KR20160062118A - 사용자 디바이스들 간의 제어된 크레덴셜 제공 - Google Patents

사용자 디바이스들 간의 제어된 크레덴셜 제공 Download PDF

Info

Publication number
KR20160062118A
KR20160062118A KR1020167011088A KR20167011088A KR20160062118A KR 20160062118 A KR20160062118 A KR 20160062118A KR 1020167011088 A KR1020167011088 A KR 1020167011088A KR 20167011088 A KR20167011088 A KR 20167011088A KR 20160062118 A KR20160062118 A KR 20160062118A
Authority
KR
South Korea
Prior art keywords
user device
user
communication network
credentials
rti
Prior art date
Application number
KR1020167011088A
Other languages
English (en)
Other versions
KR101868713B1 (ko
Inventor
샌더 데 키에비트
Original Assignee
코닌클리즈케 케이피엔 엔.브이.
네덜란제 오르가니자티에 포오르 토에게파스트-나투우르베텐샤펠리즈크 온데르조에크 테엔오
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 코닌클리즈케 케이피엔 엔.브이., 네덜란제 오르가니자티에 포오르 토에게파스트-나투우르베텐샤펠리즈크 온데르조에크 테엔오 filed Critical 코닌클리즈케 케이피엔 엔.브이.
Publication of KR20160062118A publication Critical patent/KR20160062118A/ko
Application granted granted Critical
Publication of KR101868713B1 publication Critical patent/KR101868713B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/088Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • H04W12/37Managing security policies for mobile devices or for controlling mobile applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 통신 네트워크를 통한 제2 사용자 디바이스의 사용자 데이터 교환을 제1 사용자 디바이스에 의해 제어하기 위한 방법에 관한 것이다. 제1 사용자 디바이스는 크레덴셜들의 세트를 획득하고, 제2 사용자 디바이스가 통신 네트워크를 통하여 사용자 데이터를 교환하는 것을 가능하게 하기 위하여 크레덴셜들의 세트의 적어도 일부가 제2 사용자 디바이스에게 제공된다. 통신 네트워크를 통한 제2 사용자 디바이스의 데이터 교환은 제1 사용자 디바이스에 의해 제어된다. 제1 사용자 디바이스는, 제1 사용자 디바이스에 의해 획득되어 제2 디바이스에게 제공되는 크레덴셜들과 관련하여 제어 액션을 수행할 수 있다.

Description

사용자 디바이스들 간의 제어된 크레덴셜 제공{CONTROLLED CREDENTIALS PROVISIONING BETWEEN USER DEVICES}
본 발명은 사용자 디바이스들 간의 제어된 크레덴셜 제공에 관한 것이다. 특히, 본 발명은 통신 네트워크를 통한 제2 사용자 디바이스의 사용자 데이터 교환(user data exchange)을 제1 사용자 디바이스에 의해 제어하기 위한 방법에 관한 것이고, 본 제어 방법은 제1 사용자 디바이스로부터 제2 사용자 디바이스에 크레덴셜들을 제공할 때 제1 사용자 디바이스가 제어를 유지하는 것(stay in control)을 가능하게 한다.
지난 여러 해 동안, 연결을 이용하거나 필요로 할 수 있는 사용자 디바이스들의 수는 꾸준하게 증가해 왔다. 현재, 텔레비전들, 게임 콘솔들, 카메라 등과 같은 디바이스들에는 와이파이 액세스 포인트(wifi access point)들 또는 케이블 인하우스 이더넷(cabled in-house Ethernet)에 연결하기 위한 장치들(facilities)이 딸려 있다. 앞으로 일반 가정은 수백 개의 연결된 디바이스들을 가질 것이고, 이들이 대부분은 포터블(portable)이라고 예상된다(태블릿(tablet), 폰(phone), 게임 콘솔(game console), 카메라, 네비게이션 시스템, 자동차 키들, 의료 장치들, 시계들, 카메라들을 포함하는 안경들, 전자 디스플레이들 등).
이 디바이스들 중의 일부에 대해서, 연결은 와이파이 액세스 포인트들로 제한된다. 이것은 냉장고 또는 히팅 시스템(heating system)과 같은 로컬 디바이스(local device)들에 대해서는 문제가 없지만, 포터블 디바이스들에 대해서 이것은 이동시 사용될 때 액세스가 간헐적이고(intermittent) 종종 구성하기에는 부담이 된다는 것을 의미한다.
이러한 문제에 대한 해결책은 무선 액세스 네트워크를 포함하는 통신 네트워크(telecommunications network)에 대한 그 자신의 가입(subscription)을 모든 사용자 디바이스에게 제공하는 것이다. 이러한 해결책은 이동하는 동안에도 액세스(access)를 제공할 것이지만, 통신 네트워크의 오퍼레이터(operator) 및 사용자 양쪽 모두에게 모든 상이한 디바이스들에 대한 (잠재적으로는 상이한 제공자(provider)들을 가진) 모든 상이한 가입들을 관리할 부담이 딸려 온다. 게다가, 모든 가입은 그 자체의 가입비가 부과될 수 있다. 그러므로, 이동하는 동안 디바이스들에 대한 연결을 제공하기 위하여 사용자에게 충분한 유연성(flexibility)을 제공하는 더욱 쉬운 해결이 필요하다. 이 디바이스들은 앞 문단에서 언급된 디바이스들 중의 임의의 것을 포함하고, 포터블이거나, 비히클(vehicle), 머신(machine), 또는 장치(apparatus), 예컨대, 가전 제품(household appliance)들에 통합될 수 있다.
US 2012/0129498은, 네트워크와 통신하기 위해 초기에 인증되지 않은(initially unauthorized) 무선 통신 디바이스가 네트워크와 통신하기 위해 초기에 인증된(initially authorized) 무선 통신 디바이스로부터 지속적 소프트 네트워크 가입 크레덴셜 정보(persistent soft network subscription credential information)를 획득하게 하는 것을 가능하게 하는 방법 및 디바이스를 공개한다. 하나의 디바이스로부터 다른 디바이스로의 가입 크레덴셜들의 전송(transfer)은 이전에 인증되지 않은 디바이스(previously unauthorized device)가 네트워크와 통신하기 위한 인증된 디바이스가 되도록 인증한다. 본 방법은 단지 하나의 통신 디바이스가 임의의 한 시점에서 네트워크와 통신할 수 있는 것을 보장한다.
선행기술의 방법 및 디바이스는 다른 디바이스로부터 크레덴셜 정보를 획득함으로써 복수의 사용자 디바이스들에 대해서 통신 네트워크를 통한 사용자 데이터 교환을 가능하게 한다. 상기 다른 디바이스만이 통신 네트워크에 가입할(have a subscription) 필요가 있다. 하지만, 선행기술의 방법은 원래(originally) 크레덴셜 정보를 갖는 디바이스로부터 크레덴셜 정보를 획득하는 디바이스들(의 사용자)의 완전한 신뢰(complete trust)를 가정한다(assume).
본 발명은, 제2 사용자 디바이스(user device) 또는 슬레이브 디바이스(slave device)라고 지칭되는 디바이스에, 제1 디바이스 또는 마스터 디바이스(master device)라고 지칭되는 다른 사용자 디바이스에 의해 획득된 크레덴셜 정보가 제공될 수 있는 방법을 제시한다. 제1 사용자 디바이스는 크레덴셜들을 제2 사용자 디바이스에게 제공했지만 통신 네트워크를 통한 제2 사용자 디바이스의 사용자 데이터 교환에 대한 몇몇 형태의 제어를 유지한다. 이러한 형태의 제어는, 예컨대, 통신 네트워크를 통한 제2 사용자 디바이스의 사용자 데이터를 중단시키기 위한 제1 사용자 디바이스로부터의 제어 액션을 포함할 수 있다.
본 발명의 하나의 관점(aspect)에 있어서, 본 발명은 통신 네트워크를 통한 제2 사용자 디바이스의 사용자 데이터 교환을 제1 사용자 디바이스에 의해 제어하기 위한 방법이다. 제1 사용자 디바이스 및 제2 사용자 디바이스 양쪽 모두는 통신 네트워크에 무선으로 연결되도록(wirelessly connecting) 구성된다(즉, 디바이스들 양쪽 모두는 무선 액세스 능력을 가지지만, 제2 사용자 디바이스는 통신 네트워크에 액세스하도록 인증될(authorized) 수 없는데, 예컨대, 이것은 가입되어 있지 않고(has no subscription), 그래서 크레덴셜들을 혼자 힘으로(on its own) 획득할 수 없거나 가지지 않기 때문이다).
제1 사용자 디바이스는, 예컨대, 통신 네트워크를 통하여 및/또는 (U)SIM으로부터 수신된 정보로부터 크레덴셜들을 유도함으로써 또는 통신 네트워크를 통하여 또는 (U)SIM으로부터 크레덴셜들의 세트를 획득한다. 크레덴셜들은, 통신 네트워크를 통한 무선 액세스 및 보안 통신(secure communication)을 가능하게 하는 정보를 포함하고, 네트워크를 통한 신호 전송을 위한 복수의 키들(사용자 데이터 전송 및 시그널링 데이터 전송 양쪽 모두를 위한 것임) 및 식별자(예컨대, T-IMSI와 같은 임시 식별자)를 포함한다.
제2 사용자 디바이스(예컨대, 이것은 별도의 가입을 하지 않았기 때문에, 네트워크에 대한 인증된 액세스를 위해 필요한 크레덴셜들을 가지지 않았음)가 통신 네트워크를 통하여 사용자 데이터를 교환하는 것을 가능하게 하기 위하여, 크레덴셜들의 세트의 적어도 일부가 제2 사용자 디바이스에게 제공되되, 가능하게는 완전한 세트가 제2 사용자 디바이스에게 제공된다.
통신 네트워크를 통한 제2 사용자 디바이스의 데이터 교환은 제1 사용자 디바이스에 의해 제어된다. 이러한 목적을 위해서, 제1 사용자 디바이스는, 제1 사용자 디바이스에 의해 획득되어 제2 사용자 디바이스에게 제공되는 크레덴셜들과 관련하여(with respect to) 제어 액션(control action)을 수행한다. 이러한 제어를 위한 다양한 옵션(option)들은 이하에 기술된 실시예들에서 설명된다.
본 발명의 다른 관점은, 컴퓨터 시스템상에서 실행될 때, 본 명세서에서 공개된 방법을 수행하도록 구성된 소프트웨어 코드 부분(software code portion)들을 포함하는 컴퓨터 프로그램에 관한 것이다.
본 발명의 추가적인 관점은 컴퓨터 프로그램을 포함하는 비일시적 컴퓨터 프로그램 매체(non-transitory computer program medium)에 관한 것이다.
게다가, 컴퓨터 프로그램을 가지고 구성된 사용자 디바이스가 공개된다.
이러한 모든 관점들에 있어서, 제2 사용자 디바이스를 위한 별도의 가입(separate subscription)을 필요로 하지 않으면서, 제1 사용자 디바이스에 의해 획득된 크레덴셜들의 세트와 관련된 제어 액션에 의해서 제2 사용자 디바이스의 데이터 교환에 대한 제어가 제1 사용자 디바이스에게 주어진다. 이것은 제1 사용자 디바이스가 완전한 신뢰(complete trust)를 가정하지 않으면서도 크레덴셜들을 제2 사용자 디바이스에게 제공하는 것을 가능하게 한다. 만일 모종의 이유로 인하여 제1 사용자 디바이스가 제2 사용자 디바이스의 사용자 데이터 교환을 중단하길 원한다면 제어 액션을 수행할 수 있다.
제1 사용자 디바이스와 제2 사용자 디바이스는 별개의(separate) 디바이스들이라고 이해되어야 한다. 예를 들어, 제1 사용자 디바이스 및 제2 사용자 디바이스 각각은 양쪽 모두가 통신 네트워크에 무선으로 연결되도록 구성되도록 하는 베이스밴드 프로세서 및 소프트웨어를 가진다.
크레덴셜들(식별자, 신호 전송 키(들))은 제1 사용자 디바이스에 의해 수신된 정보로부터 제1 디바이스에 의해 유도될 수도 있다고 추가로 이해되어야 한다.
하나의 실시예에 있어서, 제1 사용자 디바이스는 크레덴셜들의 세트를 획득하고, 크레덴셜들의 전체 세트를 제2 사용자 디바이스에게 제공한다. 만일 제1 사용자 디바이스가 크레덴셜들 자체를 적용할(apply) 것이라면, 크레덴셜들의 세트는 제1 사용자 디바이스가 통신 네트워크를 통하여 사용자 데이터를 교환하는 것을 가능하게 할 것이다. 크레덴셜들의 전체 세트를 제2 사용자 디바이스에게 제공하는 것의 이점은 통신 네트워크 내의 핸드오버들 및 상이한 RAT들(radio access technologies)을 가진 통신 네트워크들 간의 핸드오버들이 제1 사용자 디바이스의 개입(intervention) 없이 제2 사용자 디바이스를 위해서 가능하다는 점이다.
이러한 경우에 있어서, 제1 사용자 디바이스의 제어 액션은 제2 사용자 디바이스에게 제공된 식별자 및/또는 키들을 무효화하도록(invalidate) 통신 네트워크에게 지시하는 것을 포함할 수 있다. 이러한 제어 액션들 중의 어느 하나는 특정 시점(some point in time)에서 제2 사용자 디바이스를 위한 사용자 데이터 교환을 디세이블(disable)할 것이다.
다른 실시예에 있어서, 제1 사용자 디바이스는 크레덴셜들의 세트를 획득하지만, 크레덴셜들의 세트의 일부만을 제2 사용자 디바이스에게 제공한다. 이 실시예의 이점은 통신 네트워크를 통한 제2 사용자 디바이스의 사용자 데이터 교환을 제어하기 위해 증가된 제어 옵션들이 이용가능하다는 점이다. 예들은 제1 사용자 디바이스 내에 보유되는(retained) 하나 이상의 크레덴셜들을 수정하는 것 및/또는 제2 사용자 디바이스에게 제공된 크레덴셜들 중의 하나 이상을 무효화하는 것을 포함한다.
하나의 실시예에 있어서, 크레덴셜들의 세트의 신호 전송 키들은 키 계층구조(key hierarchy) 내에서 조직화되고(organized), 키 계층구조 내의 하위의(lower) 키는 키 계층구조 내의 상위의(higher) 키로부터 유도된다(derived). 이러한 키 계층구조는, 예컨대, 4G LTE 통신 네트워크 또는 차세대 통신 네트워크를 위해서 존재한다. 제2 사용자 디바이스에 제공되는 키들의 일부는, 예컨대, 키 계층구조 내의 하위의(lower) 하나 이상의 신호 전송 키들로 이루어진다. 제1 사용자 디바이스 내에 보유되는(retained) 키들, 즉 제2 디바이스에 제공되지 않는 키들은, 예컨대, 키 계층구조 내의 상위의(higher) 키들로 이루어질 수 있다. 제1 사용자 디바이스에 의한 제어 액션은 새로운 상위의(higher) 키들을 생성하는 것을 포함할 수 있고, 이로써 (상위의(higher) 키들로부터 유도된) 하위의(lower) 키들을 무효하게(invalid) 만든다. 제1 사용자에 의한 이러한 제어 액션은 키 생성을 위한 제2 사용자 디바이스의 임의의 협조 없이 수행될 수 있고(그러므로 제2 사용자 디바이스에 의해 블록킹되지(blocked) 않을 수 있음), 유도(derivation)는 제1 사용자 디바이스 및 통신 네트워크에 의해 수행된다.
다른 실시예에 있어서, 제2 사용자 디바이스에게 제공되는 신호 전송 키만이, 네트워크의 무선 부분(radio part)을 통하여 사용자 데이터를 암호화하는 데에 이용되는 사용자 플레인 암호화 키(user plane encryption key)이다. 제1 사용자 디바이스는, 예컨대, 제2 사용자 디바이스의 베이스밴드 프로세서에 대한 직접 연결에 의해서, 추가적인 사용자 데이터 포함 세부사항들(user data inclusion details)을 제2 사용자 디바이스에게 제공한다. 이러한 방식에 있어서, 제1 사용자 디바이스는 사용자 데이터 포함 세부사항들을 제공하는데, 즉 제1 사용자 디바이스로의/로부터의(to/from) 사용자 데이터 전송에 있어서 사용자 데이터를 삽입(insert) 및/또는 검색(retrieve)할 곳을 제2 사용자 디바이스에게 통지한다. 제1 사용자 디바이스는 제2 사용자 디바이스를 통하여 사용자 데이터 교환을 제어하기 위하여 제1 사용자 디바이스 내에 남아 있는 임의의 크레덴셜을 제어할 수 있다.
또 다른 실시예에 있어서, 제2 사용자 디바이스의 제1 사용자 디바이스와의 사용자 데이터 교환을 위한 시그널링 정보 전송(signaling information transmission)의 적어도 일부를 유지함으로써 제어가 제1 사용자 디바이스에 의해 수행될 수 있다. 따라서, 시그널링 정보 또는 그 전송을 처리하는 것(manipulating)은 제2 사용자 디바이스의 사용자 데이터 교환의 제1 사용자 디바이스에 의한 제어를 가능하게 한다.
이러한 하나의 구체적인 예에 있어서, 통신 네트워크는 LTE 네트워크를 포함하고, 제1 사용자 디바이스에 의해 획득되는 크레덴셜들의 세트는 하나 이상의 NAS(non-access stratum) 키들을 포함한다. NAS 키들은 제1 사용자 디바이스에게 유지되고, NAS 키와 관련된 제1 사용자 디바이스로부터의 제어 액션은 NAS 메시지 디태치 요청(NAS message Detach Request)을 통신 네트워크에(특히, MME에) 전송하는 것 및/또는 TAU(Tracking Area Update) 동안 통신 네트워크로부터 챌린지(challenge)를 수신하는 때에 인증 실패(authentication failure) 메시지를 전송하는 것을 포함할 수 있다. 이러한 실시예의 이점은 3GPP 표준들 3GPP TS 23.401 및 3GPP TS 33.102에서 현재 제공되는 프로시저(procedure)들을 각각 준수한다는 점이다.
다른 특정한 예는 차세대 네트워크를 포함하는데, 여기에서는 심지어 사용자 데이터 전송과 시그널링 전송이 LTE 네트워크들에 비하여 더 분리될(separated) 것이다. 차세대 네트워크들을 위하여, 사용자 데이터 전송을 위한 물리적 연결 및 시그널링을 위한 물리적 연결은 제1 사용자 디바이스 및 제2 사용자 디바이스에 대해서 상이할 수 있고, 제1 사용자 디바이스상의 물리적 시그널링 연결을 제어함으로써 제1 사용자 디바이스가 제2 사용자 디바이스의 물리적 데이터 연결을 제어하는 것을 가능하게 한다.
본 발명의 하나의 실시예에 있어서, 본 방법은, 제1 사용자 디바이스가 통신 네트워크를 통하여 사용자 데이터를 교환하는 것을 가능하게 하도록 통신 네트워크로부터의 제1 식별자를 적용하는 것(applying) 및 통신 네트워크에게 제2 식별자를 요청하는 것(requesting)을 포함한다. 제2 사용자 디바이스가 통신 네트워크를 통하여 사용자 데이터를 교환하는 것을 가능하게 하기 위하여, 제2 식별자가 제2 사용자 디바이스에게 제공될 수 있다. 이러한 방식에 있어서, 통신 네트워크에는 제2 사용자 디바이스로의 크레덴셜들의 전송이 통지될 수 있다. 이러한 방법의 이점은 제1 사용자 디바이스 및 제2 사용자 디바이스 양쪽 모두가 사용자 데이터의 교환을 위해 통신 네트워크에 연결될 수 있다(제1 사용자 디바이스는 제1 식별자를 통해서 연결되고 제2 사용자 디바이스는 제2 사용자 식별자를 통해서 연결됨)는 점이다.
다른 실시예에 있어서, 제1 사용자 디바이스는 그 자신의 사용자 식별자를 제2 사용자 디바이스에게 제공한다. 이러한 방식에 있어서, 네트워크는 하나의 가입(subscription)하에서 두 개의 각각의 식별자들을 가지고 두 개의 사용자 디바이스들의 존재를 지원할 필요가 없다.
또 다른 본 발명의 실시예에 있어서, 본 방법은 제2 사용자 디바이스에게 크레덴셜들의 세트의 적어도 일부를 적어도 제공하기 위해 제1 사용자 디바이스와 제2 사용자 디바이스 간의, LTE 다이렉트(LTE direct) 연결 또는 블루투스(Bluetooth) 연결과 같은, 직접 연결(direct connection)을 수립하는(establishing) 단계를 포함한다. 이 단계는 크레덴셜들의 세트의 일부만이 제2 사용자 디바이스에게 제공되는 실시예들을 위해서 특히 유용하다.
하나의 실시예에 있어서, 제1 사용자 디바이스는 미리(in advance) 크레덴셜들의 하나 이상의 세트들을 획득하고, 이후에(at a later time) 크레덴셜들의 세트들 중의 하나 이상을 하나 이상의 제2 사용자 디바이스들에게 제공한다. 이러한 방식에 있어서, 제1 사용자 디바이스는 하나 이상의 크레덴셜들을 제2 사용자 디바이스에 제공하기 전에 통신 네트워크와의 그 자신의 연결을 수립할 필요가 없다.
하나의 실시예에 있어서, 제1 사용자 디바이스는 자신의 식별자를 제2 사용자 디바이스에게 제공한다. 제2 사용자 디바이스는 식별자를 이용해서 통신 네트워크에 연결하고, 통신 네트워크로부터 정보를 수신한다. 이 정보는 하나 이상의 신호 전송 키들과 같은 하나 이상의 크레덴셜들을 유도하기(derive) 위하여 제1 사용자 디바이스에게 포워딩된다. 이러한 프로세스의 예는 통신 네트워크와의 챌린지-응답 프로세스(challenge-response process)이다. 제1 사용자 디바이스는 유도된 크레덴셜들 중의 하나 이상을 제2 사용자 디바이스에게 제공한다.
제1 사용자 디바이스에 의한 제어 액션에는, 사용자 데이터 교환이 더 이상 허용되지 않아야 하는 때를 네트워크에게 알리는 시간 정보가 포함될 수 있다고 이해되어야 한다. 시간 정보는 제2 사용자 디바이스에게 제공되는 크레덴셜들에 대한 유효 시간(validity time)을 포함할 것이다. 이 정보는 제2 사용자 디바이스를 위한 데이터 연결이 디세이블되어야(disabled) 하거나 더 이상 허용되지 않아야 하는 순간 이전에 임의의 적절한 시간에 네트워크에게 제공될 수 있다.
본 발명은 청구항들에서 언급된 특징들의 모든 가능한 조합들에 관한 것이라는 점이 주목된다.
도 1은 통신 네트워크와 조합하여 제1 사용자 디바이스 및 제2 사용자 디바이스를 포함하는 시스템의 개략도이다.
도 2는 본 발명에 따른 방법의 실시예를 도시하는 시간 다이어그램(time diagram)이다.
도 3은 LTE 네트워크 및 3G 네트워크의 일반적인 개괄도(overview diagram)이다.
도 4는 도 3에 도시된 LTE 네트워크 내의 키 계층구조(key hierarchy)의 도면이다.
도 5 내지 도 8b는 제1 사용자 디바이스들이 제2 사용자 디바이스에 크레덴셜들의 일부(portion)를 제공하는 방법들의 다양한 실시예들이다.
도 9는 제1 사용자 디바이스만이 제2 사용자 디바이스에 사용자 플레인 키(user plane key)를 제공하는 방법의 실시예이다.
도 10 내지 도 12는 제1 사용자 디바이스가 제2 사용자 디바이스에 사용자 크레덴셜들 모두를 제공하는 방법들의 다양한 실시예들이다.
도 13 및 도 14는 차세대 네트워크(next generation network)를 위한 실시예를 제공한다.
도면에서 도시된 예시적인 실시예들을 참조하여 본 발명의 관점(aspect)들이 더욱 상세하게 설명될 것이다.
도 1은 통신 네트워크(3)와 조합하여 제1 사용자 디바이스(1) 및 제2 사용자 디바이스(2)를 포함하는 시스템의 개략도이다.
제1 사용자 디바이스(first user device)(1)는 베이스밴드 프로세서(baseband processor)(12)를 이용해서 통신 네트워크(3)에 무선으로 액세스하도록(wirelessly access) 제1 사용자 디바이스(1)를 인증하는 USIM(11)을 포함한다. 제1 사용자 디바이스(1)는 범용 프로세서(general processor)(13) 및 스토리지(storage)(14)를 더 포함한다.
제2 사용자 디바이스(second user device)(2)는 베이스밴드 프로세서(22), 범용 프로세서(23), 및 스토리지(24)를 포함한다. 제2 사용자 디바이스에는 USIM이 들어 있지 않을 수 있다.
제1 사용자 디바이스(1)는 직접 통신 인터페이스(direct communication interface)(15)를 포함하고, 제2 사용자 디바이스(2)는 직접 통신 인터페이스(25)를 포함하는데, 이를 통해서 직접 연결(direct connection)이 수립될 수 있다. 직접 연결은 통신 네트워크(3)로부터 독립적인 일대일 연결(one-to-one connection)이다. 예들은 LTE 다이렉트(LTE direct), 블루투스(Bluetooth), 적외선 등을 포함한다. 프로세서들(13, 23)은 이러한 직접 연결을 수립할 수 있는 다른 디바이스들의 존재를 검출하는 디스커버리 프로토콜(discovery protocol)을 실행할 수 있다.
USIM(11) 내의 정보 덕분에, 제1 사용자 디바이스는, 혼자 힘으로(on its own) 통신 네트워크(3)에 액세스할 수 있고 통신 네트워크(3)를 통해서 사용자 데이터를 교환할 수 있는 디바이스이다. 통신 네트워크(3)로 하여금 제1 사용자 디바이스(1)를 가입(subscription)한 디바이스로서 인식하는 것을 가능하도록 하고, 이후에(subsequently), 키들 또는 키(들)로부터 유도될(derived) 수 있는 정보와 같은 필요한 정보를 제1 사용자 디바이스(1)에게 제공하는 것을 가능하도록 하는 마스터 키(master key) 및 IMSI와 같은 구독 정보가 USIM(11)에는 전형적으로 들어 있다. 이러한 디바이스들의 예들은 셀룰러 폰(cellular telephone)들, 태블릿 컴퓨터, 랩탑(laptop)들 등을 포함한다.
제2 사용자 디바이스(2)에는 USIM이 들어 있지 않다(또는 USIM을 이용할 수 없거나 USIM을 이용하길 원하지 않는다). 하지만, 제1 사용자 디바이스(1)과 유사하게, 제2 사용자 디바이스(2)는, 크레덴셜들에 대한 접근권을 가질 때, 제2 사용자 디바이스(2)가 통신 네트워크(3)에 액세스하는 것을 가능하게 할 베이스밴드 프로세서(22)를 구비한다. 앞으로 제2 디바이스(2)와 같은 디바이스들은 가정(household)들 안으로의 자신들의 길을 찾을 것으로 예상된다. 이러한 디바이스들은 태블릿들, 폰들, 게임 콘솔들, 카메라들, 네비게이션 시스템들, 자동차 키들, 의료 장치들, 시계들, 카메라들을 포함하는 안경들, 전자 디스플레이들 등과 같이 와이파이 액세스 포인트들에 액세스하는 것이 현재 가능하도록 된(enabled) 디바이스들을 포함할 수 있다. 제2 사용자 디바이스(2)는 또한 바람직하게는 포터블 디바이스(portable device)이다. 제2 디바이스(2)는 또한 머신 또는 가전 제품을 포함할 수 있다.
도 2는 통신 네트워크(3)를 통해 액세스 및 데이터 교환을 가능하게 하기 위한 크레덴셜들을 원래 가지고 있지 않은 제2 사용자 디바이스(2)를 위해서 이러한 크레덴셜들을 제2 사용자 디바이스(2)에게 제공하는 실시예를 도시하는 시간 다이어그램(time diagram)이다. 크레덴셜들은 네트워크 내에서 디바이스를 식별시키는 하나 이상의 (임시) 식별자들 및 하나 이상의 키들 또는 유도된 키(derived key)들을 포함하거나 이들로 이루어진다.
단계 S1에서, 제1 사용자 디바이스(1)는 USIM(11)에 저장된 몇몇 정보를 이용하는 것과 같이 알려진 방식으로 통신 네트워크(3)와 컨택(contact)하고, 단계 S2에서, 네트워크(3)로부터 정보를 획득한다. 정보에는 예컨대, 단계 S3에서, USIM(11)에 저장되어 있는 마스터 키와 조합하여 하나 이상의 키들이 유도될 수 있는 정보 및 임시 식별자(temporary identifier)(T-IMSI)가 들어 있을 수 있다. T-IMSI 및 유도된 키들은 제1 사용자 디바이스(1)가 통신 네트워크(3)를 통하여 데이터를 교환하기 위해 통신 네트워크(3)에 액세스하는 데에 이용할 수 있는 크레덴셜들을 이룬다(constitute). 이 크레덴셜들은 메모리(14)에 저장될 수 있다.
그리고, 단계 S4에서, 제1 사용자 디바이스(1)는 크레덴셜들의 전부 또는 일부를 제2 사용자 디바이스(2)에게 제공한다. 바람직하게는, 이 크레덴셜들은 직접 통신 인터페이스들(15, 25) 사이에서 수립된 직접 연결을 통하여 제1 사용자 디바이스(1)로부터 제2 사용자 디바이스(2)로 전송된다. 제2 사용자 디바이스는 수신된 크레덴셜들을 메모리(24)에 저장할 수 있다.
그리고, 단계 S5에서, 제2 사용자 디바이스(2)는 제1 사용자 디바이스(1)로부터 획득된 바와 같은 메모리(24)에 저장된 크레덴셜들 및 베이스밴드 프로세서(22)를 이용해서 네트워크(3)에 액세스한다.
단계 S6에서, 제2 사용자 디바이스(2)는 이제 통신 네트워크(3)를 통하여 사용자 데이터를 교환하는 것이 가능하게 된다.
하지만, 하나의 본 발명의 관점에 있어서, 제1 사용자 디바이스(1)는 제2 사용자 디바이스(2)의 데이터 교환 동안에 제어를 유지한다(stay in control). 특히, 이 제어는 제2 사용자 디바이스(2)로부터 독립적이어서, 제2 사용자 디바이스(2)가 이 제어를 방해할 수 없다. 이 제어는 제1 사용자 디바이스에 의해서만 수행되거나 제1 사용자 디바이스(1)와 네트워크(3)의 협력(cooperation)에 의해서만 수행되며, 단계 S6 주변의 파선들에 의해서 개략적으로 도시된다. 이 제어는 시간의존적(time-dependent)일 수 있는데, 즉, 제1 사용자 디바이스는 시간 정보로부터 유도된 시간 내의 특정 순간 이후에 제2 사용자 디바이스(2)의 데이터 교환이 더 이상 가능하지 않아야 하거나 계속되지 않아야 한다는 것을 네트워크에게 통지할(inform) 수 있다.
제1 사용자 디바이스(1)에 의한 제어 범위(control scope)는 제2 사용자 디바이스에게 제공되는 크레덴셜들에 의존한다. 예를 들어, 제1 사용자 디바이스(1)는 제2 사용자 디바이스(2)에 제공된 임시 식별자 T-IMSI가 더 이상 유효한 식별자(valid identifier)로서 고려되지 않아야 한다는 것을 네트워크(3)에게 통지할 수 있다. 다른 예는, 제1 사용자 디바이스(1)의 제어하에 있는 키로부터 유도되는 제2 사용자 디바이스(2)에게 제공된 다른 키가 무효하게(invalid) 되도록 하기 위하여, 제1 사용자 디바이스(1)의 제어하에 있는 키에 대한 키 리프레쉬 프로시저(key refresh procedure)를 개시하는 것일 수 있다.
도 5 내지 도 12를 참조하여 다양한 더욱 상세한 예들을 제공하기 전에, LTE(Long Term Evolution) 네트워크(3)의 간단한 설명이 도 3을 참조하여 제공될 것이며, 이러한 네트워크에서 이용되는 다양한 키들의 간단한 설명이 도 4를 참조하여 제공될 것이다.
도 3은 통신 네트워크(3)의 개략도이다.
도 3의 상부 브랜치(upper branch)는 흔히 LTE(Long Term Evolution) 또는 EPS(Evolved Packet System)라고 지칭되는 차세대 네트워크를 나타낸다. 이러한 네트워크는 P-GW(PDN Gateway) 및 S-GW(Serving Gateway)를 포함한다. EPS의 E-UTRAN은 패킷 네트워크를 통해서 S-GW에 연결되는 디바이스(2)를 위해 무선 액세스를 제공하는 진화된 NodeB(evolved NodeB)들(eNodeB들 또는 eNB들)을 포함한다. S-GW는 시그널링(signalling) 목적을 위해서 HSS(Home Subscriber Server) 및 MME(Mobility Management Entity)에 연결된다. HSS는 사용자 디바이스(1)의 가입 정보가 들어 있는 SPR(subscription profile repository)을 포함할 수 있다.
EPS 네트워크의 일반적인 아키텍처의 추가적 정보는 3GPP TS 23.401에서 찾아질 수 있다.
도 3의 하부 브랜치(lower branch)는 GGSN(Gateway GPRS Support Node), SGSN(Serving GPRS Support Node), 및 무선 액세스 네트워크(Radio Access Network)(RAN 또는 UTRAN)를 포함하는 GPRS 또는 UMTS 네트워크를 나타낸다. GSM/EDGE 무선 액세스 네트워크(GERAN)를 위해서, RAN은 복수의 베이스 (트랜시버) 스테이션들(Base (Transceiver) Station)들(BS들, BTS들)에 연결된 BSC(Base Station Controller)를 포함하며, 양쪽 모두 도시되지 않았다. UMTS 무선 액세스 네트워크(UTRAN)를 위해서, RAN은 복수의 NodeB들에 연결된 RNC(Radio Network Controller)를 포함하며, 이것도 도시되지 않았다. GGSN 및 SGSN은 사용자 디바이스들(1)의 가입 정보가 들어 있을 수 있는 HSS(Home Subscriber Server) 또는 HLR(Home Location Register)에 전형적으로 연결된다.
통신 네트워크(3)는 패킷 데이터 네트워크(41)를 통하여 사용자 디바이스(1)와 서버 시스템(40) 간의 사용자 데이터를 위한 연결들을 수립하는 것을 가능하게 하고, 여기서 사용자 데이터를 위한 연결들은 데이터 세션(data session)들 또는 PDP 콘텍스트(PDP Context)들이라고도 지칭되며, 통신 네트워크(3)에 대한 사용자 디바이스(1)의 액세스는 무선이다(wireless).
도 4는 LTE 통신 네트워크를 위한 키 계층구조(key hierarchy)의 개략도이다.
키 KASME는 알려진 방식으로 무결성 키(integrity key) IK, 암호 키(cipher key) CK, 및 서빙 네트워크(serving network) id로부터 제1 사용자 디바이스 및 네트워크(더욱 구체적으로는, 인증 센터(authentication centre) AuC) 양쪽 모두에서 생성된다. 생성된 키 KASME로부터, 무선 인터페이스(radio interface)상의 NAS 시그널링, RRC 시그널링, 및 사용자 플레인 통신의 보호를 위한 키들이 도 4에 도시된 바와 같이 생성된다.
NAS 키들 KNASenc 및 KNASint는 제1 사용자 디바이스와 MME 간의 세션 관리의 암호화를 위해 이용된다. 키들 KUPenc, KRRCint, 및 KRRCenc는 UE와 기지국(base station) eNodeB 간의 무선 인터페이스에서 이용된다. 이 키들은 중간키(intermediate key) KeNB를 이용해서 유도된다. KRRC 키들은 무선 리소스 시그널링(radio resources signalling)을 위해서 이용되는 액세스 계층 키(access stratum key)들이다. 사용자 플레인 키(user plane key) KUP는 무선 인터페이스상의 (사용자 플레인) 트래픽(traffic)의 암호화를 위해 이용된다.
제2 사용자 디바이스의 데이터 교환에 대한 제어는 제1 사용자 디바이스에 의해 획득된 키들 중의 임의의 것을 기초로 할 수 있다. 예를 들어, 사용자 플레인 키 KUP가 제2 사용자 디바이스에게 제공되었다면, 제어는 NAS 또는 RRC 키들 중의 하나에 대한 키 리프레쉬(key refresh)를 개시하는 것을 통하여 제1 사용자 디바이스에 의해 수행될 수 있다. 유사하게, RRC 키들 또는 the NAS 키들이 제2 사용자 디바이스에게 제공되었다면, 제어는 사용자 플레인 및/또는 NAS 키들을 기초로 하여 또는 사용자 플레인 및/또는 RRC 키들을 기초로 하여 각각 수행될 수 있다. 만일 키 KASME가 제2 사용자 디바이스에게 제공된다면, 제1 사용자 디바이스는 새로운 AKA를 개시하도록 네트워크에 요청함으로써 제어를 수행할 수 있다.
유사한 제어 옵션(control option)들이, 도 3을 참조로 하여 간단하게 설명된 바와 같은 UTMS 및 GPRS 네트워크들을 포함하는 다른 타입의 네트워크들을 위해서 존재한다.
LTE 네트워크를 위한 몇몇 실시예들이 이제 도 5 내지 도 12를 참조하여 더욱 상세하게 설명될 것이다.
도 5에서, 제1 사용자 디바이스(1)와 제2 사용자 디바이스(2)가 한 시점(some time) t0에서 페어링되었고(paired) 직접 연결을 셋업(setup)했다고 가정한다. 세션은 제1 사용자 디바이스(1)와 네트워크 간에 계속되고 있는(go on) 중일 수 있다. 이후의 한 시점(some later time) t1 = t0 + dt 에서, 제1 사용자 디바이스(1)는 배터리 절약 모드(battery saving mode)로 들어가길 원하거나, 진행중인 콜(ongoing call)을 근처의(nearby) 제2 사용자 디바이스(2)에게 포워딩하길(forward) 원할 것이다. 단계 i)에서, 제1 사용자 디바이스(1)는 콜(call)/세션(session)을 제2 사용자 디바이스에 전송하길 원한다는 것을 네트워크에게 통지한다. 단계 ii)에서, 네트워크는 제2 사용자 디바이스(2)에 의해 이용될 임시 식별자 X 및 키 또는 키 식별자를 제1 사용자 디바이스(1)에게 제공한다(식별자는 키를 유도하기(derive) 위해서 이용하기 위한 정보 또는 이용하기 위한 키를 나타냄(signaling)). 단계 iii)에서, 제1 사용자 디바이스(1)는 직접 링크(direct link)를 통해 식별자 X 및 도달할(reach) 수 있는 네트워크의 식별자만을 제2 사용자 디바이스(2)에게 제공한다. 단계 iv)에서, 이후 제2 사용자 디바이스(2)는 식별자 X를 이용해서 네트워크에 연결된다.
단계 v)에서, 네트워크는 (챌린지(challenge)를 가지고) AKA를 개시한다. 이것은 임의의 표준화된(standardized) LTE AKA일 수 있다. 제2 사용자 디바이스(2)는 단계 vi)에서 챌린지를 제1 사용자 디바이스(1)에게 포워딩한다(forward). 단계 vii)에서, 제1 사용자 디바이스(1)는 응답(response)을 계산해서 이것을 제2 사용자 디바이스(2)에게 보내며, 제2 사용자 디바이스(2)는 이것을 네트워크에게 포워딩한다. 단계 viii)에서, 네트워크는 이 응답을 예상 응답(expected response)과 비교하고, OK를 제2 사용자 디바이스(2)에게 제공하며, 제2 사용자 디바이스(2)는 이것을 제1 사용자 디바이스(1)에게 포워딩한다.
단계 ix)에서, 제1 사용자 디바이스(1)는 키들의 세트를 제2 사용자 디바이스(2)에게 제공한다. 이 키들에는, 예컨대, 사용자 플레인 키 KUP 및 무선 리소스 키(radio resource key) KRRC가 들어 있을 수 있다. 이 두 개의 키들을 가지고, 제2 사용자 디바이스(2)는 E-UTRAN 내의 하나의 eNodeB의 범위 내에 있는 한 복호화할(decrypt) 수 있고, 사용자 플레인 트래픽(user plane traffic)을 삽입할 수 있고, 무선 채널(radio channel)상에서 적절하게 거동할 수 있다. 핸드오버(hand-over) 등을 위해서(이것은 더 높은 레벨상의 키를 필요로 할 수 있음), 제2 사용자 디바이스(2)는 모든 프로시저들에 대해서 제1 사용자 디바이스(1)를 조회한다(consult). NAS(non-access stratus) 키들 KNAS를 필요로 하는 세션 관리를 위해서도, 제2 사용자 디바이스(2)는 제1 사용자 디바이스(1)에 의존한다. 이러한 방식에 있어서, 제1 사용자 디바이스는 연결(connection)의 제어를 유지하고, 필요하거나 원한다면 신속하게 제2 사용자 디바이스를 디세이블(disable)시킬 수 있다.
선택적으로, 이 순간에 제1 사용자 디바이스(1)와 네트워크 사이에서 사용자 데이터 세션(예컨대, 콜(call), 비디오 스트림(video stream))이 오픈(open)되어 있는 경우에, 제1 사용자 디바이스(1) 또는 네트워크 내의 개체(entity)는 단계 x)에서 도시된 바와 같이 제1 사용자 디바이스(1)로부터 제2 사용자 디바이스(2)로의 핸드오버를 개시할 수 있다. 네트워크측에서, 이것은 세션이 제2 사용자 디바이스(2)로 라우팅되고(rerouted)(즉, 목적지 트래픽(destination traffic)의 주소를 변경함) 새로운 키들을 가지고 암호화될(encrypted) 것을 요한다. 제1 사용자 디바이스(1)에서는, 애플리케이션 특정 정보(application specific information)가 단계 xi)에서 도시된 바와 같이 제2 사용자 디바이스(2)에게 포워딩된다. 이것은 어떤 애플리케이션 트래픽(application traffic)이 예상되는지(예컨대, VoIP 트래픽, 비디오 스트림, 페이스북 트래픽) 및 어떤 트래픽이 제2 사용자 디바이스(2)에서 핸들링되어야(handled) 하는지(예컨대, VoIP 및 비디오) 및 무엇이 제1 사용자 디바이스(1)에게 포워딩되어야 하는지(예컨대, 페이스북 및 이메일 검색(Facebook and email retrieval))에 대해서 제2 사용자 디바이스(2)가 통지를 받는다는 것을 의미한다. 이러한 메커니즘(mechanism)은 목적지 포트 번호(destination port number)들이 특정 애플리케이션들에 대응하는 TCP/IP 계층(TCP/IP layer)에서 용이하게 구현된다. 이후, 제2 사용자 디바이스(2)는 선택적으로 트래픽을 포워딩할 수 있다. 제2 사용자 디바이스(2)는 적어도 NAS 시그널링을 제1 사용자 디바이스(1)에게 포워딩할 수 있고(제2 사용자 디바이스(2) 자체는 NAS 키들을 가지고 있지 않음), 마찬가지로 몇몇 애플리케이션 트래픽도 포워딩된다. 연결은 키 리프레쉬 프로시저를 개시함으로써 종료될 수 있고, 이로써 제2 사용자 디바이스(2)의 키들을 무효화한다(invalidating).
도 5의 실시예에서, 제1 사용자 디바이스(1)와 제2 사용자 디바이스(2)가 직접 연결을 수립하기 전에도, 제1 사용자 디바이스(1)가 이미 AKA를 요청하고 수행해서 이 정보를 저장하고 있을 수 있다는 점이 주목된다. 제1 사용자 디바이스(1)는 이제 제2 사용자 디바이스(2)에게 자신을 대리하여 슬레이브 디바이스(slave device)가 된다는 것을 통지할 수 있다. 이러한 방식에 있어서, 연결을 셋업하기 위해 더 적은 단계들이 필요할 수 있다.
제2 사용자 디바이스(2)에게 제공된 키들은 상이한 무선 액세스 기술(radio access technology)(인터-RAT 핸드오버(inter-RAT handover))을 가진 네트워크로의 제2 사용자 디바이스(2)를 위한 핸드오버를 가능하게 하지 않는다. 만일 제2 사용자 디바이스(2)가 LTE 네트워크를 위한 키들을 가진다면, 이 키들은 UMTS 네트워크 또는 GSM 네트워크를 위해 이용될 수 없다. 하지만, 본 명세서에서와 제시된 바와 같은 메커니즘 내에서는 이러한 핸드오버들이 여전히 수행될 수 있다.
제1 해결책에 있어서, 제2 사용자 디바이스(2)는 완전한(full) UMTS 또는 GSM 연결을 위해 필요한 모든 크레덴셜들을 제1 사용자 디바이스(1)로부터 획득할 수 있다. 제2 사용자 디바이스(2)는 LTE 커버리지(coverage)가 종료(ending)되고 있다는 것 및 UMTS 또는 GSM이 알려져 있는 방식으로 이용가능하다는 것을 검출한다. 제2 사용자 디바이스(2)는 UMTS/GSM 네트워크로의 어태치(attach)를 개시한다. 네트워크는 이후, 제2 사용자 디바이스(2)가 제1 사용자 디바이스(1)로 포워딩하는 AKA를 개시한다. 제1 사용자 디바이스(1) 및 네트워크는 UMTS(두 개의 키들) 또는 GSM(하나의 키) 경우에 사용될 새로운 키들을 유도한다(derive). 제1 사용자 디바이스(1)와 제2 사용자 디바이스(2) 간의 직접 연결은 남아 있을 수도 있고 남아 있지 않을 수도 있다. 이 경우에 있어서, 제1 사용자 디바이스(1)는 네트워크에 대한 시그널링 경로(signaling path)를 더 이상 가지고 있지 않을 수 있다. 하지만, 제1 사용자 디바이스(1) 자체는 (가능하다면) LTE 네트워크에 연결되는 것이 여전히 허용될 수 있고, 이후 세션 시그널링(session signaling)은 전에 사용되었던 것과 동일한 키들을 이용해서 보호될 수 있을 것이다. 이러한 방식에 있어서, 제1 사용자 디바이스(1) 및 제2 사용자 디바이스(2)가 상이한 네트워크들에 연결되도록 하기 위해서, LTE 네트워크(여기에는 제1 사용자 디바이스(1)가 연결됨) 및 UMTS 네트워크(여기에는 제2 사용자 디바이스(2)가 연결될 수 있음)의 코어 네트워크 구성요소(core network component)들 간의 여분의 시그널링(extra signaling)이 준비될(arranged for) 수 있다.
제2 해결책에서, 핸드오버가 필요하다면, 제1 사용자 디바이스(1)와 제2 사용자 디바이스(2) 간의 트래픽의 방향이 역으로 될(reversed) 수 있다. 제1 사용자 디바이스(1)와 제2 사용자 디바이스(2) 간의 직접 연결이 유지되고, 제1 사용자 디바이스(1)는 UMTS 또는 GSM 네트워크에 연결된다. 제1 사용자 디바이스(1)는 제2 사용자 디바이스(2)로부터 사용자 데이터를 수신하고, 사용자 데이터를 네트워크로 포워딩한다. 이러한 제2 해결책의 이점은 제2 사용자 디바이스(2)에 의해서 핸드오버가 수행될 수 없는 경우에도 제2 사용자 디바이스(2)의 사용자 데이터의 교환이 제1 사용자 디바이스(1)를 통해서 계속될 수 있다는 점이다.
도 6의 실시예에 있어서, 네트워크는 제1 사용자 디바이스(1)로부터의 제2 사용자 디바이스(2)로의 크레덴셜들의 일부의 전송에 대해서 통지받지 않는다. 도 6의 실시예의 이점은 제2 사용자 디바이스의 네트워크와의 연결을 위해서 아무런 네트워크 지원(network support)이 필요하지 않다는 점이다.
제1 사용자 디바이스(1)와 제2 사용자 디바이스(2)가 한 시점(some time) t0에서 페어링되었고 직접 연결을 수립했다. 이후의 한 시점(some later time) t1 = t0 + dt 에서, 제1 사용자 디바이스(1)는 배터리 절약 모드로 들어가길 원하거나, 자신을 대리하여 제2 사용자 디바이스(2)가 인커밍 트래픽(incoming traffic)을 핸들링하길 원한다. 이것은 현재 아무런 세션이 액티브(active)되어 있지 않다면 수행될 수 있다.
도 5의 실시예와 비교하여, 네트워크는 통지받을 필요가 없어서, 네트워크가 통지받는 도 5의 단계들 i) 및 ii)가 생략될 수 있다.
단계 iii)에서, 제1 사용자 디바이스(1)는 직접 링크를 통해 자신의 식별자 Y 및 도달할 수 있는 네트워크의 식별자를 제2 사용자 디바이스(2)에게 제공한다. 단계 iv)에서, 이후 제2 사용자 디바이스(2)는 제1 사용자 디바이스의 식별자 Y를 이용해서 네트워크에 연결된다.
단계 v)에서, 네트워크는 (챌린지를 가지고) AKA를 개시한다. 이것은 임의의 표준화된 LTE AKA일 수 있다. 단계 vi)에서, 제2 사용자 디바이스(2)는 챌린지를 제1 사용자 디바이스(1)에게 포워딩한다. 단계 vii)에서, 제1 사용자 디바이스(1)는 응답을 계산해서 이것을 제2 사용자 디바이스(2)에 보내며, 제2 사용자 디바이스(2)는 이것을 네트워크에게 포워딩한다. 단계 viii)에서, 네트워크는 이 응답을 예상 응답과 비교하고, OK를 제2 사용자 디바이스(2)에 제공하며, 제2 사용자 디바이스(2)는 이것을 제1 사용자 디바이스(1)에게 포워딩한다. 단계들 v)-viii)은 LTE에서와 같이 보안 콘텍스트(security context)들이 저장될 수 있는 경우들에서는 생략될 수 있다. 키들은 네트워크에 저장되며, 아무런 완전한(full) AKA가 필요하지는 않다. 그러한 경우에, 단계들 5-8은 생략될 수 있다. 이러한 예가 도 7에서 제공된다.
단계 ix)에서, 제1 사용자 디바이스(1)는 키들의 세트를 제2 사용자 디바이스(2)에게 제공한다. 이 키들은, 예컨대, 사용자 플레인 키 KUP 및 무선 리소스 키 KRRC를 포함할 수 있다. 이 두 개의 키들을 가지고, 제2 사용자 디바이스(2)는 E-UTRAN 내의 하나의 eNodeB의 범위 내에 있는 한 복호화할 수 있고, 사용자 플레인 트래픽을 삽입할 수 있고, 무선 채널상에서 적절하게 거동할 수 있다.
핸드오버 등을 위해서(이것은 더 높은 레벨상의 키를 필요로 할 수 있음), 제2 사용자 디바이스(2)는 모든 프로시저들에 대해서 제1 사용자 디바이스(1)를 조회할 수 있다. NAS(non-access stratus) 키들 KNAS을 필요로 하는 세션 관리를 위해서도, 제2 사용자 디바이스(2)는 제1 사용자 디바이스(1)에 의존한다. 이러한 방식에 있어서, 제1 사용자 디바이스(1)는 연결의 제어를 유지하고(remain in control), 필요하거나 원한다면 신속하게 제2 사용자 디바이스(2)를 디세이블시킬 수 있다.
제1 사용자 디바이스(1)는 수신하길 원하는 몇몇 애플리케이션 트래픽이 존재하는지 여부를 나타낼 수 있고, 그것을 제2 사용자 디바이스(2)가 제1 사용자 디바이스(1)에게 포워딩하라고 요청할 수 있다. 제2 사용자 디바이스(2)는 적어도 NAS 시그널링을 제1 사용자 디바이스(1)에게 포워딩할 수 있다(제2 사용자 디바이스(2) 자체는 NAS 키들을 획득하지 않았음). 연결은 키 리프레쉬 프로시저를 개시함으로써 제1 사용자 디바이스(1)에 의해 종료될 수 있고, 이로써 제2 사용자 디바이스(2)에 제공된 키들을 무효화한다.
도 8a 및 8b는 크레덴셜 정보의 일부를 제2 사용자 디바이스(2)에게 제공하는 동안 제1 사용자 디바이스(1)와의 제어가 어떻게 유지되는지를 도 5 내지 도 7과는 상이한 표현으로 개략적으로 도시한다.
도 8a는 제1 사용자 디바이스(1)로부터 제2 사용자 디바이스(2)로 크레덴셜의 일부를 넘겨주기(handing over) 전의 경우를 도시한다. 사용자 데이터는 연결(connection) I을 통하여 제1 사용자 디바이스(1)에서부터 무선 네트워크(radio network)로 전송되고, 콘텐츠 네트워크(content network)에 대한 연결 II를 통해서 추가로 콘텐츠 네트워크로 전송되고, 이후 필요하다면 연결 III을 통해서 추가로 전송된다. 시그널링 트래픽(signaling traffic)은 파선 화살표에 의해 도시된 논리적 연결(logical connection) V를 구성하는 MME에 대한 세션 핸들링(session handling)을 위해 연결들 I 및 IV을 통해서 전달된다.
도 8b는 연결 VI를 통해서 크레덴셜들의 일부를 제2 사용자 디바이스(2)로 전송한 후의 도면이다. 사용자 데이터는 연결 VII를 통해서 (그리고 아마도 연결 VI을 통해서) 제2 사용자 디바이스(2)로부터 무선 네트워크로 전송되고, 이후 연결들 II 및 III을 통해서 추가로 전송된다. 시그널링 트래픽은 이제 연결들 VI, VII 및 IV을 통해서, 여전히 논리적 연결 V를 구성한다. 따라서, 제1 사용자 디바이스(1)는 제2 사용자 디바이스(2)에게 제공되는 크레덴셜들이 유효하지 않게(invalid) 하고 세션을 중단하도록 결정할 수 있기 때문에, 제어가 제1 사용자 디바이스(1)와는 유지된다. 만일 모종의 이유로 제1 사용자 디바이스(1)와 제2 사용자 디바이스(2) 간의 직접 연결이 차단된다면(blocked), 예컨대 세션 관리 에러가 발생한 것으로 인하여, 네트워크가 연결을 종료하는 때에 또는 새로운 키가 유도되어야 하는 때에, 제2 사용자 디바이스(2)의 연결이 실패할(fail) 것이다.
제1 사용자 디바이스(1)로부터 제2 사용자 디바이스(2)로 제공되는 크레덴셜들의 양 및/또는 타입은 단지 조금에서부터(from only few) 전체 세트에 이르기까지(to the complete set) 달라질 수 있다.
도 9의 실시예에서, 사용자 플레인 키 KUP만이 제2 사용자 디바이스(2)에 제공된다.
근접성(proximity)이 제1 사용자 디바이스(1) 및 제2 사용자 디바이스(2)에 의해 검출될 때, 직접 연결이 수립된다. 단계 i)에서, 제2 사용자 디바이스(2)는 네트워크에 대한 데이터 세션을 제1 사용자 디바이스(1)에게 요청한다. 이러한 세션이 아직 존재하지 않는다면, 제1 사용자 디바이스(1)는 네트워크와 세션을 수립한다. 단계 ii)에서, 제1 사용자 디바이스는 그것의 베이스밴드 프로세서(base band processor)(22)(도 1 참조)와 직접 대화하길(talk directly) 원한다고 제2 사용자 디바이스(2)에게 통지한다. 추가적으로, 제1 사용자 디바이스(1)는 사용자 데이터를 삽입하기 위한 방법을 제2 사용자 디바이스(2)에게 통지하고, 사용자 플레인 키 KUP를 제2 사용자 디바이스(2)에게 제공한다. 특정 시점에서, 제2 사용자 디바이스(2)는 무선 연결을 넘겨받고(take over), 제1 사용자 디바이스(1)는 베이스밴드 프로세서와 직접 대화하고, 사용자 데이터 트래픽을 삽입할 위치를 제2 사용자 디바이스(2)에게 통지한다.
제1 사용자 디바이스(1)가 제2 사용자 디바이스(2)의 베이스밴드 프로세서(22)와 직접 대화하기 때문에, 제1 사용자 디바이스(1)는 모든 시그널링(AS(access stratum) 및 NAS(non-access stratum))을 한다. 제2 사용자 디바이스(2)는 즉시(straight away) 사용자 플레인 트래픽을 삽입한다. GSM 또는 UMTS에 대한 핸드오버들은, 제1 사용자 디바이스(1)가 새로 유도된 키들을 제2 사용자 디바이스(2)에게 줘서 제2 사용자 디바이스(2)가 세션을 핸들링하게 하는 것, 또는 제1 사용자 디바이스(1)가 모든 트래픽 자체를 핸들링하고 사용자 데이터가 직접 연결을 통해서 (그래서, 제2 사용자 디바이스(2)로부터 제1 사용자 디바이스(1)로 그리고 네트워크로) 흘러가는(flow) 것을 요한다.
도 9를 참조하여 설명된 바와 같이 단일한 키(single key)만을 제2 사용자 디바이스(2)에 제공하는 것 대신에, 획득된 크레덴셜들의 전체 세트가 제1 사용자 디바이스(1)로부터 제2 사용자 디바이스(2)로 제공될 수 있다. 제2 사용자 디바이스(2)에게 제공된 크레덴셜들 중의 하나 이상이 더 이상 수락되지(accepted) 않아야 한다는 것을 네트워크에게 통지함으로써 제1 사용자 디바이스(1)에 의한 제어가 획득된다. 이러한 실시예의 다양한 예들이 이제 도 10 내지 도 12를 참조하여 설명될 것이다.
도 10에서, 제1 사용자 디바이스(1)와 제2 사용자 디바이스(2)가 근처에 있으며 한 시점(some time) t0에서 페어링되었고 직접 연결을 셋업(setup)했다고 가정한다. 이후의 한 시점(some later time) t1 = t0 + dt 에서, 제1 사용자 디바이스(1)는 배터리 절약 모드로 들어가길 원하거나, 진행중인 콜을 근처의 제2 사용자 디바이스(2)에게 포워딩하길 원할 것이다. 단계 i)에서, 제1 사용자 디바이스(1)는 제2 사용자 디바이스(2)를 통해서 연결하길 원한다는 것을 네트워크에게 통지한다. 단계 ii)에서, 네트워크는 임시 식별자 X 및 키 또는 키들 또는 키 식별자(들) Y를 포함하는 크레덴셜들의 완전한 세트(full set)를 제1 사용자 디바이스(1)에게 제공한다. 단계 iii)에서, 제1 사용자 디바이스(1)는 식별자 X 및 키 및 도달할 수 있는 네트워크의 식별자를 제2 사용자 디바이스(2)에게 제공한다.
이후, 단계 iv)에서, 제2 사용자 디바이스(2)는 제1 사용자 디바이스(1)로부터 수신된 크레덴셜들을 이용해서 네트워크에 연결되고, 알려져 있는 방식으로 완전한 AKA, 즉 단계들 v)- vii)을 수행한다. 제2 사용자 디바이스(2)는 크레덴셜들의 전체 세트를 가지며, 혼자 힘으로(on its own) 모든 관리 기능들을 수행할 수 있다. 제1 사용자 디바이스(1)는 세션을 제2 사용자 디바이스(2)에게 넘겨줄 수 있다(hand over). 하지만, 제2 사용자 디바이스(2)에게 제공되는 크레덴셜들과 관련된 정보를 이용해서 네트워크에 연결되고 제2 사용자 디바이스(2)가 연결되어야 한다는 것을 시그널링함으로써, 제어는 여전히 제2 사용자 디바이스(2)의 크레덴셜들을 알고 있는 제1 사용자 디바이스(1)로부터 수행될 수 있다. 제2 사용자 디바이스(2)는 네트워크로부터 디태치(detach)될 때(단계 viii)) 보안 콘텍스트를 저장할 수 있고, 제1 사용자 디바이스(1)가 네트워크에게 다르게 지시하지 않은 한 추후에 다시 어태치(attach)할 수 있다(단계들 ix) 및 x)).
추가적 실시예들이 도 11 및 12에서 공개된다. 양쪽 실시예들에서 제1 사용자 디바이스(1)와 제2 사용자 디바이스(2)가 한 시점(some time) t0에서 페어링되고 직접 연결을 셋업했다. 이후의 한 시점(some later time) t1 = t0 + dt 에서, 제1 사용자 디바이스(1)는 배터리 절약 모드로 들어가길 원하거나, 진행중인 콜을 근처의 제2 사용자 디바이스(2)에게 포워딩하길 원할 것이다. 단계 i)에서, 제1 사용자 디바이스(1)는 제2 사용자 디바이스(2)를 통해서 연결하길 원한다는 것을 네트워크에게 통지한다. 단계 ii)에서, 네트워크는 식별자 X를 제1 사용자 디바이스(1)에게 제공한다. 그래서, 도 11의 단계들 iii)- viii) 및 도 12의 단계들 iii)-vi)에서, 제1 사용자 디바이스(1)에 의해서(도 11에서와 같이 제2 사용자 디바이스를 통해서 중계되거나(relay) 도 12에서 도시된 바와 같이 제1 사용자 디바이스(1) 자체에 의함) AKA가 수행된다.
키들이 획득되는 때에, 제1 사용자 디바이스(1)는 도 11의 단계 ix) 및 도 12의 단계 vii)에서 키들을 제2 사용자 디바이스(2)에 제공한다. 도 12의 예에서는, 식별자도 제2 사용자 디바이스(2)에 제공된다. 다시 언급하지만, 제2 사용자 디바이스(2)가 더 이상 연결이 허용되지 않아야 한다고 제1 사용자 디바이스(1)가 네트워크에 통지하지 않은 한, 보안 콘텍스트를 저장함으로써, 제2 사용자 디바이스(2)는 다시 디태치(detach) 및 어태치(attach)할 수 있다.
상술한 해결책들에 대한 대안에 있어서, 제1 사용자 디바이스(1)는 제2 사용자 디바이스(2)에 대한 연결을 가지고 있는지 여부와 무관하게 크레덴셜들을 획득할 수 있다. 제1 사용자 디바이스(1)는 예컨대, 미리 복수의 완전한 크레덴셜 세트(full credential set)들을 획득할 수 있고, 필요할 때마다 이것을 이용할 수 있다. 유사하게, 네트워크 및 제1 사용자 디바이스(1)는 제1 사용자 디바이스(1)가 제1 사용자 디바이스(1)에서 크레덴셜들의 새로운 세트들을 유도하기 위해 이용할 수 있는 공유(shared) 시크릿(secret)/키(key)를 합의할(agree) 수 있을 것이다. 이 경우에, 공유 시크릿은 크레덴셜들의 세트의 출처의 증거(proof of origin)를 제공할 것이다(네트워크 및 제1 사용자 디바이스(1)만이 공유 시크릿을 알고 있으므로 임의의 제3 디바이스는 제1 사용자 디바이스(1)로부터 그것을 얻어야 함). 이러한 정보는 또한 제2 사용자 디바이스(2)의 어태치(attach)시에 제1 사용자 디바이스(1)에 의해서 제2 사용자 디바이스(2)에게 제공될 수 있는 인증서(certificate)에 포함되어 있을 수도 있다.
제2 사용자 디바이스(2)는 제2 사용자 디바이스(2)와 제1 사용자 디바이스(1) 간의 직접 연결을 셋업하기 위하여 과거에 주어졌던 식별자를 청취하라고(listen for) 지시를 받을 수 있다(이후, 제1 사용자 디바이스(1)는 이 식별자를 브로드캐스팅(broadcasting)하고 있을 것임). 제1 사용자 디바이스(1)와 제2 사용자 디바이스(2)가 더 먼 거리에서 자신들을 발견할 때, 제1 사용자 디바이스(1)에 의한 브로드캐스트(broadcast)는 오퍼레이터 네트워크(operator network)를 통해서 전파될(propagate) 수 있을 것이고, 제2 사용자 디바이스(2)는 셀룰러 네트워크(cellular network)(또는 단지 무선(radio)/액세스(access) 네트워크)에 연결되고 디바이스-투-디바이스 연결(device-to-device connection)을 셋업할 수 있을 것이다. 추가적인 요구사항(requirement)은, 제2 사용자 디바이스(2)가 네트워크 또는 사용자 디바이스(1)로 하여금 계속 통지받도록 하는 것으로 인하여 또는 정지 위치(static location)를 가지는 것으로 인하여, 네트워크가 제2 사용자 디바이스(2)를 호출할(page) 곳을 알고 있다는 점이다.
유익하게도, 모든 디바이스에 대한 개별(separate) 가입에 대한 필요성이 존재하지 않으며, 모든 디바이스들은 하나의 디바이스(또는, 패밀리 소유의 디바이스인 경우에는 복수의 디바이스들)로부터 관리될 수 있을 것이다. 그래서, 만일 한 가정(household)이 4개의 멤버(member)들 및 4개의 가입(subscription)들을 가지고 있다면, 잠재적으로 인하우스 엔터테인먼트 시스템(in-house entertainment system), 포토 카메라(photo camera), 또는 게임 콘솔(game console)을 관리할 수 있는 4개의 디바이스들이 존재한다.
완전한 크레덴셜 세트(full credential set)가 제2 사용자 디바이스(2)에게 제공되는 해결책들을 위해서, 커버리지(coverage)를 변경할 특별한 배치에 대한 필요성이 존재하지 않는다. 세트가 완전하고, 그래서 모든 핸드오버를 위한 모든 표준 프로시저들이 적용되기 때문에, LTE, UMTS, 및 GSM 커버리지 사이에서 오가는 것은 매끄럽게(seamlessly) 가능하다.
모든 정보가 제2 사용자 디바이스(2)에 제공되지 않는 본 발명의 실시예들 중의 몇몇에서, 제1 사용자 디바이스(1)는 정보를 보내기 위해서 이용가능한 타임 슬롯(time slot)들 및 이용될 채널(channel)들(예컨대, 주파수들)에 대해서 제2 사용자 디바이스(2)에게 통지한다. 이후, 제2 사용자 디바이스(2)는 릴레잉(relaying) 또는 리피팅(repeating)하고 있는 연결상에서 효과적으로 엿들을(eavesdrop) 수 있는 모든 정보를 가진다.
몇몇 실시예들에서, 제1 사용자 디바이스(1)상의 시그널링을 유지하고, 제2 사용자 디바이스(2)상의 사용자 데이터만을 가지고 작업함으로써, 제1 사용자 디바이스(1)에 의한 제어가 수행된다. 이러한 방식으로, 제1 사용자 디바이스(1)는 키 리프레쉬 프로시저를 개시함으로써 실제로 제어할 수 있다. 다른 추가 보안(security) 사항은 세션 시그널링이 제1 사용자 디바이스(1)와 네트워크 사이에 남아 있다는 점이다. 이로써, 제1 사용자 디바이스(1)가 최대 허용 처리량(maximum allowed throughput) 및 QoS 관점(aspect)들과 같은 세션의 속성들을 제어할 수 있다. 제1 사용자 디바이스(1)는 세션에 대해서 허용되는 것에 대한 (일부) 제어를 보유한다(예컨대, 대규모 다운로드 금지(no large downloads)).
본 발명의 제어 메커니즘들은 프라이버시 강화 기술(privacy enhancing technology)을 위해서 이용될 수 있다. 예를 들어, 페이스메이커(pacemaker), 혈압 모니터링 장치(blood pressure monitoring device), 혈당치 모니터링(blood sugar level monitoring device) 등과 같은 의료 장치들은 네트워크에 정보를 푸쉬(push)하기 위해 이 기술을 이용할 수 있을 것이다. 이 경우에 있어서, 건강 관리 장치(health care device)(제2 사용자 디바이스)는 가입해 있지(have a subscription) 않을 것이지만, 폰(phone)(제1 사용자 디바이스)과 페어링된다. 특정 시점에서(at some point), 건강 관리 장치는 건강 관리 제공자(health care provider)에게 정보를 보내길 원할 것이다. 이후, 의료 장치는 (주변에 있는지 여부를 알아보기 위해서) 폰을 호출한다(page). 만일 폰이 호출 메시지(paging message)를 수신하면, 그것은 응답하고 직접 연결이 셋업된다. 이후, 의료 장치는 몇몇 데이터를 보내기 위하여 네트워크에 연결하고 싶다는 신호를 보낸다. 이후, 폰은 허용여부 및 디바이스가 정보를 보내는 것을 허용할지 여부를 결정할 수 있다.
상술한 바와 같이, 본 발명의 제어 메커니즘은 LTE(4G) 네트워크들 및 UMTS 네트워크들을 포함하는 다양한 네트워크들에 대해서 예상된다. 현재, LTE 네트워크를 이어가도록(succeed) 의도된 차세대 네트워크가 개발 중에 있다. 차세대 네트워크를 LTE 네트워크와 구별시키는 하나의 관점은 사용자 플레인 데이터(user plane data)와 시그널링 플레인 데이터(signaling plane data)의 추가적 분리(separation)이다.
도 13은 EPS 키 계층구조와 유사한 차세대 네트워크를 위한 예상(envisioned) 키 계층구조를 나타낸다. 키 계층구조는 도 4에서 도시된 바와 같은 LTE 키 계층구조와 큰 유사성을 가지지만, UE-eNodeB 무선 인터페이스를 위한 추가적 키 분할(key division)을 가진다. 특히, 복수의 사용자 플레인 키들 K'UPenc가 유도되는 중간키(intermediate key)(예컨대, 세션 식별자)를 이용함으로써, 사용자 플레인 키 KUP가 단일한 eNodeB 및 단일한 데이터 세션에 할당될 수 있다.
이것은 도 14에 도시된 바와 같이, 제1 사용자 디바이스(1)가 네트워크와의 직접적(물리적) 시그널링 연결을 가질 수 있도록 하고, 제2 사용자 디바이스(2)가 직접적(물리적) 사용자 데이터 연결을 가질 수 있도록 한다. 시그널링 연결(signaling connection)은 저대역폭 채널(low bandwidth channel)을 포함할 수 있고, 사용자 데이터 연결은 더 높은 대역폭을 가진 채널을 포함할 수 있다. 제2 사용자 디바이스(2)의 사용자 데이터 교환에 대한 제어는 시그널링 정보 또는 그 전송을 처리하는 제1 사용자 디바이스(1)에 의해서 수행될 수 있다.
제1 사용자 디바이스(1)와 제2 사용자 디바이스(2) 간의 직접 연결은, 제1 사용자 디바이스(1)가 리소스들 및 세션에 대한 시그널링을 수행하는 것, 그리고 사용자 데이터 전송 및 무선 경로(radio path)상의 다른 이벤트(event)들을 위한 타이밍(timing)에 대해서 제2 디바이스(2)에게 통지하는 것을 가능하게 한다. 만일 사용자 플레인 키들 KUP를 유도하기 위해서 세션 식별자가 이용된다면, 제1 사용자 디바이스(1) 및 제2 사용자 디바이스(2) 양쪽 모두는 네트워크와의 세션을 가질 수 있다. 이후, 제1 사용자 디바이스(1)는 그 자신 및 제2 사용자 디바이스(2) 양쪽 모두를 위해서 듀얼 세션 관리 제어 기능(dual session management control functions)을 수행할 수 있다. 도 14에서는, 제1 사용자 디바이스(1)만이 사용자 플레인 키를 제2 사용자 디바이스(2)에게 제공했다.
사용자 플레인과 시그널링 플레인의 향상된 분리(enhanced separation)는 사용자 플레인과 시그널링 플레인을 위해서 상이한 식별자들을 이용하는 것을 가능하게 한다. 예를 들어, 식별자들은 해시 함수(hash function)를 이용해서 TMSI(시그널링을 위해 이용됨) 및 세션 식별자로부터 유도될 수 있다. 이것은 또한 스케일러블 솔루션(scalable solution)인데, 모든 데이터 연결이 이러한 방식으로 연관된 식별자를 획득하기 때문이다.
본 방법은 수행될 단계들의 관점에서 기술되었지만, 기술된 단계들이 기술된 정확한 순서대로 및/또는 차례로 수행되어야만 하는 것으로 여겨지지 않는다는 점이 주목된다. 통상의 기술자는 등가적인 기술적 결과들을 달성하기 위하여 단계들의 순서를 변경하는 것 및/또는 단계들을 병렬로 수행하는 것을 구상할 수 있다.
몇몇 변형예들에 있어서, 통상의 기술자는 본 명세서에서 기술된 실시예들을 다른 아키텍처들, 네트워크들, 또는 기술들로 확장할 수 있다.
본 발명의 다양한 실시예들은 컴퓨터 시스템 또는 프로세서를 가지고 이용하기 위한 프로그램 제품으로서 구현될 수 있고, 프로그램 제품의 프로그램(들)은 (본 명세서에 기술된 방법들을 포함하여) 실시예들의 기능들을 정의한다. 하나의 실시예에 있어서, 프로그램(들)은 다양한 비일시적 컴퓨터-판독가능 저장 매체(computer-readable storage media)(일반적으로 "스토리지(storage)"라고 지칭됨)에 들어 있을 수 있는데, 본 명세서에서 사용될 때, "비일시적 컴퓨터 판독가능 저장 매체(non-transitory computer readable storage media)"라는 표현은 모든 컴퓨터-판독가능 매체를 포함하되, 일시적인(transitory), 전파되는(propagating) 신호인 경우만은 예외이다. 다른 실시예에서, 프로그램(들)은 다양한 일시적 컴퓨터-판독가능 저장 매체상에 포함될 수 있다. 예시적인 컴퓨터-판독가능 저장 매체는: (i) 정보가 영구적으로 저장되어 있는 기록불가능한(non-writable) 저장 매체(예컨대, CD-ROM 드라이브에 의해 판독가능한 CD-ROM 디스크들과 같은 컴퓨터 내의 ROM(read-only memory) 디바이스들, ROM 칩(chip)들 또는 임의의 타입의 솔리드-스테이트 비휘발성 반도체 메모리(solid-state non-volatile semiconductor memory)); 및 (ii) 변경가능한 정보가 저장되어 있는 기록가능한(writable) 저장 매체(예컨대, 플래시 메모리(flash memory), 디스켓 드라이브(diskette drive) 내의 플로피 디스크(floppy disk)들 또는 하드 디스크 드라이브(hard-disk drive) 또는 임의의 타입의 솔리드-스테이트 랜덤 액세스 반도체 메모리(solid-state random-access semiconductor memory));를 포함하지만 이에 한정되지는 않는다.
임의의 하나의 실시예와 관련하여 기술된 임의의 특징은 단독으로 이용될 수 있거나, 기술된 다른 특징들과 조합하여 이용될 수 있고, 임의의 다른 실시예들의 하나 이상의 특징들 또는 임의의 다른 실시예들의 임의의 결합과 조합하여 이용될 수도 있다고 이해되어야 한다. 게다가, 본 발명은 상술한 실시예들에 한정되는 것이 아니며, 이는 첨부된 청구항들의 범위 내에서 달라질 수 있다.

Claims (16)

  1. 통신 네트워크(telecommunications network)를 통한 제2 사용자 디바이스(user device)의 사용자 데이터 교환(user data exchange)을 제1 사용자 디바이스에 의해 제어하기 위한 방법으로서,
    제1 사용자 디바이스 및 제2 사용자 디바이스는 통신 네트워크에 무선으로 연결되도록 구성되고,
    상기 방법은:
    - 상기 통신 네트워크를 통한 신호 전송을 위한 복수의 신호 전송 키(signal transmission key)들 및 식별자(identifier)를 포함하는 크레덴셜(credential)들의 세트를 제1 사용자 디바이스에 의해 획득하는 단계;
    - 제2 사용자 디바이스가 상기 통신 네트워크를 통하여 사용자 데이터를 교환하는 것을 가능하게 하기 위하여, 상기 크레덴셜들의 세트의 적어도 일부를 제1 사용자 디바이스에서 제2 사용자 디바이스로 제공하는 단계;
    - 제1 사용자 디바이스의 제어 액션(control action)에 의해서 상기 통신 네트워크를 통한 제2 사용자 디바이스의 사용자 데이터 교환을 제어하되, 상기 제어 액션은, 제1 사용자 디바이스에 의해 획득되어 제2 사용자 디바이스에게 제공되는 상기 크레덴셜들과 관련하여 수행되는 단계;를 포함하는
    것을 특징으로 하는 통신 네트워크를 통한 제2 사용자 디바이스의 사용자 데이터 교환을 제1 사용자 디바이스에 의해 제어하기 위한 방법.
  2. 청구항 1에 있어서,
    상기 제어 액션은:
    - 만일 상기 식별자가 제2 사용자 디바이스에게 제공되었다면 상기 식별자를 무효화하도록(invalidate) 상기 통신 네트워크에게 지시하는 것; 및
    - 제2 사용자 디바이스에게 제공된 상기 키들 중의 하나 이상을 무효화하도록 상기 통신 네트워크에게 지시하는 것; 중의 적어도 하나를 포함하는
    것을 특징으로 하는 통신 네트워크를 통한 제2 사용자 디바이스의 사용자 데이터 교환을 제1 사용자 디바이스에 의해 제어하기 위한 방법.
  3. 청구항 1에 있어서,
    상기 크레덴셜들의 세트의 일부만이 제2 사용자 디바이스에게 제공되고,
    상기 제어 액션은:
    - 제1 사용자 디바이스 내에 보유되는(retained) 하나 이상의 크레덴셜들을 수정하는 것; 및
    - 제2 사용자 디바이스에게 제공된 상기 크레덴셜들 중의 하나 이상을 무효화하는 것; 중의 하나에 의해서 수행되는
    것을 특징으로 하는 통신 네트워크를 통한 제2 사용자 디바이스의 사용자 데이터 교환을 제1 사용자 디바이스에 의해 제어하기 위한 방법.
  4. 청구항 3에 있어서,
    상기 신호 전송 키들은 키 계층구조(key hierarchy) 내에서 조직화되고(organized),
    상기 키 계층구조 내의 하위의(lower) 키는 상기 키 계층구조 내의 상위의(higher) 키로부터 유도되고(derived),
    제1 사용자 디바이스는 상기 키 계층구조 내의 상위의(higher) 하나 이상의 신호 전송 키들을 보유하면서(retaining) 상기 키 계층구조 내의 하위의(lower) 하나 이상의 신호 전송 키들을 제2 사용자 디바이스에게 제공하고,
    상기 제어 액션은 상기 키 계층구조 내의 상위의(higher) 상기 신호 전송 키들 중의 하나 이상을 위해서 새로운 키들을 생성하는 것을 포함하는
    것을 특징으로 하는 통신 네트워크를 통한 제2 사용자 디바이스의 사용자 데이터 교환을 제1 사용자 디바이스에 의해 제어하기 위한 방법.
  5. 청구항 3에 있어서,
    제1 사용자 디바이스에 의해서 제2 사용자 디바이스에게만 제공되는 상기 신호 전송 키들은 사용자 플레인 암호화 키(user plane encryption key)를 포함하고,
    상기 방법은:
    - 사용자 데이터 포함 세부사항들(user data inclusion details)을 제2 사용자 디바이스에게 제공하는 단계;
    - 제1 사용자 디바이스 내에 남아 있는(remaining) 상기 크레덴셜들 중의 하나 이상에 의존하여 제2 사용자 디바이스에 대한 사용자 데이터 교환을 제어하는 단계;를 더 포함하는
    것을 특징으로 하는 통신 네트워크를 통한 제2 사용자 디바이스의 사용자 데이터 교환을 제1 사용자 디바이스에 의해 제어하기 위한 방법.
  6. 청구항 1에 있어서,
    상기 통신 네트워크를 통한 제2 사용자 디바이스의 상기 사용자 데이터 교환을 위해 제1 사용자 디바이스와 상기 통신 네트워크 간의 시그널링(signalling)을 유지하는 단계를 더 포함하고,
    제1 사용자 디바이스에 의한 상기 제어 액션은 제1 사용자 디바이스에서 상기 시그널링을 처리하는 것(manipulating)을 포함하는
    것을 특징으로 하는 통신 네트워크를 통한 제2 사용자 디바이스의 사용자 데이터 교환을 제1 사용자 디바이스에 의해 제어하기 위한 방법.
  7. 청구항 6에 있어서,
    상기 통신 네트워크는 LTE 네트워크를 포함하고,
    제1 사용자 디바이스에 의해 획득된 상기 크레덴셜들의 세트는 하나 이상의 NAS(non-access stratum) 키들을 포함하고,
    상기 방법은:
    - 제2 사용자 디바이스에게 제공되는 상기 크레덴셜들의 일부에서 상기 NAS 키들 중의 하나 이상을 생략하는(omitting) 단계;
    - 상기 제어 액션에 의해 제2 사용자 디바이스의 사용자 데이터 교환을 중단시키는(aborting) 단계;를
    포함하고,
    제1 사용자 디바이스의 상기 제어 액션은:
    - NAS 메시지 디태치 요청(NAS message Detach Request)을 상기 통신 네트워크에게 전송하는 것;
    - TAU(Tracking Area Update) 또는 AKA(Authentication and Key Agreement) 프로시저(procedure) 동안 상기 통신 네트워크로부터 챌린지(challenge)를 수신하는 때에 인증 실패 메시지(authentication failure messag)를 전송하는 것; 중의 하나를 포함하는
    것을 특징으로 하는 통신 네트워크를 통한 제2 사용자 디바이스의 사용자 데이터 교환을 제1 사용자 디바이스에 의해 제어하기 위한 방법.
  8. 청구항 1에 있어서,
    - 제1 사용자 디바이스가 상기 통신 네트워크를 통하여 사용자 데이터를 교환하는 것을 가능하게 하도록 상기 통신 네트워크로부터의 제1 식별자를 적용하는 단계;
    - 상기 통신 네트워크에게 제2 식별자를 요청하는 단계;
    - 제2 사용자 디바이스가 상기 통신 네트워크를 통하여 사용자 데이터를 교환하는 것을 가능하게 하기 위하여, 제2 사용자 디바이스에게 제공될 상기 크레덴셜들의 세트에 제2 식별자를 포함시키는 단계;를 더 포함하는
    것을 특징으로 하는 통신 네트워크를 통한 제2 사용자 디바이스의 사용자 데이터 교환을 제1 사용자 디바이스에 의해 제어하기 위한 방법.
  9. 청구항 1에 있어서,
    제1 사용자 디바이스가 상기 통신 네트워크를 통하여 사용자 데이터를 교환하는 것을 가능하게 하는 식별자를 수신하고, 이 식별자를 제2 사용자 디바이스에게 제공해서 제2 사용자 디바이스가 상기 통신 네트워크를 통하여 사용자 데이터를 교환하는 것을 가능하게 하는 단계를 포함하는
    것을 특징으로 하는 통신 네트워크를 통한 제2 사용자 디바이스의 사용자 데이터 교환을 제1 사용자 디바이스에 의해 제어하기 위한 방법.
  10. 상기 청구항들 중의 하나 이상에 있어서,
    제2 사용자 디바이스에게 상기 크레덴셜들의 세트의 적어도 일부를 적어도 제공하기 위해 제1 사용자 디바이스와 제2 사용자 디바이스 간의, LTE 다이렉트(LTE direct) 연결 또는 블루투스(Bluetooth) 연결과 같은, 직접 연결(direct connection)을 수립하는(establishing) 단계를 더 포함하는
    것을 특징으로 하는 통신 네트워크를 통한 제2 사용자 디바이스의 사용자 데이터 교환을 제1 사용자 디바이스에 의해 제어하기 위한 방법.
  11. 상기 청구항들 중의 하나 이상에 있어서,
    제1 사용자 디바이스는 미리 크레덴셜들의 하나 이상의 세트들을 획득하고, 이후에 크레덴셜들의 상기 세트들 중의 하나 이상을 하나 이상의 제2 사용자 디바이스들에게 제공하는
    것을 특징으로 하는 통신 네트워크를 통한 제2 사용자 디바이스의 사용자 데이터 교환을 제1 사용자 디바이스에 의해 제어하기 위한 방법.
  12. 상기 청구항들 중의 하나 이상에 있어서,
    제1 사용자 디바이스에 의해서 수행되는:
    - 제2 디바이스에게 상기 식별자를 제공하는 단계;
    - 제2 사용자 디바이스를 통하여 상기 통신 네트워크로부터 정보를 수신하는 단계;
    - 제2 디바이스로부터 상기 정보를 수신한 후에 하나 이상의 신호 전송 키들을 제2 디바이스에게 전송하는 단계;를 포함하는
    것을 특징으로 하는 통신 네트워크를 통한 제2 사용자 디바이스의 사용자 데이터 교환을 제1 사용자 디바이스에 의해 제어하기 위한 방법.
  13. 컴퓨터 시스템상에서 수행될 때 청구항 1 내지 12 중의 하나 이상에 따른 방법을 수행하도록 구성된 소프트웨어 코드 부분(software code portion)들을 포함하는 컴퓨터 프로그램.
  14. 청구항 13에 따른 컴퓨터 프로그램을 포함하는 비일시적 컴퓨터 프로그램 매체(non-transitory computer program medium).
  15. 청구항 1 내지 12에 따른 방법을 실행하도록 구성된 제1 사용자 디바이스로서, 제1 사용자 디바이스는 제2 사용자 디바이스에 의한 사용자 데이터 교환을 제어하기 위한 컴퓨터 코드(computer code)로 프로그래밍된 회로를 포함하고,
    상기 회로에 의해서 실행될 때, 상기 컴퓨터 코드는:
    - 통신 네트워크를 통한 신호 전송을 위한 복수의 신호 전송 키들 및 식별자를 포함하는 크레덴셜들의 세트를 획득하는 것;
    - 제2 사용자 디바이스가 상기 통신 네트워크를 통하여 사용자 데이터를 교환하는 것을 가능하게 하기 위하여, 상기 크레덴셜들의 세트의 적어도 일부를 제2 사용자 디바이스에게 제공하는 것;
    - 제어 액션에 의해서 상기 통신 네트워크를 통한 제2 사용자 디바이스의 사용자 데이터 교환을 제어하되, 상기 제어 액션은 제2 사용자 디바이스에게 제공되는 획득된 크레덴셜들과 관련하여 수행되는 것;을 수행하는
    것을 특징으로 하는 제1 사용자 디바이스.
  16. 청구항 1 내지 12의 방법에 따라서 제1 사용자 디바이스에 의해 제어되도록 구성된 제2 사용자 디바이스로서, 제2 사용자 디바이스는 청구항 15에 따른 제1 사용자 디바이스에 의해 제어되도록 하기 위한 컴퓨터 코드로 프로그래밍된 회로를 포함하는
    것을 특징으로 하는 제2 사용자 디바이스.
KR1020167011088A 2013-10-24 2014-10-24 사용자 디바이스들 간의 제어된 크레덴셜 제공 KR101868713B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP13190078.9 2013-10-24
EP13190078 2013-10-24
PCT/EP2014/072874 WO2015059286A1 (en) 2013-10-24 2014-10-24 Controlled credentials provisioning between user devices

Publications (2)

Publication Number Publication Date
KR20160062118A true KR20160062118A (ko) 2016-06-01
KR101868713B1 KR101868713B1 (ko) 2018-06-18

Family

ID=49485563

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020167011088A KR101868713B1 (ko) 2013-10-24 2014-10-24 사용자 디바이스들 간의 제어된 크레덴셜 제공

Country Status (6)

Country Link
US (1) US20160242032A1 (ko)
EP (1) EP3061222B1 (ko)
JP (2) JP6824037B2 (ko)
KR (1) KR101868713B1 (ko)
CN (1) CN105874766B (ko)
WO (1) WO2015059286A1 (ko)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3192303B1 (en) * 2014-09-09 2018-11-07 Telefonaktiebolaget LM Ericsson (publ) Voip service state aware hand over execution
US10652385B2 (en) * 2014-10-06 2020-05-12 Mitel Networks Corporation Method and system for viewing available devices for an electronic communication
JP6510646B2 (ja) 2014-11-27 2019-05-08 コニンクリーケ・ケイピーエヌ・ナムローゼ・フェンノートシャップ Ottサービスを使用するインフラストラクチャ・ベースのd2d接続設定
US9986421B2 (en) * 2014-12-03 2018-05-29 Verizon Patent And Licensing Inc. Secure virtual transfer of subscriber credentials
US9736229B2 (en) * 2015-02-17 2017-08-15 Microsoft Technology Licensing, Llc Device with embedded network subscription and methods
WO2017113264A1 (zh) * 2015-12-31 2017-07-06 华为技术有限公司 通信方法及设备
US10542570B2 (en) * 2016-03-15 2020-01-21 Huawei Technologies Co., Ltd. System and method for relaying data over a communication network
US10615844B2 (en) * 2016-03-15 2020-04-07 Huawei Technologies Co., Ltd. System and method for relaying data over a communication network
EP3282638A1 (en) * 2016-08-11 2018-02-14 Gemalto Sa A method for provisioning a first communication device by using a second communication device
US11696250B2 (en) * 2016-11-09 2023-07-04 Intel Corporation UE and devices for detach handling
FR3069998A1 (fr) 2017-08-03 2019-02-08 Orange Procede d'obtention d'un profil d'acces a un reseau de communication par un terminal secondaire via un terminal principal
US11144620B2 (en) 2018-06-26 2021-10-12 Counseling and Development, Inc. Systems and methods for establishing connections in a network following secure verification of interested parties
WO2021100913A1 (ko) * 2019-11-21 2021-05-27 엘지전자 주식회사 기지국 및 다른 전자 장치의 세트와 통신하는 전자 장치 및 그 통신 방법

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020169966A1 (en) * 2001-05-14 2002-11-14 Kai Nyman Authentication in data communication
KR20110127695A (ko) * 2009-03-03 2011-11-25 케이디디아이 가부시키가이샤 키 공유 시스템, 통신 단말, 관리 장치, 키 공유 방법 및 컴퓨터 프로그램

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10012057A1 (de) * 2000-03-14 2001-09-20 Bosch Gmbh Robert Verfahren zur Bereitstellung von Identifikations- und Authentisierungsdaten
KR100582553B1 (ko) * 2004-10-07 2006-05-23 한국전자통신연구원 3g인증에서 생성된 암호키를 이용한 공중 무선랜 및 휴대인터넷의 접속 인증 방법
KR100680177B1 (ko) * 2004-12-30 2007-02-08 삼성전자주식회사 홈 네트워크 외부에서 사용자를 인증하는 방법
US20060236116A1 (en) * 2005-04-18 2006-10-19 Lucent Technologies, Inc. Provisioning root keys
KR100729105B1 (ko) * 2005-10-14 2007-06-14 포스데이타 주식회사 비 유에스아이엠 단말기에서의 이에이피-에이케이에이 인증처리 장치 및 방법
EP2283430B1 (en) * 2008-05-23 2018-08-01 Telefonaktiebolaget LM Ericsson (publ) Ims user equipment, control method thereof, host device, and control method thereof
US8265599B2 (en) * 2008-05-27 2012-09-11 Intel Corporation Enabling and charging devices for broadband services through nearby SIM devices
JP5243870B2 (ja) * 2008-07-15 2013-07-24 任天堂株式会社 情報処理システム、情報処理装置、および情報処理プログラム
EP2293624B1 (en) * 2008-06-27 2019-01-23 Panasonic Intellectual Property Corporation of America Communication system, communication processing device and authentication processing device
WO2011071423A1 (en) * 2009-12-07 2011-06-16 Telefonaktiebolaget L M Ericsson (Publ) Method and arrangement for enabling play-out of media
US20120047551A1 (en) * 2009-12-28 2012-02-23 Interdigital Patent Holdings, Inc. Machine-To-Machine Gateway Architecture
GB201015322D0 (en) * 2010-09-14 2010-10-27 Vodafone Ip Licensing Ltd Authentication in a wireless telecommunications network
WO2012042300A1 (en) * 2010-09-29 2012-04-05 Nokia Corporation Methods and apparatuses for access credential provisioning
EP2630815B1 (en) * 2010-10-21 2018-08-15 Nokia Technologies Oy Method and apparatus for access credential provisioning
US8948382B2 (en) * 2010-12-16 2015-02-03 Microsoft Corporation Secure protocol for peer-to-peer network
US9338159B2 (en) * 2012-03-19 2016-05-10 Nokia Technologies Oy Method and apparatus for sharing wireless network subscription services
US8818276B2 (en) * 2012-05-16 2014-08-26 Nokia Corporation Method, apparatus, and computer program product for controlling network access to guest apparatus based on presence of hosting apparatus
US9258744B2 (en) * 2012-08-29 2016-02-09 At&T Mobility Ii, Llc Sharing of network resources within a managed network
US8977856B2 (en) * 2012-08-31 2015-03-10 Blackberry Limited Methods and apparatus for use in sharing credentials amongst a plurality of mobile communication devices
US20150081837A1 (en) * 2013-09-13 2015-03-19 Google Inc. Provisioning a plurality of computing devices

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020169966A1 (en) * 2001-05-14 2002-11-14 Kai Nyman Authentication in data communication
KR20110127695A (ko) * 2009-03-03 2011-11-25 케이디디아이 가부시키가이샤 키 공유 시스템, 통신 단말, 관리 장치, 키 공유 방법 및 컴퓨터 프로그램

Also Published As

Publication number Publication date
JP6807358B2 (ja) 2021-01-06
EP3061222B1 (en) 2021-01-13
JP2016540420A (ja) 2016-12-22
WO2015059286A1 (en) 2015-04-30
JP2018201237A (ja) 2018-12-20
EP3061222A1 (en) 2016-08-31
KR101868713B1 (ko) 2018-06-18
US20160242032A1 (en) 2016-08-18
CN105874766B (zh) 2019-07-02
JP6824037B2 (ja) 2021-02-03
CN105874766A (zh) 2016-08-17

Similar Documents

Publication Publication Date Title
KR101868713B1 (ko) 사용자 디바이스들 간의 제어된 크레덴셜 제공
TWI724132B (zh) 無線通訊的方法、用於無線通訊的裝置以及用於執行該方法的電腦程式軟體
US11653199B2 (en) Multi-RAT access stratum security
JP6786701B2 (ja) ワイヤレスネットワークにおけるカバレージ及びリソース制限デバイスをサポートするためのレイヤ2リレー
TWI717383B (zh) 用於網路切分的金鑰層級
JP2018129823A (ja) 無線システムにおける階層化された接続性
JP6872630B2 (ja) 通信ネットワーク内での使用のためのネットワークノード、通信デバイス、およびそれらを動作させる方法
US11889301B2 (en) Security verification when resuming an RRC connection
JP2016540420A5 (ko)
EP3535999B1 (en) Deriving a security key for relayed communication
EP3536027B1 (en) Handover of a device which uses another device as relay
WO2023213208A1 (zh) 一种通信方法及通信装置

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
GRNT Written decision to grant