KR20230073737A - 무선 통신 시스템에서 단말의 자격 증명 정보를 프로비저닝하는 방법 및 장치 - Google Patents
무선 통신 시스템에서 단말의 자격 증명 정보를 프로비저닝하는 방법 및 장치 Download PDFInfo
- Publication number
- KR20230073737A KR20230073737A KR1020210160426A KR20210160426A KR20230073737A KR 20230073737 A KR20230073737 A KR 20230073737A KR 1020210160426 A KR1020210160426 A KR 1020210160426A KR 20210160426 A KR20210160426 A KR 20210160426A KR 20230073737 A KR20230073737 A KR 20230073737A
- Authority
- KR
- South Korea
- Prior art keywords
- upu
- terminal
- snpn
- ausf
- message
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 225
- 238000004891 communication Methods 0.000 title claims abstract description 45
- 230000008569 process Effects 0.000 claims description 190
- 230000004044 response Effects 0.000 claims description 40
- 230000006870 function Effects 0.000 description 50
- 238000005516 engineering process Methods 0.000 description 16
- 238000010586 diagram Methods 0.000 description 13
- 230000005540 biological transmission Effects 0.000 description 11
- 238000007726 management method Methods 0.000 description 11
- 238000010295 mobile communication Methods 0.000 description 11
- 238000012545 processing Methods 0.000 description 10
- 238000009795 derivation Methods 0.000 description 6
- 238000004590 computer program Methods 0.000 description 4
- 238000013523 data management Methods 0.000 description 3
- 238000004519 manufacturing process Methods 0.000 description 3
- 230000001960 triggered effect Effects 0.000 description 3
- 238000013475 authorization Methods 0.000 description 2
- 230000001413 cellular effect Effects 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 230000011664 signaling Effects 0.000 description 2
- 241000760358 Enodes Species 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000036541 health Effects 0.000 description 1
- 229910044991 metal oxide Inorganic materials 0.000 description 1
- 150000004706 metal oxides Chemical class 0.000 description 1
- 238000012797 qualification Methods 0.000 description 1
- 238000013468 resource allocation Methods 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 230000008054 signal transmission Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
본 개시는 LTE와 같은 4G 통신 시스템 이후 보다 높은 데이터 전송률을 지원하기 위한 5G 시스템에 관련된 것이다.
무선 통신 시스템에서 제 1 장치가 제 1 네트워크에서 단말과 인증 동작을 수행하고, 상기 단말의 인증이 완료되었음을 지시하는 제 1 메시지를 수신하고, 상기 제 1 메시지에 포함된 상기 단말의 식별자(identifier: ID) 및 지시자(indicator)를 확인하고, 상기 단말의 ID를 기반으로 제 2 네트워크의 제 2 장치로부터 상기 제 2 네트워크에서 제공되는 서비스를 이용하기 위한 상기 단말의 자격 증명(credential) 정보를 획득하고, 상기 지시자가 제 1 값을 포함하는 경우, 상기 단말의 자격 증명 정보를 상기 단말에게 제공하기 위한 단말 파라미터 업데이트 동작을 수행하며, 상기 제 1 값은 상기 제 1 네트워크에서 상기 단말의 데이터를 저장하고 관리하는 제 3 장치가 사용되지 않으며, 상기 제 1 장치가 상기 제 3 장치로서의 동작을 수행할 것을 지시할 수 있다.
무선 통신 시스템에서 제 1 장치가 제 1 네트워크에서 단말과 인증 동작을 수행하고, 상기 단말의 인증이 완료되었음을 지시하는 제 1 메시지를 수신하고, 상기 제 1 메시지에 포함된 상기 단말의 식별자(identifier: ID) 및 지시자(indicator)를 확인하고, 상기 단말의 ID를 기반으로 제 2 네트워크의 제 2 장치로부터 상기 제 2 네트워크에서 제공되는 서비스를 이용하기 위한 상기 단말의 자격 증명(credential) 정보를 획득하고, 상기 지시자가 제 1 값을 포함하는 경우, 상기 단말의 자격 증명 정보를 상기 단말에게 제공하기 위한 단말 파라미터 업데이트 동작을 수행하며, 상기 제 1 값은 상기 제 1 네트워크에서 상기 단말의 데이터를 저장하고 관리하는 제 3 장치가 사용되지 않으며, 상기 제 1 장치가 상기 제 3 장치로서의 동작을 수행할 것을 지시할 수 있다.
Description
본 개시의 다양한 실시 예들은 무선 통신 시스템에서 단말의 자격 증명(credential) 정보를 프로비저닝(provisioning)하는 방법 및 장치에 관한 것이다.
4G(4th generation) 통신 시스템 상용화 이후 증가 추세에 있는 무선 데이터 트래픽 수요를 충족시키기 위해, 개선된 5G(5th generation) 통신 시스템 또는 pre-5G 통신 시스템을 개발하기 위한 노력이 이루어지고 있다. 이러한 이유로, 5G 통신 시스템 또는 pre-5G 통신 시스템은 4G 네트워크 이후 (Beyond 4G Network) 통신 시스템 또는 LTE(long term evolution) 시스템 이후 (Post LTE) 이후의 시스템이라 불리어지고 있다.
높은 데이터 전송률을 달성하기 위해, 5G 통신 시스템은 초고주파(mmWave) 대역(예를 들어, 60기가(60GHz) 대역과 같은)에서의 구현이 고려되고 있다. 초고주파 대역에서의 전파의 경로손실 완화 및 전파의 전달 거리를 증가시키기 위해, 5G 통신 시스템에서는 빔포밍(beamforming), 거대 배열 다중 입출력(massive MIMO), 전차원 다중입출력(Full Dimensional MIMO: FD-MIMO), 어레이 안테나(array antenna), 아날로그 빔형성(analog beam-forming), 및 대규모 안테나 (large scale antenna) 기술들이 논의되고 있다.
또한 시스템의 네트워크 개선을 위해, 5G 통신 시스템에서는 진화된 소형 셀, 개선된 소형 셀 (advanced small cell), 클라우드 무선 액세스 네트워크(cloud radio access network: cloud RAN), 초고밀도 네트워크 (ultra-dense network), 기기 간 통신(Device to Device communication: D2D), 무선 백홀 (wireless backhaul), 이동 네트워크(moving network), 협력 통신(cooperative communication), CoMP(Coordinated Multi-Points), 및 수신 간섭제거(interference cancellation) 등의 기술 개발이 이루어지고 있다.
이 밖에도, 5G 시스템에서는 진보된 코딩 변조(Advanced Coding Modulation: ACM) 방식인 FQAM(Hybrid FSK and QAM Modulation) 및 SWSC(Sliding Window Superposition Coding)과, 진보된 접속 기술인 FBMC(Filter Bank Multi Carrier), NOMA(non orthogonal multiple access), 및 SCMA(sparse code multiple access) 등이 개발되고 있다.
한편, 인터넷은 인간이 정보를 생성하고 소비하는 인간 중심의 연결 망에서, 사물 등 분산된 구성 요소들 간에 정보를 주고 받아 처리하는 IoT(Internet of Things: 사물 인터넷) 망으로 진화하고 있다. 클라우드 서버 등과의 연결을 통한 빅데이터(Big data) 처리 기술 등이 IoT 기술에 결합된 IoE(Internet of Everything) 기술도 대두되고 있다. IoT를 구현하기 위해서, 센싱 기술, 유무선 통신 및 네트워크 인프라, 서비스 인터페이스 기술, 및 보안 기술과 같은 기술 요소 들이 요구되어, 최근에는 사물간의 연결을 위한 센서 네트워크(sensor network), 사물 통신(Machine to Machine: M2M), MTC(Machine Type Communication) 등의 기술이 연구되고 있다.
IoT 환경에서는 연결된 사물들에서 생성된 데이터를 수집, 분석하여 인간의 삶에 새로운 가치를 창출하는 지능형 IT(Internet Technology) 서비스가 제공될 수 있다. IoT는 기존의 IT(information technology)기술과 다양한 산업 간의 융합 및 복합을 통하여 스마트홈, 스마트 빌딩, 스마트 시티, 스마트 카 혹은 커넥티드 카, 스마트 그리드, 헬스 케어, 스마트 가전, 첨단의료서비스 등의 분야에 응용될 수 있다.
이에, 5G 통신 시스템을 IoT 망에 적용하기 위한 다양한 시도들이 이루어지고 있다. 예를 들어, 센서 네트워크, M2M, MTC 등의 기술이 5G 통신 기술인 빔 포밍, MIMO 및 어레이 안테나 등의 기법에 의해 구현되고 있는 것이다. 앞서 설명한 빅데이터 처리 기술로써 클라우드 무선 액세스 네트워크(cloud RAN)가 적용되는 것도 5G 기술과 IoT 기술 융합의 일 예라고 할 수 있을 것이다. 상술한 것과 이동통신 시스템의 발전에 따라 다양한 서비스를 제공할 수 있게 됨으로써, 이러한 서비스들을 효과적으로 제공하기 위한 방안이 요구되고 있다.
5G 시스템에서는 기존 4G 시스템 대비 다양한 서비스에 대한 지원을 고려하고 있다. 예를 들어, 가장 대표적인 서비스들은 모바일 초광대역 통신 서비스(enhanced mobile broad band: eMBB), 초 고신뢰성/저지연 통신 서비스(ultra-reliable and low latency communication: URLLC), 대규모 기기간 통신 서비스(massive machine type communication: mMTC), 차세대 방송 서비스(evolved multimedia broadcast/multicast service: eMBMS) 등이 있을 수 있다. 그리고, 상기 URLLC 서비스를 제공하는 시스템을 URLLC 시스템, eMBB 서비스를 제공하는 시스템을 eMBB 시스템 등이라 칭할 수 있다. 또한, 서비스와 시스템이라는 용어는 혼용되어 사용될 수 있다.
이 중 URLLC 서비스는 기존 4G 시스템과 달리 5G 시스템에서 새롭게 고려하고 있는 서비스이며, 다른 서비스들 대비 초 고신뢰성(예를 들면, 패킷 에러율 약 10-5)과 저지연(latency)(예를 들면, 약 0.5msec) 조건 만족을 요구한다. 이러한 엄격한 요구 조건을 만족시키기 위하여 URLLC 서비스는 eMBB 서비스보다 짧은 전송 시간 간격(transmission time interval: TTI)의 적용이 필요할 수 있고 이를 활용한 다양한 운용 방식들이 고려되고 있다.
한편, 셀룰러 이동통신 표준을 담당하는 3GPP는 기존 4G LTE 시스템에서 5G 시스템으로의 진화를 꾀하기 위해 새로운 코어 네트워크(core network) 구조를 5G core (5GC)라는 이름으로 명명하고 표준화를 진행하고 있다.
5GC는 기존 4G를 위한 네트워크 코어인 진화된 패킷 코어(evolved packet core: EPC) 대비 다음과 같은 차별화된 기능을 지원한다.
첫째, 5GC에서는 네트워크 슬라이스(network slice) 기능이 도입된다. 5G의 요구 조건으로, 5GC는 다양한 종류의 단말 타입 및 서비스(예: eMBB, URLLC, 또는 mMTC 서비스)를 지원해야 한다. 다양한 종류의 서비스는 각각 코어 네트워크에 요구하는 요구 조건이 다르다. 예를 들어, eMBB 서비스는 높은 데이터 전송 속도(data rate)를 요구하고 URLLC 서비스는 높은 안정성과 낮은 지연을 요구한다. 이러한 다양한 서비스 요구 조건을 만족하기 위해 제안된 기술 중의 하나는 네트워크 슬라이싱(network slicing)이다.
네트워크 슬라이싱은 하나의 물리적인 네트워크를 가상화(virtualization) 하여 여러 개의 논리적인 네트워크를 만드는 방법으로, 각 네트워크 슬라이스 인스턴스(network slice instance: NSI)는 서로 다른 특성을 가질 수 있다. 따라서, 각 NSI는 그 특성에 맞는 네트워크 기능(network function: NF)을 가짐으로써 다양한 서비스 요구 조건을 만족시킬 수 있다. 각 단말마다 요구하는 서비스의 특성에 맞는 NSI가 할당되면 여러 5G 서비스가 효율적으로 지원될 수 있다.
둘째, 5GC는 이동성 관리 기능과 세션 관리 기능의 분리를 통해 네트워크 가상화 패러다임 지원을 수월하게 할 수 있다. 4G LTE에서는 모든 단말들에 대한 등록, 인증, 이동성 관리 및 세션 관리 기능을 담당하는 이동성 관리 엔티티(mobility management entity: MME)라는 단일 코어 장비와의 시그널링 교환을 통해서 서비스를 제공받을 수 있었다. 하지만, 5G에서는 단말들의 수가 폭발적으로 늘어나고, 각 단말의 타입에 따라 지원해야 하는 이동성 및 트래픽/세션 특성이 세분화됨에 따라, MME와 같은 단일 장비에서 모든 기능을 지원하게 되면 필요한 기능별로 엔티티를 추가하는 확장성(scalability)이 떨어질 수 밖에 없다. 따라서, 제어 평면을 담당하는 코어 장비의 기능/구현 복잡도와 시그널링 부하 측면에서 확장성 개선을 위해 이동성 관리 기능과 세션 관리 기능을 분리하는 구조를 기반으로 다양한 기능들이 개발되고 있다.
이동 통신 시스템의 발전에 따라 다양한 서비스를 제공할 수 있게 됨으로써 이동 통신 시스템, 특히 NPN(Non-Public Network)를 효율적으로 사용하기 위한 방안이 요구되고 있다. 이를 고려하여, 본 개시의 다양한 실시 예들은 단말이 서비스 받기를 원하는 SO-SNPN(Subscription Owner-Standalone Non-Public Network)의 자격 증명 정보(이하 'credential'이라 칭함)를 가지고 있지 않더라도 SO-SNPN으로부터 원하는 서비스를 제공받을 수 있도록 하는 방법 및 장치를 제공한다.
본 개시의 다양한 실시 예들은 credential을 관리하는 PS(Provisioning Server)로부터 제어 평면(Control Plane)을 이용하여 UE의 credential을 제공하는 방법 및 장치를 제공한다.
본 개시의 다양한 실시 예들은 UE가 제어 평면을 통해 제공된 credential을 기반으로 서비스 받기를 희망하는 SO-SNPN에 성공적으로 접속을 완료할 수 있도록 하기 위한 방법 및 장치를 제공한다.
본 개시의 다양한 실시 예들에 따르면, UE는 ON-SNPN에 성공적으로 접속한 후에, 제어 평면을 이용하여 PS로부터 SO-SNPN의 credential을 받을 때 ON-SNPN의 네트워크 엔티티를 이용할 수 있다. UE는 프로비저닝을 위해 해당 UE의 가입자 정보를 가지지 않은 ON-SNPN을 사용하기 때문에 ON-SNPN의 UDM이 사용되지 않을 수도 있다. 그런 경우 DCS(Default Credential Server) 혹은 PS가 UDM이 기존에 하던 역할을 대신하여 수행할 수도 있다. ON-SNPN의 UDM에 해당 UE의 가입자 정보는 포함되어 있지는 않지만, 기존 5G 시스템의 등록 절차, 제어 평면을 이용한 UPU 과정을 해치지 않기 위해 ON-SNPN의 UDM이 사용될 수도 있다.
본 개시의 다양한 실시 예들은 PS가 SO-SNPN의 credential을 제어 평면을 이용하여 프로비저닝 할 때, PS에 프로비저닝을 요청하는 엔티티에 따라, 그리고 ON-SNPN의 UDM이 사용 여부에 따라 다양한 실시 예들을 제시한다. 위에서 제시된 다양한 경우에 따라 프로비저닝을 요청하는 메시지에 포함되는 정보는 달라질 수 있다.
본 개시의 일 실시 예에 따른 방법은; 무선 통신 시스템에서 제 1 장치의 방법에 있어서, 제 1 네트워크에서 단말과 인증 동작을 수행하고, 상기 단말의 인증이 완료되었음을 지시하는 제 1 메시지를 수신하는 과정과, 상기 제 1 메시지에 포함된 상기 단말의 식별자(identifier: ID) 및 지시자(indicator)를 확인하는 과정과, 상기 단말의 ID를 기반으로 제 2 네트워크의 제 2 장치로부터 상기 제 2 네트워크에서 제공되는 서비스를 이용하기 위한 상기 단말의 자격 증명(credential) 정보를 획득하는 과정과, 상기 지시자가 제 1 값을 포함하는 경우, 상기 단말의 자격 증명 정보를 상기 단말에게 제공하기 위한 단말 파라미터 업데이트 동작을 수행하는 과정을 포함하며, 상기 제 1 값은 상기 제 1 네트워크에서 상기 단말의 데이터를 저장하고 관리하는 제 3 장치가 사용되지 않으며, 상기 제 1 장치가 상기 제 3 장치로서의 동작을 수행할 것을 지시할 수 있다.
본 개시의 일 실시 예에 따른 장치는; 무선 통신 시스템에서 제 1 장치에 있어서, 송수신부와, 적어도 하나의 프로세서를 포함하며, 상기 적어도 하나의 프로세서는, 제 1 네트워크에서 단말과 인증 동작을 수행하고, 상기 송수신부를 통해 상기 단말의 인증이 완료되었음을 지시하는 제 1 메시지를 수신하고, 상기 제 1 메시지에 포함된 상기 단말의 식별자(identifier: ID) 및 지시자(indicator)를 확인하고, 상기 단말의 ID를 기반으로 제 2 네트워크의 제 2 장치로부터 상기 제 2 네트워크에서 제공되는 서비스를 이용하기 위한 상기 단말의 자격 증명(credential) 정보를 획득하고, 상기 지시자가 제 1 값을 포함하는 경우, 상기 단말의 자격 증명 정보를 상기 단말에게 제공하기 위한 단말 파라미터 업데이트 동작을 수행하며, 상기 제 1 값은 상기 제 1 네트워크에서 상기 단말의 데이터를 저장하고 관리하는 제 3 장치가 사용되지 않으며, 상기 제 1 장치가 상기 제 3 장치로서의 동작을 수행할 것을 지시할 수 있다.
본 개시의 실시 예들에서 이루고자 하는 기술적 과제들은 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급하지 않은 또 다른 기술적 과제들은 아래의 기재로부터 본 개시의 실시 예들이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확히 이해될 수 있을 것이다.
본 개시의 다양한 실시 예들에 따르면, 무선 통신 시스템에서 UE가 SO-SNPN의 credential을 가지고 있지 않더라도, SO-SNPN으로부터 원하는 서비스를 효과적으로 제공받을 수 있다.
본 개시의 다양한 실시 예들에 따르면, ON-SNPN의 AMF(access and mobility management function), ON-SNPN의 AUSF(authentication server function), 혹은 DCS (default credential server)를 통한 PS (provisioning server)와의 통신을 기반으로, 제어 평면을 이용하여 UE를 위한 SO-SNPN의 credential 프로비저닝 절차를 수행할 수 있다.
본 개시의 다양한 실시 예들에 따르면, 제어 평면을 이용하여 ON-SNPN를 통해 NAS 보안(security)을 확보하고, UPU(UE parameters update) 절차를 이용하여 보안을 추가로 적용할 수 있다.
본 개시의 다양한 실시 예들에 따르면, UPU 절차에서 필요한 UDM(unified data management)의 역할을 PS, DCS, 혹은 ON-SNPN의 UDM이 수행할 수 있다.
도 1은 본 개시의 다양한 실시 예들에 따른 5G 이동 통신 네트워크의 구조를 예시한 도면이다.
도 2는 본 개시의 다양한 실시 예들에 따른 UE의 자격 증명(credential) 정보를 프로비저닝(provisioning) 하기 위한 네트워크의 구조를 나타낸 도면이다.
도 3은 본 개시의 다양한 실시 예들에 따른 UE가 ON-SNPN에 접속하여 DCS와상호 인증을 수행하는 일 예를 도시한 흐름도이다.
도 4a는 본 개시의 다양한 실시 예들에 따른 UE가 ON-SNPN에 접속하여 ON-SNPN와 상호 인증을 수행하는 일 예를 도시한 흐름도이다.
도 4b는 본 개시의 다양한 실시 예들에 따른 선택적으로 수행될 수 있는 추가 인증 동작을 예시한 흐름도이다.
도 5a 및 도 5b는 본 개시의 다양한 실시 예들에 따른 Case 1의 Option A에 기반한 프로비저닝 과정을 나타낸 흐름도이다.
도 6a 및 도 6b는 본 개시의 다양한 실시 예들에 따른 Case 1의 Option B에 기반한 프로비저닝 과정을 나타낸 흐름도이다.
도 7a 및 도 7b는 본 개시의 다양한 실시 예들에 따른 Case 1의 Option C에 기반한 프로비저닝 과정을 나타낸 흐름도이다.
도 8은 본 개시의 다양한 실시 예들에 따른 Case 1의 Option D에 기반한 프로비저닝 과정을 나타낸 흐름도이다.
도 9는 본 개시의 다양한 실시 예들에 따른 Case 2의 Option A에 기반한 프로비저닝 과정을 나타낸 흐름도이다.
도 10a 및 10b는 본 개시의 다양한 실시 예들에 따른 Case 2의 Option B에 기반한 프로비저닝 과정을 나타낸 흐름도이다.
도 11은 본 개시의 다양한 실시 예들에 따른 Case 2의 Option C에 기반한 프로비저닝 과정을 나타낸 흐름도이다.
도 12는 본 개시의 다양한 실시 예들에 따른 Case 2의 Option D에 기반한 프로비저닝 과정을 나타낸 흐름도이다.
도 13a 및 도 13b는 본 개시의 다양한 실시 예들에 따른 Case 3의 Option A에 기반한 프로비저닝 과정을 나타낸 흐름도이다.
도 14a 및 도 14b는 본 개시의 다양한 실시 예들에 따른 Case 3의 Option B에 기반한 프로비저닝 과정을 나타낸 흐름도이다.
도 15a 및 도 15b는 본 개시의 다양한 실시 예들에 따른 Case 3의 Option C에 기반한 프로비저닝 과정을 나타낸 흐름도이다.
도 16은 본 개시의 다양한 실시 예들에 따른 Case 3의 Option D에 기반한 프로비저닝 과정을 나타낸 흐름도이다.도 17은 본 개시의 다양한 실시 예들에 따른 단말의 블록 구성도이다.
도 18은 본 개시의 다양한 실시 예들에 따른 네트워크 엔티티(network entity)의 블록 구성도이다.
도 2는 본 개시의 다양한 실시 예들에 따른 UE의 자격 증명(credential) 정보를 프로비저닝(provisioning) 하기 위한 네트워크의 구조를 나타낸 도면이다.
도 3은 본 개시의 다양한 실시 예들에 따른 UE가 ON-SNPN에 접속하여 DCS와상호 인증을 수행하는 일 예를 도시한 흐름도이다.
도 4a는 본 개시의 다양한 실시 예들에 따른 UE가 ON-SNPN에 접속하여 ON-SNPN와 상호 인증을 수행하는 일 예를 도시한 흐름도이다.
도 4b는 본 개시의 다양한 실시 예들에 따른 선택적으로 수행될 수 있는 추가 인증 동작을 예시한 흐름도이다.
도 5a 및 도 5b는 본 개시의 다양한 실시 예들에 따른 Case 1의 Option A에 기반한 프로비저닝 과정을 나타낸 흐름도이다.
도 6a 및 도 6b는 본 개시의 다양한 실시 예들에 따른 Case 1의 Option B에 기반한 프로비저닝 과정을 나타낸 흐름도이다.
도 7a 및 도 7b는 본 개시의 다양한 실시 예들에 따른 Case 1의 Option C에 기반한 프로비저닝 과정을 나타낸 흐름도이다.
도 8은 본 개시의 다양한 실시 예들에 따른 Case 1의 Option D에 기반한 프로비저닝 과정을 나타낸 흐름도이다.
도 9는 본 개시의 다양한 실시 예들에 따른 Case 2의 Option A에 기반한 프로비저닝 과정을 나타낸 흐름도이다.
도 10a 및 10b는 본 개시의 다양한 실시 예들에 따른 Case 2의 Option B에 기반한 프로비저닝 과정을 나타낸 흐름도이다.
도 11은 본 개시의 다양한 실시 예들에 따른 Case 2의 Option C에 기반한 프로비저닝 과정을 나타낸 흐름도이다.
도 12는 본 개시의 다양한 실시 예들에 따른 Case 2의 Option D에 기반한 프로비저닝 과정을 나타낸 흐름도이다.
도 13a 및 도 13b는 본 개시의 다양한 실시 예들에 따른 Case 3의 Option A에 기반한 프로비저닝 과정을 나타낸 흐름도이다.
도 14a 및 도 14b는 본 개시의 다양한 실시 예들에 따른 Case 3의 Option B에 기반한 프로비저닝 과정을 나타낸 흐름도이다.
도 15a 및 도 15b는 본 개시의 다양한 실시 예들에 따른 Case 3의 Option C에 기반한 프로비저닝 과정을 나타낸 흐름도이다.
도 16은 본 개시의 다양한 실시 예들에 따른 Case 3의 Option D에 기반한 프로비저닝 과정을 나타낸 흐름도이다.도 17은 본 개시의 다양한 실시 예들에 따른 단말의 블록 구성도이다.
도 18은 본 개시의 다양한 실시 예들에 따른 네트워크 엔티티(network entity)의 블록 구성도이다.
이하 다양한 실시 예들을 첨부한 도면과 함께 상세히 설명한다. 또한 본 개시의 실시 예들을 설명함에 있어서 관련된 공지 기능 혹은 구성에 대한 구체적인 설명이 실시 예들의 요지를 불필요하게 흐릴 수 있다고 판단된 경우 그 상세한 설명은 생략한다. 그리고 후술되는 용어들은 실시 예들에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
마찬가지 이유로 첨부 도면에 있어서 일부 구성요소는 과장되거나 생략되거나 개략적으로 도시되었다. 또한, 각 구성요소의 크기는 실제 크기를 전적으로 반영하는 것이 아니다. 각 도면에서 동일한 또는 대응하는 구성요소에는 동일한 참조 번호를 부여하였다.
본 개시의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시 예들을 참조하면 명확해질 것이다. 그러나 본 개시는 이하에서 개시되는 실시 예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시 예들은 본 개시가 완전하도록 하고, 본 개시가 속하는 기술분야에서 통상의 지식을 가진 자에게 개시의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 개시는 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.
이 때, 처리 흐름도 도면들의 각 블록과 흐름도 도면들의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수 있음을 이해할 수 있을 것이다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 흐름도 블록(들)에서 설명된 기능들을 수행하는 수단을 생성한다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 흐름도 블록(들)에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 흐름도 블록(들)에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.
또한, 각 블록은 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실행 예들에서는 블록들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.
이 때, 본 개시의 다양한 실시 예들에서 사용되는 '~부'라는 용어는 소프트웨어 또는 FPGA 또는 ASIC과 같은 하드웨어 구성요소를 의미하며, '~부'는 어떤 역할들을 수행할 수 있다. 그렇지만 '~부'는 소프트웨어 또는 하드웨어에 한정되는 의미는 아니다. '~부'는 어드레싱할 수 있는 저장 매체에 있도록 구성될 수도 있고 하나 또는 그 이상의 프로세서들을 재생시키도록 구성될 수도 있다. 따라서, 일 예로서 '~부'는 소프트웨어 구성요소들, 객체지향 소프트웨어 구성요소들, 클래스 구성요소들 및 태스크 구성요소들과 같은 구성요소들과, 프로세스들, 함수들, 속성들, 프로시저들, 서브루틴들, 프로그램 코드의 세그먼트들, 드라이버들, 펌웨어, 마이크로코드, 회로, 데이터, 데이터베이스, 데이터 구조들, 테이블들, 어레이들, 및 변수들을 포함할 수 있다. 구성요소들과 '~부'들 안에서 제공되는 기능은 더 작은 수의 구성요소들 및 '~부'들로 결합되거나 추가적인 구성요소들과 '~부'들로 더 분리될 수 있다. 뿐만 아니라, 구성요소들 및 '~부'들은 디바이스 또는 보안 멀티미디어카드 내의 하나 또는 그 이상의 CPU들을 재생시키도록 구현될 수도 있다.
이하, 기지국은 단말의 자원 할당을 수행하는 주체로서, eNode B(eNB), Node B, BS(base station), RAN(radio access network), AN(access network), RAN node, NR NB, gNB, 무선 접속 유닛, 기지국 제어기, 또는 네트워크 상의 노드 중 적어도 하나일 수 있다. 단말은 UE(user equipment), MS(mobile station), 셀룰러폰, 스마트폰, 컴퓨터, 또는 통신 기능을 수행할 수 있는 멀티미디어 시스템을 포함할 수 있다. 본 개시의 다양한 실시 예들에서는 단말이 UE인 경우를 일 예로 설명하기로 한다. 또한, 이하에서 LTE, LTE-A, 혹은 NR을 기반으로 하는 시스템을 일 예로서 본 개시의 다양한 실시 예들을 설명하지만, 유사한 기술적 배경 또는 채널 형태를 갖는 여타의 통신 시스템에도 본 개시의 다양한 실시 예들이 적용될 수 있다. 또한, 본 개시의 다양한 실시 예들을 숙련된 기술적 지식을 가진자의 판단으로써 그 범위를 크게 벗어나지 아니하는 범위에서 일부 변형을 통해 다른 통신 시스템에도 적용될 수 있다.
5G 네트워크 시스템이 제공하는 각 기능들은 네트워크 기능(network function: NF) 단위로 수행될 수 있다. 5G 이동 통신 네트워크의 구조(architecture)의 일 예는 도 1에 도시되어 있다.
도 1은 본 개시의 다양한 실시 예들에 따른 5G 이동 통신 네트워크의 구조를 예시한 도면이다.
도 1을 참조하면, 5G 이동 통신 네트워크는 UE(110)의 네트워크 접속과 이동성을 관리 하는 AMF(access and mobility management function)(120), UE(110)에 대한 세션과 관련된 기능들을 수행하는 SMF(session management function)(130), 사용자 데이터의 전달을 담당하고 SMF(130)에 의해 제어를 받는 UPF(user plane function)(125), 어플리케이션 서비스의 제공을 위해 5GC와 통신하는 AF(application function)(180), AF(180)와의 통신을 지원하는 NEF(network exposure function)(170), 데이터 저장 및 관리를 위한 UDM(unified data management)(160)과 UDR(unified data repository)(미도시), 정책을 관리하는 PCF(policy and control function)(150), 또는 사용자 데이터가 전달되는 데이터 네트워크(data network: DN)(140)(예: 인터넷) 중 적어도 하나를 포함할 수 있다.
상기한 NF들 외에 UE(110) 및 5G 이동 통신 네트워크를 관리하기 위한 시스템인 OAM(operation, administration, and management) 서버(미도시)가 존재할 수 있다. 그리고 5G 이동 통신 네트워크에는 RAN(예: 기지국)(115), AUSF(authentication server function)(165), NSSF(network slice selection function)(175), 또는 NRF(network repository function)(155) 중 적어도 하나가 더 포함될 수 있다.
도 2는 본 개시의 다양한 실시 예들에 따른 UE의 자격 증명(credential) 정보를 프로비저닝(provisioning) 하기 위한 네트워크의 구조를 나타낸 도면이다.
도 2에 도시된 네트워크는 무선 통신 시스템(예: 5GS(5th generation system))에 포함될 수 있고, 도 1에 도시된 5G 이동 통신 네트워크의 구성 요소들(예: NF들) 중 적어도 하나와 동일하거나 유사한 구성 요소를 포함할 수 있다. 예를 들어, 도 2의 UE(210), NG-RAN(215), UPF(225), 및 DN(240)은 각각 도 1의 UE(110), RAN(115), UPF(125), 및 DN(140)일 수 있다. 그리고, 도 2의 AMF(220) 및 SMF(230)는 각각 도 1의 AMF(120) 및 SMF(130)일 수 있다. 또한, 도 2의 NSSF(270), UDM(275), NEF(280), NRF(285), 및 AUSF(290)는 각각 도 1의 NSSF(175), UDM(160), NEF(170), NRF(155), 및 AUSF(165)일 수 있다.
일 실시 예에 따르면, UE(210), NG-RAN(215), UPF(225), DN(240), AMF(220), SMF(230), NSSF(270), UDM(275), NEF(280), NRF(285), 및 AUSF(290)는 ON-SNPN(Onboarding - Standalone Non-Public Network (SNPN))에 포함될 수 있고, PS(provisioning server)(260)는 SO-SNPN(Subscription Owner-SNPN)에 포함될 수 있다.
다양한 실시 예들에 따르면, 도 2에 도시된 바와 같은 네트워크 구조를 기반으로, SO-SNPN의 자격 증명(credential) 정보(이하 'credential'이라 칭함)이 없는 UE(210)에 대해 SO-SNPN의 credential이 프로비저닝(provisioning)될 수 있다. 일 실시 예에서, UE(210)는 인증 동작 수행 후 PS(260)로부터 SO-SNPN의 credential을 제공받을 수 있다. 일 실시 예에 따른 인증 동작은 UE(210)가 ON-SNPN에 등록 요청을 송신하고, UE(210)를 제조할 시 프로비저닝 된 default credential을 이용하여 DCS(250)와 인증을 수행하는 동작을 포함할 수 있다. 또는, 일 실시 예에 따른 인증 동작은 UE(210)가 ON-SNPN과 인증을 수행한 후 선택적으로 DCS(250)와 추가적인 인증을 수행하는 동작을 포함할 수 있다.
이처럼 SO-SNPN의 credential이 없이 제조된 UE(210)는 서비스 받기 원하는 SO-SNPN의 credential을 획득하기 위해, ON-SNPN에 등록 요청을 한 후 UE(210)의 default credential을 기반으로 DCS(250) 혹은 ON-SNPN과 상호 인증을 수행할 수 있다. DCS(250)는 UE(210)를 인증하는 네트워크 또는 엔티티로써 ON-SNPN의 내부 혹은 외부에 존재할 수 있다. PS(260)는 UE(260)의 SO-SNPN credential을 가진 네트워크 또는 엔티티로서 ON-SNPN의 내부 혹은 외부에 위치할 수 있고, DCS(250)와 동일한 도메인 혹은 상이한 도메인에 존재할 수 있다.
ON-SNPN은 UE(210)의 가입 정보(subscription information) 또는 가입 데이터(subscription data)를 가지고 있지 않기 때문에, ON-SNPN의 UDM(275)은 UE(210)를 인증하거나 credential을 프로비저닝 할 때 사용되지 않을 수 있다. 혹은, ON-SNPN의 UDM(275)은 ON-SNPN에 존재하지 않을 수도 있다.
인증 동작이 수행될 때, DCS(250)가 AAA(authentication authorization accounting) 서버인 경우 프로토콜(protocol) 변환(SBI<->RADIUS)을 위해 NSSAAF(network slice-specific authentication and authorization function)(295)가 사용될 수도 있다. UE(210)는 인증 동작이 성공적으로 수행되고 ON-SNPN에 접속이 완료되면, PS(260)로부터 제어 평면을 통해 SO-SNPN의 credential을 제공받는 프로비저닝 과정이 수행될 수 있다. 프로비저닝 과정에 있어서 DCS(250) 혹은 PS(260)가 ON-SNPN 도메인 외부에 존재할 경우에는 ON-SNPN의 NEF(280)가 사용될 수도 있다.
이하 도 2에 도시된 네트워크 환경에서 수행되는 다양한 실시 예들에 따른 동작들을 도 3 내지 도 16을 참조하여 설명하기로 한다. 도 3 내지 도 16에서 설명되는 구성 요소들(예: UE, DCS, AMF, 또는 PS 등)은 도 2에 도시된 구성 요소들에 대응할 수 있다.
도 3은 본 개시의 다양한 실시 예들에 따른 UE가 ON-SNPN에 접속하여 DCS와상호 인증을 수행하는 일 예를 도시한 흐름도이다.
도 3에 도시된 인증 동작은 SO-SNPN의 credential이 없는 UE가 default credential을 이용하여 DCS와 수행하는 상호 인증 동작을 포함할 수 있다. 다양한 실시 예들은 후술되는 단계들 중 적어도 하나를 포함하여 구현될 수 있다.
도 3에 도시된 절차를 위해 다음의 설정 중 하나 이상이 사전에 수행될 수 있다.
(A1) 제 1 사전 설정
UE 제조사는 UE를 제조할 때 DCS와의 상호 인증에 사용될 credential을 UE에 프로비저닝 할 수 있다.
(A2) 제 2 사전 설정
UE 제조사는 온보딩(onboarding)의 목적을 위해 ON-SNPN에 접속하는 UE와의 상호 인증에 사용될 credential을 DCS에 프로비저닝 할 수 있다. UE가 SO-SNPN 소유자에 팔리고 난 후, UE 제조사는 SO-SNPN의 credential을 UE에 프로비저닝 할 수 있는 PS의 주소를 DCS에 프로비저닝 할 수 있다. PS의 주소는 제어 평면을 이용한 프로비저닝을 수행할 경우, DCS가 PS에 프로비저닝을 트리거링(triggering)하기 위해 PS를 찾을 때 사용될 수 있다. AMF 혹은 AUSF가 PS에 프로비저닝을 트리거링하는 경우에는 UE와 DCS간에 인증이 완료된 후 DCS가 AUSF에 전달할 수도 있다.
도 3을 참조하면, 301 단계에서 제 1 사전 설정(A1)과 제 2 사전 설정(A2)이 수행될 수 있다. 제 1 사전 설정 및 제 2 사전 설정은 동시에 수행되거나,제 1 사전 설정이 제 2 사전 설정보다 먼저 수행되거나, 제 2 사전 설정이 제 1 사전 설정보다 먼저 수행될 수 있다. 제 1 사전 설정 및/또는 제 2 사전 설정은 UE가 UE의 가입 정보가 없는 ON-SNPN에 접속할 때, UE를 인증할 수 있는 DCS의 도움을 받아 성공적으로 인증하기 위해 필요한 과정과, 후에 UE가 PS로부터 성공적으로 SO-SNPN의 credential을 제공받기 위해 필요한 과정을 포함할 수 있다.
302 단계에서 NG-RAN은 브로드캐스트 시스템 정보(broadcast sysyem information)를 브로드캐스팅 할 수 있다. 브로드캐스트 시스템 정보는 UE에 의해 수신될 수 있다. 브로드캐스트 시스템 정보는 하나 이상의 PLMN(public land mobile network) 식별자(identifier: ID), PLMN ID당 네트워크 ID, 온보딩 가능 인디케이션(onboarding enabled indication)을 포함할 수 있다. PLMN ID와 Network ID의 조합은 NPN(Non-Public Network)을 나타낼 수 있다.
303 단계에서 UE는 NG-RAN으로부터 수신한 브로드캐스팅 시스템 정보를 기반으로 ON-SNPN을 선택하고, AMF/SEAF로 등록 요청(Registration Request) 메시지를 송신할 수 있다. 등록 요청 메시지의 송신은 예를 들어, UE에서 파워 온(power-on) 이벤트가 발생하거나 사용자의 입력이 있는 경우 트리거될 수 있다. 등록 요청 메시지는 등록 타입(registration type) 및 Onboarding SUCI(subscription concealed identifier)를 포함할 수 있다. 등록 타입은 UE가 해당 NPN에 대한 가입 정보가 없다는 것을 나타내는 "SNPN Onboarding"을 포함할 수 있다. Onboarding SUCI는 "username@realm"와 같은 형식을 가질 수 있다. 여기서 realm 부분은 DCS를 나타낼 수 있다.
304 단계에서 AMF/SEAF는 UE로부터 등록 요청 메시지를 수신하고, 수신된 등록 요청 메시지에 포함된 Onboarding SUCI를 확인할 수 있다. 그리고 AMF/SEAF는 onboarding SUCI의 realm 부분을 기반으로 DCS를 식별하고, 식별된 DCS와 통신할 수 있는 AUSF로 제 1 인증 요청(Authentication Request) 메시지를 송신할 수 있다.
305 단계에서 AUSF는 제 1 인증 요청 메시지를 기반으로 DCS로 제 2 인증 요청 메시지를 송신할 수 있다. 제 2 인증 요청 메시지는 AUSF가 304 단계에서 수신한 제 1 인증 요청 메시지에 포함된 정보 즉, Onboarding SUCI를 포함할 수 있다. DCS가 AAA server인 경우, AUSF는 프로토콜 변환을 위해 NSSAAF를 통해 DCS에 제 2 인증 요청 메시지를 송신할 수 있다. ON-SNPN과 DCS는 계약 관계가 있을 수도 있다. 또한 DCS가 ON-SNPN의 도메인 밖에 존재할 경우에 ON-SNPN과 DCS 간의 메시지 교환은 NEF를 통해 수행될 수도 있다.
306 단계에서 UE와 DCS는 EAP(extensible authentication protocol) 인증(예를 들어, EAP-TLS(transport layer security))을 수행할 수 있다.
307 단계에서 DCS는 제 1 EAP 응답(response) 메시지를 AUSF로 송신할 수 있다. 제 1 EAP 응답 메시지는 인증 성공(EAP Success) 메시지와 UE를 나타내는 Onboarding SUPI(subscriber permanent identifier), ON-SNPN에서 UE와의 통신에 사용될 키(key)를 생성하기 위한 키 재료(keying material)를 포함할 수 있다. 그리고 제 1 EAP 응답 메시지는 AMF 혹은 AUSF가 PS에 프로비저닝을 트리거링할 경우에는 선택적으로 PS 주소를 포함할 수 있다.
308 단계에서 AUSF는 307 단계에서 수신한 제 1 EAP 응답 메시지 내의 키 재료를 기반으로 K_ausf를 생성할 수 있다.
309 단계에서 AUSF는 제 2 EAP 응답 메시지를 AMF/SEAF로 송신할 수 있다. 제 2 EAP 응답 메시지는 인증 성공 메시지, K_ausf로부터 생성한 K_seaf, Onboarding SUPI를 포함할 수 있다. 그리고 제 2 EAP 응답 메시지는 AMF/SEAF가 PS에 프로비저닝을 트리거링하는 경우에는 선택적으로 PS 주소를 포함할 수 있다.
310 단계에서 AMF/SEAF는 제 3 EAP 응답 메시지를 UE로 송신할 수 있다. 제 3 EAP 응답 메시지는 인증 성공 메시지, 키를 나타내는 ngKSI(5G key set identifier), 및 ABBA 파라미터를 포함할 수 있다.
311 단계에서 UE는 308 단계에서 AUSF가 K_ausf를 생성한 방식에 대응되는 방식을 사용하여 K_ausf를 생성할 수 있다.
312 단계에서 UE와 AMF/SEAF는 생성한 키를 활성화 하기 위해 NAS(non access stratum) SMC(security mode command) 과정을 수행할 수 있다. AMF/SEAF는 NAS SMC 과정을 기반으로 UE가 ON-SNPN에 대해 보안 통신이 가능한 것을 알 수 있다.
도 4a는 본 개시의 다양한 실시 예들에 따른 UE가 ON-SNPN에 접속하여 ON-SNPN와 상호 인증을 수행하는 일 예를 도시한 흐름도이다.
도 4a에 도시된 인증 동작은 SO-SNPN의 credential이 없는 UE가 ON-SNPN에 접속하기 위해, default credential을 이용하여 ON-SNPN와 수행하는 상호 인증 동작을 포함할 수 있다. 다양한 실시예들은 후술되는 단계들 중 적어도 하나를 포함하여 구현될 수 있다.
도 4a에 도시된 절차를 위해 다음의 설정 중 하나 이상이 사전에 수행될 수 있다.
(B1) 제 1 사전 설정
UE 제조사는 UE를 제조할 때 ON-SNPN과의 상호 인증에 사용될 credential을 UE에 프로비저닝 할 수 있다. 선택적으로, 추가 인증(이하 'secondary authentication'이라 칭함)이 필요한 경우에는, UE와 DCS 간의 상호 인증에 사용될 credential을 UE에 프로비저닝 할 수도 있다.
(B2) 제 2 사전 설정
UE 제조사는 온보딩의 목적을 위해 ON-SNPN에 접속하는 UE와의 상호 인증에 사용될 credential을 ON-SNPN에 프로비저닝 할 수 있다. UE가 SO-SNPN 소유자에 팔리고 난 후, UE 제조사는 SO-SNPN의 credential을 UE에 프로비저닝 할 수 있는 PS의 주소를 ON-SNPN에 프로비저닝 할 수 있다. PS의 주소는 제어 평면을 이용한 프로비저닝을 수행할 경우, AMF 혹은 AUSF가 PS에 프로비저닝을 트리거링하는 경우, AMF 혹은 AUSF가 PS를 찾을 경우 사용될 수 있다. UE와 DCS간에 secondary authentication 과정이 필요하여 해당 과정에서 DCS가 ON-SNPN에 PS 주소를 전달할 수 있는 경우에, ON-SNPN에 PS 주소를 프로비저닝하는 과정은 수행되지 않을 수 있다.
(B3) 제 3 사전 설정
UE 제조사는 UE와 DCS 간에 secondary authentication이 필요한 경 우DCS에 UE와의 상호 인증을 위해 사용될 credential을 프로비저닝 할 수 있다. UE가 SO-SNPN 소유자에 팔리고 난 후, UE 제조사는 SO-SNPN의 credential을 UE에 프로비저닝 할 수 있는 PS의 주소를 DCS에 프로비저닝 할 수 있다. PS의 주소는 제어 평면을 이용한 프로비저닝을 수행할 경우 AMF, AUSF, 혹은 DCS가 PS에 프로비저닝을 트리거링 하기 위해 PS를 찾을 때 사용될 수 있다.
도 4a를 참조하면,401 단계에서 제 1 사전 설정(B1), 제 2 사전 설정(B2), 그리고 제 3 사전 설정(B3)이 수행될 수 있다. 제 1 내지 제 3 사전 설정 중 적어도 하나는 UE가 UE의 가입 정보(subscription information)가 없는 ON-SNPN에 접속할 때, UE가 ON-SNPN을 정상적으로 사용하기 위해 인증에 필요한 정보를 프로비저닝 하는 과정과, 후에 UE가 PS로부터 성공적으로 SO-SNPN의 credential을 제공받기 위해 PS 주소를 제공받는 과정을 포함할 수 있다.
402 단계에서 NG-RAN은 브로드캐스트 시스템 정보를 브로드캐스팅 할 수 있다. 브로드캐스트 시스템 정보는 UE에 의해 수신될 수 있다. 브로드캐스트 시스템 정보는 하나 이상의 PLMN ID, PLMN ID당 네트워크 ID, 온보딩 가능 인디케이션을 포함할 수 있다. PLMN ID와 Network ID의 조합은 NPN을 나타낼 수 있다.
403 단계에서 UE는 NG-RAN으로부터 수신한 브로드캐스팅 시스템 정보를 기반으로 ON-SNPN을 선택하고, AMF/SEAF로 등록 요청 메시지를 송신할 수 있다. 등록 요청 메시지의 송신은 예를 들어, UE에서 파워 온 이벤트가 발생하거나 사용자의 입력이 있는 경우 트리거될 수 있다. 등록 요청 메시지는 등록 타입 및 Onboarding SUCI를 포함할 수 있다. 등록 타입은 UE가 해당 NPN에 대한 가입 정보가 없다는 것을 나타내는 "SNPN Onboarding"을 포함할 수 있다.
404 단계에서 AMF/SEAF는 등록 요청 메시지를 기반으로 AUSF를 선택하고 AUSF에 인증 요청을 송신할 수 있다. 예를 들어, AMF/SEAF는 등록 요청 메시지에 포함된 Onboarding SUCI를 기반으로 DCS를 식별하고, 식별된 DCS와 통신할 수 있는 AUSF로 인증 요청 메시지를 송신할 수 있다.
405 단계에서 UE와 AUSF는 EAP 인증(예를 들어 EAP-TLS)을 수행할 수 있다.
406 단계에서 AUSF는 인증이 완료된 후에 K_ausf를 생성할 수 있다.
407 단계에서 AUSF는 제 1 EAP 응답 메시지를 AMF/SEAF로 송신할 수 있다. 제 1 EAP 응답 메시지는 인증 성공 메시지, K_ausf로부터 생성한 K_seaf, Onboarding SUPI를 포함할 수 있다. 그리고 제 1 EAP 응답 메시지는 AMF/SEAF가 PS에 프로비저닝을 트리거링하는 경우에는 선택적으로 PS 주소를 포함할 수도 있다.
408 단계에서 AMF/SEAF는 제 2 EAP 응답 메시지를 UE로 송신할 수 있다. 제 2 EAP 응답 메시지는 인증 성공 메시지, 키를 나타내는 ngKSI, 및 ABBA 파라미터를 포함할 수 있다.
409 단계에서 UE는 406 단계에서 AUSF가 K_ausf를 생성한 방식에 대응되는 방식을 사용하여 K_ausf를 생성할 수 있다.
410 단계에서 UE와 AMF/SEAF는 생성한 키를 활성화 하기 위해 NAS SMC 과정을 수행할 수 있다. AMF/SEAF는 NAS SMC 과정을 기반으로 UE가 ON-SNPN에 대해 보안 통신이 가능한 것을 알 수 있다.
도 4a에 이어서 도 4b에 도시된 인증 동작이 선택적으로 수행될 수 있다.
도 4b는 본 개시의 다양한 실시 예들에 따른 선택적으로 수행될 수 있는 추가 인증 동작을 예시한 흐름도이다.
도 4b에 도시된 인증 동작은 UE와 DCS 간의 secondary authentication을 포함할 수 있고, 도 4a의 410 단계에 이어서 선택적으로 수행될 수 있다. 다양한 실시 예들은 후술되는 단계들 중 적어도 하나를 포함하여 구현될 수 있다.
도 4b를 참조하면, 411 단계에서 UE는 SMF를 통해 PDU(protocol data unit) 세션(session) 설립(establish)을 요청하고, SMF는 PDU 세션 설립 과정 중에 secondary authentication이 필요한 것을 인지하고 해당 과정을 수행할 수도 있다.
412 단계에서 SMF는 UE에 EAP-Request/Identity 요청을 송신할 수 있고, 413 단계에서 UE는 SMF에 해당 데이터 네트워크에 특정된 identity(DN-specific identity)를 NAI(network access identifier) 형식으로 EAP-Response/Identity 에 포함시켜 송신할 수 있다. 413 단계에서 UE가 SMF에 전달하는 DN-specific identity는 도 4a의 403 단계에서 UE가 AMF/SEAF에 제공한 onboarding SUCI 혹은 onboarding SUCI를 보호(protection)하기 전의 onboarding SUPI와 동일할 수도 있다.
414 단계에서 SMF는 413 단계에서 수신한 EAP-Response/Identity 를 UPF를 통해 DCS에 전달할 수 있고, 415 단계에서 DCS와 UE는 EAP 요청 및 응답 메시지 송수신을 통한 EAP 인증 과정을 수행할 수 있다.
416 단계에서 DCS는 EAP 인증이 성공했다면, UPF를 통해 SMF에 EAP 성공 메시지를 PS의 주소와 함께 송신할 수 있다. 416 단계에서, PS 주소는 프로비저닝 과정을 DCS가 트리거링 하는 경우에는 송신되지 않을 수도 있다.
417 단계에서 SMF는 416 단계에서 수신한 EAP 성공 메시지(또는 EAP 성공 메시지 및 PS의 주소)를 AMF에 보낼 수 있다.
418 단계에서 AMF는 UE에 PDU 세션 설립 수용(PDU Session Establishment Accept) 메시지와 함께 EAP 성공 메시지를 송신할 수 있다.
다양한 실시 예들에 따르면, 도 3 또는 도 4에 나타난 바와 같은 온보딩 과정 또는 상호 인증 과정 수행 후, PS로부터 UE의 credential을 획득하기 위한 프로비저닝이 수행될 수 있다. 다양한 실시 예들에 따르면, PS에 의한 프로비저닝은 제어 평면을 이용하여 수행될 수 있다, 다양한 실시 예들에 따르면, PS에 의한 프로비저닝은 다음과 같은 3가지 케이스를 기반으로 트리거링 될 수 있다.
- Case 1: DCS가 PS에 인증 통지(Authentication Notification) 메시지를 직접 전달하여 프로비저닝을 트리거링
- Case 2: AMF가 PS에 인증 통지 메시지를 직접 전달하여 프로비저닝을 트리거링
- Case 3: AUSF가 PS에 인증 통지 메시지를 직접 전달하여 프로비저닝을 트리거링
상기와 같은 3가지 케이스는 각각 다음과 같은 4가지 옵션(option)을 포함할 수 있다.
- Option A: ON-SNPN의 UDM이 사용되지 않기로 결정되고, DCS 혹은 PS가 UPU 과정의 UDM 역할을 수행
- Option B: ON-SNPN의 UDM이 사용되기로 결정되고, DCS 혹은 PS가 UPU 과정을 위해 ON-SNPN의 UDM에 credential 전달
- Option C: ON-SNPN의 UDM이 사용되지 않기로 결정되고, 다른 도메인에 있는 엔티티간에 통신을 최소화하기 위해 UPU 과정을 최적화하여 진행
- Option D: Option A,B,C 중 어느 하나로 사용될 것이 결정되지 않고, ON-SNPN 사업자가 Option A, B, C 중 사용할 하나를 결정할 수 있는 경우
즉, 다양한 실시 예들에 따르면, 다음 표 1에 나타난 바와 같은 케이스 별 과정들이 수행될 수 있다.
이하 도 5a 내지 도 16을 참조하여, 각 케이스 별 과정들을 살펴보기로 한다.먼저, 도 5a 내지 도 8을 참조하여 Case 1(DCS가 PS에 인증 통지 메시지를 직접 전달하여 프로비저닝을 트리거링하는 케이스)에 대해 수행될 수 있는 과정들을 설명하기로 한다.
< Case 1 >
도 5a 및 도 5b는 본 개시의 다양한 실시 예들에 따른 Case 1의 Option A에 기반한 프로비저닝 과정을 나타낸 흐름도이다.
다양한 실시 예들에 따르면, 도 5a 및 도 5b에 도시된 과정은 DCS가 PS에 인증 통지 메시지를 직접 전달하여 프로비저닝을 트리거링하는 동작, 제어 평면을 이용한 프로비저닝에서 UPU 과정을 수행할 때, ON-SNPN의 UDM이 사용되지 않는 것으로 결정된 경우 DCS가 UPU 과정의 UDM 역할을 수행하는 동작, ON-SNPN에 성공적으로 접속한 UE가 PS로부터 SO-SNPN의 credential을 제어 평면을 이용하여 제공받는 동작을 포함할 수 있다. 다양한 실시 예들은 후술되는 단계들 중 적어도 하나를 포함하여 구현될 수 있다.
도 5에 도시된 절차를 위해 다음의 설정 중 하나 이상이 사전에 수행될 수 있다.
(C1) 제 1 사전 설정
UE와 ON-SNPN, 혹은 UE와 DCS 간의 상호 인증을 위해 도 3의 제 1 및 제 2 사전 설정, 혹은 도 4의 제 1 내지 제 3 사전 설정들이 수행될 수 있다.
(C2) 제 2 사전 설정
UE 제조사는 SO-SNPN 소유자에 팔린 UE의 ID(예를 들어 Onboarding SUPI, IMEI(international mobile equipment identity) 등)를 PS에 제공할 수 있다. PS는 UE ID를 저장해두었다가 후에 해당 UE ID를 가진 단말에 제공할 SO-SNPN의 credential을 찾는 데 사용할 수 있다.
도 5를 참조하면, 501 단계에서 제 1 사전 설정(C1)과 제 2 사전 설정(C2)가 수행될 수 있다. 제 1 사전 설정(C1)은 UE가 UE의 가입 정보가 없는 ON-SNPN에 접속할 때, UE를 인증할 수 있는 DCS의 도움을 받아 성공적으로 인증하기 위해 필요한 과정을 포함할 수 있다. 제 1 사전 설정(C1) 및 제 2 사전 설정(C2)는 후에 UE가 PS로부터 성공적으로 SO-SNPN의 credential을 제공받기 위해 필요한 정보를 DCS와 PS에 프로비저닝하는 과정을 포함할 수 있다.
502 단계에서 UE는 제 1 사전 설정(C1)에 의해 제공된 정보를 이용하여 ON-SNPN 혹은 DCS와 상호 인증을 수행할 수 있다. 502 단계에서는 도 3 혹은 도 4에 도시된 온보딩 과정이 수행될 수 있다. 이후 단계의 DCS와 ON-SNPN의 NF들 간의 통신은 ON-SNPN의 NEF를 통해 수행될 수도 있다.
503 단계에서 AMF/SEAF는 502 단계에서 UE가 온보딩 과정을 성공적으로 끝마쳤다면, 성공했다는 메시지를 통지할 것을 결정할 수 있다. AMF/SEAF는 도 3에 기반한 온보딩 과정이 수행된 경우 NAS SMC를 기반으로 해당 결정을 수행할 수 있고, 도 4에 기반한 온보딩 과정이 수행된 경우 NAS SMC 혹은 PDU 세션 설립 수용(PDU Session Establishment Accept) 메시지를 기반으로 해당 결정을 수행할 수 있다.
504 단계에서 AMF/SEAF는 502 단계의 결과를 제공하기 위한 제 1 인증 통지 메시지를 AUSF로 송신할 수 있다. 제 1 인증 통지 메시지는 UE가 온보딩 과정을 성공적으로 끝맞쳤음을 지시하는 정보 및/또는 온보딩 과정에 성공한 UE의 ID를 포함할 수 있다. UE ID는 예를 들어, Onboarding SUPI, IMEI, 혹은 PS가 식별할 수 있는 다른 ID일 수도 있다.
505 단계에서 AUSF는 제 2 인증 통지 메시지를 DCS로 송신할 수 있다. 제 2 인증 통지 메시지는 UE ID와, DCS가 UPU 과정을 수행하기 위해 필요한 AUSF 주소 및 AMF 주소를 포함할 수 있다. 또한, 제 2 인증 통지 메시지는 UE가 온보딩 과정을 성공적으로 끝맞쳤음을 지시하는 정보를 더 포함할 수도 있다.
506 단계에서 DCS는 505 단계에서 수신한 제 2 인증 통지 메시지를 기반으로, UE ID와 그에 매칭되는 PS 주소를 찾을 수 있다. 여기서, PS 주소는 501 단계의 제 1 사전 설정을 통해 저장한 PS 주소일 수 있다. DCS는 제 2 인증 통지 메시지에 포함된 AUSF 주소 및 AMF 주소를 저장할 수 있다.
507 단계에서 DCS는 506 단계에서 찾은 PS 주소를 이용하여 제 3 인증 통지메시지를 인증 완료 메시지로서 PS로 송신할 수 있다. 제 3 인증 통지 메시지는 UE ID를 포함할 수 있다.
508 단계에서 PS는 507 단계에서 수신한 제 3 인증 통지 메시지에 포함된 UE ID와 501 단계의 제 2 사전 설정을 통해 UE 제조사로부터 제공받은 UE ID를 비교할 수 있다. PS는 비교 결과를 기반으로 해당 UE가 SO-SNPN의 credential을 제공받아도 되는지 확인할 수 있다. 예를 들어, PS는 제 3 인증 통지 메시지에 포함된 UE ID와 501 단계에서 UE 제조사로부터 제공받은 UE ID가 대응된다면, UE에게 제공할 SO-SNPN의 credential을 찾을 수 있다.
도 5a의 508 단계에 이어서 도 5b의 509 단계가 수행될 수 있다.
도 5b를 참조하면, 509 단계에서 PS는 프로비저닝 요청(Provisioning Request) 메시지를 DCS로 송신할 수 있다. 프로비저닝 요청 메시지는 도 5a의 508 단계에서 찾은 SO-SNPN의 credential과 UE ID를 포함할 수 있다.
510 단계에서 DCS는 "DCS가 프로비저닝 과정을 위해 UPU 과정에서 UDM 역할을 할 것이라는 결정"을 기반으로 UPU 과정에서 UDM 역할을 수행할 것을 결정하고, 후술되는 UPU 과정을 수행할 수 있다.
511 단계에서 DCS는 도 5a의 506 단계에서 저장한 AUSF 주소를 기반으로 AUSF를 찾아 UPU 과정을 시작할 수 있다. DCS는 Nausf_UPUProtection 메시지를 저장한 AUSF 주소에 대응하는 AUSF로 송신할 수 있다. Nausf_UPUProtection 메시지는 Onboarding SUPI와 UPU 데이터(SO-SNPN의 credential)을 포함할 수 있다. DCS는 UE가 UPU 데이터를 성공적으로 수신했는지 여부를 체크하기 위해, ACK indication을 Nausf_UPUProtection 메시지에 추가할 수도 있다.
512 단계에서 AUSF는 Nausf_UPUProtection 메시지에 대한 응답으로, Nausf_UPUProtection Response 메시지를 DCS로 송신할 수 있다. Nausf_UPUProtection Response 메시지는 AUSF가 K_ausf를 이용하여 계산한 DCS가 제공한 UPU 데이터의 MAC 값인 UPU-MAC-I_ausf 및 Counter 값인 Counter_upu를 포함할 수 있다. Counter_upu는 0x00 0x00에서 시작하여 UPU-MAC-I_ausf를 계산할 때마다 증가하는 값으로서, 재전송 공격을 방지할 수 있다.
Nausf_UPUProtection Response 메시지는 Nausf_UPUProtection 메시지에 ACK indication이 포함된 경우 UPU-XMAC-I_ue를 포함할 수 있다.
513 단계에서 DCS는 506 단계에서 저장한 AMF 주소를 기반으로 AMF를 찾고, 해당 AMF로 Nudm_SDM_Notification 메시지를 송신할 수 있다. Nudm_SDM_Notification 메시지는 UPU 데이터, 512 단계에서 AUSF로부터 수신한 UPU-MAC-I_ausf, 및 Counter_upu를 포함할 수 있다. 다양한 실시 예들에 따라, DCS가 UPU 과정의 UDM 역할을 수행하기 위해 Nudm_SDM_Notification 서비스 대신 새로운 서비스가 정의될 수도 있다.
514 단계에서 AMF는 UE에 DL NAS Transport를 송신할 수 있다. DL NAS Transport 메시지는 UPU 데이터, UPU-MAC-I_ausf, 및 Counter_upu를 포함할 수 있다.
515 단계에서 UE는 UPU-MAC-I_ausf를 입증(verify)하는 동작을 수행할 수 있다. 예를 들어, UE는 UPU 데이터와 Counter_upu를 이용하여 512 단계에서 AUSF가 계산한 방식으로 MAC 값을 계산하고, 이를 UPU-MAC-I_ausf와 비교할 수 있다. 그리고, UE는 비교 결과를 기반으로 UPU 데이터가 변조되지 않았음을 확인할 수 있다.
516 단계에서 UE는 511 단계에서 ACK indication이 제공된 경우, 그리고 515 단계에서 성공적으로 UPU 데이터가 변조되지 않음을 확인한 경우, 계산된 UPU-MAC-I_ue를 포함하는 UL NAS Transport 메시지를 AMF로 송신할 수 있다. UPU-MAC-I_ue는 Counter_upu 및 UPU Acknowledgement를 기반으로 K_ausf를 사용하여 UE에 의해 계산될 수 있다. 예를 들어, UE는 Counter_upu와 UPU Acknowledgement를 설정된 함수의 인풋(input) 값으로서 이용한 결과(예: Key Derivation Function (Counter_upu, UPU Acknowledgement, ...))와 K_ausf를 사용하여 UE에 의해 계산될 수 있다.
517 단계에서 AMF는 UL NAS Transport 메시지에 포함된 UPU-MAC-I_ue를 Nudm_SDM_Info 메시지를 통해 DCS로 송신할 수 있다.
518 단계에서 DCS는 Nudm_SDM_Info 메시지에 포함된 UPU-MAC-I_ue와 512 단계에서 수신한 UPU-XMAC-I_ue와 비교하고, 비교 결과를 기반으로 UE가 성공적으로 UPU 데이터를 수신했음을 확인할 수 있다. 517 단계에서 UPU 과정의 UDM 역할을 수행하는 DCS를 위해 Nudm_SDM_Info 서비스 대신 새로운 서비스가 정의될 수도 있다.
도 6a 및 도 6b는 본 개시의 다양한 실시 예들에 따른 Case 1의 Option B에 기반한 프로비저닝 과정을 나타낸 흐름도이다.
다양한 실시 예들에 따르면, 도 6a 및 도 6b에 도시된 과정은 DCS가 PS에 인증 통지 메시지를 직접 전달하여 프로비저닝을 트리거링하는 동작, 제어 평면을 이용한 프로비저닝에서 UPU 과정을 수행할 때, ON-SNPN의 UDM이 사용되는 것으로 결정된 경우 UDM이 사용되는 동작, ON-SNPN에 성공적으로 접속한 UE가 PS로부터 SO-SNPN의 credential을 제어 평면을 이용하여 제공받는 동작을 포함할 수 있다. 다양한 실시 예들은 후술되는 단계들 중 적어도 하나를 포함하여 구현될 수 있다.
도 6a를 참조하면, 도 6a의 601 단계와 602 단계는 도 5a의 501 단계 및 502 단계에 대응하므로 그 상세한 설명은 생략하기로 한다. 다만, 도 6a의 602 단계에서 UE가 ON-SNPN 혹은 DCS와 상호 인증을 하는 동안, 혹은 성공적으로 끝마친 후, ON-SNPN의 UDM은 UE의 ID(예를 들면 Onboarding SUPI, IMEI 등),해당 UE를 서빙하는 AMF ID, 해당 UE를 서빙하는 AUSF ID등을 저장할 수 있다.이후 단계의 DCS와 ON-SNPN의 NF들 간의 통신은 ON-SNPN의 NEF를 통해 수행될 수도 있다.
603 단계에서 AMF/SEAF는 602 단계에서 UE가 온보딩 과정을 성공적으로 끝마쳤다면, 성공했다는 메시지를 통지할 것을 결정할 수 있다. AMF/SEAF는 도 3에 기반한 온보딩 과정이 수행된 경우 NAS SMC를 기반으로 해당 결정을 수행할 수 있고, 도 4에 기반한 온보딩 과정이 수행된 경우 NAS SMC 혹은 PDU 세션 설립 수용(PDU Session Establishment Accept) 메시지를 기반으로 해당 결정을 수행할 수 있다.
604 단계에서 AMF/SEAF는 603 단계의 결과를 제공하기 위한 제 1 인증 통지 메시지를 AUSF로 송신할 수 있다. 제 1 인증 통지 메시지는 UE가 온보딩 과정을 성공적으로 끝맞쳤음을 지시하는 정보 및/또는 온보딩 과정에 성공한 UE의 ID를 포함할 수 있다. UE ID는 예를 들어, Onboarding SUPI, IMEI, 혹은 PS가 식별할 수 있는 다른 ID일 수도 있다.
605 단계에서 AUSF는 제 2 인증 통지 메시지를 DCS로 송신할 수 있다. 제 2 인증 통지 메시지는 UE ID와, DCS가 UPU 과정을 ON-SNPN의 UDM에 요청하기 위해 필요한 UDM의 주소를 포함할 수 있다. 또한, 제 2 인증 통지 메시지는 UE가 온보딩 과정을 성공적으로 끝맞쳤음을 지시하는 정보를 더 포함할 수도 있다.
606 단계에서 DCS는 605 단계에서 수신한 제 2 인증 통지 메시지를 기반으로, UE ID와 그에 매칭되는 PS 주소를 찾을 수 있다. 여기서, PS 주소는 601 단계의 제 1 사전 설정을 통해 저장한 PS 주소일 수 있다. DCS는 제 2 인증 통지 메시지에 포함된 UDM 주소를 저장할 수 있다.
607 단계에서 DCS는 606 단계에서 찾은 PS 주소를 이용하여 제 3 인증 통지메시지를 인증 완료 메시지로서 PS로 송신할 수 있다. 제 3 인증 통지 메시지는 UE ID를 포함할 수 있다.
608 단계에서 PS는 607 단계에서 수신한 제 3 인증 통지 메시지에 포함된 UE ID와 601 단계의 제 2 사전 설정을 통해 UE 제조사로부터 제공받은 UE ID를 비교할 수 있다. PS는 비교 결과를 기반으로 해당 UE가 SO-SNPN의 credential을 제공받아도 되는지 확인할 수 있다. 예를 들어, PS는 제 3 인증 통지 메시지에 포함된 UE ID와 601 단계에서 UE 제조사로부터 제공받은 UE ID가 대응된다면, UE에게 제공할 SO-SNPN의 credential 찾을 수 있다.
도 6a의 608 단계에 이어서 도 6b의 609 단계가 수행될 수 있다.
도 6b를 참조하면, 609 단계에서 PS는 프로비저닝 요청(Provisioning Request) 메시지를 DCS로 송신할 수 있다. 프로비저닝 요청 메시지는 도 6a의 608 단계에서 찾은 SO-SNPN의 credential과 UE ID를 포함할 수 있다.
610 단계에서 DCS는 "프로비저닝 과정을 위해 ON-SNPN의 UDM이 사용될 것이라는 결정"을 기반으로 DCS가 609 단계에서 수신한 정보를 UPU 과정을 위해 UDM에 전달해야 함을 판단할 수 있다. 후술되는 UPU 과정은 UDM에 의해 수행될 수 있다.
611 단계에서 DCS는 606 단계에서 저장한 UDM 주소를 기반으로 UDM을 찾아 프로비저닝 요청 메시지를 해당 UDM으로 송신할 수 있다. 프로비저닝 요청 메시지는 UE ID와 SO-SNPN의 credential을 포함할 수 있다.
612 단계에서 UDM은 UE를 서빙하는 AUSF를 찾아 UPU 과정을 시작할 수 있다. UDM은 Nausf_UPUProtection 메시지를 AUSF로 송신할 수 있다. Nausf_UPUProtection 메시지는 Onboarding SUPI와 UPU 데이터(SO-SNPN의 credential)을 포함할 수 있다. UDM은 UE가 UPU 데이터를 성공적으로 받았는지 여부를 체크하기 위해, ACK indication을 Nausf_UPUProtection 메시지에 추가할 수도 있다.
613 단계에서 AUSF는 Nausf_UPUProtection 메시지에 대한 응답으로, Nausf_UPUProtection Response 메시지를 UDM으로 송신할 수 있다. Nausf_UPUProtection Response 메시지는 AUSF가 K_ausf를 이용하여 계산한 UDM이 제공한 UPU 데이터의 MAC 값인 UPU-MAC-I_ausf, Counter 값인 Counter_upu를 포함할 수 있다. Counter_upu는 0x00 0x00에서 시작하여 UPU-MAC-I_ausf를 계산할 때마다 증가하는 값으로서, 재전송 공격을 방지할 수 있다.
Nausf_UPUProtection Response 메시지는 Nausf_UPUProtection 메시지에 ACK indication이 포함된 경우 UPU-XMAC-I_ue를 포함할 수 있다.
614 단계에서 UDM은 UE를 서빙하는 AMF를 찾고, 해당 AMF로 Nudm_SDM_Notification 메시지를 송신할 수 있다. Nudm_SDM_Notification 메시지는 UPU 데이터, 613단계에서 AUSF로부터 수신한 UPU-MAC-I_ausf, 및 Counter_upu를 포함할 수 있다.
615 단계에서 AMF는 UE에 DL NAS Transport를 보낼 수 있다. DL NAS Transport 메시지는 UPU 데이터, UPU-MAC-I_ausf, 및 Counter_upu를 포함할 수 있다.
616 단계에서 UE는 UPU-MAC-I_ausf를 입증(verify)하는 동작을 수행할 수 있다. 예를 들어, UE는 UPU 데이터와 Counter_upu를 이용하여 613 단계에서 AUSF가 계산한 방식으로 MAC 값을 계산하고, 이를 UPU-MAC-I_ausf와 비교할 수 있다. 그리고, UE는 비교 결과를 기반으로 UPU 데이터가 변조되지 않았음을 확인할 수 있다.
617 단계에서 UE는 612 단계에서 ACK indication이 제공된 경우, 그리고 616단계에서 성공적으로 UPU 데이터가 변조되지 않음을 확인한 경우, AMF에 계산된 UPU-MAC-I_ue를 포함하는 UL NAS Transport 메시지를 송신할 수 있다. UPU-MAC-I_ue는 Counter_upu 및 UPU Acknowledgement를 기반으로 K_ausf를 사용하여 UE에 의해 계산될 수 있다. 예를 들어, UE는 Counter_upu와 UPU Acknowledgement를 설정된 함수의 인풋(input) 값으로서 이용한 결과(예: Key Derivation Function (Counter_upu, UPU Acknowledgement, ...))와 K_ausf를 사용하여 UE에 의해 계산될 수 있다.
618 단계에서 AMF는 UL NAS Transport 메시지에 포함된 UPU-MAC-I_ue를 Nudm_SDM_Info 메시지를 통해 UDM으로 송신할 수 있다.
619 단계에서 UDM은 Nudm_SDM_Info 메시지에 포함된 UPU-MAC-I_ue와 613단계에서 수신한 UPU-XMAC-I_ue와 비교하고, 비교 결과를 기반으로 UE가 성공적으로 UPU 데이터를 수신했음을 확인할 수 있다.
도 7a 및 도 7b는 본 개시의 다양한 실시 예들에 따른 Case 1의 Option C에 기반한 프로비저닝 과정을 나타낸 흐름도이다.
다양한 실시 예들에 따르면, 도 7a 및 도 7b에 도시된 과정은 DCS가 PS에 인증 통지 메시지를 직접 전달하여 프로비저닝을 트리거링하는 동작, 제어 평면을 이용한 프로비저닝에서 UPU 과정을 수행할 때, ON-SNPN의 UDM이 사용되지 않는 것으로 결정된 경우의 동작, 다른 도메인에 있는 엔티티간의 통신을 최소화하기 위해 최적화된 UPU 과정을 수행하기로 결정된 경우의 동작, ON-SNPN에 성공적으로 접속한 UE가 PS로부터 SO-SNPN의 credential을 제어 평면을 이용하여 제공받는 동작을 포함할 수 있다.다양한 실시 예들은 후술되는 단계들 중 적어도 하나를 포함하여 구현될 수 있다.
도 7a를 참조하면, 도 7a의 701 단계 내지 704 단계는 도 5a의 501 단계 내지 504 단계에 대응하므로 그 상세한 설명은 생략하기로 한다.
705 단계에서 AUSF는 제 2 인증 통지 메시지를 DCS로 송신할 수 있다. 제 2 인증 통지 메시지는 UE ID와, DCS가 UPU 과정을 수행하기 위해 필요한 AUSF 주소를 포함할 수 있다. 또한, 제 2 인증 통지 메시지는 UE가 온보딩 과정을 성공적으로 끝맞쳤음을 지시하는 정보를 더 포함할 수도 있다.
706 단계에서 DCS는 705 단계에서 수신한 제 2 인증 통지 메시지를 기반으로, UE ID와 그에 매칭되는 PS 주소를 찾을 수 있다. 여기서, PS 주소는 501 단계의 제 1 사전 설정을 통해 저장한 PS 주소일 수 있다. DCS는 제 2 인증 통지 메시지에 포함된 AUSF 주소를 저장할 수 있다.
707 단계에서 DCS는 706 단계에서 찾은 PS 주소를 이용하여 제 3 인증 통지메시지를 인증 완료 메시지로서 PS로 송신할 수 있다. 제 3 인증 통지 메시지는 UE ID를 포함할 수 있다.
708 단계에서 PS는 707 단계에서 수신한 제 3 인증 통지 메시지에 포함된 UE ID와 701 단계의 제 2 사전 설정을 통해 UE 제조사로부터 제공받은 UE ID를 비교할 수 있다. PS는 비교 결과를 기반으로 UE가 SO-SNPN의 credential을 제공받아도 되는지 확인할 수 있다. 예를 들어, PS는 제 3 인증 통지 메시지에 포함된 UE ID와 501 단계에서 UE 제조사로부터 제공받은 UE ID가 대응된다면, UE에게 제공할 SO-SNPN의 credential을 찾을 수 있다.
도 7a의 708 단계에 이어서 도 7b의 709 단계가 수행될 수 있다.
도 7b를 참조하면, 709 단계에서 PS는 프로비저닝 요청(Provisioning Request) 메시지를 DCS로 송신할 수 있다. 프로비저닝 요청 메시지는 도 7a의 708 단계에서 찾은 SO-SNPN의 credential과 UE ID를 포함할 수 있다.
710 단계에서 DCS는 "서로 다른 도메인에 있는 엔티티 간에 통신을 최소화하기 위해 최적화된 UPU 과정을 진행한다는 결정"을 기반으로 AUSF에 UPU 과정을 요청할 수 있다. 이에 따라, 후술되는 UPU 과정은 AUSF에 의해 수행될 수 있다.
711 단계에서 DCS는 도 7a의 706 단계에서 저장한 AUSF 주소를 기반으로 AUSF를 찾아 UPU 과정을 요청할 수 있다. DCS는 Nausf_UPUProtection 메시지를 저장한 AUSF 주소에 대응하는 AUSF로 송신할 수 있다. Nausf_UPUProtection 메시지는 Onboarding SUPI와 UPU 데이터(SO-SNPN의 credential)을 포함할 수 있다. DCS는 UE가 UPU 데이터를 성공적으로 수신했는지 여부를 체크하기 위해 ACK indication을 Nausf_UPUProtection 메시지에 추가할 수도 있다.
712 단계에서 AUSF는 Nausf_UPUProtection 메시지에 대한 응답으로, Nausf_UPUProtection Response 메시지를 DCS로 송신할 수 있다. AUSF는 711 단계에서 ACK indication이 포함된 Nausf_UPUProtection 메시지를 수신한 경우, UPU-XMAC-I_ue이 포함된 Nausf_UPUProtection Response 메시지를 DCS로 송신할 수 있다.
713 단계에서 AUSF는 AMF를 찾고, 해당 AMF로 Nudm_SDM_Notification 메시지를 송신할 수 있다. Nudm_SDM_Notification 메시지는 UPU 데이터, 711 단계에서 수신한 UPU 데이터를 이용해 K_ausf에 기반하여 계산한 UPU-MAC-I_ausf, 및 Counter_upu를 전달할 수 있다. Counter_upu는 0x00 0x00에서 시작하여 UPU-MAC-I_ausf를 계산할 때 마다 증가할 수 있고, 재전송 공격을 방지할 수 있다. 최적화된 UPU 과정을 수행하기 위해 Nudm_SDM_Notification 서비스 대신 새로운 서비스가 정의될 수도 있다.
714 단계에서 AMF는 UE에 DL NAS Transport를 송신할 수 있다. DL NAS Transport 메시지는 UPU 데이터, UPU-MAC-I_ausf, 및 Counter_upu를 포함할 수 있다.
715 단계에서 UE는 UPU-MAC-I_ausf를 입증(verify)하는 동작을 수행할 수 있다. 예를 들어, UE는 UPU 데이터와 Counter_upu를 이용하여 711 단계 이후 AUSF가 계산한 방식으로 MAC 값을 계산하고, 이를 UPU-MAC-I_ausf와 비교할 수 있다. 그리고, UE는 비교 결과를 기반으로 UPU 데이터가 변조되지 않았음을 확인할 수 있다.
716 단계에서 UE는 711 단계에서 ACK indication이 제공된 경우, 그리고 715 단계에서 성공적으로 UPU 데이터가 변조되지 않음을 확인한 경우, 계산된 UPU-MAC-I_ue를 포함하는 UL NAS Transport 메시지를 AMF로 송신할 수 있다. UPU-MAC-I_ue는 Counter_upu 및 UPU Acknowledgement를 기반으로 K_ausf를 사용하여 UE에 의해 계산될 수 있다. 예를 들어, UE는 Counter_upu와 UPU Acknowledgement를 설정된 함수의 인풋(input) 값으로서 이용한 결과(예: Key Derivation Function (Counter_upu, UPU Acknowledgement, ...))와 K_ausf를 사용하여 UE에 의해 계산될 수 있다.
717 단계에서 AMF는 UL NAS Transport 메시지에 포함된 UPU-MAC-I_ue를 Nudm_SDM_Info 메시지를 통해 AUSF로 송신할 수 있다.
718 단계에서 AUSF는 717 단계에서 수신한 Nudm_SDM_Info 메시지를 DCS로 송신할 수 있다.
719 단계에서 DCS는 Nudm_SDM_Info 메시지에 포함된 UPU-MAC-I_ue와 UPU-MAC-I_ue와 712 단계에서 수신한 UPU-XMAC-I_ue와 비교하고, 비교 결과를 기반으로 UE가 성공적으로 UPU 데이터를 수신했음을 확인할 수 있다.
도 8은 본 개시의 다양한 실시 예들에 따른 Case 1의 Option D에 기반한 프로비저닝 과정을 나타낸 흐름도이다.
다양한 실시 예들에 따르면, 도 8에 도시된 과정은 DCS가 PS에 인증 통지 메시지를 직접 전달하여 프로비저닝을 트리거링하는 동작, 제어 평면을 이용한 프로비저닝에서 UPU 과정을 수행할 때, ON-SNPN의 UDM의 사용 여부가 결정되지 않은 경우의 동작, UDM의 사용 여부가 ON-SNPN의 사업자에 의해 결정되거나, 최적화 된 UPU 과정이 사용될지 여부에 따라, AUSF가 DCS에 지시자(indicator)를 제공하여 제어 평면을 이용한 UPU 과정이 결정되는 동작을 포함할 수 있다. 다양한 실시 예들은 후술되는 단계들 중 적어도 하나를 포함하여 구현될 수 있다.
도 8을 참조하면, 도 8의 801 단계 내지 804 단계는 도 5a의 501 단계 내지 504 단계에 대응하므로 그 상세한 설명은 생략하기로 한다.
805 단계에서 AUSF는 제 2 인증 통지 메시지를 DCS로 송신할 수 있다. 제 2 인증 통지 메시지는 UE ID, DCS가 후에 진행되는 UPU 과정을 선택하기 위한 지시자, 및 UPU 과정을 위해 필요한 NF의 주소(들)를 포함할 수 있다. 또한, 제 2 인증 통지 메시지는 UE가 온보딩 과정을 성공적으로 끝맞쳤음을 지시하는 정보를 더 포함할 수도 있다.
제 2 인증 통지 메시지에 포함되는 지시자는 설정된 값들 중 하나를 지시할수 있다. 예를 들어, 지시자는 Case 1의 Option A, Option B, 및 Option C 중 하나를 지시하는 값을 나타낼 수 있다.
ON-SNPN의 사업자가 UDM의 사용을 온보딩과 프로비저닝 과정에서 제공하기를 원치 않는다거나 ON-SNPN의 UDM이 해당 과정에서는 사용되지 않을 것이 결정된 경우, 지시자는 Case 1의 Option A를 지시하는 값(예: "1")을 나타낼 수 있다. 지시자가 "1"을 나타내는 경우, 도 5a 및 도 5b의 "ON-SNPN의 UDM이 사용되지 않고, DCS가 UPU 과정의 UDM 역할을 수행"하고 AUSF가 DCS에 AUSF 주소와 AMF 주소를 제공할 수 있다.
ON-SNPN의 사업자가 UDM의 사용을 허용하거나 ON-SNPN의 UDM이 해당 과정에서 사용되는 것이 결정된 경우, 지시자는 Case 1의 Option B를 지시하는 값(예: "2")을 나타낼 수 있다. 지시자가 "2"를 나타내는 경우 도 6a 및 도 6b의 "ON-SNPN의 UDM이 사용되고, UPU 과정의 UDM 역할을 ON-SNPN의 UDM이 수행"하고 AUSF가 DCS에 UDM 주소를 제공할 수 있다.
최적화된 UPU 과정을 진행하는 것이 결정된경우, 지시자는 Case 1의 Option C를 지시하는 값(예: "3")을 나타낼 수 있다. 지시자가 "3"을 나타내는 경우 도 7a 및 도 7b의 "ON-SNPN의 UDM이 사용되지 않고 최적화된 UPU 과정을 수행"하고 AUSF가 DCS에 AUSF 주소를 제공할 수 있다.
806 단계에서 DCS는 805 단계에서 수신한 제 2 인증 통지 메시지를 기반으로, UE ID와 그에 매칭되는 PS 주소를 찾을 수 있다. 여기서, PS 주소는 801 단계의 제 1 사전 설정을 통해 저장한 PS 주소일 수 있다. DCS는 805 단계에서 AUSF로부터 수신한 제 2 인증 통지 메시지에 포함된 지시자 및 지시자에 따른 NF 주소(들)를 저장할 수 있다.
807 단계에서 DCS는 806 단계에서 찾은 PS 주소를 이용하여 제 3 인증 통지메시지를 인증 완료 메시지로서 PS로 송신할 수 있다. 제 3 인증 통지 메시지는 UE ID를 포함할 수 있다.
808 단계에서 PS는 807 단계에서 수신한 제 3 인증 통지 메시지에 포함된 UE ID와 801 단계의 제 2 사전 설정을 통해 UE 제조사로부터 제공받은 UE ID를 비교할 수 있다. PS는 비교 결과를 기반으로 UE가 SO-SNPN의 credential을 제공받아도 되는지 확인할 수 있다. 예를 들어, PS는 제 3 인증 통지 메시지에 포함된 UE ID와 501 단계에서 UE 제조사로부터 제공받은 UE ID가 대응된다면, UE에게 제공할 SO-SNPN의 credential을 찾을 수 있다.
809 단계에서 PS는 프로비저닝 요청(Provisioning Request) 메시지를 DCS로 송신할 수 있다. 프로비저닝 요청 메시지는 808 단계에서 찾은 SO-SNPN의 credential과 UE ID를 포함할 수 있다.
810 단계에서 DCS는 806 단계에서 저장한 지시자가 "1"을 나타내는 경우 도 5b의 510-518 단계를 수행할 수 있다. 그리고, DCS는 806 단계에서 저장한 지시자가 "2"를 나타내는 경우 도 6b의 610-619 단계를 수행할 수 있다. 또한, DCS는 806 단계에서 저장한 지시자가 "3"을 나타내는 경우 도 7b의 710-719 단계를 수행하고 UPU 과정을 끝마칠 수 있다.
다음으로, 도 9 내지 도 12를 참조하여 Case 2(AMF가 PS에 인증 통지 메시지를 직접 전달하여 프로비저닝을 트리거링하는 케이스)에 대해 수행될 수 있는 과정들을 설명하기로 한다.
< Case 2 >
도 9는 본 개시의 다양한 실시 예들에 따른 Case 2의 Option A에 기반한 프로비저닝 과정을 나타낸 흐름도이다.
다양한 실시 예들에 따르면, 도 9에 도시된 과정은 AMF가 PS에 인증 통지 메시지를 직접 전달하여 프로비저닝을 트리거링하는 동작, 제어 평면을 이용한 프로비저닝에서 UPU 과정을 수행할 때, ON-SNPN의 UDM이 사용되지 않는 경우의 동작, ON-SNPN에 성공적으로 접속한 UE가 PS로부터 SO-SNPN의 credential을 제어 평면을 이용하여 제공받는 동작을 포함할 수 있다. 다양한 실시 예들은 후술되는 단계들 중 적어도 하나를 포함하여 구현될 수 있다.
도 9를 참조하면, 도 9의 901 단계 내지 903 단계는 도 5a의 501 단계 내지 503 단계에 대응하므로 그 상세한 설명은 생략하기로 한다.
904 단계에서 AMF/SEAF는 902 단계의 결과가 성공했을 경우에, 902 단계에서 획득한 PS 주소를 기반으로 PS를 찾고, 해당 PS로 인증 통지 메시지를 송신할 수 있다. 인증 통지 메시지는 UE ID, 및 PS가 UPU 과정을 수행하기 위해 필요한 AUSF 주소와 AMF 주소를 포함할 수 있다. 인증 통지 메시지는 UE가 온보딩 과정을 성공적으로 끝맞쳤음을 지시하는 정보를 더 포함할 수도 있다.
905 단계에서 PS는 904 단계에서 수신한 인증 통지 메시지에 포함된 UE ID와 901 단계의 제 2 사전 설정을 통해 UE 제조사로부터 제공받은 UE ID를 비교할 수 있다. PS는 비교 결과를 기반으로 해당 UE가 SO-SNPN의 credential을 제공받아도 되는지 확인할 수 있다. 예를 들어, PS는 인증 통지 메시지에 포함된 UE ID와 901 단계에서 UE 제조사로부터 제공받은 UE ID가 대응된다면, UE에게 제공할 SO-SNPN의 credential을 찾을 수 있다. PS는 ON-SNPN의 UDM이 제어 평면을 이용한 프로비저닝 과정에서 사용되지 않는다고 결정된 경우, 해당 결정을 기반으로 PS가 UPU 과정의 UDM 역할을 수행해야 하는 것을 확인할 수 있다.
906 단계에서 PS는 904 단계에서 수신한 AUSF의 주소를 이용하여 AUSF를 찾고, Nausf_UPUProtection 메시지를 수신한 AUSF 주소에 대응하는 AUSF로 송신할 수 있다. Nausf_UPUProtection 메시지는 PS가 905 단계에서 찾은 SO-SNPN의 credential과 UE ID를 포함할 수 있다.
PS는 UE가 UPU 데이터를 성공적으로 수신했는지 여부를 체크하기위해 ACK indication을 Nausf_UPUProtection 메시지에 추가할 수도 있다.
907 단계에서 AUSF는 Nausf_UPUProtection 메시지에 대한 응답으로, Nausf_UPUProtection Response 메시지를 PS로 송신할 수 있다. Nausf_UPUProtection Response 메시지는 AUSF가 K_ausf를 이용하여 계산한 PS가 제공한 UPU Data의 MAC 값인 UPU-MAC-I_ausf, Counter 값인 Counter_upu를 포함할 수 있다. Counter_upu는 0x00 0x00에서 시작하여 UPU-MAC-I_ausf를 계산할 때마다 증가하는 값으로서, 재전송 공격을 방지할 수 있다.
Nausf_UPUProtection Response 메시지는 Nausf_UPUProtection 메시지에 ACK indication이 포함된 경우 UPU-XMAC-I_ue를 포함할 수 있다.
908 단계에서 PS는 904 단계에서 수신한 AMF의 주소를 기반으로 AMF를 찾고, 해당 AMF로 Nudm_SDM_Notification 메시지를 송신할 수 있다. Nudm_SDM_Notification 메시지는 UPU 데이터, 907단계에서 AUSF로부터 수신한 UPU-MAC-I_ausf, 및 Counter_upu를 포함할 수 있다. 다양한 실시 예들에 따라, PS가 UPU 과정의 UDM 역할을 수행하기 위해 Nudm_SDM_Notification 서비스 대신 새로운 서비스가 정의될 수도 있다.
909 단계에서 AMF는 UE에 DL NAS Transport를 송신할 수 있다. DL NAS Transport 메시지는 UPU 데이터, UPU-MAC-I_ausf, 및 Counter_upu를 포함할 수 있다.
910 단계에서 UE는 UPU-MAC-I_ausf를 입증(verify)하는 동작을 수행할 수 있다. 예를 들어, UE는 UPU 데이터와 Counter_upu를 이용하여 907 단계에서 AUSF가 계산한 방식으로 MAC 값을 계산하고, 이를 UPU-MAC-I_ausf와 비교할 수 있다. 그리고, UE는 비교 결과를 기반으로 UPU 데이터가 변조되지 않았음을 확인할 수 있다.
911 단계에서 UE는 906 단계에서 ACK indication이 제공된 경우,그리고 910단계에서 성공적으로 UPU 데이터가 변조되지 않음을 확인한 경우, 계산된 UPU-MAC-I_ue를 포함하는 UL NAS Transport 메시지를 AMF로 송신할 수 있다. UPU-MAC-I_ue는 Counter_upu 및 UPU Acknowledgement를 기반으로 K_ausf를 사용하여 UE에 의해 계산될 수 있다. 예를 들어, UE는 Counter_upu와 UPU Acknowledgement를 설정된 함수의 인풋(input) 값으로서 이용한 결과(예: Key Derivation Function (Counter_upu, UPU Acknowledgement, ...))와 K_ausf를 사용하여 UE에 의해 계산될 수 있다.
912 단계에서 AMF는 UL NAS Transport 메시지에 포함된 UPU-MAC-I_ue를 Nudm_SDM_Info 메시지를 통해 PS로 송신할 수 있다.
913 단계에서 PS는 Nudm_SDM_Info 메시지에 포함된 UPU-MAC-I_ue와 907단계에서 수신한 UPU-XMAC-I_ue와 비교하고, 비교 결과를 기반으로 UE가 성공적으로 UPU 데이터를 수신했음을 확인할 수 있다.
도 10a 및 10b는 본 개시의 다양한 실시 예들에 따른 Case 2의 Option B에 기반한 프로비저닝 과정을 나타낸 흐름도이다.
다양한 실시 예들에 따르면, 도 10a 및 도 10b에 도시된 과정은 AMF가 PS에 인증 통지 메시지를 직접 전달하여 프로비저닝을 트리거링하는 동작, 제어 평면을 이용한 프로비저닝에서 UPU 과정을 수행할 때, ON-SNPN의 UDM이 사용되는 것으로 결정된 경우 UDM이 사용되는 동작, ON-SNPN에 성공적으로 접속한 UE가 PS로부터 SO-SNPN의 credential을 제어 평면을 이용하여 제공받는 동작을 포함할 수 있다. 다양한 실시 예들은 후술되는 단계들 중 적어도 하나를 포함하여 구현될 수 있다.
도 10a를 참조하면, 도 10a의 1001 단계 내지 1003 단계는 도 5a의 501 단계 내지 503 단계에 대응하므로 그 상세한 설명은 생략하기로 한다.
1004 단계에서 AMF/SEAF는 1002 단계의 결과가 성공했을 경우에, 1002 단계에서 획득한 PS 주소를 기반으로 PS를 찾고, 해당 PS로 인증 통지 메시지를 송신할 수 있다. 인증 통지 메시지는 UE ID 및 PS가 UPU 과정을 ON-SNPN의 UDM에 요청하기 위해 필요한 UDM의 주소를 포함할 수 있다. 인증 통지 메시지는 UE가 온보딩 과정을 성공적으로 끝맞쳤음을 지시하는 정보를 더 포함할 수도 있다.
1005 단계에서 PS는 1004 단계에서 수신한 인증 통지 메시지에 포함된 UE ID와 1001 단계의 제 2 사전 설정을 통해 UE 제조사로부터 제공받은 UE ID를 비교할 수 있다. PS는 비교 결과를 기반으로 해당 UE가 SO-SNPN의 credential을 제공받아도 되는지 확인할 수 있다. 예를 들어, PS는 인증 통지 메시지에 포함된 UE ID와 1001 단계에서 UE 제조사로부터 제공받은 UE ID가 대응된다면, UE에게 제공할 SO-SNPN의 credential을 찾을 수 있다. PS는 ON-SNPN의 UDM이 제어 평면을 이용한 프로비저닝 과정에서 사용된다고 결정된 경우,해당 결정을 기반으로 PS가 ON-SNPN의 UDM에 프로비저닝을 요청해야 하는 것을 확인할 수 있다.
도 10a의 1005 단계에 이어서 도 10b의 1006 단계가 수행될 수 있다.도 10b를 참조하면, 1006 단계에서 PS는 1004 단계에서 수신한 UDM의 주소를 이용하여 UDM을 찾고, 해당 UDM으로 프로비저닝 요청(Provisioning Request) 메시지를 송신할 수 있다. 프로비저닝 요청 메시지는 UE ID와 1005 단계에서 찾은 SO-SNPN의 credential을 포함할 수 있다.
1007 단계에서 UDM은 1006단계에서 수신한 UE ID와 SO-SNPN의 credential을 기반으로 UPU 과정을 수행할 수 있다. UDM은 UE를 서빙하는 AUSF를 찾고, 해당 AUSF으로 Nausf_UPUProtection 메시지를 송신할 수 있다. Nausf_UPUProtection 메시지는 Onboarding SUPI와 UPU 데이터(SO-SNPN의 credential)을 포함할 수 있다. UDM은 UE가 UPU 데이터를 성공적으로 수신했는지 여부를 체크하기 위해, ACK indication을 Nausf_UPUProtection 메시지에 추가할 수도 있다.
1008 단계에서 AUSF는 Nausf_UPUProtection 메시지에 대한 응답으로, Nausf_UPUProtection Response 메시지를 UDM으로 송신할 수 있다. Nausf_UPUProtection Response 메시지는 AUSF가 K_ausf를 이용하여 계산한 UDM이 제공한 UPU Data의 MAC 값인 UPU-MAC-I_ausf 및 Counter 값인 Counter_upu를 포함할 수 있다. Counter_upu는 0x00 0x00에서 시작하여 UPU-MAC-I_ausf를 계산할 때마다 증가하고, 재전송 공격을 방지할 수 있다.
Nausf_UPUProtection Response 메시지는 Nausf_UPUProtection 메시지에 ACK indication이 포함된 경우 UPU-XMAC-I_ue를 포함할 수 있다.
1009 단계에서 UDM은 UE를 서빙하는 AMF를 찾고, 해당 AMF로 Nudm_SDM_Notification 메시지를 송신할 수 있다. Nudm_SDM_Notification 메시지는UPU 데이터, 1008 단계에서 AUSF로부터 수신한 UPU-MAC-I_ausf 및 Counter_upu를 포함할 수 있다.
1010 단계에서 AMF는 UE에 DL NAS Transport를 송신할 수 있다. DL NAS Transport 메시지는 UPU 데이터, UPU-MAC-I_ausf, Counter_upu를 포함할 수 있다.
1011 단계에서 UE는 UPU-MAC-I_ausf를 입증(verify)하는 동작을 수행할 수 있다. 예를 들어, UE는 UPU 데이터와 Counter_upu를 이용하여 1008 단계에서 AUSF가 계산한 방식으로 MAC 값을 계산하고, 이를 UPU-MAC-I_ausf와 비교할 수 있다. 그리고, UE는 비교 결과를 기반으로 UPU 데이터가 변조되지 않았음을 확인할 수 있다.
1012 단계에서 UE는 1007 단계에서 ACK indication이 제공된 경우, 그리고 1011 단계에서 성공적으로 UPU 데이터가 변조되지 않음을 확인한 경우, 계산된 UPU-MAC-I_ue를 포함하는 UL NAS Transport 메시지를 AMF로 송신할 수 있다. UPU-MAC-I_ue는 Counter_upu 및 UPU Acknowledgement를 기반으로 K_ausf를 사용하여 UE에 의해 계산될 수 있다. 예를 들어, UE는 Counter_upu와 UPU Acknowledgement를 설정된 함수의 인풋(input) 값으로서 이용한 결과(예: Key Derivation Function (Counter_upu, UPU Acknowledgement, ...))와 K_ausf를 사용하여 UE에 의해 계산될 수 있다.
1013 단계에서 AMF는 UL NAS Transport 메시지에 포함된 UPU-MAC-I_ue를 Nudm_SDM_Info 메시지를 통해 DCS로 송신할 수 있다.
1014단계에서 UDM은 Nudm_SDM_Info 메시지에 포함된 UPU-MAC-I_ue와1008 단계에서 수신한 UPU-XMAC-I_ue와 비교하고, 비교 결과를 기반으로 UE가 성공적으로 UPU 데이터를 수신했음을 확인할 수 있다.
도 11은 본 개시의 다양한 실시 예들에 따른 Case 2의 Option C에 기반한 프로비저닝 과정을 나타낸 흐름도이다.
다양한 실시 예들에 따르면, 도 11에 도시된 과정은 AMF가 PS에 인증 통지 메시지를 직접 전달하여 프로비저닝을 트리거링하는 동작, 제어 평면을 이용한 프로비저닝에서 UPU 과정을 수행할 때, ON-SNPN의 UDM이 사용되지 않는 것으로 결정된 경우의 동작, 다른 도메인에 있는 엔티티간의 통신을 최소화하기 위해 최적화된 UPU 과정을 수행하기로 결정된 경우의 동작, ON-SNPN에 성공적으로 접속한 UE가 PS로부터 SO-SNPN의 credential을 제어 평면을 이용하여 제공받는 동작을 포함할 수 있다. 다양한 실시 예들은 후술되는 단계들 중 적어도 하나를 포함하여 구현될 수 있다.
도 11을 참조하면, 도 11의 1101 단계 내지 1103 단계는 도 5a의 501 단계 내지 503 단계에 대응하므로 그 상세한 설명은 생략하기로 한다.
1104단계에서 AMF/SEAF는 1102 단계의 결과가 성공했을 경우에, 1102 단계에서 획득한 PS 주소를 기반으로 PS를 찾고, 해당 PS로 인증 통지 메시지를 송신할 수 있다. 인증 통지 메시지는 UE ID 및 PS가 UPU 과정을 수행하기 위해 필요한 AUSF 주소를 포함할 수 있다. 인증 통지 메시지는 UE가 온보딩 과정을 성공적으로 끝맞쳤음을 지시하는 정보를 더 포함할 수도 있다.
1105 단계에서 PS는 1104 단계에서 수신한 인증 통지 메시지에 포함된 UE ID와 1101 단계의 제 2 사전 설정을 통해 UE 제조사로부터 제공받은 UE ID를 비교할 수 있다. PS는 비교 결과를 기반으로 해당 UE가 SO-SNPN의 credential을 받아도 제공되는지 확인할 수 있다. 예를 들어, PS는 인증 통지 메시지에 포함된 UE ID와 1001 단계에서 UE 제조사로부터 제공받은 UE ID가 대응된다면, UE에게 제공할 SO-SNPN의 credential을 찾을 수 있다. PS는 "서로 다른 도메인에 있는 엔티티간에 통신을 최소화하기 위해 최적화된 UPU 과정을 진행한다는 결정"을 기반으로 AUSF에 UPU 과정을 요청할 수 있다. 이에 따라 후술되는 UPU 과정은 AUSF에 의해 수행될 수 있다.
1106 단계에서 PS는 1104 단계에서 수신한 AUSF의 주소를 이용하여 AUSF를 찾고, AUSF로 Nausf_UPUProtection 메시지를 송신할 수 있다. Nausf_UPUProtection 메시지는 1105 단계에서 찾은 SO-SNPN의 credential과 UE ID를 포함할 수 있다. PS는 UE가 UPU 데이터를 성공적으로 수신했는지 여부를 체크하기 위해, ACK indication을 Nausf_UPUProtection 메시지에 추가할 수도 있다.
1107 단계에서 AUSF는 Nausf_UPUProtection 메시지에 대한 응답으로, Nausf_UPUProtection Response 메시지를 PS로 송신할 수 있다. Nausf_UPUProtection Response 메시지는 Nausf_UPUProtection 메시지에 ACK indication이 포함된 경우 UPU-XMAC-I_ue를 포함할 수 있다.
1108 단계에서 AUSF는 AMF를 찾고, 해당 AMF로 Nudm_SDM_Notification 메시지를 송신할 수 있다. Nudm_SDM_Notification 메시지는 UPU 데이터, 1106단계에서 수신한 UPU Data를 이용해 K_ausf로 계산한 UPU-MAC-I_ausf 및 Counter_upu를 포함할 수 있다. Counter_upu는 0x00 0x00에서 시작하여 UPU-MAC-I_ausf를 계산할 때마다 증가하고, 재전송 공격을 방지할 수 있다. 다양한 실시 예들에 따라, 최적화된 UPU 과정을 수행하기 위해 Nudm_SDM_Notification 서비스 대신 새로운 서비스가 정의될 수도 있다.
1109 단계에서 AMF는 UE에 DL NAS Transport를 송신할 수 있다. DL NAS Transport 메시지는 UPU 데이터, UPU-MAC-I_ausf, 및 Counter_upu를 포함할 수 있다.
1110 단계에서 UE는 UPU-MAC-I_ausf를 입증(verify)하는 동작을 수행할 수 있다. 예를 들어, UE는 UPU 데이터와 Counter_upu를 이용하여 1107 단계 이후에 AUSF가 계산한 방식으로 MAC 값을 계산하고, 이를 UPU-MAC-I_ausf와 비교할 수 있다. 그리고, UE는 비교 결과를 기반으로 UPU 데이터가 변조되지 않았음을 확인할 수 있다.
1111 단계에서 UE는 1106 단계에서 ACK indication이 제공된 경우, 그리고 1110 단계에서 성공적으로 UPU 데이터가 변조되지 않음을 확인한 경우, 계산된 UPU-MAC-I_ue를 포함하는 UL NAS Transport 메시지를 AMF로 송신할 수 있다 UPU-MAC-I_ue는 Counter_upu 및 UPU Acknowledgement를 기반으로 K_ausf를 사용하여 UE에 의해 계산될 수 있다. 예를 들어, UE는 Counter_upu와 UPU Acknowledgement를 설정된 함수의 인풋(input) 값으로서 이용한 결과(예: Key Derivation Function (Counter_upu, UPU Acknowledgement, ...))와 K_ausf를 사용하여 UE에 의해 계산될 수 있다.
1112 단계에서 AMF는 UL NAS Transport 메시지에 포함된 UPU-MAC-I_ue를 Nudm_SDM_Info 메시지를 통해 PS로 송신할 수 있다.
1113 단계에서 PS는 Nudm_SDM_Info 메시지에 포함된 UPU-MAC-I_ue와 1107 단계에서 수신한 UPU-XMAC-I_ue와 비교하고, 비교 결과를 기반으로 UE가 성공적으로 UPU 데이터를 수신했음을 확인할 수 있다.
도 12는 본 개시의 다양한 실시 예들에 따른 Case 2의 Option D에 기반한 프로비저닝 과정을 나타낸 흐름도이다.
다양한 실시 예들에 따르면, 도 12에 도시된 과정은 AMF가 PS에 인증 통지 메시지를 직접 전달하여 프로비저닝을 트리거링하는 동작, 제어 평면을 이용한 프로비저닝에서 UPU 과정을 수행할 때, ON-SNPN의 UDM의 사용 여부가 결정되지 않은 경우의 동작, UDM의 사용 여부가 ON-SNPN의 사업자에 의해 결정되거나, 최적화 된 UPU 과정이 사용될지 여부에 따라, AMF가 DCS에 지시자를 제공하여 제어 평면을 이용한 UPU 과정이 결정되는 동작을 포함할 수 있다. 다양한 실시 예들은 후술되는 단계들 중 적어도 하나를 포함하여 구현될 수 있다.
도 12를 참조하면, 도 12의 1201 단계 내지 1203 단계는 도 5a의 501 단계 내지 503 단계에 대응하므로 그 상세한 설명은 생략하기로 한다.
1204 단계에서 AMF는 1202 단계의 결과가 성공했을 경우에, 1202 단계에서 받은 PS 주소를 이용하여 PS를 찾고, 해당 PS로 인증 통지 메시지를 송신할 수 있다. 인증 통지 메시지는 UE ID, PS가 후에 진행되는 UPU 과정을 선택하기 위한 지시자, 및 UPU 과정을 위해 필요한 NF의 주소(들)를 PS에 전달할 수 있다. UE ID는 Onboarding SUPI, IMEI, 혹은 PS가 식별할 수 있는 다른 ID일 수도 있다. 인증 통지 메시지는 UE가 온보딩 과정을 성공적으로 끝맞쳤음을 지시하는 정보를 더 포함할 수도 있다.
인증 통지 메시지에 포함되는 지시자는 설정된 값들 중 하나를 지시할수 있다. 예를 들어, 지시자는 Case 2의 Option A, Option B, 및 Option C 중 하나를 지시하는 값을 나타낼 수 있다.
ON-SNPN의 사업자가 UDM의 사용을 온보딩과 프로비저닝 과정에 제공하기를 원치 않는다거나 ON-SNPN의 UDM이 해당 과정에서는 사용되지 않을 것이 결정된 경우, 지시자는 Case 2의 Option A를 지시하는 값(예: "1")을 나타낼 수 있다. 지시자가 "1"을 나타내는 경우, 도 9의 "ON-SNPN의 UDM이 사용되지 않고, PS가 UPU 과정의 UDM 역할을 수행"하고 AMF가 PS에 AUSF 주소와 AMF 주소를 제공할 수 있다.
ON-SNPN의 사업자가 UDM의 사용을 허용하거나 ON-SNPN의 UDM이 해당 과정에서 사용되는 것이 결정된 경우, 지시자는 Case 2의 Option B를 지시하는 값(예: "2")을 나타낼 수 있다. 지시자가 "2"를 나타내는 경우, 도 10a 및 도 10b의 "ON-SNPN의 UDM이 사용되고, UPU 과정의 UDM 역할을 ON-SNPN의 UDM이 수행"하고 AMF가 PS에 UDM 주소를 제공할 수 있다.
최적화된 UPU 과정을 진행하는 것이 결정된경우, 지시자는 Case 2의 Option C를 지시하는 값(예: "3")을 나타낼 수 있다. 지시자가 "3"을 나타내는 경우, 도 11의 "ON-SNPN의 UDM이 사용되지 않고 최적화된 UPU 과정을 수행"하고 AMF가 DCS에 AUSF 주소를 제공할 수 있다.
1205 단계에서 PS는 1204 단계에서 수신한 지시자가 "1"을 나타내는 경우 도 9의 905-913 단계를 수행할 수 있다. 그리고, PS는 1204 단계에서 수신한 지시자가 "2"를 나타내는 경우 도 10a 및 도 10b의 1005-1014 단계를 수행할 수 있다. 또한, PS는 1204 단계에서 수신한 지시자가 "3"을 나타내는 경우 도 11의 1105-1113 단계를 수행하고 UPU 과정을 끝마칠 수 있다.
다음으로, 도 13a 내지 도 16을 참조하여 Case 3(AUSF가 PS에 인증 통지 메시지를 직접 전달하여 프로비저닝을 트리거링하는 케이스)에 대해 수행될 수 있는 과정들을 설명하기로 한다.
< Case 3 >
도 13a 및 도 13b는 본 개시의 다양한 실시 예들에 따른 Case 3의 Option A에 기반한 프로비저닝 과정을 나타낸 흐름도이다.
다양한 실시 예들에 따르면, 도 13a 및 도 13b에 도시된 과정은 AUSF가 PS에 인증 통지 메시지를 직접 전달하여 프로비저닝을 트리거링하는 동작, 제어 평면을 이용한 프로비저닝에서 UPU 과정을 수행할 때, ON-SNPN의 UDM이 사용되지 않는 경우의 동작, ON-SNPN에 성공적으로 접속한 UE가 PS로부터 SO-SNPN의 credential을 제어 평면을 이용하여 제공받는 동작을 포함할 수 있다.다양한 실시 예들은 후술되는 단계들 중 적어도 하나를 포함하여 구현될 수 있다.
도 13a를 참조하면, 도 13a의 1301 단계 내지 1303 단계는 도 5a의 501 단계 내지 503 단계에 대응하므로 그 상세한 설명은 생략하기로 한다.
1304 단계에서 AMF는 제 1 인증 통지 메시지를 AUSF로 송신할 수 있다. 제 1 인증 통지 메시지는 UE ID를 포함할 수 있다. 또한, 제 1 인증 통지 메시지는 UE가 온보딩 과정을 성공적으로 끝맞쳤음을 지시하는 정보를 더 포함할 수도 있다
1305 단계에서 AUSF는 1302 단계에서 획득한 PS 주소를 이용하여 PS를 찾고, 해당 PS로 제 2 인증 통지 메시지를 송신할 수 있다. 제 2 인증 통지 메시지는 1304 단계에서 수신한 UE ID 및 PS가 UPU 과정을 수행하기 위해 필요한 AUSF 주소와 AMF 주소를 포함할 수 있다. 제 2 인증 통지 메시지는 UE가 온보딩 과정을 성공적으로 끝맞쳤음을 지시하는 정보를 더 포함할 수도 있다
1306 단계에서 PS는 1305 단계에서 수신한 제 2 인증 통지 메시지에 포함된 UE ID와 1301 단계의 제 2 사전 설정을 통해 UE 제조사로부터 제공받은 UE ID를 비교할 수 있다. PS는 비교 결과를 기반으로 해당 UE가 SO-SNPN의 credential을 제공받아도 되는지 확인할 수 있다. 예를 들어, PS는 제 2 인증 통지 메시지에 포함된 UE ID와 1301 단계에서 UE 제조사로부터 제공받은 UE ID가 대응된다면, UE에게 제공할 SO-SNPN의 credential 을 찾을 수 있다. PS는 ON-SNPN의 UDM이 제어 평면을 이용한 프로비저닝 과정에서 사용되지 않는다고 결정된 경우, 해당 결정을 기반으로 PS가 UPU 과정의 UDM 역할을 수행해야 하는 것을 확인할 수 있다.
도 13a의 1306 단계에 이어서 도 13b의 1307 단계가 수행될 수 있다. 도 13b의 1307 내지 1314 단계는 도 9의 906 내지 913 단계에 대응하므로 그 상세한 설명은 생략하도록 한다.
도 14a 및 도 14b는 본 개시의 다양한 실시 예들에 따른 Case 3의 Option B에 기반한 프로비저닝 과정을 나타낸 흐름도이다.
다양한 실시 예들에 따르면, 도 14a 및 도 14b에 도시된 과정은 AUSF가 PS에 인증 통지 메시지를 직접 전달하여 프로비저닝을 트리거링하는 동작, 제어 평면을 이용한 프로비저닝에서 UPU 과정을 수행할 때, ON-SNPN의 UDM이 사용되는 것으로 결정된 경우 UDM이 사용되는 동작, ON-SNPN에 성공적으로 접속한 UE가 PS로부터 SO-SNPN의 credential을 제어 평면을 이용하여 제공받는 동작을 포함할 수 있다. 다양한 실시 예들은 후술되는 단계들 중 적어도 하나를 포함하여 구현될 수 있다.
도 14a를 참조하면, 도 14a의 1401 단계 내지 1403 단계는 도 5a의 501 단계 내지 503 단계에 대응하므로 그 상세한 설명은 생략하기로 한다.
1404 단계에서 AMF/SEAF는 제 1 인증 통지 메시지를 AUSF로 송신할 수 있다. 제 1 인증 통지 메시지는 UE ID를 포함할 수 있다. 또한, 제 1 인증 통지 메시지는 UE가 온보딩 과정을 성공적으로 끝맞쳤음을 지시하는 정보를 더 포함할 수도 있다.
1405 단계에서 AUSF는 1402 단계에서 획득한 PS 주소를 이용하여 PS를 찾고, 해당 PS로 제 2 인증 통지 메시지를 송신할 수 있다. 제 2 인증 통지 메시지는 1404 단계에서 수신한 UE ID 및 PS가 UPU 과정을 수행하기 필요한 UDM 주소를 포함할 수 있다. 제 2 인증 통지 메시지는 UE가 온보딩 과정을 성공적으로 끝맞쳤음을 지시하는 정보를 더 포함할 수도 있다.
1406 단계에서 PS는 1405 단계에서 수신한 제 2 인증 통지 메시지에 포함된 UE ID와 1401 단계의 제 2 사전 설정을 통해 UE 제조사로부터 제공받은 UE ID를 비교할 수 있다. PS는 비교 결과를 기반으로 해당 UE가 SO-SNPN의 credential을 제공받아도 되는지 확인할 수 있다. 예를 들어, PS는 제 2 인증 통지 메시지에 포함된 UE ID와 1401 단계에서 UE 제조사로부터 제공받은 UE ID가 대응된다면, UE에게 제공할 SO-SNPN의 credential을 찾을 수 있다. PS는 ON-SNPN의 UDM이 제어 평면을 이용한 프로비저닝 과정에서 사용된다고 결정된 경우, 해당 결정을 기반으로 PS가 ON-SNPN의 UDM에 프로비저닝을 요청해야 하는 것을 확인할 수 있다.
도 14a의 1406 단계에 이어서 도 14b의 1407 단계가 수행될 수 있다. 도 14b의 1407 내지 1415 단계는 도 10b의 1006 내지 1014 단계에 대응하므로 그 상세한 설명은 생략하도록 한다.
도 15a 및 도 15b는 본 개시의 다양한 실시 예들에 따른 Case 3의 Option C에 기반한 프로비저닝 과정을 나타낸 흐름도이다.
다양한 실시 예들에 따르면, 도 15a 및 도 15b에 도시된 과정은 AUSF가 PS에 인증 통지 메시지를 직접 전달하여 프로비저닝을 트리거링하는 동작, 제어 평면을 이용한 프로비저닝에서 UPU 과정을 수행할 때, ON-SNPN의 UDM이 사용되지 않는 것으로 결정된 경우의 동작, 다른 도메인에 있는 엔티티간의 통신을 최소화하기 위해 최적화된 UPU 과정을 수행하기로 결정된 경우의 동작, ON-SNPN에 성공적으로 접속한 UE가 PS로부터 SO-SNPN의 credential을 제어 평면을 이용하여 제공받는 동작을 포함할 수 있다. 다양한 실시 예들은 후술되는 단계들 중 적어도 하나를 포함하여 구현될 수 있다.
도 15a를 참조하면, 도 15a의 1501 단계 내지 1503 단계는 도 5a의 501 단계 내지 503 단계에 대응하므로 그 상세한 설명은 생략하기로 한다.
1504 단계에서 AMF는 제 1 인증 통지 메시지를 AUSF로 송신할 수 있다. 제 1 인증 통지 메시지는 UE ID를 포함할 수 있다. 또한, 제 1 인증 통지 메시지는 UE가 온보딩 과정을 성공적으로 끝맞쳤음을 지시하는 정보를 더 포함할 수도 있다.
1505 단계에서 AUSF는 1502 단계에서 받은 PS 주소를 이용하여 PS를 찾고, 해당 PS로 제 2 인증 통지 메시지를 송신할 수 있다. 제 2 인증 통지 메시지는 1504 단계에서 수신한 UE ID 및 PS가 UPU 과정을 수행하기 위해 필요한 AUSF 주소를 포함할 수 있다. 제 2 인증 통지 메시지는 UE가 온보딩 과정을 성공적으로 끝맞쳤음을 지시하는 정보를 더 포함할 수도 있다.
1506 단계에서 PS는 1505 단계에서 수신한 제 2 인증 통지 메시지에 포함된 UE ID와 1501 단계의 제 2 사전 설정을 통해 UE 제조사로부터 wprhd받은 UE ID를 비교할 수 있다. PS는 비교 결과를 기반으로 해당 UE가 SO-SNPN의 credential을 제공받아도 되는지 확인할 수 있다. 예를 들어, PS는 제 2 인증 통지 메시지에 포함된 UE ID와 1501 단계에서 UE 제조사로부터 제공받은 UE ID가 대응된다면, UE에게 제공할 SO-SNPN의 credential을 찾을 수 있다. PS는 "서로 다른 도메인에 있는 엔티티간에 통신을 최소화하기 위해 최적화된 UPU 과정을 진행한다는 결정"을 기반으로 AUSF에 UPU 과정을 요청할 수 있다. 후술되는 UPU 과정은 AUSF에 의해 수행될 수 있다.
도 15a의 1306 단계에 이어서 도 15b의 1507 단계가 수행될 수 있다. 도 15b의 1507 내지 1512 단계, 및 1515 단계는 도 11의 1106 내지 1111 단계, 및 1113에 대응할 수 있다. 다만, 도 11의 1112 단계에서는 AMF가 UPU-MAC-I_ue를 포함하는 Nudm_SDM_Info 메시지를 PS로 바로 송신할 수 있으나, 도 15b의 1513에서는 AMF가 UPU-MAC-I_ue를 포함하는 Nudm_SDM_Info 메시지를 AUSF를 통해 PS로 송신할 수 있다. 도 16은 본 개시의 다양한 실시 예들에 따른 Case 3의 Option D에 기반한 프로비저닝 과정을 나타낸 흐름도이다.
다양한 실시 예들에 따르면, 도 16에 도시된 과정은 AUSF가 PS에 인증 통지 메시지를 직접 전달하여 프로비저닝을 트리거링하는 동작, 제어 평면을 이용한 프로비저닝에서 UPU 과정을 수행할 때, ON-SNPN의 UDM의 사용 여부가 결정되지 않은 경우의 동작, UDM의 사용 여부가 ON-SNPN의 사업자에 의해 결정되거나, 최적화 된 UPU 과정이 사용될지 여부에 따라, AMF가 DCS에 지시자를 제공하여 제어 평면을 이용한 UPU 과정이 결정되는 동작을 포함할 수 있다. 다양한 실시 예들은 후술되는 단계들 중 적어도 하나를 포함하여 구현될 수 있다.
도 16을 참조하면, 도 16의 1601 단계 내지 1603 단계는 도 5a의 501 단계 내지 503 단계에 대응하므로 그 상세한 설명은 생략하기로 한다.
1604 단계에서 AMF는 제 1 인증 통지 메시지를 AUSF로 송신할 수 있다. 제 1 인증 통지 메시지는 UE ID를 포함할 수 있다. 또한, 제 1 인증 통지 메시지는 UE가 온보딩 과정을 성공적으로 끝맞쳤음을 지시하는 정보를 더 포함할 수도 있다.
1605 단계에서 AUSF는 1502 단계에서 받은 PS 주소를 이용하여 PS를 찾고, 해당 PS로 제 2 인증 통지 메시지를 송신할 수 있다. 제 2 인증 통지 메시지는 UE ID, PS가 후에 진행되는 UPU 과정을 선택하기 위한지시자, 그리고 UPU 과정을 위해 필요한 NF의 주소(들)를 포함할 수 있다. UE ID는 Onboarding SUPI, IMEI, 혹은 PS가 식별할 수 있는 다른 ID일 수도 있다. 제 2 인증 통지 메시지는 UE가 온보딩 과정을 성공적으로 끝맞쳤음을 지시하는 정보를 더 포함할 수도 있다.
제 2 인증 통지 메시지에 포함되는 지시자는 설정된 값들 중 하나를 지시할수 있다. 예를 들어, 지시자는 Case 3의 Option A, Option B, 및 Option C 중 하나를 지시하는 값을 나타낼 수 있다.
ON-SNPN의 사업자가 UDM의 사용을 온보딩과 프로비저닝 과정에 제공하기를 원치 않는다거나 ON-SNPN의 UDM이 해당 과정에서는 사용되지 않을 것이 결정된 경우, 지시자는 Case 2의 Option A를 지시하는 값(예: "1")을 나타낼 수 있다. 지시자가 "1"을 나타내는 경우, 도 13a 및 도 13b의 "ON-SNPN의 UDM이 사용되지 않고, PS가 UPU 과정의 UDM 역할을 수행"하고 AMF가 PS에 AUSF 주소와 AMF 주소를 제공할 수 있다.
ON-SNPN의 사업자가 UDM의 사용을 허용하거나 ON-SNPN의 UDM이 해당 과정에서 사용되는 것이 하나의 옵션으로 결정된 경우, 지시자는 Case 2의 Option B를 지시하는 값(예: "2")을 나타낼 수 있다. 지시자가 "2"를 나타내는 경우, 도 14a 및 도 14b의 "ON-SNPN의 UDM이 사용되고, UPU 과정의 UDM 역할을 ON-SNPN의 UDM이 수행"하고 AMF가 PS에 UDM 주소를 제공할 수 있다.
최적화된 UPU 과정을 진행하는 것이 결정된 경우, 지시자는 Case 2의 Option C를 지시하는 값(예: "3")을 나타낼 수 있다. 지시자가 "3"을 나타내는 경우, 도 15a 및 도 15b의 "ON-SNPN의 UDM이 사용되지 않고 최적화된 UPU 과정을 수행"하고 AMF가 DCS에 AUSF 주소를 제공할 수 있다.
1606 단계에서 PS는 1605 단계에서 수신한 지시자가 "1"을나타내는 경우, 도 13a 및 도 13b의 1306-1314 단계를 수행할 수 있다. 그리고, PS는 1605 단계에서 수신한 지시자가 "2"를 나타내는 경우, 도 14a 및 도 14b의 1406-1415 단계를 수행할 수 있다. 또한, PS는 1605 단계에서 수신한 지시자가 "3"을 나타내는 경우, 도 15a 및 도 15b의 1506-1515 단계를 수행하여 UPU 과정을 끝마칠 수 있다.
도 17은 본 개시의 다양한 실시 예들에 따른 단말의 블록 구성도이다.
도 17을 참조하면, 단말은 송수신부(1720) 및 단말의 전반적인 동작을 제어하는 제어부(1710)를 포함할 수 있다. 송수신부(1720)는 송신부(1725) 및 수신부(1723)를 포함할 수 있다.
송수신부(1720)는 다른 네트워크 엔티티들(예를 들어, 초기 AMF 또는 기지국)과 신호를 송수신할 수 있다.
제어부(1710)는 상술한 다양한 실시 예들 중 어느 하나의 동작을 수행하도록 단말을 제어할 수 있다. 제어부(1710) 및 송수신부(1720)는 반드시 별도의 모듈들로 구현되어야 하는 것은 아니고, 단일 칩과 같은 형태로 하나의 구성부로 구현될 수 있음은 물론이다. 제어부(1710) 및 송수신부(1720)는 전기적으로 연결될 수 있다. 일 실시 예에서 제어부(1710)는 회로(circuit), 어플리케이션 특정(application-specific) 회로, 또는 적어도 하나의 프로세서(processor)일 수 있다. 또한, 단말의 동작들은 해당 프로그램 코드를 저장한 메모리 장치를 단말 내의 구성부(예를 들어 제어부(1710) 및/또는 도시되지 않은 다른 구성 요소)에 구비함으로써 실현될 수 있다.
도 18은 본 개시의 다양한 실시 예들에 따른 네트워크 엔티티(network entity)의 블록 구성도이다. 도 18에 도시된 네트워크 엔티티는 시스템 구현에 따라 적어도 하나의 NF(예를 들어, 기지국, 초기 AMF, 타겟 AMF, 기존 AMF, NSSF, NRF, 또는 UDM)을 포함할 수 있다.
도 18을 참조하면, 네트워크 엔티티는 송수신부(1820) 및 네트워크 엔티티의 전반적인 동작을 제어하는 제어부(1810)를 포함할 수 있다. 송수신부(1820)는 송신부(1825) 및 수신부(1823)를 포함할 수 있다.
송수신부(1820)는 단말 또는 다른 네트워크 엔티티들과 신호를 송수신할 수 있다.
제어부(1810)는 상술한 실시 예들 중 어느 하나의 동작을 수행하도록 네트워크 엔티티를 제어할 수 있다. 제어부(1810) 및 송수신부(1820)는 반드시 별도의 모듈들로 구현되어야 하는 것은 아니고, 단일 칩과 같은 형태로 하나의 구성부로 구현될 수 있음은 물론이다. 제어부(1810) 및 송수신부(1820)는 전기적으로 연결될 수 있다. 일 실시 예에서 제어부(1810)는 회로(circuit), 어플리케이션 특정(application-specific) 회로, 또는 적어도 하나의 프로세서(processor)일 수 있다. 또한, 네트워크 엔티티의 동작들은 해당 프로그램 코드를 저장한 메모리 장치를 네트워크 엔티티 내의 구성부(예를 들어 제어부(1810) 및/또는 도시되지 않은 다른 구성요소)에 구비함으로써 실현될 수 있다.
도 1 내지 도 18이 예시하는 구성도, 제어/데이터 신호 송수신 방법의 예시도, 동작 절차 예시도들은 본 개시의 실시 예들의 권리범위를 한정하기 위한 의도가 없음을 유의하여야 한다. 즉, 도 1 내지 도 18에 기재된 모든 구성부, 엔티티, 또는 동작의 단계가 개시의 실시를 위한 필수구성요소인 것으로 해석되어서는 안되며, 일부 구성요소 만을 포함하여도 개시의 본질을 해치지 않는 범위 내에서 구현될 수 있다.
앞서 설명한 실시 예들의 동작들은 해당 프로그램 코드를 저장한 메모리 장치를 장치 내의 임의의 구성부에 구비함으로써 실현될 수 있다. 즉, 장치 내의 제어부는 메모리 장치 내에 저장된 프로그램 코드를 프로세서 혹은 CPU(Central Processing Unit)에 의해 읽어내어 실행함으로써 앞서 설명한 동작들을 실행할 수 있다.
본 명세서에서 설명되는 엔티티, 또는 단말 장치의 다양한 구성부들과, 모듈(module)등은 하드웨어(hardware) 회로, 일 예로 상보성 금속 산화막 반도체(complementary metal oxide semiconductor) 기반 논리 회로와, 펌웨어(firmware)와, 소프트웨어(software) 및/혹은 하드웨어와 펌웨어 및/혹은 머신 판독 가능 매체에 삽입된 소프트웨어의 조합과 같은 하드웨어 회로를 사용하여 동작될 수도 있다. 일 예로, 다양한 전기 구조 및 방법들은 트랜지스터(transistor)들과, 논리 게이트(logic gate)들과, 주문형 반도체와 같은 전기 회로들을 사용하여 실시될 수 있다.
한편 본 개시의 상세한 설명에서는 구체적인 실시 예에 관해 설명하였으나, 본 개시의 범위에서 벗어나지 않는 한도 내에서 여러 가지 변형이 가능함은 물론이다. 그러므로 본 개시의 범위는 설명된 실시 예에 국한되어 정해져서는 안되며 후술하는 특허청구의 범위뿐만 아니라 이 특허청구의 범위와 균등한 것들에 의해 정해져야 한다.
Claims (8)
- 무선 통신 시스템에서 제 1 장치의 방법에 있어서,
제 1 네트워크에서 단말과 인증 동작을 수행하고, 상기 단말의 인증이 완료되었음을 지시하는 제 1 메시지를 수신하는 과정과,
상기 제 1 메시지에 포함된 상기 단말의 식별자(identifier: ID) 및 지시자(indicator)를 확인하는 과정과,
상기 단말의 ID를 기반으로 제 2 네트워크의 제 2 장치로부터 상기 제 2 네트워크에서 제공되는 서비스를 이용하기 위한 상기 단말의 자격 증명(credential) 정보를 획득하는 과정과,
상기 지시자가 제 1 값을 포함하는 경우, 상기 단말의 자격 증명 정보를 상기 단말에게 제공하기 위한 단말 파라미터 업데이트 동작을 수행하는 과정을 포함하며,
상기 제 1 값은 상기 제 1 네트워크에서 상기 단말의 데이터를 저장하고 관리하는 제 3 장치가 사용되지 않으며, 상기 제 1 장치가 상기 제 3 장치로서의 동작을 수행할 것을 지시함을 특징으로 하는 방법.
- 제 1 항에 있어서,
상기 지시자가 제 2 값을 포함하는 경우, 상기 단말 파라미터 업데이트 동작을 위해 필요한 상기 단말의 자격 증명 정보를 상기 제 3 장치로 송신하는 과정을 더 포함하며,
상기 제 2 값은 상기 제 1 네트워크에서 상기 제 3 장치가 사용됨을 지시함을 특징으로 하는 방법.
- 제 1 항에 있어서,
상기 지시자가 제 3 값을 포함하는 경우, 상기 단말 파라미터 업데이트 동작을 위해 필요한 상기 단말의 자격 증명 정보를 상기 제 1 네트워크에서 인증 동작을 위해 사용되는 제 4 장치로 송신하는 과정을 더 포함하며,
상기 제 3 값은 상기 제 1 네트워크에서 상기 제 3 장치가 사용되지 않으며, 상기 제 4 장치가 상기 제 3 장치로서의 동작을 수행할 것을 지시함을 특징으로 하는 방법.
- 제 1 항에 있어서,
상기 단말의 자격 증명 정보를 획득하는 과정은,
상기 단말의 ID를 기반으로 상기 제 2 장치의 주소를 식별하는 과정과,
상기 식별된 주소를 기반으로, 상기 단말의 ID가 포함된 제 2 메시지를 상기 제 2 장치로 송신하는 과정과,
상기 제 2 메시지에 대한 응답으로, 상기 제 2 장치로부터 상기 단말의 자격 증명 정보를 획득하는 과정을 포함하는 방법.
- 무선 통신 시스템에서 제 1 장치에 있어서,
송수신부와,
적어도 하나의 프로세서를 포함하며,
상기 적어도 하나의 프로세서는,
제 1 네트워크에서 단말과 인증 동작을 수행하고, 상기 송수신부를 통해 상기 단말의 인증이 완료되었음을 지시하는 제 1 메시지를 수신하고,
상기 제 1 메시지에 포함된 상기 단말의 식별자(identifier: ID) 및 지시자(indicator)를 확인하고,
상기 단말의 ID를 기반으로 제 2 네트워크의 제 2 장치로부터 상기 제 2 네트워크에서 제공되는 서비스를 이용하기 위한 상기 단말의 자격 증명(credential) 정보를 획득하고,
상기 지시자가 제 1 값을 포함하는 경우, 상기 단말의 자격 증명 정보를 상기 단말에게 제공하기 위한 단말 파라미터 업데이트 동작을 수행하며,
상기 제 1 값은 상기 제 1 네트워크에서 상기 단말의 데이터를 저장하고 관리하는 제 3 장치가 사용되지 않으며, 상기 제 1 장치가 상기 제 3 장치로서의 동작을 수행할 것을 지시함을 특징으로 하는 제 1 장치.
- 제 4 항에 있어서,
상기 적어도 하나의 프로세서는 상기 지시자가 제 2 값을 포함하는 경우, 상기 단말 파라미터 업데이트 동작을 위해 필요한 상기 단말의 자격 증명 정보를 상기 제 3 장치로 송신하도록 상기 송수신부를 제어하며,
상기 제 2 값은 상기 제 1 네트워크에서 상기 제 3 장치가 사용됨을 지시함을 특징으로 하는 제 1 장치.
- 제 4 항에 있어서,
상기 적어도 하나의 프로세서는 상기 지시자가 제 3 값을 포함하는 경우, 상기 단말 파라미터 업데이트 동작을 위해 필요한 상기 단말의 자격 증명 정보를 상기 제 1 네트워크에서 인증 동작을 위해 사용되는 제 4 장치로 송신하도록 상기 송수신부를 제어하며,
상기 제 3 값은 상기 제 1 네트워크에서 상기 제 3 장치가 사용되지 않으며, 상기 제 4 장치가 상기 제 3 장치로서의 동작을 수행할 것을 지시함을 특징으로 하는 제 1 장치.
- 제 1 항에 있어서,
상기 적어도 하나의 프로세서는,
상기 단말의 ID를 기반으로 상기 제 2 장치의 주소를 식별하고,
상기 식별된 주소를 기반으로, 상기 단말의 ID가 포함된 제 2 메시지를 상기 제 2 장치로 송신하도록 상기 송수신부를 제어하며,
상기 제 2 메시지에 대한 응답으로, 상기 제 2 장치로부터 상기 단말의 자격 증명 정보를 획득함을 특징으로 하는 제 1 장치.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020210160426A KR20230073737A (ko) | 2021-11-19 | 2021-11-19 | 무선 통신 시스템에서 단말의 자격 증명 정보를 프로비저닝하는 방법 및 장치 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020210160426A KR20230073737A (ko) | 2021-11-19 | 2021-11-19 | 무선 통신 시스템에서 단말의 자격 증명 정보를 프로비저닝하는 방법 및 장치 |
Publications (1)
Publication Number | Publication Date |
---|---|
KR20230073737A true KR20230073737A (ko) | 2023-05-26 |
Family
ID=86537342
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020210160426A KR20230073737A (ko) | 2021-11-19 | 2021-11-19 | 무선 통신 시스템에서 단말의 자격 증명 정보를 프로비저닝하는 방법 및 장치 |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR20230073737A (ko) |
-
2021
- 2021-11-19 KR KR1020210160426A patent/KR20230073737A/ko unknown
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20230164540A1 (en) | Method and apparatus for accessing cellular network for sim profile | |
EP3849252B1 (en) | Apparatus and method for supporting access to private mobile communication network and carrier mobile communication network | |
US12114380B2 (en) | Apparatus and method for providing interworking of network slices in wireless communication system | |
US20220338000A1 (en) | Method and device for activating 5g user | |
WO2021136211A1 (zh) | 授权结果的确定方法及装置 | |
KR20210020696A (ko) | 무선통신 시스템에서 액세스 제어, 관리 및 보호 방법 및 장치 | |
KR20210088306A (ko) | 단말의 사설망 접속 제어 방법 | |
KR20230071551A (ko) | 통신 시스템에서 원격 권한 설정을 위한 단말 인증을 위한 방법 및 장치 | |
CN115669081A (zh) | 发现和选择用于供应ue订户数据的网络的方法和装置 | |
JP7505022B2 (ja) | 通信方法、装置およびシステム | |
KR20230073737A (ko) | 무선 통신 시스템에서 단말의 자격 증명 정보를 프로비저닝하는 방법 및 장치 | |
KR20230022761A (ko) | 이동통신 시스템에서 사용자 장치의 온보딩을 위한 등록 및 세션 설정 방법 및 장치 | |
KR20220153405A (ko) | 무선 통신 시스템에서 서비스 중단 최소화를 지원하기 위한 장치 및 방법 | |
KR20230105957A (ko) | 제어 평면을 이용하여 credential을 UE에 프로비저닝 시 종단 보안 형성을 위한 방법 및 장치 | |
KR20210040776A (ko) | 5g 사용자 활성화 방법 및 장치 | |
US20240373220A1 (en) | Method and apparatus for authenticating user equipment in wireless communication system | |
US20240214902A1 (en) | Method and apparatus for reassignment of access and mobility management function in communication system | |
US20230209339A1 (en) | Method and apparatus retrieving and selecting server for terminal authentication and subscriber data transmission | |
US20230164643A1 (en) | Method and apparatus for improving quality of media service | |
KR20230051000A (ko) | 무선 통신 시스템에서 단말 온보딩을 위한 단말 등록의 제한에 대한 방법 및 장치 | |
KR20230022741A (ko) | 무선 통신 시스템에서 ue 온보딩을 위한 등록 해제 타이머를 제어하기 위한 장치 및 방법 | |
EP4007330A1 (en) | Method and apparatus for protecting information in wireless communication system | |
KR20230071541A (ko) | 단말 원격 권한 설정을 위한 제어 평면 또는 사용자 평면의 선택을 위한 방법 및 장치 | |
US20220124862A1 (en) | Method and device for processing nas message information in wireless communication system | |
KR20230018204A (ko) | 무선 통신 시스템에서 단말의 프로토콜 데이터 유닛 세션의 관리를 위한 방법 및 장치 |