KR101597388B1 - 안전한 원격 가입 관리 - Google Patents

안전한 원격 가입 관리 Download PDF

Info

Publication number
KR101597388B1
KR101597388B1 KR1020127001507A KR20127001507A KR101597388B1 KR 101597388 B1 KR101597388 B1 KR 101597388B1 KR 1020127001507 A KR1020127001507 A KR 1020127001507A KR 20127001507 A KR20127001507 A KR 20127001507A KR 101597388 B1 KR101597388 B1 KR 101597388B1
Authority
KR
South Korea
Prior art keywords
wtru
keys
operator
sho
identifier
Prior art date
Application number
KR1020127001507A
Other languages
English (en)
Other versions
KR20120034207A (ko
Inventor
마이클 브이. 메이어스테인
인혁 차
안드레아스 라이허
안드레아스 유. 슈미트
요젠드라 씨. 샤
Original Assignee
인터디지탈 패튼 홀딩스, 인크
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 인터디지탈 패튼 홀딩스, 인크 filed Critical 인터디지탈 패튼 홀딩스, 인크
Publication of KR20120034207A publication Critical patent/KR20120034207A/ko
Application granted granted Critical
Publication of KR101597388B1 publication Critical patent/KR101597388B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/26Network addressing or numbering for mobility support
    • H04W8/265Network addressing or numbering for mobility support for initial activation of new user
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/18Service support devices; Network management devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/70Services for machine-to-machine communication [M2M] or machine type communication [MTC]

Abstract

안전한 원격 가입 관리를 수행하는 방법 및 장치가 개시된다. 안전한 원격 가입 관리는 임시 접속 식별자(PCID)와 같은 접속 식별자를 갖는 무선 송수신 유닛(WTRU)을 제공하는 것을 포함할 수 있고, 그것은 초기의 안전한 원격 등록, 프로비저닝, 및 활성화를 위한 초기 접속 오퍼레이터(ICO)로의 초기 네트워크 접속을 확립하는데 사용될 수 있다. ICO에의 접속을 이용하여 선택된 홈 오퍼레이터(SHO)와 연관된 크리덴셜을 WTRU에 원격으로 프로비저닝한다. 신뢰된 물리적 유닛(TPU)에 포함될 수 있는 암호 키와 같은 크리덴셜은 SHO에 할당될 수 있고, 활성화될 수 있다. WTRU는 SHO에의 네트워크 접속을 확립할 수 있고, 원격 관리된 크리덴셜을 이용하여 서비스를 수신할 수 있다. 안전한 원격 가입 관리는 WTRU를 다른 SHO와 연관시키는 것을 반복할 수 있다.

Description

안전한 원격 가입 관리{SECURE REMOTE SUBSCRIPTION MANAGEMENT}
본 출원은 무선 통신에 관한 것이다.
본 출원은 여기서 완전히 명시된 바와 같이 참조에 의해 통합되는 2009년 3월 5일 출원된 미국 가특허 출원 제61/157,796호의 이득을 청구한다.
머신형 통신(MTC)과 같은 머신간 통신(M2M)은 사람의 중재 또는 상호작용없이 기기간의 통신을 포함할 수 있다. M2M 통신에서 M2M 능력을 가지고 배치된 단말기는 직접적인 사람의 상호작용없이 원격 관리될 수 있다. M2M 통신을 포함한 무선 통신은 가입시 식별될 수 있는 오퍼레이터를 이용한 접속을 확립하는 것을 포함할 수 있다. 따라서, 안전한 원격 가입 관리를 수행하는 방법 및 장치가 유익하다.
안전한 원격 가입 관리를 수행하는 방법 및 장치가 개시된다. 안전한 원격 가입 관리는 임시 접속 식별자(PCID: Provisional Connectivity Identifier)와 같은 접속 식별자를 갖는 무선 송수신 유닛(WTRU: Wireless Transmit/Receive Unit)을 제공하는 것을 포함하고, 그것은 초기의 안전한 원격 등록, 프로비저닝, 및 활성화를 위해 예를 들면 초기 접속 오퍼레이터(ICO: Initial Connectivity Operator)에 초기 네트워크 접속을 확립하는데 이용될 수 있다. 초기 네트워크 접속 및 PCID에 포함되는 정보는 ICO를 식별하는데 이용될 수 있다. ICO로의 접속은 선택된 홈 오퍼레이터(SHO: Selected Home Operator)와 연관된 크리덴셜(인증)을 WTRU에 원격 프로비저닝(provisioning)하는데 이용될 수 있다. 신뢰된 물리적 유닛(TPU: Trusted Physical Unit)에 포함될 수 있는 암호 키세트와 같은 크리덴셜은 SHO에 할당될 수 있고 활성화될 수 있다. WTRU는 SHO에의 네트워크 접속을 확립할 수 있고, 원격 관리된 크리덴셜을 이용하여 서비스를 수신할 수 있다. 안전한 원격 가입 관리는 WTRU를 다른 SHO와 연관시키는 것을 반복할 수 있다.
첨부되는 도면과 함께 예로서 주어진 다음의 상세한 설명으로부터 보다 상세하게 이해될 수 있다.
도 1은 진화된 범용 지상파 무선 액세스 네트워크를 포함하는 롱 텀 에볼루션 무선 통신 네트워크를 나타낸다.
도 2는 무선 송수신 유닛, 진화된 노드-B, 및 이동성 관리 개체 서빙 개이트웨이를 포함하는 롱 텀 에볼루션 무선 통신 네트워크의 일례의 블록도를 나타낸다.
도 3은 무선 송수신 유닛 가입 관리 및 통신의 일례의 블록도를 나타낸다.
도 4a 및 4b는 안전한 원격 가입 관리 방법의 일례의 도해를 나타낸다.
도 5a 및 5b는 결합된 등록 오퍼레이터와 초기 접속 오퍼레이터를 갖는 안전한 원격 가입 관리 방법의 일례의 도해를 나타낸다.
도 6a 및 6b는 에어 업데이트를 통해 초기화되는 초기 접속 오퍼레이터를 갖는 안전한 원격 가입 관리 방법의 일례의 도해를 나타낸다.
도 7a 및 7b는 키세트 보호 기능을 가진 안전한 원격 가입 관리 방법의 일례의 도해를 나타낸다.
도 8a, 8b, 및 8c는 검증 기능을 가진 안전한 원격 가입 관리 방법의 일례의 도해를 나타낸다.
이후에 언급될 때, "무선 송수신 유닛(WTRU)"이란 전문 용어는 사용자 장비(UE: user equipment), 이동국(MS: mobile station), 어드밴스드 이동국(AMS: advanced mobile station), 머신간 통신(M2M) 장비(M2ME), 고정된 또는 이동성 가입자 유닛, 무선 호출기, 휴대 전화, 개인 정보 단말기(PDA), 컴퓨터, 또는 어떤 다른 유형의 무선 환경에서 작동가능한 기기를 포함하지만 그것에 한정되지 않는다. 이후에 언급될 때, "기지국"이란 전문 용어는 노드-B, 어드밴스드 기지국(ABS: advanced base station), 사이트 컨트롤러, 액세스 포인트(AP)를 포함하지만, 그것에 한정되지 않는다. "WTRU" 및 "기지국"이란 전문 용어는 상호 배타적이지 않다.
이후 언급될 때, "품질" 또는 "신호 품질"이란 전문 용어는 수신된 신호의 품질의 측정을 포함하지만, 그것에 한정되지 않는다. 예를 들면, 롱 텀 에볼루션(LTE: Long Term Evolution)에서 기준 신호 수신 품질(RSRQ: Reference Signal Received Quality), 또는 범용 모바일 통신 시스템(UMTS: Universal Mobile Telecommunication System)에서 노이즈 스펙트럼 밀도에 대한 변조 비트당 에너지의 공통 파일럿 채널(CPICH)비(Ec/No)이다. 간단함을 위해, 소스로부터 수신된 신호의 품질은 소스의 품질이라고 할 수 있고, 예를 들면, WTRU로부터 수신된 신호의 품질은 WTRU의 품질이라고 할 수 있다. 간단히, 정보를 포함하는 수신된 정보의 품질은 정보의 품질이라고 할 수 있고, 예를 들면 확인 응답(ACK: acknowledgment)을 포함하는 신호의 품질은 ACK의 품질이라고 할 수 있다. 여기서 언급될 때, "수신 신호 레벨"이란 전문 용어는 수신된 신호의 전력; 예를 들면, LTE에서 기준 신호 수신 전력(RSRP: Reference Signal Received Power) 또는 UMTS에서 CPICH 수신 신호 코드 전력(RSCP: Received Signal Code Power)의 관리를 포함하지만 그것에 한정되지 않는다.
이후 언급될 때, "신뢰", "신뢰된", 및 "신뢰성 있는"이란 용어뿐만 아니라 그 변형은 검증가능하고 수량화가능하며 식별가능한 방식의, 유닛이 예상된 방식으로 기능할 것인지의 평가이다. 이후 언급될 때, "신뢰된 도메인(TD: Trusted Domain)"이란 전문 용어 및 그 변형은 도메인을 포함하지만, 그것에 한정되지 않는다. 이후 언급될 때, "신뢰된 컴퓨팅 환경(TCE: Trusted Computing Environment)"이란 전문 용어는 WTRU 플랫폼에 대한 완벽히 안전한 실행 및 저장 환경을 포함하지만, 그것에 한정되지 않는다. 예를 들면, TCE는 하드웨어 또는 소프트웨어, 또는 양측 모두를 이용하여 기기의 ID의 프로비저닝, 저장, 실행 및 관리를 위해 보호 및 분리를 제공할 수 있다.
도 1은 진화된 범용 지상파 무선 액세스 네트워크(E-UTRAN: Evolved-Universal Terrestrial Radio Access Network)(105) 및 WTRU(110)를 포함하는 롱 텀 에볼루션(LTE) 무선 통신 시스템/액세스 네트워크(100)의 일례의 도해를 나타낸다. E-UTRAN(105)은 복수의 E-UTRAN 노드-B(eNB)(120), 홈 eNB(HeNB)(122), 및 HeNB 게이트웨이(HeNB GW)(132)를 포함하는 것처럼 도시된다. WTRU(110)는 eNB(120), 또는 HeNB(122), 또는 양측 모두와 통신할 수 있다. eNB(120)는 X2 인터페이스를 이용하여 서로 접속한다. eNB(120) 및 HeNB GW(132) 각각은 S1 인터페이스를 통하여 이동성 관리 개체(MME: Mobility Management Entity)/서빙 게이트웨이(S-GW: Serving Gateway)(130)와 접속한다. HeNB(122)는 S1 인터페이스를 통하여 HeNB GW(132)와, 또는 S1 인터페이스를 통하여 MME/S-GW(130)와, 또는 양측 모두와 접속할 수 있다. 단일 WTRU(110), 단일 HeNB, 및 3개의 eNB(120)가 도 1에서 도시되지만, 무선 통신 시스템/액세스 네트워크(100)에서 어떠한 조합의 무선 및 유선 기기도 포함될 수 있다는 것은 명백해야 한다.
도 2는 WTRU(110), eNB(120), 및 MME/S-GW(130)를 포함하는 LTE 무선 통신 시스템(200)의 일례의 블록도이다. eNB(120) 및 MME/S-GW(130)는 간단함을 위해 도시되지만, HeNB(122) 및 HeNB GW(132)의 예가 실질적으로 유사한 특징을 포함할 수 있다는 것은 명백해야 한다. 도 2에 나타낸 바와 같이, WTRU(110), eNB(120) 및 MME/S-GW(130)은 안전한 원격 가입 관리 방법을 수행하도록 구성된다.
전형적인 WTRU에 설립될 수 있는 구성성분에 추가하여 WTRU(110)는 선택적으로 연결된 메모리(222)를 갖는 프로세서(216), 적어도 하나의 송수신기(214), 선택적인 배터리(220), 및 안테나(218)를 포함한다. 프로세서(216)는 안전한 원격 가입 관리 방법을 수행하도록 구성된다. 송수신기(214)는 프로세서(216) 및 안테나(218)와 통신하여 무선 통신의 송신 및 수신을 가능하게 한다. WTRU(110)에서 배터리(220)가 이용되는 경우에 그것은 송수신기(214) 및 프로세서(216)에 전력을 공급한다.
전형적인 eNB에 설립될 수 있는 구성 성분에 추가하여 eNB(120)는 선택적으로 연결된 메모리(215)를 갖는 프로세서(217), 송수신기(219), 및 안테나(221)를 포함한다. 프로세서(217)는 안전한 원격 가입 관리 방법을 수행하도록 구성된다. 송수신기(219)는 프로세서(217) 및 안테나(221)와 통신하여 무선 통신의 송신 및 수신을 가능하게 한다. eNB(120)는 선택적으로 연결된 메모리(234)를 갖는 프로세서(233)를 포함하는 이동성 관리 개체/서빙 게이트웨이(MME/S-GW)(130)에 접속된다.
도 1 및 도 2에 나타낸 LTE 네트워크는 단지 특정 통신 네트워크의 일례이다; 다른 유형의 통신 네트워크가 본 개시의 범위를 초과하지 않고 이용될 수 있다. 예를 들면, 무선 네트워크는 범용 이동 통신 시스템(UMTS) 네트워크 또는 글로벌 이동 통신 시스템(GSM: Global System for Mobile communication) 네트워크일 수 있다. 이후 언급될 때, "매크로 셀"이라는 전문 용어는 기지국, E-UTRAN 노드-B(eNB), 또는 무선 환경에서 작동가능한 어떤 다른 유형의 인터페이싱 기기를 포함하지만, 그것에 한정되지 않는다. 이후 언급될 때, "홈 노드-B(HNB)"란 전문 용어는 기지국, 홈 진화된 노드-B(HeNB), 펨토셀, 또는 폐쇄된 가입자 그룹 무선 환경에서 작동가능한 어떤 다른 유형의 인터페이싱 기기를 포함할 수 있지만, 그것에 한정되지 않는다.
도 3은 WTRU 가입 관리 및 통신의 일례의 블록도이다. 도 3은 스마트 카드와 같은 안전한 프로세서를 포함하는 메모리 카드 또는 범용 직렬 버스(USB: Universal Serial Bus) 토큰, 또는 범용 집적 회로 카드(UICC: Universal Integrated Circuit Card)와 같은 신뢰성 있는 물리적 유닛(TPU)을 제공할 수 신뢰성 있는 유닛 제공자(310)를 나타낸다. 예를 들면, TPU 제공자(310)는 신뢰된 제조자일 수 있다. 또한, 도 3은 M2M 이용가능한 장비(M2ME), 초기 접속 오퍼레이터(ICO)(330), 등록 오퍼레이터(RO: Registration Operator)(340), 제 1의 선택된 홈 오퍼레이터(SHOA)(350), 제 2의 선택된 홈 오퍼레이터(SHOB)(360), 및 WTRU(320) 소유자와 같은 가입자(370)와 같은 WTRU(320)를 나타낸다. SHOA 또는 SHOB와 같은 홈 오퍼레이터는 이동 네트워크 오퍼레이터(MNO: Mobile Network operator)일 수 있고, 이동 접속 및 통신 서비스를 제공할 수 있다. 선택적으로, ICO(330) 및 RO(340)는, 도 3에서 파선으로 나타낸 바와 같이, 단일 개체에서와 같이 단단히 연결될 수 있다. 도 3에 나타낸 통신 경로는 설명을 위한 것이고, 다른 통신 경로가 여기서 설명되는 바와 같이 이용될 수 있다는 것은 명백해야 한다.
WTRU는 이동 네트워크 오퍼레이터(MNO)와 같은 오퍼레이터에 의해 제공되는 네트워크를 통하여 네트워크 접속 및 수신 서비스를 확립할 수 있다. 적절한 MNO를 식별하기 위해 WTRU에는 MNO와 연관된 크리덴셜이 프로비저닝될 수 있다. 예를 들면, 크리덴셜은 TPU 상에 포함될 수 있고, 제조 또는 분배시에 WTRU에 설치될 수 있다. 예를 들면, 판매자는 WTRU를 사용자에게 제공하기 전에 WTRU에 TPU를 설치할 수 있다. WTRU는 프로비저닝된 MNO에 의해 제공되는 네트워크에 접속될 수 있고, 그로부터 서비스를 수신할 수 있다. 그러나, WTRU는 프로비저닝된 MNO없이 분배될 수 있거나, 또는 SHOA와 같은 현재의 MNO로부터 SHOB와 같은 다른 MNO로 변경하도록 가입을 변경할 수 있다. 따라서, WTRU의 안전한 원격 가입 관리를 위한 방법 및 장치가 제공된다.
안전한 원격 가입 관리는 초기의 안전한 원격 등록, 프로비저닝, 및 활성화를 위해, 예를 들면 초기 접속 오퍼레이터(ICO)로의 초기 네트워크 접속을 확립하는데 이용될 수 있는 임시 접속 식별자(PCID)와 같은 접속 식별자를 갖는 WTRU를 포함할 수 있다. 초기 네트워크 접속은 방문된 네트워크를 통하여 확립될 수 있다. PCID는 국제 이동 가입자 식별자(IMSI: International Mobile Subscriber Identifier) 또는 일시적인 IMSI(TIMSI)와 유사한 구조를 가질 수 있고, ICO를 식별하기 위해 예를 들면 방문된 네트워크에 의해 이용될 수 있는 정보를 포함할 수 있다. 선택적으로, 방문된 네트워크는 ICO를 포함할 수 있다.
초기 네트워크 접속 및 PCID에 포함된 정보는 ICO를 식별하는데 이용될 수 있다. ICO에의 접속을 이용하여 SHO와 연관된 크리덴셜을 WTRU에 원격으로 프로비저닝한다. TPU에 포함될 수 있는 암호 키와 같은 크리덴셜이 SHO에 할당될 수 있고, 활성화될 수 있다. WTRU는 SHO에의 네트워크 접속을 확립할 수 있고, 원격 관리된 크리덴셜을 이용하여 서비스를 수신할 수 있다. 안전한 원격 가입 관리는 WTRU를 다른 SHO와 연관시키는 것을 반복할 수 있다. 도 4a ~ 도 8b는 안전한 원격 가입 관리의 예를 나타낸다.
도 4a 및 도 4b는 안전한 원격 가입 관리 방법의 일례의 도해를 나타낸다. 안전한 원격 가입 관리는 ICO에 초기 접속을 확립하는 것, SHO로의 WTRU 등록, 크리덴셜 프로비저닝, SHO 가입을 위한 TPU에서의 크리덴셜 활성화, 및 SHO로의 암호 키와 같은 가입 관련 데이터의 분배를 포함할 수 있다.
장비 제조자 또는 사용자와 같은 가입자는 ICO, RO, SHOA, SHOB, 또는 그 조합을 선택하여 그것과의 접촉을 확립할 수 있다(4010). 가입자는 RO에 WTRU의 ID를 등록할 수 있다(4020). 등록은 RO에 WTRU와 연관되는 1개 이상의 SHO를 보고하는 것을 포함할 수 있다. 대안적으로, SHO는 RO와 연관될 수 있고, 등록을 수행할 수 있다.
ICO는 초기 네트워크 접속에 이용될 수 있는 ICO 크리덴셜, 및 운용 네트워크 접속에 이용될 수 있는 MNO 크리덴셜을 획득할 수 있다(4030). MNO 크리덴셜은 오퍼레이터와 각각 연관될 수 있는 다수의 크리덴셜을 포함할 수 있다. 예를 들면, MNO 크리덴셜은 SHO에 할당될 수 있다. 선택적으로, 복수의 크리덴셜이 ICO에 초기에 할당될 수 있고, 가입 변경을 위해 SHO에 재할당될 수 있다. 크리덴셜은 WTRU에서 UICC 또는 가상 가입자 식별 모듈(VSIM: Virtual Subscriber Identity Module)과 같은 TPU 상에 안전하게 저장될 수 있다. ICO는 TPU 제공자와 같은 신뢰된 크리덴셜 제공자로부터 크리덴셜을 획득할 수 있다.
ICO는 가입자에게 크리덴셜을 포함하는 TPU를 제공할 수 있다(4040). 가입자는 WTRU에 TPU를 설치할 수 있다(4050). 예를 들면, TPU는 ICO와 연관된, 가입자 식별 모듈(SIM) 또는 범용 가입자 식별 모듈(USIM)과 같은 네트워크 액세스 유닛, 및 SHO와 연관된 네트워크 액세스 유닛을 포함할 수 있는 UICC를 포함할 수 있다.
TPU 공급자는 집적 회로 카드 ID(ICC-ID)와 유사할 수 있는 ID를 갖는 TPU(TPU-ID)를 제공할 수 있다. 예를 들면, TPU는 UICC를 포함할 수 있고, ID는 UICC와 연관된 ICC-ID를 포함할 수 있다. TPU-ID는 WTRU에 대한 식별자로서 이용될 수 있다. 대안적으로, WTRU는 다수의 TPU, 및 WTRU 제조자 또는 가입자에 의해 생성될 수 있는 독립된 ID(WTRU-ID)를 포함할 수 있다. 선택적으로, TPU-ID 및 WTRU-ID는 조합으로 이용될 수 있다.
크리덴셜은 {K, KOTA}와 같은 암호 키세트를 포함할 수 있다. 예를 들면, K는 범용 이동 통신 시스템(UMTS) 인증 및 키 동의(AKA) 인증 루트 키를 표시할 수 있고; KOTA는 ICO 또는 SHO와 같은 오퍼레이터와 WTRU 사이의 통신을 보안하는데 이용될 수 있는 암호 키를 표시할 수 있다. 크리덴셜은 이동 네트워크 코드(MNC: Mobile Network Code) 또는 이동 국가 코드(MCC: Mobile Country Code)와 같은 식별자를 포함할 수 있다. 식별자는 IMSI와 유사할 수 있는 PCID에 포함될 수 있다.
IMSI, 및 유사하게는 PCID는 15개의 숫자를 포함할 수 있다. 처음 3개의 숫자는 MCC를 표시할 수 있다. MCC은 유럽 표준 MNC와 같이 2개의 숫자, 또는 북미 표준 MNC와 같이 3개의 숫자를 포함할 수 있는 MNC가 따라올 수 있다. IMSI의 나머지 숫자는 네트워크의 가입자 또는 고객층과 연관될 수 있는 이동국 식별 번호(MSIN)를 포함할 수 있다. 표 1은 IMSI 구조의 예뿐만 아니라 IMSI의 예를 나타낸다. PCID가 유사한 구조를 포함할 수 있다는 것은 명백해야 한다.
IMSI: 310150123456789
MCC 310 USA
MNC 150 AT&T Mobility
MSIN 123456789
WTRU는 프로비저닝된 크리덴셜을 이용하여 네트워크를 액세스할 수 있다(4060). 예를 들면, WTRU에는 ICO와 연관된 제 1 크리덴셜이 프로비저닝될 수 있다. 제 1 크리덴셜은 PCID 및 키세트를 포함할 수 있다. WTRU는 ICO로의 초기 접속을 확립하기 위해 ICO 크리덴셜을 이용할 수 있다. 선택적으로, ICO는 홈 위치 등록기/인증 센터(HLR/AuC: Home Location Register/Authentication Center)를 이용하여 WTRU를 인증할 수 있다. HLR/AuC는 예를 들면 ICO와 연관된 키세트에 대응하는 인증 키를 이용하여 WTRU를 인증할 수 있다. WTRU는 인터넷 프로토콜(IP) 주소를 제공할 수 있고, ICO로부터 서비스를 수신할 수 있다.
ICO는 TPU를 이용하여 적절한 RO를 결정할 수 있고, WTRU가 ICO에의 접속을 확립하였다고 표시하기 위한 통지를 예를 들면 IP 접속을 통하여 RO에 전송할 수 있다(4070). 예를 들면, TPU는 ICC-ID와 같은 고유 식별자를 포함할 수 있는 UICC를 포함할 수 있다. 고유 식별자는 RO와 연관될 수 있고, ICO는 예를 들면 상호 참조 테이블 또는 데이터베이스를 이용하여 고유 식별자에 근거하여 RO를 식별할 수 있다.
대안적으로, ICO는 PCID와 같은 TPU로부터의 다른 정보를 이용하여 적절한 RO의 ID를 결정할 수 있다. 대안적으로, TPU는 RO를 표시할 수 있는 디바이스 관리(DM) 파일을 포함할 수 있다. 선택적으로, DM 파일은 TPU로 다운로드될 수 있고, 파일 다운로드는 원격으로 수행될 수 있다.
상기 대안은 다수의 PCID를 이용하여 결합될 수 있다. PCID는 M x N 매핑과 같이 ICO 및 RO의 결합으로 매핑할 수 있다. TPU는 다수의 ICC_ID와 연관될 수 있다. 선택적으로, 가입자 또는 SHO는 TPU와 연관된 정보에 근거하여 RO를 식별할 수 있다. 예를 들면, 정보는 신뢰된 크리덴셜 제공자에 의해 공급될 수 있다. 선택적으로, 정보는 배치(batch)에서 제공될 수 있다. 예들 들면, 배치는 PCID 및 ICC_ID에 포함될 수 있는 생산 시리얼 넘버와 같은 공용 식별자를 이용하여 식별될 수 있다. 배치와 연관된 TPU는 미리 정의된 RO 정보와 연관될 수 있다. 예를 들면 RO 정보는 TPU에서 영구적인 데이터 파일로 포함될 수 있다.
대안적으로, 다수의 WTRU에는 PCID가 프로비저닝될 수 있고, 물리적 위치, 네트워크 위치, 또는 양측 모두와 같은 위치 정보, 어태치먼트(attachment) 시도 일시 정보, 또는 양측 모두에 근거하여 고유하게 식별될 수 있다. 예를 들면, 크리덴셜이 프로비저닝되는 2개의 TPU는 상이한 시간에 네트워크로 어태치를 시도할 수 있다.
선택적으로, RO는 WTRU에 대하여 재할당될 수 있다. 예를 들면, RO의 ID는 PCID로 인코딩될 수 있고, PCID는 상이한 RO를 표시하도록 업데이트될 수 있다. 이용되지 않은 TPU는 예를 들면 ICC_ID와 RO의 ID 사이의 연관을 변경함으로써 재할당될 수 있다. 변경은 백그라운드 프로세스의 일부일 수 있다.
대안적으로, ICO 또는 RO 정보는 TPU 외측의 WTRU에 저장될 수 있다. 선택적으로, TPU 및 WTRU는 예를 들면 안전한 채널을 이용하여 안전하게 통신할 수 있다. 안전한 통신은 무결성 보호, 기밀성 보호, 또는 양측 모두를 포함할 수 있다. 예를 들면, 안전한 채널은 암호 키를 이용하여 TPU와 WTRU 사이에서 확립될 수 있다. RO, ICO, 또는 양측 모두에 관한 정보는 PCID와 같이, 예를 들면 데이터 필드에서 다음의 이용을 위해 WTRU와 TPU 사이에서 안전하게 통신될 수 있다. 다른 대안에 있어서, WTRU는 TPU에 그것의 ID를 전송할 수 있고, TPU는 WTRU의 ID 및 ICO 정보를 이용하여 PCID를 생성할 수 있다. ICO는 RO와 결합된 정보를 연관시킬 수 있다.
RO는 예를 들면 SHO와 연관된 식별자의 소정 리스트를 이용하여 적절한 SHOA를 식별할 수 있다(4080). 리스트를 생성하기 위해 가입자는 WTRU와 연관되는 각 SHO에 메세지를 전송할 수 있다. 메세지는 WTRU ID - PCID 연관 리스트를 포함할 수 있다. 연관은 객체로 밀폐(encapsulate)될 수 있다. 간단함을 위해, WTRU ID - PCID 연관은 여기서 객체라고 할 것이지만; 어떤 다른 데이터 구조가 이용될 수 있다는 것은 명백해야 한다. WTRU ID는 국제 이동 기기 ID(IMEI: International Mobile Equipment Identity)와 유사할 수 있거나, 대안적으로 전체 주소 도메인 이름(FQDN: Fully Qualified Domain Name)과 유사할 수 있다. 각 SHO는 PCID에 근거하여 적절한 RO를 식별하고, 각 객체를 위한 MNC와 같이 그 ID를 추가함으로서 객체 리스트를 업데이트하고, 식별된 RO로 업데이트된 리스트를 전송할 수 있다. RO는 WTRU와 연관된 SHO의 리스트를 생성하기 위해 업데이트된 리스트를 이용할 수 있다.
RO는 WTRU의 위치와 같이 예를 들면 WTRU의 상황 정보에 근거하여 생성된 리스트로부터 적절한 SHOA를 결정할 수 있다. RO, ICO, 또는 양측 모두는 PCID로 식별될 수 있고, RO, ICO, 또는 양측 모두는 그 ICO 또는 RO를 위한 모든 PCID의 리스트에서 가입자에 의해 RO, ICO, 또는 양측 모두에 통신될 수 있다.
대안적으로, 각 SHO는 예를 들면 SHO 등록의 일부로서 가입자로 RO 리스트를 전송할 수 있다. 그 리스트는 우선 순위를 가지고 정리될 수 있고, 지리적으로 그룹화될 수 있다. 가입자는 다수의 SHO로부터 RO 정보를 포함하는 결합된 RO 리스트를 생성할 수 있다. 결합된 RO 리스트는 우선 순위를 가지고 정리될 수 있고, 지리적으로 그룹화될 수 있다. 가입자는 WTRU에서 결합된 RO 리스트, 또는 그 서브세트를 포함할 수 있다. 가입자는 RO에 WTRU ID - PCID 연관을 포함하는 객체 리스트를 전송할 수 있다. WTRU는 네트워크 어태치먼트 동안에 이용하기 위해 RO를 결정하는데 결합된 RO 리스트를 이용할 수 있다. WTRU는 우선 순위에서 RO에 접속을 시도할 수 있다. 선택적으로, WTRU는 RO를 결정하기 위해 위치 정보를 이용할 수 있다.
RO는 SHOA에 WTRU를 등록할 수 있다(4090). RO는 SHOA에 WTRU가 등록되어 있다고 표시하기 위한 통지를 ICO에 전송할 수 있다(4100). SHOA 및 ICO는 WTRU를 위한 IMSI, 및 운용 키세트를 교환할 수 있다(4110). 예를 들면, SHOA는 ICO에 IMSI를 포함하는 메세지를 전송할 수 있고, 네트워크 액세스 및 OTA 통신과 같은 가입에 이용하는 키세트를 요청하기 위해 ICO에 메세지를 전송할 수 있다. ICO는 SHOA에 요청된 키세트를 포함하는 메세지를 전송할 수 있다.
ICO는 WTRU의 TPU 상에 오버 디 에어(OTA: over the air) IMSI 설치를 수행할 수 있다(4120). TPU는 예를 들면 다음의 키세트에 운용 키세트를 인덱싱할 수 있다. WTRU는 업데이트 상태를 표시하기 위해 ICO에 확인 응답(ACK)을 전송할 수 있다. ACK가 전송되기 전에 WTRU가 접속이 끊히면 WTRU는 재접속하여 ACK를 송신할 수 있다. 선택적으로, WTRU는 SHOA를 통하여 ICO에 ACK를 전송할 수 있다. 선택적으로, ICO는 ACK를 위해 대기할 수 있고, ACK가 ICO에 의해 수신되지 않으면 업데이트가 승인되지 않을 수 있다.
선택적으로, 초기 접속을 위해 이용되는 PCID 및 키세트는 보존될 수 있다. 예를 들어 WTRU가 SHOA에의 네트워크 접속을 확립하는데 실패하면 WTRU는 초기 접속을 위해 이용되는 PCID 및 키세트에 복귀할 수 있고 안전한 원격 가입 관리를 다시 개시할 수 있다. WTRU는 ICO로의 초기 네트워크 어태치먼트를 종료할 수 있다. WTRU는 새로운 IMSI를 이용하여 시작할 수 있고, 새로운 IMSI의 활성화를 개시하기 위해 리셋되거나 전력이 재공급될 수 있다.
WTRU는 SHOA를 통하여, 또는 선택적으로 방문된 네트워크를 통하여 운용 네트워크 어태치먼트를 확립할 수 있고, SHOA로부터 서비스를 수신할 수 있다(4130). TPU 및 SHOA는 예를 들면 UMTS AKA 절차에서 키세트를 이용하여 네트워크 어태치먼트를 확립할 수 있다.
가입자는 SHOA로부터 SHOB로의 가입 변경을 개시할 수 있다(4140). 예를 들면, 가입자는 SHOA에 의해 WTRU로 제공되는 리스트로부터 SHOB를 선택할 수 있다. 대안적으로, 가입자는 SHOA 또는 SHOB의, 인터넷 주소와 같은 알려진 주소로 SHOB로의 가입 변경을 위한 요청을 전송할 수 있다. SHO는 가입 변경의 사항을 협상할 수 있다.
SHOB는 SHOA에 새로운 IMSI를 전송할 수 있다(4150). 선택적으로, SHOB는 SHOB로 가입 변경하는 복수의 WTRU 각각에 대한 새로운 IMSI 리스트를 SHOA에 전송할 수 있다. 다음의 상세한 설명은 WTRU를 말하지만, 설명되는 방법은 다수의 WTRU에 적용될 수 있다는 것은 명백해야 한다.
SHOA는 WTRU를 위해 OTA IMSI 업데이트를 수행할 수 있다(4160). 업데이트는 SHOA와 연관된 IMSI를 SHOB와 연관된 IMSI로 대체하는 것, 및 새로운 IMSI를 TPU에서 다른 키세트와 연관시키는 것을 포함할 수 있다. WTRU는 업데이트 상태를 표시하는 ACK를 SHOA에 전송할 수 있다(4170). 선택적으로, SHOA는 ACK를 위해 대기할 수 있고, ACK가 수신되지 않으면 업데이트는 종료될 수 있다.
SHOA는 새로운 IMSI와 키세트 사이의 연관을 표시하기 위한 메세지를 SHOB에 전송할 수 있다(4180). 메세지는 각각의 IMSI - 키 페어 연관의 인덱스를 포함할 수 있다. 선택적으로, 예를 들면 SHOA 또는 SHOB의 네트워크로 어태치하는데 실패하는 것에 응답하여 WTRU는 ICO의 PCID 및 키세트의 이용에 복귀할 수 있고 안전한 원격 가입 관리를 재시작할 수 있다.
SHOA는 가입 변경에 대해서 ICO에 통지하기 위한 메세지를 ICO에 전송할 수 있다(4190). SHOB는 새로운 IMSI와 연관되는 키세트를 요청하기 위한 메세지를 ICO에 전송할 수 있다(4200). 요청은 WTRU의 UICC_ID와 같은 WTRU의 식별자, 및 IMSI - 키세트 연관을 포함할 수 있다. ICO는 SHOB에 IMSI - 키세트 연관의 확인 및 키세트를 전송할 수 있다. SHOB는 WTRU에 접속 서비스를 제공하기 위해 IMSI 및 키세트를 이용할 수 있다(4210). WTRU는 도 4b에 파선으로 나타낸 바와 같이, 유사한 방법을 이용하여 SHOC와 같은 다른 SHO로 이동할 수 있다는 것은 명백해야 한다.
선택적으로, 도 4 ~ 도 8에 설명된 바와 같은 키세트 프로비저닝 대신에, 또는 그것에 추가하여 새로운 키세트가 생성될 수 있다. 추가의 키세트가 WTRU에 안전하게 설치될 수 있다. WTRU 또는 TPU는 키 페어의 부족을 검출할 수 있다. TPU는 부족의 WTRU를 통지할 수 있고, WTRU는 ICO, 또는 RO, 또는 양측 모두에 새로운 키 페어에 대한 요청을 전송할 수 있다. 예를 들면, TPU는 가입 변경 동안에 부족을 검출 할 수 있다. 대안적으로, 새로운 키 페어는 범용 SIM(USIM) 어플리케이션 툴킷/카드 어플리케이션 툴킷(USAT/CAT)을 이용하여 제공될 수 있다. 선택적으로, ICO는 TPU에 이용가능한 키세트의 수를 트래킹할 수 있고, 필요에 따라 키세트 업데이트를 개시할 수 있다.
대안적으로, TPU 및 ICO는 예를 들면 선입선출(first-in first-out) 방식으로 키세트를 유지하고 재사용할 수 있다. 다른 대안에 있어서, TPU는 예를 들면 마스터 키를 이용하여 새로운 키세트를 생성할 수 있다. 새로운 키세트 생성은 TPU 생성된 키세트에 매칭하는 키세트를 생성할 수 있는 ICO에 보고될 수 있다. 대안적으로, 새로운 키세트는 예를 들면 공개 키 암호 표준(PKCS: Public Key Cryptography Standard) 프로토콜과 같은 키세트 생성 프로토콜을 이용하여 TPU에 의해 생성될 수 있고, 키세트의 공개 키는 공증을 위해 ICO를 통하여 업로드될 수 있다. 또 다른 대안에 있어서, 새로운 키세트는 UICC-기반의 향상을 갖는 일반 부트스트래핑 아키텍처(GBA)(GBA_U: GBA with UICC-based enhancement) 프로토콜 또는 유럽 표준 EN726 part 7 프로토콜과 같은 공용 대칭 키 생성 프로토콜을 이용하여 생성될 수 있다. 또 다른 대안에 있어서, ICO는 새로운 크리덴셜 세트의 생성을 개시하기 위한 메세지를 TPU에 전송할 수 있다.
도 5a 및 도 5b는 결합된 RO 및 ICO를 갖는 안전한 원격 가입 관리 방법의 일례의 도해를 나타낸다. 이 방법은 여기서 설명되는 것 외에는 도 4a ~ 도 4b에 나타낸 방법과 유사하다. 결합된 ICO/RO는 PCID에 의해 식별될 수 있다. 예를 들면, IMSI와 유사할 수 있는 PCID는 적절한 MCC/MNC를 포함할 수 있다. ICO 및 RO는 단일의 논리적인 또는 물리적인 유닛에 포함될 수 있다. 결합된 ICO/RO는 TPU 공급자에 의해 TPU 상에 식별될 수 있다.
장비 제조자 또는 사용자와 같은 가입자는 RO, SHOA, SHOB, 또는 그 조합을 선택하여 그것과의 접촉을 확립할 수 있다(5010). ICO(별도로 도시되지 않음) 및 RO는 단일 개체일 수 있고, 간단함을 위해서 도 5a 및 도 5b에 관하여 RO로서 칭해질 것이다. 가입자는 RO에 WTRU의 ID를 등록할 수 있다(5020). 등록은 RO에 WTRU와 연관되는 1개 이상의 SHO를 보고하는 것을 포함할 수 있다. 대안적으로, SHO는 등록을 수행할 수 있다.
RO는 RO 크리덴셜 및 MNO 크리덴셜을 획득할 수 있다(5030). RO 크리덴셜 및 MNO 크리덴셜은 RO와 TPU 사이 또는 MNO와 TPU 사이의 인증된 네트워크 액세스 및 안전한 원격 통신에 이용될 수 있는 암호 키세트를 포함할 수 있다. 각 크리덴셜은 RO 또는 MNO와 각각 연관된 PCID 또는 IMSI와 같은 ID를 포함할 수 있다. RO는 가입자에게 크리덴셜을 포함하는 TPU를 제공할 수 있다(5040). 가입자는 WTRU에 TPU를 설치할 수 있다(5050).
WTRU는 프로비저닝된 크리덴셜을 이용하여 네트워크를 액세스하여 RO에 초기 네트워크 접속을 확립할 수 있다(5060). WTRU는 RO로의 초기 네트워크 접속을 통하여 서비스를 수신할 수 있다.
RO는 예를 들면 WTRU로부터 획득된 정보를 이용하여 적절한 SHOA를 식별할 수 있고(5070), SHOA에 WTRU를 등록할 수 있다(5080). SHOA는 RO에 WTRU를 위한 PCID를 포함하는 메세지를 전송할 수 있다(5900). SHOA는 RO에 MNO 키세트에 대한 요청을 전송할 수 있다. RO는 SHOA에 MNO 키세트를 전송할 수 있다.
RO는 TPU 상에 OTA IMSI 업데이트를 수행할 수 있다(5100). TPU는 운용 키세트를 인덱싱할 수 있고, 업데이트 상태를 표시하기 위해 RO에 확인 응답(ACK)을 전송할 수 있다. WTRU는 초기 네트워크 접속을 종료할 수 있다. WTRU는 SHOA를 통하여 운용 네트워크 어태치먼트를 확립할 수 있다(5110).
가입자는 SHOA로부터 SHOB로의 가입 변경을 개시할 수 있다(5120). SHOB는 SHOA에 새로운 IMSI를 전송할 수 있다(5130). 다음의 상세한 설명은 WTRU를 말하지만, 설명되는 방법은 다수의 WTRU에 적용될 수 있다는 것은 명백해야 한다.
SHOA는 WTRU를 위해 OTA IMSI 업데이트를 수행할 수 있다(5140). WTRU는 업데이트 상태를 표시하는 ACK를 SHOA에 전송할 수 있다(5150). SHOA는 새로운 IMSI와 키세트 사이의 연관을 표시하기 위한 메세지를 SHOB로 전송할 수 있다(5160).
SHOA는 가입 변경에 대해서 RO에 통지하기 위한 메세지를 RO에 전송할 수 있다(5170). SHOB는 새로운 IMSI와 연관되는 키세트를 요청하기 위한 메세지를 RO에 전송할 수 있고(5180), IMSI - 키세트 연관을 RO에 전송할 수 있다. SHOB는 WTRU에 접속 서비스를 제공하기 위해 IMSI 및 키세트를 이용할 수 있다(5190). 선택적으로, 예를 들면 SHOA 또는 SHOB의 네트워크로 어태치하는데 실패하는 것에 응답하여 WTRU는 RO의 PCID 및 키세트의 이용에 복귀할 수 있고 안전한 원격 가입 관리를 재시작할 수 있다. WTRU는 도 5b에 파선으로 나타낸 바와 같이, 유사한 방법을 이용하여 SHOC와 같은 다른 SHO로 가입을 변경할 수 있다는 것은 명백해야 한다.
도 6a 및 도 6b는 ICO 개시된 OTA 업데이트를 갖는 안전한 원격 가입 프로비저닝 방법의 일례의 도해를 나타낸다. 이 방법은 여기서 설명되는 것 외에는 도 4a ~ 도 4b에 나타낸 방법과 유사하다. ICO는 키 위탁 개체를 포함할 수 있고, 공인 인증 기관(CA: certificate authority)과 유사한 신뢰성 있는 기관일 수 있다. 도 6a 및 도 6b을 참조하여 설명되었지만, 도면 중 어느 하나에 도시된 바와 같은 ICO 또는 결합된 ICO/RO는 키 위탁 개체 또는 신뢰성 있는 기관일 수 있다는 것은 명백해야 한다. ICO 또는 결합된 ICO/RO는 SHOB와 연관된 IMSI의 설치를 개시하고 TPU를 다음의 키세트에 인텍싱하게 하는 OTA 메세지를 TPU에 전송할 수 있다. ICO 또는 결합된 ICO/RO는 키에 액세스할 수 있고, 예를 들면 IP 접속을 이용하여 OTA TPU 업데이트를 개시할 수 있다.
장비 제조자 또는 사용자와 같은 가입자는 ICO, RO, SHOA, SHOB, 또는 그 조합을 선택하여 그것과의 접촉을 확립할 수 있다(6010). 가입자는 RO에 WTRU의 ID를 등록할 수 있다(6020). ICO는 초기 네트워크 접속에 사용될 수 있는 ICO 크리덴셜, 및 운용 네트워크 접속에 사용될 수 있는 MNO 크리덴셜을 획득할 수 있다(6030).
ICO는 가입자에게 크리덴셜을 포함하는 TPU를 제공할 수 있다(6040). 가입자는 WTRU에 TPU를 설치할 수 있다(6050). WTRU는 프로비저닝된 크리덴셜을 이용하여 네트워크를 액세스할 수 있다(6060).
ICO는 TPU를 사용하여 적절한 RO를 결정할 수 있다(6070). ICO는 WTRU가 ICO에의 접속을 확립하였다고 표시하기 위한 통지를 예를 들어 IP 접속을 통하여 RO에 전송할 수 있다.
RO는 예를 들면, SHO와 연관된 식별자의 소정의 리스트를 이용하여 적절한 SHOA를 식별할 수 있다(6080). RO는 SHOA에 WTRU를 등록할 수 있다(6090). RO는 SHOA에 WTRU가 등록되어 있다고 표시하기 위한 통지를 ICO에 전송할 수 있다(6100).
SHOA 및 ICO는 WTRU를 위한 IMSI와 운용 키세트를 교환할 수 있다(6110). ICO는 WTRU의 TPU 상에 오버 디 에어(OTA) IMSI 설치를 수행할 수 있다(6120). WTRU는 ICO로의 초기 네트워크 어태치먼트를 종료할 수 있다. WTRU는 SHOA를 통하여, 또는 선택적으로 방문된 네트워크를 통하여 운용 네트워크 어태치먼트를 확립할 수 있고, SHOA로부터 서비스를 수신할 수 있다(6130).
가입자는 SHOA로부터 SHOB로의 가입 변경을 개시할 수 있다(6140). 가입자는 SHOA에 의해 WTRU로 제공되는 리스트로부터 SHOB를 선택할 수 있다. 대안적으로, 가입자는 SHOA 또는 SHOB의, 인터넷 주소와 같은 알려진 주소로 SHOB로의 가입 변경을 위한 요청을 전송할 수 있다. SHO는 가입 변경의 사항을 협상할 수 있다.
SHOB는 ICO에 새로운 IMSI를 전송할 수 있다(6150). ICO는 WTRU를 위해 OTA IMSI 업데이트를 수행할 수 있다(6160). WTRU는 업데이트 상태를 표시하는 ACK를 ICO에 전송할 수 있고, ICO는 업데이트 상태 메세지를 SHOA로 포워딩할 수 있다(6170). ICO는 새로운 IMSI와 키세트 사이의 연관을 표시하기 위한 메세지를 SHOB에 전송할 수 있다(6180).
SHOB는 새로운 IMSI와 연관되는 키세트를 요청하기 위한 메세지를 ICO에 전송할 수 있다(6190). ICO는 SHOB에 IMSI - 키세트 연관의 확인 및 키세트를 전송할 수 있다. SHOB는 WTRU에 접속 서비스를 제공하기 위해 IMSI 및 키세트를 이용할 수 있다(6200). WTRU는 도 6b에 파선으로 나타낸 바와 같이, 유사한 방법을 사용하여 SHOC와 같은 다른 SHO로 가입을 변경할 수 있다는 것은 명백해야 한다.
도 7a 및 도 7b은 키세트 보호를 갖는 안전한 원격 가입 프로비저닝 방법의 일례의 도해를 나타낸다. 이 방법은 여기서 설명되는 것은 외에는 도 4a ~ 도 6b 및 도 8a ~ 도 8c에 나타낸 방법과 유사하다. 도 4a ~ 도 6b 및 도 8a ~ 도 8c에 나타낸 바와 같이, TPU는 예를 들면 IMSI에서 타겟이 된 이진 업데이트 명령에 응답하여 키세트를 인덱싱할 수 있다. 명령은 보안된 OTA 메세지와 같은 메세지에서 수신될 수 있다. 도 7a 및 도 7b는 하나의 대안을 나타내고, 여기서 명령은 IMSI에 설치 또는 업데이트를 인증하고, TPU에서 새로운 키세트를 활성화하는데 사용될 수 있다. WTRU, TPU, 또는 양측 모두는 명령의 보안 메트릭(metric)을 검증할 수 있다. 선택적으로, TPU는 IMSI 데이터를 분석할 수 있다. 명령은 ISO7816 Secure Messaging와 같은 안전한 메세징을 사용할 수 있다. 예를 들면, TPU은 명령의 근원을 인증하거나, 명령의 기밀을 유지하거나, 또는 명령의 무결성을 확인하기 위해 암호 키를 사용할 수 있다. 명령은 IMSI를 제공할 수 있고 TPU를 새로운 키세트에 인덱싱하도록 권한을 부여할 수 있다. TPU는 IMSI를 기존의 IMSI와 동일한 값을 갖는 IMSI로 변경하기 위해 명령을 거절할 수 있다. IMSI를 함유한 파일은 구조화된 파일일 수 있다.
대안적으로, TPU는 명령이 안전한 OTA 메세지에 포함되었는지를 결정할 수 있고, 안전한 OTA 메세지를 통하여 수신되지 않은 명령을 거절할 수 있다. 이러한 대안에 있어서, 로컬 활성화는 시뮬레이티드 OTA 디바이스로부터 안전한 원격 명령 포맷을 이용하여 수행될 수 있다.
명령은 기존의 키세트의 인덱스, 새로운 키세트의 인덱스, 및 새로운 IMSI 값을 포함할 수 있다. 활성화는 새로운 키세트의 인덱스를 이용하여 포함할 수 있다. TPU는 ACK 메세지에 새로운 키세트의 인덱스를 포함할 수 있다. TPU는 현재의 인덱스 파라미터가 TPU 상의 현재의 인덱스와 매칭되지 않으면 원격 활성화를 거절할 수 있다. 선택적으로, TPU 제공자와 같은 권한이 부여된 기관(party)이 TPU로부터 현재의 키세트의 인덱스 및 현재의 PCID 값을 요청할 수 있다.
도 7a 및 도 7b에 나타낸 바와 같이, NEXT_KEYSET와 같은 안전한 원격 명령, 및 요소 파일 IMSI(EFIMSI: Elementary File IMSI)과 유사한 파일이 키세트 관리를 위해 사용될 수 있다. 또한, 안전한 원격 명령은 도 4 ~ 도 6 또는 도 8 중 어느 하나에 나타낸 방법, 또는 그 조합과 함께 사용될 수 있다.
장비 제조자 또는 사용자와 같은 가입자는 ICO, RO, SHOA, SHOB, 또는 그 조합을 선택하여 그것과의 접촉을 확립할 수 있다(7010). 가입자는 RO에 WTRU의 ID를 등록할 수 있다(7020). ICO는 초기 네트워크 접속에 이용될 수 있는 ICO 크리덴셜, 및 운용 네트워크 접속에 이용될 수 있는 MNO 크리덴셜을 획득할 수 있다(7030). ICO는 가입자에게 크리덴셜을 포함하는 TPU를 제공할 수 있다(7040). 가입자는 WTRU에 TPU를 설치할 수 있다(7050).
WTRU는 프로비저닝된 크리덴셜을 이용하여 네트워크를 액세스할 수 있다(7060). ICO는 TPU를 이용하여 적절한 RO를 결정할 수 있다(7070). ICO는 WTRU가 ICO에의 접속을 확립하였다고 표시하기 위한 통지를 예를 들면 IP 접속을 통하여 RO에 전송할 수 있다.
RO는 예를 들면 SHO와 연관된 식별자의 소정 리스트를 이용하여 적절한 SHOA를 식별할 수 있다(7080). RO는 SHOA에 WTRU를 등록할 수 있다(7090). RO는 SHOA에 WTRU가 등록되어 있다고 표시하기 위한 통지를 ICO에 전송할 수 있다(7100).
SHOA 및 ICO는 WTRU를 위한 IMSI, 및 운용 키세트를 교환할 수 있다(7110). ICO는 예를 들면, SHOA와 연관된 키세트의 예상된 새로운 인덱스값과 새로운 IMSI 포함하는 NEXT_KEYSET 명령을 사용하여 WTRU의 TPU 상에 오버 디 에어(OTA) IMSI 설치를 수행할 수 있다(7120). WTRU, TPU, 또는 양측 모두는 명령의 보안 메트릭을 검증할 수 있다. WTRU는 ICO로의 초기 네트워크 어태치먼트를 종료할 수 있다. WTRU는 SHOA를 통하여, 또는 선택적으로 방문된 네트워크를 통하여 운용 네트워크 어태치먼트를 확립할 수 있고, SHOA로부터 서비스를 수신할 수 있다(7130).
가입자는 SHOA로부터 SHOB로의 가입 변경을 개시할 수 있다(7140). SHOB는 ICO에 새로운 IMSI를 전송할 수 있다(7150).
SHOA는 예를 들면, SHOB와 연관된 키세트의 예상된 새로운 인덱스값과 새로운 IMSI 포함하는 NEXT_KEYSET 명령을 이용하여 WTRU를 위해 OTA IMSI 업데이트를 수행할 수 있다(7160). WTRU는 업데이트 상태를 표시하는 ACK를 SHOA에 전송할 수 있다(7170). SHOA는 새로운 IMSI와 키세트 사이의 연관을 표시하기 위한 메세지를 SHOB로 전송할 수 있다(7180).
SHOA는 가입 변경에 대해서 ICO에 통지하기 위해 ICO에 메세지를 전송할 수 있다(7190). SHOB는 새로운 IMSI와 연관되는 키세트를 요청하기 위한 메세지를 ICO에 전송할 수 있다(7200). ICO는 SHOB에 IMSI - 키세트 연관의 확인 및 키세트를 전송할 수 있다. SHOB는 WTRU에 접속 서비스를 제공하기 위해 IMSI 및 키세트를 이용할 수 있다(7210). WTRU는 도 7b에 파선으로 나타낸 바와 같이, 유사한 방법을 사용하여 SHOC와 같은 다른 SHO로 가입을 변경할 수 있다는 것은 명백해야 한다.
대안으로서, 새로운 키세트와 연관된 인덱스는 키세트의 순차적인 진행에 부응하지 않도록 특정될 수 있다.
도 8a, 8b, 및 8c는 검증을 갖는 안전한 원격 가입 프로비저닝 방법의 일례의 도해를 나타낸다. 이 방법은 여기서 설명되는 것 외에는 도 4a ~ 도 7b에 나타낸 방법과 유사하다. 도 8a, 8b에 나타낸 바와 같이, 네트워크 어태치먼트는 TPU의 보안의 평가를 포함할 수 있고, TPU는 보안성을 공증할 수 있다(신뢰성 있음).
장비 제조자 또는 사용자와 같은 가입자는 ICO, RO, SHOA, SHOB, 또는 그 조합을 선택하여 그것과의 접촉을 확립할 수 있다(8010). 가입자는 RO에 WTRU의 ID를 등록할 수 있다(8020). ICO는 예를 들면 TPU 상의 MNO 크리덴셜을 획득할 수 있다(8030). ICO는 가입자에게 MNO 크리덴셜을 포함하는 TPU를 제공할 수 있다(8040). 가입자는 WTRU에 TPU를 설치할 수 있다(8050).
TPU의 보안 레벨은 ICO, 또는 RO, 또는 양측 모두에 의해 확인될 수 있고, 그 각각은 신뢰된 제 3 기관(TTP: trusted third party)일 수 있고 TPU 검증 기관(TPUVA: TPU Validation Authority)일 수 있다. TPU는 대칭 비밀 키 또는 비대칭 키-페어와 같은 신뢰 크리덴셜을 포함할 수 있고, 그것은 TPU의 보안 레벨의 어서션(assertion)에 사용될 수 있는 공증과 연관될 수 있다. 크리덴셜의 보유의 증거는 TPU가 보안의 특정 조건하에 특정, 설계, 구현 및 제조되었음을 공증되었음을 검증하는데 사용될 수 있다. 보안 공증은 TPU, 또는 TPU 형식에 기초한 형식 승인에 인정될 수 있다. 인증된 공증 프로세스에 따라 공증이 수행됨으므로 공통 평가 기준(CC: Common Criteria) 보안 평가와 같이 용인된 표준에 연결될 TPU의 보안의 검증을 가능하게 할 수 있다.
신뢰 크리덴셜은 각 형식의 TPU에 대하여 CC 보호 프로파일, 또는 평가 공증, 또는 양측 모두와 연관될 수 있다. 예를 들면, 신뢰 크리덴셜은 제조자마다, 모델마다, 버전마다 연관될 수 있다.
WTRU는 프로비저닝된 크리덴셜을 이용하여 네트워크를 액세스할 수 있다(8060). ICO는 TPU를 사용하여 적절한 RO를 결정할 수 있다(8070). ICO는 WTRU는 ICO에 접속이 확립되었음을 표시하기 위한 통지를 예를 들면 IP 접속을 통하여 RO에 전송할 수 있다.
RO는 예를 들면 SHO와 연관된 식별자의 소정 리스트를 이용하여 적절한 SHOA를 식별할 수 있다(8080). 또한, RO는 SHOA에 WTRU를 등록할 수 있다(8090). RO는 SHOA에 WTRU가 등록되어 있다고 표시하기 위한 통지를 ICO에 전송할 수 있다(8100).
SHOA 및 ICO는 WTRU를 위한 IMSI, 및 운용 키세트를 교환할 수 있다(8110). SHOA는 ICO로부터 TPU의 신뢰 상태의 어셔션을 수신할 수 있다(8120).
ICO는 WTRU의 TPU 상에 오버 디 에어(OTA) IMSI 설치를 수행할 수 있다(8120). WTRU는 ICO로의 초기 네트워크 어태치먼트를 종료할 수 있다. TPUVA와 같은 TTP는 TPU의 신뢰 상태의 어서션을 검증할 수 있다(8130). 검증은 검증 ID 키(AIK: Attestation Identity Key)와 같은 비대칭 서명 키의 연관된 공증 및 디지털 서명의 검증을 포함할 수 있다. 또한, 검증은 플랫폼 구성 레지스터(PCR: Platform Configuration Register) 값과 같은 WTRU의 상태를 고유하게 식별하는 정보의 평가 및 TTP로부터의 공증 유효 상태에 대한 요청을 포함할 수 있다. WTRU는 SHOA를 통하여, 또는 선택적으로 방문된 네트워크를 통하여 운용 네트워크 어태치먼트를 확립할 수 있고, SHOA로부터 서비스를 수신할 수 있다(8140).
가입자는 SHOA로부터 SHOB로의 가입 변경을 개시할 수 있다(8150). SHOB는 SHOA에 새로운 IMSI를 전송할 수 있다(8160). SHOA는 WTRU를 위해 OTA IMSI 업데이트를 수행할 수 있다(8170). WTRU는 업데이트 상태를 표시하는 ACK를 SHOA에 전송할 수 있다(8180). SHOA는 새로운 IMSI와 키세트 사이의 연관을 표시하기 위한 메세지를 SHOB에 전송할 수 있다(8190).
SHOA는 가입 변경에 대해서 ICO에 통지하기 위한 메세지를 ICO에 전송할 수 있다(8200). SHOB는 새로운 IMSI와 연관되는 키세트를 요청하기 위한 메세지를 ICO에 전송할 수 있다(8210). ICO는 SHOB에 IMSI - 키세트 연관의 확인 및 키세트를 전송할 수 있다.
SHOB는 TPU을 인증할 수 있고, WTRU에 네트워크 어태치먼트를 제공할 수 있다(8220). SHOB는 TPUVA를 통하여 TPU에 대한 보안 어서션을 수신할 수 있다(8230). TPUVA는 TPU의 신뢰 상태의 어서션을 검증할 수 있다(8240). SHOB는 WTRU에 접속 서비스를 제공하기 위해 IMSI 및 키세트를 이용할 수 있다(8250). WTRU는 도 8b에 파선으로 나타낸 바와 같이, 유사한 방법을 이용하여 SHOC와 같은 다른 SHO로 가입을 변경할 수 있다는 것은 명백해야 한다.
도 4 ~ 도 8에 나타낸 방법은 조합을 이용할 수 있다는 것은 명백해야 한다.
특정 조합에서 특징 및 요소가 상기 설명되었지만, 각 특징 또는 요소는 다른 특징 및 요소없이 단독으로, 또는 다른 특징 및 요소와의 다양한 조합으로 또는 다른 특징 및 요소없이 다양한 조합으로 이용될 수 있다. 여기서 제공되는 방법 또는 흐름도는 범용 컴퓨터 또는 프로세서에 의해 실행되기 위해 컴퓨터 판독가능한 저장 매체에 통합된 컴퓨터 프로그램, 소프트웨어, 또는 펌웨어에서 구현될 수 있다. 컴퓨터 판독가능한 저장 매체의 예는 판독 전용 메모리(ROM), 랜덤 액세스 메모리(RAM), 레지스터, 캐시 메모리, 반도체 메모리 디바이스, 내부 하드 디스크 및 이동식 디스크와 같은 자기 매체, 자기 광학 매체, 및 CD-ROM 디스크, 및 디지털 다목적 디스크(DVD)와 같은 광학 매체를 포함한다.
적합한 프로세서는, 예로서 범용 프로세서, 특수 목적 프로세서, 종래의 프로세서, 디지털 신호 프로세서(DSP), 복수의 마이크로프로세서, DSP 코어와 연관된 1개 이상의 마이크로프로세서, 컨트롤러, 마이크로컨트롤러, 주문형 집적 회로(ASIC: Application Specific Integrated Circuit), 특정용도 표준형 제품(ASSP: Application Specific Standard Product); 필드 프로그램어블 게이트 어레이(FPGA: Field Programmable Gate Array) 회로, 어떤 다른 유형의 집적 회로(IC), 및/또는 상태 기계를 포함한다.
소프트웨어와 연관된 프로세서는 무선 송수신 유닛(WTRU), 사용자 장비(WTRU), 단말기, 기지국, 이동성 관리 개체(MME) 또는 진화된 패킷 코어(EPC: Evolved Packet Core), 또는 호스트 컴퓨터에 사용하기 위한 무선 주파수 송수신기를 구현하는데 사용될 수 있다. WTRU는 카메라, 비디오 카메라 모듈, 비디오폰, 스피커폰, 진동 장치, 스피커, 마이크로폰, 텔리비전 송수신기, 핸즈프리 헤드셋, 키보드, Bluetooth® 모듈, 주파수 변조된(FM) 라디오 유닛, 근거리 자기장 통신(NFC: Near Field Communication) 모듈, 액정 디스플레이(LCD) 표시 장치, 유기 발광 다이오드(OLED) 표시 장치, 디지털 뮤직 플레이어, 미디어 플에이어, 비디오 게임 플레이어 모듈, 인터넷 브라우저, 및/또는 어떤 무선 로컬 지역 네트워크(WLAN: Wireless Local Area Network) 또는 초광대역(UWB: Ultra Wide Band) 모듈을 포함하는 하드웨어 및/또는 소프트웨어에 구현되는 모듈과 함께 사용될 수 있다.

Claims (19)

  1. 무선 송수신 유닛(wireless transmit/receive unit; WTRU)에 의해 무선 통신에서 사용하기 위한 방법에 있어서,
    상기 WTRU가, 신뢰성 있는(trustworthy) 물리적 유닛 제조자로부터 제 1 키세트(keyset), 제 2 키세트, 및 초기 접속 오퍼레이터 식별자를 수신하는 단계 - 상기 제 1 키세트 및 상기 제 2 키세트는 동일한 키세트가 아님 - ;
    상기 WTRU가, 상기 제 1 키세트 및 상기 초기 접속 오퍼레이터 식별자를 이용하여 초기 접속 오퍼레이터와의 접속을 확립하는 단계;
    상기 WTRU가, 상기 초기 접속 오퍼레이터로부터 제 1 가입자 식별자를 수신하는 단계 - 상기 제 1 가입자 식별자는 제 1의 선택된 홈 오퍼레이터와 연관되고, 상기 제 1 가입자 식별자는 상기 WTRU가 상기 제 1의 선택된 홈 오퍼레이터에 등록된 후에 상기 제 1의 선택된 홈 오퍼레이터에 의해 새롭게 식별됨 - ;
    상기 WTRU가, 상기 제 1 키세트, 상기 제 2 키세트, 상기 초기 접속 오퍼레이터 식별자, 및 상기 제 1 가입자 식별자를 수신한 후에, 상기 WTRU 내에, 상기 제 1 가입자 식별자와 상기 제 2 키세트 사이에 연관(association)을 생성하는 단계; 및
    상기 WTRU가, 상기 제 1 키세트, 상기 제 2 키세트, 및 상기 초기 접속 오퍼레이터 식별자를 수신한 후에, 상기 제 1 가입자 식별자 및 상기 제 2 키세트를 이용하여 상기 제 1의 선택된 홈 오퍼레이터와의 운용 네트워크 어태치먼트(operational network attachment)를 확립하는 단계를 포함하는, 무선 송수신 유닛(WTRU)에 의해 무선 통신에서 사용하기 위한 방법.
  2. 제 1 항에 있어서,
    상기 제 1 키세트 및 상기 제 2 키세트는 상기 무선 송수신 유닛과 연관된 신뢰성 있는 물리적 유닛에 포함되는 것인, 무선 송수신 유닛(WTRU)에 의해 무선 통신에서 사용하기 위한 방법.
  3. 제 2 항에 있어서,
    상기 신뢰성 있는 물리적 유닛은 제조 또는 분배(distribution)시에 상기 무선 송수신 유닛에 설치되는 것인, 무선 송수신 유닛(WTRU)에 의해 무선 통신에서 사용하기 위한 방법.
  4. 제 1 항에 있어서,
    상기 초기 접속 오퍼레이터 식별자는 임시(provisional) 접속 식별자를 포함하고,
    상기 초기 접속 오퍼레이터와의 접속은 상기 임시 접속 식별자를 이용하여 확립되는 것인, 무선 송수신 유닛(WTRU)에 의해 무선 통신에서 사용하기 위한 방법.
  5. 제 1 항에 있어서,
    상기 제 1 키세트 및 상기 제 2 키세트는 상기 WTRU에 고유하지 않은 것인, 무선 송수신 유닛(WTRU)에 의해 무선 통신에서 사용하기 위한 방법.
  6. 제 5 항에 있어서,
    상기 WTRU는 시간 또는 위치 중 적어도 하나에 의해 상기 제 1 키세트 및 상기 제 2 키세트 중 하나를 이용하는 다른 WTRU과 구별되는 것인, 무선 송수신 유닛(WTRU)에 의해 무선 통신에서 사용하기 위한 방법.
  7. 제 1 항에 있어서,
    상기 WTRU가, 상기 신뢰성 있는 물리적 유닛 제조자로부터 제 3 키세트를 수신하는 단계 - 상기 제 1 키세트, 상기 제 2 키세트, 및 상기 제 3 키세트는 동일한 키세트가 아님 - ;
    상기 WTRU가, 상기 제 1의 선택된 홈 오퍼레이터로부터 제 2 가입자 식별자를 수신하는 단계 - 상기 제 2 가입자 식별자는 제 2의 선택된 홈 오퍼레이터와 연관되고, 상기 제 2 가입자 식별자는 상기 WTRU가 상기 제 2의 선택된 홈 오퍼레이터에 등록된 후에 상기 제 2의 선택된 홈 오퍼레이터에 의해 새롭게 식별됨 - ;
    상기 WTRU가, 상기 제 3 키세트 및 상기 제 2 가입자 식별자를 수신한 후에, 상기 WTRU 내에, 상기 제 2 가입자 식별자와 상기 제 3 키세트 사이의 연관을 생성하는 단계; 및
    상기 WTRU가, 상기 제 3 키세트를 수신한 후에, 상기 제 2 가입자 식별자 및 상기 제 3 키세트를 이용하여 상기 제 2의 선택된 홈 오퍼레이터와의 운용 네트워크 어태치먼트를 확립하는 단계를 더 포함하는, 무선 송수신 유닛(WTRU)에 의해 무선 통신에서 사용하기 위한 방법.
  8. 제 7 항에 있어서,
    상기 제 1의 선택된 홈 오퍼레이터는 상기 제 2의 선택된 홈 오퍼레이터로부터 상기 제 2 가입자 식별자를 수신한 것인, 무선 송수신 유닛(WTRU)에 의해 무선 통신에서 사용하기 위한 방법.
  9. 제 1 항에 있어서,
    성공적인 운용 네트워크 어태치먼트를 결정하는 단계를 더 포함하고, 상기 성공적인 운용 네트워크 어태치먼트는 신뢰성 있는 물리적 유닛 검증 기관이 신뢰성 있는 물리적 유닛의 신뢰 상태를 검증하였음을 표시하는 것인, 무선 송수신 유닛(WTRU)에 의해 무선 통신에서 사용하기 위한 방법.
  10. 제 1 항에 있어서,
    상기 제 1의 선택된 홈 오퍼레이터는 등록 오퍼레이터에 의해 상기 WTRU에 등록되는 것인, 무선 송수신 유닛(WTRU)에 의해 무선 통신에서 사용하기 위한 방법
  11. 무선 송수신 유닛(wireless transmit/receive unit; WTRU)에 있어서,
    신뢰성 있는 물리적 유닛 제조자로부터 제 1 키세트, 제 2 키세트, 및 초기 접속 오퍼레이터 식별자를 수신하도록 구성된 신뢰성 있는 물리적 유닛;
    초기 접속 오퍼레이터로부터 제 1 가입자 식별자를 수신하도록 구성된 수신기 - 상기 제 1 가입자 식별자는 제 1의 선택된 홈 오퍼레이터와 연관되고, 상기 제 1 가입자 식별자는 WTRU가 상기 제 1의 선택된 홈 오퍼레이터에 등록된 후에 상기 제 1의 선택된 홈 오퍼레이터에 의해 새롭게 식별됨 - ; 및
    프로세서를 포함하고,
    상기 프로세서는,
    상기 제 1 키세트 및 상기 초기 접속 오퍼레이터 식별자를 이용하여 상기 초기 접속 오퍼레이터와의 접속을 확립하고,
    상기 제 1 키세트, 상기 제 2 키세트, 상기 초기 접속 오퍼레이터 식별자, 및 상기 제 1 가입자 식별자를 수신한 후에, 상기 WTRU 내에서, 상기 제 1 가입자 식별자를 적어도 상기 2개의 키세트들 중 하나와 연관시키고,
    상기 제 1 키세트, 상기 제 2 키세트, 및 상기 초기 접속 오퍼레이터 식별자를 수신한 후에, 상기 제 1 가입자 식별자 및 상기 제 2 키세트를 이용하여 상기 제 1의 선택된 홈 오퍼레이터와의 운용 네트워크 어태치먼트를 확립하도록 구성되는 것인, 무선 송수신 유닛(WTRU).
  12. 제 11 항에 있어서,
    상기 신뢰성 있는 물리적 유닛은 신뢰성 있는 물리적 유닛 제조자로부터 수신되는 것인, 무선 송수신 유닛(WTRU).
  13. 제 12 항에 있어서,
    상기 신뢰성 있는 물리적 유닛은 제조 또는 분배시에 상기 무선 송수신 유닛에 설치되는 것인, 무선 송수신 유닛(WTRU).
  14. 제 11 항에 있어서,
    상기 초기 접속 오퍼레이터 식별자는 임시(provisional) 접속 식별자를 포함하고,
    상기 초기 접속 오퍼레이터와의 접속은 상기 임시 접속 식별자를 이용하여 확립되는 것인, 무선 송수신 유닛(WTRU).
  15. 제 11 항에 있어서,
    상기 제 1 키세트 및 상기 제 2 키세트는 상기 WTRU에 고유하지 않은 것인, 무선 송수신 유닛(WTRU).
  16. 제 15 항에 있어서,
    상기 WTRU는 시간 또는 위치 중 적어도 하나에 의해 상기 제 1 키세트 또는 상기 제 2 키세트 중 하나를 이용하는 다른 WTRU과 구별되는 것인 무선 송수신 유닛(WTRU).
  17. 제 11 항에 있어서,
    상기 수신기는 또한,
    상기 신뢰성 있는 물리적 유닛 제조자로부터 제 3 키세트를 수신하고 - 상기 제 1 키세트, 상기 제 2 키세트, 및 상기 제 3 키세트는 동일한 키세트가 아님 - ,
    상기 제 1의 선택된 홈 오퍼레이터로부터 제 2 가입자 식별자를 수신하도록 - 상기 제 2 가입자 식별자는 제 2의 선택된 홈 오퍼레이터와 연관되고, 상기 제 2 가입자 식별자는 WTRU가 상기 제 2의 선택된 홈 오퍼레이터에 등록된 후에 상기 제 2의 선택된 홈 오퍼레이터에 의해 새롭게 식별됨 - 구성되고;
    상기 프로세서는 또한,
    상기 제 3 키세트 및 상기 제 2 가입자 식별자를 수신한 후에, 상기 WTRU 내에서, 상기 제 2 가입자 식별자와 상기 제 3 키세트를 연관시키고,
    상기 제 3 키세트를 수신한 후에, 상기 제 2 가입자 식별자 및 상기 제 3 키세트를 이용하여 상기 제 2의 선택된 홈 오퍼레이터와의 운용 네트워크 어태치먼트를 확립하도록 구성되는 것인, 무선 송수신 유닛(WTRU).
  18. 제 17 항에 있어서,
    상기 제 1의 선택된 홈 오퍼레이터는 상기 제 2의 선택된 홈 오퍼레이터로부터 상기 제 2 가입자 식별자를 수신한 것인, 무선 송수신 유닛(WTRU).
  19. 제 11 항에 있어서,
    상기 프로세서는 또한 성공적인 운용 네트워크 어태치먼트를 결정하도록 구성되고, 상기 성공적인 운용 네트워크 어태치먼트는 신뢰성 있는 물리적 유닛 검증 기관이 신뢰성 있는 물리적 유닛의 신뢰 상태를 검증하였음을 표시하는 것인, 무선 송수신 유닛(WTRU).
KR1020127001507A 2009-03-05 2010-03-05 안전한 원격 가입 관리 KR101597388B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US15779609P 2009-03-05 2009-03-05
US61/157,796 2009-03-05

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
KR1020117023411A Division KR101375737B1 (ko) 2009-03-05 2010-03-05 안전한 원격 가입 관리

Related Child Applications (1)

Application Number Title Priority Date Filing Date
KR1020157021127A Division KR101618024B1 (ko) 2009-03-05 2010-03-05 안전한 원격 가입 관리

Publications (2)

Publication Number Publication Date
KR20120034207A KR20120034207A (ko) 2012-04-10
KR101597388B1 true KR101597388B1 (ko) 2016-02-25

Family

ID=42225021

Family Applications (5)

Application Number Title Priority Date Filing Date
KR1020157021127A KR101618024B1 (ko) 2009-03-05 2010-03-05 안전한 원격 가입 관리
KR1020167010649A KR101691778B1 (ko) 2009-03-05 2010-03-05 안전한 원격 가입 관리
KR1020127001507A KR101597388B1 (ko) 2009-03-05 2010-03-05 안전한 원격 가입 관리
KR1020117023411A KR101375737B1 (ko) 2009-03-05 2010-03-05 안전한 원격 가입 관리
KR1020167036203A KR20170001731A (ko) 2009-03-05 2010-03-05 안전한 원격 가입 관리

Family Applications Before (2)

Application Number Title Priority Date Filing Date
KR1020157021127A KR101618024B1 (ko) 2009-03-05 2010-03-05 안전한 원격 가입 관리
KR1020167010649A KR101691778B1 (ko) 2009-03-05 2010-03-05 안전한 원격 가입 관리

Family Applications After (2)

Application Number Title Priority Date Filing Date
KR1020117023411A KR101375737B1 (ko) 2009-03-05 2010-03-05 안전한 원격 가입 관리
KR1020167036203A KR20170001731A (ko) 2009-03-05 2010-03-05 안전한 원격 가입 관리

Country Status (10)

Country Link
US (2) US8812836B2 (ko)
EP (2) EP2404458B1 (ko)
JP (2) JP5789522B2 (ko)
KR (5) KR101618024B1 (ko)
CN (2) CN102342140B (ko)
AR (1) AR076086A1 (ko)
HK (1) HK1161799A1 (ko)
MY (1) MY157052A (ko)
TW (1) TWI477162B (ko)
WO (1) WO2010102236A2 (ko)

Families Citing this family (63)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011025876A1 (en) * 2009-08-27 2011-03-03 Interdigital Patent Holdings, Inc. Method and apparatus for solving limited addressing space in machine-to-machine (m2m) environments
CN102036222B (zh) * 2009-09-25 2015-05-13 中兴通讯股份有限公司 一种m2m设备归属网络运营商变更的方法和系统
KR101761419B1 (ko) * 2010-01-13 2017-07-26 엘지전자 주식회사 단말의 위치 정보 갱신 방법 및 장치
US8738729B2 (en) 2010-07-21 2014-05-27 Apple Inc. Virtual access module distribution apparatus and methods
EP3065432B1 (en) * 2010-07-21 2019-11-13 Apple Inc. Virtual access module distribution apparatus and methods
US8924715B2 (en) 2010-10-28 2014-12-30 Stephan V. Schell Methods and apparatus for storage and execution of access control clients
US8555067B2 (en) * 2010-10-28 2013-10-08 Apple Inc. Methods and apparatus for delivering electronic identification components over a wireless network
EP2461613A1 (en) 2010-12-06 2012-06-06 Gemalto SA Methods and system for handling UICC data
US9408066B2 (en) 2010-12-06 2016-08-02 Gemalto Inc. Method for transferring securely the subscription information and user data from a first terminal to a second terminal
US9282084B2 (en) * 2010-12-07 2016-03-08 Telefonaktiebolaget L M Ericsson (Publ) Method and apparatus for provisioning a temporary identity module using a key-sharing scheme
US9247454B2 (en) 2010-12-23 2016-01-26 Intel Corporation Grouping small burst transmissions for downlink machine-to-machine communications
US9161215B2 (en) 2011-02-14 2015-10-13 Telefonaktiebolaget L M Ericsson (Publ) Wireless device, registration server and method for provisioning of wireless devices
EP2503731A1 (en) * 2011-03-22 2012-09-26 Alcatel Lucent Credentials based method to authenticate a user equipment in a mobile network
US9450759B2 (en) 2011-04-05 2016-09-20 Apple Inc. Apparatus and methods for controlling distribution of electronic access clients
US20140099951A1 (en) * 2011-06-15 2014-04-10 Telefonaktiebolaget L M Ericsson (Publ) Handling of Operator Connection Offers in a Communication Network
GB2492750A (en) * 2011-07-04 2013-01-16 Sony Corp Communications system with reconfigurable user identification module
KR20130006258A (ko) 2011-07-08 2013-01-16 주식회사 케이티 동적 키 생성 기반의 내장 sim의 mno 변경방법 및 그를 위한 내장 sim과 기록매체
KR101879457B1 (ko) * 2011-07-08 2018-07-18 주식회사 케이티 내장 sim에서의 키 관리방법, 및 그를 위한 내장 sim과 기록매체
KR20130012243A (ko) * 2011-07-08 2013-02-01 주식회사 케이티 특수 권한 기반의 내장 sim의 mno 변경방법 및 그를 위한 내장 sim과 기록매체
US9131330B2 (en) * 2011-07-15 2015-09-08 Telefonaktiebolaget L M Ericsson (Publ) M2M services enablement architecture for cellular access networks
JP6035713B2 (ja) 2011-08-12 2016-11-30 ソニー株式会社 情報処理装置、通信システムおよび情報処理装置の制御方法
JP5948762B2 (ja) * 2011-08-26 2016-07-06 ソニー株式会社 情報処理装置、通信システムおよび情報処理装置の制御方法
EP2751660B1 (en) * 2011-08-31 2020-09-23 Assa Abloy Ab Mobile credential revocation
EP3691315A1 (en) * 2011-09-16 2020-08-05 Gemalto Sa Network operator neutral provisioning of mobile devices
US8989806B2 (en) * 2011-09-16 2015-03-24 Alcatel Lucent Network operator-neutral provisioning of mobile devices
US10292066B2 (en) * 2011-11-04 2019-05-14 Cisco Technology, Inc. System and method of modifying congestion control based on mobile system information
GB201121814D0 (en) * 2011-12-19 2012-02-01 Eseye Ltd Lifecycle configuration of mobile subscriber
TWI501603B (zh) 2011-12-19 2015-09-21 Ind Tech Res Inst 在機器類型通信網路中對機器類型通信裝置分組之方法以及通信方法
EP2611070A1 (en) * 2011-12-28 2013-07-03 Gemalto SA Method for establishing secure card history and audit for property hand-over
GB2498531A (en) 2012-01-18 2013-07-24 Renesas Mobile Corp Network access using credentials stored on a virtual SIM
EP3694233A1 (en) 2012-02-03 2020-08-12 IOT Holdings, Inc. Identifiers and triggers for capillary devices
EP2632195A1 (en) * 2012-02-24 2013-08-28 Alcatel Lucent Smart card personnalization
US9713000B2 (en) 2012-03-09 2017-07-18 Omnitracs, Llc Systems and methods for performing over-the-air activation while roaming
EP2677789B1 (en) * 2012-06-18 2017-02-22 Alcatel Lucent Method and devices for remote smart card personalization
EP2704467A1 (en) * 2012-09-03 2014-03-05 Alcatel Lucent Smart card initial personnalization with local generation of keys
CN103685210B (zh) * 2012-09-26 2018-02-13 中兴通讯股份有限公司 终端的注册方法及装置
US8898769B2 (en) 2012-11-16 2014-11-25 At&T Intellectual Property I, Lp Methods for provisioning universal integrated circuit cards
US8959331B2 (en) 2012-11-19 2015-02-17 At&T Intellectual Property I, Lp Systems for provisioning universal integrated circuit cards
EP2747466B1 (en) * 2012-12-21 2017-10-04 Giesecke+Devrient Mobile Security GmbH Methods and devices for ota subscription management
CN104219687B (zh) * 2013-06-05 2018-07-13 华为终端有限公司 检测目标网络覆盖的方法及装置
EP2835994B1 (en) * 2013-08-09 2017-06-21 Giesecke & Devrient GmbH Methods and devices for performing a mobile network switch
US9100175B2 (en) 2013-11-19 2015-08-04 M2M And Iot Technologies, Llc Embedded universal integrated circuit card supporting two-factor authentication
US9350550B2 (en) 2013-09-10 2016-05-24 M2M And Iot Technologies, Llc Power management and security for wireless modules in “machine-to-machine” communications
US9036820B2 (en) 2013-09-11 2015-05-19 At&T Intellectual Property I, Lp System and methods for UICC-based secure communication
US10498530B2 (en) 2013-09-27 2019-12-03 Network-1 Technologies, Inc. Secure PKI communications for “machine-to-machine” modules, including key derivation by modules and authenticating public keys
US9124573B2 (en) 2013-10-04 2015-09-01 At&T Intellectual Property I, Lp Apparatus and method for managing use of secure tokens
US9208300B2 (en) 2013-10-23 2015-12-08 At&T Intellectual Property I, Lp Apparatus and method for secure authentication of a communication device
US9240994B2 (en) 2013-10-28 2016-01-19 At&T Intellectual Property I, Lp Apparatus and method for securely managing the accessibility to content and applications
US9240989B2 (en) 2013-11-01 2016-01-19 At&T Intellectual Property I, Lp Apparatus and method for secure over the air programming of a communication device
US9313660B2 (en) 2013-11-01 2016-04-12 At&T Intellectual Property I, Lp Apparatus and method for secure provisioning of a communication device
US10700856B2 (en) 2013-11-19 2020-06-30 Network-1 Technologies, Inc. Key derivation for a module using an embedded universal integrated circuit card
US9413759B2 (en) 2013-11-27 2016-08-09 At&T Intellectual Property I, Lp Apparatus and method for secure delivery of data from a communication device
GB2527276B (en) * 2014-04-25 2020-08-05 Huawei Tech Co Ltd Providing network credentials
US9713006B2 (en) 2014-05-01 2017-07-18 At&T Intellectual Property I, Lp Apparatus and method for managing security domains for a universal integrated circuit card
US9471767B2 (en) 2014-08-22 2016-10-18 Oracle International Corporation CAPTCHA techniques utilizing traceable images
EP3205065B1 (en) * 2014-10-10 2021-12-08 Deutsche Telekom AG Method for provisioning an embedded universal integrated circuit entity within an electronic device
WO2016055419A1 (en) * 2014-10-10 2016-04-14 Deutsche Telekom Ag Method for transferring an assignment regarding an embedded universal integrated circuit entity from a first mobile network operator to a second mobile network operator
US9853977B1 (en) 2015-01-26 2017-12-26 Winklevoss Ip, Llc System, method, and program product for processing secure transactions within a cloud computing system
US10992472B2 (en) * 2015-02-27 2021-04-27 Pcms Holdings, Inc. Systems and methods for secure roll-over of device ownership
US11080414B2 (en) 2015-05-22 2021-08-03 Huawei Device Co., Ltd. Cryptographic unit for public key infrastructure (PKI) operations
US10778435B1 (en) * 2015-12-30 2020-09-15 Jpmorgan Chase Bank, N.A. Systems and methods for enhanced mobile device authentication
KR20170143330A (ko) * 2016-06-21 2017-12-29 삼성전자주식회사 eUICC를 포함하는 전자 장치 및 eUICC를 포함하는 전자 장치의 운용 방법
CN109151806A (zh) * 2018-10-29 2019-01-04 江苏恒宝智能系统技术有限公司 一种更新入网参数的方法

Family Cites Families (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8140845B2 (en) * 2001-09-13 2012-03-20 Alcatel Lucent Scheme for authentication and dynamic key exchange
US7325134B2 (en) * 2002-10-08 2008-01-29 Koolspan, Inc. Localized network authentication and security using tamper-resistant keys
CN1813454B (zh) * 2003-04-28 2012-09-05 钱特利网络公司 无线通信网络上的移动单元会话管理的系统和方法
US20060185013A1 (en) * 2003-06-18 2006-08-17 Telefonaktiebolaget Lm Ericsson (Publ) Method, system and apparatus to support hierarchical mobile ip services
EP1634422B1 (en) * 2003-06-18 2016-11-16 Telefonaktiebolaget LM Ericsson (publ) Method, system and apparatus to support hierarchical mobile ip services
US7983418B2 (en) * 2004-04-23 2011-07-19 Telefonaktiebolaget Lm Ericsson (Publ) AAA support for DHCP
JP2005333596A (ja) 2004-05-21 2005-12-02 Toshiba Corp 電子申請システム、電子申請装置
US20060120171A1 (en) * 2004-11-12 2006-06-08 Samy Touati Seamless handoff of mobile terminal
GB0428049D0 (en) * 2004-12-22 2005-01-26 Carnall Murat Improvements to call management in a telecommunications system
GB0428084D0 (en) * 2004-12-22 2005-01-26 Nokia Corp Method for producing authentication information
KR101155224B1 (ko) * 2005-03-09 2012-06-13 삼성전자주식회사 Sip/ip 코어 네트워크에서 세션 분리 방법 및 서버 및 단말
JP4713955B2 (ja) 2005-06-13 2011-06-29 株式会社日立製作所 認証システム、無線通信端末及び無線基地局
US20070077921A1 (en) * 2005-09-30 2007-04-05 Yahoo! Inc. Pushing podcasts to mobile devices
US8122240B2 (en) 2005-10-13 2012-02-21 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for establishing a security association
WO2007062689A1 (en) * 2005-12-01 2007-06-07 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for distributing keying information
US20080076425A1 (en) * 2006-09-22 2008-03-27 Amit Khetawat Method and apparatus for resource management
US8204502B2 (en) * 2006-09-22 2012-06-19 Kineto Wireless, Inc. Method and apparatus for user equipment registration
EP2145421A1 (en) * 2007-05-15 2010-01-20 Nokia Corporation Methods, apparatuses, system and computer programs for key update
US8320561B2 (en) * 2007-08-08 2012-11-27 Qualcomm Incorporated Key identifier in packet data convergence protocol header
US20090217038A1 (en) * 2008-02-22 2009-08-27 Vesa Petteri Lehtovirta Methods and Apparatus for Locating a Device Registration Server in a Wireless Network
US8407769B2 (en) * 2008-02-22 2013-03-26 Telefonaktiebolaget Lm Ericsson (Publ) Methods and apparatus for wireless device registration
US20090253409A1 (en) * 2008-04-07 2009-10-08 Telefonaktiebolaget Lm Ericsson (Publ) Method of Authenticating Home Operator for Over-the-Air Provisioning of a Wireless Device
EP2289013B1 (en) * 2008-06-19 2018-09-19 Telefonaktiebolaget LM Ericsson (publ) A method and a device for protecting private content
US8750506B2 (en) * 2008-07-31 2014-06-10 Telefonaktiebolaget Lm Ericsson (Publ) Methods, nodes, system, computer programs and computer program products for secure user subscription or registration
US8578153B2 (en) * 2008-10-28 2013-11-05 Telefonaktiebolaget L M Ericsson (Publ) Method and arrangement for provisioning and managing a device
EP2353311B1 (en) * 2008-11-24 2014-04-02 Telefonaktiebolaget L M Ericsson (publ) Closed subscriber group roaming
US8711751B2 (en) * 2009-09-25 2014-04-29 Apple Inc. Methods and apparatus for dynamic identification (ID) assignment in wireless networks
US8443431B2 (en) * 2009-10-30 2013-05-14 Alcatel Lucent Authenticator relocation method for WiMAX system

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
3GPP TSG SA WG3 Security #52 S3-080620, 23-27 June 2008
3GPP TSG SA WG3 Security S3-080163

Also Published As

Publication number Publication date
KR20110135955A (ko) 2011-12-20
TWI477162B (zh) 2015-03-11
CN102342140B (zh) 2014-12-17
KR101618024B1 (ko) 2016-05-03
EP2404458B1 (en) 2016-05-04
KR20120034207A (ko) 2012-04-10
US9681296B2 (en) 2017-06-13
KR20150093868A (ko) 2015-08-18
KR101375737B1 (ko) 2014-04-09
HK1161799A1 (en) 2012-08-03
TW201038089A (en) 2010-10-16
JP6100333B2 (ja) 2017-03-22
EP2404458A2 (en) 2012-01-11
JP2015195620A (ja) 2015-11-05
JP5789522B2 (ja) 2015-10-07
CN104640104A (zh) 2015-05-20
WO2010102236A3 (en) 2010-10-21
US20140359278A1 (en) 2014-12-04
US8812836B2 (en) 2014-08-19
MY157052A (en) 2016-04-15
AR076086A1 (es) 2011-05-18
KR20170001731A (ko) 2017-01-04
WO2010102236A2 (en) 2010-09-10
KR101691778B1 (ko) 2016-12-30
KR20160054603A (ko) 2016-05-16
US20110035584A1 (en) 2011-02-10
JP2012520026A (ja) 2012-08-30
CN102342140A (zh) 2012-02-01
EP3051857A1 (en) 2016-08-03

Similar Documents

Publication Publication Date Title
KR101597388B1 (ko) 안전한 원격 가입 관리
US11082855B2 (en) Secure onboarding of a device having an embedded universal integrated circuit card without a preloaded provisioning profile
KR102434877B1 (ko) 다른 디바이스의 네트워크 서브스크립션과 디바이스의 연관
US11805409B2 (en) System and method for deriving a profile for a target endpoint device
US20200367049A1 (en) APPARATUS AND METHOD FOR ACCESS CONTROL ON eSIM
US20210144551A1 (en) Method and apparatus for discussing digital certificate by esim terminal and server
CN108683690B (zh) 鉴权方法、用户设备、鉴权装置、鉴权服务器和存储介质
KR20130029103A (ko) 통신 시스템들에서 가입자 인증과 디바이스 인증을 바인딩하는 방법 및 장치
GB2525205A (en) Provisioning a network subscription
WO2019065897A1 (ja) 通信端末、コアネットワーク装置、コアネットワークノード、ネットワークノード及び鍵導出方法
KR102193511B1 (ko) 통신 시스템, 가입자 정보 관리 장치, 정보 취득 방법, 비일시적인 컴퓨터 가독 매체 및 통신 단말기
US20160105825A1 (en) Mobility in mobile communications network
EP3155866B1 (en) Method and device for selective communication service in communication system
US20220279471A1 (en) Wireless communication method for registration procedure
JP2022530955A (ja) マルチsim装置及びサブスクリプション情報を検証する方法及びプロセス
US20220408256A1 (en) Systems and methods for secure access to 5g non-public networks using mobile network operator credentials

Legal Events

Date Code Title Description
A107 Divisional application of patent
A201 Request for examination
E902 Notification of reason for refusal
A107 Divisional application of patent
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee