KR102304147B1 - 통합된 스몰 셀 및 wi-fi 네트워크를 위한 통합 인증 - Google Patents

Abstract

다중 RAT UE들은, 현재, HSS에 대해 인증하기 위한 2개의 독립적인 경로들(MME 또는 3GPP AAA 서버를 통함)을 가지며, 이는 HSS에 대한 반복적인 인증 메시지들을 야기한다. 스몰 셀 및 Wi-Fi 인증을 위해 UE와 HSS 사이의 하나의 통합 인증 경로를 사용하는 것이 기술된다. 첫째, 새로운 3GPP EPC-TWAN간 연동 아키텍처는 MME에게 다중 RAT UE들로부터의 모든 인증 요청들을 관리하도록 한다. 둘째, ISWN 기반 다중 RAT UE가, 그의 현재 액세스 네트워크(TWAN 또는 HeNB)와 무관하게, HSS에 대해 직접 인증받을 수 있게 하는, 새로운 통합 인증 절차들이 추가된다. 셋째, 인터-RAT 핸드오버 시나리오들에 대한 새로운 빠른 재인증 절차들이 행해진다. 마지막으로, 인증 절차들을 실행하기 위한 다양한 표준의 프로토콜 메시지들에 대한 필요한 확장들이 설명된다.

Description

통합된 스몰 셀 및 WI-FI 네트워크를 위한 통합 인증{UNIFIED AUTHENTICATION FOR INTEGRATED SMALL CELL AND WI-FI NETWORKS}

관련 출원들의 상호 참조

본 출원은 2015년 6월 5일자로 출원된 미국 가특허출원 제62/171,497호 - 그 개시내용은 이로써 참조에 의해 그 전체가 기재된 것처럼 원용됨 - 의 이익을 주장한다.

최근에, 모바일 네트워크 사업자(Mobile Network Operator, MNO)들은 무선 데이터 사용의 광범위한 증가를 수용하기 위해 통합된 스몰 셀 및 Wi-Fi(Integrated Small Cell and Wi-Fi)(ISW) 네트워크들을 배치(deploy)하는 데 많은 관심을 보였다. 보다 구체적으로는, ISW 네트워크들은, 비면허 스펙트럼(unlicensed spectrum)에서의 WLAN(Wireless Local Area Network) AP(Access Point)들과 함께, 면허 스펙트럼(licensed spectrum)에서의 LTE(long term evolution) 스몰 셀들의 배치를 이용한다. ISW 주제는, 3GPP(3rd Generation Partnership Project), SCF(Small Cell Forum), 및 WBA(Wireless Broadband Alliance)와 같은, 표준화, 학술 및 산업 단체들에 의해 다루어져 왔다. 이러한 엄청난 관심은 ISW 네트워크들에 대한 다양한 네트워크 아키텍처들, 가입자 서비스 옵션들, 및 정책 관리 메커니즘들의 개발을 주도할 것이다.

3GPP TS 23.402에서, EPC(Evolved Packet Core) 네트워크와 비-3GPP 네트워크(예컨대, WLAN) 간의 CN(core-network) 기반 연동을 위한 3GPP 기술 규격이 소개되었다. 3GPP TS 23.402 문서는 TWAN(Trusted Wide Area Network)과 3GPP EPC(Evolved Packet Core) 간의 연동(interworking)을 위한 완전한 아키텍처, 인터페이스들, 액세스, 및 핸드오버 절차들을 제공한다. 도 1은 TWAN이 3GPP EPC 네트워크와 연동하기 위한 네트워크 아키텍처를 도시하고 있다. 도시된 바와 같이, TWAN은 S2a 인터페이스를 통해 PDN(Packet Data Network) GW에 액세스한다. 따라서, 개발된 3GPP EPC-WLAN간 연동 아키텍처는 LTE(Long Term Evolution)로부터 Wi-Fi로의 그리고 그 반대로의 시스템간 핸드오버가 P-GW(Packet Data Network Gateway)에서 강제로 일어나게 하고, 이는 MCN(Mobile Core Network)에 엄청난 부담을 야기할 수 있으며, 많은 수의 스몰 셀 배치가 예상되는 경우에 특히 그렇다.

EPC의 기본적인 아키텍처 원리가 데이터 평면과 제어 평면을 별도로(즉, MME/S-GW) 핸들링하는 것이기 때문에, 이동성 관리 엔티티(Mobility Management Entity)(MME) 확장들은 TWAN 확장들과 함께 시스템간 이동성 관리 시그널링을 위한 논리적 선택을 제공할 수 있는 반면, 대응하는 S-GW 확장들은 시스템간 사용자 평면 기능을 지원할 수 있다. S-GW가 LTE 및 Wi-Fi 액세스 둘 다를 위한 공통 사용자 평면 게이트웨이로서 기능할 수 있게 하면서, 이동성 관리 엔티티(MME)가 LTE 및 Wi-Fi 액세스 둘 다를 위한 공통 제어 평면 엔티티로 확장될 수 있다. 도 2에 도시된 참조점(reference point)들(S1a-MME 및 S1a-U)은 3GPP EPC-WLAN 통합된 아키텍처에 이전에 도입되었다. MME(202)는 제어 평면 시그널링을 위해 S1a-MME 참조점을 통해 WLAN AN(204)에 접속(connect)되고, S1a-U 참조점은 사용자 평면을 위해 WLAN AN(204)과 S-GW(Serving Gateway)(206) 사이에 정의된다. 이러한 MME/S-GW 통합 앵커 포인트들을 갖는 것은 보다 효율적인 핸드오버 절차를 가져올 것이다.

이 확장들은 네트워크의 에지(edge)에 보다 가까운 곳에서 시스템간 이동성 절차들을 실행하는 것을 가능하게 하는 것에 의해 성능을 개선시킬 수 있다. 코어 네트워크 내의 깊숙한 곳으로의, 즉 P-GW(PDN Gateway)(208) 쪽으로의 시그널링 절차의 필요성을 최소화하는 것에 의해 레이턴시(latency)가 감소될 수 있다. 이것은 MNO(Mobile Network Operator)가 공통의 지리적 영역에 스몰 셀 및 Wi-Fi 액세스 둘 다를 배치할 때 특히 유익할 수 있다. P-GW(208) 처리 부담을 감소시키는 것에 의해, 예컨대, 일부 시스템간 이동성 기능들을 MME(202) 및 S-GW(206)에 분배하는 것에 의해, 확장성(scalability)이 또한 개선된다.

키 생성 계층구조들과 함께 UE(User Equipment)(214)와 네트워크 간의 상호 인증을 비롯한 AKA 알고리즘에 관한 일반적 배경은 이하에 주어진다. 이어서, 이러한 일반 AKA(Authentication and Key Agreement) 알고리즘이 3GPP(EPS AKA) 및 WLAN(EAP-AKA') 네트워크들과 관련하여 설명된다.

도 3은, UE(214)와, MME(202) 및 HSS(Home Subscriber Server)(210)(HE(Home Environment) 또는 AuC(Authentication Centre)(304))를 포함하는, 네트워크 간의 상호 인증을 위해 사용되는, AKA 절차(3GPP TS 33.102의 6.3 절)를 도시하고 있다. 도시된 바와 같이, MME는 "Authentication data request"를 HSS/AuC에게 송신한다. 그에 응답하여, HSS/AuC는 다수의 인증 벡터(AV)들을 생성하고 이들을 시퀀스 번호(SQN)에 기초하여 정렬(order)한다. 인증 벡터는 난수(random number, RAND), 예상 응답(expected response, XRES), 암호 키(cipher key, CK), 무결성 키(integrity key, IK), 및 인증 토큰(authentication token, AUTN)으로 이루어져 있다.

AV들을 생성하는 프로세스는 도 4에 설명되어 있다. 먼저, AuC(304)는 신규(fresh) 시퀀스 번호(SQN) 및 예측불가능한 챌린지(challenge)(RAND)를 생성하는 것으로 시작한다. K는 USIM(Universal Subscriber Identity Module) 상에 그리고 AuC(304)에 저장되는 영구 키(permanent key)이다. 인증 및 키 관리 필드(authentication and key management field)(AMF)는 각각의 인증 벡터의 인증 토큰에 포함된다. 함수들(f1 및 f2)은, 각각, 메시지 인증 코드(message authentication code)(MAC) 및 XRES를 생성하는 메시지 인증 함수들이다. 함수들(f3, f4, 및 f5)은, CK, IK 및 익명 키(anonymity key)(AK)를 생성하는 데 사용되는, 키 생성 함수들이다. AK는, 시퀀스 번호가 사용자의 아이덴티티(identity) 및 위치를 노출시킬 수 있기 때문에, 시퀀스 번호를 숨기는 데 사용되는 익명 키이다. 마지막으로, 인증 토큰(AUTN)은 SQN, AK, AMF, 및 MAC에 기초하여 형성된다. 각각의 인증 벡터는 MME(202)와 UE(214) 사이의 단지 하나의 AKA 프로세스에 대해 양호하다.

도 3으로 돌아가서, AuC/HSS가 AV들을 생성하면, AuC/HSS는 이들을 MME(202)에게 송신한다. 결과적으로, MME(202)는 UE(214)와 상호 인증 프로세스를 시작한다. 먼저, MME(202)는 인증 벡터(AV)들의 정렬된 어레이(ordered array)로부터 다음 미사용 인증 벡터를 선택하고 "user authentication request" (RAND, AUTN) 메시지를 UE에게 송신한다.

RAND 및 AUTN을 수신할 때, USIM/UE는 도 5에 도시된 사용자 인증 절차를 적용한다. 먼저, USIM은 AK를 계산하고 시퀀스 번호(SQN)를 검색한다. 다음에, USIM은 예상 MAC(expected MAC)(XMAC)을 계산한다. USIM은 수신된 AUTN이 생성된 것과 동일하다는 것을 검증하는 것에 의해 네트워크를 인증한다. 보다 구체적으로는, 생성된 XMAC이 수신된 MAC과 동일한지, 및 수신된 SQN이 올바른 범위 내에 있는지를 검증한다.

최종적으로 그리고 도 3으로 돌아가서, UE(302)가 네트워크를 인증하면, UE(302)는 그의 생성된 응답(RES)을 MME(202)에게 송신한다. 이어서, MME(202)는 수신된 RES를 (HSS에 의해 생성되고 HSS로부터 수신된) 그의 XRES와 비교한다. RES와 XRES가 매칭하면, MME(202)는 UE(302)를 인증한다. 그래서, UE와 네트워크 간의 상호 인증 및 AKA 프로세스들이 성공적으로 완료된다. 최종적으로, UE(214) 및 MME(202)에서의 나머지 키(key)들, 즉 CK 및 IK는 암호화 및 무결성 기능들을 위한 추가 키들을 도출하는 데 이용된다.

LTE의 경우, "User Authentication Request"는 "NAS: Authentication Request"에서 구현된다. 이와 유사하게, "User Authentication Response"는 "NAS: Authentication Response"에서 구현된다. WLAN의 경우에, "User Authentication Request"는 "Diameter-EAP-Answer" 및 "EAP-Request/AKA'-Challenge" 메시지들을 통해 구현된다. "User Authentication Response"는 "EAP-Response/AKA'-Challenge" 및 "Diameter-EAP-Request"를 사용하여 구현된다.

UE(214)와 EPC 네트워크(216) 사이의 보안 절차들은 3GPP TS 33.401의 6 절에 상세히 설명되어 있다. 보안 절차는 초기 어태치 절차(initial attachment procedure)(3GPP TS 23.401의 5.3.2 절)의 기본적인 단계이다. 이 섹션은 3GPP EPC에서의 정확한 인증 관련 메시지들에 중점을 둔다. 상세하게는, 이 섹션은, S6a 참조점을 거쳐 MME(202)와 HSS(210) 사이에서 교환되는, Diameter 기반 메시지들에 중점을 둔다. 제시된 메시지들은, 도 3에 도시된, 일반 "Authentication data request" 및 "Authentication data response"에 대응한다.

MME가 HSS에 대한 인증 벡터들을 요청하기 위해, MME는, 3GPP TS 29.272의 5.2.3 절에 나타낸 바와 같이, S6a 참조점을 거쳐 Diameter 기반 "Authentication-Information-Request (AIR)" 커맨드를 송신한다. AIR 커맨드의 관련성 있는 AVP(Attribute-Value Pair)들의 일부가 표 1에 나타내어져 있다. UE(302)는 그의 'IMSI(International Mobile Subscriber Identity)'를 사용하여 식별될 것이다. 'Requested-EUTRAN-Authentication-Info' AVP(3GPP TS 29.272의 7.3.11 절)는 E-UTRAN에 대한 인증 요청들에 관련된 정보, 즉 'Number-Of-Requested-Vectors', 'Immediate-Response-Preferred', 및 'Re-synchronization-Info' AVP들을 포함한다. SN ID(Serving Network Identity)라고도 지칭되는, 'Visited-PLMN-Id' AVP(3GPP TS 29.272의 7.3.9 절)는 MCC(Mobile Country Code)와 MNC(Mobile Network Code)의 연결(concatenation)을 포함해야 한다.

AIR 커맨드에 응답하여, HSS는, 3GPP TS 29.272의 5.2.3 절에 나타낸 바와 같이, S6a 참조점을 거쳐 "AIA(Authentication-Information-Answer)" 커맨드에서 인증 벡터들을 MME에 제공한다. 표 2는 AIA 커맨드의 관련성 있는 AVP들 중 일부를 제공한다. 'Authentication-Info' AVP(3GPP TS 29.272의 7.3.17 절)는 다수의 3GPP RAT들에 대한 요구된 인증 벡터들, 즉 'E-UTRAN-Vector', 'UTRAN-Vector', 및 'GERAN-Vector'을 포함한다. 특별한 관심 대상은, 다음과 같은 인증 정보 'Item-Number', 'RAND', 'XRES', 'AUTN', 및 'K_ASME'를 포함하는 E-UTRAN 벡터인, 'E-UTRAN-Vector' AVP(3GPP TS 29.272의 7.3.18 절)이다. K_ASME는 ASME(Access Security Management Entity) 키이다.

비-3GPP 액세스 인증 시그널링은 STa 참조점(TWAN-AAA 서버간) 및 SWx(AAA 서버-HSS간)을 거쳐 3GPP AAA 서버(212)를 통해 UE(214)와 HSS(210) 사이에서 실행된다. 먼저, UE는 TWAN(218)에 대해 EAP(Extensible Authentication Protocol) 인증 프로세스를 개시하고, TWAN(218)은 EAP 메시지들을 3GPP AAA 서버(212)에게 포워딩한다. 3GPP AAA 서버(212)와 HSS(210)는 도 3에서 이전에 도시된 표준의 AKA 절차에 따라 상호작용한다. TWAN이 EPC 네트워크에 액세스하기 위한 EAP-AKA' 보안 절차는 TS 33.402의 6.2 절에 상세히 설명되어 있다. 이하에서는, 도 3에서 이전에 살펴본, 일반 "Authentication data request" 및 "Authentication data response"에 매핑되는, AAA 서버(212)와 HSS(210) 사이의 Diameter 기반 메시지들의 상세를 설명한다.

3GPP AAA 서버(212)가 TWAN에 접속된 UE(214)를 인증하기 위해, 3GPP AAA 서버(212)는 Diameter 기반 "Authentication Request" 메시지를 SWx 참조점을 거쳐 HSS(210)에게 송신한다. 표 3은, 우리의 관심 대상인, "Authentication Request" 메시지의 몇 개의 AVP들을 나타내고 있다. 나타낸 바와 같이, 3GPP AAA 서버(212)는 'IMSI', 'Number of Authentication Items', 'Access Network Identity (=WLAN)', 및 'Access Type (=WLAN)' AVP들을 포함한다.

Access Network Identity (=WLAN)', 및 'Access Type (=WLAN)' AVP들.

3GPP AAA 서버(212)로부터의 "Authentication Request" 메시지에 대한 응답으로서, HSS(210)는 "Authentication Answer" 메시지를 AAA 서버(212)에게 송신하는 것으로 응답한다. "Authentication Answer" 커맨드는 SWx 참조점을 거쳐 송신된다. Diameter 기반 "Authentication Answer" 커맨드의 가장 관련성이 있는 AVP들이 표 4에 나타내어져 있다. 나타낸 바와 같이, 표 4는 'Authentication Data' AVP를 포함하며, 그의 내용은 표 5에 나타내어져 있다. 표시된 바와 같이, 'Authentication Data' AVP는 모든 필요한 인증/권한부여(authentication/authorization) 파라미터들(RAND, AUTN, XRES) 및 키들(CK, IK)을 포함한다.

EPS/E-UTRAN 액세스를 위한 키 계층구조는 도 6에 도시되어 있다(3GPP TS 33.401). 도시된 바와 같이, 영구 키(K)는 UE(USIM) 및 네트워크(HSS/AuC(304)) 둘 다에 저장된다. 먼저, UE(214) 및 HSS(210) 둘 다가 중간 키 쌍들(CK 및 IK)을 도출한다. 이어서, UE(214) 및 HSS(210)는, 3GPP TS 33.401의 부록 A.2에서 설명된 바와 같이 CK, IK 및 SN ID(Serving Network Identity)를 사용하여, K_ASME를 도출한다. K_ASME는 표 2에서 이전에 설명된 "Authentication-Information-Answer" 메시지를 사용하여 그 후에 MME(202)에게 송신된다.

이어서, UE(214) 및 MME(202)는, 3GPP TS 33.401의 부록 A.7에 기술된 키 도출 함수(key derivation function, KDF)들을 사용하여, NAS 키들, 즉 K_NASenc(NAS 암호화 키) 및 K_NASint(NAS 무결성 보호 키)를 도출한다. 게다가, MME(202) 및 UE(214)는, 3GPP TS 33.401의 부록 A.3에 정의된 바와 같이, K_ASME 및 상향링크 NAS COUNT를 사용하여 eNB 보안 키(K_eNB)를 도출한다. 그 후에, eNB는, "Initial Context Setup Request" 메시지에 포함된, K_eNB를 MME(202)로부터 수신한다. 마지막으로, UE(214) 및 eNB는 3GPP TS 33.401의 부록 A.7에 기술된 KDF들을 사용하여 사용자 평면 전송에 필요한 키들(K_UPint, K_UPenc) 및 RRC 전송에 필요한 키들(K_RRCint, K_RRCenc)을 도출한다 .

MME(202)는 K_eNB를 eNB에게 송신하기 위해 "Initial Context Setup Request" 메시지를 사용한다. 일반적으로, UE 컨텍스트의 셋업(setup)을 요청하기 위해 "Initial Context Setup Request" 메시지가 송신된다(TS 36.413의 9.1.4 절). 'Security Key' 정보 엘리먼트(IE)(K_eNB)는 eNB에서 보안을 적용하는 데 사용된다(TS 36.413의 9.2.1.41 절).

이 섹션에서, 도 7에 도시된, TWAN에 대한 AKA' 키 계층구조가 논의된다. 도 6에서의 EPS 시나리오와 유사하게, 키 쌍들(CK 및 IK)이 UE(214) 및 HSS에서 도출된다. 이어서, 새로운 키 쌍, 즉 CK' 및 IK'이 'access network identity'를 사용하여 도출된다. 3GPP TS 33.402의 부록 A.2는 CK, IK 및 'access network identity'로부터 CK', IK'를 어떻게 도출하는지를 나타내고 있다. 키들(CK', IK')은 표 4에서 이전에 설명된 "Authentication Answer" 메시지를 사용하여 3GPP AAA 서버에게 송신된다. 이어서, 마스터 키(MK)가 UE 및 3GPP AAA 서버에서 다음과 같이 도출된다(IETF RFC 5448의 3.3 절):

MK = PRF'(IK'|CK',"EAP-AKA'"|Identity)

K_encr = MK[0..127]; K_aut = MK[128..383]; K_re = MK[384..639];

MSK = MK[640..1151]; EMSK = MK[1152..1663],

여기서 PRF'는 의사 랜덤 함수이고, K_encr은 (데이터 암호화를 위한) 128-비트 암호화 키이며, K_aut는 (MAC에 대한) 256-비트 인증 키이고, K_re는 (빠른 재인증(fast re-authentication)을 위한) 256-비트 재인증 키이고, MSK는 512-비트 마스터 세션 키(Master Session Key)이며, EMSK는 512-비트 확장 마스터 세션 키(Extended Master Session Key)이다.

MSK는 EAP 방법 IETF RFC 3748에 의해 TWAN으로 익스포트(export)된다. 보다 구체적으로는, 3GPP AAA 서버는, IETF RFC 4072에서 논의된 바와 같이, Diameter 기반 "Diameter-EAP-Answer" (EAP-Payload, EAP-Master-Session-Key) 메시지를 송신하는 것에 의해 MSK를 TWAN으로 전송(transport)한다. 'EAP-Master-Session-Key' AVP는 WLAN 링크를 통해 사용될 MSK를 나타낸다.

UE(214)가 하나의 eNB에서 다른 eNB로의 핸드오버를 경험하는 인트라-LTE 핸드오버(Intra-LTE handover)에서, UE(214)는 네트워크에 대해 또다시 인증받을 필요가 없다. 그 대신에, UE 및 타깃 eNB에서 새로운 K_eNB만이 생성된다. K_eNB를 업데이트하는 절차는 도 8에 도시되어 있고, 다음과 같이 요약될 수 있다(3GPP TS 33.401의 7.2.8 절). 먼저, UE(214) 및 MME(202 )는 K_ASME 키를 사용하여 K_eNB 및 NH(Next Hop) 파라미터를 도출할 것이다. NCC(NH Chaining Counter)는 각각의 K_eNB 및 NH 파라미터와 연관되어 있다. MME(202)는 K_eNB 키 또는 {NH, NCC} 쌍을 eNB에게 송신할 수 있다. 핸드오버 시에, 기본 K_eNB*는 K_eNB(수평 키 도출) 또는 NH(수직 키 도출) 중 어느 하나를 사용하여 먼저 도출된다. 마지막으로, NH 또는 K_eNB는 타깃 물리 셀 ID(PCI) 및 그의 하향링크 EARFCN-DL(Evolved Absolute Radio Frequency Channel Number)에 추가로 바인딩된다.

TWAN(218)이 EPC(216)에 액세스하기 위해 빠른 재인증이 행해질 수 있다. 이 경우에, HSS(210)는 전체 인증(full authentication) 경우와 같이 관여되지는 않을 것이다. 빠른 재인증 절차는 UE와 TWAN 간에 사용될 새로운 MSK를 생성하는 것을 목표로 한다. 3GPP TS 33.402의 6.3 절은 이를 상세히 기술한다.

3GPP AAA 서버가 재인증 ID를 수신하면, "EAP-Request/AKA'-Reauthentication" 메시지(IETF RFC 4187의 9.7 절)가 3GPP AAA 서버로부터 UE에게 송신된다. 이 메시지는 하기의 속성(attribute)들: COUNTER, NONCE, MAC, 및 새로운 재인증 ID를 포함한다. 첫째, COUNTER는 16-비트 부호없는 정수 카운터 값이다(IETF RFC 4187의 10.16 절). COUNTER는 전체 인증 절차(full authentication procedure)에서 1로 초기화된다. 둘째, NONCE는 이 EAP-AKA' 빠른 재인증을 위해 AAA 서버에 의해 새로 생성된 난수(16 바이트)이다(IETF RFC 4187의 10.18 절). 난수는 UE에 대한 챌린지로서 그리고 또한 새로운 키잉 재료(keying material)에 대한 시드 값(seed value)으로서 사용된다. 셋째, MAC 속성은 일반적으로 EAP 패킷을 커버하는 MAC(message authentication code)을 포함한다. MAC은 EAP 패킷 전체(이 경우에 NONCE)에 걸쳐 계산되고 임의적인 메시지-특정 데이터(message-specific data)와 연결된다(IETF RFC 4187의 10.15 절). 마지막으로, 다음 빠른 재인증에서 새로운 재인증 ID가 사용될 것이다.

빠른 재인증에서, 하기의 키들이 계산되고(IETF RFC 5448):

MK = PRF'(K_re, "EAP-AKA' re-auth"| Identity| COUNTER| NONCE)

MSK = MK[0..511]

여기서 MK는 마스터 키이고 PRF는 의사 난수 함수(Pseudo-Random number Function)이다. 빠른 재인증 시에, 새로운 MSK를 생성하기 위해 동일한 의사 난수 생성기를 사용될 수 있다(IETF RFC4187). K_re는 이전의 전체 인증으로부터의 재인증 키이고, 이에 기초하여 일어날 수 있는 임의의 빠른 재인증(들)에 걸쳐 변하지 않은 채로 있다. 마지막으로, COUNTER 및 NONCE가 서버에서 생성된다.

현재의 3GPP 연동 아키텍처(3GPP Inter-Working Architecture)에서, 인터-RAT 핸드오버(Inter-RAT handover)를 하기로 결정하는 다중 RAT(LTE/WLAN) UE는 핸드오버를 행하기 전에 전체 인증 절차를 실행할 필요가 있을 것이다(TS 23.402). 스몰 셀이 Wi-Fi 네트워크와 동일 장소에 배치(colocate)될 때, UE 상세 설명(UE Detailed Description)이 LTE와 WLAN 사이의 각각의 핸드오버에서 완전한 재인증(complete re-authentication)을 실행하는 것을 요구하는 것은 비효율적이다.

다중 RAT UE들은, 현재, HSS에 대해 인증하기 위한 2개의 독립적인 경로들(MME 또는 3GPP AAA 서버를 통함)을 가지며, 이는 HSS에 대한 반복적인 인증 메시지들을 야기한다. 이하에서 설명되는 실시예들은 스몰 셀 및 Wi-Fi 인증을 위해 UE와 HSS 사이의 하나의 통합 인증 경로(unified authentication path)를 사용한다.

첫째, 새로운 3GPP EPC-TWAN간 연동 아키텍처는 MME에게 다중 RAT UE들로부터의 인증 요청들을 관리하도록 한다. 환언하면, 3GPP AAA 서버는 ISWN 기반 UE들로부터의 어떤 인증 절차들도 핸들링하지 않을 것이다. 그렇게 하기 위해, TWAN과 MME 사이에, 새로운 참조점, 즉 STb가 추가된다.

둘째, ISWN 기반 다중 RAT UE가, 그의 현재 액세스 네트워크(TWAN 또는 HeNB)와 무관하게, HSS에 대해 직접 인증받을 수 있게 하는, 새로운 통합 인증 절차들이 추가된다. 통합 인증 절차들은 UE와 MME 간의 상호 인증을 가능하게 하고, WLAN 및 LTE 액세스 네트워크들 둘 다를 위한 키들을 제공한다. TWAN 개시 인증(TWAN-initiated authentication) 및 HeNB 개시 인증(HeNB-initiated authentication) 둘 다가, 각각, TWAN 또는 HeNB 중 어느 하나를 통해 UE에 의해 행해질 수 있다.

셋째, 인터-RAT 핸드오버 시나리오들에 대한 새로운 빠른 재인증 절차들이 행해진다. 재인증 절차들은 요구된 키들을 생성하는 것에만 중점을 두는 것에 의해 상호 인증 단계를 간소화한다. 환언하면, 빠른 재인증 절차들은 HSS를 재인증 프로세스에 관여시키지 않으며, 이는 코어 네트워크에 대한 부담을 감소시킨다. 인트라-ISWN(TWAN으로부터 HeNB로 그리고 HeNB로부터 TWAN으로) 및 TWAN으로부터 eNB으로의 핸드오버 시나리오들 둘 다가 설명된다.

마지막으로, 인증 절차들을 실행하기 위한 다양한 표준의 프로토콜 메시지들에 대한 확장들이 설명된다. 확장 메시지들은 S6a 참조점(MME-HSS간)을 거쳐 하기의 계층들, 프로토콜들, 및 참조점들: RRC, S1-AP, NAS, EAP, 및 Diameter를 거친다.

이 변화들이 기존의 3GPP 연동 아키텍처를 대체할 필요는 없다. 오히려, 그 변화들은 스몰 셀 및 Wi-Fi 네트워크가 긴밀하게 통합될 때 사용될 수 있는 보다 효율적인 대안을 제공할 수 있다.

이 문서에서의 예들이 LTE와 같은 면허 스펙트럼에서 작동하는 무선 액세스 기술과 Wi-Fi와 같은 무면허 스펙트럼에서 동작하는 무선 액세스 기술 간의 핸드오버를 다루지만, 그 개념들이 임의의 2개의 무선 액세스 기술들 간의 핸드오버에 적용될 수 있다는 것이 잘 알 것이다.

이 발명의 내용은 이하에서 발명을 실시하기 위한 구체적인 내용에 추가로 기술되는 일련의 개념들을 간략화된 형태로 소개하기 위해 제공되어 있다. 이 발명의 내용은 청구된 발명 요지의 핵심적인 특징들 또는 필수적인 특징들을 확인해주는 것으로 의도되어 있지도 않고, 청구된 발명 요지의 범주를 제한하는 데 사용되는 것으로 의도되어 있지도 않다. 게다가, 청구된 발명 요지는 본 개시내용의 임의의 부분에서 언급된 임의의 또는 모든 단점들을 해결하는 제한들로 제한되지 않는다.

첨부 도면들과 관련하여 예로서 주어져 있는 이하의 설명으로부터 보다 상세한 이해가 얻어질 수 있다.
도 1은 EPC에의 신뢰할 수 있는(Trusted) WLAN 액세스를 위한 비-로밍 아키텍처(non-roaming architecture)를 예시한 다이어그램.
도 2는 굵게 표시된 부가의 참조점들을 갖는 3GPP EPC-WLAN MME/S-GW에 앵커링된 ISWN 아키텍처(3GPP EPC-WLAN MME/S-GW anchored ISWN architecture)를 예시한 다이어그램.
도 3은 AKA(Authentication and Key Agreement)를 예시한 다이어그램.
도 4는 인증 벡터들의 생성을 예시한 다이어그램.
도 5는 USIM에서의 사용자 인증 함수를 예시한 다이어그램.
도 6은 E-UTRAN에 대한 키 계층구조를 예시한 다이어그램.
도 7은 TWAN에 대한 키 계층구조를 예시한 다이어그램.
도 8은 핸드오버 키 체이닝(handover key chaining)을 위한 모델을 예시한 다이어그램.
도 9는 ISWN UE들에 대한 2개의 병렬 인증 경로들을 예시한 다이어그램.
도 10은 ISWN에서의 빈번한 TWAN-HeNB간 핸드오버의 호 흐름(call flow)을 예시한 다이어그램.
도 11은 통합된 EPC-TWAN 아키텍처의 통합 인증을 예시한 다이어그램.
도 12는 HeNB 기반 통합 인증/어태치 절차의 호 흐름을 예시한 다이어그램.
도 13은 TWAN 기반 통합 인증/어태치 절차의 호 흐름을 예시한 다이어그램.
도 14는 빠른 재인증 절차를 갖는 HeNB로부터 TWAN으로의 핸드오버의 호 흐름을 예시한 다이어그램.
도 15는 EAP-RP에 기초한 재인증의 호 흐름을 예시한 다이어그램.
도 16은 빠른 재인증 절차를 갖는 TWAN으로부터 HeNB로의 핸드오버의 호 흐름을 예시한 다이어그램.
도 17은 빠른 재인증 절차를 갖는 TWAN으로부터 eNB로의 핸드오버의 호 흐름을 예시한 다이어그램.
도 18은 통합된 EPC 및 신뢰할 수 없는(untrusted) WLAN 네트워크 아키텍처를 예시한 다이어그램.
도 19는 신뢰할 수 없는 WLAN(하부) 및 신뢰할 수 있는 WLAN(상부) 시나리오들에서의 UE-HSS간 경로를 예시한 다이어그램.
도 20은 본 발명의 실시예들에서 사용하기 위한 예시적인 그래픽 사용자 인터페이스를 예시한 다이어그램.
도 21a는 IoT 이벤트 관리 시스템들 및 방법들의 하나 이상의 개시된 실시예들이 구현될 수 있는 예시적인 M2M(machine-to-machine) 또는 IoT(Internet of Things) 통신 시스템의 다이어그램.
도 21b는 도 21a에 예시된 M2M/IoT 통신 시스템 내에서 사용될 수 있는 예시적인 아키텍처의 시스템 다이어그램.
도 21c는 도 21a에 예시된 통신 시스템 내에서 사용될 수 있는 예시적인 M2M/IoT 단말 또는 게이트웨이 디바이스의 시스템 다이어그램.
도 21d는 도 21a의 통신 시스템의 양태들이 구현될 수 있는 예시적인 컴퓨팅 시스템의 블록 다이어그램.

도 9는 다중 RAT UE(214)가 ISWN을 통해 EPC(216)에 액세스하기 위한 2개의 상이한 인증 경로들을 도시하고 있다. UE(214)는 상부 경로에서 LTE 접속을 위해 HeNB(220) 및 MME(202)를 통해 HSS(210)와 AKA 알고리즘을 수행하거나, 하부 경로에서 WLAN 접속을 위해 TWAN 및 AAA 서버를 통해 HSS(210)와 AKA 알고리즘을 실행한다. UE(214)가 인터-RAT 핸드오버를 행할 때, UE(214)는, MME(202) 또는 AAA 서버(212) 중 어느 하나를 통해, HSS(210)에 대해 인증 절차를 재실행할 필요가 있다. MME(202) 및 3GPP AAA 서버(212)의 역할들은 유사하다.

통합된 스몰 셀/Wi-Fi 네트워크에서, MME(202) 및 AAA 서버(212) 둘 다에 의해 제공되는 유사한 기능을 사용해 각각의 핸드오버 이벤트에서 전체 인증 절차를 재실행하는 것은 비효율적이다.

도 9에 예시된 기능이, 이하에서 설명되는 도 21c 또는 도 21d에 예시된 것들 중 하나와 같은, 무선 디바이스 또는 다른 장치(예컨대, 서버, 게이트웨이, 디바이스, 또는 다른 컴퓨터 시스템)의 메모리에 저장되고 그의 프로세서 상에서 실행되는 소프트웨어(즉, 컴퓨터 실행가능 명령어들)의 형태로 구현될 수 있다는 것을 잘 알 것이다. 또한, 도 9에 예시된 기능이 가상화된 네트워크 기능들의 세트로서 구현될 수 있다는 것을 잘 알 것이다. 네트워크 기능들은 꼭 직접 통신하는 것은 아닐 수 있고, 오히려 포워딩 또는 라우팅 기능을 통해 통신할 수 있다. 또한, 도 9에 예시된 기능이 가상화된 네트워크 기능들의 세트로서 구현될 수 있다는 것을 잘 알 것이다. 네트워크 기능들은 꼭 직접 통신하는 것은 아닐 수 있고, 오히려 포워딩 또는 라우팅 기능을 통해 통신할 수 있다.

도 10은 이 절차 상세들을 설명한다. 처음에, UE(214)가 전원이 켜지고 LTE를 사용하기를 원한다고 가정된다. 도 10의 단계 1에서, UE(214)는, HeNB를 통해, MME(202)에 대해 "Attach Request" 절차를 개시한다. 이에 응답하여, MME(202)는 도 10의 단계 2에서 "Authentication Request" 메시지를 HSS(210)에게 송신한다. 도 10의 단계 3에서, HSS(210)는 인증 벡터들 및 중간 키들을 생성하기 위해 AKA 알고리즘을 실행한다.

HSS는 도 10의 단계 4에서 인증 벡터들 및 키들을 MME에게 송신한다. 이어서, MME는 필요한 키들을 도출한다. UE(214)와 MME(202) 간의 상호 인증 절차는 도 10의 단계 6에서 실행되고, 이 단계 6 동안 UE는 필요한 키들 및 검증들을 생성하기 위해 AKA 알고리즘을 실행한다. 인증이 완료되면, MME는 도 10의 단계 7에서 S-GW/P-GW에 대해 Create Session 절차를 개시한다. 그 결과, HeNB(220)와 S-GW/P-GW(1002) 사이에 GTP 터널이 설정(establish)된다. 게다가, 도 10의 단계 8에서 UE(214), HeNB(220), 및 MME(202) 사이에서 무선 및 액세스 베어러 설정(radio and access bearer establishment)을 위한 LTE 절차가 행해진다.

잠시 후에, UE(214)는 WLAN을 발견하고 도 10의 단계 9에서 TWAN(218)으로 핸드오버하기를 원한다. 그에 따라, UE(214)는 도 10의 단계 10에서 TWAN(218)과의 접속을 개시할 것이다. TWAN(218) 및 UE(214)는 도 10의 단계 11에서 초기 EAP 인증 절차를 가질 것이다. 완료되면, 도 10의 단계 14 및 단계 15에서 "Authentication Request"이 AAA 서버(212) 및 HSS(210) 쪽으로 송신된다. 도 10의 단계 2 및 단계 13에서와 같이 MME(202) 및 3GPP AAA 서버(212)의 역할들이 유사하다. 도 10의 단계 14에서, HSS(210)는 인증 벡터들 및 중간 키들을 생성하기 위해 (단계 3과 유사한) AKA 알고리즘을 실행한다. 이 인증 벡터들은, 이전에 도 10의 단계 6에서 이미 인증된, UE(214)를 인증하는 데 필요하다.

HSS(210)는 도 10의 단계 15에서 인증 벡터들 및 키들을 AAA 서버에게 송신한다. 그에 따라 단계 16에서, AAA 서버(212)는 필요한 키들을 도출한다. 다시 말하지만, 도 10의 단계 5 및 단계 16에서와 같이 MME(202) 및 3GPP AAA 서버(212)의 역할들이 유사하다. 이어서, 도 10의 단계 6에서의 상호 인증과 유사한, 상호 인증이 도 10의 단계 17에서 3GPP AAA 서버(212)와 UE(214) 사이에서 수행될 것이다. 이 절차는, 도 10의 단계 6과 유사하게, UE(214)측에서의 키 생성을 포함한다. 결과적으로, TWAN(218)은 (S2a 참조점을 거쳐) 3GPP AAA 서버(212)를 통해 S-GW/P-GW(1002)에 대해 "Create Session" 절차를 개시하고, 그 결과 도 10의 단계 18에서 TWAN(218)과 S-GW/P-GW(1002) 사이에 GTP 터널을 갖게 된다. 대안적으로, TWAN(218)은 (도 2에 도시된) S1a-MME 참조점을 거쳐 MME(202)를 통해 세션 생성(session creation)을 개시할 수 있다. 마지막으로, 도 10의 단계 19에서 인증 절차가 완료되고 WLAN 접속이 설정된다.

도 10으로부터, LTE 액세스를 사용하고 있는 UE(214)가 TWAN(218)으로의 핸드오버를 원하는 경우, 현재의 표준들에서, UE(214)는 권한부여를 위해 3GPP AAA 서버(212)를 통해 또다시 HSS(210)와 접촉할 것이다. 환언하면, 도 10은 인트라-ISWN 인터-RAT 핸드오버에서의 중복 인증 절차(redundant authentication procedure)를 명확하게 나타내고 있다. 보다 정확하게는, 도 10에서의 핸드오버 절차의 단점들은 다음과 같다:

1. HSS(210)가, 도 10의 단계 3 및 단계 14에서와 같이, 인증 벡터들을 두 번 생성하기 위해 AKA 알고리즘을 실행한다.

2. UE(214)가, 도 10의 단계 6 및 단계 17에서와 같이, 인증 벡터들을 두 번 생성하기 위해 AKA 알고리즘을 실행한다.

3. UE(214) 및 EPC(216)가, 도 10의 단계 6 및 단계 17에서와 같이, 상호 인증 메시지 세트를 두 번 교환한다.

이 문제를 살펴볼 때, ISWN의 HeNB측에 어태치된 UE(214)가 ISWN의 TWAN측으로 핸드오버하기를 원하는 경우, AAA 서버(212)를 통해 HSS(210)에 대해 전체 인증 절차를 또다시 수행할 필요가 없다. 이전에 설명된 사용 사례에 기초하여, 본 개시내용에서 고려되는 문제점들은 다음과 같이 규정될 수 있다:

EPC(216) 내의 HSS(210) 쪽으로의 반복적인 메시징을 감소시키기 위해 LTE 및 WLAN 둘 다를 위해 ISWN에 어태치된 UE(214)를 EPC(216)에 대해 어떻게 한번에 인증할 것인가?

이 경우에, 인트라-ISWN 인터-RAT 핸드오버에서 전체 인증 절차를 실행할 필요가 없다. 그 대신에, 빠른 재인증 절차를 갖게 될 것이다.

인터-RAT 핸드오버 시나리오들에서 빠른 재인증을 어떻게 수행할 것인가?

예를 들어, HSS(210)는 재인증 프로세스에 관여될 필요가 없을 수 있다.

도 10에 예시된 단계들을 수행하는 엔티티들이 도 21c 또는 도 21d에 예시된 것들과 같은 무선 및/또는 네트워크 통신을 위해 구성된 장치 또는 컴퓨터 시스템의 메모리에 저장되고 그의 프로세서 상에서 실행되는 소프트웨어(즉, 컴퓨터 실행가능 명령어들)의 형태로 구현될 수 있는 논리적 엔티티들일 수 있다는 것을 잘 알 것이다. 즉, 도 10에 예시된 방법(들)은, 도 21c 또는 도 21d에 예시된 장치 또는 컴퓨터 시스템과 같은, 장치의 메모리에 저장된 소프트웨어(즉, 컴퓨터 실행가능 명령어들)의 형태로 구현될 수 있고, 이 컴퓨터 실행가능 명령어들은, 장치의 프로세서에 의해 실행될 때, 도 10에 예시된 단계들을 수행한다. 또한, 도 10에 예시된 기능이 가상화된 네트워크 기능들의 세트로서 구현될 수 있다는 것을 잘 알 것이다. 네트워크 기능들은 꼭 직접 통신하는 것은 아닐 수 있고, 오히려 포워딩 또는 라우팅 기능을 통해 통신할 수 있다. 도 10에 예시된 임의의 전송 및 수신 단계들이 장치의 프로세서 및 프로세서가 실행하는 컴퓨터 실행가능 명령어들(예컨대, 소프트웨어)의 제어 하에서 장치의 통신 회로부에 의해 수행될 수 있다는 것을 또한 잘 알 것이다. 또한, 도 10에 예시된 기능이 가상화된 네트워크 기능들의 세트로서 구현될 수 있다는 것을 잘 알 것이다. 네트워크 기능들은 꼭 직접 통신하는 것은 아닐 수 있고, 오히려 포워딩 또는 라우팅 기능을 통해 통신할 수 있다.

도 11은 EPC-TWAN 통합을 위한 연동 아키텍처를 도시하고 있다. 수정된 메시지들을 갖는 기존의 참조점들은 Uu, SWu, S1-MME, 및 SGa이다. 도 2에서 이전에 논의된 부가의 참조점들은 S1a-MME 및 S1a-U이다. 새로운 참조점(STb)이 TWAP(224)과 MME(202) 사이에 추가된다. 도 11은 HeNB(220)와 TWAN(218)이 ISWN(230) 내에 통합된 것을 도시하고 있다. 본 개시내용에 제시된 착상들은 또한 HeNB 스몰 셀(220) 및 TWAN(218)이 동일한 물리적 박스에 통합되는 경우에 적용가능하다.

이 예에서, 3GPP AAA 서버(212)는 이용되지 않을 것이다. 인증 절차들 대신에, TWAP(224)는 새로운 STb 참조점을 통해 MME(202)에 접속될 것이다. 세션 관리(SM) 절차에 관해, 도 2와 유사하게, TWAN(218)(이 경우 TWAG(232))은 S1a-MME 및 S1a-U 참조점들을 통해, 각각, MME(202) 및 S-GW(206)에 접속될 것이다.

통합 인증 절차는 3GPP AAA 서버(212)를 우회하고 ISWN(230)의 인증을 위해 HSS(210) 및 MME(202)만을 사용할 수 있다. 그렇지만, 3GPP AAA 서버(212)는 통합 인증을 하도록 허용되지 않는 다른 네트워크들의 인증을 위해 동일한 네트워크 내에 여전히 공존하거나, 통합 인증이 지원되지 않을 때 사용될 수 있다. 마지막으로, 이러한 연동 아키텍처가 CDMA2000과 같은, 3GPP AAA 서버(212)를 이용하는, 다른 비-3GPP 시스템들로 일반화될 수 있다는 것을 언급한다.

도 11에 도시된 바와 같이, ISWN(230)은 TWAN(218)과 HeNB(220)로 이루어져 있다. 각각의 액세스 노드(HeNB(220) 또는 TWAN(218))가 ISWN(230)에 관한 몇 개의 파라미터들로 구성된다고 가정한다. 이 구성 파라미터들은 (3GPP TS 33.401에서와 같이) E-UTRAN 네트워크 유형을 그리고 (3GPP TS 24.302에서와 같이) WLAN 액세스 네트워크 아이덴티티를 포함하는 것을 목표로 한다. 표 6은 추가된 구성 파라미터들을 나타내고 있다. 표시된 바와 같이, 첫째, 통합 특성(integration nature)을 'ISWN'으로서 표시하기 위해 'Access Type'이 추가되어 있다. 둘째, ISWN(230)의 HeNB측의 'Network Type'이 'E-UTRAN'인 것을 포함하고 있다. 마지막으로, TWAN(218)측의 'Network Access Identity'가 WLAN인 것을 표시하고 있다. 이 ISWN 구성 파라미터들은 HeNB(220) 및 TWAN(218) 둘 다에 저장될 것이고, 이들 중 임의의 것에 의해 인증/어태치 절차 내에서 MME(202)에게 송신될 것이다.

도 11에 예시된 기능이, 이하에서 설명되는 도 21c 또는 도 21d에 예시된 것들 중 하나와 같은, 무선 디바이스 또는 다른 장치(예컨대, 서버, 게이트웨이, 디바이스, 또는 다른 컴퓨터 시스템)의 메모리에 저장되고 그의 프로세서 상에서 실행되는 소프트웨어(즉, 컴퓨터 실행가능 명령어들)의 형태로 구현될 수 있다는 것을 잘 알 것이다. 또한, 도 11에 예시된 기능이 가상화된 네트워크 기능들의 세트로서 구현될 수 있다는 것을 잘 알 것이다. 네트워크 기능들은 꼭 직접 통신하는 것은 아닐 수 있고, 오히려 포워딩 또는 라우팅 기능을 통해 통신할 수 있다. 또한, 도 11에 예시된 기능이 가상화된 네트워크 기능들의 세트로서 구현될 수 있다는 것을 잘 알 것이다. 네트워크 기능들은 꼭 직접 통신하는 것은 아닐 수 있고, 오히려 포워딩 또는 라우팅 기능을 통해 통신할 수 있다.

통합 인증 절차들

이 섹션에서, UE(214) 및 네트워크가 ISWN(230)의 양쪽 RAT들에 대해 전체 AKA 알고리즘(full AKA algorithm)을 수행할 수 있게 하는 통합 인증 절차를 소개한다. 인증 단계는 초기 어태치 절차의 첫 번째 중요한 단계이다. 따라서, 인증 절차를 초기 어태치 프로세스의 일부로서 설명할 것이다. UE(214)가 ISWN(230)의 TWAN(218) 또는 HeNB(220)에의 어태치를 개시하는지 여부에 따라, 두 가지 경우들을 다룰 것이다.

HeNB 기반 통합 인증/어태치 절차

이 섹션에서, UE(214)가 HeNB(220)를 통해 ISWN(230)에의 어태치를 개시할 것으로 가정한다. 그에 따라, UE(214)가 MME(202)를 통해 HSS(210)에 대해 상호 인증되도록 하는 것을 목표로 한다. 게다가, E-UTRAN 및 WLAN(218) 둘 다에 대한 키 재료(key material)들이 도출되어야 한다. 통합 절차(unified procedure)는 표 6에서의 ISWN 구성 파라미터들만을 고려하여 AKA 알고리즘을 한 번 실행하는 것에 의존한다.

도 12는 HeNB 기반 통합 인증/어태치 절차의 호 흐름을 도시하고 있으며, 다음과 같이 기술될 수 있다.

도 12의 단계 1에서, UE(214)는, 3GPP TS 36.331의 5.3.3 절에 기술된 바와 같이, HeNB(220)와 "RRC Connection Establishment" 절차를 수행하는 것에 의해 접속을 설정하기 시작한다. 보다 정확하게는, UE(214)가 "RRC Connection Request" 메시지를 HeNB(220)에게 송신한다. 그에 응답하여, HeNB(220)는 "RRC Connection Setup" 메시지를 UE(214)에게 송신한다.

도 12의 단계 2에서, 결과적으로, UE(214)는 NAS "Attach Request" (old GUTI, Old GUTI type, UE Core Network Capability, Attach Type, ...등) 내용을 담고 있는 "RRC Connection Setup Complete" (NAS: Attach Request, GUMMEI, Unified Authentication) 메시지를 HeNB에게 송신한다. "Attach Request" 메시지에 포함된 정보 엘리먼트들의 목록은 3GPP TS 23.401의 5.3.2 절에 언급되어 있으며, 또한 3GPP TS 24.301의 표 8.2.4.1에 열거되어 있다. 3GPP TS 23.003에 정의된 바와 같은, GUTI(Globally Unique Temporary Identity)가 MME(202)에 의해 UE(214)에 할당된다. UE(214)가 유효한 이전의 GUTI(old GUTI)를 갖고 있지 않다면, 그 대신에 IMSI가 포함되어야 한다. "UE Core Network Capability" 정보 엘리먼트는 지원되는 AS 및 NAS 보안 절차들의 표시를 포함한다. "Attach Request" NAS 내용에 부가하여, "RRC Connection Setup Complete" 메시지는 또한, 3GPP TS 36.331의 6.2.2 절에 표시된 바와 같이, 선택된 네트워크(Selected Network) 및 이전의 GUMMEI(Globally Unique MME Identifier)를 표시하는 RRC 파라미터들을 담고 있다.

"RRC Connection Setup Complete" 메시지에 대한 새로운 'Unified Authentication' 정보 엘리먼트. 이 새로운 정보 엘리먼트는 ISWN의 TWAN측을 역시 포함하는 통합 인증을 수행하고자 한다는 UE(14)의 요망을 HeNB(220)에게 알려주기 위해 UE(14)에 의해 사용된다. 이러한 IE를 추가하는 것에 의해, UE(214)가 전형적인 인증 절차를 수행할 수 있기 때문에 UE(214)가 역호환(backward-compatible)될 것임을 언급한다. 이와 유사하게, 새로운 정보 엘리먼트, 즉 "Unified Authentication"이 도 12의 단계 1에서 HeNB(220)로부터 UE(214)로의 "RRC Connection Setup" 메시지에 추가된다. 이러한 정보 엘리먼트는 HeNB(220)가 UE(214)에 대한 통합 인증 절차를 지원한다는 것을 표시하기 위해 HeNB(220)에 의해 사용된다.

도 12의 단계 3에서, HeNB(220)는, 'old GUMMEI' 정보 엘리먼트를 사용하여, 수신된 "RRC Connection Setup Complete" 메시지로부터 MME(202)를 추출한다. 이어서, HeNB(220)는 "Initial UE message" (NAS-PDU, Selected Network, CSG ID, Access Type, Access Network Identity) 메시지를 MME(202)에게 송신한다. 원래의 S1-MME "Initial UE message" 제어 메시지는 (3GPP TS 36.413의 8.6.2.1 절)에 제시되어 있다. CSG ID는 CSG(Closed Subscriber Group)의 식별자를 나타낸다.

HeNB(220)가 그와 통합된 TWAN(218)에 관한 어떤 정보를 송신한다고 가정한다. 이러한 정보는 ISWN이 설정되면 HeNB(220) 및 TWAN(218) 둘 다에 구성될 수 있다. 보다 구체적으로는, HeNB(220)는 'Access Type= ISWN' 및 'Access Network identity= WLAN'을 전달하는 "Initial UE message" 메시지를 MME(202)에게 송신할 것이다. 'Access Network identity= WLAN'은 TWAN측을 나타낸다(3GPP TS 24.302의 표 8.1.1.2). 게다가, UE(214)가 ISWN(230)(TWAN(218) 및 HeNB(220))에 접속되어 있다는 것을 MME(202)에 통보하기 위해 ISWN의 새로운 'Access type'을 정의한다.

도 12의 단계 4에서, EPS 보안 파라미터들(인증, NAS 보안 셋업)을 설정하기 위해, MME(202)는 AKA 절차를 개시한다. 상세하게는, MME(202)는 "Authentication-Information-Request" (IMSI, PLMN-ID, Requested-EUTRAN-Authentication-Info, Access Type, Access Network Identity) 메시지를 HSS(210)에게 송신한다. PLMN-ID 또는 SN ID(Serving Network Identity) 아이덴티티는 MCC + MNC이다. "Authentication-Information-Request" 메시지의 표준의 AVP들은 이전에 표 1에 나타내었다.

"Authentication-Information-Request" 메시지는 TWAN(218)측의 'Access Type = ISWN' 및 'Access Network identity = WLAN'을 포함하도록 확장된다.

도 12의 단계 5에서, "Authentication-Information-Request" 메시지를 수신할 때, HSS(210)는 AKA 절차를 실행한다. 그 결과, HSS(210)는, RAND, XRES, CK, IK, 및 AUTN으로 이루어져 있는, 인증 벡터(AV)를 생성한다.

도 12의 단계 6에서, 그에 부가하여, E-UTRAN에 대해, CK, IK, 및 SN ID의 세트가, 이전에 도 6에 도시된 바와 같이, 새로운 키, 즉 K_ASME를 생성하기 위해 암호 KDF(key derivation function)에 피드된다.

도 12의 단계 7에서, 게다가 WLAN(218)에 대해, CK, IK, 액세스 네트워크 아이덴티티, 및 SQN(sequence number)의 세트가, 이전에 도 7에 도시된 바와 같이, 새로운 키 쌍, 즉 CK' 및 IK'을 생성하기 위해 암호 KDF에 피드된다.

도 12의 단계 8에서, HSS(210)가 AV들 및 키들을 생성했으면, HSS(210)는 그들을 "Authentication-Information-Answer" (RAND, AUTN, XRES, K_ASME, CK', IK', re-authentication ID) 메시지에서 MME(202)에게 송신한다. "Authentication-Information-Answer" 메시지의 표준의 AVP들은 이전에 표 2에 나타내었다.

CK' 및 IK'인, 3개의 정보 엘리먼트들이 "Authentication-Information-Answer" 메시지에 추가된다.

도 12의 단계 9에서, MME(202)는 NAS 암호화를 위해 필요한 키(K_NASenc), NAS 무결성을 위해 필요한 키(K_NASint), 그리고 또한 HeNB 보안 키(K_eNB)를 생성한다. 도 6에 이전에 도시된 바와 같이, 이 키들은 도 12의 단계 8에서 HSS(210)로부터 앞서 수신된, 중간 키(K_ASME)에 기초하여 생성된다.

도 12의 단계 10에서, 이와 유사하게 WLAN에 대해, MME(202)는 도 7에 제시된 WLAN(218)에 대한 모든 필요한 키들, 즉 K_encr, K_aut, K_re, MSK, 및 EMSK를 생성한다. 이 키들은 도 12의 단계 8에서 HSS로부터 앞서 수신된, 중간 키들(CK' 및 IK')에 기초하여 도출된다.

MME(202)는 모든 WLAN 키들(K_encr, K_aut, K_re, MSK, 및 EMSK)을 생성할 수 있다. 이러한 키 생성 기능이 3GPP AAA 서버(212)로부터 MME(202)로 이전된다.

도 12의 단계 11에서, AV들이 HSS(210)로부터 수신되고 E-UTRAN 및 WLAN 키들이 생성되면, MME(202)는 NAS "Authentication Request" 메시지를 송신하는 것에 의해 UE(214)와 상호 인증 프로세스를 개시한다. 따라서 먼저, MME(202)는 "Authentication Request" (RAND, AUTN, re-authentication ID, Access Network Identity) 메시지를 HeNB(220)에게 송신한다. NAS "Authentication Request" 메시지의 정보 엘리먼트들의 전체 목록은 3GPP TS 24.301의 표 8.2.7.1에 나타내어져 있다. UE(214)가 나중에 ISWN(230)의 TWAN(218)측에 접속할 경우에, UE(214)에 의해 사용되도록 MME(202)에 의해 재인증 ID가 생성될 것이다.

'Access Network Identity' 및 'Re-authentication ID'인, 2개의 새로운 정보 엘리먼트들이 "Authentication Request" 메시지에 추가된다. 'Access Network Identity' 정보 엘리먼트는 WLAN 액세스 네트워크 아이덴티티를 (HeNB를 통해) UE에게 전달한다. 이러한 정보 엘리먼트는, 도 12의 7과 유사한 방식으로, UE에서 WLAN 키 생성을 위해 사용되기 위해 필요하다.

도 12의 단계 12에서, HeNB(220)는 NAS "Authentication Request" 메시지를 UE(214)에게 포워딩한다. 're-authentication ID'는, UE(214)가 ISWN(230)의 TWAN(218)에 접속하려고 시도할 때마다, 나중에 사용되기 위해 UE(214)에 저장될 것이다.

도 12의 단계 13에서, 그에 응답하여, UE(214)는 도 5에서 이전에 설명된 AKA 알고리즘을 실행한다. UE(214)는 예상 AUTN(또는 보다 구체적으로는 XMAC), RES, CK, 및 IK를 생성한다. 먼저, UE(214)는 생성된 예상 AUTN이 MME(202)로부터 수신된 AUTN과 매칭하는지를 검증한다. 그러한 경우, UE(214)는 네트워크를 인증한다.

도 12의 단계 14에서, 도 12의 단계 5 및 단계 6와 유사하게, HSS(210)측에서 완료되면, UE(214)는, 중간 키들(K_ASME, CK', IK')을 설정하기 위해, 생성된 키들(CK 및 IK)을 'SN ID' 및 'Access Network Identity'(MME로부터 수신됨)와 같은 다른 파라미터들과 함께 사용한다. K_ASME는 (도 6에 표시된 바와 같은) E-UTRAN 키들를 도출하는 데 사용될 것인 반면, CK', IK'은 (도 7에 도시된 바와 같은) WLAN 키들을 도출하는 데 사용될 것임에 유의한다.

도 12의 단계 15에서, 이 중간 키들에 기초하여, UE(214)는 E-UTRAN 전송 및 WLAN 전송을 위해 필요한 모든 키들을 도출한다. 첫째, (도 7에 따른) E-UTRAN에 대해, UE(214)는 NAS 암호화 키(K_NASenc), NAS 무결성 키(K_NASint), RRC 암호화 키(K_RRCenc), RRC 무결성 키(K_RRCint), 사용자 평면 암호화 키(K_UPenc), 및 사용자 평면 무결성 키(K_UPint)를 도출한다. 둘째, (도 7에 따른) WLAN에 대해, UE(214)는 데이터 암호화 키(K_encr), MAC 인증 키(K_aut), 재인증 키(K_re), 마스터 세션 키(MSK), 및 확장 마스터 세션 키(EMSK)를 도출한다.

도 12의 단계 16에서, UE(214)가 네트워크를 인증할 때, UE(214)는 NAS "Authentication Response" (RES) 메시지를 MME(202)에게 다시 송신한다. 'RES' 정보 엘리먼트는 앞서 도 12의 단계 13에서 생성되었다. NAS "Authentication Response" 메시지의 정보 엘리먼트들의 전체 목록은 3GPP TS 24.301의 표 8.2.8.1에 표로 나타내어져 있다.

도 12의 단계 17에서, HeNB(220)는 NAS "Authentication Response" (RES) 메시지를 MME(202)에게 포워딩한다.

도 12의 단계 18에서, MME(202)가 'RES'를 수신하면, MME(202)는 이를 'XRES'(도 12의 단계 8에서 HSS(210)로부터 수신됨)와 비교한다. 검증이 성공적이면, MME(202)는 UE(214)를 인증한다. 따라서, UE(214)와 네트워크 간의 상호 인증이 성공적으로 완료된다.

도 12의 단계 19에서, MME(202)는 S-GW(Serving GW)(206) 및 P-GW(PDN Gateway)(208)에 대한 세션을 생성하는 것을, 표준의 "Create Session Request" 메시지를 S-GW에게 송신하는 것에 의해, 개시한다. 그에 응답하여, P-GW(208) 및 S-GW(206)는 HeNB(220)로부터의 상향링크 전송들에서 사용될 TEID(Tunneling Endpoint Identifier)들을 식별해주는 "Create Session Response" (S-GW TEID, P-GW TEIDs) 메시지를 MME(202)에게 송신한다.

도 12의 단계 20에서, S-GW/P-GW(1002)에 대한 세션이 설정되면, MME(202)는 "Initial Context Setup Request/Attach Accept" (K_eNB) 메시지에서 HeNB(220) 보안 키(K_eNB)를 HeNB(220)에게 송신한다. 이 메시지는 또한, 상향링크 전송에서 사용될, S-GW의 TEID 및 주소를 포함한다. 이 메시지는 또한 EPS Bearer Identity, NAS SQN, 및 NAS-MAC을 포함한다. NAS SQN은 NAS 메시지의 일련 번호(sequential number)를 나타내고, NAS-MAC은 무결성을 위한 NAS에 대한 MAC(Message Authentication Code)이다. 예를 들어, TAU Request 메시지는 3GPP TS 33.401에 기술된 바와 같이 NAS-MAC에 의해 무결성 보호되어야 한다.

도 12의 단계 21에서, MME(202)로부터 보안 키(K_eNB)를 포함하는 "Attach Accept" 메시지를 수신할 때, 도 6에 따른 HeNB(220)는 E-UTRAN RRC 키들 및 사용자 평면 키들, 즉 K_RRCenc, K_RRCint, K_UPenc, 및 K_UPint를 도출한다.

도 12의 단계 22에서, HeNB(220)는, 표준의 "RRC Connection Reconfiguration" 메시지를 송신하고 표준의 "RRC Connection Reconfiguration Complete" 메시지를 되받는 것에 의해, UE(214)에 대한 RRC 접속 재구성 절차를 개시한다. 3GPP TS 23.401의 그림 5.3.2.1-1(단계 18, 단계 19)은 이 메시지들을 상세히 설명한다.

도 12의 단계 23에서, RRC 접속이 재구성되면, HeNB(220)는 "Initial Context Setup Response" (HeNB TEID, HeNB address) 메시지를 송신하는 것으로 MME(202)에 응답한다. 이 메시지는 하향링크 트래픽을 위해 사용될 HeNB(220)의 TEID 및 주소를 전달한다.

도 12의 단계 24에서, E-UTRAN 어태치를 완료하기 위해, UE(214)는 NAS "Attach Complete" 메시지를 MME(202)에게 송신한다. 보다 구체적으로는, UE(214)는 "Attach Complete" (EPS Bearer Identity, NAS SQN, NAS-MAC) 메시지를 HeNB(220)에게 송신한다. 이어서, HeNB(220)는 NAS "Attach Complete"메시지를 "Uplink NAS Transport "메시지에서 MME(202)에게 포워딩한다. UE(214)와 HeNB(220) 사이의 LTE 전송들이 이제 시작될 수 있다.

도 12의 단계 25에서, 최종적으로 하향링크에 대한 사용자 평면 터널을 설정하기 위해, MME(202)는 S-GW(206)로의 "Modify Bearer Request" (HeNB TEID) 메시지에서 HeNB TEID를 S-GW(206)로 전달한다. S-GW(206)는 "Modify Bearer Response" 메시지를 다시 송신하는 것에 의해 확인(confirm)해준다. 이제, HeNB(220)와 S-GW/P-GW 사이에 GTP 터널이 설정된다.

TWAN 기반 통합 인증/어태치 절차

이 섹션에서, UE(214)가 그의 TWAN(218)측을 통해 ISWN(230)에 접속하려고 시도하는 것으로 가정한다. 도 12에 제시된 통합 인증 착상과 유사하게, UE(214)는 TWAN(218) 및 HeNB(220) 둘 다에 대해 통합 인증되는 것을 목표로 한다. 보다 정확하게는, 먼저 UE(214)는 TWAN(218)에 대해 EAP 인증을 확립(establish)할 것이다. 그렇지만, 3GPP 서버 쪽으로의 표준의 TWAN의 전송과는 달리, TWAN(218)은 새로운 STb 참조점을 거쳐 인증 요청을 전달하기 위해 MME(202)와 통신할 것이다. 2개의 Diameter 기반 메시지들, 즉 "Diameter-EAP-Request" 및 "Diameter-EAP-Answer" 메시지들을 사용하여 STb 참조점을 거쳐 Diameter 프로토콜이 이용될 것이다.

HSS(210), MME(202), TWAN(218), 및 UE(214)를 수반하는 표준의 AKA 알고리즘이 적용될 것이다. UE(214) 및 MME(202) 둘 다는 TWAN 전송에서 사용될 필요한 키들을 생성할 것이다. 3GPP AAA 서버(212)가 더 이상 필요하지 않다는 것에 주목한다. 도 13은 TWAN 기반 통합 인증 및 어태치 절차의 호 흐름을 도시하고 있다.

도 13에서의 호 흐름은 다음과 같이 기술될 수 있다.

도 13의 단계 1에서, IEEE 802.11 표준들에 따라 UE(214)와 TWAN(218) 사이에서 접속이 개시된다.

도 13의 단계 2에서, 인증을 위한 제1 단계로서, TWAN(218)(구체적으로는 TWAP)은, IETF RFC 5448에 정의된, EAP-AKA' 프로토콜에 따라 "EAP-Request/Identity" 메시지를 UE(214)에게 송신한다.

도 13의 단계 3에서, 아이덴티티 요청에 응답하여, UE(214)는 그의 NAI(Network Access Identifier)를 표시하는 "EAP-Response/Identity" (NAI, Unified Authentication) 메시지를 TWAN에게 송신한다(IETF RFC 4282, 3GPP TS 23.003). NAI는, UE(214)가 이전에 인증된 경우, 할당된 가명(pseudonym)이다. 그렇지 않고, 첫 번째 인증(first authentication)인 경우에 NAI는 IMSE이다.

EAP "EAP-Response/Identity" 메시지는 'Unified Authentication' 정보 엘리먼트를 추가하는 것에 의해 확장될 수 있다. 'Unified Authentication' 정보 엘리먼트는 UE(214)가 ISWN(220)의 TWAN(218)측 및 HeNB(220)측 둘 다를 포함하는 ISWN 기반 통합 인증을 수행할 필요가 있다는 UE(214)로부터의 지시자(indicator)이다. 예를 들어, 'handover indicator'를 포함하도록 이전에 행해진 바와 같이 EAP 메시지들이 확장될 수 있음을 언급한다(3GPP TS 23.402에서의 16.1.4A.2 절).

도 13의 단계 4에서, 이 TWAN(218)이 ISWN(230)의 일부이기 때문에, TWAN(218)은 그 자신 및 자신의 ISWN(230)의 식별 정보도 MME(202)에게 전달할 수 있다. 보다 구체적으로는, TWAN(218)은 "Diameter-EAP-Request" (EAP-Response/Identity= NAI, Access Type = ISWN, Access Network Identity=WLAN) 메시지를 MME(202)에게 송신한다. ISWN Access Type을 포함시키는 것에 의해, MME(202)는 TWAN(218)에 어태치된 다중 RAT UE(214)가 ISWN(230)의 TWAN(218) 및 HeNB(220) 둘 다에 대해 인증받으려고 시도하고 있다는 것을 인식하게 된다.

STb 참조점을 거치는 새로운 메시지, 즉, IETF RFC 4072에서 (AAA 서버와 TWAP 사이의) STa를 거치는 것으로 정의된 것과 유사한, "Diameter-EAP-Request" 메시지가 추가된다. 게다가, "Access Type = ISWN" 및 "Access Network Identity = WLAN"이 "Diameter-EAP-Request" 메시지에 추가될 수 있다.

도 13의 단계 5 내지 단계 11은 도 12의 단계 4 내지 단계 10과 유사하다. 이 단계들은 인증 벡터들의 요청에 관한 MME(202)와 HSS(210) 사이의 통신을 포함한다. 그에 부가하여, 이 단계들은 또한 HSS(210) 및 MME(202)에서의 E-UTRAN 및 TWAN(218)의 키 생성들을 포함한다.

도 13의 단계 12에서, MME(202)에서 인증 벡터들이 이용가능할 때, MME(202)는 "Diameter-EAP-Answer" (EAP-Request/AKA'-Challenge) 메시지를 TWAN(218)에게 송신한다. "EAP-Request/AKA'-Challenge" 페이로드는 UE(214)에서의 인증 및 키 생성에 필요한 (RAND, AUTN, re-authentication ID, Access network Identity)를 포함한다. 재인증 ID는 다가올 빠른 재인증 요청들에서 UE의 아이덴티티로서 사용될 것이다.

IETF RFC 4072에서 (AAA 서버(212)와 TWAP(224) 사이의) STa를 거치는 것으로 정의된 것과 유사한, STb 참조점을 거치는 새로운 메시지, 즉 "Diameter-EAP-Answer" 메시지가 추가된다. 어떤 새로운 AVP들도 "Diameter-EAP-Answer" 메시지에 추가되지 않는다.

도 13의 단계 13에서, TWAN(218)(상세하게는, TWAP(224))은 EAP-Request/AKA'-Challenge (RAND, AUTN, re-authentication ID, Access network Identity)를 UE(214)에게 포워딩한다.

도 13의 단계 14 내지 단계 16에서, 도 12에서의 단계 13 내지 단계 15와 유사하게, UE(214)는 단계 14 내지 단계 16에서 AUTN 그리고 또한 WLAN 및 E-UTRAN에 필요한 키들을 생성하기 위해 AKA 알고리즘을 실행한다. UE(214)는 수신된 AUTN을 그 자신이 생성한 AUTN과 비교하는 것에 의해 네트워크를 인증한다. 마지막으로, UE(214)는 MME(202)에게 송신될 RES를 생성한다.

도 13의 단계 17에서, 네트워크가 UE(214)에 의해 인증될 때, UE(214)는 "EAP-Response/AKA'-Challenge" (RES) 메시지를 TWAN(218)(구체적으로는, TWAP(224))에게 송신하는 것으로 응답한다.

도 13의 단계 18에서, TWAN은, "Diameter-EAP-Request"에 포함된, EAP "EAP-Response/AKA'-Challenge" (RES) 메시지를 새로운 STb 참조점을 거쳐 MME(202)에게 포워딩한다.

도 13의 단계 19에서, MME(202)는 도 12의 단계 18과 유사한 방식으로 UE(214)를 인증한다.

도 13의 단계 20에서, UE(214)가 인증되면, MME(202)는 EAP 인증의 성공을 알려주기 위해 EPS 페이로드(EAP-Success)를 담고 있는 "Diameter-EAP-Answer" (EAP-Success, EAP-Master-Session-Key) 메시지를 TWAN에게 송신한다. 게다가, 이 메시지는 UE(214)와 TWAN(218) 사이에서 그들의 추가적인 통신에 사용될 'EAP-Master-Session-Key' (MSK) AVP를 TWAN(218)에게 전달한다.

도 13의 단계 21에서, 인증 절차를 완료하기 위해, TWAN(218)은 "EAP-Success" 메시지를 UE(214)에게 포워딩한다.

도 13의 단계 22에서, 세션을 생성하기 위해, TWAN(218)은, S-GW(206) 및 P-GW(208)에게 포워딩되는, "Create Session Request" (TWAN TEID) 메시지를 S1-MME 참조점을 거쳐 MME(202)에게 송신한다.

도 13의 단계 23에서, 그에 응답하여, P-GW/S-GW는, (S1-MME 참조점을 거쳐) TWAN(218)에게 포워딩되는, "Create Session Response" (S-GW TEID) 메시지를 MME(202)에게 송신한다. TWAN(218), S-GW(206), 및 P-GW(208) 사이에 이제 GTP 터널이 설정된다.

도 13의 단계 24에서, UE(214)는 표준의 계층 3 어태치 요청(예컨대, DHCPv4 요청)을 송신할 수 있다. 그에 응답하여, 할당된 IPv4 주소를 갖는 DHCPv4 메시지가 UE에게 송신된다. UE(214)와 TWAN(218) 사이에 이제 IEEE 802.11 표준들을 사용하는 WLAN 통신이 설정된다.

인터-RAT 핸드오버 절차들에서의 빠른 재인증

인트라-ISWN HeNB로부터 TWAN으로의 핸드오버 절차에서의 빠른 재인증

이 섹션에서, UE(214)가 처음에 HeNB(220)에 어태치하는 것에 의해 통합 인증을 수행한 시나리오를 고려한다. 이어서, UE(214)는 WLAN(218)으로 전환하기로 결정한다. UE(214)가 HSS(210)에 대해 이미 인증받았기 때문에, 전체 인증 절차를 또다시 실행할 필요가 없다. 그 대신에, UE(214) 및 MME(202)는, WLAN 액세스 네트워크들에 대한 새로운 키들(예컨대, MSK)만이 생성되는, 빠른 재인증만을 실행하면 된다. 도 14는 동일한 ISWN(230) 내에서의 HeNB로부터 WLAN으로의 핸드오버 시나리오에서의 빠른 재인증 절차에 대한 호 흐름을 도시하고 있다. 살펴볼 것인 바와 같이, 새로운 인증 벡터들을 생성할 필요가 없다.

TWAN(218)이 아닌 MME(202)가 새로운 WLAN 키들(예컨대, MSK)을 생성하는 일을 책임지는 네트워크 엔티티일 것이다. 이것은, 전형적으로 인트라-LTE E-UTRAN 핸드오버 키들을 생성하기 위해 (TWAN(218)이 아니라) AAA 서버가 빠른 재인증을 수행할 수 있게 하거나(3GPP TS 33.402의 6.3 절) (HeNB(220)가 아니라) MME(202)가 인트라-LTE E-UTRAN 핸드오버 키들을 생성할 수 있게 하는, 3GPP 가이드라인들과 부합한다(섹션 212).

도 14에서의 호 흐름은 다음과 같이 설명될 수 있다.

도 14의 단계 0에서, UE(214), HeNB(220), 및 S-GW/P-GW 사이에 LTE 접속이 이미 존재한다. HeNB(220)가 ISWN의 일부인 것으로 가정된다. 게다가, HeNB(220) 및 WLAN(218) 둘 다를 포함하는 ISWN(230)에 대한 통합 인증 절차가 처음에 앞서 논의된 새로운 절차에 따라 행해졌다.

도 14의 단계 1에서, UE(214)는 동일한 ISWN 내에서 TWAN(218)으로의 인터-RAT 핸드오버를 하기로 결정한다. 그에 따라, UE(214)는 TWAN(218)과의 접속을 개시한다.

도 14의 단계 2에서, TWAN(218)측으로부터의 첫 번째 단계로서, TWAN(218)은 UE의 아이덴티티를 문의하기 위해 "EAP-Request/Identity" 메시지를 UE(214)에게 송신한다.

도 14의 단계 3에서, 그에 응답하여, UE(214)는 "EAP-Response/Identity" (re-authentication ID, handover) 메시지를 TWAN(218)에게 송신하는 것으로 응답한다. 이 메시지에서, UE(214)는, 선행된 초기 통합 인증 절차(도 12의 단계 12)에서 UE(214)에게 송신되었던, 재인증 ID를 사용하여 그의 아이덴티티를 알려준다. 게다가, UE(214)는 자신이 TWAN(218)으로의 핸드오버를 하고 있다는 것을 알려준다. EAP-AKA'가 'handover indicator' 및 'requested APN' 정보 엘리먼트를 담고 있도록 이전에 확장되었다(3GPP TS 23.402의 16.1.4A.2 절)는 것에 유의한다. 따라서, 이 단계에서 'handover indicator'를 포함시키는 것에 의해 이 EAP 확장을 사용하고 있다.

도 14의 단계 4에서, TWAN(218)은, "Diameter-EAP-Request" (EAP-Response/Identity: re-authentication ID, Access Type = ISWN, Access Network Identity=WLAN, Access Network Identity, Handover)를 송신하는 것에 의해, 수신된 메시지를 (새로운 STb 참조점을 거쳐) MME에게 전달한다. 이 메시지는 기존의 UE(214)(그의 재인증 ID에 의해 인식됨)가 그의 ISWN(230)의 WLAN(218)측으로 핸드오버하는 것을 목표로 한다는 것을 MME(202)에 알려준다.

도 14의 단계 5에서, MME(202)는 're-authentication ID' 정보 엘리먼트를 수신하고, 빠른 재인증 절차를 사용하기로 결정한다. 따라서, MME(202)는 도 13에서의 단계 5 내지 단계 10을 스킵(skip)할 것이다. 이어서, MME(202)는 "Diameter-EAP-Answer" (EAP-Request/AKA'-Reauthentication: COUNTER, NONCE, MAC, re-authentication ID) 메시지를 새로운 STb 참조점을 거쳐 TWAN(218)에게 송신한다. 이 메시지에서, MME(202)는 신규 COUNTER 값(전체 인증 절차에서 1로 초기화됨), NONCE, MAC, 및 새로운 재인증 ID를 포함한다. MAC은 NONCE를 통해 계산되고, 새로운 재인증 ID가 다음 빠른 재인증에서 사용될 것이다. 이 속성들은 표준의 "EAP-Request/AKA'-Reauthentication" EAP 메시지를 따른다.

도 14의 단계 6에서, TWAN(218)이 상기 메시지를 수신하면, TWAN(218)은 그의 페이로드(COUNTER, NONCE, MAC, re-authentication ID)를 포함하는 "EAP-Request/AKA'-Reauthentication" 메시지를 UE(214)에게 포워딩한다.

도 14의 단계 7에서, 그 메시지를 수신할 때, UE(214)는 카운터가 신규 값을 갖는지 및 MAC이 올바르게 계산되었는지를 검증한다. 그러면, UE(214)는 "EAP-Response/AKA'-Reauthentication" (COUNTER, MAC) 메시지를 TWAN(218)에게 송신하는 것으로 응답한다. COUNTER는 MME(202)로부터 수신된 것과 동일하고, MAC은 EAP 패킷 및 NONCE(MME(202)로부터 수신됨)를 통해 계산된다. 이 속성들은 IETF RFC 4187의 9.8 절에 정의된 표준의 "EAP-Response/AKA'-Reauthentication" EAP 메시지를 따른다.

도 14의 단계 8에서, TWAN(218)은 UE(214)로부터 수신된 EAP 페이로드를 "Diameter-EAP-Request" (EAP-Response/AKA'-Reauthentication) 메시지에 임베딩하고 이를 새로운 STb 참조점을 거쳐 MME(202)에게 송신한다.

도 14의 단계 9에서, 재인증 응답이 수신되고, MME(202)는 WLAN 마스터 세션 키(MSK)를 재생성한다. 새로운 MSK는 재인증 키(K_re), 재인증 ID, COUNTER, 및 NONCE에 기초하여 생성된다.

도 14의 단계 10에서, MME(202)는 "Diameter-EAP-Answer" (EAP-Success, MSK) 메시지를 새로운 STb 참조점을 거쳐 TWAN(218)에게 송신한다. 그에 따라, TWAN(218)은 그와 UE(214) 간의 전송에서 사용될 MSK를 저장할 것이다.

도 14의 단계 11에서, 빠른 재인증 절차를 완료하기 위해, TWAN(218)은 "EAP-Success" 메시지를 UE(214)에게 포워딩한다.

도 14의 단계 12에서, 게다가, TWAN(218)은, S-GW(206) 및 P-GW(208)에게 포워딩되는, "Create Session Request" (TWAN TEID)를 S1-MME 참조점을 거쳐 MME(202)에게 송신한다.

도 14의 단계 13에서, 응답으로서 그리고 'Handover' 지시가 주어지면, P-GW(208)는 동일한 IP 주소를 UE(214)에 재할당한다. 이어서, P-GW(208)는, MME(202)에게 그리고 최종적으로 (S1-MME 참조점을 거쳐) TWAN(218)에게 포워딩되는, "Create Session Response"를 S-GW(206)에게 송신한다. 그 결과, TWAN(218), S-GW(206), 및 P-GW(208) 사이에 GTP 터널이 설정된다.

도 14의 단계 14에서, UE(214)가 TWAN으로부터 "EAP-Success" 메시지를 수신하면, UE(214)는, 도 14의 단계 9와 유사하게, 새로운 WLAN MSK를 생성한다. 게다가, UE(214)는 표준의 계층 3 어태치 요청(예컨대, DHCPv4 요청)을 송신할 수 있다. 그에 응답하여, 할당된 IPv4 주소를 갖는 DHCPv4 메시지가 UE에게 송신된다. 그 결과, 핸드오버가 이제 완료되고, UE(214)는 TWAN(218)과의 WLAN 접속을 갖는다.

도 14의 단계 15에서, 마지막으로, 3GPP EPS 베어러 해제 절차(3GPP EPS bearer release procedure)가 PGW(208)에 의해 개시된다. 보다 구체적으로는, 3GPP TS 23.402의 5.6.2.2 절에 기술된, P-GW(208) 개시 PDN 접속해제 절차가 수행된다.

EAP-RP(EAP-Re-authentication Protocol) (RFC 6696)에 기초한 최적화된 재인증 메커니즘을 기술하는, 대안의 메커니즘이 이하에서 설명된다. EAP-RP 프로토콜은 전체 EAP 인증 또는 AKA 인증 프로토콜 또는 그 점에 대해서라면 임의의 전체 인증 프로토콜 이후에 수행될 수 있다. EAP-RP는 단일 왕복(single round-trip)을 사용하여 재인증을 달성한다. ORTA(One-Round-Trip Authentication)와 같은 유사한 메커니즘들이 재인증을 수행하는 데 사용될 수 있다. EAP-FAST 메커니즘들이 또한 이용될 수 있다.

ORTA와 같은 메커니즘들은 인증/IP 주소 할당에 수반되는 레이턴시를 추가로 감소시키기 위해 이용될 수 있다. 전체 인증 절차가 회피되고 EAP 인증이 직렬 방식으로(in a serial manner) 수행된 후에 DHCP 메시지를 명시적으로 시작할 필요 없이 UE가 ORTA 메시지들을 사용하여 IP 주소 할당을 임의로 요청할 수 있도록, ORTA는 ORTA ID를 사용한다. ORTA를 사용하여, DHCP 프로세스가 ORTA 메시징을 병렬 방식으로(in a parallel manner) 사용하여 암시적으로 또는 명시적으로 수행된다.

도 15에서의 호 흐름은 다음과 같이 기술될 수 있다.

도 15의 단계 0에서, UE(214), HeNB(215), 및 S-GW/P-GW(1002) 사이에 LTE 접속이 이미 존재하는 것으로 가정한다. HeNB(220)가 ISWN(230)의 일부인 것으로 가정된다. 게다가, HeNB(220) 및 WLAN(218) 둘 다를 포함하는 ISWN(230)에 대한 통합 인증 절차가 처음에 도 12와 관련하여 논의된 새로운 절차에 따라 행해졌다. 인증 프로세스의 결과로서, 재인증에 대한 컨텍스트가 EAP-RP 프로토콜에 기초하여 생성된다. EAP 인증의 일부로서 생성되는 확장 마스터 세션 키(EMSK)는, EMSKName /keyNameNAI에 의해 식별되는 재인증 컨텍스트 정보와 연관될 수 있는, 재인증 루트 키(Re-authentication Root Key, rRK)를 생성하는 데 사용될 수 있다. 재인증 무결성 키(rIK) 및 다른 연관된 키들과 같은, rRK에 기초한 도출 키(derivative key)들이 UE에서도 MME(202)에서도 생성될 수 있다. 도메인-특정(domain-specific) 키들(예컨대, DS-rRK) 및 연관된 키들(예컨대, DS-rIK, DS-rCK)이 또한 생성될 수 있다.

도 15의 단계 1에서, UE(214)가 동일한 ISWN(230) 내에서 TWAN(218)으로의 인터-RAT 핸드오버를 하기로 결정하는 것으로 가정한다. 그에 따라, UE(214)는 TWAN(218)과의 접속을 개시한다.

도 15의 단계 2에서, TWAN측으로부터의 첫 번째 단계로서, TWAN은 UE의 아이덴티티를 문의하기 위해 "EAP-Request/Identity" 메시지를 UE(214)에게 송신한다. 이것은 임의적이거나 특정의 EAP 재인증 요청 아이덴티티 메시지로 대체될 수 있다.

도 15의 단계 3에서, UE는 "EAP-Initiate/Re-auth/bootstrap" (keyNameNAI, SEQ, MAC) 메시지를 TWAN(218)에게 송신한다. 이 메시지에서, UE(214)는 이전의 초기 통합 인증 절차(도 12에서의 단계 12)의 일부로서 생성되었던, 재인증 컨텍스트 keyNameNAI를 알려준다. 게다가, UE(214)는 자신이 TWAN(218)으로의 핸드오버를 하고 있다는 것을 알려준다. "handover" 지시는 명시적이거나 암시적일 수 있다. 특정의 TWAN(218)과 연관된 신규의 유효한 키들이 존재하지 않으면, UE(214)는, 핸드오버가 일어나지 않았더라도, 이 프로세스를 개시할 수 있다. EAP-RP 프로토콜에 기술된 메커니즘들을 사용하여 메시지 인증 코드 또는 인증 태그가 생성된다. MAC/Auth Tag를 생성하기 위해 SEQ 값은 물론 rIK가 메시지와 함께 사용된다.

도 15의 단계 4에서, TWAN(218)은, "Diameter-EAP-Request" (EAP-Initiate/ Re-auth/bootstrap: keyNameNAI, Access Type = ISWN, Access Network Identity=WLAN, Access Network Identity, SEQ, MAC)을 송신하는 것에 의해, 수신된 메시지를 (새로운 STb 참조점을 거쳐) MME(202)에게 전달한다. 이 메시지는 기존의 UE(그의 keyNameNAI에 의해 인식됨)가 그의 ISWN(230)의 WLAN측으로 핸드오버하는 것을 목표로 한다는 것을 MME(202)에 알려준다.

도 15의 단계 5에서, MME(202)에 의해 수신된 keyNameNAI에 기초하여, MME(202)는 재인증 컨텍스트 정보가 있는지 체크하고 EMSKName과 연관된 rIK를 획득한다. MME(202)는 EAP-RP 프로토콜에 의해 기술된 메커니즘들을 사용하여 MAC/Auth Tag를 검증한다. MME(202)는 SEQ 및 rRK를 사용하여 rMSK를 생성한다.

도 15의 단계 6에서, MME(202)는 "Diameter-EAP-Answer" (EAP-Success (rMSK, MAC))를 생성하고 이를 TWAN(218)에게 송신한다.

도 15의 단계 7에서, TWAN(218)이 그 메시지를 수신하면, TWAN(218)은 rMSK를 저장하고, 이어서 MAC/Auth Tag를 포함하는 그의 페이로드를 포함하는 "EAP-Success" (MAC) 메시지를 UE(214)에게 포워딩한다.

도 15의 단계 8에서, 그 메시지를 수신할 때, UE(214)는 SEQ가 정렬되어 있는지(in order) 및 MAC이 올바르게 계산되었는지를 검증한다. UE(214)는 이어서 MME(202)와 유사한 메커니즘들을 사용하여 rMSK를 도출한다. 802.11 메시지들을 보호하기 위해 다른 관련성 있는 TWAN-특정 키들이 도출된다.

도 15의 단계 9에서, 게다가, TWAN(218)은, S-GW(206) 및 P-GW(208)에게 포워딩되는, "Create Session Request" (TWAN TEID)를 S1-MME 참조점을 거쳐 MME(202)에게 송신한다.

도 15의 단계 10에서, 응답으로서 그리고 'Handover' 지시가 주어지면, P-GW(208)는 동일한 IP 주소를 UE(214)에 재할당한다. 이어서, P-GW(208)는, MME(202)에게 그리고 최종적으로 (S1-MME 참조점을 거쳐) TWAN(218)에게 포워딩되는, "Create Session Response"를 S-GW(206)에게 송신한다. 그 결과, TWAN(218), S-GW(206), 및 P-GW(208) 사이에 GTP 터널이 설정된다.

도 15의 단계(11) 및 단계(12)에서 이전의 메시지 흐름들을 따른다.

인트라-ISWN TWAN으로부터 HeNB로의 핸드오버 절차에서의 빠른 재인증

이 섹션에서, ISWN(230) 내에서 TWAN(218)으로부터 HeNB(220)로의 핸드오버 시나리오를 고려한다. 처음에, ISWN(230)의 TWAN(218)에 대해 UE(214)를 인증하기 위해 통합 인증 절차가 수행되었다고 가정한다. 이어서, UE(214)는 ISWN의 HeNB(220)측으로 핸드오버하기로 결정한다. 이 경우에, 전체 인증 절차를 실행할 필요가 없다. 그 대신에, 키 재생성에만 중점을 둔, UE(214)와 MME(202) 사이의 빠른 재인증 절차가 수행될 수 있다. HSS(210)는 빠른 재인증 절차에 관여되지 않을 것이다. 도 16은 인트라-ISWN TWAN으로부터 HeNB로의 핸드오버 시나리오에서의 빠른 재인증 및 핸드오버 절차들에 대한 호 흐름을 도시하고 있다.

도 16에서의 호 흐름은 다음과 같이 기술될 수 있다.

도 16의 단계 0에서, UE(214)가 TWAN(218) 및 S-GW/P-GW(1002)와의 기존의 접속을 가지고 있다고 가정한다. TWAN(218)은 ISWN(230)의 일부이다. 이 접속은 처음에 TWAN 기반 통합 인증/권한부여 절차를 사용하여 인증되었다.

도 16의 단계 1에서, UE(214)가, 이전에 인증된 ISWN(230)의 일부인, HeNB(220)로 핸드오버하기로 결정한다고 가정한다. 먼저, UE(214)는 'handover' 지시를 포함하는, NAS "Attach Request" (Handover) 메시지를 HeNB(220)에게 송신한다.

도 16의 단계 2에서, 그에 응답하여, HeNB(220)는 "Attach Request" (Handover) 메시지를 MME(202)에게 포워딩한다.

도 16의 단계 3에서, MME(202)가 인트라-ISWN 인터-RAT 핸드오버 지시를 수신하면, MME(202)는 빠른 재인증 절차를 실행할 수 있다. 환언하면, MME(202)는 도 12의 단계 4 내지 단계 18을 스킵한다. 이어서, 도 12에서의 단계 19와 유사하게 MME(202), S-GW(206), 및 P-GW(208) 사이에서 표준의 세션 생성 절차가 수행된다. "Create Session Request" 메시지들은 IMSI, Handover Indication, 및 APN을 포함할 것이다. 응답으로서 그리고 'Handover' 지시가 주어지면, P-GW(208)는 동일한 IP 주소를 UE(214)에 재할당한다. 이어서, P-GW/S-GW(1002)는 "Create Session Response" (IP address, S-GW TEDI, P-GW TEID) 메시지를 다시 MME(202)에게 송신할 것이다.

도 16의 단계 4에서, 핸드오버 세션이 생성되면, MME(202)는 그의 로컬적으로 유지되는 NCC 값을 1만큼 증가시키고, 그의 저장된 K_ASME 및 그의 로컬적으로 유지되는 NH 값을 사용하여 신규 NH 값을 계산한다(3GPP TS 33.401의 부록 A.4). NAS 보안 키들의 경우, MME(202)가 초기 통합 인증 절차(도 13의 단계 10)에서 도출된 K_NASenc 및 K_NASint의 버전들을 이미 저장하고 있다는 것에 유의한다.

도 16의 단계 5에서, MME(202)는 "Initial Context Setup Request/Attach Accept" (NH, NCC) 메시지를 HeNB(220)에게 송신하는 것에 의해 어태치 요청을 수락(accept)한다.

도 16의 단계 6에서, HeNB(220)는, 타깃 HeNB PCI(physical cell ID) 및 그의 frequency EARFCN-DL(타깃 물리 셀 하향링크 주파수)에 부가하여, 수신된 (NH, NCC)를 사용하여 새로운 보안 키(K_eNB)를 생성한다. 하나의 생성 함수(generation function)가 3GPP TS 33.401의 부록 A.5에 기술되어 있다.

도 16의 단계 7에서, 새로운 KeNB가 생성되면, HeNB는 K_eNB에 기초하여 모든 부가의 필요한 E-UTRAN 키들, 즉 (K_RRCenc, K_RRCint, K_UPenc, K_UPint)를 도출할 것이다.

도 16의 단계 8에서, HeNB(220)에서 키 생성 프로세스가 완료되면, HeNB(220)는 새로운 NCC 값을 담고 있는 "Handover Command" (NCC) 메시지를 UE(214)에게 송신한다. "Handover Command" 메시지에 'NCC' 정보 엘리먼트를 포함시키는 것은 3GPP TS 33.401의 7.2.8.4.3 절에 언급되어 있다.

도 16의 단계 9에서, UE(214)가 NCC 값을 수신하면, UE(214)는 먼저, MME(202)가 도 16의 단계 4에서 했던 것과 유사한 방식으로, 그의 저장된 K_ASME 및 그의 로컬적으로 유지된 NH를 사용하여 신규 NH를 생성한다. 둘째, UE(214)는, HeNB(220)가 도 16의 단계 6에서 했던 것과 유사하게, (NH, NCC, target PCI, frequency EARFCN-DL)을 사용하여 K_eNB를 생성한다. NAS 보안 키들의 경우, UE(214)가 초기 통합 인증 절차(도 13의 단계 16)에서 도출된 K_NASenc 및 K_NASint의 버전들을 이미 저장하고 있다는 것에 유의한다.

도 16의 단계 10에서, UE(214)는, HeNB(220)가 도 16의 단계 [0175]에서 했던 것과 유사하게, K_eNB에 기초하여 모든 필요한 E-UTRAN 키들(K_RRCenc, K_RRCint, K_UPenc, K_UPint)을 도출한다.

도 16의 단계 11 내지 단계 14에서, "RRC Connection Reconfiguration", "Initial Context Setup Response", "Attach Complete", 및 "Modify Bearer Request/Response" 메시지들이 도 12의 단계 22 내지 단계 25와 유사하게 교환된다. 마지막으로, 핸드오버 절차가 완료되고 새로운 LTE 접속 및 연관된 GTP 터널이 설정된다.

도 16의 단계 15에서, PDN GW(208)는 3GPP TS 23.402의 6.12 절에 정의된 바와 같이 TWAN(218)에서 자원 할당 비활성화 절차를 개시한다.

TWAN으로부터 eNB로의 핸드오버 절차에서의 빠른 재인증

이 섹션에서, UE(214)가, ISWN(230)의 일부인, TWAN(218)으로부터 매크로 eNB(1702)로 가는 시나리오를 고려한다. 이 시나리오는 가입자가 그의 집 또는 사무실(ISWN/TWAN) 밖으로 나가서 도로(매크로 eNB(1702)) 위를 가는 경우와 비슷하다. 도 17은 이 경우에서의 호 흐름을 도시하고 있다. 도시된 바와 같이, 이는 TWAN으로부터 HeNB로의 핸드오버에서의 빠른 재인증 경우와 매우 유사하다. 호 흐름의 상세들은 도 16에서의 상세와 유사하고, 따라서 단계들을 여기서 또다시 반복할 필요는 없을 것이다.

메시지 확장들

이 섹션에서, 앞서 제시된 절차들을 가능하게 하는 데 필요한 메시지와 프로토콜 확장을 소개한다.

RRC: "RRC Connection Setup Complete" 메시지

도 12의 단계 12에서, 새로운 'Unified Authentication' 정보 엘리먼트를 포함시키기 위해 "RRC Connection Setup Complete" 메시지를 수정한다. 'Unified Authentication' 정보 엘리먼트가 세트(set)되어 있으면, 이는 UE(214)가 통합 인증 절차를 갖기를 원한다는 것을 의미한다. 표 7은, 볼드체로(in bold) 나타낸 새로운 'Unified Authentication' 정보 엘리먼트에 부가하여, "RRC Connection Setup Complete" 메시지의 표준의 정보 엘리먼트들을 나타내고 있다.

S1-AP: "Initial UE Message" 메시지

도 12의 단계 12에서, ISWN 구성 파라미터들 중 일부를 "Initial UE Message" 메시지에 포함시킨다. 표 8은 새로운 정보 엘리먼트들, 즉 'Access Type = ISWN' 및 'Access Network Identity = WLAN'에 부가하여, "Initial UE Message" 메시지의 표준의 정보 엘리먼트들을 나타내고 있다(3GPP TS 36.413의 9.1.7.1 절).

NAS: "Authentication Request" 메시지

도 12의 단계 11 및 단계 12에서, MME(202)는 NAS "Authentication Request" 메시지를 ISWN(230)에게 송신한다. 인증 벡터들(RAND, AUTN)에 부가하여, MME(202)는, 'Re-authentication ID' 및 'Access Network Identity= WLAN'인, 2개의 새로운 정보 엘리먼트들을 송신한다. 재인증 ID는 핸드오버를 위한 다가올 빠른 재인증 절차에서 UE(214)를 식별하는 데 사용될 것이다(예컨대, 도 5-4의 단계 3). 액세스 네트워크 아이덴티티는 CK' 및 IK' 키들을 도출하는 데 이를 이용하기 위해 UE에 피드된다(도 12의 단계 14). 표 9는 새로운 'Re-authentication ID' 및 'Access Network Identity' 정보 엘리먼트와 함께 "Authentication Request" 메시지(3GPP TS 24.301의 8.2.7 절)의 표준의 정보 엘리먼트들을 나타내고 있다.

EAP: "EAP-Response/Identity" 메시지

IETF FRC 4187의 9.2 절은, UE의 아이덴티티(네트워크 액세스 식별자)를 알려주기 위해 UE에 의해 송신되는, "EAP-Response/Identity"를 기술한다. 도 13의 단계 3에서, 새로운 정보 엘리먼트 즉, 'Unified Authentication'을 "EAP-Response/Identity" 메시지에 추가한다. 'Unified Authentication' 정보 엘리먼트는 이진 값(0 또는 1)을 취한다. 'Unified Authentication' 정보 엘리먼트가 세트되어 있으면, 이는 UE가 통합 인증 절차를 갖기를 원한다는 것을 의미한다.

S6a 참조점을 거치는 Diameter 기반 메시지들

"Authentication-Information-Request" 메시지

다수의 경우들(예컨대, 도 12의 단계 4)에서, MME(202)는 인증 벡터들을 요청하기 위해 "Authentication-Information-Request" 메시지를 HSS(210)에게 송신한다. HSS(210)가 WLAN에 대한 키들(CK' 및 IK')도 생성할 수 있도록, 'Access Network Identity=WLAN' 정보 엘리먼트가 이 메시지에 추가된다. 표 10은 "Authentication-Information-Request" 메시지의 표준의 정보 엘리먼트들(3GPP TS 29.272의 표 5.2.3.1.1/1)은 물론 새로운 'Access Network Identity' 정보 엘리먼트를 나타내고 있다.

"Authentication-Information-Answer" 메시지

다수의 경우들(예컨대, 도 12의 단계 8)에서, HSS(210)는 인증 벡터들 및 키들을 전달하기 위해 "Authentication-Information-Answer" 메시지를 MME(202)에게 송신한다. 'CK'', 'IK'', 및 're-authentication ID' 정보 엘리먼트들이 이 메시지에 추가된다. 표 11은 Authentication-Information-Answer" 메시지의 표준의 정보 엘리먼트들(3GPP TS 29.272의 표 5.2.3.1.1/2)은 물론 새로운 정보 엘리먼트들을 나타내고 있다.

새로운 STb 참조점을 거치는 Diameter 기반 메시지들

"Diameter-EAP-Request" 메시지

도 13 및 도 14의 단계 4에서, TWAN(218)(상세하게는, TWAP(224))과 MME(202) 사이의 새로운 STb 참조점을 거쳐 "Diameter-EAP-Request" 메시지가 사용된다. 게다가, TWAN(218)으로부터 MME(202)로 전달될 'Access Type = ISWN' 및 'Access Network Identity=WLAN' AVP들이 추가된다. 표준의 AVP들(IETF RFC 4072의 3.1 절) 및 새로운 AVP들(볼드체)은 다음과 같다.

<Diameter-EAP-Request> ::= < Diameter Header: 268, REQ, PXY >

< Session-Id >

{ Auth-Application-Id }

{ Origin-Host }

{ Origin-Realm }

{ Destination-Realm }

{ Auth-Request-Type }

[ Destination-Host ]

[ NAS-Identifier ]

[ NAS-IP-Address ]

[ NAS-IPv6-Address ]

[ NAS-Port ]

[ NAS-Port-Id ]

[ NAS-Port-Type ]

[ Origin-State-Id ]

[ Port-Limit ]

[ User-Name ]

{ EAP-Payload }

[ EAP-Key-Name ]

[ Service-Type ]

[ State ]

[ Authorization-Lifetime ]

[ Auth-Grace-Period ]

[ Auth-Session-State ]

[ Callback-Number ]

[ Called-Station-Id ]

[ Calling-Station-Id ]

[ Originating-Line-Info ]

[ Connect-Info ]

* [ Framed-Compression ]

[ Framed-Interface-Id ]

[ Framed-IP-Address ]

* [ Framed-IPv6-Prefix ]

[ Framed-IP-Netmask ]

[ Framed-MTU ]

[ Framed-Protocol ]

* [ Tunneling ]

* [ Proxy-Info ]

* [ Route-Record ]

[Access-Type = ISWN]

[Access-Network-Identity=WLAN]

* [ AVP ]

"Diameter-EAP-Answer" 메시지

다수의 경우들(예컨대, 도 13의 단계 12)에서, MME(202)는 "Diameter-EAP-Answer" 메시지를 새로운 STb 참조점을 거쳐 TWAN(218)에게 송신한다. IETF RFC 4072의 3.2 절로부터 이하에 복사된 표준의 AVP들 이외의, 어떤 부가의 AVP들도 필요하지 않다.

<Diameter-EAP-Answer> ::= < Diameter Header: 268, PXY >

< Session-Id >

{ Auth-Application-Id }

{ Auth-Request-Type }

{ Result-Code }

{ Origin-Host }

{ Origin-Realm }

[ User-Name ]

[ EAP-Payload ]

[ EAP-Reissued-Payload ]

[ EAP-Master-Session-Key ]

[ EAP-Key-Name ]

[ Multi-Round-Time-Out ]

[ Accounting-EAP-Auth-Method ]

[ Service-Type ]

* [ Class ]

* [ Configuration-Token ]

[ Acct-Interim-Interval ]

[ Error-Message ]

[ Error-Reporting-Host ]

* [ Failed-AVP ]

[ Idle-Timeout ]

[ Authorization-Lifetime ]

[ Auth-Grace-Period ]

[ Auth-Session-State ]

[ Re-Auth-Request-Type ]

[ Session-Timeout ]

[ State ]

* [ Reply-Message ]

[ Origin-State-Id ]

* [ Filter-Id ]

[ Port-Limit ]

[ Callback-Id ]

[ Callback-Number ]

[ Framed-Appletalk-Link ]

* [ Framed-Appletalk-Network ]

[ Framed-Appletalk-Zone ]

* [ Framed-Compression ]

[ Framed-Interface-Id ]

[ Framed-IP-Address ]

* [ Framed-IPv6-Prefix ]

[ Framed-IPv6-Pool ]

* [ Framed-IPv6-Route ]

[ Framed-IP-Netmask ]

* [ Framed-Route ]

[ Framed-Pool ]

[ Framed-IPX-Network ]

[ Framed-MTU ]

[ Framed-Protocol ]

[ Framed-Routing ]

* [ NAS-Filter-Rule ]

* [ QoS-Filter-Rule ]

* [ Tunneling ]

* [ Redirect-Host ]

[ Redirect-Host-Usage ]

[ Redirect-Max-Cache-Time ]

* [ Proxy-Info ]

* [ AVP ]

도 12 내지 도 17에 예시된 단계들을 수행하는 엔티티들이 도 21c 또는 도 21d에 예시된 것들과 같은 무선 및/또는 네트워크 통신을 위해 구성된 장치 또는 컴퓨터 시스템의 메모리에 저장되고 그의 프로세서 상에서 실행되는 소프트웨어(즉, 컴퓨터 실행가능 명령어들)의 형태로 구현될 수 있는 논리적 엔티티들일 수 있다는 것을 잘 알 것이다. 즉, 도 12 내지 도 17에 예시된 방법(들)은, 도 21c 또는 도 21d에 예시된 장치 또는 컴퓨터 시스템과 같은, 장치의 메모리에 저장된 소프트웨어(즉, 컴퓨터 실행가능 명령어들)의 형태로 구현될 수 있고, 이 컴퓨터 실행가능 명령어들은, 장치의 프로세서에 의해 실행될 때, 도 12 내지 도 17에 예시된 단계들을 수행한다. 또한, 도 12 내지 도 17에 예시된 기능이 가상화된 네트워크 기능들의 세트로서 구현될 수 있다는 것을 잘 알 것이다. 네트워크 기능들은 꼭 직접 통신하는 것은 아닐 수 있고, 오히려 포워딩 또는 라우팅 기능을 통해 통신할 수 있다. 도 12 내지 도 17에 예시된 임의의 전송 및 수신 단계들이 장치의 프로세서 및 프로세서가 실행하는 컴퓨터 실행가능 명령어들(예컨대, 소프트웨어)의 제어 하에서 장치의 통신 회로부에 의해 수행될 수 있다는 것을 또한 잘 알 것이다. 또한, 도 12 내지 도 17에 예시된 기능이 가상화된 네트워크 기능들의 세트로서 구현될 수 있다는 것을 잘 알 것이다. 네트워크 기능들은 꼭 직접 통신하는 것은 아닐 수 있고, 오히려 포워딩 또는 라우팅 기능을 통해 통신할 수 있다.

도 18은 3GPP TS 23.402에 제시된, 3GPP와 신뢰할 수 없는 WLAN 사이의 연동 아키텍처를 도시하고 있다. 도시된 바와 같이, ePDG(enhanced Packet Data Gateway)(1804)는 UE(214)와 PDN-GW(208) 사이의 중간 엔티티로서 도입된다. 한편으로, ePDG(1804)는 SWu 참조점을 거쳐 IPSec 터널을 통해 UE(214)와 통신한다. 다른 한편으로, ePDG(1804)는 GTP-U 터널 프로토콜을 사용하여 S2b 인터페이스를 통해 PDN-GW(208)와 통신한다.

3GPP TS 33.402에 기술된, 신뢰할 수 없는 WLAN 경우에 UE(214)와 HSS(210) 사이의 표준의 상호 인증 절차는 하기의 프로토콜들로 이루어져 있다:

1. SWu 참조점을 통한 UE(214)와 ePDG(1804) 사이의 EAP over IKEv2(Internet Key Exchange version 2)(RFC 5996) 프로토콜. 이와 반대로, UE(214)와 신뢰할 수 있는 WLAN(218)(TWAP)(224)) 사이에서는 EAP 프로토콜만이 사용된다는 것을 상기한다. 신뢰할 수 없는 WLAN(1802) 경우에, 초기에 UE(214)는 IKEv2를 거쳐 EAP 메시지들을 ePDG(1804)에게 송신하고, 표준의 IKEv2 프로토콜을 사용하여 ePDG(1804)와 UE(214) 사이에 표준의 IPSec 터널이 설정된다.

2. SWm 참조점을 통한 ePDG(1804)와 3GPP AAA 서버(212) 사이의 Diameter 프로토콜. 보다 정확하게는, ePDG는 UE(214)에 의해 송신된 IKEv2 메시지들로부터 EAP 메시지들을 추출하고 이들을 3GPP AAA 서버(212)에게 포워딩한다.

3. SWx를 통한 3GPP AAA 서버(212)와 HSS(210) 사이의 Diameter 프로토콜. 이러한 단계는, 이전에 논의된, 신뢰할 수 있는 WLAN 경우에 일어나는 것과 정확히 유사하다.

신뢰할 수 없는 WLAN 경우와 신뢰할 수 있는 WLAN 경우 사이의 주된 인증 관련 차이점은 신뢰할 수 없는 경우에 대해 EAP 메시지들을 전달하기 위해 IKEv2 프로토콜(UE-ePDG간)을 사용하는 것이다. 똑같이 중요한 것으로서, 도 9 및 도 10에서 상세히 설명되었던, 상기 단계 2(신뢰할 수 없는 WLAN 경우에 대한 ePDG-3GPP AAA 서버(212))와 신뢰할 수 있는 WLAN 경우에 대한 STa를 통한 (TWAP-3GPP AAA 서버(212)) 통신 사이의 역할들의 유사성에 유의한다. 상세하게는, 동일한 EAP 메시지들이 2개의 참조점들(SWm, STa)을 거쳐 전달된다.

따라서, 신뢰할 수 없는 WLAN 경우에 대한 연동 아키텍처가 ePDG(1804)와 MME(202) 사이에 새로운 참조점(즉, 도 18에서의 STm)을 추가하는 것에 의해 향상될 수 있다. 새로운 참조점(STm)는, (TWAP(224)와 MME(202) 사이에서 EAP 메시지들을 전달하는) STb 참조점과 유사하게, ePDG(1804)와 MME(202) 사이에서 EAP 메시지들을 전달할 것이다.

도 18에 예시된 기능이, 이하에서 설명되는 도 21c 또는 도 21d에 예시된 것들 중 하나와 같은, 무선 디바이스 또는 다른 장치(예컨대, 서버, 게이트웨이, 디바이스, 또는 다른 컴퓨터 시스템)의 메모리에 저장되고 그의 프로세서 상에서 실행되는 소프트웨어(즉, 컴퓨터 실행가능 명령어들)의 형태로 구현될 수 있다는 것을 잘 알 것이다. 또한, 도 18에 예시된 기능이 가상화된 네트워크 기능들의 세트로서 구현될 수 있다는 것을 잘 알 것이다. 네트워크 기능들은 꼭 직접 통신하는 것은 아닐 수 있고, 오히려 포워딩 또는 라우팅 기능을 통해 통신할 수 있다. 또한, 도 18에 예시된 기능이 가상화된 네트워크 기능들의 세트로서 구현될 수 있다는 것을 잘 알 것이다. 네트워크 기능들은 꼭 직접 통신하는 것은 아닐 수 있고, 오히려 포워딩 또는 라우팅 기능을 통해 통신할 수 있다.

도 19는 신뢰할 수 있는 WLAN 시나리오 및 신뢰할 수 없는 WLAN 시나리오에서의 UE(214)와 HSS(210) 사이의 경로를 도시하고 있다. 도시된 바와 같이, STb 참조점과 STm 참조점은 서로 유사하다. 그에 따라, 통합 인증 절차 및 빠른 재인증 절차를 신뢰할 수 없는 WLAN 시나리오로 다음과 같이 확장하는 것은 간단할 것이다.

1. UE(214)와 ePDG(1804) 사이의 표준의 IKEv2 프로토콜을 통해, 도 13 및 도 14에서 UE(214)와 TWAP(224) 사이에 이전에 정의된, 수정된 EAP 메시지들을 전달한다. 표준의 IKEv2 프로토콜의 사용이 변경되지 않을 것이고, 3GPP TS 33.402에서 사용되는 것과 동일할 것이다.

2. STb 참조점(TWAP-MME간)을 통해 도입된 "Diameter-EAP-Request" 및 "Diameter-EAP-Answer" 메시지들이 STm 참조점(ePDG-MME간)을 통해 정확하게 사용될 것이다. 그들은 ePDG 또는 HSS로부터 추출된 동일한 EAP 메시지들을 전달할 것이다.

도 19에 예시된 기능이, 이하에서 설명되는 도 21c 또는 도 21d에 예시된 것들 중 하나와 같은, 무선 디바이스 또는 다른 장치(예컨대, 서버, 게이트웨이, 디바이스, 또는 다른 컴퓨터 시스템)의 메모리에 저장되고 그의 프로세서 상에서 실행되는 소프트웨어(즉, 컴퓨터 실행가능 명령어들)의 형태로 구현될 수 있다는 것을 잘 알 것이다. 또한, 도 19에 예시된 기능이 가상화된 네트워크 기능들의 세트로서 구현될 수 있다는 것을 잘 알 것이다. 네트워크 기능들은 꼭 직접 통신하는 것은 아닐 수 있고, 오히려 포워딩 또는 라우팅 기능을 통해 통신할 수 있다. 또한, 도 18에 예시된 기능이 가상화된 네트워크 기능들의 세트로서 구현될 수 있다는 것을 잘 알 것이다. 네트워크 기능들은 꼭 직접 통신하는 것은 아닐 수 있고, 오히려 포워딩 또는 라우팅 기능을 통해 통신할 수 있다.

사용자 인터페이스들

GUI(Graphical User Interface)들과 같은, 인터페이스들은 사용자가 통합 인증에 관련된 기능들을 제어 및/또는 구성하는 것을 지원하기 위해 사용될 수 있다. GUI(Graphical User Interface)는 UE(214)가 (초기 어태치 및 핸드오버 동안) 어느 액세스 네트워크(LTE 또는 Wi-Fi)를 이용할 것인지 및 통합 인증 절차를 사용할지 여부를 결정할 수 있게 할 수 있다.

도 20은, 먼저 다중 RAT(LTE/Wi-Fi) UE(204)를 갖는 사용자가 (초기 어태치 또는 핸드오버 동안) LTE(버튼(2002)) 또는 Wi-Fi(버튼(2004)) 중 어느 하나에 접속하기로 선택할 수 있게 하는, GUI(Graphical User Interface)(2000)를 도시하고 있다. 하나의 액세스 네트워크가 이용가능하지 않으면, 그의 버튼이 디스에이블될 수 있다. UE가 통합 인증 절차를 수행하고자 한다는 그의 요망을 HeNB(220) 또는 TWAN(218)에게 알려줄 수 있도록 "Unified Authentication" 플래그가 추가되었다(도 12에서의 단계 2 및 도 13에서의 단계 3). 이러한 UE(214)의 결정은, 도 20에 도시된, GUI(2000)를 사용하여 결정될 수 있다. 따라서, 예를 들어, UE(214)가 초기 어태치 시에 'LTE' 버튼(2002) 및 '통합 인증' 버튼(2006)을 선택하면, HeNB 개시 통합 인증/어태치 절차가 실행될 것이다. 이와 유사하게, UE(214)가 초기 어태치 시에 GUI(2000)의 'Wi-Fi' 버튼(2004) 및 '통합 인증' 버튼(2006)을 클릭하면 TWAN 개시 통합 인증/어태치 절차가 구현될 것이다. 대안적으로, 정상 인증(normal authentication) 버튼(2008)이 선택될 수 있다. 인터페이스(2000)가 이하에서 설명되는 도 21c 및 도 21d에 도시된 것들과 같은 디스플레이들을 사용하여 생성될 수 있다는 것을 잘 알 것이다.

예시적인 M2M/IoT/WoT 통신 시스템

본원에 기술되는 다양한 기법들이 하드웨어, 펌웨어, 소프트웨어, 또는 적절한 경우, 이들의 조합들과 관련하여 구현될 수 있다. 이러한 하드웨어, 펌웨어, 및 소프트웨어는 통신 네트워크의 다양한 노드들에 위치된 장치들에 존재할 수 있다. 장치들은 본원에 기술되는 방법들을 수행하기 위해 단독으로 또는 서로 조합하여 동작할 수 있다. 본원에서 사용되는 바와 같이, "장치", "네트워크 장치", "노드", "디바이스", 및 "네트워크 노드"라는 용어들은 서로 바꾸어 사용될 수 있다.

"서비스 계층"이라는 용어는 네트워크 서비스 아키텍처 내의 기능 계층(functional layer)을 지칭한다. 서비스 계층들은 전형적으로 HTTP, CoAP 또는 MQTT와 같은 애플리케이션 프로토콜 계층 위쪽에 위치되고 클라이언트 애플리케이션들에게 부가 가치 서비스들을 제공한다. 서비스 계층은 또한, 예를 들어, 제어 계층 및 전송/액세스 계층과 같은, 하위 자원 계층에서 코어 네트워크들에 대한 인터페이스를 제공한다. 서비스 계층은 서비스 정의, 서비스 런타임 인에이블먼트(service runtime enablement), 정책 관리, 액세스 제어, 및 서비스 클러스터링을 비롯한 다수의 카테고리의 (서비스) 능력들 또는 기능들을 지원한다. 최근에, 몇 개의 산업 표준 단체들, 예컨대, oneM2M이 M2M 유형의 디바이스들 및 애플리케이션들을 인터넷/웹, 셀룰러, 엔터프라이즈, 및 홈 네트워크들과 같은 배치들에 통합시키는 것과 연관된 과제들을 해결하기 위해 M2M 서비스 계층들을 개발해오고 있다. M2M 서비스 계층은 애플리케이션들 및/또는 다양한 디바이스들에게, CSE 또는 SCL이라고 지칭될 수 있는, 서비스 계층에 의해 지원되는, 앞서 언급된 능력들 또는 기능들의 모음 또는 세트에 대한 액세스를 제공할 수 있다. 몇 가지 예들은, 다양한 애플리케이션들에 의해 흔히 사용될 수 있는, 보안, 과금, 데이터 관리, 디바이스 관리, 발견, 프로비저닝, 및 접속 관리(connectivity management)를 포함하지만, 이들로 제한되지 않는다. 이 능력들은 M2M 서비스 계층에 의해 정의되는 메시지 포맷들, 자원 구조들, 및 자원 표현들을 사용하는 API들을 통해 이러한 다양한 애플리케이션들에게 이용가능하게 된다. CSE 또는 SCL은 하드웨어 및/또는 소프트웨어로 구현될 수 있는 그리고 다양한 애플리케이션들 및/또는 디바이스들에 노출된 (서비스) 능력들 또는 기능들(즉, 이러한 기능 엔티티들 간의 기능 인터페이스들)을, 그들이 이러한 능력들 또는 기능들을 사용하도록, 제공하는 기능 엔티티이다.

도 21a는 하나 이상의 개시된 실시예들이 구현될 수 있는 예시적인 M2M(machine to machine), IoT(Internet of Things), 또는 WoT(Web of Things) 통신 시스템(10)의 다이어그램이다. 일반적으로, M2M 기술들은 IoT/WoT에 대한 구성 블록들을 제공하고, 임의의 M2M 디바이스, M2M 게이트웨이, M2M 서버, 또는 M2M 서비스 플랫폼은 IoT/WoT는 물론 IoT/WoT 서비스 계층 등의 컴포넌트 또는 노드일 수 있다. 통신 시스템(10)은 개시된 실시예들의 기능을 구현하는 데 사용될 수 있고, MME(202), WLAN AN(204), S-GW(206), P-GW(208), HSS(210), 3GPP AAA 서버(212), UE(214), EPC(216), TWAN(218), HeNB(220), TWAP(224), ISWN(230), TWAG(232), S-GwIP-GW(1002), 매크로 eNB(1702), 신뢰할 수 없는 WLAN(1802), 및 ePDG(1804)와 같은 기능 및 논리적 엔티티들 그리고 도 20에 도시된 사용자 인터페이스(2000)를 생성하기 위한 논리적 엔티티들을 포함할 수 있다.

도 21a에 도시된 바와 같이, M2M/IoT/WoT 통신 시스템(10)은 통신 네트워크(12)를 포함한다. 통신 네트워크(12)는 고정 네트워크(fixed network)(예컨대, 이더넷, 파이버(Fiber), ISDN, PLC 등) 또는 무선 네트워크(wireless network)(예컨대, WLAN, 셀룰러 등) 또는 이종 네트워크(heterogeneous network)들의 네트워크일 수 있다. 예를 들어, 통신 네트워크(12)는 음성, 데이터, 비디오, 메시징, 방송 등과 같은 콘텐츠를 다수의 사용자들에게 제공하는 다수의 액세스 네트워크들로 이루어져 있을 수 있다. 예를 들어, 통신 네트워크(12)는, CDMA(code division multiple access), TDMA(time division multiple access), FDMA(frequency division multiple access), OFDMA(orthogonal FDMA), SC-FDMA(single-carrier FDMA) 등과 같은, 하나 이상의 채널 액세스 방법들을 이용할 수 있다. 게다가, 통신 네트워크(12)는, 예를 들어, 코어 네트워크, 인터넷, 센서 네트워크, 산업 제어 네트워크(industrial control network), 개인 영역 네트워크(personal area network), 융합 개인 네트워크(fused personal network), 위성 네트워크, 홈 네트워크, 또는 엔터프라이즈 네트워크와 같은 다른 네트워크들을 포함할 수 있다.

도 21a에 도시된 바와 같이, M2M/IoT/WoT 통신 시스템(10)은 인프라스트럭처 도메인(Infrastructure Domain) 및 필드 도메인(Field Domain)을 포함할 수 있다. 인프라스트럭처 도메인은 종단간 M2M 배치(end-to-end M2M deployment)의 네트워크측을 지칭하고, 필드 도메인은, 보통 M2M 게이트웨이 후방에 있는, 영역 네트워크(area network)들을 지칭한다. 필드 도메인 및 인프라스트럭처 도메인 둘 다는 각종의 상이한 네트워크 노드들(예컨대, 서버, 게이트웨이, 디바이스 등)을 포함할 수 있다. 예를 들어, 필드 도메인은 M2M 게이트웨이들(14) 및 단말 디바이스들(18)을 포함할 수 있다. 원하는 바에 따라, 임의의 수의 M2M 게이트웨이 디바이스들(14) 및 M2M 단말 디바이스들(18)이 M2M/IoT/WoT 통신 시스템(10)에 포함될 수 있다는 것을 잘 알 것이다. M2M 게이트웨이 디바이스들(14) 및 M2M 단말 디바이스들(18) 각각은, 통신 회로부를 사용하여, 통신 네트워크(12) 또는 직접 무선 링크를 통해 신호들을 전송 및 수신하도록 구성되어 있다. M2M 게이트웨이(14)는 무선 M2M 디바이스들(예컨대, 셀룰러 및 비셀룰러)은 물론 고정 네트워크 M2M 디바이스들(예컨대, PLC)이 통신 네트워크(12)와 같은 사업자 네트워크들 또는 직접 무선 링크 중 어느 하나를 통해 통신할 수 있게 한다. 예를 들어, M2M 단말 디바이스들(18)은 데이터를 수집하고, 데이터를 통신 네트워크(12) 또는 직접 무선 링크를 통해 M2M 애플리케이션(20) 또는 M2M 디바이스들(18)에게 송신할 수 있다. M2M 단말 디바이스들(18)은 또한 M2M 애플리케이션(20) 또는 M2M 단말 디바이스(18)로부터 데이터를 수신할 수 있다. 게다가, 이하에서 기술되는 바와 같이, 데이터 및 신호들이 M2M 서비스 계층(22)을 통해 M2M 애플리케이션(20)에게 송신되고 그로부터 수신될 수 있다. M2M 단말 디바이스들(18) 및 게이트웨이들(14)은, 예를 들어, 셀룰러, WLAN, WPAN(예컨대, Zigbee, 6LoWPAN, Bluetooth), 직접 무선 링크, 및 유선(wireline)을 비롯한 다양한 네트워크들을 통해 통신할 수 있다.

예시적인 M2M 단말 디바이스들(18)은 태블릿들, 스마트폰들, 의료 디바이스들, 온도 및 날씨 모니터들, 커넥티드 카(connected car)들, 스마트 미터(smart meter)들, 게임 콘솔들, PDA(personal digital assistant)들, 건강 및 피트니스 모니터들, 전등들, 서모스탯들, 가전기기들, 차고문들 및 다른 액추에이터 기반 디바이스들, 보안 디바이스들, 및 스마트 콘센트들을 포함할 수 있지만, 이들로 제한되지 않는다.

도 21b를 참조하면, 필드 도메인에 예시된 M2M 서비스 계층(22)은 M2M 애플리케이션(20), M2M 게이트웨이 디바이스들(14), 및 M2M 단말 디바이스들(18) 그리고 통신 네트워크(12)에 대한 서비스들을 제공한다. 통신 네트워크(12)는 개시된 실시예들의 기능을 구현하는 데 사용될 수 있고, MME(202), WLAN AN(204), S-GW(206), P-GW(208), HSS(210), 3GPP AAA 서버(212), UE(214), EPC(216), TWAN(218), HeNB(220), TWAP(224), ISWN(230), TWAG(232), S-GwIP-GW(1002), 매크로 eNB(1702), 신뢰할 수 없는 WLAN(1802), 및 ePDG(1804)와 같은 기능 및 논리적 엔티티들 그리고 도 20에 도시된 사용자 인터페이스(2000)를 생성하기 위한 논리적 엔티티들을 포함할 수 있다.

M2M 서비스 계층(22)은, 예를 들어, 이하에 기술되는 도 21c 및 도 21d에 예시된 디바이스들을 비롯한, 하나 이상의 서버들, 컴퓨터들, 디바이스들, 가상 머신들(예컨대, 클라우드/스토리지 팜(storage farm) 등)에 의해 구현될 수 있다. M2M 서비스 계층(22)이 원하는 바에 따라 임의의 수의 M2M 애플리케이션들, M2M 게이트웨이들(14), M2M 단말 디바이스들(18), 및 통신 네트워크들(12)과 통신할 수 있다는 것을 잘 알 것이다. M2M 서비스 계층(22)은 서버들, 컴퓨터들, 디바이스들 등을 포함할 수 있는, 네트워크의 하나 이상의 노드들에 의해 구현될 수 있다. M2M 서비스 계층(22)은 M2M 단말 디바이스들(18), M2M 게이트웨이들(14), 및 M2M 애플리케이션들(20)에 적용되는 서비스 능력들을 제공한다. M2M 서비스 계층(22)의 기능들은 각종의 방식들로, 예를 들어, 웹 서버로서, 셀룰러 코어 네트워크에, 클라우드에, 기타로 구현될 수 있다.

예시된 M2M 서비스 계층(22)과 유사하게, 인프라스트럭처 도메인에도 M2M 서비스 계층(22')이 있다. M2M 서비스 계층(22')은 인프라스트럭처 도메인 내의 M2M 애플리케이션(20') 및 기반 통신 네트워크(underlying communication network)(12)에 대한 서비스들을 제공한다. M2M 서비스 계층(22')은 또한 필드 도메인 내의 M2M 게이트웨이들(14) 및 M2M 단말 디바이스들(18)에 대한 서비스들을 제공한다. M2M 서비스 계층(22')이 임의의 수의 M2M 애플리케이션들, M2M 게이트웨이들 및 M2M 디바이스들과 통신할 수 있다는 것을 잘 알 것이다. M2M 서비스 계층(22')은 상이한 서비스 제공자에 의한 서비스 계층과 상호작용할 수 있다. M2M 서비스 계층(22')은 서버들, 컴퓨터들, 디바이스들, 가상 머신들(예컨대, 클라우드 컴퓨팅/스토리지 팜 등) 등을 포함할 수 있는, 네트워크의 하나 이상의 노드들에 의해 구현될 수 있다.

또한 도 21b를 참조하면, M2M 서비스 계층들(22 및 22')은 다양한 애플리케이션들 및 버티컬(vertical)들이 이용할 수 있는 핵심적인 서비스 전달 능력들의 세트를 제공한다. 이 서비스 능력들은 M2M 애플리케이션들(20 및 20')이 디바이스들과 상호작용하고 데이터 수집, 데이터 분석, 디바이스 관리, 보안, 청구서 작성(billing), 서비스/디바이스 발견 등과 같은 기능들을 수행할 수 있게 한다. 본질적으로, 이 서비스 능력들은 애플리케이션들로부터 이 기능들을 구현하는 부담을 덜어주고, 따라서 애플리케이션 개발을 단순화시키며 출시까지의 비용 및 시간을 감소시킨다. 서비스 계층들(22 및 22')은 또한 M2M 애플리케이션들(20 및 20')이 서비스 계층들(22 및 22')이 제공하는 서비스들과 관련하여 네트워크들(12)을 통해 통신할 수 있게 한다.

본 출원의 방법들은 서비스 계층(22 및 22')의 일부로서 구현될 수 있다. 서비스 계층(22 및 22')은 한 세트의 API(application programming interface)들 및 기반 네트워킹 인터페이스(underlying networking interface)들을 통해 부가 가치 서비스 능력들을 지원하는 소프트웨어 미들웨어 계층이다. ETSI M2M과 oneM2M 둘 다는 본 출원의 접속 방법들을 포함할 수 있는 서비스 계층을 사용한다. ETSI M2M의 서비스 계층은 서비스 능력 계층(Service Capability Layer, SCL)이라고 지칭된다. SCL은 M2M 디바이스(여기서, DSCL(device SCL, 디바이스 SCL)이라고 지칭됨), 게이트웨이(여기서, GSCL(gateway SCL, 게이트웨이 SCL)이라고 지칭됨), 및/또는 네트워크 노드(여기서, NSCL(network SCL, 네트워크 SCL)이라고 지칭됨) 내에 구현될 수 있다. oneM2M 서비스 계층은 한 세트의 CSF(Common Service Function, 공통 서비스 기능)들(즉, 서비스 능력들)을 지원한다. 하나 이상의 특정 유형들의 CSF들의 세트의 인스턴스화(instantiation)는, 상이한 유형들의 네트워크 노드들(예컨대, 인프라스트럭처 노드, 중간 노드(middle node), 애플리케이션 특정 노드(application-specific node)) 상에서 호스팅될 수 있는, CSE(Common Services Entity)라고 지칭된다. 게다가, 본 출원의 접속 방법들은 본 출원의 접속 방법들과 같은 서비스들에 액세스하기 위해 SOA(Service Oriented Architecture) 및/또는 ROA(resource-oriented architecture)를 사용하는 M2M 네트워크의 일부로서 구현될 수 있다.

일부 실시예들에서, M2M 애플리케이션들(20 및 20')은 개시된 시스템들 및 방법들과 관련하여 사용될 수 있다. M2M 애플리케이션들(20 및 20')은 UE 또는 게이트웨이와 상호작용하는 애플리케이션들을 포함할 수 있고, 또한 다른 개시된 시스템들 및 방법들과 관련하여 사용될 수 있다.

일 실시예에서, MME(202), WLAN AN(204), S-GW(206), P-GW(208), HSS(210), 3GPP AAA 서버(212), UE(214), EPC(216), TWAN(218), HeNB(220), TWAP(224), ISWN(230), TWAG(232), S-GwIP-GW(1002), 매크로 eNB(1702), 신뢰할 수 없는 WLAN(1802), 및 ePDG(1804)와 같은 논리적 엔티티들 그리고 도 20에 도시된 사용자 인터페이스(2000)를 생성하기 위한 논리적 엔티티들이, 도 21b에 도시된 바와 같이, M2M 서버, M2M 게이트웨이, 또는 M2M 디바이스와 같은, M2M 노드에 의해 호스팅되는 M2M 서비스 계층 인스턴스 내에서 호스팅될 수 있다. 예를 들어, MME(202), WLAN AN(204), S-GW(206), P-GW(208), HSS(210), 3GPP AAA 서버(212), UE(214), EPC(216), TWAN(218), HeNB(220), TWAP(224), ISWN(230), TWAG(232), S-GwIP-GW(1002), 매크로 eNB(1702), 신뢰할 수 없는 WLAN(1802), 및 ePDG(1804)와 같은 논리적 엔티티들 그리고 도 20에 도시된 사용자 인터페이스(2000)를 생성하기 위한 논리적 엔티티들은 M2M 서비스 계층 인스턴스 내의 개개의 서비스 능력 또는 기존의 서비스 능력 내의 서브기능(sub-function)을 포함할 수 있다.

M2M 애플리케이션들(20 및 20')은 운송, 건강 및 웰빙(health and wellness), 커넥티드 홈(connected home), 에너지 관리, 자산 추적, 그리고 보안 및 감시(이들로 제한되지 않음)와 같은 다양한 산업들에서의 애플리케이션들을 포함할 수 있다. 앞서 언급된 바와 같이, 시스템의 디바이스들, 게이트웨이들, 서버들 및 다른 노드들에 걸쳐 실행되는 M2M 서비스 계층은, 예를 들어, 데이터 수집, 디바이스 관리, 보안, 계산서 작성, 위치 추적/지오펜싱, 디바이스/서비스 발견, 및 레거시 시스템들 통합과 같은 기능들을 지원하고, 이 기능들을 서비스들로서 M2M 애플리케이션들(20 및 20')에게 제공한다.

일반적으로, 서비스 계층들(22 및 22')은 한 세트의 API(application programming interface)들 및 기반 네트워크 인터페이스들을 통해 부가 가치 서비스 능력들을 지원하는 소프트웨어 미들웨어 계층을 정의한다. ETSI M2M 아키텍처와 oneM2M 아키텍처 둘 다는 서비스 계층을 정의한다. ETSI M2M의 서비스 계층은 서비스 능력 계층(SCL)이라고 지칭된다. SCL은 ETSI M2M 아키텍처의 각종의 상이한 노드들에 구현될 수 있다. 예를 들어, 서비스 계층의 인스턴스는 M2M 디바이스(여기서 이는 디바이스 SCL(DSCL)이라고 지칭됨), 게이트웨이(여기서 이는 게이트웨이 SCL(GSCL)이라고 지칭됨), 및/또는 네트워크 노드(여기서 이는 네트워크 SCL(NSCL)이라고 지칭됨) 내에 구현될 수 있다. oneM2M 서비스 계층은 공통 서비스 기능(CSF)들(즉, 서비스 능력들)의 세트를 지원한다. 한 세트의 하나 이상의 특정 유형들의 CSF들의 인스턴스화는, 상이한 유형들의 네트워크 노드들(예컨대, 인프라스트럭처 노드, 중간 노드, 애플리케이션 특정 노드) 상에서 호스팅될 수 있는, CSE(Common Services Entity)라고 지칭된다. 3GPP(Third Generation Partnership Project)는 또한 MTC(machine-type communications)에 대한 아키텍처도 정의하였다. 그 아키텍처에서, 서비스 계층과, 서비스 계층이 제공하는 서비스 능력들이 서비스 능력 서버(Service Capability Server, SCS)의 일부로서 구현된다. ETSI M2M 아키텍처의 DSCL, GSCL, 또는 NSCL에, 3GPP MTC 아키텍처의 서비스 능력 서버(SCS)에, oneM2M 아키텍처의 CSF 또는 CSE에, 또는 네트워크의 어떤 다른 노드에 구현되든 간에, 서비스 계층의 인스턴스는, 서버들, 컴퓨터들, 및 다른 컴퓨팅 디바이스들 또는 노드들을 비롯한, 네트워크 내의 하나 이상의 독립형 노드(standalone node)들 상에서 실행되는 논리적 엔티티(예컨대, 소프트웨어, 컴퓨터 실행가능 명령어들 등)로서 또는 하나 이상의 기존의 노드들의 일부로서 구현될 수 있다. 일 예로서, 서비스 계층의 인스턴스 또는 그의 컴포넌트는 이하에서 기술되는 도 21c 또는 도 21d에 예시된 일반적인 아키텍처를 가지는 네트워크 노드(예컨대, 서버, 컴퓨터, 게이트웨이, 디바이스 등) 상에서 실행되는 소프트웨어의 형태로 구현될 수 있다.

게다가, MME(202), WLAN AN(204), S-GW(206), P-GW(208), HSS(210), 3GPP AAA 서버(212), UE(214), EPC(216), TWAN(218), HeNB(220), TWAP(224), ISWN(230), TWAG(232), S-GwIP-GW(1002), 매크로 eNB(1702), 신뢰할 수 없는 WLAN(1802), 및 ePDG(1804)와 같은 논리적 엔티티들 그리고 도 20에 도시된 사용자 인터페이스(2000)를 생성하기 위한 논리적 엔티티들은 본 출원의 서비스들에 액세스하기 위해 SOA(Service Oriented Architecture) 및/또는 ROA(Resource-Oriented Architecture)를 사용하는 M2M 네트워크의 일부로서 구현될 수 있다.

도 21c는, M2M 디바이스(18), M2M 게이트웨이(14), M2M 서버 등과 같은, M2M 네트워크 노드(30)의 예시적인 하드웨어/소프트웨어 아키텍처의 블록 다이어그램이다. 노드(30)는 MME(202), WLAN AN(204), S-GW(206), P-GW(208), HSS(210), 3GPP AAA 서버(212), UE(214), EPC(216), TWAN(218), HeNB(220), TWAP(224), ISWN(230), TWAG(232), S-GwIP-GW(1002), 매크로 eNB(1702), 신뢰할 수 없는 WLAN(1802), 및 ePDG(1804)와 같은 논리적 엔티티들 그리고 도 20에 도시된 사용자 인터페이스(2000)를 생성하기 위한 논리적 엔티티들을 실행하거나 포함할 수 있다.

디바이스(30)는 도 21a 및 도 21b에 도시된 바와 같은 M2M 네트워크의 일부이거나 비-M2M 네트워크의 일부일 수 있다. 도 21c에 도시된 바와 같이, M2M 노드(30)는 프로세서(32), 비이동식 메모리(44), 이동식 메모리(46), 스피커/마이크로폰(38), 키패드(40), 디스플레이, 터치패드, 및/또는 표시기들(42), 전원(48), GPS(global positioning system) 칩셋(50), 및 다른 주변기기들(52)을 포함할 수 있다. 노드(30)는 또한, 송수신기(34) 및 송신/수신 요소(36)와 같은, 통신 회로부를 포함할 수 있다. M2M 노드(30)가 일 실시예와 부합한 채로 있으면서 전술한 요소들의 임의의 서브컴비네이션(sub-combination)을 포함할 수 있다는 것을 잘 알 것이다. 이 노드는 본원에 기술되는 SMSF 기능을 구현하는 노드일 수 있다.

프로세서(32)는 범용 프로세서, 특수 목적 프로세서, 종래의 프로세서, DSP(digital signal processor), 복수의 마이크로프로세서들, DSP 코어와 연관된 하나 이상의 마이크로프로세서들, 제어기, 마이크로컨트롤러, ASIC(Application Specific Integrated Circuit)들, FPGA(Field Programmable Gate Array) 회로들, 임의의 다른 유형의 IC(integrated circuit), 상태 머신 등일 수 있다. 일반적으로, 프로세서(32)는 노드의 다양한 요구된 기능들을 수행하기 위해 노드의 메모리(예컨대, 메모리(44) 및/또는 메모리(46))에 저장된 컴퓨터 실행가능 명령어들을 실행할 수 있다. 예를 들어, 프로세서(32)는 신호 코딩, 데이터 처리, 전력 제어, 입출력 처리, 및/또는 M2M 노드(30)가 무선 또는 유선 환경에서 동작할 수 있게 하는 임의의 다른 기능을 수행할 수 있다. 프로세서(32)는 애플리케이션 계층 프로그램들(예컨대, 브라우저들) 및/또는 RAN(radio access-layer) 프로그램들 및/또는 다른 통신 프로그램들을 실행할 수 있다. 프로세서(32)는 또한, 예를 들어, 액세스 계층 및/또는 애플리케이션 계층 등에서의, 인증, 보안 키 일치(security key agreement), 및/또는 암호 동작들과 같은 보안 동작들을 수행할 수 있다.

도 21c에 도시된 바와 같이, 프로세서(32)는 그의 통신 회로부(예컨대, 송수신기(34) 및 송신/수신 요소(36))에 결합되어 있다. 프로세서(32)는, 컴퓨터 실행가능 명령어들의 실행을 통해, 노드(30)로 하여금 그에 접속되어 있는 네트워크를 통해 다른 노드들과 통신하게 하기 위해 통신 회로부를 제어할 수 있다. 상세하게는, 프로세서(32)는 본원 및 청구항들에 기술된 전송 및 수신 단계들을 수행하기 위해 통신 회로부를 제어할 수 있다. 도 21c가 프로세서(32) 및 송수신기(34)를 개별적인 컴포넌트들로서 도시하고 있지만, 프로세서(32) 및 송수신기(34)가 전자 패키지 또는 칩에 하나로 통합되어 있을 수 있다는 것을 잘 알 것이다.

송신/수신 요소(36)는 M2M 서버들, 게이트웨이들, 디바이스 등을 비롯한, 다른 M2M 노드들에게 신호들을 전송하거나 그들로부터 신호들을 수신하도록 구성될 수 있다. 예를 들어, 일 실시예에서, 송신/수신 요소(36)는 RF 신호들을 전송 및/또는 수신하도록 구성된 안테나일 수 있다. 송신/수신 요소(36)는, WLAN, WPAN, 셀룰러 등과 같은, 다양한 네트워크들 및 무선 인터페이스(air interface)들을 지원할 수 있다. 일 실시예에서, 송신/수신 요소(36)는, 예를 들어, IR, UV 또는 가시 광 신호들을 전송 및/또는 수신하도록 구성된 방출기/검출기일 수 있다. 또 다른 실시예에서, 송신/수신 요소(36)는 RF 및 광 신호들 둘 다를 전송 및 수신하도록 구성될 수 있다. 송신/수신 요소(36)가 무선 또는 유선 신호들의 임의의 조합을 전송 및/또는 수신하도록 구성될 수 있다는 것을 잘 알 것이다.

그에 부가하여, 송신/수신 요소(36)가 도 21c에 단일 요소로서 도시되어 있지만, M2M 노드(30)는 임의의 수의 송신/수신 요소들(36)을 포함할 수 있다. 보다 구체적으로는, M2M 노드(30)는 MIMO 기술을 이용할 수 있다. 이와 같이, 일 실시예에서, M2M 노드(30)는 무선 신호들을 전송 및 수신하기 위한 2개 이상의 송신/수신 요소들(36)(예컨대, 다수의 안테나들)을 포함할 수 있다.

송수신기(34)는 송신/수신 요소(36)에 의해 전송되어야 하는 신호들을 변조하도록 그리고 송신/수신 요소(36)에 의해 수신되는 신호들을 복조하도록 구성될 수 있다. 앞서 살펴본 바와 같이, M2M 노드(30)는 다중 모드 능력들을 가질 수 있다. 이와 같이, 송수신기(34)는 M2M 노드(30)가, 예를 들어, UTRA 및 IEEE 802.11과 같은 다수의 RAT들을 통해 통신할 수 있게 하기 위한 다수의 송수신기들을 포함할 수 있다.

프로세서(32)는, 비이동식 메모리(44) 및/또는 이동식 메모리(46)와 같은, 임의의 유형의 적당한 메모리로부터의 정보에 액세스하고 그에 데이터를 저장할 수 있다. 예를 들어, 프로세서(32)는, 앞서 기술된 바와 같이, 세션 컨텍스트(session context)를 그의 메모리에 저장할 수 있다. 비이동식 메모리(44)는 RAM(random-access memory), ROM(read-only memory), 하드 디스크, 또는 임의의 다른 유형의 메모리 저장 디바이스를 포함할 수 있다. 이동식 메모리(46)는 SIM(subscriber identity module) 카드, 메모리 스틱, SD(secure digital) 메모리 카드 등을 포함할 수 있다. 다른 실시예에서, 프로세서(32)는, 서버 또는 홈 컴퓨터와 같은, M2M 노드(30) 상에 물리적으로 위치해 있지 않은 메모리로부터의 정보에 액세스하고 데이터를 그에 저장할 수 있다. 프로세서(32)는 M2M 서비스 계층 세션 마이그레이션 또는 공유의 상태를 반영하기 위해 또는 사용자로부터 입력을 획득하거나 노드의 세션 마이그레이션 또는 공유 능력들 또는 설정들에 관한 정보를 사용자에게 디스플레이하기 위해 디스플레이 또는 표시기들(42) 상에서의 조명 패턴들, 영상들, 또는 색상들을 제어하도록 구성될 수 있다. 다른 예에서, 디스플레이는 세션 상태에 관한 정보를 보여줄 수 있다. 본 개시내용은 oneM2M 실시예에서 RESTful 사용자/애플리케이션 API를 정의한다. 디스플레이 상에 보여질 수 있는 그래픽 사용자 인터페이스는 사용자가, 본원에 기술되는 기반이 되는 서비스 계층 세션 기능을 통해, E2E 세션 또는 그의 마이그레이션 또는 공유를 상호작용적으로 설정 및 관리할 수 있게 하기 위해 API 위에 계층화될 수 있다.

프로세서(32)는 전원(48)으로부터 전력을 받을 수 있고, M2M 노드(30) 내의 다른 컴포넌트들에게 전력을 분배하고 그리고/또는 전력을 제어하도록 구성될 수 있다. 전원(48)은 M2M 노드(30)에 전력을 공급하기 위한 임의의 적당한 디바이스일 수 있다. 예를 들어, 전원(48)은 하나 이상의 건전지 배터리들(예컨대, 니켈-카드뮴(NiCd), 니켈-아연(NiZn), 니켈 금속 수소화물(NiMH), 리튬 이온(Li 이온) 등), 태양 전지들, 연료 전지들 등을 포함할 수 있다.

프로세서(32)는 또한 M2M 노드(30)의 현재 위치에 관한 위치 정보(예컨대, 경도 및 위도)를 제공하도록 구성되어 있는 GPS 칩셋(50)에 결합될 수 있다. M2M 노드(30)가 일 실시예와 부합한 채로 있으면서 임의의 적당한 위치 결정 방법을 통해 위치 정보를 취득할 수 있다는 것을 잘 알 것이다.

프로세서(32)는, 부가의 특징들, 기능 및/또는 유선 또는 무선 접속을 제공하는 하나 이상의 소프트웨어 및/또는 하드웨어 모듈들을 포함할 수 있는, 다른 주변기기들(52)에 추가로 결합될 수 있다. 예를 들어, 주변기기들(52)은 가속도계, 생체측정(예컨대, 지문) 센서들, 전자 나침반(e-compass)과 같은 다양한 센서들, 위성 송수신기, 디지털 카메라(사진 또는 비디오용), USB(universal serial bus) 포트 또는 다른 상호접속 인터페이스들, 진동 디바이스, 텔레비전 송수신기, 핸즈프리 헤드셋, 블루투스® 모듈, FM(frequency modulated) 라디오 유닛, 디지털 음악 플레이어, 미디어 플레이어, 비디오 게임 플레이어 모듈, 인터넷 브라우저 등을 포함할 수 있다.

노드(30)는, 센서, 소비자 전자제품, 스마트 워치 또는 스마트 의류와 같은 웨어러블 디바이스, 의료 또는 e헬스(eHealth) 디바이스, 로봇, 산업 장비, 드론, 자동차, 트럭, 기차, 또는 비행기와 같은 차량과 같은 다른 장치들 또는 디바이스들에 구현될 수 있다. 노드(30)는, 주변기기들(52) 중 하나를 포함할 수 있는 상호접속 인터페이스와 같은, 하나 이상의 상호접속 인터페이스들을 통해 이러한 장치들 또는 디바이스들의 다른 컴포넌트들, 모듈들, 또는 시스템들에 접속할 수 있다. 대안적으로, 노드(30)는, 센서, 소비자 전자제품, 스마트 워치 또는 스마트 의류와 같은 웨어러블 디바이스, 의료 또는 e헬스(eHealth) 디바이스, 로봇, 산업 장비, 드론, 자동차, 트럭, 기차, 또는 비행기와 같은 차량과 같은 다른 장치들 또는 디바이스들을 포함할 수 있다.

도 21d는, M2M 서버, 게이트웨이, 디바이스, 또는 다른 노드와 같은, M2M 네트워크의 하나 이상의 노드들을 구현하는 데 또한 사용될 수 있는 예시적인 컴퓨팅 시스템(90)의 블록 다이어그램이다. 컴퓨팅 시스템(90)은 컴퓨터 또는 서버를 포함할 수 있고, 주로 컴퓨터 판독가능 명령어들 - 소프트웨어의 형태로 되어 있을 수 있고, 이러한 소프트웨어는 어느 곳에든 또는 어떤 수단에 의해서든 저장되거나 액세스됨 - 에 의해 제어될 수 있다. 컴퓨팅 시스템(90)은 MME(202), WLAN AN(204), S-GW(206), P-GW(208), HSS(210), 3GPP AAA 서버(212), UE(214), EPC(216), TWAN(218), HeNB(220), TWAP(224), ISWN(230), TWAG(232), S-GwIP-GW(1002), 매크로 eNB(1702), 신뢰할 수 없는 WLAN(1802), 및 ePDG(1804)와 같은 논리적 엔티티들 그리고 도 20에 도시된 사용자 인터페이스(2000)를 생성하기 위한 논리적 엔티티들을 실행하거나 포함할 수 있다.

컴퓨팅 시스템(90)은, 예를 들어, M2M 디바이스, 사용자 장비, 게이트웨이, UE/GW 또는 모바일 코어 네트워크의 노드들을 비롯한 임의의 다른 노드들, 서비스 계층 네트워크 애플리케이션 제공자, 단말 디바이스(18) 또는 M2M 게이트웨이 디바이스(14)일 수 있다. 이러한 컴퓨터 판독가능 명령어들은 컴퓨팅 시스템(90)으로 하여금 작업을 수행하게 하기 위해, 중앙 처리 유닛(central processing unit, CPU)(91)과 같은, 프로세서 내에서 실행될 수 있다. 많은 공지된 워크스테이션들, 서버들, 및 개인용 컴퓨터들에서, 중앙 처리 유닛(91)은 마이크로프로세서라고 불리는 단일 칩 CPU에 의해 구현된다. 다른 머신들에서, 중앙 처리 유닛(91)은 다수의 프로세서들을 포함할 수 있다. 코프로세서(81)는 부가의 기능들을 수행하거나 CPU(91)를 보조하는, 주 CPU(91)와 별개인, 임의적인 프로세서이다. CPU(91) 및/또는 코프로세서(81)는 세션 자격증명들을 수신하는 것 또는 세션 자격증명들에 기초하여 인증하는 것과 같은, E2E M2M 서비스 계층 세션들에 대한 개시된 시스템들 및 방법들에 관련된 데이터를 수신, 생성, 및 처리할 수 있다.

동작을 설명하면, CPU(91)는 명령어들을 페치, 디코딩, 및 실행하고, 정보를 컴퓨터의 주 데이터 전송 경로인 시스템 버스(80)를 통해 다른 자원들에게 그리고 그들로부터 전송한다. 이러한 시스템 버스는 컴퓨팅 시스템(90) 내의 컴포넌트들을 접속시키고, 데이터 교환을 위한 매체를 정의한다. 시스템 버스(80)는 전형적으로 데이터를 송신하기 위한 데이터 라인들, 주소들을 송신하기 위한 주소 라인들, 및 인터럽트들을 송신하고 시스템 버스를 작동시키기 위한 제어 라인들을 포함한다. 이러한 시스템 버스(80)의 일 예는 PCI(Peripheral Component Interconnect) 버스이다.

시스템 버스(80)에 결합된 메모리들은 RAM(random access memory)(82) 및 ROM(and read only memory)(93)을 포함한다. 이러한 메모리들은 정보가 저장 및 검색될 수 있게 하는 회로부를 포함한다. ROM(93)은 일반적으로 용이하게 수정될 수 없는 저장된 데이터를 포함한다. RAM(82)에 저장된 데이터는 CPU(91) 또는 다른 하드웨어 디바이스들에 의해 판독 또는 변경될 수 있다. RAM(82) 및/또는 ROM(93)에의 액세스는 메모리 제어기(92)에 의해 제어될 수 있다. 메모리 제어기(92)는, 명령어들이 실행될 때, 가상 주소들을 물리 주소들로 변환하는 주소 변환 기능(address translation function)을 제공할 수 있다. 메모리 제어기(92)는 또한 시스템 내에서 프로세스들을 격리시키고 시스템 프로세스들을 사용자 프로세스들로부터 격리시키는 메모리 보호 기능을 제공할 수 있다. 이와 같이, 제1 모드에서 실행 중인 프로그램은 그 자신의 프로세스 가상 주소 공간에 의해 매핑되는 메모리에만 액세스할 수 있고; 프로세스들 간의 메모리 공유가 설정되어 있지 않은 한, 다른 프로세스의 가상 주소 공간 내의 메모리에 액세스할 수 없다.

그에 부가하여, 컴퓨팅 시스템(90)은 명령어들을 CPU(91)로부터, 프린터(94), 키보드(84), 마우스(95), 및 디스크 드라이브(85)와 같은, 주변기기들에게 전달하는 일을 책임지고 있는 주변기기 제어기(83)를 포함할 수 있다.

디스플레이 제어기(96)에 의해 제어되는, 디스플레이(86)는 컴퓨팅 시스템(90)에 의해 생성된 시각적 출력을 디스플레이하는 데 사용된다. 이러한 시각적 출력은 텍스트, 그래픽, 애니메이션화된 그래픽(animated graphics), 및 비디오를 포함할 수 있다. 디스플레이(86)는 CRT 기반 비디오 디스플레이, LCD 기반 평판 디스플레이, 가스 플라즈마 기반 평판 디스플레이, 또는 터치 패널로 구현될 수 있다. 디스플레이 제어기(96)는 디스플레이(86)에게 송신되는 비디오 신호를 생성하는 데 필요한 전자 컴포넌트들을 포함한다.

게다가, 컴퓨팅 시스템(90)은 컴퓨팅 시스템(90)이 네트워크의 다른 노드들과 통신할 수 있게 하기 위해 컴퓨팅 시스템(90)을, 도 21a 및 도 21b의 네트워크(12)와 같은, 외부 통신 네트워크에 접속시키는 데 사용될 수 있는, 예를 들어, 네트워크 어댑터(97)와 같은, 통신 회로부를 포함할 수 있다.

사용자 장비(UE)는 통신하기 위해 최종 사용자에 의해 사용되는 임의의 디바이스일 수 있다. 사용자 장비(UE)는 핸드헬드 전화기, 모바일 광대역 어댑터가 장착된 랩톱 컴퓨터, 또는 임의의 다른 디바이스일 수 있다. 예를 들어, UE는 도 21a 및 도 21b의 M2M 단말 디바이스(18) 또는 도 21c의 디바이스(30)로서 구현될 수 있다.

본원에 기술되는 시스템들, 방법들 및 프로세스들 중 일부 또는 전부가 컴퓨터 판독가능 저장 매체 상에 저장된 컴퓨터 실행가능 명령어들(즉, 프로그램 코드)의 형태로 구현될 수 있고, 이 명령어들이, 예를 들어, M2M 서버, 게이트웨이, 디바이스 등을 비롯한 M2M 네트워크의 노드와 같은 머신에 의해 실행될 때, 본원에 기술되는 시스템들, 방법들 및 프로세스들을 수행 및/또는 구현한다는 것을 잘 알 것이다. 구체적으로는, 게이트웨이, UE, UE/GW, 또는 모바일 코어 네트워크의 노드들, 서비스 계층 또는 네트워크 애플리케이션 제공자 중 임의의 것의 동작들을 비롯한, 앞서 기술된 단계들, 동작들 또는 기능들 중 임의의 것이 이러한 컴퓨터 실행가능 명령어들의 형태로 구현될 수 있다. MME(202), WLAN AN(204), S-GW(206), P-GW(208), HSS(210), 3GPP AAA 서버(212), UE(214), EPC(216), TWAN(218), HeNB(220), TWAP(224), ISWN(230), TWAG(232), S-GwIP-GW(1002), 매크로 eNB(1702), 신뢰할 수 없는 WLAN(1802), 및 ePDG(1804)와 같은 논리적 엔티티들 그리고 도 20에 도시된 사용자 인터페이스(2000)를 생성하기 위한 논리적 엔티티들이 컴퓨터 판독가능 저장 매체 상에 저장되는 컴퓨터 실행가능 명령어들의 형태로 구현될 수 있다. 컴퓨터 판독가능 저장 매체는 정보의 저장을 위해 임의의 비일시적(즉, 유형적 또는 물리적) 방법 또는 기술로 구현되는 휘발성 및 비휘발성, 이동식 및 비이동식 매체 둘 다를 포함하지만, 이러한 컴퓨터 판독가능 저장 매체가 신호들은 포함하지 않는다. 컴퓨터 판독가능 저장 매체는 RAM, ROM, EEPROM, 플래시 메모리 또는 다른 메모리 기술, CD-ROM, DVD(digital versatile disk) 또는 다른 광학 디스크 저장소, 자기 카세트, 자기 테이프, 자기 디스크 저장소 또는 다른 자기 저장 디바이스, 또는 원하는 정보를 저장하는 데 사용될 수 있고 컴퓨터에 의해 액세스될 수 있는 임의의 다른 유형적 또는 물리적 매체를 포함하지만, 이들로 제한되지 않는다.

본 개시내용의 발명 요지의 바람직한 실시예들을 기술함에 있어서, 도면들에 예시된 바와 같이, 명확함을 위해 특정의 용어가 이용된다. 그렇지만, 청구된 발명 요지는 그렇게 선택된 특정 용어로 제한되는 것으로 의도되어 있지 않으며, 각각의 특정 요소가 유사한 목적을 달성하기 위해 유사한 방식으로 동작하는 모든 기술적 등가물들을 포함한다는 것을 잘 알 것이다.

이러한 서면 설명은 최상의 실시 형태(best mode)를 비롯한 본 발명을 개시하기 위해 그리고 또한 통상의 기술자가, 임의의 디바이스들 또는 시스템들을 제조 및 사용하는 것 그리고 임의의 포함된 방법들을 수행하는 것을 비롯하여, 본 발명을 실시할 수 있게 하기 위해 예들을 사용한다. 본 발명의 특허가능 범주는 청구항들에 의해 한정되고, 통상의 기술자에게 안출되는 다른 예들을 포함할 수 있다. 이러한 다른 예들은, 청구항들의 문언적 표현과 상이하지 않은 요소들을 가지는 경우, 또는 청구항들의 문언적 표현과 그다지 차이를 갖지 않는 등가의 요소들을 포함하는 경우, 청구항들의 범주 내에 속하는 것으로 의도된다.

Claims (20)

1. 프로세서와 메모리를 포함하는 장치로서, 상기 장치는, 상기 장치의 상기 프로세서에 의해 실행될 때, 상기 장치로 하여금
   제1 무선 액세스 기술을 사용하는 제1 액세스 포인트를 통해 네트워크 노드에 접속 및 인증하게 하고,
   재-인증 식별자를, 상기 제1 무선 액세스 기술을 사용하는 상기 제1 액세스 포인트를 통해 상기 네트워크 노드에 접속 및 인증하는 것에 기초하여, 수신하게 하고,
   제2 무선 액세스 기술을 사용하는 제2 액세스 포인트를 통해 상기 네트워크 노드에, 상기 제1 무선 액세스 기술을 사용하는 상기 제1 액세스 포인트를 통해 상기 네트워크 노드에 접속 및 인증한 후에, 그리고 상기 재-인증 식별자를 사용하여, 접속 및 인증하게 하는
   상기 장치의 상기 메모리에 저장된 컴퓨터 실행가능 명령어들을 추가로 포함하고, 상기 제1 액세스 포인트를 통해 상기 네트워크 노드에 접속 및 인증하는 것은 복수의 단계를 포함하고, 상기 제2 액세스 포인트를 통해 상기 네트워크 노드에 접속 및 인증하는 것은 상기 복수의 단계의 서브세트를 포함하는, 장치.
2. 제1항에 있어서, 상기 제1 액세스 포인트 및 상기 제2 액세스 포인트 중 하나는 WiFi 액세스 포인트이고, 상기 제1 액세스 포인트 및 상기 제2 액세스 포인트 중 다른 하나는 셀룰러 액세스 포인트인, 장치.
3. 제2항에 있어서, 상기 WiFi 액세스 포인트는 신뢰할 수 있는(trusted) WLAN 또는 신뢰할 수 없는(untrusted) WLAN 중 하나로의 액세스를 제공하고,
   상기 셀룰러 액세스 포인트는 eNodeB로의 액세스를 제공하는, 장치.
4. 제1항에 있어서, 상기 네트워크 노드는 이동성 관리 기능인, 장치.
5. 제1항에 있어서,
   상기 제1 액세스 포인트를 통해 상기 네트워크 노드에 접속 및 인증하는 것은 인증 식별자를 수신하는 것을 포함하고,
   상기 제2 액세스 포인트를 통해 상기 네트워크 노드에 접속 및 인증하는 것은 상기 인증 식별자에 기초하여 키를 생성하는 것을 포함하는, 장치.
6. 장치에 의해 수행되는 방법으로서,
   제1 무선 액세스 기술을 사용하는 제1 액세스 포인트를 통해 네트워크 노드에 접속 및 인증하는 단계;
   재-인증 식별자를, 상기 제1 무선 액세스 기술을 사용하는 상기 제1 액세스 포인트를 통해 상기 네트워크 노드에 접속 및 인증하는 것에 기초하여, 수신하는 단계; 및
   제2 무선 액세스 기술을 사용하는 제2 액세스 포인트를 통해 상기 네트워크노드에, 상기 제1 무선 액세스 기술을 사용하는 상기 제1 액세스 포인트를 통해 상기 네트워크 노드에 접속 및 인증한 후에, 그리고 상기 재-인증 식별자를 사용하여, 접속 및 인증하는 단계
   를 포함하고, 상기 제1 액세스 포인트를 통해 상기 네트워크 노드에 접속 및 인증하는 것은 복수의 단계를 포함하고, 상기 제2 액세스 포인트를 통해 상기 네트워크 노드에 접속 및 인증하는 것은 상기 복수의 단계의 서브세트를 포함하는, 방법.
7. 제6항에 있어서, 상기 제1 액세스 포인트 및 상기 제2 액세스 포인트 중 하나는 WiFi 액세스 포인트이고, 상기 제1 액세스 포인트 및 상기 제2 액세스 포인트 중 다른 하나는 셀룰러 액세스 포인트인, 방법.
8. 제7항에 있어서, 상기 WiFi 액세스 포인트는 신뢰할 수 있는 WLAN 또는 신뢰할 수 없는 WLAN 중 하나로의 액세스를 제공하고,
   상기 셀룰러 액세스 포인트는 eNodeB로의 액세스를 제공하는, 방법.
9. 제6항에 있어서, 상기 네트워크 노드는 이동성 관리 기능인, 방법.
10. 제6항에 있어서,
    상기 제1 액세스 포인트를 통해 상기 네트워크 노드에 접속 및 인증하는 단계는 인증 식별자를 수신하는 단계를 포함하고,
    상기 제2 액세스 포인트를 통해 상기 네트워크 노드에 접속 및 인증하는 단계는 상기 인증 식별자에 기초하여 키를 생성하는 단계를 포함하는, 방법.
11. 프로세서 및 메모리를 포함하는 네트워크 노드로서, 상기 네트워크 노드는, 상기 네트워크 노드의 상기 프로세서에 의해 실행될 때, 상기 네트워크 노드로 하여금
    제1 무선 액세스 기술을 사용하는 제1 액세스 포인트를 통해 상기 네트워크 노드에, 인증 식별자를 생성하는 단계를 포함하는 제1 절차를 사용하여, 접속 및 인증하기 위한 요청을, 디바이스로부터, 수신하게 하고,
    제2 무선 액세스 기술을 사용하는 제2 액세스 포인트를 통해 상기 네트워크노드에, 상기 제1 무선 액세스 기술을 사용하는 상기 제1 액세스 포인트를 통해 상기 네트워크 노드에 접속 및 인증한 후에, 그리고 상기 인증 식별자에 기초하여 키를 생성하는 것을 포함하는 제2 절차를 사용하여, 접속 및 인증하기 위한 요청을, 상기 디바이스로부터, 수신하게 하는
    상기 네트워크 노드의 상기 메모리에 저장된 컴퓨터 실행가능 명령어들을 추가로 포함하고, 상기 제1 절차는 복수의 단계를 포함하고, 상기 제2 절차는 상기 복수의 단계의 서브세트를 포함하는, 네트워크 노드.
12. 제11항에 있어서, 상기 제1 액세스 포인트 및 상기 제2 액세스 포인트 중 하나는 WiFi 액세스 포인트이고, 상기 제1 액세스 포인트 및 상기 제2 액세스 포인트 중 다른 하나는 셀룰러 액세스 포인트인, 네트워크 노드.
13. 제12항에 있어서, 상기 WiFi 액세스 포인트는 신뢰할 수 있는 WLAN 또는 신뢰할 수 없는 WLAN 중 하나로의 액세스를 제공하고,
    상기 셀룰러 액세스 포인트는 eNodeB로의 액세스를 제공하는, 네트워크 노드.
14. 제11항에 있어서, 상기 네트워크 노드는 이동성 관리 기능인, 네트워크 노드.
15. 제11항에 있어서,
    상기 제1 절차는 재-인증 식별자를, 상기 디바이스에, 송신하는 단계를 포함하고,
    상기 제2 절차는 상기 재-인증 식별자를, 상기 디바이스로부터, 수신하는 단계를 포함하는, 네트워크 노드.
16. 네트워크 노드에 의해 수행되는 방법으로서,
    제1 무선 액세스 기술을 사용하는 제1 액세스 포인트를 통해 상기 네트워크 노드에, 인증 식별자를 생성하는 단계를 포함하는 제1 절차를 사용하여, 접속 및 인증하기 위한 요청을, 디바이스로부터, 수신하는 단계; 및
    제2 무선 액세스 기술을 사용하는 제2 액세스 포인트를 통해 상기 네트워크노드에, 상기 제1 무선 액세스 기술을 사용하는 상기 제1 액세스 포인트를 통해 상기 네트워크 노드에 접속 및 인증한 후에, 그리고 상기 인증 식별자에 기초하여 키를 생성하는 것을 포함하는 제2 절차를 사용하여, 접속 및 인증하기 위한 요청을, 상기 디바이스로부터, 수신하는 단계
    를 포함하고, 상기 제1 절차는 복수의 단계를 포함하고, 상기 제2 절차는 상기 복수의 단계의 서브세트를 포함하는, 방법.
17. 제16항에 있어서, 상기 제1 액세스 포인트 및 상기 제2 액세스 포인트 중 하나는 WiFi 액세스 포인트이고, 상기 제1 액세스 포인트 및 상기 제2 액세스 포인트 중 다른 하나는 셀룰러 액세스 포인트인, 방법.
18. 제17항에 있어서, 상기 WiFi 액세스 포인트는 신뢰할 수 있는 WLAN 또는 신뢰할 수 없는 WLAN 중 하나로의 액세스를 제공하고,
    상기 셀룰러 액세스 포인트는 eNodeB로의 액세스를 제공하는, 방법.
19. 제16항에 있어서, 상기 네트워크 노드는 이동성 관리 기능인, 방법.
20. 제16항에 있어서,
    상기 제1 절차는 재-인증 식별자를, 상기 디바이스에, 송신하는 단계를 포함하고,
    상기 제2 절차는 상기 재-인증 식별자를, 상기 디바이스로부터, 수신하는 단계를 포함하는, 방법.

Images