KR102425582B1 - 무선통신 시스템에서 정보 보호 방법 및 장치 - Google Patents
무선통신 시스템에서 정보 보호 방법 및 장치 Download PDFInfo
- Publication number
- KR102425582B1 KR102425582B1 KR1020180054578A KR20180054578A KR102425582B1 KR 102425582 B1 KR102425582 B1 KR 102425582B1 KR 1020180054578 A KR1020180054578 A KR 1020180054578A KR 20180054578 A KR20180054578 A KR 20180054578A KR 102425582 B1 KR102425582 B1 KR 102425582B1
- Authority
- KR
- South Korea
- Prior art keywords
- ngksi
- amf
- 3gpp access
- access
- security mode
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/047—Key management, e.g. using generic bootstrapping architecture [GBA] without using a trusted network node as an anchor
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Mobile Radio Communication Systems (AREA)
- Alarm Systems (AREA)
Abstract
본 개시는 무선통신 시스템에서 security context 처리를 통한 정보 보호 방법 및 장치에 관한 것으로, 일 실시예에 따른 무선통신 시스템에서 단말의 정보 보호 방법은, 기지국과 인증 절차를 수행하는 단계, 제1 액세스 절차를 통해 상기 기지국과 security mode를 설정하는 단계 및 제2 액세스 절차를 통해 상기 기지국과 security mode를 설정하는 단계를 포함한다.
Description
본 개시는 무선통신 시스템에서 정보 보호 방법 및 장치에 관한 것이다.
4G 통신 시스템 상용화 이후 증가 추세에 있는 무선 데이터 트래픽 수요를 충족시키기 위해, 개선된 5G 통신 시스템 또는 pre-5G 통신 시스템을 개발하기 위한 노력이 이루어지고 있다. 이러한 이유로, 5G 통신 시스템 또는 pre-5G 통신 시스템은 4G 네트워크 이후 (Beyond 4G Network) 통신 시스템 또는 LTE 시스템 이후 (Post LTE) 이후의 시스템이라 불리어지고 있다. 3GPP에서 정한 5G 통신 시스템은 New Radio (NR) 시스템이라고 불리고 있다. 높은 데이터 전송률을 달성하기 위해, 5G 통신 시스템은 초고주파(mmWave) 대역 (예를 들어, 60기가(60GHz) 대역과 같은)에서의 구현이 고려되고 있다. 초고주파 대역에서의 전파의 경로손실 완화 및 전파의 전달 거리를 증가시키기 위해, 5G 통신 시스템에서는 빔포밍(beamforming), 거대 배열 다중 입출력(massive MIMO), 전차원 다중입출력(Full Dimensional MIMO: FD-MIMO), 어레이 안테나(array antenna), 아날로그 빔형성(analog beam-forming), 및 대규모 안테나(large scale antenna) 기술들이 논의되었고, NR 시스템에 적용되었다. 또한 시스템의 네트워크 개선을 위해, 5G 통신 시스템에서는 진화된 소형 셀, 개선된 소형 셀(advanced small cell), 클라우드 무선 액세스 네트워크(cloud radio access network: cloud RAN), 초고밀도 네트워크(ultra-dense network), 기기 간 통신(Device to Device communication: D2D), 무선 백홀(wireless backhaul), 이동 네트워크(moving network), 협력 통신(cooperative communication), CoMP(Coordinated Multi-Points), 및 수신 간섭제거(interference cancellation) 등의 기술 개발이 이루어지고 있다. 이 밖에도, 5G 시스템에서는 진보된 코딩 변조(Advanced Coding Modulation: ACM) 방식인 FQAM(Hybrid FSK and QAM Modulation) 및 SWSC(Sliding Window Superposition Coding)과, 진보된 접속 기술인 FBMC(Filter Bank Multi Carrier), NOMA(non-orthogonal multiple access), 및 SCMA(sparse code multiple access) 등이 개발되고 있다.
한편, 인터넷은 인간이 정보를 생성하고 소비하는 인간 중심의 연결 망에서, 사물 등 분산된 구성 요소들 간에 정보를 주고 받아 처리하는 IoT(Internet of Things, 사물인터넷) 망으로 진화하고 있다. 클라우드 서버 등과의 연결을 통한 빅데이터(Big data) 처리 기술 등이 IoT 기술에 결합된 IoE(Internet of Everything) 기술도 대두되고 있다. IoT를 구현하기 위해서, 센싱 기술, 유무선 통신 및 네트워크 인프라, 서비스 인터페이스 기술, 및 보안 기술과 같은 기술 요소 들이 요구되어, 최근에는 사물간의 연결을 위한 센서 네트워크(sensor network), 사물 통신(Machine to Machine, M2M), MTC(Machine Type Communication)등의 기술이 연구되고 있다. IoT 환경에서는 연결된 사물들에서 생성된 데이터를 수집, 분석하여 인간의 삶에 새로운 가치를 창출하는 지능형 IT(Internet Technology) 서비스가 제공될 수 있다. IoT는 기존의 IT(Information Technology)기술과 다양한 산업 간의 융합 및 복합을 통하여 스마트홈, 스마트 빌딩, 스마트 시티, 스마트 카 혹은 커넥티드 카, 스마트 그리드, 헬스 케어, 스마트 가전, 첨단의료서비스 등의 분야에 응용될 수 있다.
이에, 5G 통신 시스템을 IoT 망에 적용하기 위한 다양한 시도들이 이루어지고 있다. 예를 들어, 센서 네트워크(sensor network), 사물 통신(Machine to Machine, M2M), MTC(Machine Type Communication)등의 5G 통신이 빔 포밍, MIMO, 및 어레이 안테나 등의 기법에 의해 구현되고 있는 것이다. 앞서 설명한 빅데이터 처리 기술로써 클라우드 무선 액세스 네트워크(cloud RAN)가 적용되는 것도 5G 기술과 IoT 기술 융합의 일 예라고 할 수 있을 것이다.
상술한 것과 이동통신 시스템의 발전에 따라 다양한 서비스를 제공할 수 있게 됨으로써, 이러한 서비스들을 효과적으로 제공하기 위한 방안이 요구되고 있다.
개시된 실시예는 이동통신 시스템에서 서비스를 효과적으로 제공할 수 있는 장치 및 방법을 제공한다.
일 실시예에 따른 무선통신 시스템에서 단말의 정보 보호 방법은, 기지국과 인증 절차를 수행하는 단계, 제1 액세스 절차를 통해 상기 기지국과 security mode를 설정하는 단계 및 제2 액세스 절차를 통해 상기 기지국과 security mode를 설정하는 단계를 포함한다.
개시된 실시예에 따르면, 이동통신 시스템에서 서비스를 효과적으로 제공할 수 있다.
도 1은 개시된 일 실시예에 따른정보 보호 방법 및 장치가 적용되는 네트워크 환경을 나타내는 도면이다.
도 2는 개시된 일 실시예에 따른 정보 보호 방법을 나타내는 도면이다.
도 3은 개시된 다른 일 실시예에 따른 정보 보호 방법을 나타내는 도면이다.
도 4는 개시된 또다른 일 실시예에 따른 정보 보호 방법을 나타내는 도면이다.
도 5는 개시된 또다른 일 실시예에 따른 정보 보호 방법을 나타내는 도면이다.
도 6는 개시된 또다른 일 실시예에 따른 정보 보호 방법을 나타내는 도면이다.
도 7은 개시된 일 실시예에 따른 단말의 내부 구조를 도시하는 도면이다.
도 8은 개시된 일 실시예에 따른 네트워크 엔티티의 내부 구조를 도시하는 도면이다.
도 2는 개시된 일 실시예에 따른 정보 보호 방법을 나타내는 도면이다.
도 3은 개시된 다른 일 실시예에 따른 정보 보호 방법을 나타내는 도면이다.
도 4는 개시된 또다른 일 실시예에 따른 정보 보호 방법을 나타내는 도면이다.
도 5는 개시된 또다른 일 실시예에 따른 정보 보호 방법을 나타내는 도면이다.
도 6는 개시된 또다른 일 실시예에 따른 정보 보호 방법을 나타내는 도면이다.
도 7은 개시된 일 실시예에 따른 단말의 내부 구조를 도시하는 도면이다.
도 8은 개시된 일 실시예에 따른 네트워크 엔티티의 내부 구조를 도시하는 도면이다.
이하, 본 발명의 실시 예를 첨부된 도면을 참조하여 상세하게 설명한다.
실시예를 설명함에 있어서 본 개시가 속하는 기술 분야에 익히 알려져 있고 본 개시와 직접적으로 관련이 없는 기술 내용에 대해서는 설명을 생략한다. 이는 불필요한 설명을 생략함으로써 본 개시의 요지를 흐리지 않고 더욱 명확히 전달하기 위함이다.
마찬가지 이유로 첨부 도면에 있어서 일부 구성요소는 과장되거나 생략되거나 개략적으로 도시되었다. 또한, 각 구성요소의 크기는 실제 크기를 전적으로 반영하는 것이 아니다. 각 도면에서 동일한 또는 대응하는 구성요소에는 동일한 참조 번호를 부여하였다.
본 개시의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 개시는 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 개시가 완전하도록 하고, 본 개시가 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 개시는 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.
이 때, 처리 흐름도 도면들의 각 블록과 흐름도 도면들의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수 있음을 이해할 수 있을 것이다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 흐름도 블록(들)에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 흐름도 블록(들)에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 흐름도 블록(들)에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.
또한, 각 블록은 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실행 예들에서는 블록들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.
이 때, 본 실시예에서 사용되는 '~부'라는 용어는 소프트웨어 또는 FPGA또는 ASIC과 같은 하드웨어 구성요소를 의미하며, '~부'는 어떤 역할들을 수행한다. 그렇지만 '~부'는 소프트웨어 또는 하드웨어에 한정되는 의미는 아니다. '~부'는 어드레싱할 수 있는 저장 매체에 있도록 구성될 수도 있고 하나 또는 그 이상의 프로세서들을 재생시키도록 구성될 수도 있다. 따라서, 일 예로서 '~부'는 소프트웨어 구성요소들, 객체지향 소프트웨어 구성요소들, 클래스 구성요소들 및 태스크 구성요소들과 같은 구성요소들과, 프로세스들, 함수들, 속성들, 프로시저들, 서브루틴들, 프로그램 코드의 세그먼트들, 드라이버들, 펌웨어, 마이크로코드, 회로, 데이터, 데이터베이스, 데이터 구조들, 테이블들, 어레이들, 및 변수들을 포함한다. 구성요소들과 '~부'들 안에서 제공되는 기능은 더 작은 수의 구성요소들 및 '~부'들로 결합되거나 추가적인 구성요소들과 '~부'들로 더 분리될 수 있다. 뿐만 아니라, 구성요소들 및 '~부'들은 디바이스 또는 보안 멀티미디어카드 내의 하나 또는 그 이상의 CPU들을 재생시키도록 구현될 수도 있다. 또한 실시예에서 '~부'는 하나 이상의 프로세서를 포함할 수 있다.
이하 설명에서 사용되는 접속 노드(node)를 식별하기 위한 용어, 망 객체(network entity)들을 지칭하는 용어, 메시지들을 지칭하는 용어, 망 객체들 간 인터페이스를 지칭하는 용어, 다양한 식별 정보들을 지칭하는 용어 등은 설명의 편의를 위해 예시된 것이다. 따라서, 본 개시에서 사용하는 용어들에 한정되는 것은 아니며, 동등한 기술적 의미를 가지는 대상을 지칭하는 다른 용어가 사용될 수 있다.
이하 설명의 편의를 위하여, 본 개시에서는 5G 또는 NR, LTE 시스템에 대한 규격에서 정의하는 용어와 명칭들을 사용한다. 하지만, 본 개시가 이러한 용어 및 명칭들에 의해 한정되는 것은 아니며, 다른 규격에 따르는 시스템에도 동일하게 적용될 수 있다.
즉, 본 개시의 실시예들을 구체적으로 설명함에 있어서, 3GPP가 규격을 정한 통신 규격을 주된 대상으로 할 것이지만, 본 개시의 주요한 요지는 유사한 기술적 배경을 가지는 여타의 통신 시스템에도 본 발명의 범위를 크게 벗어나지 아니하는 범위에서 약간의 변형으로 적용 가능하며, 이는 본 개시의 기술 분야에서 숙련된 기술적 지식을 가진 자의 판단으로 가능할 것이다.
5G 또는 NR 시스템에서 단말의 이동성을 관리하는 관리 엔티티인 AMF 와 세션을 관리하는 엔티티인 SMF 가 분리되었다. 이에 따라, 4G LTE 시스템에서 MME 가 이동성과 세션을 함께 관리하던 운영 방식과는 달리, 이동성 관리와 세션을 관리하는 엔티티가 분리되어 있어 단말과 네트웍 엔티티 간에 통신 방안과 통신 관리 방안이 변경이 되었다.
한편, 5G 또는 NR 시스템에서는 non 3GPP access 에 대해서 N3IWF를 거쳐 AMF를 통해 이동성 관리(mobility management)를 수행하고, SMF를 통해 세션 관리(session management)를 수행하게 된다.
따라서, 이러한 AMF, SMF 의 분리, 3GPP access 뿐 아니라, non 3GPP access 를 통한 통신의 경우에도 단말과 네트워크 간의 통신에 있어서 통신 시 사용되는 정보를 보호하고, security 관련된 context 를 생성, 저장, 갱신 및 관리하는 방안이 필요하다.
이에 본 개시에서는 이동통신 시스템에서 단말과 네트워크의 security protection 을 위해 사용되는 security context 의 생성, 저장, 갱신, 관리와 관련된 방법 및 장치를 설명한다.
도 1은 개시된 일 실시예에 정보 보호 방법 및 장치가 적용되는 네트워크 환경을 나타내는 도면이다.
도 1에서 설명하는 무선통신 시스템은 5G 또는 NR 시스템이라고 가정하고 설명한다. 도 1을 참조하면, 무선통신 시스템은 UPF(User Plane Function, 2a-131), SMF(Session Management Function, 2a-121), AMF(Access and Mobility Management Function, 2a-111), 5G RAN(Radio Access Network, 2a-103), UDM(User Data Management, 2a-151) , PCF(Policy Control Function, 2a-161) 등의 엔티티(entity)를 포함할 수 있다. 한편, 무선통신 시스템은 상술한 엔티티들의 인증을 위하여 AUSF(Authentication Server Function, 2a-141), AAA(Authentication, Authorization and Accounting, 2a-171) 등의 엔티티를 포함할 수도 있다.
한편, 무선통신 시스템은 non 3GPP Access(2a-105)를 통해서 UE(User Equipment, 2a-101)가 통신하는 경우를 위해서 N3IWF(N3 interworking function, 2a-113)를 포함할 수 있다. UE(2a-101)가 non 3GPP Access(2a-105)를 통해서 통신하는 경우, 세션 관리(session management)는 UE(2a-101), non 3GPP Access(2a-105), N3IWF(2a-113), SMF(2a-121)를 통해서 제어되고, 이동성 관리(mobility management)는 UE(2a-101), non 3GPP Access(2a-105), N3IWF(2a-113), AMF(2a-111)를 통해서 제어된다.
도 1에서 무선통신 시스템은 5G 또는 NR 시스템이라고 가정하고 설명하고 있으나, 본 개시의 실시예들은 이에 한정되지 않고, 통상의 지식을 가진자가 이해할 수 있는 범위 내에서 다른 시스템에도 적용할 수 있다.
도 2는 개시된 일 실시예에 따른 정보 보호 방법을 나타내는 도면이다.
도 2를 참조하면, 먼저, 201 단계 및 203 단계에서 UE(2a-101) 와 AMF(2a-111)는 각각 3GPP access를 통한 security context 1, non 3GPP access를 통한 security context 2 를 가지고 있다. 즉, UE(2a-101)는 3GPP access 를 통해서도 AMF(2a-111)와 연결될 수 있고, 동시에(simultaneously) non 3GPP access 를 통해서도 등록 과정을 거쳐서 AMF(2a-111)와 연결될 수 있다.
일 실시예에서, 3GPP NG RAN, 즉, 3GPP access와 non 3GPP access를 통한 접속이 가능하고, UE(2a-101)가 두 access에 대해서 동일한 AMF(2a-111)에 접속될 수 있으며, PLMN 도 동일할 수 있다. 3GPP access를 통한 접속의 경우와 non 3GPP access를 통한 접속의 경우, 동일한 AMF(2a-111)에 접속되더라도 PLMN이 다르면 security context를 별도로 관리할 수 있다. 즉, 3GPP access를 통한 security context와, non 3GPP access를 통한 security context를 별도로 관리할 수 있다.
211 단계와 213 단계에서 AMF(2a-111)에서 UE(2a-101)로 authentication request를 전송한다. 221 단계와 223 단계에서 UE(2a-101)는 AMF(2a-111)로 authentication response 를 전송한다.
211 단계 내지 223 단계를 거치면 5G AKA(Authentication and Key Agreement) 및 EAP-AKA'(Extensible Authentication Protocol- Authentication and Key Agreement) 중에 어느 하나를 통해 보안(security)과 관련ㅡ된 마스터 키(master key) 값이 변경된다. 즉, Kseaf(SEcurity Anchor Function)가 변경된다. 결과적으로, Kamf(Access and Mobility Management Function)가 변경된다.
즉, 211 단계 내지 223 단계를 거치면 UE(2a-101)와 AMF(2a-111)는 partial security context 를 가지게 된다. 즉, ngKSI(5G Key Set Identifier)와 그와 관련된 Kamf를 가지게 된다. 일 실시예에서 3GPP access 를 통해서 AKA를 수행한 경우, Kseaf가 변경되고, Kamf이 변경되며, 이와 연관된 ngKSI도 변경된다. 예를 들어, ngKSI 1 에서 ngKSI 3 로 변경될 수 있다.
AKA 과정 수행 후, SMC(Security Mode Command) 과정을 통해 full security context 를 생성할 수 있다.
231 단계와 233 단계에서 AMF(2a-111)는 UE(2a-101)로 security mode command를 전송한다. 일 실시예에서, 231 단계와 233 단계는 AKA가 3GPP access 상에서 수행되어 해당 SMC를 수행하는 access, 즉, 3GPP access 뿐 아니라, 다른 access 인 non 3GPP 도 향후에 SMC 를 수행하도록 미리 알려주기 위한 경우이다. 즉, AMF(2a-111)에서 UE(2a-101)로 “UE(2a-101)와 AMF(2a-111)에서 authentication 단계를 통해 master key가 바뀌었고, 해당 AKA 의 결과인 master key 변경을 non 3GPP access 를 통한 접속에도 적용하고자 하는 경우” 이를 알려주는 indication 을 AMF(2a-111)에서 UE(2a-101)로 보내준다. 도 2에서는 3GPP access 가 먼저 변경되고, non 3GPP access가 나중에 변경되는 경우를 예로 들어 설명하였으나, 이에 한정되지 않고, non 3GPP access가 먼저 변경되고, 3GPP access가 나중에 변경되는 것도 가능하다.
이후, 241 단계와 243 단계에서 UE(2a-101)는 AMF(2a-111)로 security mode complete 를 보내게 된다. 241 단계와 243 단계를 수행하면, UE(2a-101)와 AMF(2a-111)는 full security context 를 가지게 된다.
251 단계와 253 단계에서 AMF(2a-111)는 authentication 단계를 새롭게 수행한, 즉, reauthentication 단계를 수행한 3GPP access 가 아닌 다른 access, 즉, non 3GPP access 를 통해서 UE(2a-101)로 security mode command를 보내게 된다.
일 실시예에서, 동일한 AMF, 동일한 PLMN 이고 AKA가 access, 즉, 3GPP access에서 일어나 마스터 키(master key), 즉, Kseaf가 변경이 되었으므로 Kamf가 변경될 수 있다. 예를 들어, 동일한 ngKSI를 사용하는 경우, 이와 같이 동작할 수 있다. ngKSI가 동일하면 ngKSI에 관련된 security key도 같아지게 된다. 이 경우, 3GPP access의 AKA 절차(procedure)를 통해서 획득한 Kseaf 혹은 Kamf 를 사용할 수 있다.
이와 같이, 3GPP access의 Authentication procedure를 통해서 마스터 키(master key) 등이 변경되는 경우, 이러한 변경사항을 non 3GPP access 에도 적용할 수 있다. 일 실시예에서, 전술한 3GPP access의 authentication procedure를 통해서 얻은 security key, 즉, KAMF 혹은 KSEAF와 관련된 ngKSI를 사용해서 보내게 된다. 예를 들어, ngKSI 3로 ngKSI를 설정(setting)해서 AMF(2a-111)에서 UE(2a-101)로 전송하게 된다.
이후 261 단계와 263 단계에서 UE(2a-101)는 AMF(2a-111)로 security mode complete 를 보내게 된다.
도 3은 개시된 다른 일 실시예에 따른 정보 보호 방법을 나타내는 도면이다.
도 3을 참조하면, 먼저, 301 단계, 303 단계에서 UE(2a-101)와 AMF(2a-111)는 각각 3GPP access를 통한 security context 1, non 3GPP access 를 통한 security context 2 를 가지고 있다. 즉, UE(2a-101)는 3GPP access 를 통해서도 AMF(2a-111)와 연결될 수 있고, 동시에(simultaneously) non 3GPP access 를 통해서도 등록 과정을 거쳐서 AMF(2a-111)와 연결될 수 있다.
일 실시예에서, 3GPP NG RAN, 즉, 3GPP access와 non 3GPP access를 통한 접속이 가능하고, UE(2a-101)가 두 access에 대해서 동일한 AMF(2a-111)에 접속될 수 있으며, PLMN 도 동일할 수 있다.
3GPP access 를 통한 접속의 경우와 non 3GPP access를 통한 접속의 경우, 동일한 AMF(2a-111)에 접속하더라도 PLMN이 다르면 security context를 별도로 관리할 수 있다. 즉, 3GPP access를 통한 security context와 다른 하나는 non 3GPP access 를 통한 security context를 별도로 관리할 수 있다.
311 단계와 313 단계에서는 AMF(2a-111)에서 UE(2a-101)로 authentication request 를 전송한다. 321 단계와 323 단계에서 UE(2a-101)는 AMF(2a-111)로 authentication response를 전송한다
311 단계 내지 323 단계를 거치면 5G AKA 및 EAP-AKA' 중에 어느 하나를 통해 보안(security) 관련된 마스터 키(master key) 값이 변경된다. 즉, Kseaf가 변경된다. 결과적으로, Kamf가 변경된다.
즉, 311 단계 내지 323 단계를 거치면 UE(2a-101)와 AMF(2a-111)는 partial security context 를 가지게 된다. 즉, ngKSI 와 그와 관련된 Kamf를 가지게 된다. 일 실시예에서 3GPP access 를 통해서 AKA를 수행한 경우, Kseaf가 변경되고 Kamf이 변경되며, 이와 연관된 ngKSI도 변경된다. 예를 들어, ngKSI 1에서 ngKSI 3로 변경될 수 있다.
AKA 과정 수행 후, SMC 단계를 통해 full security context 를 생성할 수 있다.
331 단계와 333 단계에서 AMF(2a-111)는 UE(2a-101)로 security mode command를 전송한다. 341 단계와 343 단계에서 UE(2a-101)는 AMF(2a-111)로 security mode complete 를 전송한다.
일 실시예에서, AKA 가 3GPP access 상에서 수행되어 해당 SMC를 수행하는 access, 즉, 3GPP access 뿐 아니라, 다른 access 인 non 3GPP access도 향후에 SMC를 수행하도록 미리 알려주기 위한 것이다. 즉, UE(2a-101)에서 AMF(2a-111)로 “UE(2a-101)와 AMF(2a-111)에서 authentication 과정을 통해 master key가 바뀌었고, 해당 AKA 의 결과인 master key 변경을 non 3GPP access 를 통한 접속에도 적용하고자 하는 경우에” 이를 알려주는 indication을 UE(2a-101)에서 AMF(2a-111)로 보내준다.
이후, 341 단계와 343 단계를 수행하면, UE(2a-101)와 AMF(2a-111)는 full security context 를 가지게 된다.
이후 351 단계와 353 단계에서 AMF(2a-111)는 authentication 단계를 새롭게 수행한, 즉, reauthentication 단계를 거친 3GPP access 가 아닌 다른 access, 즉, non 3GPP access 를 통해서 UE(2a-101)로 security mode command 를 보내게 된다.
일 실시예에서, 동일한 AMF, 동일한 PLMN이고 AKA가 다른 access, 즉, 3GPP access에서 일어나 마스터 키(master key), 즉, Kseaf가 변경이 되었으므로 Kamf가 변경될 수 있다. 예를 들어, 동일한 ngKSI를 사용하는 경우 이와 같이 동작할 수 있다.
ngKSI가 동일하면 ngKSI에 관련된 security key도 같아지게 된다. 이 경우, 3GPP access의 AKA 절차(procedure)를 통해서 획득한 Kseaf 혹은 Kamf 를 사용할 수 있다.
이와 같이, 3GPP access의 Authentication procedure를 통해서 마스터 키(master key) 등이 변경되는 경우, 이러한 변경사항을 non 3GPP access에도 적용할 수 있다.
일 실시예에서, 전술한 3GPP access의 authentication procedure를 통해서 얻은 security key, 즉, KAMF 혹은 KSEAF와 관련된 ngKSI를 사용해서 보내게 된다.
예를 들어, ngKSI 3 ng로 KSI를 설정(setting)해서 AMF(2a-111)에서 UE(2a-101)로 전송하게 된다.
이후 361 단계와 363 단계에서 UE(2a-101)는 AMF(2a-111)로 security mode complete 를 보내게 된다.
도 4는 개시된 또다른 일 실시예에 따른 정보 보호 방법을 나타내는 도면이다.
도 4를 참조하면, 401 단계 및 403 단계에서 UE(2a-101)와 AMF(2a-111)는 각각 3GPP access를 통한 security context 1, non 3GPP access를 통한 security context 2를 가지고 있다. 즉, UE(2a-101)는 3GPP access를 통해서도 AMF(2a-111)와 연결될 수 있고, 동시에(simultaneously) non 3GPP access 를 통해서도 등록 과정을 거쳐서 AMF(2a-111)와 연결될 수 있다.
일 실시예에서, 3GPP NG RAN, 즉, 3GPP access와 non 3GPP access를 통한 접속이 가능하고, UE(2a-101)가 두 access에 대해서 동일한 AMF(2a-111)에 접속될 수 있으며, PLMN 도 동일할 수 있다. 3GPP access를 통한 접속의 경우와 non 3GPP access를 통한 접속의 경우, 동일한 AMF(2a-111)에 접속되더라도 PLMN이 다르면 security context를 별도로 관리할 수 있다. 즉, 3GPP access를 통한 security context와, non 3GPP access를 통한 security context를 별도로 관리할 수 있다.
411 단계와 413 단계에서는 AMF(2a-111)에서 UE(2a-101)로 authentication request 를 전송한다. 421 단계와 423 단계에서 UE(2a-101)는 AMF(2a-111)로 authentication response를 전송한다
411 단계 내지 423 단계를 거치면 5G AKA 및 EAP-AKA' 중에 어느 하나를 통해 보안(security) 관련된 마스터 키(master key) 값이 변경된다. 즉, Kseaf가 변경된다. 결과적으로, Kamf가 변경된다.
즉, 411 단계 내지 424 단계를 거치면 UE(2a-101)와 AMF(2a-111)는 partial security context 를 가지게 된다. 즉, ngKSI 와 그와 관련된 Kamf를 가지게 된다. 일 실시예에서 4GPP access 를 통해서 AKA를 수행한 경우, Kseaf가 변경되고 Kamf이 변경되며, 이와 연관된 ngKSI도 변경된다. 예를 들어, ngKSI 1에서 ngKSI 3으로 변경 될 수 있다.
421 단계와 423 단계에서는 AKA 가 3GPP access 상에서 수행되어 해당 SMC를 수행하는 access, 즉, 3GPP access 뿐 아니라, 다른 access 인 non 3GPP access도 향후에 SMC를 수행하도록 미리 알려주기 위한 과정이다. UE(2a-101)에서 AMF(2a-111)로 UE(2a-101)와 AMF(2a-111)에서 authentication 단계를 통해 master key가 바뀌었고, 해당 AKA 의 결과인 master key 변경을 non 3GPP access 를 통한 접속에도 적용하고자 하는 경우 이를 알려주는 indication을 UE(2a-101)에서 AMF(2a-111)로 보내준다.
AKA 과정 수행 후, SMC 과정을 통해 full security context를 생성할 수 있다. 431 단계와 433 단계에서 AMF(2a-111)는 UE(2a-101)로 security mode command 를 전송한다.
이후, 441 단계와 443 단계에서 UE(2a-101)는 AMF(2a-111)로 security mode complete 를 보내게 된다.
441 단계와 443 단계를 수행하면, UE(2a-101)와 AMF(2a-111)는 full security context 를 가지게 된다.
이후 451 단계와 453 단계에서 AMF(2a-111)는 authentication 단계를 새롭게 수행한, 즉, reauthentication 단계를 거친 3GPP access 가 아닌 다른 access, 즉, non 3GPP access 를 통해서 UE(2a-101)로 security mode command 를 보내게 된다.
일 실시예에서, 동일한 AMF, 동일한 PLMN이고 AKA가 다른 access, 즉, 3GPP access에서 일어나 마스터 키(master key), 즉, Kseaf가 변경이 되었으므로 Kamf가 변경될 수 있다. 예를 들어, 동일한 ngKSI를 사용하는 경우 이와 같이 동작할 수 있다.
ngKSI가 동일하면 ngKSI에 관련된 security key도 같아지게 된다. 이 경우, 3GPP access의 AKA 절차(procedure)를 통해서 획득한 Kseaf 혹은 Kamf 를 사용할 수 있다.
이와 같이, 3GPP access의 Authentication procedure를 통해서 마스터 키(master key) 등이 변경되는 경우, 이러한 변경사항을 non 3GPP access에도 적용할 수 있다.
일 실시예에서, 전술한 3GPP access의 authentication procedure를 통해서 얻은 security key, 즉, Kamf 혹은 Kseaf와 관련된 ngKSI를 사용해서 보내게 된다.
예를 들어, ngKSI 3 로 ngKSI를 설정(setting)해서 AMF(2a-111)에서 UE(2a-101)로 전송하게 된다.
이후 461 단계와 463 단계에서 UE(2a-101)는 AMF(2a-111)로 security mode complete 를 보내게 된다.
도 5는 개시된 또다른 일 실시예에 따른 정보 보호 방법을 나타내는 도면이다.
도 5를 참조하면, 먼저, 501 단계 및 503 단계에서 UE(2a-101) 와 AMF(2a-111)는 각각 3GPP access를 통한 security context 1, non 3GPP access를 통한 security context 2 를 가지고 있다. 즉, UE(2a-101)는 3GPP access 를 통해서도 AMF(2a-111)와 연결될 수 있고, 동시에(simultaneously) non 3GPP access 를 통해서도 등록 과정을 거쳐서 AMF(2a-111)와 연결될 수 있다.
일 실시예에서, 3GPP NG RAN, 즉, 3GPP access와 non 3GPP access를 통한 접속이 가능하고, UE(2a-101)가 두 access에 대해서 동일한 AMF(2a-111)에 접속될 수 있으며, PLMN 도 동일할 수 있다. 3GPP access를 통한 접속의 경우와 non 3GPP access를 통한 접속의 경우, 동일한 AMF(2a-111)에 접속되더라도 PLMN이 다르면 security context를 별도로 관리할 수 있다. 즉, 3GPP access를 통한 security context와, non 3GPP access를 통한 security context를 별도로 관리할 수 있다.
511 단계와 513 단계에서 AMF(2a-111)에서 UE(2a-101)로 authentication request를 전송한다. 521 단계와 523 단계에서 UE(2a-101)는 AMF(2a-111)로 authentication response 를 전송한다.
511 단계 내지 523 단계를 거치면 5G AKA 및 EAP-AKA' 중에 어느 하나를 통해 보안(security)과 관련된 마스터 키(master key) 값이 변경된다. 즉, Kseaf가 변경된다. 결과적으로, Kamf가 변경된다.
즉, 511 단계 내지 523 단계를 거치면 UE(2a-101)와 AMF(2a-111)는 partial security context 를 가지게 된다. 즉, ngKSI 와 그와 관련된 Kamf를 가지게 된다. 일 실시예에서 3GPP access 를 통해서 AKA를 수행한 경우, Kseaf가 변경되고, Kamf이 변경되며, 이와 연관된 ngKSI도 변경된다. 예를 들어, ngKSI 1 에서 ngKSI 3 로 변경될 수 있다.
AKA 과정 수행 후, SMC(Security Mode Command) 과정을 통해 full security context 를 생성할 수 있다.
531 단계와 533 단계에서 AMF(2a-111)는 UE(2a-101)로 security mode command를 전송한다.
이후, 541 단계와 543 단계에서 UE(2a-101)는 AMF(2a-111)로 security mode complete 를 보내게 된다. 541 단계와 543 단계를 수행하면, UE(2a-101)와 AMF(2a-111)는 full security context 를 가지게 된다.
551 단계와 553 단계에서 AMF(2a-111)는 authentication 단계를 새롭게 수행한, 즉, reauthentication 단계를 수행한 3GPP access 가 아닌 다른 access, 즉, non 3GPP access 를 통해서 UE(2a-101)로 security mode command를 보내게 된다.
531 단계와 533 단계에서, AKA 가 3GPP access 상에서 수행되어 해당 SMC 를 수행하는 access, 즉, 3GPP Access 뿐 아니라, 다른 access 인 non 3GPP access도 SMC 를 수행하게된 경우임을 알려주기 위하여, AMF(2a-111)에서 UE(2a-101)로 UE(2a-101)와 AMF(2a-111)에서 authentication 과정을 통해 master key가 바뀌었고, 해당 AKA 의 결과인 master key 변경을 non 3GPP access 를 통한 접속에도 적용하고자 하는 경우 이를 알려주는 indication 을 AMF(2a-111)에서 UE(2a-101)로 보내준다.
일 실시예에서, 명시적인 indication 을 전송하지 않을 수도 있다.
일 실시예에서, 동일한 AMF, 동일한 PLMN이고 AKA가 다른 access, 즉, 3GPP access에서 일어나 마스터 키(master key), 즉, Kseaf가 변경이 되었으므로 Kamf가 변경될 수 있다. 예를 들어, 동일한 ngKSI를 사용하는 경우 이와 같이 동작할 수 있다.
ngKSI가 동일하면 ngKSI에 관련된 security key도 같아지게 된다. 이 경우, 3GPP access의 AKA 절차(procedure)를 통해서 획득한 Kseaf 혹은 Kamf 를 사용할 수 있다.
이와 같이, 3GPP access의 Authentication procedure를 통해서 마스터 키(master key) 등이 변경되는 경우, 이러한 변경사항을 non 3GPP access에도 적용할 수 있다.
일 실시예에서, 전술한 3GPP access의 authentication procedure를 통해서 얻은 security key, 즉, Kamf 혹은 Kseaf와 관련된 ngKSI를 사용해서 보내게 된다.
예를 들어, ngKSI 3로 ngKSI를 설정(setting)해서 AMF(2a-111)에서 UE(2a-101)로 전송하게 된다.
이후 561 단계와 563 단계에서 UE(2a-101)는 AMF(2a-111)로 security mode complete 를 보내게 된다.
도 6는 개시된 또다른 일 실시예에 따른 정보 보호 방법을 나타내는 도면이다.
도 6을 참조하면, 먼저, 601 단계 및 603 단계에서 UE(2a-101) 와 AMF(2a-111)는 각각 3GPP access를 통한 security context 1, non 3GPP access를 통한 security context 2 를 가지고 있다. 즉, UE(2a-101)는 3GPP access 를 통해서도 AMF(2a-111)와 연결될 수 있고, 동시에(simultaneously) non 3GPP access 를 통해서도 등록 과정을 거쳐서 AMF(2a-111)와 연결될 수 있다.
일 실시예에서, 3GPP NG RAN, 즉, 3GPP access와 non 3GPP access를 통한 접속이 가능하고, UE(2a-101)가 두 access에 대해서 동일한 AMF(2a-111)에 접속될 수 있으며, PLMN 도 동일할 수 있다. 3GPP access를 통한 접속의 경우와 non 3GPP access를 통한 접속의 경우, 동일한 AMF(2a-111)에 접속되더라도 PLMN이 다르면 security context를 별도로 관리할 수 있다. 즉, 3GPP access를 통한 security context와, non 3GPP access를 통한 security context를 별도로 관리할 수 있다.
611 단계와 613 단계에서 AMF(2a-111)에서 UE(2a-101)로 authentication request를 전송한다. 621 단계와 623 단계에서 UE(2a-101)는 AMF(2a-111)로 authentication response 를 전송한다.
611 단계 내지 623 단계를 거치면 5G AKA 및 EAP-AKA' 중에 어느 하나를 통해 보안(security)과 관련된 마스터 키(master key) 값이 변경된다. 즉, Kseaf가 변경된다. 결과적으로, Kamf가 변경된다.
즉, 611 단계 내지 623 단계를 거치면 UE(2a-101)와 AMF(2a-111)는 partial security context 를 가지게 된다. 즉, ngKSI 와 그와 관련된 Kamf를 가지게 된다. 일 실시예에서 3GPP access 를 통해서 AKA를 수행한 경우, Kseaf가 변경되고, Kamf이 변경되며, 이와 연관된 ngKSI도 변경된다. 예를 들어, ngKSI 1 에서 ngKSI 3 로 변경될 수 있다.
AKA 과정 수행 후, SMC(Security Mode Command) 과정을 통해 full security context 를 생성할 수 있다.
631 단계와 633 단계에서 AMF(2a-111)는 UE(2a-101)로 security mode command를 전송한다.
이후, 641 단계와 643 단계에서 UE(2a-101)는 AMF(2a-111)로 security mode complete 를 보내게 된다. 641 단계와 643 단계를 수행하면, UE(2a-101)와 AMF(2a-111)는 full security context 를 가지게 된다.
651 단계와 653 단계에서 AMF(2a-111)는 authentication 단계를 새롭게 수행한, 즉, reauthentication 단계를 수행한 3GPP access 가 아닌 다른 access, 즉, non 3GPP access 를 통해서 UE(2a-101)로 security mode command를 보내게 된다.
일 실시예에서, 동일한 AMF, 동일한 PLMN 이고 AKA가 access, 즉, 3GPP access에서 일어나 마스터 키(master key), 즉, Kseaf가 변경이 되었으므로 Kamf가 변경될 수 있다. 예를 들어, 동일한 ngKSI를 사용하는 경우, 이와 같이 동작할 수 있다. ngKSI가 동일하면 ngKSI에 관련된 security key도 같아지게 된다. 이 경우, 3GPP access의 AKA 절차(procedure)를 통해서 획득한 Kseaf 혹은 Kamf 를 사용할 수 있다.
이와 같이, 3GPP access의 Authentication procedure를 통해서 마스터 키(master key) 등이 변경되는 경우, 이러한 변경사항을 non 3GPP access 에도 적용할 수 있다. 일 실시예에서, 전술한 3GPP access의 authentication procedure를 통해서 얻은 security key, 즉, Kamf 혹은 Kseaf와 관련된 ngKSI를 사용해서 보내게 된다. 예를 들어, ngKSI 3 로 ngKSI를 설정(setting)해서 AMF(2a-111)에서 UE(2a-101)로 전송하게 된다.
일 실시예에서, 동일한 ngKSI가 사용되는 경우를 모르는 경우 혹은 동일한 ngKSI가 수신되면 ngKSI에 대해 error로 처리할 수도 있다.
이후 661 단계와 663 단계에서 UE(2a-101)는 AMF(2a-111)로 security mode complete 를 보내게 된다.
이하에서는 key derivation 및 ngKSI 사용에 대해서 설명한다.
먼저, non 3GPP 와 3GPP 에 대해서 AKA 가 일어난 경우 non 3GPP 와 3GPP 에 대해서 NAS count를 별도로 이용하고 이를 NAS intergrity key 와 NAS encryption key 를 생성에 이용하는 경우이다.
일 실시예에서, ngKSI 는 동일하므로, ngKSI 가 나타내는 Kamf 는 동일하다. 하지만 primary authentication 에 의해 Kseaf가 바뀌고 Kamf 가 변경되는 경우, Kamf 에서 derivation 된 Kn3iwf 와 Kamf 에서 derivation 되는 Kgnb 는 Kamf 의 변경에 의해 바뀔 수 있다.
일 실시예에서, KDF nas enc, KDF nas integrity 의 input 에 NAS algorithm, algorithm Id, access 별 NAS Uplink count 가 input 값이 될 수 있다. 즉, non 3GPP 는 non 3GPP NAS uplink count 가 3GPP 는 3GPP AS uplink count 가 input 이 될 수 있다.
일 실시예에서, KDF nas enc, KDF nas int 를 생성하는데 있어서 access type distinguisher 가 포함될 수 있다. 예를 들면, 3GPP 는 0x01, non3GPP 는 0x02 등 disinguisher 값을 포함할 수 있다.
일 실시예에서, Kseaf 가 변경되고, Kamf 를 3GPP 용과 non3GPP 용으로 다르게 생성할 수 있다.
이하에서는 SMC(Security Mode Command) 메시지에 대해서 설명한다.
일 실시예에서, SMC(Security Mode Command) 메시지를 AMF에서 UE로 전송하는 경우, Security와 관련된 파라미터(parameter)를 참조할 수 있도록 access type 정보를 함께 전송할 수 있다.
Access type 정보는 access type이 3GPP access 인지 혹은 non 3GPP access 인지 여부를 구분하는데 활용될 수 있다. 일 실시예에서, 1 bit를 on/off 로 사용하여 access type이 3GPP access 인지 혹은 non 3GPP access 인지 여부를 구분할 수 있다. 다른 일 실시예에서, 2 bit를 사용하여 구분자 값(distinguisher , 0x01, 0x02)를 나타내고, 이러한 구분자 값을 바탕으로 access type이 3GPP access 인지 혹은 non 3GPP access 인지 여부를 구분할 수 있다. 예를 들어, 3GPP access의 구분자 값은 0x01, non 3GPP access의 구분자 값은 0x02 일 수 있다.
일 실시예에서, security mode command 메시지의 형태는 다음과 같다.
[표 1]
일 실시예에서, [표 1]의 Access type 은 [표 2]와 같이 구성되고, [표 3]과 같이 코딩될 수 있다.
표 4 다음과 같이 구성, 표5, 표 6 같이 코딩 될 수 있다.
일 실시예에서, [표 1]의 Access type 은 [표 4]와 같이 구성되고, [표 5-a], [표 5-b]와 같이 코딩될 수 있다.
일 실시예에서, [표 1]의 ngKSI는 다음과 같이 구성될 수 있다.
일 실시예에서, SMC(Security Mode Command) 메시지의 형태는 다음과 같다.
[표 8]
Access type 정보를 전송하기 위한 다른 일 실시예로, access type 정보를 [표 8]의 NAS key set identifier 정보와 함께 보낼 수도 있다. NAS key set identifier 정보는 [표 9]와 같이 구성하여, [표 10-a], [표 10-b]와 같이 코딩할 수 있다.
Access type 정보를 전송하기 위한 다른 일 실시예로, access type 정보를 [표 8]의 NAS key set identifier 정보와 함께 보낼 수도 있다. NAS key set identifier 정보는 [표 11]과 같이 구성하여, [표 12] 와 같이 코딩할 수 있다.
Access type 정보를 전송하기 위한 다른 일 실시예로, access type 정보를 [표 8]의 NAS key set identifier 정보와 함께 보낼 수도 있다. NAS key set identifier 정보는 [표 11]과 같이 구성하여, [표 12] 와 같이 코딩할 수 있다.
일 실시예에서, SMC(Security Mode Command) 메시지 형태는 다음과 같다.
[표 13]
[표 13]에서 NAS connection identifier는 [표 14]와 같이 구성하여, [표 15]와 같이 코딩할 수 있다.
[표 13]에서 NAS connection identifier는 [표 16]과 같이 구성하여, [표 17]과 같이 코딩할 수 있다.
이하에서는 Security mode complete 메시지에 대해서 설명한다.
일 실시예에서, Security mode complete 메시지를 AMF에서 UE로 전송하는 경우, Security와 관련된 파라미터(parameter)를 참조할 수 있도록 access type 정보를 함께 전송할 수 있다.
Access type 정보는 access type이 3GPP access 인지 혹은 non 3GPP access 인지 여부를 구분하는데 활용될 수 있다. 일 실시예에서, 1 bit를 on/off 로 사용하여 access type이 3GPP access 인지 혹은 non 3GPP access 인지 여부를 구분할 수 있다. 다른 일 실시예에서, 2 bit를 사용하여 구분자 값(distinguisher , 0x01, 0x02)를 나타내고, 이러한 구분자 값을 바탕으로 access type이 3GPP access 인지 혹은 non 3GPP access 인지 여부를 구분할 수 있다. 예를 들어, 3GPP access의 구분자 값은 0x01, non 3GPP access의 구분자 값은 0x02 일 수 있다.
일 실시예에서, Security mode complete 메시지의 형태는 다음과 같다.
[표 18]
Access type 구성 및 코딩은 상술한 실시예를 참조한다.
일 실시예에서, Security mode complete 메시지의 형태는 다음과 같다.
[표 19]
NAS connection identifier의 구성 및 코딩은 상술한 실시예를 참조한다.
이하에서는 NAS security change triggering indication 관련하여, SMC(Security Mode Command) 메시지에 대해서 설명한다.
상술한 도 2 및 도 5에서 사용되는 security mode command 메시지의 형태는 다음과 같다.
[표 20]
[표 20]에서 Triggering NAS security change indication은 [표 21] 과 같이 구성되고, [표 22], [표 23]과 같이 코딩될 수 있다.
도 2에서는 [표 22]와 같이 현재 authentication을 수행한 access 뿐 아니라 다른 access 에 대해서 SMC를 수행하기 위한 triggering을 알려주는 것이다.
도 5에서는 [표 23]과 같이 authentication을 수행한 access가 있어 다른 access인 것에 대해 현재 security context 를 change 하기 위해 SMC 를 수행하면서 현재 access 에게 왜 SMC가 수행되었는지 이유를 알려줄 수 있다.
이하에서는 Security mode complete 메시지에 대해서 설명한다.
도 3에서는 다음의 security mode complete 를 참조한다.
[표 24]
Triggering NAS security change indication은 [표 25]와 같이 구성되고, [표 26]과 같이 코딩될 수 있다.
Triggering NAS security change indication은 [표 25]와 같이 현재 authentication을 수행한 access가 아닌 다른 access에 대해서 SMC를 수행하기 위한 triggering을 UE에서 Network로 알려주는 것이다.
이하에서는 Authentication response 메시지에 대해서 설명한다.
[표 27]
[표 27]에서 Triggering NAS security change indication은 [표 28]과 같이 구성되고, [표 29]와 같이 코딩될 수 있다.
[표 28]과 같이 현재 authentication을 수행한 access 뿐만 아니라 다른 access에 대해서도 SMC를 수행하기 위한 triggering을 UE에서 Network로 알려주는 것이다.
이하에서는 Authentication request 메시지에 대해서 설명한다.
[표 30]
[표 30]에서 Triggering NAS security change indication은 [표 31]과 같이 구성되고, [표 32]와 같이 코딩될 수 있다.
[표 31]와 같이 Triggering NAS security change indication은 현재 authentication을 수행한 access 뿐 아니라 이후 다른 access에 대해서 SMC를 수행하기 위한 triggering을 알려주는 것이다.
이하에서는 일 실시예에 따른 키 생성 방법을 설명한다.
일 실시예에서, 키 생성 시, NAS counter 를 사용할 수 있다. 여기서, NAS counter는 다음 4 가지 counter 중 적어도 하나 이상을 포함할 수 있다.
- 3GPP access를 위한 3GPP NAS uplink counter
- 3GPP access를 위한 3GPP NAS downlink counter
- Non 3GPP access를 위한 non-3GPP access NAS uplink counter
- Non 3GPP access를 위한 non-3GPP access NAS downlink counter
3GPP NAS uplink counter는 NAS message protection을 위한 3GPP Knasint, 3GPP Knasenc 를 생성하는데 사용될 수 있다. 일 실시예에서, 3GPP Knasint, 3GPP Knasenc 각각은 NAS integrity protection key, NAS encryption protection key 일 수 있다. 3GPP Knasint, 3GPP Knasenc의 1) input key는 Kamf 이고, 2) Key derivation function 에 포함되는 String 은 다음과 같이 구성될 수 있다.
FC = 0x69 또는 표준에서 정할 값
- P0 = algorithm type distinguisher
N-NAS-enc-alg 0x01
N-NAS-int-alg 0x02
- L0 = length of algorithm type distinguisher (i.e. 0x00 0x01)
- P1 = algorithm identity
- L1 = length of algorithm identity (i.e. 0x00 0x01)
- P2 = 3GPP Uplink NAS COUNT
- L2 = length of 3GPP uplink NAS COUNT (i.e. 0x00 0x04)
상술한 실시예에서, 3GPP uplink NAS counter를 사용한 바, 별도의 access type 구분자가 input string 에서 사용되지 않을 수 있다.
non 3GPP NAS uplink counter는 non 3GPP NAS message protection을 위한 non 3GPP Knasint, non 3GPP Knasenc를 생성하는데 사용된다. non 3GPP Knasint, non 3GPP Knasenc 각각은 NAS integrity protection key, NAS encryption protection key 일 수 있다. Non 3GPP Knasint, non 3GPP Knasenc의 1) input key 는 Kamf 이고, 2) Key derivation function 에 포함되는 String 은 다음과 같이 구성될 수 있다.
FC = 0x69 또는 표준에서 정할 값 FC=0x??
- P0 = algorithm type distinguisher
N-NAS-enc-alg 0x01
N-NAS-int-alg 0x02
- L0 = length of algorithm type distinguisher (i.e. 0x00 0x01)
- P1 = algorithm identity
- L1 = length of algorithm identity (i.e. 0x00 0x01)
- P2 = non 3GPP Uplink NAS COUNT
- L2 = length of non 3GPP uplink NAS COUNT (i.e. 0x00 0x04)
상술한 실시예에서, non 3GPP uplink NAS count를 사용한 바, 별도의 access type 구분자가 input string 에 사용되지 않을 수 있다.
NAS uplink counter는 NAS message protection을 위한 Knasint, Knasenc를 생성하는데 사용된다. Knasint, Knasenc 각각은 NAS integrity protection key, NAS encryption protection key일 수 있다. 일 실시예에서, NAS uplink counter 이외에도 access type 구분자를 두어서 이를 input string으로 사용할 수 있다. Knasint, Knasenc의 1) input key 는 Kamf 이고, 2) Key derivation function 에 포함되는 String은 다음과 같이 구성될 수 있다.
FC = 0x69 또는 표준에서 정할 값
- P0 = algorithm type distinguisher
N-NAS-enc-alg 0x01
N-NAS-int-alg 0x02
- L0 = length of algorithm type distinguisher (i.e. 0x00 0x01)
- P1 = algorithm identity
- L1 = length of algorithm identity (i.e. 0x00 0x01)
- P2 = Uplink NAS COUNT
- L2 = length of uplink NAS COUNT (i.e. 0x00 0x04)
- P3 = Access type distinguisher
여기서, 3GPP를 위해서는 (0x01) , Non 3GPP를 위해서는 (0x02)를 사용할 수 있다.
- L3 = length of Access type distiguisher (i.e. 0x00 0x01)
상술한 실시예에서, P3, L3가 구분자, 즉, access type distinguisher로 input string에 포함되어 있다. 일 실시예에서, P2, L2 에서 uplink NAS count 를 사용할 수 있다. 또한, 3GPP를 위해서 P2, L2 에서 3GPP uplink NAS count 를 사용할 수도 있다. 또한, non 3GPP를 위해서 P2, L2 에서 non 3GPP uplink NAS count 를 사용할 수도 있다.
이하에서는 다른 일 실시예에 따른 키 생성 방법을 설명한다.
일 실시예에서, 키 생성 시, NAS counter 를 사용할 수 있다. 여기서, 3GPP와 non 3GPP가 같이 NAS counter를 사용한다면 2 가지의 종류의 counter와 access type 정보로 구분할 수 있다.
- NAS uplink counter + access 정보( 3GPP or non 3GPP )
- NAS downlink counter + access 정보( 3GPP or non 3GPP)
일 실시예에서, NAS access는 unique한 NAS connection identifier를 포함할 수 있다. 일 실시예에서, NAS connection identifier에는, 3GPP access의 경우 NAS uplink counter, downlink counter pair를 포함할 수 있고, Non 3GPP access 의 경우 NAS uplink counter, downlink counter pair를 포함할 수 있다.
이러한 경우, NAS connection identifier를 security mode command 메시지, security mode complete 메시지에 포함하여 전송함으로써, security mode command 메시지, security mode complete 메시지 에서 NAS count value를 reset 하거나, integrity protection의 integrity protection을 위한 검증에서 사용할 수 있다.
이러한 경우, NAS encryption key와 NAS integrity key가 같아질 수도 있다.
일 실시예에서, NAS uplink counter는 NAS message protection을 위한 Knasint, Knasenc 를 생성하는데 사용될 수 있다. Knasint, Knasenc 각각은 NAS integrity protection key, NAS encryption protection key 일 수 있다.
다른 일 실시예에서, NAS uplink counter 이외에도 NAS connection identifier를 이용할 수 있다. 이 경우, NAS connection identifier를 이용하여 security context에 있어서 3GPP access 관련을 참조해야 하는지, non 3GPP access 관련을 참조해야 하는지 알 수 있다. 이 때, Kamf가 생성되는 경우, 3GPP access와 non 3GPP access가 NAS counter를 공유(share)해서 사용하고 있으므로, NAS counter value가 reset 되지 않을 수도 있다.
일 실시예에서, Knasint, Knasenc의 1) input key 는 Kamf 이고, 2) Key derivation function에 들어가는 String 은 다음과 같이 구성될 수 있다.
FC = 0x69 또는 표준에서 정할 값
- P0 = algorithm type distinguisher
N-NAS-enc-alg 0x01
N-NAS-int-alg 0x02
- L0 = length of algorithm type distinguisher (i.e. 0x00 0x01)
- P1 = algorithm identity
- L1 = length of algorithm identity (i.e. 0x00 0x01)
- P2 = Uplink NAS COUNT
- L2 = length of uplink NAS COUNT (i.e. 0x00 0x04)
- P3 = NAS connection identifier
- L3 = length of NAS connection identifier (i.e. 0x00 0x01)
상술한 실시예에서, P3, L3가 구분자, 즉, NAS connection identifier로 input string에 들어가 있으므로 P2, L2에서 uplink NAS count를 사용할 수도 있다.
일 실시예에 따르면, 이동통신 시스템에서, UE, Network로 전송되는 정보(information)를 보호할 수 있다. 보다 구체적으로, UE, network entity 간에 정보를 전달함에 있어서, security protection 을 위해 사용되는 security context 의 생성, 저장, 갱신, 관리와 관련된 절차를 효율적으로 수행함으로써 보안이 강화된 통신을 수행할 수 있다.
도 7은 개시된 일 실시예에 따른 단말의 내부 구조를 도시하는 도면이다.
도 7을 참조하면, 단말은 송수신부(702), 메모리(704) 및 프로세서(706)를 포함할 수 있다. 전술한 단말의 통신 방법에 따라, 단말의 송수신부(702), 메모리(704) 및 프로세서(706)가 동작할 수 있다. 다만, 단말의 구성 요소가 전술한 예에 한정되는 것은 아니다. 예를 들어, 단말은 전술한 구성 요소들 보다 더 많은 구성 요소를 포함하거나 더 적은 구성 요소를 포함할 수도 있다. 뿐만 아니라 송수신부(702), 메모리(704) 및 프로세서(706)가 하나의 칩(chip) 형태로 구현될 수도 있다.
송수신부(702)는 기지국과 신호를 송수신할 수 있다. 여기에서, 신호는 제어 정보 및 데이터를 포함할 수 있다. 이를 위해, 송수신부(702)는 전송되는 신호의 주파수를 상승 변환 및 증폭하는 RF 송신기와, 수신되는 신호를 저 잡음 증폭하고 주파수를 하강 변환하는 RF 수신기 등으로 구성될 수 있다. 다만, 이는 송수신부(702)의 일 실시예일뿐이며, 송수신부(702)의 구성 요소가 RF 송신기 및 RF 수신기에 한정되는 것은 아니다.
또한, 송수신부(702)는 무선 채널을 통해 신호를 수신하여 프로세서(706)로 출력하고, 프로세서(706)로부터 출력되는 신호를 무선 채널을 통해 전송할 수 있다.
메모리(704)는 단말의 동작에 필요한 프로그램 및 데이터를 저장할 수 있다. 또한, 메모리(704)는 단말에서 획득되는 신호에 포함된 제어 정보 또는 데이터를 저장할 수 있다. 메모리(704)는 롬(ROM), 램(RAM), 하드디스크, CD-ROM 및 DVD 등과 같은 저장 매체 또는 저장 매체들의 조합으로 구성될 수 있다. 또한, 메모리(704)는 복수 개의 메모리로 구성될 수도 있다. 일 실시예에서, 메모리(704)는 빔 기반 협력 통신을 지원하기 위한 프로그램을 저장할 수 있다.
프로세서(706)는 전술한 실시예에 따라 단말이 동작할 수 있도록 일련의 과정을 제어할 수 있다. 프로세서(706)는 상술한 실시예 중 일부 동작만을 수행할 수도 있고, 이에 한정되지 않고, 프로세서(706)는 상술한 실시예의 전부 또는 일부에 따라 단말이 동작할 수 있도록 모든 과정을 제어할 수도 있다.
도 8는 개시된 일 실시예에 따른 네트워크 엔티티의 내부 구조를 도시하는 도면이다.
도 8를 참조하면, 네트워크 엔티티는 송수신부(802), 메모리(804) 및 프로세서(806)를 포함할 수 있다. 전술한 네트워크 엔티티의 통신 방법에 따라, 네트워크 엔티티의 송수신부(802), 메모리(804) 및 프로세서(806)가 동작할 수 있다. 다만, 네트워크 엔티티의 구성 요소가 전술한 예에 한정되는 것은 아니다. 예를 들어, 네트워크 엔티티는 전술한 구성 요소들 보다 더 많은 구성 요소를 포함하거나 더 적은 구성 요소를 포함할 수도 있다. 뿐만 아니라 송수신부(802), 메모리(804) 및 프로세서(806)가 하나의 칩(chip) 형태로 구현될 수도 있다. 일 실시에에서 네트워크 엔티티는 기지국 및 코어 네트워크에 포함된 엔티티를 포함할 수 있으며, 예를 들어, AMF, SMF 등을 포함할 수 있다.
송수신부(802)는 단말과 신호를 송수신할 수 있다. 여기에서, 신호는 제어 정보 및 데이터를 포함할 수 있다. 이를 위해, 송수신부(802)는 전송되는 신호의 주파수를 상승 변환 및 증폭하는 RF 송신기와, 수신되는 신호를 저 잡음 증폭하고 주파수를 하강 변환하는 RF 수신기 등으로 구성될 수 있다. 다만, 이는 송수신부(802)의 일 실시예일뿐이며, 송수신부(802)의 구성 요소가 RF 송신기 및 RF 수신기에 한정되는 것은 아니다.
또한, 송수신부(802)는 무선 채널을 통해 신호를 수신하여 프로세서(806)로 출력하고, 프로세서(806)로부터 출력되는 신호를 무선 채널을 통해 전송할 수 있다.
메모리(804)는 네트워크 엔티티의 동작에 필요한 프로그램 및 데이터를 저장할 수 있다. 또한, 메모리(804)는 네트워크 엔티티에서 획득되는 신호에 포함된 제어 정보 또는 데이터를 저장할 수 있다. 메모리(804)는 롬(ROM), 램(RAM), 하드디스크, CD-ROM 및 DVD 등과 같은 저장 매체 또는 저장 매체들의 조합으로 구성될 수 있다. 또한, 메모리(804)는 복수 개의 메모리로 구성될 수도 있다. 일 실시예에서, 메모리(804)는 빔 기반 협력 통신을 지원하기 위한 프로그램을 저장할 수 있다.
프로세서(806)는 전술한 실시예에 따라 네트워크 엔티티가 동작할 수 있도록 일련의 과정을 제어할 수 있다. 프로세서(806)는 상술한 실시예 중 일부 동작만을 수행할 수도 있고, 이에 한정되지 않고, 프로세서(806)는 상술한 실시예의 전부 또는 일부에 따라 네트워크 엔티티가 동작할 수 있도록 모든 과정을 제어할 수도 있다.
본 개시의 청구항 또는 명세서에 기재된 실시예들에 따른 방법들은 하드웨어, 소프트웨어, 또는 하드웨어와 소프트웨어의 조합의 형태로 구현될(implemented) 수 있다.
소프트웨어로 구현하는 경우, 하나 이상의 프로그램(소프트웨어 모듈)을 저장하는 컴퓨터 판독 가능 저장 매체 또는 컴퓨터 프로그램 제품이 제공될 수 있다. 컴퓨터 판독 가능 저장 매체 또는 컴퓨터 프로그램 제품에 저장되는 하나 이상의 프로그램은, 전자 장치(device) 내의 하나 이상의 프로세서에 의해 실행 가능하도록 구성된다(configured for execution). 하나 이상의 프로그램은, 전자 장치로 하여금 본 개시의 청구항 또는 명세서에 기재된 실시 예들에 따른 방법들을 실행하게 하는 명령어(instructions)를 포함한다.
이러한 프로그램(소프트웨어 모듈, 소프트웨어)은 랜덤 액세스 메모리 (random access memory), 플래시(flash) 메모리를 포함하는 불휘발성(non-volatile) 메모리, 롬(ROM: Read Only Memory), 전기적 삭제가능 프로그램가능 롬(EEPROM: Electrically Erasable Programmable Read Only Memory), 자기 디스크 저장 장치(magnetic disc storage device), 컴팩트 디스크 롬(CD-ROM: Compact Disc-ROM), 디지털 다목적 디스크(DVDs: Digital Versatile Discs) 또는 다른 형태의 광학 저장 장치, 마그네틱 카세트(magnetic cassette)에 저장될 수 있다. 또는, 이들의 일부 또는 전부의 조합으로 구성된 메모리에 저장될 수 있다. 또한, 각각의 구성 메모리는 다수 개 포함될 수도 있다.
또한, 프로그램은 인터넷(Internet), 인트라넷(Intranet), LAN(Local Area Network), WLAN(Wide LAN), 또는 SAN(Storage Area Network)과 같은 통신 네트워크, 또는 이들의 조합으로 구성된 통신 네트워크를 통하여 접근(access)할 수 있는 부착 가능한(attachable) 저장 장치(storage device)에 저장될 수 있다. 이러한 저장 장치는 외부 포트를 통하여 본 개시의 실시예를 수행하는 장치에 접속할 수 있다. 또한, 통신 네트워크 상의 별도의 저장 장치가 본 개시의 실시예를 수행하는 장치에 접속할 수도 있다.
상술한 본 개시의 구체적인 실시예들에서, 본 개시에 포함되는 구성 요소는 제시된 구체적인 실시예에 따라 단수 또는 복수로 표현되었다. 그러나, 단수 또는 복수의 표현은 설명의 편의를 위해 제시한 상황에 적합하게 선택된 것으로서, 본 개시가 단수 또는 복수의 구성 요소에 제한되는 것은 아니며, 복수로 표현된 구성 요소라 하더라도 단수로 구성되거나, 단수로 표현된 구성 요소라 하더라도 복수로 구성될 수 있다.
한편, 본 명세서와 도면에 개시된 실시예들은 본 개시의 기술 내용을 쉽게 설명하고 본 개시의 이해를 돕기 위해 특정 예를 제시한 것일 뿐이며, 본 개시의 범위를 한정하고자 하는 것은 아니다. 즉, 본 개시의 기술적 사상에 바탕을 둔 다른 변형예들이 실시 가능하다는 것은 본 개시의 속하는 기술 분야에서 통상의 지식을 가진 자에게 자명한 것이다. 또한, 각각의 실시예는 필요에 따라 서로 조합되어 운용할 수 있다. 예를 들어, 본 개시의 일 실시예와 다른 일 실시예의 일부분들이 서로 조합될 수 있다. 또한, 실시예들은 다른 시스템, 예를 들어, LTE 시스템, 5G 또는 NR 시스템 등에도 상술한 실시예의 기술적 사상에 바탕을 둔 다른 변형예들이 실시 가능할 것이다.
Claims (20)
- 무선통신 시스템에서 단말이 보안 모드 제어 절차를 수행하는 방법에 있어서,
3GPP (3rd generation partnership project) 액세스를 통해, AMF(access and mobility management function)와 제1 인증 절차 및 제1 키 합의 절차를 수행하고, 상기 제1 인증 절차 및 제1 키 합의 절차에서 ngKSI (key set identifier)가 제1 ngKSI에서 제2 ngKSI로 변경되는 것인 단계;
상기 AMF로부터 상기 3GPP 액세스를 통해, 상기 제2 ngKSI를 포함하는 제1 보안 모드 커맨드 메시지를 수신하는 단계; 및
상기 AMF로부터 non-3GPP 액세스를 통해, 상기 제2 ngKSI를 포함하는 제2 보안 모드 커맨드 메시지를 수신하는 단계를 포함하고,
상기 단말은, 상기 3GPP 액세스 및 상기 non-3GPP 액세스 모두를 통해 상기 AMF 및 동일한 PLMN (public land mobile network)에 등록된 것인, 방법. - 제1 항에 있어서, 상기 제2 ngKSI는, 상기 제1 인증 절차 및 상기 제1 키 합의 절차에 기초하여 변경된 보안 컨텍스트에 대응되는 것인, 방법.
- 제1 항에 있어서,
상기 AMF에게, 상기 제1 보안 모드 커맨드 메시지에 대한 응답으로 제1 보안 모드 완료 메시지를 전송하는 단계; 및
상기 AMF에게, 상기 제2 보안 모드 커맨드 메시지에 대한 응답으로 제2 보안 모드 완료 메시지를 전송하는 단계를 더 포함하는, 방법. - 제1 항에 있어서,
상기 non-3GPP 액세스를 통해, 상기 AMF와 제2 인증 절차 및 제2 키 합의 절차를 수행하고, 상기 제2 인증 절차 및 상기 제2 키 합의 절차에서 상기 제2 ngKSI가 제3 ngKSI로 변경되는 것인 단계;
상기 AMF로부터 상기 non-3GPP 액세스를 통해, 상기 제3 ngKSI를 포함하는 제3 보안 모드 커맨드 메시지를 수신하는 단계; 및
상기 AMF로부터 상기 3GPP 액세스를 통해, 상기 제3 ngKSI를 포함하는 제4 보안 모드 커맨드 메시지를 수신하는 단계를 더 포함하는, 방법. - 제4 항에 있어서, 상기 제3 ngKSI는, 상기 제2 인증 절차 및 상기 제2 키 합의 절차에 기초하여 변경된 보안 컨텍스트에 대응되는 것인, 방법.
- 단말에 있어서,
송수신부; 및
상기 송수신부와 연결된 적어도 하나의 프로세서를 포함하고, 상기 적어도 하나의 프로세서는,
3GPP (3rd generation partnership project) 액세스를 통해, AMF(access and mobility management function)와 제1 인증 절차 및 제1 키 합의 절차를 수행하고, 상기 제1 인증 절차 및 제1 키 합의 절차에서 ngKSI (key set identifier)가 제1 ngKSI에서 제2 ngKSI로 변경되는 것이며,
상기 AMF로부터 상기 3GPP 액세스를 통해, 상기 제2 ngKSI를 포함하는 제1 보안 모드 커맨드 메시지를 수신하고,
상기 AMF로부터 non-3GPP 액세스를 통해, 상기 제2 ngKSI를 포함하는 제2 보안 모드 커맨드 메시지를 수신하며,
상기 단말은, 상기 3GPP 액세스 및 상기 non-3GPP 액세스 모두를 통해 상기 AMF 및 동일한 PLMN (public land mobile network)에 등록된 것인, 단말 - 제6 항에 있어서, 상기 제2 ngKSI는, 상기 제1 인증 절차 및 상기 제1 키 합의 절차에 기초하여 변경된 보안 컨텍스트에 대응되는 것인, 단말.
- 제6 항에 있어서, 상기 적어도 하나의 프로세서는,
상기 AMF에게, 상기 제1 보안 모드 커맨드 메시지에 대한 응답으로 제1 보안 모드 완료 메시지를 전송하고,
상기 AMF에게, 상기 제2 보안 모드 커맨드 메시지에 대한 응답으로 제2 보안 모드 완료 메시지를 전송하는, 단말. - 제6 항에 있어서, 상기 적어도 하나의 프로세서는,
상기 non-3GPP 액세스를 통해, 상기 AMF와 제2 인증 절차 및 제2 키 합의 절차를 수행하고, 상기 제2 인증 절차 및 상기 제2 키 합의 절차에서 상기 제2 ngKSI가 제3 ngKSI로 변경되는 것이며,
상기 AMF로부터 상기 non-3GPP 액세스를 통해, 상기 제3 ngKSI를 포함하는 제3 보안 모드 커맨드 메시지를 수신하며,
상기 AMF로부터 상기 3GPP 액세스를 통해, 상기 제3 ngKSI를 포함하는 제4 보안 모드 커맨드 메시지를 수신하는, 단말. - 제9 항에 있어서, 상기 제3 ngKSI는, 상기 제2 인증 절차 및 상기 제2 키 합의 절차에 기초하여 변경된 보안 컨텍스트에 대응되는 것인, 단말.
- 무선통신 시스템에서 AMF(access and mobility management function)가 보안 모드 제어 절차를 수행하는 방법에 있어서,
3GPP (3rd generation partnership project) 액세스를 통해, 단말과 제1 인증 절차 및 제1 키 합의 절차를 수행하고, 상기 제1 인증 절차 및 제1 키 합의 절차에서 ngKSI (key set identifier)가 제1 ngKSI에서 제2 ngKSI로 변경되는 것인 단계;
상기 단말에게 상기 3GPP 액세스를 통해, 상기 제2 ngKSI를 포함하는 제1 보안 모드 커맨드 메시지를 전송하는 단계; 및
상기 단말에게 non-3GPP 액세스를 통해, 상기 제2 ngKSI를 포함하는 제2 보안 모드 커맨드 메시지를 전송하는 단계를 포함하고,
상기 단말은, 상기 3GPP 액세스 및 상기 non-3GPP 액세스 모두를 통해 상기 AMF 및 동일한 PLMN (public land mobile network)에 등록된 것인, 방법. - 제11 항에 있어서, 상기 제2 ngKSI는, 상기 제1 인증 절차 및 상기 제1 키 합의 절차에 기초하여 변경된 보안 컨텍스트에 대응되는 것인, 방법.
- 제11 항에 있어서,
상기 단말로부터, 상기 제1 보안 모드 커맨드 메시지에 대한 응답으로 제1 보안 모드 완료 메시지를 수신하는 단계; 및
상기 단말로부터, 상기 제2 보안 모드 커맨드 메시지에 대한 응답으로 제2 보안 모드 완료 메시지를 수신하는 단계를 더 포함하는, 방법. - 제11 항에 있어서,
상기 non-3GPP 액세스를 통해, 상기 단말과 제2 인증 절차 및 제2 키 합의 절차를 수행하고, 상기 제2 인증 절차 및 상기 제2 키 합의 절차에서 상기 제2 ngKSI가 제3 ngKSI로 변경되는 것인 단계;
상기 단말에게 상기 non-3GPP 액세스를 통해, 상기 제3 ngKSI를 포함하는 제3 보안 모드 커맨드 메시지를 전송하는 단계; 및
상기 단말에게 상기 3GPP 액세스를 통해, 상기 제3 ngKSI를 포함하는 제4 보안 모드 커맨드 메시지를 전송하는 단계를 더 포함하는, 방법. - 제14 항에 있어서, 상기 제3 ngKSI는, 상기 제2 인증 절차 및 상기 제2 키 합의 절차에 기초하여 변경된 보안 컨텍스트에 대응되는 것인, 방법.
- AMF(access and mobility management function)에 있어서,
송수신부; 및
상기 송수신부와 연결된 적어도 하나의 프로세서를 포함하고, 상기 적어도 하나의 프로세서는,
3GPP (3rd generation partnership project) 액세스를 통해, 단말과 제1 인증 절차 및 제1 키 합의 절차를 수행하고, 상기 제1 인증 절차 및 제1 키 합의 절차에서 ngKSI (key set identifier)가 제1 ngKSI에서 제2 ngKSI로 변경되는 것이며,
상기 단말에게 상기 3GPP 액세스를 통해, 상기 제2 ngKSI를 포함하는 제1 보안 모드 커맨드 메시지를 전송하고,
상기 단말에게 non-3GPP 액세스를 통해, 상기 제2 ngKSI를 포함하는 제2 보안 모드 커맨드 메시지를 전송하며,
상기 단말은, 상기 3GPP 액세스 및 상기 non-3GPP 액세스 모두를 통해 상기 AMF 및 동일한 PLMN (public land mobile network)에 등록된 것인, AMF - 제16 항에 있어서, 상기 제2 ngKSI는, 상기 제1 인증 절차 및 상기 제1 키 합의 절차에 기초하여 변경된 보안 컨텍스트에 대응되는 것인, AMF.
- 제16 항에 있어서, 상기 적어도 하나의 프로세서는,
상기 AMF에게, 상기 제1 보안 모드 커맨드 메시지에 대한 응답으로 제1 보안 모드 완료 메시지를 전송하고,
상기 AMF에게 상기 제2 보안 모드 커맨드 메시지에 대한 응답으로 제2 보안 모드 완료 메시지를 전송하는, AMF. - 제16 항에 있어서, 상기 적어도 하나의 프로세서는,
상기 non-3GPP 액세스를 통해, 상기 단말과 제2 인증 절차 및 제2 키 합의 절차를 수행하고, 상기 제2 인증 절차 및 상기 제2 키 합의 절차에서 상기 제2 ngKSI가 제3 ngKSI로 변경되는 것이며,
상기 단말에게 상기 non-3GPP 액세스를 통해, 상기 제3 ngKSI를 포함하는 제3 보안 모드 커맨드 메시지를 전송하며,
상기 단말에게 상기 3GPP 액세스를 통해, 상기 제3 ngKSI를 포함하는 제4 보안 모드 커맨드 메시지를 전송하는, AMF. - 제19 항에 있어서, 상기 제3 ngKSI는, 상기 제2 인증 절차 및 상기 제2 키 합의 절차에 기초하여 변경된 보안 컨텍스트에 대응되는 것인, AMF.
Priority Applications (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020180054578A KR102425582B1 (ko) | 2018-05-11 | 2018-05-11 | 무선통신 시스템에서 정보 보호 방법 및 장치 |
PCT/KR2019/005754 WO2019216739A1 (en) | 2018-05-11 | 2019-05-13 | Security protection method and apparatus in wireless communication system |
EP19799161.5A EP3785460A4 (en) | 2018-05-11 | 2019-05-13 | SECURITY PROTECTION PROCESS AND APPARATUS IN A WIRELESS COMMUNICATION SYSTEM |
US16/410,334 US11477640B2 (en) | 2018-05-11 | 2019-05-13 | Security protection method and apparatus in wireless communication system |
CN201980031864.0A CN112106393B (zh) | 2018-05-11 | 2019-05-13 | 无线通信系统中的安全保护方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020180054578A KR102425582B1 (ko) | 2018-05-11 | 2018-05-11 | 무선통신 시스템에서 정보 보호 방법 및 장치 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20190129636A KR20190129636A (ko) | 2019-11-20 |
KR102425582B1 true KR102425582B1 (ko) | 2022-07-26 |
Family
ID=68463461
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020180054578A KR102425582B1 (ko) | 2018-05-11 | 2018-05-11 | 무선통신 시스템에서 정보 보호 방법 및 장치 |
Country Status (5)
Country | Link |
---|---|
US (1) | US11477640B2 (ko) |
EP (1) | EP3785460A4 (ko) |
KR (1) | KR102425582B1 (ko) |
CN (1) | CN112106393B (ko) |
WO (1) | WO2019216739A1 (ko) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20200322795A1 (en) * | 2019-04-03 | 2020-10-08 | Mediatek Singapore Pte. Ltd. | Apparatuses and methods for alignment of common non access stratum (nas) security context |
WO2021027439A1 (en) * | 2019-08-14 | 2021-02-18 | Mediatek Singapore Pte. Ltd. | Apparatuses and methods for delivery of inter-system non-access stratum (nas) security algorithms |
US11755389B2 (en) * | 2019-10-07 | 2023-09-12 | Rohde & Schwarz Gmbh & Co. Kg | Message processing method and message processing device |
WO2021115686A1 (en) * | 2019-12-11 | 2021-06-17 | Telefonaktiebolaget Lm Ericsson (Publ) | Enhancement of authentication |
CN113873492B (zh) * | 2020-06-15 | 2022-12-30 | 华为技术有限公司 | 一种通信方法以及相关装置 |
KR20220046968A (ko) * | 2020-10-08 | 2022-04-15 | 삼성전자주식회사 | 무선 통신 시스템에서 iab 노드의 전력 제어를 위한 방법 및 장치 |
CN112738881B (zh) * | 2020-12-30 | 2022-09-30 | 展讯通信(上海)有限公司 | 一种网络注册方法及装置 |
US20230126490A1 (en) * | 2021-10-21 | 2023-04-27 | T-Mobile Usa, Inc. | Optimized security mode command procedure to reduce communication setup failures |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110004762A1 (en) | 2008-04-02 | 2011-01-06 | Nokia Siemens Networks Oy | Security for a non-3gpp access to an evolved packet system |
WO2018056957A1 (en) | 2016-09-20 | 2018-03-29 | Nokia Solutions And Networks Oy | Next generation key set identifier |
Family Cites Families (26)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
GB1118752A (en) | 1966-01-17 | 1968-07-03 | Tabak & Ind Masch | A method and apparatus for forming a continuous rod of loose fibrous materials |
KR101490243B1 (ko) * | 2007-07-10 | 2015-02-11 | 엘지전자 주식회사 | 이종망간 핸드오버시 빠른 보안연계 설정방법 |
US8331906B2 (en) * | 2007-12-19 | 2012-12-11 | Nokia Corporation | Methods, apparatuses, system, and related computer program products for handover security |
KR101579757B1 (ko) * | 2008-08-15 | 2015-12-24 | 삼성전자주식회사 | 이동 통신 시스템의 보안화된 비계층 프로토콜 처리 방법 |
US20100173610A1 (en) * | 2009-01-05 | 2010-07-08 | Qualcomm Incorporated | Access stratum security configuration for inter-cell handover |
EP2567499B1 (en) * | 2010-05-04 | 2016-10-26 | Qualcomm Incorporated | Shared circuit switched security context |
US8600403B2 (en) | 2010-12-03 | 2013-12-03 | Qualcomm Incorporated | Method and apparatus for configuring and locating a home base station |
WO2014067542A1 (en) * | 2012-10-29 | 2014-05-08 | Nokia Solutions And Networks Oy | Methods, apparatuses and computer program products enabling to improve handover security in mobile communication networks |
JP2017502571A (ja) * | 2014-03-06 | 2017-01-19 | 日本電気株式会社 | モバイル通信システム、基地局、及びそれらの方法 |
US9918225B2 (en) * | 2014-11-03 | 2018-03-13 | Qualcomm Incorporated | Apparatuses and methods for wireless communication |
EP3403367B1 (en) * | 2016-01-14 | 2019-09-18 | Telefonaktiebolaget LM Ericsson (PUBL) | Methods, nodes and communication device for establishing a key related to at least two network instances |
US10334435B2 (en) * | 2016-04-27 | 2019-06-25 | Qualcomm Incorporated | Enhanced non-access stratum security |
US10952051B2 (en) * | 2016-07-01 | 2021-03-16 | Qualcomm Incorporated | Core network connectionless small data transfer |
US10674346B2 (en) * | 2016-10-10 | 2020-06-02 | Qualcomm Incorporated | Connectivity to a core network via an access network |
CN109997379B (zh) * | 2016-11-07 | 2021-11-30 | Lg电子株式会社 | 用于管理会话的方法 |
US11452001B2 (en) * | 2017-04-17 | 2022-09-20 | Apple Inc. | Group based context and security for massive internet of things devices |
US10986481B2 (en) * | 2017-05-08 | 2021-04-20 | Motorola Mobility Llc | Method to authenticate with a mobile communication network |
US10574457B2 (en) * | 2017-05-12 | 2020-02-25 | Nokia Technologies Oy | Indicator for determination of key for processing message in communication system |
US10841302B2 (en) * | 2017-05-24 | 2020-11-17 | Lg Electronics Inc. | Method and apparatus for authenticating UE between heterogeneous networks in wireless communication system |
US10779254B2 (en) * | 2017-08-16 | 2020-09-15 | Electronics And Telecommunications Research Institute | Service request method for 5G local service |
CN116866905A (zh) * | 2017-09-27 | 2023-10-10 | 日本电气株式会社 | 通信终端和通信终端的方法 |
US20190116546A1 (en) * | 2017-10-17 | 2019-04-18 | Electronics And Telecommunications Research Institute | Method for notifying downlink data in a network, network triggered service request method, and network entity performing the same |
WO2019196800A1 (en) * | 2018-04-10 | 2019-10-17 | Mediatek Singapore Pte. Ltd. | Improvement for incorrect ksi handling in mobile communications |
EP4408086A1 (en) * | 2018-08-09 | 2024-07-31 | Nokia Technologies Oy | Method and apparatus for security realization of connections over heterogeneous access networks |
US10805792B2 (en) * | 2018-09-07 | 2020-10-13 | Nokia Technologies Oy | Method and apparatus for securing multiple NAS connections over 3GPP and non-3GPP access in 5G |
US11729737B2 (en) * | 2020-02-11 | 2023-08-15 | Nokia Technologies Oy | Methods, apparatuses, and computer program products for handling emergency services in private networks |
-
2018
- 2018-05-11 KR KR1020180054578A patent/KR102425582B1/ko active IP Right Grant
-
2019
- 2019-05-13 EP EP19799161.5A patent/EP3785460A4/en active Pending
- 2019-05-13 CN CN201980031864.0A patent/CN112106393B/zh active Active
- 2019-05-13 WO PCT/KR2019/005754 patent/WO2019216739A1/en unknown
- 2019-05-13 US US16/410,334 patent/US11477640B2/en active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110004762A1 (en) | 2008-04-02 | 2011-01-06 | Nokia Siemens Networks Oy | Security for a non-3gpp access to an evolved packet system |
WO2018056957A1 (en) | 2016-09-20 | 2018-03-29 | Nokia Solutions And Networks Oy | Next generation key set identifier |
Non-Patent Citations (1)
Title |
---|
S3-181322, Adding the procedures for handling security context when multiply registered on one PLMN, 3GPP TSG-SA WG3 Meeting #91, 2018.04.16* |
Also Published As
Publication number | Publication date |
---|---|
US11477640B2 (en) | 2022-10-18 |
US20190349764A1 (en) | 2019-11-14 |
KR20190129636A (ko) | 2019-11-20 |
WO2019216739A1 (en) | 2019-11-14 |
EP3785460A4 (en) | 2021-06-02 |
CN112106393B (zh) | 2024-07-16 |
CN112106393A (zh) | 2020-12-18 |
EP3785460A1 (en) | 2021-03-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR102425582B1 (ko) | 무선통신 시스템에서 정보 보호 방법 및 장치 | |
US10735956B2 (en) | Method and device for managing security according to service in wireless communication system | |
US20240244425A1 (en) | Communication terminal, core network device, core network node, network node, and key deriving method | |
EP2925036A1 (en) | Apparatus and method for authentication in wireless communication system | |
KR20210055075A (ko) | 사설 이동통신망 및 사업자 이동통신망 접속을 지원하는 장치 및 방법 | |
KR20210020696A (ko) | 무선통신 시스템에서 액세스 제어, 관리 및 보호 방법 및 장치 | |
KR102587360B1 (ko) | Dn authorized pdu세션 재인증 지원 및 dn authorization data 변경에 따른 pdu세션 관리 방법 및 장치 | |
KR20230079179A (ko) | 무선 네트워크에서 보안 키 동기화를 처리하기 위한 방법, 단말, 및 네트워크 개체 | |
KR20220144670A (ko) | 이동 통신 시스템에서 단말 간 연결을 통한 네트워크 접속 요청의 인증을 위한 방법 및 장치 | |
KR102405412B1 (ko) | 무선 통신 시스템에서 정보 보안을 위한 장치 및 방법 | |
KR102492562B1 (ko) | 네트워크 보안을 위한 장치 및 방법 | |
KR20230022761A (ko) | 이동통신 시스템에서 사용자 장치의 온보딩을 위한 등록 및 세션 설정 방법 및 장치 | |
KR102636076B1 (ko) | 무선 통신 시스템에서 nas 메시지 정보 처리 방법 및 장치 | |
US20220312197A1 (en) | Method and apparatus for protecting information in wireless communication system | |
US20240214902A1 (en) | Method and apparatus for reassignment of access and mobility management function in communication system | |
US20240373220A1 (en) | Method and apparatus for authenticating user equipment in wireless communication system | |
KR20230022767A (ko) | 무선 통신 시스템에서 단말을 인증하기 위한 방법 및 장치 | |
US20240244427A1 (en) | Method and apparatus for protecting privacy issue for authentication and key management for applications | |
EP4090062A1 (en) | Apparatus and method for providing security in wireless communication system | |
EP4142377A1 (en) | Method and apparatus retrieving and selecting server for terminal authentication and subscriber data transmission | |
KR102604283B1 (ko) | 정보 보안을 위한 장치 및 방법 | |
KR20230071541A (ko) | 단말 원격 권한 설정을 위한 제어 평면 또는 사용자 평면의 선택을 위한 방법 및 장치 | |
KR20210156181A (ko) | 무선 통신 시스템에서 nas 메시지를 이용한 데이터 보안 방법 및 장치 | |
KR20230073737A (ko) | 무선 통신 시스템에서 단말의 자격 증명 정보를 프로비저닝하는 방법 및 장치 | |
KR20230105957A (ko) | 제어 평면을 이용하여 credential을 UE에 프로비저닝 시 종단 보안 형성을 위한 방법 및 장치 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |