KR101229769B1 - 방문 네트워크에서의 무선 디바이스의 인증 - Google Patents

방문 네트워크에서의 무선 디바이스의 인증 Download PDF

Info

Publication number
KR101229769B1
KR101229769B1 KR1020107027310A KR20107027310A KR101229769B1 KR 101229769 B1 KR101229769 B1 KR 101229769B1 KR 1020107027310 A KR1020107027310 A KR 1020107027310A KR 20107027310 A KR20107027310 A KR 20107027310A KR 101229769 B1 KR101229769 B1 KR 101229769B1
Authority
KR
South Korea
Prior art keywords
mobile station
network
encryption key
wireless mobile
request
Prior art date
Application number
KR1020107027310A
Other languages
English (en)
Other versions
KR20110015596A (ko
Inventor
브라이언 알 쿡
제프리 앨런 다이크
다니엘 사렉
Original Assignee
퀄컴 인코포레이티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 퀄컴 인코포레이티드 filed Critical 퀄컴 인코포레이티드
Publication of KR20110015596A publication Critical patent/KR20110015596A/ko
Application granted granted Critical
Publication of KR101229769B1 publication Critical patent/KR101229769B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3215Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a plurality of channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0433Key management protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/12Messaging; Mailboxes; Announcements
    • H04W4/14Short messaging services, e.g. short message services [SMS] or unstructured supplementary service data [USSD]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices
    • H04W88/06Terminal devices adapted for operation in multiple networks or having at least two operational modes, e.g. multi-mode terminals

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Communication Control (AREA)

Abstract

서비스 요청에 대한 대안의 인증 접근방식이 제공된다. 원하는 서비스에 대해 (동적 모바일 IP 키 업데이트와 같은) 암호화 키의 종래의 업데이팅을 지원하지 않는 방문 네트워크에서 로밍하는 이동국에 대해, 이러한 암호화 키 인증은 상이한 방식으로 달성될 수도 있다. 이동국에 대한 암호화 키가 홈 네트워크에서 발견되지 않을 때 서비스 요청을 단지 거부하는 대신에, 홈 네트워크는 요청하는 이동국과 이러한 암호화 키를 확립하기 위해 텍스트 메시징 채널이 활용되는 프로세스를 개시할 수도 있다. 다르게는, 홈 네트워크는 요청된 서비스가 확립될 수 있게 하는 네트워크 서비스에 대한 액세스를 승인하고 이동국을 인증하기 위해 요청하는 이동국의 로밍 상태와 함께 요청하는 이동국에 대한 식별가능한 식별자 또는 크리덴셜 (예를 들어, IMSI, MIN 등) 과 같은 다른 정보를 활용할 수도 있다.

Description

방문 네트워크에서의 무선 디바이스의 인증{AUTHENTICATING A WIRELESS DEVICE IN A VISITED NETWORK}
35 U.S.C.§119 하에서의 우선권 주장
본 특허 출원은 2008년 5월 6일 출원된 "Methods and Apparatus for Authentication of Wireless Device in a Foreign Network Via SMS" 라는 명칭의 가출원 제 61/050,829 호, 및 2008년 5월 6일 출원된 "Methods and Apparatus for Authentication of Wireless Device in a Foreign Network Via IMSI Check" 라는 명칭의 가출원 제 61/050,845 호에 대한 우선권을 주장하고, 이들 모두는 본 출원의 양수인에게 양도되었고 참조로 여기에 명백하게 통합된다.
분야
다양한 특징들이 방문 무선 통신 네트워크에서의 데이터 통신의 보안에 관련된다. 적어도 하나의 특징이, 단문 메시지 서비스 (SMS) 를 통해 또는 원격 디바이스에 대한 고유 식별자에 기초하여 방문 네트워크에서의 원격 디바이스의 인증에 관한 것이다.
무선 통신 서비스 제공자 또는 캐리어는 종종, 다중 통신 인터페이스를 가지며 다양한 통신 채널상에서 동작하는 무선 이동국 (예를 들어, 모바일 폰 등) 에 서비스를 제공한다. 예를 들어, 무선 이동국은 음성 채널상에서 음성 통신, 텍스트 메시징을 위한 단문 메시지 서비스 (SMS) 및 데이터 통신을 위해 인에이블될 수도 있다. 통상적으로, SMS 는 최소의 대역폭을 활용하고, 음성 채널은 중간의 대역폭량을 활용하며, 데이터 서비스 (예를 들어, 멀티미디어 컨텐츠 스트리밍) 는 3개 타입의 무선 통신 중 최대의 대역폭을 활용한다. 캐리어는 3개 타입의 통신 모두가 가능한 디바이스를 판매할 수도 있다.
캐리어는 또한, 일 캐리어의 네트워크로부터 다른 캐리어의 네트워크로의 로밍을 허용하기 위한 다른 캐리어와의 합의를 통상적으로 갖는다. 사용자가 특정한 캐리어와의 서비스 계약을 가지면, 그 캐리어에 속하는 네트워크를 홈 네트워크 (home network) 라 칭한다. 다른 캐리어의 네트워크를 방문 네트워크 (visited network) 라 칭한다.
특히 데이터 서비스가 더욱 광범위하게 보급됨에 따라, 무선 통신의 보안이 점점 더 중요해지고 있다. 예를 들어, 데이터 서비스는 예를 들어, 모바일 폰을 사용하여 인터넷을 통해 아이템을 구매하는 것과 같은 금융 거래를 위해 사용될 수도 있다. 캐리어들은 무선 통신을 보안하는 시스템 및 방법을 확립하였다. 데이터 서비스가 무선 통신 디바이스상에서 사용되려는 경우에, 데이터 서비스에 대한 보안은 통상적으로, 디바이스가 데이터 서비스를 위해 먼저 사용될 때 프로비저닝 (provisioning) 된다. 또한, 특정한 이벤트가 데이터 서비스의 보안에 대한 신규한 암호화 키(들) (예를 들어, 데이터 인증 크리덴셜 (credential)) 를 생성하기 위한 필요성을 초래할 수도 있다. 예를 들어, 무선 이동국이 비인증 데이터 서비스에 대해 사용되고 있다는 것을 캐리어가 발견할 수도 있다. 이 경우에, 캐리어는 디바이스에 대한 신규한 암호화 키(들)의 생성을 원한다.
대부분의 경우에서, 암호화 키들은 무선 이동국이 판매되기 이전에 무선 이동국상에 프로비저닝된다. DMU (Dynamic Mobile IP Key Update) 는 키들이 배치된 이후에 키들이 생성되는 것을 허용하며, 오퍼레이터에 대한 키 프로비저닝 (provisioning) 프로세스를 자동화한다. 그러나, DMU-인에이블된 무선 이동국이 방문 네트워크에서 처음으로 데이터 서비스를 위해 사용되거나 그렇지 않으면 방문 네트워크에서 동작하면서 신규 암호화 키(들)를 필요로 할 때 문제가 발생할 수 있다. 이러한 시나리오에서, 무선 이동국은 홈 네트워크로부터 유효한 보안 또는 암호화 키를 획득하기 이전에 방문 네트워크에서 활용될 수도 있다. 무선 이동국이 데이터 서비스를 보안하기 위해 아직 프로비저닝되지 않았거나 정확한 암호화 키(들)를 적어도 갖지 않기 때문에, 데이터 서비스는 그것의 홈 네트워크에 의해 거부될 수도 있다. 이러한 문제에 대한 하나의 이유는, 방문 네트워크가 암호화 키를 제공하기 위해 홈 네트워크에 의해 사용된 키 프로비저닝 프로세스 (예를 들어, DMU) 를 지원하지 않을 수도 있기 때문이다. 예를 들어, 무선 이동국이 방문 네트워크와의 데이터 접속의 확립을 시도할 때, 방문 네트워크는 홈 네트워크와 접촉하여 무선 통신 디바이스를 식별한다. 그러나, 무선 이동국은 데이터 통신을 위해 요구된 보안/암호화 키(들)를 갖지 않을 수도 있어서, 홈 네트워크는 무선 이동국이 데이터 통신을 수행하도록 인가되지 않았다는 것을 방문 네트워크에 나타낸다. 방문 네트워크가 무선 이동국에 대한 보안/암호화 키의 프로비저닝을 위해 홈 네트워크에 의해 사용된 키 프로비저닝 프로세스를 지원하지 않을 수도 있기 때문에, 홈 네트워크는 이러한 보안/암호화 키를 제공하지 못할 수 있다. 따라서, 무선 이동국이 방문 네트워크에서 데이터 서비스를 위해 사용되기 이전에 홈 네트워크에서 적어도 1 회 정확한 보안/암호화 키를 단지 획득하면, 사용자가 데이터 서비스를 사용할 수 있었어야 하고 데이터 서비스를 사용할 수 있었음에도 불구하고, 데이터 서비스를 계약한 사용자는 데이터 서비스를 사용할 수 없을 수도 있다.
DMU (Dynamic Mobile IP Key Update) 가 무선 모바일 디바이스에 암호화 키(들)를 프로비저닝하는 일 예이다. DMU 는, 예를 들어, 코드 분할 다중 액세스 (CDMA) 네트워크용의 EV-DO (Evolution-Data Optimized), 모바일 통신을 위한 글로벌 시스템 (GSM) 네트워크에 대한 GPRS (General Packet Radio Service) 및 EDGE (Enhanced Data rates for GSM Evolution) 및 광역 WCDMA 에 의해 구현될 수도 있는 모바일 IP 암호화 키를 분배하고 업데이트하는 보안적이고 효율적인 메카니즘이다. DMU 절차는 모바일 디바이스와 네트워크 인증, 인가, 및 어카운팅 (AAA) 서버 사이에서 구현될 수도 있고, 개별 사용자 키를 허용하고, 공개되어야 할 키의 업데이트를 단순화함으로써 네트워크의 보안을 강화한다.
무선 이동국이 홈 네트워크에 대한 통상의 키 프로비저닝 프로세스를 지원하지 않을 수도 있는 방문 네트워크에서 동작할 때에도, 무선 이동국에 대한 암호화 키(들) 및 다른 보안 특징을 생성하여 분배하기 위한 방식을 제공하는 것이 바람직하다.
원하는 서비스에 대한 (동적 모바일 IP 키 업데이트 (Dynamic Mobile IP Key Update) 와 같은) 암호화 키의 종래의 업데이팅을 지원하지 않는 방문 네트워크에서 로밍하는 동안 암호화 키를 업데이트하기 위한 다양한 접근방식이 무선 이동국에 제공된다.
제 1 특징에 따르면, 이동국의 통상의 키 업데이트 프로토콜을 지원하지 않는 방문 네트워크로부터 서비스를 획득하기 위해 무선 이동국상에서 운용하는 방법이 제공된다. 이동국은 홈 네트워크로부터의 인증을 요구하는 데이터 서비스를 확립하기 위해 방문 네트워크 노드에 서비스 요청을 전송할 수도 있다. 예를 들어, 서비스 요청은 점 대 점 프로토콜 (PPP) 모바일 인터넷 프로토콜 (MIP) 등록 요청 (RRQ) 메시지를 포함할 수도 있다. 이에 응답하여, 이동국은 데이터 서비스를 위한 암호화 키에 대한 텍스트 메시징 채널상의 요청을 수신할 수도 있고, 여기서 요청은 홈 네트워크에 의해 개시된다. 수신된 요청은 예를 들어, 동적 모바일 IP 키 업데이트 요청일 수도 있다. 이동국은 암호화 키(들)를 획득하거나 생성할 수도 있고, 데이터 서비스를 위한 암호화 키(들)를 텍스트 메시징 채널에 전송한다. 암호화 키는 예를 들어, 동적 모바일 IP 키 업데이트 응답의 일부로서 전송될 수도 있다. 일 구현에서, 암호화 키는 모바일 인터넷 프로토콜 (MIP) 키를 포함할 수도 있다. 이동국은 암호화 키를 갖는 인증 메시지를 텍스트 메시징 채널에 전송할 수도 있다. 암호화 키는 홈 네트워크에 대한 공개 키에 의해 보안된 홈 네트워크로 전송될 수도 있다. 이에 응답하여, 이동국은 데이터 서비스의 확립을 확인하는 확인응답을 수신할 수도 있다. 데이터 서비스는 텍스트 메시징 채널과는 다른 제 1 채널을 통해 수행될 수도 있다. 제 1 채널은 텍스트 메시징 채널 보다 높은 데이터 레이트를 가질 수도 있다.
홈 네트워크 서버상에서 운용하는 제 2 특징에 따르면, 요청하는 이동국에 대한 암호화 키가 홈 네트워크에서 발견되지 않을 때 서비스 요청을 단지 거부하는 대신에, 홈 네트워크 서버는, 텍스트 메시징 채널이 요청하는 이동국과 이러한 암호화 키를 확립하기 위해 사용되는 프로세스를 개시할 수도 있다. 방문 네트워크에서 로밍하는 무선 이동국에 대한 통신 서비스를 인증하기 위해 홈 네트워크에서 운용하는 방법이 제공된다. 이러한 방법에서, 방문 네트워크가 홈 네트워크와 암호화 키를 확립하거나 업데이트하기 위해 이동국에 대해 종래의 방법을 지원하지 않는다는 것을 다시 가정한다. 홈 네트워크 서버는 암호화 키를 요구하는 데이터 서비스를 확립하기 위해 방문 네트워크로부터 무선 이동국에 대한 서비스 요청을 수신할 수도 있다. 서비스 요청은 점 대 점 프로토콜 (PPP) 모바일 인터넷 프로토콜 (MIP) 등록 요청 (RRQ) 메시지를 포함할 수도 있다. 홈 네트워크는, 무선 이동국에 대한 암호화 키가 홈 네트워크에서 이용불가능하다는 것을 결정할 수도 있어서, 업데이트 요청을 전송함으로써 키 프로비저닝 프로세스를 개시할 수도 있다. 그 후, 홈 네트워크는 암호화 키를 업데이트하기 위해 텍스트 메시징 채널을 사용하여 업데이트 요청을 무선 이동국으로 전송할 수도 있다. 업데이트 요청은 동적 모바일 IP 키 업데이트 요청일 수도 있다. 이에 응답하여, 암호화 키는 텍스트 메시징 채널을 통해 무선 이동국으로부터 데이터 서비스를 위해 수신될 수도 있다. 암호화 키는 동적 모바일 IP 키 업데이트 응답의 일부로서 수신될 수도 있다. 암호화 키는 모바일 인터넷 프로토콜 (MIP) 키를 포함할 수도 있다. 그 후, 홈 네트워크는, 암호화 키가 수신되면 서비스 요청을 인증하는 메시지를 방문 네트워크로 전송할 수도 있다. 일 예에서, 서비스 요청은 제 1 채널상에서 수신될 수도 있지만, 업데이트 요청은 제 1 채널과는 다른 텍스트 메시징 채널상에서 전송될 수도 있다. 데이터 서비스는 텍스트 메시징 채널과는 다른 제 1 채널을 통해 수행될 수도 있다. 제 1 채널은 텍스트 메시징 채널 보다 높은 데이터 레이트를 가질 수도 있다.
대안의 접근방식에서, 홈 네트워크는 이동국을 인증하고 이동국에 대한 요청된 서비스로의 네트워크 액세스를 승인하기 위해 요청하는 무선 이동국의 로밍 상태와 함께 요청하는 무선 이동국에 대한 검증가능한 식별자 또는 크리덴셜 (예를 들어, IMSI, MIN 등) 과 같은 다른 정보를 활용할 수도 있다.
따라서, 다른 특징은 방문 네트워크로부터 서비스를 획득하기 위해 무선 이동국상에서 운용하는 방법을 제공한다. 무선 이동국은 홈 네트워크로부터의 인증을 요구하는 데이터 서비스를 확립하기 위해 방문 네트워크 노드에 서비스 요청을 전송할 수도 있다. 이에 응답하여, 무선 이동국은, 네트워크 액세스가 홈 네트워크에 의해 요청 서비스에 대해 승인되었다는 것을 나타내는 메시지를 수신할 수도 있다. 그러나, 이러한 액세스는, 이동국이 홈 네트워크와 암호화 키를 먼저 확립하지 않고 승인된다. 일 예에서, 서비스 요청은 이동국이 가입자라는 것을 홈 네트워크가 검증하게 하는 무선 이동국에 대한 고유 식별자를 포함할 수도 있다. 서비스 요청은 또한, 무선 이동국이 로밍한다는 것을 홈 네트워크가 검증하게 하는 방문 네트워크 식별자를 포함할 수도 있다.
또 다른 특징은 방문 네트워크에서 로밍하는 무선 이동국에 대한 통신 서비스를 인증하기 위해 홈 네트워크에서 운용하는 방법을 제공한다. 홈 네트워크 (또는 그 안의 하나 이상의 서버 또는 엔터티) 는 암호화 키를 요구하는 데이터 서비스를 확립하기 위해 방문 네트워크로부터 무선 이동국에 대한 서비스 요청을 수신할 수도 있다. 홈 네트워크는, 무선 이동국에 대한 암호화 키가 홈 네트워크에서 이용가능한지를 결정할 수도 있다. 요청된 서비스에 대하여 홈 네트워크에서 유효 암호화 키가 발견되지 않지만, 무선 이동국이 홈 네트워크의 가입자로서 긍정적으로 검증되고 방문 네트워크에서 로밍하고 있으면, 홈 네트워크는 무선 이동국에 대한 네트워크 액세스를 승인하는 메시지를 방문 네트워크에 전송할 수도 있다.
본 양태들의 특징, 본질, 및 이점은 동일한 참조 문자가 전체적으로 대응하게 식별하는 도면과 함께 취해질 때 아래 설명된 상세한 설명으로부터 더욱 명백해질 것이다.
도 1 은, 방문 네트워크에서 이동국의 키 프로비저닝 또는 업데이팅을 위한 하나 이상의 특징이 구현될 수도 있는 네트워크 환경을 예시하는 블록도이다.
도 2 는, 홈 네트워크에 대한 통상의 키 프로비저닝 프로세스를 지원하지 않을 수도 있는 방문 네트워크에서 동작할 때에도 이동국에 암호화 키가 어떻게 프로비저닝될 수도 있는지를 예시하는 블록도이다.
도 3 은, 방문 네트워크에서의 이동국이 데이터 통신 채널상에서의 사용을 위해 하위 대역폭 프로토콜을 통해 암호 키와 같은 보안 상태를 업데이트할 수 있게 하는 콜 흐름을 예시하는 도면이다.
도 4 는, 데이터 서비스에 대해 통상적으로 필요한 필수 키가 이동국에 프로비저닝될 수도 있는 방문 네트워크에서 데이터 서비스를 이동국에 프로비저닝하기 위한 대안의 접근방식을 예시하는 도면이다.
도 5 는, 방문 네트워크에서 로밍할 때 대안의 방법에 따라 암호화 키(들)를 업데이트하도록 구성될 수도 있는 이동국 (200) 의 예를 예시하는 블록도이다.
도 6 은, 방문 네트워크에서 로밍하면서 홈 네트워크와 암호화 키를 확립하기 위해 무선 이동국상에서 운용하는 방법을 예시한다.
도 7 은, 방문 네트워크에서 로밍하면서 홈 네트워크와 암호화 키를 확립하기 위해 무선 이동국상에서 운용하는 다른 방법을 예시한다.
도 8 은, 홈 네트워크 인증, 인가, 및 어카운팅 서버의 일 예를 예시하는 블록도이다.
도 9 는, 방문 네트워크에서 로밍하는 무선 이동국에 대한 통신 서비스를 인증하기 위해 홈 네트워크에서 운용하는 방법을 예시한다.
도 10 은, 방문 네트워크에서 로밍하는 무선 이동국에 대한 통신 서비스를 인증하기 위해 홈 네트워크에서 운용하는 다른 방법을 예시한다.
도 11 은, 일 예에 따른 동적 모바일 IP 키 업데이트 서버의 블록도이다.
도 12 는, 텍스트 메시징 채널을 사용함으로써 방문 네트워크에서 로밍하는 무선 이동국과의 키 업데이트를 개시하기 위해 동적 모바일 IP 키 업데이트 서버에서 운용하는 방법을 예시한다.
아래의 설명에서, 실시형태들의 완전한 이해를 제공하기 위한 특정한 상세가 제공된다. 그러나, 실시형태들이 이들 특정한 상세없이 실시될 수도 있다는 것이 당업자에 의해 이해될 것이다. 예를 들어, 회로는 실시형태들을 불필요한 상세에서 모호하게 하지 않기 위해 블록도로 도시될 수도 있다. 다른 경우에서, 널리 공지된 회로, 구조 및 기술이 실시형태들을 모호하게 하지 않기 위해 상세히 도시될 수도 있다.
여기에 사용되는 바와 같이, 용어 "이동국" 은 무선 통신 능력을 갖는 모바일 폰, 셀룰러 폰, 통신 디바이스, 무선 디바이스, 개인 휴대 보조 단말기, 및/또는 팜-헬드 컴퓨팅 디바이스를 칭할 수도 있지만, 이에 제한되지 않는다. 용어 "홈 네트워크" 는 이동국이 서비스를 수신하기 위해 가입되는 서비스 제공자 또는 무선 캐리어를 칭할 수도 있다. "방문 네트워크" 는 "홈 네트워크" 가 아닌 서비스 제공자 또는 무선 캐리어를 칭할 수도 있다. 용어 "데이터 통신" 및/또는 "데이터 서비스" 는 음성 채널 및/또는 단문 메시지 서비스 채널 이외의 데이터 채널을 칭할 수도 있다.
개요
일 특징에 따르면, 로밍하는 이동국은 암호화 키를 먼저 생성하여 이들을 홈 네트워크와 교환하지 않고 방문 네트워크에서 데이터 접속을 시도할 수도 있다. 방문 네트워크는 데이터 서비스로의 액세스에 대한 요청을 홈 네트워크에 통지할 수도 있다. 접속은 (이동국이 데이터 서비스에 대해 인증되지 않았기 때문에) 홈 네트워크에 의해 거부될 수도 있지만, 홈 네트워크는 이동국과의 SMS 채널을 셋업하기 위한 프로세스를 트리거 또는 개시할 수도 있고, 이를 통해 이동국의 인증이 홈 네트워크에 생성된 키를 제공할 수 있다. 홈 네트워크는 보안 업데이트 요청을 SMS 채널을 통해 (즉, SMS 메시지의 일부로서) 생성하여 전송할 수도 있다.
이동국은 SMS 를 통해 (홈 네트워크로부터) 보안 업데이트 요청을 수신하도록 구성될 수도 있다. 이동국은, SMS 메시지가 보안 업데이트 요청이라는 것을 나타내는 SMS 메시지의 특성을 인식할 수도 있다. 사용자에 대한 SMS 를, 예를 들어, 텍스트 메시지로서 해석하는 대신에, 이동국은 SMS 를 보안 업데이트 요청 메시지로서 인식한다. 이것은 예를 들어, SMS 메시지가 제어 정보 (예를 들어, 보안 업데이트 요청) 와 관련되는 메시지 타입 플래그 또는 다른 표시자를 사용함으로써 달성될 수도 있다. 보안 업데이트 요청은 동적 모바일 IP 키 업데이트 절차 (DMU) 요청일 수도 있다. DMU 는 일부 네트워크에서 모바일 IP (MIP) 암호화 키를 분배하고 업데이트하는 메카니즘이다.
요청 메시지가 수신되었다는 것을 인식할시에, 이동국은 인증 업데이트 메시지를 생성하여 SMS 를 통해 홈 네트워크로 전송할 수도 있다. 그 후, 홈 네트워크는 이동국에 의해 생성된 암호화 키를 추출하기 위해 인증 업데이트 메시지를 프로세싱한다. 홈 네트워크에서, 홈 인증, 인가 및 어카운팅 서버 (H-AAA), 홈 SMS 센터 (H-SMSC), 및 DMU 서버는 초기 암호화 키 생성 및 프로비저닝을 달성하기 위해 통신가능하게 커플링될 수도 있다. H-SMSC 를 또한, 예를 들어, CDMA2000 네트워크에서는 메시지 센터 (MC) 라 칭할 수도 있다. 예를 들어, H-AAA 는 방문 네트워크를 통해 이동국에 대한 인증 요청을 수신할 수도 있다. H-AAA 는, 이동국이 적절한 암호화 키를 사전에 획득하지 못하였으면, 인증 요청을 거부 또는 거절할 수도 있다. 그러나, 이러한 거부가 발생할 때, H-AAA 는 또한, H-SMSC 를 통해 SMS-기반 DMU 요청을 개시하는 DMU 서버에 통지할 수도 있다. 이동국은 수신된 SMS-기반 DMU 요청을 인식하고, SMS-기반 DMU 업데이트를 H-SMSC 를 통해 DMU 서버로 전송한다.
예시적인 네트워크 환경
도 1 은 방문 네트워크에서 이동국의 키 프로비저닝 또는 업데이팅을 위한 하나 이상의 특징이 구현될 수도 있는 네트워크 환경을 예시하는 블록도이다. 이동국 (MS; 102) 은 그것의 홈 네트워크 (116) 로부터 데이터 통신 서비스를 위한 유효 암호화 키를 인증 및/또는 획득하지 못하였을 수도 있다. 이동국 (102) 은, 처음으로 데이터 통신 서비스의 사용을 추구할 때 방문 네트워크 (104) 에서 로밍할 수도 있거나, 새로운 암호화 키에 대한 필요성을 가질 수도 있다. 이동국 (102) 은 방문 네트워크 (104) 에서 패킷 데이터 서빙 노드 (PDSN; 110) 와의 데이터 접속의 확립을 시도할 수도 있다. 데이터 접속을 확립하기 위한 시도의 일부로서, 또는 데이터 접속의 확립을 시도하기 이전에, MS (102) 는 방문 네트워크 (104) 에서 인증을 수행한다. 예를 들어, MS (102) 는 홈 네트워크 (116) 에서 홈 위치 레지스터 (HLR) 로 인증을 수행할 수도 있다. 다시 말해, MS (102) 는 홈 네트워크 (116) 에서 HLR (118) 에 등록한다. HLR (118) 에 등록되면, MS (102) 는 음성 콜을 수행할 수 있으며 SMS 메시지를 전송 및 수신할 수 있다.
데이터 접속의 확립을 시도하기 위해, MS (102) 는 PDSN (110) 과의 점 대 점 프로토콜 (PPP) 세션을 생성하며, 모바일 IP (MIP) 등록 요청 (RRQ) 메시지를 전송할 수도 있다. PPP 프로토콜은, 2개의 네트워크 노드 사이에서 직접 접속을 확립하기 위해 사용된 인터넷 엔지니어링 태스크 포스 (IETF) 프로토콜이다. BSC (108) 는 메시지를 패킷 데이터 서빙 노드 (PDSN; 110) 로 라우팅한다. 패킷 데이터 서빙 노드 (110) 는 BS (106) 에 접속된 MS (102) 와 같은 이동국에 대한 패킷 데이터를 핸들링한다. PDSN (110) 은 모바일 디바이스 (102) 와 인터넷 사이에서 패킷 데이터를 라우팅하기 위해 인터넷 (도시 생략) 에 접속될 수도 있어서, 모바일 디바이스 (102) 가 인터넷과 상호작용할 수 있게 한다.
PDSN (110) 은 또한, 방문 인증, 인가 및 어카운팅 서버 (V-AAA; 112) 에 접속된다. V-AAA (112) 는 MS (102) 를 네트워크의 멤버가 아닌 것으로서 식별한다. V-AAA (112) 는 MS 의 홈 네트워크 (116) 에서의 홈 인증, 인가 및 어카운팅 서버 (H-AAA; 114) 에 접속된다. H-AAA (114) 는 MS (102) 를 식별하고, MS (102) 는 유효 키를 갖지 않는다는 것에 유의한다. V-AAA 로부터 H-AAA 로의 메시지는 모바일 노드 AAA 인가 요청 (MN-AAA AUTH REQ) 메시지이다. H-AAA (114) 는, MS (102) 가 유효 키를 갖지 않기 때문에 요청을 거부한다. 그러나, 일 특징에 따르면, H-AAA (114) 는, 키 업데이트가 방문 네트워크 (104) 에서의 MS (102) 에 대해 필요하다는 것을 보안, 또는 키, 서버 (120) 에 통지하도록 구성될 수도 있다. 보안 서버 (120) 는 동적 모바일 IP 키 업데이트 절차 (DMU) 서버일 수도 있다. DMU 는 CDMA2000 네트워크에서 모바일 IP (MIP) 암호화 키를 분배하고 업데이트하기 위한 메카니즘이다.
DMU 보안 서버 (120) 는 하위 대역폭 채널을 통해, 예를 들어, SMS 메시징을 위한 채널을 통해 키 업데이트 프로세스를 시작함으로써 방문 네트워크에서의 키 업데이트에 대한 이러한 요청에 응답한다. 따라서, 예를 들어, DMU 서버 (120) 는 MS (102) 에 대한 SMS 메시지를 개시하여 새로운 키를 생성한다. 구체적으로는, MS (102) 는 H-AAA (114) 에 의해 인증되거나 검증되는 새로운 키를 생성할 수도 있다. 따라서, DMU 서버 (120) 는 키 업데이트 요청을 MS (102) 에 SMS 에 의해 전송한다. 키 업데이트 요청은 예를 들어, "DMU 요청" 과 같은 "키 업데이트 요청" 또는 유사한 것을 스테이팅하는 컨텐츠를 갖는 예를 들어, 단문 메시지 피어 투 피어 메시지 (SMPP) 일 수도 있다. 따라서, DMU 서버 (120) 는 MS (102) 에 전송되도록 "DMU 요청" 메시지를 단문 메시지 서비스 센터 (SMSC; 122) 에 전송한다. DMU 서버 (120) 는 MS (102) 에 대응하는 공개 키로 메시지를 암호화할 수도 있다.
SMSC (122) 는 암호화된 SMS 메시지 "DMU 요청" 을 MS (102) 로 라우팅한다. V-AAA (112) 는 SMS 메시지를 모바일 스위칭 센터 (MSC; 124) 로 전송함으로써 MS (102) 로의 SMS 메시지의 라우팅을 계속한다. MSC (124) 는 SMS 메시지를 BSC (108) 로 전송함으로써 SMS 메시지를 MS (102) 로 라우팅하고, BSC (108) 는 그 메시지를 BTS (106) 로 전송하고, BTS (106) 는 SMS 메시지를 공중을 통해 MS (102) 로 전송한다. MS (102) 는 암호화된 메시지를 수신하고, 메시지를 암호해제하며, 새로운 키를 생성함으로써 응답한다. MS (102) 는 네트워크의 공개 키로 암호화된 새로운 키를 포함하는 암호화된 메시지를 생성한다. MS (102) 는 암호화된 메시지를 SMS 메시지에 의해 DMU 서버로 되전송한다. 새로운 키를 포함하는 암호화된 메시지는 DMU 업데이트 메시지일 수도 있다.
DMU 업데이트 메시지는 데이터 채널을 통해 사용되는 정확한 메시지일 수도 있지만, 대신에, SMS 에 의해 전송된다. SMS 메시지는 최대 160 바이트를 갖는다. 생성된 새로운 키는 120 바이트 길이인 리베스트 셰미르 아델만 (Rivest Shamir Adleman; RSA) 1024 키일 수도 있다. 더 긴 키 길이를 원하면, 다중의 SMS 메시지가 사용된다. 단편화 프로토콜 (fragmentation protocol) 이 DMU SMS 메시지의 상부상에서 사용된다. 다중 SMS 메시지는 DMU 메시지를 반송하기 위해 사용될 수도 있다.
SMSC (122) 는 암호화된 새로운 키를 수신하고, 그것을 DMU 서버 (120) 로 포워딩한다. DMU 서버 (120) 는 새로운 키를 H-AAA (114) 로 포워딩한다. H-AAA (114) 는 새로운 키를 암호해제하며, MS (102) 로부터의 암호화된 메시지에 적어도 부분적으로 기초하여 인증 확인응답을 생성할 수도 있다. H-AAA (114) 는 특수한 액세스 거부 메시지로 DMU 서버 (120) 에 응답할 수도 있으며, DMU 서버 (120) 는 DMU 업데이트 메시지를 MS (102) 에 전송한다. 그 후, MS (102) 는 인증된 H-AAA (114) 에 의해 확립된 새로운 키를 사용하여 PDSN (110) 과 통신할 수도 있다.
방문 네트워크에서의 보안 프로비저닝
도 2 는, 홈 네트워크 (206) 에 대한 통상의 키 프로비저닝 프로세스를 지원하지 않을 수도 있는 방문 네트워크 (204) 에서 동작할 때에도 이동국 (202) 에 암호화 키가 어떻게 프로비저닝될 수도 있는지를 예시하는 블록도이다. 일부 환경에서, 사용자는 제 1 네트워크 (예를 들어, 사용자의 홈 네트워크 (206)) 와의 사용을 위해 의도된 무선 이동국 (202) (예를 들어, 무선 통신 능력을 포함하는 모바일 폰, 개인 휴대 보조 단말기, 팜 헬드 컴퓨팅 디바이스, 통신 디바이스 등) 을 구매할 수도 있다. 그러나, 제 1 네트워크 (206) 로 활성되기 이전에, 무선 이동국 (202) 은 제 2 네트워크가 동작하는 제 2 영역 (예를 들어, 방문 네트워크 (204)) 로 이동될 수도 있다. 홈 네트워크 (206) 에 의해 완전하게 활성되지 않았기 때문에, 이동국 (202) 은 특정한 통신 또는 데이터 서비스를 위한 암호화 및/또는 보안 키를 획득하지 못할 수도 있다. 현재의 암호화 또는 보안 키가, 이동국 (202) 에 이러한 키 업데이트를 통지하지 않고 홈 네트워크 (206) 에 의해 무효로 되면, 유사한 문제점이 발생할 수도 있다. 무선 이동국 (202) 이 특정한 서비스, 예를 들어, 방문 네트워크 (204) 에서의 데이터 서비스 (예를 들어, 인터넷 서핑 등) 에 액세스하기 위해 시도할 때, 이동국 (202) 이 그 서비스에 대해 홈 네트워크 (206) 로부터 유효한 인증을 갖지 못할 수도 있기 때문에 (예를 들어, 보안 또는 암호화 키(들)를 아직 획득하지 못할 수도 있기 때문에), 이동국 (202) 은 액세스가 거부될 수도 있다. 예를 들어, 방문 네트워크 (204) 에서 동작을 시작할시에, 이동국 (202) 은 제 1 채널 (208) 을 통해 특정한 서비스에 대한 인증 요청 (212) 을 전송할 수도 있다. 방문 네트워크는, 이동국 (202) 에 대한 홈 네트워크 (206) 요청 (214) 을 포워딩함으로써 인증 요청의 검증을 추구할 수도 있다. 홈 네트워크 (206) 는, 예를 들어, 이러한 서비스를 위해 이동국 (202) 에 제공된 보안/암호화 키가 없기 때문에 (216), 요청된 서비스에 대해 이동국 (202) 을 인증할 수 없다는 것을 확인할 수도 있다. 따라서, 인증 요청의 거부 (218) 는 홈 네트워크 (206) 로부터 방문 네트워크 (204) 로 전송될 수도 있고, 이동국 (202) 으로 포워딩될 수도 있다 (220).
그러나, SMS 채널과 같은 사전-프로비저닝된 제 2 채널 (210) 이, 데이터 서비스 또는 채널에 대한 보안/암호화 키 및 다른 보안 특징을 획득하기 위해 홈 네트워크 (206) 와의 인증을 확립하도록 이동국 (202) 에 의해 사용될 수 있다. 따라서, 홈 네트워크 (206) 가 인증 요청을 거부할 때, 제 2 채널 (210) 을 통해 보안/암호화 키 프로비저닝 및/또는 업데이트 프로세스 (222) 를 또한 개시할 수도 있다. 홈 네트워크는, 방문 네트워크로부터의 인증 요청이 거부될 때, 키 프로비저닝 프로세스가 제 2 채널 (210) 을 통해 개시되어야 한다는 것을 확인할 수도 있다. 이러한 키 프로비저닝 프로세스는, 보안/암호화 키 업데이트 요청 (224) 을 (가능하면 제 2 네트워크 (204) 를 통해) 이동국 (202) 으로 전송하기 위해 제 2 채널 (210) 을 사용하는 것을 포함할 수도 있다. 이에 응답하여, 이동국 (202) 은 보안/암호화 키를 생성할 수도 있고, 그것을 보안/암호화 키 업데이트 응답 (226) 을 통해 홈 네트워크로 전송한다. 그 후, 홈 네트워크 (206) 는 보안/암호화 키를 인증할 수도 있고, 제 2 채널 (210) 을 통해 확인응답 (228) 을 이동국 (202) 에 전송한다. 그 후, 보안/암호화 키는 제 1 채널 (208) 을 통해 인증/보안 서비스를 제공하기 위해 사용될 수 있다. 즉, 그 후, 보안/암호화 키는 제 1 채널 (208) 을 통한 서비스 세션의 확립을 시도하기 위해 이동국 (202) 에 의해 사용될 수도 있다. 예를 들어, 이동국 (202) 은 인증 요청을 다시 전송할 수도 있지만, 이번에는, 이동국 (202) 에 대한 암호화 키가 확립되었기 때문에 홈 네트워크 (206) 가 요청을 성공적으로 검증한다. 따라서, 이동국 (202) 은 제 1 채널을 통해 통신 세션을 확립할 수 있다.
SMS 채널과 같은 사전-프로비저닝된 제 2 채널 (210) 이 제 1 채널 (208) 에 대한 보안 특징을 프로비저닝하기 위해 사용되기 때문에, 사용자는 홈 네트워크 (206) 에 의해 데이터 서비스를 위한 보안/암호화 키가 아직 프로비저닝되지 않은 경우에도, (제 1 채널을 통해) 데이터 서비스를 위해 무선 이동국 (202) 을 사용할 수도 있다. 이러한 키 프로비저닝 프로세스는, 이동국 (202) 이 방문 네트워크 (204) 에서 처음으로 사용되는 경우에도 사용될 수도 있다. 이것은 사용자에 대해 불만을 감소시키고 데이터 서비스의 사용을 증가시킨다.
제 1 채널 (208) 이 보안될 수도 있지만 (예를 들어, 통신 또는 서비스를 위해 어떤 프로비저닝된 키를 요구함), 제 2 채널 (210) 은 인증 또는 보안이 거의 없이 활용될 수도 있다. 일부 구현에 따르면, 제 1 채널 (208) 은 데이터 서비스를 위해 사용된 상위 대역폭 채널일 수도 있으며, 제 2 채널 (210) 은 제 1 채널 (208) 에 비해 하위 대역폭 채널이다. 데이터 서비스 또는 제 1 채널은, 예를 들어, 3세대 파트너쉽 프로젝트 2 (3GPP2) 에 의해 표준화되는 CDMA2000 Evolution-Data Optimized (EV-DO) 통신과 같은 코드 분할 다중 액세스 (CDMA) 통신용일 수 있다. 다른 예로서, 통신 서비스 또는 제 1 채널은 BREW™ (binary runtime environment for wireless) 서비스 또는 애플리케이션일 수 있다. BREW™ 는 무선 통신 디바이스상에서 소프트웨어를 조작하기 위해 Qualcomm Incorporated™ 에 의해 개발된 등록 메카니즘이다.
또 다른 구현에서, 제 1 채널 (208) 은 간단하게는, 원하는 데이터 서비스를 제공하는 상위 대역폭의 제 3 채널과 관련된 하위 대역폭 제어 채널일 수도 있다.
일 예에 따르면, 무선 이동국 (202) 은 캐리어 A 네트워크 및 다른 네트워크상에서 사용하기 위해 캐리어 A 로부터 구매한 데이터-인에이블된 셀룰러 전화일 수도 있다. 예를 들어, 캐리어 A 는 Verizon Wireless™ 일 수 있다. 사용자가 미국에서 셀룰러 전화를 구매하고 국제 로밍을 계약하였으면, 사용자는 예를 들어, 디바이스를 캐나다 또는 유럽에서 사용하기를 원할 수도 있다. 일부 경우에서, 사용자는, 데이터 서비스 (예를 들어, 인터넷 브라우징 등) 에 대해 (미국에서의) 홈 네트워크에 의해 인증되기 이전에도 셀룰러 전화를 캐나다 또는 유럽으로 가지고 갈 수도 있다. 따라서, 사용자가 다른 네트워크, 캐리어 B 에서 이동국의 사용을 시도할 때, 이동국은 데이터 서비스의 초기화를 시도한다. 예를 들어, 캐리어 B 는 캐나다에서의 Telus™ 일 수도 있다. 캐리어 A 와 캐리어 B 가 로밍 합의를 하면, 사용자는 통상적으로, 데이터 서비스가 프로비저닝되지 않을 수도 있는 경우에도, 음성 서비스 및 SMS 서비스를 획득할 수 있다. 일 특징에 따르면, 도 2 에 예시된 프로세스는 하나 이상의 키를 데이터 서비스를 위해 이동국에 제공하도록 활용될 수도 있다. (예를 들어, 제 1 채널 (208) 을 통한) 이러한 데이터 서비스의 프로비저닝은 SMS 메시징 (예를 들어, 제 2 채널 (210)) 을 통해 수행될 수도 있다. 예를 들어, 서비스 옵션 33 (SO33) 은 (예를 들어, CDMA2000 1xRTT 데이터 세션을 사용하여) Verizon 무선 네트워크에서 DMU 업데이트를 수행하기 위해 사용될 수도 있지만, 이러한 옵션은 외부 네트워크에서 이용가능하지 않을 수도 있고, 따라서, DMU 업데이트가 SMS 메시징을 통해 대신 수행될 수도 있다. 예를 들어, 캐리어 B 가 동적 모바일 IP 키 업데이트 (DMU) 를 행하기 위한 능력을 갖지 않으면, 캐리어 A 와 캐리어 B 가 SMS 로밍 합의를 갖는다고 가정하여, 암호화 키 및 다른 보안 특징 업데이팅은 여전히 SMS 메시지를 사용함으로써 SMS 채널을 통해 수행될 수 있다.
SMS 를 통한 DMU 프로비저닝의
도 3 은, 방문 네트워크에서의 이동국 (300) 이 데이터 통신 채널상에서의 사용을 위해 하위 대역폭 프로토콜을 통해 암호 키와 같은 보안 상태를 업데이트할 수 있게 하는 콜 흐름을 예시하는 도면이다. 여기에 설명된 개념은, 다른 구현이 가능하고 예상되지만, EV-DO 데이터 통신의 예를 사용할 수도 있다. 이동국 (MS; 300) 이 방문 네트워크에 있으면서 데이터 통신의 개시를 시도한다. 이 시도는 도 1 에 관하여 상술한 바와 같이, V-PDSN (304) 에 대한 PPP+MIP RRQ 메시지 (302) 일 수도 있다. V-PDSN (304) 는 MN-AAA AUTH REQ (306) 를 V-AAA (308) 로 통신한다. V-AAA (308) 는 MN-AAA AUTH REQ (310) 를 H-AAA (312) 로 통신한다. H-AAA (308) 는 크리덴셜 (credential) 리스트에서 MS (300) 를 찾고, MS (300) 가 유효 암호화 키를 갖지 않는다는 것을 결정한다. 따라서, H-AAA (312) 는 액세스 거부 메시지 (316) 를 V-AAA 로 전송하고, V-AAA 는 액세스 거부 메시지 (318) 를 V-PDSN (304) 으로 전송함으로써, MS (300) 가 원하는 데이터 서비스를 획득하는 것을 방지한다.
그러나, 액세스 거부 메시지 (316) 를 전송하는 것과 함께, H-AAA (312) 는 또한, 방문 네트워크에서 MS (300) 에 대해 키 업데이트가 필요하다는 것을 DMU 서버 (320) 에 통지하는 메시지 (314) 를 전송함으로써 새로운 보안/암호화 키를 생성하는 프로세스를 개시할 수도 있다. DMU 서버 (320) 는 DMU 업데이트 (요청) 에 대한 SMS 메시지 (322) 를 개시함으로써 MS (300) 에 응답한다. 메시지는 MS (300) 에 메시지 (326) 를 라우팅하는 SMSC (324) 로 전송된다. MS (300) 는 키 업데이트에 대한 암호화된 요청을 포함하는 SMS 메시지를 수신한다. 예를 들어, 요청 (326) 은 대응하는 공개 키를 갖는 리베스트 셰미르 아델만 (RSA) 개인 키로 암호화될 수도 있다. MS (300) 는 새로운 암호화 키 및 인증기호 (authenticator) 를 생성할 수도 있고, 그 새로운 암호화 키 및 인증기호를 네트워크의 공개 키로 암호화하며, 암호화된 키 및 인증기호를 갖는 메시지 (328) 를 SMSC (324) 및 DMU 서버 (320) 를 통해 H-AAA (312) 로 되전송한다. 예를 들어, MS (300) 에 대한 MIP 키 데이터는 네트워크의 공개 키로 MS (300) 에 의해 암호화될 수도 있다. H-AAA (312) 는 대응하는 개인 키를 가져서, 암호화된 메시지를 암호해제할 수 있다. SMSC (324) 는 메시지 (330) 를 DMU 서버 (320) 에 포워딩하고, DMU 서버 (320) 는 메시지 (332) 를 H-AAA (312) 에 포워딩한다. H-AAA (312) 는 개인 키를 활용함으로써 메시지에서의 새로운 키 및/또는 인증기호를 디코딩할 수도 있다. 그 후, H-AAA (312) 는 액세스 수용된 메시지 (334) 와 함께 인증기호를 DMU 서버 (320) 에 전송할 수도 있다. DMU 서버 (320) 는 액세스 수용된 메시지 및 인증기호 (336) 를, 인증기호 (338) 를 (예를 들어, DMU 확인응답 메시지 (338) 의 일부로서) MS (300) 에 포워딩하는 SMSC (324) 에 포워딩한다. 인증기호의 수신시에, 정확한 개인 키를 갖는 엔터티만이 새로운 키 메시지 (328) 를 정확하게 암호해제할 수 있고 인증기호를 정확하게 획득하거나 추출할 수 있기 때문에, MS (300) 는 새로운 키 생성을 요청한 H-AAA (312) 가 신뢰될 수 있다는 것을 검증할 수 있다. 따라서, 업데이트된 암호화 키를 획득하기 위해 데이터 통신 채널을 사용하지 않아도, MS (300) 는 업데이트된 암호화 키가 인터넷과 통신하기 위해 V-PSDN (304) 과 통신하여 사용하는데 신뢰될 수 있고 안전하다는 것을 확신할 수 있다.
여기에 설명된 시스템 및 방법은, 방문 AAA 서버를 변경하지 않고 키 (예를 들어, MIP 키, 보안 키, 암호화 키 등) 의 업데이팅을 허용한다. 키는 MS 또는 홈 네트워크와 협력하는 MS 에 의해 생성될 수도 있고, SMS 메시징을 통해 DMU 서버에 제공될 수도 있다.
일 예에서, 인증기호는 DMU 확인응답 메시지 (338) 에 포함되고, 키가 업데이트되었음을 보장한다. 이것은, 키가 업데이트되었고, 신뢰할 수 있는 네트워크가 업데이팅하였다는 것을 MS (300) 에 나타낸다. 정확한 엔터티만이 (예를 들어, 네트워크의 개인 키를 사용하여) DMU 업데이트 메시지 (328) 로부터 키를 추출할 수 있으며, 정확한 인증기호로 응답할 수 있다.
여기에 예시된 예들은 DMU 키 업데이트를 주로 설명하지만, MS 에 의해 전송된 임의의 키 데이터가 사용될 수 있다. 예를 들어, 애플리케이션 층 키가 여기에 설명한 절차에 의해 업데이트될 수도 있다.
또한, 여기에 예시된 예들은 데이터 통신을 위한 키를 업데이트하기 위해 SMS 를 사용하여 주로 설명하지만, 다른 통신 프로토콜에 이 아이디어가 적용가능하다. 프로비저닝된 임의의 프로토콜은, 프로비저닝되지 않은 통신 프로토콜의 보안 특징을 업데이트하기 위해 사용될 수 있다.
여기에 설명된 방법은, 통신 제공자 또는 캐리어가 그것의 자체 키에 의해 보안되는 서비스 타입을 제공할 때 마다 적용될 수도 있으며, 서비스는, 이동국이 특정한 키를 승인하지 않으면 방문 네트워크에서 로밍하면서 액세스될 수 없으며, 이동국에는 홈 네트워크에 의해 키가 프로비저닝되지 않는다. 일부 구현에서, 이들 방법은, 이동국이 그것의 홈 네트워크 (예를 들어, GSM 네트워크) 내에 있을 때가 아닌 외부 네트워크 (예를 들어, CDMA 네트워크) 로 로밍할 때만 적용될 수도 있다.
인증 크리덴셜없는 데이터 로밍 IMSI 체크의 예
도 4 는, 데이터 서비스에 대해 통상적으로 필요한 필수 키가 이동국에 프로비저닝되지 않을 수도 있는 방문 네트워크에서 이동국에 데이터 서비스를 프로비저닝하기 위한 대안의 접근방식을 예시하는 도면이다. 이러한 접근방식의 초기 단계는 도 3 의 초기 단계와 유사하다. 이러한 접근방식에서, 이동국 (400) 은MN-AAA 및/또는 모바일 네트워크 홈 에이전트 (MN-HA) 인증에 대해 활용된 바와 같은 MIP 인증 크리덴셜을 갖지 않을 수도 있다. 이동국 (400) 에 대한 국제 모바일 가입자 아이덴티티 (IMSI) 또는 모바일 식별 번호 (MIM) (또는 등가물) 는 암호화 키를 확립하지 않고 이동국에 대한 액세스를 승인하기 위해 홈 네트워크에 의해 활용될 수도 있다. 네트워크에 대한 액세스가 승인된 액세스이면, 암호화 키는 DMU 서버와 이동국 사이에 확립될 수도 있다.
도 3 에서와 같이, 이동국 (MS; 400) 은 방문 네트워크에 있으면서 데이터 통신의 개시를 시도한다. 이 시도는 도 1 에 관하여 상술한 바와 같이, V-PDSN (404) 에 대한 PPP+MIP RRQ 메시지 (402) 일 수도 있다. V-PDSN (404) 은 MN-AAA AUTH REQ (406) 를 V-AAA (408) 로 통신한다. V-AAA (408) 는 MN-AAA AUTH REQ (410) 를 H-AAA (412) 로 통신한다. 이러한 MN-AAA AUTH REQ (410) 는 블랭크 패킷 데이터 인증 크리덴셜 (예를 들어, 디폴트 크리덴셜 또는 무효 크리덴셜) 을 포함할 수도 있다. MN-AAA AUTH REQ (410) 는 또한, 이동국 (400) 에 대한 국제 모바일 가입자 아이덴티티 (IMSI) 또는 모바일 식별 번호 (MIN) 를 포함할 수도 있다. IMSI 또는 MIN 은 원래는, 예를 들어, MS (400) 로부터의 공중링크 레코드로부터 획득될 수도 있다. 추가적으로, MN-AAA AUTH REQ (410) 는 또한 방문 네트워크에 대한 캐리어-ID 를 포함할 수도 있다.
먼저, 인증 요청 (410) 의 수신시에, H-AAA (412) 는 암호화 키에 기초하여 MS (400) 의 통상의 인증을 수행하려고 시도할 수도 있다 (414). MS (400) 가 이러한 키를 DMU 서버 (420) 로부터 아직 획득하지 못하였기 때문에, 이러한 통상의 인증은 실패할 것이다. 그러나, H-AAA (412) 는, MS (400) 가 MS (400) 의 IMSI/MIN 및/또는 현재의 로밍 상태 (416) 에 기초하여 인증될 수도 있는 대안의 인증 절차를 수행하도록 또한 구성될 수도 있다.
이러한 접근방식에서, H-AAA (412) 는, 요청하는 MS (400) 가 방문 네트워크에서 로밍한다는 것을 확인하기 위해 캐리어-ID 를 사용한다. 이러한 요청을 수신할 때, H-AAA 는 또한 크리덴셜 리스트에서 MS (400) 를 찾고, MS (400) 가 유효 암호 키를 갖지 않는다 (예를 들어, DMU 를 아직 수행하지 않음) 는 것을 결정한다. 도 3 에서와 같이 요청을 거부하기 보다는, H-AAA (412) 는 MS (400) 가 DMU 를 지원하지 않는 방문 네트워크에 있다는 것을 요청이 나타낸다는 사실 및 IMSI 또는 MIN 에 기초하여 데이터 서비스 요청이 진행하게 할 수도 있다. 즉, H-AAA (412) 는, 요청 (410) 에서 수신된 IMSI 또는 MIN 에 기초하여 MS (400) 가 홈 네트워크의 가입자라는 것을 결정할 수도 있다. 추가로, MS (400) 가 방문 네트워크로 로밍한다는 것이 확인되기 때문에, H-AAA (412) 는 데이터 서비스 요청이 진행되거나 승인되는 것을 허용하도록 이러한 정보를 사용할 수도 있다. 따라서, H-AAA (412) 는 IMSI 또는 MIN 및 MS 가 로밍한다는 사실에 기초하여 MS (400) 를 인증한다. 이러한 인증은, MS (400) 가 정확한 인증 크리덴셜 (예를 들어, MN-AAA 패스워드 또는 MN-HA 패스워드) 을 제공하지 않더라도 발생할 수도 있다. IMSI 또는 MIN 이 (MS (400) 로부터 방문 네트워크 기지국으로의) 공중링크로부터 발생하기 때문에, 홈 위치 레지스터 (HLR) 인증이 실패한 이후 스푸핑 (spoof) 하는 것은 가능하지 않다.
이러한 대안의 인증 절차의 수행시에, H-AAA 는 액세스 승인된 메시지 (418 및 422) 를 방문 네트워크에 전송한다. 이것은 이동국 (400) 이 요청된 서비스를 승인하게 한다. 일 예에서, 이러한 액세스는 MS (400) 가 동작하고 V-PDSN (404) 을 통해 액세스하게 하는 임시 액세스일 수도 있다. 그러나, MS (400) 가 홈 네트워크내에서 운용하면, DMU 서버 (420) 와의 암호화 키를 여전히 확립해야 한다.
예시적인 이동국
도 5 는, 방문 네트워크에서 로밍할 때 대안의 방법에 따라 암호화 키(들)를 업데이트하도록 구성될 수도 있는 이동국 (500) 의 예를 예시하는 블록도이다. 이동국 (500) 은 무선 통신을 공중을 통해 송신 및 수신하는 안테나 (502) 를 포함할 수도 있다. 무선 네트워크 인터페이스 (504) (예를 들어, 무선 주파수 (RF) 프런트 엔드) 는 RF 신호상의 디지털 신호를 변조하는 변조기 및 수신된 RF 신호를 디지털 신호로 복조하는 복조기를 포함할 수도 있다. 네트워크 인터페이스 (504) 는 프로세서 (506) 에 커플링될 수도 있다. 프로세서 (506) 는 적어도 2개의 통신 모듈, 즉, 무선 데이터 통신 모듈 (520), 음성 통신 모듈 (524), 및/또는 SMS 모듈 (522) 과 같은 하위 대역폭 통신 모듈을 포함할 수도 있다. 통신 모듈은 도 1 내지 도 4 에 관하여 상술한 SMS 및 데이터 통신 기능을 수행하도록 구성될 수도 있다. 예를 들어, 무선 데이터 모듈 (520) 은 상술한 데이터 서비스에 대한 요청을 개시할 수도 있다. 또한, SMS 모듈 (522) 은 홈 네트워크 DMU 서버 (120) 에 의해 전송된 SMS DMU 업데이트 요청을 수신할 수도 있고, SMS 를 통해 DMU 업데이트 메시지로 응답한다.
프로세서 (506) 는 또한, 보안 모듈 (516) 을 포함할 수도 있다. 보안 모듈 (516) 은 이동국 (500) 과 다른 엔터티 사이의 통신을 보안하도록 구성될 수도 있다. 보안 모듈 (516) 은 필요에 따라 암호화 키를 업데이트하고, 다른 엔터티를 인증하며, 다른 관련 작업을 수행하는 것에 부가하여, 이동국 (500) 에 대한 메시지를 암호화할 수도 있다. 보안 모듈 (516) 은 키 생성기 모듈 (518) 을 포함할 수도 있다. 키 생성기 모듈 (518) 은 필요에 따라 새로운 암호화 또는 보안 키를 생성할 수도 있다. 예를 들어, 키 생성기 모듈 (518) 은 도 1 에 관하여 상술한, DMU 서버 (120) 에 의해 요청된 새로운 키를 생성할 수도 있다. 이동국 (500) 은 또한, 이동국 (500) 에 대한 데이터 및 명령들을 저장하는 저장 디바이스 (508) 를 포함할 수도 있다. 예를 들어, 다른 엔터티와의 통신의 컨텐츠는 저장 디바이스 (508) 에 저장될 수도 있다. 예를 들어, SMS 에 의해 수신된 DMU 업데이트 요청은 저장 디바이스 (508) 에 저장될 수도 있다. 이동국 (500) 은 또한, 오디오, 비디오 및 텍스트와 같은 출력을 디스플레이 또는 플레이하며, 사용자로부터의 입력을 수신하기 위한 사용자 인터페이스 (510) 를 포함할 수도 있다. 사용자 인터페이스 (510) 는 비디오, 이미지 및 텍스트를 사용자에게 디스플레이하기 위한 디스플레이 (512) 를 포함할 수도 있다. 사용자 인터페이스 (510) 는 사용자로부터의 입력을 수신하기 위한 키패드 (514) 를 포함할 수도 있다. 스피커, 마이크로폰과 같은 다른 사용자 인터페이스 디바이스가 도시되지는 않았지만, 이동국 (500) 에 포함될 수도 있다.
방문 네트워크에 있으면서 데이터 서비스의 확립을 추구할 때, 이동국 (500) 은 그의 홈 네트워크와의 인증에 대한 필수 키를 아직 획득하지 못하였을 수도 있다. 따라서, 이동국 (500) 은, 서비스에 대해 홈 네트워크에 의해 이전에 인증되지 않고 방문 네트워크를 로밍하면서 데이터 서비스를 획득하게 하는 하나 이상의 대안의 방법을 수행하도록 구성될 수도 있다.
도 6 은, 방문 네트워크에서 로밍하면서 홈 네트워크와 암호화 키를 확립하기 위해 무선 이동국상에서 운용하는 방법을 예시한다. 이러한 방법에서, 이동국이 원하는 서비스를 위한 필수 암호화 또는 보안 키를 획득 또는 확립하지 못하였을 수도 있다고 가정한다. 이러한 방법은 방문 네트워크로 로밍한 도 5 에 예시된 이동국 (500) 과 같은 이동국상에서 동작할 수도 있다. 방문 네트워크는 이동국과 키를 확립하기 위해 홈 네트워크에 의해 활용된 통상의 키 프로비저닝 프로세스를 지원하지 않을 수도 있다.
방문 네트워크에서 로밍하는 동안, 이동국은 홈 네트워크로부터의 인증을 요구하는 데이터 서비스를 확립하기 위해 방문 네트워크 노드로 서비스 요청을 전송할 수도 있다 (602). 서비스 요청은 점 대 점 프로토콜 (PPP) 을 통해 전송된 MIP 등록 요청을 포함할 수도 있다.
이에 응답하여, 요청이 데이터 서비스를 위한 암호 키에 대해 텍스트 메시징 채널상에서 수신될 수도 있으며, 여기서, 요청은 홈 네트워크에 의해 개시된다 (604). 수신된 요청은 동적 모바일 IP 키 업데이트 요청일 수도 있다. 이러한 접근방식에서, 이동국은 암호화 키 요청이라는 것을 나타내는 메시지 타입 또는 코드를 갖는 메시지에 대한 텍스트 메시징 채널을 모니터링하도록 구성될 수도 있다. 이러한 메시지가 텍스트 메시징 채널을 통해 수신될 수도 있다는 것을 알면, 이동국은 이러한 채널을 모니터링할 수도 있다.
그 후, 이동국은 텍스트 메시징 채널상의 데이터 서비스를 위한 암호화 키를 생성하여 전송할 수도 있다 (606). 암호화 키는 예를 들어, 모바일 인터넷 프로토콜 (MIP) 키를 포함할 수도 있거나 그에 기초한다. 암호화 키는 텍스트 메시징 채널을 통해 암호화 키를 갖는 인증 메시지의 일부로서 전송될 수도 있다. 예를 들어, 암호화 키는 동적 모바일 IP 키 업데이트 응답의 일부로서 전송될 수도 있다.
이에 응답하여, 키 생성 프로세스가 완료되었다는 것을 확인하는 확인응답이 이동국에 의해 수신될 수도 있다 (608). 그 후, 이동국은 암호화 키를 사용하여 데이터 서비스 세션의 확립을 다시 시도할 수도 있다 (610).
데이터 서비스는 텍스트 메시징 채널과는 다른 제 1 채널을 통해 수행될 수도 있다. 제 1 채널은 텍스트 메시징 채널 보다 높은 데이터 레이트를 가질 수도 있다.
도 7 은 방문 네트워크에서 로밍하면서 홈 네트워크와 암호화 키를 확립하기 위해 무선 이동국상에서 운용하는 다른 방법을 예시한다. 이러한 방법에서, 이동국은 그의 암호화 키(들)를 먼저 확립하지 않고, 크리덴셜 및 로밍 상태에 기초하여 홈 네트워크에 의해 "인증"된다. 방문 네트워크에서 로밍하면서, 이동국은 홈 네트워크로부터의 인증을 요구하는 데이터 서비스를 확립하기 위해 방문 네트워크 노드로 서비스 요청을 전송할 수도 있다 (702). 요청은, 무선 이동국이 사실은 홈 네트워크의 오퍼레이터의 가입자라는 것을 홈 네트워크가 검증하게 하는 IMSI 또는 MIN 과 같은 무선 이동국에 대한 고유 식별자 또는 크리덴셜을 포함할 수도 있다. 추가로, 요청 (또는 방문 네트워크에 의해 포워딩된 메시지) 은 또한, 무선 이동국이 사실은 로밍하고/하거나 통상의 키 업데이트 프로토콜을 지원하지 않는 방문 네트워크에 있다는 것을 홈 네트워크가 검증하게 하는 방문 네트워크의 식별자를 포함할 수도 있다.
이에 응답하여, 무선 이동국이 요청된 서비스에 대하여 홈 네트워크와 암호화 키 확립에 실패함에도 불구하고, 네트워크 액세스가 홈 네트워크에 의해 승인되었다는 것을 나타내는 메시지가 수신될 수도 있다 (704). 홈 네트워크는 이동국을 적법한 가입자로서 식별하는 것과 이동국이 다른 네트워크에서 로밍한다는 것을 확인하는 것에 기초하여 이러한 액세스를 확인하거나 승인할 수도 있다. 이러한 응답 메시지는 방문 네트워크를 통해 통신하기 위해 이동국에 대한 액세스를 승인할 수도 있다. 따라서, 이동국은 인증된 암호화 키를 사용하지 않고 데이터 서비스 세션을 확립할 수도 있다 (706). 그러나, 일 예에서, 승인된 네트워크 액세스는, 이동국이 홈 네트워크와의 암호화 키를 아직 확립하지 못하였기 때문에, 방문 네트워크에 대해 제한되거나 임시적일 수도 있다. 따라서, 이동국이 홈 네트워크내에서 다시 동작할 때, 데이터 서비스를 위한 암호화 키를 확립할 필요가 있다.
예시적인 홈 네트워크 AAA 서버
도 8 은 홈 네트워크 AAA 서버 (800) 의 일 예를 예시하는 블록도이다. H-AAA 서버 (800) 는 DMU 서버와 같은 홈 네트워크에서의 다른 서버 및 방문 네트워크와 같은 다른 네트워크와 통신하기 위한 네트워크 인터페이스 (804) 를 포함할 수도 있다. 네트워크 인터페이스 (804) 는 키 상태 체크 모듈 (820), 키 업데이트 요청 모듈 (822) 및 액세스 거부 모듈 (824) 을 포함할 수도 있는 프로세서 (806) 에 커플링될 수도 있다. 키 상태 체크 모듈 (820) 은, (홈 네트워크의 가입자인) 이동국이 로밍하는 방문 또는 외부 네트워크로부터 데이터 서비스 인증에 대한 요청을 수신할 수도 있다. 서버 (800) 는, 요청하는 이동국이 유효 암호화 키를 갖는지를 체크할 수도 있다. 데이터 서비스 인증에 대한 요청은, 예를 들어, 전자적 시리얼 번호 (ESN), IMSI, 및/또는 MIN 과 같은 요청하는 이동국의 식별을 포함할 수도 있다.
H-AAA 서버 (800) 는 또한, 크리덴셜 리스트 (830) 가 저장될 수도 있는 저장 디바이스 (808) 를 포함할 수도 있다. 크리덴셜 리스트 (830) 는 홈 네트워크의 사용자 또는 가입에 대한 크리덴셜을 저장할 수도 있다. 이러한 크리덴셜 리스트 (830) 는 무엇보다도, 가입자에 대한 키 상태 (828) 를 포함할 수도 있다. 일 예에서, 키 상태 (828) 는 MIP 키 상태일 수도 있다. MIP 키 상태는, 각 이동국이 현재 또는 유효 암호화 키를 갖는지를 나타낼 수도 있다. 이러한 암호 키는 특정한 타입의 서비스와 관련될 수도 있어서, 상이한 서비스가 상이한 키를 가질 수도 있다. 키 상태 체크 모듈 (820) 은, 요청하는 이동국이 요청된 서비스를 위한 유효 암호화 키를 갖는지를 결정하기 위해 크리덴셜 리스트 (838) 에서 요청하는 이동국에 대한 키 상태를 탐색하고/하거나 찾을 수도 있다. 이동국이 원하는 서비스를 위한 유효 암호화 키를 갖지 않는다는 것을 요청하는 이동국에 대한 MIP 키 상태 (828) 가 나타내면, 키 상태 체크 모듈 (820) 은 키 프로비저닝 프로세스를 트리거할 수도 있다.
도 8 에 예시된 제 1 접근방식에서, H-AAA 서버 (800) 는 텍스트 메시징 채널이 요청하는 이동국과 이러한 암호화 키를 확립하기 위해 활용되는 프로세스를 개시할 수도 있다. 이러한 텍스트 메시징 채널은 요청된 서비스에 대한 채널과는 다를 수도 있다. 요청하는 이동국이 유효 암호화 키를 갖지 않는다는 것을 발견하였을 때, 액세스 거부 모듈 (824) 은 네트워크 인터페이스 (804) 를 통해 방문 네트워크에 전송될 수도 있는 액세스 거부 메시지를 생성할 수도 있다. 추가로, 키 업데이트 요청 모듈 (822) 은 암호화 키를 획득하기 위해 (텍스트 메시징 채널을 통해) 요청하는 이동국으로 키 업데이트 요청을 개시 및/또는 전송하도록 구성될 수도 있다.
도 9 에 예시된 제 2 접근 방식에서, H-AAA 서버 (800) 는 이동국을 인증하기 위해 요청하는 이동국의 로밍 상태와 함께 요청하는 이동국에 대한 검증가능한 식별자 (예를 들어, IMSI, MIN 등) 와 같은 다른 정보를 사용할 수도 있다. 즉, (제 1 접근방식에서와 같이) 암호화 키를 획득하기 위해 프로세스를 개시하지 않음에도 불구하고, 이동국 식별자 (IMSI/MIN) 가 유효 가입자에 대한 것이고, 이동국이 유효 암호화 키를 이전에 획득하지 못하였으며, 이동국이 방문 네트워크에서 로밍하고 있다는 것을 검증할 수 있는 경우에, H-AAA 서버 (800) 는 액세스 승인된 메시지로 응답할 수도 있다.
도 9 는 방문 네트워크에서 로밍하는 무선 이동국에 대한 통신 서비스를 인증하기 위해 홈 네트워크에서 운용하는 방법을 예시한다. 이러한 방법은 홈 네트워크의 하나 이상의 서버 또는 노드 (예를 들어, H-AAA, DMU 서버, H-SMSC 등) 에서 운용할 수도 있다.
암호화 키를 요구하는 데이터 서비스를 확립하기 위해 이동국에 대한 서비스 요청이 방문 네트워크로부터 수신될 수도 있다 (902). 서비스 요청은, 점 대 점 프로토콜 (PPP) 모바일 인터넷 프로토콜 (MIP) 등록 요청 (RRQ) 메시지를 포함할 수도 있다.
홈 네트워크는, 이동국에 대한 암호화 키가 홈 네트워크에서 이용불가능하다는 것을 결정할 수도 있다 (904). 따라서, 홈 네트워크는 업데이트 요청을 이동국에 전송함으로써 키 프로비저닝 프로세스를 개시할 수도 있다. 이것은, 암호화 키를 업데이트하기 위해 텍스트 메시징 채널을 사용하여 업데이트 요청을 이동국에 전송하는 것을 수반할 수도 있다 (906). 예를 들어, SMS 채널이 암호화 키의 인증에 대한 필요성 없이 프로비저닝될 수도 있기 때문에, SMS 메시지가 활용될 수도 있다. 업데이트 요청은 동적 모바일 IP 키 업데이트 요청일 수도 있다. 이에 응답하여, 홈 네트워크는 텍스트 메시징 채널을 통해 이동국으로부터 데이터 서비스를 위한 암호화 키를 수신할 수도 있다 (908). 일 예에서, 암호화 키는 모바일 인터넷 프로토콜 (MIP) 키를 포함할 수도 있거나 그에 기초할 수도 있다. 암호화 키는 동적 모바일 IP 키 업데이트 응답의 일부로서 수신될 수도 있다. 그 후에, 홈 네트워크는 업데이트 요청을 확인응답하는 텍스트 메시징 채널을 통해 메시지를 이동국으로 전송할 수도 있다 (910).
그 후에, 홈 네트워크는 암호화 키를 요구하는 데이터 서비스를 확립하기 위해 방문 네트워크로부터 이동국에 대한 제 2 서비스 요청을 수신할 수도 있다 (912). 이제, 홈 네트워크는, 이동국에 대한 암호화 키가 홈 네트워크에서 이용가능하다는 것을 결정할 수 있다 (914). 따라서, 홈 네트워크는 이동국에 대한 서비스 요청을 승인할 수도 있다 (916).
서비스 요청은 제 1 채널상에서 수신될 수도 있지만, 업데이트 요청은 제 1 채널과는 다른 제 2 채널 (즉, 텍스트 메시징 채널) 상에서 전송된다. 일부 구현에서, 데이터 서비스는 텍스트 메시징 채널과는 다른 데이터 채널을 통해 수행될 수도 있다. 데이터 채널은 텍스트 메시징 채널 보다 높은 데이터 레이트를 가질 수도 있다.
도 10 은, 방문 네트워크에서 로밍하는 무선 이동국에 대한 통신 서비스를 인증하기 위해 홈 네트워크에서 운용하는 방법을 예시한다. 도 9 에서와 같이, 대안의 인증 프로세스를 개시하기 보다는, 그 대신에 홈 네트워크는 요청된 서비스를 위한 인증을 수행하기 위해 다른 정보를 활용할 수도 있다. 암호화 키를 요구하는 (방문 네트워크상의) 데이터 서비스를 확립하기 위해 이동국에 대한 서비스 요청이 방문 네트워크로부터 수신될 수도 있다 (1002). 수신된 서비스 요청은 방문 네트워크에 대한 네트워크 식별자 및 이동국에 대한 고유 노드 식별자 또는 크리덴셜을 포함할 수도 있다. 홈 네트워크는, 이동국에 대한 암호화 키가 홈 네트워크에서 이용불가능하다는 것을 결정할 수도 있다 (1004). 추가로, 홈 네트워크는, 고유 노드 식별자 또는 크리덴셜을 사용함으로써, 요청하는 이동국이 홈 네트워크의 가입자인지를 검증할 수도 있다. 예를 들어, 이동국에 대한 고유 노드 식별자 또는 크리덴셜 (예를 들어, IMSI 또는 MIN) 은 서비스 요청의 일부로서 수신될 수도 있다. 이러한 고유 노드 식별자 또는 크리덴셜은, 이러한 결정을 행하기 위해 홈 네트워크에 대한 알려진 가입자의 리스트에 대해 비교될 수도 있다. 홈 네트워크는, 요청하는 이동국이 방문 네트워크에서 로밍하는지를 더 확인할 수도 있다 (1008). 이동국과 관련된 유효 암호화 키가 발견되지 않지만, 요청하는 로밍 이동국이 홈 네트워크의 가입자이면, 액세스 승인된 메시지가 홈 네트워크에 의해 방문 네트워크로 전송될 수도 있다 (1010).
이동국에 대한 액세스를 승인하는 것은, 이동국이 제한 또는 비제한 시간량 동안 방문 네트워크상의 서비스에 (제한 또는 비제한) 액세스한다는 것을 의미할 수도 있다. 일 구현에 따르면, 이동국이 홈 네트워크 (또는 DMU 를 지원하는 다른 네트워크) 내에서 다시 동작하면, 홈 네트워크와 암호화 키(들)를 확립해야 한다.
예시적인 홈 네트워크 DMU 서버
도 11 은, 도 1 에 관하여 도시하고 설명한 DMU 서버 (120) 와 같은 DMU 서버 (1100) 의 블록도이다. DMU 서버 (1100) 는 H-AAA (114) 및 SMSC (122) 와 통신하기 위한 네트워크 인터페이스 (1104) 를 갖는다. 네트워크 인터페이스 (1104) 는, DMU 요청 모듈 (1120) 및 텍스트 메시징 인터페이스 모듈 (1122) (예를 들어, SMSC 모듈) 을 포함하는 프로세서 (1106) 에 접속된다. DMU 서버 (1100) 는 방문 네트워크에서 이동국에 대한 키 업데이트 요청을 수신하도록 구성될 수도 있다. 이에 응답하여, DMU 서버 (1100) 는 이동국으로 전송될 DMU 요청을 생성할 수도 있다. DMU 요청 모듈 (1120) 에 의해 생성된 요청은, 홈 네트워크에 대한 SMS 센터로 전송될 SMS 메시지에서 요청을 패키징하는 텍스트 메시징 인터페이스 모듈 (1122) 로 전송될 수도 있다. 이에 응답하여, DMU 서버 (1100) 는 이동국으로부터 암호화 키를 갖는 DMU 업데이트 메시지를 수신할 수도 있다. 그 후, DMU 는, 이동국이 이제 유효 암호화 키를 갖는다는 것을 반영하기 위해 크리덴셜을 업데이트할 수도 있다. 일 예에서, 암호화 키는 MIP 키일 수도 있거나 MIP 키에 기초할 수도 있다.
도 12 는, 텍스트 메시징 채널을 사용함으로써 방문 네트워크에서 로밍하는 무선 이동국과 키 업데이트를 개시하기 위해 DMU 서버에서 운용하는 방법을 예시한다. 이러한 방법은, 방문 네트워크가 DMU 를 직접적으로 사용하여 원하는 서비스에 대한 키의 업데이팅을 지원하지 않는다고 가정할 수도 있다. 따라서, DMU 업데이팅이 대신에 텍스트 메시징 채널을 통해 수행될 수도 있는 대안의 접근방식이 활용될 수도 있다. 방문 네트워크에서 이동국에 대한 키 업데이트 요청은 DMU 서버에 의해 수신될 수도 있다 (1202). 그 후, DMU 서버는 이동국에 대한 DMU 요청을 생성할 수도 있다 (1204). DMU 요청은 텍스트 메시징 모듈로 전송될 수도 있어서, 텍스트 메시징 채널을 통해 이동국으로 전송될 수 있다 (1206). 이에 응답하여, DMU 서버는 이동국으로부터 암호화 키를 포함하는 텍스트 메시지를 수신할 수도 있다 (1208). DMU 서버는, 이동국이 유효 암호화 키를 갖는다는 것을 반영하기 위해 크리덴셜 리스트에 암호화 키를 저장할 수도 있다 (1210).
일반적으로, 본 개시물에 설명한 대부분의 프로세싱이 유사한 방식으로 구현될 수도 있다는 것을 인식해야 한다. 임의의 회로(들) 또는 회로 섹션이 단독으로 또는 하나 이상의 프로세서와 집적 회로의 일부로서 조합하여 구현될 수도 있다. 회로들 중 하나 이상은, 집적 회로, 어드밴스드 RISC 머신 (ARM) 프로세서, 디지털 신호 프로세서 (DSP), 범용 프로세서 등 상에서 구현될 수도 있다.
또한, 실시형태들은 플루우차트, 흐름도, 구조도, 또는 블록도로서 도시되는 프로세스로서 설명될 수도 있다. 플루우차트가 동작들을 순차적 프로세스로서 설명할 수도 있지만, 대부분의 동작은 병렬로 또는 동시에 수행될 수 있다. 또한, 동작의 순서는 재배열될 수도 있다. 프로세스는, 그것의 동작이 완료될 때 종료된다. 프로세스는 방법, 함수, 절차, 서브루틴, 서브프로그램 등에 대응할 수도 있다. 프로세스가 함수에 대응할 때, 그것의 종료는 호출 함수 또는 메인 함수로의 함수의 리턴에 대응한다.
본 출원에 사용되는 바와 같이, 용어 "컴포넌트", "모듈", "시스템" 등은, 컴퓨터-관련 엔터티, 하드웨어, 펌웨어, 하드웨어와 소프트웨어의 조합, 소프트웨어, 또는 실행중의 소프트웨어를 칭하는 것으로 의도된다. 예를 들어, 컴포넌트는, 프로세서상에서 구동하는 프로세스, 프로세서, 오브젝트, 실행가능, 실행의 스레드, 프로그램 및/또는 컴퓨터일 수도 있지만, 이에 제한되지는 않는다. 예시로서, 컴퓨팅 디바이스상에서 구동하는 애플리케이션 및 컴퓨팅 디바이스 양자는 컴포넌트일 수 있다. 하나 이상의 컴포넌트가 프로세스 및/또는 실행의 스레드내에 상주할 수 있으며, 컴포넌트는 하나의 컴퓨터상에 로컬화될 수도 있고/있거나 2개 이상의 컴퓨터 사이에 분산될 수도 있다. 또한, 이들 컴포넌트는 다양한 데이터 구조가 저장된 다양한 컴퓨터 판독가능한 매체로부터 실행할 수 있다. 컴포넌트는 하나 이상의 데이터 패킷 (예를 들어, 로컬 시스템, 분산 시스템에서 다른 컴포넌트 및/또는 인터넷과 같은 네트워크에 걸쳐 신호를 통해 다른 시스템과 상호작용하는 하나의 컴포넌트로부터의 데이터) 을 갖는 신호에 따르는 것과 같이 로컬 및/또는 원격 프로세스를 통해 통신할 수도 있다.
또한, 저장 매체는 데이터를 저장하는 하나 이상의 디바이스를 나타낼 수도 있으며, 판독-전용 메모리 (ROM), 랜덤 액세스 메모리 (RAM), 자기 디스크 저장 매체, 광학 저장 매체, 플래시 메모리 디바이스 및/또는 정보를 저장하기 위한 다른 머신 판독가능한 매체를 포함한다. 용어 "머신 판독가능한 매체" 는, 휴대 또는 고정 저장 디바이스, 광학 저장 디바이스, 무선 채널 및 명령(들) 및/또는 데이터를 저장, 수용 또는 반송할 수 있는 다양한 다른 매체를 포함하지만 이에 제한되지는 않는다.
또한, 실시형태들은 하드웨어, 소프트웨어, 펌웨어, 미들웨어, 마이크로코드, 또는 이들의 임의의 조합에 의해 구현될 수도 있다. 소프트웨어, 펌웨어, 미들웨어 또는 마이크로코드에서 구현될 때, 필요한 작업을 수행하기 위한 프로그램 코드 또는 코드 세그먼트는 저장 매체 또는 다른 저장부(들)와 같은 머신-판독가능한 매체에 저장될 수도 있다. 프로세서가 필요한 작업을 수행할 수도 있다. 코드 세그먼트는, 절차, 함수, 서브프로그램, 프로그램, 루틴, 서브루틴, 모듈, 소프트웨어 패키지, 클래스, 또는 명령들, 데이터 구조들, 또는 프로그램 스테이트먼트들의 임의의 조합을 나타낼 수도 있다. 코드 세그먼트는 정보, 데이터, 독립변수, 파라미터, 또는 메모리 컨텐츠를 패싱하고/하거나 수신함으로써 다른 코드 세그먼트 또는 하드웨어 회로에 커플링될 수도 있다. 정보, 독립변수, 파라미터, 데이터 등은, 메모리 공유, 메시지 패싱, 토큰 패싱, 네트워크 송신 등을 포함하는 임의의 적합한 수단을 통해 패싱, 포워딩, 또는 송신될 수도 있다.
도면에 예시된 컴포넌트들, 단계들 및/또는 함수들 중 하나 이상은, 의사 난수 생성의 동작에 영향을 미치지 않고, 단일 컴포넌트, 단계, 또는 함수로 재배열 및/또는 조합될 수도 있거나, 여러 컴포넌트들, 단계들, 또는 함수들에 임베디드될 수도 있다. 추가의 엘리먼트들, 컴포넌트들, 단계들, 및/또는 함수들이 본 발명으로부터 벗어나지 않고 또한 추가될 수도 있다. 도면에 예시된 장치들, 디바이스들, 및/또는 컴포넌트들은, 도면에 설명된 방법들, 특징들, 또는 단계들 중 하나 이상을 수행하도록 구성될 수도 있다. 여기에 설명하는 신규한 알고리즘은 소프트웨어 및/또는 임베디드 하드웨어에서 효율적으로 구현될 수도 있다.
당업자는, 여기에 개시된 실시형태들과 관련하여 설명한 다양한 예시적인 논리 블록, 모듈, 회로, 및 알고리즘 단계가 전자 하드웨어, 컴퓨터 소프트웨어, 또는 양자의 조합으로서 구현될 수도 있다는 것을 더 이해할 것이다. 하드웨어와 소프트웨어의 이러한 상호교환성을 명확하게 예시하기 위해, 다양한 예시적인 컴포넌트, 블록, 모듈, 회로, 및 단계를 그들의 기능성과 관련하여 일반적으로 상술하였다. 이러한 기능성이 하드웨어 또는 소프트웨어로서 구현될지는, 전체 시스템에 부과된 설계 제약 및 특정한 애플리케이션에 의존한다.
여기에 설명한 본 발명의 다양한 특징은, 본 발명으로부터 벗어나지 않고 상이한 시스템에서 구현될 수 있다. 예를 들어, 본 발명의 일부 구현은 이동 또는 정지 이동국 (예를 들어, 액세스 단말기) 및 복수의 이동 또는 정지 기지국 (액세스 포인트) 으로 수행될 수도 있다.
상술한 실시형태들은 단지 예들이며, 본 발명을 제한하는 것으로서 해석되지 않는다. 실시형태들의 설명은 예시적인 것으로 의도되고, 청구항의 범위를 제한하지 않는다. 이와 같이, 본 교시는 다른 타입의 장치에 쉽게 적용될 수 있으며, 다수의 대안물, 변형물 및 변경물이 당업자에게는 명백할 것이다.

Claims (38)

  1. 방문 네트워크 (visited network) 로부터 서비스를 획득하기 위해 무선 이동국상에서 운용하는 방법으로서,
    홈 네트워크로부터의 인증을 요구하는 데이터 서비스를 확립하기 위해 방문 네트워크 노드로 서비스 요청을 전송하는 단계;
    상기 데이터 서비스를 위한 암호화 키에 대한 텍스트 메시징 채널상의 요청을 수신하는 단계로서, 상기 요청은 상기 홈 네트워크에 의해 개시되는, 상기 요청을 수신하는 단계; 및
    상기 데이터 서비스를 위한 상기 암호화 키를 상기 텍스트 메시징 채널상에서 전송하는 단계를 포함하는, 무선 이동국상에서 운용하는 방법.
  2. 제 1 항에 있어서,
    상기 암호화 키를 전송하는 단계에 앞서, 상기 무선 이동국상에서 상기 암호화 키를 생성하는 단계를 더 포함하는, 무선 이동국상에서 운용하는 방법.
  3. 제 2 항에 있어서,
    상기 방법은,
    상기 데이터 서비스의 상기 확립을 확인하는 확인응답을 수신하는 단계를 더 포함하고,
    상기 암호화 키를 전송하는 단계는 상기 암호화 키를 갖는 인증 메시지를 상기 텍스트 메시징 채널상에서 전송하는 단계를 포함하는, 무선 이동국상에서 운용하는 방법.
  4. 제 1 항에 있어서,
    상기 서비스 요청은, 점 대 점 프로토콜 (Point-to-Point Protocol; PPP) 모바일 인터넷 프로토콜 (Mobile internet protocol; MIP) 등록 요청 (registration request; RRQ) 메시지를 포함하는, 무선 이동국상에서 운용하는 방법.
  5. 제 1 항에 있어서,
    상기 암호화 키는 모바일 인터넷 프로토콜 (MIP) 키를 포함하는, 무선 이동국상에서 운용하는 방법.
  6. 제 1 항에 있어서,
    상기 데이터 서비스는, 상기 텍스트 메시징 채널과는 다른 제 1 채널을 통해 수행되는, 무선 이동국상에서 운용하는 방법.
  7. 제 6 항에 있어서,
    상기 제 1 채널은, 상기 텍스트 메시징 채널 보다 높은 데이터 레이트를 갖는, 무선 이동국상에서 운용하는 방법.
  8. 제 1 항에 있어서,
    상기 암호화 키는, 상기 홈 네트워크에 대한 공개 키에 의해 보안된 상기 홈 네트워크에 전송되는, 무선 이동국상에서 운용하는 방법.
  9. 제 1 항에 있어서,
    상기 수신된 요청은, 동적 모바일 IP 키 업데이트 요청인, 무선 이동국상에서 운용하는 방법.
  10. 제 1 항에 있어서,
    상기 암호화 키는, 동적 모바일 IP 키 업데이트 응답의 일부로서 전송되는, 무선 이동국상에서 운용하는 방법.
  11. 방문 네트워크로부터 서비스를 획득하도록 구성된 무선 이동국으로서,
    상기 방문 네트워크와의 통신을 위한 무선 네트워크 인터페이스; 및
    상기 무선 네트워크 인터페이스에 커플링된 프로세서를 포함하며,
    상기 프로세서는,
    홈 네트워크로부터의 인증을 요구하는 데이터 서비스를 확립하기 위해 방문 네트워크 노드로 서비스 요청을 전송하고;
    상기 데이터 서비스를 위한 암호화 키에 대한 텍스트 메시징 채널상의 요청으로서, 상기 요청은 상기 홈 네트워크에 의해 개시되는 상기 요청을 수신하며;
    상기 데이터 서비스를 위한 상기 암호화 키를 상기 텍스트 메시징 채널상에서 전송하도록 구성되는, 무선 이동국.
  12. 제 11 항에 있어서,
    상기 데이터 서비스는, 상기 텍스트 메시징 채널과는 다른 제 1 채널을 통해 수행되는, 무선 이동국.
  13. 제 12 항에 있어서,
    상기 제 1 채널은, 상기 텍스트 메시징 채널 보다 높은 데이터 레이트를 갖는, 무선 이동국.
  14. 방문 네트워크로부터 서비스를 획득하도록 구성된 무선 이동국으로서,
    홈 네트워크로부터의 인증을 요구하는 데이터 서비스를 확립하기 위해 방문 네트워크 노드로 서비스 요청을 전송하는 수단;
    상기 데이터 서비스를 위한 암호화 키에 대한 텍스트 메시징 채널상의 요청을 수신하는 수단으로서, 상기 요청은 상기 홈 네트워크에 의해 개시되는, 상기 요청을 수신하는 수단; 및
    상기 데이터 서비스를 위한 상기 암호화 키를 상기 텍스트 메시징 채널상에서 전송하는 수단을 포함하는, 무선 이동국.
  15. 방문 네트워크로부터 서비스를 획득하기 위한 명령들을 포함하는 컴퓨터-판독가능한 매체로서,
    상기 명령들은, 무선 이동국의 프로세서에 의해 실행될 때, 상기 프로세서로 하여금,
    홈 네트워크로부터의 인증을 요구하는 데이터 서비스를 확립하기 위해 방문 네트워크 노드로 서비스 요청을 전송하게 하고;
    상기 데이터 서비스를 위한 암호화 키에 대한 텍스트 메시징 채널상의 요청으로서, 상기 요청은 상기 홈 네트워크에 의해 개시되는, 상기 요청을 수신하게 하며;
    상기 데이터 서비스를 위한 상기 암호화 키를 상기 텍스트 메시징 채널상에서 전송하게 하는, 컴퓨터-판독가능한 매체.
  16. 방문 네트워크에서 로밍하는 무선 이동국에 대한 통신 서비스들을 인증하기 위해 홈 네트워크에서 운용하는 방법으로서,
    암호화 키를 요구하는 데이터 서비스를 확립하기 위해 상기 방문 네트워크로부터 무선 이동국에 대한 서비스 요청을 수신하는 단계;
    상기 암호화 키를 업데이트하기 위해 텍스트 메시징 채널을 사용하여 상기 무선 이동국에 업데이트 요청을 전송하는 단계; 및
    상기 텍스트 메시징 채널을 통해 상기 무선 이동국으로부터 상기 데이터 서비스를 위한 상기 암호화 키를 수신하는 단계를 포함하는, 홈 네트워크에서 운용하는 방법.
  17. 제 16 항에 있어서,
    상기 서비스 요청을 수신하는 단계 이후에, 상기 무선 이동국에 대한 암호화 키가 상기 홈 네트워크에서 이용불가능하다는 것을 결정하는 단계를 더 포함하고,
    상기 업데이트 요청을 전송하는 단계는, 상기 업데이트 요청을 전송함으로써 키 프로비저닝 (provisioning) 프로세스를 개시하는 단계를 포함하는, 홈 네트워크에서 운용하는 방법.
  18. 제 16 항에 있어서,
    상기 암호화 키가 수신되면, 상기 방문 네트워크에 상기 서비스 요청을 인증하는 메시지를 전송하는 단계를 더 포함하는, 홈 네트워크에서 운용하는 방법.
  19. 제 16 항에 있어서,
    상기 서비스 요청은 제 1 채널상에서 수신되지만, 상기 업데이트 요청은 상기 제 1 채널과는 다른 상기 텍스트 메시징 채널상에서 전송되는, 홈 네트워크에서 운용하는 방법.
  20. 제 16 항에 있어서,
    상기 서비스 요청은, 점 대 점 프로토콜 (PPP) 모바일 인터넷 프로토콜 (MIP) 등록 요청 (RRQ) 메시지를 포함하는, 홈 네트워크에서 운용하는 방법.
  21. 제 16 항에 있어서,
    상기 암호화 키는 모바일 인터넷 프로토콜 (MIP) 키를 포함하는, 홈 네트워크에서 운용하는 방법.
  22. 제 16 항에 있어서,
    상기 데이터 서비스는, 상기 텍스트 메시징 채널과는 다른 제 1 채널을 통해 수행되는, 홈 네트워크에서 운용하는 방법.
  23. 제 22 항에 있어서,
    상기 제 1 채널은 상기 텍스트 메시징 채널 보다 높은 데이터 레이트를 갖는, 홈 네트워크에서 운용하는 방법.
  24. 제 16 항에 있어서,
    상기 업데이트 요청은 동적 모바일 IP 키 업데이트 요청인, 홈 네트워크에서 운용하는 방법.
  25. 제 16 항에 있어서,
    상기 암호화 키는, 동적 모바일 IP 키 업데이트 응답의 일부로서 수신되는, 홈 네트워크에서 운용하는 방법.
  26. 방문 네트워크에서 로밍하는 무선 이동국에 대한 통신 서비스들을 인증하는 홈 네트워크 노드로서,
    상기 방문 네트워크와의 통신을 위한 무선 네트워크 인터페이스; 및
    상기 무선 네트워크 인터페이스에 커플링된 프로세서를 포함하며,
    상기 프로세서는,
    암호화 키를 요구하는 데이터 서비스를 확립하기 위해 상기 방문 네트워크로부터 상기 무선 이동국에 대한 서비스 요청을 수신하고,
    상기 암호화 키를 업데이트하기 위해 텍스트 메시징 채널을 사용하여 상기 무선 이동국에 업데이트 요청을 전송하며,
    상기 텍스트 메시징 채널을 통해 상기 무선 이동국으로부터 상기 데이터 서비스를 위한 상기 암호화 키를 수신하도록 구성되는, 홈 네트워크 노드.
  27. 제 26 항에 있어서,
    상기 프로세서는 또한,
    상기 무선 이동국에 대한 암호화 키가 홈 네트워크에서 이용불가능하다는 것을 결정하며,
    상기 업데이트 요청을 전송함으로써 키 프로비저닝 프로세스를 개시하도록 구성되는, 홈 네트워크 노드.
  28. 제 26 항에 있어서,
    상기 프로세서는 또한, 상기 암호화 키가 수신되면, 상기 방문 네트워크에 상기 서비스 요청을 인증하는 메시지를 전송하도록 구성되는, 홈 네트워크 노드.
  29. 제 26 항에 있어서,
    상기 서비스 요청은 제 1 채널상에서 수신되지만, 상기 업데이트 요청은 상기 제 1 채널과는 다른 상기 텍스트 메시징 채널상에서 전송되는, 홈 네트워크 노드.
  30. 방문 네트워크에서 로밍하는 무선 이동국에 대한 통신 서비스들을 인증하는 홈 네트워크 노드로서,
    암호화 키를 요구하는 데이터 서비스를 확립하기 위해 상기 방문 네트워크로부터 상기 무선 이동국에 대한 서비스 요청을 수신하는 수단;
    상기 암호화 키를 업데이트하기 위해 텍스트 메시징 채널을 사용하여 상기 무선 이동국에 업데이트 요청을 전송하는 수단; 및
    상기 텍스트 메시징 채널을 통해 상기 무선 이동국으로부터 상기 데이터 서비스를 위한 상기 암호화 키를 수신하는 수단을 포함하는, 홈 네트워크 노드.
  31. 방문 네트워크에서 로밍하는 무선 이동국에 대한 통신 서비스들을 인증하기 위한 명령들을 포함하는 컴퓨터-판독가능한 매체로서,
    상기 명령들은, 홈 네트워크의 프로세서에 의해 실행될 때, 상기 프로세서로 하여금,
    암호화 키를 요구하는 데이터 서비스를 확립하기 위해 상기 방문 네트워크로부터 상기 무선 이동국에 대한 서비스 요청을 수신하게 하고;
    상기 암호화 키를 업데이트하기 위해 텍스트 메시징 채널을 사용하여 상기 무선 이동국에 업데이트 요청을 전송하게 하며;
    상기 텍스트 메시징 채널을 통해 상기 무선 이동국으로부터 상기 데이터 서비스를 위한 상기 암호화 키를 수신하게 하는, 컴퓨터-판독가능한 매체.
  32. 방문 네트워크로부터 서비스를 획득하기 위해 무선 이동국상에서 운용하는 방법으로서,
    홈 네트워크로부터의 인증을 요구하는 데이터 서비스를 확립하기 위해 방문 네트워크 노드로 서비스 요청을 전송하는 단계; 및
    상기 무선 이동국이 요청된 서비스에 대해 상기 홈 네트워크와 암호화 키를 확립하는데 실패하여도, 상기 홈 네트워크에 의해 네트워크 액세스가 승인되었다는 것을 나타내는 메시지를 수신하는 단계를 포함하는, 무선 이동국상에서 운용하는 방법.
  33. 제 32 항에 있어서,
    상기 서비스 요청은, 상기 무선 이동국이 가입자라는 것을 상기 홈 네트워크가 검증할 수 있게 하는 상기 무선 이동국에 대한 고유 식별자를 포함하며,
    상기 서비스 요청은, 상기 무선 이동국이 로밍하고 있다는 것을 상기 홈 네트워크가 검증할 수 있게 하는 방문 네트워크 식별자를 포함하는, 무선 이동국상에서 운용하는 방법.
  34. 방문 네트워크로부터 서비스를 획득하도록 구성된 무선 이동국으로서,
    상기 방문 네트워크와의 통신을 위한 무선 네트워크 인터페이스; 및
    상기 무선 네트워크 인터페이스에 커플링된 프로세서를 포함하며,
    상기 프로세서는,
    홈 네트워크로부터의 인증을 요구하는 데이터 서비스를 확립하기 위해 방문 네트워크 노드로 서비스 요청을 전송하고,
    상기 무선 이동국이 요청된 서비스에 대해 상기 홈 네트워크와 암호화 키를 확립하는데 실패하여도, 상기 홈 네트워크에 의해 네트워크 액세스가 승인되었다는 것을 나타내는 메시지를 수신하도록 구성되는, 무선 이동국.
  35. 방문 네트워크에서 로밍하는 무선 이동국에 대한 통신 서비스들을 인증하기 위해 홈 네트워크에서 운용하는 방법으로서,
    암호화 키를 요구하는 데이터 서비스를 확립하기 위해 상기 방문 네트워크로부터 상기 무선 이동국에 대한 서비스 요청을 수신하는 단계;
    상기 무선 이동국에 대한 암호화 키가 상기 홈 네트워크에서 이용가능한지를 결정하는 단계; 및
    유효 암호화 키가 요청된 서비스에 대해 상기 홈 네트워크에서 발견되지 않지만, 상기 무선 이동국이 상기 홈 네트워크의 가입자로서 검증되고 상기 방문 네트워크에서 로밍하는 경우에, 상기 무선 이동국에 대한 네트워크 액세스를 승인하는 메시지를 상기 방문 네트워크로 전송하는 단계를 포함하는, 홈 네트워크에서 운용하는 방법.
  36. 제 35 항에 있어서,
    상기 수신된 서비스 요청은, 상기 방문 네트워크에 대한 식별자 및 상기 무선 이동국에 대한 고유 노드 식별자를 포함하고,
    상기 방법은,
    상기 결정하는 단계 이후에, 요청하는 무선 이동국이 가입자라는 것을, 상기 무선 이동국의 고유 노드 식별자를 사용하여 검증하는 단계; 및
    상기 요청하는 무선 이동국이 방문 네트워크에서 로밍한다는 것을 확인하는 단계를 더 포함하는, 홈 네트워크에서 운용하는 방법.
  37. 방문 네트워크에서 로밍하는 무선 이동국에 대한 통신 서비스를 인증하는 홈 네트워크 노드로서,
    상기 방문 네트워크와의 통신을 위한 무선 네트워크 인터페이스; 및
    상기 무선 네트워크 인터페이스에 커플링된 프로세서를 포함하고,
    상기 프로세서는,
    암호화 키를 요구하는 데이터 서비스를 확립하기 위해 상기 방문 네트워크로부터 상기 무선 이동국에 대한 서비스 요청을 수신하고;
    상기 무선 이동국에 대한 암호화 키가 상기 홈 네트워크에서 이용가능한지를 결정하며;
    유효 암호화 키가 요청된 서비스에 대해 상기 홈 네트워크에서 발견되지 않지만, 상기 무선 이동국이 상기 홈 네트워크의 가입자로서 긍정적으로 검증되고 상기 방문 네트워크에서 로밍하는 경우에, 상기 무선 이동국에 대한 네트워크 액세스를 승인하는 메시지를 상기 방문 네트워크로 전송하도록 구성되는, 홈 네트워크 노드.
  38. 제 37 항에 있어서,
    상기 수신된 서비스 요청은, 상기 방문 네트워크에 대한 식별자 및 상기 무선 이동국에 대한 고유 노드 식별자를 포함하고,
    상기 프로세서는 또한,
    요청하는 무선 이동국이 가입자라는 것을, 상기 무선 이동국의 고유 노드 식별자를 사용하여 검증하며;
    상기 요청하는 무선 이동국이 방문 네트워크에서 로밍한다는 것을 확인하도록 구성되는, 홈 네트워크 노드.
KR1020107027310A 2008-05-06 2009-05-06 방문 네트워크에서의 무선 디바이스의 인증 KR101229769B1 (ko)

Applications Claiming Priority (7)

Application Number Priority Date Filing Date Title
US5084508P 2008-05-06 2008-05-06
US5082908P 2008-05-06 2008-05-06
US61/050,845 2008-05-06
US61/050,829 2008-05-06
US12/436,090 US20090282251A1 (en) 2008-05-06 2009-05-05 Authenticating a wireless device in a visited network
US12/436,090 2009-05-05
PCT/US2009/043045 WO2009137625A2 (en) 2008-05-06 2009-05-06 Authenticating a wireless device in a visited network

Publications (2)

Publication Number Publication Date
KR20110015596A KR20110015596A (ko) 2011-02-16
KR101229769B1 true KR101229769B1 (ko) 2013-02-06

Family

ID=41265389

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020107027310A KR101229769B1 (ko) 2008-05-06 2009-05-06 방문 네트워크에서의 무선 디바이스의 인증

Country Status (7)

Country Link
US (1) US20090282251A1 (ko)
EP (2) EP2372972B1 (ko)
JP (1) JP5237440B2 (ko)
KR (1) KR101229769B1 (ko)
CN (2) CN103354640B (ko)
TW (1) TW200952424A (ko)
WO (1) WO2009137625A2 (ko)

Families Citing this family (42)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8892646B2 (en) 2010-08-25 2014-11-18 Damaka, Inc. System and method for shared session appearance in a hybrid peer-to-peer environment
KR101622174B1 (ko) * 2010-05-20 2016-06-02 삼성전자주식회사 컨텐츠 공유를 위한 가상 그룹에서의 단말, 홈 허브 및 방문 허브의 제어 방법
US8611540B2 (en) * 2010-06-23 2013-12-17 Damaka, Inc. System and method for secure messaging in a hybrid peer-to-peer network
FR2969440B1 (fr) * 2010-12-21 2013-08-16 Oberthur Technologies Dispositif electronique et procede de communication
US8407314B2 (en) 2011-04-04 2013-03-26 Damaka, Inc. System and method for sharing unsupported document types between communication devices
US9106507B1 (en) * 2011-06-08 2015-08-11 Sprint Communications Company L.P. Selective packet voice trigger use in a wireless communication network
US9639825B1 (en) * 2011-06-14 2017-05-02 Amazon Technologies, Inc. Securing multifactor authentication
US9628875B1 (en) 2011-06-14 2017-04-18 Amazon Technologies, Inc. Provisioning a device to be an authentication device
US8650622B2 (en) * 2011-07-01 2014-02-11 Telefonaktiebolaget Lm Ericsson (Publ) Methods and arrangements for authorizing and authentication interworking
EP2769565B1 (en) * 2011-10-21 2015-09-23 Telefonaktiebolaget LM Ericsson (PUBL) Technique for preparing a roaming operation of a user equipment
US9998919B1 (en) * 2011-11-18 2018-06-12 Google Llc SMS spoofing protection
US9094774B2 (en) 2012-05-14 2015-07-28 At&T Intellectual Property I, Lp Apparatus and methods for maintaining service continuity when transitioning between mobile network operators
US9148785B2 (en) 2012-05-16 2015-09-29 At&T Intellectual Property I, Lp Apparatus and methods for provisioning devices to utilize services of mobile network operators
US8800015B2 (en) 2012-06-19 2014-08-05 At&T Mobility Ii, Llc Apparatus and methods for selecting services of mobile network operators
US9473929B2 (en) 2012-06-19 2016-10-18 At&T Mobility Ii Llc Apparatus and methods for distributing credentials of mobile network operators
EP2683186A1 (en) * 2012-07-06 2014-01-08 Gemalto SA Method for attaching a roaming telecommunication terminal to a visited operator network
US9485646B2 (en) 2012-07-31 2016-11-01 Hewlett Packard Enterprise Development Lp Generating request message to obtain wireless services using a minimal set of services that are designated by default for a roaming condition
NO336691B1 (no) * 2012-12-14 2015-10-19 Ipco As Fremgangsmåte for å tjene besøker-abonnenter i et mobilkommunikasjonssystem
US9282457B2 (en) * 2013-02-05 2016-03-08 Mediatek Inc. Method of sharing credential and wireless communication system thereof
US9092778B2 (en) 2013-03-15 2015-07-28 Varsgen, Llc Bank account protection method utilizing a variable assigning request string generator and receiver algorithm
CN103413086B (zh) * 2013-08-23 2016-08-10 杭州华三通信技术有限公司 一种解决可信移动存储介质安全漫游的方法及装置
EP3146748A4 (en) * 2014-05-20 2017-12-06 Nokia Technologies OY Method, network element, mobile terminal, system and computer program product for cryptographic algorithm negotiation
KR102311027B1 (ko) * 2014-08-14 2021-10-08 삼성전자 주식회사 그룹단말의 프로파일 설치 방법
DE102014018867A1 (de) * 2014-12-16 2016-06-16 Giesecke & Devrient Gmbh Einbringen einer Identität in ein Secure Element
CN104754581B (zh) * 2015-03-24 2018-01-19 河海大学 一种基于公钥密码体制的lte无线网络的安全认证方法
US10263968B1 (en) * 2015-07-24 2019-04-16 Hologic Inc. Security measure for exchanging keys over networks
US10353689B2 (en) * 2015-08-28 2019-07-16 Ncr Corporation Method for transferring a file via a mobile device and mobile device for performing same
GB2552788B (en) * 2016-08-05 2019-11-27 Eseye Ltd Loading security information
CN114143780A (zh) 2017-05-11 2022-03-04 柏思科技有限公司 用于在无线网络节点处处理源自移动计算装置且去往目的地的数据分组的方法和设备
EP3632072B1 (en) * 2017-06-01 2021-02-17 Nokia Solutions and Networks Oy User authentication in wireless access network
CN109391937B (zh) * 2017-08-04 2021-10-19 华为技术有限公司 公钥的获取方法、设备及系统
EP3506668A1 (en) * 2017-12-27 2019-07-03 Gemalto Sa A method for updating a one-time secret key
US10637858B2 (en) 2018-02-23 2020-04-28 T-Mobile Usa, Inc. Key-derivation verification in telecommunications network
US11265699B2 (en) 2018-02-23 2022-03-01 T-Mobile Usa, Inc. Identifier-based access control in mobile networks
CN110248359A (zh) * 2018-03-07 2019-09-17 中国移动通信有限公司研究院 一种加密方案、终端、网元设备及计算机存储介质
EP3592015A1 (en) * 2018-07-02 2020-01-08 Soracom International, Pte. Ltd Updating a subscriber identity module
EP3959910B1 (en) * 2019-04-25 2024-06-26 Telefonaktiebolaget LM Ericsson (publ) Trusted solutions for enabling user equipment belonging to a home network to access data communication services in a visited network
CN114125834A (zh) * 2020-09-01 2022-03-01 大唐移动通信设备有限公司 一种应用层密钥确定的方法、终端、网络侧设备及装置
US11516648B2 (en) * 2021-01-25 2022-11-29 T-Mobile Usa, Inc. Device IMEI/IMEISV/TAC screening and steering while roaming in wireless networks
US11902343B1 (en) 2021-04-19 2024-02-13 Damaka, Inc. System and method for highly scalable browser-based audio/video conferencing
US11770584B1 (en) 2021-05-23 2023-09-26 Damaka, Inc. System and method for optimizing video communications based on device capabilities
US20230061362A1 (en) * 2021-08-31 2023-03-02 International Business Machines Corporation Message delivery in cellular roaming scenarios

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1999026124A1 (en) 1997-11-19 1999-05-27 Telefonaktiebolaget Lm Ericsson (Publ) Method, and associated apparatus, for selectively permitting access by a mobile terminal to a packet data network
WO2006036521A1 (en) 2004-09-08 2006-04-06 Qualcomm Incorporated Bootstrapping authentication using distinguished random challenges
WO2006132540A1 (en) 2005-06-06 2006-12-14 Telenor Asa A method and arrangement for handing over a client from a first wireless lan to a second wireless lan
US7277416B1 (en) 2003-09-02 2007-10-02 Cellco Partnership Network based IP address assignment for static IP subscriber

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU718887B2 (en) * 1996-09-04 2000-04-20 Swisscom Mobile Ag Roaming process and appurtenant devices
FI980291A (fi) * 1998-02-09 1999-08-10 Nokia Mobile Phones Ltd Liikkuva internetpääsy
FI110050B (fi) * 1999-10-22 2002-11-15 Nokia Corp Pakettidataprotokollakontekstin aktivoiminen verkkovierailevalle tilaajalle
GB2367213B (en) * 2000-09-22 2004-02-11 Roke Manor Research Access authentication system
AU2002232909A1 (en) * 2000-10-20 2002-05-15 Denise Parker Integrated life planning method and systems and products for implementation
FI114276B (fi) * 2002-01-11 2004-09-15 Nokia Corp Verkkovierailun järjestäminen
US7076657B2 (en) * 2001-12-28 2006-07-11 Siemens Communications, Inc. Use of short message service (SMS) for secure transactions
US7418596B1 (en) * 2002-03-26 2008-08-26 Cellco Partnership Secure, efficient, and mutually authenticated cryptographic key distribution
US8195940B2 (en) * 2002-04-05 2012-06-05 Qualcomm Incorporated Key updates in a mobile wireless system
JP3647433B2 (ja) * 2002-10-25 2005-05-11 松下電器産業株式会社 無線通信管理方法及び無線通信管理サーバ
US6968177B2 (en) * 2002-11-19 2005-11-22 Microsoft Corporation Transport agnostic authentication of wireless devices
WO2004064442A1 (en) * 2003-01-10 2004-07-29 Telefonaktiebolaget Lm Ericsson (Publ) Single sign-on for users of a packet radio network roaming in a multinational operator network
GB2398707B (en) * 2003-02-21 2005-03-30 Schlumberger Holdings Authentication method for enabling a user of a mobile station to access to private data or services
US20050138355A1 (en) * 2003-12-19 2005-06-23 Lidong Chen System, method and devices for authentication in a wireless local area network (WLAN)
US7386275B2 (en) * 2005-03-11 2008-06-10 Dell Products Llp Systems and methods for managing out-of-band device connection
US20070016775A1 (en) * 2005-07-18 2007-01-18 Research In Motion Limited Scheme for resolving authentication in a wireless packet data network after a key update
KR100678151B1 (ko) * 2005-08-01 2007-02-02 삼성전자주식회사 이동 통신 시스템에서 로밍 제공 방법 및 시스템
KR101300414B1 (ko) * 2006-02-03 2013-08-26 미드아이 에이비 최종 사용자 인증을 위한 시스템, 장치 및 방법
US20090125992A1 (en) * 2007-11-09 2009-05-14 Bo Larsson System and method for establishing security credentials using sms
US20090257593A1 (en) * 2008-04-10 2009-10-15 Comverse Ltd. Method and apparatus for secure messaging

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1999026124A1 (en) 1997-11-19 1999-05-27 Telefonaktiebolaget Lm Ericsson (Publ) Method, and associated apparatus, for selectively permitting access by a mobile terminal to a packet data network
US7277416B1 (en) 2003-09-02 2007-10-02 Cellco Partnership Network based IP address assignment for static IP subscriber
WO2006036521A1 (en) 2004-09-08 2006-04-06 Qualcomm Incorporated Bootstrapping authentication using distinguished random challenges
WO2006132540A1 (en) 2005-06-06 2006-12-14 Telenor Asa A method and arrangement for handing over a client from a first wireless lan to a second wireless lan

Also Published As

Publication number Publication date
JP2011525062A (ja) 2011-09-08
EP2372972A1 (en) 2011-10-05
WO2009137625A2 (en) 2009-11-12
CN102017577B (zh) 2015-02-04
EP2297923A2 (en) 2011-03-23
EP2297923B1 (en) 2014-01-01
CN103354640A (zh) 2013-10-16
US20090282251A1 (en) 2009-11-12
TW200952424A (en) 2009-12-16
EP2372972B1 (en) 2015-09-09
JP5237440B2 (ja) 2013-07-17
KR20110015596A (ko) 2011-02-16
CN102017577A (zh) 2011-04-13
WO2009137625A3 (en) 2010-04-01
CN103354640B (zh) 2017-04-26

Similar Documents

Publication Publication Date Title
KR101229769B1 (ko) 방문 네트워크에서의 무선 디바이스의 인증
US10917790B2 (en) Server trust evaluation based authentication
KR101838872B1 (ko) 애플리케이션-특정적 네트워크 액세스 크리덴셜들을 이용한 무선 네트워크들에 대한 후원된 접속을 위한 장치 및 방법
US10574465B2 (en) Electronic subscriber identity module (eSIM) eligibility checking
US9831903B1 (en) Update of a trusted name list
KR101840180B1 (ko) 애플리케이션-특정적 네트워크 액세스 크리덴셜들을 이용한 무선 네트워크들에 대한 후원된 접속을 위한 장치 및 방법
EP3382990B1 (en) User profile, policy and pmip key distribution in a wireless communication network
US7984486B2 (en) Using GAA to derive and distribute proxy mobile node home agent keys
EP2103078B1 (en) Authentication bootstrapping in communication networks
EP2536095A1 (en) Service access authentication method and system
US20080294891A1 (en) Method for Authenticating a Mobile Node in a Communication Network
KR20160078426A (ko) 무선 직접통신 네트워크에서 비대칭 키를 사용하여 아이덴티티를 검증하기 위한 방법 및 장치
JP2008538471A (ja) Gaaのための汎用鍵の決定メカニズム
WO2009135367A1 (zh) 用户设备验证方法、设备标识寄存器以及接入控制系统
WO2021099675A1 (en) Mobile network service security management
JP2013513986A (ja) サーバにおけるスマートカード・セキュリティ機能プロファイル

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20151230

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20161229

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee