KR101554396B1 - 통신 시스템들에서 가입자 인증과 디바이스 인증을 바인딩하는 방법 및 장치 - Google Patents
통신 시스템들에서 가입자 인증과 디바이스 인증을 바인딩하는 방법 및 장치 Download PDFInfo
- Publication number
- KR101554396B1 KR101554396B1 KR1020137001211A KR20137001211A KR101554396B1 KR 101554396 B1 KR101554396 B1 KR 101554396B1 KR 1020137001211 A KR1020137001211 A KR 1020137001211A KR 20137001211 A KR20137001211 A KR 20137001211A KR 101554396 B1 KR101554396 B1 KR 101554396B1
- Authority
- KR
- South Korea
- Prior art keywords
- authentication
- key
- subscriber
- network entity
- network
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 94
- 238000004891 communication Methods 0.000 title claims abstract description 54
- 238000003860 storage Methods 0.000 claims abstract description 17
- 238000012545 processing Methods 0.000 claims description 34
- 230000004044 response Effects 0.000 claims description 26
- 238000004519 manufacturing process Methods 0.000 claims description 4
- 238000013475 authorization Methods 0.000 claims description 3
- 230000006870 function Effects 0.000 description 24
- 239000002131 composite material Substances 0.000 description 17
- 238000010586 diagram Methods 0.000 description 16
- 230000008569 process Effects 0.000 description 13
- 230000005540 biological transmission Effects 0.000 description 10
- 238000004422 calculation algorithm Methods 0.000 description 7
- 230000011664 signaling Effects 0.000 description 4
- 238000001994 activation Methods 0.000 description 3
- 238000013459 approach Methods 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 230000004913 activation Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000003321 amplification Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 238000010924 continuous production Methods 0.000 description 1
- 230000009849 deactivation Effects 0.000 description 1
- 238000009795 derivation Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000003199 nucleic acid amplification method Methods 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000003595 spectral effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
- H04L9/0844—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0433—Key management protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/061—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/082—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
- H04L9/3273—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
디바이스 (예를 들면, 클라이언트 디바이스 또는 액세스 단말) 와 네트워크 엔티티 사이에 인증 방법이 제공된다. 착탈식 저장 디바이스는 디바이스에 결합될 수도 있으며, 가입자 인증을 위하여 사용될 수도 있는 가입자-특정 키를 저장한다. 보안성 저장 디바이스는 디바이스에 결합될 수도 있으며, 디바이스 인증을 위하여 사용되는 디바이스-특정 키를 저장한다. 가입자 인증은 디바이스와 네트워크 엔티티 사이에 수행될 수도 있다. 디바이스의 디바이스 인증은 또한 네트워크 엔티티와 수행될 수도 있다. 가입자 인증과 디바이스 인증을 바인딩하는 보안 키가 그런 다음 생성될 수도 있다. 보안 키는 디바이스와 서빙 네트워크 사이의 통신을 안전하게 보호하기 위하여 사용될 수도 있다.
Description
35 U.S.C. §119 하에서의 우선권 주장
본 특허 출원은, 2010 년 6 월 16 일에 출원되고 발명의 명칭이 "Apparatus and Method for Device Authentication in 3GPP Systems" 이며 본원의 양수인에게 양도되고 여기에서 참조로서 명백히 통합된 미국 가출원 번호 제 61/355,423 호에 대해 우선권을 청구한다.
분야
다양한 피쳐들은 통신 시스템들에 관한 것이며, 특히, 유선 및/또는 무선 통신 시스템에서 채용된 릴레이 노드들 및 머신 투 머신 디바이스들과 같은 디바이스들의 인증에 관한 것이다.
현대의 무선 네트워크들은 본원에서 디바이스들이라고 통칭되는 릴레이 노드들 및/또는 액세스 단말들을 포함할 수도 있다. 그러한 디바이스가 적절하게 기능하기 위해서, 이 디바이스가 동작을 시작하기 전에 디바이스는 종종 운영 및 가입자 보안 크리덴셜들을 제공받거나/운영 및 가입자 보안 크리덴셜들로 구성된다. 그러한 가입자 보안 크리덴셜들은, 예를 들면, 무선 서비스 또는 액세스를 제공하기 전에 디바이스를 인증하기 위하여 사용될 수도 있고, 일부 경우들에서는, 그 호스트 디바이스에 착탈 불가하게 결합되는 모듈 내에 저장될 수도 있다. 가입자 보안 크리덴셜들이 인증된 디바이스로부터 제거되고 비인가된 디바이스에 배치될 수도 있는 리스크가 존재한다. 릴레이 노드의 경우에서, 이것은 비인가된 릴레이 노드가, 예를 들면, 하나의 액세스 노드와 하나 이상의 액세스 단말들 사이의 송신들을 몰래 액세스하고/하거나 네트워크 서비스들에 대한 자유로운 액세스를 획득할 수 있도록 할 수도 있다. 이 리스크 또는 취약성은 자유로운 네트워크 액세스를 획득하기 위하여 M2M 디바이스 내의 유효 가입자 크리덴셜들 (예를 들면, 착탈식 유니버셜 집적 회로 카드 (UICC) 내의 인증 및 키 합의 (Authentication Key Agreement exchange: AKA) 파라미터들) 이 다른 디바이스로 전송될 수 있는 머신 투 머신 (M2M) 디바이스들의 경우에도 존재한다. M2M 디바이스 자체에 물리적 액세스를 할 필요가 없다는 관련된 취약성이 존재한다. M2M 디바이스 인터페이스 (예를 들면, UICC 인터페이스에 대한 호스트 디바이스) 를 가로질러 이루어질 데이터로의 액세스 (예를 들면, 인증의 결과로 초래되는 보안 키들) 는 보안 키들로의 액세스를 얻고 상기 키들에 의해 안전하게 보호된 데이터를 노출하기에 충분하다.
오퍼레이터가 어느 디바이스들이 그들의 네트워크에 액세스하도록 허용할 것인가를 제어하기를 원하는 경우에 유사한 이슈가 존재한다.
따라서, 이러한 그리고 다른 취약점들과 리스크들을 다루기 위하여 디바이스들에 대한 부가적인 보안을 제공할 필요가 있다.
보안 키를 생성하기 위하여 가입자 인증과 디바이스 인증을 바인딩 (binding) 함으로써 디바이스를 안전하게 보호하는 방법 및 장치가 제공된다.
제 1 양태에 따르면, 가입자 인증과 디바이스 인증을 바인딩하는, 디바이스 에서 동작하는 방법이 제공된다. 디바이스는 어태치 (attach) 요청을 네트워크 엔티티에 전송함으로써 시작할 수도 있고, 어태치 요청은 디바이스의 디바이스 인증 능력들의 표시를 포함한다. 가입자 인증은 디바이스에 의해 네트워크 엔티티와 수행될 수도 있다. 예를 들면, 가입자 인증은 디바이스와 네트워크 엔티티 사이의 인증 키 합의 교환에 기초할 수도 있다. 디바이스는 또한 네트워크 엔티티와의 디바이스 인증을 수행할 수도 있다. 예를 들면, 디바이스 인증은 디바이스와 네트워크 엔티티 사이의 도전-응답 교환에 기초할 수도 있다.
그런 다음, 가입자 인증과 디바이스 인증을 바인딩하는 보안 키가 생성될 수도 있다. 보안 키는 가입자 인증으로부터 획득된 적어도 제 1 키와 디바이스 인증으로부터 획득된 제 2 키의 함수로서 생성될 수도 있다. 부가적으로, 보안 키는 또한 네트워크 난스 (nonce) 와 디바이스 난스의 함수일 수도 있다. 그런 다음, 보안 키는 디바이스와 서빙 네트워크 사이의 통신을 안전하게 보호하기 위하여 사용될 수도 있다. 보안 키는 디바이스 및 네트워크 엔티티에 의해 별도로 생성될 수도 있으며, 그래서 에어를 통해서 송신되지는 않는다는 것에 유의한다.
일 구현에 따르면, 가입자 인증은 네트워크 엔티티의 일부인 제 1 인증 서버에 의해 수행될 수도 있고, 디바이스 인증은 네트워크 엔티티의 일부인 제 2 인증 서버에 의해 수행될 수도 있다.
일 예에서, 디바이스 인증은 디바이스와 네트워크 엔티티 사이의 일정한 교환들을 암호화/해독하기 위하여 공유된 비밀 키를 사용하여 수행될 수도 있다. 다른 예에서, 디바이스 인증은 (a) 네트워크 엔티티로부터 디바이스의 공개 키를 이용하여 암호화된 데이터를 수신하는 단계; (b) 암호화된 데이터를 해독하기 위하여 대응하는 개인 키를 사용하는 단계; 및/또는 (c) 그 후에 디바이스가 데이터에 대한 지식을 가지고 있다는 것을 네트워크 엔티티에 입증하는 단계에 의해 수행될 수도 있다.
일 양태에 따라서, 디바이스 인증은 가입자 인증 동안 생성된 적어도 하나의 키에 의해 안전하게 보호될 수도 있다.
다양한 구현들에서, 가입자 인증 및 디바이스 인증은 결합된 메시지 교환들에서 동시에 수행될 수도 있거나 또는 가입자 인증은 초기의 그리고 디바이스 인증과는 별도의 보안 교환에서 수행될 수도 있다.
일 피쳐에 따르면, 가입자-특정 키는 서비스 합의의 일부로서 디바이스상에 제공될 수도 있으며, 여기서 가입자-특정 키는 가입자 인증을 위해 사용된다. 마찬가지로, 디바이스-특정 키는 제조 동안에 디바이스내에 제공될 수도 있으며, 여기서 디바이스-특정 키는 디바이스 인증을 위해 사용된다.
일 구현에서, 디바이스는 네트워크 엔티티에 대한 액세스 단말로서 나타나고 하나 이상의 액세스 단말들에 대한 네트워크 디바이스로서 나타나는 릴레이 노드일 수도 있다. 다른 구현에서, 디바이스는 액세스 단말일 수도 있다.
일 예에 따라서, 디바이스는 프로세싱 회로에 결합된 통신 인터페이스를 포함할 수도 있다. 프로세싱 회로는 (a) 네트워크 엔티티와의 가입자 인증을 수행하고; (b) 네트워크 엔티티와의 디바이스의 디바이스 인증을 수행하고; (c) 가입자 인증과 디바이스 인증을 바인딩하는 보안 키를 생성하고; 그리고/또는 (d) 디바이스와 서빙 네트워크 사이의 통신을 안전하게 보호하기 위하여 보안 키를 사용하도록 적응될 수도 있다.
다른 예에 따라서, 디바이스상에서 동작하는 명령들을 포함하는 프로세서 판독가능 매체가 제공될 수도 있다. 프로세서에 의해 실행되면, 이 명령들은 프로세서로 하여금: (a) 네트워크 엔티티와의 가입자 인증을 수행하고; (b) 네트워크 엔티티와의 디바이스의 디바이스 인증을 수행하고; (c) 가입자 인증과 디바이스 인증을 바인딩하는 보안 키를 생성하고; 그리고/또는 (d) 디바이스와 서빙 네트워크 사이의 통신을 안전하게 보호하기 위하여 보안 키를 사용하도록 할 수도 있다.
다른 양태에 따라서, 네트워크 엔티티에서 동작하는 방법이 제공된다. 네트워크 엔티티는 디바이스로부터 어태치 요청을 수신할 수도 있으며, 어태치 요청은 디바이스의 디바이스 인증 능력들의 표시를 포함한다. 네트워크 엔티티는 디바이스를 이용하여 가입자 인증을 수행할 수도 있다. 마찬가지로, 네트워크 엔티티는 디바이스의 디바이스 인증을 수행할 수도 있다. 그런 다음 보안 키는 가입자 인증과 디바이스 인증을 바인딩하는 네트워크 엔티티에 의해 생성될 수도 있다. 그런 다음 보안 키는 네트워크 엔티티와 디바이스 사이의 통신을 안전하게 보호하기 위하여 사용될 수도 있다. 보안 키의 오버 디 에어 송신 (over the air transmission) 을 방지하기 위하여, 보안 키는 디바이스와 네트워크 엔티티에 의해 별도로 생성될 수도 있다는 것에 유의한다.
일 예에서, 가입자 인증은 네트워크 엔티티와 디바이스 사이의 인증 키 합의 교환에 기초할 수도 있다. 디바이스 인증은 네트워크 엔티티와 디바이스 사이의 도전-응답 교환에 기초할 수도 있다.
일 구현에서, 디바이스 인증은: (a) 디바이스로부터 인증서를 수신하는 단계; 및 (b) 디바이스와 연관된 인증서가 취소되지 않았다는 것을 확인하는 단계를 포함할 수도 있다.
일 구현에서, 디바이스 인증 프로세스 동안 스누핑 (snooping) 을 방지하기 위하여, 디바이스 인증은 초기 가입자 인증 동안 생성된 적어도 하나의 키에 의해 안전하게 보호될 수도 있다.
다양한 예들에 따라서, 가입자 인증 및 디바이스 인증은 결합된 메시지 교환들에서 동시에 수행될 수도 있거나 또는 인증은 초기의 그리고 디바이스 인증과는 별도의 보안 교환에서 수행된다.
다른 예에서, 보안 키는 적어도 가입자 인증으로부터 획득한 제 1 키 및 디바이스 인증으로부터 획득한 제 2 키의 함수로서 생성될 수도 있다.
일 구현에서, 네트워크 엔티티는 서비스 합의의 일부로서 가입자-특정 키를 획득할 수도 있으며, 가입자-특정 키는 가입자 인증을 위해 사용된다. 마찬가지로, 네트워크 엔티티는 디바이스에 대한 디바이스-특정 키를 획득할 수도 있으며, 디바이스-특정 키는 디바이스 인증을 위해 사용된다.
일 구현에서, 네트워크 엔티티는 프로세싱 회로에 결합된 통신 인터페이스를 포함할 수도 있다. 프로세싱 회로는 (a) 디바이스를 이용하여 가입자 인증을 수행하고; (b) 디바이스의 디바이스 인증을 수행하고; (c) 가입자 인증과 디바이스 인증을 바인딩하는 보안 키를 생성하고; 그리고/또는 (d) 네트워크 엔티티와 디바이스 사이의 통신을 안전하게 보호하기 위하여 보안 키를 사용하도록 적응될 수도 있다.
일 구현에서, 네트워크 엔티티상에서 동작하는 명령들을 포함하는 프로세서 판독가능 매체가 제공된다. 프로세서에 의해 실행되면, 이 명령들은 프로세서로 하여금: (a) 디바이스를 이용하여 가입자 인증을 수행하고; (b) 디바이스의 디바이스 인증을 수행하고; (c) 가입자 인증과 디바이스 인증을 바인딩하는 보안 키를 생성하고; 그리고/또는 (d) 네트워크 엔티티와 디바이스 사이의 통신을 안전하게 보호하기 위하여 보안 키를 사용하도록 할 수도 있다.
도 1 은 서비스를 획득하기 위하여 무선 디바이스들의 다양한 유형들이 코어 네트워크에 의해 인증될 수도 있는 무선 통신 시스템을 도시하는 블록도이다.
도 2 는 디바이스 인증과 가입자 인증을 바인딩하는 것에 대한 일반적인 접근법을 도시한다.
(도 3a 및 도 3b 를 포함하는) 도 3 은 디바이스 인증을 부가하기 위하여 가입자 인증에 기초한 키 계층구조가 어떻게 수정될 수도 있는 지에 대한 예를 도시한다.
도 4 는 패킷-스위칭된 네트워크에서 동작하는 디바이스에서 구현될 수도 있는 예시적인 프로토콜 스택 (stack) 을 도시한다.
도 5 는 도 3 및 도 4 에서 도시된 다양한 인증 및/또는 보안 키들이 생성될 수도 있는 네트워크 시스템을 도시한 블록도이다.
도 6 은 가입자 인증과 디바이스 인증을 바인딩하기 위하여 적응될 수도 있는 무선 디바이스의 선택 컴포넌트들을 도시한 블록도이다.
도 7 은 가입자 인증과 디바이스 인증을 바인딩하는 보안 키를 생성하기 위하여 무선 디바이스에서 동작하는 방법의 예를 도시한 플로우 다이어그램이다.
도 8 은 가입자 인증과 디바이스 인증을 바인딩하기 위하여 적응될 수도 있는 네트워크 엔티티의 선택 컴포넌트들을 도시한 블록도이다.
도 9 는 가입자 인증과 디바이스 인증을 바인딩하는 보안 키를 생성하기 위하여 네트워크 엔티티에서 동작하는 방법의 예를 도시한 플로우 다이어그램이다.
도 10 은 가입자 인증과 디바이스 인증을 바인딩함으로써 보안 키를 생성하는 제 1 예시적인 방법을 도시한다.
도 11 은 가입자 인증과 디바이스 인증을 바인딩함으로써 보안 키를 생성하는 제 2 예시적인 방법을 도시한다.
도 12 는 가입자 인증과 디바이스 인증을 바인딩함으로써 보안 키를 생성하는 제 3 예시적인 방법을 도시한다.
도 2 는 디바이스 인증과 가입자 인증을 바인딩하는 것에 대한 일반적인 접근법을 도시한다.
(도 3a 및 도 3b 를 포함하는) 도 3 은 디바이스 인증을 부가하기 위하여 가입자 인증에 기초한 키 계층구조가 어떻게 수정될 수도 있는 지에 대한 예를 도시한다.
도 4 는 패킷-스위칭된 네트워크에서 동작하는 디바이스에서 구현될 수도 있는 예시적인 프로토콜 스택 (stack) 을 도시한다.
도 5 는 도 3 및 도 4 에서 도시된 다양한 인증 및/또는 보안 키들이 생성될 수도 있는 네트워크 시스템을 도시한 블록도이다.
도 6 은 가입자 인증과 디바이스 인증을 바인딩하기 위하여 적응될 수도 있는 무선 디바이스의 선택 컴포넌트들을 도시한 블록도이다.
도 7 은 가입자 인증과 디바이스 인증을 바인딩하는 보안 키를 생성하기 위하여 무선 디바이스에서 동작하는 방법의 예를 도시한 플로우 다이어그램이다.
도 8 은 가입자 인증과 디바이스 인증을 바인딩하기 위하여 적응될 수도 있는 네트워크 엔티티의 선택 컴포넌트들을 도시한 블록도이다.
도 9 는 가입자 인증과 디바이스 인증을 바인딩하는 보안 키를 생성하기 위하여 네트워크 엔티티에서 동작하는 방법의 예를 도시한 플로우 다이어그램이다.
도 10 은 가입자 인증과 디바이스 인증을 바인딩함으로써 보안 키를 생성하는 제 1 예시적인 방법을 도시한다.
도 11 은 가입자 인증과 디바이스 인증을 바인딩함으로써 보안 키를 생성하는 제 2 예시적인 방법을 도시한다.
도 12 는 가입자 인증과 디바이스 인증을 바인딩함으로써 보안 키를 생성하는 제 3 예시적인 방법을 도시한다.
아래의 설명에서, 설명된 구현들의 철저한 이해를 제공하기 위하여 특정 세부사항들이 주어진다. 그러나, 다양한 구현들이 이 특정 세부사항들 없이 실행될 수도 있다는 것이 이 기술분야에서 통상의 기술을 가진 자에 의해 이해될 것이다. 예를 들면, 불필요한 세부사항에서 구현들을 모호하게 하지 않도록 회로들은 블록도들로 도시될 수도 있다. 다른 인스턴스들에서, 설명된 구현들을 모호하게 하지 않도록 주지의 회로들, 구조들 및 기법들이 상세하게 도시될 수도 있다.
본원에서 단어 "예시적인 (exemplary)" 은 "예, 인스턴스 또는 예시로서 사용되는" 을 의미하기 위하여 사용된다. 본원에서 "예시적인" 으로서 설명된 임의의 구현 또는 실시형태는 반드시 다른 실시형태들 또는 구현들에 대하여 선호되거나 이점을 가지는 것으로 해석되는 것은 아니다. 비슷하게, 용어 "실시형태들 (embodiments)" 은 모든 실시형태들이 논의된 피쳐, 이점 또는 동작의 모드를 포함할 것을 요구하지 않는다.
개요
디바이스 (예를 들면, 클라이언트 디바이스 또는 액세스 단말) 와 네트워크 엔티티 사이에 인증 방법이 제공된다. 착탈식 저장 디바이스는 디바이스에 결합될 수도 있으며, 가입자 인증을 위해 사용될 수도 있는 가입자 특정 키를 저장한다. 보안성 저장 디바이스는 디바이스에 결합될 수도 있으며, 디바이스 인증을 위해 사용되는 디바이스 특정 키를 저장한다. 가입자 인증은 디바이스와 네트워크 엔티티 사이에서 수행될 수도 있다. 디바이스의 디바이스 인증은 또한 네트워크 엔티티와 수행될 수도 있다. 그런 다음, 가입자 인증과 디바이스 인증을 바인딩하는 보안 키가 생성될 수도 있다. 즉, (복합) 보안 키를 생성하기 위하여 가입자 인증으로부터의 키, 데이터 및/또는 정보 및 디바이스 인증으로부터의 키, 데이터 및/또는 정보는 결합될 수도 있다. 보안 키는 디바이스와 서빙 네트워크 사이의 통신을 안전하게 보호하기 위하여 사용될 수도 있다.
예시적인 네트워크 환경
도 1 은 서비스를 획득하기 위하여 무선 디바이스들의 다양한 유형들이 코어 네트워크에 의해 인증될 수도 있는 무선 통신 시스템을 도시한 블록도이다. 이 무선 통신 시스템은, 예를 들면, 유니버셜 모바일 통신 시스템 (UMTS) 준수 네트워크 또는 호환 네트워크 또는 GSM 준수 네트워크 또는 GSM 호환 네트워크일 수도 있다. 본원에서 설명된 예들의 일부가 롱 텀 에볼루션 (LTE) 네트워크와 관련되지만, 본원에서 설명되는 다양한 피쳐들은 다른 네트워크들에서도 역시 구현될 수도 있다.
시스템은 액세스 노드 (106) 와 통신하는 액세스 단말들 (103/104) 및 릴레이 노드 (102) 와 같은 하나 이상의 디바이스들 (101) 을 포함할 수도 있다. 릴레이 노드 (102) 는 무선 통신 네트워크 (106/108) 와 하나 이상의 액세스 단말들 (104) 사이의 무선 송신들을 용이하게 할 수도 있다. 무선 통신 시스템 (예를 들면, 롱 텀 에볼루션 (LTE) 네트워크, LTE-어드밴스드 네트워크 등) 은 코어 네트워크 (108) 및 하나 이상의 액세스 노드들 (106) 을 포함할 수도 있다. 액세스 노드 (106) 는 백홀 링크 (예를 들면 유선 커넥션) 를 통하여 코어 네트워크 (108) 에 결합될 수 있다. 코어 네트워크 (108) 는, 예를 들면 모바일 관리 엔티티들 (MME) (110), 홈 가입자 서버 (HSS) (112) 및/또는 다른 컴포넌트들을 포함할 수도 있다.
일 예에서, 모바일 관리 엔티티 (MME) (110) 는 (본원에서 총칭하여 "디바이스" 라고 불리는) 디바이스 (101), 릴레이 노드 (102) 및/또는 액세스 단말들 (103/104) 에 대한 베어러 활성화/비활성화 및 홈 가입자 서버 (HSS) (112) 와의 상호작용에 의한 인증 보조에 관련될 수도 있다. MME (110) 는 또한 임시 아이덴티티들을 생성하고 및/또는 디바이스들 (예를 들면 디바이스 (101), 릴레이 노드 (102), 액세스 단말들 (103/104) 등) 에 할당할 수도 있다. 그것은 서비스 제공자의 공중 육상 이동 네트워크 (PLMN) 에 캠핑하기 위하여 (예를 들면, 이 네트워크로부터 서비스를 획득하기 위하여, 이 네트워크에 연결하기 위하여, 이 네트워크와의 통신 링크를 설정하기 위하여) 디바이스의 인증을 점검할 수도 있고, 디바이스의 로밍 제약들을 강요할 수도 있다. MME (110) 는 비 액세스 계층 (Non Access Stratum; NAS) 시그널링에 대한 암호화/무결성 보호를 위한 네트워크 내의 종단 포인트일 수도 있으며 보안 키 관리를 핸들링한다. MME (110) 는 또한 코어 네트워크 (108) 에 결합된 디바이스들에 대한 트랙 및/또는 (재전송들을 포함한) 페이징 프로시저들을 수행할 수도 있다.
홈 가입자 서버 (HSS) (112) 는 디바이스들을 실제로 핸들링하는 네트워크 엔티티들을 지원하는 마스터 가입자 데이터베이스이다. 그것은 가입자-관련 정보 (가입자 프로파일들) 를 포함할 수도 있고, 가입의 인증 및 인가를 도울 수도 있으며, 가입자의 로케이션에 관한 정보를 제공할 수 있다. 그것은 GSM 홈 로케이션 레지스터 (HLR) 및 인증 센터 (AuC) 와 유사하다. 홈 로케이션 레지스터 (HLR) 는 코어 네트워크를 사용하도록 인가된 각각의 가입자의 세부사항들을 포함하는 데이터베이스일 수도 있다. HLR 은 가입자들을 인증함에 있어서 (즉, 사용자 단말들을 사용함에 있어서) AuC 를 보조할 수도 있다.
릴레이 노드 (102) 는 액세스 단말 (104) 과 액세스 노드 (106) 사이에서의 신호를 증폭 및/또는 반복하도록 적응될 수도 있다. 일반적으로, 릴레이 노드 (102) 는 액세스 노드 (AN) 로서 액세스 단말 (104) 에 나타날 수 있고 액세스 단말 (AT) 로서 액세스 노드 (106) 에 나타날 수 있다. 예를 들면, 릴레이 노드 (102) 는 액세스 노드 (106) 와의 통신에 사용하는 액세스 단말 인터페이스 (105) 를 포함할 수도 있고, 또한 액세스 단말 (104) 과의 통신에 사용하는 액세스 노드 인터페이스 (107) 를 포함할 수도 있다. 즉, 액세스 단말 인터페이스 (105) 는 릴레이 노드가 액세스 노드 (106) 에 액세스 단말로서 나타나도록 만들수도 있다. 마찬가지로, 액세스 노드 인터페이스 (107) 는 릴레이 노드 (102) 가 액세스 단말 (104) 에 액세스 노드로서 나타나도록 만들 수도 있다. 일부 구현들에서, 릴레이 노드 (102) 는 액세스 단말 인터페이스 (105) 와 액세스 노드 인터페이스 (107) 사이에서 제 1 포맷으로부터 제 2 포맷으로 신호들을 변환할 수도 있다. 릴레이 노드 (102) 는 액세스 단말 (104) 이 액세스 노드 (106) 와 직접적으로 통신하기보다는 릴레이 노드 (102) 와 통신할 수 있도록 셀의 에지들 가까이에 배치될 수도 있다.
무선 시스템들에서, 셀은 수신 및 송신 커버리지 (coverage) 의 지리학적 영역이다. 셀들은 서로 중첩될 수 있다. 전형적인 에에서, 각각의 셀과 연관된 하나의 액세스 노드가 있다. 셀의 사이즈는 주파수 대역, 파워 레벨 및 채널 조건들과 같은 팩터들에 의해 결정된다. 릴레이 노드 (102) 와 같은 릴레이 노드들은 셀 내에서 또는 셀 가까이에서 커버리지를 향상시키기 위하여, 또는 셀의 커버리지의 사이즈를 확장하기 위하여 사용될 수 있다. 부가적으로, 릴레이 노드 (102) 의 사용은 셀 내에서 신호의 스루풋 (throughput) 을 향상시킬 수 있는데 이것은 액세스 단말 (104) 이 그 셀에 대하여 액세스 노드 (106) 와 직접적으로 통신할 때 사용할 수도 있는 데이터 레이트보다 더 높은 데이터 레이트로 또는 액세스 단말 (104) 이 그 셀에 대하여 액세스 노드 (106) 와 직접적으로 통신할 때 사용할 수도 있는 송신 파워보다 더 낮은 송신 파워로 릴레이 노드 (102) 를 액세스할 수 있기 때문이다. 더 높은 데이터 레이트에서의 송신은 더 높은 스펙트럼 효율을 발생시키고 예를 들면, 더 적은 배터리 파워를 소모함으로써 액세스 단말 (104) 이 낮은 파워의 혜택들을 받도록 한다.
일부 예들에서, 릴레이 노드 (102) 는 계층 1 릴레이 노드, 계층 2 릴레이 노드 및/또는 계층 3 릴레이 노드의 3 개의 릴레이 유형들 중 하나로서 구현될 수 있다. 계층 1 릴레이 노드는 증폭 및 약간의 지연 외에 임의의 수정 없이 송신을 재송신할 수 있는 본질적으로 중계기 (repeater) 이다. 계층 2 릴레이 노드는 그것이 수신하는 송신을 디코딩하고, 디코딩의 결과를 재인코딩하고, 그런 다음 재인코딩된 데이터를 송신할 수 있다. 계층 3 릴레이 노드는 충분한 무선 자원 제어 능력들을 가질 수 있으며 따라서 액세스 노드와 유사하게 기능할 수 있다. 릴레이 노드에 의해 사용된 무선 자원 제어 프로토콜들은 액세스 노드에 의해 사용된 프로토콜들과 동일할 수도 있고, 릴레이 노드는 액세스 노드에 의해 전형적으로 사용되는 고유 셀 아이덴티티를 가질 수도 있다. 본 개시를 위하여, 릴레이 노드 (102) 가 전기 통신 시스템 (예를 들면, 네트워크 (108)) 에서 다른 컴포넌트들에 액세스하기 위하여 적어도 하나의 액세스 노드 (106) (및 그 액세스 노드와 연관된 셀) 또는 다른 릴레이 노드의 존재에 의존한다는 사실에 의하여, 그 릴레이 노드 (102) 는 액세스 노드 (106) 와 구별된다. 즉, 릴레이 노드 (102) 는 네트워크에 대한 가입자 디바이스, 클라이언트 디바이스 또는 액세스 단말로서 나타날 수도 있고, 그러므로 그것은 네트워크 (108) 를 통하여 통신하기 위하여 액세스 노드에 연결된다. 그러나, 다른 가입자 디바이스들, 사용자 디바이스들 및/또는 액세스 단말들 (104) 에, 릴레이 노드 (102) 는 네트워크 디바이스 (예를 들면, 액세스 노드) 로서 나타날 수도 있다. 그 결과, 액세스 노드 및/또는 하나 이상의 액세스/가입자/사용자 단말들과 통신하기 위한 다른 릴레이 노드 (102) 는 하나 이상의 통신 인터페이스들을 구현할 수도 있다. 일 예에서, 그것의 액세스 노드 및/또는 하나 이상의 액세스 단말들과 통신하기 위하여 (예를 들면, 하나 이상의 무선 채널들에서) 동일한 송신기/수신기가 릴레이 노드 (102) 에 의해 사용될 수도 있다. 다른 예에서, 릴레이 노드 (102) 는 액세스 노드 및/또는 하나 이상의 액세스 단말들과 통신하기 위하여 2 개 이상의 상이한 송신기들/수신기들을 활용할 수도 있다.
액세스 네트워크 서비스들로의 가입의 오용을 줄이기 위하여, 디바이스들은 디바이스 인증을 가입자 인증과 바인딩할 수도 있다. 디바이스 인증은, 예를 들면, 디바이스에 착탈 가능하게 결합된 유니버셜 집적 회로 카드 (UICC) (109, 111, 113 및 116) 또는 유니버셜 가입자 식별 모듈 (예를 들면, USIM) 에 저장된 (가입자 루트 키 (K) 와 같은) 크리덴셜들에 기초한 표준 3GPP AKA (인증 및 키 합의) 액세스 인증과 함께 작동될 수도 있다. 일부 실시형태들에서, 디바이스 인증은 AKA 인증을 위하여 사용된 동일한 비 액세스 계층 (NAS) 메시지들에서 수행될 수도 있다. 이러한 방식으로, 디바이스 (예를 들면, 릴레이 노드 (102), 액세스 단말들 (103/104) 등) 는 비인가 디바이스에서 다른 디바이스들이 (즉, 가입 서비스에 대한) 그것의 가입자 크리덴셜들을 사용하는 것을 방지하기 위하여 그것의 가입 (즉, 코어 네트워크 (108) 와의 서비스 가입) 에 바인딩될 수도 있다.
가입자 크리덴셜들의 비인가된 사용의 리스크에 대한 하나의 솔루션은 디바이스 (예를 들면, 디바이스 (101), 릴레이 노드 (102) 또는 액세스 단말들 (103/104)) 와 UICC (109) 가 (예를 들면, 호스트 디바이스와 UICC 사이에 보안 채널을 이용하여) 서로를 상호 인증하는 것이지만, 그것은 그러한 상호 인증을 수행하기 위하여 정보를 UICC (109, 111, 113 및 116) 및/또는 호스트 디바이스 (예를 들면, 디바이스 (101), 릴레이 노드 (102) 또는 액세스 단말들 (103/104)) 에 사전 제공할 것을 요구할 수도 있다.
다른 솔루션은 네트워크 액세스를 위하여 사용된 키들 (예를 들면, 디바이스와 네트워크 사이의 트래픽을 보호하기 위하여 사용된 키들) 이 디바이스 (예를 들면, 디바이스 (101), 릴레이 노드 (102) 또는 액세스 단말들 (103/104)) 상에 저장된 크리덴셜들 뿐만 아니라 UICC (109, 111, 113 및 116) 상에 저장된 크리덴셜들 양쪽 모두에 의존할 것을 요구하는 것일 수도 있다. 이것은 어떤 방법으로든 AKA 인증 키들을 디바이스 인증과 바인딩함으로써 달성될 수도 있다. 이 솔루션은 또한 (예를 들면, 오퍼레이터가 비인가 디바이스들을 그들의 네트워크에 어태치하는 것을 중지하도록 할 수도 있는) 국제 모바일 장비 아이덴티티 (IMEI) 인증의 경우에도 유용하다. 이것은, 네트워크 액세스를 위해 사용된 AKA 인증의 결과로 초래된 키(들)를 디바이스 인증을 위해 사용된 키들과 바인딩함에 의해, 디바이스로부터 네트워크 (108) 로 비롯된 메시지들의 모두가 인증된 디바이스로부터 사실상 비롯되었다는 것이 확인되기 때문이다. 바인딩된 키들 (및 바인딩된 키로부터 유래한 모든 다른 후속 키들) 이 디바이스 (예를 들면, 디바이스 (101), 릴레이 노드 (102) 또는 액세스 단말들 (103/104)) 상에 안전하게 저장된다는 가정 하에, AKA 인증으로부터의 키들을 디바이스 인증과 바인딩하는 것은 디바이스 인증을 위하여 도전/응답 기반 메카니즘을 단독으로 사용하는 것보다 더 강력한 보안성을 제공한다. 디바이스 인증을 위하여 도전/응답 메카니즘을 단독으로 사용하는 것은 인증 응답을 생성하기 위하여 디바이스가 존재하였다는 것만을 입증할 뿐 그 디바이스가 후속 시간에도 여전히 존재한다는 것은 입증하지 못한다.
도 2 는 디바이스 인증과 가입자 인증을 바인딩하는 것에 대한 일반적인 접근법을 도시한다. 디바이스 (202) (예를 들면, 디바이스 (101), 릴레이 노드 (102) 또는 액세스 단말들 (103/104)) 에는 코어 네트워크 (108) 와의 가입을 인증하고/하거나 디바이스 (202) 로 전송된 암호화된 트래픽을 액세스하기 위하여 사용되는 보안 키들을 생성하기 위하여 사용될 수 있는 subscriber_root_key (206) 및/또는 subscriber_identity (207) 가 제공될 수도 있다. subscriber_root_key (206) 는 subscriber_identity (207) 와 고유하게 연관될 수도 있다. 일 예에서, subscriber_root_key (206) 및/또는 subscriber_identity (207) 는 UICC (204) 에 저장될 수도 있고/있거나 가입자 인증은 UICC (204) 에 의해 프로세싱될 수도 있다. 마찬가지로, 디바이스 (202) 는 코어 네트워크 (108) 와 디바이스를 인증하기 위하여 사용될 수 있는 device_root_key (208) 및/또는 device_identity (209) 를 제공받을 수 (또는 저장할 수) 도 있다. device_root_key (208) 는 device_identity (209) 와 고유하게 연관될 수도 있다.
일 예에서, device_dentity (209) 는 디바이스 (202) (예를 들면, 디바이스 (101), 릴레이 노드 (102) 또는 액세스 단말들 (103/104)) 의 국제 모바일 장비 아이덴티티 (IMEI) 일 수도 있으나, 디바이스와 연관된 아이덴티티의 다른 형태들 (예를 들면, EUI-48 또는 EUI-64 와 같은 IEEE 하드웨어 어드레스) 도 또한 사용될 수도 있다.
일부 구현들에서, device_root_key (208) 는 오직 디바이스 (202) 에 의해서만 코어 네트워크 (108) 와 공유되는 비밀 키일 수도 있으나 에어를 통해서 송신되지는 않는다. device_dentity (209) 는 디바이스 인증에 사용될 정확한 device_root_key 를 그것이 획득할 수 있도록 디바이스 (202) 에 의해 코어 네트워크 (108) 로 송신될 수도 있다. 대안적으로, device_root_key (208) 는 공개/개인 키 쌍의 공개 키일 수도 있으며, 여기서 인증서들은 디바이스 인증을 위하여 사용된다. 예를 들면, 디바이스는 네트워크로부터 일부 데이터를 수신할 수도 있으며, 여기서 데이터는 공개 키로 암호화된다. 디바이스는 그런 다음 암호화된 데이터를 해독하기 위하여 그것의 개인 키를 사용할 수도 있고, 이어서 그것이 데이터의 지식을 가지고 있다는 것을 네트워크에 입증할 수도 있다. 인증서 (예를 들면, device_credentials) 는 코어 네트워크 (108) 에 의해 확인될 수도 있다. 디바이스 (202) 의 연관된 개인 키는 디바이스 (202) 에 안전하게 저장될 수도 있다. device_credentials 는 디바이스 인증서 또는 그에 대한 포인터 중 어느 하나를 나타낼 수도 있다. 이 device_credentials 는 관련된 네트워크 엔티티가 device_challenge 를 형성하고 디바이스 (202) 의 권한 취소 상태 (revocation status) 를 점검 (예를 들면, 디바이스와 연관된 개인 키 또는 공유 키와 같은 크리덴셜들이 타협되었는지를 점검) 하도록 허용할 수도 있다. ( 3GPP 기술 사양 33.320 에 정의된 신뢰 환경 (Trusted Environment) 또는 TrE 와 같은) 디바이스의 보안성 부분이 인증서와 연관된 device_root_key 및/또는 개인 키와 같은 감응 디바이스 키들을 저장한다고 추가로 가정한다. 더욱이, TrE 는 이 키들을 사용하는 모든 암호화 동작들을 수행한다고 가정한다.
처음에, 가입자 인증은 디바이스 (202) 와 네트워크 (108) 사이에서 일어날 수도 있다. 예를 들면, 디바이스 (202) 와 네트워크 (108) 사이의 인증 및 키 합의 (AKA) 교환 (210) 은 키 K_ASME 의 설정의 결과를 초래할 수도 있다. 디바이스 (202) 와 연관된 가입자를 인증하기 위하여 그러한 AKA 교환 (210) 은, 예를 들면, subscriber_root key (206) 및/또는 subscriber_identity (207) 에 기초할 수도 있다. 예를 들면, 그러한 가입 정보 또는 크리덴셜들은 호스트 디바이스 (202) 에 착탈 가능하게 결합된 UICC (204) 내에 안전하게 저장될 수도 있다.
네트워크 (108) 는 또한 디바이스 (202) 상에 디바이스 인증을 수행할 수도 있다. 코어 네트워크 (108) 가 정확한 대응하는 device_root_key (208) 를 검색 또는 획득할 수 있도록 device_dentity (209) 는 디바이스 (202) 에 의해 코어 네트워크 (108) 에 제공될 수도 있다. 네트워크 (108) 는 device_challenge (212) 를 발생시킬 수도 있고 그것을 (관련된 NAS 메시지의 일부로서) 디바이스 (202) 에 전송한다. 이에 대응하여, 디바이스 (202) 는 (예를 들면, device_challenge 및 device_root_key (208) 또는 그것의 도함수에 기초하여) device_response (214) 를 계산하고 그것을 네트워크 (108) 에 리턴한다. 디바이스 (202) 는 device_challenge 및 device_response 내의 데이터를 사용하여 복합 보안 키 K_ASME_D (216) 를 산출할 수도 있다. 디바이스 (202) 의 경우에서, 복합 보안 키 K_ASME_D (216) 는 device_response (214) 가 전송되기 전에 또는 후에 생성될 수도 있다는 것에 유의한다. 일 예에서, 키 K_ASME_D 가 K_ASME 키와 같이 AKA 인증의 결과로 초래되는 키 뿐만 아니라 device_dentity (209) 에 바인딩된다는 것을 제외하고, 복합 보안 키 K_ASME_D 는 3GPP 기술 사양 33.401 에서 정의된 진화형 유니버셜 지상파 무선접속 네트워크 E-UTRAN (E-UTRAN) 에서 정의된 보안 키 K_ASME 와 등가의 키일 수도 있다. 네트워크 (108) 가 유효한 device_response 를 수신하면, 네트워크 (108) 는 또한 복합 보안 키 K_ASME_D (218) 를 산출한다.
device_challenge (212), device_response (214) 및 복합 보안 키 K_ASME_D 의 산출은 아래와 같을 수도 있다. device_challenge (212) 는:
와 같이 산출될 수도 있으며, 여기서 eKSI 는 K_ASME_D 와 연관되는 진화형/확장된 키 세트 식별자이고, [ ,. ] 는 옵션적 파라미터를 나타내고, E_k (data) 는 키 k 로 암호화된 data 를 의미하고, network_nonce 는 네트워크에 의해 선택된 적합한 사이즈 랜덤 수 (예를 들면, 128-비트) 이다. 암호화 알고리즘은 (device_root_key 가 디바이스 인증서와 연관된 공개 키인 경우에) 비대칭적이거나 또는 (device_root_key 가 공유 키인 경우에) 대칭적일 수 있다. device_temp_key 는 디바이스 인증의 일부로서 획득 또는 생성된 키일 수도 있다. 일 예에서, device_temp_key 는 네트워크 (108) 에 의해 (예를 들면, 랜덤으로) 선택될 수도 있고, 암호화된 형태로 디바이스 (202) 에 전송되고, 적절한 길이 (예를 들면, 256 또는 128 비트값) 를 가진다.
디바이스 (202) 와 네트워크 (108) 양쪽 모두는 최적화를 목적으로 네트워크 액세스들 사이에 device_temp_key 를 유지할 수도 있다. 이런 경우가 아니라면, device challenge (212) 내의 제 2 파라미터 ([E_device_root_key (device_temp_key)]) 는 옵션적이지 않다.
device_response (214) 는:
와 같이 산출될 수도 있으며, 여기서 device_nonce 는 디바이스에 의해 선택된 적합한 사이즈 랜덤 수 (예를 들면, 128-비트) 이고,
와 같이 산출될 수도 있으며, 여기서 KDF 는 응답 device_res 를 생성하기에 적합한 암호화 함수이다.
이전에 (예컨대, AKA 교환 (210) 의 일부로서) 인증 키 K_ASME 를 획득했다면, 복합 보안 키 K_ASME_D 의 산출 (216 및 218) (즉, 디바이스 인증과 가입자 인증의 바인딩) 은:
와 같이 이루어질 수도 있으며, 여기서 K_ASME 는 디바이스와 네트워크 사이의 가입자 인증 동안 (AKA 인증 교환 (210) 의 결과로서) 획득된 키 또는 값일 수도 있다. 일 예에서, K_ASME 키는 디바이스 (202) 와 네트워크 (108) 사이에서 이전에 생성되고/되거나 사용된 키일 수도 있다. 대안적으로, 디바이스 인증 프로세스 (212 및 214) 가 AKA 프로시저 (210) 에 대하여 사용된 NAS 메시지들과 동일한 NAS 메시지들을 사용하여 수행되면, 키 K_ASME 는 새로이 또는 동시에 생성될 수도 있다. 마찬가지로, device_temp_key 는 디바이스 (202) 와 네트워크 (108) 사이의 디바이스 인증 동안 획득된 키 또는 값일 수도 있다.
복합 보안 키는 그런 다음 부가적인 보안 키들을 산출하기 위한 베이시스 (basis) 및/또는 루트 (root) 로서 사용될 수도 있다 (217 및 219). 부가적인 보안 키들은, 예를 들면, NAS-레벨 및/또는 AS-레벨 통신을 안전하게 보호하도록 기능할 수도 있다.
보안 파라미터들에 연관된 복합 보안 키 K_ASME_D 및 K_ASME_D 로부터 유래한 모든 키들은 디바이스 (202) 상에서 안전하게 유지될 수도 있으며 UICC (204) 상에는 저장되지 않는다. 복합 보안 키 K_ASME_D 는 그런 다음 디바이스 (202) 와 코어 네트워크 (108) 사이에서 교환된 (220) 메시지들을 안전하게 보호하기 위하여 사용될 수도 있다.
(도 3a 및 도 3b 를 포함하는) 도 3 은 가입자 인증에 기초한 키 계층구조가 또한 디바이스 인증을 포함하도록 어떻게 수정될 수도 있는 가에 대한 예를 도시한다. 키 계층구조는 디바이스와 네트워크 사이의 통신을 암호화/복호화하는데 사용되는 보안 파라미터들 (예를 들면, 보안 키) 을 설정하기 위하여 구현될 수도 있다. 이 예에서, 가입자 인증 및 디바이스 인증은 디바이스 (322) 와 네트워크 엔티티 (324) 사이에 수행될 수도 있다. 디바이스 (322) 는 예를 들면, 액세스 단말 (AT), 사용자 장비 (UE), 모바일 폰 및/또는 릴레이 노드일 수도 있다. 네트워크 엔티티 (324) 는 이동성 관리 엔티티 (MME) 및/또는 홈 가입자 서버 (HSS) 와 같은 하나 이상의 네트워크 디바이스들일 수도 있다.
이 예는 가입자 인증과 디바이스 인증 양쪽 모두에 기초하여 제 2 키 계층구조 (300') 를 획득하기 위하여 가입자 인증에 기초한 제 1 키 계층구조 (300) 가 어떻게 수정되는 지를 도시한다.
제 1 키 계층구조 (300) 에서 도시한 바와 같은 가입자 인증의 목적들을 위해, 유니버셜 집적 회로 카드 (디바이스 (322) 내의 UICC) 및 네트워크 엔티티 (324) (예를 들면, 도 1 에서의 MME (110) 및 HSS (112), 또는 다른 네트워크 엔티티) 는 암호 키 (CK) (304) 및 무결성 키 (IK) (306) 를 생성하기 위하여 마스터 키 (K) (302) 를 사용할 수도 있다. 그런 다음, 암호 키 (CK) (304) 및 무결성 키 (IK) (306) 는 (본원에서 가입자 인증 키라고도 지칭되는) 액세스 보안 관리 엔티티 키 K_ASME (308) 를 생성하기 위하여 인증 및 키 합의 (AKA) 교환의 일부로서 디바이스 (322) 및 네트워크 엔티티 (324) 에 의해 사용될 수도 있다. 디바이스 (202) 의 보안 활성화는 인증 및 키 합의 (AKA) 프로시저, 비 액세스 계층 (NAS) 보안 모드 구성 (NAS SMC) 프로시저 및 액세스 계층 (AS) 보안 모드 구성 (AS SMC) 프로시저를 통하여 달성될 수도 있다.
이 예에서, 가입자 인증은 K_ASME (308) 의 결과를 초래하는 AKA 교환 (326) 을 포함할 수도 있다. AKA 교환 (326) 은 가입자 인증 요청 (340) 및 가입자 인증 응답 (342) 을 포함할 수도 있다. 이 예에서, K_ASME 키 (308) 를 생성하는 가입자 인증 프로세스는 또한 연관된 NAS-레벨 키들 (예를 들면, K_NAS-enc (305) 및 K_NAS-int (311)) 및/또는 AS-레벨 키들 (예를 들면, K_UP-enc (315), K_RRC-enc (317) 및 K_RRC-int (319)) 을 생성할 수도 있다. 일부 구현들에서, NAS-레벨 키들 및 AS-레벨 키들의 이 버전들이 사용되지 않으면, 이 키들의 생성은 가입자 인증 동안에 포기될 수도 있다는 것에 유의한다.
제 2 키 계층구조 (300') 는 NAS-레벨 보안 키들 및 AS-레벨 보안 키들을 생성하기 위하여 디바이스 인증이 가입자 인증에 어떻게 바인딩될 수도 있는 지를 도시한다. 가입자 인증 (및 그것의 대응하는 K_ASME 키 (308) 생성) 과 동시에, 그 전에 또는 그 뒤에, 디바이스 인증 (328) 은 적어도 부분적으로 디바이스-특정 루트 키에 기초하여 수행될 수도 있다. 디바이스 인증 (328) 은 디바이스 인증 요청 (344) 및 디바이스 인증 응답 (346) 을 포함할 수도 있다. 일 구현에서, 디바이스 인증 (307) 은 가입자 인증과는 독립적일 수도 있다; 가입자 인증 및 디바이스 인증 양쪽 모두가 만족되어야만 복합 보안 키 K_ASME_D (309) 가 생성된다. 대안적인 구현에서, 디바이스 인증은 가입자 인증 전에 수행될 수도 있다.
복합 보안 키 K_ASME_D (309) 는, 예를 들면, NAS (비 액세스 계층) 키들 (310 및 312) 및 AS (액세스 계층) 키들 (314, 316, 318 및 320) 의 산출을 위한 기저 키로서 사용될 수도 있다. 즉, 하나 이상의 보안 키들을 생성하기 위하여 디바이스 (322) 및 네트워크 엔티티 (324) 는 그런 다음 K_ASME_D (309) 를 사용할 수도 있다.
패킷-스위칭된 네트워크들은 다수의 계층적 프로토콜 층들로 구조화될 수도 있으며, 여기서 하위 프로토콜 층들은 상위 층들에 서비스들을 제공하고 각각의 층은 상이한 태스크들에 대한 책임을 진다. 예를 들면, 도 4 는 패킷-스위칭된 네트워크에서 동작하는 디바이스에서 구현될 수도 있는 예시적인 프로토콜 스택을 도시한다. 이 예에서, 프로토콜 스택 (402) 은 물리 (PHY) 층 (404), 미디어 액세스 제어 (MAC) 층 (406), 무선 링크 제어 (RLC) 층 (408), 패킷 데이터 컨버전스 프로토콜 (PDCP) 층 (410), 무선 자원 제어 (RRC) 층 (412), 비 액세스 계층 (NAS) 층 (414) 및 애플리케이션 (APP) 층 (416) 을 포함한다.
NAS 층 (414) 아래의 층들은 종종 액세스 계층 (AS) 층 (418) 으로 지칭된다. RLC 층 (408) 은 하나 이상의 채널들 (420) 을 포함할 수도 있다. RRC 층 (412) 은 접속된 상태 및 아이들 상태를 포함하여 액세스 단말에 대한 다양한 모니터링 모드들을 구현할 수도 있다. 비 액세스 계층 (NAS) 층 (414) 은 통신 디바이스의 이동성 관리 콘텍스트, 패킷 데이터 콘텍스트 및/또는 그것의 IP 주소들을 유지할 수도 있다. 다른 층들은 프로토콜 스택 (402) 내에 (예를 들면, 도시된 층들의 위에, 아래에 및/또는 사이에) 존재할 수도 있으나, 도시를 위해서는 생략되었다는 것에 유의한다.
도 4 를 참조하면, 무선/세션 베어러들 (422) 은, 예를 들면, RRC 층 (412) 및/또는 NAS 층 (414) 에서 설정될 수도 있다. 그 결과, 도 3 에 도시된 보안 키들 K_NAS-enc (310) 및 K_NAS-int (312) 를 생성하기 위하여 NAS 층 (414) 은 디바이스 (202) 및 코어 네트워크 (108) 에 의해 사용될 수도 있다. 마찬가지로, 액세스 계층 (AS) 보안 키들 K_UP-enc (316), K_RRC-enc (318) 및 K_RRC-int (320) 를 생성하기 위하여 RRC 층 (412) 은 디바이스 (202) 및 액세스 노드 (108) 에 의해 사용될 수도 있다. 보안 키들 K_UP-enc (316), K_RRC-enc (318) 및 K_RRC-int (320) 는 RRC 층 (312) 에서 생성될 수도 있지만, 시그널링 및/또는 사용자/데이터 통신을 안전하게 보호하기 위하여 이 키들은 PDCP 층 (410) 에 의해 사용될 수도 있다. 예를 들면, 사용자/데이터 플레인 (UP) 통신을 안전하게 보호하기 위하여 키 K_UP-enc (316) 는 PDCP 층 (410) 에 의해 사용될 수도 있으며, PDCP 층 (410) 에서의 시그널링 (즉, 제어) 통신을 안전하게 보호하기 위하여 키들 K_RRC-enc (318) 및 K_RRC-int (320) 가 사용될 수도 있다.
암호화 및 무결성 알고리즘들에 대하여 사용된, 이 보안 키들의 도출 시에, AS (사용자 플레인 및 RRC) 및 NAS 양쪽 모두에서의 이들 키들은 개별 알고리즘 아이덴티티가 입력들의 하나로서 제공되는 것을 요구한다. AS 레벨에서, 사용될 알고리즘들은 무선 자원 제어 (RRC) 보안 모드 커맨드에 의해 제공된다.
도 5 는 도 3 및 도 4 에 도시된 다양한 인증 및/또는 보안 키들이 생성될 수도 있는 네트워크 시스템을 도시한 블록도이다. 여기에서, 디바이스 (322) 는 다양한 층들 (예를 들면, APP, NAS, RRC, RLC, MAC 및 PHY) 을 포함하는 통신 스택을 구현할 수도 있다. 액세스 네트워크 (504) (예를 들면, 도 1 의 액세스 노드 (106)) 는 그것이 네트워크 (108) 와 통신할 수도 있도록 디바이스 (322) 에게 무선 접속성을 제공할 수도 있다. 홈 가입자 서버 (506) 및 디바이스 (322) 양쪽 모두는 암호 키 (CK) 및/또는 무결성 키 (IK) 를 생성 또는 획득하기 위하여 사용될 수 있는 루트 키 (K) 를 알 수도 있거나 액세스할 수도 있다. 액세스 보안 관리 엔티티 키 K_ASME 를 생성하기 위하여 디바이스 (322) 및/또는 HSS (506) 는 그런 다음 암호 키 (CK) 및/또는 무결성 키 (IK) 를 사용할 수도 있다. 복합 보안 키 K_ASME_D 를 생성하기 위하여 디바이스 인증이 또한 수행될 수도 있고 K_ASME 키와 결합되거나 K_ASME 키에 기초할 수도 있으며, 그렇게 함으로써 가입자 인증과 디바이스 인증을 하나의 키로 결합한다. K_ASME_d 키를 사용하여, 디바이스 (322) 및 이동성 관리 엔티티 (MME) (510) 는 그런 다음 키들 K_NAS-enc 및 K_NAS-int 를 생성할 수도 있다. 디바이스 (322) 및 MME (510) 는 또한 액세스 네트워크-특정 키 K_eNB/NH 를 생성할 수도 있다. 이 액세스 네트워크-특정 키 K_eNB/NH 를 사용하여, 디바이스 (322) 및 액세스 네트워크 (504) 는 키들 K_UP-enc 및 K_RRC-enc 및 K_RRC-int 를 생성할 수도 있다.
이 키들의 도출에 대한 세부사항들은 본원에서 참조로서 통합된, (3GPP TS 33.401 로서 알려진) 3GPP STD-T63-33.401 "System Architecture Evolution (SAE): Security Architecture" Release 8 에 제공된다. 도 3 내지 도 5 는 디바이스 인증 및 가입자 인증 및 바인딩이 구현될 수도 있는 특정 환경/콘텍스트를 설명하지만, 이것은 네트워크들의 다양한 다른 유형들에서 구현될 수도 있는 이 피쳐들을 제한하려는 의도를 가지고 있지 않다는 것에 유의한다.
예시적인 무선
디바이스
도 6 은 가입자 인증 및 디바이스 인증을 바인딩하도록 적응될 수도 있는 무선 디바이스 (600) 의 선택 컴포넌트들을 도시한 블록도이다. 무선 디바이스 (600) 는 일반적으로 하나 이상의 무선 통신 인터페이스(들) (604) 에 결합된 프로세싱 회로 (602) 를 포함한다. 예를 들면, 무선 디바이스 (600) 는 릴레이 노드 및/또는 액세스 단말일 수도 있다.
프로세싱 회로 (602) 는 데이터를 획득하고, 프로세스하고/하거나 전송하고, 데이터 액세스 및 저장을 제어하고, 커맨드들을 발행하고, 그리고 다른 원하는 동작들을 제어하도록 배열될 수도 있다. 프로세싱 회로 (602) 는 적어도 하나의 실시형태에서 적절한 매체들에 의해 제공되는 원하는 프로그래밍을 구현하도록 구성된 회로를 포함할 수도 있다. 예를 들면, 프로세싱 회로 (602) 는 프로세서, 제어기, 예를 들면, 복수의 프로세서들 및/또는 소프트웨어 및/또는 펌웨어 명령들을 포함하는 실행가능한 명령들을 실행하도록 구성된 다른 구조 중 하나 이상, 및/또는 하드웨어 회로로서 구현될 수도 있다. 프로세싱 회로 (602) 의 실시형태들은 범용 프로세서, 디지털 신호 프로세서 (DSP), 주문형 집적회로 (ASIC), 필드 프로그래머블 게이트 어레이 (FPGA) 또는 다른 프로그래머블 로직 컴포넌트, 이산 게이트 또는 트랜지스터 로직, 이산 하드웨어 컴포넌트들, 또는 본원에서 설명된 기능들을 수행하도록 디자인된 임의의 조합을 포함할 수도 있다. 범용 프로세서는 마이크로프로세서일 수도 있으나, 대안에서, 프로세서는 임의의 종래의 프로세서, 제어기, 마이크로제어기 또는 상태 머신일 수도 있다. 프로세서는 또한 DSP 와 마이크로프로세서의 조합과 같은 컴퓨팅 컴포넌트들의 조합, 다수의 마이크로프로세서들, DSP 코어와 협력하는 하나 이상의 마이크로프로세서들, 또는 임의의 다른 그러한 구성으로서 구현될 수도 있다. 프로세싱 회로 (602) 의 이 예들은 예시를 위한 것이며 본 개시의 범위 내의 다른 적합한 구성들이 또한 고려된다.
무선 통신 인터페이스 (604) 는 무선 디바이스 (600) 의 무선 통신을 용이하게 하도록 구성될 수도 있다. 예를 들면, 통신 인터페이스 (604) 는 액세스 단말들, 액세스 노드들, 다른 릴레이 노드들 등과 같은 다른 무선 디바이스들에 대하여 정보를 양방향으로 통신하도록 구성될 수도 있다. 통신 인터페이스 (604) 는 안테나 (미도시) 에 결합될 수도 있고 무선 통신을 위하여 적어도 하나의 송신기 및/또는 적어도 하나의 수신기 (예를 들면, 하나 이상의 송신기/수신기 체인들) 를 포함하는 무선 송수신기 회로를 포함할 수도 있다.
프로세싱 회로 (602) 는 가입자 및 디바이스 인증 바인딩 모듈 (610) 을 포함할 수도 있다. 가입자 및 디바이스 인증 바인딩 모듈 (610) 은 가입자 보안 크리덴셜들 (예를 들면, 유니버셜 집적 회로 카드 (608) 에 저장된 가입자-특정 키 (607) 및/또는 가입자 아이덴티티 (609)) 을 이용하여 가입자 인증 프로시저들을 수행하도록 적응되고, (신뢰 환경 (606) 내에서) 디바이스-특정 크리덴셜들 (예를 들면, 디바이스-특정 키 (605) 및/또는 디바이스 아이덴티티 (611)) 을 이용하여 디바이스 인증 프로시저들을 수행하도록 적응되고 가입자 인증 및 디바이스 인증을 함께 바인딩하는 회로 및/또는 프로그래밍을 포함할 수 있다. 그러한 "바인딩" 은 가입자 인증 및 디바이스 인증 양쪽 모두로부터의 일부 결과들을 결합하는 것과 연관될 수도 있다. 예를 들면, 제 3 (복합) 보안 키를 획득하기 위하여, 가입자 인증으로부터 획득한 제 1 보안 키는 디바이스 인증으로부터 획득한 제 2 보안 키와 결합될 수도 있다.
일부 실시형태들에서, 무선 디바이스 (600) 는 신뢰 환경 (TrE) (606) 을 포함할 수도 있다. 신뢰 환경 (606) 은 TS 33.320 에서의 3GPP 사양 세부사항에서 신뢰 환경에 대한 사양들을 충족시키도록 적응될 수도 있다. 신뢰 환경 (606) 에는 적어도 일부 보안 크리덴셜들 (예를 들면, 디바이스-특정 키 (605) 및/또는 디바이스 아이덴티티 (611)) 이 사전 제공 (또는 안전하게 내장) 될 수도 있다. 예를 들면, 신뢰 환경 (606) 은 디바이스 인증과 관련된 보안 크리덴셜들을 가질 수도 있다.
일부 실시형태들에서, 무선 디바이스 (600) 는 유니버셜 집적 회로 카드 (UICC) (608) 내에 안전하게 보호된 프로세싱을 포함할 수도 있다. UICC (608) 는 무선 디바이스 (600) 에 착탈 가능하게 결합될 수도 있다. UICC (608) 에는 초기 인증 및 키 합의 (AKA) 크리덴셜들과 같은, 가입자 보안 크리덴셜들 (예를 들면, 가입자-특정 키 (607) 및/또는 가입자 아이덴티티 (609)) 이 사전 제공될 수도 있다. 대안적으로, 안전하게 보호된 프로세싱이 유니버셜 가입자 아이덴티티 모듈 (USIM) 내에서 수행될 수도 있다.
무선 디바이스 (600) 의 하나 이상의 피쳐들에 따라서, 프로세싱 회로 (602) 는 도 2 내지 도 5, 도 7, 도 10, 도 11 및 도 12 에 도시된 연관된 프로세스들, 기능들, 단계들 및/또는 루틴들의 임의의 하나 또는 모두를 수행하도록 적응될 수도 있다. 본원에서 사용된 바와 같이, 프로세싱 회로 (602) 에 관한 용어 "적응된 (adapted)" 은 프로세싱 회로 (602) 가 본원에서 개시된 다양한 피쳐들에 따라서 특정 프로세스, 기능, 단계 및/또는 루틴을 수행하도록 구성, 채용, 구현, 및/또는 프로그램된 것을 나타낼 수도 있다.
도 7 은 가입자 인증과 디바이스 인증을 바인딩하는 보안 키를 생성하기 위하여 무선 디바이스에서 동작하는 방법의 예를 도시한 플로우 다이어그램이다. 무선 디바이스에 디바이스-특정 키가 사전 제공될 수도 있다 (702). 예를 들면, 그러한 디바이스-특정 키는 칩에 내장되거나 무선 디바이스의 제조 동안 구성될 수도 있다. 무선 디바이스는 또한 디바이스-특정 키와 연관된 디바이스 식별자를 포함할 수도 있다. 부가적으로, 무선 디바이스에 가입자-특정 키가 사전 제공될 수도 있다 (704). 예를 들면, 그러한 가입자-특정 키는 가입자에게 할당된 루트 키일 수도 있고, 무선 디바이스에 결합된 고정된 또는 착탈식 모듈 (예를 들면, UICC 또는 USIM) 내에 저장될 수도 있다. 무선 디바이스는 또한 가입자-특정 키와 연관된 가입 아이덴티티를 포함할 수도 있다. 무선 디바이스는 (예를 들면, 가입자-특정 키를 사용하여) 네트워크 엔티티와의 가입자 인증을 수행할 수도 있다 (706). 이것은, 예를 들면, 네트워크 엔티티와의 인증 및 키 합의 교환을 포함할 수도 있다. 무선 디바이스는 또한 (예를 들면, 디바이스-특정 키를 사용하여) 네트워크 엔티티와의 디바이스 인증을 수행할 수도 있다 (708). 가입자 인증 및 디바이스 인증은 동일하거나 상이한 시간들에서 동일한 네트워크 엔티티 또는 상이한 네트워크 엔티티들과 수행될 수도 있다. 보안 키 (예를 들면, K_ASME_D 등) 는 그런 다음 무선 디바이스에 의해 생성될 수도 있으며, 그러한 보안 키는 가입자 인증과 디바이스 인증을 바인딩한다 (710). 예를 들면, 일 예에서, 보안 키를 생성하기 위하여 디바이스 인증으로부터의 데이터 (예를 들면, 결과로 초래되는 하나 이상의 키들, 인증서들, 식별자들 등) 및 가입자 인증으로부터의 데이터 (예를 들면, 결과로 초래되는 하나 이상의 키들, 인증서들, 식별자들 등) 가 결합될 수도 있다. 예를 들면, 도 1 에서, 보안 키 K_ASME_D 를 생성하기 위하여 가입자 인증 (210) 으로부터의 K_ASME 키와 도 1 에서의 디바이스 인증으로부터의 device_temp_key 가 결합될 수도 있다. 보안 키는 그런 다음 무선 디바이스와 네트워크 엔티티 사이의 무선 통신을 안전하게 보호하기 위하여 사용될 수도 있다 (712). 예를 들면, 보안 키는 무선 디바이스와 네트워크 사이의 통신 (예를 들면, 데이터 및 시그널링) 을 암호화/해독하도록 기능할 수도 있는 다른 키들 및/또는 인증서들 (예를 들면, NAS-레벨 및/또는 AS-레벨 보안 키들) 을 생성하기 위하여 사용될 수도 있다.
예시적인 네트워크 엔티티
도 8 은 가입자 인증과 디바이스 인증을 바인딩하기 위하여 적응될 수도 있는 네트워크 엔티티 (800) 의 선택 컴포넌트들을 도시한 블록도이다. 네트워크 엔티티 (800) 는 통신 인터페이스 (804) 에 결합된 프로세싱 회로 (802) 를 포함할 수도 있다. 프로세싱 회로 (802) 는 데이터를 획득하고, 프로세스하고/하거나 전송하고, 데이터 액세스 및 저장을 제어하고, 커맨드들을 발행하고, 그리고 다른 원하는 동작들을 제어하도록 배열된다. 프로세싱 회로 (802) 는 적어도 하나의 실시형태에서 적절한 매체들에 의해 제공되는 원하는 프로그래밍을 구현하도록 구성된 회로를 포함할 수도 있다. 예를 들면, 프로세싱 회로 (802) 는 프로세서, 제어기, 복수의 프로세서들 및/또는 예를 들면, 소프트웨어 및/또는 펌웨어 명령들을 포함하는 실행가능한 명령들을 실행하도록 구성된 다른 구조 중 하나 이상, 및/또는 하드웨어 회로로서 구현될 수도 있다. 프로세싱 회로 (802) 의 실시형태들은 범용 프로세서, 디지털 신호 프로세서 (DSP), 주문형 집적회로 (ASIC), 필드 프로그래머블 게이트 어레이 (FPGA) 또는 다른 프로그래머블 로직 컴포넌트, 이산 게이트 또는 트랜지스터 로직, 이산 하드웨어 컴포넌트들, 또는 본원에서 설명된 기능들을 수행하도록 디자인된 임의의 조합을 포함할 수도 있다. 범용 프로세서는 마이크로프로세서일 수도 있으나, 대안에서, 프로세서는 종래의 프로세서, 제어기, 마이크로제어기 또는 상태 머신일 수도 있다. 프로세서는 또한 DSP 와 마이크로프로세서의 조합과 같은 컴퓨팅 컴포넌트들의 조합, 다수의 마이크로프로세서들, DSP 코어와 협력하는 하나 이상의 마이크로프로세서들, 또는 임의의 다른 그러한 구성으로서 구현될 수도 있다. 프로세싱 회로 (802) 의 이 예들은 예시를 위한 것이며 본 개시의 범위 내의 다른 적합한 구성들이 또한 고려된다.
프로세싱 회로 (802) 는 가입자 및 디바이스 인증 바인딩 모듈 (806) 을 포함한다. 가입자 및 디바이스 인증 바인딩 모듈 (806) 은 가입자 보안 크리덴셜들 (예를 들면, 가입자-특정 키 및/또는 가입자 식별자) 에 기초하여 가입을 인증하기 위한 가입자 인증 프로시저들을 수행하고, 디바이스-특정 크리덴셜들 (예를 들면, 디바이스-특정 키 및/또는 디바이스 식별자) 에 기초하여 디바이스를 인증하기 위한 디바이스 인증 프로시저들을 수행하고, 그리고 보안 키를 생성하기 위하여 디바이스 인증 및 가입자 인증으로부터 데이터 (예를 들면, 키들, 값들, 인증서들 등) 를 바인딩하도록 적응된 회로 및/또는 프로그래밍을 포함할 수 있다.
통신 인터페이스 (804) 는 네트워크 엔티티 (800) 가 릴레이 노드들 및 액세스 단말들과 같은 다른 디바이스들과 직접적으로 또는 간접적으로 (예를 들면, 하나 이상의 다른 네트워크 엔티티들을 통하여) 통신하는 것을 용이하게 하도록 구성된다.
네트워크 엔티티 (800) 의 하나 이상의 피쳐들에 따라서, 프로세싱 회로 (802) 는 모바일 관리 엔티티 (MME) (110) 및 홈 가입자 서버 (HSS) (112) 와 같은 다양한 네트워크 엔티티들과 관련된 프로세스들, 기능들, 단계들 및/또는 루틴들 중 임의의 것 또는 모두를 수행하도록 적응될 수도 있다. 더욱이, 네트워크 엔티티 (800) 는 단일 엔티티 또는 네트워크의 2 개 이상의 엔티티들의 조합을 포함할 수도 있다. 제한적이지 않은 예로서, 네트워크 엔티티 (800) 는 그 중에서도 모바일 관리 엔티티 (MME), 홈 가입자 서버 (HSS), 디바이스 인증 서버를 포함할 수도 있다. 본원에서 사용되는 바와 같이, 프로세싱 회로 (802) 에 관한 용어 "적응된 (adapted)" 은 본원에서 설명된 다양한 피쳐들에 따라서 특정 프로세스, 기능, 단계 및/또는 루틴을 수행하도록 구성된, 채용된, 구현된 또는 프로그램된 중의 하나 이상인 프로세싱 회로 (802) 를 나타낼 수도 있다.
도 9 는 가입자 인증과 디바이스 인증을 바인딩하는 보안 키를 생성하기 위하여 네트워크 엔티티에서 동작하는 방법의 예를 도시하는 플로우 다이어그램이다. 네트워크 엔티티는 무선 디바이스에 대한 디바이스-특정 키를 획득할 수도 있다 (902). 예를 들면, 그러한 디바이스-특정 키는 칩 내에 내장되거나 무선 디바이스의 제조 동안에 구성될 수도 있으며, 이 정보는 네트워크 엔티티가 액세스할 수 있는 데이터베이스 내에 저장될 수도 있다. 디바이스 식별자는 디바이스-특정 키와 연관될 수도 있으며 디바이스 및 그것의 키를 식별하기 위하여 사용될 수도 있다. 부가적으로, 네트워크 엔티티는 무선 디바이스에 대한 가입과 연관된 가입자-특정 키를 획득할 수도 있다 (904). 예를 들면, 그러한 가입자-특정 키는 가입자에게 할당된 루트 키일 수도 있고, 무선 디바이스에 결합된 고정된 또는 착탈식 모듈 (예를 들면, UICC 또는 USIM) 내에 저장될 수도 있다. 네트워크 엔티티는 (예를 들면, 가입자-특정 키를 사용하여) 무선 디바이스와의 가입자 인증을 수행할 수도 있다 (906). 이것은, 예를 들면, 네트워크 엔티티와의 인증 및 키 합의 교환을 포함한다. 네트워크 엔티티는 또한 (예를 들면, 디바이스-특정 키를 사용하여) 무선 디바이스와의 디바이스 인증을 수행할 수도 있다 (908). 가입자 인증 및 디바이스 인증은 동일하거나 상이한 시간들에서 수행될 수도 있다. (복합) 보안 키 (예를 들면, K_ASME_D 등) 는 그런 다음 네트워크 엔티티에 의해 생성되며, 그러한 보안 키는 가입자 인증과 디바이스 인증을 바인딩한다 (910). 예를 들면, 일 예에서, 보안 키를 생성하기 위하여 디바이스 인증으로부터의 데이터 (예를 들면, 결과로 초래되는 하나 이상의 키들, 인증서들, 식별자들 등) 와 가입자 인증으로부터의 데이터 (예를 들면, K_ASME 등) 가 결합될 수도 있다. 보안 키는 그런 다음 네트워크 엔티티와 무선 디바이스 사이의 무선 통신을 안전하게 보호하기 위하여 사용될 수도 있다 (912). 예를 들면, 보안 키는 무선 디바이스와 네트워크 사이의 통신을 암호화/해독하도록 기능할 수도 있는 다른 키들을 생성하기 위하여 사용될 수도 있다.
가입자-
디바이스
인증의 제 1 예시적인 방법
도 10 은 가입자 인증과 디바이스 인증을 바인딩함으로써 보안 키를 생성하는 제 1 예시적인 방법을 도시한다. 이 예에서, 디바이스 (1002) 는, 예를 들면, 릴레이 노드 또는 액세스 단말일 수도 있다. 디바이스 (1102) 가 (예를 들면, MME (1002) 및 HSS (1006) 를 포함하는) 무선 네트워크에 어태치되도록 시도할 수도 있는 어태치 스테이지 동안에, 디바이스 아이덴티티 또는 다른 관련된 디바이스 정보를 오버 디 에어 (over the air) 로 드러내는 것은 (예를 들면, 디바이스 (1002) 에 대한) 보안상의 관심사일 수도 있다. 그 결과, 이 방법에서, 디바이스상의 수동적인 공격들을 방지하기 위하여 네트워크에 의해 안전하게 요청될 때까지 디바이스 (1002) 는 그것의 디바이스 크리덴셜들 (예를 들면, 국제 모바일 장비 아이덴티티 (IMEI) 와 같은 디바이스-특정 식별자 등) 을 오버 디 에어로 제시하지 않는다.
디바이스는 디바이스 인증을 할 수 있는 표시를 포함하는 어태치 요청 (1010) 을 네트워크에 전송함으로써 시작할 수도 있다. 어태치 요청 (1010) 을 수신하면, 이동성 관리 엔티티 (MME) (1004) 는 홈 가입자 서버 (HSS) (1006) 로부터 (예를 들면, 디바이스 (1002) 의 가입-기반 어카운트 또는 사용자와 연관된) 가입 및 인증 정보를 요청 및 수신할 수도 있다 (1012). AKA 인증을 수행하기 위하여 MME (1004) 는 그런 다음 AKA 도전을 포함하는 인증 요청 (1014) 을 전송한다. AKA 인증 요청 (1014) 을 수신하면, 디바이스 (1002) 는 AKA 응답을 포함하는 인증 응답 (1016) 을 전송한다. AKA 인증 요청 (1014) 및 응답 (1016) 은 가입자 인증을 수행하도록 기능한다. 그러한 AKA 인증 프로시저들은 디바이스 (1002) 및 MME 에 의해 생성되는 가입자 인증 키 (예를 들면, K_ASME) 의 결과를 초래할 수도 있다.
디바이스 인증은 이 보안 활성화 프로세스 동안 다양한 스테이지들에서 수행될 수도 있다. 이 예에서, 디바이스 인증은 NAS-레벨 보안 메시지들 상에서 피기 백 (piggy-backed) 될 수도 있다. 예를 들면, MME (1004) 는 디바이스 아이덴티티에 대한 요청 (예를 들면, IMEI 소프트웨어 버전 (IMEISV) 에 대한 요청 및/또는 device_credentials 에 대한 요청) 을 포함하는 NAS 보안 모드 커맨드 (1018) 를 전송할 수도 있다. 응답하여, 디바이스 (1002) 는 보안 모드 완료 (1020) 메시지 내에, 디바이스 인증이 수행될 것이라는 디바이스 아이덴티티 또는 크리덴셜을 제공할 수도 있다. 송신 동안 오버 디 에어로 디바이스 아이덴티티 또는 크리덴셜을 노출하는 것을 회피하기 위하여, 보안 모드 완료 (1020) 내의 디바이스 아이덴티티 또는 크리덴셜은 이전에 계산된 가입자 인증 키 (예를 들면, K_ASME) 에 의해 안전하게 보호될 수도 있다는 것에 유의한다. 디바이스 아이덴티티 또는 크리덴셜을 수신하면, MME (1004) 는 진화형/확장형 키 세트 식별자 (eKSI) 및 device_challange 와 함께 아이덴티티 요청 (1022) 메시지를 전송할 수도 있다. eKSI 는 생성될 K_ASME_D 와 연관될 수도 있다. 따라서, 아이덴티티 요청 (1022) 에서 사용된 eKSI 는, 예를 들면, AKA (즉, 가입자 인증) 에 대하여 사용되었을 수도 있는 임의의 다른 eKSI 와 상이하거나 구별될 수도 있다. 아이덴티티 요청 (1022) 메시지를 수신하면, 디바이스 (1002) 는 device_challange 에 기초하여 device_response 를 생성할 수도 있으며 이것을 아이덴티티_응답 (1024) 메시지의 일부로서 전송한다. device_response 는 device_challange 및 디바이스 아이덴티티 또는 크리덴셜에 기초할 수도 있다. 디바이스 (1002) 는 그런 다음 인증 키 (예를 들면, K_ASME) 및 디바이스 인증 데이터 (예를 들면, 디바이스 응답 등) 에 기초하여 (복합) 보안 키 (K_ASME_D) (1025) 를 산출할 수도 있다. MME (1004) 는, 예를 들면, 디바이스 (1002) 의 디바이스 아이덴티티 또는 인증서를 사용하여 그리고 device_response 를 사용함으로써 device_response 를 점검한다. 디바이스 (1002) 가 MME (1004) 에 의해 성공적으로 인증되면, MME (1004) 는 또한 보안 키 (K_ASME_D) (1027) 를 생성한다. 이 시점에서, 디바이스 (1002) 및 MME (1004) 는 보안 키 (K_ASME_D) 및 그것의 연관된 식별자 (eKSI) 를 공유한다.
MME (1004) 는 그런 다음 보안 키 (K_ASME_D) 와 연관된 진화형/확장형 키 세트 식별자 (eKSI) 와 함께 보안 모드 커맨드 (1026) 를 전송할 수도 있다. 이것은 디바이스 (1002) 가 보안 키 (K_ASME_D) 에 기초하여 하나 이상의 보안 키들을 계산하는 것을 허용한다. 이 디바이스 (1002) 는 보안 모드 완료 (1028) 메시지를 MME (1004) 에 전송할 수도 있으며, 이에 의해 MME (1004) 이 어태치 완료 (1030) 메시지를 전송하는 것을 허용한다.
가입자-
디바이스
인증의 제 2 예시적인 방법
도 11 은 가입자 인증과 디바이스 인증을 바인딩함으로써 보안 키를 생성하는 제 2 예시적인 방법을 도시한다. 이 예에서, 오버 디 에어 송신에서 디바이스 아이덴티티 또는 인증서 (또는 다른 관련된 크리덴셜 정보) 를 드러내는 것은 보안상의 관심사가 아니다. 도 10 의 방법과는 달리, 이 경우에서, 디바이스 아이덴티티를 솔직하게 제시하는 것은 임의의 프라이버시 이슈들 또는 리스크들을 유도하지 않을 것이라는 것이 가정된다.
디바이스는, MME 가 허용할 디바이스 식별자 또는 크리덴셜들 (예를 들면, IMEI) 을 이미 갖고 있지만 그 MME 가 사용하고자 하는 E-UTRAN 보안 콘텍스트는 갖고 있지 않다.
디바이스 (1102) 는 그것의 디바이스 식별자 또는 크리덴셜들을 포함하는 어태치 요청 (1108) 을 MME (1104) 에 전송한다. MME (1104) 는 HSS (1106) 로부터 가입 및 인증 정보를 획득할 수도 있고 (1110), 예를 들면, (가입 인증에 대한) AKA 도전 및/또는 (디바이스 인증에 대한) 디바이스 도전을 포함하는 인증 요청 (1112) 를 전송한다. 디바이스 (1102) 는 AKA 응답 및/또는 디바이스 응답을 포함할 수도 있는 인증 응답 (1114) 을 전송함으로써 응답할 수도 있다는 것에 유의한다. AKA 응답은 적어도 부분적으로 가입자 식별자에 기초할 수도 있다. 디바이스 응답은 디바이스 식별자 및/또는 크리덴셜들 및 디바이스 도전에 기초할 수도 있다. 디바이스 (1104) 는 그런 다음 가입자 인증 정보와 디바이스 인증 정보를 결합함으로써 (복합) 보안 키 (K_ASME_D) 를 생성할 수도 있다. 마찬가지로, AKA 응답과 디바이스 응답을 성공적으로 검증하면, MME (1104) 는 또한 가입자 인증 정보와 디바이스 인증 정보를 결합함으로써 보안 키 (K_ASME_D) 를 생성할 수도 있다.
MME 는 보안 키 (K_ASME_D) 에 기초하여 보안 콘텍스트 사용을 시작하기 위하여 보안 모드 커맨드 (1116) 메시지를 전송한다. 디바이스 (1102) 는 보안 모드 완료 (1118) 메시지로 대응한다. 즉, 디바이스 (1102) 및 MME (1104) 는 보안 키 (K_ASME_D) 를 사용하여 하나 이상의 부가적인 보안 키들을 생성할 (또는 그렇지 않으면 디바이스 (110) 와 MME (1104) 사이의 통신을 안전하게 보호할) 수도 있다. MME (1104) 는 그런 다음 어태치 완료 (1120) 메시지를 디바이스 (1102) 에 전송할 수도 있다.
여기에서의 관측은 디바이스 식별자 및/또는 크리덴셜들 (또는 이전에 획득된/생성된 디바이스 키들) 이 HSS (1106) 또는 가입 식별자를 가진 다른 네트워크내의 다른 서버에 저장되었다면, 어태치먼트를 수행하기 위하여 디바이스 (1102) 는 이 플로우를 사용할 수 있다는 것이다. 거기에서 이것을 하기 위하여, 디바이스 (1102) 는 그것의 디바이스 식별자 및/또는 크리덴셜이 HSS (1106) 또는 다른 네트워크 서버로부터 획득될 수도 있다는 것을 (예를 들면, 어태치 요청 (1108)에서) 나타낼 수도 있다. 대안적으로, MME (1104) 는 (예를 들면, 일부 형태의 device_challenge 와 함께, IMEI 와 같은 디바이스 식별자를 포함함으로써) device_challenge 는 특정 디바이스 식별자와 연관되었다는 것을 디바이스 (1102) 에게 나타낼 수도 있다. 이렇게 하여, 디바이스 (1102) 는 (인증 요청 (1112) 에서의) 디바이스 도전이 그것의 디바이스 식별자와 연관된다는 것을 알 수 있다.
가입자-
디바이스
인증의 제 3 예시적인 방법
도 12 는 가입자 인증과 디바이스 인증을 바인딩함으로써 보안 키를 생성하는 제 3 예시적인 방법을 도시한다. 이 예에서, 가입자 인증은 이전에 수행되었으므로 가입자 보안 콘텍스트 (1206) (예를 들면, K_ASME 키) 는 이미 제시되었다. 결합된 가입자 인증과 디바이스 인증은 기존의 보안 콘텍스트를 대체하기 위하여 네트워크에 의해 개시될 수도 있다. 이 실시형태는 오퍼레이터로부터 완벽하거나 동작할 준비가 된 크리덴셜들을 획득하기 위하여 초기 AKA-기반 보안 콘텍스트를 설정하는 것이 필요할 수도 있는 디바이스들에게 유익할 수도 있다.
이 접근법은 MME 가 디바이스 식별자 (예를 들면, IMEI) 및/또는 device_credentials 를 이미 알고 있다는 것을 가정한다.
MME (1204) 는 device_challenge 를 포함하는 인증 요청 (1208) 을 디바이스 (1202) 에 전송한다. 응답하여, 디바이스 (1202) 는 device_response 를 포함하는 인증 응답 (1210) 을 MME (1204) 에 전송한다. device_response 는 device_challenge 및 디바이스 식별자 및/또는 인증서에 기초할 수도 있다. 이 시점에, 디바이스 (1202) 및 MME (1204) 양쪽 모두는 (예를 들면, AKA-기반 보안 콘텍스트 및 디바이스 인증 정보에 기초하여) (복합) 보안 키 (K_ASME_D) 를 산출하기 위한 충분한 정보를 가질 수도 있다.
MME (1204) 는 기존의 보안 콘텍스트 (1206) 를 (예를 들면, 가입자 인증과 디바이스 인증 양쪽 모두를 통합하는) 새로운 보안 키 (K_ASME_D) 에 기초한 콘텍스트로 교체하기 위하여 NAS 보안 모드 커맨드 (1212) 를 디바이스 (1202) 에 전송할 수도 있다. 응답하여, 디바이스 (1202) 는 보안 키 (K_ASME_D) 에 기초한 새로운 보안 콘텍스트를 생성할 수도 있으며 응답으로 NAS 보안 모드 완료 (1214) 메시지를 전송할 수도 있다.
본원에서 다양한 예들은 가입자 인증 및 디바이스 인증 양쪽 모두가 MME 를 통하여 수행될 수도 있다는 것을 예시하지만, 다른 네트워크 엔티티들은 MME 를 결합하여 또는 MME 를 대신하여 이 기능들의 일부를 수행할 수도 있다는 것에 유의한다.
도 1, 도 2, 도 3, 도 4, 도 5, 도 6, 도 7, 도 8, 도 9, 도 10, 도 11 및/또는 도 12 에 도시된 컴포넌트들, 단계들, 피쳐들 및/또는 기능들 중 하나 이상은 단일 컴포넌트, 단계, 피쳐 또는 기능으로 재배치될 수도 있고/있거나 결합될 수도 있거나 또는 여러 개의 컴포넌트들, 단계들 또는 기능들로 구체화될 수도 있다. 부가적인 엘리먼트들, 컴포넌트들, 단계들 및/또는 기능들은 또한 본 개시를 벗어나지 않고 부가될 수도 있다. 도 1, 도 5, 도 6 및/또는 도 8 에 도시한 장치, 디바이스들 및/또는 컴포넌트들은 도 2, 도 3, 도 4, 도 7 및/또는 도 9 내지 도 12 에 설명된 방법들, 피쳐들 또는 단계들 중 하나 이상을 수행하도록 구성될 수도 있다. 본원에서 설명된 신규한 알고리즘들은 또한 소프트웨어로 효율적으로 구현되고/되거나 하드웨어로 구체화될 수도 있다.
또한, 적어도 일부 구현들이 플로우차트, 플로우 다이어그램, 구조도 또는 블록도로서 도시된 프로세스로서 설명되었다는 것에 유의한다. 플로우차트가 동작들을 연속적 프로세스로서 설명할 수도 있으나, 동작들의 다수는 병행하여 또는 동시에 수행될 수 있다. 부가하여, 동작들의 순서는 재배치될 수도 있다. 프로세스는 그것의 동작들이 완료되면 종료된다. 프로세스는 방법, 기능, 프로시저, 서브루틴, 서브프로그램 등에 대응할 수도 있다. 프로세스가 기능에 대응할 때, 그것의 종료는 콜링 기능 또는 주요 기능으로의 기능의 리턴 (return) 에 대응한다.
더구나, 실시형태들은 하드웨어, 소프트웨어, 펌웨어, 미들웨어, 마이크로코드 또는 이들의 조합에 의해 구현될 수도 있다. 소프트웨어, 펌웨어, 미들웨어 또는 마이크로코드로 구현되면, 필요한 태스크들을 수행할 프로그램 코드 또는 코드 세그먼트들은 저장 매체 또는 다른 스토리지(들) 과 같은 기계 판독가능 매체에 저장될 수도 있다. 프로세서는 필요한 태스크들을 수행할 수도 있다. 코드 세그먼트는 프로시저, 기능, 서브프로그램, 프로그램, 루틴, 서브루틴, 모듈, 소프트웨어 패키지, 클래스, 또는 명령들의 임의의 조합, 데이터 구조들, 또는 프로그램 문들 (statements) 을 나타낼 수도 있다. 코드 세그먼트는 정보, 데이터, 논의들, 파라미터들 또는 메모리 콘텐츠들을 패스 및/또는 수신함으로써 다른 코드 세그먼트 또는 하드웨어 회로에 결합될 수도 있다. 정보, 논의들, 파라미터들, 데이터 등은 메모리 공유, 메시지 패싱, 토큰 패싱, 네트워크 송신 등을 포함하는 임의의 적합한 수단을 통하여 패스되거나, 포워딩되거나 또는 송신될 수도 있다.
용어들 "기계 판독가능 매체", "컴퓨터 판독가능 매체" 및/또는 "프로세서 판독가능 매체" 는 휴대용 또는 고정된 저장 디바이스들, 광 저장 디바이스들, 및 명령(들) 및/또는 데이터를 저장, 포함 또는 캐리할 수 있는 다양한 다른 비일시적 매체들을 포함할 수도 있으나 이에 제한되지는 않는다. 따라서, 본원에서 설명된 다양한 방법들은 "기계 판독가능 매체", "컴퓨터 판독가능 매체" 및/또는 "프로세서 판독가능 매체" 에 저장될 수도 있는 명령들 및/또는 데이터에 의해 부분적으로 또는 전체적으로 구현될 수도 있고 하나 이상의 프로세서들, 기계들 및/또는 디바이스들에 의해 수행될 수도 있다.
본원에서 개시된 예들과 연계되어 설명된 방법들 또는 알고리즘들은 직접적으로 하드웨어로, 프로세서에 의해 실행가능한 소프트웨어 모듈로, 또는 양쪽의 조합으로, 프로세싱 유닛, 프로그래밍 명령들 또는 다른 방향들의 형태로 구체화될 수도 있으며, 단일 디바이스에 포함되거나 다수의 디바이스들에 걸쳐서 배분될 수도 있다. 소프트웨어 모듈은 RAM 메모리, 플래시 메모리, ROM 메모리, EPROM 메모리, EEPROM 메모리, 레지스터들, 하드 디스크, 착탈식 디스크, CD-ROM, 또는 기술 분야에서 알려진 비일시적인 저장 매체의 임의의 다른 형태에 상주할 수도 있다. 저장 매체는 프로세서가 저장 매체로부터 정보를 판독하고 저장 매체에 정보를 기입할 수 있도록 프로세서에 결합될 수도 있다. 대안적으로, 저장 매체는 프로세서에 내장될 수도 있다.
기술 분야의 숙련된 자들은 본원에서 개시된 실시형태들과 연계하여 설명된 다양한 예시적인 논리 블록들, 모듈들, 회로들 및 알고리즘 단계들이 전자 하드웨어, 컴퓨터 소프트웨어 또는 양쪽 모두의 조합으로서 구현될 수도 있다는 것을 더 이해할 것이다. 하드웨어 및 소프트웨어의 이 교환성을 명확히 보여주기 위하여, 다양한 예시적인 컴포넌트들, 블록들, 모듈들, 회로들 및 단계들이 그들의 기능성의 측면에서 위에서 일반적으로 설명되어져 있다. 그러한 기능성이 하드웨어 또는 소프트웨어로 구현될 것인가 하는 여부는 특정 애플리케이션 및 전체 시스템상에 부과된 디자인 제약사항들에 좌우된다.
본원에서 설명된 발명의 다양한 피쳐들은 본 발명을 벗어나지 않고 상이한 시스템들에서 구현될 수 있다. 앞에서 말한 실시형태들은 단지 예들에 지나지 않으며 본 발명을 제한하는 것으로 이해되지 않아야 한다는 것에 유의해야 한다. 실시형태들의 설명은 예시를 위한 것이며 본 개시의 범위를 제한할 의도를 가지고 있지 않다. 이와 같이, 본 교시들은 장치들의 다른 유형들에 쉽게 적용될 수 있으며 많은 대안들, 수정들 및 변형들이 기술 분야에 숙련된 자들에게 명백할 것이다.
Claims (58)
- 디바이스에서 작동하는 방법으로서,
가입자 인증 키에 기초하여 네트워크 엔티티와의 가입자 인증을 수행하는 단계;
디바이스 인증 데이터를 획득하기 위하여 상기 네트워크 엔티티와의 상기 디바이스의 디바이스 인증을 수행하는 단계로서, 상기 디바이스 인증 데이터는 디바이스 아이덴티티 혹은 크리덴셜, 그리고 상기 디바이스에 의해 수신된 도전(challenge)에 기초하여 획득되는, 상기 디바이스 인증을 수행하는 단계;
상기 가입자 인증 키 및 상기 디바이스 인증 데이터에 기초하여 상기 가입자 인증과 상기 디바이스 인증을 바인딩하는 보안 키를 생성하는 단계; 및
상기 보안 키를 사용하여 상기 디바이스와 서빙 네트워크 사이의 통신을 안전하게 보호하는 단계를 포함하는, 디바이스에서 작동하는 방법. - 삭제
- 삭제
- 제 1 항에 있어서,
상기 가입자 인증은 상기 네트워크 엔티티의 일부인 제 1 인증 서버에 의해 수행되고, 상기 디바이스 인증은 상기 네트워크 엔티티의 일부인 제 2 인증 서버에 의해 수행되는, 방법. - 제 1 항에 있어서,
상기 디바이스 인증은,
상기 네트워크 엔티티로부터 상기 디바이스의 공개 키를 이용하여 암호화된 데이터를 수신하고;
대응하는 개인 키를 사용하여 상기 암호화된 데이터를 해독하고;
그 후에 상기 디바이스가 상기 데이터에 대한 지식을 가지고 있다는 것을 상기 네트워크 엔티티에 입증함으로써 수행되는, 방법. - 제 1 항에 있어서,
상기 디바이스로부터 상기 네트워크 엔티티로 어태치 요청을 전송하는 단계를 더 포함하며, 상기 어태치 요청은 상기 디바이스가 디바이스 인증의 능력이 있다는 표시를 포함하는, 방법. - 제 1 항에 있어서,
상기 디바이스 인증은 상기 가입자 인증 동안 생성된 적어도 하나의 키에 의해 안전하게 보호되는, 방법. - 제 1 항에 있어서,
상기 가입자 인증 및 상기 디바이스 인증은 가입자 인증 및 디바이스 인증이 결합된 메시지 교환들에서 동시에 수행되는, 방법. - 제 1 항에 있어서,
상기 가입자 인증은 초기의 그리고 상기 디바이스 인증과는 별도의 보안 교환에서 수행되는, 방법. - 제 1 항에 있어서,
상기 보안 키는 적어도 상기 가입자 인증으로부터 획득된 제 1 키 및 상기 디바이스 인증으로부터 획득된 제 2 키의 함수로서 생성되는, 방법. - 삭제
- 제 1 항에 있어서,
상기 디바이스는, 상기 네트워크 엔티티에 대한 액세스 단말로서 나타나고 하나 이상의 액세스 단말들에 대한 네트워크 디바이스로서 나타나는 릴레이 노드인, 방법. - 제 1 항에 있어서,
상기 보안 키는 상기 디바이스 및 상기 네트워크 엔티티에 의해 별도로 생성되는, 방법. - 제 1 항에 있어서,
서비스 합의의 일부로서 가입자-특정 키를 제공하는 단계로서, 상기 가입자-특정 키는 상기 가입자 인증을 위해 사용되는, 상기 가입자-특정 키를 제공하는 단계; 및
제조 동안에 상기 디바이스 내에 디바이스-특정 키를 제공하는 단계로서, 상기 디바이스-특정 키는 상기 디바이스 인증을 위해 사용되는, 상기 디바이스-특정 키를 제공하는 단계를 더 포함하는, 방법. - 디바이스로서,
통신 인터페이스; 및
상기 통신 인터페이스에 결합된 프로세싱 회로를 포함하며,
상기 프로세싱 회로는,
가입자 인증 키에 기초하여 네트워크 엔티티와의 가입자 인증을 수행하고;
디바이스 인증 데이터를 획득하기 위하여 상기 네트워크 엔티티와의 상기 디바이스의 디바이스 인증을 수행하되, 상기 디바이스 인증 데이터는 디바이스 아이덴티티 혹은 크리덴셜, 그리고 상기 디바이스에 의해 수신된 도전(challenge)에 기초하여 획득되고;
상기 가입자 인증 키 및 상기 디바이스 인증 데이터에 기초하여 상기 가입자 인증과 상기 디바이스 인증을 바인딩하는 보안 키를 생성하고;
상기 보안 키를 사용하여 상기 디바이스와 서빙 네트워크 사이의 통신을 안전하게 보호하도록 구성된, 디바이스. - 삭제
- 제 15 항에 있어서,
상기 디바이스 인증은 상기 디바이스와 상기 네트워크 엔티티 사이의 도전-응답 교환에 기초하는, 디바이스. - 제 15 항에 있어서,
상기 디바이스 인증은,
상기 네트워크 엔티티로부터 상기 디바이스의 공개 키를 이용하여 암호화된 데이터를 수신하고;
대응하는 개인 키를 사용하여 상기 암호화된 데이터를 해독하고;
그 후에 상기 디바이스가 상기 데이터에 대한 지식을 가지고 있다는 것을 상기 네트워크 엔티티에 입증함으로써 수행되는, 디바이스. - 제 15 항에 있어서,
상기 디바이스로부터 상기 네트워크 엔티티로 어태치 요청을 전송하는 것을 더 포함하며, 상기 어태치 요청은 상기 디바이스가 디바이스 인증의 능력이 있다는 표시를 포함하는, 디바이스. - 제 15 항에 있어서,
상기 디바이스 인증은 상기 가입자 인증 동안 생성된 적어도 하나의 키에 의해 안전하게 보호되는, 디바이스. - 제 15 항에 있어서,
상기 가입자 인증 및 상기 디바이스 인증은 가입자 인증 및 디바이스 인증이 결합된, 결합된 메시지 교환들에서 동시에 수행되는, 디바이스. - 제 15 항에 있어서,
상기 가입자 인증은 초기의 그리고 상기 디바이스 인증과는 별도의 보안 교환에서 수행되는, 디바이스. - 제 15 항에 있어서,
상기 보안 키는 획득된 상기 가입자 인증으로부터 적어도 제 1 키 및 상기 디바이스 인증으로부터 획득된 제 2 키의 함수로서 생성되는, 디바이스. - 제 15 항에 있어서,
상기 디바이스는, 상기 네트워크 엔티티에 대한 액세스 단말로서 나타나고 하나 이상의 액세스 단말들에 대한 네트워크 디바이스로서 나타나는 릴레이 노드인, 디바이스. - 제 15 항에 있어서,
상기 프로세싱 회로에 결합되고 상기 가입자 인증을 위해 사용되는 가입자-특정 키를 저장하는 착탈식 저장 디바이스; 및
상기 프로세싱 회로에 결합되고 상기 디바이스 인증을 위해 사용된 디바이스-특정 키를 저장하는 보안성 저장 디바이스를 더 포함하는, 디바이스. - 디바이스로서,
가입자 인증 키에 기초하여 네트워크 엔티티와의 가입자 인증을 수행하기 위한 수단;
디바이스 인증 데이터를 획득하기 위하여 상기 네트워크 엔티티와의 상기 디바이스의 디바이스 인증을 수행하기 위한 수단으로서, 상기 디바이스 인증 데이터는 디바이스 아이덴티티 혹은 크리덴셜, 그리고 상기 디바이스에 의해 수신된 도전(challenge)에 기초하여 획득되는, 상기 디바이스 인증을 수행하기 위한 수단;
상기 가입자 인증 키 및 상기 디바이스 인증 데이터에 기초하여 상기 가입자 인증과 상기 디바이스 인증을 바인딩하는 보안 키를 생성하기 위한 수단;
상기 보안 키를 사용하여 상기 디바이스와 서빙 네트워크 사이의 통신을 안전하게 보호하기 위한 수단을 포함하는, 디바이스. - 제 26 항에 있어서,
상기 가입자 인증을 위하여 사용되는 가입자-특정 키를 저장하기 위한 수단; 및
상기 디바이스 인증을 위하여 사용되는 디바이스-특정 키를 저장하기 위한 수단을 더 포함하는, 디바이스. - 디바이스 상에서 동작하는 명령들을 포함한 컴퓨터 판독가능한 저장 매체로서,
상기 명령들은, 프로세서에 의해 실행될 때, 상기 프로세서로 하여금,
가입자 인증 키에 기초하여 네트워크 엔티티와의 가입자 인증을 수행하고;
디바이스 인증 데이터를 획득하기 위하여 상기 네트워크 엔티티와의 상기 디바이스의 디바이스 인증을 수행하되, 상기 디바이스 인증 데이터는 디바이스 아이덴티티 혹은 크리덴셜, 그리고 상기 디바이스에 의해 수신된 도전(challenge)에 기초하여 획득되고;
상기 가입자 인증 키 및 상기 디바이스 인증 데이터에 기초하여 상기 가입자 인증과 상기 디바이스 인증을 바인딩하는 보안 키를 생성하고;
상기 보안 키를 사용하여 상기 디바이스와 서빙 네트워크 사이의 통신을 안전하게 보호하도록 하는, 컴퓨터 판독가능한 저장 매체. - 네트워크 엔티티에서 동작하는 방법으로서,
가입자 인증 키에 기초하여 디바이스와의 가입자 인증을 수행하는 단계;
디바이스 인증 데이터를 획득하기 위하여 상기 디바이스의 디바이스 인증을 수행하는 단계로서, 상기 디바이스 인증 데이터는 디바이스 아이덴티티 혹은 크리덴셜, 그리고 상기 디바이스로 송신된 도전(challenge)에 기초하여 획득되는, 상기 디바이스 인증을 수행하는 단계;
상기 가입자 인증 키 및 상기 디바이스 인증 데이터에 기초하여 상기 가입자 인증과 상기 디바이스 인증을 바인딩하는 보안 키를 생성하는 단계; 및
상기 보안 키를 사용하여 상기 네트워크 엔티티와 상기 디바이스 사이의 통신을 안전하게 보호하는 단계를 포함하는, 네트워크 엔티티에서 동작하는 방법. - 삭제
- 삭제
- 제 29 항에 있어서,
상기 디바이스 인증은,
상기 디바이스로부터 인증서를 수신하는 단계;
상기 디바이스와 연관된 상기 인증서가 취소되지 않았다는 것을 확인하는 단계를 포함하는, 방법. - 제 29 항에 있어서,
상기 디바이스로부터 어태치 요청을 수신하는 단계를 더 포함하며, 상기 어태치 요청은 상기 디바이스가 디바이스 인증의 능력이 있다는 표시를 포함하는, 방법. - 제 29 항에 있어서,
상기 디바이스 인증은 상기 가입자 인증 동안 생성된 적어도 하나의 키에 의해 안전하게 보호되는, 방법. - 제 29 항에 있어서,
상기 가입자 인증 및 상기 디바이스 인증은 가입자 인증 및 디바이스 인증이 결합된, 결합된 메시지 교환들에서 동시에 수행되는, 방법. - 제 29 항에 있어서,
상기 가입자 인증은 초기의 그리고 상기 디바이스 인증과는 별도의 보안 교환에서 수행되는, 방법. - 제 29 항에 있어서,
상기 보안 키는 적어도 상기 가입자 인증으로부터 획득된 제 1 키 및 상기 디바이스 인증으로부터 획득된 제 2 키의 함수로서 생성되는, 방법. - 제 29 항에 있어서,
상기 보안 키는 상기 디바이스 및 상기 네트워크 엔티티에 의해 별도로 생성되는, 방법. - 제 29 항에 있어서,
서비스 합의의 일부로서 가입자-특정 키를 획득하는 단계로서, 상기 가입자-특정 키는 상기 가입자 인증을 위하여 사용되는, 상기 가입자-특정 키를 획득하는 단계; 및
상기 디바이스에 대한 디바이스-특정 키를 획득하는 단계로서, 상기 디바이스-특정 키는 상기 디바이스 인증을 위하여 사용되는, 상기 디바이스-특정 키를 획득하는 단계를 더 포함하는, 방법. - 네트워크 엔티티로서,
통신 인터페이스; 및
상기 통신 인터페이스에 결합된 프로세싱 회로를 포함하며,
상기 프로세싱 회로는,
가입자 인증 키에 기초하여 디바이스와의 가입자 인증을 수행하고;
디바이스 인증 데이터를 획득하기 위하여 상기 디바이스와의 디바이스 인증을 수행하되, 상기 디바이스 인증 데이터는 디바이스 아이덴티티 혹은 크리덴셜, 그리고 상기 디바이스로 송신된 도전(challenge)에 기초하여 획득되고;
상기 가입자 인증 키 및 상기 디바이스 인증 데이터에 기초하여 상기 가입자 인증과 상기 디바이스 인증을 바인딩하는 보안 키를 생성하고;
상기 보안 키를 사용하여 상기 네트워크 엔티티와 상기 디바이스 사이의 통신을 안전하게 보호하도록 구성된, 네트워크 엔티티. - 삭제
- 삭제
- 제 40 항에 있어서,
상기 프로세싱 회로는, 추가로,
상기 디바이스로부터 어태치 요청을 수신하도록 구성되며, 상기 어태치 요청은 상기 디바이스가 디바이스 인증의 능력이 있다는 표시를 포함하는, 네트워크 엔티티. - 제 40 항에 있어서,
상기 디바이스 인증은 상기 가입자 인증 동안 생성된 적어도 하나의 키에 의해 안전하게 보호되는, 네트워크 엔티티. - 제 40 항에 있어서,
상기 가입자 인증 및 상기 디바이스 인증은 가입자 인증 및 디바이스 인증이 결합된, 결합된 메시지 교환들에서 동시에 수행되는, 네트워크 엔티티. - 제 40 항에 있어서,
상기 가입자 인증은 초기의 그리고 상기 디바이스 인증과는 별도의 보안 교환에서 수행되는, 네트워크 엔티티. - 제 40 항에 있어서,
상기 보안 키는 적어도 상기 가입자 인증으로부터 획득된 제 1 키 및 상기 디바이스 인증으로부터 획득된 제 2 키의 함수로서 생성되는, 네트워크 엔티티. - 제 40 항에 있어서,
서비스 합의의 일부로서 가입자-특정 키를 획득하는 것으로서, 상기 가입자-특정 키는 상기 가입자 인증을 위하여 사용되는, 상기 가입자-특정 키를 획득하는 것; 및
상기 디바이스에 대한 디바이스-특정 키를 획득하는 것으로서, 상기 디바이스-특정 키는 상기 디바이스 인증을 위하여 사용되는, 상기 디바이스-특정 키를 획득하는 것을 더 포함하는, 네트워크 엔티티. - 네트워크 엔티티로서,
가입자 인증 키에 기초하여 디바이스와의 가입자 인증을 수행하기 위한 수단;
디바이스 인증 데이터를 획득하기 위하여 상기 디바이스와의 디바이스 인증을 수행하기 위한 수단으로서, 상기 디바이스 인증 데이터는 디바이스 아이덴티티 혹은 크리덴셜, 그리고 상기 디바이스로 송신된 도전(challenge)에 기초하여 획득되는, 상기 디바이스 인증을 수행하기 위한 수단;
상기 가입자 인증 키 및 상기 디바이스 인증 데이터에 기초하여 상기 가입자 인증과 상기 디바이스 인증을 바인딩하는 보안 키를 생성하기 위한 수단; 및
상기 보안 키를 사용하여 상기 네트워크 엔티티와 상기 디바이스 사이의 통신을 안전하게 보호하기 위한 수단을 포함하는, 네트워크 엔티티. - 네트워크 엔티티 상에서 동작하는 명령들을 포함하는 컴퓨터 판독가능한 저장 매체로서,
상기 명령들은, 프로세서에 의해 실행될 때, 상기 프로세서로 하여금,
가입자 인증 키에 기초하여 디바이스와의 가입자 인증을 수행하고;
디바이스 인증 데이터를 획득하기 위하여 상기 디바이스의 디바이스 인증을 수행하되, 상기 디바이스 인증 데이터는 디바이스 아이덴티티 혹은 크리덴셜, 그리고 상기 디바이스로 송신된 도전(challenge)에 기초하여 획득되고;
상기 가입자 인증 키 및 상기 디바이스 인증 데이터에 기초하여 상기 가입자 인증과 상기 디바이스 인증을 바인딩하는 보안 키를 생성하고;
상기 보안 키를 사용하여 상기 네트워크 엔티티와 상기 디바이스 사이의 통신을 안전하게 보호하도록 하는, 컴퓨터 판독가능한 저장 매체. - 제 1 항에 있어서,
상기 디바이스 인증 데이터는 디바이스 임시 키, 네트워크 난스(nonce) 및 디바이스 난스로부터 유래된 암호화된 파라미터를 포함하는, 방법. - 제 15 항에 있어서,
상기 디바이스 인증 데이터는 디바이스 임시 키, 네트워크 난스 및 디바이스 난스로부터 유래된 암호화된 파라미터를 포함하는, 디바이스. - 제 26 항에 있어서,
상기 디바이스 인증 데이터는 디바이스 임시 키, 네트워크 난스 및 디바이스 난스로부터 유래된 암호화된 파라미터를 포함하는, 디바이스. - 제 28 항에 있어서,
상기 디바이스 인증 데이터는 디바이스 임시 키, 네트워크 난스 및 디바이스 난스로부터 유래된 암호화된 파라미터를 포함하는, 컴퓨터 판독 가능한 저장 매체. - 제 29 항에 있어서,
상기 디바이스 인증 데이터는 디바이스 임시 키, 네트워크 난스 및 디바이스 난스로부터 유래된 암호화된 파라미터를 포함하는, 네트워크 엔티티에서 동작하는 방법. - 제 40 항에 있어서,
상기 디바이스 인증 데이터는 디바이스 임시 키, 네트워크 난스 및 디바이스 난스로부터 유래된 암호화된 파라미터를 포함하는, 네트워크 엔티티. - 제 49 항에 있어서,
상기 디바이스 인증 데이터는 디바이스 임시 키, 네트워크 난스 및 디바이스 난스로부터 유래된 암호화된 파라미터를 포함하는, 네트워크 엔티티. - 제 50 항에 있어서,
상기 디바이스 인증 데이터는 디바이스 임시 키, 네트워크 난스 및 디바이스 난스로부터 유래된 암호화된 파라미터를 포함하는, 컴퓨터 판독가능한 저장 매체.
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US35542310P | 2010-06-16 | 2010-06-16 | |
| US61/355,423 | 2010-06-16 | ||
| US13/161,336 US9385862B2 (en) | 2010-06-16 | 2011-06-15 | Method and apparatus for binding subscriber authentication and device authentication in communication systems |
| US13/161,336 | 2011-06-15 | ||
| PCT/US2011/040777 WO2011159952A1 (en) | 2010-06-16 | 2011-06-16 | Method and apparatus for binding subscriber authentication and device authentication in communication systems |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20130029103A KR20130029103A (ko) | 2013-03-21 |
| KR101554396B1 true KR101554396B1 (ko) | 2015-09-18 |
Family
ID=44651925
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020137001211A KR101554396B1 (ko) | 2010-06-16 | 2011-06-16 | 통신 시스템들에서 가입자 인증과 디바이스 인증을 바인딩하는 방법 및 장치 |
Country Status (19)
| Country | Link |
|---|---|
| US (1) | US9385862B2 (ko) |
| EP (1) | EP2583479B1 (ko) |
| JP (1) | JP2013534754A (ko) |
| KR (1) | KR101554396B1 (ko) |
| CN (1) | CN102934470B (ko) |
| AR (1) | AR081944A1 (ko) |
| AU (1) | AU2011268205B2 (ko) |
| BR (1) | BR112012031924B1 (ko) |
| CA (1) | CA2800941C (ko) |
| ES (1) | ES2774921T3 (ko) |
| HU (1) | HUE046990T2 (ko) |
| IL (2) | IL223200A0 (ko) |
| MY (1) | MY165817A (ko) |
| RU (2) | RU2013101768A (ko) |
| SG (1) | SG185662A1 (ko) |
| TW (1) | TWI451735B (ko) |
| UA (1) | UA106299C2 (ko) |
| WO (1) | WO2011159952A1 (ko) |
| ZA (1) | ZA201300381B (ko) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101702532B1 (ko) * | 2015-10-23 | 2017-02-03 | 영남대학교 산학협력단 | 무선 액세스 포인트 장치 및 이를 이용한 무선 통신 방법 |
Families Citing this family (67)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8555361B2 (en) * | 2010-02-26 | 2013-10-08 | Motorola Mobility Llc | Dynamic cryptographic subscriber-device identity binding for subscriber mobility |
| CN102196436B (zh) * | 2010-03-11 | 2014-12-17 | 华为技术有限公司 | 安全认证方法、装置及系统 |
| CN102196438A (zh) | 2010-03-16 | 2011-09-21 | 高通股份有限公司 | 通信终端标识号管理的方法和装置 |
| US8839373B2 (en) | 2010-06-18 | 2014-09-16 | Qualcomm Incorporated | Method and apparatus for relay node management and authorization |
| US9112905B2 (en) | 2010-10-22 | 2015-08-18 | Qualcomm Incorporated | Authentication of access terminal identities in roaming networks |
| US9668128B2 (en) | 2011-03-09 | 2017-05-30 | Qualcomm Incorporated | Method for authentication of a remote station using a secure element |
| US8887258B2 (en) | 2011-08-09 | 2014-11-11 | Qualcomm Incorporated | Apparatus and method of binding a removable module to an access terminal |
| KR101792885B1 (ko) * | 2011-09-05 | 2017-11-02 | 주식회사 케이티 | eUICC의 키정보 관리방법 및 그를 이용한 eUICC, MNO시스템, 프로비저닝 방법 및 MNO 변경 방법 |
| KR101986312B1 (ko) * | 2011-11-04 | 2019-06-05 | 주식회사 케이티 | 신뢰관계 형성 방법 및 이를 위한 내장 uⅰcc |
| CN102595400B (zh) * | 2012-03-19 | 2018-08-03 | 中兴通讯股份有限公司 | 检测uicc是否在授权设备上使用的方法、系统和用户设备 |
| EP2842355A2 (en) | 2012-04-27 | 2015-03-04 | Interdigital Patent Holdings, Inc. | Methods and apparatuses for optimizing proximity data path setup |
| EP3897016A3 (en) * | 2012-04-27 | 2021-11-24 | Interdigital Patent Holdings, Inc. | Method and apparatus for provisioning of d2d policies for a wireless transmit receive unit (wtru) |
| US8875265B2 (en) | 2012-05-14 | 2014-10-28 | Qualcomm Incorporated | Systems and methods for remote credentials management |
| US9094774B2 (en) | 2012-05-14 | 2015-07-28 | At&T Intellectual Property I, Lp | Apparatus and methods for maintaining service continuity when transitioning between mobile network operators |
| US9148785B2 (en) | 2012-05-16 | 2015-09-29 | At&T Intellectual Property I, Lp | Apparatus and methods for provisioning devices to utilize services of mobile network operators |
| US9363224B2 (en) * | 2012-05-29 | 2016-06-07 | Openet Telecom Ltd. | System and methods for communicating in a telecommunication network using common key routing and data locality tables |
| US8800015B2 (en) | 2012-06-19 | 2014-08-05 | At&T Mobility Ii, Llc | Apparatus and methods for selecting services of mobile network operators |
| US9473929B2 (en) | 2012-06-19 | 2016-10-18 | At&T Mobility Ii Llc | Apparatus and methods for distributing credentials of mobile network operators |
| US20140108804A1 (en) * | 2012-10-11 | 2014-04-17 | Sling Media Inc. | System and method for verifying the authenticity of an electronic device |
| US9769803B2 (en) * | 2012-11-29 | 2017-09-19 | Nokia Technologies Oy | Methods for device-to-device connection re-establishment and related user equipments and radio access node |
| WO2014097517A1 (ja) * | 2012-12-21 | 2014-06-26 | 日本電気株式会社 | 無線通信システム、無線アクセスネットワークノード、通信デバイス、及びコアネットワークノード |
| EP2944067B1 (en) * | 2013-01-10 | 2023-03-01 | NEC Corporation | Mtc key management for key derivation at both ue and network |
| WO2014128476A2 (en) * | 2013-02-22 | 2014-08-28 | Paul Simmonds | Methods, apparatus and computer programs for entity authentication |
| EP2982148A1 (en) * | 2013-04-05 | 2016-02-10 | Interdigital Patent Holdings, Inc. | Securing peer-to-peer and group communications |
| US20150006898A1 (en) * | 2013-06-28 | 2015-01-01 | Alcatel-Lucent Usa Inc. | Method For Provisioning Security Credentials In User Equipment For Restrictive Binding |
| US9350550B2 (en) | 2013-09-10 | 2016-05-24 | M2M And Iot Technologies, Llc | Power management and security for wireless modules in “machine-to-machine” communications |
| US9100175B2 (en) | 2013-11-19 | 2015-08-04 | M2M And Iot Technologies, Llc | Embedded universal integrated circuit card supporting two-factor authentication |
| US10498530B2 (en) | 2013-09-27 | 2019-12-03 | Network-1 Technologies, Inc. | Secure PKI communications for “machine-to-machine” modules, including key derivation by modules and authenticating public keys |
| KR102232121B1 (ko) * | 2013-11-14 | 2021-03-25 | 삼성전자주식회사 | 장치 대 장치 통신 시스템에서 보안키를 관리하는 방법 및 장치 |
| US10700856B2 (en) | 2013-11-19 | 2020-06-30 | Network-1 Technologies, Inc. | Key derivation for a module using an embedded universal integrated circuit card |
| US10348561B1 (en) * | 2013-11-20 | 2019-07-09 | Rockwell Automation, Inc. | Systems and methods for automated access to relevant information in a mobile computing environment |
| CN105850167B (zh) | 2013-12-24 | 2019-07-23 | 日本电气株式会社 | Sce所用的设备、系统和方法 |
| WO2015126347A1 (en) | 2014-02-20 | 2015-08-27 | Aselsan Elektronik Sanayi Ve Ticaret Anonim Sirketi | A high security system and method used in radio systems |
| US9954679B2 (en) * | 2014-03-05 | 2018-04-24 | Qualcomm Incorporated | Using end-user federated login to detect a breach in a key exchange encrypted channel |
| WO2015133144A1 (en) * | 2014-03-06 | 2015-09-11 | Nec Corporation | Apparatus, system and method for small cell enhancement / dual connectivity |
| US9877349B2 (en) * | 2014-03-10 | 2018-01-23 | Lg Electronics Inc. | Method for performing proximity service, and user device |
| JP6201835B2 (ja) * | 2014-03-14 | 2017-09-27 | ソニー株式会社 | 情報処理装置、情報処理方法及びコンピュータプログラム |
| US10756804B2 (en) | 2014-05-08 | 2020-08-25 | Apple Inc. | Lawful intercept reporting in wireless networks using public safety relays |
| JP6155237B2 (ja) * | 2014-08-25 | 2017-06-28 | 日本電信電話株式会社 | ネットワークシステムとその端末登録方法 |
| WO2016093912A2 (en) * | 2014-09-19 | 2016-06-16 | Pcms Holdings, Inc. | Systems and methods for secure device provisioning |
| US9825937B2 (en) | 2014-09-23 | 2017-11-21 | Qualcomm Incorporated | Certificate-based authentication |
| US9998449B2 (en) * | 2014-09-26 | 2018-06-12 | Qualcomm Incorporated | On-demand serving network authentication |
| US10455414B2 (en) * | 2014-10-29 | 2019-10-22 | Qualcomm Incorporated | User-plane security for next generation cellular networks |
| US9843928B2 (en) | 2014-10-30 | 2017-12-12 | Motorola Solutions, Inc. | Method and apparatus for connecting a communication device to a deployable network without compromising authentication keys |
| US9439069B2 (en) * | 2014-12-17 | 2016-09-06 | Intel IP Corporation | Subscriber identity module provider apparatus for over-the-air provisioning of subscriber identity module containers and methods |
| US9853977B1 (en) | 2015-01-26 | 2017-12-26 | Winklevoss Ip, Llc | System, method, and program product for processing secure transactions within a cloud computing system |
| US20160261576A1 (en) * | 2015-03-05 | 2016-09-08 | M-Files Oy | Method, an apparatus, a computer program product and a server for secure access to an information management system |
| EP3284277A4 (en) * | 2015-04-02 | 2018-04-18 | Samsung Electronics Co., Ltd. | Method for performing multiple authentications within service registration procedure |
| GB201506045D0 (en) * | 2015-04-09 | 2015-05-27 | Vodafone Ip Licensing Ltd | SIM security |
| KR20160132302A (ko) * | 2015-05-09 | 2016-11-17 | 삼성전자주식회사 | 물리적 접근 제한을 이용한 장치들 사이의 키 공유 방법 |
| EP3139649A1 (en) * | 2015-09-04 | 2017-03-08 | Gemalto Sa | Method to authenticate a subscriber in a local network |
| US10606224B2 (en) * | 2015-09-14 | 2020-03-31 | Tyco Integrated Security, LLC | Device enabled identity authentication |
| CN108476507B (zh) | 2016-01-08 | 2023-04-18 | 日本电气株式会社 | 无线站系统、无线终端及其方法 |
| WO2017121482A1 (en) * | 2016-01-14 | 2017-07-20 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods, nodes and communication device for establishing a key related to at least two network instances |
| US10334435B2 (en) * | 2016-04-27 | 2019-06-25 | Qualcomm Incorporated | Enhanced non-access stratum security |
| WO2018137866A1 (en) * | 2017-01-30 | 2018-08-02 | Telefonaktiebolaget Lm Ericsson (Publ) | Security anchor function in 5g systems |
| EP3379789A1 (en) * | 2017-03-20 | 2018-09-26 | Koninklijke Philips N.V. | Mutual authentication system |
| US10805349B2 (en) | 2017-03-29 | 2020-10-13 | At&T Intellectual Property I, L.P. | Method and system to secure and dynamically share IOT information cross multiple platforms in 5G network |
| EP3506668A1 (en) * | 2017-12-27 | 2019-07-03 | Gemalto Sa | A method for updating a one-time secret key |
| CN110167080A (zh) * | 2018-02-13 | 2019-08-23 | 中兴通讯股份有限公司 | 订阅信息更新的方法及装置 |
| WO2019179925A1 (en) | 2018-03-22 | 2019-09-26 | British Telecommunications Public Limited Company | Wireless communication network authentication |
| WO2019194155A1 (en) * | 2018-04-06 | 2019-10-10 | Nec Corporation | An authentication method for next generation systems |
| CN110583001B (zh) * | 2018-04-10 | 2022-05-17 | 联发科技(新加坡)私人有限公司 | 移动通信中错误ksi处理的改进方法、装置及计算机可读存储介质 |
| WO2020072376A1 (en) | 2018-10-04 | 2020-04-09 | Google Llc | Distributed network cellular identity management |
| US10642765B1 (en) * | 2018-11-07 | 2020-05-05 | Xilinx, Inc. | Productivity language interface for synthesized circuits |
| EP3664486A1 (en) * | 2018-12-03 | 2020-06-10 | Thales Dis France SA | Method and apparatuses for ensuring secure attachment in size constrained authentication protocols |
| US11956626B2 (en) * | 2019-04-17 | 2024-04-09 | Nokia Technologies Oy | Cryptographic key generation for mobile communications device |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090024751A1 (en) * | 2007-07-18 | 2009-01-22 | Seiko Epson Corporation | Intermediary server, method for controlling intermediary server, and program for controlling intermediary server |
| WO2009141919A1 (en) | 2008-05-23 | 2009-11-26 | Telefonaktiebolaget Lm Ericsson (Publ) | Ims user equipment, control method thereof, host device, and control method thereof |
Family Cites Families (71)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| SE506584C2 (sv) | 1996-05-13 | 1998-01-19 | Ericsson Telefon Ab L M | Förfarande och anordning vid övervakning av mobilkommunikationsenhet |
| US7203836B1 (en) | 1997-07-10 | 2007-04-10 | T-Mobile Deutschland Gmbh | Method and device for the mutual authentication of components in a network using the challenge-response method |
| KR100315641B1 (ko) | 1999-03-03 | 2001-12-12 | 서평원 | 오티에이피에이를 위한 단말기와 시스템의 상호 인증 방법 |
| US7424543B2 (en) | 1999-09-08 | 2008-09-09 | Rice Iii James L | System and method of permissive data flow and application transfer |
| US6826690B1 (en) | 1999-11-08 | 2004-11-30 | International Business Machines Corporation | Using device certificates for automated authentication of communicating devices |
| US8719562B2 (en) | 2002-10-25 | 2014-05-06 | William M. Randle | Secure service network and user gateway |
| DE10026326B4 (de) | 2000-05-26 | 2016-02-04 | Ipcom Gmbh & Co. Kg | Verfahren zur kryptografisch prüfbaren Identifikation einer physikalischen Einheit in einem offenen drahtlosen Telekommunikationsnetzwerk |
| JP4839554B2 (ja) | 2000-10-19 | 2011-12-21 | ソニー株式会社 | 無線通信システム、クライアント装置、サーバ装置および無線通信方法 |
| JP3628250B2 (ja) | 2000-11-17 | 2005-03-09 | 株式会社東芝 | 無線通信システムで用いられる登録・認証方法 |
| US7668315B2 (en) | 2001-01-05 | 2010-02-23 | Qualcomm Incorporated | Local authentication of mobile subscribers outside their home systems |
| AU2003238996A1 (en) | 2002-06-12 | 2003-12-31 | Telefonaktiebolaget Lm Ericsson (Publ) | Non-repudiation of service agreements |
| JP4343575B2 (ja) | 2003-04-15 | 2009-10-14 | キヤノン株式会社 | コンテンツ管理システム |
| US8019989B2 (en) * | 2003-06-06 | 2011-09-13 | Hewlett-Packard Development Company, L.P. | Public-key infrastructure in network management |
| AU2003285357B2 (en) | 2003-11-07 | 2010-12-02 | Telecom Italia S.P.A. | Method and system for the authentication of a user of a data processing system |
| CN1684411B (zh) | 2004-04-13 | 2010-04-28 | 华为技术有限公司 | 一种验证移动终端用户合法性的方法 |
| FR2864410B1 (fr) | 2003-12-19 | 2006-03-03 | Gemplus Card Int | Telephone portable et procede associe de securisation de son identifiant. |
| US7546459B2 (en) * | 2004-03-10 | 2009-06-09 | Telefonaktiebolaget L M Ericsson (Publ) | GSM-like and UMTS-like authentication in a CDMA2000 network environment |
| TWI254919B (en) | 2004-04-19 | 2006-05-11 | Via Tech Inc | Method and device for sampling the disc |
| JP3920871B2 (ja) | 2004-04-23 | 2007-05-30 | 株式会社エヌ・ティ・ティ・ドコモ | 認証システム |
| JP2006011989A (ja) | 2004-06-28 | 2006-01-12 | Ntt Docomo Inc | 認証方法、端末装置、中継装置及び認証サーバ |
| JP2006065690A (ja) | 2004-08-27 | 2006-03-09 | Ntt Docomo Inc | デバイス認証装置、サービス制御装置、サービス要求装置、デバイス認証方法、サービス制御方法及びサービス要求方法 |
| US8611536B2 (en) | 2004-09-08 | 2013-12-17 | Qualcomm Incorporated | Bootstrapping authentication using distinguished random challenges |
| JP4480538B2 (ja) | 2004-10-22 | 2010-06-16 | 株式会社エヌ・ティ・ティ・ドコモ | 中継装置及び中継方法 |
| US20060089123A1 (en) | 2004-10-22 | 2006-04-27 | Frank Edward H | Use of information on smartcards for authentication and encryption |
| US7769175B2 (en) | 2004-11-24 | 2010-08-03 | Research In Motion Limited | System and method for initiation of a security update |
| TWI475862B (zh) | 2005-02-04 | 2015-03-01 | 高通公司 | 無線通信之安全引導 |
| JP2006345205A (ja) | 2005-06-08 | 2006-12-21 | Toyota Industries Corp | 無線lan接続管理方法、無線lan接続管理システム及び設定用無線中継装置 |
| EP1734666A1 (en) | 2005-06-17 | 2006-12-20 | Fujitsu Limited | Resource management in multi-hop communication system |
| US20060291422A1 (en) | 2005-06-27 | 2006-12-28 | Nokia Corporation | Mobility management in a communication system of at least two communication networks |
| KR100770928B1 (ko) | 2005-07-02 | 2007-10-26 | 삼성전자주식회사 | 통신 시스템에서 인증 시스템 및 방법 |
| RU2386220C2 (ru) * | 2005-07-07 | 2010-04-10 | Телефонактиеболагет Лм Эрикссон (Пабл) | Способ и устройство для аутентификации и конфиденциальности |
| KR101137340B1 (ko) * | 2005-10-18 | 2012-04-19 | 엘지전자 주식회사 | 릴레이 스테이션의 보안 제공 방법 |
| US7787627B2 (en) * | 2005-11-30 | 2010-08-31 | Intel Corporation | Methods and apparatus for providing a key management system for wireless communication networks |
| ES2710666T3 (es) | 2006-04-11 | 2019-04-26 | Qualcomm Inc | Procedimiento y aparato para unir múltiples autentificaciones |
| WO2007120024A1 (en) * | 2006-04-19 | 2007-10-25 | Electronics And Telecommunications Research Institute | The efficient generation method of authorization key for mobile communication |
| JP5464794B2 (ja) | 2006-07-24 | 2014-04-09 | コニカミノルタ株式会社 | ネットワーク管理方法およびネットワーク管理システム |
| KR100959565B1 (ko) | 2006-10-27 | 2010-05-27 | 삼성전자주식회사 | 다중 홉 릴레이 방식을 사용하는 광대역 무선 접속 통신 시스템에서 중계국 프레임 제어 메시지 구성 장치 및 방법 |
| KR100831326B1 (ko) | 2006-12-28 | 2008-05-22 | 삼성전자주식회사 | 멀티 홉 무선네트워크 시스템 및 그 시스템의 인증방법 |
| US8072953B2 (en) | 2007-04-24 | 2011-12-06 | Interdigital Technology Corporation | Wireless communication method and apparatus for performing home Node-B identification and access restriction |
| RU2009146556A (ru) | 2007-05-16 | 2011-06-27 | Панасоник Корпорэйшн (Jp) | Способы смешанного управления мобильностью на уровне сети и на уровне хоста |
| PL2191608T3 (pl) | 2007-09-17 | 2012-01-31 | Ericsson Telefon Ab L M | Sposób i urządzenie w systemie telekomunikacyjnym |
| JP4977665B2 (ja) | 2007-10-26 | 2012-07-18 | 株式会社日立製作所 | 通信システム及びゲートウェイ装置 |
| CN101448257A (zh) | 2007-11-28 | 2009-06-03 | 陈静 | 一种对用户终端进行验证的控制系统及控制方法 |
| US8561135B2 (en) | 2007-12-28 | 2013-10-15 | Motorola Mobility Llc | Wireless device authentication using digital certificates |
| CN101232378B (zh) | 2007-12-29 | 2010-12-08 | 西安西电捷通无线网络通信股份有限公司 | 一种无线多跳网络的认证接入方法 |
| WO2009111522A1 (en) | 2008-03-04 | 2009-09-11 | Alcatel-Lucent Usa Inc. | System and method for securing a base station using sim cards |
| US20090233609A1 (en) | 2008-03-12 | 2009-09-17 | Nortel Networks Limited | Touchless Plug and Play Base Station |
| US20090239503A1 (en) | 2008-03-20 | 2009-09-24 | Bernard Smeets | System and Method for Securely Issuing Subscription Credentials to Communication Devices |
| US8001379B2 (en) | 2008-03-26 | 2011-08-16 | Mformation Technologies Inc. | Credential generation system and method for communications devices and device management servers |
| US8990925B2 (en) * | 2008-04-02 | 2015-03-24 | Nokia Solutions And Networks Oy | Security for a non-3GPP access to an evolved packet system |
| US8145195B2 (en) | 2008-04-14 | 2012-03-27 | Nokia Corporation | Mobility related control signalling authentication in mobile communications system |
| KR20090126166A (ko) | 2008-06-03 | 2009-12-08 | 엘지전자 주식회사 | 트래픽 암호화 키 생성 방법 및 갱신 방법 |
| CN101640887B (zh) | 2008-07-29 | 2012-10-03 | 上海华为技术有限公司 | 鉴权方法、通信装置和通信系统 |
| US8855138B2 (en) | 2008-08-25 | 2014-10-07 | Qualcomm Incorporated | Relay architecture framework |
| WO2010036611A1 (en) | 2008-09-24 | 2010-04-01 | Interdigital Patent Holdings, Inc. | Home node-b apparatus and security protocols |
| CN102165458B (zh) | 2008-09-26 | 2015-05-27 | 皇家飞利浦电子股份有限公司 | 认证装置和用户 |
| US8902805B2 (en) | 2008-10-24 | 2014-12-02 | Qualcomm Incorporated | Cell relay packet routing |
| US8121600B2 (en) | 2008-12-30 | 2012-02-21 | Motorola Mobility, Inc. | Wide area mobile communications over femto-cells |
| CN102349319B (zh) | 2009-03-11 | 2015-07-22 | 瑞典爱立信有限公司 | 中继节点的设置和配置 |
| GB0907213D0 (en) | 2009-04-27 | 2009-06-10 | Sharp Kk | Relay apparatus and method |
| US8059586B2 (en) | 2009-06-04 | 2011-11-15 | Motorola Mobility, Inc. | Mobility management entity tracking for group mobility in wireless communication network |
| TWI424778B (zh) | 2009-06-23 | 2014-01-21 | Inst Information Industry | 中繼台及其後端連線方法 |
| US8644273B2 (en) | 2009-07-01 | 2014-02-04 | Apple Inc. | Methods and apparatus for optimization of femtocell network management |
| US8605904B2 (en) | 2009-08-14 | 2013-12-10 | Industrial Technology Research Institute | Security method in wireless communication system having relay node |
| EP2291015A1 (en) | 2009-08-31 | 2011-03-02 | Gemalto SA | A method for communicating data between a secure element and a network access point and a corresponding secure element |
| CN102196438A (zh) | 2010-03-16 | 2011-09-21 | 高通股份有限公司 | 通信终端标识号管理的方法和装置 |
| US8839373B2 (en) | 2010-06-18 | 2014-09-16 | Qualcomm Incorporated | Method and apparatus for relay node management and authorization |
| CN101945386B (zh) | 2010-09-10 | 2015-12-16 | 中兴通讯股份有限公司 | 一种实现安全密钥同步绑定的方法及系统 |
| US9112905B2 (en) | 2010-10-22 | 2015-08-18 | Qualcomm Incorporated | Authentication of access terminal identities in roaming networks |
| US8868915B2 (en) | 2010-12-06 | 2014-10-21 | Verizon Patent And Licensing Inc. | Secure authentication for client application access to protected resources |
| US9668128B2 (en) | 2011-03-09 | 2017-05-30 | Qualcomm Incorporated | Method for authentication of a remote station using a secure element |
-
2011
- 2011-06-15 US US13/161,336 patent/US9385862B2/en active Active
- 2011-06-16 JP JP2013515526A patent/JP2013534754A/ja active Pending
- 2011-06-16 CA CA2800941A patent/CA2800941C/en not_active Expired - Fee Related
- 2011-06-16 AU AU2011268205A patent/AU2011268205B2/en not_active Ceased
- 2011-06-16 UA UAA201300493A patent/UA106299C2/ru unknown
- 2011-06-16 KR KR1020137001211A patent/KR101554396B1/ko active IP Right Grant
- 2011-06-16 MY MYPI2012005020A patent/MY165817A/en unknown
- 2011-06-16 EP EP11757437.6A patent/EP2583479B1/en active Active
- 2011-06-16 SG SG2012085106A patent/SG185662A1/en unknown
- 2011-06-16 ES ES11757437T patent/ES2774921T3/es active Active
- 2011-06-16 TW TW100121082A patent/TWI451735B/zh active
- 2011-06-16 AR ARP110102088A patent/AR081944A1/es active IP Right Grant
- 2011-06-16 WO PCT/US2011/040777 patent/WO2011159952A1/en active Application Filing
- 2011-06-16 RU RU2013101768/08A patent/RU2013101768A/ru unknown
- 2011-06-16 HU HUE11757437A patent/HUE046990T2/hu unknown
- 2011-06-16 BR BR112012031924-8A patent/BR112012031924B1/pt active IP Right Grant
- 2011-06-16 RU RU2015143914A patent/RU2708951C2/ru active
- 2011-06-16 CN CN201180027820.4A patent/CN102934470B/zh active Active
-
2012
- 2012-11-22 IL IL223200A patent/IL223200A0/en active IP Right Grant
-
2013
- 2013-01-15 ZA ZA2013/00381A patent/ZA201300381B/en unknown
- 2013-05-02 IL IL226125A patent/IL226125A0/en active IP Right Grant
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090024751A1 (en) * | 2007-07-18 | 2009-01-22 | Seiko Epson Corporation | Intermediary server, method for controlling intermediary server, and program for controlling intermediary server |
| WO2009141919A1 (en) | 2008-05-23 | 2009-11-26 | Telefonaktiebolaget Lm Ericsson (Publ) | Ims user equipment, control method thereof, host device, and control method thereof |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101702532B1 (ko) * | 2015-10-23 | 2017-02-03 | 영남대학교 산학협력단 | 무선 액세스 포인트 장치 및 이를 이용한 무선 통신 방법 |
Also Published As
| Publication number | Publication date |
|---|---|
| ZA201300381B (en) | 2017-08-30 |
| WO2011159952A1 (en) | 2011-12-22 |
| TWI451735B (zh) | 2014-09-01 |
| EP2583479B1 (en) | 2020-01-01 |
| ES2774921T3 (es) | 2020-07-23 |
| EP2583479A1 (en) | 2013-04-24 |
| HUE046990T2 (hu) | 2020-04-28 |
| MY165817A (en) | 2018-04-27 |
| RU2013101768A (ru) | 2014-07-27 |
| CA2800941A1 (en) | 2011-12-22 |
| BR112012031924B1 (pt) | 2021-09-21 |
| RU2015143914A (ru) | 2018-12-28 |
| SG185662A1 (en) | 2012-12-28 |
| UA106299C2 (ru) | 2014-08-11 |
| BR112012031924A2 (pt) | 2018-03-06 |
| CN102934470B (zh) | 2016-06-29 |
| US9385862B2 (en) | 2016-07-05 |
| CN102934470A (zh) | 2013-02-13 |
| RU2708951C2 (ru) | 2019-12-12 |
| AR081944A1 (es) | 2012-10-31 |
| US20110314287A1 (en) | 2011-12-22 |
| RU2015143914A3 (ko) | 2019-05-08 |
| JP2013534754A (ja) | 2013-09-05 |
| IL223200A0 (en) | 2013-02-03 |
| IL226125A0 (en) | 2013-06-27 |
| AU2011268205B2 (en) | 2014-06-12 |
| KR20130029103A (ko) | 2013-03-21 |
| AU2011268205A1 (en) | 2012-12-20 |
| CA2800941C (en) | 2018-03-27 |
| TW201220793A (en) | 2012-05-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101554396B1 (ko) | 통신 시스템들에서 가입자 인증과 디바이스 인증을 바인딩하는 방법 및 장치 | |
| US10943005B2 (en) | Secure authentication of devices for internet of things | |
| CN108781366B (zh) | 用于5g技术的认证机制 | |
| EP3777021B1 (en) | Subscriber identity privacy protection against fake base stations | |
| KR102315881B1 (ko) | 사용자 단말과 진화된 패킷 코어 간의 상호 인증 | |
| JP6174617B2 (ja) | 証明書検証およびチャネル結合 | |
| KR101617607B1 (ko) | 기지국 자가 구성을 위한 방법 및 장치 | |
| KR101508576B1 (ko) | 홈 노드-b 장치 및 보안 프로토콜 | |
| CN109496412B (zh) | 使用隐私识别码的验证 | |
| CN109788480B (zh) | 一种通信方法及装置 | |
| US11316670B2 (en) | Secure communications using network access identity | |
| US20190274039A1 (en) | Communication system, network apparatus, authentication method, communication terminal, and security apparatus | |
| CN112087724A (zh) | 一种通信方法、网络设备、用户设备和接入网设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| AMND | Amendment | ||
| E601 | Decision to refuse application | ||
| AMND | Amendment | ||
| X701 | Decision to grant (after re-examination) | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20180628 Year of fee payment: 4 |
|
| FPAY | Annual fee payment |
Payment date: 20190624 Year of fee payment: 5 |