WO2017159970A1 - 무선통신 시스템에서 단말의 보안설정을 수행하기 위한 방법 및 이를 위한 장치 - Google Patents
무선통신 시스템에서 단말의 보안설정을 수행하기 위한 방법 및 이를 위한 장치 Download PDFInfo
- Publication number
- WO2017159970A1 WO2017159970A1 PCT/KR2016/015035 KR2016015035W WO2017159970A1 WO 2017159970 A1 WO2017159970 A1 WO 2017159970A1 KR 2016015035 W KR2016015035 W KR 2016015035W WO 2017159970 A1 WO2017159970 A1 WO 2017159970A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- terminal
- rat
- authentication
- network node
- access
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/062—Pre-authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
본 명세서는 무선 통신 시스템에서 단말의 보안 설정을 수행하기 위한 방법에 있어서, 제 1 네트워크 노드가, 단말로부터 망 접속을 위한 접속 요청 메시지를 수신하는 단계, 상기 제 1 네트워크 노드는 제 1 RAT(Radio Access Technology)의 인증 개체에 해당하며; 상기 제 1 네트워크 노드가, 상기 수신된 접속 요청 메시지에 기초하여 상기 단말에 대한 인증 절차를 수행하는 단계; 및 상기 제 1 네트워크 노드가, 상기 단말의 통합 인증 개체에 해당하는 제 3 네트워크 노드로 상기 단말과 제 2 RAT 간의 무선 구간에서 사용되는 보안키 생성과 관련된 키 정보를 포함하는 보안 컨텍스트(security context) 정보를 전송하는 단계를 포함하는 것을 특징으로 한다.
Description
본 명세서는 무선통신 시스템에 관한 것으로서, 보다 상세하게는 단말의 보안을 설정하기 위한 방법 및 이를 지원하는 장치에 관한 것이다.
이동통신 시스템은 사용자의 활동성을 보장하면서 음성 서비스를 제공하기 위해 개발되었다. 그러나 이동통신 시스템은 음성뿐 아니라 데이터 서비스까지 영역을 확장하였으며, 현재에는 폭발적인 트래픽의 증가로 인하여 자원의 부족현상 이 야기되고 사용자들이 보다 고속의 서비스에 대한 요구하므로, 보다 발전된 이동 통신 시스템이 요구되고 있다.
차세대 이동통신 시스템의 요구조건은 크게 폭발적인 데이터 트래픽의 수용, 사용자 당 전송률의 획기적인 증가, 대폭 증가된 연결 디바이스 개수의 수용, 매우 낮은 단대단 지연(End-to-End Latency), 고에너지 효율을 지원할 수 있어야 한다. 이를 위하여 이중 연결성(Dual Connectivity), 대규모 다중 입출력 (Massive MIMO: Massive Multiple Input Multiple Output), 전이중(In-band Full Duplex), 비직교 다중접속(NOMA: Non-Orthogonal Multiple Access), 초광대역(Super wideband) 지원, 단말 네트워킹(Device Networking) 등 다양한 기술들이 연구되고 있다.
또한, 4G 이동통신 시스템까지 진화된 보안(Security) 특성들에 비해, 5G 이동통신 시스템에서 추가될 것으로 예상되는 보안(Security) 특징들은 아래와 같은 것이 있을 수 있다.
- 5G 이동통신 시스템은 Network Slicing과 같은 새로운 형태의 Service Delivery Model을 수용해야 한다. Network Slicing이란 서비스 특성에 최적화된 가상의 고립된(Isolated) Sub-network를 제공하는 것을 의미 하며, 이는 Application들의 요구 사항이 각각 다를 것이므로, Application 별로 최적화된 서비스를 제공함을 목표로 한다.
이에 따라, Security Architecture도 매우 유연하게 구성되어야 하며, 이는 5G 이동통신망이 Network Slicing을 수용함에 있어서 Security 관련 Overhead를 감소시키도록 설계되어야 함을 의미할 수 있다.
- 5G 이동통신 시스템은 새로운 Function들을 제공하도록 설계되어야 할 뿐만 아니라, 새로운 Verticals(Industries)을 수용할 수 있도록 설계되어야 한다.
이는 이동 통신망과 통신이 어떻게 제공되어야 할지에 대한 새로운 비즈니스 모델(Business Model)을 수용함을 목표로 한다.
즉, 서로 다른 Security 요구 사항들을 갖는 다양한 Type의 Device들 (e.g., Unattended Machines, Sensors, Wearable Devices, Vehicles) 과 일부 중요한 섹터들(e.g., Public Safety, eHealth, etc)을 고려한 새로운 Trust Model이 정의되어야 함을 의미할 수 있다.
- 5G는 최적화된 Multi-RAT Operation들을 제공해야 한다. 이는 각각 다른 보안 메커니즘을 갖는 Multi-RAT Access의 경우, 매번 인증/Security Setup 등에 소요되는 OTA 시그널링이나 지연을 감소시킴을 목표로 한다.
즉, 종래 4G 까지는 서로 다른 RAT에 접속할 경우, Core Network가 동일 할지라도, 서로 다른 인증 방식과 Key Handling 등의 Security Setup 메커니즘으로 인해, 별도의 단말 인증 수행 및 보안설정이 수행되었다.
하지만, 5G Security에서는 이러한 Redundancy를 줄일 수 있는 효과적 인 Multi-RAT Security Architecture가 제공되어야 한다.
한편, 5G Network Architecture 관련하여 최근에 논의되고 있는 이슈 중 하나는 신규 5G New RAT, 진화된 LTE, Non-3GPP Access Type 등을 모두 지원할 수 있는 진화된 Core Network의 설계에 대한 것이다.
이는 특정 Access로부터 Core Network로의 의존성을 줄이고자 하는 것을 목표로 하며, 이를 위해 각각의 Access 특화된 기능들이 단일 Core에 의해 제공 될 수 있어야 함을 의미한다.
구체적으로, 종래 LTE/LTE-A 시스템에서는 3GPP Access와 Non-3GPP Access 간에 별도의 인증 서버를 운용하였고, 각 인증 서버에 의해 운용되는 인증 방식(인증 프로토콜)이 다르다.
따라서, 오프로딩(Offloading)을 위해 상기 2가지 Type의 Access가 발생할 경우, 3GPP Access를 위해 단말(또는 사용자)가 이미 3GPP Core 망을 통해 인증을 받고, 통신을 위한 키 설정을 완료했을 지라도, Non 3GPP Access 를 위해 또 다시 인증을 받아야 한다.
이러한 구조는 필연적으로 단말의 인증에 소요되는 과도한 시그널링과 지연을 초래하게 된다.
따라서, 본 명세서는 한번 3GPP Access를 통해서 3GPP Core에 인증을 완료한 단말에 대해, 인증 결과 및 Non-3GPP Access를 위한 무선 구간의 키 생성에 필요한 키 정보를 5G New RAT의 신규 망 개체(논리적 또는 물리적)인 SIP(Security Interworking Proxy)에 저장하도록 함으로써, 이후 발생할 수 있는 단말의 Non-3GPP Access에 대해 재 인증 없이 빠르게 보안을 설정하는 방법을 제공함에 목적이 있다.
본 발명에서 이루고자 하는 기술적 과제들은 이상에서 언급한 기술적 과제 들로 제한되지 않으며, 언급하지 않은 또 다른 기술적 과제들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
본 명세서는 무선통신 시스템에서 단말의 보안설정을 수행하기 위한 방법에 있어서, 제 1 네트워크 노드가, 단말로부터 망 접속을 위한 접속요청 메시지를 수신하는 단계, 상기 제 1 네트워크 노드는 제 1 RAT(Radio Access Technology)의 인증개체에 해당하며; 상기 제 1 네트워크 노드가, 상기 수신된 접속요청 메시지에 기초하여 상기 단말에 대한 인증절차를 수행하는 단계; 및 상기 제 1 네트워크 노드가, 상기 단말의 통합 인증개체에 해당하는 제 3 네트워크 노드 로 상기 단말과 제 2 RAT 간의 무선구간에서 사용되는 보안키 생성과 관련된 키 정보를 포함하는 보안 컨텍스트(security context) 정보를 전송하는 단계를 포함하되, 상기 보안 컨텍스트 정보는 상기 제 2 RAT에서 사용하는 제 2 RAT 전용 식별자 정보 또는 상기 제 3 네트워크 노드가 상기 보안 컨텍스트 정보를 유지하는 시간의 설정과 관련된 보안 컨텍스트 타이머(security context timer) 중 적어도 하나를 더 포함하는 것을 특징으로 한다.
또한, 본 명세서에서 상기 키 정보는 RAT과 독립적으로 공통으로 사용하는 RAT 공통 보안 컨텍스트(common security context) 정보 또는 RAT에 특정하게 사용하는 RAT 특정 보안 컨텍스트(specific security context) 정보인 것을 특징으로 한다.
또한, 본 명세서에서 상기 RAT 공통 보안 컨텍스트(common security context) 정보는 KASME에 대응하는 키이며, 상기 RAT 특정 보안 컨텍스트 (specific security context) 정보는 KeNB에 대응하는 키인 것을 특징으로 한다.
또한, 본 명세서의 보안설정 방법은 상기 제 1 네트워크 노드가, 상기 제 2 RAT의 인증개체에 해당하는 제 2 네트워크 노드로 상기 인증수행 결과를 포함하는 인증알림 메시지를 전송하는 단계; 및 상기 제 1 네트워크 노드가, 상기 제 2 네트워크 노드로부터 상기 인증알림 메시지에 대한 응답 메시지를 수신하는 단계를 더 포함하는 것을 특징으로 한다.
또한, 본 명세서에서 상기 인증알림 메시지는 상기 제 2 RAT 전용 식별자, 상기 제 2 RAT의 전용 식별자와 관련된 단말의 인증성공 여부를 나타내는 지시 정보 또는 상기 단말과 상기 제 2 RAT 간의 무선구간에서 사용되는 보안키 생성과 관련된 키 정보 중 적어도 하나를 포함하는 것을 특징으로 한다.
또한, 본 명세서에서 상기 응답 메시지는 상기 보안키 생성과 관련된 키 정보 또는 상기 보안 컨텍스트 타이머 중 적어도 하나를 포함하는 것을 특징으로 한다.
또한, 본 명세서에서 상기 제 3 네트워크 노드는 상기 단말이 감지하는 제 2 RAT을 위한 제 2 기지국을 제어하는 것을 특징으로 한다.
또한, 본 명세서에서 상기 접속요청 메시지는 상기 단말의 접속이 고 신뢰 및 저지연과 관련된 접속임을 나타내는 정보, 상기 단말에게 설정된 주파수 대역 의 제 2 RAT의 타입을 나타내는 타입정보 또는 상기 제 2 RAT의 타입에 대해 사용되는 제 2 RAT 전용 식별자 정보 중 적어도 하나를 포함하는 것을 특징으로 한다.
또한, 본 명세서의 보안설정 방법은 상기 보안 컨텍스트 타이머(security context timer) 만료 전에 상기 제 2 기지국으로 상기 단말의 접속이 있는 경우, 상기 제 2 기지국이, 상기 제 3 네트워크 노드로 상기 단말과 관련된 보안 컨텍스트(security context) 정보를 요청하는 단계; 및 상기 제 3 네트워크 노드가, 상기 제 2 기지국으로 상기 요청에 대한 응답을 전송하는 단계를 더 포함 할 수 있다.
또한, 본 명세서에서 상기 제 1 RAT은 3GPP Access이며, 상기 제 2 RAT 은 Non-3GPP Access인 것을 특징으로 한다.
또한, 본 명세서는 무선통신 시스템에서 단말의 보안설정을 수행하기 위한 방법에 있어서, 상기 단말의 통합인증 개체에 해당하는 제 3 네트워크 노드가, 상기 단말로부터 망 접속을 위한 접속요청 메시지를 수신하는 단계, 상기 접속 요청 메시지는 상기 단말에 설정된 주파수 대역의 제 2 RAT의 타입을 나타내는 타입정보를 포함하며; 상기 제 3 네트워크 노드가, 제 1 RAT(Radio Access Technology)의 인증개체에 해당하는 제 1 네트워크 노드로 상기 접속요청 메시지 를 전달하는 단계; 상기 제 3 네트워크 노드가, 상기 수신된 접속요청 메시지에 포함된 타입정보에 기초하여 제 2 RAT의 인증개체에 해당하는 제 2 네트워크 노드 로 상기 단말에 대한 인증을 요청하는 단계; 상기 제 3 네트워크 노드가, 상기 제 2 네트워크 노드로부터 상기 인증요청에 대한 응답을 수신하는 단계 및 상기 제 3 네트워크 노드가, 상기 제 2 RAT의 기지국으로 상기 인증요청에 대한 응답을 전달 하는 단계를 포함하는 것을 특징으로 한다.
또한, 본 명세서에서 상기 인증요청에 대한 응답은 상기 제 2 RAT의 타입에 대해 사용되는 제 2 RAT 전용 식별자 정보 또는 상기 단말과 제 2 RAT 간의 무선 구간에서 사용되는 보안키 생성과 관련된 키 정보를 포함하는 보안 컨텍스트 (security context) 정보 중 적어도 하나를 포함하는 것을 특징으로 한다.
또한, 본 명세서의 보안설정 방법은 상기 제 3 네트워크 노드가, 상기 제 2 RAT의 기지국으로부터 상기 단말과 관련된 보안 컨텍스트(security context) 정보의 요청을 수신하는 단계; 및 상기 제 3 네트워크 노드가, 상기 제 2 RAT의 기지국으로 상기 보안 컨텍스트(security context) 요청에 대한 응답을 전송 하는 단계를 더 포함하는 것을 특징으로 한다.
또한, 본 명세서는 무선통신 시스템에서 단말의 보안설정을 수행하기 위한 제 1 RAT(Radio Access Technology)의 인증개체에 해당하는 제 1 네트워크 노드에 있어서, 무선신호를 송수신하기 위한 RF(Radio Frequency) 유닛; 및 상기 RF 유닛과 기능적으로 연결되는 프로세서를 포함하고, 상기 프로세서는, 단말로부터 망 접속을 위한 접속요청 메시지를 수신하며; 상기 수신된 접속요청 메시지에 기초하여 상기 단말에 대한 인증절차를 수행하며; 및 상기 단말의 통합 인증개체에 해당하는 제 3 네트워크 노드로 상기 단말과 제 2 RAT(Radio Access Technology) 간의 무선구간에서 사용되는 보안키 생성과 관련된 키 정보를 포함 하는 보안 컨텍스트(security context) 정보를 전송하도록 제어하되, 상기 보안 컨텍스트 정보는 상기 제 2 RAT에서 사용하는 제 2 RAT 전용 식별자 정보 또는 상기 제 3 네트워크 노드가 상기 보안 컨텍스트 정보를 유지하는 시간의 설정과 관련된 보안 컨텍스트 타이머(security context timer) 중 적어도 하나를 더 포함하는 것을 특징으로 한다.
본 명세서는 단말이 URLLC 용도로 망에 접속하고자 할 때, LTE/LTE-A Access를 통해 인증을 성공적으로 완료하는 경우, 이후, 단말이 인접한 Non-3GPP Access를 통해 접속할 때, Non-3GPP Access를 위해 단말이 별도의 인증 절차를 수행하지 않고 빠르게 보안 키를 설정함으로써, 인증 절차에 소요되는 오버헤드 및 지연을 감소시킬 수 있는 효과가 있다.
본 발명에서 얻을 수 있는 효과는 이상에서 언급한 효과로 제한되지 않으며, 언급하지 않은 또 다른 효과들은 아래의 기재로부터 본 발명이 속하는 기술분야 에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
본 발명에 관한 이해를 돕기 위해 상세한 설명의 일부로 포함되는, 첨부 도면은 본 발명에 대한 실시예를 제공하고, 상세한 설명과 함께 본 발명의 기술적 특징을 설명한다.
도 1은 본 명세서의 기술적 특징이 적용될 수 있는 LTE 시스템에 관련된 EPS(Evolved Packet System)의 일 예를 나타낸 도이다.
도 2는 본 명세서의 기술적 특징이 적용될 수 있는 무선통신 시스템을 나타낸 도이다.
도 3은 LTE(-A) 시스템에 정의된 전체 네트워크를 고려한 보안설정 방법 을 나타낸 도이다.
도 4는 E-UTRAN에서의 초기 키 활성화 절차의 일례를 나타낸 흐름도이다.
도 5는 E-UTRAN에서 초기접속 시 인증 및 키 설정절차를 나타낸 흐름도 이다.
도 6은 본 명세서에서 제안하는 방법들이 적용될 수 있는 다음 세대 RAN을 지원하기 위한 무선통신 시스템 구조의 일례를 나타낸 도이다.
도 7은 본 명세서에서 제안하는 방법들이 적용될 수 있는 다음 세대 RAN을 지원하기 위한 무선통신 시스템 구조의 또 다른 일례를 나타낸 도이다.
도 8 내지 도 10은 본 명세서에서 제안하는 방법들이 적용될 수 있는 다음 세대 RAN을 지원하기 위한 무선통신 시스템 구조의 또 다른 일례들을 나타낸 도이다.
도 11은 본 명세서에서 제안하는 방법이 적용될 수 있는 네트워크 슬라이싱 의 기본 개념도의 일례를 나타낸 도이다.
도 12는 본 명세서에서 제안하는 방법이 적용될 수 있는 다수의 core network instance들 사이에서 공통의 C-plane functions의 세트를 공유하는 도를 나타낸다.
도 13은 LTE(-A) 시스템에서 정의된 E-UTRAN access와 Non-3GPP access 간 연동의 일례를 나타낸다.
도 14는 본 명세서에서 제안하는 SIP가 포함되는 신규 5G 망 구조의 일례 를 나타낸다.
도 15는 본 명세서에서 제안하는 신규 5G 망 구조에서의 보안 컨텍스트 계층 구조의 일례를 나타낸다.
도 16은 본 명세서에서 제안하는 SIP가 포함되는 신규 5G 망 구조의 또 다른 일례를 나타낸다.
도 17은 도 14에 도시된 신규 5G 망 구조에 따라 SIP 기반 인증 및 보안 설정 절차의 일례를 나타낸 흐름도이다.
도 18은 도 14에 도시된 신규 5G 망 구조에 따라 SIP 기반 인증 및 보안 설정 절차의 또 다른 일례를 나타낸 흐름도이다.
도 19는 도 14에 도시된 신규 5G 망 구조에 따라 SIP 기반 인증 및 보안 설정 절차의 또 다른 일례를 나타낸 흐름도이다.
도 20은 도 14에 도시된 신규 5G 망 구조에 따라 SIP 기반 인증 및 보안 설정 절차의 또 다른 일례를 나타낸 흐름도이다.
도 21a는 종래의 이종 RAT 간 핸드오버 또는 다중 연결 시 인증 및 보안 설정 방법의 일례를 나타낸다.
도 21b는 본 명세서에서 제안하는 신규 5G 망 구조에서의 인증 및 보안 설정 방법의 일례를 나타낸다.
도 22는 본 명세서에서 제안하는 5G 망의 신규 인증개체를 이용한 보안설정 방법의 일례를 나타낸 순서도이다.
도 23은 본 명세서에서 제안하는 방법들이 적용될 수 있는 무선통신 장치의 블록 구성도를 예시한다.
이하, 본 발명에 따른 바람직한 실시형태를 첨부된 도면을 참조하여 상세하게 설명한다. 첨부된 도면과 함께 이하에 개시될 상세한 설명은 본 발명의 예시적인 실시형태를 설명하고자 하는 것이며, 본 발명이 실시될 수 있는 유일한 실시형태를 나타내고자 하는 것이 아니다. 이하의 상세한 설명은 본 발명의 완전한 이해를 제공하기 위해서 구체적 세부사항을 포함한다. 그러나, 당업자는 본 발명이 이러한 구체적 세부사항 없이도 실시될 수 있음을 안다.
몇몇 경우, 본 발명의 개념이 모호해지는 것을 피하기 위하여 공지의 구조 및 장치는 생략되거나, 각 구조 및 장치의 핵심기능을 중심으로 한 블록도 형식으로 도시될 수 있다.
본 명세서에서 기지국은 단말과 직접적으로 통신을 수행하는 네트워크의 종단 노드(terminal node)로서의 의미를 갖는다. 본 문서에서 기지국에 의해 수행되는 것으로 설명된 특정 동작은 경우에 따라서는 기지국의 상위 노드(upper node)에 의해 수행될 수도 있다. 즉, 기지국을 포함하는 다수의 네트워크 노드들 (network nodes)로 이루어지는 네트워크에서 단말과의 통신을 위해 수행되는 다양한 동작들은 기지국 또는 기지국 이외의 다른 네트워크 노드들에 의해 수행될 수 있음은 자명하다. '기지국(BS: Base Station)'은 고정국(fixed station), Node B, eNB(evolved-NodeB), BTS(base transceiver system), 액세스 포인트(AP: Access Point) 등의 용어에 의해 대체될 수 있다. 또한, '단말(Terminal)'은 고정되거나 이동성을 가질 수 있으며, UE (User Equipment), MS(Mobile Station), UT(user terminal), MSS (Mobile Subscriber Station), SS(Subscriber Station), AMS (Advanced Mobile Station), WT(Wireless terminal), MTC(Machine-Type Communication) 장치, M2M(Machine-to-Machine) 장치, D2D (Device-to-Device) 장치 등의 용어로 대체될 수 있다.
이하에서, 하향링크(DL: downlink)는 기지국에서 단말로의 통신을 의미 하며, 상향링크(UL: uplink)는 단말에서 기지국으로의 통신을 의미한다. 하향링크에서 송신기는 기지국의 일부이고, 수신기는 단말의 일부일 수 있다.
상향링크에서 송신기는 단말의 일부이고, 수신기는 기지국의 일부일 수 있다.
이하의 설명에서 사용되는 특정 용어들은 본 발명의 이해를 돕기 위해 제공된 것이며, 이러한 특정 용어의 사용은 본 발명의 기술적 사상을 벗어나지 않는 범위 에서 다른 형태로 변경될 수 있다.
이하의 기술은 CDMA(code division multiple access), FDMA (frequency division multiple access), TDMA(time division multiple access), OFDMA(orthogonal frequency division multiple access), SC-FDMA(single carrier frequency division multiple access), NOMA(non-orthogonal multiple access) 등과 같은 다양한 무선 접속 시스템에 이용될 수 있다. CDMA는 UTRA(universal terrestrial radio access)나 CDMA2000과 같은 무선기술(radio technology)로 구현될 수 있다. TDMA는 GSM(global system for mobile communications)/ GPRS(general packet radio service)/EDGE(enhanced data rates for GSM evolution)와 같은 무선기술로 구현될 수 있다. OFDMA는 IEEE 802.11(Wi-Fi), IEEE 802.16(WiMAX), IEEE 802-20, E-UTRA(evolved UTRA) 등과 같은 무선기술로 구현될 수 있다. UTRA는 UMTS(universal mobile telecommunications system)의 일부이다. 3GPP(3rd generation partnership project) LTE(long term evolution)은 E-UTRA를 사용하는 E-UMTS(evolved UMTS)의 일부로써, 하향링크에서 OFDMA를 채용하고 상향링크 에서 SC-FDMA를 채용한다. LTE-A(advanced)는 3GPP LTE의 진화이다.
본 발명의 실시예들은 무선접속 시스템들인 IEEE 802, 3GPP 및 3GPP2 중 적어도 하나에 개시된 표준문서들에 의해 뒷받침될 수 있다. 즉, 본 발명의 실시 예들 중 본 발명의 기술적 사상을 명확히 드러내기 위해 설명하지 않은 단계들 또는 부분들은 상기 문서들에 의해 뒷받침될 수 있다. 또한, 본 문서에서 개시하고 있는 모든 용어들은 상기 표준문서에 의해 설명될 수 있다.
설명을 명확하게 하기 위해, 5G 시스템을 위주로 기술하지만 본 발명의 기술적 특징이 이에 제한되는 것은 아니며, 3GPP LTE/LTE-A 시스템에서도 적용 될 수 있음은 물론이다.
이하 도면을 참조하여 설명하기 앞서, 본 발명의 이해를 돕고자, 본 명세서에서 사용되는 용어를 간략하게 정의하기로 한다.
APN(Access Point Name): 네트워크에서 관리하는 접속 포인트의 이름 으로서 UE에게 제공된다. 즉, PDN의 이름(문자열)을 가리킴. 상기 접속 포인트 의 이름에 기초하여, 데이터의 송수신을 위한 해당 PDN이 결정된다.
MME: Mobility Management Entity의 약자로서, UE에 대한 세션과 이동성을 제공하기 위해 EPS 내에서 각 엔티티를 제어하는 역할을 한다.
세션(Session): 세션은 데이터 전송을 위한 통로로써 그 단위는 PDN, Bearer, IP flow 단위 등이 될 수 있다.
각 단위의 차이는 3GPP에서 정의한 것처럼 대상 네트워크 전체 단위(APN 또는 PDN 단위), 그 내에서 QoS로 구분하는 단위(Bearer 단위), 목적지 IP 주소 단위로 구분할 수 있다.
TIN: Temporary Identity used in Next update
P-TMSI: Packet Temporary Mobile Subscriber
TAU: Tracking Area Update
GBR: Guaranteed Bit Rate
GTP: GPRS Tunneling Protocol
TEID: Tunnel Endpoint ID
GUTI: Globally Unique Temporary Identity, MME에 알려진 UE 식별자
도 1은 본 발명이 적용될 수 있는 LTE 시스템에 관련된 EPS(Evolved Packet System)의 일 예를 나타낸 도이다.
LTE 시스템은 사용자 단말(UE)과PDN(packet data network) 간에, 사용자가 이동 중 최종 사용자의 응용프로그램 사용에 방해를 주지 않으면서, 끊김 없는 IP 연결성(Internet Protocol connectivity)을 제공하는 것을 목표로 한다. LTE 시스템은, 사용자 단말과 기지국 간의 무선 프로토콜 구조(radio protocol architecture)를 정의하는 E-UTRAN(Evolved Universal Terrestrial Radio Access Network)를 통한 무선접속의 진화를 완수하며, 이는 EPC(Evolved Packet Core) 네트워크를 포함하는 SAE(System Architecture Evolution)에 의해 비-무선적 측면에서의 진화를 통해서도 달성된다. LTE와 SAE는 EPS(Evolved Packet System)를 포함한다.
EPS는 PDN 내에서 게이트웨이(gateway)로부터 사용자 단말로 IP 트래픽 을 라우팅하기 위해 EPS 베어러(EPS bearers)라는 개념을 사용한다. 베어러(bearer)는 상기 게이트웨이와 사용자 단말 간에 특정한 QoS(Quality of Service)를 갖는 IP 패킷 플로우(IP packet flow)이다. E-UTRAN과 EPC는 응용 프로그램에 의해 요구되는 베어러를 함께 설정하거나 해제(release)한다.
EPC는 CN(core network)이라고도 불리며, UE를 제어하고, 베어러의 설정을 관리한다.
도 1에 도시된 바와 같이, 상기 SAE의 EPC의 노드(논리적 혹은 물리적 노드)는 MME(Mobility Management Entity)(30), PDN-GW 또는 P-GW(PDN gateway)(50), S-GW(Serving Gateway)(40), PCRF(Policy and Charging Rules Function)(60), HSS (Home subscriber Server)(70) 등을 포함한다.
MME(30)는 UE와 CN간의 시그널링을 처리하는 제어노드이다. UE와 CN 간에 교환되는 프로토콜은 NAS(Non-Access Stratum) 프로토콜로 알려져 있다. MME(30)에 의해 지원되는 기능들의 일례는, 베어러의 설정, 관리, 해제를 포함 하여 NAS 프로토콜 내의 세션 관리 계층(session management layer)에 의해 조작되는 베어러 관리(bearer management)에 관련된 기능, 네트워크와 UE 간의 연결(connection) 및 보안(Security)의 설립에 포함하여 NAS 프로토콜 계층 에서 연결계층 또는 이동제어계층(mobility management layer)에 의해 조작 된다.
S-GW(40)는 UE가 기지국(eNodeB) 간에 이동할 때 데이터 베어러를 위한 로컬 이동성 앵커(local mobility anchor)의 역할을 한다. 모든 사용자 IP 패킷은 S-GW(40)을 통해 송신된다. 또한 S-GW(40)는 UE가 ECM-IDLE 상태로 알려진 유휴 상태(idle state)에 있고, MME가 베어러를 재설정(re-establish)하기 위해 UE의 페이징을 개시하는 동안 하향링크 데이터를 임시로 버퍼링할 때 베어러에 관련된 정보를 유지한다. 또한, GRPS(General Packet Radio Service), UMTS(Universal Mobile Telecommunications System) 와 같은 다른 3GPP 기술과의 인터워킹(inter-working)을 위한 이동성 앵커 (mobility anchor)의 역할을 수행한다.
P-GW(50)은 UE를 위한 IP 주소 할당을 수행하고, QoS 집행(Qos enforcement) 및 PCRF(60)로부터의 규칙에 따라 플로우-기반의 과금(flow-based charging)을 수행한다. P-GW(50)는 GBR 베어러(Guaranteed Bit Rate(GBR) bearers)를 위한 QoS 집행을 수행한다. 또한, CDMA2000이나 WiMAX 네트워크와 같은 비3GPP(non-3GPP) 기술과의 인터워킹을 위한 이동성 엥커(mobility anchor) 역할도 수행한다.
PCRF(60)는 정책 제어 의사결정(policy control decision-making)을 수행하고, 플로우-기반의 과금(flow-based charging)을 수행한다.
HSS(70)는 HLR(Home Location Register)이라고도 불리며, EPS-subscribed QoS 프로파일(profile) 및 로밍을 위한 접속제어에 정보 등을 포함 하는 SAE 가입 데이터(SAE subscription data)를 포함한다. 또한, 사용자가 접속하는 PDN에 대한 정보 역시 포함한다. 이러한 정보는 APN(Access Point Name) 형태로 유지될 수 있는데, APN는 DNS(Domain Name system) 기반의 레이블(label)로, PDN에 대한 엑세스 포인트 또는 가입된 IP 주소를 나타내는 PDN 주소를 설명하는 식별기법이다.
도 1에 도시된 바와 같이, EPS 네트워크 요소(EPS network elements) 들 간에는 S1-U, S1-MME, S5/S8, S11, S6a, Gx, Rx 및 SG와 같은 다양한 인터페이스가 정의될 수 있다.
도 2는 본 발명이 적용되는 무선통신 시스템을 나타낸다.
이는 E-UTRAN(Evolved-UMTS Terrestrial Radio Access Network), 또는 LTE(Long Term Evolution)/LTE-A 시스템이라고도 불릴 수 있다.
E-UTRAN은 단말(10; User Equipment, UE)에게 제어평면(control plane)과 사용자 평면(user plane)을 제공하는 기지국(20; Base Station, BS)을 포함한다.
기지국(20)들은 X2 인터페이스를 통하여 서로 연결될 수 있다. 기지국(20)은 S1 인터페이스를 통해 EPC(Evolved Packet Core), 보다 상세 하게는 S1-MME를 통해 MME(Mobility Management Entity)와 S1-U를 통해 S-GW(Serving Gateway)와 연결된다.
EPC는 MME, S-GW 및 P-GW(Packet Data Network-Gateway)로 구성 된다. MME는 단말의 접속 정보나 단말의 능력에 관한 정보를 가지고 있으며, 이러한 정보는 단말의 이동성 관리에 주로 사용된다. S-GW는 E-UTRAN을 종단점 으로 갖는 게이트웨이이며, P-GW는 PDN을 종단점으로 갖는 게이트웨이이다.
단말과 네트워크 사이의 무선인터페이스 프로토콜(Radio Interface Protocol)의 계층들은 통신시스템에서 널리 알려진 개방형 시스템간 상호접속 (Open System Interconnection; OSI) 기준 모델의 하위 3개 계층을 바탕으로 L1(제1계층), L2(제2계층), L3(제3계층)로 구분될 수 있는데, 이 중에서 제1계층에 속하는 물리계층은 물리채널(Physical Channel)을 이용한 정보전송 서비스(Information Transfer Service)를 제공하며, 제 3계층에 위치하는 RRC(Radio Resource Control) 계층은 단말과 네트워크 간에 무선 자원을 제어하는 역할을 수행한다. 이를 위해 RRC 계층은 단말과 기지국간 RRC 메시지를 교환한다.
도 3은 LTE(-A) 시스템에 정의된 전체 네트워크를 고려한 보안설정 방법을 나타낸 도이다.
도 3을 참조하면, 현재 LTE/LTE-A 시스템은 단말에게 제공되는 서비스가 어떤 서비스냐에 상관없이 획일적으로Core Network의 제어개체(MME)에 대해 접속과 동시에 인증이 수행되고, 인증의 결과로 NAS/AS 키가 설정되어 서비스를 제공받기 위한 통신을 수행하게 된다.
도 4는 E-UTRAN에서의 초기 키 활성화 절차의 일례를 나타낸 흐름도이다.
도 5는 E-UTRAN에서 초기접속 시 인증 및 키 설정 절차를 나타낸 흐름도 이다.
즉, 도 4는 4G System(LTE(-A) 시스템)에서 사용자가 초기접속을 수행 할 때, 해당 사용자 단말에 대한 인증 및 키 설정이 이루어지는 전반적인 절차를 나타낸다.
도 4를 참조하면, 사용자 단말은 Random Access를 수행한 이후, 1 내지 3 절차(RRC Connection Setup Request, RRC Connection Setup, RRC Connection Setup Complete)를 통해 기지국과 RRC 연결을 설정한다.
이후, MME로의 Attach 절차를 통해, 인증과 AS/NAS 계층의 데이터/제어 시그널링 보호를 위한 키 설정을 수행한다.
도 5는 도 4에 도시된 망 접속 절차에서 수행되는 인증절차를 좀 더 구체적으로 나타낸 도이다.
도 5에서는 사용자 단말의 초기접속 시 필수적으로 이루어지는 부분들만을 표시하였고, 일부 상황에 따라 선택적으로 수행될 수 있는 부분들은 제외하였다.
다음, 도 6 내지 도 10을 참조하여 본 명세서에서 제안하는 방법들이 적용 될 수 있는 다음 세대 RAN을 지원하기 위한 무선통신 시스템 구조의 일례들을 살펴본다.
도 6은 본 명세서에서 제안하는 방법들이 적용될 수 있는 다음 세대 RAN을 지원하기 위한 무선통신 시스템 구조의 일례를 나타낸 도이다.
다음 세대 RAN을 지원하기 위한 무선통신 시스템 구조는 ‘고 수준 구조 (high level architecture)’로 표현될 수 있다.
다음 세대(Next Generation)는 “Next Gen” 등으로 간략히 표현될 수 있으며, 상기 다음 세대는 5G 등을 포함한 미래의 통신세대를 일컫는 용어를 통칭 할 수 있다.
설명의 편의를 위해, 이하 다음 세대를 “Next Gen”으로 표현 또는 호칭 하기로 한다.
본 명세서에서 제안하는 방법들이 적용될 수 있는 “Next Gen”의 구조는 new RAT(s), 진화된(evolved) LTE 및 non-3GPP access type들을 지원 하지만, GERAN 및 UTRAN은 지원하지 않는다.
상기 non-3GPP access type들의 일례는, WLAN access, Fixed access 등이 있을 수 있다.
또한, “Next Gen” 구조는 다른 access system들에 대해 통합인증 프래임워크(unified authentication framework)를 지원하며, 다수의 접속 기술(access technology)들을 통해 다수의 단말들과 동시연결을 지원한다.
또한, “Next Gen” 구조는 core network 및 RAN의 독립적인 진화를 허용하고, 접속 의존성(access dependency)를 최소화시킨다.
또한, “Next Gen” 구조는 control plane 및 user plane 기능들에 대한 분리를 지원하며, IP packet들, non-IP PDUs 및 Ethernet frame들의 전송을 지원한다.
도 6을 참조하면, “Next Gen” 구조는 NextGen UE(610), NextGen RAN(620), NextGen Core(630), Data network(640)을 포함할 수 있다.
여기서, “Next Gen”의 무선통신 시스템에서 단말은 ‘NextGen UE’로, 단말과 기지국 간의 무선 프로토콜 구조를 정의하는 RAN은 ‘NextGen RAN’으로, 단말의 이동성 제어, IP packet 플로우 관리 등을 수행하는 Core Network는 ‘NextGen Core’로 표현될 수 있다.
일례로, ‘NextGen RAN’은 LTE(-A) 시스템에서의 E-UTRAN에 대응될 수 있으며, ‘NextGen Core’는 LTE(-A) 시스템에서의 EPC에 대응될 수 있으며, LTE EPC에서의 MME, S-GW, P-GW 등과 같은 기능을 수행하는 network entity 들도 NextGen Core에 포함될 수도 있다.
상기 NextGen RAN과 상기 NextGen Core 간에는 NG1-C interface 및 NG1-U interface가 존재하며, 상기 NextGen Core와 상기 Data Network 간에는 NG-Gi interface가 존재한다.
여기서, NG1-C는 NextGen RAN과 NextGen Core 사이의 control plane을 위한 레퍼런스 포인트(Reference Point)를 나타내며, NG1-U는 NextGen RAN과 NextGen Core 사이의 user plane을 위한 레퍼런스 포인트를 나타낸다.
NG-NAS는 도 6에 도시되지는 않았지만, NextGen UE와 NextGen Core 사이의 control plane을 위한 레퍼런스 포인트를 나타낸다.
또한, NG-Gi는 NextGen Core와 Data network 사이의 레퍼런스 포인트 를 나타낸다.
여기서, Data network는 오퍼레이터 외부 공중망(operator external public network) 또는 개인 데이터 망(private data network) 또는 인트라-오퍼레이터 데이터 망(intra-operator data network) 등일 수 있다.
도 7은 본 명세서에서 제안하는 방법들이 적용될 수 있는 다음 세대 RAN을 지원하기 위한 무선통신 시스템 구조의 또 다른 일례를 나타낸 도이다.
특히, 도 7은 도 6의 NextGen Core를 control plane(CP) 기능과 user plane(CP) 기능으로 세분화하고, UE/AN/AF 간의 인터페이스를 구체적으로 나타낸다.
도 7을 참조하여, flow 기반의 QoS handling 방법에 대해 좀 더 구체적으로 살펴본다.
도 7을 참조하면, 본 발명이 적용되는 무선 통신 시스템에서 QoS(Quality Of Service)의 정책은 아래와 같은 이유들에 의해서 CP(Control Plane) Function(531)에서 저장되고 설정될 수 있다.
UP(User Plane) Function(532)에서의 적용
QoS 적용을 위한 AN(Admission Control, 520)과 UE(510)에서의 전송
도 7에 도시된 바와 같이, CP functions 및 UP functions은 NextGen CN에 포함되는 function들로서(점선으로 표시), 하나의 물리적인 장치에 의해 구현되거나 또는 각각 다른 물리적인 장치에 의해 구현될 수 있다.
도 8 내지 도 10은 본 명세서에서 제안하는 방법들이 적용될 수 있는 다음 세대 RAN을 지원하기 위한 무선통신 시스템 구조의 또 다른 일례를 나타낸 도이다.
즉, 도 8 내지 도 10은 본 명세서에서 전반적으로 설명되는 네트워크 슬라이싱(Network Slicing) 개념을 포함하는 다음 세대 RAN을 지원하기 위한 무선통신 시스템 구조의 일례들을 나타낸다.
구체적으로, 도 8은 common 및 slice specific function들을 가지는 network slicing에 대한 control plane interface들을 나타내며, 도 9는 network slicing 개념을 포함하는 core part를 나타내며, 도 10은 Attach 이후에 Core NSI에 할당되는 단말들을 나타낸 도이다.
도 9를 참조하면, NextGen Core(또는 5G Network Core)의 control plane은 2가지 타입의 Network Functions(NFs)으로 구분된다.
상기 2 가지 타입의 NFs는 CCNF(Common Control Plane Network Function)과 SCNF(Slice-specific Control Plane Network Functions) 일 수 있다.
상기 CCNF는 C-CPF 등으로 표현될 수도 있다.
상기 CCNF는 NextGen Core 내 NSI들 사이에서 공통의 기본적인 functions operation을 지원하기 위한 기본적인 control plane network functions의 세트이다.
또한, Core Network Slice는 Core Network Instance로 표현될 수도 있다.
도 11은 본 명세서에서 제안하는 방법이 적용될 수 있는 네트워크 슬라이싱 의 기본 개념도의 일례를 나타낸 도이다.
도 11에서의 가정은 특정 PLMN의 특정 Network Slice는 Radio Interface를 통해 연결된 어떠한 단말에게도 보이지 않는다는 것이다.
따라서, Slice Routing과 Selection을 위한 Function이 필요하다.
이는 단말의 RB(Radio Bearer)를 적절한 Core Network Instance로 연결하는 역할을 수행한다.
요약하면, RAN은 단말에게 RAT + PLMN으로만 보이며, 상기 단말이 어떤 Network Slice(Network Instance)로 연계되는지는 Network 내부에서 수행 되며, 상기 단말은 관여하지 않는다.
한편, Slice Selection과 Routing Function은 RAN에 의해 제공될 수 있고, 이는 현재 4G 시스템의 기지국에 의해 수행되는 기능들 중 하나인 NNSF (Network Node Selection Function)과 유사하다.
Slice Selection과 Routing Function은 Core Network에 의해서도 제공될 수 있다.
도 12는 본 명세서에서 제안하는 방법이 적용될 수 있는 다수의 core network instance들 사이에서 공통의 C-plane functions의 세트를 공유하는 도를 나타낸다.
앞서 언급한 바와 같이, 5G Network Architecture는 Network Slicing 개념을 Core Network에 수용하는 형태로 구성될 것으로 예상되고 있다.
도 12는 이러한 구조의 일례를 나타내며, 도 12에 도시된 Architecture 에 따라, 단말은 Common CPF들을 통해 실제 서비스를 위한 CNI들로 연결된다.
도 13은 LTE(-A) 시스템에서 정의된 E-UTRAN access와 Non-3GPP access 간 연동의 일례를 나타낸다.
도 13a는 E-UTRAN access와 Untrusted Non-3GPP access 간의 연동을 나타내며, 도 13b는 UTRAN access와 Trusted Non-3GPP access 간의 연동을 나타낸다.
LTE/LTE-A 시스템은 도 13a 및 도 13b에 도시된 바와 같이, 셀룰러 (Cellular) RAN과 와이파이(Wi-Fi)를 병합하기 위한 한 가지 방법으로써, Wi-Fi를 Cellular RAN에 대한 오프로딩(Offloading) 용도로서, 2가지 모델을 정의하고 있다.
이는 LTE 네트워크 인프라(3GPP Core)를 이용하여 LTE Access와 WLAN Access를 병합하는 방법이다.
도 13과 같은 모델에서는 단말이 3GPP Access를 통해 3GPP Core에 접속 하여 인증을 수행하더라도, 이후 WLAN 등의 Non-3GPP Access를 통해 3GPP Core에 접속하고자 하는 경우에는 다시 인증을 수행하도록 설계되어 있다.
도 13의 모델에 대해 좀 더 구체적으로 살펴본다.
LTE/LTE-A 시스템의 경우, Cellular E-UTRAN과 Wi-Fi로 대표되는 Non -3GPP Access를 연동하는데 있어서, E-UTRAN과 Non-3GPP Access 간 이동성 을 지원하기 위해, Non-3GPP Access에서 E-UTRAN으로 Handover하거나 또는 E-UTRAN에서 Non-3GPP Access로 Handover하는 경우, Full Access 인증 (Authentication) 절차를 수행해야 하며, 단말의 이동성(Mobility) 시나리오 에 따라 다른 절차들이 수행되어야 한다.
이 경우, 시스템의 엔터티들(또는 노드들) 간에 과도한 메시지 교환을 초래 하며, System의 복잡도를 증가시키는 요인으로 작용할 수 있다.
통상적으로, Non-3GPP Access는 Trusted Access와 Un-trusted(또는 Non-trusted) Access의 2가지 Type으로 분류된다.
또한, Full Access Authentication 절차를 수행한다는 의미는 핸드오버 를 수행할 때마다 AAA(Authentication, Authorization, Accounting) 서버에 접속하여 단말의 인증 및 키 설정 등과 같은 보안설정을 수행하는 것을 말한다.
즉, Full Access Authentication 절차를 수행할 경우, 엄청나게 긴 지연이 초래될 수 있다.
도 13a에 도시된 Untrusted Non-3GPP Access 방법은 LTE 표준의 시작 이라고 할 수 있는 Rel-8에서부터 정의된 방법으로, 단말이 LTE 네트워크의 인프라와 직접적인 연동을 통해 Wi-Fi Access망을 경유하여 LTE Core 망으로 접속하는 구조를 나타낸다.
이 때, 단말은 WLAN을 경유하여 LTE Core 망과 접속하기 위해 MOBIKE (시그널링)와 IPSec(베어러)를 통해 ePDG와 연동한다.
즉, ePDG는 MOBIKE와 IPSec 프로토콜의 정합을 수행하며, 단말에 대한 LTE 시스템과의 연동을 위해 P-GW 및 AAA와 연동한다.
도 13a의 ePDG 구조에서 P-GW는 WLAN 단말에 대해 APN 별로 LTE와 WLAN 간 Inter-RAT 핸드오버를 제공한다.
단말과 ePDG는 IPSec 암호화 Tunnel을 이용하여 3GPP에서 요구하는 End -to-End Trusted Network를 구성한다.
이 방법에서, 단말은 단일 APN에 대한 트래픽을 LTE 또는 WLAN 중 하나만 을 통해 전달하므로, WLAN을 LTE RAN에 대한 Offload 용도로 사용하는 방법으로 구분할 수 있다.
도 13a와 같이, ePDG를 이용한 LTE/WLAN 병합(또는 연동) 방법은 단말 내의 MOBIKE와 IPSec 프로토콜을 통해 LTE 노드와 직접통신을 함으로써 개인용 Wi-Fi AP를 포함하여 Outdoor AP 등 WLAN 인프라의 형태에 관계없이 다양하게 구축되어 있는 기존 WLAN 인프라를 LTE RAN과 병합할 수 있는 장점이 있다.
다만, 도 13a의 LTE/WLAN 병합(또는 연동) 방법은 단말에 MOBIKE 및 IPSec 프로토콜이 탑재되어 있어야 하는 “단말 의존성” 제약사항이 존재한다.
반면, 도 13b에 도시된 TWAG(Trusted WLAN Access Gateway)를 이용한 LTE/WLAN 병합 방법은 3GPP Rel-11에서 정의된 방법으로, Rel-8에서 ePDG가 정의된 이후에 “단말 의존성”이 서비스의 중대한 걸림돌로 부각됨에 따라, 단말 의존성을 제거하기 위해, WLAN 인프라와 LTE 인프라가 연동하여 WLAN을 LTE에 접목시키는 구조를 나타낸다.
도 13b의 방법에서, 단말은 WPA2 Enterprise 방식의 802.1x 인증절차 를 통한 WLAN 접속기능만을 필요로 하며, TWAG는 WLAN 네트워크와의 시그널링/ 베어러 종단을 수행하며, P-GW 및 AAA와 연동한다.
TWAG의 서비스 형태는 ePDG의 구조와 유사하게 P-GW는 WLAN 단말에 대해 APN 별로 LTE와 WLAN 간의 Inter-RAT 핸드오버를 제공하며, TWAG와 WLAN Network는 상호연동을 통해 단말에 대한 이동성 및 End-to-End Trusted Network의 구성을 제공한다.
이 방법에서도 단말은 ePDG의 경우와 동일하게 단말 APN에 대한 트래픽을 LTE 또는 WLAN 중 하나만을 통해 전달하므로, WLAN을 LTE RAN에 대한 Offload 용도로 사용할 수 있다.
단, ePDG의 경우에는 단말이 사용하는 APN 정보를 IKE 시그널링 과정에서 전달하므로, WLAN을 통해 1개 이상의 APN을 접속할 수 있다.
하지만, TWAG의 경우에는 단말이 TWAG와 직접적인 통신을 하지 않기 때문에 다수의 APN을 구성하지 못하는 제약이 있다.
TWAG 구조는 도 13a의 ePDG 구조의 단말 의존성을 제거하기 위해, WLAN 네트워크 자체를 Untrusted Network가 아닌 Trusted Network로 전환하고, WLAN과 TWAG 간에 트래픽 터널을 사용함으로써, 단말에 필요했던 IPSec 암호화 터널의 필요성을 제거하였다.
또한, TWAG 구조는 단말이 WPA2 Enterprise 접속을 위해 사용하는 RADIUS 인증 및 DHCP 프로토콜 표준절차를 TWAG에서 정합하고, 단말의 이동성 여부를 판단하여 적절히 LTE 노드들과 시그널링 함으로써 단말에서 LTE 접속 및 이동성 제어를 위해 필요했던 MOBIKE 프로토콜을 제거하였다.
이를 통해, TWAG를 이용한 LTE/WLAN 병합방법은 ePDG 방법에서 단점으로 작용했던 단말에 대한 의존성을 제거하고 최적의 단말 사용환경을 만들 수 있다는 장점이 있다.
다만, TWAG와 WLAN 네트워크 간의 연동성 제공을 위해 기존에 구축된 WLAN 인프라에 대한 개선이 필요할 수도 있다.
도 13에서 살핀, 2가지 모델들은 모두 단말이 LTE Access 망을 통해 3GPP 망 개체인 MME에 접속하여 인증을 받았다고 할지라도, 이후, 단말은 Non-3GPP Access(e.g., WLAN)를 통해 3GPP AAA 서버에 접속하여 Full Access 인증을 수행해야 한다.
통상적으로, AAA 서버는 WLAN AP와 멀리 떨어져 있기 때문에, Non-3GPP Access Interworking을 위한 Full Access 인증을 수행할 경우, 시그널링 오버헤드와 지연이 발생하게 된다.
이와 같은 시그널링 오버헤드와 지연은 URLLC 서비스를 제공하는 5G 시스템 에서는 큰 문제가 될 수 있다.
5G 시스템은 최적화된 Multi-RAT Operation을 제공해야 한다.
즉, 도 13와 같은 LTE/WLAN Interworking 방법에 있어서 Non-3GPP Access의 경우 LTE 시스템과 동일한 Core Network를 사용함에도 불구하고, 3GPP Access와는 다른 인증, 보안 키 생성 및 관리 메커니즘을 가지고 있기 때문에 다시 Full Access 인증을 통한 Security Setup에 발생하는 OTA Signaling과 지연을 감소시켜야 함을 의미한다.
또한, 5G 등 향후 차세대 시스템의 경우, 높은 수준의 통신품질을 만족 시키기 위해 다양한 RAT을 통한 다중 접속의 가용성/Reliability에 크게 의존 하는 새로운 MCS들이 출현할 것으로 예상된다.
따라서, 이러한 신규 Application들을 제공하기 위해서는 접속하고자 하는 RAT에 대한 의존성을 낮추기 위해, 동일한 Core 망에 접속할 경우, 동일 단말에 대해 각각의 RAT 별로 인증을 수행하도록 하는 문제가 해결될 필요가 있다.
이러한 관점에서, 본 명세서에서는 5G 시스템의 “Truly Reliable Communication”을 실현하며, 5G 시스템에서, Non-3GPP Access를 위한 SIP (Security Interworking Proxy)을 새롭게 정의하고, 이에 기반하여 단말의 인증 및 보안설정 방법을 제공한다.
즉, 본 명세서에서는 신규 Application들에 대해 단말이 Multi-RAT (3GPP Access, Non-3GPP Access 등)을 통해 다중연결을 설정하거나 혹은 Multi-RAT 간(예: 3GPP Access로부터 Non-3GPP Access로) 핸드오버를 할 경우에 대비하여, 한번 3GPP Access를 통해서 3GPP Core에 인증을 완료한 단말에 대해, 단말이 접속한 기지국에 인접한 다른 Non-3GPP Access 기지국들을 제어하는 5G New RAT의 망 개체(논리적 혹은 물리적)인 SIP에 해당 단말의 인증여부와 Non-3GPP Access를 위한 보안설정을 일정시간 동안 저장하도록 함으로써, 이후 발생할 수 있는 Non-3GPP Access에 대해 재 인증 없이 SIP에 저장된 보안설정에 따라 빠르게 서비스를 제공받을 수 있도록 하는 방법을 제공한다.
이를 통해, 기존 LTE/LTE-A 시스템에서의 Non-3GPP Access Interworking에서와 같이 해당 Non-3GPP Access에 대해 별도의 인증을 수행함에 의해 발생될 수 있는 시그널링 오버헤드와 지연을 줄일 수 있게 된다.
상기 신규 Application들은 1ms 이하의 저지연 요구사항을 만족시키면서 동시에 높은 신뢰성(Packet Error Rate < 10-6)과 가용성(Availability > 99.999%)이 요구되는 Application을 말한다.
이하, 본 명세서에서 제안하는 신규 5G RAT/Core의 개체인 SIP (Security Interworking Proxy)를 정의하고, SIP를 통해 Non-3GPP Access에 대해 인증 없이 빠르게 보안을 설정하는 방법에 대해 다양한 실시 예들과 관련 도면을 참조하여 구체적으로 살펴보기로 한다.
제
1
실시
예
제 1 실시 예는 3GPP Access 인증개체인 MME와 Non-3GPP Access 인증 개체인 AAA 서버가 함께 위치(Collocated)되어 있고, 상호간에 인터페이스의 존재여부를 고려하여 SIP를 통해 Non-3GPP Access에 대해 인증 없이 빠르게 보안을 설정하는 방법을 제공한다.
제 1 실시 예에서 설명하는 방법 1은 3GPP Access 인증개체인 MME와 Non-3GPP Access 인증개체인 AAA 서버 간에 인터페이스가 존재하는 경우에 해당하며, 제 1 실시 예에서 설명하는 방법 2는 3GPP Access 인증개체인 MME가 종래 MME와 달리 Non-3GPP Access 인증개체를 포함하는 경우에 해당한다.
(방법 1)
먼저, MME는 단말의 접속요청을 수신하여, 상기 단말에 대한 인증절차를 수행한다.
이후, 상기 MME는 단말 식별자와 함께 Non-3GPP Access를 위한 무선 구간의 키 생성을 위한 키를 생성하도록 AAA 서버에 요청한다.
또한, MME는 단말로부터 Non-3GPP Access Type 등의 정보를 수신하여 Non-3GPP Access를 제어하는 인증서버를 결정한다.
이후, 상기 AAA 서버는 MME의 요청에 따라 Non-3GPP Access를 위한 무선구간의 키 생성을 위한 키를 생성하여 상기 MME에게 전달한다.
여기서, 상기 무선구간의 키 생성을 위한 키는 RAT Independent Security Context 또는 RAT specific Security Context일 수 있으며, 바람직하게는 상기 RAT specific Security Context일 수 있다.
상기 RAT Independent Security Context는 LTE 시스템의 KASME에 대응하는 할 수 있으며, 상기 RAT specific Security Context는 LTE 시스템의 KeNB에 대응하는 할 수 있다.
이후, 상기 MME는 해당 단말에 대해 인증여부와 Non-3GPP Access를 위한 무선구간의 키 생성을 위한 키를 SIP로 전달한다.
이후, 상기 SIP는 단말의 접속 기지국 근처에 존재하는 Non-3GPP Access 기지국(들)로 해당 단말의 식별자 및 상기 인증여부에 대한 정보를 전달한다.
또는, 상기 SIP는 해당 단말의 식별자 및 상기 인증여부에 대한 정보를 Non-3GPP Access 기지국들을 제어하는 Rel-13에 정의된 WT(WLAN Termination)으로 전달할 수 있다.
이 경우에는 기지국과 WT 간에 Xw인터페이스가 존재하여 해당 정보들을 기지국이 직접 WT로 전달하는 것도 가능하다.
이후, AP는 상기 단말로부터 Non-3GPP Access를 통해 접속요청을 수신 하면, AAA 서버로 Full Access 인증절차 없이 SIP를 통해 키를 전달받아 무선 구간의 키를 생성한다.
(방법 2)
방법 2는 살핀 것처럼, 3GPP Access 인증개체인 MME와 Non-3GPP Access 인증개체인 AAA 서버가 Collocated되어 있고, 상호 간에 인터페이스가 존재하지 않는 경우의 SIP를 통한 빠른 보안설정 방법을 나타낸다.
방법 2는 3GPP Access를 위한 인증개체, Non-3GPP Access를 위한 인증개체가 분리되지 않고, 하나의 인증개체(e.g., 5G Authentication Unit)가 모든 Access에 대한 인증기능을 포함하는 경우에 적용될 수 있다.
먼저, MME는 단말의 접속요청을 수신하여, 해당 단말에 대한 인증절차를 수행한다.
이후, 상기 MME는 추가적으로 Non-3GPP Access를 위한 무선구간의 키 생성을 위한 키를 생성하여 SIP로 전달한다.
즉, 상기 MME는 AAA의 기능을 일부 포함한다.
방법 1에서와 마찬가지로, 상기 무선구간의 키 생성을 위한 키는 RAT Independent Security Context 또는 RAT specific Security Context일 수 있으며, 바람직하게는 상기 RAT specific Security Context일 수 있다.
상기 RAT Independent Security Context는 LTE 시스템의 KASME에 대응하는 할 수 있으며, 상기 RAT specific Security Context는 LTE 시스템 의 KeNB에 대응하는 할 수 있다.
이후, 상기 SIP는 단말의 접속 기지국 근처에 존재하는 Non-3GPP Access 기지국으로 해당 단말의 식별자 및 인증여부에 대한 정보를 전달한다.
이후, AP는 해당 단말로부터 접속요청을 수신하면, AAA 서버로 Full Access 인증절차 없이 SIP를 통해 키를 전달받아 무선구간의 키를 생성한다.
제 1 실시 예의 방법 1 및 방법 2에 대한 효과는 앞서도 살핀 것처럼, Multi-RAT(3GPP Access, Non-3GPP Access)을 통해 다중연결을 설정하거나, 또는 3GPP Access로부터 Non-3GPP Access로 핸드오버를 할 경우, 3GPP Access를 통해 인증을 수행한 단말은, 이후, Non-3GPP Access를 통해 접속을 시도하거나, 또는 Non-3GPP Access로 핸드오버를 할 경우, Full Access 인증 없이 SIP를 통해 무선구간의 키 생성을 위한 키를 수신함으써 빠르게 보안설정을 할 수 있다.
이로 인해, 망 관점에서 시그널링 오버헤드가 감소되게 된다.
도 14는 본 명세서에서 제안하는 SIP가 포함되는 신규 5G 망 구조의 일례를 나타낸다.
구체적으로, 도 14a는 신규 5G 망 구조에서의 3GPP Access와 Untrusted Non-3GPP Access 연동의 일례를 나타내며, 도 14b는 신규 5G 망 구조에서의 3GPP Access와 Trusted Non-3GPP Access 연동의 일례를 나타낸다.
도 15는 본 명세서에서 제안하는 신규 5G 망 구조에서의 보안 컨텍스트 계층구조의 일례를 나타내며, 도 16은 본 명세서에서 제안하는 SIP가 포함되는 신규 5G 망 구조의 또 다른 일례들을 나타낸다.
즉, 도 15 및 도 16은 5G 시스템의 통합된 인증/보안(Authentication/ Security) 프래임워크 개념도의 일례들을 나타낸다.
도 15에 도시된 용어들은 아래와 같이 정의될 수 있다.
요청기능(Supplicant function): 네트워크 측의 peer와 인증절차를 수행하는 단말 내 기능을 말한다.
(The function inside the UE that executes the authentication process with the peer on network side.)
AAA 기능(AAA Function): 가입자 프로파일, 가입자 장기 자격증명 및 인증 알고리즘을 저장하는 홈 네트워크의 프로파일 저장 및 인증기능을 말한다.
(The profile repository and authentication function of the Home network, that stores the subscriber profile and the subscriber long-term credentials and authentication algorithms.)
CP-AU 인증기능(CP-AU Authentication Function): 단말인증 절차를 수행하고, 인증을 수행하기 위한 AAA 기능과 상호작용하는 코어 네트워크에서의 기능을 말한다.
(A function in the core network that performs UE authentication process and interacts with AAA functionality for carrying out the authentication.)
제 1 실시 예를 포함하여 이하에서 기술하는 본 명세서에서 제안하는 방법은 도 14에 도시된 신규 5G 망 구조에서 동작하는 것을 가정한다.
도 14를 참조하면, 서로 다른 RAT 별로 단말의 인증에 관여하는 Entity (3GPP AAA Server, MME)는 Collocated될 수 있고, 서로 간에 Interface가 존재할 수 있다.
즉, 3GPP Access와 Non-3GPP Access의 경우, MME와 AAA 서버가 Collocated될 수 있고, 서로간에 인증 및 보안키 관련 정보를 주고받을 수 있는 인터페이스가 존재할 수 있다.
또는, 도 14b와 같이, 3GPP Access를 위한 인증개체와 Non-3GPP Access를 위한 인증개체가 통합되는 시나리오의 경우, 즉 하나의 인증개체가 5G Core Network에 연결된 모든 타입의 Access에 대한 인증기능을 갖는 경우도 존재할 수 있다.
5G New Core는 SIP(Security Interworking Proxy)로 명명되는 신규 망 Entity를 수용하며, 상기 SIP는 5G Core와 5G New RAT, Non-3GPP Access를 연결하는 중간지점에 존재할 수 있다.
또한, 상기 SIP는 도 14에 도시된 바와 같이, MME 혹은 AAA와도 연결 되어 있을 수 있다.
도 17 및 도 18은 도 14에 도시된 신규 5G 망 구조에 따라 SIP 기반 인증 및 보안설정 절차의 일례들을 나타낸 흐름도이다.
구체적으로, 도 17은 제 1 실시 예의 방법 1에 대한 구체적인 세부동작을 나타내며, 도 18은 제 1 실시 예의 방법 2에 대한 구체적인 세부동작을 나타낸다.
먼저, 도 17에 대해 살펴본다.
도 17을 참조하면, 단말은 망 접속을 위한 요청(예: attach request)를 MME로 전송한다(S1701).
상기 attach request 메시지는 URLLC Access임을 명시하는 지시자, 상기 단말에게 설정된 주파수 대역의 Non-3GPP Access Type을 나타내는 정보, 해당 Non-3GPP Access Type에 대해 사용되는 Non-3GPP Access 전용 식별자 등에 대한 정보를 포함할 수 있다.
또는, 상기 단말은 기지국으로부터 상기 기지국에 인접한 Non-3GPP Access 기지국(e.g., AP)들에 대한 정보를 수신하여, 자신이 추가로 연결을 설정할 수 있는 Non-3GPP Access Type 정보를 파악할 수 있다.
여기서, 상기 단말에게 Non-3GPP Access를 위한 주파수 대역이 설정 되었다는 의미는 단말은 자신에게 설정된 주파수 대역의 Non-3GPP Access Point들을 식별할 수 있다는 것을 의미한다.
또한, Non-3GPP Access 전용 식별자의 일례로, Non-3GPP Access (e.g., Wi-Fi)가 단말 인증을 위해 EAP-AKA를 사용하는 경우에는 LTE/LTE-A 접속과 마찬가지로 IMSI(International Mobile Subscriber Identity)를 사용할 수 있으나, 다른 인증방식을 사용하는 경우에는 해당 인증방식에 특화된 단말 식별자가 사용될 수 있다.
이후, 상기 MME는 망 접속요청을 수신하여 해당 단말을 인증하며(S1702), 그 결과로 LTE/LTE-A와 동일하게 단말을 위한 NAS Key 및 AS Key를 설정한다.
이 과정에서, 상기 MME는 상기 단말이 보고한 Non-3GPP Access Type에 대해 추가적인 인증 없이 접속할 수 있음을 명시하는 지시자를 Attach Accept에 포함시켜 단말에게 전달한다.
이후, 상기 단말에 대한 인증이 MME에 의해 성공적으로 끝나면, 상기 MME 는 Non-3GPP Access를 담당하는 인증개체(예: 3GPP AAA)로 해당 단말에 대한 인증결과를 전달한다(S1703).
상기 MME로부터 Non-3GPP Access를 담당하는 인증개체로 전달되는 인증 결과는 Non-3GPP Access 전용 식별자, Non-3GPP Access 전용 식별자 단말에 대한 인증성공 여부를 명시하는 지시자, Non-3GPP Access를 위한 Security Context 등의 정보를 포함할 수 있다.
상기 Non-3GPP Access(e.g., Wi-Fi)를 위한 Security Context의 일례로, Non-3GPP Access를 위한 무선구간의 키 생성을 위한 Seed Key(MSK: Master Session Key)를 생성하기 위해 필요한 CK(Ciphering Key), IK(Integrity Key) 등을 들 수 있다.
상기 CK, IK는 일례로서, 추후 5G 시스템에서 동일한 기능으로 정의되는 key의 표현으로 대체 가능할 수 있다.
CK, IK는 단말이 MME에 의해 성공적으로 인증이 되는 경우 생성되는 KASME로부터 생성될 수 있다.
상기 MME가 Non-3GPP Access를 위한 무선구간의 키 생성을 위해 KASME 로부터 CK, IK를 사용하는 경우는 단말이 Non-3GPP Access를 위한 인증 방식으로 EAP-AKA를 사용할 경우로 제한될 수 있다.
만약, Non-3GPP Access를 위한 인증방식으로 EAP-AKA가 아닌 다른 인증방식을 사용할 경우, 상기 MME는 해당 인증방식에서 사용하는 Non-3GPP Access 전용 식별자 단말에 대해, 무선구간의 키 생성을 위한 별도의 키를 생성 하여, 별도로 생성된 키로부터 무선구간의 키를 생성하기 위한 Seed Key를 생성할 수 있다.
그리고, 상기 MME는 해당 Seed Key를 Non-3GPP Access를 담당하는 인증개체로 전달해줄 수 있다.
상기 Non-3GPP Access(e.g., Wi-Fi)를 위한 Security Context의 또 다른 일례로, Non-3GPP Access를 위한 무선구간의 키 생성을 위한 Seed Key (MSK: Master Session Key)를 생성하기 위해 필요한 CK, IK 등을 생성하기 위해 필요한 RAND를 들 수 있다.
상기 RAND는 해당 단말에 대해 MME가 3GPP Access를 인증하기 위해 생성하는 값으로, 상기 MME는 이를 그대로 AAA에 전달하여 해당 단말에 대해 3GPP Access를 인증하기 위해 사용된 RAND로부터 CK, IK를 생성하도록 할 수 있다.
이후, 상기 MME로부터 인증결과를 전달받은 Non-3PP Access 인증개체 (예: 3GPP AAA)는 이에 대한 응답으로 Non-3GPP Access 전용 식별자, Non-3GPP Access Security Context, Security Context Timer 등의 정보를 포함하는 Authentication Notification Ack을 전송한다(S1704).
상기 Non-3GPP Access Security Context의 일례로는, 3GPP AAA가 CK, IK로부터 생성한 MSK를 들 수 있다.
또한, 상기 Security Context Timer는 URLLC를 위해 접속한 단말이 언제 Non-3GPP Access를 통해 접속할지를 알 수 없으므로, SIP가 해당 단말에 대한 Security Context를 유지하는 시간을 설정하는 타이머를 나타낸다.
즉, 상기 SIP는 자신이 수신한 Security Context Timer가 만료될 때까지 해당 단말이 Non-3GPP Access로 접속하지 않을 경우, 상기 단말의 (Non-3GPP Access) Security Context를 없앨 수(또는 삭제할 수) 있다.
이후, 상기 MME는 Non-3GPP Access 인증개체(3GPP AAA)로부터 수신한 (Non-3GPP Access) Security Context 정보(예: MSK)를 상기 단말이 접속한 기지국 주변에 위치하는 상기 단말이 감지한 Non-3GPP Access를 위한 접속 포인트(AP)들을 제어하는 신규 망 개체인 SIP로 전달한다(S1705).
또는, S1740 단계 및 S1750 단계의 간소화를 위해, 상기 MME로부터 인증 결과를 전달받은 Non-3PP Access 인증개체(3GPP AAA)는 상기 MME로 Non-3GPP Access 전용 식별자, Non-3GPP Access Security Context, Security Context Timer 등을 포함하는 Authentication Notification Ack을 MME로 전송하는 대신, 직접 SIP로 전달할 수도 있다.
이후, 상기 MME로부터 상기 단말에 대한 Non-3GPP Access를 위한 Security Context 정보를 전달받은 SIP는 상기 단말이 접속한 기지국 주변에 위치하는 단말이 감지한 Non-3GPP Access를 위한 접속 포인트들로 상기 단말에 대한 인증여부에 대한 정보를 전달한다(S1706).
여기서, 상기 접속 포인트(AP)들이 수신하는 인증여부에 대한 정보는 상기 단말의 Non-3GPP Access 전용 식별자를 포함할 수 있다.
SIP는 S1760 단계에서 수신한 정보를 security context timer의 설정 시간 동안(또는 만료 시까지) 유지한다(S1707).
이후, Security Context Timer가 만료되기 전에 단말이 Non-3GPP Access(e.g., Wi-Fi)를 통해 접속 포인트로 접속하는 경우(S1708), 상기 Non-3GPP Access의 접속 포인트는 SIP로 단말의 Security Context를 요청한다(S1709).
이후, 상기 SIP는 상기 단말의 Security Context에 대한 응답으로써, 해당 단말의 식별자와 Non-3GPP Access를 위한 Security Context를 접속 포인트로 전달한다(S1710).
여기서, 상기 접속 포인트의 일례로, AAA 서버와 AP간에 IPSec 터널이 설정되는 TWAG와 같은 개체를 운용하는 Trusted Non-3GPP Access 구조에서는 AP를 고려할 수 있다.
또한, ePDG와 같은 개체를 운용하는 Un-trusted Non-3GPP Access 구조 에서, AAA 서버는 AP가 아닌 ePDG로 해당 단말의 Security Context 대신 MME를 통한 해당 단말에 대한 인증성공의 여부를 명시하는 지시자를 전송할 수 있다.
이 경우, 상기 ePDG는 해당 단말로부터의 Non-3GPP Access를 인지하면, 추가적인 인증절차 없이 상기 단말과 IPSec 터널만 설정하면 된다.
다음으로, 도 18에 대한 세부적인 동작을 살펴본다.
도 18은 3GPP Access를 위한 인증개체와 Non-3GPP Access를 위한 인증개체가 분리되지 않고 하나의 인증개체로 구성된 경우로서, 도 18의 동작들은 도 17의 S1703 및 S1704 단계를 제외하고는 거의 동일하다.
따라서, 도 17과 동일한 부분에 대한 설명은 생략하고, 차이가 나는 부분 위주로 살펴보기로 한다.
S1801 및 S1802는 도 17의 S1701 및 S1702에 대한 설명을 참조한다.
S1802 단계 이후 즉, MME가 CK, IK로부터 MSK를 생성한 이후, 상기 MME는 상기 생성한 MSK를 포함하는 Security Context 정보를 단말이 접속한 기지국 주변에 위치하는 (단말이 감지한 Non-3GPP Access를 위한) 접속 포인트들을 제어하는 SIP로 전달한다(S1803).
상기 Security Context 정보는 상기 MSK 외에, Non-3GPP Access 전용 식별자, Security Context Timer(e.g., MSK Timer)등을 추가로 포함할 수 있다.
도 17에 도시된 바와 같이, Security Context Timer는 URLLC를 위해 접속한 단말이 언제 Non-3GPP Access를 통해 접속하는지 여부를 알 수 없으므로, SIP가 단말에 대한 Security Context를 유지하는 시간을 설정하기 위해 사용될 수 있다.
S1805 내지 S1808 단계는 도 17의 S1707 내지 S1710 단계와 동일하므로 구체적인 설명은 도 17을 참고하기로 한다.
제
2
실시
예
제 2 실시 예는 앞서 살핀 제 1 실시 예와 달리, 단말의 접속요청이 SIP를 경유하며, 해당 SIP는 단말의 Access Type에 따라 상기 단말의 접속요청을 분류하고, 각 Access Type에 해당하는 인증개체 (예: 3GPP Access 인증개체: MME, Non-3GPP Access 인증개체: 3GPP AAA)로 상기 단말의 접속요청을 전송함으로써, SIP 기반의 빠른 보안설정 방법을 제공한다.
제 2 실시 예는 앞서 살핀 제 1 실시 예에서와 마찬가지로, 3GPP Access 인증개체인 MME와 Non-3GPP Access 인증개체인 AAA 간의 인터페이스 존재여부 등을 고려하여 방법 1 및 방법 2로 구분할 수 있다.
(방법 1)
방법 1은 3GPP Access 인증개체인 MME와 Non-3GPP Access 인증개체인 AAA 서버가 Collocated되어 있는 경우의 SIP 기반의 빠른 보안 설정 방법을 제공한다.
방법 1은 MME와 AAA 서버 간에 인터페이스가 존재하는 경우를 나타내나, 상호 간에 인터페이스가 존재하지 않는 경우에도 적용 가능하다.
방법 1의 경우, SIP는 단말의 접속요청을 필터링하여 Access Type에 따라 상기 단말의 접속요청을 분기하여 각 해당 인증개체로 전송한다.
여기서, 상기 SIP는 단말로부터 Non-3GPP Access Type 정보를 수신하여 3GPP Access를 제어하는 인증개체(MME)와 Non-3GPP Access를 제어하는 인증개체(3GPP AAA)를 결정한다.
이후, MME와 (3GPP) AAA는 각각 SIP로부터 단말의 접속요청을 수신하여, 해당 단말에 대한 인증절차를 각각 수행한다.
이후, 상기 AAA는 상기 SIP로 단말 식별자와 함께 Non-3GPP Access를 위한 무선구간의 키생성을 위한 키를 생성하기 위한 키를 상기 SIP로 전달한다.
이후, 상기 SIP는 단말의 접속 기지국 근처에 존재하는 Non-3GPP Access 기지국(AP)로 해당 단말의 식별자 및 인증여부에 대한 정보를 전달한다.
이후, 상기 AP는 상기 단말로부터 접속요청을 수신하는 경우, AAA 서버로 Full Access 인증절차 없이 상기 SIP를 통해 키를 전달받아 무선구간의 키를 생성한다.
방법 2는 3GPP Access 인증개체인 MME와 Non-3GPP Access 인증개체인 AAA 서버가 Collocated되어 있고, 상호 간에 인터페이스가 존재하지 않는 경우의 SIP 기반의 빠른 보안 설정 방법을 제공한다. 즉, 방법 2는 3GPP Access를 위한 인증개체, Non-3GPP Access를 위한 인증개체가 분리되지 않고, 하나의 인증개체(e.g., 5G Authentication Unit)가 모든 Access에 대한 인증기능을 포함하는 경우에 적용될 수 있다.
방법 2의 경우, SIP는 단말의 접속요청을 MME에게 전달한다.
여기서, 상기 SIP는 상기 단말로부터 Non-3GPP Access Type 정보를 수신하여 3GPP Access를 제어하는 MME로 전달할 수 있다.
이후, 상기 MME는 단말의 접속요청을 수신하여, 상기 단말에 대한 인증절차 를 수행한다.
그리고, 상기 MME는 추가적으로 Non-3GPP Access를 위한 무선구간의 키 생성을 위한 키를 생성하기 위한 키를 생성하여 SIP로 전달한다.
왜냐하면, 방법 2의 경우 상기 MME는 AAA의 기능을 일부 포함하기 때문이다.
이후, 상기 SIP는 단말의 접속 기지국 근처에 존재하는 Non-3GPP Access 기지국(AP)로 해당 단말의 식별자 및 인증여부에 대한 정보를 전달한다.
이후, 상기 AP는 상기 단말로부터 접속요청을 수신하는 경우, AAA 서버로 Full Access 인증절차 없이 SIP를 통해 키를 전달받아 무선구간의 키를 생성 한다.
제 2 실시 예의 방법 1 및 방법 2에서 제안하는 방법은 도 14에 도시된 신규 5G 망 구조에서 동작하는 것을 가정한다.
이하, 제 2 실시 예의 방법 1 및 방법 2에 대한 세부적인 동작들을 도 19 및 도 20을 통해 각각 살펴보기로 한다.
도 19 및 도 20은 도 14에 도시된 신규 5G 망 구조에 따라 SIP 기반 인증 및 보안설정 절차의 일례들을 나타낸 흐름도이다.
먼저, 도 19에 대해 살펴본다.
도 19를 참조하면, 단말은 망 접속을 위한 요청(attach request)를 SIP 를 통해 MME로 전송한다(S1901).
상기 요청(attach request)는 단말에게 설정된 주파수 대역의 Non-3GPP Access Type 정보, 해당 Non-3GPP Access Type에 대해 사용되는 Non-3GPP Access 전용 식별자 등에 대한 정보를 포함할 수 있다.
도 19에 도시된 바와 같이, 단말의 망 접속을 위한 요청은 SIP를 반드시 거친다.
이는 SIP에 의해 인지된 망 접속 Access Type에 따라 상기 SIP가 어떤 인증개체로 상기 단말의 망 접속요청을 전달할지를 결정함을 의미한다.
또한, 상기 단말에게 Non-3GPP Access를 위한 주파수 대역이 설정된다는 것은 단말은 설정된 주파수 대역의 Non-3GPP Access Point들을 식별할 수 있다 는 것을 의미한다.
상기 Non-3GPP Access 전용 식별자의 일례로, Non-3GPP Access (e.g., Wi-Fi)가 단말인증을 위해 EAP-AKA를 사용하는 경우에는 LTE/LTE-A 접속과 마찬가지로 IMSI를 사용할 수 있으나, 다른 인증 방식을 사용하는 경우 에는 해당 인증방식에 특화된 단말 식별자(e.g., MAC 주소)가 사용될 수 있다.
이후, 상기 MME는 상기 단말의 망 접속요청을 수신하여 상기 단말에 대한 인증을 수행한다(S1902).
그 결과로, 상기 MME는 LTE/LTE-A 시스템과 동일하게 상기 단말을 위한 NAS Key 및 AS Key를 설정한다.
해당 과정에서, 상기 MME는 상기 단말이 보고한 Non-3GPP Access Type 에 대해 추가적인 인증 없이 접속할 수 있음을 명시하는 지시자를 Attach Accept에 포함시켜 상기 단말로 전달한다.
한편, 상기 SIP는 상기 단말이 인지한 Non-3GPP Access Type 정보에 따라 해당 Non-3GPP Access를 담당하는 인증개체(예: 3GPP AAA)로 상기 단말에 대한 인증요청을 전달한다(S1903).
이에 대한 결과로, 상기 MME는 상기 Non-3GPP Access를 담당하는 인증 개체로부터 Non-3GPP Access 전용 식별자, Non-3GPP Access를 위한 Security Context 등의 정보를 수신한다(S1904).
상기 Non-3GPP Access(e.g., Wi-Fi)를 위한 Security Context의 일례로, Non-3GPP Access를 위한 무선구간의 키 생성을 위한 Seed Key(MSK: Master Session Key)를 생성하기 위해 필요한 CK, IK 등을 들 수 있다.
상기 CK, IK는 단말이 AAA 서버에 의해 성공적으로 인증을 완료하면 생성 될 수 있다.
또한, 상기 Non-3GPP Access를 위한 무선구간의 키 생성을 위해 CK, IK를 사용하는 경우는 단말이 Non-3GPP Access를 위한 인증방식으로 EAP-AKA를 사용할 경우로 제한될 수 있다.
즉, 다른 인증방식을 사용할 경우, AAA는 해당 인증방식에서 사용하는 Non -3GPP Access 전용 식별자 단말에 대해, 무선구간의 키 생성을 위한 별도의 키를 생성하여 이를 Non-3GPP Access를 담당하는 SIP로 전달함으로써, 이 키로부터 무선구간의 키를 생성하기 위한 Seed Key를 생성하도록 할 수 있다.
이후, 상기 AAA로부터 단말에 대한 Non-3GPP Access를 위한 Security Context를 전달받은 SIP는 상기 단말이 접속한 기지국 주변에 위치하는 (단말이 감지한 Non-3GPP Access를 위한) 접속 포인트들로 해당 단말에 대한 인증여부에 대한 정보를 전달한다(S1905).
상기 해당 단말에 대한 인증여부에 대한 정보는 단말의 Non-3GPP 전용 식별자를 포함할 수 있다.
이후, 이미 인증받은 단말이 Non-3GPP Access (e.g., Wi-Fi)를 통해 접속하면(S1906), 상기 Non-3GPP Access의 접속 포인트(AP)는 Non-3GPP Access 전용 식별자를 통해 단말을 인지하여, 상기 SIP로 해당 단말의 Security Context를 요청한다(S1907).
이후, 상기 security context 요청에 대한 응답으로, 상기 SIP는 단말의 식별자와 Non-3GPP Access를 위한 Security Context를 상기 접속 포인트로 전달한다(S1908).
여기서, 상기 접속 포인트의 일례로, AAA 서버와 AP간에 IPSec 터널이 설정되는 기존의 TWAG와 같은 개체를 운용하는 Trusted Non-3GPP Access 구조에서는 AP를 고려할 수 있다.
ePDG와 같은 개체를 운용하는 Un-trusted Non-3GPP Access 구조에서는 AAA 서버는 AP가 아닌 ePDG로 해당 단말의 Security Context 대신 AAA를 통한 해당 단말에 대한 인증성공의 여부를 명시하는 지시자를 전송할 수 있다.
이 경우, 상기 ePDG는 해당 단말로부터의 Non-3GPP Access를 인지하면, 추가적인 인증절차 없이 상기 단말과 IPSec 터널만 설정하면 된다.
다음으로, 도 20에 대한 세부적인 동작에 대해 살펴본다.
도 20의 S2001, S2002 및 S2005 내지 S2007은 도 19의 S1901, S1902 및 S1906 내지 S1908과 동일하므로 구체적인 설명은 도 19를 참조하며, 차이가 나는 부분 위주로 살펴보기로 한다.
S2002 단계 이후 즉, MME가 CK, IK를 생성한 이후, 상기 MME는 상기 생성한 CK, IK를 포함하는 Security Context 정보를 단말이 접속한 기지국 주변에 위치하는 (단말이 감지한 Non-3GPP Access를 위한) 접속 포인트들을 제어하는 SIP로 전달한다(S2003).
상기 Security Context 정보는 상기 CK, IK 외에, Non-3GPP Access 전용 식별자 등을 추가로 포함할 수 있다.
이후, 상기 MME로부터 단말에 대한 Non-3GPP Access를 위한 Security Context 정보를 전달받은 SIP는 해당 단말이 접속한 기지국 주변에 위치하는 (단말이 감지한 Non-3GPP Access를 위한) 접속 포인트들로 해당 단말에 대한 인증여부에 대한 정보를 전달한다(S2004).
상기 해당 단말에 대한 인증여부에 대한 정보는 단말의 Non-3GPP 전용 식별자를 포함할 수 있다.
이후, S2005 내지 S2007의 단계들은 앞서 살핀 것처럼, 각각 도 19의 S1906 내지 S1908 단계들과 동일하다.
제
3
실시
예
제 3 실시 예는 앞서 살핀 제 1 실시 예 및 제 2 실시 예와 마찬가지로, Unified Core Network의 5G 시스템에서 New RAT, eLTE, Non-3GPP Access 등 다양한 RAT들에 최적화된 인증/보안설정 방법을 제공한다.
즉, 제 3 실시 예는 어느 하나의 RAT을 통해 인증된 단말에 대해 5G Core에서 지원 가능한 다른 RAT들로의 접속을 위한 Seed Security Context를 관리하는 신규 function(SIP 또는 SIF: Security Interworking Function)을 정의하고, 이를 기초로 다른 RAT 접속 시 재 인증절차 없이 빠른 보안설정을 수행하는 방법을 제공한다.
도 21a는 종래의 이종 RAT 간 핸드오버 또는 다중연결 시 인증 및 보안설정 방법의 일례를 나타낸 도이며, 도 22b는 본 명세서에서 제안하는 신규 5G 망 구조에서의 인증 및 보안설정 방법의 일례를 나타낸다.
도 21a를 참조하면, 종래 방법은 단말이 3GPP Access(또는 LTE(-A) 시스템)을 통해 접속을 수행한 경우, MME를 통해 단말 인증을 수행한다.
이후, Non-3GPP Access 즉, 이종 RAT으로 핸드오버 또는 접속을 시도하는 경우, 다시 Non-3GPP Access에 해당하는 인증개체(예: 3GPP AAA)를 통해 인증을 수행하게 된다.
이에 반해, 도 21b의 경우, 단말이 3GPP Access를 통해 인증을 수행한 경우에는 SIF를 이용함으로써(SIF의 security context 저장) Non-3GPP Access에 대해서는 다시 재인증 절차를 수행하지 않는 방법을 나타낸다.
도 21b와 관련하여, (1) 단말이 5G New RAT을 통해 5G Core에 접속한 경우의 SIF를 이용한 빠른 보안설정 방법과 (2) Wi-Fi를 통해 5G Core에 접속한 경우의 SIF를 이용한 빠른 보안설정 방법에 대해 살펴본다.
도 21b는 위의 (1)과 관련된 동작(5G New RAT을 통한 5G Core 접속)을 나타낸다.
먼저, 단말이 5G New RAT을 통해 5G Core에 접속한 경우에 대해 살펴본다.
단말(예: 5G UE)은 CP-AN1을 통해 5G Core에 접속한다.
상기 단말의 5G Core로의 접속은 제 1 실시 예 및 제 2 실시 예에서 살핀 바와 같이, SIF를 경유할 수도 있고 또는 경유하지 않을 수도 있다.
다만, 상기 단말의 5G Core로의 접속은 SIF를 경유하는 것이 바람직할 수 있으며, 이하 과정들은 SIF를 경유하지 않는 시나리오에 대한 설명이다.
여기서, 상기 CP-AN1은 5G New RAT을 의미한다.
이후, 상기 단말은 5G CP-AU와 인증절차를 수행한다.
이후, 상기 5G CP-AU는 SIF(Security Interworking Function)으로 RAT Independent Common Security Context(Seed Key for Non-3GPP Access)를 전달한다.
상기 RAT Independent Common Security Context는 무선구간(예: Non-3GPP Access 구간)의 키 생성을 위해 필요한 키의 일례를 나타내는 것으로, 상기 RAT Independent Common Security Context는 무선구간의 키 생성을 위한 키로 일반적으로 표현될 수도 있다.
또한, 상기 RAT Independent Common Security Context 이외에 RAT specific security context가 상기 SIF로 전달될 수도 있다.
상기 RAT Independent Common Security Context의 일례로는, LTE(-A) 시스템의 KASME일 수 있으며, 상기 RAT specific security context의 일례로는 LTE(-A) 시스템의 KeNB일 수 있다.
이후, 상기 SIF는 상기 무선구간의 키 생성을 위한 키를 수신하여 CP-AN1 으로 전달한다.
이후, 상기 CP-AN1 은 상기 단말과 (3GPP) Access 구간의 Key를 생성한다.
이후, 상기 단말은 CP-AN2로 핸드오버 혹은 CP-AN2와 다중연결 (Aggregation)을 수행한다.
구체적으로, 상기 단말은 CP-AN2로 Access(Non-3GPP Type Access)를 시도한다.
또는, 상기 단말은 CP-AN1으로 CP-AN2로의 핸드오버 혹은 다중연결 (Aggregation)을 요청한다.
상기 단말이 CP-AN2로 Access를 시도하는 경우, 상기 CP-AN2는 SIF로 RAT specific Security Context 생성을 위한 RAT Independent Security Context(또는 RAT Specific Security Context)를 요청하고, 상기 SIF 로부터 이에 대한 응답을 수신한다.
상기 Security Context에 대한 요청은 단말로부터 CP-AN1으로 전달되어 CP-AN1이 SIF로 요청하여 SIF이 CP-AN2로 전달할 수도 있다.
이후, 상기 CP-AN2는 상기 단말과 (Non-3GPP) Access 구간의 Key를 생성한다.
다음으로, 도 21b에 도시되지는 않았으나, 단말이 Non-3GPP Access(예: Wi-Fi)를 통해 5G Core에 접속한 경우에 대해 살펴본다.
먼저, 단말(예: 5G UE)는 CP-AN2(Wi-Fi)를 통해 5G Core에 접속한다.
마찬가지로, 상기 단말은 제 1 실시 예 및 제 2 실시 예에서 살핀 바와 같이, 5G Core로 SIF를 경유하여 접속할 수도 있고, SIF를 경유하지 않고 접속할 수도 있다. 이하에서는 SIF를 경유하지 않고 접속하는 경우에 대해 설명한다.
이후, 상기 단말은 5G CP-AU와 인증절차를 수행한다.
이후, 상기 5G CP-AU는 SIF(Security Interworking Function)으로 RAT Independent Common Security Context(Seed Key for 3GPP New RAT Access) 또는 RAT Specific Security Context를 전달한다.
상기 RAT Independent Common Security Context 또는 RAT Specific Security Context는 모두 무선구간의 키 생성을 위한 키를 말하는 것으로, 상기 5G CP-AU는 일반적인 표현으로 무선구간의 키 생성을 위한 키를 상기 SIF로 전달할 수도 있다.
이후, 상기 SIF는 해당 Security Context를 수신하여 CP-AN2로 전달하고, 상기 CP-AN 2는 단말과 (Non-3GPP) Access 구간의 Key를 생성한다.
이후, 상기 단말은 CP-AN1으로 핸드오버 혹은 CP-AN1과 다중연결 (Aggregation)을 수행한다.
구체적으로, 상기 단말은 CP-AN1로 Access(3GPP Type New RAT Access)를 시도한다.
혹은, 상기 단말은 CP-AN2로 CP-AN1으로의 핸드오버 혹은 다중연결 (Aggregation)을 요청할 수 있다.
이후, 상기 CP-AN1은 SIF로 RAT specific Security Context 생성을 위한 RAT Independent Security Context 또는 RAT specific Security Context를 요청하고, 이에 대한 응답을 수신한다.
상기 Security Context에 대한 요청은 상기 단말로부터 상기 CP-AN2로 전달되어, 상기 CP-AN2가 SIF로 요청하여 상기 SIF이 CP-AN1로 전달할 수도 있다.
이후, 상기 CP-AN1은 상기 단말과 (3GPP) Access 구간의 Key를 생성한다.
도 22는 본 명세서에서 제안하는 5G 망의 신규 인증개체를 이용한 보안설정 방법의 일례를 나타낸 순서도이다.
먼저, 제 1 네트워크 노드는 단말로부터 망 접속을 위한 접속요청 메시지를 수신한다(S2210).
상기 제 1 네트워크 노드는 제 1 RAT(Radio Access Technology)의 인증개체에 해당하며, 제 1 실시 예 내지 제 3 실시 예에서 살핀 바와 같이 MME일 수 있다.
상기 접속요청 메시지는 상기 단말의 접속이 고 신뢰 및 저지연과 관련된 접속임을 나타내는 정보, 상기 단말에게 설정된 주파수 대역의 제 2 RAT의 타입을 나타내는 타입정보 또는 상기 제 2 RAT의 타입에 대해 사용되는 제 2 RAT 전용 식별자 정보 중 적어도 하나를 포함한다.
여기서, 상기 제 1 RAT은 3GPP Access이며, 상기 제 2 RAT은 Non-3GPP Access일 수 있다.
이후, 상기 제 1 네트워크 노드는 상기 수신된 접속요청 메시지에 기초하여 상기 단말에 대한 인증절차를 수행한다(S2220).
이후, 상기 제 1 네트워크 노드는 상기 단말의 통합인증 개체에 해당하는 제 3 네트워크 노드로 상기 단말과 제 2 RAT 간의 무선구간에서 사용되는 보안키 생성과 관련된 키 정보를 포함하는 보안 컨텍스트(security context) 정보를 전송한다(S2230).
상기 키 정보는 RAT과 독립적으로 공통으로 사용하는 RAT 공통 보안 컨텍스트(common security context) 정보 또는 RAT에 특정하게 사용하는 RAT 특정 보안 컨텍스트(specific security context) 정보일 수 있다.
또한, 상기 RAT 공통 보안 컨텍스트(common security context) 정보는 KASME에 대응하는 키이며, 상기 RAT 특정 보안 컨텍스트(specific security context) 정보는 KeNB에 대응하는 키일 수 있다.
상기 보안 컨텍스트 정보는 상기 제 2 RAT에서 사용하는 제 2 RAT 전용 식별자 정보 또는 상기 제 3 네트워크 노드가 상기 보안 컨텍스트 정보를 유지하는 시간의 설정과 관련된 보안 컨텍스트 타이머(security context timer) 중 적어도 하나를 더 포함할 수 있다.
여기서, 상기 제 3 네트워크 노드는 상기 단말이 감지하는 제 2 RAT을 위한 제 2 기지국을 제어한다.
추가적으로 S2210 단계 이후, 상기 제 1 네트워크 노드는 상기 제 2 RAT의 인증개체에 해당하는 제 2 네트워크 노드로 상기 인증수행 결과를 포함하는 인증 알림 메시지를 전송할 수 있다.
상기 인증 알림 메시지는 상기 제 2 RAT 전용 식별자, 상기 제 2 RAT의 전용 식별자와 관련된 단말의 인증성공 여부를 나타내는 지시정보 또는 상기 단말과 상기 제 2 RAT 간의 무선구간에서 사용되는 보안키 생성과 관련된 키 정보 중 적어도 하나를 포함할 수 있다.
그리고, 상기 제 1 네트워크 노드는 상기 제 2 네트워크 노드로부터 상기 인증 알림 메시지에 대한 응답 메시지를 수신할 수 있다.
또한, 상기 응답 메시지는 상기 보안키 생성과 관련된 키 정보 또는 상기 보안 컨텍스트 타이머 중 적어도 하나를 포함할 수 있다.
S2230 단계 이후, 상기 보안 컨텍스트 타이머(security context timer) 만료 전에 상기 제 2 기지국으로 상기 단말의 접속이 있는 경우, 상기 제 2 기지국 은 상기 제 3 네트워크로 상기 단말과 관련된 보안 컨텍스트(security context) 정보를 요청한다.
상기 제 2 기지국은 제 1 실시 예 내지 제 3 실시 예에서 살핀 것처럼 액세스 포인트(AP)일 수 있으며, 제 1 기지국은 eNB일 수 있다.
이후, 상기 제 3 네트워크 노드는 상기 제 2 기지국으로 상기 요청에 대한 응답을 전송한다.
본
발명이
적용될
수
있는
장치
일반
도 23은 본 명세서에서 제안하는 방법들이 적용될 수 있는 무선통신 장치의 블록 구성도를 예시한다.
도 23을 참조하면, 무선통신 시스템은 기지국(2310,20)과 기지국(2310) 영역 내에 위치한 다수의 단말(2320,10)을 포함한다.
기지국(2310)은 프로세서(processor, 2311), 메모리(memory, 2312) 및 RF부(radio frequency unit, 2313)을 포함한다. 프로세서(2311)는 앞서 도 1 내지 도 22에서 제안된 기능, 과정 및/또는 방법을 구현한다. 무선 인터페이스 프로토콜의 계층들은 프로세서(2311)에 의해 구현될 수 있다.
메모리(2312)는 프로세서(2311)와 연결되어, 프로세서(2311)를 구동하기 위한 다양한 정보를 저장한다. RF부(2313)는 프로세서(2311)와 연결되어, 무선 신호를 송신 및/또는 수신한다.
단말(2320)은 프로세서(2321), 메모리(2322) 및 RF부(2323)을 포함한다.
프로세서(2321)는 앞서 도 1 내지 도 22에서 제안된 기능, 과정 및/또는 방법을 구현한다. 무선 인터페이스 프로토콜의 계층들은 프로세서(2321)에 의해 구현될 수 있다. 메모리(2322)는 프로세서(2321)와 연결되어, 프로세서(2321) 를 구동하기 위한 다양한 정보를 저장한다. RF부(2323)는 프로세서(2321)와 연결되어, 무선신호를 송신 및/또는 수신한다.
메모리(2312, 2322)는 프로세서(2311, 2321) 내부 또는 외부에 있을 수 있고, 잘 알려진 다양한 수단으로 프로세서(2311, 2321)와 연결될 수 있다.
또한, 기지국(2310) 및/또는 단말(2320)은 한 개의 안테나(single antenna) 또는 다중 안테나(multiple antenna)를 가질 수 있다.
이상에서 설명된 실시 예들은 본 발명의 구성요소들과 특징들이 소정 형태로 결합된 것들이다. 각 구성요소 또는 특징은 별도의 명시적 언급이 없는 한 선택적인 것으로 고려되어야 한다. 각 구성요소 또는 특징은 다른 구성요소나 특징과 결합되지 않은 형태로 실시될 수 있다. 또한, 일부 구성요소들 및/또는 특징들을 결합하여 본 발명의 실시 예를 구성하는 것도 가능하다. 본 발명의 실시 예들에서 설명되는 동작들의 순서는 변경될 수 있다. 어느 실시예의 일부 구성이나 특징은 다른 실시 예에 포함될 수 있고, 또는 다른 실시 예의 대응하는 구성 또는 특징과 교체될 수 있다. 특허청구 범위에서 명시적인 인용 관계가 있지 않은 청구항들을 결합하여 실시 예를 구성하거나 출원 후의 보정에 의해 새로운 청구항으로 포함시킬 수 있음은 자명하다.
본 발명에 따른 실시 예는 다양한 수단, 예를 들어, 하드웨어, 펌웨어 (firmware), 소프트웨어 또는 그것들의 결합 등에 의해 구현될 수 있다. 하드웨어에 의한 구현의 경우, 본 발명의 일 실시예는 하나 또는 그 이상의 ASICs(application specific integrated circuits), DSPs(digital signal processors), DSPDs(digital signal processing devices), PLDs(programmable logic devices), FPGAs(field programmable gate arrays), 프로세서, 콘트롤러, 마이크로 콘트롤러, 마이크로 프로세서 등에 의해 구현될 수 있다.
펌웨어나 소프트웨어에 의한 구현의 경우, 본 발명의 일 실시 예는 이상에서 설명된 기능 또는 동작들을 수행하는 모듈, 절차, 함수 등의 형태로 구현될 수 있다. 소프트웨어 코드는 메모리에 저장되어 프로세서에 의해 구동될 수 있다. 상기 메모리는 상기 프로세서 내부 또는 외부에 위치하여, 이미 공지된 다양한 수단에 의해 상기 프로세서와 데이터를 주고 받을 수 있다.
본 발명은 본 발명의 필수적 특징을 벗어나지 않는 범위에서 다른 특정한 형태로 구체화될 수 있음은 당업자에게 자명하다. 따라서, 상술한 상세한 설명은 모든 면에서 제한적으로 해석되어서는 아니 되고 예시적인 것으로 고려되어야 한다. 본 발명의 범위는 첨부된 청구항의 합리적 해석에 의해 결정되어야 하고, 본 발명의 등가적 범위 내에서의 모든 변경은 본 발명의 범위에 포함된다.
본 발명의 무선통신 시스템에서 단말의 보안설정을 수행하기 위한 방안은 5G 시스템에 적용되는 예를 중심으로 설명하였으나, 3GPP LTE/LTE-A 시스템 등 다양한 무선통신 시스템에 적용하는 것이 가능하다.
Claims (14)
- 무선 통신 시스템에서 단말의 보안 설정을 수행하기 위한 방법에 있어서,
제 1 네트워크 노드가, 단말로부터 망 접속을 위한 접속 요청 메시지를 수신하는 단계,
상기 제 1 네트워크 노드는 제 1 RAT(Radio Access Technology)의 인증 개체에 해당하며;
상기 제 1 네트워크 노드가, 상기 수신된 접속 요청 메시지에 기초하여 상기 단말에 대한 인증 절차를 수행하는 단계; 및
상기 제 1 네트워크 노드가, 상기 단말의 통합 인증 개체에 해당하는 제 3 네트워크 노드로 상기 단말과 제 2 RAT 간의 무선 구간에서 사용되는 보안키 생성과 관련된 키 정보를 포함하는 보안 컨텍스트(security context) 정보를 전송하는 단계를 포함하되,
상기 보안 컨텍스트 정보는 상기 제 2 RAT에서 사용하는 제 2 RAT 전용 식별자 정보 또는 상기 제 3 네트워크 노드가 상기 보안 컨텍스트 정보를 유지하는 시간의 설정과 관련된 보안 컨텍스트 타이머(security context timer) 중 적어도 하나를 더 포함하는 것을 특징으로 하는 방법. - 제 1항에 있어서,
상기 키 정보는 RAT과 독립적으로 공통으로 사용하는 RAT 공통 보안 컨텍스트(common security context) 정보 또는 RAT에 특정하게 사용하는 RAT 특정 보안 컨텍스트(specific security context) 정보인 것을 특징으로 하는 방법. - 제 2항에 있어서,
상기 RAT 공통 보안 컨텍스트(common security context) 정보는 KASME에 대응하는 키이며,
상기 RAT 특정 보안 컨텍스트(specific security context) 정보는 KeNB에 대응하는 키인 것을 특징으로 하는 방법. - 제 1항에 있어서,
상기 제 1 네트워크 노드가, 상기 제 2 RAT의 인증 개체에 해당하는 제 2 네트워크 노드로 상기 인증 수행 결과를 포함하는 인증 알림 메시지를 전송하는 단계; 및
상기 제 1 네트워크 노드가, 상기 제 2 네트워크 노드로부터 상기 인증 알림 메시지에 대한 응답 메시지를 수신하는 단계를 더 포함하는 것을 특징으로 하는 방법. - 제 4항에 있어서,
상기 인증 알림 메시지는 상기 제 2 RAT 전용 식별자, 상기 제 2 RAT의 전용 식별자와 관련된 단말의 인증 성공 여부를 나타내는 지시 정보 또는 상기 단말과 상기 제 2 RAT 간의 무선 구간에서 사용되는 보안키 생성과 관련된 키 정보 중 적어도 하나를 포함하는 것을 특징으로 하는 방법. - 제 4항에 있어서,
상기 응답 메시지는 상기 보안키 생성과 관련된 키 정보 또는 상기 보안 컨텍스트 타이머 중 적어도 하나를 포함하는 것을 특징으로 하는 방법. - 제 6항에 있어서,
상기 제 3 네트워크 노드는 상기 단말이 감지하는 제 2 RAT을 위한 제 2 기지국을 제어하는 것을 특징으로 하는 방법. - 제 1항에 있어서,
상기 접속 요청 메시지는 상기 단말의 접속이 고 신뢰 및 저지연과 관련된 접속임을 나타내는 정보, 상기 단말에게 설정된 주파수 대역의 제 2 RAT의 타입을 나타내는 타입 정보 또는 상기 제 2 RAT의 타입에 대해 사용되는 제 2 RAT 전용 식별자 정보 중 적어도 하나를 포함하는 것을 특징으로 하는 방법. - 제 1항에 있어서,
상기 보안 컨텍스트 타이머(security context timer) 만료 전에 상기 제 2 기지국으로 상기 단말의 접속이 있는 경우, 상기 제 2 기지국이, 상기 제 3 네트워크로 상기 단말과 관련된 보안 컨텍스트(security context) 정보를 요청하는 단계; 및
상기 제 3 네트워크 노드가, 상기 제 2 기지국으로 상기 요청에 대한 응답을 전송하는 단계를 더 포함하는 것을 특징으로 하는 방법. - 제 1항에 있어서,
상기 제 1 RAT은 3GPP Access이며, 상기 제 2 RAT은 Non-3GPP Access인 것을 특징으로 하는 방법. - 무선 통신 시스템에서 단말의 보안 설정을 수행하기 위한 방법에 있어서,
상기 단말의 통합 인증 개체에 해당하는 제 3 네트워크 노드가, 상기 단말로부터 망 접속을 위한 접속 요청 메시지를 수신하는 단계,
상기 접속 요청 메시지는 상기 단말에 설정된 주파수 대역의 제 2 RAT의 타입을 나타내는 타입 정보를 포함하며;
상기 제 3 네트워크 노드가, 제 1 RAT(Radio Access Technology)의 인증 개체에 해당하는 제 1 네트워크 노드로 상기 접속 요청 메시지를 전달하는 단계;
상기 제 3 네트워크 노드가, 상기 수신된 접속 요청 메시지에 포함된 타입 정보에 기초하여 제 2 RAT의 인증 개체에 해당하는 제 2 네트워크 노드로 상기 단말에 대한 인증을 요청하는 단계;
상기 제 3 네트워크 노드가, 상기 제 2 네트워크 노드로부터 상기 인증 요청에 대한 응답을 수신하는 단계 및
상기 제 3 네트워크 노드가, 상기 제 2 RAT의 기지국으로 상기 인증 요청에 대한 응답을 전달하는 단계를 포함하는 것을 특징으로 하는 방법. - 제 11항에 있어서,
상기 인증 요청에 대한 응답은 상기 제 2 RAT의 타입에 대해 사용되는 제 2 RAT 전용 식별자 정보 또는 상기 단말과 제 2 RAT 간의 무선 구간에서 사용되는 보안키 생성과 관련된 키 정보를 포함하는 보안 컨텍스트(security context) 정보 중 적어도 하나를 포함하는 것을 특징으로 하는 방법. - 제 12항에 있어서,
상기 제 3 네트워크 노드가, 상기 제 2 RAT의 기지국으로부터 상기 단말과 관련된 보안 컨텍스트(security context) 정보의 요청을 수신하는 단계; 및
상기 제 3 네트워크 노드가, 상기 제 2 RAT의 기지국으로 상기 보안 컨텍스트(security context) 요청에 대한 응답을 전송하는 단계를 더 포함하는 것을 특징으로 하는 방법. - 무선 통신 시스템에서 단말의 보안 설정을 수행하기 위한 제 1 RAT(Radio Access Technology)의 인증 개체에 해당하는 제 1 네트워크 노드에 있어서,
무선 신호를 송수신하기 위한 RF(Radio Frequency) 유닛; 및
상기 RF 유닛과 기능적으로 연결되는 프로세서를 포함하고, 상기 프로세서는,
단말로부터 망 접속을 위한 접속 요청 메시지를 수신하며;
상기 수신된 접속 요청 메시지에 기초하여 상기 단말에 대한 인증 절차를 수행하며; 및
상기 단말의 통합 인증 개체에 해당하는 제 3 네트워크 노드로 상기 단말과 제 2 RAT(Radio Access Technology) 간의 무선 구간에서 사용되는 보안키 생성과 관련된 키 정보를 포함하는 보안 컨텍스트(security context) 정보를 전송하도록 제어하되,
상기 보안 컨텍스트 정보는 상기 제 2 RAT에서 사용하는 제 2 RAT 전용 식별자 정보 또는 상기 제 3 네트워크 노드가 상기 보안 컨텍스트 정보를 유지하는 시간의 설정과 관련된 보안 컨텍스트 타이머(security context timer) 중 적어도 하나를 더 포함하는 것을 특징으로 하는 제 1 네트워크 노드.
Applications Claiming Priority (6)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201662309945P | 2016-03-17 | 2016-03-17 | |
| US62/309,945 | 2016-03-17 | ||
| US201662319294P | 2016-04-07 | 2016-04-07 | |
| US62/319,294 | 2016-04-07 | ||
| US201662354812P | 2016-06-27 | 2016-06-27 | |
| US62/354,812 | 2016-06-27 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| WO2017159970A1 true WO2017159970A1 (ko) | 2017-09-21 |
Family
ID=59851677
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| PCT/KR2016/015035 WO2017159970A1 (ko) | 2016-03-17 | 2016-12-21 | 무선통신 시스템에서 단말의 보안설정을 수행하기 위한 방법 및 이를 위한 장치 |
Country Status (1)
| Country | Link |
|---|---|
| WO (1) | WO2017159970A1 (ko) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019122495A1 (en) * | 2017-12-21 | 2019-06-27 | Nokia Solutions And Networks Oy | Authentication for wireless communications system |
| EP3737032A4 (en) * | 2018-01-08 | 2021-03-03 | Huawei Technologies Co., Ltd. | METHOD AND DEVICE FOR KEY MANAGEMENT |
| RU2783597C2 (ru) * | 2018-01-08 | 2022-11-15 | Хуавей Текнолоджиз Ко., Лтд. | Способ обновления ключа и устройство |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060104234A1 (en) * | 2003-12-08 | 2006-05-18 | Huawei Technologies Co., Ltd. | Method for establishment of a service tunnel in a WLAN |
| EP2007160A1 (en) * | 2007-06-19 | 2008-12-24 | Nokia Siemens Networks Oy | Method and device for performing a handover and communication system comprising such device |
| KR20100043073A (ko) * | 2007-06-18 | 2010-04-27 | 모토로라 인코포레이티드 | 자원 준비를 이용하는 비-3gpp 액세스 대 3gpp 액세스 rat간 핸드오버 |
| US20140157395A1 (en) * | 2011-08-05 | 2014-06-05 | Huawei Technologies Co., Ltd. | Method and apparatus for establishing tunnel data security channel |
| EP2763357A1 (en) * | 2011-11-03 | 2014-08-06 | Huawei Technologies Co., Ltd. | Data security channel processing method and device |
-
2016
- 2016-12-21 WO PCT/KR2016/015035 patent/WO2017159970A1/ko active Application Filing
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060104234A1 (en) * | 2003-12-08 | 2006-05-18 | Huawei Technologies Co., Ltd. | Method for establishment of a service tunnel in a WLAN |
| KR20100043073A (ko) * | 2007-06-18 | 2010-04-27 | 모토로라 인코포레이티드 | 자원 준비를 이용하는 비-3gpp 액세스 대 3gpp 액세스 rat간 핸드오버 |
| EP2007160A1 (en) * | 2007-06-19 | 2008-12-24 | Nokia Siemens Networks Oy | Method and device for performing a handover and communication system comprising such device |
| US20140157395A1 (en) * | 2011-08-05 | 2014-06-05 | Huawei Technologies Co., Ltd. | Method and apparatus for establishing tunnel data security channel |
| EP2763357A1 (en) * | 2011-11-03 | 2014-08-06 | Huawei Technologies Co., Ltd. | Data security channel processing method and device |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019122495A1 (en) * | 2017-12-21 | 2019-06-27 | Nokia Solutions And Networks Oy | Authentication for wireless communications system |
| EP3737032A4 (en) * | 2018-01-08 | 2021-03-03 | Huawei Technologies Co., Ltd. | METHOD AND DEVICE FOR KEY MANAGEMENT |
| JP2021510262A (ja) * | 2018-01-08 | 2021-04-15 | 華為技術有限公司Huawei Technologies Co.,Ltd. | 鍵更新方法および装置 |
| AU2019205078B2 (en) * | 2018-01-08 | 2022-01-13 | Huawei Technologies Co., Ltd. | Key update method and apparatus |
| JP7095095B2 (ja) | 2018-01-08 | 2022-07-04 | 華為技術有限公司 | 鍵更新方法および装置 |
| RU2783597C2 (ru) * | 2018-01-08 | 2022-11-15 | Хуавей Текнолоджиз Ко., Лтд. | Способ обновления ключа и устройство |
| EP4131845A1 (en) * | 2018-01-08 | 2023-02-08 | Huawei Technologies Co., Ltd. | Key updating method and apparatus |
| US11595206B2 (en) | 2018-01-08 | 2023-02-28 | Huawei Technologies Co., Ltd. | Key update method and apparatus |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20210409948A1 (en) | Serving gateway extensions for inter-system mobility | |
| US11510058B2 (en) | Methods for support of user plane separation and user plane local offloading for 5G non-3GPP access | |
| KR102026950B1 (ko) | Pdu 세션 수립 절차를 처리하는 방법 및 amf 노드 | |
| EP3541125B1 (en) | Registration method through network access belonging to identical plmn in wireless communication system, and device therefor | |
| US10841302B2 (en) | Method and apparatus for authenticating UE between heterogeneous networks in wireless communication system | |
| US20210226807A1 (en) | Ethernet type packet data unit session communications | |
| US11729619B2 (en) | Methods and apparatus for wireless communication using a security model to support multiple connectivity and service contexts | |
| US9510387B2 (en) | Recovering connection in LTE local area network for EPS and local services | |
| CN110495214B (zh) | 用于处理pdu会话建立过程的方法和amf节点 | |
| US20170150420A1 (en) | Method and Nodes For Handling a UE Which Roams Into a Visited Network | |
| EP3360386B1 (en) | Transparent per-bearer switching between wwan and wlan | |
| US9344890B2 (en) | Trusted wireless local area network (WLAN) access scenarios | |
| CN108293183B (zh) | E-utran与wlan之间的切换 | |
| EP3255922B1 (en) | Service flow offloading method and apparatus | |
| US20180063135A1 (en) | Method for performing authentication of user equipment for individual services in wireless communication system and apparatus for the same | |
| WO2017159970A1 (ko) | 무선통신 시스템에서 단말의 보안설정을 수행하기 위한 방법 및 이를 위한 장치 | |
| WO2017200172A1 (ko) | 무선통신 시스템에서 단말의 보안설정을 수행하기 위한 방법 및 이를 위한 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| NENP | Non-entry into the national phase |
Ref country code: DE |
|
| 121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 16894700 Country of ref document: EP Kind code of ref document: A1 |
|
| 122 | Ep: pct application non-entry in european phase |
Ref document number: 16894700 Country of ref document: EP Kind code of ref document: A1 |