WO2024014640A1

WO2024014640A1 - 무선 통신 시스템에서 단말 인증 방법 및 장치

Info

Publication number: WO2024014640A1
Application number: PCT/KR2023/001695
Authority: WO
Inventors: 김안빈; 윤명준
Original assignee: LG Electronics Inc
Current assignee: LG Electronics Inc
Priority date: 2022-07-14
Filing date: 2023-02-07
Publication date: 2024-01-18
Anticipated expiration: 2025-01-14
Also published as: US20260025656A1; EP4557791A1; EP4557791A4

Abstract

본 개시는 무선 통신 시스템에서 AMF의 동작 방법에 있어서, 단말로부터 1차 인증에 기초한 메시지를 수신하는 단계로서, 메시지는 SUCI 또는 5G-GUTI 중 어느 하나를 포함하고, 메시지에 기초하여 SUCI 또는 SUPI 서빙 네트워크 네임을 포함하는 인증 요청 메시지를 AUSF로 전송하는 단계 및 AUSF로부터 인증 응답 메시지를 수신하는 단계를 포함하되, 단말이 로밍된 단말이고 AKMA가 지원되는 경우, 인증 응답 메시지는 AKMA 앵커 키 및 AKMA 앵커 키를 지시하는 A-KID를 포함하고, AMF는 SUPI, AKMA 앵커 키 및 A-KID에 기초하여 AAnF로 AKMA 앵커 키 등록 절차를 수행할 수 있다.

Description

무선 통신 시스템에서 단말 인증 방법 및 장치

이하의 설명은 무선 통신 시스템에 대한 것으로, 단말의 인증을 수행하는 방법에 대한 것이다. 구체적으로, 단말이 로밍 상황인 경우, AKMA(authentication and key management for applications) 서비스 지원을 위해 AKMA 키 등록 절차를 수행하는 방법에 대한 것이다.

무선 접속 시스템이 음성이나 데이터 등과 같은 다양한 종류의 통신 서비스를 제공하기 위해 광범위하게 전개되고 있다. 일반적으로 무선 접속 시스템은 가용한 시스템 자원(대역폭, 전송 파워 등)을 공유하여 다중 사용자와의 통신을 지원할 수 있는 다중 접속(multiple access) 시스템이다. 다중 접속 시스템의 예들로는 CDMA(code division multiple access) 시스템, FDMA(frequency division multiple access) 시스템, TDMA(time division multiple access) 시스템, OFDMA(orthogonal frequency division multiple access) 시스템, SC-FDMA(single carrier frequency division multiple access) 시스템 등이 있다.

특히, 많은 통신 기기들이 큰 통신 용량을 요구하게 됨에 따라 기존 RAT(radio access technology)에 비해 향상된 모바일 브로드밴드(enhanced mobile broadband, eMBB) 통신 기술이 제안되고 있다. 또한 다수의 기기 및 사물들을 연결하여 언제 어디서나 다양한 서비스를 제공하는 mMTC(massive machine type communications) 뿐만 아니라 신뢰성 (reliability) 및 지연(latency) 민감한 서비스/UE(user equipment)를 고려한 통신 시스템이 제안되고 있다. 이를 위한 다양한 기술 구성들이 제안되고 있다.

본 개시는 무선 통신 시스템에서 단말의 인증을 수행하는 방법 및 장치를 제공할 수 있다.

본 개시는 무선 통신 시스템에서 단말이 로밍 상황인 경우, VPLMN(visited PLMN)에서 AKMA 키 등록 절차를 수행하는 방법 및 장치를 제공할 수 있다.

본 개시는 무선 통신 시스템에서 AUSF(authentication server function)가 단말의 로밍 여부를 판단하는 방법 및 장치를 제공할 수 있다.

본 개시는 무선 통신 시스템에서 단말의 1차 인증 후 AKMA 키를 HPLMN의 AAnF(AKMA anchor function) 및 VPLMN의 AAnF에 등록하는 방법 및 장치를 제공할 수 있다.

본 개시는 무선 통신 시스템에서 VPLMN의 AMF(access and mobility management function)를 통해 VPLMN의 AAnF에 AKMA 키를 등록하는 방법 및 장치를 제공할 수 있다.

본 개시에서 이루고자 하는 기술적 목적들은 이상에서 언급한 사항들로 제한되지 않으며, 언급하지 않은 또 다른 기술적 과제들은 이하 설명할 본 개시의 실시 예들로부터 본 개시의 기술 구성이 적용되는 기술분야에서 통상의 지식을 가진 자에 의해 고려될 수 있다.

본 개시의 일 예로서, 무선 통신 시스템에서 AMF(access and mobility management function)의 동작 방법에 있어서, 단말로부터 1차 인증(primary authentication)에 기초한 메시지를 수신하는 단계로서, 메시지는 SUCI(subscription concealed identifier) 또는 5G-GUTI(globally unique temporary identifier) 중 어느 하나를 포함하고, 메시지에 기초하여 SUCI 또는 SUPI(subscriber permanent identifier)와 서빙 네트워크 네임(SN-name)을 포함하는 인증 요청 메시지를 AUSF(authentication server function)로 전송하는 단계 및 AUSF로부터 인증 응답 메시지를 수신하는 단계를 포함하되, 단말이 로밍된 단말이고 AKMA(Authentication and Key Management for Applications)가 지원되는 경우, 인증 응답 메시지는 AKMA 앵커 키 및 AKMA 앵커 키를 지시하는 A-KID를 포함하고, AMF는 SUPI, AKMA 앵커 키 및 A-KID에 기초하여 AAnF(AKMA anchor function)로 AKMA 앵커 키 등록 절차를 수행할 수 있다.

또한, 본 개시의 일 예로서, 무선 통신 시스템에서 동작하는 AMF(access and mobility management function)에 있어서, 적어도 하나의 송수신기, 적어도 하나의 프로세서 및 적어도 하나의 프로세서에 동작 가능하도록 연결되고, 실행될 경우 적어도 하나의 프로세서가 특정 동작을 수행하도록 하는 명령들(instructions)을 저장하는 적어도 하나의 메모리를 포함하고, 특정 동작은: 단말로부터 1차 인증(primary authentication)에 기초한 메시지를 수신하도록 적어도 하나의 송수신기를 제어하되, 메시지는 SUCI(subscription concealed identifier) 또는 5G-GUTI(globally unique temporary identifier) 중 어느 하나를 포함하고, 메시지에 기초하여 SUCI 또는 SUPI(subscriber permanent identifier)와 서빙 네트워크 네임(SN-name)을 포함하는 인증 요청 메시지를 AUSF(authentication server function)로 전송하도록 적어도 하나의 송수신기를 제어하고, 및 AUSF로부터 인증 응답 메시지를 수신하도록 적어도 하나의 송수신기를 제어하되, 단말이 로밍된 단말이고 AKMA(Authentication and Key Management for Applications)가 지원되는 경우, 인증 응답 메시지는 AKMA 앵커 키 및 AKMA 앵커 키를 지시하는 A-KID를 포함하고, AMF는 SUPI, AKMA 앵커 키 및 A-KID에 기초하여 AAnF(AKMA anchor function)로 AKMA 앵커 키 등록 절차를 수행할 수 있다.

또한, 본 개시의 일 예로서, 무선 통신 시스템에서 단말 동작 방법에 있어서, 1차 인증(primary authentication)에 기초한 메시지를 AMF(access and mobility management function)로 전송하는 단계로서, 메시지는 SUCI(subscription concealed identifier) 또는 5G-GUTI(globally unique temporary identifier) 중 어느 하나를 포함하고, 및 단말이 AKMA(Authentication and Key Management for Applications)를 지원하는 경우, 네트워크 루트 키에 기초하여 AKMA 앵커 키 및 AKMA 앵커 키를 지시하는 A-KID를 생성하는 단계 및 네트워크에 대한 인증을 완료하는 단계를 포함하되, 단말이 로밍된 단말인 경우, AMF는 AKMA 앵커 키 및 AKMA 앵커 키를 지시하는 A-KID를 획득하여 AAnF(AKMA anchor function)로 AKMA 앵커 키 등록 절차를 수행할 수 있다.

또한, 본 개시의 일 예로서, 무선 통신 시스템에서 동작하는 단말에 있어서, 적어도 하나의 송수신기, 적어도 하나의 프로세서 및 적어도 하나의 프로세서에 동작 가능하도록 연결되고, 실행될 경우 적어도 하나의 프로세서가 특정 동작을 수행하도록 하는 명령들(instructions)을 저장하는 적어도 하나의 메모리를 포함하고, 특정 동작은: 1차 인증(primary authentication)에 기초한 메시지를 AMF(access and mobility management function)로 전송하도록 적어도 하나의 송수신기를 제어하되, 메시지는 SUCI(subscription concealed identifier) 또는 5G-GUTI(globally unique temporary identifier) 중 어느 하나를 포함하고, 및 단말이 AKMA(Authentication and Key Management for Applications)를 지원하는 경우, 네트워크 루트 키에 기초하여 AKMA 앵커 키 및 AKMA 앵커 키를 지시하는 A-KID를 생성하고, 및 네트워크에 대한 인증을 완료하되, 단말이 로밍된 단말인 경우, AMF는 AKMA 앵커 키 및 AKMA 앵커 키를 지시하는 A-KID를 획득하여 AAnF(AKMA anchor function)로 AKMA 앵커 키 등록 절차를 수행할 수 있다.

또한, 본 개시의 일 예로서, 적어도 하나의 메모리 및 적어도 하나의 메모리들과 기능적으로 연결되어 있는 적어도 하나의 프로세서를 포함하는 장치에 있어서, 적어도 하나의 프로세서는 장치가, 단말로부터 1차 인증(primary authentication)에 기초한 메시지를 수신하도록 제어하되, 메시지는 SUCI(subscription concealed identifier) 또는 5G-GUTI(globally unique temporary identifier) 중 어느 하나를 포함하고, 메시지에 기초하여 SUCI 또는 SUPI(subscriber permanent identifier)와 서빙 네트워크 네임(SN-name)을 포함하는 인증 요청 메시지를 AUSF(authentication server function)로 전송하도록 제어하고, 및 AUSF로부터 인증 응답 메시지를 수신하도록 제어하되, 단말이 로밍된 단말이고 AKMA(Authentication and Key Management for Applications)가 지원되는 경우, 인증 응답 메시지는 AKMA 앵커 키 및 AKMA 앵커 키를 지시하는 A-KID를 포함하고, AMF는 SUPI, AKMA 앵커 키 및 A-KID에 기초하여 AAnF(AKMA anchor function)로 AKMA 앵커 키 등록 절차를 수행할 수 있다.

또한, 본 개시의 일 예로서, 적어도 하나의 명령어(instructions)을 저장하는 비-일시적인(non-transitory) 컴퓨터 판독 가능 매체(computer-readable medium)에 있어서, 프로세서에 의해 실행 가능한(executable) 적어도 하나의 명령어를 포함하며, 적어도 하나의 명령어는, 장치가 단말로부터 1차 인증(primary authentication)에 기초한 메시지를 수신하도록 제어하되, 메시지는 SUCI(subscription concealed identifier) 또는 5G-GUTI(globally unique temporary identifier) 중 어느 하나를 포함하고, 메시지에 기초하여 SUCI 또는 SUPI(subscriber permanent identifier)와 서빙 네트워크 네임(SN-name)을 포함하는 인증 요청 메시지를 AUSF(authentication server function)로 전송하도록 제어하고, 및 AUSF로부터 인증 응답 메시지를 수신하도록 제어하되, 단말이 로밍된 단말이고 AKMA(Authentication and Key Management for Applications)가 지원되는 경우, 인증 응답 메시지는 AKMA 앵커 키 및 AKMA 앵커 키를 지시하는 A-KID를 포함하고, AMF는 SUPI, AKMA 앵커 키 및 A-KID에 기초하여 AAnF(AKMA anchor function)로 AKMA 앵커 키 등록 절차를 수행할 수 있다.

또한, 다음의 사항들은 공통으로 적용될 수 있다.

본 개시의 일 예로서, 단말이 로밍된 단말인 경우, AMF는 VPLMN(visited public land mobile network)에 대한 AMF이고, AAnF는 VPLMN의 AAnF일 수 있다.

또한, 본 개시의 일 예로서, AUSF는 HPLMN(home PLMN)의 AUSF이고, AUSF는 단말의 로밍 여부와 무관하게 AKMA 앵커 키 및 A-KID에 기초하여 HPLMN의 AAnF와 AKMA 앵커 키 등록 절차를 수행할 수 있다.

또한, 본 개시의 일 예로서, HPLMN의 AUSF는 서빙 네트워크 네임에 기초하여 단말이 로밍된 단말인지 여부를 판단하고, 단말이 로밍된 단말인 경우, HPLMN의 AUSF는 AKMA 앵커 키 및 AKMA 앵커 키를 지시하는 A-KID를 포함하는 인증 메시지를 VPLMN에 대한 AMF로 전송하고, VPLMN에 대한 AMF는 VPLMN의 AAnF와 AKMA 앵커 키 등록 절차를 수행할 수 있다.

또한, 본 개시의 일 예로서, 로밍된 단말이 VPLMN의 AF(application function)로 어플리케이션 세션 생성 요청을 전송하는 경우, VPLMN의 AAnF에 기초하여 어플리케이션 키가 단말로 제공되고, 로밍된 단말이 HPLMN의 AF로 어플리케이션 세션 생성 요청을 전송하는 경우, HPLMN에 대한 AAnF에 기초하여 어플리케이션 키가 단말로 제공될 수 있다.

또한, 본 개시의 일 예로서, 단말이 전송하는 어플리케이션 세션 요청에는 A-KID가 포함되고, AF는 A-KID에 기초하여 단말이 로밍된 단말인지 여부를 판단할 수 있다.

또한, 본 개시의 일 예로서, 단말이 로밍된 단말로 판단된 경우, AF는 VPLMN의 AAnF로 어플리케이션 키를 요청하여 AKMA 앵커 키로부터 도출되는 어플리케이션 키 및 어플리케이션 키 유효 시간 정보를 획득하여 단말과 어플리케이션 세션 설립을 수행할 수 있다.

또한, 본 개시의 일 예로서, 단말이 로밍되지 않는 단말로 판단된 경우, AF는 HPLMN의 AAnF로 어플리케이션 키를 요청하여 AKMA 앵커 키로부터 도출되는 어플리케이션 키 및 어플리케이션 키 유효 시간 정보를 획득하여 단말과 어플리케이션 세션 설립을 수행할 수 있다.

또한, 본 개시의 일 예로서, VPLMN에 대한 AMF는 NRF(network repository function) 발견 및 선택 절차 또는 로컬 구성(local configuration)에 기초하여 A-KID 내의 RID(routing indicator)와 홈 네트워크 식별자(home network identifier)를 통해 VPLMN의 AAnF를 선택할 수 있다.

또한, 본 개시의 일 예로서, VPLMN에 대한 AMF는 서빙 PLMN ID(serving PLMN ID)를 더 활용하여 VPLMN의 AAnF를 선택할 수 있다.

또한, 본 개시의 일 예로서, A-KID는 서빙 PLMN ID를 더 포함하되, 단말이 로밍된 단말이 경우, A-KID 내의 서빙 PLMN ID는 VPLMN ID를 지시하고, 단말이 로밍되지 않은 단말인 경우, A-KID 내의 서빙 PLMN ID는 기 설정된 값으로 설정될 수 있다.

또한, 본 개시의 일 예로서, 단말과 AUSF가 1차 인증을 수행하는 경우, AUSF는 UDM(unified data management)로부터 AKMA 지원 여부를 지시받고, AKMA를 지원하는 경우, 단말과 AUSF 각각에서 네트워크 루트 키에 기초하여 AKMA 앵커 키 및 A-KID가 생성될 수 있다.

또한, 본 개시의 일 예로서, 단말로부터 수신하는 1차 인증(primary authentication)에 기초한 메시지는 N1 메시지일 수 있다.

본 개시는 무선 통신 시스템에서 단말의 인증을 수행하는 방법을 제공할 수 있다.

본 개시는 무선 통신 시스템에서 단말이 로밍 상황인 경우, VPLMN에서 AKMA 키 등록 절차를 수행하는 방법을 제공할 수 있다.

본 개시는 무선 통신 시스템에서 AUSF가 단말의 로밍 여부를 판단하는 방법을 제공할 수 있다.

본 개시는 무선 통신 시스템에서 단말의 1차 인증 후 AKMA 키를 HPLMN의 AAnF 및 VPLMN의 AAnF에 등록하는 방법을 제공할 수 있다.

본 개시는 무선 통신 시스템에서 VPLMN의 AMF를 통해 VPLMN의 AAnF에 AKMA 키를 등록하는 방법을 제공할 수 있다.

본 개시의 실시 예들에서 얻을 수 있는 효과는 이상에서 언급한 효과들로 제한되지 않으며, 언급하지 않은 또 다른 효과들은 이하의 본 개시의 실시 예들에 대한 기재로부터 본 개시의 기술 구성이 적용되는 기술분야에서 통상의 지식을 가진 자에게 명확하게 도출되고 이해될 수 있다. 즉, 본 개시에서 서술하는 구성을 실시함에 따른 의도하지 않은 효과들 역시 본 개시의 실시 예들로부터 당해 기술분야의 통상의 지식을 가진 자에 의해 도출될 수 있다.

이하에 첨부되는 도면들은 본 개시에 관한 이해를 돕기 위한 것으로, 상세한 설명과 함께 본 개시에 대한 실시 예들을 제공할 수 있다. 다만, 본 개시의 기술적 특징이 특정 도면에 한정되는 것은 아니며, 각 도면에서 개시하는 특징들은 서로 조합되어 새로운 실시 예로 구성될 수 있다. 각 도면에서의 참조 번호(reference numerals)들은 구조적 구성요소(structural elements)를 의미할 수 있다.

도 1은 본 개시에 적용 가능한 통신 시스템 예시를 나타낸 도면이다.

도 2는 본 명세서의 구현이 적용되는 UE의 예를 나타낸다.

도 3은 일반적인 NG-RAN과 5GC(5th generation core)의 기능적 분리의 예를 도시한 도면이다.

도 4는 5G(5th generation) 시스템의 일반적인 아키텍쳐의 예를 도시한 도면이다.

도 5는 본 개시에 적용 가능한 인증 절차를 시작하는 방법을 나타낸 도면이다.

도 6은 본 개시에 적용 가능한 EAP AKA’ 방식에 기초하여 인증을 수행하는 방법을 나타낸 도면이다.

도 7은 본 개시에 적용 가능한 5G AKA’ 방식에 기초하여 인증을 수행하는 방법을 나타낸 도면이다.

도 8은 본 개시에 적용 가능한 키의 계층 구조를 나타낸 도면이다.

도 9는 본 개시에 적용 가능한 AKMA 키 계층 구조를 나타낸 도면이다.

도 10은 본 개시의 실시예에 따라 어플리케이션 세션을 설립하는 방법을 나타낸 도면이다.

도 11은 본 개시에 적용 가능한 AAnF 선택 및 탐색 절차를 나타낸 도면이다.

도 12는 본 개시에 적용 가능한 AKMA를 시작하는 방법을 나타낸 도면이다.

도 13은 본 개시에 적용 가능한 AKMA 컨텍스트를 제거하는 방법을 나타낸 도면이다.

도 14는 본 개시에 적용 가능한 VPLMN의 AAnF로 AKMA 키를 등록하는 방법을 나타낸 도면이다.

도 15는 본 개시에 적용 가능한 HPLMN의 AAnF로 AKMA 키를 등록하는 방법을 나타낸 도면이다.

도 16은 본 개시에 적용 가능한 A-KID를 나타낸 도면이다.

도 17은 본 개시에 적용 가능한 AKMA 키 등록 방법을 나타낸 도면이다.

도 18은 본 개시에 적용 가능한 AMF 동작에 대한 순서도이다.

도 19는 본 개시에 적용 가능한 단말 동작 방법을 나타낸 도면이다.

이하의 실시 예들은 본 개시의 구성요소들과 특징들을 소정 형태로 결합한 것들이다. 각 구성요소 또는 특징은 별도의 명시적 언급이 없는 한 선택적인 것으로 고려될 수 있다. 각 구성요소 또는 특징은 다른 구성요소나 특징과 결합되지 않은 형태로 실시될 수 있다. 또한, 일부 구성요소들 및/또는 특징들을 결합하여 본 개시의 실시 예를 구성할 수도 있다. 본 개시의 실시 예들에서 설명되는 동작들의 순서는 변경될 수 있다. 어느 실시 예의 일부 구성이나 특징은 다른 실시 예에 포함될 수 있고, 또는 다른 실시 예의 대응하는 구성 또는 특징과 교체될 수 있다.

도면에 대한 설명에서, 본 개시의 요지를 흐릴 수 있는 절차 또는 단계 등은 기술하지 않았으며, 당업자의 수준에서 이해할 수 있을 정도의 절차 또는 단계는 또한 기술하지 아니하였다.

명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함(comprising 또는 including)"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다. 또한, 명세서에 기재된 "...부", "...기", "모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다. 또한, "일(a 또는 an)", "하나(one)", "그(the)" 및 유사 관련어는 본 개시를 기술하는 문맥에 있어서(특히, 이하의 청구항의 문맥에서) 본 명세서에 달리 지시되거나 문맥에 의해 분명하게 반박되지 않는 한, 단수 및 복수 모두를 포함하는 의미로 사용될 수 있다.

본 명세서에서 본 개시의 실시 예들은 기지국과 이동국 간의 데이터 송수신 관계를 중심으로 설명되었다. 여기서, 기지국은 이동국과 직접적으로 통신을 수행하는 네트워크의 종단 노드(terminal node)로서의 의미가 있다. 본 문서에서 기지국에 의해 수행되는 것으로 설명된 특정 동작은 경우에 따라서는 기지국의 상위 노드(upper node)에 의해 수행될 수도 있다.

즉, 기지국을 포함하는 다수의 네트워크 노드들(network nodes)로 이루어지는 네트워크에서 이동국과의 통신을 위해 수행되는 다양한 동작들은 기지국 또는 기지국 이외의 다른 네트워크 노드들에 의해 수행될 수 있다. 이때, '기지국'은 고정국(fixed station), Node B, eNB(eNode B), gNB(gNode B), ng-eNB, 발전된 기지국(advanced base station, ABS) 또는 억세스 포인트(access point) 등의 용어에 의해 대체될 수 있다.

또한, 본 개시의 실시 예들에서 단말(terminal)은 사용자 기기(user equipment, UE), 이동국(mobile station, MS), 가입자국(subscriber station, SS), 이동 가입자 단말(mobile subscriber station, MSS), 이동 단말(mobile terminal) 또는 발전된 이동 단말(advanced mobile station, AMS) 등의 용어로 대체될 수 있다.

또한, 송신단은 데이터 서비스 또는 음성 서비스를 제공하는 고정 및/또는 이동 노드를 말하고, 수신단은 데이터 서비스 또는 음성 서비스를 수신하는 고정 및/또는 이동 노드를 의미한다. 따라서, 상향링크의 경우, 이동국이 송신단이 되고, 기지국이 수신단이 될 수 있다. 마찬가지로, 하향링크의 경우, 이동국이 수신단이 되고, 기지국이 송신단이 될 수 있다.

본 개시의 실시 예들은 무선 접속 시스템들인 IEEE 802.xx 시스템, 3GPP(3rd Generation Partnership Project) 시스템, 3GPP LTE(Long Term Evolution) 시스템, 3GPP 5G(5th generation) NR(New Radio) 시스템 및 3GPP2 시스템 중 적어도 하나에 개시된 표준 문서들에 의해 뒷받침될 수 있으며, 특히, 본 개시의 실시 예들은 3GPP TS(technical specification) 38.211, 3GPP TS 38.212, 3GPP TS 38.213, 3GPP TS 38.321 및 3GPP TS 38.331 문서들에 의해 뒷받침 될 수 있다.

또한, 본 개시의 실시 예들은 다른 무선 접속 시스템에도 적용될 수 있으며, 상술한 시스템으로 한정되는 것은 아니다. 일 예로, 3GPP 5G NR 시스템 이후에 적용되는 시스템에 대해서도 적용 가능할 수 있으며, 특정 시스템에 한정되지 않는다.

즉, 본 개시의 실시 예들 중 설명하지 않은 자명한 단계들 또는 부분들은 상기 문서들을 참조하여 설명될 수 있다. 또한, 본 문서에서 개시하고 있는 모든 용어들은 상기 표준 문서에 의해 설명될 수 있다.

이하, 본 개시에 따른 바람직한 실시 형태를 첨부된 도면을 참조하여 상세하게 설명한다. 첨부된 도면과 함께 이하에 개시될 상세한 설명은 본 개시의 예시적인 실시 형태를 설명하고자 하는 것이며, 본 개시의 기술 구성이 실시될 수 있는 유일한 실시형태를 나타내고자 하는 것이 아니다.

또한, 본 개시의 실시 예들에서 사용되는 특정 용어들은 본 개시의 이해를 돕기 위해서 제공된 것이며, 이러한 특정 용어의 사용은 본 개시의 기술적 사상을 벗어나지 않는 범위에서 다른 형태로 변경될 수 있다.

이하의 기술은 CDMA(code division multiple access), FDMA(frequency division multiple access), TDMA(time division multiple access), OFDMA(orthogonal frequency division multiple access), SC-FDMA(single carrier frequency division multiple access) 등과 같은 다양한 무선 접속 시스템에 적용될 수 있다.

이하 설명을 명확하게 하기 위해, 3GPP 통신 시스템(예, LTE, NR 등)을 기반으로 설명하지만 본 발명의 기술적 사상이 이에 제한되는 것은 아니다. LTE는 3GPP TS 36.xxx Release 8 이후의 기술을 의미할 수 있다. 세부적으로, 3GPP TS 36.xxx Release 10 이후의 LTE 기술은 LTE-A로 지칭되고, 3GPP TS 36.xxx Release 13 이후의 LTE 기술은 LTE-A pro로 지칭될 수 있다. 3GPP NR은 TS 38.xxx Release 15 이후의 기술을 의미할 수 있다. 3GPP 6G는 TS Release 17 및/또는 Release 18 이후의 기술을 의미할 수 있다. "xxx"는 표준 문서 세부 번호를 의미한다. LTE/NR/6G는 3GPP 시스템으로 통칭될 수 있다.

본 개시에 사용된 배경기술, 용어, 약어 등에 관해서는 본 발명 이전에 공개된 표준 문서에 기재된 사항을 참조할 수 있다. 일 예로, 36.xxx 및 38.xxx 표준 문서를 참조할 수 있다.

본 문서에서 사용될 수 있는 용어, 약어 및 그 밖의 배경기술에 대해서는 본 문서 이전에 공개된 하기 표준 문서 기재를 참조할 수 있다. 특히, LTE/EPS(Evolved Packet System) 관련 용어, 약어 및 그 밖의 배경기술들은 36.xxx 시리즈, 23.xxx 시리즈 및 24.xxx 시리즈를 참고할 수 있으며, NR(new radio)/5GS 관련 용어, 약어 및 그 밖의 배경기술들은 38.xxx 시리즈, 23.xxx 시리즈 및 24.xxx 시리즈를 참고할 수 있다.

이하, 위와 같이 정의된 용어를 바탕으로 본 명세서에 대하여 기술한다.

5G의 세 가지 주요 요구 사항 영역은 (1) 개선된 모바일 광대역 (Enhanced Mobile Broadband, eMBB) 영역, (2) 다량의 머신 타입 통신 (massive Machine Type Communication, mMTC) 영역 및 (3) 초-신뢰 및 저 지연 통신 (Ultra-reliable and Low Latency Communications, URLLC) 영역을 포함한다.

일부 사용 예(Use Case)는 최적화를 위해 다수의 영역들이 요구될 수 있고, 다른 사용 예는 단지 하나의 핵심 성능 지표 (Key Performance Indicator, KPI)에만 포커싱될 수 있다. 5G는 이러한 다양한 사용 예들을 유연하고 신뢰할 수 있는 방법으로 지원하는 것이다.

본 개시에 적용 가능한 통신 시스템

이로 제한되는 것은 아니지만, 본 문서에 개시된 본 개시의 다양한 설명, 기능, 절차, 제안, 방법 및/또는 동작 순서도들은 기기들 간에 무선 통신/연결(예, 5G)을 필요로 하는 다양한 분야에 적용될 수 있다.

이하, 도면을 참조하여 보다 구체적으로 예시한다. 이하의 도면/설명에서 동일한 도면 부호는 다르게 기술하지 않는 한, 동일하거나 대응되는 하드웨어 블록, 소프트웨어 블록 또는 기능 블록을 예시할 수 있다.

도 1은 본 개시에 적용되는 통신 시스템 예시를 도시한 도면이다.

도 1을 참조하면, 본 개시에 적용되는 통신 시스템(100)은 무선 기기, 기지국 및 네트워크를 포함한다. 여기서, 무선 기기는 무선 접속 기술(예, 5G NR, LTE)을 이용하여 통신을 수행하는 기기를 의미하며, 통신/무선/5G 기기로 지칭될 수 있다. 이로 제한되는 것은 아니지만, 무선 기기는 로봇(100a), 차량(100b-1, 100b-2), XR(extended reality) 기기(100c), 휴대 기기(hand-held device)(100d), 가전(home appliance)(100e), IoT(Internet of Thing) 기기(100f), AI(artificial intelligence) 기기/서버(100g)를 포함할 수 있다. 예를 들어, 차량은 무선 통신 기능이 구비된 차량, 자율 주행 차량, 차량간 통신을 수행할 수 있는 차량 등을 포함할 수 있다. 여기서, 차량(100b-1, 100b-2)은 UAV(unmanned aerial vehicle)(예, 드론)를 포함할 수 있다. XR 기기(100c)는 AR(augmented reality)/VR(virtual reality)/MR(mixed reality) 기기를 포함하며, HMD(head-mounted device), 차량에 구비된 HUD(head-up display), 텔레비전, 스마트폰, 컴퓨터, 웨어러블 장치, 가전 기기, 디지털 사이니지(signage), 차량, 로봇 등의 형태로 구현될 수 있다. 휴대 기기(100d)는 스마트폰, 스마트패드, 웨어러블 기기(예, 스마트워치, 스마트글래스), 컴퓨터(예, 노트북 등) 등을 포함할 수 있다. 가전(100e)은 TV, 냉장고, 세탁기 등을 포함할 수 있다. IoT 기기(100f)는 센서, 스마트 미터 등을 포함할 수 있다. 예를 들어, 기지국(120), 네트워크(130)는 무선 기기로도 구현될 수 있으며, 특정 무선 기기(120a)는 다른 무선 기기에게 기지국/네트워크 노드로 동작할 수도 있다.

무선 기기(100a~100f)는 기지국(120)을 통해 네트워크(130)와 연결될 수 있다. 무선 기기(100a~100f)에는 AI 기술이 적용될 수 있으며, 무선 기기(100a~100f)는 네트워크(130)를 통해 AI 서버(100g)와 연결될 수 있다. 네트워크(130)는 3G 네트워크, 4G(예, LTE) 네트워크 또는 5G(예, NR) 네트워크 등을 이용하여 구성될 수 있다. 무선 기기(100a~100f)는 기지국(120)/네트워크(130)를 통해 서로 통신할 수도 있지만, 기지국(120)/네트워크(130)를 통하지 않고 직접 통신(예, 사이드링크 통신(sidelink communication))할 수도 있다. 예를 들어, 차량들(100b-1, 100b-2)은 직접 통신(예, V2V(vehicle to vehicle)/V2X(vehicle to everything) communication)을 할 수 있다. 또한, IoT 기기(100f)(예, 센서)는 다른 IoT 기기(예, 센서) 또는 다른 무선 기기(100a~100f)와 직접 통신을 할 수 있다.

무선 기기(100a~100f)/기지국(120), 기지국(120)/기지국(120) 간에는 무선 통신/연결(150a, 150b, 150c)이 이뤄질 수 있다. 여기서, 무선 통신/연결은 상향/하향링크 통신(150a)과 사이드링크 통신(150b)(또는, D2D 통신), 기지국간 통신(150c)(예, relay, IAB(integrated access backhaul))과 같은 다양한 무선 접속 기술(예, 5G NR)을 통해 이뤄질 수 있다. 무선 통신/연결(150a, 150b, 150c)을 통해 무선 기기와 기지국/무선 기기, 기지국과 기지국은 서로 무선 신호를 송신/수신할 수 있다. 예를 들어, 무선 통신/연결(150a, 150b, 150c)은 다양한 물리 채널을 통해 신호를 송신/수신할 수 있다. 이를 위해, 본 개시의 다양한 제안들에 기반하여, 무선 신호의 송신/수신을 위한 다양한 구성정보 설정 과정, 다양한 신호 처리 과정(예, 채널 인코딩/디코딩, 변조/복조, 자원 매핑/디매핑 등), 자원 할당 과정 등 중 적어도 일부가 수행될 수 있다.

도 2는 본 명세서의 구현이 적용되는 UE의 예를 나타낼 수 있다.

도 2를 참조하면, UE(100)는 프로세서(102), 메모리(104), 송수신기(106), 하나 이상의 안테나(108), 전원 관리 모듈(141), 배터리(142), 디스플레이(143), 키패드(144), SIM(Subscriber Identification Module) 카드(145), 스피커(146), 마이크(147)를 포함할 수 있다.

프로세서(102)는 본 명세서에 개시된 설명, 기능, 절차, 제안, 방법 및/또는 작동 흐름도를 구현하도록 구성될 수 있다. 프로세서(102)는 본 명세서에 개시된 설명, 기능, 절차, 제안, 방법 및/또는 작동 흐름도를 구현하도록 UE(100)의 하나 이상의 다른 구성 요소를 제어하도록 구성될 수 있다. 무선 인터페이스 프로토콜의 계층은 프로세서(102)에 구현될 수 있다. 프로세서(102)는 ASIC, 기타 칩셋, 논리 회로 및/또는 데이터 처리 장치를 포함할 수 있다. 프로세서(102)는 애플리케이션 프로세서일 수 있다. 프로세서(102)는 DSP, CPU(Central Processing Unit), GPU(Graphics Processing Unit), 모뎀(변조 및 복조기) 중 적어도 하나를 포함할 수 있다.

메모리(104)는 프로세서(102)와 동작 가능하도록 결합되며, 프로세서(102)를 작동하기 위한 다양한 정보를 저장할 수 있다. 메모리(104)는 ROM, RAM, 플래시 메모리, 메모리 카드, 저장 매체 및/또는 기타 저장 장치를 포함할 수 있다. 구현이 소프트웨어에서 구현될 때, 여기에 설명된 기술은 본 명세서에서 개시된 설명, 기능, 절차, 제안, 방법 및/또는 작동 흐름도를 수행하는 모듈(예: 절차, 기능 등)을 사용하여 구현될 수 있다. 모듈은 메모리(104)에 저장되고 프로세서(102)에 의해 실행될 수 있다. 메모리(104)는 프로세서(102) 내에 또는 프로세서(102) 외부에 구현될 수 있으며, 이 경우 기술에서 알려진 다양한 방법을 통해 프로세서(102)와 통신적으로 결합될 수 있다.

송수신기(106)는 프로세서(102)와 동작 가능하도록 결합되며, 무선 신호를 전송 및/또는 수신할 수 있다. 송수신기(106)는 송신기와 수신기를 포함할 수 있다. 송수신기(106)는 무선 주파수 신호를 처리하기 위한 베이스밴드 회로를 포함할 수 있다. 송수신기(106)는 하나 이상의 안테나(108)를 제어하여 무선 신호를 전송 및/또는 수신할 수 있다.

전원 관리 모듈(141)은 프로세서(102) 및/또는 송수신기(106)의 전원을 관리할 수 있다. 배터리(142)는 전원 관리 모듈(141)에 전원을 공급할 수 있다.

디스플레이(143)는 프로세서(102)에 의해 처리된 결과를 출력할 수 있다. 키패드(144)는 프로세서(102)에서 사용할 입력을 수신할 수 있다. 키패드(144)는 디스플레이(143)에 표시될 수 있다.

SIM 카드(145)는 IMSI(International Mobile Subscriber Identity)와 관련 키를 안전하게 저장하기 위한 집적 회로이며, 휴대 전화나 컴퓨터와 같은 휴대 전화 장치에서 가입자를 식별하고 인증하는 데에 사용될 수 있다. 또한, 많은 SIM 카드에 연락처 정보를 저장할 수도 있다.

스피커(146)는 프로세서(102)에서 처리한 사운드 관련 결과를 출력할 수 있다. 마이크(147)는 프로세서(102)에서 사용할 사운드 관련 입력을 수신할 수 있다.

본 명세서의 구현에서, UE는 상향링크에서 송신 장치로, 하향링크에서 수신 장치로 작동할 수 있다. 본 명세서의 구현에서, 기지국은 UL에서 수신 장치로, DL에서 송신 장치로 동작할 수 있다. 본 명세서에서, 기지국은 노드 B(Node B), eNode B(eNB), gNB로 불릴 수 있으며, 특정 형태로 한정되는 것은 아닐 수 있다.

또한, 일 예로, UE는 사용 예/서비스에 따라 다양한 형태로 구현될 수 있다. UE는 다양한 구성 요소, 장치/부분 및/또는 모듈에 의해 구성될 수 있다. 예를 들어, 각 UE는 통신 장치, 제어 장치, 메모리 장치 및 추가 구성 요소를 포함할 수 있다. 통신 장치는 통신 회로 및 송수신기를 포함할 수 있다. 예를 들어, 통신 회로는 하나 이상의 프로세서 및/또는 하나 이상의 메모리를 포함할 수 있다. 예를 들어, 송수신기는 하나 이상의 송수신기 및/또는 하나 이상의 안테나를 포함할 수 있다. 제어 장치는 통신 장치, 메모리 장치, 추가 구성 요소에 전기적으로 연결되며, 각 UE의 전체 작동을 제어할 수 있다. 예를 들어, 제어 장치는 메모리 장치에 저장된 프로그램/코드/명령/정보를 기반으로 각 UE의 전기/기계적 작동을 제어할 수 있다. 제어 장치는 메모리 장치에 저장된 정보를 무선/유선 인터페이스를 통해 통신 장치를 거쳐 외부(예: 기타 통신 장치)로 전송하거나, 또는 무선/유선 인터페이스를 통해 통신 장치를 거쳐 외부(예: 기타 통신 장치)로부터 수신한 정보를 메모리 장치에 저장할 수 있다.

추가 구성 요소는 UE의 유형에 따라 다양하게 구성될 수 있다. 예를 들어, 추가 구성 요소는 동력 장치/배터리, 입출력(I/O) 장치(예: 오디오 I/O 포트, 비디오 I/O 포트), 구동 장치 및 컴퓨팅 장치 중 적어도 하나를 포함할 수 있다. 또한, UE는 이에 국한되지 않고, 로봇(도 1의 100a), 차량(도 1의 100b-1 및 100b-2), XR 장치(도 1의 100c), 휴대용 장치(도 1의 100d), 가전 제품(도 1의 100e), IoT 장치(도 1의 100f), 디지털 방송 단말, 홀로그램 장치, 공공 안전 장치, MTC 장치, 의료 장치, 핀테크 장치(또는 금융 장치), 보안 장치, 기후/환경 장치, AI 서버/장치(도 1의 400), 기지국(도 1의 200), 네트워크 노드의 형태로 구현될 수 있다. UE는 사용 예/서비스에 따라 이동 또는 고정 장소에서 사용할 수 있다.

UE의 다양한 구성 요소, 장치/부분 및/또는 모듈의 전체는 유선 인터페이스를 통해 서로 연결되거나, 적어도 일부가 통신 장치를 통해 무선으로 연결될 수 있다. 또한, UE의 각 구성 요소, 장치/부분 및/또는 모듈은 하나 이상의 요소를 더 포함할 수 있다. 예를 들어, 제어 장치는 하나 이상의 프로세서 집합에 의해 구성될 수 있다. 일 예로, 제어 장치는 통신 제어 프로세서, 애플리케이션 프로세서(AP; Application Processor), 전자 제어 장치(ECU; Electronic Control Unit), 그래픽 처리 장치 및 메모리 제어 프로세서의 집합에 의해 구성될 수 있다. 또 다른 예로, 메모리 장치는 RAM, DRAM(Dynamic RAM), ROM, 플래시 메모리, 휘발성 메모리, 비휘발성 메모리 및/또는 이들의 조합에 의해 구성될 수 있다.

본 개시에 적용될 수 있는 5G 시스템 아키텍처

5G 시스템은 4세대 LTE 이동 통신 기술로부터 진보된 기술로서 기존 이동 통신망 구조의 개선(Evolution) 혹은 클린-스테이트(Clean-state) 구조를 통해 새로운 무선 액세스 기술(RAT: Radio Access Technology), LTE(Long Term Evolution)의 확장된 기술로서 eLTE(extended LTE), non-3GPP(예를 들어, WLAN) 액세스 등을 지원한다.

5G 시스템은 서비스-기반으로 정의되고, 5G 시스템을 위한 아키텍처(architecture) 내 네트워크 기능(NF: Network Function)들 간의 상호동작(interaction)은 다음과 같이 2가지 방식으로 나타낼 수 있다.

- 참조 포인트 표현(representation): 2개의 NF들(예를 들어, AMF 및 SMF) 간의 점-대-점 참조 포인트(예를 들어, N11)에 의해 기술되는 NF들 내 NF 서비스들 간의 상호 동작을 나타낸다.

- 서비스-기반 표현(representation): 제어 평면(CP: Control Plane) 내 네트워크 기능들(예를 들어, AMF)은 다른 인증된 네트워크 기능들이 자신의 서비스에 액세스하는 것을 허용한다. 이 표현은 필요한 경우 점-대-점(point-to-point) 참조 포인트(reference point)도 포함한다.

5GC(5G Core)는 다양한 구성요소들을 포함할 수 있으며, 그 중에서 일부에 해당하는 액세스 및 이동성 관리 기능(access and mobility management function, AMF)와 세션 관리 기능(session management function, SMF)와 정책 제어 기능(policy control function, PCF), 사용자 평면 기능(user plane function, UPF), 애플리케이션 기능(application function, AF), 통합 데이터 관리(unified data management, UDM), N3IWF(non-3GPP interworking function)를 포함한다.

UE는 gNB를 포함하는 NG-RAN(next generation radio access network)를 통해 UPF를 거쳐 데이터 네트워크로 연결된다. UE는 신뢰되지 않는 비-3GPP 액세스, 예컨대, WLAN(wireless local area network)를 통해서 데이터 서비스를 제공받을 수 있다. 비-3GPP 액세스를 코어 네트워크에 접속시키기 위하여, N3IWF가 배치될 수 있다.

N3IWF는 비-3GPP 액세스와 5G 시스템 간의 인터워킹을 관리하는 기능을 수행한다. UE가 비-3GPP 액세스(예: IEEE 802.11로 일컬어지는 WiFi)와 연결된 경우, UE는 N3IWF를 통해 5G 시스템과 연결될 수 있다. N3IWF는 AMF와 제어 시그너링을 수행하고, 데이터 전송을 위해 N3 인터페이스를 통해 UPF와 연결된다.

AMF는 5G 시스템에서 액세스 및 이동성을 관리할 수 있다. AMF는 NAS(non-access stratum) 보안을 관리하는 기능을 수행할 수 있다. AMF는 아이들 상태(idle state)에서 이동성을 핸들링하는 기능을 수행할 수 있다.

UPF는 사용자의 데이터를 송수신하기 위한 게이트웨이의 기능을 수행한다. UPF 노드는 4세대 이동통신의 S-GW(serving gateway) 및 P-GW(packet data network gateway)의 사용자 평면 기능의 전부 또는 일부를 수행할 수 있다.

UPF는 차세대 무선 접속 네트워크(next generation RAN, NG-RAN)와 코어 네트워크 사이의 경계점으로 동작하고, gNB와 SMF 사이의 데이터 경로를 유지하는 요소이다. 또한, UE가 gNB에 의해서 서빙되는 영역에 걸쳐 이동하는 경우, UPF는 이동성 앵커 포인트(mobility anchor point) 역할을 수행한다. UPF는 PDU를 핸들링하는 기능을 수행할 수 있다. NG-RAN(예: 3GPP 릴리즈-15 이후에서 정의되는 NG-RAN) 내에서의 이동성을 위해, UPF는 패킷들을 라우팅할 수 있다. 또한, UPF는 다른 3GPP 네트워크(예: 3GPP 릴리즈-15 전에 정의되는 RAN), 예를 들어, UTRAN(UMTS(universal mobile telecommunications system) terrestrial radio access network)), E-UTRAN(evolved-UTRAN) 또는 GERAN(GSM(global system for mobile communication)/EDGE(enhanced data rates for global evolution) radio access network)와의 이동성을 위한 앵커 포인트로서 기능할 수도 있다. UPF는 데이터 네트워크를 향한 데이터 인터페이스의 종료점(termination point)에 해당할 수 있다.

PCF는 사업자의 정책을 제어하는 노드이다. AF는 UE에게 여러 서비스를 제공하기 위한 서버이다. UDM은 4세대 이동 통신의 HSS(home subscriber server)와 같이, 가입자 정보를 관리하는 서버이다. UDM(460)은 가입자 정보를 통합 데이터 저장소(unified data repository: UDR)에 저장하고 관리한다.

SMF는 UE의 IP(Internet protocol) 주소를 할당하는 기능을 수행할 수 있다. 그리고, SMF는 PDU(protocol data unit) 세션을 제어할 수 있다.

이하 설명의 편의를 위해, AMF, SMF, PCF, UPF, AF, UDM, N3IWF, gNB, 또는 UE에 대한 도면 부호는 생략될 수 있으며, 본 문서 이전에 공개된 표준 문서에 기재된 사항을 참조하여 동작할 수 있다.

도 3은 본 개시에 적용되는 무선 통신 시스템의 구조를 노드 관점에서 표현한 예를 나타내는 도면이다.

도 3을 참고하면, UE는 차세대 RAN를 통해 데이터 네트워크(data network, DN)와 연결된다. 제어 평면 기능(control plane function, CPF) 노드는 4세대 이동 통신의 MME(mobility management entity)의 기능 전부 또는 일부, S-GW(serving gateway) 및 P-GW(PDN gateway)의 제어 평면 기능의 전부 또는 일부를 수행한다. CPF 노드는 AMF와 SMF을 포함한다.

UPF 노드는 사용자의 데이터가 송수신되는 게이트웨이의 기능을 수행한다.

인증 서버 기능(authentication server function, AUSF)은 UE를 인증 및 관리한다. 네트워크 슬라이스 선택 기능(Network Slice Selection Function: NSSF)는 후술하는 바와 같은 네트워크 슬라이싱을 위한 노드이다.

네트워크 공개 기능(network exposure function, NEF)는 5G 코어의 서비스와 기능을 안전하게 공개하는 메커니즘을 제공한다.

도 3에 나타난 레퍼런스 포인트는 다음과 같다. N1은 UE와 AMF간에 레퍼런스 포인트를 나타낸다. N2은 (R)AN과 AMF 간에 레퍼런스 포인트를 나타낸다. N3은 (R)AN과 UPF 간에 레퍼런스 포인트를 나타낸다. N4은 SMF와 UPF 간에 레퍼런스 포인트를 나타낸다. N5은 PCF과 AF 간에 레퍼런스 포인트를 나타낸다. N6은 UPF와 DN 간에 레퍼런스 포인트를 나타낸다. N7은 SMF과 PCF 간에 레퍼런스 포인트를 나타낸다. N8은 UDM과 AMF 간에 레퍼런스 포인트를 나타낸다. N9은 UPF들 간에 레퍼런스 포인트를 나타낸다. N10은 UDM과 SMF 간에 레퍼런스 포인트를 나타낸다. N11은 AMF과 SMF 간에 레퍼런스 포인트를 나타낸다. N12은 AMF과 AUSF 간에 레퍼런스 포인트를 나타낸다. N13은 UDM과 AUSF 간에 레퍼런스 포인트를 나타낸다. N14은 AMF들 간에 레퍼런스 포인트를 나타낸다. N15은 비-로밍 시나리오(non-roaming scenario)에서, PCF와 AMF 간의 레퍼런스 포인트, 로밍 시나리오에서, AMF와 방문 네트워크(visited network)의 PCF 간의 레퍼런스 포인트를 나타낸다. N16은 SMF들 간에 레퍼런스 포인트를 나타낸다. N22은 AMF와 NSSF 간에 레퍼런스 포인트를 나타낸다. N30은 PCF와 NEF 간의 레퍼런스 포인트를 나타낸다. N33은 AF와 NEF 간의 레퍼런스 포인트를 나타낼 수 있으며, 상술한 엔티티 및 인터페이스는 본 문서 이전에 공개된 표준 문서에 기재된 사항을 참조하여 구성될 수 있다. N58은 AMF와 NSSAAF 간에 레퍼런스 포인트를 나타낸다. N59는 UDM과 NSSAAF 간에 레퍼런스 포인트를 나타낸다. N80은 AMF와 NSACF 간에 레퍼런스 포인트를 나타낸다. N81은 SMF와 NSACF 간에 레퍼런스 포인트를 나타낸다.

무선 인터페이스 프로토콜은 3GPP 무선 접속 망 규격을 기반으로 한다. 무선 인터페이스 프로토콜은 수평적으로 물리 계층(physical layer), 데이터링크 계층(data link layer) 및 네트워크 계층(network layer)으로 이루어지며, 수직적으로는 데이터 정보 전송을 위한 사용자 평면(user plane)과 제어 신호(signaling) 전달을 위한 제어 평면(control plane)으로 구분된다.

프로토콜 계층들은 통신 시스템에서 널리 알려진 개방형 시스템 간 상호접속(open system interconnection, OSI) 기준 모델의 하위 3개 계층을 바탕으로 L1(layer-1), L2(layer-2), L3(layer-3)로 구분될 수 있다.

이하, 본 개시는 무선 프로토콜의 각 계층을 설명한다.

도 4는 UE과 gNB 사이의 무선 인터페이스 프로토콜(radio interface protocol)의 구조의 예를 나타내는 도면이다.

도 4를 참고하면, AS(access stratum) 계층은 물리(physical, PHY) 계층, 매체 접속 제어 계층, 무선 링크 제어(radio link control, RLC) 계층, 패킷 데이터 수렴(packet data convergence protocol, PDCP) 계층, 무선 자원 제어(radio resource control, RRC) 계층을 포함할 수 있으며, 각 계층에 기초한 동작은 본 문서 이전에 공개된 표준 문서에 기재된 사항을 참조하여 동작할 수 있다.

단말이 코어망으로 연결하는 경우, 단말은 보안 절차(security procedure)를 수행할 수 있다. 일 예로, 단말은 코어망(e.g 5GC, EPC)을 선택하여 연결할 수 있으며, 선택된 코어망에 기초하여 상이한 보안 절차가 수행될 수 있다. 보안 절차에서 단말과 네트워크는 상호 인증을 위해 1차 인증(primary authentication) 및 키 동의(key agreement) 절차를 수행할 수 있다. 단말과 네트워크가 1차 인증을 완료하면

가 생성되어 AUSF(authentication server function)에 저장될 수 있다. 여기서, 서빙 네트워크에 대한

는

에 의해 도출될 수 있으며, 새로운 인증 절차 없이 하나 이상의 보안 컨텍스트(security context) 키들이 해당 서빙 네트워크에서

로부터 도출될 수 있다.

도 5는 본 개시에 적용 가능한 인증 절차를 시작하는 방법을 나타낸 도면이다. 도 5를 참조하면, SEAF(security anchor function, 1020)는 단말(510)과 인증 절차를 수행할 수 있다. 일 예로, SEAF는 AMF의 부분 기능일 수 있으나, 특정 실시예로 한정되지 않는다.

단말(510)과 SEAF(520)는 SEAF 정책에 기초하여 시그널링 연결을 설립하는 절차에서 인증 절차를 수행할 수 있다. 여기서, 단말(510)은 SUCI(subscription concealed identifier) 또는 5G-GUTI(globally unique temporary identifier)를 포함하는 N1 메시지(N1 message)를 SEAF(520)로 전달할 수 있다. SEAF(520)는 SUCI 또는 SUPI(subscriber permanent identifier)와 서빙 네트워크 네임(SN-name) 정보를 포함하는 인증 요청 메시지(e.g. Nausf_UEAuthentication_Authenticate Request)를 AUSF(530)에게 전달할 수 있다. 이를 통해 AUSF(530)는 단말의 로밍 여부를 판단할 수 있으며, 이와 관련해서는 후술한다.

일 예로, SEAF(520)는 유효한 5G-GUTI가 있고, 단말을 재인증하는 경우에 SUPI를 포함하는 인증 요청 메시지를 전송할 수 있다. AUSF(530)는 인증 요청 메시지를 수신한 후 서빙 네트워크 내의 요청한 SEAF(520)가 서빙 네트워크 이름을 사용할 자격이 있는지 여부를 체크할 수 있다. 여기서, SEAF(520)가 자격이 없는 경우, AUSF(530)는 자격 없음을 지시하는 응답을 SEAF(520)로 전달할 수 있다. 반면, 자격이 존재하는 경우, AUSF(530)는 UDM(user data management)/ARPF(authentication credential repository and processing function, 540)으로 요청 메시지(e.g. Nudm_UEAuthentication_Get Request)를 전송할 수 있다. 여기서, 해당 요청 메시지는 SUCI 또는 SUPI와 서빙 네트워크 이름 정보를 포함할 수 있다. 일 예로, UDM/ARPF(540)가 SUCI를 수신한 경우, UDM/ARPF(540)는 SUCI로부터 SUPI를 획득할 수 있다. 그 후, UDM/ARPF(540)는 인증 방법을 선택할 수 있다.

단말이 네트워크에 접속하기 위해 상호 인증 절차를 수행하는 경우, 새로운 통신 시스템(e.g. 5G 시스템)에서는 5G AKA(authentication key agreement) 방식 또는 EAP AKA' 방식을 사용하여 단말과 네트워크 간의 상호 인증을 수행할 수 있다.

일 예로, 도 6은 본 개시에 적용 가능한 EAP AKA’ 방식에 기초하여 인증을 수행하는 방법을 나타낸 도면이다. 도 6을 참조하면, UDM(user data management)/ARPF(authentication credential repository and processing function, 640)은 인증 벡터(authentication vector, AV)를 생성할 수 있다. 그 후, UDM/ARPF(640)은 CK(cipher key) 및 IK(integrity key)에 기초하여 CK’ 및 IK’를 계산하고, RAND, AUTN, XRES, CK’ 및 IK’를 포함하는 AV’를 AUSF(authentication server function, 630)으로 전달할 수 있다. 일 예로, UDM/ARPF(640)은 AUSF(630)의 인증 요청에 대한 인증 응답으로 AV’를 AUSF(630)에게 전달할 수 있다. 또한, AUSF(630)는 단말의 인증 요청에 기초하여 UDM/ARPF(640)에게 인증 요청을 수행할 수 있으나, 상술한 실시예로 한정되지 않는다. 또한, 일 예로, 상술한 인증 응답은 AUSF(630)의 인증 요청에 기초하여 SUPI, AKMA 지시자 및 라우팅 지시자 중 적어도 어느 하나 이상을 더 포함할 수 있으나, 상술한 실시예로 한정되지 않는다.

그 후, AUSF(630)는 AV’에 기초하여 EAP 요청 및 AKA’-Challenge를 SEAF(security anchor function, 620)에게 전송할 수 있다. 일 예로, AKA’-Challenge는 사용자 ID의 루트키에 기초하여 생성되는 값일 수 있다. 이때, AUTN은 AKA’-Challenge에 기초하여 생성 및 검증될 수 있다. 그 후, SEAF(620)은 NAS 메시지를 통해 단말(610)로, EAP 요청 및 AKA’-Challenge를 포함하는 인증 요청 메시지를 전송할 수 있다. 일 예로, 인증 요청 메시지는 ngKSI 및 ABBA 파라미터를 더 포함할 수 있다. 여기서, ngKSI는 단말(610)과 AMF가 인증에 성공하면 생성되는 보안 컨텍스트를 식별하기 위한 값일 수 있다. 단말(610)이 인증 요청 메시지를 수신한 경우, 단말(610)은 단말이 보유한 키를 통해 네트워크와 동일한 알고리즘으로 AUTN을 생성하고, 생성된 AUTN과 수신된 AUTN이 동일한지 여부에 기초하여 인증을 수행할 수 있다. 그 후, 단말(610)은 보유한 키를 통해 생성한 값에 기초하여 EAP 응답 및 AKA’-Challenge를 포함하는 인증 응답을 SEAF(620)으로 전송할 수 있다. SEAF(620)도 EAP 응답 및 AKA’-Challenge를 포함하는 인증 응답을 AUSF(630)에게 전송하고, AUSF(630)은 단말이 생성한 값에 대한 검증을 통해 인증을 수행함으로써 상호 인증이 수행될 수 있다. 그 후, AUSF(630)와 단말(610) 상호 간의 추가 인증이 수행될 수 있으나, 이에 한정되는 것은 아닐 수 있다.

또한, 일 예로, 도 7는 본 개시에 적용 가능한 5G AKA’ 방식에 기초하여 인증을 수행하는 방법을 나타낸 도면이다.

도 7을 참조하면, UDM/ARPF(740)은 인증 벡터(authentication vector, AV)를 생성할 수 있다. 일 예로, 인증 벡터는 5G HE AV일 수 있으며, 5G HE AV는 RAND, AUTN, XRES* 및 K_AUSF를 통해 생성될 수 있다. 그 후, UDM/ARPF(740)은 5G HE AV를 AUSF(730)으로 전달할 수 있다. 일 예로, UDM/ARPF(740)은 AUSF(730)의 인증 요청에 대한 인증 응답으로 5G HE AV를 AUSF(730)에게 전달할 수 있다. AUSF(730)는 단말의 인증 요청에 기초하여 UDM/ARPF(740)에게 인증 요청을 수행할 수 있으나, 상술한 실시예로 한정되지 않는다. 또한, 상술한 인증 응답은 AUSF(730)의 인증 요청에 기초하여 SUPI, AKMA 지시자 및 라우팅 지시자 중 적어도 어느 하나 이상을 더 포함할 수 있으나, 상술한 실시예로 한정되지 않는다.

그 후, AUSF(730)는 5G HE AV에 기초하여 5G AV를 생성할 수 있다. 이때, AUSF(730)는 XRES*를 통해 HXRES*를 계산하고, K_AUSF를 통해 K_SEAF를 계산할 수 잇다. AUSF(730)는 5G HE AV에서 XRES*를 HXRES*로 대체하고, K_AUSF를 K_SEAF 대체하여 5G AV를 생성할 수 있다. 그 후, AUSF(730)는 RAND, AUTH 및 HXRES*를 포함하는 5G SE AV를 생성하여 SEAF(720)로 전달하고, SEAF(720)은 NAS 메시지를 통해 단말(710)로, RAND 및 AUTN를 포함하는 인증 요청 메시지를 전송할 수 있다. 일 예로, 인증 요청 메시지는 ngKSI 및 ABBA 파라미터를 더 포함할 수 있다. 여기서, ngKSI는 단말(710)과 AMF가 인증에 성공하면 생성되는 보안 컨텍스트를 식별하기 위한 값일 수 있다. 단말(710)이 인증 요청 메시지를 수신한 경우, 단말(710)은 단말이 보유한 키를 통해 네트워크와 동일한 알고리즘으로 AUTN을 생성하여 동일한지 여부에 기초하여 인증을 수행할 수 있다.

그 후, 단말(710)은 보유한 키를 통해 RES* 값을 생성하고, RES*를 포함하는 인증 응답을 SEAF(720)으로 전송할 수 있다. SEAF(720)는 RES*에 기초하여 HRES*를 계산하고, 상술한 HXRES*와 동일한지 여부를 비교할 수 있다. SEAF(720)는 두 값이 동일한 경우, 인증이 성공한 것으로 판단하여 RES*를 포함하는 인증 응답을 AUSF(730)에게 전송할 수 있다. AUSF(730)은 RES*를 포함하는 인증 응답을 수신하면 상호 인증이 수행됨을 인지할 수 있다.

도 8은 본 개시에 적용 가능한 키의 계층 구조를 나타낸 도면이다. 도 8을 참조하면, UDM/ARPF에서 K(key)에 기초하여 CK(cipher key) 및 IK(integrity key)가 생성될 수 있다. 여기서, 도 6의 EAP AKA’ 방식에 기초하여 인증이 수행되는 경우, CK 및 IK에서 CK’ 및 IK’를 계산하고, RAND, AUTN, XRES, CK’ 및 IK’를 포함하는 AV’를 AUSF로 전달하여

가 생성될 수 있다. 반면, 도 7의 5G AKA 방식에 기초하여 인증이 수행되는 경우, CK 및 IK로부터

가 생성될 수 있다. 여기서, SEAF는

를 통해

를 생성할 수 있으며,

에 의해

가 생성될 수 있다. 또한,

에 기초하여 도 8의 다양한 키들 중 적어도 어느 하나가 생성될 수 있으며, 이는 도 8과 같을 수 있다.

도 9는 본 개시에 적용 가능한 AKMA 키 계층 구조를 나타낸 도면이다. 일 예로, 어플리케이션을 위한 인증 및 키 관리(authentication and key management for applications, AKMA)는 어플리케이션과 단말이 암호화 통신을 수행할 때 필요한 보안키(application key)를 생성할 수 있는 시스템일 수 있다. 여기서, 보안키는 단말과 이동 통신망의 상호 인증과 해당 인증 수행 후 생성되는 네트워크 루트키(

)를 기반으로 생성될 수 있다. 구체적인 일 예로, AKMA 시스템에 기초하여 단말의 1차 인증 성공 후

가 생성될 수 있다. 도 9를 참조하면, 네트워크(AUSF)와 단말 각각에서는 추후 응용 보안키(application key)를 생성하는데 사용할 수 있는 루트 키로

를 생성할 수 있으며,

를 지칭할 수 있는 A-KID도 함께 생성될 수 있다.

그 후, AUSF에서 생성된

는 AAnF(AKMA anchor function)에게 전달될 수 있다. 일 예로, AUSF는 AKMA 앵커키 등록 요청에 SUPI, A-KID 및

를 포함하여 AAnF로 전달할 수 있으며, AAnF로부터 AKMA 앵커키 등록 응답을 수신할 수 있다.

또한, 단말은

로부터

를 사전에 생성할 수 있다. 단말은 AF(application function)에게 A-KID를 포함하여 어플리케이션 세션(application session) 생성을 요청할 수 있다. 일 예로, 단말과 AF는 Ua 인터페이스에 기초하여 연결될 수 있다. AF는 어플리케이션 세션 생성 요청에 포함된 A-KID를 검증하고, 이에 대응되는 보안 컨텍스트(security context)를 확인할 수 있다. 일 예로, 대응되는 보안 컨텍스트가 존재하지 않는 경우, AF는 AAnF에게 새로운

에 대한 생성 요청을 수행할 수 있다. 그 후, AAnF는 새로운

를 기반으로

를 생성할 수 있고, 해당

의 유효 기간(expiration time) 설정하여 함께 AF로 회신할 수 있다.

도 10은 본 개시의 실시예에 따라 어플리케이션 세션을 설립하는 방법을 나타낸 도면이다. 도 10을 참조하면, 단말(1010)에 대한 1차 인증(primary authentication)이 수행되는 경우, AUSF(1030)는 인증에 필요한 정보 및 방법을 UDM(unified data management, 1040)에게 요청할 수 있다. 여기서, AUSF(1030)는 UDM(1040)으로부터 수신하는 응답에 기초하여 AKMA 앵커 키(AKMA anchor key)를 생성해야 하는지 여부를 확인할 수 있다. 즉, UDM(1040)은 AUSF(1030)에게 응답을 수행하는 경우에 AKMA 앵커 키를 생성해야 하는지 여부에 대한 정보를 제공할 수 있다. 일 예로, AKMA 앵커 키를 생성해야 하는지 여부에 대한 정보는 “AKMA Ind” 값에 기초하여 지시될 수 있다. 즉, “AKMA Ind” 값이 UDM(1040)의 응답에 포함된 경우, AUSF(1030)는 AKMA 앵커 키를 생성할 수 있다. “AKMA Ind” 값이 UDM(1040)의 응답에 포함된 경우, 응답에는 단말에 대한 RID도 포함될 수 있으며, “AKMA Ind” 값과 함께 AUSF(1030)로 전달할 수 있다.

그 후, 1차 인증이 성공적으로 완료되고, AUSF(1030)가 “AKMA Ind” 값을 UDM(1040)으로부터 수신한 경우, AUSF(1030)는

를 저장하고,

로부터 AKMA 앵커 키(

)와 A-KID를 생성할 수 있다. AUSF(1030)는 AKMA 앵커 키가 생성된 후 “AAnF 탐색 및 선택” 의 기능을 통해 AAnF(1050)를 선택할 수 있다. 또한, AUSF(1030)는 생성한 A-KID와

를 단말의 SUPI와 함께 AAnF(1050)로 전달할 수 있다. 그후, AAnF(1050)는 AUSF(1030)에게 응답을 전송하여 절차(procedure)가 종료됨을 지시할 수 있다. 단말(1010)은

와 A-KID를 AKMA 어플리케이션을 시작하기 전에 생성하고, AF(1060)에게 어플리케이션 서비스를 요청할 때 생성한 A-KID를 전달할 수 있다. 여기서, 일 예로, 단말(1010)은

를 요청 메시지 전송 전 또는 후에 생성할 수 있다. AF(1060)가 수신한 A-KID와 관련된 컨텍스트를 가지고 있지 않은 경우, AF(1060)는 AAnF(1050)에게 A-KID를 전송하여

를 요청할 수 있다. 여기서, AF(1060)는 AF_ID를 포함하여 요청을 전송할 수 있다. 그 후, AAnF(1050)는 AF에게 서비스를 제공하기 위한 절차를 수행할 수 있다. 또한, 일 예로, AAnF(1050)는 절차를 중단할 수 있으며, 특정 실시예로 한정되지 않는다.

일 예로, AAnF(1050)는 A-KID와 관련 있는

의 존재로 AKMA를 사용할 수 있는지 여부를 검증할 수 있다. AAnF(1050)에 일치하는

가 존재하는 경우, AAnF(1050)는 AF(1060)에게 서비스를 제공하기 위한 절차를 수행할 수 있다. 여기서, AAnF(1050)가

를 가지고 있지 않은 경우, AAnF(1050)는

를 생성할 수 있다. 그 후, AAnF(1050)는 AF(1060)로 SUPI, 생성한

, 및

만료 시간을 전달할 수 있다. 여기서, AF(1060)는 어플리케이션 세션 생성 완료를 단말에게 알릴 수 있으며, 어플리케이션 세션에 기초하여 데이터 전송이 수행될 수 있다.

반면, AAnF(1050)에 일치하는

가 존재하지 않는 경우, AAnF(1050)는 AF(1060)에 오류 응답을 전송할 수 있다. 이때, AF(1060)는 실패 이유(cause)를 포함하여 단말에게 알릴 수 있으며, 단말은 새로운 어플리케이션 세션을 가장 최근의 A-KID로 AKMA를 AF(1060)에 요청을 수행할 수 있다.

AF(1060)가 어플리케이션 세션 생성 완료 응답을 단말(1010)에 전달한 후,

의 유효 기간(expiration time)이 만료될 수 있다. 여기서,

가 만료되고, 어플리케이션 세션을 통해 단말(1010)로부터 수신한 데이터의 수신 여부에 기초하여 상이한 동작이 수행될 수 있다.

도 11을 참조하면, AF(1140)가 AAnF(1120)으로부터 단말(1110)을 위한 AKMA 키 요청을 수신하는 경우, 상술한 AAnF 선택 및 탐색 절차가 수행될 수 있다. 여기서, AF(1140)는 NEF(network exposure function, 1130)를 통해 AAnF(1120)로 요청을 전송할 수 있으며, 요청 메시지는 A-KID 및 AF_ID가 포함될 수 있다. NEF(1130)는 요청 메시지에 기초하여 AAnF(1120) 선택 절차를 수행하고, 선택된 AAnF(1120)로 A-KID 및 AF_ID가 포함된 요청 메시지를 전송할 수 있다. 그 후, NEF(1130)는 선택된 AAnF(1130)으로부터 SUPI, 생성한

, 및

만료 시간을 포함하는 응답 메시지를 수신하고, 이를 AF(1130)로 전달할 수 있으며, 이후 동작은 상술한 바와 같다.

도 12는 본 개시에 적용 가능한 AKMA를 시작하는 방법을 나타낸 도면이다. 도 12을 참조하면, 단말(1210)이 AKMA 서비스를 인지하지 못한 경우, 단말(1210)은 AF(1220)로 AKMA 관련 요청을 전달할 수 있다. 이때, AKMA 관련 요청에는 AKMA 관련 파라미터들이 포함되거나 포함되지 않을 수 있다. 여기서, AF(1220)가 AKMA를 위한 공유 키들을 사용하지만 요청에 AKMA 관련 파라미터들이 포함되지 않은 경우, AF(1220)는 AKMA 시작 메시지(AKMA initial message)를 단말(1210)로 전달할 수 있으며, 이를 통해 단말(1210)은 AKMA 서비스를 인지하여 상술한 바와 같이 동작할 수 있다.

도 13은 본 개시에 적용 가능한 AKMA 컨텍스트를 제거하는 방법을 나타낸 도면이다. 도 13을 참조하면, NF(1310)는 로컬 정책에 기초하여 AANF(1320) 내의 AKMA 컨텍스트 삭제를 트리거링할 수 있다. 여기서, NF(1310)는 단말의 AANF(1320)를 발견하고, AANF(1320)로 제거 요청 메시지(e.g. Naanf_AKMA_Context_Remove request)를 전달할 수 있다. AANF(1320)는 NF(1310)로부터 제거 요청 메시지를 수신하고, SUPI에 기초하여 KAKMA와 A-KID를 삭제할 수 있다. 그 후, AANF(1320)는 NF(1310)로 제거 응답 메시지(e.g. Naanf_AKMA_Context_Remove response)를 전달할 수 있다.

상술한 바와 같이, AKMA는 어플리케이션과 단말이 암호화 통신을 수행할 때 필요한 보안키(application key)를 생성할 수 있도록 하는 시스템일 수 있다. 구체적으로, 단말과 이동 통신망의 상호 인증과 해당 인증 수행 후 생성되는 네트워크 루트키(KAUSF)를 기반으로 보안키를 생성할 수 있도록 하는 시스템일 수 있다. 여기서, 일 예로, AKMA는 홈 네트워크(home network)로 HPLMN(home public land mobile network)에서 서비스가 제공될 수 있으나, 단말이 방문 네트워크(visited network)로 VPLMN(visited PLMN)에 접속하는 경우에 지원되지 않을 수 있다. 다만, 단말이 VPLMN에 접속한 후 HPLMN의 어플리케이션 서버를 이용하는 상황에서 AKMA 서비스가 필요할 수 있으며, 하기에서는 이에 대해 서술한다. 본 명세에서 사용된 배경기술, 용어, 약어 등에 관해서는 본 명세서 이전에 공개된 표준 문서에 기재된 사항을 참조할 수 있다. 예를 들어, 다음 문서 및 약어를 참조할 수 있다.

AKMA 시스템에 기초하여 단말이 1차 인증을 성공 후 생성되는 네트워크 루트 키(

)에 기초하여 네트워크와 단말에서는 향후 응용 보안키 (application key)를 생성하는데 사용할 수 있는 루트 키로

를 생성할 수 있다. 여기서,

를 지칭할 수 있는 A-KID도 함께 생성될 수 있으며, 이는 상술한 바와 같다.

AUSF에서 생성된

는 AAnF에게 전달될 수 있다. 또한, 단말은

로부터

를 사전에 생성해 둘 수 있다. 이후, 단말은 AF에게 A-KID를 포함하여 어플리케이션 세션(application session) 생성을 요청할 수 있다. AF는 어플리케이션 세션 생성 요청에 포함된 A-KID를 검증하고, 이와 상응하는 보안 컨텍스트(security context)의 존재를 확인할 수 있다. 일 예로, 보안 컨텍스트가 존재하지 않는 경우, AF는 AAnF에게 신규

에 대한 생성을 요청할 수 있다. AAnF는 신규

를

를 기반으로 생성할 수 있고, 해당

의 유효 기간(expiration time)을 설정한 후 해당

와 유효 기간 정보를 AF에게 전달할 수 있다.

다만, 상술한 동작은 단말과 AF 모두 HPLMN(Home network)에 존재하는 경우에 적용될 수 있다. 단말이 VPLMN(visited network)에 접속하여 로밍 서비스가 필요한 경우에 AKMA 시스템에 기초하여 서비스를 제공받는 방법이 필요할 수 있다. 구체적으로, 단말이 VPLM에 접속하여 로밍 서비스가 필요한 경우, AKMA 서비스를 위한 동작이 필요할 수 있다.

일 예로, 단말이 VPLMN에 접속하여 로밍 서비스가 필요한 경우, 단말은 HPLMN뿐만 아니라 VPLMN의 AAnF에도 AKMA 키를 등록하여HPLMN과 VPLMN에서 모두에서 AKMA 서비스를 활용할 수 있으며, 하기에서는 이를 위한 구체적인 방법에 대해 서술한다.

도 14를 참조하면, 단말(1430)이 1차 인증 절차를 수행하는 경우, 단말(1430)은 SUCI 또는 5G-GUTI를 포함하는 메시지를 AMF(1440)로 전달할 수 있다. 여기서, AMF(1440)로 전달하는 메시지는 N1 메시지일 수 있다. SEAF는 인증절차를 위해서 AUSF(1450)으로 인증 요청 메시지(e.g. Nausf_UEAuthentication_Authenticate Request)를 전송할 수 있다. 일 예로, SEAF는 AMF의 부분 기능일 수 있으며, 이에 한정되지 않는다. 상술한 바를 통해 단말 인증 서비스가 수행될 수 있다. 여기서, SEAF가 AUSF(1450)로 전송하는 인증 요청 메시지(e.g. Nausf_UEAuthentication_Authenticate Request)는 SUCI 또는 SUPI와 서빙 네트워크 네임이 포함될 수 있다. AUSF(1450)는 인증 요청 메시지(e.g. Nausf_UEAuthentication_Authenticate Request)에 포함된 서빙 네트워크 네임을 통해 단말의 로밍 여부를 판단할 수 있으며, 이와 관련해서는 후술한다. 그 후, AUSF(1450)는 UDM(1460)으로 인증에 필요한 정보와 방법을 요청하는 메시지(e.g. Nudm_UEAuthentication_Get Request service operation)을 전달할 수 있다. 여기서, 상술한 메시지에는 SUCI 또는 SUPI가 포함될 수 있다. 그 후, UDM(1460)이 AUSF(1450)에게 응답하는 경우, 단말(1430)은 AKMA 서비스가 필요하다면 AKMA Ind를 회신 메시지에 포함시켜 AKMA 앵커 키 생성 여부를 지시할 수 있다. 일 예로, 응답 메시지에 AKMA Ind가 포함되어 있는 경우, UDM(1460)은 단말(1430)에 대한 RID(Routing Indicator)를 응답 메시지에 함께 포함하여 AUSF(1450)로 전달할 수 있다. AUSF(1450)가 AKMA Ind를 UDM(1460)으로부터 수신한 경우, AUSF(1450)는

를 저장하고

에 기초하여 AKMA 앵커 키(

)와 A-KID를 생성할 수 있다. 또한, 단말(1430)도 AKMA 앵커 키(

)와 A-KID를 생성할 수 있다. 그 후, 인증 방식에 기초하여 인증 절차가 수행될 수 있으며, 인증 방식은 상술한 도 6 또는 7와 같을 수 있으나, 특정 실시예로 한정되는 것은 아니다. 그 후, AUSF(1450)는 응답(e.g. Nausf_UEAuthentication_ Authenticate Response)을 통해 인증 절차 성공 여부를 AMF(또는 SEAF, 1440)로 지시할 수 있다. 구체적인 일 예로, 도 6과 같이 EAP AKA’에서 EAP 성공, 앵커 키 및 SUPI를 포함하는 응답이 SEAF로 전달될 수 있다. 또한, 도 7와 같이 5G AKA에서 결과(result), SUPI 및

를 포함하는 응답이 SEAF로 전달될 수 있다.

이때, 일 예로, AUSF(1450)는 AKMA 앵커 키 생성 후에 AAnF 발견 및 선택 절차를 통해 HPLMN의 AAnF(1470)를 선택할 수 있다. 그 후, AUSF(1450)는 생성한 A-KID와 AKMA 앵커 키(

)를 단말의 SUPI와 함께 HPLMN의 AAnF(1470)로 보낼 수 있다. 즉, AUSF(1450)는 AKMA 앵커 키 등록 요청 메시지(e.g. Naanf_AKMA_anchorkey_Register Request)를 AAnF(1470)로 전송할 수 있다. 여기서, AKMA 앵커 키 등록 요청 메시지(e.g. Naanf_AKMA_anchorkey_Register Request)는 생성된 A-KID, AKMA 앵커 키(

) 및 단말의 SUPI를 포함할 수 있다. 그 후, HPLMN의 AAnF(1470)는 AUSF(1450)으로 응답으로 등록 완료를 알릴 수 있다. 즉, HPLMN의 AAnF(1470)는 AKMA 앵커 키 등록 응답 메시지(e.g. Naanf_AKMA_anchorkey_Register Response)를 AUSF(1450)로 전송할 수 있다.

여기서, 일 예로, 단말(1430)이 로밍 단말이고, AKMA를 지원하는 경우, NRF(network repository function) 발견 및 선택 절차 또는 로컬 구성(local configuration)에 기초하여 VPLMN의 AAnF(1420)를 찾을 수 있다. NRF는 어떤 네트워크 기능이 어디에 위치하는지 알려주는 기능을 수행하며 이를 통해 VPLMN의 AAnF(1420)을 검색할 수 있다. 일 예로, AKMA 키 등록을 위해 인증 절차 성공 여부에 대한 상술한 AUSF(1450)의 응답(e.g. Nausf_UEAuthentication_ Authenticate Response)은 AKMA 앵커 키(

)와 A-KID를 더 포함할 수 있다. 즉, AUSF(1450)는 AKMA 앵커 키(

)와 A-KID를 VPLMN의 SEAF로 전달할 수 있다. AUSF(1450)는 상술한 바와 같이, 인증 요청 메시지(e.g. Nausf_UEAuthentication_Authenticate Request)의 서빙 네트워크 네임을 통해 단말의 로밍 여부를 판단할 수 있다.

그 후, VPLMN의 AMF(1440)는 NRF 발견 및 선택 절차 또는 로컬 구성에 기초하여 AAnF 인스턴스(AAnF instance)를 선택할 수 있다. 그 후, VPLMN의 AMF(1440)는 VPLMN의 AAnF(1420)로 전달 받은 A-KID와 AKMA 앵커 키(

)를 단말의 SUPI와 함께 전달할 수 있다. 즉, VPLMN의 AMF(1440)는 AKMA 앵커 키 등록 요청 메시지(e.g. Naanf_AKMA_anchorkey_Register Request)를 VPLMN의 AAnF(1420)로 전송할 수 있다. 여기서, AKMA 앵커 키 등록 요청 메시지(e.g. Naanf_AKMA_anchorkey_Register Request)는 생성된 A-KID, AKMA 앵커 키(

) 및 단말의 SUPI를 포함할 수 있다. 그 후, VPLMN의 AAnF(1420)는 VPLMN의 AMF(1440)로 응답을 통해 등록 완료를 알릴 수 있다. 즉, VPLMN의 AAnF(1420)는 AKMA 앵커 키 등록 응답 메시지(e.g. Naanf_AKMA_anchorkey_Register Response)를 VPLMN의 AMF(1440)로 전송할 수 있다. 즉, VPLMN의 AMF(1440)는 HPLMN의 AUSF(1450)부터 AKMA 서비스 지원을 위한 A-KID 및 AKMA 앵커 키(

)를 획득하고, 이를 통해 VPLMN의 AAnF(1420)로 키 등록 절차를 수행할 수 있다.

이후, 단말이 어플리케이션 서비스가 필요한 경우, 단말은 1차 인증 절차에서 생성한 A-KID를 서비스가 필요한 VPLMN 또는 HPLMN에 위치한 AF에 전달하면서 어플리케이션 세션 설립을 요청할 수 있다. AF는 수신한 A-KID를 통해 해당 요청이 로밍 단말을 위한 서비스인지 여부를 판단할 수 있으며, 이와 관련하여 후술한다.

일 예로, 단말이 로밍 단말인 경우, NRF 발견 및 선택 절차 또는 로컬 구성을 통해 검색한 VPLMN의 AAnF(1420)로 보안 키(application key)를 요청할 수 있으며, 도 14와 같을 수 있다. 보다 상세하게는, 단말(1430)은 Ua 인터페이스에 기초하여 VPLNM의 AF(1410)로 어플리케이션 세션 설립 요청을 전송할 수 있다. 여기서, 어플리케이션 세션 설립 요청은 A-KID를 포함할 수 있다. VPLMN의 AF(1410)가 수신한 A-KID와 관련된 보안 컨텍스트를 가지고 있지 않은 경우, VPLMN의 AF(1410)는 VPLMN의 AAnF(1420)에게 A-KID를 보내면서

를 요청할 수 있다. 일 예로, VPLMN의 AF(1410)는 VPLMN의 AAnF(1420)에게 단말의 AF_ID를 포함하여 요청을 수행할 수 있다. 그 후, VPLMN의 AAnF(1420)는 VPLMN의 AF(1410)에게 서비스를 제공할 수 있으면

를 생성하여 전달할 수 있다. 반면, VPLMN의 AAnF(1420)는 VPLMN의 AF(1410)에게 서비스 제공이 불가능한 경우, 해당 절차를 중단할 수 있다. 구체적으로, VPLMN의 AAnF(1420)는 A-KID와 관련 있는

의 존재로 AKMA를 사용할 수 있는지 여부를 검증할 수 있다. 여기서, VPLMN의 AAnF(1420)에 일치하는 KAKMA가 존재하는 경우, VPLMN의 AAnF(1420)는 이전에 만든

가 없다면

를 생성할 수 있다. 그 후, VPLMN의 AAnF(1420)는 VPLMN의 AF(1410)로 SUPI, 생성한

및

만료 시간을 전달할 수 있다. 그 후, VPLMN의 AF(1410)는 어플리케이션 세션 완료를 단말(1430)에게 알릴 수 있다. 어플리케이션 세션이 생성되면 단말과 어플리케이션은 해당 세션을 통해 통신을 수행할 수 있다.

반면, 단말이 로밍 단말이 아닌 경우, NRF 발견 및 선택 절차 또는 로컬 구성을 통해 검색한 HPLMN의 AAnF(1570)으로 보안 키(application key)를 요청할 수 있으며, 도 15과 같을 수 있다. 보다 상세하게는, 단말(1530)은 Ua 인터페이스에 기초하여 HPLNM의 AF(1580)로 어플리케이션 세션 설립 요청을 전송할 수 있다. 여기서, 어플리케이션 세션 설립 요청은 A-KID를 포함할 수 있다. HPLMN의 AF(1580)가 수신한 A-KID와 관련된 보안 컨텍스트를 가지고 있지 않은 경우, HPLMN의 AF(1580)는 HPLMN의 AAnF(1570)에게 A-KID를 보내면서

를 요청한다. 일 예로, HPLMN의 AF(1580)는 HPLMN의 AAnF(1570)에게 단말의 AF_ID를 포함하여 요청을 수행할 수 있다. 그 후, HPLMN의 AAnF(1570)는 HPLMN의 AF(1580)에게 서비스를 제공할 수 있으면

를 생성하여 전달할 수 있다. 반면, HPLMN의 AAnF(1570)는 HPLMN의 AF(1580)에게 서비스 제공이 불가능한 경우, 해당 절차를 중단할 수 있다. 구체적으로, HPLMN의 AAnF(1570)는 A-KID와 관련 있는

의 존재로 AKMA를 사용할 수 있는지 여부를 검증할 수 있다. 여기서, HPLMN의 AAnF(1570)에 일치하는

가 존재하는 경우, HPLMN의 AAnF(1570)는 이전에 만든

가 없다면

를 생성할 수 있다. 그 후, HPLMN의 AAnF(1570)는 HPLMN의 AF(1580)로 SUPI, 생성한

및

만료 시간을 전달할 수 있다. 그 후, HPLMN의 AF(1580)는 어플리케이션 세션 완료를 단말(1530)에게 알릴 수 있다. 어플리케이션 세션이 생성되면 단말과 어플리케이션은 해당 세션을 통해 통신을 수행할 수 있다.

도 16은 본 개시에 적용 가능한 A-KID를 나타낸 도면이다. 상술한 도 14 및 도 15에서 AF는 수신한 A-KID를 통해 해당 요청이 로밍 단말을 위한 서비스인지 여부를 판단할 수 있다. 구체적으로, 도 16을 참조하면, A-KID는 “username@realm”의 형식으로 구성될 수 있다. AF는 홈 네트워크 식별자(home network identifier)를 의미하는 “realm”의 정보와 AF가 자신이 서비스 동의(service agreement)를 맺은 사업자 네트워크 ID (e.g. PLMN ID, network name)를 통해 단말이 로밍 단말인지 여부를 판단할 수 있다. 구체적인 일 예로, “realm”의 홈 네트워크 식별자가 서비스 동의(service agreement)를 맺은 사업자와 같으면 HPLMN 내의 AKMA 서비스로 판단할 수 있다. 반면, “realm”의 홈 네트워크 식별자가 서비스 동의(service agreement)를 맺은 사업자와 다르면 로밍 단말의 AKMA 서비스라고 판단할 수 있다. 일 예로, AKMA 서비스가 로밍 단말의 서비스인 경우, NRF 발견 및 선택 절차 또는 로컬 구성을 통해 검색한 VPLMN의 AAnF으로 보안 키(application key)를 요청할 수 있다. 여기서, A-KID의 RID와 홈 네트워크 식별자가 이용될 수 있다.

또 다른 일 예로, VPLMN에서 AAnF 탐색 및 선택을 수행하는 경우, 홈 네트워크의 hNRF와 방문 네트워크의 vNRF 사이에서 RID에 기초하여 선택이 수행될 수 있다. 다만, RID는 UDM으로부터 획득되는 정보일 수 있으며, 이에 따라 HPLMN의 RID와 VPLMN의 RID가 상이할 수 있다. 따라서, HPLMN에 기초한 A-KID의 RID를 이용하는 경우에 잘못된 AAnF 인스턴스를 검색할 수 있다. VPLMN에서 AAnF 탐색 및 선택을 수행하는 경우, A-KID와 함께 추가로 서빙 PLMN ID와 홈 네트워크 ID(home network ID)가 활용될 수 있다. 여기서, 서빙 PLMN ID는 단말이 사용하는 IP 주소 범위(IP address range) 정보 및 그 밖의 정보를 통해 인지될 수 있으며, 특정 형태로 한정되지 않는다.

또 다른 일 예로, AKMA에서 A-KID가 새롭게 정의될 수 있다. 일 예로, 도 16을 참조하면, 기존의 A-KID 형식은 “username@realm”일 수 있다. 여기서, A-KID는 “RID + A-TID @ home network Identifier”의 포맷일 수 있다. 이때, 일 예로, username에 서빙 PLMN ID를 추가하여 VPLMN에서 NRF를 통해 AAnF 인스턴스(AAnF instance)를 찾을 때 활용할 수 있다. 즉, A-KID는 하기 표 1가 같이 사용될 수 있다. 여기서, 로밍이 아닌 경우에는 서빙 PLMN ID를 특정 초기 값(e.g. 000 000 or 000 00)으로 채울 수 있으며, 특정 실시예로 한정되지 않는다.

[표 1]

도 17은 본 개시에 적용 가능한 AKMA 키 등록 방법을 나타낸 도면이다. 도 17을 참조하면, 단말과 AUSF 각각은 1차 인증 동안에 A-KID 및 KAKMA를 각각 생성할 수 있다. (S1710) 여기서, AUSF는 1차 인증이 트리거링에 기초하여 N1 메시지를 통해 수신했던 서빙 네트워크 네임에 기초하여 단말의 로밍 여부를 판단할 수 있다.(S1720) 여기서, 단말이 로밍 단말이 아닌 경우, AUSF는 HPLMN에 있는 AAnF에 키 등록 절차를 수행할 수 있다.(S1730) 반면, 단말이 로밍 단말인 경우, AUSF는 VPLMN의 AMF로 AKMA 앵커 키를 전달할 수 있다.(S1740) 그 후, HPLMN에 있는 AAnF에 키 등록 절차를 수행하고, VPLMN에 있는 AAnF에도 키 등록 절차를 수행할 수 있다.(S1750) 일 예로, 각 네트워크로의 키 등록 절차 순서는 무관할 수 있다. 로밍하는 단말의 경우, 키 등록 절차를 통해

가 VPLMN의 AAnF에 등록되었기 때문에 VPLMN에 있는 AF에게 어플리케이션 세션 요청을 수행하는 경우에 세션이 생성될 수 있다. 즉, HPLMN의 AUSF는 단말의 로밍 여부를 판단하여 직접 VPLMN의 AAnF로 키 등록 절차를 수행하여 AKMA 앵커 키를 등록할 수 있다.

도 18은 본 개시에 적용 가능한 AMF 동작에 대한 순서도이다. 도 18을 참조하면, AMF는 단말로부터 1차 인증(primary authentication)에 기초한 메시지를 수신할 수 있다.(S1810) 여기서, 해당 메시지는 SUCI(subscription concealed identifier) 또는 5G-GUTI(globally unique temporary identifier) 중 어느 하나를 포함할 수 있다. 또한, 일 예로, 메시지는 N1 메시지일 수 있으나, 특정 실시예로 한정되지 않는다.

다음으로, AMF는 메시지에 기초하여 SUCI 또는 SUPI(subscriber permanent identifier)와 서빙 네트워크 네임(SN-name)을 포함하는 인증 요청 메시지를 AUSF(authentication server function)로 전송할 수 있다. (S1820) 다음으로, AMF는 AUSF로부터 인증 응답 메시지를 수신할 수 있다.(S1830) 여기서, 단말이 로밍된 단말이고 AKMA(Authentication and Key Management for Applications)가 지원되는 경우, 인증 응답 메시지는 AKMA 앵커 키 및 AKMA 앵커 키를 지시하는 A-KID를 포함할 수 있다. 그 후, AMF는 SUPI, AKMA 앵커 키 및 A-KID에 기초하여 AAnF(AKMA anchor function)로 AKMA 앵커 키 등록 절차를 수행할 수 있다.(S1840)

여기서, 일 예로, 단말이 로밍된 단말인 경우, AMF는 VPLMN(visited public land mobile network)에 대한 AMF이고, AAnF는 VPLMN의 AAnF일 수 있다. 이때, AUSF는 HPLMN(home PLMN)의 AUSF이고, AUSF는 단말의 로밍 여부와 무관하게 AKMA 앵커 키 및 A-KID에 기초하여 HPLMN의 AAnF와 AKMA 앵커 키 등록 절차를 수행할 수 있다. 일 예로, HPLMN의 AUSF는 서빙 네트워크 네임에 기초하여 단말이 로밍된 단말인지 여부를 판단할 수 있다. 여기서, 단말이 로밍된 단말인 경우, HPLMN의 AUSF는 AKMA 앵커 키 및 AKMA 앵커 키를 지시하는 A-KID를 포함하는 인증 메시지를 VPLMN에 대한 AMF로 전송할 수 있다. VPLMN에 대한 AMF는 VPLMN의 AAnF와 AKMA 앵커 키 등록 절차를 수행할 수 있다.

또한, 로밍된 단말이 VPLMN의 AF(application function)로 어플리케이션 세션 생성 요청을 전송하는 경우, VPLMN의 AAnF에 기초하여 어플리케이션 키가 단말로 제공될 수 있다. 반면, 로밍된 단말이 HPLMN의 AF로 어플리케이션 세션 생성 요청을 전송하는 경우, HPLMN에 대한 AAnF에 기초하여 어플리케이션 키가 단말로 제공될 수 있다.

여기서, 로밍된 단말이 전송하는 어플리케이션 세션 요청에는 A-KID가 포함되고, AF는 A-KID에 기초하여 단말이 로밍된 단말인지 여부를 판단할 수 있다.

일 예로, 단말이 로밍된 단말로 판단된 경우, AF는 VPLMN의 AAnF로 어플리케이션 키를 요청하여 AKMA 앵커 키로부터 도출되는 어플리케이션 키 및 어플리케이션 키 유효 시간 정보를 획득하여 단말과 어플리케이션 세션 설립을 수행할 수 있다. 반면, 단말이 로밍되지 않는 단말로 판단된 경우, AF는 HPLMN의 AAnF로 어플리케이션 키를 요청하여 AKMA 앵커 키로부터 도출되는 어플리케이션 키 및 어플리케이션 키 유효 시간 정보를 획득하여 단말과 어플리케이션 세션 설립을 수행할 수 있다.

또한, 일 예로, VPLMN에 대한 AMF는 NRF(network repository function) 발견 및 선택 절차 또는 로컬 구성(local configuration)에 기초하여 A-KID 내의 RID(routing indicator)와 홈 네트워크 식별자(home network identifier)를 통해 VPLMN의 AAnF를 선택할 수 있다. 여기서, VPLMN에 대한 AMF는 서빙 PLMN ID(serving PLMN ID)를 더 활용하여 VPLMN의 AAnF를 선택할 수 있다. 이때, A-KID는 서빙 PLMN ID를 더 포함하되, 단말이 로밍된 단말이 경우, A-KID 내의 서빙 PLMN ID는 VPLMN ID를 지시할 수 있다. 반면, 단말이 로밍되지 않은 단말인 경우, A-KID 내의 서빙 PLMN ID는 기 설정된 값으로 설정될 수 있으며, 이는 상술한 바와 같다. 또한, 단말과 AUSF가 1차 인증을 수행하는 경우, AUSF는 UDM(unified data management)로부터 AKMA 지원 여부를 지시받을 수 있다. 여기서, AKMA를 지원하는 경우, 단말과 AUSF 각각에서 네트워크 루트 키에 기초하여 AKMA 앵커 키 및 A-KID가 생성될 수 있으며, 이는 상술한 바와 같다.

도 19를 참조하면, 단말은 1차 인증(primary authentication)에 기초한 메시지를 AMF(access and mobility management function)로 전송할 수 있다.(S1910) 여기서, 메시지는 SUCI(subscription concealed identifier) 또는 5G-GUTI(globally unique temporary identifier) 중 어느 하나를 포함할 수 있다. 여기서, 단말이 AKMA(Authentication and Key Management for Applications)를 지원하는 경우, 네트워크 루트 키에 기초하여 AKMA 앵커 키 및 AKMA 앵커 키를 지시하는 A-KID를 생성할 수 있다.(S1920) 그 후, 단말은 네트워크에 대한 인증을 완료할 수 있다.(S1930) 이때, 단말이 로밍된 단말인 경우, AMF는 AKMA 앵커 키 및 AKMA 앵커 키를 지시하는 A-KID를 획득하여 AAnF(AKMA anchor function)로 AKMA 앵커 키 등록 절차를 수행할 수 있다.

여기서, 단말이 전송하는 어플리케이션 세션 요청에는 A-KID가 포함되고, AF는 A-KID에 기초하여 단말이 로밍된 단말인지 여부를 판단할 수 있다.

상기 설명한 제안 방식에 대한 일례들 또한 본 개시의 구현 방법들 중 하나로 포함될 수 있으므로, 일종의 제안 방식들로 간주될 수 있음은 명백한 사실이다. 또한, 상기 설명한 제안 방식들은 독립적으로 구현될 수도 있지만, 일부 제안 방식들의 조합 (또는 병합) 형태로 구현될 수도 있다. 상기 제안 방법들의 적용 여부 정보 (또는 상기 제안 방법들의 규칙들에 대한 정보)는 기지국이 단말에게 사전에 정의된 시그널 (예: 물리 계층 시그널 또는 상위 계층 시그널)을 통해서 알려주도록 규칙이 정의될 수 있다.

본 개시는 본 개시에서 서술하는 기술적 아이디어 및 필수적 특징을 벗어나지 않는 범위에서 다른 특정한 형태로 구체화될 수 있다. 따라서, 상기의 상세한 설명은 모든 면에서 제한적으로 해석되어서는 아니되고 예시적인 것으로 고려되어야 한다. 본 개시의 범위는 첨부된 청구항의 합리적 해석에 의해 결정되어야 하고, 본 개시의 등가적 범위 내에서의 모든 변경은 본 개시의 범위에 포함된다. 또한, 특허청구범위에서 명시적인 인용 관계가 있지 않은 청구항들을 결합하여 실시 예를 구성하거나 출원 후의 보정에 의해 새로운 청구항으로 포함할 수 있다.

본 개시의 실시 예들은 다양한 무선접속 시스템에 적용될 수 있다. 다양한 무선접속 시스템들의 일례로서, 3GPP(3rd Generation Partnership Project) 또는 3GPP2 시스템 등이 있다.

본 개시의 실시 예들은 상기 다양한 무선접속 시스템뿐 아니라, 상기 다양한 무선접속 시스템을 응용한 모든 기술 분야에 적용될 수 있다. 나아가, 제안한 방법은 초고주파 대역을 이용하는 mmWave, THz 통신 시스템에도 적용될 수 있다.

추가적으로, 본 개시의 실시 예들은 자유 주행 차량, 드론 등 다양한 애플리케이션에도 적용될 수 있다.

Claims

무선 통신 시스템에서 AMF(access and mobility management function)의 동작 방법에 있어서,

단말로부터 1차 인증(primary authentication)에 기초한 메시지를 수신하는 단계로서, 상기 메시지는 SUCI(subscription concealed identifier) 또는 5G-GUTI(globally unique temporary identifier) 중 어느 하나를 포함하고;

상기 메시지에 기초하여 상기 SUCI 또는 SUPI(subscriber permanent identifier)와 서빙 네트워크 네임(SN-name)을 포함하는 인증 요청 메시지를 AUSF(authentication server function)로 전송하는 단계; 및

상기 AUSF로부터 인증 응답 메시지를 수신하는 단계를 포함하되,

상기 단말이 로밍된 단말이고 AKMA(Authentication and Key Management for Applications)가 지원되는 경우, 상기 인증 응답 메시지는 AKMA 앵커 키 및 상기 AKMA 앵커 키를 지시하는 A-KID를 포함하고,

상기 AMF는 상기 SUPI, 상기 AKMA 앵커 키 및 상기 A-KID에 기초하여 AAnF(AKMA anchor function)로 AKMA 앵커 키 등록 절차를 수행하는, 동작 방법.
제1 항에 있어서,

상기 단말이 로밍된 단말인 경우, 상기 AMF는 VPLMN(visited public land mobile network)에 대한 AMF이고, 상기 AAnF는 VPLMN의 AAnF인, 동작 방법.
제2 항에 있어서,

상기 AUSF는 HPLMN(home PLMN)의 AUSF이고, 상기 AUSF는 상기 단말의 로밍 여부와 무관하게 상기 AKMA 앵커 키 및 상기 A-KID에 기초하여 상기 HPLMN의 AAnF와 AKMA 앵커 키 등록 절차를 수행하는, 동작 방법.
제3 항에 있어서,

상기 HPLMN의 AUSF는 상기 서빙 네트워크 네임에 기초하여 상기 단말이 상기 로밍된 단말인지 여부를 판단하고,

상기 단말이 상기 로밍된 단말인 경우, 상기 HPLMN의 AUSF는 상기 AKMA 앵커 키 및 상기 AKMA 앵커 키를 지시하는 A-KID를 포함하는 상기 인증 메시지를 상기 VPLMN에 대한 AMF로 전송하고,

상기 VPLMN에 대한 AMF는 상기 VPLMN의 AAnF와 상기 AKMA 앵커 키 등록 절차를 수행하는, 동작 방법.
제4 항에 있어서,

상기 로밍된 단말이 VPLMN의 AF(application function)로 어플리케이션 세션 생성 요청을 전송하는 경우, 상기 VPLMN의 AAnF에 기초하여 어플리케이션 키가 상기 단말로 제공되고,

상기 로밍된 단말이 HPLMN의 AF로 어플리케이션 세션 생성 요청을 전송하는 경우, 상기 HPLMN에 대한 AAnF에 기초하여 어플리케이션 키가 상기 단말로 제공되는, 동작 방법.
제5 항에 있어서,

상기 단말이 전송하는 상기 어플리케이션 세션 요청에는 상기 A-KID가 포함되고, AF는 상기 A-KID에 기초하여 상기 단말이 상기 로밍된 단말인지 여부를 판단하는, 동작 방법.
제6 항에 있어서,

상기 단말이 상기 로밍된 단말로 판단된 경우, 상기 AF는 상기 VPLMN의 AAnF로 상기 어플리케이션 키를 요청하여 상기 AKMA 앵커 키로부터 도출되는 상기 어플리케이션 키 및 어플리케이션 키 유효 시간 정보를 획득하여 상기 단말과 어플리케이션 세션 설립을 수행하는, 동작 방법.
제6 항에 있어서,

상기 단말이 상기 로밍되지 않는 단말로 판단된 경우, 상기 AF는 상기 HPLMN의 AAnF로 상기 어플리케이션 키를 요청하여 상기 AKMA 앵커 키로부터 도출되는 상기 어플리케이션 키 및 어플리케이션 키 유효 시간 정보를 획득하여 상기 단말과 어플리케이션 세션 설립을 수행하는, 동작 방법.
제2 항에 있어서,

상기 VPLMN에 대한 AMF는 NRF(network repository function) 발견 및 선택 절차 또는 로컬 구성(local configuration)에 기초하여 상기 A-KID 내의 RID(routing indicator)와 홈 네트워크 식별자(home network identifier)를 통해 상기 VPLMN의 AAnF를 선택하는, 동작 방법.
제9 항에 있어서,

상기 VPLMN에 대한 AMF는 서빙 PLMN ID(serving PLMN ID)를 더 활용하여 상기 VPLMN의 AAnF를 선택하는, 동작 방법.
제10 항에 있어서,

상기 A-KID는 상기 서빙 PLMN ID를 더 포함하되,

상기 단말이 상기 로밍된 단말이 경우, 상기 A-KID 내의 상기 서빙 PLMN ID는 상기 VPLMN ID를 지시하고,

상기 단말이 로밍되지 않은 단말인 경우, 상기 A-KID 내의 상기 서빙 PLMN ID는 기 설정된 값으로 설정되는, 동작 방법.
제1 항에 있어서,

상기 단말과 상기 AUSF가 상기 1차 인증을 수행하는 경우, 상기 AUSF는 UDM(unified data management)로부터 상기 AKMA 지원 여부를 지시받고,

상기 AKMA를 지원하는 경우, 상기 단말과 상기 AUSF 각각에서 네트워크 루트 키에 기초하여 상기 AKMA 앵커 키 및 상기 A-KID가 생성되는, 동작 방법.
제1 항에 있어서,

상기 단말로부터 수신하는 상기 1차 인증(primary authentication)에 기초한 메시지는 N1 메시지인, 동작 방법.
무선 통신 시스템에서 동작하는 AMF(access and mobility management function)에 있어서,

적어도 하나의 송수신기;

적어도 하나의 프로세서; 및

상기 적어도 하나의 프로세서에 동작 가능하도록 연결되고, 실행될 경우 상기 적어도 하나의 프로세서가 특정 동작을 수행하도록 하는 명령들(instructions)을 저장하는 적어도 하나의 메모리를 포함하고,

상기 특정 동작은:

단말로부터 1차 인증(primary authentication)에 기초한 메시지를 수신하도록 상기 적어도 하나의 송수신기를 제어하되, 상기 메시지는 SUCI(subscription concealed identifier) 또는 5G-GUTI(globally unique temporary identifier) 중 어느 하나를 포함하고,

상기 메시지에 기초하여 상기 SUCI 또는 SUPI(subscriber permanent identifier)와 서빙 네트워크 네임(SN-name)을 포함하는 인증 요청 메시지를 AUSF(authentication server function)로 전송하도록 상기 적어도 하나의 송수신기를 제어하고, 및

상기 AUSF로부터 인증 응답 메시지를 수신하도록 상기 적어도 하나의 송수신기를 제어하되,

상기 단말이 로밍된 단말이고 AKMA(Authentication and Key Management for Applications)가 지원되는 경우, 상기 인증 응답 메시지는 AKMA 앵커 키 및 상기 AKMA 앵커 키를 지시하는 A-KID를 포함하고,

상기 AMF는 상기 SUPI, 상기 AKMA 앵커 키 및 상기 A-KID에 기초하여 AAnF(AKMA anchor function)로 AKMA 앵커 키 등록 절차를 수행하는, AMF.
무선 통신 시스템에서 단말 동작 방법에 있어서,

1차 인증(primary authentication)에 기초한 메시지를 AMF(access and mobility management function)로 전송하는 단계로서, 상기 메시지는 SUCI(subscription concealed identifier) 또는 5G-GUTI(globally unique temporary identifier) 중 어느 하나를 포함하고; 및

상기 단말이 AKMA(Authentication and Key Management for Applications)를 지원하는 경우, 네트워크 루트 키에 기초하여 AKMA 앵커 키 및 상기 AKMA 앵커 키를 지시하는 A-KID를 생성하는 단계; 및

네트워크에 대한 인증을 완료하는 단계를 포함하되,

상기 단말이 로밍된 단말인 경우, 상기 AMF는 상기 AKMA 앵커 키 및 상기 AKMA 앵커 키를 지시하는 상기 A-KID를 획득하여 AAnF(AKMA anchor function)로 AKMA 앵커 키 등록 절차를 수행하는, 동작 방법.
무선 통신 시스템에서 동작하는 단말에 있어서,

적어도 하나의 송수신기;

적어도 하나의 프로세서; 및

상기 적어도 하나의 프로세서에 동작 가능하도록 연결되고, 실행될 경우 상기 적어도 하나의 프로세서가 특정 동작을 수행하도록 하는 명령들(instructions)을 저장하는 적어도 하나의 메모리를 포함하고,

상기 특정 동작은:

1차 인증(primary authentication)에 기초한 메시지를 AMF(access and mobility management function)로 전송하도록 상기 적어도 하나의 송수신기를 제어하되, 상기 메시지는 SUCI(subscription concealed identifier) 또는 5G-GUTI(globally unique temporary identifier) 중 어느 하나를 포함하고; 및

상기 단말이 AKMA(Authentication and Key Management for Applications)를 지원하는 경우, 네트워크 루트 키에 기초하여 AKMA 앵커 키 및 상기 AKMA 앵커 키를 지시하는 A-KID를 생성하고, 및

네트워크에 대한 인증을 완료하되,

상기 단말이 로밍된 단말인 경우, 상기 AMF는 상기 AKMA 앵커 키 및 상기 AKMA 앵커 키를 지시하는 상기 A-KID를 획득하여 AAnF(AKMA anchor function)로 AKMA 앵커 키 등록 절차를 수행하는, 단말.
적어도 하나의 메모리 및 상기 적어도 하나의 메모리들과 기능적으로 연결되어 있는 적어도 하나의 프로세서를 포함하는 장치에 있어서,

상기 적어도 하나의 프로세서는 상기 장치가,

단말로부터 1차 인증(primary authentication)에 기초한 메시지를 수신하도록 제어하되, 상기 메시지는 SUCI(subscription concealed identifier) 또는 5G-GUTI(globally unique temporary identifier) 중 어느 하나를 포함하고,

상기 메시지에 기초하여 상기 SUCI 또는 SUPI(subscriber permanent identifier)와 서빙 네트워크 네임(SN-name)을 포함하는 인증 요청 메시지를 AUSF(authentication server function)로 전송하도록 제어하고, 및

상기 AUSF로부터 인증 응답 메시지를 수신하도록 제어하되,

상기 단말이 로밍된 단말이고 AKMA(Authentication and Key Management for Applications)가 지원되는 경우, 상기 인증 응답 메시지는 AKMA 앵커 키 및 상기 AKMA 앵커 키를 지시하는 A-KID를 포함하고,

상기 AMF는 상기 SUPI, 상기 AKMA 앵커 키 및 상기 A-KID에 기초하여 AAnF(AKMA anchor function)로 AKMA 앵커 키 등록 절차를 수행하는, 장치.
적어도 하나의 명령어(instructions)을 저장하는 비-일시적인(non-transitory) 컴퓨터 판독 가능 매체(computer-readable medium)에 있어서,

프로세서에 의해 실행 가능한(executable) 상기 적어도 하나의 명령어를 포함하며,

상기 적어도 하나의 명령어는, 장치가

단말로부터 1차 인증(primary authentication)에 기초한 메시지를 수신하도록 제어하되, 상기 메시지는 SUCI(subscription concealed identifier) 또는 5G-GUTI(globally unique temporary identifier) 중 어느 하나를 포함하고,

상기 메시지에 기초하여 상기 SUCI 또는 SUPI(subscriber permanent identifier)와 서빙 네트워크 네임(SN-name)을 포함하는 인증 요청 메시지를 AUSF(authentication server function)로 전송하도록 제어하고, 및

상기 AUSF로부터 인증 응답 메시지를 수신하도록 제어하되,

상기 단말이 로밍된 단말이고 AKMA(Authentication and Key Management for Applications)가 지원되는 경우, 상기 인증 응답 메시지는 AKMA 앵커 키 및 상기 AKMA 앵커 키를 지시하는 A-KID를 포함하고,

상기 AMF는 상기 SUPI, 상기 AKMA 앵커 키 및 상기 A-KID에 기초하여 AAnF(AKMA anchor function)로 AKMA 앵커 키 등록 절차를 수행하는, 컴퓨터 판독 가능 매체.