KR102051492B1 - 머신-대-머신 서비스 제공 방법 및 장치 - Google Patents

머신-대-머신 서비스 제공 방법 및 장치 Download PDF

Info

Publication number
KR102051492B1
KR102051492B1 KR1020137029892A KR20137029892A KR102051492B1 KR 102051492 B1 KR102051492 B1 KR 102051492B1 KR 1020137029892 A KR1020137029892 A KR 1020137029892A KR 20137029892 A KR20137029892 A KR 20137029892A KR 102051492 B1 KR102051492 B1 KR 102051492B1
Authority
KR
South Korea
Prior art keywords
service
message
identifier
network
root key
Prior art date
Application number
KR1020137029892A
Other languages
English (en)
Other versions
KR20140024894A (ko
Inventor
알퍼 예긴
백영교
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Publication of KR20140024894A publication Critical patent/KR20140024894A/ko
Application granted granted Critical
Publication of KR102051492B1 publication Critical patent/KR102051492B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/50Service provisioning or reconfiguring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/70Services for machine-to-machine communication [M2M] or machine type communication [MTC]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2143Clearing memory, e.g. to prevent the data from being stolen
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/4401Bootstrapping
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/061Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Computer And Data Communications (AREA)
  • Telephonic Communication Services (AREA)
  • Storage Device Security (AREA)
  • Communication Control (AREA)

Abstract

서비스를 제공하는 방법 및 장치가 제공된다. 머신-대-머신(M2M) 디바이스에 의해 서비스를 제공하는 방법은 상기 M2M 디바이스의 식별자를 포함하는 제1 인증에 대한 요청을 네트워크 보안부(NSEC; Network Security Capability)로 전송하는 단계와, 상기 NSEC와 함께 확장 가능 인증 프로토콜(EAP; Extensible Authentication Protocol) 인증을 수행하는 단계와, 상기 제1 인증이 성공적이면, 마스터 세션 키(MSK; Master Session Key) 및 상기 M2M 디바이스의 식별자 중의 적어도 하나를 이용하여 비밀 키를 생성하는 단계를 포함한다.

Description

머신-대-머신 서비스 제공 방법 및 장치{Method and Apparatus for Providing Machine-to-Machine Service}
본 발명은 통신 시스템을 위한 방법 및 장치에 관한 것으로, 더욱 상세하게는 머신-대-머신(M2M; Machine-to-Machine) 서비스를 제공하는 방법 및 장치에 관한 것이다.
M2M 기술은 M2M 디바이스들이 네트워크들과 연결되어 통신하면서 각각의 디바이스에서 실행되는 어플리케이션들이 인터넷 상의 다양한 제어 노드들(즉, 서버들 또는 다른 유사한 장치들)에서 실행되는 어플리케이션들과 통신하도록 하는 기술이다. 이러한 통신을 수월하게 하기 위해 M2M 코어 네트워크는 서비스 파라미터들로 디바이스들의 동적 권한설정(dynamic provisioning)을 가능하게 하고 어플리케이션 레벨의 접근을 위해 디바이스들의 등록을 가능하게 하는 역할을 한다.
M2M 자동 부트스트랩(M2M Automated Bootstrap)은 M2M 디바이스의 동적 권한설정(dynamic provisioning)을 수행하기 위해 M2M 디바이스와 M2M 네트워크 사이에서 실행되는 절차이다. 따라서 컴퓨터나 사용자 인터페이스로부터 자기진단 항목을 수동으로 선택할 때 초래되는 불편함 없이 디바이스의 자기진단을 수행할 수 있는 시스템과 방법이 필요하다.
본 발명의 측면들은 적어도 전술한 문제들 및/또는 단점들을 해결하고 적어도 아래에 설명된 장점들을 제공하기 위한 것이다. 따라서 본 발명의 일 측면은 머신-대-머신(M2M) 디바이스에 의해 서비스를 제공하는 방법을 제공한다. 이 방법은 상기 M2M 디바이스의 식별자를 포함하는 제1 인증에 대한 요청을 네트워크 보안부(NSEC; Network Security Capability)로 전송하는 단계, 상기 NSEC와 함께 확장 가능 인증 프로토콜(EAP; Extensible Authentication Protocol) 인증을 수행하는 단계, 및 상기 제1 인증이 성공적이면, 마스터 세션 키(MSK; Master Session Key) 및 상기 M2M 디바이스의 식별자 중의 적어도 하나를 이용하여 비밀 키를 생성하는 단계를 포함한다.
본 발명의 일 측면에 따르면, 서비스를 제공하는 머신-대-머신(M2M) 디바이스가 제공된다. 이 M2M 디바이스는 상기 M2M 디바이스의 식별자를 포함하는 제1 인증에 대한 요청을 네트워크 보안부(NSEC; Network Security Capability)로 전송하는 송신기, 상기 NSEC와 함께 확장 가능 인증 프로토콜(EAP; Extensible Authentication Protocol) 인증을 수행하는 제어기, 및 상기 제1 인증이 성공적이면, 마스터 세션 키(MSK; Master Session Key) 및 상기 M2M 디바이스의 식별자 중의 적어도 하나를 이용하여 비밀 키를 생성하는 키 생성기를 포함한다.
본 발명의 다른 측면에 따르면, 머신-대-머신(M2M) 시스템에서 네트워크 보안부(NSEC; Network Security Capability)에 의해 서비스를 제공하는 방법이 제공된다. 이 방법은 상기 M2M 디바이스의 식별자를 포함하는 제1 인증에 대한 요청이 M2M 디바이스로부터 수신되는지 판단하는 단계, 상기 제1 인증에 대한 요청이 수신되면, 상기 M2M 디바이스와 함께 확장 가능 인증 프로토콜(EAP; Extensible Authentication Protocol) 인증을 수행하는 단계, 및 상기 제1 인증이 성공적이면, 마스터 세션 키(MSK; Master Session Key) 및 상기 M2M 디바이스의 식별자 중의 적어도 하나를 이용하여 비밀 키를 생성하는 단계를 포함한다.
본 발명의 다른 측면에 따르면, 머신-대-머신(M2M) 시스템에서 서비스를 제공하는 네트워크 보안부(NSEC; Network Security Capability)가 제공된다. 이 NSEC는 상기 M2M 디바이스의 식별자를 포함하는 제1 인증에 대한 요청이 M2M 디바이스로부터 수신되는지 판단하고, 상기 제1 인증에 대한 요청이 수신되면, 상기 M2M 디바이스와 함께 확장 가능 인증 프로토콜(EAP; Extensible Authentication Protocol) 인증을 수행하는 제어기, 및 상기 제1 인증이 성공적이면, 마스터 세션 키(MSK; Master Session Key) 및 상기 M2M 디바이스의 식별자 중의 적어도 하나를 이용하여 비밀 키를 생성하는 키 생성기를 포함한다.
본 발명에 따르면, 다음과 같이 다양한 효과들이 있다.
코드 재사용(Code reuse): EAP는 “네트워크 접속 인증”을 위해 와이파이(WiFi), 와이맥스(WiMAX), 지그비(Zigbee), 이더넷(Ethernet) 등에서 폭넓게 사용된다. PANA는 지그비 디바이스들에서 “네트워크 접속 인증”을 위해 사용된다. 다른 목적을 위해 동일한 요소들을 재사용하는 것은 M2M 디바이스들의 개발 및 생산 비용을 감소시킨다.
확장성(Extensibility): EAP 및 PANA는 모두 확장 가능 프로토콜들이다. PSK 및 증명-기반 인증만을 허용하는 TLS와 달리, 이들은 어떤 인증 방법이라도 사용될 수 있도록 한다. PANA는 새로운 속성값 쌍들(AVPs; Attribute-Value-Pairs)을 정의함으로써 새로운 페이로드들이 쉽게 전달되도록 확장된다.
경량화(Lightweight): 이러한 해결방안은 UDP 기반의 스택들과 TCP 기반의 스택들 모두를 지원한다. TLS는 TCP 기반의 스택을 필요로 하며, 이에 따라 코드와 처리를 더 필요로 한다.
모델 적합성(Model fit): EAP 및 PANA의 삼자(3-party) 인증 모델은 디바이스-코어-MSBF 시스템들에 적합하다. TLS는 양자(2-party) 설계에 기반을 두며, TLS 기반의 해결방안들은 M2M 시스템 아키텍처들에 적합하지 않다.
본 발명의 실시예들에 대한 여러 양태들, 특징들, 장점들은 다음의 첨부 도면들을 참조하는 아래의 설명으로부터 보다 명백해질 것이다.
도 1은 본 발명의 실시예에 따른 M2M 자동 부트스트랩 절차(M2M Automated Bootstrap Procedure)에 포함되는 네트워크 구성요소들을 도시한 도면이다.
도 2는 본 발명의 실시예에 따른 M2M 네트워크들에서 발생하는 이벤트들의 하이-레벨 흐름도이다.
도 3은 본 발명의 실시예에 따른 부트스트랩 절차를 포함하는 호출 흐름을 도시한 도면이다.
도 4A는 본 발명의 실시예에 따른 디바이스의 부트스트랩 절차를 도시한 흐름도이다.
도 4B는 본 발명의 실시예에 따른 네트워크 보안부(NESC; Network Security Capability)의 부트스트랩 절차를 도시한 흐름도이다.
도 4C는 본 발명의 실시예에 따른 네트워크 원격 개체 관리부(NREM; Network Remote Entity Management Capability)의 부트스트랩 절차를 도시한 흐름도이다.
도 4D는 본 발명의 실시예에 따른 M2M 서비스 부트스트랩핑 기능부(MSBF; M2M Service Bootstrapping Function)의 부트스트랩 절차를 도시한 흐름도이다.
도 4E는 본 발명의 실시예에 따른 M2M 서비스 계층 인증·인가·과금 서버(MAS; M2M service layer AAA Server)의 부트스트랩 절차를 도시한 흐름도이다.
도 5는 본 발명의 실시예에 따른 디바이스 기능 모델을 도시한 도면이다.
도 6은 본 발명의 실시예에 따른 분리된 네트워크 접근 인증 및 M2M 부트스트랩 절차를 도시한 도면이다.
도 7은 본 발명의 실시예에 따른 네트워크 접속 인증을 수행하기 위한 프로토콜(PANA; Protocol for Carrying Authentication for Network Access)을 통하여 확장 가능 인증 프로토콜(EAP; Extensible Authentication Protocol)을 사용하는 네트워크들 및 확장 가능 인증 프로토콜(EAP)을 사용하는 네트워크를 위한 호출 흐름을 도시한 도면이다.
도 8은 본 발명의 실시예에 따른 디바이스 기능 모델을 도시한 도면이다.
도면을 통틀어, 동일한 참조번호들은 동일하거나 유사한 구성요소들, 특징들, 구조들을 지칭하기 위해 사용된다.
첨부 도면을 참조한 이하의 설명은 청구항들과 그들의 균등물에 의해 정의된 본 발명의 실시예들의 완전한 이해를 돕기 위해 제공된다. 아래의 설명은 이해를 돕기 위해 다양하고 구체적인 예들을 포함하지만 이들은 단지 예시로서 간주되어야 할 것이다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 여기에 개시된 실시예들이 본 발명의 범위 및 사상을 벗어나지 않고 다양하게 변형 가능하리라는 점을 인식할 수 있을 것이다. 또한, 명료함과 간결함을 위해, 공지의 기능들 및 구조들에 대한 설명은 생략될 수 있다.
이하의 설명 및 청구항들에서 사용되는 용어들이나 단어들은 사전적 의미로만 제한되지 않으며, 단지 발명의 명료하고 일관된 이해를 위해 발명자에 의해 사용될 수 있다. 따라서 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 실시예들에 대한 다음의 설명이 단지 설명을 위한 목적으로 제공될 뿐 청구항들과 그 균등물들에 의해 정의되는 본 발명을 제한하기 위한 목적으로 제공되지 않는다는 점을 이해할 것이다.
본 명세서에서 사용되는 단수의 표현은, 문맥상 명백하게 다르게 지시하지 않는 한, 복수의 표현을 포함한다. 예를 들어, “요청”이라는 기재는 하나 또는 그 이상의 요청들을 포함하는 의미의 기재이다.
도 1은 본 발명의 실시예에 따른 M2M 자동 부트스트랩 절차(M2M Automated Bootstrap Procedure)에 포함되는 네트워크 구성요소들을 도시한 도면이다.
도 1을 참조하면, 네트워크 구성요소들을 연결하는 선들은 네트워크 구성요소들에서 사용되는 통신 인터페이스들에 대응한다. 디바이스(110)는 M2M 코어 네트워크(120)에 의해 제공되는 M2M 설비를 사용하여 동작을 시작하기 위해 부트스트랩(bootstrap)되는 개체이다. 디바이스(110)는 M2M 코어 네트워크(120)를 통해 M2M 서비스 부트스트랩핑 기능부(MSBF; M2M Service Bootstrapping Function)(130)와 함께 부트스트랩 절차에 관여한다. 부트스트랩 절차의 말미에서, M2M 네트워크를 통해 어플리케이션 통신을 암호화하기 위해 사용될 루트 비밀 키(root secret key; KR)가 생성된다. 루트 비밀 키는 네트워크에서 M2M 서비스 계층 인증·인가·과금 서버(MAS; M2M service layer AAA Server)(140)에 저장된다.
유럽 통신 규격 협회(ETSI; European Telecommunications Standard Institute)의 M2M 기술위원회(M2M Technical Committee)는 M2M 표준을 입안하고 자동 M2M 부트스트랩 절차의 필요성 및 그 요구사항을 명확히 했다.
도 2는 본 발명의 실시예에 따른 M2M 네트워크들에서 발생하는 이벤트들의 하이-레벨 흐름도이다.
도 2를 참조하면, 네트워크 접근 인증을 포함하는 네트워크 등록은 인터넷 프로토콜(IP) 네트워크에 대한 접근을 획득하기 위한 디바이스에 의해 사용되는 절차이다. M2M 관련 절차들과 같이 고-계층(higher-layer) 절차들은 네트워크 등록의 성공적 실행 후에 사용될 것이다. M2M 서비스 부트스트랩 및 M2M 서비스 연결과 같은 M2M 절차들은 M2M 네트워크로의 접속 및 IP 네트워크 최상위의 오버레이 네트워크로의 접속을 획득하기 위해 사용된다. 도 2에서, M2M 디바이스는 디바이스 서비스 능력 계층(DSCL; Device Service Capability Layer)을 포함하고, M2M 게이트웨이는 게이트웨이 서비스 능력 계층(GSCL; Gateway Service Capability Layer)을 포함하며, 네트워크 도메인은 네트워크 서비스 능력 계층(NSCL; Network Service Capability Layer)을 포함한다. NSCL은 네트워크 도메인에서 M2M 서비스 능력들과 관련이 있다. GSCL은 M2M 게이트웨이에서 M2M 서비스 능력들과 관련이 있다. DSCL은 M2M 디바이스에서 M2M 서비스 능력들과 관련이 있다. DSCL은 DSCL을 식별하는 DSCL 식별자를 가지며, GSCL은 GSCL을 식별하는 GSCL 식별자를 가진다.
유럽 통신 규격 협회(ETSI)의 M2M 아키텍처는 디바이스 및 게이트웨이 유형 설비의 코어 네트워크 연결을 지원한다. 단순화를 위해, “디바이스”라는 용어는 본 명세서를 통틀어 전자디바이스들 및 게이트웨이 유형 설비들을 지칭하는 용어로 사용된다. 따라서 M2M 디바이스들에 대하여 기술되는 특징들, 구성요소들, 작용들은 M2M 게이트웨이들 및 게이트웨이 유형 설비들에 마찬가지로 적용된다. 여기에서 “디바이스”라는 용어는 DSCL 및/또는 GSCL을 지칭하기 위해 사용될 수 있다.
본 실시예는 네트워크 접속 인증을 수행하기 위한 프로토콜(PANA; Protocol for Carrying Authentication for Network Access) 및 확장 가능 인증 프로토콜(EAP; Extensible Authentication Protocol)을 사용하는 자동 M2M 서비스 계층 부트스트랩 절차를 제공한다. 이러한 방식에서, 네트워크 등록 및 M2M 서비스 부트스트랩은 도 2에 도시된 바와 같이 서로 분리된 별개의 절차들이다. PANA는 디바이스와 코어 네트워크 사이에서 EAP 데이터를 전달하기 위해 사용되는 프로토콜이다. 그러나 본 발명은 이에 한정되지 않으며, 다른 프로토콜들도 EAP 및 요구 페이로드들(payloads)을 전달할 수 있는 한 PANA를 대체할 수 있다. 실시예들에 대하여 여기에 개시된 작용들은 대체 프로토콜에 대해서도 적용된다.
본 발명의 실시예들에서, EAP 인증 방법으로는 일치-기반 인증 키 교환(IBAKE; Identity-Based Authenticated Key Exchange)에 기초한 EAP 인증이 사용된다. 그러나 본 발명의 모든 양태들에 따르면 EAP 인증 방법이 특정되지 않는다. 즉, 본 발명은 EAP-IBAKE에 한정되지 않으며, EAP-TLS, EAP-AKA, EAP-TTLS, EAP-GPSK, 및 다른 유사 프로토콜들과 같은 EAP 인증 방법이 사용될 수 있다.
전송 계층 보안(TLS; Transport Layer Security)은 디바이스와 네트워크를 상호 인증하기 위해, 그리고 페이로드들로서 부트스트랩 파라미터들을 하이퍼텍스트 전송 프로토콜 보안(HTTPS; Hypertext Transfer Protocol Secure) 계층으로 전달하기 위해 제안되었다. 그러나 TLS의 사용은 여러 문제들을 초래하며, 이로 인해 EAP 및 PANA는 코드 재사용, 확장성, 경량화, 개선된 모델 적합성을 비롯한 여러 키 특징들을 통해 해결방안을 제공한다. 예를 들어, 코드 재사용의 경우, WiFi(Wireless Fidelity) 네트워크, WiMAX(Wireless Interoperability for Microwave Access) 네트워크, 지그비(Zigbee) 네트워크, 이더넷(Ethernet) 네트워크 등에서 “네트워크 접속 인증”을 위해 EAP가 널리 사용되고 있다. PANA는 지그비 디바이스들에서 “네트워크 접속 인증”을 위해 사용된다. 따라서 다른 목적을 위해 동일하거나 유사한 요소들을 재사용하는 것은 M2M 디바이스들의 개발 및 생산 비용을 감소시킨다. 확장성의 경우, EAP 및 PANA는 확장 가능 프로토콜들이며, PSK(Pre-Shared Key) 및 증명-기반 인증만을 허용하는 TLS와 달리 어떤 인증 방법이라도 사용될 수 있도록 한다. PANA는 새로운 속성값 쌍들(AVPs; Attribute-Value-Pairs)을 정의함으로써 새로운 페이로드들이 쉽게 전달되도록 확장된다. 경량화의 경우, EAP 및 PANA의 사용은 사용자 데이터그램 프로토콜(UDP; User Datagram Protocol) 기반의 스택들과 전송 제어 프로토콜(TCP; Transport Control Protocol) 기반의 스택들 모두를 지원한다. 반면에, TLS는 TCP 기반의 스택을 필요로 하며, 이에 따라 EAP와 PANA를 사용하는 경우와 비교하여 증가된 코드와 처리를 필요로 한다. 향상된 모델 적합성의 경우, EAP 및 PANA의 삼자(3-party) 인증 모델은 M2M 디바이스-코어 M2M 서비스 부트스트랩핑 기능부(MSBF; M2M Service Bootstrapping Function) 시스템 아키텍처에 대응한다. 반면에, TLS는 양자(2-party) 설계에 기반을 두며, TLS 기반의 해결방안들은 M2M 시스템 아키텍처에 적합하지 않다.
도 3은 본 발명의 실시예에 따른 부트스트랩 절차를 포함하는 호출 흐름을 도시한 도면이다.
도 3을 참조하면, M2M 코어 네트워크에 네트워크 보안부(NSEC; Network Security Capability)(302) 및 네트워크 원격 개체 관리부(NREM; Network Remote Entity Management Capability)(304)가 존재한다. NSEC(302)는 인증자(authenticator)이고 NREM(304)은 디바이스(300)를 위한 구성 서버(configuration server)이다. 본 발명의 모든 실시예들에 필요한 것은 아니지만, 단계 310에서 M2M 서비스 부트스트랩핑 기능부(MSBF; M2M Service Bootstrapping Function)(306)가 M2M 요구를 전송한다. 부트스트랩 절차가 디바이스(300)에 의해 개시되는 경우, 단계 310은 생략될 수 있다. 따라서 단계 310은 NSEC(302) 또는 MSBF(306)에 의해 개시될 수 있다. 단계 310이 NSEC(302)에 의해 개시되는 경우, MSBF(306)와 NSEC(302) 사이에서 통신되는 메시지는 없다. 그러나 MSBF(306) 또는 NSEC(302)가 디바이스(300)의 네트워크 위치를 알아야 하므로, 이러한 경우 단계 310에 포함된 메시지는 IP 계층 및/또는 링크 계층에서 유니캐스트(unicast)된다. 또는 MSBF(306) 또는 NSEC(302)가 디바이스(300)의 정확한 위치를 알지 못하는 경우, 메시지는 IP 계층 및/또는 링크 계층에서 애니캐스트되거나(anycasted) 멀티캐스트되거나(multicasted) 또는 브로드캐스트된다(broadcasted).
인증·인가·과금(AAA; Authentication, Authorization, and Accounting) 프로토콜은 NSEC(302)와 MSBF(306) 사이에서 사용된다. AAA 프로토콜의 두 가지 예는 Remote Authentication Dial In User Service(RADIUS)와 Diameter Base Protocol(Diameter)이다. 본 실시예에 따르면, NSEC(302)와 디바이스(300) 사이에서 사용되는 AAA 프로토콜은 PANA이다. 단계 310에서 사용되는 PANA 메시지는 PANA-인증요청(PAR; PANA-Authentication-Request) 메시지이고, PANA 표준에서 정의된 표준 속성값 쌍들(AVPs)에 더하여 PAR 메시지 안에 다음 AVP들을 포함할 수 있다: MSBF-IDentifier(ID)는 디바이스(300)에 MSBF(306)에 대한 식별자(identifier)를 전달하기 위해 사용된다; AVP의 값 필드(value field)는 Fully Qualified Domain Name(FQDN), Network Access Identifier(NAI), URI(Uniform Resource Identifier) 및 기타 유사한 식별자들과 같은 식별자의 유형을 나타내는 ID 유형, 식별자의 ID 값, 및 디바이스(300)로 NSEC 식별자를 전달하기 위해 사용되는 NSEC-ID와 같은 데이터 요소들을 포함한다. 또한, AVP의 값 필드는 다음 데이터 요소들을 포함한다: FQDN, NAI 및 URI와 같은 식별자의 유형을 나타내는 ID 유형, 및 식별자의 값인 ID 값.
NSEC(302)가 PANA 프로토콜에 대하여 PANA 인증 에이전트(PAA; PANA Authentication Agent)의 역할을 하므로, NSEC-ID 및 PAA 식별자들은 서로 동등하다. 또한, 네트워크 ID는 MSBF(306)에 의해 디바이스(300)로 제공되는 M2M 네트워크(들)의 식별자들을 전달하기 위해 사용된다. 동일 메시지에 하나 이상의 AVP가 포함되거나 전혀 포함되지 않을 수 있으며, 하나의 MSBF(306)가 다양한 네트워크들을 위해 제공될 수 있다. 또한, 다른 데이터 요소들 중에서, AVP의 값 필드는 전술한 바와 같은 ID 유형 및 ID 값을 포함할 수 있다.
또한, 전술한 바와 같이, 동일 AVP는 PAA가 제공됨을 각각의 네트워크들에 알리기 위해 통상의 PAA(즉, M2M 네트워크에 없는 PAA)에 의해 사용될 수 있다. 따라서 네트워크 ID는 서비스 제공자 및 서비스 제공자가 소유하고 있는 네트워크를 나타내기 위해 사용될 수 있다. 또한, 디바이스 ID는 수신 디바이스들로 타깃 디바이스의 식별자를 전달하기 위해 사용될 수 있다. AVP들을 포함하는 메시지가 애니캐스트되거나 멀티캐스트되거나 또는 브로드캐스트되고 그에 따라 타깃 디바이스 뿐만 아니라 다양한 노드들에 의해 수신되므로, 디바이스 ID는 수신 디바이스들 또는 노드들이 각각의 수신 디바이스들 또는 다른 디바이스에게 요청 제공 여부를 결정할 수 있도록 한다. 디바이스(300)는 하나 이상의 디바이스 ID가 디바이스(300)의 식별자와 일치하는 경우에만 수신 메시지를 사용하며, 일치하지 않는 경우 디바이스(300)는 메시지를 무시한다. 다른 데이터 요소들 중에서, AVP의 값 필드는 다음 데이터 요소들을 포함한다: FQDN, NAI, URI 및 MAC 어드레스와 같은 식별자의 유형을 나타내는 ID 유형, 및 식별자의 값인 ID 값. 전술한 AVP들은 ID 값과 함께 ID 유형을 제공한다. AVP들을 사용하는 네트워크의 아키텍처가 다른 유형의 ID들을 지원하기 위한 탄력성을 필요로 하지 않을 경우, 이러한 AVP들의 변형이 ID 유형이 생략된 채 사용될 수 있다.
또한, 사용 유형(Usage-type) AVP가 PANA 실행의 목적을 나타내기 위해, 즉 PANA 실행이 M2M 부트스트랩핑을 위한 것인지, 네트워크 접속(즉, PANA 실행은 PANA의 레거시(legacy) 사용이다)을 위한 것인지, 또는 다른 유형의 PANA 실행을 위한 것인지를 나타내기 위해 정의된다. 사용 유형 AVP는 첫째 메시지 교환이나 임의의 메시지 교환이나 또는 모든 메시지 교환에 포함될 수 있다. 사용 유형 AVP는 값 필드에 다음 데이터 요소를 포함한다: 유형(Type)은 사용 유형(usage type)을 나타내기 위해 열거된 값, 예를 들어 네트워크 접속을 나타내는 0, M2M 부트스트랩핑을 나타내는 1, M2M 서비스 등록을 나타내는 2, 또는 다른 유형의 사용을 나타내는 값들을 전달한다.
다음으로, 단계 320에서 디바이스(300)와 네트워크를 서로 인증하기 위하여 제1 상호 인증(Phase 1 mutual authentication)이 실행된다. 본 발명의 실시예들에 따르면, 상호 인증은 단지 한 단계의 인증(예컨대, EAP-TLS와 함께)이거나 둘 이상의 단계일 수 있다. 예를 들어, EAP-IBAKE는 두 단계들을 가진다: 임시 ID 및 비밀번호를 이용하는 제1 단계 및 IBE(Identity-Based Encryption)을 이용하는 제2 단계(단계 340 참조). 두 단계 인증이 사용되는 경우, 각 단계는 완전한 인증 방법을 실행한다. 예를 들어, IBAKE 방식과 함께 제1 단계는 EAP-GPSK(EAP-Generalized PSK)와 같은 하나의 방법을 실행하며, 제2 단계는 EAP-IBAKE와 같은 또 다른 EAP 방법을 실행한다. 한 단계 인증이 사용되는 경우, 그 단계는 단계 340에 따라 실행된다. 즉, 한 단계 인증이 사용되는 경우, 단계 320은 생략될 수 있다.
단계 320에서 완전한 EAP 인증 방법이 실행된다. EAP 인증 방법은 디바이스(300)와 NSEC(302) 사이에서 PANA를 통한 EAP에 의해 전달되고, NSCE(302)와 M2M 서비스 계층 AAA 서버(MAS)(308) 사이에서 AAA 프로토콜을 통한 EAP에 의해 전달된다. 따라서 완전한 PANA 세션이 이 단계에서 수립된다. 그러나 인증이 실패할 경우, 단계 320은 중지된다. 단계 320에서 인증이 성공적이면, 단계 320을 가능하게 하기 위한 동작들이 취해진다. 따라서 단계 320은 디바이스(300)와 네트워크 사이의 상호 인증을 완성하며, 또한 단계 330을 위한 준비 과정에서 발견(discovery), 식별(identification), 보안(security)을 가능하게 한다.
단계 330을 가능하게 하기 위하여, 인증 결과를 전달하는 맨 마지막 PANA 메시지가 부가적인 AVP들을 전달한다. 부가적인 AVP들은 디바이스(300)로 디바이스 관리 서버의 식별자를 전달하기 위해 사용되는 DM-server-ID를 포함하며, 이때 동일 메시지에 하나 이상의 AVP가 포함되거나 또는 전혀 포함되지 않을 수 있다. DM-server-ID AVP의 값 필드는 다음의 두 가지 데이터 요소들을 포함할 수 있다: FQDN, IPv4 어드레스, URI 또는 다른 유사 식별자와 같은 식별자의 유형을 나타내는 ID 유형, 및 식별자의 값인 ID 값.
또 다른 부가적인 AVP는 네트워크에 의해 디바이스(300)로 할당된 디바이스 식별자를 전달하기 위해 사용되는 Assigned-Device-ID이다. 이는 디바이스(300)와 M2M 코어 네트워크 사이의 후속 시그널링(signaling)을 위한 디바이스(300)의 식별자일 수 있고, 그러한 AVP가 하나 이상 동일 메시지에 포함되거나 또는 전혀 포함되지 않을 수 있다. Assigned-Device-ID AVP의 값 필드는 다음 데이터 요소들을 포함할 수 있다: FQDN, NAI, URI 및 MAC 어드레스와 같은 식별자의 유형을 나타내는 ID 유형, 및 식별자의 값인 ID 값(예컨대, “light-switch-1001”).
DM-server-ID AVP 및 Assigned-Device-ID AVP는 ID 값과 함께 ID 유형을 제공한다. 네트워크 아키텍처가 다른 유형의 ID들을 지원하지 않는 경우(예컨대, 단지 하나의 유형만 사용되는 경우), 이러한 AVP들의 변형이 ID 유형이 생략된 채 사용될 수 있다.
또한, 디바이스(300)와 디바이스 관리 서버 사이의 암호 보안 연관(cryptographic security association)이 단계 320에서 수립된다. Assigned-Device-ID 및 DM-server-ID가 종료점(end-point) 식별자로서 제공되는 동안, 양자 사이의 공유 비밀 키(shared secret key; KD-DM)가 다음의 공유 비밀 키 식에 따라 마스터 세션 키(MSK; Master Session Key)를 토대로 산출된다:
KD-DM = Hash(MSK, constant_string | DM-server-ID | Assigned-Device-ID | other_parameters).
위 식에서, 해시(Hash)는 해시-기반 메시지 인증 코드(HMAC; Hash-based Message Authentication Code)-보안 해시 알고리즘(SHA; Secure Hash Algorithm) 1, HMAC-SHA256, 또는 다른 유사한 해시 함수들과 같은 일방향 키드 해시 함수(one-way keyed hash function)이고; MSK는 실행된 EAP 방법에 의해 보내진(exported) 마스터 세션 키이며; constant_string은 “M2M shared secret between Device and Device Management Server”와 같이 하나 이상의 여백 문자(NULL characters, “\0”)를 포함하는 일정 스트링 값이고; DM-server-ID는 디바이스 관리 서버 식별자의 값이며; Assigned-Device-ID는 네트워크에 의해 할당된 디바이스 식별자의 값이고; other_parameters는 위 식의 변형에 추가될 수 있는 0개 이상의 파라미터이다.
본 발명의 다른 실시예에 따르면, MSK 대신에 확장 MSK(EMSK; Extended MSK)를 이용하는 공유 비밀 키 식은 다음과 같다:
KD-DM = Hash(EMSK, constant_string | DM-server-ID | Assigned-Device-ID | other_parameters).
키 인덱스로서, PANA 세션 식별자 및 PANA 키 ID의 조합이 소정의 디바이스를 위해 사용된다. 만약 소정의 디바이스가 단지 하나의 PANA 세션만을 가진다면, KD-DM 키를 나타내기 위해 키 ID만을 단독으로 사용해도 충분하다.
본 발명의 또 다른 실시예에 따르면, 공유 비밀 키 식은 루트 비밀 키(KR)를 이용할 수 있다. 그러나 이러한 공유 비밀 키 식은 루트 비밀 키가 디바이스 권한설정(device provisioning)의 실행 전에 생성되는 경우에 적용된다. 이러한 공유 비밀 키 식은 다음과 같다:
KD-DM = Hash(KR, constant_string | DM-server-ID | Assigned-Device-ID | other_parameters).
다음으로, 단계 330에서, 디바이스 권한설정이 수행된다(예컨대, Open Mobile Alliance(OMA)-Device Management(DM)를 사용하여). 그러나 단계 330은 선택사항이며, 단계 320을 실행하는 본 발명의 실시예의 구성에 따라 실행될 수 있다. 단계 330이 실행될 때, 식별자들(Assigned-Device-ID 및 DM-Server-ID와 같은) 및 이전의 PANA 절차에서 생성된 공유 키(KD-DM)를 사용하여 보안이 이루어진다. 단계 330에서, 식별자 및 상기 절차들의 보안을 위해 필요한 암호 키들은 단계 320에서 설명된 바와 같이 산출된다.
다음으로, 단계 340에서, 제2 상호 인증(Phase 2 mutual authentication)이 실행되며 PANA를 통해 EAP 인증 방법을 실행하는 것을 포함한다. 단계 340은 몇몇 인증 방법들에 의해 사용될 수 있으며 그 밖의 인증 방법들에서는 생략될 수 있다. 예를 들어, EAP-TLS와 함께 단지 한 단계의 인증만이 실행되는 반면, IBAKE 기반의 인증은 두 단계를 이용하며, 두 번째 단계는 EAP-IBAKE 실행을 포함한다.
부트스트랩핑 절차의 한 가지 성과는 디바이스(300)와 네트워크 사이에서 공유 비밀 키로서 루트 비밀 키(KR)의 설정이다. 루트 비밀 키(KR)는 단계 320 또는 단계 340의 말미에 단계의 가용성(availability) 및 이러한 방식을 사용하는 네트워크 아키텍처의 구성에 따라 생성된다. 만약 Assigned-Device-ID가 단계 320 동안에 전달되지 않으면, 그것은 단계 340의 말미에 전달될 것이며, 인증 결과를 전달하는 맨 마지막 PANA 메시지에 의해 전달된다.
루트 비밀 키(KR)는 다음 방식들 중 하나를 사용하여 생성될 수 있다. 예를 들면, 루트 비밀 키(KR)는 성공적인 인증 절차의 말미에 EAP 방법에 의해 생성된 MSK로부터 유도될 수 있다. 이 경우, MSK는 디바이스(300)에 존재하는 EAP 피어(peer)에 의해 그리고 MAS(308) 또는 MSBF(306)에 존재하는 인증 서버에 의해 생성된다. 인증 서버는 인증자(authenticator)인 NSCE(302)와 MSK를 공유한다. 따라서 MSK는 성공적인 인증의 말미에 동적으로 생성된 공유 비밀 키를 구성하고 다음 식에 따라 루트 비밀 키(KR) 파생물을 위한 시드(seed)로서 사용된다:
KR = Hash(MSK, constant_string | Assigned-Device-ID | Network-ID | other_parameters).
위 식에서, 해시(Hash)는 HMAC-SHA1, HMAC-SHA256과 같은 일방향 키드 해시 함수(one-way keyed hash function)이고; MSK는 실행된 EAP 방법에 의해 보내진 마스터 세션 키이며; constant_string은 “M2M shared secret root key between Device and network”와 같이 하나 이상의 여백 문자(NULL characters, “\0”)를 포함하는 일정 스트링 값이고; Assigned-Device-ID는 네트워크에 의해 할당된 디바이스 식별자의 값이며(여기에서, 만약 네트워크에 의해 아무 ID도 할당되지 않으면, 디바이스는 할당된 ID로서 그 자신의 식별자를 사용할 수 있다); other_parameters는 위 식의 변형에 추가될 수 있는 0개 이상의 파라미터이다.
키 인덱스로서, PANA 세션 식별자 및 PANA 키 ID의 조합이 소정의 디바이스를 위해 사용된다. 만약 소정의 디바이스가 단지 하나의 PANA 세션만을 가진다면, KR 키를 나타내기 위해 키 ID만을 단독으로 사용해도 충분하다.
또한, 루트 비밀 키(KR)는 성공적 인증 절차의 말미에 EAP 방법에 의해 생성된 EMSK로부터 유도될 수 있다. 이러한 경우, 루트 비밀 키(KR)는 디바이스에 존재하는 EAP 피어(peer)에 의해 그리고 MAS(308) 또는 MSBF(306)에 존재하는 인증 서버에 의해 생성된다. 따라서 EMSK는 동적으로 생성된 공유 비밀 키를 구성하고 다음 식에 따라 루트 비밀 키(KR) 파생물을 위한 시드(seed)로서 사용된다:
KR = Hash(EMSK, constant_string | Assigned-Device-ID | Network-ID | other_parameters).
키 인덱스로서, PANA 세션 식별자 및 PANA 키 ID의 조합이 소정의 디바이스를 위해 사용된다. 만약 소정의 디바이스가 단지 하나의 PANA 세션만을 가진다면, KR 키를 나타내기 위해 키 ID만을 단독으로 사용해도 충분하다. 또한, 다음의 새로 정의된 식이 키 인덱스를 산출하기 위해 사용될 수 있다:
Key-index = Hash(KR, constant_string | other_parameters).
다음으로, 단계 350에서, M2M 코어 네트워크가 MAS(308)과 함께 디바이스 권한설정(device provisioning) 정보(예컨대, KR, 디바이스 ID 등)를 보낼 수 있도록 MAS로의 디바이스 정보 권한설정이 실행된다. 이 단계는 단지 제2 상호 인증이 성공적으로 실행되는 경우에만 실행된다.
본 발명의 또 다른 실시예에 따르면, NSEC(302)는 전술한 실시예로부터 제거될 수 있다. 이러한 경우, MSBF(306) 및/또는 MAS(308) 및 디바이스(300)는 NSEC(302)를 통해 메시지들을 전송하지 않고 서로 직접 상호작용을 한다. 이러한 경우, PANA 프로토콜은 MSBF(306) 및/또는 MAS(308) 및 디바이스(300)의 통신을 위해 사용될 수 있다(즉, MSF(306) 및/또는 MAS(308) 및 NSEC(302) 사이에서 실행되는 프로토콜이 또한 제거될 것이다).
도 3을 참조하면, 디바이스(300), NSEC(302), NREM(304), MSBF(306), MAS(308) 각각은 그들의 동작을 제어하고 수행하기 위한 제어기(controller), 신호들을 전송하기 위한 송신기(transmitter), 신호들을 수신하기 위한 수신기(receiver), 신호들을 송수신하기 위한 송수신기(transceiver), 키들을 생성하기 위한 키 생성기(key generator)를 포함할 수 있다.
도 4A는 본 발명의 실시예에 따른 디바이스의 부트스트랩 절차를 도시한 흐름도이다.
도 4A를 참조하면, 단계 401에서, 디바이스는 부트스트랩 절차가 디바이스에 의해 개시되는지 판단한다. 만약 부트스트랩 절차가 디바이스에 의해 개시되면, 프로세스는 단계 404로 진행된다. 그렇지 않은 경우, 프로세스는 단계 402로 진행된다. 단계 402에서, 디바이스는 부트스트랩 요구가 MSBF의 NSEC에 의해 전송되는지 판단한다. 만약 부트스트랩 요구가 전송되지 않으면, 디바이스는 부트스트랩 요구가 전송될 때까지 대기한다. 부트스트랩 요구가 전송되면, 프로세스는 단계 403으로 진행된다. 단계 403에서, 디바이스는 부트스트랩 절차를 개시하고, 프로세스는 단계 404로 진행된다.
단계 404에서, 디바이스는 제1 상호 인증이 확인되는지 판단한다. 만약 인증이 확인되지 않으면, 프로세스는 단계 408로 진행된다. 인증이 확인되면, 프로세스는 단계 405로 진행된다. 단계 405에서, 디바이스는 제1 상호 인증을 실행하고, 프로세스는 단계 406으로 진행된다. 단계 406에서, 디바이스는 제1 상호 인증이 성공적인지 판단한다. 만약 제1 상호 인증이 성공적이지 않으면, 프로세스는 종료된다. 제1 상호 인증이 성공적이면, 프로세스는 단계 407로 진행된다. 단계 407에서, 디바이스는 디바이스 권한설정(device provisioning)을 실행하고, 프로세스는 단계 408로 진행된다. 단계 408에서, 디바이스는 제2 상호 인정을 실행한다.
도 4B는 본 발명의 실시예에 따른 네트워크 보안부(NESC; Network Security Capability)의 부트스트랩 절차를 도시한 흐름도이다.
도 4B를 참조하면, 단계 411에서, NSEC는 부트스트랩 절차가 NSEC에 의해 개시되는지 판단한다. 만약 부트스트랩 절차가 NSEC에 의해 개시되면, 프로세스는 단계 412로 진행되고, 그렇지 않으면 프로세스는 단계 413으로 진행된다. 단계 413에서, NSEC는 MSBF로부터 요구가 수신되는지 판단한다. 만약 요구가 MSBF로부터 수신되면, 프로세스는 단계 412로 진행되고, 그렇지 않으면 프로세스는 단계 414로 진행된다. 단계 414에서, NSEC는 부트 메시지가 디바이스로부터 수신되는지 판단한다. 만약 부트 메시지가 디바이스로부터 수신되면, 프로세스는 단계 415로 진행되고, 그렇지 않으면 프로세스는 단계 413으로 진행된다. 단계 412에서, NSEC는 부트스트랩 요구를 디바이스로 전송한다. 부트스트랩 요구는 PANA 인증 요청(PAR; PANA-Authentication-Request)으로서 전송될 수 있으며, 프로세스는 단계 415로 진행된다.
단계 415에서, NSEC는 제1 상호 인증이 확인되는지 판단한다. 만약 제1 상호 인증이 확인되지 않으면, 프로세스는 단계 418로 진행되고, 제1 상호 인증이 확인되면, 프로세스는 단계 416으로 진행된다. 단계 416에서, NSEC는 제1 상호 인증을 실행한다. 단계 417에서, NSEC는 제1 상호 인증이 성공적인지 판단한다. 만약 제1 상호 인증이 성공적이지 않으면, 프로세스는 종료되고, 제1 상호 인증이 성공적이면, 프로세스는 단계 418로 진행된다. 단계 418에서, NSEC는 제2 상호 인정을 실행한다.
도 4C는 본 발명의 실시예에 따른 네트워크 원격 개체 관리부(NREM; Network Remote Entity Management Capability)의 부트스트랩 절차를 도시한 흐름도이다.
도 4C를 참조하면, 단계 421에서, NREM은 디바이스 권한설정(device provisioning)을 실행한다.
도 4D는 본 발명의 실시예에 따른 M2M 서비스 부트스트랩핑 기능부(MSBF; M2M Service Bootstrapping Function)의 부트스트랩 절차를 도시한 흐름도이다.
도 4D를 참조하면, 단계 431에서, MSBF는 부트스트랩 절차가 MSBF에 의해 개시되는지 판단한다. 만약 부트스트랩 절차가 MSBF에 의해 개시되면, 프로세스는 단계 432로 진행되고, 그렇지 않으면 프로세스는 단계 433으로 진행된다. 단계 432에서, MSBF는 부트스트랩 요구를 디바이스로 전송하고, 프로세스는 단계 433으로 진행된다. 단계 433에서, MSBF는 제2 상호 인증을 실행하고, 프로세스는 단계 434로 진행된다. 단계 434에서, MSBF는 제2 상호 인증이 성공적인지 판단한다. 만약 제2 상호 인증이 성공적이면, 프로세스는 단계 435로 진행되고, 그렇지 않으면 프로세스는 종료된다. 단계 435에서, MSBF는 MSA 권한설정을 실행한다.
도 4E는 본 발명의 실시예에 따른 M2M 서비스 계층 인증·인가·과금 서버(MAS; M2M service layer AAA Server)의 부트스트랩 절차를 도시한 흐름도이다.
도 4E를 참조하면, 단계 441에서, MAS는 제1 상호 인증이 확인되는지 판단한다. 만약 제1 상호 인증이 확인되지 않으면, 프로세스는 단계 443으로 진행되고, 그렇지 않으면 프로세스는 단계 442로 진행된다. 단계 442에서, MAS는 제1 상호 인증을 실행하고, 프로세스는 단계 443으로 진행된다. 단계 443에서, MAS는 MAS 권한설정을 실행한다.
본 발명의 실시예들은 M2M 디바이스들의 자동 부트스트랩핑을 요구하는 M2M 시스템들에 적용될 수 있다. 디바이스들이 사전에 권한설정될 수 있는(즉, 제조시에 권한설정되는) 네트워크들에서, 이러한 해결방안은 필요하지 않다. 그러나 M2M 배치(M2M deployments)의 동적이고 대규모 특성 때문에, 사전-권한설정(pre-provisioning)에 의존하는 것은 실용적이지 않다.
다른 실시예에 따르면, EAP 기반 네트워크 접속 인증 절차를 사용하는 M2M 서비스 계층 부트스트랩이 제공된다. 부트스트랩핑을 단독으로 실행하는 부트스트랩 절차는 도 4A 내지 도 4E의 실시예들에서 이미 전술하였다. 본 실시예는 M2M 서비스 계층을 위한 디바이스를 부트스트랩하기 위한 네트워크 접속 인증을 활용하는 최적화된 절차이다. 디바이스들은 M2M 서비스와 같은 고-계층(higher-layer) 서비스들을 사용하기 전에 소정의 네트워크에 연결하기 위해 네트워크 접속 인증을 수행한다. 이러한 인증을 수행하기 위해, 본 실시예는 이미 실행된 인증의 장점을 취하는 관련 절차를 설명한다.
도 5는 본 발명의 실시예에 따른 디바이스 기능 모델을 도시한 도면이다.
도 5를 참조하면, 디바이스(500)는 네트워크 등록 매니저(510)와 M2M 부트스트랩 매니저(520)를 포함한다. 네트워크 등록 매니저(510)는 디바이스(500)를 네트워크 접속 서비스를 위하여 네트워크에 등록한다(즉, IP 네트워크의 접속을 획득한다). M2M 부트스트랩 매니저(520)는 디바이스(500)의 부트스트랩된 상태를 관리한다.
네트워크 등록 매니저(510)는 이하에서 설명될 구성요소들을 포함한다. 디바이스 구성 매니저(device configuration manager)(512)는 IP 네트워크 접속에 사용되는 네트워크 ID 및 디바이스 ID와 같은 구성 파라미터들을 관리한다. 이러한 디바이스 구성 매니저(512)는 사전 구성된 네트워크 ID를 내보내고 동적으로 학습되는 네트워크 ID를 받아들이기 위해 네트워크 발견 및 선택 매니저(network discovery and selection manager)와 접속한다. 또한, 디바이스 구성 매니저(512)는 EAP 인증 동안에 사용될 네트워크 사용자 자격들(network user credentials)을 내보내기 위해 EAP 피어(peer)와 접속한다. 네트워크 발견 및 선택 매니저(514)는 IP 네트워크에 대한 네트워크 발견 및 선택 절차를 실행하며 선택된 네트워크 ID를 내보내기 위해 EAP 피어(516)와 접속한다. EAP 피어(516)는 EAP 인증 방법을 수행하기 위해 EAP 저-계층(lower-layer)과 접속한다. EAP 저-계층(518)은 EAP 피어(516)를 위한 저-계층 서비스들을 수행한다.
M2M 부트스트랩 매니저(520)는 이하에서 설명될 구성요소들을 포함한다. 디바이스 구성 매니저(522)는 M2M 네트워크 접속에 사용되는 네트워크 ID 및 디바이스 ID와 같은 구성 파라미터들을 관리한다. 이러한 디바이스 구성 매니저(522)는 사전 구성된 네트워크 ID를 내보내고 동적으로 학습되는 네트워크 ID를 받아들이기 위해 네트워크 발견 및 선택 매니저와 접속하고, EAP 인증 동안에 사용될 M2M 사용자 자격들을 내보내기 위해 EAP 피어(526)와 접속한다. 네트워크 발견 및 선택 매니저(524)는 M2M 네트워크에 대한 네트워크 발견 및 선택 절차를 실행하며 선택된 네트워크 ID를 내보내기 위해 EAP 피어(526)와 접속한다. EAP 피어(526)는 EAP 인증 방법을 수행하기 위해 EAP 저-계층과 접속한다. EAP 저-계층(528)은 EAP 피어(526)와 접속한다.
M2M 부트스트랩핑을 위해 정의된 절차들은 디바이스와 MSBF 사이에서 서로를 상호 인증하고 필요한 M2M 루트 키를 생성하기 위한 프로토콜을 실행하는 것을 포함한다. 대부분의 M2M 네트워크들에서 디바이스들은 네트워크 접속을 획득하기 전에 인증되어야 한다. 부트스트랩 절차를 위한 별도의 인증을 실행하는 대신에, 본 실시예들은 부트스트랩 절차에 의해 부과된 구현(implementation), 지연(latency), 및 처리 부하(processing load)를 감소시키기 위해 네트워크 접속 인증을 활용할 수 있다.
도 6은 본 발명의 실시예에 따른 분리된 네트워크 접근 인증 및 M2M 부트스트랩 절차를 도시한 도면이다.
네트워크 접속 서버(NAS; Network Access Server)(602)는 EAP 인증자 및 인증·인가·과금(AAA) 클라이언트 기능들을 구현한다. 또한, MAS(604) 및 디바이스(601)가 도 6에 도시되어 있고, AAA(605)는 인증, 인가, 과금 서버 및 EAP 인증 서버 기능들을 구현한다. NSEC(603)은 보안 기능들을 수행하며, MSBF(606)는 M2M 서비스 부트스트랩 기능을 제공한다.
도 6의 실시예에서, M2M 부트스트랩핑 절차는 네트워크 접속 인증 절차의 일부가 된다. 네트워크 접속 인증 절차는 루트 비밀 키(KR)의 생성을 위해 활용된다. 디바이스(601)를 두 번 인증하는 대신에(한번은 네트워크 접속을 위해, 그리고 한번은 M2M 부트스트랩을 위해), 디바이스(601)는 네트워크 접속을 위해 한번만 인증되며, 결과 키들은 루트 비밀 키(KR)의 생성을 위해 사용된다. 단계 610에서, 네트워크 접속 인증은 디바이스(601)과 NAS(602) 사이에서 수행된다. 단계 615에서, 네트워크 접속 인증은 NAS(602)와 AAA(605) 사이에서 수행된다. 단계 620에서, M2M 부트스트랩 절차들은 디바이스(601)와 NSEC(603) 사이에서 수행된다. 단계 625에서, M2M 부트스트랩 절차들은 NSEC(603)과 MSBF(606) 사이에서 수행된다. 단계 630에서, M2M 부트스트랩 절차들은 MAS(604)와 MSBF(606) 사이에서 수행된다.
도 6의 실시예는 EAP 기반의 네트워크 접속 인증을 사용하는 네트워크들에 적용 가능하다. 반면에, 도 4A 내지 도 4E의 실시예는 PANA를 통한 EAP를 사용하는 네트워크들에 더 적용 가능하다.
도 7은 본 발명의 실시예에 따른 네트워크 접속 인증을 수행하기 위한 프로토콜(PANA; Protocol for Carrying Authentication for Network Access)을 통하여 확장 가능 인증 프로토콜(EAP; Extensible Authentication Protocol)을 사용하는 네트워크들 및 확장 가능 인증 프로토콜(EAP)을 사용하는 네트워크를 위한 호출 흐름을 도시한 도면이다.
도 7을 참조하면, AAA는 MSBF와 병합하여 AAA/MSBF(704)가 된다. 이러한 방식은 접속 네트워크가 네트워크 접속 인증을 위해 PANA를 통한 EAP를 사용하는 경우 활용된다. 단계 710 및 단계 715에서, 디바이스(701)는 NAS(702)를 통해 AAA/MSBF(704)와 함께 EAP 기반의 네트워크 접속 인증을 수행한다. EAP는 단계 710의 경우 디바이스(701)와 NAS(702) 사이에서 PANA를 통해 전달되며, 단계 715의 경우 NAS(702)와 AAA/MSBF(704) 사이에서 RADIUS, Diameter 또는 동등한 프로토콜을 통해 전달된다.
통상의 네트워크 접속 인증을 위해 사용되는 통상의 PANA 호출 흐름 및 페이로드들에 더하여, 부가적인 페이로드들이 M2M 부트스트랩핑을 수행하기 위해 교환된다. 하나 이상의 PANA 메시지는 유형 값이 M2M 부트스트랩핑을 나타내는 값에 설정된 사용 유형(Usage-type) AVP를 포함해야 한다. 또한, 인증 결과를 나타내는 맨 마지막 PANA 메시지는 네트워크에 의해 할당된 디바이스 식별자를 전달하기 위해 0개 이상의 Assigned-Device-ID AVP를 포함할 수 있다. 또한, 하나 이상의 PANA 메시지는 Network-ID AVP를 포함해야 한다. 부가적인 페이로드들 및 AVP들은 이미 전술하였으므로 추가 설명을 생략한다.
단계 710 및 단계 715에서의 성공적 EAP 인증의 말미에, EMSK가 생성된다. 이러한 키는 디바이스(701) 및 AAA/MSBF(704)에 알려진다. 더욱이, 루트 비밀 키(KR)는 도 3의 실시예에 관하여 설명된 바와 같이 EMSK로부터 유도될 수 있다.
키 인덱스로서, PANA 세션 식별자 및 PANA 키 ID의 조합이 소정의 디바이스를 위해 사용된다. 만약 소정의 디바이스가 단지 하나의 PANA 세션만을 가진다면, 루트 비밀 키를 나타내기 위해 키 ID만을 단독으로 사용해도 충분하다. 또한, 키 인덱스는 도 3의 실시예에 관하여 설명된 방식으로 산출될 수 있다. 따라서 루트 비밀 키는 네트워크에 의해 임의로(randomly) 생성되며 전용 PANA AVP를 사용하여 디바이스(701)로 안전하게 전달된다. 루트 비밀 키는 디바이스(701)로 전달되기 전에 암호화되고, 디바이스(701)는 루트 비밀 키를 수신할 때 루트 비밀 키를 해독한다. 이러한 암호/해독 절차를 위해, 디바이스 및 네트워크 모두에서 유도될 수 있는 다른 키가 정의된다. 이러한 암호/해독 절차를 위해 사용되는 키는 EMSK를 기반으로 하며, 다음 식에 따라 산출된다:
AS_ENCR_KEY = Hash(EMSK, constant_string | other_parameters).
키 인덱스로서, PANA 세션 식별자 및 PANA 키 ID의 조합이 소정의 디바이스를 위해 사용된다. 만약 소정의 디바이스가 단지 하나의 PANA 세션만을 가진다면, AS_ENCR_KEY 키를 나타내기 위해 키 ID만을 단독으로 사용해도 충분하다. 또한, 다음의 새로 정의된 식이 키 인덱스를 산출하기 위해 사용될 수 있다:
Key-index = Hash(AS_ENCR_KEY, constant_string | other_parameters).
암호화된 형태의 루트 비밀 키(KR)는 AAA 프로토콜을 이용하여 AAA/MSBF(704)로부터 NAS(702)로 전송되며, 인증 결과를 전달하는 맨 마지막 PANA 메시지 안의 PANA AVP를 이용하여 NAS(702)로부터 디바이스(701)로 중계된다. M2M-KR AVP는 전술한 PANA 메시지에 포함될 수 있고, 이때 M2M-KR은 루트 비밀 키(KR)를 디바이스(701)로 전달하기 위해 사용된다. M2M-KR AVP의 값 필드는 다음 데이터 요소들을 포함한다: KR의 식별자를 전달하는 키 ID(이러한 식별자의 값은 네트워크에 의해 할당됨); 및 KR의 암호화된 값인 KR-Encr. 암호화를 위해 사용되는 키는 AS_ENCR_KEY이다.
다음으로, 단계 720에서, AAA(704)로부터 MAS(703)으로 디바이스 정보 권한설정이 실행된다. 단계 720은 AAA(704)가 MAS(703)와 디바이스 권한설정 정보(예컨대, KR, 디바이스 ID 등)를 공유하는 것을 포함한다.
도 7의 실시예는 EAP를 전달하기 위해 PANA도 유사하게 확장 가능한 EAP 전송도 사용되지 않는 경우의 배치들에 적용될 수 있다. 이러한 경우들에서, Network-ID 및 Assigned-Device-ID와 같은 전용 페이로드들은 디바이스로 전달되지 않는다. 따라서 이러한 파라미터들은 본 실시예와 관련이 없는 방식으로 결정된다고 가정한다. 그러나 디바이스는 이미 디바이스 ID로 구성될 수 있고, 디바이스는 링크 계층들에 의해 제공된 네트워크 발견 설비들의 도움으로 네트워크 ID를 발견한다. 다음의 식은 EMSK로부터 KR을 유도하기 위해 사용된다:
KR = Hash(EMSK, constant_string | Assigned-Device-ID | Network-ID | other_parameters).
루트 비밀 키(KR)를 위한 키 인덱스는 다음의 새로 정의된 식에 따라 산출된다:
Key-index = Hash(KR, constant_string | other_parameters).
도 8은 본 발명의 실시예에 따른 디바이스 기능 모델을 도시한 도면이다.
도 8을 참조하면, 디바이스(800)는 네트워크 등록 매니저(810) 및 M2M 부트스트랩 매니저(82)를 포함한다. 네트워크 등록 매니저(810)는 디바이스(800)를 네트워크 접속 서비스들을 위하여 네트워크에 등록한다(즉, IP 네트워크의 접속을 획득한다). M2M 부트스트랩 매니저(820)는 디바이스의 부트스트랩된 상태를 관리한다.
네트워크 등록 매니저(810)는 이하에서 설명될 구성요소들을 포함한다. 디바이스 구성 매니저(device configuration manager)(811)는 IP 네트워크 접속에 사용되는 네트워크 ID 및 디바이스 ID와 같은 구성 파라미터들을 관리한다. 디바이스 구성 매니저(811)는 사전 구성된 네트워크 ID를 내보내고 동적으로 학습되는 네트워크 ID를 받아들이기 위해 네트워크 발견 및 선택 매니저(network discovery and selection manager)(812)와 접속하며, EAP 인증 동안에 사용될 네트워크 사용자 자격들(network user credentials)을 내보내기 위해 EAP 피어(peer)(811)와 접속한다. 또한, 디바이스 구성 매니저(811)는 동적으로 학습되는 디바이스 ID를 받아들이기 위해 EAP 저-계층(814)과 접속하며, 사전에 구성된 디바이스 ID를 내보내기 위해 M2M 부트스트랩 매니저(820)와 접속한다.
네트워크 발견 및 선택 매니저(812)는 IP 네트워크에 대한 네트워크 발견 및 선택 절차를 실행하며 선택된 네트워크 ID를 내보내기 위해 EAP 피어(813)와 접속한다. 또한, 네트워크 발견 및 선택 매니저(812)는 선택된 네트워크 ID를 내보내기 위해 M2M 부트스트랩퍼(M2M bootstrapper)(815)와 접속한다. EAP 피어(813)는 EAP 인증 방법을 수행하기 위해 EAP 저-계층(814)과 접속하며 또한 EMSK를 내보내기 위해 M2M 부트스트랩퍼(815)와 접속한다.
EAP 저-계층(814)은 동적으로 학습되는 네트워크 ID 및 할당된 디바이스 ID를 내보내기 위해 M2M 부트스트랩퍼(815)와 접속한다. M2M 부트스트랩퍼(815)는 네크워크 등록 매니저(810) 내의 다른 개체들로부터 입력 파라미터들을 수신하고 실시예들의 식들에 따라 루트 비밀 키(KR) 및 키 인덱스를 생성한다. 또한, M2M 부트스트랩퍼(815)는 이러한 정보 요소들을 내보내기 위해 M2M 부트스트랩 매니저(820), 즉 M2M 부트스트랩 매니저(820) 내의 디바이스 구성 매니저와 접속한다.
M2M 부트스트랩 매니저(820)는 M2M 네트워크 접속을 위해 사용되는 디바이스 ID, 네트워크 ID, 루트 비밀 키(KR)와 같은 구성 파라미터들을 관리하기 위해 디바이스 구성 매니저(825)를 포함하며, 네크워크 등록 매니저(810)에 존재하는 이러한 파라미터들을 M2M 부트스트랩퍼(815)로부터 받아들인다.
본 실시예들은 M2M 디바이스들의 부트스트랩을 실행하는 M2M 시스템들에 적용될 수 있다. 디바이스들이 사전에 권한설정될 수 있는(즉, 제조시) 네트워크들에서, 이러한 해결방안은 생략될 수 있다. 동적이고 대규모 M2M 배치를 가지는 네트워크들에서, 사전-권한설정(pre-provisioning)에 의존하는 것은 M2M 배치의 대규모로 인해 문제가 된다. 따라서 본 실시예들은 EAP 기반 네트워크 접속 인증을 사용하는 네트워크들에 적용된다. 본 실시예들에 따르면, 접속 네트워크 제공자 및 M2M 네트워크 제공자는 동일 개체이거나 사업상 제휴관계에 있으며, 따라서 이들은 도 3의 실시예의 단계 320에서 요구되는 바와 같은 키 소재(keying material)를 공유할 수 있다.
한편, 본 명세서와 도면을 통해 본 발명의 바람직한 실시예들에 대하여 설명하였으며, 비록 특정 용어들이 사용되었으나, 이는 단지 본 발명의 기술 내용을 쉽게 설명하고 발명의 이해를 돕기 위한 일반적인 의미에서 사용된 것일 뿐, 본 발명의 범위를 한정하고자 하는 것은 아니다. 여기에 개시된 실시예외에도 본 발명의 기술적 사상에 바탕을 둔 다른 변형 예들이 실시 가능하다는 것은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 자명한 것이다.

Claims (16)

  1. 머신-대-머신(M2M) 디바이스에 의해 서비스를 제공하는 방법에 있어서,
    M2M 네트워크 노드로부터 서비스 제공 식별자(SP ID; service provider idenifier)와 이용 타입, M2M 서비스 부트스트래핑 기능부(MSBF; M2M Service Bootstrapping Function) ID, 네트워크 서비스 능력 계층부(NSCL; Network Service Capability Layer) ID 또는 목표 장치 ID 중 적어도 하나를 포함하는 제1 메시지를 수신하는 단계;
    상기 제1 메시지를 수신한 이후, 상기 M2M 네트워크 노드로부터 제2 메시지를 수신하는 단계;
    상기 제2 메시지에 서비스 제공 할당 장치 ID가 포함되어 있는지 여부를 식별하는 단계; 및
    상기 제2 메시지에 상기 서비스 제공 할당 장치 ID가 포함되어 있는지 여부에 따라 상기 서비스 제공 식별자와 상기 서비스 제공 할당 장치 ID에 기반하여 M2M 루트 키를 생성하는 단계;를 포함하며,
    상기 M2M 루트 키는 상기 M2M 디바이스와 상기 서비스 제공 식별자에 대응하는 서비스 제공자 사이의 상호 인증에 이용되고,
    상기 M2M 루트 키를 생성하는 단계에서 상기 서비스 제공 할당 장치 ID가 네트워크에 의해 할당되지 않으면, 상기 M2M 루트 키는 확장된 마스터 세션 키(extended master session key), 미리 결정된 스트링, 상기 서비스 제공 식별자 및 상기 M2M 디바이스의 ID에 기반하여 생성되는 것을,
    특징으로 하는 방법.
  2. 제1항에 있어서,
    상기 M2M 루트 키를 생성하는 단계는,
    상기 확장된 마스터 세션 키, 상기 미리 결정된 스트링, 상기 서비스 제공 식별자 및 상기 서비스 제공 할당 장치 ID에 기반하여 상기 M2M 루트 키를 생성하는 단계;를
    더 포함하는 것을 특징으로 하는 방법.
  3. 제1항에 있어서,
    상기 목표 장치 ID가 상기 M2M 디바이스의 ID와 매칭되지 않으면, 상기 제1 메시지를 버리는 단계;를
    더 포함하는 것을 특징으로 하는 방법.
  4. 제1항에 있어서,
    상기 M2M 루트 키 또는 상기 서비스 제공 할당 장치 ID 중 적어도 하나는 M2M 인증 서버(MAS; M2M Authentication Server)로 전송되는 것을,
    특징으로 하는 방법.
  5. 서비스를 제공하는 머신-대-머신(M2M) 디바이스에 있어서,
    M2M 네트워크 노드와 통신하는 송수신기; 및
    상기 M2M 네트워크 노드로부터 서비스 제공 식별자(SP ID; service provider idenifier)와 이용 타입, M2M 서비스 부트스트래핑 기능부(MSBF; M2M Service Bootstrapping Function) ID, 네트워크 서비스 능력 계층부(NSCL; Network Service Capability Layer) ID 또는 목표 장치 ID 중 적어도 하나를 포함하는 제1 메시지를 수신하고, 상기 제1 메시지를 수신한 이후, 상기 M2M 네트워크 노드로부터 제2 메시지를 수신하며, 상기 제2 메시지에 서비스 제공 할당 장치 ID가 포함되어 있는지 여부를 식별하고, 상기 제2 메시지에 상기 서비스 제공 할당 장치 ID가 포함되어 있는지 여부에 따라 상기 서비스 제공 식별자와 상기 서비스 제공 할당 장치 ID에 기반하여 M2M 루트 키를 생성하는 제어기를 포함하고,
    상기 M2M 루트 키는 상기 M2M 디바이스와 상기 서비스 제공 식별자에 대응하는 서비스 제공자 사이의 상호 인증에 이용되고,
    상기 서비스 제공 할당 장치 ID가 네트워크에 의해 할당되지 않으면, 상기 제어기는 확장된 마스터 세션 키(extended master session key), 미리 결정된 스트링, 상기 서비스 제공 식별자 및 상기 M2M 디바이스의 ID에 기반하여 상기 M2M 루트 키를 생성하는 것을,
    특징으로 하는 M2M 디바이스.
  6. 제5항에 있어서,
    상기 제어기는 상기 확장된 마스터 세션 키, 상기 미리 결정된 스트링, 상기 서비스 제공 식별자 및 상기 서비스 제공 할당 장치 ID에 기반하여 상기 M2M 루트 키를 생성하는 것을,
    특징으로 하는 M2M 디바이스.
  7. 제5항에 있어서,
    상기 목표 장치 ID가 상기 M2M 디바이스의 ID와 매칭되지 않으면, 상기 제어기는 상기 제1 메시지를 버리는 것을,
    특징으로 하는 M2M 디바이스.
  8. 제5항에 있어서,
    상기 M2M 루트 키 또는 상기 서비스 제공 할당 장치 ID 중 적어도 하나는 M2M 인증 서버(MAS; M2M Authentication Server)로 전송되는 것을,
    특징으로 하는 M2M 디바이스.
  9. 머신-대-머신(M2M) 시스템에서 M2M 네트워크 노드 의해 서비스를 제공하는 방법에 있어서,
    서비스 제공 식별자(SP ID; service provider idenifier)와 이용 타입, M2M 서비스 부트스트래핑 기능부(MSBF; M2M Service Bootstrapping Function) ID, 네트워크 서비스 능력 계층부(NSCL; Network Service Capability Layer) ID 또는 목표 장치 ID 중 적어도 하나를 포함하는 제1 메시지를 M2M 디바이스로 전송하는 단계;
    상기 M2M 디바이스에 서비스 제공 할당 장치 ID가 할당되었는지 여부를 식별하는 단계;
    상기 제1 메시지를 전송한 이후에 상기 M2M 디바이스로 제2 메시지를 전송하는 단계; 및
    상기 제2 메시지에 상기 식별 결과에 기반한 상기 서비스 제공 할당 장치 ID가 포함되어 있으면, 상기 서비스 제공 식별자와 상기 서비스 제공 할당 장치 ID에 기반하여 M2M 루트 키를 생성하는 단계;를 포함하며,
    상기 M2M 루트 키는 상기 M2M 디바이스와 상기 서비스 제공 식별자에 대응하는 서비스 제공자 사이의 상호 인증에 이용되고,
    상기 M2M 루트 키를 생성하는 단계에서 상기 제2 메시지에 상기 서비스 제공 할당 장치 ID가 포함되지 않으면, 상기 M2M 루트 키는 확장된 마스터 세션 키(extended master session key), 미리 결정된 스트링, 상기 서비스 제공 식별자 및 상기 M2M 디바이스의 ID에 기반하여 생성되는 것을,
    특징으로 하는 방법.
  10. 제9항에 있어서,
    상기 M2M 루트 키를 생성하는 단계는,
    상기 확장된 마스터 세션 키, 상기 미리 결정된 스트링, 상기 서비스 제공 식별자 및 상기 서비스 제공 할당 장치 ID에 기반하여 상기 M2M 루트 키를 생성하는 단계;를
    더 포함하는 것을 특징으로 하는 방법.
  11. 제9항에 있어서,
    상기 목표 장치 ID가 상기 M2M 디바이스의 ID와 매칭되지 않으면, 상기 제1 메시지는 상기 M2M 디바이스에 의해 버려지는 것을,
    특징으로 하는 방법.
  12. 제9항에 있어서,
    상기 M2M 루트 키 또는 상기 서비스 제공 할당 장치 ID 중 적어도 하나는 M2M 인증 서버(MAS; M2M Authentication Server)로 전송되는 것을,
    특징으로 하는 방법.
  13. 머신-대-머신(M2M) 시스템에서 서비스를 제공하는 M2M 네트워크 노드에 있어서,
    M2M 디바이스와 통신하는 송수신기; 및
    서비스 제공 식별자(SP ID; service provider idenifier)와 이용 타입, M2M 서비스 부트스트래핑 기능부(MSBF; M2M Service Bootstrapping Function) ID, 네트워크 서비스 능력 계층부(NSCL; Network Service Capability Layer) ID 또는 목표 장치 ID 중 적어도 하나를 포함하는 제1 메시지를 상기 M2M 디바이스로 전송하고, 상기 M2M 디바이스에 서비스 제공 할당 장치 ID가 할당되었는지 여부를 식별하며, 상기 제1 메시지를 전송한 이후에 상기 M2M 디바이스로 제2 메시지를 전송하고, 상기 제2 메시지에 상기 식별 결과에 기반한 상기 서비스 제공 할당 장치 ID가 포함되어 있으면, 상기 서비스 제공 식별자와 상기 서비스 제공 할당 장치 ID에 기반하여 M2M 루트 키를 생성하는 제어기를 포함하며,
    상기 M2M 루트 키는 상기 M2M 디바이스와 상기 서비스 제공 식별자에 대응하는 서비스 제공자 사이의 상호 인증에 이용되고,
    상기 M2M 루트 키를 생성하는 단계에서 상기 제2 메시지에 상기 서비스 제공 할당 장치 ID가 포함되지 않으면, 상기 M2M 루트 키는 확장된 마스터 세션 키(extended master session key), 미리 결정된 스트링, 상기 서비스 제공 식별자 및 상기 M2M 디바이스의 ID에 기반하여 생성되는 것을,
    특징으로 하는 M2M 네트워크 노드.
  14. 제13항에 있어서,
    상기 제어기는 상기 확장된 마스터 세션 키, 상기 미리 결정된 스트링, 상기 서비스 제공 식별자 및 상기 서비스 제공 할당 장치 ID에 기반하여 상기 M2M 루트 키를 생성하는 것을,
    특징으로 하는 M2M 네트워크 노드.
  15. 제13항에 있어서,
    상기 목표 장치 ID가 상기 M2M 디바이스의 ID와 매칭되지 않으면, 상기 제1 메시지는 상기 M2M 디바이스에 의해 버려지는 것을,
    특징으로 하는 M2M 네트워크 노드.
  16. 제13항에 있어서,
    상기 M2M 루트 키 또는 상기 서비스 제공 할당 장치 ID 중 적어도 하나는 M2M 인증 서버(MAS; M2M Authentication Server)로 전송되는 것을,
    특징으로 하는 M2M 네트워크 노드.
KR1020137029892A 2011-04-15 2012-04-16 머신-대-머신 서비스 제공 방법 및 장치 KR102051492B1 (ko)

Applications Claiming Priority (7)

Application Number Priority Date Filing Date Title
US201161475972P 2011-04-15 2011-04-15
US61/475,972 2011-04-15
US201161485275P 2011-05-12 2011-05-12
US61/485,275 2011-05-12
US201161544577P 2011-10-07 2011-10-07
US61/544,577 2011-10-07
PCT/KR2012/002874 WO2012141555A2 (en) 2011-04-15 2012-04-16 Method and apparatus for providing machine-to-machine service

Publications (2)

Publication Number Publication Date
KR20140024894A KR20140024894A (ko) 2014-03-03
KR102051492B1 true KR102051492B1 (ko) 2020-01-08

Family

ID=47007296

Family Applications (3)

Application Number Title Priority Date Filing Date
KR1020137029892A KR102051492B1 (ko) 2011-04-15 2012-04-16 머신-대-머신 서비스 제공 방법 및 장치
KR1020137030300A KR101981229B1 (ko) 2011-04-15 2012-04-16 머신-대-머신 노드 소거 절차
KR1020137030376A KR101923047B1 (ko) 2011-04-15 2012-04-16 머신-대-머신 서비스를 제공하는 방법 및 장치

Family Applications After (2)

Application Number Title Priority Date Filing Date
KR1020137030300A KR101981229B1 (ko) 2011-04-15 2012-04-16 머신-대-머신 노드 소거 절차
KR1020137030376A KR101923047B1 (ko) 2011-04-15 2012-04-16 머신-대-머신 서비스를 제공하는 방법 및 장치

Country Status (6)

Country Link
US (3) US9317688B2 (ko)
EP (6) EP2697916A4 (ko)
JP (3) JP6066992B2 (ko)
KR (3) KR102051492B1 (ko)
CN (3) CN103621126B (ko)
WO (3) WO2012141555A2 (ko)

Families Citing this family (51)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102209396B (zh) * 2010-03-31 2014-01-22 华为技术有限公司 终端设备在网络中附着的方法、网元设备及网络系统
US9209980B2 (en) * 2011-06-21 2015-12-08 Blackberry Limited Provisioning a shared secret to a portable electronic device and to a service entity
US9253621B2 (en) 2012-05-18 2016-02-02 Telefonaktiebolaget L M Ericsson (Publ) Method and apparatus for associating service provider network identifiers with access network identifiers
US9445399B2 (en) 2012-05-25 2016-09-13 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for associating service provider network identifiers with access network identifiers
US9497567B2 (en) 2012-06-22 2016-11-15 Telefonaktiebolaget Lm Ericsson (Publ) Selection of M2M devices by external triggering
CN103685210B (zh) * 2012-09-26 2018-02-13 中兴通讯股份有限公司 终端的注册方法及装置
US9769801B2 (en) 2012-11-05 2017-09-19 Lg Electronics Inc. Method and apparatus for updating information regarding specific resource in wireless communication system
KR102045905B1 (ko) * 2012-11-05 2019-11-18 주식회사 케이티 단말 이동성 제공을 위한 단말 어플리케이션 등록 방법 및 그 장치
KR102045907B1 (ko) * 2012-11-23 2019-12-02 주식회사 케이티 응용 식별 정보와 서비스 제공 능력 식별 정보의 연계 방법 및 그 장치
KR101740449B1 (ko) 2013-01-11 2017-05-26 엘지전자 주식회사 M2m(machine-to-machine)시스템에서 게이트웨이 변경 방법 및 이를 위한 장치
WO2014123884A1 (en) * 2013-02-07 2014-08-14 Interdigital Patent Holdings, Inc. Methods and apparatuses for restful batch services
JP2016523047A (ja) 2013-05-06 2016-08-04 コンヴィーダ ワイヤレス, エルエルシー マシンツーマシンブートストラッピング
KR101999039B1 (ko) 2013-05-06 2019-07-10 콘비다 와이어리스, 엘엘씨 디바이스 트리거링
CN105432102A (zh) 2013-05-22 2016-03-23 康维达无线有限责任公司 用于机器对机器通信的网络辅助引导自举
EP3025525B1 (en) 2013-07-25 2018-12-12 Convida Wireless, LLC End-to-end m2m service layer sessions
US9392446B1 (en) 2013-08-05 2016-07-12 Sprint Communications Company L.P. Authenticating environmental sensor systems based on security keys in communication systems
JP6382322B2 (ja) * 2014-01-17 2018-08-29 クゥアルコム・インコーポレイテッドQualcomm Incorporated 通信ネットワーク内でのメッセージの転送
US11570065B2 (en) * 2014-04-09 2023-01-31 Convida Wireless, Llc Service enabler function
US20150341241A1 (en) * 2014-05-23 2015-11-26 Verizon Patent And Licensing Inc. Method and apparatus for specifying machine identifiers for machine-to-machine platform support
JP2016063538A (ja) * 2014-09-12 2016-04-25 日本放送協会 送信装置および受信装置
US9544395B2 (en) 2014-10-10 2017-01-10 At&T Intellectual Property I, L.P. Facilitating quality of service and security via functional classification of devices in networks
US9838258B2 (en) 2014-12-04 2017-12-05 At&T Intellectual Property I, L.P. Network service interface for machine-to-machine applications
DE102015000662B3 (de) 2015-01-23 2016-06-09 Jenoptik Laser Gmbh Laseranordnung mit Hilfsring
JP6545966B2 (ja) 2015-01-27 2019-07-17 ルネサスエレクトロニクス株式会社 中継装置、端末装置および通信方法
US9681473B2 (en) 2015-05-29 2017-06-13 Huawei Technologies Co., Ltd. MTC service management using NFV
US10104522B2 (en) * 2015-07-02 2018-10-16 Gn Hearing A/S Hearing device and method of hearing device communication
US10129235B2 (en) * 2015-10-16 2018-11-13 Qualcomm Incorporated Key hierarchy for network slicing
US9826386B2 (en) * 2015-10-27 2017-11-21 Verizon Patent And Licensing Inc. Configuring a machine-to-machine modem
US10104567B2 (en) 2016-05-31 2018-10-16 At&T Intellectual Property I, L.P. System and method for event based internet of things (IOT) device status monitoring and reporting in a mobility network
EP3472960A1 (en) 2016-06-15 2019-04-24 Convida Wireless, LLC Grant-less uplink transmission for new radio
US10592669B2 (en) 2016-06-23 2020-03-17 Vmware, Inc. Secure booting of computer system
US11503314B2 (en) 2016-07-08 2022-11-15 Interdigital Madison Patent Holdings, Sas Systems and methods for region-of-interest tone remapping
US10242196B2 (en) * 2016-07-29 2019-03-26 Vmware, Inc. Secure booting of computer system
EP3306970A1 (en) * 2016-10-07 2018-04-11 Giesecke+Devrient Mobile Security GmbH Lpwa communication system key management
CN115632686A (zh) 2016-11-03 2023-01-20 康维达无线有限责任公司 Nr中的帧结构
US20180159828A1 (en) * 2016-12-06 2018-06-07 Ingenu Multi-regional provisioning
US11765406B2 (en) 2017-02-17 2023-09-19 Interdigital Madison Patent Holdings, Sas Systems and methods for selective object-of-interest zooming in streaming video
EP3370386B1 (en) * 2017-03-03 2019-05-15 The Boeing Company A system and a computer-implemented method for machine-to-machine authentication of an apparatus
US10298581B2 (en) 2017-04-28 2019-05-21 Cisco Technology, Inc. Zero-touch IoT device provisioning
US11777926B2 (en) 2017-06-16 2023-10-03 Cryptography Research, Inc. Internet of things (IoT) device management
EP3677063B1 (en) 2017-08-30 2023-10-04 Telefonaktiebolaget LM Ericsson (Publ) Reconfiguration of communications devices
US10574654B1 (en) * 2017-11-07 2020-02-25 United Services Automobile Asociation (USAA) Segmentation based network security
US10162968B1 (en) 2017-11-30 2018-12-25 Mocana Corporation System and method for securely updating a registered device using a development system and a release management system operated by an update provider and an update publisher
WO2020068251A1 (en) 2018-09-27 2020-04-02 Convida Wireless, Llc Sub-band operations in unlicensed spectrums of new radio
WO2020117549A1 (en) 2018-12-06 2020-06-11 Mocana Corporation System and method for zero touch provisioning of iot devices
US11012425B2 (en) 2018-12-28 2021-05-18 Micron Technology, Inc. Replay protection nonce generation
KR102624642B1 (ko) * 2019-03-18 2024-01-12 주식회사 케이티 M2m 시스템에서 라이프타임 갱신 방법 및 그 장치
US20210297853A1 (en) * 2020-03-17 2021-09-23 Qualcomm Incorporated Secure communication of broadcast information related to cell access
US11375042B2 (en) 2020-07-10 2022-06-28 Kyndryl, Inc. Symphonizing serverless functions of hybrid services
WO2022233927A1 (en) 2021-05-06 2022-11-10 Jt International Sa Container for an inhalation device with at least one liquid jet device, combination of at least two containers and method of conveying liquid to an inhalation device
US11941266B2 (en) 2021-10-20 2024-03-26 Samsung Electronics Co., Ltd. Resource isolation in computational storage devices

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100704675B1 (ko) * 2005-03-09 2007-04-06 한국전자통신연구원 무선 휴대 인터넷 시스템의 인증 방법 및 관련 키 생성방법

Family Cites Families (46)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7181620B1 (en) * 2001-11-09 2007-02-20 Cisco Technology, Inc. Method and apparatus providing secure initialization of network devices using a cryptographic key distribution approach
US7349538B2 (en) * 2002-03-21 2008-03-25 Ntt Docomo Inc. Hierarchical identity-based encryption and signature schemes
JP4377409B2 (ja) * 2003-06-18 2009-12-02 テレフオンアクチーボラゲット エル エム エリクソン(パブル) モバイルIP(モバイルIP:MobileIP)バージョン6サービスをサポートするための方法、システム及び装置
US20050138355A1 (en) * 2003-12-19 2005-06-23 Lidong Chen System, method and devices for authentication in a wireless local area network (WLAN)
JP2005260358A (ja) * 2004-03-09 2005-09-22 Matsushita Electric Ind Co Ltd 通信システムならびにそれに用いられる通信端末、認証情報削除方法、認証情報削除プログラムおよび認証情報削除プログラムを格納する記録媒体
US7336960B2 (en) * 2004-10-26 2008-02-26 Cisco Technology, Inc. Method and apparatus for balancing wireless access based on centralized information
WO2006087817A1 (ja) * 2005-02-21 2006-08-24 Fujitsu Limited 通信制御システム
US20070101122A1 (en) * 2005-09-23 2007-05-03 Yile Guo Method and apparatus for securely generating application session keys
US7787627B2 (en) * 2005-11-30 2010-08-31 Intel Corporation Methods and apparatus for providing a key management system for wireless communication networks
US20070143613A1 (en) * 2005-12-21 2007-06-21 Nokia Corporation Prioritized network access for wireless access networks
US7831237B2 (en) * 2006-02-03 2010-11-09 Broadcom Corporation Authenticating mobile network provider equipment
CN101039311B (zh) * 2006-03-16 2010-05-12 华为技术有限公司 一种身份标识网页业务网系统及其鉴权方法
CN100512182C (zh) * 2006-07-27 2009-07-08 西安电子科技大学 无线局域网中的快速切换方法及系统
DE102006038037A1 (de) * 2006-08-14 2008-02-21 Siemens Ag Verfahren und System zum Bereitstellen eines zugangsspezifischen Schlüssels
JP4216876B2 (ja) * 2006-12-21 2009-01-28 株式会社東芝 通信端末を認証する装置、方法およびプログラム
US8707416B2 (en) * 2007-01-19 2014-04-22 Toshiba America Research, Inc. Bootstrapping kerberos from EAP (BKE)
EP1956791A1 (en) * 2007-02-09 2008-08-13 Research In Motion Limited Method and system for authenticating peer devices using EAP
US8356176B2 (en) * 2007-02-09 2013-01-15 Research In Motion Limited Method and system for authenticating peer devices using EAP
JP5067621B2 (ja) * 2007-10-17 2012-11-07 Necカシオモバイルコミュニケーションズ株式会社 通信端末装置及びプログラム
KR101407573B1 (ko) * 2007-12-18 2014-06-13 한국전자통신연구원 무선 액세스 기술과 이동ip 기반 이동성 제어 기술이적용된 차세대 네트워크 환경을 위한 통합 핸드오버 인증방법
US20090191857A1 (en) * 2008-01-30 2009-07-30 Nokia Siemens Networks Oy Universal subscriber identity module provisioning for machine-to-machine communications
CN101499959B (zh) * 2008-01-31 2012-08-08 华为技术有限公司 配置密钥的方法、装置及系统
US8516133B2 (en) * 2008-02-07 2013-08-20 Telefonaktiebolaget Lm Ericsson (Publ) Method and system for mobile device credentialing
US8407769B2 (en) * 2008-02-22 2013-03-26 Telefonaktiebolaget Lm Ericsson (Publ) Methods and apparatus for wireless device registration
US20090217038A1 (en) * 2008-02-22 2009-08-27 Vesa Petteri Lehtovirta Methods and Apparatus for Locating a Device Registration Server in a Wireless Network
EP2291971B1 (en) 2008-06-12 2012-02-22 Telefonaktiebolaget L M Ericsson (PUBL) Method and apparatus for machine-to-machine communication
CN101299666A (zh) * 2008-06-16 2008-11-05 中兴通讯股份有限公司 密钥身份标识符的生成方法和系统
US8737989B2 (en) 2008-08-29 2014-05-27 Apple Inc. Methods and apparatus for machine-to-machine based communication service classes
US9084282B2 (en) * 2008-10-17 2015-07-14 Qualcomm Incorporated Apparatus and method for providing a portable broadband service using a wireless convergence platform
US8788635B2 (en) * 2009-03-20 2014-07-22 Microsoft Corporation Mitigations for potentially compromised electronic devices
ES2391603T3 (es) * 2009-06-02 2012-11-28 Vodafone Holding Gmbh Registro de un dispositivo móvil en una red de comunicaciones móviles
US9590961B2 (en) 2009-07-14 2017-03-07 Alcatel Lucent Automated security provisioning protocol for wide area network communication devices in open device environment
KR20110048974A (ko) * 2009-11-04 2011-05-12 삼성전자주식회사 무선통신 시스템에서 마스터 세션 키를 갱신하기 위한 장치 및 방법
US8839372B2 (en) * 2009-12-23 2014-09-16 Marvell World Trade Ltd. Station-to-station security associations in personal basic service sets
TWI519098B (zh) * 2009-12-28 2016-01-21 內數位專利控股公司 機器對機器閘道架構
KR101760912B1 (ko) * 2010-03-01 2017-07-24 인터디지탈 패튼 홀딩스, 인크 머신-투-머신 게이트웨이 아키텍처 및 기능
MX2012010363A (es) * 2010-03-09 2012-11-30 Interdigital Patent Holdings Metodo y aparato para soportar comunicaciones de maquina a maquina.
US8886935B2 (en) * 2010-04-30 2014-11-11 Kabushiki Kaisha Toshiba Key management device, system and method having a rekey mechanism
US9450928B2 (en) * 2010-06-10 2016-09-20 Gemalto Sa Secure registration of group of clients using single registration procedure
CN101902681B (zh) * 2010-07-21 2015-05-13 中兴通讯股份有限公司 M2m平台业务处理的方法和m2m平台
TW201215181A (en) * 2010-08-03 2012-04-01 Interdigital Patent Holdings Machine-to-machine (M2M) call flow security
US8650619B2 (en) * 2010-08-19 2014-02-11 Alcatel Lucent Method and apparatus of automated discovery in a communication network
EP2649833A1 (en) * 2010-12-07 2013-10-16 Telefonaktiebolaget LM Ericsson (PUBL) Method and apparatus for provisioning a temporary identity module using a key-sharing scheme
US8713589B2 (en) * 2010-12-23 2014-04-29 Microsoft Corporation Registration and network access control
WO2012119015A1 (en) * 2011-03-01 2012-09-07 General Instrument Corporation Providing subscriber consent in an operator exchange
CN103703697A (zh) * 2011-03-09 2014-04-02 英特尔公司 用于机器到机器通信的基站和通信方法

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100704675B1 (ko) * 2005-03-09 2007-04-06 한국전자통신연구원 무선 휴대 인터넷 시스템의 인증 방법 및 관련 키 생성방법

Also Published As

Publication number Publication date
EP2697933A2 (en) 2014-02-19
EP2697992A4 (en) 2014-09-24
KR20140023991A (ko) 2014-02-27
EP2697916A2 (en) 2014-02-19
JP2014513472A (ja) 2014-05-29
US20120266223A1 (en) 2012-10-18
EP3641359B1 (en) 2021-06-02
JP6066992B2 (ja) 2017-01-25
CN103703698B (zh) 2017-09-12
JP2014517560A (ja) 2014-07-17
EP3537741B1 (en) 2020-12-02
KR20140029447A (ko) 2014-03-10
WO2012141555A2 (en) 2012-10-18
CN103621126B (zh) 2018-06-19
WO2012141556A2 (en) 2012-10-18
JP2014513349A (ja) 2014-05-29
WO2012141557A2 (en) 2012-10-18
KR101981229B1 (ko) 2019-05-22
KR101923047B1 (ko) 2018-11-28
EP3668048A1 (en) 2020-06-17
US20120265983A1 (en) 2012-10-18
WO2012141555A3 (en) 2013-03-14
CN103621126A (zh) 2014-03-05
WO2012141557A3 (en) 2013-03-21
US20120265979A1 (en) 2012-10-18
US9202055B2 (en) 2015-12-01
CN103597774B (zh) 2017-11-07
EP3537741A1 (en) 2019-09-11
JP6370215B2 (ja) 2018-08-08
WO2012141556A3 (en) 2013-03-14
EP2697916A4 (en) 2014-09-24
US9317688B2 (en) 2016-04-19
EP3668048B1 (en) 2022-06-15
CN103597774A (zh) 2014-02-19
KR20140024894A (ko) 2014-03-03
CN103703698A (zh) 2014-04-02
EP2697933A4 (en) 2014-09-24
EP2697992A2 (en) 2014-02-19
US8843753B2 (en) 2014-09-23
JP6022539B2 (ja) 2016-11-09
EP3641359A1 (en) 2020-04-22

Similar Documents

Publication Publication Date Title
KR102051492B1 (ko) 머신-대-머신 서비스 제공 방법 및 장치
US10601594B2 (en) End-to-end service layer authentication
US10880294B2 (en) End-to-end authentication at the service layer using public keying mechanisms
EP3432532B1 (en) Key distribution and authentication method, apparatus and system
JP6595631B2 (ja) サービス層におけるコンテンツセキュリティ
US10185829B2 (en) Bootstrapping without transferring private key
CN105706390B (zh) 在无线通信网络中执行设备到设备通信的方法和装置
US20180123803A1 (en) Technique for managing profile in communication system
CN104956638B (zh) 用于在热点网络中未知设备的受限证书注册
WO2019041802A1 (zh) 基于服务化架构的发现方法及装置
WO2013120225A1 (en) Method and system for group based service bootstrap in m2m environment
US20220182829A1 (en) Systems and methods for subscriber certificate provisioning
CN108259157B (zh) 一种ike协商中身份认证的方法及网络设备
US20230336535A1 (en) Method, device, and system for authentication and authorization with edge data network
Mudugodu Seetarama Secure device bootstrapping with the nimble out of band authentication protocol

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant