KR101800659B1 - 이동 통신 시스템에서 단말 설정 방법 - Google Patents

이동 통신 시스템에서 단말 설정 방법 Download PDF

Info

Publication number
KR101800659B1
KR101800659B1 KR1020110067828A KR20110067828A KR101800659B1 KR 101800659 B1 KR101800659 B1 KR 101800659B1 KR 1020110067828 A KR1020110067828 A KR 1020110067828A KR 20110067828 A KR20110067828 A KR 20110067828A KR 101800659 B1 KR101800659 B1 KR 101800659B1
Authority
KR
South Korea
Prior art keywords
security
usim
information
network
terminal
Prior art date
Application number
KR1020110067828A
Other languages
English (en)
Other versions
KR20130006032A (ko
Inventor
서경주
백영교
정상수
Original Assignee
삼성전자 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자 주식회사 filed Critical 삼성전자 주식회사
Priority to KR1020110067828A priority Critical patent/KR101800659B1/ko
Priority to PCT/KR2012/005431 priority patent/WO2013009059A2/ko
Priority to EP12812078.9A priority patent/EP2731382B1/en
Priority to US14/131,371 priority patent/US10306432B2/en
Priority to ES12812078T priority patent/ES2793491T3/es
Publication of KR20130006032A publication Critical patent/KR20130006032A/ko
Application granted granted Critical
Publication of KR101800659B1 publication Critical patent/KR101800659B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/18Selecting a network or a communication service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/50Service provisioning or reconfiguring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0806Configuration setting for initial configuration or provisioning, e.g. plug-and-play
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • H04W12/35Protecting application or service provisioning, e.g. securing SIM application provisioning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/26Network addressing or numbering for mobility support
    • H04W8/265Network addressing or numbering for mobility support for initial activation of new user
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/18Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
    • H04W8/20Transfer of user or subscriber data

Abstract

본 발명은 이동 통신 단말의 설정 방법 및 장치에 관한 것으로, 본 발명의 일 실시 예에 따르는 이동 통신 단말의 설정 방법은, 상기 이동 통신 단말이 정보 제공 엔티티에 정보 제공 요청 메시지를 송신하는 단계; 및 상기 이동 통신 단말이 상기 정보 제공 엔티티로부터 상기 정보 제공 엔티티가 생성한 상기 이동 통신 단말의 접속을 위한 정보를 수신하는 단계를 포함할 수 있다. 본 발명의 일 실시 예에 따르면 사용자가 단말 사용 초기에 사업자를 직접 설정하거나 효율적으로 사업자 변경을 수행할 수 있는 효과가 있다.

Description

이동 통신 시스템에서 단말 설정 방법{METHOD AND APPARATUS FOR SETTING TERMINAL IN MOBILE TELECOMMUNICATION SYSTEM}
본 발명은 이동 통신 시스템에서 단말을 설정하는 방법 및 장치에 관한 것이다. 보다 상세하게는 본 발명은 단말의 망 접속을 위한 정보를 효율적으로 전송하여 단말을 설정하는 방법 및 장치에 관한 것이다.
일반적인 이동 통신 시스템에 관한 대표적인 표준화 기구로 3GPP(3rd Generation Partnership Project)가 있다. 3GPP는 차세대 통신을 위하여 EPS(Evolved Packet System)를 정의하였다. 또한 3GPP는 MME를 네트워크의 이동성 관리 엔티티로서 도입하였다.
최근 관련 분야 연구자들은 종래의 이동 통신 시스템 특히 3GPP의 3G에서 사용하던 프로토콜을 개선하였다. 관련 분야 연구자들은 차세대 이동 통신에서의 고속 통신 서비스 제공을 위한 개선 방안을 제시하였다. 종래의 통신 방식에 따르면 인증 과정과 무선 접속 계층에서 수행하던 보안 과정이 수행된다. 관련 분야 연구자들은 종래의 이러한 과정들 이외에 NAS 계층에서 보안화된 NAS 프로토콜 개념을 도입하여 보안 모드를 수행하는 방안 등의 강화된 보안 관리 방안을 연구하고 있다.
하지만, 종래의 시스템 구조 하에서는 단말이 한 사업자를 서비스 제공 사업지로서 선정한다. 그러면 그 단말은 해당 사업자에 따른 보안 정보 및 기타 정보를 저장하여 그 사업자에 접속하여 통신한다. 해당 단말이 다른 사업자로부터 서비스를 받고자 하는 경우가 있다. 이를 위해서는 해당 단말은 해당 사업자에 상응하는 범용 가입자 식별 모듈(Universal Subscriber Identity Module: 이하 USIM으로 표기) 혹은 범용 집적 카드(Universal Integrated Circuit Card: 이하 UICC 로 표기)를 사용해야만 한다. 즉, 특정 가입자 식별 모듈을 이용해 접속할 수 있는 사업자는 고정되며, 사용자의 조작 등을 통해 접속할 수 있는 사업자를 변경하는 것은 어려운 일이다.
이에 따라, 가입자 식별 모듈에 사업자에 접속할 수 있도록 하는 정보를 저장할 수 있도록 하는 방법 및 장치가 요구된다. 이를 통해 사용자는 단말 사용 초기에 사업자를 직접 설정하거나 효율적으로 사업자 변경을 수행할 수 있다.
본 발명은 상술한 문제점을 해결하기 위하여 제안된 것으로 사용자가 단말 사용 초기에 사업자를 직접 설정하거나 효율적으로 사업자 변경을 수행할 수 있는 단말 정보 송신 방법 및 장치를 제공하는 데 그 목적이 있다.
상술한 과제를 달성하기 위하여, 본 발명의 일 실시 예에 따르는 이동 통신 단말의 설정 방법은, 상기 이동 통신 단말이 정보 제공 엔티티에 정보 제공 요청 메시지를 송신하는 단계; 및 상기 이동 통신 단말이 상기 정보 제공 엔티티로부터 상기 정보 제공 엔티티가 생성한 상기 이동 통신 단말의 접속을 위한 정보를 수신하는 단계를 포함할 수 있다.
상술한 과제를 달성하기 위하여, 본 발명의 일 실시 예에 따르는 이동 통신 단말의 설정 방법은, 정보 제공 엔티티가 상기 이동 통신 단말로부터 정보 제공 요청 메시지를 수신하는 단계; 정보 제공 엔티티가 상기 이동 통신 단말의 접속을 위한 정보를 생성하는 단계; 및 상기 정보 제공 엔티티가 상기 이동 통신 단말로 상기 생성한 상기 이동 통신 단말의 접속을 위한 정보를 송신하는 단계를 포함할 수 있다.
본 발명의 일 실시 예에 따르면 사용자가 단말 사용 초기에 사업자를 직접 설정하거나 효율적으로 사업자 변경을 수행할 수 있는 효과가 있다.
도 1은 본 발명의 실시 예에 따르는 정보 제공 과정의 흐름도이다.
도 2는 본 발명의 실시 예에 따른 이동 통신 시스템의 망 구성도이다.
도 3 내지 도 12B는 본 발명의 실시 예에 따른 정보 제공(Provisioning) 과정의 흐름도 이다.
이하, 본 발명의 실시 예를 첨부된 도면을 참조하여 상세하게 설명한다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시 예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시 예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시 예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.
이하, 본 발명의 실시 예들에 의하여 단말 정보 송신 방법 및 장치를 설명하기 위한 도면들을 참고하여 본 발명에 대해 설명하도록 한다.
후술되는 본 발명에 따르면, 단말이 이동 통신 시스템을 위하여 단말과 MME 간의 프로토콜인 NAS 프로토콜, 기타 프로토콜을 이용하여 이동통신 시스템에서 통신한다. 본 발명은, 이 경우 단말이 해당 사업자 망에서 통신이 가능하도록 초기 정보 제공(provisioning) 과정 및 단말에게 단말 정보를 제공하고 제공된 식별자를 관리하는 과정을 포함할 수 있다. 여기서 단말 정보는 보안 관련 키, 파라미터, 통신이 가능하도록 하는 식별자(identity) 등을 포함한다. 이하 본 발명을 구체적으로 설명하는데 있어, 3GPP 를 기반으로 하는 EPS 시스템, UTRAN, GERAN 등의 예를 이용한다. 다만, 본 발명은 다른 이동 시스템에서도 이용 가능하다. 본 발명은 단말이 특정 사업자(operator)의 시스템에 접속할 수 있도록 초기 정보를 저장(initial provisioning)하는 과정 혹은 단말이 사업자를 변경했을 때 변경된 사업자에 접속할 수 있도록 그에 관련된 정보를 저장하는 과정 등에 대하여 적용될 수 있다. 본 발명의 범위에서 벗어나지 않는 한도 내에서 실시 예의 여러 가지 변형이 가능함은 물론이다.
한편 본 발명의 도 2에서 보는 바와 같이 도 2 의 실시 예는 본 발명의 목적 중 어느 하나를 위한 것이다. 그 목적을 이루기 위해 이동 통신 시스템이 EUTRAN 환경하에서 단말에게 보안 파라미터 및 식별자 등을 제공한다. 단말이 이후 인증을 수행하는 경우 및 단말과 이동성 관리자(MME)등의 네트워크 엔티티와 통신할 때 보안성을 지원할 수 있다. 이러한 방법은 유사한 기술적 배경 및 채널 형태, 혹은 네트워크 구조(architecture)에도 적용될 수 있다. 또한 이러한 방법은 유사한 프로토콜, 혹은 프로토콜은 상이하나 유사한 동작을 수행하는 프로토콜을 가지는 여타의 이동통신 시스템에서도 본 발명의 범위를 크게 벗어나지 아니하는 범위에서 약간의 변형으로 적용될 수 있다. 이는 본 발명의 분야에서 숙련된 기술적 지식을 가진 자의 판단으로 가능할 것이다.
본 발명의 일 실시 예는 3GPP EPS를 비롯한 진화된 이동 통신 시스템에서 NAS 프로토콜과 기타 보안 관련 프로토콜을 지원하는 경우에 적용될 수 있다. 단말이 네트워크와 통신하는 과정에 있어서, 단말이 특정 사업자(operator)에 적합한 가입자 정보와 관련 보안 키를 설정한다. 이후 단말은 해당 네트워크와의 통신에 있어서 해당 보안 키를 이용하여 안전하고 효율적으로 통신할 수 있다. 또한 본 발명의 일 실시 예에 따르면, 단말이 사업자를 선정하여 초기에 보안 키 또는 통신을 위한 최소한의 설정(setting)을 위한 정보를 제공(provisioning)할 수 있다. 본 발명의 일 실시 예에 따르면, 단말은 단말에게 통신을 위해 필요한 정보를 설정할 수 있다.또한 이동 통신 시스템은 인증을 지원할 수 있다. 또한 이동 통신 시스템은 단말과 이동성 관리자(MME)와 같은 역할을 하는 개체(entity) 사이의 보안을 관리하고 통신을 유지시킬 수 있다. 본 발명은 3GPP EPS 뿐만 아니라 3GPP EPS , EUTRAN이 아닌 다른 무선 접속 기술, 즉 3GPP 이전의 무선 접속 기술인 UTRAN, GERAN, 혹은 다른 액세스 네트워크에 대해서도 적용될 수 있다.
이동통신 네트워크에서 가입자 관련 정보 및 보안 파라미터를 설정할 때 보안이 문제된다. 본 발명에 따르면 이러한 문제를 비접속 계층(non-Access-Stratum, 즉 네트워크 계층: 이하 NAS로 표기) 프로토콜 및 기타 네트워크 엔티티간 프로토콜을 통해 해결 및 관리할 수 있다.
본 발명의 일 실시 예에 따르면, 단말이 사업자 선정에 따른 관련 파라미터를 설정(setting)하고, 보안 관련 정보를 선택할 수 있다. 즉, 단말은 동적으로 가입자 관련 정보를 설정하고 및 보안 관련 절차를 수행할 수 있다. 이를 통해 단말이 보안 환경하에서 통신할 수 있다. 본 발명의 일 실시 예는 EUTRAN(Evolved Universal Terrestrial Radio Access Network: 이하 EUTRAN으로 표기), UTRAN(Universal Terrestrial Radio Access Network: 이하 UTRAN으로 표기) / GERAN(GSM/EDGE Radio Access Network: 이하 GERAN으로 표기) 등과 같은 환경에 적용될 수 있다.
도 1은 본 발명의 실시 예에 따르는 정보 제공 과정의 흐름도이다.
도 1을 참조하면, 단계 20에서 단말(10)은 사용자로부터 정보 제공 요청 입력을 수신한다. 정보 제공 요청 입력은 이동 통신망에 접속하기 위한 키, 식별자 등 기타 단말 정보를 제공해주도록 이동 통신망에 요청하도록 명령하는 입력이다. 이러한 입력에 대해서는 도 3 내지 도 12B의 각 실시 예에서 상세히 설명한다.
단계 22에서 단말(10)은 정보 제공 요청을 송신한다. 정보 제공 요청 과정은 단말이 새로이 제공 받기 원하는 통신망에서 활용될 보안키, 식별자 등을 요청하는 과정이다. 정보 제공 요청 메시지에는 단말이 정보 제공을 요청하는데 사용될 단말의 식별자(MID: Mobile Identity), 단말이 정보 제공을 요청할 수 있는지 확인 할 수 있는 보안 정보 등이 포함될 수 있다. 기타 정보 제공 요청에 포함될 수 있는 정보는 도 3 내지 도 12B의 각 실시 예에서 상세히 설명한다.
단계 24에서 정보 제공 엔티티(12)는 그 단말(10)에 대한 보안키, 단말의 식별자 등 기타 접속에 필요한 정보를 생성 또는 제공한다. 이 보안키는 단말(10)이 이동 통신 시스템에 접속하기 위해 필요한 키를 생성하는데 사용되는 기본(master)이 되는 키이다. 따라서 본 보안키를 기초로 하여 다양한 통신에 필요한 키가 생성되며, 분배된다. 실시 예에 따라 보안키는 다양한 엔티티에서 생성될 수 있다. 구체적인 보안키 및 식별자 생성 및 배포 과정에 대해서는 도 3 내지 도 12B의 각 실시 예에서 상세히 설명한다.
단계 26, 28, 30에서 정보 제공 엔티티는 OTA 서버(14), SMS 서버(16)등의 사업자 망 혹은 비허가(unlicenced) 대역의 통신망을 거쳐 단말(10)로 식별자 혹은 보안키 등 기타 접속에 필요한 정보를 송신한다. 변형 예에 따르면 OTA 서버(14)나 SMS 서버(16) 대신 다른 엔티티를 통해 식별자 혹은 키, 기타 통신망 접속에 필요한 정보가 전달될 수 있다.
단계 32에서 단말(10)은 전달받은 식별자, 보안키 등을 이용하여 이동 통신 시스템에 접속할 수 있다.
도 1의 실시 예에서 단말(10)이 직접 정보 제공 요청을 전송하는 경우가 개시됐으나, PC 기타의 정보처리 장치를 통해 정보 제공 요청을 이동 통신 시스템으로 전송하는 변형 예도 가능하다. 이에 대해서는 도 10A 내지 도 12B를 참조하여 후술한다.
도 2는 본 발명의 일 실시 예에 따른 망 구성도이다. 여기에서는 일 예로서 3GPP EPS 시스템 구조가 도시된다. 본 실시 예에서 EUTRAN에 관한 구성이 주로 기술되지만, 본 실시 예는 유사한 다른 이동 통신 시스템에서도 사용될 수 있다.
도 2를 참조하면, 기지국(Evolved Node Base Station: eNodeB, 이하 eNB이라 칭함)/RNC(Radio Network Controller: 이하 RNC 로 표기)(112)는 eNB의 서비스 영역 내에 위치하는 단말(User Equipment: 이하 단말 혹은 UE 라 칭함)(110)과 무선 접속을 설정하고 통신을 수행한다. 각 eNB/RNC의 서비스 영역을 셀이라고 칭한다.
UE(110)는 서빙 게이트웨이(Serving Gateway: 이하 Serving GW, 또는 SGW라 칭함)(116)를 통해 인터넷과 같은 패킷 데이터 네트워크에 접속하는 단말을 일컫는다. UE(110)는 크게 두 요소로 구성된다. 즉, UE(110)는 모바일 장비(Mobile Equipment: 이하 ME 로 표기, 111) 및 USIM(170)으로 구성된다. ME(111)는 사용자나 네트웍과 연동하여 통신을 위한 기능을 수행하는 구성부이다. USIM(170)은 사용자의 가입자 관련 정보 및 보안 정보 등의 저장, 관리 등에 관여하는 구성부이다.
본 실시 예에 따르면 이동 통신 시스템은 패킷 데이터 네트웍 게이트 웨이(Packet Data Network Gate Way: 이하 PDN GW 로 칭함)(118)를 포함한다. PDN GW(118)은 패킷 데이터 네트워크의 주요한 네트워크 개체이며, 홈 에이전트(Home Agent: 이하 HA라 칭함)의 역할을 수행한다.
이동 통신 시스템은 이동성 관리 엔티티(Mobility Management Entity: 이하 MME 로 표기)(114,115)/SGSN(Serving GPRS Support Node : 이하 SGSN 으로 표기)를 더 포함한다. MME/SGSN(114,115)은 단말의 이동성 관리, 단말의 위치 관리(location management), 등록(registration) 관리를 수행한다.
이동 통신 시스템은 홈 구독자 서버(Home Subscriber Server: 이하 HSS라고 칭한다)/홈 위치 등록 서버(Home location register: 이하 HLR로 표기)/AUC(인증센터: authentication center)(121)를 더 포함한다. HSS/HLR(121)은 사용자와 단말에 대한 인증 정보 및 서비스 정보를 관리한다. HSS/HLR/AUC(121)는 MME/SGSN(114)와 인터페이스를 통해 연결된다. eNB/RNC(112)와 Serving GW(116) 사이, MME/SGSN(114)와 Serving GW(116) 사이에는 데이터 경로(data path) 및 단말의 이동성을 관리하기 위한 인터페이스가 존재한다.
본 실시 예에서의 UE(110)과 MME/SGSN(114)는 NAS 프로토콜 스택을 통해 서로 통신함으로써 이동성 관리, 세션 관리를 수행한다. 또한 상기 홈 네트워크 및 방문 네트워크는 EUTRAN, UTRAN, GERAN 등의 여러 RAT 형태 중 어느 하나 또는 비허가(unlicenced) 대역의 WLAN(wi-fi)가 될 수 있다.
본 실시 예에 따르면 이동 통신 시스템은 USIM 센터(USIM center, 191)를 포함한다. USIM 센터는 UE(110)의 USIM(170)이나 UICC 등에 사업자 및 사용자 관련 정보를 저장하는 과정 및 사업자와 관련된 UE(110)의 보안 파라미터, 보안 키, 단말 식별자 등을 사용자에게 전달하는 과정에 관여한다.
본 실시 예에 따르면 이동 통신 시스템은 USIM 중앙 센터(USIM Central Center)(180)를 포함한다. 사용자는 UE(110)을 이용하여, 또는 PC 등의 다른 정보화 기기(186)를 이용하여 인터넷 망을 통해서 USIM 중앙 센터(USIM Central Center)(180)에 사용자 관련 정보 저장 요청을 전달할 수 있다. USIM 중앙 센터(USIM Central Center)(180)는 사용자 관련 정보 제공 요청을 수신한다.
이동 통신 시스템은 범용 가입자 식별 모듈 인증 센터(USIM authentication center: 이하 USIM 인증 센터로 표기)(190)를 포함한다. USIM 인증 센터(190)는 범용 가입자 식별 모듈(Universal Subscriber Identity Module) 보안 정보를 검증하는 과정에 관여한다.
본 실시 예에 따르면 가입자 인증 관련 정보, 보안 파라미터, 식별자 등의 안전한 전송 및 관리를 위하여 무선 전송 기술(Over The Air: 이하 OTA) 기술이 사용된다. 이를 위하여 이동 통신 시스템은 OTA 서버(182, 182-2)를 포함한다. 이동 통신 시스템은 단문 서비스 센터(Short message service center: 이하 SMSC 로 표기)(184, 184-2)를 포함한다. SMSC(184, 184-2)는 관련 메시지의 전송을 수행한다.
이동 통신 시스템은 그리고 메시지 전송을 위해 사용되는 SMS GMSC(SMS gateway MSC: 이하 GSMC 로 표기)(187,187-2) 및 Mobile Switching Center(이하 MSC로 표기)(188, 188-2) 등을 포함한다.
도 2에서 홈 네트워크에 포함된 엔티티와 방문 네트워크(visited network)에 포함된 네트워크 엔티티는 그 참조 번호를 달리 표기하였다. 또한 홈 네트워크에 포함된 OTA 서버(182)와 특정 사업자의 네트워크에 속하지 않는 중앙 OTA서버(182-2)는 그 참조 번호를 달리 표기하였다.
이하에서, 도 3 내지 도 12B를 참조하여 본 발명의 실시 예들에 따르는 동작 과정을 설명한다. 이하의 실시 예에 대한 설명에서 도 2의 네트워크가 참조된다. 이하의 실시 예에서, NAS 프로토콜, 기타 프로토콜을 기반으로 UE(110), MME(114), HSS(121, 121-2), 기타 네트워크 엔티티의 동작이 설명된다. 그러한 동작에 따라 사용자의 사업자 망 내에서의 보안관련 정보 및 식별자 등이 효율적으로 전송된다.
도 3 내지 도 5B는 본 발명의 일 실시 예에 따른 초기 정보 제공(initial provisioning) 혹은 정보 제공(Provisioning) 과정의 흐름도 이다.
단계 201에서 정보 제공이 트리거링된다. 사용자는 단말(110)의 인터페이스 등을 이용하여 사업자를 선정하는 조작을 수행할 수 있다. 사용자는 단말 혹은 USIM을 구입한 후 최초로 사업자를 선정하거나 혹은 본 발명의 일부 프로세스를 선택적으로 이용하여 사업자를 변경할 수 있다. 또한 사용자는 해당 사업자의 어떤 네트워크를 이용해서 서비스를 받고 싶어하는지 등을 입력할 수 있다. 즉 같은 사업자 내에서라도 3G 망을 이용할 지 혹은 EUTRAN 등을 이용할 지를 입력할 수 있다. 단말(110)은 해당 사업자로부터 서비스를 받기 위해 정보 제공 과정을 시작(initiation)한다. 이러한 과정은 사용자가 UE(110)의 사용자 인터페이스(interface) 등을 선택하는 방식으로 수행될 수 있다. 사용자의 선택 입력은 UE(110) 중 특히 ME(111)를 통해 이루어질 수 있다.
단계 203에서 USIM(170)은 정보 제공 트리거링 응답(provision triggering response)를 ME(111)에 송신한다. 정보 제공 트리거링 응답(provision triggering response)은 단계 201의 정보 제공 트리거링(provision triggering)에 대한 응답이다.
이와 같이 정보 제공 시작 과정은 ME(111)에서 USIM(170)으로 정보 제공 트리거링을 송신하는 단계 201과 USIM(170)이 정보 트리거링 응답(provision triggering response)을 ME(111)로 송신하는 단계 203으로 구성된다. 특히 단계 203은 USIM(170)에 있는 정보를 읽어 정보 제공을 위해서 UE(110)가 네트워크 등을 통해서 보낼 정보를 추출하는 단계를 포함한다. 또한, 단계 203은 해당 정보를 네트워크로 송신하기 위해 준비하는 과정을 포함한다.
단계 205 및 단계 207에서 정보 제공 요청(provisioning request) 메시지가 단말(110)로부터 기지국(112)을 거쳐서 MME(114)로 송신된다. 정보 제공 요청 메시지는 MME(114)를 통해서 USIM 중앙 센터(180)로 송신된다. UE(110)가 해당 사업자의 망에서 서비스를 받기 위해서는 보안 정보 또는 식별자 등 기타 정보가 필요하다. 단계 205 및 단계 207이 수행될 때에는 UE(110)가 해당 사업자의 망에서 서비스를 받기 위한 정보가 갖추어지지 않은 상태이다. 따라서 단말(110)이 초기 정보를 요청하는 상황이라면 USIM 중앙 센터(180)로의 연결을 위해 제한된 모드(limited mode)로 접속(access)이 가능한 상황이다. 그리고, 사업자 변경 등의 과정 중이라면 통상의 통신 모드도 가능하다고 할 것이다.
정보 제공 요청(provisioning request) 메시지는 MID(mobile identity: 이하 MID 로 표기)를 포함할 수 있다. 실시 예에 따라 정보 제공 요청 메시지는 보안 값(Security Value), 보안 크리덴셜(Security Credential), PLMN ID(Public Land Mobile Network identity: 이하 PLMN ID로 표기: PLMN identity), 네트워크 타입(Network Type), 단말의 위치 정보(location: 이하 loc.으로 표기) 중 어느 하나 이상을 더 포함할 수 있다.
MID는 USIM 중앙 센터(180)가 해당 단말(110) 또는 USIM/SIM/UICC(170) 등을 식별하기 위해 사용되는 식별자다. MID는 단말(110) 또는 USIM/SIM/UICC(170)의 제조업자(vendor)에 의해 할당되며, USIM 중앙 센터(180)에서 해당 단말(110)을 식별하기 위해 사용된다. MID는 IMSI와 같은 포맷으로 표현될 수 있다. 또한, MID는 페이징이나 무선상에서 데이터 전송이 가능한 다른 형태의 식별자 포맷으로 표현될 수도 있다. 상기에서 USIM(Universal Subscriber Identity Module: 범용 사용자 식별 모듈), SIM(Subscriber Identity Module: 사용자 식별 모듈), UICC(Universal Integrated Circuit Card: 범용 통합 서킷 카드) 등은 단말의 가입자 식별을 위한 가입자 인증 정보 등이 담긴 모듈 혹은 카드를 말한다.
정보 제공 요청 메시지는 이러한 MID 정보와 함께 보안 관련 정보들도 포함될 수 있다. 대표적인 보안 관련 정보로는 보안값(security value)과 보안 크리덴셜(credential)이 있다.
보안값은 UE(110)가 정보 제공 요청 메시지(provisioning request)를 송신한 후 관련 메시지를 수신했을 때 사용된다. UE(110)는 자신이 송신한 보안 값과 수신한 메시지를 비교한다. 이러한 비교를 통해 수신한 메시지가 다른 공격자나 기타 부적절한 노드 등으로부터 수신된 잘못된 메시지인지 아닌지 검증할 수 있다. 즉, 보안값은 수신 메시지가 자신이 요청한 요청에 대한 응답으로 발송된 메시지인지를 위해 검증하는 데 사용된다. 보안 능력(security capability)과 같이 단말이 지원하는 보안 알고리즘 값 또는 단말(110)이 생성해서 전송한 난수(random number) 등 단말을 검증할 수 있는 다양한 값들이 보안값으로서 활용될 수 있다.
일반적으로 보안 크리덴셜(Security credential)이라고 하면 퍼블릭 키 인프라스트럭쳐(public key infrastructure: 이하 PKI 로 표기) 보안 방법에서 공개키(public key)와 비밀키(secret key) 쌍(pair), 인증서(certificate) 등의 정보로 구성된다. 다만, 본 발명에서 보안 크리덴셜은 그러한 정보뿐 아니라 단말이 정당한 단말인지 인증하기 위해 USIM 인증 센터(USIM authentication center, 190)에서 검증(verification)하는데 사용될 수 있는 정보를 널리 일컫는 표현이다.
만일 PKI 방법이 사용되었다면 일반적으로 사용되는 방식으로 인증 관련 값을 보낸 단말(110) 혹은 USIM(170)을 USIM 인증 센터(190)에서 인증하는데 보안 크리덴셜이 사용될 수 있다. 인증 및 키 동의 프로토콜(Authentication and Key Agreement Protocol: 이하 AKA로 표기)에서 값을 보낸 상대 노드를 상호 인증(mutual authentication)하는 방식이 이용될 수 있다.이 경우 AKA 에 관여하는 벡터 값 등이 보안 크리덴셜이 될 수 있다. 난수(random number)와 키 값으로 검증하는 방법이 사용된 경우 난수 값이 보안 크리덴셜이 될 수 있다. 이외에도 다양한 후보 기술이 가능하다. 이하의 실시 예에서는 USIM 인증 센터(190)가 단말(110)을 정당한 사용자로 인증하는데 사용할 수 있는 보안 정보라면 이를 보안 크리덴셜이라고 칭할 수 있다.
PLMN ID(Public Land Mobile Network identity: 이하 PLMN ID 로 표기, PLMN identity)는 서빙 네트워크 ID(Serving network ID)라고도 불린다. 가입자가 가입하고자 하는 사업자 네트워크의 국가정보, 사업자 네트워크 관련 정보를 USIM 센터(191)에 제공하기 위해서, UE(110)는 PLMN ID등을 이용하여 가입자가 서비스 받고자 하는 네트워크의 정보를 제공할 수 있다. . 네트워크 타입(network type)은 서비스 받고자 하는 네트워크 타입(network type)의 정보이다. 네트워크 타입은 무선구간이 EUTRAN(Evolved UMTS Terrestrial Radio Access Network)인 EPS(Evolved Packet System) 네트워크, UTRAN(UMTS Terrestrial Radio Access Network), GERAN(GSM/EDGE Radio Access Network) 등의 사업자 망의 유무선 구간의 네트워크 타입 정보가 될 수 있다. 네트워크 타입이 정보 제공 요청 메시지에 포함되면 단말(110)은 해당 사업자가 제공하는 다양한 네트워크 타입 중에서 선택적으로 어느 하나의 네트워크 타입을 이용할 수 있다. 즉, 단말(110)은 가입자가 받을 서비스에 이용되는 유무선 구간을 선택할 수 있다. 단말(110)의 위치 정보는 이후 단말(110)에게 서비스를 제공할 MME(114)나 MSC(188)을 결정하거나 단말에게 서비스를 제공할 트래킹 에어리어(tracking area)를 결정하는데 사용될 수도 있다.
단계 209에서 MME(114)는 정보 제공 검증 요청(Provisioning Verification Request) 메시지를 USIM 중앙 센터(180)로 송신한다. UE(110)로부터 정보 제공 요청(Provisioning Request) 메시지를 수신한 MME(114)는 정보 제공 검증 요청(Provisioning Verification Request) 메시지를 USIM 중앙 센터(180)로 송신한다. 정보 제공 검증 요청 메시지는 MID(mobile identity: 이하 MID 로 표기)를 포함할 수 있다. 실시 예에 따라 정보 제공 검증 요청 메시지는 보안 값(Security Value), 보안 크리덴셜(Security Credential), PLMN ID(Public Land Mobile Network identity: PLMN identity, 이하 PLMN ID 로 표기), 네트워크 타입(Network Type), 단말의 위치 정보(location: 이하 loc. 으로 표기) 중 어느 하나 이상을 더 포함할 수 있다.
한편 상기 실시 예에서는 UE(110)가 가입하고자 하는 사업자를 선택하여 정보 제공 요청 메시지를 송신하는 시점에 서비스를 받고자 하는 네트워크 타입을 함께 결정하여 보내는 것을 예로 들었다. 다만, UE(110)가 접속한 사업자가 UE(110)가 가입하고자 하는 사업자라면 변형 예가 적용될 수 있다. 그 변형 예에 따르면 UE(110)가 정보 제공 요청 메시지를 송신한 이후인 209 단계에서 MME(114)가 USIM 중앙 센터(180)로 정보 제공 검증 요청 메시지를 보낼 때 MME(114)가 속한 네트워크 타입(network type) 등의 정보도 함께 제공한다. 네트워크 타입은 EUTRAN(Evolved UMTS Terrestrial Radio Access Network)인 EPS(Evolved Packet System) 네트워크, UTRAN(UMTS Terrestrial Radio Access Network), GERAN(GSM/EDGE Radio Access Network) 기타 사업자 망의 유무선 구간의 네트워크 타입 중 어느 하나가 될 수 있다. 즉, 변형 예에 따르면 MME(114)는 단말(110)로부터 전송된 MID, 보안값, 보안 크리덴셜, PLMN ID와 더불어 네트워크 타입(network type)을 함께 USIM 중앙 센터(180)로 전송한다.
USIM 중앙 센터(180)는 이후 단계 211에서 USIM 인증 센터(USIM authentication center)(190)로 정보 제공 검증 요청(Provision Verification Request) 메시지를 송신한다. 정보 제공 검증 요청 메시지는 MID를 포함할 수 있다. 실시 예에 따라 정보 제공 검증 요청 메시지는 보안 크리덴셜, PLMN ID, 네트워크 타입 중 어느 하나 이상을 더 포함할 수 있다. USIM 중앙 센터(180)는 정보 제공 검증 요청 메시지를 통해 해당 MID가 사업자 망 접속이 가능한 정당한 권리자인지에 대한 검증을 요청한다. 한편 이러한 정보 제공 요청에 대한 검증(verification)에 있어서는 여러 가지 보안 크리덴셜이 이용될 수 있다.
USIM 인증 센터(190)와 UE(110)가 PKI 시스템을 이용하고 있다면 PKI에서 사용하는 공개키와 비밀키 등이 보안 크리덴셜로서 이용된다. 즉, USIM 인증 센터(190)는 공개키와 비밀키 등을 이용해서 인증 관련 값을 보낸 단말(110) 혹은 USIM(170)을 인증한다. 인증 키 및 동의 프로토콜(Authentication and Key Agreement Protocol: 이하 AKA로 표기)에서 값을 보낸 상대 노드를 상호 인증(mutual authentication)하는 방식이 이용될 수 있다. 이 경우 AKA 에 관여하는 벡터 값 등이 보안 크리덴셜이 될 수 있다. 난수(random number)와 키 값으로 검증하는 방법이 사용된 경우 난수 값이 보안 크리덴셜이 될 수 있다. 이외에도 다양한 후보 기술이 가능하다. 본 실시 예에서는 USIM 인증 센터(190)가 단말(110)을 정당한 사용자로 인증하는데 사용할 수 있는 보안 정보라면 이를 보안 크리덴셜이라고 칭할 수 있다. 보안 크리덴셜을 활용하는 구체적인 절차(procedure)는 구체적으로 언급되지 않았다. 다만 211 과정과 213 과정에서 USIM 중앙 센터(180)가 USIM 인증 센터(190)로 정보 제공 검증 요청 메시지를 송신하고, 그에 응답하는 정보 제공 검증 반응 메시지를 USIM 중앙 센터(180)가 수신하는 것으로 절차를 표기하였다. 하지만, 이러한 211 과정과 213 과정에서 이용되는 보안 크리덴셜로 명명된 보안 파라미터는 PKI 방식또는, AKA 방식이 이용되는지에 따라 달라질 수 있다. 다만 어느 경우에도 211 과정과 213 과정에서는 보안 크리덴셜로 명명된 보안 파라미터와 식별자(identity) 등의 UE(110)가 제공하는 정보에 의해서 정당한 UE(110)의 접근이 판별된다. 이러한 판별 과정은 본 발명과 같은 발명에 대해 통상의 기술 지식을 가진 기술자라면 다양한 형태로 변형이 가능하다. 213 과정에서 USIM 인증 센터(190)는 정보 제공 인증 응답 메시지를 USIM 중앙 센터로 송신한다. 어느 단말로부터 온 정보 제공 검증 요청에 대한 검증이 성공한 것인지를 식별할 수 있도록 정보 제공 인증 응답 메시지는 MID를 포함할 수 있다.
이하에서 설명하는 213-2 내지 213-16 의 과정, 혹은 227-2 내지 227-7 과정은 선택적으로 수행될 수 있다.
단계 213-2 내지 213-16이 수행되는 실시 예를 도 4A 및 도 4B를 참조하여 설명한다.
상술한 바와 같이 단계 213에서 USIM 중앙 센터(180)는 USIM 인증 센터(USIM authentication center)(190)로부터 정보 제공 검증 요청에 대한 응답 메시지를 수신한다. 그러면 단계 213-2에서 USIM 중앙 센터(180)는 MME(114)로 정보 제공 응답 메시지를 송신한다. 정보 제공 응답 메시지는 MID 를 포함할 수 있다.
이러한 검증 과정을 거친 후 단계 213-11에서 MME(114)는 MSC(188)에 위치 등록(location registration request) 메시지를 송신한다. 위치 등록 메시지는 MID 및/또는 MME의 식별자를 포함할 수 있다. 이후 213-12 과정에서 MSC(188)는 MID와 MME(114)의 식별자의 매핑을 저장한다. 213-13 과정에서 MSC(188)는 HSS(121)로 MID를 송신할 수 있다. 실시 예에 따라 MSC(188)는 MSC의 주소 정보(MSCA)를 더 전송할 수 있다. 213-14 과정에서 HSS(121)는 MID와 MSCA의 매핑을 저장한다. 213-15 과정에서 HSS(121)는 MSISDN을 생성할 수 있다. 여기서 생성된 MSISDN은 이후 CS(Circuit Switching) 네트워크에서 통신을 위해 식별자로서 이용된다. 213-16 과정에서 HSS(121)는 MID를 MSC(188)로 송신할 수 있다. 실시 예에 따라 HSS(121)는 MSC(188)로 MSISDN, MSCA 중 하나 이상을 더 전송할 수 있다. 상술한 213-11, 213-12, 213-13, 213-14 및 213-16 단계는 과정은 하기의 227-2, 227-3, 227-4, 227-5 및 227-7 단계와 동일한 구성을 가진다. 213-11, 213-12, 213-13, 213-14 및 213-16 단계가 수행되면(case 1) 227-2, 227-3, 227-4, 227-5 및 227-7 단계는 수행되지 않는다. 반대로 213-11, 213-12, 213-13, 213-14 및 213-16 단계가 수행되지 않으면(case 2) 227-2, 227-3, 227-4, 227-5 및 227-7 단계가 수행될 수 있다.
이후 단계 215에서 USIM 중앙 센터(180)는 USIM 센터(191)로 서 MID를송신할 수 있다실시 예에 따라 USIM 중앙 센터(180)는 USIM 센터(191)로 보안값, PLMN ID, 네트워크 타입, 보안 중앙 센터(이하 Sec-Central center로 표기) 검증 값, 단말의 위치 정보(location: 이하 loc.으로 표기) 중 하나 이상을 더 송신할 수 있다. 보안 중앙 센터 검증 값은 USIM 중앙 센터(180)와 USIM 센터(191) 간의 상호 인증 및 보안을 위하여 사용된다. 즉, 보안 중앙 센터 검증 값은 USIM 센터(191)가 USIM 중앙 센터(180)를 검증하기 위해 사용된다. Sec-central center 검증 값은 검증을 위해 PKI 시스템이 이용될 때에는 퍼블릭 키/비밀키 등을 포함한 값일 수 있다. 또한 Sec-central center 검증 값은 상호 인증을 위한 방법이 이용될 때는 공유키(shared key)로 암호화하여 전송하고 해독하는 과정 등을 거치는 난수(random number)가 될 수 있다. 또한, Sec-central center 검증 값은 AKA 방법이 이용될 경우는 인증 토큰 값이 될 수도 있다. Sec-central center 검증 값은 기타 다양한 값이 될 수 있으며 상호 인증을 위한 구체적인 절차는 생략하기로 한다.
단계 217에서 파라미터를 수신한 USIM 센터(191)는 Sec-Central center 검증 값을 검증한다.
한편 219 단계에서 USIM 센터(191)는 보안키를 생성할 수 있다. 이러한 방식은 일 실시 예(case 1)로서 이 방식에 따르면 USIM 센터(191)가 보안키를 생성(generate)하고 이를 배포(distribute)하는 기능을 가진다. 한편 또 다른 일 실시 예(case 2)에 따르면 USIM 센터(191)가 보안키 생성 기능을 가지지 않는다. 이러한 실시 예에 따르면 AUC /HSS/HLR(121)이 해당 기능을 수행할 수 있다. 즉 AUC/HSS/HLR(121)이 보안키를 생성하고 보안키(Key)가 그 자체로서 해당 사업자에게 할당된 마스터 키(루트키, master key, root key) 그 자체 형태로 사용될 수도 있다. 또한 또 다른 일 실시 예(case 3)에 따르면 USIM 센터(191)가 보안키를 생성하고 사업자에 할당하되, 사업자가 사업자 별로 보안이 강화된 키인 보안 마스터키를 생성하는데 이 보안키가 시드(seed)로서 활용될 수도 있다. 즉, USIM 센터(191)가 보안키(Key)를 생성한다. 그리고 사업자망의 AUC/HSS/HLR(121)가 그 보안키(Key)를 시드로 하여 사업자 망에서 사용되는 마스터 키(master key) 역할의 또 다른 유도된 마스터키(Kdm: derived master key)를 생성 할 수도 있다. 상기에서 마스터 키(master key)는 보안키인 루트 키(root key) 또는 유도된 마스터키 Kdm(derived master key) 등이 될 수 있다. 이러한 마스터키를 기반으로 이후 해당 사업자 네트워크가 인증키(KASME)를 생성한다. 또한 해당 사업자 네트워크는 상기 인증키를 바탕으로 NAS 무결성키(KNASint)와 NAS 암호화키(KNASenc)를 생성한다.
219-2 과정에서 USIM 센터(191)는 단말(110)이 접속했던 MME, 또는 단말이 접속했던 MME와 연결된 MSC 혹은 어느 MME, 또는 어느 MSC 가 단말을 위해 초기 정보 제공 서비스를 전달해 줄지를 결정할 수 있다. USIM 센터(191)는 이러한 결정을 위해 PLMN ID나 단말(110)의 위치 정보, 단말(110)이 접속한 네트워크의 정보 중 어느 하나 이상을 이용할 수 있다. 본 실시 예에서는 단말(110)이 접속했던 MME, 그리고 접속했던 MME와 연결된 MSC가 단말(110)을 위해 초기 정보 제공 서비스를 제공한다. 하지만, 이러한 방법 이외에도 다양한 변형이 가능하다. 즉 이러한 선택의 방법은 단말이 접속한 네트워크의 사업자에게서 서비스를 받는지 아니면 다른 사업자에게서 서비스를 받는지에 따라 다양한 변형이 가능하다.
이후 219-3 과정에서 USIM 센터(191)는 트래킹 에어리어(tracking area: 단말의 위치 등록 지역)의 식별자(identity: 이후 ID 로 표기) 리스트(list)(이후 TA ID 리스트로 표기)를 결정할 수 있다. 트래킹 에어리어는 MME가 어느 eNB로 초기 정보 제공 서비스를 전달할지를 선택하는데 사용될 수 있다. , TA ID 리스트 등의 정보는 이후 237 단계 혹은 239 단계 이후의 과정을 통해서 전송될 수 있다. MME를 선정하는 기능은 USIM 센터(191)가 가질 수도 있다. 다만, 경우에 따라서는 OTA 서버(182)가 그러한 기능을 수행할 수 도 있으며, 이러한 경우에 대해서 이후 237-2, 237-3 의 과정에서 설명하기로 한다.
일 실시 예(case 1)로서 219 과정에서 USIM 센터(191)가 보안키를 생성, 저장 하였다면 221 과정에서 생성한 보안키와 함께 단말 또는 USIM/UICC/SIM의 식별자인 MID, 보안값, PLMN 식별자인 PLMN ID, 네트워크 타입 중 하나 이상을 단말(110)이 가입하고자 하는 사업자망의 MME(114)로 전송한다. 이후 223 과정에서 MME(114)는 MID, 보안값을 HSS/HLR(121)로 전송한다. 만일 USIM 센터(191)가 보안키를 생성하였다면 MME(114)는 HSS/HLR(121)로 보안키도 전송할 수 있다. 225 과정에서 AUC/HSS/HLR(121)는 단말(110)의 식별자인 IMSI를 생성하여 저장한다. 만일 219 과정에서와 같이 USIM 센터(191)가 보안키(Key)를 생성하지 않았다면 또 다른 일 실시 예(case 2)에 따라 AUC/HSS/HLR(121)는 보안키를 생성하여 저장한다. 또한 225 과정에서 AUC/HSS/HLR(121)는 단말이 CS 네트워크에서 통신하는데 필요한 MSISDN(Mobile Station international ISDN(Integrated Services Digital Network) Number) 등을 생성하여 저장할 수 있다. 만일 단말(110)이 처음 접속한 네트워크와 단말(110)이 이후에 서비스 받을 네트워크가 같은 경우에는 이러한 MSISDN 생성은 213-15 단계에서 수행될 수 있다. 다른 실시 예로서 MSISDN 생성은 이후의 225 과정에서도 수행 될 수 있다. 다만, 단말(110)이 처음 접속한 네트워크와 단말(110)이 이후에 서비스 받을 네트워크가 상이한 경우라면, 213-15 단계에서 생성되는 MSISDN는 단말(110)에 정보 제공을 위한 정보 전달을 위해 사용되고, 225 단계에서 할당되는 MSISDN은 단말의 향후 네트워크에서의 식별자로서의 정보이므로 그 성격을 달리할 수 있다. . 상기 예(case 1)와 달리 경우 2(case 2)는 AUC/HSS/HLR(121)에서 보안 키를 생성하는 경우이다. 또 다른 일 실시 예(경우 3: case 3)로는 USIM 센터(191)가 전송해준 보안키(Key)를 시드(seed)로 하여 유도된 마스터 키(derived master key)를 생성하여 그 유도된 마스터 키(Kdm)가 보안을 위한 보안 마스터키로 사용될 수도 있다. 따라서 이후 227, 229, 236 과정에서 전송되고 저장되는 보안 키는 경우 1(case 1)에 따르면 USIM 센터(191)에서 생성한 보안키 이다. 227, 229, 236 과정에서 전송되고 저장되는 보안 키는 경우 2(case 2)에 따르면 AUC/HSS/HLR(121)이 생성한 키이다 227, 229, 236 과정에서 전송되고 저장되는 보안 키는 경우 3에 따르면 USIM 센터에(191)로부터 수신한 키를 시드로 하여 AUC/HSS/HLR(121)에서 유도하여 생성한 보안 마스터키이다.
227 과정에서 AUC/HSS/HLR(121)는 MID를 MME(114)로 송신한다. 실시 예에 따라, AUC/HSS/HLR(121)은 IMSI, 보안키(경우 2)/ 보안 마스터키(경우 3) 그리고 프로파일(profile)정보 중 하나 이상을 MME(114)로 전송할 수 있다. 프로파일(profile)이란 단말(110) 또는 USIM/UICC/SIM 등을 해당 사업자 망에 맞도록 구성(configuration)하는데 필요한 정보이다. 프로파일은 인증 과정인 AKA(authentication and key agreement)에서 보안 기능(function)을 의미하는 milenage 알고리즘, SNOW(스트림 암호화: a new word stream cipher) 암호화/ 무결성 보안 알고리즘, AES(Advanced Encryption Standard) 암호화/무결성 보호를 위한 보안 알고리즘 중 어느 하나 혹은 어느 하나 이상이 될 수 있다. 또한 프로파일은 접속 통제 클래스(access control class)나, 응급 콜 코드(emergency call codes), 사업자 PLMN 리스트(plmn list), 홈 네트워크 도메인(home network domain) 중 하나 이상의 정보를 포함할 수 있다.
MME(114), MSC(188), HSS(121)이 관여하여 이후 단문 메시지 서비스 등을 위해서 CS 망을 위한 단말의 위치 등록을 할 수 있다. 213-11, 213-12, 213-13, 213-14 및 213-16 단계가 수행되지 않는 경우에는(case 2) 227-2, 227-3, 227-4, 227-5 및 227-7 단계가 수행될 수 있다. 이러한 227-2 내지 227-7 의 과정은 선택적으로 수행될 수 있다. 즉 227-2 과정에서 MME(114)는 MSC(188)에 위치 등록 요청(location registration request) 메시지를 송신한다. 위치 등록 요청 메시지는 MID를 포함할 수 있다. 실시 예에 따라 위치 등록 요청 메시지는 MME의 식별자를 더 포함할 수 있다. 이후 227-3 과정에서 MSC(188)는 MID와 MME의 식별자의 매핑을 저장할 수 있다. 227-4 과정에서 MSC(188)는 HSS(121)로 MID와 MSC 의 주소 정보(MSCA)를 송신한다. 227-5 과정에서 HSS(121)는 MID와 MSCA의 매핑을 저장할 수 있다. 227-7 과정에서 HSS(121)는 MID를 MSC(188)로 송신할 수 있다. 실시 예에 따라 HSS(121)는 MSISDN, MSCA 중 하나 이상을 MSC(188)로 송신할 수 있다. 이러한 일련의 227-2, 227-3, 227-4, 227-5 및 227-7 단계는 상기의 213-11, 213-12, 213-13, 213-14 및 213-16 단계와 동일한 구성을 가진다. 213-11, 213-12, 213-13, 213-14 및 213-16 단계가 수행되지 않는 경우 227-2, 227-3, 227-4, 227-5 및 227-7 단계가 수행될 수 있다.
229 과정에서 MME(114)는 USIM 센터(191)로 MID를 송신할 수 있다. 실시 예에 따라 MME(114)는 IMSI, 보안키(경우 2)/보안 마스터키(경우 3) 그리고 프로파일(profile) 정보, 그리고 보안값(security value) 중 어느 하나 이상을 송신할 수 있다.
이후 231 과정에서 USIM 센터(191)는 USIM 중앙 센터(180)로 MID를 할 수 있다. 실시 예에 따라 USIM 센터(191)는 USIM 중앙 센터(180)로 USIM 센터 검증 값(이하 Sec-USIM center 검증 값으로 표기)를 전송할 수 있다. Sec-USIM center 검증 값은 USIM 중앙 센터(180)와 USIM 센터(191) 간의 상호 인증 및 보안을 위하여 사용된다. 즉, Sec-USIM center 검증 값은 USIM 중앙 센터(180)가 USIM 센터(191)를 검증하기 위해 사용된다. 이를 통해 USIM 중앙 센터(180)가 USIM 센터(191)로 송신한, MID에 해당하는 단말(110)에 대한 요청을 USIM 센터(191)에서 잘 처리했음에 대한 것을 알릴 수 있다. 또한, USIM 중앙 센터(191)와 USIM 센터(180) 간의 상호 인증이 수행될 수 있다.
단계 233에서 파라미터를 수신한 USIM 중앙 센터(180)는 Sec-USIM center 검증 값을 검증한다. 233 과정에서, Sec-USIM center 검증 값은 검증을 위해 PKI 시스템이 이용될 때에는 퍼블릭 키/비밀키 등을 포함한 값일 수 있다. 또한 Sec-USIM center 검증 값은 상호 인증을 위한 방법이 이용될 때는 공유키(shared key)로 암호화하여 전송하고 해독하는 과정 등을 거치는 난수(random number)가 될 수 있다. 또한, Sec-USIM center 검증 값은 AKA 방법이 이용될 경우는 인증 토큰 값이 될 수도 있다. Sec-USIM center 검증 값은 기타 다양한 값이 될 수 있으며 상호 인증을 위한 구체적인 절차는 생략하기로 한다.
235 과정에서 USIM 중앙 센터(180)는 USIM 센터(191)로 확인(confirm) 메시지를 전송한다. 확인 메시지를 통해 MID를 가진 단말(110)에 대한 USIM 중앙 센터(191)의 요청을 USIM 센터(191)에서 잘 처리했음을 알릴 수 있다. 또한 확인 메시지를 통해 상호 인증이 성공적임을 알릴 수 있다. 이후 236 과정에서는 경우 2(case 2), 경우 3(case 3)에 따를 때에는 보안키(Key) 혹은 보안 마스터키(Key) 값이 AUC/HSS/HLR(121)에서 생성 혹은 변경되었으므로 USIM 센터(191)에 이들 보안키/ 보안마스터키 값을 저장할 수 있다. 또한 MID와 관련하여 사업자 내에서 할당한 보안 관련 정보를 저장하는 기능을 USIM 센터(191)에 둔다면 USIM 센터(191)는 MID, 보안값, IMSI, 보안키/보안마스터키, 프로파일을 저장할 수 있다.
이후 237 과정에서 USIM 센터(191)는 MID를 OTA 서버(182)로 송신할 수 있다. 실시 예에 따라 USIM 센터(191)는 보안값, IMSI, 보안키/보안 마스터키, 프로파일 중 어느 하나 이상을 OTA 서버(182)로 더 송신할 수 있다. 또한, 219-3과정이 수행되어 TA ID 리스트 정보가 결정된 경우에는 USIM 센터(191)는 TA ID 리스트를 OTA 서버(182)로 전송한다.
만일 상기 219-2, 219-3과정에서 USIM 센터(191)가 초기 정보 제공을 위해 사용될 MME를 선정하는 기능을 수행하지 아니하였거나 OTA 서버(182)가 MME 선정 기능을 제공할 수 다면 237-2와 237-3과정에서 OTA 서버(182)가 MME 선정 기능을 수행할 수도 있다. 즉 237-2 과정에서 OTA서버(182)는 PLMN ID 나 단말(110)의 위치 정보, 단말(110)이 접속한 네트워크의 정보 중 어느 하나 이상을 이용하여 단말이 접속했던 MME, 또는 단말이 접속했던 MME와 연결된 MSC를 결정할 수 있다. 또한 OTA서버(182)는 상술한 정보를 이용하여 어느 MME, 또는 어느 MSC가 단말을 위해 초기 정보 제공 서비스를 전달해 줄지를 결정할 수 있다. 본 실시 예에서는 단말이 접속했던 MME, 그 MME와 연결된 MSC에서 단말을 위해 초기 정보 제공 서비스를 전달해주는 것을 예로 들었다. 다만, 이러한 방법 이외에도 다양한 변형이 가능하다. 즉 이러한 선택의 방법은 단말이 접속한 네트워크의 사업자에게서 서비스를 받는지 아니면 다른 사업자에게서 서비스를 받는지에 따라 다양한 변형이 가능하다. 이후 237-3과정에서 OTA서버(182)는 트래킹 에어리어(tracking area: 단말의 위치 등록 지역)의 식별자(identity: 이후 ID 로 표기) 리스트(list)(이후 TA ID 리스트로 표기) 등의 정보를 결정할 수도 있다. 트래킹 에어리어는 MME가 어느 eNB로 초기 정보 제공 서비스를 전달할지를 선택하는데 사용된다. 이러한 정보는 이후 239 이후 과정을 통해서 전송될 수 있다.
OTA 서버(182)는 239 과정에서 MID를 단문 서비스 센터(Short message service center: 이하 SMSC 로 표기)(184)에 전송할 수 있다. 실시 예에 따라 OTA 서버(182)는 보안값, IMSI, 보안키/ 보안 마스터키, 프로파일 중 어느 하나 이상을 SMSC(184)로 더 송신할 수 있다. 경우에 따라서는 OTA 서버(182)는 TA ID 리스트를 SMSC(184)로 더 송신할 수 있다.
239-2 과정부터 241-2 과정에서 SMSC(184)는 UE(110)로 MID, 보안값, IMSI, 보안키/보안마스터키, 프로파일, TA ID 리스트를 전송할 수 있다. 239-2 과정부터 241-2 과정의 절차는 여러 절차로 구성된다. 이 과정들의 큰 흐름에 따르면 SMSC(184)가 Mobile Switching Center(이하 MSC로 표기)(188)로 MID, 보안값, IMSI, 보안키, 프로파일 등 관련 정보 및 파라미터를 전송한다. 단말(110)이 서비스 받고자 하는 네트워크가 서킷 스위치(Circuit Switched: 이하 CS 로 표기) 데이터 서비스 네트워크라면이러한 관련 정보 및 파라미터가 MSC(188)를 통해서 UE(110)으로 전송된다. 혹은 단말(110)이 서비스 받고자 하는 네트워크가 패킷 데이터(packet data) 서비스를 하는 패킷 스위치(Packet Switched: 이하 PS 로 표기) 데이터 서비스 네트워크라면 이러한 관련 정보 및 파라미터가 SMSC(184), MSC(188), MME(114)를 거쳐UE(110)로 전송된다. 구체적 절차는 다음과 같다.
이하 239-2 내지 239-5 의 과정은 선택적으로 수행될 수 있다.
239-2 과정에서 SMSC(184)는 GMSC(187)로 MID를 송신한다. 실시 예에 따라 SMSC(184)는 보안값, IMSI, 보안키/보안 마스터키, 프로파일, TA ID 리스트 중 어느 하나 이상을 GMSC(187)로 더 송신할 수 있다. 이후 239-3 과정에서 GMSC(187)은 HSS(121)로 MSISDN을 송신한다. 단계 239-4에서 GMSC(187)은 해당 MSC의 주소 MSCA를 HSS(121)로부터 수신한다. 이후 239-5 과정에서 GSMC(187)은 해당되는 MSC(188)로 MID를 송신한다. 실시 예에 따라 GSMC(187)은 보안값, IMSI, 보안키/보안 마스터키, 프로파일, TA ID 리스트 중 어느 하나 이상을 MSC(188)로 더 전송할 수 있다. 이후 239-6과정에서 MSC(188)은 MME(114)로 MID를 송신한다. 실시 예에 따라 MSC(188)은 보안값, IMSI, 보안키/보안 마스터키, 프로파일, TA ID 리스트 중 어느 하나 이상을 전송한다.
239-7 과정에서 MME(114)는 어느 eNB 로 수신한 정보를 포워딩(forwarding) 할지를 결정한다. MME(114)는 그 결정을 위해 수신한 TA ID 리스트를 이용할 수 있다. 혹은 MME(114)는 본 실시 예와 같이 단말(110)이 접속했을 때 이용한 eNB(112)와 MME(114)가 있는 경우 그 결정을 위해 접속 시 이용했던 eNB 를 고려할 수 있다. 241-1 과정에서 MME(114)는 MID와 보안 값(security value)을 eNB(112)로 전송한다. 241-2 과정에서 eNB(112)는 UE(110)으로 MID와 보안 값을 전송할 수 있다.
243 과정에서 UE(110)는 수신한 상기의 정보가 정당한 UE(110) 자신으로부터 전송된 요청에 의한 것인지 보안 값(security value)를 이용하여 검증할 수 있다. 243-2과정에서 UE(110)은 보안값 검증이 성공했음을 eNB(112)에게 알릴 수 있다. 알림 메시지에는 MID가 포함될 수 있다. 243-3 과정에서 eNB(112)는 MME(114)에게 단말(110)에서 보안값 검증이 성공했음을 알릴 수 있다. 알림 메시지에는 MID가 포함될 수 있다. 243-2 내지 243-3 의 과정은 선택적으로 수행될 수 있다.
243-4 과정에서 MME(114)는 이후 통신 및 검색을 위해 HSS(121)의 데이터 베이스의 프라이머리 서치 키(search key)를 갱신할 수 있다. 243-4 과정은 HSS(121)에서 UE(110) 관련 정보를 효과적으로 검색하여 해당 UE(110) 와 UE(110)에 해당되는 HSS의 데이터 베이스의 동기화를 실현하고 검색을 용이하기 위한 것이다. HSS의 데이터 베이스를 어떤식으로 구현하느냐에 따라 필요한 과정일 수도 있고 필요하지 않은 과정일 수도 있다. 이후 243-5 과정에서 MME(114)는 eNB(112)로 MID를 송신할 수 있다. 실시 예에 따라 MME(114)는 eNB(112)로 보안값, IMSI, 보안키/ 보안마스터키, 프로파일, TA ID 리스트, MSISDN 중 어느 하나 이상을 더 전송할 수 있다. 이후 eNB(112)는 243-6 과정에서 UE(110)로 MID를 송신할 수 있다. 실시 예에 따라 eNB(112)는 보안값, IMSI, 보안키/ 보안마스터키, 프로파일, MSISDN 중 어느 하나 이상을 전송한다. 이때는 페이징과 같은 방법이 사용될 수 있다.
이후 245 과정에서 상기 정보를 수신한 UE(110)는 프로파일, IMSI, 보안키/보안마스터키, MSISDN 중 어느 하나 이상을 저장한다. 247 과정에서 USIM(170)은 ME(111)에 단말의 등록(ATTACH) 과정을 트리거링(triggering) 한다. 249, 251 과정에서 UE(110)는 등록(ATTACH) 메시지를 eNB(112)를 통해 MME(114)로 전송한다. 등록 메시지에는 단말 식별자로서 IMSI가 포함될 수 있다. 이후 259 과정과 261 과정에서 MME(114)는 eNB(112)를 통해 UE(110)으로 등록 승인(ATTACH ACCEPT) 메시지를 송신한다. 한편 등록(ATTACH) 과정과 관련하여서는 여러 절차가 종래에 정의 되어 있는 바 본 발명에서는 본 발명에서 변경되는 부분을 위주로 설명을 기술하였다.
도 6A 및 도 6B은 본 발명의 일 실시 예에 따른정보 제공(Provisioning) 과정의 흐름도 이다. 도 6A 및 도 6B를 합쳐서 도 6이라고 칭한다. 도 6의 이전 과정은 상기의 도 3 내지 도 5B 의 전반부 절차(procedure) 즉 도 3 이나 도 4A, 도 4B의 어느 한 부분과 같으며, 도 6도 도 5A 및 도 5B의 과정과 유사한 바, 차이가 나는 부분인 339-7 과정 내지 342-6 과정 과정에 주안점을 두어 설명하기로 한다.
339-7 과정에서 MME(114)는 어느 eNB로 수신한 정보를 포워딩(forwarding) 할지를 결정한다. 이 결정을 위해 MME(114)는 수신한 TA ID 리스트를 이용할 수 있다. 또한 본 실시 예와 같이 단말이 접속했을 때 이용한 eNB와 MMME가 있는 경우 MME(114)는 접속 시 이용했던 eNB를 고려하여 어느 eNB로 수신한 정보를 포워딩할지 결정할 수 있다. 342-1 과정에서 MME(114)는 MID를 eNB(112)로 송신한다. 실시 예에 따라, MME(114)는 초기 정보 제공(initial provisioning)을 위해서 정보를 보내겠다는 지시자(indication), MID, 보안값, IMSI, 보안키/보안 마스터키, 프로파일, TA ID 리스트, MSISDN을 eNB(112)로 더 전송할 수 있다. 상기 342-1 과정의 지시자는 초기 정보 제공을 위해 정보를 보내겠다는 의미로 사용될 수 있는 파라미터이다. MME(114)가 342-1 과정에서와 같이 초기 정보를 제공하는 메시지를 MME(114)에 연결된 eNB(112)들에 보낼지 아니면, TA 리스트 등에 근거하여 특정 eNB에 보낼지는 실시 예에 따라 달라질 수 있다. 342-2 과정에서 eNB(112)는 UE(110)로 초기 정보 제공 메시지를 받을 수 있도록 아이들 상태(idle mode)의 UE(110)를 페이징(paging)한다. 한편 342-3 과정에서 eNB(112)는 UE(110)으로 MID를 송신할 수 있다. 실시 예에 따라 eNB(112)는 UE(110)으로 보안값, IMSI, 보안키/ 보안마스터키, 프로파일, MSISDN 중 어느 하나 이상을 더 송신할 수 있다. 342-3과정에서는 eNB(112)는 UE(110)으로 이러한 정보를 시스템 인포메이션 메시지(system information message)등을 브로드캐스트하는 방법을 통해 전송할 수 있다. 342-3-2 과정에서는 UE(110)가 수신한 상기의 정보가 UE(110)가 정당한 UE(110) 자신으로부터 전송된 요청에 의한 것인지 보안값(security value)를 이용하여 검증한다.
342-4 내지 342-5 의 과정은 선택적으로 수행될 수 있다.
342-4과정에서 UE(110)은 보안값 검증이 성공했음을 eNB(112)에게 알린다. 알림 메시지에는 MID가 포함될 수 있다. 342-5 과정에서 eNB(112)는 MME(114)에게 단말(110)에서 보안값 검증이 성공했음을 알린다. 알림 메시지에는 MID가 포함될 수 있다. 342-6 과정에서 MME(114)는 이후 통신 및 검색을 위해 HSS(121)의 데이터 베이스의 프라이머리 서치 키(search key)를 갱신할 수 있다. 342-6 과정은 HSS(121)에서 UE(110) 관련 정보를 효과적으로 검색하도록 하기 위한 것이다. 342-6 과정은 UE(110)와 UE(110)에 해당되는 HSS(121)의 데이터 베이스의 동기화를 실현하고 검색을 용이하게 하기 위한 것으로 HSS(121)의 데이터 베이스를 어떤 식으로 구현하느냐에 따라 불필요할 수도 있는 선택적 과정이다.
도 7A 내지 도 8B는 본 발명의 일 실시 예 에 따른 정보 제공(Provisioning) 과정의 흐름도 이다.
단계 601에서 정보 제공이 트리거링된다 사용자는 단말(110)의 인터페이스 등을 이용하여 사업자를 선정하는 조작을 수행할 수 있다. 사용자는 단말 혹은 USIM 을 구입한 후 최초로 사업자를 선정하거나 혹은 본 발명의 일부 프로세스를 선택적으로 이용하여 사업자를 변경할 수 있다. 또한 사용자는 해당 사업자의 어떤 네트워크를 이용해서 서비스를 받고 싶어하는지 등을 입력할 수 있다. 즉 같은 사업자 내에서라도 3G 망을 이용할 지 혹은 EUTRAN 등을 이용할지를 입력할 수 있다. 단말(110)은 해당 사업자로부터 서비스를 받기 위해 정보 제공 과정을 시작(initiation)한다. 이러한 과정은 사용자가 UE(110)의 사용자 인터페이스(interface) 등을 선택하는 방식으로 수행될 수 있다. 사용자의 선택 입력은 UE(110) 중 특히 ME(111)를 통해 이루어질 수 있다.
단계 603에서 USIM(170)은 정보 제공 트리거링 응답(provision triggering response)를 ME(111)에 송신한다. 정보 제공 트리거링 응답(provision triggering response)은 단계 601의 정보 제공 트리거링(provision triggering)에 대한 응답이다.
이와 같이 정보 제공 시작 과정은 ME(111)에서 USIM(170)으로 정보 제공 트리거링을 송신하는 601 과정과 USIM(170)이 정보 트리거링 응답(provision triggering response)을 ME(111)로 송신하는 단계 603으로 구성된다. 특히 603 과정은 USIM(170)에 있는 정보를 읽어 정보 제공을 위해서 UE(110)가 네트워크 등을 통해서 보낼 정보를 추출하는 단계를 포함한다. 또한, 단계 603은 해당 정보를 네트워크로 송신하기 위해 준비하는 과정을 포함한다.
605, 607 과정에서 정보 제공 요청(provisioning request) 메시지가 단말(110)로부터 기지국(eNB-VNO 즉 여기서는 visited Network 에 있는 113)을 거쳐서 MME(MME-VNO 여기서는 visited Network 에 있는 115)로 송신된다. 정보 제공 요청 메시지는 eNB-VNO(113), MME-VNO(115)를 통해서 USIM 중앙 센터(180)로 송신된다. UE(110)가 해당 사업자의 망에서 서비스를 받기 위해서는 보안 정보 또는 식별자 등 기타 정보가 필요하다. 단계 605 및 607이 수행될 때에는 UE(110)가 해당 사업자의 망에서 서비스를 받기 위한 정보가 갖추어지지 않은 상태이다. 따라서 단말(110)은 초기 정보를 요청하는 상황이라면 USIM 중앙 센터(180)로의 연결을 위해 제한된 모드(limited mode)로 접속(access)이 가능한 상황이다. 그리고 사업자 변경 등의 과정이라면 통상의 통신 모드도 가능하다고 할 것이다.
본 실시 예에서는 단말(110)이 가입하고자 하는 사업자 망과 다른 사업자 망 즉 방문 네트워크(visited network)의 기지국(113)과 MME(115)를 통하여 신호를 전송하는 경우를 예로 들었다. 이 경우 단말(110)에게는 사업자 망에서 활용되는 보안 키나 식별자 등의 정보가 있지 않은 상태이므로 방문 네트워크에 대해 USIM 중앙 센터(180)로의 연결(connection)을 위한 서비스 등 극히 제한된 상태의 접속이 허용된다.
정보 제공 요청(provisioning request) 메시지는 MID(mobile identity: 이하 MID로 표기)를 포함할 수 있다. 실시 예에 따라, 정보 제공 요청 메시지는 보안 값(Security Value), 보안 크리덴셜(Security Credential), PLMN ID(Public Land Mobile Network identity: 이하 PLMN ID 로 표기, PLMN identity), 네트워크 타입(Network Type), 단말의 위치 정보(location:이하 loc.으로 표기) 중 어느 하나 이상을 더 포함할 수 있다.
MID 는 USIM 중앙 센터(180)가 해당 단말(110) 또는 USIM/SIM/UICC(170) 등을 식별하기 위해 사용되는 식별자다. MID는 단말(110) 즉 USIM/SIM/UICC(170)의 제조업자(vendor)에 의해 할당되며, USIM 중앙 센터(180)에서 해당 단말(110)을 식별하기 위해 사용된다. 상기에서 USIM(Universal Subscriber Identity Module: 범용 사용자 식별 모듈), SIM(Subscriber Identity Module: 사용자 식별 모듈), UICC(Universal Integrated Circuit Card: 범용 통합 서킷 카드) 등은 단말의 가입자 식별을 위한 가입자 인증 정보 등이 담긴 모듈 혹은 카드를 말한다.
정보 제공 요청 메시지는 이러한 MID 정보와 함께 보안 관련 정보들도 포함할 수 있다. 대표적인 보안 관련 정보로는 보안값(security value)과 보안 크리덴셜(credential)이 있다.
보안값은 UE(110)가 정보 제공 요청(provisioning request) 메시지를 송신하고 관련 메시지를 수신했을 때 사용된다. UE(110)는 자신이 송신한 보안 값과 수신한 메시지를 비교한다. 이러한 비교를 통해 수신한 메시지가 다른 공격자나 기타 부적절한 노드 등으로부터 수신된 잘못된 메시지인지 아닌지 검증할 수 있다. 즉,보안값은 수신 메시지가 자신이 요청한 요청에 대한 응답으로 발송된 메시지인지를 위해 검증하는 데 사용된다. 보안 능력(security capability)과 같이 단말이 지원하는 보안 알고리즘 값 또는 단말(110)이 생성해서 전송한 난수(random number) 등 단말을 검증할 수 있는 다양한 값들이 보안값으로서 활용될 수 있다.
일반적으로 보안 크리덴셜(Security credential)이라고 하면 퍼블릭 키 인프라스트럭쳐(public key infrastructure: 이하 PKI 로 표기) 보안 방법에서 공개키(public key)와 비밀키(secret key) 쌍(pair), 인증서(certificate) 등의 정보로 구성된다. 다만, 본 발명에서 보안 크리덴셜은 그러한 정보뿐 아니라 단말이 정당한 단말인지 인증하기 위해 USIM 인증 센터(USIM authentication center, 190)에서 검증(verification)하는데 사용될 수 있는 정보를 널리 일컫는 표현이다.
만일 PKI 방법이 사용되었다면 일반적으로 사용되는 방식으로 인증 관련 값을 보낸 단말(110) 혹은 USIM(170)을 USIM 인증 센터(190)에서 인증하는데 보안 크리덴셜이 사용될 수 있다. 인증 키 및 동의 프로토콜(Authentication and Key Agreement Protocol: 이하 AKA로 표기)에서 값을 보낸 상대 노드를 상호 인증(mutual authentication)하는 방식이 이용될 수 있다. 이 경우 AKA 에 관여하는 벡터 값 등이 보안 크리덴셜이 될 수 있다. 난수(random number)와 키 값으로 검증하는 방법이 사용된 경우 난수 값이 보안 크리덴셜이 될 수 있다. 이외에도 다양한 후보 기술이 가능하다. 이하의 실시 예에서는 USIM 인증 센터(190)가 단말(110)을 정당한 사용자로 인증하는데 사용할 수 있는 보안 정보라면 이를 보안 크리덴셜이라고 칭할 수 있다.
PLMN ID(Public Land Mobile Network identity: 이하 PLMN ID 로 표기, PLMN identity)는 서빙 네트워크 ID(Serving network ID)라고도 불린다. 가입자가 가입하고자 하는 사업자 네트워크의 국가정보, 사업자 네트워크 관련 정보를 USIM 센터(191)에 제공하기 위해서 UE(110)는 PLMN ID등을 이용하여 가입자가 서비스 받고자 하는 네트워크의 정보를 제공할 수 있다. 네트워크 타입(network type)은 서비스 받고자 하는 네트워크 타입(network type)의 정보이다. 네트워크 타입은 무선구간이 EUTRAN(Evolved UMTS Terrestrial Radio Access Network)인 EPS(Evolved Packet System) 네트워크, UTRAN(UMTS Terrestrial Radio Access Network), GERAN(GSM/EDGE Radio Access Network) 등의 사업자 망의 유무선 구간의 네트워크 타입 정보가 될 수 있다. 네트워크 타입이 정보 제공 요청 메시지에 포함되면 단말(110)은 해당 사업자가 제공하는 다양한 네트워크 타입 중에서 선택적으로 어느 하나의 네트워크 타입을 이용할 수 있다. 즉, 가입자가 받을 서비스에 대한 선택의 폭이 넓어진다. 단말(110)의 위치 정보는 이후 단말(110)에게 서비스를 제공할 MME(114)나 MSC(188)을 결정하거나 단말에게 서비스를 제공할 트래킹 에어리어(tracking area)를 결정하는데 사용될 수도 있다.
609 과정에서 MME-VNO(115)는 정보 제공 검증 요청(Provisioning Verification Request) 메시지를 USIM 중앙 센터(180)로 송신한다. UE(110)로부터 정보 제공 요청(Provisioning Request) 메시지를 수신한 MME-VNO(115)는 정보 제공 검증 요청(Provisioning Verification Requst) 메시지를 USIM 중앙 센터(180)로 송신한다. 정보 제공 검증 요청 메시지는 MID(mobile identity: 이하 MID 로 표기)를 포함할 수 있다. 실시 예에 따라 정보 제공 검증 요청 메시지는 보안 값(Security Value), 보안 크리덴셜(Security Credential), PLMN ID(Public Land Mobile Network identity: 이하 PLMN ID 로 표기, PLMN identity), 네트워크 타입(Network Type), 단말의 위치 정보(location:이하 loc. 으로 표기) 중 어느 하나 이상을 더 포함할 수 있다.
상기 실시 예에서는 UE(110)가 가입하고자 하는 사업자를 선택하여 정보 제공 요청 메시지를 송신하는 시점에 서비스를 받고자 하는 네트워크 타입을 함께 결정하여 보내는 것을 예로 들었다. 다만, UE(110)가 접속한 사업자가 UE(110)가 가입하고자 하는 사업자라면 변형 예가 적용될 수 있다. 그 변형 예에 따르면 UE(110)가 정보 제공 요청 메시지를 송신한 이후인 609 과정에서 MME가 USIM 중앙 센터로 정보 제공 검증 요청 메시지를 보낼 때 MME가 속한 네트워크 타입(network type) 등의 정보도 함께 제공하는 변형이 가능하다. 본 실시 예처럼 단말(110)이 가입하고자 하는 네트워크와 단말(110)이 정보 제공 요청 메시지를 보내는 시점에 접속한 네트워크가 다른 사업자에 속한 경우에도 네트워크 타입 정보는 단말이 접속한 방문 네트워크에 있는 MME-VNO(115)로부터 제공될 수 있다. 다만, 그러한 방식은 단말(110)이 접속한 방문 네트워크가 단말(110)이 가입하고자 하는 네트워크와 그 서비스에 대한 정보 교환을 통해 상대편 홈 망에서 어떤 네트워크 타입이 존재하는지를 알 수 있는 경우에만 적용할 수 있다. 네트워크 타입은 EUTRAN(Evolved UMTS Terrestrial Radio Access Network)인 EPS(Evolved Packet System)네트워크, UTRAN(UMTS Terrestrial Radio Access Network), GERAN(GSM/EDGE Radio Access Network) 등의 사업자 망의 유무선 구간의 네트워크 타입 중 어느 하나가 될 수 있다. 즉, 변형 예에 따르면 MME는 단말로부터 전송된 MID, 보안값, 보안 크리덴셜, PLMN ID와 더불어 네트워크 타입(network type)을 함께 제공하여 USIM 중앙 센터(180로 전송한다.
USIM 중앙 센터(180)는 이후 611 과정에서 USIM 인증 센터(USIM authentication center)(190)로 정보 제공 검증 요청(Provision Verification Request) 메시지를 송신한다. 정보 제공 검증 요청 이 메시지는 MID를 포함한다. 실시 예에 따라 정보 제공 검증 요청 메시지는 보안 크리덴셜, PLMN ID, 네트워크 타입 중 어느 하나 이상을 더 포함할 수 있다. USIM 중앙 센터는 정보 제공 검증 요청 메시지를 통해 해당 MID가 사업자 망 접속이 가능한 정당한 권리자인지에 대한 검증을 요청한다. 한편 이러한 정보 제공 요청에 대한 검증(verification)에 있어서는여러 가지 보안 크리덴셜이 이용될 수 있다.
USIM 인증 센터(190)와 UE(110)가 PKI 시스템을 이용하고 있다면 PKI에서 사용하는 공개키와 비밀키가 보안 크리덴셜로서 이용된다. 즉, USIM 인증 센터(190)는 공개키와 비밀키를 이용해서 인증 관련 값을 보낸 단말(110) 혹은 USIM(170)을 인증한다. 인증 키 및 동의 프로토콜(Authentication and Key Agreement Protocol: 이하 AKA로 표기)에서 값을 보낸 상대 노드를 상호 인증(mutual authentication)하는 방식이 이용될 수 있다. 이 경우 AKA 에 관여하는 벡터 값 등이 보안 크리덴셜이 될 수 있다. 난수(random number)와 키 값으로 검증하는 방법이 사용된 경우 난수 값이 보안 크리덴셜이 될 수 있다. 이외에도 다양한 후보 기술이 가능하다. 본 실시 예에서는 USIM 인증 센터(190)가 단말(110)을 정당한 사용자로 인증하는데 사용할 수 있는 보안 정보라면 이를 보안 크리덴셜이라고 칭할 수 있다. 보안 크리덴셜을 활용하는 구체적인 절차(procedure)는 구체적으로 언급되지 않았다. 다만 611 과정과 613 과정에서 USIM 중앙 센터(180)가 USIM 인증 센터(190)로 정보 제공 검증 요청 메시지를 송신하고, 그에 응답하는 정보 제공 검증 반응 메시지를 USIM 중앙 센터(180)가 수신하는 것으로 절차를 표기하였다. 하지만, 이러한 611 과정과 613 과정에서 이용되는 보안 크리덴셜로 명명된 보안 파라미터는 PKI 방식 또는, AKA 방식이 이용되는지에 따라 달라질 수 있다.다만 어느 경우에도 611 과정과 613 과정에서는 보안 크리덴셜로 명명된 보안 파라미터와 식별자(identity) 등의 UE(110)가 제공하는 정보에 의해서 정당한 UE(110)의 접근이 판별된다. 이러한 판별 과정은 본 발명과 같은 발명에 대해 통상의 기술 지식을 가진 기술자라면 다양한 형태로 변형이 가능하다. 613 과정에서 USIM 인증 센터(190)는 정보 제공 인증 응답 메시지를 USIM 중앙 센터로 송신한다. 어느 단말로부터 온 정보 제공 검증 요청에 대한 검증이 성공한 것인지를 식별할 수 있도록 정보 제공 인증 응답 메시지는 MID를 포함할 수 있다.
이하에서 설명하는 613-2 내지 613-16의 과정은 선택적으로 수행될 수 있다.
상술한 바와 같이 USIM 중앙 센터(180)는 USIM 인증 센터(190)로부터 정보 제공 검증 요청에 대한 응답 메시지를 수신한다. 그러면 단계 613-2에서 USIM 중앙 센터(180)는 MME(115)로 정보 제공 응답 메시지를 송신한다. 정보 제공 응답 메시지는 MID를 포함할 수 있다.
상기의 검증 과정을 거친 후 613-11 과정에서 방문자 망의 MME-VNO(115)는 MSC-VNO(188-2)에 위치 등록(location registration request) 메시지를 송신한다. 위치 등록 메시지는MID 및/또는 MME의 식별자를 포함할 수 있다. 이후 613-12 과정에서 MSC-VNO(188-2)는 MID와 MME의 식별자의 매핑을 저장한다. 613-13 과정에서 MSC-VNO(188-2)는 HSS-VNO(121-2)로 MID를 송신한다. 실시 예에 따라 MSC-VNO(188-2)는 MSC의 주소 정보(MSCA)를 더 송신할 수 있다. 613-14 과정에서 HSS-VNO(121-2)는 MID 와 MSCA 의 매핑을 저장한다. 613-15 과정에서 HSS-VNO(121-2)는 MSISDN을 생성할 수 있다. 여기서 생성된 MSISDN은 이후 CS 네트워크에서 통신을 위해 식별자로서 이용.될 수 있다. 이 MSISDN은 초기 정보를 전달하는데 사용된다. 613-16 과정에서 HSS-VNO(121-2)는 MID를 MSC-VNO(188-2)로 송신한다. 실시 예에 따라 HSS-VNO(121-2)는 MSISDN, MSCA 중 어느 하나 이상을 MSC(188-2)로 더 전송할 수 있다.
이후 615 과정에서 USIM 중앙 센터(180)는 USIM 센터(191)로 MID를 송신한다. 실시 에에 따라 USIM 중앙 센터(180)는 보안값, PLMN ID, 네트워크 타입, 보안 중앙 센터(이하 Sec-Central center로 표기) 검증 값, 단말의 위치 정보(location: 이하 loc.으로 표기) 중 하나 이상을 더 송신할 수 있다. 보안 중앙 센터 검증 값은 USIM 중앙 센터(180)과 USIM 센터(191) 간의 상호 인증 및 보안을 위하여 사용된다. 즉, 보안 중앙 센터 검증 값은 USIM 센터(191)가 USIM 중앙 센터(180)를 검증하기 위해 사용된다. Sec-central center 검증 값은 검증을 위해 PKI 시스템이 이용될 때에는 퍼블릭 키/ 비밀키 등을 포함한 값일 수 있다. 또한 Sec-central center 검증 값은 상호 인증을 위한 방법이 이용될 때는 공유키(shared key)로 암호화하여 전송하고 해독하는 과정 등을 거치는 난수(random number)가 될 수 있다. 또한, Sec-central center 검증 값은 AKA 방법이 이용될 경우는 인증 토큰 값이 될 수도 있다. Sec-central center 검증 값은 기타 다양한 값이 될 수 있으며 상호 인증을 위한 구체적인 절차는 생략하기로 한다.
617 과정에서 파라미터를 수신한 USIM 센터(191)는 Sec-Central center 검증 값을 검증한다.
한편 619 과정에서 USIM 센터(191)는 보안키를 생성할 수 있다. 이러한 방식은 일 실시 예(case 1)로서 이 방식에 따르면USIM 센터(191)가 보안키를 생성(generate)하고 이를 배포(distribute)하는 기능을 가진다. 한편 또 다른 일 실시 예(case 2)에 따르면 USIM 센터(191)가 보안키 생성 기능을 가지지 않는다. 이러한 실시 예에 따르면 AUC/HSS/HLR(121)이 해당 기능을 수행할 수 있다. 즉 AUC/HSS/HLR(121)이 보안키를 생성하고 보안키(Key)가 그 자체로서 해당 사업자에게 할당된 마스터 키(루트키: master key, root key) 그 자체 형태로 사용될 수도 있다. 또한 또 다른 일 실시 예(case 3)에 따르면 USIM 센터(191)가 보안키를 생성하고 사업자에 할당하되, 사업자가 사업자 별로 보안이 강화된 키인 보안 마스터키를 생성하는데 이 보안키가 시드(seed)로서 활용 될 수도 있다. 즉, USIM 센터(191)가 보안키(Key)를 생성한다. 그리고 사업자망의 AUC/HSS/HLR(121)가 그 보안키(Key)를 시드로 하여 사업자 망에서 사용되는 마스터 키(master key) 역할의 또 다른 유도된 마스터키(Kdm: derived master key)를 생성 할 수도 있다. 상기에서 마스터 키(master key)는 보안키인 루트 키(root key) 또는 유도된 마스터키 Kdm(derived master key) 등이 될 수 있다. 이러한 마스터키를 기반으로 이후 해당 사업자 네트워크가 인증키(KASME)를 생성한다. 또한 해당 사업자 네트워크는 상기 인증키를 바탕으로 NAS 무결성키(KNASint)와 NAS 암호화키(KNASenc)를 생성한다.
619-2 과정에서 USIM 센터(191)는 단말(110)이 접속했던 MME, 또는 단말이 접속했던 MME 와 연결된 MSC 혹은 어느 MME, 또는 어느 MSC 가 단말을 위해 초기 정보 제공 서비스를 전달해 줄지를 결정할 수 있다. USIM 센터(191)는 이러한 결정을 위해 PLMN ID나 단말(110)의 위치 정보, 단말(110)이 접속한 네트워크의 정보 중 어느 하나 이상을 이용할 수 있다. 본 실시 예에서는 단말(110)이 접속했던 MME, 그리고 접속했던 MME 와 연결된 MSC가 단말(110)을 위해 초기 정보 제공 서비스를 제공한다. 하지만, 이러한 방법 이외에도 다양한 변형이 가능하다. 즉 이러한 선택의 방법은 단말이 접속한 네트워크의 사업자에게서 서비스를 받는지 아니면 다른 사업자에게서 서비스를 받는지에 따라 다양한 변형이 가능하다.
이후 619-3과정에서 USIM 센터(191)는 트래킹 에어리어(tracking area: 단말의 위치 등록 지역)의 식별자(identity: 이후 ID 로 표기) 리스트(list)(이후 TA ID 리스트로 표기)를 결정할 수 있다. 트래킹 에어리어는 MME가 어느 eNB로 초기 정보 제공 서비스를 전달할지를 선택하는데 사용된다. TA ID 리스트 등의 정보는 이후 637 과정 혹은 639 과정 이후의 과정 등을 통해서 전송될 수 있다. MME를 선정하는 기능은 USIM 센터(191)가 가질 수도 있다. 다만, 경우에 따라서는 중앙 OTA 서버(182-2)가 그러한 기능을 수행할 수도 있으며, 이러한 경우에 대해서 이후 637-2, 637-3 의 과정에서 설명하기로 한다.
일 실시 예(case 1)로서 619 과정에서 USIM 센터(191)가 보안키를 생성, 저장 하였다면 621 과정에서 생성한 보안키와 함께 단말 또는 USIM/UICC/SIM 의 식별자인 MID, 보안값, PLMN 식별자인 PLMN ID, 네트워크 타입 중 어느 하나 이상을 단말(110)이 가입하고자 하는 사업자망의 MME(114)로 전송한다. 이후 623 과정에서 MME(114)는 MID, 보안값을 HSS/HLR(121)로 전송할 수 있다. 만일 USIM 센터(191)가 보안키를 생성하였다면 MME(114)는 HSS/HLR(121)로 보안키도 함께 전송한다. 625 과정에서 AUC/HSS/HLR(121)는 단말(110)의 식별자인 IMSI를 생성하여 저장한다. 만일 619 과정에서와 같이 USIM 센터(191)가 보안키(Key)를 생성하지 않았다면 또 다른 일 실시 예(case 2)에 따라 AUC/HSS/HLR(121)는 보안키를 생성하여 저장한다. 또한 625 과정에서 AUC/HSS/HLR(121)는 단말이 CS 네트워크(Circuit Switching(CS) Network)에서 통신하는데 필요한 MSISDN 등을 생성하여 저장할 수 있다. 만일 단말(110)이 처음 접속한 네트워크와 단말(110)이 이후에 서비스 받을 네트워크가 상이하다고 가정한다. 이 경우 613-15 과정에서 생성되는 MSISDN는 단말(110)에 정보 제공을 위한 정보 전달을 위해 사용되고, 625 과정에서 할당되는 MSISDN은 단말의 향후 네트워크에서의 식별자로서의 정보 이므로 그 성격을 달리할 수 있다. 한편 또 다른 일 실시 예에 따르면, 다른 사업자 망이라 할지라도, 단말(110)에 정보 제공을 위해 정보 전달을 위해 사용되는 MSISDN과, 단말이 향후 네트워크에서 사용되는 MSISDN을 동일하게 설정할 수도 있다. 상기 예(case 1)와 달리 경우 2(case 2)는 AUC/HSS/HLR(121)에서 보안키를 생성하는 경우이다. 또 다른 일 실시 예(경우 3: case 3)로는 USIM 센터(191)가 전송해준 보안키(Key)를 시드(seed)로 하여 유도된 마스터 키(Kdm: derived master key)를 생성하여 그 유도된 마스터 키(Kdm)가 보안을 위한 보안 마스터키로 사용될 수도 있다. 따라서 이후 627, 629, 636 과정에서 전송되고 저장되는 보안키는 경우 1(case 1)에 따르면 USIM 센터(191)에서 생성한 보안키 이다. 하지만, 627, 629, 636 과정에서 전송되고 저장되는 보안키 경우 2(case 2)에 따르면 AUC/HSS/HLR(121)이 생성한 키 이다. 627, 629, 636 과정에서 전송되고 저장되는 보안키는 경우 3에 따르면 USIM 센터(191)로부터 수신한 키를 시드로 하여 AUC/HSS/HLR(121)에서 유도하여 생성한 보안 마스터키이다.
627 과정에서 AUC/HSS/HLR(121)는 MID를 MME(114)로 송신한다. 실시 에에 따라, AUC/HSS/HLR(121)은 IMSI, 보안키(경우 2)/ 보안 마스터키(경우 3) 그리고 프로파일(profile) 정보를 MME(114)로 더 전송할 수 있다. 프로파일(profile)이란 단말(110) 또는 USIM/UICC/SIM 등을 해당 사업자 망에 맞도록 구성(configuration) 하는데 필요한 정보이다. 프로파일은 인증 과정인 AKA(authentication and key agreement)에서 보안 기능(function)을 의미하는 milenage 알고리즘, SNOW(스트림 암호화:a new word stream cipher) 암호화/무결성 보안 알고리즘, AES(Advanced Encryption Standard)암호화/ 무결성 보호를 위한 보안 알고리즘 중 어느 하나 혹은 어느 하나 이상이 될 수 있다. 또한 프로파일은 접속 통제 클래스(access control class) 나, 응급 콜 코드(emergency call codes), 사업자 PLMN 리스트(plmn list), 홈 네트워크 도메인(home network domain) 중 하나 이상의 정보를 포함할 수 있다.
629 과정에서 MME(114)는 USIM 센터(191)로 MID를 송신한다. 실시 예에 따라 MME(114)는 USIM 센터(191)로 IMSI, 보안키(경우 2)/ 보안마스터키(경우 3), 프로파일(profile) 정보, 보안값(security value) 중 어느 하나 이상을 전송한다.
이후 631 과정에서 USIM 센터(191)는 USIM 중앙 센터(180)로 MID를 송신한다. 실시 예에 따라 USIM 센터(191)는 USIM 중앙 센터(180)로 USIM 센터 검증 값(이하 Sec-USIM center 검증 값으로 표기)를 전송할 수 있다. Sec-USIM center 검증 값은 USIM 중앙 센터(180)와 USIM 센터(191) 간의 상호 인증 및 보안을 위하여 사용된다. 즉, Sec-USIM center 검증 값은 USIM 중앙 센터(180)가 USIM 센터(191)를 검증하기 위해 사용된다. 이를 통해 USIM 중앙 센터(180)가 USIM 센터로 송신한, MID에 해당하는 단말(110)에 대한 요청을 USIM 센터(191)에서 잘 처리했음에 대한 것을 알릴 수 있다. 또한, USIM 중앙 센터(180)와 USIM 센터(191) 간의 상호 인증이 수행될 수 있다.
단계 633에서 파라미터를 수신한 USIM 중앙 센터(180)는 Sec-USIM center 검증 값을 검증한다. 633 과정에서, Sec-USIM center 검증 값은 검증을 위해 PKI 시스템이 이용될 때에는 퍼블릭 키/비밀키 등을 포함한 값일 수 있다. 또한 Sec-USIM center 검증 값은 상호 인증을 위한 방법이 이용될 때는 공유키(shared key)로 암호화하여 전송하고 해독하는 과정 등을 거치는 난수(random number)가 될 수 있다. 또한, Sec-USIM center 검증 값은 AKA 방법이 이용될 경우는 인증 토큰 값이 될 수도 있다. Sec-USIM center 검증 값은 기타 다양한 값이 될 수 있으며 상호 인증을 위한 구체적인 절차는 생략하기로 한다.
635 과정에서 USIM 중앙 센터(180)는 USIM 센터(191)로 확인(confirm) 메시지를 전송할 수 있다. 확인 메시지를 통해 MID를 가진 단말(110)에 대한 USIM 중앙 센터(191)의 요청을 USIM 센터(191)에서 잘 처리했음을 알릴 수 있다. 또한, 확인 메시지를 통해 상호 인증이 성공적임을 알릴 수 있다. 이후 636 과정에서 경우 2(case 2), 경우 3(case 3)에 따를 때에는 보안키(Key) 혹은 보안 마스터키(Key) 값이 AUC/HSS/HLR(121)에서 생성 혹은 변경되었으므로 USIM 센터(191)에 이들 보안키/ 보안마스터키 값을 저장할 수 있다. 또한 MID와 관련하여 사업자 내에서 할당한 보안 관련 정보를 저장하는 기능을 USIM 센터(191)에 둔다면 USIM 센터(191)는 MID, 보안값, IMSI, 보안키/보안마스터키, 프로파일을 저장할 수 있다.
이후 637 과정에서 USIM 센터(191)는 MID를 중앙 OTA 서버(182-2)로 송신한다. 실시 예에 따라 USIM 센터(191)는 보안값, IMSI, 보안키/ 보안마스터키, 프로파일 중 어느 하나 이상을 중앙 OTA 서버(182-2)로 송신할 수 있다. 또한, 619-3과정에서와 같이 TA ID 리스트 정보가 결정된 경우에는 TA ID 리스트를 중앙 OTA 서버(182-2)로 전송한다.
만일 상기 619-2, 619-3과정에서 USIM 센터(191)가 초기 정보 제공을 위해 사용될 MME를 선정하는 기능을 수행하지 아니하였거나 혹은 중앙 OTA 서버(182-2)가 그러한 MME 선정 기능을 제공할 수 있다면 637-2와 637-3과정에서 중앙 OTA 서버(182-2)가 MME 선정 기능을 수행할 수도 있다. 즉 637-2 과정에서 중앙 OTA 서버(182-2)는 PLMN ID 나 단말(110)의 위치 정보, 단말(110)이 접속한 네트워크의 정보 중 어느 하나 이상을 이용하여 단말이 접속했던 MME, 또는 단말이 접속했던 MME와 연결된 MSC를 결정할 수 있다. 또한 중앙 OTA 서버(182-2)는 어느 MME, 또는 어느 MSC가 단말을 위해 초기 정보 제공 서비스를 전달해 줄지를 결정할 수 있다. 본 실시 예에서는 단말이 접속했던 MME, 그 MME 와 연결된 MSC에서 단말을 위해 초기 정보 제공 서비스를 전달해주는 것을 예로 들었다. 다만, 이러한 방법 이외에도 다양한 변형이 가능하다. 즉 이러한 선택의 방법은 단말이 접속한 네트워크의 사업자에게서 서비스를 받는지 아니면 다른 사업자에게서 서비스를 받는지에 따라 다양한 변형이 가능하다. 이후 637-3과정에서 중앙 OTA 서버(182-2)는 트래킹 에어리어(tracking area: 단말의 위치 등록 지역)의 식별자(identity: 이후 ID 로 표기) 리스트(list)(이후 TA ID 리스트로 표기) 등의 정보를 결정할 수도 있다. 트래킹 에어리어는 MME가 어느 eNB로 초기 정보 제공 서비스를 전달할지를 선택하는데 사용된다. 이러한 정보는 639 과정 이후의 과정 등을 통해서 전송될 수 있다.
중앙 OTA 서버(182-2)는 639 과정에서 MID를 방문 네트워크의 단문 서비스 센터(Short message service center: 이하 SMSC-VNO로 표기)(184-2)에 송신한다. 실시 예에 따라 중앙 OTA 서버(182-2)는 보안값, IMSI, 보안키/ 보안마스터키, 프로파일 중 어느 하나 이상을 SMSC-VNO(184-2)로 송신할 수 있다. 경우에 따라서는 중앙 OTA 서버(182-2)는 TA ID 리스트를 SMSC-VNO(184-2)로 송신할 수 있다.
639-2 과정 내지 641-2 과정에서 SMSC-VNO(184-2)는 UE(110)로 MID, 보안값, IMSI, 보안키/ 보안마스터키, 프로파일, TA ID 리스트를 전송할 수 있다. 639-2 과정 내지 641-2 과정의 절차는 여러 절차로 구성된다. 이 과정들의 큰 흐름에 따르면 SMSC-VNO(184-2)가 Mobile Switching Center(이하 MSC-VNO로 표기)(188-2)로 MID, 보안값, IMSI, 보안키, 프로파일 등 관련 정보 및 파라미터를 전송한다. 단말(110)이 서비스 받고자 하는 네트워크가 서킷 스위치(Circuit Switched: 이하 CS 로 표기) 데이터 서비스 네트워크라면 이러한 관련 정보 및 파라미터가 MSC-VNO(188-2)를 통해서 UE(110)로 전송된다. 혹은 단말(110)이 서비스 받고자 하는 네트워크가 패킷 데이터(packet data) 서비스를 하는 패킷 스위치(Packet Switched: 이하 PS 로 표기) 데이터 서비스 네트워크라면 이러한 관련 정보 및 파라미터가 SMSC-VNO(184-2), MSC-VNO(188-2), MSC-VNO(188-2), MME-VNO(115)를 거쳐 UE(110)로 전송된다.
구체적 절차는 다음과 같다.
이하 639-2 내지 639-5 의 과정은 선택적으로 수행될 수 있다.
639-2 과정에서 SMSC-VNO(184-2)는 GMSCVNO(187-2)로 MID를 송신할 수 있다. 실시 예에 따라 SMSC-VNO(184-2)는 보안값, IMSI, 보안키/ 보안마스터키, 프로파일, TA ID 리스트 중 어느 하나 이상을 GMSC-VNO(187-2)로 더 송신할 수 있다. 이후 GMSC-VNO(187-2)는 639-3 과정에서 HSS-VNO(121-2)로 MSISDN을 송신할 수 있다. 단계 639-4에서 GMSC-VNO(187-2)은 해당 MSC의 주소 MSCA를 HSS-VNO(121-2)로부터 수신한다. 이후 639-5 과정에서 GSMC-VNO(187-2)는 해당되는 MSC-VNO(188-2)로 MID를 송신한다. 실시 예에 따라 GSMC-VNO(187-2)는 보안값, IMSI, 보안키/ 보안마스터키, 프로파일, TA ID 리스트 중 어느 하나 이상을 MSC-VNO(188-2)로 전송할 수 있다. 이후 639-6 과정에서 MSC-VNO(188-2)은 MME-VNO(115)로 MID를 송신한다. 실시 예에 따라 MSC(188)은, IMSI, 보안키/ 보안마스터키, 프로파일, TA ID 리스트 중 어느 하나 이상을 전송한다.
639-7 과정에서 MME-VNO(115)는 어느 eNB 로 수신한 정보를 포워딩(forwarding) 할지를 결정한다. MME-VNO(115)는 그 결정을 위해 수신한 TA ID 리스트를 이용할 수 있다. 혹은 MME-VNO(115)는 본 발명의 실시 예와 같이 단말(110)이 접속했을 때 이용한 eNB-VNO(113)와 MME-VNO(115)가 있는 경우 그 결정을 위해 접속 시 이용했던 eNB 를 고려할 수 있다. 641-1 과정에서 MME-VNO(115)는 MID와 보안 값(security value)을 eNB-VNO(113)로 전송한다. 641-2 과정에서 eNB-VNO(113)는 UE(110)으로 MID와 보안값을 전송할 수 있다.
643 과정에서는 UE(110)는 수신한 상기의 정보가 정당한 UE(110) 자신으로부터 전송된 요청에 의한 것인지 보안값(security value)를 이용하여 검증할 수 있다.
643-2 내지 643-3 의 과정은 선택적으로 수행될 수 있다.
643-2과정에서 UE(110)은 보안값 검증이 성공했음을 eNB-VNO(113)에게 알릴 수 있다. 알림 메시지에는 MID가 포함될 수 있다. 643-3 과정에서 eNB-VNO(113)는 MME-VNO(115)에게 단말(110)에서 보안값 검증이 성공했음을 알릴 수 있다. 알림 메시지에는 MID가 포함될 수 있다 이후 643-5 과정에서 MME-VNO(115)는 eNB-VNO(113)로 MID를 송신할 수 있다. 실시 예에 따라 MME-VNO(115)는 eNB-VNO(113)로 보안값, IMSI, 보안키/ 보안마스터키, 프로파일, TA ID 리스트, MSISDN 중 어느 하나 이상을 전송할 수 있다. 이후 eNB-VNO(113)는 643-6 과정에서 UE(110)으로 MID, 보안값, IMSI, 보안키/ 보안마스터키, 프로파일, MSISDN 중 어느 하나 이상을 전송한다. 이때는 페이징과 유사한 방법이 사용될 수 있다.
이후 645 과정에서 상기 정보를 수신한 UE(110)는 프로파일, IMSI, 보안키/보안마스터키, MSISDN 중 어느 하나 이상을 저장한다. 647 과정에서 USIM(170)은 ME(111)에 단말의 등록(ATTACH) 과정을 트리거링(triggering)한다. 649, 651 과정에서 UE(110)는 등록(ATTACH) 메시지를 eNB(112)를 거쳐서 MME(114)로 전송한다. 등록 메시지에는 단말 식별자로서 IMSI가 포함될 수 있다. 이후 659 과정과 661 과정에서 MME(114)는 eNB(112)를 통해 UE(110)으로 등록 승인(ATTACH ACCEPT) 메시지를 송신한다. 한편 등록(ATTACH) 과정과 관련하여서는 여러 절차가 종래에 정의 되어 있는 바 본 발명에서는 본 발명에서 변경되는 부분을 위주로 설명을 기술하였다.
도 9A 및 9B는 본 발명의 일 실시 예에 따른 정보 제공(Provisioning) 과정의 절차의 메시지 흐름도 이다. 도 9A 및 9B의 이전 과정은 도 7A 내지 도 8B의 과정과 동일하거나 유사한 바, 차이가 나는 부분인 739-7 과정 내지 742-6 과정 이후의 과정에 주안점을 두어 설명하기로 한다.
739-7 과정에서 MME-VNO(115)는 어느 eNB로 수신한 정보를 포워딩(forwarding) 할지를 결정한다. 이 결정을 위해 MME-VNO(115)는 수신한 TA ID 리스트를 이용할 수 있다. 또한, 본 실시 예와 같이 MME-VNO(115)는 단말이 접속했을 때 이용한 eNB와 MME가 있는 경우 접속 시 이용했던 eNB를 고려하여 어느 eNB로 수신한 정보를 포워딩할지 결정할 수 있다. 742-1 과정에서 MME-VNO(115)는 MID를 eNB-VNO(113)로 송신한다. 실시 예에 따라 MME-VNO(115)는 초기 정보 제공(initial provisioning)을 위해서 정보를 보내겠다는 지시자(indication), MID, 보안값, IMSI, 보안키/ 보안마스터키, 프로파일, TA ID 리스트, MSISDN을 eNB-VNO(113)로 더 전송할 수 있다. 상기 742-1 과정의 지시자는 intial provisioning 을 위해 정보를 보내겠다는 의미로 사용될 수 있는 파라미터이며, MME-VNO(115)가 742-1 과정에서와 같이 initial provision 정보를 제공하는 메시지를 MME 에 연결된 eNB 들에 보낼지 아니면, TA 리스트 등에 근거하여 특정 eNB 에 보낼지 등 어느 eNB 에게 전송하느냐에 따라 실시 예가 달라지는 변형이 가능하다.
742-2 과정에서 eNB-VNO(113)는 UE(110)로 initial provisioning 메시지를 받을 수 있도록 아이들 상태(idle mode)의 UE(110)를 페이징(paging)한다. 한편 742-3 과정에서 eNB-VNO(113)는 MID, 보안값, IMSI, 보안키/ 보안마스터키, 프로파일, MSISDN을 UE(110)으로 시스템 인포메이션 메시지(system information message)를 브로드캐스트 방법을 통해 전송한다. 742-3-2 과정에서는 UE(110)가 수신한 상기의 정보가 UE(110)가 정당한 UE(110) 자신으로부터 전송된 요청에 의한 것인지 보안값(security value)를 이용하여 검증한다.
742-4 내지 742-5 의 과정은 선택적으로 수행될 수 있다.
742-4과정에서 UE(110)은 보안값 검증이 성공했음을 eNB-VNO(113)에게 알리고 742-5 과정에서 eNB-VNO(113)는 MME-VNO(115)에게 단말(110)에서 보안값 검증이 성공했음을 알리게 된다. 각 알림 메시지는 MID를 포함할 수 있다.
도 10A 내지 도 11B는 본 발명의 일 실시 예 에 따른 정보 제공(Provisioning) 과정의 흐름도이다.
단말(110)은 초기 정보를 요청할 수 있도록 파워 온(power on) 되어야 한다. 해당 단말(110)이 직접 정보 제공을 요청하지 않을지라도 이후 과정의 진행을 위해서 단말은 켜둔 상태이어야 한다.
800-1 과정에서 사용자가 단말(110)의 인터페이스 등을 눌러서 사업자를 선정한다. 이는 사용자가 단말 혹은 USIM 을 구입하여 초기에 사업자를 선정하고 해당 사업자에서 어떤 네트워크망을 이용해서 서비스를 받고 싶어하는지 등을 알려주고 그에 해당하는 사업자로부터 서비스를 받기 위해 정보 제공 과정을 시작(initiation) 하는 단계를 포함한다. 이러한 과정에서 사용자는 UE 의 사용자 인터페이스(interface) 등을 선택하여 사업자를 선정한다. 이것은 UE 중 특히 ME(111)의 부분을 통해 이루어지며, 이러한 정보 제공 시작 과정은 ME(111)에서 USIM(170)으로 정보 제공을 일으키는 800-1 과정과 800-2 과정에서와 같이 USIM(170)이 정보 트리거링 반응(provision triggering response)을 ME(111)로 보내는 과정으로 이루어진다. 특히 800-2 과정은 USIM(170)에 있는 정보를 읽어 UE(110)가 정보 제공을 위해서 네트워크 등을 통해서 보낼 정보를 추출하고 이를 네트워크로 보내기 위해 준비하는 과정을 포함한다. 800-3, 800-4 과정은 정보 제공 요청(provisioning request) 메시지를 단말(110)이 기지국(eNB-VNO 즉 여기서는 visited Network 에 있는 113)을 거쳐서 MME(MME-VNO 여기서는 visited Network 에있는 115)로 보내는 과정이다. 본 실시 예의 도 10A 내지 12B에서는 단말(110)이 방문자 망을 통해 접속을 시작하는 경우를 예를 들었으나 홈 망을 통해 들어가는 경우에 있어서는 도 3내지 도6B와의 조합에 의해서 가능하다 할 것이다. 800-3 및 800-4 과정은 USIM 중앙 센터로 정보 제공 요청 메시지를 eNB-VNO(113), MME-VNO(115)를 통해서 보내는 과정이다. 이러한 과정이 수행될 때 UE(110)가 해당 사업자의 망에서 서비스를 받을 수 있는 보안이나, 식별자 등 기타 정보 등이 갖추어 지지 않은 상태이므로 단말(110)은 USIM 중앙 센터로 연결을 위해 제한된 모드(limited mode) 상에서만 접속(access)이 가능한 상황이다. 따라서, 본 실시 예에서는 단말(110)이 가입하고자 하는 사업자 망과 다른 사업자 망 즉 방문 네트워크(visited network)의 eNB-VNO(113)과 MME-VNO(115)를 이용하여 전송하는 경우를 예로 들었다. 이 경우 방문 네트워크에서는 단말의 네트워크 접속을 도와 USIM 중앙 센터(180)로의 연결(connection)을 위한 서비스 등 극히 제한된 상태의 접속이 가능한 상황이다. 한편 정보 제공 요청(provisioning request) 메시지에는 MID(mobile identity: 이하 MID 로 표기), 보안 값(Security Value), 보안 크리덴셜(Security Credential), PLMN ID(Public Land Mobile Network identity: 이하 PLMN ID 로 표기: PLMN identity), 네트워크 타입(Network Type) 단말의 위치 정보(location: 이하 loc. 으로 표기) 중 어느 하나 이상을 포함할 수 있다. MID 는 USIM 중앙 센터에서 해당 단말 또는 USIM / SIM/ UICC 등을 식별하기 위해 사용되는 식별자로서 단말 즉 USIM / SIM/ UICC 을 만드는 제조업자(vendor)에 의해 할당되며, USIM 중앙 센터(180)에서 해당 단말을 식별하기 위해 사용된다. 상기에서 USIM(Universal Subscriber Identity Module: 범용 사용자 식별 모듈), SIM(Subscriber Identity Module: 사용자 식별 모듈), UICC(Universal Integrated Circuit Card: 범용 통합 서킷 카드) 등은 단말의 가입자 식별을 위한 가입자 인증 정보 등이 담긴 모듈 혹은 카드를 말한다. 한편 이러한 MID 정보와 함께 보안 관련 정보들도 제공되는 바 대표적인 것으로는 보안값(security value) 와 보안 크리덴셜(credential)이 있을 수 있다. 보안값은 UE(110)가 정보 제공 요청(provisioning request) 메시지를 보내고 그 응답으로 정보 제공 값을 받았을 때 자신이 보낸 값과 비교하여 보아 다른 공격자나 기타 부적절한 노드 등으로부터 잘못된 메시지를 받은 것인지 아닌지 검증하기 위한 용도로 사용되며, 또한 자신이 요청한 요청에 대한 응답으로 할당된 값인지를 위해 검증하는데 사용된다. 따라서 이러한 보안값은 보안 능력(security capability) 와 같이 단말이 지원하는 보안 알고리즘 값이 되거나 혹은 아니면 단말이 생성해서 전송한 난수(random number) 등으로 단말을 검증할 수 있는 다양한 값들이 활용될 수 있다.
일반적으로 보안 크리덴셜(Security credential)이라고 하면 퍼블릭 키 인프라스트럭쳐(public key infrastructure: 이하 PKI 로 표기) 보안 방법에서 공개키(public key)와 비밀키(secret key) 쌍(pair), 인증서(certificate) 등의 정보로 구성된다. 다만, 본 발명에서 보안 크리덴셜은 그러한 정보뿐아니라 단말이 정당한 단말인지 인증하기 위해 USIM 인증 센터(USIM authentication center, 190)에서 검증(verification)하는데 사용될 수 있는 정보를 널리 일컫는 표현이다.
만일 PKI 방법이 사용되었다면 일반적으로 사용되는 방식으로 인증 관련 값을 보낸 단말(110) 혹은 USIM(170)을 USIM 인증 센터(190)에서 인증하는데 보안 크리덴셜이 사용될 수 있다. 인증 키 및 동의 프로토콜(Authentication and Key Agreement Protocol: 이하 AKA로 표기)에서 값을 보낸 상대 노드를 상호 인증(mutual authentication)하는 방식이 이용될 수 있다. 이경우 AKA 에 관여하는 벡터 값 등이 보안 크리덴셜이 될 수 있다. 난수(random number)와 키 값으로 검증하는 방법이 사용된 경우 난수 값이 보안 크리덴셜이 될 수 있다. 이외에도 다양한 후보 기술이 가능하다. 이하의 실시 예에서는 USIM 인증 센터(190)가 단말(110)을 정당한 사용자로 인증하는데 사용할 수 있는 보안 정보라면 이를 보안 크리덴셜이라고 칭할 수 있다.
PLMN ID(Public Land Mobile Network identity: 이하 PLMN ID 로 표기, PLMN identity)는 서빙 네트워크 ID(Serving network ID)라고도 불린다. 가입자가 가입하고자 하는 사업자 네트워크의 국가정보, 사업자 네트워크 관련 정보를 USIM 센터(191)에 제공하기 위해서, UE(110)는 PLMN ID등을 이용하여 가입자가 서비스 받고자하는 네트워크의 정보를 제공할 수 있다. 네트워크 타입(network type)은 서비스 받고자 하는 네트워크 타입(network type)의 정보이다. 네트워크 타입은 무선구간이 EUTRAN(Evolved UMTS Terrestrial Radio Access Network)인 EPS(Evolved Packet System) 네트워크, UTRAN(UMTS Terrestrial Radio Access Network), GERAN(GSM/EDGE Radio Access Network) 등의 사업자 망의 유무선 구간의 네트워크 타입 정보가 될 수 있다. 네트워크 타입이 정보 제공 요청 메시지에 포함되면 단말(110)은 해당 사업자가 제공하는 다양한 네트워크 타입 중에서 선택적으로 어느 하나의 네트워크 타입을 이용할 수 있다. 즉, 가입자가 받을 서비스에 대한 선택의 폭이 넓어진다. 단말(110)의 위치 정보는 이후 단말(110)에게 서비스를 제공할 MME(115)나 MSC(188-2)을 결정하거나 단말에게 서비스를 제공할 트래킹 에어리어(tracking area)를 결정하는데 사용될 수도 있다.
이후 800-5과정에서는 UE(110)로부터 Provisioning Request 메시지를 받은 MME-VNO(115)가 MID(mobile identity: 이하 MID 로 표기), 보안 값(Security Value), 보안 크리덴셜(Security Credential), PLMN ID(Public Land Mobile Network identity: 이하 PLMN ID 로 표기: PLMN identity), 네트워크 타입(Network Type), 단말의 위치 정보(location:이하 loc. 으로 표기) 등 해당 정보를 포함하는 정보 제공 검증 요청(Provision Verification Request) 메시지를 USIM 중앙 센터(180)로 전송한다. 한편 본 발명에서는 UE(110)가 가입하고자 하는 사업자를 선택하여 정보 제공 요청 메시지를 보내는 시점에서 서비스를 받고자하는 네트워크 타입을 함께 결정하여 보내는 것을 예로 들었으나, UE(110)가 접속한 사업자가 UE 가 가입하고자 하는 사업자 라면 다른 변형된 발명으로는 UE가 800-3, 800-4 두 과정에서와 같이 정보 제공 요청 메시지를 보내는 시점이 아닌 UE 가 정보 제공 요청 메시지 보낸 이후인 800-5 과정에서와 같이 MME가 USIM 중앙 센터로 정보 제공 검증 요청 메시지를 보내면서 MME 가 속한 네트워크 타입(network type) 등의 정보도 함께 제공하는 변형이 가능하다. 본 실시 예처럼 단말(110)이 가입하고자 하는 네트워크와 단말이 정보 제공 요청 메시지를 보내는 시점에 접속한 네트워크가 다른 사업자에 속한 경우에도 네트워크 타입 정보는 단말이 접속한 방문 네트워크에 있는 MME로부터 제공될 수 있으나, 그러한 경우는 단말이 접속한 방문 네트워크가 단말이 가입하고자 하는 네트워크와 서비스에 대한 동의 등으로 상대편 홈 망에서 어떤 네트워크 타입이 존재하는지를 알 수 있는 경우로 그 활용이 제한 될 수 있을 것이다. 이러한 네트워크 타입은 무선구간은 EUTRAN(Evolved UMTS Terrestrial Radio Access Network) 인 EPS(Evolved Packet System) 네트워크, UTRAN(UMTS Terrestrial Radio Access Network), GERAN(GSM/EDGE Radio Access Network) 등의 사업자 망의 유무선 구간의 네트워크 정보가 될 수 있다. 즉, 변형된 형태는 단말로부터 전송된 MID, 보안값, 보안 크리덴셜, PLMN ID 와 더불어 network type 을 함께 제공하여 USIM 중앙 센터(180)로 전송하게 된다.
801 과정은 사용자가 단말(110)을 위한 정보 제공 절차를 수행하기 위하여 컴퓨터, 노트북 등 인터넷 망 연결이 가능한 정보 기기 매체를 이용하여 정보 제공 요청(provisioning request) 메시지를 전송하거나 정보 제공을 시작(initiation)하는 과정이다. 이러한 정보 제공 요청(provisioning request)에는 단말을 사업자 망에서 연결이 가능하도록 하기 위해서 필요한 정보들을 제공하고 단말이 필요한 정보를 받도록 하는데 그 목적이 있으므로 MID(mobile identity: 이하 MID 로 표기), 보안 값(Security Value), 보안 크리덴셜(Security Credential), PLMN ID(Public Land Mobile Network identity: 이하 PLMN ID 로 표기: PLMN identity), 네트워크 타입(Network Type), 단말의 위치 정보(location: 이하 loc. 으로 표기) 등이 포함된다.
또 다른 일 실시 예에 따르면, PC 등을 이용한 초기 접속을 위해서 MID 대신 프로비전 식별자(provision ID)가 이용될 수 있다. 프로비전 식별자는 단말(110) 또는 USIM/SIM/UICC(170)의 제조업자(vendor)에 의해 할당된다. 사용자는 단말(110)의 인터페이스를 통해 디스플레이 장치나 어플리케이션에서 프로비전 식별자를 쉽게 확인할 수 있다. MID는 USIM 중앙 센터(180)가 해당 단말(110) 또는 USIM/SIM/UICC(170) 등을 식별하기 위해 사용되는 식별자이다. 따라서 MID는 중요한 보안상의 정보가 될 수 있기 때문에 단말로부터 네트워크로 전송되도록 하고, PC(186) 상에서 입력되는 것을 피하기 위하여 PC 상에서 단말 관련 정보를 입력할 때는 MID 대신 프로비전 식별자를 사용할 수 있다. 801 내지 801-4 단계에서 MID의 역할을 프로비전 식별자가 대신할 수 있다. 즉 사용자는 PC(186)를 통해 단말(110)의 프로비전 식별자를 입력하고, 시스템은 프로비전 식별자를 이용하여 단말(110) 및 입력을 식별할 수 있다. 800-3 내지 800-5단계에서는 MID와 별도로 단말(110)의 프로비전 식별자가 함께 전달될 수 있다. 811단계에서 USIM 중앙 센터(180)는 프로비전 식별자가 동일한 정보 제공 검증 요청(800-5) 및 정보 제공 요청(801-4)을 통합하여 정보를 동기화(synchronization)할 수 있으며 이후 과정을 진행할 수 있다.
특히 상기의 이러한 파라미터 들은 단말의 고유한 값이나 단말이 사업자 망에서 구동하기 위해 필요한 정보들로서 단순히 사용자가 정보를 입력하는 것보다는 UE(110)에 초기에 세팅되어 있는 값을 읽어 올 수 있는 방법 등을 통해 해당 값을 정확히 입력하는 것이 필요하다. 일 실시 예로 UE(110)에 세팅된 값을 읽기 위해서 단말이나 USIM 제조회사 등이 제공하는 인터페이스나 응용 프로그램(application)을 통해 해당 파라미터를 정보 기기 매체를 이용해서 제공하는 것을 들 수 있다. 즉 해당 응용프로그램은 USIM 에 있는 정보를 읽어 UE 가 정보 제공을 위해서 네트워크 등을 통해서 보낼 정보를 추출하고 이를 네트워크로 보내기 위해 준비하는 과정을 포함할 수도 있다. 한편 단말(110)의 위치 정보는 이후 단말이 서비스를 받을 MME(114)나 MSC(188)을 결정하거나 단말이 서비스를 받을 트래킹 에어리어(tracking area)를 결정하는데 유용하게 사용될 수 있다. 따라서 단말의 위치 정보의 경우 단말이 초기 정보 제공을 하는 위치가 응용프로그램 구동으로 입력된 위치에서 단말이 파워 온(power on)된 상태이어야 하므로 서비스가 가능하도록 하기 위한 일 실시 예는 단말을 파워 온 시킨 상태에서 단말의 위치를 제공하고 단말의 구동 여부를 확인하기 위한 것이 가능한 환경을 포함한다. 즉 단말을 켜두고 그 옆에서 단말을 위한 초기 정보를 요청하는 것도 한 방법이 될 수 있다.
또한 이 단계는 UE(110)가 해당 사업자의 망에서 서비스를 받을 수 있는 보안이나, 식별자 등 기타 정보 등이 갖추어 지지 않은 상태이며 요청 자체가 단말(110)의 기본 정보를 타 정보 기기 등이 읽어 인터넷 망등 네트워크를 통해 USIM 중앙 센터로 연결되기 때문에 USIM 중앙센터의 경우도 보안상 제한된 모드(limited mode) 상에서만 접속(access)이 가능한 상황이다.
본 발명의 실시 예에서는 800-1, 800-2, 800-3, 800-4, 800-5의 과정(이하 800-x 과정으로 통칭함)으로 이루어지는 단말로부터 trigerring 되는 과정과 801로 대표되는 PC 등의 정보 기기 등을 통해서 인터넷 망으로 제공되는 정보가 있다. 800-x 과정으로 시작되는 과정은 단말이 정보를 받을 수 있도록 준비되는 과정을 포함하며, 단말의 MID(mobile identity: 이하 MID 로 표기), 보안 값(Security Value), 보안 크리덴셜(Security Credential), PLMN ID(Public Land Mobile Network identity: 이하 PLMN ID 로 표기: PLMN identity), 네트워크 타입(Network Type), 단말의 위치 정보(location: 이하 loc. 으로 표기) 중에서 단말의 MID, 보안값, 보안 크리덴셜 등의 단말의 중요 정보로서 적어도 하나 이상이 선택적으로 단말(110) 기기로부터 전송된다.
기타 정보 즉 PLMN ID, 네트워크 타입, 위치 정보 중 적어도 하나 혹은 그 파라미터 중 일부는 선택적으로 801-1, 801-2, 801-3, 801-4 과정(이하 801-x 과정으로 통칭함)으로 PC(186) 등을 통해서 전송할 수 있다. 한편 PC(186)로부터 정보 입력 즉 801-x 과정들을 위해서 MID 가 아닌 다른 식별자가 사용하는 것도 가능한바 UE(110)를 식별할 수 있고, 그 식별자를 사용자나 처음 단말을 구입한 사람들이 쉽게 접근 가능하도록 하는 일종의 고유 번호나 식별자 즉 디바이스 ID(device ID) 등을 할당하고 그 디바이스를 인증하는 형태의 PIN 번호 등을 사용하는 것도 PC 등을 통해서 정보를 입력하는 801-x 과정의 대안이 될 수 있을 것이다.
한편 일 실시 예로 801 과정 정보 제공 요청(Provision Request) 메시지 전송 대신에 801-2 과정, 801-3, 801-4 과정과 같이 3단계로 나누어 USIM 중앙 센터 입장 조절 서버(USIM Central Center Admission Control Server: 이하 USIM 중앙센터 Adm 서버로 표기)(180-2)를 거쳐서 USIM 중앙센터(180)에 정보 제공 요청 메시지를 보낼 수 있다. 다만, USIM 중앙 센터 입장 조절 서버(180-2)에서 정당한 UE에 대한 요청인지를 확인하는 방법이 있다. 이는 USIM 중앙센터를 여러 대의 컴퓨터를 일제히 동작하게 하여 특정 사이트를 공격하는 해킹 방식의 하나인 디도스 공격 즉 분산 서비스 거부(DDoS, Distribute Denial of Service Attach) 공격으로부터 방어 하기 위해서 사업자 통신 망을 거치지 않고 인터넷 망으로 접속하는 경우는 USIM 중앙 센터(180)의 접속을 직접적으로 연결시키지 않고, 초기 정보 제공 요청(initial provisioning request) 만을 초기에 받아 들여서, 우선 정당한 MID 등 제조회사가 부여한 정당한 권한을 가진 것인지를 먼저 검증하고 이후 USIM 중앙 센터(180)으로 접속하게 하는 방법의 일 실시 예이다.
한편 정보 제공 요청(provisioning request) 메시지에는 MID(mobile identity: 이하 MID 로 표기), 보안 값(Security Value), 보안 크리덴셜(Security Credential), PLMN ID(Public Land Mobile Network identity: 이하 PLMN ID 로 표기: PLMN identity), 네트워크 타입(Network Type) 중 어느 하나 이상이 포함된다.
MID 는 USIM 중앙 센터(180)가 해당 단말(110) 또는 USIM/SIM/UICC(170) 등을 식별하기 위해 사용되는 식별자다. MID는 단말(110) 즉 USIM/SIM/UICC(170)의 제조업자(vendor)에 의해 할당되며, USIM 중앙 센터(180)에서 해당 단말(110)을 식별하기 위해 사용된다. 상기에서 USIM(Universal Subscriber Identity Module: 범용 사용자 식별 모듈), SIM(Subscriber Identity Module: 사용자 식별 모듈), UICC(Universal Integrated Circuit Card: 범용 통합 서킷 카드) 등은 단말의 가입자 식별을 위한 가입자 인증 정보 등이 담긴 모듈 혹은 카드를 말한다.
정보 제공 요청 메시지는 이러한 MID 정보와 함께 보안 관련 정보들도 포함할 수 있다. 대표적인 보안 관련 정보로는 보안값(security value)과 보안 크리덴셜(credential)이 있다.
보안값은 UE(110)가 정보 제공 요청(provisioning request) 메시지를 송신한 수 관련 메시지를 수신했을 때 사용된다. UE(110)는 자신이 송신한 보안 값과 수신한 메시지를 비교한다. 이러한 비교를 통해 수신한 메시지가 다른 공격자나 기타 부적절한 노드 등으로부터 수신된 잘못된 메시지인지 아닌지 검증할 수 있다. 즉,보안값은 수신 메시지가 자신이 요청한 요청에 대한 응답으로 발송된 메시지인지를 위해 검증하는 데 사용된다. 보안 능력(security capability)과 같이 단말이 지원하는 보안 알고리즘 값 또는 단말(110)이 생성해서 전송한 난수(random number) 등 단말을 검증할 수 있는 다양한 값들이 보안값으로서 활용될 수 있다.
일반적으로 보안 크리덴셜(Security credential)이라고 하면 퍼블릭 키 인프라스트럭쳐(public key infrastructure: 이하 PKI 로 표기) 보안 방법에서 공개키(public key)와 비밀키(secret key) 쌍(pair), 인증서(certificate) 등의 정보로 구성된다. 다만, 본 발명에서 보안 크리덴셜은 그러한 정보뿐아니라 단말이 정당한 단말인지 인증하기 위해 USIM 인증 센터(USIM authentication center, 190)에서 검증(verification)하는데 사용될 수 있는 정보를 널리 일컫는 표현이다.
만일 PKI 방법이 사용되었다면 일반적으로 사용되는 방식으로 인증 관련 값을 보낸 단말(110) 혹은 USIM(170)을 USIM 인증 센터(190)에서 인증하는데 보안 크리덴셜이 사용될 수 있다. 인증 키 및 동의 프로토콜(Authentication and Key Agreement Protocol: 이하 AKA로 표기)에서 값을 보낸 상대 노드를 상호 인증(mutual authentication)하는 방식이 이용될 수 있다. 이경우 AKA 에 관여하는 벡터 값 등이 보안 크리덴셜이 될 수 있다. 난수(random number)와 키 값으로 검증하는 방법이 사용된 경우 난수 값이 보안 크리덴셜이 될 수 있다. 이외에도 다양한 후보 기술이 가능하다. 이하의 실시 예에서는 USIM 인증 센터(190)가 단말(110)을 정당한 사용자로 인증하는데 사용할 수 있는 보안 정보라면 이를 보안 크리덴셜이라고 칭할 수 있다.
PLMN ID(Public Land Mobile Network identity: 이하 PLMN ID 로 표기, PLMN identity)는 서빙 네트워크 ID(Serving network ID)라고도 불린다. 가입자가 가입하고자 하는 사업자 네트워크의 국가정보, 사업자 네트워크 관련 정보를 USIM 센터(191)에 제공하기 위해서는 PLMN ID가 등을 이용하여 가입자가 서비스 받고자 하는 네트워크의 정보를 제공할 수 있다. 네트워크 타입(network type)은 서비스 받고자 하는 네트워크 타입(network type)의 정보이다. 네트워크 타입은 무선구간이 EUTRAN(Evolved UMTS Terrestrial Radio Access Network)인 EPS(Evolved Packet System) 네트워크, UTRAN(UMTS Terrestrial Radio Access Network), GERAN(GSM/EDGE Radio Access Network) 등의 사업자 망의 유무선 구간의 네트워크 타입정보가 될 수 있다. 네트워크 타입이 정보 제공 요청 메시지에 포함되면 단말(110)은 해당 사업자가 제공하는 다양한 네트워크 타입 중에서 선택적으로 어느 하나의 네트워크 타입을 이용할 수 있다. 즉, 가입자가 받을 서비스에 대한 선택의 폭이 넓어진다. 단말(110)의 위치 정보는 이후 단말(110)에게 서비스를 제공할 MME(114)나 MSC(188)을 결정하거나 단말에게 서비스를 제공할 트래킹 에어리어(tracking area)를 결정하는데 사용될 수도 있다.
USIM 중앙 센터(180)는 이후 811과정에서와 같이 USIM 인증 센터(USIM authentication center)(190)로 정보 제공 검증 요청(Provision Verification Request) 메시지를 송신한다. 이 메시지에는 MID, 보안 크리덴셜, PLMN ID, 네트워크 타입 중 어느 하나 이상이 포함될 수 있다. 이를 통해 USIM 중앙 센터(180) 해당 MID 가 사업자망 접속이 가능한 정당한 권리자인지 식별자(identity) 와 함께 보안 크리덴셜을 이용한 검증을 요청한다. 한편 이러한 정보 제공 요청에 대한 검증(verification)에 있어서는 여러 가지 보안 크리덴셜이 이용될 수 있다.
USIM 인증 센터(190)와 UE(110)가 PKI 시스템을 이용하고 있다면 PKI에서 사용하는 공개키와 비밀키 보안 크리덴셜로서 이용된다. 즉, USIM 인증 센터(190)는 공개키와 비밀키를 이용해서 인증 관련 값을 보낸 단말(110) 혹은 USIM(170)을 인증한다. 인증 키 및 동의 프로토콜(Authentication and Key Agreement Protocol: 이하 AKA로 표기)에서 값을 보낸 상대 노드를 상호 인증(mutual authentication)하는 방식이 이용될 수 있다. 이 경우 AKA 에 관여하는 벡터 값 등이 보안 크리덴셜이 될 수 있다. 난수(random number)와 키 값으로 검증하는 방법이 사용된 경우 난수 값이 보안 크리덴셜이 될 수 있다. 이외에도 다양한 후보 기술이 가능하다. 본 실시 예에서는 USIM 인증 센터(190)가 단말(110)을 정당한 사용자로 인증하는데 사용할 수 있는 보안 정보라면 이를 보안 크리덴셜이라고 칭할 수 있다. 보안 크리덴셜을 활용하는 구체적인 절차(procedure)는 구체적으로 언급되지 않았다. 다만 811 과정과 813 과정에서 USIM 중앙 센터(180)가 USIM 인증 센터(190)로 정보 제공 검증 요청 메시지를 송신하고, 그에 응답하는 정보 제공 검증 반응 메시지를 USIM 중앙 센터(180)가 수신하는 것으로 절차를 표기하였다. 하지만, 이러한 811 과정과 813 과정에서 이용되는 보안 크리덴셜로 명명된 보안 파라미터는 PKI 방식또는, AKA 방식이 이용되는지에 따라 달라질 수 있다.다만 어느 경우에도 811 과정과 813 과정에서는 보안 크리덴셜로 명명된 보안 파라미터와 식별자(identity) 등의 UE(110)가 제공하는 정보에 의해서 정당한 UE(110)의 접근이 판별된다. 이러한 판별 과정은 본 발명과 같은 발명에 대해 통상의 기술 지식을 가진 기술자라면 다양한 형태로 변형이 가능하다. 613 과정에서 USIM 인증 센터(190)는 정보 제공 인증 응답 메시지를 USIM 중앙 센터로 송신한다. 어느 단말로부터 온 정보 제공 검증 요청에 대한 검증이 성공한 것인지를 식별할 수 있도록 정보 제공 인증 응답 메시지는 MID를 포함할 수 있다. 이하 813-2 내지 813-16 과정은 선택적으로 수행될 수 있다.
상기 813 과정에서와 같이 USIM 인증 센터(USIM authentication center)(190)에서 USIM 중앙 센터(180)로 정보 제공 검증 요청에 대한 응답 메시지가 전송되면 USIM 중앙 센터(180)은 813-2 과정에서 MME-VNO(115)로 정보 제공 응답 메시지에 MID 를 포함시켜 보낸다. 방문자 망의 MME-VNO(115)는 상기의 검증 과정을 거친 후에는 813-11 과정에서 MSC-VNO(188-2)에 위치 등록 메시지(location registration request) 메시지를 보낸다. 이 메시지에는 MID 및/또는 MME의 식별자가 포함된다. 이후 813-12 과정에서 MSC(188-2)는 MID와 MME의 식별자의 매핑을 저장하고, 813-13 과정에서 MSC-VNO(188-2)에서 HSS-VNO(121-2)로 MID와 MSC 의 주소 정보(MSCA)를 함께 전송한다. 813-14 과정에서 HSS-VNO(121-2)는 MID 와 MSCA 의 매핑을 저장하고 813-15 과정에서 HSS-VNO(121-2)는 MSISDN 을 생성한다. 여기서 생성된 MSISDN 은 이후 CS 네트워크에서 통신을 위해 사용되는 식별자로서 초기 정보를 전달하는데 사용된다. 813-16 과정에서 MID, MSISDN, MSCA 의 정보를 MSC-VNO(188-2)로 전송하게 된다.
이후 USIM 중앙 센터(180)는 USIM 센터(191)로 815 과정에서 MID, 보안값, PLMN ID, 네트워크 타입, 그리고 USIM 중앙 센터(180)과 USIM 센터(191) 간의 상호 인증 및 보안을 위하여 USIM 센터에서 USIM 중앙 센터를 검증하기 위해 사용되는 보안 중앙 센터 검증 값(이하 Sec-Central center로 표기), 단말의 위치 정보(location:이하 loc. 으로 표기) 중 어느 하나 이상을 전송한다. Sec-central center 검증 값은 PKI 시스템을 사용하여 검증할 때는 퍼블릭 키/ 비밀키 등을 포함한 값일 수도 있고, 상호 인증을 위한 방법일 때는 공유키(shared key)로 암호화하여 전송하고 해독하는 과정 등을 거치는 난수(random number)이거나, AKA 방법일 경우는 인증 토큰 값등 다양한 값이 될 수 있으며 상호 인증을 위한 구체적인 절차 또한 생략하기로 한다. 파라미터를 수신한 USIM 센터(191)는 Sec-Central center 값을 817 과정에서와 같이 검증한다. 한편 819 과정에서와 같이 USIM 센터(191)는 보안키를 생성하기도 하는데 이는 일 실시 예(case 1)로서 USIM 센터에 보안키를 생성(generate)하고 이를 배포(distribute)하는 기능을 두는 경우로서 819 과정을 수행하게 된다. 한편 또 다른 일 실시 예(case 2)로 USIM 센터에 보안키 생성 기능을 두지 않는 경우 AUC(인증센터: authentication center)/HSS /HLR(121)에서 해당 기능을 맡을 수가 있다. 즉 AUC/HSS/HLR(121)에서 보안키 생성 기능을 담당하여 보안키(Key)가 그 자체로서 해당 사업자에게 할당된 마스터 키(Key: 루트키: master key, root key) 그 자체 형태로 사용될 수도 있는 것이다. 또한 또 다른 일 실시 예(case 3)로는 USIM 센터에서 보안키를 생성하고 사업자에 할당하여 사업자가 사업자 별로 보안이 강화된 키인 보안 마스터키를 생성하는데 사용되는 시드(seed)로서 활용 될 수도 있다. 즉 USIM 센터에서 생성한 보안키(Key)로부터 사업자망의 AUC/HSS/HLR(121)에서 보안키(Key)를 근간으로 하여 사업자 망에서 사용하는 마스터 키(master key) 역할을 하는 또 다른 유도된 마스터키(Kdm: derived master key)를 생성할 수 도 있다. 상기에서 마스터 키(master key)는 보안 키인 Key(root key) 또는 유도된 마스터키 Kdm(derived master key) 등이 될 수 있으며, 이러한 마스터키로부터 이후 해당 사업자 네트워크에서 인증키(KASME)를 생성하고, 또한 상기 인증키를 바탕으로 NAS 무결성키(KNASint) 와 NAS 암호화키(KNASenc)를 생성한다.
819-2 과정에서 USIM 센터(191)는 PLMN ID 나 단말의 위치 정보, 단말이 접속한 네트워크의 정보 등을 이용하여 단말이 접속했던 MME, 또는 단말이 접속했던 MME 와 연결된 MSC 혹은 어느 MME, 또는 어느 MSC 가 단말을 위해 초기 정보 제공 서비스를 전달해 줄지를 결정할 수 있다. 본 실시 예에서는 단말이 접속했던 MME, 그리고 접속했던 MME 와 그 MME 와 연결된 MSC에서 단말을 위해 초기 정보 제공 서비스를 전달해주는 것을 일 실시 예로 하였으나 이러한 방법 이외에도 다양한 변형이 가능하다. 즉 이러한 선택의 방법은 단말이 접속한 네트워크의 사업자에게서 서비스를 받는지 아니면 다른 사업자에게서 서비스를 받는지에 따라 다양한 변형이 가능할 수 있다. 이후 819-3과정에서 USIM 센터(191)는 MME 가 어느 eNB로 초기 정보 제공 서비스를 전달할지를 선택하는데 사용되는 트래킹 에어리어(tracking area: 단말의 위치 등록 지역)의 식별자(identity: 이후 ID 로 표기) 리스트(list)(이후 TA ID 리스트로 표기) 등의 정보를 결정할 수 있으며, 이러한 정보는 이후 837 혹은 839 이후 과정 등을 통해서 전송된다. 이러한 MME 를 선정하는 기능은 USIM 센터(191)이 가질 수도 있으나 경우에 따라서는 중앙 OTA 서버(182-2)가 그러한 기능을 수행할 수 도 있는 바 이에 대해서 이후 837-2, 837-3 의 과정에서 설명하기로 한다
일 실시 예(case 1)로서 819 과정에서 USIM 센터가 보안키를 생성, 저장 하였다면 821 과정에서 생성한 보안키와 함께 단말 또는 USIM/UICC/SIM 의 식별자인 MID, 보안값, PLMN 식별자인 PLMN ID, 네트워크 타입을 단말이 가입하고자 하는 사업자망의 MME(114)로 전송한다. 이후 823 과정에서 MME(114)는 MID, 보안값을 HSS/HLR(121)로 전송하며, 만일 USIM 센터가 보안키를 생성하였다면 보안키도 함께 전송한다. 825 과정에서 AUC/HSS/HLR(121)는 단말의 식별자인 IMSI를 생성하여 저장하고 만일 819 과정에서와 같이 USIM 센터(191)가 보안키(Key)를 생성하지 않았다면 또 다른 일 실시 예(case 2)로서 보안키를 생성하여 저장한다.또한 825 과정에서 AUC/HSS/HLR(121)는 단말이 CS 망(Circuit Switching(CS) Network)에서 통신하는데 필요한 MSISDN(Mobile Station international ISDN(Integrated Services Digital Network) Number) 등을 생성하여 저장할 수 있다. 이러한 MSISDN 생성에 있어서 단말이 처음 접속한 네트워크와 단말이 이후에 서비스 받을 네트워크가 다른 사업자 망이라면, 813-15에서 생성되는 MSISDN 의 경우는 단말에 정보 제공을 위해 정보 전달을 위해 사용되는 용도로 사용되고, 825에서 할당되는 MSISDN 은 단말의 향후 사용될 네트워크에서의 식별자로서의 정보 성격이므로 그 성격을 달리한다 하겠다. 한편 또 다른 일 실시 예로는 다른 사업자 망이라할지라도, 단말에 정보 제공을 위해 정보 전달을 위해 사용되는 것과, 단말이 향후 네트워크에서 사용되는 MSISDN 을 같은 것으로 사용하는 예도 가능하다 할 것이다.
상기 예(case 1)와 달리 경우 2(case 2)는 AUC/HSS/HLR(121)에서 보안키를 생성하는 경우이다. 또 다른 일 실시 예(경우 3: case 3)으로는 USIM 센터(191)이 전송해준 보안키(Key)를 근간(seed)로 하여 유도된 마스터 키(derived master key)를 생성하여 그 유도된 마스터 키(Kdm)을 보안을 위한 보안 마스터키로 사용할 수 도있다. 따라서 이후 827, 829, 836 과정에서 전송되고 저장되는 보안키도 경우 1(case 1)의 경우는 USIM 센터(191)에서 생성한 보안키 이지만, 경우 2(case 2)는 AUC/HSS/HLR(121)이 생성한 키 이거나, 경우 3에서처럼 USIM 센터에서 온 키를 근간으로 하여 AUC/HSS/HLR(121)에서 유도하여 생성한 보안 마스터키 일 수 있다. 827 과정에서 AUC/HSS/HLR(121)는 MID, IMSI, 보안키(경우 2)/ 보안마스터키(경우 3) 그리고 프로파일(profile) 정보를 MME(114)로 전송한다. 프로파일(profile)이란 단말(110) 또는 USIM/UICC/SIM 등을 해당 사업자 망에 맞도록 구성(configuration) 하는데 필요한 정보로서 인증 과정인 AKA(authentication and key agreement)에서 보안 기능(function)을 의미하는 milenage 알고리즘이 될 수도 있고, SNOW(스트림 암호화: a new word stream cipher) 암호화/무결성 보안 알고리즘, AES(Advanced Encryption Standard) 와 같은 암호화/ 무결성 보호를 위한 보안 알고리즘 일수 도 있으며, 혹은 접속 통제 클래스(access control class) 나, 응급 콜 코드(emergency call codes), 사업자 PLMN 리스트(plmn list), 홈 네트워크 도메인(home network domain) 과 같은 정보를 포함할 수 있다.
829 과정에서 MME(114)는 USIM 센터(191)로 MID, IMSI, 보안키(경우 2)/ 보안마스터키(경우 3) 그리고 프로파일(profile) 정보, 그리고 보안값(security value)을 전송한다.
이후 831 과정에서 USIM 센터(191)는 USIM 중앙 센터(180)으로 MID, 그리고 USIM 중앙 센터(180)과 USIM 센터(191) 간의 상호 인증 및 보안을 위하여 USIM 센터를 USIM 중앙 센터에서 검증하기 위해 사용되는 보안 USIM 센터 검증 값(이하 Sec-USIM center로 표기)를 전송한다. 이는 MID 를 가진 단말에 대한 요청을 USIM 중앙 센터가 USIM 센터로 처리를 요청한 것을 USIM 센터에서 잘 처리했음에 대한 것을 알리는 동시에 USIM 중앙 센터와 USIM 센터가 상호 인증하는 단계이다. 833 과정에서는 Sec-USIM center는 PKI 시스템을 사용하여 검증할 때는 퍼블릭 키/ 비밀키 등을 포함한 값일 수도 있고, 상호 인증을 위한 방법일 때는 공유키(shared key)로 암호화하여 전송하고 해독하는 과정 등을 거치는 난수(random number)이거나, AKA 방법일 경우는 인증 토큰 값등 다양한 값이 될 수 있으며 상호 인증을 위한 구체적인 절차 또한 생략하기로 한다. 파라미터를 수신받은 USIM 중앙 센터(180)는 Sec-USIM center 값을 검증한다. 835 과정에서 USIM 중앙 센터(180)는 USIM 센터(191)로 확인(confirm)메시지를 전송하는데 이는 MID 를 가진 단말에 대한 USIM 중앙 센터의 요청을 USIM 센터에서 잘 처리했음을 알렸던 것에 대한 상호 인증이 성공적임에 대한 USIM 중앙 센터의 확인(confirm)의 의미를 메시지이다. 이후 836 과정에서는 만일 경우 2(case 2), 경우 3(case 3)의 경우라면 보안키(Key) 혹은 보안 마스터키(Key) 값이 AUC/HSS/HLR(121)에서 생성 혹은 변경되었으므로 USIM 센터(191)에 이러한 값을 저장하는 기능을 둔다면 이들 보안키/ 보안마스터키 값을 저장한다. 또한 MID 와 관련하여 사업자내에서 할당한 보안 관련 정보를 저장하는 기능을 USIM 센터(180)에 둔다면 MID, 보안값, IMSI, 보안키/보안마스터키, 프로파일을 저장할 수 있다. 한편 836-2과정에서 USIM 센터(191)은 MME(114)로 확인(confirm) 메시지를 보낼 수 있고, 836-3 과정에서 MME(114)는 해당 단말에 대한 접속 요청이 있을 경우 HSS 로 확인하기 이전에 단말의 접속을 검증하고 제어 하기 위하여 해당 MID를 저장 할 수 있으며 저장된 정보는 이후 852 과정에서와 같이 UE(110)의 접속 요청을 HSS 로 보내어 IMSI 로 검증 받기 이전에 MME(114)에서 MID 를 검증하여 부적당한 UE(110)을 차단할 수 있는 역할을 수행할 수 있다.
이후 837 과정에서 USIM 센터(191)는 MID, 보안값, IMSI, 보안키/ 보안마스터키, 프로파일 등과 819-3과정에서와 같이 TA ID 리스트 정보를 결정한 경우에는 TA ID 리스트 을 중앙 OTA 서버(182-2)로 전송한다.
만일 상기 819-2, 819-3과정에서 USIM 센터(191)가 초기 정보 제공을 위해 사용될 MME를 선정하는 기능을 수행하지 아니하였거나 혹은 중앙 OTA 서버에 그러한 MME 선정 기능이 있어 제공할 수 있는 경우라면 837-2와 837-3과정에서 보는 바와 같이 해당 기능을 수행할 수도 있다. 즉 837-2 과정에서 중앙 OTA서버(182-2)는 PLMN ID 나 단말의 위치 정보, 단말이 접속한 네트워크의 정보 등을 이용하여 단말이 접속했던 MME, 또는 단말이 접속했던 MME 와 연결된 MSC 혹은 어느 MME, 또는 어느 MSC 가 단말을 위해 초기 정보 제공 서비스를 전달해 줄지를 결정할 수 있다. 본 실시 예에서는 단말이 접속했던 MME, 그리고 접속했던 MME 와 그 MME 와 연결된 MSC에서 단말을 위해 초기 정보 제공 서비스를 전달해주는 것을 일 실시 예로 하였으나 이러한 방법 이외에도 다양한 변형이 가능하다. 즉 이러한 선택의 방법은 단말이 접속한 네트워크의 사업자에게서 서비스를 받는지 아니면 다른 사업자에게서 서비스를 받는지에 따라 다양한 변형이 가능할 수 있다. 이후 837-3과정에서 중앙 OTA서버(182-2)는 MME 가 어느 eNB로 초기 정보 제공 서비스를 전달할지를 선택하는데 사용되는 트래킹 에어리어(tracking area: 단말의 위치 등록 지역)의 식별자(identity: 이후 ID 로 표기) 리스트(list)(이후 TA ID 리스트로 표기) 등의 정보를 결정할 수도 있고 이러한 정보는 이후 839 이후 과정 등을 통해서 전송된다. 중앙 OTA 서버(182-2)는 839 과정에서 MID, 보안값, IMSI, 보안키/ 보안마스터키, 프로파일와 함께 경우에 따라서는 TA ID 리스트 을 단문 서비스 센터(Short message service center: 이하 SMSC 로 표기)(184-2)에 전송을 한다. 839-2 과정 내지 841-2 과정에서 SMSC(184)는 UE(110)으로 MID, 보안값, IMSI, 보안키/ 보안마스터키, 프로파일, TA ID 리스트 을 전송한다. 839-2 과정내지 841-2 과정의 절차는 여러 절차로 구성되는바 큰 흐름은 SMSC(184-2)가 Mobile Switching Center(이하 MSC로 표기)(188-2)로 MID, 보안값, IMSI, 보안키, 프로파일 등 관련 정보 및 파라미터를 전송하고 이러한 관련 정보 및 파라미터가 단말이 서비스 받고자 하는 네트워크가 서킷 스위치(Circuit Switched: 이하 CS 로 표기) 데이터 서비스 네트워크라면 MSC(188-2)를 통해서 UE(110)으로 전송되거나, 혹은 서비스 받고자 하는 네트워크가 패킷 데이터(packet data) 서비스를 하는 패킷 스위치(Packet Switched: 이하 PS 로 표기) 데이터 서비스 네트워크라면 SMSC(184-2)에서 MSC(188-2)로 보낸 것을 MSC(188)가 MME(115)로 포워딩 하고 이후 MME(115)가 UE(110)로 전송하는 형태로 서비스된다.
이러한 큰 맥락에서 구체적 절차를 기술하면 다음과 같다.
이하 839-2 내지 839-5 의 과정은 선택적으로 수행될 수 있다.
839-2 과정에서 SMSC(184-2)는 GMSC(187-2)로 MID, 보안값, IMSI, 보안키/ 보안마스터키, 프로파일, TA ID 리스트 중 어느 하나 이상을 전송한다. 이후 GMSC(187-2)은 839-3 과정에서 HSS(121-2)로 MSISDN 을 가지고 해당 MSC의 주소 MSCA 를 알아내고 이러한 MSCA 를 839-4 과정을 통해서 전송을 받는다. 이후 839-5 과정에서 상기 839-4 과정에서 MSCA 를 통해서 MSC 를 찾은 GSMC(187-2)은 해당되는 MSC(188-2)로 MID, 보안값, IMSI, 보안키/ 보안마스터키, 프로파일, TA ID 리스트 을 전송한다. 이후 MSC(188-2)은 MME(115)로 MID, 보안값, IMSI, 보안키/ 보안마스터키, 프로파일, TA ID 리스트 을 전송한다.
839-7 과정에서 MME(115)는 수신한 TA ID 리스트를 이용하거나 혹은 본 발명의 실시 예와 같이 MME(115)는 단말이 접속했을 때 이용한 eNB(113)와 MME(115)가 있는 경우 접속시 이용했던 eNB를 고려하는 등 어느 eNB 로 수신한 정보를 포워딩(forwarding) 할지를 결정하고 841-1 과정에서 MID와 보안 값(security value)을 MME(115)는 eNB(113)로 전송하고, 841-2 과정에서 eNB는 UE(110)으로 전송하게 된다.
843과정에서는 UE(110)가 수신한 상기의 정보가 UE(110)가 정당한 UE(110) 자신으로부터 전송된 요청에 의한 것인지 MID와 보안값(security value)를 이용하여 검증하게 된다.
843-2 내지 843-3 의 과정은 선택적으로 수행될 수 있다.
843-2과정에서 UE(110)은 보안값 검증이 성공했음을 eNB(113)에게 알리고 843-3 과정에서 eNB(112)는 MME(115)에게 단말(110)에서 보안값 검증이 성공했음을 알린다. 이후 843-5 과정에서 MME(114)는 eNB(112)로 MID, 보안값, IMSI, 보안키/ 보안마스터키, 프로파일, TA ID 리스트, MSISDN 을 전송한다. 이후 eNB(112)는 843-6 과정에서 UE(110)으로 MID, 보안값, IMSI, 보안키/ 보안마스터키, 프로파일, TA ID 리스트, MSISDN 중 어느 하나 이상을 전송하며 이때는 페이징과 유사한 방법이 사용될 수 있다.
이후 845 과정에서 상기 정보를 수신한 UE(110)는 프로파일, IMSI, 보안키/보안마스터키, MSISDN 중 어느 하나 이상을 저장한다. 847 과정에서 USIM(170)은 ME(111)에 단말의 등록(ATTACH) 과정을 트리거링(triggering) 하게 된다. 849, 851 과정에서 UE(110)는 등록(ATTACH) 메시지를 eNB(112)를 거쳐서 MME(114)로 전송하게 되는데 이때 단말 식별자로 IMSI 가 포함될 수 있다. 이후 859 과정과 861 과정에서 MME(114)는 eNB(112)를 거쳐서 UE(110)으로 등록 승인(ATTACH ACCEPT) 메시지를 보내게 된다. 한편 등록(ATTACH) 과정과 관련하여서는 여러 절차가 종래에 정의 되어 있는 바 본 발명에서는 본 발명에서 변경되는 부분을 위주로 설명을 기술하였다.
도 12A 및 도 12B는 본 발명의 일 실시 예에 따르는 정보 제공 과정의 흐름도이다.
도 12A 및 도 12B의 이전 과정은 상기의 도 10A 내지 도 11B의 구성과 동일하거나 유사한 바, 차이가 나는 부분인 939-7 과정 내지 942-6 과정 이후의 과정에 주안점을 두어 설명하기로 한다.
939-7 과정에서 MME(115)는 수신한 TA ID 리스트를 이용하거나 본 실시 예와 같이 MME(115)는 단말이 접속했을 때 이용한 eNB와 MMME 가 있는 경우 접속시 이용했던 eNB 를 고려하는 등 어느 eNB 로 수신한 정보를 포워딩(forwarding) 할지를 결정한다.
942-1 과정에서 MME-VNO(115)는 MID와 initial provisioning 을 위해서 정보를 보내겠다는 지시자(indication), MID, 보안값, IMSI, 보안키/ 보안마스터키, 프로파일, TA ID 리스트, MSISDN 을 eNB-VNO(113)로 전송한다. 상기 942-1 과정의 지시자는 intial provisioning 을 위해 정보를 보내겠다는 의미로 사용될 수 있는 파라미터이며, MME-VNO(115)가 942-1 과정에서와 같이 initial provision 정보를 제공하는 메시지를 MME 에 연결된 eNB 들에 보낼지 아니면, TA 리스트 등에 근거하여 특정 eNB 에 보낼지 등 어느 eNB 에게 전송하느냐에 따라 실시 예가 달라지는 변형이 가능하다 하겠다.
942-2 과정에서 eNB-VNO(113)는 UE(110)으로 initial provisioning 메시지를 받을 수 있도록 아이들 상태(idle mode)의 UE(110)를 페이징(paging)한다. 한편 942-3 과정에서 eNB-VNO(113)는 MID, 보안값, IMSI, 보안키/ 보안마스터키, 프로파일,MSISDN을 UE(110)으로 시스템 인포메이션 메시지(system information message)로서 브로드캐스트를 통해 전송한다. 942-3-2 과정에서는 UE(110)가 수신한 상기의 정보가 UE(110)가 정당한 UE(110) 자신으로부터 전송된 요청에 의한 것인지 보안값(security value)를 이용하여 검증하게 된다.
943-4 내지 942-5 의 과정은 선택적으로 수행될 수 있다.
942-4과정에서 UE(110)은 보안값 검증이 성공했음을 eNB-VNO(113)에게 알리고 942-5 과정에서 eNB-VNO(113)는 MME(115)에게 단말(110)에서 보안값 검증이 성공했음을 알린다.
이상에서 상세히 설명한 바와 같이 동작하는 본 발명에 있어서, 개시되는 발명 중 대표적인 것에 의하여 얻어지는 효과를 간단히 설명하면 다음과 같다.
본 발명은 이동통신 네트워크에서 단말이 사업자를 선정하여 해당 사업자에 필요한 보안 정보나 기타 관련 정보를 통신을 위하여 단말이 EUTRAN 이나 다른 RAT(GERAN, UTRAN 등) 등 의 환경에서 상황에서 비접속 계층(Non- Access- Stratum 즉 네트워크 계층: 이하 NAS 로 표기) 및 기타 프로토콜 을 이용하여 단말에 단말의 식별자나 보안 관련 파라미터를 전달 및 저장(provisioning) 하는 방법 및 시스템에 대한 것으로서, 본 발명에 따른 프로토콜을 이용하여 단말이 사업자를 설정하고 해당 사업자와의 통신을 위해서 관련 식별자 및 보안 관련 파라미터를 할당 받도록 하여 단말의 인증, 보안 모드 명령의 수행과 통신이 원활히 이루어지도록 하는 방법을 제기함으로써 단말의 보안 관리를 효율적으로 하는 이점이 있다.
한편 본 발명의 상세한 설명에서는 구체적인 실시 예에 관해 설명하였으나, 본 발명의 범위에서 벗어나지 않는 한도 내에서 여러 가지 변형이 가능함은 물론이다. 그러므로 본 발명의 범위는 설명된 실시 예에 국한되지 않으며, 후술되는 특허청구의 범위뿐만 아니라 이 특허청구의 범위와 균등한 것들에 의해 정해져야 한다.
본 발명이 속하는 기술분야의 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시 예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다. 본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구의 범위에 의하여 나타내어지며, 특허청구의 범위의 의미 및 범위 그리고 그 균등 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.
한편, 본 명세서와 도면에는 본 발명의 바람직한 실시 예에 대하여 개시하였으며, 비록 특정 용어들이 사용되었으나, 이는 단지 본 발명의 기술 내용을 쉽게 설명하고 발명의 이해를 돕기 위한 일반적인 의미에서 사용된 것이지, 본 발명의 범위를 한정하고자 하는 것은 아니다. 여기에 개시된 실시 예 외에도 본 발명의 기술적 사상에 바탕을 둔 다른 변형 예들이 실시 가능하다는 것은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 자명한 것이다.

Claims (14)

  1. 이동 통신 단말의 설정 방법에 있어서,
    상기 이동 통신 단말이 네트워크 엔티티로의 접속을 위해 사용되는 네트워크 타입 식별자, 및 상기 접속을 위해 사용되는 보안키 및 식별자를 요청하는 제1 정보를 포함하는 정보 제공 요청 메시지를 상기 정보 제공 엔티티로 송신하는 단계;
    상기 이동 통신 단말이 상기 정보 제공 엔티티로부터 상기 정보 제공 엔티티가 생성한 상기 보안키 및 상기 식별자를 포함하는 제2 정보를 수신하는 단계; 및
    상기 이동 통신 단말이 상기 보안키 및 상기 식별자를 이용하여 상기 네트워크 엔티티로 접속하는 단계를 포함하는 이동 통신 단말의 설정 방법.
  2. 제1항에 있어서,
    상기 정보 제공 요청 메시지는 상기 이동 통신 단말의 식별자(mobile identity: MID)를 포함하는 것을 특징으로 하는 이동 통신 단말의 설정 방법.
  3. 제2항에 있어서,
    상기 정보 제공 요청 메시지는 보안값, 보안 크리덴셜, PLMN ID(Public Land Mobile Network identity), 및 상기 이동 통신 단말의 위치 정보 중 어느 하나 이상을 포함하는 것을 특징으로 하는 이동 통신 단말의 설정 방법.
  4. 제1항에 있어서 상기 정보 제공 엔티티는 USIM 중앙 센터, 홈 구독자 서버(Home Subscriber Server, HSS) 중 어느 하나 혹은 어느 하나 이상에 구현되는 것을 특징으로 하는 이동 통신 단말의 설정 방법.
  5. 삭제
  6. 제2항에 있어서, 상기 이동 통신 단말의 식별자는 IMSI(international mobile station identifier) 및 MSISDN(mobile subscriber integrated service digital network) 중 어느 하나 이상을 포함하는 것을 특징으로 하는 이동 통신 단말의 설정 방법.
  7. 제1항에 있어서, 상기 보안키는 루트 키 및 유도된 루트 키 중 어느 하나 이상을 포함하는 것을 특징으로 하는 이동 통신 단말의 설정 방법
  8. 정보 제공 엔티티의 설정 방법에 있어서,
    상기 정보 제공 엔티티가 이동 통신 단말과 네트워크 엔티티 간 접속을 위해 사용되는 네트워크 타입 식별자, 및 상기 접속을 위해 사용되는 보안키 및 식별자를 요청하는 정보 제공 요청 메시지를 상기 이동 통신 단말로부터 수신하는 단계;
    상기 정보 제공 엔티티가 상기 보안키 및 상기 식별자를 생성하는 단계; 및
    상기 정보 제공 엔티티가 상기 이동 통신 단말로 상기 보안키 및 상기 식별자를 포함하는 제2 정보를 송신하는 단계를 포함하는 정보 제공 엔티티의 설정 방법.
  9. 제8항에 있어서,
    상기 정보 제공 요청 메시지는 상기 이동 통신 단말의 식별자(mobile identity: MID)를 포함하는 것을 특징으로 하는 정보 제공 엔티티의 설정 방법.
  10. 제9항에 있어서,
    상기 정보 제공 요청 메시지는 보안값, 보안 크리덴셜, PLMN ID(Public Land Mobile Network identity), 및 상기 이동 통신 단말의 위치 정보 중 어느 하나 이상을 포함하는 것을 특징으로 하는 정보 제공 엔티티의 설정 방법.
  11. 제8항에 있어서, 상기 정보 제공 엔티티는 USIM 중앙 센터, 홈 구독자 서버(Home Subscriber Server, HSS) 중 어느 하나에 구현되는 것을 특징으로 하는 정보 제공 엔티티의 설정 방법.
  12. 삭제
  13. 제9항에 있어서, 상기 이동 통신 단말의 식별자는 IMSI(international mobile station identifier) 및 MSISDN(mobile subscriber integrated service digital network) 중 어느 하나 이상을 포함하는 것을 특징으로 하는 정보 제공 엔티티의 설정 방법.
  14. 제8항에 있어서, 상기 보안키는 루트 키 및 유도된 루트 키 중 어느 하나 이상을 포함하는 것을 특징으로 하는 정보 제공 엔티티의 설정 방법.
KR1020110067828A 2011-07-08 2011-07-08 이동 통신 시스템에서 단말 설정 방법 KR101800659B1 (ko)

Priority Applications (5)

Application Number Priority Date Filing Date Title
KR1020110067828A KR101800659B1 (ko) 2011-07-08 2011-07-08 이동 통신 시스템에서 단말 설정 방법
PCT/KR2012/005431 WO2013009059A2 (ko) 2011-07-08 2012-07-09 이동 통신 시스템에서 단말 설정 방법
EP12812078.9A EP2731382B1 (en) 2011-07-08 2012-07-09 Method for setting terminal in mobile communication system
US14/131,371 US10306432B2 (en) 2011-07-08 2012-07-09 Method for setting terminal in mobile communication system
ES12812078T ES2793491T3 (es) 2011-07-08 2012-07-09 Procedimiento para configurar un terminal en un sistema de comunicación móvil

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110067828A KR101800659B1 (ko) 2011-07-08 2011-07-08 이동 통신 시스템에서 단말 설정 방법

Publications (2)

Publication Number Publication Date
KR20130006032A KR20130006032A (ko) 2013-01-16
KR101800659B1 true KR101800659B1 (ko) 2017-11-23

Family

ID=47506683

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110067828A KR101800659B1 (ko) 2011-07-08 2011-07-08 이동 통신 시스템에서 단말 설정 방법

Country Status (5)

Country Link
US (1) US10306432B2 (ko)
EP (1) EP2731382B1 (ko)
KR (1) KR101800659B1 (ko)
ES (1) ES2793491T3 (ko)
WO (1) WO2013009059A2 (ko)

Families Citing this family (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101986312B1 (ko) 2011-11-04 2019-06-05 주식회사 케이티 신뢰관계 형성 방법 및 이를 위한 내장 uⅰcc
RU2015135502A (ru) * 2013-01-24 2017-03-02 Хуавей Текнолоджиз Ко., Лтд. Способ и система обработки услуг и относящееся к ним устройство
WO2014171711A1 (ko) * 2013-04-15 2014-10-23 삼성전자 주식회사 이동 통신에서 가입 사업자 변경 제한 정책을 지원하는 정책 적용 방법 및 장치
KR102040231B1 (ko) 2013-04-15 2019-11-06 삼성전자주식회사 이동 통신에서 가입 사업자 변경 제한 정책을 지원하는 정책 적용 방법 및 장치
KR102046159B1 (ko) * 2013-04-15 2019-11-18 삼성전자주식회사 이동 통신에서 가입 사업자 재가입 혹은 추가 가입 제한 정책을 지원하는 보안 방안 및 시스템
GB2527276B (en) * 2014-04-25 2020-08-05 Huawei Tech Co Ltd Providing network credentials
EP3146742B1 (en) * 2014-05-20 2019-07-31 Nokia Technologies Oy Exception handling in cellular authentication
EP3146740B1 (en) * 2014-05-20 2021-04-14 Nokia Technologies Oy Cellular network authentication
US10045177B2 (en) * 2014-06-13 2018-08-07 Samsung Electronics Co., Ltd. Method and device for selective communication service in communication system
KR102367148B1 (ko) * 2014-06-23 2022-02-25 삼성전자 주식회사 인터넷 통신의 효과를 높이는 방법 및 장치
EP3755025A1 (en) 2014-06-23 2020-12-23 Samsung Electronics Co., Ltd. Method and apparatus for optimizing internet communications
KR20160002321A (ko) 2014-06-30 2016-01-07 삼성전자주식회사 무선 통신 시스템에서 통신서비스 제공을 위한 프로파일을 송수신하는 방법 및 장치
WO2016003178A1 (ko) * 2014-06-30 2016-01-07 삼성전자 주식회사 무선 통신 시스템에서 통신서비스 제공을 위한 프로파일을 송수신하는 방법 및 장치
EP3167669B1 (en) * 2014-07-08 2021-03-10 Nokia Solutions and Networks Oy Apparatuses and methods to introduce flexible support for services
US9871828B2 (en) * 2014-07-18 2018-01-16 T-Mobile Usa, Inc. Enhanced IMS services restriction and selection control for mobile devices roaming in foreign networks
SE540133C2 (en) * 2014-10-09 2018-04-10 Kelisec Ab Improved system for establishing a secure communication channel
SE539602C2 (en) 2014-10-09 2017-10-17 Kelisec Ab Generating a symmetric encryption key
SE542460C2 (en) 2014-10-09 2020-05-12 Kelisec Ab Improved security through authenticaton tokens
SE538304C2 (sv) 2014-10-09 2016-05-03 Kelisec Ab Improved installation of a terminal in a secure system
SE539271C2 (en) 2014-10-09 2017-06-07 Kelisec Ab Mutual authentication
AU2015342842A1 (en) * 2014-11-07 2017-05-18 Nextivity, Inc. System and method for selecting an operator to boost in a repeater
US10219153B2 (en) 2015-01-09 2019-02-26 Samsung Electronics Co., Ltd. Mutual authentication between user equipment and an evolved packet core
US10015671B2 (en) 2016-01-19 2018-07-03 T-Mobile Usa, Inc. Network service access control
US11032707B2 (en) * 2016-05-06 2021-06-08 Intel IP Corporation Service authorization and credential provisioning for V2X communications
US11172359B2 (en) * 2017-08-09 2021-11-09 Lenovo (Singapore) Pte. Ltd. Method and apparatus for attach procedure with security key exchange for restricted services for unauthenticated user equipment
US11483699B2 (en) * 2017-11-30 2022-10-25 Telefonaktiebolaget Lm Ericsson (Publ) Initial network access for a subscriber entity
CN109995701B (zh) * 2017-12-29 2020-12-01 华为技术有限公司 一种设备引导的方法、终端以及服务器
US11553381B2 (en) * 2018-01-12 2023-01-10 Qualcomm Incorporated Method and apparatus for multiple registrations
US11363582B2 (en) * 2019-12-20 2022-06-14 Qualcomm Incorporated Key provisioning for broadcast control channel protection in a wireless network
EP3852416B1 (en) 2020-01-15 2022-09-07 Nokia Solutions and Networks Oy Touchless support for commercial in-service user equipment in private mobile networks
WO2021172603A1 (ko) * 2020-02-24 2021-09-02 엘지전자 주식회사 무선 통신 시스템에서 서버를 이용한 v2x 통신을 보호하기 위한 방법
US20230112305A1 (en) * 2021-10-08 2023-04-13 Comcast Cable Communications, Llc Diverse pathway integration
US11765651B1 (en) * 2021-11-08 2023-09-19 Cisco Technology, Inc. Federated provisioning on multiple core networks based on unique device identifiers

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080301776A1 (en) * 2001-02-14 2008-12-04 Weatherford Sidney L System method for providing secure access to a communications network
US20090240944A1 (en) * 2006-12-08 2009-09-24 Electronics And Telecommunications Research Institute Generation method and update method of authorization key for mobile communication
US20110136471A1 (en) * 2009-12-04 2011-06-09 Verizon Patent And Licensing, Inc. Management of cdma credentials on a smart card

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6466788B1 (en) * 1998-12-21 2002-10-15 Telefonaktiebolaget Lm Ericsson (Publ) Methods and apparatus for transferring position data between terminals in wireless communications systems
US7197301B2 (en) * 2002-03-04 2007-03-27 Telespree Communications Method and apparatus for secure immediate wireless access in a telecommunications network
DE10340613A1 (de) * 2003-08-29 2005-03-24 Primojex Gmbh Vorrichtung zur Injektion eines injizierbaren Produktes
US20050227669A1 (en) 2004-04-08 2005-10-13 Ixi Mobile (R&D) Ltd. Security key management system and method in a mobile communication network
KR100882355B1 (ko) * 2006-12-01 2009-02-12 한국전자통신연구원 제어 서버의 성능 향상을 위한 IPv6-IPv4 전환방법 및 시스템
JP2008219797A (ja) * 2007-03-07 2008-09-18 Ntt Docomo Inc 位置情報提供サーバ、位置情報提供システム、位置情報提供方法および移動通信端末
KR100882938B1 (ko) 2007-03-30 2009-02-10 주식회사 케이티프리텔 무선 자동 등록을 이용한 wcdma 단말기 서비스 개통방법
KR20090078277A (ko) 2008-01-14 2009-07-17 (주)케이티에프테크놀로지스 이동 단말기의 이동성 제공 방법 및 이를 수행하는 이동단말기
DE102008025792A1 (de) 2008-05-29 2009-12-17 T-Mobile International Ag Personalisierung einer SIM mittels einer eindeutigen, personlisierten MasterSIM
PL2394452T3 (pl) 2009-02-05 2018-05-30 Ericsson Telefon Ab L M Jednostka sieciowa sieciowego systemu zarządzania urządzeniami do zabezpieczania komunikatu rozruchowego (bootstrap) oraz odpowiednie urządzenie, sposób i program komputerowy
JP5347864B2 (ja) 2009-09-18 2013-11-20 富士通株式会社 移動体通信サービス処理方法、携帯電話端末及び移動体通信網側装置
WO2011057668A1 (en) * 2009-11-13 2011-05-19 Telefonaktiebolaget Lm Ericsson (Publ) Attaching to an access network

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080301776A1 (en) * 2001-02-14 2008-12-04 Weatherford Sidney L System method for providing secure access to a communications network
US20090240944A1 (en) * 2006-12-08 2009-09-24 Electronics And Telecommunications Research Institute Generation method and update method of authorization key for mobile communication
US20110136471A1 (en) * 2009-12-04 2011-06-09 Verizon Patent And Licensing, Inc. Management of cdma credentials on a smart card

Also Published As

Publication number Publication date
WO2013009059A2 (ko) 2013-01-17
KR20130006032A (ko) 2013-01-16
US20140141763A1 (en) 2014-05-22
EP2731382A4 (en) 2015-04-22
EP2731382B1 (en) 2020-04-29
EP2731382A2 (en) 2014-05-14
WO2013009059A3 (ko) 2013-04-11
ES2793491T3 (es) 2020-11-16
US10306432B2 (en) 2019-05-28

Similar Documents

Publication Publication Date Title
KR101800659B1 (ko) 이동 통신 시스템에서 단말 설정 방법
US10681545B2 (en) Mutual authentication between user equipment and an evolved packet core
US8861732B2 (en) Method and system for supporting security in a mobile communication system
US7831835B2 (en) Authentication and authorization in heterogeneous networks
US10141966B2 (en) Update of a trusted name list
KR101490243B1 (ko) 이종망간 핸드오버시 빠른 보안연계 설정방법
US11849318B2 (en) Wireless communication network authentication
CN110035037B (zh) 安全认证方法、相关设备及系统
US10798082B2 (en) Network authentication triggering method and related device
EP3253092A1 (en) Self provisioning of wireless terminals in wireless networks
US8611859B2 (en) System and method for providing secure network access in fixed mobile converged telecommunications networks
US8990555B2 (en) Centralized key management
JP6009071B2 (ja) 遠隔でのスマートカードパーソナライゼーションのための方法およびデバイス
CN113132983A (zh) 智能终端断网重连方法
US20100304713A1 (en) Technique for restricting access to a wireless communication service
KR101780401B1 (ko) 무선 통신 시스템에서의 인증 및 보안 설정을 위한 방법 및 이를 위한 장치
US20220360987A1 (en) Wireless telecommunications network authentication
KR101385846B1 (ko) 통신 방법 및 통신 시스템
CN113543112A (zh) 网络漫游认证方法、装置、电子设备及存储介质
EP2747480A1 (en) Method for accessing a second data communication network and corresponding device and system

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant