KR20180038493A - 액세스 인증 방법 및 장치 - Google Patents

액세스 인증 방법 및 장치 Download PDF

Info

Publication number
KR20180038493A
KR20180038493A KR1020187006457A KR20187006457A KR20180038493A KR 20180038493 A KR20180038493 A KR 20180038493A KR 1020187006457 A KR1020187006457 A KR 1020187006457A KR 20187006457 A KR20187006457 A KR 20187006457A KR 20180038493 A KR20180038493 A KR 20180038493A
Authority
KR
South Korea
Prior art keywords
cellular network
network access
access device
key
identifier
Prior art date
Application number
KR1020187006457A
Other languages
English (en)
Other versions
KR102022813B1 (ko
Inventor
시아올리 시
하이얀 루오
Original Assignee
후아웨이 테크놀러지 컴퍼니 리미티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 후아웨이 테크놀러지 컴퍼니 리미티드 filed Critical 후아웨이 테크놀러지 컴퍼니 리미티드
Publication of KR20180038493A publication Critical patent/KR20180038493A/ko
Application granted granted Critical
Publication of KR102022813B1 publication Critical patent/KR102022813B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/16Discovering, processing access restriction or access information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/04Large scale networks; Deep hierarchical networks
    • H04W84/042Public Land Mobile systems, e.g. cellular systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 비교적 긴 검증 시간 및 과도한 시그널링 오버헤드의 종래 기술의 문제점을 해결하기 위한 액세스 검증 방법 및 장치를 제공한다. 방법은 셀룰러 네트워크 액세스 디바이스가 키 식별자를 결정하는 단계와, 셀룰러 네트워크 액세스 디바이스가 결정된 키 식별자를 UE 및 비셀룰러 네트워크 액세스 디바이스로 전송하는 단계를 포함하되, 키 식별자는 UE에게 키 식별자에 대응하는 키에 기초하여 비셀룰러 네트워크 액세스 디바이스와 보안 인증을 수행하도록 지시하는 데 사용된다.

Description

액세스 검증 방법 및 장치
본 출원은 2015년 8월 11일자로 중국 특허청에 제출된 "액세스 인증 방법 및 장치"라는 명칭의 중국 특허 출원 제PCT/CN2015/086637호에 대한 우선권을 주장하며, 그 전체내용은 본 명세서에서 참조로써 통합된다.
기술 분야
본 발명은 통신 기술 분야에 관한 것으로, 특히 액세스 인증 방법 및 장치에 관한 것이다.
지능형 단말기의 대중화 및 모바일 인터넷의 발전으로 인해 모바일 서비스 데이터 트래픽은 폭발적으로 증가하고 있다. 결과적으로, 제3세대 파트너쉽 프로젝트(3rd Generation Partnership Project, 줄여서 3GPP) 네트워크가 증가하는 데이터 트래픽에 대한 요구를 충족시키는 것이 더 어렵다. 모바일 사업자는 3GPP 네트워크와 비3GPP 네트워크 간의 협력, 예를 들어 3GPP 네트워크와 무선 근거리 통신 네트워크(Wireless Local Area Network, 줄여서 WLAN) 간의 협력에 의해 3GPP 네트워크의 트래픽 압박을 완화한다.
기존의 WLAN과 3GPP 네트워크 간의 협력 중에, 3GPP 네트워크에서 서비스 과부하가 발생하면, WLAN의 커버리지 영역 내에 있는 사용자의 모든 서비스 또는 일부 서비스가 WLAN으로 오프로드될 수 있다. WLAN과 3GPP 네트워크 간의 협력이 구현되고 있을 때, UE가 WLAN을 사용함으로써 3GPP 네트워크와 통신하는 경우 여전히 보안 문제가 고려될 필요가 있다. 따라서, 사용자의 편의를 위해, WLAN과 3GPP 네트워크 사이에 통합 인증이 구현되어야 한다.
현재의 해결책은 다음과 같다: WLAN 인증은 여전히 3GPP 프로토콜에 지정된 인증 방식으로 수행된다. 현재 일반적인 인증 방식은 802.1X 확장형 인증 프로토콜-인증 및 키 합의(Extensible AuthenticationProtocol-Authentication and Key Agreement, 줄여서 EAP-AKA)이다. EAP-AKA 인증 방식은 3GPP 인증, 허가 및 과금(Authentication, Authorizationand Accounting, 줄여서 AAA) 서버(Server)의 구축을 필요로 한다. 사용자 장비(User Equipment, 줄여서 UE)가 3GPP 네트워크에 액세스하고 보안 인증이 성공한 후에, LTE-WLAN 통합(LTE-WLAN Aggregation, 줄여서 LWA) 데이터 송신과 같은 멀티스트림 통합 데이터 송신이 수행되어야 하는 경우, UE가 WLAN에 액세스할 때 AAA 서버 상에서 UE에 대한 아이덴티티 인증이 먼저 수행될 필요가 있다. 아이덴티티 인증이 성공한 후, UE 및 WLAN 내의 액세스 포인트(Access Point, 줄여서 AP)는 AP에 대해 AAA 서버가 결정한 키를 획득한다. 그 다음에, UE와 AP는 획득된 키에 기초하여 4 방향 핸드셰이크 인증을 수행한다. UE와 AP는 인증이 성공한 후에만 서로 통신할 수 있다. EAP-AKA 인증 방식에서, UE가 AP와 연관될 때, UE 상의 아이덴티티 인증이 AAA 서버에서 먼저 수행될 필요가 있고, 키가 협상될 필요가 있다는 것을 기존 해결책으로부터 알게 된다. 그 다음에, UE와 AP는 협상된 키에 기초하여 4 방향 핸드셰이크 인증을 수행한다. 시그널링 상호작용은 전체 인증 프로세스에서 다수 회 수행되어야 하며, 프로세스가 번거롭다. 따라서, 시그널링 오버헤드가 증가하고 인증 시간이 비교적 길다.
본 발명의 실시예는 비교적 긴 인증 시간 및 높은 시그널링 오버헤드의 종래 기술의 문제점을 해결하기 위해 액세스 인증 방법 및 장치를 제공한다.
제 1 양상에 따르면, 본 발명의 실시예는 액세스 인증 방법을 제공하며, 방법은,
셀룰러 네트워크 액세스 디바이스에 의해, 키 식별자를 결정하는 단계와,
셀룰러 네트워크 액세스 디바이스에 의해, 키 식별자를 사용자 장비(UE) 및 비셀룰러 네트워크 액세스 디바이스로 개별적으로 전송하는 단계를 포함하되,
키 식별자는 UE에게 키 식별자에 대응하는 키에 기초하여 비셀룰러 네트워크 액세스 디바이스와 보안 인증을 수행하도록 지시하는 데 사용된다.
제 1 양상을 참조하여, 제 1 양상의 제 1 가능한 구현예에서, 셀룰러 네트워크 액세스 디바이스에 의해, 키 식별자를 결정하는 단계는,
셀룰러 네트워크 액세스 디바이스에 의해, 비셀룰러 네트워크 액세스 디바이스를 관리하는 논리적 기능 엔티티를 결정하는 단계 - 논리적 기능 엔티티는 비셀룰러 네트워크 액세스 디바이스를 포함하는 적어도 하나의 비셀룰러 네트워크 액세스 디바이스를 관리함 - 와,
셀룰러 네트워크 액세스 디바이스에 의해, 논리적 기능 엔티티에 의해 관리되는 각각의 비셀룰러 네트워크 액세스 디바이스에 대해, 각각의 비셀룰러 네트워크 액세스 디바이스의 식별자에 대응하는 키 식별자를 결정하는 단계를 수행하는 단계를 포함하고,
셀룰러 네트워크 액세스 디바이스에 의해, 결정된 키 식별자를 UE 및 비셀룰러 네트워크 액세스 디바이스로 전송하는 단계는,
셀룰러 네트워크 액세스 디바이스에 의해, 각각의 비셀룰러 네트워크 액세스 디바이스의 식별자에 대응하는 비셀룰러 네트워크 액세스 디바이스로 각각의 비셀룰러 네트워크 액세스 디바이스에 대응하는 결정된 키 식별자를 전송하는 단계 및 UE로 키 식별자 리스트를 전송하는 단계 - 키 식별자 리스트는 논리적 기능 엔티티에 의해 관리되는 각각의 비셀룰러 네트워크 액세스 디바이스의 식별자 및 각각의 비셀룰러 네트워크 액세스 디바이스에 대응하는 키 식별자를 포함함 - 를 포함한다.
제 1 양상을 참조하여, 제 1 양상의 제 2 가능한 구현예에서, 셀룰러 네트워크 액세스 디바이스에 의해, 키 식별자를 결정하는 단계는,
셀룰러 네트워크 액세스 디바이스에 의해, 비셀룰러 네트워크 액세스 디바이스를 관리하는 논리적 기능 엔티티를 결정하는 단계 - 논리적 기능 엔티티는 비셀룰러 네트워크 액세스 디바이스를 포함하는 적어도 하나의 비셀룰러 네트워크 액세스 디바이스를 관리함 - 와,
셀룰러 네트워크 액세스 디바이스에 의해, 적어도 하나의 비셀룰러 네트워크 액세스 디바이스에 대한 키 식별자를 결정하는 단계 - 적어도 하나의 비셀룰러 네트워크 액세스 디바이스 내의 모든 비셀룰러 네트워크 액세스 디바이스의 식별자들에 대응하는 키 식별자들은 동일하고, 키 식별자는 UE와 비셀룰러 네트워크 액세스 디바이스의 식별자에 대응하는 비셀룰러 네트워크 액세스 디바이스 사이의 보안 인증을 수행하는 데 사용됨 - 를 포함하고,
셀룰러 네트워크 액세스 디바이스에 의해, 결정된 키 식별자를 UE 및 비셀룰러 네트워크 액세스 디바이스로 전송하는 단계는,
셀룰러 네트워크 액세스 디바이스에 의해, 결정된 키 식별자를 UE 및 각각의 비셀룰러 네트워크 액세스 디바이스의 식별자에 대응하는 비셀룰러 네트워크 액세스 디바이스로 개별적으로 전송하는 단계를 포함한다.
제 1 양상 또는 제 1 양상의 제 1 또는 제 2 가능한 구현예 중 어느 하나를 참조하여, 제 1 양상의 제 3 가능한 구현예에서, 방법은,
셀룰러 네트워크 액세스 디바이스에 의해, UE와 비셀룰러 네트워크 액세스 디바이스 사이의 보안 인증을 수행하는 데 사용되는 키를 결정하는 단계를 더 포함하고,
셀룰러 네트워크 액세스 디바이스에 의해, 결정된 키 식별자를 UE 및 비셀룰러 네트워크 액세스 디바이스로 전송하는 단계는,
셀룰러 네트워크 액세스 디바이스에 의해, 키를 키 식별자와 연관시킨 후 키 및 키 식별자를 UE 및 비셀룰러 네트워크 액세스 디바이스로 전송하는 단계를 포함한다.
제 1 양상 또는 제 1 양상의 제 1 또는 제 2 가능한 구현예 중 어느 하나를 참조하여, 제 1 양상의 제 4 가능한 구현예에서, 방법은,
셀룰러 네트워크 액세스 디바이스에 의해, 사전결정된 유도 규칙에 기초하여 키를 결정하는 단계 - 키는 UE와 비셀룰러 네트워크 액세스 디바이스 사이의 보안 인증을 수행하는 데 사용되고, 사전결정된 유도 규칙은 비셀룰러 네트워크 액세스 디바이스와 UE의 연관을 위한 키를 결정하기 위해 UE에 의해 사용되는 유도 규칙과 동일함 - 를 더 포함하고,
셀룰러 네트워크 액세스 디바이스에 의해, 결정된 키 식별자를 UE 및 비셀룰러 네트워크 액세스 디바이스로 전송하는 단계는,
셀룰러 네트워크 액세스 디바이스에 의해, 키를 키 식별자와 연관시킨 후 키 및 키 식별자를 비셀룰러 네트워크 액세스 디바이스로 전송하는 단계 및 키 식별자를 UE로 전송하는 단계를 포함한다.
제 1 양상의 제 1 가능한 구현예 내지 제 4 가능한 구현예 중 어느 하나를 참조하여, 제 1 양상의 제 5 가능한 구현예에서, 방법은,
셀룰러 네트워크 액세스 디바이스에 의해, UE 및/또는 비셀룰러 네트워크 액세스 디바이스로 수명 또는 인증 방식 표시 정보 중 적어도 하나를 전송하는 단계를 더 포함하며,
수명은 키 및 키 식별자의 유효 기간을 나타내는 데 사용되고, 인증 방식 표시 정보는 UE에 의해 사용되는 인증 유형을 나타내는 데 사용된다.
제 2 양상에 따르면, 본 발명의 실시예는 액세스 인증 방법을 더 제공하며, 방법은,
사용자 장비(UE)에 의해, 셀룰러 네트워크 액세스 디바이스에 의해 전송된 키 식별자를 수신하는 단계 - 키 식별자는 UE에게 키 식별자에 대응하는 키에 기초하여 비셀룰러 네트워크 액세스 디바이스와 보안 인증을 수행하도록 지시하는 데 사용됨 - 와,
UE에 의해, 키 식별자에 대응하는 키를 결정하는 단계와,
UE에 의해, 수신된 키 식별자 및 결정된 키에 따라 비셀룰러 네트워크 액세스 디바이스와 보안 인증을 수행하는 단계를 포함한다.
제 2 양상을 참조하여, 제 2 양상의 제 1 가능한 구현예에서, UE에 의해, 키 식별자에 대응하는 키를 결정하는 단계는,
UE에 의해, 키 식별자에 대응하고 셀룰러 네트워크 액세스 디바이스에 의해 전송되는 키를 수신하는 단계, 또는
UE에 의해, 셀룰러 네트워크 액세스 디바이스와 협상하여 키 식별자에 대응하는 키를 결정하는 단계, 또는
UE에 의해, 사전결정된 유도 규칙에 따라 키 식별자에 대응하는 키를 결정하는 단계를 포함한다.
제 2 양상 또는 제 2 양상의 제 1 가능한 구현예를 참조하여, 제 2 양상의 제 2 가능한 구현예에서, UE에 의해, 셀룰러 네트워크 액세스 디바이스에 의해 전송된 키 식별자를 수신하는 단계는,
UE에 의해, 셀룰러 네트워크 액세스 디바이스에 의해 전송된 키 식별자 리스트를 수신하는 단계 - 키 식별자 리스트는 연관을 위해 UE에 의해 선택될 각각의 비셀룰러 네트워크 액세스 디바이스의 식별자 및 각각의 비셀룰러 네트워크 액세스 디바이스에 대응하는 키 식별자를 포함함 - 를 포함하고,
UE에 의해, 수신된 키 식별자 및 결정된 키에 따라 비셀룰러 네트워크 액세스 디바이스와 보안 인증을 수행하는 단계는,
결정된 키 및 타깃 비셀룰러 네트워크 액세스 디바이스의 식별자에 대응하고 키 식별자 리스트에 있는 키 식별자에 따라 타깃 비셀룰러 네트워크 액세스 디바이스와 보안 인증을 수행하는 단계 - 타깃 비셀룰러 네트워크 액세스 디바이스는 UE 또는 셀룰러 네트워크 액세스 디바이스에 의해 결정됨 - 를 포함한다.
제 3 양상에 따르면, 본 발명의 실시예는 액세스 인증 방법을 더 제공하며, 방법은,
비셀룰러 네트워크 액세스 디바이스에 의해, 셀룰러 네트워크 액세스 디바이스에 의해 전송된 키 식별자를 수신하는 단계 - 키 식별자는 비셀룰러 네트워크 액세스 디바이스에게 비셀룰러 네트워크 액세스 디바이스와 연관된 사용자 장비(UE)와 보안 인증을 수행하도록 지시하는 데 사용됨- 와,
비셀룰러 네트워크 액세스 디바이스와의 연관을 위해 UE에 의해 개시되는 연관 요청을 수신할 때, 비셀룰러 네트워크 액세스 디바이스에 의해, 키 식별자에 대응하는 키에 기초하여 UE와 보안 인증을 수행하는 단계를 포함한다.
제 4 양상에 따르면, 본 발명의 실시예는 액세스 인증 장치를 더 제공하며, 장치는,
키 식별자를 결정하도록 구성된 결정 유닛과,
결정 유닛에 의해 결정된 키 식별자를 사용자 장비(UE) 및 비셀룰러 네트워크 액세스 디바이스로 개별적으로 전송하도록 구성된 전송 유닛을 포함하되,
키 식별자는 UE에게 키 식별자에 대응하는 키에 기초하여 비셀룰러 네트워크 액세스 디바이스와 보안 인증을 수행하도록 지시하는 데 사용된다.
제 4 양상을 참조하여, 제 4 양상의 제 1 가능한 구현예에서, 결정 유닛은 구체적으로 비셀룰러 네트워크 액세스 디바이스를 관리하는 논리적 기능 엔티티를 결정 - 논리적 기능 엔티티는 비셀룰러 네트워크 액세스 디바이스를 포함하는 적어도 하나의 비셀룰러 네트워크 액세스 디바이스를 관리함 - 하고, 논리적 기능 엔티티에 의해 관리되는 각각의 비셀룰러 네트워크 액세스 디바이스에 대해, 각각의 비셀룰러 네트워크 액세스 디바이스의 식별자에 대응하는 키 식별자를 결정하는 단계를 수행하도록 구성되고,
전송 유닛은 구체적으로 결정 유닛에 의해 결정되고 각각의 비셀룰러 네트워크 액세스 디바이스에 대응하는 키 식별자를 각각의 비셀룰러 네트워크 액세스 디바이스의 식별자에 대응하는 비셀룰러 네트워크 액세스 디바이스로 전송하고, UE로 키 식별자 리스트를 전송 - 키 식별자 리스트는 논리적 기능 엔티티에 의해 관리되는 각각의 비셀룰러 네트워크 액세스 디바이스의 식별자 및 각각의 비셀룰러 네트워크 액세스 디바이스에 대응하는 키 식별자를 포함함 - 하도록 구성된다.
제 4 양상을 참조하여, 제 4 양상의 제 2 가능한 구현예에서, 결정 유닛은 구체적으로 비셀룰러 네트워크 액세스 디바이스를 관리하는 논리적 기능 엔티티를 결정 - 논리적 기능 엔티티는 비셀룰러 네트워크 액세스 디바이스를 포함하는 적어도 하나의 비셀룰러 네트워크 액세스 디바이스를 관리함 - 하고, 적어도 하나의 비셀룰러 네트워크 액세스 디바이스에 대한 키 식별자를 결정 - 적어도 하나의 비셀룰러 네트워크 액세스 디바이스 내의 모든 비셀룰러 네트워크 액세스 디바이스의 식별자들에 대응하는 키 식별자들은 동일하고, 키 식별자는 UE와 비셀룰러 네트워크 액세스 디바이스의 식별자에 대응하는 비셀룰러 네트워크 액세스 디바이스 사이의 보안 인증을 수행하는 데 사용됨 - 하도록 구성되고,
전송 유닛은 구체적으로 결정 유닛에 의해 결정된 키 식별자를 UE 및 각각의 비셀룰러 네트워크 액세스 디바이스의 식별자에 대응하는 비셀룰러 네트워크 액세스 디바이스로 개별적으로 전송하도록 구성된다.
제 4 양상, 또는 제 4 양상의 제 1 또는 제 2 가능한 구현예 중 어느 하나를 참조하여, 제 4 양상의 제 3 가능한 구현예에서, 결정 유닛은 또한 UE와 비셀룰러 네트워크 액세스 디바이스 사이의 보안 인증을 수행하는 데 사용되는 키를 결정하도록 구성되고,
전송 유닛은 구체적으로 결정 유닛에 의해 결정된 키 및 키 식별자를 키를 키 식별자와 연관시킨 후 UE 및 비셀룰러 네트워크 액세스 디바이스로 전송하도록 구성된다.
제 4 양상, 또는 제 4 양상의 제 1 또는 제 2 가능한 구현예 중 어느 하나를 참조하여, 제 4 양상의 제 4 가능한 구현예에서, 결정 유닛은 또한 사전결정된 유도 규칙에 기초하여 키를 결정 - 키는 UE와 비셀룰러 네트워크 액세스 디바이스 사이의 보안 인증을 수행하는 데 사용되고, 사전결정된 유도 규칙은 비셀룰러 네트워크 액세스 디바이스와 UE의 연관을 위한 키를 결정하기 위해 UE에 의해 사용되는 유도 규칙과 동일함 - 하도록 구성되고,
전송 유닛은 구체적으로 결정 유닛에 의해 결정된 키 및 키 식별자를 키를 키 식별자와 연관시킨 후 비셀룰러 네트워크 액세스 디바이스로 전송하고, 키 식별자를 UE로 전송하도록 구성된다.
제 4 양상의 제 1 가능한 구현예 내지 제 4 가능한 구현예 중 어느 하나를 참조하여, 제 4 양상의 제 5 가능한 구현예에서, 전송 유닛은 또한 UE 및/또는 비셀룰러 네트워크 액세스 디바이스로 수명 또는 인증 방식 표시 정보 중 적어도 하나를 전송하도록 구성되고,
수명은 키 및 키 식별자의 유효 기간을 나타내는 데 사용되고, 인증 방식 표시 정보는 UE에 의해 사용되는 인증 유형을 나타내는 데 사용된다.
제 5 양상에 따르면, 본 발명의 실시예는 액세스 인증 장치를 더 제공하며, 장치는,
수신 유닛, 결정 유닛, 및 인증 유닛을 포함하되,
수신 유닛은 셀룰러 네트워크 액세스 디바이스에 의해 전송된 키 식별자를 수신하도록 구성되고, 키 식별자는 인증 유닛에게 키 식별자에 대응하는 키에 기초하여 비셀룰러 네트워크 액세스 디바이스와 보안 인증을 수행하도록 지시하는 데 사용되며,
결정 유닛은 수신 유닛에 의해 수신된 키 식별자에 대응하는 키를 결정하도록 구성되고,
인증 유닛은 수신 유닛에 의해 수신된 키 식별자 및 결정 유닛에 의해 결정된 키에 따라 비셀룰러 네트워크 액세스 디바이스와 보안 인증을 수행하도록 구성된다.
제 5 양상을 참조하여, 제 5 양상의 제 1 가능한 구현예에서, 결정 유닛은 구체적으로,
수신 유닛이 키 식별자에 대응하고 셀룰러 네트워크 액세스 디바이스에 의해 전송되는 키를 수신할 때, 키 식별자에 대응하는 키를 결정하고, 또는
셀룰러 네트워크 액세스 디바이스와 협상하여 키 식별자에 대응하는 키를 결정하며, 또는
사전결정된 유도 규칙에 따라 키 식별자에 대응하는 키를 결정하도록 구성된다.
제 5 양상 또는 제 5 양상의 제 1 가능한 구현예를 참조하여, 제 5 양상의 제 2 가능한 구현예에서, 수신 유닛은 구체적으로 셀룰러 네트워크 액세스 디바이스에 의해 전송된 키 식별자 리스트를 수신하도록 구성되고, 키 식별자 리스트는 연관을 위해 UE에 의해 선택될 각각의 비셀룰러 네트워크 액세스 디바이스의 식별자 및 각각의 비셀룰러 네트워크 액세스 디바이스에 대응하는 키 식별자를 포함하며,
결정 유닛은 또한 타깃 비셀룰러 네트워크 액세스 디바이스를 결정하도록 구성되며,
인증 유닛은 구체적으로 결정된 키 및 타깃 비셀룰러 네트워크 액세스 디바이스의 식별자에 대응하고 키 식별자 리스트에 있는 키 식별자에 따라 타깃 비셀룰러 네트워크 액세스 디바이스와 보안 인증을 수행하도록 구성되고, 타깃 비셀룰러 네트워크 액세스 디바이스는 결정 유닛 또는 셀룰러 네트워크 액세스 디바이스에 의해 결정된다.
제 6 양상에 따르면, 본 발명의 실시예는 액세스 인증 장치를 더 제공하며, 장치는,
수신 유닛 및 인증 유닛을 포함하되,
수신 유닛은 셀룰러 네트워크 액세스 디바이스에 의해 전송된 키 식별자를 수신하도록 구성되고, 키 식별자는 인증 유닛에게 액세스 인증 장치와 연관된 사용자 장비(UE)와 보안 인증을 수행하도록 지시하는 데 사용되며,
인증 유닛은 수신 유닛이 인증 유닛이 속하는 비셀룰러 네트워크 액세스 디바이스와의 연관을 위해 UE에 의해 개시되는 연관 요청을 수신할 때, 키 식별자에 대응하는 키에 기초하여 UE와 보안 인증을 수행하도록 구성된다.
제 7 양상에 따르면, 본 발명의 실시예는 액세스 인증 시스템을 더 제공하며, 시스템은,
셀룰러 네트워크 액세스 디바이스, 사용자 장비(UE) 및 적어도 하나의 비셀룰러 네트워크 액세스 디바이스를 포함하되,
셀룰러 네트워크 액세스 디바이스는 키 식별자를 결정 - 키 식별자는 UE에게 키 식별자에 대응하는 키에 기초하여 적어도 하나의 비셀룰러 네트워크 액세스 디바이스 내의 하나의 비셀룰러 네트워크 액세스 디바이스와 보안 인증을 수행하도록 지시하는 데 사용됨 - 하고, 키 식별자를 UE 및 비셀룰러 네트워크 액세스 디바이스로 개별적으로 전송하며,
UE는 셀룰러 네트워크 액세스 디바이스에 의해 전송된 키 식별자를 수신하고, 키 식별자에 대응하는 키에 기초하여 비셀룰러 네트워크 액세스 디바이스와 보안 인증을 수행하도록 구성되며,
비셀룰러 네트워크 액세스 디바이스는 셀룰러 네트워크 액세스 디바이스에 의해 전송된 키 식별자를 수신하고 키 식별자에 대응하는 키에 기초하여 UE와 보안 인증을 수행하도록 구성된다.
제 7 양상을 참조하면, 제 7 양상의 제 1 가능한 구현예에서, 시스템은 적어도 하나의 비셀룰러 네트워크 액세스 디바이스를 관리하도록 구성된 논리적 기능 엔티티를 더 포함하고,
셀룰러 네트워크 액세스 디바이스는 구체적으로 비셀룰러 네트워크 액세스 디바이스를 관리하는 논리적 기능 엔티티를 결정하고, 논리적 기능 엔티티에 의해 관리되는 각각의 비셀룰러 네트워크 액세스 디바이스에 대해, 각각의 비셀룰러 네트워크 액세스 디바이스의 식별자에 대응하는 키 식별자를 결정하는 단계를 수행하며, 각각의 비셀룰러 네트워크 액세스 디바이스의 식별자에 대응하는 비셀룰러 네트워크 액세스 디바이스로 각각의 비셀룰러 네트워크 액세스 디바이스에 대응하는 결정된 키 식별자를 전송하고, 키 식별자 리스트를 UE로 전송하도록 구성되고, 키 식별자 리스트는 논리적 기능 엔티티에 의해 관리되는 각각의 비셀룰러 네트워크 액세스 디바이스의 식별자 및 각각의 비셀룰러 네트워크 액세스 디바이스에 대응하는 키 식별자를 포함하고,
UE는 구체적으로 셀룰러 네트워크 액세스 디바이스에 의해 전송된 키 식별자를 수신할 때, 셀룰러 네트워크 액세스 디바이스에 의해 전송된 키 식별자 리스트를 수신하고, 키 식별자에 해당하는 키에 기초하여 비셀룰러 네트워크 액세스 디바이스와 보안 인증을 수행할 때, 결정된 키 및 타깃 비셀룰러 네트워크 액세스 디바이스의 식별자에 대응하고 키 식별자 리스트에 있는 키 식별자에 따라 타깃 비셀룰러 네트워크 액세스 디바이스와 보안 인증을 수행하도록 구성되며, 타깃 비셀룰러 네트워크 액세스 디바이스는 UE 또는 셀룰러 네트워크 액세스 디바이스에 의해 결정된다.
제 7 양상을 참조하면, 제 7 양상의 제 2 가능한 구현예에서, 시스템은 적어도 하나의 비셀룰러 네트워크 액세스 디바이스를 관리하도록 구성된 논리적 기능 엔티티를 더 포함하고,
셀룰러 네트워크 액세스 디바이스는 구체적으로 비셀룰러 네트워크 액세스 디바이스를 관리하는 논리적 기능 엔티티를 결정하고, 적어도 하나의 비셀룰러 네트워크 액세스 디바이스에 대한 키 식별자를 결정 - 적어도 하나의 비셀룰러 네트워크 액세스 디바이스 내의 모든 비셀룰러 네트워크 액세스 디바이스의 식별자들에 대응하는 키 식별자들은 동일하고, 키 식별자는 UE와 비셀룰러 네트워크 액세스 디바이스의 식별자에 대응하는 비셀룰러 네트워크 액세스 디바이스 사이의 보안 인증을 수행하는 데 사용됨 - 하며, 결정된 키 식별자를 UE 및 각각의 비셀룰러 네트워크 액세스 디바이스의 식별자에 대응하는 비셀룰러 네트워크 액세스 디바이스로 개별적으로 전송하도록 구성되고,
UE는 구체적으로, 키 식별자에 대응하는 키에 기초하여 비셀룰러 네트워크 액세스 디바이스와 보안 인증을 수행할 때, 결정된 키 및 타깃 비셀룰러 네트워크 액세스 디바이스의 식별자에 대응하는 키 식별자에 따라 타깃 비셀룰러 네트워크 액세스 디바이스와 보안 인증을 수행하도록 구성되고, 타깃 비셀룰러 네트워크 액세스 디바이스는 UE 또는 셀룰러 네트워크 액세스 디바이스에 의해 결정된다.
제 7 양상, 또는 제 7 양상의 제 1 또는 제 2 가능한 구현예 중 어느 하나를 참조하여, 제 7 양상의 제 3 가능한 구현예에서, 셀룰러 네트워크 액세스 디바이스는 또한 키를 결정 - 키는 UE와 비셀룰러 네트워크 액세스 디바이스 사이의 보안 인증을 수행하는 데 사용됨 - 하고, 결정된 키 식별자를 UE 및 비셀룰러 네트워크 액세스 디바이스로 전송할 때, 키를 키 식별자와 연관시킨 후 키 및 키 식별자를 UE 및 비셀룰러 네트워크 액세스 디바이스로 전송하도록 구성되고,
UE는 구체적으로, 비셀룰러 네트워크 액세스 디바이스에 의해 전송되는, 키 식별자 및 키 식별자에 대응하는 키를 수신하고, 수신된 키 식별자 및 키에 따라 비셀룰러 네트워크 액세스 디바이스와 보안 인증을 수행하도록 구성된다.
제 7 양상, 또는 제 7 양상의 제 1 또는 제 2 가능한 구현예 중 어느 하나를 참조하여, 제 7 양상의 제 4 가능한 구현예에서, 셀룰러 네트워크 액세스 디바이스는 또한 사전결정된 유도 규칙에 기초하여 키를 결정 - 키는 UE와 비셀룰러 네트워크 액세스 디바이스 사이의 보안 인증을 수행하는 데 사용됨 - 하고, 결정된 키 식별자를 UE 및 비셀룰러 네트워크 액세스 디바이스로 전송할 때, 키와 키 식별자를 연관시킨 후 키 및 키 식별자를 비셀룰러 네트워크 액세스 디바이스로 전송하고 키 식별자를 UE로 전송하도록 구성되며,
비셀룰러 네트워크 액세스 디바이스에 의해 전송된 키 식별자를 수신할 때, UE는 사전결정된 유도 규칙에 기초하여 키를 결정하고, 키 식별자 및 결정된 키에 기초하여 비셀룰러 네트워크 액세스 디바이스와 보안 인증을 수행한다.
제 7 양상, 또는 제 7 양상의 제 1 가능한 구현예 내지 제 4 가능한 구현예 중 어느 하나를 참조하여, 제 7 양상의 제 5 가능한 구현예에서, 셀룰러 네트워크 액세스 디바이스는 또한 또한 UE 및/또는 비셀룰러 네트워크 액세스 디바이스로 수명 또는 인증 방식 표시 정보 중 적어도 하나를 전송하도록 구성되고,
수명은 키 및 키 식별자의 유효 기간을 나타내는 데 사용되고, 인증 방식 표시 정보는 UE에 의해 사용되는 인증 유형을 나타내는 데 사용된다.
본 발명의 이 실시예에서 제공되는 해결책에 따르면, 셀룰러 네트워크 액세스 디바이스는 키 식별자를 결정하고, 그 다음에 셀룰러 네트워크 액세스 디바이스는 결정된 키 식별자를 UE 및 비셀룰러 네트워크 액세스 디바이스에 직접 전송한다. UE 및 비셀룰러 네트워크 액세스 디바이스는 모두 키 식별자를 획득한다. 따라서, UE 및 비셀룰러 네트워크 액세스 디바이스는 키 식별자에 대응하는 키를 이용하여 보안 인증을 직접 수행하므로, 인증 시간이 짧고 시그널링 오버헤드가 낮다.
제 8 양상에 따르면, 본 발명의 실시예는 액세스 인증 방법을 제공하며, 그 방법은,
셀룰러 네트워크 액세스 디바이스에 의해, 비셀룰러 네트워크 액세스 디바이스에 대한 키를 결정하는 단계 - 키는 사용자 장비(UE)와 비셀룰러 네트워크 액세스 디바이스 사이의 보안 인증을 수행하는 데 사용되고, 셀룰러 네트워크 액세스 디바이스에 의해 키를 결정하는 방식은 UE에 의해 키를 결정하는 방식과 동일함 - 와,
셀룰러 네트워크 액세스 디바이스에 의해, 결정된 키를 비셀룰러 네트워크 액세스 디바이스로 전송하는 단계를 포함한다.
제 8 양상을 참조하여, 제 8 양상의 제 1 가능한 구현예에서, 셀룰러 네트워크 액세스 디바이스에 의해, 비셀룰러 네트워크 액세스 디바이스에 대한 키를 결정하는 단계는,
셀룰러 네트워크 액세스 디바이스에 의해, UE와 공유되는 키에 기초하여 비셀룰러 네트워크 액세스 디바이스에 대한 키를 유도하는 단계를 포함하고, 키를 유도하는 데 사용되는 유도 규칙은 사전구성되고, 유도 규칙은, UE에서 사전구성되고 키를 유도하는 데 사용되는 유도 규칙과 동일하다.
제 8 양상을 참조하여, 제 8 양상의 제 2 가능한 구현예에서, 셀룰러 네트워크 액세스 디바이스에 의해, 비셀룰러 네트워크 액세스 디바이스에 대한 키를 결정하는 단계는,
셀룰러 네트워크 액세스 디바이스에 의해, UE와 공유되는 키에 기초하여 비셀룰러 네트워크 액세스 디바이스에 대한 키를 유도하는 단계를 포함하고,
이 방법은,
셀룰러 네트워크 액세스 디바이스에 의해 UE로 키를 유도하는 데 사용된 유도 규칙을 전송하는 단계를 더 포함하되, 유도 규칙은 비셀룰러 네트워크 액세스 디바이스와 보안 인증을 수행하기 위한 키를 유도하기 위해 UE에 의해 사용된다.
제 8 양상, 또는 제 8 양상의 제 1 또는 제 2 가능한 구현예 중 어느 하나를 참조하여, 제 8 양상의 제 3 가능한 구현예에서, 셀룰러 네트워크 액세스 디바이스에 의해, 비셀룰러 네트워크 액세스 디바이스에 대한 키를 결정하는 단계는,
셀룰러 네트워크 액세스 디바이스에 의해, 비셀룰러 네트워크 액세스 디바이스를 관리하는 논리적 기능 엔티티를 결정하는 단계 - 논리적 기능 엔티티는 비셀룰러 네트워크 액세스 디바이스를 포함하는 적어도 하나의 비셀룰러 네트워크 액세스 디바이스를 관리함 - 와,
셀룰러 네트워크 액세스 디바이스에 의해, 논리적 기능 엔티티에 의해 관리되는 각각의 비셀룰러 네트워크 액세스 디바이스에 대해, 각각의 비셀룰러 네트워크 액세스 디바이스의 식별자에 대응하는 키를 결정하는 단계를 수행하는 단계를 포함하고,
셀룰러 네트워크 액세스 디바이스에 의해, 결정된 키를 비셀룰러 네트워크 액세스 디바이스로 전송하는 단계는,
셀룰러 네트워크 액세스 디바이스에 의해 각각의 비셀룰러 네트워크 액세스 디바이스의 식별자에 대응하는 비셀룰러 네트워크 액세스 디바이스로 각각의 비셀룰러 네트워크 액세스 디바이스에 대응하는 결정된 키를 전송하는 단계를 포함한다.
제 8 양상, 또는 제 8 양상의 제 1 또는 제 2 가능한 구현예 중 어느 하나를 참조하여, 제 8 양상의 제 4 가능한 구현예에서, 셀룰러 네트워크 액세스 디바이스에 의해, 비셀룰러 네트워크 액세스 디바이스에 대한 키를 결정하는 단계는,
셀룰러 네트워크 액세스 디바이스에 의해, 비셀룰러 네트워크 액세스 디바이스를 관리하는 논리적 기능 엔티티를 결정하는 단계 - 논리적 기능 엔티티는 비셀룰러 네트워크 액세스 디바이스를 포함하는 적어도 하나의 비셀룰러 네트워크 액세스 디바이스를 관리함 - 와,
셀룰러 네트워크 액세스 디바이스에 의해, 적어도 하나의 비셀룰러 네트워크 액세스 디바이스에 대한 키를 결정하는 단계 - 적어도 하나의 비셀룰러 네트워크 액세스 디바이스 내의 모든 비셀룰러 네트워크 액세스 디바이스의 식별자들에 대응하는 키들은 동일하고, 키는 UE와 비셀룰러 네트워크 액세스 디바이스의 식별자에 대응하는 비셀룰러 네트워크 액세스 디바이스 사이의 보안 인증을 수행하는 데 사용됨 - 를 포함한다.
제 8 양상, 또는 제 8 양상의 제 1 또는 제 2 가능한 구현예 중 어느 하나를 참조하여, 제 8 양상의 제 5 가능한 구현예에서, 셀룰러 네트워크 액세스 디바이스에 의해, 비셀룰러 네트워크 액세스 디바이스에 대한 키를 결정하는 단계는,
셀룰러 네트워크 액세스 디바이스에 의해, 비셀룰러 네트워크 액세스 디바이스를 관리하는 논리적 기능 엔티티를 결정하는 단계 - 논리적 기능 엔티티는 비셀룰러 네트워크 액세스 디바이스를 포함하는 적어도 하나의 비셀룰러 네트워크 액세스 디바이스를 관리하고, 적어도 하나의 비셀룰러 네트워크 액세스 디바이스는 적어도 하나의 비셀룰러 네트워크 액세스 디바이스 그룹에 포함됨 - 와,
셀룰러 네트워크 액세스 디바이스에 의해, 각각의 비셀룰러 네트워크 액세스 디바이스 그룹에 대한 키를 결정하는 단계 - 각각의 비셀룰러 네트워크 액세스 디바이스 그룹에 포함된 모든 비셀룰러 네트워크 액세스 디바이스의 식별자들에 대응하는 키들은 동일하고, 키는 UE와 비셀룰러 네트워크 액세스 디바이스의 식별자에 대응하는 비셀룰러 네트워크 액세스 디바이스 사이의 보안 인증을 수행하는 데 사용됨 - 를 포함한다.
제 8 양상, 또는 제 8 양상의 제 1 가능한 구현예 내지 제 5 가능한 구현예 중 어느 하나를 참조하여, 제 8 양상의 제 6 가능한 구현예에서, 방법은,
비셀룰러 네트워크 액세스 디바이스에 대한 키를 결정한 후에, 셀룰러 네트워크 액세스 디바이스에 의해 키에 대응하는 키 식별자를 결정하는 단계와,
키 식별자를 비셀룰러 네트워크 액세스 디바이스로 전송하는 단계를 더 포함한다.
제 9 양상에 따르면, 본 발명의 실시예는 액세스 인증 방법을 제공하며, 방법은,
사용자 장비(UE)에 의해 키를 결정하는 단계 - 키는 UE와 비셀룰러 네트워크 액세스 디바이스 사이의 보안 인증을 수행하는 데 사용됨 - 와,
UE에 의해, 키에 대응하는 키 식별자를 결정하는 단계와,
UE에 의해, 키 및 키 식별자를 사용하여 비셀룰러 네트워크 액세스 디바이스와 보안 인증을 수행하는 단계를 포함한다.
제 9 양상을 참조하여, 제 9 양상의 제 1 가능한 구현예에서, UE에 의해 키를 결정하는 단계는,
UE에 의해 셀룰러 네트워크 액세스 디바이스와 공유되는 키에 기초하여 유도 규칙을 사용함으로써 키를 유도하는 단계를 포함하고,
유도 규칙은 상기 셀룰러 네트워크 액세스 디바이스에 의해 전송되고, 또는 유도 규칙은 UE에서 사전구성되고 비셀룰러 네트워크 액세스 디바이스에 대한 키를 유도하기 위해 셀룰러 네트워크 액세스 디바이스에 의해 사용되는 유도 규칙과 동일하다.
제 10 양상에 따르면, 본 발명의 실시예는 액세스 인증 방법을 제공하며, 방법은,
비셀룰러 네트워크 액세스 디바이스에 의해, 셀룰러 네트워크 액세스 디바이스에 의해 전송된 키를 수신하는 단계 - 키는 비셀룰러 네트워크 액세스 디바이스에게 비셀룰러 네트워크 액세스 디바이스와 연관된 사용자 장비(UE)와 보안 인증을 수행하도록 지시하는 데 사용됨- 와,
비셀룰러 네트워크 액세스 디바이스에 의해, 키에 대응하는 키 식별자를 결정하는 단계와,
비셀룰러 네트워크 액세스 디바이스에 의해, 키 식별자 및 키를 사용하여 UE와 보안 인증을 수행하는 단계를 포함한다.
제 10 양상을 참조하여, 제 10 양상의 제 1 가능한 구현예에서, 비셀룰러 네트워크 액세스 디바이스에 의해, 키에 대응하는 키 식별자를 결정하는 단계는,
비셀룰러 네트워크 액세스 디바이스에 의해, 키에 대응하고 셀룰러 네트워크 액세스 디바이스에 의해 전송되는 키 식별자를 수신하는 단계를 포함한다.
제 11 양상에 따르면, 본 발명의 실시예는 액세스 인증 장치를 제공하며, 장치는 셀룰러 네트워크 액세스 디바이스에 적용되며,
비셀룰러 네트워크 액세스 디바이스에 대한 키를 결정하도록 구성되는 처리 유닛 - 키는 사용자 장비(UE)와 비셀룰러 네트워크 액세스 디바이스 사이의 보안 인증을 수행하는 데 사용되고, 처리 유닛에 의해 키를 결정하는 방식은 UE에 의해 키를 결정하는 방식과 동일함 - 과,
처리 유닛에 의해 결정된 키를 비셀룰러 네트워크 액세스 디바이스로 전송하도록 구성되는 트랜시버 유닛을 포함한다.
제 11 양상을 참조하여, 제 11 양상의 제 1 가능한 구현예에서, 처리 유닛은 구체적으로 UE와 공유되는 키에 기초하여 비셀룰러 네트워크 액세스 디바이스에 대한 키를 유도하도록 구성되고, 키를 유도하는 데 사용되는 유도 규칙은 사전구성되고, 유도 규칙은, UE에서 사전구성되고 키를 유도하는 데 사용되는 유도 규칙과 동일하다.
제 11 양상을 참조하여, 제 11 양상의 제 2 가능한 구현예에서, 처리 유닛은 구체적으로 UE와 공유되는 키에 기초하여 비셀룰러 네트워크 액세스 디바이스에 대한 키를 유도하도록 구성되고,
트랜시버 유닛은 또한 UE로 키를 유도하는 데 사용된 유도 규칙을 전송하도록 구성되며, 유도 규칙은 비셀룰러 네트워크 액세스 디바이스와 보안 인증을 수행하기 위한 키를 유도하기 위해 UE에 의해 사용된다.
제 11 양상, 또는 제 11 양상의 제 1 또는 제 2 가능한 구현예 중 어느 하나를 참조하여, 제 11 양상의 제 3 가능한 구현예에서, 처리 유닛은 구체적으로,
비셀룰러 네트워크 액세스 디바이스를 관리하는 논리적 기능 엔티티를 결정 - 논리적 기능 엔티티는 비셀룰러 네트워크 액세스 디바이스를 포함하는 적어도 하나의 비셀룰러 네트워크 액세스 디바이스를 관리함 - 하고,
논리적 기능 엔티티에 의해 관리되는 각각의 비셀룰러 네트워크 액세스 디바이스에 대해, 각각의 비셀룰러 네트워크 액세스 디바이스의 식별자에 대응하는 키를 결정하는 단계를 수행하도록 구성되고,
처리 유닛에 의해 결정된 키를 비셀룰러 네트워크 액세스 디바이스로 전송할 때, 트랜시버 유닛은 구체적으로,
각각의 비셀룰러 네트워크 액세스 디바이스의 식별자에 대응하는 비셀룰러 네트워크 액세스 디바이스로, 처리 유닛에 의해 결정되고 각각의 비셀룰러 네트워크 액세스 디바이스에 대응하는 키를 전송하도록 구성된다.
제 11 양상, 또는 제 11 양상의 제 1 또는 제 2 가능한 구현예 중 어느 하나를 참조하여, 제 11 양상의 제 4 가능한 구현예에서, 처리 유닛은 구체적으로,
비셀룰러 네트워크 액세스 디바이스를 관리하는 논리적 기능 엔티티를 결정 - 논리적 기능 엔티티는 비셀룰러 네트워크 액세스 디바이스를 포함하는 적어도 하나의 비셀룰러 네트워크 액세스 디바이스를 관리함 - 하고,
적어도 하나의 비셀룰러 네트워크 액세스 디바이스에 대한 키를 결정 - 적어도 하나의 비셀룰러 네트워크 액세스 디바이스 내의 모든 비셀룰러 네트워크 액세스 디바이스의 식별자들에 대응하는 키들은 동일하고, 키는 UE와 비셀룰러 네트워크 액세스 디바이스의 식별자에 대응하는 비셀룰러 네트워크 액세스 디바이스 사이의 보안 인증을 수행하는 데 사용됨 - 하도록 구성된다.
제 11 양상, 또는 제 11 양상의 제 1 또는 제 2 가능한 구현예 중 어느 하나를 참조하여, 제 11 양상의 제 5 가능한 구현예에서, 처리 유닛은 구체적으로,
비셀룰러 네트워크 액세스 디바이스를 관리하는 논리적 기능 엔티티를 결정 - 논리적 기능 엔티티는 비셀룰러 네트워크 액세스 디바이스를 포함하는 적어도 하나의 비셀룰러 네트워크 액세스 디바이스를 관리하고, 적어도 하나의 비셀룰러 네트워크 액세스 디바이스는 적어도 하나의 비셀룰러 네트워크 액세스 디바이스 그룹에 포함됨 - 하고,
각각의 비셀룰러 네트워크 액세스 디바이스 그룹에 대한 키를 결정 - 각각의 비셀룰러 네트워크 액세스 디바이스 그룹에 포함된 모든 비셀룰러 네트워크 액세스 디바이스의 식별자들에 대응하는 키들은 동일하고, 키는 UE와 비셀룰러 네트워크 액세스 디바이스의 식별자에 대응하는 비셀룰러 네트워크 액세스 디바이스 사이의 보안 인증을 수행하는 데 사용됨 - 하도록 구성된다.
제 11 양상, 제 11 양상의 제 1 가능한 구현예 내지 제 5 가능한 구현예 중 어느 하나를 참조하여, 제 11 양상의 제 6 가능한 구현예에서, 처리 유닛은 또한, 비셀룰러 네트워크 액세스 디바이스에 대한 키를 결정한 후에, 키에 대응하는 키 식별자를 결정하도록 구성되고,
트랜시버 유닛은 또한 처리 유닛에 의해 결정된 키 식별자를 비셀룰러 네트워크 액세스 디바이스로 전송하도록 구성된다.
제 12 양상에 따르면, 본 발명의 실시예는 액세스 인증 장치를 제공하며, 장치는 사용자 장비(UE)에 적용되고, 결정 유닛 및 인증 유닛을 포함하되,
결정 유닛은 키를 결정 - 키는 UE와 비셀룰러 네트워크 액세스 디바이스 사이의 보안 인증을 수행하는 데 사용됨 - 하고, 키에 대응하는 키 식별자를 결정하도록 구성되며,
인증 유닛은 키 및 키 식별자를 사용하여 비셀룰러 네트워크 액세스 디바이스와 보안 인증을 수행하도록 구성된다.
제 12 양상을 참조하여, 제 12 양상의 제 1 가능한 구현예에서, 키를 결정할 때, 결정 유닛은 구체적으로 셀룰러 네트워크 액세스 디바이스와 공유되는 키에 기초하여 유도 규칙을 사용함으로써 키를 유도하도록 구성되고,
유도 규칙은 셀룰러 네트워크 액세스 디바이스에 의해 전송되고, 또는 유도 규칙은 UE에서 사전구성되고 비셀룰러 네트워크 액세스 디바이스에 대한 키를 유도하기 위해 셀룰러 네트워크 액세스 디바이스에 의해 사용되는 유도 규칙과 동일하다.
제 13 양상에 따르면, 본 발명의 실시예는 액세스 인증 장치를 제공하며, 장치는 비셀룰러 네트워크 액세스 디바이스에 의해 적용되고,
셀룰러 네트워크 액세스 디바이스에 의해 전송된 키를 수신하도록 구성되는 트랜시버 유닛 - 키는 비셀룰러 네트워크 액세스 디바이스에게 비셀룰러 네트워크 액세스 디바이스와 연관된 사용자 장비(UE)와 보안 인증을 수행하도록 지시하는 데 사용됨- 과,
키에 대응하는 키 식별자를 결정하고, 키 식별자 및 키를 사용하여 UE와 보안 인증을 수행하도록 구성되는 처리 유닛을 포함한다.
제 13 양상을 참조하여, 제 13 양상의 제 1 가능한 구현예에서, 트랜시버 유닛은 또한 키에 대응하고 셀룰러 네트워크 액세스 디바이스에 의해 전송되는 키 식별자를 수신하도록 구성된다.
도 1은 본 발명의 실시예에 따른 액세스 인증 방법의 흐름도이다.
도 2는 본 발명의 실시예에 따른 다른 액세스 인증 방법의 흐름도이다.
도 3은 본 발명의 실시예에 따른 또 다른 액세스 인증 방법의 흐름도이다.
도 4a 및 도 4b는 본 발명의 실시예에 따른 오프로딩 및 통합 네트워크 시스템의 개략적인 구조도이다.
도 5는 본 발명의 실시예에 따른 액세스 인증 방법의 개략도이다.
도 6은 본 발명의 실시예에 따른 다른 액세스 인증 방법의 개략도이다.
도 7은 본 발명의 실시예에 따른 액세스 인증 장치의 개략도이다.
도 8은 본 발명의 실시예에 따른 다른 액세스 인증 장치의 개략도이다.
도 9는 본 발명의 실시예에 따른 또 다른 액세스 인증 장치의 개략도이다.
도 10은 본 발명의 실시예에 따른 셀룰러 네트워크 액세스 디바이스의 개략적인 구조도이다.
도 11은 본 발명의 실시예에 따른 사용자 장비의 개략적인 구조도이다.
도 12는 본 발명의 실시예에 따른 비셀룰러 네트워크 액세스 디바이스의 개략적인 구조도이다.
도 13은 본 발명의 실시예에 따른 액세스 인증 시스템의 개략적인 구조도이다.
도 14는 본 발명의 실시예에 따라 셀룰러 네트워크 액세스 디바이스에 의해 실행되는 액세스 인증 방법의 흐름도이다.
도 15는 본 발명의 실시예에 따라 UE에 의해 실행되는 액세스 인증 방법의 흐름도이다.
도 16은 본 발명의 실시예에 따라 비셀룰러 네트워크 액세스 디바이스에 의해 실행되는 액세스 인증 방법의 흐름도이다.
도 17은 본 발명의 실시예에 따른 액세스 인증 방법의 개략도이다.
도 18은 본 발명의 실시예에 따라 셀룰러 네트워크 액세스 디바이스에 적용되는 액세스 인증 장치의 개략도이다.
도 19는 본 발명의 실시예에 따라 UE에 적용되는 액세스 인증 장치의 개략도이다.
도 20은 본 발명의 실시예에 따라 비셀룰러 네트워크 액세스 디바이스에 적용되는 액세스 인증 장치의 개략도이다.
도 21은 본 발명의 실시예에 따라 셀룰러 네트워크 액세스 디바이스에 적용되는 액세스 인증 디바이스의 개략도이다.
도 22는 본 발명의 실시예에 따라 UE에 적용되는 액세스 인증 디바이스의 개략도이다.
도 23은 본 발명의 실시예에 따라 비셀룰러 네트워크 액세스 디바이스에 적용되는 액세스 인증 디바이스의 개략도이다.
본 발명의 목적, 기술적 해결책 및 이점을 더 명확하게 하기 위해, 이하 첨부 도면을 참조하여 본 발명을 더욱 상세하게 설명한다. 자명하게, 설명된 실시예는 본 발명의 모든 실시예가 아닌 일부에 불과하다. 창의적인 노력 없이 본 발명의 실시예에 기초하여 당업자에 의해 획득된 다른 모든 실시예는 본 발명의 보호 범위 내에 있다.
본 발명의 실시예는 비교적 긴 인증 시간 및 높은 시그널링 오버헤드의 종래 기술의 문제점을 해결하기 위해 액세스 인증 방법 및 장치를 제공한다. 방법 및 장치의 문제 해결 원리가 동일하기 때문에, 방법 실시예 및 장치 실시예에 대한 상호 참조가 이루어질 수 있으며, 반복된 설명은 제공되지 않는다.
첫째, 이 명세서에 제공된 일부 용어는 당업자가 용이하게 이해할 수 있도록 설명된다.
(1) "셀룰러 네트워크" 및 "셀룰러 네트워크 액세스 디바이스"
"셀룰러 네트워크"는 다음 시스템 중 임의의 시스템 내의 셀룰러 네트워크를 포함할 수 있지만 이에 제한되지 않는다: 3GPP 프로토콜에 관련되는 롱 텀 에볼루션(Long Term Evolution, 줄여서 LTE) 시스템 또는 이동 통신 글로벌 시스템(Global System for Mobile Communications, 줄여서 GSM), 코드 분할 다중 액세스(Code Division MultipleAccess,줄여서 CDMA) 시스템, 시분할 다중 액세스(Time Division MultipleAccess,줄여서 TDMA) 시스템, 광대역 코드 분할 다중 액세스(Wideband Code Division MultipleAccessWireless, 줄여서 WCDMA) 시스템, 주파수 분할 다중 액세스(Frequency Division MultipleAddressing,줄여서 FDMA) 시스템, 직교 주파수 분할 다중 액세스(Orthogonal Frequency-Division MultipleAccess, 줄여서 OFDMA) 시스템, 단일 캐리어 FDMA(SC-FDMA) 시스템, 일반 패킷 무선 서비스(General Packet Radio Service, 줄여서 GPRS) 시스템, 또는 범용 모바일 통신 시스템(Universal Mobile Telecommunications System, 줄여서 UMTS).
"셀룰러 네트워크 액세스 디바이스"는 LTE 시스템에서 eNB, GSM 또는 CDMA 시스템에서 BTS(Base Transceiver Station, 베이스 트랜시버 스테이션) 또는 WCDMA 시스템에서 노드B(NodeB)와 같은 기지국 디바이스일 수 있고, 또는 LTE 시스템에서 SRC(Single RAN Coordinator, 단일 RAN 조정자) 또는 UMTS에서 RNC(Radio Network Controller, 무선 네트워크 제어기)와 같은 제어 노드일 수 있다.
(2) "비셀룰러 네트워크" 및 "비셀룰러 네트워크 액세스 디바이스"
"비셀룰러 네트워크"는 WLAN 또는 와이맥스(Worldwide Interoperability for Microwave Access, 줄여서 WIMAX) 네트워크를 포함할 수 있지만, 이에 제한되지 않는다.
"비셀룰러 네트워크 액세스 디바이스"는 WLAN에서 액세스 포인트(Access Point, 줄여서 AP) 또는 액세스 제어기(Access Controller, 줄여서 AC)일 수 있고, 또는 WIMAX 네트워크에서 기지국(Base Station, 줄여서 BS)일 수 있다.
본 발명의 실시예에서, 비셀룰러 네트워크가 WLAN인 경우, "비셀룰러 네트워크 액세스 디바이스"는 구체적으로 자율 관리 아키텍처(즉, "팻(fat)" AP 아키텍처) 또는 중앙집중식 관리 아키텍처(즉, "씬(thin)" "핏(fit)" AP 아키텍처)를 가질 수 있다.
자율 관리 아키텍처에서, WLAN AP는 사용자 장비 액세스, 사용자 장비 접속해제, 권한 인증, 보안 정책 구현, 데이터 포워딩, 데이터 암호화 및 네트워크 관리와 같은 작업을 담당하며, WLAN AP의 구성 및 무선 기능을 자율적으로 제어한다. 중앙집중식 관리 아키텍처는 "씬" "핏" AP 아키텍처로도 지칭되고, 관리 허가는 일반적으로 액세스 제어기(Access Controller, 줄여서 AC)에 중앙집중화된다. AC는 사용자 장비의 IP 어드레스, 인증, 암호화 등을 관리한다. WLAN AP는 암호화, 데이터 포워딩 및 무선 주파수 기능과 같은 기능만을 가지며, 독립적으로 작동할 수 없다. WLAN AP와 AC 간에 무선 액세스 포인트의 제어 및 프로비저닝(Control And Provisioning of Wireless Access Points, 줄여서 CAPWAP) 프로토콜이 사용된다. 선택적으로, WLAN AP 및 기지국은 통합 방식으로 배치될 수 있다. 쉬운 이해와 설명을 위해, 다음은 자율 관리 아키텍처, 즉, "팻" AP 아키텍처를 예로서 사용한다. 이것은 본 발명에서 제한되지 않는다.
(3) 논리적 기능 엔티티
일반적으로, 셀룰러 네트워크 액세스 디바이스 및 비셀룰러 네트워크 액세스 디바이스는 서로 직접 통신할 수 없지만, 논리적 기능 엔티티를 사용하여 서로 통신한다. 특히, 논리적 기능 엔티티는 셀룰러 네트워크 내의 디바이스일 수 있고, 비셀룰러 네트워크 내의 디바이스일 수 있다.
선택적으로, 비셀룰러 네트워크가 WLAN인 경우, 논리적 기능 엔티티는 WLAN 내의 디바이스일 수 있고, 특히 WLAN 종료(WLAN Termination, 줄여서 WT)일 수 있다. WLAN에서, WT와 AP는 함께 배치될 수 있고, 또는 WT와 AC는 함께 배치될 수 있고, 또는 WT는 AP 및 AC와 독립적일 수 있다.
(4) eNB, WT, AP 및 UE 사이의 대응(또는 접속 관계로 지칭됨)
하나의 eNB는 하나 이상의 WT에 접속될 수 있는데, 즉, 하나의 eNB가 하나 이상의 WT를 지원할 수 있다. 하나의 WT는 하나 이상의 AP 그룹(AP Group)을 지원할 수 있다. 하나의 AP 그룹은 하나 이상의 AP를 포함한다. 일반적으로 하나의 WT는 하나의 eNB에 접속된다. 특히, 다수의 eNB의 공통 커버리지 영역에 위치하는 WT는 다수의 eNB에 접속될 수 있다. 하나의 AP는 하나 이상의 UE에 접속될 수 있다.
일반적으로, eNB는 WT와 직접 통신하고, UE는 비셀룰러 네트워크에서 AP와 직접 통신한다.
(5) 멀티스트림 통합
본 명세서에서 기술된 "멀티스트림 통합"은 셀룰러 네트워크 액세스 디바이스와 UE 사이의 통신을 위한 몇몇 데이터, 즉, 멀티스트림 통합을 수행하기 위한 데이터가 비셀룰러 네트워크 액세스 디바이스를 이용하여 송신되는 것을 의미하며, 셀룰러 네트워크 액세스 디바이스와 UE 사이의 통신을 위한 다른 데이터, 즉, 멀티스트림 통합을 수행하는 데 사용되지 않는 데이터는 셀룰러 네트워크 액세스 디바이스와 UE 사이에 직접 송신된다. 셀룰러 네트워크 액세스 디바이스 및 비셀룰러 네트워크 액세스 디바이스는 논리적 기능 엔티티를 사용함으로써 서로 통신한다.
"멀티스트림 통합"은 다운링크 멀티스트림 통합과 업링크 멀티스트림 통합을 포함한다. 셀룰러 네트워크는 다운링크 멀티스트림 통합만을 지원할 수 있고, 또는 업링크 멀티스트림 통합만을 지원할 수도 있고, 또는 다운링크 멀티스트림 통합과 업링크 멀티스트림 통합을 모두 지원할 수 있다.
(6) UE
본 발명에서 UE는 핸드헬드 디바이스, 차량 내 디바이스, 착용형 디바이스, 무선 통신 기능을 갖는 컴퓨팅 디바이스 또는 무선 모뎀에 접속된 다른 처리 디바이스, 또는 다양한 형태의 사용자 장비를 포함할 수 있다. 사용자 장비는 스테이션(Station, 줄여서 STA), 이동국(Mobile Station, 줄여서 MS), 가입자 유닛(Subscriber Unit), 개인용 컴퓨터(Personal Computer, 줄여서 PC), 랩탑 컴퓨터(Laptop Computer, 줄여서 LC), 태블릿 컴퓨터(Tablet Computer, 줄여서 TC), 넷북(Netbook), 단말기(Terminal), 개인 휴대 정보 단말기(Personal Digital Assistant, 줄여서 PDA), 모바일 와이파이 핫스팟 디바이스(MiFi Devices), 스마트워치, 스마트 안경 등을 포함하지만, 이에 제한되지 않는다. UE는 전체 네트워크에서 분산될 수 있다. 설명을 용이하게 하기 위해, 이 응용례에서, 이들 디바이스는 사용자 장비 또는 UE로 지칭된다.
(7) 본 명세서에서 "및/또는"이라는 용어는 관련 대상을 설명하기 위한 연관 관계만을 기술하고 3개의 관계가 존재할 수 있음을 나타낸다. 예를 들어, A 및/또는 B는 다음 3가지 경우를 나타낼 수 있다: A만 존재하고, A와 B가 모두 존재하며, B만 존재한다. 또한, 본 명세서에서 부호 "/"는 일반적으로 관련 대상들 간의 "또는" 관계를 나타낸다.
본 발명의 실시예는 액세스 인증 방법을 제공한다. 도 1에 도시된 바와 같이, 방법은 다음 단계들을 포함한다.
단계 101: 셀룰러 네트워크 액세스 디바이스는 키 식별자를 결정한다.
키 식별자는 UE에게 키 식별자에 대응하는 키에 기초하여 비셀룰러 네트워크 액세스 디바이스와 보안 인증을 수행하도록 지시하는 데 사용된다.
셀룰러 네트워크 액세스 디바이스는, UE에 대하여, 논리적 기능 엔티티에 의해 관리되는 모든 비셀룰러 네트워크 액세스 디바이스에 대해 동일한 키 식별자를 결정할 수 있고, 또는 UE에 대하여, 논리적 기능 엔티티 내의 각각의 비셀룰러 네트워크 액세스 디바이스 그룹 내의 모든 비셀룰러 네트워크 액세스 디바이스에 대해 동일한 키 식별자를 결정할 수 있으며, 또는 UE에 대하여, 논리적 기능 엔티티 내의 모든 비셀룰러 네트워크 액세스 디바이스 그룹 내의 모든 비셀룰러 네트워크 액세스 디바이스에 대해 상이한 키 식별자를 결정할 수 있다.
키 식별자는 해시(HASH) 알고리즘을 사용함으로써 비셀룰러 네트워크 액세스 디바이스의 식별자 및 UE의 아이덴티티에 기초하여 셀룰러 네트워크 액세스 디바이스에 의해 결정될 수 있다. 이와 달리, 키 식별자는 UE의 아이덴티티에만 기초하여 결정될 수 있다. 분명히, 키 식별자는 다른 알고리즘을 사용하여 결정될 수 있으며, 키 식별자를 결정하기 위한 알고리즘은 본 발명의 이 실시예에서 특별히 제한되지 않는다.
단계 102: 셀룰러 네트워크 액세스 디바이스는 결정된 키 식별자를 UE 및 비셀룰러 네트워크 액세스 디바이스에 전송하고, 키 식별자는 UE에게 키 식별자에 대응하는 키에 기초하여 비셀룰러 네트워크 액세스 디바이스와 보안 인증을 수행하도록 지시하는 데 사용된다.
본 발명의 이 실시예에서 제공되는 해결책에 따르면, 셀룰러 네트워크 액세스 디바이스는 키 식별자를 결정하고, 그 다음에 셀룰러 네트워크 액세스 디바이스는 결정된 키 식별자를 UE 및 비셀룰러 네트워크 액세스 디바이스에 직접 전송한다. UE 및 비셀룰러 네트워크 액세스 디바이스는 모두 키 식별자를 획득한다. 따라서, UE 및 비셀룰러 네트워크 액세스 디바이스는 키 식별자에 대응하는 키를 이용하여 보안 인증을 직접 수행하므로, 인증 시간이 짧고 시그널링 오버헤드가 낮다.
선택적으로, 셀룰러 네트워크 액세스 디바이스는 논리적 기능 엔티티를 사용하여 키 식별자를 비셀룰러 네트워크 액세스 디바이스에 전송한다. 구체적으로, 논리적 기능 엔티티와 비셀룰러 네트워크 액세스 디바이스는 사설 인터페이스를 사용하여 서로 통신한다. 이것은 본 발명에서 제한되지 않는다.
선택적으로, UE에 키 식별자를 전송할 때, 셀룰러 네트워크 액세스 디바이스는 비셀룰러 네트워크 액세스 디바이스의 식별자를 키 식별자와 연관시키고, 비셀룰러 네트워크 액세스 디바이스의 식별자 및 키 식별자를 전송한다. 구체적으로, 비셀룰러 네트워크 액세스 디바이스의 식별자 및 키 식별자는 표의 형태로 전송될 수 있다. 이와 달리, 비셀룰러 네트워크 액세스 디바이스의 식별자 및 키 식별자는 개별적으로 전송될 수 있다. 예를 들어, 모든 비셀룰러 네트워크 액세스 디바이스에 대해 결정된 키 식별자들이 동일하면, 단 하나의 키 식별자만 UE로 전송될 필요가 있다.
셀룰러 네트워크 액세스 디바이스는 키 식별자를 비셀룰러 네트워크 액세스 디바이스로 전송한다. UE가 비셀룰러 네트워크 액세스 디바이스와 연관되는 경우, 비셀룰러 네트워크 액세스 디바이스는 UE에 의해 전송된 연관 요청으로 전달된 키 식별자가 비셀룰러 네트워크 액세스 디바이스에 의해 저장된 키 식별자와 동일한지를 결정하기만 하면 된다. 키 식별자가 동일하면, UE 및 비셀룰러 네트워크 액세스 디바이스는 키 식별자에 대응하는 키를 사용하여 4 방향 핸드셰이크 인증을 수행한다.
비셀룰러 네트워크 액세스 디바이스의 식별자는 비셀룰러 네트워크 액세스 디바이스의 서비스 세트 식별자(Service Set Identifier, 줄여서 SSID) 또는 확장 서비스 세트 식별자(Extended service set Identifier, 줄여서 ESSID) 또는 기본 서비스 세트 식별자(Basic Service Set Identifier, 줄여서 BSSID)일 수 있다. 비셀룰러 네트워크 액세스 디바이스의 BSSID는 또한 비셀룰러 네트워크 액세스 디바이스의 매체 액세스 제어(Medium Access Control, 줄여서 MAC) 어드레스이다. UE의 아이덴티티는 UE의 WLAN MAC 어드레스일 수 있다.
구체적으로, 셀룰러 네트워크 액세스 디바이스가 키 식별자를 UE에 전송할 때, 키 식별자는 독립적으로 전송될 수 있고, 또는 전송을 위해 쌍 마스터 키 보안 연관(Pairwise Master Key Security Association, 줄여서 PMKSA) 정보에 포함될 수 있으며, 또는 전송을 위해 LWA 커맨드 메시지에 포함될 수 있다. 이와 달리, 키 식별자는 전송을 위해 다른 새로 정의된 메시지에 포함될 수 있으며, 메시지는 UE에게 LWA를 수행하도록 지시하는 데 사용된다.
셀룰러 네트워크 액세스 디바이스가 키 식별자를 비셀룰러 네트워크 액세스 디바이스에 전송할 때, 키 식별자는 독립적으로 전송될 수 있다. 논리적 기능 엔티티와 비셀룰러 네트워크 액세스 디바이스가 동일한 노드인 경우, 키 식별자는 셀룰러 네트워크 액세스 디바이스에 의해 논리적 기능 엔티티로 전송된 GPRS 터널링 프로토콜-사용자 평면(User plane of GPRS TunnelingProtocol, 줄여서 GTP-U) 터널 셋업 메시지에 전송을 위해 포함될 수 있고, 또는 전송을 위해 다른 새로 정의된 메시지에 포함될 수 있다. 논리적 기능 엔티티와 비셀룰러 네트워크 액세스 디바이스가 동일한 노드가 아닌 경우, 셀룰러 네트워크 액세스 디바이스는 GTP-U 터널 셋업 메시지에 키 식별자를 추가하고, GTP-U 터널 셋업 메시지를 논리적 기능 엔티티로 전송한다. 그 다음에, 논리적 기능 엔티티는 GTP-U 터널 셋업 메시지를 비셀룰러 네트워크 액세스 디바이스에 전송한다.
선택적으로, 셀룰러 네트워크 액세스 디바이스는 UE 및/또는 비셀룰러 네트워크 액세스 디바이스에 다음 중 적어도 하나를 더 전송할 수 있다:
수명 또는 인증 방식 표시 정보
수명은 키 식별자 및 키 식별자에 대응하는 키의 유효 기간을 나타내는 데 사용되며, 인증 방식 표시 정보는 UE에 의해 사용되는 인증 유형(authentication type)을 나타내는 데 사용된다. 인증 유형은 인증 및 키 관리 프로토콜(Authentication and Key Management Protocol, 줄여서 AKMP)에 지정된 인증 유형, 예컨대, 802.1X EAP-AKA 캐싱 방식일 수 있다.
구체적으로, 전술한 정보 중 적어도 하나는 전송을 위해 PMSKA에 포함될 수 있다. 이와 달리, 키 식별자 및 전술한 정보 중 적어도 하나는 전송을 위해 동일한 메시지에 포함될 수 있다.
선택적으로, 키 식별자에 대응하는 키는 다음 방식들을 포함하지만 이에 한정되지 않는 방식으로 결정될 수 있다.
제 1 구현예:
키 식별자에 대응하는 키는 셀룰러 네트워크 액세스 디바이스에 의해 결정될 수 있다. 키를 결정한 후, 셀룰러 네트워크 액세스 디바이스는 키와 키 식별자를 키와 연관시킨 후에 키 및 키 식별자를 UE 및 비셀룰러 네트워크 액세스 디바이스에 전송한다. 따라서, 키 및 키 식별자는 전송을 위해 PMSKA에 포함될 수 있고, 또는 전송을 위해 동일한 메시지에 포함될 수 있다. 특정 메시지의 경우에, 전술한 설명을 참조하고, 본 발명의 이 실시예에서는 세부사항이 다시 설명되지 않는다.
셀룰러 네트워크 액세스 디바이스에 의해 결정된 키는 UE와 셀룰러 네트워크 액세스 디바이스에 의해 공유되는 키, 예를 들어 KeNB, KRRCint, KRRCenc, KUPenc, KUPint 등 중 하나의 키일 수 있고, 또는 전술한 키들 중 하나 이상에 따라 유도된 키일 수 있다.
키 식별자는 UE의 아이덴티티 및 비셀룰러 네트워크 액세스 디바이스의 식별자에 기초하여 셀룰러 네트워크 액세스 디바이스에 의해 결정될 수 있고, 또는 UE의 아이덴티티에만 기초하여 결정될 수 있으며, 또는 키, UE의 아이덴티티 및 비셀룰러 네트워크 액세스 디바이스의 식별자를 사용하여 결정될 수 있고, 또는 키 및 UE의 아이덴티티를 사용하여 결정될 수 있다.
예를 들어, PMKID = HMAC-SHA1-128(PMK, "PMK_name"|MAC_AP|MAC_UE)이다.
PMKID는 키 식별자를 나타내고, PMK는 키를 나타내며, PMK_name은 키의 이름을 나타내고, MAC_UE는 UE의 아이덴티티, 즉, UE의 WLAN MAC 어드레스를 나타낸다. MAC_AP는 비셀룰러 네트워크 액세스 디바이스의 식별자, 즉, 비셀룰러 네트워크 액세스 디바이스의 MAC 어드레스를 나타낸다. HMAC는 키와 관련된 해시 기반 메시지 인증 코드(Hash-based Message AuthenticationCode)이다. SHA1은 보안 해시 알고리즘(Secure Hash Algorithm)이다.
제 2 구현예:
키 식별자에 대응하는 키는 사전결정된 유도 규칙에 기초하여 셀룰러 네트워크 액세스 디바이스 및 UE에 의해 결정되고 비셀룰러 네트워크 액세스 디바이스와 UE의 연관을 위한 키일 수 있다. 그 다음에, 셀룰러 네트워크 액세스 디바이스는 결정된 키를 비셀룰러 네트워크 액세스 디바이스로 전송한다. 사전결정된 유도 규칙은 협상에 의해 UE 및 셀룰러 네트워크 액세스 디바이스에 의해 사전결정될 수 있다.
구체적으로, 셀룰러 네트워크 액세스 디바이스는 사전결정된 유도 규칙에 기초하여 비셀룰러 네트워크 액세스 디바이스와 UE의 연관을 위한 키를 결정하고, 그 다음에 키에 대응하는 키 식별자를 결정한다. 그런 다음, 셀룰러 네트워크 액세스 디바이스는 키 식별자 및 키를 비셀룰러 네트워크 액세스 디바이스에 전송하고, 키 식별자를 UE에 전송한다. 비셀룰러 네트워크 액세스 디바이스와 연관되기 전에, UE는 먼저 사전결정된 유도 규칙에 따라 키 식별자에 대응하는 키를 결정한다.
UE는 키 식별자를 연관 요청에 추가하고, 비셀룰러 네트워크 액세스 디바이스로 연관 요청을 전송한다. 그 다음에, 비셀룰러 네트워크 액세스 디바이스는, UE에 의해 전송된 수신된 키 식별자가 비셀룰러 네트워크 액세스 디바이스에 의해 저장된 키 식별자와 동일하다고 결정하면, UE 및 비셀룰러 네트워크 액세스 디바이스는 키 식별자에 대응하는 키에 기초하여 4 방향 핸드셰이크 절차를 실행한다. 4 방향 핸드셰이크 인증이 성공한 후에, 셀룰러 네트워크 액세스 디바이스는 비셀룰러 네트워크 액세스 디바이스를 사용함으로써 UE와 멀티스트림 통합 데이터 송신을 수행할 수 있다.
제 3 구현예:
셀룰러 네트워크 액세스 디바이스는 UE 및 셀룰러 네트워크 액세스 디바이스에 의해 공유되는 키를 사용함으로써 유도 규칙에 기초하여 키 식별자를 유도한다. 그 다음에, 셀룰러 네트워크 액세스 디바이스는 유도 규칙을 UE 및 비셀룰러 네트워크 액세스 디바이스에 전송하고, 셀룰러 네트워크 액세스 디바이스와 UE에 의해 공유된 키를 비셀룰러 네트워크 액세스 디바이스에 전송한다. 키 식별자를 수신한 후, UE 및 비셀룰러 네트워크 액세스 디바이스는 공유된 키에 따라 동일한 유도 규칙에 기초하여 키 식별자에 대응하는 키들을 유도한다. 따라서, 유도된 키들은 동일하다.
그 다음에, UE는 연관 요청에 키 식별자를 추가하고, 비셀룰러 네트워크 액세스 디바이스에 연관 요청을 전송한다. 그 다음, 비셀룰러 네트워크 액세스 디바이스가, UE에 의해 전송되는 수신된 키 식별자가 비셀룰러 네트워크 액세스 디바이스에 의해 저장된 키 식별자와 동일하다고 결정하면, UE 및 비셀룰러 네트워크 액세스 디바이스는 키 식별자에 대응하는 키에 기초하여 4 방향 핸드셰이크 절차를 실행한다. 4 방향 핸드셰이크 인증이 성공한 후에, 셀룰러 네트워크 액세스 디바이스는 비셀룰러 네트워크 액세스 디바이스를 사용함으로써 UE와 멀티스트림 통합 데이터 송신을 수행할 수 있다.
실시예에서, 비셀룰러 네트워크 액세스 디바이스와 논리적 기능 엔티티는 동일한 노드이다. 비셀룰러 네트워크 액세스 디바이스와 논리적 기능 엔티티가 동일한 노드라는 것은 비셀룰러 네트워크 액세스 디바이스 및 논리적 기능 엔티티의 기능이 하나의 디바이스를 사용하여 구현되거나, 논리적 기능 엔티티가 비셀룰러 네트워크 액세스 디바이스에 내장된다는 것일 수 있다. 논리적 기능 엔티티가 비셀룰러 네트워크 액세스 디바이스에 내장되면, 논리적 기능 엔티티와 비셀룰러 네트워크 액세스 디바이스 사이에는 내부 인터페이스가 존재하고, 논리적 기능 엔티티 및 비셀룰러 네트워크 액세스 디바이스는 내부 인터페이스를 사용하여 정보를 교환한다.
셀룰러 네트워크 액세스 디바이스는 비셀룰러 네트워크 액세스 디바이스와 UE의 연관을 위한 키 식별자를 다음과 같은 방식으로 결정할 수 있다:
셀룰러 네트워크 액세스 디바이스는 UE에 의해 전송되는 측정 보고에 따라, UE가 연관될 필요가 있는 비셀룰러 네트워크 액세스 디바이스를 결정한다. 측정 보고는 UE가 위치하는 WLAN의 신호 품질을 포함한다. 셀룰러 네트워크 액세스 디바이스는 UE에 대해 비교적 높은 신호 품질을 갖는 WLAN 내의 비셀룰러 네트워크 액세스 디바이스를 선택한다.
구체적으로, 셀룰러 네트워크 액세스 디바이스에 의해 전송된 측정 구성 요청 메시지를 수신한 후, UE는 UE가 위치하는 WLAN의 신호 품질을 측정할 수 있고, 측정 결과로부터 생성된 측정 보고를 셀룰러 네트워크 액세스 디바이스로 전송할 수 있다.
셀룰러 네트워크 액세스 디바이스는 UE에 대해 선택된 비셀룰러 네트워크 액세스 디바이스에 대응하는 키 식별자를 결정한다. 키 식별자는 UE에게 키 식별자에 대응하는 키에 기초하여 비셀룰러 네트워크 액세스 디바이스와 보안 인증을 수행하도록 지시하는 데 사용된다.
키 식별자에 대응하는 키를 결정하는 방식의 경우에, 제 1 구현예 내지 제 3 구현예 중 어느 하나를 참조하고, 본 발명의 이 실시예에서는 세부사항이 다시 설명되지 않는다.
그런 다음, 셀룰러 네트워크 액세스 디바이스는 UE에 대해 선택된 비셀룰러 네트워크 액세스 디바이스에 대응하는 결정된 키 식별자를 비셀룰러 네트워크 액세스 디바이스에 전송한다.
실시예에서, 비셀룰러 네트워크 액세스 디바이스와 논리적 기능 엔티티가 동일한 노드가 아니면, 셀룰러 네트워크 액세스 디바이스는 비셀룰러 네트워크 액세스 디바이스와 UE의 연관을 위한 키 식별자를 다음과 같은 방식으로 결정할 수 있다:
셀룰러 네트워크 액세스 디바이스는 UE와 연관될 비셀룰러 네트워크 액세스 디바이스가 속하는 논리적 기능 엔티티를 결정한다. 셀룰러 네트워크 액세스 디바이스는 논리적 기능 엔티티에 의해 관리되는 각각의 비셀룰러 네트워크 액세스 디바이스를 결정한다. 그 다음에, 셀룰러 네트워크 액세스 디바이스는 각각의 비셀룰러 네트워크 액세스 디바이스에 대해 다음 단계를 수행한다: 각각의 비셀룰러 네트워크 액세스 디바이스에 대응하는 키 식별자를 결정하는 단계. 키 식별자는 UE에게 키 식별자에 대응하는 키에 기초하여 비셀룰러 네트워크 액세스 디바이스와 보안 인증을 수행하도록 지시하는 데 사용된다.
UE와 연관될 비셀룰러 네트워크 액세스 디바이스는 UE에 대한 셀룰러 네트워크 액세스 디바이스에 의해 선택된다. 연관될 비셀룰러 네트워크 액세스 디바이스는 논리적 기능 엔티티를 결정하도록 선택되어, 논리적 기능 엔티티에 의해 관리되는 모든 비셀룰러 네트워크 액세스 디바이스가 결정될 수 있다. 특정 선택 방법은 다음과 같을 수 있다: 셀룰러 네트워크 액세스 디바이스에 의해 전송된 측정 구성 요청 메시지를 수신한 후, UE는 UE가 위치하는 WLAN의 신호 품질을 측정하고 측정 결과로부터 생성된 측정 보고를 셀룰러 네트워크 액세스 디바이스로 전송할 수 있다. 셀룰러 네트워크 액세스 디바이스는 UE에 의해 전송된 측정 보고에 따라, UE가 연관될 필요가 있는 비셀룰러 네트워크 액세스 디바이스를 결정한다. 예를 들어, 셀룰러 네트워크 액세스 디바이스는 UE에 대해 비교적 높은 신호 품질을 갖는 WLAN 내의 비셀룰러 네트워크 액세스 디바이스를 선택한다.
그 다음에, 셀룰러 네트워크 액세스 디바이스는 결정된 키 식별자를 UE 및 비셀룰러 네트워크 액세스 디바이스에 다음과 같은 방식으로 전송한다:
셀룰러 네트워크 액세스 디바이스는 논리적 기능 엔티티를 사용함으로써 각각의 비셀룰러 네트워크 액세스 디바이스에 대응하는 결정된 키 식별자를 각각의 비셀룰러 네트워크 액세스 디바이스의 식별자에 대응하는 비셀룰러 네트워크 액세스 디바이스에 전송하고, UE에 키 식별자 리스트를 전송한다. 키 식별자 리스트는 논리적 기능 엔티티에 의해 관리되는 각각의 비셀룰러 네트워크 액세스 디바이스의 식별자 및 각각의 비셀룰러 네트워크 액세스 디바이스에 대응하는 키 식별자를 포함한다.
따라서, UE가 비셀룰러 네트워크 액세스 디바이스와 연관되어 있을 때, 비셀룰러 네트워크 액세스 디바이스가 선택되고, 선택된 비셀룰러 네트워크 액세스 디바이스의 식별자가 키 식별자 리스트 내의 비셀룰러 네트워크 액세스 디바이스의 식별자와 동일한지 여부가 결정된다. 식별자들이 동일하면, 비셀룰러 네트워크 액세스 디바이스는 타깃 비셀룰러 네트워크 액세스 디바이스로서 사용된다.
실시예에서, 비셀룰러 네트워크 액세스 디바이스와 논리적 기능 엔티티가 동일한 노드가 아닌 경우, 셀룰러 네트워크 액세스 디바이스는 비셀룰러 네트워크 액세스 디바이스와 UE의 연관을 위한 키 식별자를 다음과 같은 방식으로 결정할 수 있다:
셀룰러 네트워크 액세스 디바이스는 UE와 연관될 비셀룰러 네트워크 액세스 디바이스를 결정하고, 비셀룰러 네트워크 액세스 디바이스에 대응하는 키 식별자를 결정한다. 키 식별자는 UE에게 키 식별자에 대응하는 키에 기초하여 비셀룰러 네트워크 액세스 디바이스와 보안 인증을 수행하도록 지시하는 데 사용된다.
UE와 연관될 비셀룰러 네트워크 액세스 디바이스는 UE에 대한 셀룰러 네트워크 액세스 디바이스에 의해 선택된다. 특정 선택 방법은 다음과 같을 수 있다: 셀룰러 네트워크 액세스 디바이스에 의해 전송된 측정 구성 요청 메시지를 수신한 후, UE는 UE가 위치하는 WLAN의 신호 품질을 측정하고, 측정 결과로부터 생성된 측정 보고를 셀룰러 네트워크 액세스 디바이스로 전송할 수 있다. 셀룰러 네트워크 액세스 디바이스는 UE에 의해 전송된 측정 보고에 따라, UE가 연관될 필요가 있는 비셀룰러 네트워크 액세스 디바이스를 결정한다. 예를 들어, 셀룰러 네트워크 액세스 디바이스는 UE에 대해 비교적 높은 신호 품질을 갖는 WLAN 내의 비셀룰러 네트워크 액세스 디바이스를 선택한다.
그 다음에, 셀룰러 네트워크 액세스 디바이스는 결정된 키 식별자를 UE 및 비셀룰러 네트워크 액세스 디바이스에 다음과 같은 방식으로 전송한다:
셀룰러 네트워크 액세스 디바이스는 비셀룰러 네트워크 액세스 디바이스가 속하는 논리적 기능 엔티티를 결정한다. 그런 다음, 셀룰러 네트워크 액세스 디바이스는 논리적 기능 엔티티를 사용하여 비셀룰러 네트워크 액세스 디바이스에 비셀룰러 네트워크 액세스 디바이스에 대응하는 키 식별자를 전송하고, 비셀룰러 네트워크 액세스 디바이스에 대응하는 키 식별자를 UE에 전송한다.
따라서, 비셀룰러 네트워크 액세스 디바이스와 연관될 때, UE는 셀룰러 네트워크 액세스 디바이스에 의해 표시된 비셀룰러 네트워크 액세스 디바이스와 연관된다. 셀룰러 네트워크 액세스 디바이스에 의해 표시된 비셀룰러 네트워크 액세스 디바이스는 전술한 키 식별자에 대응하는 비셀룰러 네트워크 액세스 디바이스이다.
실시예에서, 비셀룰러 네트워크 액세스 디바이스와 논리적 기능 엔티티가 동일한 노드가 아닌 경우, 셀룰러 네트워크 액세스 디바이스는 비셀룰러 네트워크 액세스 디바이스와 UE의 연관을 위한 키 식별자를 다음과 같은 방식으로 결정할 수 있다:
셀룰러 네트워크 액세스 디바이스는 UE와 연관될 비셀룰러 네트워크 액세스 디바이스가 속하는 논리적 기능 엔티티를 결정한다. 논리적 기능 엔티티는 연관될 비셀룰러 네트워크 액세스 디바이스를 포함하는 적어도 하나의 비셀룰러 네트워크 액세스 디바이스를 관리한다.
셀룰러 네트워크 액세스 디바이스는 적어도 하나의 비셀룰러 네트워크 액세스 디바이스에 대한 키 식별자를 결정한다. 적어도 하나의 비셀룰러 네트워크 액세스 디바이스에서 모든 비셀룰러 네트워크 액세스 디바이스들의 식별자들에 대응하는 키 식별자들은 동일하고, 키 식별자는 UE와 비셀룰러 네트워크 액세스 디바이스의 식별자에 대응하는 비셀룰러 네트워크 액세스 디바이스 사이의 보안 인증을 수행하는 데 사용된다.
셀룰러 네트워크 액세스 디바이스가 결정된 키 식별자를 UE 및 비셀룰러 네트워크 액세스 디바이스에 전송하는 것은,
논리적 기능 엔티티를 사용하여 셀룰러 네트워크 액세스 디바이스에 의해, 결정된 키 식별자를 UE 및 각각의 비셀룰러 네트워크 액세스 디바이스의 식별자에 대응하는 비셀룰러 네트워크 액세스 디바이스에 개별적으로 전송하는 것을 포함한다.
본 발명의 실시예는 액세스 인증 방법을 더 제공한다. 도 2에 도시된 바와 같이, 방법은 다음 단계를 포함한다.
단계 201: UE는 셀룰러 네트워크 액세스 디바이스에 의해 전송된 키 식별자를 수신한다.
키 식별자는 UE에게 키 식별자에 대응하는 키에 기초하여 비셀룰러 네트워크 액세스 디바이스와 보안 인증을 수행하도록 지시하는 데 사용된다.
단계 202: UE는 키 식별자에 대응하는 키를 결정한다.
단계 203: UE는 수신된 키 식별자 및 결정된 키에 따라 비셀룰러 네트워크 액세스 디바이스와 보안 인증을 수행한다.
선택적으로, UE는 다음의 방식들을 포함하지만 이에 제한되지 않는 방식으로 키 식별자에 대응하는 키를 결정할 수 있다.
제 1 구현예:
UE는 키 식별자에 대응하고 셀룰러 네트워크 액세스 디바이스에 의해 전송된 키를 수신한다.
구체적으로, 셀룰러 네트워크 액세스 디바이스가 키 식별자를 전송하는 동시에, 셀룰러 네트워크 액세스 디바이스는 키 식별자에 대응하는 키를 전송한다. 분명히, 키와 키 식별자는 개별적으로 전송될 수 있다. 이는 본 발명의 이 실시예에서 특별히 제한되지 않는다.
제 2 구현예:
UE는 셀룰러 네트워크 액세스 디바이스와 협상하여 키 식별자에 대응하는 키를 결정한다.
구체적으로, 셀룰러 네트워크 액세스 디바이스에 의해 전송된 키 식별자를 수신할 때, UE는 셀룰러 네트워크 액세스 디바이스와 협상하여 키 식별자에 대응하는 키를 결정하는 방식을 획득할 수 있다. 그 다음에, UE는 결정하는 방식에 기초하여 키 식별자에 대응하는 키를 결정한다. 이와 달리, UE는 키 식별자에 대응하는 키를 결정하기 위한 유도 규칙을 획득한다. 그런 다음, UE는 유도 규칙에 기초하여 키 식별자에 대응하는 키를 결정한다.
제 3 구현예:
UE는 사전결정된 유도 규칙에 따라 키 식별자에 대응하는 키를 결정한다.
사전결정된 유도 규칙은 셀룰러 네트워크 액세스 디바이스에 의해 미리 전송될 수 있다. 이와 달리, UE는 셀룰러 네트워크 액세스 디바이스와 사전에 협상하여 유도 규칙을 획득하고, 이어서 UE는 유도 규칙을 저장한다. 사전결정된 유도 규칙은 UE에 대한 키 식별자에 대응하는 키를 결정하기 위해 셀룰러 네트워크 액세스 디바이스에 의해 사용되는 유도 규칙과 동일하다. 사전결정된 유도 규칙에 따라 키를 유도한 후, 셀룰러 네트워크 액세스 디바이스는 획득된 키를 비셀룰러 네트워크 액세스 디바이스에 전송한다.
따라서, UE가 키 식별자를 전달하는 연관 요청을 비셀룰러 네트워크 액세스 디바이스에 전송할 때, 비셀룰러 네트워크 액세스 디바이스는 수신된 키 식별자가 비셀룰러 네트워크 액세스 디바이스에 의해 저장된 키 식별자와 동일한지 여부를 결정한다. 키 식별자가 동일하면, UE 및 비셀룰러 네트워크 액세스 디바이스는 키 식별자에 대응하는 키에 기초하여 4 방향 핸드셰이크 인증을 수행한다.
선택적으로, UE가 셀룰러 네트워크 액세스 디바이스에 의해 전송되고 비셀룰러 네트워크 액세스 디바이스와의 연관을 위해 UE에 의해 사용되는 키 식별자를 수신하는 것은,
UE에 의해, 셀룰러 네트워크 액세스 디바이스에 의해 전송된 키 식별자 리스트를 수신하는 것을 포함하며, 키 식별자 리스트는 연관을 위해 UE에 의해 선택될 각각의 비셀룰러 네트워크 액세스 디바이스의 식별자를 포함하며, 각각의 비셀룰러 네트워크 액세스 디바이스에 대응하는 키 식별자를 포함한다.
각각의 비셀룰러 네트워크 액세스 디바이스의 식별자는 비셀룰러 네트워크 액세스 디바이스 그룹에 있고 셀룰러 네트워크 액세스 디바이스에 의해 표시되는 비셀룰러 네트워크 액세스 디바이스의 식별자이다.
UE가 수신된 키 식별자에 대응하는 키에 기초하여 비셀룰러 네트워크 액세스 디바이스와 보안 인증을 수행하는 것은,
UE에 의해, 키 식별자 리스트가 타깃 비셀룰러 네트워크 액세스 디바이스의 식별자를 포함한다고 결정하는 것과,
타깃 비셀룰러 네트워크 액세스 디바이스의 것이고 키 식별자 리스트에 있는 식별자에 대응하는 키 식별자 및 키 식별자에 대응하는 키에 따라 타깃 비셀룰러 네트워크 액세스 디바이스와 보안 인증을 수행하는 것을 포함한다.
선택적으로, UE는 셀룰러 네트워크 액세스 디바이스에 의해 전송된 키 식별자를 수신하고, 키 식별자는 다수의 비셀룰러 네트워크 액세스 디바이스의 식별자에 대응한다. 각각의 비셀룰러 네트워크 액세스 디바이스의 식별자는 비셀룰러 네트워크 액세스 디바이스 그룹에 있고 셀룰러 네트워크 액세스 디바이스에 의해 표시되는 비셀룰러 네트워크 액세스 디바이스의 식별자이다.
UE는 다수의 비셀룰러 네트워크 액세스 디바이스의 식별자가 타깃 비셀룰러 네트워크 액세스 디바이스의 식별자를 포함한다고 결정한다.
UE는 타깃 비셀룰러 네트워크 액세스 디바이스의 식별자에 대응하는 키 식별자 및 키 식별자에 대응하는 키에 따라 타깃 비셀룰러 네트워크 액세스 디바이스와 보안 인증을 수행한다.
선택적으로, UE는 셀룰러 네트워크 액세스 디바이스에 의해 전송된 키 식별자를 수신하고, 키 식별자는 하나의 비셀룰러 네트워크 액세스 디바이스의 식별자에 대응한다. UE는 비셀룰러 네트워크 액세스 디바이스가 타깃 비셀룰러 네트워크 액세스 디바이스라고 결정한다.
UE는 타깃 비셀룰러 네트워크 액세스 디바이스의 식별자에 대응하는 키 식별자 및 키 식별자에 해당하는 키에 따라 타깃 비셀룰러 네트워크 액세스 디바이스 보안 인증을 수행한다.
본 발명의 이 실시예에 제공된 해결책에 따르면, UE는 셀룰러 네트워크 액세스 디바이스에 의해 전송된 키 식별자를 수신한다. 그 다음에, UE는 키 식별자에 대응하는 키를 결정한다. UE는 수신된 키 식별자와 결정된 키에 따라 비셀룰러 네트워크 액세스 디바이스와 보안 인증을 직접 수행하여, 인증 시간이 짧고 시그널링 오버헤드가 낮다.
본 발명의 실시예는 액세스 인증 방법을 더 제공한다. 도 3에 도시된 바와 같이, 방법은 다음 단계들을 포함한다.
단계 301: 비셀룰러 네트워크 액세스 디바이스는 셀룰러 네트워크 액세스 디바이스에 의해 전송된 키 식별자를 수신하고, 키 식별자는 비셀룰러 네트워크 액세스 디바이스에게 비셀룰러 네트워크 액세스 디바이스와 연관된 UE와 보안 인증을 수행하도록 지시하는 데 사용된다.
단계 302: 비셀룰러 네트워크 액세스 디바이스와의 연관을 위해 UE에 의해 개시되는 연관 요청을 수신하면, 비셀룰러 네트워크 액세스 디바이스는 키 식별자에 대응하는 키에 기초하여 UE와 보안 인증을 수행한다.
구체적으로, UE는 연관 요청에 키 식별자를 추가하고, 연관 요청을 비셀룰러 네트워크 액세스 디바이스에 전송한다. 그 다음, 비셀룰러 네트워크 액세스 디바이스가, UE에 의해 전송된 수신된 키 식별자가 비셀룰러 네트워크 액세스 디바이스에 의해 저장된 키 식별자와 동일하다고 결정하면, UE 및 비셀룰러 네트워크 액세스 디바이스는 키 식별자에 대응하는 키에 기초하여 4 방향 핸드셰이크 절차를 실행한다. 4 방향 핸드셰이크 인증이 성공한 후, 셀룰러 네트워크 액세스 디바이스는 비셀룰러 네트워크 액세스 디바이스를 사용하여 UE와 멀티스트림 통합 데이터 전송을 수행할 수 있다.
본 발명의 이 실시예에 제공되는 해결책에 따르면, 비셀룰러 네트워크 액세스 디바이스는 셀룰러 네트워크 액세스 디바이스에 의해 전송된 키 식별자를 수신하고, 키 식별자는 인증 유닛에게 비셀룰러 네트워크 액세스 디바이스와 연관된 사용자 장비(UE)와 보안 인증을 수행하도록 지시하는 데 사용되고, 키 식별자는 사용자 장비(UE)에게 키 식별자에 대응하는 키에 기초하여 비셀룰러 네트워크 액세스 디바이스와 보안 인증을 수행하도록 지시하는 데 사용된다. UE 및 비셀룰러 네트워크 액세스 디바이스는 모두 키 식별자를 획득한다. 따라서, UE와 비셀룰러 네트워크 액세스 디바이스는 키 식별자에 대응하는 키를 사용하여 보안 인증을 직접 수행하므로, 인증 시간이 짧고 시그널링 오버헤드가 낮다.
이하, 일례를 참조하여 본 발명의 실시예를 구체적으로 설명한다. 다음 예에서, 셀룰러 네트워크가 LTE 네트워크이고, 셀룰러 네트워크 액세스 디바이스가 eNB이며, 비셀룰러 네트워크가 WLAN이고, 비셀룰러 네트워크 액세스 디바이스가 AP이며, 논리적 기능적 엔티티가 WT인 예가 설명에 사용된다.
도 4a 및 도 4b를 참조하면, 도 4a 및 도 4b는 본 발명의 실시예에 따른 오프로딩 및 통합 네트워크 시스템의 개략적인 구조도이다. 이 실시예에서, AP는 LTE 데이터 송신을 지원하고 지지한다. 또한, 본 발명의 이 실시예에서 네트워크 시스템은 AP를 관리하는 데 사용되는 WT를 더 포함할 수 있다. 도 4a에 도시된 바와 같이, WT와 AP는 동일한 노드일 수 있다. 이와 달리, 도 4b에 도시된 바와 같이, WT와 AP는 다른 노드일 수 있다. UE, eNB 및 WT는 무선 방식으로 접속될 수 있으며, 예를 들어, 무선 인터페이스를 사용하여 통신할 수 있다. WT와 AP가 다른 노드인 경우, WT와 AP는 유선 방식으로 접속된다.
도 5를 참조하면, 도 5는 본 발명의 실시예에 따른 액세스 인증 방법의 개략도이다. 도 5에서 선택적인 단계들은 점선을 사용하여 표시된다.
단계 501: eNB는 UE에 대한 PMKID를 결정한다.
PMKID는 키 식별자이다. PMKID는 PMKID에 대응하는 PMK에 따라 보안 인증을 수행하기 위해 UE 및 AP에 의해 사용된다.
단계 502: eNB는 PMKID를 UE에 전송한다.
PMKID는 독립적으로 전송되거나, 전송을 위해 PMKSA 정보에 포함될 수 있다. 이와 달리, PMKID는 전송을 위해, eNB에 의해 UE로 전달된 LWA 커맨드 메시지에 포함될 수 있고, 또는 전송을 위해 다른 새로 정의된 메시지에 포함될 수 있다. 메시지는 무선 자원 제어(Radio Resource Control, 줄여서 RRC) 접속 재구성 메시지로 전달될 수 있고, UE에게 LWA를 수행하도록 지시하는 데 사용될 수 있다. RRC 접속 재구성이 완료된 후, RRC 접속 재구성 완료 메시지는 eNB로 전송된다.
PMKID 외에, LWA 요청 메시지는 WLAN AP의 식별자 또는 WLAN AP 그룹의 식별자를 더 포함할 수 있다. AP의 식별자는 BSSID/ESSID/SSID일 수 있다. AP 그룹의 식별자는 WLAN AP 식별자 리스트를 포함하고, AP의 식별자는 BSSID/ESSID/SSID일 수 있다.
PMKSA 정보는 전송을 위해 LWA 커맨드 메시지에 포함될 수 있고, 또는 전송을 위해 다른 새로 정의된 다른 메시지에 포함될 수 있다.
본 발명의 이 실시예에서, PMKID가 PMKSA 정보에 포함되고, PMKSA 정보가 전송을 위해 LWA 커맨드 메시지에 포함되는 예가 설명을 위해 사용된다.
PMKSA 정보는 PMKID를 포함하며, 다음을 더 포함할 수 있다.
(1) AP/AP 그룹의 MAC 어드레스.
(2) PMK. PMK는 WLAN 인증을 지원하기 위해 eNB에 의해 사용되는 키다. PMK는 eNB 및 UE에 의해 공유되는 키, 예를 들어, KeNB, KRRCint, KRRCenc, KUPenc, KUPint 등 중 하나의 키일 수 있고, 또는 전술한 키들 중 하나 이상에 따라 유도된 키일 수 있다. PMK는 선택사항이다.
PMKSA 정보가 PMK를 포함하지 않으면, eNB는 키를 유도하기 위한 유도 규칙을 UE에 미리 전송할 수 있고, 또는 eNB와 UE는 공유 키를 PMK로서 사용하는 것에 동의한다.
(3) PMKID의 유효 기간과 PMK의 유효 기간을 나타내는 데 사용되는 수명(lifetime). 수명은 선택사항이다.
(4) 인증 방식 표시 정보. 인증 방식 표시 정보는 UE에 의해 사용되는 인증 유형을 나타내는 데 사용된다. 인증 유형은 AKMP에 지정된 인증 유형, 예컨대, 802.1X EAP-AKA 캐싱 방식일 수 있다.
(5) UE의 WLAN MAC 어드레스.
PMKID는 UE의 아이덴티티에 기초하여 eNB에 의해 결정될 수 있다. UE의 아이덴티티는 UE의 WLAN MAC 어드레스일 수 있다. PMKID는 AP의 식별자 및 UE의 아이덴티티에 기초하여 결정될 수 있고, 또는 UE의 아이덴티티에만 기초하여 결정될 수 있으며, 또는 키 PMK, UE의 아이덴티티 및 AP의 식별자를 사용하여 결정될 수 있고, 또는 키 PMK 및 UE의 아이덴티티를 사용하여 결정될 수 있다. PMKID가 UE의 아이덴티티에 기초하여 결정될 때, eNB는 모든 UE의 PMKID가 서로 다름을 보장하기 위해 각각의 UE에 대한 카운터(counter)를 유지한다.
예를 들어, PMKID = HMAC-SHA1-128(PMK, "PMK_name"|MAC_AP|MAC_UE)이다.
PMK_name은 키의 이름을 나타내고, MAC_UE는 UE의 아이덴티티, 즉, UE의 WLAN MAC 어드레스를 나타낸다. MAC_AP는 AP의 식별자, 즉, AP의 MAC 어드레스를 나타낸다. HMAC는 키와 관련된 해시 기반 메시지 인증 코드(해시 기반 메시지 인증 코드)이다. SHA1은 보안 해시 알고리즘(Secure Hash Algorithm)이다.
선택적으로, 단계 501 이전에, 방법은 eNB에 의해 UE의 아이덴티티, 예를 들어, UE의 WLAN MAC 어드레스를 획득하는 단계를 더 포함할 수 있다. 구체적으로, eNB는 UE에게 아이덴티티를 보고하도록 능동적으로 요청할 수 있고, 또는 아이덴티티는 UE 성능 보고 메시지로 전달된다.
선택적으로, 단계 501 전에, 방법은 다음 단계들을 더 포함할 수 있다.
단계 501a: eNB는 측정 구성 요청 메시지를 UE에 전송한다.
측정 구성 요청 메시지는 UE가 위치하는 WLAN의 신호 품질을 측정하도록 UE에게 요청하는 데 사용된다. UE는 WLAN의 신호 품질을 측정하고 측정 결과를 획득한다.
단계 501b: UE는 측정 결과를 eNB에 보고한다.
측정 결과는 WLAN 내의 AP의 식별자 및 AP의 식별자에 대응하는 신호 품질 값을 포함한다.
따라서, eNB는 측정 결과에 따라 LWA 데이터 송신을 수행하기 위한 WT를 결정한다. 구체적으로, 측정 결과에 따라, 가장 강한 신호를 제공하는 AP가 UE와 연관될 AP로서 선택될 수 있다. 그런 다음, AP가 속한 WT가 결정되고, WT는 LWA 데이터 송신을 수행하기 위한 WT로서 사용된다.
단계 501에서, eNB는 UE에 대하여, WT 내의 모든 AP에 대해 동일한 키 식별자를 결정할 수 있고, 또는 UE에 대하여, WT 내의 각각의 AP 그룹 내의 모든 AP에 대해 동일한 키 식별자를 결정할 수 있으며, 또는 UE에 대하여, WT 내의 모든 AP 그룹 내의 모든 AP에 대해 상이한 키 식별자를 결정할 수 있다. 또한, 키 식별자들이 동일하면, 키들도 동일하다. 키 식별자들이 다른 경우, 키들도 다르다.
단계 503: eNB는 PMKID를 WT에 전송한다.
WT는 WT와 AP 사이의 사설 인터페이스를 사용하여 PMKID를 AP에 전송할 수 있다.
PMKID는 독립적으로 전송될 수 있고, 또는 GTP-U 터널 셋업 메시지에 포함되고 WT로 전송될 수 있다. GTP-U 터널 셋업 메시지를 사용하여 PMKID가 전송되면, 단계 503은 단계 502 이전에 구현될 필요가 있다. PMKID가 다른 방식으로 전송되면, 단계 503 및 단계 502를 구현하는 순서는 제한되지 않는다.
또한, PMKID에 대응하는 PMK는 WT로 더 전송될 수 있다. 키는 또한 GTP-U 터널 셋업 메시지에 포함되어 WT로 전송될 수 있다.
PMK는 WLAN 인증을 지원하기 위해 eNB에 의해 사용되는 키다. PMK는 eNB 및 UE에 의해 공유되는 키, 예를 들어, KeNB, KRRCint, KRRCenc, KUPenc, KUPint 등 중 하나의 키일 수 있고, 또는 전술한 키들 중 하나 이상에 따라 유도된 키일 수 있다.
선택적으로, 단계 503 전에, 방법은 다음 단계를 더 포함할 수 있다.
단계 503a: WT는 eNB로 키 요청 메시지를 전송하고, 키 요청 메시지는 키 및 PMKID를 획득하도록 요청하는 데 사용된다.
단계 503a와 단계 501과 단계 502의 각각 사이의 시간 순서는 제한되지 않는다. 도 5는 예로서만 사용되며, 시간 순서를 제한하기 위한 것은 아니다.
그 다음에, 단계 503에서, eNB는 키 요청 응답 메시지에 PMKID 및 키 유도 규칙 또는 PMKID 및 PMK를 추가하고 키 요청 응답 메시지를 WT로 전송할 수 있다.
분명히, eNB는 PMKID 및 키 유도 규칙 또는 PMKID 및 PMK를 WT에 능동적으로 전송할 수 있다.
단계 504: UE는 WLAN AP로 연관 요청 메시지를 전송하고, 연관 요청 메시지는 PMKID를 전달한다.
구체적으로, eNB가 UE에게 AP 그룹의 식별자 리스트를 표시하면, UE는 액세스를 위해 AP 그룹으로부터 AP를 자율적으로 선택한다. eNB가 UE에게 AP의 식별자를 표시하면, UE는 표시된 AP에 직접 액세스한다.
WLAN AP와의 연관 이전에, UE는 먼저 유효 타깃 AP의 PMK가 존재하는지 여부를 결정하는데, 즉, PMKSA 정보 내의 AP의 BSSID가 연관될 AP의 BSSID와 매칭되는지를 체크한다. BSSID들이 매칭되면, AP의 BSSID에 대응하는 PMK가 사용된다. PMKID는 연관 요청 메시지에 포함되고, WLAN AP는 연관 요청 메시지에 포함된 PMKID를 수신한 후, AP는 연관 요청 메시지에 포함된 PMKID와 동일한 PMKID가 PMKSA 정보에 존재하는지 여부를 체크한다. 이러한 PMKID가 존재하면, UE와 AP는 PMK를 사용하여 4 방향 핸드셰이크 인증을 수행한다.
선택적으로, 방법은 다음 단계를 더 포함할 수 있다.
단계 505: UE는 LWA가 성공인지 또는 실패인지를 나타내는 데 사용되는 메시지를 eNB에 전송한다.
eNB가 UE에 의해 전송된 LWA 성공 메시지를 수신하면, 방법은 다음 단계를 더 포함한다.
단계 506: eNB는 AP를 이용하여 UE와 LWA 데이터 송신을 수행한다.
본 발명의 이 실시예에 제공되는 해결책에 따르면, eNB는 키 식별자를 결정한다. 그런 다음, eNB는 결정된 키 식별자를 UE 및 AP에 직접 전송한다. UE와 AP 모두 키 식별자를 획득한다. 따라서, UE와 AP는 키 식별자에 대응하는 키를 이용하여 보안 인증을 직접 수행하므로, 인증 시간이 짧고 시그널링 오버헤드가 낮다.
도 6을 참조하면, 도 6은 본 발명의 실시예에 따른 다른 액세스 인증 방법의 개략도이다.
단계 601: eNB는 UE로 LWA 시작 커맨드 메시지를 전달한다.
예를 들어, LWA 시작 커맨드 메시지는 UE에게 AP에 액세스하도록 지시하는 데 사용되는 활성 AP 메시지일 수 있다. LWA 시작 커맨드 메시지는 WLAN AP의 BSSID를 포함할 수 있다. LWA 시작 커맨드 메시지는 UE의 보안 정책을 더 포함할 수 있다. 보안 정책은 LWA 유형이며, LWA 유형은 새로 추가된 인증 유형이다.
단계 601 전에, eNB는 UE에게 WLAN 신호 품질을 측정하고 보고하도록 지시할 수 있다. eNB는 UE에 의해 전송된 측정 보고 결과에 따라, LWA 데이터 송신을 수행하기 위해 적절한 WLAN을 추가하도록 결정한다. 일반적으로, eNB는 UE의 셀룰러 네트워크 로드 및/또는 가입 정보에 따라, UE에게 WLAN 신호 품질을 측정하고 보고하도록 지시할지 여부를 결정한다.
단계 602: UE는 비컨(beacon) 프레임을 청취하거나 프로브(Probe) 프레임을 전송함으로써 지정된 AP를 발견한다.
AP는 강력한 보안 네트워크(Robust Security Network, 줄여서 RSN) 정보 요소를 비컨 또는 프로브 확인응답(Acknowledgment, 줄여서 ACK) 프레임에 추가한다. RSN 정보 요소는 지정된 AP에 의해 지원되는 보안 정책을 나타내며, 보안 정책은 새로 추가된 인증 유형인 LWA 유형이다.
RSN 정보 요소는 자동 키 관리(Automatic Key Management, 줄여서 AKM) 정보 요소를 포함하고, AKM 정보 요소는 인증 유형을 나타내는 데 사용된다.
단계 602 이전에, eNB는 eNB와 WLAN 사이의 Xw 인터페이스를 사용함으로써 AP에 표시 정보를 더 전송할 수 있으며, 표시 정보는 MSA 유형이 유일한 인증 유형으로서 사용됨을 나타내는 데 사용된다.
단계 603: UE 및 AP는 인증 프로세스를 시작한다(인증 오픈).
단계 604: UE는 AP로의 연관 요청(Association request) 메시지를 개시한다.
연관 요청 메시지는 UE에 의해 예상되는 보안 정책을 포함한다. 예를 들어, 인증 유형은 LWA 유형이다. 이러한 방식으로, UE 및 AP는 보안 정책에 대한 협상을 완료한다.
단계 605: AP는 키 요청 메시지를 eNB에 전송한다.
키 요청 메시지를 수신한 후, eNB는 액세스 네트워크 측의 키 및 사전결정된 유도 규칙에 따라 새로운 키를 유도하고, 응답 메시지를 사용하여 유도된 키를 AP로 전송한다.
단계 606: AP는 연관 응답 메시지를 UE로 리턴한다.
UE와 AP는 연관을 완료한다.
단계 607: UE는 AP로부터 연관 응답 메시지를 수신한 후 사전결정된 유도 규칙에 따라 키를 유도한다.
그런 다음, UE 및 AP는 유도된 키에 따라 WLAN 4 방향 핸드셰이크 보안 인증을 완료한다.
단계 608: UE는 LWA 확인응답 메시지를 eNB로 전송한다.
단계 609: eNB와 UE는 AP를 이용하여 LWA 데이터 송신을 수행한다.
도 1에 도시된 방법 실시예의 개념과 동일한 본 발명의 개념에 기초하여, 도 1을 참조하면, 본 발명의 실시예는 액세스 인증 장치를 더 제공한다. 장치는 셀룰러 네트워크 액세스 디바이스에 배치되거나, 셀룰러 네트워크 액세스 디바이스일 수 있거나, 셀룰러 네트워크 액세스 디바이스와는 다르지만 셀룰러 네트워크 액세스 디바이스와 통신할 수 있는 독립 장치일 수 있다. 도 7에 도시된 바와 같이, 액세스 인증 장치는,
키 식별자를 결정하도록 구성된 결정 유닛(701)과,
결정 유닛(701)에 의해 결정된 키 식별자를 UE 및 비셀룰러 네트워크 액세스 디바이스로 개별적으로 전송하도록 구성된 전송 유닛(702)을 포함하고, 키 식별자는 키 식별자에 대응하는 키에 기초하여 UE에게 비셀룰러 네트워크 액세스 디바이스와 보안 인증을 수행하도록 지시하는 데 사용된다.
선택적으로, 결정 유닛(701)은 아래와 같은 방식으로 키 식별자를 결정할 수 있다:
비셀룰러 네트워크 액세스 디바이스를 관리하는 논리적 기능 엔티티 - 이 논리적 기능 엔티티는 비셀룰러 네트워크 액세스 디바이스를 포함하는 적어도 하나의 비셀룰러 네트워크 액세스 디바이스를 관리함 - 를 결정하고, 논리적 기능 엔티티에 의해 관리되는 각각의 비셀룰러 네트워크 액세스 디바이스에 대해, 각각의 비셀룰러 네트워크 액세스 디바이스의 식별자에 대응하는 키 식별자를 결정한다.
전송 유닛(702)은 구체적으로, 결정 유닛(701)에 의해 결정된 키 식별자를 다음과 같은 방식으로 UE 및 비셀룰러 네트워크 액세스 디바이스로 개별적으로 전송할 수 있다. 이 방식은 결정 유닛(701)에 의해 결정되며 각각의 비셀룰러 네트워크 액세스 디바이스에 대응하는 키 식별자를, 각각의 비셀룰러 네트워크 액세스 디바이스의 식별자에 대응하는 비셀룰러 네트워크 액세스 디바이스에 전송하고, 키 식별자 리스트를 UE에 전송하는 단계를 포함하되, 키 식별자 리스트는 논리적 기능 엔티티에 의해 관리되는 각각의 비셀룰러 네트워크 액세스 디바이스의 식별자 및 각각의 비셀룰러 네트워크 액세스 디바이스에 대응하는 키 식별자를 포함한다.
선택적으로, 결정 유닛(701)은 아래와 같은 방식으로 키 식별자를 결정할 수 있다:
비셀룰러 네트워크 액세스 디바이스를 관리하는 논리적 기능 엔티티 - 이 논리적 기능 엔티티는 비셀룰러 네트워크 액세스 디바이스를 포함하는 적어도 하나의 비셀룰러 네트워크 액세스 디바이스를 관리함 - 를 결정하고, 적어도 하나의 비셀룰러 네트워크 액세스 디바이스에 대해 키 식별자를 결정하되, 적어도 하나의 비셀룰러 네트워크 액세스 디바이스 내의 모든 비셀룰러 네트워크 액세스 디바이스의 식별자들에 대응하는 키 식별자들은 동일하고, 키 식별자는 비셀룰러 네트워크 액세스 디바이스의 식별자에 대응하는 비셀룰러 네트워크 액세스 디바이스와 UE 사이의 보안 인증을 수행하는 데 사용된다.
전송 유닛(702)은 결정 유닛(701)에 의해 결정된 키 식별자를 각각의 비셀룰러 네트워크 액세스 디바이스의 식별자에 대응하는 비셀룰러 네트워크 액세스 디바이스 및 UE에 개별적으로 전송한다.
선택적으로, 결정 유닛(701)은 키를 결정하도록 더 구성되고, 키는 UE와 비셀룰러 네트워크 액세스 디바이스 사이의 보안 인증을 수행하는 데 사용된다.
전송 유닛(702)은 결정 유닛(701)에 의해 결정된 키 및 키 식별자를, 키를 키 식별자와 연관시킨 후, UE와 비셀룰러 네트워크 액세스 디바이스에 전송한다.
선택적으로, 결정 유닛(701)은 사전결정된 유도 규칙에 기초하여 키를 결정하되, 이 키는 UE와 비셀룰러 네트워크 액세스 디바이스 간의 보안 인증을 수행하는 데 사용되고, 사전결정된 유도 규칙은 비셀룰러 네트워크 액세스 디바이스와 UE의 연관을 위한 키를 결정하기 위해 UE에 의해 사용되는 유도 규칙과 동일하다.
전송 유닛(702)은 구체적으로, 결정 유닛(701)에 의해 결정된 키 및 키 식별자를, 키를 키 식별자와 연관시킨 후, 비셀룰러 네트워크 액세스 디바이스에 전송하고, 키 식별자를 UE에 전송하도록 구성된다.
선택적으로, 전송 유닛(702)은 수명 및 인증 방식 표시 정보 중 적어도 하나를 UE 및/또는 비셀룰러 네트워크 액세스 디바이스에 전송하도록 더 구성된다.
수명은 키 및 키 식별자의 유효 기간을 나타내는 데 사용되며, 인증 방식 표시 정보는 UE에 의해 사용되는 인증 유형을 나타내는 데 사용된다. 인증 유형은 AKMP에 지정된 인증 유형, 예컨대, 802.1X EAP-AKA 캐싱 방식일 수 있다.
도 1에 도시된 실시예에서 제공된 액세스 인증 장치 및 액세스 인증 방법은 동일한 발명 개념에 기반을 두고 있다는 것을 알아야 한다. 방법과 장치의 문제 해결 원리는 유사하다. 따라서, 장치 구현예와 방법 구현예에 대해 상호 참조가 이루어질 수 있으며, 반복되는 설명은 제공되지 않는다.
본 발명의 이 실시예에 제공된 해결책에 따르면, 셀룰러 네트워크 액세스 디바이스는 키 식별자를 결정하고, 그런 다음 이 셀룰러 네트워크 액세스 디바이스는 결정된 키 식별자를 직접 UE 및 비셀룰러 네트워크 액세스 디바이스에 전송한다. UE와 비셀룰러 네트워크 액세스 디바이스 모두는 키 식별자를 획득한다. 따라서, UE와 비셀룰러 네트워크 액세스 디바이스는 키 식별자에 대응하는 키를 사용하여 보안 인증을 직접 수행하므로, 인증 시간이 짧고 시그널링 오버헤드가 낮다.
도 2에 도시된 방법 실시예의 발명 개념과 동일한 발명 개념에 기초하여, 본 발명의 실시예는 액세스 인증 장치를 더 제공한다. 이 장치는 사용자 장비에 배치될 수 있거나, 사용자 장비일 수 있다. 도 8에 도시되어 있는 바와 같이, 이 장치는 수신 유닛(801), 결정 유닛(802) 및 인증 유닛(803)을 포함한다.
수신 유닛(801)은 셀룰러 네트워크 액세스 디바이스에 의해 전송된 키 식별자를 수신하도록 구성되고, 이 키 식별자는 인증 유닛에게 키 식별자에 대응하는 키에 기초하여 비셀룰러 네트워크 액세스 디바이스와 보안 인증을 수행할 것을 지시하는 데 사용된다.
결정 유닛(802)은 수신 유닛(801)에 의해 수신된 키 식별자에 대응하는 키를 결정하도록 구성된다.
인증 유닛(803)은 수신 유닛(801)에 의해 수신된 키 식별자 및 결정 유닛(802)에 의해 결정된 키에 따라 비셀룰러 네트워크 액세스 디바이스와 보안 인증을 수행하도록 구성된다.
선택적으로, 결정 유닛(802)은 구체적으로, 수신 유닛(801)이 키 식별자에 대응하며 셀룰러 네트워크 액세스 디바이스에 의해 전송된 키를 수신하는 경우, 키 식별자에 대응하는 키를 결정하거나, 또는 셀룰러 네트워크 액세스 디바이스와의 협상을 통해 키 식별자에 대응하는 키를 결정하거나, 또는 사전결정된 유도 규칙에 따라, 키 식별자에 대응하는 키를 결정하도록 구성된다.
선택적으로, 수신 유닛(801)은 구체적으로, 셀룰러 네트워크 액세스 디바이스에 의해 전송된 키 식별자 리스트를 수신하도록 구성되고, 키 식별자 리스트는 연관을 위해 UE에 의해 선택될 각각의 비셀룰러 네트워크 액세스 디바이스의 식별자, 및 각각의 비셀룰러 네트워크 액세스 디바이스에 대응하는 키 식별자를 포함한다.
결정 유닛(802)은 타깃 비셀룰러 네트워크 액세스 디바이스를 결정하도록 더 구성된다.
인증 유닛(803)은 구체적으로, 결정된 키 및 타깃 비셀룰러 네트워크 액세스 디바이스의 식별자에 대응하며 키 식별자 리스트 내에 있는 키 식별자에 따라 타깃 비셀룰러 네트워크 액세스 디바이스와 보안 인증을 수행하도록 구성되고, 타깃 비셀룰러 네트워크 액세스 디바이스는 결정 유닛 또는 셀룰러 네트워크 액세스 디바이스에 의해 결정된다.
도 2에 도시된 실시예에서 제공된 액세스 인증 장치 및 액세스 인증 방법은 동일한 발명 개념에 기초한다는 것을 알아야 한다. 방법과 장치의 문제 해결 원리는 유사하다. 따라서, 장치 구현예와 방법 구현예에 대해 상호 참조가 이루어질 수 있으며, 반복되는 설명은 제공되지 않는다.
본 발명의 이 실시예에 제공된 해결책에 따르면, UE는 셀룰러 네트워크 액세스 디바이스에 의해 전송된 키 식별자를 수신한다. 그런 다음, UE는 키 식별자에 대응하는 키를 결정한다. UE는 수신된 키 식별자와 결정된 키에 따라 비셀룰러 네트워크 액세스 디바이스와 보안 인증을 직접 수행하므로, 인증 시간이 짧고 시그널링 오버헤드가 낮다.
도 3에 도시된 방법 실시예의 발명 개념과 동일한 발명 개념에 기초하여, 본 발명의 실시예는 액세스 인증 장치를 더 제공한다. 이 장치는 비셀룰러 네트워크 액세스 디바이스에 배치될 수 있거나, 비셀룰러 네트워크 액세스 디바이스이거나, 또는 비셀룰러 네트워크 액세스 디바이스와 통신할 수 있는 독립적인 디바이스일 수 있다. 도 9에 도시되어 있는 바와 같이, 이 장치는 수신 유닛(901) 및 인증 유닛(902)을 포함한다.
수신 유닛(901)은 셀룰러 네트워크 액세스 디바이스에 의해 전송된 키 식별자를 수신하도록 구성되고, 이 키 식별자는 인증 유닛에게 액세스 인증 장치와 연관된 사용자 장비(UE)와 보안 인증을 수행할 것을 지시하는데 사용된다.
인증 유닛(902)은, 수신 유닛(902)이 인증 유닛이 소속된 비셀룰러 네트워크 액세스 디바이스와의 연관을 위해 UE에 의해 개시된 연관 요청을 수신하는 경우, 키 식별자에 대응하는 키에 기초하여 UE와 보안 인증을 수행하도록 구성된다.
도 3에 도시된 실시예에서 제공된 액세스 인증 장치 및 액세스 인증 방법은 동일한 발명 개념에 기초한다는 것을 알아야 한다. 방법과 장치의 문제 해결 원리는 유사하다. 따라서, 장치 구현예와 방법 구현예에 대해 상호 참조가 이루어질 수 있으며, 반복되는 설명은 제공되지 않는다.
본 발명의 이 실시예에 제공된 해결책에 따르면, 수신 유닛은 셀룰러 네트워크 액세스 디바이스에 의해 전송된 키 식별자를 수신하고, 이 키 식별자는 인증 유닛에게 액세스 인증 장치와 연관된 UE와 보안 인증을 수행할 것을 지시하는 데 사용되고, 키 식별자는 UE에게 키 식별자에 대응하는 키에 기초하여, 인증 유닛이 소속된 액세스 인증 장치와 보안 인증을 수행할 것을 지시하는 데 사용된다. UE와 액세스 인증 장치는 모두 키 식별자를 획득한다. 따라서, UE와 액세스 인증 장치는 키 식별자에 대응하는 키를 사용하여 보안 인증을 직접 수행하므로, 인증 시간이 짧고 시그널링 오버헤드가 낮다.
도 1에 도시된 방법 실시예의 발명 개념과 동일한 발명 개념에 기초하여, 본 발명의 실시예는 셀룰러 네트워크 액세스 디바이스를 더 제공한다. 도 10에 도시되어 있는 바와 같이, 이 디바이스는 트랜시버(1001), 프로세서(1002), 및 메모리(1003)를 포함한다. 트랜시버(1001), 프로세서(1002) 및 메모리(1003)는 서로 연결된다. 전술한 컴포넌트들 간의 특정 연결 매체는 본 발명의 이 실시예에서 제한을 받지 않는다. 본 발명의 이 실시예에서, 도 10에서, 메모리(1003), 프로세서(1002), 및 트랜시버(1001)는 버스(1004)를 사용하여 서로 연결된다. 버스는 도 10에서 두꺼운 선을 사용하여 표현된다. 다른 컴포넌트들 간의 연결 방식은 단지 예시일 뿐이고, 제한을 받지 않는다. 버스는 어드레스 버스, 데이터 버스, 제어 버스 등으로 분류될 수 있다. 용이한 표현을 위해, 도 10에서는 하나의 두꺼운 선만이 표현을 위해 사용되었지만, 하나의 버스만이 존재한다거나 하나의 유형의 버스만이 존재한다는 것을 나타내지는 않는다.
본 발명의 이 실시예에서 메모리(1003)는 프로세서(1002)에 의해 실행되는 프로그램 코드를 저장하도록 구성되고, 랜덤 액세스 메모리(random-access memory, 줄여서 RAM)와 같은 휘발성 메모리(volatile memory)일 수 있다. 이와 달리, 메모리(1003)는 판독 전용 메모리(read-only memory, 줄여서 ROM), 플래시 메모리(flash memory), 하드 디스크 드라이브(hard disk drive, 줄여서 HDD), 또는 고체 상태 메모리(solid-state drive, 줄여서 SSD)와 같은 비휘발성 메모리(non-volatile memory)일 수 있다. 이와 달리, 메모리(1003)는 커맨드 또는 데이터 구조 형식의 예상 프로그램 코드를 반송 또는 저장하는데 사용될 수 있고 컴퓨터에 의해 액세스될 수 있는 임의의 다른 매체이다. 그러나, 이에 국한되는 것은 아니다. 메모리(1003)는 전술한 메모리들의 조합일 수 있다.
본 발명의 이 실시예에서 프로세서(1002)는 중앙 처리 장치(central processing unit, 줄여서 CPU)일 수 있다.
프로세서(1002)는 키 식별자를 결정한다. 그런 다음, 트랜시버(1001)는 프로세서(1002)에 의해 결정된 키 식별자를 UE와 비셀룰러 네트워크 액세스 디바이스에 개별적으로 전송하도록 구성된다. 키 식별자는 UE에게 키 식별자에 대응하는 키에 기초하여 비셀룰러 네트워크 액세스 디바이스와 보안 인증을 수행할 것을 지시하는데 사용된다.
선택적으로, 프로세서(1002)는 아래와 같은 방식으로 키 식별자를 결정할 수 있다:
비셀룰러 네트워크 액세스 디바이스를 관리하는 논리적 기능 엔티티 - 이 논리적 기능 엔티티는 비셀룰러 네트워크 액세스 디바이스를 포함하는 적어도 하나의 비셀룰러 네트워크 액세스 디바이스를 관리함 - 를 결정하고, 논리적 기능 엔티티에 의해 관리되는 각각의 비셀룰러 네트워크 액세스 디바이스에 대해, 각각의 비셀룰러 네트워크 액세스 디바이스의 식별자에 대응하는 키 식별자를 결정한다.
트랜시버(1001)는 구체적으로, 프로세서(1002)에 의해 결정된 키 식별자를 다음과 같은 방식으로 UE 및 비셀룰러 네트워크 액세스 디바이스로 개별적으로 전송할 수 있다. 이 방식은 프로세서(1002)에 의해 결정되며 각각의 비셀룰러 네트워크 액세스 디바이스에 대응하는 키 식별자를, 각각의 비셀룰러 네트워크 액세스 디바이스의 식별자에 대응하는 비셀룰러 네트워크 액세스 디바이스에 전송하고, 키 식별자 리스트를 UE에 전송하는 단계를 포함하되, 키 식별자 리스트는 논리적 기능 엔티티에 의해 관리되는 각각의 비셀룰러 네트워크 액세스 디바이스의 식별자 및 각각의 비셀룰러 네트워크 액세스 디바이스에 대응하는 키 식별자를 포함한다.
선택적으로, 프로세서(1002)는 아래와 같은 방식으로 키 식별자를 결정할 수 있다:
비셀룰러 네트워크 액세스 디바이스를 관리하는 논리적 기능 엔티티 - 이 논리적 기능 엔티티는 비셀룰러 네트워크 액세스 디바이스를 포함하는 적어도 하나의 비셀룰러 네트워크 액세스 디바이스를 관리함 - 를 결정하고, 적어도 하나의 비셀룰러 네트워크 액세스 디바이스에 대해 키 식별자를 결정하되, 적어도 하나의 비셀룰러 네트워크 액세스 디바이스 내의 모든 비셀룰러 네트워크 액세스 디바이스의 식별자들에 대응하는 키 식별자들은 동일하고, 키 식별자는 비셀룰러 네트워크 액세스 디바이스의 식별자에 대응하는 비셀룰러 네트워크 액세스 디바이스와 UE 사이의 보안 인증을 수행하는 데 사용된다.
트랜시버(1001)는 프로세서(1002)에 의해 결정된 키 식별자를 각각의 비셀룰러 네트워크 액세스 디바이스의 식별자에 대응하는 비셀룰러 네트워크 액세스 디바이스 및 UE에 개별적으로 전송한다.
선택적으로, 프로세서(1002)는 키를 결정하도록 더 구성되고, 키는 UE와 비셀룰러 네트워크 액세스 디바이스 사이의 보안 인증을 수행하는 데 사용된다.
트랜시버(1001)는 프로세서(1002)에 의해 결정된 키 및 키 식별자를, 키를 키 식별자와 연관시킨 후, UE와 비셀룰러 네트워크 액세스 디바이스에 전송한다.
선택적으로, 프로세서(1002)는 사전결정된 유도 규칙에 기초하여 키를 결정하되, 이 키는 UE와 비셀룰러 네트워크 액세스 디바이스 사이의 보안 인증을 수행하는 데 사용되고, 사전결정된 유도 규칙은 비셀룰러 네트워크 액세스 디바이스와의 UE의 연관을 위한 키를 결정하기 위해 UE에 의해 사용되는 유도 규칙과 동일하다.
트랜시버(1001)는 구체적으로, 프로세서(1002)에 의해 결정된 키 및 키 식별자를, 키를 키 식별자와 연관시킨 후, 비셀룰러 네트워크 액세스 디바이스에 전송하고, 키 식별자를 UE에 전송하도록 구성된다.
선택적으로, 트랜시버(1002)는 수명 및 인증 방식 표시 정보 중 적어도 하나를 UE 및/또는 비셀룰러 네트워크 액세스 디바이스에 전송하도록 더 구성된다.
수명은 키 및 키 식별자의 유효 기간을 나타내는 데 사용되며, 인증 방식 표시 정보는 UE에 의해 사용되는 인증 유형을 나타내는 데 사용된다. 인증 유형은 인증 및 키 관리 프로토콜(AKMP)에 지정된 인증 유형, 예컨대, 802.1X EAP-AKA 캐싱 방식일 수 있다.
셀룰러 네트워크 액세스 디바이스, 도 1에 도시된 실시예에서 제공된 액세스 인증 방법, 및 도 7에 도시된 실시예에서 제공된 액세스 인증 장치는 동일한 발명 개념에 기반을 두고 있다는 것을 알아야 한다. 방법, 장치 및 디바이스의 문제 해결 원리는 유사하다. 따라서, 디바이스 구현예, 장치 구현예, 및 방법 구현예에 대해 상호 참조가 이루어질 수 있으며, 반복되는 설명은 제공되지 않는다.
도 2에 도시된 방법 실시예의 발명 개념과 동일한 발명 개념에 기초하여, 본 발명의 실시예는 사용자 장비를 더 제공한다. 도 11에 도시되어 있는 바와 같이, 사용자 장비는 트랜시버(1101), 프로세서(1102), 및 메모리(1103)를 포함한다. 트랜시버(1101), 프로세서(1102) 및 메모리(1103)는 서로 연결된다. 전술한 컴포넌트들 간의 특정 연결 매체는 본 발명의 이 실시예에서 제한을 받지 않는다. 본 발명의 이 실시예에서, 도 11에서, 메모리(1103), 프로세서(1102), 및 트랜시버(1101)는 버스(1104)를 사용하여 서로 연결된다. 버스는 도 11에서 두꺼운 선을 사용하여 표현된다. 다른 컴포넌트들 간의 연결 방식은 단지 예시일 뿐이고, 제한을 받지 않는다. 버스는 어드레스 버스, 데이터 버스, 제어 버스 등으로 분류될 수 있다. 용이한 표현을 위해, 도 11에서는 하나의 두꺼운 선만이 표현을 위해 사용되었지만, 하나의 버스만이 존재한다거나 하나의 유형의 버스만이 존재한다는 것을 나타내지는 않는다.
본 발명의 이 실시예에서 메모리(1103)는 프로세서(1102)에 의해 실행되는 프로그램 코드를 저장하도록 구성되고, 랜덤 액세스 메모리와 같은 휘발성 메모리일 수 있다. 이와 달리, 메모리(1103)는 판독 전용 메모리, 플래시 메모리, 하드 디스크 드라이브, 또는 고체 상태 메모리와 같은 비휘발성 메모리일 수 있다. 이와 달리, 메모리(1103)는 커맨드 또는 데이터 구조 형식의 예상 프로그램 코드를 반송 또는 저장하는데 사용될 수 있고 컴퓨터에 의해 액세스될 수 있는 임의의 다른 매체이다. 그러나, 이에 국한되는 것은 아니다. 메모리(1103)는 전술한 메모리들의 조합일 수 있다.
본 발명의 이 실시예에서 프로세서(1102)는 CPU일 수 있다.
트랜시버(1101)는 셀룰러 네트워크 액세스 디바이스에 의해 전송된 키 식별자를 수신하도록 구성되고, 이 키 식별자는 인증 유닛에게 키 식별자에 대응하는 키에 기초하여 비셀룰러 네트워크 액세스 디바이스와 보안 인증을 수행할 것을 지시하는 데 사용된다.
프로세서(1102)는 트랜시버(1101)에 의해 수신된 키 식별자에 대응하는 키를 결정하고, 트랜시버(1101)에 의해 수신된 키 식별자 및 프로세서(1102)에 의해 결정된 키에 따라 비셀룰러 네트워크 액세스 디바이스와 보안 인증을 수행하도록 구성된다.
선택적으로, 프로세서(1102)는 구체적으로, 트랜시버(1101)가 키 식별자에 대응하며 셀룰러 네트워크 액세스 디바이스에 의해 전송된 키를 수신하는 경우, 키 식별자에 대응하는 키를 결정하거나, 또는 셀룰러 네트워크 액세스 디바이스와의 협상을 통해 키 식별자에 대응하는 키를 결정하거나, 또는 사전결정된 유도 규칙에 따라, 키 식별자에 대응하는 키를 결정하도록 구성된다.
선택적으로, 트랜시버(1101)는 구체적으로, 셀룰러 네트워크 액세스 디바이스에 의해 전송된 키 식별자 리스트를 수신하도록 구성되고, 키 식별자 리스트는 연관을 위해 UE에 의해 선택될 각각의 비셀룰러 네트워크 액세스 디바이스의 식별자, 및 각각의 비셀룰러 네트워크 액세스 디바이스에 대응하는 키 식별자를 포함한다.
프로세서(1102)는 타깃 비셀룰러 네트워크 액세스 디바이스를 결정하고, 결정된 키 및 타깃 비셀룰러 네트워크 액세스 디바이스의 식별자에 대응하며 키 식별자 리스트 내에 있는 키 식별자에 따라 타깃 비셀룰러 네트워크 액세스 디바이스와 보안 인증을 수행하도록 구성되고, 타깃 비셀룰러 네트워크 액세스 디바이스는 결정 유닛 또는 셀룰러 네트워크 액세스 디바이스에 의해 결정된다.
사용자 장비, 도 2에 도시된 실시예에서 제공된 액세스 인증 방법, 및 도 8에 도시된 액세스 인증 장치는 동일한 발명 개념에 기초한다는 것을 알아야 한다. 방법, 장치, 및 사용자 장비의 문제 해결 원리는 유사하다. 따라서, 사용자 장비 구현예, 장치 구현예 및 방법 구현예에 대해 상호 참조가 이루어질 수 있으며, 반복되는 설명은 제공되지 않는다.
본 발명의 이 실시예에 제공된 해결책에 따르면, UE는 셀룰러 네트워크 액세스 디바이스에 의해 전송된 키 식별자를 수신한다. 그런 다음, UE는 키 식별자에 대응하는 키를 결정한다. UE는 수신된 키 식별자와 결정된 키에 따라 비셀룰러 네트워크 액세스 디바이스와 보안 인증을 직접 수행하므로, 인증 시간이 짧고 시그널링 오버헤드가 낮다.
도 3에 도시된 방법 실시예의 발명 개념과 동일한 발명 개념에 기초하여, 본 발명의 실시예는 비셀룰러 네트워크 액세스 디바이스를 더 제공한다. 도 12에 도시되어 있는 바와 같이, 이 디바이스는 트랜시버(1201), 프로세서(1202), 및 메모리(1203)를 포함한다. 트랜시버(1201), 프로세서(1202) 및 메모리(1203)는 서로 연결된다. 전술한 컴포넌트들 간의 특정 연결 매체는 본 발명의 이 실시예에서 제한을 받지 않는다. 본 발명의 이 실시예에서, 도 12에서, 메모리(1203), 프로세서(1202), 및 트랜시버(1201)는 버스(1204)를 사용하여 서로 연결된다. 버스는 도 12에서 두꺼운 선을 사용하여 표현된다. 다른 컴포넌트들 간의 연결 방식은 단지 예시일 뿐이고, 제한을 받지 않는다. 버스는 어드레스 버스, 데이터 버스, 제어 버스 등으로 분류될 수 있다. 용이한 표현을 위해, 도 12에서는 하나의 두꺼운 선만이 표현을 위해 사용되었지만, 하나의 버스만이 존재한다거나 하나의 유형의 버스만이 존재한다는 것을 나타내지는 않는다.
본 발명의 이 실시예에서 메모리(1203)는 프로세서(1202)에 의해 실행되는 프로그램 코드를 저장하도록 구성되고, RAM과 같은 휘발성 메모리일 수 있다. 이와 달리, 메모리(1203)는 ROM, 플래시 메모리, HDD, 또는 SSD와 같은 비휘발성 메모리일 수 있다. 이와 달리, 메모리(1203)는 커맨드 또는 데이터 구조 형식의 예상 프로그램 코드를 반송 또는 저장하는데 사용될 수 있고 컴퓨터에 의해 액세스될 수 있는 임의의 다른 매체이다. 그러나, 이에 국한되는 것은 아니다. 메모리(1203)는 전술한 메모리들의 조합일 수 있다.
본 발명의 이 실시예에서 프로세서(1202)는 CPU일 수 있다.
트랜시버(1201)는 셀룰러 네트워크 액세스 디바이스에 의해 전송된 키 식별자를 수신하도록 구성되고, 이 키 식별자는 인증 유닛에게 비셀룰러 네트워크 액세스 디바이스와 연관된 사용자 장비(UE)와 보안 인증을 수행할 것을 지시하는 데 사용된다.
프로세서(1202)는, 트랜시버(1201)가 인증 유닛이 소속된 비셀룰러 네트워크 액세스 디바이스와의 연관을 위해 UE에 의해 개시된 연관 요청을 수신하는 경우, 키 식별자에 대응하는 키에 기초하여 UE와 보안 인증을 수행하도록 구성된다.
비셀룰러 네트워크 액세스 디바이스, 도 3에 도시된 실시예에서 제공된 액세스 인증 방법, 및 도 9에 도시된 액세스 인증 장치는 동일한 발명 개념에 기초한다는 것을 알아야 한다. 방법, 장치 및 디바이스의 문제 해결 원리는 유사하다. 따라서, 디바이스 구현예, 장치 구현예 및 방법 구현예에 대해 상호 참조가 이루어질 수 있으며, 반복되는 설명은 제공되지 않는다.
본 발명의 이 실시예에 제공된 해결책에 따르면, 비셀룰러 네트워크 액세스 디바이스는 셀룰러 네트워크 액세스 디바이스에 의해 전송된 키 식별자를 수신하고, 이 키 식별자는 인증 유닛에게 비셀룰러 네트워크 액세스 디바이스와 연관된 사용자 장비(UE)와 보안 인증을 수행할 것을 지시하는 데 사용되고, 키 식별자는 사용자 장비(UE)에게 키 식별자에 대응하는 키에 기초하여 비셀룰러 네트워크 액세스 디바이스와 보안 인증을 수행할 것을 지시하는 데 사용된다. UE와 비셀룰러 네트워크 액세스 디바이스는 모두 키 식별자를 획득한다. 따라서, UE와 비셀룰러 네트워크 액세스 디바이스는 키 식별자에 대응하는 키를 사용하여 보안 인증을 직접 수행하므로, 인증 시간이 짧고 시그널링 오버헤드가 낮다.
도 13을 참조하면, 본 발명의 실시예는 액세스 인증 시스템을 제공한다. 이 시스템은 셀룰러 네트워크 액세스 디바이스(1301), UE(1302), 및 적어도 하나의 비셀룰러 네트워크 액세스 디바이스(1303)를 포함한다. 셀룰러 네트워크 액세스 디바이스(1301), UE(1302), 및 적어도 하나의 비셀룰러 네트워크 액세스 디바이스(1303)는 무선 방식으로 서로 연결될 수 있다. 도 13에 도시된 시스템이 두 개의 비셀룰러 네트워크 액세스 디바이스를 포함하는 예가 설명을 위해 사용된다. 도 13은 단지 예시일 뿐이고, 디바이스의 수량, 디바이스의 구조 등은 구체적으로 한정되지 않는다.
셀룰러 네트워크 액세스 디바이스(1301)는 키 식별자를 결정한다. 키 식별자는 UE에게 키 식별자에 대응하는 키에 기초하여, 적어도 하나의 비셀룰러 네트워크 액세스 디바이스 중의 하나의 비셀룰러 네트워크 액세스 디바이스(1303)와 보안 인증을 수행할 것을 지시하는 데 사용된다. 셀룰러 네트워크 액세스 디바이스(1301)는 키 식별자를 UE와 비셀룰러 네트워크 액세스 디바이스(1303)에 개별적으로 전송한다.
UE(1302)는 셀룰러 네트워크 액세스 디바이스(1301)에 의해 전송된 키 식별자를 수신하고, 키 식별자에 대응하는 키에 기초하여 비셀룰러 네트워크 액세스 디바이스(1303)와 보안 인증을 수행하도록 구성된다.
비셀룰러 네트워크 액세스 디바이스(1003)는 셀룰러 네트워크 액세스 디바이스(1301)에 의해 전송된 키 식별자를 수신하고, 키 식별자에 대응하는 키에 기초하여 UE(1302)와 보안 인증을 수행하도록 구성된다.
선택사항인 실시예에서, 도 13에 도시되어 있는 바와 같이, 시스템은 적어도 하나의 비셀룰러 네트워크 액세스 디바이스, 예를 들어 도 13에 도시되어 있는 2개의 비셀룰러 네트워크 액세스 디바이스를 관리하도록 구성된 논리적 기능 엔티티(1304)를 더 포함할 수 있다.
셀룰러 네트워크 액세스 디바이스(1301)는 구체적으로, 비셀룰러 네트워크 액세스 디바이스(1303)를 관리하는 논리적 기능 엔티티(1304)를 결정하고, 논리적 기능 엔티티(1304)에 의해 관리되는 각각의 비셀룰러 네트워크 액세스 디바이스(1303)에 대해, 각각의 비셀룰러 네트워크 액세스 디바이스(1303)의 식별자에 대응하는 키 식별자를 결정하고, 각각의 비셀룰러 네트워크 액세스 디바이스(1303)에 대응하는 결정된 키 식별자를, 각각의 비셀룰러 네트워크 액세스 디바이스(1303)의 식별자에 대응하는 비셀룰러 네트워크 액세스 디바이스(1303)에 전송하며, 키 식별자 리스트를 UE에 전송하도록 구성되고, 키 식별자 리스트는 논리적 기능 엔티티(1304)에 의해 관리되는 각각의 비셀룰러 네트워크 액세스 디바이스(1303)의 식별자 및 각각의 비셀룰러 네트워크 액세스 디바이스(1303)에 대응하는 키 식별자를 포함한다.
UE(1302)는 구체적으로, 셀룰러 네트워크 액세스 디바이스(1301)에 의해 전송된 키 식별자를 수신하는 경우, 셀룰러 네트워크 액세스 디바이스(1301)에 의해 전송된 키 식별자를 수신하고, 키 식별자에 대응하는 키에 기초하여 비셀룰러 네트워크 액세스 디바이스(1303)와 보안 인증을 수행하는 경우, 결정된 키 및 타깃 비셀룰러 네트워크 액세스 디바이스의 식별자에 대응하며 키 식별자 리스트 내에 있는 키 식별자에 따라 타깃 비셀룰러 네트워크 액세스 디바이스와 보안 인증을 수행하도록 구성되고, 타깃 비셀룰러 네트워크 액세스 디바이스는 UE(1302) 또는 셀룰러 네트워크 액세스 디바이스(1301)에 의해 결정된다.
또 다른 선택사항인 실시예에서, 도 13에 도시되어 있는 바와 같이, 시스템은 적어도 하나의 비셀룰러 네트워크 액세스 디바이스를 관리하도록 구성된 논리적 기능 엔티티(1304)를 더 포함할 수 있다.
셀룰러 네트워크 액세스 디바이스(1301)는 구체적으로, 비셀룰러 네트워크 액세스 디바이스를 관리하는 논리적 기능 엔티티(1304)를 결정하고, 적어도 하나의 비셀룰러 네트워크 액세스 디바이스(1303)에 대해 키 식별자를 결정하고 - 적어도 하나의 비셀룰러 네트워크 액세스 디바이스(1303) 내의 모든 비셀룰러 네트워크 액세스 디바이스(1303)의 식별자들에 대응하는 키 식별자들은 동일하고, 키 식별자는 UE(1302)와 비셀룰러 네트워크 액세스 디바이스(1303)의 식별자에 대응하는 비셀룰러 네트워크 액세스 디바이스(1303) 간의 보안 인증을 수행하는 데 사용됨 - , 결정된 키 식별자를 각각의 비셀룰러 네트워크 액세스 디바이스(1303)의 식별자에 대응하는 비셀룰러 네트워크 액세스 디바이스(1303) 및 UE(1302)에 개별적으로 전송하도록 구성된다.
UE(1302)는 구체적으로, 키 식별자에 대응하는 키에 기초하여 비셀룰러 네트워크 액세스 디바이스(1303)와 보안 인증을 수행하는 경우, 결정된 키 및 타깃 비셀룰러 네트워크 액세스 디바이스의 식별자에 대응하는 키 식별자에 따라 타깃 비셀룰러 네트워크 액세스 디바이스와 보안 인증을 수행하도록 구성되고, 타깃 비셀룰러 네트워크 액세스 디바이스는 UE(1302) 또는 셀룰러 네트워크 액세스 디바이스(1301)에 의해 결정된다.
선택적으로, 셀룰러 네트워크 액세스 디바이스(1301)는 키를 결정 - 이 키는 UE(1302)와 비셀룰러 네트워크 액세스 디바이스(1303) 간의 보안 인증을 수행하는데 사용됨 - 하고, 결정된 키를 UE(1302) 및 비셀룰러 네트워크 액세스 디바이스(1303)에 전송하는 경우, 키를 키 식별자와 연관시킨 후 키 및 키 식별자를 UE(1302) 및 비셀룰러 네트워크 액세스 디바이스(1303)에 전송하도록 더 구성된다.
UE(1302)는 구체적으로, 비셀룰러 네트워크 액세스 디바이스(1303)에 의해 전송된 키 식별자 및 키 식별자에 대응하는 키를 수신하고, 수신된 키 식별자 및 키에 따라 비셀룰러 네트워크 액세스 디바이스(1303)와 보안 인증을 수행하도록 구성된다.
선택적으로, 셀룰러 네트워크 액세스 디바이스(1301)는 사전결정된 유도 규칙에 기초하여 키를 결정 - 이 키는 UE(1302)와 비셀룰러 네트워크 액세스 디바이스(1303) 간의 보안 인증을 수행하는 데 사용됨 - 하고, 결정된 키 식별자를 UE(1302) 및 비셀룰러 네트워크 액세스 디바이스(1303)에 전송하는 경우, 키를 키 식별자와 연관시킨 후 키 및 키 식별자를 비셀룰러 네트워크 액세스 디바이스(1303)에 전송하며, 키 식별자를 UE(1302)에 전송하도록 더 구성된다.
비셀룰러 네트워크 액세스 디바이스(1303)에 의해 전송된 키 식별자를 수신하는 경우, UE(1302)는 사전결정된 유도 규칙에 기초하여 키를 결정하고, 키 식별자 및 결정된 키에 기초하여 비셀룰러 네트워크 액세스 디바이스(1303)와 보안 인증을 수행한다.
셀룰러 네트워크 액세스 디바이스(1301)는 수명 및 인증 방식 표시 정보 중 적어도 하나를 UE(1302) 및/또는 비셀룰러 네트워크 액세스 디바이스(1303)에 전송하도록 더 구성된다.
수명은 키 및 키 식별자의 유효 기간을 나타내는 데 사용되며, 인증 방식 표시 정보는 UE(1302)에 의해 사용되는 인증 유형을 나타내는 데 사용된다. 인증 유형은 인증 및 키 관리 프로토콜에 지정된 인증 유형, 예컨대, 802.1X EAP-AKA 캐싱 방식일 수 있다.
비셀룰러 네트워크 액세스 디바이스는 셀룰러 네트워크 액세스 디바이스에 의해 전송된 키 식별자를 수신하고, 이 키 식별자는 인증 유닛에게 비셀룰러 네트워크 액세스 디바이스와 연관된 사용자 장비(UE)와 보안 인증을 수행할 것을 지시하는데 사용되고, 키 식별자는 사용자 장비(UE)에게 키 식별자에 대응하는 키에 기초하여 비셀룰러 네트워크 액세스 디바이스와 보안 인증을 수행할 것을 지시하는 데 사용된다. UE와 비셀룰러 네트워크 액세스 디바이스는 모두 키 식별자를 획득한다. 따라서, UE와 비셀룰러 네트워크 액세스 디바이스는 키 식별자에 대응하는 키를 사용하여 보안 인증을 직접 수행하므로, 인증 시간이 짧고 시그널링 오버헤드가 낮다.
본 발명의 이 실시예에 제공된 액세스 인증 시스템에 포함된 셀룰러 네트워크 액세스 디바이스(1301)는 도 7 또는 도 10에 대응하는 실시예에 제공된 셀룰러 네트워크 액세스 디바이스일 수 있다. UE(1302)는 도 8 또는 도 11에 대응하는 실시예에서 제공된 UE일 수 있다. 비셀룰러 네트워크 액세스 디바이스(1303)는 도 9 또는 도 12에 대응하는 실시예에서 제공된 비셀룰러 네트워크 액세스 디바이스일 수 있다. 따라서, 액세스 인증 시스템 내의 셀룰러 네트워크 액세스 디바이스(1301)에 대응하는 기능에 대해서는, 도 7 또는 도 10에 대응하는 실시예를 참조한다. 액세스 인증 시스템 내의 UE(1302)에 대응하는 기능에 대해서는, 도 8 또는 도 11에 대응하는 실시예를 참조한다. 액세스 인증 시스템 내의 비셀룰러 네트워크 액세스 디바이스(1303)에 대응하는 기능에 대해서는, 도 9 또는 도 12에 대응하는 실시예를 참조한다. 반복되는 설명은 제공되지 않는다.
본 발명의 실시예는 액세스 인증 방법을 더 제공한다. 도 14에 도시되어 있는 바와 같이, 방법은 다음의 단계를 포함한다.
단계 1401: 셀룰러 네트워크 액세스 디바이스는 비셀룰러 네트워크 액세스 디바이스에 대해 키를 결정하되, 이 키는 사용자 장비(UE)와 비셀룰러 네트워크 액세스 디바이스 사이의 보안 인증을 수행하는 데 사용되고, 셀룰러 네트워크 액세스 디바이스에 의해 키를 결정하는 방식은 UE에 의해 키를 결정하는 방식과 동일하다.
셀룰러 네트워크 액세스 디바이스는 UE에 대하여, 논리적 기능 엔티티 내의 모든 비셀룰러 네트워크 액세스 디바이스에 대해 동일한 키를 결정하거나, UE에 대하여, 논리적 기능 엔티티 내의 각각의 비셀룰러 네트워크 액세스 디바이스 그룹 내의 모든 비셀룰러 네트워크 액세스 디바이스에 대해 동일한 키를 결정하거나, 또는 UE에 대하여, 논리적 기능 엔티티 내의 모든 비셀룰러 네트워크 액세스 디바이스 그룹 내의 모든 비셀룰러 네트워크 액세스 디바이스에 대해 상이한 키를 결정할 수 있다.
셀룰러 네트워크 액세스 디바이스에 의해 결정된 키는 UE와 셀룰러 네트워크액세스 디바이스에 의해 공유되는 키, 예를 들어 KeNB, KRRCint, KRRCenc, KUPenc, KUPint 등 중 하나의 키일 수 있고, 또는 전술한 키들 중 하나 이상에 따라 유도 규칙에 기초하여 유도된 키일 수 있다.
구체적으로, 셀룰러 네트워크 액세스 디바이스는 이하의 방식으로 비셀룰러 네트워크 액세스 디바이스에 대해 키를 결정할 수 있다.
제 1 구현예:
셀룰러 네트워크 액세스 디바이스는 UE와 공유한 키에 기초하여 비셀룰러 네트워크 액세스 디바이스에 대한 키를 유도한다.
키를 유도하는 데 사용되는 유도 규칙은 사전구성되고, UE에서 사전구성되고 키를 유도하는 데 사용되는 유도 규칙과 동일하다.
제 2 구현예:
셀룰러 네트워크 액세스 디바이스는 UE와 공유한 키에 기초하여 비셀룰러 네트워크 액세스 디바이스에 대한 키를 유도한다.
제2 구현예에서, 방법은 키를 유도하는 데 사용되는 유도 규칙을 셀룰러 네트워크 액세스 디바이스를 통해 UE에 전송하는 단계를 더 포함할 수 있되, 유도 규칙은 비셀룰러 네트워크 액세스 디바이스와 보안 인증을 수행하기 위한 키를 유도하기 위해 UE에 의해 사용된다. 따라서, 유도 규칙을 수신한 후, UE는 셀룰러 네트워크 액세스 디바이스와 공유한 키에 따라, 비셀룰러 네트워크 액세스 디바이스와 보안 인증을 수행하는 데 사용되는 키를 유도한다.
구체적으로, 셀룰러 네트워크 액세스 디바이스는 LWA 커맨드 메시지 또는 다른 새로 정의된 메시지를 사용하여 유도 규칙을 UE에 전송할 수 있고, 메시지는 UE에게 LWA를 수행할 것을 지시하는 데 사용된다.
단계 1402: 셀룰러 네트워크 액세스 디바이스는 결정된 키를 비셀룰러 네트워크 액세스 디바이스에 전송한다.
선택적으로, 셀룰러 네트워크 액세스 디바이스는 논리적 기능 엔티티를 사용하여 비셀룰러 네트워크 액세스 디바이스에 키를 전송한다. 구체적으로, 논리적 기능 엔티티와 비셀룰러 네트워크 액세스 디바이스는 사설 인터페이스를 사용하여 서로 통신한다. 이것은 본 명세서에서 제한되지 않는다.
셀룰러 네트워크 액세스 디바이스가 키를 비셀룰러 네트워크 액세스 디바이스에 전송할 때, 키는 독립적으로 전송될 수 있다. 논리적 기능 엔티티와 비셀룰러 네트워크 액세스 디바이스가 동일한 노드인 경우, 키는 셀룰러 네트워크 액세스 디바이스에 의해 논리적 기능 엔티티로 전송된 GPRS 터널링 프로토콜-사용자 평면(User plane of GPRS TunnelingProtocol, 줄여서 GTP-U) 터널 셋업 메시지에 전송을 위해 포함될 수 있고, 또는 전송을 위해 다른 새로 정의된 메시지에 포함될 수 있다. 논리적 기능 엔티티와 비셀룰러 네트워크 액세스 디바이스가 동일한 노드가 아닌 경우, 셀룰러 네트워크 액세스 디바이스는 GTP-U 터널 셋업 메시지에 키 식별자를 추가하고, GTP-U 터널 셋업 메시지를 논리적 기능 엔티티로 전송한다. 그 다음에, 논리적 기능 엔티티는 GTP-U 터널 셋업 메시지를 비셀룰러 네트워크 액세스 디바이스에 전송한다.
본 발명의 이 실시예에 제공된 해결책에 따르면, 셀룰러 네트워크 액세스 디바이스는 키를 결정하고, 그 다음에 셀룰러 네트워크 액세스 디바이스는 결정된 키를 비셀룰러 네트워크 액세스 디바이스로 전송한다. UE에 의해 키를 결정하는 방식은 셀룰러 네트워크 액세스 디바이스에 의해 키를 결정하는 방식과 동일하다. 따라서, UE와 비셀룰러 네트워크 액세스 디바이스는 키를 사용하여 보안 인증을 직접 수행할 수 있으므로, 인증 시간이 짧고 시그널링 오버헤드가 낮다.
실시예에서, 비셀룰러 네트워크 액세스 디바이스와 논리적 기능 엔티티는 동일한 노드이다. 비셀룰러 네트워크 액세스 디바이스와 논리적 기능 엔티티가 동일한 노드인 것은, 비셀룰러 네트워크 액세스 디바이스의 기능과 논리적 기능 엔티티의 기능이 하나의 디바이스를 사용하여 구현된다는 것일 수 있고, 또는 논리적 기능 엔티티가 비셀룰러 네트워크 액세스 디바이스에 내장된다는 것일 수 있다. 논리적 기능 엔티티가 비셀룰러 네트워크 액세스 디바이스에 내장되는 경우, 논리적 기능 엔티티와 비셀룰러 네트워크 액세스 디바이스 사이에 내부 인터페이스가 존재하고, 논리적 기능 엔티티와 비셀룰러 네트워크 액세스 디바이스는 내부 인터페이스를 사용하여 정보를 교환한다.
셀룰러 네트워크 액세스 디바이스는 비셀룰러 네트워크 액세스 디바이스와 UE의 연관을 위한 키를 다음과 같은 방식으로 결정할 수 있다:
셀룰러 네트워크 액세스 디바이스는 UE에 의해 전송되는 측정 보고에 따라, UE가 연관될 필요가 있는 비셀룰러 네트워크 액세스 디바이스를 결정한다. 측정 보고는 UE가 위치하는 WLAN의 신호 품질을 포함한다. 셀룰러 네트워크 액세스 디바이스는 UE에 대해 비교적 높은 신호 품질을 갖는 WLAN 내의 비셀룰러 네트워크 액세스 디바이스를 선택한다.
구체적으로, 셀룰러 네트워크 액세스 디바이스에 의해 전송된 측정 구성 요청 메시지를 수신한 후, UE는 UE가 위치하는 WLAN의 신호 품질을 측정하고, 측정 결과로부터 생성된 측정 보고를 셀룰러 네트워크 액세스 디바이스로 전송할 수 있다.
셀룰러 네트워크 액세스 디바이스는 UE에 대해 선택된 비셀룰러 네트워크 액세스 디바이스에 대응하는 키를 결정하고, 키는 UE와 비셀룰러 네트워크 액세스 디바이스 사이의 보안 인증을 수행하는 데 사용된다.
그런 다음, 셀룰러 네트워크 액세스 디바이스는 UE에 대해 선택된 비셀룰러 네트워크 액세스 디바이스에 대응하는 결정된 키를 비셀룰러 네트워크 액세스 디바이스로 전송한다.
실시예에서, 비셀룰러 네트워크 액세스 디바이스와 논리적 기능 엔티티가 동일한 노드가 아닌 경우, 셀룰러 네트워크 액세스 디바이스는 비셀룰러 네트워크 액세스 디바이스에 대한 키를 다음과 같은 방식으로 결정할 수 있다:
셀룰러 네트워크 액세스 디바이스는 UE와 연관될 비셀룰러 네트워크 액세스 디바이스가 속하는 논리적 기능 엔티티를 결정한다. 셀룰러 네트워크 액세스 디바이스는 논리적 기능 엔티티에 의해 관리되는 각각의 비셀룰러 네트워크 액세스 디바이스를 결정한다. 그 다음에, 셀룰러 네트워크 액세스 디바이스는 각각의 비셀룰러 네트워크 액세스 디바이스에 대해 다음의 단계를 수행한다: 각각의 비셀룰러 네트워크 액세스 디바이스에 대응하는 키를 결정하는 단계. 키는 UE와 비셀룰러 네트워크 액세스 디바이스 사이의 보안 인증을 수행하는 데 사용된다.
UE와 연관될 비셀룰러 네트워크 액세스 디바이스는 UE에 대한 셀룰러 네트워크 액세스 디바이스에 의해 선택된다. 연관될 비셀룰러 네트워크 액세스 디바이스는 논리적 기능 엔티티를 결정하도록 선택되어, 논리적 기능 엔티티에 의해 관리되는 모든 비셀룰러 네트워크 액세스 디바이스가 결정될 수 있다. 특정 선택 방식은 다음과 같을 수 있다: 셀룰러 네트워크 액세스 디바이스에 의해 전송된 측정 구성 요청 메시지를 수신한 후, UE는 UE가 위치하는 WLAN의 신호 품질을 측정하고, 측정 결과로부터 생성된 측정 보고를 셀룰러 네트워크 액세스 디바이스로 전송할 수 있다. 셀룰러 네트워크 액세스 디바이스는, UE에 의해 전송된 측정 보고에 따라, UE가 연관될 필요가 있는 비셀룰러 네트워크 액세스 디바이스를 결정한다. 예를 들어, 셀룰러 네트워크 액세스 디바이스는 UE에 대해 비교적 높은 신호 품질을 갖는 WLAN 내의 비셀룰러 네트워크 액세스 디바이스를 선택한다.
그 다음에, 셀룰러 네트워크 액세스 디바이스는 결정된 키를 비셀룰러 네트워크 액세스 장치에 다음과 같은 방식으로 전송할 수 있다:
셀룰러 네트워크 액세스 디바이스는 각각의 비셀룰러 네트워크 액세스 디바이스의 식별자에 대응하는 비셀룰러 네트워크 액세스 디바이스로 각각의 비셀룰러 네트워크 액세스 디바이스에 대응하는 결정된 키를 전송한다.
실시예에서, 비셀룰러 네트워크 액세스 디바이스와 논리적 기능 엔티티가 동일한 노드가 아닌 경우, 셀룰러 네트워크 액세스 디바이스는 비셀룰러 네트워크 액세스 디바이스에 대한 키를 다음과 같은 방식으로 결정할 수 있다:
셀룰러 네트워크 액세스 디바이스는 비셀룰러 네트워크 액세스 디바이스를 관리하는 논리적 기능 엔티티를 결정한다. 논리적 기능 엔티티는 비셀룰러 네트워크 액세스 디바이스를 포함하는 적어도 하나의 비셀룰러 네트워크 액세스 디바이스를 관리한다.
셀룰러 네트워크 액세스 디바이스는 적어도 하나의 비셀룰러 네트워크 액세스 디바이스에 대한 키를 결정한다. 적어도 하나의 비셀룰러 네트워크 액세스 디바이스 내의 모든 비셀룰러 네트워크 액세스 디바이스의 식별자들에 대응하는 키들은 동일하고, 키는 UE와 비셀룰러 네트워크 액세스 디바이스의 식별자에 대응하는 비셀룰러 네트워크 액세스 디바이스 사이의 보안 인증을 수행하는 데 사용된다.
그런 다음, 셀룰러 네트워크 액세스 디바이스는 결정된 키를 비셀룰러 네트워크 액세스 디바이스로 전송한다.
실시예에서, 비셀룰러 네트워크 액세스 디바이스와 논리적 기능 엔티티가 동일한 노드가 아닌 경우, 셀룰러 네트워크 액세스 디바이스는 비셀룰러 네트워크 액세스 디바이스에 대한 키를 다음과 같은 방식으로 결정할 수 있다:
셀룰러 네트워크 액세스 디바이스는 비셀룰러 네트워크 액세스 디바이스를 관리하는 논리적 기능 엔티티를 결정한다. 논리적 기능 엔티티는 비셀룰러 네트워크 액세스 디바이스를 포함하는 적어도 하나의 비셀룰러 네트워크 액세스 디바이스를 관리하고, 적어도 하나의 비셀룰러 네트워크 액세스 디바이스는 적어도 하나의 비셀룰러 네트워크 액세스 디바이스 그룹에 포함된다. 즉, 논리적 기능 엔티티에 의해 관리되는 모든 비셀룰러 네트워크 액세스 디바이스는 비셀룰러 네트워크 액세스 디바이스 그룹으로 분류되고, 각각의 그룹은 적어도 하나의 비셀룰러 네트워크 액세스 디바이스를 포함한다.
셀룰러 네트워크 액세스 디바이스는 각각의 비셀룰러 네트워크 액세스 디바이스 그룹에 대한 키를 결정한다. 각각의 비셀룰러 네트워크 액세스 디바이스 그룹에 포함된 모든 비셀룰러 네트워크 액세스 디바이스의 식별자들에 대응하는 키들은 동일하고, 키는 UE와 비셀룰러 네트워크 액세스 디바이스의 식별자에 대응하는 비셀룰러 네트워크 액세스 디바이스 사이의 보안 인증을 수행하는 데 사용된다. 다른 비셀룰러 네트워크 액세스 디바이스 그룹은 다른 키에 대응한다.
선택적으로, 비셀룰러 네트워크 액세스 디바이스에 대한 키를 결정한 후, 셀룰러 네트워크 액세스 디바이스는 키에 대응하는 키 식별자를 결정하고, 그 다음에 결정된 키 식별자를 비셀룰러 네트워크 액세스 디바이스로 전송한다.
키 식별자와 키는 동시에 전송될 수도 있고, 또는 개별적으로 전송될 수도 있다. 셀룰러 네트워크 액세스 디바이스에 의해, 키에 대응하는 키 식별자를 결정하는 방식은 UE에 의해 키에 대응하는 키 식별자를 결정하는 방식과 동일하다.
구체적으로, 키 식별자는 키, UE의 아이덴티티, 및 비셀룰러 네트워크 액세스 디바이스의 식별자에 기초하여 결정될 수 있고, 또는 키 및 UE의 아이덴티티에 기초하여 결정될 수 있으며, 또는 UE의 아이덴티티 및 비셀룰러 네트워크 액세스 디바이스의 식별자를 사용하여 결정될 수 있고, 또는 비셀룰러 네트워크 액세스 디바이스의 식별자 및 키를 사용하여 결정될 수 있으며, 또는 UE의 식별자만을 사용하여 결정될 수 있다.
본 발명의 이 실시예에서 키 식별자는 LWA에 사용된다. 따라서, 키 식별자는 종래의 WLAN 서비스에 사용되는 키 식별자와 구별될 수 있다. 구체적으로, 종래의 WLAN 서비스가 AAA 서버에서 인증되는 경우, 키 식별자가 또한 생성될 수 있으며, 이 키 식별자는 LWA에 사용되는 키 식별자와 다르다. 구별을 위해 키 식별자는 마킹될 수 있다.
본 발명의 실시예는 액세스 인증 방법을 더 제공한다. 도 15에 도시된 바와 같이, 방법은 다음 단계들을 포함한다.
단계 1501: UE는 키를 결정하고, 키는 UE와 비셀룰러 네트워크 액세스 디바이스 사이의 보안 인증을 수행하는 데 사용된다.
선택적으로, UE는 키를 다음과 같은 방식으로 결정할 수 있다:
UE는 셀룰러 네트워크 액세스 디바이스와 공유되는 키에 기초하여 유도 규칙을 사용함으로써 키를 유도한다.
유도 규칙은 셀룰러 네트워크 액세스 디바이스에 의해 전송될 수 있다. 구체적으로, 셀룰러 네트워크 액세스 디바이스는 LWA 커맨드 메시지를 사용하여 유도 규칙을 UE로 전송할 수 있다.
유도 규칙은 UE에서 사전구성될 수 있고, 비셀룰러 네트워크 액세스 디바이스에 대한 키를 유도하기 위해 셀룰러 네트워크 액세스 디바이스에 의해 사용되는 유도 규칙과 동일하다. 즉, 유도 규칙은 UE 및 셀룰러 네트워크 액세스 디바이스에서 사전구성될 수 있다.
단계 1502: UE는 키에 대응하는 키 식별자를 결정한다.
키 식별자는 키, UE의 아이덴티티 및 비셀룰러 네트워크 액세스 디바이스의 식별자에 기초하여 셀룰러 네트워크 액세스 디바이스에 의해 결정될 수 있고, 또는 키 및 UE의 아이덴티티에 기초하여 결정될 수 있으며, 또는 UE의 아이덴티티 및 비셀룰러 네트워크 액세스 디바이스의 식별자를 사용하여 결정될 수 있고, 또는 비셀룰러 네트워크 액세스 디바이스의 식별자 및 키를 사용하여 결정될 수 있으며, 또는 UE의 아이덴티티만을 사용하여 결정될 수 있다.
예를 들어, PMKID = HMAC-SHA1-128(PMK, "PMK_name"|MAC_AP|MAC_UE)이다.
PMKID는 키 식별자를 나타내고, PMK는 키를 나타내며, PMK_name은 키의 이름을 나타내고, MAC_UE는 UE의 아이덴티티, 즉, UE의 WLAN MAC 어드레스를 나타낸다. MAC_AP는 비셀룰러 네트워크 액세스 디바이스의 식별자, 즉, 비셀룰러 네트워크 액세스 디바이스의 MAC 어드레스를 나타낸다. HMAC는 키와 관련된 해시 기반 메시지 인증 코드이다. SHA1은 보안 해시 알고리즘이다.
단계 1503: UE는 키 및 키 식별자를 사용하여 비셀룰러 네트워크 액세스 디바이스와 보안 인증을 수행한다.
구체적으로, UE는 비셀룰러 네트워크 액세스 디바이스로의 연관 요청을 개시하고, 연관 요청은 UE의 아이덴티티 및 키 식별자를 전달한다. 연관 요청을 수신한 후, 비셀룰러 네트워크 액세스 디바이스는, UE의 아이덴티티에 따라, 미리 수신된 셀룰러 네트워크 액세스 디바이스에 의해 전송된 키에 대응하는 키 식별자를 결정할 수 있고, 또는 UE의 아이덴티티 및 키에 따라, 키에 대응하는 키 식별자를 결정할 수 있다. 셀룰러 네트워크 액세스 디바이스는 연관 요청으로 전달된 키 식별자가 결정된 키 식별자와 동일하다고 결정하면, 키 식별자에 대응하는 키를 사용하여 UE와 4 방향 핸드셰이크 보안 인증이 수행된다.
본 발명의 이 실시예에서 키 식별자는 LWA에 사용된다. 따라서, 키 식별자는 종래의 WLAN 서비스에 사용되는 키 식별자와 구별될 수 있다. 구체적으로, 종래의 WLAN 서비스가 AAA 서버에서 인증되는 경우, 키 식별자가 또한 생성될 수 있으며, 이 키 식별자는 LWA에 사용되는 키 식별자와 다르다. 구별을 위해 키 식별자는 마킹될 수 있다.
본 발명의 실시예는 액세스 인증 방법을 더 제공한다. 도 16에 도시된 바와 같이, 방법은 다음 단계들을 포함한다.
단계 1601: 비셀룰러 네트워크 액세스 디바이스는 셀룰러 네트워크 액세스 디바이스에 의해 전송된 키를 수신하고, 키는 비셀룰러 네트워크 액세스 디바이스에게 비셀룰러 네트워크 액세스 디바이스와 연관된 사용자 장비(UE)와 보안 인증을 수행하도록 지시하는 데 사용된다.
단계 1602: 비셀룰러 네트워크 액세스 디바이스는 키에 대응하는 키 식별자를 결정한다.
선택적으로, 셀룰러 네트워크 액세스 디바이스는, 키 및 셀룰러 네트워크 액세스 디바이스의 식별자에 따라, 키에 대응하는 키 식별자를 결정할 수 있고, 또는 UE에 의해 전송되고 UE의 아이덴티티를 전달하는 연관 요청을 수신한 후 UE의 아이덴티티 및 키에 따라, 키에 대응하는 키 식별자를 결정할 수 있으며, 또는 UE의 아이덴티티, 셀룰러 네트워크 액세스 디바이스의 식별자 및 키에 따라 키에 대응하는 키 식별자를 결정할 수 있다.
선택적으로, 비셀룰러 네트워크 액세스 디바이스는 키에 대응하는 키 식별자를 다음과 같은 방식으로 결정할 수 있다: 비셀룰러 네트워크 액세스 디바이스는 키에 대응하고 셀룰러 네트워크 액세스 디바이스에 의해 전송된 키 식별자를 수신한다.
단계 1603: 비셀룰러 네트워크 액세스 디바이스는 키 식별자 및 키를 사용하여 UE와 보안 인증을 수행한다.
구체적으로, UE는 비셀룰러 네트워크 액세스 디바이스로 연관 요청을 전송한다. 그런 다음, 비셀룰러 네트워크 액세스 디바이스가, UE에 의해 전송되는 수신된 키 식별자가 비셀룰러 네트워크 액세스 디바이스에 의해 저장된 키 식별자와 동일하다고 결정하면, UE 및 비셀룰러 네트워크 액세스 디바이스는 키 식별자에 대응하는 키에 기초하여 4 방향 핸드셰이크 절차를 실행한다. 4 방향 핸드셰이크 인증이 성공한 후, 셀룰러 네트워크 액세스 디바이스는 비셀룰러 네트워크 액세스 디바이스를 사용하여 UE와 멀티스트림 통합 데이터 송신을 수행할 수 있다.
본 발명의 이 실시예에서 키 식별자는 LWA에 사용된다. 따라서, 키 식별자는 종래의 WLAN 서비스에 사용되는 키 식별자와 구별될 수 있다. 구체적으로, 종래의 WLAN 서비스가 AAA 서버에서 인증되는 경우, 키 식별자가 또한 생성될 수 있으며, 이 키 식별자는 LWA에 사용되는 키 식별자와 다르다. 구별을 위해 키 식별자는 마킹될 수 있다.
이하, 예를 들어 본 발명의 실시예를 구체적으로 설명한다. 다음 예에서, 셀룰러 네트워크가 LTE 네트워크이고, 셀룰러 네트워크 액세스 디바이스가 eNB이며, 비셀룰러 네트워크가 WLAN이고, 비셀룰러 네트워크 액세스 디바이스가 AP이며, 논리적 기능 엔티티는 WT인 예가 설명에 사용된다.
본 발명의 실시예는 도 4a 및 도 4b에 도시된 오프로딩 및 통합 네트워크 시스템을 예로써 사용하여 구체적으로 설명된다.
도 17을 참조하면, 도 17은 본 발명의 실시예에 따른 액세스 인증 방법의 개략도이다.
단계 1701: eNB는 AP에 대한 PMK를 결정한다.
PMK는 키를 나타내고, PMK는 UE와 AP 사이의 보안 인증을 수행하는 데 사용된다.
eNB는 WT 내의 모든 AP에 대해 동일한 키를 결정할 수 있고, 또는 WT 내의 각각의 AP 그룹 내의 모든 AP에 대해 동일한 키를 결정할 수 있으며, 또는 WT 내의 모든 AP 그룹 내의 모든 AP에 대해 상이한 키를 결정할 수 있다.
구체적으로, PMK는 eNB와 UE에 의해 공유되는 키, 예를 들어, KeNB, KRRCint, KRRCenc, KUPenc, KUPint 등 중 하나의 키일 수 있고, 또는 전술한 키들 중 하나 이상에 따른 유도 규칙에 기초하여 유도된 키일 수 있다.
단계 1702: eNB는 결정된 PMK를 WT로 전송한다.
WT는 WT와 AP 사이의 사설 인터페이스를 사용하여 각각의 AP로 각각의 AP에 대응하는 PMK를 전송할 수 있다.
PMK는 독립적으로 전송될 수 있고, 또는 (WT 추가 요청 메시지와 같은) GTP-U 터널 셋업 메시지에 추가되어 WT로 전송될 수 있으며, 또는 전송을 위해 사용자 정의 메시지에 추가될 수 있다.
선택적으로, 단계 1701 전에, 방법은 다음 단계를 더 포함할 수 있다.
WT는 eNB에 키 요청 메시지를 전송하고, 키 요청 메시지는 eNB에게 WT에 의해 관리되는 각각의 AP에 대한 키를 결정하도록 지시하는 데 사용된다.
선택적으로, eNB는 PMK에 대응하는 PMKID를 더 결정할 수 있으며, 그 다음에 PMKID를 WT로 전송할 수 있다. 여기서, eNB에 의해, PMK에 대응하는 PMKID를 결정하는 방식은 단계 1704에서 PMK에 대응하는 PMKID를 결정하는 방식과 동일하다. WT는 WT와 AP 사이의 사설 인터페이스를 사용하여 AP로 PMKID를 전송할 수 있다.
단계 1703: UE는 eNB에 의해 전송된 LWA 커맨드 메시지를 수신한다.
LWA 커맨드 메시지는 UE에 의해 LWA 관련 구성을 수행하는 데 사용된다. LWA 커맨드 메시지는 AP 그룹에 관한 정보를 전달할 수 있다. LWA 커맨드 메시지는 UE에게 키를 유도하도록 지시하기 위해 eNB에 의해 사용되는 유도 규칙을 전달할 수 있다.
LWA 커맨드 메시지를 수신한 이후에, UE는 유도 규칙에 기초하여 AP 그룹에 포함된 각각의 AP에 대한 키를 결정한다. 따라서, 이 키는 eNB가 각각의 AP에 전송하는 키와 동일하다.
LWA 커맨드 메시지를 수신한 이후에, UE는 AP 그룹에 포함된 모든 AP에 대한 키로부터, 타깃 AP로서의 AP를 선택할 수 있다. 이 AP는 가장 강한 신호를 제공하는 AP가 될 수 있다. 이후, UE는 유도 규칙에 기초해서 AP와의 보안 인증을 수행할 키를 결정한다.
단계 1704: UE는 PMK에 대응하는 PMKID를 결정한다.
PMKID는 UE의 아이덴티티에 기초해서 UE에 의해 결정될 수 있다. UE의 아이덴티티는 UE의 WLAN MAC 어드레스가 될 수 있다. MKID는 AP의 아이덴티티에 기초해서 UE에 의해 결정될 수도 있고, 혹은 PMK, UE의 아이덴티티 및 AP의 식별자를 사용해서 결정될 수도 있으며, 혹은 키 PMK 및 UE의 아이덴티티를 사용해서 결정될 수도 있고, 혹은 PMK 및 AP의 식별자를 사용해서 결정될 수도 있다. AP의 식별자는 BSSID/ESSID/SSID가 될 수 있다.
예컨대, PMKID=HMAC-SHA1-128(PMK, "PMK_name"|MAC_AP|MAC_UE)이다.
PMK_name은 키의 이름이고, MAC_UE는 UE의 아이덴티티이며, 즉, UE의 WLAN MAC 어드레스이다. MAC_AP는 AP의 식별자이며, 즉, AP의 MAC 어드레스이다. HMAC는 키와 관련된 해시 기반 메시지 인증 코드(Hash-based Message AuthenticationCode)이다. SHA1은 보안 해시 알고리즘이다.
단계 1705: UE는 WLAN AP로 연관 요청 메시지를 전송한다.
연관 요청 메시지는 PMKID를 전달한다.
단계 1706: AP는 PMK에 대응하는 PMKID를 결정한다.
구체적으로, PMKID는 UE의 아이덴티티에 기초해서 AP에 의해 결정될 수 있다. UE의 아이덴티티는 UE의 WLAN MAC 어드레스일 수 있다. PMKID는 AP에 의해 AP의 아이덴티티에 기초해서 결정될 수도 있고, 혹은 PMK, UE의 아이덴티티 및 AP의 식별자를 사용해서 결정될 수도 있으며, 혹은 키 PMK 및 UE의 아이덴티티를 사용해서 결정될 수도 있고, 혹은 PMK 및 AP의 식별자를 사용해서 결정될 수도 있다. AP가 PMK에 대응하는 PMKID를 결정하는 방식은 UE가 PMK에 대응하는 PMKID를 결정하는 방식과 동일하다.
AP에 의해 결정되고 PMK에 대응하는 PMKID는 UE가 전송해서 수신된 PMKID와 같고, 따라서 PMKID에 대응하는 PMK는 4 방향 핸드셰이크 보안 인증을 수행하는 데 사용된다. AP에 의해 결정되고 PMK에 대응하는 PMKID는 UE가 전송해서 수신된 PMKID와 상이한 경우에는 인증은 실패한다.
선택적으로, AP는 PMK에 대응하는 PMKID를 다음과 같은 방식으로 결정할 수 있다. AP는, PMK에 대응하며 eNB가 AP를 관리하는 WT를 사용해서 전송하는 PMKID를 수신한다.
선택적으로, 이 방법은 다음 단계를 더 포함할 수 있다.
단계 1707: UE는 LWA 확인응답 메시지를 eNB로 전송하고, 이 메시지는 LWA의 성공 혹은 실패를 나타내는 데 사용된다.
이와 달리, LWA 확인응답 메시지(혹은 WT 추가 확인응답 메시지)는 WT를 사용해서 eNB로 전송되고, 이 메시지는 LWA 성공을 나타내는 데 사용된다. WT는 AP를 사용해서 WT가 성공적으로 추가되었는지 여부를 통지받으며, 특정 구현예는 본 발명에서 한정되지 않는다.
UE 혹은 WT가 전송하는 LWA 성공 메시지를 eNB가 수신하면, 이 방법은 다음 단계를 더 포함한다.
단계 1708: eNB는 AP를 이용하여 UE와 LWA 데이터 송신을 수행한다.
도 14에 도시된 방법 실시예의 개념과 동일한 본 발명의 개념에 기초하여, 도 18에 도시된 바와 같이, 본 발명의 실시예는 액세스 인증 장치를 제공한다. 이 장치는 셀룰러 네트워크 액세스 디바이스에 적용되고, 특히 셀룰러 네트워크 액세스 디바이스와는 독립된 장치가 될 수도 있고, 혹은 셀룰러 네트워크 액세스 디바이스에 배치된 장치가 될 수도 있으며, 혹은 셀룰러 네트워크 액세스 디바이스에 의해 구현될 수도 있다. 액세스 인증 장치는, 비셀룰러 네트워크 액세스 디바이스에 대한 키를 결정하도록 구성되는 처리 유닛(1801) - 키는 사용자 장비(UE)와 비셀룰러 네트워크 액세스 디바이스 사이의 보안 인증을 수행하는 데 사용되고, 처리 유닛에 의해 키를 결정하는 방식은 UE에 의해 키를 결정하는 방식과 동일함 - 과, 처리 유닛(1801)에 의해 결정된 키를 비셀룰러 네트워크 액세스 디바이스로 전송하도록 구성되는 트랜시버 유닛(1802)을 포함한다.
선택적으로, 비셀룰러 네트워크 액세스 디바이스에 대한 키를 결정할 때, 처리 유닛(1801)은 구체적으로 UE와 공유되는 키에 기초하여 비셀룰러 네트워크 액세스 디바이스에 대한 키를 유도하도록 구성된다. 키를 유도하는 데 사용되는 유도 규칙은 사전구성되고, 유도 규칙은, UE에서 사전구성되고 키를 유도하는 데 사용되는 유도 규칙과 동일하다.
선택적으로, 비셀룰러 네트워크 액세스 디바이스에 대한 키를 결정할 때, 처리 유닛(1801)은 구체적으로 UE와 공유되는 키에 기초하여 비셀룰러 네트워크 액세스 디바이스에 대한 키를 유도하도록 구성된다.
트랜시버 유닛(1802)은 또한 키를 유도하는 데 사용된 유도 규칙을 UE에 전송하도록 구성되며, 유도 규칙은 비셀룰러 네트워크 액세스 디바이스와 보안 인증을 수행하기 위한 키를 유도하기 위해 UE에 의해 사용된다.
선택적으로, 비셀룰러 네트워크 액세스 디바이스에 대한 키를 결정할 때, 처리 유닛(1801)은 구체적으로,
비셀룰러 네트워크 액세스 디바이스를 관리하는 논리적 기능 엔티티를 결정 - 논리적 기능 엔티티는 비셀룰러 네트워크 액세스 디바이스를 포함하는 적어도 하나의 비셀룰러 네트워크 액세스 디바이스를 관리함 - 하고,
논리적 기능 엔티티에 의해 관리되는 각각의 비셀룰러 네트워크 액세스 디바이스에 대해, 각각의 비셀룰러 네트워크 액세스 디바이스의 식별자에 대응하는 키를 결정하는 단계를 수행하도록 구성된다.
처리 유닛(1801)에 의해 결정된 키를 비셀룰러 네트워크 액세스 디바이스로 전송할 때, 트랜시버 유닛(1802)은 구체적으로, 각각의 비셀룰러 네트워크 액세스 디바이스의 식별자에 대응하는 비셀룰러 네트워크 액세스 디바이스로, 처리 유닛(1801)에 의해 결정되고 각각의 비셀룰러 네트워크 액세스 디바이스에 대응하는 키를 전송하도록 구성된다.
선택적으로, 비셀룰러 네트워크 액세스 디바이스에 대한 키를 결정할 때, 처리 유닛(1801)은 구체적으로, 비셀룰러 네트워크 액세스 디바이스를 관리하는 논리적 기능 엔티티를 결정 - 논리적 기능 엔티티는 비셀룰러 네트워크 액세스 디바이스를 포함하는 적어도 하나의 비셀룰러 네트워크 액세스 디바이스를 관리함 - 하고,
적어도 하나의 비셀룰러 네트워크 액세스 디바이스에 대한 키를 결정 - 적어도 하나의 비셀룰러 네트워크 액세스 디바이스 내의 모든 비셀룰러 네트워크 액세스 디바이스의 식별자들에 대응하는 키들은 동일하고, 키는 UE와 비셀룰러 네트워크 액세스 디바이스의 식별자에 대응하는 비셀룰러 네트워크 액세스 디바이스 사이의 보안 인증을 수행하는 데 사용됨 - 하도록 구성된다.
선택적으로, 비셀룰러 네트워크 액세스 디바이스에 대한 키를 결정할 때, 처리 유닛(1801)은 구체적으로,
비셀룰러 네트워크 액세스 디바이스를 관리하는 논리적 기능 엔티티를 결정 - 논리적 기능 엔티티는 비셀룰러 네트워크 액세스 디바이스를 포함하는 적어도 하나의 비셀룰러 네트워크 액세스 디바이스를 관리하고, 적어도 하나의 비셀룰러 네트워크 액세스 디바이스는 적어도 하나의 비셀룰러 네트워크 액세스 디바이스 그룹에 포함됨 - 하고,
각각의 비셀룰러 네트워크 액세스 디바이스 그룹에 대한 키를 결정 - 각각의 비셀룰러 네트워크 액세스 디바이스 그룹에 포함된 모든 비셀룰러 네트워크 액세스 디바이스의 식별자들에 대응하는 키들은 동일하고, 키는 UE와 비셀룰러 네트워크 액세스 디바이스의 식별자에 대응하는 비셀룰러 네트워크 액세스 디바이스 사이의 보안 인증을 수행하는 데 사용됨 - 하도록 구성된다.
처리 유닛(1801)은 또한, 비셀룰러 네트워크 액세스 디바이스에 대한 키를 결정한 후에, 키에 대응하는 키 식별자를 결정하도록 구성된다.
트랜시버 유닛(1802)은 또한 처리 유닛에 의해 결정된 키 식별자를 비셀룰러 네트워크 액세스 디바이스로 전송하도록 구성된다.
도 15에 도시된 방법 실시예의 개념과 동일한 본 발명의 개념에 기초하여, 도 19에 도시된 바와 같이, 본 발명의 실시예는 액세스 인증 장치를 제공한다. 이 장치는 UE에 적용되고, 특히 UE와는 독립된 장치가 될 수도 있고, 혹은 UE에 배치된 액세스 인증 장치가 될 수도 있으며, 혹은 UE에 의해 구현될 수도 있다. 액세스 인증 장치는, 키를 결정 - 키는 UE와 비셀룰러 네트워크 액세스 디바이스 사이의 보안 인증을 수행하는 데 사용됨 - 하고, 키에 대응하는 키 식별자를 결정하도록 구성되는 결정 유닛(1901)과, 키 및 키 식별자를 사용하여 비셀룰러 네트워크 액세스 디바이스와 보안 인증을 수행하도록 구성되는 인증 유닛(1902)을 포함한다.
키를 결정할 때, 결정 유닛(1901)은 구체적으로 셀룰러 네트워크 액세스 디바이스와 공유되는 키에 기초하여 유도 규칙을 사용함으로써 키를 유도하도록 구성된다. 유도 규칙은 셀룰러 네트워크 액세스 디바이스에 의해 전송되고, 또는 유도 규칙은 UE에서 사전구성되고 비셀룰러 네트워크 액세스 디바이스에 대한 키를 유도하기 위해 셀룰러 네트워크 액세스 디바이스에 의해 사용되는 유도 규칙과 동일하다.
도 16에 도시된 방법 실시예의 개념과 동일한 본 발명의 개념에 기초하여, 도 20에 도시된 바와 같이, 본 발명의 실시예는 액세스 인증 장치를 제공한다. 이 장치는 비셀룰러 네트워크 액세스 디바이스에 적용되고, 특히 비셀룰러 네트워크 액세스 디바이스와는 독립된 액세스 인증 장치가 될 수도 있고, 혹은 비셀룰러 네트워크 액세스 디바이스에 배치될 수도 있으며, 혹은 비셀룰러 네트워크 액세스 디바이스에 의해 구현될 수도 있다. 액세스 인증 장치는, 셀룰러 네트워크 액세스 디바이스에 의해 전송된 키를 수신하도록 구성되는 트랜시버 유닛(2001) - 키는 비셀룰러 네트워크 액세스 디바이스에게 비셀룰러 네트워크 액세스 디바이스와 연관된 사용자 장비(UE)와 보안 인증을 수행하도록 지시하는 데 사용됨 - 과, 키에 대응하는 키 식별자를 결정하고, 키 식별자 및 키를 사용하여 UE와 보안 인증을 수행하도록 구성되는 처리 유닛(2002)을 포함한다.
트랜시버 유닛(2001)은 또한 키에 대응하고 셀룰러 네트워크 액세스 디바이스에 의해 전송되는 키 식별자를 수신하도록 구성된다.
도 18에 도시된 장치 실시예의 개념과 동일한 본 발명의 개념에 기초하여, 본 발명의 실시예는 액세스 인증 장치를 제공한다. 이 장치는 셀룰러 네트워크 액세스 디바이스와는 독립된 장치가 될 수도 있고, 혹은 셀룰러 네트워크 액세스 디바이스에 배치된 장치가 될 수도 있으며, 혹은 셀룰러 네트워크 액세스 디바이스에 의해 구현될 수도 있다. 도 21에 도시된 바와 같이 이 장치는, 트랜시버(2101), 프로세서(2102) 및 메모리(2103)를 포함한다. 트랜시버(2101), 프로세서(2102) 및 메모리(2103)는 서로 연결된다. 전술한 컴포넌트들 간의 특정 연결 매체는 본 발명의 이 실시예에서 제한을 받지 않는다. 본 발명의 이 실시예에서, 도 21에서, 메모리(2103), 프로세서(2102), 및 트랜시버(2101)는 버스(2104)를 사용하여 서로 연결된다. 버스는 도 21에서 두꺼운 선을 사용하여 표현된다. 다른 컴포넌트들 간의 연결 방식은 단지 예시일 뿐이고, 제한을 받지 않는다. 버스는 어드레스 버스, 데이터 버스, 제어 버스 등으로 분류될 수 있다. 용이한 표현을 위해, 도 21에서는 하나의 두꺼운 선만이 표현을 위해 사용되었지만, 하나의 버스만이 존재한다거나 하나의 유형의 버스만이 존재한다는 것을 나타내지는 않는다.
본 발명의 이 실시예에서 메모리(2103)는 프로세서(2102)에 의해 실행되는 프로그램 코드를 저장하도록 구성되고, 랜덤 액세스 메모리(random-access memory, 줄여서 RAM)와 같은 휘발성 메모리(volatile memory)일 수 있다. 이와 달리, 메모리(2103)는 판독 전용 메모리(read-only memory, 줄여서 ROM), 플래시 메모리(flash memory), 하드 디스크 드라이브(hard disk drive, 줄여서 HDD), 또는 고체 상태 메모리(solid-state drive, 줄여서 SSD)와 같은 비휘발성 메모리(non-volatile memory)일 수 있다. 이와 달리, 메모리(2103)는 커맨드 또는 데이터 구조 형식의 예상 프로그램 코드를 반송 또는 저장하는데 사용될 수 있고 컴퓨터에 의해 액세스될 수 있는 임의의 다른 매체이다. 그러나, 이에 국한되는 것은 아니다. 메모리(2103)는 전술한 메모리들의 조합일 수 있다.
본 발명의 이 실시예에서 프로세서(2102)는 중앙 처리 장치(central processing unit, 줄여서 CPU)일 수 있다.
프로세서(2102)는 비셀룰러 네트워크 액세스 디바이스에 대한 키를 결정하도록 구성되고, 키는 사용자 장비(UE)와 비셀룰러 네트워크 액세스 디바이스 사이의 보안 인증을 수행하는 데 사용되며, 프로세서(2102)에 의해 키를 결정하는 방식은 UE에 의해 키를 결정하는 방식과 동일하다.
트랜시버(2101)는, 프로세서(2102)에 의해 결정된 키를 비셀룰러 네트워크 액세스 디바이스로 전송하도록 구성된다.
프로세서(2102)는 도 18에 도시된 처리 유닛(1801)에 의해 실행되는 다른 동작을 수행할 수도 있고, 트랜시버(2101)는 도 18에 도시된 트랜시버 유닛(1802)에 의해 실행되는 다른 동작을 수행할 수도 있다는 점에 주의한다.
도 19에 도시된 장치 실시예의 개념과 동일한 본 발명의 개념에 기초하여, 본 발명의 실시예는 액세스 인증 장치를 제공한다. 이 장치는 UE와는 독립된 장치가 될 수도 있고, 혹은 UE에 배치된 장치가 될 수도 있으며, 혹은 UE에 의해 구현될 수도 있다. 도 22에 도시된 바와 같이 이 장치는, 트랜시버(2201), 프로세서(2202) 및 메모리(2203)를 포함한다. 트랜시버(2201), 프로세서(2202) 및 메모리(2203)는 서로 연결된다. 전술한 컴포넌트들 간의 특정 연결 매체는 본 발명의 이 실시예에서 제한을 받지 않는다. 본 발명의 이 실시예에서, 도 22에서, 메모리(2203), 프로세서(2202), 및 트랜시버(2201)는 버스(2204)를 사용하여 서로 연결된다. 버스는 도 22에서 두꺼운 선을 사용하여 표현된다. 다른 컴포넌트들 간의 연결 방식은 단지 예시일 뿐이고, 제한을 받지 않는다. 버스는 어드레스 버스, 데이터 버스, 제어 버스 등으로 분류될 수 있다. 용이한 표현을 위해, 도 22에서는 하나의 두꺼운 선만이 표현을 위해 사용되었지만, 하나의 버스만이 존재한다거나 하나의 유형의 버스만이 존재한다는 것을 나타내지는 않는다.
본 발명의 이 실시예에서 메모리(2203)는 프로세서(2202)에 의해 실행되는 프로그램 코드를 저장하도록 구성되고, 랜덤 액세스 메모리와 같은 휘발성 메모리일 수 있다. 이와 달리, 메모리(2203)는 ROM, 플래시 메모리, HDD 또는 SSD와 같은 비휘발성 메모리(non-volatile memory)일 수 있다. 이와 달리, 메모리(2203)는 커맨드 또는 데이터 구조 형식의 예상 프로그램 코드를 반송 또는 저장하는데 사용될 수 있고 컴퓨터에 의해 액세스될 수 있는 임의의 다른 매체이다. 그러나, 이에 국한되는 것은 아니다. 메모리(2203)는 전술한 메모리들의 조합일 수 있다.
본 발명의 이 실시예에서 프로세서(2202)는 CPU일 수 있다.
프로세서(2202)는 키를 결정 - 키는 UE와 비셀룰러 네트워크 액세스 디바이스 사이의 보안 인증을 수행하는 데 사용됨 - 하고, 키에 대응하는 키 식별자를 결정하며, 키 및 키 식별자를 사용하여 비셀룰러 네트워크 액세스 디바이스와 보안 인증을 수행하도록 구성된다.
프로세서(2202)는 도 19에 도시된 결정 유닛(1901) 및 인증 유닛(1902)에 의해 실행되는 다른 동작을 수행할 수도 있다는 점에 주의한다.
도 20에 도시된 장치 실시예의 개념과 동일한 본 발명의 개념에 기초하여, 본 발명의 실시예는 액세스 인증 장치를 제공한다. 이 장치는 비셀룰러 네트워크 액세스 디바이스와는 독립된 장치가 될 수도 있고, 혹은 비셀룰러 네트워크 액세스 디바이스에 배치된 장치가 될 수도 있으며, 혹은 비셀룰러 네트워크 액세스 디바이스에 의해 구현될 수도 있다. 도 23에 도시된 바와 같이 이 장치는, 트랜시버(2301), 프로세서(2302) 및 메모리(2303)를 포함한다. 트랜시버(2301), 프로세서(2302) 및 메모리(2303)는 서로 연결된다. 전술한 컴포넌트들 간의 특정 연결 매체는 본 발명의 이 실시예에서 제한을 받지 않는다. 본 발명의 이 실시예에서, 도 23에서, 메모리(2303), 프로세서(2302), 및 트랜시버(2301)는 버스(2304)를 사용하여 서로 연결된다. 버스는 도 23에서 두꺼운 선을 사용하여 표현된다. 다른 컴포넌트들 간의 연결 방식은 단지 예시일 뿐이고, 제한을 받지 않는다. 버스는 어드레스 버스, 데이터 버스, 제어 버스 등으로 분류될 수 있다. 용이한 표현을 위해, 도 23에서는 하나의 두꺼운 선만이 표현을 위해 사용되었지만, 하나의 버스만이 존재한다거나 하나의 유형의 버스만이 존재한다는 것을 나타내지는 않는다.
본 발명의 이 실시예에서 메모리(2303)는 프로세서(202)에 의해 실행되는 프로그램 코드를 저장하도록 구성되고, 랜덤 액세스 메모리와 같은 휘발성 메모리일 수 있다. 이와 달리, 메모리(2303)는 ROM, 플래시 메모리, HDD 또는 SSD와 같은 비휘발성 메모리(non-volatile memory)일 수 있다. 이와 달리, 메모리(2303)는 커맨드 또는 데이터 구조 형식의 예상 프로그램 코드를 반송 또는 저장하는데 사용될 수 있고 컴퓨터에 의해 액세스될 수 있는 임의의 다른 매체이다. 그러나, 이에 국한되는 것은 아니다. 메모리(2303)는 전술한 메모리들의 조합일 수 있다.
본 발명의 이 실시예에서 프로세서(2302)는 CPU일 수 있다.
트랜시버(2301)은 셀룰러 네트워크 액세스 디바이스에 의해 전송된 키를 수신하도록 구성되고, 키는 비셀룰러 네트워크 액세스 디바이스에게 비셀룰러 네트워크 액세스 디바이스와 연관된 사용자 장비(UE)와 보안 인증을 수행하도록 지시하는 데 사용된다.
프로세서(2302)는 키에 대응하는 키 식별자를 결정하고, 키 식별자 및 키를 사용하여 UE와 보안 인증을 수행하도록 구성된다.
프로세서(2302)는 도 20에 도시된 처리 유닛(2002)에 의해 실행되는 다른 동작을 수행할 수도 있고, 트랜시버(2301)는 도 20에 도시된 트랜시버 유닛(2001)에 의해 실행되는 다른 동작을 수행할 수도 있다는 점에 주의한다.
본 발명의 실시예는 또한, 액세스 인증 시스템을 제공한다. 이 시스템은 셀룰러 네트워크 액세스 디바이스, 비셀룰러 네트워크 액세스 디바이스 및 UE를 포함한다. 셀룰러 네트워크 액세스 디바이스는 도 18 혹은 도 21에 대응하는 실시예에서 제공되는 셀룰러 네트워크 액세스 디바이스일 수 있다. UE는 도 19 혹은 도 22에 대응하는 실시예에서 제공되는 UE일 수 있다. 비셀룰러 네트워크 액세스 디바이스는 도 20 혹은 도 23에 대응하는 실시예에서 제공되는 비셀룰러 네트워크 액세스 디바이스일 수 있다.
액세스 인증 시스템에 포함되는 디바이스의 수량은 본 발명의 실시예에서 특별히 국한되는 것은 아니라는 점에 주의한다.
당업자라면, 본 발명의 실시예가 방법, 시스템 혹은 컴퓨터 프로그램 제품으로서 제공될 수 있다는 것을 이해할 것이다. 따라서, 본 발명은 하드웨어 전용 실시예, 소프트웨어 전용 실시예, 혹은 소프트웨어와 하드웨어의 조합의 실시예의 형태를 사용할 수 있다. 나아가, 본 발명은 컴퓨터 사용가능 프로그램 코드를 포함하는 하나 이상의 컴퓨터 사용가능 저장 매체(디스크 메모리, CD-ROM, 광학식 메모리 등을 포함하지만 이것으로 한정되는 것은 아님)에서 구현되는 컴퓨터 프로그램 제품의 형태를 사용할 수도 있다.
본 발명은 본 발명의 실시예에 따른, 방법, 디바이스(시스템) 및 컴퓨터 프로그램 제품의 흐름도 및/또는 블록도를 참조해서 설명되었다. 컴퓨터 프로그램 명령어는 흐름도 및/또는 블록도의 각각의 처리 및/또는 각각의 블록 및/또는 흐름도 및/또는 블록도의 처리 및/또는 블록의 조합을 구현하는데 사용될 수 있다는 것을 이해할 것이다. 이들 컴퓨터 프로그램 명령어는 다목적 컴퓨터, 전용 컴퓨터, 내장형 프로세서 혹은 임의의 다른 프로그래밍 가능 데이터 처리 디바이스의 프로세서에 제공되어서 머신을 생성할 수 있으며, 이로써 컴퓨터 혹은 임의의 다른 프로그래밍 가능 데이터 처리 디바이스의 프로세서에 의해 실행되는 명령어는 흐름도의 하나 이상의 처리 및/또는 블록도의 하나 이상의 블록의 특정 기능을 구현하는 장치를 생성한다.
이들 컴퓨터 프로그램 명령어는 컴퓨터 판독 가능 메모리에 저장되어서 컴퓨터 혹은 임의의 다른 프로그래밍 가능 데이터 처리 디바이스가 특정 방식으로 동작하게 할 수 있으며, 이로써 컴퓨터 판독 가능 메모리에 저장된 명령어는 명령어 장치를 포함하는 아티팩트를 생성한다. 명령어 장치는 흐름도의 하나 이상의 처리 및/또는 블록도의 하나 이상의 블록의 특정 기능을 구현한다.
이들 컴퓨터 프로그램 명령어는 컴퓨터 혹은 또 다른 프로그래밍 가능 데이터 처리 디바이스에 로딩되어서, 일련의 동작 및 단계가 컴퓨터 혹은 다른 프로그래밍 가능 디바이스에서 실행되어서 컴퓨터 구현되는 프로세싱을 생성한다. 따라서, 컴퓨터 혹은 또 다른 프로그래밍 가능 디바이스에서 실행되는 명령어는 흐름도의 하나 이상의 처리 및/또는 블록도의 하나 이상의 블록의 특정 기능을 구현한다.
본 발명의 일부 실시예에 대해서 설명했지만, 신규한 기본 개념을 학습한 당업자라면 이들 실시예에 대한 변경 및 수정이 가능할 것이다. 따라서, 이하의 청구항은 실시예 및 본 발명의 범주 내에 들어가는 모든 변경 및 수정을 포함하도록 했다.
분명히, 당업자라면, 본 발명의 실시예의 사상 및 범주로부터 벗어남 없이 본 발명의 실시예에 대한 수정 및 변화가 가능할 것이다. 본 발명은 이들 수정 및 변화이 이하의 청구항 및 이들과 등가인 기술에 의해 정의되는 보호 범주에 들어간다면 이를 포함하도록 했다.

Claims (42)

  1. 액세스 인증 방법으로서,
    셀룰러 네트워크 액세스 디바이스에 의해, 키 식별자를 결정하는 단계와,
    상기 셀룰러 네트워크 액세스 디바이스에 의해, 상기 키 식별자를 사용자 장비(UE) 및 비셀룰러(non-cellular) 네트워크 액세스 디바이스로 개별적으로 전송하는 단계를 포함하되,
    상기 키 식별자는 상기 UE에게 상기 키 식별자에 대응하는 키에 기초하여 상기 비셀룰러 네트워크 액세스 디바이스와 보안 인증을 수행하도록 지시하는 데 사용되는
    액세스 인증 방법.
  2. 제 1 항에 있어서,
    상기 셀룰러 네트워크 액세스 디바이스에 의해, 키 식별자를 결정하는 단계는,
    상기 셀룰러 네트워크 액세스 디바이스에 의해, 상기 비셀룰러 네트워크 액세스 디바이스를 관리하는 논리적 기능 엔티티를 결정하는 단계 - 상기 논리적 기능 엔티티는 상기 비셀룰러 네트워크 액세스 디바이스를 포함하는 적어도 하나의 비셀룰러 네트워크 액세스 디바이스를 관리함 - 와,
    상기 셀룰러 네트워크 액세스 디바이스에 의해, 상기 논리적 기능 엔티티에 의해 관리되는 각각의 비셀룰러 네트워크 액세스 디바이스에 대해, 각각의 비셀룰러 네트워크 액세스 디바이스의 식별자에 대응하는 키 식별자를 결정하는 단계를 수행하는 단계를 포함하고,
    상기 셀룰러 네트워크 액세스 디바이스에 의해, 상기 결정된 키 식별자를 상기 UE 및 상기 비셀룰러 네트워크 액세스 디바이스로 전송하는 단계는,
    상기 셀룰러 네트워크 액세스 디바이스에 의해, 각각의 비셀룰러 네트워크 액세스 디바이스의 식별자에 대응하는 비셀룰러 네트워크 액세스 디바이스로 각각의 비셀룰러 네트워크 액세스 디바이스에 대응하는 상기 결정된 키 식별자를 전송하는 단계 및 상기 UE로 키 식별자 리스트를 전송하는 단계 - 상기 키 식별자 리스트는 상기 논리적 기능 엔티티에 의해 관리되는 각각의 비셀룰러 네트워크 액세스 디바이스의 식별자 및 각각의 비셀룰러 네트워크 액세스 디바이스에 대응하는 키 식별자를 포함함 - 를 포함하는
    액세스 인증 방법.
  3. 제 1 항에 있어서,
    상기 셀룰러 네트워크 액세스 디바이스에 의해, 키 식별자를 결정하는 단계는,
    상기 셀룰러 네트워크 액세스 디바이스에 의해, 상기 비셀룰러 네트워크 액세스 디바이스를 관리하는 논리적 기능 엔티티를 결정하는 단계 - 상기 논리적 기능 엔티티는 상기 비셀룰러 네트워크 액세스 디바이스를 포함하는 적어도 하나의 비셀룰러 네트워크 액세스 디바이스를 관리함 - 와,
    상기 셀룰러 네트워크 액세스 디바이스에 의해, 상기 적어도 하나의 비셀룰러 네트워크 액세스 디바이스에 대한 키 식별자를 결정하는 단계 - 상기 적어도 하나의 비셀룰러 네트워크 액세스 디바이스 내의 모든 비셀룰러 네트워크 액세스 디바이스의 식별자들에 대응하는 키 식별자들은 동일하고, 상기 키 식별자는 상기 UE와 상기 비셀룰러 네트워크 액세스 디바이스의 식별자에 대응하는 비셀룰러 네트워크 액세스 디바이스 사이의 보안 인증을 수행하는 데 사용됨 - 를 포함하고,
    상기 셀룰러 네트워크 액세스 디바이스에 의해, 상기 결정된 키 식별자를 상기 UE 및 상기 비셀룰러 네트워크 액세스 디바이스로 전송하는 단계는,
    상기 셀룰러 네트워크 액세스 디바이스에 의해, 상기 결정된 키 식별자를 상기 UE 및 각각의 비셀룰러 네트워크 액세스 디바이스의 식별자에 대응하는 비셀룰러 네트워크 액세스 디바이스로 개별적으로 전송하는 단계를 포함하는
    액세스 인증 방법.
  4. 제 1 항 내지 제 3 항 중 어느 한 항에 있어서,
    상기 방법은,
    상기 셀룰러 네트워크 액세스 디바이스에 의해, 상기 UE와 상기 비셀룰러 네트워크 액세스 디바이스 사이의 보안 인증을 수행하는 데 사용되는 키를 결정하는 단계를 더 포함하고,
    상기 셀룰러 네트워크 액세스 디바이스에 의해, 상기 결정된 키 식별자를 상기 UE 및 상기 비셀룰러 네트워크 액세스 디바이스로 전송하는 단계는,
    상기 셀룰러 네트워크 액세스 디바이스에 의해, 상기 키를 상기 키 식별자와 연관시킨 후 상기 키 및 상기 키 식별자를 상기 UE 및 상기 비셀룰러 네트워크 액세스 디바이스로 전송하는 단계를 포함하는
    액세스 인증 방법.
  5. 제 1 항 내지 제 3 항 중 어느 한 항에 있어서,
    상기 방법은,
    상기 셀룰러 네트워크 액세스 디바이스에 의해, 사전결정된 유도 규칙에 기초하여 키를 결정하는 단계 - 상기 키는 상기 UE와 상기 비셀룰러 네트워크 액세스 디바이스 사이의 보안 인증을 수행하는 데 사용되고, 상기 사전결정된 유도 규칙은 상기 비셀룰러 네트워크 액세스 디바이스와 상기 UE의 연관을 위한 키를 결정하기 위해 상기 UE에 의해 사용되는 유도 규칙과 동일함 - 를 더 포함하고,
    상기 셀룰러 네트워크 액세스 디바이스에 의해, 상기 결정된 키 식별자를 상기 UE 및 상기 비셀룰러 네트워크 액세스 디바이스로 전송하는 단계는,
    상기 셀룰러 네트워크 액세스 디바이스에 의해, 상기 키를 상기 키 식별자와 연관시킨 후 상기 키 및 상기 키 식별자를 상기 비셀룰러 네트워크 액세스 디바이스로 전송하는 단계 및 상기 키 식별자를 상기 UE로 전송하는 단계를 포함하는
    액세스 인증 방법.
  6. 제 2 항 내지 제 5 항 중 어느 한 항에 있어서,
    상기 방법은,
    상기 셀룰러 네트워크 액세스 디바이스에 의해, 상기 UE 및/또는 상기 비셀룰러 네트워크 액세스 디바이스로 수명 또는 인증 방식 표시 정보 중 적어도 하나를 전송하는 단계를 더 포함하며,
    상기 수명은 상기 키 및 상기 키 식별자의 유효 기간을 나타내는 데 사용되고, 상기 인증 방식 표시 정보는 상기 UE에 의해 사용되는 인증 유형을 나타내는 데 사용되는
    액세스 인증 방법.
  7. 액세스 인증 방법으로서,
    사용자 장비(UE)에 의해, 셀룰러 네트워크 액세스 디바이스에 의해 전송된 키 식별자를 수신하는 단계 - 상기 키 식별자는 상기 UE에게 상기 키 식별자에 대응하는 키에 기초하여 비셀룰러 네트워크 액세스 디바이스와 보안 인증을 수행하도록 지시하는 데 사용됨 - 와,
    상기 UE에 의해, 상기 키 식별자에 대응하는 키를 결정하는 단계와,
    상기 UE에 의해, 상기 수신된 키 식별자 및 상기 결정된 키에 따라 상기 비셀룰러 네트워크 액세스 디바이스와 보안 인증을 수행하는 단계를 포함하는
    액세스 인증 방법.
  8. 제 7 항에 있어서,
    상기 UE에 의해, 상기 키 식별자에 대응하는 키를 결정하는 단계는,
    상기 UE에 의해, 상기 키 식별자에 대응하고 상기 셀룰러 네트워크 액세스 디바이스에 의해 전송되는 키를 수신하는 단계, 또는
    상기 UE에 의해, 상기 셀룰러 네트워크 액세스 디바이스와 협상하여 상기 키 식별자에 대응하는 상기 키를 결정하는 단계, 또는
    상기 UE에 의해, 사전결정된 유도 규칙에 따라 상기 키 식별자에 대응하는 상기 키를 결정하는 단계를 포함하는
    액세스 인증 방법.
  9. 제 7 항 또는 제 8 항에 있어서,
    상기 UE에 의해, 셀룰러 네트워크 액세스 디바이스에 의해 전송된 키 식별자를 수신하는 단계는,
    상기 UE에 의해, 상기 셀룰러 네트워크 액세스 디바이스에 의해 전송된 키 식별자 리스트를 수신하는 단계 - 상기 키 식별자 리스트는 연관을 위해 상기 UE에 의해 선택될 각각의 비셀룰러 네트워크 액세스 디바이스의 식별자 및 각각의 비셀룰러 네트워크 액세스 디바이스에 대응하는 키 식별자를 포함함 - 를 포함하고,
    상기 UE에 의해, 상기 수신된 키 식별자 및 상기 결정된 키에 따라 상기 비셀룰러 네트워크 액세스 디바이스와 보안 인증을 수행하는 단계는,
    상기 결정된 키 및 타깃 비셀룰러 네트워크 액세스 디바이스의 식별자에 대응하고 상기 키 식별자 리스트에 있는 키 식별자에 따라 상기 타깃 비셀룰러 네트워크 액세스 디바이스와 보안 인증을 수행하는 단계 - 상기 타깃 비셀룰러 네트워크 액세스 디바이스는 상기 UE 또는 상기 셀룰러 네트워크 액세스 디바이스에 의해 결정됨 - 를 포함하는
    액세스 인증 방법.
  10. 액세스 인증 방법으로서,
    비셀룰러 네트워크 액세스 디바이스에 의해, 셀룰러 네트워크 액세스 디바이스에 의해 전송된 키 식별자를 수신하는 단계 - 상기 키 식별자는 상기 비셀룰러 네트워크 액세스 디바이스에게 상기 비셀룰러 네트워크 액세스 디바이스와 연관된 사용자 장비(UE)와 보안 인증을 수행하도록 지시하는 데 사용됨- 와,
    상기 비셀룰러 네트워크 액세스 디바이스와의 연관을 위해 상기 UE에 의해 개시되는 연관 요청을 수신할 때, 상기 비셀룰러 네트워크 액세스 디바이스에 의해, 상기 키 식별자에 대응하는 키에 기초하여 상기 UE와 보안 인증을 수행하는 단계를 포함하는
    액세스 인증 방법.
  11. 액세스 인증 장치로서,
    키 식별자를 결정하도록 구성된 결정 유닛과,
    상기 결정 유닛에 의해 결정된 상기 키 식별자를 사용자 장비(UE) 및 비셀룰러 네트워크 액세스 디바이스로 개별적으로 전송하도록 구성된 전송 유닛을 포함하되,
    상기 키 식별자는 상기 UE에게 상기 키 식별자에 대응하는 키에 기초하여 상기 비셀룰러 네트워크 액세스 디바이스와 보안 인증을 수행하도록 지시하는 데 사용되는
    액세스 인증 장치.
  12. 제 11 항에 있어서,
    상기 결정 유닛은 구체적으로 상기 비셀룰러 네트워크 액세스 디바이스를 관리하는 논리적 기능 엔티티를 결정 - 상기 논리적 기능 엔티티는 상기 비셀룰러 네트워크 액세스 디바이스를 포함하는 적어도 하나의 비셀룰러 네트워크 액세스 디바이스를 관리함 - 하고, 상기 논리적 기능 엔티티에 의해 관리되는 각각의 비셀룰러 네트워크 액세스 디바이스에 대해, 각각의 비셀룰러 네트워크 액세스 디바이스의 식별자에 대응하는 키 식별자를 결정하는 단계를 수행하도록 구성되고,
    상기 전송 유닛은 구체적으로 상기 결정 유닛에 의해 결정되고 각각의 비셀룰러 네트워크 액세스 디바이스에 대응하는 키 식별자를 각각의 비셀룰러 네트워크 액세스 디바이스의 식별자에 대응하는 비셀룰러 네트워크 액세스 디바이스로 전송하고, 상기 UE로 키 식별자 리스트를 전송 - 상기 키 식별자 리스트는 상기 논리적 기능 엔티티에 의해 관리되는 각각의 비셀룰러 네트워크 액세스 디바이스의 식별자 및 각각의 비셀룰러 네트워크 액세스 디바이스에 대응하는 키 식별자를 포함함 - 하도록 구성되는
    액세스 인증 장치.
  13. 제 11 항에 있어서,
    상기 결정 유닛은 구체적으로 상기 비셀룰러 네트워크 액세스 디바이스를 관리하는 논리적 기능 엔티티를 결정 - 상기 논리적 기능 엔티티는 상기 비셀룰러 네트워크 액세스 디바이스를 포함하는 적어도 하나의 비셀룰러 네트워크 액세스 디바이스를 관리함 - 하고, 상기 적어도 하나의 비셀룰러 네트워크 액세스 디바이스에 대한 키 식별자를 결정 - 상기 적어도 하나의 비셀룰러 네트워크 액세스 디바이스 내의 모든 비셀룰러 네트워크 액세스 디바이스의 식별자들에 대응하는 키 식별자들은 동일하고, 상기 키 식별자는 상기 UE와 상기 비셀룰러 네트워크 액세스 디바이스의 식별자에 대응하는 비셀룰러 네트워크 액세스 디바이스 사이의 보안 인증을 수행하는 데 사용됨 - 하도록 구성되고,
    상기 전송 유닛은 구체적으로 상기 결정 유닛에 의해 결정된 상기 키 식별자를 상기 UE 및 각각의 비셀룰러 네트워크 액세스 디바이스의 식별자에 대응하는 비셀룰러 네트워크 액세스 디바이스로 개별적으로 전송하도록 구성되는
    액세스 인증 장치.
  14. 제 11 항 내지 제 13 항 중 어느 한 항에 있어서,
    상기 결정 유닛은 또한 상기 UE와 상기 비셀룰러 네트워크 액세스 디바이스 사이의 보안 인증을 수행하는 데 사용되는 키를 결정하도록 구성되고,
    상기 전송 유닛은 구체적으로 상기 결정 유닛에 의해 결정된 키 및 상기 키 식별자를 상기 키를 상기 키 식별자와 연관시킨 후 상기 UE 및 상기 비셀룰러 네트워크 액세스 디바이스로 전송하도록 구성되는
    액세스 인증 장치.
  15. 제 11 항 내지 제 13 항 중 어느 한 항에 있어서,
    상기 결정 유닛은 또한 사전결정된 유도 규칙에 기초하여 키를 결정 - 상기 키는 상기 UE와 상기 비셀룰러 네트워크 액세스 디바이스 사이의 보안 인증을 수행하는 데 사용되고, 상기 사전결정된 유도 규칙은 상기 비셀룰러 네트워크 액세스 디바이스와 상기 UE의 연관을 위한 키를 결정하기 위해 상기 UE에 의해 사용되는 유도 규칙과 동일함 - 하도록 구성되고,
    상기 전송 유닛은 구체적으로 상기 결정 유닛에 의해 결정된 키 및 상기 키 식별자를 상기 키를 상기 키 식별자와 연관시킨 후 상기 비셀룰러 네트워크 액세스 디바이스로 전송하고, 상기 키 식별자를 상기 UE로 전송하도록 구성되는
    액세스 인증 장치.
  16. 제 12 항 내지 제 15 항 중 어느 한 항에 있어서,
    상기 전송 유닛은 또한 상기 UE 및/또는 상기 비셀룰러 네트워크 액세스 디바이스로 수명 또는 인증 방식 표시 정보 중 적어도 하나를 전송하도록 구성되고,
    상기 수명은 상기 키 및 상기 키 식별자의 유효 기간을 나타내는 데 사용되고, 상기 인증 방식 표시 정보는 상기 UE에 의해 사용되는 인증 유형을 나타내는 데 사용되는
    액세스 인증 장치.
  17. 액세스 인증 장치로서,
    수신 유닛, 결정 유닛, 및 인증 유닛을 포함하되,
    상기 수신 유닛은 셀룰러 네트워크 액세스 디바이스에 의해 전송된 키 식별자를 수신하도록 구성되고, 상기 키 식별자는 상기 인증 유닛에게 상기 키 식별자에 대응하는 키에 기초하여 비셀룰러 네트워크 액세스 디바이스와 보안 인증을 수행하도록 지시하는 데 사용되며,
    상기 결정 유닛은 상기 수신 유닛에 의해 수신된 상기 키 식별자에 대응하는 키를 결정하도록 구성되고,
    상기 인증 유닛은 상기 수신 유닛에 의해 수신된 키 식별자 및 상기 결정 유닛에 의해 결정된 키에 따라 상기 비셀룰러 네트워크 액세스 디바이스와 보안 인증을 수행하도록 구성되는
    액세스 인증 장치.
  18. 제 17 항에 있어서,
    상기 결정 유닛은 구체적으로,
    상기 수신 유닛이 상기 키 식별자에 대응하고 상기 셀룰러 네트워크 액세스 디바이스에 의해 전송되는 키를 수신할 때, 상기 키 식별자에 대응하는 상기 키를 결정하고, 또는
    상기 셀룰러 네트워크 액세스 디바이스와 협상하여 상기 키 식별자에 대응하는 상기 키를 결정하며, 또는
    사전결정된 유도 규칙에 따라 상기 키 식별자에 대응하는 상기 키를 결정하도록 구성되는
    액세스 인증 장치.
  19. 제 17 항 또는 제 18 항에 있어서,
    상기 수신 유닛은 구체적으로 상기 셀룰러 네트워크 액세스 디바이스에 의해 전송된 키 식별자 리스트를 수신하도록 구성되고, 상기 키 식별자 리스트는 연관을 위해 상기 UE에 의해 선택될 각각의 비셀룰러 네트워크 액세스 디바이스의 식별자 및 각각의 비셀룰러 네트워크 액세스 디바이스에 대응하는 키 식별자를 포함하며,
    상기 결정 유닛은 또한 타깃 비셀룰러 네트워크 액세스 디바이스를 결정하도록 구성되며,
    상기 인증 유닛은 구체적으로 상기 결정된 키 및 상기 타깃 비셀룰러 네트워크 액세스 디바이스의 식별자에 대응하고 상기 키 식별자 리스트에 있는 키 식별자에 따라 상기 타깃 비셀룰러 네트워크 액세스 디바이스와 보안 인증을 수행하도록 구성되고, 상기 타깃 비셀룰러 네트워크 액세스 디바이스는 상기 결정 유닛 또는 상기 셀룰러 네트워크 액세스 디바이스에 의해 결정되는
    액세스 인증 장치.
  20. 액세스 인증 장치로서,
    수신 유닛 및 인증 유닛을 포함하되,
    상기 수신 유닛은 셀룰러 네트워크 액세스 디바이스에 의해 전송된 키 식별자를 수신하도록 구성되고, 상기 키 식별자는 상기 인증 유닛에게 상기 액세스 인증 장치와 연관된 사용자 장비(UE)와 보안 인증을 수행하도록 지시하는 데 사용되며,
    상기 인증 유닛은 상기 수신 유닛이 상기 인증 유닛이 속하는 비셀룰러 네트워크 액세스 디바이스와의 연관을 위해 상기 UE에 의해 개시되는 연관 요청을 수신할 때, 상기 키 식별자에 대응하는 키에 기초하여 상기 UE와 보안 인증을 수행하도록 구성되는
    액세스 인증 장치.
  21. 액세스 인증 방법으로서,
    셀룰러 네트워크 액세스 디바이스에 의해, 비셀룰러 네트워크 액세스 디바이스에 대한 키를 결정하는 단계 - 상기 키는 사용자 장비(UE)와 상기 비셀룰러 네트워크 액세스 디바이스 사이의 보안 인증을 수행하는 데 사용되고, 상기 셀룰러 네트워크 액세스 디바이스에 의해 키를 결정하는 방식은 상기 UE에 의해 키를 결정하는 방식과 동일함 - 와,
    상기 셀룰러 네트워크 액세스 디바이스에 의해, 상기 결정된 키를 상기 비셀룰러 네트워크 액세스 디바이스로 전송하는 단계를 포함하는
    액세스 인증 방법.
  22. 제 21 항에 있어서,
    상기 셀룰러 네트워크 액세스 디바이스에 의해, 비셀룰러 네트워크 액세스 디바이스에 대한 키를 결정하는 단계는,
    상기 셀룰러 네트워크 액세스 디바이스에 의해, 상기 UE와 공유되는 키에 기초하여 상기 비셀룰러 네트워크 액세스 디바이스에 대한 키를 유도하는 단계를 포함하고,
    상기 키를 유도하는 데 사용되는 유도 규칙은 사전구성되고, 상기 유도 규칙은, 상기 UE에서 사전구성되고 키를 유도하는 데 사용되는 유도 규칙과 동일한
    액세스 인증 방법.
  23. 제 21 항에 있어서,
    상기 셀룰러 네트워크 액세스 디바이스에 의해, 비셀룰러 네트워크 액세스 디바이스에 대한 키를 결정하는 단계는,
    상기 셀룰러 네트워크 액세스 디바이스에 의해, 상기 UE와 공유되는 키에 기초하여 상기 비셀룰러 네트워크 액세스 디바이스에 대한 키를 유도하는 단계를 포함하고,
    상기 방법은,
    상기 셀룰러 네트워크 액세스 디바이스에 의해 상기 UE로 상기 키를 유도하는 데 사용된 유도 규칙을 전송하는 단계를 더 포함하되, 상기 유도 규칙은 상기 비셀룰러 네트워크 액세스 디바이스와 보안 인증을 수행하기 위한 키를 유도하기 위해 상기 UE에 의해 사용되는
    액세스 인증 방법.
  24. 제 21 항 내지 제 23 항 중 어느 한 항에 있어서,
    상기 셀룰러 네트워크 액세스 디바이스에 의해, 비셀룰러 네트워크 액세스 디바이스에 대한 키를 결정하는 단계는,
    상기 셀룰러 네트워크 액세스 디바이스에 의해, 상기 비셀룰러 네트워크 액세스 디바이스를 관리하는 논리적 기능 엔티티를 결정하는 단계 - 상기 논리적 기능 엔티티는 상기 비셀룰러 네트워크 액세스 디바이스를 포함하는 적어도 하나의 비셀룰러 네트워크 액세스 디바이스를 관리함 - 와,
    상기 셀룰러 네트워크 액세스 디바이스에 의해, 상기 논리적 기능 엔티티에 의해 관리되는 각각의 비셀룰러 네트워크 액세스 디바이스에 대해, 각각의 비셀룰러 네트워크 액세스 디바이스의 식별자에 대응하는 키를 결정하는 단계를 수행하는 단계를 포함하고,
    상기 셀룰러 네트워크 액세스 디바이스에 의해, 상기 결정된 키를 상기 비셀룰러 네트워크 액세스 디바이스로 전송하는 단계는,
    상기 셀룰러 네트워크 액세스 디바이스에 의해 각각의 비셀룰러 네트워크 액세스 디바이스의 식별자에 대응하는 비셀룰러 네트워크 액세스 디바이스로 각각의 비셀룰러 네트워크 액세스 디바이스에 대응하는 상기 결정된 키를 전송하는 단계를 포함하는
    액세스 인증 방법.
  25. 제 21 항 내지 제 23 항 중 어느 한 항에 있어서,
    상기 셀룰러 네트워크 액세스 디바이스에 의해, 비셀룰러 네트워크 액세스 디바이스에 대한 키를 결정하는 단계는,
    상기 셀룰러 네트워크 액세스 디바이스에 의해, 상기 비셀룰러 네트워크 액세스 디바이스를 관리하는 논리적 기능 엔티티를 결정하는 단계 - 상기 논리적 기능 엔티티는 상기 비셀룰러 네트워크 액세스 디바이스를 포함하는 적어도 하나의 비셀룰러 네트워크 액세스 디바이스를 관리함 - 와,
    상기 셀룰러 네트워크 액세스 디바이스에 의해, 상기 적어도 하나의 비셀룰러 네트워크 액세스 디바이스에 대한 키를 결정하는 단계 - 상기 적어도 하나의 비셀룰러 네트워크 액세스 디바이스 내의 모든 비셀룰러 네트워크 액세스 디바이스의 식별자들에 대응하는 키들은 동일하고, 상기 키는 상기 UE와 상기 비셀룰러 네트워크 액세스 디바이스의 식별자에 대응하는 비셀룰러 네트워크 액세스 디바이스 사이의 보안 인증을 수행하는 데 사용됨 - 를 포함하는
    액세스 인증 방법.
  26. 제 21 항 내지 제 23 항 중 어느 한 항에 있어서,
    상기 셀룰러 네트워크 액세스 디바이스에 의해, 비셀룰러 네트워크 액세스 디바이스에 대한 키를 결정하는 단계는,
    상기 셀룰러 네트워크 액세스 디바이스에 의해, 상기 비셀룰러 네트워크 액세스 디바이스를 관리하는 논리적 기능 엔티티를 결정하는 단계 - 상기 논리적 기능 엔티티는 상기 비셀룰러 네트워크 액세스 디바이스를 포함하는 적어도 하나의 비셀룰러 네트워크 액세스 디바이스를 관리하고, 상기 적어도 하나의 비셀룰러 네트워크 액세스 디바이스는 적어도 하나의 비셀룰러 네트워크 액세스 디바이스 그룹에 포함됨 - 와,
    상기 셀룰러 네트워크 액세스 디바이스에 의해, 각각의 비셀룰러 네트워크 액세스 디바이스 그룹에 대한 키를 결정하는 단계 - 각각의 비셀룰러 네트워크 액세스 디바이스 그룹에 포함된 모든 비셀룰러 네트워크 액세스 디바이스의 식별자들에 대응하는 키들은 동일하고, 상기 키는 상기 UE와 상기 비셀룰러 네트워크 액세스 디바이스의 식별자에 대응하는 비셀룰러 네트워크 액세스 디바이스 사이의 보안 인증을 수행하는 데 사용됨 - 를 포함하는
    액세스 인증 방법.
  27. 제 21 항 내지 제 26 항 중 어느 한 항에 있어서,
    상기 방법은,
    상기 비셀룰러 네트워크 액세스 디바이스에 대한 키를 결정한 후에, 상기 셀룰러 네트워크 액세스 디바이스에 의해 상기 키에 대응하는 키 식별자를 결정하는 단계와,
    상기 키 식별자를 상기 비셀룰러 네트워크 액세스 디바이스로 전송하는 단계를 더 포함하는
    액세스 인증 방법.
  28. 액세스 인증 방법으로서,
    사용자 장비(UE)에 의해 키를 결정하는 단계 - 상기 키는 상기 UE와 비셀룰러 네트워크 액세스 디바이스 사이의 보안 인증을 수행하는 데 사용됨 - 와,
    상기 UE에 의해, 상기 키에 대응하는 키 식별자를 결정하는 단계와,
    상기 UE에 의해, 상기 키 및 상기 키 식별자를 사용하여 상기 비셀룰러 네트워크 액세스 디바이스와 보안 인증을 수행하는 단계를 포함하는
    액세스 인증 방법.
  29. 제 28 항에 있어서,
    상기 UE에 의해 키를 결정하는 단계는,
    상기 UE에 의해 셀룰러 네트워크 액세스 디바이스와 공유되는 키에 기초하여 유도 규칙을 사용함으로써 상기 키를 유도하는 단계를 포함하고,
    상기 유도 규칙은 상기 셀룰러 네트워크 액세스 디바이스에 의해 전송되고, 또는 상기 유도 규칙은 상기 UE에서 사전구성되고 상기 비셀룰러 네트워크 액세스 디바이스에 대한 키를 유도하기 위해 상기 셀룰러 네트워크 액세스 디바이스에 의해 사용되는 유도 규칙과 동일한
    액세스 인증 방법.
  30. 액세스 인증 방법으로서,
    비셀룰러 네트워크 액세스 디바이스에 의해, 셀룰러 네트워크 액세스 디바이스에 의해 전송된 키를 수신하는 단계 - 상기 키는 상기 비셀룰러 네트워크 액세스 디바이스에게 상기 비셀룰러 네트워크 액세스 디바이스와 연관된 사용자 장비(UE)와 보안 인증을 수행하도록 지시하는 데 사용됨- 와,
    상기 비셀룰러 네트워크 액세스 디바이스에 의해, 상기 키에 대응하는 키 식별자를 결정하는 단계와,
    상기 비셀룰러 네트워크 액세스 디바이스에 의해, 상기 키 식별자 및 상기 키를 사용하여 상기 UE와 보안 인증을 수행하는 단계를 포함하는
    액세스 인증 방법.
  31. 제 30 항에 있어서,
    상기 비셀룰러 네트워크 액세스 디바이스에 의해, 상기 키에 대응하는 키 식별자를 결정하는 단계는,
    상기 비셀룰러 네트워크 액세스 디바이스에 의해, 키에 대응하고 상기 셀룰러 네트워크 액세스 디바이스에 의해 전송되는 키 식별자를 수신하는 단계를 포함하는
    액세스 인증 방법.
  32. 액세스 인증 장치로서,
    상기 장치는 셀룰러 네트워크 액세스 디바이스에 적용되며,
    비셀룰러 네트워크 액세스 디바이스에 대한 키를 결정하도록 구성되는 처리 유닛 - 상기 키는 사용자 장비(UE)와 상기 비셀룰러 네트워크 액세스 디바이스 사이의 보안 인증을 수행하는 데 사용되고, 상기 처리 유닛에 의해 키를 결정하는 방식은 상기 UE에 의해 키를 결정하는 방식과 동일함 - 과,
    상기 처리 유닛에 의해 결정된 키를 상기 비셀룰러 네트워크 액세스 디바이스로 전송하도록 구성되는 트랜시버 유닛을 포함하는
    액세스 인증 장치.
  33. 제 32 항에 있어서,
    상기 처리 유닛은 구체적으로 상기 UE와 공유되는 키에 기초하여 상기 비셀룰러 네트워크 액세스 디바이스에 대한 키를 유도하도록 구성되고, 상기 키를 유도하는 데 사용되는 유도 규칙은 사전구성되고, 상기 유도 규칙은, 상기 UE에서 사전구성되고 키를 유도하는 데 사용되는 유도 규칙과 동일한
    액세스 인증 장치.
  34. 제 32 항에 있어서,
    상기 처리 유닛은 구체적으로 상기 UE와 공유되는 키에 기초하여 상기 비셀룰러 네트워크 액세스 디바이스에 대한 키를 유도하도록 구성되고,
    상기 트랜시버 유닛은 또한 상기 UE로 상기 키를 유도하는 데 사용된 유도 규칙을 전송하도록 구성되며, 상기 유도 규칙은 상기 비셀룰러 네트워크 액세스 디바이스와 보안 인증을 수행하기 위한 키를 유도하기 위해 상기 UE에 의해 사용되는
    액세스 인증 장치.
  35. 제 32 항 내지 제 34 항 중 어느 한 항에 있어서,
    상기 처리 유닛은 구체적으로,
    상기 비셀룰러 네트워크 액세스 디바이스를 관리하는 논리적 기능 엔티티를 결정 - 상기 논리적 기능 엔티티는 상기 비셀룰러 네트워크 액세스 디바이스를 포함하는 적어도 하나의 비셀룰러 네트워크 액세스 디바이스를 관리함 - 하고,
    상기 논리적 기능 엔티티에 의해 관리되는 각각의 비셀룰러 네트워크 액세스 디바이스에 대해, 각각의 비셀룰러 네트워크 액세스 디바이스의 식별자에 대응하는 키를 결정하는 단계를 수행하도록 구성되고,
    상기 처리 유닛에 의해 결정된 키를 상기 비셀룰러 네트워크 액세스 디바이스로 전송할 때, 상기 트랜시버 유닛은 구체적으로,
    각각의 비셀룰러 네트워크 액세스 디바이스의 식별자에 대응하는 비셀룰러 네트워크 액세스 디바이스로, 상기 처리 유닛에 의해 결정되고 각각의 비셀룰러 네트워크 액세스 디바이스에 대응하는 상기 키를 전송하도록 구성되는
    액세스 인증 장치.
  36. 제 32 항 내지 제 34 항 중 어느 한 항에 있어서,
    상기 처리 유닛은 구체적으로,
    상기 비셀룰러 네트워크 액세스 디바이스를 관리하는 논리적 기능 엔티티를 결정 - 상기 논리적 기능 엔티티는 상기 비셀룰러 네트워크 액세스 디바이스를 포함하는 적어도 하나의 비셀룰러 네트워크 액세스 디바이스를 관리함 - 하고,
    상기 적어도 하나의 비셀룰러 네트워크 액세스 디바이스에 대한 키를 결정 - 상기 적어도 하나의 비셀룰러 네트워크 액세스 디바이스 내의 모든 비셀룰러 네트워크 액세스 디바이스의 식별자들에 대응하는 키들은 동일하고, 상기 키는 상기 UE와 상기 비셀룰러 네트워크 액세스 디바이스의 식별자에 대응하는 비셀룰러 네트워크 액세스 디바이스 사이의 보안 인증을 수행하는 데 사용됨 - 하도록 구성되는
    액세스 인증 장치.
  37. 제 32 항 내지 제 34 항 중 어느 한 항에 있어서,
    상기 처리 유닛은 구체적으로,
    상기 비셀룰러 네트워크 액세스 디바이스를 관리하는 논리적 기능 엔티티를 결정 - 상기 논리적 기능 엔티티는 상기 비셀룰러 네트워크 액세스 디바이스를 포함하는 적어도 하나의 비셀룰러 네트워크 액세스 디바이스를 관리하고, 상기 적어도 하나의 비셀룰러 네트워크 액세스 디바이스는 적어도 하나의 비셀룰러 네트워크 액세스 디바이스 그룹에 포함됨 - 하고,
    각각의 비셀룰러 네트워크 액세스 디바이스 그룹에 대한 키를 결정 - 각각의 비셀룰러 네트워크 액세스 디바이스 그룹에 포함된 모든 비셀룰러 네트워크 액세스 디바이스의 식별자들에 대응하는 키들은 동일하고, 상기 키는 상기 UE와 상기 비셀룰러 네트워크 액세스 디바이스의 식별자에 대응하는 비셀룰러 네트워크 액세스 디바이스 사이의 보안 인증을 수행하는 데 사용됨 - 하도록 구성되는
    액세스 인증 장치.
  38. 제 32 항 내지 제 37 항 중 어느 한 항에 있어서,
    상기 처리 유닛은 또한, 상기 비셀룰러 네트워크 액세스 디바이스에 대한 키를 결정한 후에, 상기 키에 대응하는 키 식별자를 결정하도록 구성되고,
    상기 트랜시버 유닛은 또한 상기 처리 유닛에 의해 결정된 키 식별자를 상기 비셀룰러 네트워크 액세스 디바이스로 전송하도록 구성되는
    액세스 인증 장치.
  39. 액세스 인증 장치로서,
    상기 장치는 사용자 장비(UE)에 적용되고,
    결정 유닛과,
    인증 유닛을 포함하되,
    상기 결정 유닛은 키를 결정 - 상기 키는 상기 UE와 비셀룰러 네트워크 액세스 디바이스 사이의 보안 인증을 수행하는 데 사용됨 - 하고, 상기 키에 대응하는 키 식별자를 결정하도록 구성되며,
    상기 인증 유닛은 상기 키 및 상기 키 식별자를 사용하여 상기 비셀룰러 네트워크 액세스 디바이스와 보안 인증을 수행하도록 구성되는
    액세스 인증 장치.
  40. 제 39 항에 있어서,
    상기 키를 결정할 때, 상기 결정 유닛은 구체적으로 셀룰러 네트워크 액세스 디바이스와 공유되는 키에 기초하여 유도 규칙을 사용함으로써 상기 키를 유도하도록 구성되고,
    상기 유도 규칙은 상기 셀룰러 네트워크 액세스 디바이스에 의해 전송되고, 또는 상기 유도 규칙은 상기 UE에서 사전구성되고 상기 비셀룰러 네트워크 액세스 디바이스에 대한 키를 유도하기 위해 상기 셀룰러 네트워크 액세스 디바이스에 의해 사용되는 유도 규칙과 동일한
    액세스 인증 장치.
  41. 액세스 인증 장치로서,
    상기 장치는 비셀룰러 네트워크 액세스 디바이스에 의해 적용되고,
    셀룰러 네트워크 액세스 디바이스에 의해 전송된 키를 수신하도록 구성되는 트랜시버 유닛 - 상기 키는 상기 비셀룰러 네트워크 액세스 디바이스에게 상기 비셀룰러 네트워크 액세스 디바이스와 연관된 사용자 장비(UE)와 보안 인증을 수행하도록 지시하는 데 사용됨- 과,
    상기 키에 대응하는 키 식별자를 결정하고, 상기 키 식별자 및 상기 키를 사용하여 상기 UE와 보안 인증을 수행하도록 구성되는 처리 유닛을 포함하는
    액세스 인증 장치.
  42. 제 41 항에 있어서,
    상기 트랜시버 유닛은 또한 상기 키에 대응하고 상기 셀룰러 네트워크 액세스 디바이스에 의해 전송되는 상기 키 식별자를 수신하도록 구성되는
    액세스 인증 장치.
KR1020187006457A 2015-08-11 2015-09-25 액세스 인증 방법 및 장치 KR102022813B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN2015086637 2015-08-11
CNPCT/CN2015/086637 2015-08-11
PCT/CN2015/090766 WO2017024662A1 (zh) 2015-08-11 2015-09-25 一种接入认证方法及装置

Publications (2)

Publication Number Publication Date
KR20180038493A true KR20180038493A (ko) 2018-04-16
KR102022813B1 KR102022813B1 (ko) 2019-09-18

Family

ID=57982993

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020187006457A KR102022813B1 (ko) 2015-08-11 2015-09-25 액세스 인증 방법 및 장치

Country Status (8)

Country Link
US (1) US20180167811A1 (ko)
EP (1) EP3328106B1 (ko)
JP (1) JP6702595B2 (ko)
KR (1) KR102022813B1 (ko)
CN (1) CN106797559B (ko)
BR (1) BR112018002544A2 (ko)
RU (1) RU2699403C1 (ko)
WO (1) WO2017024662A1 (ko)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108449755A (zh) * 2018-04-03 2018-08-24 新华三技术有限公司 一种终端接入方法和装置
US11121871B2 (en) * 2018-10-22 2021-09-14 International Business Machines Corporation Secured key exchange for wireless local area network (WLAN) zero configuration
US11197154B2 (en) * 2019-12-02 2021-12-07 At&T Intellectual Property I, L.P. Secure provisioning for wireless local area network technologies
EP4002766B1 (en) * 2020-11-18 2024-04-24 Deutsche Telekom AG Method and system for reachability of services specific to one specific network access over a different network access and system thereof

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013181847A1 (zh) * 2012-06-08 2013-12-12 华为技术有限公司 一种无线局域网接入鉴权方法、设备及系统

Family Cites Families (39)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3105361B2 (ja) * 1992-08-19 2000-10-30 日本電信電話株式会社 移動通信方式における認証方法
US6920559B1 (en) * 2000-04-28 2005-07-19 3Com Corporation Using a key lease in a secondary authentication protocol after a primary authentication protocol has been performed
MXPA04010624A (es) * 2002-04-26 2004-12-13 Thomson Licensing Sa Cuenta, autorizacion y autentificacion transitoria en el interfuncionamiento entre redes de acceso.
US7103359B1 (en) * 2002-05-23 2006-09-05 Nokia Corporation Method and system for access point roaming
US20050138355A1 (en) * 2003-12-19 2005-06-23 Lidong Chen System, method and devices for authentication in a wireless local area network (WLAN)
JP4721739B2 (ja) * 2005-03-18 2011-07-13 三洋電機株式会社 無線lanシステム
US7606370B2 (en) * 2005-04-05 2009-10-20 Mcafee, Inc. System, method and computer program product for updating security criteria in wireless networks
JP5014608B2 (ja) * 2005-09-30 2012-08-29 富士通株式会社 グループ通信方法、利用装置および管理装置
US7339915B2 (en) * 2005-10-11 2008-03-04 Cisco Technology, Inc. Virtual LAN override in a multiple BSSID mode of operation
US8374122B2 (en) * 2005-12-21 2013-02-12 Cisco Technology, Inc. System and method for integrated WiFi/WiMax neighbor AP discovery and AP advertisement
US20070224988A1 (en) * 2006-03-24 2007-09-27 Interdigital Technology Corporation Method and apparatus for performing a handover procedure between a 3gpp lte network and an alternative wireless network
EP2041910A4 (en) * 2006-07-06 2013-05-22 Apple Inc WIRELESS ACCESS POINT SECURITY FOR MULTIHOP NETWORKS
US8073428B2 (en) * 2006-09-22 2011-12-06 Kineto Wireless, Inc. Method and apparatus for securing communication between an access point and a network controller
US8320561B2 (en) * 2007-08-08 2012-11-27 Qualcomm Incorporated Key identifier in packet data convergence protocol header
US8667151B2 (en) * 2007-08-09 2014-03-04 Alcatel Lucent Bootstrapping method for setting up a security association
ES2589112T3 (es) * 2007-11-30 2016-11-10 Telefonaktiebolaget Lm Ericsson (Publ) Gestión de claves para comunicación segura
US8898474B2 (en) * 2008-11-04 2014-11-25 Microsoft Corporation Support of multiple pre-shared keys in access point
KR101556906B1 (ko) * 2008-12-29 2015-10-06 삼성전자주식회사 선인증을 통한 이종 무선 통신망 간의 핸드오버 방법
US20100246416A1 (en) * 2009-03-25 2010-09-30 Amit Sinha Systems and methods for remote testing of wireless lan access points
WO2010115313A1 (zh) * 2009-04-10 2010-10-14 深圳华为通信技术有限公司 切换方法、装置和系统
CN102045714B (zh) * 2009-10-10 2013-07-10 上海贝尔股份有限公司 提供3gpp网络与无线局域网互通安全的方法和装置
US8630416B2 (en) * 2009-12-21 2014-01-14 Intel Corporation Wireless device and method for rekeying with reduced packet loss for high-throughput wireless communications
CN106131081A (zh) * 2010-12-30 2016-11-16 交互数字专利控股公司 从应用服务器接入服务的方法及移动装置
EP2730112A4 (en) * 2011-07-08 2015-05-06 Nokia Corp METHOD AND APPARATUS FOR AUTHENTICATING SUBSCRIBERS TO LONG-TERM EVOLUTION TELECOMMUNICATION NETWORKS OR UNIVERSAL MOBILE TELECOMMUNICATION SYSTEM
CN103026745B (zh) * 2011-07-29 2015-10-21 华为技术有限公司 一种简化无线局域网认证的方法、装置及系统
US8837741B2 (en) * 2011-09-12 2014-09-16 Qualcomm Incorporated Systems and methods for encoding exchanges with a set of shared ephemeral key data
US9143937B2 (en) * 2011-09-12 2015-09-22 Qualcomm Incorporated Wireless communication using concurrent re-authentication and connection setup
US8594628B1 (en) * 2011-09-28 2013-11-26 Juniper Networks, Inc. Credential generation for automatic authentication on wireless access network
US20140289826A1 (en) * 2011-11-07 2014-09-25 Option Establishing a communication session
CN103428690B (zh) * 2012-05-23 2016-09-07 华为技术有限公司 无线局域网络的安全建立方法及系统、设备
WO2014028691A1 (en) * 2012-08-15 2014-02-20 Interdigital Patent Holdings, Inc. Enhancements to enable fast security setup
US8923880B2 (en) * 2012-09-28 2014-12-30 Intel Corporation Selective joinder of user equipment with wireless cell
US9078131B2 (en) * 2013-05-05 2015-07-07 Intel IP Corporation Apparatus, system and method of communicating location-enabling information for location estimation
CN105264815A (zh) * 2013-06-04 2016-01-20 三星电子株式会社 使用组密钥的基于无线对接的服务的方法和设备
JP6304788B2 (ja) * 2014-03-24 2018-04-04 インテル アイピー コーポレーション 無線ローカルエリアネットワークにおいてユーザ機器(ue)の通信をセキュアにする装置、システム及び方法
US10499440B2 (en) * 2015-02-12 2019-12-03 Telefonaktiebolaget Lm Ericsson (Publ) Wireless communications involving a fast initial link setup, FILS, discovery frame for network signaling
US9769661B2 (en) * 2015-04-06 2017-09-19 Qualcomm, Incorporated Wireless network fast authentication / association using re-association object
CN107690828B (zh) * 2015-04-10 2021-04-20 瑞典爱立信有限公司 自主lte-wlan接口设置和信息交换
EP3305009B1 (en) * 2015-05-26 2023-07-26 Intel Corporation Wlan mobility for lte/wlan aggregation

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013181847A1 (zh) * 2012-06-08 2013-12-12 华为技术有限公司 一种无线局域网接入鉴权方法、设备及系统

Also Published As

Publication number Publication date
RU2699403C1 (ru) 2019-09-05
EP3328106A1 (en) 2018-05-30
JP6702595B2 (ja) 2020-06-03
EP3328106B1 (en) 2020-08-12
KR102022813B1 (ko) 2019-09-18
BR112018002544A2 (pt) 2018-09-18
CN106797559A (zh) 2017-05-31
US20180167811A1 (en) 2018-06-14
EP3328106A4 (en) 2018-08-29
CN106797559B (zh) 2020-07-28
WO2017024662A1 (zh) 2017-02-16
JP2018527819A (ja) 2018-09-20

Similar Documents

Publication Publication Date Title
EP3494721B1 (en) Techniques for handover of a connection between a wireless device and a local area network, from a source access node to a target access node
JP6386565B2 (ja) 無線アクセスネットワーク間のアクセスステアリングを向上させるための方法および装置
EP3917212A1 (en) Serving gateway extensions for inter-system mobility
US20150282239A1 (en) Method and apparatus for managing dual connection establishment
US11356844B2 (en) WWAN-WLAN aggregation security
US20150029973A1 (en) Signalling Interfaces in Communications
JP2017538345A (ja) 方法、装置およびシステム
US20180167811A1 (en) Access authentication method and apparatus
US20160337922A1 (en) RAN-WLAN Traffic Steering
CN106465439B (zh) 多流聚合方法、装置及系统

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant