KR20200086333A - 직접 발견을 위한 애플리케이션들의 인가 - Google Patents

직접 발견을 위한 애플리케이션들의 인가 Download PDF

Info

Publication number
KR20200086333A
KR20200086333A KR1020207016653A KR20207016653A KR20200086333A KR 20200086333 A KR20200086333 A KR 20200086333A KR 1020207016653 A KR1020207016653 A KR 1020207016653A KR 20207016653 A KR20207016653 A KR 20207016653A KR 20200086333 A KR20200086333 A KR 20200086333A
Authority
KR
South Korea
Prior art keywords
application
discovery
authorized
security
authorization
Prior art date
Application number
KR1020207016653A
Other languages
English (en)
Other versions
KR102255901B1 (ko
Inventor
치 왕
이강 카이
Original Assignee
노키아 테크놀로지스 오와이
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 노키아 테크놀로지스 오와이 filed Critical 노키아 테크놀로지스 오와이
Publication of KR20200086333A publication Critical patent/KR20200086333A/ko
Application granted granted Critical
Publication of KR102255901B1 publication Critical patent/KR102255901B1/ko

Links

Images

Classifications

    • H04W12/0027
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • H04W12/37Managing security policies for mobile devices or for controlling mobile applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/63Location-dependent; Proximity-dependent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/02Services making use of location information
    • H04W4/023Services making use of location information using mutual or relative location information between multiple location based services [LBS] targets or of distance thresholds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/80Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • H04W76/14Direct-mode setup
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/005Discovery of network devices, e.g. terminals

Abstract

직접 발견을 위해 사용자 장비(UE) 내의 애플리케이션을 인가하기 위한 시스템들, 방법들, 및 소프트웨어가 제공된다. 일 실시예에서, 인가 메커니즘은 UE 내의 애플리케이션에 의해 전송된 발견 요청에 대한 정보(예를 들어, 애플리케이션 ID)를 수신한다. 발견 요청에 응답하여, 인가 메커니즘은 애플리케이션 ID에 매핑되는 보안 파라미터들에 관한 정보에 대해 UE를 챌린지한다. UE에 의해 제공되는 정보에 기초하여, 인가 메커니즘은 애플리케이션이 직접 발견에 대해 인가되는지를 결정한다.

Description

직접 발견을 위한 애플리케이션들의 인가
본 발명은 통신 시스템 분야에 관한 것으로, 특히 근접 서비스들에 대한 직접 발견(direct discovery)에 관한 것이다.
이동 통신들은 주로 결국에는 코어 네트워크에 연결된 기지국과 통신하는 이동국(즉, 사용자 장비(UE))을 수반하였다. 제어 및 사용자 평면 트래픽은 코어 네트워크를 통해 라우팅되었다. 근접 서비스들 또는 근접-기반 서비스들은 서로 근접해 있는 UE들 사이에 제공되는 서비스들을 지칭한다. 근접 서비스들은 UE들의 무선 기술들을 이용하여, 매우 근접한 UE들이 단말 간(device-to-device, D2D) 통신들이라고도 지칭되는 코어 네트워크를 통과하지 않고 서로 직접 통신들을 교환할 수 있도록 한다.
3세대 협력 계획(Third Generation Partnership Program, 3GPP)은 셀룰러 네트워크에 대한 언더레이로서 D2D 통신들을 허용하는 근접 서비스들(Proximity Services, ProSe)을 정의했다. D2D 통신들에서, UE들은 코어 네트워크를 통해 데이터 신호들을 라우팅하는 대신에 셀룰러 자원들을 이용하여 직접 링크를 통해 데이터 신호들을 서로 전송한다. 따라서, D2D 통신들은 진화된 패킷 핵심망(Evolved Packet Core, EPC)과 같은 코어 네트워크를 통해 트래픽을 라우팅하는 대신에 서로의 부근에 있는 UE들 사이에 직접 트래픽을 전송하는 것을 수반한다. 아주 근접한 UE들 사이에 직접 통신이 있기 때문에, D2D 통신들은 추가적인 기반 시설(infrastructure) 없이 EPC 네트워크로부터 트래픽을 오프로드한다. D2D 통신들은 또한 UE 내에서 더 높은 데이터 레이트들, 더 낮은 전송 지연들, 및 더 나은 전력 효율을 제공할 수 있다.
근접 서비스들은 일반적으로 발견, 직접 통신, 및 UE-대-네트워크 중계(UE-to-network relay)를 포함한다. 발견은 서로 근접한 UE들을 식별하는 절차이다. 직접 통신은 근접한 UE들이 로컬 무선 자원들을 사용하여 통신할 수 있는 절차이다. UE-대-네트워크 중계는 UE가 원격 UE로부터 네트워크로, 또는 네트워크로부터 원격 UE로 트래픽을 중계할 수 있는 절차이다. 예를 들어, UE(원격 UE라고 지칭됨)가 네트워크에 대한 기지국들의 커버리지 영역 외부에 있다면, UE-대-네트워크 중계 절차는 원격 UE가 중계 UE와의 직접 통신을 통해 기지국의 커버리지 영역에 있는 중계 UE로 트래픽을 송신할 수 있도록 한다. 중계 UE는 결국 네트워크 기지국과 통신함으로써 원격 UE로부터 네트워크로 트래픽을 전달한다.
3GPP는 발견 절차 동안 UE를 인가하기 위한 일부 절차들을 정의하였다. 그러나, 현재 인가 절차들은 근접 서비스들을 사용하려고 시도하는 악의적 애플리케이션을 검출하기에 불충분할 수 있다.
본 명세서에서 설명된 실시예들은 직접 발견을 요청하는 UE 상의 애플리케이션을 인가하기 위한 메커니즘들을 제공한다. UE 상의 애플리케이션이 ProSe에 대한 발견 요청을 전송할 때, 본 명세서에 설명된 바와 같은 인가 메커니즘은 애플리케이션이 직접 발견을 위해 인가되는 것을 보장하기 위해 향상된 발견 인가 절차들을 제공한다. 근접 서비스들에 대한 애플리케이션들은 애플리케이션 식별자들(Identifiers, ID)에 의해 구별되고, 네트워크 운영자는 애플리케이션 ID들에 대한 하나 이상의 보안 파라미터들을 정의할 수 있다. 본 명세서에서 설명되는 인가 메커니즘은, 발견 요청에서 제공되는 애플리케이션 ID에 대한 보안 파라미터들에 관련된 정보를 요청하는 챌린지 메시지를 UE에 전송하고, UE에 의해 제공된 챌린지 메시지에 대한 응답에 기초하여 애플리케이션이 애플리케이션 ID를 사용한 직접 발견에 대해 인가되는지를 결정할 수 있다. 본 명세서에서 설명되는 발견 인가 절차들은 악성 애플리케이션으로부터의 발견 요청들이 거절될 수 있도록 이 악성 애플리케이션이 애플리케이션 ID를 스푸핑(spoofing)하는 경우를 결정할 수 있다는 점에서 유리하다.
일 실시예는 ProSe에 대한 발견 인가 절차를 수행하는 인가 메커니즘을 포함한다. 인가 메커니즘은 UE 내의 애플리케이션에 의해 전송되는 발견 요청에 대한 정보를 수신하도록 구성되는 검증 제어기(validation controller)를 포함한다. 발견 요청은 애플리케이션을 위한 애플리케이션 ID를 포함한다. 인가 메커니즘은 발견 인가 절차에 대한 검증 규칙들을 결정하도록 구성된 규칙 엔진을 더 포함한다. 검증 제어기는 애플리케이션 ID에 매핑되는 보안 파라미터들에 대한 챌린지 값들을 요청하는 보안 챌린지 메시지를 UE에 전송하고, 보안 챌린지 메시지에 응답하여 UE로부터 보안 응답 메시지를 수신하고, UE에 의해 제공되는 보안 응답 메시지로부터 보안 파라미터들에 대한 챌린지 값들을 추출하고, 보안 파라미터들에 대한 챌린지 값들 및 검증 규칙들에 기초하여 애플리케이션이 애플리케이션 ID를 사용한 직접 발견을 위해 인가되는지를 결정하도록 구성된다. 검증 제어기는 애플리케이션이 애플리케이션 ID를 사용한 직접 발견에 대해 인가될 때, 애플리케이션에 의해 전송된 발견 요청을 인가하기 위한 검증 표시자를 생성하도록 구성된다.
다른 실시예에서, 검증 제어기는 애플리케이션이 애플리케이션 ID를 사용한 직접 발견에 대해 인가되지 않을 때, 애플리케이션에 의해 전송된 발견 요청을 거절하기 위한 거절 표시자를 생성하도록 구성된다.
다른 실시예에서, 인가 메커니즘은 보안 파라미터들을 애플리케이션 ID에 매핑하는 데이터베이스를 더 포함한다. 애플리케이션 ID에 매핑된 보안 파라미터들은 애플리케이션 ID에 대해 프로비저닝된 인가 값들을 포함한다.
다른 실시예에서, 검증 제어기는 애플리케이션 ID에 매핑된 보안 파라미터들에 대한 인가된 값들을 식별하고, UE에 의해 제공된 챌린지 값들을 애플리케이션 ID에 대해 프로비저닝된 인가 값들과 비교하여 애플리케이션이 애플리케이션 ID를 사용한 직접 발견을 위해 인가되는지를 결정하도록 구성된다.
다른 실시예에서, 검증 제어기는 UE에 할당된 네트워크 주소를 요청하는 보안 챌린지 메시지를 UE에 전송하도록 구성된다.
다른 실시예에서, 검증 제어기는 공중 육상 이동 네트워크(Public Land Mobile Network, PLMN) 코드를 요청하는 보안 챌린지 메시지를 UE에 전송하도록 구성된다.
다른 실시예에서, 검증 제어기는 UE에 대한 위치 코드를 요청하는 보안 챌린지 메시지를 UE에 전송하도록 구성된다.
다른 실시예에서, 검증 제어기는 애플리케이션에 접근하기 위해 사용되는 암호를 요청하는 보안 챌린지 메시지를 UE에 전송하도록 구성된다.
다른 실시예에서, 인가 메커니즘은 UE로부터 발견 요청을 수신하는 ProSe 기능부에서 구현된다.
다른 실시예에서, 인가 메커니즘은 UE로부터 발견 요청을 수신하는 ProSe 기능부에 통신 가능하도록 결합되는 ProSe 애플리케이션 서버에서 구현된다.
다른 실시예는 ProSe에 대한 발견 인가 절차를 수행하는 방법을 포함한다. 방법은 UE 내의 애플리케이션에 의해 전송된 발견 요청을 위한 정보를 수신하는 단계를 포함하고, 발견 요청은 애플리케이션을 위한 애플리케이션 ID를 포함한다. 방법은 발견 인가 절차를 위한 검증 규칙들을 결정하는 단계, 애플리케이션 ID에 매핑되는 보안 파라미터들에 대한 챌린지 값들을 요청하는 보안 챌린지 메시지를 인가 메커니즘으로부터 UE로 전송하는 단계, 보안 챌린지 메시지에 응답하여 UE로부터 보안 응답 메시지를 수신하는 단계, UE에 의해 제공된 보안 응답 메시지로부터 보안 파라미터들의 챌린지 값들을 추출하는 단계, 및 보안 파라미터들 및 검증 규칙들을 위한 챌린지 값들에 기초하여 애플리케이션이 애플리케이션 ID를 사용한 직접 발견에 대해 인가되는지를 결정하는 단계를 포함한다. 방법은 애플리케이션이 애플리케이션 ID를 사용한 직접 발견에 대해 인가될 때, 애플리케이션에 의해 전송된 발견 요청을 인가하기 위해 검증 표시자를 생성하는 단계를 포함한다.
다른 실시예에서, 방법은 애플리케이션이 애플리케이션 ID를 사용한 직접 발견에 대해 인가되지 않을 때, 애플리케이션에 의해 전송된 발견 요청을 거절하기 위해 거절 표시자를 생성하는 단계를 더 포함한다.
다른 실시예에서, 방법은 보안 파라미터들을 애플리케이션 ID에 매핑하는 데이터베이스를 저장하는 단계를 포함한다. 애플리케이션 ID에 매핑된 보안 파라미터들은 애플리케이션 ID에 대해 프로비저닝된 인가 값들을 포함한다.
다른 실시예에서, 애플리케이션이 직접 발견을 위해 인가되는지를 결정하는 단계는 애플리케이션 ID에 매핑되는 보안 파라미터들에 대한 인가 값들을 식별하는 단계, 및 UE에 의해 제공되는 챌린지 값들을 애플리케이션 ID에 대해 프로비저닝된 인가 값들과 비교하여 애플리케이션이 애플리케이션 ID를 사용한 직접 발견을 위해 인가되는지를 결정하는 단계를 포함한다.
다른 실시예는 하나 이상의 프로세서들에 의해 실행되는 프로그래밍된 명령어들을 구현하는 비일시적 컴퓨터 판독 가능 매체를 포함하며, 명령어들은 프로세서들이 ProSe에 대한 발견 인가 절차를 수행하는 인가 메커니즘을 구현하도록 지시한다. 인가 메커니즘은 UE 내의 애플리케이션에 의해 전송된 발견 요청에 대한 정보를 수신하도록 구성되고, 여기서 발견 요청은 애플리케이션에 대한 애플리케이션 ID를 포함한다. 인가 메커니즘은 발견 인가 절차를 위한 검증 규칙들을 결정하고, 애플리케이션 ID에 매핑되는 보안 파라미터들에 대한 챌린지 값들을 요청하는 보안 챌린지 메시지를 UE에 전송하고, 보안 챌린지 메시지에 응답하여 UE로부터 보안 응답 메시지를 수신하고, UE에 의해 제공되는 보안 응답 메시지로부터 보안 파라미터들에 대한 챌린지 값들을 추출하고, 애플리케이션이 보안 파라미터들 및 검증 규칙들을 위한 챌린지 값들에 기초하여 애플리케이션 ID를 사용한 직접 발견에 대해 인가되는지를 결정하도록 구성된다. 인가 메커니즘은 애플리케이션이 애플리케이션 ID를 사용한 직접 발견에 대해 인가될 때, 애플리케이션에 의해 전송된 발견 요청을 인가하기 위해 검증 표시자를 생성하도록 구성된다.
다른 실시예에서, 인가 메커니즘은 애플리케이션이 애플리케이션 ID를 사용한 직접 발견에 대해 인가되지 않을 때, 애플리케이션에 의해 전송된 발견 요청을 거절하기 위해 거절 표시자를 생성하도록 구성된다.
다른 실시예에서, 인가 메커니즘은 보안 파라미터들을 애플리케이션 ID에 매핑하는 데이터베이스를 저장하도록 구성된다. 애플리케이션 ID에 매핑된 보안 파라미터들은 애플리케이션 ID에 대해 프로비저닝된 인가 값들을 포함한다.
다른 실시예에서, 인가 메커니즘은 애플리케이션 ID에 매핑되는 보안 파라미터들에 대한 인가된 값들을 식별하고, UE에 의해 제공되는 챌린지 값들을 애플리케이션에 대해 프로비저닝된 인가 값들과 비교하여 애플리케이션이 애플리케이션 ID를 사용한 직접 발견에 대해 인가되는지를 결정하도록 구성된다.
다른 실시예에서, 인가 메커니즘은 UE로부터 발견 요청을 수신하는 ProSe 기능부에서 구현된다.
다른 실시예에서, 인가 메커니즘은 UE로부터 발견 요청을 수신하는 ProSe 기능부에 통신 가능하도록 결합되는 ProSe 애플리케이션 서버로에서 구현된다.
다른 실시예는 ProSe에 대한 발견 인가 절차를 수행하는 인가 메커니즘을 포함한다. 인가 메커니즘은 UE 내의 애플리케이션에 의해 전송된 발견 요청에 대한 정보를 수신하기 위한 수단을 포함하며, 발견 요청은 애플리케이션에 대한 애플리케이션 ID를 포함한다. 인가 메커니즘은 발견 인가 절차에 대한 검증 규칙들을 결정하기 위한 수단을 포함한다. 검증 메커니즘은 애플리케이션 ID에 매핑되는 보안 파라미터들에 대한 챌린지 값들을 요청하는 보안 챌린지 메시지를 UE에 전송하기 위한 수단들을 포함한다. 인가 메커니즘은 보안 챌린지 메시지에 응답하여 UE로부터의 보안 응답 메시지를 수신하기 위한 수단을 포함한다. 인가 메커니즘은 UE에 의해 제공되는 보안 응답 메시지로부터 보안 파라미터들에 대한 챌린지 값들을 추출하기 위한 수단을 포함한다. 인가 메커니즘은 보안 파라미터들에 대한 챌린지 값들 및 검증 규칙들에 기초하여 애플리케이션이 애플리케이션 ID를 사용한 직접 발견에 대해 인가되는지를 결정하기 위한 수단을 포함한다. 인가 메커니즘은 애플리케이션이 애플리케이션 ID를 사용한 직접 발견에 대해 인가될 때, 애플리케이션에 의해 전송된 발견 요청을 인가하기 위해 검증 표시자를 생성하기 위한 수단을 포함한다.
상기 요약은 명세서의 일부 양태들의 기본적인 이해를 제공한다. 이 요약은 본 명세서의 광범위한 개요가 아니다. 이는 명세서의 핵심적인 또는 중요한 요소들을 식별하기 위한 것도 아니고, 명세서의 특정의 실시예들의 임의의 범위 또는 청구항들의 임의의 범위를 설명하기 위한 것도 아니다. 그것의 유일한 목적은 이후에 제시되는 더 상세한 설명에 대한 서문으로서 본 명세서의 일부 개념들을 간략화된 형태로 제시하는 것이다.
본 발명의 일부 실시예들은 이제 첨부 도면들을 참조하여 단지 예로서 설명된다. 동일한 참조 번호는 모든 도면들에서 동일한 요소 또는 동일한 유형의 요소를 나타낸다.
도 1은 ProSe 특징들에 대한 아키텍처를 예시한다.
도 2는 UE에 대한 서비스 사전 구성 절차를 예시한다.
도 3은 UE에 대한 서비스 인가 절차를 예시한다.
도 4는 통지 UE에 대한 발견 요청 절차를 예시한다.
도 5는 감시 UE에 대한 발견 요청 절차를 예시한다.
도 6은 예시적인 실시예에서 근접 서비스들을 위한 아키텍처를 예시한다.
도 7은 예시적인 실시예에서 인가 메커니즘의 블록도이다.
도 8은 예시적인 실시예에서 데이터베이스를 예시한다.
도 9는 예시적인 실시예에서 발견 인가 절차를 수행하는 방법을 예시하는 흐름도이다.
도 10은 예시적인 실시예에서 애플리케이션이 직접 발견에 대해 인가되는지를 결정하는 방법을 예시하는 흐름도이다.
도 11은 예시적인 실시예에서 인가 메커니즘이 ProSe 기능부에서 구현될 때의 흐름도이다.
도 12는 예시적인 실시예에서 인가 메커니즘이 ProSe 애플리케이션 서버에서 구현될 때의 흐름도이다.
도면들 및 이하의 설명은 특정 예시적인 실시예들을 예시한다. 따라서, 본 기술 분야의 통상의 기술자는 본 명세서에 명시적으로 설명되거나 도시되지는 않았지만, 실시예들의 원리를 구현하고 실시예들의 범위 내에 포함되는 다양한 배열들을 고안할 수 있을 것이라는 점이 인식될 것이다. 또한, 본 명세서에 설명된 임의의 예들은 실시예들의 원리들을 이해하는 것을 돕기 위한 것으로 의도되고, 이러한 구체적으로 인용된 예들 및 조건들에 제한되지 않는 것으로 해석되어야 한다. 결과적으로, 본 발명의 개념(들)은 이하에서 설명되는 특정 실시예들 또는 예들에 제한되지 않고, 청구항들 및 그들의 등가물에 의해 제한된다.
도 1은 ProSe 특징들에 대한 아키텍처(100)를 예시한다. 아키텍처(100)는 3GPP TS 23.303(버전 15.0.0)에 설명된 바와 같은 공중 육상 이동 통신망(Public Land Mobile Network, PLMN)에서 비-로밍 시나리오를 예시하며, 이는 본 명세서에 완전히 포함되는 것처럼 참조로 포함된다. 아키텍처(100)는 E-UTRAN(Evolved-UMTS Terrestrial Radio Access Network)(112)으로서 예시되는 무선 액세스 네트워크(Radio Access Network, RAN)를 통해 UE들(120-121)과 통신하는 진화된 패킷 핵심망(Evolved Packet Core, EPC) 네트워크(110)를 포함한다. 도 1에 도시되지는 않았지만, E-UTRAN(112)은 UE들(120-121)(및 다른 UE들)과 EPC 네트워크(110) 사이에 무선 연결들을 제공하는 복수의 기지국들(예를 들어, eNodeB)을 포함한다. EPC 네트워크(110)는 이동성 관리 엔티티(Mobility Management Entity, MME)(114), S-GW(115), 및 P-GW(116)를 포함한다. 아키텍처(100)는 또한 홈 가입자 서버(Home Subscriber Server, HSS)(117) 및 보안 사용자 평면 위치 플랫폼(Secure User Plane Location Platform, SLP)(118)을 포함한다. HSS(117)는 가입자 프로파일들의 형태로 UE들(120-121)에 대한 가입자 정보를 저장한다. SLP(118)는 UE들(120-121)에 대한 위치 정보를 유지한다.
아키텍처(100)는 ProSe(Proximity Service) 기능부(130) 및 ProSe 애플리케이션 서버(AS)(132)를 더 포함한다. ProSe 애플리케이션 서버(132)는 EPC ProSe 사용자 ID들과 ProSe 기능부 ID들의 저장, 및 애플리케이션 계층 사용자 ID와 EPC ProSe 사용자 ID들의 매핑을 지원한다. ProSe 기능부(130)는 ProSe에 요구되는 네트워크 관련 동작들을 위해 사용되는 논리 기능부다. ProSe 기능부(130)는 ProSe의 각각의 특징들에 대해 상이한 역할들을 수행한다. 각각의 PLMN 내에 근접 서비스들을 지원하는 하나의 ProSe 기능부(130)가 있을 수 있다. ProSe 기능부(130)는 ProSe 기능부에 따라 상이한 역할들을 수행하는 3개의 주요 서브 기능부들을 포함한다. 하나의 서브 기능부는 직접 발견 및 직접 통신을 사용하기 위해 파라미터들로 UE를 제공하는 데 사용되는 DPF(Direct Provisioning Function)이다. DPF는 UE들이 이 특정한 PLMN에서 근접 서비스들을 사용할 수 있게 하는 PLMN-특정 파라미터들로 UE를 프로비저닝한다. 다른 서브 기능부는 직접 발견에 사용되는 애플리케이션 ID들 및 애플리케이션 코드들을 할당하고 처리하기 위해 개방 직접 발견에 대해 사용되는 직접 발견 이름 관리 기능부(Direct Discovery Name Management Function)이다. 이 서브 기능부는 애플리케이션 ID와 애플리케이션 코드 간의 매핑을 열거하는 테이블을 유지한다. 또한, 이 서브 기능부는 UE들을 감시하기 위한 필터들을 생성한다. 다른 서브 기능부는 EPC-레벨 ProSe 발견 및 EPC-지원 WLAN 직접 발견 및 통신을 위한 UE들을 인가하고 구성하는 EPC-레벨 발견 ProSe 기능부다. HSS(117)와 ProSe 기능부(130) 사이의 기준점(PC4a)은 PLMN 당 기반으로 직접 발견 및 직접 통신을 위한 접근을 인가하기 위한 가입 정보를 제공하기 위해 사용된다.
UE들(120-121)은 ProSe-인에이블로서 간주될 수 있는데, 이는 그들이 ProSe 요구 사항들 및 연관된 절차들을 지원한다는 것을 의미한다. ProSe-인에이블 UE는 비-공공 안전 UE 또는 공공 안전 UE를 지칭할 수 있다. UE들(120-121)은 근접 서비스들을 접근/제공하는 데 사용되는 애플리케이션(122-123)을 각각 포함한다. UE들(120-121)은 다음의 기능부들: PC3 기준점을 통한 UE와 ProSe 기능부(130) 사이의 ProSe 제어 정보 교환, PC5 기준점을 통한 다른 UE들의 개방 및 제한된 직접 발견 절차들, PC5 기준점을 통한 일대일 또는 일대다 직접 통신 절차들, 및 UE-대-네트워크 중계로서 동작하는 절차들을 지원한다.
본 명세서에서 논의된 근접 서비스들은 다음의 기능부들: 발견, 직접 통신(D2D), 및 UE-대-네트워크 중계를 포함한다. 발견은 다른 UE들에 근접한 UE를 식별하는 과정이다. 하나의 유형의 발견은 직접 발견이고, 이는 단지 해당하는 2개의 UE들의 능력들만을 이용하여 그 근처에서 다른 UE들을 발견하기 위해 UE에 의해 사용되는 과정이다. 예를 들어, 하나의 UE는 로컬 무선 자원들을 이용하여 그 근처에서 다른 UE들의 존재를 발견할 수 있다. EPC-레벨 발견이라고 지칭되는 다른 유형의 발견은 EPC 네트워크(110)가 2개의 UE들의 근접성을 결정하고 그들에게 그들의 근접성을 통지하는 과정이다. 예를 들어, EPC 네트워크(110) 내의 서버는 UE들의 위치를 감시할 수 있고, UE들에게 그들의 근접성을 통지할 수 있다.
직접 통신은 (아마도 RAN의 기지국 이외의) 임의의 네트워크 노드를 통과하지 않는 채널을 통해 무선 기술(예를 들어, E-UTRA)을 사용하는 사용자 데이터 평면 송신들에 의한 근접한 2개 이상의 UE들 사이의 통신이다. 직접 통신은 UE들이 EPC 네트워크(110)와 같은 코어 네트워크를 통해 트래픽을 라우팅하지 않고 서로 직접적으로 통신하기 위해 로컬 무선 자원들을 사용할 수 있도록 한다. 예를 들어, UE들은 기지국과 같은 RAN으로부터 UE들 양쪽 모두에 이용 가능한 무선 자원들을 통해 직접 통신할 수 있다. UE들은 또한 예를 들어 PC5 기준점을 통해 UE들 자체의 무선 자원들을 통해 직접적으로 통신할 수 있다. 어느 방식으로든, UE들 사이에서 교환되는 트래픽은 코어 네트워크를 통해 라우팅되는 것이 아니라, 무선 인터페이스를 통해 UE들 사이에서 직접 라우팅된다.
UE-대-네트워크 중계는 하나의 UE가 하나 이상의 원격 UE들에 대한 "유니캐스트(unicast)" 서비스들에 대한 접속성을 지원하는 기능을 제공하는 기능부다. 원격 UE는 RAN(예를 들어, E-UTRAN)에 의해 서빙되지 않는 UE를 지칭하고, UE-대-네트워크 중계를 통해 패킷 데이터 네트워크(Packet Data Network, PDN)와 통신한다. 예를 들어, 원격 UE가 RAN의 커버리지 밖에 있다면, 원격 UE는 RAN의 커버리지 내에 있는 다른 UE(중계 UE)를 통해 PDN에 여전히 접근할 수 있다. 중계 UE는 UE-대-네트워크 중계를 위해 인에이블되는 디바이스이다. UE-대-네트워크 중계는 커버리지 내의 중계 UE를 통해 네트워크로부터 원격 UE로, 또는 커버리지 내의 중계 UE를 통해 원격 UE로부터 네트워크로의 일대일 또는 일대다 통신들을 허용한다.
도 2는 UE(120)에 대한 서비스 사전 구성 절차를 예시한다. 홈 PLMN(HPLMN)은 UE(120)가 직접 발견, 직접 통신, 또는 둘 모두를 수행하도록 인가되는 PLMN들의 목록에 대한 인가 정보로 UE(120)를 사전 구성한다. 연관된 UE 컨텍스트가 없다면, ProSe 기능부(130)는 HSS(117)로부터 직접 발견 및/또는 직접 통신을 위한 가입 정보를 획득한다.
근접 서비스에 접근하기 위해, UE(120-121)(즉, 비-공공 안전 UE)는 먼저 서비스를 위해 인가되고 구성되어야 한다. 도 3은 UE(120)에 대한 서비스 인가 절차를 예시한다. UE(120)는 그것의 HPLMN의 ProSe 기능부(130)로부터 주어진 유효 시간을 갖는 직접 발견, 직접 통신, 또는 둘 모두를 위한 서비스 인가를 수신한다. UE가 직접 발견 또는 직접 통신에 이미 참여하고 있지만 그 등록된 PLMN을 변경할 때, 또는 이전 인가가 만료될 때, UE(120)는 UE(120)가 유효한 인가 정보를 갖지 않으면 직접 발견 또는 직접 통신의 셋업을 시작하기 전에 이 서비스 인가 절차를 수행한다. HPLMN의 ProSe 기능부(130)를 식별하기 위해, UE(120)는 ProSe 기능부(130)를 발견하기 위해 DNS(Domain Name Service) 기능부(도시되지 않음)과 상호작용할 수 있거나, ProSe 기능부(130)에 대한 정보는 UE(120)에서 미리 프로비저닝될 수 있다. UE(120)는 직접 발견, 직접 통신, 또는 둘 다를 위한 인가 요청을 그것의 HPLMN에서의 ProSe 기능부(130)에 송신한다. 인가 요청에 응답하여, ProSe 기능부(130)는 ProSe 기능부(130)가 UE(120)에 대한 이 정보를 이미 갖고 있지 않다고 가정하면, UE(120)와 연관된 가입 정보(예를 들어, 가입자 프로파일)에 대한 요청을 HSS(117)에 송신한다. HSS(117)는 근접 서비스들(예를 들어, 직접 발견 및/또는 직접 통신)에 관련된 UE(120)에 대한 가입 정보를 식별하고 그 가입 정보를 갖는 ProSe 기능부(130)에 대한 응답을 송신한다. 그 다음, ProSe 기능부(130)는 UE(120)에 의해 저장되는 근접 서비스에 대한 인가 정보를 갖는 인가 응답을 UE(120)에 전송한다. UE(120)는 ProSe 기능부(130)에 의해 인가되는 PLMN을 사용하여 직접 발견 및/또는 직접 통신들을 수행할 수 있다.
인가 및 프로비저닝 후에, UE들(120-121)은 발견 요청을 EPC 네트워크(110)에 전송할 수 있고, 이는 ProSe 기능부(130)에 의해 처리된다. 2가지 유형들의 발견은 직접 발견에 대해 정의된다: 개방 및 제한. 개방 발견에서, 발견되는 UE로부터의 명시적인 허가가 필요하지 않다. 제한된 발견에서, 발견되는 UE로부터의 명시적인 허가가 필요하다. 3GPP는 또한 2개의 가능한 직접 발견 모드들을 정의했다: 모델 A 및 모델 B. 모델 A("나는 여기 있다(I am here)")는 직접 발견에 참여하고 있는 UE들에 대한 2개의 역할들을 정의한다. 하나의 역할은 발견하기 위한 허가를 갖는 근접 UE들에 의해 사용될 수 있는 특정 정보를 알리는 통지 UE(announcing UE)이다. 다른 역할은 통지 UE들에 근접한 관심 있는 특정 정보를 감시하는 감시 UE(monitoring UE)이다. 이 모델에서, 통지 UE는 미리 정의된 발견 간격들로 발견 메시지들을 방송하고, 이들 메시지들에 관심 있는 감시 UE들이 이들을 판독하고 이들을 처리한다.
제한 발견 유형이 사용되는 경우 모델 B("누가 있나요?(Who is there?)"/ "거기 있나요?(Are you there?)")가 사용되고, 직접 발견에 참여하고 있는 UE들에 대한 2개의 역할을 정의한다. 하나의 역할은 그것이 무엇을 발견하는 데 관심이 있는지에 관한 특정 정보를 포함하는 요청을 송신하는 발견자 UE(discoverer UE)이다. 다른 역할은 발견자의 요청과 관련된 일부 정보로 응답할 수 있는 피발견자 UE(discoveree UE)이다.
도 4는 통지 UE(120)에 대한 발견 요청 절차(비-로밍, 개방 발견)를 예시한다. UE(120)는 그것의 HPLMN에 대응하는 애플리케이션 ID들의 데이터 구조로 구성된다. UE(120)가 그것의 HPLMN에서 통지하도록 인가되는 경우, UE(120)는 ProSe 기능부(130)에 발견 요청을 송신한다. 발견 요청은 ProSe 애플리케이션 ID, UE 신원, 통지 명령, 애플리케이션 ID, 발견 엔트리 ID, [요청된 타이머], [애플리케이션 레벨 컨테이너(Application Level Container)] 및 [PC5_tech]를 포함한다. ProSe 애플리케이션 ID는 UE가 통지하고자 하는 것을 표시한다. UE 신원은 IMSI(International Mobile Subscriber Identity)로 설정된다. 애플리케이션 ID는 발견 요청의 송신을 트리거한 UE 애플리케이션의 고유 식별자를 나타낸다. 발견 엔트리 ID는 이것이 새로운 요청인지 여부를 나타낸다. 요청된 타이머는 임의적(optional) 파라미터이고, UE가 ProSe 기능부(130)로부터 수신할 것으로 예상하는 ProSe 애플리케이션 코드와 연관된 유효성 타이머의 길이를 표시한다. PC5_tech는 UE(120)가 통지들을 위해 사용하기를 원하는 PC5 무선 기술(예를 들어, E-UTRA, WLAN)을 표시하는 임의적 파라미터이다. ProSe 기능부(130)는 애플리케이션 ID에 의해 표현되는 애플리케이션의 인가를 확인한다. 연관된 UE 컨텍스트 없다면, ProSe 기능부(130)는 발견을 위한 UE(120)의 인가에 관해 HSS(117)에 확인하고, UE(120)에 대한 가입 파라미터들을 포함하는 UE(120)에 대한 새로운 컨텍스트를 생성한다.
UE(120)가 애플리케이션 레벨 컨테이너의 포함에 의해 애플리케이션 제어 확장(application-controlled extension)을 원하는 것으로 표시한 경우, ProSe 기능부(130)는 인가 요청(ProSe 애플리케이션 ID, 요청 유형, 애플리케이션 레벨 컨테이너, 허용된 접미사들의 수)을 ProSe 애플리케이션 서버(132)에 전송한다. 요청 유형은 "애플리케이션 제어 확장/통지를 통한 개방 발견(open discovery with application-controlled extension/announce)"로 설정된다. 허용된 접미사들의 수는 ProSe 애플리케이션 서버(132)가 얼마나 많은 ProSe 제한 코드 접미사들을 UE(120)에 대해 할당할 수 있는지를 나타낸다. ProSe 기능부(130)는 애플리케이션 ID에 기초하여 ProSe 애플리케이션 서버(132)의 위치를 찾는다. ProSe 애플리케이션 서버(132)는 "애플리케이션 제어 확장/통지를 통한 개방 발견 확인 응답(open discovery with application-controlled extension/announce ack)"으로 설정된 응답 유형으로 인가 응답(응답 유형, ProSe 애플리케이션 코드 접미사 풀)을 ProSe 기능부(130)로 반환한다. ProSe 애플리케이션 코드 접미사 풀은 ProSe 애플리케이션 서버(132)에 의해 할당된 접미사(들)를 포함한다.
발견 요청이 인가되는 경우, ProSe 기능부(130)는 UE(120)가 발견 요청에 포함된 ProSe 애플리케이션 ID를 사용하도록 인가되는지(예를 들어, UE(120)가 통지하도록 인가되는지)를 확인한다. UE(120)가 ProSe 애플리케이션 ID를 사용하도록 인가되면, ProSe 기능부(130)는 발견 응답으로 UE(120)에 응답한다. 발견 응답은 ProSe 애플리케이션 코드, 유효성 타이머, 발견 엔트리 ID, 및 [PC5_tech]를 포함한다. ProSe 애플리케이션 코드는 ProSe 기능부(130)에 의해 제공되고, 발견 요청에 포함된 ProSe 애플리케이션 ID에 대응한다(즉, PLMN ID 및 애플리케이션 ID에 대한 임시 ID로 구성된다). 유효성 타이머는 얼마나 오랫동안 이 ProSe 애플리케이션 코드가 유효한지를 나타낸다. ProSe 기능부(130)는 유효성 타이머를 할당할 때, 요청된 타이머 파라미터가 UE(120)에 의해 제공되는 경우 그것을 고려한다. UE(120)는 유효성 타이머의 지속 시간 동안 그리고 그것이 HPLMN에 남아 있는 경우 이 ProSe 애플리케이션 코드를 통지하도록 인가될 것이다. 유효성 타이머가 만료하거나 UE(120)가 그것의 등록된 PLMN을 변경할 때, UE(120)는 새로운 ProSe 애플리케이션 코드를 요청한다. 임의적인 PC5_tech 파라미터는 할당된 ProSe 애플리케이션 코드에 사용되도록 인가되는 PC5 무선 기술(들)을 나타낸다. UE(120)가 발견 응답을 수신한 후, 그것은 발견 메시지 및 ProSe 애플리케이션 코드를 사용하여 PC5 상에 통지하도록 구성된다.
도 5는 감시 UE(121)에 대한 발견 요청 절차(비-로밍, 개방 발견)를 도시한다. UE(121)는 그것의 PLMN들에 대응하는 ProSe 애플리케이션 ID들의 데이터 구조로 구성된다. UE(121)가 적어도 하나의 PLMN에서 감시하도록 인가되는 경우, UE(121)는 ProSe 기능부(130)에 발견 요청을 전송한다. 감시 UE로부터의 발견 요청은, 명령이 "감시"로 설정되는 것을 제외하고는, 전술한 바와 유사한 정보를 포함할 수 있다. ProSe 애플리케이션 ID(들)는 어떤 UE(121)가 감시에 관심이 있는지를 나타내고, 이들은 PLMN의 데이터 구조의 부분 집합으로 구성된다. 애플리케이션 ID는 발견 요청 메시지의 송신을 트리거한 애플리케이션의 고유 식별자를 나타낸다. ProSe 기능부(130)는 애플리케이션 ID에 의해 표현되는 애플리케이션의 인가를 확인한다. 연관된 UE 컨텍스트가 없다면, ProSe 기능부(130)는 발견을 위한 UE(121)의 인가에 관해 HSS(117)에 확인하고, UE(120)에 대한 가입 파라미터들을 포함하는 UE(121)에 대한 새로운 컨텍스트를 생성한다.
UE(121)가 애플리케이션 레벨 컨테이너의 포함에 의해 그것의 애플리케이션 제어된 확장을 원한다고 표시한 경우, ProSe 기능부(130)는 인가 요청(ProSe 애플리케이션 ID, 요청 유형, 애플리케이션 레벨 컨테이너)을 애플리케이션 ID에 표시된 ProSe 애플리케이션 서버(132)로 전송한다. 요청 유형은 "애플리케이션 제어 확장/감시를 통한 개방 발견"으로 설정된다. ProSe 애플리케이션 서버(132)는 "애플리케이션 제어 확장/감시를 통한 개방 발견 확인 응답"으로 설정된 응답 유형으로 인가 응답(응답 유형, ProSe 애플리케이션 ID에 대응하는 ProSe 애플리케이션 코드 접미사(들)에 대한 마스크(들))을 ProSe 기능부(130)로 반환한다.
발견 요청이 인가되면, ProSe 기능부(130)는 발견 응답으로 UE(121)에 응답한다. 발견 응답은 발견 필터(들), 발견 엔트리 ID 및 [PC5_tech]를 포함한다. 발견 필터(들)에서의 타임 투 리브(Time to live, TTL(들))는 발견 필터(들)가 얼마나 오랫동안 유효한지를 나타낸다. 애플리케이션-제어 확장이 사용되는 경우, 발견 필터 내의 ProSe 애플리케이션 코드는 ProSe 애플리케이션 코드 접두사로 대체된다. ProSe 애플리케이션 코드(들) 외에, 발견 필터는 또한 ProSe 애플리케이션 서버(132)로부터 획득되는, ProSe 애플리케이션 코드 접미사에 대한 마스크(들)를 또한 포함할 수 있다. UE(121)는 추가 마스크(들) 및 접미사 부분에 대한 값들을 추가할 수 있다. UE(121)가 발견 응답을 수신한 후, 그것은 ProSe를 위해 사용되도록 PLMN(들)에 의해 인가되고 구성되는 무선 자원들 내의 발견 필터(들)를 이용하여 애플리케이션 코드들에 대해 PC5 상에서 감시하도록 구성된다. 발견 필터에 대응하는 TTL이 만료되는 경우(UE(121)가 TTL의 지속 시간 내에서 대응하는 발견 요청을 새로 고치지 않았기 때문에), ProSe 기능부(130)는 UE 컨텍스트로부터 그 발견 필터와 관련된 엔트리를 제거한다.
제한된 발견, 로밍, 모델 B 등과 같은 다른 발견 절차들은 3GPP TS 23.303에 기술되어 있다.
위의 발견 절차들에서 명백한 바와 같이, ProSe 기능부(130)는 HSS(117)에 질의함으로써 UE의 일부 유형의 인가를 수행한다. HSS(117)는 UE에 대한 가입 파라미터들로 응답하고, ProSe 기능부(130)는 이 애플리케이션이 발견을 위해 인가되는지를 결정한다. 그러나, 하나의 문제점은 UE 또는 다른 디바이스가 발견 요청에서 애플리케이션 ID를 스푸핑할 수 있다는 것이다. HSS(117)에서의 가입자 프로파일은 ProSe에 대해 인가된 UE에 존재하는 모든 ProSe 애플리케이션들을 표시하지는 않을 수 있다. 따라서, UE가 가입자 프로파일에 따라 ProSe에 대해 인가되더라도, 하나 이상의 애플리케이션들은 이 UE에 의해 악의적으로 사용될 수 있다. HSS(117)를 사용하는 인가 절차는 스푸핑된 애플리케이션 ID들에 대해 보호하기에 불충분하다.
이 문제 및 다른 관련 문제들을 해결하기 위해, ProSe와 같은 근접 서비스들에 대한 스푸핑된 애플리케이션 ID들을 검출하기 위한 인가 메커니즘이 이용된다. 용어 "ProSe"가 본 명세서에서 사용될 때, 이는 3GPP에 의해 기술된 바와 같은 근접 서비스 또는 다른 근접 서비스들을 지칭할 수 있다. 도 6은 예시적인 실시예에서의 근접 서비스들에 대한 아키텍처(600)를 예시한다. 아키텍처(600)는 도 1에 도시된 아키텍처(100)와 유사한 요소들 및 기준점들을 가질 수 있다. 아키텍처(600)는 4G(예를 들어, LTE) 또는 차세대 네트워크들(예를 들어, 5G)에 대해 구현될 수 있다.
아키텍처(600)는 비-로밍 시나리오를 위한 PLMN(610)을 포함하지만, 로밍 또는 PLMN 간 아키텍처들을 위한 더 많은 PLMN들이 포함될 수 있다. PLMN(610)은 UE(620)의 홈 PLMN(HPLMN)이며, ProSe 기능부(612), ProSe 애플리케이션 서버(AS)(614), 및 서로 통신 가능하도록 연결된 HSS(616)를 포함한다. 도 6에는 도시되어 있지 않지만, PLMN(610)은 코어 네트워크, 및 하나 이상의 기지국들(예를 들어, eNodeB)을 포함하는 RAN을 포함할 수 있다. UE(620)는 근접 서비스들을 가능하게 하는 비-공공 안전 UE이고, 직접 발견 및/또는 직접 통신을 요청하도록 구성된 근접 서비스(예를 들어, ProSe) 애플리케이션(622)을 포함한다.
PLMN(610)은 또한 인가 메커니즘(630)을 포함한다. 인가 메커니즘(630)은 직접 발견을 위해 UE상에 애플리케이션을 인가하도록 구성된 시스템, 장치, 디바이스, 네트워크 요소 등을 포함한다. 인가 메커니즘(630)은 발견 요청을 개시한 애플리케이션이 직접 발견에 대해 인가되는 것을 보장하기 위해 발견 요청에 응답하여 강화된 또는 추가의 발견 인가 절차들을 제공한다. 전술한 바와 같이, 종래의 ProSe 기능부는 HSS에 질의함으로써 발견 요청에 응답하여 일부 발견 인가 절차들을 수행한다. 그러나, 애플리케이션이 애플리케이션의 애플리케이션 ID를 악의적으로 스푸핑하는 경우 이러한 발견 인가 절차들은 충분하지 않을 수 있다. 따라서, 인가 메커니즘(630)은 UE에 챌린지함으로써 강화된 또는 추가의 발견 인가 절차들을 제공하며, 이는 아래에 더 상세히 설명된다.
인가 메커니즘(630)은 일반적으로 PLMN(610)의 요소로서 도 6에 도시되어 있다. 인가 메커니즘(630)은 PLMN(610) 내의 시스템의 일부이므로, UE(620), ProSe 기능부(612), ProSe 애플리케이션 서버(614), 및/또는 HSS(616)와 통신할 수 있는 PLMN(610)의 독립형 요소일 수 있다. 대안적으로, 인가 메커니즘(630)은 ProSe 기능부(612) 내에 구현될 수 있다. 다른 대안에서, 인가 메커니즘(630)은 ProSe 애플리케이션 서버(614) 내에 구현될 수 있다.
도 7은 예시적인 실시예에서 인가 메커니즘(630)의 블록 다이어그램이다. 인가 메커니즘(630)은 인터페이스 컴포넌트(702), 하나 이상의 프로세서들(704), 및 메모리(706)를 포함한다. 인터페이스 컴포넌트(702)는 다양한 요소들과 통신하도록 구성된 하드웨어 컴포넌트이다. 예를 들어, 인터페이스 컴포넌트(702)는 UE(620), ProSe 기능부(612), ProSe 애플리케이션 서버(614), 및/또는 HSS(616)와 통신하도록 구성될 수 있다. 프로세서(704)는 인가 메커니즘(630)의 기능부들을 제공하는 내부 회로, 로직, 하드웨어 등을 나타낸다. 메모리(706)는 데이터, 명령어들, 애플리케이션들 등을 위한 컴퓨터 판독 가능 저장 매체(예를 들어, ROM 또는 플래시 메모리)이며, 프로세서(704)에 의해 접근 가능하다. 인가 메커니즘(630)은 도 7에 구체적으로 예시되지 않은 다양한 다른 컴포넌트들을 포함할 수 있다.
프로세서(704)는 규칙 엔진(710) 및 검증 제어기(712)를 구현한다. 규칙 엔진(710)은 애플리케이션이 직접 발견에 대해 인가되는지 여부를 결정하기 위해 사용되는 검증 규칙들(714)을 생성하고, 식별하고, 또는 결정하도록 구성된다. 검증 제어기(712)는 검증 규칙들(714)에 기초하여 애플리케이션이 직접 발견에 대해 인가되는지 여부를 결정하도록 구성된다. 프로세서(704)는 직접 발견을 위해 애플리케이션을 인가하기 위한 다른 컴포넌트들을 구현할 수 있다.
이 실시예에서, 메모리(706)는 애플리케이션 ID들에 매핑되는 보안 파라미터들이 프로비저닝되는 데이터베이스(720)를 저장하도록 구성된다. 데이터베이스(720)는 인가 메커니즘(630)을 위한 로컬 데이터베이스를 포함할 수 있거나, 인터페이스 컴포넌트(702)를 통해 인가 메커니즘(630)에 의해 접근 가능한 네트워크 데이터베이스를 포함할 수 있다. 도 8은 예시적인 실시예에서 데이터베이스(720)를 예시한다. 데이터베이스(720)는 애플리케이션 ID들(811-813)에 대한 기록들(801-803)을 저장하지만, 더 많은 애플리케이션 ID들을 위한 기록들 또한 저장할 수 있다. 각각의 기록(801-803)은 애플리케이션 ID(811-813)를 하나 이상의 보안 파라미터들(820)의 세트에 매핑된다. 보안 파라미터는 UE 또는 애플리케이션을 검증 또는 인증하는 특징 또는 특성을 포함한다. 보안 파라미터들(820)은 그것의 연관된 애플리케이션 ID(811-813)에 대해 인가되는 하나 이상의 값들(예를 들어, 코드들, 라벨들, 수량들 등)을 포함한다. 예를 들어, 애플리케이션 ID(811)에 대해 기록(801)이 제공되며, 여기서 애플리케이션 ID(811)는 보안 파라미터들(820)에 매핑된다. 보안 파라미터들(820)은 UE 신원, 네트워크 주소(들), PLMN 코드(들), 위치 코드(들), 암호(들), UE 카테고리 유형, 및 발견 유형을 포함하지만, 다른 보안 파라미터들도 포함될 수 있다. 각각의 보안 파라미터는 애플리케이션 ID(811)에 대해 프로비저닝되는 하나 이상의 인가된 값들을 포함한다. 예를 들어, UE 신원 파라미터는 하나 이상의 IMSI들과 같은 애플리케이션 ID(811)에 대해 승인된 UE 신원들(또는 범위들)을 나타내는 하나 이상의 값들을 포함한다. 네트워크 주소 파라미터는 하나 이상의 전송 계층(예를 들어, IP) 주소들과 같은 애플리케이션 ID(811)에 대해 승인된 네트워크 주소(들)를 나타내는 하나 이상의 값들을 포함한다. PLMN 코드 파라미터는 애플리케이션 ID(811)에 대해 인가된 PLMN 코드(들)를 나타내는 하나 이상의 값들을 포함한다. 위치 코드 파라미터는 애플리케이션 ID(811)에 대해 승인된 위치 코드(들)를 나타내는 하나 이상의 값들을 포함한다. 암호 파라미터는 애플리케이션에 접근하는 데 사용되는 애플리케이션 ID(811)에 대한 승인된 암호(들) 또는 비밀번호(들)를 나타내는 하나 이상의 값들을 포함한다. UE 카테고리 유형 파라미터는 CAT1-CAT8, LTE Cat-M1(eMTC), Cat-NB1(NB-IoT) 등과 같이 애플리케이션 ID(811)에 대한 승인된 UE 카테고리 유형들을 나타내는 하나 이상의 값들을 포함한다. 발견 유형 파라미터는 모델 A(개방 또는 제한), 모델 A에 대한 통지 역할, 모델 A에 대한 감시 역할, 모델 B, 모델 B 발견 유형/모드 등과 같은 애플리케이션 ID(811)에 대한 인가된 발견 유형들을 나타내는 하나 이상의 값들을 포함한다. 추가적인 보안 파라미터들 및 연관된 값들은 원하는 대로 프로비저닝될 수 있다.
도 6에서, UE(620)는 도 2에 도시된 바와 같은 서비스 사전-구성 절차 및 도 3에 도시된 바와 같은 서비스 인가 절차를 수행할 수 있다. 이 점에서, UE(620) 내의 애플리케이션(622)은 발견 요청 절차를 개시하기를 원할 수 있다. 따라서, 애플리케이션(622)은 발견 요청을 ProSe 기능부(612)에 전송한다(도 4 및 도 5 참조). 발견 요청은 ProSe 애플리케이션 ID, UE 신원, 명령, 애플리케이션 ID, 발견 엔트리 ID, [요청된 타이머], [애플리케이션 레벨 컨테이너], 및 [PC5_tech]와 같은 전술한 바와 유사한 정보를 포함할 수 있다. 인가 메커니즘(630)은 그 후 도 9에 더 상세히 설명된 바와 같이 발견 인가 절차를 수행한다.
도 9는 예시적인 실시예에서 발견 인가 절차를 수행하는 방법(900)을 예시하는 흐름도이다. 방법(900)의 단계들은 도 7의 인가 메커니즘(630)을 참조하여 설명될 것이지만, 본 기술분야의 기술자들은 방법(900)이 다른 디바이스들에서 수행될 수 있음을 이해할 것이다. 본 명세서에 설명된 흐름도들의 단계들은 모든 것을 포함하는 것은 아니며, 도시되지 않은 다른 단계들을 포함할 수 있고, 단계들은 대안적인 순서로 수행될 수 있다.
검증 제어기(712)는 예를 들어 인터페이스 컴포넌트(702)를 통해, UE(620)의 애플리케이션(622)에 의해 ProSe 기능부(612)로 전송된 발견 요청에 대한 정보를 수신한다(단계(902)). 인가 메커니즘(630)이 ProSe 기능부(612)에서 구현되면, 검증 제어기(712)는 애플리케이션(622)에 의해 전송된 실제 발견 요청을 수신할 수 있다. 인가 메커니즘(630)이 독립형 요소이거나 ProSe 애플리케이션 서버(614)에서 구현되면, 검증 제어기(712)는 예를 들어 인가 요청에서, ProSe 기능부(612)로부터 발견 요청에 대한 정보를 수신할 수 있다. 발견 요청에 대한 정보는 적어도 애플리케이션(622)에 대한 애플리케이션 ID를 포함한다.
규칙 엔진(710)은 발견 인가 절차(단계(904))에 대한 검증 규칙들(714)을 결정한다. 검증 규칙들(714)은 발견 요청을 개시하는 UE 상의 애플리케이션을 검증하는 임의의 규칙들을 포함한다. 검증 규칙들(714)은 네트워크 주소 확인을 포함할 수 있다. 이 규칙은 애플리케이션 ID에 대해 승인되지 않은 (블랙 리스트) 또는 승인된 (화이트 리스트) 네트워크 주소들의 범위와, UE에 할당된 동적 네트워크 주소(예를 들어, IP 주소)를 비교할 수 있다. 검증 규칙들(714)은 애플리케이션에 의한 직접 발견이 PLMN(UE가 부착됨)에서 허용되는지를 검증하는 PLMN 코드 확인을 포함할 수 있다. 검증 규칙들(714)은 애플리케이션/UE에 의해 제공되는 암호(또는 비밀번호)가 애플리케이션에 대해 승인된 암호와 일치하는지를 검증하는 애플리케이션 암호 확인을 포함할 수 있다. 검증 규칙들(714)은 네트워크(PLMN) 민감성 확인을 포함할 수 있다. 일부 네트워크들이 애플리케이션에 대한 직접 발견으로부터 제한될 수 있기 때문에, 이 규칙은 통지 UE로부터의 애플리케이션 ID가 보안 네트워크(홈 또는 외부)에 속하는지를 검증한다. 검증 규칙들(714)은 네트워크 트래픽 용량 확인을 포함할 수 있다. 이 규칙은 애플리케이션 ID와 연관된 (즉, 특정 송신기 및 송수신기 엔티티 주소 중 어느 하나 또는 둘 다의) 트래픽 용량이 임계치를 초과하는지 여부를 결정하며, 이는 악성 애플리케이션이 상당한 트래픽 용량을 생성할 수 있기 때문이다. 만약 임계치를 초과하면, 발견 요청이 그 애플리케이션에 대해 거부될 수 있다. 만약 트래픽 용량이 임계치보다 작은 경우, 발견 요청은 인가될 수 있다. 검증 규칙들(714)은 CAT1-CAT8, LTE Cat-M1(eMTC), Cat-NB1(NB-IoT) 등과 같은 UE 카테고리 유형이 애플리케이션에 대해 허용되는지를 검증하는 UE 카테고리 유형 확인을 포함할 수 있다. 검증 규칙들(714)은 애플리케이션이 모델 A(개방 또는 제한), 모델 A에 대한 통지 역할, 모델 A에 대한 감시 역할, 모델 B, 모델 B 발견 유형/모드 등과 같은 특정 발견 유형에 대해 인가되는지를 검증하는 ProSe 발견 유형 확인을 포함할 수 있다. 검증 규칙들(714)은 UE에 대한 위치 코드가 애플리케이션ID에 대해 승인된 위치 코드와 일치하는지 여부를 검증하는 UE 위치 확인을 포함할 수 있다. 검증 규칙들(714)은 시각, 요일 등에 기초하여 발견 요청이 허용되는지를 검증하는 시간 확인을 포함할 수 있다. 다른 검증 규칙들(714)은 원하는 대로 정의될 수 있다.
발견 인가 절차를 위해, 검증 제어기(712)는 예를 들어 인터페이스 컴포넌트(702)를 통해 애플리케이션 ID에 매핑되는 하나 이상의 보안 파라미터들에 대한 챌린지 값들을 요청하는 보안 챌린지 메시지를 UE(620)에 전송한다(단계(906)). UE(620)는 보안 목적들로 사용될 수 있는 정보를 저장할 수 있고, 보안 챌린지 메시지는 UE(620)가 이 정보로 응답하도록 요청할 수 있다. 보안 챌린지 메시지는 애플리케이션(622)이 ProSe 기능부(612)에 발견 요청을 전송한 후에 UE(620)에 전송되는 별개의 메시지이다. 보안 챌린지 메시지는 도 8에 도시된 바와 같이 애플리케이션 ID에 매핑되는 하나 이상의 보안 파라미터들에 대한 챌린지 값들을 요청할 수 있다. 예를 들어, 보안 챌린지 메시지는 UE(620)에 정적 또는 동적으로 할당된 네트워크 주소에 대한 챌린지 값들, UE(620)에 대한 HPLMN에 대한 PLMN 코드 또는 UE(620)가 부착되는 방문/로컬 PLMN, UE(620)에 대한 위치 코드, 애플리케이션(622) 접근에 사용되는 암호, UE(620)에 대한 UE 카테고리 유형 등을 요청할 수 있다.
만약 검증 제어기(712)가 UE(620)로부터 보안 응답 메시지를 수신하지 않으면, 검증 제어기(712)는 애플리케이션(622)에 의해 전송된 발견 요청을 거절하기 위한 거절 표시자를 생성한다(단계(908)). 만약 검증 제어기(712)가 예를 들어 인터페이스 컴포넌트(702)를 통해 UE(620)로부터 보안 응답 메시지를 수신하면, 검증 제어기(712)는 UE(620)에 의해 제공된 보안 응답 메시지로부터 보안 파라미터들에 대한 챌린지 값들을 추출한다(단계(910)). 검증 제어기(712)는 또한 HSS(616) 또는 다른 네트워크 엔티티들로부터, 발견 요청으로부터의 보안 파라미터들의 일부에 대한 값들을 획득할 수 있다. 다음으로, 검증 제어기(712)는 보안 파라미터들 에 대한 챌린지 값들(및 임의적으로 다른 값들) 및 검증 규칙들(714)에 기초하여 애플리케이션(622)이 애플리케이션 ID를 사용한 직접 발견에 대해 인가되는지 여부를 결정한다(단계(912)). 애플리케이션(622)이 인가되는지 여부를 결정하는 하나의 방법(예를 들어, 방법(900)의 단계(912))이 도 10에 제공된다.
도 10은 예시적인 실시예에서 애플리케이션(622)이 직접 발견에 대해 인가되는지 여부를 결정하는 방법(1000)을 예시하는 흐름도이다. 검증 제어기(712)는 애플리케이션 ID에 매핑된 보안 파라미터들에 대한 인가된 값들을 식별하기 위해 데이터베이스(720)에 접근한다(단계(1002)). 다음으로, 검증 제어기(712)는 애플리케이션(622)이 애플리케이션 ID를 사용한 직접 발견에 대해 인가되는지 여부를 결정하기 위해 UE(620)에 의해 제공된 챌린지 값들과 애플리케이션 ID에 대한 인가된 값들을 비교한다(단계(1004)). 예를 들어, UE(620)에 의해 제공된 챌린지 값들 중 어느 것도 애플리케이션 ID에 대해 인가된 값들과 일치하지 않는 경우, 검증 제어기(712)는 애플리케이션(622)이 애플리케이션 ID를 사용한 직접 발견에 대해 인가되지 않는 것으로 결정한다(단계(1006)). UE(620)에 의해 제공된 챌린지 값들 중 하나 이상이 애플리케이션 ID에 의해 인가된 값들과 일치할 때, 검증 제어기(712)는 애플리케이션(622)이 애플리케이션 ID를 사용한 직접 발견에 대해 인가된다고 결정할 수 있다(단계(1008)). 애플리케이션(622)을 인가하는 데 요구되는 인가된 값들과 챌린지 값들 사이의 일치의 수는 네트워크 운영자에 의해 프로비저닝되는 네트워크 정책에 따를 수 있다.
방법(1000)의 예로서, 검증 규칙들(714) 중 하나는 네트워크 주소 확인일 수 있고, 여기서 검증 제어기(712)는 보안 응답 메시지 내의 UE(620)에 의해 제공된 네트워크 주소를 애플리케이션 ID에 대해 승인된 하나 이상의 네트워크 주소들과 비교한다. 만약 보안 응답 메시지 내의 UE(620)에 의해 제공된 네트워크 주소가 애플리케이션 ID에 대해 승인된 네트워크 주소와 일치하지 않는다면, 검증 제어기(712)는 애플리케이션(622)이 애플리케이션 ID를 사용한 직접 발견에 대해 인가되지 않는 것으로 결정할 수 있다. 만약 보안 응답 메시지 내에서 UE(620)에 의해 제공된 네트워크 주소가 애플리케이션 ID에 대해 승인된 네트워크 주소와 일치한다면, 검증 제어기(712)는 다른 검증 규칙들(714)(적용 가능한 경우)에 따라, 애플리케이션(622)이 애플리케이션 ID를 사용한 직접 발견에 대해 인가되는 것으로 결정할 수 있다.
검증 규칙들(714) 중 다른 하나는 암호 확인일 수 있고, 여기서 검증 제어기(712)는 보안 응답 메시지 내의 UE(620)에 의해 제공된 암호와 애플리케이션 ID에 대한 하나 이상의 승인된 암호들과 비교한다. 만약 보안 응답 메시지 내의 UE(620)에 의해 제공된 암호가 애플리케이션 ID에 대해 승인된 암호와 일치하지 않는다면, 검증 제어기(712)는 애플리케이션(622)이 애플리케이션 ID를 사용한 직접 발견에 대해 인가되지 않는 것으로 결정할 수 있다. 만약 보안 응답 메시지 내의 UE(620)에 의해 제공된 암호가 애플리케이션 ID에 대해 승인된 암호와 일치한다면, 검증 제어기(712)는 다른 검증 규칙들(714)(적용 가능한 경우)에 따라, 애플리케이션(622)이 애플리케이션 ID를 사용한 직접 발견에 대해 인가되는 것으로 결정할 수 있다.
검증 규칙들(714) 중 다른 하나는 위치 코드 확인일 수 있고, 여기서 검증 제어기(712)는 보안 응답 메시지 내의 UE(620)에 의해 제공된 위치 코드와 애플리케이션 ID에 대한 하나 이상의 승인된 위치 코드들과 비교한다. 만약 보안 응답 메시지 내의 UE(620)에 의해 제공된 위치 코드가 애플리케이션 ID에 대해 승인된 위치 코드와 일치하지 않는다면, 검증 제어기(712)는 애플리케이션(622)이 애플리케이션 ID를 사용한 직접 발견에 대해 인가되지 않는 것으로 결정할 수 있다. 예를 들어, 애플리케이션 ID는 브라질 국가 코드와 연관되지만 UE(620)는 미국의 위치 코드를 제공한다면, 검증 제어기(712)는 애플리케이션(622)이 애플리케이션 ID를 사용한 직접 발견에 대해 인가되지 않는 것으로 결정한다. 만약 보안 응답 메시지 내의 UE(620)에 의해 제공된 위치 코드가 애플리케이션 ID에 대해 승인된 위치 코드와 일치한다면, 검증 제어기(712)는 다른 검증 규칙들(714)(적용 가능한 경우)에 따라, 애플리케이션(622)이 애플리케이션 ID를 사용한 직접 발견에 대해 인가되는 것으로 결정할 수 있다.
애플리케이션(622)이 애플리케이션 ID를 사용하는 직접 발견에 대해 인가되지 않을 때, 검증 제어기(712)는 애플리케이션(622)에 의해 전송된 발견 요청을 거절하는 거절 표시자를 생성한다(단계(908)). 검증 제어기(712)는 예를 들어 인터페이스 컴포넌트(702)를 통해 ProSe 기능부(612)로 거절 표시자를 제공할 수 있고, 다음으로, 이는 발견 요청이 거절되었다는 것을 표시하는 정보로 발견 응답을 전송함으로써 발견 요청을 거절할 수 있다. 애플리케이션(622)이 애플리케이션 ID를 사용한 직접 발견에 대해 인가된다면, 검증 제어기(712)는 애플리케이션(622)에 의해 전송되는 발견 요청을 인가하기 위해 검증 표시자를 생성한다(단계(914)). 검증 제어기(712)는 예를 들어 인터페이스 컴포넌트(702)를 통해 ProSe 기능부(612)에 검증 표시자를 제공할 수 있다. 애플리케이션(622)이 검증 제어기(712)에 의해 인가될 때, ProSe 기능부(612)는 발견 요청 절차를 계속하고 도 4 및 도 5에 표시된 바와 같이 UE(620)에 발견 응답을 전송하거나 추가 인가 절차들(예를 들어, HSS(616)에 질의)을 더 수행할 수 있다. 발견 응답은 애플리케이션 코드(통지를 위한), 감시를 위한 발견 필터(들), 또는 UE(620)/애플리케이션(622)이 애플리케이션 ID를 사용한 직접 발견을 수행하는 것을 허용하는 다른 정보를 포함할 수 있다.
인가 메커니즘(630)은 발견 요청에 응답하여 애플리케이션 ID의 검증의 추가적 레벨을 제공한다. 하나의 기술적 이익은 애플리케이션이 애플리케이션 ID를 스푸핑하고 ProSe 기능부에 의한 발견 절차에 대한 허가를 부여 받는 것이 더 어렵다는 것이다. 따라서, 네트워크 내의 근접 서비스들은 인가된 애플리케이션들에 의해 이용될 것인 반면, 악성 애플리케이션들은 차단될 것이다.
전술한 바와 같이, 인가 메커니즘(630)은 ProSe 기능부(612)에서 구현될 수 있다. 도 11은 예시적인 실시예에서 인가 메커니즘(630)이 ProSe 기능부(612)에서 구현될 때의 흐름도이다. (애플리케이션(622)을 통해) UE(620)는 ProSe 기능부(612)로 발견 요청을 전송한다. 발견 요청은 ProSe 애플리케이션 ID, UE 신원, 명령 유형(통지, 감시 등.), 발견 엔트리 ID, 애플리케이션 ID 등을 포함한다. 다음으로, (인가 메커니즘(630)을 통해) ProSe 기능부(612)는 발견 인가 절차를 개시한다. ProSe 기능부(612)는 하나 이상의 보안 파라미터들에 대한 챌린지 값들을 요청하는 보안 챌린지 메시지를 UE(620)에 전송한다. ProSe 기능부(612)는 UE(620)로부터 보안 응답 메시지를 수신하고, UE(620)에 의해 제공된 보안 응답 메시지로부터 보안 파라미터들에 대한 챌린지 값들을 추출한다. 이후, ProSe 기능부(612)는 보안 파라미터들에 대한 챌린지 값들(및 임의적으로 다른 값들) 및 검증 규칙들(714)에 기초하여 애플리케이션(622)이 애플리케이션 ID를 사용한 직접 발견에 대해 인가되는지 여부를 결정한다. 애플리케이션(622)이 애플리케이션 ID를 사용한 직접 발견에 대해 인가되지 않는 경우, ProSe 기능부(612)는 애플리케이션(622)에 의해 전송된 발견 요청을 거절한다. 애플리케이션(622)이 애플리케이션 ID를 사용한 직접 발견에 대해 인가되는 경우, ProSe 기능부(612)는 직접 발견에 대한 정보(예를 들어, 애플리케이션 코드, 발견 필터 등)를 갖는 발견 응답을 UE(620)에 전송한다. ProSe 기능부(612)는 또한 발견 응답의 ProSe 애플리케이션 코드 접미사 풀에서, 승인된 애플리케이션 ID와 연관된 하나 이상의 보안 파라미터들(및 승인된 값들)을 포함할(및 애플리케이션 코드/마스크에 반영될) 수 있다.
도 12는 예시적인 실시예에서 인가 메커니즘(630)이 ProSe 애플리케이션 서버(614) 내에서 구현될 때의 흐름도이다. (애플리케이션(622)을 통해) UE(620)는 ProSe 기능부(612)로 발견 요청을 전송한다. 발견 요청은 ProSe 애플리케이션 ID, UE 신원, 명령 유형(통지, 감시 등), 발견 엔트리 ID, 애플리케이션 ID 등을 포함한다. 네트워크 정책에 기초하여, ProSe 기능부(612)는 ProSe 애플리케이션 서버(614)가 발견 요청에 응답하여 애플리케이션 ID를 검증하도록 요청한다. 따라서, ProSe 기능부(612)는 ProSe 애플리케이션 서버(614)로 인가 요청을 전송한다. ProSe 기능부(612)는 애플리케이션(622)에 대한 애플리케이션 ID 및 연관된 파라미터들을 ProSe 애플리케이션 서버(614)에 대한 애플리케이션 레벨 컨테이너에 포함한다. 이후 (인가 메커니즘(630)을 통해) ProSe 애플리케이션 서버(614)는 발견 인가 절차를 개시한다. ProSe 애플리케이션 서버(614)는 ProSe 기능부(612)로 보안 챌린지 메시지를 전송하며, 이는 하나 이상의 보안 파라미터들에 대한 챌린지 값들을 요청하는 보안 챌린지 메시지를 UE(620)에 전달한다. ProSe 애플리케이션 서버(614)는 대안적으로 보안 챌린지 메시지를 UE(620)에 직접 송신할 수 있다. ProSe 기능부(612)는 UE(620)로부터 보안 응답 메시지를 수신하고, ProSe 애플리케이션 서버(614)에 보안 응답 메시지를 전달한다. ProSe 애플리케이션 서버(614)는 UE(620)에 의해 제공된 보안 응답 메시지로부터 보안 파라미터들에 대한 챌린지 값들을 추출한다. 이후, ProSe 애플리케이션 서버(614)는 보안 파라미터들에 대한 챌린지 값들(및 임의적으로 다른 값들) 및 검증 규칙들(714) 에 기초하여 애플리케이션(622)이 애플리케이션 ID를 사용한 직접 발견에 대해 인가되는지 여부를 결정한다. 만약 애플리케이션(622)이 애플리케이션 ID를 사용한 직접 발견에 대해 인가되지 않는다면 ProSe 애플리케이션 서버(614)는 애플리케이션(622)에 의해 전송된 발견 요청을 거절하기 위해 거절 표시자를 갖는 인가 응답을 ProSe 기능부(612)에 전송한다. 만약 애플리케이션(622)이 애플리케이션 ID를 사용한 직접 발견에 대해 인가된다면, ProSe 애플리케이션 서버(614)는 애플리케이션(622)에 의해 전송된 발견 요청을 인가하기 위한 검증 표시자를 갖는 인가 응답을 ProSe 기능부(612)에 전송한다. 다음으로, ProSe 기능부(612)는 검증/거절 표시자에 기초하여 발견 응답을 UE(620)에 전송한다. ProSe 기능부(612)는 또한, 발견 응답의 ProSe 애플리케이션 코드 접미사 풀에서, 승인된 애플리케이션 ID와 연관된 하나 이상의 보안 파라미터들(및 승인된 값들)을 포함할(및 애플리케이션 코드/마스크 내에 반영될) 수 있다.
도면들에 도시되거나 본 명세서에서 설명되는 다양한 요소들 또는 모듈들 중 임의의 것은 하드웨어, 소프트웨어, 펌웨어, 또는 이들의 일부 조합으로 구현될 수 있다. 예를 들어, 요소는 전용 하드웨어로서 구현될 수 있다. 전용 하드웨어 요소들은 "프로세서들", "제어기들", 또는 일부 유사한 용어로 지칭될 수 있다. 프로세서에 의해 제공될 때, 기능부들은 단일의 전용 프로세서에 의해, 단일의 공유 프로세서에 의해, 또는 일부가 공유될 수 있는 복수의 개별 프로세서들에 의해 제공될 수 있다. 또한, 용어 "프로세서" 또는 "제어기"의 명시적 사용은 소프트웨어를 실행할 수 있는 하드웨어를 배타적으로 지칭하는 것으로 해석되어서는 안되고, 디지털 신호 프로세서(DSP) 하드웨어, 네트워크 프로세서, 주문형 집적 회로(ASIC) 또는 다른 회로, 필드 프로그래머블 게이트 어레이(FPGA), 소프트웨어를 저장하기 위한 판독 전용 메모리(ROM), 랜덤 액세스 메모리(RAM), 비휘발성 저장소, 로직, 또는 일부 다른 물리적 하드웨어 컴포넌트 또는 모듈을 제한 없이 암시적으로 포함할 수 있다.
또한, 요소는 요소의 기능들을 수행하기 위해 프로세서 또는 컴퓨터에 의해 실행 가능한 명령어들로서 구현될 수 있다. 명령어들의 일부 예들은 소프트웨어, 프로그램 코드, 및 펌웨어이다. 명령어들은 프로세서에 의해 실행될 때, 프로세서에게 요소의 기능들을 수행하도록 지시하는 동작을 한다. 명령어들은 프로세서에 의해 판독 가능한 저장 디바이스들 상에 저장될 수 있다. 저장 디바이스들의 일부 예들은 디지털 또는 솔리드-스테이트 메모리들, 자기 디스크들 및 자기 테이프들과 같은 자기 저장 매체들, 하드 드라이브들, 또는 광학적으로 판독 가능한 디지털 데이터 저장 매체들이다.
특정 실시예들이 본 명세서에서 설명되었지만, 본 개시내용의 범위는 그러한 특정 실시예들로 제한되지 않는다. 본 개시내용의 범위는 이하의 청구항들 및 그것의 임의의 등가물들에 의해 정의된다.

Claims (20)

  1. 시스템으로서,
    근접 서비스들(proximity services, ProSe)에 대한 발견 인가 절차를 수행하는 인가 메커니즘
    을 포함하고,
    상기 인가 메커니즘은:
    사용자 장비(User Equipment, UE) 내의 애플리케이션에 의해 전송된 발견 요청에 대한 정보를 수신하도록 구성된 검증 제어기 -상기 발견 요청은 상기 애플리케이션에 대한 애플리케이션 식별자(ID)를 포함함-; 및
    상기 발견 인가 절차에 대한 검증 규칙들을 결정하도록 구성되는 규칙 엔진
    을 포함하고,
    상기 검증 제어기는 상기 애플리케이션 ID에 매핑되는 보안 파라미터들에 대한 챌린지 값들을 요청하는 보안 챌린지 메시지를 상기 UE에 전송하고, 상기 보안 챌린지 메시지에 응답하여 상기 UE로부터 보안 응답 메시지를 수신하고, 상기 UE에 의해 제공되는 상기 보안 응답 메시지로부터 상기 보안 파라미터들에 대한 상기 챌린지 값들을 추출하고, 상기 보안 파라미터들에 대한 상기 챌린지 값들 및 상기 검증 규칙들에 기초하여 상기 애플리케이션이 상기 애플리케이션 ID를 사용한 직접 발견에 대해 인가되는지를 결정하도록 구성되고;
    상기 검증 제어기는 상기 애플리케이션이 상기 애플리케이션 ID를 사용한 직접 발견에 대해 인가될 때 상기 애플리케이션에 의해 전송된 상기 발견 요청을 인가하기 위한 검증 표시자를 생성하도록 구성되는,
    시스템.
  2. 제1항에 있어서,
    상기 검증 제어기는 상기 애플리케이션이 상기 애플리케이션 ID를 사용한 직접 발견에 대해 인가되지 않는 경우 상기 애플리케이션에 의해 전송된 상기 발견 요청을 거절하기 위한 거절 표시자를 생성하도록 구성된, 시스템.
  3. 제1항에 있어서, 상기 인가 메커니즘은:
    상기 보안 파라미터들을 상기 애플리케이션 ID에 매핑하는 데이터베이스를 더 포함하고,
    상기 애플리케이션 ID에 매핑된 상기 보안 파라미터들은 상기 애플리케이션 ID에 대해 프로비저닝된 인가된 값들을 포함하는, 시스템.
  4. 제3항에 있어서,
    상기 검증 제어기는 상기 애플리케이션 ID에 매핑된 상기 보안 파라미터들에 대한 상기 인가된 값들을 식별하고, 상기 UE에 의해 제공된 상기 챌린지 값들을 상기 애플리케이션 ID에 대해 프로비저닝된 상기 인가된 값들과 비교하여 상기 애플리케이션이 상기 애플리케이션 ID를 사용한 직접 발견에 대해 인가되는지를 결정하도록 구성되는, 시스템.
  5. 제1항에 있어서,
    상기 검증 제어기는 상기 UE에 할당된 네트워크 주소를 요청하는 상기 보안 챌린지 메시지를 상기 UE에 전송하도록 구성되는, 시스템.
  6. 제1항에 있어서,
    상기 검증 제어기는 PLMN(Public Land Mobile Network) 코드를 요청하는 상기 보안 챌린지 메시지를 상기 UE에 전송하도록 구성되는, 시스템.
  7. 제1항에 있어서,
    상기 검증 제어기는 상기 UE에 대한 위치 코드를 요청하는 상기 보안 챌린지 메시지를 상기 UE에 전송하도록 구성되는, 시스템.
  8. 제1항에 있어서,
    상기 검증 제어기는 상기 애플리케이션에 접근하는 데 사용되는 암호를 요청하는 상기 보안 챌린지 메시지를 상기 UE에 전송하도록 구성되는, 시스템.
  9. 제1항에 있어서,
    상기 인가 메커니즘은 상기 UE로부터의 상기 발견 요청을 수신하는 ProSe 기능부에서 구현되는, 시스템.
  10. 제1항에 있어서,
    상기 인가 메커니즘은 상기 UE로부터 상기 발견 요청을 수신하는 ProSe 기능부에 통신적으로 결합된 ProSe 애플리케이션 서버에서 구현되는, 시스템.
  11. 근접 서비스들(ProSe)에 대한 발견 인가 절차를 수행하는 방법으로서,
    인가 메커니즘에서, 사용자 장비(UE) 내의 애플리케이션에 의해 전송된 발견 요청에 대한 정보를 수신하는 단계 -상기 발견 요청은 상기 애플리케이션에 대한 애플리케이션 식별자(ID)를 포함함-;
    상기 인가 메커니즘에서, 상기 발견 인가 절차에 대한 검증 규칙들을 결정하는 단계;
    상기 애플리케이션 ID에 매핑된 보안 파라미터들에 대한 챌린지 값들을 요청하는 보안 챌린지 메시지를 상기 인가 메커니즘으로부터 상기 UE로 전송하는 단계;
    상기 인가 메커니즘에서 상기 보안 챌린지 메시지에 응답하여 상기 UE로부터 보안 응답 메시지를 수신하는 단계;
    상기 인가 메커니즘에서, 상기 UE에 의해 제공된 상기 보안 응답 메시지로부터 상기 보안 파라미터들에 대한 상기 챌린지 값들을 추출하는 단계;
    상기 보안 파라미터들에 대한 상기 챌린지 값들 및 상기 검증 규칙들에 기초하여 상기 애플리케이션이 상기 애플리케이션 ID를 사용한 직접 발견에 대해 인가되는지 여부를 결정하는 단계; 및
    상기 애플리케이션이 상기 애플리케이션 ID를 사용한 직접 발견에 대해 인가되는 경우 상기 애플리케이션에 의해 전송된 상기 발견 요청을 인가하기 위해 검증 표시자를 생성하는 단계
    를 포함하는, 방법.
  12. 제11항에 있어서,
    상기 애플리케이션이 상기 애플리케이션 ID를 사용한 직접 발견에 대해 인가되지 않는 경우 상기 애플리케이션에 의해 전송된 상기 발견 요청을 거절하기 위한 거절 표시자를 생성하는 단계를 더 포함하는, 방법.
  13. 제11항에 있어서,
    상기 보안 파라미터들을 상기 애플리케이션 ID에 매핑하는 데이터베이스를 저장하는 단계를 더 포함하고,
    상기 애플리케이션 ID에 매핑된 상기 보안 파라미터들은 상기 애플리케이션 ID에 대해 프로비저닝된 인가된 값들을 포함하는, 방법.
  14. 제13항에 있어서, 상기 애플리케이션이 직접 발견에 대해 인가되는지를 결정하는 단계는:
    상기 애플리케이션 ID에 매핑된 상기 보안 파라미터들에 대해 상기 인가된 값들을 식별하는 단계; 및
    상기 애플리케이션이 상기 애플리케이션 ID를 사용한 직접 발견에 대해 인가되는지를 결정하기 위해 상기 UE에 의해 제공되는 상기 챌린지 값들을 상기 애플리케이션 ID에 대해 프로비저닝된 상기 인가된 값들과 비교하는 단계
    를 더 포함하는, 방법.
  15. 하나 이상의 프로세서들에 의해 실행되는 프로그램된 명령어들을 구현하는 비일시적 컴퓨터 판독 가능 매체로서, 상기 명령어들은 상기 프로세서들에게:
    근접 서비스들(ProSe)을 위한 발견 인가 절차를 수행하는 인가 메커니즘
    을 구현하도록 지시하고,
    상기 인가 메커니즘은 사용자 장비(UE) 내의 애플리케이션에 의해 전송된 발견 요청에 대한 정보를 수신하도록 구성되고, 상기 발견 요청은 상기 애플리케이션에 대한 애플리케이션 식별자(ID)를 포함하고;
    상기 인가 메커니즘은 상기 발견 인가 절차를 위한 검증 규칙들을 결정하도록 구성되고;
    상기 인가 메커니즘은 상기 애플리케이션 ID에 매핑되는 보안 파라미터들의 챌린지 값들을 요청하는 보안 챌린지 메시지를 상기 UE에 전송하고, 상기 보안 챌린지 메시지에 응답하여 상기 UE로부터 보안 응답 메시지를 수신하고, 상기 UE에 의해 제공된 상기 보안 응답 메시지로부터 상기 보안 파라미터들에 대한 상기 챌린지 값들을 추출하고, 상기 보안 파라미터들에 대한 상기 챌린지 값들 및 상기 검증 규칙들에 기초하여 상기 애플리케이션이 상기 애플리케이션 ID를 사용한 직접 발견에 대해 인가되는지를 결정하도록 구성되고;
    상기 인가 메커니즘은 상기 애플리케이션이 상기 애플리케이션 ID를 사용한 직접 발견에 대해 인가되는 경우 상기 애플리케이션에 의해 전송된 상기 발견 요청을 인가하기 위한 검증 표시자를 생성하도록 구성되는, 컴퓨터 판독 가능 매체.
  16. 제15항에 있어서,
    상기 인가 메커니즘은 상기 애플리케이션이 상기 애플리케이션 ID를 사용한 직접 발견에 대해 인가되지 않는 경우 상기 애플리케이션에 의해 전송된 상기 발견 요청을 거절하기 위한 거절 표시자를 생성하도록 구성되는, 컴퓨터 판독 가능 매체.
  17. 제15항에 있어서,
    상기 인가 메커니즘은 상기 보안 파라미터들을 상기 애플리케이션 ID에 매핑하는 데이터베이스를 저장하도록 구성되고,
    상기 애플리케이션 ID에 매핑된 상기 보안 파라미터들은 상기 애플리케이션 ID에 대해 프로비저닝된 인가된 값을 포함하는, 컴퓨터 판독 가능 매체.
  18. 제17항에 있어서,
    상기 인가 메커니즘은 상기 애플리케이션 ID에 매핑된 상기 보안 파라미터들에 대한 상기 인가된 값들을 식별하고, 상기 애플리케이션이 상기 애플리케이션 ID를 사용한 직접 발견에 대해 인가되는지를 결정하기 위해 상기 UE에 의해 제공된 상기 챌린지 값들을 상기 애플리케이션 ID에 대해 프로비저닝된 상기 인가된 값들과 비교하도록 구성되는, 컴퓨터 판독 가능 매체.
  19. 제15항에 있어서,
    상기 인가 메커니즘은 상기 UE로부터 상기 발견 요청을 수신하는 ProSe 기능부에서 구현되는, 컴퓨터 판독 가능 매체.
  20. 제15항에 있어서,
    상기 인가 메커니즘은 상기 UE로부터 상기 발견 요청을 수신하는 ProSe 기능부에 통신적으로 연결된 ProSe 애플리케이션 서버에서 구현되는, 컴퓨터 판독 가능 매체.
KR1020207016653A 2017-11-15 2017-11-15 직접 발견을 위한 애플리케이션들의 인가 KR102255901B1 (ko)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2017/111028 WO2019095128A1 (en) 2017-11-15 2017-11-15 Authorization of applications for direct discovery

Publications (2)

Publication Number Publication Date
KR20200086333A true KR20200086333A (ko) 2020-07-16
KR102255901B1 KR102255901B1 (ko) 2021-05-26

Family

ID=66539275

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020207016653A KR102255901B1 (ko) 2017-11-15 2017-11-15 직접 발견을 위한 애플리케이션들의 인가

Country Status (6)

Country Link
US (1) US11553348B2 (ko)
EP (1) EP3711323B1 (ko)
JP (1) JP7089046B2 (ko)
KR (1) KR102255901B1 (ko)
CN (1) CN111373782B (ko)
WO (1) WO2019095128A1 (ko)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11812497B2 (en) 2017-03-10 2023-11-07 Apple Inc. Technology coordination for device-to-device discovery
US11553348B2 (en) * 2017-11-15 2023-01-10 Nokia Technologies Oy Authorization of applications for direct discovery
US20220007183A1 (en) * 2018-11-19 2022-01-06 Telefonaktiebolaget Lm Ericsson (Publ) Radio network node, network node and methods for setting up a secure connection to the user equipment (ue)
WO2021026726A1 (zh) * 2019-08-12 2021-02-18 Oppo广东移动通信有限公司 信息验证方法、装置、设备及存储介质
WO2022140919A1 (zh) * 2020-12-28 2022-07-07 华为技术有限公司 一种通信方法及装置
US20220256326A1 (en) * 2021-02-11 2022-08-11 Qualcomm Incorporated Techniques for sidelink discovery between user equipments associated with different discovery models
WO2022198466A1 (zh) * 2021-03-23 2022-09-29 Oppo广东移动通信有限公司 发现方法和终端
CN114697945B (zh) * 2022-04-02 2023-10-24 中国电信股份有限公司 发现响应消息的生成方法及装置、发现消息的处理方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20150042686A (ko) * 2013-10-11 2015-04-21 삼성전자주식회사 이동 통신 시스템 환경에서 프록시미티 기반 서비스를 위한 보안 및 정보 지원 방법 및 시스템
KR20170063931A (ko) * 2014-10-03 2017-06-08 인터디지탈 패튼 홀딩스, 인크 제한된 직접 검색을 위한 방법
JP2017531952A (ja) * 2014-10-02 2017-10-26 インターデイジタル パテント ホールディングス インコーポレイテッド Proseユーザ間で位置および他の状況情報の交換を可能にすること

Family Cites Families (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8713705B2 (en) 2009-08-03 2014-04-29 Eisst Ltd. Application authentication system and method
CN104066200B (zh) 2013-03-21 2020-11-06 北京三星通信技术研究有限公司 一种ue间端到端通信的实现方法及用户设备
WO2014162175A1 (en) * 2013-04-02 2014-10-09 Broadcom Corporation Method and apparatus for discovering devices and application users
KR102142576B1 (ko) 2013-05-16 2020-08-10 삼성전자주식회사 단말간 통신을 위한 탐색 방법 및 장치
EP2806670A1 (en) 2013-05-21 2014-11-26 Alcatel Lucent Method of device discovery for device-to-device communication in a telecommunication network, user equipment device and computer program product
US9647735B2 (en) 2013-05-31 2017-05-09 Intel IP Corporation Hybrid digital and analog beamforming for large antenna arrays
CN104244444B (zh) 2013-06-09 2018-08-07 电信科学技术研究院 D2d传输控制方法及设备
CN105359554A (zh) * 2013-06-28 2016-02-24 日本电气株式会社 基于邻近服务通信的安全发现
JP6512111B2 (ja) * 2013-06-28 2019-05-15 日本電気株式会社 通信システム、ネットワーク及びue並びにそれらの通信方法
CN108923918B (zh) * 2013-06-28 2022-07-15 日本电气株式会社 用户设备和通信方法
CN105874866B (zh) * 2013-11-01 2021-04-02 三星电子株式会社 用于分配资源和发送/接收资源分配信息的装置和方法
KR102100159B1 (ko) 2014-01-13 2020-04-13 삼성전자 주식회사 이동 통신 시스템에서 서비스 발견 및 그룹 통신을 위한 보안 지원 방법 및 시스템
WO2015141733A1 (ja) * 2014-03-18 2015-09-24 シャープ株式会社 通信制御方法、端末装置、サーバ装置および通信システム
CN106031203B (zh) 2014-03-18 2020-02-18 夏普株式会社 终端装置、具备ProSe功能的装置以及通信控制方法
US9813910B2 (en) * 2014-03-19 2017-11-07 Qualcomm Incorporated Prevention of replay attack in long term evolution device-to-device discovery
GB2524497A (en) 2014-03-24 2015-09-30 Vodafone Ip Licensing Ltd User equipment proximity requests
EP3477973B1 (en) * 2014-06-28 2020-06-24 Telefonaktiebolaget LM Ericsson (publ) Obtaining authorization to use proximity services in a mobile communication system
CN105611533B (zh) * 2014-11-06 2020-01-07 中兴通讯股份有限公司 完整性校验码mic检查方法及装置
CN105828413B (zh) * 2015-01-09 2020-11-10 中兴通讯股份有限公司 一种d2d模式b发现的安全方法、终端和系统
WO2016167553A1 (en) 2015-04-02 2016-10-20 Samsung Electronics Co., Ltd. Method for performing multiple authentications within service registration procedure
JP2018529240A (ja) * 2015-04-06 2018-10-04 インターデイジタル パテント ホールディングス インコーポレイテッド 近接サービス(ProSe)ダイレクトディスカバリへ向けられる方法、装置およびシステム
US9942838B2 (en) * 2016-01-07 2018-04-10 Lg Electronics Inc. Method and device for discovery operation of UE in wireless communication system
US10218520B2 (en) * 2016-06-14 2019-02-26 Ofinno Technologies, Llc Wireless device video floor control
KR102569150B1 (ko) * 2016-11-03 2023-08-22 삼성전자주식회사 근접-기반 서비스 직접 통신에 기반하여 v2p 서비스를 제공하는 장치 및 방법
US11553348B2 (en) * 2017-11-15 2023-01-10 Nokia Technologies Oy Authorization of applications for direct discovery

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20150042686A (ko) * 2013-10-11 2015-04-21 삼성전자주식회사 이동 통신 시스템 환경에서 프록시미티 기반 서비스를 위한 보안 및 정보 지원 방법 및 시스템
JP2017531952A (ja) * 2014-10-02 2017-10-26 インターデイジタル パテント ホールディングス インコーポレイテッド Proseユーザ間で位置および他の状況情報の交換を可能にすること
KR20170063931A (ko) * 2014-10-03 2017-06-08 인터디지탈 패튼 홀딩스, 인크 제한된 직접 검색을 위한 방법

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
3GPP TR 23.703 v12.0.0, Study on architecture enhancements to support Proximity-based Sercives(ProSe)(Release 12), 2014.02 *

Also Published As

Publication number Publication date
EP3711323A4 (en) 2021-06-30
CN111373782A (zh) 2020-07-03
EP3711323B1 (en) 2023-08-09
US20200336902A1 (en) 2020-10-22
WO2019095128A1 (en) 2019-05-23
US11553348B2 (en) 2023-01-10
CN111373782B (zh) 2023-08-25
JP2021503264A (ja) 2021-02-04
EP3711323A1 (en) 2020-09-23
KR102255901B1 (ko) 2021-05-26
JP7089046B2 (ja) 2022-06-21

Similar Documents

Publication Publication Date Title
KR102255901B1 (ko) 직접 발견을 위한 애플리케이션들의 인가
ES2919553T3 (es) Aparatos para seleccionar una red central en un sistema de comunicación móvil
US10313883B2 (en) Methods, systems, and computer readable media for using authentication validation time periods
JP6473807B2 (ja) 制限されたダイレクトディスカバリのための方法
US9942762B2 (en) Provisioning credentials in wireless communications
US9332480B2 (en) Decoupling service and network provider identification in wireless communications
CN114128396A (zh) 蜂窝切片网络中的中继选择
KR102294659B1 (ko) Ue 액세스 제어를 지원하는 방법
JP6564022B2 (ja) 異種ネットワークに対して有効なユーザ機器識別情報
US9918353B2 (en) 802.1X access session keepalive method, device, and system
WO2016155298A1 (zh) 一种中继ue接入控制方法及装置
US20140192739A1 (en) Method of Handling Proximity Service in Wireless Communication System
WO2016192629A1 (en) Admission of a session to a virtual network service
US9713179B2 (en) Configuration of layer-1 destination address for device-to-device communications
JP6671527B2 (ja) 端末デバイスが別の端末デバイスを発見するための方法および装置
KR20110091305A (ko) Mocn에서 긴급 호를 위한 plmn 선택 방법 및 장치
JP2018522501A (ja) 単一の接続性コンテキストを用いた複数の同時のサービスコンテキストのサポート
KR20200017529A (ko) 근접성 서비스를 위한 모바일 네트워크의 우선순위화
TW201725931A (zh) 通訊系統中閘道器節點之選擇
KR101424370B1 (ko) 액세스 게이트웨이 선택 방법, 장치 및 시스템
CN108702801B (zh) 用于使能建立直接连接的方法
JP6451335B2 (ja) 制御装置、加入者情報サーバ、及びこれらの方法
CN117178595A (zh) 独立非公共网络部署中的用户设备载入和网络拥塞控制

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant