KR20230172603A - 온 디맨드 네트워크에서의 프로비저닝, 인증, 인가, 그리고 사용자 장비(ue) 키 생성 및 분배를 위한 방법 및 장치 - Google Patents

온 디맨드 네트워크에서의 프로비저닝, 인증, 인가, 그리고 사용자 장비(ue) 키 생성 및 분배를 위한 방법 및 장치 Download PDF

Info

Publication number
KR20230172603A
KR20230172603A KR1020237040643A KR20237040643A KR20230172603A KR 20230172603 A KR20230172603 A KR 20230172603A KR 1020237040643 A KR1020237040643 A KR 1020237040643A KR 20237040643 A KR20237040643 A KR 20237040643A KR 20230172603 A KR20230172603 A KR 20230172603A
Authority
KR
South Korea
Prior art keywords
key
network
demand network
access
key set
Prior art date
Application number
KR1020237040643A
Other languages
English (en)
Inventor
마커스 웡
카이팔리말릴 매튜 존
코스로우 토니 사부리안
지시안 샹
Original Assignee
후아웨이 테크놀러지 컴퍼니 리미티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 후아웨이 테크놀러지 컴퍼니 리미티드 filed Critical 후아웨이 테크놀러지 컴퍼니 리미티드
Publication of KR20230172603A publication Critical patent/KR20230172603A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0846Network architectures or network communication protocols for network security for authentication of entities using passwords using time-dependent-passwords, e.g. periodically changing passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • H04L9/0833Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • H04L9/0844Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • H04L2209/805Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

실시예에 따르면, 사용자 장비(UE)는 액세스 크리덴셜 메시지를 수신한다. 액세스 크리덴셜 메시지는 UE가 액세스할 온 디맨드 네트워크를 위한 액세스 크리덴셜을 나타낸다. 액세스 크리덴셜 메시지는 액세스 크리덴셜의 제한된 수명을 또한 나타낸다. UE는, 온 디맨드 네트워크에, 인증 및 인가 요청을 송신한다. 인증 및 인가 요청은 액세스 크리덴셜에 대한 정보를 포함한다. UE는, 온 디맨드 네트워크로부터, 인증 및 인가 응답을 수신한다. UE는 인증 및 인가 응답에 기반하여 온 디맨드 네트워크와의 세션을 수립한다.

Description

온 디맨드 네트워크에서의 프로비저닝, 인증, 인가, 그리고 사용자 장비(UE) 키 생성 및 분배를 위한 방법 및 장치
관련 출원에 대한 상호 참조
이 특허 출원은, 본 문서에 참조에 의해 마치 그 전체로서 전재된(reproduced) 것처럼 포함되는, "온 디맨드 네트워크에서의 프로비저닝, 인증 및 인가를 위한 방법 및 장치"라는 표제로 2021년 5월 7일에 출원된 미국 임시 출원 제63/185,826호 및 "온 디맨드 네트워크에서의 사용자 장비 키 생성 및 분배"라는 표제로 2021년 5월 7일에 출원된 미국 임시 출원 제63/185,837호에 대한 우선권을 주장한다.
기술 분야
본 개시는 일반적으로 무선 통신을 위한 방법 및 장치에 관련되고, 구체적인 실시예에서, 온 디맨드 네트워크(On-Demand Network)에서의 프로비저닝(Provisioning), 인증(Authentication), 인가(Authorization), 그리고 사용자 장비(User Equipment: UE) 키 생성 및 분배를 위한 방법 및 장치에 관련된다.
진화하는 서비스 에코시스템(ecosystem)의 일부로서 무선 네트워크는 다양한 새로운 신생 애플리케이션 또는 서비스를 만족시키도록 진화할 필요가 있다. 3GPP SA1 WG는 온 디맨드 네트워크에 대한 새로운 연구를 시작하였다. 온 디맨드 네트워크는 개인용 사물 인터넷 네트워크(Personal Internet of Things (IoT) Network: PIN)를 포함한다. PIN은 매우 작은 사설 네트워크(private network)와 유사하나 더 동적이고 유연한 방식으로 배치될 수 있다. 대부분의 PIN은 가정 자동화(home automation), 착용가능 디바이스(wearable device), 계량기(meter) 등과 같은 소비자 IoT 디바이스를 위해 가정 또는 소규모 기업 현장에 배치될 수 있고, 짧은 시간 기간의 지속기간을 갖는 배치를 위해 신속하게 셋업될(setup) 수 있다. PIN 및 온 디맨드 네트워크는 상이한 운영자로부터의 UE가 합화할(join) 수 있게 한다. UE 소유자는 서로 친구일 수 있거나 아니면 컨소시엄(consortium)의 일부이다. 그러나, UE가 온 디맨드 네트워크를 액세스하기 위해 신속하게 및 자동적으로 UE를 인증하고 인가하는 메커니즘이 부족하다. 나아가, 현재 온 디맨드 네트워크는 상이한 운영자로부터의 UE를 온 디맨드 네트워크와 보안적으로(securely) 통신하거나 온 디맨드 네트워크 내의 다른 UE와 통신하도록 지원하지 않는다.
온 디맨드 네트워크에서의 프로비저닝, 인증, 인가, 그리고 사용자 장비(UE) 키 생성 및 분배를 위한 방법 및 장치를 기술하는 이 개시의 실시예에 의해, 일반적으로 기술적 이점이 달성된다.
실시예에 따르면, 사용자 장비(UE)는 액세스 크리덴셜 메시지(access credential message)를 수신한다. 액세스 크리덴셜 메시지는 UE가 액세스할 온 디맨드 네트워크를 위한 액세스 크리덴셜을 나타낸다. 액세스 크리덴셜 메시지는 액세스 크리덴셜의 제한된 수명(lifespan)을 또한 나타낸다. UE는, 온 디맨드 네트워크에, 인증 및 인가 요청을 송신한다. 인증 및 인가 요청은 액세스 크리덴셜에 대한 정보를 포함한다. UE는, 온 디맨드 네트워크로부터, 인증 및 인가 응답을 수신한다. UE는 인증 및 인가 응답에 기반하여 온 디맨드 네트워크와의 세션(session)을 수립한다.
몇몇 실시예에서, 온 디맨드 네트워크는 UE의 홈 운영자(home operator)와는 상이한 운영자에 속할 수 있다. 몇몇 실시예에서, 액세스 크리덴셜 메시지는 인증 및 인가를 수행하는 하나 이상의 개체(entity)를 나타내는 개체 정보를 더 포함할 수 있다. 인증 및 인가 요청은 개체 정보를 포함할 수 있다. 몇몇 실시예에서, 하나 이상의 개체는 온 디맨드 네트워크의 개체, 애플리케이션 서버(application server)(이의 하나 이상의 서비스는 온 디맨드 네트워크를 액세스하는 것을 통해 UE에 의해 사용됨), 제3자 개체, 또는 UE의 홈 네트워크(home network)의 개체 중 적어도 하나를 포함할 수 있다. 몇몇 실시예에서, 개체 정보는 인증을 처리하는 제1 개체 및 인가를 처리하는 제2 개체를 나타낼 수 있다. 제2 개체는 제1 개체와 상이할 수 있다. 몇몇 실시예에서, 액세스 크리덴셜 메시지는 크리덴셜 타입 및 크리덴셜 소유자를 또한 나타낼 수 있다. 크리덴셜 소유자는 온 디맨드 네트워크, 애플리케이션 서버(이의 하나 이상의 서비스는 온 디맨드 네트워크를 액세스하는 것을 통해 UE에 의해 사용됨), 제3자 개체, 또는 UE의 홈 네트워크 중 하나일 수 있다. 몇몇 실시예에서, UE는 UE가 UE의 홈 네트워크와 인증하는 것 또는 UE가 애플리케이션 서버(이의 하나 이상의 서비스는 온 디맨드 네트워크를 액세스하는 것을 통해 UE에 의해 사용됨)와 인증하는 것에 응답하여 액세스 크리덴셜 메시지를 수신할 수 있다. UE는 UE가 온 디맨드 네트워크에 액세스하기 전에 또는 그 동안에 액세스 크리덴셜 메시지를 수신할 수 있다. 몇몇 실시예에서, UE는 UE가 온 디맨드 네트워크를 액세스하기 위해 액세스 크리덴셜에 대한 정보를 획득하기를 요청하는 것 없이 UE의 홈 네트워크로부터 또는 애플리케이션 서버(이의 하나 이상의 서비스는 온 디맨드 네트워크를 액세스하는 것을 통해 UE에 의해 사용됨)로부터 액세스 크리덴셜 메시지를 수신할 수 있다. 몇몇 실시예에서, UE는 UE가 온 디맨드 네트워크를 액세스하기 위해 액세스 크리덴셜에 대한 정보를 획득하기를 요청하는 것으로써 UE의 홈 네트워크로부터 또는 애플리케이션 서버(이의 하나 이상의 서비스는 온 디맨드 네트워크를 액세스하는 것을 통해 UE에 의해 사용됨)로부터 액세스 크리덴셜 메시지를 수신할 수 있다. 몇몇 실시예에서, 액세스 크리덴셜에 대한 정보는 액세스 크리덴셜 또는 액세스 크리덴셜의 식별자(identifier)를 포함할 수 있다.
실시예에 따르면, 온 디맨드 네트워크의 네트워크 개체는 액세스 크리덴셜에 대한 정보를 포함하는 인증 및 인가 요청을 수신한다. UE는 UE가 액세스할 온 디맨드 네트워크를 위한 액세스 크리덴셜을 나타내는 액세스 크리덴셜 메시지를 수신한다. 액세스 크리덴셜 메시지는 액세스 크리덴셜의 제한된 수명을 또한 나타낸다. 네트워크 개체는 UE에 인증 및 인가 응답을 송신한다. 네트워크 개체는 인증 및 인가 응답에 기반하여 UE와의 세션을 수립한다.
몇몇 실시예에서, 온 디맨드 네트워크는 UE의 홈 운영자와는 상이한 운영자에 속할 수 있다. 몇몇 실시예에서, 액세스 크리덴셜 메시지는 인증 및 인가를 수행하는 하나 이상의 개체를 나타내는 개체 정보를 더 포함할 수 있다. 인증 및 인가 요청은 개체 정보를 포함할 수 있다. 몇몇 실시예에서, 하나 이상의 개체는 온 디맨드 네트워크의 개체, 애플리케이션 서버(이의 하나 이상의 서비스는 온 디맨드 네트워크를 액세스하는 것을 통해 UE에 의해 사용됨), 제3자 개체, 또는 UE의 홈 네트워크의 개체 중 적어도 하나를 포함할 수 있다. 몇몇 실시예에서, 개체 정보는 인증을 처리하는 제1 개체 및 인가를 처리하는 제2 개체를 나타낼 수 있다. 제2 개체는 제1 개체와 상이할 수 있다. 몇몇 실시예에서, 액세스 크리덴셜 메시지는 크리덴셜 타입 및 크리덴셜 소유자를 또한 나타낼 수 있다. 크리덴셜 소유자는 온 디맨드 네트워크, 애플리케이션 서버(이의 하나 이상의 서비스는 온 디맨드 네트워크를 액세스하는 것을 통해 UE에 의해 사용됨), 제3자 개체, 또는 UE의 홈 네트워크 중 하나일 수 있다. 몇몇 실시예에서, UE는 UE가 UE의 홈 네트워크와 인증하는 것 또는 UE가 애플리케이션 서버(이의 하나 이상의 서비스는 온 디맨드 네트워크를 액세스하는 것을 통해 UE에 의해 사용됨)와 인증하는 것에 응답하여 액세스 크리덴셜 메시지를 수신할 수 있다. UE는 UE가 온 디맨드 네트워크에 액세스하기 전에 또는 그 동안에 액세스 크리덴셜 메시지를 수신할 수 있다. 몇몇 실시예에서, UE는 UE가 온 디맨드 네트워크를 액세스하기 위해 액세스 크리덴셜에 대한 정보를 획득하기를 요청하는 것 없이 UE의 홈 네트워크로부터 또는 애플리케이션 서버(이의 하나 이상의 서비스는 온 디맨드 네트워크를 액세스하는 것을 통해 UE에 의해 사용됨)로부터 액세스 크리덴셜 메시지를 수신할 수 있다. 몇몇 실시예에서, UE는 UE가 온 디맨드 네트워크를 액세스하기 위해 액세스 크리덴셜에 대한 정보를 획득하기를 요청하는 것으로써 UE의 홈 네트워크로부터 또는 애플리케이션 서버(이의 하나 이상의 서비스는 온 디맨드 네트워크를 액세스하는 것을 통해 UE에 의해 사용됨)로부터 액세스 크리덴셜 메시지를 수신할 수 있다. 몇몇 실시예에서, 액세스 크리덴셜에 대한 정보는 액세스 크리덴셜 또는 액세스 크리덴셜의 식별자를 포함할 수 있다.
실시예에 따르면, 사용자 장비(UE)는 온 디맨드 네트워크로부터 적어도 하나의 키 세트(key set)에 대한 키 정보를 수신한다. 적어도 하나의 키 세트는 온 디맨드 네트워크 및 온 디맨드 네트워크를 액세스하기 위해 UE에 의해 사용되는 액세스 크리덴셜의 정보 및 온 디맨드 네트워크를 액세스하기 위해 UE에 의해 사용되는 액세스 크리덴셜에 기반하여 생성된다. 적어도 하나의 키 세트는 제1 키 세트를 포함할 수 있고, 제1 키 세트는 제1 암호 키(Cipher Key: CK) 및 제1 무결성 키(Integrity Key: IK)를 포함하는 제1 키 쌍(key pair)을 포함할 수 있다. UE는 제1 키 세트를 사용하여 온 디맨드 네트워크 및 온 디맨드 네트워크 내의 다른 UE와 통신한다.
몇몇 실시예에서, 온 디맨드 네트워크는 UE의 홈 운영자와는 상이한 운영자에 속할 수 있다. 몇몇 실시예에서, 적어도 하나의 키 세트에 대한 키 정보는 적어도 하나의 키 세트를 포함할 수 있거나, 적어도 하나의 키 세트에 대한 키 정보는 적어도 하나의 키 세트를 생성하기 위해 UE에 의해 사용되는 적어도 하나의 파라미터를 포함할 수 있다. 몇몇 실시예에서, 적어도 하나의 파라미터는 UE가 새로운 프레쉬(fresh) 키를 생성하기 위한 파라미터를 포함할 수 있는데, 파라미터는 논스(nonce)로서 온 디맨드 네트워크에 의해 생성된 난수(random number)를 포함한다. 몇몇 실시예에서, 온 디맨드 네트워크, UE의 홈 네트워크, 또는 애플리케이션 서버(이의 하나 이상의 서비스는 온 디맨드 네트워크를 액세스하는 것을 통해 UE에 의해 사용됨)에 의해 공개 키(public key)가 제공될 수 있다. 몇몇 실시예에서, 적어도 하나의 파라미터는 적어도 하나의 키 세트의 제한된 수명을 포함할 수 있다. 제한된 수명은 시작 시간 또는 종료 시간 중 적어도 하나를 포함할 수 있다. 몇몇 실시예에서, UE는 리프레쉬(refresh) 메시지를 수신하기 전에 온 디맨드 네트워크에 리프레쉬 요청을 발신할 수 있다. 몇몇 실시예에서, 키 정보는 적어도 하나의 키 세트의 제한된 수명을 또한 나타낼 수 있다. 몇몇 실시예에서, 제1 키 세트 내의 제1 키 쌍은 온 디맨드 네트워크의 제어 평면(control plane)과 통신하기 위해 UE에 의해 사용될 수 있다. 제1 키 세트는 온 디맨드 네트워크의 데이터 평면(data plane)과 통신하기 위해 UE에 의해 사용되는 제2 CK 및 제2 IK를 포함하는 제2 키 쌍을 더 포함할 수 있다. 몇몇 실시예에서, 적어도 하나의 키 세트는 온 디맨드 네트워크 내의 그룹 통신을 위해 UE에 의해 사용되는 제3 CK 및 제3 IK를 포함하는 제3 키 세트를 더 포함할 수 있는데, 제3 키 세트는 그룹 특정적(group specific)이다. 적어도 하나의 키 세트는 온 디맨드 네트워크 내의 제2 UE와 통신하기 위해 UE에 의해 사용되는 제4 CK 및 제4 IK를 포함하는 제4 키 세트를 더 포함한다. 몇몇 실시예에서, UE는 적어도 하나의 키 세트를 리프레쉬하기 위한 리프레쉬 정보를 포함하는 키 리프레쉬 메시지를 수신할 수 있다. 키 리프레쉬 메시지는 제1 키 세트를 사용하여 암호화되고(encrypted) 무결성 체크될(integrity checked) 수 있다. 키 리프레쉬 메시지는 적어도 하나의 새로운 키 세트를 포함할 수 있거나, 키 리프레쉬 메시지는 UE가 적어도 하나의 새로운 키 세트를 생성하기 위한 적어도 하나의 리프레쉬 파라미터를 포함할 수 있다. UE는 적어도 하나의 새로운 키 세트를 사용하여 온 디맨드 네트워크와 통신할 수 있다. 몇몇 실시예에서, 키 정보를 수신하기 전에, UE는 액세스 크리덴셜에 대한 정보를 포함하는 인증 및 인가 요청을 온 디맨드 네트워크에 송신할 수 있다. 인증 및 인가 요청은 UE의 공개 키를 더 포함할 수 있다. 적어도 하나의 키 세트에 대한 키 정보는 공개 키를 사용하여 온 디맨드 네트워크에 의해 암호화될 수 있다. UE는 UE의 개인 키(private key)를 사용하여 적어도 하나의 키 세트에 대한 키 정보를 복호화할(decrypt) 수 있다.
실시예에 따르면, 온 디맨드 네트워크의 네트워크 개체는 적어도 하나의 키 세트에 대한 키 정보를 사용자 장비(UE)에 송신한다. 적어도 하나의 키 세트는 온 디맨드 네트워크 및 온 디맨드 네트워크를 액세스하기 위해 UE에 의해 사용되는 액세스 크리덴셜의 정보 및 온 디맨드 네트워크를 액세스하기 위해 UE에 의해 사용되는 액세스 크리덴셜에 기반하여 생성된다. 적어도 하나의 키 세트는 제1 키 세트를 포함할 수 있고, 제1 키 세트는 제1 암호 키(CK) 및 제1 무결성 키(IK)를 포함하는 제1 키 쌍을 포함할 수 있다. 네트워크 개체는 제1 키 세트를 사용하여 UE와 통신한다.
몇몇 실시예에서, 온 디맨드 네트워크는 UE의 홈 운영자와는 상이한 운영자에 속할 수 있다. 몇몇 실시예에서, 적어도 하나의 키 세트에 대한 키 정보는 적어도 하나의 키 세트를 포함할 수 있거나, 적어도 하나의 키 세트에 대한 키 정보는 적어도 하나의 키 세트를 생성하기 위해 UE에 의해 사용되는 적어도 하나의 파라미터를 포함할 수 있다. 몇몇 실시예에서, 적어도 하나의 파라미터는 UE가 새로운 프레쉬 키를 생성하기 위한 파라미터를 포함할 수 있는데, 파라미터는 논스로서 온 디맨드 네트워크에 의해 생성된 난수를 포함한다. 몇몇 실시예에서, 온 디맨드 네트워크, UE의 홈 네트워크, 또는 애플리케이션 서버(이의 하나 이상의 서비스는 온 디맨드 네트워크를 액세스하는 것을 통해 UE에 의해 사용됨)에 의해 공개 키가 제공될 수 있다. 몇몇 실시예에서, 적어도 하나의 파라미터는 적어도 하나의 키 세트의 제한된 수명을 포함할 수 있다. 제한된 수명은 시작 시간 또는 종료 시간 중 적어도 하나를 포함할 수 있다. 몇몇 실시예에서, UE는 리프레쉬 메시지를 수신하기 전에 온 디맨드 네트워크에 리프레쉬 요청을 발신할 수 있다. 몇몇 실시예에서, 키 정보는 적어도 하나의 키 세트의 제한된 수명을 또한 나타낼 수 있다. 몇몇 실시예에서, 제1 키 세트 내의 제1 키 쌍은 온 디맨드 네트워크의 제어 평면과 통신하기 위해 UE에 의해 사용될 수 있다. 제1 키 세트는 온 디맨드 네트워크의 데이터 평면과 통신하기 위해 UE에 의해 사용되는 제2 CK 및 제2 IK를 포함하는 제2 키 쌍을 더 포함할 수 있다. 몇몇 실시예에서, 적어도 하나의 키 세트는 온 디맨드 네트워크 내의 그룹 통신을 위해 UE에 의해 사용되는 제3 CK 및 제3 IK를 포함하는 제3 키 세트를 더 포함할 수 있는데, 제3 키 세트는 그룹 특정적이다. 적어도 하나의 키 세트는 온 디맨드 네트워크 내의 제2 UE와 통신하기 위해 UE에 의해 사용되는 제4 CK 및 제4 IK를 포함하는 제4 키 세트를 더 포함한다. 몇몇 실시예에서, UE는 적어도 하나의 키 세트를 리프레쉬하기 위한 리프레쉬 정보를 포함하는 키 리프레쉬 메시지를 수신할 수 있다. 키 리프레쉬 메시지는 제1 키 세트를 사용하여 암호화되고 무결성 체크될 수 있다. 키 리프레쉬 메시지는 적어도 하나의 새로운 키 세트를 포함할 수 있거나, 키 리프레쉬 메시지는 UE가 적어도 하나의 새로운 키 세트를 생성하기 위한 적어도 하나의 리프레쉬 파라미터를 포함할 수 있다. UE는 적어도 하나의 새로운 키 세트를 사용하여 온 디맨드 네트워크와 통신할 수 있다. 몇몇 실시예에서, 키 정보를 수신하기 전에, UE는 액세스 크리덴셜에 대한 정보를 포함하는 인증 및 인가 요청을 온 디맨드 네트워크에 송신할 수 있다. 인증 및 인가 요청은 UE의 공개 키를 더 포함할 수 있다. 적어도 하나의 키 세트에 대한 키 정보는 공개 키를 사용하여 온 디맨드 네트워크에 의해 암호화될 수 있다. UE는 UE의 개인 키를 사용하여 적어도 하나의 키 세트에 대한 키 정보를 복호화할 수 있다.
이 개시에서의 실시예는 UE가 온 디맨드 네트워크를 액세스하기 위해 신속하게 및 자동적으로 UE를 인증하고 인가하는 메커니즘을 제공한다. 추가로, 이 개시에서의 실시예는 상이한 운영자로부터의 UE를 온 디맨드 네트워크와 보안적으로 통신하거나 온 디맨드 네트워크 내의 다른 UE와 통신하도록 지원한다.
본 개시, 그리고 이의 이점의 더욱 완전한 이해를 위해, 첨부된 도면과 함께 취해지는 다음의 설명에 대한 참조가 이제 행해진다.
도 1은 몇몇 실시예에 따라, 두 온 디맨드 PIN을 가진 예시적인 통신 시스템을 보여주고,
도 2는 몇몇 실시예에 따라, UE의 홈 운영자에 의해 운영되는 UE의 홈 네트워크에 의한 액세스 크리덴셜 프로비저닝, 인증 및 인가의 메시지 흐름을 보여주고,
도 3은 몇몇 실시예에 따라, 온 디맨드 네트워크에 의한 액세스 크리덴셜 프로비저닝, 인증 및 인가의 메시지 흐름을 보여주고,
도 4는 몇몇 실시예에 따라, 애플리케이션 서버에 의한 액세스 크리덴셜 프로비저닝, 인증 및 인가의 메시지 흐름을 보여주고,
도 5는 몇몇 실시예에 따라, 제3자 개체에 의한 액세스 크리덴셜 프로비저닝, 인증 및 인가의 메시지 흐름을 보여주고,
도 6은 몇몇 실시예에 따라, 온 디맨드 네트워크 키 생성 및 분배의 메시지 흐름을 보여주고,
도 7은 몇몇 실시예에 따라, 네트워크 생성형(network generated) 키를 사용하는 온 디맨드 네트워크 키 리프레쉬를 위한 메시지 흐름을 보여주고,
도 8은 몇몇 실시예에 따라, UE에 의해 생성된 키를 사용하는 온 디맨드 네트워크 키 리프레쉬를 위한 메시지 흐름을 보여주고,
도 9a는 몇몇 실시예에 따라, 액세스 크리덴셜 프로비저닝, 인증 및 인가를 위한 방법의 흐름도를 보여주고,
도 9b는 몇몇 실시예에 따라, 액세스 크리덴셜 프로비저닝, 인증 및 인가를 위한 방법의 흐름도를 보여주고,
도 10a는 몇몇 실시예에 따라, 온 디맨드 네트워크 키 생성 및 분배를 위한 방법의 흐름도를 보여주고,
도 10b는 몇몇 실시예에 따라, 온 디맨드 네트워크 키 생성 및 분배를 위한 방법의 흐름도를 보여주고,
도 11은 몇몇 실시예에 따라, 예시적인 통신 시스템을 보여주고,
도 12a 및 도 12b는 몇몇 실시예에 따라, 예시적인 디바이스를 보여주고,
도 13은 몇몇 실시예에 따라, 예시적인 컴퓨팅 시스템의 블록도이고,
도 14은 몇몇 실시예에 따라, 예시적인 통신 시스템을 보여준다.
개시된 실시예의 구조 및 사용이 아래에서 상세히 논의된다. 그러나, 본 개시는 매우 다양한 구체적인 맥락에서 체현될 수 있는 많은 적용가능한 개념을 제공함이 인식되어야 한다. 논의되는 구체적인 실시예는 실시예의 구체적인 구조 및 사용의 예일 뿐이며, 개시의 범위를 한정하지 않는다.
도 1은 몇몇 실시예에 따라, 두 온 디맨드 PIN(100 및 110)을 가진 예시적인 통신 시스템을 보여준다. 두 온 디맨드 PIN(100 및 110) 각각은 (가령 게임을 플레이하는) 짧은 시간 기간 동안 각자의 PIN 내에서 서로 연결된 상이한 모바일 디바이스(가령, 사용자 장비(UE))를 포함한다. 예를 들어, 온 디맨드 PIN(100)은 짧은 시간 기간 동안 온 디맨드 PIN(100) 내에서 서로 연결된 모바일 전화(102), 착용가능 디바이스(104)(가령, 무선 이어버드(earbud)), 착용가능 디바이스(106)(가령, 무선 고글) 및 착용가능 디바이스(108)(가령, 무선 시계)를 포함할 수 있다. 온 디맨드 PIN(110)은 짧은 시간 기간 동안 온 디맨드 PIN(110) 내에서 서로 연결된 모바일 전화(112), 착용가능 디바이스(114)(가령, 무선 이어버드), 착용가능 디바이스(116)(가령, 무선 고글) 및 착용가능 디바이스(118)(가령, 무선 시계)를 포함할 수 있다. 온 디맨드 PIN(100 및 110) 각각 내의 하나 이상의 무선 디바이스는 또한 네트워크(120)(가령, 5G 무선 네트워크 또는 4G LTE 네트워크와 같은 공중 회선 모바일 네트워크(public-line-mobile network))에 연결될 수 있다.
3GPP SA1은, 이로써 본 문서에 참조에 의해 그 전체로서 포함되는, TR 22.859(개인용 IoT 네트워크에 대한 3GPP 연구(3GPP Study on Personal IoT Networks))에서의 PIN 연구 국면 동안에 가정에서의 온 디맨드 PIN의 동적 수립 상의 새로운 용례를 수용하였다. PIN의 배치 및 이를 새로운 부가가치 서비스로서 사용하는 모바일 운영자의 지원과 함께, 인가된 모바일 디바이스, 예를 들면 스마트폰, 태블릿, 고객 구내 장비(Customer Premise Equipment: CPE)가 또한 온 디맨드 임시(temporary) PIN을 동적으로 창출하고 관리하기 위해 PIN 게이트웨이로서 사용될 수 있다. 온 디맨드 임시 PIN은 근접한 디바이스에 연결성(connectivity)을 제공할 뿐만 아니라, 어느 디바이스가 PIN 내에 연결될 수 있는지를 결정하는 것, PIN 내의 서비스 및 트래픽을 관리하는 것, 그리고 기타 등등을 포함하여, PIN을 관리하기 위해 PIN 사용자에게 더 많은 유연성 및 권한(authority)을 제공할 수도 있다. PIN 사용자는 동작 시간의 짧은 기간 동안(가령, 얼마 안 되는 시간 동안의 야간 파티) 지속될 뿐인 온 디맨드 네트워크(가령, PIN)를 창출하도록 공중 회선 모바일 네트워크(Public-Line-Mobile Network: PLMN)에 요청할 수 있다. 모든 디바이스는 단지 창출된 온 디맨드 네트워크에 이 동작 시간 동안에 연결될 수 있고 이후에는 연결해제될(disconnected) 것이다.
TR 22.859에서 기술된, 그러한 온 디맨드 네트워크(PIN)는 소규모이지만 소형 사설 네트워크로서 간주될 수 있고, 더 빠르게 및 더 동적으로 배치될 수 있다.
3GPP SA1은 또한, 이로써 본 문서에 참조에 의해 그 전체로서 포함되는, TR 22.844(국지적 서비스에서 액세스를 제공하는 것에 대한 3GPP 연구(3GPP Study on Providing Access in Localized Services))에서 온 디맨드 국지적 서비스를 제공하는 것에 대한 다른 연구를 시작하였는데, UE로 하여금 짧은 시간 기간 동안에 어떤 호스팅된(hosted) 서비스를 위해 로컬 네트워크(local network)를 액세스할 수 있게 한다. 이 로컬 네트워크는 또한 온 디맨드 단명(short-lived) 네트워크일 수 있다.
이들 두 연구와 함께, 어떤 특정 서비스를 공급하기 위해 창출될 수 있는 새로운 타입의 온 디맨드 사설 네트워크가 정의되는데, 곧 개인용 IoT 네트워크(PIN)이다. 일단 PIN이 UE에 의해 창출되고 선택되었다면, UE가 해당 네트워크로부터 서비스를 향유하기 시작하기 위해서 신속하게 및 자동적으로 인증되고 인가되도록 새로운 메커니즘이 또한 필요하다. UE의 인증은 암호학적으로 UE의 신원(identity) 및 진본성(authenticity)을 확인하기(verifying)를 가리킨다. UE의 인가는 인증된 UE가 요청되고 있는 특정한 가입된(subscribed) 서비스를 액세스하도록 허용 또는 인가됨을 유효화하기(validating)를 가리킨다. 예를 들어, 만일 UE가 음성 전용 서비스(voice only service)에 가입하였으면, UE는 다른 서비스, 예를 들면 데이터 서비스를 액세스하도록 허용되거나 인가되지 않을 것이다.
온 디맨드 네트워크(가령, PIN)를 포함하는 온 디맨드 네트워크를 위한 시나리오에서, PIN에 의해 공급되는 서비스를 액세스할 UE 또는 디바이스는 동일한 네트워크 운영자에 속할 수 있거나 그렇지 않을 수 있다. 온 디맨드 네트워크로의 액세스를 허용하기 위해서, 이들 UE 또는 디바이스(이 개시의 나머지를 위해 집합적으로 UE로 칭해짐)는 온 디맨드 네트워크(가령, PIN)에 의해 인증되고 인가되도록 요구될 것이다. 온 디맨드 네트워크를 액세스하는 UE의 그룹으로부터의 적어도 하나의 UE(본 문서에서 호스트 UE로서 지칭됨)는 온 디맨드 네트워크의 운영자에 속하며, (가령 이미 프로비저닝된 크리덴셜(즉, 범용 집적 회로 카드(Universal Integrated Circuit Card: UICC) 또는 가입자 신원 모듈(Subscriber Identity Module: SIM) 카드)을 사용하여) 쉽게 인증되고 인가될 수 있다. 그러나, 온 디맨드 네트워크의 운영자에 속하지 않는 다른 UE에 대해, 현재 그런 UE로 하여금 온 디맨드 네트워크를 액세스하기 위한 액세스 크리덴셜로써 프로비저닝되고, 인증되고 온 디맨드 네트워크에 의해 인가되도록 허용할 이용가능한 어떤 메커니즘도 없다. 용어 PIN 및 온 디맨드 네트워크는 이 개시 도처에서 교환가능하게 사용될 수 있다.
현재, 온 디맨드 네트워크의 운영자에 속한 UE만이 유효한 사용자 가입을 갖는다. 결과로서, 온 디맨드 네트워크의 운영자와 공유되는 공통 크리덴셜(common credential)(즉, UICC 내의 장기 키(long term key))이 있다. 온 디맨드 네트워크의 운영자와 이미 공유되는 크리덴셜을 활용하여, UE는 온 디맨드 네트워크 액세스를 위해 인증되고 인가될 수 있다. 그러나, 온 디맨드 네트워크에 의해 지원되는 많은 용례에서, 온 디맨드 네트워크를 액세스할 필요가 있는 많은 UE는 온 디맨드 네트워크와 동일한 운영자에 속할 공산이 낮다. 그래서, 현재의 기법은 불충분하다. 온 디맨드 네트워크를 운영하는 동일한 운영자에 속한 UE만이 온 디맨드 네트워크로의 액세스를 획득할 수 있을 것을 요구하는 것은 너무 제약적이고, 유연하지 않고, 바람직하지 않을 것이다.
이 개시에서의 실시예는 온 디맨드 네트워크의 운영자에 속하지 않은 UE로 하여금 온 디맨드 네트워크를 액세스하는 목적으로 액세스 크리덴셜로써 프로비저닝되고, 인증되고 인가될 수 있게 하는 다양한 방법 및 장치를 제공한다.
실시예에서, 온 디맨드 네트워크를 액세스하고 있을 UE 내에 액세스 크리덴셜이 프로비저닝된다. 액세스 크리덴셜은 UE를 인증하고 인가하기 위해 온 디맨드 네트워크 및 UE에 의해 사용된다.
실시예는 UE가 PIN을 액세스하기 위해 액세스 크리덴셜(들)의 세트를 수신하는 것 및 UE가 PIN으로의 초기 액세스 동안에 인증되고 인가되는 것을 포함한다.
추가적인 실시예는 "닫힌"(closed) 그룹 온 디맨드 네트워크의 설정(가령, 아주 근접한 또는 시선(line-of-sight) 내에 있는 사용자만을 위한 PIN 셋업이며, 액세스 크리덴셜은 PIN을 셋업하는 PLMN에 의해 UE에 직접적으로 발신됨)을 포함한다. UE가 액세스 크리덴셜을 획득하였다는 것으로 인가는 묵시적일 수 있다.
온 디맨드 네트워크 액세스 크리덴셜
각각의 UE는 온 디맨드 네트워크를 액세스하기 위해서 온 디맨드 네트워크 액세스 크리덴셜을 요구한다. 온 디맨드 액세스 크리덴셜을 온 디맨드 네트워크를 액세스하기 위해 UE를 인증하고 인가하기 위해 사용될 수 있다. 온 디맨드 액세스 크리덴셜은 일회성 사용(one-time use) 크리덴셜 또는 다중사용(multi-use) 크리덴셜일 수 있다. 크리덴셜이 다중사용인 경우에, 크리덴셜은 크리덴셜과 연관된 수명을 가질 수 있거나, 크리덴셜은 크리덴셜과 연관된 카운터(counter)(이는, 예를 들어, 액세스 크리덴셜이 사용될 때마다 계속 카운트를 함)를 가질 수 있다. 액세스 크리덴셜은 다양한 포맷, 예를 들면 공유 키(shared key)(가령, 3GPP 네트워크에서 인증을 위해 사용되는 네트워크 내에, 그리고 UE의 UICC 내에 저장된 장기 키), 공개-개인 키 쌍, 증서(certificate)(가령, X.509 증서), 또는 토큰(token)을 취할 수 있다. 액세스 크리덴셜을 가진 UE가, 액세스 크리덴셜의 포맷 및 어떻게 액세스 크리덴셜이 프로비저닝되는지에 따라서, 상이한 개체에 의한 인증을 요구할 수 있기 때문에, 액세스 크리덴셜은 또한 네트워크 라우팅 정보(network routing information)를, 예를 들어, 인증이 국지적으로(locally) 행해지지 않는 경우에, 인증 정보가 액세스 크리덴셜을 프로비저닝한 객체로 도로 적절히 라우팅될 수 있도록 도메인(domain)으로서 또는 접두부(prefix)의 일부로서 포함할 수 있다.
액세스 크리덴셜은 또한 (가령, 여러 크리덴셜이 동시에 프로비저닝되는 경우에) 액세스 크리덴셜의 식별을 보조하는 데에서, 또는 (가령, 크리덴셜이 특정 온 디맨드 네트워크를 위해 창출된 경우에) 특정 사용의 식별을 보조하는 데에서 사용될 수 있는 다른 식별자를 포함할 수 있다. 각각의 액세스 크리덴셜은 UE에 고유할 수 있다(즉, 액세스 크리덴셜은 온 디맨드 네트워크 내의 UE 간에 공유되지 않는다). 그래서, UE가 온 디맨드 네트워크를 액세스하기 위해 그것의 액세스 크리덴셜을 사용하는 경우에, UE는 고유하게 식별될 수 있다. 대부분의 경우의 UE의 고유한 식별은, 합법적 감청(lawful interception)과 같은, 지역적 또는 국지적 규제 요구사항을 준수하도록 요구될 수 있다.
UE 홈 네트워크 제공형 액세스 크리덴셜
몇몇 실시예에 따르면, 온 디맨드 네트워크를 운영하는 운영자에 속하지 않은 UE는 온 디맨드 네트워크(가령, PIN)를 액세스하기 위해서 직접적으로 UE의 홈 운영자로부터 일회성 액세스 크리덴셜을 획득할 수 있는데, 온 디맨드 네트워크의 운영자는 UE의 홈 운영자와의 업무 협약을 갖는다. UE의 홈 운영자 및 온 디맨드 네트워크의 운영자 간의 업무 협약 없이, 이 액세스 크리덴셜은 홈 운영자에게든 또는 온 디맨드 네트워크에게든 유용하지 않을 것이다. UE의 홈 운영자 및 온 디맨드 네트워크의 운영자는 UE로 하여금 UE의 홈 운영자에 의해 UE에 보안적으로 발신된 크리덴셜을 사용하여 온 디맨드 네트워크를 액세스할 수 있게 하는 업무 협정(가령, 로밍 협약)을 가질 수 있다. UE 및 그것의 홈 운영자는 상호 간에 인증되고, 성공적인 인증(즉, 정상적인 네트워크 액세스 및 인증 프로세스)의 결과로서 보안 연관(security association)이 셋업되기 때문에, UE 및 그것의 홈 운영자 간의 임의의 후속 통신(즉, PIN을 액세스하기 위한 액세스 크리덴셜을 발신하는 것)은 보안화된다. 액세스 크리덴셜은 제어 메시지, 예를 들면 온 디맨드 네트워크를 위해 이 예시적인 실시예에 의해 정의된 새로운 크리덴셜 정보와 함께 TS23.501에 의해 정의된 "UE 파라미터 업데이트"(UE parameter Update) 메시지 또는 "UE 구성 업데이트"(UE configuration update) 메시지를 향상시킴으로써, 또는 UE 및 네트워크 간에 3GPP에 의해 정의된 다른 기존의 보안 컨테이너 교환 메시지에 의해, UE가 온 디맨드 네트워크(가령, PIN)의 커버리지(coverage) 내에 있을 때 전에 또는 그 동안에 UE의 홈 네트워크로부터 UE에 프로비저닝될 수 있다.
온 디맨드 네트워크 제공형 액세스 크리덴셜
몇몇 실시예에 따르면, 온 디맨드 네트워크의 운영자는, 각각의 UE가 온 디맨드 네트워크를 액세스하기 위한 고유한 액세스 크리덴셜의 세트와 더불어, 온 디맨드 네트워크(가령, PIN)를 창출한다. 액세스 크리덴셜 정보를 포함하는 UE 정보는 온 디맨드 네트워크(가령, PIN)의 창출 동안에 호스트 UE에 의해 다른 UE에 제공될 수 있다. 예를 들어, PIN의 창출을 위한 템플릿(template)을 사용하여, 호스트 UE는 다른 UE의 정보(가령, 다른 UE의 식별자, 이메일 등)를 입력한다. 일단 온 디맨드 네트워크가 창출되었다면, 온 디맨드 네트워크는 액세스 크리덴셜에 대한 정보, 예를 들어, 액세스 토큰, 또는 액세스 크리덴셜로의 링크(가령, SMS, 이메일 또는 유사한 것을 사용한 보안 서버로의 https 링크)를 템플릿에 입력한 UE에 발신할 수 있다. 대안적으로, 온 디맨드 네트워크는, 네트워크 등록 국면 동안에 UE에 의해 제공된 UE 신원 정보를 기반으로, 온 디맨드 네트워크 창출 동안에 정보 템플릿 내에서 UE를 식별하고 이후 TS23.501, TS23.502(이는 양자 모두 이로써 본 문서에 참조에 의해 그 전체로서 포함됨)에 정의된 기존의 비공중 네트워크(Non-Public Network: NPN) 프로비저닝 메커니즘(provision mechanism)의 향상과 함께 UE에 액세스 크리덴셜을 프로비저닝한다. 대안적으로, 온 디맨드 네트워크는 또한, UE가 액세스 크리덴셜에 대한 정보, 예를 들면 액세스 크리덴셜 또는 액세스 크리덴셜로의 링크(가령, 액세스 크리덴셜이 UE에 보안적으로 다운로드될 수 있는 보안 서버로의 https 링크)를 호스트 UE로부터 획득할 수 있도록, 호스트 UE에 스캔 코드(scan code)를 다운로드할 수 있다.
애플리케이션 서버 제공형 액세스 크리덴셜
몇몇 실시예에 따르면, 온 디맨드 네트워크를 액세스하는 UE는 공통적인 무엇인가를 공유할 것이기 때문에(가령 동일한 애플리케이션 서버, 예를 들면 게임 서버를 액세스하는 것), 애플리케이션 서버는, 예를 들어, UE가 처음으로 애플리케이션을 액세스하기 위해 등록하는 경우에 UE에 액세스 크리덴셜을 제공할 수 있다.
애플리케이션 서버는 또한 외부 파라미터 프로비저닝의 네트워크 노출 기능(Network Exposure Function: NEF) 노출 기능성(functionality)의 향상과 함께 UE의 홈 네트워크의 통일된 데이터 관리(Unified Data Management: UDM)에 액세스 크리덴셜을 제공하고, 이후 UE의 홈 네트워크로 하여금 향상된 UE 구성 업데이트 메시지 또는 UE 파라미터 업데이트 메시지(가령, 새로운 일회성 크리덴셜 정보)를 통해 UE에 크리덴셜을 프로비저닝할 수 있게 할 수 있다.
제3자 개체 제공형 액세스 크리덴셜:
몇몇 실시예에 따르면, 제3자 개체(가령, 연합형 신원 관리(Federated Identity Management: FIM) 서버, 공개 키 인프라스트럭처(Public Key Infrastructure) 내의 인증 기관(Certificate Authority), 기타 등등)는 온 디맨드 네트워크로의 액세스를 획득하는 데에서 UE가 사용하기 위한 액세스 크리덴셜을 제공할 수 있다. 제3자 개체에 의해 제공된 크리덴셜은 제3자 개체와 업무 관계를 갖는 애플리케이션 또는 서비스인 한 갖가지 애플리케이션을 위해 사용될 수 있다. 제1 애플리케이션(애플리케이션 A) 및 제2 애플리케이션(애플리케이션 B)이 속한 FIM 시스템에서, 사용자는 제1 애플리케이션에 대해 인증하고 이후에, 제2 애플리케이션을 위한 별도의 로그인 또는 인증 프로세스를 수행할 필요 없이, 제2 애플리케이션 내의 리소스를 액세스할 수 있다. 예를 들어, UE는 제2 애플리케이션을 위해 다시 신원 또는 인증 정보를 입력할 필요를 제거하기 위하여 싱글 사인온(single-signon)을 사용할 수 있다.
대안적으로, 제3자 개체는 UE의 그룹(가령, TR 22.859에서 온 디맨드 네트워크를 액세스하기 위해 합치는 몇 개의 UE의 용례와 같이 그룹 세션에 참여할 것으로 기대되는 UE의 그룹)에 기반하는 액세스 크리덴셜을 제공할 수 있다. 그룹 기반 액세스 크리덴셜을 그룹을 식별하는 그룹 식별자(identifier)(ID)를 포함할 수 있다. 그룹 기반 액세스 크리덴셜을 소유한 UE가 임의의 서빙(serving) 네트워크의 온 디맨드 네트워크를, 단 UE에 제공되는 액세스 크리덴셜이 온 디맨드 네트워크를 액세스하기 위한 것이라는 사전 협정 또는 서비스 협약을 제3자 개체 및 서빙 네트워크가 갖는다면 로밍 요금 또는 액세스 요금을 초래하지 않고서, 액세스하는 것이 가능할 수 있다. 제3자 개체 액세스 크리덴셜을 갖는 것의 이점은 제3자 개체가 UE에 액세스를 제공할 서빙 네트워크를 의식하지 못한다는 것이다.
액세스 크리덴셜을 사용하는 UE 인증 및 인가
액세스 크리덴셜을 사용하여 초기 액세스 요청 동안에 일어나는 인증 및 인가는 UE 및 UE의 홈 네트워크 간에, UE 및 애플리케이션 기능 간에, 또는 UE 및 제3자 개체 간에 있을 수 있다. 이들 경우에, 액세스 크리덴셜이 온 디맨드 네트워크에 의해 제공되지 않기 때문에 온 디맨드 네트워크는 UE가 어떤 액세스 크리덴셜을 갖는지를 알 길이 없다. 액세스 크리덴셜(가령, 공유 키)은 UE 및 온 디맨드 네트워크 간에 공유되지 않는다. 이후에 이 인증 및 인가는, 보안 면에서도 그리고 서비스 인가 면에서도, UE가 확인되었고 유효화되었음을 나타내기 위하여 온 디맨드 네트워크에 전달된다.
위에서 기술된 실시예에 기반하여, 온 디맨드 네트워크의 운영자는 UE의 액세스 크리덴셜을 인증하고 인가하는 데에서 몇 개의 옵션을 사용할 수 있다.
UE의 홈 네트워크 운영자가 온 디맨드 네트워크 운영자와의 업무 협정을 갖고서 UE 홈 네트워크가 액세스 크리덴셜을 제공하는 실시예에서, UE가 초기 액세스 동안에 온 디맨드 네트워크에 액세스 크리덴셜을 제시하는 경우에, 온 디맨드 네트워크는 UE의 홈 네트워크 운영자가 액세스 크리덴셜을 확인할 것을 요청할 수 있다. 온 디맨드 네트워크는 UE의 홈 네트워크 운영자를 찾아내고(locate) UE의 홈 네트워크 운영자에 요청을 라우팅하기(route) 위하여 UE에 의해 제공된 라우팅 정보(가령, 예를 들면 가입 영속 식별자(subscription permanent identifier)(SUPI) 내에, 네트워크 라우팅 정보를 포함하는 식별자)를 사용할 수 있다. 성공적인 확인 및 유효화(즉, UE를 인증하고 인가하는 것) 시에, 온 디맨드 네트워크는 UE에 액세스를 허여할 수 있다.
온 디맨드 네트워크를 창출하는 데에 사용되는 템플릿으로부터의 입력에 기반하여 온 디맨드 네트워크가 UE에 액세스 크리덴셜을 제공하는 실시예에서, UE가 온 디맨드 네트워크에 액세스 크리덴셜을 제시하는 경우에, 온 디맨드 네트워크는 UE에 액세스를 허여하기 위해 직접적으로 UE를 확인하고 유효화한다. 선택적으로, 온 디맨드 네트워크는 묵시적 인증의 형태로서 액세스 크리덴셜을 갖는 UE를 고려할 수 있다.
애플리케이션 서버가 UE에 액세스 크리덴셜을 제공하는 실시예에서, UE가 초기 액세스 동안에 온 디맨드 네트워크에 액세스 크리덴셜을 제시하는 경우에, 온 디맨드 네트워크는 애플리케이션 서버가 액세스 크리덴셜을 확인할 것을 요청할 수 있다. 온 디맨드 네트워크가 애플리케이션 서버를 식별할 수 있는 몇 개의 방식이 있을 수 있는데, 예를 들면 액세스 크리덴셜의 일부로서 애플리케이션 식별자를 포함하거나, 또는 라우팅 정보(가령, 액세스 크리덴셜의 일부로서의 도메인)에 의해서이다. 성공적인 확인 및 유효화 시에, 온 디맨드 네트워크는 UE에 액세스를 허여할 수 있다.
제3자 개체가 UE에 액세스 크리덴셜을 제공하는 실시예에서, UE가 초기 액세스 동안에 온 디맨드 네트워크에 액세스 크리덴셜을 제시하는 경우에, 온 디맨드 네트워크는 제3자 개체가 액세스 크리덴셜을 확인할 것을 요청할 수 있다. 온 디맨드 네트워크가 제3자 개체를 식별할 수 있는 몇 개의 방식이 있을 수 있는데, 예를 들면 액세스 크리덴셜의 일부로서의 식별자 또는 지시자(indicator), 또는 라우팅 정보(가령, 액세스 크리덴셜의 일부로서의 도메인)에 의해서, 또는 디폴트 구성(default configuration)(가령, 온 디맨드 네트워크를 위해 액세스 크리덴셜을 제공하기 위해 구체적으로 구성된 디폴트 제3자 개체)에 의해서이다. 성공적인 확인 및 유효화 시에, 온 디맨드 네트워크는 UE에 액세스를 허여할 수 있다.
온 디맨드 네트워크에서 UE를 인가하는 것
온 디맨드 네트워크(가령, PIN)는, 몇몇 경우에, 온 디맨드 네트워크의 운영자에 의해 제공되는 리소스(가령, 허가된 스펙트럼(licensed spectrum))를 포함하는데, 온 디맨드 네트워크 운영자는 궁극적으로 온 디맨드 네트워크를 위해 할당된 리소스의 사용이 임의의 규제 또는 지역적 요구사항을 준수함을 보장하는 것을 담당한다. 예를 들어, 만일 온 디맨드 네트워크의 운영자의 스펙트럼 허가 사용(spectrum license usage)이 오직 캘리포니아 주를 커버하는 경우, 캘리포니아 주 밖에서의 그러한 스펙트럼의 어떤 사용도 FCC 허가 협약(licensing agreement)의 위반을 구성할 것이고 운영자가 벌금이나 허가 철회와 같은 불이익(penalty)을 받게 할 것이다. 따라서, 온 디맨드 네트워크의 운영자는 온 디맨드 네트워크에서 리소스를 액세스하는 UE를 인증하고 인가하는 것을 담당한다. UE의 신원을 확인하기 위해 사용되는 UE의 인증 및 서비스 가입을 확인하기 위해 사용되는 UE의 인가(가령, UE는 서빙 네트워크의 온 디맨드 네트워크에 의해 제공되는 서비스를 액세스하도록 인가됨)가 위에서 기술된 바와 같이 UE 및 홈 네트워크 (또는 서빙 네트워크에 인증 및 인가를 제공할 수 있는 개체, 예를 들면 애플리케이션 기능 또는 제3자 개체) 간에 일어날 수 있는 한편, 추가적인 또는 제2 레벨 인가가 온 디맨드 네트워크에 의해 수행될 수 있다.
만일 UE가 홈 네트워크(또는 애플리케이션 기능)에 의해 인증되고 인가되는 것으로 충분하다고 온 디맨드 네트워크가 고려하는 경우 제2 레벨 인가는 묵시적일 수 있다. 그렇지 않으면, 온 디맨드 네트워크는 명시적으로 제2 레벨 인가를 수행할 수 있다. 그러한 명시적 인가는, 예를 들어, UE의 능력, 예를 들면 UE의 모델 번호, 빌드된 버전(built version) 또는 다른 특성에 기반하여 UE가 준수(compliant) UE임을 체크하고 확인하는 것을 수반할 수 있다. 비호환(non-compliant) UE의 예는, 예를 들어, FCC에 의해 허용되는 임계(threshold)를 넘게 설정된 송신 전력을 갖는 UE일 수 있다.
온 디맨드 네트워크에 의한 사용을 위해 할당된 스펙트럼이 허가되지 않은 몇몇 시나리오에서, (가령, 5G 신무선 비허가(New Radio Unlicensed: NR-U)를 위한 비허가 스펙트럼을 사용하여, 또는 와이파이(Wireless Fidelity: Wi-Fi)를 사용하여), 온 디맨드 네트워크는 온 디맨드 네트워크의 관리상 측면을 여전히 유지할 수 있다. 그래서, 제2 레벨 인가는 간섭 관리 및 혼잡 제어를 위해 (가령, 허가 및 비허가 스펙트럼 간에 스위칭하도록 UE에 명령하기 위해서) 여전히 요구될 수 있다.
UE의 홈 네트워크에 의해 제공되는 액세스 크리덴셜로써의 인증 및 인가
도 2는 몇몇 실시예에 따라, UE의 홈 운영자에 의해 운영되는 UE의 홈 네트워크에 의한 액세스 크리덴셜 프로비저닝, 인증 및 인가의 메시지 흐름을 보여준다. 도 2에 도시된 바와 같이, 네트워크(206)는 UE(202)의 홈 운영자에 의해 운영되는 UE(202)의 홈 네트워크이다. 온 디맨드 네트워크(204)의 서빙 네트워크는 UE(202)의 홈 네트워크일 수 있거나(네트워크(206)) UE(202)의 홈 운영자와는 상이한 다른 운영자에 의해 운영되는 다른 네트워크일 수 있다.
동작(212)에서, UE(202)가 홈 네트워크(206)의 네트워크 커버리지 내에 있는 동안에, 네트워크(206) 및 UE(202)는 (가령, UE(202) 및 그것의 홈 네트워크(206) 간의 정상적 액세스 및 보안 셋업 절차의 일부로서) 일차적(primary) 인증을 수행하고, 보안 연결을 수립한다. 네트워크(206)는 보안 메시지 내에서 UE(202)에 액세스 크리덴셜을 발신할 수 있다. 네트워크(206)는 온 디맨드 네트워크(204)가 창출되기 전에 동작(212)에서 (가령, 일차적 인증 시에) UE(202)에 액세스 크리덴셜을 발신할 수 있다.
동작(214)에서, 온 디맨드 네트워크(204)는 온 디맨드 네트워크(204)의 서빙 네트워크에 의해 창출된다.
동작(216)에서, UE(202)는 동작(212) 동안에 획득된 액세스 크리덴셜에 대한 정보(가령, 액세스 크리덴셜의 전부 또는 일부, 액세스 크리덴셜 식별자, 또는 액세스 크리덴셜을 식별하기 위한 다른 추가적인 정보)를 제공함으로써 온 디맨드 네트워크(204)에의 액세스를 요청한다.
동작(218)에서, 온 디맨드 네트워크(204)는, UE(202)에 의해 제공되는 라우팅 정보에 기반하여(가령, 라우팅 정보는 UE 신원 또는 액세스 크리덴셜의 일부일 수 있음), 액세스 크리덴셜을 확인하기 위하여 UE(202)의 홈 네트워크(206)와 연락한다(contact). 홈 네트워크(206)는 UE(202)의 서비스 가입뿐만 아니라 UE(202)의 액세스 크리덴셜을 확증할(confirm) 수가 있다. 홈 네트워크(206)로부터 수신된 확증에 기반하여, 온 디맨드 네트워크(204)는 온 디맨드 네트워크(204)를 액세스하는 것을 위해 UE(202)를 인증하고 인가한다.
선택적으로, 동작(220)에서, 온 디맨드 네트워크(204)는 UE(202)가 온 디맨드 네트워크(204) 내의 리소스를 액세스하기 위해 위에서 기술된 바와 같은 인가의 제2 레벨(가령, UE(202)의 능력 또는 준수성을 체크하는 것)을 수행할 수 있다.
동작(222)에서, 온 디맨드 네트워크(204)는 인증 및 인가를 확증하기 위하여 UE(202)에 응답한다.
동작(224)에서, UE(202)는 온 디맨드 네트워크(204)와의 세션을 시작한다. 만일 온 디맨드 네트워크(204)를 액세스하는 다른 UE가 있는 경우, 그 다른 UE가 또한 온 디맨드 네트워크(204)와의 세션을 시작할 수 있다. 이후, 온 디맨드 네트워크(204) 내의 UE는 또한, 개별적으로든 또는 그룹으로서든, 그들 간에 PC5 인터페이스를 통한 통신을 시작할 수 있다.
온 디맨드 네트워크에 의해 제공되는 액세스 크리덴셜로써의 인증 및 인가
도 3은 몇몇 실시예에 따라, 온 디맨드 네트워크에 의한 액세스 크리덴셜 프로비저닝, 인증 및 인가의 메시지 흐름을 보여준다. 도 3에 도시된 바와 같이, 온 디맨드 네트워크(304)의 서빙 네트워크는 UE(302)의 홈 운영자에 의해 운영되는 UE(302)의 홈 네트워크에 속할 수 있거나 그렇지 않을 수 있다.
동작(312)에서, 온 디맨드 네트워크(304)는 온 디맨드 네트워크(304)의 서빙 네트워크에 의해 창출된다. UE(302)의 신원은 온 디맨드 네트워크(304) 창출 템플릿 내에 사전 프로비저닝될 수 있다. 온 디맨드 네트워크(304)의 서빙 네트워크는 UE(302)의 홈 네트워크에 속할 수 있거나 그렇지 않을 수 있다.
동작(314)에서, UE(302)는 온 디맨드 네트워크(304)를 발견한다(discover). UE(302)는 온 디맨드 네트워크(304)로부터 (가령, 온 디맨드 네트워크(304)에 의해 창출된 QR 코드를 사용하여 또는 온 디맨드 네트워크(304)에 의해 발신된 SMS/이메일 또는 유사한 것을 통해) 액세스 크리덴셜(가령, 액세스 토큰)을 수신한다.
동작(316)에서, UE(302)는 동작(314)에서 획득된 액세스 크리덴셜에 대한 정보(가령, 액세스 크리덴셜의 전부 또는 일부, 액세스 크리덴셜 식별자, 또는 액세스 크리덴셜을 식별하기 위한 다른 추가적인 정보)를 제공함으로써 온 디맨드 네트워크(304)에의 액세스를 요청한다.
동작(318)에서, 온 디맨드 네트워크(304)는 온 디맨드 네트워크(304)를 액세스하는 것을 위해 UE(302)를 인증하고 인가한다.
동작(320)에서, 온 디맨드 네트워크(304)는 인증 및 인가를 확증하기 위하여 UE(302)에 응답한다.
동작(322)에서, UE(302)는 온 디맨드 네트워크(304)와의 세션을 시작한다. 만일 온 디맨드 네트워크(304)를 액세스하는 다른 UE가 있는 경우, 그 다른 UE가 온 디맨드 네트워크(304)와의 세션을 시작한다. 이후, 온 디맨드 네트워크(304) 내의 UE는 또한, 개별적으로든 또는 그룹으로서든, 그들 간에 PC5 인터페이스를 통한 통신을 시작할 수 있다.
애플리케이션 서버에 의해 제공되는 액세스 크리덴셜로써의 인증 및 인가
도 4는 몇몇 실시예에 따라, 애플리케이션 서버에 의한 액세스 크리덴셜 프로비저닝, 인증 및 인가의 메시지 흐름을 보여준다. 도 4에 도시된 바와 같이, 온 디맨드 네트워크(404)의 서빙 네트워크는 UE(402)의 홈 운영자에 의해 운영되는 UE(402)의 홈 네트워크에 속할 수 있거나 그렇지 않을 수 있다.
동작(412)에서, UE(402)가 UE(402)의 홈 네트워크의 네트워크 커버리지 내에 있는 동안에, 애플리케이션 서버(406)는 UE(402)를 인증하고 UE(402)와의 보안 채널(가령, TLS 연결)을 수립한다. 애플리케이션 서버(406)는 인증 후에 보안 채널에서 UE(402)에 온 디맨드 네트워크(404)에서의 사용을 위한 액세스 크리덴셜을 제공한다. 애플리케이션 서버(406)는 UE(402)를 인증하기 위해서 사전 UE 등록을 요구할 수 있다. 애플리케이션 서버(406)는 온 디맨드 네트워크(404)가 창출되기 전에 동작(412)에서 (가령, 애플리케이션 서버(406)에 의한 UE(402)의 인증 시에) UE(402)에 액세스 크리덴셜을 발신할 수 있다.
동작(414)에서, 온 디맨드 네트워크(404)는 온 디맨드 네트워크(404)의 서빙 네트워크에 의해 창출된다.
동작(416)에서, UE(402)는 동작(412) 동안에 획득된 액세스 크리덴셜(가령, 액세스 크리덴셜의 전부 또는 일부, 액세스 크리덴셜 식별자, 또는 액세스 크리덴셜을 식별하기 위한 다른 추가적인 정보)을 제공함으로써 온 디맨드 네트워크(404)에의 액세스를 요청한다.
동작(418)에서, 온 디맨드 네트워크(404)는, UE(402)에 의해 제공되는 라우팅 정보에 기반하여(가령, 라우팅 정보는 UE(402)가 온 디맨드 네트워크(404)를 액세스하는 동안에 액세스하려고 의도하는 디폴트 애플리케이션의 일부, 또는 UE 신원, 또는 액세스 크리덴셜의 일부일 수 있음), 액세스 크리덴셜을 확인하기 위하여 애플리케이션 서버(406)와 연락한다. 애플리케이션 서버(406)는 UE(404)의 서비스 가입뿐만 아니라 UE(404)의 액세스 크리덴셜을 확증할 수가 있다. 애플리케이션 서버(406)로부터 수신된 확증에 기반하여, 온 디맨드 네트워크(404)는 온 디맨드 네트워크(404)를 액세스하는 것을 위해 UE(402)를 인증하고 인가한다.
선택적으로, 동작(420)에서, 온 디맨드 네트워크(404)는 UE(402)가 온 디맨드 네트워크(404) 내의 리소스를 액세스하기 위해 위에서 기술된 바와 같은 인가의 제2 레벨(가령, UE(402)의 능력 또는 준수성을 체크하는 것)을 수행할 수 있다.
동작(422)에서, 온 디맨드 네트워크(404)는 인증 및 인가를 확증하기 위하여 UE(402)에 응답한다.
동작(424)에서, UE(402)는 온 디맨드 네트워크(404)와의 세션을 시작한다. 만일 온 디맨드 네트워크(404)를 액세스하는 다른 UE가 있는 경우, 그 다른 UE가 또한 온 디맨드 네트워크(404)와의 세션을 시작할 수 있다. 이후, 온 디맨드 네트워크(404) 내의 UE는 또한, 개별적으로든 또는 그룹으로서든, 그들 간에 PC5 인터페이스를 통한 통신을 시작할 수 있다.
제3자 개체에 의해 제공되는 액세스 크리덴셜로써의 인증 및 인가.
도 5는 몇몇 실시예에 따라, 제3자 개체에 의한 액세스 크리덴셜 프로비저닝, 인증 및 인가의 메시지 흐름을 보여준다. 도 5에 도시된 바와 같이, 온 디맨드 네트워크(504)의 서빙 네트워크는 UE(502)의 홈 운영자에 의해 운영되는 UE(502)의 홈 네트워크에 속할 수 있거나 그렇지 않을 수 있다.
동작(512)에서, UE(502)가 UE(502)의 홈 네트워크의 네트워크 커버리지 내에 있는 동안에, 제3자 개체(506)는 UE(502)를 인증하고 보안 채널(가령, TLS 연결)을 수립한다. 제3자 개체(506)는 인증 후에 보안 채널을 통하여 UE(502)에 온 디맨드 네트워크(504)에서의 사용을 위한 액세스 크리덴셜을 제공한다. 제3자 개체(506)는 UE(502)를 인증하기 위해서 사전 UE 등록을 요구할 수 있다.
동작(514)에서, 온 디맨드 네트워크(504)는 온 디맨드 네트워크(504)의 서빙 네트워크에 의해 창출된다.
동작(516)에서, UE(502)는 동작(512) 동안에 획득된 액세스 크리덴셜(가령, 액세스 크리덴셜의 전부 또는 일부, 액세스 크리덴셜 식별자, 또는 액세스 크리덴셜을 식별하기 위한 다른 추가적인 정보)을 제공함으로써 온 디맨드 네트워크(504)에의 액세스를 요청한다.
동작(518)에서, 온 디맨드 네트워크(504)는, UE(502)에 의해 제공되는 라우팅 정보에 기반하여(가령, 라우팅 정보는 UE(502)가 UE 신원, 액세스 크리덴셜의 일부일 수 있거나, 온 디맨드 네트워크(504)를 액세스하는 동안에 액세스하려고 의도하는 디폴트 애플리케이션의 일부일 수 있음), 액세스 크리덴셜을 확인하기 위하여 제3자 개체(506)와 연락한다. 제3자 개체(506)는 UE(502)의 서비스 가입뿐만 아니라 UE(502)의 액세스 크리덴셜을 확증할 수가 있다. 제3자 개체(506)로부터 수신된 확증에 기반하여, 온 디맨드 네트워크(504)는 온 디맨드 네트워크(504)를 액세스하는 것을 위해 UE(504)를 인증하고 인가한다.
선택적으로, 동작(520)에서, 온 디맨드 네트워크(504)는 UE(502)가 온 디맨드 네트워크(504) 내의 리소스를 액세스하기 위해 위에서 기술된 바와 같은 인가의 제2 레벨(가령, UE(502)의 능력 또는 준수성을 체크하는 것)을 수행할 수 있다.
동작(522)에서, 온 디맨드 네트워크는 인증 및 인가를 확증하기 위하여 UE(502)에 응답한다.
동작(522)에서, UE(502)는 온 디맨드 네트워크(504)와의 세션을 시작한다. 만일 온 디맨드 네트워크(504)를 액세스하는 다른 UE가 있는 경우, 그 다른 UE가 온 디맨드 네트워크(504)와의 세션을 시작한다. 이후, 온 디맨드 네트워크(504) 내의 UE는 또한, 개별적으로든 또는 그룹으로서든, 그들 간에 PC5 인터페이스를 통한 통신을 시작할 수 있다.
온 디맨드 네트워크(가령, PIN)를 위한 사용 시나리오에서, 온 디맨드 네트워크에 의해 공급되는 서비스를 액세스하고 있을 UE는, 위에서 기술된 실시예 기법과 같은 기법을 사용하여, 온 디맨드 네트워크를 액세스하기 전에 또는 그 동안에 액세스 크리덴셜로써 프로비저닝될 수 있다. 온 디맨드 네트워크를 액세스하는 프로세스에서, UE는 또한 프로비저닝된 액세스 크리덴셜을 온 디맨드 네트워크에 인증 및 인가를 위해 제시할 수 있고, 만일 성공적이면, UE는 온 디맨드 네트워크에의 액세스를 허여받는다.
정상적인 초기 네트워크 액세스 동안에, UE 및 네트워크(가령, 온 디맨드 네트워크 또는 UE 홈 네트워크)는 UE가 온 디맨드 네트워크와 통신하고 온 디맨드 네트워크 내의 UE 간에 통신하도록 액세스를 허여받기 위해서 인증 및 인가를 수행한다. 후속 통신은 UE 및 온 디맨드 네트워크 간의 통신, 그룹으로서의 UE 간의 또는 두 UE 간의 (가령, PC5 인터페이스를 사용하는) 통신을 포함할 수 있다. 이들 통신은 보안적으로 보호될(가령, 암호화되거나 무결성 보호되거나(integrity-protected) 양자 모두) 것으로 예상된다. 이들 통신을 보호하기 위해서, 통신 채널 상의 데이터 암호화 및 암호화 무결성 보호가 사용될 수 있다. 데이터 암호화는 (가령, 고급 암호화 표준(Advanced Encryption Standards: AES)에서 사용되는 알고리즘과 같은 대칭적 키 암호 알고리즘을 사용하여) 동일한 암호화 키를 갖는 데이터의 의도된 수신자만이 데이터를 복구할 수 있도록 데이터의 프라이버시(privacy) 보호를 제공한다. 데이터 무결성 보호는 데이터가 수송 중에 수정되지 않았음을 데이터의 수신자가 보장받는다는 점에서 데이터의 무결성을 제공한다. 이들 통신의 보호는 보안 키가 UE 및 온 디맨드 네트워크 간에, 2개의 통신하는 UE 간에, 또는 그룹으로서 통신하는 UE의 그룹 간에 공유될 것을 요구한다.
현재, 온 디맨드 네트워크와 보안적으로 통신하거나 온 디맨드 네트워크 내의 다른 UE와 통신하도록 온 디맨드 네트워크의 운영자와는 상이한 운영자로부터의 UE를 지원하는 어떤 온 디맨드 네트워크(예를 들면 PIN)도 없다. 상이한 운영자로부터의 UE로 하여금 UE의 홈 운영자와는 상이한 서빙 온 디맨드 네트워크(가령, PIN)와 보안적으로 통신할 수 있게 하는 로밍 솔루션이 있다. 그러나, 이 경우에, UE는 UE의 홈 네트워크 인증 서버와의 시그널링(signaling)의 교환을 수반하는, UE의 홈 네트워크 및 온 디맨드 네트워크의 서빙 네트워크와의 인증 및 키 협약 프로토콜을 실행하는 것의 결과로서 키(가령, 암호 키 및 무결성 키)를 획득한다. 만일 UE가, 예를 들어, PC5 인터페이스를 통한 디바이스 대 디바이스(device-to-device) 직접 통신을 사용하여 동일한 온 디맨드 네트워크를 액세스하는 다른 UE와 통신하기를 바라는 경우, 현재의 인증 및 키 협약 프로토콜은 그러한 키 생성 및 분배를 지원하지 않는다. 추가적으로, UE는 로밍 요금을 초래할 것으로 예상된다. 온 디맨드 네트워크에서, UE는, 설령 온 디맨드 네트워크를 운영하고 있는 자와는 상이한 운영자로부터의 것이라도, 온 디맨드 네트워크를 거쳐서 통신하거나 동일한 온 디맨드 네트워크를 액세스하고 있는 UE와 통신하는 동안에 로밍 요금을 초래할 것으로 예상되지 않는다.
인증 및 인가를 위해 프로비저닝되는 액세스 크리덴셜은, 위에서 기술된 바와 같이, 온 디맨드 네트워크, UE의 홈 네트워크, 애플리케이션 서버, 또는 제3자 개체에 속할 수 있다. 5G(그리고 이전 것)에서 현재 사용되는 인증 및 키 협약(Authentication and Key Agreement)(즉, 5G-AKA 또는 EAP-AKA) 프로토콜은 액세스 크리덴셜이 (네트워크(가령, UE의 홈 네트워크) 및 UE의 UICC 또는 SIM 카드 간에 공유된 128 비트 또는 256 비트 키의 형태로 된) 사전공유된 시크릿(pre-shared secret)에서와 같이 균일하지 않을 수 있는 경우에 잘 작동하지 않는다. UE의 홈 네트워크가 아닌 개체에 의해 발행된(issued) 액세스 크리덴셜은 5G 또는 LTE를 지원하기 위해 3GPP에서 명시된 현재의 인증 및 키 협약 방안을 사용하는 키 생성 및 분배 메커니즘을 갖는 것에서 또한 문제가 있다.
UE에 키를 생성 및 분배하기 위한 블루투스 기반 솔루션은 또한 온 디맨드 네트워크에 대해 잘 작동하지 않을 수 있다. 사용자가 보안을 위해 비밀번호(passcode)를 입력하는 것에 기반한 블루투스 보안은 중간자 공격(man-in-the-middle attack)을 당하기 쉽다. 블루투스의 더 보안적인 버전이 있으나, 이러한 버전은 더 많은 관여된 절차, 예를 들면 무언가(가령, 스마트 시계 겉면에 생성되고 디스플레이된 이미지)를 스캔하기 위해 카메라 가능형(camera-enabled) UE를 사용하는 것을 요구한다. 또한, 블루투스의 이러한 더 보안화된 버전은 훨씬 더 많은 사용자 입력 또는 개입을 요구한다.
블루투스의 보안화된 버전조차 하나보다 많은 UE를 위해 그룹 키를 생성하는 데에 충분하지 않거나 하나보다 많은 UE가 있는 경우에 상당한 수고를 요구할 수 있다.
나아가, 위에서 설명된 바와 같이, 온 디맨드 네트워크 내의 UE는 온 디맨드 네트워크와 동일한 네트워크 운영자에 속할 수 있거나 그렇지 않을 수 있다. 이러한 UE에게 온 디맨드 네트워크로의 액세스를 허용하기 위해서, UE는 온 디맨드 네트워크에 의해 인증되고 인가될 필요가 있다. 그룹으로부터의 적어도 하나의 UE(가령, 호스트 UE)가 온 디맨드 네트워크의 운영자에게 속하며 용이하게 인증되고 인가될 수 있으나, 온 디맨드 네트워크의 운영자에게 속하지 않은 다른 UE에 대해서, 그런 UE로 하여금 온 디맨드 네트워크에 의해 인증되고 인가될 수 있게 할 이용가능한 어떠한 현행 메커니즘도 없다.
현재, 운영자에게 속하는 UE만이 유효한 사용자 가입을 갖고, 결과로서, 그런 운영자와 공유되는 공통 크리덴셜이 있다. 운영자와 이미 공유되는 크리덴셜을 활용하여, UE는 온 디맨드 네트워크 액세스를 위해 인증되고 인가될 수 있다. 그러나, 온 디맨드 네트워크에 의해 지원되는 많은 용례에서, 액세스를 요망하는 많은 UE는 운영자에게 속할 공산이 낮고 따라서 현재의 솔루션이면 족할 공산이 낮게 한다.
추가로, 로밍 또는 블루투스에 의존하는 것은 또한 UE로 하여금 온 디맨드 네트워크에서 신속하게 셋업될 수 있게 하기에, 특히 UE의 수가 큰 경우에, 신축가능하지(scalable) 않아, 솔루션을 최적이지 않게 또는 비효율적이게 한다.
이 개시는 온 디맨드 네트워크의 동일한 운영자에게 속하지 않는 UE가 보안적으로 통신할 수 있게 하는 다양한 실시예 방법 및 장치를 제공한다.
몇몇 실시예에서, 위에서 기술된 바와 같이, 온 디맨드 네트워크를 액세스하고 있을 UE 내에 액세스 크리덴셜이 프로비저닝되는 것으로 가정된다. 액세스 크리덴셜은 UE를 인증하고 인가하기 위해 온 디맨드 네트워크 및 UE에 의해 사용된다. 온 디맨드 네트워크를 액세스하기 위한 UE의 인증 및 인가 후에, 모든 UE는 보안 통신을 위해 보안 연관(가령, 암호법 및 무결성 보호를 위한 보안 키)을 수립하였을 것이다.
몇몇 실시예에서, 온 디맨드 네트워크를 액세스하기 위한 UE 인증 및 인가 후에 키의 둘 이상의 세트가 UE에 제공된다. 키의 각각의 세트는 데이터의 프라이버시 및 진본성을 보호하기 위하여 암호 키(가령, CK) 및 무결성 키(가령, IK)를 포함할 수 있다. 키의 각각의 세트는 상이할 수 있다.
몇몇 실시예에서, UE는 UE 및 온 디맨드 네트워크 간에 통신하기 위해 사용될 공유 키의 세트 및 온 디맨드 네트워크를 액세스하는 UE 간에 통신하기 위해 사용될 공통 키(가령 그룹 키)의 세트를 수신할 수 있다.
키 세트 설명
몇몇 실시예에서, 온 디맨드 네트워크에 의해 제공되는 서비스 및 리소스를 액세스하는 UE의 시나리오에서, UE 자체 간뿐만 아니라 UE 및 온 디맨드 네트워크 간의 통신을 보호하기 위해서 키의 적어도 두 세트가 사용될 수 있다. 각각의 키 세트는 통신(가령, 제어 평면 또는 사용자 평면 데이터)을 암호화하는 데에 사용되는 하나 이상의 암호 키(가령, CK)와, 통신을 무결성 보호하거나 무결성 유효화하는(integrity-validate) 데에 사용되는 하나 이상의 매칭되는(matching) 무결성 키(가령, IK)를 포함한다. 키 세트가 암호 및 무결성 키의 하나보다 많은 매칭되는 쌍을 포함하는 경우에, 각각의 키 쌍(가령, CK 및 IK)은 하나의 특정 타입의 통신을 보호하기 위해 사용될 수 있는데, 예를 들어, 제어 평면 데이터를 보호하기 위해 하나의 키 쌍이 사용되고 사용자 평면 데이터를 보호하기 위해 다른 키 쌍이 사용된다.
UE 및 온 디맨드 네트워크 간의 통신의 보호를 위해, 각각의 UE 및 온 디맨드 네트워크는 UE 및 온 디맨드 네트워크 간에 공유되는 공유 키(가령, UE 대 네트워크(UE-to-Network) 키)의 세트를 사용할 수 있다. 공유 키의 세트는 암호 키 및 무결성 키의 하나 이상의 쌍을 포함할 수 있고, 각각 네트워크 및 UE 간의 통신을 기밀성 보호하고(confidentiality) 무결성 보호하는 데에 사용된다. 공유 키의 세트는 네트워크와 통신하기를 바라는 각각의 UE에 대해 고유하며 다른 UE와 공유되지 않는다.
온 디맨드 네트워크를 액세스하는 UE 간의 통신의 보호를 위해, 공통 키(가령, 네트워크 그룹 키)의 세트가 사용된다. 공통 키의 세트는 온 디맨드 네트워크를 액세스하는 데에서 UE 간의 (가령, PC5 인터페이스를 통한) 통신을 기밀성 보호하고 무결성 보호하는 데에 사용되는 암호 키 및 무결성 키를 포함할 수 있다. 이 타입의 통신에서 사용되는 키는 또한 통상적으로 그룹 키로서 알려져 있다.
서로 통신하는 온 디맨드 네트워크 내의 오직 두 UE, 예를 들어 PC5와 같은 직접 통신 방법을 사용하여 통신하는 두 UE 간에 사용될 수 있는 키(가령, UE 대 UE(UE-to-UE) 키)의 제3 세트를 생성하는 것이 또한 가능할 수 있다. 키의 이 세트는 온 디맨드 네트워크 내의 UE 간의 그룹 통신을 위해 사용되는 공통 키(가령, 네트워크 그룹 키)의 세트와는 상이하다. 본 개시가 계속되는 동안, 키의 제3 세트의 생성 및 분배는 공용 키의 세트의 생성 및 분배와 유사할 수 있다고 가정된다.
상이한 키로써 각각의 통신을 보호하는 목적으로, 키의 2개 또는 3개의 세트는 상이하여야 한다.
액세스 크리덴셜을 사용하여 공유 키를 생성하기
UE가 온 디맨드 네트워크를 액세스하기를 바라는 경우에, UE는 온 디맨드 네트워크에 의해 인증되고 인가될 그것의 액세스 크리덴셜을 제시한다. 온 디맨드 네트워크는 UE에 의해 제시된 크리덴셜을 유효화함으로써 UE를 인증한다. 어떻게 UE의 액세스 크리덴셜이 프로비저닝되는지 및 어떤 형태를 액세스 크리덴셜이 취하는지에 따라서, 어떻게 UE가 액세스 크리덴셜을 온 디맨드 네트워크에 제시하는지에 관한 다수의 방식이 있고 어떻게 액세스 크리덴셜이 유효화되는지에 관한 다수의 방식이 있다. 예를 들어, UE는 특정한 액세스 크리덴셜과 연관된 식별자를 온 디맨드 네트워크에, 액세스 크리덴셜이 공중으로(over-the-air) 노출되지 않도록, 제시할 수 있다. UE를 유효화하는 개체(가령, UE의 홈 네트워크, 애플리케이션 서버, 또는 외부의 제3자 개체, 예를 들면 FIM 서버)는 이후에 식별자에 기반하여 (가령, 액세스 크리덴셜 식별자에 의해 색인된(indexed) 액세스 크리덴셜의 룩업 테이블(look-up table)에서) UE의 액세스 크리덴셜을 찾아볼(look up) 수 있다. 각각의 액세스 크리덴셜은 오직 한 번, 온 디맨드 네트워크의 지속기간(duration) 동안, 또는 액세스 크리덴셜에 대한 정보로써 UE가 프로비저닝되는 경우에 UE에 지정된 지속기간 동안, 사용될 수 있다.
온 디맨드 네트워크는 공유 키의 세트를 도출하기 위하여 액세스 크리덴셜 및 추가적인 파라미터(가령, 난수, 온 디맨드 네트워크의 식별자(가령, PIN 식별자), UE의 식별자 등)를 사용할 수 있다. 몇몇 실시예에서, 만일 온 디맨드 네트워크가 UE로부터 액세스 크리덴셜의 식별자만을 수신하는 경우, 온 디맨드 네트워크는 UE를 유효화하는 개체(가령, UE의 홈 네트워크, 온 디맨드 네트워크, 애플리케이션 서버, 또는 제3자 개체)로부터 전체 액세스 크리덴셜을 획득할 수 있다. 공유 키(가령, UE 대 네트워크 키)의 세트는 암호 키 내지 무결성 키의 하나 이상의 쌍을 포함할 수 있다. 몇몇 실시예에서, 온 디맨드 네트워크는, UE에 인증 및 인가를 확증하는 것의 일부로서, UE에 공유 키를 생성하는 데에 사용되었던 파라미터(가령, 난수)의 가변적인 부분을 발신할 수 있다. 이후에 UE는 동일한 키 도출 기능(Key Derivation Function: KDF)에 동일한 파라미터(가령, 액세스 크리덴셜, 난수, 온 디맨드 네트워크의 식별자, UE 식별자 등)를 사용하여 온 디맨드 네트워크에서와 동일한 키를 도출할 수 있다. 예를 들어, 키 도출 기능은 TS 33.220의 Annex B.2.0에 정의된 KDF일 수 있다.
무작위로 공유 키를 생성하기
네트워크는 또한, 예를 들어, 의사 난수 생성기(Pseudo Random Number Generator: PRNG) 기능을 사용하여, 무작위로 공유 키를 생성할 수 있다. 이 경우에, 네트워크는 온 디맨드 네트워크, UE의 홈 네트워크, 애플리케이션 서버, 또는 제3자 개체일 수 있다. 이 대안에서, 공유 키(가령, UE 대 네트워크 키)의 세트가 UE에 발신될 수 있다.
공통 키를 생성하기
네트워크는 위에서 기술된 키 생성 방법 중 임의의 것을 사용하여, 예를 들어, PRNG 기능을 사용하여, 공통 키(가령, 그룹 통신을 위해 사용되거나 UE 간의 직접 통신에서 사용되는 네트워크 그룹 키)의 세트를 생성한다. 몇몇 실시예에서, 그룹 통신을 위한 것과 같은 특정 사용에의 키의 구속(binding)이 바람직할 수 있다. 키 구속이 사용되는 경우에, 추가적인 파라미터(들), 예를 들면 그룹 식별자, 온 디맨드 네트워크의 식별자, 위치 식별자, 또는 키의 사용에 특정적인 다른 파라미터가, 또한 PRNG 기능에의 입력의 일부일 수 있다. 공용 키의 세트는 UE(들)에 발신될 수 있다.
키를 분배하기
보안 이유로, UE 및 온 디맨드 네트워크 간의 공유 키의 세트를 도출하기 위해 액세스 크리덴셜을 사용하는 것이 바람직할 수 있다. 보호 없이 공중으로 공유 키를 발신하는 것은 중간자 공격자가 키 교환 메시지를 듣고 키를 가로채는 것을 각오하는 것이다.
온 디맨드 네트워크에 의해 생성된 키의 세트, 가령, 액세스 크리덴셜을 사용하지 않고서 생성된 공유 키의 세트 또는 온 디맨드 네트워크에 의해 생성된 공통 키의 세트에 있어서, 키가 UE에 보안적으로 발신될 필요가 있다.
공유 키의 세트가 액세스 크리덴셜 없이 온 디맨드 네트워크에 의해 생성되는 경우에, 온 디맨드 네트워크는, 예를 들어, 키 분배를 보호하기 위하여 공개-개인 키 방안(public-private key scheme)을 사용할 수 있다. 온 디맨드 네트워크는 공유 키(가령, UE 대 네트워크 키)의 세트를 암호화하고 공유 키의 암호화된 세트를 UE에 발신하기 위하여 공개-개인 키 쌍 내의 UE의 공개 키를 사용할 수 있다. UE의 공개 키는 UE가 그것의 액세스 크리덴셜을 온 디맨드 네트워크에 의한 인증 및 인가 동안에 온 디맨드 네트워크에 제시하는 것의 일부로서 온 디맨드 네트워크에 발신될 수 있다. UE는 공유 키의 세트를 복호화하기 위하여 그것의 공개-개인 키 쌍의 개인 키를 사용할 수 있다. 공통 키(가령, 네트워크 그룹 키)의 세트는 또한 이 실시예 기법을 사용하여 네트워크에 의해 UE에 발신될 수 있다.
몇몇 실시예에서, 공유 키(가령, UE 대 네트워크 키)의 세트가 이용가능한 경우에, 공통 키의 세트를 발신하는 것은 공유 키의 세트를 사용함으로써 각각의 UE 및 온 디맨드 네트워크 간에 보호될 수 있다. 공통 키의 세트를 보호하기 위하여 공유 키의 세트를 사용하는 것은 대칭적 암호학적 동작이 공개-키 암호학적 동작보다 더 효율적이라는 이점을 갖는다. 반면에, 공개-키 방안이 공유 키의 세트를 발신하기 위해 사용되고 있다면, 동일한 키 분배 프로토콜에서 공통 키의 세트를 발신하는 것은 개별적으로 키의 각각의 세트를 발신하는 것보다 더 효율적이다.
몇몇 실시예에서, 인증 및 인가를 지원하는 메시지 교환은 UE 및 온 디맨드 네트워크 간의 초기 액세스 동안에 키의 분배를 지원하도록 향상될 수 있다.
키를 리프레쉬하기
온 디맨드 네트워크와의 UE 세션이 어떤 임계를 초과하는(가령, 시간 기간이 만료되었거나, 교환된 데이터의 양이 사전정의된 값을 초과하거나, 액세스 크리덴셜 사용의 카운트가 임계 값을 초과하는) 경우에, UE 내의 키 세트(가령, UE 대 네트워크 키, 네트워크 그룹 키, 또는 UE 대 UE 키)는 리프레쉬될 수 있다. 리프레쉬될 키 세트는 UE 및 온 디맨드 네트워크 간에 사용되는 키 세트(암호 및 무결성 키), 그룹 통신을 위해 UE 간에 사용되는 키 세트(암호 및 무결성 키), 그리고 선택적으로 (가령, PC5 인터페이스를 통한 통신을 위해) UE 간에 사용되는 키 세트(암호 및 무결성 키)를 포함한다. 키 리프레쉬는 온 디맨드 네트워크가 새로운 키 세트를 재생성하는 것에 의해서든 또 만료할 참인 키 세트를 사용하여 보안적으로 UE에 발신하는 것에 의해 수행될 수 있다. 키 리프레쉬는 또한, UE가 프레쉬 파라미터 및 현재의, 만료할 참인 키를, 입력으로서 사용하여 새로운 키 세트를 계산할 수 있도록, 온 디맨드 네트워크가 UE에 프레쉬 파라미터(가령, 난수 또는 논스)를 발신하는 것에 의해 수행될 수 있다.
온 디맨드 네트워크 키 생성 및 분배
도 6은 몇몇 실시예에 따라, 온 디맨드 네트워크 키 생성 및 분배의 메시지 흐름을 보여준다. 도 6에서, 인증 서버(606)는 UE(620)의 홈 네트워크(가령, 도 2에서의 홈 네트워크(206)), 애플리케이션 서버(가령, 도 4에서의 애플리케이션 서버(406)), 또는 제3자 개체(가령, 도 5에서의 제3자 개체(506))일 수 있다. 몇몇 실시예에서, 온 디맨드 네트워크(604)는 인증 서버와 연락하지 않고서 인증 및 인가를 수행할 수 있고, 인증 서버(606)는 필요하지 않을 수 있다.
동작(612)에서, UE(602)는 온 디맨드 네트워크(604)에의 초기 액세스를 요청한다. 초기 액세스 요청은 또한 인증 및 인가 요청을 포함할 수 있는데, 도 2 내지 도 5에 관해서 위에서 기술된 바와 같이, 이전에 획득된 액세스 크리덴셜을 사용한다. 사용된 키 생성 및 분배 방안에 따라서, 초기 액세스는 또한 UE(602)의 신원, 액세스 크리덴셜 식별자, UE(602)의 공개 키, 그리고 키 생성을 위해 사용되는 임의의 다른 파라미터(가령, UE(202)의 생성된 난수)을 포함할 수 있다.
동작(614)에서, 인증 및 인가를 위해 사용될 액세스 크리덴셜의 타입에 따라서, 온 디맨드 네트워크(604)는 인증 서버(606)(가령, 도 2 및 도 4 내지 도 5에 관해서 기술된 바와 같은 UE(602)의 홈 네트워크, 애플리케이션 서버, 또는 제3자 개체)와 연락할 수 있다. 애플리케이션 서버는, 도 2 및 도 4 내지 도 5에 관해서 기술된 기법을 사용하여, 온 디맨드 네트워크를 위해 UE(602)를 인증하고 인가한다. 몇몇 실시예에서, 온 디맨드 네트워크(604)는 도 3에 관해서 기술된 바와 같은 기법을 사용하여 인증 및 인가를 수행할 수 있고, 인증 서버(606)는 필요하지 않을 수 있다.
동작(616)에서, 온 디맨드 네트워크(604)는 UE(602)를 위한 키 세트(들)를 준비한다. 사용되는 키 생성 방법에 따라서, 몇몇 실시예에서, 동작(616)은 네트워크 난수를 생성하는 것과, 키 생성 기능에 입력할, UE(602)의 난수, 네트워크의 난수, 액세스 크리덴셜, 그리고/또는 액세스 크리덴셜의 일부를 조합하는 것을 포함할 수 있다. 몇몇 실시예에서, 동작(616)은 또한 UE를 위한 요구되는 키 세트(들) 전부를 생성하는 것을 포함할 수 있다.
동작(618)에서, 온 디맨드 네트워크(604)는 액세스 허여 메시지에서 UE(602)에 액세스를 허여할 수 있다. 사용되는 키 생성 방법에 따라서, 액세스 허여 메시지는 키의 일부 세트(들), 키의 완전한 세트(들), 또는 UE(602)에 의해 키의 세트(들)를 생성하기 위해 UE(602)가 필요로 하는 파라미터를 포함할 수 있다. 또한 UE(602)에 발신되고 있는 키를 보호하는 데에 사용되는 방법에 따라서, 액세스 허여 메시지 내의 정보는 공개 키 암호화를 사용하여(가령, 동작(612)에서 UE(602)의 초기 액세스 요청의 일부로서 온 디맨드 네트워크(604)에 이전에 발신된 UE(602)의 공개 키를 사용하여) 보호될 수 있다.
동작(620)에서, 키 생성 방법 및 동작(618)에서의 메시지의 보호에 따라서, UE(602)는 액세스 허여 메시지 내의 정보로부터 키를 구축하거나, 액세스 허여 메시지 내의 키를 인출할(retrieve) 수가 있다. 예를 들어, 만일 액세스 허여 메시지 내의 정보가 UE(602)의 공개 키를 사용하여 암호화된 경우, UE(602)는 액세스 허여 메시지 내의 정보를 복호화할 수 있다.
동작(622)에서, 통신 세션은 온 디맨드 네트워크(604) 내의 UE를 위해 시작할 수 있다. 통신 세션은 UE(602)가 온 디맨드 네트워크(604)와의 통신을 시작하는 것, 온 디맨드 네트워크(604) 내의 다른 UE(도 6에 도시되지 않음)가 온 디맨드 네트워크와의 통신을 시작하는 것, 그리고 UE(602) 및 그 다른 UE가 서로 통신하기 시작하는 것을 포함할 수 있다. 만일 세션 내에 온 디맨드 네트워크(604) 내의 둘 이상의 UE가 있는 경우, 동일한 그룹 내의 UE 간의 그룹 통신이 또한 시작될 수 있다.
네트워크 생성형 키를 사용하는 온 디맨드 네트워크 키 리프레쉬
도 7은 몇몇 실시예에 따라, 네트워크 생성형 키를 사용하는 온 디맨드 네트워크 키 리프레쉬를 위한 메시지 흐름을 보여준다.
동작(712)에서, 온 디맨드 네트워크(704)는 UE(702)를 위한 키 세트가 리프레쉬될 필요가 있음을 판정한다. 온 디맨드 네트워크(704)는 온 디맨드 네트워크(704)와 통신하기 위한 암호 및 무결성 키, 그룹 내의 다른 UE와 통신하기 위한 암호 및 무결성 키, 그리고 선택적으로 (가령, PC5 인터페이스를 통하여) 다른 UE와 통신하기 위한 암호 및 무결성 키를 포함하여, UE(702)의 키 세트를 생성할 수 있다.
동작(714)에서, 온 디맨드 네트워크(704)는 키 리프레쉬 메시지에서 UE(702)에 키 세트를 발신한다. 키 리프레쉬 메시지는 UE(702) 및 온 디맨드 네트워크(704) 간의 통신을 보호하기 위해 사용되는 현재의 키 세트(가령, UE 대 네트워크 키)로부터 암호 및 무결성 키를 사용하여 보호될 수 있다.
동작(716)에서, UE(702)는 온 디맨드 네트워크로부터 키 세트를 수신하고, 수신된 키 세트를 사용 중인 것으로서 마킹하고(mark) 이전의 키 세트를 폐기한다(obsolete).
동작(718)에서, UE(702)는 온 디맨드 네트워크(704)와의 또는 다른 UE(들)와의 현재의 세션(들)을 계속할 수 있다.
UE에 의해 생성된 키를 사용하는 온 디맨드 네트워크 키 리프레쉬
도 8은 몇몇 실시예에 따라, UE에 의해 생성된 키를 사용하는 온 디맨드 네트워크 키 리프레쉬를 위한 메시지 흐름을 보여준다.
동작(812)에서: 온 디맨드 네트워크(804)는 UE(802)를 위한 키 세트가 리프레쉬될 필요가 있음을 판정한다. 온 디맨드 네트워크(804)는 프레쉬 파라미터(가령, 난수, 논스 등)를 생성할 수 있다. 추가적으로, 온 디맨드 네트워크(804)는 온 디맨드 네트워크(804)와 통신하기 위한 암호 및 무결성 키, 그룹 내의 다른 UE와 통신하기 위한 암호 및 무결성 키, 그리고 선택적으로 (가령, PC5 인터페이스를 통하여) 다른 UE와 통신하기 위한 암호 및 무결성 키를 포함하여, UE(802)의 키 세트를 생성할 수 있다.
동작(814)에서, 온 디맨드 네트워크(804)는 키 리프레쉬 메시지에서 UE(802)에 (생성된 새로운 키 세트보다는) 프레쉬 파라미터를 발신할 수 있다. 키 리프레쉬 메시지는 UE(802) 및 온 디맨드 네트워크(804) 간의 통신을 보호하기 위해 사용되는 현재의 키 세트(가령, UE 대 네트워크 키)로부터 암호 및 무결성 키를 사용하여 보호된다.
동작(816)에서, UE(802)는 온 디맨드 네트워크(804)로부터 키 리프레쉬 메시지 내의 프레쉬 파라미터를 수신하고, 프레쉬 파라미터를 입력으로서 사용한다. 현재의 키와 더불어, UE(802)는 온 디맨드 네트워크(804)와 통신하기 위한 암호 및 무결성 키, 그룹 내의 다른 UE와 통신하기 위한 암호 및 무결성 키, 그리고 선택적으로 (가령, PC5 인터페이스를 통하여) 다른 UE와 통신하기 위한 암호 및 무결성 키를 포함하여, 새로운 키 세트를 생성할 수 있다. UE(802)는 사용 중인 새 키 세트를 마킹하고 이전의 키 세트를 폐기한다.
도 9a는 몇몇 실시예에 따라, 액세스 크리덴셜 프로비저닝, 인증 및 인가를 위한 방법(900)의 흐름도를 보여준다. 방법(900)은 동작(902)에서 시작하는데, 여기에서 사용자 장비(UE)는 액세스 크리덴셜 메시지를 수신한다. 액세스 크리덴셜 메시지는 UE가 액세스할 온 디맨드 네트워크를 위한 액세스 크리덴셜을 나타낸다. 액세스 크리덴셜 메시지는 액세스 크리덴셜의 제한된 수명을 또한 나타낸다. 동작(904)에서, UE는, 온 디맨드 네트워크에, 인증 및 인가 요청을 송신한다. 인증 및 인가 요청은 액세스 크리덴셜에 대한 정보를 포함한다. 동작(906)에서, UE는, 온 디맨드 네트워크로부터, 인증 및 인가 응답을 수신한다. 동작(908)에서, UE는 인증 및 인가 응답에 기반하여 온 디맨드 네트워크와의 세션을 수립한다.
몇몇 실시예에서, 온 디맨드 네트워크는 UE의 홈 운영자와는 상이한 운영자에 속할 수 있다. 몇몇 실시예에서, 액세스 크리덴셜 메시지는 인증 및 인가를 수행하는 하나 이상의 개체를 나타내는 개체 정보를 더 포함할 수 있다. 인증 및 인가 요청은 개체 정보를 포함할 수 있다. 몇몇 실시예에서, 하나 이상의 개체는 온 디맨드 네트워크의 개체, 애플리케이션 서버(이의 하나 이상의 서비스는 온 디맨드 네트워크를 액세스하는 것을 통해 UE에 의해 사용됨), 제3자 개체, 또는 UE의 홈 네트워크의 개체 중 적어도 하나를 포함할 수 있다. 몇몇 실시예에서, 개체 정보는 인증을 처리하는 제1 개체 및 인가를 처리하는 제2 개체를 나타낼 수 있다. 제2 개체는 제1 개체와 상이할 수 있다. 몇몇 실시예에서, 액세스 크리덴셜 메시지는 크리덴셜 타입 및 크리덴셜 소유자를 또한 나타낼 수 있다. 크리덴셜 소유자는 온 디맨드 네트워크, 애플리케이션 서버(이의 하나 이상의 서비스는 온 디맨드 네트워크를 액세스하는 것을 통해 UE에 의해 사용됨), 제3자 개체, 또는 UE의 홈 네트워크 중 하나일 수 있다. 몇몇 실시예에서, UE는 UE가 UE의 홈 네트워크와 인증하는 것 또는 UE가 애플리케이션 서버(이의 하나 이상의 서비스는 온 디맨드 네트워크를 액세스하는 것을 통해 UE에 의해 사용됨)와 인증하는 것에 응답하여 액세스 크리덴셜 메시지를 수신할 수 있다. UE는 UE가 온 디맨드 네트워크에 액세스하기 전에 또는 그 동안에 액세스 크리덴셜 메시지를 수신할 수 있다. 몇몇 실시예에서, UE는 UE가 온 디맨드 네트워크를 액세스하기 위해 액세스 크리덴셜에 대한 정보를 획득하기를 요청하는 것 없이 UE의 홈 네트워크로부터 또는 애플리케이션 서버(이의 하나 이상의 서비스는 온 디맨드 네트워크를 액세스하는 것을 통해 UE에 의해 사용됨)로부터 액세스 크리덴셜 메시지를 수신할 수 있다. 몇몇 실시예에서, UE는 UE가 온 디맨드 네트워크를 액세스하기 위해 액세스 크리덴셜에 대한 정보를 획득하기를 요청하는 것으로써 UE의 홈 네트워크로부터 또는 애플리케이션 서버(이의 하나 이상의 서비스는 온 디맨드 네트워크를 액세스하는 것을 통해 UE에 의해 사용됨)로부터 액세스 크리덴셜 메시지를 수신할 수 있다. 몇몇 실시예에서, 액세스 크리덴셜에 대한 정보는 액세스 크리덴셜 또는 액세스 크리덴셜의 식별자를 포함할 수 있다.
도 9b는 몇몇 실시예에 따라, 액세스 크리덴셜 프로비저닝, 인증 및 인가를 위한 방법(910)의 흐름도를 보여준다. 방법(910)은 동작(912)에서 시작하는데, 여기에서 온 디맨드 네트워크의 네트워크 개체는 액세스 크리덴셜에 대한 정보를 포함하는 인증 및 인가 요청을 수신한다. UE는 UE가 액세스할 온 디맨드 네트워크를 위한 액세스 크리덴셜을 나타내는 액세스 크리덴셜 메시지를 수신한다. 액세스 크리덴셜 메시지는 액세스 크리덴셜의 제한된 수명을 또한 나타낸다. 동작(914)에서, 네트워크 개체는 UE에 인증 및 인가 응답을 송신한다. 동작(916)에서, 네트워크 개체는 인증 및 인가 응답에 기반하여 UE와의 세션을 수립한다.
몇몇 실시예에서, 온 디맨드 네트워크는 UE의 홈 운영자와는 상이한 운영자에 속할 수 있다. 몇몇 실시예에서, 액세스 크리덴셜 메시지는 인증 및 인가를 수행하는 하나 이상의 개체를 나타내는 개체 정보를 더 포함할 수 있다. 인증 및 인가 요청은 개체 정보를 포함할 수 있다. 몇몇 실시예에서, 하나 이상의 개체는 온 디맨드 네트워크의 개체, 애플리케이션 서버(이의 하나 이상의 서비스는 온 디맨드 네트워크를 액세스하는 것을 통해 UE에 의해 사용됨), 제3자 개체, 또는 UE의 홈 네트워크의 개체 중 적어도 하나를 포함할 수 있다. 몇몇 실시예에서, 개체 정보는 인증을 처리하는 제1 개체 및 인가를 처리하는 제2 개체를 나타낼 수 있다. 제2 개체는 제1 개체와 상이할 수 있다. 몇몇 실시예에서, 액세스 크리덴셜 메시지는 크리덴셜 타입 및 크리덴셜 소유자를 또한 나타낼 수 있다. 크리덴셜 소유자는 온 디맨드 네트워크, 애플리케이션 서버(이의 하나 이상의 서비스는 온 디맨드 네트워크를 액세스하는 것을 통해 UE에 의해 사용됨), 제3자 개체, 또는 UE의 홈 네트워크 중 하나일 수 있다. 몇몇 실시예에서, UE는 UE가 UE의 홈 네트워크와 인증하는 것 또는 UE가 애플리케이션 서버(이의 하나 이상의 서비스는 온 디맨드 네트워크를 액세스하는 것을 통해 UE에 의해 사용됨)와 인증하는 것에 응답하여 액세스 크리덴셜 메시지를 수신할 수 있다. UE는 UE가 온 디맨드 네트워크에 액세스하기 전에 또는 그 동안에 액세스 크리덴셜 메시지를 수신할 수 있다. 몇몇 실시예에서, UE는 UE가 온 디맨드 네트워크를 액세스하기 위해 액세스 크리덴셜에 대한 정보를 획득하기를 요청하는 것 없이 UE의 홈 네트워크로부터 또는 애플리케이션 서버(이의 하나 이상의 서비스는 온 디맨드 네트워크를 액세스하는 것을 통해 UE에 의해 사용됨)로부터 액세스 크리덴셜 메시지를 수신할 수 있다. 몇몇 실시예에서, UE는 UE가 온 디맨드 네트워크를 액세스하기 위해 액세스 크리덴셜에 대한 정보를 획득하기를 요청하는 것으로써 UE의 홈 네트워크로부터 또는 애플리케이션 서버(이의 하나 이상의 서비스는 온 디맨드 네트워크를 액세스하는 것을 통해 UE에 의해 사용됨)로부터 액세스 크리덴셜 메시지를 수신할 수 있다. 몇몇 실시예에서, 액세스 크리덴셜에 대한 정보는 액세스 크리덴셜 또는 액세스 크리덴셜의 식별자를 포함할 수 있다.
도 10a는 몇몇 실시예에 따라, 온 디맨드 네트워크 키 생성 및 분배를 위한 방법(1000)의 흐름도를 보여준다. 방법(1000)은 동작(1002)에서 시작하는데, 여기에서 사용자 장비(UE)는 온 디맨드 네트워크로부터 적어도 하나의 키 세트에 대한 키 정보를 수신한다. 적어도 하나의 키 세트는 온 디맨드 네트워크 및 온 디맨드 네트워크를 액세스하기 위해 UE에 의해 사용되는 액세스 크리덴셜의 정보 및 온 디맨드 네트워크를 액세스하기 위해 UE에 의해 사용되는 액세스 크리덴셜에 기반하여 생성된다. 적어도 하나의 키 세트는 제1 키 세트를 포함할 수 있고, 제1 키 세트는 제1 암호 키(CK) 및 제1 무결성 키(IK)를 포함하는 제1 키 쌍을 포함할 수 있다. 동작(1004)에서, UE는 제1 키 세트를 사용하여 온 디맨드 네트워크 및 온 디맨드 네트워크 내의 다른 UE와 통신한다.
몇몇 실시예에서, 온 디맨드 네트워크는 UE의 홈 운영자와는 상이한 운영자에 속할 수 있다. 몇몇 실시예에서, 적어도 하나의 키 세트에 대한 키 정보는 적어도 하나의 키 세트를 포함할 수 있거나, 적어도 하나의 키 세트에 대한 키 정보는 적어도 하나의 키 세트를 생성하기 위해 UE에 의해 사용되는 적어도 하나의 파라미터를 포함할 수 있다. 몇몇 실시예에서, 적어도 하나의 파라미터는 UE가 새로운 프레쉬 키를 생성하기 위한 파라미터를 포함할 수 있는데, 파라미터는 논스로서 온 디맨드 네트워크에 의해 생성된 난수를 포함한다. 몇몇 실시예에서, 온 디맨드 네트워크, UE의 홈 네트워크, 또는 애플리케이션 서버(이의 하나 이상의 서비스는 온 디맨드 네트워크를 액세스하는 것을 통해 UE에 의해 사용됨)에 의해 공개 키가 제공될 수 있다. 몇몇 실시예에서, 적어도 하나의 파라미터는 적어도 하나의 키 세트의 제한된 수명을 포함할 수 있다. 제한된 수명은 시작 시간 또는 종료 시간 중 적어도 하나를 포함할 수 있다. 몇몇 실시예에서, UE는 리프레쉬 메시지를 수신하기 전에 온 디맨드 네트워크에 리프레쉬 요청을 발신할 수 있다. 몇몇 실시예에서, 키 정보는 적어도 하나의 키 세트의 제한된 수명을 또한 나타낼 수 있다. 몇몇 실시예에서, 제1 키 세트 내의 제1 키 쌍은 온 디맨드 네트워크의 제어 평면과 통신하기 위해 UE에 의해 사용될 수 있다. 제1 키 세트는 온 디맨드 네트워크의 데이터 평면과 통신하기 위해 UE에 의해 사용되는 제2 CK 및 제2 IK를 포함하는 제2 키 쌍을 더 포함할 수 있다. 몇몇 실시예에서, 적어도 하나의 키 세트는 온 디맨드 네트워크 내의 그룹 통신을 위해 UE에 의해 사용되는 제3 CK 및 제3 IK를 포함하는 제3 키 세트를 더 포함할 수 있는데, 제3 키 세트는 그룹 특정적이다. 적어도 하나의 키 세트는 온 디맨드 네트워크 내의 제2 UE와 통신하기 위해 UE에 의해 사용되는 제4 CK 및 제4 IK를 포함하는 제4 키 세트를 더 포함한다. 몇몇 실시예에서, UE는 적어도 하나의 키 세트를 리프레쉬하기 위한 리프레쉬 정보를 포함하는 키 리프레쉬 메시지를 수신할 수 있다. 키 리프레쉬 메시지는 제1 키 세트를 사용하여 암호화되고 무결성 체크될 수 있다. 키 리프레쉬 메시지는 적어도 하나의 새로운 키 세트를 포함할 수 있거나, 키 리프레쉬 메시지는 UE가 적어도 하나의 새로운 키 세트를 생성하기 위한 적어도 하나의 리프레쉬 파라미터를 포함할 수 있다. UE는 적어도 하나의 새로운 키 세트를 사용하여 온 디맨드 네트워크와 통신할 수 있다. 몇몇 실시예에서, 키 정보를 수신하기 전에, UE는 액세스 크리덴셜에 대한 정보를 포함하는 인증 및 인가 요청을 온 디맨드 네트워크에 송신할 수 있다. 인증 및 인가 요청은 UE의 공개 키를 더 포함할 수 있다. 적어도 하나의 키 세트에 대한 키 정보는 공개 키를 사용하여 온 디맨드 네트워크에 의해 암호화될 수 있다. UE는 UE의 개인 키를 사용하여 적어도 하나의 키 세트에 대한 키 정보를 복호화할 수 있다.
도 10b는 몇몇 실시예에 따라, 온 디맨드 네트워크 키 생성 및 분배를 위한 방법(1010)의 흐름도를 보여준다. 방법(1010)은 동작(1012)에서 시작하는데, 여기에서 온 디맨드 네트워크의 네트워크 개체는 적어도 하나의 키 세트에 대한 키 정보를 사용자 장비(UE)에 송신한다. 적어도 하나의 키 세트는 온 디맨드 네트워크 및 온 디맨드 네트워크를 액세스하기 위해 UE에 의해 사용되는 액세스 크리덴셜의 정보 및 온 디맨드 네트워크를 액세스하기 위해 UE에 의해 사용되는 액세스 크리덴셜에 기반하여 생성된다. 적어도 하나의 키 세트는 제1 키 세트를 포함할 수 있고, 제1 키 세트는 제1 암호 키(CK) 및 제1 무결성 키(IK)를 포함하는 제1 키 쌍을 포함할 수 있다. 동작(1014)에서, 네트워크 개체는 제1 키 세트를 사용하여 UE와 통신한다.
몇몇 실시예에서, 온 디맨드 네트워크는 UE의 홈 운영자와는 상이한 운영자에 속할 수 있다. 몇몇 실시예에서, 적어도 하나의 키 세트에 대한 키 정보는 적어도 하나의 키 세트를 포함할 수 있거나, 적어도 하나의 키 세트에 대한 키 정보는 적어도 하나의 키 세트를 생성하기 위해 UE에 의해 사용되는 적어도 하나의 파라미터를 포함할 수 있다. 몇몇 실시예에서, 적어도 하나의 파라미터는 UE가 새로운 프레쉬 키를 생성하기 위한 파라미터를 포함할 수 있는데, 파라미터는 논스로서 온 디맨드 네트워크에 의해 생성된 난수를 포함한다. 몇몇 실시예에서, 온 디맨드 네트워크, UE의 홈 네트워크, 또는 애플리케이션 서버(이의 하나 이상의 서비스는 온 디맨드 네트워크를 액세스하는 것을 통해 UE에 의해 사용됨)에 의해 공개 키가 제공될 수 있다. 몇몇 실시예에서, 적어도 하나의 파라미터는 적어도 하나의 키 세트의 제한된 수명을 포함할 수 있다. 제한된 수명은 시작 시간 또는 종료 시간 중 적어도 하나를 포함할 수 있다. 몇몇 실시예에서, UE는 리프레쉬 메시지를 수신하기 전에 온 디맨드 네트워크에 리프레쉬 요청을 발신할 수 있다. 몇몇 실시예에서, 키 정보는 적어도 하나의 키 세트의 제한된 수명을 또한 나타낼 수 있다. 몇몇 실시예에서, 제1 키 세트 내의 제1 키 쌍은 온 디맨드 네트워크의 제어 평면과 통신하기 위해 UE에 의해 사용될 수 있다. 제1 키 세트는 온 디맨드 네트워크의 데이터 평면과 통신하기 위해 UE에 의해 사용되는 제2 CK 및 제2 IK를 포함하는 제2 키 쌍을 더 포함할 수 있다. 몇몇 실시예에서, 적어도 하나의 키 세트는 온 디맨드 네트워크 내의 그룹 통신을 위해 UE에 의해 사용되는 제3 CK 및 제3 IK를 포함하는 제3 키 세트를 더 포함할 수 있는데, 제3 키 세트는 그룹 특정적이다. 적어도 하나의 키 세트는 온 디맨드 네트워크 내의 제2 UE와 통신하기 위해 UE에 의해 사용되는 제4 CK 및 제4 IK를 포함하는 제4 키 세트를 더 포함한다. 몇몇 실시예에서, UE는 적어도 하나의 키 세트를 리프레쉬하기 위한 리프레쉬 정보를 포함하는 키 리프레쉬 메시지를 수신할 수 있다. 키 리프레쉬 메시지는 제1 키 세트를 사용하여 암호화되고 무결성 체크될 수 있다. 키 리프레쉬 메시지는 적어도 하나의 새로운 키 세트를 포함할 수 있거나, 키 리프레쉬 메시지는 UE가 적어도 하나의 새로운 키 세트를 생성하기 위한 적어도 하나의 리프레쉬 파라미터를 포함할 수 있다. UE는 적어도 하나의 새로운 키 세트를 사용하여 온 디맨드 네트워크와 통신할 수 있다. 몇몇 실시예에서, 키 정보를 수신하기 전에, UE는 액세스 크리덴셜에 대한 정보를 포함하는 인증 및 인가 요청을 온 디맨드 네트워크에 송신할 수 있다. 인증 및 인가 요청은 UE의 공개 키를 더 포함할 수 있다. 적어도 하나의 키 세트에 대한 키 정보는 공개 키를 사용하여 온 디맨드 네트워크에 의해 암호화될 수 있다. UE는 UE의 개인 키를 사용하여 적어도 하나의 키 세트에 대한 키 정보를 복호화할 수 있다.
도 11은 예시적인 통신 시스템(1100)을 보여준다. 일반적으로, 시스템(1100)은 여러 무선 또는 유선 사용자가 데이터 및 다른 콘텐트를 송신하고 수신할 수 있게 한다. 시스템(1100)은 하나 이상의 채널 액세스 방법, 예를 들면 코드 분할 다중 액세스(Code Division Multiple Access: CDMA), 시간 분할 다중 액세스(Time Division Multiple Access: TDMA), 주파수 분할 다중 액세스(Frequency Division Multiple Access: FDMA), 직교 FDMA(Orthogonal FDMA: OFDMA), 단일 캐리어 FDMA(Single-Carrier FDMA: SC-FDMA), 또는 비직교 다중 액세스(Non-Orthogonal Multiple Access: NOMA)를 구현할 수 있다.
이 예에서, 통신 시스템(1100)은 전자 디바이스(Electronic Device: ED)(1110a 내지 1110c), 무선 액세스 네트워크(Radio Access Network: RAN)(1120a 내지 1120b), 코어 네트워크(core network)(1130), 공중 교환 전화 네트워크(Public Switched Telephone Network: PSTN)(1140), 인터넷(1150) 및 다른 네트워크(1160)를 포함한다. 소정의 수의 이들 컴포넌트 또는 요소가 도 11에 도시되나, 임의의 수의 이들 컴포넌트 또는 요소가 시스템(1100)에 포함될 수 있다.
ED(1110a 내지 1110c)는 시스템(1100) 내에서 동작하거나 통신하도록 구성된다. 예를 들어, ED(1110a 내지 1110c)는 무선 또는 유선 통신 채널을 통해 송신하거나 수신하도록 구성된다. 각각의 ED(1110a 내지 1110c)는 임의의 적합한 최종 사용자 디바이스(end user device)를 나타내며 사용자 장비 또는 디바이스(UE), 무선 송신 또는 수신 유닛(Wireless Transmit or Receive Unit: WTRU), 모바일 스테이션(mobile station), 고정형 또는 모바일 가입자 유닛, 셀룰러 전화, 개인용 디지털 보조기기(Personal Digital Assistant: PDA), 스마트폰, 랩톱(laptop), 컴퓨터, 터치패드(touchpad), 무선 센서, 또는 소비자 전자 디바이스(consumer electronics device)(로서 지칭될 수 있거나 이)와 같은 디바이스를 포함할 수 있다.
RAN(1120a 내지 1120b)는 여기서 각각 베이스 스테이션(base station)(1170a 내지 1170b)을 포함한다. 각각의 베이스 스테이션(1170a 내지 1170b)은 코어 네트워크(1130), PSTN(1140), 인터넷(1150) 또는 다른 네트워크(1160)로의 액세스를 가능하게 하기 위하여 ED(1110a 내지 1110c) 중 하나 이상과 무선으로 인터페이스하도록(interface) 구성된다. 예를 들어, 베이스 스테이션(1170a 내지 1170b)은, 베이스 송수신 스테이션(Base Transceiver Station: BTS), 노드 B(NodeB), 진화된 노드B(evolved NodeB: eNodeB), 차세대 노드B(Next Generation (NG) NodeB)(gNB), 홈 노드B(Home NodeB), 홈 eNodeB(Home eNodeB), 사이트 제어기(site controller), 액세스 포인트(Access Point: AP), 또는 무선 라우터(wireless router)와 같은, 몇 개의 잘 알려진 디바이스 중 (하나 이상이거나) 하나 이상을 포함할 수 있다. ED(1110a 내지 1110c)는 인터넷(1150)과 인터페이스하고 통신하도록 구성되며 코어 네트워크(1130), PSTN(1140) 또는 다른 네트워크(1160)를 액세스할 수 있다.
도 11에 도시된 실시예에서, 베이스 스테이션(1170a)은 다른 베이스 스테이션, 요소 또는 디바이스를 포함할 수 있는 RAN(1120a)의 일부를 형성한다. 또한, 베이스 스테이션(1170b)은 다른 베이스 스테이션, 요소 또는 디바이스를 포함할 수 있는 RAN(1120b)의 일부를 형성한다. 각각의 베이스 스테이션(1170a 내지 1170b)은 때때로 "셀"(cell)로서 지칭되는 특정한 지리적 지역 또는 영역 내에서 무선 신호를 송신하거나 수신하도록 동작한다. 몇몇 실시예에서, 각각의 셀을 위해 여러 송수신기를 갖는 다중 입력 다중 출력(Multiple-Input Multiple-Output: MIMO) 기술이 쓰일 수 있다.
베이스 스테이션(1170a 내지 1170b)은 무선 통신 링크를 사용하여 하나 이상의 공중 인터페이스(1190)를 통하여 ED(1110a 내지 1110c) 중 하나 이상과 통신한다. 공중 인터페이스(1190)는 임의의 적합한 무선 액세스 기술을 이용할 수 있다.
시스템(1100)은 위에서 기술된 것과 같은 방안을 포함하여, 다중 채널 액세스 기능성을 사용할 수 있음이 고려된다. 특정한 실시예에서, 베이스 스테이션 및 ED는 5G 신무선(New Radio: NR), LTE, LTE-A 또는 LTE-B를 구현한다. 물론, 다른 다중 액세스 방안 및 무선 프로토콜이 이용될 수 있다.
RAN(1120a 내지 1120b)은 음성, 데이터, 애플리케이션, 인터넷 프로토콜을 통한 음성(Voice over Internet Protocol: VoIP) 또는 다른 서비스를 ED(1110a 내지 1110c)에 제공하기 위하여 코어 네트워크(1130)와의 통신을 한다. 가당히, RAN(1120a 내지 1120b) 또는 코어 네트워크(1130)는 하나 이상의 다른 RAN(도시되지 않음)과의 직접적 또는 간접적 통신을 할 수 있다. 코어 네트워크(1130)는 또한 다른 네트워크(예를 들면 PSTN(1140), 인터넷(1150) 및 다른 네트워크(1160))를 위한 게이트웨이 액세스(gateway access)로서의 역할을 할 수 있다. 추가로, ED(1110a 내지 1110b) 중 일부 또는 전부는 상이한 무선 기술 또는 프로토콜을 사용하여 상이한 무선 링크를 통하여 상이한 무선 네트워크와 통신하기 위한 기능성을 포함할 수 있다. 무선 통신 대신에 (또는 이에 더하여), ED는 서비스 제공자 또는 스위치(도시되지 않음)로의, 그리고 인터넷(1150)으로의 유선 통신 채널을 통해 통신할 수 있다.
도 11은 통신 시스템의 하나의 예를 보여주나, 도 11에 다양한 변경이 행해질 수 있다. 예를 들어, 통신 시스템(1100)은 임의의 수의 ED, 베이스 스테이션, 네트워크, 또는 다른 컴포넌트를 임의의 적절한 것으로 포함할 수 있다.
도 12a 및 도 12b는 이 개시에 따른 방법 및 교시를 구현할 수 있는 예시적인 디바이스를 보여준다. 특히, 도 12a는 예시적인 ED(1210)를 보여주고, 도 12b는 예시적인 베이스 스테이션(1270)을 보여준다. 이들 컴포넌트는 시스템(1100) 내에서 또는 임의의 다른 적합한 시스템 내에서 사용될 수 있다.
도 12a에 도시된 바와 같이 ED(1210)는 적어도 하나의 처리 유닛(1200)을 포함한다. 처리 유닛(1200)은 ED(1210)의 다양한 처리 동작을 구현한다. 예를 들어, 처리 유닛(1200)은 신호 코딩, 데이터 처리, 전력 제어, 입력/출력 처리, 또는 ED(1210)가 시스템(1100) 내에서 동작할 수 있게 하는 임의의 다른 기능성을 수행할 수 있다. 처리 유닛(1200)은 또한 위에서 더욱 상세히 기술된 방법 및 교시를 지원한다. 각각의 처리 유닛(1200)은 하나 이상의 동작을 수행하도록 구성된 임의의 적합한 처리 또는 컴퓨팅 디바이스를 포함한다. 각각의 처리 유닛(1200)은, 예를 들어, 마이크로프로세서(microprocessor), 마이크로제어기(microcontroller), 디지털 신호 프로세서(digital signal processor), 필드 프로그램가능 게이트 어레이(field programmable gate array) 또는 애플리케이션 특정 집적 회로(application specific integrated circuit)를 포함할 수 있다.
ED(1210)는 또한 적어도 하나의 송수신기(1202)를 포함한다. 송수신기(1202)는 적어도 하나의 안테나 또는 NIC(Network Interface Controller)(네트워크 인터페이스 제어기)(1204)에 의한 송신을 위해 데이터 또는 다른 콘텐트를 변조하도록 구성된다. 송수신기(1202)는 또한 적어도 하나의 안테나(1204)에 의해 수신된 데이터 또는 다른 콘텐트를 복조하도록 구성된다. 각각의 송수신기(1202)는 무선 또는 유선 송신을 위해 신호를 생성하거나 무선으로 또는 유선으로 수신된 신호를 처리하기 위한 임의의 적합한 구조를 포함한다. 각각의 안테나(1204)는 무선 또는 유선 신호를 송신하거나 수신하기 위한 임의의 적합한 구조를 포함한다. 하나 또는 여러 송수신기(1202)가 ED(1210) 내에서 사용될 수 있고, 하나 또는 여러 안테나(1204)가 ED(1210) 내에서 사용될 수 있다. 단일의 기능적 유닛으로서 도시되나, 송수신기(1202)는 또한 적어도 하나의 송신기 및 적어도 하나의 별개의 수신기를 사용하여 구현될 수 있다.
ED(1210)는 하나 이상의 입력/출력 디바이스(1206) 또는 인터페이스(예를 들면 인터넷(1150)으로의 유선 인터페이스)를 더 포함한다. 입력/출력 디바이스(1206)는 네트워크 내의 사용자 또는 다른 디바이스와의 상호작용(네트워크 통신)을 수월하게 한다. 각각의 입력/출력 디바이스(1206)는 네트워크 인터페이스 통신을 포함하여, 정보를 사용자에 제공하거나 사용자로부터 수신하기 위한 임의의 적합한 구조, 예를 들면 스피커(speaker), 마이크(microphone), 키패드(keypad), 키보드(keyboard), 디스플레이(display), 또는 터치 스크린(touch screen)를 포함한다.
추가로, ED(1210)는 적어도 하나의 메모리(1208)를 포함한다. 메모리(1208)는 ED(1210)에 의해 사용되거나 생성되거나 수집된 명령어 및 데이터를 저장한다. 예를 들어, 메모리(1208)는 처리 유닛(들)(1200)에 의해 실행되는 소프트웨어 또는 펌웨어 명령어 및 유입 신호에서 간섭을 줄이거나 제거하는 데에 사용되는 데이터를 저장할 수 있다. 각각의 메모리(1208)는 임의의 적합한 휘발성 또는 비휘발성 저장 및 인출 디바이스(들)를 포함한다. 랜덤 액세스 메모리(Random Access Memory: RAM), 판독 전용 메모리(Read Only Memory: ROM), 하드 디스크(hard disk), 광학 디스크(optical disc), 가입자 신원 모듈(Subscriber Identity Module: SIM) 카드, 메모리 스틱(memory stick), 보안 디지털(Secure Digital: SD) 메모리 카드 및 유사한 것과 같은 임의의 적합한 타입의 메모리가 사용될 수 있다.
도 12b에 도시된 바와 같이, 베이스 스테이션(1270)은 적어도 하나의 처리 유닛(1250), 적어도 하나의 송수신기(1252)(이는 송신기 및 수신기를 위한 기능성을 포함함), 하나 이상의 안테나(1256), 적어도 하나의 메모리(1258) 및 하나 이상의 입력/출력 디바이스 또는 인터페이스(1266)를 포함한다. 당업자에 의해 이해될 스케줄러(scheduler)가 처리 유닛(1250)에 커플링된다(coupled). 스케줄러는 베이스 스테이션(1270) 내에 포함되거나 이와는 별도로 동작될 수 있다. 처리 유닛(1250)은 베이스 스테이션(1270)의 다양한 처리 동작, 예를 들면 신호 코딩, 데이터 처리, 전력 제어, 입력/출력 처리, 또는 임의의 다른 기능성을 구현한다. 처리 유닛(1250)은 또한 위에서 더욱 상세히 기술된 방법 및 교시를 지원할 수 있다. 각각의 처리 유닛(1250)은 하나 이상의 동작을 수행하도록 구성된 임의의 적합한 처리 또는 컴퓨팅 디바이스를 포함한다. 각각의 처리 유닛(1250)은, 예를 들어, 마이크로프로세서(microprocessor), 마이크로제어기(microcontroller), 디지털 신호 프로세서(digital signal processor), 필드 프로그램가능 게이트 어레이(field programmable gate array) 또는 애플리케이션 특정 집적 회로(application specific integrated circuit)를 포함할 수 있다.
각각의 송수신기(1252)는 하나 이상의 ED 또는 다른 디바이스로의 무선 또는 유선 송신을 위해 신호를 생성하기 위한 임의의 적합한 구조를 포함한다. 각각의 송수신기(1252)는 하나 이상의 ED 또는 다른 디바이스로부터 무선으로 또는 유선으로 수신된 신호를 처리하기 위한 임의의 적합한 구조를 더 포함한다. 송수신기(1252)로서 조합된 것으로 도시되나, 송신기 및 수신기는 별개의 컴포넌트일 수 있다. 각각의 안테나(1256)는 무선 또는 유선 신호를 송신하거나 수신하기 위한 임의의 적합한 구조를 포함한다. 공통 안테나(1256)가 송수신기(1252)에 커플링된 것으로 여기에 도시되나, 하나 이상의 안테나(1256)가 송수신기(들)(1252)에 커플링될 수 있는바, 만일 별개의 컴포넌트로서 구비된 경우 별개의 안테나(1256)가 송신기 및 수신기에 커플링될 수 있도록 한다. 각각의 메모리(1258)는 임의의 적합한 휘발성 또는 비휘발성 저장 및 인출 디바이스(들)를 포함한다. 각각의 입력/출력 디바이스(1266)는 네트워크 내의 사용자 또는 다른 디바이스와의 상호작용(네트워크 통신)을 수월하게 한다. 각각의 입력/출력 디바이스(1266)는 네트워크 인터페이스 통신을 포함하여, 정보를 사용자에 제공하거나 사용자로부터 수신/제공하기 위한 임의의 적합한 구조를 포함한다.
도 13은 본 문서에 개시된 디바이스 및 방법을 구현하기 위해 사용될 수 있는 컴퓨팅 시스템(1300)의 블록도이다. 예를 들어, 컴퓨팅 시스템은 UE, 액세스 네트워크(Access Network: AN), 이동성 관리(Mobility Management: MM), 세션 관리(Session Management: SM), 사용자 평면 게이트웨이(User Plane GateWay: UPGW) 또는 액세스 층(Access Stratum: AS)의 임의의 개체일 수 있다. 특정 디바이스는 도시된 컴포넌트 전부 또는 컴포넌트의 서브세트만을 이용할 수 있고, 통합의 레벨은 디바이스마다 달라질 수 있다. 나아가, 디바이스는 컴포넌트의 여러 인스턴스, 예를 들어 여러 처리 유닛, 프로세서, 메모리, 송신기, 수신기 등을 포함할 수 있다. 컴퓨팅 시스템(1300)은 처리 유닛(1302)을 포함한다. 처리 유닛은 중앙 처리 유닛(Central Processing Unit: CPU)(1314), 메모리(1308)를 포함할 수 있고, 버스(1320)에 연결된 대용량 스토리지 디바이스(mass storage device)(1304), 비디오 어댑터(video adapter)(1310) 및 I/O 인터페이스(1312)를 더 포함할 수 있다.
버스(1320)는 메모리 버스 내지 메모리 제어기, 주변 버스(peripheral bus), 또는 비디오 버스를 포함하는 임의의 타입의 몇 개의 버스 아키텍처 중 하나 이상일 수 있다. CPU(1314)는 임의의 타입의 전자 데이터 프로세서를 포함할 수 있다. 메모리(1308)는 정적 랜덤 액세스 메모리(Static Random Access Memory: SRAM), 동적 랜덤 액세스 메모리(Dynamic Random Access Memory: DRAM), 동기식 DRAM(Synchronous DRAM: SDRAM), 판독 전용 메모리(Read-Only Memory: ROM), 또는 이의 조합과 같은 임의의 타입의 비일시적(non-transitory) 시스템 메모리를 포함할 수 있다. 실시예에서, 메모리(1308)는 시동(boot-up)에서의 사용을 위한 ROM과, 프로그램 및 프로그램을 실행하는 동안의 사용을 위한 데이터 저장을 위한 DRAM을 포함할 수 있다.
대용량 스토리지(1304)는 데이터, 프로그램 및 다른 정보를 저장하고 데이터, 프로그램 및 다른 정보를 버스(1320)를 통해 액세스가능하게 하도록 구성된 임의의 타입의 비일시적 저장 디바이스를 포함할 수 있다. 대용량 스토리지(1304)는, 예를 들어, 솔리드 스테이트 드라이브(solid state drive), 하드 디스크 드라이브(hard disk drive), 자기 디스크 드라이브(magnetic disk drive) 또는 광학 디스크 드라이브(optical disk drive) 중 하나 이상을 포함할 수 있다.
비디오 어댑터(1310) 및 I/O 인터페이스(1312)는 처리 유닛(1302)에 외부 입력 및 출력 디바이스를 커플링하는 인터페이스를 제공한다. 예시된 바와 같이, 입력 및 출력 디바이스의 예는 비디오 어댑터(1310)에 커플링된 디스플레이(1318) 및 I/O 인터페이스(1312)에 커플링된 마우스, 키보드 또는 프린터(1316)을 포함한다. 다른 디바이스가 처리 유닛(1302)에 커플링될 수 있고, 추가적인 또는 더 적은 수의 인터페이스 카드가 이용될 수 있다. 예를 들어, 범용 직렬 버스(Universal Serial Bus: USB)(도시되지 않음)와 같은 직렬 인터페이스가 외부 디바이스를 위한 인터페이스를 제공하는 데에 사용될 수 있다.
처리 유닛(1302)은 또한, 이더넷 케이블(Ethernet cable)과 같은 유선 링크, 또는 액세스 노드 또는 상이한 네트워크로의 무선 링크를 포함할 수 있는 하나 이상의 네트워크 인터페이스(1306)를 포함한다. 네트워크 인터페이스(1306)는 처리 유닛(1302)으로 하여금 네트워크를 통해 원격 유닛과 통신할 수 있게 한다. 예를 들어, 네트워크 인터페이스(1306)는 하나 이상의 송신기/송신 안테나 및 하나 이상의 수신기/수신 안테나를 통해 무선 통신을 제공할 수 있다. 실시예에서, 처리 유닛(1302)은 데이터 처리 및 다른 처리 유닛, 인터넷 또는 원격 저장 설비와 같은 원격 디바이스와의 통신을 위해 로컬 영역 네트워크(local-area network)(1322) 또는 광역 네트워크(wide-area network)에 커플링된다.
도 14은 몇몇 실시예에 따라, 예시적인 통신 시스템(1400)을 보여준다. 통신 시스템(1400)은 UE(1420)와 같은, 커버리지(1401)를 가진 사용자 장비(UE)를 서빙하는 액세스 노드(1410)를 포함한다. 제1 동작 모드에서, UE로의, 그리고 이로부터의 통신은 커버리지 영역(1401)을 가진 액세스 노드(1410)를 거쳐 간다. 액세스 노드(1410)는 인터넷으로의 연결, 동작 및 관리와, 기타 등등을 위해 백홀 네트워크(backhaul network)(1415)에 연결된다. 제2 동작 모드에서, UE로의, 그리고 이로부터의 통신은 액세스 노드(1410)를 거쳐 가지 않으나, 액세스 노드(1410)는 전형적으로 특정 조건이 충족되는 경우에 통신하기 위해 UE에 의해 사용되는 리소스를 할당한다. UE(1420)의 쌍 간의 통신은 (두 별개의 일방 연결(1425)로서 도시된) 사이드링크 연결(sidelink connection)을 사용할 수 있다. 도 14에서, 사이드라인 통신은 커버리지 영역(1401) 내부에서 동작하는 두 UE 간에 일어나고 있다. 그러나, 사이드링크 통신은, 일반적으로, UE(1420)가 양자 모두 커버리지 영역(1401) 외부에 있거나, 양자 모두 커버리지 영역(1401) 내부에 있거나, 하나는 커버리지 영역(1401) 내부에, 그리고 다른 하나는 커버리지 영역(1401) 외부에 있는 경우에 일어날 수 있다. UE 및 액세스 노드 쌍 간의 통신은 일방향 통신 링크를 통하여 일어나는데, UE 및 액세스 노드 간의 통신 링크는 업링크(1430)로서 지칭되고, 액세스 노드 및 UE 간의 통신 링크는 다운링크(1435)로서 지칭된다.
액세스 노드는 또한 노드 B, 진화된 노드 B(eNB), 차세대(Next Generation: NG) 노드 B(gNB), 마스터 eNB(Master eNB: MeNB), 이차적 eNB(Secondary eNB: SeNB), 마스터 gNB(Master gNB: MgNB), 이차적 gNB(Secondary gNB: SgNB), 네트워크 제어기, 제어 노드, 베이스 스테이션, 액세스 포인트, 송신 포인트(Transmission Point: TP), 송신-수신 포인트(Transmission-Reception Point: TRP), 셀, 캐리어(carrier), 매크로 셀(macro cell), 펨토셀(femtocell), 피코 셀(pico cell) 및 기타 등등으로서 보통 지칭될 수 있는 한편, UE는 또한 모바일 스테이션, 모바일, 단말, 사용자, 가입자, 스테이션 및 유사한 것으로서 보통 지칭될 수 있다. 액세스 노드는 하나 이상의 무선 통신 프로토콜, 가령, 제3세대 파트너쉽 프로젝트 (Third Generation Partnership Project: 3GPP) 롱텀 에볼루션(Long Term Evolution: LTE), LTE 어드밴스트(LTE Advanced: LTE-A), 5G, 5G LTE, 5G NR, 제6세대(sixth generation)(6G), 고속 패킷 액세스(High Speed Packet Access: HSPA), IEEE 802.11 계열 표준, 예를 들면 802.11a/b/g/n/ac/ad/ax/ay/be 등에 따라 무선 액세스를 제공할 수 있다. 통신 시스템이 다수의 UE와 통신하는 것이 가능한 여러 액세스 노드를 쓸 수 있음이 이해되나, 단순함을 위해 오직 하나의 액세스 노드 및 두 UE가 예시된다.
본 문서에서 제공된 실시예 방법의 하나 이상의 단계는 대응하는 유닛 또는 모듈에 의해 수행될 수 있음이 인식되어야 한다. 예를 들어, 송신 유닛 또는 송신 모듈에 의해 신호가 송신될 수 있다. 수신 유닛 또는 수신 모듈에 의해 신호가 수신될 수 있다. 처리 유닛 또는 처리 모듈에 의해 신호가 처리될 수 있다. 선택 유닛 또는 모듈, 판정 유닛 또는 모듈, 또는 배정 유닛 또는 모듈에 의해 다른 단계가 수행될 수 있다. 각 유닛 또는 모듈은 하드웨어, 소프트웨어, 또는 이의 조합일 수 있다. 예를 들면, 유닛 또는 모듈 중 하나 이상은 집적 회로(integrated circuit), 예를 들면 필드 프로그램가능 게이트 어레이(Field Programmable Gate Array: FPGA) 또는 애플리케이션 특정 집적 회로(Application-Specific Integrated Circuit: ASIC)일 수 있다.
본 개시 및 그것의 이점이 상세히 기술되었으나, 부기된 청구항에 의해 정의된 바와 같은 개시의 범위로부터 벗어나는 것 없이 본 문서에서 다양한 수정, 대체 및 변경이 행해질 수 있음이 이해되어야 한다.

Claims (92)

  1. 액세스 크리덴셜 메시지(access credential message)를 사용자 장비(User Equipment: UE)에 의해 수신하는 단계 - 상기 액세스 크리덴셜 메시지는 상기 UE가 액세스할 온 디맨드 네트워크(on-demand network)를 위한 액세스 크리덴셜을 나타내되, 상기 액세스 크리덴셜 메시지는 상기 액세스 크리덴셜의 제한된 수명을 또한 나타냄 - 와,
    상기 액세스 크리덴셜에 대한 정보를 포함하는 인증 및 인가 요청(authentication and authorization request)을 상기 UE에 의해 상기 온 디맨드 네트워크에 송신하는 단계와,
    인증 및 인가 응답(authentication and authorization response)을 상기 UE에 의해 상기 온 디맨드 네트워크로부터 수신하는 단계와,
    상기 인증 및 인가 응답에 기반하여 상기 온 디맨드 네트워크와의 세션(session)을 상기 UE에 의해 수립하는 단계를 포함하는,
    방법.
  2. 제1항에 있어서,
    상기 온 디맨드 네트워크는 상기 UE의 홈 운영자(home operator)와는 상이한 운영자에 속하는,
    방법.
  3. 제1항에 있어서,
    상기 액세스 크리덴셜 메시지는 인증 및 인가를 수행하는 하나 이상의 개체(entity)를 나타내는 개체 정보를 더 포함하고, 상기 인증 및 인가 요청은 상기 개체 정보를 포함하는,
    방법.
  4. 제3항에 있어서,
    상기 하나 이상의 개체는 상기 온 디맨드 네트워크의 개체, 애플리케이션 서버, 제3자 개체 또는 상기 UE의 홈 네트워크(home network)의 개체 중 적어도 하나를 포함하되, 상기 애플리케이션 서버의 하나 이상의 서비스는 상기 온 디맨드 네트워크를 액세스하는 것을 통해 UE들에 의해 사용되는,
    방법.
  5. 제3항에 있어서,
    상기 개체 정보는 상기 인증을 처리하는 제1 개체 및 상기 인가를 처리하는 제2 개체를 나타내되, 상기 제2 개체는 상기 제1 개체와는 상이한,
    방법.
  6. 제1항에 있어서,
    상기 액세스 크리덴셜 메시지는 크리덴셜 타입 및 크리덴셜 소유자를 또한 나타내되, 상기 크리덴셜 소유자는 상기 온 디맨드 네트워크, 애플리케이션 서버, 제3자 개체 또는 상기 UE의 홈 네트워크 중 하나이되, 상기 애플리케이션 서버의 하나 이상의 서비스는 상기 온 디맨드 네트워크를 액세스하는 것을 통해 UE들에 의해 사용되는,
    방법.
  7. 제1항에 있어서,
    상기 UE는 상기 UE가 상기 UE의 홈 네트워크와 인증하는 것 또는 상기 UE가 애플리케이션 서버와 인증하는 것에 응답하여 상기 액세스 크리덴셜 메시지를 수신하고, 상기 UE는 상기 UE가 상기 온 디맨드 네트워크에 액세스하기 전 또는 동안에 상기 액세스 크리덴셜 메시지를 수신하되, 상기 애플리케이션 서버의 하나 이상의 서비스는 상기 온 디맨드 네트워크를 액세스하는 것을 통해 UE들에 의해 사용되는,
    방법.
  8. 제1항에 있어서,
    상기 UE는 상기 UE가 상기 온 디맨드 네트워크를 액세스하기 위해 상기 액세스 크리덴셜에 대한 상기 정보를 획득하기를 요청하는 것 없이 상기 UE의 홈 네트워크로부터 또는 애플리케이션 서버로부터 상기 액세스 크리덴셜 메시지를 수신하되, 상기 애플리케이션 서버의 하나 이상의 서비스는 상기 온 디맨드 네트워크를 액세스하는 것을 통해 UE들에 의해 사용되는,
    방법.
  9. 제1항에 있어서,
    상기 UE는 상기 UE가 상기 온 디맨드 네트워크를 액세스하기 위해 상기 액세스 크리덴셜에 대한 상기 정보를 획득하기를 요청하는 것으로써 상기 UE의 홈 네트워크로부터 또는 애플리케이션 서버로부터 상기 액세스 크리덴셜 메시지를 수신하되, 상기 애플리케이션 서버의 하나 이상의 서비스는 상기 온 디맨드 네트워크를 액세스하는 것을 통해 UE들에 의해 사용되는,
    방법.
  10. 제1항 내지 제9항 중 어느 한 항에 있어서,
    상기 액세스 크리덴셜에 대한 상기 정보는 상기 액세스 크리덴셜 또는 상기 액세스 크리덴셜의 식별자를 포함하는,
    방법.
  11. 사용자 장비(User Equipment: UE)에 의해 온 디맨드 네트워크로부터 적어도 하나의 키 세트에 대한 키 정보를 수신하는 단계 - 상기 적어도 하나의 키 세트는 상기 온 디맨드 네트워크를 액세스하기 위하여 상기 UE에 의해 사용되는 액세스 크리덴셜 및 상기 온 디맨드 네트워크의 정보에 기반하여 생성되고, 상기 적어도 하나의 키 세트는 제1 키 세트를 포함하고, 상기 제1 키 세트는 제1 암호 키(Cipher Key: CK) 및 제1 무결성 키(Integrity Key: IK)를 포함하는 제1 키 쌍을 포함함 - 와,
    상기 제1 키 세트를 사용하여, 상기 UE에 의해 상기 온 디맨드 네트워크 및 상기 온 디맨드 네트워크 내의 다른 UE와 통신하는 단계를 포함하는,
    방법.
  12. 제11항에 있어서,
    상기 온 디맨드 네트워크는 상기 UE의 홈 운영자와는 상이한 운영자에 속하는,
    방법.
  13. 제11항에 있어서,
    상기 적어도 하나의 키 세트에 대한 상기 키 정보는 상기 적어도 하나의 키 세트를 포함하거나, 상기 적어도 하나의 키 세트에 대한 상기 키 정보는 상기 적어도 하나의 키 세트를 생성하기 위해 상기 UE에 의해 사용되는 적어도 하나의 파라미터를 포함하는,
    방법.
  14. 제13항에 있어서,
    상기 적어도 하나의 파라미터는 상기 UE가 새로운 프레쉬(fresh) 키를 생성하기 위한 파라미터를 포함하되, 상기 파라미터는 논스(nonce)로서 상기 온 디맨드 네트워크에 의해 생성된 난수(random number)를 포함하는,
    방법.
  15. 제14항에 있어서,
    상기 온 디맨드 네트워크, 상기 UE의 홈 네트워크, 또는 애플리케이션 서버에 의해 공개 키(public key)가 제공되되, 상기 애플리케이션 서버의 하나 이상의 서비스는 상기 온 디맨드 네트워크를 액세스하는 것을 통해 UE들에 의해 사용되는,
    방법.
  16. 제13항에 있어서,
    상기 적어도 하나의 파라미터는 상기 적어도 하나의 키 세트의 제한된 수명을 포함하고, 상기 제한된 수명은 시작 시간 또는 종료 시간 중 적어도 하나를 포함하는,
    방법.
  17. 제13항에 있어서,
    상기 UE는 리프레쉬 메시지(refresh message)를 수신하기 전에 상기 온 디맨드 네트워크에 리프레쉬 요청을 발신하는,
    방법.
  18. 제11항에 있어서,
    상기 키 정보는 상기 적어도 하나의 키 세트의 제한된 수명을 또한 나타내는,
    방법.
  19. 제18항에 있어서,
    상기 적어도 하나의 키 세트의 상기 제한된 수명은 시작 시간 또는 종료 시간 중 적어도 하나를 포함하는,
    방법.
  20. 제11항에 있어서,
    상기 제1 키 세트 내의 상기 제1 키 쌍은 상기 온 디맨드 네트워크의 제어 평면(control plane)과 통신하기 위해 상기 UE에 의해 사용되되, 상기 제1 키 세트는 상기 온 디맨드 네트워크의 데이터 평면(data plane)과 통신하기 위해 상기 UE에 의해 사용되는 제2 CK 및 제2 IK를 포함하는 제2 키 쌍을 더 포함하는,
    방법.
  21. 제20항에 있어서,
    상기 적어도 하나의 키 세트는 상기 온 디맨드 네트워크 내의 그룹 통신을 위해 상기 UE에 의해 사용되는 제3 CK 및 제3 IK를 포함하는 제3 키 세트를 더 포함하되, 상기 제3 키 세트는 그룹 특정적이고, 상기 적어도 하나의 키 세트는 상기 온 디맨드 네트워크 내의 제2 UE와 통신하기 위해 상기 UE에 의해 사용되는 제4 CK 및 제4 IK를 포함하는 제4 키 세트를 더 포함하는,
    방법.
  22. 제11항에 있어서,
    상기 적어도 하나의 키 세트를 리프레쉬하기 위한 리프레쉬 정보를 포함하는 키 리프레쉬 메시지를 상기 UE에 의해 수신하는 단계 - 상기 키 리프레쉬 메시지는 상기 제1 키 세트를 사용하여 암호화되고 무결성 체크되되(integrity checked), 상기 키 리프레쉬 메시지는 적어도 하나의 새로운 키 세트를 포함하거나, 상기 키 리프레쉬 메시지는 상기 UE가 상기 적어도 하나의 새로운 키 세트를 생성하기 위한 적어도 하나의 리프레쉬 파라미터를 포함함 - 와,
    상기 적어도 하나의 새로운 키 세트를 사용하여 상기 UE에 의해 상기 온 디맨드 네트워크와 통신하는 단계를 포함하는,
    방법.
  23. 제11항 내지 제22항 중 어느 한 항에 있어서,
    상기 키 정보를 수신하기 전에, 상기 액세스 크리덴셜에 대한 정보를 포함하는 인증 및 인가 요청을 상기 UE에 의해 상기 온 디맨드 네트워크에 송신하는 단계를 더 포함하되, 상기 인증 및 인가 요청은 상기 UE의 공개 키를 더 포함하고, 상기 적어도 하나의 키 세트에 대한 상기 키 정보는 상기 공개 키를 사용하여 상기 온 디맨드 네트워크에 의해 암호화되고, 상기 UE는 상기 UE의 개인 키(private key)를 사용하여 상기 적어도 하나의 키 세트에 대한 상기 키 정보를 복호하는,
    방법.
  24. 액세스 크리덴셜에 대한 정보를 포함하는 인증 및 인가 요청을 온 디맨드 네트워크의 네트워크 개체에 의해 사용자 장비(User Equipment: UE)로부터 수신하는 단계 - 상기 UE는 상기 UE가 액세스할 상기 온 디맨드 네트워크를 위한 상기 액세스 크리덴셜을 나타내는 액세스 크리덴셜 메시지를 수신하되, 상기 액세스 크리덴셜 메시지는 상기 액세스 크리덴셜의 제한된 수명을 또한 나타냄 - 와,
    상기 네트워크 개체에 의해 상기 UE에 인증 및 인가 응답을 송신하는 단계와,
    상기 인증 및 인가 응답에 기반하여 상기 UE와의 세션을 상기 네트워크 개체에 의해 수립하는 단계를 포함하는,
    방법.
  25. 제24항에 있어서,
    상기 온 디맨드 네트워크는 상기 UE의 홈 운영자와는 상이한 운영자에 속하는,
    방법.
  26. 제24항에 있어서,
    상기 액세스 크리덴셜 메시지는 인증 및 인가를 수행하는 하나 이상의 개체를 나타내는 개체 정보를 더 포함하고, 상기 인증 및 인가 요청은 상기 개체 정보를 포함하는,
    방법.
  27. 제26항에 있어서,
    상기 하나 이상의 개체는 상기 온 디맨드 네트워크의 상기 네트워크 개체, 애플리케이션 서버, 제3자 개체 또는 상기 UE의 홈 네트워크의 개체 중 적어도 하나를 포함하되, 상기 애플리케이션 서버의 하나 이상의 서비스는 상기 온 디맨드 네트워크를 액세스하는 것을 통해 UE들에 의해 사용되는,
    방법.
  28. 제26항에 있어서,
    상기 개체 정보는 상기 인증을 처리하는 제1 개체 및 상기 인가를 처리하는 제2 개체를 나타내되, 상기 제2 개체는 상기 제1 개체와는 상이한,
    방법.
  29. 제24항에 있어서,
    상기 액세스 크리덴셜 메시지는 크리덴셜 타입 및 크리덴셜 소유자를 또한 나타내되, 상기 크리덴셜 소유자는 상기 온 디맨드 네트워크, 애플리케이션 서버, 제3자 개체 또는 상기 UE의 홈 네트워크 중 하나이되, 상기 애플리케이션 서버의 하나 이상의 서비스는 상기 온 디맨드 네트워크를 액세스하는 것을 통해 UE들에 의해 사용되는,
    방법.
  30. 제24항에 있어서,
    상기 UE는 상기 UE가 상기 UE의 홈 네트워크와 인증하는 것 또는 상기 UE가 애플리케이션 서버와 인증하는 것에 응답하여 상기 액세스 크리덴셜 메시지를 수신하고, 상기 UE는 상기 UE가 상기 온 디맨드 네트워크에 액세스하기 전 또는 동안에 상기 액세스 크리덴셜 메시지를 수신하되, 상기 애플리케이션 서버의 하나 이상의 서비스는 상기 온 디맨드 네트워크를 액세스하는 것을 통해 UE들에 의해 사용되는,
    방법.
  31. 제24항에 있어서,
    상기 UE는 상기 UE가 상기 온 디맨드 네트워크를 액세스하기 위해 상기 액세스 크리덴셜에 대한 상기 정보를 획득하기를 요청하는 것 없이 상기 UE의 홈 네트워크로부터 또는 애플리케이션 서버로부터 상기 액세스 크리덴셜 메시지를 수신하되, 상기 애플리케이션 서버의 하나 이상의 서비스는 상기 온 디맨드 네트워크를 액세스하는 것을 통해 UE들에 의해 사용되는,
    방법.
  32. 제24항에 있어서,
    상기 UE는 상기 UE가 상기 온 디맨드 네트워크를 액세스하기 위해 상기 액세스 크리덴셜에 대한 상기 정보를 획득하기를 요청하는 것으로써 상기 UE의 홈 네트워크로부터 또는 애플리케이션 서버로부터 상기 액세스 크리덴셜 메시지를 수신하되, 상기 애플리케이션 서버의 하나 이상의 서비스는 상기 온 디맨드 네트워크를 액세스하는 것을 통해 UE들에 의해 사용되는,
    방법.
  33. 제24항 내지 제32항 중 어느 한 항에 있어서,
    상기 액세스 크리덴셜에 대한 상기 정보는 상기 액세스 크리덴셜 또는 상기 액세스 크리덴셜의 식별자를 포함하는,
    방법.
  34. 온 디맨드 네트워크의 네트워크 개체에 의해 사용자 장비(User Equipment: UE)에 적어도 하나의 키 세트에 대한 키 정보를 송신하는 단계 - 상기 적어도 하나의 키 세트는 상기 온 디맨드 네트워크를 액세스하기 위하여 상기 UE에 의해 사용되는 액세스 크리덴셜 및 상기 온 디맨드 네트워크의 정보에 기반하여 생성되고, 상기 적어도 하나의 키 세트는 제1 키 세트를 포함하고, 상기 제1 키 세트는 제1 암호 키(Cipher Key: CK) 및 제1 무결성 키(Integrity Key: IK)를 포함하는 제1 키 쌍을 포함함 - 와,
    상기 제1 키 세트를 사용하여, 상기 네트워크 개체에 의해 상기 UE와 통신하는 단계를 포함하는,
    방법.
  35. 제34항에 있어서,
    상기 온 디맨드 네트워크는 상기 UE의 홈 운영자와는 상이한 운영자에 속하는,
    방법.
  36. 제34항에 있어서,
    상기 적어도 하나의 키 세트에 대한 상기 키 정보는 상기 적어도 하나의 키 세트를 포함하거나, 상기 적어도 하나의 키 세트에 대한 상기 키 정보는 상기 적어도 하나의 키 세트를 생성하기 위해 상기 UE에 의해 사용되는 적어도 하나의 파라미터를 포함하는,
    방법.
  37. 제36항에 있어서,
    상기 적어도 하나의 파라미터는 상기 UE가 새로운 프레쉬 키를 생성하기 위한 파라미터를 포함하되, 상기 파라미터는 논스로서 상기 온 디맨드 네트워크에 의해 생성된 난수를 포함하는,
    방법.
  38. 제37항에 있어서,
    상기 온 디맨드 네트워크, 상기 UE의 홈 네트워크, 또는 애플리케이션 서버에 의해 공개 키가 제공되되, 상기 애플리케이션 서버의 하나 이상의 서비스는 상기 온 디맨드 네트워크를 액세스하는 것을 통해 UE들에 의해 사용되는,
    방법.
  39. 제36항에 있어서,
    상기 적어도 하나의 파라미터는 상기 적어도 하나의 키 세트의 제한된 수명을 포함하고, 상기 제한된 수명은 시작 시간 또는 종료 시간 중 적어도 하나를 포함하는,
    방법.
  40. 제36항에 있어서,
    상기 UE는 리프레쉬 메시지(refresh message)를 수신하기 전에 상기 온 디맨드 네트워크에 리프레쉬 요청을 발신하는,
    방법.
  41. 제34항에 있어서,
    상기 키 정보는 상기 적어도 하나의 키 세트의 제한된 수명을 또한 나타내는,
    방법.
  42. 제41항에 있어서,
    상기 적어도 하나의 키 세트의 상기 제한된 수명은 시작 시간 또는 종료 시간 중 적어도 하나를 포함하는,
    방법.
  43. 제34항에 있어서,
    상기 제1 키 세트 내의 상기 제1 키 쌍은 상기 온 디맨드 네트워크의 제어 평면과 통신하기 위해 상기 UE에 의해 사용되되, 상기 제1 키 세트는 상기 온 디맨드 네트워크의 데이터 평면과 통신하기 위해 상기 UE에 의해 사용되는 제2 CK 및 제2 IK를 포함하는 제2 키 쌍을 더 포함하는,
    방법.
  44. 제43항에 있어서,
    상기 적어도 하나의 키 세트는 상기 온 디맨드 네트워크 내의 그룹 통신을 위해 상기 UE에 의해 사용되는 제3 CK 및 제3 IK를 포함하는 제3 키 세트를 더 포함하되, 상기 제3 키 세트는 그룹 특정적이고, 상기 적어도 하나의 키 세트는 상기 온 디맨드 네트워크 내의 제2 UE와 통신하기 위해 상기 UE에 의해 사용되는 제4 CK 및 제4 IK를 포함하는 제4 키 세트를 더 포함하는,
    방법.
  45. 제34항에 있어서,
    상기 적어도 하나의 키 세트를 리프레쉬하기 위한 리프레쉬 정보를 포함하는 키 리프레쉬 메시지를 상기 네트워크 개체에 의해 상기 UE에 송신하는 단계 - 상기 키 리프레쉬 메시지는 상기 제1 키 세트를 사용하여 암호화되고 무결성 체크되되, 상기 키 리프레쉬 메시지는 적어도 하나의 새로운 키 세트를 포함하거나, 상기 키 리프레쉬 메시지는 상기 UE가 상기 적어도 하나의 새로운 키 세트를 생성하기 위한 적어도 하나의 리프레쉬 파라미터를 포함함 - 와,
    상기 적어도 하나의 새로운 키 세트를 사용하여 상기 네트워크 개체에 의해 상기 UE와 통신하는 단계를 포함하는,
    방법.
  46. 제34항 내지 제45항 중 어느 한 항에 있어서,
    상기 키 정보를 송신하기 전에, 상기 액세스 크리덴셜에 대한 정보를 포함하는 인증 및 인가 요청을 상기 네트워크 개체에 의해 상기 UE로부터 수신하는 단계를 더 포함하되, 상기 인증 및 인가 요청은 상기 UE의 공개 키를 더 포함하고, 상기 적어도 하나의 키 세트에 대한 상기 키 정보는 상기 공개 키를 사용하여 상기 온 디맨드 네트워크에 의해 암호화되고, 상기 UE는 상기 UE의 개인 키를 사용하여 상기 적어도 하나의 키 세트에 대한 상기 키 정보를 복호하는,
    방법.
  47. 사용자 장비(User Equipment: UE)로서,
    적어도 하나의 프로세서(processor)와,
    프로그래밍(programming)을 저장하는 비일시적 컴퓨터 판독가능 저장 매체(non-transitory computer readable storage medium)를 포함하되, 상기 프로그래밍은, 상기 적어도 하나의 프로세서에 의해 실행되는 경우에 상기 UE로 하여금,
    액세스 크리덴셜 메시지를 수신 - 상기 액세스 크리덴셜 메시지는 상기 UE가 액세스할 온 디맨드 네트워크를 위한 액세스 크리덴셜을 나타내되, 상기 액세스 크리덴셜 메시지는 상기 액세스 크리덴셜의 제한된 수명을 또한 나타냄 - 하고,
    상기 액세스 크리덴셜에 대한 정보를 포함하는 인증 및 인가 요청을 상기 온 디맨드 네트워크에 송신하고,
    인증 및 인가 응답을 상기 온 디맨드 네트워크로부터 수신하고,
    상기 인증 및 인가 응답에 기반하여 상기 온 디맨드 네트워크와의 세션을 수립하게 하는 명령어를 포함하는,
    UE.
  48. 제47항에 있어서,
    상기 온 디맨드 네트워크는 상기 UE의 홈 운영자와는 상이한 운영자에 속하는,
    UE.
  49. 제47항에 있어서,
    상기 액세스 크리덴셜 메시지는 인증 및 인가를 수행하는 하나 이상의 개체를 나타내는 개체 정보를 더 포함하고, 상기 인증 및 인가 요청은 상기 개체 정보를 포함하는,
    UE.
  50. 제49항에 있어서,
    상기 하나 이상의 개체는 상기 온 디맨드 네트워크의 개체, 애플리케이션 서버, 제3자 개체 또는 상기 UE의 홈 네트워크의 개체 중 적어도 하나를 포함하되, 상기 애플리케이션 서버의 하나 이상의 서비스는 상기 온 디맨드 네트워크를 액세스하는 것을 통해 UE들에 의해 사용되는,
    UE.
  51. 제49항에 있어서,
    상기 개체 정보는 상기 인증을 처리하는 제1 개체 및 상기 인가를 처리하는 제2 개체를 나타내되, 상기 제2 개체는 상기 제1 개체와는 상이한,
    UE.
  52. 제47항에 있어서,
    상기 액세스 크리덴셜 메시지는 크리덴셜 타입 및 크리덴셜 소유자를 또한 나타내되, 상기 크리덴셜 소유자는 상기 온 디맨드 네트워크, 애플리케이션 서버, 제3자 개체 또는 상기 UE의 홈 네트워크 중 하나이되, 상기 애플리케이션 서버의 하나 이상의 서비스는 상기 온 디맨드 네트워크를 액세스하는 것을 통해 UE들에 의해 사용되는,
    UE.
  53. 제47항에 있어서,
    상기 UE는 상기 UE가 상기 UE의 홈 네트워크와 인증하는 것 또는 상기 UE가 애플리케이션 서버와 인증하는 것에 응답하여 상기 액세스 크리덴셜 메시지를 수신하고, 상기 UE는 상기 UE가 상기 온 디맨드 네트워크에 액세스하기 전 또는 동안에 상기 액세스 크리덴셜 메시지를 수신하되, 상기 애플리케이션 서버의 하나 이상의 서비스는 상기 온 디맨드 네트워크를 액세스하는 것을 통해 UE들에 의해 사용되는,
    UE.
  54. 제47항에 있어서,
    상기 UE는 상기 UE가 상기 온 디맨드 네트워크를 액세스하기 위해 상기 액세스 크리덴셜에 대한 상기 정보를 획득하기를 요청하는 것 없이 상기 UE의 홈 네트워크로부터 또는 애플리케이션 서버로부터 상기 액세스 크리덴셜 메시지를 수신하되, 상기 애플리케이션 서버의 하나 이상의 서비스는 상기 온 디맨드 네트워크를 액세스하는 것을 통해 UE들에 의해 사용되는,
    UE.
  55. 제47항에 있어서,
    상기 UE는 상기 UE가 상기 온 디맨드 네트워크를 액세스하기 위해 상기 액세스 크리덴셜에 대한 상기 정보를 획득하기를 요청하는 것으로써 상기 UE의 홈 네트워크로부터 또는 애플리케이션 서버로부터 상기 액세스 크리덴셜 메시지를 수신하되, 상기 애플리케이션 서버의 하나 이상의 서비스는 상기 온 디맨드 네트워크를 액세스하는 것을 통해 UE들에 의해 사용되는,
    UE.
  56. 제47항 내지 제55항 중 어느 한 항에 있어서,
    상기 액세스 크리덴셜에 대한 상기 정보는 상기 액세스 크리덴셜 또는 상기 액세스 크리덴셜의 식별자를 포함하는,
    UE.
  57. 사용자 장비(User Equipment: UE)로서,
    적어도 하나의 프로세서와,
    프로그래밍을 저장하는 비일시적 컴퓨터 판독가능 저장 매체를 포함하되, 상기 프로그래밍은, 상기 적어도 하나의 프로세서에 의해 실행되는 경우에 상기 UE로 하여금,
    온 디맨드 네트워크로부터 적어도 하나의 키 세트에 대한 키 정보를 수신 - 상기 적어도 하나의 키 세트는 상기 온 디맨드 네트워크를 액세스하기 위하여 상기 UE에 의해 사용되는 액세스 크리덴셜 및 상기 온 디맨드 네트워크의 정보에 기반하여 생성되고, 상기 적어도 하나의 키 세트는 제1 키 세트를 포함하고, 상기 제1 키 세트는 제1 암호 키(Cipher Key: CK) 및 제1 무결성 키(Integrity Key: IK)를 포함하는 제1 키 쌍을 포함함 - 하고,
    상기 제1 키 세트를 사용하여, 상기 온 디맨드 네트워크 및 상기 온 디맨드 네트워크 내의 다른 UE와 통신하게 하는 명령어를 포함하는,
    UE.
  58. 제57항에 있어서,
    상기 온 디맨드 네트워크는 상기 UE의 홈 운영자와는 상이한 운영자에 속하는,
    UE.
  59. 제57항에 있어서,
    상기 적어도 하나의 키 세트에 대한 상기 키 정보는 상기 적어도 하나의 키 세트를 포함하거나, 상기 적어도 하나의 키 세트에 대한 상기 키 정보는 상기 적어도 하나의 키 세트를 생성하기 위해 상기 UE에 의해 사용되는 적어도 하나의 파라미터를 포함하는,
    UE.
  60. 제59항에 있어서,
    상기 적어도 하나의 파라미터는 상기 UE가 새로운 프레쉬 키를 생성하기 위한 파라미터를 포함하되, 상기 파라미터는 논스로서 상기 온 디맨드 네트워크에 의해 생성된 난수를 포함하는,
    UE.
  61. 제60항에 있어서,
    상기 온 디맨드 네트워크, 상기 UE의 홈 네트워크, 또는 애플리케이션 서버에 의해 공개 키가 제공되되, 상기 애플리케이션 서버의 하나 이상의 서비스는 상기 온 디맨드 네트워크를 액세스하는 것을 통해 UE들에 의해 사용되는,
    UE.
  62. 제59항에 있어서,
    상기 적어도 하나의 파라미터는 상기 적어도 하나의 키 세트의 제한된 수명을 포함하고, 상기 제한된 수명은 시작 시간 또는 종료 시간 중 적어도 하나를 포함하는,
    UE.
  63. 제59항에 있어서,
    상기 UE는 리프레쉬 메시지를 수신하기 전에 상기 온 디맨드 네트워크에 리프레쉬 요청을 발신하는,
    UE.
  64. 제57항에 있어서,
    상기 키 정보는 상기 적어도 하나의 키 세트의 제한된 수명을 또한 나타내는,
    UE.
  65. 제64항에 있어서,
    상기 적어도 하나의 키 세트의 상기 제한된 수명은 시작 시간 또는 종료 시간 중 적어도 하나를 포함하는,
    UE.
  66. 제57항에 있어서,
    상기 제1 키 세트 내의 상기 제1 키 쌍은 상기 온 디맨드 네트워크의 제어 평면과 통신하기 위해 상기 UE에 의해 사용되되, 상기 제1 키 세트는 상기 온 디맨드 네트워크의 데이터 평면과 통신하기 위해 상기 UE에 의해 사용되는 제2 CK 및 제2 IK를 포함하는 제2 키 쌍을 더 포함하는,
    UE.
  67. 제66항에 있어서,
    상기 적어도 하나의 키 세트는 상기 온 디맨드 네트워크 내의 그룹 통신을 위해 상기 UE에 의해 사용되는 제3 CK 및 제3 IK를 포함하는 제3 키 세트를 더 포함하되, 상기 제3 키 세트는 그룹 특정적이고, 상기 적어도 하나의 키 세트는 상기 온 디맨드 네트워크 내의 제2 UE와 통신하기 위해 상기 UE에 의해 사용되는 제4 CK 및 제4 IK를 포함하는 제4 키 세트를 더 포함하는,
    UE.
  68. 제57항에 있어서,
    상기 프로그래밍은, 상기 UE로 하여금,
    상기 적어도 하나의 키 세트를 리프레쉬하기 위한 리프레쉬 정보를 포함하는 키 리프레쉬 메시지를 수신 - 상기 키 리프레쉬 메시지는 상기 제1 키 세트를 사용하여 암호화되고 무결성 체크되되, 상기 키 리프레쉬 메시지는 적어도 하나의 새로운 키 세트를 포함하거나, 상기 키 리프레쉬 메시지는 상기 UE가 상기 적어도 하나의 새로운 키 세트를 생성하기 위한 적어도 하나의 리프레쉬 파라미터를 포함함 - 와,
    상기 적어도 하나의 새로운 키 세트를 사용하여 상기 온 디맨드 네트워크와 통신하게 하는 명령어를 더 포함하는,
    UE.
  69. 제57항 내지 제68항 중 어느 한 항에 있어서,
    상기 프로그래밍은, 상기 UE로 하여금,
    상기 키 정보를 수신하기 전에, 상기 액세스 크리덴셜에 대한 정보를 포함하는 인증 및 인가 요청을 상기 온 디맨드 네트워크에 송신하게 하는 명령어를 더 포함하되, 상기 인증 및 인가 요청은 상기 UE의 공개 키를 더 포함하고, 상기 적어도 하나의 키 세트에 대한 상기 키 정보는 상기 공개 키를 사용하여 상기 온 디맨드 네트워크에 의해 암호화되고, 상기 UE는 상기 UE의 개인 키를 사용하여 상기 적어도 하나의 키 세트에 대한 상기 키 정보를 복호하는,
    UE.
  70. 네트워크 개체로서,
    적어도 하나의 프로세서와,
    프로그래밍을 저장하는 비일시적 컴퓨터 판독가능 저장 매체를 포함하되, 상기 프로그래밍은, 상기 적어도 하나의 프로세서에 의해 실행되는 경우에 상기 네트워크 개체로 하여금,
    액세스 크리덴셜에 대한 정보를 포함하는 인증 및 인가 요청을 온 디맨드 네트워크의 상기 네트워크 개체에 의해 사용자 장비(User Equipment: UE)로부터 수신 - 상기 UE는 상기 UE가 액세스할 상기 온 디맨드 네트워크를 위한 상기 액세스 크리덴셜을 나타내는 액세스 크리덴셜 메시지를 수신하되, 상기 액세스 크리덴셜 메시지는 상기 액세스 크리덴셜의 제한된 수명을 또한 나타냄 - 하고,
    상기 UE에 인증 및 인가 응답을 송신하고,
    상기 인증 및 인가 응답에 기반하여 상기 UE와의 세션을 수립하게 하는 명령어를 포함하는,
    네트워크 개체.
  71. 제70항에 있어서,
    상기 온 디맨드 네트워크는 상기 UE의 홈 운영자와는 상이한 운영자에 속하는,
    네트워크 개체.
  72. 제70항에 있어서,
    상기 액세스 크리덴셜 메시지는 인증 및 인가를 수행하는 하나 이상의 개체를 나타내는 개체 정보를 더 포함하고, 상기 인증 및 인가 요청은 상기 개체 정보를 포함하는,
    네트워크 개체.
  73. 제72항에 있어서,
    상기 하나 이상의 개체는 상기 온 디맨드 네트워크의 상기 네트워크 개체, 애플리케이션 서버, 제3자 개체 또는 상기 UE의 홈 네트워크의 개체 중 적어도 하나를 포함하되, 상기 애플리케이션 서버의 하나 이상의 서비스는 상기 온 디맨드 네트워크를 액세스하는 것을 통해 UE들에 의해 사용되는,
    네트워크 개체.
  74. 제72항에 있어서,
    상기 개체 정보는 상기 인증을 처리하는 제1 개체 및 상기 인가를 처리하는 제2 개체를 나타내되, 상기 제2 개체는 상기 제1 개체와는 상이한,
    네트워크 개체.
  75. 제70항에 있어서,
    상기 액세스 크리덴셜 메시지는 크리덴셜 타입 및 크리덴셜 소유자를 또한 나타내되, 상기 크리덴셜 소유자는 상기 온 디맨드 네트워크, 애플리케이션 서버, 제3자 개체 또는 상기 UE의 홈 네트워크 중 하나이되, 상기 애플리케이션 서버의 하나 이상의 서비스는 상기 온 디맨드 네트워크를 액세스하는 것을 통해 UE들에 의해 사용되는,
    네트워크 개체.
  76. 제70항에 있어서,
    상기 UE는 상기 UE가 상기 UE의 홈 네트워크와 인증하는 것 또는 상기 UE가 애플리케이션 서버와 인증하는 것에 응답하여 상기 액세스 크리덴셜 메시지를 수신하고, 상기 UE는 상기 UE가 상기 온 디맨드 네트워크에 액세스하기 전 또는 동안에 상기 액세스 크리덴셜 메시지를 수신하되, 상기 애플리케이션 서버의 하나 이상의 서비스는 상기 온 디맨드 네트워크를 액세스하는 것을 통해 UE들에 의해 사용되는,
    네트워크 개체.
  77. 제70항에 있어서,
    상기 UE는 상기 UE가 상기 온 디맨드 네트워크를 액세스하기 위해 상기 액세스 크리덴셜에 대한 상기 정보를 획득하기를 요청하는 것 없이 상기 UE의 홈 네트워크로부터 또는 애플리케이션 서버로부터 상기 액세스 크리덴셜 메시지를 수신하되, 상기 애플리케이션 서버의 하나 이상의 서비스는 상기 온 디맨드 네트워크를 액세스하는 것을 통해 UE들에 의해 사용되는,
    네트워크 개체.
  78. 제70항에 있어서,
    상기 UE는 상기 UE가 상기 온 디맨드 네트워크를 액세스하기 위해 상기 액세스 크리덴셜에 대한 상기 정보를 획득하기를 요청하는 것으로써 상기 UE의 홈 네트워크로부터 또는 애플리케이션 서버로부터 상기 액세스 크리덴셜 메시지를 수신하되, 상기 애플리케이션 서버의 하나 이상의 서비스는 상기 온 디맨드 네트워크를 액세스하는 것을 통해 UE들에 의해 사용되는,
    네트워크 개체.
  79. 제70항 내지 제78항 중 어느 한 항에 있어서,
    상기 액세스 크리덴셜에 대한 상기 정보는 상기 액세스 크리덴셜 또는 상기 액세스 크리덴셜의 식별자를 포함하는,
    네트워크 개체.
  80. 네트워크 개체로서,
    적어도 하나의 프로세서와,
    프로그래밍을 저장하는 비일시적 컴퓨터 판독가능 저장 매체를 포함하되, 상기 프로그래밍은, 상기 적어도 하나의 프로세서에 의해 실행되는 경우에 상기 네트워크 개체로 하여금,
    온 디맨드 네트워크의 상기 네트워크 개체에 의해 사용자 장비(User Equipment: UE)에 적어도 하나의 키 세트에 대한 키 정보를 송신 - 상기 적어도 하나의 키 세트는 상기 온 디맨드 네트워크를 액세스하기 위하여 상기 UE에 의해 사용되는 액세스 크리덴셜 및 상기 온 디맨드 네트워크의 정보에 기반하여 생성되고, 상기 적어도 하나의 키 세트는 제1 키 세트를 포함하고, 상기 제1 키 세트는 제1 암호 키(Cipher Key: CK) 및 제1 무결성 키(Integrity Key: IK)를 포함하는 제1 키 쌍을 포함함 - 하고,
    상기 제1 키 세트를 사용하여 상기 UE와 통신하게 하는 명령어를 포함하는,
    네트워크 개체.
  81. 제80항에 있어서,
    상기 온 디맨드 네트워크는 상기 UE의 홈 운영자와는 상이한 운영자에 속하는,
    네트워크 개체.
  82. 제80항에 있어서,
    상기 적어도 하나의 키 세트에 대한 상기 키 정보는 상기 적어도 하나의 키 세트를 포함하거나, 상기 적어도 하나의 키 세트에 대한 상기 키 정보는 상기 적어도 하나의 키 세트를 생성하기 위해 상기 UE에 의해 사용되는 적어도 하나의 파라미터를 포함하는,
    네트워크 개체.
  83. 제82항에 있어서,
    상기 적어도 하나의 파라미터는 상기 UE가 새로운 프레쉬 키를 생성하기 위한 파라미터를 포함하되, 상기 파라미터는 논스로서 상기 온 디맨드 네트워크에 의해 생성된 난수를 포함하는,
    네트워크 개체.
  84. 제83항에 있어서,
    상기 온 디맨드 네트워크, 상기 UE의 홈 네트워크, 또는 애플리케이션 서버에 의해 공개 키가 제공되되, 상기 애플리케이션 서버의 하나 이상의 서비스는 상기 온 디맨드 네트워크를 액세스하는 것을 통해 UE들에 의해 사용되는,
    네트워크 개체.
  85. 제82항에 있어서,
    상기 적어도 하나의 파라미터는 상기 적어도 하나의 키 세트의 제한된 수명을 포함하고, 상기 제한된 수명은 시작 시간 또는 종료 시간 중 적어도 하나를 포함하는,
    네트워크 개체.
  86. 제82항에 있어서,
    상기 UE는 리프레쉬 메시지를 수신하기 전에 상기 온 디맨드 네트워크에 리프레쉬 요청을 발신하는,
    네트워크 개체.
  87. 제80항에 있어서,
    상기 키 정보는 상기 적어도 하나의 키 세트의 제한된 수명을 또한 나타내는,
    네트워크 개체.
  88. 제87항에 있어서,
    상기 적어도 하나의 키 세트의 상기 제한된 수명은 시작 시간 또는 종료 시간 중 적어도 하나를 포함하는,
    네트워크 개체.
  89. 제80항에 있어서,
    상기 제1 키 세트 내의 상기 제1 키 쌍은 상기 온 디맨드 네트워크의 제어 평면과 통신하기 위해 상기 UE에 의해 사용되되, 상기 제1 키 세트는 상기 온 디맨드 네트워크의 데이터 평면과 통신하기 위해 상기 UE에 의해 사용되는 제2 CK 및 제2 IK를 포함하는 제2 키 쌍을 더 포함하는,
    네트워크 개체.
  90. 제89항에 있어서,
    상기 적어도 하나의 키 세트는 상기 온 디맨드 네트워크 내의 그룹 통신을 위해 상기 UE에 의해 사용되는 제3 CK 및 제3 IK를 포함하는 제3 키 세트를 더 포함하되, 상기 제3 키 세트는 그룹 특정적이고, 상기 적어도 하나의 키 세트는 상기 온 디맨드 네트워크 내의 제2 UE와 통신하기 위해 상기 UE에 의해 사용되는 제4 CK 및 제4 IK를 포함하는 제4 키 세트를 더 포함하는,
    네트워크 개체.
  91. 제80항에 있어서,
    상기 프로그래밍은, 상기 네트워크 개체로 하여금,
    상기 적어도 하나의 키 세트를 리프레쉬하기 위한 리프레쉬 정보를 포함하는 키 리프레쉬 메시지를 상기 UE에 송신 - 상기 키 리프레쉬 메시지는 상기 제1 키 세트를 사용하여 암호화되고 무결성 체크되되, 상기 키 리프레쉬 메시지는 적어도 하나의 새로운 키 세트를 포함하거나, 상기 키 리프레쉬 메시지는 상기 UE가 상기 적어도 하나의 새로운 키 세트를 생성하기 위한 적어도 하나의 리프레쉬 파라미터를 포함함 - 하고,
    상기 적어도 하나의 새로운 키 세트를 사용하여 상기 UE와 통신하게 하는 명령어를 더 포함하는,
    네트워크 개체.
  92. 제80항 내지 제91항 중 어느 한 항에 있어서,
    상기 프로그래밍은, 상기 네트워크 개체로 하여금,
    상기 키 정보를 송신하기 전에, 상기 액세스 크리덴셜에 대한 정보를 포함하는 인증 및 인가 요청을 상기 UE로부터 수신하게 하는 명령어를 더 포함하되, 상기 인증 및 인가 요청은 상기 UE의 공개 키를 더 포함하고, 상기 적어도 하나의 키 세트에 대한 상기 키 정보는 상기 공개 키를 사용하여 상기 온 디맨드 네트워크에 의해 암호화되고, 상기 UE는 상기 UE의 개인 키를 사용하여 상기 적어도 하나의 키 세트에 대한 상기 키 정보를 복호하는,
    네트워크 개체.
KR1020237040643A 2021-05-07 2022-04-28 온 디맨드 네트워크에서의 프로비저닝, 인증, 인가, 그리고 사용자 장비(ue) 키 생성 및 분배를 위한 방법 및 장치 KR20230172603A (ko)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US202163185826P 2021-05-07 2021-05-07
US202163185837P 2021-05-07 2021-05-07
US63/185,837 2021-05-07
US63/185,826 2021-05-07
PCT/US2022/026675 WO2022147582A2 (en) 2021-05-07 2022-04-28 Methods and apparatus for provisioning, authentication, authorization, and user equipment (ue) key generation and distribution in an on-demand network

Publications (1)

Publication Number Publication Date
KR20230172603A true KR20230172603A (ko) 2023-12-22

Family

ID=81841844

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020237040643A KR20230172603A (ko) 2021-05-07 2022-04-28 온 디맨드 네트워크에서의 프로비저닝, 인증, 인가, 그리고 사용자 장비(ue) 키 생성 및 분배를 위한 방법 및 장치

Country Status (4)

Country Link
US (1) US20240080316A1 (ko)
EP (1) EP4327505A2 (ko)
KR (1) KR20230172603A (ko)
WO (1) WO2022147582A2 (ko)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117500094A (zh) * 2022-07-25 2024-02-02 维沃移动通信有限公司 信息查询方法、装置、终端及网络侧设备
CN118042452A (zh) * 2022-11-04 2024-05-14 维沃移动通信有限公司 操作执行方法、装置、终端及网络功能

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8683562B2 (en) * 2011-02-03 2014-03-25 Imprivata, Inc. Secure authentication using one-time passwords
EP3105888B1 (en) * 2014-02-14 2020-05-06 Intertrust Technologies Corporation Network security systems and methods
EP3935609A4 (en) * 2019-03-08 2022-12-07 Master Lock Company LLC SYSTEMS AND METHODS FOR DYNAMIC ACCESS CREDENTIALS DISTRIBUTION FOR LOCKING SYSTEMS

Also Published As

Publication number Publication date
WO2022147582A2 (en) 2022-07-07
EP4327505A2 (en) 2024-02-28
WO2022147582A3 (en) 2022-09-15
US20240080316A1 (en) 2024-03-07

Similar Documents

Publication Publication Date Title
CN108781366B (zh) 用于5g技术的认证机制
US10943005B2 (en) Secure authentication of devices for internet of things
US10887295B2 (en) System and method for massive IoT group authentication
US9240881B2 (en) Secure communications for computing devices utilizing proximity services
CN110049492B (zh) 通信方法、核心网网元、终端设备及存储介质
US11856402B2 (en) Identity-based message integrity protection and verification for wireless communication
US11375367B2 (en) System and method for deriving a profile for a target endpoint device
US10694376B2 (en) Network authentication method, network device, terminal device, and storage medium
CN101931955B (zh) 认证方法、装置及系统
CN108012264B (zh) 用于802.1x载体热点和Wi-Fi呼叫认证的基于经加密的IMSI的方案
US11109206B2 (en) Security method and system for supporting discovery and communication between proximity based service terminals in mobile communication system environment
US11582233B2 (en) Secure authentication of devices for Internet of Things
EP3152937B1 (en) System and method for wireless network access protection and security architecture
CN110612729A (zh) 锚密钥生成方法、设备以及系统
US20240080316A1 (en) Methods and apparatus for provisioning, authentication, authorization, and user equipment (ue) key generation and distribution in an on-demand network
CN109788480B (zh) 一种通信方法及装置
EP3665886A1 (en) Method and apparatus for attach procedure with security key exchange for restricted services for unauthenticated user equipment
JP2024522056A (ja) オンデマンドネットワークにおけるプロビジョニング、認証、認可、ならびにユーザ機器(ue)鍵生成および配布のための方法および装置
CN117203935A (zh) 用于在按需网络中进行设置、认证、授权和用户设备(ue)密钥生成和分发的方法和装置
RU2779029C1 (ru) Доступ не отвечающего спецификациям 3gpp устройства к базовой сети

Legal Events

Date Code Title Description
A201 Request for examination