KR101840180B1 - 애플리케이션-특정적 네트워크 액세스 크리덴셜들을 이용한 무선 네트워크들에 대한 후원된 접속을 위한 장치 및 방법 - Google Patents

애플리케이션-특정적 네트워크 액세스 크리덴셜들을 이용한 무선 네트워크들에 대한 후원된 접속을 위한 장치 및 방법 Download PDF

Info

Publication number
KR101840180B1
KR101840180B1 KR1020177026181A KR20177026181A KR101840180B1 KR 101840180 B1 KR101840180 B1 KR 101840180B1 KR 1020177026181 A KR1020177026181 A KR 1020177026181A KR 20177026181 A KR20177026181 A KR 20177026181A KR 101840180 B1 KR101840180 B1 KR 101840180B1
Authority
KR
South Korea
Prior art keywords
application
application service
wireless communication
communication network
service provider
Prior art date
Application number
KR1020177026181A
Other languages
English (en)
Other versions
KR20170110157A (ko
Inventor
수범 이
아난드 팔라니고운데르
개빈 버나드 호른
Original Assignee
퀄컴 인코포레이티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 퀄컴 인코포레이티드 filed Critical 퀄컴 인코포레이티드
Publication of KR20170110157A publication Critical patent/KR20170110157A/ko
Application granted granted Critical
Publication of KR101840180B1 publication Critical patent/KR101840180B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • H04L67/16
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/51Discovery or management thereof, e.g. service location protocol [SLP] or web services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • H04L9/0844Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0433Key management protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/20Services signaling; Auxiliary data signalling, i.e. transmitting data via a non-traffic channel
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/16Discovering, processing access restriction or access information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • H04W76/11Allocation or use of connection identifiers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/24Key scheduling, i.e. generating round keys or sub-keys for block encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/72Signcrypting, i.e. digital signing and encrypting simultaneously
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

적어도 하나의 특징은, 애플리케이션 서비스 프로바이더에 의해 제공되는 적어도 하나의 애플리케이션 서비스와 연관된 애플리케이션-특정 인증서를, 애플리케이션 서비스 프로바이더로부터 수신하는 단계를 포함하는, 사용자 디바이스에서 동작가능한 방법에 관한 것이다. 이 방법은 또한, 무선 통신 네트워크가 애플리케이션 서비스 프로바이더에 의해 제공되는 애플리케이션 서비스에 대한 애플리케이션-특정 액세스를 제공하는 것을 결정하는 단계, 및, 사용자 디바이스의 인증을 위해 무선 통신 네트워크에 애플리케이션-특정 인증서를 포함하는 등록 요청을 송신하는 단계를 포함한다. 애플리케이션-특정 인증서는 사용자 디바이스 공개 키를 포함한다. 방법은, 무선 통신 네트워크와 인증 및 키 합의를 수행하는 단계, 및, 인증 및 키 합의가 성공적으로 수행된 후에 애플리케이션 서비스와 통신하는 단계를 더 포함한다. 하나의 양태에서, 네트워크와의 인증 및 키 합의는 사용자 디바이스와 네트워크 사이에 직접적으로 그리고 애플리케이션 서비스 프로바이더에 대해 독립적으로 수행된다.

Description

애플리케이션-특정적 네트워크 액세스 크리덴셜들을 이용한 무선 네트워크들에 대한 후원된 접속을 위한 장치 및 방법
관련 출원들에 대한 상호-참조
본 출원은, 2015년 3월 17일에 미국 특허상표청에 출원된 가출원 제 62/134,206 호, 및 2015년 8월 18일에 미국 특허상표청에 출원된 정규 출원 제 14/829,459 호에 대해 우선권을 주장하고, 이들의 전체 내용들은 참조에 의해 본원에 통합된다.
기술분야
본 발명은 일반적으로 사용자 장비와 무선 네트워크 사이에 데이터 접속을 확립하는 것에 관한 것이다.
일반적으로, 사용자 디바이스에 의한 무선 셀룰러 시스템에 대한 액세스는 사전-배열된 가입자 포맷에 기초한다. 액세스는 통상적으로, 그 무선 셀룰러 시스템의 가입자들이 아니거나 그 무선 셀룰러 시스템과 기존의 관계의 혜택을 가지지 않는 사용자 디바이스들에 대해서는 주어지지 않는다.
하지만, 애플리케이션 서비스 프로바이더는 사용자 디바이스가, 사용자 디바이스에 의한 무선 셀룰러 시스템에 대한 서브스크립션 (subscription) 의 부존재에도 불구하고 무선 셀룰러 시스템을 통해 그것의 서버들 및 서비스들에 대한 액세스를 가지기를 원할 수도 있다. 애플리케이션 서비스 프로바이더는 이러한 액세스에 대해 사용자 디바이스를 대신하여 무선 셀룰러 시스템에 대해 기꺼이 보상할 수도 있다. 이러한 "후원된 접속 (sponsored connectivity)" 은 사용자 디바이스로 하여금 특정 애플리케이션에 대해 애플리케이션 서비스 프로바이더의 서버들에 접속하기 위해 제한된 기초 상에서 무선 셀룰러 네트워크를 이용하도록 허용할 수도 있다.
후원된 접속을 위한 기존의 해결책들은, 베어러 (bearer) 가 후원자 (sponsor) 에 의해 프로비저닝된 가입자 아이덴티티 모듈 (SIM) 에서 구성된 APN 에 기초하는 액세스 포인트 네임 (APN) 기반 포워딩, SIM 능력이 구비된 현재의 가입자들에 대해서만 이용가능한 일반적 부트스트랩핑 아키텍처, 및, 트래픽이 인터넷 프로토콜 (IP) 어드레스들에 기초하여 필터링되는 애플리케이션 기반 포워딩을 포함한다.
하지만, 전술한 기존의 해결책들은 문제점들이 존재한다. 예를 들어, 사용자 디바이스는 오퍼레이터 (예컨대, 무선 셀룰러 시스템) 의 크리덴셜들 (credentials) 을 구비하고 있지 않을 수도 있다. 실례로, 사용자 디바이스는 SIM 이 결여될 수도 있고, 또는, 셀룰러 서브스크립션을 가지지 않을 수도 있다. IP 어드레스 기반 필터링이 사용되는 경우에서, 후원된 접속은 많은 상이한 후원자들 (예컨대, 애플리케이션 서비스 프로바이더들) 에 대해 쉽게 스케일링되지 않을 수도 있고, 비허가된/비인증된 트래픽이 오퍼레이터의 코어 네트워크를 통해 흐를 수도 있으며, 서비스 액세스 네트워크 (예컨대, 게이트웨이) 는 오버로드 어택 (attack) 을 받기 쉬울 수도 있고, 애플리케이션 서비스 프로바이더는 비-서비스 관련 트래픽 (예컨대, 어택에 의해 야기된 트래픽) 에 대해 과금될 수도 있고, "퍼스트-마일 (first-mile)" (예컨대, 진화형 노드 B (eNB) 및/또는 이동성 관리 엔티티 (MME) 를 통한 액세스) 디펜스 (즉, 필터링) 가 이용가능하지 않을 수도 있다.
따라서, 사용자 디바이스들로 하여금, 그 사용자 디바이스들이 서브스크립션들을 결여하는 무선 네트워크를 통해 애플리케이션 서비스 프로바이더를 액세스하도록 허용하는 후원된 접속을 확립하기 위한 향상된 방법들, 장치들, 및 시스템들에 대한 필요성이 존재한다.
하나의 특징은 사용자 디바이스에서 동작가능한 방법을 제공하고, 이 방법은, 애플리케이션 서비스 프로바이더로부터, 애플리케이션 서비스 프로바이더에 의해 제공되는 적어도 하나의 애플리케이션 서비스와 연관된 애플리케이션-특정 인증서 (application-specific certificate) 를 수신하는 단계, 무선 통신 네트워크가 애플리케이션 서비스 프로바이더에 의해 제공되는 애플리케이션 서비스에 대한 애플리케이션-특정 액세스를 제공하는 것을 결정하는 단계, 사용자 디바이스의 인증을 위해 무선 통신 네트워크에 애플리케이션-특정 인증서를 포함하는 등록 요청을 송신하는 단계로서, 애플리케이션-특정 인증서는 애플리케이션 서비스와 연관된 공개 키 (public key) 를 포함하는, 상기 등록 요청을 송신하는 단계, 무선 통신 네트워크와 인증 및 키 합의를 수행하는 단계, 및, 인증 및 키 합의가 성공적으로 수행된 후에 애플리케이션 서비스와 통신하는 단계를 포함한다. 하나의 양태에 따르면, 무선 통신 네트워크와의 인증 및 키 합의는 사용자 디바이스와 무선 통신 네트워크 사이에 직접적으로 그리고 애플리케이션 서비스 프로바이더에 대해 독립적으로 수행된다. 다른 양태에 따르면, 애플리케이션 서비스와 연관된 공개 키는 사용자 디바이스 공개 키이고, 애플리케이션-특정 인증서는 애플리케이션-특정 디지털 서명을 더 포함하고, 애플리케이션-특정 디지털 서명은 애플리케이션 서비스 프로바이더의 개인 키 (private key) 에 의해 서명된 사용자 디바이스 공개 키를 포함한다.
하나의 양태에 따르면, 애플리케이션-특정 인증서는 애플리케이션 식별자 및 애플리케이션-특정 디지털 서명을 더 포함하고, 애플리케이션-특정 디지털 서명은 애플리케이션 서비스 프로바이더의 개인 키에 의해 양자 모두 서명된 애플리케이션 식별자 및 공개 키를 포함하며, 애플리케이션 식별자는 애플리케이션 서비스와 고유하게 연관된다. 다른 양태에 따르면, 방법은, 인증 및 키 합의가 성공적인 후에 애플리케이션 서비스에 대한 애플리케이션-특정 액세스를 획득하는 단계를 더 포함한다. 또 다른 양태에 따르면, 무선 통신 네트워크가 애플리케이션-특정 액세스를 제공하는 것을 결정하는 단계는, 무선 통신 네트워크를 통한 애플리케이션 서비스의 이용가능성의 무선 통신 네트워크에 의해 브로드캐스트된 발표 (announcement) 를 수신하는 단계를 포함한다.
하나의 양태에 따르면, 방법은, 애플리케이션 서비스 프로바이더로부터, 신뢰된 무선 통신 네트워크들과 연관된 복수의 인증서들을 수신하는 단계를 더 포함하고, 복수의 인증서들은 무선 통신 네트워크의 공개 키인 무선 통신 네트워크 공개 키를 갖는 인증서를 포함한다. 다른 양태에 따르면, 방법은, 무선 통신 네트워크 공개 키를 이용하여 무선 통신 네트워크 디지털 서명을 검증함으로써 무선 통신 네트워크를 인증하는 단계를 더 포함하고, 무선 통신 네트워크 디지털 서명은 무선 통신 네트워크로부터 수신된 애플리케이션 서비스 발표에 포함된다. 또 다른 양태에 따르면, 방법은, 인증 및 키 합의가 성공적으로 수행된 후에 애플리케이션 서비스 프로바이더에 의해 허용된 애플리케이션 서비스들의 셋트와 사용자 디바이스 사이의 통신을 가능하게 하는 단계를 더 포함한다.
다른 특징은, 무선 통신 네트워크와 무선으로 통신하도록 구성된 무선 통신 인터페이스, 및, 통신 인터페이스에 통신가능하게 커플링된 프로세싱 회로를 포함하는 사용자 디바이스를 제공하고, 이 프로세싱 회로는, 애플리케이션 서비스 프로바이더로부터, 애플리케이션 서비스 프로바이더에 의해 제공되는 적어도 하나의 애플리케이션 서비스와 연관된 애플리케이션-특정 인증서를 수신하고, 무선 통신 네트워크가 애플리케이션 서비스 프로바이더에 의해 제공되는 애플리케이션 서비스에 대한 애플리케이션-특정 액세스를 제공하는 것을 결정하며, 사용자 디바이스의 인증을 위해 무선 통신 네트워크에 애플리케이션-특정 인증서를 포함하는 등록 요청을 송신하는 것으로서, 애플리케이션-특정 인증서는 애플리케이션 서비스와 연관된 공개 키를 포함하는, 상기 등록 요청을 송신하는 것을 행하고, 무선 통신 네트워크와 인증 및 키 합의를 수행하고, 그리고, 인증 및 키 합의가 성공적으로 수행된 후에 애플리케이션 서비스와 통신하도록 구성된다. 하나의 양태에 따르면, 프로세싱 회로는, 인증 및 키 합의가 성공적인 후에 애플리케이션 서비스에 대한 애플리케이션-특정 액세스를 획득하도록 더 구성된다. 다른 양태에 따르면, 무선 통신 네트워크가 애플리케이션-특정 액세스를 제공하는 것을 결정하도록 구성된 프로세싱 회로는, 무선 통신 네트워크를 통한 애플리케이션 서비스의 이용가능성의 무선 통신 네트워크에 의해 브로드캐스트된 발표를 수신하도록 더 구성된 프로세싱 회로를 포함한다.
하나의 양태에 따르면, 프로세싱 회로는, 애플리케이션 서비스 프로바이더로부터, 신뢰된 무선 통신 네트워크들과 연관된 복수의 인증서들을 수신하도록 더 구성되고, 복수의 인증서들은 무선 통신 네트워크의 공개 키인 무선 통신 네트워크 공개 키를 갖는 인증서를 포함한다. 다른 양태에 따르면, 프로세싱 회로는, 무선 통신 네트워크 공개 키를 이용하여 무선 통신 네트워크 디지털 서명을 검증함으로써 무선 통신 네트워크를 인증하도록 더 구성되고, 무선 통신 네트워크 디지털 서명은 무선 통신 네트워크로부터 수신된 애플리케이션 서비스 발표에 포함된다. 또 다른 양태에 따르면, 프로세싱 회로는, 인증 및 키 합의가 성공적으로 수행된 후에 애플리케이션 서비스 프로바이더에 의해 허용된 애플리케이션 서비스들의 셋트와 사용자 디바이스 사이의 통신을 가능하게 하도록 더 구성된다.
다른 특징은, 애플리케이션 서비스 프로바이더로부터, 애플리케이션 서비스 프로바이더에 의해 제공되는 적어도 하나의 애플리케이션 서비스와 연관된 애플리케이션-특정 인증서를 수신하는 수단, 무선 통신 네트워크가 애플리케이션 서비스 프로바이더에 의해 제공되는 애플리케이션 서비스에 대한 애플리케이션-특정 액세스를 제공하는 것을 결정하는 수단, 사용자 디바이스의 인증을 위해 무선 통신 네트워크에 애플리케이션-특정 인증서를 포함하는 등록 요청을 송신하는 수단으로서, 애플리케이션-특정 인증서는 애플리케이션 서비스와 연관된 공개 키를 포함하는, 상기 등록 요청을 송신하는 수단, 무선 통신 네트워크와 인증 및 키 합의를 수행하는 수단, 및, 인증 및 키 합의가 성공적으로 수행된 후에 애플리케이션 서비스와 통신하는 수단을 포함하는, 사용자 디바이스를 제공한다. 하나의 양태에 따르면, 사용자 디바이스는, 인증 및 키 합의가 성공적인 후에 애플리케이션 서비스에 대한 애플리케이션-특정 액세스를 획득하는 수단을 더 포함한다. 다른 양태에 따르면, 사용자 디바이스는, 애플리케이션 서비스 프로바이더로부터, 신뢰된 무선 통신 네트워크들과 연관된 복수의 인증서들을 수신하는 수단, 및, 무선 통신 네트워크 공개 키를 이용하여 무선 통신 네트워크 디지털 서명을 검증함으로써 무선 통신 네트워크를 인증하는 수단을 더 포함하고, 복수의 인증서들은 무선 통신 네트워크의 공개 키인 무선 통신 네트워크 공개 키를 갖는 인증서를 포함하고, 무선 통신 네트워크 디지털 서명은 무선 통신 네트워크로부터 수신된 애플리케이션 서비스 발표에 포함된다.
다른 특징은, 무선 통신 네트워크와 연관된 무선 통신 네트워크 디바이스에서 동작가능한 방법을 제공하고, 이 방법은, 애플리케이션 서비스 프로바이더로부터, 애플리케이션 서비스 프로바이더 공개 키를 포함하는 애플리케이션 서비스 프로바이더 인증서를 수신하는 단계, 사용자 디바이스로부터, 애플리케이션 서비스 프로바이더에 의해 제공되는 애플리케이션 서비스에 대한 애플리케이션-특정 액세스를 위한 등록 요청을 수신하는 단계로서, 등록 요청은 애플리케이션 서비스 프로바이더에 의해 서명된 애플리케이션-특정 인증서를 포함하고, 애플리케이션-특정 인증서는 애플리케이션 서비스와 연관된 공개 키를 포함하는, 상기 등록 요청을 수신하는 단계, 사용자 디바이스를 인증하기 위해 애플리케이션 서비스 프로바이더 공개 키를 이용하여 애플리케이션-특정 인증서를 검증하는 단계, 및, 사용자 디바이스와 인증 및 키 합의를 수행하는 단계를 포함한다. 하나의 양태에 따르면, 사용자 디바이스와의 인증 및 키 합의는 사용자 디바이스와 무선 통신 네트워크 사이에 직접적으로 그리고 애플리케이션 서비스 프로바이더에 대해 독립적으로 수행된다. 다른 양태에 따르면, 사용자 디바이스로부터 등록 요청을 수신하기 전에 애플리케이션 서비스와 연관된 애플리케이션 서비스 등록 정보를 수신하는 단계를 더 포함한다.
하나의 양태에 따르면, 방법은, 무선 통신 네트워크를 통해 애플리케이션 서비스에 대한 애플리케이션-특정 액세스의 이용가능성을 나타내는 발표를 브로드캐스트하는 단계를 더 포함한다. 다른 양태에 따르면, 애플리케이션 서비스 발표는 무선 통신 네트워크의 개인 키에 의해 서명된 무선 통신 네트워크 디지털 서명을 포함하고, 디지털 서명은 무선 통신 네트워크 공개 키를 이용한 사용자 디바이스에서의 검증을 위해 적응된다. 또 다른 양태에 따르면, 애플리케이션 서비스와 연관된 공개 키는 사용자 디바이스 공개 키이고, 애플리케이션-특정 인증서는 애플리케이션-특정 디지털 서명을 더 포함하며, 애플리케이션-특정 디지털 서명은 애플리케이션 서비스 프로바이더의 개인 키에 의해 서명된 사용자 디바이스 공개 키를 포함한다.
하나의 양태에 따르면, 애플리케이션-특정 인증서는 애플리케이션 식별자 및 애플리케이션-특정 디지털 서명을 더 포함하고, 애플리케이션-특정 디지털 서명은 애플리케이션 서비스 프로바이더의 개인 키에 의해 양자 모두 서명된 애플리케이션 식별자 및 공개 키를 포함하며, 애플리케이션 식별자는 애플리케이션 서비스와 고유하게 연관된다. 다른 양태에 따르면, 방법은, 인증 및 키 합의가 성공적인 후에 애플리케이션 서비스에 대해 사용자 디바이스에 대한 애플리케이션-특정 액세스를 제공하는 단계를 더 포함한다. 또 다른 양태에 따르면, 방법은, 취소되었고 애플리케이션-특정 액세스가 승인되어서는 안되는 사용자 디바이스들에 대해 프로비저닝된 복수의 애플리케이션-특정 인증서들을 포함하는 애플리케이션-특정 인증서 취소 리스트를 저장하는 단계를 더 포함한다.
또 다른 특징은, 무선 통신 네트워크와 연관된 무선 통신 네트워크 디바이스를 제공하고, 이 무선 통신 네트워크 디바이스는, 적어도 사용자 디바이스와 무선으로 통신하도록 구성된 무선 통신 인터페이스, 및, 무선 통신 인터페이스에 통신가능하게 커플링된 프로세싱 회로를 포함하고, 이 프로세싱 회로는, 애플리케이션 서비스 프로바이더로부터, 애플리케이션 서비스 프로바이더 공개 키를 포함하는 애플리케이션 서비스 프로바이더 인증서를 수신하고, 사용자 디바이스로부터, 애플리케이션 서비스 프로바이더에 의해 제공되는 애플리케이션 서비스에 대한 애플리케이션-특정 액세스를 위한 등록 요청을 수신하는 것으로서, 등록 요청은 애플리케이션 서비스 프로바이더에 의해 서명된 애플리케이션-특정 인증서를 포함하고, 애플리케이션-특정 인증서는 애플리케이션 서비스와 연관된 공개 키를 포함하는, 상기 등록 요청을 수신하는 것을 행하며, 사용자 디바이스를 인증하기 위해 애플리케이션 서비스 프로바이더 공개 키를 이용하여 애플리케이션-특정 인증서를 검증하고, 그리고, 사용자 디바이스와 인증 및 키 합의를 수행하도록 구성된다. 하나의 양태에 따르면, 프로세싱 회로는, 사용자 디바이스로부터 등록 요청을 수신하기 전에 애플리케이션 서비스와 연관된 애플리케이션 서비스 등록 정보를 수신하도록 더 구성된다. 다른 양태에 따르면, 프로세싱 회로는, 무선 통신 네트워크를 통해 애플리케이션 서비스에 대한 애플리케이션-특정 액세스의 이용가능성을 나타내는 발표를 브로드캐스트하도록 더 구성된다.
하나의 양태에 따르면, 프로세싱 회로는, 인증 및 키 합의가 성공적인 후에 애플리케이션 서비스에 대해 사용자 디바이스에 대한 애플리케이션-특정 액세스를 제공하도록 더 구성된다. 다른 양태에 따르면, 프로세싱 회로는, 취소되었고 애플리케이션-특정 액세스가 승인되어서는 안되는 사용자 디바이스들에 대해 프로비저닝된 복수의 애플리케이션-특정 인증서들을 포함하는 애플리케이션-특정 인증서 취소 리스트를 저장하도록 더 구성된다.
다른 특징은, 애플리케이션 서비스 프로바이더로부터, 애플리케이션 서비스 프로바이더 공개 키를 포함하는 애플리케이션 서비스 프로바이더 인증서를 수신하는 수단, 사용자 디바이스로부터, 애플리케이션 서비스 프로바이더에 의해 제공되는 애플리케이션 서비스에 대한 애플리케이션-특정 액세스를 위한 등록 요청을 수신하는 수단으로서, 등록 요청은 애플리케이션 서비스 프로바이더에 의해 서명된 애플리케이션-특정 인증서를 포함하고, 애플리케이션-특정 인증서는 애플리케이션 서비스와 연관된 공개 키를 포함하는, 상기 등록 요청을 수신하는 수단, 사용자 디바이스를 인증하기 위해 애플리케이션 서비스 프로바이더 공개 키를 이용하여 애플리케이션-특정 인증서를 검증하는 수단, 및, 사용자 디바이스와 인증 및 키 합의를 수행하는 수단을 포함하는, 무선 통신 네트워크 디바이스를 제공한다. 하나의 양태에 따르면, 무선 통신 네트워크 디바이스는, 사용자 디바이스로부터 등록 요청을 수신하기 전에 애플리케이션 서비스와 연관된 애플리케이션 서비스 등록 정보를 수신하는 수단을 더 포함한다. 다른 양태에 따르면, 무선 통신 네트워크 디바이스는, 인증 및 키 합의가 성공적인 후에 애플리케이션 서비스에 대해 사용자 디바이스에 대한 애플리케이션-특정 액세스를 제공하는 수단을 더 포함한다.
도 1 은 하나 이상의 애플리케이션 서비스들에 대해 후원된 접속 (즉, "애플리케이션-특정 액세스 (application-specific access)") 을 피처링 (featuring) 하는 통신 시스템의 하이-레벨 개략도를 나타낸다.
도 2 는 애플리케이션-특정 크리덴셜들을 이용하여 후원된 접속을 제공하기 위한 하이-레벨 플로우차트를 나타낸다.
도 3 및 도 4 는 애플리케이션-특정 크리덴셜로서 공유된 키를 이용하여 후원된 접속을 확립하기 위해 예시적인 통신 시스템 내에서 실행되는 다양한 프로세스들/단계들을 나타낸다.
도 5 및 도 6 은 애플리케이션-특정 크리덴셜로서 공개 키 인증서를 이용하여 후원된 접속을 확립하기 위해 예시적인 통신 시스템 내에서 실행되는 다양한 프로세스들/단계들을 나타낸다.
도 7a 및 도 7b 는 공유된 키를 이용하여 후원된 접속을 실행하기 위한 프로세스 플로우차트를 나타낸다.
도 8a 및 도 8b 는 공개 키 인증서를 이용하여 후원된 접속을 실행하기 위한 프로세스 플로우차트를 나타낸다.
도 9 는 공개 키를 이용하여 후원된 접속을 실행하기 위한 프로세스 플로우차트를 나타낸다.
도 10 은 사용자 디바이스의 개략적 블록도를 나타낸다.
도 11 은 사용자 디바이스의 프로세싱 회로의 제 1 예시적인 개략적 블록도를 나타낸다.
도 12 는 사용자 디바이스의 프로세싱 회로의 제 2 예시적인 개략적 블록도를 나타낸다.
도 13 은 애플리케이션-특정 액세스를 획득하기 위해 사용자 디바이스에서 동작가능한 제 1 예시적인 방법의 플로우차트를 나타낸다.
도 14 는 애플리케이션-특정 액세스를 획득하기 위해 사용자 디바이스에서 동작가능한 제 2 예시적인 방법의 플로우차트를 나타낸다.
도 15 는 무선 통신 네트워크 디바이스의 개략적 블록도를 나타낸다.
도 16 은 네트워크 디바이스의 프로세싱 회로의 제 1 예시적인 개략적 블록도를 나타낸다.
도 17 은 네트워크 디바이스의 프로세싱 회로의 제 2 예시적인 개략적 블록도를 나타낸다.
도 18 은 애플리케이션-특정 액세스를 제공하기 위해 네트워크 디바이스에서 동작가능한 제 1 예시적인 방법의 플로우차트를 나타낸다.
도 19 는 애플리케이션-특정 액세스를 제공하기 위해 네트워크 디바이스에서 동작가능한 제 2 예시적인 방법의 플로우차트를 나타낸다.
이하의 설명에서, 본 개시의 다양한 양태들의 철저한 이해를 제공하기 위해 구체적인 상세들이 주어진다. 하지만, 이 양태들은 이들 구체적인 상세들 없이 실시될 수도 있음은 당해 기술분야에서 통상의 지식을 가진 자 (이하, '통상의 기술자' 라 함) 에 의해 이해될 것이다. 예를 들어, 회로는 불필요한 상세에서 양태들을 모호하게 하는 것을 회피하기 위해 블록도들로 보여질 수도 있다. 다른 경우들에서, 잘 알려진 회로들, 구조들, 및 기술들은 본 개시의 양태들을 모호하게 하지 않도록 상세하게 나타나지 않을 수도 있다.
"예시적" 이라는 단어는 "예, 실례, 또는 예시로서 기능하는" 것을 의미하기 위해 본 명세서에서 사용된다. "예시적" 인 것으로서 본 명세서에서 설명된 임의의 구현 또는 양태는 반드시 본 개시의 다른 양태들에 비해 선호되거나 이로운 것으로서 해석될 필요는 없다. 마찬가지로, "양태들" 이라는 용어는 본 개시의 모든 양태들이 논의된 특징, 이점 또는 동작 모드를 포함할 것을 요구하지 않는다. 본 명세서에서 사용된 바와 같이, "애플리케이션 서비스 (application service)" 라는 용어는 애플리케이션 서비스 프로바이더에 의해 제공되고 및/또는 애플리케이션 서비스 프로바이더에 의해 그것에 대한 액세스가 허용되는 애플리케이션 및/또는 서비스를 지칭한다. "애플리케이션 서비스 프로바이더 (application service provider)" 라는 용어는 애플리케이션 서비스를 제공하는 엔티티를 지칭한다.
도 1 은 본 개시의 하나의 양태에 따른, 하나 이상의 애플리케이션 서비스들을 위해 후원된 접속 (즉, "애플리케이션-특정 액세스") 을 피처링하는 통신 시스템 (100) 의 하이-레벨 개략도를 나타낸다. 시스템은 무선 통신 네트워크 (104) (예컨대, 무선 셀룰러 네트워크) 와 무선 통신 (103) 하는 복수의 사용자 디바이스들 (102) (예컨대, 사용자 장비 (UE)) 를 포함한다. 무선 통신 네트워크 (104) 는 하나 이상의 라디오 액세스 네트워크들 (106) 및 코어 네트워크 (108) 를 포함할 수도 있다. 복수의 사용자 디바이스들 (102) 은 사이에 무선 통신 네트워크 (104) 및 임의의 다른 패킷 데이터 네트워크 (PDN) 들 (110) (예컨대, 인터넷, 인스턴트 메시징 서비스들 (IMS) 등) 을 통해 애플리케이션 서비스 프로바이더 (112) 를 액세스 (즉, 와 통신) 할 수도 있다. 실례로, 복수의 디바이스들 (102) 은 애플리케이션 서비스 프로바이더 (112) 에 의해 제공된 (예컨대, 에 의해 호스팅된) 및/또는 에 의해 그것에 대해 액세스하도록 허용된 하나 이상의 애플리케이션 서비스들 (114) 에 대해 액세스하기를 원할 수도 있다. 예를 들어, 애플리케이션 서비스 (114) 는 애플리케이션 서비스 프로바이더 (112) 에 의해 제공된 소프트웨어일 수도 있다. 다른 예로서, 애플리케이션 서비스 (114) 는 사용자 디바이스들 (102) 로 하여금 애플리케이션 서비스 프로바이더 (112) 에 의해 제공/소유되지 않은 다른 애플리케이션들, 데이터, 웹사이트들, 및/또는 서비스들을 액세스하도록 허용할 수도 있다. 이러한 면에서, 애플리케이션 서비스 (114) 는 사용자 디바이스들 (102) 로 하여금 일부 경우들에서 일반적인 데이터 접속을 너무 액세스하도록 허용할 수도 있다.
하나의 양태에 따르면, 사용자 디바이스들 (102) 은 비제한적으로 이동 전화기들, 스마트폰들, 랩톱들, 퍼스널 디지털 어시스턴트 (PDA) 들, 태블릿들, 컴퓨터들, 스마트워치들, 및 헤드-마운티드 웨어러블 컴퓨터들 (예컨대, Google Glass®) 등과 같은 무선 통신 디바이스들이다. 하나의 양태에 따르면, 셀룰러 네트워크 (104) 는 비제한적으로 GSM (Global System for Mobile Communications) 네트워크, UMTS (Universal Mobile Telecommunications System) 네트워크, LTE (long term evolution) 네트워크, 및 임의의 다른 무선 통신 네트워크를 포함하는 임의의 무선 네트워크일 수도 있다. 하나의 양태에 따르면, 애플리케이션 서비스 (114) 는 애플리케이션 서비스 프로바이더 (112) 에 의해 제공, 호스팅, 및/또는 그 외에 관리되는, 비제한적으로 웹사이트, 소프트웨어, 프로그램, 데이터베이스 등과 같은 임의의 전자적 애플리케이션 및/또는 서비스일 수도 있다. 하나 이상의 서버들 또는 다른 하드웨어 디바이스들은 애플리케이션 서비스 (114) 의 동작을 용이하게 하기 위해 애플리케이션 서비스 프로바이더 (112) 를 포함할 수도 있다. 비록 오직 하나의 애플리케이션 서비스 (114) 만이 도시되지만, 애플리케이션 서비스 프로바이더 (112) 는 복수의 상이한 애플리케이션 서비스들 (예컨대, 서비스들의 셋트) 을 제공할 수도 있다. 유사하게, 비록 오직 하나의 애플리케이션 서비스 프로바이더 (112) 만이 도시되지만, 무선 통신 네트워크 (104) 를 통해 애플리케이션-특정 액세스를 통해 이용가능할 수도 있는 하나 이상의 애플리케이션 서비스들을 각각 제공하는 복수의 상이한 애플리케이션 서비스 프로바이더들이 존재할 수도 있다.
사용자 디바이스들 (102) 은 무선 통신 네트워크 (104) 와 서브스크립션 또는 임의의 기존의 관계를 가지지 않을 수도 있다. 따라서, 보통, 사용자 디바이스들 (102) 은 일반적으로 데이터를 전송 또는 수신하기 위해 무선 통신 네트워크 (104) 를 이용하는 것이 가능하지 않을 수도 있다. 하지만, 애플리케이션 서비스 프로바이더 (112) 와 무선 통신 네트워크 (104) 의 오퍼레이터 사이에 사전-협상된 배열들 및 합의들이 주어지면, 무선 통신 네트워크 (104) 는 사용자 디바이스들 (102) 로 하여금 네트워크 (104) 를 이용하여 애플리케이션 서비스 프로바이더 (112) 및/또는 그것의 애플리케이션 서비스 (114) 를 액세스하도록 허용하고, 있다면 애플리케이션 서비스 프로바이더 (112) 에 대해 이러한 사용에 대한 요금들의 전부가 아니더라도 적어도 부분을 과금할 수도 있다. 이런 의미에서, 애플리케이션 서비스 프로바이더 (112) 는 사용자 디바이스의 무선 통신 네트워크 (104) 의 사용을 후원하고, 사용자 디바이스들 (102) 은 따라서 애플리케이션 서비스 프로바이더 (112) 및/또는 애플리케이션 서비스 (114) 에 대한 후원된 접속을 갖는다.
도 2 는 본 개시의 하나의 양태에 따른, 애플리케이션-특정 크리덴셜들을 이용하여 후원된 접속을 제공하기 위한 하이-레벨 플로우차트 (200) 를 나타낸다. 일반적으로, 사용자 디바이스에게 무선 네트워크에 대한 후원된 접속을 제공하기 위한 프로세스는 셋업 (202) (예컨대, 셋업 페이즈) 및 인증 (204) (예컨대, 인증 페이즈) 을 포함한다.
셋업 (202) 동안, 사용자 디바이스는 애플리케이션 서비스 프로바이더에 의해 애플리케이션-특정 크리덴셜 (206) 로 프로비저닝될 수도 있다. 애플리케이션-특정 크리덴셜은 사용자 디바이스로 하여금 무선 통신 네트워크를 통해 애플리케이션 서비스 프로바이더에 의해 제공된 애플리케이션 서비스에 대한 애플리케이션-특정 액세스를 위해 인증되도록 허용한다. 애플리케이션-특정 크리덴셜은, 비제한적으로, 사용자 디바이스의 공개 키 (있다면) 를 이용하여 크리덴셜을 암호화하는 것 및/또는 보안 소켓들 계층 (SSL) 또는 전송 계층 보안 (TLS) 암호화 프로토콜을 이용하는 것과 같은 보안된 방식으로 공급될 수도 있다. 애플리케이션-특정 크리덴셜은 공유된 키 (예컨대, 대칭 키), 사용자 디바이스 공개 키 인증서, 및/또는 양자의 조합에 기초할 수도 있다. 예를 들어, 하나의 양태에서, 애플리케이션-특정 크리덴셜은 사용자 디바이스에 대해 제공된 공유된 키일 수도 있고, 또한 애플리케이션 서비스 프로바이더에 저장될 수도 있다. 다른 예로서, 애플리케이션-특정 크리덴셜은 애플리케이션-특정 디지털 서명 (digital signature) 을 포함하는 애플리케이션-특정 인증서 (certificate) 일 수도 있다. 애플리케이션-특정 크리덴셜은 사용자 디바이스의 보안 실행 환경 또는 신뢰된 실행 환경에 저장될 수도 있다. 보안 실행 환경의 하나의 비제한적인, 비배타적인 예는 ARM® 아키텍처에서의 TrustZone® 이다.
또한 셋업 (202) 동안, 사용자 디바이스는 신뢰된 무선 통신 네트워크들과 연관된 복수의 인증서들로 프로비저닝될 수도 있다 (208). 예를 들어, 복수의 인증서들은 신뢰된 모바일 네트워크 오퍼레이터들 (MNO) 의 인증서들의 리스트일 수도 있다. 애플리케이션 서비스 프로바이더는 또한, 무선 통신 네트워크의 일부일 수도 있는 서비스 프로비저닝 기능 (service provisioning function; SPF) 에 애플리케이션 서비스를 등록하는 것을 포함하는 서비스 프로비저닝을 수행할 수도 있다 (210). SPF 는 다시, 애플리케이션-특정 크리덴셜이 애플리케이션-특정 인증서인 경우에 애플리케이션 서비스 프로바이더의 공개 키로 하나 이상의 무선 통신 네트워크 디바이스들 (예컨대, RAN, MME 등) 을 프로비저닝할 수도 있다 (210). 하나의 예에 따르면, 애플리케이션 서비스 프로바이더의 공개 키는 네트워크 디바이스들 그 자신에 의해 제공될 수도 있다. 다른 예로서, 그것은 인증서의 형태로 제공될 수도 있다: 자기-서명된 인증서 (즉, 애플리케이션 서비스 프로바이더에 의해 서명된 애플리케이션 서비스 프로바이더의 공개 키 인증서) 또는 제 3 자 서명된 인증서 중 어느 일방.
셋업 (202) 후에, 인증 (204) 및 키 합의 (key agreement) 가, 사용된 애플리케이션-특정 크리덴셜이 공유된 키 (212) 또는 공개 키 (214) 인지 여부에 기초하여 수행될 수도 있다. 애플리케이션-특정 크리덴셜이 공유된 키 (212) 인 경우에, 애플리케이션 서비스 프로바이더는 홈 가입자 서비스 (HSS) 인증, 인증 및 어카운팅 (AAA) 엔티티로서 작용한다. 공유된 키는 비밀로 유지되고, 사용자 디바이스와 애플리케이션 서비스 프로바이더 사이에 메인 통신 채널 (예컨대, 도 4 에서 도시된 데이터 경로) 과는 상이한 대역 외 통신 채널 (예컨대, Wi-Fi®) 을 통해 사용자 디바이스와 애플리케이션 서비스 프로바이더 사이에 사전-공유될 수도 있다. 하나의 양태에서, 데이터 접속 (예컨대, 인터넷을 통한 데이터 통신 채널) 은, MME 와 애플리케이션 서비스 프로바이더가 서로 사이에 직접 시그널링 채널 (예컨대, 제어 채널) 을 가지지 못할 수도 있기 때문에, 무선 통신 네트워크 디바이스(들) (예컨대, MME) 와 애플리케이션 서비스 프로바이더 사이에 확립된다. 먼저, 데이터 접속은 사용자 디바이스를 인증 (예컨대, 인증 및 키 합의를 성공적으로 수행) 하기 위해 애플리케이션 서비스 프로바이더에 인증 정보 요청을 포워딩하기 위해서만 사용될 수도 있다. 오직 사용자 디바이스가 인증되고 나면, 사용자 디바이스는 또한 그 데이터 접속 및/또는 다른 데이터 접속을 통해 애플리케이션 서비스 프로바이더에 데이터 트래픽을 송신할 수도 있다. 또한, 애플리케이션 서버에 대한 애플리케이션-특정 트래픽/이동성 핸들링 (예컨대, 베어러 사전-구성) 이 구성될 수도 있다.
애플리케이션-특정 크리덴셜이 애플리케이션-특정 인증서인 경우에, 무선 통신 네트워크는 애플리케이션-특정 인증서 내에 포함된 애플리케이션-특정 디지털 서명을 검증함으로써 네트워크를 통해 후원된 접속을 얻으려고 시도하는 사용자 디바이스를 인증할 수도 있다. 네트워크 액세스 인증이 애플리케이션 서비스 프로바이더를 접촉할 필요 없이 무선 네트워크 내에서 수행된다. 즉, 네트워크 액세스 인증은 애플리케이션 서비스 프로바이더에 대해 독립적으로 (즉, 인증을 위해 애플리케이션 서비스 프로바이더를 접촉할 필요 없이) 무선 통신 네트워크와 사용자 디바이스 사이에서 수행될 수도 있다. 따라서, 이러한 경우에서의 애플리케이션-특정 인증 및 필터링은 (예컨대, RAN 및/또는 MME 에 의해 시행된) "퍼스트 마일 (first mile)" 에서 집행될 수 있다. 유사하게, 사용자 디바이스는, 애플리케이션 서비스에 대한 후원된 접속을 확립하기를 시도하고 있는 특정 무선 통신 네트워크를 인증하기 위해 그것이 프로비저닝되었던 신뢰된 무선 통신 네트워크들과 연관된 복수의 인증서들을 사용할 수도 있다. 구체적으로, 사용자 디바이스는 무선 통신 네트워크에 의해 브로드캐스트된 발표들 (예컨대, 애플리케이션 서비스 발표들) 에 포함된 하나 이상의 디지털 서명들을 검증하기 위해 이들 인증서들을 사용할 수도 있다.
도 3 및 도 4 는 본 개시의 하나의 양태에 따른, 애플리케이션-특정 크리덴셜로서 공유된 키를 이용하여 후원된 접속을 확립하기 위해 예시적인 통신 시스템 (300) 내에서 실행되는 다양한 프로세스들/단계들을 나타낸다. 도 3 을 참조하면, 애플리케이션 서비스 프로바이더 (ASP) (112) 는 먼저 서비스 프로비저닝 기능 (SPF) (302) 을 통해 무선 통신 네트워크 (104) 에 대해 애플리케이션 서비스 (114) 를 등록할 수도 있다 (단계들 A1 또는 A2 및 단계 B). 일부 양태들에서, SPF (302) 는 무선 통신 네트워크 (104) 의 일부일 수도 있다 (예컨대, 그것은 네트워크 (104) 의 임의의 네트워크 디바이스에서 상주하는 소프트웨어일 수도 있다). 무선 통신 네트워크 (104) 에 대한 애플리케이션 서비스의 등록은, 애플리케이션 서비스에 대해 고유하게 연관되는 애플리케이션 식별자, 빌링 관련 정보, SPF (302) 와 ASP (112) 사이의 인터페이스 셋업 정보 (예컨대, 보안 연관된 정보, 가상 사설 네트워크 정보 등), 및 기타 등등을 포함할 수도 있는 애플리케이션 서비스 등록 정보를 제공/프로비저닝하는 것을 포함할 수도 있다. 애플리케이션 서비스 등록 정보는 비제한적으로 RAN (106), MME (304), 및/또는 서비스 쿼리 프로토콜 (SQP) 서버 (303) 를 포함하는 네트워크 (104) 의 네트워크 디바이스들에 대해 제공될 수도 있다.
하나의 양태에 따르면, ASP (112) 는 SPF (302) 와 직접적으로 통신할 수도 있고, SPF (302) 에 직접적으로 애플리케이션 서비스 등록 정보를 송신할 수도 있다 (즉, 단계 A1). 다른 양태들에서, ASP (112) 는 무선 통신 네트워크 (104) 및/또는 SPF (302) 와 직접적인 인터페이스를 가지지 않을 수도 있고, 결과적으로, ASP (112) 는 PDN 들 (110) 및 하나 이상의 패킷 데이터 네트워크들 게이트웨이들 (P-GW) (308) 을 통해 데이터 라인 접속을 이용하여 SPF (302) 에 애플리케이션 서비스 등록 정보를 송신할 수도 있다 (즉, 단계 A2). SQP 서버 (303) 는 사용자 디바이스 (102) 로부터의 쿼리들을 핸들링할 수도 있고, SPF (302) 및 사용자 디바이스 (102) 로부터 수신된 애플리케이션 서비스 등록 정보의 적어도 부분을 제공할 수도 있다.
단계 C 에서, ASP (112) 는 디바이스 등록을 수행하고, 여기서, 다른 것들 중에서도, ASP (112) 는 애플리케이션-특정 크리덴셜로 사용자 디바이스 (102) 를 프로비저닝할 수도 있고, 이 경우에, 이 애플리케이션-특정 크리덴셜은 사용자 디바이스 (102) 와 고유하게 연관된다. ASP (112) 는 또한, 사용자 디바이스 (102) 가 후원된 접속을 이용하여 액세스하기를 희망하는 애플리케이션 서비스를 식별하는 애플리케이션 식별자를 제공할 수도 있다. ASP (112) 는 사용자 디바이스의 공개 키 또는 보안 채널 (예컨대, TLS) 을 이용하는 등과 같이 보안 방식으로 사용자 디바이스 (102) 에 애플리케이션-특정 크리덴셜을 제공할 수도 있다. 애플리케이션-특정 크리덴셜은 사용자 디바이스 (102) 의 보안 실행 환경에 저장될 수도 있다. 하나의 양태에 따르면, 애플리케이션-특정 크리덴셜 프로비저닝은, 애플리케이션 액세스에 대한 패스워드 또는 액세스 토큰이 네트워크 액세스에 대해 사용되는 경우에는 스킵될 수도 있다.
도 4 를 참조하면, 어태치 (attach) 절차 (단계 D) 가 사용자 디바이스 (102) 와 애플리케이션 서비스 프로바이더 (112) 사이에 수행된다. 이것은 사용자 디바이스 (102) 가 무선 통신 네트워크 (104) 에 등록 요청 (예컨대, 어태치 요청) 을 송신하는 것으로 이루어진다. 등록 요청은, 사용자 디바이스 (102) 가 후원된 접속을 원하는 애플리케이션 서비스 (114) 를 식별하는 애플리케이션 식별자 및 사용자 디바이스 (102) 를 식별하는 디바이스 식별자를 포함할 수도 있다. 하나의 예에서, 애플리케이션 식별자는 전체 주소 도메인 네임 (fully qualified domain name; FQDN) 일 수도 있다. 무선 통신 네트워크 (104) (예컨대, MME (304)) 는 그 다음에, 데이터 경로 (도 4 에서 "데이터 경로" 로 라벨링된 화살표 참조) 를 통해 애플리케이션 서비스 프로바이더 (112) 에 서빙 네트워크 식별자 및 등록 요청을 포함하는 인증 정보 요청을 포워딩할 수도 있다. 데이터 경로는 보안 데이터 채널 (예컨대, TLS 또는 하이퍼텍스트 전송 프로토콜 보안 (hypertext transfer protocol secure; HTTPS)) 일 수도 있다. 따라서, 인증 정보 요청 메시지는 하나 이상의 서빙 게이트웨이 (S-GW) 들 (306), 하나 이상의 P-GW 들 (308), 및 하나 이상의 패킷 데이터 네트워크들 (110) 을 거쳐서 MME (304) 로부터 애플리케이션 서비스 프로바이더 (112) 에 도달한다. 반면에, 종래 기술에서는, 사용자 디바이스 일반적 셀룰러 네트워크 액세스를 승인하는 것에 관련된 인증 요청들은 그 데이터 경로를 통하는 대신에 MME 와의 인터페이스 (예컨대, S6a 인터페이스) 및 전용의 직접적 제어 경로를 통해 MME (304) 로부터 HSS/AAA 엔티티 (402/404) 로 전송된다. ASP (112) 는 그 다음에, 그것이 인증 정보 요청에서 수신한 애플리케이션 식별자 및 디바이스 식별자와 연관된 공유된 키를 찾고, 사용자 디바이스 (102) 와의 인증 및 키 합의를 용이하게 하기 위해 인증 정보를 다시 역으로 무선 통신 네트워크 (104) 에 공급할 수도 있다.
도 5 및 도 6 은 본 개시의 하나의 양태에 따른, 애플리케이션-특정 크리덴셜로서 공개 키 인증서를 이용하여 후원된 접속을 확립하기 위해 예시적인 통신 시스템 (500) 내에서 실행되는 다양한 프로세스들/단계들을 나타낸다. 도 5 를 참조하면, ASP (112) 는 먼저, 서비스 프로비저닝 기능 (SPF) (502) (단계 A1 또는 A2 및 단계 B) 을 통해 무선 통신 네트워크 (104) 에 대해 애플리케이션 서비스 (114) 를 등록할 수도 있다. 일부 양태들에서, SPF (502) 는 무선 통신 네트워크 (104) 의 일부일 수도 있다 (예컨대, 그것은 네트워크 (104) 의 임의의 네트워크 디바이스에서 상주하는 소프트웨어일 수도 있다. 무선 통신 네트워크 (104) 와의 애플리케이션 서비스 (114) 의 등록은 애플리케이션 서비스에 대해 고유하게 연관되는 애플리케이션 식별자, 빌링 관련 정보, SPF (302) 와 ASP (112) 사이의 인터페이스 셋업 정보 (예컨대, 보안 연관된 정보, 가상 사설 네트워크 정보 등), 및 기타 등등을 포함할 수도 있는 애플리케이션 서비스 등록 정보를 제공/프로비저닝하는 것을 포함할 수도 있다. 애플리케이션 서비스 등록 정보는 비제한적으로 RAN (106), MME (304), 및/또는 서비스 쿼리 프로토콜 (SQP) 서버 (303) 를 포함하는 네트워크 (104) 의 네트워크 디바이스들에 대해 제공될 수도 있다. ASP (112) 는 또한, 애플리케이션 서비스 프로바이더 공개 키로 RAN (106) 및/또는 MME (304) 와 같은 하나 이상의 네트워크 디바이스들을 프로비저닝한다 (단계 B). 공개 키는 저절로 제공될 수도 있거나 인증서의 형태 (예컨대, 자기-서명된 애플리케이션 서비스 프로바이더 공개 키 인증서 또는 제 3 자에 의해 서명된 인증서) 제고오딜 수도 있다. 하나의 양태에서, ASP (112) 는 그것이 호스팅하는 각각의 애플리케이션 서비스 (114) 에 대해 네트워크 디바이스들 (106, 304) 에 상이한 애플리케이션 서비스 프로바이더 공개 키 (또는 애플리케이션 서비스 프로바이더 공개 키 인증서) 를 제공한다. 다른 양태에서, ASP (112) 는 그것이 호스팅하는 각각의 애플리케이션 서비스 (114) 에 대해 네트워크 디바이스들 (106, 304) 에 동일한 애플리케이션 서비스 프로바이더 공개 키 (또는 애플리케이션 서비스 프로바이더 공개 키 인증서) 를 제공할 수도 있다.
하나의 양태에 따르면, ASP (112) 는 SPF (502) 와 직접 통신하고, SPF (502) 에 직접적으로 애플리케이션 서비스 프로바이더 인증서 (ASP 의 공개 키 인증서 또는 ASP 의 공개 키) 를 포함하는 애플리케이션 서비스 등록 정보를 송신할 수도 있다 (즉, 단계 A1). 다른 양태들에서, ASP (112) 는 무선 통신 네트워크 (104) 및/또는 SPF (502) 와 직접적인 인터페이스를 가지지 않을 수도 있고, 결과적으로, ASP (112) 는 PDN 들 (110) 및 하나 이상의 패킷 데이터 네트워크들 게이트웨이 (P-GW) 들 (308) 을 통한 데이터 라인 접속을 이용하여 SPF (502) 에 애플리케이션 서비스 등록 정보 및 애플리케이션 서비스 프로바이더 인증서를 송신할 수도 있다. SQP 서버 (303) 는 사용자 디바이스 (102) 로부터의 쿼리들을 핸들링하고, SPF (502) 로부터 수신된 애플리케이션 서비스 등록 정보의 적어도 부분을 사용자 디바이스 (102) 에 제공할 수도 있다.
단계 C 에서, ASP (112) 는 디바이스 등록을 수행하고, 여기서, 다른 것들 중에서도, ASP (112) 는 애플리케이션-특정 크리덴셜로 사용자 디바이스 (102) 를 프로비저닝할 수도 있고, 이 경우에, 이 애플리케이션-특정 크리덴셜은 애플리케이션-특정 인증서일 수도 있다. 애플리케이션-특정 인증서는 사용자 디바이스 식별자, 사용자 디바이스 공개 키, 및 애플리케이션-특정 디지털 서명을 포함하는 단순 공개 키 인프라스터럭처 (simple public key infrastructure; SPKI) 인증서 ([아이덴티티 + 공개 키], [허가들/서명]) 일 수도 있다. 애플리케이션-특정 디지털 서명은 애플리케이션 서비스 프로바이더의 개인 키에 의해 서명된 사용자 디바이스 (102) 의 공개 키 (즉, 애플리케이션 서비스 프로바이더의 개인 키) 일 수도 있다. 일부 양태들에서, 애플리케이션-특정 디지털 서명은 또한 애플리케이션 식별자를 포함할 수도 있다 (ASP (112) 는 애플리케이션 식별자 및 사용자 디바이스 (102) 의 공개 키 양자 모두를 사인한다). 후자의 경우에, 애플리케이션-특정 인증서는 또한 애플리케이션 식별자를 포함한다. 하나의 양태에 따르면, 애플리케이션-특정 디지털 서명을 사인하기 위해 애플리케이션 서비스 프로바이더 (112) 에 의해 사용되는 개인 키는 애플리케이션 서비스 프로바이더 (112) 가 제공/호스팅하는 각각의 애플리케이션 서비스 (114) 와 고유하게 연관될 수도 있다. 하나의 양태에서, 전체 애플리케이션-특정 인증서로 사용자 디바이스 (102) 를 프로비저닝하기보다는, ASP (112) 는 단순히 애플리케이션-특정 디지털 서명으로 사용자 디바이스 (102) 를 프로비저닝하고, 사용자 디바이스는 애플리케이션-특정 인증서를 완료하기 위해 나중에 그것의 사용자 디바이스 식별자, 사용자 디바이스 공개 키, 및 일부 경우들에서 애플리케이션 식별자를 첨부할 수도 있다.
애플리케이션 서비스 프로바이더 (112) 는 사용자 디바이스의 공개 키 또는 보안 채널 (예컨대, TLS) 을 이용하는 등과 같이 보안 방식으로 사용자 디바이스 (102) 에 애플리케이션-특정 인증서를 제공할 수도 있다. 애플리케이션-특정 인증서는 사용자 디바이스 (102) 의 보안 실행 환경 또는 신뢰된 실행 환경에 저장될 수도 있다. 하나의 양태에 따르면, 애플리케이션-특정 크리덴셜 프로비저닝은, 애플리케이션 액세스에 대한 패스워드 또는 액세스 토큰이 네트워크 액세스에 대해 사용되는 경우에는 스킵될 수도 있다.
도 6 을 참조하면, 어태치 절차 (단계 D) 가 사용자 디바이스 (102) 와 애플리케이션 서비스 프로바이더 (112) 사이에 수행된다. 이것은 사용자 디바이스 (102) 가 무선 통신 네트워크 (104) 에 등록 요청 (예컨대, 어태치 요청) 을 송신하는 것으로 이루어진다. 등록 요청은 애플리케이션-특정 인증서를 포함한다. MME (304) 는 사용자 디바이스 (102) 의 아이덴티티를 검증하기 위해 그 인증서에 포함된 애플리케이션-특정 디지털 서명을 검증한다. 유사하게, MME (304) 는 무선 통신 네트워크 디지털 서명을 포함하는 애플리케이션 서비스 발표를 사용자 디바이스 (102) 에 브로드캐스트할 수도 있다. 사용자 디바이스 (102) 는 애플리케이션 서비스 프로바이더 (112) 에 의해 그것에 대해 프로비저닝되었던 무선 통신 네트워크 (104) 의 공개 키를 이용하여 무선 통신 네트워크 디지털 서명을 검증할 수도 있다. MME (304) 및 사용자 디바이스 (102) 는 그 다음에, 애플리케이션 서비스 프로바이더 (112) 에 대해 독립적으로 (즉, 사용자 디바이스의 인증을 위해 애플리케이션 서비스 프로바이더 (112) 를 접촉할 필요 없이) 서로 인증 및 키 합의를 수행할 수도 있다. 따라서, 인증 및 키 합의는 "퍼스트 마일" 로 (즉, MME (304) 에서) 수행되고 추가로 코어 네트워크 (108) 내로 가지 않는다.
일부 양태들에서, 애플리케이션-특정 크리덴셜은 공유된 키(들) 및 애플리케이션-특정 인증서(들)의 결합을 포함할 수도 있다. 예를 들어, 애플리케이션-특정 인증서는 사용자 디바이스 (102) 의 초기 식별 검증을 위해 사용될 수도 있고, 공유된 키가 인증 및 키 합의를 위해 사용될 수도 있다.
도 7a 및 도 7b 는 본 개시의 하나의 양태에 따른, 공유된 키를 이용하여 후원된 접속을 실행하기 위한 프로세스 플로우차트 (700) 를 나타낸다. 사용자가 사용자 디바이스 (102) 를 애플리케이션 서비스 프로바이더 (112) (예컨대, 애플리케이션 서버) 에 등록할 때, 사용자 디바이스 (102) 는 애플리케이션 서비스 프로바이더 (112) 에 의해 공유된 키로 프로비저닝된다 (702). 일부 양태들에서, 사용자 디바이스 (102) 는 또한, 애플리케이션 서비스 프로바이더에 의해 애플리케이션 서비스와 연관된 애플리케이션 식별자 (예컨대, 전체 주소 도메인 네임) 및/또는 디바이스 식별자 (예컨대, 사용자 식별자) 로 프로비저닝될 수도 있다. 다른 양태들에서, 사용자 디바이스 (102) 는 이미 (예컨대, 제조 시에) 사용자 식별자를 보유하고 있을 수도 있고, 그것은 이 디바이스 식별자를 디바이스 등록 동안 ASP (112) 에 제공하여 ASP (112) 가 디바이스 식별자를 공유된 키와 연관시킬 수 있게 한다. 디바이스 식별자는 IMEI (international mobile station equipment identifier), IEEE (Institute of Electrical and Electronics Engineers) EUI (Extended Unique Identifier) 어드레스 (예컨대, EUI-48 또는 EUI-64) (즉, MAC (media access control) 어드레스), MSISDN (mobile station subscriber international subscriber directory number), NAI (network access identifier) 등일 수도 있다. 공유된 키는 비밀로 유지되고, 대역 외 통신 채널 (예컨대, Wi-Fi®) 을 통해 사용자 디바이스 (102) 와 애플리케이션 서비스 프로바이더 (112) 사이에 사전-공유될 수도 있다. 애플리케이션 서비스 프로바이더 (112) 는 또한, 사용자 디바이스 (102) 와 연관된 (예컨대, 사용자 디바이스 (102) 의 디바이스 식별자와 연관된) 공유된 키를 저장한다 (704). 애플리케이션 서비스 프로바이더 (112) 는 또한, 모바일 네트워크 오퍼레이터 (MNO) 의 무선 네트워크 (104) 에 애플리케이션 서비스를 등록할 수도 있고, 네트워크 (104) 는 그러면 애플리케이션 서비스에 대한 후원된 접속의 이용가능성에 대한 애플리케이션 서비스 발표들을 브로드캐스트/송신하는 것을 시작할 수 있게 할 수도 있다.
서비스 발견 절차가 무선 네트워크 (104) 의 RAN (106) (예컨대, eNB) 과 사용자 디바이스 (102) 사이에 수행되고 (706), 이는 사용자 디바이스 (102) 로 하여금 무선 네트워크 (104) 가 사용자 디바이스 (102) 가 관심 있어 할 수도 있는 애플리케이션 서비스(들)를 제공하는지 여부를 검출하도록 허용한다. 서비스 발견은, GAS (generic advertisement service) 및 ANQP (active network query protocol) 와 유사한 기능을 갖는 SQP (Service Query Protocol) 를 통해 서비스 프로비저닝 기능에 의해 인에이블될 수도 있다. 일단 사용자 디바이스 (102) 가, 무선 통신 네트워크 (104) 가 그것이 원하는 애플리케이션 서비스(들)에 대한 후원된 접속을 제공한다고 결정하면, 사용자 디바이스 (102) 는 RAN (106) 에 그것의 디바이스 식별자 및 애플리케이션 식별자 (예컨대, FQDN) 를 포함하는 등록 요청 (예컨대, 어태치 요청) 메시지를 전송한다 (708). RAN (106) 은 등록 요청 메시지를 MME (304) 에 포워딩한다 (710). MME (304) 는 그 다음에, 인증 정보 요청을 형성하기 위해 등록 요청 메시지에 서빙 네트워크 식별자 (예컨대, 서빙 네트워크를 식별하는 식별자) 를 부가한다 (712). MME 는 그 다음에, 보안될 수도 있는 (예컨대, TLS 또는 하이퍼텍스트 전송 프로토콜 보안 (hypertext transfer protocol secure; HTTPS)) 데이터 경로 (예컨대, 데이터 채널, 데이터 트래픽 통신 라인, 데이터 접속 등, 도 4 에서의 "데이터 경로" 참조) 를 통해 애플리케이션 서비스 프로바이더 (112) 에 인증 정보 요청 메시지를 전송한다 (714). 따라서, 인증 정보 요청 메시지는 애플리케이션 서비스 프로바이더 (112) 에 도달하기 전에 하나 이상의 S-GW 들 (506), 하나 이상의 P-GW 들 (508), 및 하나 이상의 패킷 데이터 네트워크들 (110) 을 거쳐 간다. 반면에, 종래 기술에서는, 사용자 디바이스 셀룰러 네트워크 액세스를 승인하는 것에 관련된 인증 요청들은 데이터 접속을 통하는 대신에 MME 와의 전용의 직접적 제어 채널 인터페이스 (예컨대, S6a 인터페이스) 를 통해 HSS/AAA 엔티티로 전송된다.
애플리케이션 서비스 프로바이더 (112) 는 사용자 디바이스 (102) 와 연관된 공유된 키로부터 인증 벡터 (authentication vector; AV) 를 도출하고 (716), 그 AV 를 MME (304) 에 전송한다 (718). AV 의 도출은 3GPP 33.401 에 기술되어 있고, 여기서, AV = [K_ASME, AUTN, RAND, XRES] 그리고 K_ASME 는 키이고 (예컨대, 액세스 보안 관리 엔티티 (ASME), AUTN 은 인증 토큰이며, RAND 는 램덤 넘버이고, XRES 는 예상 응답이다. MME (304) 는 값들 K_ASME 및 XRES 를 로컬 메모리에 저장하고 (720), RAND 및 AUTN 을 사용자 디바이스 (102) 에 포워딩한다 (722). 사용자 디바이스 (102) 는 그것의 저장된 공유 키를 이용하여 수신된 값 AUTN 을 검증한다. 값 AUTN 이 유효한 경우에, 사용자 디바이스 (102) 는 서빙 네트워크 (104) 에 대해 인증 응답 (RES) 을 도출하고 또한 K_ASME 를 도출한다 (724). 사용자 디바이스 (102) 는 값 RES 를 MME (304) 에 전송한다 (726). MME (304) 는 XRES == RES 인지를 검증한다 (728). 검증이 성공적인 경우에, 비-액세스 계층 (non-access stratum; NAS) 및 액세스 계층 (access stratum; AS) 키 셋업이 사용자 디바이스 (102) 와 MME (304) 사이에 실행된다 (730).
도 8a 및 도 8b 는 본 개시의 하나의 양태에 따른, 공개 키 인증서를 이용하여 후원된 접속을 실행하기 위한 프로세스 플로우차트 (800) 를 나타낸다. 사용자 디바이스 (102) 가 애플리케이션 서비스 프로바이더 (112) 에 등록할 때, 애플리케이션 서비스 프로바이더 (112) 는 애플리케이션-특정 인증서로 사용자 디바이스 (102) 를 프로비저닝한다 (802). ASP (112) 는 또한, 신뢰된 무선 통신 네트워크들 (예컨대, MNO 들) 의 복수의 공개 키 인증서들을 포함하는 신뢰된 MNO 및 인증서 리스트 및/또는 디바이스 식별자로 사용자 디바이스 (102) 를 프로비저닝할 수도 있다. 하나의 양태에서, 사용자 디바이스 (102) 는 그것이 디바이스 등록 동안 ASP (112) 에 제공하는 그 자신의 디바이스 식별자를 가져서, ASP 는 제공된 애플리케이션-특정 인증서와 연관된 디바이스 식별자를 저장하게 된다. 디바이스 식별자는 IMEI, IEEE EUI-48/EUI-64 어드레스 (즉, MAC 어드레스), MSISDN 또는 NAI 일 수도 있다. 대안적으로, 디바이스 식별자는 그것의 공개 키의 해쉬 (hash) 일 수도 있다.
애플리케이션 서비스 프로바이더 (112) 는 또한, 애플리케이션 서비스 등록 정보를 (예컨대, SPF (502) 를 통해, 도 5 참조) 무선 네트워크 (104) 의 컴포넌트들/디바이스들에 송신한다. 애플리케이션 서비스 등록 정보는 애플리케이션 서비스에 대해 고유하게 연관되는 애플리케이션 식별자, 빌링 관련 정보, SPF 와 ASP (112) 사이의 인터페이스 셋업 정보 (예컨대, 보안 연관된 정보, 가상 사설 네트워크 정보 등), 및 기타 등등을 포함할 수도 있다. ASP (112) 는 또한, 애플리케이션 서비스 프로바이더 인증서 (예컨대, ASP 의 공개 키 인증서) 로 RAN (106) 및/또는 MME (304) 와 같은 하나 이상의 네트워크 디바이스들을 프로비저닝한다 (804). ASP 는 자기-서명 (즉, ASP 에 의해 서명) 되거나 신뢰된 제 3 자 엔티티에 의해 서명될 수도 있다. 일부 양태들에서, ASP 는 단순히 공개 키로 (즉, 공개 키 인증서가 아님) 하나 이상의 네트워크 디바이스들을 프로비저닝할 수도 있다.
RAN (106) 에 의한 애플리케이션 서비스 발표 (806) 의 일부로서, GAS/ANQP 와 유사한 프로토콜이 서비스 발견을 위해 사용될 수도 있다. 애플리케이션 서비스 발표는 무선 통신 네트워크 디지털 서명을 포함할 수도 있다. 서비스 발표가 이러한 디지털 서명을 포함하는 경우에, 사용자 디바이스 (102) 는, 애플리케이션 서비스 프로바이더 (112) 에 의해 신뢰된 MNO 의 인증서 리스트에서 그것에 대해 프로비저닝되었던 무선 통신 네트워크 공개 키를 이용하여 그 디지털 서명을 검증할 수도 있다 (808). 사용자 디바이스 (102) 는 그 다음에, 애플리케이션-특정 인증서를 포함하는 등록 요청을 MME (304) 에 전송한다 (810). 등록 요청은 또한, 디바이스 식별자 및 제 1 랜덤 넘버 (예컨대, NonceU) 를 포함할 수도 있다. MME (304) 는 그 다음에, 그것이 이전에 그것으로 프로비저닝되었던 것인 애플리케이션 서비스 프로바이더 인증서를 이용하여 (즉, ASP 인증서의 공개키를 이용하여) 애플리케이션-특정 인증서에 포함된 애플리케이션-특정 디지털 서명을 검증할 수도 있다 (811). 이것은 사용자 디바이스 (102) 의 아이덴티티를 검증/인증한다 (811).
일단 검증 (811) 이 성공적인 경우에, MME (304) 는 그 다음에, 키 (K_ASME) 를 발생시키고 (812), 사용자 디바이스 (102) 의 공개 키 PK_UD 를 이용하여 K_ASME 를 암호화한다 (814) (즉, EncPK_UD(K_ASME), 여기서 Enc() 는 암호화 함수). MME (304) 는 그 다음에, 제 2 랜덤 넘버 (예컨대, NonceM) 를 무작위로 (randomly) 발생시키고 XRES = HMAC(K_ASME, NonceU | NonceM) (여기서, HMAC() 는 키잉된-해쉬 메시지 인증 코드) 를 계산할 수도 있다 (816). MME (304) 는 그 다음에, EncPK_UD(K_ASME), NonceM, PK_MME (여기서 PK_MME 는 MME (304) 의 공개 키이다) 에 대해 서명을 실행한다 (818). MME (304) 는 EncPK_UE(K_ASME), NonceM, PK_MME, 및 서명을 사용자 디바이스 (102) 에 전송한다 (820). 사용자 디바이스 (102) 는 그 서명을 검증하고, 그것의 개인 키를 이용하여 K_ASME 를 해독하고, RES = HMAC(K_ASME, NonceU | NonceM) 를 계산한다 (822). 사용자 디바이스 (102) 는 값 RES 를 MME (304) 에 전송한다 (824). MME (304) 는 값 RES 를 값 XRES 에 대해 비교하고 (826), 그것들이 매칭하는 경우에 (즉, MME (304) 가 성공적으로 사용자 디바이스를 인증한 경우에), NAS 및 애플리케이션 서비스 (AS) 키 셋업이 사용자 디바이스 (102) 와 MME (304) 사이에 실행된다 (828).
하나의 양태에 따르면, 애플리케이션 서비스 프로바이더 (112) 는 무선 통신 네트워크 (104) 에 인증 취소 (certificate revocation) 리스트를 제공할 수도 있고, 그러면 무선 통신 네트워크 (104) 는 그 취소 리스트를 인증 서비스 기능 (CSF) (801) 에 저장할 수도 있다. 취소 리스트는 취소되거나 그 외에 무효하게 된 그들 애플리케이션-특정 인증서들을 식별한다. MME (304) 는, 애플리케이션-특정 액세스를 획득하려고 시도하고 있는 사용자 디바이스가 취소 리스트 상에 있는 애플리케이션-특정 인증서를 제공하였는지 여부를 결정하기 위해 CSF (801) 로 체크할 수도 있다. 그렇다면, MME (304) 는 사용자 디바이스 (102) 의 인증을 거절 (즉, 애플리케이션-특정 액세스를 거절) 할 수도 있다. 하나의 양태에 따르면, CSF (801) 는, 인증서가 그것의 만료 이전에 취소되는지 여부에 상관 없이 그것의 수명의 지속기간 동안 (즉, 그것의 만료일까지) 애플리케이션-특정 인증서를 저장한다. 실례로, 애플리케이션-특정 인증서는 1 년의 수명을 가질 수도 있지만 (즉, 1 년 후에 만료), 단지 1 개월 후에 취소될 수도 있다. 그럼에도 불구하고 CSF (801) 는 그 인증서를 그것의 수명에서 남은 11 개월 동안 저장한다. 다른 양태에서, CSF (801) 는 MME 들 (304) 에 인증서 취소 상태를 제공하기 위해 OCSP (online certificate status protocol) 응답자를 실행할 수도 있다.
도 9 는 본 개시의 하나의 양태에 따른, 공개 키를 이용하여 후원된 접속을 실행하기 위한 프로세스 플로우차트 (900) 를 나타낸다. 사용자 디바이스 (102) 가 애플리케이션 서비스 프로바이더 (112) 에 등록할 때, 애플리케이션 서비스 프로바이더 (112) 는 신뢰된 무선 통신 네트워크들 (예컨대, MNO 들) 의 복수의 공개 키 인증서들을 포함하는 신뢰된 MNO 및 인증서 리스트 및 디바이스 식별자로 사용자 디바이스 (102) 를 프로비저닝한다 (902). 디바이스 식별자는 IMEI, IEEE EUI-48/EUI-64 어드레스 (즉, MAC 어드레스), MSISDN 또는 NAI, 또는 공개 키의 해쉬일 수도 있다. 사용자 디바이스 (102) 는 또한, ASP (112) 가 저장할 수도 있는 그것의 공개 키를 ASP (112) 에게 제공한다.
애플리케이션 서비스 프로바이더 (112) 는 또한, 애플리케이션 서비스 등록 정보를 무선 통신 네트워크 (104) 의 컴포넌트들/디바이스들에 송신한다. 애플리케이션 서비스 등록 정보는 애플리케이션 서비스에 대해 고유하게 연관되는 애플리케이션 식별자, 빌링 관련 정보, SPF 와 ASP (112) 사이의 인터페이스 셋업 정보 (예컨대, 보안 연관된 정보, 가상 사설 네트워크 정보 등), 및 기타 등등을 포함할 수도 있다. ASP (112) 는 또한, 애플리케이션 서비스 프로바이더에 의해 제공된 애플리케이션 서비스를 위한 애플리케이션-특정 액세스에 대해 승인된 사용자 디바이스 키들의 리스트로 RAN (106) 및/또는 MME (304) 와 같은 하나 이상의 네트워크 디바이스들을 프로비저닝한다 (904).
RAN (106) 에 의한 애플리케이션 서비스 발표 (906) 의 일부로서, GAS/ANQP 와 유사한 프로토콜이 서비스 발견을 위해 사용될 수도 있다. 애플리케이션 서비스 발표는 무선 통신 네트워크 디지털 서명을 포함할 수도 있다. 서비스 발표가 이러한 디지털 서명을 포함하는 경우에, 사용자 디바이스 (102) 는, 애플리케이션 서비스 프로바이더 (112) 에 의해 신뢰된 MNO 의 인증서 리스트에서 그것에 대해 프로비저닝되었던 무선 통신 네트워크 공개 키를 이용하여 그 서명을 검증할 수도 있다 (908). 사용자 디바이스 (102) 는 그 다음에, 사용자 디바이스 공개 키를 포함하는 등록 요청을 MME (304) 에 전송할 수도 있다 (910). 등록 요청은 또한, 디바이스 식별자 및 제 1 랜덤 넘버 (예컨대, NonceU) 를 포함할 수도 있다. MME (304) 는 그 다음에, 사용자 디바이스에 의해 제공된 공개 키가 애플리케이션 서비스 프로바이더 (112) 에 의해 이전에 그것에 제공된 승인된 공개 키들의 리스트 상의 공개 키와 매칭하는지 여부를 보가 위해 체크함으로써 사용자 디바이스의 아이덴티티를 검증 (912) 하기 위해 체크할 수도 있다. 그러하다면, 사용자 디바이스 (102) 의 아이덴티티는 검증된다. 그러하지 않다면, 인증은 실패하고, 사용자 디바이스 (102) 는 애플리케이션-특정 액세스를 획득하지 못할 수도 있다. 검증 (912) 후에, 프로세서 (900) 는 도 8a 및 도 8b 에서 도시된 허가 및 키 합의 프로세스 (단계들 812 내지 828) 와 동일하게 따를 수도 있다.
하나의 양태에 따르면, 애플리케이션-특정 크리덴셜은, 사용자 디바이스가 SIM 또는 USIM 을 가지지 않을 수도 있기 때문에, 가입자 아이덴티티 모듈 (SIM) 크리덴셜 또는 유니버설 가입자 아이덴티티 모듈 (USIM) 크리덴셜에 기초하지 않을 수도 있다. 애플리케이션-특정 크리덴셜은 오직 애플리케이션 서비스 프로바이더 (112) 의 특정 애플리케이션 서비스 (114) 에 대해 또는 애플리케이션 서비스들의 셋트에 대해 무선 네트워크 (104) 를 통한 액세스를 허가할 수도 있다. 애플리케이션-특정 크리덴셜이 공유된 키를 포함할 때 애플리케이션-특정 크리덴셜이 어떻게 보안 방식으로 프로비저닝될 수도 있는지의 몇몇 비제한적인, 비배타적인 예들은 동적 대칭 키 프로비저닝 프로토콜 (DSKPP (RFC 6063)) 및/또는 암호 토큰 키 초기화 프로토콜 (CT-KIP (RFC 4758)) 을 포함한다. 애플리케이션-특정 크리덴셜이 공개 키 인증서를 포함할 때, 암호 메시지 신택스 (CMS (RFC 5272, 6402)) 프로토콜을 통한 인증서 관리가 애플리케이션-특정 크리덴셜을 안전하게 프로비저닝하기 위해 사용될 수도 있다.
도 10 은 본 개시의 하나의 양태에 따른, 사용자 디바이스 (102) 의 개략적 블록도를 나타낸다. 사용자 디바이스 (102) 는 비제한적으로 이동 전화기, 스마트폰, 랩톱, 퍼스널 디지털 어시스턴트 (PDA), 태블릿, 컴퓨터, 스마트워치, 및 헤드-마운티드 웨어러블 컴퓨터 (예컨대, Google Glass®) 등과 같은 임의의 무선 통신 디바이스이다. 사용자 디바이스 (102) 는 서로 통신가능하게 커플링될 수도 있는 적어도 하나 이상의 무선 통신 인터페이스들 (1002), 하나 이상의 메모리 회로들 (1004), 하나 이상의 입력 및/또는 출력 (I/O) 디바이스들/회로들 (1006), 및/또는 하나 이상의 프로세싱 회로들 (1008) 을 포함할 수도 있다. 예를 들어, 인터페이스 (1002), 메모리 회로 (1004), I/O 디바이스들 (1006), 및 프로세싱 회로 (1008) 는 버스 (1010) 를 통해 서로에 대해 통신가능하게 커플링될 수도 있다. 무선 통신 인터페이스 (1002) 는 사용자 디바이스 (102) 로 하여금 무선 통신 네트워크 (104) 와 무선으로 통신하도록 허용한다. 따라서, 인터페이스 (1002) 는 사용자 디바이스 (102) 로 하여금, 이동 원격통신 셀룰러 네트워크들과 같은 무선 광역 네트워크들 (WWAN), 및 단거리의, 무선 로컬 영역 네트워크들 (예컨대, WiFi®, Zigbee®, Bluetooth® 등) 과 무선으로 통신하도록 허용한다. 무선 통신 인터페이스 (1002) 는, 인증 및 키 합의가 성공적으로 수행된 후에 사용자 디바이스가 애플리케이션 서비스와 통신하기 위한 수단의 하나의 예를 나타낸다.
메모리 회로 (1004) 는 하나 이상의 휘발성 메모리 회로들 및/또는 비-휘발성 메모리 회로들을 포함할 수도 있다. 따라서, 메모리 회로 (1004) 는 동적 랜덤 액세스 메모리 (DRAM), 정적 랜덤 액세스 메모리 (SRAM), 자기저항식 랜덤 액세스 메모리 (MRAM), 전기적으로 소거가능한 프로그래머블 판독-전용 메모리 (EEPROM), 플래시 메모리 등을 포함할 수도 있다. 메모리 회로 (1004) 는 공유된 키들 및 공개 키 인증서들 (예컨대, 애플리케이션-특정 인증서들, 무선 통신 네트워크 공개 키 인증서들, 신뢰된 MNO 인증서들 등) 과 같은 하나 이상의 암호 키들을 저장할 수도 있다. 메모리 회로 (1004) 는 또한, 프로세싱 회로 (1008) 에 의해 실행될 수도 있는 명령들을 저장할 수도 있다. I/O 디바이스들/회로들 (1006) 은 하나 이상의 키보드들, 마우스들, 디스플레이들, 터치스크린 디스플레이들, 프린터들, 지문 스캐너들, 및 임의의 다른 입력 및/또는 출력 디바이스들을 포함할 수도 있다.
프로세싱 회로 (1008) (예컨대, 프로세서, 중앙 프로세싱 회로 (CPU), 애플리케이션 프로세싱 유닛 (APU) 등) 는 메모리 회로 (1004) 에 저장된 명령들 및/또는 사용자 디바이스 (102) 에 통신가능하게 커플링된 다른 컴퓨터-판독가능 저장 매체 (예컨대, 하드 디스크 드라이브, 광학 디스크 드라이브, 솔리드-스테이트 드라이브 등) 에 저장된 명령들을 실행할 수도 있다. 프로세싱 회로 (1008) 는, 도 2, 3, 4, 5, 6, 7a, 7b, 8a, 8b, 9, 13, 및 14 를 참조하여 논의된 것들을 포함하는 본 명세서에서 설명된 사용자 디바이스 (102) 의 단계들 및/또는 프로세스들 중의 임의의 하나를 수행할 수도 있다. 하나의 양태에 따르면, 프로세싱 회로 (1008) 는 범용 프로세서일 수도 있다. 다른 양태에 따르면, 프로세싱 회로는 도 2, 3, 4, 5, 6, 7a, 7b, 8a, 8b, 9, 13, 및 14 를 참조하여 논의된 것들을 포함하는 본 명세서에서 설명된 사용자 디바이스 (102) 의 단계들 및/또는 프로세스들을 수행하도록 하드와이어링될 수도 있다 (예컨대, 그것은 애플리케이션 특정 집적 회로 (ASIC) 일 수도 있다).
도 11 은 하나의 양태에 따른, 사용자 디바이스 프로세싱 회로 (1008) 의 개략적 블록도를 나타낸다. 프로세싱 회로 (1008) 는 공유된 키 수신 회로 (1102), 후원된 접속 결정 회로 (1104), 등록 요청 송신 회로 (1106), 인증 정보 수신 회로 (1108), 및/또는 인증 및 키 합의 (AKA) 수행 회로 (1110) 를 포함할 수도 있다. 하나의 양태에 따르면, 이들 회로들 (1102, 1104, 1106, 1108, 1110) 은 ASIC 들일 수도 있고, 그들의 각각의 프로세스들을 수행하도록 하드와이어링된다. 공유된 키 수신 회로 (1102) 는 애플리케이션 서비스 프로바이더로부터 공유된 키를 수신하고 저장하는 수단의 하나의 예일 수도 있다. 후원된 접속 결정 회로 (1104) 는, 무선 통신 네트워크가 애플리케이션 서비스 프로바이더에 의해 제공된 애플리케이션 서비스에 대한 애플리케이션-특정 액세스를 제공하는 것을 결정하는 수단의 하나의 예일 수도 있다. 등록 요청 송신 회로 (1106) 는, 무선 통신 네트워크에 대한 애플리케이션 서비스와 연관된 애플리케이션 식별자 및 디바이스 식별자를 포함하는 등록 요청을 송신하는 수단의 하나의 예일 수도 있다. 인증 정보 수신 회로 (1108) 는, 무선 통신 네트워크로부터, 공유된 키에 부분적으로 기초하는, 애플리케이션 서비스 프로바이더에서 도출된 인증 정보를 수신하는 수단의 하나의 예일 수도 있다. AKA 수행 회로 (1110) 는, 저장된 공유 키 및 인증 정보에 기초하여 무선 통신 네트워크와 인증 및 키 합의를 수행하는 수단의 하나의 예일 수도 있다.
도 12 는 다른 양태에 따른, 사용자 디바이스 프로세싱 회로 (1008) 의 개략적 블록도를 나타낸다. 프로세싱 회로 (1008) 는, 인증서 수신 회로 (1202), 후원된 접속 결정 회로 (1204), 등록 요청 송신 회로 (1206), 및/또는 인증 및 키 합의 (AKA) 수행 회로 (1208) 를 포함할 수도 있다. 하나의 양태에 따르면, 이들 회로들 (1202, 1204, 1206, 1208) 은 ASIC 들일 수도 있고, 그들의 각각의 프로세스들을 수행하도록 하드와이어링된다. 인증서 수신 회로 (1202) 는 애플리케이션 서비스 프로바이더로부터, 애플리케이션 서비스 프로바이더에 의해 제공된 적어도 하나의 애플리케이션 서비스와 연관된 애플리케이션-특정 인증서를 수신하는 수단의 하나의 예일 수도 있다. 후원된 접속 결정 회로 (1204) 는, 무선 통신 네트워크가 애플리케이션 서비스 프로바이더에 의해 제공된 애플리케이션 서비스에 대한 애플리케이션-특정 액세스를 제공하는 것을 결정하는 수단의 하나의 예일 수도 있다. 등록 요청 송신 회로 (1206) 는, 애플리케이션-특정 인증서를 포함하는 등록 요청을 무선 통신 네트워크에 송신하는 수단의 하나의 예일 수도 있고, 애플리케이션-특정 인증서는 사용자 디바이스 공개 키를 포함한다. AKA 수행 회로 (1208) 는, 무선 통신 네트워크와 인증 및 키 합의를 수행하는 수단의 하나의 예일 수도 있다.
도 13 은 본 개시의 하나의 양태에 따른, 애플리케이션-특정 액세스를 획득하기 위해 사용자 디바이스 (102) 에서 동작가능한 방법의 플로우차트 (1300) 를 나타낸다. 먼저, 사용자 디바이스 (102) 는 애플리케이션 서비스 프로바이더로부터 공유된 키를 수신 및 저장한다 (1302). 그 다음, 사용자 디바이스 (102) 는 무선 통신 네트워크가 애플리케이션 서비스 프로바이더에 의해 제공된 애플리케이션 서비스에 대한 애플리케이션-특정 액세스를 제공하는 것을 결정한다 (1304). 다음으로, 애플리케이션 서비스와 연관된 애플리케이션 식별자 및 디바이스 식별자를 포함하는 등록 요청이 무선 통신 네트워크에 송신되고, 이 등록 요청은 패킷 데이터 네트워크를 통한 데이터 접속을 이용한 애플리케이션 서비스 프로바이더에의 송신을 위해 적응된다 (1306). 그 다음, 사용자 디바이스 (102) 는 공유된 키에 부분적으로 기초하는, 애플리케이션 서비스 프로바이더에서 도출된 인증 정보를 무선 통신 네트워크로부터 수신한다 (1308). 다음으로, 인증 정보 및 저장된 공유 키에 기초하여 무선 통신 네트워크와 인증 및 키 합의가 수행된다 (1310). 그 다음, 사용자 디바이스 (102) 는, 인증 및 키 합의가 성공적으로 수행된 후에 애플리케이션 서비스와 통신할 수도 있다 (1312).
도 14 는 본 개시의 하나의 양태에 따른, 애플리케이션-특정 액세스를 획득하기 위해 사용자 디바이스 (102) 에서 동작가능한 방법의 플로우차트 (1400) 를 나타낸다. 먼저, 사용자 디바이스 (102) 는, 애플리케이션 서비스 프로바이더에 의해 제공된 애플리케이션 서비스와 연관된 애플리케이션-특정 인증서를 애플리케이션 서비스 프로바이더로부터 수신한다 (1402). 그 다음, 사용자 디바이스 (102) 는, 무선 통신 네트워크가 애플리케이션 서비스 프로바이더에 의해 제공된 애플리케이션 서비스에 대한 애플리케이션-특정 액세스를 제공하는 것을 결정한다 (1404). 다음으로, 사용자 디바이스의 인증을 위해 무선 통신 네트워크에 애플리케이션-특정 인증서를 포함하는 등록 요청이 송신되고, 애플리케이션-특정 인증서는 사용자 디바이스 공개 키를 포함한다 (1406). 그 다음, 사용자 디바이스 (102) 는, 무선 통신 네트워크와 인증 및 키 합의를 수행한다 (1408). 다음으로, 사용자 디바이스는 인증 및 키 합의가 성공적으로 수행된 후에 애플리케이션 서비스와 통신할 수도 있다 (1410).
도 15 는 본 개시의 하나의 양태에 따른, 무선 통신 네트워크 디바이스 (1500) 의 개략적 블록도를 나타낸다. 네트워크 디바이스 (1500) 는 비제한적으로 RAN (106) 및/또는 MME (304) 를 포함하는 무선 통신 네트워크 (104) 의 컴포넌트들/디바이스들 (도 1, 3, 및 5 참조) 의 임의의 하나일 수도 있다. 네트워크 디바이스 (1500) 는 서로 통신가능하게 커플링될 수도 있는 적어도 하나 이상의 무선 통신 인터페이스들 (1502), 하나 이상의 메모리 회로들 (1504), 하나 이상의 입력 및/또는 출력 (I/O) 디바이스들/회로들 (1506), 및/또는 하나 이상의 프로세싱 회로들 (1508) 을 포함할 수도 있다. 예를 들어, 인터페이스 (1502), 메모리 회로 (1504), I/O 디바이스들 (1506), 및 프로세싱 회로 (1508) 는 버스 (1510) 를 통해 서로에 대해 통신가능하게 커플링될 수도 있다. 무선 통신 인터페이스 (1502) 는 네트워크 디바이스 (1500) 로 하여금 사용자 디바이스 (102) 와 무선으로 통신하도록 허용한다. 따라서, 인터페이스 (1502) 는 네트워크 디바이스 (1500) 로 하여금, 이동 원격통신 셀룰러 네트워크들과 같은 무선 광역 네트워크들 (WWAN), 및/또는 단거리의, 무선 로컬 영역 네트워크들 (예컨대, WiFi®, Zigbee®, Bluetooth® 등) 을 통해 무선으로 통신하도록 허용한다.
메모리 회로 (1504) 는 하나 이상의 휘발성 메모리 회로들 및/또는 비-휘발성 메모리 회로들을 포함할 수도 있다. 따라서, 메모리 회로 (1504) 는 DRAM, SRAM, MRAM, EEPROM, 플래시 메모리 등을 포함할 수도 있다. 메모리 회로 (1504) 는 공개 키 인증서들 (예컨대, 애플리케이션 서비스 프로바이더 인증서들) 과 같은 하나 이상의 암호 키들을 저장할 수도 있다. 메모리 회로 (1504) 는 또한, 프로세싱 회로 (1508) 에 의해 실행될 수도 있는 명령들을 저장할 수도 있다. I/O 디바이스들/회로들 (1506) 은 하나 이상의 키보드들, 마우스들, 디스플레이들, 터치스크린 디스플레이들, 프린터들, 지문 스캐너들, 및 임의의 다른 입력 및/또는 출력 디바이스들을 포함할 수도 있다.
프로세싱 회로 (1508) (예컨대, 프로세서, 중앙 프로세싱 회로 (CPU), 애플리케이션 프로세싱 유닛 (APU) 등) 는 메모리 회로 (1504) 에 저장된 명령들 및/또는 네트워크 디바이스 (1500) 에 통신가능하게 커플링된 다른 컴퓨터-판독가능 저장 매체 (예컨대, 하드 디스크 드라이브, 광학 디스크 드라이브, 솔리드-스테이트 드라이브 등) 에 저장된 명령들을 실행할 수도 있다. 프로세싱 회로 (1508) 는, 도 2, 3, 4, 5, 6, 7a, 7b, 8a, 8b, 9, 18, 및 19 를 참조하여 논의된 것들을 포함하는 본 명세서에서 설명된 네트워크 디바이스들 (106, 304, 306, 308) 의 단계들 및/또는 프로세스들 중의 임의의 하나를 수행할 수도 있다. 하나의 양태에 따르면, 프로세싱 회로 (1508) 는 범용 프로세서일 수도 있다. 다른 양태에 따르면, 프로세싱 회로는 도 2, 3, 4, 5, 6, 7a, 7b, 8a, 8b, 9, 18, 및 19 를 참조하여 논의된 것들을 포함하는 본 명세서에서 설명된 네트워크 디바이스들 (106, 304, 306, 308) 의 단계들 및/또는 프로세스들을 수행하도록 하드와이어링될 수도 있다 (예컨대, 그것은 애플리케이션 특정 집적 회로 (ASIC) 일 수도 있다).
도 16 은 하나의 양태에 따른, 네트워크 디바이스 프로세싱 회로 (1608) 의 개략적 블록도를 나타낸다. 프로세싱 회로 (1508) 는 등록 요청 수신 회로 (1602), 인증 정보 송신 회로 (1604), 인증 정보 수신 회로 (1606), 및/또는 인증 및 키 합의 (AKA) 수행 회로 (1608) 를 포함할 수도 있다. 하나의 양태에 따르면, 이들 회로들 (1602, 1604, 1606, 1608) 은 ASIC 들일 수도 있고, 그들의 각각의 프로세스들을 수행하도록 하드와이어링된다. 등록 요청 수신 회로 (1602) 는, 사용자 디바이스로부터, 애플리케이션 서비스 프로바이더에 의해 제공된 애플리케이션 서비스에 대한 애플리케이션-특정 액세스를 위한 등록 요청을 수신하는 수단의 하나의 예일 수도 있다. 인증 정보 송신 회로 (1604) 는, 패킷 데이터 네트워크를 통한 데이터 접속을 이용하여 애플리케이션 서비스 프로바이더에 무선 통신 네트워크를 식별하는 서빙 네트워크 식별자 및 등록 요청을 포함하는 인증 정보 요청을 송신하는 수단의 하나의 예일 수도 있다. 인증 정보 수신 회로 (1606) 는, 인증 정보 요청을 송신하는 것에 응답하여 애플리케이션 서비스 프로바이더로부터 인증 정보를 수신하는 수단의 하나의 예일 수도 있다. AKA 수행 회로 (1608) 는, 인증 정보에 기초하여 사용자 디바이스와 인증 및 키 합의를 수행하는 수단의 하나의 예일 수도 있다.
도 17 은 다른 양태에 따른, 네트워크 디바이스 프로세싱 회로 (1508) 의 개략적 블록도를 나타낸다. 프로세싱 회로 (1508) 는, 애플리케이션 서비스 프로바이더 인증서 수신 회로 (1702), 등록 요청 수신 회로 (1704), 인증서 검증 회로 (1706), 및/또는 인증 및 키 합의 (AKA) 수행 회로 (1708) 를 포함할 수도 있다. 하나의 양태에 따르면, 이들 회로들 (1702, 1704, 1706, 1708) 은 ASIC 들일 수도 있고, 그들의 각각의 프로세스들을 수행하도록 하드와이어링된다. 애플리케이션 서비스 프로바이더 인증서 수신 회로 (1702) 는 애플리케이션 서비스 프로바이더로부터, 애플리케이션 서비스 프로바이더 공개 키를 포함하는 애플리케이션 서비스 프로바이더 인증서를 수신하는 수단의 하나의 예일 수도 있다. 등록 요청 수신 회로 (1704) 는, 사용자 디바이스로부터, 애플리케이션 서비스 프로바이더에 의해 제공된 애플리케이션 서비스에 대한 애플리케이션-특정 액세스를 위한 등록 요청을 수신하는 수단의 하나의 예일 수도 있다. 인증서 검증 회로 (1706) 는, 사용자 디바이스를 인증하기 위해 애플리케이션 서비스 프로바이더 공개 키를 이용하여 애플리케이션-특정 인증서를 검증하는 수단의 하나의 예일 수도 있다. AKA 수행 회로 (1708) 는, 인증 정보에 기초하여 사용자 디바이스와 인증 및 키 합의를 수행하는 수단의 하나의 예일 수도 있다.
도 18 은 본 개시의 하나의 양태에 따른, 애플리케이션-특정 액세스를 제공하기 위해 네트워크 디바이스 (1500) 에서 동작가능한 방법의 플로우차트 (1800) 를 나타낸다. 먼저, 네트워크 디바이스 (1500) 는 사용자 디바이스 (102) 로부터, 애플리케이션 서비스 프로바이더에 의해 제공된 애플리케이션 서비스에 대한 애플리케이션-특정 액세스를 위한 등록 요청을 수신하고, 이 등록 요청은 사용자 디바이스를 식별하는 디바이스 식별자 및 애플리케이션 서비스를 식별하는 애플리케이션 식별자를 포함한다 (1802). 다음으로, 무선 통신 네트워크를 식별하는 서빙 네트워크 식별자 및 등록 요청을 포함하는 인증 정보 요청이, 패킷 데이터 네트워크를 통한 데이터 접속을 이용하여 애플리케이션 서비스 프로바이더에 송신된다. (1804). 그 다음, 인증 정보 요청을 송신하는 것에 응답하여 애플리케이션 서비스 프로바이더로부터 인증 정보가 수신되고, 이 인증 정보는 사용자 디바이스와 연관된 공유된 키에 부분적으로 기초한다 (1806). 다음으로, 네트워크 디바이스 (1500) 는 인증 정보에 기초하여 사용자 디바이스 (102) 와 인증 및 키 합의를 수행한다 (1808).
도 19 는 본 개시의 하나의 양태에 따른, 애플리케이션-특정 액세스를 제공하기 위해 네트워크 디바이스에서 동작가능한 방법의 플로우차트 (1900) 를 나타낸다. 먼저, 네트워크 디바이스 (1500) 는, 애플리케이션 서비스 프로바이더로부터, 애플리케이션 서비스 프로바이더 공개 키를 포함하는 애플리케이션 서비스 프로바이더 인증서를 수신한다 (1902). 그 다음, 네트워크 디바이스 (1500) 는, 애플리케이션 서비스 프로바이더에 의해 제공된 애플리케이션 서비스에 대한 애플리케이션-특정 액세스를 위한 등록 요청을 사용자 디바이스 (102) 로부터 수신하고, 이 등록 요청은 애플리케이션 서비스 프로바이더에 의해 서명된 애플리케이션-특정 인증서를 포함하고, 애플리케이션-특정 인증서는 애플리케이션 서비스와 연관된 공개 키를 포함한다 (1904). 다음으로, 네트워크 디바이스는 사용자 디바이스를 인증하기 위해 애플리케이션 서비스 프로바이더 공개 키를 이용하여 애플리케이션-특정 인증서를 검증한다 (1906). 그 다음, 네트워크 디바이스는 사용자 디바이스와 인증 및 키 합의를 수행한다 (1908).
도 1, 2, 3, 4, 5, 6, 7a, 7b, 8a, 8b, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 및/또는 19 에서 예시된 컴포넌트들, 단계들, 특징들 및/또는 기능들의 하나 이상은 단일의 컴포넌트, 단계, 특징 또는 기능으로 재배열 및/또는 결합되거나 수개의 컴포넌트들, 단계들, 또는 기능들에서 구현될 수도 있다. 추가적인 엘리먼트들, 컴포넌트들, 단계들, 및/또는 기능들이 또한 본 발명으로부터 벗어남이 없이 추가될 수도 있다. 도 1, 3, 4, 5, 6, 10, 11, 12, 15, 16, 및/또는 17 에서 예시된 장치, 디바이스들, 및/또는 컴포넌트들은 도 2, 3, 4, 5, 6, 7a, 7b, 8a, 8b, 9, 13, 14, 18, 및/또는 19 에서 기술된 방법들, 특징들, 또는 단계들 중 하나 이상을 수행하도록 구성될 수도 있다. 본 명세서에서 설명된 알고리즘들은 또한 효율적으로 소프트웨어로 구현 및/또는 하드웨어로 구현될 수도 있다.
또한, 본 개시의 하나의 양태에서, 도 10, 11, 및/또는 12 에서 예시된 프로세싱 회로 (1008) 는 도 2, 3, 4, 5, 6, 7a, 7b, 8a, 8b, 9, 13, 및/또는 14 에서 기술된 알고리즘들, 방법들, 및/또는 단계들을 수행하도록 특별히 설계 및/또는 하드와이어링된 특수화된 프로세서 (예컨대, 애플리케이션 특정적 집적 회로 (예컨대, ASIC)) 일 수도 있다. 따라서, 이러한 특수화된 프로세서 (예컨대, ASIC)) 는 도 13 및 도 14 에서 기술된 알고리즘들, 방법들, 및/또는 단계들을 실행하기 위한 수단의 하나의 예일 수도 있다. 컴퓨터-판독가능 저장 매체 (1004) 는 또한, 특수화된 프로세서 (예컨대, ASIC)) 에 의해 실행될 때, 그 특수화된 프로세서로 하여금, 도 2, 3, 4, 5, 6, 7a, 7b, 8a, 8b, 9, 13, 및/또는 14 에서 기술된 알고리즘들, 방법들, 및/또는 단계들을 수행하게 하는 프로세서 (1008) 판독가능 명령들을 저장할 수도 있다.
또한, 본 개시의 하나의 양태에서, 도 15, 16, 및/또는 17 에서 예시된 프로세싱 회로 (1508) 는 도 2, 3, 4, 5, 6, 7a, 7b, 8a, 8b, 9, 18, 및/또는 19 에서 기술된 알고리즘들, 방법들, 및/또는 단계들을 수행하도록 특별히 설계 및/또는 하드와이어링된 특수화된 프로세서 (예컨대, 애플리케이션 특정적 집적 회로 (예컨대, ASIC)) 일 수도 있다. 따라서, 이러한 특수화된 프로세서 (예컨대, ASIC)) 는 도 18 및 도 19 에서 기술된 알고리즘들, 방법들, 및/또는 단계들을 실행하기 위한 수단의 하나의 예일 수도 있다. 컴퓨터-판독가능 저장 매체 (1504) 는 또한, 특수화된 프로세서 (예컨대, ASIC)) 에 의해 실행될 때, 그 특수화된 프로세서로 하여금, 도 2, 3, 4, 5, 6, 7a, 7b, 8a, 8b, 9, 18, 및/또는 19 에서 기술된 알고리즘들, 방법들, 및/또는 단계들을 수행하게 하는 프로세서 (1508) 판독가능 명령들을 저장할 수도 있다.
또한, 본 개시의 양태들은 플로우차트, 흐름도, 구조도, 또는 블록도로서 묘사되는 프로세스로서 기술될 수도 있음에 유의하여야 한다. 비록 플로우차트는 순차적인 프로세스로서 동작들을 기술할 수도 있지만, 동작들의 많은 것들은 병렬적으로 또는 동시에 수행될 수 있다. 또한, 동작들의 순서는 재배열될 수도 있다. 프로세스는 그것의 동작들이 완료될 때 종결된다. 프로세스는 방법, 함수, 프로시저, 서브루틴, 서브프로그램 등에 대응할 수도 있다. 프로세스가 함수에 대응할 대, 그것의 종결은 호출 함수 또는 메인 함수로의 함수의 반환에 대응한다.
또한, 저장 매체는, 정보를 저장하기 위한 판독-전용 메모리 (ROM), 랜덤 액세스 메모리 (RAM), 자기 디스크 저장 매체, 광학적 저장 매체들, 플래시 메모리 디바이스들 및/또는 다른 머신-판독가능 매체들 및, 프로세서-판독가능 매체들, 및/또는 컴퓨터-판독가능 매체들을 포함하는, 데이터를 저장하기 위한 하나 이상의 디바이스들을 나타낼 수도 있다. "머신-판독가능 매체", "컴퓨터-판독가능 매체", 및/또는 "프로세서-판독가능 매체" 라는 용어들은, 비제한적으로, 휴대용 또는 고정형 저장 디바이스들, 광학적 저장 디바이스들, 및 명령(들) 및/또는 데이터를 저장 또는 보유할 수 있는 다양한 다른 매체들과 같은 비-일시적 매체들을 포함할 수도 있다. 따라서, 본 명세서에서 설명된 다양한 방법들은 "머신-판독가능 매체", "컴퓨터-판독가능 매체", 및/또는 "프로세서-판독가능 매체" 에 저장되고 하나 이상의 프로세서들, 머신들 및/또는 디바이스들에 의해 실행될 수도 있는 명령들 및/또는 데이터에 의해 완전히 또는 부분적으로 구현될 수도 있다.
또한, 본 개시의 양태들은 하드웨어, 소프트웨어, 펌웨어, 미들웨어, 마이크로코드, 또는 이들의 임의의 조합에 의해 구현될 수도 있다. 소프트웨어, 펌웨어, 미들웨어 또는 마이크로코드로 구현될 때, 필요한 작업들을 수행하기 위한 프로그램 코드 또는 코드 세그먼트들은 저장 매체 또는 다른 스토리지(들)와 같은 머신-판독가능 매체에 저장될 수도 있다. 프로세서는 필요한 작업들을 수행할 수도 있다. 코드 세그먼트는 프로시저, 함수, 서브프로그램, 프로그램, 루틴, 서브루틴, 모듈, 소프트웨어 패키지, 클래스, 또는 명령들, 데이터 구조들, 또는 프로그램 진술문들의 임의의 조합을 나타낼 수도 있다. 코드 세그먼트는 정보, 데이터, 인수들, 파라미터들, 또는 메모리 콘텐츠들을 패스 및/또는 수신함으로써 다른 코드 세그먼트 또는 하드웨어 회로에 커플링될 수도 있다. 정보, 인수들, 파라미터들, 데이터 등은 메모리 공유, 메시지 패싱, 토큰 패싱, 네트워크 송신 등을 포함하는 임의의 적합한 수단을 통해 패스, 포워딩, 또는 송신될 수도 있다.
본 명세서에서 개시된 예와 관련하여 기술된 다양한 예시적인 논리 블록들, 모듈들, 회로들, 엘리먼트들, 및/또는 컴포넌트들은 범용 프로세서, 디지털 신호 프로세서 (DSP), 애플리케이션 특정 집적 회로 (ASIC), 필드 프로그래머블 게이트 어레이 (FPGA) 또는 다른 프로그래머블 로직 컴포넌트, 이산 게이트 또는 트랜지스터 로직, 이산 하드웨어 컴포넌트들, 또는 본원에 기술된 기능들을 수행하도록 설계된 이들의 임의의 조합으로 구현 또는 수행될 수도 있다. 범용 프로세서는 마이크로프로세서일 수도 있고, 하지만 대안적으로, 프로세서는 임의의 종래의 프로세서, 제어기, 마이크로제어기, 또는 상태 머신일 수도 있다. 프로세서는 또한, 컴퓨팅 컴포넌트들, 예컨대, DSP 및 마이크로프로세서의 조합, 다수의 마이크로프로세서들, DSP 코어와 함께 하는 하나 이상의 마이크로프로세서들, 또는 임의의 다른 이러한 구성의 조합으로서 구현될 수도 있다.
본 명세서에서 설명된 예들과 관련하여 기술된 방법들 또는 알고리즘들은 직접 하드웨어로, 프로세서에 의해 실행가능한 소프트웨어 모듈로, 또는 양자의 조합으로, 프로세싱 유닛, 프로그래밍 명령들, 또는 다른 명령들의 형태로 구현될 수도 있고, 단일 디바이스 내에 포함되거나 다수의 디바이스들에 걸쳐 분포될 수도 있다. 소프트웨어 모듈은 RAM 메모리, 플래시 메모리, ROM 메모리, EPROM 메모리, EEPROM 메모리, 레지스터들, 하드 디스크, 착탈형 디스크, CD-ROM, 또는 당해 기술분야에서 알려진 임의의 다른 형태의 저장 매체에 상주할 수도 있다. 저장 매체는, 프로세서가 저장 매체로부터 정보를 읽고 저장 매체에 정보를 쓸 수 있도록 프로세서에 커플링될 수도 있다. 대안적으로, 저장 매체는 프로세서에 통합될 수도 있다.
통상의 기술자는, 본 명세서에서 개시된 양태들과 관련하여 기술된 다양한 예시적인 논리 블록들, 모듈들, 회로들, 및 알고리즘 단계들은 전자적 하드웨어, 컴퓨터 소프트웨어, 또는 양자의 조합으로서 구현될 수도 있음을 또한 이해할 것이다. 하드웨어와 소프트웨어의 이러한 상호교환가능성을 명확하게 예시하기 위해, 다양한 예시적인 컴포넌트들, 블록들, 모듈들, 회로들, 및 단계들은 일반적으로 그들의 기능성의 면에서 상기 기술되었다. 이러한 기능성이 하드웨어 또는 소프트웨어로서 구현되는지 여부는 특정 애플리케이션 및 전체 시스템에 부과되는 설계 제약들에 의존한다.
본원에 기술된 발명의 다양한 특징들은 본 발명으로부터 벗어남이 없이 다른 시스템들에서 구현될 수 있다. 전술한 본 개시의 양태들은 단지 예들이고 본 발명을 제한하는 것으로서 해석되어서는 아니됨에 유의하여야 한다. 본 개시의 양태들의 설명은 예시적인 것으로 의도되고, 청구항들의 범위를 제한하는 것으로 의도되지 아니한다. 이와 같이, 본 교시들은 다른 유형들의 장치들에 쉽게 적용될 수 있고, 많은 대안들, 변형들, 및 변화들이 통상의 기술자에게 있어 명백할 것이다.

Claims (50)

  1. 사용자 디바이스에서 동작가능한 방법으로서,
    애플리케이션 서비스 프로바이더로부터, 상기 애플리케이션 서비스 프로바이더에 의해 제공되는 적어도 하나의 애플리케이션 서비스와 연관된 애플리케이션-특정 인증서를 수신하는 단계로서, 상기 애플리케이션-특정 인증서는 통신 인터페이스를 통해 수신되는, 상기 애플리케이션-특정 인증서를 수신하는 단계;
    프로세싱 회로를 통해, 무선 통신 네트워크가 상기 애플리케이션 서비스 프로바이더에 의해 제공되는 상기 애플리케이션 서비스에 대한 애플리케이션-특정 액세스를 제공하는 것을 결정하는 단계;
    상기 통신 인터페이스를 통해, 상기 무선 통신 네트워크의 홈 가입자 서비스 (HSS) 에 대해 독립적으로 무선 통신 네트워크 디바이스에서의 상기 애플리케이션-특정 인증서의 검증을 위해 상기 무선 통신 네트워크의 상기 무선 통신 네트워크 디바이스에 상기 애플리케이션-특정 인증서를 포함하는 등록 요청을 송신하는 단계로서, 상기 애플리케이션-특정 인증서는 상기 애플리케이션 서비스와 연관된 공개 키를 포함하는, 상기 등록 요청을 송신하는 단계;
    상기 프로세싱 회로를 통해, 상기 무선 통신 네트워크 디바이스에서의 상기 애플리케이션-특정 인증서의 검증 후에 상기 무선 통신 네트워크의 상기 무선 통신 네트워크 디바이스와 인증 및 키 합의를 수행하는 단계; 및
    인증 및 키 합의가 성공적으로 수행된 후에, 상기 통신 인터페이스를 통해 상기 애플리케이션 서비스와 통신하는 단계를 포함하는, 사용자 디바이스에서 동작가능한 방법.
  2. 제 1 항에 있어서,
    상기 무선 통신 네트워크 디바이스와의 인증 및 키 합의는 상기 애플리케이션 서비스 프로바이더에 대해 독립적으로 수행되는, 사용자 디바이스에서 동작가능한 방법.
  3. 제 1 항에 있어서,
    상기 애플리케이션 서비스와 연관된 공개 키는 사용자 디바이스 공개 키이고, 상기 애플리케이션-특정 인증서는 애플리케이션-특정 디지털 서명을 더 포함하고, 상기 애플리케이션-특정 디지털 서명은 상기 애플리케이션 서비스 프로바이더의 개인 키에 의해 서명된 상기 사용자 디바이스 공개 키를 포함하는, 사용자 디바이스에서 동작가능한 방법.
  4. 제 1 항에 있어서,
    상기 애플리케이션-특정 인증서는 애플리케이션 식별자 및 애플리케이션-특정 디지털 서명을 더 포함하고, 상기 애플리케이션-특정 디지털 서명은 상기 애플리케이션 서비스 프로바이더의 개인 키에 의해 서명된 상기 공개 키 및 상기 애플리케이션 서비스 프로바이더의 개인 키에 의해 서명된 상기 애플리케이션 식별자를 포함하며, 상기 애플리케이션 식별자는 상기 애플리케이션 서비스와 고유하게 연관되는, 사용자 디바이스에서 동작가능한 방법.
  5. 제 1 항에 있어서,
    상기 인증 및 키 합의가 성공적인 후에 상기 애플리케이션 서비스에 대한 애플리케이션-특정 액세스를 획득하는 단계를 더 포함하는, 사용자 디바이스에서 동작가능한 방법.
  6. 제 1 항에 있어서,
    상기 무선 통신 네트워크가 애플리케이션-특정 액세스를 제공하는 것을 결정하는 단계는, 상기 무선 통신 네트워크를 통한 상기 애플리케이션 서비스의 이용가능성의 상기 무선 통신 네트워크에 의해 브로드캐스트된 발표를 수신하는 단계를 포함하는, 사용자 디바이스에서 동작가능한 방법.
  7. 제 1 항에 있어서,
    상기 애플리케이션 서비스 프로바이더로부터, 신뢰된 무선 통신 네트워크들과 연관된 복수의 인증서들을 수신하는 단계를 더 포함하고,
    상기 복수의 인증서들은 상기 무선 통신 네트워크의 공개 키인 무선 통신 네트워크 공개 키를 갖는 인증서를 포함하는, 사용자 디바이스에서 동작가능한 방법.
  8. 제 7 항에 있어서,
    상기 무선 통신 네트워크 공개 키를 이용하여 무선 통신 네트워크 디지털 서명을 검증함으로써 상기 무선 통신 네트워크를 인증하는 단계를 더 포함하고,
    상기 무선 통신 네트워크 디지털 서명은 상기 무선 통신 네트워크로부터 수신된 애플리케이션 서비스 발표에 포함되는, 사용자 디바이스에서 동작가능한 방법.
  9. 제 1 항에 있어서,
    인증 및 키 합의가 성공적으로 수행된 후에 상기 애플리케이션 서비스 프로바이더에 의해 허용된 애플리케이션 서비스들의 셋트와 상기 사용자 디바이스 사이의 통신을 가능하게 하는 단계를 더 포함하는, 사용자 디바이스에서 동작가능한 방법.
  10. 사용자 디바이스로서,
    무선 통신 네트워크와 무선으로 통신하도록 구성된 무선 통신 인터페이스; 및
    상기 통신 인터페이스에 통신가능하게 커플링된 프로세싱 회로를 포함하고,
    상기 프로세싱 회로는,
    애플리케이션 서비스 프로바이더로부터, 상기 애플리케이션 서비스 프로바이더에 의해 제공되는 적어도 하나의 애플리케이션 서비스와 연관된 애플리케이션-특정 인증서를 수신하고;
    무선 통신 네트워크가 상기 애플리케이션 서비스 프로바이더에 의해 제공되는 상기 애플리케이션 서비스에 대한 애플리케이션-특정 액세스를 제공하는 것을 결정하며;
    상기 무선 통신 네트워크의 홈 가입자 서비스 (HSS) 에 대해 독립적으로 무선 통신 네트워크 디바이스에서의 상기 애플리케이션-특정 인증서의 검증을 위해 상기 무선 통신 네트워크의 상기 무선 통신 네트워크 디바이스에 상기 애플리케이션-특정 인증서를 포함하는 등록 요청을 송신하는 것으로서, 상기 애플리케이션-특정 인증서는 상기 애플리케이션 서비스와 연관된 공개 키를 포함하는, 상기 등록 요청을 송신하는 것을 행하고;
    상기 무선 통신 네트워크 디바이스에서의 상기 애플리케이션-특정 인증서의 검증 후에 상기 무선 통신 네트워크의 상기 무선 통신 네트워크 디바이스와 인증 및 키 합의를 수행하고; 그리고
    인증 및 키 합의가 성공적으로 수행된 후에 상기 애플리케이션 서비스와 통신하도록 구성되는, 사용자 디바이스.
  11. 제 10 항에 있어서,
    상기 무선 통신 네트워크 디바이스와의 인증 및 키 합의는 상기 애플리케이션 서비스 프로바이더에 대해 독립적으로 수행되는, 사용자 디바이스.
  12. 제 10 항에 있어서,
    상기 애플리케이션 서비스와 연관된 공개 키는 사용자 디바이스 공개 키이고, 상기 애플리케이션-특정 인증서는 애플리케이션-특정 디지털 서명을 더 포함하고, 상기 애플리케이션-특정 디지털 서명은 상기 애플리케이션 서비스 프로바이더의 개인 키에 의해 서명된 상기 사용자 디바이스 공개 키를 포함하는, 사용자 디바이스.
  13. 제 10 항에 있어서,
    상기 애플리케이션-특정 인증서는 애플리케이션 식별자 및 애플리케이션-특정 디지털 서명을 더 포함하고, 상기 애플리케이션-특정 디지털 서명은 상기 애플리케이션 서비스 프로바이더의 개인 키에 의해 서명된 상기 공개 키 및 상기 애플리케이션 서비스 프로바이더의 개인 키에 의해 서명된 상기 애플리케이션 식별자를 포함하며, 상기 애플리케이션 식별자는 상기 애플리케이션 서비스와 고유하게 연관되는, 사용자 디바이스.
  14. 제 10 항에 있어서,
    상기 프로세싱 회로는, 상기 인증 및 키 합의가 성공적인 후에 상기 애플리케이션 서비스에 대한 애플리케이션-특정 액세스를 획득하도록 더 구성되는, 사용자 디바이스.
  15. 제 10 항에 있어서,
    상기 무선 통신 네트워크가 애플리케이션-특정 액세스를 제공하는 것을 결정하도록 구성된 상기 프로세싱 회로는, 상기 무선 통신 네트워크를 통한 상기 애플리케이션 서비스의 이용가능성의 상기 무선 통신 네트워크에 의해 브로드캐스트된 발표를 수신하도록 더 구성된 상기 프로세싱 회로를 포함하는, 사용자 디바이스.
  16. 제 10 항에 있어서,
    상기 프로세싱 회로는, 상기 애플리케이션 서비스 프로바이더로부터, 신뢰된 무선 통신 네트워크들과 연관된 복수의 인증서들을 수신하도록 더 구성되고,
    상기 복수의 인증서들은 상기 무선 통신 네트워크의 공개 키인 무선 통신 네트워크 공개 키를 갖는 인증서를 포함하는, 사용자 디바이스.
  17. 제 16 항에 있어서,
    상기 프로세싱 회로는, 상기 무선 통신 네트워크 공개 키를 이용하여 무선 통신 네트워크 디지털 서명을 검증함으로써 상기 무선 통신 네트워크를 인증하도록 더 구성되고,
    상기 무선 통신 네트워크 디지털 서명은 상기 무선 통신 네트워크로부터 수신된 애플리케이션 서비스 발표에 포함되는, 사용자 디바이스.
  18. 제 10 항에 있어서,
    상기 프로세싱 회로는, 인증 및 키 합의가 성공적으로 수행된 후에 상기 애플리케이션 서비스 프로바이더에 의해 허용된 애플리케이션 서비스들의 셋트와 상기 사용자 디바이스 사이의 통신을 가능하게 하도록 더 구성되는, 사용자 디바이스.
  19. 사용자 디바이스로서,
    애플리케이션 서비스 프로바이더로부터, 상기 애플리케이션 서비스 프로바이더에 의해 제공되는 적어도 하나의 애플리케이션 서비스와 연관된 애플리케이션-특정 인증서를 수신하는 수단;
    무선 통신 네트워크가 상기 애플리케이션 서비스 프로바이더에 의해 제공되는 상기 애플리케이션 서비스에 대한 애플리케이션-특정 액세스를 제공하는 것을 결정하는 수단;
    상기 무선 통신 네트워크의 홈 가입자 서비스 (HSS) 에 대해 독립적으로 무선 통신 네트워크 디바이스에서의 상기 애플리케이션-특정 인증서의 검증을 위해 상기 무선 통신 네트워크의 상기 무선 통신 네트워크 디바이스에 상기 애플리케이션-특정 인증서를 포함하는 등록 요청을 송신하는 수단으로서, 상기 애플리케이션-특정 인증서는 상기 애플리케이션 서비스와 연관된 공개 키를 포함하는, 상기 등록 요청을 송신하는 수단;
    상기 무선 통신 네트워크 디바이스에서의 상기 애플리케이션-특정 인증서의 검증 후에 상기 무선 통신 네트워크의 상기 무선 통신 네트워크 디바이스와 인증 및 키 합의를 수행하는 수단; 및
    인증 및 키 합의가 성공적으로 수행된 후에 상기 애플리케이션 서비스와 통신하는 수단을 포함하는, 사용자 디바이스.
  20. 제 19 항에 있어서,
    상기 무선 통신 네트워크 디바이스와의 인증 및 키 합의는 상기 애플리케이션 서비스 프로바이더에 대해 독립적으로 수행되는, 사용자 디바이스.
  21. 제 19 항에 있어서,
    상기 애플리케이션 서비스와 연관된 공개 키는 사용자 디바이스 공개 키이고, 상기 애플리케이션-특정 인증서는 애플리케이션-특정 디지털 서명을 더 포함하고, 상기 애플리케이션-특정 디지털 서명은 상기 애플리케이션 서비스 프로바이더의 개인 키에 의해 서명된 상기 사용자 디바이스 공개 키를 포함하는, 사용자 디바이스.
  22. 제 19 항에 있어서,
    상기 인증 및 키 합의가 성공적인 후에 상기 애플리케이션 서비스에 대한 애플리케이션-특정 액세스를 획득하는 수단을 더 포함하는, 사용자 디바이스.
  23. 제 19 항에 있어서,
    상기 애플리케이션 서비스 프로바이더로부터, 신뢰된 무선 통신 네트워크들과 연관된 복수의 인증서들을 수신하는 수단; 및
    상기 무선 통신 네트워크 공개 키를 이용하여 무선 통신 네트워크 디지털 서명을 검증함으로써 상기 무선 통신 네트워크를 인증하는 수단을 더 포함하고,
    상기 복수의 인증서들은 상기 무선 통신 네트워크의 공개 키인 무선 통신 네트워크 공개 키를 갖는 인증서를 포함하고,
    상기 무선 통신 네트워크 디지털 서명은 상기 무선 통신 네트워크로부터 수신된 애플리케이션 서비스 발표에 포함되는, 사용자 디바이스.
  24. 무선 통신 네트워크와 연관된 무선 통신 네트워크 디바이스에서 동작가능한 방법으로서,
    애플리케이션 서비스 프로바이더로부터, 애플리케이션 서비스 프로바이더 공개 키를 포함하는 애플리케이션 서비스 프로바이더 인증서를 수신하는 단계로서, 상기 애플리케이션 서비스 프로바이더 인증서는 통신 인터페이스를 통해 수신되는, 상기 애플리케이션 서비스 프로바이더 인증서를 수신하는 단계;
    사용자 디바이스로부터, 상기 애플리케이션 서비스 프로바이더에 의해 제공되는 애플리케이션 서비스에 대한 애플리케이션-특정 액세스를 위한 등록 요청을 수신하는 단계로서, 상기 등록 요청은 통신 인터페이스를 통해 수신되고, 상기 등록 요청은 상기 애플리케이션 서비스 프로바이더에 의해 서명된 애플리케이션-특정 인증서를 포함하고, 상기 애플리케이션-특정 인증서는 상기 애플리케이션 서비스와 연관된 공개 키를 더 포함하는, 상기 등록 요청을 수신하는 단계;
    프로세싱 회로를 통해, 상기 무선 통신 네트워크의 홈 가입자 서비스 (HSS) 에 대해 독립적으로 상기 무선 통신 네트워크 디바이스에서 상기 애플리케이션 서비스 프로바이더 공개 키를 이용하여 상기 애플리케이션-특정 인증서를 검증하는 단계; 및
    상기 프로세싱 회로를 통해, 상기 무선 통신 네트워크 디바이스에서의 상기 애플리케이션-특정 인증서의 검증 후에, 상기 사용자 디바이스와 인증 및 키 합의를 수행하는 단계를 포함하는, 무선 통신 네트워크 디바이스에서 동작가능한 방법.
  25. 제 24 항에 있어서,
    상기 사용자 디바이스와의 인증 및 키 합의는 상기 사용자 디바이스와 상기 무선 통신 네트워크 사이에서 그리고 상기 애플리케이션 서비스 프로바이더에 대해 독립적으로 수행되는, 무선 통신 네트워크 디바이스에서 동작가능한 방법.
  26. 제 24 항에 있어서,
    상기 사용자 디바이스로부터 상기 등록 요청을 수신하기 전에 상기 애플리케이션 서비스와 연관된 애플리케이션 서비스 등록 정보를 수신하는 단계를 더 포함하는, 무선 통신 네트워크 디바이스에서 동작가능한 방법.
  27. 제 26 항에 있어서,
    상기 애플리케이션 서비스 등록 정보는 서비스 프로비저닝 기능을 통해 상기 애플리케이션 서비스 프로바이더로부터 수신되는, 무선 통신 네트워크 디바이스에서 동작가능한 방법.
  28. 제 26 항에 있어서,
    상기 애플리케이션 서비스 등록 정보는, 상기 무선 통신 네트워크가 상기 사용자 디바이스와 상기 애플리케이션 서비스 사이의 통신을 제공하는 서비스의 품질을 나타내는 애플리케이션 서비스 클래스 및/또는 애플리케이션 식별자 중 적어도 하나를 포함하는, 무선 통신 네트워크 디바이스에서 동작가능한 방법.
  29. 제 24 항에 있어서,
    상기 무선 통신 네트워크를 통해 상기 애플리케이션 서비스에 대한 애플리케이션-특정 액세스의 이용가능성을 나타내는 발표를 브로드캐스트하는 단계를 더 포함하는, 무선 통신 네트워크 디바이스에서 동작가능한 방법.
  30. 제 29 항에 있어서,
    상기 애플리케이션 서비스 발표는 상기 무선 통신 네트워크의 개인 키에 의해 서명된 무선 통신 네트워크 디지털 서명을 포함하고, 상기 디지털 서명은 무선 통신 네트워크 공개 키를 이용한 상기 사용자 디바이스에서의 검증을 위해 적응되는, 무선 통신 네트워크 디바이스에서 동작가능한 방법.
  31. 제 24 항에 있어서,
    상기 애플리케이션 서비스와 연관된 상기 공개 키는 사용자 디바이스 공개 키이고, 상기 애플리케이션-특정 인증서는 애플리케이션-특정 디지털 서명을 더 포함하며, 상기 애플리케이션-특정 디지털 서명은 상기 애플리케이션 서비스 프로바이더의 개인 키에 의해 서명된 상기 사용자 디바이스 공개 키를 포함하는, 무선 통신 네트워크 디바이스에서 동작가능한 방법.
  32. 제 24 항에 있어서,
    상기 애플리케이션-특정 인증서는 애플리케이션 식별자 및 애플리케이션-특정 디지털 서명을 더 포함하고, 상기 애플리케이션-특정 디지털 서명은 상기 애플리케이션 서비스 프로바이더의 개인 키에 의해 서명된 상기 공개 키 및 상기 애플리케이션 서비스 프로바이더의 개인 키에 의해 서명된 상기 애플리케이션 식별자를 포함하며, 상기 애플리케이션 식별자는 상기 애플리케이션 서비스와 고유하게 연관되는, 무선 통신 네트워크 디바이스에서 동작가능한 방법.
  33. 제 24 항에 있어서,
    상기 인증 및 키 합의가 성공적인 후에 상기 애플리케이션 서비스에 대해 상기 사용자 디바이스에 대한 애플리케이션-특정 액세스를 제공하는 단계를 더 포함하는, 무선 통신 네트워크 디바이스에서 동작가능한 방법.
  34. 제 24 항에 있어서,
    취소되었고 애플리케이션-특정 액세스가 승인되어서는 안되는 사용자 디바이스들에 대해 프로비저닝된 복수의 애플리케이션-특정 인증서들을 포함하는 애플리케이션-특정 인증서 취소 리스트를 저장하는 단계를 더 포함하는, 무선 통신 네트워크 디바이스에서 동작가능한 방법.
  35. 무선 통신 네트워크와 연관된 무선 통신 네트워크 디바이스로서,
    상기 무선 통신 네트워크 디바이스는,
    적어도 사용자 디바이스와 무선으로 통신하도록 구성된 무선 통신 인터페이스; 및
    상기 무선 통신 인터페이스에 통신가능하게 커플링된 프로세싱 회로를 포함하고,
    상기 프로세싱 회로는,
    애플리케이션 서비스 프로바이더로부터, 애플리케이션 서비스 프로바이더 공개 키를 포함하는 애플리케이션 서비스 프로바이더 인증서를 수신하고;
    사용자 디바이스로부터, 상기 애플리케이션 서비스 프로바이더에 의해 제공되는 애플리케이션 서비스에 대한 애플리케이션-특정 액세스를 위한 등록 요청을 수신하는 것으로서, 상기 등록 요청은 상기 애플리케이션 서비스 프로바이더에 의해 서명된 애플리케이션-특정 인증서를 포함하고, 상기 애플리케이션-특정 인증서는 상기 애플리케이션 서비스와 연관된 공개 키를 포함하는, 상기 등록 요청을 수신하는 것을 행하며;
    상기 무선 통신 네트워크의 홈 가입자 서비스 (HSS) 에 대해 독립적으로 상기 무선 통신 네트워크 디바이스에서 상기 애플리케이션 서비스 프로바이더 공개 키를 이용하여 상기 애플리케이션-특정 인증서를 검증하고; 그리고
    상기 무선 통신 네트워크 디바이스에서의 상기 애플리케이션-특정 인증서의 검증 후에, 상기 사용자 디바이스와 인증 및 키 합의를 수행하도록 구성되는, 무선 통신 네트워크 디바이스.
  36. 제 35 항에 있어서,
    상기 사용자 디바이스와의 인증 및 키 합의는 상기 사용자 디바이스와 상기 무선 통신 네트워크 사이에서 그리고 상기 애플리케이션 서비스 프로바이더에 대해 독립적으로 수행되는, 무선 통신 네트워크 디바이스.
  37. 제 35 항에 있어서,
    상기 프로세싱 회로는, 상기 사용자 디바이스로부터 상기 등록 요청을 수신하기 전에 상기 애플리케이션 서비스와 연관된 애플리케이션 서비스 등록 정보를 수신하도록 더 구성되는, 무선 통신 네트워크 디바이스.
  38. 제 37 항에 있어서,
    상기 애플리케이션 서비스 등록 정보는 서비스 프로비저닝 기능을 통해 상기 애플리케이션 서비스 프로바이더로부터 수신되는, 무선 통신 네트워크 디바이스.
  39. 제 37 항에 있어서,
    상기 애플리케이션 서비스 등록 정보는, 상기 무선 통신 네트워크가 상기 사용자 디바이스와 상기 애플리케이션 서비스 사이의 통신을 제공하는 서비스의 품질을 나타내는 애플리케이션 서비스 클래스 및/또는 애플리케이션 식별자 중 적어도 하나를 포함하는, 무선 통신 네트워크 디바이스.
  40. 제 35 항에 있어서,
    상기 프로세싱 회로는, 상기 무선 통신 네트워크를 통해 상기 애플리케이션 서비스에 대한 애플리케이션-특정 액세스의 이용가능성을 나타내는 발표를 브로드캐스트하도록 더 구성되는, 무선 통신 네트워크 디바이스.
  41. 제 40 항에 있어서,
    상기 애플리케이션 서비스 발표는 상기 무선 통신 네트워크의 개인 키에 의해 서명된 무선 통신 네트워크 디지털 서명을 포함하고, 상기 디지털 서명은 무선 통신 네트워크 공개 키를 이용한 상기 사용자 디바이스에서의 검증을 위해 적응되는, 무선 통신 네트워크 디바이스.
  42. 제 35 항에 있어서,
    상기 애플리케이션 서비스와 연관된 상기 공개 키는 사용자 디바이스 공개 키이고, 상기 애플리케이션-특정 인증서는 애플리케이션-특정 디지털 서명을 더 포함하며, 상기 애플리케이션-특정 디지털 서명은 상기 애플리케이션 서비스 프로바이더의 개인 키에 의해 서명된 상기 사용자 디바이스 공개 키를 포함하는, 무선 통신 네트워크 디바이스.
  43. 제 35 항에 있어서,
    상기 애플리케이션-특정 인증서는 애플리케이션 식별자 및 애플리케이션-특정 디지털 서명을 더 포함하고, 상기 애플리케이션-특정 디지털 서명은 상기 애플리케이션 서비스 프로바이더의 개인 키에 의해 서명된 상기 공개 키 및 상기 애플리케이션 서비스 프로바이더의 개인 키에 의해 서명된 상기 애플리케이션 식별자를 포함하며, 상기 애플리케이션 식별자는 상기 애플리케이션 서비스와 고유하게 연관되는, 무선 통신 네트워크 디바이스.
  44. 제 35 항에 있어서,
    상기 프로세싱 회로는, 상기 인증 및 키 합의가 성공적인 후에 상기 애플리케이션 서비스에 대해 상기 사용자 디바이스에 대한 애플리케이션-특정 액세스를 제공하도록 더 구성되는, 무선 통신 네트워크 디바이스.
  45. 제 35 항에 있어서,
    상기 프로세싱 회로는, 취소되었고 애플리케이션-특정 액세스가 승인되어서는 안되는 사용자 디바이스들에 대해 프로비저닝된 복수의 애플리케이션-특정 인증서들을 포함하는 애플리케이션-특정 인증서 취소 리스트를 저장하도록 더 구성되는, 무선 통신 네트워크 디바이스.
  46. 무선 통신 네트워크 디바이스로서,
    애플리케이션 서비스 프로바이더로부터, 애플리케이션 서비스 프로바이더 공개 키를 포함하는 애플리케이션 서비스 프로바이더 인증서를 수신하는 수단;
    사용자 디바이스로부터, 상기 애플리케이션 서비스 프로바이더에 의해 제공되는 애플리케이션 서비스에 대한 애플리케이션-특정 액세스를 위한 등록 요청을 수신하는 수단으로서, 상기 등록 요청은 상기 애플리케이션 서비스 프로바이더에 의해 서명된 애플리케이션-특정 인증서를 포함하고, 상기 애플리케이션-특정 인증서는 상기 애플리케이션 서비스와 연관된 공개 키를 포함하는, 상기 등록 요청을 수신하는 수단;
    상기 무선 통신 네트워크의 홈 가입자 서비스 (HSS) 에 대해 독립적으로 상기 무선 통신 네트워크 디바이스에서 상기 애플리케이션 서비스 프로바이더 공개 키를 이용하여 상기 애플리케이션-특정 인증서를 검증하는 수단; 및
    상기 무선 통신 네트워크 디바이스에서의 상기 애플리케이션-특정 인증서의 검증 후에, 상기 사용자 디바이스와 인증 및 키 합의를 수행하는 수단을 포함하는, 무선 통신 네트워크 디바이스.
  47. 제 46 항에 있어서,
    상기 사용자 디바이스와의 인증 및 키 합의는 상기 사용자 디바이스와 상기 무선 통신 네트워크 사이에서 그리고 상기 애플리케이션 서비스 프로바이더에 대해 독립적으로 수행되는, 무선 통신 네트워크 디바이스.
  48. 제 46 항에 있어서,
    상기 사용자 디바이스로부터 상기 등록 요청을 수신하기 전에 상기 애플리케이션 서비스와 연관된 애플리케이션 서비스 등록 정보를 수신하는 수단을 더 포함하는, 무선 통신 네트워크 디바이스.
  49. 제 46 항에 있어서,
    상기 애플리케이션 서비스와 연관된 상기 공개 키는 사용자 디바이스 공개 키이고, 상기 애플리케이션-특정 인증서는 애플리케이션-특정 디지털 서명을 더 포함하며, 상기 애플리케이션-특정 디지털 서명은 상기 애플리케이션 서비스 프로바이더의 개인 키에 의해 서명된 상기 사용자 디바이스 공개 키를 포함하는, 무선 통신 네트워크 디바이스.
  50. 제 46 항에 있어서,
    상기 인증 및 키 합의가 성공적인 후에 상기 애플리케이션 서비스에 대해 상기 사용자 디바이스에 대한 애플리케이션-특정 액세스를 제공하는 수단을 더 포함하는, 무선 통신 네트워크 디바이스.
KR1020177026181A 2015-03-17 2016-03-01 애플리케이션-특정적 네트워크 액세스 크리덴셜들을 이용한 무선 네트워크들에 대한 후원된 접속을 위한 장치 및 방법 KR101840180B1 (ko)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201562134206P 2015-03-17 2015-03-17
US62/134,206 2015-03-17
US14/829,459 US9755837B2 (en) 2015-03-17 2015-08-18 Apparatus and method for sponsored connectivity to wireless networks using application-specific network access credentials
US14/829,459 2015-08-18
PCT/US2016/020226 WO2016148903A1 (en) 2015-03-17 2016-03-01 Apparatus and method for sponsored connectivity to wireless networks using application-specific network access credentials

Publications (2)

Publication Number Publication Date
KR20170110157A KR20170110157A (ko) 2017-10-10
KR101840180B1 true KR101840180B1 (ko) 2018-03-19

Family

ID=55910327

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020177026181A KR101840180B1 (ko) 2015-03-17 2016-03-01 애플리케이션-특정적 네트워크 액세스 크리덴셜들을 이용한 무선 네트워크들에 대한 후원된 접속을 위한 장치 및 방법

Country Status (8)

Country Link
US (1) US9755837B2 (ko)
EP (1) EP3272099B1 (ko)
JP (1) JP6400228B2 (ko)
KR (1) KR101840180B1 (ko)
CN (1) CN107409136B (ko)
BR (1) BR112017019799B1 (ko)
TW (1) TWI645724B (ko)
WO (1) WO2016148903A1 (ko)

Families Citing this family (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9717004B2 (en) 2015-03-17 2017-07-25 Qualcomm Incorporated Apparatus and method for sponsored connectivity to wireless networks using application-specific network access credentials
US9807086B2 (en) 2015-04-15 2017-10-31 Citrix Systems, Inc. Authentication of a client device based on entropy from a server or other device
US10122709B2 (en) 2015-05-12 2018-11-06 Citrix Systems, Inc. Multifactor contextual authentication and entropy from device or device input or gesture authentication
USD888731S1 (en) 2016-05-10 2020-06-30 Citrix Systems, Inc. Display screen or portion thereof with transitional graphical user interface
CN106793005B (zh) * 2016-11-14 2020-05-12 深圳市唯传科技有限公司 基于LoRa的物联网设备的漫游通信方法及系统
WO2018187937A1 (en) * 2017-04-11 2018-10-18 Huawei Technologies Co., Ltd. Network authentication method, device, and system
WO2019017865A1 (en) * 2017-07-17 2019-01-24 Sony Mobile Communications Inc. APPLICATION-LEVEL SERVICE IDENTITY SUPPORTERS FOR NETWORK ACCESS AUTHENTICATION
CN108401262A (zh) * 2018-02-06 2018-08-14 武汉斗鱼网络科技有限公司 一种终端应用通信数据获取与分析的方法及装置
US11108556B2 (en) * 2018-06-08 2021-08-31 Vmware, Inc. Unmanaged secure inter-application data communications
EP3618383A1 (en) * 2018-08-30 2020-03-04 Koninklijke Philips N.V. Non-3gpp device access to core network
CN111010744B (zh) * 2018-10-08 2022-05-13 华为技术有限公司 建立会话的方法和装置以及发送报文的方法和装置
EP3852416B1 (en) * 2020-01-15 2022-09-07 Nokia Solutions and Networks Oy Touchless support for commercial in-service user equipment in private mobile networks
CN111314475B (zh) 2020-02-21 2021-05-04 北京紫光展锐通信技术有限公司 会话创建方法及相关设备
US11652811B2 (en) * 2020-04-16 2023-05-16 Sap Se Automatic provisioning
CN114884667A (zh) * 2021-02-05 2022-08-09 中国移动通信有限公司研究院 一种通信鉴权方法、设备及存储介质
EP4123544A1 (en) * 2021-07-22 2023-01-25 Deutsche Telekom AG Method and system for operating a mobile point-of-sales application
US11968310B2 (en) * 2021-07-23 2024-04-23 Blackberry Limited Method and system for providing data security for micro-services across domains
US11962695B2 (en) 2021-07-23 2024-04-16 Blackberry Limited Method and system for sharing sensor insights based on application requests

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050102501A1 (en) 2003-11-11 2005-05-12 Nokia Corporation Shared secret usage for bootstrapping

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB0414421D0 (en) * 2004-06-28 2004-07-28 Nokia Corp Authenticating users
JP4683260B2 (ja) * 2004-07-14 2011-05-18 ソニー株式会社 情報処理システム、情報処理装置、サーバ装置、および情報処理方法
CN102638794B (zh) * 2007-03-22 2016-03-30 华为技术有限公司 鉴权和密钥协商方法、认证方法、系统及设备
EP3522580B1 (en) 2007-10-16 2021-01-20 Nokia Technologies Oy Credential provisioning
US8169958B2 (en) 2008-03-27 2012-05-01 Cisco Technology, Inc. Obtaining information regarding services available from a wireless local area network
US8873523B2 (en) * 2009-09-30 2014-10-28 Apple Inc. Methods and apparatus for solicited activation for protected wireless networking
US8566596B2 (en) 2010-08-24 2013-10-22 Cisco Technology, Inc. Pre-association mechanism to provide detailed description of wireless services
JP5536628B2 (ja) * 2010-12-21 2014-07-02 Kddi株式会社 無線lan接続方法、無線lanクライアント、および無線lanアクセスポイント
US9198038B2 (en) * 2011-06-13 2015-11-24 Qualcomm Incorporated Apparatus and methods of identity management in a multi-network system
BR112014003898A2 (pt) 2011-08-25 2017-03-14 Smart Hub Pte Ltd sistema e método para provisão de acesso à internet e dispositivo móvel
EP2842288A1 (en) * 2012-04-27 2015-03-04 Interdigital Patent Holdings, Inc. Systems and methods for personalizing and/or tailoring a service interface
US9208298B2 (en) 2012-06-18 2015-12-08 Google Inc. Pass through service login to application login
US9413736B2 (en) 2013-03-29 2016-08-09 Citrix Systems, Inc. Providing an enterprise application store
KR20140119544A (ko) 2013-04-01 2014-10-10 삼성전자주식회사 이동통신 시스템에서 근접 서비스 메시지 라우팅 방법 및 장치
US9717004B2 (en) 2015-03-17 2017-07-25 Qualcomm Incorporated Apparatus and method for sponsored connectivity to wireless networks using application-specific network access credentials

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050102501A1 (en) 2003-11-11 2005-05-12 Nokia Corporation Shared secret usage for bootstrapping

Also Published As

Publication number Publication date
EP3272099B1 (en) 2018-12-26
BR112017019799B1 (pt) 2024-02-06
BR112017019799A2 (pt) 2018-05-29
WO2016148903A1 (en) 2016-09-22
JP6400228B2 (ja) 2018-10-03
CN107409136A (zh) 2017-11-28
KR20170110157A (ko) 2017-10-10
JP2018511244A (ja) 2018-04-19
US9755837B2 (en) 2017-09-05
CN107409136B (zh) 2019-04-12
TWI645724B (zh) 2018-12-21
TW201644292A (zh) 2016-12-16
US20160277191A1 (en) 2016-09-22
EP3272099A1 (en) 2018-01-24

Similar Documents

Publication Publication Date Title
KR101838872B1 (ko) 애플리케이션-특정적 네트워크 액세스 크리덴셜들을 이용한 무선 네트워크들에 대한 후원된 접속을 위한 장치 및 방법
KR101840180B1 (ko) 애플리케이션-특정적 네트워크 액세스 크리덴셜들을 이용한 무선 네트워크들에 대한 후원된 접속을 위한 장치 및 방법
US11863663B2 (en) Initial network authorization for a communications device
US9432349B2 (en) Service access authentication method and system
KR102398221B1 (ko) 무선 직접통신 네트워크에서 비대칭 키를 사용하여 아이덴티티를 검증하기 위한 방법 및 장치
CN112514436B (zh) 发起器和响应器之间的安全的、被认证的通信
CN108886688B (zh) 一种可以在连接到无线通信网络的服务提供商sp网络中操作的方法、装置和可读介质
JP2014509162A (ja) セキュアエレメントを用いたリモート局の認証方法
US20150006898A1 (en) Method For Provisioning Security Credentials In User Equipment For Restrictive Binding
AU2016307326A1 (en) Validating authorization for use of a set of features of a device
US11316670B2 (en) Secure communications using network access identity
NZ618957B2 (en) Service access authentication method and system

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant