JP6022539B2 - マシンツーマシンサービス提供方法及び装置 - Google Patents

マシンツーマシンサービス提供方法及び装置 Download PDF

Info

Publication number
JP6022539B2
JP6022539B2 JP2014505087A JP2014505087A JP6022539B2 JP 6022539 B2 JP6022539 B2 JP 6022539B2 JP 2014505087 A JP2014505087 A JP 2014505087A JP 2014505087 A JP2014505087 A JP 2014505087A JP 6022539 B2 JP6022539 B2 JP 6022539B2
Authority
JP
Japan
Prior art keywords
assigned
service provider
root key
network
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2014505087A
Other languages
English (en)
Other versions
JP2014513349A (ja
Inventor
アルパー・イェギン
ヨン・キョ・ペク
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Samsung Electronics Co Ltd
Original Assignee
Samsung Electronics Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Samsung Electronics Co Ltd filed Critical Samsung Electronics Co Ltd
Publication of JP2014513349A publication Critical patent/JP2014513349A/ja
Application granted granted Critical
Publication of JP6022539B2 publication Critical patent/JP6022539B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/50Service provisioning or reconfiguring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/70Services for machine-to-machine communication [M2M] or machine type communication [MTC]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2143Clearing memory, e.g. to prevent the data from being stolen
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/4401Bootstrapping
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/061Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Computer And Data Communications (AREA)
  • Telephonic Communication Services (AREA)
  • Storage Device Security (AREA)
  • Communication Control (AREA)

Description

本発明は、通信システムのための方法及び装置に関し、より詳しくはマシンツーマシン(M2M;Machine−to−Machine)サービスを提供する方法及び装置に関する。
M2M技術は、M2Mデバイスがネットワークと連結され通信しながらそれぞれのデバイスで実行されるアプリケーションがインターネット上の多様な制御ノード(すなわち、 サーバー又は他の類似の装置)で実行されるアプリケーションと通信する技術である。このような通信を容易にするためにM2Mコアネットワークは、サービスパラメーターでデバイスのダイナミックプロビジョニング(dynamic provisioning)と、アプリケーションレベルの接近のためのデバイスの登録とを可能にするという役目をする。
M2M自動ブートストラップ(M2M Automated Bootstrap)は、M2Mデバイスのダイナミックプロビジョニングを実行するためにM2MデバイスとM2Mネットワークの間で実行される手続きである。したがって、コンピューターやユーザのインターフェースから自己診断項目を受動で選択する際、招来される迷惑無しにデバイスの自己診断を実行することができるシステムと方法が必要である。
本発明の態様は、少なくとも前述の問題及び/又は短所を解決し、少なくとも後述する長所を提供するためのものである。したがって、本発明の一実施形態によれば、マシンツーマシン(M2M)デバイスによってサービスを提供する方法を提供する。この方法は、上記M2Mデバイスの識別子を含む第1認証に対するリクエストをネットワーク保安部(NSEC; Network Security Capability)へ送信する段階と、上記NSECと共に拡張可能認証プロトコル(EAP;Extensible Authextensible Protocol)認証を実行する段階と、及び上記1認証が成功的であれば、マスターセッションキー(MSK;Master Session Key)及び上記M2Mデバイスの識別子のうちの少なくとも1つを利用して秘密キーを生成する段階と、を含む。
本発明の一実施形態によれば、サービスを提供するマシンツーマシン(M2M)デバイスが提供される。このM2Mデバイスは、上記M2Mデバイスの識別子を含む第1認証に対するリクエストをネットワーク保安部(NSEC)へ送信する送信機と、上記NSECと共に拡張可能認証プロトコル(EAP)認証を実行する制御機と、及び上記1認証が成功的であれば、マスターセッションキー(MSK)及び上記M2Mデバイスの識別子のうち、少なくとも1つを利用して秘密キーを生成するキージェネレータと、を含む。
本発明の他の実施形態によれば、マシンツーマシン(M2M)システムにおいて、ネットワーク保安部(NSEC)によってサービスを提供する方法が提供される。 この方法は上記M2Mデバイスの識別子を含む第1認証に対するリクエストがM2Mデバイスから受信されるのか判断する段階と、上記第1認証に対するリクエストが受信されると、上記M2Mデバイスと共に拡張可能認証プロトコル(EAP)認証を実行する段階と、及び上記第1認証が成功的であれば、マスターセッションキー(MSK)及び上記M2Mデバイスの識別子のうち、少なくとも1つを利用して秘密キーを生成する段階と、を含む。
本発明の他の実施形態によれば、マシンツーマシン(M2M)システムにおいて、サービスを提供するネットワーク保安部(NSEC)が提供される。このNSECは上記M2Mデバイスの識別子を含む第1認証に対するリクエストがM2Mデバイスから受信されるのか判断し、上記第1認証に対するリクエストが受信されると、上記M2Mデバイスと共に拡張可能認証プロトコル(EAP)認証を実行する制御機と、及び上記第1認証が成功的であれば、マスターセッションキー(MSK)及び上記M2Mデバイスの識別子のうち、少なくとも1つを利用して秘密きーを生成するキージェネレータと、を含む。
本発明によれば、以下のように多様な効果を奏する。
コードの再利用(Code reuse): EAPは「ネットワーク接続認証」のためにWiFi、 WiMAX、Zigbee(登録商標)、Ethernet(登録商標)などで幅広く使用される。PANAはZigbee(登録商標)デバイスで「ネットワーク接続認証」のために使用される。他の目的のために同一要素を再利用することはM2Mデバイスの開発及びコストを減少させる。
拡張性(Extensibility): EAP及びPANAは共に拡張可能プロトコルである。 PSK及び証明−基盤認証だけを許容するTLSと異なり、これらはどんな認証方法でも使用される。PANAは新しい属性値対(AVPs; Attribute−Value−Pairs)を定義することによって新しいペイロードが容易に伝達するように拡張される。
軽量化(Lightweight): このような解決方案はUDPに基づいたスタックとTCPTに基づいたスタックを共にサポートする。TLSはTCPに基づいたスタックを要し、これによってコードとプロセシングをさらに要する。
モデル適合性(Model fit): EAP及びPANAの第三者(3−party)認証モデルはデバイス−コア−MSBFシステムに適合する。TLSは両者(2−party)設計に基づいて、TLSに基づく解決方案はM2Mシステムアーキテクチャーに適合しない。
本発明の実施形態に対する幾つかの態様、特徴、長所は以下の添付図面を参照する以下の説明からより明らかである。
本発明の実施形態によるM2M自動ブートストラップ手続き(M2M Automated Bootstrap Procedure)に含まれるネットワーク構成要素を示した図面である。 本発明の実施形態によるM2Mネットワークで発生するイベントなどのハイ−レベルフローチャートである。 本発明の実施形態によるブートストラップ手続きを含むコールフローを示した図面である。 本発明の実施形態によるデバイスのブートストラップ手続きを示したフローチャートである。 本発明の実施形態によるネットワーク保安部(NESC)のブートストラップ手続きを示したフローチャートである。 本発明の実施形態によるネットワーク遠隔個体管理部(NREM; Network Remote Entity Management Capability)のブートストラップ手続きを示したフローチャートである。 本発明の実施形態によるM2Mサービスブートストラップピング機能部(MSBF;M2M Service Bootstrapping Function)のブートストラップ手続きを示したフローチャートである。 本発明の実施形態によるM2Mサービス階層認証・承認・課金サーバー(MAS;M2M Service layer AAA Server)のブートストラップ手続きを示したフローチャートである。 本発明の実施形態によるデバイス機能モデルを示した図面である。 本発明の実施形態による分離したネットワーク接近認証及びM2Mブートストラップ手続きを示した図面である。 本発明の実施形態によるネットワーク接続認証を実行するためのプロトコル(PANA; Protocol for Carrying Authextensible for Network Access)を通じて拡張可能認証プロトコル(EAP; Extensible Authextensible Protocol)を用いるネットワーク及び拡張可能認証プロトコル(EAP)を用いるネットワークのためのコールフローを示した図面である。 本発明の実施形態によるデバイス機能モデルを示した図面である。 図面全体において、同一参照番号は同一、或いは類似の構成要素、特徴、構造を指称するために使用される。
添付図面を参照した以下の説明は請求項と、その均等物によって定義された本発明の実施形態の完全な理解を助けるために提供される。 以下の説明は理解を助けるために多様で、かつ具体的な例を含むが、これらはただ例示として見なすべきである。本発明が属する技術分野で通常の知識を有する者であればここに開示された実施形態が本発明の範囲及び思想を外れなく多様に変形可能であると言える。また、明瞭でかつ簡潔に説明するために、公知の機能及び構造に対する説明は省略されてもよい。
以下の説明及び請求項で使用される用語や単語は辞書的な意味に限って制限されず、ただ発明の明瞭で一貫された理解のために発明者にとって使用されてもよい。したがって、本発明が属する技術分野で通常の知識を有する者であれば、本発明の実施形態に対する次の説明がただ説明のための目的に提供されるだけ、請求項とその均等物によって定義される本発明を制限するための目的に提供されないという点を理解する。
本明細書において使用される単数の表現は、文脈上明白に相違するように指示しない限り、複数の表現を含む。 例えば、「リクエスト」という記載は1つ又はその以上のリクエストを含む意味の記載である。
図1は、本発明の実施形態によるM2M自動ブートストラップ手続き(M2M Automated Bootstrap Procedure)に含まれるネットワーク構成要素を示した図面である。
図1を参照すれば、ネットワーク構成要素を連結する線は、ネットワーク構成要素で使用される通信インターフェースに対応する。 デバイス110は、M2Mコアネットワーク120によって提供されるM2M設備を用いて動作を開始するためにブートストラップ(bootstrap)となる個体である。デバイス110は、M2Mコアネットワーク120を通じてM2Mサービスブートストラップピング機能部(MSBF;M2M Service Bootstrapping Function)130と共にブートストラップ手続きに関与する。ブートストラップ手続きの末尾で、M2Mネットワークを通じてアプリケーション通信を暗号化するために使用されるルート秘密キー(root secret key;KR)が生成される。ルート秘密キーはネットワークでM2Mサービス階層認証・承認・課金サーバー(MAS;M2M Service layer AAA Server)140に記憶される。
ヨーロッパ通信規格協会(ETSI; European Telecommunications Standard Institute)のM2M技術委員会(M2M Technical Committee)はM2M標準を立案して自動M2Mブートストラップ手続きの必要性及びその要求事項を明確にした。
図2は、本発明の実施形態によるM2Mネットワークで発生するイベントなどのハイ−レベルフローチャートである。
図2を参照すれば、ネットワーク接近認証を含むネットワーク登録は、インターネットプロトコル(IP)ネットワークに対する接近を獲得するためのデバイスによって使用される手続きである。M2M関連手続きのように高−階層(higher−layer)手続きはネットワーク登録の成功的な実行後に使用される。M2Mサービスブートストラップ及びM2Mサービス連結のようなM2M手続きはM2Mネットワークへの接続及びIPネットワーク最上位のオーバレイネットワークへの接続を獲得するために使用される。 図2で、M2Mデバイスはデバイスサービス能力階層(DSCL; Device Service Capability Layer)を含み、M2Mゲートウェーはゲートウェーサービス能力階層(GSCL; Gateway Service Capability Layer)を含み、ネットワークドメインはネットワークサービス能力階層(NSCL; Network Service Capability Layer)を含む。 NSCLはネットワークドメインでM2Mサービス能力と関連がある。GSCLはM2MゲートウェーでM2Mサービス能力と関連がある。DSCLはM2MデバイスでM2Mサービス能力と関連がある。DSCLはDSCLを識別するDSCL識別子を持ち、GSCLはGSCLを識別するGSCL識別子を持つ。
ヨーロッパ通信規格協会(ETSI)のM2Mアーキテクチャーは、デバイス及びゲートウェー類型設備のコアネットワーク連結をサポートする。単純化のために、「デバイス」という用語は本明細書全体にかけて電子デバイス及びゲートウェー類型設備を指称する用語として使用される。したがって、M2Mデバイスに対して記述される特徴、構成要素、作用はM2Mゲートウェー及びゲートウェー類型設備に同一に適用される。 ここで「デバイス」という用語はDSCL及び/又はGSCLを指称するために使用されることができる。
本実施形態はネットワーク接続認証を実行するためのプロトコル(PANA; Protocol for Carrying Authextensible for Network Access)及び拡張可能認証プロトコル(EAP)を用いる自動M2Mサービス階層ブートストラップ手続きを提供する。このような方式で、ネットワーク登録及びM2Mサービスブートストラップは図2に示されたように互いに分離した別個の手続きである。 PANAはデバイスとコアネットワークの間でEAPデータを伝達するために使用されるプロトコルである。しかし、本発明はここに限定されず、他のプロトコルもEAP及び要求ペイロード(payloads)を伝達することができる限りPANAを取り替えることができる。実施形態に対してここに開示された作用は代替プロトコルに対しても適用される。
本発明の実施形態において、EAP認証方法としては一致−基盤認証キー交換(IBAKE;Identity−Based Authenticated Key Exchange)に基づいたEAP認証が使用される。しかし、本発明の全ての態様によれば、EAP認証方法が特定されない。すなわち、本発明はEAP−IBAKEに限定されず、EAP−TLS、EAP−AKA、EAP−TTLS、EAP−GPSK、及び他の類似プロトコルのようなEAP認証方法が使用されてもよい。
送信階層保安(TLS; Transport Layer Security)は、デバイスとネットワークを相互認証するために、そしてペイロードとしてブートストラップパラメーターをハイパーテキスト送信プロトコル保安(HTTPS; Hypertext Transfer Protocol Secure)階層へ伝達するために提案された。しかし、TLSの使用は多くの問題をもたらし、これによりEAP及びPANAはコードの再利用、拡張性、軽量化、改善したモデル適合性を含む多くのキー特徴を通じて解決方案を提供する。例えば、コードの再利用の場合、WiFi(Wireless Fidelity)ネットワーク、WiMAX(Wireless Interoperability for Microwave Access)ネットワーク、Zigbee(登録商標)ネットワーク、Ethernet(登録商標)ネットワークなどで「ネットワーク接続認証」のためにEAPが広く使用されている。PANAはZigbee(登録商標)デバイスで「ネットワーク接続認証」のために使用される。 したがって、他の目的のために同一、或いは類似の要素を再移用することはM2Mデバイスの開発及びコストを減少させる。 拡張性の場合、EAP及びPANAは、拡張可能プロトコルであり、PSK(Pre−Shared Key)及び証明−基盤認証のみを許容するTLSと異なり如何なる認証方法でも使用される。PANAは新しい属性値対(AVPs; Attribute−Value−Pairs)を定義することによって新しいペイロードが容易に伝達するように拡張される。軽量化の場合、EAP及びPANAの使用はユーザデータグラムプロトコル(UDP; User Datagram Protocol)に基づくスタックと送信制御プロトコル(TCP; Transport Control Protocol)に基づくスタックを共にサポートする。 一方、TLSはTCPに基づくスタックを要して、これによってEAPとPANAを用いる場合と比べて増加されたコードとプロセシングを要する。向上したモデル適合性の場合、EAP及びPANAの三者認証モデルは、M2Mデバイス−コアM2Mサービスブートストラップピング機能部(MSBF;M2M Service Bootstrapping Function)システムアーキテクチャーに対応する。一方、TLSは両者設計に基づいた、TLSに基づく解決方案はM2Mシステムアーキテクチャーに不適合する。
図3は本発明の実施形態によるブートストラップ手続きを含むコールフローを示した図面である。
図3を参照すれば、M2Mコアネットワークにネットワーク保安部(NSEC)302及びネットワーク遠隔個体管理部(NREM)304が存在する。NSEC302は認証者(authenticator)であり、NREM304はデバイス300のための構成サーバー(configuration server)である。本発明の全ての実施形態に必要なことではないが、段階310でM2Mサービスブートストラップピング機能部(MSBF)306がM2M要求を送信する。 ブートストラップ手続きがデバイス300によって開示される場合、段階310は省略されてもよい。 したがって、段階310はNSEC302又はMSBF306によって開始されることができる。 段階310がNSEC302によって開始される場合、MSBF306とNSEC302間で通信されるメッセージはない。 しかし、MSBF306又はNSEC302がデバイス300のネットワーク位置が分かるべきであり、このような場合、段階310に含まれたメッセージはIP階層及び/又はリンク階層でユニキャスト(unicast)となる。又は、MSBF306又はNSEC302がデバイス300の正確な位置が分からない場合、メッセージはIP階層及び/又はリンク階層でアニーキャストされたり(anycasted)マルチキャストされたり(multicasted)又はブロードキャストされる(broadcasted)。
認証・承認・課金(AAA; Authextensible、Authorization、and Accounting)プロトコルはNSEC302とMSBF306間で使用される。AAAプロトコルの2つの例はRemote Authextensible Dial In User Service(RADIUS)とDiameter Base Protocol(Diameter)である。本実施形態によれば、NSEC302とデバイス300の間で使用されるAAAプロトコルはPANAである。 段階310で使用されるPANAメッセージはPANA−認証リクエスト(PAR;PANA−Authextensible−Request)メッセージであり、PANA標準で定義された標準属性値対(AVPs)に加えてPARメッセージのうちに次のAVPを含むことができる:MSBF−IDentifier(ID)はデバイス300にMSBF306に対する識別子(identifier)を伝達するために使用される;AVPの値フィールド(value field)はFully Qualified Domain Name(FQDN)、Network Access Identifier(NAI)、URI(Uniform Resource Identifier)及びその他、類似の識別子のような識別子の類型を示すID類型、識別子のID値、及びデバイス300でNSEC識別子を伝達するために使用されるNSEC−IDのようなデータ要素を含む。また、AVPの値フィールドは次のデータ要素を含む: FQDN、NAI及びURIのような識別子の類型を示すID類型、及び識別子の値であるID値。
NSEC302がPANAプロトコルに対してPANA認証エージェント(PAA;PANA Authextensible Agent)の役目をするので、NSEC−ID及びPAA識別子は互いに同等である。また、ネットワークIDはMSBF306によってデバイス300で提供されるM2Mネットワークの識別子を伝達するために使用される。 同一メッセージに1つ以上のAVPが含まれたり全然含まれないこともあり、1つのMSBF306が多様なネットワークのために提供されてもよい。また、他のデータ要素のうちで、AVPの値フィールドは前述したようなID類型及びID値を含んでもよい。
また、 前述したように、同一AVPはPAAが提供されることをそれぞれのネットワークに通知するために通常のPAA(すなわち、M2MネットワークにないPAA)によって使用されてもよい。したがってネットワークIDはサービス提供者及びサービス提供者が所有しているネットワークを示すために使用されてもよい。また、デバイスIDは受信デバイスでターゲットデバイスの識別子を伝達するために使用されてもよい。 AVPを含むメッセージがアニーキャストされたり、マルチキャストされたり又はブロードキャストされ、それによってターゲットデバイスだけでなく多様なノードによって受信されるので、デバイスIDは受信デバイス又はノードがそれぞれの受信デバイス又は他のデバイスにリクエストを提供するか否かを決める。 デバイス300は1つ以上のデバイスIDがデバイス300の識別子と一致する場合に限って受信メッセージを用い、一致しない場合、デバイス300はメッセージを無視する。他のデータ要素のうちで、AVPの値フィールドは次のデータ要素を含む: FQDN、NAI、URI及びMACアドレスのような識別子の類型を示すID類型、及び識別子の値であるID値。前述したようにAVPはID値と共にID類型を提供する。 AVPを用いるネットワークのアーキテクチャーが異なる類型のIDをサポートするための弾力性を要しない場合、このようなAVPの変形がID類型が省略されたまま使用されてもよい。
また、使用類型(Usage−Type)AVPがPANA実行の目的を表すため、すなわちPANA実行がM2Mブートストラップピングのためのものであるか、ネットワーク接続(すなわち、PANA実行はPANAのレガシ(legacy)使用である)のためのものであるか、或いは他の類型のPANA実行のためのものであるかを表すために定義される。使用類型AVPは第1メッセージ交換や任意のメッセージ交換、又は全てのメッセージ交換に含んでもよい。使用類型AVPは値フィールドに次のデータ要素を含む: 類型(Type)は使用類型(usage−Type)を表すために列挙された値、例えばネットワーク接続を表す0、M2Mブートストラップピングを表す1、M2Mサービス登録を表す2、又は他の類型の使用を表す値を伝達する。
次に、段階320でデバイス300とネットワークを互いに認証するために第1相互認証(Phase 1 mutual Authextensible)が実行される。 本発明の実施形態によれば、相互認証は、ただ一段階の認証(例えば、EAP−TLSと共に)、或いは2つ以上の段階であればよい。 例えば、EAP−IBAKEは2つの段階を持つ: 臨時ID及びパスワードを利用する第1段階及びIBE(Identity−Based Encryption)を利用する第2段階(段階340参照)。2つの段階認証が使用される場合、各段階は完全な認証方法を実行する。例えば、IBAKE方式と共に第1段階はEAP−GPSK(EAP−Generalized PSK)のような1つの方法を実行し、第2段階はEAP−IBAKEのような他のEAP方法を実行する。 一段階認証が使用される場合、その段階は段階340によって実行される。 すなわち、一段階認証が使用される場合、段階320は省略される。
段階320で完全なEAP認証方法が実行される。EAP認証方法はデバイス300と NSEC302の間でPANAを通じるEAPによって伝達して、NSCE302とM2Mサービス階層AAAサーバー(MAS)308の間でAAAプロトコルを通じるEAPによって伝達される。したがって、完全なPANAセッションがこの段階で樹立される。しかし、認証が失敗する場合、段階320は中止される。段階320で認証が成功的であれば、段階320を可能にするための動作が取られる。したがって、段階320はデバイス300とネットワークの間の相互認証を完成して、また段階330のための準備過程でディスカバリー(discovery)、識別(identification)、保安(Security)ができる。
段階330を可能にするために、認証結果を伝達するための最後のPANAメッセージが付加的なAVPを伝達する。付加的なAVPはデバイス300でデバイス管理サーバーの識別子を伝達するために使用されるDM−server−IDを含み、この際、同一メッセージに1つ以上のAVPが含まれたり又は全然含まれないこともある。 DM−server−ID AVPの値フィールドは次の2つのデータ要素を含んでもよい: FQDN、IPv4アドレス、URI又は他の類似識別子のような識別子の類型を表すID類型、及び識別子の値であるID値。
更に、他の付加的なAVPは、ネットワークによってデバイス300に割り当てられたデバイス識別子を伝達するために使用されるAssigned−Device−IDである。これはデバイス300とM2Mコアネットワークの間の後続シグナリング(signaling)のためのデバイス300の識別子であることができ、そういうAVPが1つ以上同一メッセージに含まれたり又は全然含まれないこともある。Assigned−Device−ID AVPの値フィールドは次のデータ要素を含んでもよい: FQDN、NAI、URI及びMACアドレスのような識別子の類型を表すID類型、及び識別子の値であるID値(例えば、「light−switch−1001」)。
DM−server−ID AVP及びAssigned−Device−ID AVPはID値と共にID類型を提供する。ネットワークアーキテクチャーが異なる類型のIDをサポートしない場合(例えば、ただ1つの類型だけ使用される場合)、このようなAVPの変形がID類型が省略されたまま使用してもよい。
また、デバイス300とデバイス管理サーバーの間の暗号保安連関(cryptographic Security association)が段階320で樹立される。Assigned−Device−ID及びDM−server−IDが終了点(end−point)識別子として提供される間、両者の間の共有秘密キー(shared secret key; KD−DM)が次の共有秘密キー式によってマスターセッションキー(MSK; Master Session Key)に基づいて算出される:
KD−DM = Hash(MSK、constant_string | DM−server−ID | Assigned−Device−ID | other_parameters)。
上記式で、ハッシュ(Hash)は、ハッシュ−基盤メッセージ認証コード(HMAC;Hash−based Message Authextensible Code)−保安ハッシュアルゴリズム(SHA; Secure Hash Algorithm)1、HMAC−SHA256、又は他の類似のハッシュ関数のような一方向キードハッシュ関数(one−way keyed Hash function)であり; MSKは実行されたEAP方法によってエクスポートした(exported)マスターセッションキーであり; constant_stringは「M2M shared secret between Device and Device Management Server」のような1つ以上の余白文字
を含む一定リストリング値で;DM−server−IDはデバイス管理サーバー識別子の値であり; Assigned−Device−IDはネットワークによって割り当てられたデバイス識別子の値であり; other_parametersは上記式の変形に追加されることができる0個以上のパラメーターである。
本発明の他の実施形態によれば、MSK代りに拡張MSK(EMSK; Extended MSK)を利用する共有秘密キー式は以下の通りである:
KD−DM = Hash(EMSK、constant_string | DM−server−ID | Assigned−Device−ID | other_parameters)。
キーインデックスとして、PANAセッション識別子及びPANAキーIDの組合が所定のデバイスのために使用される。もし、所定のデバイスがただ1つのPANAセッションのみを有すると、KD−DMキーを表すためにキーIDのみを単独で使用しても十分である。
本発明のまた他の実施形態によれば、共有秘密キー式はルート秘密キー(KR)を利用すればよい。しかし、このような共有秘密キー式はルート秘密キーがデバイスプロビジョニング(device provisioning)の実行前に生成される場合に適用される。このような共有秘密キー式は以下の通りである:
KD−DM = Hash(KR、constant_string | DM−server−ID | Assigned−Device−ID | other_parameters)。
次に、段階330で、デバイスプロビジョニングが実行される(例えば、Open Mobile Alliance(OMA)−Device Management(DM)を使用して)。しかし、段階330は選択事項であり、段階320を実行する本発明の実施形態の構成によって実行されることができる。段階330が実行される際、識別子(Assigned−Device−ID及びDM−server−IDのような)及び以前のPANA手続きで生成された共有(KD−DM)を使用して保安がなる。 段階330で、識別子及び上記手続きの保安のために必要な暗号キーは段階320で説明されたように算出される。
次に、段階340で、第2相互認証(Phase 2 mutual Authextensible)が実行されてPANAを通じてEAP認証方法を実行することを含む。 段階340は幾つかの認証方法によって使用されることができ、その外の認証方法では省略されてもよい。例えば、EAP−TLSと共にただ、一段階の認証だけが実行される一方、IBAKEに基づく認証は2つの段階を利用し、二番目段階はEAP−IBAKE実行を含む。
ブートストラップピング手続きの1つの成果は、デバイス300とネットワークの間で共有秘密キーとしてルート秘密キー(KR)の設定である。ルート秘密キー(KR)は段階320又は段階340の末尾に段階の可用性(availability)及びこのような方式を用いるネットワークアーキテクチャーの構成によって生成される。もし、Assigned−Device−IDが段階320間に伝達しなければ、それは段階340の末尾に伝達され、認証結果を伝達する最後のPANAメッセージによって伝達される。
ルート秘密キー(KR)は、次方式のうちのいずれか1つを用いて生成されることができる。 例えば、ルート秘密キー(KR)は成功的な認証手続きの末尾にEAP方法によって生成されたMSKから誘導されてもよい。この場合、MSKはデバイス300に存在するEAPプアー(peer)によって、さらにMAS308又はMSBF306に存在する認証サーバーによって生成される。 認証サーバーは認証者(authenticator)であるNSCE302とMSKを共有する。したがって、MSKは成功的な認証の末尾に動的に生成された共有秘密キーを構成して次の式によってルート秘密キー(KR)派生物のためのシード(seed)として使用される:
KR = Hash(MSK、constant_string | Assigned−Device−ID | Network−ID | other_parameters)。
上記式で、ハッシュ(Hash)は、HMAC−SHA1、HMAC−SHA256のような一方向キードハッシュ関数(one−way keyed Hash function)であり; MSKは実行されたEAP方法によってエクスポートされたマスターセッションキーであり; constant_stringは「M2M shared secret root key between Device and Network」のように1つ以上の余白文字(NULL characters、“\0”)を含む一定ストリング値であり; Assigned−Device−IDはネットワークによって割り当てられたデバイス識別子の値であり(ここで、もしネットワークによって如何なるIDも割り当てられない場合、デバイスは割り当てられたIDとしてその自己の識別子を用いることができる);other_parametersは上記式の変形に追加されてもよい0個以上のパラメーターである。
キーインデックスとして、PANAセッション識別子及びPANAキーIDの組合が所定のデバイスのために使用される。もし、所定のデバイスが、ただ1つのPANAセッションのみを有する場合、KRキーを表すためにキーIDのみを単独で使用しても十分である。
また、ルート秘密キー(KR)は成功的な認証手続きの末尾にEAP方法によって生成されたEMSKから誘導されてもよい。このような場合、ルート秘密キー(KR)はデバイスに存在するEAPピアー(peer)によって、さらにMAS308又はMSBF306に存在する認証サーバーによって生成される。 したがって、EMSKは動的に生成された共有秘密キーを構成して次の式によってルート秘密キー(KR)派生物のためのシード(seed)として使用される:
KR = Hash(EMSK、constant_string | Assigned−Device−ID | Network−ID | other_parameters)。
キーインデックスとして、PANAセッション識別子及びPANAキーIDの組合が所定のデバイスのために使用される。もし、所定のデバイスが、ただ1つのPANAセッションのみを持つ場合、KRキーを表すためにキーIDのみを単独で使用しても十分である。 また、次の新たに定義された式は、キーインデックスを算出するために使用されることができる:
Key−index = Hash(KR、constant_string | other_parameters)。
次に、段階350で、M2MコアネットワークがMAS308のようにデバイスプロビジョニング(device provisioning)情報(例えば、KR、デバイスIDなど)を送るようにMASへのデバイス情報プロビジョニングが実行される。この段階はただ第2相互認証が成功的に実行される場合に限って実行される。
本発明のまた他の実施形態によれば、NSEC302は前述したように実施形態から除去されてもよい。このような場合、MSBF306及び/又はMAS308及びデバイス300はNSEC302を通じてメッセージを送信せず互いに直接相互作用をする。 このような場合、PANAプロトコルはMSBF306及び/又はMAS308及びデバイス300の通信のために使用されてもよい(すなわち、MSBF306及び/又はMAS308 及びNSEC302の間で実行されるプロトコルも除去される)。
図3を参照すれば、デバイス300、NSEC302、NREM304、MSBF306、MAS308それぞれはそれらの動作を制御して実行するための制御機と(controllEr)、信号を送信するための送信機と(transmitter)、信号を受信するための受信機(receiver)、信号を送受信するための送受信部(transceiver)と、キーを生成するためのキージェネレータ(key generator)と、を含んでもよい。
図4aは本発明の実施形態によるデバイスのブートストラップ手続きを示したフローチャートである。
図4aを参照すれば、段階401で、デバイスはブートストラップ手続きがデバイスによって開始されるのか判断する。 もしブートストラップ手続きがデバイスによって開示されると、プロセスは段階404に進行される。そうではない場合、プロセスは段階402に進行される。段階402で、デバイスはブートストラップ要求がMSBFのNSECによって送信されるのか判断する。もしブートストラップ要求が送信されなければ、デバイスはブートストラップ要求が送信されるまで待機する。 ブートストラップ要求が送信されると、プロセスは段階403に進行される。段階403で、デバイスはブートストラップ手続きを開始し、プロセスは段階404に進行される。
段階404で、デバイスは第1相互認証が確認されるのか判断する。もし認証が確認されなければ、プロセスは段階408に進行される。認証が確認されると、プロセスは段階405に進行される。段階405で、デバイスは第1相互認証を実行し、プロセスは段階406に進行される。段階406で、デバイスは第1相互認証が成功的なのか判断する。もし、第1相互認証が成功的ではない場合、プロセスは終了する。第1相互認証が成功的であれば、プロセスは段階407に進行される。 段階407で、デバイスはデバイスプロビジョニング(device provisioning)を実行し、プロセスは段階408に進行される。段階408で、デバイスは第2相互認定を実行する。
図4bは本発明の実施形態によるネットワーク保安部(NESC)のブートストラップ手続きを示したフローチャートである。
図4bを参照すれば、段階411で、NSECはブートストラップ手続きがNSECによって開始されるのか判断する。もしブートストラップ手続きがNSECによって開始されると、プロセスは段階412に進行され、そうではなければプロセスは段階413に進行される。段階413で、NSECはMSBFから要求が受信されるのか判断する。もし要求がMSBFから受信されると、プロセスは段階412に進行され、そうではなければプロセスは段階414に進行される。 段階414で、NSECはブートメッセージがデバイスから受信されるのか判断する。もしブートメッセージがデバイスから受信されると、プロセスは段階415に進行され、そうではなければプロセスは段階413に進行される。 段階412で、NSECはブートストラップ要求をデバイスへ送信する。ブートストラップ要求は、PANA認証リクエスト(PAR; PANA−Authextensible−Request)として送信されてもよく、プロセスは段階415に進行される。
段階415で、NSECは第1相互認証が確認されるのか判断する。もし、第1相互認証が確認されなければ、プロセスは段階418に進行され、第1相互認証が確認されると、プロセスは段階416に進行される。 段階416で、NSECは第1相互認証を実行する。 段階417で、NSECは第1相互認証が成功的なのか判断する。もし第1相互認証が成功的ではなければ、プロセスは終了し、第1相互認証が成功的であれば、プロセスは段階418に進行される。段階418で、NSECは第2相互認定を実行する。
図4cは本発明の実施形態によるネットワーク遠隔個体管理部(NREM)のブートストラップ手続きを示したフローチャートである。
図4cを参照すれば、段階421で、NREMはデバイスプロビジョニングを実行する。
図4dは本発明の実施形態によるM2Mサービスブートストラップピング機能部(MSBFのブートストラップ手続きを示したフローチャートである。
図4dを参照すれば、段階431で、MSBFはブートストラップ手続きがMSBFによって開始されるのか判断する。もしブートストラップ手続きがMSBFによって開始されると、プロセスは段階432に進行され、そうではなければプロセスは段階433に進行される。段階432で、MSBFはブートストラップ要求をデバイスへ送信し、プロセスは段階433に進行される。段階433で、MSBFは第2相互認証を実行し、プロセスは段階434に進行される。段階434で、MSBFは第2相互認証が成功的なのか判断する。もし第2相互認証が成功的であれば、プロセスは段階435に進行され、そうではなければプロセスは終了される。段階435で、MSBFはMSAプロビジョニングを実行する。
図4eは本発明の実施形態によるM2Mサービス階層認証・承認・課金サーバー(MAS;M2M Service layer AAA Server)のブートストラップ手続きを示したフローチャートである。
図4eを参照すれば、段階441で、MASは第1相互認証が確認されるのか判断する。 もし第1相互認証が確認されなければ、プロセスは段階443に進行され、そうではなければプロセスは段階442に進行される。 段階442で、MASは第1相互認証を実行し、プロセスは段階443に進行される。段階443で、MASはMASプロビジョニングを実行する。
本発明の実施形態は、M2Mデバイスの自動ブートストラップピングを要求するM2Mシステムに適用されてもよい。デバイスが予めプロビジョニングされることができる(すなわち、製造時にプロビジョニングされる)ネットワークで、このような解決方案は不必要である。しかし、M2M配置(M2M deployments)の動的でかつ大規模特性のため、プレ−プロビジョニング(pre−provisioning)に依存することは実用的ではない。
他の実施形態によれば、EAPに基づくネットワーク接続認証手続きを用いるM2Mサービス階層ブートストラップが提供される。 ブートストラップピングを単独で実行するブートストラップ手続きは図4a乃至図4eの実施形態で既に前述した。 本実施形態はM2Mサービス階層のためのデバイスをブートストラップするためのネットワーク接続認証を活用する最適化された手続きである。デバイスはM2Mサービスのような高−階層(higher−layer)サービスを用いる前に所定のネットワークに連結するためにネットワーク接続認証を実行する。このような認証を実行するため、本実施形態はもう実行された認証の長所を取る関連手続きを説明する。
図5は本発明の実施形態によるデバイス機能モデルを示した図面である。
図5を参照すれば、デバイス500はネットワーク登録マネージャー510とM2Mブートストラップマネージャー520を含む。 ネットワーク登録マネージャー510はデバイス500をネットワーク接続サービスのためにネットワークに登録する(すなわち、IP ネットワークの接続を獲得する)。M2Mブートストラップマネージャー520はデバイス500のブートストラップされた状態を管理する。
ネットワーク登録マネージャー510は、後述する構成要素を含む。 デバイス構成マネージャー(device configuration manager)512は、IPネットワーク接続に使用されるネットワークID及びデバイスIDのような構成パラメーターを管理する。 このようなデバイス構成マネージャー512は事前構成されたネットワークIDをエクスポートして動的に学習されるネットワークIDをインポートするためにネットワークディスカバリー及び選択マネージャー(Network discovery and selection manager)と接続する。また、デバイス構成マネージャー512は、EAP認証間に使用されるネットワークユーザ資格情報(Network user credentials)をエクスポートするためにEAPピアー(peer)と接続する。ネットワークディスカバリー及び選択マネージャー514はIPネットワークに対するネットワークディスカバリー及び選択手続きを実行して選択されたネットワークIDをエクスポートするためにEAPピアー516と接続する。EAPピアー516はEAP認証方法を実行するためにEAP低−階層(lower−layer)と接続する。 EAP低−階層518はEAPピアー516のための低−階層サービスを実行する。
M2Mブートストラップマネージャー520は、後述する構成要素を含む。デバイス構成マネージャー522はM2Mネットワーク接続に使用されるネットワークID及びデバイスIDのような構成パラメーターを管理する。 このようなデバイス構成マネージャー522は事前構成されたネットワークIDをエクスポートして動的に学習されるネットワークIDをインポートするためにネットワークディスカバリー及び選択マネージャーと接続し、EAP認証間に使用されるM2Mユーザ資格情報をエクスポートするためにEAPピアー526と接続する。ネットワークディスカバリー及び選択マネージャー524は、M2Mネットワークに対するネットワークディスカバリー及び選択手続きを実行し選択されたネットワークIDをエクスポートするためにEAPピアー526と接続する。EAPピアー526はEAP認証方法を実行するためにEAP低−階層と接続する。 EAP低−階層528はEAPピアー526と接続する。
M2Mブートストラップピングのために定義された手続きはデバイスとMSBF間で互いを相互認証して必要なM2Mルートキーを生成するためのプロトコルを実行することを含む。 大部分のM2Mネットワークでデバイスはネットワーク接続を獲得する前に認証されるべきである。ブートストラップ手続きのための別途の認証を実行する代りに、本実施形態はブートストラップ手続きによって賦課された具現(implementation)、遅延レガシ(latency)、及び処理負荷(processing load)を減少させるためにネットワーク接続認証を活用してもよい。
図6は本発明の実施形態による分離したネットワーク接近認証及びM2Mブートストラップ手続きを示した図面である。
ネットワーク接続サーバー(NAS)602は、EAP認証者及び認証・承認・課金(AAA) クライアント機能を具現する。また、MAS604及びデバイス601が図6に図示されて、AAA605は認証、承認、課金サーバー及びEAP認証サーバー機能を具現する。NSEC603は保安機能を実行し、MSBF606はM2Mサービスブートストラップ機能を提供する。
図6の実施形態において、M2Mブートストラップピング手続きはネットワーク接続認証手続きの一部となる。 ネットワーク接続認証手続きはルート秘密キー(KR)の生成のために活用される。デバイス601を二度認証する代りに(一度はネットワーク接続のために、さらに一度はM2Mブートストラップのために)、デバイス601はネットワーク接続のために一度だけ認証され、結果キーはルート秘密キー(KR)の生成のために使用される。 段階610で、ネットワーク接続認証はデバイス601とNAS602間で実行される。段階615で、ネットワーク接続認証はNAS602とAAA605間で実行される。段階620で、M2Mブートストラップ手続きはデバイス601とNSEC603の間で実行される。段階625で、M2Mブートストラップ手続きはNSEC603とMSBF606間で実行される。段階630で、M2Mブートストラップ手続きはMAS604とMSBF606の間で実行される。
図6の実施形態は、EAPに基づくネットワーク接続認証を用いるネットワークに適用可能である。一方、図4a乃至図4eの実施形態は、PANAを通じるEAPを用いるネットワークにより適用可能である。
図7は本発明の実施形態によるネットワーク接続認証を実行するためのプロトコル(PANA; Protocol for Carrying Authextensible for Network Access)を通じて拡張可能認証プロトコル(EAP; Extensible Authextensible Protocol)を用いるネットワーク及び拡張可能認証プロトコル(EAP)を用いるネットワークのためのコールフローを示した図面である。
図7を参照すれば、AAAはMSBFと併合してAAA/MSBF704となる。このような方式は接続ネットワークがネットワーク接続認証のためにPANAを通じるEAPを用いる場合、活用される。段階710及び段階715で、デバイス701はNAS702を通じてAAA/MSBF704と共にEAPに基づくネットワーク接続認証を実行する。EAPは段階710の場合、デバイス701とNAS702の間でPANAを通じて伝達され、段階715の場合、NAS702とAAA/MSBF704の間でRADIUS、Diameter又は同等なプロトコルを通じて伝達される。
通常のネットワーク接続認証のために使用される通常のPANAコールフロー及びペイロードに加えて、付加的なペイロードがM2Mブートストラップピングを実行するために交換される。1つ以上のPANAメッセージは類型値がM2Mブートストラップピングを表す値に設定された使用類型(Usage−Type)AVPを含まるべきである。また、認証結果を表す最後のPANAメッセージはネットワークによって割り当てられたデバイス識別子を伝達するために0個以上のAssigned−Device−ID AVPを含んでもよい。また、1つ以上のPANAメッセージはNetwork−ID AVPを含まるべきである。 付加的なペイロード及びAVPは既に前述したので追加説明を省略する。
段階710及び段階715における成功的EAP認証の末尾に、EMSKが生成される。 このようなキーデバイス701及びAAA/MSBF704に通知する。さらに、ルート秘密キー(KR)は、図3の実施形態に関して説明されたようにEMSKから誘導されてもよい。
キーインデックスとして、PANAセッション識別子及びPANAキーIDの組合が所定のデバイスのために使用される。もし所定のデバイスが、ただ1つのPANAセッションのみを有すると、ルート秘密キーを表すためにキーIDのみを単独で使用しても十分である。また、キーインデックスは図3の実施形態に関して説明された方式に算出されてもよい。したがって、ルート秘密キーネットワークによって任意に(randomly)生成されて専用PANA AVPを使用してデバイス701で安全に伝達する。ルート秘密キーデバイス701へ伝達する前に暗号化さて、デバイス701はルート秘密キーを受信する時、ルート秘密キーを解読する。このような暗号/解読手続きのために、デバイス及びネットワーク共に誘導されることができる他のキーが定義される。このような暗号/解読手続きのために使用されるキーEMSKに基づいて、次の式によって算出される:
AS_ENCR_KEY = Hash(EMSK、constant_string | other_parameters)。
キーインデックスとして、PANAセッション識別子及びPANAキーIDの組合が所定のデバイスのために使用される。 もし所定のデバイスが、ただ1つのPANAセッションのみを有すると、AS_ENCR_KEYキーを表すためにキーIDのみを単独で使用しても十分である。また、次の新たに定義された式は、キーインデックスを算出するために使用されてもよい:
Key−index = Hash(AS_ENCR_KEY、constant_string | other_parameters)。
暗号化された形態のルート秘密キー(KR)はAAAプロトコルを利用してAAA/MSBF704からNAS702に送信され、認証結果を伝達する最後のPANAメッセージうちのPANA AVPを利用してNAS702からデバイス701に中継される。M2M−KR AVPは前述したようにPANAメッセージに含まれてもよい。この時、M2M−KRはルート秘密キー(KR)をデバイス701へ伝達するために使用される。 M2M−KR AVPの値フィールドは次のデータ要素を含む: KRの識別子を伝達するキーID(このような識別子の値はネットワークによって割り当てられる);及びKRの暗号化された値であるKR−Encr。暗号化のために使用されるキーはAS_ENCR_KEYである。
次に、段階720で、AAA704からMAS703でデバイス情報プロビジョニングが実行される。段階720はAAA704がMAS703とデバイスプロビジョニング情報(例えば、KR、デバイスIDなど)を共有することを含む。
図7の実施形態はEAPを伝達するためにPANAも類似に拡張可能なEAP送信も使用しない場合の配置に適用されてもよい。このような場合において、Network−ID及び Assigned−Device−IDのような専用ペイロードはデバイスで伝達されない。したがって、このようなパラメーターは本の実施形態と関連がない方式で決まると仮定する。しかし、デバイスは予めデバイスIDから構成されることができ、デバイスはリンク階層によって提供されたネットワークディスカバリー設備の助けでネットワーク IDを見つける。以下の式はEMSKからKRを誘導するために使用される:
KR = Hash(EMSK、constant_string | Assigned−Device−ID | Network−ID | other_parameters)。
ルート秘密キー(KR)のためのキーインデックスは、次の新たに定義された式によって算出される:
Key−index = Hash(KR、constant_string | other_parameters)。
図8は、本発明の実施形態によるデバイス機能モデルを示した図面である。
図8を参照すれば、デバイス800はネットワーク登録マネージャー810及びM2Mブートストラップマネージャー82を含む。 ネットワーク登録マネージャー810はデバイス800をネットワーク接続サービスのためにネットワークに登録する(すなわち、IP ネットワークの接続を獲得する)。M2Mブートストラップマネージャー820はデバイスのブートストラップされた状態を管理する。
ネットワーク登録マネージャー810は後述する構成要素を含む。 デバイス構成マネージャー(device configuration manager)811は、IPネットワーク接続に使用されるネットワークID及びデバイスIDのような構成パラメーターを管理する。 デバイス構成マネージャー811は事前構成されたネットワークIDをエクスポートして動的に学習されるネットワークIDをインポートするためにネットワークディスカバリー及び選択マネージャー(Network discovery and selection manager)812と接続し、EAP認証間に使用されるネットワークユーザ資格(Network user credentials)をエクスポートするためにEAPピアー811と接続する。 また、デバイス構成マネージャー811は動的に学習されるデバイスIDをインポートするためにEAP低−階層814と接続し、予め構成されたデバイスIDをエクスポートするためにM2Mブートストラップマネージャー820と接続する。
ネットワークディスカバリー及び選択マネージャー812は、IPネットワークに対するネットワークディスカバリー及び選択手続きを行って選択されたネットワークIDをエクスポートするためにEAPピアー813と接続する。 また、ネットワークディスカバリー及び選択マネージャー812は選択されたネットワークIDをエクスポートするためにM2Mブートストラップパー(M2M bootstrapper)815と接続する。EAPピアー813は、EAP認証方法を実行するためにEAP低−階層814と接続してまたEMSKをエクスポートするためにM2Mブートストラップパー815と接続する。
EAP低−階層814は、動的に学習されるネットワークID及び割り当てられたデバイスIDをエクスポートするためにM2Mブートストラップパー815と接続する。M2Mブートストラップパー815は、ネックワーク登録マネージャー810内の他の個体から入力パラメーターを受信して実施形態の式によってルート秘密キー(KR)及びキーインデックスを生成する。また、M2Mブートストラップパー815はこのような情報要素をエクスポートするためにM2Mブートストラップマネージャー820、すなわちM2Mブートストラップマネージャー820内のデバイス構成マネージャーと接続する。
M2Mブートストラップマネージャー820は、M2Mネットワーク接続のために使用されるデバイスID、ネットワークID、ルート秘密キー(KR)のような構成パラメーターを管理するためにデバイス構成マネージャー825を含み、ネックワーク登録マネージャー810に存在するこのようなパラメーターをM2Mブートストラップパー815からインポートする。
本実施形態は、M2Mデバイスのブートストラップを実行するM2Mシステムに適用されることができる。デバイスが予めプロビジョニングされることができる(すなわち、製造の時)ネットワークで、このような解決方案は省略されてもよい。動的でかつ大規模M2M配置を持つネットワークで、プレ−プロビジョニング(pre−provisioning)に依存することはM2M配置の大規模によって問題となる。 したがって、本実施形態はEAPに基づくネットワーク接続認証を用いるネットワークに適用される。本実施形態によれば、接続ネットワーク提供者及びM2Mネットワーク提供者は同一個体とか事業上提携関係にあり、したがって、これらは図3の実施形態の段階320で要求されるようにキー素材(keying material)を共有することができる。
一方、本明細書及び図面を通じて本発明の好適な実施形態に対して説明した。たとえ特定用語が使用されたが、これはただ本発明の記述内容を容易に説明して発明の理解を助けるための一般的な意味で使用されたものであるだけ、本発明の範囲を限定しようとするものではない。 ここに開示された実施例外にも本発明の技術的思想に基づいた他の変形形態が実施可能であるということは本発明が属する技術分野で通常の知識を有する者に自明なものである。
110 デバイス
120 コアネットワーク
130 サービスブートストラップピング機能部(MSBF;M2M Service Bootstrapping Function)
140 サービス階層認証・承認・課金サーバー(MAS;M2M Service layer AAA Server)
500 デバイス
510 ネットワーク登録マネージャー
512 デバイス構成マネージャー(deviceconfiguration manager)
514 選択マネージャー
516 ピアー
518 低−階層
520 ブートストラップマネージャー
522 デバイス構成マネージャー
524 選択マネージャー
526 ピアー
800 デバイス
810 ネットワーク登録マネージャー
811 デバイス構成マネージャー(deviceconfiguration manager)
811 デバイス構成マネージャー
812 選択マネージャー(Network discovery and selection manager)
812 選択マネージャー
813 ピアー
814 低−階層
815 ブートストラップパー(M2M bootstrapper)
820 ブートストラップマネージャー
825 デバイス構成マネージャー

Claims (16)

  1. マシンツーマシン(M2M;machine to machine)デバイスによってサービスを提供する方法であって、
    M2Mネットワークノードから使用類型(usage−type)、M2Mサービスブートストラップピング機能部(MSBF;M2M service bootstrapping function)識別子(ID;identification)及びターゲットデバイス(device)IDのうち少なくとも1つと、サービス提供者(SP;service provider)IDとを含む第1メッセージを受信する段階と、
    前記M2Mネットワークノードから第2メッセージを受信する段階と、
    前記第2メッセージにサービス提供者が割り当てたデバイスIDが含まれるか否かを判断する段階と、
    前記判断の結果に基づいて、前記第2メッセージに前記サービス提供者が割り当てたデバイスIDが含まれる場合、前記SP ID及び前記サービス提供者が割り当てたデバイスIDに基づいてM2Mルートキー(M2M root key)を生成する段階と、を含む方法。
  2. 前記M2Mルートキーを生成する段階は、
    EMSK(extended master session key)、既設定の文字列、前記SP ID及び前記サービス提供者が割り当てたデバイスIDに基づいて、前記M2Mルートキーを生成する段階を含むことを特徴とする、請求項1に記載の方法。
  3. 前記ターゲットデバイスIDが前記M2Mデバイスの自己IDと一致しない場合、前記第1メッセージを無視する段階をさらに含むことを特徴とする、請求項1に記載の方法。
  4. 前記M2Mルートキー及び前記サービス提供者が割り当てたデバイスIDは、M2M認証サーバー(MAS;M2M authentication server)に送信され、
    前記M2Mルートキーは、前記M2Mデバイスと前記SP IDに対応する前記サービス提供者との間の相互認証のために使用され、
    前記M2Mルートキーを生成する段階は、
    前記サービス提供者が割り当てたデバイスIDが割り当てられなかった場合、前記M2MルートキーをEMSK(extended master session key)、既設定の文字列、前記SP ID及び前記M2Mデバイスの自己IDに基づいて生成する段階を含むことを特徴とする、請求項1に記載の方法。
  5. サービスを提供するマシンツーマシン(M2M;machine to machine)デバイスであって、
    信号を送受信する送受信部と、
    前記送受信部を制御し、M2Mネットワークノードから使用類型(usage−type)、M2Mサービスブートストラップピング機能部(MSBF;M2M service bootstrapping function)識別子(ID;identification)及びターゲットデバイス(device)IDのうち少なくとも1つと、サービス提供者(SP;service provider)IDとを含む第1メッセージを受信し、前記M2Mネットワークノードから第2メッセージを受信し、前記第2メッセージにサービス提供者が割り当てたデバイスIDが含まれるか否かを判断し、前記判断の結果に基づいて、前記第2メッセージに前記サービス提供者が割り当てたデバイスIDが含まれる場合、前記SP ID及び前記サービス提供者が割り当てたデバイスIDに基づいてM2Mルートキー(M2M root key)を生成する制御部と、を含むM2Mデバイス。
  6. 前記制御部は、EMSK(extended master session key)、既設定の文字列、前記SP ID及び前記サービス提供者が割り当てたデバイスIDに基づいて、M2Mルートキーを生成することを特徴とする、請求項5に記載のM2Mデバイス。
  7. 前記制御部は、前記ターゲットデバイスIDが前記M2Mデバイスの自己IDと一致しない場合、前記第1メッセージを無視することを特徴とする、請求項5に記載のM2Mデバイス。
  8. 前記M2Mルートキー及び前記サービス提供者が割り当てたデバイスIDは、M2M認証サーバー(MAS;M2M authentication server)に送信され、
    前記M2Mルートキーは、前記M2Mデバイスと前記SP IDに対応する前記サービス提供者との間の相互認証のために使用され、
    前記制御部は、前記サービス提供者が割り当てたデバイスIDが割り当てられなかった場合、前記M2MルートキーをEMSK(extended master session key)、既設定の文字列、前記SP ID及び前記M2Mデバイスの自己IDに基づいて生成することを特徴とする、請求項5に記載のM2Mデバイス。
  9. マシンツーマシン(M2M;machine to machine)システムでM2Mネットワークノードサーバーによってサービスを提供する方法であって、
    M2Mネットワークノードから使用類型(usage−type)、M2Mサービスブートストラップピング機能部(MSBF;M2M service bootstrapping function)識別子(ID;identification )及びターゲットデバイス(device)IDのうち少なくとも1つと、サービス提供者(SP;service provider)IDとを含む第1メッセージをM2Mデバイスに送信する段階と、
    前記M2Mデバイスに対応するサービス提供者が割り当てたデバイス識別子(ID;identification)が割り当てられたか否かを判断する段階と、
    前記判断の結果に基づいて、前記サービス提供者が割り当てたデバイスIDが割り当てられた場合、前記SP ID及び前記サービス提供者が割り当てたデバイスIDに基づいてM2Mルートキー(M2M root key)を生成する段階と、を含む方法。
  10. 前記M2Mルートキーを生成する段階は、
    EMSK(extended master session key)、既設定の文字列、前記SP ID及び前記サービス提供者が割り当てたデバイスIDに基づいて、前記M2Mルートキーを生成する段階を含むことを特徴とする、請求項9に記載の方法。
  11. 前記ターゲットデバイスIDが前記M2Mデバイスの自己IDと一致しない場合、前記第1メッセージは無視されることを特徴とする、請求項9に記載の方法。
  12. 前記M2Mルートキー及び前記サービス提供者が割り当てたデバイスIDは、M2M認証サーバー(MAS;M2M authentication server)に送信され、
    前記M2Mルートキーは、前記M2Mデバイスと前記SP IDに対応する前記サービス提供者との間の相互認証のために使用され、
    前記M2Mルートキーを生成する段階は、
    前記サービス提供者が割り当てたデバイスIDが割り当てられなかった場合、前記M2MルートキーをEMSK(extended master session key)、既設定の文字列、前記SP ID及び前記M2Mデバイスの自己IDに基づいて生成する段階を含むことを特徴とする、請求項9に記載の方法。
  13. マシンツーマシン(M2M;machine to machine)システムにおいてサービスを提供するネットワークノードサーバーであって、
    信号を送受信する送受信部と、
    前記送受信部を制御し、M2Mネットワークノードから使用類型(usage−type)、M2Mサービスブートストラップピング機能部(MSBF;M2M service bootstrapping function)識別子(ID;identification)及びターゲットデバイス(device)IDのうち少なくとも1つと、サービス提供者(SP;service provider)IDとを含む第1メッセージをM2Mデバイスに送信し、前記M2Mデバイスに対応するサービス提供者が割り当てたデバイス識別子(ID;identification)が割り当てられたか否かを判断し、前記判断の結果に基づいて、前記サービス提供者が割り当てたデバイスIDが割り当てられた場合、前記SP ID及び前記サービス提供者が割り当てたデバイスIDに基づいてM2Mルートキー(M2M root key)を生成する制御部と、を含むネットワークノードサーバー
  14. 前記制御部は、
    EMSK(extended master session key)、既設定の文字列、前記SP ID及び前記サービス提供者が割り当てたデバイスIDに基づいて、M2Mルートキーを生成することを特徴とする、請求項13に記載のネットワークノードサーバー
  15. 前記ターゲットデバイスIDが前記M2Mデバイスの自己IDと一致しない場合、前記第1メッセージは無視されることを特徴とする、請求項13に記載のネットワークノードサーバー
  16. 前記M2Mルートキー及び前記サービス提供者が割り当てたデバイスIDは、M2M認証サーバー(MAS;M2M authentication server)に送信され、
    前記M2Mルートキーは、前記M2Mデバイスと前記SP IDに対応する前記サービス提供者との間の相互認証のために使用され、
    前記制御部は、前記サービス提供者が割り当てたデバイスIDが割り当てられなかった場合、前記M2MルートキーをEMSK(extended master session key)、既設定の文字列、前記SP ID及び前記M2Mデバイスの自己IDに基づいて生成することを特徴とする、請求項13に記載のネットワークノードサーバー。
JP2014505087A 2011-04-15 2012-04-16 マシンツーマシンサービス提供方法及び装置 Expired - Fee Related JP6022539B2 (ja)

Applications Claiming Priority (7)

Application Number Priority Date Filing Date Title
US201161475972P 2011-04-15 2011-04-15
US61/475,972 2011-04-15
US201161485275P 2011-05-12 2011-05-12
US61/485,275 2011-05-12
US201161544577P 2011-10-07 2011-10-07
US61/544,577 2011-10-07
PCT/KR2012/002874 WO2012141555A2 (en) 2011-04-15 2012-04-16 Method and apparatus for providing machine-to-machine service

Publications (2)

Publication Number Publication Date
JP2014513349A JP2014513349A (ja) 2014-05-29
JP6022539B2 true JP6022539B2 (ja) 2016-11-09

Family

ID=47007296

Family Applications (3)

Application Number Title Priority Date Filing Date
JP2014505087A Expired - Fee Related JP6022539B2 (ja) 2011-04-15 2012-04-16 マシンツーマシンサービス提供方法及び装置
JP2014505089A Active JP6066992B2 (ja) 2011-04-15 2012-04-16 マシン−対−マシンサービスを提供する方法及び装置
JP2014505088A Expired - Fee Related JP6370215B2 (ja) 2011-04-15 2012-04-16 マシン−対−マシンノード消去手順

Family Applications After (2)

Application Number Title Priority Date Filing Date
JP2014505089A Active JP6066992B2 (ja) 2011-04-15 2012-04-16 マシン−対−マシンサービスを提供する方法及び装置
JP2014505088A Expired - Fee Related JP6370215B2 (ja) 2011-04-15 2012-04-16 マシン−対−マシンノード消去手順

Country Status (6)

Country Link
US (3) US8843753B2 (ja)
EP (6) EP3668048B1 (ja)
JP (3) JP6022539B2 (ja)
KR (3) KR101923047B1 (ja)
CN (3) CN103597774B (ja)
WO (3) WO2012141555A2 (ja)

Families Citing this family (51)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102209396B (zh) * 2010-03-31 2014-01-22 华为技术有限公司 终端设备在网络中附着的方法、网元设备及网络系统
EP2538606B1 (en) * 2011-06-21 2017-08-09 BlackBerry Limited Provisioning a shared secret to a portable electronic device and to a service entity
US9253621B2 (en) 2012-05-18 2016-02-02 Telefonaktiebolaget L M Ericsson (Publ) Method and apparatus for associating service provider network identifiers with access network identifiers
US9445399B2 (en) 2012-05-25 2016-09-13 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for associating service provider network identifiers with access network identifiers
US9497567B2 (en) 2012-06-22 2016-11-15 Telefonaktiebolaget Lm Ericsson (Publ) Selection of M2M devices by external triggering
CN103685210B (zh) * 2012-09-26 2018-02-13 中兴通讯股份有限公司 终端的注册方法及装置
KR102045905B1 (ko) * 2012-11-05 2019-11-18 주식회사 케이티 단말 이동성 제공을 위한 단말 어플리케이션 등록 방법 및 그 장치
US9769801B2 (en) 2012-11-05 2017-09-19 Lg Electronics Inc. Method and apparatus for updating information regarding specific resource in wireless communication system
KR102045907B1 (ko) * 2012-11-23 2019-12-02 주식회사 케이티 응용 식별 정보와 서비스 제공 능력 식별 정보의 연계 방법 및 그 장치
KR101740449B1 (ko) * 2013-01-11 2017-05-26 엘지전자 주식회사 M2m(machine-to-machine)시스템에서 게이트웨이 변경 방법 및 이를 위한 장치
US10404811B2 (en) * 2013-02-07 2019-09-03 Iot Holdings, Inc. Methods and apparatuses for restful batch services
CN111556468B (zh) 2013-05-06 2023-02-17 康维达无线有限责任公司 装置触发
KR20160009602A (ko) 2013-05-06 2016-01-26 콘비다 와이어리스, 엘엘씨 M2m 부트스트래핑
WO2014190177A1 (en) * 2013-05-22 2014-11-27 Convida Wireless, Llc Access network assisted bootstrapping
CN105493524A (zh) 2013-07-25 2016-04-13 康维达无线有限责任公司 端到端m2m服务层会话
US9392446B1 (en) 2013-08-05 2016-07-12 Sprint Communications Company L.P. Authenticating environmental sensor systems based on security keys in communication systems
CN105917619A (zh) * 2014-01-17 2016-08-31 高通股份有限公司 在通信网络中转发消息
WO2015157502A1 (en) * 2014-04-09 2015-10-15 Convida Wireless, Llc Service enabler function
US20150341241A1 (en) * 2014-05-23 2015-11-26 Verizon Patent And Licensing Inc. Method and apparatus for specifying machine identifiers for machine-to-machine platform support
JP2016063538A (ja) * 2014-09-12 2016-04-25 日本放送協会 送信装置および受信装置
US9544395B2 (en) 2014-10-10 2017-01-10 At&T Intellectual Property I, L.P. Facilitating quality of service and security via functional classification of devices in networks
US9838258B2 (en) 2014-12-04 2017-12-05 At&T Intellectual Property I, L.P. Network service interface for machine-to-machine applications
DE102015000662B3 (de) 2015-01-23 2016-06-09 Jenoptik Laser Gmbh Laseranordnung mit Hilfsring
JP6545966B2 (ja) 2015-01-27 2019-07-17 ルネサスエレクトロニクス株式会社 中継装置、端末装置および通信方法
US9681473B2 (en) 2015-05-29 2017-06-13 Huawei Technologies Co., Ltd. MTC service management using NFV
US10104522B2 (en) * 2015-07-02 2018-10-16 Gn Hearing A/S Hearing device and method of hearing device communication
US10129235B2 (en) * 2015-10-16 2018-11-13 Qualcomm Incorporated Key hierarchy for network slicing
US9826386B2 (en) * 2015-10-27 2017-11-21 Verizon Patent And Licensing Inc. Configuring a machine-to-machine modem
US10104567B2 (en) 2016-05-31 2018-10-16 At&T Intellectual Property I, L.P. System and method for event based internet of things (IOT) device status monitoring and reporting in a mobility network
EP3472960A1 (en) 2016-06-15 2019-04-24 Convida Wireless, LLC Grant-less uplink transmission for new radio
US10592669B2 (en) 2016-06-23 2020-03-17 Vmware, Inc. Secure booting of computer system
WO2018009828A1 (en) 2016-07-08 2018-01-11 Vid Scale, Inc. Systems and methods for region-of-interest tone remapping
US10242196B2 (en) * 2016-07-29 2019-03-26 Vmware, Inc. Secure booting of computer system
EP3306970A1 (en) * 2016-10-07 2018-04-11 Giesecke+Devrient Mobile Security GmbH Lpwa communication system key management
EP3520243A2 (en) 2016-11-03 2019-08-07 Convida Wireless, LLC Frame structure in nr
US20180159828A1 (en) * 2016-12-06 2018-06-07 Ingenu Multi-regional provisioning
WO2018152437A1 (en) 2017-02-17 2018-08-23 Vid Scale, Inc. Systems and methods for selective object-of-interest zooming in streaming video
EP3370386B1 (en) * 2017-03-03 2019-05-15 The Boeing Company A system and a computer-implemented method for machine-to-machine authentication of an apparatus
US10298581B2 (en) 2017-04-28 2019-05-21 Cisco Technology, Inc. Zero-touch IoT device provisioning
JP7227919B2 (ja) * 2017-06-16 2023-02-22 クリプトグラフィ リサーチ, インコーポレイテッド モノのインターネット(iot)デバイスの管理
EP3677063B1 (en) 2017-08-30 2023-10-04 Telefonaktiebolaget LM Ericsson (Publ) Reconfiguration of communications devices
US10574654B1 (en) * 2017-11-07 2020-02-25 United Services Automobile Asociation (USAA) Segmentation based network security
US10057243B1 (en) * 2017-11-30 2018-08-21 Mocana Corporation System and method for securing data transport between a non-IP endpoint device that is connected to a gateway device and a connected service
KR20210066856A (ko) 2018-09-27 2021-06-07 콘비다 와이어리스, 엘엘씨 새로운 라디오의 비허가 스펙트럼들에서의 부대역 동작들
WO2020117549A1 (en) 2018-12-06 2020-06-11 Mocana Corporation System and method for zero touch provisioning of iot devices
US11012425B2 (en) 2018-12-28 2021-05-18 Micron Technology, Inc. Replay protection nonce generation
KR102624642B1 (ko) * 2019-03-18 2024-01-12 주식회사 케이티 M2m 시스템에서 라이프타임 갱신 방법 및 그 장치
US20210297853A1 (en) * 2020-03-17 2021-09-23 Qualcomm Incorporated Secure communication of broadcast information related to cell access
US11375042B2 (en) 2020-07-10 2022-06-28 Kyndryl, Inc. Symphonizing serverless functions of hybrid services
EP4333656A1 (en) 2021-05-06 2024-03-13 JT International SA Container for an inhalation device with at least one liquid jet device, combination of at least two containers and method of conveying liquid to an inhalation device
US11941266B2 (en) 2021-10-20 2024-03-26 Samsung Electronics Co., Ltd. Resource isolation in computational storage devices

Family Cites Families (47)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7181620B1 (en) * 2001-11-09 2007-02-20 Cisco Technology, Inc. Method and apparatus providing secure initialization of network devices using a cryptographic key distribution approach
US7349538B2 (en) * 2002-03-21 2008-03-25 Ntt Docomo Inc. Hierarchical identity-based encryption and signature schemes
US7934094B2 (en) * 2003-06-18 2011-04-26 Telefonaktiebolaget Lm Ericsson (Publ) Method, system and apparatus to support mobile IP version 6 services
US20050138355A1 (en) * 2003-12-19 2005-06-23 Lidong Chen System, method and devices for authentication in a wireless local area network (WLAN)
JP2005260358A (ja) * 2004-03-09 2005-09-22 Matsushita Electric Ind Co Ltd 通信システムならびにそれに用いられる通信端末、認証情報削除方法、認証情報削除プログラムおよび認証情報削除プログラムを格納する記録媒体
US7336960B2 (en) * 2004-10-26 2008-02-26 Cisco Technology, Inc. Method and apparatus for balancing wireless access based on centralized information
WO2006087817A1 (ja) * 2005-02-21 2006-08-24 Fujitsu Limited 通信制御システム
KR100704675B1 (ko) * 2005-03-09 2007-04-06 한국전자통신연구원 무선 휴대 인터넷 시스템의 인증 방법 및 관련 키 생성방법
US20070101122A1 (en) * 2005-09-23 2007-05-03 Yile Guo Method and apparatus for securely generating application session keys
US7787627B2 (en) * 2005-11-30 2010-08-31 Intel Corporation Methods and apparatus for providing a key management system for wireless communication networks
US20070143613A1 (en) * 2005-12-21 2007-06-21 Nokia Corporation Prioritized network access for wireless access networks
US7831237B2 (en) * 2006-02-03 2010-11-09 Broadcom Corporation Authenticating mobile network provider equipment
CN101039311B (zh) * 2006-03-16 2010-05-12 华为技术有限公司 一种身份标识网页业务网系统及其鉴权方法
CN100512182C (zh) * 2006-07-27 2009-07-08 西安电子科技大学 无线局域网中的快速切换方法及系统
DE102006038037A1 (de) * 2006-08-14 2008-02-21 Siemens Ag Verfahren und System zum Bereitstellen eines zugangsspezifischen Schlüssels
JP4216876B2 (ja) * 2006-12-21 2009-01-28 株式会社東芝 通信端末を認証する装置、方法およびプログラム
US8707416B2 (en) * 2007-01-19 2014-04-22 Toshiba America Research, Inc. Bootstrapping kerberos from EAP (BKE)
US8356176B2 (en) * 2007-02-09 2013-01-15 Research In Motion Limited Method and system for authenticating peer devices using EAP
EP1956791A1 (en) * 2007-02-09 2008-08-13 Research In Motion Limited Method and system for authenticating peer devices using EAP
JP5067621B2 (ja) * 2007-10-17 2012-11-07 Necカシオモバイルコミュニケーションズ株式会社 通信端末装置及びプログラム
KR101407573B1 (ko) * 2007-12-18 2014-06-13 한국전자통신연구원 무선 액세스 기술과 이동ip 기반 이동성 제어 기술이적용된 차세대 네트워크 환경을 위한 통합 핸드오버 인증방법
US20090191857A1 (en) * 2008-01-30 2009-07-30 Nokia Siemens Networks Oy Universal subscriber identity module provisioning for machine-to-machine communications
CN101499959B (zh) * 2008-01-31 2012-08-08 华为技术有限公司 配置密钥的方法、装置及系统
US8516133B2 (en) * 2008-02-07 2013-08-20 Telefonaktiebolaget Lm Ericsson (Publ) Method and system for mobile device credentialing
US20090217038A1 (en) * 2008-02-22 2009-08-27 Vesa Petteri Lehtovirta Methods and Apparatus for Locating a Device Registration Server in a Wireless Network
US8407769B2 (en) * 2008-02-22 2013-03-26 Telefonaktiebolaget Lm Ericsson (Publ) Methods and apparatus for wireless device registration
WO2009149759A1 (en) * 2008-06-12 2009-12-17 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for machine-to-machine communication
CN101299666A (zh) * 2008-06-16 2008-11-05 中兴通讯股份有限公司 密钥身份标识符的生成方法和系统
US8737989B2 (en) * 2008-08-29 2014-05-27 Apple Inc. Methods and apparatus for machine-to-machine based communication service classes
US9084282B2 (en) * 2008-10-17 2015-07-14 Qualcomm Incorporated Apparatus and method for providing a portable broadband service using a wireless convergence platform
US8788635B2 (en) * 2009-03-20 2014-07-22 Microsoft Corporation Mitigations for potentially compromised electronic devices
ES2391603T3 (es) * 2009-06-02 2012-11-28 Vodafone Holding Gmbh Registro de un dispositivo móvil en una red de comunicaciones móviles
US9590961B2 (en) * 2009-07-14 2017-03-07 Alcatel Lucent Automated security provisioning protocol for wide area network communication devices in open device environment
KR20110048974A (ko) * 2009-11-04 2011-05-12 삼성전자주식회사 무선통신 시스템에서 마스터 세션 키를 갱신하기 위한 장치 및 방법
US8839372B2 (en) * 2009-12-23 2014-09-16 Marvell World Trade Ltd. Station-to-station security associations in personal basic service sets
US20120047551A1 (en) * 2009-12-28 2012-02-23 Interdigital Patent Holdings, Inc. Machine-To-Machine Gateway Architecture
CN107070960B (zh) * 2010-03-01 2021-01-29 Iot控股公司 M2m gw以及在m2m gw处实施的用于m2m设备管理的方法
US10404542B2 (en) 2010-03-09 2019-09-03 Iot Holdings, Inc. Method and apparatus for supporting machine-to-machine communications
US8886935B2 (en) * 2010-04-30 2014-11-11 Kabushiki Kaisha Toshiba Key management device, system and method having a rekey mechanism
US9450928B2 (en) * 2010-06-10 2016-09-20 Gemalto Sa Secure registration of group of clients using single registration procedure
CN101902681B (zh) * 2010-07-21 2015-05-13 中兴通讯股份有限公司 M2m平台业务处理的方法和m2m平台
WO2012018893A1 (en) * 2010-08-03 2012-02-09 Interdigital Patent Holdings, Inc, Machine-to-machine (m2m) call flow security
US8650619B2 (en) * 2010-08-19 2014-02-11 Alcatel Lucent Method and apparatus of automated discovery in a communication network
CN103250441A (zh) * 2010-12-07 2013-08-14 瑞典爱立信有限公司 使用密钥共享方案来提供临时标识模块的方法和装置
US8713589B2 (en) * 2010-12-23 2014-04-29 Microsoft Corporation Registration and network access control
WO2012119015A1 (en) * 2011-03-01 2012-09-07 General Instrument Corporation Providing subscriber consent in an operator exchange
EP2684303A4 (en) * 2011-03-09 2014-12-31 Intel Corp BASIC STATION AND COMMUNICATION PROCESS FOR MACHINE MACHINE COMMUNICATION

Also Published As

Publication number Publication date
JP2014513472A (ja) 2014-05-29
EP2697916A2 (en) 2014-02-19
JP2014513349A (ja) 2014-05-29
US20120265979A1 (en) 2012-10-18
KR101923047B1 (ko) 2018-11-28
KR101981229B1 (ko) 2019-05-22
CN103703698A (zh) 2014-04-02
JP6370215B2 (ja) 2018-08-08
WO2012141556A3 (en) 2013-03-14
US9202055B2 (en) 2015-12-01
JP2014517560A (ja) 2014-07-17
EP3537741B1 (en) 2020-12-02
US20120266223A1 (en) 2012-10-18
CN103597774B (zh) 2017-11-07
CN103621126A (zh) 2014-03-05
WO2012141557A2 (en) 2012-10-18
KR20140029447A (ko) 2014-03-10
US20120265983A1 (en) 2012-10-18
KR20140024894A (ko) 2014-03-03
WO2012141555A3 (en) 2013-03-14
KR102051492B1 (ko) 2020-01-08
CN103597774A (zh) 2014-02-19
EP3668048B1 (en) 2022-06-15
US8843753B2 (en) 2014-09-23
EP3668048A1 (en) 2020-06-17
EP2697992A2 (en) 2014-02-19
EP3641359B1 (en) 2021-06-02
WO2012141555A2 (en) 2012-10-18
EP3537741A1 (en) 2019-09-11
JP6066992B2 (ja) 2017-01-25
EP2697916A4 (en) 2014-09-24
US9317688B2 (en) 2016-04-19
EP2697992A4 (en) 2014-09-24
EP2697933A4 (en) 2014-09-24
CN103621126B (zh) 2018-06-19
EP2697933A2 (en) 2014-02-19
WO2012141556A2 (en) 2012-10-18
WO2012141557A3 (en) 2013-03-21
EP3641359A1 (en) 2020-04-22
KR20140023991A (ko) 2014-02-27
CN103703698B (zh) 2017-09-12

Similar Documents

Publication Publication Date Title
JP6022539B2 (ja) マシンツーマシンサービス提供方法及び装置
US10601594B2 (en) End-to-end service layer authentication
JP6595631B2 (ja) サービス層におけるコンテンツセキュリティ
EP3432532B1 (en) Key distribution and authentication method, apparatus and system
CN105706390B (zh) 在无线通信网络中执行设备到设备通信的方法和装置
JP2018518854A (ja) 公開キー機構を用いたサービス層におけるエンドツーエンド認証
JP2018532325A (ja) ユーザ機器ueのアクセス方法、アクセスデバイス、およびアクセスシステム
KR20200003108A (ko) 키 생성 방법, 사용자 장비, 장치, 컴퓨터 판독가능 저장 매체, 및 통신 시스템
WO2013120225A1 (en) Method and system for group based service bootstrap in m2m environment
WO2020094914A1 (en) Secure inter-mobile network communication
EP3413508A1 (en) Devices and methods for client device authentication
JP6050513B2 (ja) 通信ネットワークで送信されるペイロードの保護
WO2022151464A1 (en) Method, device, and system for authentication and authorization with edge data network
EP4322456A1 (en) Quantum secure implicit authenticated password-based protocols and systems
EP4322462A1 (en) Improved security establishment methods and systems wherein keys are derived from a protocol transcript
EP4322472A1 (en) Improved security establishment methods and systems
EP4322460A1 (en) Reliability setting for improved security establishment methods and systems
Mudugodu Seetarama Secure device bootstrapping with the nimble out of band authentication protocol

Legal Events

Date Code Title Description
RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20141226

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150410

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160314

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160425

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160725

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160905

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20161005

R150 Certificate of patent or registration of utility model

Ref document number: 6022539

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees