절차의 트리거링을 거부할지 여부를 결정할 수 있다. 단말 디바이스에 대해 실행중인 주 인증 절차가 존재하는 경우, UDM은 단말 디바이스에 대한 주 인증의 트리거링을 다시 거부할 수 있다. 단말 디바이스에 대해 실행되는 주 인증 절차가 없는 경우, UDM은 단말 디바이스에 대한 주 인증을 트리거하는 것을 결정할 수 있다.
구체적으로, UDM이 단말 디바이스에 대한 인증 절차를 트리거했지만 대응하는 인증 결과를 수신하지 못한 경우, UDM은 단말 디바이스에 대해 주 인증 절차가 실행중이라고 결정한다. UDM이 단말 디바이스에 대한 인증 절차를 트리거했고 대응하는 인증 결과를 수신한 경우, UDM은 단말 디바이스에 대해 주 인증 절차가 실행되지 않는다고 결정한다.
예를 들어, 제1 인증 요청 메시지를 수신할 때, UDM은, 단말 디바이스의 식별자에 기초하여, S501A에서 제1 인증 및 인가 요청 메시지에 의해 트리거된 주 인증 절차가 실행중이라고 결정하고, UDM은 단말 디바이스에 대한 주 인증을 트리거하는 것을 거부할 수 있다. 구체적으로, 사용자 데이터 관리 디바이스가 단말 디바이스에 대한 인증을 수행하는 데 사용되는 제2 인증 벡터를 전송했을 때, 제2 인증 벡터에 대응하는 인증 결과 확인 메시지가 수신되지 않은 것으로 결정하면, 사용자 데이터 관리 디바이스는 단말 디바이스에 대해 주 인증 절차가 실행중이라고 결정한다.
전술한 것은 단지 예일 뿐이며, 단말 디바이스에 대한 주 인증을 트리거할지 여부를 결정하는 또 다른 방식이 있을 수 있다. 상세사항들에 대해서는, S203B에서의 설명들을 참조한다. 상세사항들은 여기서 다시 설명되지 않는다.
선택적으로, S506B: UDM은 제1 응답 메시지를 제3 AUSF에 전송한다.
제1 응답 메시지는 Nausf_UEAuthentication_Authenticate Response 메시지 등으로도 지칭될 수 있다. 제1 응답 메시지의 특정 명칭은 본 출원에서 제한되지 않는다.
구현에서, UDM이 단말 디바이스에 대한 주 인증 절차의 트리거링을 거부하는 경우, 제1 응답 메시지는 제2 거부 원인 정보를 포함할 수 있고, 제2 거부 원인 정보는 제1 인증 벡터의 반환을 거부하는 원인을 표시하거나, 제2 거부 원인 정보는 단말 디바이스에 대한 주 인증 절차를 계속하는 것을 거부하는 원인을 표시할 수 있다. 예를 들어, 제2 거부 원인 정보에 의해 표시된 원인은, 주 인증 절차가 다른 디바이스에 의해 현재 트리거되거나, 또는 미리 설정된 지속기간 내에 단말 디바이스에 대해 주 인증이 수행되었다는 것이다. AMF가 제1 응답 메시지를 수신하고, 제2 거부 원인 정보에 기초하여, UE에 대해 인증이 수행될 수 없다고 결정한 후에, AMF는 현재의 UE 컨텍스트 정보를 계속 사용한다. 다시 말해서, AMF는, AMF에 의한 UE에 대한 주 인증 수행의 실패로 인해, UE가 네트워크를 계속 사용할 수 없다는 점을 고려하지 않는다. 예를 들어, AMF는 UE 컨텍스트 정보를 삭제하지 않거나, AMF는 등록해제 절차를 개시하지 않는다.
다른 구현에서, UDM이 단말 디바이스에 대한 주 인증을 트리거하는 것을 결정하는 경우, 제1 인증 응답 메시지는 트리거 표시 정보를 포함할 수 있고, 트리거 표시 정보는 단말 디바이스에 대한 주 인증을 수행하는 것을 표시한다.
전술한 방법에 따르면, 홈 네트워크 내의 홈 네트워크 디바이스가 단말 디바이스에 대한 주 인증을 트리거할 때, UDM은 홈 네트워크 디바이스에 의해 트리거된 요청을 수락할지 여부를 결정한다. 충돌이 있을 때, UDM은 주 인증 절차의 트리거링을 스킵하는 것을 결정할 수 있어, 인증 효율을 개선할 수 있다.
본 출원의 이 실시예에서, 제2 AUSF가 단말 디바이스의 보안 컨텍스트 정보를 현재 저장하고 있는 AUSF인 것으로 결정하면, UDM은 단말 디바이스의 보안 컨텍스트 정보를 삭제하도록 제2 AUSF에 표시하지 않을 수 있다. 제2 AUSF가 단말 디바이스의 보안 컨텍스트 정보를 현재 저장하고 있는 AUSF가 아닌 것으로 결정하면, UDM은 단말 디바이스의 보안 컨텍스트 정보를 삭제하고, UDM에 저장된 제2 AUSF의 식별자를 삭제하도록 제2 AUSF에 표시할 수 있다.
S507B: 제3 AUSF는 제2 응답 메시지를 AMF에 전송한다.
제2 응답 메시지는 제2 거부 원인 정보를 포함할 수 있다.
AMF는, 제2 거부 원인 정보에 기초하여, 인증 실패가 없다고 결정하고, 단말 디바이스를 서빙(serve)하기 위해 단말 디바이스의 현재 보안 컨텍스트 정보를 계속 사용할 수 있다. 종래 기술과 비교하여, 이 기술에서는, AMF가 인증 실패를 표시하는 거부 원인 값을 수신하는 경우, AMF는 단말 디바이스를 서빙하는 것을 즉시 정지할 필요가 있다. 그러나, 단말 디바이스에 대한 주 인증 절차 때문에, 거부는 단지 단말 디바이스에 대한 반복된 인증에 의해 야기되는 복잡한 동작을 회피하기 위한 것일 뿐이다. 따라서, 인증 실패는 실제 인증 실패가 아니고, AMF는 단말 디바이스를 계속 서빙할 수 있다. 전술한 방법에 따르면, UDM은 제1 인증 벡터를 반환할지 여부를 결정하여, 단말 디바이스에 대한 주 인증 절차를 계속할지 여부를 결정할 수 있다. 이는 단말 디바이스에 대한 인증을 수행하기 위한 또 다른 주 인증 절차와의 충돌을 회피할 수 있고, 짧은 시간에 복수 회의 주 인증 절차의 반복된 실행을 회피할 수 있어, 인증 효율 및 통신 효율을 개선할 수 있다.
전술한 실시예들은 개별적으로 구현될 수 있거나, 서로 조합하여 구현될 수 있다. 전술한 상이한 실시예들에서, 실시예들 사이의 차이들이 상세히 설명된다. 차이들 중 다른 내용을 제외하고, 상이한 실시예들 사이의 다른 내용에 대해서는, 서로 참조할 수 있다. 흐름도들에 도시된 모든 단계들이 필수적인 단계들은 아니며, 일부 단계들은 실제 요건에 기초하여 흐름도들에 추가되거나 그로부터 삭제될 수 있다는 것을 이해해야 한다.
본 출원의 전술한 실시예들에서 제공되는 방법에서의 기능들을 구현하기 위해, AMF, UDM, 또는 전술한 통신 장치는 하드웨어 구조 및/또는 소프트웨어 모듈을 포함할 수 있고, 전술한 기능들을 하드웨어 구조, 소프트웨어 모듈, 또는 하드웨어 구조와 소프트웨어 모듈의 조합의 형태로 구현할 수 있다. 전술한 기능들 중의 어떤 하나의 기능이 하드웨어 구조, 소프트웨어 모듈, 또는 하드웨어 구조와 소프트웨어 모듈의 조합을 사용하여 수행되는지 여부는 기술적 해결책들의 특정 응용들 및 설계 제약들에 의존한다.
본 출원의 실시예들에서의 모듈들로의 분할은 예이고, 단지 논리적 기능 분할이다. 실제 구현 동안, 다른 분할 방식이 존재할 수 있다. 또한, 본 출원의 실시예들에서의 기능 모듈들은 하나의 프로세서 내로 통합될 수 있거나, 또는 단독으로 물리적으로 존재할 수 있거나, 또는 2개 이상의 모듈이 하나의 모듈 내로 통합된다. 통합된 모듈은 하드웨어의 형태로 구현될 수 있거나, 소프트웨어 기능 모듈의 형태로 구현될 수 있다.
전술한 개념과 동일하게, 도 6에 도시된 바와 같이, 본 출원의 실시예는 통신 장치(600)를 추가로 제공한다. 통신 장치(600)는 도 1의 AMF일 수 있고, 전술한 방법 실시예들에서 AMF에 대응하는 방법을 구현하도록 구성된다. 통신 장치는 대안적으로 도 1의 UDM일 수 있고, 전술한 방법 실시예들에서 UDM에 대응하는 방법을 구현하도록 구성된다. 특정 기능에 대해서는, 전술한 방법 실시예들에서의 설명들을 참조한다.
구체적으로, 통신 장치(600)는 처리 유닛(601) 및 통신 유닛(602)을 포함할 수 있다. 본 출원의 이 실시예에서, 통신 유닛은 송수신기 유닛이라고도 지칭될 수 있고, 전술한 방법 실시예들에서 UDM 또는 AMF에 의해 전송 및 수신하는 단계들을 수행하도록 각각 구성되는, 전송 유닛 및/또는 수신 유닛을 포함할 수 있다. 본 출원의 실시예들에서 제공되는 통신 장치들은 도 6 및 도 7을 참조하여 상세하게 설명된다.
일부 가능한 구현들에서, 전술한 방법 실시예들에서의 AMF의 거동 및 기능들은 통신 장치(600), 예를 들어, 도 2 내지 도 5의 실시예들에서의 AMF에 의해 수행되는 방법들을 사용하여 구현될 수 있다. 예를 들어, 통신 장치(600)는 AMF, AMF에서 사용되는 구성요소(예를 들어, 칩 또는 회로), AMF 내의 칩 또는 칩셋, 또는 관련 방법 기능을 수행하도록 구성되는 칩의 일부일 수 있다. 통신 유닛(602)은 도 2 내지 도 5에 도시된 실시예들에서 AMF에 의해 수행되는 수신 또는 전송 동작을 수행하도록 구성될 수 있고, 처리 유닛(601)은 도 2 내지 도 5에 도시된 실시예들에서 AMF에 의해 수행되는 수신 또는 전송 동작 이외의 동작을 수행하도록 구성될 수 있다.
통신 유닛은 홈 네트워크 디바이스로부터 제1 인증 요청 메시지를 수신하도록 구성되고, 여기서 제1 인증 요청 메시지는 단말 디바이스의 식별자를 포함하고, 제1 인증 요청 메시지는 단말 디바이스에 대한 주 인증 절차를 트리거하는 데 사용되고, 홈 네트워크 디바이스는 단말 디바이스의 홈 네트워크 내의 네트워크 디바이스이다.
처리 유닛은: 주 인증 절차의 트리거링을 거부할 때, 통신 유닛을 사용하여 제1 인증 응답 메시지를 홈 네트워크 디바이스에 전송하도록 구성되고, 여기서 제1 인증 응답 메시지는 제1 거부 원인 정보를 포함하고, 제1 거부 원인 정보는 주 인증 절차의 트리거링을 거부하는 원인을 표시한다.
가능한 구현에서, 처리 유닛은 제1 인증 요청 메시지에 기초하여 단말 디바이스에 대한 주 인증 절차의 트리거링을 거부하는 것을 결정하도록 구체적으로 구성된다.
가능한 구현에서, 처리 유닛은:
식별자에 기초하여, 미리 설정된 지속기간 내에 단말 디바이스에 대해 주 인증 절차가 트리거되었다고 결정하면, 주 인증 절차의 트리거링을 거부하는 것을 결정하도록 구체적으로 구성된다.
가능한 구현에서, 처리 유닛은: 식별자에 기초하여, 단말 디바이스의 가입 데이터를 획득하고; 가입 데이터에 기초하여 홈 네트워크 디바이스가 주 인증 절차를 트리거할 권한이 없다고 결정하도록 구체적으로 구성된다.
가능한 구현에서, 가입 데이터는, 단말 디바이스가 로밍의 스티어링(steering of roaming) 절차, 사용자 장비 파라미터 업데이트(user equipment parameter update) 절차, 또는 애플리케이션들에 대한 인증 및 키 관리(authentication and key management for applications) 절차 중 적어도 하나를 지원하지 않음을 표시한다.
가능한 구현에서, 처리 유닛은:
식별자에 기초하여, 단말 디바이스에 대해 주 인증 절차가 실행중이라고 결정하면, 주 인증 절차의 트리거링을 거부하는 것을 결정하도록 구체적으로 구성된다.
가능한 구현에서, 처리 유닛은:
액세스 및 이동성 관리 기능 디바이스가 식별자에 대응하는 단말 디바이스에 대한 인증 절차를 트리거했지만 대응하는 인증 결과를 수신하지 못한 경우, 단말 디바이스에 대해 주 인증 절차가 실행중이라고 결정하도록 구체적으로 구성된다.
일부 가능한 구현들에서, 전술한 방법 실시예들에서의 UDM의 거동 및 기능들은 통신 장치(600), 예를 들어, 도 2 내지 도 5의 실시예들에서의 UDM에 의해 수행되는 방법들을 사용하여 구현될 수 있다. 예를 들어, 통신 장치(600)는 UDM, UDM에서 사용되는 구성요소(예를 들어, 칩 또는 회로), AMF 내의 칩 또는 칩셋, 또는 관련 방법 기능을 수행하도록 구성되는 칩의 일부일 수 있다. 통신 유닛(602)은 도 2 내지 도 5에 도시된 실시예들에서 UDM에 의해 수행되는 수신 또는 전송 동작을 수행하도록 구성될 수 있고, 처리 유닛(601)은 도 2 내지 도 5에 도시된 실시예들에서 UDM에 의해 수행되는 수신 또는 전송 동작 이외의 동작을 수행하도록 구성될 수 있다.
사용자 데이터 관리 디바이스는 인증 서버 기능 디바이스로부터 제1 메시지를 수신하며, 여기서 제1 요청 메시지는 단말 디바이스의 식별자를 포함하고, 제1 메시지는 단말 디바이스에 대한 제1 인증 벡터를 요청하는 데 사용된다.
제1 인증 벡터의 반환을 거부할 때, 사용자 데이터 관리 디바이스는 제1 응답 메시지를 인증 서버 기능 디바이스에 전송하며, 여기서 제1 응답 메시지는 제2 거부 원인 정보를 포함하고, 제2 거부 원인 정보는 제1 인증 벡터의 반환을 거부하는 원인을 표시한다.
전술한 방법에 따르면, 사용자 데이터 관리 디바이스는 제1 인증 벡터를 반환할지 여부를 결정하여, 단말 디바이스에 대한 주 인증 절차를 트리거할지 여부를 결정할 수 있다. 이는 단말 디바이스에 대한 인증을 수행하기 위한 또 다른 주 인증 절차와의 충돌을 회피할 수 있고, 짧은 시간에 복수 회의 주 인증 절차의 반복된 실행을 회피할 수 있어, 인증 효율 및 통신 효율을 개선할 수 있다.
가능한 구현에서, 제1 인증 벡터를 반환하는 것을 결정할 때, 사용자 데이터 관리 디바이스는 제1 응답 메시지를 인증 서버 기능 디바이스에 전송하며, 여기서 제1 응답 메시지는 트리거 표시 정보를 포함하고, 트리거 표시 정보는 단말 디바이스에 대한 주 인증 절차를 실행하는 것을 표시한다.
가능한 구현에서, 사용자 데이터 관리 디바이스는, 제1 요청 메시지에 기초하여, 제1 인증 벡터의 반환을 거부하는 것을 결정한다.
가능한 구현에서, 사용자 데이터 관리 디바이스가, 제1 요청 메시지에 기초하여, 제1 인증 벡터의 반환을 거부하는 것을 결정하는 것은: 식별자에 기초하여, 미리 설정된 지속기간 내에 단말 디바이스에 대해 주 인증 절차가 트리거되었다고 결정하면, 사용자 데이터 관리 디바이스에 의해, 제1 인증 벡터의 반환을 거부하는 것을 결정하는 것을 포함한다.
가능한 구현에서, 제1 요청 메시지는 단말 디바이스의 식별자를 포함하고, 사용자 데이터 관리 디바이스가, 제1 요청 메시지에 기초하여, 제1 인증 벡터의 반환을 거부하는 것을 결정하는 것은:
식별자에 기초하여, 단말 디바이스에 대해 주 인증 절차가 실행중이라고 결정하면, 사용자 데이터 관리 디바이스에 의해, 제1 인증 벡터의 반환을 거부하는 것을 결정하는 것을 포함한다.
가능한 구현에서, 사용자 데이터 관리 디바이스가 식별자에 기초하여 단말 디바이스에 대해 주 인증 절차가 실행중이라고 결정하는 것은: 사용자 데이터 관리 디바이스가 식별자에 대응하는 단말 바이스에 대한 인증을 수행하기 위해 사용되는 제2 인증 벡터를 전송했지만 제2 인증 벡터에 대응하는 인증 결과 확인 메시지를 수신하지 못한 경우, 단말 디바이스에 대해 주 인증 절차가 실행중이라고 결정하는 것을 포함한다.
장치 실시예들의 설명들은 방법 실시예들의 설명들에 대응한다는 것을 이해해야 한다. 도 2 내지 도 5에서 AMF 및 UDM을 구현하기 위해 사용되는 장치 구조에 대해서는, 통신 장치(600)를 참조한다. 따라서, 상세히 설명되지 않은 내용에 대해서는, 전술한 방법 실시예들을 참조한다. 간결성을 위해, 상세사항들은 여기서 다시 설명되지 않는다.
통신 유닛은 또한 송수신기, 송수신기 머신, 송수신기 장치 등으로 지칭될 수 있다. 처리 유닛은 또한 프로세서, 처리 보드, 처리 모듈, 처리 장치 등으로 지칭될 수 있다. 선택적으로, 통신 유닛(602) 내에 있고 수신 기능을 구현하도록 구성되는 컴포넌트는 수신 유닛으로서 간주될 수 있고, 통신 유닛(602) 내에 있고 전송 기능을 구현하도록 구성되는 컴포넌트는 전송 유닛으로서 간주될 수 있다. 다시 말해서, 통신 유닛(602)은 수신 유닛 및 전송 유닛을 포함한다. 통신 유닛은 때때로 송수신기 머신, 송수신기, 송수신기 회로 등으로도 지칭될 수 있다. 수신 유닛은 때때로 수신기 머신, 수신기, 수신 회로 등으로도 지칭될 수 있다. 전송 유닛은 때때로 송신기, 송신기 머신, 송신기 회로 등으로도 지칭될 수 있다.
전술한 것은 단지 예일 뿐이다. 처리 유닛(601) 및 통신 유닛(602)은 다른 기능들을 추가로 수행할 수 있다. 더 상세한 설명들에 대해서는, 도 2 내지 도 5에 도시된 방법 실시예들에서의 관련 설명들을 참조한다. 상세사항들은 여기서 다시 설명되지 않는다.
도 7은 본 출원의 실시예에 따른 통신 장치(700)를 도시한다. 도 7에 도시된 통신 장치는 도 6에 도시된 통신 장치의 하드웨어 회로의 구현일 수 있다. 통신 장치는 전술한 흐름도에 적용가능하고, 전술한 방법 실시예들에서 AMF 또는 UDM의 기능들을 수행한다. 설명의 편의상, 도 7은 통신 장치의 주요 컴포넌트들만을 도시한다.
도 7에 도시된 바와 같이, 통신 장치(700)는 프로세서(710) 및 인터페이스 회로(720)를 포함한다. 프로세서(710)와 인터페이스 회로(720)는 서로 결합된다. 인터페이스 회로(720)는 송수신기 또는 입력/출력 인터페이스일 수 있다는 것을 이해할 수 있다. 선택적으로, 통신 장치(700)는 프로세서(710)에 의해 실행되는 명령어들, 명령어들을 실행하기 위해 프로세서(710)에 의해 요구되는 입력 데이터, 또는 프로세서(710)가 명령어들을 실행한 후에 생성되는 데이터를 저장하도록 구성되는 메모리(730)를 추가로 포함할 수 있다.
통신 장치(700)가 도 2 내지 도 5에 도시된 방법들을 구현하도록 구성될 때, 프로세서(710)는 처리 유닛(601)의 기능을 수행하도록 구성되고, 인터페이스 회로(720)는 통신 유닛(602)의 기능을 수행하도록 구성된다.
통신 장치가 AMF에서 사용되는 칩일 때, AMF에서의 칩은 전술한 방법 실시예들에서의 AMF의 기능들을 구현한다. AMF의 칩은 AMF에서의 다른 모듈(예를 들어, 무선 주파수 모듈 또는 안테나)로부터 정보를 수신하고, 여기서 정보는 UDM에 의해 AMF에 전송된다. 대안적으로, AMF에서의 칩은 AMF에서의 다른 모듈(예를 들어, 무선 주파수 모듈 또는 안테나)에 정보를 전송하고, 여기서 정보는 AMF에 의해 UDM에 전송된다.
통신 장치가 UDM에서 사용되는 칩일 때, UDM의 칩은 전술한 방법 실시예들에서의 UDM의 기능들을 구현한다. UDM의 칩은 UDM에서의 다른 모듈(예를 들어, 라디오 주파수 모듈 또는 안테나)로부터 정보를 수신하고, 여기서 정보는 AMF에 의해 UDM에 전송된다. 대안적으로, UDM의 칩은 UDM에서의 다른 모듈(예를 들어, 라디오 주파수 모듈 또는 안테나)에 정보를 전송하고, 여기서 정보는 UDM에 의해 AMF에 전송된다.
본 출원의 실시예들에서의 프로세서는 중앙 처리 유닛(Central Processing Unit, CPU)일 수 있거나, 또는 다른 범용 프로세서, 디지털 신호 프로세서(Digital Signal Processor, DSP), 주문형 집적 회로(Application-Specific Integrated Circuit, ASIC), 필드 프로그래머블 게이트 어레이(Field Programmable Gate Array, FPGA), 또는 다른 프로그래머블 로직 디바이스, 또는 트랜지스터 로직 디바이스일 수 있다는 점이 이해될 수 있다. 범용 프로세서는 마이크로프로세서 또는 임의의 정규 프로세서일 수 있다.
본 출원의 실시예들에서, 프로세서는 랜덤 액세스 메모리(Random Access Memory, RAM), 플래시 메모리, 판독 전용 메모리(Read-Only Memory, ROM), 프로그램가능 판독 전용 메모리(Programmable ROM, PROM), 소거가능한 프로그램가능 판독 전용 메모리(Erasable PROM, EPROM), 전기적으로 소거가능한 프로그램가능 판독 전용 메모리(Electrically EPROM, EEPROM), 레지스터, 하드 디스크, 이동식 하드 디스크, 또는 본 기술분야에 잘 알려진 임의의 다른 형태의 저장 매체일 수 있다. 예를 들어, 저장 매체가 프로세서에 결합되어, 프로세서가 저장 매체로부터 정보를 판독하고 저장 매체에 정보를 기입할 수 있다. 물론, 저장 매체는 프로세서의 컴포넌트일 수 있다. 프로세서 및 저장 매체는 ASIC에 배치될 수 있다. 추가로, ASIC는 UDM 또는 AMF 내에 위치될 수 있다. 대안적으로, 프로세서 및 저장 매체는 UDM 또는 AMF 내에 개별 컴포넌트들로서 존재할 수 있다.
본 기술분야의 통상의 기술자는 본 출원의 실시예들이 방법, 시스템, 또는 컴퓨터 프로그램 제품으로서 제공될 수 있다는 점을 이해해야 한다. 따라서, 본 출원은 하드웨어-전용 실시예, 소프트웨어-전용 실시예, 또는 소프트웨어와 하드웨어의 조합을 갖는 실시예의 형태를 사용할 수 있다. 또한, 본 출원은 컴퓨터 사용가능 프로그램 코드를 포함하는 하나 이상의 컴퓨터 사용가능 저장 매체(디스크 메모리, 광학 메모리 등을 포함하지만 이에 제한되지는 않음) 상에 구현되는 컴퓨터 프로그램 제품의 형태를 사용할 수 있다.
본 출원은 본 출원에 따른 방법, 디바이스(시스템), 및 컴퓨터 프로그램 제품의 흐름도들 및/또는 블록도들을 참조하여 설명된다. 컴퓨터 프로그램 명령어들은 흐름도들 및/또는 블록도들 내의 각각의 프로세스 및/또는 각각의 블록 및 흐름도들 및/또는 블록도들 내의 프로세스 및/또는 블록의 조합을 구현하기 위해 사용될 수 있다는 점이 이해되어야 한다. 이러한 컴퓨터 프로그램 명령어들은 범용 컴퓨터, 전용 컴퓨터, 임베디드 프로세서, 또는 머신을 생성하기 위한 다른 프로그램가능 데이터 처리 디바이스의 프로세서에 대해 제공되어, 컴퓨터 또는 다른 프로그램가능 데이터 처리 디바이스의 프로세서에 의해 실행되는 명령어들은 흐름도들 내의 하나 이상의 프로세스 및/또는 블록도들 내의 하나 이상의 블록에서 특정한 기능을 구현하기 위한 장치를 생성한다.
이러한 컴퓨터 프로그램 명령어들은 대안적으로 컴퓨터 또는 임의의 다른 프로그램가능 데이터 처리 디바이스에 특정 방식으로 작동하도록 안내할 수 있는 컴퓨터 판독가능 메모리에 저장될 수 있어, 컴퓨터 판독가능 메모리에 저장된 명령어들이 명령어 장치를 포함하는 가공품(artifact)을 생성하게 한다. 명령어 장치는 흐름도들 내의 하나 이상의 프로세스 및/또는 블록도들 내의 하나 이상의 블록에서 특정한 기능을 구현한다.
본 기술분야의 통상의 기술자는 본 출원의 범위를 벗어남이 없이 본 출원에 대한 다양한 수정들 및 변형들을 만들 수 있다는 것이 명백하다. 이러한 방식으로, 본 출원은 본 출원의 이러한 수정들 및 변형들이 본 출원의 다음의 청구항들 및 이들의 동등한 기술들에 의해 정의된 보호 범위 내에 있는 한 이들을 커버하도록 의도된다.

Claims (17)

  1. 주 인증 방법으로서,
    액세스 및 이동성 관리 기능(access and mobility management function) 디바이스에 의해, 홈 네트워크 디바이스로부터 제1 인증 요청 메시지를 수신하는 단계- 상기 제1 인증 요청 메시지는 단말 디바이스의 식별자를 포함하고, 상기 제1 인증 요청 메시지는 상기 단말 디바이스에 대한 주 인증 절차를 트리거하는 데 사용되고, 상기 홈 네트워크 디바이스는 상기 단말 디바이스의 홈 네트워크 내의 네트워크 디바이스임 -; 및
    상기 액세스 및 이동성 관리 기능 디바이스가 상기 주 인증 절차의 트리거링을 거부할 때, 상기 액세스 및 이동성 관리 기능 디바이스에 의해, 제1 인증 응답 메시지를 상기 홈 네트워크 디바이스에 전송하는 단계- 상기 제1 인증 응답 메시지는 제1 거부 원인 정보를 포함하고, 상기 제1 거부 원인 정보는 상기 주 인증 절차의 트리거링을 거부하는 원인을 표시함 -
    를 포함하는, 방법.
  2. 제1항에 있어서, 상기 방법은:
    상기 액세스 및 이동성 관리 기능 디바이스에 의해, 상기 제1 인증 요청 메시지에 기초하여 상기 단말 디바이스에 대한 상기 주 인증 절차의 트리거링을 거부하는 것을 결정하는 단계를 추가로 포함하는, 방법.
  3. 제2항에 있어서, 상기 액세스 및 이동성 관리 기능 디바이스에 의해, 상기 제1 인증 요청 메시지에 기초하여 상기 주 인증 절차의 트리거링을 거부하는 것을 결정하는 단계는:
    상기 식별자에 기초하여, 미리 설정된 지속기간 내에 상기 단말 디바이스에 대해 주 인증 절차가 트리거되었다고 결정하면, 상기 액세스 및 이동성 관리 기능 디바이스에 의해, 상기 주 인증 절차의 트리거링을 거부하는 것을 결정하는 단계를 포함하는, 방법.
  4. 제2항에 있어서, 상기 액세스 및 이동성 관리 기능 디바이스에 의해, 상기 제1 인증 요청 메시지에 기초하여 상기 주 인증 절차의 트리거링을 거부하는 것을 결정하는 단계는:
    상기 식별자에 기초하여, 상기 홈 네트워크 디바이스가 상기 주 인증 절차를 트리거할 권한이 없다고 결정하면, 상기 액세스 및 이동성 관리 기능 디바이스에 의해, 상기 주 인증 절차의 트리거링을 거부하는 것을 결정하는 단계를 포함하는, 방법.
  5. 제4항에 있어서, 상기 액세스 및 이동성 관리 기능 디바이스에 의해, 상기 식별자에 기초하여 상기 홈 네트워크 디바이스가 상기 주 인증 절차를 트리거할 권한이 없다고 결정하는 것은:
    상기 액세스 및 이동성 관리 기능 디바이스에 의해, 상기 식별자에 기초하여 상기 단말 디바이스의 가입 데이터를 획득하는 것; 및
    상기 액세스 및 이동성 관리 기능 디바이스에 의해, 상기 가입 데이터에 기초하여 상기 홈 네트워크 디바이스가 상기 주 인증 절차를 트리거할 권한이 없다고 결정하는 것을 포함하는, 방법.
  6. 제5항에 있어서, 상기 가입 데이터는, 상기 단말 디바이스가 로밍의 스티어링(steering of roaming) 절차, 사용자 장비 파라미터 업데이트(user equipment parameter update) 절차, 또는 애플리케이션들에 대한 인증 및 키 관리(authentication and key management for applications) 절차 중 적어도 하나를 지원하지 않음을 표시하는, 방법.
  7. 제2항에 있어서, 상기 액세스 및 이동성 관리 기능 디바이스에 의해, 상기 제1 인증 요청 메시지에 기초하여 상기 주 인증 절차의 트리거링을 거부하는 것을 결정하는 단계는:
    상기 식별자에 기초하여, 상기 단말 디바이스에 대해 주 인증 절차가 실행중이라고 결정하면, 상기 액세스 및 이동성 관리 기능 디바이스에 의해, 상기 주 인증 절차의 트리거링을 거부하는 것을 결정하는 단계를 포함하는, 방법.
  8. 제7항에 있어서, 상기 액세스 및 이동성 관리 기능 디바이스에 의해, 상기 식별자에 기초하여 상기 단말 디바이스에 대해 주 인증 절차가 실행중이라고 결정하는 것은:
    상기 액세스 및 이동성 관리 기능 디바이스가 상기 식별자에 대응하는 단말 디바이스에 대한 인증 절차를 트리거했지만 대응하는 인증 결과를 수신하지 못한 경우, 상기 액세스 및 이동성 관리 기능 디바이스에 의해, 상기 단말 디바이스에 대해 상기 주 인증 절차가 실행중이라고 결정하는 것을 포함하는, 방법.
  9. 주 인증 방법으로서,
    사용자 데이터 관리 디바이스에 의해, 인증 서버 기능 디바이스로부터 제1 메시지를 수신하는 단계- 상기 제1 요청 메시지는 단말 디바이스의 식별자를 포함하고, 상기 제1 메시지는 상기 단말 디바이스에 대한 제1 인증 벡터를 요청하는 데 사용됨 -; 및
    상기 제1 인증 벡터의 반환을 거부할 때, 상기 사용자 데이터 관리 디바이스에 의해, 제1 응답 메시지를 상기 인증 서버 기능 디바이스에 전송하는 단계- 상기 제1 응답 메시지는 제2 거부 원인 정보를 포함하고, 상기 제2 거부 원인 정보는 상기 제1 인증 벡터의 반환을 거부하는 원인을 표시함 -
    를 포함하는, 방법.
  10. 제9항에 있어서, 상기 방법은:
    상기 사용자 데이터 관리 디바이스에 의해, 상기 제1 요청 메시지에 기초하여 상기 제1 인증 벡터의 반환을 거부하는 것을 결정하는 단계를 추가로 포함하는, 방법.
  11. 제10항에 있어서, 상기 사용자 데이터 관리 디바이스에 의해, 상기 제1 요청 메시지에 기초하여 상기 제1 인증 벡터의 반환을 거부하는 것을 결정하는 단계는:
    상기 식별자에 기초하여, 미리 설정된 지속기간 내에 상기 단말 디바이스에 대해 주 인증 절차가 트리거되었다고 결정하면, 상기 사용자 데이터 관리 디바이스에 의해, 상기 제1 인증 벡터의 반환을 거부하는 것을 결정하는 단계를 포함하는, 방법.
  12. 제10항에 있어서, 상기 제1 요청 메시지는 상기 단말 디바이스의 식별자를 포함하고, 상기 사용자 데이터 관리 디바이스에 의해, 상기 제1 요청 메시지에 기초하여 상기 제1 인증 벡터의 반환을 거부하는 것을 결정하는 단계는:
    상기 식별자에 기초하여, 상기 단말 디바이스에 대해 주 인증 절차가 실행중이라고 결정하면, 상기 사용자 데이터 관리 디바이스에 의해, 상기 제1 인증 벡터의 반환을 거부하는 것을 결정하는 단계를 포함하는, 방법.
  13. 제12항에 있어서, 상기 사용자 데이터 관리 디바이스에 의해, 상기 식별자에 기초하여 상기 단말 디바이스에 대해 주 인증 절차가 실행중이라고 결정하는 것은:
    상기 사용자 데이터 관리 디바이스가 상기 식별자에 대응하는 단말 디바이스를 인증하기 위해 사용되는 제2 인증 벡터를 전송했지만 상기 제2 인증 벡터에 대응하는 인증 결과 확인 메시지를 수신하지 못한 경우, 상기 단말 디바이스에 대해 상기 주 인증 절차가 실행중이라고 결정하는 것을 포함하는, 방법.
  14. 통신 장치로서, 프로세서 및 메모리를 포함하고,
    상기 프로세서는 상기 메모리에 저장된 컴퓨터 프로그램 또는 명령어들을 실행하여, 상기 통신 장치가 제1항 내지 제8항 중 어느 한 항에 따른 방법을 구현하게 하도록 구성되는, 통신 장치.
  15. 통신 장치로서, 프로세서 및 메모리를 포함하고,
    상기 프로세서는 상기 메모리에 저장된 컴퓨터 프로그램 또는 명령어들을 실행하여, 상기 통신 장치가 제9항 내지 제13항 중 어느 한 항에 따른 방법을 구현하게 하도록 구성되는, 통신 장치.
  16. 컴퓨터 프로그램 또는 명령어들을 저장한 컴퓨터 판독가능 저장 매체로서, 상기 컴퓨터 프로그램 또는 상기 명령어들이 컴퓨터 상에서 실행될 때, 상기 컴퓨터는 제1항 내지 제8항 중 어느 한 항에 따른 방법을 구현할 수 있게 되는, 컴퓨터 판독가능 저장 매체.
  17. 컴퓨터 프로그램 또는 명령어들을 저장한 컴퓨터 판독가능 저장 매체로서, 상기 컴퓨터 프로그램 또는 상기 명령어들이 컴퓨터 상에서 실행될 때, 상기 컴퓨터는 제9항 내지 제13항 중 어느 한 항에 따른 방법을 구현할 수 있게 되는, 컴퓨터 판독가능 저장 매체.
KR1020247013687A 2021-09-30 2022-09-28 주 인증 방법 및 장치 KR20240064005A (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN202111166048.6A CN115915128A (zh) 2021-09-30 2021-09-30 一种主鉴权方法及装置
CN202111166048.6 2021-09-30
PCT/CN2022/122179 WO2023051619A1 (zh) 2021-09-30 2022-09-28 一种主鉴权方法及装置

Publications (1)

Publication Number Publication Date
KR20240064005A true KR20240064005A (ko) 2024-05-10

Family

ID=85770706

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020247013687A KR20240064005A (ko) 2021-09-30 2022-09-28 주 인증 방법 및 장치

Country Status (3)

Country Link
KR (1) KR20240064005A (ko)
CN (1) CN115915128A (ko)
WO (1) WO2023051619A1 (ko)

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8295830B1 (en) * 2007-05-09 2012-10-23 Marvell International Ltd. System and method for enabling authorization of local breakout for internet protocol multimedia services
CN109922474B (zh) * 2017-08-07 2020-03-20 华为技术有限公司 触发网络鉴权的方法及相关设备
CN109041057B (zh) * 2018-08-08 2021-06-08 兴唐通信科技有限公司 一种基于5g aka的核心网网元间鉴权流程安全性增强方法
CN110891271B (zh) * 2018-09-10 2021-06-11 大唐移动通信设备有限公司 一种鉴权方法及装置
CN112351425B (zh) * 2020-10-15 2023-06-16 维沃移动通信有限公司 接入鉴权方法、装置及电子设备

Also Published As

Publication number Publication date
CN115915128A (zh) 2023-04-04
WO2023051619A1 (zh) 2023-04-06

Similar Documents

Publication Publication Date Title
CN108574969B (zh) 多接入场景中的连接处理方法和装置
US11089480B2 (en) Provisioning electronic subscriber identity modules to mobile wireless devices
US20220225176A1 (en) Method, apparatus and device for allowing terminal to move between 4g and 5g networks
EP3402253B1 (en) Core network control plane device selection method and apparatus
US11032872B2 (en) Apparatus and method for deleting session context
EP3737032B1 (en) Key updating method and apparatus
EP3840437B1 (en) Communication method and apparatus
CN113940106A (zh) 用于处理封闭接入组相关过程的方法和系统
JP2013524556A (ja) 通信システム
CN108293259B (zh) 一种nas消息处理、小区列表更新方法及设备
CN107835204A (zh) 配置文件策略规则的安全控制
KR101460766B1 (ko) 무선 네트워크 시스템에서 클러스터 기능을 이용한 보안설정 시스템 및 그 제어방법
CN113498060B (zh) 一种控制网络切片认证的方法、装置、设备及存储介质
CN113676904A (zh) 切片认证方法及装置
EP4042733A1 (en) Security for groupcast message in d2d communication
WO2019196963A1 (zh) 接入网络切片的方法及装置、存储介质、电子装置
US11889584B2 (en) Updating user equipment parameters
US20220053314A1 (en) Network Operations to Update User Equipment Parameters
KR20240064005A (ko) 주 인증 방법 및 장치
KR102372494B1 (ko) 무인증으로 접속한 단말에 대한 셀룰라 네트워크 접속 해지 방법 및 장치
CN115396126A (zh) Nswo业务的认证方法、设备和存储介质
US20230354028A1 (en) Method, system, and apparatus for generating key for inter-device communication
CN116528234B (zh) 一种虚拟机的安全可信验证方法及装置
WO2023072271A1 (zh) 管理安全上下文的方法和装置
WO2023142097A1 (en) User equipment-to-network relay security for proximity based services