WO2023003113A1

WO2023003113A1 - 무선 통신 시스템에서 단말 동작 방법 및 장치

Info

Publication number: WO2023003113A1
Application number: PCT/KR2022/001228
Authority: WO
Inventors: 김동주; 김현숙
Original assignee: LG Electronics Inc
Current assignee: LG Electronics Inc
Priority date: 2021-07-22
Filing date: 2022-01-24
Publication date: 2023-01-26
Anticipated expiration: 2024-01-22
Also published as: EP4376461A1; US20240292219A1; EP4376461A4

Abstract

본 개시는 무선 통신 시스템에서 단말 동작 방법에 있어서, 단말이 DCS의 공개키로 고유 식별자를 암호화하여 SUCI를 생성하는 단계, 생성된 SUCI 및 제 1 SNPN ID를 포함하는 등록 요청을 온보딩 네트워크로 전송하는 단계, 온보딩 네트워크와 양방향 인증을 수행하는 단계, 양방향 인증이 완료된 경우, 온보딩 네트워크로부터 프로비저닝 서버 주소(PS_address) 및 프로비저닝 서버 토큰(PS_token)을 수신하는 단계, 수신한 PS_address에 기초하여 프로비저닝 서버로 고유 식별자 및 PS_token을 포함하는 자격 요청을 전송하는 단계 및 프로비저닝 서버로부터 제 1 SNPN의 자격을 제공받는 단계를 포함할 수 있다.

Description

무선 통신 시스템에서 단말 동작 방법 및 장치

이하의 설명은 무선 통신 시스템에 대한 것으로, 단말 동작 방법 및 장치에 대한 것이다. 구체적으로, 단말이 접속하고자 하는 SNPN(standalone NPN) 자격을 동적으로 할당받는 방법에 대한 것이다.

무선 접속 시스템이 음성이나 데이터 등과 같은 다양한 종류의 통신 서비스를 제공하기 위해 광범위하게 전개되고 있다. 일반적으로 무선 접속 시스템은 가용한 시스템 자원(대역폭, 전송 파워 등)을 공유하여 다중 사용자와의 통신을 지원할 수 있는 다중 접속(multiple access) 시스템이다. 다중 접속 시스템의 예들로는 CDMA(code division multiple access) 시스템, FDMA(frequency division multiple access) 시스템, TDMA(time division multiple access) 시스템, OFDMA(orthogonal frequency division multiple access) 시스템, SC-FDMA(single carrier frequency division multiple access) 시스템 등이 있다.

특히, 많은 통신 기기들이 큰 통신 용량을 요구하게 됨에 따라 기존 RAT(radio access technology)에 비해 향상된 모바일 브로드밴드(enhanced mobile broadband, eMBB) 통신 기술이 제안되고 있다. 또한 다수의 기기 및 사물들을 연결하여 언제 어디서나 다양한 서비스를 제공하는 mMTC(massive machine type communications) 뿐만 아니라 신뢰성 (reliability) 및 지연(latency) 민감한 서비스/UE(user equipment)를 고려한 통신 시스템이 제안되고 있다. 이를 위한 다양한 기술 구성들이 제안되고 있다.

본 개시는 무선 통신 시스템에서 단말 동작 방법 및 장치를 제공할 수 있다.

본 개시는 무선 통신 시스템에서 단말이 접속하고자 하는 SNPN의 자격을 동적으로 할당받는 방법 및 장치를 제공할 수 있다.

본 개시는 무선 통신 시스템에서 단말이 온보딩 네트워크(onboarding network)와 양방향 인증을 수행하는 방법 및 장치를 제공할 수 있다.

본 개시는 무선 통신 시스템에서 단말이 온보딩 SNPN(O-SNPN)과 양방향을 인증을 수행하는 경우, 온보딩 네트워크에 프록시 기능 지원없이 양방향 인증을 수행하는 방법 및 장치를 제공할 수 있다.

본 개시는 무선 통신 시스템에서 단말이 온보딩 SNPN(O-SNPN)과 양방향을 인증을 수행하는 경우, DCS(default credential server)가 5GS를 인식하여 AUSF 및 UDM 기능을 지원하지 않더라도 양방향 인증을 수행하도록 하는 방법 및 장치를 제공할 수 있다.

본 개시에서 이루고자 하는 기술적 목적들은 이상에서 언급한 사항들로 제한되지 않으며, 언급하지 않은 또 다른 기술적 과제들은 이하 설명할 본 개시의 실시 예들로부터 본 개시의 기술 구성이 적용되는 기술분야에서 통상의 지식을 가진 자에 의해 고려될 수 있다.

본 개시의 일 예로서, 무선 통신 시스템에서 단말 동작 방법에 있어서, 단말이 DCS(default credential server)의 공개키로 고유 식별자를 암호화하여 SUCI(subscription concealed identifier)를 생성하는 단계, 생성된 SUCI 및 제 1 SNPN(standalone non public network) ID를 포함하는 등록 요청을 온보딩 네트워크로 전송하는 단계, 온보딩 네트워크와 양방향 인증을 수행하는 단계, 양방향 인증이 완료된 경우, 온보딩 네트워크로부터 프로비저닝 서버 주소(PS_address) 및 프로비저닝 서버 토큰(PS_token)을 수신하는 단계, 수신한 PS_address에 기초하여 프로비저닝 서버로 고유 식별자 및 PS_token을 포함하는 자격 요청을 전송하는 단계 및 프로비저닝 서버로부터 제 1 SNPN의 자격을 제공받는 단계를 포함할 수 있다.

또한, 본 개시의 일 예로서, 무선 통신 시스템에서 동작하는 단말에 있어서, 적어도 하나의 송수신기, 적어도 하나의 프로세서 및 적어도 하나의 프로세서에 동작 가능하도록 연결되고, 실행될 경우 적어도 하나의 프로세서가 특정 동작을 수행하도록 하는 명령들(instructions)을 저장하는 적어도 하나의 메모리를 포함하고, 특정 동작은: DCS(default credential server)의 공개키로 고유 식별자를 암호화하여 SUCI(subscription concealed identifier)를 생성하고, 송수신부를 생성된 SUCI 및 제 1 SNPN(standalone non public network) ID를 포함하는 등록 요청을 온보딩 네트워크로 전송하도록 제어하고, 온보딩 네트워크와 양방향 인증을 수행하고, 양방향 인증이 완료된 경우, 송수신부를 온보딩 네트워크로부터 프로비저닝 서버 주소(PS_address) 및 프로비저닝 서버 토큰(PS_token) 정보를 수신하도록 제어하고, 송수신부를 수신한 PS_address에 기초하여 프로비저닝 서버로 고유 식별자 및 PS_token을 포함하는 자격 요청을 전송하도록 제어하고, 및 송수신부를 프로비저닝 서버로부터 제 1 SNPN의 자격을 제공받도록 제어할 수 있다.

또한, 본 개시의 일 예로서, 무선 통신 시스템에서 온보딩 네트워크의 동작 방법에 있어서, 단말로부터 SUCI 및 제 1 SNPN ID를 포함하는 등록 요청을 수신하는 단계, 수신한 등록 요청에 기초하여 DCS로 인증 정보 요청을 전송하는 단계, 인증 정보 요청에 기초하여 제 1 인증서, 프로비저닝 서버의 주소(PS_address) 및 프로비저닝 서버 토큰(PS_token) 중 적어도 어느 하나를 포함하는 응답을 수신하는 단계, 수신한 응답에 기초하여 단말과 양방향 인증을 수행하는 단계 및 양방향 인증이 완료된 경우, 단말로 PS_address 및 PS_token을 전송하는 단계를 포함하되, 단말은 수신한 PS_address에 기초하여 프로비저닝 서버로 고유 식별자 및 PS_token을 포함하는 자격 요청을 전송하고, 프로비저닝 서버로부터 제 1 SNPN의 자격을 제공받을 수 있다.

또한, 본 개시의 일 예로서, 무선 통신 시스템에서 동작하는 네트워크에 있어서, 적어도 하나의 송수신기, 적어도 하나의 프로세서 및 적어도 하나의 프로세서에 동작 가능하도록 연결되고, 실행될 경우 적어도 하나의 프로세서가 특정 동작을 수행하도록 하는 명령들(instructions)을 저장하는 적어도 하나의 메모리를 포함하고, 특정 동작은 송수신부를 단말로부터 SUCI 및 제 1 SNPN ID를 포함하는 등록 요청을 수신하도록 제어하고, 송수신부를 수신한 등록 요청에 기초하여 DCS로 인증 정보 요청을 전송하도록 제어하고, 송수신부를 인증 정보 요청에 기초하여 제 1 인증서, 프로비저닝 서버의 주소(PS_address) 및 프로비저닝 서버 토큰(PS_token) 중 적어도 어느 하나를 포함하는 응답을 수신하도록 제어하고, 수신한 응답에 기초하여 단말과 양방향 인증을 수행하고, 및 양방향 인증이 완료된 경우, 송수신부를 단말로 PS_address 및 PS_token을 전송하도록 제어하되, 단말은 수신한 PS_address에 기초하여 프로비저닝 서버로 고유 식별자 및 PS_token을 포함하는 자격 요청을 전송하고, 프로비저닝 서버로부터 제 1 SNPN의 자격을 제공받을 수 있다.

또한, 본 개시의 일 예로서, 적어도 하나의 메모리 및 적어도 하나의 메모리들과 기능적으로 연결되어 있는 적어도 하나의 프로세서를 포함하는 장치에 있어서, 적어도 하나의 프로세서는 장치가, DCS(default credential server)의 공개키로 고유 식별자를 암호화하여 SUCI(subscription concealed identifier)를 생성하고, 생성된 SUCI 및 제 1 SNPN(standalone non public network) ID를 포함하는 등록 요청을 온보딩 네트워크로 전송하고, 온보딩 네트워크와 양방향 인증을 수행하고, 양방향 인증이 완료된 경우, 온보딩 네트워크로부터 프로비저닝 서버 주소(PS_address) 및 프로비저닝 서버 토큰(PS_token) 정보를 수신하고, 수신한 PS_address에 기초하여 프로비저닝 서버로 고유 식별자 및 PS_token을 포함하는 자격 요청을 전송하고, 및 프로비저닝 서버로부터 제 1 SNPN의 자격을 제공받을 수 있다.

또한, 본 개시의 일 예로서, 적어도 하나의 명령어(instructions)을 저장하는 비-일시적인(non-transitory) 컴퓨터 판독 가능 매체(computer-readable medium)에 있어서, 프로세서에 의해 실행 가능한(executable) 적어도 하나의 명령어를 포함하며, 적어도 하나의 명령어는, DCS(default credential server)의 공개키로 고유 식별자를 암호화하여 SUCI(subscription concealed identifier)를 생성하고, 생성된 SUCI 및 제 1 SNPN(standalone non public network) ID를 포함하는 등록 요청을 온보딩 네트워크로 전송하고, 온보딩 네트워크와 양방향 인증을 수행하고, 양방향 인증이 완료된 경우, 온보딩 네트워크로부터 프로비저닝 서버 주소(PS_address) 및 프로비저닝 서버 토큰(PS_token) 정보를 수신하고, 수신한 PS_address에 기초하여 프로비저닝 서버로 고유 식별자 및 PS_token을 포함하는 자격 요청을 전송하고, 및 프로비저닝 서버로부터 제 1 SNPN의 자격을 제공받을 수 있다.

또한, 다음의 사항들은 공통으로 적용될 수 있다.

본 개시의 일 예로서, 온보딩 네트워크의 AMF(access and mobility management function)가 단말로부터 등록 요청을 수신하고, AMF는 SUCI 및 제 1 SNPN ID를 포함하여 온보딩 네트워크의 AUSF(authentication server function)로 인증을 요청할 수 있다.

또한, 본 개시의 일 예로서, AMF가 AUSF로 인증을 요청하는 경우, AMF는 AUSF로 인증 방법 선택 지시 정보를 더 전송할 수 있다.

또한, 본 개시의 일 예로서, AUSF는 인증 방법 선택 지시 정보 및 SUCI의 도메인 정보를 확인하여 DCS를 검색하고, DCS로 단말 인증에 필요한 정보를 요청할 수 있다.

또한, 본 개시의 일 예로서, DCS로 전송되는 단말 인증에 필요한 정보에는 SUCI가 포함되고, DCS는 개인키를 통해 SUCI를 복호화하여 SUPI(subscriber identifier )를 생성하고, SUPI에 매핑되는 인증서를 검증할 수 있는 제 1 인증서를 생성하고, 제 1 SNPN ID에 기초하여 제 1 SNPN의 인증을 담당하는 프로비저닝 서버의 PS_address를 생성하고, 프로비저닝 서버와 단말이 인증에 사용하는 PS_token을 생성할 수 있다.

또한, 본 개시의 일 예로서, AUSF는 DCS로부터 제 1 인증서, 제 1 SNPN ID에 기초하여 제 1 SNPN의 인증을 담당하는 프로비저닝 서버의 PS_address 및 프로비저닝 서버가 단말 인증을 위해 사용하는 PS_token 정보를 수신할 수 있다.

또한, 본 개시의 일 예로서, 단말은 DSC로부터 고유 식별자, 공개키, DCS에 기초하여 발행된 단말 인증서, 및 온보딩 네트워크의 인증서를 검증할 수 있는 최상위/중간 인증 기관의 인증서(Root/Intermediary CA Certificates) 중 적어도 어느 하나를 사전에 제공받을 수 있다.

또한, 본 개시의 일 예로서, 양방향 인증은 EAP-TLS(extensible authentication protocol ? transport layer security) 프로토콜에 기초하여 수행될 수 있다.

또한, 본 개시의 일 예로서, 온보딩 네트워크는 O-SNPN(onboarding-standalone non-public network)일 수 있다.

또한, 본 개시의 일 예로서, 단말은 프로비저닝 서버로부터 전달받은 제 1 SNPN의 자격에 기초하여 제 1 SNPN으로 접속을 수행할 수 있다.

본 개시는 무선 통신 시스템에서 단말 동작 방법을 제공하는 효과가 있다.

본 개시는 무선 통신 시스템에서 단말이 접속하고자 하는 SNPN의 자격을 동적으로 할당받는 방법을 제공하는 효과가 있다.

본 개시는 무선 통신 시스템에서 단말이 온보딩 네트워크(onboarding network)와 양방향 인증을 수행하는 방법을 제공하는 효과가 있다.

본 개시는 무선 통신 시스템에서 단말이 온보딩 SNPN(O-SNPN)과 양방향을 인증을 수행하는 경우, 온보딩 네트워크에 프록시 기능 지원없이 양방향 인증을 수행하도록 할 수 있다.

본 개시는 무선 통신 시스템에서 단말이 온보딩 SNPN(O-SNPN)과 양방향을 인증을 수행하는 경우, DCS(default credential server)가 5GS를 인식하여 AUSF 및 UDM 기능을 지원하지 않더라도 양방향 인증을 수행하도록 할 수 있다.

본 개시의 실시 예들에서 얻을 수 있는 효과는 이상에서 언급한 효과들로 제한되지 않으며, 언급하지 않은 또 다른 효과들은 이하의 본 개시의 실시 예들에 대한 기재로부터 본 개시의 기술 구성이 적용되는 기술분야에서 통상의 지식을 가진 자에게 명확하게 도출되고 이해될 수 있다. 즉, 본 개시에서 서술하는 구성을 실시함에 따른 의도하지 않은 효과들 역시 본 개시의 실시 예들로부터 당해 기술분야의 통상의 지식을 가진 자에 의해 도출될 수 있다.

이하에 첨부되는 도면들은 본 개시에 관한 이해를 돕기 위한 것으로, 상세한 설명과 함께 본 개시에 대한 실시 예들을 제공할 수 있다. 다만, 본 개시의 기술적 특징이 특정 도면에 한정되는 것은 아니며, 각 도면에서 개시하는 특징들은 서로 조합되어 새로운 실시 예로 구성될 수 있다. 각 도면에서의 참조 번호(reference numerals)들은 구조적 구성요소(structural elements)를 의미할 수 있다.

도 1은 다양한 참조 포인트(reference point)들을 도시한 도면이다.

도 2는 본 개시에 적용 가능한 E-UTRAN(evolved universal terrestrial radio access network)의 네트워크 구조의 일 예를 도시한 도면이다.

도 3은 일반적인 E-UTRAN과 EPC(evolved packet core)의 아키텍처의 예를 도시한 도면이다.

도 4는 UE(user equipment)와 eNB(evolved node B) 사이의 제어 평면에서의 무선 인터페이스 프로토콜(radio interface protocol)의 구조의 예를 도시한 도면이다.

도 5는 UE와 eNB 사이의 사용자 평면에서의 무선 인터페이스 프로토콜의 구조의 예를 도시한 도면이다.

도 6은 일반적인 NR(new radio)-RAN(radio access network)의 아키텍쳐의 예를 도시한 도면이다.

도 7은 일반적인 NG-RAN과 5GC(5th generation core)의 기능적 분리의 예를 도시한 도면이다.

도 8은 5G(5th generation) 시스템의 일반적인 아키텍쳐의 예를 도시한 도면이다.

도 9는 본 개시에 적용될 수 있는 무선 기기의 예시를 도시한 도면이다.

도 10은 본 개시에 적용되는 무선 기기의 다른 예시를 도시한 도면이다.

도 11은 본 개시에 적용되는 휴대 기기의 예시를 도시한 도면이다.

도 12는 본 개시에 적용되는 단말이 자격 보유자의 자격을 통해 SNPN으로 접속을 수행하는 방법을 나타낸 도면이다.

도 13는 본 개시에 적용되는 O-SNPN에 기초하여 동적으로 자격을 제공받는 방법을 나타낸 도면이다.

도 14는 본 개시에서 적용되는 양 방향 인증 방식일 수 있다.

도 15은 본 개시에서 적용되는 단 방향 인증 방식일 수 있다.

도 16은 본 개시에 적용되는 인증을 수행하는 방법을 나타낸 도면이다.

도 17은 본 개시에 적용되는 단말이 인증을 수행하는 방법을 나타낸 도면이다.

도 18은 본 개시에 적용되는 단말 동작 방법을 나타낸 도면이다.

도 19는 본 개시에 적용되는 단말 동작 방법을 나타낸 도면이다.

이하의 실시 예들은 본 개시의 구성요소들과 특징들을 소정 형태로 결합한 것들이다. 각 구성요소 또는 특징은 별도의 명시적 언급이 없는 한 선택적인 것으로 고려될 수 있다. 각 구성요소 또는 특징은 다른 구성요소나 특징과 결합되지 않은 형태로 실시될 수 있다. 또한, 일부 구성요소들 및/또는 특징들을 결합하여 본 개시의 실시 예를 구성할 수도 있다. 본 개시의 실시 예들에서 설명되는 동작들의 순서는 변경될 수 있다. 어느 실시 예의 일부 구성이나 특징은 다른 실시 예에 포함될 수 있고, 또는 다른 실시 예의 대응하는 구성 또는 특징과 교체될 수 있다.

도면에 대한 설명에서, 본 개시의 요지를 흐릴 수 있는 절차 또는 단계 등은 기술하지 않았으며, 당업자의 수준에서 이해할 수 있을 정도의 절차 또는 단계는 또한 기술하지 아니하였다.

명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함(comprising 또는 including)"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다. 또한, 명세서에 기재된 "...부", "...기", "모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다. 또한, "일(a 또는 an)", "하나(one)", "그(the)" 및 유사 관련어는 본 개시를 기술하는 문맥에 있어서(특히, 이하의 청구항의 문맥에서) 본 명세서에 달리 지시되거나 문맥에 의해 분명하게 반박되지 않는 한, 단수 및 복수 모두를 포함하는 의미로 사용될 수 있다.

본 명세서에서 본 개시의 실시 예들은 기지국과 이동국 간의 데이터 송수신 관계를 중심으로 설명되었다. 여기서, 기지국은 이동국과 직접적으로 통신을 수행하는 네트워크의 종단 노드(terminal node)로서의 의미가 있다. 본 문서에서 기지국에 의해 수행되는 것으로 설명된 특정 동작은 경우에 따라서는 기지국의 상위 노드(upper node)에 의해 수행될 수도 있다.

즉, 기지국을 포함하는 다수의 네트워크 노드들(network nodes)로 이루어지는 네트워크에서 이동국과의 통신을 위해 수행되는 다양한 동작들은 기지국 또는 기지국 이외의 다른 네트워크 노드들에 의해 수행될 수 있다. 이때, '기지국'은 고정국(fixed station), Node B, eNB(eNode B), gNB(gNode B), ng-eNB, 발전된 기지국(advanced base station, ABS) 또는 억세스 포인트(access point) 등의 용어에 의해 대체될 수 있다.

또한, 본 개시의 실시 예들에서 단말(terminal)은 사용자 기기(user equipment, UE), 이동국(mobile station, MS), 가입자국(subscriber station, SS), 이동 가입자 단말(mobile subscriber station, MSS), 이동 단말(mobile terminal) 또는 발전된 이동 단말(advanced mobile station, AMS) 등의 용어로 대체될 수 있다.

또한, 송신단은 데이터 서비스 또는 음성 서비스를 제공하는 고정 및/또는 이동 노드를 말하고, 수신단은 데이터 서비스 또는 음성 서비스를 수신하는 고정 및/또는 이동 노드를 의미한다. 따라서, 상향링크의 경우, 이동국이 송신단이 되고, 기지국이 수신단이 될 수 있다. 마찬가지로, 하향링크의 경우, 이동국이 수신단이 되고, 기지국이 송신단이 될 수 있다.

본 개시의 실시 예들은 무선 접속 시스템들인 IEEE 802.xx 시스템, 3GPP(3rd Generation Partnership Project) 시스템, 3GPP LTE(Long Term Evolution) 시스템, 3GPP 5G(5^th generation) NR(New Radio) 시스템 및 3GPP2 시스템 중 적어도 하나에 개시된 표준 문서들에 의해 뒷받침될 수 있으며, 특히, 본 개시의 실시 예들은 3GPP TS(technical specification) 38.211, 3GPP TS 38.212, 3GPP TS 38.213, 3GPP TS 38.321 및 3GPP TS 38.331 문서들에 의해 뒷받침 될 수 있다.

또한, 본 개시의 실시 예들은 다른 무선 접속 시스템에도 적용될 수 있으며, 상술한 시스템으로 한정되는 것은 아니다. 일 예로, 3GPP 5G NR 시스템 이후에 적용되는 시스템에 대해서도 적용 가능할 수 있으며, 특정 시스템에 한정되지 않는다.

즉, 본 개시의 실시 예들 중 설명하지 않은 자명한 단계들 또는 부분들은 상기 문서들을 참조하여 설명될 수 있다. 또한, 본 문서에서 개시하고 있는 모든 용어들은 상기 표준 문서에 의해 설명될 수 있다.

이하, 본 개시에 따른 바람직한 실시 형태를 첨부된 도면을 참조하여 상세하게 설명한다. 첨부된 도면과 함께 이하에 개시될 상세한 설명은 본 개시의 예시적인 실시 형태를 설명하고자 하는 것이며, 본 개시의 기술 구성이 실시될 수 있는 유일한 실시형태를 나타내고자 하는 것이 아니다.

또한, 본 개시의 실시 예들에서 사용되는 특정 용어들은 본 개시의 이해를 돕기 위해서 제공된 것이며, 이러한 특정 용어의 사용은 본 개시의 기술적 사상을 벗어나지 않는 범위에서 다른 형태로 변경될 수 있다.

이하의 기술은 CDMA(code division multiple access), FDMA(frequency division multiple access), TDMA(time division multiple access), OFDMA(orthogonal frequency division multiple access), SC-FDMA(single carrier frequency division multiple access) 등과 같은 다양한 무선 접속 시스템에 적용될 수 있다.

이하 설명을 명확하게 하기 위해, 3GPP 통신 시스템(예, LTE, NR 등)을 기반으로 설명하지만 본 발명의 기술적 사상이 이에 제한되는 것은 아니다. LTE는 3GPP TS 36.xxx Release 8 이후의 기술을 의미할 수 있다. 세부적으로, 3GPP TS 36.xxx Release 10 이후의 LTE 기술은 LTE-A로 지칭되고, 3GPP TS 36.xxx Release 13 이후의 LTE 기술은 LTE-A pro로 지칭될 수 있다. 3GPP NR은 TS 38.xxx Release 15 이후의 기술을 의미할 수 있다. 3GPP 6G는 TS Release 17 및/또는 Release 18 이후의 기술을 의미할 수 있다. "xxx"는 표준 문서 세부 번호를 의미한다. LTE/NR/6G는 3GPP 시스템으로 통칭될 수 있다.

본 개시에 사용된 배경기술, 용어, 약어 등에 관해서는 본 발명 이전에 공개된 표준 문서에 기재된 사항을 참조할 수 있다. 일 예로, 36.xxx 및 38.xxx 표준 문서를 참조할 수 있다.

본 문서에서 사용될 수 있는 용어들은 다음과 같이 정의된다.

- IMS(IP Multimedia Subsystem or IP Multimedia Core Network Subsystem): IP 상으로 음성 또는 다른 멀티미디어 서비스를 배달하기 위한 표준화를 제공하기 위한 구조적(architectural) 프레임워크(framework).

- UMTS(Universal Mobile Telecommunications System): 3GPP에 의해서 개발된, GSM(Global System for Mobile Communication) 기반의 3 세대(Generation) 이동 통신 기술

- EPS(Evolved Packet System): IP(Internet Protocol) 기반의 패킷 교환(packet switched) 코어 네트워크인 EPC(Evolved Packet Core)와 LTE, UTRAN 등의 액세스 네트워크로 구성된 네트워크 시스템. UMTS가 진화된 형태의 네트워크이다.

- NodeB: UMTS 네트워크의 기지국. 옥외에 설치하며 커버리지는 매크로 셀(macro cell) 규모이다.

- eNodeB: EPS 네트워크의 기지국. 옥외에 설치하며 커버리지는 매크로 셀(macro cell) 규모이다.

- Home NodeB: UMTS 망의 Base station으로 옥내에 설치하며 커버리지는 마이크로 셀 규모

- Home eNodeB: EPS 망의 Base station으로 옥내에 설치하며 coverage는 마이크로 셀 규모

- 단말(User Equipment): 사용자 기기. 단말은 단말(terminal), ME(Mobile Equipment), MS(Mobile Station) 등의 용어로 언급될 수 있다. 또한, 단말은 노트북, 휴대폰, PDA(Personal Digital Assistant), 스마트폰, 멀티미디어 기기 등과 같이 휴대 가능한 기기일 수 있고, 또는 PC(Personal Computer), 차량 탑재 장치와 같이 휴대 불가능한 기기일 수도 있다. MTC 관련 내용에서 단말 또는 단말이라는 용어는 MTC 단말을 지칭할 수 있다.

- MTC(Machine Type Communication): 사람의 개입 없이 머신에 의해 수행되는 통신. M2M(Machine to Machine) 통신이라고 지칭할 수도 있다.

- MTC 단말(MTC UE 또는 MTC device 또는 MTC 장치): 이동 통신 네트워크를 통한 통신(예를 들어, PLMN을 통해 MTC 서버와 통신) 기능을 가지고, MTC 기능을 수행하는 단말(예를 들어, 자판기, 검침기 등).

- RAN(Radio Access Network): 3GPP 네트워크에서 Node B 및 이를 제어하는 RNC(Radio Network Controller), eNodeB를 포함하는 단위. 단말 단에 존재하며 코어 네트워크로의 연결을 제공한다.

- HLR(Home Location Register)/HSS(Home Subscriber Server): 3GPP 네트워크 내의 가입자 정보를 가지고 있는 데이터베이스. HSS는 설정 저장(configuration storage), 식별자 관리(identity management), 사용자 상태 저장 등의 기능을 수행할 수 있다.

- PLMN(Public Land Mobile Network): 개인들에게 이동 통신 서비스를 제공할 목적으로 구성된 네트워크. 오퍼레이터 별로 구분되어 구성될 수 있다.

- NAS(Non-Access Stratum): UMTS, EPS 프로토콜 스택에서 단말과 코어 네트워크 간의 시그널링, 트래픽 메시지를 주고받기 위한 기능적인 계층. 단말의 이동성을 지원하고, 단말과 PDN GW 간의 IP 연결을 수립 및 유지하는 세션 관리 절차를 지원하는 것을 주된 기능으로 한다.

- SCEF(Service Capability Exposure Function): 3GPP 네트워크 인터페이스에 의해 제공되는 서비스 및 능력(capability)를 안전하게 노출하기 위한 수단을 제공하는 서비스 능력 노출(service capability exposure)을 위한 3GPP 아키텍처 내 엔티티.

- MME(Mobility Management Entity): 이동성 관리 및 세션 관리 기능을 수행하는 EPS 망의 네트워크 노드

- PDN-GW(Packet Data Network Gateway): UE IP 주소 할당, 패킷 스크리닝 및 필터링, 충전 데이터 수집(Charging data collection) 기능을 수행하는 EPS 망의 네트워크 노드

- Serving GW(Serving Gateway): 이동성 앵커, 패킷 라우팅, Idle 모드 패킷 버퍼링, MME의 UE에 대한 페이징을 트리거링하는 등의 기능을 수행하는 EPS망의 네트워크 노드

- PCRF (Policy and Charging Rule Function): 서비스 플로우 별로 차별화된 QoS 및 과금 정책을 동적(dynamic)으로 적용하기 위한 정책 결정(Policy decision)을 수행하는 EPS 망의 노드

- OMA DM (Open Mobile Alliance Device Management): 핸드폰, PDA, 휴대용 컴퓨터 등과 같은 모바일 디바이스들 관리를 위해 디자인된 프로토콜로써, 디바이스 설정(configuration), 펌웨어 업그레이드(firmware upgrade), 오류 보고 (Error Report)등의 기능을 수행함.

- OAM (Operation Administration and Maintenance): 네트워크 결함 표시, 성능정보, 그리고 데이터와 진단 기능을 제공하는 네트워크 관리 기능군.

- PDN(Packet Data Network): 특정 서비스를 지원하는 서버(예를 들어, MMS server, WAP server 등)가 위치하고 있는 네트워크.

- PDN 연결: 단말에서 PDN으로의 연결, 즉, ip 주소로 표현되는 단말과 APN으로 표현되는 PDN과의 연관(연결)

- EMM (EPS Mobility Management): NAS 계층의 서브-계층으로서, UE가 네트워크 어태치(attach)되어 있는지 디태치(detach)되어 있는지에 따라 EMM은 "EMM-Registered" 아니면 "EMM-Deregistered" 상태에 있을 수 있다.

- ECM (EMM Connection Management) 연결(connection): UE와 MME가 사이에 수립(establish)된, NAS 메시지의 교환(exchange)을 위한 시그널링 연결(connection). ECM 연결은 UE와 eNB 사이의 RRC 연결과 상기 eNB와 MME 사이의 S1 시그널링 연결로 구성된 논리(logical) 연결이다. ECM 연결이 수립(establish)/종결(terminate)되면, 상기 RRC 및 S1 시그널링 연결은 마찬가지로 수립/종결된다. 수립된 ECM 연결은 UE에게는 eNB와 수립된 RRC 연결을 갖는 것을 의미하며, MME에게는 상기 eNB와 수립된 S1 시그널링 연결을 갖는 것을 의미한다. NAS 시그널링 연결, 즉, ECM 연결이 수립되어 있는지에 따라, ECM은 "ECM-Connected" 아니면 "ECM-Idle" 상태를 가질 수 있다.

- AS (Access-Stratum): UE와 무선(혹은 접속) 네트워크 간의 프로토콜 스택을 포함하며, 데이터 및 네트워크 제어 신호 전송 등을 담당한다.

- NAS 설정(configuration) MO (Management Object): NAS 기능(Functionality)과 연관된 파라미터들(parameters)을 UE에게 설정하는 과정에서 사용되는 MO (Management object).

- PDN(Packet Data Network): 특정 서비스를 지원하는 서버(예를 들어, MMS(Multimedia Messaging Service) 서버, WAP(Wireless Application Protocol) 서버 등)가 위치하고 있는 네트워크.

- PDN 연결: 하나의 IP 주소(하나의 IPv4 주소 및/또는 하나의 IPv6 프리픽스)로 표현되는, UE와 PDN 간의 논리적인 연결.

- APN (Access Point Name): PDN을 지칭하거나 구분하는 문자열. 요청한 서비스나 네트워크에 접속하기 위해서는 특정 P-GW를 거치게 되는데, 이 P-GW를 찾을 수 있도록 네트워크 내에서 미리 정의한 이름(문자열)을 의미한다. (예를 들어, internet.mnc012.mcc345.gprs)

- ANDSF(Access Network Discovery and Selection Function): 하나의 네트워크 엔티티(entity)로서 사업자 단위로 UE가 사용 가능한 접속(access)을 발견하고 선택하도록 하는 Policy를 제공.

- EPC 경로(또는 infrastructure data path): EPC를 통한 사용자 평면 커뮤니케이션 경로

- E-RAB (E-UTRAN Radio Access Bearer): S1 베어러와 해당 데이터 무선 베어러의 연결(concatenation)을 말한다. E-RAB가 존재하면 상기 E-RAB와 NAS의 EPS 베어러 사이에 일대일 매핑이 있다.

- GTP (GPRS Tunneling Protocol): GSM, UMTS 및 LTE 네트워크들 내에서 일반 패킷 무선 서비스(general packet radio service, GPRS)를 나르기 위해 사용되는 IP-기반 통신들 프로토콜들의 그룹. 3GPP 아키텍쳐 내에는, GTP 및 프록시 모바일 IPv6 기반 인터페이스들이 다양한 인터페이스 포인트 상에 특정(specify)되어 있다. GTP는 몇몇 프로토콜들(예, GTP-C, GTP-U 및 GTP')으로 분해(decompose)될 수 있다. GTP-C는 게이트웨이 GPRS 지원 노드들(GGSN) 및 서빙 GPRS 지원 노드들(SGSN) 간 시그널링을 위해 GPRS 코어(core) 네트워크 내에서 사용된다. GTP-C는 상기 SGSN이 사용자를 위해 세션을 활성화(activate)(예, PDN 컨텍스트 활성화(activation))하는 것, 동일 세션을 비활성화(deactivate)하는 것, 서비스 파라미터들의 품질(quality)를 조정(adjust)하는 것, 또는 다른 SGSN으로부터 막 동작한 가입자(subscriber)를 위한 세션을 갱신하는 것을 허용한다. GTP-U는 상기 GPRS 코어 네트워크 내에서 그리고 무선 접속 네트워크 및 코어 네트워크 간에서 사용자 데이터를 나르기 위해 사용된다.

이하, 위와 같이 정의된 용어를 바탕으로 본 명세서에 대하여 기술한다.

5G의 세 가지 주요 요구 사항 영역은 (1) 개선된 모바일 광대역 (Enhanced Mobile Broadband, eMBB) 영역, (2) 다량의 머신 타입 통신 (massive Machine Type Communication, mMTC) 영역 및 (3) 초-신뢰 및 저 지연 통신 (Ultra-reliable and Low Latency Communications, URLLC) 영역을 포함한다.

일부 사용 예(Use Case)는 최적화를 위해 다수의 영역들이 요구될 수 있고, 다른 사용 예는 단지 하나의 핵심 성능 지표 (Key Performance Indicator, KPI)에만 포커싱될 수 있다. 5G는 이러한 다양한 사용 예들을 유연하고 신뢰할 수 있는 방법으로 지원하는 것이다.

본 개시에 적용될 수 있는 5G 시스템 아키텍처

5G 시스템은 4세대 LTE 이동 통신 기술로부터 진보된 기술로서 기존 이동 통신망 구조의 개선(Evolution) 혹은 클린-스테이트(Clean-state) 구조를 통해 새로운 무선 액세스 기술(RAT: Radio Access Technology), LTE(Long Term Evolution)의 확장된 기술로서 eLTE(extended LTE), non-3GPP(예를 들어, WLAN) 액세스 등을 지원한다.

5G 시스템은 서비스-기반으로 정의되고, 5G 시스템을 위한 아키텍처(architecture) 내 네트워크 기능(NF: Network Function)들 간의 상호동작(interaction)은 다음과 같이 2가지 방식으로 나타낼 수 있다.

- 참조 포인트 표현(representation): 2개의 NF들(예를 들어, AMF 및 SMF) 간의 점-대-점 참조 포인트(예를 들어, N11)에 의해 기술되는 NF들 내 NF 서비스들 간의 상호 동작을 나타낸다.

- 서비스-기반 표현(representation): 제어 평면(CP: Control Plane) 내 네트워크 기능들(예를 들어, AMF)은 다른 인증된 네트워크 기능들이 자신의 서비스에 액세스하는 것을 허용한다. 이 표현은 필요한 경우 점-대-점(point-to-point) 참조 포인트(reference point)도 포함한다.

3GPP 시스템 일반

도 1은 다양한 참조 포인트(reference point)들을 도시한다.

도 1의 네트워크 구조의 예시에서는 SGW와 PDN GW가 별도의 게이트웨이로 구성되는 것을 나타내지만, 두 개의 게이트웨이가 단일 게이트웨이 구성 옵션(Single Gateway Configuration Option)에 따라 구현될 수도 있다.

MME는, UE의 네트워크 연결에 대한 액세스, 네트워크 자원의 할당, 트래킹(tracking), 페이징(paging), 로밍(roaming) 및 핸드오버 등을 지원하기 위한 시그널링 및 제어 기능들을 수행하는 요소이다. MME는 가입자 및 세션 관리에 관련된 제어 평면(control plane) 기능들을 제어한다. MME는 수많은 eNB들을 관리하고, 다른 2G/3G 네트워크에 대한 핸드오버를 위한 종래의 게이트웨이의 선택을 위한 시그널링을 수행한다. 또한, MME는 보안 과정(Security Procedures), 단말-대-네트워크 세션 핸들링(Terminal-to-network Session Handling), 휴지 단말 위치결정 관리(Idle Terminal Location Management) 등의 기능을 수행한다.

SGSN은 다른 3GPP 네트워크(예를 들어, GPRS 네트워크)에 대한 사용자의 이동성 관리 및 인증(authentication)과 같은 모든 패킷 데이터를 핸들링한다.

ePDG는 신뢰되지 않는 비-3GPP 네트워크(예를 들어, I-WLAN, WiFi 핫스팟(hotspot) 등)에 대한 보안 노드로서의 역할을 한다.

도 1을 참조하여 설명한 바와 같이, IP 능력(capability)를 가지는 UE는, 3GPP 액세스는 물론 비-3GPP 액세스 기반으로도 EPC 내의 다양한 요소들을 경유하여 사업자(즉, 운영자(operator))가 제공하는 IP 서비스 네트워크(예를 들어, IMS)에 액세스할 수 있다.

또한, 예를 들어, S1-U, S1-MME 등의 참조 포인트들은 상이한 기능 엔티티들에 존재하는 2개의 기능을 연결할 수 있다. 3GPP 시스템에서는 E-UTRAN 및 EPC의 상이한 기능 엔티티(functional entity)들에 존재하는 2 개의 기능을 연결하는 개념적인 링크를 참조 포인트라고 정의한다. 다음의 표 1은 도 1에 도시된 참조 포인트를 정리한 것이다. [표 1]의 예시들 외에도 네트워크 구조에 따라 다양한 참조 포인트들이 존재할 수 있다.

도 1에 도시된 참조 포인트 중에서 S2a 및 S2b는 비-3GPP 인터페이스에 해당한다. S2a는 신뢰되는 비-3GPP 액세스 및 PDN GW 간의 관련 제어 및 이동성 지원을 사용자 평면에 제공하는 참조 포인트다. S2b는 ePDG 및 PDN GW 간의 관련 제어 및 이동성 지원을 사용자 평면에 제공하는 참조 포인트다.

E-UTRAN 시스템은 기존 UTRAN 시스템에서 진화한 시스템으로, 예를 들어, 3GPP LTE/LTE-A 시스템일 수 있다. 통신 네트워크는 IMS 및 패킷 데이터를 통해 음성(voice)(예를 들어, VoIP(Voice over Internet Protocol))과 같은 다양한 통신 서비스를 제공하기 위하여 광범위하게 배치된다.

도 2를 참조하면, E-UMTS 네트워크는 E-UTRAN, EPC 및 하나 이상의 UE를 포함한다. E-UTRAN은 단말에게 제어 평면(control plane)과 사용자 평면(user plane) 프로토콜을 제공하는 eNB들로 구성되고, eNB들은 X2 인터페이스를 통해 연결된다.

X2 사용자 평면 인터페이스(X2-U)는 eNB들 사이에 정의된다. X2-U 인터페이스는 사용자 평면 PDU(packet data unit)의 보장되지 않은 전달(non guaranteed delivery)을 제공한다. X2 제어 평면 인터페이스(X2-CP)는 두 개의 이웃 eNB 사이에 정의된다. X2-CP는 eNB 간의 컨텍스트(context) 전달, 소스 eNB와 타겟 eNB 사이의 사용자 평면 터널의 제어, 핸드오버 관련 메시지의 전달, 상향링크 부하 관리 등의 기능을 수행한다.

eNB은 무선 인터페이스를 통해 단말과 연결되고 S1 인터페이스를 통해 EPC(evolved packet core)에 연결된다.

S1 사용자 평면 인터페이스(S1-U)는 eNB와 서빙 게이트웨이(S-GW: serving gateway) 사이에 정의된다. S1 제어 평면 인터페이스(S1-MME)는 eNB와 이동성 관리 개체(MME: mobility management entity) 사이에 정의된다. S1 인터페이스는 EPS(evolved packet system) 베어러 서비스 관리 기능, NAS(non-access stratum) 시그널링 트랜스포트 기능, 네트워크 쉐어링, MME 부하 밸런싱 기능 등을 수행한다. S1 인터페이스는 eNB와 MME/S-GW 간에 다수-대-다수 관계(many-to-many-relation)를 지원한다.

MME는 NAS 시그널링 보안(security), AS(Access Stratum) 보안(security) 제어, 3GPP 액세스 네트워크 간 이동성을 지원하기 위한 CN(Core Network) 노드 간(Inter-CN) 시그널링, (페이징 재전송의 수행 및 제어 포함하여) 아이들(IDLE) 모드 UE 접근성(reachability), (아이들 및 액티브 모드 단말을 위한) 트래킹 영역 식별자(TAI: Tracking Area Identity) 관리, PDN GW 및 SGW 선택, MME가 변경되는 핸드오버를 위한 MME 선택, 2G 또는 3G 3GPP 액세스 네트워크로의 핸드오버를 위한 SGSN 선택, 로밍(roaming), 인증(authentication), 전용 베어러 확립(dedicated bearer establishment)를 포함하는 베어러 관리 기능, 공공 경고 시스템(PWS: Public Warning System)(지진 및 쓰나미 경고 시스템(ETWS: Earthquake and Tsunami Warning System) 및 상용 모바일 경고 시스템(CMAS: Commercial Mobile Alert System) 포함) 메시지 전송의 지원 등의 다양한 기능을 수행할 수 있다.

도 3에 도시된 바와 같이, eNB는 RRC(Radio Resource Control) 연결이 활성화되어 있는 동안 게이트웨이로의 라우팅, 페이징 메시지의 스케줄링 및 전송, 방송 채널(BCH)의 스케줄링 및 전송, 업링크 및 다운링크에서의 자원을 UE에게 동적 할당, eNB의 측정을 위한 설정 및 제공, 무선 베어러 제어, 무선 허가 제어(radio admission control), 그리고 연결 이동성 제어 등을 위한 기능을 수행할 수 있다. EPC 내에서는 페이징 상황, LTE_IDLE 상태 관리, 사용자 평면의 암호화, SAE 베어러 제어, NAS 시그널링의 암호화 및 무결성 보호 기능을 수행할 수 있다.

3GPP TR 23.799의 Annex J에는 5G 및 4G를 조합한 다양한 아키텍쳐를 보여주고 있다. 그리고 3GPP TS 23.501에는 NR 및 NGC를 이용한 아키텍쳐가 나와 있다.

도 4는 UE(user equipment)와 eNB(evolved node B) 사이의 제어 평면에서의 무선 인터페이스 프로토콜(radio interface protocol)의 구조의 예를 도시한 도면이고, 도 5는 UE와 eNB 사이의 사용자 평면에서의 무선 인터페이스 프로토콜의 구조의 예를 도시한 도면이다.

상기 무선 인터페이스 프로토콜은 3GPP 무선 접속 네트워크 규격을 기반으로 한다. 상기 무선 인터페이스 프로토콜은 수평적으로 물리계층(Physical Layer), 데이터 링크 계층(Data Link Layer) 및 네트워크계층(Network Layer)으로 이루어지며, 수직적으로는 데이터정보 전송을 위한 사용자평면(User Plane)과 제어신호(Signaling) 전달을 위한 제어평면(Control Plane)으로 구분된다.

상기 프로토콜 계층들은 통신 시스템에서 널리 알려진 개방형 시스템간 상호접속(Open System Interconnection; OSI) 기준모델의 하위 3개 계층을 바탕으로 L1 (제1계층), L2 (제2계층), L3(제3계층)로 구분될 수 있다.

이하에서, 상기 도 4에 도시된 제어 평면의 무선 프로토콜과, 도 6에 도시된 사용자 평면에서의 무선 프로토콜의 각 계층을 설명한다.

제1 계층인 물리계층은 물리채널(Physical Channel)을 이용하여 정보전송서비스(Information Transfer Service)를 제공한다. 상기 물리계층은 상위에 있는 매체접속제어(Medium Access Control) 계층과는 전송 채널(Transport Channel)을 통해 연결되어 있으며, 상기 전송 채널을 통해 매체접속제어계층과 물리계층 사이의 데이터가 전달된다. 그리고, 서로 다른 물리계층 사이, 즉 전송측과 수신측의 물리계층 사이는 물리채널을 통해 데이터가 전달된다.

물리채널(Physical Channel)은 시간 축 상에 있는 여러 개의 서브프레임과 주파수축상에 있는 여러 개의 부반송파(subcarrier)로 구성된다. 여기서, 하나의 서브프레임(subframe)은 시간 축 상에 복수의 OFDM 심볼 (symbol)들과 복수의 부반송파들로 구성된다. 하나의 서브프레임은 복수의 자원블록(Resource Block)들로 구성되며, 하나의 자원블록은 복수의 OFDM 심볼(Symbol)들과 복수의 부반송파들로 구성된다. 데이터가 전송되는 단위시간인 TTI(Transmission Time Interval)는 1개의 서브프레임에 해당하는 1ms이다.

상기 전송 측과 수신 측의 물리계층에 존재하는 물리 채널들은 3GPP LTE에 따르면, 데이터 채널인 PDCSH(Physical Downlink Shared Channel)와 PUSCH(Physical Uplink Shared Channel) 및 제어채널인 PDCCH(Physical Downlink Control Channel), PCFICH(Physical Control Format Indicator Channel), PHICH(Physical Hybrid-ARQ Indicator Channel) 및 PUCCH(Physical Uplink Control Channel) 등으로 나눌 수 있다.

제2 계층에는 여러 가지 계층이 존재한다. 먼저, 제2계층의 매체접속제어 (Medium Access Control; MAC) 계층은 다양한 논리채널 (Logical Channel)을 다양한 전송채널에 매핑시키는 역할을 하며, 또한 여러 논리채널을 하나의 전송채널에 매핑시키는 논리채널 다중화 (Multiplexing)의 역할을 수행한다. MAC 계층은 상위계층인 RLC 계층과는 논리채널 (Logical Channel)로 연결되어 있으며, 논리채널은 크게 전송되는 정보의 종류에 따라 제어평면(Control Plane)의 정보를 전송하는 제어채널(Control Channel)과 사용자평면(User Plane)의 정보를 전송하는 트래픽채널(Traffic Channel)로 나뉜다.

제2 계층의 무선링크제어 (Radio Link Control; RLC) 계층은 상위계층으로부터 수신한 데이터를 분할 (Segmentation) 및 연결 (Concatenation)하여 하위계층이 무선 구간으로 데이터를 전송하기에 적합하도록 데이터 크기를 조절하는 역할을 수행한다.

제2 계층의 패킷 데이터 수렴 (Packet Data Convergence Protocol; PDCP) 계층은 IPv4나 IPv6와 같은 IP 패킷 전송시에 대역폭이 작은 무선 구간에서 효율적으로 전송하기 위하여 상대적으로 크기가 크고 불필요한 제어정보를 담고 있는 IP 패킷 헤더 사이즈를 줄여주는 헤더 압축 (Header Compression) 기능을 수행한다. 또한, LTE 시스템에서는 PDCP 계층이 보안 (Security) 기능도 수행하는데, 이는 제 3자의 데이터 감청을 방지하는 암호화 (Ciphering)와 제 3자의 데이터 조작을 방지하는 무결성 보호 (Integrity protection)로 구성된다.

제3 계층의 가장 상부에 위치한 무선 자원 제어(Radio Resource Control; 이하 RRC라 약칭함) 계층은 제어평면에서만 정의되며, 무선 베어러(Radio Bearer; RB라 약칭함)들의 설정(Configuration), 재설정(Re-configuration) 및 해제(Release)와 관련되어 논리 채널, 전송 채널 및 물리 채널들의 제어를 담당한다. 이때, RB는 UE와 E-UTRAN간의 데이터 전달을 위해 제2계층에 의해 제공되는 서비스를 의미한다.

UE의 RRC와 무선 네트워크의 RRC 계층 사이에 RRC 연결(RRC connection)이 수립된(established) 경우 UE는 RRC 연결 모드(Connected Mode)에 있게 되고, 그렇지 못할 경우 RRC 휴지 모드(Idle Mode)에 있게 된다.

이하 UE의 RRC 상태 (RRC state)와 RRC 연결 방법에 대해 설명한다. RRC 상태는 UE의 RRC가 E-UTRAN의 RRC와 논리적 연결(logical connection)이 되어 있는가 아닌가를 말하며, 연결되어 있는 경우는 RRC_CONNECTED 상태(state), 연결되어 있지 않은 경우는 RRC_IDLE 상태라고 부른다. RRC_CONNECTED 상태의 UE는 RRC 연결이 존재하기 때문에 E-UTRAN은 해당 UE의 존재를 셀 단위에서 파악할 수 있으며, 따라서 UE를 효과적으로 제어할 수 있다. 반면에 RRC_IDLE 상태의 UE는 E-UTRAN이 UE의 존재를 파악할 수는 없으며, 셀 보다 더 큰 지역 단위인 TA(Tracking Area) 단위로 코어 네트워크가 관리한다. 즉, RRC_IDLE 상태의 UE는 셀에 비하여 큰 지역 단위로 해당 UE의 존재 여부만 파악되며, 음성이나 데이터와 같은 통상의 이동통신 서비스를 받기 위해서는 해당 UE가 RRC_CONNECTED 상태로 천이하여야 한다. 각 TA는 TAI(Tracking area identity)를 통해 구분된다. UE는 셀에서 방송(broadcasting)되는 정보인 TAC(Tracking area code)를 통해 TAI를 구성할 수 있다.

사용자가 UE의 전원을 맨 처음 켰을 때, UE는 먼저 적절한 셀을 탐색한 후 해당 셀에서 RRC 연결을 맺고, 코어 네트워크에 UE의 정보를 등록한다. 이 후, UE는 RRC_IDLE 상태에 머무른다. RRC_IDLE 상태에 머무르는 UE는 필요에 따라서 셀을 (재)선택하고, 시스템 정보(System information)나 페이징 정보를 살펴본다. 이를 셀에 캠프 온(Camp on)한다고 한다. RRC_IDLE 상태에 머물러 있던 UE는 RRC 연결을 맺을 필요가 있을 때 비로소 RRC 연결 과정 (RRC connection procedure)을 통해 E-UTRAN의 RRC와 RRC 연결을 맺고 RRC_CONNECTED 상태로 천이한다. RRC_IDLE 상태에 있던 UE가 RRC 연결을 맺을 필요가 있는 경우는 여러 가지가 있는데, 예를 들어 사용자의 통화 시도, 데이터 전송 시도 등이 필요하다거나, 아니면 E-UTRAN으로부터 페이징 메시지를 수신한 경우 이에 대한 응답 메시지 전송 등을 들 수 있다.

상기 RRC 계층 상위에 위치하는 NAS(Non-Access Stratum) 계층은 연결관리(Session Management)와 이동성 관리(Mobility Management)등의 기능을 수행한다.

아래는 도 4에 도시된 NAS 계층에 대하여 상세히 설명한다.

NAS 계층에 속하는 ESM (Evolved Session Management)은 디폴트 베어러(default bearer) 관리, 전용 베어러(dedicated bearer) 관리와 같은 기능을 수행하여, UE가 네트워크로부터 PS 서비스를 이용하기 위한 제어를 담당한다. 디폴트 베어러 자원은 특정 Packet Data Network(PDN)에 최초 접속할 시에 네트워크에 접속될 때 네트워크로부터 할당 받는다는 특징을 가진다. 이때, 네트워크는 UE가 데이터 서비스를 사용할 수 있도록 UE가 사용 가능한 IP 주소를 할당하며, 또한 디폴트 베어러의 QoS를 할당해준다. LTE에서는 크게 데이터 전송/수신을 위한 특정 대역폭을 보장해주는 GBR(Guaranteed bit rate) QoS 특성을 가지는 베어러와 대역폭의 보장 없이 Best effort QoS 특성을 가지는 Non-GBR 베어러의 두 종류를 지원한다. 디폴트 베어러의 경우 Non-GBR 베어러를 할당 받는다. 전용 베어러의 경우에는 GBR 또는 Non-GBR의 QoS 특성을 가지는 베어러를 할당 받을 수 있다.

네트워크에서 UE에게 할당한 베어러를 EPS(evolved packet service) 베어러라고 부르며, EPS 베어러를 할당할 때 네트워크는 하나의 ID를 할당하게 된다. 이를 EPS 베어러 ID라고 부른다. 하나의 EPS 베어러는 MBR(maximum bit rate) 또는/그리고 GBR(guaranteed bit rate)의 QoS 특성을 가진다.

도 6은 일반적인 NR(new radio)-RAN(radio access network)의 아키텍쳐의 예를 도시한 도면이다. 도 6을 참조하면, NG-RAN 노드는 다음 중 하나일 수 있다.

- UE를 향하는 NR 사용자 평면 및 제어 평면 프로토콜을 제공하는 gNB; 또는

- UE를 향하는 E-UTRA 사용자 평면 및 제어 평면 프로토콜을 제공하는 ng-eNB.

gNB와 ng-eNB는 Xn 인터페이스를 통해 서로 연결된다. 또한 gNB와 ng-eNB는 5GC에 대한 NG 인터페이스를 통해, 보다 자세히는 NG-C 인터페이스를 통해, 액세스 및 이동성 관리 기능(AMF : Access and Mobility Management Function), NG-U 인터페이스를 통한 사용자 평면 기능(UPF : User Plane Function) 에 연결된다(3GPP TS 23.501 [3] 참조).

참고로 기능적 분리를 위한 아키텍쳐와 F1 인터페이스는 3GPP TS 38.401 [4]에 정의되어 있다.

도 7은 일반적인 NG-RAN과 5GC(5th generation core)의 기능적 분리의 예를 도시한 도면이다. 도 7을 참조하면, 노란색 박스는 논리적인 노드들을 나타내고 흰색 박스는 주요 기능을 나타낸다.

gNB 및 ng-eNB는 다음과 같은 기능을 호스트한다.

- 무선자원관리 기능 : 업링크와 다운링크(스케줄링) 모두에서 무선 베어러 제어, 무선 승인 제어, 접속 이동성 제어, UE에 대한 동적 자원 할당

- IP 헤더 압축, 암호화 및 데이터 무결성 보호;

- UE가 제공하는 정보로부터 AMF에 대한 라우팅을 결정할 수 없는 경우, IMT-2000 3GPP-UE 첨부파일에서 AMF 선택;

- UPF로 사용자 평면 데이터 라우팅;

- AMF로 제어 평면 정보 전달;

- 연결 설정 및 해제;

- 페이징 메시지 스케줄링 및 전송

- 시스템 방송 정보 스케줄링 및 전송(AMF 또는 OAM에서 제공)

- 이동성 및 스케줄링을 위한 측정 및 측정 보고 구성

- 업링크의 전송 수준 패킷 표시

- 세션 관리;

- 네트워크 슬라이싱 지원;

- 데이터 무선 베어러에 대한 QoS 흐름 관리 및 매핑

- RRC_INACTIVE 상태에서 UE의 지원

- NAS 메시지 배포 기능;

- 무선 액세스 네트워크 공유;

- 이중 연결;

- NR과 E-UTRA 간 긴밀한 연동

AMF는 다음과 같은 주요 기능을 호스트한다(3GPP TS 23.501 [3] 참조).

- NAS 신호 종료;

- NAS 신호 보안;

- AS 보안 제어;

- 3GPP 접속망 간 이동을 위한 CN 노드 간 신호 전달;

- 유휴 모드 UE 접속성(페이징 재전송 제어 및 실행 포함)

- 등록영역관리;

- 시스템 내부 및 시스템 간 이동성 지원

- 액세스 인증;

- 로밍 권한 확인을 포함한 액세스 권한 부여;

- 이동성 관리 통제(구독 및 정책)

- 네트워크 슬라이싱 지원;

- SMF 선택

UPF는 다음과 같은 주요 기능을 호스트한다(3GPP TS 23.501 [3] 참조).

- Intra-/Inter-RAT 이동성을 위한 앵커 포인트(해당하는 경우)

- 데이터 네트워크에 상호 연결되는 외부 PDU 세션 지점

- 패킷 라우팅 및 포워딩;

- 정책 규칙 시행의 패킷 검사 및 사용자 평면 부분

- 트래픽 사용량 보고;

- 데이터 네트워크로의 트래픽 흐름을 지원하는 업링크 분류기

- multi-homed PDU 세션 지원을 위한 분기점;

- 사용자 평면에 대한 QoS 처리(예: 패킷 필터링, 게이트, UL/DL 속도 시행)

- 업링크 트래픽 검증(SDF와 QoS 흐름 매핑)

- 다운링크 패킷 버퍼링 및 다운링크 데이터 알림 트리거링(triggering)

세션 관리 기능(SMF)은 다음과 같은 주요 기능을 호스트한다(3GPP TS 23.501 [3] 참조).

- 세션 관리;

- UE IP 주소 할당 및 관리

- UP 기능 선택 및 제어;

- UPF에서 트래픽을 적절한 대상으로 라우팅하도록 트래픽 스티어링(steering) 구성

- 정책 집행 및 QoS의 일부 통제

- Downlink Data Notification(다운링크 데이터 알림)

도 8은 5G(5th generation) 시스템의 일반적인 아키텍쳐의 예를 도시한 도면이다. 다음은 도 8에서의 각 참조 인터페이스(reference interface)및 node에 대한 설명이다.

액세스 및 이동성 관리 기능(AMF: Access and Mobility Management Function)은 3GPP 액세스 네트워크들 간의 이동성을 위한 CN 노드 간 시그널링, 무선 액세스 네트워크(RAN: Radio Access Network) CP 인터페이스(N2)의 종단(termination), NAS 시그널링의 종단(N1), 등록 관리(등록 영역(Registration Area) 관리), 아이들 모드 UE 접근성(reachability), 네트워크 슬라이싱(Network Slicing)의 지원, SMF 선택 등의 기능을 지원한다.

AMF의 일부 또는 전체의 기능들은 하나의 AMF의 단일 인스턴스(instance) 내에서 지원될 수 있다.

데이터 네트워크(DN: Data network)는 예를 들어, 운영자 서비스, 인터넷 접속 또는 서드파티(3rd party) 서비스 등을 의미한다. DN은 UPF로 하향링크 프로토콜 데이터 유닛(PDU: Protocol Data Unit)을 전송하거나, UE로부터 전송된 PDU를 UPF로부터 수신한다.

정책 제어 기능(PCF: Policy Control function)은 어플리케이션 서버로부터 패킷 흐름에 대한 정보를 수신하여, 이동성 관리, 세션 관리 등의 정책을 결정하는 기능을 제공한다.

세션 관리 기능(SMF: Session Management Function)은 세션 관리 기능을 제공하며, UE가 다수 개의 세션을 가지는 경우 각 세션 별로 서로 다른 SMF에 의해 관리될 수 있다.

SMF의 일부 또는 전체의 기능들은 하나의 SMF의 단일 인스턴스(instance) 내에서 지원될 수 있다.

통합된 데이터 관리(UDM: Unified Data Management)는 사용자의 가입 데이터, 정책 데이터 등을 저장한다.

사용자 평면 기능(UPF: User plane Function)은 DN으로부터 수신한 하향링크 PDU를 (R)AN을 경유하여 UE에게 전달하며, (R)AN을 경유하여 UE로부터 수신한 상향링크 PDU를 DN으로 전달한다.

어플리케이션 기능(AF: Application Function)은 서비스 제공(예를 들어, 트래픽 라우팅 상에서 어플리케이션 영향, 네트워크 능력 노출(Network Capability Exposure) 접근, 정책 제어를 위한 정책 프레임워크와의 상호동작 등의 기능을 지원)을 위해 3GPP 코어 네트워크와 상호동작한다.

(무선) 액세스 네트워크((R)AN: (Radio) Access Network)는 4G 무선 액세스 기술의 진화된 버전인 진화된 E-UTRA(evolved E-UTRA)와 새로운 무선 액세스 기술(NR: New Radio)(예를 들어, gNB)을 모두 지원하는 새로운 무선 액세스 네트워크를 총칭한다.

gNB은 무선 자원 관리를 위한 기능들(즉, 무선 베어러 제어(Radio Bearer Control), 무선 허락 제어(Radio Admission Control), 연결 이동성 제어(Connection Mobility Control), 상향링크/하향링크에서 UE에게 자원의 동적 할당(Dynamic allocation of resources)(즉, 스케줄링)) 등의 기능을 지원한다.

사용자 장치(UE: User Equipment)는 사용자 기기를 의미한다.

3GPP 시스템에서는 5G 시스템 내 NF들 간을 연결하는 개념적인 링크를 참조 포인트(reference point)라고 정의한다.

N1는 UE와 AMF 간의 참조 포인트, N2는 (R)AN과 AMF 간의 참조 포인트, N3는 (R)AN과 UPF 간의 참조 포인트, N4는 SMF와 UPF 간의 참조 포인트, N6 UPF와 데이터 네트워크 간의 참조 포인트, N9는 2개의 코어 UPF들 간의 참조 포인트, N5는 PCF와 AF 간의 참조 포인트, N7는 SMF와 PCF 간의 참조 포인트, N24는 방문 네트워크(visited network) 내 PCF와 홈 네트워크(home network) 내 PCF 간의 참조 포인트, N8는 UDM과 AMF 간의 참조 포인트, N10는 UDM과 SMF 간의 참조 포인트, N11는 AMF와 SMF 간의 참조 포인트, N12는 AMF와 인증 서버 기능(AUSF: Authentication Server function) 간의 참조 포인트, N13는 UDM과 AUSF 간의 참조 포인트, N14는 2개의 AMF들 간의 참조 포인트, N15는 비-로밍 시나리오의 경우, PCF와 AMF 간의 참조 포인트, 로밍 시나리오의 경우 방문 네트워크(visited network) 내 PCF와 AMF 간의 참조 포인트, N16은 두 개의 SMF 간의 참조 포인트(로밍 시나리오에서는 방문 네트워크 내 SMF와 홈 네트워크 간의 SMF 간의 참조 포인트), N17은 AMF와 5G-EIR(Equipment Identity Register) 간의 참조 포인트, N18은 AMF와 UDSF(Unstructured Data Storage Function) 간의 참조 포인트, N22는 AMF와 NSSF(Network Slice Selection Function) 간의 참조 포인트, N23은 PCF와 NWDAF(Network Data Analytics Function) 간의 참조 포인트, N24는 NSSF와 NWDAF 간의 참조 포인트, N27은 방문 네트워크 내 NRF(Network Repository Function)와 홈 네트워크 내 NRF 간의 참조 포인트, N31은 방문 네트워크 내 NSSF와 홈 네트워크 내 NSSF 간의 참조 포인트, N32는 방문 네트워크 내 SEPP(Security Protection Proxy)와 홈 네트워크 내 SEPP 간의 참조 포인트, N33은 NEF(Network Exposure Function)와 AF 간의 참조 포인트, N40은 SMF와 CHF(charging function) 간의 참조 포인트, N50은 AMF와 CBCF(Circuit Bearer Control Function) 간의 참조 포인트를 의미한다.

한편, 도 8에서는 설명의 편의 상 UE가 하나의 PDU 세션을 이용하여 하나의 DN에 액세스하는 경우에 대한 참조 모델을 예시하나 이에 한정되지 않는다.

상기에서는 설명의 편의를 위해서 eNB를 이용하여 EPS 시스템을 기준으로 설명하였으나, eNB는 gNB로, MME의 MM(mobility management)기능은 AMF, S/P-GW의 SM기능은 SMF, S/P-GW의 user plane관련 기능은 UPF 등을 이용하여 5G 시스템으로 대체될 수 있다.

상기에서, 본 명세서는 EPS 를 기준으로 설명하였으나, 해당 내용은 5G system에서도 유사한 목적의 과정/메시지/정보 등을 통해서 유사한 동작을 거쳐 지원될 수 있다.

본 개시에 적용 가능한 통신 시스템

이로 제한되는 것은 아니지만, 본 문서에 개시된 본 개시의 다양한 설명, 기능, 절차, 제안, 방법 및/또는 동작 순서도들은 기기들 간에 무선 통신/연결(예, 5G)을 필요로 하는 다양한 분야에 적용될 수 있다.

이하, 도면을 참조하여 보다 구체적으로 예시한다. 이하의 도면/설명에서 동일한 도면 부호는 다르게 기술하지 않는 한, 동일하거나 대응되는 하드웨어 블록, 소프트웨어 블록 또는 기능 블록을 예시할 수 있다.

본 개시에 적용 가능한 무선 기기

도 9를 참조하면, 제1 무선 기기(900a)와 제2 무선 기기(900b)는 다양한 무선 접속 기술(예, LTE, NR)을 통해 무선 신호를 송수신할 수 있다. 여기서, {제1 무선 기기(900a), 제2 무선 기기(900b)}은 도 1의 {무선 기기(100x), 기지국(120)} 및/또는 {무선 기기(100x), 무선 기기(100x)}에 대응할 수 있다.

제1 무선 기기(900a)는 하나 이상의 프로세서(902a) 및 하나 이상의 메모리(904a)를 포함하며, 추가적으로 하나 이상의 송수신기(906a) 및/또는 하나 이상의 안테나(908a)을 더 포함할 수 있다. 프로세서(902a)는 메모리(904a) 및/또는 송수신기(906a)를 제어하며, 본 문서에 개시된 설명, 기능, 절차, 제안, 방법 및/또는 동작 순서도들을 구현하도록 구성될 수 있다. 예를 들어, 프로세서(902a)는 메모리(904a) 내의 정보를 처리하여 제1 정보/신호를 생성한 뒤, 송수신기(906a)을 통해 제1 정보/신호를 포함하는 무선 신호를 전송할 수 있다. 또한, 프로세서(902a)는 송수신기(906a)를 통해 제2 정보/신호를 포함하는 무선 신호를 수신한 뒤, 제2 정보/신호의 신호 처리로부터 얻은 정보를 메모리(904a)에 저장할 수 있다. 메모리(904a)는 프로세서(902a)와 연결될 수 있고, 프로세서(902a)의 동작과 관련한 다양한 정보를 저장할 수 있다

제2 무선 기기(900b)는 하나 이상의 프로세서(902b), 하나 이상의 메모리(904b)를 포함하며, 추가적으로 하나 이상의 송수신기(906b) 및/또는 하나 이상의 안테나(908b)를 더 포함할 수 있다. 프로세서(902b)는 메모리(904b) 및/또는 송수신기(906b)를 제어하며, 본 문서에 개시된 설명, 기능, 절차, 제안, 방법 및/또는 동작 순서도들을 구현하도록 구성될 수 있다. 예를 들어, 프로세서(902b)는 메모리(904b) 내의 정보를 처리하여 제3 정보/신호를 생성한 뒤, 송수신기(906b)를 통해 제3 정보/신호를 포함하는 무선 신호를 전송할 수 있다. 또한, 프로세서(902b)는 송수신기(906b)를 통해 제4 정보/신호를 포함하는 무선 신호를 수신한 뒤, 제4 정보/신호의 신호 처리로부터 얻은 정보를 메모리(904b)에 저장할 수 있다. 메모리(904b)는 프로세서(902b)와 연결될 수 있고, 프로세서(902b)의 동작과 관련한 다양한 정보를 저장할 수 있다. 예를 들어, 메모리(904b)는 프로세서(902b)에 의해 제어되는 프로세스들 중 일부 또는 전부를 수행하거나, 본 문서에 개시된 설명, 기능, 절차, 제안, 방법 및/또는 동작 순서도들을 수행하기 위한 명령들을 포함하는 소프트웨어 코드를 저장할 수 있다. 여기서, 프로세서(902b)와 메모리(904b)는 무선 통신 기술(예, LTE, NR)을 구현하도록 설계된 통신 모뎀/회로/칩의 일부일 수 있다. 송수신기(906b)는 프로세서(902b)와 연결될 수 있고, 하나 이상의 안테나(908b)를 통해 무선 신호를 송신 및/또는 수신할 수 있다. 송수신기(906b)는 송신기 및/또는 수신기를 포함할 수 있다 송수신기(906b)는 RF 유닛과 혼용될 수 있다. 본 개시에서 무선 기기는 통신 모뎀/회로/칩을 의미할 수도 있다.

본 개시에 적용 가능한 무선 기기 구조

도 10을 참조하면, 무선 기기(1300)는 도 9의 무선 기기(900a, 900b)에 대응하며, 다양한 요소(element), 성분(component), 유닛/부(unit), 및/또는 모듈(module)로 구성될 수 있다. 예를 들어, 무선 기기(1000)는 통신부(1010), 제어부(1020), 메모리부(1030) 및 추가 요소(1040)를 포함할 수 있다. 통신부는 통신 회로(1012) 및 송수신기(들)(1014)을 포함할 수 있다. 예를 들어, 통신 회로(1012)는 도 9의 하나 이상의 프로세서(902a, 902b) 및/또는 하나 이상의 메모리(904a, 904b)를 포함할 수 있다. 예를 들어, 송수신기(들)(1014)는 도 9의 하나 이상의 송수신기(906a, 906b) 및/또는 하나 이상의 안테나(908a, 908b)을 포함할 수 있다. 제어부(1020)는 통신부(101010), 메모리부(1030) 및 추가 요소(1040)와 전기적으로 연결되며 무선 기기의 제반 동작을 제어한다. 예를 들어, 제어부(1020)는 메모리부(1030)에 저장된 프로그램/코드/명령/정보에 기반하여 무선 기기의 전기적/기계적 동작을 제어할 수 있다. 또한, 제어부(1020)는 메모리부(1030)에 저장된 정보를 통신부(1010)을 통해 외부(예, 다른 통신 기기)로 무선/유선 인터페이스를 통해 전송하거나, 통신부(1010)를 통해 외부(예, 다른 통신 기기)로부터 무선/유선 인터페이스를 통해 수신된 정보를 메모리부(1030)에 저장할 수 있다.

추가 요소(1040)는 무선 기기의 종류에 따라 다양하게 구성될 수 있다. 예를 들어, 추가 요소(1040)는 파워 유닛/배터리, 입출력부(input/output unit), 구동부 및 컴퓨팅부 중 적어도 하나를 포함할 수 있다. 이로 제한되는 것은 아니지만, 무선 기기(1000)는 로봇, 차량, XR 기기, 휴대 기기, 가전, IoT 기기, 디지털 방송용 단말, 홀로그램 장치, 공공 안전 장치, MTC 장치, 의료 장치, 핀테크 장치(또는 금융 장치), 보안 장치, 기후/환경 장치, AI 서버/기기, 기지국, 네트워크 노드 등의 형태로 구현될 수 있다. 무선 기기는 사용-예/서비스에 따라 이동 가능하거나 고정된 장소에서 사용될 수 있다.

도 10에서 무선 기기(1000) 내의 다양한 요소, 성분, 유닛/부, 및/또는 모듈은 전체가 유선 인터페이스를 통해 상호 연결되거나, 적어도 일부가 통신부(1010)를 통해 무선으로 연결될 수 있다. 예를 들어, 무선 기기(1000) 내에서 제어부(1020)와 통신부(1010)는 유선으로 연결되며, 제어부(1020)와 다른 구성요소는 통신부(1010)를 통해 무선으로 연결될 수 있다. 또한, 무선 기기(1000) 내의 각 요소, 성분, 유닛/부, 및/또는 모듈은 하나 이상의 요소를 더 포함할 수 있다. 예를 들어, 제어부(1020)는 하나 이상의 프로세서 집합으로 구성될 수 있다. 예를 들어, 제어부(1020)는 통신 제어 프로세서, 어플리케이션 프로세서(application processor), ECU(electronic control unit), 그래픽 처리 프로세서, 메모리 제어 프로세서 등의 집합으로 구성될 수 있다. 다른 예로, 메모리부(1030)는 RAM, DRAM(dynamic RAM), ROM, 플래시 메모리(flash memory), 휘발성 메모리(volatile memory), 비-휘발성 메모리(non-volatile memory) 및/또는 이들의 조합으로 구성될 수 있다.

본 개시가 적용 가능한 휴대 기기

도 11은 본 개시에 적용되는 휴대 기기를 예시한다. 휴대 기기는 스마트폰, 스마트패드, 웨어러블 기기(예, 스마트워치, 스마트글래스), 휴대용 컴퓨터(예, 노트북 등)을 포함할 수 있다. 휴대 기기는 MS(mobile station), UT(user terminal), MSS(mobile subscriber station), SS(subscriber station), AMS(advanced mobile station) 또는 WT(wireless terminal)로 지칭될 수 있다.

도 11을 참조하면, 휴대 기기(1100)는 안테나부(1108), 통신부(1110), 제어부(1120), 메모리부(1130), 전원공급부(1140a), 인터페이스부(1140b) 및 입출력부(1140c)를 포함할 수 있다. 안테나부(1108)는 통신부(1110)의 일부로 구성될 수 있다. 블록 1110~1130/1140a~1140c는 각각 도 10의 블록 1010~1030/1040에 대응한다.

통신부(1110)는 다른 무선 기기, 기지국들과 신호(예, 데이터, 제어 신호 등)를 송수신할 수 있다. 제어부(1120)는 휴대 기기(1100)의 구성 요소들을 제어하여 다양한 동작을 수행할 수 있다. 제어부(1120)는 AP(application processor)를 포함할 수 있다. 메모리부(1130)는 휴대 기기(1100)의 구동에 필요한 데이터/파라미터/프로그램/코드/명령을 저장할 수 있다. 또한, 메모리부(1130)는 입/출력되는 데이터/정보 등을 저장할 수 있다. 전원공급부(1140a)는 휴대 기기(1100)에게 전원을 공급하며, 유/무선 충전 회로, 배터리 등을 포함할 수 있다. 인터페이스부(1140b)는 휴대 기기(1100)와 다른 외부 기기의 연결을 지원할 수 있다. 인터페이스부(1140b)는 외부 기기와의 연결을 위한 다양한 포트(예, 오디오 입/출력 포트, 비디오 입/출력 포트)를 포함할 수 있다. 입출력부(1140c)는 영상 정보/신호, 오디오 정보/신호, 데이터, 및/또는 사용자로부터 입력되는 정보를 입력 받거나 출력할 수 있다. 입출력부(1140c)는 카메라, 마이크로폰, 사용자 입력부, 디스플레이부(1140d), 스피커 및/또는 햅틱 모듈 등을 포함할 수 있다.

일 예로, 데이터 통신의 경우, 입출력부(1140c)는 사용자로부터 입력된 정보/신호(예, 터치, 문자, 음성, 이미지, 비디오)를 획득하며, 획득된 정보/신호는 메모리부(1130)에 저장될 수 있다. 통신부(1110)는 메모리에 저장된 정보/신호를 무선 신호로 변환하고, 변환된 무선 신호를 다른 무선 기기에게 직접 전송하거나 기지국에게 전송할 수 있다. 또한, 통신부(1110)는 다른 무선 기기 또는 기지국으로부터 무선 신호를 수신한 뒤, 수신된 무선 신호를 원래의 정보/신호로 복원할 수 있다. 복원된 정보/신호는 메모리부(1130)에 저장된 뒤, 입출력부(1140c)를 통해 다양한 형태(예, 문자, 음성, 이미지, 비디오, 햅틱)로 출력될 수 있다.

일 예로, 새로운 무선 통신 시스템(e.g. 5G)에서는 사설(private) 네트워크를 구성하고, NPN(non-public network) 기능을 제공할 수 있다. NPN은 공공 네트워크(public network)를 통해 지원하는 PNI-NPN(public network integrated NPN)과 별도의 네트워크를 구축하는 SNPN(standalone NPN)으로 구별될 수 있다. 이때, 단말은 각각의 NPN에 접속하기 위해 해당 NPN의 자격(credential)을 사전에 보유할 필요성이 있다. 즉, 단말은 사전에 자격을 보유한 NPN으로만 접속할 수 있다. 다만, 단말이 사전에 자격을 항상 보유하지 않고, 동적으로 자격을 제공받아 해당 NPN으로 접속하는 방법이 필요할 수 있다. 여기서, 단말이 동적으로 자격을 할당 받는 경우, 보안성을 유지되면서 단말이 해당 SNPN의 자격을 동적으로 할당받을 필요성이 있으며, 하기에서는 이와 관련하여 서술한다.

일 예로 PNI-NPN은 PLMN을 통해서 이용 가능한 NPN일 수 있다. 여기서, 단말이 PNI-NPN을 통해 NPN을 접속하고자 하는 경우, 단말은 PNI-NPN 접속을 위해 PLMN 구독이 필요할 수 있다. 반면, SNPN은 퍼블릭 네트워크와 의존하지 않고, 독립적으로 동작하는 네트워크일 수 있다. 따라서, SNPN은 EPS(evolved packet system)와의 인터워킹을 지원하지 않을 수 있으며, 긴급 서비스에 대해서도 지원하지 않을 수 있다. 또 다른 일 예로, SNPN은 로밍 서비스를 지원하지 않을 수 있으며, 특정 실시예로 한정되지 않는다. 즉, SNPN은 퍼블릭 네트워크와 독립적으로 운영되는 사설 네트워크일 수 있다. 하기에서는 SNPN을 기준으로 온보딩 과정에서 인증을 통해 자격을 제공받는 방법에 대해 서술하지만 이에 한정되는 것은 아닐 수 있다.

일 예로, 단말이 SNPN에 접속을 수행하고자 하는 경우, 단말은 PLMN을 통해 SNPN에 접속하거나 SNPN으로 직접 연결을 수행하는 것도 가능할 수 있으나, 특정 실시예로 한정되지 않는다. 하기에서는 설명의 편의를 위해 단말이 SNPN에 직접 연결을 수행하는 경우를 기준으로 서술하지만 이에 한정되는 것은 아니다.

일 예로, 단말이 SNPN에 접속하고자 하는 경우, 단말은 접속하고자 하는 SNPN의 자격을 보유하고, 이에 기초하여 SNPN으로 접속을 수행할 수 있다. 또 다른 일 예로, 단말은 SNPN의 자격을 보유한 자격 보유자(credential holder, CH)의 자격을 통해 동적으로 자격을 할당받고, 할당 받은 자격을 통해 SNPN으로 접속을 수행할 수 있다. 구체적인 일 예로, 단말은 고정되어 있지 않고, 이동성에 기초하여 다양한 영역에 위치한 SNPN에 접속을 수행할 수 있다. 여기서, 단말이 모든 SNPN의 자격을 보유하고 있는 것은 한계가 있으므로 단말은 자격 보유자에 기초하여 접속하고자 하는 SNPN의 자격을 동적으로 할당 받을 필요성이 있다.

일 예로, 도 12는 본 개시에 적용되는 단말이 자격 보유자의 자격을 통해 SNPN으로 접속을 수행하는 방법을 나타낸 도면이다. 도 12(a) 및 도 12(b)를 참조하면, 단말은 자격 보유자(1210)의 자격을 통해 접속하고자 하는 SNPN(1220)의 자격을 할당받고, SNPN(1220)으로 접속을 수행할 수 있다. 일 예로, SNPN의 접속 자격을 위한 AAA(authentication, authorization, and accounting) 서버는 SNPN의 외부에 위치할 수 있다. AAA 서버는 단말 검증 과정에서 기초한 인증, 단말 검증에 기초한 권한 부여 및 단말의 계정을 관리하는 서버일 수 있다. 이때, 자격 보유자(1210)는 상술한 AAA 서버에 기초하여 해당 단말에 대한 인증을 수행하고, 접속하고자 하는 SNPN(1220)의 자격을 단말에게 제공할 수 있다.

또한, 일 예로, SNPN 연결을 제공하는 NG-RAN 노드를 통해 SNPN 접속을 위한 구성 정보가 브로드캐스팅될 수 있다. 일 예로, 브로드캐스팅되는 정보는 적어도 하나 이상의 PLMN ID 및 PLMN ID당 NG-RAN을 통해 접근 가능한 NPN을 식별하는 NID 리스트 정보 중 적어도 어느 하나를 포함할 수 있다. 또한, 일 예로, 브로드캐스팅되는 정보는 각각의 SNPN에 대해서 외부의 자격 보유자의 자격을 통해 접속 지원이 가능한지 여부를 지시하는 지시자 및 SNPN당 지원되는 GNI 리스트 및 각 SNPN당 명시적으로 SNPN을 선택하도록 지시되지 않은 단말들에 대한 등록 시도를 허여할지 여부를 지시하는 지시자 정보 중 적어도 어느 하나 이상을 더 포함할 수 있으며, 특정 실시예로 한정되지 않는다.

상술한 바에 기초하여 단말이 SNPN 관련 구성(configuration) 및 구독(subscription) 정보를 획득하는 경우, 단말은 구독하는 각각의 SNPN에 대해서 PLMN ID 및 SNPN의 NID(network identifier) 중 적어도 어느 하나 이상을 획득할 수 있다. 또한, SNPN 연결이 가능한 단말은 구독 아이디(subscriber identifier, SUPI) 및 자격(credentials) 중 적어도 어느 하나 이상의 정보를 획득할 수 있다. 또한, SNPN 연결이 가능한 단말은 non-3GPP 액세스 네트워크 접속을 위한 N3IWF(non-3GPP interworking function) 관련 정보로써 N3IWF FQDN(fully qualified domain name) 및 N3IWF가 위치한 국가의 식별자 정보 중 적어도 어느 하나를 더 획득할 수 있으나, 이에 한정되지 않는다.

또한, 단말은 각각의 구독하는 SNPN에 대해서 자격 보유자의 자격을 이용하여 SNPN 접속이 지원되는 경우, 단말은 단말에 의해 제어되는 선호하는 SNPN 리스트 정보, 자격 보유자에 의해 제어되는 선호하는 SNPN 리스트 정보 및 자격 보유자에 의해 제어되는 GIN 리스트 정보 중 적어도 어느 하나를 더 획득할 수 있으나, 이에 한정되지 않는다. 이때, 일 예로, 자격 보유자에 의해 제어되는 선호하는 SNPN 리스트 정보 및 자격 보유자에 의해 제어되는 GIN 리스트 정보는 자격 보유자에 의해 업데이트될 수 있다. 이때, 일 예로, 단말이 획득하는 상술한 정보들은 NG-RAN에 의해 브로드캐스팅 될 수 있으며, 이는 상술한 바와 같다.

또한, 상술한 바에 기초하여 단말이 SNPN을 선택하는 방법을 고려할 수 있다. 일 예로, SNPN 접근이 가능한 단말은 SNPN 접근 모드에 기초하여 SNPN 선택을 수행할 수 있다.

SNPN 접근 모드가 허용되지 않는 경우, SNPN 접속이 가능한 단말이라도 SNPN에 연결을 수행하지 못하고, PLMN 선택 절차를 수행할 수 있다. 또한, SNPN과 PLMN 동시 접속이 가능한 단말의 경우에는 SNPN 접근 모드가 설정되면 단말은 SNPN으로만 접속을 수행할 수 있으나, 이에 한정되지 않는다.

반면, SNPN 접근 모드가 설정된 단말은 SNPN으로 연결을 수행할 수 있다. 여기서, 일 예로, 단말은 자격 보유자의 자격을 통해 SNPN 접속을 지원하는지 여부에 기초하여 네트워크 선택을 수행할 수 있다.

일 예로, 자동 네트워크 선택 모드인 경우, 단말은 마지막에 연결한 SNPN에 우선 접속할 수 있다. 마지막에 연결한 SNPN에 우선 접속이 불가능한 경우, 단말은 단말의 SUPI 및 자격을 보유한 PLMN ID 또는 NID에 의해 식별되는 SNPN에 접속을 수행할 수 있다.

또한, 상술한 바에 기초하여 자동 네트워크 선택이 불가능한 경우로써 단말이 자격 보유자의 자격을 이용하여 SNPN 접속을 지원하는 경우, 단말은 이용 가능한 SNPN을 통해 접속을 수행할 수 있다. 이때, 이용 가능한 SNPN은 단말에 의해 제어되는 선호하는 SNPN 리스트 정보, 자격 보유자에 의해 제어되는 선호하는 SNPN 리스트 정보 및 자격 보유자에 의해 제어되는 GIN 리스트 정보 중 적어도 어느 하나에 기초하여 결정될 수 있다. 또 다른 일 예로, 자격 보유자에 의해 제어되는 선호하는 SNPN 리스트 정보 및 자격 보유자에 의해 제어되는 GIN 리스트 정보에 포함되지 않고, 네트워크로부터 명시적으로 지시되지 않지만 단말에서 자격 보유자로 사용 가능한 SNPN에 기초하여 이용 가능한 SNPN이 결정될 수 있으며, 특정 실시예로 한정되지 않는다.

이때, 일 예로, 기존에는 하나의 자격이 하나의 SNPN ID에 대응될 수 있었으나, 상술한 바에 기초하여 하나의 SNPN ID에 복수 개의 자격이 존재할 수 있고, 하나의 자격에도 복수 개의 SNPN ID가 존재할 수 있으며, 특정 형태로 한정되지 않는다. 그 후, 단말은 이용 가능한 SNPN에 기초하여 하나의 SNPN을 선택하여 접속을 수행할 수 있다.

또한, 일 예로, 매뉴얼 네트워크 선택 모드로써 자격 보유자의 자격을 이용하여 SNPN 접속이 지원되는 경우, 단말은 자격 보유자의 자격을 통해 접속을 지원하는 SNPN 리스트를 확인하고, 이를 이용 가능한 SNPN으로 설정할 수 있으며, 특정 형태로 한정되는 것은 아닐 수 있다.

단말은 이용 가능한 SNPN에 기초하여 SNPN 선택을 수행할 수 있다. 이때, 단말은 구독 데이터 리스트(list of subscriber data)를 구성하고, 구독 데이터 리스트에 기초하여 SNPN 선택을 수행할 수 있다. 일 예로, 구독 데이터 리스트는 SUPI 형태의 구독자 아이디, 자격 정보 및 SNPN 식별자 중 적어도 어느 하나 이상을 포함할 수 있다. 일 예로, 구독 데이터 리스트는 단말에 기초하여 SNPN 각각에 대한 설정 정보를 포함할 수 있으며, SNPN 각각에 대한 유효성 정보가 기록될 수 있다. 일 예로, 단말은 구독 데이터 리스트 내에서 유효성이 유효하지 않은 것으로 설정된 SNPN에 대해서 연결을 수행하지 않을 수 있다. 이때, 단말은 USIM을 새롭게 삽입하거나 전원을 다시 켜기 전까지 유효하지 않은 것으로 설정된 SNPN에 대한 연결을 수행하지 않을 수 있다.

일 예로, 상술한 바와 같이, SNPN 연결이 가능한 단말은 자격 보유자(credential holder, CH)의 자격을 이용하여 SNPN 접속을 지원할 수 있다.여기서, 자격 보유자는 SNPN과 분리된 엔티티로써 단말의 SNPN 연결을 위한 인증을 수행하고 접속 권한을 제공할 수 있다.

구체적인 일 예로, 자격 보유자의 AAA 서버는 단말의 SNPN 연결에 대한 인증 및 권한을 부여할 수 있다. 여기서, AAA 서버는 단말 검증 과정에서 기초한 인증, 단말 검증에 기초한 권한 부여 및 단말의 계정을 관리하는 서버일 수 있다.

일 예로, SNPN의 AUSF(authentication server function)은 자격 보유자 내의 AAA 서버로부터 제공되는 자격에 기초하여 단말에 대한 인증 및 권한을 부여할 수 있다. 이때, SNPN의 UDM(user data management)이 자격보유자의 AAA 서버에 기초하여 인증이 필요함을 SNPN의 AUSF에게 지시하는 경우, AUSF는 AAA 서버를 검색 및 선택하여 EAP(extensible authentication protocol) 메시지를 우선 인증을 수행하는 EAP 서버로써 역할을 수행하는 AAA 서버로 전달할 수 있다. 이때, AAA 서버에 기초하여 인증 및 권한이 부여되는 경우에 SUPI가 단말을 식별하기 위한 정보로써 사용될 수 있다. AAA 서버에 기초하여 인증이 완료된 경우, SNPN의 AMF 및 SMF는 상술한 SUPI에 기초하여 UDM에서 단말 구독 정보를 읽어올 수 있다. 상술한 바를 통해, 단말은 자격 보유자의 자격을 통해 인증을 수행하여 SNPN 연결에 대한 권한을 획득하여 SNPN 연결을 수행할 수 있다.

다음으로, 단말이 온보딩 및 프로비저닝을 수행하는 방법이 필요할 수 있다. 일 예로, 단말이 NPN으로 접속하기 위해 온보딩(Onboarding) 과정과 프로비저닝(Provisioning) 과정이 필요할 수 있다. 일 예로, 온보딩 과정은 온보딩 과정을 담당하는 onboarding SNPN(O-SNPN)이 단말을 인증하고, SNPN의 자격을 관리하는 프로비저닝 서버에 연결성을 제공하는 역할을 의미할 수 있다. 여기서, O-SNPN은 온보딩을 담당하는 SNPN으로 논리적인 엔티티로 SNPN에 포함되거나 SNPN과 별도의 SNPN일 수 있으며, 특정 형태로 한정되는 것은 아닐 수 있다.

또한, 프로비저닝 과정은 온보딩 과정을 통해 연결된 단말이 접속 권한을 가지고 있는지 여부를 검증 후 SNPN의 자격을 단말에게 제공하는 역할을 의미할 수 있다. 즉, 단말은 O-SNPN을 통해 온보딩 과정에서 인증을 수행하고, 이에 기초하여 프로비저닝 과정에서 프로비저닝 서버를 통해 자격을 동적으로 할당받아 SNPN으로 접속을 수행할 수 있다.

일 예로, 상술한 바를 통해 SNPN의 자격(credential)을 사전에 보유하지 않은 단말이 동적으로 해당 자격을 안전하게 제공받아 SNPN 접속을 수행하고, 서비스를 이용할 수 있다.

도 13는 본 개시에 적용되는 O-SNPN에 기초하여 동적으로 자격을 제공받는 방법을 나타낸 도면이다. 도 13를 참조하면, 단말(1310)은 동적으로 SNPN(1340)의 자격을 제공받아 SNPN(1340)에 접속을 수행할 수 있다. 일 예로, 단말은 해당 SNPN(1340)의 자격을 보유하지 않을 수 있으며, O-SNPN(1320)에 기초하여 동적으로 자격을 제공 받을 수 있다. 보다 상세하게는, 단말이 동적으로 SNPN의 자격을 제공받기 위해 온보딩(Onboarding) 과정과 프로비저닝(Provisioning) 과정이 필요할 수 있다. 온보딩 과정은 온보딩 과정을 담당하는 SNPN(즉, O-SNPN, 1320)이 단말을 인증하고, SNPN의 자격을 관리하는 프로비저닝 서버(provisioning server, 1330)에 연결성을 제공하는 역할을 의미할 수 있으며, 상술한 바와 같다. 도 13를 참조하면, 단말(1310)은 등록 및 인증 요청을 O-SNPN(1320)으로 전송하고, O-SNPN(1320)으로부터 등록 응답 및 프로비저닝 서버 주소 정보를 획득할 수 있다. 이를 통해, 단말은 프로비저닝 서버(1330)의 연결성을 제공 받을 수 있다.

그 후, 프로비저닝 과정은 온보딩 과정을 통해 연결된 단말이 접속 권한을 가지고 있는지 여부를 검증 후 SNPN(1340)의 자격을 단말에게 제공하는 역할을 의미할 수 있다. 단말(1310)은 프로비저닝 서버(1330)로 자격 요청을 전송하고, 프로비저닝 서버(1330)는 자격 요청에 기초하여 인증을 수행할 수 있다. 이때, 프로비저닝 서버(1330)는 단말(1310)이 접속하고자 하는 SNPN(1340)과 자격 패치(credential fetch)를 공유하고, 이에 기초하여 단말(1310)에게 해당 SNPN(1340)의 자격을 제공할 수 있다. 이때, 단말(1310)이 접속하고자 하는 SNPN(1340)의 자격을 획득한 경우, 단말(1310)은 O-SNPN(1320)으로부터 등록을 해지할 수 있다. 그 후, 단말(1310)은 획득한 자격에 기초하여 해당 SNPN(1340)으로 접속을 수행할 수 있다.

이때, 일 예로, 상술한 바와 같이 단말이 O-SNPN을 통해 해당 SNPN을 자격을 획득하는 경우, 단말과 O-SNPN 상호 간의 인증을 어떻게 수행할지 여부에 대한 동작이 필요할 수 있다. 단말이 온보딩 과정을 수행하는 경우에 O-SNPN에 대한 인증을 수행할 필요성이 있으며, 단말이 O-SNPN에 대한 자격을 모두 구비할 수 있는 것은 아니므로 O-SNPN의 인증 방법이 필요할 수 있다. 즉, 단말과 O-SNPN 상호 간의 인증이 보장될 필요성이 있으며, 이를 위한 인증 동작이 필요할 수 있다.

또한, 일 예로, 단말과 O-SNPN 상호 간의 인증이 수행된 후, 프로비저닝 서버로 연결성을 제공하는 구체적인 방식이 필요할 수 있다. 일 예로, 제어 평면 기반으로 연결성이 제공되거나 유저 평면 기반으로 연결성이 제공될 수 있으며, 특정 형태로 한정되는 것은 아닐 수 있다.

또한, 일 예로, 프로비저닝 서버가 외부에 위치할 수 있으며, 단말과 프로비저닝 서버 상호 간의 인증이 있어서 단말이 동적으로 자격을 할당 받을 수 있다. 따라서, 단말과 프로비저닝 서버 간의 상호 인증이 수행되는 구체적인 방법들이 필요할 수 있다.

이때, 일 예로, 상술한 바를 고려하여 단말과 O-SNPN 상호 간의 인증을 수행하고, 단말과 프로비저닝 서버 간의 상호 인증이 수행되는 방법은 도 14와 같을 수 있다.

일 예로, 도 14는 본 개시에서 적용되는 양 방향 인증 방식일 수 있다. 도 14를 참조하면, 단말은 제조시점에 단말 제조사에 기초하여 향후 온보딩 인증에 사용할 수 있는 기본 자격(default credential, e.g. 비밀키 또는 인증서)과 제조사 내에서 구분할 수 있는 고유 ID를 제공받을 수 있다. 이때, 고유 ID는 NAI(network access identifier) 형태(e.g. username@domain)일 수 있다. 즉, 단말(1410)은 사전에 온보딩 인증에 사용할 수 있는 기본 자격 및 고유 ID를 보유할 수 있다.

이때, 단말(1410)은 주변 O-SNPN(1420)을 검색하여 선택하고, 고유 ID를 포함하여 등록 요청을 전송할 수 있다. 이때, 일 예로, O-SNPN(1420)의 AMF(1420-1)는 단말과의 등록 절차를 확인하고, 인증을 담당하는 AUSF(1420-2)로 등록 메시지를 전달할 수 있다. 일 예로, 단말은 상술한 바와 같이 기본 자격과 고유 ID를 보유하고 있을 뿐 O-SNPN(1420) 자체에 대한 자격을 보유하지 않을 수 있다. 여기서, AUSF(1420-2)는 인증을 위해 제조사 DCS(default credential server, 1420)와 사업 계약(business contract)을 사전에 수립하고, 외부 인터페이스(external interface)를 보유할 수 있다. 일 예로, DCS(1420)는 O-SNPN(1420) 내부 또는 외부 위치할 수 있으며, 특정 실시예로 한정되지 않는다. AUSF(1420-2)는 DCS(1430)와 사전에 인터페이스를 형성할 수 있으며, 설정된 인터페이스에 기초하여 인증을 요청할 수 있다. 즉, 단말(1410)에 대한 인증을 위해 AUSF(1420-2)와 DCS(1430)에는 사전에 형성된 외부 인터페이스로서 보안된 연결이 필요할 수 있다. 이때, 일 예로, DCS(1430)가 기존 AAA 서버일 경우, AUSF(1420-2)가 5GS SBI(service based interface)를 외부 AAA 인터페이스로 변환해주는 프록시(Proxy) 역할을 수행할 필요성이 있다. 즉, AUSF(1420-2)에 프록시 기능이 구비될 필요성이 있다. 반면, DCS(1430)가 5GS를 인식하여 AUSF 및 UDM 기능을 지원하는 경우라면 O-SNPN의 AUSF(1420-2)는 등록 메시지를 양 방향(two-way)으로 전달하는 역할을 수행할 수 있다.

즉, AUSF(1420-2)와 DCS(143)가 인터페이스에 기초하여 보안 연결을 수행하기 위해서는 AUSF(1420-2)에 프록시 기능이 구비되거나 DCS(1430) 5GS에 기초하여 AUSF 및 UDM 기능을 지원할 필요성이 있다.

다음으로, AUSF(1420-2)는 전달받은 등록 메시지에서 도메인 부분을 확인하여 연결을 수행할 DCS(1430)을 확인하여 선택하고, 단말(1410)과 DCS(1430) 상호 간의 인증 시작을 요청할 수 있다. 그 후, 단말(1410)과 DCS(1430)는 상호 인증을 수행할 수 있다. 일 예로, 상호 인증 방식은 제조사가 지원하는 EAP 프로토콜을 사용할 수 있으며, 인증이 성공하면 DCS(1430)는 AUSF(1420-2)로 인증 결과를 전달할 수 있다.

그 후, DCS(1430)는 인증 성공에 기초하여 단말(1410)이 접속하고자 하는 SNPN의 자격을 관리하는 프로비저닝 서버(1440)의 주소를 단말(1410)에게 전달할 수 있다. 일 예로, DCS(1430)와 PS(1440)는 사전에 계약에 기초한 인터페이스를 구비할 수 있다. 단말(1410)은 단말 아이디(UE ID)에 기초하여 해당 SNPN의 자격을 요청하는 메시지를 프로비저닝 서버(1440)로 전송할 수 있다. 이때, 일 예로, 해당 SNPN의 자격을 요청하는 메시지의 전송 경로는 O-SNPN(1420)을 통해 PDU 세션을 맺은 유저 평면을 통해 수행될 수 있다. 또 다른 일 예로, 해당 SNPN의 자격을 요청하는 메시지의 전송 경로는 O-SNPN(1420)의 NF들과 연결된 제어 평면을 통해 수행될 수 있으며, 특정 형태로 한정되는 것은 아닐 수 있다. 그 후, 프로비저닝 서버(1440)는 단말(1410)에 대한 검증을 수행하고, 해당 SNPN의 자격을 단말(1410)에게 제공할 수 있다.

상술한 바와 같이, 단말과 O-SNPN(1420)에 대한 양뱡향 인증이 수행될 수 있으나, AUSF(1420-2)와 DCS(1430)의 인터페이스를 고려하여 AUSF(1420-2)가 프록시 기능을 수행하거나 DCS(1430)가 5GS를 인식하여 AUSF 및 UDM 기능을 지원할 필요성이 있다는 점을 고려하면 양방향 인증에 한계가 존재할 수 있다.

또 다른 일 예로, 상술한 바를 고려하여 도 15과 같이 동작할 수 있다. 도 15은 본 개시에서 적용되는 단 방향 인증 방식일 수 있다. 도 15을 참조하면, 단말(1510)은 제조시점에 단말 제조사에 기초하여 향후 온보딩 인증에 사용할 수 있는 기본 자격(default credential, e.g. 비밀키 또는 인증서)과 제조사 내에서 구분할 수 있는 고유 ID를 제공받을 수 있다. 이때, 고유 ID는 NAI(network access identifier) 형태 (e.g. username@domain)일 수 있다. 즉, 단말(1510)은 사전에 온보딩 인증에 사용할 수 있는 기본 자격 및 고유 ID를 보유할 수 있다.

이때, 단말(1510)은 주변 O-SNPN(1520)을 검색하여 선택하고, 고유 ID를 포함하여 등록 요청을 전송할 수 있다. 이때, 일 예로, O-SNPN(1520)의 AMF(1520-1)는 단말과의 등록 절차를 확인하고, 인증을 담당하는 AUSF(1520-2)로 등록 메시지를 전달할 수 있다. 이때, 도 14와 상이하게 AUSF(1520-2)는 단방향 인증(one-way primary authentication)을 수행할 수 있다. 이때, 단방향 인증은 단말(1510)이 O-SNPN(1520)을 검증하고, O-SNPN(1520)은 단말(1510)을 검증하지 않는 것을 의미할 수 있다. 이는 EAP-TLS(extensible authentication protocol-transport layer security)에서 서버측으로 O-SNPN의 인증서만 포함하게 하는 것으로 구현 가능할 수 있으나, 특정 형태로 한정되지 않는다. 일 예로, EAP-TLS는 확장 가능 인증 프로토콜로 무선랜 하드웨어 및 소프트웨어에서 보안 인증을 위해 사용될 수 있다. 일 예로, EAP-TLS handshake 과정에서 O-SNPN의 인증서가 단말에게 전달되고, 단말은 온보딩 인증에 사용할 수 있는 기본 자격을 통해 제공 받았던 Root-of-trust 인증서를 통해 O-SNPN을 검증할 수 있다. 즉, 단말(1510)만 O-SNPN(1520)을 인증하고, O-SNPN(1520)은 단말(1510)을 인증하지 않는 단방향 인증일 수 있다.

이때, 단말의 검증은 DCS(1530)와 2차 인증(secondary authentication)을 수행함으로써 수행될 수 있다. 일 예로, 단말(1510)과 DCS(1530)의 2차 인증이 수행되는 경우, O-SNPN(1520)의 SMF(1520-3)는 단말 ID의 도메인 부분을 통해 DCS(1530)를 선택할 수 있다. 이때, DCS(1530)는 단말 ID와 기본 자격을 바탕으로 인증을 수행할 수 있다.

그 후, DCS(1530)는 인증 성공에 기초하여 단말(1510)이 접속하고자 하는 SNPN의 자격을 관리하는 프로비저닝 서버(1540)의 주소를 단말(1510)에게 전달할 수 있다. 일 예로, DCS(1530)과 PS(1540)는 사전에 계약에 기초한 인터페이스를 구비할 수 있다. 단말(1510)은 단말 아이디(UE ID)에 기초하여 해당 SNPN의 자격을 요청하는 메시지를 프로비저닝 서버(1540)로 전송할 수 있다. 이때, 일 예로, 해당 SNPN의 자격을 요청하는 메시지의 전송 경로는 O-SNPN(1520)을 통해 PDU 세션을 맺은 유저 평면을 통해 수행될 수 있다. 또 다른 일 예로, 해당 SNPN의 자격을 요청하는 메시지의 전송 경로는 O-SNPN(1520)의 NF들과 연결된 제어 평면을 통해 수행될 수 있으며, 특정 형태로 한정되는 것은 아닐 수 있다. 그 후, 프로비저닝 서버(1540)는 단말(1510)에 대한 검증을 수행하고, 해당 SNPN의 자격을 단말(1510)에게 제공할 수 있다. 이때, 일 예로, 프로비저닝 서버(1530)가 단말(1510)을 인증할 필요성이 있다.

여기서, 상술한 바와 같이, 단말(1510)이 O-SNPN(1520)만 인증하고, O-SNPN(1520)이 단말(1510)을 인증하지 않는다면 DoS 어택이 가능할 수 있으며, 보안이 취약해질 수 있다.

상술한 바와 같이 단말은 양방향 인증(도 14 방식) 및 단방향 인증(도15 방식)에 기초하여 인증을 수행할 수 있다. 이때, 일 예로, O-SNPN의 AUSF 기능 변경이 가능하거나 DCS가 5G 시스템을 지원하는 경우에는 보안성을 고려하여 양방향 인증으로 도 14에 기초하여 인증을 수행할 수 있다. 다만, 도 14 방식에 기초한 인증은 기존 AAA 서버 지원을 위한 AUSF의 프록시가 필요할 수 있으며, 제조사 DCS가 5GS 코어 기능을 구현해야 할 수 있다. 즉, 도 14에 기초하면 보안성을 높일 수 있으나, 상술한 바와 같은 기능이 필요할 수 있다. 반면, 도 15에 기초하면 별도의 5G 코어 시스템 변경이 필요하지 않을 수 있으나, 단방향 인증은 단말 인증을 생략하여 DoS 공격 등 보안에 취약해질 수 있으며, 이는 상술한 바와 같다.

상술한 점을 고려하여, 도 16은 본 개시에 적용되는 인증을 수행하는 방법을 나타낸 도면이다. 일 예로, 도 16은 상술한 도 14 및 도 15의 방식에서 단점을 보완하여 향상된 인증 방법일 수 있다. 도 16을 참조하면, 단말(1610)은 상술한 바처럼 AUSF(1620-1)과 1차 인증(primary authentication)을 수행할 수 있다. 이때, 일 예로, 단말(1610)은 제조과정에서 DCS(1630)으로부터 공개키를 획득할 수 있다. 즉, 단말(1610)은 상술한 기본 자격 정보와 DCS(1630)에 대한 공개키를 사전에 가지고 있을 수 있다. 단말(1610)은 DCS(1630)에 대한 공개키에 기초하여 SUCI를 생성하고, SUCI를 통해 AUSF(1620-1)로 등록을 요청할 수 있다. 이때, AUSF(1620-2)를 SUCI를 통해 단말(1610)에 대한 DCS(1630)를 확인할 수 있으며, 확인된 DCS(1630)로 인증 정보를 요청할 수 있다. 즉, 도 14와 상이하게, O-SNPN(1620)은 DCS(1630)로 단말(1610)에 대한 인증을 요청하지 않고, 단말(1610)에 대한 인증을 수행하기 위한 정보를 DCS(1630)로 요청할 수 있다. 일 예로, AUSF(1620-2)가 전송하는 인증 정보 요청에는 상술한 SUCI 정보가 포함될 수 있으며, DCS(1630)는 SUCI에 기초하여 단말(1610) 인증에 필요한 정보를 AUSF(1620-2)로 제공할 수 있다. 즉, AUSF(1620-2)는 DCS(1630)로부터 인증 정보 요청에 기초하여 단말의 Root-of-trust certificates를 수신할 수 있다. AUSF(1620-2)는 SUPI 정보를 DCS(1630)로부터 수신할 수 있다. 또한, AUSF(1620-2)는 향후 프로비저닝 서버와 인증을 수행하기 위해 필요한 프로비저닝 서버 주소 정보(PS_address) 및 프로비저닝 토큰 정보(PS_token)를 더 수신할 수 있다. 그 후, AUSF(1620-2)는 수신한 정보에 기초하여 단말(1610)과 EAP-TLS에 기초하여 양뱡항 인증을 수행하고, 프로비저닝 서버 주소 정보(PS_address) 및 프로비저닝 토큰 정보(PS_token)를 단말(1610)로 전달할 수 있다.

구체적인 일 예로, 단말(1610)은 제조시점에 단말 제조사에 기초하여 향후 온보딩 인증에 사용할 수 있는 기본 자격(default credential, e.g. 비밀키 또는 인증서)과 제조사 내에서 구분할 수 있는 고유 ID를 제공받을 수 있다. 이때, 고유 ID는 NAI(network access identifier) 형태 (e.g. username@domain)일 수 있다. 즉, 단말(1610)은 사전에 온보딩 인증에 사용할 수 있는 기본 자격 및 고유 ID를 보유할 수 있다.

이때, 단말(1610)은 주변 O-SNPN(1620)을 검색하여 선택하고, 고유 ID에 기초하여 생성된 SUCI를 포함하여 등록 요청을 전송할 수 있다. 이때, 일 예로, O-SNPN(1620)의 AMF(1620-1)는 단말과의 등록 절차를 확인하고, 인증을 담당하는 AUSF(1620-2)로 등록 메시지를 전달할 수 있다.

이때, AUSF(1620-2)는 양방향 인증 과정을 수행함을 결정할 수 있다. 일 예로, AUSF(1620-2)는 단말 ID와 타겟 SNPN ID를 포함하여 인증에 필요한 정보를 DCS(1630)로 요청할 수 있다. 일 예로, O-SNPN(1620)과 DCS(1630)는 사전에 계약 관계가 존재할 수 있으며, 특정 실시예로 한정되지 않는다. 그 후, DCS(1630)는 O-SNPN(1620)에게 해당 단말(1610)의 Root-of-trust certificates, SUPI, 해당 SNPN의 자격을 관리하는 프로비저닝 서버 주소(PS_address) 및 해당 PS와의 인증 수행을 위해 필요한 PS 토큰(PS_token)을 전달할 수 있다. 이때, O-SNPN의 AUSF(1620-2)는 DCS(1630)로부터 수신한 정보를 이용하여 단말(1610)과 EAP-TLS 프로토콜에 기초하여 양방향 인증(Two-way Primary Authentication)을 수행할 수 있다. 그 후, 인증이 완료되면 AUSF(1620-2)는 단말이 접속하고자 하는 SNPN의 자격을 관리하는 프로비저닝 서버 주소와 프로비저닝 서버(1640)에서 단말 인증을 위해 사용한 PS 토큰을 단말(1610)에게 전달할 수 있다.

다음으로, 단말(1610)은 제공받은 프로비저닝 서버 주소 정보에 기초하여 프로비저닝 서버(1640)로 해당 SNPN의 자격 요청 메시지를 전송할 수 있다. 이때, 자격 요청 메시지는 단말 ID 및 PS 토큰을 포함할 수 있다. 일 예로, DCS(1630)와 PS(1640) 상호 간에는 계약이 존재할 수 있으며, 특정 실시예로 한정되지 않는다. 여기서, 전송 경로는 O-SNPN(1620)을 통해 PDU 세션을 맺은 유저 평면이 될 수 있다. 또 다른 일 예로, 전송 경로는 O-SNPN의 NF들과 연결하는 제어 평면일 수 있으며, 특정 형태로 한정되는 것은 아닐 수 있다.

그 후, 프로비저닝 서버(1640)는 수신된 단말 ID의 도메인 부분으로 DCS(1630)를 특정하고, 해당 DCS(1630)에게 단말 ID와 PS 토큰을 전달하여 인증을 요청할 수 있다. 이때, DCS(1630)는 해당 단말 ID에게 온보딩시 발행한 PS 토큰과 동일한지 여부에 기초하여 인증을 수행하고, 인증 결과를 프로비저닝 서버(1640)로 회신할 수 있다. 상술한 바에 기초하여 단말 인증이 완료되면 프로비저닝 서버(1640)는 해당 SNPN의 자격을 단말(1610)에게 전달할 수 있다.

도 17은 본 개시에 적용되는 단말이 인증을 수행하는 방법을 나타낸 도면이다. 도 17을 참조하면, 단말(1710)은 상술한 바와 같이 기본 자격을 사전에 보유할 수 있다. 일 예로, 단말(1710)은 제조사 서버 내에서 식별 가능한 고유 식별자, 제조사에서 발행한 단말 인증서, 제조사 인증 서버의 공개키 및 온보딩 네트워크의 인증서를 검증할 수 있는 최상위/중간 인증 기관의 인증서(Root/Intermediary CA Certificates) 중 적어도 어느 하나 이상을 제공받을 수 있으며, 상술한 실시예로 한정되지 않는다. 이때, 단말(1710)은 제조사 서버의 공개키로 고유 식별자를 암호화하야 SUCI(Subscription Concealed Identifier)를 생성할 수 있다. 그 후, 단말(1710)이 SUCI와 접속하고자 하는 SNPN ID를 포함하는 등록 요청을 O-SNPN의 AMF/SEAF(1720)으로 전송할 수 있다.

이때, AMF/SEAF(1720)는 SUCI 및 SNPN ID를 포함하는 인증 요청 (e.g. Nausf_UEAuthentication_ AuthenticateRequest)을 AUSF(1730)로 전송할 수 있다. 일 예로, 인증 요청은 SUCI 및 서빙 네트워크 이름(SN-name) 정보를 포함할 수 있다. 또한, AMF/SEAF(1720)는 AUSF(1730)의 인증 방법 선택에 도움을 주는 지시 정보를 더 전달할 수 있으며, 특정 실시예로 한정되지 않는다.

그 후, AUSF(1730)는 SUCI의 도메인 부분 및 상술한 인증 방법 선택 지시 정보에 기초하여 인증 방법을 선택할 수 있다. 즉, AUSF(1730)는 수신한 SUCI의 도메인 부분 및 AMF(1720)로부터 전달받은 지시에 기초하여 인증 방법을 선택할 수 있다. 이때, 일 예로, AUSF(1730)는 해당 단말(1710)과 EAP-TLS 프로토콜에 기초하여 DCS(1740)와 상호 인증을 수행할지 여부를 선택할 수 있다.

여기서, AUSF(1730)가 SUCI의 도메인 부분을 통해 DCS(1740)를 검색하고, 단말(1710)로 인증에 필요한 정보를 요청할 수 있다. 즉, AUSF(1730)은 인증 정보 요청 메시지를 DCS(1740)로 전송할 수 있다. 이때, 인증 정보 요청 메시지는 SUCI를 포함할 수 있으며, IP를 통해 DCS(1740)으로 전달될 수 있다.

이때, DCS(1740)는 개인키를 통해 공개키로 암호화된 SUCI를 복호화하여 SUPI를 생성할 수 있다. 또한, DCS(1740)는 SUPI에 매핑되는 인증서를 검증할 수 있는 최상위, 중간 인증 기관의 인증서와, 수신된 SNPN ID를 기반으로 해당 SNPN의 인증을 담당하는 프로비저닝 서버 주소 및 PS 토큰 정보를 네트워크로 회신할 수 있다.

즉, DCS(1740)는 AUSF(1730)의 요청에 기초하여 Root-of-trust certificates, PS 주소, PS 토큰 및 SUPI를 포함하는 응답을 AUSF(1730)로 전달할 수 있다. 그 후, AUSF(1730)은 인증 응답(e.g Nausf_UE Authentication_AuthenticateResponse)을 AMF/SEAF(1720)으로 전달할 수 있다.

그 후, 단말(1710)이 보유 중인 단말 인증서, 온보딩 네트워크의 최상위/중간 인증 기관의 인증서와 온보딩 네트워크가 보유 중인 온보딩 네트워크 인증서, PS로부터 수신한 단말의 최상위/중간 인증 기관의 인증서 중 적어도 어느 하나에 기초하여 양방향 상호 인증이 수행될 수 있다.

일 예로, AMF/SEAF(1720)는 양방향 인증을 위해 EAP-TLS에 기초하여 단말(1710)로 인증 요청 메시지를 전송할 수 있다. 이때, 단말(1710)은 EAP-TLS에 기초하여 인증 응답 메시지를 AMF/SEAF(1720)로 전달할 수 있다. 그 후, AMF/SEAF(1720)은 단말로부터 EAP-TLS에 기초한 인증 요청(e.g. Nausf_UEAuthentication_AuthenticateRequest)를 AUSF(1730)으로 전달할 수 있다. 이때, AUSF(1730)는 단말 인증을 수행하고, 인증 응답(e.g. Nausf_UEAuthentication_AuthenticateResponse)을 AMF/SEAF(1720)으로 전달할 수 있다. 이를 통해, 단말은 네트워크를 인증할 수 있다.

그 후, AMF/SEAF(1720)은 인증 요청을 단말(1710)로 전달하고, 단말(1710)로부터 인증 응답을 수신할 수 있다. 이때, AMF/SEAF(1720)은 인증 요청(e.g. Nausf_UEAuthentication_AuthenticateRequest)를 AUSF(1730)으로 전달할 수 있으며, AUSF(1740)는 인증 응답(e.g. Nausf_UEAuthentication_AuthenticateResponse)을 AMF/SEAF(1730)로 전달할 수 있다. 이때, 네트워크도 단말을 인증할 수 있다. 즉, 상술한 바를 통해 양방향 인증이 수행될 수 있다. 그 후, AMF/SEAF(1730)는 단말(1710)과 인증 요청/응답 메시지를 교환하고, AUSF(1740)와 인증 요청/응답 메시지를 교환하여 양방향 인증을 완료할 수 있다. 이 후, AUSF(1740)은 단말로 프로비저닝 서버 주소 정보 및 PS 토큰 정보를 전달하고, 단말(1710)이 프로비저닝 서버로부터 접속하고자 하는 SNPN의 자격을 획득할 수 있으며, 이는 상술한 도 16과 같다.

즉, 상술한 바를 통해 단말과 AUSF는 양방향 인증을 수행할 수 있다. 일 예로, 도 14에서는 기존 AAA 프로토콜과 5G 인증 시그널링을 고려하여 프록시가 필요하거나, DCS가 5GS를 인식하여 AUSF 및 UDM 기능을 지원할 필요성이 있었다. 반면, 도 16 및 도 17에서는 상술한 바와 같이 AUSF가 프록시 기능을 지원하거나 DCS가 5GS를 인식하여 AUSF 및 UDM 기능을 지원하지 않더라도 IP를 통해 인증 정보 요청을 수행하여 인증을 수행할 수 있다.

즉, 단말과 AUSF가 양방향 인증을 수행하는 경우에 상술한 바와 같이 프록시 지원 여부나 DCS의 AUSF/UDM 지원 기능 여부를 고려하지 않을 수 있으므로 DCS의 부담을 줄일 수 있다. 또한, 단말과 AUSF와 양방향 인증을 수행하므로 단방향 인증보다 보안성이 뛰어날 수 있다.

도 18을 참조하면, 단말은 DCS의 공개키로 고유 식별자를 암호화하여 SUCI를 생성할 수 있다.(S1810) 이때, 일 예로, 단말은 DCS 내에서 식별 가능한 고유 식별자, DCS에 기초하여 발행된 단말 인증서, DCS의 공개키 및 온보딩 네트워크의 인증서를 검증할 수 있는 최상위/중간 인증 기관의 인증서(Root/Intermediary CA Certificates) 중 적어도 어느 하나를 사전에 획득할 수 있으며, 이는 상술한 바와 같다. 일 예로, 단말은 제조 과정에서 상술한 정보를 제조사로부터 제공받을 수 있다.

다음으로, 단말은 생성된 SUCI 및 제 1 SNPN ID를 포함하는 등록 요청을 온보딩 네트워크로 전송할 수 있다.(S1820) 이때, 제 1 SNPN은 단말이 접속하고자 하는 SNPN일 수 있다. 그 후, 온보딩 네트워크의 AMF가 SUCI와 제 1 SNPN ID를 포함하여 AUSF에게 인증을 요청할 수 있다. 이때, 일 예로, AMF는 AUSF의 인증 방법 선택에 도움을 주는 지시 정보를 AUSF로 더 제공할 수 있다. 일 예로, AUSF는 SUCI의 도메인 부분 및 상술한 인증 방법 선택에 도움을 주는 지시 정보 중 적어도 어느 하나를 통해 인증 방법을 선택할 수 있다. 이때, AUSF가 단말의 SUCI의 도메인 부분에 기초하여 DCS를 검색하고, 단말 인증에 필요한 정보를 요청할 수 있다. 즉, AUSF는 DCS로 인증 정보 요청 메시지를 전송할 수 있다. 이때, 인증 정보 요청 메시지는 SUCI 및 제 1 SNPN ID 정보 중 적어도 어느 하나 이상을 포함할 수 있다. 그 후, DCS는 AUSF로부터 수신한 SUCI를 개인키를 통해 복호화하고, SUPI를 생성할 수 있다. 여기서, DCS의 개인키는 단말이 SUCI를 생성하기 위해 사용하는 공개키와 페어된 키일 수 있으며, 이를 통해 DCS는 SUCI를 복호화하고, SUPI를 생성할 수 있다. 또한, DCS는 해당 SUPI에 매핑되는 인증서를 검증할 수 있는 최상위/중간 인증 기관의 인증서, 수신된 제 1 SNPN ID를 기반으로 제 1 SNPN의 인증을 담당하는 프로비저닝 서버의 주소(PS_address) 및 프로비저닝 서버가 추후 단말 인증에 사용할 PS_token를 생성하여 온보딩 네트워크로 회신할 수 있다.

그 후, 단말은 온보딩 네트워크와 양방향 인증을 수행할 수 있다.(S1830) 이때, 양방향 인증은 단말이 보유 중인 단말 인증서, 온보딩 네트워크의 최상위/중간 인증 기관의 인증서, 온보딩 네트워크가 보유 중인 온보딩 네트워크 인증서 및 프로비저닝 서버로부터 수신한 단말의 최상위/중간 인증 기관의 인증서 중 적어도 어느 하나에 기초하여 양방향 인증이 수행될 수 있다.

그 후, 양방향 인증이 완료되면, 단말은 온보딩 네트워크로부터 PS_address 및 PS_token을 수신할 수 있다.(S1840) 단말은 수신한 PS_address에 기초하여 프로비저닝 서버로 고유 식별자 및 PS_token을 포함하는 자격 요청을 전송하고(S1850), 프로비저닝 서버로부터 제 1 SNPN의 자격을 제공받을 수 있다.(S1860) 이를 통해, 단말은 접속하고자 하는 제 1 SNPN의 자격을 동적으로 제공받아 SNPN으로 접속을 수행할 수 있다.

도 19를 참조하면, 온보딩 네트워크는 DCS의 공개키로 암호화된 SUCI 및 제 1 SNPN를 포함하는 등록 요청을 단말로부터 수신할 수 있다.(S1910) 이때, 일 예로, 단말은 DCS 내에서 식별 가능한 고유 식별자를 DCS에 기초하여 발행된 단말 인증서, DCS의 공개키 및 온보딩 네트워크의 인증서를 검증할 수 있는 최상위/중간 인증 기관의 인증서(Root/Intermediary CA Certificates) 중 적어도 어느 하나를 사전에 획득할 수 있으며, 이는 상술한 바와 같다. 일 예로, 단말은 제조 과정에서 상술한 정보를 제조사로부터 제공받을 수 있다. 이때, 제 1 SNPN은 단말이 접속하고자 하는 SNPN일 수 있다.

다음으로, 온보딩 네트워크는 수신한 등록 요청에 기초하여 DSC로 인증 정보 요청을 전송할 수 있다.(S1920) 보다 상세하게는, 온보딩 네트워크의 AMF가 SUCI와 제 1 SNPN ID를 포함하여 AUSF에게 인증을 요청할 수 있다. 이때, 일 예로, AMF는 AUSF의 인증 방법 선택에 도움을 주는 지시 정보를 AUSF로 더 제공할 수 있다. AUSF는 SUCI의 도메인 부분 및 상술한 인증 방법 선택에 도움을 주는 지시 정보 중 적어도 어느 하나를 통해 인증 방법을 선택할 수 있다. 이때, AUSF가 단말의 SUCI의 도메인 부분에 기초하여 DCS를 검색하고, 단말 인증에 필요한 정보를 요청할 수 있다. 즉, AUSF는 DCS로 상술한 인증 정보 요청 메시지를 전송할 수 있다. 이때, 인증 정보 요청 메시지는 SUCI 및 제 1 SNPN ID 정보 중 적어도 어느 하나 이상을 포함할 수 있다.

그 후, 온보딩 네트워크는 인증 정보 요청에 기초하여 제 1 인증서, PS_address 및 PS_token 중 적어도 어느 하나를 포함하는 응답을 수신할 수 있다.(S1930) 이때, DCS는 AUSF로부터 수신한 SUCI를 개인키를 통해 복호화하고, SUPI를 생성할 수 있다. DCS의 개인키는 단말이 SUCI를 생성하기 위해 사용하는 공개키와 페어된 키일 수 있으며, 이를 통해 DCS는 SUCI를 복호화하고, SUPI를 생성할 수 있다. 또한, DCS로부터 수신되는 제 1 인증서는 해당 SUPI에 매핑되는 인증서를 검증할 수 있는 최상위/중간 인증 기관의 인증서일 수 있다. 또한, 온보딩 네트워크는 제 1 SNPN ID를 기반으로 제 1 SNPN의 인증을 담당하는 프로비저닝 서버의 주소(PS_address) 및 프로비저닝 서버가 추후 단말 인증에 사용할 PS_token를 DCS로부터 수신할 수 있으며, 이는 상술한 바와 같다.

그 후, 온보딩 네트워크는 수신한 응답에 기초하여 단말과 양방향 인증을 수행할 수 있다.(S1940) 이때, 양방향 인증은 단말이 보유 중인 단말 인증서, 온보딩 네트워크의 최상위/중간 인증 기관의 인증서, 온보딩 네트워크가 보유 중인 온보딩 네트워크 인증서 및 프로비저닝 서버로부터 수신한 단말의 최상위/중간 인증 기관의 인증서 중 적어도 어느 하나에 기초하여 양방향 인증이 수행될 수 있다.

그 후, 양방향 인증이 완료되면, 온보딩 네트워크는 단말로 PS_address 및 PS_token을 전송할 수 있다.(S1950) 단말은 수신한 PS_address에 기초하여 프로비저닝 서버로 고유 식별자 및 PS_token을 포함하는 자격 요청을 전송하고, 프로비저닝 서버로부터 제 1 SNPN의 자격을 제공받을 수 있다. 이를 통해, 단말은 접속하고자 하는 제 1 SNPN의 자격을 동적으로 제공받아 SNPN으로 접속을 수행할 수 있다.

상기 설명한 제안 방식에 대한 일례들 또한 본 개시의 구현 방법들 중 하나로 포함될 수 있으므로, 일종의 제안 방식들로 간주될 수 있음은 명백한 사실이다. 또한, 상기 설명한 제안 방식들은 독립적으로 구현될 수도 있지만, 일부 제안 방식들의 조합 (또는 병합) 형태로 구현될 수도 있다. 상기 제안 방법들의 적용 여부 정보 (또는 상기 제안 방법들의 규칙들에 대한 정보)는 기지국이 단말에게 사전에 정의된 시그널 (예: 물리 계층 시그널 또는 상위 계층 시그널)을 통해서 알려주도록 규칙이 정의될 수 있다.

본 개시는 본 개시에서 서술하는 기술적 아이디어 및 필수적 특징을 벗어나지 않는 범위에서 다른 특정한 형태로 구체화될 수 있다. 따라서, 상기의 상세한 설명은 모든 면에서 제한적으로 해석되어서는 아니되고 예시적인 것으로 고려되어야 한다. 본 개시의 범위는 첨부된 청구항의 합리적 해석에 의해 결정되어야 하고, 본 개시의 등가적 범위 내에서의 모든 변경은 본 개시의 범위에 포함된다. 또한, 특허청구범위에서 명시적인 인용 관계가 있지 않은 청구항들을 결합하여 실시 예를 구성하거나 출원 후의 보정에 의해 새로운 청구항으로 포함할 수 있다.

본 개시의 실시 예들은 다양한 무선접속 시스템에 적용될 수 있다. 다양한 무선접속 시스템들의 일례로서, 3GPP(3rd Generation Partnership Project) 또는 3GPP2 시스템 등이 있다.

본 개시의 실시 예들은 상기 다양한 무선접속 시스템뿐 아니라, 상기 다양한 무선접속 시스템을 응용한 모든 기술 분야에 적용될 수 있다. 나아가, 제안한 방법은 초고주파 대역을 이용하는 mmWave, THz 통신 시스템에도 적용될 수 있다.

추가적으로, 본 개시의 실시 예들은 자유 주행 차량, 드론 등 다양한 애플리케이션에도 적용될 수 있다.

Claims

무선 통신 시스템에서 단말 동작 방법에 있어서,

단말이 DCS(default credential server)의 공개키로 고유 식별자를 암호화하여 SUCI(subscription concealed identifier)를 생성하는 단계;

상기 생성된 SUCI 및 제 1 SNPN(standalone non public network) ID를 포함하는 등록 요청을 온보딩 네트워크로 전송하는 단계;

상기 온보딩 네트워크와 양방향 인증을 수행하는 단계;

상기 양방향 인증이 완료된 경우, 상기 온보딩 네트워크로부터 프로비저닝 서버 주소(PS_address) 및 프로비저닝 서버 토큰(PS_token)을 수신하는 단계;

상기 수신한 PS_address에 기초하여 프로비저닝 서버로 상기 고유 식별자 및 상기 PS_token을 포함하는 자격 요청을 전송하는 단계; 및

상기 프로비저닝 서버로부터 제 1 SNPN의 자격을 제공받는 단계;를 포함하는, 단말 동작 방법.
제 1 항에 있어서,

상기 온보딩 네트워크의 AMF(access and mobility management function)가 상기 단말로부터 상기 등록 요청을 수신하고,

상기 AMF는 상기 SUCI 및 상기 제 1 SNPN ID를 포함하여 상기 온보딩 네트워크의 AUSF(authentication server function)로 인증을 요청하는, 단말 동작 방법.
제 2 항에 있어서,

상기 AMF가 상기 AUSF로 상기 인증을 요청하는 경우, 상기 AMF는 상기 AUSF로 인증 방법 선택 지시 정보를 더 전송하는, 단말 동작 방법.
제 3 항에 있어서,

상기 AUSF는 상기 인증 방법 선택 지시 정보 및 상기 SUCI의 도메인 정보를 확인하여 상기 DCS를 검색하고, 상기 DCS로 상기 단말 인증에 필요한 정보를 요청하는, 단말 동작 방법.
제 4 항에 있어서,

상기 DCS로 전송되는 상기 단말 인증에 필요한 정보에는 상기 SUCI가 포함되고,

상기 DCS는 개인키를 통해 상기 SUCI를 복호화하여 SUPI(subscriber identifier )를 생성하고,

상기 SUPI에 매핑되는 인증서를 검증할 수 있는 제 1 인증서를 생성하고, 상기 제 1 SNPN ID에 기초하여 상기 제 1 SNPN의 인증을 담당하는 상기 프로비저닝 서버의 상기 PS_address를 생성하고, 상기 프로비저닝 서버와 상기 단말이 인증에 사용하는 상기 PS_token을 생성하는, 단말 동작 방법.
제 5 항에 있어서,

상기 AUSF는 상기 DCS로부터 상기 제 1 인증서, 상기 제 1 SNPN ID에 기초하여 상기 제 1 SNPN의 인증을 담당하는 상기 프로비저닝 서버의 상기 PS_address 및 상기 프로비저닝 서버가 상기 단말 인증을 위해 사용하는 상기 PS_token 정보를 수신하는, 단말 동작 방법.
제 1 항에 있어서,

상기 단말은 상기 DSC로부터 상기 고유 식별자, 상기 공개키, 상기 DCS에 기초하여 발행된 단말 인증서, 및 온보딩 네트워크의 인증서를 검증할 수 있는 최상위/중간 인증 기관의 인증서(Root/Intermediary CA Certificates) 중 적어도 어느 하나를 사전에 제공받는, 단말 동작 방법.
제 1 항에 있어서,

상기 양방향 인증은 EAP-TLS(extensible authentication protocol - transport layer security) 프로토콜에 기초하여 수행되는, 단말 동작 방법.
제 1 항에 있어서,

상기 온보딩 네트워크는 O-SNPN(onboarding-standalone non-public network)인, 단말 동작 방법.
제 1 항에 있어서,

상기 단말은 상기 프로비저닝 서버로부터 전달받은 상기 제 1 SNPN의 상기 자격에 기초하여 상기 제 1 SNPN으로 접속을 수행하는, 단말 동작 방법.
무선 통신 시스템에서 동작하는 단말에 있어서,

적어도 하나의 송수신기;

적어도 하나의 프로세서; 및

상기 적어도 하나의 프로세서에 동작 가능하도록 연결되고, 실행될 경우 상기 적어도 하나의 프로세서가 특정 동작을 수행하도록 하는 명령들(instructions)을 저장하는 적어도 하나의 메모리를 포함하고,

상기 특정 동작은:

DCS(default credential server)의 공개키로 고유 식별자를 암호화하여 SUCI(subscription concealed identifier)를 생성하고,

상기 송수신부를 상기 생성된 SUCI 및 제 1 SNPN(standalone non public network) ID를 포함하는 등록 요청을 온보딩 네트워크로 전송하도록 제어하고,

상기 온보딩 네트워크와 양방향 인증을 수행하고,

상기 양방향 인증이 완료된 경우, 상기 송수신부를 상기 온보딩 네트워크로부터 프로비저닝 서버 주소(PS_address) 및 프로비저닝 서버 토큰(PS_token) 정보를 수신하도록 제어하고,

상기 송수신부를 상기 수신한 PS_address에 기초하여 프로비저닝 서버로 상기 고유 식별자 및 상기 PS_token을 포함하는 자격 요청을 전송하도록 제어하고, 및

상기 송수신부를 상기 프로비저닝 서버로부터 제 1 SNPN의 자격을 제공받도록 제어하는, 단말 동작 방법.
무선 통신 시스템에서 온보딩 네트워크의 동작 방법에 있어서,

단말로부터 SUCI 및 제 1 SNPN ID를 포함하는 등록 요청을 수신하는 단계;

상기 수신한 등록 요청에 기초하여 DCS로 인증 정보 요청을 전송하는 단계;

상기 인증 정보 요청에 기초하여 제 1 인증서, 프로비저닝 서버의 주소(PS_address) 및 프로비저닝 서버 토큰(PS_token) 중 적어도 어느 하나를 포함하는 응답을 수신하는 단계;

상기 수신한 응답에 기초하여 상기 단말과 양방향 인증을 수행하는 단계; 및

상기 양방향 인증이 완료된 경우, 상기 단말로 상기 PS_address 및 상기 PS_token을 전송하는 단계;를 포함하되,

상기 단말은 상기 수신한 PS_address에 기초하여 프로비저닝 서버로 상기 고유 식별자 및 상기 PS_token을 포함하는 자격 요청을 전송하고, 상기 프로비저닝 서버로부터 제 1 SNPN의 자격을 제공받는, 온보딩 네트워크의 동작 방법.
무선 통신 시스템에서 동작하는 네트워크에 있어서,

적어도 하나의 송수신기;

적어도 하나의 프로세서; 및

상기 적어도 하나의 프로세서에 동작 가능하도록 연결되고, 실행될 경우 상기 적어도 하나의 프로세서가 특정 동작을 수행하도록 하는 명령들(instructions)을 저장하는 적어도 하나의 메모리를 포함하고,

상기 특정 동작은

상기 송수신부를 단말로부터 SUCI 및 제 1 SNPN ID를 포함하는 등록 요청을 수신하도록 제어하고,

상기 송수신부를 상기 수신한 등록 요청에 기초하여 DCS로 인증 정보 요청을 전송하도록 제어하고,

상기 송수신부를 상기 인증 정보 요청에 기초하여 제 1 인증서, 프로비저닝 서버의 주소(PS_address) 및 프로비저닝 서버 토큰(PS_token) 중 적어도 어느 하나를 포함하는 응답을 수신하도록 제어하고,

상기 수신한 응답에 기초하여 상기 단말과 양방향 인증을 수행하고, 및

상기 양방향 인증이 완료된 경우, 상기 송수신부를 상기 단말로 상기 PS_address 및 상기 PS_token을 전송하도록 제어하되,

상기 단말은 상기 수신한 PS_address에 기초하여 프로비저닝 서버로 상기 고유 식별자 및 상기 PS_token을 포함하는 자격 요청을 전송하고, 상기 프로비저닝 서버로부터 제 1 SNPN의 자격을 제공받는, 온보딩 네트워크.
적어도 하나의 메모리 및 상기 적어도 하나의 메모리들과 기능적으로 연결되어 있는 적어도 하나의 프로세서를 포함하는 장치에 있어서,

상기 적어도 하나의 프로세서는 상기 장치가,

DCS(default credential server)의 공개키로 고유 식별자를 암호화하여 SUCI(subscription concealed identifier)를 생성하고,

상기 생성된 SUCI 및 제 1 SNPN(standalone non public network) ID를 포함하는 등록 요청을 온보딩 네트워크로 전송하고,

상기 온보딩 네트워크와 양방향 인증을 수행하고,

상기 양방향 인증이 완료된 경우, 상기 온보딩 네트워크로부터 프로비저닝 서버 주소(PS_address) 및 프로비저닝 서버 토큰(PS_token) 정보를 수신하고,

상기 수신한 PS_address에 기초하여 프로비저닝 서버로 상기 고유 식별자 및 상기 PS_token을 포함하는 자격 요청을 전송하고, 및

상기 프로비저닝 서버로부터 제 1 SNPN의 자격을 제공받는, 장치.
적어도 하나의 명령어(instructions)을 저장하는 비-일시적인(non-transitory) 컴퓨터 판독 가능 매체(computer-readable medium)에 있어서,

프로세서에 의해 실행 가능한(executable) 상기 적어도 하나의 명령어를 포함하며,

상기 적어도 하나의 명령어는,

DCS(default credential server)의 공개키로 고유 식별자를 암호화하여 SUCI(subscription concealed identifier)를 생성하고,

상기 생성된 SUCI 및 제 1 SNPN(standalone non public network) ID를 포함하는 등록 요청을 온보딩 네트워크로 전송하고,

상기 온보딩 네트워크와 양방향 인증을 수행하고,

상기 양방향 인증이 완료된 경우, 상기 온보딩 네트워크로부터 프로비저닝 서버 주소(PS_address) 및 프로비저닝 서버 토큰(PS_token) 정보를 수신하고,

상기 수신한 PS_address에 기초하여 프로비저닝 서버로 상기 고유 식별자 및 상기 PS_token을 포함하는 자격 요청을 전송하고, 및

상기 프로비저닝 서버로부터 제 1 SNPN의 자격을 제공받는, 컴퓨터 판독 가능 매체.