KR20140139107A - 근접 서비스를 사용하는 컴퓨팅 장치용 보안 통신 - Google Patents

근접 서비스를 사용하는 컴퓨팅 장치용 보안 통신 Download PDF

Info

Publication number
KR20140139107A
KR20140139107A KR1020147030181A KR20147030181A KR20140139107A KR 20140139107 A KR20140139107 A KR 20140139107A KR 1020147030181 A KR1020147030181 A KR 1020147030181A KR 20147030181 A KR20147030181 A KR 20147030181A KR 20140139107 A KR20140139107 A KR 20140139107A
Authority
KR
South Korea
Prior art keywords
computing device
communication
key
network
access network
Prior art date
Application number
KR1020147030181A
Other languages
English (en)
Other versions
KR101603033B1 (ko
Inventor
이오아니스 브로우스티스
비올레타 카쿨레브
Original Assignee
알까뗄 루슨트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 알까뗄 루슨트 filed Critical 알까뗄 루슨트
Publication of KR20140139107A publication Critical patent/KR20140139107A/ko
Application granted granted Critical
Publication of KR101603033B1 publication Critical patent/KR101603033B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/40Security arrangements using identity modules
    • H04W12/47Security arrangements using identity modules using near field communication [NFC] or radio frequency identification [RFID] modules
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/80Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/08Randomization, e.g. dummy operations or using noise
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/63Location-dependent; Proximity-dependent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • H04W76/14Direct-mode setup

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

통신 시스템에서 근접 서비스를 사용하여 컴퓨팅 장치 사이의 보안 통신을 설정하기 위한 기술이 개시된다. 예를 들면, 통신 시스템에서 보안 통신을 제공하기 위한 방법은 다음의 단계들을 포함한다. 적어도 하나의 키가 액세스 네트워크의 적어도 하나의 네트워크 소자로부터 제 1 컴퓨팅 장치 및 적어도 제 2 컴퓨팅 장치로 전송된다. 제 1 컴퓨팅 장치와 제 2 컴퓨팅 장치는 통신 시스템에 액세스하기 위해 액세스 네트워크를 사용하고 키가 전송되기 전에 액세스 네트워크에 의해 인증된다. 키는, 제 1 컴퓨팅 장치 및 제 2 컴퓨팅 장치가 서로 근접해 있을 때 제 1 컴퓨팅 장치 및 제 2 컴퓨팅 장치 사이의 통신이 액세스 네트워크를 통과하기 전에 서로 보안 통신하도록 제 1 컴퓨팅 장치 및 제 2 컴퓨팅 장치에 의해 사용가능하다.

Description

근접 서비스를 사용하는 컴퓨팅 장치용 보안 통신{SECURE COMMUNICATIONS FOR COMPUTING DEVICES UTILIZING PROXIMITY SERVICES}
본 기술분야는 근접 서비스를 사용하는 컴퓨팅 장치와 연관되는 통신 보안에 관한 것이다.
종래의 광대역 통신 네트워크 설계는 사용자들 사이에 통신 서비스를 가능하게 해주는 것에 초점을 맞추어서, 사용자 트래픽이 항상 네트워크 코어 인프라스트럭처(즉, 코어 네트워크 또는 CN)를 통과하도록 하였다. 예를 들면, 3GPP TS 23.401, 3rd Generation Partnership Project(3세대 파트너십 프로젝트)와, Technical Specification Group Services and System Aspects(기술 명세 그룹 서비스 및 시스템 양태)와, General Packet Radio Service (GPRS) enhancements for Evolved Universal Terrestrial Radio Access Network (E-UTRAN) access (Release 11)(진화된 범용 지상 무선 액세스 네트워크(E-UTRAN) 액세스용 일반 패킷 무선 서비스(GPRS) 향상)(릴리즈 11)을 참조하고, 그 개시 내용의 전체는 본 출원에서 참조문헌으로 인용된다.
그러한 설계 접근 방식은 사용자 장비(user equipment (UE))를 인증하는 능력과, 자원 활용(예를 들면, 가령 시간 경과에 따른 업로딩/다운로딩된 데이터 트래픽의 양과 무선 인터페이스에 관한 대역폭 소비)의 측면에서 사용자 행동을 추적하는 능력과 같은 일부 사용자 관리 이점을 네트워크 운영자에게 제공한다.
또한, 트랙픽이 광대역 네트워크의 코어를 통과하도록 강제하는 것은 법률 당국에 의해 데이터 및/또는 음성 통화의 합법적 인터셉션(Lawful Interception (LI))의 지원을 가능하게 한다. 이것은 CN이 사용자 트래픽에 명시적으로 액세스할 수 있고(그러한 트래픽이 코어를 통과하기 때문임) 따라서 요청에 의해 특정 사용자 사이에 교환되는 트래픽을 얻기 위한 메커니즘을 LI 엔티티에 제공할 수 있기 때문이다. 예를 들면, 3GPP TS 33.107, 3rd Generation Partnership Project(3세대 파트너십 프로젝트), Technical Specification Group Services and System Aspects(기술 명세 그룹 서비스 및 시스템 양태), 3G Security(3G 보안), Lawful Interception architecture and functions (Release 11)(합법적 인터셉션 아키텍처 및 기능)(릴리즈 11) 및 3GPP TS 33.108, 3rd Generation Partnership Project(3세대 파트너십 프로젝트), Technical Specification Group Services and System Aspects(기술 명세 그룹 서비스 및 시스템 양태), 3G Security(3G 보안), Handover interface for Lawful Interception (LI) (Release 11)(합법적 인터셉션(LI)용 핸드오버 인터페이스)(릴리즈 11)을 참조하고, 그 개시는 본 출원에서 그 전체가 참조문헌으로 인용된다.
본 발명의 실시예는 통신 시스템에서 근접 서비스를 이용하여 컴퓨팅 장치 사이에서 보안 통신을 설정하기 위한 기술을 제공하는 것이다.
예를 들면, 본 발명의 일 실시예에서, 통신 시스템에서 보안 통신을 제공하기 위한 방법은 다음의 단계를 포함한다. 적어도 하나의 키가 액세스 네트워크의 적어도 하나의 네트워크 요소로부터 제 1 컴퓨팅 장치 및 적어도 하나의 제 2 컴퓨팅 장치에 전송된다. 제 1 컴퓨팅 장치 및 제 2 컴퓨팅 장치는 통신 시스템에 액세스하기 위해 액세스 네트워크를 사용하고 키가 전송되기 전에 액세스 네트워크에 의해 인증된다. 키는, 제 1 컴퓨팅 장치와 제 2 컴퓨팅 장치가 서로 근접해 있을 때 제 1 컴퓨팅 장치와 제 2 컴퓨팅 장치 사이의 통신이 액세스 네트워크를 통과하지 않고 서로 보안 통신하도록 제 1 컴퓨팅 장치와 제 2 컴퓨팅 장치에 의해 사용 가능하다.
본 발명의 다른 실시예에서, 통신 시스템에서 보안 통신을 제공하기 위한 방법은 다음의 단계를 포함한다. 적어도 하나의 키가 제 1 컴퓨팅 장치에서, 제 1 컴퓨팅 장치 및 적어도 하나의 제 2 컴퓨팅 장치에 전송되는 액세스 네트워크의 적어도 하나의 네트워크 요소로부터 수신된다. 제 1 컴퓨팅 장치 및 제 2 컴퓨팅 장치는 통신 시스템에 액세스하기 위해 액세스 네트워크를 사용하고, 키가 전송되기 전에 액세스 네트워크에 의해 인증된다. 키는 제 1 컴퓨팅 장치 및 제 2 컴퓨팅 장치가 서로 근접해 있을 때 제 1 컴퓨팅 장치와 제 2 컴퓨팅 장치 사이의 통신이 액세스 네트워크를 통과하지 않고 제 2 컴퓨팅 장치와 보안 통신하도록 제 1 컴퓨팅 장치에 의해 사용된다.
유익하게, 본 발명의 기술은 통신 시스템에서 근접 장치들(즉, 근접 서비스를 사용하는 컴퓨팅 장치) 사이에 보안 통신을 제공한다.
본 발명의 이러한 목적 및 다른 목적, 특징 및 장점은 첨부 도면과 관련하여 읽게 될 본 발명의 예시적인 실시예에 대한 다음의 상세한 설명으로부터 명백해질 것이다.
도 1a는 종래-기반 시나리오에서 광대역 통신 시스템에서 사용자 평면 트래픽 통과를 도시한다.
도 1b는 근접 서비스-기반 시나리오에서 광대역 통신 시스템에서 사용자 평면 트래픽 통과를 도시한다.
도 2a는 본 발명의 일 실시예에 따른 근접 서비스-기반 키 유도 및 분배 프로토콜을 도시한다.
도 2b는 본 발명의 다른 실시예에 따른 근접 서비스-기반 키 유도 및 분배 프로토콜을 도시한다.
도 3은 본 발명의 일 실시예에 따른 합법적 인터셉션의 존재에 따라 근접 서비스-기반 보안 통신 방법을 도시한다.
도 4는 본 발명의 하나 이상의 실시예에 따른 방법론 및 프로토콜 중 하나 이상을 구현하기에 적합한 통신 시스템 및 컴퓨팅 장치의 일부에 대한 하드웨어 아키텍처를 도시한다.
본 발명의 실시예는 예시적인 통신 프로토콜의 컨텍스트에서 아래에 기술될 것이다. 그러나 본 발명의 실시예는 임의의 특정 실시예에 한정되지 않는다는 것이 이해될 것이다. 오히려 본 발명의 실시예는 근접 서비스를 사용하여 컴퓨팅 장치 사이에 보안 통신을 제공하는 것이 바람직한 임의의 적절한 통신 환경에 적용할 수 있다.
본 출원에서 사용되는 "키(key)"라는 용어는 이것으로 제한되는 것은 아니지만 엔티티 인증, 프라이버시, 메시지 무결성 등과 같은 목적을 위한 암호화 프로토콜의 입력이라고 정의된다.
본 출원에서 사용되는 "보안 연결(security association)"이라는 용어는 일반적으로 둘 이상의 당사자 및/또는 장치가 통신하는 통신 환경에서 보안 정의를 말한다. 일 예에서, 보안 정의는 이것으로 한정되지는 않지만 세션 키를 포함할 수있다.
본 출원에서 사용되는 "근접 서비스(proximity services)"라는 용어는 일반적으로 사용자 트래픽이 네트워크를 통하지 않고 장치 사이에서 흐르도록 서로 근접해 있는 컴퓨팅 장치 사이의 네트워크 제어된 발견 및 통신으로 정의된다. 서로 근접해 있다는 것은 일반적으로 통신이 네트워크를 통과하지 않고 장치 사이에서(즉, 서로의 커버리지 범위 내에서) 통신가능한 서로의 거리 범위에 장치가 있다는 것을 말한다.
사용자 트래픽이 항상 CN을 통과하도록 강제하는 것은 종래-기반 방식에서와 같이 특정 배치 시나리오에서 중대한 제한 및 오버헤드를 가져온다. 도 1a는 그러한 종래-기반 시나리오에서 광대역 통신 시스템에서의 사용자 평면 트래픽 통과(user plane traffic traversal)를 도시한다. 도면에 도시된 광대역 통신 시스템은 롱 텀 에볼루션(Long Term Evolution (LTE)) 네트워크이다. 알려진 바와 같이 LTE는 3세대 파트너십 프로젝트(3rd Generation Partnership Project (3GPP))에 의해 개발된 4세대(4th Generation (4G)) 네트워크이다.
동일한 롱 텀 에볼루션(Long Term Evolution (LTE)) 네트워크(100)의 두 가입자 장치 즉, 동일한 eNB 기지국(e-Node B)(104)에 연결된 앨리스(102-A)와 밥(102-B)이 LTE 네트워크를 통해 화상 통화를 시작할 수 있도록 데이터 통신 세션을 설정하기를 원하는 경우를 고려해 보자. 참조부호(102-A 및 102-B)는 대안으로 본 출원에서 장치, 컴퓨팅 장치, 통신 장치, 가입자 장치, 최종-사용자 장치, 사용자 장비(user equipment (UE)) 등으로 언급될 수 있다는 것을 주목하자. 단지 예로써, 장치(102-A, 102-B)는 이것으로 한정되는 것은 아니지만 셀룰러 폰, 랩탑, 태블릿 등과 같은 모바일 최종-사용자 장치일 수 있다.
종래의 LTE 세팅에서, 앨리스(장치(102-A))의 패킷 및 밥(장치(102-B))의 패킷은 LTE 코어 네트워크(core network (CN))(105)를 통해 교환될 것이고, 즉, 도 1a에 도시된 바와 같이 서빙 게이트웨이(Serving Gateway (SGW))(106) 및 패킷 데이터 네트워크 게이트웨이(Packet Data Network (PDN) Gateway (PGW))(108)을 통과할 것이다. 앨리스(장치(102-A))와 밥(장치(102-B))이 서로의 송신 범위 내에 있는 동안 앨리스의 패킷은 eNB(104)를 통하여 (일반적으로 PGW(108)까지) 이동하고 거기서부터 패킷은 동일한 eNB(104)로 되돌아와서 밥에게 전달된다. (이웃 사용자들 사이의) 그러한 통신이 동시에 여러번 발생한다는 것을 고려해보면, 코어를 통한 그러한 트래픽 통과를 강제하는 것은 무선 액세스 네트워크(radio access network (RAN)) 엔티티 (예를 들면, eNB) 및 CN 엔티티 (예를 들면, SGW 및 PGW) 모두의 사용을 증가시키고, 추가적으로 백홀(backhaul) 및 무선 대역 모두 과다한 양을 소비하게 만든다.
앨리스(장치(102-A))와 밥(장치(102-B))이 "이웃(neighbors)"(즉, 서로의 커버리지 범위 내에 있음)인 배치 시나리오의 경우, 개시 내용 전체가 본 출원에서 참조문헌으로 인용되는 3GPP TR 22.803, 3rd Generation Partnership Project(3세대 파트너십 프로젝트), Technical Specification Group(기술 명세서 그룹) SA, Feasibility Study for Proximity services (ProSe) (Release 12)(근접 서비스에 대한 실행 가능성 연구)(릴리즈 12)에 기술된 것과 같은 근접 서비스(proximity services (ProSe))는 앨리스와 밥 사이에(또는 셋 이상의 사용자의 그룹 사이에서조차) 직접 장치-대-장치(direct device-to-device (D2D)) 트래픽 세션 설정 및 데이터 교환을 가능하게 한다. 도 1b는 근접 서비스-기반 시나리오에서 LTE 네트워크(100)에서 사용자 평면 트래픽 통과를 도시한다. 장치(102-A 및 102-B)는 또한 근접 서비스-기반(ProSe) 기능을 사용할 때 "근접 장치(proximity devices)"라고 지칭될 수 있다.
ProSe로 관찰할 수 있는 바와 같이, 앨리스(장치(102-A))는 RAN 또는 CN 인프라스트럭처를 포함할 필요 없이 무선 인터페이스를 통해 밥(장치(102-B))에게 직접 패킷을 전송한다. 이것은 두 가지 주요 장점 즉, (i) 데이터 트래픽 관리 동작의 측면에서 네트워크를 오프로드하고, (ii) 앨리스와 밥 사이의 직접 데이터 링크가 앨리스-eNB 및/또는 밥-eNB 링크보다 높은 패킷 전달 속도(Packet Delivery Ratio (PDR))를 유지할 때 최종-사용자 처리량을 증가시킬 수 있는 장점을 제공한다. 그러므로 ProSe는 이것으로 한정되는 것은 아니지만 실시간 비디오 스트리밍 및 온라인 게이밍과 같은 고속 모바일 인터넷 애플리케이션을 가능하게 한다.
그러나, ProSe 통신은 종래의 광대역 네트워크 배치에는 존재하지 않는 몇가지 중대한 보안적 고려 사항을 받아들여야 한다는 것을 알게 된다. 즉,
i. 기존의 설정환경에서, 셀룰러 네트워크는 앨리스(장치(102-A)) 및 밥(장치(102-B))과 개별적으로 상호 인증을 수행하고, 그들 중 각각과 별도의 고유 보안 증명서(예를 들면, 세션 키)를 더 설정한다. 예를 들면, 개시 내용 전체가 본 출원에서 참조문헌으로 인용되는 3GPP TS 33.102, 3rd Generation Partnership Project(3세대 파트너십 프로젝트); Technical Specification Group Services and System Aspects(기술 명세 그룹 서비스 및 시스템 양태); 3G Security(3G 보안); Security architecture (Release 11)(보안 아키텍처)(릴리즈 11); 및 3GPP TS 33.401, 3rd Generation Partnership Project(3세대 파트너십 프로젝트); Technical Specification Group Services and System Aspects(기술 명세서 그룹 서비스 및 시스템 양태); 3GPP System Architecture Evolution (SAE)(3GPP 시스템 아키텍처 진화); Security architecture (Release 11)(보안 아키텍처)(릴리즈 11)를 참조하라. 설정된 키는 제어 시그널링(예를 들면, 비접속 계층(Non Access Stratum (NAS) 시그널링)을 보호하도록 사용될 수 있고 eNB와 각각의 UE 사이의 무선 인터페이스를 통한 트래픽을 보호하도록 선택적으로 사용될 수 있다. 설정된 보안 증명서는 별도의 고유한 것이기 때문에 앨리스와 밥은 서로의 세션 키를 알지 못한다. 그러나 위에서 ProSe로 기술된 바와 같이, 앨리스와 밥은 직접 통신하고 네트워크를 통하지 않는다. 따라서 앨리스와 밥 모두에게 알려진 세션 키를 사용하여 앨리스와 밥 사이의 직접 통신이 보장되는 방법이 필요하다는 것이 인식된다. 그렇지 않으면, 앨리스와 밥은 그들의 교환된 패킷 데이터에 대한 암호화 및 복호화와 같은 암호화 동작을 수행할 수 없다.
ii. 3G 및 4G 네트워크 표준(예를 들면, 위에서 인용된 바와 같은 3GPP TS 33.102 및 3GPP TS 33.401을 참조)은 RAN이 UE와 네트워크 사이의 인증 동안 설정되는 세션 키의 사용을 통해, 업링크 트래픽의 소스(연결된 UE)를 확인할 수 있는 기능을 명시하고 있다. 이에 따라, 네트워크는 인증된 UE 만이 인가된 무선 대역폭을 사용할 권한을 부여받는 것을 보장할 수 있다. 그러나 ProSe에 따르며, 사용자-평면(user-plane (UP)) 트래픽은 UE 사이의 직접 무선 링크를 통해 흐른다. 결론적으로, 각각의 UE가 여전히 네트워크에 의해 인증될 수 있지만 네트워크는 ProSe 통신에 참여하는 UE가 실제로 그렇게 하도록 인가되었는지 여부를 판단할 방법이 없다. 이것은 ProSe에서, RAN 또는 코어 엔티티를 통해 트래픽이 흐르지 않는다는 것을 감안해보면 네트워크는 사용자 트래픽을 명시적으로 추적할 수 없기 때문이다.
iii. 위의 관찰을 더 진전시키면, ProSe에 따라서, 앨리스(장치(102-A))와 밥(장치(102-B))은 트래픽을 직접적으로 교환하기 때문에, 네트워크는 이제 합법적 인터셉션(Lawful interception (LI))을 가능하게 하는 기능을 수행할 수 없다. 그러나 위에서 설명된 바와 같이, 이것은 종래의 3G 및 4G 네트워크와의 문제는 없는데, 이는 사용자 트래픽이 CN을 통과하고, 그럼으로써 인터페이스를 LI 목적으로 적절히 사용할 수 있게 하기 때문이다. 따라서, ProSe 통신은 LI에 지배받는 것을 감안하면, LI가 ProSe 설정환경에서 실현가능 하도록 하는 메커니즘이 필요하다는 것이 인식된다.
따라서, 본 발명의 하나 이상의 실시예는 보안 근접 서비스를 제공한다. 예시적인 실시예에서, 상기 및 다른 보안 문제를 해결하는 방식으로 ProSe-가능 UE(위에서 언급된 앨리스와 밥과 같은 컴퓨팅 장치) 사이의 보안 연계를 설정하는 보안 ProSe(secure ProSe (SeProSe)) 방법이 제공된다. 이 방법은 다음의 기능을 제공한다.
a. ProSe 링크를 위한 ProSe 인증 및 보안 설정. SeProSe에 따라서, 각각의 UE는 이미 명시된 것과 동일한 방식으로 액세스 네트워크로 인증 및 키 동의를 수행한다. 더 나아가, 앨리스(장치(102-A))가 그녀의 이웃 밥(장치(102-B))과 ProSe 링크를 설정하기를 원할 때마다 연관된 네트워크는 앨리스와 밥이 ProSe를 위해 인가된 것을 검증하고, 그들이 인가된 것으로 검증되면, 네트워크는 공통의 비밀 키를 앨리스와 밥 모두에게 보안 프로비저닝한다. 우리는 이 키를 "PK"라 명명한다. 이 키의 보안 프로비저닝은 각각의 UE와 그 연계 네트워크 사이의 선행 인증 및 키 동의 절차 동안 설정되는 키 재료에 영향을 미친다. 앨리스와 밥은 그들의 직접적인 통신을 보장하는 방향으로 이 공통 키를 사용한다. 각각의 사용자는 연결된(그리고 인증된) 네트워크에 의해 암호화된 형태로 공통 키를 수신한다. 따라서, 앨리스는 밥이 동일한 PK 키를 소지하고 있기 때문에 밥도 또한 그의 연계 네트워크에 의해 인증되었고 ProSe를 사용하도록 인가받은 것으로 확신한다.
b. 사용자 검증 및 모니터링. PK의 사용은 ProSe-가능 UE가 무선 허가 스펙트럼을 사용하도록 인가된 것을 검증하기 위한 방법을 네트워크에 제공한다. 그러나 네트워크가 그러한 검증을 수행할 수 있기 위해, UE의 UP(사용자 평면(user plane) 또는 직접) 트래픽이 네트워크에 의해 도달 가능해야 한다. SeProSe는 연관된 네트워크가 ProSe 트래픽을 성공적으로 도청(overhear)할 수 있도록 ProSe-가능 UE가 송신 전력 레벨 및 물리적-층(physical-layer (PHY)) 비트 속도를 사용하여 트래픽을 송신하는 메커니즘을 포함한다. 그러한 송신 모드는 네트워크가 이제 UE 사이에 직접 교환되는 데이터에 액세스할 능력을 얻었기 때문에 LI의 지원을 분명히 수행할 수 있게 된 것을 주목하라. LI 지원이 필요하지 않은 배치 시나리오에서 이 메커니즘은 사용될 필요가 없다는 것을 알아야 한다.
본 발명의 다른 실시예는 이것으로 한정되지 않지만, 아래에 기술되는 예시적인 실시예에 따라 다음과 같은 일련의 추정이 이루어진다. 또한, 그러한 추정은 위협 모델(threat model)을 정의한다는 것을 주목하라. 다음과 같이 추정된다.
i. 각각의 ProSe-가능 UE는 항상 적어도 하나의 기지국(예를 들면, LTE의 경우 eNodeB)과 별도의 트래픽 경로를 유지할 능력을 갖는다. 각각의 그러한 UE는 무선 간섭을 보상하도록 그 송신 전력 및 PHY 비트 속도를 맞출 수 있다.
ii. ProSe 트래픽의 시작에 앞서, UE는 이들이 연관되어 있는 네트워크 서비스 공급자에 의해 동작되는 적어도 하나의 기지국의 커버리지 범위 내에 있다. 각각의 ProSe-가능 UE는 상이한 기지국에 연결될 수 있다.
iii. 연관된 광대역 네트워크 인프라스트럭처(RAN 및 CN)는 영구 및 세션 키와 같은 비밀 증명서를 보안 컴퓨팅, 저장 및 프로비저닝하는 측면에서 타협되지 않는다. 유사하게, UE는 영구 또는 일시적 비밀 증명서를 계산하거나, 유도하거나 또는 밝히는 측면에서 타협되지 않는다.
iv. 네트워크와 상호 인증되고 그러한 인증 및 키 동의 프로세스를 기반으로 하는 키 재료를 유도하고/획득한 UE는 네트워크에 의해 UE에 전송되는 임의의 보안 정보가 진본이고 사실이라는 것을 신뢰한다. 유사하게, 그러한 경우 네트워크는 인증된 UE가 항상 정확하고 사실인 ProSe-관련 정보를 네트워크에 전송한다는 것을 신뢰한다.
예시적인 실시예에 따르면, ProSe 보안 컨텍스트를 유도하고 분배하는 프로토콜 및 방법이 아래에 기술될 것이고, UE가 ProSe 모드로 동작할 때 합법적 인터셉션(Lawful interception (LI))이 지원되는 방법에 대한 설명이 이어질 것이다.
본 출원에서 기술되는 예시적인 실시예는 ProSe 통신이 LTE의 컨텍스트에서 이루어지는 경우에 초점을 맞추지만(즉, 지원 네트워크 인프라스트럭처가 LTE를 기반으로하는 것으로 가정함), SeProSe의 기능 중 많은 기능이, 이것으로 한정되는 것은 아니지만 범용 모바일 통신 시스템(Universal Mobile Telecommunications system (UMTS)) 및 고속 패킷 데이터(High Rate Packet Data (HRPD))와 같은 다른 유형의 네트워크에 적용할 수 있다는 것이 이해될 것이다.
본 발명의 예시적인 실시예는 두 개의 ProSe-가능 UE 사이의 직접 통신이 확보되는 것을 보장하는 해법을 제공한다. 이것은 (i) 두 개의 ProSe 가능 UE 사이의 직접 통신을 확보하도록 사용되는 세션 키의 발생 및 분배와, (ii) ProSe 통신에 연관되는 ProSe-가능 UE가 둘 다 각자의 네트워크에 의해 인증되고 ProSe의 사용을 위한 권한을 인가받는 것을 검증하기 위한 방법을 포함한다.
우리는 동일한 LTE 네트워크의 두 사람의 가입자 즉, 앨리스와 밥(도 1a 및 1b)에 도시된 바와 같은 각각의 장치(102-A, 102-B)))은 ProSe 통신을 설정하기를 원하는 시나리오를 고려한다. 종래의 설정 환경에서와 같이, ProSe 통신하기 전의 일부 시점에서, 셀룰러 네트워크는 앨리스 및 밥과 상호 인증을 수행하고 서로 별도의 고유한 보안 증명서(예를 들면, 세션 키)를 설정하였다. 이후, ProSe 발견 특징을 사용하여, 앨리스는 밥이 그녀에게 근접해 있다는 것을 발견하고 그와 ProSe 통신을 설정하기를 희망한다. ProSe 통신을 설정하기 위해, 앨리스의 UE는 그녀가 밥과 ProSe 통신을 설정하기를 원한다는 것을 표시하는 요청을 무선 액세스 네트워크(Radio Access network (RAN))에 전송한다. 앨리스가 인증된 가입자인지 검증하면, 앨리스의 RAN 네트워크는 앨리스가 ProSe 서비스에 대해 인가받았는지 검증한다. 두 가지 검증이 성공하면, RAN 네트워크는 밥이 ProSe 통신에 대해 인가된 인증된 사용자인지 더 검증한다. 만약 그러하다면, RAN은 다음과 같이 앨리스의 보안 컨텍스트(즉, KAlice)를 사용하여 세션 키 PK를 유도한다.
Figure pct00001
여기서, S는 미리 결정된 입력 파라미터를 사용하여 구성되는 문자열이고, KDF는 키 유도 함수이다(예를 들면, 개시 내용 전체가 본 출원에서 전체가 참조문헌으로 인용되는 SHA-256, Standards for Efficient Cryptography Group(효율적인 암호화 그룹을 위한 표준), "Secure Hash Standard(보안 해쉬 표준)", Federal Information Processing Standards Publication 180-2(연방 정보 처리 표준 공보 180-2), 2002년 8월, 2004년 2월 변경 통지서 1을 참조). RAN이 PK를 유도하면, RAN은 이것을 앨리스와 밥에게 보안 전송한다.
도 2a는 본 발명의 실시예에 따른 근접 서비스 기반 키 유도 및 분배 프로토콜을 도시한다. 특히 도 2a는 ProSe-가능 UE가 동일한 eNB에 연결되는 경우를 도시한다. 즉, 도시된 바와 같이, 앨리스(장치(102-A))와 밥(장치(102-B))은 동일한 eNB(104)의 커버리지 범위에 있다.
위에서 기술된 바와 같이, 앨리스와 밥은 운영자의 네트워크의 인증된 사용자이다. 그러한 인증 동작은 도 2a에서 참조부호(210-A, 210-B)로 도시된다. 또한 도 2a의 예에서, 앨리스와 밥은 동일한 eNB의 커버리지 범위에 있다(즉, 그들은 동일한 eNB에 연결된다). ProSe 검색은 단계(212)에서 수행된다.
SeProSe(보안 ProSe)에 따라, 일단 앨리스와 밥이 서로의 범위 내에 있다는 광고를 수신하면(도 2a에서 단계(214, 216)로 도시됨), 앨리스는 그녀가 밥과 ProSe 통신을 개시할 것인지 결정한다. 그러하다면, 앨리스(장치(102-A))는 그녀가 밥(장치(102-B))과 ProSe 통신을 개시하기를 원한다는 것을 표시하는 ProSe 요청(도 2의 단계(218))을 eNB(104)에 전송한다. 연결된 eNB는 앨리스와 밥 모두가 인증되고 ProSe를 사용하도록 인가받은 것을 검증한다(도 2a의 단계(220)).
앨리스와 밥이 ProSe 통신에 참여하기 위해, 그들은 먼저 인증될 필요가 있고, (예를 들면, AKA(Authentication and Key Agreement(인증 및 키 동의)) 절차에 따라) LTE의 경우 그 개시 내용 전체가 본 출원에서 참조문헌으로 인용되는 3GPP TS 33.102, 3rd Generation Partnership Project(3세대 파트너십 프로젝트); Technical Specification Group Services and System Aspects(기술 명세 그룹 서비스 및 시스템 양태); 3G Security(3G 보안); Security architecture (Release 1 1)(보안 아키텍처)(릴리즈 11); 및 3GPP TS 33.401, 3rd Generation Partnership Project(3세대 파트너십 프로젝트), Technical Specification Group Services and System Aspects(기술 명세 그룹 서비스 및 시스템 양태), 3GPP System Architecture Evolution (SAE)(3GPP 시스템 아키텍처 진화 (SAE)), Security architecture (Release 11)(보안 아키텍처)(릴리즈 11)을 참조하라. 앨리스와 네트워크 사이의 인증은 도 2a에서 단계(210-A)로 도시되고, 밥과 네트워크 사이의 인증은 단계(210-B)로 도시된다. RAN에서 이동성 관리 엔티티(mobility management entity (MME))(202)는 인증을 지원하는데 사용된다.
성공적으로 인증한 후, eNB(104)는 각각 연결된 UE에 대해 액티브 보안 컨텍스트를 유지하고 그래서 앨리스에 의해 전송되는 ProSe 요청을 수신한 후(단계 218), eNB(104)는 그녀가 대응하는 인증 서버(authentication server (AS, 명시적으로 도시되지 않음) 보안 컨텍스트(eNB에서 지역적으로 유지됨)를 시험함으로써 이미 인증되었는지를 결정할 수 있다. 여기서, 이 보안 컨텍스트로부터 키 재료를 사용하여 예를 들면, ProSe 요청이 무선 자원 제어(Radio Resource Control (RCC)) 메시지일 경우 그녀의 KRRCint/KRRCenc키, 또는 그것이 UP(user plane(사용자 평면)) 메시지인 경우 KUPint/KUPenc 키, 또는 그것이 NAS(non access stratum(비접속 계층)) 메시지일 경우 KNASint/KNASenc를 사용하여 앨리스는 ProSe 요청을 암호화 및/또는 무결성 보호를 할 수 있다는 것을 주목하자. 후자의 경우 ProSe 요청의 진위성은 MME(202)에서 지역적으로 유지되는 대응하는 (유효) NAS 보안 요청을 사용하여 RAN에서 MME(202)에 의해 검증된다.
앨리스와 밥이 인증되었다는 것을 검증한 후, eNB(104)는 그들이 ProSe 통신에 참여하도록 인가받았는지 여부를 판단한다. 인증의 검증은 eNB(104)에서 지역적으로 유지되는 인증 정보를 사용하여 수행된다(단계 202). 그러한 정보는 다른 등록 파라미터와 함께 네트워크와 성공적인 UE 등록시 eNB에 의해 사전에 얻어질 수 있다.
검증이 성공적이면, eNB(104)는 위에서 정의된 바와 같이 PK를 발생한다(도 2a의 단계 222). PK의 계산 시 KAlice는 (i) eNB(예를 들면, KeNB, KRRCenc, KRRCint, KUPenc, KUPint )에 의해 유지되는 다른 키들 중 임의의 키, (ii) 둘 이상의 키의 조합, (iii) 무작위로 유도된 값 또는 (iv) MME에 의해 유도되고 ProSe 인가받은 UE의 성공적 인증 후에 eNB에 전달되는 ProSe 키(KProSe)일 수 있다. 그 다음, eNB(104)는 PK를 앨리스와 밥에게 전송한다(도 2a의 각각의 단계(226, 228)). eNB-앨리스 및 eNB-밥 사이의 보안 RRC 통신을 보장하기 위하여, 성공적 인증으로부터 유도된 보안 컨텍스트(즉, KRRCint 및 KRRCenc)가 사용된다. 이 시점에서 앨리스와 밥은 PK를 사용하여 보안되는 ProSe 통신을 시작할 수 있다.
PK를 수신함으로써 앨리스와 밥은 상대방이 ProSe를 사용하도록 인가받는 것이 보장되고 즉, eNB는 그들이 모두 ProSe 통신에 참여하도록 인가받은 것을 검증한 후에만 PK를 앨리스와 밥에게 전송한다는 것을 주목하자. 따라서 PK의 수신은 엘리스에게 밥도 또한 인가받은 증거로서 작용한다.
PK의 소지를 상호 검증함으로써 앨리스와 밥은 그들이 서로 통신하는 것이 보장된다는 것을 주목하자.
앨리스와 밥은 그들의 ProSe 통신을 보장하기 위해 PK, 또는 좀더 세분된 ProSe 보안 및 인가를 위한 PK의 키 파생물을 사용할 수 있다. PK가 앨리스와 밥 사이에 직접 교환되는 트랙픽을 보장하기 위해서만 사용된다는 것을 상기하라. 앨리스-eNB와 밥-eNB 사이의 임의의 통신은 각각의 UE에 대응하는 AS 보안 컨텍스트를 사용하여 (선택적으로) 보호된다. PK는 다음의 예시적인 방식 중 하나 이상의 방식으로 앨리스와 밥 사이의 ProSe 통신을 보장하도록 사용될 수 있다.
a. 모든 ProSe 트래픽을 위한 단일 키의 사용. 이러한 선택에 따라, 앨리스와 밥은 그들의 직접 통신 링크를 통해 흐르는 트랙픽을 암호화 및/또는 무결성 보호 트래픽을 위해 PK를 직접적으로 사용한다.
b. 암호화 및 무결성 보호를 위한 별도의 키 파생물의 사용. SeProSe는 암호화(PKenc) 및 무결성 보호(PKint)를 위한 별도의 키를 유도하기 위해 PK를 사용하기 위한 능력을 앨리스와 밥에게 제공한다. 이를 위하여, 두 개의 다른 KDF가 다음과 같이 사용될 수 있다.
Figure pct00002
여기서, S는 미리 결정된 입력 파라미터를 사용하여 구성되는 문자열이다. 실제로, 각각의 UE는 KRRCenc, KRRCint, KUPint 및 KUPenc와 같은 다른 키의 유도를 위해 이미 구현되었거나 사용된 키 유도 함수를 재사용함으로써 PKenc 및 PKint를 유도할 수 있다.
c. ProSe 애플리케이션-특정 키 유도의 사용. UE가 둘 이상의 ProSe 애플리케이션으로 프로비저닝될 때, 운영자는 근접 서비스에 액세스하기 위해 애플리케이션-특정 인가를 수행하기를 원할 수 있다. 예를 들면, 앨리스는 특정 애플리케이션 만을 위해 ProSe에 액세스하도록 허용될 수 있다(즉, 앨리스는 모든 애플리케이션을 위한 ProSe에 액세스하도록 인가받지 않을 수 있다). 그러한 경우, ProSe-가능 UE는 대응 애플리케이션에 애플리케이션 키를 사용하는 것을 확실히 제한할 수 있다고 가정하면, SeProSe는 PK를 이용하여 애플리케이션-특정 키의 유도 및 사용을 허용한다. 더 구체적으로, eNB는 UE가 사용하도록 인가받은 애플리케이션의 목록과 함께 PK를 각각의 ProSe-가능 UE에 보안 전송한다. 각각의 UE는 다음의 식을 사용하여 애플리케이션-특정 키 PKA를 유도하기 위해 PK를 사용할 수 있다.
Figure pct00003
여기서, S는 특정 애플리케이션 식별자를 잠재적으로 포함하는 미리 정해진 입력 파라미터를 사용하여 구성되는 문자열이다. 대안으로, eNB는 ProSe 애플리케이션 마다 한 개의 PK를 유도하고 이것을 각각의 UE에 전송할 수 있다. 달리 말하면, 단일 PK 대신 다중 PK 키(매 애플리케이션 당 한 개의 키)가 각각의 UE에 전송될 수 있다.
d. PK의 하이브리드 사용. SeProSe는 또한 다음과 같이 매 ProSe 애플리케이션 마다 암호화 및 무결성 보호를 위한 키 유도를 허용한다.
Figure pct00004
도 2b는 본 발명의 다른 실시예에 따른 근접 서비스-기반 키 유도 및 분배 프로토콜을 도시한다. 특히, 도 2b는 ProSe-가능 UE가 상이한 eNB에 연결되는 경우를 도시한다. 즉, 도시된 바와 같이, 앨리스(장치(102-A))와 밥(장치(102-B))은 두 개의 상이한 eNB(104-1 및 104-2)의 커버리지 내에 있다. 도 2a에 도시된 시나리오와 유사하게, 이 시나리오에서, 앨리스와 밥은 운영자의 네트워크의 인증된 사용자이다. 그러나 여기서 앨리스와 밥은 두 개의 상이한 eNB의 커버리지 범위에 있다. 도 2b에서는 동일하거나 실질적으로 유사한 단계/동작에 대해 도 2a에서 사용된 것과 동일한 참조부호가 사용된다. 추가의 단계 및/또는 단계 순서의 변경을 표시하기 위해 새로운 참조 부호가 추가된다.
그래서, 앨리스와 밥이 그들이 서로의 범위 내에 있다는 광고를 수신하면(단계(214, 216)), 앨리스는 그녀가 밥과 ProSe 통신을 시작하기를 원하는지 결정한다. 그러한 경우, 앨리스는 밥과 ProSe 통신을 시작하기를 원한다는 것을 표시하는 ProSe 요청을 eNB1(104-1)에 전송한다(단계 218). eNB1은 위에서 기술된 바와 같이 앨리스가 ProSe를 사용하도록 인증되고 인가받은지 여부를 판단한다(단계 220). 검증이 성공적이면, eNB1은 위에서 설명된 바와 같이 PK를 발생한다(단계 222).
이후, 단계(224)에서, eNB1(104-1)은 앨리스와 밥의 식별자와 함께, PK를 X2 인터페이스를 통해 eNB2(104-2)에 전송한다. eNB2가 이 메시지를 수신하면 앨리스는 eNB1에 의해 인증되었다는 것이 암시적으로 보증된다. 또한, eNB2는 밥이 ProSe를 사용하도록 인증되고 인가받은지 여부를 판단한다(단계(220)). 검증이 성공적이면 eNB2는 다음 단계를 수행한다.
a. eNB2는 단계(230)에서, 성공적 인증으로부터 유도된 유효 보안 컨텍스트를 사용하여 (eNB1에 의해 유도되고 전송된) PK를 밥에게 보안 전송한다.
b. eNB2는 단계(232)에서, 밥도 또한 ProSe에 대해 인증되고 인가받은 것을 검증하는 메시지로 eNB1에 응답한다.
X2 인터페이스를 통해 eNB2의 응답을 수신하면, eNB1은 밥도 또한 인증된 것을 확신하고 따라서 eNB1은 PK를 앨리스에게 더 (보안) 프로비저닝한다(단계 (234)).
이 시점에서, 앨리스와 밥은 PK를 사용하여 보안된 ProSe 통신을 시작할 수 있다. 단일 eNB의 경우와 동일하게 PK를 수신함으로써 앨리스와 밥은 상대가 ProSe를 사용하도록 인가받았음이 확신되며, 동시에 PK의 소지를 서로에게 확인하여 앨리스와 밥은 서로 통신하고 있다는 것이 확신된다. 이 경우와 유사하게, PK는 앨리스와 밥에 의해 직접 ProSe 트래픽의 암호화 및 무결성 보호를 위해 사용된 단일키로서 사용되거나, 위에서 기술된 바와 같이 추가 키의 유도를 위해 사용될 수 있다.
위의 예시적인 설명은 두 개의 ProSe-가능 UE와 관련된 시나리오에 초점을 맞추었다는 것을 주목하자. 그러나 명백히, 설명된 절차는 셋 이상의 ProSe-가능 UE가 그룹 통신에 참여하기를 원하는 경우에 직접적으로 적용할 수 있다. 그러한 경우, 그룹의 모든 멤버는 그들의 연결된 eNB로부터 동일한 PK를 수신할 것이다. 또한, 그러한 경우 PK의 소지는 암시적으로 UE를 그룹의 모든 다른 멤버들에게 인증하는 것이고, 또한 모든 다른 그룹 멤버들로 하여금 특정 UE가 그룹 ProSe 통신에 참여하도록 인가받았다는 것을 검증할 수 있게 한다.
또한, 본 출원에서 기술된 보안 프로토콜 및 방법론은 ProSe UE가 상이한 공중 육상 모바일 네트워크(Public Land Mobile Network (PLMN)) 도메인과 연관될 때의 시나리오에 속할 수 있다. 특히, 앨리스(장치(102-A))와 밥(장치(102-B))은 두 개의 상이한 PLMN 도메인에 속하는 두 개의 상이한 eNB의 커버리지 내에 있는 것으로 가정하자. 위에서 기술된 방법은 이러한 두 개의 PLMN에 속하는 eNB 사이에서 통신하는 한 가지 방식(예를 들면, X2 인터페이스 또는 MME를 통해)이 있는 한 이 시나리오에 적용할 수 있다는 것이 이해될 것이다.
또한, ProSe-가능 UE가 서로 통신할 때 그들은 그들의 채널 특성을 기반으로 그들의 송신 파라미터를 조정할 수 있다는 것이 또한 인식된다. 일 예로서, 두 개의 그러한 UE들, 즉 앨리스와 밥이 서로 매우 근접해 있으면, 앨리스는 트래픽을 밥에게 전송하기 위해 높은 PHY 비트 속도와 낮은 송신 전력을 사용할 수 있다. 그러나 그러한 송신 파라미터의 경우, 앨리스의 신호는 연관된 eNB가 신호를 성공적으로 디코딩할 수 없을 정도로 낮을 수 있다. 그 결과, eNB가 앨리스와 밥을 추적하지 못할 수도 있다. 또한, 합법적 인터셉션(lawful interception (LI))은 그러한 사례에서의 문제이다.
eNB 뿐만 아니라 LI에 의한 사용자 추적을 실현가능하게 만들기 위해, 본 발명의 실시예는 앨리스와 밥의 신호가 그들이 연결되는 eNB에 의해 디코딩될 수 있을 정도로 충분히 강하게 송신되는 채널 피드백 메커니즘을 제공한다. 이 메커니즘은 도 3의 방법에서 예시된다.
더 구체적으로, 도 3에 도시된 바와 같이, 앨리스(장치(102-A))와 밥(장치(102-B))은 채널(및 다른 제어) 정보를 직접이 아닌 네트워크 인프라스트럭처를 통해 교환한다. 즉, 밥이 앨리스에게 관찰된 링크 특성에 관해 알려주기 위해 그는 ProSe 통신을 사용하지 않는다. 대신 밥은 이 정보를 그의 연결된 eNB(104)에 전송하고(도 3의 302), 연결된 eNB(104)는 그 정보를 앨리스에게도 더 중계한다(앨리스가 동일한 eNB에 연결될 때 직접적으로(도 3의 304) 또는 X2 인터페이스를 지나 앨리스의 eNB를 통해). 유사하게, 앨리스는 네트워크 인프라스트럭처를 통해 그녀의 관찰된 채널 특성에 관해 밥에게 알려준다(경로 304 내지 302). 네트워크를 사용하여 그러한 정보를 전달하는 것은 다음과 같은 장점을 제공한다.
a. (예를 들면, 충전 목적으로) 네트워크 운영자가 앨리스와 밥의 세션 지속 기간을 제어할 수 있게 한다. 특히, 앨리스와 밥이 그들의 eNB로부터 채널 정보 및 파라미터를 수신하지 않으면 그들은 그들의 통신(송신 및 수신) 파라미터를 조정할 수 없고 따라서 트래픽을 교환할 수 없다. 이에 따라, 네트워크는 ProSe 세션의 지속기간을 제어하는 방법을 얻고 즉, 세션은 eNB가 채널 파라미터 정보를 앨리스와 밥에게 전송하는 것을 중단하자마자 종료될 수 있다. 그러한 파라미터 정보의 일 예는 송신 전력 및 송신을 위한 PHY 비트 속도일 수 있다. 그러한 경우, eNB는 엘리스에게 그녀가 밥에게 패킷을 송신하기 위해 특정 송신 전력 및 특정 PHY 비트 속도를 사용해야 한다는 것을 알려준다. 명백히, 다른 중요한 통신 파라미터가 대신/추가로 송신될 수 있다.
b. 이것은 eNB가 ProSe 통신을 도청할 수 있도록 네트워크 운영자가 ProSe 통신 파라미터를 앨리스와 밥에게 프로비저닝할 수 있게 한다. 구체적으로, eNB가 앨리스에게 밥의 채널 피드백 정보에 관해 알려줄 때 eNB는 (a) 앨리스와 밥이 ProSe 통신을 성공적으로 설정하고 유지하기 위해 파라미터를 사용할 수 있고, (b) eNB가 또한 앨리스와 밥 사이의 통신을 도청할 수 있도록 ProSe 통신 파라미터를 전달할 수 있다. 즉, 밥이 앨리스-밥 링크를 통해 고성능 이득을 잠재적으로 제공할 수 있는 채널 파라미터를 전달할 수 있지만, eNB는 고성능(예를 들면, 앨리스-밥 링크를 통한 높은 처리량)을 위해 도움이 되지 않을 수 있지만, eNB가 앨리스와 밥의 트래픽을 도청할 수 있게 하는 상이한 파라미터를 앨리스에게 제공할 수 있다. 네트워크 정책에 기반하여, eNB는 앨리스만 또는 밥만 eNB가 송신된 메시지를 도청할 수 있도록 송신해야 한다는 것을 결정할 수 있다는 것을 주목하자. 그러한 경우, eNB는 eNB가 추적하고자 하는 장치에 따라서 적절한 파라미터를 그들 각각에 제공한다.
이것을 고려해 볼 때, SeProSe 방식의 일 실시예는 eNB가 모니터링 및 LI 목적으로 eNB가 사용자 트래픽을 도청할 수 있도록, eNB가 각각의 ProSe-가능 UE(도 3의 경로(302, 304))에 ProSe 통신 파라미터를 전송하는 프로세스를 포함한다. 그러한 파라미터의 프로비저닝은 UE와 eNB 사이의 통신을 이미 표준화한 것과 동일한 메시지 교환 절차를 활용할 수 있다(예를 들면, UE와 eNB 사이의 지속적 품질 개선(Continuous Quality Improvement (CQI)) 정보의 송신을 위해 동일한 패킷 포맷이 사용됨).
eNB가 ProSe 트래픽을 도청하는 한, 그러한 트래픽은 네트워크 인프라스트럭처와 인터페이스하는 LI 엔티티(예를 들면, 도 3의 서버(310))에도 또한 전송될 수 있다. 다음이 주목된다.
a. 운영자가 ProSe 사용자 모니터링을 위해 PGW 사용자 레코드를 재사용하기를 원하는 경우, 도청된 ProSe 트래픽은 사용자 세션 레코드를 추가적으로 오프라인 처리 및 업데이트하기 위해 PDN GW(108)까지 내내 포워드될 수 있다.
b. ProSe 통신을 도청하는 것은 eNB에 의한 UE 보고된 값의 임의의 수정을 요구하지 않는다. 이것은 일반적으로 UE 사이의 직접적인 링크(예를 들면, 앨리스-밥 링크)가 UE와 eNB 사이의 링크보다 열악한 품질을 가질 때의 경우이다. 그러한 경우, eNB는 통신 파라미터가 eNB가 ProSe 트래픽을 도청하기에 충분할 것이기 때문에 디폴트에 의해 ProSe 통신을 도청할 수 있을 것이다.
c. 명백히, 사용자 트래픽이 네트워크에 의해 추적되거나 도청될 필요가 없을 때, eNB에 의한 통신 파라미터에 있어서의 수정은 필요 없다.
d. 앨리스가 채널 정보를 그녀의 연결된 eNB에 전송할 때, 밥은 앨리스의 송신이 밥에 의해 성공적으로 디코딩되는 것을 고려하여 동일한 정보를 수신하는 것이 가능하다. UE가 신뢰받지 못하면, 앨리스는 그녀의 송신 파라미터를 세팅하기 위해 eNB의 추천을 무시할 수 있고 대신 밥에 의해 원래 전송되었던 도청된 피드백을 사용할 수 있다. SeProSe로 그와 같은 행동을 피하기 위해, eNB는 UE와 eNB 사이의 가장 최근의 인증 및 키 동의 절차 동안 유도된 키 재료(KRRCenc)를 사용하여 eNB에 전송하기 전에 앨리스와 밥에게 그들의 제어 정보를 암호화하도록 요청할 수 있다.
e. ProSe 통신 성능이 매우 중요하지 않은 시나리오에서, UE-eNB 링크가 UE-UE 링크보다 불량한 품질을 갖는 것으로 가정하면(이것은 일반적인 케이스일 것이고, 명백히 UE-eNB 링크가 UE-UE 링크보다 좋은 품질을 가지면 eNB는 ProSe 통신을 항상 도청할 수 있을 것이다), ProSe 통신은 UE-eNB 링크 상의 것과 정확히 동일한 통신 채널 파라미터를 사용하여 이루어질 수 있다. 일 예로서, 텍스트 메시징 및 저속 음성 애플리케이션과 같이, UE 사이의 고속 통신을 요구하지 않는 ProSe 애플리케이션이 있을 수 있다. 그러한 애플리케이션은 높은 비트 속도를 필요로 하지 않는 링크를 통해 동작할 수 있다. 그러한 링크는 도 3에서 참조부호(312)로 도시된다. 즉, 차선의 송신 파라미터(그러나 ProSe 통신의 성공적인 도청에는 충분함)를 사용하는 것은 그러한 애플리케이션의 성능에 영향을 미치지 않는다. 그러한 시나리오에서 ProSe를 위한 차선의 채널 파라미터의 사용은 통신 비용이 들지 않으며, 동시에 이것은 네트워크가 통신을 도청할 수 있다.
끝으로, 도 4는 본 발명의 실시예에 따른 통신 시스템에서 근접 장치(즉, 근접 서비스를 사용하는 컴퓨팅 장치) 사이의 보안 통신을 구현하기에 적합한 통신 시스템(400)의 일부에 대한 일반화된 하드웨어 아키텍처를 도시한다.
도시된 바와 같이, 컴퓨팅 장치 A(410)(예를 들면, 앨리스 또는 장치(102-A)에 대응함)와 컴퓨팅 장치 B(420)(예를 들면, 밥 또는 장치(102-B)에 대응함) 및 네트워크 요소(430)(예를 들면, eNB(104) eNB1(104-1), eNB2(104-2), SAE GW(106), PDN GW(108) 또는 MME(202)에 대응함)는 통신 매체(440)를 통해 동작 가능하게 결합된다. 네트워크 매체는 컴퓨팅 장치와 네트워크 요소가 네트워크 매체를 통해 통신하도록 구성되는 임의의 네트워크 매체일 수 있다. 예로서, 네트워크 매체는 인터넷 프로토콜(Internet Protocol (IP)) 패킷을 운반할 수 있고 위에서 언급된 통신 네트워크 중의 임의의 통신 네트워크를 포함할 수 있다. 그러나 본 발명의 실시예는 특정 유형의 네트워크 매체에 한정되지 않는다.
이 기술 분야의 통상의 지식을 가진 자에게 쉽게 자명해지는 바와 같이, 요소는 컴퓨터 프로그램 코드의 제어 하에서 동작하는 프로그램된 컴퓨터로서 구현될 수 있다. 컴퓨터 프로그램 코드는 컴퓨터(또는 프로세서) 판독가능한 저장 매체(예를 들면, 메모리)에 저장될 수 있고, 코드는 컴퓨터의 프로세서에 의해 실행될 수 있다. 본 발명의 실시예의 이러한 개시를 고려하면, 이 기술 분야에 통상의 지식을 가진 자는 본 출원에서 기술되는 프로토콜 및 방법을 구현하기 위해 적절한 컴퓨터 프로그램을 쉽게 생성할 수 있다.
그럼에도 불구하고, 도 4는 일반적으로 통신 매체를 통해 통신하는 각각의 장치에 대한 예시적인 아키텍처를 도시한다. 도시된 바와 같이, 컴퓨팅 장치 A(410)는 I/O 장치(412), 프로세서(414) 및 메모리(416)를 포함한다. 컴퓨팅 장치 B(420)는 I/O 장치(422), 프로세서(424) 및 메모리(426)를 포함한다. 네트워크 요소(430)는 I/O 장치(432), 프로세서(434) 및 메모리(436)를 포함한다.
본 출원에서 사용되는 "프로세서(processor)"라는 용어는 중앙 처리 유닛(central processing unit (CPU))을 포함하는 하나 이상의 프로세싱 장치 또는 이것으로 한정되는 것은 아니지만 하나 이상의 신호 프로세서, 하나 이상의 집적 회로 등을 포함하는 다른 프로세싱 회로를 포함하는 것으로 의도하고자 한다. 또한, 본 출원에서 사용되는 "메모리"라는 용어는 RAM, ROM, 고정된 메모리 장치(예를 들면, 하드 드라이브), 또는 제거 가능한 메모리 장치(예를 들면 디스켓 또는 CDROM)와 같이, 프로세서 또는 CPU와 연관된 메모리를 포함하는 것으로 의도하고자 한다. 또한, 본 출원에서 사용되는 "I/O 장치"라는 용어는 데이터를 처리 장치에 입력하기 위한 하나 이상의 입력 장치(예를 들면, 키보드, 마우스)뿐만 아니라 처리 장치와 연관되는 결과를 제공하기 위한 하나 이상의 출력 장치(예를 들면, CRT 디스플레이)를 포함하는 것으로 의도하고자 한다. I/O 장치는 또한 도시된 장치 사이의 통신을 가능하게 하는 (무선 및/또는 유선) 송수신기를 나타낸다.
따라서, 본 출원에서 기술되는 방법을 수행하기 위한 소프트웨어 명령 및 코드는 하나 이상의 연관된 메모리 장치 예를 들면, ROM, 고정된 또는 제거 가능한 메모리에 저장되고, 사용할 준비가 되었을 때 RAM에 로딩되고 CPU에 의해 실행될 수 있다. 그러한 메모리 장치는 각각 컴퓨터 판독 가능한 저장 매체 또는 비-일시적 저장 매체로 간주될 수 있다. 도 4에 도시된 각각의 장치(410, 420, 430)는 도 1a 내지 도 3에 도시되는 프로토콜 및 기능의 각각의 단계를 수행하기 위해 개별적으로 프로그램될 수 있다. 또한, 각각의 블록(410), 블록(420) 및 블록(430)은 하나 이상의 분산된 노드 또는 컴퓨팅 장치를 통해 구현될 수 있다.
유익하게, 본 출원에서 예시적인 실시예에 따라 기술된 바와 같이, 무선 광대역 네트워크의 컨텍스트에서 ProSe 검색 및 통신을 보안하기 위한 방법이 제공된다. SeProSe는 직접 통신하기를 원하는 UE 사이에서 보안 관계를 유도하기 위해 각각의 UE와 네트워크 사이에서 수행되는 인증 및 키 동의 절차에 영향을 미칠 수 있다. 그러한 보안 관계는 ProSe 가능 UE가 서로 인증할 수 있게 해준다. 한편, SeProSe는 운영자가 ProSe-가능 UE을 인증하고 또한 ProSe에 액세스하도록 UE에게 인가하는 방식을 제공한다. 더 나아가, ProSe를 이용하여 운영자는 ProSe를 사용하는 ProSe-가능 UE가 그렇게 하도록 실제로 인가되고 또한 UE가 ProSe 모드에서 동작할 때 합법적 인터셉션(lawful interception (LI)) 절차를 지원하는지 여부를 검증할 수 있다. 또한, SeProSe는 네트워크 운영자에 의해 또는 연계된 엔티티에 의해 잠재적으로 제공되는 개별 SeProSe 애플리케이션을 위해 세션 키를 유도함으로써 UE 사이의 보안 세션을 애플리케이션-레벨 그래뉴러리티(granularity)를 제공한다.
본 발명의 예시적인 실시예가 본 출원에서 첨부 도면을 참조하여 기술되었지만, 본 발명은 이렇게 세밀한 실시예로 한정되지 않으며, 본 발명의 범위 및 정신에서 벗어나지 않고 본 기술에서 통상의 지식을 가진자에 의해 다양한 다른 변경 및 수정이 이루어질 수 있다는 것이 이해될 것이다.

Claims (10)

  1. 통신 시스템에서 보안 통신을 제공하기 위한 방법으로서,
    적어도 하나의 키를 액세스 네트워크의 적어도 하나의 네트워크 요소로부터 제 1 컴퓨팅 장치 및 적어도 제 2 컴퓨팅 장치에 전송하는 단계 - 상기 제 1 컴퓨팅 장치 및 상기 제 2 컴퓨팅 장치는 상기 통신 시스템에 액세스하기 위해 상기 액세스 네트워크를 사용하고 상기 키가 전송되기 전에 상기 액세스 네트워크에 의해 인증되고, 또한 상기 키는, 상기 제 1 컴퓨팅 장치와 상기 제 2 컴퓨팅 장치가 서로 근접해 있을 때 상기 제 1 컴퓨팅 장치와 상기 제 2 컴퓨팅 장치 사이의 통신이 상기 액세스 네트워크를 통과하지 않고 서로 보안 통신하도록 상기 제 1 컴퓨팅 장치 및 상기 제 2 컴퓨팅 장치에 의해 사용 가능함 - 를 포함하는
    방법.
  2. 제 1 항에 있어서,
    상기 네트워크 요소에 의해 상기 제 1 컴퓨팅 장치 및 상기 제 2 컴퓨팅 장치에 전송되는 상기 키는, (i) 상기 액세스 네트워크에 의해 상기 제 1 컴퓨팅 장치 및 상기 제 2 컴퓨팅 장치 중 하나를 인증하는 동안 설정되는 보안 컨텍스트, (ii) 상기 네트워크 요소에서 유지되는 키, (iii) 둘 이상의 키의 조합, (iv) 무작위로 유도된 값 및 (v) 상기 제 1 컴퓨팅 장치 및 상기 제 2 컴퓨팅 장치 중 적어도 하나를 인증할 때 이동도 관리 엔티티(mobility management entity)에 의해 유도되어 상기 네트워크 요소에 전달되는 근접 서비스-기반 키 중 하나에 기초하여 발생되는
    방법.
  3. 제 1 항에 있어서,
    상기 네트워크 요소가, 상기 키를 상기 제 1 컴퓨팅 장치 및 상기 제 2 컴퓨팅 장치에 전송하기 전에, 상기 제 1 컴퓨팅 장치 및 상기 제 2 컴퓨팅 장치가 서로 근접해 있을 때 상기 제 1 컴퓨팅 장치와 상기 제 2 컴퓨팅 장치의 통신이 상기 액세스 네트워크를 통과하지 않고 서로 통신하도록 인가받은 것을 검증하는 단계를 더 포함하는
    방법.
  4. 제 1 항에 있어서,
    상기 네트워크 요소가, 상기 키를 상기 제 1 컴퓨팅 장치 및 상기 제 2 컴퓨팅 장치에 전송하기 전에, 상기 제 1 컴퓨팅 장치 및 상기 제 2 컴퓨팅 장치가 자신들의 통신이 상기 액세스 네트워크를 통과하지 않고 보안 통신할 수 있도록 서로 근접 범위 내에 있는지 여부를 판단하는 단계를 더 포함하는
    방법.
  5. 제 1 항에 있어서,
    상기 네트워크 요소가, 상기 액세스 네트워크를 통과하지 않는 상기 제 1 컴퓨팅 시스템과 상기 제 2 컴퓨팅 시스템 사이의 통신의 적어도 일부를 취득하는 단계를 더 포함하는
    방법.
  6. 제 5 항에 있어서,
    상기 취득한 통신에 대해 합법적 인터셉션 동작(lawful interception operations)을 수행하는 단계를 더 포함하는
    방법.
  7. 제 5 항에 있어서,
    상기 네트워크 요소가, 상기 네트워크 요소가 상기 액세스 네트워크를 통과하지 않는, 상기 제 1 컴퓨팅 시스템과 상기 제 2 컴퓨팅 시스템 사이의 상기 통신을 취득할 수 있도록 하는 하나 이상의 통신 파라미터를 상기 제 1 컴퓨팅 장치 및 상기 제 2 컴퓨팅 장치에 전송하는 단계를 더 포함하는
    방법.
  8. 통신 시스템에서 보안 통신을 제공하기 위한 장치로서,
    메모리와,
    상기 메모리에 결합되어, 액세스 네트워크의 네트워크 요소 중 적어도 일부를 형성하는 프로세서를 포함하되,
    상기 네트워크 요소의 상기 프로세서 및 상기 메모리는,
    적어도 하나의 키를 제 1 컴퓨팅 장치 및 적어도 제 2 컴퓨팅 장치에 전송하도록 구성되고, 상기 제 1 컴퓨팅 장치 및 상기 제 2 컴퓨팅 장치는 상기 통신 시스템에 액세스하기 위해 상기 액세스 네트워크를 사용하고 상기 키가 전송되기 전에 상기 액세스 네트워크에 의해 인증되며, 또한 상기 키는, 상기 제 1 컴퓨팅 장치 및 상기 제 2 컴퓨팅 장치가 서로 근접해 있을 때 상기 제 1 컴퓨팅 장치와 상기 제 2 컴퓨팅 장치 사이의 통신이 상기 액세스 네트워크를 통과하지 않고 서로 보안 통신하도록 상기 제 1 컴퓨팅 장치 및 상기 제 2 컴퓨팅 장치에 의해 사용될 수 있는
    장치.
  9. 통신 시스템에서 보안 통신을 제공하기 위한 방법으로서,
    제 1 컴퓨팅 장치에서, 상기 제 1 컴퓨팅 장치 및 적어도 제 2 컴퓨팅 장치에 전송되는 적어도 하나의 키를 액세스 네트워크의 적어도 하나의 네트워크 요소로부터 수신하는 단계 - 상기 제 1 컴퓨팅 장치 및 상기 제 2 컴퓨팅 장치는 상기 통신 시스템에 액세스하기 위해 상기 액세스 네트워크를 사용하고 상기 키가 전송되기 전에 상기 액세스 네트워크에 의해 인증됨 - 와
    상기 제 1 컴퓨팅 장치 및 상기 제 2 컴퓨팅 장치가 서로 근접해 있을 때 상기 제 1 컴퓨팅 장치와 상기 제 2 컴퓨팅 장치 사이의 통신이 상기 액세스 네트워크를 통과하지 않고서 상기 제 2 통신 장치와 보안 통신하도록 상기 제 1 컴퓨팅 장치에서 상기 키를 사용하는 단계를 포함하는
    방법.
  10. 통신 시스템에서 보안 통신을 제공하기 위한 장치로서,
    메모리와,
    상기 메모리에 결합되어, 제 1 컴퓨팅 장치를 형성하는 프로세서를 포함하되,
    상기 제 1 컴퓨팅 장치의 상기 프로세서 및 상기 메모리는,
    상기 제 1 컴퓨팅 장치 및 적어도 제 2 컴퓨팅 장치에 전송되는 적어도 하나의 키를 액세스 네트워크의 적어도 하나의 네트워크 요소로부터 수신 - 상기 제 1 컴퓨팅 장치 및 상기 제 2 컴퓨팅 장치는 상기 통신 시스템에 액세스하기 위해 상기 액세스 네트워크를 사용하고 상기 키가 전송되기 전에 상기 액세스 네트워크에 의해 인증됨 - 하도록 구성되고,
    상기 제 1 컴퓨팅 장치 및 상기 제 2 컴퓨팅 장치가 서로 근접해 있을 때 상기 제 1 컴퓨팅 장치와 상기 제 2 컴퓨팅 장치 사이의 통신이 상기 액세스 네트워크를 통과하지 않고 상기 제 2 컴퓨팅 장치와 보안 통신하기 위해 상기 키를 사용하도록 구성되는
    장치.
KR1020147030181A 2012-04-30 2013-04-18 근접 서비스를 사용하는 컴퓨팅 장치용 보안 통신 KR101603033B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US13/460,035 2012-04-30
US13/460,035 US9240881B2 (en) 2012-04-30 2012-04-30 Secure communications for computing devices utilizing proximity services
PCT/US2013/037108 WO2013165695A1 (en) 2012-04-30 2013-04-18 Secure communications for computing devices utilizing proximity services

Publications (2)

Publication Number Publication Date
KR20140139107A true KR20140139107A (ko) 2014-12-04
KR101603033B1 KR101603033B1 (ko) 2016-03-11

Family

ID=48407779

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020147030181A KR101603033B1 (ko) 2012-04-30 2013-04-18 근접 서비스를 사용하는 컴퓨팅 장치용 보안 통신

Country Status (9)

Country Link
US (1) US9240881B2 (ko)
EP (1) EP2845362B1 (ko)
JP (1) JP5996784B2 (ko)
KR (1) KR101603033B1 (ko)
CN (1) CN104285422B (ko)
ES (1) ES2734989T3 (ko)
PL (1) PL2845362T3 (ko)
TR (1) TR201911098T4 (ko)
WO (1) WO2013165695A1 (ko)

Families Citing this family (56)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013089452A1 (ko) * 2011-12-13 2013-06-20 엘지전자 주식회사 무선 통신 시스템에서 근접 서비스 제공 방법 및 장치
KR101549029B1 (ko) * 2011-12-20 2015-09-11 엘지전자 주식회사 근접 서비스 제공을 위한 단말-개시 제어 방법 및 장치
US9240881B2 (en) 2012-04-30 2016-01-19 Alcatel Lucent Secure communications for computing devices utilizing proximity services
WO2013189078A1 (en) * 2012-06-21 2013-12-27 Nokia Siemens Networks Oy Network assisted proximity service session management
WO2014020125A1 (en) * 2012-08-02 2014-02-06 Deutsche Telekom Ag Method for enabling lawful interception in a telecommunications network, user equipment for enabling lawful interception in a telecommunications network, base transceiver station for enabling lawful interception in a telecommunications network, program and computer program product
US10341859B2 (en) * 2012-10-19 2019-07-02 Nokia Technologies Oy Method and device of generating a key for device-to-device communication between a first user equipment and a second user equipment
US20140134974A1 (en) * 2012-11-12 2014-05-15 Innovative Sonic Corporation Method and apparatus for reporting charging information of direct device to device communication in a wireless communication system
WO2014107208A1 (en) 2013-01-03 2014-07-10 Intel Corporation Apparatus, system and method of lawful interception (li) in a cellular network
EP2946490A4 (en) * 2013-01-17 2016-12-28 Intel Ip Corp LEGAL BEGINNING FOR DEVICE-TO-DEVICE (D2D) COMMUNICATIONS
JPWO2014163054A1 (ja) * 2013-04-02 2017-02-16 シャープ株式会社 端末装置、基地局装置および制御装置
CN105103578A (zh) * 2013-04-05 2015-11-25 交互数字专利控股公司 安全端对端和组通信
CN105340307A (zh) * 2013-06-28 2016-02-17 日本电气株式会社 用于prose组通信的安全
JP2016526805A (ja) * 2013-06-28 2016-09-05 日本電気株式会社 セキュアシステム、及び、セキュア通信を行う方法
US20160149928A1 (en) * 2013-06-28 2016-05-26 Nec Corporation Secure group creation in proximity based service communication
MX354148B (es) * 2013-07-03 2018-02-15 Interdigital Patent Holdings Inc Mejoramientos epc para servicios de proximidad.
WO2015015714A1 (en) * 2013-07-31 2015-02-05 Nec Corporation Devices and method for mtc group key management
US9674645B2 (en) 2013-08-04 2017-06-06 Lg Electronics Inc. Method and apparatus for unifying proximity services groups in wireless communication system
KR102209289B1 (ko) * 2013-10-11 2021-01-29 삼성전자 주식회사 이동 통신 시스템 환경에서 프록시미티 기반 서비스를 위한 보안 및 정보 지원 방법 및 시스템
US9386004B2 (en) * 2013-10-23 2016-07-05 Qualcomm Incorporated Peer based authentication
EP3063917B1 (en) * 2013-10-28 2018-09-26 Nec Corporation Security management according to location change in proximity based services
WO2015063991A1 (en) * 2013-10-30 2015-05-07 Nec Corporation Apparatus, system and method for secure direct communcation in proximity based services
CN113079499B (zh) 2013-11-01 2024-03-26 三星电子株式会社 源基站的方法及其源基站和目标基站的方法及其目标基站
EP3054622B1 (en) * 2013-11-04 2019-08-28 Huawei Technologies Co., Ltd. Method and device for key negotiation processing
KR102232121B1 (ko) 2013-11-14 2021-03-25 삼성전자주식회사 장치 대 장치 통신 시스템에서 보안키를 관리하는 방법 및 장치
US9276910B2 (en) * 2013-11-19 2016-03-01 Wayne Fueling Systems Llc Systems and methods for convenient and secure mobile transactions
KR102088848B1 (ko) * 2014-01-13 2020-03-13 삼성전자 주식회사 이동 통신에서 ProSe그룹 통신 또는 공공 안전을 지원하기 위한 보안 방안 및 시스템
US20150200972A1 (en) * 2014-01-16 2015-07-16 Qualcomm Incorporated Methods and systems for facilitating decoding of application defined or proprietary protocols in lawful intercepts
JP2015154243A (ja) * 2014-02-14 2015-08-24 ソニー株式会社 装置、プログラム及び方法
CN104918247A (zh) * 2014-03-13 2015-09-16 中兴通讯股份有限公司 一种业务发现及鉴权的方法、设备、终端和系统
BR112016021675A2 (pt) * 2014-03-21 2018-12-04 Ericsson Telefon Ab L M método, dispositivo sem fio, nó de rede e programa de computador para autenticação em descoberta de dispositivo a dispositivo, e, produto de programa de computador.
GB2524497A (en) * 2014-03-24 2015-09-30 Vodafone Ip Licensing Ltd User equipment proximity requests
EP3162097B1 (en) * 2014-06-28 2019-02-27 Telefonaktiebolaget LM Ericsson (publ) Obtaining authorization to use proximity services in a mobile communication system
US9350662B2 (en) * 2014-07-18 2016-05-24 Qualcomm Incorporated Server mediated peer-to-peer communication offloading from network infrastructure
CN111835767B (zh) 2014-10-30 2022-08-02 三星电子株式会社 在用户装备之间执行设备到设备通信的方法
US9918225B2 (en) * 2014-11-03 2018-03-13 Qualcomm Incorporated Apparatuses and methods for wireless communication
US10728758B2 (en) * 2015-01-16 2020-07-28 Samsung Electronics Co., Ltd. Method of secured transmission and reception of discovery message in a D2D communication system
CN107439028A (zh) * 2015-04-13 2017-12-05 瑞典爱立信有限公司 代码加密
WO2016165792A1 (en) * 2015-04-13 2016-10-20 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for end device discovering another end device
US10136246B2 (en) * 2015-07-21 2018-11-20 Vitanet Japan, Inc. Selective pairing of wireless devices using shared keys
CN106453203A (zh) * 2015-08-07 2017-02-22 索尼公司 无线通信系统中的装置和方法以及无线通信系统
CN106454806B (zh) * 2015-08-11 2019-07-19 电信科学技术研究院 一种进行数据传输的方法和设备
US10820162B2 (en) 2015-12-08 2020-10-27 At&T Intellectual Property I, L.P. Method and system for mobile user-initiated LTE broadcast
WO2017190306A1 (en) * 2016-05-05 2017-11-09 Nokia Technologies Oy Universal key agreement in device-to-device (d2d) communications
WO2018072152A1 (zh) * 2016-10-19 2018-04-26 中兴通讯股份有限公司 一种安全通信的方法、装置和系统
EP3550780B1 (en) * 2016-12-30 2021-04-14 Huawei Technologies Co., Ltd. Verification method and apparatus for key requester
CN106937269A (zh) * 2017-02-22 2017-07-07 重庆邮电大学 D2D通信中基于散列函数和RLE编码的BitMap发现移动应用方法
US11082412B2 (en) 2017-07-12 2021-08-03 Wickr Inc. Sending secure communications using a local ephemeral key pool
US11316666B2 (en) * 2017-07-12 2022-04-26 Amazon Technologies, Inc. Generating ephemeral key pools for sending and receiving secure communications
CN111182542B (zh) * 2018-11-09 2022-09-30 中国电信股份有限公司 临近业务的建立方法、系统、基站和可读存储介质
US11329812B2 (en) * 2019-02-07 2022-05-10 Red Hat, Inc. Constrained key derivation in miscellaneous dimensions
US11387997B2 (en) 2019-02-07 2022-07-12 Red Hat, Inc. Constrained key derivation in geographical space
US11438150B2 (en) 2019-02-07 2022-09-06 Red Hat, Inc. Constrained key derivation in linear space
US11784809B2 (en) * 2019-02-07 2023-10-10 Red Hat, Inc. Constrained key derivation in temporal space
CN111565373B (zh) * 2019-02-13 2023-07-04 苹果公司 网络辅助的新无线电v2x侧链路资源分配的无线电资源管理
DE102020201788A1 (de) 2019-02-13 2020-08-13 Apple Inc. Funkressourcenverwaltung für netzwerkunterstützte new-radio-v2x-sidelink-ressourcenzuweisung
US20230418925A1 (en) * 2022-06-24 2023-12-28 Micron Technology, Inc. Deep learning access and authentication in a computing architecture

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110170694A1 (en) * 2010-01-14 2011-07-14 Alec Brusilovsky Hierarchical Key Management for Secure Communications in Multimedia Communication System

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2763769B1 (fr) * 1997-05-21 1999-07-23 Alsthom Cge Alcatel Procede destine a permettre une communication cryptee directe entre deux terminaux de reseau radiomobile et agencements de station et de terminal correspondants
US6314108B1 (en) * 1998-04-30 2001-11-06 Openwave Systems Inc. Method and apparatus for providing network access over different wireless networks
US20030093663A1 (en) * 2001-11-09 2003-05-15 Walker Jesse R. Technique to bootstrap cryptographic keys between devices
EP1473899A1 (en) * 2003-04-28 2004-11-03 Telefonaktiebolaget LM Ericsson (publ) Security in a communications network
CN1619993A (zh) * 2003-11-21 2005-05-25 北京三星通信技术研究有限公司 基于网络控制的终端间直接通信的方法
JP4525392B2 (ja) * 2005-03-08 2010-08-18 ソニー株式会社 通信方法,移動通信装置,サーバ装置,およびコンピュータプログラム
US8601269B2 (en) * 2005-07-15 2013-12-03 Texas Instruments Incorporated Methods and systems for close proximity wireless communications
GB0517592D0 (en) * 2005-08-25 2005-10-05 Vodafone Plc Data transmission
JP4989117B2 (ja) * 2006-06-12 2012-08-01 キヤノン株式会社 通信装置およびその方法
EP2056617A1 (en) * 2006-08-24 2009-05-06 Panasonic Corporation Communication system, communication method, radio terminal, radio relay device, and control device
GB2452251B (en) * 2007-08-21 2010-03-24 Motorola Inc Method and apparatus for authenticating a network device
JP4772025B2 (ja) * 2007-11-14 2011-09-14 株式会社日立製作所 P2p通信検出装置、及びその方法とプログラム
JP2010183268A (ja) * 2009-02-04 2010-08-19 Nec Corp メッセージ通信システム、メッセージ通信方法、端末及びプログラム
US8260883B2 (en) * 2009-04-01 2012-09-04 Wimm Labs, Inc. File sharing between devices
US8850203B2 (en) * 2009-08-28 2014-09-30 Alcatel Lucent Secure key management in multimedia communication system
CN102045660B (zh) * 2009-10-22 2014-06-11 华为技术有限公司 信息交互方法、系统、基站和网络实体
US9503833B2 (en) * 2011-03-23 2016-11-22 Qualcomm Incorporated System and method for network provisioning of mobile entities for peer-to-peer service
US20140122607A1 (en) * 2011-06-17 2014-05-01 Telefonaktiebolaget L M Ericsson (Publ) Method and Radio Base Station in a Cellular Communications Network for Device-to-Device Communications
CN108990038B (zh) * 2012-04-11 2021-12-03 苹果公司 运营商辅助的设备到设备(d2d)发现
JP5997486B2 (ja) * 2012-04-18 2016-09-28 株式会社Nttドコモ 無線通信システム、通信制御装置及び通信制御方法
US9240881B2 (en) 2012-04-30 2016-01-19 Alcatel Lucent Secure communications for computing devices utilizing proximity services

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110170694A1 (en) * 2010-01-14 2011-07-14 Alec Brusilovsky Hierarchical Key Management for Secure Communications in Multimedia Communication System

Also Published As

Publication number Publication date
KR101603033B1 (ko) 2016-03-11
TR201911098T4 (tr) 2019-08-21
US20130290696A1 (en) 2013-10-31
ES2734989T3 (es) 2019-12-13
CN104285422A (zh) 2015-01-14
EP2845362B1 (en) 2019-06-05
EP2845362A1 (en) 2015-03-11
WO2013165695A1 (en) 2013-11-07
JP2015525012A (ja) 2015-08-27
CN104285422B (zh) 2017-04-05
US9240881B2 (en) 2016-01-19
PL2845362T3 (pl) 2019-09-30
JP5996784B2 (ja) 2016-09-21

Similar Documents

Publication Publication Date Title
KR101603033B1 (ko) 근접 서비스를 사용하는 컴퓨팅 장치용 보안 통신
CN108781366B (zh) 用于5g技术的认证机制
US10849191B2 (en) Unified authentication for heterogeneous networks
KR101231483B1 (ko) 보안 패킷 송신을 위한 암호화 방법과 네트워크에서의 패킷처리 방법
US8295488B2 (en) Exchange of key material
JP2016518075A (ja) ピアツーピア通信およびグループ通信のセキュリティ保護
TW201101863A (en) Enhanced security for direct link communications
JP7470671B2 (ja) コアネットワークへの非3gpp装置アクセス
JP2016500977A (ja) Ue及びネットワーク両者でのキー導出のためのmtcキー管理
WO2017197596A1 (zh) 通信方法、网络侧设备和用户设备
US20240080316A1 (en) Methods and apparatus for provisioning, authentication, authorization, and user equipment (ue) key generation and distribution in an on-demand network
Fang et al. Security requirement and standards for 4G and 5G wireless systems
Wang et al. Integration of authentication and mobility management in third generation and WLAN data networks
KR100690869B1 (ko) Supl기반의 위치정보 시스템에서의 비밀키 분배방법
Niranjani et al. Distributed security architecture for authentication in 4G networks
RU2779029C1 (ru) Доступ не отвечающего спецификациям 3gpp устройства к базовой сети
Said et al. A Comparative Study on Security implementation in EPS/LTE and WLAN/802.11
CN117203935A (zh) 用于在按需网络中进行设置、认证、授权和用户设备(ue)密钥生成和分发的方法和装置
WO2018072152A1 (zh) 一种安全通信的方法、装置和系统
Rani et al. Study on threats and improvements in LTE Authentication and Key Agreement Protocol
CN116830533A (zh) 用于分发多播加密密钥的方法和设备
Wang Authentication for Inter-Domain Roaming in Wireless IP Networks

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20200218

Year of fee payment: 5