KR20100139065A - 무선 통신 시스템들에 대한 그룹 키 분배 및 관리를 위한 시스템 및 방법 - Google Patents

무선 통신 시스템들에 대한 그룹 키 분배 및 관리를 위한 시스템 및 방법 Download PDF

Info

Publication number
KR20100139065A
KR20100139065A KR1020107023723A KR20107023723A KR20100139065A KR 20100139065 A KR20100139065 A KR 20100139065A KR 1020107023723 A KR1020107023723 A KR 1020107023723A KR 20107023723 A KR20107023723 A KR 20107023723A KR 20100139065 A KR20100139065 A KR 20100139065A
Authority
KR
South Korea
Prior art keywords
access
access node
group key
active set
access terminal
Prior art date
Application number
KR1020107023723A
Other languages
English (en)
Other versions
KR101237121B1 (ko
Inventor
페라폴 티나코른스리수파프
파티 얼루피나
파라그 아룬 아가시
라빈드라 파트와르드한
라자트 프라카시
비드야 나라야난
Original Assignee
퀄컴 인코포레이티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 퀄컴 인코포레이티드 filed Critical 퀄컴 인코포레이티드
Publication of KR20100139065A publication Critical patent/KR20100139065A/ko
Application granted granted Critical
Publication of KR101237121B1 publication Critical patent/KR101237121B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/16Arrangements for providing special services to substations
    • H04L12/18Arrangements for providing special services to substations for broadcast or conference, e.g. multicast
    • H04L12/189Arrangements for providing special services to substations for broadcast or conference, e.g. multicast in combination with wireless systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/065Network architectures or network communication protocols for network security for supporting key management in a packet data network for group communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • H04L9/0833Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0433Key management protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/08Access point devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

액세스 단말기가 그룹 키를 이용하여 암호화된 브로드캐스트 메시지의 단일의 카피를 전송하는 것을 허용하는 브로드캐스트 메시지 보안을 위한 신규한 그룹 키 분배 및 관리 기법이 제공된다. 액세스 단말기에 대한 액세스 노드들의 활성 세트의 멤버들인 액세스 노드들은 메시지를 암호해독 및 이해할 수도 있다. 액세스 단말기에 의해 그룹 키가 생성되고, 임시 유니캐스트 키들을 사용하여 그 활성 세트 내의 액세스 노드들에 분배되어 분배 동안에 그룹 키를 보안한다. 액세스 단말기에 대한 액세스 노드들의 활성 세트로부터 액세스 노드가 제거될 때마다 새로운 그룹 키가 제공된다.

Description

무선 통신 시스템들에 대한 그룹 키 분배 및 관리를 위한 시스템 및 방법{SYSTEMS AND METHODS FOR GROUP KEY DISTRIBUTION AND MANAGEMENT FOR WIRELESS COMMUNICATIONS SYSTEMS}
배경
분야
다양한 특징들이 무선 통신 시스템들에 관련된다. 적어도 하나의 양태는 브로드캐스트 메시지 보안에 대한 그룹 키 분배 및 관리를 위한 시스템 및 방법에 관련된다.
배경
무선 통신 네트워크들은 통신 디바이스들이 이동 중에 정보를 송신 및/또는 수신할 수 있게 한다. 이들 무선 통신 네트워크들은 다른 공중 또는 개인 네트워크들에 통신가능하게 커플링되어, 이동 액세스 단말기로 및 이동 액세스 단말기로부터의 정보의 전달을 가능하게 할 수도 있다. 통상적으로, 그러한 통신 네트워크들은 액세스 단말기들 (예컨대, 이동 통신 디바이스들, 이동 전화기들, 무선 사용자 단말기들) 에 대한 무선 통신 링크들을 제공하는 복수의 액세스 노드들 (예컨대, 기지국들) 을 포함한다. 액세스 노드들은 (예컨대, 지면에 고정된) 고정형 또는 (예컨대, 위성 등 상에 탑재된) 이동형일 수도 있고, 액세스 단말기가 상이한 커버리지 영역들에 걸쳐 이동하므로 광역의 커버리지를 제공하도록 배치될 수도 있다.
종래 기술의 중앙 집중형 무선 네트워크 시스템들에서, 중앙 집중형 네트워크 제어기는 가입자를 인증하고, 통신들을 확립하며, 제 1 액세스 노드로부터 제 2 액세스 노드로 통신을 핸드오프하기 위한 관리자로서 기능한다. 통상적으로, 네트워크 제어기는 하나 이상의 액세스 단말기들에 서비스를 제공하는 복수의 액세스 노드들을 제어한다. 액세스 노드들 사이에서 핸드오프가 발생하는 경우에, 액세스 단말기는 자신과 통신하는 각각의 액세스 노드와 고유의 보안 키들을 유지한다. 따라서, 각각의 액세스 노드와의 통신들을 보안하기 위해 추가적인 오버-더-에어 (over-the-air) 시그널링이 액세스 단말기로부터 요구될 수도 있다.
더 많은 유연성을 제공하기 위해, 중앙 집중형 네트워크 제어기가 제거되거나 또는 통신들을 관리하는 그 역할이 감소되는, 비집중형 (decentralized) 또는 분배형 무선 통신 네트워크 시스템들이 채용될 수도 있다. 그러나, 그러한 비집중형 무선 네트워크 아키텍쳐들은 몇몇 보안 리스크들에 민감하다. 예컨대, 액세스 단말기는 에어-인터페이스 메시지와 같은 브로드캐스트 메시지를 그 액세스 노드 세트 내의 모든 액세스 노드들에 전송할 수도 있다. 그러나, 공격자가 브로드캐스트 메시지를 위조할 수도 있고, 위조된 메시지를 액세스 노드들에 전송할 수도 있지만, 액세스 노드들은 그러한 브로드캐스트 메시지의 전송자의 진위 또는 아이덴티티를 검증할 수 없어서 보안 리스크를 생성한다.
또한, 분배형 무선 통신 네트워크 시스템에서의 중앙 집중형 네트워크 제어기의 감소된 역할 또는 제거로 인해, 하나의 액세스 노드로부터 다른 액세스 노드로 통신들을 안전하게 핸드오프하는 것이 보안 리스크들을 생성할 수도 있다.
종래 기술의 상기 결점들을 고려하여, 브로드캐스트 메시지의 수신자는 브로드캐스트 메시지를 인증할 수 있어야 할 필요가 있고, 앵커 액세스 노드는 요청 노드가 활성 세트의 현재 유효한 멤버인지를 검증할 수 있어야 할 필요가 있다. 따라서, 활성 세트 내의 액세스 노드들 사이에서의 백홀 메시지들 및 브로드캐스트 메시지들의 암호화/인증을 위해, 활성 세트 내의 액세스 노드들과 액세스 단말기 사이에서 공유 키가 공유되는 분배형 그룹 키 관리 기법을 제공하는 방법이 요구된다. 즉, 액세스 단말기가 그룹의 멤버들만이 메시지를 암호해독 및 이해할 수 있는 메시지의 단일의 카피를 브로드캐스트하는 것을 허용하는 방법이 요구된다.
개요
일 특징은 액세스 단말기 (예컨대, 이동 단말기, 무선 사용자 단말기 등) 와 액세스 단말기와 연관된 활성 세트 내의 하나 이상의 액세스 노드들 (예컨대, 기지국들 등) 사이에서 그룹 키를 생성, 분배, 및 관리하기 위한 시스템 및 방법을 제공한다. 특히, 하나 이상의 액세스 노드들에 그룹 키를 안전하게 전달하기 위한 액세스 단말기를 위한 방법이 제공된다. 그룹 키는 액세스 단말기에 의해 생성되고 그 활성 세트 내의 액세스 노드들에 분배될 수도 있다. 새로운 그룹 키는, 액세스 단말기와 연관된 신뢰된 액세스 노드들의 활성 세트로부터 액세스 노드가 제거될 때마다 생성 및 분배될 수도 있다.
통신 인터페이스 및 프로세서를 포함하는 액세스 단말기가 제공된다. 통신 인터페이스는 적어도 하나의 액세스 노드와 통신하도록 구성될 수도 있다. 프로세서는, (a) 액세스 노드들의 활성 세트 리스트를 유지하고/하거나, (b) 활성 세트 내의 각각의 액세스 노드에 대한 임시 유니캐스트 키를 획득하고/하거나, (c) 활성 세트에 대한 제 1 그룹 키를 생성하고/하거나, (d) 활성 세트 내의 제 1 액세스 노드에 대한 제 1 임시 유니캐스트 키를 이용하여 제 1 그룹 키를 암호화하고/하거나, (e) 암호화된 제 1 그룹 키를 제 1 액세스 노드에 전송하도록 구성될 수도 있다. 또한, 프로세서는, (a) 활성 세트 내의 다른 액세스 노드들에 대한 다른 임시 유니캐스트 키들을 이용하여 제 1 그룹 키를 암호화하고/하거나, (b) 암호화된 제 1 그룹 키들의 각각을, 그 각각을 암호화하는데 이용하였던 임시 유니캐스트 키에 대한 대응하는 액세스 노드에 전송하도록 구성될 수도 있다. 임시 유니캐스트 키들의 각각은 액세스 단말기 및 대응하는 액세스 노드 양자에 알려진 페어와이즈 임시 유니캐스트 키들일 수도 있다. 또한, 프로세서는 제 1 그룹 키를 이용하여 암호화되고/되거나 서명된 멀티캐스트 메시지를 전송하도록 구성될 수도 있다.
또한, 프로세서는, (a) 통신 인터페이스를 통해 액세스 노드들을 스캐닝하고/하거나, (b) 하나 이상의 액세스 노드들이 식별됨에 따라 액세스 노드들의 활성 세트에 하나 이상의 액세스 노드들을 추가하고/하거나, (c) 활성 세트에 하나 이상의 액세스 노드들이 추가됨에 따라 하나 이상의 액세스 노드들의 각각과 고유의 임시 유니캐스트 키들을 확립하도록 구성될 수도 있다.
또한, 프로세서는, (a) 그 활성 세트로부터 액세스 노드가 제거되는 경우에, 제 1 그룹 키를 제 2 그룹 키로 교체하고/하거나, (b) 제 2 그룹 키의 암호화된 버전들을 그 활성 세트 내의 액세스 노드들에 분배하도록 구성될 수도 있으며, 제 2 그룹 키의 암호화된 버전들은 활성 세트 내의 각각의 액세스 노드에 대한 임시 유니캐스트 키들을 이용하여 암호화된다.
또한, 프로세서는, (a) 통신 인터페이스를 통한 무선 통신 서비스들에 대한 현재의 서빙 액세스 노드로서 액세스 노드를 활성 세트로부터 선택하고/하거나, (b) 활성 세트 내의 다른 액세스 노드가 현재의 서빙 액세스 노드보다 더 우수한 무선 통신 서비스들을 제공할 수 있는지를 결정하고/하거나, (c) 새로운 서빙 액세스 노드가 현재의 서빙 액세스 노드보다 더 우수한 무선 통신 서비스들을 제공하는 경우에, 현재의 서빙 액세스 노드로부터 새로운 서빙 액세스 노드로 통신 서비스들을 스위칭하도록 구성될 수도 있으며, 액세스 단말기로 및 액세스 단말기로부터의 무선 통신들은 서빙 액세스 노드를 통해 라우팅된다.
또한, 액세스 단말기 상에서 동작하는 방법이 제공된다. 액세스 노드들의 활성 세트 리스트는 액세스 단말기에 의해 유지된다. 액세스 단말기는 활성 세트 내의 각각의 액세스 노드에 대한 임시 유니캐스트 키를 획득할 수도 있고, 활성 세트에 대한 제 1 그룹 키를 생성할 수도 있다. 제 1 그룹 키는 활성 세트 내의 제 1 액세스 노드에 대한 제 1 임시 유니캐스트 키를 이용하여 암호화될 수도 있고, 암호화된 제 1 그룹 키는 액세스 단말기에 의해 제 1 액세스 노드에 전송된다. 방법은 제 1 그룹 키를 이용하여 암호화된/서명된 멀티캐스트 메시지를 전송하는 단계를 더 포함할 수도 있다.
방법은, (a) 활성 세트 내의 다른 액세스 노드들에 대한 다른 임시 유니캐스트 키들을 이용하여 제 1 그룹 키를 암호화하는 단계; 및/또는 (b) 암호화된 제 1 그룹 키들의 각각을, 그 각각을 암호화하는데 이용하였던 임시 유니캐스트 키에 대한 대응하는 액세스 노드에 전송하는 단계를 더 포함할 수도 있다.
방법은, (a) 액세스 노드들을 스캐닝하는 단계; (b) 하나 이상의 액세스 노드들이 식별됨에 따라 액세스 노드들의 활성 세트에 하나 이상의 액세스 노드들을 추가하는 단계; 및/또는 (c) 활성 세트에 하나 이상의 액세스 노드들이 추가됨에 따라 하나 이상의 액세스 노드들의 각각과 고유의 임시 유니캐스트 키들을 확립하는 단계를 더 포함할 수도 있다.
방법은, (a) 그 활성 세트로부터 액세스 노드가 제거되는 경우에, 제 1 그룹 키를 제 2 그룹 키로 교체하는 단계; 및/또는 (b) 제 2 그룹 키의 암호화된 버전들을 그 활성 세트 내의 액세스 노드들에 분배하는 단계를 더 포함할 수도 있으며, 제 2 그룹 키의 암호화된 버전들은 활성 세트 내의 각각의 액세스 노드에 대한 임시 유니캐스트 키들을 이용하여 암호화된다.
방법은, (a) 무선 통신 서비스들에 대한 현재의 서빙 액세스 노드로서 액세스 노드를 활성 세트로부터 선택하는 단계; (b) 활성 세트 내의 다른 액세스 노드가 현재의 서빙 액세스 노드보다 더 우수한 무선 통신 서비스들을 제공할 수 있는지를 결정하는 단계; 및/또는 (c) 새로운 서빙 액세스 노드가 현재의 서빙 액세스 노드보다 더 우수한 무선 통신 서비스들을 제공하는 경우에, 현재의 서빙 액세스 노드를 새로운 서빙 액세스 노드로 통신 서비스들을 스위칭하는 단계를 더 포함할 수도 있으며, 액세스 단말기로 및 액세스 단말기로부터의 무선 통신들은 서빙 액세스 노드를 통해 라우팅된다.
따라서, (a) 액세스 노드들의 활성 세트 리스트를 유지하는 수단, (b) 활성 세트 내의 각각의 액세스 노드에 대한 임시 유니캐스트 키를 획득하는 수단, (c) 활성 세트에 대한 제 1 그룹 키를 생성하는 수단, (d) 활성 세트 내의 제 1 액세스 노드에 대한 제 1 임시 유니캐스트 키를 이용하여 제 1 그룹 키를 암호화하는 수단, 및/또는 (e) 암호화된 제 1 그룹 키를 제 1 액세스 노드에 전송하는 수단을 포함하는 액세스 단말기가 제공된다.
액세스 단말기는, (a) 활성 세트 내의 다른 액세스 노드들에 대한 다른 임시 유니캐스트 키들을 이용하여 제 1 그룹 키를 암호화하는 수단, 및/또는 (b) 암호화된 제 1 그룹 키들의 각각을, 그 각각을 암호화하는데 이용하였던 임시 유니캐스트 키에 대한 대응하는 액세스 노드에 전송하는 수단을 더 포함할 수도 있다.
액세스 단말기는, (a) 액세스 노드들을 스캐닝하는 수단, (b) 하나 이상의 액세스 노드들이 식별됨에 따라 액세스 노드들의 활성 세트에 하나 이상의 액세스 노드들을 추가하는 수단, 및/또는 (c) 활성 세트에 하나 이상의 액세스 노드들이 추가됨에 따라 하나 이상의 액세스 노드들의 각각과 고유의 임시 유니캐스트 키들을 확립하는 수단을 더 포함할 수도 있다.
액세스 단말기는, (a) 그 활성 세트로부터 액세스 노드가 제거되는 경우에, 제 1 그룹 키를 제 2 그룹 키로 교체하는 수단; 및/또는 (b) 제 2 그룹 키의 암호화된 버전들을 그 활성 세트 내의 액세스 노드들에 분배하는 수단을 더 포함할 수도 있으며, 제 2 그룹 키의 암호화된 버전들은 활성 세트 내의 각각의 액세스 노드에 대한 임시 유니캐스트 키들을 이용하여 암호화된다.
또한, 액세스 단말기 및/또는 액세스 단말기 상에서 동작하는 방법은 소프트웨어 및/또는 프로세서 또는 프로세싱 회로로 구현될 수도 있다.
또한, 무선 통신 인터페이스 및 프로세싱 회로를 포함하는 액세스 노드가 제공된다. 무선 통신 인터페이스는 적어도 하나의 액세스 단말기와 통신하도록 적응될 수도 있다. 프로세싱 회로는, (a) 임시 유니캐스트 키를 생성하고/하거나, (b) 임시 유니캐스트 키를 액세스 단말기에 전송하여, 액세스 단말기에 대한 액세스 노드들의 활성 세트에 합류시키고/시키거나, (c) 액세스 단말기에 대한 액세스 노드들의 활성 세트와 연관된 그룹 키를 수신하도록 구성될 수도 있다. 액세스 노드는 다른 액세스 노드들과 통신하기 위한 네트워크 통신 인터페이스를 더 포함할 수도 있으며, 포워딩된 브로드캐스트 메시지는 네트워크 통신 인터페이스를 통해 전송된다. 또한, 프로세싱 회로는 그룹 키를 사용하여 앵커 액세스 노드에 자신을 인증하도록 구성될 수도 있다.
또한, 프로세싱 회로는, (a) 그룹 키를 이용하여 암호화된 브로드캐스트 메시지를 액세스 단말기로부터 수신하고/하거나, (b) 그룹 키를 사용하여 브로드캐스트 메시지를 암호해독하고/하거나, (c) 액세스 단말기에 대한 액세스 노드들의 활성 세트 내의 다른 액세스 노드들에 브로드캐스트 메시지를 포워딩하도록 구성될 수도 있다.
또한, 프로세싱 회로는, (a) 그룹 키를 이용하여 서명된 브로드캐스트 메시지를 액세스 단말기로부터 수신하고/하거나, (b) 그룹 키를 사용하여 브로드캐스트 메시지를 인증하도록 구성될 수도 있다.
또한, 프로세싱 회로는, (a) 무선 통신 인터페이스를 통해 액세스 단말기와 무선 통신 서비스들을 확립하여, 액세스 단말기로 및 액세스 단말기로부터 통신들을 라우팅하기 위한 제 1 서빙 액세스 노드로서 서빙하고/하거나, (b) 제 2 서빙 액세스 노드로 무선 통신 서비스들을 핸드오버하기 위한 요청을 액세스 단말기로부터 수신하고/하거나, (c) 액세스 단말기와의 무선 통신 서비스들을 종료하고/하거나, (d) 네트워크 통신 인터페이스를 통해 액세스 단말기에 대한 앵커 액세스 노드와 데이터 터널을 확립하도록 구성될 수도 있다.
또한, 액세스 노드 상에서 동작하는 방법이 제공된다. 임시 유니캐스트 키가 생성되고, 액세스 단말기에 전송되어, 액세스 단말기에 대한 액세스 노드들의 활성 세트에 합류시킨다. 액세스 단말기에 대한 액세스 노드들의 활성 세트와 연관된 그룹 키가 수신된다.
액세스 단말기로부터 브로드캐스트 메시지가 수신될 수도 있으며, 브로드캐스트 메시지는 그룹 키를 이용하여 암호화된다. 그 후, 브로드캐스트 메시지는 그룹 키를 사용하여 암호해독될 수도 있다. 브로드캐스트 메시지는 액세스 단말기에 대한 액세스 노드들의 활성 세트 내의 다른 액세스 노드들에 포워딩될 수도 있다.
대안적인 방법에서, 액세스 단말기로부터 브로드캐스트 메시지가 수신되며, 브로드캐스트 메시지는 그룹 키를 이용하여 서명된다. 그 후, 브로드캐스트 메시지는 그룹 키를 사용하여 인증될 수도 있다.
방법은, (a) 무선 통신 인터페이스를 통해 액세스 단말기와 무선 통신 서비스들을 확립하여, 액세스 단말기로 및 액세스 단말기로부터 통신들을 라우팅하기 위한 제 1 서빙 액세스 노드로서 서빙하는 단계, (b) 제 2 서빙 액세스 노드로 무선 통신 서비스들을 핸드오버하기 위한 요청을 액세스 단말기로부터 수신하는 단계, (c) 액세스 단말기와의 무선 통신 서비스들을 종료하는 단계, 및/또는 (d) 무선 통신 인터페이스를 통해 액세스 단말기에 대한 앵커 액세스 노드와 데이터 터널을 확립하는 단계를 더 포함할 수도 있다. 또한, 액세스 노드는 그룹 키를 사용하여 앵커 액세스 노드에 자신을 인증할 수도 있다.
따라서, (a) 임시 유니캐스트 키를 생성하는 수단, (b) 무선 통신 인터페이스를 통해 임시 유니캐스트 키를 액세스 단말기에 전송하여, 액세스 단말기에 대한 액세스 노드들의 활성 세트에 합류시키는 수단, (c) 액세스 단말기에 대한 액세스 노드들의 활성 세트와 연관된 그룹 키를 수신하는 수단, 및/또는 (d) 액세스 단말기와 무선 통신 서비스들을 확립하여, 액세스 단말기로 및 액세스 단말기로부터 통신들을 라우팅하기 위한 제 1 서빙 액세스 노드로서 서빙하는 수단을 포함하는 액세스 노드가 제공된다.
또한, 액세스 노드는, (a) 그룹 키를 이용하여 암호화된 멀티캐스트 메시지를 액세스 단말기로부터 수신하는 수단, (b) 그룹 키를 사용하여 멀티캐스트 메시지를 암호해독하는 수단, 및/또는 (c) 액세스 단말기에 대한 액세스 노드들의 활성 세트 내의 다른 액세스 노드들에 멀티캐스트 메시지를 포워딩하는 수단을 더 포함할 수도 있다.
액세스 노드는, (a) 제 2 서빙 액세스 노드로 무선 통신 서비스들을 핸드오버하기 위한 요청을 액세스 단말기로부터 수신하는 수단, 및/또는 (b) 액세스 단말기와의 무선 통신 서비스들을 종료하는 수단을 더 포함할 수도 있다.
또한, 액세스 노드 및/또는 액세스 노드 상에서 동작하는 방법은 소프트웨어 및/또는 프로세서 또는 프로세싱 회로로 구현될 수도 있다.
도면의 간단한 설명
본 특징들의 특징들, 성질, 및 이점들은 유사한 참조 부호들이 전반에 걸쳐 대응하여 식별하는 도면들과 함께 취해지는 경우에 아래 설명되는 상세한 설명으로부터 더 명백하게 될 수도 있다.
도 1은 그룹 키 분배 및/또는 관리가 멀티캐스트 메시지 보안을 위해 구현될 수도 있는 무선 통신 시스템을 예시한다.
도 2는 도 1의 무선 통신 시스템의 대안적인 구성을 예시한다.
도 3 (도 3a, 도 3b, 도 3c, 및 도 3d 포함) 은 멀티캐스트 메시지 보안을 위한 그룹 키 분배 및 관리를 갖는 무선 통신 시스템의 동작의 일례를 예시하는 플로우도이다.
도 4는 멀티캐스트 메시지를 인증하고, 요청 액세스 노드가 현재 활성 세트의 유효한 멤버인지를 검증하는데 사용될 수도 있는 그룹 키 분배 기법을 예시한다.
도 5는 멀티캐스트 메시지 보안을 위해 그룹 키 분배 및 관리를 수행하도록 구성된 액세스 단말기를 예시하는 블록도이다.
도 6은 액세스 노드들의 활성 세트에 액세스 노드를 추가하기 위해 액세스 단말기에서 동작하는 방법을 예시하는 플로우도이다.
도 7은 액세스 노드들의 활성 세트로부터 액세스 노드를 제거하고, 그룹 키를 교체하기 위해 액세스 단말기에서 동작하는 방법을 예시하는 플로우도이다.
도 8은 멀티캐스트 메시지를 액세스 노드들의 활성 세트에 브로드캐스트하기 위해 액세스 단말기에서 동작하는 방법을 예시하는 플로우도이다.
도 9는 제 1 서빙 액세스 노드로부터 제 2 또는 새로운 서빙 액세스 노드로 변경하기 위해 액세스 단말기에서 동작하는 방법을 예시하는 플로우도이다.
도 10은 액세스 단말기로부터 하나 이상의 액세스 노드들로의 보안 멀티캐스트 메시지 분배를 용이하게 하기 위해 액세스 단말기 상에서 동작하는 방법을 예시하는 플로우도이다.
도 11은 그룹 키 분배 및/또는 관리를 용이하게 하도록 구성된 액세스 노드를 예시하는 블록도이다.
도 12는 액세스 단말기와 연관된 액세스 노드들의 활성 세트에 합류하기 위해 액세스 노드에서 동작하는 방법을 예시하는 플로우도이다.
도 13은 액세스 단말기와 연관된 활성 세트에 대한 그룹 키를 교체하기 위해 액세스 노드에서 동작하는 방법을 예시하는 플로우도이다.
도 14는 액세스 단말기로부터의 멀티캐스트 메시지를 수신 및 암호해독하기 위해 액세스 노드에서 동작하는 방법을 예시하는 플로우도이다.
도 15는 새로운 서빙 액세스 노드로의 통신 서비스들의 보안 핸드오버를 용이하게 하기 위해 현재의 서빙 액세스 노드에서 동작하는 방법을 예시하는 플로우도이다.
도 16은 특정한 액세스 단말기에 대한 상이한 서빙 액세스 노드들로의 보안 통신 포워딩을 용이하게 하기 위해 앵커 액세스 노드에서 동작하는 방법을 예시하는 플로우도이다.
도 17은 액세스 단말기로부터 하나 이상의 액세스 노드들로의 보안 멀티캐스트 메시지 분배를 용이하게 하기 위해 액세스 노드 상에서 동작하는 방법을 예시하는 플로우도이다.
상세한 설명
다음의 설명에서, 실시형태들의 철저한 이해를 제공하기 위해 특정 세부사항들이 주어진다. 그러나, 이들 특정 세부사항들이 없이도 실시형태들이 실시될 수도 있다는 것이 당업자에 의해 이해될 것이다. 예컨대, 불필요한 세부사항으로 실시형태들을 불명료하게 하지 않기 위해 회로들이 블록도들로 도시될 수도 있다. 다른 경우들에서, 실시형태들을 불명료하게 하지 않기 위해 공지의 회로들, 구조들, 및 기술들이 상세히 도시될 수도 있다.
또한, 실시형태들이 플로우차트, 플로우도, 구조도, 또는 블록도로서 표시되는 프로세스로서 설명될 수도 있다는 것이 주의된다. 플로우차트가 동작들을 순차적인 프로세스로서 설명하더라도, 다수의 동작들은 병렬로 또는 동시에 수행될 수 있다. 또한, 동작들의 순서는 재배열될 수도 있다. 프로세스는 프로세스의 동작들이 완료되는 경우에 종료된다. 프로세스는 방법, 함수, 절차, 서브루틴, 서브프로그램 등에 대응할 수도 있다. 프로세스가 함수에 대응하는 경우에, 프로세스의 종료는 호출 함수 또는 메인 함수로의 함수의 리턴에 대응한다.
또한, 스토리지 매체는, 판독-전용 메모리 (ROM), 랜덤 액세스 메모리 (RAM), 자성 디스크 스토리지 매체들, 광학 스토리지 매체들, 플래시 메모리 디바이스들, 및/또는 정보를 저장하기 위한 다른 머신 판독가능 매체들을 포함하는, 데이터를 저장하기 위한 하나 이상의 디바이스들을 나타낼 수도 있다. "머신 판독가능 매체" 라는 용어는 휴대용 또는 고정형 스토리지 디바이스들, 광학 스토리지 디바이스들, 무선 채널들, 및 명령(들) 및/또는 데이터를 저장, 포함 또는 운반할 수 있는 다양한 다른 매체들을 이들에 한정되지 않게 포함한다.
또한, 실시형태들은 하드웨어, 소프트웨어, 펌웨어, 미들웨어, 마이크로코드, 또는 이들의 임의의 조합에 의해 구현될 수도 있다. 소프트웨어, 펌웨어, 미들웨어, 또는 마이크로코드로 구현되는 경우에, 필요한 태스크들을 수행하기 위한 프로그램 코드 또는 코드 세그먼트들은 스토리지 매체 또는 다른 스토리지(들)와 같은 머신 판독가능 매체 내에 저장될 수도 있다. 프로세서는 필요한 태스크들을 수행할 수도 있다. 코드 세그먼트는 절차, 함수, 서브프로그램, 프로그램, 루틴, 서브루틴, 모듈, 소프트웨어 패키지, 클래스, 또는 명령들, 데이터 구조들 또는 프로그램 구문들의 임의의 조합을 나타낼 수도 있다. 코드 세그먼트는 정보, 데이터, 아규먼트들, 파라미터들, 또는 메모리 컨텐츠를 전달 및/또는 수신함으로써 다른 코드 세그먼트 또는 하드웨어 회로에 커플링될 수도 있다. 정보, 아규먼트들, 파라미터들, 데이터 등은 메모리 공유, 메시지 전달, 토큰 전달, 네트워크 송신 등을 포함하는 임의의 적합한 수단을 통해 전달, 포워딩, 또는 송신될 수도 있다.
여기서 개시되는 예들과 관련하여 설명되는 다양한 예시적인 논리 블록들, 모듈들, 회로들, 엘리먼트들, 및/또는 컴포넌트들은, 범용 프로세서, 디지털 신호 프로세서 (DSP), 주문형 집적 회로 (ASIC), 필드 프로그래머블 게이트 어레이 (FPGA) 또는 다른 프로그래머블 로직 컴포넌트, 이산 게이트 또는 트랜지스터 로직, 이산 하드웨어 컴포넌트들, 또는 여기서 설명된 기능들을 수행하도록 설계된 이들의 임의의 조합으로 구현 또는 수행될 수도 있다. 범용 프로세서는 마이크로프로세서일 수도 있지만, 대안으로, 프로세서는 임의의 종래의 프로세서, 제어기, 마이크로제어기, 또는 상태 머신일 수도 있다. 또한, 프로세서는, 예컨대 DSP와 마이크로프로세서의 조합, 다수의 마이크로프로세서들, 단일의 DSP 코어와 협력하는 하나 이상의 마이크로프로세서들, 또는 임의의 다른 그러한 구성과 같은 연산 컴포넌트들의 조합으로서 구현될 수도 있다.
여기서 개시되는 예들과 관련하여 설명되는 방법들 또는 알고리즘들은 하드웨어로 직접, 프로세서에 의해 실행가능한 소프트웨어 모듈로, 또는 프로세싱 유닛, 프로그래밍 명령들 또는 다른 지시들의 형태의 이들 양자의 조합으로 실시될 수도 있고, 단일의 디바이스 내에 포함될 수도 있거나, 또는 다수의 디바이스들에 걸쳐 분배될 수도 있다. 소프트웨어 모듈은 RAM 메모리, 플래시 메모리, ROM 메모리, EPROM 메모리, EEPROM 메모리, 레지스터들, 하드 디스크, 탈착식 디스크, CD-ROM, 또는 당업계에 알려진 임의의 다른 형태의 스토리지 매체 내에 상주할 수도 있다. 스토리지 매체는 프로세서가 스토리지 매체로부터 정보를 판독할 수 있고 스토리지 매체에 정보를 기록할 수 있도록 프로세서에 커플링될 수도 있다. 대안으로, 스토리지 매체는 프로세서에 통합될 수도 있다.
무선 통신들에서, 액세스 네트워크는 인터넷 또는 공중 전화 교환망 (PSTN) 과 같은 광역 네트워크 (WAN) 에 임의의 수의 액세스 단말기들을 접속시키는데 사용될 수도 있다. 통상적으로, 액세스 네트워크는 지리적인 구역 전반에 걸쳐 확산된 다수의 고정-사이트 액세스 노드들로 구현된다. 일반적으로, 지리적인 구역은 셀들로 분할된다. 각각의 액세스 노드는 셀 내의 액세스 단말기들에 대한 WAN 으로의 액세스의 포인트를 제공하도록 구성된다. "액세스 네트워크" 라는 용어는 하나 이상의 액세스 단말기들 (예컨대, 유선 또는 무선) 이 통신할 수도 있는 액세스 노드들 (AN) 의 컬렉션을 지칭할 수도 있다. 액세스 네트워크는 다수의 액세스 단말기들 (AT) 사이에서 데이터 패킷들을 운송할 수도 있다. 액세스 네트워크는 또한 기업 인트라넷 또는 인터넷과 같은, 액세스 네트워크 외부의 추가적인 네트워크들에 통신가능하게 커플링될 수도 있고, 각각의 액세스 단말기와 그러한 외부 네트워크들 사이에서 데이터 패킷들을 운송할 수도 있다.
또한, 여기서 설명되는 송신 기술들은, 코드 분할 다중 접속 (CDMA) 시스템, 시분할 다중 접속 (TDMA) 시스템, 주파수 분할 다중 접속 (FDMA) 시스템, 직교 주파수 분할 다중 접속 (OFDMA) 시스템, 단일 캐리어 FDMA (SC-FDMA) 시스템 등과 같은 다양한 무선 통신 시스템들에 대해 사용될 수도 있다. OFDMA 시스템은, 전체 시스템 대역폭을 다수 (K) 의 직교 서브캐리어들로 분할하는 변조 기술인 직교 주파수 분할 멀티플렉싱 (OFDM) 을 이용한다. 또한, 이들 서브캐리어들 (SC) 은 톤, 빈 등이라 호칭된다. OFDM 으로, 각각의 서브캐리어는 독립적으로 데이터와 변조될 수도 있다. SC-FDMA 시스템은, 시스템 대역폭에 걸쳐 분배된 서브캐리어들 상에서 송신하기 위한 인터리브된 (interleaved) FDMA (IFDMA), 인접한 서브캐리어들의 블록 상에서 송신하기 위한 로컬화된 FDMA (LFDMA), 또는 인접한 서브캐리어들의 다수의 블록들 상에서 송신하기 위한 인핸스드 FDMA (EFDMA) 를 이용할 수도 있다. 일반적으로, 변조 심볼들은 OFDM 으로 주파수 도메인에서 전송되고, SC-FDMA 로 시간 도메인에서 전송된다.
여기서 사용되는 바와 같이, 액세스 노드는 액세스 단말기와 통신하는데 사용되는 고정형 스테이션일 수도 있고, 또한 기지국, 노드 B, 또는 몇몇 다른 용어로 지칭될 수도 있고 이들의 기능의 일부 또는 전부를 포함할 수도 있다. 또한, 액세스 단말기는 사용자 장비 (UE), 무선 통신 디바이스, 단말기, 이동 단말기, 이동국, 이동 전화기, 또는 몇몇 다른 용어로 지칭될 수도 있고 이들의 기능의 일부 또는 전부를 포함할 수도 있다. "브로드캐스트" 및 "멀티캐스트" 라는 용어들은 1 대 다 송신을 지칭하기 위해 교환가능하게 사용될 수도 있다. 한편, "유니캐스트" 라는 용어는 특정한 수신자에 대해 의도된 타게팅된 송신을 지칭할 수도 있으며, 그러한 송신이 중간 중계들을 통해 전달되더라도 그렇게 지칭할 수도 있다.
일 특징은 액세스 단말기 (예컨대, 이동 단말기, 무선 사용자 단말기 등) 와 액세스 단말기와 연관된 활성 세트 내의 하나 이상의 액세스 노드들 (예컨대, 기지국들 등) 사이에서 그룹 키를 생성, 분배, 및 관리하기 위한 시스템 및 방법을 제공한다. 특히, 액세스 단말기가 하나 이상의 액세스 노드들에 그룹 키를 안전하게 전달하기 위한 방법이 제공된다. 그룹 키는 액세스 단말기에 의해 생성될 수도 있고 그 활성 세트 내의 액세스 노드들에 분배될 수도 있다. 액세스 단말기와 연관된 신뢰된 액세스 노드들의 활성 세트로부터 액세스 노드가 제거될 때마다, 새로운 그룹 키가 생성되고 분배될 수도 있다.
각각의 액세스 노드에 그룹 키를 분배하기 위해, 액세스 단말기와 활성 세트 내의 액세스 노드 사이에 고유의 임시 유니캐스트 키가 확립될 수도 있다. 예컨대, 이는 액세스 단말기에 대한 활성 세트에 액세스 노드가 추가되는 경우에 행해질 수도 있다. 액세스 단말기는 활성 세트 내의 액세스 노드들의 각각과 연관된 고유의 임시 유니캐스트 키들의 각각을 사용하여 새로운 그룹 키를 암호화한다. 암호화되면, 액세스 단말기는 새로운 그룹 키를 포함하는 각각의 개별적인 암호화된 메시지를 그 각각의 개별적인 암호화된 메시지가 암호화된 것에 대한 액세스 노드에 전송 또는 유니캐스트한다. 각각의 액세스 노드는 각각의 액세스 노드 소유의 고유의 임시 유니캐스트 키를 사용하여 각각의 액세스 노드의 메시지를 암호해독하여 새로운 그룹 키를 획득한다.
이어서, 액세스 단말기는 그룹 키를 사용하여 새로운 메시지를 암호화하고 그 메시지를 브로드캐스트하여, 그 활성 세트 내의 액세스 노드들 중 하나 이상이 이전에 분배된 그룹 키를 사용하여 그 메시지를 암호해독할 수 있게 할 수도 있다. 그룹 키에 의해 암호화된 메시지가 액세스 단말기에 의해 단 한번만 브로드캐스트되거나 또는 멀티캐스트될 수도 있으므로, 상이한 키들을 이용하여 암호화된, 동일한 메시지의 다수의 카피들 또는 버전들이 필요하지 않다. 그룹 키를 이용하여 암호화된 메시지는 활성 세트 내의 액세스 노드들에 대해 의도된 브로드캐스트 또는 멀티캐스트 메시지일 수도 있다. 멀티캐스트 메시지를 전송함으로써, 메시지가 단 한번만 전송될 수도 있으므로 에어 리소스들이 절약된다. 일례에서, 그러한 멀티캐스트 메시지는 그 활성 세트 내의 모든 액세스 노드들에 대한 액세스 단말기의 상태의 업데이트를 포함할 수도 있다. 이는, 액세스 단말기가 임의의 소정의 시간에 액세스 노드들 중 단 하나와 통신하는 종래 기술의 접근법에서보다 액세스 단말기로부터 액세스 노드들로의 더 효율적인 피드백을 제공한다. 따라서, 이는 액세스 노드들이 더 자율적으로 동작하는 것을 허용할 수도 있다.
또 다른 특징에서, 그룹 키는 활성 세트의 액세스 노드들 사이에서 이용되어 그 액세스 노드들 사이에서 인증을 용이하게 할 수도 있다. 이는 액세스 노드들이 그 사이에서 정보 또는 메시지들을 전송하기 이전에 서로 인증하는 것을 허용할 수도 있다. 예컨대, 제 1 액세스 노드는 액세스 단말기에 의해 임의의 소정의 시간에서 서빙 액세스 노드로서 선택될 수도 있다. 서빙 액세스 노드는 앵커 노드로서 동작하는 제 2 액세스 노드와의 데이터 터널을 요청할 수도 있으며, 그 데이터 터널을 통해 액세스 단말기에 대한 통신들이 다른 네트워크들에 의해 전송된다. 액세스 단말기에 데이터를 전달하기 위해, 앵커 노드는 먼저 그룹 키를 사용하여 서빙 액세스 노드를 인증한다 (예컨대, 앵커 노드는 요청 노드가 액세스 단말기에 대한 활성 세트의 유효한 멤버인지를 인증한다). 요청/서빙 액세스 노드가 성공적으로 인증되는 경우에, 액세스 단말기로 및/또는 액세스 단말기로부터의 통신이 발생할 수 있는 데이터 터널이 앵커 노드와 서빙 액세스 노드 사이에서 확립된다. 이 방식으로, 액세스 노드들 사이에서 액세스 단말기에 대한 통신들을 포워딩하기 위한 터널링을 용이하게 하기 위해 그룹 키가 사용될 수도 있다.
도 1은 그룹 키 분배 및/또는 관리가 멀티캐스트 메시지 보안을 위해 구현될 수도 있는 무선 통신 시스템 (100) 을 예시한다. 무선 통신 시스템 (100) 은 예컨대 셀들 (102, 104, 106, 및 108) 과 같은 다수의 셀들을 포함할 수도 있다. 각각의 셀 (102, 104, 106, 및 108) 은 셀 내의 다수의 섹터들에 대한 커버리지를 제공하는 액세스 노드 (예컨대, 하나 이상의 기지국들) (110, 112, 114, 및 116) 를 포함할 수도 있다. 각각의 셀 (102, 104, 106, 및 108) 내의 액세스 노드들 (110, 112, 114, 및 116) 은 하나 이상의 액세스 단말기들에 네트워크 접속 서비스들을 제공할 수도 있다. 각각의 액세스 노드 (110, 112, 114, 및 116) 는 셀 내의 다수의 섹터들에 걸친 이동 단말기들 (예컨대, 사용자 단말기들) 에 대한 네트워크 커버리지를 제공하는 하나 이상의 안테나들 (120) 을 포함할 수도 있다. 예컨대, 셀 (102) 에서, 액세스 노드 (110) 는, 각각의 안테나가 셀 (102) 내의 상이한 섹터에 대한 네트워크 커버리지를 제공하는 안테나들 (120) 의 그룹을 포함한다. 유사하게, 셀들 (104, 106, 및 108) 에서, 액세스 노드들 (112, 114, 및 116) 은 안테나들의 그룹들을 포함할 수도 있고, 각각의 안테나는 셀 내의 상이한 섹터에 대한 네트워크 커버리지를 제공한다. 여기서 사용되는 바와 같이, 액세스 노드로부터 액세스 단말기로의 송신들은 포워드 링크 또는 다운링크라 지칭될 수도 있고, 액세스 단말기로부터 액세스 노드로의 송신들은 리버스 링크 또는 업링크라 지칭될 수도 있다.
일 특징에 따르면, 활성 세트 내의 액세스 노드들 중 하나는 액세스 단말기 (118) 에 대한 앵커 노드, 즉 다른 네트워크들과의 통신들을 용이하게 하고 직접 또는 다른 액세스 노드들을 통해 액세스 단말기 (118) 에 통신들을 포워딩하는 것을 담당하는 인터페이스 (예컨대, 게이트웨이) 로서 동작 또는 기능할 수도 있다. 앵커 노드는 공통 인터페이스 포인트를 제공할 수도 있으며, 액세스 단말기 (118) 가 상이한 액세스 노드들에 의해 서빙될 수도 있는 상이한 셀들 (예컨대, 상이한 무선 커버리지 영역들) 을 통해 로밍 또는 이동할 때 다른 네트워크들이 그 공통 인터페이스 포인트를 통해 액세스 단말기 (118) 와 통신할 수 있다. 따라서, 앵커 노드는 종래 기술의 통신 시스템들에서의 네트워크 제어기에 의해 수행되는 기능들의 일부 (예컨대, 호 세션 포워딩, 데이터 라우팅 등) 를 수행할 수도 있다.
도 1의 예에서, 액세스 노드 A (AN-A) (110) 는 액세스 단말기 (118) 로/로부터의 트래픽 또는 통신들을 관리하기 위한 앵커 노드로서 서빙할 수도 있다. 액세스 단말기 (118) 에 대한 트래픽 또는 통신들은 현재의 서빙 액세스 노드에 트래픽/통신을 포워딩하는 앵커 노드 (110) 를 통과한다. 서빙 액세스 노드는 다른 네트워크들로/로부터의 액세스 단말기 (118) 에 대한 무선 게이트웨이로서 기능하는 활성 세트 내의 노드이다. 서빙 액세스 노드는 앵커 노드 (110) 를 통해 액세스 단말기로/로부터의 트래픽 또는 통신들을 전달한다. 또한, 서빙 액세스 노드는 액세스 단말기로부터의 암호화된 멀티캐스트 메시지들을 액세스 단말기 (118) 의 활성 세트 내의 각각의 액세스 노드에 포워딩할 수도 있다. 서빙 액세스 노드는 메시지의 종래의 암호해독 없이 단지 암호화된 메시지를 포워딩할 수도 있다. 활성 세트 내의 임의의 액세스 노드는, 임의의 소정의 시간에서, 서빙 액세스 노드로서 선택될 수도 있다. 이 예에서, 액세스 노드 B (AN-B) (112) 가 특정한 시간 (ti +1) 에서 액세스 단말기 (118) 에 가장 근접할 수도 있고, 서빙 액세스 노드로서 선택된다. 선택되면, 서빙 액세스 노드 (112) 는, 서빙 액세스 노드 (112) 가 액세스 단말기 (118) 에 데이터/통신들을 전달할 수도 있도록, 앵커 노드 (110) 와의 데이터 터널 (122) 을 확립하기 위해 요청할 수도 있다. 앵커 노드 (110) 는 서빙 액세스 노드로서 서빙하기 위해 요청한 액세스 노드가 액세스 단말기 (118) 에 대한 활성 세트의 현재 유효한 멤버인지를 검증할 수도 있다. 유사하게, 시간 (ti +2) 에서, 액세스 단말기 (118) 가 셀 (106) 로 이동하거나 또는 로밍하는 경우에, 액세스 노드 C (114) 는 앵커 노드 (110) 와의 통신 데이터 터널 (124) 을 확립함으로써 액세스 단말기 (118) 에 대한 서빙 액세스 노드가 될 수도 있다. 나중의 시간 (ti+3) 에서, 액세스 단말기 (118) 가 셀 (108) 로 이동 또는 로밍하는 경우에, 액세스 노드 D (116) 는 앵커 노드 (110) 와의 통신 데이터 터널 (126) 을 확립함으로써 액세스 단말기 (118) 에 대한 서빙 액세스 노드가 될 수도 있다. 따라서, 앵커 노드 A (110) 는, 액세스 단말기 (118) 로의 착신 통신들이 현재의 서빙 액세스 노드에 포워딩될 수도 있고 액세스 단말기 (118) 로부터의 발신 통신들이 다른 네트워크들로 전달될 수도 있는 게이트웨이이다.
액세스 단말기 (118) 가 상이한 셀들 또는 섹터들 사이에서 이동하거나 또는 로밍할 때, 로컬 액세스 노드는 서빙 액세스 노드가 되기 위해 요청할 수도 있다. 각각의 액세스 노드 (110, 112, 114, 및 116) 는 액세스 단말기 (118) 와 연관하기 위한 각각의 액세스 노드 소유의 고유의 임시 유니캐스트 키 (TUK) 를 가질 수도 있다. TUK 는 액세스 노드 및/또는 액세스 단말기에 의해 생성될 수도 있고, 액세스 노드와 액세스 단말기 사이에서 유지된다. 예컨대, 시간 (t0) 에서, 액세스 단말기 (118a) 는, 액세스 단말기 (118) 와 액세스 노드 (110) 사이의 통신 링크와 고유하게 연관된 보안된 임시 유니캐스트 키 A (TUK_A) 를 사용하여 액세스 노드 A (AN-A) (110) 와의 통신들을 초기에 보안할 수도 있다. 예컨대, 키 (TUK_A) 는, 액세스 노드 A (110) 가 활성 세트에 처음 추가되는 경우에, 액세스 단말기 (118) 와 액세스 노드 A (110) 사이에서 협정될 수도 있다. 나중의 시간 (ti +1) 에서, 액세스 단말기 (118b) 가 상이한 섹터 또는 셀 (104) 로 이동 또는 로밍할 때, 그 무선 통신 서비스 (예컨대, 통신 세션) 가 액세스 노드 B (AN-B) (112) 로 핸드오프될 수도 있다. 액세스 단말기 (118b) 는, 액세스 단말기 (118) 와 액세스 노드 B (112) 사이의 통신 링크와 고유하게 연관된 보안된 임시 유니캐스트 키 B (TUK_B) 를 사용하여 액세스 노드 B (AN-B) (112) 와의 통신들을 보안할 수도 있다. 유사하게, 시간 (ti +2) 에서, 액세스 단말기 (118c) 가 셀 (106) 로 이동할 때, 액세스 단말기 (118c) 는, 액세스 단말기 (118) 와 액세스 노드 C (114) 사이의 통신 링크와 고유하게 연관된 보안된 임시 유니캐스트 키 C (TUK_C) 를 사용하여 액세스 노드 C (AN-C) (114) 와의 통신들을 보안할 수도 있다. 나중의 시간 (ti+3) 에서, 액세스 단말기 (118d) 는, 액세스 단말기 (118) 와 액세스 노드 D (AN-D) (116) 사이의 통신 링크와 고유하게 연관된 보안된 임시 유니캐스트 키 D (TUK_D) 를 사용하여 액세스 노드 D (AN-D) (116) 와의 통신들을 보안할 수도 있다.
그 활성 세트 내의 액세스 노드들에 그룹 키 (GK) 를 분배하기 위해, 액세스 단말기 (118) 는 각각의 액세스 노드에 대한 고유의 TUK들을 이용하여, 특정한 TUK 와 연관된 액세스 노드에 전송 또는 유니캐스트될 그룹 키 (GK) 를 포함하는 메시지를 암호화할 수도 있다. 즉, 액세스 단말기는 새로운 그룹 키를 포함하는 각각의 개별적인 암호화된 메시지를 그 각각의 개별적인 암호화된 메시지가 암호화된 것에 대한 액세스 노드에 전송 또는 유니캐스트한다. 예컨대, 액세스 단말기 (118) 는 TUK_A 를 이용하여 그룹 키 (GK) 를 안전하게 암호화하고 액세스 노드 A (110) 에 전송할 수도 있다. 마찬가지로, 액세스 단말기 (118) 는 TUK_B, TUK_C, 및 TUK_D 를 사용하여 그룹키 (GK) 를 각각 암호화하고 직접 또는 다른 액세스 노드를 통해 액세스 노드들 B (112), C (114), 및 D (116) 로 전송할 수도 있다. 따라서, 각각의 액세스 노드는 동일한 그룹 키 (GK) 를 수신하지만, 상이한 TUK 를 이용하여 그룹 키 (GK) 를 암호해독할 수도 있다.
그룹 키 (GK) 가 분배되면, 액세스 단말기 (118) 는 액세스 단말기의 활성 세트 내에 있는 액세스 노드들 (예컨대, 액세스 노드들 A (110), B (112), C (114), 및/또는 D (116)) 에 메시지 (예컨대, 상태 정보 등) 를 전송, 브로드캐스트, 및/또는 멀티캐스트할 수도 있다. 몇몇 경우들에서, 무선 브로드캐스트를 수신하기에 액세스 단말기 (118) 로부터 너무 멀리 떨어져 있는 액세스 노드는 활성 세트 내의 다른 액세스 노드로부터의 중계를 통해 그 무선 브로드캐스트를 수신할 수도 있다.
몇몇 예들에서, 액세스 단말기 (118) 는 하나 이상의 셀들의 2 개 이상의 섹터들과 통신하고 있을 수도 있다. 이는, 적절한 용량 관리 및/또는 다른 이유들로, 액세스 단말기 (118) 가 움직이거나 또는 이동할 때, 통신 세션들이 상이한 섹터들 또는 셀들 사이에서 핸드오프되는 것을 허용하기 위해 행해질 수도 있다. 따라서, 액세스 단말기 (118) 가 상이한 셀들 (102, 104, 106, 및 108) 에 걸쳐 이동할 때, 액세스 단말기 (118) 는 액세스 노드들 (110, 112, 114, 및 116) 과 통신하고 있을 수도 있다.
또 다른 특징에 따르면, 그룹 키 (GK) 는 액세스 단말기 (118) 와 연관된 활성 세트 내의 액세스 노드들 사이에서 서로 인증하기 위해 채용될 수도 있다. 예컨대, 액세스 단말기가 하나의 셀로부터 다른 셀로 이동할 때, 액세스 단말기의 서빙 액세스 노드는 현재의 서빙 액세스 노드로부터 새로운 서빙 액세스 노드로 변경될 수도 있다. 앵커 액세스 노드가 새로운 액세스 노드로 통신들을 포워딩하는 것을 시작하기 위해, 앵커 액세스 노드는 새로운 액세스 노드가 액세스 단말기 (118) 에 대한 활성 세트에 속하는지를 검증하기 위해 먼저 새로운 액세스 노드를 인증할 수도 있다. 일례에서, 액세스 단말기 (118c) 가 셀 (106) 로 이동할 때, 액세스 단말기 (118c) 는 액세스 단말기 (118c) 의 서빙 액세스 노드로서 액세스 노드 C 를 통해 통신하기를 원할 수도 있다. 새로운 서빙 액세스 노드 (114) 로 액세스 단말기 (118c) 에 대한 통신들을 포워딩하는 것을 시작하기 위해, 앵커 노드 (110) 에 요청이 전송될 수도 있다. 예컨대, 앵커 액세스 노드 (110) 는 새로운 서빙 액세스 노드 (114) 가 액세스 단말기에 대한 활성 세트에 속하는지를 검증하기 위해, 새로운 서빙 액세스 노드 (114) 를 인증할 수도 있다. 그러한 인증은 새로운 서빙 액세스 노드 (114) 가 또한 활성 세트에 대한 그룹 키 (GK) 를 알고있는지를 검증하는 것을 수반할 수도 있다.
도 2는 도 1의 무선 통신 시스템 (100) 의 대안적인 구성을 예시한다. 이 구성에서, 액세스 단말기에 대한 통신들은 도 1에서와 같이 중앙 집중된 앵커 액세스 노드가 아니라 이전의 서빙 액세스 노드로부터 새로운 서빙 액세스 노드로 포워딩된다. 이 예에서, 다수의 액세스 노드들 사이에서 통신들이 포워딩될 수도 있는 포워딩 특징이 예시된다. 액세스 단말기 (118) 가 상이한 셀들 사이에서 로밍하거나 또는 이동할 때, 액세스 단말기 (118) 는 액세스 단말기 (118) 의 서빙 액세스 노드를 변경할 수도 있다. (도 1에 예시된 바와 같이) 앵커 노드 (110) 와 현재의 서빙 액세스 노드 사이에 직접적인 통신 링크를 확립하는 것이 아니라, 현재의 서빙 액세스 노드가 이전의 서빙 액세스 노드를 통해 그 통신들을 수신할 수도 있다. 예컨대, 특정한 시간 (ti +1) 에서, 액세스 노드 B (112) 는 액세스 단말기 (118b) 에 대한 서빙 액세스 노드일 수도 있고, 앵커 액세스 노드 A (110) 와의 통신 데이터 터널 (222) 을 가질 수도 있다. 시간 (ti +2) 에서, 액세스 단말기 (118c) 는 셀 (106) 로 이동할 수도 있고, 액세스 노드 C (114) 를 그 서빙 액세스 노드로 하려고 할 수도 있다. 따라서, 통신 데이터 터널 (224) 이 액세스 노드 B (112) 와 확립된다. 유사하게, 시간 (ti +3) 에서, 액세스 단말기 (118c) 는 셀 (108) 로 이동할 수도 있고, 액세스 노드 D (116) 를 그 서빙 액세스 노드로 하려고 할 수도 있다. 따라서, 통신 데이터 터널 (226) 이 액세스 노드 C (114) 와 확립된다. 각각의 스테이지에서, 이전의 서빙 액세스 노드는 통신 데이터 터널을 확립하기 이전에 (예컨대, 그룹 키 (GK) 를 사용함으로써) 새로운 액세스 노드를 인증할 수도 있다.
다양한 예들에서, (도 1 및 도 2의) 무선 통신 시스템들 (100) 은 예컨대 특히 울트라 이동 브로드밴드 (UMB) 네트워크, 유니버설 이동 통신 시스템 (UMTS), 광대역 CDMA 네트워크를 포함하는 2G 및 3G 네트워크들에서 구현될 수도 있다.
(도 3a, 도 3b, 도 3c, 및 도 3d를 포함하는) 도 3은 멀티캐스트 메시지 보안을 위한 그룹 키 분배 및 관리를 갖는 무선 통신 시스템의 동작의 일례를 예시하는 플로우도이다. 이 예에서, 도 1의 액세스 단말기 (118), 액세스 노드 A (AN-A) (110), 액세스 노드 B (AN-B) (112), 액세스 노드 C (AN-C) (114), 및 액세스 노드 D (AN-D) (116) 가 예시의 목적을 위해 사용된다.
제 1 특징에 따르면, 액세스 단말기는 그 액세스 노드들의 활성 세트에 새로운 액세스 노드를 추가할 수도 있고, 새로운 액세스 노드에 그룹 키를 안전하게 분배할 수도 있다. 초기에, 액세스 노드들 (110, 112, 및 114) 은 활성 세트 내에 있을 수도 있고, 각각의 액세스 노드는 액세스 단말기 (118) 와, 예컨대 TUK_A, TUK_B, 및 TUK_C 와 같은 고유의 임시 유니캐스트 키 (TUK) 를 각각 확립하였을 수도 있다 (302, 304, 및 306). 활성 세트의 각각의 멤버는 제 1 그룹 키 (GK1) 를 가질 수도 있다. 일례에서, 액세스 단말기 (118) 는 그 활성 세트에 액세스 노드 D (AN-D) (116) 와 같은 다른 액세스 노드를 추가할 수도 있다. 예컨대, 이는 액세스 단말기가 새로운 액세스 노드 D (AN-D) (116) 의 무선 접속 범위 내에 들어가는 경우에 발생할 수도 있다. 새로운 액세스 노드를 추가하기 위해, 액세스 단말기 (118) 는 액세스 노드 D (AN-D) 와 고유의 임시 유니캐스트 키 (TUK_D) 를 확립할 수도 있다 (308). 액세스 노드 D (AN-D) 와 연관된 고유의 임시 유니캐스트 키 (TUK_D) 를 사용하여, 액세스 단말기 (118) 는 메시지 내에 제 1 그룹 키 (GK1) 를 암호화할 수도 있고 (310), 암호화된 제 1 그룹 키 (GK1) 를 갖는 메시지를 액세스 노드 D 에 송신할 수도 있다 (312). 그 후, 액세스 노드 D (116) 는 그 고유의 임시 유니캐스트 키 (TUK_D) 를 사용하여 메시지를 암호해독하여 제 1 그룹 키 (GK1) 를 획득할 수도 있다 (314). 그 후, 액세스 단말기 (118) 는, 제 1 그룹 키 (GK1) 를 이용하여 암호화되거나 또는 서명된 멀티캐스트 메시지들을 브로드캐스트할 수도 있으며 (316), 그 멀티캐스트 메시지들은 제 1 그룹 키 (GK1) 를 사용하여 활성 세트 내의 액세스 노드들에 의해 암호해독/검증될 수 있다 (317). 즉, 보안 메시지 송신이 바람직한 경우에, 멀티캐스트 메시지는 액세스 단말기 (118) 에 의해 제 1 그룹 키 (GK1) 를 사용하여 암호화될 수도 있고, 동일한 그룹 키 (GK1) 를 사용하여 액세스 노드들에 의해 (수신 시에) 암호해독될 수도 있다. 대안으로, (예컨대, 비-개인적인 정보에 대해) 단지 인증/검증이 바람직한 경우에, 액세스 단말기 (118) 는 그룹 키 (GK1) 를 사용하여 멀티캐스트 메시지를 서명할 수도 있고, 그 멀티캐스트 메시지는 동일한 그룹 키 (GK1) 를 사용하여 수신 액세스 노드들에 의해 검증될 수 있다.
몇몇 경우들에서, 액세스 단말기 (118) 는 그 활성 세트 내의 하나 이상의 액세스 노드들과 직접 통신하는 것이 가능하지 않을 수도 있다. 예컨대, 액세스 노드 A (AN-A) (110) 가 브로드캐스트 (316) 를 수신하기에 액세스 단말기 (118) 로부터 너무 멀리 떨어져 있을 수도 있다. 이들 경우들에서, 액세스 단말기 (118) 는 의도된 수신 액세스 노드 A (110) 에 메시지를 포워딩할 수도 있는 다른 액세스 노드를 통해 액세스 노드 A (110) 에 간접적으로 멀티캐스트 메시지를 전송할 수도 있다. 메시지가 그룹 키 (GK1) 를 이용하여 암호화되므로, 메시지 컨텐츠는 안전하다.
제 2 특징에 따르면, 액세스 단말기는 그 액세스 노드들의 활성 세트로부터 액세스 노드를 제거할 수도 있고, 그룹 키를 안전하게 교체할 수도 있다. 일례에서, 액세스 단말기 (118) 는 그 활성 세트로부터 액세스 노드 C (AN-C) (114) 와 같은 액세스 노드를 제거할 수도 있다. 액세스 노드 C (AN-C) (114) 를 제거하기 위해, 액세스 노드 C (AN-C) (114) 와 액세스 단말기 (118) 사이의 통신이 종료될 수도 있다 (318). 그 후, 액세스 단말기 (118) 는 그 활성 세트로부터 액세스 노드 C (AN-C) (114) 를 제거할 수도 있다 (320). 그러나, 제거된 액세스 노드 C (114) 가 (제 1 그룹 키 (GK1) 를 이용하여 암호화된) 후속하는 멀티캐스트 메시지들을 암호해독하는 것을 방지하기 위해, 새로운 그룹 키 (GK2) 가 생성되고 (324) 분배된다. 활성 세트로부터 액세스 노드 C (114) 가 제거되면, 액세스 단말기 (118) 는 랜덤 수 (Rx) 를 생성할 수도 있고 (322), 액세스 단말기 (118) 는 새로운 그룹 키 (GK2) 를 생성하기 위해 그 랜덤 수 (Rx) 를 사용할 수도 있다 (324). 새로운 그룹 키 (GK2) 가 생성되면, 액세스 단말기 (118) 는 그 활성 세트 내의 모든 액세스 노드들, 이 경우에는 AN-A (110), AN-B (112), 및 AN-D (116) 에 새로운 그룹 키 (GK2) 를 분배할 수도 있다.
새로운 그룹 키 (GK2) 를 AN-B (112) 에 전송하기 위해, 액세스 단말기 (118) 는 고유의 임시 유니캐스트 키 (TUK_B) 를 사용하여 새로운 그룹 키 (GK2) 를 암호화할 수도 있고 (326), 그 후, 암호화된 새로운 그룹 키 (GK2) 를 액세스 노드 B (AN-B) 에 송신할 수도 있다 (328). 분배 이전에 새로운 그룹 키 (GK2) 를 암호화함으로써, 가능한 도청자 (eavesdropper) 들이 그룹 키 (GK2) 를 획득하는 것을 방지한다. 그 후, 액세스 노드 (AN-B) (112) 는, 액세스 노드 (AN-B) (112) 가 액세스 단말기 (118) 에 의한 후속하는 멀티캐스트 메시지 브로드캐스트들을 암호해독할 수도 있도록, TUK-B 를 사용하여 암호화된 그룹 키 (GK2) 를 암호해독하여 새로운 그룹 키 (GK2) 를 획득할 수도 있다 (330). 액세스 단말기 (118) 는 액세스 노드 D (116) 에 대한 고유의 임시 유니캐스트 키 (TUK_D) 를 이용하여 새로운 그룹 키 (GK2) 를 유사하게 암호화할 수도 있고 (332), 그 후, 암호화된 그룹 키 (GK2) 를 액세스 노드 D (AN-D) 에 송신할 수도 있다 (334). 그 후, 액세스 노드 (AN-D) (116) 는, 액세스 노드 (AN-D) (116) 가 액세스 단말기 (118) 에 의해 브로드캐스트된 후속하는 멀티캐스트 메시지들을 암호해독할 수도 있도록, TUK_D 를 사용하여 암호화된 그룹 키 (GK2) 를 암호해독하여 새로운 그룹 키 (GK2) 를 획득할 수도 있다 (336). 그 후, 액세스 단말기 (118) 는 고유의 임시 유니캐스트 키 (TUK_A) 를 이용하여 그룹 키 (GK2) 를 암호화할 수도 있고 (338), 암호화된 그룹 키 (GK2) 를 액세스 노드 A (AN-A) 에 송신할 수도 있다 (340). 그 후, 액세스 노드 A (AN-A) (110) 는, 액세스 노드 A (AN-A) (110) 가 액세스 단말기에 의해 브로드캐스트된 후속하는 멀티캐스트 메시지를 암호해독할 수도 있도록, TUK_A 를 사용하여 암호화된 그룹 키 (GK2) 를 암호해독하여 새로운 그룹 키 (GK2) 를 획득할 수도 있다 (342). 그 후, 통신들은 새로운 그룹 키 (GK2) 를 사용하여, AN-A (110), AN-B (112), 및 AN-D (116) 와 액세스 단말기 (118) 사이에서 안전하게 확립될 수도 있다. 이 프로세스는 액세스 단말기 (118) 에 대한 활성 세트 내의 모든 액세스 노드들이 새로운 그룹 키 (GK2) 를 수신할 때까지 반복될 수도 있다.
제 3 특징에 따르면, 액세스 단말기는 그룹 키를 사용하여 멀티캐스트 메시지를 전송할 수도 있다. 일례에서, 액세스 단말기 (118) 는 그 활성 세트의 모든 멤버들에 멀티캐스트 메시지를 브로드캐스트할 수도 있다. 이 예에서, 액세스 노드 (AN-B) (112) 가 액세스 단말기 (118) 에 대한 현재의 서빙 액세스 노드라고 간주된다. 멀티캐스트 메시지는, 보안이 바람직한지 또는 단지 검증이 바람직한지에 따라, 새로운 그룹 키 (GK2) 를 사용하여 암호화되거나 또는 서명될 수도 있다. 액세스 단말기 (118) 는 그룹 키 (GK2) 를 이용하여 멀티캐스트 메시지를 암호화하거나 또는 디지털 서명할 수도 있고 (344), 예컨대 이 예에서는 액세스 노드 B (AN-B) (112) 와 같은 서빙 액세스 노드에 멀티캐스트 메시지를 브로드캐스트할 수도 있다 (346). 보안 메시지 송신이 바람직한 경우에, 멀티캐스트 메시지는 액세스 단말기 (118) 에 의해 그룹 키 (GK2) 를 사용하여 암호화될 수도 있고, 동일한 그룹 키 (GK2) 를 사용하여 액세스 노드들에 의해 (수신 시에) 암호해독될 수도 있다. 대안으로, (예컨대, 비-개인적인 정보에 대해) 단지 인증/검증이 바람직한 경우에, 액세스 단말기 (118) 는 그룹 키 (GK2) 를 사용하여 멀티캐스트 메시지를 서명할 수도 있고, 그 멀티캐스트 메시지는 동일한 그룹 키 (GK1) 를 사용하여 수신 액세스 노드들에 의해 검증될 수 있다.
수신 시에, 서빙 액세스 노드 (AN-B) (112) 는 그룹 키 (GK2) 를 사용하여 메시지를 암호해독/검증/인증할 수도 있다 (348). 또한, 서빙 액세스 노드 (AN-B) 는 (예컨대, 백홀 네트워크/채널 또는 무선 네트워크를 통해) 다른 액세스 노드들에 멀티캐스트 메시지를 포워딩하거나 또는 리브로드캐스트 (rebroadcast) 할 수도 있다. 예컨대, 서비스하는 액세스 노드 (AN-B) 는 액세스 노드 D (AN-D) (350) 및 액세스 노드 A (AN-A) (354) 에 암호화된/서명된 메시지를 포워딩할 수도 있고, 그 메시지는 그룹 키 (GK2) 를 사용하여 암호해독/검증된다 (352 및 356).
제 4 특징에 따르면, 액세스 단말기는 그 현재의 서빙 액세스 노드를 새로운 서빙 액세스 노드로 변경할 수도 있다. 액세스 노드 B (AN-B) 가 현재의 서빙 액세스 노드이고 액세스 노드 A 가 앵커 액세스 노드인 일례에서, 액세스 단말기 (118) 는, 액세스 노드 B (112) (AN-B) 로부터 액세스 노드 D (AN-D) (116) 로와 같이, 그 현재의 서빙 액세스 노드로부터 새로운 서빙 액세스 노드로 핸드오프 또는 스위치가 발생해야 하는지를 결정하기 위해, 로컬 액세스 노드들로부터 브로드캐스트들 (예컨대, 핑들 또는 비컨들) 을 청취하는 것을 계속할 수도 있다 (358). 즉, 액세스 단말기 (118) 가 상이한 섹터 또는 셀로 로밍하거나 또는 이동할 때, 그 활성 세트 내에 현재 존재하거나 또는 존재하지 않는 다른 액세스 노드로부터 더 강한 신호가 검출될 수도 있다. 몇몇 예들에서, 액세스 단말기 (118) 는 그 활성 세트로부터 새로운 서빙 액세스 노드를 선택할 수도 있다. 현재의 서빙 액세스 노드로부터 새로운 서빙 액세스 노드로 스위칭해야 하는지에 대한 판정은 각각의 액세스 노드로부터의 신호 강도에 기초할 수도 있다 (예컨대, 가장 강한 신호를 갖는 액세스 노드가 서빙 액세스 노드로서 선택된다). 액세스 단말기 (118) 에 의해 새로운 서빙 액세스 노드로의 스위치 또는 핸드오프가 판정되는 경우에, 요청이 전송될 수도 있다 (360). 새로운 서빙 액세스 노드로 전환하는 프로세스는 다양한 방식들로 수행될 수도 있다. 예컨대, 액세스 단말기 (118) 는 새로운 서빙 액세스 노드 (116) (AN-D) 로의 스위치를 표시하는 메시지를 현재의 서빙 액세스 노드 (112) (AN-B) 또는 앵커 액세스 노드 (110) (AND-A) 에 전송할 수도 있다. 대안으로, 액세스 단말기 (118) 는 메시지를 새로운 서빙 액세스 노드 (116) (AN-D) 로 제어 채널을 통해 직접적으로 전송할 수도 있거나, 또는 현재의 서빙 액세스 노드 (112) (AN-B) 를 통해 간접적으로 전송할 수도 있다.
새로운 서빙 액세스 노드 (AN-D) (116) 는, 앵커 액세스 노드 (AN-A) (110) 에 전송될 수도 있는 (368) 데이터 터널 요청 메시지를 (예컨대, 그룹 키 (GK2) 를 사용하여) 서명/암호화할 수도 있다 (366). 그 후, 앵커 액세스 노드 (110) (AN-A) 는 그룹 키 (GK2) 를 사용하여 요청 메시지 및/또는 요청 액세스 노드 (AN-D) 를 인증할 수도 있다 (370). 예컨대, 앵커 액세스 노드 (AN-A) (110) 는 (활성 세트의 멈버들에게 알려진) 그룹 키 (GK2) 를 사용함으로써 요청 액세스 노드 (AN-D) (116) 가 활성 세트의 정당한 멤버인 것을 검증할 수도 있다. 메시지가 인증되면, 앵커 노드 (AN-A) (110) 는 새로운 서빙 액세스 노드 D (AN-D) 와 데이터 터널을 확립할 수도 있다 (372). 또한, 데이터 포워드-링크가 새로운 서빙 액세스 노드 (AN-D) (110) 와 액세스 단말기 사이에 확립될 수도 있다 (374).
하나의 액세스 노드로부터 다른 액세스 노드로 서빙 액세스 노드들을 안전하게 스위칭하는 프로세스는 다수회 반복될 수도 있다. 일례에서, 이는 통신 세션의 중간에서 수행될 수도 있다 (예컨대, 통신 세션 링크가 제 1 서빙 액세스 노드로부터 제 2 서빙 액세스 노드로 핸드오프된다). 예컨대, 도 1에서, 액세스 단말기 (118) 는 현재의 셀 (104) 로부터 새로운 셀 (106) 로 로밍 또는 이동할 수도 있고, 현재의 서빙 액세스 노드 (AN-B) (112) 로부터 또 다른 액세스 노드로 통신 세션을 핸드오프하려고 할 수도 있다. 액세스 단말기 (118) 는, 새로운 액세스 노드가 액세스 단말기의 활성 세트 내에 있는 경우에, 그룹 키를 이용하여 새로운 서빙 액세스 노드와 통신할 수도 있다.
활성 세트의 모든 멤버들에게 그룹 키를 제공하는 것의 이점은, 액세스 단말기가 그룹 키에 의해 암호화된 메시지의 단일의 카피를 전송할 수도 있고, 활성 세트 또는 그룹의 멤버들만이 그 메시지를 암호해독하고 그 메시지를 이해할 수 있다는 것이다. 이는, 활성 세트의 각각의 멤버가 메시지를 암호화하는데 사용되는 그룹 키를 가질 수도 있기 때문이다.
도 4는 멀티캐스트 메시지를 인증하고 요청 액세스 노드가 현재 활성 세트의 유효한 멤버인 것을 검증하는데 사용될 수도 있는 그룹 키 분배 기법을 예시한다. 이 분배 기법에서, 액세스 노드 (AN) 가 활성 세트에 추가되는 경우에, 액세스 단말기 (AT) 와 액세스 노드 사이에서 임시 유니캐스트 키 (TUK) 가 협정될 수도 있다. 액세스 단말기 (AT) 는 그룹 키들을 생성, 관리, 및/또는 그 활성 세트 내의 각각의 액세스 노드 (AN) 에 분배할 수도 있다. 그룹 키 (GK) 는, 액세스 노드가 활성 세트에 합류하는 경우에, 액세스 단말기 (AT) 에 의해 액세스 노드 (AN) 에 제공될 수도 있다. 액세스 단말기 (AT) 로부터 액세스 노드 (AN) 로의 분배 동안에, 액세스 단말기 (AT) 로부터 액세스 노드 (AN) 로의 송신 이전에, 그룹 키 (GK) 는 액세스 노드의 고유의 임시 유니캐스트 키 (TUK) 에 의해 암호화될 수도 있다. 활성 세트의 각각의 멤버가 동일한 그룹 키 (GK) 를 갖기 때문에, 수신 액세스 노드들은 멀티캐스트 메시지를 암호해독 및/또는 인증할 수도 있다. 또한, 각각의 액세스 노드가 그 소유의 TUK 를 사용하여 새로운 그룹 키를 암호해독하기 때문에, 액세스 노드들은 쉽게 활성 세트에 추가될 수도 있거나 또는 활성 세트로부터 제거될 수도 있고, 멀티캐스트 메시지들이 인증되고 요청 액세스 노드들이 검증되는 것을 여전히 허용할 수도 있다. 예컨대, 제 1 액세스 노드는 제 2 액세스 노드가 액세스 단말기에 대한 활성 세트의 멤버인 것을 검증할 수도 있고, 제 1 액세스 노드는 활성 세트에 대한 그룹 키를 이용하여 암호화된/서명된 메시지를 (제 2 액세스 노드로부터) 수신할 수도 있다. 수신된 메시지가 제 1 액세스 노드에 의해 암호해독/인증될 수 있는 경우에, 전송 액세스 노드는 활성 세트 내에 존재한다.
종래 기술의 접근법에서, 이동 무선 통신 시스템은 액세스 단말기에 서비스를 제공하는 다수의 액세스 노드들을 갖는다. 액세스 노드들 사이에서 통신 핸드오프가 존재하는 경우에, 액세스 단말기는 액세스 단말기가 통신하는 각각의 액세스 노드에 대한 고유의 보안 키들을 유지한다. 그러나, 이 아키텍쳐는, 액세스 단말기가 브로드캐스트 또는 멀티캐스트 메시지들을 전송하는 경우에 심각한 보안 리스크들을 생성한다. 예컨대, 액세스 단말기가 에어-인터페이스 메시지와 같은 멀티캐스트 메시지를 서빙 액세스 노드를 통해 활성 세트 내의 모든 액세스 노드들에 안전하게 전송할 필요가 있는 경우에, 공격자는 멀티캐스트 메시지를 위조하고 위조된 메시지를 액세스 노드에 전송할 수도 있다. 종래 기술의 아키텍쳐에서, 액세스 노드는 전송자의 아이덴티티를 검증할 수 없고, 이는 보안 리스크를 생성한다.
또한, 활성 세트 내의 액세스 노드는, 임의의 소정의 시간에서, 서빙 액세스 노드로서 선택될 수도 있고, 그 액세스 노드가 액세스 단말기에 데이터를 전달할 수 있도록 앵커 노드와 데이터 터널을 확립하기 위해 요청할 수도 있다. 그러나, 종래 기술의 아키텍쳐에서, 요청 액세스 노드는 활성 세트의 현재 유효한 멤버가 아닐 수도 있고, 따라서 가능한 보안 리스크를 생성할 수도 있다.
도 1 내지 도 4 및 여기서의 설명에서 사용되는 바와 같이, 임시 유니캐스트 키들 (TUK) 은, 이들이 특정한 액세스 노드/액세스 단말기 쌍에 대해 특정하고/하거나 이들이 통신 세션이 핸드오프된 이후의 제한된 시간의 양 동안만 사용될 수도 있다는 점에서, 임시 키들이라 또한 지칭될 수도 있다. 몇몇 구현들에서, 그러한 임시 키들은 통신 세션이 다른 액세스 노드로 핸드오프되거나 또는 통신 세션이 종료될 때까지의 연장된 시간의 기간 동안 사용될 수도 있다.
도 5는 멀티캐스트 메시지 보안을 위한 그룹 키 분배 및 관리를 수행하도록 구성된 액세스 단말기 (502) 를 예시하는 블록도이다. 액세스 단말기의 다양한 예들은 무선 통신 디바이스, 이동 단말기, 및 이동 전화기 또는 셀 전화기를 포함한다. 액세스 단말기 (502) 는, 액세스 노드들과 통신하기 위한 무선 통신 인터페이스 (506) 및 액세스 노드들과 연관된 고유의 임시 유니캐스트 키 (TUK) 들 및 그룹 키 (GK) 를 저장하기 위한 스토리지 디바이스 (508) 에 커플링된 프로세싱 회로 (504) 를 포함할 수도 있다. 프로세싱 회로 (504) (예컨대, 프로세서, 프로세싱 모듈 등) 는 통신 세션을 보안하는데 사용될 수 있는 하나 이상의 그룹 키들을 생성하도록 구성된 그룹 키 생성기 모듈 (510) 을 포함할 수도 있다. 프로세싱 회로 (504) 는 액세스 노드들을 청취하고 그 활성 세트에 추가하도록 구성될 수도 있다. 프로세싱 회로 (504) 는, 그룹 키 (GK) 가 각각의 액세스 노드에 대한 고유의 임시 유니캐스트 키를 사용함으로써 활성 세트 내의 액세스 노드들에 안전하게 분배되도록, 그룹 키 (GK) 를 관리할 수도 있다. 또한, 프로세싱 회로 (504) 는, 액세스 노드가 활성 세트로부터 제거되는 경우에, 그룹 키 (GK) 를 새로운 그룹 키로 교체하도록 구성될 수도 있다. 그룹 키 (GK) 는 그 활성 세트 내의 액세스 노드들에 대해 의도된 멀티캐스트 메시지를 암호화하는데 사용될 수도 있다.
도 6은 액세스 노드들의 활성 세트에 액세스 노드를 추가하기 위해 액세스 단말기에서 동작하는 방법을 예시하는 플로우도이다. 초기에, 액세스 단말기는 로컬 액세스 노드들로부터의 브로드캐스트들을 청취할 수도 있다 (602). 액세스 노드가 현재 활성 세트 내에 존재하지 않는다고 식별되는 경우에, 액세스 단말기는 액세스 노드가 그 활성 세트에 추가되어야 하는지를 결정할 수도 있다 (604). 예컨대, 이는 액세스 노드들로부터 수신되는 파일럿 신호의 강도에 의해 결정될 수도 있으며, 더 강한 파일럿 신호들이, 대응하는 액세스 노드들이 액세스 단말기에 더 근접하다고 간주되므로 바람직하다. 새롭게 식별된 액세스 노드가 약한 파일럿 신호를 갖는 경우에, 그 새롭게 식별된 액세스 노드는 활성 세트에 추가되지 않고, 그 액세스 노드에 그룹 키가 전송되지 않는다 (606). 그렇지 않은 경우에, 액세스 단말기는 새롭게 식별된 액세스 노드를 그 활성 세트에 추가하기로 선택할 수도 있다 (608). 액세스 단말기는 새롭게 식별된 액세스 노드로부터 임시 유니캐스트 키 (TUK) 를 획득할 수도 있다 (610). 그 후, 액세스 단말기는 새롭게 식별된 액세스 노드의 임시 유니캐스트 키 (TUK) 를 사용하여 메시지 내에 그룹 키를 암호화할 수도 있고, 그것을 새롭게 식별된 액세스 노드에 전송할 수도 있다 (612).
도 7은 액세스 노드들의 활성 세트로부터 액세스 노드를 제거하고 그룹 키를 교체하기 위해 액세스 단말기에서 동작하는 방법을 예시하는 플로우도이다. 초기에, 액세스 단말기는 활성 세트 내의 액세스 노드가 제거되어야 하는지를 결정할 수도 있다 (702). 제거될 액세스 노드와 액세스 단말기 사이의 통신이 종료될 수도 있다 (704). 그 후, 액세스 단말기는 그 활성 세트로부터 액세스 노드를 제거할 수도 있다 (706). 액세스 노드가 제거되면, 액세스 단말기는 새로운 그룹 키를 생성하는데 사용될 수도 있는 랜덤 수 (Rx) 를 생성할 수도 있다 (708). 새로운 그룹 키가 생성되면, 액세스 단말기는 활성 세트 내의 액세스 노드와 연관된 임시 유니캐스트 키를 사용하여 그 새로운 그룹 키를 암호화할 수도 있고, 암호화된 그룹 키를 대응하는 액세스 노드에 전송할 수도 있다 (710). 새로운 그룹 키의 암호화는 활성 세트 내의 액세스 노드들의 각각에 대해 반복되고, 각각의 암호화된 그룹 키는 대응하는 액세스 노드에 전송된다 (712).
도 8은 액세스 노드들의 활성 세트에 멀티캐스트 메시지를 브로드캐스트하기 위해 액세스 단말기에서 동작하는 방법을 예시하는 플로우도이다. 초기에, 액세스 단말기는 액세스 단말기와 연관된 그룹 키를 사용하여 멀티캐스트 메시지를 암호화/서명할 수도 있다 (802). 즉, 그룹 키는 활성 세트 내의 액세스 노드들에 이전에 분배되었을 수도 있다. 그 후, 액세스 단말기는 암호화된/서명된 멀티캐스트 메시지를 액세스 단말기에 대한 활성 세트 내의 액세스 노드들에 브로드캐스트할 수도 있다 (804). 일례에서, 이는 암호화된/서명된 멀티캐스트 메시지를 액세스 단말기에 대한 현재의 서빙 액세스 노드에 전송함으로써 행해질 수도 있다. 그 후, 현재의 서빙 액세스 노드는 암호화된/서명된 멀티캐스트 메시지를 복제하고 활성 세트 내의 다른 액세스 노드들에 포워딩할 수도 있다.
도 9는 제 1 서빙 액세스 노드로부터 제 2 또는 새로운 서빙 액세스 노드로 변경하기 위해 액세스 단말기에서 동작하는 방법을 예시하는 플로우도이다. 액세스 단말기는 제 1 액세스 노드를 통해 무선 통신 서비스들을 안전하게 확립할 수도 있다 (902). 그 후, 액세스 단말기는 다른 로컬 액세스 노드들로부터의 파일럿 브로드캐스트들을 청취할 수도 있다 (904). 즉, 액세스 노드들은 주기적인 파일럿 또는 비컨들을 전송하여 이들의 존재를 로컬 단말기들에 통지할 수도 있다. 다른 액세스 노드(들)가 식별되지 않는 경우에, 액세스 단말기는 무선 통신 서비스들을 위해 제 1 액세스 노드를 사용하는 것을 계속한다. 그러나, 제 2 액세스 노드가 식별되는 경우에 (906), 액세스 단말기는 기존의 무선 통신 서비스가 제 1 액세스 노드로부터 제 2 액세스 노드로 변경되거나 또는 스위칭되어야 하는지를 결정할 수도 있다 (908). 이는, 제 1 액세스 노드의 파일럿 신호 강도 및/또는 품질을 제 2 액세스 노드의 파일럿 신호 강도 및/또는 품질과 비교함으로써 결정될 수도 있다. 즉, 액세스 단말기가 상이한 섹터 또는 셀로 로밍하거나 또는 이동할 때, 다른 액세스 노드들 (예컨대, 제 2 액세스 노드) 로부터 더 강한 파일럿 신호가 검출되어, 새로운 서빙 액세스 노드로의 무선 통신 서비스들의 핸드오버를 발생시킬 수도 있다. 제 1 액세스 노드로부터의 파일럿 신호가 다른 파일럿 신호들보다 더 강한 경우에, 액세스 단말기는 제 1 액세스 노드를 통해 그 무선 통신 서비스들을 계속할 수도 있다 (910). 그렇지 않은 경우에, 제 2 액세스 노드에 보안 그룹 키가 제공될 수도 있으며, 그룹 키는 액세스 노드들의 현재의 활성 세트 내의 하나 이상의 액세스 노드들에 알려져 있다 (912). 그 후, 액세스 단말기는, 새로운 포워드-링크 서빙 액세스 노드가 될 수도 있는 제 2 액세스 노드로의 무선 통신 서비스 (예컨대, 통신 링크, 기존의 통신 세션 등) 의 핸드오버를 개시하기로 선택할 수도 있다 (914). 그 후, 액세스 단말기는 제 2 액세스 노드를 통해 무선 통신 서비스들을 개시할 수도 있다 (916). 그 후, 그룹 키를 이용하여 암호화된/서명된 멀티캐스트/브로드캐스트 메시지가 제 2 액세스 노드를 통해 전송될 수도 있다 (918).
도 10은 액세스 단말기로부터 하나 이상의 액세스 노드들로의 보안 멀티캐스트 메시지 분배를 용이하게 하기 위해 액세스 단말기 상에서 동작하는 방법을 예시하는 플로우도이다. 액세스 단말기는 액세스 노드들의 활성 세트 리스트를 유지할 수도 있고 (1002), 활성 세트 내의 각각의 액세스 노드에 대한 임시 유니캐스트 키를 획득할 수도 있으며 (1004), 활성 세트에 대한 제 1 그룹 키를 생성할 수도 있다 (1006). 그 후, 액세스 단말기는 활성 세트 내의 제 1 액세스 노드에 대한 제 1 임시 유니캐스트 키를 이용하여 제 1 그룹 키를 암호화할 수도 있으며 (1008), 암호화된 제 1 그룹 키를 제 1 액세스 노드에 전송할 수도 있다 (1010). 유사하게, 액세스 단말기는 활성 세트 내의 다른 액세스 노드들에 대한 다른 임시 유니캐스트 키들을 이용하여 제 1 그룹 키를 암호화할 수도 있으며 (1012), 암호화된 제 1 그룹 키들의 각각을, 그 각각을 암호화하는데 이용하였던 임시 유니캐스트 키에 대한 대응하는 액세스 노드에 전송할 수도 있다 (1014). 그 후, 액세스 단말기는 제 1 그룹 키를 이용하여 암호화된/서명된 멀티캐스트/브로드캐스트 메시지를 전송할 수도 있다 (1016).
또한, 액세스 단말기는 그 활성 세트로부터 액세스 노드가 제거되는 경우에, 제 1 그룹 키를 제 2 그룹 키로 교체할 수도 있고 (1018), 제 2 그룹 키의 암호화된 버전들을 그 활성 세트 내의 액세스 노드들에 분배할 수도 있으며 (1020), 제 2 그룹 키의 암호화된 버전들은 활성 세트 내의 각각의 액세스 노드에 대한 임시 유니캐스트 키들을 이용하여 암호화된다.
또한, 액세스 단말기는 통신 인터페이스를 통한 무선 통신 서비스들에 대한 현재의 서빙 액세스 노드로서 액세스 노드를 활성 세트로부터 선택할 수도 있으며 (1022), 액세스 단말기로 및 액세스 단말기로부터의 무선 통신들은 서빙 액세스 노드를 통해 라우팅된다. 또한, 액세스 단말기는 활성 세트 내의 다른 액세스 노드가 현재의 서빙 액세스 노드보다 더 우수한 무선 통신 서비스들을 제공할 수 있는지를 결정할 수도 있으며 (1024), 새로운 서빙 액세스 노드가 현재의 서빙 액세스 노드보다 더 우수한 무선 통신 서비스들을 제공하는 경우에, 현재의 서빙 액세스 노드로부터 새로운 서빙 액세스 노드로 통신 서비스들을 스위칭할 수도 있다 (1026).
도 11은 그룹 키 분배 및/또는 관리를 용이하게 하도록 구성된 액세스 노드 (1102) 를 예시하는 블록도이다. 액세스 노드 (1102) 는, 하나 이상의 액세스 단말기들과 통신하기 위한 무선 통신 인터페이스 (1106), 다른 액세스 노드들과 통신하기 위한 네트워크 통신 인터페이스 (1008), 및 (액세스 노드와 연관된) 고유의 임시 유니캐스트 키 (TUK) 및 (액세스 단말기들과 연관된) 그룹 키들을 저장하기 위한 스토리지 디바이스 (1110) 에 커플링된 프로세싱 회로 (1104) 를 포함할 수도 있다. 프로세싱 회로 (1104) (예컨대, 프로세서, 프로세싱 모듈 등) 는, 액세스 단말기와의 무선 통신 링크 (예컨대, 무선 통신 서비스) 를 보안하는데 사용될 수 있는 하나 이상의 임시 유니캐스트 키들 (TUK) 을 생성하도록 구성된 임시 키 생성기 모듈을 포함할 수도 있다. 또한, 프로세싱 회로 (1104) 는 액세스 단말기로부터 획득된 그룹 키를 사용하여 동일한 액세스 단말기와 연관된 다른 액세스 노드에 자신을 인증하도록 구성될 수도 있다. 예컨대, 제 1 액세스 단말기에 대한 서빙 액세스 노드가 되는 프로세스 동안에, 액세스 노드 (1102) 는 제 1 액세스 노드에 대한 그룹 키 (GK1) 를 사용하여 앵커 액세스 노드 또는 이전의 서빙 액세스 노드에 자신을 인증할 수도 있다.
도 12는 액세스 단말기와 연관된 액세스 노드들의 활성 세트에 합류하기 위해 액세스 노드에서 동작하는 방법을 예시하는 플로우도이다. 액세스 노드는 고유의 임시 유니캐스트 키를 액세스 단말기에 전송할 수도 있다 (1202). 액세스 노드는 액세스 단말기로부터 그룹 키를 포함하는 암호화된 메시지를 수신할 수도 있으며 (1204), 그 고유의 임시 유니캐스트 키를 이용하여 메시지를 암호해독하여 그룹 키를 획득할 수도 있다 (1206). 그 후, 보안 통신 세션이 액세스 단말기와 개시될 수도 있다 (1208).
도 13은 액세스 단말기와 연관된 활성 세트에 대한 그룹 키를 교체하기 위해 액세스 노드에서 동작하는 방법을 예시하는 플로우도이다. 그러한 방법은 활성 세트로부터 액세스 노드가 제거되는 경우에 수행될 수도 있다. 액세스 노드는 액세스 단말기로부터 새로운 그룹 키를 포함하는 암호화된 메시지를 수신할 수도 있으며, 그 메시지는 액세스 단말기에 액세스 노드에 의해 이전에 분배된 임시 유니캐스트 키 (TUK) 를 이용하여 암호화된다 (1302). 그 후, 액세스 노드는 고유의 임시 유니캐스트 키를 이용하여 메시지를 암호해독하여 새로운 그룹 키를 획득한다 (1304). 그 후, 액세스 단말기와 연관된 이전의 그룹 키를 새로운 그룹 키로 교체할 수도 있다 (1306). 액세스 노드가 서빙 액세스 노드인 경우에, 액세스 노드는 새로운 그룹 키를 포함하는 제 2 암호화된 메시지를 또한 수신할 수도 있고, 암호화된 메시지를 (예컨대, 백엔드 통신 인터페이스를 통해) 제 2 액세스 노드에 포워딩할 수도 있으며, 제 2 메시지는 제 2 액세스 노드와 연관된 제 2 임시 유니캐스트 키를 이용하여 암호화된다 (1308).
도 14는 액세스 단말기로부터 멀티캐스트 메시지를 수신 및 암호해독/인증하기 위해 액세스 노드에서 동작하는 방법을 예시하는 플로우도이다. 액세스 노드는 그룹 키를 이용하여 암호화된/서명된 멀티캐스트/브로드캐스트 메시지를 액세스 단말기로부터 수신할 수도 있으며, 그 그룹 키는 액세스 단말기에 대한 활성 세트와 연관된다 (1402). 액세스 노드는 그룹 키의 이전에 수신된 버전을 사용하여 멀티캐스트/브로드캐스트 메시지를 암호해독/인증할 수도 있다 (1404). 액세스 노드가 현재의 서빙 액세스 노드인 경우에, 액세스 노드는 암호화된/서명된 멀티캐스트/브로드캐스트 메시지를 활성 세트 내의 다른 액세스 노드들에 또한 포워딩할 수도 있다 (1406).
도 15는 새로운 서빙 액세스 노드로의 통신 서비스들의 보안 핸드오버를 용이하게 하기 위해 현재의 서빙 액세스 노드에서 동작하는 방법을 예시하는 플로우도이다. 현재의 서빙 액세스 노드는 새로운 서빙 액세스 노드로 그 통신 서비스 (예컨대, 통신 링크, 통신 세션 등) 를 핸드오버하기 위한 요청을 액세스 단말기로부터 수신할 수도 있다 (1502). 그 후, 현재의 서빙 액세스 노드는 액세스 단말기에 대한 앵커 액세스 노드에 요청을 포워딩할 수도 있다 (1504). 그 후, 현재의 서빙 액세스 노드와 앵커 액세스 노드 사이의 데이터 터널이 종료될 수도 있다. 이 방법은 도 1에 예시된 바와 같은 중앙 집중형 앵커 노드로부터의 핸드오버를 예시할 수도 있다.
(도 2에 예시된) 대안적인 구성에서 앵커 액세스 노드와의 데이터 터널을 종료하는 대신에, 현재의 서빙 액세스 노드는 새로운 서빙 액세스 노드와 데이터 터널을 간단하게 확립할 수도 있다.
도 16은 특정한 액세스 단말기에 대한 상이한 서빙 액세스 노드들로의 보안 통신 포워딩을 용이하게 하기 위해 앵커 액세스 노드에서 동작하는 방법을 예시하는 플로우도이다. 앵커 액세스 노드는 제 1 서빙 액세스 노드로부터 제 2 서빙 액세스 노드로의 통신 서비스를 핸드오버하기 위한 요청을 수신할 수도 있다 (1602). 앵커 액세스 노드는 액세스 단말기에 대한 그룹 키를 사용함으로써, 제 2 서빙 액세스 노드가 액세스 단말기에 대한 활성 세트에 속하는 것을 검증할 수도 있다 (1604). 그룹 키는 액세스 단말기에 대한 활성 세트의 멤버들인 액세스 노드들에 알려져 있을 수도 있다. 예컨대, 앵커 액세스 노드는 그룹 키를 사용하여 제 2 서빙 액세스 노드를 인증할 수도 있다. 제 2 서빙 액세스 노드가 검증되는 경우에, 앵커 액세스 노드는 제 2 서빙 액세스 노드와 데이터 터널을 확립할 수도 있고, 그 후, 제 2 서빙 액세스 노드를 통해 액세스 단말기에 대한 통신들을 포워딩한다 (1606). 또한, 앵커 액세스 노드는 제 1 서빙 액세스 노드와의 데이터 터널을 종료할 수도 있다 (1608).
도 17은 액세스 단말기로부터 하나 이상의 액세스 노드들로의 보안 멀티캐스트 메시지 분배를 용이하게 하기 위해 액세스 노드 상에서 동작하는 방법을 예시하는 플로우도이다. 액세스 노드는 임시 유니캐스트 키를 생성할 수도 있으며 (1702), 무선 통신 인터페이스를 통해 임시 유니캐스트 키를 액세스 단말기에 전송하여, 액세스 단말기에 대한 액세스 노드들의 활성 세트에 합류할 수도 있다 (1704). 응답하여, 액세스 노드는 액세스 단말기에 대한 액세스 노드들의 활성 세트와 연관된 그룹 키를 수신할 수도 있다 (1706). 이어서, 액세스 단말기는 그룹 키를 이용하여 암호화된 멀티캐스트 메시지를 액세스 단말기로부터 수신할 수도 있고/있거나 (1708), 그룹 키를 사용하여 멀티캐스트 메시지를 암호해독할 수도 있고/있거나 (1710), 액세스 단말기에 대한 액세스 노드들의 활성 세트 내의 다른 액세스 노드들에 멀티캐스트 메시지를 포워딩할 수도 있다 (1712).
또한, 액세스 노드는, 무선 통신 인터페이스를 통해 액세스 단말기와 무선 통신 서비스들을 확립하여, 액세스 단말기로 및 액세스 단말기로부터 통신들을 라우팅하기 위한 제 1 서빙 액세스 노드로서 서빙할 수도 있다 (1714). 또한, 액세스 노드는 네트워크 통신 인터페이스를 통해 액세스 단말기에 대한 앵커 액세스 노드와 데이터 터널을 확립할 수도 있으며 (1716), 그룹 키를 사용하여 앵커 액세스 노드에 자신을 인증할 수도 있다 (1718).
또한, 액세스 노드는 제 2 서빙 액세스 노드로 무선 통신 서비스들을 핸드오버하기 위한 요청을 액세스 단말기로부터 수신할 수도 있으며 (1720), 액세스 단말기와의 무선 통신 서비스들을 종료할 수도 있다 (1722).
일례에서, 액세스 단말기가 새로운 액세스 노드로 이동하는 경우에 새로운 키들을 획득하거나 또는 협정하는 것이 아니라, 액세스 단말기에 의해 키들의 활성 세트가 유지된다. 즉, 액세스 단말기는 섹터, 영역, 또는 구역 내의 복수의 액세스 노드들과 보안 연관들 (예컨대, 키들) 을 일시에 또는 동시에 확립할 수도 있다. 액세스 단말기와 함께 그러한 일시 또는 동시의 보안 연관들 (예컨대, 키들) 을 유지하는 액세스 노드들은 액세스 노드들의 "활성 세트" 라 지칭된다. 새로운 액세스 노드가 액세스 단말기의 활성 세트에 추가될 때마다, 액세스 단말기는 새로운 액세스 노드에 그룹 키를 송신할 수도 있다.
도 1, 도 2, 도 3, 도 4, 도 5, 도 6, 도 7, 도 8, 도 9, 도 10, 도 11, 도 12, 도 13, 도 14, 도 15, 도 16, 및/또는 도 17에 예시된 컴포넌트들, 단계들, 및/또는 함수들의 하나 이상은 단일의 컴포넌트, 단계, 또는 함수로 재배열 및/또는 조합될 수도 있거나, 또는 여러 컴포넌트들, 단계들, 또는 함수들로 실시될 수도 있다. 또한, 추가적인 엘리먼트들, 컴포넌트들, 단계들, 및/또는 함수들은 본 발명으로부터 벗어나지 않으면서 추가될 수도 있다. 도 1, 도 2, 도 4, 도 5, 및/또는 도 11에 예시된 장치, 디바이스들, 및/또는 컴포넌트들은 도 3, 도 6, 도 7, 도 8, 도 9, 도 12, 도 13, 도 14, 도 15, 도 16, 및/또는 도 17에서 설명된 방법들, 특징들, 또는 단계들 중 하나 이상을 수행하도록 구성될 수도 있다. 여기서 설명되는 신규한 알고리즘들은 소프트웨어 및/또는 임베딩된 하드웨어로 효율적으로 구현될 수도 있다.
당업자는 여기서 개시되는 실시형태들과 관련하여 설명된 다양한 예시적인 논리 블록들, 모듈들, 회로들, 및 알고리즘 단계들이 전자 하드웨어, 컴퓨터 소프트웨어, 또는 이들의 조합들로서 구현될 수도 있다는 것을 또한 인식할 것이다. 하드웨어와 소프트웨어의 이러한 교환성을 명백하게 예시하기 위해, 다양한 예시적인 컴포넌트들, 블록들, 모듈들, 회로들, 및 단계들은 이들의 기능에 관하여 일반적으로 상술되었다. 그러한 기능이 하드웨어로 구현되는지 또는 소프트웨어로 구현되는지는 전체 시스템에 부과되는 특정한 애플리케이션 및 설계 제약들에 따른다.
여기서 설명되는 본 발명의 다양한 특징들은 본 발명으로부터 벗어나지 않으면서 상이한 시스템들로 구현될 수 있다. 예컨대, 본 발명의 몇몇 구현들은 이동 또는 정적인 통신 디바이스 (예컨대, 액세스 단말기) 및 복수의 이동 또는 정적 액세스 노드들과 수행될 수도 있다.
전술한 실시형태들은 단지 예들일 뿐이고 본 발명을 한정하는 것으로 해석되서는 안된다. 실시형태들의 설명은 예시적이도록 의도되고, 청구의 범위를 한정하지 않도록 의도된다. 따라서, 본 교시들은 다른 타입의 장치들에 쉽게 적용될 수 있고, 다수의 대안들, 변형들, 및 변화들이 당업자에게 명백할 것이다.

Claims (65)

  1. 적어도 하나의 액세스 노드와 통신하기 위한 통신 인터페이스;
    상기 통신 인터페이스에 커플링된 프로세서를 포함하며,
    상기 프로세서는,
    액세스 노드들의 활성 세트의 리스트를 유지하고;
    상기 활성 세트 내의 각각의 액세스 노드에 대한 임시 유니캐스트 키를 획득하고;
    상기 활성 세트에 대한 제 1 그룹 키를 생성하고;
    상기 활성 세트 내의 제 1 액세스 노드에 대한 제 1 임시 유니캐스트 키를 이용하여 상기 제 1 그룹 키를 암호화하며;
    상기 암호화된 제 1 그룹 키를 상기 제 1 액세스 노드에 전송하도록 구성되는, 액세스 단말기.
  2. 제 1 항에 있어서,
    상기 프로세서는 또한,
    상기 활성 세트 내의 다른 액세스 노드들에 대한 다른 임시 유니캐스트 키들을 이용하여 상기 제 1 그룹 키를 암호화하며;
    상기 암호화된 제 1 그룹 키들의 각각을, 그 각각을 암호화하는데 이용하였던 임시 유니캐스트 키에 대한 대응하는 액세스 노드에 전송하도록 구성되는, 액세스 단말기.
  3. 제 1 항에 있어서,
    상기 임시 유니캐스트 키들의 각각은 상기 액세스 단말기 및 대응하는 액세스 노드 모두에 알려진 페어와이즈 (pairwise) 임시 유니캐스트 키들인, 액세스 단말기.
  4. 제 1 항에 있어서,
    상기 프로세서는 또한,
    상기 통신 인터페이스를 통해 액세스 노드들을 스캐닝하고;
    하나 이상의 액세스 노드들이 식별됨에 따라 상기 액세스 노드들의 활성 세트에 상기 하나 이상의 액세스 노드들을 추가하며;
    상기 활성 세트에 상기 하나 이상의 액세스 노드들이 추가됨에 따라 상기 하나 이상의 액세스 노드들의 각각과 고유의 임시 유니캐스트 키들을 확립하도록 구성되는, 액세스 단말기.
  5. 제 1 항에 있어서,
    상기 프로세서는 또한,
    상기 활성 세트로부터 일 액세스 노드가 제거되는 경우에, 상기 제 1 그룹 키를 제 2 그룹 키로 교체하고,
    상기 제 2 그룹 키의 암호화된 버전들을 상기 활성 세트 내의 액세스 노드들에 분배하도록 구성되며,
    상기 제 2 그룹 키의 암호화된 버전들은 상기 활성 세트 내의 각각의 액세스 노드에 대한 임시 유니캐스트 키들을 이용하여 암호화되는, 액세스 단말기.
  6. 제 1 항에 있어서,
    상기 프로세서는 또한,
    상기 통신 인터페이스를 통한 무선 통신 서비스들에 대한 현재의 서빙 액세스 노드로서 액세스 노드를 상기 활성 세트로부터 선택하도록 구성되며,
    상기 액세스 단말기로 및 상기 액세스 단말기로부터의 무선 통신들은 상기 현재의 서빙 액세스 노드를 통해 라우팅되는, 액세스 단말기.
  7. 제 6 항에 있어서,
    상기 프로세서는 또한,
    상기 활성 세트 내의 다른 액세스 노드가 상기 현재의 서빙 액세스 노드보다 더 우수한 무선 통신 서비스들을 제공할 수 있는지를 결정하며;
    새로운 서빙 액세스 노드가 상기 현재의 서빙 액세스 노드보다 더 우수한 무선 통신 서비스들을 제공하는 경우에, 상기 현재의 서빙 액세스 노드로부터 상기 새로운 서빙 액세스 노드로 통신 서비스들을 스위칭하도록 구성되는, 액세스 단말기.
  8. 제 1 항에 있어서,
    상기 프로세서는 또한,
    상기 제 1 그룹 키를 이용하여 암호화된 멀티캐스트 메시지를 전송하도록 구성되는, 액세스 단말기.
  9. 제 1 항에 있어서,
    상기 프로세서는 또한,
    상기 제 1 그룹 키를 이용하여 서명된 멀티캐스트 메시지를 전송하도록 구성되는, 액세스 단말기.
  10. 액세스 단말기 상에서 동작하는 방법으로서,
    액세스 노드들의 활성 세트의 리스트를 유지하는 단계;
    상기 활성 세트 내의 각각의 액세스 노드에 대한 임시 유니캐스트 키를 획득하는 단계;
    상기 활성 세트에 대한 제 1 그룹 키를 생성하는 단계;
    상기 활성 세트 내의 제 1 액세스 노드에 대한 제 1 임시 유니캐스트 키를 이용하여 상기 제 1 그룹 키를 암호화하는 단계; 및
    상기 암호화된 제 1 그룹 키를 상기 제 1 액세스 노드에 전송하는 단계를 포함하는, 액세스 단말기 상에서 동작하는 방법.
  11. 제 10 항에 있어서,
    상기 활성 세트 내의 다른 액세스 노드들에 대한 다른 임시 유니캐스트 키들을 이용하여 상기 제 1 그룹 키를 암호화하는 단계; 및
    상기 암호화된 제 1 그룹 키들의 각각을, 그 각각을 암호화하는데 이용하였던 임시 유니캐스트 키에 대한 대응하는 액세스 노드에 전송하는 단계를 더 포함하는, 액세스 단말기 상에서 동작하는 방법.
  12. 제 10 항에 있어서,
    액세스 노드들을 스캐닝하는 단계;
    하나 이상의 액세스 노드들이 식별됨에 따라 상기 액세스 노드들의 활성 세트에 상기 하나 이상의 액세스 노드들을 추가하는 단계; 및
    상기 활성 세트에 상기 하나 이상의 액세스 노드들이 추가됨에 따라 상기 하나 이상의 액세스 노드들의 각각과 고유의 임시 유니캐스트 키들을 확립하는 단계를 더 포함하는, 액세스 단말기 상에서 동작하는 방법.
  13. 제 10 항에 있어서,
    상기 활성 세트로부터 일 액세스 노드가 제거되는 경우에, 상기 제 1 그룹 키를 제 2 그룹 키로 교체하는 단계; 및
    상기 제 2 그룹 키의 암호화된 버전들을 상기 활성 세트 내의 액세스 노드들에 분배하는 단계를 더 포함하며,
    상기 제 2 그룹 키의 암호화된 버전들은 상기 활성 세트 내의 각각의 액세스 노드에 대한 임시 유니캐스트 키들을 이용하여 암호화되는, 액세스 단말기 상에서 동작하는 방법.
  14. 제 10 항에 있어서,
    무선 통신 서비스들에 대한 현재의 서빙 액세스 노드로서 액세스 노드를 상기 활성 세트로부터 선택하는 단계를 더 포함하며,
    상기 액세스 단말기로 및 상기 액세스 단말기로부터의 무선 통신들은 상기 현재의 서빙 액세스 노드를 통해 라우팅되는, 액세스 단말기 상에서 동작하는 방법.
  15. 제 14 항에 있어서,
    상기 활성 세트 내의 다른 액세스 노드가 상기 현재의 서빙 액세스 노드보다 더 우수한 무선 통신 서비스들을 제공할 수 있는지를 결정하는 단계; 및
    새로운 서빙 액세스 노드가 상기 현재의 서빙 액세스 노드보다 더 우수한 무선 통신 서비스들을 제공하는 경우에, 상기 현재의 서빙 액세스 노드로부터 상기 새로운 서빙 액세스 노드로 통신 서비스들을 스위칭하는 단계를 더 포함하는, 액세스 단말기 상에서 동작하는 방법.
  16. 제 10 항에 있어서,
    상기 제 1 그룹 키를 이용하여 암호화된 멀티캐스트 메시지를 전송하는 단계를 더 포함하는, 액세스 단말기 상에서 동작하는 방법.
  17. 제 10 항에 있어서,
    상기 제 1 그룹 키를 이용하여 서명된 멀티캐스트 메시지를 전송하는 단계를 더 포함하는, 액세스 단말기 상에서 동작하는 방법.
  18. 액세스 노드들의 활성 세트의 리스트를 유지하는 수단;
    상기 활성 세트 내의 각각의 액세스 노드에 대한 임시 유니캐스트 키를 획득하는 수단;
    상기 활성 세트에 대한 제 1 그룹 키를 생성하는 수단;
    상기 활성 세트 내의 제 1 액세스 노드에 대한 제 1 임시 유니캐스트 키를 이용하여 상기 제 1 그룹 키를 암호화하는 수단; 및
    상기 암호화된 제 1 그룹 키를 상기 제 1 액세스 노드에 전송하는 수단을 포함하는, 액세스 단말기.
  19. 제 18 항에 있어서,
    상기 활성 세트 내의 다른 액세스 노드들에 대한 다른 임시 유니캐스트 키들을 이용하여 상기 제 1 그룹 키를 암호화하는 수단; 및
    상기 암호화된 제 1 그룹 키들의 각각을, 그 각각을 암호화하는데 이용하였던 임시 유니캐스트 키에 대한 대응하는 액세스 노드에 전송하는 수단을 더 포함하는, 액세스 단말기.
  20. 제 18 항에 있어서,
    액세스 노드들을 스캐닝하는 수단;
    하나 이상의 액세스 노드들이 식별됨에 따라 상기 액세스 노드들의 활성 세트에 상기 하나 이상의 액세스 노드들을 추가하는 수단; 및
    상기 활성 세트에 상기 하나 이상의 액세스 노드들이 추가됨에 따라 상기 하나 이상의 액세스 노드들의 각각과 고유의 임시 유니캐스트 키들을 확립하는 수단을 더 포함하는, 액세스 단말기.
  21. 제 18 항에 있어서,
    상기 활성 세트로부터 일 액세스 노드가 제거되는 경우에, 상기 제 1 그룹 키를 제 2 그룹 키로 교체하는 수단; 및
    상기 제 2 그룹 키의 암호화된 버전들을 상기 활성 세트 내의 액세스 노드들에 분배하는 수단을 더 포함하며,
    상기 제 2 그룹 키의 암호화된 버전들은 상기 활성 세트 내의 각각의 액세스 노드에 대한 임시 유니캐스트 키들을 이용하여 암호화되는, 액세스 단말기.
  22. 제 18 항에 있어서,
    상기 제 1 그룹 키를 이용하여 암호화된 멀티캐스트 메시지를 전송하는 수단을 더 포함하는, 액세스 단말기.
  23. 액세스 단말기로부터 하나 이상의 액세스 노드들로의 보안 멀티캐스트 메시지 분배를 용이하게 하기 위한 명령들을 포함하는 컴퓨터 판독가능 매체로서,
    상기 명령들은 프로세서에 의해 실행되는 경우에 상기 프로세서로 하여금,
    액세스 노드들의 활성 세트의 리스트를 유지하게 하고;
    상기 활성 세트 내의 각각의 액세스 노드에 대한 임시 유니캐스트 키를 획득하게 하고;
    상기 활성 세트에 대한 제 1 그룹 키를 생성하게 하고;
    상기 활성 세트 내의 제 1 액세스 노드에 대한 제 1 임시 유니캐스트 키를 이용하여 상기 제 1 그룹 키를 암호화하게 하며;
    상기 암호화된 제 1 그룹 키를 상기 제 1 액세스 노드에 전송하게 하는, 컴퓨터 판독가능 매체.
  24. 제 23 항에 있어서,
    상기 프로세서에 의해 실행되는 경우에 상기 프로세서로 하여금,
    상기 활성 세트 내의 다른 액세스 노드들에 대한 다른 임시 유니캐스트 키들을 이용하여 상기 제 1 그룹 키를 암호화하게 하며;
    상기 암호화된 제 1 그룹 키들의 각각을, 그 각각을 암호화하는데 이용하였던 임시 유니캐스트 키에 대한 대응하는 액세스 노드에 전송하게 하는 명령들을 더 포함하는, 컴퓨터 판독가능 매체.
  25. 제 23 항에 있어서,
    상기 프로세서에 의해 실행되는 경우에 상기 프로세서로 하여금,
    액세스 노드들을 스캐닝하게 하고;
    하나 이상의 액세스 노드들이 식별됨에 따라 상기 액세스 노드들의 활성 세트에 상기 하나 이상의 액세스 노드들을 추가하게 하며;
    상기 활성 세트에 상기 하나 이상의 액세스 노드들이 추가됨에 따라 상기 하나 이상의 액세스 노드들의 각각과 고유의 임시 유니캐스트 키들을 확립하게 하는 명령들을 더 포함하는, 컴퓨터 판독가능 매체.
  26. 제 23 항에 있어서,
    상기 프로세서에 의해 실행되는 경우에 상기 프로세서로 하여금,
    상기 활성 세트로부터 일 액세스 노드가 제거되는 경우에, 상기 제 1 그룹 키를 제 2 그룹 키로 교체하게 하며;
    상기 제 2 그룹 키의 암호화된 버전들을 상기 활성 세트 내의 액세스 노드들에 분배하게 하는 명령들을 더 포함하며,
    상기 제 2 그룹 키의 암호화된 버전들은 상기 활성 세트 내의 각각의 액세스 노드에 대한 임시 유니캐스트 키들을 이용하여 암호화되는, 컴퓨터 판독가능 매체.
  27. 제 23 항에 있어서,
    상기 프로세서에 의해 실행되는 경우에 상기 프로세서로 하여금,
    상기 제 1 그룹 키를 이용하여 암호화된 멀티캐스트 메시지를 전송하게 하는 명령들을 더 포함하는, 컴퓨터 판독가능 매체.
  28. 제 23 항에 있어서,
    상기 프로세서에 의해 실행되는 경우에 상기 프로세서로 하여금,
    상기 제 1 그룹 키를 이용하여 서명된 멀티캐스트 메시지를 전송하게 하는 명령들을 더 포함하는, 컴퓨터 판독가능 매체.
  29. 액세스 단말기로부터 하나 이상의 액세스 노드들로의 보안 멀티캐스트 메시지 분배를 용이하게 하기 위한 회로로서,
    액세스 노드들의 활성 세트의 리스트를 유지하고;
    상기 활성 세트 내의 각각의 액세스 노드에 대한 임시 유니캐스트 키를 획득하고;
    상기 활성 세트에 대한 제 1 그룹 키를 생성하고;
    상기 활성 세트 내의 제 1 액세스 노드에 대한 제 1 임시 유니캐스트 키를 이용하여 상기 제 1 그룹 키를 암호화하며;
    상기 암호화된 제 1 그룹 키를 상기 제 1 액세스 노드에 전송하도록 구성되는, 보안 멀티캐스트 메시지 분배를 용이하게 하기 위한 회로.
  30. 제 29 항에 있어서,
    상기 회로는 또한,
    상기 활성 세트로부터 일 액세스 노드가 제거되는 경우에, 상기 제 1 그룹 키를 제 2 그룹 키로 교체하고;
    상기 제 2 그룹 키의 암호화된 버전들을 상기 활성 세트 내의 액세스 노드들에 분배하도록 구성되며,
    상기 제 2 그룹 키의 암호화된 버전들은 상기 활성 세트 내의 각각의 액세스 노드에 대한 임시 유니캐스트 키들을 이용하여 암호화되는, 보안 멀티캐스트 메시지 분배를 용이하게 하기 위한 회로.
  31. 제 29 항에 있어서,
    상기 회로는 또한,
    상기 제 1 그룹 키를 이용하여 암호화된 멀티캐스트 메시지를 전송하도록 구성되는, 보안 멀티캐스트 메시지 분배를 용이하게 하기 위한 회로.
  32. 적어도 하나의 액세스 단말기와 통신하기 위한 무선 통신 인터페이스; 및
    상기 무선 통신 인터페이스에 커플링된 프로세싱 회로를 포함하며,
    상기 프로세싱 회로는,
    임시 유니캐스트 키를 생성하고;
    상기 임시 유니캐스트 키를 액세스 단말기에 전송하여, 상기 액세스 단말기에 대한 액세스 노드들의 활성 세트에 합류시키며;
    상기 액세스 단말기에 대한 액세스 노드들의 활성 세트와 연관된 그룹 키를 수신하도록 구성되는, 액세스 노드.
  33. 제 32 항에 있어서,
    상기 프로세싱 회로는 또한,
    상기 그룹 키를 이용하여 암호화된 브로드캐스트 메시지를 상기 액세스 단말기로부터 수신하며;
    상기 그룹 키를 사용하여 상기 브로드캐스트 메시지를 암호해독하도록 구성되는, 액세스 노드.
  34. 제 33 항에 있어서,
    상기 프로세싱 회로는 또한,
    상기 액세스 단말기에 대한 액세스 노드들의 활성 세트 내의 다른 액세스 노드들에 상기 브로드캐스트 메시지를 포워딩하도록 구성되는, 액세스 노드.
  35. 제 34 항에 있어서,
    다른 액세스 노드들과 통신하기 위한 네트워크 통신 인터페이스를 더 포함하며,
    상기 포워딩된 브로드캐스트 메시지는 상기 네트워크 통신 인터페이스를 통해 전송되는, 액세스 노드.
  36. 제 32 항에 있어서,
    상기 프로세싱 회로는 또한,
    상기 그룹 키를 이용하여 서명된 브로드캐스트 메시지를 상기 액세스 단말기로부터 수신하며;
    상기 그룹 키를 사용하여 상기 브로드캐스트 메시지를 인증하도록 구성되는, 액세스 노드.
  37. 제 32 항에 있어서,
    상기 프로세싱 회로는 또한,
    상기 무선 통신 인터페이스를 통해 상기 액세스 단말기와 무선 통신 서비스들을 확립하여, 상기 액세스 단말기로 및 상기 액세스 단말기로부터 통신들을 라우팅하기 위한 제 1 서빙 액세스 노드로서 서빙하도록 구성되는, 액세스 노드.
  38. 제 37 항에 있어서,
    상기 프로세싱 회로는 또한,
    제 2 서빙 액세스 노드로 상기 무선 통신 서비스들을 핸드오버하기 위한 요청을 상기 액세스 단말기로부터 수신하며;
    상기 액세스 단말기와의 상기 무선 통신 서비스들을 종료하도록 구성되는, 액세스 노드.
  39. 제 38 항에 있어서,
    상기 프로세싱 회로는 또한,
    네트워크 통신 인터페이스를 통해 상기 액세스 단말기에 대한 앵커 액세스 노드와 데이터 터널을 확립하도록 구성되는, 액세스 노드.
  40. 제 32 항에 있어서,
    상기 프로세싱 회로는 또한,
    상기 그룹 키를 사용하여 앵커 액세스 노드에 자신을 인증하도록 구성되는, 액세스 노드.
  41. 액세스 노드 상에서 동작하는 방법으로서,
    임시 유니캐스트 키를 생성하는 단계;
    상기 임시 유니캐스트 키를 액세스 단말기에 전송하여, 상기 액세스 단말기에 대한 액세스 노드들의 활성 세트에 합류시키는 단계; 및
    상기 액세스 단말기에 대한 액세스 노드들의 활성 세트와 연관된 그룹 키를 수신하는 단계를 포함하는, 액세스 노드 상에서 동작하는 방법.
  42. 제 41 항에 있어서,
    상기 그룹 키를 이용하여 암호화된 브로드캐스트 메시지를 상기 액세스 단말기로부터 수신하는 단계; 및
    상기 그룹 키를 사용하여 상기 브로드캐스트 메시지를 암호해독하는 단계를 더 포함하는, 액세스 노드 상에서 동작하는 방법.
  43. 제 42 항에 있어서,
    상기 액세스 단말기에 대한 액세스 노드들의 활성 세트 내의 다른 액세스 노드들에 상기 브로드캐스트 메시지를 포워딩하는 단계를 더 포함하는, 액세스 노드 상에서 동작하는 방법.
  44. 제 41 항에 있어서,
    상기 그룹 키를 이용하여 서명된 브로드캐스트 메시지를 상기 액세스 단말기로부터 수신하는 단계; 및
    상기 그룹 키를 사용하여 상기 브로드캐스트 메시지를 인증하는 단계를 더 포함하는, 액세스 노드 상에서 동작하는 방법.
  45. 제 40 항에 있어서,
    무선 통신 인터페이스를 통해 상기 액세스 단말기와 무선 통신 서비스들을 확립하여, 상기 액세스 단말기로 및 상기 액세스 단말기로부터 통신들을 라우팅하기 위한 제 1 서빙 액세스 노드로서 서빙하는 단계를 더 포함하는, 액세스 노드 상에서 동작하는 방법.
  46. 제 45 항에 있어서,
    제 2 서빙 액세스 노드로 상기 무선 통신 서비스들을 핸드오버하기 위한 요청을 상기 액세스 단말기로부터 수신하는 단계; 및
    상기 액세스 단말기와의 상기 무선 통신 서비스들을 종료하는 단계를 더 포함하는, 액세스 노드 상에서 동작하는 방법.
  47. 제 45 항에 있어서,
    네트워크 통신 인터페이스를 통해 상기 액세스 단말기에 대한 앵커 액세스 노드와 데이터 터널을 확립하는 단계를 더 포함하는, 액세스 노드 상에서 동작하는 방법.
  48. 제 41 항에 있어서,
    상기 그룹 키를 사용하여 앵커 액세스 노드에 상기 액세스 노드를 인증하는 단계를 더 포함하는, 액세스 노드 상에서 동작하는 방법.
  49. 임시 유니캐스트 키를 생성하는 수단;
    무선 통신 인터페이스를 통해 상기 임시 유니캐스트 키를 액세스 단말기에 전송하여, 상기 액세스 단말기에 대한 액세스 노드들의 활성 세트에 합류시키는 수단; 및
    상기 액세스 단말기에 대한 액세스 노드들의 활성 세트와 연관된 그룹 키를 수신하는 수단을 포함하는, 액세스 노드.
  50. 제 49 항에 있어서,
    상기 그룹 키를 이용하여 암호화된 멀티캐스트 메시지를 상기 액세스 단말기로부터 수신하는 수단; 및
    상기 그룹 키를 사용하여 상기 멀티캐스트 메시지를 암호해독하는 수단을 더 포함하는, 액세스 노드.
  51. 제 50 항에 있어서,
    상기 액세스 단말기에 대한 액세스 노드들의 활성 세트 내의 다른 액세스 노드들에 상기 멀티캐스트 메시지를 포워딩하는 수단을 더 포함하는, 액세스 노드.
  52. 제 49 항에 있어서,
    상기 액세스 단말기와 무선 통신 서비스들을 확립하여, 상기 액세스 단말기로 및 상기 액세스 단말기로부터 통신들을 라우팅하기 위한 제 1 서빙 액세스 노드로서 서빙하는 수단을 더 포함하는, 액세스 노드.
  53. 제 52 항에 있어서,
    제 2 서빙 액세스 노드로 상기 무선 통신 서비스들을 핸드오버하기 위한 요청을 상기 액세스 단말기로부터 수신하는 수단; 및
    상기 액세스 단말기와의 상기 무선 통신 서비스들을 종료하는 수단을 더 포함하는, 액세스 노드.
  54. 제 49 항에 있어서,
    네트워크 통신 인터페이스를 통해 상기 액세스 단말기에 대한 앵커 액세스 노드와 데이터 터널을 확립하는 수단; 및
    상기 그룹 키를 사용하여 상기 앵커 액세스 노드에 자신을 인증하는 수단을 더 포함하는, 액세스 노드.
  55. 액세스 단말기로부터 하나 이상의 액세스 노드들로의 보안 멀티캐스트 메시지 분배를 용이하게 하기 위한 명령들을 포함하는 컴퓨터 판독가능 매체로서,
    상기 명령들은 프로세서에 의해 실행되는 경우에 상기 프로세서로 하여금,
    임시 유니캐스트 키를 생성하게 하고;
    무선 통신 인터페이스를 통해 상기 임시 유니캐스트 키를 액세스 단말기에 전송하여, 상기 액세스 단말기에 대한 액세스 노드들의 활성 세트에 합류시키게 하며;
    상기 액세스 단말기에 대한 액세스 노드들의 활성 세트와 연관된 그룹 키를 수신하게 하는, 컴퓨터 판독가능 매체.
  56. 제 55 항에 있어서,
    상기 프로세서에 의해 실행되는 경우에 상기 프로세서로 하여금,
    상기 그룹 키를 이용하여 암호화된 멀티캐스트 메시지를 상기 액세스 단말기로부터 수신하게 하며;
    상기 그룹 키를 사용하여 상기 멀티캐스트 메시지를 암호해독하게 하는 명령들을 더 포함하는, 컴퓨터 판독가능 매체.
  57. 제 56 항에 있어서,
    상기 프로세서에 의해 실행되는 경우에 상기 프로세서로 하여금,
    상기 액세스 단말기에 대한 액세스 노드들의 활성 세트 내의 다른 액세스 노드들에 상기 멀티캐스트 메시지를 포워딩하게 하는 명령들을 더 포함하는, 컴퓨터 판독가능 매체.
  58. 제 55 항에 있어서,
    상기 프로세서에 의해 실행되는 경우에 상기 프로세서로 하여금,
    상기 무선 통신 인터페이스를 통해 상기 액세스 단말기와 무선 통신 서비스들을 확립하여, 상기 액세스 단말기로 및 상기 액세스 단말기로부터 통신들을 라우팅하기 위한 제 1 서빙 액세스 노드로서 서빙하게 하는 명령들을 더 포함하는, 컴퓨터 판독가능 매체.
  59. 제 55 항에 있어서,
    상기 프로세서에 의해 실행되는 경우에 상기 프로세서로 하여금,
    제 2 서빙 액세스 노드로 상기 무선 통신 서비스들을 핸드오버하기 위한 요청을 상기 액세스 단말기로부터 수신하게 하며;
    상기 액세스 단말기와의 상기 무선 통신 서비스들을 종료하게 하는 명령들을 더 포함하는, 컴퓨터 판독가능 매체.
  60. 제 55 항에 있어서,
    상기 프로세서에 의해 실행되는 경우에 상기 프로세서로 하여금,
    네트워크 통신 인터페이스를 통해 상기 액세스 단말기에 대한 앵커 액세스 노드와 데이터 터널을 확립하게 하며;
    상기 그룹 키를 사용하여 상기 앵커 액세스 노드에 자신을 인증하게 하는 명령들을 더 포함하는, 컴퓨터 판독가능 매체.
  61. 액세스 단말기로부터 하나 이상의 액세스 노드들로의 보안 멀티캐스트 메시지 분배를 용이하게 하기 위한 회로로서,
    임시 유니캐스트 키를 생성하고;
    무선 통신 인터페이스를 통해 상기 임시 유니캐스트 키를 액세스 단말기에 전송하여, 상기 액세스 단말기에 대한 액세스 노드들의 활성 세트에 합류시키며;
    상기 액세스 단말기에 대한 액세스 노드들의 활성 세트와 연관된 그룹 키를 수신하도록 구성되는, 보안 멀티캐스트 메시지 분배를 용이하게 하기 위한 회로.
  62. 제 61 항에 있어서,
    상기 회로는 또한,
    상기 그룹 키를 이용하여 암호화된 멀티캐스트 메시지를 상기 액세스 단말기로부터 수신하며;
    상기 그룹 키를 사용하여 상기 멀티캐스트 메시지를 암호해독하도록 구성되는, 보안 멀티캐스트 메시지 분배를 용이하게 하기 위한 회로.
  63. 제 62 항에 있어서,
    상기 회로는 또한,
    상기 액세스 단말기에 대한 액세스 노드들의 활성 세트 내의 다른 액세스 노드들에 상기 멀티캐스트 메시지를 포워딩하도록 구성되는, 보안 멀티캐스트 메시지 분배를 용이하게 하기 위한 회로.
  64. 제 61 항에 있어서,
    상기 회로는 또한,
    상기 무선 통신 인터페이스를 통해 상기 액세스 단말기와 무선 통신 서비스들을 확립하여, 상기 액세스 단말기로 및 상기 액세스 단말기로부터 통신들을 라우팅하기 위한 제 1 서빙 액세스 노드로서 서빙하도록 구성되는, 보안 멀티캐스트 메시지 분배를 용이하게 하기 위한 회로.
  65. 제 61 항에 있어서,
    프로세서에 의해 실행되는 경우에 상기 프로세서로 하여금,
    네트워크 통신 인터페이스를 통해 상기 액세스 단말기에 대한 앵커 액세스 노드와 데이터 터널을 확립하게 하고;
    상기 그룹 키를 사용하여 상기 앵커 액세스 노드에 자신을 인증하게 하는 명령들을 더 포함하는, 보안 멀티캐스트 메시지 분배를 용이하게 하기 위한 회로.
KR1020107023723A 2008-03-25 2009-03-24 무선 통신 시스템들에 대한 그룹 키 분배 및 관리를 위한 시스템 및 방법 KR101237121B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US12/055,200 US8792646B2 (en) 2008-03-25 2008-03-25 Systems and methods for group key distribution and management for wireless communications systems
US12/055,200 2008-03-25
PCT/US2009/038128 WO2009120711A2 (en) 2008-03-25 2009-03-24 Systems and methods for group key distribution and management for wireless communications systems

Publications (2)

Publication Number Publication Date
KR20100139065A true KR20100139065A (ko) 2010-12-31
KR101237121B1 KR101237121B1 (ko) 2013-02-25

Family

ID=41114652

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020107023723A KR101237121B1 (ko) 2008-03-25 2009-03-24 무선 통신 시스템들에 대한 그룹 키 분배 및 관리를 위한 시스템 및 방법

Country Status (10)

Country Link
US (1) US8792646B2 (ko)
EP (1) EP2260631B1 (ko)
JP (2) JP2011522447A (ko)
KR (1) KR101237121B1 (ko)
CN (1) CN101981892B (ko)
BR (1) BRPI0909524A2 (ko)
CA (1) CA2718786C (ko)
RU (1) RU2480935C2 (ko)
TW (1) TWI448126B (ko)
WO (1) WO2009120711A2 (ko)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8983066B2 (en) * 2009-02-27 2015-03-17 Cisco Technology, Inc. Private pairwise key management for groups
CN101631113B (zh) 2009-08-19 2011-04-06 西安西电捷通无线网络通信股份有限公司 一种有线局域网的安全访问控制方法及其系统
US20130179951A1 (en) * 2012-01-06 2013-07-11 Ioannis Broustis Methods And Apparatuses For Maintaining Secure Communication Between A Group Of Users In A Social Network
US8948378B2 (en) 2012-02-27 2015-02-03 Motorola Solutions, Inc. Method and device for rekeying in a radio network link layer encryption system
US8781132B2 (en) 2012-03-19 2014-07-15 Motorola Solutions, Inc. Method and device for managing encrypted group rekeying in a radio network link layer encryption system
US9326144B2 (en) * 2013-02-21 2016-04-26 Fortinet, Inc. Restricting broadcast and multicast traffic in a wireless network to a VLAN
EP3331216A1 (en) * 2013-07-31 2018-06-06 NEC Corporation Devices and method for mtc group key management
CN104469763B (zh) * 2013-09-13 2018-07-17 电信科学技术研究院 一种鉴权信息传输方法及装置
WO2015063990A1 (en) * 2013-10-28 2015-05-07 Nec Corporation Security management according to location change in proximity based services
US20150124681A1 (en) * 2013-11-01 2015-05-07 Qualcomm Incorporated Synchronized group messaging
US20160218866A1 (en) * 2015-01-27 2016-07-28 Qualcomm Incorporated Group key announcement and distribution for a data link group
US10728756B2 (en) 2016-09-23 2020-07-28 Qualcomm Incorporated Access stratum security for efficient packet processing
CN108989028A (zh) * 2018-07-16 2018-12-11 哈尔滨工业大学(深圳) 群密钥分发管理方法、装置、电子设备及存储介质
RU2716207C1 (ru) * 2019-06-05 2020-03-06 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Способ децентрализованного распределения ключевой информации
US20230102966A1 (en) * 2021-09-24 2023-03-30 Cisco Technology, Inc. End-to-end secure communications with history

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6195751B1 (en) 1998-01-20 2001-02-27 Sun Microsystems, Inc. Efficient, secure multicasting with minimal knowledge
JP3805610B2 (ja) * 2000-09-28 2006-08-02 株式会社日立製作所 閉域グループ通信方法および通信端末装置
JP2002252607A (ja) 2000-12-22 2002-09-06 Nippon Telegr & Teleph Corp <Ntt> 情報配送方法及びその実施装置並びにその処理プログラムと記録媒体
US20030202494A1 (en) * 2002-04-26 2003-10-30 Drews Paul C. Establishing an ad hoc network
US20040014422A1 (en) * 2002-07-19 2004-01-22 Nokia Corporation Method and system for handovers using service description data
JP2004266342A (ja) * 2003-02-03 2004-09-24 Sony Corp 無線アドホック通信システム、端末、その端末における復号方法、暗号化方法及びブロードキャスト暗号鍵配布方法並びにそれらの方法を端末に実行させるためのプログラム
EP1614273A1 (en) 2003-04-17 2006-01-11 Cisco Technology, Inc. 802.11 using a compressed reassociation exchange to facilitate fast handoff
US7275157B2 (en) * 2003-05-27 2007-09-25 Cisco Technology, Inc. Facilitating 802.11 roaming by pre-establishing session keys
US8098818B2 (en) 2003-07-07 2012-01-17 Qualcomm Incorporated Secure registration for a multicast-broadcast-multimedia system (MBMS)
JP2006050460A (ja) * 2004-08-06 2006-02-16 Matsushita Electric Ind Co Ltd 無線ノード装置及びマルチホップ型無線システム
EP1779586A4 (en) 2004-08-11 2011-03-02 Nokia Corp DEVICE AND ASSOCIATED METHOD FOR SAFE MAKE-BEFORE-BREAK-ADDITIONING IN A WIRELESS COMMUNICATION SYSTEM
US7814322B2 (en) 2005-05-03 2010-10-12 Sri International Discovery and authentication scheme for wireless mesh networks
US7742394B2 (en) 2005-06-03 2010-06-22 Honeywell International Inc. Redundantly connected wireless sensor networking methods
US20070070959A1 (en) * 2005-09-23 2007-03-29 Almeroth Kevin C Infrastructure mesh networks
US8374122B2 (en) * 2005-12-21 2013-02-12 Cisco Technology, Inc. System and method for integrated WiFi/WiMax neighbor AP discovery and AP advertisement
AU2006338680B2 (en) * 2006-02-23 2009-11-19 Togewa Holding Ag Switching system and corresponding method for unicast or multicast end-to-end data and/or multimedia stream transmissions between network nodes
JP4989117B2 (ja) 2006-06-12 2012-08-01 キヤノン株式会社 通信装置およびその方法
US8948395B2 (en) 2006-08-24 2015-02-03 Qualcomm Incorporated Systems and methods for key management for wireless communications systems
US8578159B2 (en) 2006-09-07 2013-11-05 Motorola Solutions, Inc. Method and apparatus for establishing security association between nodes of an AD HOC wireless network

Also Published As

Publication number Publication date
EP2260631B1 (en) 2018-09-12
CA2718786C (en) 2013-12-10
CN101981892B (zh) 2015-07-15
RU2480935C2 (ru) 2013-04-27
US8792646B2 (en) 2014-07-29
BRPI0909524A2 (pt) 2016-07-19
CN101981892A (zh) 2011-02-23
TW201014301A (en) 2010-04-01
EP2260631A2 (en) 2010-12-15
JP2011522447A (ja) 2011-07-28
JP2014123979A (ja) 2014-07-03
WO2009120711A3 (en) 2010-03-04
RU2010143404A (ru) 2012-04-27
KR101237121B1 (ko) 2013-02-25
CA2718786A1 (en) 2009-10-01
US20090245517A1 (en) 2009-10-01
WO2009120711A2 (en) 2009-10-01
TWI448126B (zh) 2014-08-01

Similar Documents

Publication Publication Date Title
KR101237121B1 (ko) 무선 통신 시스템들에 대한 그룹 키 분배 및 관리를 위한 시스템 및 방법
US10412583B2 (en) Method and apparatus for new key derivation upon handoff in wireless networks
JP4965655B2 (ja) 無線通信システム用の鍵管理のためのシステムおよび方法
US20070064948A1 (en) Methods and apparatus for the utilization of mobile nodes for state transfer
US20060233376A1 (en) Exchange of key material
KR20010101280A (ko) 이동 스테이션과의 접속들을 제어하는 방법
US20210297858A1 (en) Methods and apparatus for performing access and/or forwarding control in wireless networks such as wlans
Wang et al. Fast authentication for inter-domain handover
US8819778B2 (en) Method and system for switching station in centralized WLAN when WPI is performed by access controller
US20110002272A1 (en) Communication apparatus and communication method
JP5043928B2 (ja) 暗号化および整合性のために使用されるキーを処理する方法および装置
US9391953B2 (en) Method, device, and system for notifying mobile stations participating in a non-LLE call of new LLE call

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20151230

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20161229

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20171228

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20190107

Year of fee payment: 7