KR102447299B1 - 셀룰러 사물 인터넷에 대한 네트워크 보안 아키텍처 - Google Patents

셀룰러 사물 인터넷에 대한 네트워크 보안 아키텍처 Download PDF

Info

Publication number
KR102447299B1
KR102447299B1 KR1020187000632A KR20187000632A KR102447299B1 KR 102447299 B1 KR102447299 B1 KR 102447299B1 KR 1020187000632 A KR1020187000632 A KR 1020187000632A KR 20187000632 A KR20187000632 A KR 20187000632A KR 102447299 B1 KR102447299 B1 KR 102447299B1
Authority
KR
South Korea
Prior art keywords
network
client device
packet
key
user plane
Prior art date
Application number
KR1020187000632A
Other languages
English (en)
Other versions
KR20180030023A (ko
Inventor
수범 이
게빈 버나드 호른
아난드 팔라니고운데르
Original Assignee
퀄컴 인코포레이티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 퀄컴 인코포레이티드 filed Critical 퀄컴 인코포레이티드
Publication of KR20180030023A publication Critical patent/KR20180030023A/ko
Application granted granted Critical
Publication of KR102447299B1 publication Critical patent/KR102447299B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/106Packet or message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/70Services for machine-to-machine communication [M2M] or machine type communication [MTC]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/061Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Telephonic Communication Services (AREA)

Abstract

일 양태에서, 클라이언트 디바이스들을 지원하는 네트워크는 네트워크 기능부들을 구현하는 하나 이상의 네트워크 노드들을 포함한다. 이러한 네트워크 기능부들은, 클라이언트 디바이스가 접속 모드에 있지 않은 경우 클라이언트 디바이스가 네트워크와 통신하기 위해 보안 콘텍스트를 적용하게 한다. 클라이언트 디바이스는 제 1 네트워크 노드에서 구현된 사용자 평면 네트워크 기능부와 공유된 사용자 평면 키 및/또는 제 2 네트워크 노드에서 구현된 제어 평면 네트워크 기능부와 공유된 제어 평면 키를 획득한다. 클라이언트 디바이스는 사용자 평면 키로 데이터 패킷을 또는 제어 평면 키로 제어 패킷을 보호한다. 데이터 패킷은 제 1 네트워크 노드를 나타내는 제 1 목적지 정보를 포함하고 제어 패킷은 제 2 네트워크 노드를 나타내는 제 2 목적지 정보를 포함한다. 클라이언트 디바이스는 데이터 패킷 또는 제어 패킷을 송신한다.

Description

셀룰러 사물 인터넷에 대한 네트워크 보안 아키텍처{NETWORK SECURITY ARCHITECTURE FOR CELLULAR INTERNET OF THINGS}
관련 출원들의 상호참조
본 특허출원은 2015 년 7 월 12 일자로 미국 특허상표국에 출원된 가출원 제 62/191,459 호, 및 2016 년 5 월 20 일자로 미국 특허상표국에 출원된 정규 출원 제 15/160,326 호에 우선권을 주장하고, 이들 전체 내용들은 참조로서 본원에 포함된다.
개시물의 기술분야
본 개시물의 양태들은 일반적으로 통신, 및 보다 구체적이지만 비제한적으로 사물 인터넷 (IoT) 네트워크 아키텍처에 관한 것이다.
데이터를 수집, 프로세싱, 및 교환하기 위한 전자 디바이스들의 능력들은 계속해서 증가하고 있다. 또한, 증가하는 수의 이들 전자 디바이스들에는 네트워크 접속성이 제공되고 있다. 이러한 능력들 및 특성들은 많은 전자 디바이스들이 사물 인터넷 (IoT) 디바이스들로 진화하게 한다. 전자 디바이스들의 이들 유형들의 수가 계속해서 빠르게 증가함에 따라, 네트워크들은 이들 전자 디바이스들을 적합하게 지원할 리소스들을 갖지 않을 수도 있다.
예를 들어, IoT 환경에서, 네트워크 (예를 들어, LTE 네트워크) 는 다수 (예를 들어, 10 억) 의 IoT 디바이스들 (예를 들어, 감소된 데이터 트랜스퍼 모드 또는 저 전력 소비 모드에서 네트워크에 어태치하는 클라이언트 디바이스들) 을 지원할 필요가 있을 수도 있다. IoT 목적들을 위해 네트워크에 의해 할당된 리소스들의 양이 제한될 수도 있기 때문에, 네트워크는 이들 유형들의 디바이스들에 대한 모든 콘텍스트들을 유지할 수 없을 수도 있다. 클라이언트 디바이스에 대한 사용자 평면 데이터 송신들을 위해 사용되는 콘텍스트는, 네트워크와 통신하기 위해 클라이언트 디바이스에 의해 수행될 시그널링의 양을 감소시킬 수도 있다. 이들 환경들을 고려하여, 네트워크 액세스 노드는 통상적으로, 클라이언트 디바이스가 아이들 모드에 진입하는 경우 클라이언트 디바이스 콘텍스트를 제거 (예를 들어, 삭제) 하고 클라이언트 디바이스가 접속 모드 (또한, 활성 모드로도 지칭됨) 에 진입하는 경우 새로운 클라이언트 디바이스 콘텍스트를 확립한다. 이 아이들 모드에서 접속 모드로의 트랜지션은 메시지들을 시그널링하는 관점에서 클라이언트 디바이스에 대한 실질적인 오버헤드를 수반한다. 또한, 이러한 아이들 모드에서 접속 모드로의 트랜지션들은, 클라이언트 디바이스로 하여금 더 긴 기간 동안 어웨이크 상태로 있게 할 수도 있고, 따라서 클라이언트 디바이스의 전력 소비를 증가시킬 수도 있다.
다음은 이러한 양태들의 기본적인 이해를 제공하기 위해 본 개시물의 일부 양태들의 단순화된 요약을 제시한다. 본 요약은 본 개시물의 모든 고려되는 특성들의 광범위한 개요가 아니며, 본 개시물의 모든 양태들의 주요한 또는 중요한 엘리먼트들을 식별하도록 의도된 것도 아니고 본 개시물의 임의의 양태 또는 모든 양태들의 범위를 기술하도록 의도된 것도 아니다. 이것의 유일한 목적은 추후에 제시되는 상세한 설명에 대한 서두로서 본 개시물의 일부 양태들의 다양한 개념들을 단순화된 형태로 제시하는 것이다.
일 양태에서, 네트워크에서의 클라이언트 디바이스에 대한 방법이 제공된다. 클라이언트 디바이스는, 네트워크에 등록하고, 적어도, 제 1 네트워크 노드에서 구현된 사용자 평면 네트워크 기능부와 공유된 사용자 평면 키 또는 제 2 네트워크 노드에서 구현된 제어 평면 네트워크 기능부와 공유된 제어 평면 키를 획득하고, 사용자 평면 키로 데이터 패킷을 또는 제어 평면 키로 제어 패킷을 보호하며, 데이터 패킷 또는 제어 패킷을 송신할 수도 있다. 일 양태에서, 데이터 패킷은 데이터 패킷이 제 1 네트워크 노드에서 프로세싱된다는 것을 나타내는 제 1 목적지 정보를 포함하고, 제 1 목적지 정보는 네트워크 액세스 노드가 데이터 패킷을 제 1 네트워크 노드로 포워딩하게 하며, 제어 패킷은 제어 패킷이 제 2 네트워크 노드에서 프로세싱된다는 것을 나타내는 제 2 목적지 정보를 포함하고, 제 2 목적지 정보는 네트워크 액세스 노드가 제어 패킷을 제 2 네트워크 노드로 포워딩하게 한다. 일 양태에서, 클라이언트 디바이스는 네트워크로부터 패킷을 수신하고, 수신된 패킷이 데이터 또는 제어 정보를 포함하는지 여부를 결정하며, 이 결정에 기초하여 사용자 평면 키 또는 제어 평면 키로 수신된 패킷을 디코딩할 수도 있다. 일 양태에서, 클라이언트 디바이스는 사용자 평면 키 또는 제어 평면 키로 수신된 패킷을 해독 (decrypt) 및 확인함으로써 수신된 패킷을 디코딩할 수도 있다. 일 양태에서, 클라이언트 디바이스는 수신된 패킷 및 사용자 평면 키나 제어 평면 키에 기초하여 메시지 인증 코드 생성 알고리즘을 적용함으로써 제 1 메시지 인증 코드를 결정하고 제 1 메시지 인증 코드를 수신된 패킷과 연관된 제 2 메시지 인증 코드에 비교함으로써 수신된 패킷을 확인할 수도 있다. 일 양태에서, 클라이언트 디바이스는 사용자 평면에 대하여 클라이언트 디바이스에 대한 네트워크 상태 정보를 나타내는 사용자 평면 보안 콘텍스트 또는 제어 평면에 대하여 클라이언트 디바이스에 대한 네트워크 상태 정보를 나타내는 제어 평면 보안 콘텍스트 중 적어도 하나를 획득할 수도 있다. 일 양태에서, 클라이언트 디바이스는 사용자 평면 키에 기초하여 제 1 암호화 키 및 제 1 무결성 키를 도출함으로써 사용자 평면 보안 콘텍스트를 획득할 수도 있고, 제어 평면 키에 기초하여 제 2 암호화 키 및 제 2 무결성 키를 도출함으로써 제어 평면 보안 콘텍스트를 획득할 수도 있다. 일 양태에서, 사용자 평면 보안 콘텍스트 또는 제어 평면 보안 콘텍스트는 액세스 층 보안 보호를 포함하지 않는다. 일 양태에서, 사용자 평면 네트워크 기능부 식별자 또는 제어 평면 네트워크 기능부 식별자는 수신된 패킷의 헤더에 포함되고, 클라이언트 디바이스는 감소된 데이터 트랜스퍼 모드에 등록된다. 일 양태에서, 데이터 패킷은 사용자 평면 키에 기초하여 암호화 또는 무결성 보호되거나, 또는 암호화 및 무결성 보호 양자 모두를 하게 되고, 제어 패킷은 제어 평면 키에 기초하여 암호화 또는 무결성 보호되거나, 또는 암호화 및 무결성 보호 양자 모두를 하게 된다. 일 양태에서, 클라이언트 디바이스는 네트워크에 어태치하기 위한 요청을 송신하고, 이 요청에 응답하여 인증 절차와 연관된 메시지를 네트워크로부터 수신함으로써 네트워크에 등록할 수도 있다. 이러한 양태에서, 사용자 평면 키 또는 제어 평면 키는 메시지에 기초하여 획득되고, 어태치 요청은 클라이언트 디바이스가 감소된 데이터 트랜스퍼 모드에서 어태치된다는 것을 나타낸다.
일 양태에서, 클라이언트 디바이스가 제공된다. 클라이언트 디바이스는 네트워크에 등록하기 위한 수단, 적어도, 제 1 네트워크 노드에서 구현된 사용자 평면 네트워크 기능부와 공유된 사용자 평면 키 또는 제 2 네트워크 노드에서 구현된 제어 평면 네트워크 기능부와 공유된 제어 평면 키를 획득하기 위한 수단, 사용자 평면 키로 데이터 패킷을 또는 제어 평면 키로 제어 패킷을 보호하기 위한 수단, 및 데이터 패킷 또는 제어 패킷을 송신하기 위한 수단을 포함할 수도 있다. 데이터 패킷은 데이터 패킷이 제 1 네트워크 노드에서 프로세싱된다는 것을 나타내는 제 1 목적지 정보를 포함할 수도 있고, 제 1 목적지 정보는 네트워크 액세스 노드가 데이터 패킷을 제 1 네트워크 노드로 포워딩하게 할 수 있고, 제어 패킷은 제어 패킷이 제 2 네트워크 노드에서 프로세싱된다는 것을 나타내는 제 2 목적지 정보를 포함할 수도 있고, 제 2 목적지 정보는 네트워크 액세스 노드가 제어 패킷을 제 2 네트워크 노드로 포워딩하게 할 수 있다. 일 양태에서, 클라이언트 디바이스는 네트워크로부터 패킷을 수신하기 위한 수단, 수신된 패킷이 데이터 또는 제어 정보를 포함하는지 여부를 결정하기 위한 수단, 및 결정에 기초하여 사용자 평면 키 또는 제어 평면 키로 수신된 패킷을 디코딩하기 위한 수단을 포함할 수도 있다. 일 양태에서, 수신된 패킷을 디코딩하기 위한 수단은 사용자 평면 키 또는 제어 평면 키로 수신된 패킷을 해독 및 확인하도록 구성된다. 일 양태에서, 수신된 패킷을 확인하기 위한 수단은 수신된 패킷 및 사용자 평면 키나 제어 평면 키에 기초하여 메시지 인증 코드 생성 알고리즘을 적용함으로써 제 1 메시지 인증 코드를 결정하고, 제 1 메시지 인증 코드를 수신된 패킷과 연관된 제 2 메시지 인증 코드에 비교하도록 구성될 수도 있다. 일 양태에서, 클라이언트 디바이스는 사용자 평면에 대하여 클라이언트 디바이스에 대한 네트워크 상태 정보를 나타내는 사용자 평면 보안 콘텍스트 또는 제어 평면에 대하여 클라이언트 디바이스에 대한 네트워크 상태 정보를 나타내는 제어 평면 보안 콘텍스트 중 적어도 하나를 획득하기 위한 수단을 더 포함할 수도 있다. 일 양태에서, 사용자 평면 보안을 획득하기 위한 수단은 사용자 평면 키에 기초하여 제 1 암호화 키 및 제 1 무결성 키를 도출하도록 구성될 수도 있고, 제어 평면 보안 콘텍스트를 획득하는 것은 제어 평면 키에 기초하여 제 2 암호화 키 및 제 2 무결성 키를 도출하는 것을 포함한다. 일 양태에서, 사용자 평면 보안 콘텍스트 또는 제어 평면 보안 콘텍스트는 액세스 층 보안 보호를 포함하지 않는다. 일 양태에서, 사용자 평면 네트워크 기능부 식별자 또는 제어 평면 네트워크 기능부 식별자는 수신된 패킷의 헤더에 포함되고, 클라이언트 디바이스는 감소된 데이터 트랜스퍼 모드에서 등록된다. 일 양태에서, 데이터 패킷은 사용자 평면 키에 기초하여 암호화 또는 무결성 보호되거나, 또는 암호화 및 무결성 보호 양자 모두를 하게 되고, 제어 패킷은 제어 평면 키에 기초하여 암호화 또는 무결성 보호되거나, 또는 암호화 및 무결성 보호 양자 모두를 하게 된다. 일 양태에서, 네트워크에 등록하기 위한 수단은 네트워크에 어태치하기 위한 요청을 송신하고, 이 요청에 응답하여 인증 절차와 연관된 메시지를 네트워크로부터 수신하도록 구성될 수도 있다. 이러한 양태에서, 사용자 평면 키 또는 제어 평면 키는 메시지에 기초하여 획득되고, 어태치 요청은, 클라이언트 디바이스가 감소된 데이터 트랜스퍼 모드에서 어태치된다는 것을 나타낸다.
일 양태에서, 네트워크 액세스 노드에 대한 방법이 제공된다. 네트워크 액세스 노드는 클라이언트 디바이스로부터 제 1 패킷을 수신하고, 클라이언트 디바이스의 네트워크 어태치 모드에 기초하여 다음 홉 네트워크 노드를 결정하며, 네트워크 어태치 모드가 감소된 데이터 트랜스퍼 모드에 있는 경우 클라이언트 디바이스로부터 수신된 제 1 패킷을 확인하지 않고 다음 홉 네트워크 노드로 제 1 패킷을 포워딩할 수도 있다. 일 양태에서, 네트워크 액세스 노드는 네트워크 노드로부터 제 2 패킷을 수신하고, 클라이언트 디바이스의 네트워크 어태치 모드가 감소된 데이터 트랜스퍼 모드에 있는 경우 제 2 패킷을 보호하지 않고 네트워크 노드로부터 수신된 제 2 패킷을 클라이언트 디바이스로 포워딩할 수도 있다. 일 양태에서, 네트워크 액세스 노드는, 클라이언트 디바이스로부터, 네트워크 어태치 모드의 표시로 네트워크에 어태치하기 위한 요청을 수신하고, 네트워크 어태치 모드는 감소된 데이터 트랜스퍼 모드이다. 일 양태에서, 다음 홉 네트워크 노드의 결정은 네트워크 액세스 노드에서 미리구성된 정보에 기초하거나 또는 제 1 패킷에 포함된 목적지 정보에 기초하고, 네트워크 어태치 모드는 감소된 데이터 트랜스퍼 모드이다. 일 양태에서, 목적지 정보는 네트워크 기능부를 구현하는 네트워크 노드의 식별을 가능하게 하는 네트워크 기능부 식별자를 포함한다. 일 양태에서, 네트워크 기능부 식별자는 제 1 네트워크 노드에서 구현된 제어 평면 네트워크 기능부 또는 제 2 네트워크 노드에서 구현된 사용자 평면 네트워크 기능부와 연관된다. 일 양태에서, 네트워크 액세스 노드는, 데이터 패킷 또는 제어 패킷인 제 1 패킷에, 클라이언트 디바이스와 연관된 임시 식별자를 추가할 수도 있고, 임시 식별자를 저장할 수도 있다. 일 양태에서, 임시 식별자는 셀 무선 네트워크 임시 식별자 (C-RNTI) 이고, 임시 식별자는 미리결정된 기간 동안 저장된다. 일 양태에서, 네트워크 액세스 노드는 제 2 패킷에서의 임시 식별자로부터 클라이언트 디바이스를 식별할 수도 있고, 제 2 패킷은 데이터 패킷 또는 제어 패킷이다. 일 양태에서, 네트워크 액세스 노드는 제 2 패킷을 포워딩하기 전에 제 2 패킷으로부터 임시 식별자를 제거할 수도 있다.
일 양태에서, 네트워크 액세스 노드가 제공된다. 네트워크 액세스 노드는 클라이언트 디바이스로부터 제 1 패킷을 수신하기 위한 수단, 클라이언트 디바이스의 네트워크 어태치 모드에 기초하여 다음 홉 네트워크 노드를 결정하기 위한 수단, 및 네트워크 어태치 모드가 감소된 데이터 트랜스퍼 모드에 있는 경우 클라이언트 디바이스로부터 수신된 제 1 패킷을 확인하지 않고 다음 홉 네트워크 노드로 제 1 패킷을 포워딩하기 위한 수단을 포함할 수도 있다. 일 양태에서, 네트워크 액세스 노드는 네트워크 노드로부터 제 2 패킷을 수신하기 위한 수단, 및 클라이언트 디바이스의 네트워크 어태치 모드가 감소된 데이터 트랜스퍼 모드에 있는 경우 제 2 패킷을 보호하지 않고 네트워크 노드로부터 수신된 제 2 패킷을 클라이언트 디바이스로 포워딩하기 위한 수단을 더 포함할 수도 있다. 일 양태에서, 네트워크 액세스 노드는, 클라이언트 디바이스로부터, 네트워크 어태치 모드의 표시로 네트워크에 어태치하기 위한 요청을 수신하기 위한 수단을 더 포함할 수도 있고, 네트워크 어태치 모드는 감소된 데이터 트랜스퍼 모드이다. 일 양태에서, 다음 홉 네트워크 노드의 결정은 네트워크 액세스 노드에서 미리구성된 정보에 기초하거나 제 1 패킷에 포함된 목적지 정보에 기초하고, 네트워크 어태치 모드는 감소된 데이터 트랜스퍼 모드이다. 일 양태에서, 목적지 정보는 네트워크 기능부를 구현하는 네트워크 노드의 식별을 가능하게 하는 네트워크 기능부 식별자를 포함한다. 일 양태에서, 네트워크 기능부 식별자는 제 1 네트워크 노드에서 구현된 제어 평면 네트워크 기능부 또는 제 2 네트워크 노드에서 구현된 사용자 평면 네트워크 기능부와 연관된다. 일 양태에서, 네트워크 액세스 노드는, 데이터 패킷 또는 제어 패킷인 제 1 패킷에, 클라이언트 디바이스와 연관된 임시 식별자를 추가하기 위한 수단, 및 임시 식별자를 저장하기 위한 수단을 포함할 수도 있다. 일 양태에서, 임시 식별자는 셀 무선 네트워크 임시 식별자 (C-RNTI) 이고, 임시 식별자는 미리결정된 기간 동안 저장된다. 일 양태에서, 네트워크 액세스 노드는 제 2 패킷에서의 임시 식별자로부터 클라이언트 디바이스를 식별하기 위한 수단을 더 포함할 수도 있고, 제 2 패킷은 데이터 패킷 또는 제어 패킷이다. 일 양태에서, 네트워크 액세스 노드는 제 2 패킷을 포워딩하기 전에 제 2 패킷으로부터 임시 식별자를 제거하기 위한 수단을 더 포함할 수도 있다.
일 양태에서, 제 1 네트워크 노드에 대한 방법이 제공된다. 제 1 네트워크 노드는 제 1 네트워크 노드에서 구현된 제어 평면 네트워크 기능부에서, 클라이언트 디바이스에 대한 보안 콘텍스트를 확립하고, 제 1 네트워크 노드에서 구현된 제어 평면 네트워크 기능부에서, 제 2 네트워크 노드에서 구현된 사용자 평면 네트워크 기능부에 대한 사용자 평면 키를 획득하며, 제 1 네트워크 노드에서 구현된 제어 평면 네트워크 기능부로부터, 제 2 네트워크 노드에서 구현된 사용자 평면 네트워크 기능부로 사용자 평면 키를 트랜스퍼할 수도 있다. 일 양태에서, 제 1 네트워크 노드는 클라이언트 디바이스와 상호 인증 절차를 수행함으로써 클라이언트 디바이스에 대한 보안 콘텍스트를 확립할 수도 있다. 일 양태에서, 제 1 네트워크 노드는 상호 인증 절차 동안 확립된 세션 크리덴셜로부터 사용자 평면 키를 도출함으로써 사용자 평면 키를 획득할 수도 있다. 일 양태에서, 제 1 네트워크 노드는, 제 1 네트워크 노드에서 구현된 제어 평면 네트워크 기능부에서, 제어 평면 네트워크 기능부에 대한 제어 평면 키를 획득할 수도 있다.
일 양태에서, 제 1 네트워크 노드가 제공된다. 제 1 네트워크 노드는 제 1 네트워크 노드에서 구현된 제어 평면 네트워크 기능부에서, 클라이언트 디바이스에 대한 보안 콘텍스트를 확립하기 위한 수단, 제 1 네트워크 노드에서 구현된 제어 평면 네트워크 기능부에서, 제 2 네트워크 노드에서 구현된 사용자 평면 네트워크 기능부에 대한 사용자 평면 키를 획득하기 위한 수단, 및 제 1 네트워크 노드에서 구현된 제어 평면 네트워크 기능부로부터, 제 2 네트워크 노드에서 구현된 사용자 평면 네트워크 기능부로 사용자 평면 키를 트랜스퍼하기 위한 수단을 포함할 수도 있다. 일 양태에서, 클라이언트 디바이스에 대한 보안 콘텍스트를 확립하기 위한 수단은 클라이언트 디바이스와 상호 인증 절차를 수행하도록 구성될 수도 있다. 일 양태에서, 사용자 평면 키를 획득하기 위한 수단은 상호 인증 절차 동안 확립된 세션 크리덴셜로부터 사용자 평면 키를 도출하도록 구성될 수도 있다. 일 양태에서, 제 1 네트워크 노드는, 제 1 네트워크 노드에서 구현된 제어 평면 네트워크 기능부에서, 제어 평면 네트워크 기능부에 대한 제어 평면 키를 획득하기 위한 수단을 더 포함할 수도 있다.
일 양태에서, 네트워크 액세스 노드에 대한 방법이 제공된다. 네트워크 노드는, 네트워크 노드에서 구현된 사용자 평면 네트워크 기능부에서, 클라이언트 디바이스에 대한 보안 콘텍스트를 획득할 수도 있다. 네트워크 노드는, 네트워크 노드에서 구현된 사용자 평면 네트워크 기능부에서 클라이언트 디바이스로부터의 데이터 패킷의 적어도 해독 또는 확인을 위해 사용될 키를 결정하고, 네트워크 노드에서 구현된 사용자 평면 네트워크 기능부에서 클라이언트 디바이스로부터 데이터 패킷을 수신하며, 네트워크 노드에서 구현된 사용자 평면 네트워크 기능부에서 키에 기초하여 클라이언트 디바이스로부터의 데이터 패킷을 해독 및 확인할 수도 있다. 일 양태에서, 네트워크 노드는 네트워크 노드의 제어 평면 네트워크 기능부로부터 보안 콘텍스트를 수신함으로써 보안 콘텍스트를 획득할 수도 있다. 일 양태에서, 네트워크 노드는, 네트워크 노드에서 구현된 사용자 평면 네트워크 기능부에서, 클라이언트 디바이스에 대한 데이터 패킷을 애플리케이션 서버 또는 게이트웨이로부터 수신할 수도 있다. 네트워크 노드는, 네트워크 노드에서 구현된 사용자 평면 네트워크 기능부에서 클라이언트 디바이스와 연관된 적어도 하나의 키를 결정할 수도 있고, 네트워크 노드에서 구현된 사용자 평면 네트워크 기능부에서, 적어도 하나의 키를 사용하여 클라이언트 디바이스에 대한 데이터 패킷을 보호할 수도 있다. 일 양태에서, 네트워크 노드는, 네트워크 노드에서 구현된 사용자 평면 네트워크 기능부로부터, 클라이언트 디바이스에 대한 데이터 패킷을 다음 홉 네트워크 노드로 송신할 수도 있다. 일 양태에서, 네트워크 노드는, 클라이언트 디바이스에 대해, 데이터 패킷을 암호화 또는 무결성 보호하거나, 또는 데이터 패킷을 암호화 및 무결성 보호 양자 모두를 함으로써 클라이언트 디바이스에 대한 데이터 패킷을 보호할 수도 있다.
일 양태에서, 네트워크 노드가 제공된다. 네트워크 노드는, 네트워크 노드에서 구현된 사용자 평면 네트워크 기능부에서 클라이언트 디바이스에 대한 보안 콘텍스트를 획득하기 위한 수단, 네트워크 노드에서 구현된 사용자 평면 네트워크 기능부에서 클라이언트 디바이스로부터 데이터 패킷의 적어도 해독 또는 확인을 위해 사용될 키를 결정하기 위한 수단, 네트워크 노드에서 구현된 사용자 평면 네트워크 기능부에서 클라이언트 디바이스로부터 데이터 패킷을 수신하기 위한 수단, 및 네트워크 노드에서 구현된 사용자 평면 네트워크 기능부에서 키에 기초하여 클라이언트 디바이스로부터의 데이터 패킷을 해독 및 확인하기 위한 수단을 포함할 수도 있다. 일 양태에서, 보안 콘텍스트를 획득하기 위한 수단은 네트워크 노드의 제어 평면 네트워크 기능부로부터 보안 콘텍스트를 수신하도록 구성될 수도 있다. 일 양태에서, 네트워크 노드는 네트워크 노드에서 구현된 사용자 평면 네트워크 기능부에서, 애플리케이션 서버 또는 게이트웨이로부터 클라이언트 디바이스에 대한 데이터 패킷을 수신하기 위한 수단, 네트워크 노드에서 구현된 사용자 평면 네트워크 기능부에서 클라이언트 디바이스와 연관된 적어도 하나의 키를 결정하기 위한 수단, 및 네트워크 노드에서 구현된 사용자 평면 네트워크 기능부에서 적어도 하나의 키를 사용하여 클라이언트 디바이스에 대한 데이터 패킷을 보호하기 위한 수단을 더 포함할 수도 있다. 일 양태에서, 네트워크 노드는, 네트워크 노드에서 구현된 사용자 평면 네트워크 기능부로부터, 클라이언트 디바이스에 대한 데이터 패킷을 다음 홉 네트워크 노드로 송신하기 위한 수단을 더 포함할 수도 있다. 일 양태에서, 클라이언트 디바이스에 대한 데이터 패킷을 보호하기 위한 수단은, 클라이언트 디바이스에 대해, 데이터 패킷을 암호화 또는 무결성 보호하거나, 또는 데이터 패킷을 암호화 및 무결성 보호 양자 모두를 하도록 구성될 수도 있다.
본 개시물의 이들 및 다른 양태들은 뒤따르는 상세한 설명의 검토 시에 보다 충분히 이해될 것이다. 본 개시물의 다른 양태들, 특성들, 및 구현들은, 첨부 도면들과 연관되어 본 개시물의 특정 구현들의 다음의 설명의 검토 시에, 당업자들에게 자명해질 것이다. 본 개시물의 특성들이 이하에서 소정의 구현들 및 도면들에 대해 논의될 수도 있으나, 본 개시물의 모든 구현들은 본원에서 논의된 유리한 특성들 중 하나 이상을 포함할 수 있다. 다시 말하면, 하나 이상의 구현들이 소정의 유리한 특성들을 갖는 것으로 논의될 수도 있으나, 이러한 특성들 중 하나 이상의 특성은 또한 본원에서 논의된 본 개시물의 다양한 구현들에 따라 사용될 수도 있다. 유사한 방식으로, 소정의 구현들이 디바이스, 시스템, 또는 방법 구현들로 이하에서 논의될 수도 있으나, 이러한 구현들은 다양한 디바이스들, 시스템들, 및 방법들에서 구현될 수도 있음이 이해되어야 한다.
도 1 은 본 개시물의 다양한 양태들에 따른 사물 인터넷 (IoT) 네트워크 아키텍처의 블록도이다.
도 2 는 본 개시물의 다양한 양태들에 따른 IoT 네트워크 아키텍처에 대한 키 계층을 예시하는 다이어그램이다.
도 3 은 본 개시물의 다양한 양태들에 따른 IoT 네트워크 아키텍처에서 콘텍스트들을 암호화하기 위한 키 계층을 예시하는 다이어그램이다.
도 4 는 네트워크에서의 다양한 엔티티들에서 유지된 클라이언트 디바이스의 예시의 네트워크 상태들을 예시하는 다이어그램이다.
도 5 는 본 개시물의 다양한 양태들에 따른 IoT 네트워크 아키텍처에서 클라이언트 디바이스에 의한 초기 어태치 절차를 예시하는 블록도이다.
도 6 은 본 개시물의 다양한 양태들에 따른 IoT 네트워크 아키텍처에서 클라이언트 디바이스에 의한 예시적인 어태치 절차의 신호 흐름도이다.
도 7 은 본 개시물의 다양한 양태들에 따른 IoT 네트워크 아키텍처에서 클라이언트 디바이스에 의해 개시된 데이터 송신을 예시하는 블록도이다.
도 8 은 본 개시물의 다양한 양태들에 따른 IoT 네트워크 아키텍처에서 클라이언트 디바이스에 의해 개시된 예시적인 데이터 송신을 예시하는 신호 흐름도이다.
도 9 는 본 개시물의 다양한 양태들에 따른 IoT 네트워크 아키텍처에서 예시적인 클라이언트 디바이스 종단 데이터 송신의 신호 흐름도이다.
도 10 은 본 개시물의 다양한 양태들에 따른 IoT 데이터 송신에 대한 제어 평면 프로토콜 스택을 예시하는 다이어그램이다.
도 11 은 본 개시물의 다양한 양태들에 따른 IoT 데이터 송신에 대한 사용자 평면 프로토콜 스택을 예시하는 다이어그램이다.
도 12 는 본 개시물의 다양한 양태들에 따른 IoT 네트워크 아키텍처에서 송신들을 위한 패킷 포맷의 다이어그램이다.
도 13 은 본 개시물의 다양한 양태들에 따른 IoT 네트워크 아키텍처에서 송신들을 위한 패킷 포맷의 다이어그램이다.
도 14 는 본 개시물의 다양한 양태들에 따른 IoT 네트워크 아키텍처에서 추적 영역 업데이트 (TAU) 의 신호 흐름도이다.
도 15 는 본 개시물의 하나 이상의 양태들에 따른 IoT 네트워크 아키텍처에서 통신하도록 구성된 장치의 예시이다.
도 16 은 본 개시물의 다양한 양태들에 따른 IoT 네트워크 아키텍처에서 통신하기 위한 장치에 대한 방법을 예시하는 플로우차트이다.
도 17 은 본 개시물의 하나 이상의 양태들에 따른 IoT 네트워크 아키텍처에서 통신하도록 구성된 장치의 예시이다.
도 18 (도 18a 및 도 18b 를 포함) 은 본 개시물의 다양한 양태들에 따른 IoT 네트워크 아키텍처에서 통신하기 위한 장치에 대한 방법을 예시하는 플로우차트이다.
도 19 는 본 개시물의 하나 이상의 양태들에 따른 IoT 네트워크 아키텍처에서 통신하도록 구성된 장치의 예시이다.
도 20 은 본 개시물의 다양한 양태들에 따른 IoT 네트워크 아키텍처에서 통신하기 위한 장치에 대한 방법을 예시하는 플로우차트이다.
도 21 은 본 개시물의 다양한 양태들에 따른 IoT 네트워크 아키텍처에서 통신하기 위한 장치에 대한 방법을 예시하는 플로우차트이다.
도 22 는 본 개시물의 다양한 양태들에 따른 IoT 네트워크 아키텍처에서 통신하기 위한 장치에 대한 방법을 예시하는 플로우차트이다.
첨부된 도면들과 연관되어 이하에 설명되는 상세한 설명은, 다양한 구성들의 설명으로서 의도된 것이며 본원에 설명된 개념들이 실시될 수도 있는 구성들만을 나타내도록 의도된 것은 아니다. 상세한 설명은 다양한 개념들의 완전한 이해를 제공하기 위한 목적으로 특정 상세들을 포함한다. 그러나, 이들 개념들이 이들 특정 상세들 없이 실시될 수도 있음이 당업자에게는 명백할 것이다. 일부 경우들에서, 이러한 개념들을 모호하게 하는 것을 방지하기 위해 잘 알려진 구조들 및 컴포넌트들은 블록도의 형태로 도시된다.
롱 텀 에볼루션 (LTE) 네트워크와 같은 네트워크에서, 사용자 평면 보안은 네트워크 액세스 노드 (예를 들어, eNodeB, 기지국, 또는 네트워크 액세스 포인트) 에서 종료한다. 이와 같이, 네트워크 액세스 노드는 사용자 평면 데이터 송신들을 위한 클라이언트 디바이스 (사물 인터넷 (IoT) 디바이스로도 지칭됨) 에 대한 콘텍스트를 가져야 한다. 예를 들어, 클라이언트 디바이스는 셀룰러 전화기 (예를 들어, 스마트폰), 퍼스널 컴퓨터 (예를 들어, 랩톱 컴퓨터), 게이밍 디바이스, 또는 네트워크와 통신하도록 구성되는 임의의 다른 적합한 디바이스일 수도 있다. 클라이언트 디바이스에 대한 콘텍스트는 클라이언트 디바이스와 연관된 네트워크 상태 정보, 예컨대 클라이언트 디바이스 보안 콘텍스트, 및/또는 이볼브드 유니버셜 모바일 텔레통신 시스템 (UMTS) 지상 무선 액세스 네트워크 (E-UTRAN) 무선 액세스 베어러 (eRAB)(예를 들어, 무선 베어러 및 S1 베어러) 를 포함할 수도 있다. 클라이언트 디바이스에 대한 콘텍스트는 네트워크와 통신하기 위해 클라이언트 디바이스에 의해 수행될 시그널링의 양을 감소시킬 수도 있다.
위에서 논의된 바와 같이, 네트워크 (예를 들어, LTE 네트워크) 는 다수 (예를 들어, 10 억) 의 사물 인터넷 (IoT) 디바이스들을 지원할 필요가 있을 수도 있다. 예를 들어, IoT 디바이스는 IoT 디바이스로서 네트워크에 어태치하는 클라이언트 디바이스 (예를 들어, 클라이언트 디바이스는 IoT 디바이스 모드에서 동작할 수도 있음), 저 전력 소비 모드에서 어태치하거나, 또는 클라이언트 디바이스와 네트워크 간의 감소된 데이터 트랜스퍼의 목적들을 위해 어태치하는 클라이언트 디바이스일 수도 있다. 일 양태에서, 감소된 데이터 트랜스퍼 모드는 드문 작은 데이터 (예를 들어, 단일 패킷 또는 몇몇 패킷들) 송신들 또는 데이터의 짧은 버스트들을 수반할 수도 있다. 따라서, 본 개시물에서, 본원에 사용된 용어 클라이언트 디바이스는 또한, IoT 디바이스를 지칭한다. 클라이언트 디바이스는, 예를 들어 셀룰러 전화기 (예를 들어, 스마트폰), 퍼스널 컴퓨터 (예를 들어, 랩톱), 게이밍 디바이스, 오토모바일, 어플라이언스, 또는 네트워크와 통신하도록 구성되는 임의의 다른 적합한 디바이스일 수도 있다. 일부 양태들에서, 클라이언트 디바이스는 사용자 장비 (UE) 또는 액세스 단말기 (AT) 로서 지칭될 수도 있다. 일부 양태들에서, 본원에 지칭된 바와 같은 클라이언트 디바이스는 이동 디바이스 또는 정적 디바이스일 수도 있다.
IoT 목적들을 위해 네트워크에 의해 할당된, IoT 네트워크 기능부들 및 다른 IoT 관련 장비와 같은 리소스들의 양이 제한될 수도 있기 때문에, 네트워크 기능부들은 모든 클라이언트 디바이스들에 대한 콘텍스트들을 유지할 수 없을 수도 있다. 더욱이, IoT 디바이스는 빈번하게 비활성화될 수도 있다. 예를 들어, 클라이언트 디바이스들은 10 분 또는 그 이상마다 웨이크업하고, 트래픽을 서버로 전송하며, 슬립 모드로 즉시 진입할 수도 있다.
이들 환경들을 고려하여, 네트워크 액세스 노드는 통상적으로, 클라이언트 디바이스가 아이들 모드에 진입하는 경우 클라이언트 디바이스 콘텍스트를 제거 (예를 들어, 삭제) 하고 클라이언트 디바이스가 접속 모드 (또한, 활성 모드로도 지칭됨) 에 진입하는 경우 새로운 클라이언트 디바이스 콘텍스트를 확립한다. 이 아이들 모드에서 접속 모드로의 트랜지션은 메시지들을 시그널링하는 관점에서 클라이언트 디바이스에 대한 실질적인 오버헤드를 수반한다. 또한, 이러한 아이들 모드에서 접속 모드로의 트랜지션들은, 클라이언트 디바이스로 하여금 더 긴 기간 동안 어웨이크 상태로 있게 할 수도 있고, 따라서 클라이언트 디바이스의 전력 소비를 증가시킬 수도 있다.
본원에 개시된 양태들은, 초-저 클라이언트 디바이스 전력 소비, 셀 당 다수의 디바이스들, 및/또는 작은 스펙트럼을 달성하기 위해 상부-계층 관점으로부터 클라이언트 디바이스들에 대한 네트워크 아키텍처들을 포함한다. 전용 네트워크 기능부들이 도입되어 독립적인 전개를 가능하게 하고 스케일러빌리티/작업-간 요건들을 제거한다. 보안은 네트워크 디바이스에서 구현된 IoT 네트워크 기능부 (IoT 기능부 (IoTF) 로도 지칭됨) 에 기반을 둔다. IoT 네트워크 기능부는 아키텍처가 클라이언트 디바이스들에 대한 효율적인 데이터 송신을 달성하는 것을 허용할 수도 있다. 다양한 양태들에 따라, 아키텍처는 보안 콘텍스트가 클라이언트 디바이스들로 또는 클라이언트 디바이스들로부터의 데이터 트랜스퍼를 위한 네트워크 액세스 노드 (예를 들어, eNB, 기지국, 네트워크 액세스 포인트) 에서 유지되는 것을 허용하지 않을 수도 있다.
클라이언트 디바이스들의 통상의 패킷 데이터 네트워크 (PDN) 접속/트래픽에 영향을 주는 것을 방지하기 위해, 전용 코어 네트워크 리소스들이 작은 데이터 트랜스퍼에 대해 할당된다. 네트워크는 액세스 제어를 위해 전용 물리 (PHY) 계층 리소스들을 할당하여 작은 데이터 트래픽을 또한 제한할 수도 있다. 클라이언트 디바이스 콘텍스트는, 클라이언트 디바이스가 아이들 상태에 있는 경우 IoTF 에서 클라이언트 디바이스의 반-영구 콘텍스트를 제거하도록 작은 데이터 트랜스퍼에 대해 사용될 수도 있다.
일 양태에서, IoTF 는 제어 평면 IoTF (IoTF-C) 및 사용자 평면 IoTF (IoTF-U) 를 포함할 수도 있다. 일부 양태들에서, 이러한 IoTF-C 및 IoTF-U 는 단일의 IoTF 에서 구현될 수도 있다. 다른 양태들에서, 이러한 IoTF-C 및 IoTF-U 는 별개의 IoTF들로서 구현될 수도 있다. 본 개시물의 일 양태에서, IoTF-C 는 이동성 관리 엔티티 (MME) 와 유사한 기능들을 가질 수도 있다. 본 개시물의 일 양태에서, IoTF-U 는 사용자 평면 데이터 트래픽에 대한 이동성 및 보안 앵커일 수도 있다. 본 개시물의 일 양태에서, IoTF-U 는 서빙 게이트웨이 (S-GW) 및/또는 네트워크 액세스 노드 (예를 들어, 이볼브드 노드 B (eNB), 기지국, 또는 네트워크 액세스 포인트) 와 유사한 기능들을 가질 수도 있다.
네트워크 기능부들 (예를 들어, IoTF-C, IoTF-U) 이 클라이언트 디바이스들에 대한 리소스 사용을 최적화하는 것을 허용하기 위해, 개시된 IoT 네트워크 아키텍처들의 다양한 양태들은 클라이언트 디바이스에 대한 콘텍스트가 패킷 (예를 들어, IP 패킷) 에서 반송되고 IoTF (예를 들어, IoTF-C 및 IoTF-U 를 포함하는 IoTF) 가 클라이언트 디바이스에 대한 콘텍스트를 우발적으로 생성하는 설계 프로토콜을 구현할 수도 있다. 이것은 네트워크 기능부들이 클라이언트 디바이스에 대한 최소한의 (minimal to no) 네트워크 상태 정보와 최소한의 시그널링 오버헤드를 유지하게 할 수 있다. 개시된 IoT 네트워크 아키텍처들 및 그 안에 포함된 기능부들은 작은 데이터 트랜스퍼의 임의의 유형에 대해 사용될 수도 있다는 것이 이해되어야 한다. 예를 들어, 클라이언트 디바이스 (예를 들어, 스마트폰) 는, 그것이 접속 및 트랜스퍼 데이터를 확립하지만 또한 클라이언트 디바이스 콘텍스트를 사용하여 데이터를 트랜스퍼하기 위해 본원에 개시된 바와 같은 절차들을 사용하는 공칭 모드를 가질 수도 있다.
IoT 네트워크 아키텍처
도 1 은 본 개시물의 다양한 양태들에 따른 IoT 네트워크 아키텍처 (100) 의 블록도이다. 도 1 에 도시된 바와 같이, IoT 네트워크 아키텍처 (100) 는 클라이언트 디바이스 (102)(IoT 디바이스로도 지칭됨), 네트워크 액세스 노드 (104), 네트워크 디바이스 (105), 서비스 네트워크 (110), 및 홈 가입자 서버 (HSS)/인증, 승인, 및 어카운팅 (AAA) 서버 (112) 를 포함한다. 일 양태에서, 네트워크 액세스 노드 (104) 는 eNB, 기지국, 또는 네트워크 액세스 포인트일 수도 있다. 일 양태에서, 네트워크 디바이스 (105) 는 IoTF 를 구현하도록 구성된 하나 이상의 프로세싱 회로들 및/또는 다른 적합한 하드웨어를 포함할 수도 있다. 본 개시물의 일 양태에서, IoTF 는 제어 평면 IoT 기능부 (IoTF-C)(106) 및 사용자 평면 IoT 기능부 (IoTF-U)(108) 를 포함할 수도 있다. 예를 들어, IoTF-C (106) 는 제 1 네트워크 노드 (107) 에서 구현될 수도 있고, IoTF-U (108) 는 제 2 네트워크 노드 (109) 에서 구현될 수도 있다. 본원에 개시된 다양한 양태들에 따르면, 용어 "노드" 는 네트워크 디바이스 (105) 에 포함된 물리적 엔티티, 예컨대 프로세싱 회로, 디바이스, 서버, 또는 네트워크 엔티티를 나타낼 수도 있다. 따라서, 예를 들어 네트워크 노드는 네트워크 노드 디바이스로서 지칭될 수도 있다.
일 양태에서, IoTF-C (106) 및 IoTF-U (108) 는 동일한 하드웨어 플랫폼 (예를 들어, 하나 이상의 프로세싱 회로들 및 메모리와 같은 다른 연관된 하드웨어 컴포넌트들) 에서 구현될 수도 있다. 이러한 양태에서, 예를 들어 IoTF-C (106) 는 하드웨어 플랫폼 (예를 들어, 네트워크 디바이스 (105)) 상에 제공된 제 1 가상 머신 (예를 들어, 제 1 운영 시스템) 에서 구현될 수도 있고 IoTF-U (108) 는 하드웨어 플랫폼 상에 제공된 제 2 가상 머신 (예를 들어, 제 2 운영 시스템) 에서 구현될 수도 있다.
도 1 에 도시된 바와 같이, IoTF-C (106) 는 제 1 S1 접속 (116) 을 통해 네트워크 액세스 노드 (104) 와 통신하고, IoTF-U (108) 는 제 2 S1 접속 (114) 을 통해 네트워크 액세스 노드 (104) 와 통신한다. 본 개시물의 일 양태에서, 서비스 네트워크 (110) 는 다수의 엔티티들, 기능부들, 게이트웨이들, 및/또는 다양한 유형들의 서비스들을 제공하도록 구성된 서버들을 포함할 수도 있다. 예를 들어, 서비스 네트워크 (110) 는 짧은 메시지 엔티티 (SME)(118), 머신 유형 통신 네트워킹 기능부 (MTC-IWF)(120), IoT 서버 (122), 및/또는 패킷 데이터 네트워크 (PDN) 게이트웨이 (P-GW)(124) 를 포함할 수도 있다. 도 1 에 개시된 서비스 네트워크 (110) 는 일 예로서 역할을 하고, 다른 양태들에서 서비스 네트워크 (110) 는 도 1 에 개시된 것들과 상이한 유형들의 엔티티들, 기능부들, 및/또는 서버들을 포함할 수도 있다는 것이 이해되어야 한다.
본 개시물의 일 양태에서, 네트워크 디바이스 (105) 에서 구현된 IoTF 는 제어 평면 및 사용자 평면 기능성을 제공할 수도 있다. 본 개시물의 일 양태에서, IoTF-C (106) 는 클라이언트 디바이스들에 대한 제어 평면 시그널링 (예를 들어, 본원에서 "제어 패킷들" 로서 지칭된 제어 정보를 반송하는 패킷들) 을 핸들링한다. 예를 들어, IoTF-C (106) 는 클라이언트 디바이스들에 대한 이동성 및 세션 관리를 수행하고, 클라이언트 디바이스들과의 인증 및 키 동의 (AKA 절차로도 지칭됨) 를 수행할 수도 있고/있거나, 클라이언트 디바이스들에 대한 보안 콘텍스트들을 생성할 수도 있다. 본 개시물의 일 양태에서, IoTF-C (106) 는 클라이언트 디바이스 (102) 와 연관된 제어 평면 트래픽에 대한 제어 평면 (CP) 키(들)(126), 클라이언트 디바이스 (102) 와 연관된 사용자 평면 트래픽에 대한 사용자 평면 (UP) 키(들)(128), 및/또는 클라이언트 디바이스 (102) 에 대한 암호화된 클라이언트 디바이스 콘텍스트 및/또는 암호화된 네트워크 도달가능성 콘텍스트를 생성하기 위한 콘텍스트 키(들)(130) 을 도출할 수도 있다. 본 개시물의 일 양태에서, IoTF-C (106) 는 사용자 평면 키(들)(128) 및/또는 콘텍스트 키(들)(130) 중 적어도 하나를 IoTF-U (108) 에 제공할 수도 있다. 따라서, 일부 양태들에서, IoTF-U (108) 는 IoTF-C (106) 에 의해 제공된 사용자 평면 키(들)(128) 및/또는 콘텍스트 키(들)(131) 을 포함할 수도 있다.
본 개시물의 일 양태에서, IoTF-U (108) 는 클라이언트 디바이스들에 대한 사용자 평면 트래픽을 핸들링할 수도 있다. 예를 들어, IoTF-U (108) 는 암호화 키 및 무결성 키 (예를 들어, UP 키 (128) 를 사용한 AEAD (Authenticated Encryption with Associated Data) 암호) 를 도출하고, 클라이언트 디바이스 콘텍스트 (또한, IoT 디바이스 콘텍스트로도 지칭됨) 를 그때 그때 생성하고, 클라이언트 디바이스들에 의해 전송된 업링크 (UL) 패킷들을 인증 및 해독하며 업링크 패킷들을 PDN 또는 P-GW (예를 들어, P-GW (124)) 로 포워딩하고, 접속된 클라이언트 디바이스들에 대한 다운링크 (DL) 패킷들을 암호화 및 인증하며 다운링크 패킷들을 다음 홉 네트워크 액세스 노드 (예를 들어, eNB) 로 포워딩하며, 및/또는 페이징 동안 아이들 클라이언트 디바이스들에 대한 다운링크 패킷들을 버퍼링할 수도 있다. 본 개시물의 일 양태에서, IoTF-U (108) 는 데이터 트래픽에 대한 이동성 및 보안 앵커로서 역할을 할 수도 있다.
IoT 네트워크에 대한 예시적인 키 계층
도 2 는 본 개시물의 다양한 양태들에 따른 IoT 네트워크 아키텍처 (예를 들어, IoT 네트워크 아키텍처 (100)) 에 대한 키 계층 (200) 을 예시하는 다이어그램이다. 도 2 에서, 키 KIoT (202) 는 네트워크의 인증 센터 (AuC) 및 클라이언트 디바이스 (예를 들어, 클라이언트 디바이스 (102)) 의 유니버셜 모바일 텔레통신 시스템 (UMTS) 가입자 아이덴티티 모듈 (USIM) 에 영구적으로 저장된 비밀 키일 수도 있다. (도 2 에서 IK, CK (204) 로서 도시된) 무결성 키 (IK) 및 암호화 키 (CK) 는 AKA 절차 동안 AuC 및 USIM 에서 도출된 키들의 쌍이다. 도 1 을 참조하면, AKA 절차 동안, IoTF-C (106) 는 액세스 보안 관리 엔티티 (ASME) 로부터 (키 KASME (206) 로서 도 2 에 도시된) 키를 포함하는 HSS/AAA 서버 (112) 로부터 인증 벡터 (AV)들을 수신할 수도 있다. IoTF-C (106) 는 키 KASME (206) 로부터 제어 평면 키 (KCP)(208) 및 사용자 평면 키 (KUP)(214) 를 도출할 수도 있다. IoTF-C (106) 는 키 KUP (214) 를 IoTF-U (108) 에 제공할 수도 있다. IoTF-C (106) 는 키 KCP (208) 로부터 암호화 키 KIoT - CPenc (210) 및 무결성 보호 키 KIoT - CPint (212) 를 도출할 수도 있다. IoTF-U (108) 는 키 KUP (214) 로부터 암호화 키 KIoT-UPenc (216) 및 무결성 보호 키 KIoT - UPint (218) 를 도출할 수도 있다.
도 3 은 본 개시물의 다양한 양태들에 따른 IoT 네트워크 아키텍처 (예를 들어, IoT 네트워크 아키텍처 (100)) 에서 콘텍스트들을 암호화하기 위한 키 계층 (300) 을 예시하는 다이어그램이다. 본 개시물의 일 양태에서, 도 1 을 참조하면, IoTF-C (106) 는 클라이언트 디바이스에 대한 콘텍스트 키 KCDC - IoTF (302) 에 기초하여 클라이언트 디바이스 (예를 들어, 클라이언트 디바이스 (102)) 에 대한 제어 평면 클라이언트 디바이스 콘텍스트 암호화 키 (KCDC - IoTF -C)(304) 및 사용자 평면 클라이언트 디바이스 콘텍스트 암호화 키 (KCDC - IoTF -U)(306) 를 랜덤으로 생성할 수도 있다. 본 개시물의 일 양태에서, 도 1 을 참조하면, IoTF-C (106) 는 콘텍스트 키 KNRC - IoTF (308) 에 기초하여 제어 평면에 대한 네트워크 도달가능성 콘텍스트 (NRC) 암호화 키 (KNRC - IoTF -C)(310) 를 랜덤으로 생성할 수도 있다. IoTF-C (106) 는 또한, 콘텍스트 키 KNRC - IoTF (308) 에 기초하여 사용자 평면에 대한 네트워크 도달가능성 콘텍스트 (NRC) 암호화 키 (KNRC - IoTF -U)(312) 를 랜덤하게 생성할 수도 있다. 일 양태에서, 키 KNRC - IoTF -C (310) 및 키 KNRC - IoTF -U (312) 는 애플리케이션 서비스 또는 P-GW (예를 들어, P-GW (124)) 에 대해 생성될 수도 있다.
클라이언트 디바이스의 예시적인 네트워크 상태들
무선 통신 시스템 (예를 들어, LTE 네트워크) 에서, 네트워크 상태들은 이동성 관리 (예를 들어, 이볼브드 패킷 시스템 이동성 관리 (EMM)) 를 위한 클라이언트 디바이스에 대해 정의된다. 이러한 네트워크 상태들은 클라이언트 디바이스와 네트워크 내의 다른 엔티티들 간의 효율적인 통신을 가능하게 한다. 본 개시물의 일 양태에서, 클라이언트 디바이스 (예를 들어, 도 1 의 클라이언트 디바이스 (102)) 는 등록해지 상태 또는 등록 상태에 있을 수도 있다.
예를 들어, 클라이언트 디바이스가 등록해지 상태에 있는 경우, 클라이언트 디바이스에 대한 콘텍스트는 HSS 에 저장될 수도 있다. 네트워크는 클라이언트 디바이스에 대한 유효 로케이션 또는 라우팅 정보를 홀딩하지 않고, 클라이언트 디바이스는 도달 가능하지 않다.
다른 예로서, 클라이언트 디바이스는 네트워크와의 성공적인 등록에 의해 등록 상태에 진입할 수도 있다. 본 개시물의 일 양태에서, 클라이언트 디바이스는 네트워크와 어태치 절차를 수행함으로써 이러한 등록을 수행할 수도 있다. 등록 상태에서, 클라이언트 디바이스는 적어도 하나의 활성 PDN 접속을 갖는다. 클라이언트 디바이스는 또한, 이볼브드 패킷 시스템 (EPS) 보안 콘텍스트 셋업을 갖는다. 등록해지 및 등록 상태들은, 클라이언트 디바이스가 네트워크에 대한 크리덴셜들을 갖는 (예를 들어, HSS 에서 이용 가능한 가입이 존재) 다는 것을 가정한다.
무선 통신 네트워크 (예를 들어, LTE 네트워크) 는 이볼브드 패킷 시스템 접속 관리 (ECM) 를 위한 클라이언트 디바이스에 대해 정의된 네트워크 상태들을 더 포함할 수도 있다. 따라서, 클라이언트 디바이스 (예를 들어, 도 1 의 클라이언트 디바이스 (102)) 는 아이들 상태 또는 접속 상태와 같은 2 개의 상태들 (또한, 등록 상태들의 서브-상태들로도 지칭됨) 중 하나에 있을 수도 있다. 아이들 상태에서, 클라이언트 디바이스와 다른 네트워크 엔티티들 간에는 어떤 비-액세스-층 (NAS) 시그널링 접속도 존재하지 않는다. 또한, 클라이언트 디바이스는 셀 선택/재선택 및 공중 육상 이동망 (PLMN) 선택을 수행할 수도 있다. 무선 액세스 네트워크 (예를 들어, 네트워크 액세스 노드) 에서 클라이언트 디바이스에 대한 콘텍스트가 존재하지 않을 수도 있다. 더욱이, 아이들 상태에서 클라이언트 디바이스에 대한 어떤 S1-MME 및 S1-U 접속이 존재하지 않을 수도 있다.
접속 상태에서, 클라이언트 디바이스의 로케이션은 서빙 액세스 네트워크 식별자 (예를 들어,eNB 식별자 (ID), 기지국 ID, 또는 네트워크 액세스 포인트 ID) 의 정확도로 MME 에서 알려진다. 클라이언트 디바이스의 이동성은 핸드오버 절차에 의해 핸들링된다. 더욱이, 클라이언트 디바이스와 MME 간에 시그널링 접속이 존재한다. 시그널링 접속은 2 개의 부분들: 무선 리소스 제어 (RRC) 접속 및 S1-MME 접속으로 구성될 수도 있다.
도 4 는 네트워크 (400) 의 다양한 엔티티들에서 유지된 클라이언트 디바이스의 예시의 네트워크 상태들을 예시하는 다이어그램이다. 도 4 에 도시된 바와 같이, 네트워크 (400) 는 클라이언트 디바이스 (402), 네트워크 액세스 노드 (404), 및 이볼브드 패킷 코어 (EPC)(406) 를 포함한다. 도 4 에서 추가로 도시된 바와 같이, EPC (406) 는 홈 가입자 서버 (HSS)(412), 이동성 관리 엔티티 (MME)(408), 및 패킷 데이터 네트워크 게이트웨이 (P-GW)/서빙 게이트웨이 (S-GW)(410) 를 포함한다. 본 개시물의 일 양태에서, 네트워크 (400) 는 4G 네트워크일 수도 있다. 다른 양태들에서, 네트워크 (400) 는 3G 네트워크, LTE 네트워크, 5G 네트워크, 또는 다른 적합한 네트워크일 수도 있다.
예를 들어, 도 4 를 참조하면, 네트워크 액세스 노드 (404) 는, 클라이언트 디바이스 (402) 가 접속 상태에 있는 경우 클라이언트 디바이스 (402) 에 대한 콘텍스트 (414)(또한, 네트워크 상태 정보로도 지칭됨) 를 유지할 수도 있다. MME (408) 는 클라이언트 디바이스 (402) 가 접속 상태에 있는 경우 클라이언트 디바이스 (402) 에 대한 콘텍스트 (416), 및 클라이언트 디바이스 (402) 가 아이들 상태에 있는 경우 클라이언트 디바이스 (402) 에 대한 콘텍스트 (418) 를 유지할 수도 있다. P-GW/S-GW (410) 는 클라이언트 디바이스 (402) 가 접속 상태에 있는 경우 클라이언트 디바이스 (402) 에 대한 콘텍스트 (426), 및 클라이언트 디바이스 (402) 가 아이들 상태에 있는 경우 클라이언트 디바이스 (402) 에 대한 콘텍스트 (428) 를 유지할 수도 있다. HSS (412) 는 클라이언트 디바이스 (402) 가 접속 상태에 있는 경우 클라이언트 디바이스 (402) 에 대한 콘텍스트 (420), 클라이언트 디바이스 (402) 가 아이들 상태에 있는 경우 클라이언트 디바이스 (402) 에 대한 콘텍스트 (422), 및 클라이언트 디바이스 (402) 가 등록해지 상태에 있는 경우 클라이언트 디바이스 (402) 에 대한 콘텍스트 (424) 를 유지할 수도 있다. 본 개시물의 일 양태에서, 네트워크 (400) 가 3G 네트워크로서 구현되면, P-GW/S-GW (410) 는 클라이언트 디바이스 (402) 가 아이들 상태에 있는 경우 클라이언트 디바이스 (402) 에 대한 콘텍스트를 유지하지 않을 수도 있다.
본 개시물의 일 양태에서, 암호화된 클라이언트 디바이스 콘텍스트는 네트워크 기능부들, 예컨대 도 1 의 IoTF-C (106) 및 IoTF-U (108) 에 대해 생성되어, 클라이언트 디바이스에 대한 콘텍스트 (또한, 클라이언트 디바이스 콘텍스트로도 지칭됨) 의 우발적 복원을 가능하게 할 수도 있다. 예를 들어, 암호화된 클라이언트 디바이스 콘텍스트는, 네트워크 엔티티로 하여금, 클라이언트 디바이스에 대한 최소한의 네트워크 상태 정보를 유지하면서 클라이언트 디바이스 콘텍스트를 복원하게 할 수도 있다. 따라서, 암호화된 클라이언트 디바이스 콘텍스트는 임의의 네트워크 상태 정보를 저장 또는 캐싱하지 않고 네트워크 엔티티로 하여금 클라이언트 디바이스 콘텍스트를 복원하게 할 수도 있다. 트래픽을 드물게 송신하는 잠재적으로 수십억의 클라이언트 디바이스들이 존재하는 경우, 네트워크 기능부들 (예를 들어, MME (408), P-GW/S-GW (410)) 이 클라이언트 디바이스들에 대한 (보안 콘텍스트들을 포함하는) 콘텍스트들을 유지하는 것이 바람직하지 않다는 것이 주목되어야 한다. 또한, 암호화된 클라이언트 디바이스 콘텍스트는 핸드오버 동안 또는 아이들 모드에서 접속 모드로의 트랜지션 동안 네트워크 액세스 노드 (예를 들어, eNB, 기지국, 또는 네트워크 액세스 포인트) 에서 시그널링 오버헤드를 제거할 수도 있다. 암호화된 클라이언트 디바이스 콘텍스트는 MME/제어기와의 통신이 회피될 수도 있기 때문에 시그널링 오버헤드를 실질적으로 감소 또는 제거하는데 사용될 수도 있다.
사용자 평면 암호화된 클라이언트 디바이스 콘텍스트
본 개시물의 일 양태에서, 사용자 평면 (UP) 암호화된 클라이언트 디바이스 콘텍스트는 클라이언트 디바이스에 대해 생성될 수도 있다. 예를 들어, 도 1 을 참조하면, 사용자 평면 암호화된 클라이언트 디바이스 콘텍스트는 업링크 (UL) 데이터 송신들을 위해 IoTF-U (108) 에서 사용될 수도 있다. 본 개시물의 일 양태에서, 사용자 평면 암호화된 클라이언트 디바이스 콘텍스트는 베어러 ID들, 이볼브드 패킷 시스템 (EPS) 베어러 서비스(들) 품질 (QoS), 사용자 평면 일반 패킷 무선 서비스 (GPRS) 터널링 프로토콜 (GTP-U) 에 대한 S5 터널 엔드포인트 식별자 (TEID), IoTF-U (108) 가 UL 데이터를 포워딩하는 P-GW 인터넷 프로토콜 (IP) 어드레스 (또는 등가 정보), 및/또는 보안 콘텍스트 (예를 들어, 선택된 암호 알고리즘 및 사용자-평면 (UP) 키 (128)) 를 포함할 수도 있다. 다른 양태들에서, 사용자 평면 암호화된 클라이언트 디바이스 콘텍스트는 클라이언트 디바이스에 서비스를 제공하도록 네트워크에 의해 필요로될 수도 있는 다른 파라미터들, 값들, 설정들, 또는 특성들을 포함할 수도 있다. 일 예에서, UP 키 (128) 는 키 KUP (214) 일 수도 있고, 이로부터 키 KIoT - UPenc (216) 및 키 KIoT - UPint (218) 가 도출될 수도 있다. 사용자 평면 암호화된 클라이언트 디바이스 콘텍스트는 도 3 에 도시된 키 KCDC - IoTF -U (306) 와 같은, IoTF-U (108) 의 비밀 키를 사용하여 클라이언트 디바이스에 대한 사용자 평면 콘텍스트를 암호화함으로써 생성될 수도 있다. 본 개시물의 일 양태에서, IoTF-U (108) 의 비밀 키, 예컨대 키 KCDC - IoTF -U (306) 가 IoTF-C (106) 에 의해 제공될 수도 있다. 사용자 평면 암호화된 클라이언트 디바이스 콘텍스트는 비밀 키 (예를 들어, 키 KCDC - IoTF -U (306)) 를 갖는 IoTF 에 의해 해독될 수도 있다. 따라서, 사용자 평면 암호화된 클라이언트 디바이스 콘텍스트는 사용자 평면 암호화된 클라이언트 디바이스 콘텍스트를 생성했던 IoTF 에 의해 해독될 수도 있다.
제어 평면 암호화된 클라이언트 디바이스 콘텍스트
제어 평면 (CP) 암호화된 클라이언트 디바이스 콘텍스트는 제어 메시지들 (예를 들어, 제어 패킷들 또는 제어 패킷들을 포함하는 메시지들) 에 대한 제어 평면 클라이언트 디바이스 콘텍스트를 암호화함으로써 생성될 수도 있다. 일 양태에서, 제어 평면 암호화된 클라이언트 디바이스 콘텍스트는 클라이언트 디바이스 식별자, 클라이언트 디바이스 보안 콘텍스트 (예를 들어, 제어 평면 키들, 예컨대 키 KIoT (KASME 등가물), 키 KIoT - CPenc (210), 키 KIoT - CPint (212)), 클라이언트 디바이스 보안 성능들 (예를 들어, 이볼브드 패킷 시스템 암호화 알고리즘 (EEA), 이볼브드 패킷 시스템 무결성 알고리즘 (EIA)), 및/또는 다음 홉 (S5/S8) 구성 정보를 포함할 수도 있다. 예를 들어, 다음 홉 구성 정보는 IoT 서버 어드레스, P-GW 어드레스, 및/또는 TEID들을 포함할 수도 있다. 예를 들어, 도 1 을 참조하면, 제어 메시지들에 대한 제어 평면 클라이언트 디바이스 콘텍스트는 도 3 에 도시된 키 KCDC-IoTF-C (304) 와 같은, IoTF-C (106) 의 비밀 키로 암호화될 수도 있다. 제어 평면 암호화된 클라이언트 디바이스 콘텍스트는 비밀 키 (예를 들어, 키 KCDC - IoTF -C (304)) 를 갖는 IoTF 에 의해 해독될 수도 있다. 따라서, 암호화된 클라이언트 디바이스 콘텍스트는 제어 평면 암호화된 클라이언트 디바이스 콘텍스트를 생성했던 IoTF 에 의해 해독될 수도 있다.
암호화된 네트워크 도달 가능성 콘텍스트
클라이언트 디바이스에 대한 네트워크 도달 가능성 콘텍스트 (NRC) 는 클라이언트 디바이스로의 다운링크 (DL) 송신들에 대한 암호화된 네트워크 도달 가능성 콘텍스트를 생성하도록 (예를 들어, IoTF 에 의해) 암호화될 수도 있다. 암호화된 네트워크 도달 가능성 콘텍스트는 IoTF (예를 들어, IoTF-C (106), IoTF-U (108)) 로 하여금, 클라이언트 디바이스가 아이들로 되는 경우 클라이언트 디바이스 콘텍스트를 제거하게 할 수 있다. 예를 들어, 도 1 을 참조하면, 암호화된 네트워크 도달 가능성 콘텍스트는 클라이언트 디바이스 (102) 와 통신하기를 원하는 IoT 서버 (122) 에 또는 P-GW (124) 에 제공될 수도 있다. 따라서, 이 예에서, IoT 네트워크 아키텍처 (100) 는 클라이언트 디바이스 (102) 에 대한 네트워크 상태 정보를 유지할 필요가 없거나 또는 클라이언트 디바이스 (102) 에 대해 유지된 네트워크 상태 정보의 양을 감소시킬 수도 있다. IoT 서버 (122) 또는 P-GW (124) 는, 그것이 DL 데이터 패킷을 클라이언트 디바이스 (102) 로 전송하여 IoT 네트워크 아키텍처 (100) 에서의 하나 이상의 노드들 또는 엔티티들 (예를 들어, 네트워크 액세스 노드 (104)) 가 네트워크 도달 가능성 콘텍스트를 복원하게 하는 것을 허용하는 경우 암호화된 네트워크 도달 가능성 콘텍스트를 제공할 수도 있다.
암호화된 네트워크 도달 가능성 콘텍스트(들)은 다음의 특성들 중 하나 이상을 포함할 수도 있다. 본 개시물의 일 양태에서, 암호화된 네트워크 도달 가능성 콘텍스트는 클라이언트 디바이스 (102) 의 네트워크 측 네트워크 상태 정보를 취출하기 위한 식별자, 클라이언트 디바이스 (102) 를 페이징하는 장소를 결정하기 위한 추적 영역 ID (TAI) 리스트 또는 등가물, 및 (예를 들어, 클라이언트 디바이스 (102) 를 페이징하기 위한 장소를 결정하기 위한) 타이밍 정보를 포함함으로써 이동성 특성을 제공할 수도 있다. 본 개시물의 일 양태에서, 암호화된 네트워크 도달 가능성 콘텍스트는 콘텍스트 리로케이션 절차, 예컨대 추적 영역 업데이트 (TAU) 를 가능하게 하고, 선택적으로는 새로운 암호화된 네트워크 도달 가능성 콘텍스트 및 ID 를 획득할 수도 있다. 본 개시물의 일 양태에서, 암호화된 네트워크 도달 가능성 콘텍스트는 보안 이상으로 확장하는 정보를 포함할 수도 있고, 보안 콘텍스트가 관리되는 방법을 나타낼 수도 있다.
본 개시물의 일 양태에서, IoTF-C (106) 는 정보 (예를 들어, TAI 리스트) 를 서비스 네트워크 (110) 내의 하나 이상의 엔티티들 (예를 들어, IoT 서버 (122) 또는 P-GW (124)) 에 제공한다. 서비스 네트워크 (110) 내의 이러한 하나 이상의 엔티티들은 그 후, 암호화된 네트워크 도달 가능성 콘텍스트를 IoT 네트워크 아키텍처 (100) 의 다른 엔티티들로 전송하여 클라이언트 디바이스 (102) 에 대한 콘텍스트를 재-확립할 수도 있다. 암호화된 네트워크 도달 가능성 콘텍스(들)는 네트워크 개시된 트래픽에 대해 구현될 수도 있다. 그러나, 클라이언트 디바이스 개시된 트래픽 또는 네트워크 개시된 트래픽을 수반하는 일부 양태들에서, IoTF (105) 는 클라이언트 디바이스 (102) 에 대한 어떤 네트워크 상태 정보에도 매우 제한되지 않고 유지할 수도 있다. 본 개시물의 일 양태에서, IoTF-C (106) 는, 네트워크 도달 가능성 콘텍스트의 일부일 수도 있는 적어도 TAI 리스트의 관점들에서 클라이언트 디바이스 (102) 의 로케이션을 제공할 수도 있다.
초기 어태치 절차
도 5 는 본 개시물의 다양한 양태들에 따른 IoT 네트워크 아키텍처 (500) 에서 클라이언트 디바이스에 의한 초기 어태치 절차를 예시하는 블록도이다. 일부 양태들에서, 본원에 설명된 바와 같은 어태치 절차는 또한, 네트워크 어태치먼트 절차 또는 등록 절차로서 지칭된다.
도 5 에 도시된 바와 같이, IoT 네트워크 아키텍처 (500) 는 클라이언트 디바이스 (502)(IoT 디바이스로도 지칭됨), 네트워크 액세스 노드 (504)(예를 들어, eNB, 기지국, 네트워크 액세스 포인트), 네트워크 디바이스 (505), 서비스 네트워크 (510), 및 홈 가입자 서버 (HSS)/인증, 승인, 및 어카운팅 (AAA) 서버 (512) 를 포함한다. 일 양태에서, 네트워크 디바이스 (505) 는 IoTF 를 구현하도록 구성된 하나 이상의 프로세싱 회로들 및/또는 다른 적합한 하드웨어를 포함할 수도 있다. 예를 들어, IoTF 는 제어 평면 IoT 기능부 (IoTF-C)(506) 및 사용자 평면 IoT 기능부 (IoTF-U)(508) 를 포함할 수도 있다. 이러한 양태에서, IoTF-C (506) 는 제 1 네트워크 노드 (507) 에서 구현될 수도 있고, IoTF-U (508) 는 제 2 네트워크 노드 (509) 에서 구현될 수도 있다. 일 양태에서, IoTF-C (506) 및 IoTF-U (508) 는, IoTF-C (506) 및 IoTF-U (508) 가 각각 아키텍처 (500) 내의 독립적인 노드를 나타내도록 동일한 하드웨어 플랫폼에서 구현될 수도 있다. 이러한 양태에서, 예를 들어 IoTF-C (506) 는 하드웨어 플랫폼 (예를 들어, 네트워크 디바이스 (505)) 상에 제공된 제 1 가상 머신 (예를 들어, 제 1 운영 시스템) 에서 구현될 수도 있고 IoTF-U (508) 는 하드웨어 플랫폼 상에 제공된 제 2 가상 머신 (예를 들어, 제 2 운영 시스템) 에서 구현될 수도 있다.
도 5 에 도시된 바와 같이, IoTF-C (506) 는 제 1 S1 접속 (516) 을 통해 네트워크 액세스 노드 (504) 와 통신하고, IoTF-U (508) 는 제 2 S1 접속 (514) 을 통해 네트워크 액세스 노드 (504) 와 통신한다. 본 개시물의 일 양태에서, 서비스 네트워크 (510) 는 다수의 엔티티들, 기능부들, 게이트웨이들, 및/또는 다양한 유형들의 서비스들을 제공하도록 구성된 서버들을 포함할 수도 있다. 예를 들어, 서비스 네트워크 (510) 는 짧은 메시지 엔티티 (SME)(518), 머신 유형 통신 네트워킹 기능부 (MTC-IWF)(520), IoT 서버 (522), 및/또는 패킷 데이터 네트워크 (PDN) 게이트웨이 (P-GW)(524) 를 포함할 수도 있다. 도 5 에 개시된 서비스 네트워크 (510) 는 일 예로서 역할을 하고, 다른 양태들에서 서비스 네트워크 (510) 는 도 5 에 개시된 것들과 상이한 유형들의 엔티티들, 기능부들, 및/또는 서버들을 포함할 수도 있다는 것이 이해되어야 한다.
도 5 에 도시된 바와 같이, 클라이언트 디바이스 (502) 는, 네트워크 액세스 노드 (504) 에 의해 수신될 수도 있는 네트워크로의 어태치 요청 (532) 을 송신할 수도 있다. 본 개시물의 일 양태에서, 어태치 요청 (532) 은, 클라이언트 디바이스 (502) 가 IoT 디바이스로서 어태치한다는 것을 나타내고 (예를 들어, 또는 작은 (감소된) 데이터 트랜스퍼를 수행하기 위한 요청을 나타내거나, 또는 클라이언트 디바이스가 저 전력 소비 모드에서 동작하고 있다는 것을 나타내고), 인증 정보가 취출되는 홈 도메인 (예를 들어, HPLMN ID 또는 전체 주소 도메인 이름 (fully qualified domain name; FQDN)) 을 나타낼 수도 있다. 네트워크 액세스 노드 (504) 는 그것이 속하는 IoTF-C (506) 로 요청을 포워딩할 수도 있다.
IoTF-C (506) 는 클라이언트 디바이스 (502) 에 의해 제공된 홈 도메인 정보로부터 HSS/AAA 서버 (512) 의 어드레스를 결정할 수도 있고, 클라이언트 디바이스 (502) 에 대한 인증 정보에 대한 요청 (534) 을 HSS/AAA 서버 (512) 로 송신할 수도 있다. IoTF-C (506) 는 HSS/AAA 서버 (512) 로부터 인증 정보 (535) 를 수신할 수도 있다.
IoTF-C (506) 는 클라이언트 디바이스 (502) 와 상호 인증 (예를 들어, AKA 절차) 을 수행할 수도 있다. AKA 절차 동안, IoTF-C (506) 는 인증 정보 (535) 를 통해 HSS/AAA 서버 (512) 로부터 AV들을 수신할 수도 있다. 예를 들어, AV들은 액세스 보안 관리 엔티티 (ASME) 로부터 (키 KASME (206) 로서 도 2 에 도시된) 키를 포함할 수도 있다. 예를 들어, IoTF-C (506) 는 신호 (536) 를 통해 클라이언트 디바이스 (502) 에 키 KASME (206) 를 제공할 수도 있다. AKA 절차가 완료되는 경우, 키 KASME (206) 로부터 또는 키 KIoT (202) 로부터, IoTF-C (506) 및 클라이언트 디바이스 (502) 는 CP 키(들)(526), 예컨대 키 KCP (208), 키 KIoT - CPenc (210) 및/또는 키 KIoT - CPint (212) 를 도출할 수도 있고, UP 키(들)(528), 예컨대 키 KUP (214), 키 KIoT - UPenc (216) 및/또는 키 KIoT - UPint (218) 를 도출할 수도 있다. 일부 양태들에서, IoTF-C (506) 는 키 KUP (214) 및 사용자 평면 암호화 및 무결성 보호 키들, 예컨대 키 KIoT - UPenc (216) 및 키 KIoT - UPint (218) 를 메시지 (538) 를 통해 IoTF-U (508) 로 트랜스퍼할 수도 있다.
본 개시물의 일 양태에서, IoTF-C (506) 는 콘텍스트 키 (530) 를 사용함으로써 클라이언트 디바이스 (502) 에 대한 하나 이상의 암호화된 클라이언트 디바이스 콘텍스트들을 생성하여 클라이언트 디바이스 콘텍스트를 암호화할 수도 있다. IoTF-C (506) 는 그 후, 하나 이상의 암호화된 클라이언트 디바이스 콘텍스트들을 클라이언트 디바이스 (502) 로 송신할 수도 있다. 예를 들어, IoTF-C (506) 는 제어 평면에 대한 암호화된 클라이언트 디바이스 콘텍스트 및 사용자 평면에 대한 암호화된 클라이언트 디바이스 콘텍스트를 생성할 수도 있다. 이러한 예에서, 콘텍스트 키 (530) 는 제어 평면에 대한 암호화된 클라이언트 디바이스 콘텍스트를 생성하기 위한 제 1 콘텍스트 키 (예를 들어, 키 KCDC - IoTF -C (304)) 및 사용자 평면에 대한 암호화된 클라이언트 디바이스 콘텍스트를 생성하기 위한 제 2 콘텍스트 키 (예를 들어, 키 KCDC - IoTF -U (306)) 를 포함할 수도 있다. 본 개시물의 일 양태에서, IoTF-C (506) 는 콘텍스트 키(들)(530) 중 하나 이상을 IoTF-U (508) 에 제공할 수도 있다. 예를 들어, IoTF-C (506) 는 사용자 평면에 대한 암호화된 클라이언트 디바이스 콘텍스트를 생성하기 위한 제 2 콘텍스트 키 (예를 들어, 키 KCDC-IoTF-U (306)) 를 메시지 (538) 를 통해 IoTF-U (508) 로 송신할 수도 있다. 따라서, 일부 양태들에서 IoTF-U (508) 는 IoTF-C (506) 에 의해 제공된 콘텍스트 키(들)(531) 를 포함할 수도 있다.
본 개시물의 일 양태에서, IoTF-C (506) 는 다운링크 (DL) 트래픽을 콘텍스트 키 (530) 를 사용하여 클라이언트 디바이스 (502) 로 송신하기 위해 하나 이상의 암호화된 네트워크 도달 가능성 콘텍스트들을 생성하여 네트워크 도달 가능성 콘텍스트를 암호화할 수도 있다. IoTF-C (506) 는 그 후, 하나 이상의 암호화된 네트워크 도달 가능성 콘텍스트들을 네트워크 엔티티, 예컨대 IoT 서버 (522) 또는 P-GW (524) 로 송신할 수도 있다. 하나 이상의 암호화된 네트워크 도달 가능성 콘텍스트들을 생성하기 위한 예시의 접근들은 본원에서 상세히 논의된다. IoTF-C (506) 는 키 KUP (214), 사용자 평면 암호화 및 무결성 보호 키들 (예를 들어, 키 KIoT - UPenc (216) 및 키 KIoT - UPint (218)), 및 사용자 평면에 대한 네트워크 도달 가능성 콘텍스트 (NRC) 암호화 키 (예를 들어, 키 KNRC - IoTF -U (312)) 를 메시지 (538) 를 통해 IoTF-U (508) 로 전송할 수도 있다. 따라서, 일부 양태들에서 IoTF-U (508) 는 IoTF-C (506) 에 의해 제공된 콘텍스트 키(들)(531)(예를 들어, 키 KNRC - IoTF -U (312)) 를 포함할 수도 있다.
도 6 은 본 개시물의 다양한 양태들에 따른 IoT 네트워크 아키텍처 (예를 들어, IoT 네트워크 아키텍처 (100, 500)) 에서 클라이언트 디바이스에 의한 예시적인 어태치 절차의 신호 흐름도 (600) 이다. 도 6 에 도시된 바와 같이, 신호 흐름도 (600) 는 클라이언트 디바이스 (602)(또한, IoT 디바이스로도 지칭됨), 네트워크 액세스 노드 (604)(예를 들어, eNB, 기지국, 또는 네트워크 액세스 포인트), 네트워크 노드 (605) 에서 구현된 IoTF-C (606), 네트워크 노드 (607) 에서 구현된 IoTF-U (608), 서비스 네트워크 (609), 및 홈 가입자 서버 (HSS)(610) 를 포함한다. 도 6 에 도시된 바와 같이, 클라이언트 디바이스 (602) 는 네트워크와 통신하기 위해 요청 (612)(예를 들어, RRC 접속 요청) 을 네트워크 액세스 노드 (604) 로 송신할 수도 있다. 클라이언트 디바이스 (602) 는, 시그널링 무선 베어러 (SRB) 구성 (예를 들어, 전용 제어 채널 (DCCH) 을 통해 NAS 메시지들을 송신하기 위한 SRBI 구성) 을 포함할 수도 있는, RRC 접속 셋업 메시지 (614) 를 수신할 수도 있다. 클라이언트 디바이스 (602) 는 RRC 접속 셋업 완료 메시지 (616) 를 네트워크 액세스 노드 (604) 로 송신할 수도 있다. 예를 들어, RRC 접속 셋업 완료 메시지 (616) 는 어태치 요청을 나타낼 수도 있다. 네트워크 액세스 노드 (604) 는 초기 클라이언트 디바이스 메시지 (618) 를 IoTF-C (606) 로 송신할 수도 있다. IoTF-C (606) 는 클라이언트 디바이스 (602) 에 의해 제공된 홈 도메인 정보로부터 HSS 서버 (610) 의 어드레스를 결정할 수도 있고, HSS (610) 와 통신할 수도 있다 (621). 예를 들어, IoTF-C (606) 는 클라이언트 디바이스 (602) 에 대한 인증 정보에 대한 요청을 HSS 서버 (610) 로 송신할 수도 있고, HSS 서버 (610) 로부터 인증 정보를 수신할 수도 있다.
도 6 에 도시된 바와 같이, IoTF-C (606) 는 클라이언트 디바이스 (602) 와의 상호 인증, 예컨대 AKA 절차 (620) 를 수행할 수도 있다. AKA 절차 (620) 가 완료되는 경우, IoTF-C (606) 및 클라이언트 디바이스 (602) 는 제어 평면 키들, 예컨대 키 KIoT - CPenc (210) 및/또는 키 KIoT - CPint (212) 를 키 KASME (206) 로부터 또는 키 KIoT (202) 로부터 도출할 수도 있다. IoTF-C (606) 및 클라이언트 디바이스 (602) 는 또한, 사용자 평면 키들, 예컨대 키 KIoT - UPenc (216) 및/또는 키 KIoT -UPint (218) 를 키 KASME (206) 로부터 키 KIoT (202) 로부터 도출할 수도 있다. 본 개시물의 일 양태에서, IoTF-C (606) 는 키 KCDC - IoTF -C (304) 를 사용하여 클라이언트 디바이스 (602) 에 대한 제어 평면 콘텍스트를 암호화함으로써 제어 평면 암호화된 클라이언트 디바이스 콘텍스트를 생성할 수도 있고/있거나 키 KCDC - IoTF -U (306) 를 사용하여 클라이언트 디바이스 (602) 에 대한 사용자 평면 콘텍스트를 암호화함으로써 사용자 평면 암호화된 클라이언트 디바이스 콘텍스트를 생성할 수도 있다. IoTF-C (606) 는 하나 이상의 키들 (예를 들어, 사용자 평면 키들, 예컨대 키 KIoT -UPenc (216) 및/또는 키 KIoT - UPint (218), 및/또는 키 KCDC - IoTF -U (306)) 을 메시지 (622) 를 통해 IoTF-U (608) 로 트랜스퍼할 수도 있다.
IoTF-C (606) 는 암호화된 클라이언트 디바이스 콘텍스트 (예를 들어, 제어 평면 암호화된 클라이언트 디바이스 콘텍스트 및/또는 사용자 평면 암호화된 클라이언트 디바이스 콘텍스트) 를 갖는 초기 콘텍스트 셋업 요청 메시지 (624) 를 클라이언트 디바이스 (602) 로 송신할 수도 있다. 따라서, 암호화된 클라이언트 디바이스 콘텍스트는 IoTF 의 IoTF-C (606) 및/또는 IoTF-U (608) 와 연관된 클라이언트 디바이스 콘텍스트를 포함할 수도 있고, 여기서 클라이언트 디바이스 콘텍스트는 클라이언트 디바이스 (602) 에 의한 업링크 데이터 송신을 위해 사용될 수도 있다. 본 개시물의 일 양태에서, 암호화 키는 단지 IoTF 에 알려져 있다 (예를 들어, 클라이언트 디바이스 보안 콘텍스트는 IoTF 의 IoTF-C (606) 및/또는 IoTF-U (608) 에 의해 배타적으로 취출될 수도 있다). 따라서, 이러한 양태에서, 암호화 키는 IoTF (606) 외의 네트워크 엔티티들, 예컨대 네트워크 액세스 노드 (604) 또는 클라이언트 디바이스 (602) 에 알려져 있지 않을 수도 있는, KCDC - IoTF -U (306) 일 수도 있다. 본 개시물의 일 양태에서, 각각의 암호화된 클라이언트 디바이스 콘텍스트는 하나의 데이터 무선 베어러 (DRB) 에 대응한다.
본 개시물의 일 양태에서, IoTF-C (606) 는 암호화된 네트워크 도달 가능성 콘텍스트를 포함하는 메시지 (625) 를 서비스 네트워크 (609) 로 송신할 수도 있다. 본 개시물의 일 양태에서, IoTF-C (606) 는 키 KNRC - IoTF -C (310) 를 사용하여 클라이언트 디바이스 (602) 에 대한 제어 평면 콘텍스트를 암호화함으로써 제어 평면 (CP) 암호화된 네트워크 도달 가능성 콘텍스트를 생성할 수도 있고/있거나 키 KNRC-ITF-U (312) 를 사용하여 클라이언트 디바이스 (602) 에 대한 사용자 평면 콘텍스트를 암호화함으로써 클라이언트 디바이스 (602) 에 대한 사용자 평면 (UP) 암호화된 네트워크 도달 가능성 콘텍스트를 생성할 수도 있다. 따라서, 일 예에서, IoTF-C (606) 는 암호화된 네트워크 도달 가능성 콘텍스트 (예를 들어, CP 암호화된 네트워크 도달 가능성 콘텍스트 및/또는 UP 암호화된 네트워크 도달 가능성 콘텍스트) 를 포함하는 메시지 (625) 를 서비스 네트워크 (609) 로 송신할 수도 있다. 따라서, 암호화된 네트워크 도달 가능성 콘텍스트는 IoTF 의 IoTF-C (606) 및/또는 IoTF-U (608) 와 연관된 클라이언트 디바이스 콘텍스트 (예를 들어, 네트워크 상태 정보) 를 포함할 수도 있고, 여기서 이러한 클라이언트 디바이스 콘텍스트는 네트워크로부터 (예를 들어, 서비스 네트워크 (609) 내의 엔티티로부터) 클라이언트 디바이스 (602) 로의 다운링크 (DL) 데이터 송신을 위해 사용될 수도 있다. 본 개시물의 일 양태에서, 암호화 키는 단지 IoTF들에 알려져 있다 (예를 들어, IoTF 의 IoTF-C (606) 및/또는 IoTF-U (608) 에 의해 배타적으로 취출될 수도 있다). 본 개시물의 일 양태에서, IoTF-C (608) 는 네트워크 엔티티, 예컨대 서비스 네트워크 (609) 내의 IoT 서버 또는 P-GW 에 암호화된 네트워크 도달 가능성 콘텍스트들을 할당할 수도 있다.
네트워크 액세스 노드 (604) 는 RRC 접속 재구성 메시지 (626) 를 클라이언트 디바이스 (602) 로 송신할 수도 있다. 본 개시물의 일 양태에서, RRC 접속 재구성 메시지 (626) 는 암호화된 클라이언트 디바이스 콘텍스트를 포함할 수도 있다. 클라이언트 디바이스 (602) 는 RRC 접속 재구성 완료 메시지 (628) 를 네트워크 액세스 노드 (604) 로 송신할 수도 있다. 클라이언트 디바이스 (602) 는 데이터 패킷 (예를 들어, UL 데이터 패킷) 을 포함하는 제 1 메시지 (630) 를 네트워크 액세스 노드 (604) 로 송신할 수도 있다. 네트워크 액세스 노드 (604) 는 데이터 패킷을 제 2 메시지 (632) 를 통해 서비스 네트워크 (609) 로 포워딩할 수도 있다. 서비스 네트워크 (609) 는 데이터 패킷 (예를 들어, DL 데이터 패킷) 을 포함하는 제 3 메시지 (634) 를 클라이언트 디바이스 (602) 로 송신할 수도 있다. 예를 들어, 그리고 도 6 에 도시된 바와 같이, 제 3 메시지 (634) 는 IoTF-U (608) 및 네트워크 액세스 노드 (604) 에 의해 클라이언트 디바이스 (602) 로 포워딩될 수도 있다. 클라이언트 디바이스 (602) 는 그 후, 아이들 모드로 트랜지셔닝할 수도 있다 (636). 네트워크 액세스 노드 (604), IoTF-C (606), 및 IoTF-U (608) 는 클라이언트 디바이스 콘텍스트를 제거하도록 (638) 진행할 수도 있다.
IoT UL 데이터 트랜스퍼
도 7 은 본 개시물의 다양한 양태들에 따른 IoT 네트워크 아키텍처 (700) 에서 클라이언트 디바이스에 의해 개시된 데이터 송신을 예시하는 블록도이다. 도 7 에 도시된 바와 같이, IoT 네트워크 아키텍처 (700) 는 클라이언트 디바이스 (702)(또한, IoT 디바이스로도 지칭됨), 네트워크 액세스 노드 (704)(예를 들어, eNB, 기지국, 네트워크 액세스 포인트), 네트워크 디바이스 (705), 서비스 네트워크 (710), 및 홈 가입자 서버 (HSS)/인증, 승인, 및 어카운팅 (AAA) 서버 (712) 를 포함한다. 일 양태에서, 네트워크 디바이스 (705) 는 IoTF 를 구현하도록 구성된 하나 이상의 프로세싱 회로들 및/또는 다른 적합한 하드웨어를 포함할 수도 있다. 예를 들어, IoTF 는 제어 평면 IoT 기능부 (IoTF-C)(706) 및 사용자 평면 IoT 기능부 (IoTF-U)(708) 를 포함할 수도 있다. 이러한 양태에서, IoTF-C (706) 는 제 1 네트워크 노드 (707) 에서 구현될 수도 있고, IoTF-U (708) 는 제 2 네트워크 노드 (709) 에서 구현될 수도 있다. 일 양태에서, IoTF-C (706) 및 IoTF-U (708) 는, IoTF-C (706) 및 IoTF-U (708) 가 각각 아키텍처 (700) 내의 독립적인 노드를 나타내도록 동일한 하드웨어 플랫폼에서 구현될 수도 있다. 이러한 양태에서, 예를 들어 IoTF-C (706) 는 하드웨어 플랫폼 (예를 들어, 네트워크 디바이스 (705)) 상에 제공된 제 1 가상 머신 (예를 들어, 제 1 운영 시스템) 에서 구현될 수도 있고 IoTF-U (708) 는 하드웨어 플랫폼 상에 제공된 제 2 가상 머신 (예를 들어, 제 2 운영 시스템) 에서 구현될 수도 있다.
본 개시물의 일 양태에서, 서비스 네트워크 (710) 는 다수의 엔티티들, 기능부들, 게이트웨이들, 및/또는 다양한 유형들의 서비스들을 제공하도록 구성된 서버들을 포함할 수도 있다. 예를 들어, 서비스 네트워크 (710) 는 짧은 메시지 엔티티 (SME)(718), 머신 유형 통신 네트워킹 기능부 (MTC-IWF)(720), IoT 서버 (722), 및/또는 패킷 데이터 네트워크 (PDN) 게이트웨이 (P-GW)(724) 를 포함할 수도 있다. 도 7 에 개시된 서비스 네트워크 (710) 는 일 예로서 역할을 하고, 다른 양태들에서 서비스 네트워크 (710) 는 도 7 에 개시된 것들과 상이한 유형들의 엔티티들, 기능부들, 및/또는 서버들을 포함할 수도 있다는 것이 이해되어야 한다.
도 7 의 양태에서, IoTF-C (706) 는 제어 평면에 대한 암호화된 클라이언트 디바이스 콘텍스트 및 사용자 평면에 대한 암호화된 클라이언트 디바이스 콘텍스트를 생성했었을 수도 있다. 이러한 양태에서, 콘텍스트 키(들)(730) 은 제어 평면에 대한 암호화된 클라이언트 디바이스 콘텍스트를 생성하기 위한 제 1 콘텍스트 키 (예를 들어, 키 KCDC - IoTF -C (304)) 및 사용자 평면에 대한 암호화된 클라이언트 디바이스 콘텍스트를 생성하기 위한 제 2 콘텍스트 키 (예를 들어, 키 KCDC - IoTF -U (306)) 를 포함할 수도 있다. 예를 들어, IoTF-C (706) 는 사용자 평면에 대한 암호화된 클라이언트 디바이스 콘텍스트를 생성하기 위한 제 2 콘텍스트 키 (예를 들어, 키 KCDC - IoTF -U (306)) 를 IoTF-U (708) 로 송신했을 수도 있다. 따라서, 이러한 예에서 IoTF-U (708) 는 도 7 에 도시된 바와 같은 IoTF-C (706) 에 의해 제공된 콘텍스트 키(들)(731) 를 포함할 수도 있다. 도 7 의 양태에서, 클라이언트 디바이스 (702) 는 이전에 논의된 방식으로 CP 키(들)(726) 및 UP 키(들)(728)을 도출했다.
도 7 의 양태에서, IoTF-C (706) 는 제어 평면에 대한 암호화된 네트워크 도달 가능성 콘텍스트 및 사용자 평면에 대한 암호화된 네트워크 도달 가능성 콘텍스트를 생성했을 수도 있다. 이러한 양태에서, 콘텍스트 키(들)(730) 은 제어 평면에 대한 암호화된 네트워크 도달 가능성 콘텍스트를 생성하기 위한 제 1 콘텍스트 키 (예를 들어, 키 KNRC - IoTF -C (310)) 및 사용자 평면에 대한 암호화된 네트워크 도달 가능성 콘텍스트를 생성하기 위한 제 2 콘텍스트 키 (예를 들어, 키 KNRC - IoTF -U (312)) 를 포함할 수도 있다. 예를 들어, IoTF-C (706) 는 사용자 평면에 대한 암호화된 네트워크 도달 가능성 콘텍스트를 생성하기 위한 제 2 콘텍스트 키 (예를 들어, 키 KNRC - IoTF -U (312)) 를 IoTF-U (708) 로 송신했을 수도 있다. 따라서, 이러한 예에서 IoTF-U (708) 는 도 7 에 도시된 바와 같은 IoTF-C (706) 에 의해 제공된 콘텍스트 키(들)(731) 를 포함할 수도 있다.
도 7 에 도시된 바와 같이, 클라이언트 디바이스 (702) 는 IoTF-C (706) 에 의해 제공된 암호화된 클라이언트 디바이스 콘텍스트 및 데이터 패킷을 포함하는 제 1 메시지 (732) 를 네트워크 액세스 노드 (704) 로 송신할 수도 있다. 제 1 메시지 (732) 내의 데이터 패킷은 사용자 평면 (UP) 키들 (728) 에 기초하여 암호화 및 무결성 보호될 수도 있다. 네트워크 액세스 노드 (704) 는 데이터 패킷에서의 IoTF-U 식별자로부터 IoTF-U (708) 의 어드레스를 결정할 수도 있고, 데이터 패킷을 제 2 메시지 (734) 를 통해 IoTF-U (708) 로 포워딩할 수도 있다. 일 양태에서, 네트워크 액세스 노드 (704) 는 패킷을 확인하지 않고 클라이언트 디바이스 (702) 에 의해 표시된 다음 홉 노드 (예를 들어, IoTF-U (708)) 로 데이터 패킷을 포워딩할 수도 있다. IoTF-U (708) 는 암호화된 클라이언트 디바이스 콘텍스트를 확인할 수도 있고, 콘텍스트 키(들)(731)(예를 들어, 사용자 평면에 대한 암호화된 클라이언트 디바이스 콘텍스트를 생성하기 위한 키 KCDC - IoTF-U (306)) 를 사용하여 암호화된 클라이언트 디바이스 콘텍스트를 해독할 수도 있다. IoTF-U (708) 는 해독된 정보에 기초하여 클라이언트 디바이스 콘텍스트를 복원할 수도 있다. IoTF-U (708) 는 그 후, 암호화 및 무결성 키들 (예를 들어, UP 키(들)(728)) 로 데이터 패킷을 해독 및 확인할 수도 있다. 본 개시물의 일 양태에서, IoTF-U (708) 는 클라이언트 디바이스 (702) 의 콘텍스트 (예를 들어, 네트워크 상태 정보) 에 기초하여 암호화된 네트워크 도달 가능성 콘텍스트를 생성할 수도 있다. IoTF-U (708) 는 데이터 패킷을 제 3 메시지 (736) 를 통해 암호화된 네트워크 도달 가능성 콘텍스트를 갖는 다음 홉 (예를 들어, IoT 서버 (722) 또는 P-GW (724)) 으로 포워딩할 수도 있다. 본 개시물의 일 양태에서, 어태치 절차 바로 다음의 클라이언트 디바이스에 의한 초기 데이터 트랜스퍼는 암호화된 클라이언트 디바이스 콘텍스트를 반송하지 않을 수도 있다.
도 8 은 본 개시물의 다양한 양태들에 따른 IoT 네트워크 아키텍처 (예를 들어, IoT 네트워크 아키텍처 (700)) 에서 클라이언트 디바이스에 의해 개시된 예시적인 데이터 송신을 예시하는 신호 흐름도 (800) 이다. 도 8 에 도시된 바와 같이, 신호 흐름도 (800) 는 클라이언트 디바이스 (802)(또한, IoT 디바이스로도 지칭됨), 네트워크 액세스 노드 (804)(예를 들어, eNB, 기지국, 또는 네트워크 액세스 포인트), 네트워크 노드 (805) 에서 구현된 IoTF-U (806), 및 서비스 네트워크 (808) 를 포함한다. 클라이언트 디바이스 (802) 는 암호화된 클라이언트 디바이스 콘텍스트 및 데이터 패킷 (예를 들어, UL 데이터 패킷) 을 포함하는 데이터 트랜스퍼 요청 메시지 (810) 를 네트워크 액세스 노드 (804) 로 송신할 수도 있다. 데이터 패킷은 이전에 논의된 사용자 평면 키들 (예를 들어, 키 KIoT - UPenc (216) 및/또는 키 KIoT - UPint (218)) 에 기초하여 암호화 및 무결성 보호될 수도 있다. 일 양태에서, 데이터 트랜스퍼 요청 메시지 (810) 는 네트워크 액세스 노드 (804) 와 RRC 접속을 확립하지 않고 클라이언트 디바이스 (802) 에 의해 전송될 수도 있다. 네트워크 액세스 노드 (804) 는, 데이터 트랜스퍼 요청 메시지 (810) 의 수신 시에, 잠재적인 다운링크 (DL) 트래픽을 위해 클라이언트 디바이스 (802) 에 대한 임시 식별자 (TID) 를 할당할 수도 있다 (812). 예를 들어, TID 는 셀 무선 네트워크 임시 식별자 (C-RNTI) 일 수도 있다. 네트워크 액세스 노드 (804) 는 데이터 패킷의 헤더에 포함된 IoTF-U 식별자를 결정할 수도 있다. 이러한 헤더를 포함하는 데이터 패킷의 예시의 포맷은 도 12 를 참조하여 본원에 논의된다. 네트워크 액세스 노드 (804) 는 IoTF-U (806) 의 IP 어드레스를 결정할 수도 있고, 제 1 메시지 (814) 를 통해 IoTF-U (806) 로 데이터 패킷을 포워딩할 수도 있다. 예를 들어, 운영들 및 유지보수 (OAM) 절차들의 부분으로서, 네트워크 액세스 노드 (804) 는 IoTF-U 식별자들의 세트 및 대응하는 IP 어드레스를 갖고 구성될 수도 있고, 또는 대안으로 네트워크 액세스 노드 (804) 는 IoTF-U ID 에 기초하여 도메인 명칭 시스템 (DNS) 쿼리를 사용하여 IoTF-U (806) 의 IP 어드레스를 결정할 수도 있다. 본 개시물의 일 양태에서, 그리고 도 8 에 도시된 바와 같이, 네트워크 액세스 노드 (804) 는 제 1 메시지 (814) 에서의 데이터 패킷과 함께 TID 및 암호화된 클라이언트 디바이스 콘텍스트를 포함할 수도 있다. 본 개시물의 일 양태에서, TID 는 미리정의된 시간 인터벌 동안 네트워크 액세스 노드 (804) 에 저장된다. 이러한 양태에서, 네트워크 액세스 노드 (804) 는 제 1 메시지 (814) 에서의 TID 와 함께 IoTF-U (806) 로 TID 만료 시간을 송신할 수도 있다. IoTF-U (806) 는 암호화된 클라이언트 디바이스 콘텍스트를 해독할 수도 있고, 클라이언트 디바이스 콘텍스트 (예를 들어, S5 베어러) 를 복원할 수도 있다 (816). 일 양태에서, IoTF-U (806) 는 그 후, 암호화 및 무결성 키들 (예를 들어, UP 키(들)(728)) 로 데이터 패킷을 해독 및 확인할 수도 있다.
IoTF-U (806) 는 제 2 메시지 (818) 를 통해 서비스 네트워크 (808)(예를 들어, 서비스 네트워크 (808) 내의 P-GW 또는 서비스 네트워크 (808) 내의 다른 엔티티) 로 데이터 패킷을 포워딩할 수도 있다. 업링크 데이터 (예를 들어, 제 2 메시지 (818) 내의 UL 데이터 패킷) 에 응답하여, IoTF-U (806) 는 제 3 메시지 (820) 를 통해 서비스 네트워크 (808)(예를 들어, 서비스 네트워크 (808) 내의 P-GW 또는 서비스 네트워크 (808) 내의 대응하는 엔티티) 로부터 데이터 패킷 (예를 들어, DL 데이터 패킷) 을 수신할 수도 있다. IoTF-U (806) 는 클라이언트 디바이스 (802) 와 연관된 하나 이상의 키들 (예를 들어, 사용자 평면 키(들)(728)) 을 결정할 수도 있다. 예를 들어, IoTF-U (806) 는 클라이언트 디바이스 (802) 와 연관된 키 KIoT - UPint (218) 및/또는 키들 KIoT - UPenc (216) 로 클라이언트 디바이스에 대한 데이터 패킷을 암호화 및 무결성 보호할 수도 있다. IoTF-U (806) 는 수신된 데이터 패킷을 제 4 메시지 (822) 에서의 TID 로 네트워크 액세스 노드 (804) 로 송신할 수도 있다. 네트워크 액세스 노드 (804) 는 TID 를 사용하여 클라이언트 디바이스 (802) 를 식별할 수도 있고, 제 5 메시지 (824) 에서 데이터 패킷을 클라이언트 디바이스 (802) 로 송신할 수도 있다. 클라이언트 디바이스 (802) 는 사전-구성된 타이머에 기초하여 아이들 모드로 트랜지셔닝할 수도 있다 (826). 네트워크 액세스 노드 (804) 및 IoTF-U (806) 는 암호화된 클라이언트 디바이스 콘텍스트로부터 그때 그때 (on-the-fly) 생성되었던 클라이언트 디바이스 콘텍스트를 제거하도록 (828) 진행할 수도 있다.
클라이언트 디바이스 종단 데이터 트랜스퍼
도 9 는 본 개시물의 다양한 양태들에 따른 IoT 네트워크 아키텍처 (예를 들어, IoT 네트워크 아키텍처 (100)) 에서 예시적인 클라이언트 디바이스 종단 데이터 송신의 신호 흐름도 (900) 이다. 도 9 에 도시된 바와 같이, 신호 흐름도 (900) 는 클라이언트 디바이스 (902)(또한, IoT 디바이스로도 지칭됨), 네트워크 액세스 노드 (904)(예를 들어, eNB, 기지국, 또는 네트워크 액세스 포인트), 네트워크 노드 (905) 에서 구현된 IoTF-C (906) 및 네트워크 노드 (907) 에서 구현된 IoTF-U (908), P-GW (910), 및 IoT 서버 (912) 를 포함한다.
IoT 서버 (912) 는 DL 데이터 패킷을 포함하는 다운링크 (DL) 메시지 (914), 클로벌 IoTF 식별자 (GIOTFI), 및 암호화된 네트워크 도달 가능성 콘텍스트 (NRC) 를 P-GW (910) 로 송신할 수도 있다. P-GW (910) 는 GIOTFI 에 기초하여 IoTF-U (908) 를 위치시킬 수도 있고, 포워드 메시지 (916) 에서 DL 데이터 패킷을 IoTF-U (908) 로 포워딩할 수도 있다. 본 개시물의 일 양태에서, IoTF-U (908) 는 암호화된 네트워크 도달 가능성 콘텍스트를 확인할 수도 있다. 도 9 에 도시된 바와 같이, IoTF-U (908) 는 클라이언트 디바이스 (902) 에 대한 콘텍스트를 복원할 수도 있다 (917). 예를 들어, IoTF-U (908) 는 IoTF-U (908) 에 저장된 콘텍스트 키 (예를 들어, 키 KNRC - IoTF -U (312)) 를 사용하여 암호화된 네트워크 도달 가능성 콘텍스트를 해독함으로써 클라이언트 디바이스 (902) 에 대한 콘텍스트를 복원할 수도 있다.
IoTF-U (908) 는 DL 데이터 통지 메시지 (918) 를 IoTF-C (906) 로 송신할 수도 있다. 본 개시물의 일 양태에서, DL 데이터 통지 메시지 (918) 는, DL 데이터 패킷이 페이징 메시지에서 반송되기에 충분히 작으면 DL 데이터 패킷을 포함할 수도 있다. IoTF-C (906) 는 페이징 메시지 (920) 를 하나 이상의 네트워크 액세스 노드들 (예를 들어, 네트워크 액세스 노드 (904)) 로 송신할 수도 있다. 네트워크 액세스 노드 (904) 는 그 후, 페이지 메시지 (922) 를 송신함으로써 클라이언트 디바이스 (902) 를 페이징할 수도 있다.
클라이언트 디바이스 (902) 는 UL 데이터 패킷을 포함하는 RRC 접속 요청 메시지 (924) 를 IoTF-U (908) 로 송신할 수도 있다. 본 개시물의 일 양태에서, 클라이언트 디바이스 (902) 에 의해 송신된 UL 데이터 패킷은 비어 있을 수도 있다. 네트워크 액세스 노드 (904) 는 잠재적인 다운링크 (DL) 트래픽에 대해 클라이언트 디바이스 (902) 에 대한 임시 식별자 (TID) 를 할당할 수도 있다 (926). 예를 들어, TID 는 셀 무선 네트워크 임시 식별자 (C-RNTI) 일 수도 있다. 네트워크 액세스 노드 (904) 는 그 후, TID 및 암호화된 클라이언트 디바이스 콘텍스트를 갖는 UL 데이터 패킷을 포워드 메시지 (928) 에서 IoTF-U (908) 로 포워딩할 수도 있다. IoTF-U (908) 는 네트워크 액세스 노드 (904) 의 TID 및 ID 를 저장할 수도 있다 (930).
IoTF-U (908) 는 클라이언트 디바이스 응답 통지 메시지 (932) 를 IoTF-C (906) 로 송신할 수도 있다. 본 개시물의 일 양태에서, IoTF-U (908) 는 IoTF-U (908) 가 DL 데이터 통지 메시지 (918) 에서 DL 데이터 패킷을 포함할 수 없으면 클라이언트 디바이스 (902) 에 대한 TID 및 DL 데이터 패킷을 포함하는 메시지 (934) 를 클라이언트 디바이스 (902) 로 송신할 수도 있다. 네트워크 액세스 노드 (904) 는 DL 데이터 패킷을 포워드 메시지 (936) 에서 클라이언트 디바이스 (902) 로 포워딩할 수도 있다. 클라이언트 디바이스 (902) 는 그 후, 아이들 모드로 트랜지셔닝할 수도 있다 (938). 네트워크 액세스 노드 (904) 및 IoTF-C (906) 는 클라이언트 디바이스 콘텍스트를 제거할 수도 있다 (940).
제어 평면 프로토콜 스택
도 10 은 본 개시물의 다양한 양태들에 따른 IoT 데이터 송신에 대한 제어 평면 프로토콜 스택 (1000) 을 예시하는 다이어그램이다. 도 10 에 도시된 바와 같이, 프로토콜 스택 (1000) 은 클라이언트 디바이스 프로토콜 스택 (1002)(또한, IoT 디바이스 프로토콜 스택으로도 지칭됨), 네트워크 액세스 노드 프로토콜 스택 (1004), 네트워크 노드 (1005) 에서 구현된 IoTF 프로토콜 스택 (1006), 및 서비스 네트워크 프로토콜 스택 (1008) 을 포함할 수도 있다. 예를 들어, 네트워크 액세스 노드 프로토콜 스택 (1004) 은 eNB, 기지국, 또는 네트워크 액세스 포인트에서 구현될 수도 있다. 다른 예로서, 서비스 네트워크 프로토콜 스택 (1008) 은 P-GW 에서 구현될 수도 있다. 도 10 에 도시된 바와 같이, 클라이언트 디바이스 프로토콜 스택 (1002) 은 물리 (PHY) 계층 (1010), 매체 액세스 제어 (MAC) 계층 (1012), 무선 링크 제어 (RLC) 계층 (1014), 패킷 데이터 수렴 프로토콜 (PDCP) 계층 (1016), 및 제어 (Ctrl) 계층 (1020) 을 포함할 수도 있다. 도 10 에 추가로 도시된 바와 같이, 클라이언트 디바이스 프로토콜 스택 (1002) 은 제어 평면 암호화된 클라이언트 디바이스 콘텍스트 (도 10 에서 "CDCCP" 로서 약칭됨) 를 통신하기 위해 콘텍스트 프로토콜 계층 (1018) 을 구현할 수도 있다. 콘텍스트 프로토콜 계층 (1018) 은 또한, 암호화된 클라이언트 디바이스 콘텍스트의 존재를 나타내는 IoTF ID (IID) 및/또는 보안 헤더 (도 10 에서 "Sec" 로서 약칭됨) 의 통신을 가능하게 할 수도 있다.
도 10 에 도시된 바와 같이, 네트워크 액세스 노드 프로토콜 스택 (1004) 은 클라이언트 디바이스 프로토콜 스택 (1002) 의 PHY 계층 (1010), MAC 계층 (1012), RLC 계층 (1014), 및 PDCP 계층 (1016) 과 각각 인터페이스하는 PHY 계층 (1022), MAC 계층 (1024), RLC 계층 (1026), 및 PDCP 계층 (1028) 을 포함할 수도 있다. 네트워크 액세스 노드 프로토콜 스택 (1004) 은 이더넷 계층 (1030), MAC 계층 (1032), 인터넷 프로토콜 (IP) 계층 (1034), 사용자 데이터그램 프로토콜 (UDP) 계층 (1036), 및 제어 평면 GPRS 터널링 프로토콜 (GTP-C) 계층 (1038) 을 더 포함할 수도 있다.
도 10 에 도시된 바와 같이, IoTF 프로토콜 스택 (1006) 은 이더넷 계층 (1040), MAC 계층 (1042), IP 계층 (1044), UDP 계층 (1046), GTP-C 계층 (1048), 및 제어 (Ctrl) 계층 (1052) 을 포함할 수도 있다. 도 10 에 추가로 도시된 바와 같이, IoTF 프로토콜 스택 (1006) 은 제어 평면 암호화된 클라이언트 디바이스 콘텍스트 (도 10 에서 "CDCCP" 로서 약칭됨) 를 통신하기 위해 콘텍스트 프로토콜 계층 (1050) 을 구현할 수도 있다. 콘텍스트 프로토콜 계층 (1050) 은 또한, 암호화된 클라이언트 디바이스 콘텍스트의 존재를 나타내는 IoTF ID (IID) 및/또는 보안 헤더 (도 10 에서 "Sec" 로서 약칭됨) 의 통신을 가능하게 할 수도 있다. 도 10 에 도시된 바와 같이, 클라이언트 디바이스 프로토콜 스택 (1002) 의 콘텍스트 프로토콜 계층 (1018) 은 IoTF 프로토콜 스택 (1006) 의 콘텍스트 프로토콜 계층 (1050) 과 통신한다. 일 양태에서, 암호화된 클라이언트 디바이스 콘텍스트는 도 12 에 대하여 설명된 예시적인 패킷 포맷에 따라 UP 메시지 외의 패킷 헤더에서 반송될 수도 있다. 도 10 에 추가로 도시된 바와 같이, IoTF 프로토콜 스택 (1006) 은 또한, 제어 평면 암호화된 네트워크 도달 가능성 콘텍스트 (도 10 에서 "NRCCP" 로서 약칭됨) 를 통신하기 위해 콘텍스트 프로토콜 계층 (1049) 을 구현할 수도 있다. 콘텍스트 프로토콜 계층 (1049) 은 또한, 암호화된 네트워크 도달 가능성 콘텍스트의 존재를 나타내는 IoTF ID (IID) 및/또는 보안 헤더 (도 10 에서 "Sec" 로서 약칭됨) 의 통신을 가능하게 할 수도 있다.
서비스 네트워크 프로토콜 스택 (1008) 은 IoTF 프로토콜 스택 (1006) 의 IP 계층 (1044), UDP 계층 (1046), GTP-C 계층 (1048), 및 Ctrl 계층 (1052) 과 각각 인터페이스하는 IP 계층 (1054), UDP 계층 (1056), GTP-C 계층 (1058), 및 Ctrl 계층 (1062) 을 포함할 수도 있다. 도 10 에 추가로 도시된 바와 같이, 서비스 네트워크 프로토콜 스택 (1008) 은 제어 평면 암호화된 네트워크 도달 가능성 콘텍스트 (도 10 에서 "NRCCP" 로서 약칭됨) 를 통신하기 위해 콘텍스트 프로토콜 계층 (1059) 을 구현할 수도 있다. 콘텍스트 프로토콜 계층 (1059) 은 또한, 암호화된 네트워크 도달 가능성 콘텍스트의 존재를 나타내는 IoTF ID (IID) 및/또는 보안 헤더 (도 10 에서 "Sec" 로서 약칭됨) 의 통신을 가능하게 할 수도 있다. 도 10 에 도시된 바와 같이, 서비스 네트워크 프로토콜 스택 (1008) 의 콘텍스트 프로토콜 계층 (1059) 은 IoTF 프로토콜 스택 (1006) 의 콘텍스트 프로토콜 계층 (1049) 과 통신한다. 본 개시물의 일 양태에서, 암호화된 네트워크 도달 가능성 콘텍스트는 도 13 에 대하여 설명된 예시적인 패킷 포맷에 따라 사용자 평면 메시지 외의 패킷 헤더에서 반송될 수도 있다. 본 개시물의 일 양태에서, 네트워크 아키텍처가 GSM EDGE 무선 액세스 네트워크 (GERAN) 로서 구현되면, IP 프로토콜들 (1066) 과 상이한 프로토콜들이 사용될 수도 있다. 본 개시물의 일 양태에서, 영역들 (1064 및 1068) 에 의해 표시된 GTP-C 및 UDP 프로토콜들은 생략될 수도 있다.
사용자 평면 프로토콜 스택
도 11 은 본 개시물의 다양한 양태들에 따른 IoT 데이터 송신에 대한 사용자 평면 프로토콜 스택 (1100) 을 예시하는 다이어그램이다. 도 11 에 도시된 바와 같이, 프로토콜 스택 (1100) 은 클라이언트 디바이스 프로토콜 스택 (1102)(또한, IoT 디바이스 프로토콜 스택으로도 지칭됨), 네트워크 액세스 노드 프로토콜 스택 (1104), 네트워크 노드 (1105) 에서 구현된 IoTF 프로토콜 스택 (1106), 및 서비스 네트워크 프로토콜 스택 (1108) 을 포함할 수도 있다. 예를 들어, 네트워크 액세스 노드 프로토콜 스택 (1104) 은 eNB, 기지국, 또는 네트워크 액세스 포인트에서 구현될 수도 있다. 다른 예로서, 서비스 네트워크 프로토콜 스택 (1108) 은 P-GW 에서 구현될 수도 있다. 도 11 에 도시된 바와 같이, 클라이언트 디바이스 프로토콜 스택 (1102) 은 물리 (PHY) 계층 (1110), 매체 액세스 제어 (MAC) 계층 (1112), 무선 링크 제어 (RLC) 계층 (1114), 패킷 데이터 수렴 프로토콜 (PDCP) 계층 (1116), 및 사용자 평면 (UP) 계층 (1120) 을 포함할 수도 있다. 도 11 에 추가로 도시된 바와 같이, 클라이언트 디바이스 프로토콜 스택 (1102) 은 사용자 평면 암호화된 클라이언트 디바이스 콘텍스트 (도 11 에서 "CDCUP" 로서 약칭됨) 를 통신하기 위해 콘텍스트 프로토콜 계층 (1118) 을 구현할 수도 있다. 콘텍스트 프로토콜 계층 (1118) 은 또한, 암호화된 클라이언트 디바이스 콘텍스트의 존재를 나타내는 IoTF ID (IID) 및/또는 보안 헤더 (도 11 에서 "Sec" 로서 약칭됨) 의 통신을 가능하게 할 수도 있다.
도 11 에 도시된 바와 같이, 네트워크 액세스 노드 프로토콜 스택 (1104) 은 클라이언트 디바이스 프로토콜 스택 (1102) 의 PHY 계층 (1110), MAC 계층 (1112), RLC 계층 (1114), 및 PDCP 계층 (1116) 과 각각 인터페이스하는 PHY 계층 (1122), MAC 계층 (1124), RLC 계층 (1126), 및 PDCP 계층 (1128) 을 포함할 수도 있다. 네트워크 액세스 노드 프로토콜 스택 (1104) 은 이더넷 계층 (1130), MAC 계층 (1132), 인터넷 프로토콜 (IP) 계층 (1134), 사용자 데이터그램 프로토콜 (UDP) 계층 (1136), 및 사용자 평면 GPRS 터널링 프로토콜 (GTP-C) 계층 (1138) 을 더 포함할 수도 있다.
도 11 에 도시된 바와 같이, IoTF 프로토콜 스택 (1106) 은 이더넷 계층 (1140), MAC 계층 (1142), IP 계층 (1144), UDP 계층 (1146), 및 GTP-U 계층 (1148) 을 포함할 수도 있다. 도 11 에 추가로 도시된 바와 같이, IoTF 프로토콜 스택 (1106) 은 사용자 평면 암호화된 클라이언트 디바이스 콘텍스트 (도 11 에서 "CDCUP" 로서 약칭됨) 를 통신하기 위해 콘텍스트 프로토콜 계층 (1150) 을 구현할 수도 있다. 콘텍스트 프로토콜 계층 (1150) 은 또한, 암호화된 클라이언트 디바이스 콘텍스트의 존재를 나타내는 IoTF ID (IID) 및/또는 보안 헤더 (도 11 에서 "Sec" 로서 약칭됨) 의 통신을 가능하게 할 수도 있다. 도 11 에 도시된 바와 같이, 클라이언트 디바이스 프로토콜 스택 (1102) 의 콘텍스트 프로토콜 계층 (1118) 은 IoTF 프로토콜 스택 (1106) 의 콘텍스트 프로토콜 계층 (1150) 과 통신한다. 일 양태에서, 사용자 평면 암호화된 클라이언트 디바이스 콘텍스트는 도 12 에 대하여 설명된 예시적인 패킷 포맷에 따라 UP 메시지 외의 패킷 헤더에서 반송될 수도 있다. 도 11 에 추가로 도시된 바와 같이, IoTF 프로토콜 스택 (1106) 은 또한, 사용자 평면 암호화된 네트워크 도달 가능성 콘텍스트 (도 11 에서 "NRCUP" 로서 약칭됨) 를 통신하기 위해 콘텍스트 프로토콜 계층 (1149) 을 구현할 수도 있다. 콘텍스트 프로토콜 계층 (1149) 은 또한, 암호화된 네트워크 도달 가능성 콘텍스트의 존재를 나타내는 IoTF ID (IID) 및/또는 보안 헤더 (도 11 에서 "Sec" 로서 약칭됨) 의 통신을 가능하게 할 수도 있다.
서비스 네트워크 프로토콜 스택 (1108) 은 IoTF 프로토콜 스택 (1106) 의 IP 계층 (1144), UDP 계층 (1146), GTP-U 계층 (1148), 및 UP 계층 (1152) 과 각각 인터페이스하는 IP 계층 (1154), UDP 계층 (1156), GTP-C 계층 (1158), 및 UP 계층 (1162) 을 포함할 수도 있다. 서비스 네트워크 프로토콜 스택 (1108) 은 사용자 평면 암호화된 네트워크 도달 가능성 콘텍스트 (도 11 에서 "NRCUP" 로서 약칭됨) 를 통신하기 위해 콘텍스트 프로토콜 계층 (1159) 을 구현할 수도 있다. 도 11 에 도시된 바와 같이, 서비스 네트워크 프로토콜 스택 (1108) 의 콘텍스트 프로토콜 계층 (1159) 은 IoTF 프로토콜 스택 (1106) 의 콘텍스트 프로토콜 계층 (1149) 과 통신한다. 본 개시물의 일 양태에서, 사용자 평면 암호화된 네트워크 도달 가능성 콘텍스트는 도 11 에 대하여 설명된 예시적인 패킷 포맷에 따라 UP 메시지 외의 패킷 헤더에서 반송될 수도 있다. 본 개시물의 일 양태에서, 네트워크 아키텍처가 GSM EDGE 무선 액세스 네트워크 (GERAN) 로서 구현되면, IP 프로토콜들 (1166) 과 상이한 프로토콜들이 사용될 수도 있다. 본 개시물의 일 양태에서, 영역들 (1164 및 1168) 에 의해 표시된 GTP-U 및 UDP 프로토콜들은 생략될 수도 있다. 본 개시물의 일 양태에서, IP 프로토콜이 UP 메시지 전달을 위해 사용되면, 사용자 평면 암호화된 네트워크 도달 가능성 콘텍스트는 IP 옵션들 필드 (IPv4) 또는 IP 확장 헤더 (IPv6) 에서 반송될 수도 있다.
IoT 패킷 포맷
도 12 는 본 개시물의 다양한 양태들에 따른 IoT 네트워크 아키텍처에서 송신들을 위한 패킷 포맷 (1200) 의 다이어그램이다. 도 12 를 참조하면, 임시 식별자 (TID) 필드 (1202) 는 네트워크 액세스 노드 (예를 들어, eNB, 기지국, 또는 네트워크 액세스 포인트) 에 의해 사용되어 클라이언트 디바이스 (또한, IoT 디바이스로도 지칭됨) 를 국부적으로 식별할 수도 있다. 예를 들어, 클라이언트 디바이스를 식별하기 위해 TID 필드 (1202) 에 네트워크 액세스 노드에 의해 할당된 값은 C-RNTI 또는 등가물일 수도 있다. 본 개시물의 일 양태에서, IoTF ID (IID) 필드 (1024) 는 전세계적으로 고유한 임시 식별자 (GUTI) 를 포함할 수도 있다. 예를 들어, GUTI 는 IoTF 와 연관된 식별자 및 클라이언트 디바이스와 연관된 식별자 (예를 들어, 임시 식별자, 예컨대 이동성 관리 엔티티 (MME) 임시 모바일 가입자 아이덴티티 (M-TMSI)) 를 포함할 수도 있다. 예를 들어, GUTI 는 네트워크 액세스 노드에 의해 사용되어 IoTF 를 식별할 수도 있고, GUTI 는 IoTF 에 의해 사용되어 클라이언트 디바이스를 식별할 수도 있다. 다른 양태에서, IID 필드 (1204) 는 글로벌 IoTF 식별자 (GIOTFI) 및 클라이언트 디바이스와 연관된 식별자 (예를 들어, 임시 식별자, 예컨대 M-TMSI) 를 포함할 수도 있다. 예를 들어, GIOTFI 는 IoTF 에 대한 전세계적으로 고유한 이동성 관리 엔티티 식별자 (GUMMEI) 의 등가물일 수도 있다. 본 개시물의 일 양태에서, M-TMSI 는 클라이언트 디바이스 프라이버시를 위해 암호화될 수도 있다. IoTF IP 어드레스를 사용하여 네트워크 토폴로지를 기술할 수도 있다는 것이 주목되어야 한다.
보안 헤더 필드 (1206) 는 암호화된 클라이언트 디바이스 콘텍스트의 존재, 제어 평면 (CP)/사용자 평면 (UP) 표시, 시퀀스 넘버, 시간 스탬프 값 및/또는 랜던 값을 나타낼 수도 있다. 예를 들어, 시간 스탬프 값은 시간 및 카운터에 기초할 수도 있고, 여기서 시간은 네트워크 액세스 노드 시간 또는 IoTF 시간이다. 클라이언트 디바이스 콘텍스트 필드 (1208) 는 암호화된 클라이언트 디바이스 콘텍스트를 포함할 수도 있다. 시간 스탬프가 시퀀스 넘버 대신에 암호화를 위해 사용되면, IoTF 는 임의의 클라이언트 디바이스 네트워크 상태들을 유지할 필요가 없을 수도 있다는 것이 주목되어야 한다. 일 양태에서, 랜덤 값은 랜덤 넘버 및 카운터에 기초할 수도 있다. 랜덤 값은 네트워크 액세스 노드에 의해 또는 클라이언트 디바이스에 의해, 또는 이들의 조합에 의해 생성될 수도 있다. 카운터는 각각의 패킷에 대해 소정 값 (예를 들어, 1) 만큼 증분될 수도 있다. 랜덤 값이 시퀀스 넘버 대신에 암호화를 위해 사용되면, 클라이언트 디바이스는 랜덤 넘버 및 보안 콘텍스트에서의 암호화 키에 기초하여 새로운 암호화 키를 생성할 수도 있다. 랜덤 값이 시퀀스 넘버 대신에 무결성 보호를 위해 사용되면, 클라이언트 디바이스는 랜덤 넘버 및 보안 콘텍스트에서의 무결성 보호 키에 기초하여 새로운 무결성 보호 키를 생성할 수도 있고, 새로운 무결성 보호 키를 사용하여 메시지를 보호할 수도 있다. 페이로드 필드 (1210) 는 데이터 또는 제어 정보 (예를 들어, 데이터 패킷 또는 제어 패킷) 를 포함할 수도 있다.
메시지 인증 코드 (MAC) 필드 (1212) 는 무결성 보호를 위해 사용될 수도 있다. 예를 들어, MAC 필드 (1212) 는 송신 디바이스 또는 엔티티에 의해 생성된 메시지 인증 코드를 포함할 수도 있다. MAC 필드 (1212) 에서의 메시지 인증 코드는 그 후, 수신 디바이스 또는 엔티티에 의해 사용되어, 메시지의 무결성이 절충되지 않았다는 것 (예를 들어, 메시지의 콘텐츠가 변경 또는 조작되지 않았다는 것) 을 확인할 수도 있다. 일 양태에서, MAC 필드 (1212) 에서의 메시지 인증 코드는 메시지 인증 코드 생성 알고리즘 (예를 들어, AEAD 암호) 를 적용함으로서 송신 디바이스 또는 엔티티에서 생성될 수도 있고, 여기서 메시지 (예를 들어, 패킷) 및 사용자 평면 키 또는 제어 평면 키는 메시지 인증 코드 생성 알고리즘에 대한 입력들로서 사용된다. 메시지 인증 코드 생성 알고리즘의 출력은 MAC 필드 (1212) 에 포함된 메시지 인증 코드일 수도 있다. 수신 디바이스 또는 엔티티는 메시지 인증 코드 생성 알고리즘 (예를 들어, AEAD 암호) 을 메시지에 적용함으로써 수신된 메시지의 무결성을 확인할 수도 있다. 예를 들어, 수신된 메시지 (예를 들어, 패킷) 및 사용자 평면 키 또는 제어 평면 키는 메시지 인증 코드 생성 알고리즘에 대한 입력들로서 사용될 수도 있다. 수신 디바이스 또는 엔티티는 그 후, 메시지 인증 코드 생성 알고리즘의 출력을 MAC 필드 (1212) 에 포함된 메시지 인증 코드와 비교할 수도 있다. 이러한 예에서, 메시지 인증 코드 생성 알고리즘의 출력이 MAC 필드 (1212) 에 포함된 메시지 인증 코드에 일치하는 경우, 수신 디바이스 또는 엔티티는, 메시지가 성공적으로 확인되었다는 것을 결정할 수도 있다.
도 13 은 본 개시물의 다양한 양태들에 따른 IoT 네트워크 아키텍처에서 송신들을 위한 패킷 포맷 (1300) 의 다이어그램이다. 도 13 을 참조하면, 임시 식별자 (TID) 필드 (1302) 는 네트워크 액세스 노드 (예를 들어, eNB, 기지국, 또는 네트워크 액세스 포인트) 에 의해 사용되어 클라이언트 디바이스 (또한, IoT 디바이스로도 지칭됨) 를 국부적으로 식별할 수도 있다. 예를 들어, 클라이언트 디바이스를 식별하기 위해 TID 필드 (1302) 에 네트워크 액세스 노드에 의해 할당된 값은 C-RNTI 또는 등가물일 수도 있다. 본 개시물의 일 양태에서, IoTF ID (IID) 필드 (1304) 는 전세계적으로 고유한 임시 식별자 (GUTI) 또는 글로벌 IoTF 식별자 (GIOTFI) 를 포함할 수도 있다. 예를 들어, GUTI 는 네트워크 액세스 노드에 의해 사용되어 IoTF 를 식별할 수도 있고, GUTI 는 IoTF 에 의해 사용되어 클라이언트 디바이스를 식별할 수도 있다. 예를 들어, GIOTFI 는 IoTF 에 대한 전세계적으로 고유한 이동성 관리 엔티티 식별자 (GUMMEI) 의 등가물일 수도 있다. 본 개시물의 일 양태에서, 이동성 관리 엔티티 (MME) 임시 모바일 가입자 아이덴티티 (M-TMSI) 는 클라이언트 디바이스 프라이버시를 위해 암호화될 수도 있다. IoTF IP 어드레스를 사용하여 네트워크 토폴로지를 기술할 수도 있다는 것이 주목되어야 한다. 보안 헤더 필드 (1306) 는 암호화된 네트워크 도달 가능성 콘텍스트의 존재, CP/UP 표시, 시퀀스 넘버, 및/또는 시간 스탬프 값을 나타낼 수도 있다. 예를 들어, 시간 스탬프 값은 시간 및 카운터에 기초할 수도 있고, 여기서 시간은 네트워크 액세스 노드 시간 또는 IoTF 시간이다. 네트워크 도달 가능성 콘텍스트 필드 (1308) 는 암호화된 네트워크 도달 가능성 콘텍스트를 포함할 수도 있다. 페이로드 필드 (1310) 는 데이터 또는 제어 정보 (예를 들어, 데이터 패킷 또는 제어 패킷) 를 포함할 수도 있다. 메시지 인증 코드 (MAC) 필드 (1312) 는 무결성 보호를 위해 사용될 수도 있다 (예를 들어, AEAD 암호가 사용될 수도 있다). 시간 스탬프가 시퀀스 넘버 대신에 암호화를 위해 사용되면, IoTF 는 클라이언트 디바이스에 대한 임의의 네트워크 상태 정보를 유지할 필요가 없을 수도 있다는 것이 주목되어야 한다.
암호화된 클라이언트 디바이스 콘텍스트 설계 및 생성
본 개시물의 일 양태에서, 암호화된 클라이언트 디바이스 콘텍스트는 AKA 절차 동안 확립된 클라이언트 디바이스 콘텍스트를 포함할 수도 있다. 예를 들어, 클라이언트 디바이스 콘텍스트는 보안 콘텍스트, 베어러 ID, 이볼브드 패킷 시스템 (EPS) 베어러 서비스(들) 품질 (QoS) 및 S5-TEID(들), 및/또는 클라이언트 디바이스에 서비스를 제공하기 위해 네트워크에 의해 필요로 될 수도 있는 다른 서비스들, 파라미터들, 값들, 설정들, 또는 특성들을 포함할 수도 있다.
일부 양태들에서, 암호화된 클라이언트 디바이스 콘텍스트는 클라이언트 디바이스 콘텍스트에 추가하여 하나 이상의 정보의 아이템들을 포함할 수도 있다. 예를 들어, 암호화된 클라이언트 디바이스 콘텍스트는, (예를 들어, 파라미터 재사용을 방지하도록) 암호화된 클라이언트 디바이스 콘텍스트의 수명을 제한하는, IoTF-C (106) 에 의해 설정된 (또는 클라이언트 디바이스 콘텍스트에 표시된) 만료 시간을 포함할 수도 있다. 다른 예로서, 암호화된 클라이언트 디바이스 콘텍스트는 암호화된 클라이언트 디바이스 콘텍스트를 생성하기 위해 사용된 키를 식별하는 키 인덱스를 가질 수도 있다.
일부 양태들에서, 암호화된 클라이언트 디바이스 콘텍스트는 네트워크 내의 엔티티에 단지 알려져 있는 비밀 키를 사용하여 생성될 수도 있고, 따라서 클라이언트 디바이스들에 의해 해석 및/또는 수정되지 않을 수도 있다. 예를 들어, 암호화된 클라이언트 디바이스 콘텍스트는 IoTF-U (예를 들어, IoTF-U (108)) 의 비밀 키를 사용하여 클라이언트 디바이스 콘텍스트를 암호화함으로써 생성될 수도 있다. 일부 양태들에서, 암호화된 클라이언트 디바이스 콘텍스트는 IoTF-U (예를 들어, IoTF-U (108)) 의 비밀 키로 무결성 보호될 수도 있고, 따라서 클라이언트 디바이스들에 의해 조작/수정되지 않을 수도 있다.
일 양태에서, 암호화된 클라이언트 디바이스 콘텍스트는 인증 및 콘텍스트 (예를 들어, 베어러) 셋업의 성공적인 완료로서 IoTF-C (예를 들어, IoTF-C (106)) 에 의해 클라이언트 디바이스 (예를 들어, 클라이언트 디바이스 (102)) 에 제공될 수도 있다. 일 양태에서, 클라이언트 디바이스는 하나 이상의 사용자 평면 패킷들 (예를 들어, UL 데이터 패킷들) 에 암호화된 클라이언트 디바이스 콘텍스트를 포함하여, IoTF-U (예를 들어, IoTF-U (108)) 가 클라이언트 디바이스를 그때 그때 복원하게 할 수도 있다. 예를 들어, 클라이언트 디바이스가 다수의 패킷들을 연속하여 송신할 필요가 있으면, 클라이언트 디바이스는 후속의 패킷들에 암호화된 클라이언트 디바이스 콘텍스트를 포함하지 않고 제 1 패킷에 암호화된 클라이언트 디바이스 콘텍스트를 포함할 수도 있다. 일부 양태들에서, 암호화된 클라이언트 디바이스 콘텍스트는 클라이언트 디바이스에 특정적일 수도 있고, 따라서 클라이언트 디바이스에 발행된 암호화된 클라이언트 디바이스 콘텍스트는 임의의 다른 클라이언트 디바이스들에 의해 사용되지 않을 수도 있다.
a) 제어 평면 암호화된 클라이언트 디바이스 콘텍스트
본 개시물의 일 양태에서, IoTF (예를 들어, 도 1 의 IoTF-C (106)) 는 하나 이상의 정보 아이템들을 연결시킴으로써 암호화된 클라이언트 디바이스 콘텍스트를 생성할 수도 있다. 예를 들어, 제어 평면 (CP) 암호화된 클라이언트 디바이스 콘텍스트 (CDCCP) 는 표현 KeyID∥Enc_KCDC - IoTF -C(CDCCP)∥MAC 에 기초하여 생성될 수도 있다. 본 개시물의 일 양태에서, 키 KCDC - IoTF -C (예를 들어, 도 3 의 키 KCDC - IoTF -C (304)) 는 키 KCDC - IoTF (예를 들어, 도 3 의 키 KCDC - IoTF (302)) 와 동일할 수도 있거나 또는 키 KCDC - IoTF 로부터 도출될 수도 있다. 용어 KeyID 는 (암호화된 클라이언트 디바이스 콘텍스트를 생성하기 위해 사용된) 키 인덱스를 나타낼 수도 있다.
용어 CDCCP 는 제어 평면 클라이언트 디바이스 콘텍스트를 나타낼 수도 있다. 예를 들어, 제어 평면 클라이언트 디바이스 콘텍스트는 클라이언트 디바이스 식별자, 클라이언트 디바이스 보안 콘텍스트 (예를 들어, 제어 평면 키들, 예컨대 키 KIoT (KASME 등가물), 키 KIoT - CPenc (201), 키 KIoT - CPint (212)), 클라이언트 디바이스 보안 성능들 (예를 들어, 이볼브드 패킷 시스템 암호화 알고리즘 (EEA), 이볼브드 패킷 시스템 무결성 알고리즘 (EIA)), 및/또는 다음 홉 (S5/S8) 구성 정보를 포함할 수도 있다. 예를 들어, 다음 홉 구성 정보는 IoT 서버 어드레스, P-GW 어드레스, 및/또는 TEID들을 포함할 수도 있다. 용어 MAC 는, 모바일 네트워크 운영자 (MNO) 에 의해 선택되고 IoTF들로 구성될 수도 있는, 암호화 모드 및/또는 메시지 인증 코드 생성 알고리즘 (또한, MAC 알고리즘으로도 지칭됨) 을 나타낼 수도 있다. 따라서, 용어 Enc_KCDC - IoTF -C (CDCCP) 는 키 KCDC - IoTF - C 를 사용하여 제어 평면 클라이언트 디바이스 콘텍스트 상에서 수행된 암호화 동작의 결과를 나타낼 수도 있다.
b) 사용자 평면 암호화된 클라이언트 디바이스 콘텍스트
다른 예로서, 사용자 평면 (UP) 암호화된 클라이언트 디바이스 콘텍스트는 (CDCUP) 는 표현 KeyID∥Enc_KCDC - IoTF -U(CDCUP)∥MAC 에 기초하여 생성될 수도 있다. 용어 CDCUP 는 사용자 평면 클라이언트 디바이스 콘텍스트를 나타낼 수도 있다. 예를 들어, 사용자 평면 클라이언트 디바이스 콘텍스트는 클라이언트 디바이스 식별자, 베어러 ID들, 이볼브드 패킷 시스템 (EPS) 베어러 서비스(들) 품질 (QoS), 사용자 평면 일반 패킷 무선 서비스 (GPRS) 터널링 프로토콜 (GTP-U) 에 대한 S5 터널 엔드포인트 식별자 (TEID), IoTF-U (108) 가 UL 데이터를 포워딩하는 P-GW 인터넷 프로토콜 (IP) 어드레스 (또는 등가 정보), 클라이언트 디바이스 보안 콘텍스트 (예를 들어, 선택된 암호 알고리즘 및 사용자 평면 키들, 예컨대 키 KIoT - UPenc (216), 키 KIoT - UPint (218)), 클라이언트 디바이스 보안 능력들 (예를 들어, 이볼브드 패킷 시스템 암호화 알고리즘 (EEA), 이볼브드 패킷 시스템 무결성 알고리즘 (EIA)), 및/또는 다음 홉 (S5/S8) 구성 정보를 포함할 수도 있다. 예를 들어, 다음 홉 구성 정보는 IoT 서버 어드레스, P-GW 어드레스, 및/또는 TEID들을 포함할 수도 있다. 따라서, 용어 Enc_KCDC - IoTF -U (CDCUP) 는 키 KCDC - IoTF - U 를 사용하여 사용자 평면 클라이언트 디바이스 콘텍스트 상에서 수행된 암호화 동작의 결과를 나타낼 수도 있다. 본 개시물의 일 양태에서, 암호화된 클라이언트 디바이스 콘텍스트는 단지, 클라이언트 디바이스가 어태치/연관되는 IoTF (예를 들어, IoTF-C (106) 및/또는 IoTF-U (108)) 에 의해 해독될 수도 있다. 본 개시물의 일 양태에서, 클라이언트 디바이스 콘텍스트는 암호화되기 전에 압축될 수도 있다.
암호화된 클라이언트 디바이스 콘텍스트는 하나 이상의 특징을 가질 수도 있다. 예를 들어, 암호화된 클라이언트 디바이스 콘텍스트는 특정 클라이언트 디바이스와 연관된 네트워크 상태 정보를 포함할 수도 있고, 따라서 다른 클라이언트 디바이스들로 트랜스퍼 가능하지 않을 수도 있다. IoTF-C/U (예를 들어, IoTF-C (106) 및/또는 IoTF-U (108)) 는 클라이언트 디바이스의 콘텍스트들 (예를 들어, 네트워크 상태 정보) 을 유지하지 않을 수도 있다. 따라서, 이러한 IoTF-C/U 는 그 자신의 비밀 키를 사용하여 암호화된 클라이언트 디바이스 콘텍스트로부터 클라이언트 디바이스 콘텍스트를 복구할 수도 있고, 따라서, IoTF-C/U 는 클라이언트 디바이스 콘텍스트를 복구하기 위해 임의의 추가의 정보를 저장할 필요가 없을 수도 있다. IoTF-C/U 는 소정 컨디션들 (예를 들어, 이볼브드 패킷 시스템 접속 관리 (ECM)-아이들 또는 작은 데이터 트랜스퍼 직후) 하에서 클라이언트 디바이스 콘텍스트를 제거하고, (예를 들어, 데이터 트랜스퍼를 위해) 필요한 경우 그것을 재저장할 수도 있다.
클라이언트 디바이스는 빠른 UL 데이터 트랜스퍼/빠른 제어 평면 메시지 트랜스퍼를 위해 IoTF-C 에 의해 제공된 암호화된 클라이언트 디바이스 콘텍스트들을 저장할 수도 있다. 클라이언트 디바이스는 하나 이상의 데이터 패킷(들)을 송신한 직후에 슬립 모드로 진입할 수도 있다. 클라이언트 디바이스 콘텍스트를 복원하기 위해 IoTF-U 에 대한 메시지 교환 오버헤드가 존재하지 않을 수도 있기 때문에, 작은 데이터 패킷들의 송신에 대해 지연을 경험하지 않을 수도 있다. 본 개시물의 일 양태에서, 클라이언트 디바이스가 아이들 모드에 있는 경우 사용자 평면 데이터 송신을 위해 제어 평면 메시지가 사용되지 않을 수도 있다.
암호화된 네트워크 도달 가능성 콘텍스트 설게 및 생성
a) 제어 평면 암호화된 네트워크 도달 가능성 콘텍스트
본 개시물의 일 양태에서, 암호화된 네트워크 도달 가능성 콘텍스트는 하나 이상의 정보 아이템들을 연결함으로써 생성될 수도 있다. 예를 들어, 제어 평면 (CP) 암호화된 네트워크 도달 가능성 콘텍스트는 표현 KeyID∥Enc_KNRC - IoTF -C(CDCCP)∥MAC 에 기초하여 생성될 수도 있다. 본 개시물의 일 양태에서, 키 KNRC-IoTF-C (예를 들어, 도 3 의 키 KNRC - IoTF -C (310)) 는 키 KNRC - IoTF (예를 들어, 도 3 의 키 KNRC - IoTF (308)) 와 동일할 수도 있거나 또는 키 KNRC - IoTF 로부터 도출될 수도 있다. 용어 KeyID 는 (네트워크 도달 가능성 콘텍스트를 생성하기 위해 사용된) 키 인덱스를 나타낼 수도 있다. 용어 CDCCP 는 제어 평면 클라이언트 디바이스 콘텍스트를 나타낼 수도 있다. 예를 들어, 제어 평면 클라이언트 디바이스 콘텍스트는 클라이언트 디바이스 식별자, 클라이언트 디바이스 보안 콘텍스트 (예를 들어, 제어 평면 키들, 예컨대 키 KIoT (202)(KASME 등가물), 키 KIoT - CPenc (210), 키 KIoT - CPint (212)), 클라이언트 디바이스 보안 능력들 (예를 들어, 이볼브드 패킷 시스템 암호화 알고리즘 (EEA), 이볼브드 패킷 시스템 무결성 알고리즘 (EIA)), 및/또는 다음 홉 (S5/S8) 구성 정보를 포함할 수도 있다. 예를 들어, 다음 홉 구성 정보는 IoT 서버 어드레스, P-GW 어드레스, 및/또는 TEID들을 포함할 수도 있다. 용어 MAC 는, 모바일 네트워크 운영자 (MNO) 에 의해 선택되고 IoTF들로 구성될 수도 있는, 암호화 모드 및/또는 메시지 인증 코드 생성 알고리즘 (또한, MAC 알고리즘으로도 지칭됨) 을 나타낼 수도 있다. 따라서, 용어 Enc_KNRC-IoTF-C (CDCCP) 는 키 KNRC - IoTF -C (예를 들어, 도 3 의 키 KNRC - IoTF -C (310)) 를 사용하여 제어 평면 클라이언트 디바이스 콘텍스트 상에서 수행된 암호화 동작의 결과를 나타낼 수도 있다.
b) 사용자 평면 암호화된 네트워크 도달 가능성 콘텍스트
다른 예로서, 사용자 평면 (UP) 암호화된 네트워크 도달 가능성 콘텍스트는 표현 KeyID∥Enc_KNRC - IoTF -U(CDCUP)∥MAC 에 기초하여 생성될 수도 있다. 용어 CDCUP 는 사용자 평면 클라이언트 디바이스 콘텍스트를 나타낼 수도 있다. 예를 들어, 사용자 평면 클라이언트 디바이스 콘텍스트는 클라이언트 디바이스 식별자, 베어러 ID들, 이볼브드 패킷 시스템 (EPS) 베어러 서비스(들) 품질 (QoS), 사용자 평면 일반 패킷 무선 서비스 (GPRS) 터널링 프로토콜 (GTP-U) 에 대한 S5 터널 엔드포인트 식별자 (TEID), IoTF-U (108) 가 UL 데이터를 포워딩하는 P-GW 인터넷 프로토콜 (IP) 어드레스 (또는 등가 정보), 클라이언트 디바이스 보안 콘텍스트 (예를 들어, 선택된 암호 알고리즘 및 사용자 평면 키들, 예컨대 키 KIoT - UPenc (216), 키 KIoT - UPint (218)), 클라이언트 디바이스 보안 능력들 (예를 들어, 이볼브드 패킷 시스템 암호화 알고리즘 (EEA), 이볼브드 패킷 시스템 무결성 알고리즘 (EIA)), 및/또는 다음 홉 (S5/S8) 구성 정보를 포함할 수도 있다. 예를 들어, 다음 홉 구성 정보는 IoT 서버 어드레스, P-GW 어드레스, 및/또는 TEID들을 포함할 수도 있다. 따라서, 용어 Enc_KNRC - IoTF -U(CDCUP) 는 키 KNRC - IoTF -U (예를 들어, 도 3 의 키 KNRC - IoTF -U (312)) 를 사용하여 사용자 평면 클라이언트 디바이스 콘텍스트 상에서 수행된 암호화 동작의 결과를 나타낼 수도 있다. 본 개시물의 일 양태에서, 암호화된 네트워크 도달 가능성 콘텍스트는 단지, 클라이언트 디바이스가 어태치/연관되는 IoTF (예를 들어, IoTF-C (106) 및/또는 IoTF-U (108)) 에 의해 해독될 수도 있다. 본 개시물의 일 양태에서, 네트워크 도달 가능성 콘텍스트는 암호화 전에 압축될 수도 있다.
암호화된 네트워크 도달 가능성 콘텍스트는 하나 이상의 특징을 가질 수도 있다. 예를 들어, 암호화된 네트워크 도달 가능성 콘텍스트는 특정 클라이언트 디바이스와 연관된 네트워크 상태 정보를 포함할 수도 있고, 따라서 다른 클라이언트 디바이스들로 트랜스퍼 가능하지 않을 수도 있다. IoTF-C/U (예를 들어, IoTF-C (106) 및/또는 IoTF-U (108)) 는 클라이언트 디바이스의 콘텍스트들 (예를 들어, 네트워크 상태 정보) 을 유지하지 않을 수도 있다. 따라서, 이러한 IoTF-C/U 는 그 자신의 비밀 키를 사용하여 암호화된 네트워크 도달 가능성 콘텍스트를 해독함으로써 클라이언트 디바이스에 대한 네트워크 도달 가능성 콘텍스트를 복원할 수도 있고, 따라서, IoTF-C/U 는 네트워크 도달 가능성 콘텍스트를 복구하기 위해 임의의 추가의 정보를 저장할 필요가 없다. IoTF-C/U 는 소정 컨디션들 (예를 들어, 이볼브드 패킷 시스템 접속 관리 (ECM)-아이들 또는 작은 데이터 트랜스퍼 직후) 하에서 클라이언트 디바이스에 대한 네트워크 도달 가능성 콘텍스트를 제거하고, (예를 들어, 데이터 트랜스퍼를 위해) 필요한 경우 그것을 재저장할 수도 있다.
추적 영역 업데이트 절차
클라이언트 디바이스는, 클라이언트 디바이스가 아이들 모드 동안 새로운 추적 영역 안으로 진입하는 경우 추적 영역 업데이트 (TAU) 절차를 수행할 수도 있다. TAU 메시지는 현재 추적 영역 ID (TAI) 및 GIOTFI 또는 소스 IoTF-C 의 등가물 (예를 들어, 전세계적으로 고유한 모바일 관리 엔티티 식별자 (GUMMEI)) 를 포함할 수도 있다. 타겟 IoTF-C 는 클라이언트 디바이스의 로케이션 및 이동성 앵커 (예를 들어, IoTF-U ID) 를 암호화된 네트워크 도달 가능성 콘텍스트와 함께 하나 이상의 네트워크 엔티티들 (예를 들어, P-GW) 로 업데이트할 수도 있다. 본 개시물의 일 양태에서, 암호화된 네트워크 도달 가능성 콘텍스트는 IoTF-U 가 다운링크 패킷을 확인하게 할 수도 있다. 본 개시물의 일 양태에서, 애플리케이션 서버 (예를 들어, IoT 서버) 및/또는 P-GW 는 암호화된 네트워크 도달 가능성 콘텍스트를 갖는 다운링크 (DL) 패킷을 (GIOTFI 에 의해 식별된) IoTF-U/C 로 송신할 수도 있다.
도 14 는 본 개시물의 다양한 양태들에 따른 IoT 네트워크 아키텍처 (예를 들어, IoT 네트워크 아키텍처 (100)) 에서 TAU 절차의 신호 흐름도 (1400) 이다. 도 14 에 도시된 바와 같이, 신호 흐름도 (1400) 는 클라이언트 디바이스 (1402)(또한, IoT 디바이스로도 지칭됨), 네트워크 액세스 노드 (1404)(예를 들어, eNB, 기지국, 네트워크 액세스 포인트), 타겟 네트워크 디바이스 (1405) 에서 구현된 타겟 IoTF-C (1406), 소스 네트워크 디바이스 (1407) 에서 구현된 소스 IoTF-C (1408), P-GW (1410), 및 IoT 서버 (1412)(또한, 애플리케이션 서버로도 지칭됨) 를 포함한다. 클라이언트 디바이스 (1402) 는 암호화된 클라이언트 디바이스 콘텍스트 (예를 들어, 제어 평면 (CP) 암호화된 클라이언트 디바이스 콘텍스트) 및 TAU 요청을 포함하는 데이터 트랜스퍼 요청 메시지 (1414) 를 네트워크 액세스 노드 (1404) 로 송신할 수도 있다. 본 개시물의 일 양태에서, 데이터 트랜스퍼 요청 메시지 (1414) 는 RRC 접속을 확립하지 않고 클라이언트 디바이스 (1402) 에 의해 전송될 수도 있다. 네트워크 액세스 노드 (1404) 는, 데이터 트랜스퍼 요청 메시지 (1414) 의 수신 시에, 잠재적인 다운링크 (DL) 트래픽을 위해 클라이언트 디바이스 (1402) 에 대한 임시 식별자 (TID) 를 할당할 수도 있다 (1416). 네트워크 액세스 노드 (1404) 는 또한, TAU 요청에 포함된 타겟 IoTF-C 식별자를 결정할 수도 있다. 네트워크 액세스 노드 (1404) 는 그 후, 타겟 IoTF-C (1406) 의 IP 어드레스를 결정할 수도 있고, 클라이언트 디바이스 (1402) 와 연관된 TID, 암호화된 클라이언트 디바이스 콘텍스트, 및 TAU 요청을 포함하는 메시지 (1418) 를 타겟 IoTF-C (1406) 로 송신할 수도 있다. 타겟 IoTF-C (1406) 는 클라이언트 디바이스 콘텍스트에 대한 요청 및 암호화된 클라이언트 디바이스 콘텍스트를 포함하는 메시지 (1420) 를 소스 IoTF-C (1408) 로 송신할 수도 있다.
소스 IoTF-C (1408) 는 암호화된 클라이언트 디바이스 콘텍스트를 확인할 수도 있고, 클라이언트 디바이스 콘텍스트를 포함하는 메시지 (1422) 를 타겟 IoTF-C (1406) 로 송신할 수도 있다. 타겟 IoTF-C (1406) 는 네트워크 액세스 노드 (1404) 에 대한 ID 및 클라이언트 디바이스에 대한 TID 를 저장할 수도 있고 (1424), 수신된 클라이언트 디바이스 콘텍스트에 기초하여 새로운 GUTI, 클라이언트 디바이스 (1402) 에 대한 새로운 암호화된 네트워크 도달 가능성 콘텍스트, 및 클라이언트 디바이스 (1402) 에 대한 새로운 암호화된 클라이언트 디바이스 콘텍스트를 생성할 수도 있다. 일 양태에서, 타겟 IoTF-C (1406) 는 사용자 평면 (UP) 키들 및 콘텍스트 생성 키들을 생성할 수도 있고, 이 키들을 IoTF-U 에 제공할 수도 있다.
타겟 IoTF-C (1406) 는 추적 영역 ID (TAI), 타겟 IoTF-C (1406) 의 ID (예를 들어, GIOTFI), 및 새로운 암호화된 네트워크 도달 가능성 콘텍스트를 IoT 서버 (1412)(또는 P-GW (1410)) 로 송신할 수도 있다. 타겟 IoTF-C (1406) 는 TID, 새로운 GUTI, 새로운 암호화된 클라이언트 디바이스 콘텍스트, 및 TAU 응답을 포함하는 메시지 (1428) 를 클라이언트 디바이스 (1402) 로 송신할 수도 있다. 네트워크 액세스 노드 (1404) 는 TID 에 기초하여 메시지 (1430) 에서 새로운 GUTI, 새로운 클라이언트 디바이스 콘텍스트, 및 TAU 응답을 클라이언트 디바이스 (1402) 로 (예를 들어, TID 를 사용하여 식별된 클라이언트 디바이스 (1402) 로) 포워딩할 수도 있다.
본원에 설명된 양태들은 독립적인 전개를 가능하게 하고 스케일러빌리티/작업-간 요건들을 회피하는 새로운 전용 네트워크 기능들을 아키텍처에 제공한다. 본원에 개시된 양태들은 클라이언트 디바이스들에 대한 보안 콘텍스트들을 저장 또는 유지하지 않고 네트워크 액세스 노드 (예를 들어, 기지국) 가 클라이언트 디바이스들로 또는 이로부터 데이터를 트랜스퍼하게 하여, 이에 의해 네트워크 엔티티들 (예를 들어, 네트워크 액세스 노드 또는 다른 네트워크 엔티티) 에서 상당한 양의 리소스들의 소비를 방지할 수도 있다. 보안 특성들은 (IoT 기능부 (IoTF) 로서 지칭된) 새로운 네트워크 기능부에 기반을 둘 수도 있다. 전용 리소스들은, 통상의 클라이언트 디바이스의 PDN 접속/트래픽에 영향을 주지 않기 위해 IoT 데이터 트랜스퍼에 대해 할당된다. 암호화된 클라이언트 디바이스 콘텍스트들 및 암호화된 네트워크 도달 가능성 콘텍스트들은, 클라이언트 디바이스가 아이들 상태에 있는 경우 IoTF 에서 클라이언트 디바이스의 반-영구 콘텍스트를 제거하도록 데이터 트랜스퍼를 위해 사용될 수도 있다. 결과적으로, 네트워크 노드들 (예를 들어, MME/S-GW) 은 트래픽을 자주 송신하지 않는 클라이언트 디바이스들의 대량의 네트워크 상태 정보 (즉, 콘텍스트들) 를 유지할 필요가 없다. 클라이언트 디바이스들은 가치가 있는 코어 네트워크 리소스들을 고갈시키지 않고 비용 -효율적인 데이터 전달을 이용할 수도 있다.
따라서, 본원에 설명된 양태들은 클라이언트 디바이스 (예를 들어, IoT 디바이스로서 동작하는 클라이언트 디바이스, 예컨대 감소된 데이터 트랜스퍼 모드 또는 저 전력 소비 모드에서 동작하는 클라이언트 디바이스) 에 대해 전술된 오버헤드를 감소시킬 수도 있다. 예를 들어, 클라이언트 디바이스는 제어 평면 네트워크 기능부 (예를 들어, IoTF-C) 에 의해 클라이언트 디바이스 보안 콘텍스트가 제공된 사용자 평면 네트워크 기능부 (예를 들어, IoTF-U) 로 트래픽을 전송할 수도 있다. 이와 같이, 네트워크 액세스 노드 (예를 들어, eNB, 기지국, 또는 네트워크 액세스 포인트) 는 트래픽 (예를 들어, 클라이언트 디바이스로부터의 패킷들) 을, 패킷을 확인하지 않고 클라이언트 디바이스에 의해 표시된 다음 홉 노드 (예를 들어, IoTF-U) 로 포워딩할 수도 있다.
IoTF-C 는 클라이언트 디바이스와의 인증 및 키 동의들을 수행하고, 제어 평면에 대한 클라이언트 디바이스 보안 콘텍스트를 확립할 수도 있다. 예를 들어, 클라이언트 디바이스 보안 콘텍스트는 제어 평면 시그널링 보호 (예를 들어, 암호화 및 무결성 보호) 를 위해 사용되는 제어 평면 키를 포함할 수도 있다. 또한, IoTF-C 는 사용자 평면 패킷 보호 (예를 들어, 암호화 및 무결성 보호) 를 위한 사용자 평면 키를 도출할 수도 있고, 사용자 평면 키를 IoTF-U 에 제공할 수도 있다.
클라이언트 디바이스는 동일한 제어-평면 및 사용자-평면 키들을 IoTF-C 로서 도출할 수도 있다. 따라서, 클라이언트 디바이스는, 클라이언트 디바이스가 접속을 확립하지 않고 제어 평면 IoTF 또는 사용자 평면 IoTF 와 통신하는지 (예를 들어, 클라이언트 디바이스가 결정을 해서 상이한 비밀 키들 또는 콘텍스트가 적용될 수 있음) 여부에 따라, 제어 평면 키들 또는 사용자 평면 키들을 사용하여 패킷을 전송할 수도 있다.
제 1 예시적인 장치 (예를 들어, 클라이언트 디바이스 ) 및 그 방법
도 15 는 본 개시물의 하나 이상의 양태들 (예를 들어, 이하에 설명된 도 16 의 방법에 관련된 양태들) 에 따라 IoT 네트워크 아키텍처에 기초하여 네트워크와 통신하도록 구성된 장치 (1500) 의 예시이다. 일 양태에서, 장치 (1500) 는 클라이언트 디바이스 (예를 들어, IoT 디바이스) 일 수도 있다. 장치 (1500) 는 통신 인터페이스 (예를 들어, 적어도 하나의 트랜시버)(1502), 저장 매체 (1504), 사용자 인터페이스 (1506), 메모리 디바이스 (1508), 및 프로세싱 회로 (1510) 를 포함한다.
이들 컴포넌트들은 도 15 에서 접속 라인들에 의해 일반적으로 표현된, 시그널링 버스 또는 다른 적합한 컴포넌트를 통해 서로와 전기 통신하도록 커플링 및/또는 배치될 수 있다. 시그널링 버스는 프로세싱 회로 (1510) 의 특정 애플리케이션들 및 전체 설계 제약들에 따라 임의의 수의 상호접속하는 버스들 및 브리지들을 포함할 수도 있다. 시그널링 버스는, 통신 인터페이스 (1502), 저장 매체 (1504), 사용자 인터페이스 (1506), 및 메모리 디바이스 (1508) 각각이 프로세싱 회로 (1510) 에 커플링되고/되거나 프로세싱 회로와 전기 통신하도록 다양한 회로들을 함께 연결한다. 시그널링 버스는 또한, 다양한 다른 회로들 (미도시), 예컨대 타이밍 소스들, 주변장치들, 전압 조절기들, 및 전력 관리 회로들을 링크할 수도 있으며, 이는 당해 기술에 잘 알려져 있어 추가로 설명되지 않을 것이다.
통신 인터페이스 (1502) 는 장치 (1500) 의 무선 통신을 용이하게 하도록 적응될 수도 있다. 예를 들어, 통신 인터페이스 (1502) 는 네트워크 내의 하나 이상의 통신 디바이스들에 대하여 양-방향으로 정보의 통신을 용이하게 하도록 적응된 회로부 및/또는 코드 (예를 들어, 명령들) 를 포함할 수도 있다. 통신 인터페이스 (1502) 는 무선 통신 시스템 내의 무선 통신을 위해 하나 이상의 안테나들 (1512) 에 커플링될 수도 있다. 통신 인터페이스 (1502) 는 하나 이상의 독립형 수신기들 및/또는 송신기들, 뿐만 아니라 하나 이상의 트랜시버들과 함께 구성될 수 있다. 예시된 예에서, 통신 인터페이스 (1502) 는 송신기 (1514) 및 수신기 (1516) 를 포함한다.
메모리 디바이스 (1508) 는 하나 이상의 메모리 디바이스들을 나타낼 수도 있다. 나타낸 바와 같이, 메모리 디바이스 (1508) 는 장치 (1500) 에 의해 사용된 다른 정보와 함께 네트워크-관련 정보를 유지할 수도 있다. 일부 구현들에서, 메모리 디바이스 (1508) 및 저장 매체 (1504) 는 공통 메모리 컴포넌트로서 구현된다. 메모리 디바이스 (1508) 는 또한, 프로세싱 회로 (1510) 또는 장치 (1500) 의 일부 다른 컴포넌트에 의해 조작되는 데이터를 저장하기 위해 사용될 수도 있다.
저장 매체 (1504) 는 코드, 예컨대, 프로세서 실행가능 코드나 명령들 (예를 들어, 소프트웨어, 펌웨어), 전자 데이터, 데이터베이스들, 또는 다른 디지털 정보를 저장하기 위한 하나 이상의 컴퓨터 판독가능, 머신 판독가능, 및/또는 프로세서 판독가능 디바이스들을 나타낼 수도 있다. 저장 매체 (1504) 는 또한, 코드를 실행하는 경우 프로세싱 회로 (1510) 에 의해 조작되는 데이터를 저장하는데 사용될 수도 있다. 저장 매체 (1504) 는, 휴대용 또는 고정 저장 디바이스들, 광학 저장 디바이스들, 코드를 저장, 포함, 또는 반송할 수 있는 다양한 다른 매체들을 포함하여, 범용 또는 특수 목적용 프로세서에 의해 액세스될 수 있는 임의의 이용가능한 매체일 수도 있다.
비제한적인 예로서, 저장 매체 (1504) 는 자기 저장 디바이스 (예를 들어, 하드 디스크, 플로피 디스크, 자기 스트립), 광학 디스크 (예를 들어, 컴팩트 디스크 (CD) 또는 디지털 다기능 디스크 (DVD)), 스마트 카드, 플래시 메모리 디바이스 (예를 들어, 카드, 스틱, 또는 키 드라이브), 랜덤 액세스 메모리 (RAM), 판독 전용 메모리 (ROM), 프로그램 가능 ROM (PROM), 소거가능 PROM (EPROM), 전기적으로 소거가능 PROM (EEPROM), 레지스터, 착탈형 디스크, 및 컴퓨터에 의해 액세스 및 판독될 수도 있는 코드를 저장하기 위한 임의의 다른 적합한 매체를 포함할 수도 있다. 저장 매체 (1504) 는 제조품 (예를 들어, 컴퓨터 프로그램 제품) 에서 구현될 수도 있다. 예로써, 컴퓨터 프로그램 제품은 패키징 재료들에 컴퓨터 판독가능 매체를 포함할 수도 있다. 위의 관점에서, 일부 구현들에서, 저장 매체 (1504) 는 비-일시적 (예를 들어, 유형의) 저장 매체일 수도 있다.
저장 매체 (1504) 는, 프로세싱 회로 (1510) 가 저장 매체 (1504) 로부터 정보를 판독하고, 저장 매체에 정보를 기입할 수 있도록 프로세싱 회로 (1510) 에 커플링될 수도 있다. 즉, 저장 매체 (1504) 가 프로세싱 회로 (1510) 에 커플링될 수 있어 저장 매체 (1504) 가 적어도 프로세싱 회로 (1510) 에 의해 액세스가능하며, 이는 적어도 하나의 저장 매체가 프로세싱 회로 (1510) 에 통합되는 예들 및/또는 적어도 하나의 저장 매체가 프로세싱 회로 (1510) 로부터 별개인 (예를 들어, 장치 (1500) 에 상주하는, 장치 (1500) 의 외부에 있는, 다수의 엔티티들에 걸쳐 분산된) 예들을 포함한다.
저장 매체 (1504) 에 저장된 코드 및/또는 명령들은, 프로세싱 회로 (1510) 에 의해 실행되는 경우, 프로세싱 회로 (1510) 로 하여금, 본원에 설명된 다양한 기능들 및/또는 프로세스 동작들 중 하나 이상을 수행하게 한다. 예를 들어, 저장 매체 (1504) 는 프로세싱 회로 (1510) 의 하나 이상의 하드웨어 블록들에서 동작들을 조절하기 위해, 뿐만 아니라 그들 각각의 통신 프로토콜들을 이용하는 무선 통신을 위한 통신 인터페이스 (1502) 를 이용하도록 구성된 동작들을 포함할 수도 있다.
프로세싱 회로 (1510) 는 일반적으로, 저장 매체 (1504) 상에 저장된 이러한 코드/명령들의 실행을 포함하는, 프로세싱을 위해 적응된다. 본원에 사용된 바와 같이, 용어 "코드" 또는 "명령들" 은 소프트웨어, 펌웨어, 미들웨어, 마이크로코드, 하드웨어 설명 언어, 또는 달리 지칭되더라도, 프로그래밍, 명령들, 명령 세트들, 데이터, 코드, 코드 세그먼트들, 프로그램 코드, 프로그램들, 하위프로그램들, 소프트웨어 모듈들, 애플리케이션들, 소프트웨어 애플리케이션들, 소프트웨어 패키지들, 루틴들, 하위루틴들, 오브젝트들, 실행가능물들, 실행의 스레드들, 절차들, 기능들 등을 제한 없이 포함하는 것으로 광범위하게 해석될 수도 있다.
프로세싱 회로 (1510) 는 데이터를 획득, 프로세싱, 및/또는 전송하고, 데이터 액세스 및 저장을 제어하고, 커맨드를 발행하며, 다른 원하는 동작들을 제어하도록 배열된다. 프로세싱 회로 (1510) 는 적어도 하나의 예에서 적합한 매체에 의해 제공된 원하는 코드를 구현하도록 구성된 회로부를 포함할 수도 있다. 예를 들어, 프로세싱 회로 (1510) 는 하나 이상의 프로세서들, 하나 이상의 제어기들, 및/또는 실행가능한 코드를 실행하도록 구성된 다른 구조로서 구현될 수도 있다. 프로세싱 회로 (1510) 의 예들은, 범용 프로세서, 디지털 신호 프로세서 (DSP), 주문형 집적 회로 (ASIC), 필드 프로그래머블 게이트 어레이 (FPGA) 또는 다른 프로그램 가능 로직 컴포넌트, 이산 게이트 또는 트랜지스터 로직, 이산 하드웨어 컴포넌트들, 또는 본원에서 설명된 기능들을 수행하도록 설계된 이들의 임의의 조합을 포함할 수도 있다. 범용 프로세서는 마이크로프로세서, 뿐만 아니라 임의의 종래의 프로세서, 제어기, 마이크로제어기, 또는 상태 머신을 포함할 수도 있다. 프로세싱 회로 (1510) 는 또한, 컴퓨팅 컴포넌트들의 조합, 예컨대, DSP 와 마이크로 프로세서, 다수의 마이크로프로세서들, DSP 코어와 연계한 하나 이상의 마이크로프로세서들, ASIC 와 마이크로프로세서의 조합, 또는 임의의 다른 수의 다양한 구성들로서 구현될 수도 있다. 프로세싱 회로 (1510) 의 이들 예들은 예시적인 것이며 본 개시물의 범위 내에서 다른 적합한 구성들이 또한 고려된다.
본 개시물의 하나 이상의 양태들에 따르면, 프로세싱 회로 (1510) 는 본원에 설명된 장치들 중 어느 하나 또는 전부에 대한 특성들, 프로세스들, 기능들, 동작들 및/또는 루틴들 중 어느 하나 또는 전부를 수행하도록 적응될 수도 있다. 본원에서 사용된 바와 같이, 프로세싱 회로 (1510) 와 관련한 용어 "적응된 (adapted)" 은, 본원에 설명된 다양한 특성들에 따른 특정 프로세스, 기능, 동작, 및/또는 루틴을 수행하도록 구성, 이용, 구현, 및/또는 프로그래밍된 것 중 하나 이상인 프로세싱 회로 (1510) 를 지칭할 수도 있다.
장치 (1500) 의 적어도 하나의 예에 따르면, 프로세싱 회로 (1510) 는 본원에 설명된 특성들, 프로세스들, 기능들, 동작들 및/또는 루틴들 (예를 들어, 도 16 에 대하여 설명된 특성들, 프로세스들, 기능들, 동작들 및/또는 루틴들) 중 어느 하나 또는 전부를 수행하도록 적응되는 송신 회로/모듈 (1520), 수신 회로/모듈 (1522), 보안 콘텍스트 획득 회로/모듈 (1524), 키 획득 회로/모듈 (1526), 데이터 패킷 보호 회로/모듈 (1528), 패킷 결정 회로/모듈 (1530), 패킷 디코딩 회로/모듈 (1532), 및/또는 네트워크 등록 회로/모듈 (1534) 중 하나 이상을 포함할 수도 있다.
송신 회로/모듈 (1520) 은, 예를 들어 어태치하기 위한 요청을 네트워크로 송신하는 것 및/또는 데이터 패킷 또는 제어 패킷을 송신하는 것에 관련한 여러 기능들을 수행하도록 적응된 회로부 및/또는 명령들 (예를 들어, 저장 매체 (1504) 상에 저장된 송신 명령들 (1540)) 을 포함할 수도 있다. 예를 들어, 일 양태에서, 데이터 패킷은 사용자 평면 키로 보호되어 있는 데이터 패킷일 수도 있고, 제어 패킷은 제어 평면 키로 보호되어 있는 제어 패킷일 수도 있다.
수신 회로/모듈 (1522) 은 예를 들어, 인증 절차와 연관된 메시지를 네트워크로부터 수신하는 것, 및 패킷을 네트워크로부터 수신하는 것에 관련한 여러 기능들을 수행하도록 적응된 회로부 및/또는 명령들 (예를 들어, 저장 매체 (1504) 상에 저장된 수신 명령들 (1542)) 을 포함할 수도 있다.
보안 콘텍스트 획득 회로/모듈 (1524) 은, 예를 들어 사용자 평면에 대하여 클라이언트 디바이스에 대한 네트워크 상태 정보를 나타내는 사용자 평면 보안 콘텍스트, 또는 제어 평면에 대하여 클라이언트 디바이스에 대한 네트워크 상태 정보를 나타내는 제어 평면 보안 콘텍스트 중 적어도 하나를 획득하는 것에 관련한 여러 기능들을 수행하도록 적응된 회로부 및/또는 명령들 (예를 들어, 저장 매체 (1504) 상에 저장된 보안 콘텍스트 획득 명령들 (1544)) 을 포함할 수도 있다.
키 획득 회로/모듈 (1526) 은, 예를 들어 적어도 제 1 네트워크 노드에서 구현된 사용자 평면 네트워크 기능부와 공유된 사용자 평면 키 또는 제 2 네트워크 노드에서 구현된 제어 평면 네트워크 기능부와 공유된 제어 평면 키를 획득하는 것에 관련한 여러 기능들을 수행하도록 적응된 회로부 및/또는 명령들 (예를 들어, 저장 매체 (1504) 상에 저장된 키 획득 명령들 (1546)) 을 포함할 수도 있다.
데이터 패킷 보호 회로/모듈 (1528) 은, 예를 들어 사용자 평면 키로 데이터 패킷을 또는 제어 평면 키로 제어 패킷을 보호하는 것에 관련한 여러 기능들을 수행하도록 적응된 회로부 및/또는 명령들 (예를 들어, 저장 매체 (1504) 상에 저장된 데이터 패킷 보호 명령들 (1548)) 을 포함할 수도 있다. 일 양태에서, 데이터 패킷은 데이터 패킷이 제 1 네트워크 노드에서 프로세싱된다는 것을 나타내는 제 1 목적지 정보를 포함하고, 제 1 목적지 정보는 네트워크 액세스 노드가 데이터 패킷을 제 1 네트워크 노드로 포워딩하게 할 수 있다. 일 양태에서, 제어 패킷은 제어 패킷이 제 2 네트워크 노드에서 프로세싱된다는 것을 나타내는 제 2 목적지 정보를 포함하고, 제 2 목적지 정보는 네트워크 액세스 노드가 제어 패킷을 제 2 네트워크 노드로 포워딩하게 할 수 있다.
패킷 결정 회로/모듈 (1530) 은, 예를 들어 수신된 패킷이 데이터 또는 제어 정보를 포함하는지 여부를 결정하는 것에 관련한 여러 기능들을 수행하도록 적응된 회로부 및/또는 명령들 (예를 들어, 저장 매체 (1504) 상에 저장된 패킷 결정 명령들 (1550)) 을 포함할 수도 있다.
패킷 디코딩 회로/모듈 (1532) 은, 예를 들어 사용자 평면 키 또는 제어 평면 키로 수신된 패킷을 디코딩하는 것에 관련한 여러 기능들을 수행하도록 적응된 회로부 및/또는 명령들 (예를 들어, 저장 매체 (1504) 상에 저장된 패킷 디코딩 명령들 (1552)) 을 포함할 수도 있다.
네트워크 등록 회로/모듈 (1534) 은, 예를 들어 사물 인터넷 디바이스로서 네트워크에 등록하는 것에 관련한 여러 기능들을 수행하도록 적응된 회로부 및/또는 명령들 (예를 들어, 저장 매체 (1504) 상에 저장된 네트워크 등록 명령들 (1554)) 을 포함할 수도 있다.
위에서 언급된 바와 같이, 저장 매체 (1504) 에 저장된 명령들은, 프로세싱 회로 (1510) 에 의해 실행되는 경우, 프로세싱 회로 (1510) 로 하여금, 본원에 설명된 다양한 기능들 및/또는 프로세스 동작들 중 하나 이상을 수행하게 한다. 예를 들어, 저장 매체 (1504) 는 송신 명령들 (1540), 수신 명령들 (1542), 보안 콘텍스트 획득 명령들 (1544), 키 획득 명령들 (1546), 데이터 패킷 보호 명령들 (1548), 패킷 결정 명령들 (1550), 패킷 디코딩 명령들 (1552), 및/또는 네트워크 등록 명령들 (1554) 중 하나 이상을 포함할 수도 있다.
도 16 은 본 개시물의 다양한 양태들에 따라 네트워크와 통신하는 방법을 예시하는 플로우차트 (1600) 이다. 방법은 클라이언트 디바이스 (예를 들어, 클라이언트 디바이스 (102, 502, 702), 또는 장치 (1500)) 와 같은 장치에 의해 수행될 수도 있다. 도 16 에서 점선들에 의해 표시된 동작들은 선택적 동작들을 나타낸다는 것이 이해되어야 한다.
클라이언트 디바이스는 네트워크에 등록한다 (1602). 일 양태에서, 클라이언트 디바이스는 어태치하기 위한 요청을 네트워크로 송신함으로써, 그리고 이 요청에 응답하여 인증 절차와 연관된 메시지를 네트워크로부터 수신함으로써 네트워크에 등록할 수도 있다. 일 양태에서, 어태치 요청은 예를 들어, 클라이언트 디바이스가 사물 인터넷 디바이스로서 어태치한다는 것, 클라이언트 디바이스가 감소된 데이터 트랜스퍼 모드에서 어태치한다는 것, 및/또는 클라이언트 디바이스가 저 전력 소비 모드에서 어태치한다는 것과 같은 하나 이상의 표시들을 제공할 수도 있다.
클라이언트 디바이스는 사용자 평면에 대하여 클라이언트 디바이스에 대한 네트워크 상태 정보를 나타내는 사용자 평면 보안 콘텍스트, 또는 제어 평면에 대하여 클라이언트 디바이스에 대한 네트워크 상태 정보를 나타내는 제어 평면 보안 콘텍스트 중 적어도 하나를 획득한다 (1604). 일 예에서, 클라이언트 디바이스는 사용자 평면 키에 기초하여 제 1 암호화 키 및 제 1 무결성 키를 도출함으로써 사용자 평면 보안 콘텍스트를 획득할 수도 있다. 다른 예에서, 클라이언트 디바이스는 제어 평면 키에 기초하여 제 2 암호화 키 및 제 2 무결성 키를 도출함으로써 제어 평면 보안 콘텍스트를 획득할 수도 있다. 일 양태에서, 사용자 평면 보안 콘텍스트 또는 제어 평면 보안 콘텍스트는 액세스 층 보안 보호를 포함하지 않는다.
클라이언트 디바이스는 적어도, 제 1 네트워크 노드에서 구현된 사용자 평면 네트워크 기능부와 공유된 사용자 평면 키 또는 제 2 네트워크 노드에서 구현된 제어 평면 네트워크 기능부와 공유된 제어 평면 키를 획득한다 (1606). 예를 들어, 클라이언트 디바이스는 인증 절차와 연관된 메시지에 기초하여 사용자 평면 키 또는 제어 평면 키를 획득할 수도 있다.
클라이언트 디바이스는 사용자 평면 키로 데이터 패킷을 또는 제어 평면 키로 제어 패킷을 보호한다 (1608). 일 예에서, 데이터 패킷은 사용자 평면 키에 기초하여, 암호화 또는 무결성 보호되거나, 또는 암호화 및 무결성 보호 양자 모두를 하게 될 수도 있다. 다른 예에서, 제어 패킷은 제어 평면 키에 기초하여, 암호화 또는 무결성 보호되거나, 또는 암호화 및 무결성 보호 양자 모두를 하게 된다.
일 양태에서, 데이터 패킷은 데이터 패킷이 제 1 네트워크 노드에서 프로세싱된다는 것을 나타내는 제 1 목적지 정보를 포함하고, 제 1 목적지 정보는 네트워크 액세스 노드가 데이터 패킷을 제 1 네트워크 노드로 포워딩하게 할 수 있다. 일 양태에서, 제어 패킷은 제어 패킷이 제 2 네트워크 노드에서 프로세싱된다는 것을 나타내는 제 2 목적지 정보를 포함하고, 제 2 목적지 정보는 네트워크 액세스 노드가 제어 패킷을 제 2 네트워크 노드로 포워딩하게 할 수 있다.
장치는 데이터 패킷 또는 제어 패킷을 송신한다 (1610). 장치는 네트워크로부터 패킷을 수신한다 (1612). 일 양태에서, 사용자 평면 사물 인터넷 기능부 식별자 (IID) 또는 제어 평면 사물 인터넷 기능부 식별자 (IID) 는 하나 이상의 컨디션들 하에서 수신된 패킷의 헤더에 포함된다. 하나 이상의 컨디션들은, 예를 들어 클라이언트 디바이스가 사물 인터넷 디바이스로서 네트워크에 등록되는 경우, 클라이언트 디바이스 저 전력 소비 모드에서 동작하는 경우, 또는 클라이언트 디바이스가 감소된 양의 데이터를 트랜스퍼하도록 구성되는 경우를 포함할 수도 있다.
클라이언트 디바이스는, 수신된 패킷이 데이터 또는 제어 정보를 포함하는지 여부를 결정한다 (1614). 클라이언트 디바이스는 결정에 기초하여 사용자 평면 키 또는 제어 평면 키로 수신된 패킷을 디코딩한다 (1616). 일 양태에서, 클라이언트 디바이스는 사용자 평면 키 또는 제어 평면 키로 수신된 패킷을 해독 및 확인함으로써 수신된 패킷을 디코딩한다. 일 양태에서, 클라이언트 디바이스는 제 1 메시지 인증 코드 (MAC) 를 결정하고 제 1 MAC 를 수신된 패킷과 연관된 제 2 MAC 와 비교함으로써 수신된 패킷을 확인한다. 예를 들어, 제 1 MAC 는 수신된 패킷에 기초하여 메시지 인증 코드 생성 알고리즘을 적용하고 사용자 평면 키 또는 제어 평면 키 중 어느 하나를 사용함으로써 결정될 수도 있다.
제 2 예시적인 장치 (예를 들어, 네트워크 액세스 노드) 및 그 방법
도 17 은 본 개시물의 하나 이상의 양태들 (예를 들어, 이하에 설명된 도 18 의 방법에 관련된 양태들) 에 따라 IoT 네트워크 아키텍처에 기초하여 네트워크와 통신하도록 구성된 장치 (1700) 의 예시이다. 일 양태에서, 장치 (1700) 는 네트워크 액세스 노드 (예를 들어, eNB, 기지국, 또는 네트워크 액세스 포인트) 일 수도 있다. 장치 (1700) 는 통신 인터페이스 (예를 들어, 적어도 하나의 트랜시버)(1702), 네트워크 통신 인터페이스 (1703), 저장 매체 (1704), 사용자 인터페이스 (1706), 메모리 디바이스 (1708), 및 프로세싱 회로 (1710) 를 포함한다.
이들 컴포넌트들은 도 17 에서 접속 라인들에 의해 일반적으로 표현된, 시그널링 버스 또는 다른 적합한 컴포넌트를 통해 서로와 전기 통신하도록 커플링 및/또는 배치될 수 있다. 시그널링 버스는 프로세싱 회로 (1710) 의 특정 애플리케이션들 및 전체 설계 제약들에 따라 임의의 수의 상호접속하는 버스들 및 브리지들을 포함할 수도 있다. 시그널링 버스는, 통신 인터페이스 (1702), 네트워크 통신 인터페이스 (1703), 저장 매체 (1704), 사용자 인터페이스 (1706), 및 메모리 디바이스 (1708) 각각이 프로세싱 회로 (1710) 에 커플링되고/되거나 프로세싱 회로와 전기 통신하도록 다양한 회로들을 함께 연결한다. 시그널링 버스는 또한, 다양한 다른 회로들 (미도시), 예컨대 타이밍 소스들, 주변장치들, 전압 조절기들, 및 전력 관리 회로들을 링크할 수도 있으며, 이는 당해 기술에 잘 알려져 있어 추가로 설명되지 않을 것이다.
통신 인터페이스 (1702) 는 장치 (1700) 의 무선 통신을 용이하게 하도록 적응될 수도 있다. 예를 들어, 통신 인터페이스 (1702) 는 네트워크 내의 하나 이상의 클라이언트 디바이스들에 대하여 양-방향으로 정보의 통신을 용이하게 하도록 적응된 회로부 및/또는 코드 (예를 들어, 명령들) 를 포함할 수도 있다. 통신 인터페이스 (1702) 는 무선 통신 시스템 내의 무선 통신을 위해 하나 이상의 안테나들 (1712) 에 커플링될 수도 있다. 통신 인터페이스 (1702) 는 하나 이상의 독립형 수신기들 및/또는 송신기들, 뿐만 아니라 하나 이상의 트랜시버들과 함께 구성될 수 있다. 예시된 예에서, 통신 인터페이스 (1702) 는 송신기 (1714) 및 수신기 (1716) 를 포함한다.
네트워크 통신 인터페이스 (1703) 는 장치 (1700) 의 통신을 용이하게 하도록 적응될 수도 있다. 예를 들어, 네트워크 통신 인터페이스 (1703) 는 네트워크 내의 하나 이상의 네트워크 엔티티들에 대하여 양-방향으로 정보의 통신을 용이하게 하도록 적응된 회로부 및/또는 코드 (예를 들어, 명령들) 를 포함할 수도 있다. 네트워크 통신 인터페이스 (1703) 는 하나 이상의 독립형 수신기들 및/또는 송신기들, 뿐만 아니라 하나 이상의 트랜시버들과 함께 구성될 수 있다.
메모리 디바이스 (1708) 는 하나 이상의 메모리 디바이스들을 나타낼 수도 있다. 나타낸 바와 같이, 메모리 디바이스 (1708) 는 장치 (1700) 에 의해 사용된 다른 정보와 함께 네트워크-관련 정보를 유지할 수도 있다. 일부 구현들에서, 메모리 디바이스 (1708) 및 저장 매체 (1704) 는 공통 메모리 컴포넌트로서 구현된다. 메모리 디바이스 (1708) 는 또한, 프로세싱 회로 (1710) 또는 장치 (1700) 의 일부 다른 컴포넌트에 의해 조작되는 데이터를 저장하기 위해 사용될 수도 있다.
저장 매체 (1704) 는 코드, 예컨대, 프로세서 실행가능 코드나 명령들 (예를 들어, 소프트웨어, 펌웨어), 전자 데이터, 데이터베이스들, 또는 다른 디지털 정보를 저장하기 위한 하나 이상의 컴퓨터 판독가능, 머신 판독가능, 및/또는 프로세서 판독가능 디바이스들을 나타낼 수도 있다. 저장 매체 (1704) 는 또한, 코드를 실행하는 경우 프로세싱 회로 (1710) 에 의해 조작되는 데이터를 저장하는데 사용될 수도 있다. 저장 매체 (1704) 는, 휴대용 또는 고정 저장 디바이스들, 광학 저장 디바이스들, 코드를 저장, 포함, 또는 반송할 수 있는 다양한 다른 매체들을 포함하여, 범용 또는 특수 목적용 프로세서에 의해 액세스될 수 있는 임의의 이용가능한 매체일 수도 있다.
비제한적인 예로서, 저장 매체 (1704) 는 자기 저장 디바이스 (예를 들어, 하드 디스크, 플로피 디스크, 자기 스트립), 광학 디스크 (예를 들어, 컴팩트 디스크 (CD) 또는 디지털 다기능 디스크 (DVD)), 스마트 카드, 플래시 메모리 디바이스 (예를 들어, 카드, 스틱, 또는 키 드라이브), 랜덤 액세스 메모리 (RAM), 판독 전용 메모리 (ROM), 프로그램 가능 ROM (PROM), 소거가능 PROM (EPROM), 전기적으로 소거가능 PROM (EEPROM), 레지스터, 착탈형 디스크, 및 컴퓨터에 의해 액세스 및 판독될 수도 있는 코드를 저장하기 위한 임의의 다른 적합한 매체를 포함할 수도 있다. 저장 매체 (1704) 는 제조품 (예를 들어, 컴퓨터 프로그램 제품) 에서 구현될 수도 있다. 예로써, 컴퓨터 프로그램 제품은 패키징 재료들에 컴퓨터 판독가능 매체를 포함할 수도 있다. 위의 관점에서, 일부 구현들에서, 저장 매체 (1704) 는 비-일시적 (예를 들어, 유형의) 저장 매체일 수도 있다.
저장 매체 (1704) 는, 프로세싱 회로 (1710) 가 저장 매체 (1704) 로부터 정보를 판독하고, 저장 매체에 정보를 기입할 수 있도록 프로세싱 회로 (1710) 에 커플링될 수도 있다. 즉, 저장 매체 (1704) 가 프로세싱 회로 (1710) 에 커플링될 수 있어 저장 매체 (1704) 가 적어도 프로세싱 회로 (1710) 에 의해 액세스가능하며, 이는 적어도 하나의 저장 매체가 프로세싱 회로 (1710) 에 통합되는 예들 및/또는 적어도 하나의 저장 매체가 프로세싱 회로 (1710) 로부터 별개인 (예를 들어, 장치 (1700) 에 상주하는, 장치 (1700) 의 외부에 있는, 다수의 엔티티들에 걸쳐 분산된) 예들을 포함한다.
저장 매체 (1704) 에 저장된 코드 및/또는 명령들은, 프로세싱 회로 (1710) 에 의해 실행되는 경우, 프로세싱 회로 (1710) 로 하여금, 본원에 설명된 다양한 기능들 및/또는 프로세스 동작들 중 하나 이상을 수행하게 한다. 예를 들어, 저장 매체 (1704) 는 프로세싱 회로 (1710) 의 하나 이상의 하드웨어 블록들에서 동작들을 조절하기 위해, 뿐만 아니라 그들 각각의 통신 프로토콜들을 이용하는 무선 통신을 위한 통신 인터페이스 (1702) 및 네트워크 통신을 위한 네트워크 통신 인터페이스 (1703) 를 이용하도록 구성된 동작들을 포함할 수도 있다.
프로세싱 회로 (1710) 는 일반적으로, 저장 매체 (1704) 상에 저장된 이러한 코드/명령들의 실행을 포함하는, 프로세싱을 위해 적응된다. 본원에 사용된 바와 같이, 용어 "코드" 또는 "명령들" 은 소프트웨어, 펌웨어, 미들웨어, 마이크로코드, 하드웨어 설명 언어, 또는 달리 지칭되더라도, 프로그래밍, 명령들, 명령 세트들, 데이터, 코드, 코드 세그먼트들, 프로그램 코드, 프로그램들, 하위프로그램들, 소프트웨어 모듈들, 애플리케이션들, 소프트웨어 애플리케이션들, 소프트웨어 패키지들, 루틴들, 하위루틴들, 오브젝트들, 실행가능물들, 실행의 스레드들, 절차들, 기능들 등을 제한 없이 포함하는 것으로 광범위하게 해석될 수도 있다.
프로세싱 회로 (1710) 는 데이터를 획득, 프로세싱, 및/또는 전송하고, 데이터 액세스 및 저장을 제어하고, 커맨드를 발행하며, 다른 원하는 동작들을 제어하도록 배열된다. 프로세싱 회로 (1710) 는 적어도 하나의 예에서 적합한 매체에 의해 제공된 원하는 코드를 구현하도록 구성된 회로부를 포함할 수도 있다. 예를 들어, 프로세싱 회로 (1710) 는 하나 이상의 프로세서들, 하나 이상의 제어기들, 및/또는 실행가능한 코드를 실행하도록 구성된 다른 구조로서 구현될 수도 있다. 프로세싱 회로 (1710) 의 예들은, 범용 프로세서, 디지털 신호 프로세서 (DSP), 주문형 집적 회로 (ASIC), 필드 프로그래머블 게이트 어레이 (FPGA) 또는 다른 프로그램 가능 로직 컴포넌트, 이산 게이트 또는 트랜지스터 로직, 이산 하드웨어 컴포넌트들, 또는 본원에서 설명된 기능들을 수행하도록 설계된 이들의 임의의 조합을 포함할 수도 있다. 범용 프로세서는 마이크로프로세서, 뿐만 아니라 임의의 종래의 프로세서, 제어기, 마이크로제어기, 또는 상태 머신을 포함할 수도 있다. 프로세싱 회로 (1710) 는 또한, 컴퓨팅 컴포넌트들의 조합, 예컨대, DSP 와 마이크로 프로세서, 다수의 마이크로프로세서들, DSP 코어와 연계한 하나 이상의 마이크로프로세서들, ASIC 와 마이크로프로세서의 조합, 또는 임의의 다른 수의 다양한 구성들로서 구현될 수도 있다. 프로세싱 회로 (1710) 의 이들 예들은 예시적인 것이며 본 개시물의 범위 내에서 다른 적합한 구성들이 또한 고려된다.
본 개시물의 하나 이상의 양태들에 따르면, 프로세싱 회로 (1710) 는 본원에 설명된 장치들 중 어느 하나 또는 전부에 대한 특성들, 프로세스들, 기능들, 동작들 및/또는 루틴들 중 어느 하나 또는 전부를 수행하도록 적응될 수도 있다. 본원에서 사용된 바와 같이, 프로세싱 회로 (1710) 와 관련한 용어 "적응된" 은, 본원에 설명된 다양한 특성들에 따른 특정 프로세스, 기능, 동작, 및/또는 루틴을 수행하도록 구성, 이용, 구현, 및/또는 프로그래밍된 것 중 하나 이상인 프로세싱 회로 (1710) 를 지칭할 수도 있다.
장치 (1700) 의 적어도 하나의 예에 따르면, 프로세싱 회로 (1710) 는 본원에 설명된 특성들, 프로세스들, 기능들, 동작들 및/또는 루틴들 (예를 들어, 도 18 에 대하여 설명된 특성들, 프로세스들, 기능들, 동작들 및/또는 루틴들) 중 어느 하나 또는 전부를 수행하도록 적응되는 수신 회로/모듈 (1720), 데이터 패킷 포워딩 회로/모듈 (1722), 임시 식별자 추가 회로/모듈 (1724), 저장 회로/모듈 (1726), 다음 홉 결정 회로/모듈 (1728), 클라이언트 디바이스 식별 회로/모듈 (1730), 및 임시 식별자 제거 회로/모듈 (1732) 중 하나 이상을 포함할 수도 있다.
수신 회로/모듈 (1720) 은, 예를 들어 클라이언트 디바이스로부터 네트워크 어태치 모드의 표시로 네트워크에 어태치하기 위한 요청을 수신하는 것 (여기서, 네트워크 어태치 모드는 감소된 데이터 트랜스퍼 모드 또는 저 전력 소비 모드임), 클라이언트 디바이스로부터 제 1 패킷을 수신하는 것, 및 네트워크 노드로부터 제 2 패킷을 수신하는 것에 관련한 여러 기능들을 수행하도록 적응된 회로부 및/또는 명령들 (예를 들어, 저장 매체 (1704) 상에 저장된 수신 명령들 (1740)) 을 포함할 수도 있다.
패킷 포워딩 회로 모듈 (1722) 은, 예를 들어 제 1 패킷을 다음 홉 네트워크 노드로 포워딩하는 것, 및 네트워크 노드로부터 수신된 제 2 패킷을 클라이언트 디바이스로 포워딩하는 것에 관련한 여러 기능들을 수행하도록 적응된 회로부 및/또는 명령들 (예를 들어, 저장 매체 (1704) 상에 저장된 패킷 포워딩 명령들 (1742)) 을 포함할 수도 있다.
임시 식별자 추가 회로/모듈 (1724) 은, 예를 들어 제 1 패킷에 클라이언트 디바이스와 연관된 임시 식별자를 추가하는 것에 관련한 여러 기능들을 수행하도록 적응된 회로부 및/또는 명령들 (예를 들어, 저장 매체 (1704) 상에 저장된 임시 식별자 추가 명령들 (1744)) 을 포함할 수도 있다. 일 양태에서, 제 1 패킷은 데이터 패킷 또는 제어 패킷이다. 일 양태에서, 임시 식별자는 셀 무선 네트워크 임시 식별자 (C-RNTI) 이다.
저장 회로/모듈 (1726) 은, 예를 들어 임시 식별자를 저장하는 것에 관련한 여러 기능들을 수행하도록 적응된 회로부 및/또는 명령들 (예를 들어, 저장 매체 (1704) 상에 저장된 저장 명령들 (1746)) 을 포함할 수도 있다. 일 양태에서, 임시 식별자는 미리결정된 기간 동안 저장된다.
다음 홉 결정 회로/모듈 (1728) 은, 예를 들어 클라이언트 디바이스의 네트워크 어태치 모드에 기초하여 다음 홉 네트워크 노드를 결정하는 것에 관련한 여러 기능들을 수행하도록 적응된 회로부 및/또는 명령들 (예를 들어, 저장 매체 (1704) 상에 저장된 다음 홉 결정 명령들 (1748)) 을 포함할 수도 있다. 일 양태에서, 다음 홉 네트워크 노드의 결정은 네트워크 액세스 노드에서 미리구성된 정보에 기초하거나 또는 클라이언트 디바이스의 네트워크 어태치 모드가 감소된 데이터 트랜스퍼 모드 또는 저 전력 소비 모드인 경우 제 1 패킷에 포함된 목적지 정보에 기초한다. 일 양태에서, 목적지 정보는 네트워크 기능부를 구현하는 네트워크 노드 또는 네트워크 디바이스의 식별을 가능하게 하는 네트워크 기능부 식별자를 포함한다. 일 양태에서, 네트워크 기능부 식별자는 제 1 네트워크 노드에서 구현된 제어 평면 네트워크 기능부 또는 제 2 네트워크 노드에서 구현된 사용자 평면 네트워크 기능부와 연관된다.
클라이언트 디바이스 식별 회로/모듈 (1730) 은, 예를 들어 제 2 패킷에서의 임시 식별자로부터 클라이언트 디바이스를 식별하는 것에 관련한 여러 기능들을 수행하도록 적응된 회로부 및/또는 명령들 (예를 들어, 저장 매체 (1704) 상에 저장된 클라이언트 디바이스 식별 명령들 (1750)) 을 포함할 수도 있다. 일 양태에서, 제 2 패킷은 데이터 패킷 또는 제어 패킷이다.
임시 식별자 제거 회로/모듈 (1732) 은, 예를 들어 제 2 패킷을 포워딩하기 전에 제 2 패킷으로부터 임시 식별자를 제거하는 것에 관련한 여러 기능들을 수행하도록 적응된 회로부 및/또는 명령들 (예를 들어, 저장 매체 (1704) 상에 저장된 임시 식별자 제거 명령들 (1752)) 을 포함할 수도 있다.
위에서 언급된 바와 같이, 저장 매체 (1704) 에 저장된 명령들은, 프로세싱 회로 (1710) 에 의해 실행되는 경우, 프로세싱 회로 (1710) 로 하여금, 본원에 설명된 다양한 기능들 및/또는 프로세스 동작들 중 하나 이상을 수행하게 한다. 예를 들어, 저장 매체 (1704) 는 수신 명령들 (1740), 패킷 포워딩 명령들 (1742), 임시 식별자 추가 명령들 (1744), 저장 명령들 (1746), 다음 홉 결정 명령들 (1748), 클라이언트 디바이스 식별 명령들 (1750), 및 임시 식별자 제거 명령들 (1752) 중 하나 이상을 포함할 수도 있다.
도 18 (도 18a 및 도 18b 를 포함) 은 본 개시물의 다양한 양태들에 따른 IoT 네트워크 아키텍처에서 통신하는 방법을 예시하는 플로우차트 (1800) 이다. 방법은 네트워크 액세스 노드 (예를 들어, 도 1 의 네트워크 액세스 노드 (104) 또는 도 17 의 장치 (1700)) 와 같은 장치에 의해 수행될 수도 있다. 도 18 에서 점선들에 의해 표시된 동작들은 선택적 동작들을 나타낸다는 것이 이해되어야 한다.
도 18a 를 참조하면, 네트워크 액세스 노드는, 클라이언트 디바이스로부터 네트워크 어태치 모드의 표시로 네트워크에 어태치하기 위한 요청을 수신하고, 여기서 네트워크 어태치 모드는 감소된 데이터 트랜스퍼 모드이다 (1802). 다른 양태들에서, 네트워크 어태치 모드는 사물 인터넷 (IoT) 디바이스 모드 또는 저 전력 소비 모드일 수도 있다. 네트워크 액세스 노드는 클라이언트 디바이스로부터 제 1 패킷을 수신한다 (1804). 예를 들어, 제 1 패킷은 데이터 패킷 또는 제어 패킷일 수도 있다.
제 1 네트워크 노드는, 제 1 패킷에, 클라이언트 디바이스와 연관된 임시 식별자를 추가한다 (1806). 본 개시물의 일 양태에서, 임시 식별자는 셀 무선 네트워크 임시 식별자 (C-RNTI) 이다. 네트워크 액세스 노드는 임시 식별자를 저장한다 (1808). 본 개시물의 일 양태에서, 임시 식별자는 미리결정된 기간 동안 저장된다.
네트워크 액세스 노드는 클라이언트 디바이스의 네트워크 어태치 모드에 기초하여 다음 홉 네트워크 노드를 결정한다 (1810). 본 개시물의 일 양태에서, 다음 홉 네트워크 노드의 결정은 네트워크 액세스 노드에서 미리구성된다. 본 개시물의 일 양태에서, 다음 홉 네트워크 노드는, 클라이언트 디바이스의 네트워크 어태치 모드가 IoT 디바이스 모드, 감소된 데이터 트랜스퍼 모드, 또는 저 전력 소비 모드인 경우, 제 1 패킷에 포함된 목적지 정보에 기초하여 결정될 수도 있다. 예를 들어, 목적지 정보는 네트워크 기능부를 구현하는 네트워크 노드의 식별을 가능하게 하는 네트워크 기능부 식별자를 포함할 수도 있다. 일 양태에서, 네트워크 기능부 식별자는 제 1 네트워크 노드에서 구현된 제어 평면 네트워크 기능부 또는 제 2 네트워크 노드에서 구현된 사용자 평면 네트워크 기능부와 연관된다.
네트워크 액세스 노드는, 네트워크 어태치 모드가 감소된 데이터 트랜스퍼 모드에 있는 경우 클라이언트 디바이스로부터 수신된 제 1 패킷을 확인하지 않고 다음 홉 네트워크 노드로 제 1 패킷을 포워딩한다 (1812).
도 18b 를 참조하면, 네트워크 액세스 노드는 네트워크 노드로부터 제 2 패킷을 수신한다 (1814). 예를 들어, 제 2 패킷은 데이터 패킷 또는 제어 패킷일 수도 있다. 네트워크 액세스 노드는 제 2 패킷에서 임시 식별자로부터 클라이언트 디바이스를 식별한다 (1816). 네트워크 액세스 노드는 제 2 패킷을 포워딩하기 전에 제 2 패킷으로부터 임시 식별자를 제거한다 (1818). 네트워크 액세스 노드는, 클라이언트 디바이스의 네트워크 어태치 모드가 감소된 데이터 트랜스퍼 모드인 경우 제 2 패킷을 보호하지 않고 네트워크 노드로부터 수신된 제 2 패킷을 클라이언트 디바이스로 포워딩한다 (1820).
제 3 예시적인 장치 (예를 들어, 네트워크 디바이스 ) 및 그 방법
도 19 는 본 개시물의 하나 이상의 양태들 (예를 들어, 이하에서 설명되는 도 20 내지 도 22 의 방법에 관련된 양태들) 에 따른 장치 (1900) 의 예시이다. 일 양태에서, 장치 (1900) 는 사물 인터넷 (IoT) 기능부를 구현하는 네트워크 디바이스 (예를 들어, 네트워크 디바이스 (105, 505)) 일 수도 있다. 예를 들어, IoTF 기능부는 이전에 논의된 바와 같이, 제어 평면 IoT 기능부 (예를 들어, IoTF-C (106, 506, 706, 606, 906, 1406)) 및/또는 사용자 평면 IoT 기능부 (예를 들어, IoTF-U (108, 508, 608, 708, 806, 908)) 를 포함할 수도 있다. 일부 양태들에서, 장치 (1900) 는 도 1 의 IoTF-C (106) 를 구현하는 네트워크 노드 (107) 또는 도 1 의 IoTF-U (108) 를 구현하는 네트워크 노드 (109) 와 같은 IoT 기능부를 구현하는 네트워크 노드일 수도 있다. 장치 (1900) 는 네트워크 통신 인터페이스 (예를 들어, 적어도 하나의 트랜시버)(1902), 저장 매체 (1904), 사용자 인터페이스 (1906), 메모리 디바이스 (1908), 및 프로세싱 회로 (1910) 를 포함한다.
이들 컴포넌트들은 도 19 에서 접속 라인들에 의해 일반적으로 표현된, 시그널링 버스 또는 다른 적합한 컴포넌트를 통해 서로와 전기 통신하도록 커플링 및/또는 배치될 수 있다. 시그널링 버스는 프로세싱 회로 (1910) 및 전체 설계 제약들의 특정 애플리케이션들에 따라 임의의 수의 상호접속하는 버스들 및 브리지들을 포함할 수도 있다. 시그널링 버스는, 네트워크 통신 인터페이스 (1902), 저장 매체 (1904), 사용자 인터페이스 (1906), 및 메모리 디바이스 (1908) 각각이 프로세싱 회로 (1910) 에 커플링되고/되거나 프로세싱 회로와 전기 통신하도록 다양한 회로들을 함께 연결한다. 시그널링 버스는 또한, 다양한 다른 회로들 (미도시), 예컨대 타이밍 소스들, 주변장치들, 전압 조절기들, 및 전력 관리 회로들을 링크할 수도 있으며, 이는 당해 기술에 잘 알려져 있어 추가로 설명되지 않을 것이다.
네트워크 통신 인터페이스 (1902) 는 장치 (1900) 의 통신을 용이하게 하도록 적응될 수도 있다. 예를 들어, 네트워크 통신 인터페이스 (1902) 는 네트워크 내의 하나 이상의 네트워크 엔티티들에 대하여 양-방향으로 정보의 통신을 용이하게 하도록 적응된 회로부 및/또는 코드 (예를 들어, 명령들) 를 포함할 수도 있다. 네트워크 통신 인터페이스 (1902) 는 하나 이상의 독립형 수신기들 및/또는 송신기들, 뿐만 아니라 하나 이상의 트랜시버들과 함께 구성될 수 있다.
메모리 디바이스 (1908) 는 하나 이상의 메모리 디바이스들을 나타낼 수도 있다. 나타낸 바와 같이, 메모리 디바이스 (1908) 는 장치 (1900) 에 의해 사용된 다른 정보와 함께 네트워크-관련 정보를 유지할 수도 있다. 일부 구현들에서, 메모리 디바이스 (1908) 및 저장 매체 (1904) 는 공통 메모리 컴포넌트로서 구현된다. 메모리 디바이스 (1908) 는 또한, 프로세싱 회로 (1910) 또는 장치 (1900) 의 일부 다른 컴포넌트에 의해 조작되는 데이터를 저장하기 위해 사용될 수도 있다.
저장 매체 (1904) 는 코드, 예컨대, 프로세서 실행가능 코드나 명령들 (예를 들어, 소프트웨어, 펌웨어), 전자 데이터, 데이터베이스들, 또는 다른 디지털 정보를 저장하기 위한 하나 이상의 컴퓨터 판독가능, 머신 판독가능, 및/또는 프로세서 판독가능 디바이스들을 나타낼 수도 있다. 저장 매체 (1904) 는 또한, 코드를 실행하는 경우 프로세싱 회로 (1910) 에 의해 조작되는 데이터를 저장하는데 사용될 수도 있다. 저장 매체 (1904) 는, 휴대용 또는 고정 저장 디바이스들, 광학 저장 디바이스들, 코드를 저장, 포함, 또는 반송할 수 있는 다양한 다른 매체들을 포함하여, 범용 또는 특수 목적용 프로세서에 의해 액세스될 수 있는 임의의 이용가능한 매체일 수도 있다.
비제한적인 예로서, 저장 매체 (1904) 는 자기 저장 디바이스 (예를 들어, 하드 디스크, 플로피 디스크, 자기 스트립), 광학 디스크 (예를 들어, 컴팩트 디스크 (CD) 또는 디지털 다기능 디스크 (DVD)), 스마트 카드, 플래시 메모리 디바이스 (예를 들어, 카드, 스틱, 또는 키 드라이브), 랜덤 액세스 메모리 (RAM), 판독 전용 메모리 (ROM), 프로그램 가능 ROM (PROM), 소거가능 PROM (EPROM), 전기적으로 소거가능 PROM (EEPROM), 레지스터, 착탈형 디스크, 및 컴퓨터에 의해 액세스 및 판독될 수도 있는 코드를 저장하기 위한 임의의 다른 적합한 매체를 포함할 수도 있다. 저장 매체 (1904) 는 제조품 (예를 들어, 컴퓨터 프로그램 제품) 에서 구현될 수도 있다. 예로써, 컴퓨터 프로그램 제품은 패키징 재료들에 컴퓨터 판독가능 매체를 포함할 수도 있다. 위의 관점에서, 일부 구현들에서, 저장 매체 (1904) 는 비-일시적 (예를 들어, 유형의) 저장 매체일 수도 있다.
저장 매체 (1904) 는, 프로세싱 회로 (1910) 가 저장 매체 (1904) 로부터 정보를 판독하고, 저장 매체에 정보를 기입할 수 있도록 프로세싱 회로 (1910) 에 커플링될 수도 있다. 즉, 저장 매체 (1904) 가 프로세싱 회로 (1910) 에 커플링될 수 있어 저장 매체 (1904) 가 적어도 프로세싱 회로 (1910) 에 의해 액세스가능하며, 이는 적어도 하나의 저장 매체가 프로세싱 회로 (1910) 에 통합되는 예들 및/또는 적어도 하나의 저장 매체가 프로세싱 회로 (1910) 로부터 별개인 (예를 들어, 장치 (1900) 에 상주하는, 장치 (1900) 의 외부에 있는, 다수의 엔티티들에 걸쳐 분산된) 예들을 포함한다.
저장 매체 (1904) 에 저장된 코드 및/또는 명령들은, 프로세싱 회로 (1910) 에 의해 실행되는 경우, 프로세싱 회로 (1910) 로 하여금, 본원에 설명된 다양한 기능들 및/또는 프로세스 동작들 중 하나 이상을 수행하게 한다. 예를 들어, 저장 매체 (1904) 는 프로세싱 회로 (1910) 의 하나 이상의 하드웨어 블록들에서 동작들을 조절하기 위해, 뿐만 아니라 그들 각각의 통신 프로토콜들을 이용하는 통신을 위한 네트워크 통신 인터페이스 (1902) 를 이용하도록 구성된 동작들을 포함할 수도 있다.
프로세싱 회로 (1910) 는 일반적으로, 저장 매체 (1904) 상에 저장된 이러한 코드/명령들의 실행을 포함하는, 프로세싱을 위해 적응된다. 본원에 사용된 바와 같이, 용어 "코드" 또는 "명령들" 은 소프트웨어, 펌웨어, 미들웨어, 마이크로코드, 하드웨어 설명 언어, 또는 달리 지칭되더라도, 프로그래밍, 명령들, 명령 세트들, 데이터, 코드, 코드 세그먼트들, 프로그램 코드, 프로그램들, 하위프로그램들, 소프트웨어 모듈들, 애플리케이션들, 소프트웨어 애플리케이션들, 소프트웨어 패키지들, 루틴들, 하위루틴들, 오브젝트들, 실행가능물들, 실행의 스레드들, 절차들, 기능들 등을 제한 없이 포함하는 것으로 광범위하게 해석될 수도 있다.
프로세싱 회로 (1910) 는 데이터를 획득, 프로세싱, 및/또는 전송하고, 데이터 액세스 및 저장을 제어하고, 커맨드를 발행하며, 다른 원하는 동작들을 제어하도록 배열된다. 프로세싱 회로 (1910) 는 적어도 하나의 예에서 적합한 매체에 의해 제공된 원하는 코드를 구현하도록 구성된 회로부를 포함할 수도 있다. 예를 들어, 프로세싱 회로 (1910) 는 하나 이상의 프로세서들, 하나 이상의 제어기들, 및/또는 실행가능한 코드를 실행하도록 구성된 다른 구조로서 구현될 수도 있다. 프로세싱 회로 (1910) 의 예들은, 범용 프로세서, 디지털 신호 프로세서 (DSP), 주문형 집적 회로 (ASIC), 필드 프로그래머블 게이트 어레이 (FPGA) 또는 다른 프로그램 가능 로직 컴포넌트, 이산 게이트 또는 트랜지스터 로직, 이산 하드웨어 컴포넌트들, 또는 본원에서 설명된 기능들을 수행하도록 설계된 이들의 임의의 조합을 포함할 수도 있다. 범용 프로세서는 마이크로프로세서, 뿐만 아니라 임의의 종래의 프로세서, 제어기, 마이크로제어기, 또는 상태 머신을 포함할 수도 있다. 프로세싱 회로 (1910) 는 또한, 컴퓨팅 컴포넌트들의 조합, 예컨대, DSP 와 마이크로 프로세서, 다수의 마이크로프로세서들, DSP 코어와 연계한 하나 이상의 마이크로프로세서들, ASIC 와 마이크로프로세서의 조합, 또는 임의의 다른 수의 다양한 구성들로서 구현될 수도 있다. 프로세싱 회로 (1910) 의 이들 예들은 예시적인 것이며 본 개시물의 범위 내에서 다른 적합한 구성들이 또한 고려된다.
본 개시물의 하나 이상의 양태들에 따르면, 프로세싱 회로 (1910) 는 본원에 설명된 장치들 중 어느 하나 또는 전부에 대한 특성들, 프로세스들, 기능들, 동작들 및/또는 루틴들 중 어느 하나 또는 전부를 수행하도록 적응될 수도 있다. 본원에서 사용된 바와 같이, 프로세싱 회로 (1910) 와 관련한 용어 "적응된" 은, 본원에 설명된 다양한 특성들에 따른 특정 프로세스, 기능, 동작, 및/또는 루틴을 수행하도록 구성, 이용, 구현, 및/또는 프로그래밍된 것 중 하나 이상인 프로세싱 회로 (1910) 를 지칭할 수도 있다.
장치 (1900) 의 적어도 하나의 예에 따르면, 프로세싱 회로 (1910) 는 본원에 설명된 특성들, 프로세스들, 기능들, 동작들 및/또는 루틴들 (예를 들어, 도 20 내지 도 22 에 대하여 설명된 특성들, 프로세스들, 기능들, 동작들 및/또는 루틴들) 중 어느 하나 또는 전부를 수행하도록 적응되는 보안 콘텍스트 확립 회로/모듈 (1920), 제어 평면 키 및 사용자 평면 키 획득 회로/모듈 (1922), 키 트랜스퍼 회로/모듈 (1924), 보안 콘텍스트 획득 회로/모듈 (1926), 사용자 평면 키 결정 회로/모듈 (1928), 패킷 수신 회로/모듈 (1930), 패킷 해독 및 인증 회로/모듈 (1932), 패킷 보호 회로/모듈 (1934), 및 패킷 송신 회로/모듈 (1936) 중 하나 이상을 포함할 수도 있다.
보안 콘텍스트 확립 회로/모듈 (1920) 은, 예를 들어 클라이언트 디바이스에 대한 보안 콘텍스트를 제 1 네트워크 노드에서 구현된 제어 평면 네트워크 기능부에서 확립하는 것에 관련한 여러 기능들을 수행하도록 적응된 회로부 및/또는 명령들 (예를 들어, 저장 매체 (1904) 상에 저장된 보안 콘텍스트 확립 명령들 (1940)) 을 포함할 수도 있다.
제어 평면 키 및 사용자 평면 키 획득 회로/모듈 (1922) 은, 예를 들어 제 1 네트워크 노드에서 구현된 제어 평면 네트워크 기능부에서, 제어 평면 네트워크 기능부에 대한 제어 평면 키를 획득하는 것, 및/또는 제 1 네트워크 노드에서 구현된 제어 평면 네트워크 기능부에서, 제 2 네트워크 노드에서 구현된 사용자 평면 네트워크 기능부에 대한 사용자 평면 키를 획득하는 것에 관련한 여러 기능들을 수행하도록 적응된 회로부 및/또는 명령들 (예를 들어, 저장 매체 (1904) 상에 저장된 제어 평면 키 및 사용자 평면 키 획득 명령들 (1942)) 을 포함할 수도 있다.
키 트랜스퍼 회로/모듈 (1924) 은, 예를 들어 제 1 네트워크 노드에서 구현된 제어 평면 네트워크 기능부로부터, 제 2 네트워크 노드에서 구현된 사용자 평면 네트워크 기능부로 사용자 평면 키를 트랜스퍼하는 것에 관련한 여러 기능들을 수행하도록 적응된 회로부 및/또는 명령들 (예를 들어, 저장 매체 (1904) 상에 저장된 키 트랜스퍼 명령들 (1944)) 을 포함할 수도 있다.
보안 콘텍스트 획득 회로/모듈 (1926) 은, 예를 들어 클라이언트 디바이스에 대한 보안 콘텍스트를 제 1 네트워크 노드에서 구현된 사용자 평면 네트워크 기능부에서 획득하는 것에 관련한 여러 기능들을 수행하도록 적응된 회로부 및/또는 명령들 (예를 들어, 저장 매체 (1904) 상에 저장된 보안 콘텍스트 획득 명령들 (1946)) 을 포함할 수도 있다.
사용자 평면 키 결정 회로/모듈 (1928) 은, 예를 들어 네트워크 노드에서 구현된 사용자 평면 네트워크 기능부에서, 클라이언트 디바이스로부터 데이터 패킷의 해독 또는 확인을 위해 적어도 사용될 키를 결정하는 것 및/또는 네트워크 노드에서 구현된 사용자 평면 네트워크 기능부에서, 클라이언트 디바이스와 연관된 적어도 하나의 키를 결정하는 것에 관련한 여러 기능들을 수행하도록 적응된 회로부 및/또는 명령들 (예를 들어, 저장 매체 (1904) 상에 저장된 사용자 평면 키 결정 명령들 (1948)) 을 포함할 수도 있다.
패킷 수신 회로/모듈 (1930) 은, 예를 들어 네트워크 노드에서 구현된 사용자 평면 네트워크 기능부에서, 클라이언트 디바이스로부터 데이터 패킷을 수신하는 것 및/또는 네트워크 노드에서 구현된 사용자 평면 네트워크 기능부에서, 애플리케이션 서버 또는 게이트웨이로부터 클라이언트 디바이스에 대한 데이터 패킷을 수신하는 것에 관련한 여러 기능들을 수행하도록 적응된 회로부 및/또는 명령들 (예를 들어, 저장 매체 (1904) 상에 저장된 패킷 수신 명령들 (1950)) 을 포함할 수도 있다.
패킷 해독 및 인증 획득 회로/모듈 (1932) 은, 예를 들어 네트워크 노드에서 구현된 사용자 평면 네트워크 기능부에서, 키에 기초하여 클라이언트 디바이스로부터의 데이터 패킷을 해독 및 확인하는 것에 관련한 여러 기능들을 수행하도록 적응된 회로부 및/또는 명령들 (예를 들어, 저장 매체 (1904) 상에 저장된 패킷 해독 및 인증 명령들 (1952)) 을 포함할 수도 있다.
패킷 보호 회로/모듈 (1934) 은, 예를 들어 네트워크 노드에서 구현된 사용자 평면 네트워크 기능부에서 적어도 하나의 키를 사용하여 클라이언트 디바이스에 대한 데이터 패킷을 보호하는 것에 관련한 여러 기능들을 수행하도록 적응된 회로부 및/또는 명령들 (예를 들어, 저장 매체 (1904) 상에 저장된 패킷 보호 명령들 (1954)) 을 포함할 수도 있다.
패킷 송신 회로/모듈 (1936) 은, 예를 들어 네트워크 노드에서 구현된 사용자 평면 네트워크 기능부로부터 클라이언트 디바이스에 대한 데이터 패킷을 다음 홉 네트워크 노드로 송신하는 것에 관련한 여러 기능들을 수행하도록 적응된 회로부 및/또는 명령들 (예를 들어, 저장 매체 (1904) 상에 저장된 패킷 송신 명령들 (1956)) 을 포함할 수도 있다.
위에서 언급된 바와 같이, 저장 매체 (1904) 에 저장된 명령들은, 프로세싱 회로 (1910) 에 의해 실행되는 경우, 프로세싱 회로 (1910) 로 하여금, 본원에 설명된 다양한 기능들 및/또는 프로세스 동작들 중 하나 이상을 수행하게 한다. 예를 들어, 저장 매체 (1904) 는 보안 콘텍스트 확립 명령들 (1940), 제어 평면 키 및 사용자 평면 키 획득 명령들 (1942), 키 트랜스퍼 명령들 (1944), 보안 콘텍스트 획득 명령들 (1946), 사용자 평면 키 결정 명령들 (1948), 패킷 수신 명령들 (1950), 패킷 해독 및 인증 명령들 (1952), 패킷 보호 명령들 (1954), 및 패킷 송신 명령들 (1956) 중 하나 이상을 포함할 수도 있다.
도 20 은 본 개시물의 다양한 양태들에 따른 IoT 네트워크 아키텍처에서 통신하는 방법을 예시하는 플로우차트 (2000) 이다. 방법은 제 1 네트워크 노드와 같은 장치에 의해 수행될 수도 있다. 예를 들어, 제 1 네트워크 노드 (예를 들어, 네트워크 노드 (707)) 는 제어 평면 네트워크 기능부 (예를 들어, IoTF-C (706)) 를 구현할 수도 있다. 제 1 네트워크 노드는, 네트워크 노드에서 구현된 제어 평면 네트워크 기능부에서, 클라이언트 디바이스에 대한 보안 콘텍스트를 확립한다 (2002). 일 양태에서, 제 1 네트워크 노드는 클라이언트 디바이스와 상호 인증 절차를 수행함으로써 클라이언트 디바이스에 대한 보안 콘텍스트를 확립한다.
제 1 네트워크 노드는, 제 1 네트워크 노드에서 구현된 제어 평면 네트워크 기능부에서, 제어 평면 네트워크 기능부에 대한 제어 평면 키를 획득한다 (2004). 제 1 네트워크 노드는, 제 1 네트워크 노드에서 구현된 제어 평면 네트워크 기능부에서, 제 2 네트워크 노드에서 구현된 사용자 평면 네트워크 기능부에 대한 사용자 평면 키를 획득한다 (2006). 일 양태에서, 제 1 네트워크 노드는 상호 인증 절차 동안 확립된 세션 크리덴셜로부터 사용자 평면 키를 도출함으로써 사용자 평면 키를 획득한다. 제 1 네트워크 노드는, 제 1 네트워크 노드에서 구현된 제어 평면 네트워크 기능부로부터 제 2 네트워크 노드에서 구현된 사용자 평면 네트워크 기능부로 사용자 평면 키를 트랜스퍼한다 (2008).
도 21 은 본 개시물의 다양한 양태들에 따른 IoT 네트워크 아키텍처에서 통신하는 방법을 예시하는 플로우차트 (2100) 이다. 방법은 네트워크 노드와 같은 장치에 의해 수행될 수도 있다. 예를 들어, 네트워크 노드 (예를 들어, 네트워크 노드 (707)) 는 사용자 평면 네트워크 기능부 (예를 들어, IoTF-U (708)) 를 구현할 수도 있다. 네트워크 노드는, 네트워크 노드에서 구현된 사용자 평면 네트워크 기능부에서, 클라이언트 디바이스에 대한 보안 콘텍스트를 획득한다 (2102). 일 양태에서, 네트워크 노드는 네트워크 노드의 제어 평면 네트워크 기능부로부터 보안 콘텍스트를 수신함으로써 보안 콘텍스트를 획득한다. 네트워크 노드는, 네트워크 노드에서 구현된 사용자 평면 네트워크 기능부에서, 클라이언트 디바이스로부터의 데이터 패킷의 적어도 해독 또는 확인을 위해 사용될 키를 결정한다 (2104). 네트워크 노드는, 네트워크 노드의 사용자 평면 네트워크 기능부에서, 클라이언트 디바이스로부터 데이터 패킷을 수신한다 (2106). 네트워크 노드는, 네트워크 노드에서 구현된 사용자 평면 네트워크 기능부에서, 키에 기초하여 클라이언트 디바이스로부터의 데이터 패킷을 해독 및 확인한다 (2108).
도 22 는 본 개시물의 다양한 양태들에 따른 IoT 네트워크 아키텍처에서 통신하는 방법을 예시하는 플로우차트 (2200) 이다. 방법은 네트워크 노드와 같은 장치에 의해 수행될 수도 있다. 예를 들어, 네트워크 노드 (예를 들어, 네트워크 노드 (707)) 는 사용자 평면 네트워크 기능부 (예를 들어, IoTF-U (708)) 를 구현할 수도 있다.
네트워크 노드는, 네트워크 노드에서 구현된 사용자 평면 네트워크 기능부에서, 클라이언트 디바이스에 대한 보안 콘텍스트를 획득한다 (2202). 네트워크 노드는, 네트워크 노드에서 구현된 사용자 평면 네트워크 기능부에서, 클라이언트 디바이스에 대한 데이터 패킷을 애플리케이션 서버 또는 게이트웨이로부터 수신한다 (2204). 네트워크 노드는, 네트워크 노드에서 구현된 사용자 평면 네트워크 기능부에서, 클라이언트 디바이스와 연관된 적어도 하나의 키를 결정한다 (2206). 네트워크 노드는, 네트워크 노드에서 구현된 사용자 평면 네트워크 기능부에서, 적어도 하나의 키를 사용하여 클라이언트 디바이스에 대한 데이터 패킷을 보호한다 (2208). 네트워크 노드는, 네트워크 노드에서 구현된 사용자 평면 네트워크 기능부로부터, 클라이언트 디바이스에 대한 데이터 패킷을 다음 홉 네트워크 노드로 송신한다 (2210).
도면들에 예시된 컴포넌트들, 단계들, 특성들 및/또는 기능들 중 하나 이상은 단일의 컴포넌트, 단계, 특성 또는 기능으로 재배열 및/또는 결합되거나, 여러 컴포넌트들, 단계들, 또는 기능들에서 구현될 수도 있다. 추가적인 엘리먼트들, 컴포넌트들, 단계들, 및/또는 기능들은 또한, 본원에 개시된 신규한 특성들로부터 벗어나지 않고 추가될 수도 있다. 도면들에 예시된 장치, 디바이스들, 및/또는 컴포넌트들은 본원에 설명된 방법들, 특성들, 또는 단계들 중 하나 이상을 수행하도록 구성될 수도 있다. 또한, 본원에서 설명된 신규의 알고리즘들은 소프트웨어에서 효율적으로 구현되고/되거나 하드웨어에 임베디드될 수도 있다.
개시된 방법들에서 단계들의 특정 순서 또는 계층은 예시적인 프로세스들의 예시인 것으로 이해되어야 한다. 설계 선호도들에 기초하여, 방법들에서 단계들의 특정 순서 또는 계층이 재배열될 수도 있는 것으로 이해된다. 수반하는 방법 청구항들은 샘플 순서에서의 다양한 단계들의 엘리먼트들을 제시하고, 본원에 특별히 제시된 특정 순서 또는 계층에 제한되는 것을 의미하지 않는다. 추가적인 엘리먼트들, 컴포넌트들, 단계들, 및/또는 기능들이 또한 본 개시물로부터 벗어남 없이 추가될 수도 있고 또는 이용되지 않을 수도 있다.
본 개시물의 특성들이 소정의 구현들 및 도면들에 대해 논의될 수도 있으나, 본 개시물의 모든 구현들은 본원에서 논의된 유리한 특성들 중 하나 이상을 포함할 수 있다. 다시 말하면, 하나 이상의 구현들이 소정의 유리한 특성들을 갖는 것으로 논의될 수도 있으나, 이러한 특성들 중 하나 이상의 특성은 또한 본원에서 논의된 다양한 구현들 중 어느 하나에 따라 사용될 수도 있다. 유사한 방식으로, 예시의 구현들이 디바이스, 시스템, 또는 방법 구현들로 본원에서 논의될 수도 있으나, 이러한 예시의 구현들은 다양한 디바이스들, 시스템들, 및 방법들로 구현될 수도 있음이 이해되어야 한다.
또한, 적어도 일부 구현들은 플로우차트, 흐름도, 구조도, 또는 블록도로 도시되는 프로세스로서 설명되었음에 유의한다. 플로우차트가 순차적인 프로세스로서 동작들을 설명할 수도 있지만, 많은 동작들은 병렬로 또는 동시에 수행될 수 있다. 또한, 동작들의 순서는 재배열될 수도 있다. 프로세스는 프로세스의 동작들이 완료되는 경우 종료된다. 일부 양태들에서, 프로세스는 방법, 기능, 절차, 서브루틴, 서브프로그램 등에 대응할 수도 있다. 프로세스가 기능에 대응하면, 그 종료는 호출 기능 또는 메인 기능으로의 그 기능의 리턴에 대응한다. 본원에 설명된 다양한 방법들은 머신 판독가능, 컴퓨터 판독가능, 및/또는 프로세서 판독가능 저장 매체에 저장되고, 하나 이상의 프로세서들, 머신들, 및/또는 디바이스들에 의해 실행가능한 프로그래밍 (예를 들어, 명령들 및/또는 데이터) 에 의해 부분적으로 또는 전체적으로 구현될 수도 있다.
당업자는, 본원에서 개시된 구현들과 연관되어 설명된 다양한 예시적인 논리 블록들, 모듈들, 회로들, 및 알고리즘 단계들이 하드웨어, 소프트웨어, 펌웨어, 미들웨어, 마이크로코드 또는 이들의 임의의 조합으로서 구현될 수도 있음을 또한 알 수 있을 것이다. 이 상호교환성을 명확하게 설명하기 위해, 다양한 예시적인 컴포넌트들, 블록들, 모듈들, 회로들, 및 단계들이 그들의 기능성에 대해 일반적으로 전술되었다. 그러한 기능이 하드웨어 또는 소프트웨어로 구현되는지 여부는 특정 애플리케이션 및 전체 시스템에 부과되는 설계 제약들에 따라 달라진다.
본 개시물 내에서, 단어 "예시적인"은 본원에서 "예, 경우, 또는 예시로서 역할을 하는" 것을 의미하도록 사용된다. 본원에서 "예시적인"으로서 설명된 임의의 구현은 반드시 본 개시물의 다른 양태들에 비해 바람직하거나 또는 유리한 것으로서 해석될 필요는 없다. 마찬가지로, 용어 "양태들" 은 본 개시물의 모든 양태들이 논의된 특성, 이점, 또는 동작의 모드를 포함하는 것을 요구하지 않는다. 용어 "커플링된" 은 2 개의 객체들 간의 직접적인 또는 간접적인 커플링을 지칭하도록 본원에서 사용된다. 예를 들어, 객체 A 가 객체 B 를 물리적으로 접촉하고 객체 B 가 객체 C 를 접촉하면 객체 A 와 C 는 서로 물리적으로 직접 접촉하지 않더라도 서로 커플링된 것으로 고려될 수도 있다. 예를 들어, 제 1 다이가 제 2 다이와 절대 직접적으로 물리적으로 접촉하지 않는 경우에도 제 1 다이는 패키지에서 제 2 다이에 커플링될 수도 있다. 용어들 "회로" 및 "회로부" 는 광범위하게 사용되며, 프로세서에 의해 실행될 때, 본 개시물에 설명된 기능들의 수행을 가능하게 하는 정보 및 명령들의 소프트웨어 구현들 뿐만 아니라, 전자 회로들의 유형에 관한 제한 없이, 접속되고 구성될 때, 본 개시물에 설명된 기능들의 수행을 가능하게 하는 전기 디바이스들 및 도체들의 하드웨어 구현들 양자 모두를 포함하도록 의도된다.
본원에 사용된 바와 같이, 용어 "결정하는" 은 광범위한 액션들을 포함한다. 예를 들어, "결정하는" 은 산출하는, 계산하는, 프로세싱하는, 도출하는, 조사하는, 검색하는 (예를 들어, 테이블, 데이터베이스, 또는 다른 데이터 구조에서 검색하는), 확인하는 등을 포함할 수도 있다. 또한, "결정하는" 은 수신하는 (예를 들어, 정보를 수신하는), 액세스하는 (예를 들어, 메모리 내의 데이터에 액세스하는) 등을 포함할 수도 있다. 또한, "결정하는" 은 해결하는, 선택하는, 고르는, 확립하는 등을 포함할 수 있다. 본원에 사용된 바와 같이, 용어 "획득하는" 은 수신하는, 생성하는, 결정하는, 또는 이들의 임의의 조합을 포함하지만 이에 제한되지 않는 하나 이상의 액션들을 포함할 수도 있다.
이전 설명은 당업자가 본원에 설명된 다양한 양태들을 실시할 수 있도록 제공된다. 이들 양태들에 대한 다양한 변형들은 당업자들에게 자명할 것이고, 본원에 정의된 일반적인 원리들은 다른 양태들에 적용될 수도 있다. 따라서, 청구항들은 본원에 도시된 양태들에 제한되도록 의도되지 않고, 청구항들의 언어와 일치되는 전체 범위를 따르도록 의도되며, 여기서 단수의 엘리먼트에 대한 참조는 달리 구체적으로 명시되지 않는 한 "하나 그리고 단지 하나" 를 의미하도록 의도하지 않고, 오히려 "하나 이상" 을 의미하고자 한다. 달리 구체적으로 명시되지 않는 한, 용어 "일부 (some)" 는 하나 이상을 지칭한다. 아이템들의 리스트 중 "그 중 적어도 하나" 를 지칭하는 구절은 단일 부재를 포함하여, 이들 아이템들의 임의의 조합을 지칭한다. 예로서, "a, b, 또는 c: 중 적어도 하나" 는 a; b; c; a 및 b; a 및 c; b 및 c; 및 a, b 및 c 를 포함시키고자 한다. 당업자에게 알려져 있거나 이후에 알려질 본 개시물 전체에 설명된 다양한 양태들의 엘리먼트들에 대한 구조적 및 기능적 등가물들 모두는 청구항들에 의해 포함되도록 의도되고 참조에 의해 본원에 명백하게 포함된다. 더욱이, 본원에 개시된 그 어느 것도 이러한 개시물이 청구항들에 명백하게 인용되는지 여부에 관계없이 대중에게 전용되도록 의도되지 않는다. 엘리먼트가 단락 "~하기 위한 수단" 을 사용하여 명백하게 언급되지 않으면, 또는 방법 청구항의 경우에서 엘리먼트가 단락 "~하는 단계" 를 사용하여 언급되지 않으면, 어떤 청구항 엘리먼트도 35 U.S.C.§112, 여섯 번째 단락의 조항 하에서 해석되지 않는다.
따라서, 본원에서 설명되고 첨부한 도면들에서 도시된 예들과 연관된 다양한 특성들은 본 개시물의 범위를 벗어나지 않고 상이한 예들 및 구현들로 구현될 수 있다. 따라서, 소정의 특정 구조들 및 배열들이 첨부 도면들에서 설명되고 도시되었으나, 설명된 구현들에 대한 다양한 다른 추가들과 수정들, 및 그로부터의 삭제들이 당업자들에게 자명할 것이기 때문에, 이러한 구현들은 단지 예시일 뿐이고 본 개시물의 범위를 제한하지 않는다. 따라서, 본 개시물의 범위는 단지 다음의 청구항들의 문자 언어 및 법률적 등가물들에 의해서만 결정된다.

Claims (48)

  1. 네트워크에서의 클라이언트 디바이스에 대한 방법으로서,
    상기 네트워크에 등록하는 단계;
    적어도, 제 1 네트워크 노드에서 구현된 사용자 평면 네트워크 기능부와 공유된 사용자 평면 키 또는 제 2 네트워크 노드에서 구현된 제어 평면 네트워크 기능부와 공유된 제어 평면 키를 획득하는 단계;
    상기 사용자 평면 키로 데이터 패킷을 또는 상기 제어 평면 키로 제어 패킷을 보호하는 단계로서, 상기 데이터 패킷은 상기 데이터 패킷이 상기 제 1 네트워크 노드에서 프로세싱된다는 것을 나타내는 제 1 목적지 정보를 포함하고, 상기 제 1 목적지 정보는 네트워크 액세스 노드가 상기 데이터 패킷을 상기 제 1 네트워크 노드로 포워딩하게 하며, 상기 제어 패킷은 상기 제어 패킷이 상기 제 2 네트워크 노드에서 프로세싱된다는 것을 나타내는 제 2 목적지 정보를 포함하고, 상기 제 2 목적지 정보는 상기 네트워크 액세스 노드가 상기 제어 패킷을 상기 제 2 네트워크 노드로 포워딩하게 하는, 상기 사용자 평면 키로 데이터 패킷을 또는 상기 제어 평면 키로 제어 패킷을 보호하는 단계; 및
    상기 데이터 패킷 또는 상기 제어 패킷을 송신하는 단계를 포함하는, 네트워크에서의 클라이언트 디바이스에 대한 방법.
  2. 제 1 항에 있어서,
    상기 네트워크로부터 패킷을 수신하는 단계;
    수신된 상기 패킷이 데이터 또는 제어 정보를 포함하는지 여부를 결정하는 단계; 및
    상기 결정에 기초하여 상기 사용자 평면 키 또는 상기 제어 평면 키로 상기 수신된 패킷을 디코딩하는 단계를 더 포함하는, 네트워크에서의 클라이언트 디바이스에 대한 방법.
  3. 제 2 항에 있어서,
    상기 수신된 패킷을 디코딩하는 단계는,
    상기 사용자 평면 키 또는 상기 제어 평면 키로 상기 수신된 패킷을 해독 (decrypt) 및 확인하는 단계를 포함하는, 네트워크에서의 클라이언트 디바이스에 대한 방법.
  4. 제 3 항에 있어서,
    상기 수신된 패킷을 확인하는 단계는,
    상기 수신된 패킷 및 상기 사용자 평면 키나 상기 제어 평면 키에 기초하여 메시지 인증 코드 생성 알고리즘을 적용함으로써 제 1 메시지 인증 코드를 결정하는 단계; 및
    상기 제 1 메시지 인증 코드를 상기 수신된 패킷과 연관된 제 2 메시지 인증 코드와 비교하는 단계를 포함하는, 네트워크에서의 클라이언트 디바이스에 대한 방법.
  5. 제 1 항에 있어서,
    사용자 평면에 대하여 상기 클라이언트 디바이스에 대한 네트워크 상태 정보를 나타내는 사용자 평면 보안 콘텍스트, 또는 제어 평면에 대하여 상기 클라이언트 디바이스에 대한 네트워크 상태 정보를 나타내는 제어 평면 보안 콘텍스트 중 적어도 하나를 획득하는 단계를 더 포함하는, 네트워크에서의 클라이언트 디바이스에 대한 방법.
  6. 제 5 항에 있어서,
    상기 사용자 평면 보안 콘텍스트를 획득하는 단계는 상기 사용자 평면 키에 기초하여 제 1 암호화 키 및 제 1 무결성 키를 도출하는 단계를 포함하고,
    상기 제어 평면 보안 콘텍스트를 획득하는 단계는 상기 제어 평면 키에 기초하여 제 2 암호화 키 및 제 2 무결성 키를 도출하는 단계를 포함하는, 네트워크에서의 클라이언트 디바이스에 대한 방법.
  7. 제 5 항에 있어서,
    상기 사용자 평면 보안 콘텍스트 또는 상기 제어 평면 보안 콘텍스트는 액세스 층 보안 보호를 포함하지 않는, 네트워크에서의 클라이언트 디바이스에 대한 방법.
  8. 제 2 항에 있어서,
    사용자 평면 네트워크 기능부 식별자 또는 제어 평면 네트워크 기능부 식별자는 상기 수신된 패킷의 헤더에 포함되고, 상기 클라이언트 디바이스는 감소된 데이터 트랜스퍼 모드에서 등록되는, 네트워크에서의 클라이언트 디바이스에 대한 방법.
  9. 제 1 항에 있어서,
    상기 데이터 패킷은 상기 사용자 평면 키에 기초하여, 암호화되거나 또는 무결성 보호되거나, 또는 암호화 및 무결성 보호 모두 되고,
    상기 제어 패킷은 상기 제어 평면 키에 기초하여, 암호화되거나 또는 무결성 보호되거나, 또는 암호화 및 무결성 보호 모두 되는, 네트워크에서의 클라이언트 디바이스에 대한 방법.
  10. 제 1 항에 있어서,
    상기 네트워크에 등록하는 단계는,
    어태치하기 위한 요청을 상기 네트워크로 송신하는 단계; 및
    상기 요청에 응답하여 인증 절차와 연관된 메시지를 상기 네트워크로부터 수신하는 단계를 포함하고,
    상기 사용자 평면 키 또는 상기 제어 평면 키는 상기 메시지에 기초하여 획득되고, 어태치 요청은 상기 클라이언트 디바이스가 감소된 데이터 트랜스퍼 모드에서 어태치한다는 것을 나타내는, 네트워크에서의 클라이언트 디바이스에 대한 방법.
  11. 클라이언트 디바이스로서,
    하나 이상의 네트워크 엔티티들과 통신하도록 구성된 통신 회로; 및
    상기 통신 회로에 커플링된 프로세싱 회로를 포함하고,
    상기 프로세싱 회로는,
    상기 네트워크에 등록하고;
    적어도, 제 1 네트워크 노드에서 구현된 사용자 평면 네트워크 기능부와 공유된 사용자 평면 키 또는 제 2 네트워크 노드에서 구현된 제어 평면 네트워크 기능부와 공유된 제어 평면 키를 획득하고;
    상기 사용자 평면 키로 데이터 패킷을 또는 상기 제어 평면 키로 제어 패킷을 보호하는 것으로서, 상기 데이터 패킷은 상기 데이터 패킷이 상기 제 1 네트워크 노드에서 프로세싱된다는 것을 나타내는 제 1 목적지 정보를 포함하고, 상기 제 1 목적지 정보는 네트워크 액세스 노드가 상기 데이터 패킷을 상기 제 1 네트워크 노드로 포워딩하게 하며, 상기 제어 패킷은 상기 제어 패킷이 상기 제 2 네트워크 노드에서 프로세싱된다는 것을 나타내는 제 2 목적지 정보를 포함하고, 상기 제 2 목적지 정보는 상기 네트워크 액세스 노드가 상기 제어 패킷을 상기 제 2 네트워크 노드로 포워딩하게 하는, 상기 사용자 평면 키로 데이터 패킷을 또는 상기 제어 평면 키로 제어 패킷을 보호하며;
    상기 데이터 패킷 또는 상기 제어 패킷을 송신하도록
    구성되는, 클라이언트 디바이스.
  12. 제 11 항에 있어서,
    상기 프로세싱 회로는 또한,
    상기 네트워크로부터 패킷을 수신하고;
    수신된 상기 패킷이 데이터 또는 제어 정보를 포함하는지 여부를 결정하며;
    상기 결정에 기초하여 상기 사용자 평면 키 또는 상기 제어 평면 키로 상기 수신된 패킷을 디코딩하도록 구성되는, 클라이언트 디바이스.
  13. 제 12 항에 있어서,
    상기 수신된 패킷을 디코딩하도록 구성된 상기 프로세싱 회로는 또한,
    상기 사용자 평면 키 또는 상기 제어 평면 키로 상기 수신된 패킷을 해독 및 확인하도록 구성되는, 클라이언트 디바이스.
  14. 제 13 항에 있어서,
    상기 수신된 패킷을 확인하도록 구성된 상기 프로세싱 회로는 또한,
    상기 수신된 패킷 및 상기 사용자 평면 키나 상기 제어 평면 키에 기초하여 메시지 인증 코드 생성 알고리즘을 적용함으로써 제 1 메시지 인증 코드를 결정하며;
    상기 제 1 메시지 인증 코드를 상기 수신된 패킷과 연관된 제 2 메시지 인증 코드와 비교하도록 구성되는, 클라이언트 디바이스.
  15. 제 11 항에 있어서,
    상기 프로세싱 회로는 또한,
    사용자 평면에 대하여 상기 클라이언트 디바이스에 대한 네트워크 상태 정보를 나타내는 사용자 평면 보안 콘텍스트, 또는 제어 평면에 대하여 상기 클라이언트 디바이스에 대한 네트워크 상태 정보를 나타내는 제어 평면 보안 콘텍스트 중 적어도 하나를 획득하도록 구성되는, 클라이언트 디바이스.
  16. 네트워크 액세스 노드에 대한 방법으로서,
    클라이언트 디바이스로부터 제 1 패킷을 수신하는 단계;
    상기 클라이언트 디바이스의 네트워크 어태치 모드에 기초하여 다음 홉 네트워크 노드를 결정하는 단계; 및
    상기 네트워크 어태치 모드가 감소된 데이터 트랜스퍼 모드인 경우 상기 클라이언트 디바이스로부터 수신된 상기 제 1 패킷을 확인하지 않고 상기 다음 홉 네트워크 노드로 상기 제 1 패킷을 포워딩하는 단계를 포함하는, 네트워크 액세스 노드에 대한 방법.
  17. 제 16 항에 있어서,
    네트워크 노드로부터 제 2 패킷을 수신하는 단계; 및
    상기 클라이언트 디바이스의 상기 네트워크 어태치 모드가 상기 감소된 데이터 트랜스퍼 모드인 경우 상기 제 2 패킷을 보호하지 않고 상기 네트워크 노드로부터 수신된 상기 제 2 패킷을 상기 클라이언트 디바이스로 포워딩하는 단계를 더 포함하는, 네트워크 액세스 노드에 대한 방법.
  18. 제 16 항에 있어서,
    상기 클라이언트 디바이스로부터, 상기 네트워크 어태치 모드의 표시로 네트워크에 어태치하기 위한 요청을 수신하는 단계를 더 포함하고,
    상기 네트워크 어태치 모드는 상기 감소된 데이터 트랜스퍼 모드인, 네트워크 액세스 노드에 대한 방법.
  19. 제 16 항에 있어서,
    상기 다음 홉 네트워크 노드의 결정은 상기 네트워크 액세스 노드에서 미리구성된 정보에 기초하거나 또는 상기 제 1 패킷에 포함된 목적지 정보에 기초하고,
    상기 네트워크 어태치 모드는 상기 감소된 데이터 트랜스퍼 모드인, 네트워크 액세스 노드에 대한 방법.
  20. 제 19 항에 있어서,
    상기 목적지 정보는 네트워크 기능부를 구현하는 네트워크 노드의 식별을 가능하게 하는 네트워크 기능부 식별자를 포함하는, 네트워크 액세스 노드에 대한 방법.
  21. 제 20 항에 있어서,
    상기 네트워크 기능부 식별자는 제 1 네트워크 노드에서 구현된 제어 평면 네트워크 기능부 또는 제 2 네트워크 노드에서 구현된 사용자 평면 네트워크 기능부와 연관되는, 네트워크 액세스 노드에 대한 방법.
  22. 제 16 항에 있어서,
    상기 제 1 패킷에, 상기 클라이언트 디바이스와 연관된 임시 식별자를 추가하는 단계로서, 상기 제 1 패킷은 데이터 패킷 또는 제어 패킷인, 상기 임시 식별자를 추가하는 단계; 및
    상기 임시 식별자를 저장하는 단계를 더 포함하는, 네트워크 액세스 노드에 대한 방법.
  23. 제 22 항에 있어서,
    상기 임시 식별자는 셀 무선 네트워크 임시 식별자 (C-RNTI) 이고, 상기 임시 식별자는 미리결정된 기간 동안 저장되는, 네트워크 액세스 노드에 대한 방법.
  24. 제 17 항에 있어서,
    상기 제 2 패킷에서의 임시 식별자로부터 상기 클라이언트 디바이스를 식별하는 단계를 더 포함하고,
    상기 제 2 패킷은 데이터 패킷 또는 제어 패킷인, 네트워크 액세스 노드에 대한 방법.
  25. 제 24 항에 있어서,
    상기 제 2 패킷을 포워딩하기 전에 상기 제 2 패킷으로부터 상기 임시 식별자를 제거하는 단계를 더 포함하는, 네트워크 액세스 노드에 대한 방법.
  26. 네트워크 액세스 노드로서,
    하나 이상의 네트워크 엔티티들과 통신하도록 구성된 통신 회로; 및
    상기 통신 회로에 커플링된 프로세싱 회로를 포함하고,
    상기 프로세싱 회로는,
    클라이언트 디바이스로부터 제 1 패킷을 수신하고;
    상기 클라이언트 디바이스의 네트워크 어태치 모드에 기초하여 다음 홉 네트워크 노드를 결정하며;
    상기 네트워크 어태치 모드가 감소된 데이터 트랜스퍼 모드인 경우 상기 클라이언트 디바이스로부터 수신된 상기 제 1 패킷을 확인하지 않고 상기 다음 홉 네트워크 노드로 상기 제 1 패킷을 포워딩하도록 구성되는, 네트워크 액세스 노드.
  27. 제 26 항에 있어서,
    상기 프로세싱 회로는 또한,
    네트워크 노드로부터 제 2 패킷을 수신하며;
    상기 클라이언트 디바이스의 상기 네트워크 어태치 모드가 상기 감소된 데이터 트랜스퍼 모드인 경우 상기 제 2 패킷을 보호하지 않고 상기 네트워크 노드로부터 수신된 상기 제 2 패킷을 상기 클라이언트 디바이스로 포워딩하도록 구성되는, 네트워크 액세스 노드.
  28. 제 26 항에 있어서,
    상기 프로세싱 회로는 또한,
    상기 클라이언트 디바이스로부터, 상기 네트워크 어태치 모드의 표시로 네트워크에 어태치하기 위한 요청을 수신하도록 구성되고,
    상기 네트워크 어태치 모드는 상기 감소된 데이터 트랜스퍼 모드인, 네트워크 액세스 노드.
  29. 제 26 항에 있어서,
    상기 프로세싱 회로는 또한,
    상기 제 1 패킷에, 상기 클라이언트 디바이스와 연관된 임시 식별자를 추가하는 것으로서, 상기 제 1 패킷은 데이터 패킷 또는 제어 패킷인, 상기 임시 식별자를 추가하며;
    상기 임시 식별자를 저장하도록 구성되는, 네트워크 액세스 노드.
  30. 제 27 항에 있어서,
    상기 프로세싱 회로는 또한,
    상기 제 2 패킷에서의 임시 식별자로부터 상기 클라이언트 디바이스를 식별하도록 구성되고,
    제 2 데이터 패킷은 데이터 패킷 또는 제어 패킷인, 네트워크 액세스 노드.
  31. 제 1 네트워크 노드에 대한 방법으로서,
    상기 제 1 네트워크 노드에서 구현된 제어 평면 네트워크 기능부에서, 클라이언트 디바이스에 대한 보안 콘텍스트를 확립하는 단계;
    상기 제 1 네트워크 노드에서 구현된 상기 제어 평면 네트워크 기능부에서, 제 2 네트워크 노드에서 구현된 사용자 평면 네트워크 기능부에 대한 사용자 평면 키를 획득하는 단계; 및
    상기 제 1 네트워크 노드에서 구현된 상기 제어 평면 네트워크 기능부로부터, 상기 사용자 평면 키를 상기 제 2 네트워크 노드에서 구현된 상기 사용자 평면 네트워크 기능부로 트랜스퍼하는 단계를 포함하는, 제 1 네트워크 노드에 대한 방법.
  32. 제 31 항에 있어서,
    상기 클라이언트 디바이스에 대한 보안 콘텍스트를 확립하는 단계는 상기 클라이언트 디바이스와 상호 인증 절차를 수행하는 단계를 포함하는, 제 1 네트워크 노드에 대한 방법.
  33. 제 32 항에 있어서,
    상기 사용자 평면 키를 획득하는 단계는 상기 상호 인증 절차 동안 확립된 세션 크리덴셜로부터 상기 사용자 평면 키를 도출하는 단계를 포함하는, 제 1 네트워크 노드에 대한 방법.
  34. 제 31 항에 있어서,
    상기 제 1 네트워크 노드에서 구현된 상기 제어 평면 네트워크 기능부에서, 상기 제어 평면 네트워크 기능부에 대한 제어 평면 키를 획득하는 단계를 더 포함하는, 제 1 네트워크 노드에 대한 방법.
  35. 제 1 네트워크 노드로서,
    하나 이상의 네트워크 엔티티들과 통신하도록 구성된 통신 회로; 및
    상기 통신 회로에 커플링된 프로세싱 회로를 포함하고,
    상기 프로세싱 회로는,
    상기 제 1 네트워크 노드에서 구현된 제어 평면 네트워크 기능부에서, 클라이언트 디바이스에 대한 보안 콘텍스트를 확립하고;
    상기 제 1 네트워크 노드에서 구현된 상기 제어 평면 네트워크 기능부에서, 제 2 네트워크 노드에서 구현된 사용자 평면 네트워크 기능부에 대한 사용자 평면 키를 획득하며;
    상기 제 1 네트워크 노드에서 구현된 상기 제어 평면 네트워크 기능부로부터, 상기 사용자 평면 키를 상기 제 2 네트워크 노드에서 구현된 상기 사용자 평면 네트워크 기능부로 트랜스퍼하도록 구성되는, 제 1 네트워크 노드.
  36. 제 35 항에 있어서,
    상기 클라이언트 디바이스에 대한 보안 콘텍스트를 확립하도록 구성된 상기 프로세싱 회로는 또한,
    상기 클라이언트 디바이스와 상호 인증 절차를 수행하도록 구성되는, 제 1 네트워크 노드.
  37. 제 36 항에 있어서,
    상기 사용자 평면 키를 획득하도록 구성된 상기 프로세싱 회로는 또한,
    상기 상호 인증 절차 동안 확립된 세션 크리덴셜로부터 상기 사용자 평면 키를 도출하도록 구성되는, 제 1 네트워크 노드.
  38. 제 35 항에 있어서,
    상기 프로세싱 회로는 또한,
    상기 네트워크 노드의 상기 제어 평면 네트워크 기능부에서, 상기 제어 평면 네트워크 기능부에 대한 제어 평면 키를 획득하도록 구성되는, 제 1 네트워크 노드.
  39. 네트워크 노드에 대한 방법으로서,
    상기 네트워크 노드에서 구현된 사용자 평면 네트워크 기능부에서, 클라이언트 디바이스에 대한 보안 콘텍스트를 획득하는 단계;
    상기 네트워크 노드에서 구현된 상기 사용자 평면 네트워크 기능부에서, 상기 클라이언트 디바이스로부터 데이터 패킷의 적어도 해독 또는 확인을 위해 사용될 키를 결정하는 단계;
    상기 네트워크 노드에서 구현된 상기 사용자 평면 네트워크 기능부에서, 상기 클라이언트 디바이스로부터 상기 데이터 패킷을 수신하는 단계; 및
    상기 네트워크 노드에서 구현된 상기 사용자 평면 네트워크 기능부에서, 상기 키에 기초하여 상기 클라이언트 디바이스로부터의 상기 데이터 패킷을 해독 또는 확인하는 단계를 포함하는, 네트워크 노드에 대한 방법.
  40. 제 39 항에 있어서,
    상기 보안 콘텍스트를 획득하는 단계는 상기 네트워크 노드의 제어 평면 네트워크 기능부로부터 상기 보안 콘텍스트를 수신하는 단계를 포함하는, 네트워크 노드에 대한 방법.
  41. 제 39 항에 있어서,
    상기 네트워크 노드에서 구현된 상기 사용자 평면 네트워크 기능부에서, 애플리케이션 서버 또는 게이트웨이로부터 상기 클라이언트 디바이스에 대한 데이터 패킷을 수신하는 단계;
    상기 네트워크 노드에서 구현된 상기 사용자 평면 네트워크 기능부에서, 상기 클라이언트 디바이스와 연관된 적어도 하나의 키를 결정하는 단계; 및
    상기 네트워크 노드에서 구현된 상기 사용자 평면 네트워크 기능부에서, 상기 적어도 하나의 키를 사용하여 상기 클라이언트 디바이스에 대한 상기 데이터 패킷을 보호하는 단계를 더 포함하는, 네트워크 노드에 대한 방법.
  42. 제 41 항에 있어서,
    상기 네트워크 노드에서 구현된 상기 사용자 평면 네트워크 기능부로부터, 상기 클라이언트 디바이스에 대한 상기 데이터 패킷을 다음 홉 네트워크 노드로 송신하는 단계를 더 포함하는, 네트워크 노드에 대한 방법.
  43. 제 41 항에 있어서,
    상기 클라이언트 디바이스에 대한 상기 데이터 패킷을 보호하는 단계는, 상기 클라이언트 디바이스에 대해, 상기 데이터 패킷을 암호화하거나 또는 무결성 보호하거나, 또는 상기 데이터 패킷을 암호화 및 무결성 보호 모두 하는 단계를 포함하는, 네트워크 노드에 대한 방법.
  44. 네트워크 노드로서,
    하나 이상의 네트워크 엔티티들과 통신하도록 구성된 통신 회로; 및
    상기 통신 회로에 커플링된 프로세싱 회로를 포함하고,
    상기 프로세싱 회로는,
    상기 네트워크 노드에서 구현된 사용자 평면 네트워크 기능부에서, 클라이언트 디바이스에 대한 보안 콘텍스트를 획득하고;
    상기 네트워크 노드에서 구현된 상기 사용자 평면 네트워크 기능부에서, 상기 클라이언트 디바이스로부터 데이터 패킷의 적어도 해독 또는 확인을 위해 사용될 키를 결정하고;
    상기 네트워크 노드에서 구현된 상기 사용자 평면 네트워크 기능부에서, 상기 클라이언트 디바이스로부터 상기 데이터 패킷을 수신하며;
    상기 네트워크 노드의 상기 사용자 평면 네트워크 기능부에서, 상기 키에 기초하여 상기 클라이언트 디바이스로부터의 상기 데이터 패킷을 해독 또는 확인하도록 구성되는, 네트워크 노드.
  45. 제 44 항에 있어서,
    상기 보안 콘텍스트를 획득하도록 구성된 상기 프로세싱 회로는 또한,
    상기 네트워크 노드에서 구현된 제어 평면 네트워크 기능부로부터 상기 보안 콘텍스트를 수신하도록 구성되는, 네트워크 노드.
  46. 제 44 항에 있어서,
    상기 프로세싱 회로는 또한,
    상기 네트워크 노드에서 구현된 상기 사용자 평면 네트워크 기능부에서, 애플리케이션 서버 또는 게이트웨이로부터 상기 클라이언트 디바이스에 대한 데이터 패킷을 수신하고;
    상기 네트워크 노드에서 구현된 상기 사용자 평면 네트워크 기능부에서, 상기 클라이언트 디바이스와 연관된 적어도 하나의 키를 결정하며;
    상기 네트워크 노드에서 구현된 상기 사용자 평면 네트워크 기능부에서, 상기 적어도 하나의 키를 사용하여 상기 클라이언트 디바이스에 대한 상기 데이터 패킷을 보호하도록 구성되는, 네트워크 노드.
  47. 제 46 항에 있어서,
    상기 프로세싱 회로는 또한,
    상기 네트워크 노드에서 구현된 상기 사용자 평면 네트워크 기능부로부터, 상기 클라이언트 디바이스에 대한 상기 데이터 패킷을 다음 홉 네트워크 노드로 송신하도록 구성되는, 네트워크 노드.
  48. 제 46 항에 있어서,
    상기 클라이언트 디바이스에 대한 상기 데이터 패킷을 보호하도록 구성된 상기 프로세싱 회로는 또한,
    상기 클라이언트 디바이스에 대한 상기 데이터 패킷을 암호화하거나 또는 무결성 보호하거나, 또는 암호화 및 무결성 보호 모두 하도록 구성되는, 네트워크 노드.
KR1020187000632A 2015-07-12 2016-06-10 셀룰러 사물 인터넷에 대한 네트워크 보안 아키텍처 KR102447299B1 (ko)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201562191459P 2015-07-12 2015-07-12
US62/191,459 2015-07-12
US15/160,326 2016-05-20
US15/160,326 US10362011B2 (en) 2015-07-12 2016-05-20 Network security architecture
PCT/US2016/037068 WO2017011114A1 (en) 2015-07-12 2016-06-10 Network security architecture for cellular internet of things

Publications (2)

Publication Number Publication Date
KR20180030023A KR20180030023A (ko) 2018-03-21
KR102447299B1 true KR102447299B1 (ko) 2022-09-23

Family

ID=57731536

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020187000632A KR102447299B1 (ko) 2015-07-12 2016-06-10 셀룰러 사물 인터넷에 대한 네트워크 보안 아키텍처

Country Status (8)

Country Link
US (4) US10362011B2 (ko)
EP (2) EP3905744A1 (ko)
JP (2) JP6882255B2 (ko)
KR (1) KR102447299B1 (ko)
CN (2) CN113329006B (ko)
BR (1) BR112018000644A2 (ko)
TW (1) TWI708513B (ko)
WO (1) WO2017011114A1 (ko)

Families Citing this family (40)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10505850B2 (en) 2015-02-24 2019-12-10 Qualcomm Incorporated Efficient policy enforcement using network tokens for services—user-plane approach
US10362011B2 (en) 2015-07-12 2019-07-23 Qualcomm Incorporated Network security architecture
TWI562661B (en) * 2015-08-27 2016-12-11 Ind Tech Res Inst Cell and method and system for bandwidth management of backhaul network of cell
CN106961722B (zh) * 2016-01-12 2018-09-11 展讯通信(上海)有限公司 数据的传输方法及基站
CN107666667B (zh) * 2016-07-29 2019-09-17 电信科学技术研究院 一种数据传输方法、第一设备及第二设备
CN109791590A (zh) * 2016-08-22 2019-05-21 诺基亚技术有限公司 安全性过程
US20180097807A1 (en) * 2016-09-30 2018-04-05 Lg Electronics Inc. Method and apparatus for performing initial access procedure based on authentication in wireless communication system
EP3531619B1 (en) * 2016-11-04 2022-01-19 Huawei Technologies Co., Ltd. Method, device and system for function scheduling
CN108347416B (zh) 2017-01-24 2021-06-29 华为技术有限公司 一种安全保护协商方法及网元
US11316678B2 (en) * 2017-01-27 2022-04-26 Samsung Electronics Co., Ltd. Method for providing end-to-end security over signaling plane in mission critical data communication system
RU2744323C2 (ru) 2017-01-30 2021-03-05 Телефонактиеболагет Лм Эрикссон (Пабл) Способы для защиты целостности данных пользовательской плоскости
EP3596953B1 (en) 2017-03-17 2023-05-31 Telefonaktiebolaget LM Ericsson (Publ) Security solution for switching on and off security for up data between ue and ran in 5g
DE102017208735A1 (de) * 2017-05-23 2018-11-29 Siemens Aktiengesellschaft Verfahren und Vorrichtung zum Schutz einer Kommunikation zwischen mindestens einer ersten Kommunikationseinrichtung und wenigstens einer zweiten Kommunikationseinrichtung insbesondere innerhalb eines Kommunikationsnetzwerkes einer industriellen Fertigung und/oder Automatisierung
CN110896683A (zh) * 2017-06-01 2020-03-20 华为国际有限公司 数据保护方法、装置以及系统
US10470042B2 (en) * 2017-07-27 2019-11-05 Nokia Technologies Oy Secure short message service over non-access stratum
US20190089592A1 (en) * 2017-09-20 2019-03-21 Quanta Computer Inc. Role-based automatic configuration system and method for ethernet switches
US11277745B2 (en) 2017-11-08 2022-03-15 Guangdong Oppo Mobile Telecommunications Corp., Ltd. Integrity protection control method, network device and computer storage medium
US10771450B2 (en) * 2018-01-12 2020-09-08 Blackberry Limited Method and system for securely provisioning a remote device
AU2019249939B2 (en) * 2018-04-06 2021-09-30 Telefonaktiebolaget Lm Ericsson (Publ) UE controlled handling of the security policy for user plane protection in 5G systems
CN108833340A (zh) * 2018-04-26 2018-11-16 浙江麦知网络科技有限公司 一种室内网络通信安全保护系统
EP3565191B1 (en) * 2018-04-30 2021-07-07 Hewlett Packard Enterprise Development LP Provisioning and managing internet-of-thing devices over a network
CN113039765B (zh) * 2018-09-21 2023-09-12 诺基亚技术有限公司 用于网络功能之间的安全消息收发的方法和装置
US20210400475A1 (en) * 2018-11-12 2021-12-23 Telefonaktiebolaget Lm Ericsson (Publ) Authentication of a Communications Device
ES2885801T3 (es) 2018-11-14 2021-12-15 Ericsson Telefon Ab L M Detección de reinicio de consumidor de servicios de NF utilizando señalización directa entre NF
EP3788773B1 (en) 2019-04-08 2021-06-23 Telefonaktiebolaget Lm Ericsson (Publ) Systems and methods for handling telescopic fqdns
US11533613B2 (en) 2019-08-16 2022-12-20 Qualcomm Incorporated Providing secure communications between computing devices
KR102119257B1 (ko) * 2019-09-24 2020-06-26 프라이빗테크놀로지 주식회사 터널에 기반하여 단말의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
WO2021060855A1 (ko) * 2019-09-24 2021-04-01 프라이빗테크놀로지 주식회사 제어 데이터 패킷을 보호하기 위한 시스템 및 그에 관한 방법
US11381557B2 (en) 2019-09-24 2022-07-05 Pribit Technology, Inc. Secure data transmission using a controlled node flow
US11082256B2 (en) 2019-09-24 2021-08-03 Pribit Technology, Inc. System for controlling network access of terminal based on tunnel and method thereof
US20220255906A1 (en) * 2019-09-24 2022-08-11 Pribit Technology, Inc. System For Protecting Control Data Packet And Method Pertaining To Same
US11271777B2 (en) 2019-09-24 2022-03-08 Pribit Technology, Inc. System for controlling network access of terminal based on tunnel and method thereof
US11652801B2 (en) 2019-09-24 2023-05-16 Pribit Technology, Inc. Network access control system and method therefor
US11190494B2 (en) 2019-09-24 2021-11-30 Pribit Technology, Inc. Application whitelist using a controlled node flow
TWI754950B (zh) * 2020-06-02 2022-02-11 鴻海精密工業股份有限公司 物聯網設備、伺服器及軟體更新方法
CN112188447B (zh) * 2020-08-26 2021-09-14 江苏龙睿物联网科技有限公司 一种物联网移动基站通信保护系统及保护方法
US20220353263A1 (en) * 2021-04-28 2022-11-03 Verizon Patent And Licensing Inc. Systems and methods for securing network function subscribe notification process
US11902260B2 (en) * 2021-08-02 2024-02-13 Cisco Technology, Inc. Securing control/user plane traffic
US11570180B1 (en) * 2021-12-23 2023-01-31 Eque Corporation Systems configured for validation with a dynamic cryptographic code and methods thereof
US11928039B1 (en) * 2022-11-01 2024-03-12 Micron Technologies, Inc. Data-transfer test mode

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013006219A1 (en) 2011-07-01 2013-01-10 Intel Corporation Small data communications in a wireless communication network

Family Cites Families (34)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002096151A1 (en) 2001-05-22 2002-11-28 Flarion Technologies, Inc. Authentication system for mobile entities
WO2007108651A1 (en) * 2006-03-22 2007-09-27 Lg Electronics Inc. Security considerations for the lte of umts
US20080181411A1 (en) 2007-01-26 2008-07-31 Karl Norrman Method and system for protecting signaling information
US8855138B2 (en) * 2008-08-25 2014-10-07 Qualcomm Incorporated Relay architecture framework
WO2010124474A1 (zh) 2009-04-30 2010-11-04 华为技术有限公司 空口链路安全机制建立的方法、设备
CN102036256B (zh) * 2009-09-28 2013-03-20 华为技术有限公司 数据传输方法、装置及系统
US8477724B2 (en) 2010-01-11 2013-07-02 Research In Motion Limited System and method for enabling session context continuity of local service availability in local cellular coverage
US9021072B2 (en) * 2010-01-28 2015-04-28 Verizon Patent And Licensing Inc. Localized media offload
GB201008633D0 (en) * 2010-05-24 2010-07-07 Gigle Networks Iberia Sl Communications apparatus
KR20130089662A (ko) 2010-11-15 2013-08-12 인터디지탈 패튼 홀딩스, 인크 인증서 검증 및 채널 바인딩
US20120252481A1 (en) * 2011-04-01 2012-10-04 Cisco Technology, Inc. Machine to machine communication in a communication network
CA2832067C (en) * 2011-04-01 2019-10-01 Interdigital Patent Holdings, Inc. Method and apparatus for controlling connectivity to a network
WO2012175664A2 (en) 2011-06-22 2012-12-27 Nec Europe Ltd. Energy awareness in mobile communication user equipment and networks, including optimizations based on state compression
US20130046821A1 (en) * 2011-08-15 2013-02-21 Renasas Mobile Corporation Advanced Machine-To-Machine Communications
KR101935785B1 (ko) * 2011-08-16 2019-04-03 삼성전자 주식회사 무선통신시스템에서 멀티미디어 방송 서비스를 수신하는 방법 및 장치
CN103002428B (zh) * 2011-09-15 2016-08-03 华为技术有限公司 一种物联网终端网络附着的方法及系统
CN104025475B (zh) * 2011-10-03 2018-04-13 英特尔公司 装置到装置(d2d)通信机制
KR20130037481A (ko) * 2011-10-06 2013-04-16 주식회사 케이티 통신망, 개체 및 트리거링 제어 방법
WO2013065996A1 (ko) * 2011-11-03 2013-05-10 주식회사 케이티 기계 형태 통신 단말의 트리거링을 위한 서버 및 방법
EP2847947B1 (en) * 2012-05-10 2020-12-23 Samsung Electronics Co., Ltd. Method and system for connectionless transmission during uplink and downlink of data packets
EP2693800A1 (en) * 2012-08-03 2014-02-05 Panasonic Corporation Radio Resource Managment for Dual Priority Access
CN103686708B (zh) 2012-09-13 2018-01-19 电信科学技术研究院 一种密钥隔离方法及设备
US20150319620A1 (en) 2012-11-30 2015-11-05 Sharp Kabushiki Kaisha Base station device, terminal device, communication system, transmission method, reception method, communication method and integrated circuit
US9913136B2 (en) 2013-01-11 2018-03-06 Lg Electronics Inc. Method and apparatus for applying security information in wireless communication system
GB201306350D0 (en) 2013-04-08 2013-05-22 Gen Dynamics Broadband Inc Apparatus and methods for key generation
WO2014182339A1 (en) * 2013-05-09 2014-11-13 Intel IP Corporation Small data communications
CN104620660B (zh) * 2013-08-02 2019-04-12 华为技术有限公司 空闲状态随机接入方法及设备
IN2013MU02890A (ko) * 2013-09-05 2015-07-03 Tata Consultancy Services Ltd
US9497673B2 (en) * 2013-11-01 2016-11-15 Blackberry Limited Method and apparatus to enable multiple wireless connections
US10129802B2 (en) * 2013-12-06 2018-11-13 Idac Holdings, Inc. Layered connectivity in wireless systems
CN104540107A (zh) * 2014-12-03 2015-04-22 东莞宇龙通信科技有限公司 Mtc终端群组的管理方法、管理系统和网络侧设备
WO2016162502A1 (en) 2015-04-08 2016-10-13 Telefonaktiebolaget Lm Ericsson (Publ) Method, apparatus, and system for providing encryption or integrity protection in a wireless network
CN117835198A (zh) * 2015-04-22 2024-04-05 交互数字专利控股公司 用于3gpp网络中的小数据使用使能的设备和方法
US10362011B2 (en) 2015-07-12 2019-07-23 Qualcomm Incorporated Network security architecture

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013006219A1 (en) 2011-07-01 2013-01-10 Intel Corporation Small data communications in a wireless communication network

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
XP050727211, ERICSSON et al. "More details on fast path security protocol" (2013. 07. 12.)

Also Published As

Publication number Publication date
CN113329006B (zh) 2023-05-26
TW201703556A (zh) 2017-01-16
BR112018000644A2 (pt) 2018-09-18
CN107736047B (zh) 2021-06-08
US11329969B2 (en) 2022-05-10
JP6882255B2 (ja) 2021-06-02
CN113329006A (zh) 2021-08-31
US20190306141A1 (en) 2019-10-03
US20220263812A1 (en) 2022-08-18
JP7246430B2 (ja) 2023-03-27
EP3320707A1 (en) 2018-05-16
TWI708513B (zh) 2020-10-21
EP3905744A1 (en) 2021-11-03
KR20180030023A (ko) 2018-03-21
WO2017011114A1 (en) 2017-01-19
US20190306140A1 (en) 2019-10-03
JP2018528647A (ja) 2018-09-27
US12010107B2 (en) 2024-06-11
US10362011B2 (en) 2019-07-23
CN107736047A (zh) 2018-02-23
JP2021145342A (ja) 2021-09-24
EP3320707B1 (en) 2021-11-17
US20170012956A1 (en) 2017-01-12

Similar Documents

Publication Publication Date Title
US12010107B2 (en) Network security architecture
US11172357B2 (en) Network architecture and security with encrypted client device contexts
US11716615B2 (en) Network architecture and security with simplified mobility procedure
US10097995B2 (en) Network architecture and security with encrypted network reachability contexts

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right