KR102610951B1 - 다수의 접속성 및 서비스 컨텍스트들을 지원하기 위하여 보안성 모델을 이용하는 무선 통신을 위한 방법들 및 장치 - Google Patents

다수의 접속성 및 서비스 컨텍스트들을 지원하기 위하여 보안성 모델을 이용하는 무선 통신을 위한 방법들 및 장치 Download PDF

Info

Publication number
KR102610951B1
KR102610951B1 KR1020187013667A KR20187013667A KR102610951B1 KR 102610951 B1 KR102610951 B1 KR 102610951B1 KR 1020187013667 A KR1020187013667 A KR 1020187013667A KR 20187013667 A KR20187013667 A KR 20187013667A KR 102610951 B1 KR102610951 B1 KR 102610951B1
Authority
KR
South Korea
Prior art keywords
service
network
context
client device
connectivity
Prior art date
Application number
KR1020187013667A
Other languages
English (en)
Other versions
KR20180084785A (ko
Inventor
수범 이
스테파노 파킨
개빈 버나드 호른
존 나시엘스키
레네그 쥬느비에브 샤뽀니에르
Original Assignee
퀄컴 인코포레이티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 퀄컴 인코포레이티드 filed Critical 퀄컴 인코포레이티드
Publication of KR20180084785A publication Critical patent/KR20180084785A/ko
Application granted granted Critical
Publication of KR102610951B1 publication Critical patent/KR102610951B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • H04W76/15Setup of multiple wireless link connections
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/02Data link layer protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/71Hardware identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/72Subscriber identity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)
  • Telephone Function (AREA)

Abstract

본 개시물의 양태들은 네트워크 접속을 확립하기 위하여 단일 접속성 컨텍스트를 공유하면서, 다수의 접속성 및 서비스 컨텍스트들을 가능하게 하기 위한 보안성 모델을 제공한다. 컨텍스트 (예컨대, 접속성 컨텍스트, 서비스 컨텍스트, 보안성 컨텍스트) 는 2 개 이상의 엔티티들 사이에서 확립된 접속성, 서비스, 또는 보안성을 설명하는 정보의 세트이다. 접속성 컨텍스트 및 서비스 컨텍스트는 상이한 네트워크 노드들 또는 엔티티들에서 확립될 수도 있다. 개시물의 하나의 양태에서, 접속성 컨텍스트는 진화형 패킷 시스템 (EPS) 이동성 관리 (EMM) 컨텍스트, 또는 양자의 EMM 컨텍스트 및 EPS 세션 관리 (ESM) 컨텍스트를 포함한다.

Description

다수의 접속성 및 서비스 컨텍스트들을 지원하기 위하여 보안성 모델을 이용하는 무선 통신을 위한 방법들 및 장치
관련된 출원들에 대한 상호-참조
이 출원은 그 전체 내용들이 그 전체적으로 그리고 모든 적용가능한 목적들을 위하여 이하에서 완전히 기재된 바와 같이 참조로 본원에 편입되는, 2015 년 11 월 17 일자로 미국 특허상표청에 출원된 가출원 제 62/256,472 호, 및 2016 년 2 월 19 일자로 미국 특허상표청에 출원된 정규 출원 제 15/048,044 호의 우선권 및 이익을 주장한다.
기술 분야
이하에서 논의된 기술은 일반적으로 무선 통신 시스템들에 관한 것으로, 더 상세하게는, 다수의 접속성 및 서비스 컨텍스트 (context) 들을 지원하기 위한 보안성 모델 (security model) 에 관한 것이다.
현재의 무선 시스템들은 전형적으로 패킷 교환된 도메인에서 동작한다. 무선 시스템들의 일부 예들은 LTE (Long Term Evolution; 롱텀 에볼루션), LTE-A (LTE-Advance; LTE-어드밴스), 및 WLAN (wireless local access networks; 무선 로컬 액세스 네트워크들) 이다. 이러한 무선 시스템들은 전형적으로, 사용자 디바이스와 네트워크의 접속성 관리 부분 사이의 단일 접속성 컨텍스트를 이용함으로써 오직 단일 가입 및/또는 단일 크리덴셜 (credential) 을 지원한다. LTE 예에서, 단일 비-액세스 계층 (non-access stratum; NAS) 컨텍스트는 사용자 장비 (user equipment; UE) (사용자 디바이스) 와 이동성 관리 엔티티 (mobility management entity; MME) 사이에서 이용될 수도 있다. LTE 에서, NAS 는 LTE 액세스를 위하여 UE 와 MME 사이에서 비-라디오 관련된 시그널링을 전달하기 위하여 이용된 프로토콜들의 세트이다. 접속성 컨텍스트는 일반적으로, 2 개의 엔티티들 (예컨대, 사용자 디바이스-투-네트워크 (user device-to-network) 엔티티 또는 네트워크-투-엔티티-네트워크 (network-to-entity-network) 엔티티) 사이의 접속과 연관되거나 이러한 접속을 정의하는 정보를 지칭한다.
관련된 기술에서, 사용자 디바이스 (예컨대, 이동 디바이스 또는 UE) 는 일반적으로, 식별 정보 및 그 SIM 카드에 고유한 키를 포함하는 가입자 아이덴티티 모듈 (subscriber identity module; SIM) 카드를 포함한다. 네트워크 운영자에 의해 제공된 서비스로의 가입을 이용하는 사용자 디바이스는 SIM 카드 상에 저장된 식별 및 키 (또는 인증) 정보에 의해 네트워크와 라디오 링크 또는 접속성을 확립할 수 있다. 다시 말해서, 액세스 링크의 이용과 접속성 컨텍스트 사이에는 긴밀한 접속 (예컨대, 일-대-일 관계 (one-to-one relationship)) 이 있다. 액세스 링크들의 예들은 셀룰러 네트워크의 경우에, 사용자 평면 및 라디오 리소스 제어 (Radio Resource Control; RRC) 또는 미디어 액세스 제어 (Media Access Control; MAC) 시그널링 접속들을 포함한다. LTE 예에서, 라디오 링크를 확립하는 것은 EMM (진화형 패킷 시스템 (Evolved Packet System; EPS) 이동성 관리 (Mobility Management)) 컨텍스트 및 ESM (EPS 세션 관리 (Session Management)) 컨텍스트를 수반한다. 또한, UE 가 네트워크에 접속할 때, LTE 예에서, 이동성 관리 컨텍스트 (EMM 컨텍스트) 및 세션 관리 컨텍스트 (ESM 컨텍스트) 는 이동성 관리 엔티티 (mobility management entity; MME) 에서 생성된다. 양자의 EMM 컨텍스트 및 ESM 컨텍스트는 SIM 카드에서 저장된 단일 크리덴셜 (예컨대, SIM 크리덴셜) 과 연관된다. 크리덴셜은 MME 가 UE 가 요청된 접속성을 확립하기 위하여 인증될 수 있는지 아닌지 여부를 결정하는 것을 허용한다. 이 경우, MME 는 모든 이용가능한 서비스들에 대한 하나의 제공자와의 인증의 하나의 포인트를 제공한다. 한 쌍의 컨텍스트들과 SIM 크리덴셜 사이에는 일-대-일 연관성이 있다. 따라서, 한 쌍의 관련된 컨텍스트들이 SIM 크리덴셜에 긴밀하게 결합되는 것으로 말해질 수도 있다.
다음은 이러한 양태들의 기본적인 이해를 제공하기 위하여, 본 개시물의 하나 이상의 양태들의 간략화된 개요를 제시한다. 이 개요는 개시물의 모든 상상된 특징들의 철저한 개관은 아니고, 개시물의 모든 양태들의 핵심적인 또는 중요한 엘리먼트들을 식별하도록 의도된 것이 아니며, 개시물의 임의의 또는 모든 양태들의 범위를 묘사하도록 의도된 것도 아니다. 그 유일한 목적은 더 이후에 제시되는 더욱 상세한 설명에 대한 서두로서, 개시물의 하나 이상의 양태들의 일부의 개념들을 간략화된 형태로 제시하는 것이다.
본 개시물의 양태들은 다수의 접속성 및 서비스 컨텍스트들을 지원하기 위한 보안성 모델을 개시한다. 상이한 크리덴셜들은 접속성 컨텍스트 및 다수의 서비스 컨텍스트들을 확립하기 위하여 이용될 수 있다.
개시물의 하나의 양태는 무선 통신 네트워크에서 클라이언트 디바이스를 동작시키는 방법을 제공한다. 방법에 따르면, 클라이언트 디바이스는 제 1 크리덴셜에 기초하여 접속성 네트워크와 접속을 확립한다. 클라이언트 디바이스는 접속에 대응하는 접속성 컨텍스트를 확립한다. 클라이언트 디바이스는 접속성 네트워크와 연관된 하나 이상의 서비스 네트워크들을 식별한다. 클라이언트 디바이스는 확립된 접속을 사용하여 하나 이상의 서비스 네트워크들과 하나 이상의 서비스 접속들을 확립하고, 여기서, 하나 이상의 서비스 접속들은 개개의 제 2 크리덴셜들을 이용하여 확립된다. 클라이언트 디바이스는 서비스 접속들에 각각 대응하는 하나 이상의 서비스 컨텍스트들을 확립한다. 하나 이상의 서비스 컨텍스트들은 상이한 보안성 컨텍스트 (security context) 들을 각각 포함한다. 보안성 컨텍스트들의 각각은 양자가 동일한 제 2 크리덴셜에 대응하는 비-액세스 계층 (NAS) 보안성 컨텍스트 및 액세스 계층 (access stratum; AS) 보안성 컨텍스트를 포함한다.
개시물의 하나의 양태는 접속성 네트워크의 네트워크 노드를 동작시키는 방법을 제공한다. 방법에 따르면, 네트워크 노드는 접속성 크리덴셜에 기초하여 클라이언트 디바이스와 제 1 접속을 확립한다. 네트워크 노드는 제 1 접속에 대응하는 접속성 컨텍스트를 확립한다. 네트워크 노드는 클라이언트 디바이스로부터, 하나 이상의 서비스 네트워크들과 접속을 확립하기 위한 요청을 수신한다. 네트워크 노드는 네트워크 노드를 프록시 (proxy) 로서 사용하여, 각각 클라이언트 디바이스에 대하여 서비스 네트워크들과 복수의 제 2 접속들을 확립한다. 네트워크 노드는 호스트 이동성 관리 엔티티 (host mobility management entity; HMME) 를 포함한다.
개시물의 하나의 양태는 서비스 네트워크의 네트워크 노드를 동작시키는 방법을 제공한다. 방법에 따르면, 네트워크 노드는 클라이언트 디바이스로부터, 접속을 확립하기 위한 요청을 수신한다. 네트워크 노드는 접속성 네트워크의 네트워크 노드를 통해 클라이언트 디바이스와 접속을 확립한다. 접속성 네트워크의 네트워크 노드는 호스트 이동성 관리 엔티티 (HMME) 를 포함한다. 네트워크 노드는 접속에 대응하는 서비스 컨텍스트를 확립하고, 여기서, 서비스 컨텍스트는 보안성 컨텍스트와 연관된다.
개시물의 하나의 양태는 무선 통신 네트워크에서의 클라이언트 디바이스를 제공한다. 클라이언트 디바이스는 컴퓨터 실행가능 코드로 저장된 메모리, 접속성 네트워크와 통신하도록 구성된 통신 인터페이스, 및 메모리 및 통신 인터페이스에 동작가능하게 결합된 프로세서를 포함한다. 프로세서는 제 1 크리덴셜에 기초하여 접속성 네트워크와 접속을 확립하도록 컴퓨터 실행가능 코드에 의해 구성된다. 프로세서는 접속에 대응하는 접속성 컨텍스트를 확립하도록 추가로 구성된다. 프로세서는 접속성 네트워크와 연관된 하나 이상의 서비스 네트워크들을 식별하도록 추가로 구성된다. 프로세서는 확립된 접속을 사용하여 하나 이상의 서비스 네트워크들과 하나 이상의 서비스 접속들을 확립하도록 추가로 구성된다. 하나 이상의 서비스 접속들은 개개의 제 2 크리덴셜들을 이용하여 확립된다. 프로세서는 서비스 접속들에 각각 대응하는 하나 이상의 서비스 컨텍스트들을 확립하도록 추가로 구성된다. 하나 이상의 서비스 컨텍스트들은 상이한 보안성 컨텍스트들을 각각 포함한다. 보안성 컨텍스트들의 각각은 양자가 동일한 제 2 크리덴셜에 대응하는 비-액세스 계층 (NAS) 보안성 컨텍스트 및 액세스 계층 (AS) 보안성 컨텍스트를 포함한다.
개시물의 하나의 양태는 접속성 네트워크의 네트워크 노드를 제공한다. 네트워크 노드는 컴퓨터 실행가능 코드로 저장된 메모리, 클라이언트 디바이스와 통신하도록 구성된 통신 인터페이스, 및 메모리 및 통신 인터페이스에 동작가능하게 결합된 프로세서를 포함한다. 프로세서는 접속성 크리덴셜에 기초하여 클라이언트 디바이스와 제 1 접속을 확립하도록 컴퓨터 실행가능 코드에 의해 구성된다. 프로세서는 제 1 접속에 대응하는 접속성 컨텍스트를 확립하도록 추가로 구성된다. 프로세서는 클라이언트 디바이스로부터, 하나 이상의 서비스 네트워크들과 서비스 접속을 확립하기 위한 요청을 수신하도록 추가로 구성된다. 프로세서는 네트워크 노드를 프록시로서 사용하여, 각각 클라이언트 디바이스에 대하여 서비스 네트워크들과 복수의 제 2 접속들을 확립하도록 추가로 구성된다. 네트워크 노드는 호스트 이동성 관리 엔티티 (HMME) 를 포함한다.
개시물의 하나의 양태는 서비스 네트워크의 네트워크 노드를 제공한다. 네트워크 노드는 컴퓨터 실행가능 코드로 저장된 메모리, 클라이언트 디바이스와 통신하도록 구성된 통신 인터페이스, 및 메모리 및 통신 인터페이스에 동작가능하게 결합된 프로세서를 포함한다. 프로세서는 클라이언트 디바이스로부터, 접속을 확립하기 위한 요청을 수신하도록 실행가능 코드에 의해 구성된다. 프로세서는 접속성 네트워크의 네트워크 노드를 통해 클라이언트 디바이스와 접속을 확립하도록 추가로 구성된다. 접속성 네트워크의 네트워크 노드는 호스트 이동성 관리 엔티티 (HMME) 를 포함한다. 프로세서는 접속에 대응하는 서비스 컨텍스트를 확립하도록 추가로 구성되고, 여기서, 서비스 컨텍스트는 보안성 컨텍스트와 연관된다.
발명의 이러한 그리고 다른 양태들은 뒤따르는 상세한 설명의 검토 시에 더욱 완전하게 이해될 것이다. 본 발명의 다른 양태들, 특징들, 및 실시형태들은 동반된 도면들과 함께 본 발명의 특정 예시적인 실시형태들의 다음의 설명의 검토 시에 당해 분야의 당업자들에게 명백해질 것이다. 본 발명의 특징들은 이하의 어떤 실시형태들 및 도면들에 관하여 논의될 수도 있지만, 본 발명의 모든 실시형태들은 본원에서 논의된 유리한 특징들 중의 하나 이상을 포함할 수 있다. 다시 말해서, 하나 이상의 실시형태들은 어떤 유리한 특징들을 가지는 것으로서 논의될 수도 있지만, 이러한 특징들 중의 하나 이상은 또한, 본원에서 논의된 발명의 다양한 실시형태들에 따라 이용될 수도 있다. 유사한 방식으로, 예시적인 실시형태들은 디바이스, 시스템, 또는 방법 실시형태들로서 이하에서 논의될 수도 있지만, 이러한 예시적인 실시형태들은 다양한 디바이스들, 시스템들, 및 방법들에서 구현될 수 있다는 것을 이해해야 한다.
도 1 은 개시물의 양태에 따라, 상이한 서비스 컨텍스트들과 연관된 다수의 서비스 접속들을 지원하는, 클라이언트 디바이스와 라디오 액세스 네트워크 (radio assess network; RAN) 사이의 단일 라디오 링크를 예시하는 도면이다.
도 2 는 개시물의 양태에 따라, 다수의 동시 서비스 컨텍스트들을 지원하기 위하여 단일 라디오 링크를 이용하도록 구성된 예시적인 클라이언트 디바이스를 예시한다.
도 3 은 개시물의 양태에 따라, 다수의 서비스 컨텍스트들의 동시 동작을 지원하면서 단일 라디오 링크 상에서 동작할 시에 클라이언트 디바이스를 지원하도록 구성된 호스트 이동성 관리 엔티티 (HMME) 및/또는 서비스 관리 엔티티 (service management entity; SME) 를 구현하는 예시적인 네트워크 노드를 예시한다.
도 4 는 개시물의 양태에 따라, HMME 제어 평면 모델의 제 1 예를 예시하는 도면이다.
도 5 는 개시물의 양태에 따라, HMME 제어 평면 모델의 제 2 예를 예시하는 도면이다.
도 6 은 개시물의 양태에 따라, HMME 제어 평면 모델의 제 3 예를 예시하는 도면이다.
도 7 및 도 8 은 개시물의 양태에 따라, 복수의 별도의 서비스 컨텍스트들을 확립하기 위하여 단일 접속성 컨텍스트를 이용하여 클라이언트 디바이스와 네트워크 사이에서 수행된 제 1 시그널링 프로세스를 예시하는 호출 흐름도이다.
도 9 는 개시물의 양태에 따라, 캡슐화된 비-액세스 계층 (NAS) 메시지를 예시하는 도면이다.
도 10 및 도 11 은 개시물의 양태에 따라, 복수의 별도의 서비스 컨텍스트들을 확립하기 위하여 단일 접속성 컨텍스트를 이용하여 클라이언트 디바이스와 네트워크 사이에서 수행된 제 2 시그널링 프로세스를 예시하는 호출 흐름도이다.
도 12 는 HMME 를 프록시로서 이용하는 eNB 와 SME 사이의 S1AP (S1 애플리케이션 프로토콜) 의 예를 예시하는 도면이다.
도 13 은 HMME 를 통한 보안 터널 (secure tunnel) 을 이용하는 eNB 와 SME 사이의 S1AP 통신의 예를 예시하는 도면이다.
도 14 는 개시물의 양태에 따라, 확장된 사용자-평면 보안성을 갖는 HMME 제어 평면 모델의 예를 예시하는 도면이다.
도 15 는 개시물의 양태에 따라, HMME 데이터 평면 모델의 제 1 예를 예시하는 도면이다.
도 16 은 개시물의 양태에 따라, HMME 데이터 평면 모델의 제 2 예를 예시하는 도면이다.
도 17 은 개시물의 양태에 따라, HMME 데이터 평면 모델의 제 3 예를 예시하는 도면이다.
도 18 은 개시물의 양태에 따라, 사용자 평면 보안성 종결의 예를 예시하는 도면이다.
도 19 및 도 20 은 개시물의 양태에 따라, 단일 접속성을 사용하여 다수의 서비스 컨텍스트들을 확립하기 위하여 클라이언트 디바이스에서 동작가능한 예시적인 방법을 예시하는 플로우차트이다.
도 21 및 도 22 는 개시물의 양태에 따라, 다수의 서비스 네트워크들을 지원하기 위한 클라이언트와 단일 접속을 확립하기 위하여 접속성 네트워크의 네트워크 노드에서 동작가능한 예시적인 방법을 예시하는 플로우차트이다.
도 23 은 개시물의 양태에 따라, 접속성 네트워크와의 단일 접속을 이용하여 클라이언트 디바이스와 보안성 컨텍스트들을 확립하기 위하여 서비스 네트워크의 네트워크 노드에서 동작가능한 예시적인 방법을 예시하는 플로우차트이다.
첨부된 도면들과 함께 이하에서 기재된 상세한 설명은 다양한 구성들의 설명으로서 의도되고, 본원에서 설명된 개념들이 실시될 수도 있는 유일한 구성들을 나타내도록 의도된 것이 아니다. 상세한 설명은 다양한 개념들의 철저한 이해를 제공하는 목적을 위한 특정한 세부사항들을 포함한다. 그러나, 이 개념들은 이 특정한 세부사항들 없이 실시될 수도 있는 것이 당해 분야의 당업자들에게 명백할 것이다. 일부 사례들에서는, 이러한 개념들을 모호하게 하는 것을 회피하기 위하여, 잘 알려진 구조들 및 컴포넌트들이 블록도 형태로 도시되어 있다.
본 개시물의 양태들은 네트워크 접속을 확립하기 위하여 단일 접속성 컨텍스트를 공유하면서, 다수의 접속성 및 서비스 컨텍스트들을 가능하게 하기 위한 보안성 모델을 제공한다. 네트워크 접속은 다수의 별개의 서비스 컨텍스트들 및 보안성 컨텍스트들을 이용하는 다수의 서비스 접속들을 지원할 수도 있는 단일 라디오 또는 무선 링크를 포함할 수도 있다. 단일 라디오 또는 무선 링크는 단일 접속성 컨텍스트에 대응하는 하나 이상의 무선 채널들, 주파수들, 또는 캐리어들을 포함할 수도 있다. 일반적으로, 컨텍스트 (예컨대, 접속성 컨텍스트, 서비스 컨텍스트, 보안성 컨텍스트) 는 2 개 이상의 엔티티들 사이에서 확립된 접속성, 서비스, 또는 보안성을 설명하는 정보의 세트이다. 개시물의 하나의 양태에서, 접속성 컨텍스트는 진화형 패킷 시스템 (EPS) 이동성 관리 (EMM) 컨텍스트, 또는 양자의 EMM 컨텍스트 및 EPS 세션 관리 (ESM) 컨텍스트를 포함한다.
개시물의 하나의 양태에서, 라디오 리소스 제어 (RRC) 링크 또는 미디어 액세스 제어 (MAC) 링크는 단일 접속성 컨텍스트 (예컨대, EMM 컨텍스트) 에 기초하여 클라이언트 디바이스 (예컨대, UE) 와 라디오 액세스 네트워크 (RAN) 사이에서 확립될 수도 있다. 하나의 예에서, RAN 은 셀룰러 RAN, 또는 Wi-Fi 액세스 포인트들로 구성된 라디오 네트워크, 또는 셀룰러 및 Wi-Fi 라디오의 조합일 수도 있다. 또 다른 예에서, RAN 은 허가 및/또는 비허가 스펙트럼에서 동작하고 공통 라디오 리소스 제어 (RRC) 또는 미디어 액세스 제어 (MAC) 메커니즘에 의해 제어되는 하나 이상의 라디오 액세스 노드들을 가질 수도 있다. 다양한 예들에서, RRC 는 셀룰러 RRC, 셀룰러 RRM (radio resource management; 라디오 리소스 관리), 미디어 액세스 제어 (MAC), 또는 더 높은 계층 시그널링 및 사용자 데이터의 전송을 위한 라디오 리소스들의 확립을 포함하는, 하나 이상의 링크들 상에서의 라디오 리소스들에 대한 액세스를 제어하기 위한 임의의 다른 시그널링 메커니즘을 포함할 수도 있다.
단일 접속성 컨텍스트 (예컨대, EMM 컨텍스트) 가 확립된 후, 클라이언트 디바이스는 단일 링크 상에서 동시 또는 공존 서비스 접속들을 확립하기 위하여 상이한 보안성 컨텍스트들에 의해 보호된 다수의 상이한 서비스 컨텍스트들을 이용할 수도 있다. 하나의 예에서, 서비스 컨텍스트는 ESM 컨텍스트를 포함한다. 이러한 방식으로, 공유된 단일 접속성 컨텍스트는 더 낮은 레벨의 라디오 링크 접속성을 위하여 이용되는 반면, 2 개 이상의 서비스 컨텍스트들은 예를 들어, 서비스 제공자들과 라디오 링크 상에서 서비스 접속들을 확립하기 위하여 이용된다. 개시물의 양태들은 RAN 으로의 단일 링크 또는 접속을 공유하면서, 서비스 접속들을 보호하기 위한 보안성 모델을 제공한다.
다수의 서비스 접속들을 지원하는 단일 접속성 접속
도 1 은 상이한 서비스 컨텍스트들 (108, 110, 및 112) 과 연관된 다수의 서비스 접속들 (114, 116, 118) 을 지원하면서 클라이언트 디바이스 (102) 를 2 개 이상의 서비스 제공자들 (104) 또는 제공 기능성 (provisioning functionality) 들 (104 및 106) 에 결합하도록 역할을 할 수도 있는, 클라이언트 디바이스 (102) (예컨대, UE) 와 라디오 액세스 네트워크 (RAN) (120) 사이의 단일 라디오 링크 (101) 를 예시한다. 이 특정한 예에서, 클라이언트 디바이스 (102) 에서 구현된 단일 접속성 컨텍스트 (122) 는 RAN (120) 과 라디오 링크 (101) 를 확립하기 위하여 사용될 수도 있다. 라디오 링크 (101) 는 상이한 서비스 컨텍스트들 (108, 110, 및 112) 과 연관된 다수의 동시 접속들에 의해 공유될 수도 있다. 단일 접속성 컨텍스트 (예컨대, EMM 컨텍스트 또는 EMM/ESM 컨텍스트) 는 보안성, 베어러 (bearer) 관리 및 데이터 접속 관리를 위한 시그널링, 페이징, 이동성 등을 제공하는 네트워크 호스트 이동성 관리 엔티티 (124) (HMME) 와 접속을 확립하기 위하여 이용된다. 단일 접속성 컨텍스트 (122) 의 이용은 동일한 라디오 링크 (101) 상에서의 대응하는 서비스 접속들 (114, 116, 및 118) 을 가지는 다수의 동시 또는 공존 서비스 컨텍스트들 (108, 110, 112) 의 이용을 용이하게 한다. 서비스 접속들의 각각은 (예컨대, 도 4 내지 도 6, 및 도 14 내지 도 18 에서 도시된) 상이한 보안성 컨텍스트들로 보호될 수도 있다. 하나의 예에서, 클라이언트 디바이스 (102) 가 3 개의 타입들의 가입들 (예컨대, 3 개의 서비스 컨텍스트들) 을 가질 경우, 이것은 3 개의 동시 서비스 접속들 (114, 116, 및 118): 클라이언트 디바이스 (102) 와 RAN (120) 사이의 단일 (동일한) 라디오 링크 (101) 상에서의 각각의 가입 및/또는 서비스 컨텍스트 (108, 110, 및 112) 에 대한 하나를 확립하기 위한 능력을 가능하게 할 수도 있다. 단일 라디오 링크는 하나 이상의 라디오 베어러들을 포함할 수도 있다. 동시 서비스 접속들 (114, 116, 및/또는 118) 중의 임의의 하나 이상은 임의의 소정의 시간에 아이들 (idle) 또는 활성 (active) 일 수도 있다.
호스트 MME (124) (HMME) 는 RAN (120) 에 논리적으로 근접하게 구현될 수도 있고, 접속성 컨텍스트들 (예컨대, EMM 컨텍스트 또는 EMM/ESM 컨텍스트) 의 확립을 관리하고 공유된 접속성 컨텍스트 (122) 에 기초하여 라디오 링크 (101) 를 확립하도록 역할을 한다. 호스트 MME (124) 는 접속성 컨텍스트를 확립하기 위하여 클라이언트 디바이스 (102) 를 인증하도록 역할을 할 수도 있다. 예를 들어, 호스트 MME (124) 는 클라이언트 디바이스 (102) 에 대한 이동성 및/또는 보안성을 제어하기 위하여, 클라이언트 디바이스 (102) 와 제어 평면 상에서 비-액세스 계층 (NAS) EPS 이동성 관리 (EMM) 를 수행할 수도 있다. 호스트 MME (124) 는 또한, 서비스 접속들 (114, 116, 118) 을 지원하거나 구성하기 위하여, 클라이언트 디바이스 (102) 와 제어 평면 상에서 비-액세스 계층 (NAS) EPS 세션 관리 (ESM) 를 수행할 수도 있다. 호스트 MME (124) 는 클라이언트 디바이스 (102) 와 연관된 크리덴셜들 및 가입 정보에 기초하여, 접속성 컨텍스트 (122) 가 확립되어야 하는지 여부를 확인하기 위하여, 홈 인가, 인증, 및 과금 (home authorization, authentication, and accounting; H-AAA) 서버 (144) 와 클라이언트 디바이스 (102) 를 인증할 수도 있다. 예를 들어, 클라이언트 디바이스 (102) 는 크리덴셜들 및 가입 정보를 저장하기 위한 SIM 카드를 가질 수도 있다. 결과적으로, 접속성 컨텍스트 (122) 는 클라이언트 디바이스 (102) 의 다수의 서비스 접속들 (114, 116, 및 118) 에 의해 공유될 수 있는 단일 라디오 링크 (101) 를 확립하도록 역할을 한다.
NAS 보안성
개시물의 하나의 양태에서, 비-액세스 계층 (NAS) 모델은 별도의 EMM 및 ESM 컨텍스트들을 가능하게 하도록 수정된다. 예를 들어, HMME 와의 EMM 컨텍스트는 ESM 컨텍스트 없이 확립될 수 있다. HMME 는 RAN 에 근접하게 위치될 수도 있는 코어 네트워크 엔티티이다. 클라이언트 (예컨대, UE) 는 상이한 컨텍스트들을 확립하기 위한 상이한 크리덴셜들을 가질 수도 있다. 예를 들어, EMM 컨텍스트를 확립하기 위하여 이용된 크리덴셜들은 ESM 컨텍스트를 확립하기 위하여 이용된 크리덴셜들과는 상이할 수도 있다. 크리덴셜들은 클라이언트가 요청된 EMM 컨텍스트 및/또는 ESM 컨텍스트 (들) 를 확립할 수 있는지 아닌지 여부를 결정하기 위한, 클라이언트 및/또는 네트워크 노드에서 저장될 수도 있는 정보일 수도 있다. 예를 들어, 접속성 크리덴셜은 EMM 컨텍스트를 확립하기 위하여 이용되는 반면, 서비스 크리덴셜은 ESM 컨텍스트를 확립하기 위하여 이용된다. 상이한 서비스 크리덴셜들은 상이한 ESM 컨텍스트들을 확립하기 위하여 이용될 수도 있다. 하나의 예에서, NAS 모델은 크리덴셜들의 동일한 세트를 이용하여 HMME 에서 동시에 EMM 컨텍스트 및 하나 이상의 ESM 컨텍스트들 (예컨대, 도 1 의 접속성 컨텍스트 (122) 및 EMM/ESM 컨텍스트 (126)) 의 확립을 가능하게 한다.
도 1 을 참조하면, 일단 접속성 컨텍스트 (122) 가 확립되면 (즉, 단일 라디오 링크 (101) 상에서 네트워크로의 접속을 생성함), 클라이언트 디바이스 (102) 는 크리덴셜들의 대응하는 세트들 (예컨대, 상이한 서비스 크리덴셜들) 에 기초하여 상이한 네트워크 엔티티들과 하나 이상의 ESM 컨텍스트들을 확립할 수도 있고, 이것은 접속성 제공자 (들) 에서의 구별된 접속 관리 엔티티들에 의한 서비스 구별을 허용한다. 접속 관리 엔티티의 예는 서비스 관리 엔티티 (Service Management Entity; SME) 이다.
개시물의 하나의 양태에서, RAN (120) 은 복수의 서비스 제공자들 (104 및 106) 에 접속될 수도 있다. 예를 들어, 각각의 서비스 제공자 (104, 106) 는 서비스 관리 엔티티 (SME) (128 및 130) 뿐만 아니라, 하나 이상의 패킷 데이터 네트워크 게이트웨이 (Packet Data Network Gateway; P-GW) 들 및 하나 이상의 서빙 게이트웨이 (Serving Gateway; S-GW) 들 (132 및 134) 을 가지는 접속성 제공자를 포함할 수도 있다. 이 SME 들 (128 및 130) 의 각각은 대응하는 서비스 AAA (인가, 인증, 및 과금) 서버들에 의해 공급될 수도 있는 크리덴셜 및 가입 정보를 이용하여 확립된 서비스 접속들 (114 및 116) 에 대한 개개의 ESM 컨텍스트들 (136 및 138) 을 유지할 수도 있다. 예를 들어, SME 들 (128 및 130) 은 서비스 컨텍스트들 (108 및 110) 과 연관되고 AAA 서버들 (140 및 142) 에 의해 제공된 크리덴셜들에 기초하여, 서비스 접속 (114 및/또는 116) 이 셋업 (setup) 되어야 하는지 여부를 확인하기 위하여, 개개의 서비스 AAA 서버들 (140 및 142) 을 통해 클라이언트 디바이스 (102) 를 인증할 수도 있거나, 개개의 서비스 AAA 서버들 (140 및 142) 에 의해 지원될 수도 있다. 성공적인 인증은 SME 들이 클라이언트 디바이스 (102) 에 대한 서비스 컨텍스트들 (108 및 110) (예컨대, ESM 컨텍스트들) 을 확립하는 것을 가능하게 한다. 대응하는 서비스 컨텍스트들 (ESM 컨텍스트들 (136, 138)) 은 SME 들 (128 및 130) 에서 확립될 수도 있다.
도 1 의 예시적인 예시에서, 클라이언트 디바이스 (102) 는 제 1 서비스 컨텍스트 (108), 제 2 서비스 컨텍스트 (110), 및 제 3 서비스 컨텍스트 (112) 를 확립하였다. 그러나, 임의의 수의 서비스 컨텍스트들이 클라이언트 디바이스 (102) 에 의해 확립될 수도 있다는 것이 고려된다.
도 1 에서, 다수의 서비스 컨텍스트들 (108, 110, 및 112) 은 클라이언트 디바이스 (102) 및 다수의 서비스 제공자들 (예컨대, 서비스 네트워크들 (104 및/또는 106)) 에 의해 확립될 수도 있고, 여기서, 각각의 서비스 컨텍스트 (108, 110, 및 112) 는 크리덴셜들의 하나 이상의 세트들에 대응할 수도 있다. 크리덴셜들의 세트는 다른 디바이스들 (예컨대, 네트워크 디바이스들) 이 클라이언트 디바이스 (102) (또는 클라이언트 디바이스의 사용자/가입자) 를 서비스 또는 접속성, 인증을 위하여 이용된 보안성 키들 등에 대해 식별하는 것을 가능하게 하는 정보의 세트로서 정의될 수도 있거나, 이러한 정보의 세트를 포함할 수도 있다. 크리덴셜은 보안성 컨텍스트로서 구현될 수도 있다. 예를 들어, 클라이언트 디바이스에서 저장된 인증 정보 및 네트워크 측에서 저장된 대응하는 정보는 보안성 컨텍스트로서 칭해질 수도 있다.
하나의 예에서, 다수의 동시 서비스 컨텍스트들 (108, 110, 및 112) 에 기초한 접속들 (114, 116, 및 118) 은 RAN (120) 과의 단일 접속, 예를 들어, 통신 프로토콜 스택의 계층 2 접속 (예컨대, LTE 계층 2) 상에서 멀티플렉싱될 수도 있다. 서비스 컨텍스트들 (108, 110, 및 112) 은 각각의 서비스 컨텍스트 (108, 110, 및 112) 를 확립하기 위하여 클라이언트 디바이스 (102) 에 의해 이용된 특정/별개의 아이덴티티 (identity) 들에 기초하여 구별된다. 예를 들어, 클라이언트 디바이스 (102) 는 시그널링 또는 접속을 네트워크에 제공하고 이동성 관리를 가능하게 하는 호스트 MME (즉, 적어도 EMM 컨텍스트) 와의 접속성 확립에 대한 보안성 액세스를 제공하는 크리덴셜들의 세트를 제공받을 수도 있다. 이러한 크리덴셜들은 예를 들어, 특별취급 (out-of-the-box) 크리덴셜들, 운영자 크리덴셜들, 또는 OEM (original equipment manufacturer; 주문자 상표부착 제조자) 에 의해 제공된 크리덴셜들일 수 있고, 클라이언트 디바이스 (102) 를 제조하는 엔티티에 의해 제조 시에 클라이언트 디바이스 (102) 에서 설치될 수 있다. OEM 크리덴셜들의 이용은 OEM 이 크리덴셜들을 제공하고 이러한 크리덴셜들에 대한 인증을 호스팅하는 것을 가능하게 하고, 이에 따라, 서비스 제공자 크리덴셜들이 EMM 또는 접속성 컨텍스트가 아니라, 오직 ESM 컨텍스트를 제공하기 위하여 이용되므로, 클라이언트 디바이스 (102) 가 상이한 서비스 제공자들을 지원하는 것을 가능하게 한다. 제 1 (EMM) 컨텍스트 (예컨대, 접속성 컨텍스트) 의 확립을 위한 OEM 크리덴셜들의 이용에 의하여, 데이터 트래픽 또는 메시지들이 이 컨텍스트에 관련하여 생성되지 않으므로, 이러한 접속성을 확립하기 위한 요금 또는 수수료를 초래하지 않으면서, 시그널링, 이동성 관리, 보안성 등을 제공하는 EMM (접속성) 컨텍스트를 확립하는 것이 가능하다.
서비스-관련된 크리덴셜들은 SME (서비스 관리 엔티티) 와 하나 이상의 ESM 컨텍스트 (들) (예컨대, 서비스 컨텍스트들) 를 확립하기 위하여 이용된다. 다양한 구성들에서는, SME 가 HMME 로부터 물리적으로 분리될 수도 있거나, SME (또는 SME 기능성의 소프트웨어 버전) 가 HMME 에서 공동-위치 (co-locate) 될 수도 있거나 호스팅될 수도 있거나, 또는 그 조합일 수도 있고, 여기서, 일부 SME 들은 HMME 에 의해 공동-위치/호스팅될 수도 있고 다른 SME 들은 HMME 로부터 분리된다. 일부 예들에서, UE 는 접속성 크리덴셜들로 ESM 컨텍스트 (들) 를 확립할 수도 있다.
AS 보안성
액세스 계층 (AS) 은 기능적인 계층, 및 RAN (120) 을 통해 클라이언트 디바이스 (102) (예컨대, UE) 와 코어 네트워크 (core network; CN) 사이의 활동들을 핸들링하는 프로토콜들의 세트이다. 예를 들어, CN 은 HMME (124), 하나 이상의 SME (들) (128, 130), 하나 이상의 S-GW 들 (132, 134), 및 하나 이상의 P-GW 들 (132, 134) 을 포함할 수도 있다. AS 에서, 다수의 라디오 액세스 베어러 (radio access bearer; RAB) 들은 CN 과 클라이언트 디바이스 (102) 사이에서 확립될 수도 있다. 개시물의 하나의 양태에서, 각각의 RAB 는 상이한 ESM 컨텍스트와 연관될 수도 있고, 각각의 ESM 컨텍스트는 가상적인 ESM (virtual ESM; VESM) 태그 (또는 식별자) 에 의해 결정될 수도 있다. 개시물의 하나의 양태에서, 다수의 RAB 들은 동일한 EMM 컨텍스트와 연관된다. 이 경우, RAN (120) (예컨대, eNode B 또는 eNB) 은 다수의 ESM 컨텍스트들의 가시성 (visibility) 을 가지지 않는다. 즉, RAN (120) 은 EMS 컨텍스트들 사이에서 데이터 트래픽을 구별하지 않을 수도 있다. eNB 는 일부가 예를 들어, 제 1 ESM 컨텍스트에 대응하고 일부가 제 2 ESM 컨텍스트에 대응하는 RAB 들의 세트를 가지고, HMME 는 특정 ESM 컨텍스트들로의 RAB 들의 맵핑을 가진다.
도 1 에서, RAN (120) 은 액세스 계층 내에서 존재하는 것으로서 도시되어 있다. 그러나, RAN (120) 은 또한, NAS 기능들을 제공한다. NAS 엔티티들 (예컨대, 클라이언트 디바이스들 및 코어 네트워크 노드들) 사이의 NAS 메시지들의 전송은 액세스 계층에 의해 제공된 서비스들 사이에 있다. NAS 프로토콜들은 클라이언트 디바이스들의 이동성, 및 클라이언트 디바이스와 코어 네트워크 사이의 접속성을 확립하고 유지하기 위한 절차들을 지원한다. 예를 들어, NAS 프로토콜들은 클라이언트 디바이스 (102) 와, 도 1 에서 도시된 서비스 제공자 A 의 코어 네트워크 (CN) 및/또는 서비스 제공자 B 의 CN 과의 사이에서 NAS 메시지들을 전송하기 위하여 이용될 수도 있다. 액세스 계층 (AS) 은 NAS 시그널링을 전송하지만, NAS 시그널링은 액세스 계층에서 종결되지 않는다. 개시물의 하나의 양태에서, 클라이언트 디바이스 (102) 와 RAN (120) 사이의 단일 라디오 링크 (101) (예컨대, RRC 링크) 는 다수의 서비스 접속들, 예를 들어, 서비스 접속들 (114 및 116) 로 논리적으로 또는 가상적으로 분할될 수도 있다. 서비스 접속들은 그 대응하는 서비스 컨텍스트들 (예컨대, ESM 컨텍스트들 (136 및 138)) 과 연관시켜서 확립된다.
디바이스 식별자들
다양한 클라이언트 디바이스 식별자들은 단일 링크를 통한 다수의 서비스 접속들을 가능하게 하기 위하여, AS 및/또는 NAS 에서 클라이언트 디바이스 (102) (예컨대, UE) 를 식별하기 위하여 이용될 수도 있다. 일부 비-제한적인 예들은 국제 이동 가입자 아이덴티티 (International Mobile Subscriber Identity; IMSI), 글로벌 고유 임시 UE 아이덴티티 (Globally Unique Temporary UE Identity; GUTI), 가입자 서비스 아이덴티티 (Subscriber Service Identity; SCSI), 임시 SCSI (Temporary SCSI; T-SCSI), 글로벌 고유 임시 세션 아이덴티티 (Globally Unique Temporary Session Identity; GUTSI), 및 임시 전송 식별자 (Temporary Transport Identifier; TTI) 를 포함한다. 예를 들어, 접속성 컨텍스트 (122) 에서, 클라이언트 디바이스 (102) 의 GUTI 는 클라이언트 디바이스에서 활성인 각각의 서비스 컨텍스트 (예컨대, 서비스 컨텍스트들 (108, 110, 및 112)) 의 GUTSI 에 맵핑될 수도 있다. 그러므로, 서비스 컨텍스트들에 기초한 상이한 서비스 제공자들로의 접속들은 적당한 클라이언트 디바이스 식별자들을 이용하여 HMME (124) 에 의해 식별될 수도 있다.
개시물의 하나의 양태에서, SCSI 는 (전형적인 UE-MME 인증에서 IMSI 와 유사한) 클라이언트 디바이스 (UE) 가 인증을 위하여 SME 에 제공하는 영구적인 아이덴티티일 수도 있다. SCSI 는 특정 UE 가입 및 관련된 크리덴셜들을 식별할 수도 있다. SCSI 는 대응하는 클라이언트 가입 프로파일을 취출 (retrieve) 하고 클라이언트 디바이스를 인증하기 위하여 이용되는 AAA 또는 인증/인가 서버를 식별하기 위하여 SME 에 의해 이용될 수도 있다.
개시물의 하나의 양태에서, T-SCSI 는 클라이언트 디바이스와 SME 사이의 후속 시그널링에서 클라이언트 디바이스 (예컨대, UE) 를 식별하기 위하여 할당될 수도 있는 임시 식별자일 수도 있다. 일부 예들에서, T-SCSI 는 항상 이용되지는 않을 수도 있고 및/또는 항상 할당되지는 않을 수도 있다. SME 가 T-SCSI 를 클라이언트 디바이스에 제공할 경우, 클라이언트 디바이스는 클라이언트 디바이스와 SME 사이의 후속 시그널링에서 그것을 이용할 수도 있다.
개시물의 하나의 양태에서, GUTSI 는 성공적인 인증 시에 SME 에 의해 클라이언트 디바이스에 할당될 수도 있다. GUTSI 는 클라이언트 디바이스와 동일한 SME 사이에서 교환된 모든 시그널링 또는 데이터에서 클라이언트 디바이스에 의해 이용될 수도 있다. 하나의 예에서, 클라이언트 디바이스는 클라이언트 디바이스와 HMME 사이에서 전송된 NAS 페이로드가 어느 클라이언트 디바이스에 속하는지를 식별하기 위하여) (클라이언트 디바이스와 SME 사이의 실제적인 메시지를 포함하는) NAS 페이로드 외부에서 할당된 GUTSI 를 제공한다. 또 다른 예에서, 클라이언트 디바이스는 NAS 페이로드 내부에서 GUTSI 를 제공할 수도 있다. HMME 는 클라이언트 디바이스로부터 전송된 시그널링이 어느 SME 로 보내지는지를 구별하고 및/또는 식별하기 위하여 GUTSI 를 이용할 수도 있다. 예를 들어, UE-SME NAS 메시지가 클라이언트 디바이스 (예컨대, UE) 와 HMME 사이의 NAS 메시지에서 캡슐화될 때, 클라이언트 디바이스는 NAS 메시지를 어느 SME 로 전송할 것인지와, 이 UE-SME NAS 메시지가 어느 클라이언트 디바이스에 대응하는지를 HMME 에 표시하기 위하여, UE-SME NAS 메시지와 연관시켜서 GUTSI 를 제공한다.
개시물의 하나의 양태에서, 임시 전송 식별자 (TTI) 는 클라이언트 디바이스의 ESM 컨텍스트와 대응하는 SME 사이의 관계를 HMME 에서 식별하기 위하여, 클라이언트 디바이스와 SME 사이의 서비스 컨텍스트에 대하여 SME 에 의해 할당될 수도 있다. TTI 를 포함하는 시그널링을 수신할 시에, HMME 는 대응하는 클라이언트 디바이스 또는 SME 를 식별하고 시그널링을 식별된 클라이언트 디바이스 또는 SME 로 포워딩하기 위하여 TTI 를 이용한다.
개시물의 하나의 양태에서, 클라이언트 디바이스는 서비스 접속 또는 서비스 컨텍스트를 확립하기 위한 요청들 동안에, 서비스 컨텍스트 확립이 요청되고 있는 네트워크 또는 서비스를 식별하기 위하여 클라이언트 디바이스에 의해 이용된 식별자를 제공할 수도 있다. 이것은 액세스 포인트 명칭 (Access Point Name; APN), 또는 서비스에 대한 임의의 적당한 식별자일 수도 있다. 위에서 설명된 디바이스 식별자들은 한정적인 것이 아니라, 본질적으로 예시적이다. 다른 적당한 디바이스 식별자들은 본 개시물의 다른 양태들에서 클라이언트 디바이스와 HMME/SME 사이의 통신을 용이하게 하기 위하여 이용될 수도 있다.
예시적인 클라이언트 디바이스
도 2 는 다수의 동시 서비스 컨텍스트들 또는 접속들을 지원하기 위하여 단일 라디오 링크를 이용하도록 구성된 예시적인 클라이언트 디바이스 (202) 를 예시한다. 클라이언트 디바이스 (202) 는 도 1, 도 4 내지 도 8, 도 10, 도 11, 및 도 14 내지 도 18 에서 설명된 UE 들 또는 클라이언트 디바이스들 중의 임의의 것과 동일할 수도 있다. 클라이언트 디바이스 (202) 는 무선 네트워크 통신 인터페이스 (204), 하나 이상의 프로세서들 (206), 및 서로에 동작적으로 결합될 수도 있는 메모리/스토리지 (208) 를 포함할 수도 있다. 클라이언트 디바이스 (202) 의 다양한 기능성들은 소프트웨어, 펌웨어, 하드웨어, 또는 그 임의의 조합으로 구현될 수도 있다.
무선 네트워크 통신 인터페이스 (204) 는 다른 디바이스들/네트워크들/서비스들로의 무선 링크 또는 접속을 확립하는 것을 용이하게 하는 하나 이상의 무선 액세스 기술들을 이용하여, 클라이언트 디바이스 (202) 를 하나 이상의 라디오 액세스 네트워크들을 통해 하나 이상의 엔티티들 또는 네트워크들에 접속하도록 역할을 할 수도 있다. 하나의 예에서, 무선 네트워크 통신 인터페이스 (204) 는 다른 무선 엔티티들 또는 네트워크들과의 클라이언트 디바이스 (202) 의 무선 통신들을 용이하게 하도록 구성될 수도 있다. 무선 네트워크 통신 인터페이스 (204) 는 하나 이상의 수신기 모듈/회로/기능들 (226), 하나 이상의 송신기 모듈/회로/기능들 (228), 및/또는 하나 이상의 안테나 모듈/회로/기능들 (230) 을 포함할 수도 있다. 수신기 (들) (226), 송신기 (들) (228), 및 안테나 (들) (230) 는 서로에 동작적으로 결합될 수도 있다. 하나 이상의 안테나들 (230) 은 하나 이상의 무선 디바이스들, 네트워크들, 및/또는 서비스들과의 무선 통신을 용이하게 할 수도 있다.
프로세서 (206) 는 무선 네트워크 통신 인터페이스 (204) 에 동작적으로 결합될 수도 있다. 프로세서 (206) 는 라디오 링크 확립 모듈/회로/기능 (210), 서비스 컨텍스트 확립 모듈/회로/기능 (212), 및 사용자 평면 (user plane; UP) 보안성 컨텍스트 확립 모듈/회로/기능 (213) 을 포함할 수도 있다.
프로세서 (206) 는 메모리/스토리지 디바이스 (208) 상에서 저장될 수도 있는 컴퓨터 실행가능 코드 또는 프로그래밍의 실행을 포함하는 프로세싱을 위하여 구성될 수도 있다. 메모리/스토리지 디바이스 (208) 는 라디오 링크 확립 명령들 (216), 서비스 컨텍스트 확립 명령들 (218), 및 보안성 컨텍스트 확립 명령들 (219) 을 포함할 수도 있다. 일부 예들에서, 메모리/스토리지 디바이스 (208) 는 또한, 접속성 컨텍스트 (232), 하나 이상의 서비스 컨텍스트들 (234), 하나 이상의 보안성 컨텍스트들 (235), 및 프로세서 (206) 에 의해 사용되고 있는 다른 데이터를 저장할 수도 있다.
클라이언트 디바이스 (202) 는 도 7 내지 도 11, 및 도 19 내지 도 20 에서 예시된 기능들 및/또는 절차들 중의 하나 이상을 구현하기 위하여 이용될 수도 있다.
예시적인 네트워크 노드
도 3 은 다수의 서비스 컨텍스트들의 동시 또는 공존 동작을 지원하는 단일 라디오 링크 상에서 클라이언트 디바이스들이 동작하는 것을 지원하기 위하여 HMME 및/또는 SME 를 구현하도록 구성된 예시적인 네트워크 노드 (302) 를 예시한다. 네트워크 노드 (302) 는 도 1, 도 4 내지 도 8, 및 도 10 내지 도 18 에서 설명된 네트워크 노드들 또는 엔티티들 중의 임의의 것과 동일할 수도 있다. 네트워크 노드 (302) 는 네트워크 통신 인터페이스 (304), 하나 이상의 프로세서들 (306), 및 서로에 동작적으로 결합될 수도 있는 메모리/스토리지 (308) 를 포함할 수도 있다.
네트워크 통신 인터페이스 (304) 는 클라이언트 디바이스들과 네트워크 노드 사이에서 링크를 확립하는 것을 용이하게 하는 하나 이상의 유선 또는 무선 액세스 기술들을 이용하여, 네트워크 노드 (302) 를 하나 이상의 네트워크들 또는 클라이언트 디바이스들에 결합하도록 역할을 할 수도 있다. 네트워크 통신 인터페이스 (304) 는 적어도 하나의 수신기 모듈/회로/기능 (326) 및/또는 적어도 하나의 송신기 모듈/회로/기능 (328) 을 포함할 수도 있다. 네트워크 통신 인터페이스 (304) 는 또한, 적어도 하나의 수신기 (326) 및/또는 적어도 하나의 송신기 (328) 에 동작적으로 결합된 하나 이상의 안테나 모듈들/회로들/기능들 (330) 을 포함할 수도 있다.
프로세서 (306) 는 네트워크 통신 인터페이스 (304) 에 동작적으로 결합될 수도 있다. 프로세서 (306) 는 라디오 링크 확립 모듈/회로/기능 (310), 및 HMME 모듈/회로/기능 (312) 을 포함할 수도 있다.
프로세싱 회로 (306) 는 메모리/스토리지 (308) 상에서 저장될 수도 있는 명령들의 실행을 포함하는 프로세싱을 위하여 구성될 수도 있다. 본원에서 이용된 바와 같이, 용어 "명령들" 은 소프트웨어, 펌웨어, 미들웨어, 마이크로코드, 하드웨어 설명 언어, 또는 이와 다른 것으로서 지칭되든지 간에, 명령 세트들, 코드, 코드 세그먼트들, 프로그램 코드, 프로그램들, 서브프로그램들, 소프트웨어 모듈들, 애플리케이션들, 소프트웨어 애플리케이션들, 소프트웨어 패키지들, 루틴들, 서브루틴들, 오브젝트들, 익스큐터블 (excutable) 들, 실행의 스레드 (thread) 들, 프로시저 (procedure) 들, 함수들 등을 제한 없이 포함하는 것으로 대략적으로 해석될 수도 있다.
메모리/스토리지 (308) 는 프로세서 (306) 에 동작적으로 결합될 수도 있고, 또한, 네트워크 통신 인터페이스 (304) 에 동작적으로 결합될 수도 있다. 메모리/스토리지 (308) 는 라디오 링크 확립 명령들 (316) 및 HMME/SME 명령들 (318) 을 포함할 수도 있다.
일부 예들에서, 메모리/스토리지 (308) 는 접속성 컨텍스트들 (또는 크리덴셜들) (332), 서비스 컨텍스트들 (또는 크리덴셜들) (334), 및/또는 보안성 컨텍스트들 (335) 을 저장할 수도 있다. 추가적으로, 일부 구현예들에서, 프로세서 (306) 는 HMMM 모듈 (312) 을 갖거나 갖지 않는 서비스 관리 엔티티 (SME) 모듈/회로/기능 (314) 을 구현할 수도 있다.
네트워크 노드 (302) 는 도 7, 도 8, 도 10 내지 도 13, 및 도 22 내지 도 22 에서 예시된 기능들 및/또는 절차들 중의 하나 이상을 구현할 수도 있다. 하나의 특정한 예에서, 네트워크 노드 (302) 는 도 20 에 관련하여 설명된 프로세스들 중의 하나 이상을 구현할 수도 있다.
HMME 제어 평면 모델들
다양한 예들에서, 클라이언트 디바이스는 HMME 에서의 단일 EMM 컨텍스트에 기초하여 액세스 네트워크 (예컨대, RAN) 와 접속 또는 접속성을 확립할 수도 있다. 일단 접속성이 확립되면, 클라이언트 디바이스는 상이한 SME 들과 크리덴셜들의 상이한 세트들에 대응하는 하나 이상의 ESM 컨텍스트들을 확립한다. 도 4 내지 도 6 은 개시물의 일부 양태들에 따라, EMM 컨텍스트 및 ESM 컨텍스트들의 확립을 용이하게 하기 위한 HMME 제어 평면 모델들의 일부 예들을 예시하는 도면들이다.
도 4 에서 예시된 제 1 HMME 제어 평면 모델에서, 클라이언트 디바이스 (402) (예컨대, UE) 는 예를 들어, 접속성 크리덴셜 및 홈 인가, 인증, 및 과금 (AAA) 서버 (407) 를 이용하여 서로 인증함으로써, HMME/SME (406) 와 EMM 컨텍스트 (404) (접속성 컨텍스트) 를 확립한다. 단일 EMM 컨텍스트 (404) 는 클라이언트 디바이스 (402) 와 RAN (403) (예컨대, eNB) 사이의 단일 라디오 링크의 확립을 용이하게 한다. 일단 EMM 컨텍스트 (404) 가 확립되었으면, 클라이언트 디바이스 (402) 는 다수의 서비스 크리덴셜들 및 AAA 서버들 (407, 413, 415) 을 이용하여, 다수의 SME 들 (HMME/SME (406), SME (412), SME (414)) 과 하나 이상의 ESM 컨텍스트들 (408) (ESM 컨텍스트들 1, 2, 3) 을 확립할 수도 있다. (HMME 기능에 대한) 클라이언트 디바이스 (402) 와 HMME (406) 사이의 NAS 메시지들은 HMME (406) 에서 저장된 디폴트 접속성 보안성 컨텍스트 (예컨대, NAS 보안성 컨텍스트) 에 기초하여 암호화될 수도 있고 무결성 보호될 수도 있다. 클라이언트 디바이스 (402) 와 SME 들 사이의 NAS 메시지들은 SME 들에서 각각 저장된 상이한 보안성 컨텍스트들 (410) (NAS 보안성 컨텍스트들) 을 이용하여 암호화되고 무결성 보호된다. 클라이언트 디바이스 (402) 및 각각의 SME 는 대응하는 서비스 크리덴셜을 이용하여 서로를 인증한다. 도 4 의 이 예에서, 제 1 ESM 컨텍스트 (ESM 컨텍스트 1) 는 클라이언트 디바이스 (402) 및 제 1 SME (406) 에서 저장되는 제 1 보안성 컨텍스트 (보안성 컨텍스트 1) 를 이용하여 보호된다. 제 2 ESM 컨텍스트 (ESM 컨텍스트 2) 는 클라이언트 디바이스 (402) 및 제 2 SME (412) 에서 저장되는 제 2 보안성 컨텍스트 (보안성 컨텍스트 2) 를 이용하여 보호된다. 제 3 ESM 컨텍스트 (ESM 컨텍스트 3) 는 클라이언트 디바이스 (402) 및 제 3 SME (414) 에서 저장되는 제 3 보안성 컨텍스트 (보안성 컨텍스트 3) 를 이용하여 보호된다.
HMME/SME (406) 는 제 1 서비스 네트워크 (420) 에 접속되는 제 1 서비스/패킷 데이터 게이트웨이 (service/packet data gateway; S/P GW) (418) 를 선택하도록 구성된다. 유사하게, 제 2 SME (412) 는 제 2 서비스 네트워크 (424) 에 접속되는 제 2 S/P GW (422) 를 선택하도록 구성된다. 마찬가지로, 제 3 SME (414) 는 제 3 서비스 네트워크 (428) 에 접속되는 제 3 S/P GW (426) 를 선택하도록 구성된다. 제 1, 제 2, 및 제 3 서비스 네트워크들 (420, 424, 428) 은 동일한 서비스 제공자 또는 상이한 서비스 제공자들에 의해 동작될 수도 있다. 일부 예들에서, 서비스 게이트웨이 (S-GW) 선택은 HMME (406) 에 의해 수행될 수도 있다. 이러한 경우에는, HMME (406) 가 예를 들어, 서비스 요청 동안에 선택된 S-GW 를 SME 들에 통지한다.
서비스 네트워크는 (예컨대, 단일 라디오 링크 (430) 및 RAN (403) 를 포함하는) 접속성 네트워크에서 적어도 부분적으로 확립되는 가상적인 네트워크일 수도 있고, 하나 이상의 서비스 네트워크들은 하나 이상의 서비스 제공자들 (예컨대, 서비스 네트워크들 1, 2, 및 3) 에 의해 제공된 특정 또는 상이한 서비스들과 연관된다. 하나의 특정한 예에서, 제 1 가상적인 네트워크는 라디오 링크 (430), RAN (403), 제 1 HMME/SME (406), 제 1 S/P GW (418), 및 제 1 서비스 네트워크 (420) 를 포함한다. 또 다른 예에서, 제 2 가상적인 네트워크는 라디오 링크 (430), RAN (403), HMME (406), 제 2 SME (412), 제 2 S/P GW (422), 및 제 2 서비스 네트워크 (424) 를 포함한다. 또 다른 예에서, 제 3 가상적인 네트워크는 라디오 링크 (430), RAN (403), HMME (406), 제 3 SME (414), 제 3 S/P GW (426), 및 제 3 서비스 네트워크 (428) 를 포함한다.
도 5 는 개시물의 양태에 따라 제 2 HMME 제어 평면 모델을 예시한다. 제 1 및 제 2 HMME 제어 평면 모델들은 유사하고, 그러므로, 중복적인 설명은 간결함을 위하여 생략될 수도 있다. 클라이언트 디바이스 (402) 는 HMME (406) 와 EMM 컨텍스트 (404) 를 확립한다. 일단 EMM 컨텍스트 (404) 가 확립되었으면, 클라이언트 디바이스 (402) 는 다수의 서비스 크리덴셜들 및 AAA 서버들 (407, 413, 415) 을 이용하여, 다수의 SME 들 (HMME/SME (406), SME (412), SME (414)) 과 하나 이상의 ESM 컨텍스트들 (408) (ESM 컨텍스트들 1, 2, 3) 을 확립할 수도 있다. 클라이언트 디바이스 (402) 및 각각의 SME (406, 412, 414) 는 대응하는 서비스 크리덴셜을 이용하여 서로를 인증할 수도 있다. 예를 들어, 클라이언트 디바이스 (402) 는 SME 들에 대한 3 개의 상이한 크리덴셜들을 이용할 수도 있다. 도 5 의 제 2 HMME 제어 평면 모델에서, HMME (406) 는 서비스 접속들에 대한 서비스/패킷 데이터 게이트웨이들 (예컨대, S/P GW 1, 2, 3) 을 직접적으로 선택할 수도 있고 제어할 수도 있다. 그것은 SME 들이 서비스/패킷 데이터 게이트웨이들을 선택하는 도 4 의 제 1 HMME 제어 평면 모델과는 상이하다. 개시물의 또 다른 양태에서, SME (예컨대, SME (412) 및 SME (414)) 는 S/P GW 를 선택할 수도 있고, 선택을, 선택된 S/P GW 를 선택하는 HMME (406) 로 포워딩한다.
도 6 은 개시물의 양태에 따라 제 3 HMME 제어 평면 모델을 예시한다. 제 1 및 제 3 HMME 제어 평면 모델들은 유사하고, 그러므로, 중복적인 설명은 간결함을 위하여 생략될 수도 있다. 클라이언트 디바이스 (402) 는 HMM (406) 과 EMM 컨텍스트 (404) 를 확립한다. 일단 EMM 컨텍스트 (404) 가 확립되었으면, 클라이언트 디바이스 (402) 는 다수의 서비스 크리덴셜들 및 AAA 서버들 (407, 413, 415) 을 이용하여, 다수의 SME 들 (HMME/SME (406), SME (412), SME (414)) 과 하나 이상의 ESM 컨텍스트들 (408) (ESM 컨텍스트들 1, 2, 3) 을 확립할 수도 있다. 클라이언트 디바이스 (402) 및 각각의 SME 는 서비스 크리덴셜을 이용하여 서로를 인증할 수도 있다. 예를 들어, 클라이언트 디바이스 (402) 는 서비스 접속들에 대한 상이한 서비스 크리덴셜들을 가질 수도 있다. 제 3 HMME 제어 평면 모델에서, HMME (406) 는 ESM 컨텍스트들 (408) (예컨대, ESM 컨텍스트들 1, 2, 3) 에 기초하여 서비스 게이트웨이 (S-GW) (431) 를 선택할 수도 있다. 그 다음으로, S-GW (431) 는 ESM 컨텍스트들 (408) 에 기초하여 패킷 데이터 게이트웨이들 (P-GW 들 (432, 434, 436)) 을 선택한다. 그것은 SME 들이 서비스 및 패킷 데이터 게이트웨이들을 선택하는 도 4 의 제 1 HMME 제어 평면 모델과는 상이하다. 일부 예들에서, SME (예컨대, SME (412) 및 SME (414)) 는 패킷 데이터 게이트웨이 (예컨대, P-GW 들 1, 2, 3) 를 선택할 수도 있고, 선택을 HMME (406) 를 통해 S-GW (431) 로 포워딩할 수도 있다. 그 다음으로, S-GW (431) 는 대응하는 패킷 데이터 게이트웨이 (들) 를 선택한다. 도 4 내지 도 6 의 HMME 제어 평면 모델들에서, 상이한 서비스 접속들은 상이한 보안성 컨텍스트들 (410) (예컨대, 보안성 컨텍스트 1, 2, 3) 로 보호될 수도 있다.
도 7 내지 도 8 은 본 개시물의 양태에 따라, 단일 접속성 컨텍스트를 이용하여 다수의 서비스 컨텍스트들을 확립하기 위한 프로세스를 예시하는 호출 흐름도 (500) 이다. 하나의 예에서, 프로세스는 UE (클라이언트 디바이스) (502), eNB (504), HMME (506), SME (508), 서비스 게이트웨이 (S-GW) (510), 제 1 패킷 데이터 게이트웨이 (P-GW) (512), 제 2 P-GW (514), 제 1 홈 가입자 서버 (home subscriber server; HSS) (516), 및 제 2 HSS (518) 에 의해 수행될 수도 있다. 호출 흐름도 (500) 에서 예시된 바와 같이, 라디오 링크 또는 접속은 복수의 서비스 컨텍스트들 (예컨대, SME 컨텍스트들) 에 의해 그 후에 공유되는 단일 접속성 컨텍스트 (예컨대, EMM 컨텍스트) 를 이용하여 UE (502) 와 네트워크 (예컨대, eNB (504)) 사이에서 확립된다. UE (502), eNB (504), HMME (506), SME (508), S-GW (510), 제 1 P-GW (512), 제 2 P-GW (514), 제 1 HSS (516), 및 제 2 HSS (518) 는 도 1 내지 도 6, 및 도 14 내지 도 18 중의 임의의 것에서 예시된 것들과 동일할 수도 있다.
UE (502) 는 연결 요청 (Attach Request) (520) 을, 초기 UE 메시지 (522) 에서 요청을 HMME (506) 로 전송하거나 포워딩하는 eNB (504) 로 전송함으로써 네트워크로 연결하는 것을 시도한다. 초기 UE 메시지는 HMME (506) 가 클라이언트 디바이스 (502) 를 식별할 수도 있도록, UE ID 를 포함할 수도 있다. UE ID 는 위에서 설명된 디바이스 식별자들 중의 임의의 것일 수도 있다. HMME (506) 는 UE (502) 가 요청된 접속에 대한 적절한 크리덴셜을 가지는지 아닌지 여부를 결정한다. 예를 들어, HMME (506) 는 제 1 HSS (516) 와 진화형 패킷 시스템 (EPS) 인증 및 키 합의 (Authentication and Key Agreement; AKA) 절차 (524) 를 수행함으로써, UE (502) 가 연결하도록 허용되는지 아닌지 여부를 체크할 수도 있다. 예를 들어, 제 1 HSS (516) 는 인증 벡터들을 생성함으로써, 그리고 그것들을, 제 1 HSS (516) 대신에, UE (502) 와 인증을 그 후에 수행하는 HMME (506) 로 전송함으로써, MME 기반 키 (base key) 를 유도할 수도 있다. 그 다음으로, HMME (506) 는 NAS 보안성 모드 커맨드 (Security Mode Command; SMC) 메시지들 (526) 을 교환함으로써, UE (502) 와 NAS 보안성 셋업 절차를 수행한다. UE (502) 와 HMME (506) 사이의 NAS SMC 메시지들은 예를 들어, NAS SMC 가 완료될 경우에 HMME (506) 에서 저장된 (확립될 경우에) NAS 보안성 컨텍스트에 기초하여 암호화될 수도 있고 무결성 보호될 수도 있다. 다음으로, HMME (506) 는 S-GW 선택 기능에 기초하여 S-GW (510) 를 선택하고, UE (502) 를 위한 디폴트 베어러 (default bearer) 에 대한 EPS 베어러 아이덴티티를 할당한다. 그 다음으로, HMME (506) 는 세션 생성 요청 (Create Session Request) (528) 을 선택된 S-GW (510) 로 전송한다. 이에 응답하여, S-GW (510) 는 그 EPS 베어러 테이블에서 새로운 엔트리를 생성하고, 세션 생성 요청 메시지 (529) 를 제 1 P-GW (512) 로 전송한다.
세션 생성 요청 메시지 (529) 에 응답하여, 제 1 P-GW (512) 는 그 EPS 베어러 테이블에서 새로운 엔트리를 생성할 수도 있고, 청구 ID (Charging ID) 를 생성할 수도 있다. 그 다음으로, 제 1 P-GW (512) 는 세션 생성 응답 (Create Session Response) 메시지 (530) 를 S-GW (510) 및 HMME (506) 로 전송한다. 다음으로, HMME (506) 는 연결 수락 (Attach Accept) 메시지를 포함하는 초기 컨텍스트 셋업 요청 (Initial Context Setup Request) 메시지 (532) 를 eNB (504) 에 제공한다. 다음으로, eNB (504) 는 EPS 라디오 베어러 아이덴티티 및 연결 수락 메시지를 포함하는 RRC 접속 재구성 (Connection Reconfiguration) 메시지 (534) 를 UE (502) 로 전송한다. 이에 응답하여, UE (502) 는 RRC 접속 재구성 완료 (Connection Reconfiguration Complete) 메시지 (536) 를 eNB (504) 로 전송한다. 이에 응답하여, eNB (504) 는 초기 셋업 컨텍스트 응답 (Initial Setup Context Response) 메시지 (538) 를 HMME (506) 로 전송한다.
위에서 설명된 절차를 사용하면, UE (502) 는 HMME (506) 와 EMM 컨텍스트 또는 접속성을 확립할 수 있다. 예를 들어, 이 절차는 도 4 에서 예시된 제 1 HMME 제어 평면 모델과 함께 이용될 수도 있다. EMM 컨텍스트가 확립된 후, UE (502) 는 도 8 에 관련하여 설명된 다음의 절차를 이용하여 하나 이상의 SME 컨텍스트들을 확립할 수도 있다.
도 8 을 참조하면, 서비스 또는 서비스 접속에 대한 ESM 컨텍스트를 확립하기 위하여, UE (502) 는 서비스 식별자 (서비스 ID) 를 포함하는 서비스 등록 (Service Registration) 메시지 (540) 를 HMME (506) 로 전송한다. 서비스 등록 메시지 (540) 의 수신 시에, HMME (506) 는 UE (502) 에 의해 제공된 서비스 ID 에 기초하여 SME (예컨대, SME (508)) 를 선택하고, 초기 UE 메시지 (542) 를 선택된 SME (508) 로 전송한다. 초기 UE 메시지 (542) 는 SME (508) 가 UE (502) 를 식별할 수도 있도록, 위에서 설명된 바와 같이 클라이언트 디바이스 식별자 (예컨대, SCSI) 를 포함할 수도 있다. SME (508) 는 제 2 HSS (518) 와 EPS-AKA 절차 (544) 를 수행함으로써, UE (502) 가 서비스에 대한 가입을 가지는지 아닌지 여부를 체크할 수도 있다. 예를 들어, 제 2 HSS (518) 는 인증 벡터들을 생성함으로써, 그리고 그것들을, 제 2 HSS (518) 대신에, UE (502) 와 인증을 그 후에 수행하는 SME (508) 로 전송함으로써, 키를 유도할 수도 있다. 그 다음으로, SME (508) 는 NAS 보안성 모드 커맨드 (SMC) 메시지들 (546) 을 교환함으로써, UE (502) 와 NAS 보안성 셋업 절차를 수행한다.
UE (502) 와 SME (508) 사이의 NAS 메시지들은 ESM 보안성 컨텍스트들을 이용하여 보호될 수도 있다. 예를 들어, UE (502) 는 SME (508) 와 확립된 ESM 보안성 컨텍스트를 이용하여 NAS 메시지를 암호화할 수도 있고 보호할 수도 있다. SME (508) 에 대한 NAS 메시지는 HMME (506) 에 대한 외부의 NAS 메시지에서 캡슐화된다. (즉, 캡슐화된 NAS-인-NAS (NAS-in-NAS) 메시지). 예를 들어, 외부의 NAS 메시지는 UE (502) 와 HMME (506) 사이에서 확립된 보안성 컨텍스트를 이용하여 암호화되고 무결성 보호된다. 하나의 예에서, 도 9 를 참조하면, HMME 에 대한 캡슐화된 NAS-인-NAS 메시지 (600) 는 HMME 가 내부의 NAS 메시지 (604) 가 포워딩되는 SME (508) 를 식별하는 것을 가능하게 하기 위한 SME ID (602), 및 SME (508) 가 UE (502) 를 식별하는 것을 가능하게 하기 위한 (SME 에 의해 배정될 수도 있는) UE ID (606) 를 포함할 수도 있다. 하나의 예에서, UE ID (606) 는 SME 에 의해 할당되었던 GUTI 또는 GUTSI (또는 다른 적당한 식별자) 를 포함할 수도 있다.
유사하게, SME (508) 는 ESM 보안성 컨텍스트를 이용하여 NAS 메시지를 암호화할 수도 있고 보호할 수도 있다. 그 다음으로, NAS 메시지 (예컨대, 내부의 NAS 메시지 (604)) 는 HMME (506) 에 대한 외부의 NAS 메시지 (또는 정의될 수도 있는 임의의 다른 적당한 컨테이너 (container)) 에서 캡슐화된다. 하나의 예에서, 외부의 NAS 메시지는 보호될 수도 있는 것이 아니라, 보안 채널을 통해 HMME (506) 로 전송될 수도 있다. 하나의 예에서, HMME (506) 및 SME (508) 는 보안화된 통신을 위한 IP 보안성 (IP Security; IPsec) 채널을 확립할 수도 있다. 외부의 NAS 메시지는 HMME (506) 가 UE ID 를 S1-AP UE ID 에 맵핑하는 것을 가능하게 하기 위한 UE ID 를 포함할 수도 있다. 또 다른 예에서, 외부의 NAS 메시지는 HMME (506) 의 EMM 보안성 컨텍스트를 이용하여 암호화될 수도 있고 무결성 보호될 수도 있다.
그 다음으로, SME (508) 는 세션 생성 요청 (548) 을 S-GW (510) 로 전송한다. 이에 응답하여, S-GW (510) 는 그 EPS 베어러 테이블에서 새로운 엔트리를 생성하고, 세션 생성 요청 메시지를 제 2 P-GW (514) 로 전송한다. 세션 생성 요청 메시지에 응답하여, 제 2 P-GW (514) 는 그 EPS 베어러 테이블에서 새로운 엔트리를 생성할 수도 있고, 청구 ID 를 생성할 수도 있다. 그 다음으로, 제 2 P-GW (514) 는 세션 생성 응답 메시지 (550) 를 S-GW (510) 및 SME (508) 로 전송한다. 다음으로, SME (508) 는 연결 수락 메시지를 포함하는 초기 컨텍스트 셋업 요청 메시지 (552) 를 HMME (506) 에 제공한다. HMME (506) 는 초기 컨텍스트 셋업 요청 메시지 (554) 를 eNB (504) 로 포워딩한다. 다음으로, eNB (504) 는 EPS 라디오 베어러 아이덴티티 및 연결 수락 메시지를 포함하는 RRC 접속 재구성 메시지 (556) 를 UE (502) 로 전송한다. 이에 응답하여, UE (502) 는 RRC 접속 재구성 완료 메시지 (558) 를 eNB (504) 로 전송한다. 다음으로, eNB (504) 는 초기 셋업 컨텍스트 응답 메시지 (560) 를, 초기 셋업 컨텍스트 응답 메시지 (562) 를 SME (508) 로 포워딩하는 HMME (506) 로 전송한다. 위에서 설명된 절차로, SME 컨텍스트는 SME (508) 와 확립된다.
또한, AS 보안성 모드 커맨드 (SMC) 메시지들은 UE (502) 와 eNB (504) 사이에서 AS 보안성 컨텍스트를 확립하기 위하여 이용될 수도 있다. AS 보안성 컨텍스트 (예컨대, 도 15 내지 도 17 에서 도시된 AS 보안성 컨텍스트들) 에 기초하여, UE (502) 및 eNB (504) 는 오버-디-에어 (over-the-air) 트래픽을 보호할 수 있다. 단일 라디오 링크 (예컨대, 도 1 의 단일 링크 (101)) 는 다수의 서비스 접속들에 대하여 이용되지만, 각각의 서비스 접속은 대응하는 AS 보안성 컨텍스트에 기초하여 별도의 키로 보호될 수 있고, 대응하는 가상적인 ESM (VESM) 태그에 의해 구별될 수 있다.
도 10 내지 도 11 은 본 개시물의 양태에 따라, 단일 접속성 컨텍스트를 이용하여 다수의 서비스 컨텍스트들을 확립하기 위한 절차를 예시하는 호출 흐름도 (700) 이다. 하나의 예에서, 프로세스는 복수의 서비스 컨텍스트들 (예컨대, SME 컨텍스트들) 또는 서비스 접속들에 대하여 그 후에 공유되는, UE (702) 에서의 단일 접속성 컨텍스트 (예컨대, EMM 컨텍스트) 를 이용하여 라디오 링크 또는 접속을 확립하기 위하여, UE (클라이언트 디바이스) (702), eNB (704), HMME (706), SME (708), 서비스 게이트웨이 (S-GW) (710), 제 1 패킷 데이터 게이트웨이 (P-GW) (712), 제 2 패킷 데이터 게이트웨이 (P-GW) (714), 제 1 홈 가입자 서버 (HSS) (716), 및 제 2 HSS (718) 에 의해 수행될 수도 있다. 클라이언트 디바이스 (UE) (702), eNB (704), HMME (706), SME (708), S-GW (710), 제 1 P-GW (712), 제 2 P-GW (714), 제 1 HSS (716), 및 제 2 HSS (718) 는 도 1, 도 4 내지 도 6, 및 도 14 내지 도 18 중의 임의의 것에서 예시된 것들과 동일할 수도 있다.
흐름도 (700) 는 도 7 내지 도 8 의 흐름도 (500) 와 실질적으로 유사하다. 그러므로, 중복적인 설명은 간결함을 위하여 생략될 수도 있다. 예를 들어, 도 10 에서 예시된 시그널링 절차는 UE (702) 와 HMME (706) 사이에서 EMM 컨텍스트를 확립하고, 도 7 에서 예시된 것과 실질적으로 동일하다.
도 11 을 참조하면, 서비스 또는 서비스 접속에 대한 ESM 컨텍스트를 확립하기 위하여, UE (702) 는 서비스 식별자 (서비스 ID) 를 포함하는 서비스 등록 메시지 (720) 를 HMME (706) 로 전송한다. 서비스 등록 메시지 (720) 의 수신 시에, HMME (706) 는 UE (702) 에 의해 제공된 서비스 ID 에 기초하여 SME (예컨대, SME (708)) 를 선택하고, 초기 UE 메시지 (722) 를 선택된 SME (708) 로 전송한다. 초기 UE 메시지 (722) 는 SME (708) 가 UE (702) 를 식별할 수도 있도록, 위에서 설명된 바와 같이 클라이언트 디바이스 식별자 (예컨대, SCSI) 를 포함할 수도 있다. SME (708) 는 제 2 HSS (718) 와 EPS-AKA 절차 (724) 를 수행함으로써, UE (702) 가 서비스의 가입을 가지는지 아닌지 여부를 체크할 수도 있다. 예를 들어, 제 2 HSS (718) 는 인증 벡터들을 생성함으로써, 그리고 그것들을, 제 2 HSS (718) 대신에, UE (702) 와 인증을 그 후에 수행하는 SME (708) 로 전송함으로써, 키를 유도할 수도 있다. 그 다음으로, SME (708) 는 NAS 보안성 모드 커맨드 (SMC) 메시지들 (726) 을 교환함으로써, UE (702) 와 NAS 보안성 셋업 절차를 수행한다.
UE (702) 와 SME (708) 사이의 NAS 메시지들은 ESM 보안성 컨텍스트들을 이용하여 보호될 수도 있다. 예를 들어, UE (702) 는 SME (708) 와 확립된 ESM 보안성 컨텍스트를 이용하여 NAS 메시지를 암호화할 수도 있고 보호할 수도 있다. 예를 들어, SME (708) 에 대한 NAS 메시지는 HMME (706) 에 대한 외부의 NAS 메시지에서 캡슐화된다. (즉, 캡슐화된 NAS-인-NAS 메시지). 외부의 NAS 메시지는 UE (702) 와 HMME (706) 사이에서 확립된 보안성 컨텍스트를 이용하여 암호화되고 무결성 보호된다. HMME (706) 에 대한 캡슐화된 NAS-인-NAS 메시지는 HMME (706) 가 내부의 NAS 메시지가 포워딩되는 SME (708) 를 식별하는 것을 가능하게 하기 위한 SME ID, 및 SME (708) 가 UE (702) 를 식별하는 것을 가능하게 하기 위한 (SME 에 의해 배정될 수도 있는) UE ID 를 포함할 수도 있다. 하나의 예에서, UE ID 는 SME 에 의해 할당되었던 GUTI 또는 GUTSI (또는 다른 적당한 식별자들) 를 포함할 수도 있다.
유사하게, SME (708) 는 ESM 보안성 컨텍스트를 이용하여 NAS 메시지를 암호화할 수도 있고 보호할 수도 있다. 그 다음으로, NAS 메시지 (내부의 NAS 메시지) 는 HMME (706) 에 대한 외부의 NAS 메시지 (또는 정의될 수도 있는 임의의 다른 적당한 컨테이너) 에서 캡슐화된다. 하나의 예에서, 외부의 NAS 메시지는 보호될 수도 있는 것이 아니라, 보안 채널을 통해 HMME (706) 로 전송될 수도 있다. 하나의 예에서, HMME (706) 및 SME (708) 는 보안화된 통신을 위한 IP 보안성 (IPsec) 채널을 확립할 수도 있다. 외부의 NAS 메시지는 HMME (706) 가 UE ID 를 S1-AP UE ID 에 맵핑하는 것을 가능하게 하기 위한 UE ID 를 포함할 수도 있다. 또 다른 예에서, 외부의 NAS 메시지는 HMME (706) 의 EMM 보안성 컨텍스트를 이용하여 암호화될 수도 있고 무결성 보호될 수도 있다.
UE (702) 는 다음의 설명된 절차를 이용하여 하나 이상의 SME 컨텍스트들을 확립할 수도 있다. 예를 들어, 도 11 을 참조하면, SME (708) 는 세션 생성 요청 (728) 을 HMME (706) 를 통해 S-GW (710) 로 전송한다. 이에 응답하여, S-GW (710) 는 그 EPS 베어러 테이블에서 새로운 엔트리를 생성하고, 세션 생성 요청 메시지 (728) 를 제 2 P-GW (714) 로 전송한다. 세션 생성 요청 메시지에 응답하여, 제 2 P-GW (714) 는 그 EPS 베어러 테이블에서 새로운 엔트리를 생성할 수도 있고, 청구 ID 를 생성할 수도 있다. 그 다음으로, 제 2 P-GW (714) 는 세션 생성 응답 메시지 (730) 를, 메시지를 HMME (706) 를 통해 SME (708) 로 포워딩하는 S-GW (710) 로 전송한다. 다음으로, HMME (706) 는 초기 컨텍스트 셋업 요청 메시지 (732) 를 eNB (704) 로 전송한다. 다음으로, eNB (704) 는 EPS 라디오 베어러 아이덴티티 및 연결 수락 메시지를 포함하는 RRC 접속 재구성 메시지 (734) 를 UE (702) 로 전송한다. 이에 응답하여, UE (702) 는 RRC 접속 재구성 완료 메시지 (736) 를 eNB (704) 로 전송한다. 다음으로, eNB (704) 는 초기 컨텍스트 셋업 응답 (Initial Context Setup Response) 메시지 (738) 를, 초기 컨텍스트 셋업 응답 메시지를 SME (708) 로 포워딩하는 HMME (706) 로 전송한다.
위에서 설명된 절차를 사용하면, UE (702) 는 SME (들) (예컨대, SME (708)) 와 하나 이상의 ESM 컨텍스트들 또는 서비스 접속들을 확립할 수 있다. 예를 들어, 이 절차는 도 5 및 도 6 에서 예시된 제 2 및 제 3 HMME 제어 평면 모델들에서 이용될 수도 있다.
개시물의 하나의 양태에서, eNB 와 HMME/SME 사이의 통신은 3GPP 사양에서 정의된 바와 같은 S1AP (S1 애플리케이션 프로토콜) 를 이용할 수도 있다. S1AP 의 예는 3GPP TS 36.413 - 진화형 유니버셜 지상 라디오 액세스 네트워크 (Evolved Universal Terrestrial Radio Access Network; E-UTRAN); S1 애플리케이션 프로토콜 (S1AP), 릴리즈 (Release) 12 에서 정의되어 있다. S1AP 메시지들은 NDS/IP (Network Domain Security/Internet Protocol; 네트워크 도메인 보안성/인터넷 프로토콜) 를 이용하여 보호될 수도 있다. NDS/IP 는 보안성 도메인 서비스들을 구현하기 위하여 IP 보안성 (IPSec) 을 사용한다. 예를 들어, IPSec 터널은 eNB 와 HMME/SME 사이의 메시지들을 보호하기 위하여 이용될 수도 있다.
개시물의 하나의 양태에서, eNB 와 HMME 사이의 메시지들은 LTE 표준 (예컨대, 3GPP TS 36.413) 에서 정의된 바와 같은 S1AP 를 이용할 수도 있다. 도 12 를 참조하면, eNB (802) 와 SME (804) 사이의 메시지들은 S1AP 를 이용하여 통신될 수도 있고, HMME (806) 는 eNB 와 SME 사이의 프록시로서 구현될 수도 있다. eNB (802), SME (804), 및 HMME (806) 는 도 4 내지 도 8, 도 10, 도 11, 및 도 14 내지 도 18 에서 설명된 것들과 동일할 수도 있다. 이 예에서, HMME (806) 및 SME (804) 는 별도의 UE ID 들을 이용할 수도 있다. HMME (806) 는 HMME UE ID 를 SME UE ID 로, 또는 그 반대로 변환한다. IPSec 터널은 eNB (802) 와 HMME (806) 사이에서 생성되고, 또 다른 IPSec 터널은 HMME (806) 와 SME (804) 사이에서 생성된다. IPSec 터널들은 NDS/IP 에 의해 보호될 수도 있다. 그러나, 본 개시물은 eNB 와 HMME/SME 사이의 통신에 대하여 S1AP 로 제한되지는 않는다. 개시물의 일부 양태들에서, 별도의 통신 프로토콜은 eNB 와 SME 사이, HMME 와 SME 사이, eNB 와 HMME 사이, 또는 그 조합에서 이용될 수도 있다.
도 13 을 참조하면, eNB (902) 와 SME (904) 사이의 S1AP 는 HMME (906) 를 통한 터널링에 의해 구현될 수도 있다. eNB (902), SME (904), 및 HMME (906) 는 도 4 내지 도 8, 도 10, 도 11, 및 도 14 내지 도 18 에서 설명된 것들과 동일할 수도 있다. 이 예에서, 등록 또는 서비스 요청 동안, HMME (906) 는 eNB ID 및 어드레스를 SME (904) 에 제공한다. 그 다음으로, eNB (902) 및 SME (904) 는 사전-설치된 크리덴셜 (예컨대, 증명서 (certificate)) 에 기초하여 보안 채널 (908) 을 확립할 수도 있다. 하나의 특정한 예에서, 보안 채널 (908) 은 IPSec 터널, TLS (Transport Layer Security; 전송 계층 보안성), 또는 DTLS (Datagram Transport Layer Security; 데이터그램 전송 계층 보안성) 에 기초할 수도 있다. 이 경우, eNB (902) 와 SME (904) 사이의 S1AP 메시지들은 투명 컨테이너 (transparent container) 를 이용하여 HMME (906) 를 통해 터널링한다.
도 4 내지 도 6 을 참조하여 설명된 제어 평면 보안성에 추가하여, 추가적인 보안성은 클라이언트 디바이스와 SME 사이의 통신을 보안화하기 위하여 사용자 평면에서 구현될 수도 있다. 도 14 는 개시물의 하나의 양태에 따라, 확장된 사용자-평면 보안성을 갖는 HMME 제어 평면 모델을 예시하는 도면이다. 확장된 사용자-평면 보안성은 도 4 내지 도 6 에서 도시된 모두 3 개의 HMME 제어 평면 모델들에서, 또는 다른 적당한 HMME 제어 평면 모델들에서 구현될 수도 있다. 예를 들어, 클라이언트 디바이스 (1002) (예컨대, UE) 는 다수의 패킷 데이터 게이트웨이 (P-GW) 들과 추가적인 인증을 수행하기 위하여 다수의 사용자 평면 (UP) 보안성 컨텍스트들 (1004) 을 사용할 수도 있다. UP 보안성 컨텍스트들 (1004) 은 서비스 제공자가 ESM 컨텍스트들 (1006) 및 보안성 컨텍스트들 (1008) 에 의해 제공된 것들에 추가하여, 보안성의 여분의 계층을 클라이언트 디바이스 (1002) 와 서비스 제공자들의 네트워크들 사이의 메시지들 또는 통신에 제공하는 것을 허용한다. 또한, UP 보안성은 메시지들 또는 통신의 정보 및 내용이 접속성 제공자의 네트워크, 예를 들어, RAN (1010) 및 HMME 로부터 차폐될 수 있도록, 서비스 제공자들에 의해 제어될 수도 있고 유지될 수도 있다.
개시물의 하나의 양태에서, 제 1 P-GW (1014), 제 2 P-GW (1016), 및 제 3 P-GW (1018) 는 접속들을 제 1 서비스 네트워크 (1020), 제 2 서비스 네트워크 (1022), 및 제 3 서비스 네트워크 (1024) 에 각각 제공한다. 제 1 P-GW (1014) 는 대응하는 UP 보안성 컨텍스트 (예컨대, UP 보안성 1) 에 기초하여 제 1 HSS/AAA (1026) 와 인증 절차를 수행함으로써, 클라이언트 디바이스 (1002) 가 서비스에 대한 유효한 가입 또는 크리덴셜을 가지는지 여부를 체크할 수도 있다. 제 2 P-GW (1016) 는 대응하는 UP 보안성 컨텍스트 (예컨대, UP 보안성 2) 에 기초하여 제 2 HSS/AAA (1028) 와 인증 절차를 수행함으로써, 클라이언트 디바이스 (1002) 가 서비스에 대한 유효한 가입 또는 크리덴셜을 가지는지 여부를 체크할 수도 있다. 유사하게, 제 3 P-GW (1018) 는 대응하는 UP 보안성 컨텍스트 (예컨대, UP 보안성 3) 에 기초하여 제 3 HSS/AAA (1030) 와 인증 절차를 수행함으로써, 클라이언트 디바이스 (1002) 가 서비스에 대한 유효한 가입 또는 크리덴셜을 가지는지 여부를 체크할 수도 있다.
도 15 내지 도 17 은 개시물의 일부 양태들에 따라, 액세스 계층 보안성 컨텍스트들을 사용하는 일부 예시적인 HMME 사용자 평면 모델들을 예시하는 도면들이다. 이 예들에서, 하나의 EMM 컨텍스트는 액세스 네트워크 (RAN) 와 단일 네트워크 접속 또는 링크를 확립하기 위하여 클라이언트 디바이스마다 이용되는 반면, 다수의 ESM 컨텍스트들 및 액세스 계층 (AS) 보안성 컨텍스트들은 상이한 서비스 제공자들 (서비스 네트워크들) 과 서비스 접속들을 확립하기 위하여 이용된다. EMM 컨텍스트 및 ESM 컨텍스트들은 상기 도 7 내지 도 11 에 관련하여 설명된 바와 같은 절차들을 이용하여 확립될 수도 있다. AS 보안성 컨텍스트들은 클라이언트 디바이스와 RAN 사이의 사용자 평면 통신을 보안화하고 보호하기 위하여 이용될 수도 있다. 이 HMME 데이터 평면 모델들은 상기 도 4 내지 도 6 에서 설명된 HMME 제어 평면 모델들 또는 다른 적당한 제어 평면 모델들과 함께 구현될 수도 있다.
도 15 는 도 4 및 도 5 에서 도시된 HMME 제어 평면 모델들 또는 다른 적당한 HMME 제어 평면 모델들과 함께 구현될 수도 있는 제 1 HMME 데이터 평면 모델 (1100) 을 예시한다. 도 15 에서 도시된 예에서, 클라이언트 디바이스 (1102) 와 RAN (1104) 사이의 UE-투-RAN (UE-to-RAN) 데이터 평면 트래픽에 대하여, 클라이언트 디바이스 (1102) (예컨대, UE) 는 어떤 서비스 네트워크로 예정된 메시지에 대응하는 ESM 컨텍스트 (1108) 로부터 AS 보안성 컨텍스트 (1106) 를 결정한다. 이 예에서, 3 개의 AS 보안성 컨텍스트들 (1106) 은 3 개의 ESM 컨텍스트들 (1108) 로부터 유도된다. 클라이언트 디바이스 (1102) 는 제 1 서비스 네트워크 (1110) 와 제 1 ESM 컨텍스트 (ESM 컨텍스트 1) 를, 제 2 서비스 네트워크 (1112) 와 제 2 ESM 컨텍스트 (ESM 컨텍스트 2) 를, 그리고 제 3 서비스 네트워크 (1114) 와 제 3 ESM 컨텍스트 (ESM 컨텍스트 3) 를 확립하였다. 제 1 HMME 데이터 평면 모델 (1100) 은 상이한 P-GW 들 (1118) 에 대한 별도의 S-GW 들 (1116) 을 이용한다.
제어 메시지 (예컨대, RRC 메시지) 에 대하여, 클라이언트 디바이스 (1102) 는 AS 보안성 컨텍스트에 기초하여, 메시지를 암호화할 수도 있고 무결성-보호할 수도 있으며 VESM 태그를 메시지에 추가할 수도 있다. 데이터 메시지에 대하여, 클라이언트 (1102) 는 AS 보안성 컨텍스트에 기초하여, 데이터 메시지를 암호화할 수도 있고 VESM 태그를 메시지에 추가할 수도 있다.
RAN-투-UE 데이터 평면 트래픽에 대하여, RAN 노드 (1104) (예컨대, eNB) 는 UE 또는 클라이언트 디바이스 (1102) 로 전송되어야 할 메시지에 대한 AS 보안성 컨텍스트를 결정한다. 하나의 예에서, 제어 메시지 (예컨대, RRC 메시지) 에 대하여, HMME (도 15 에서 도시되지 않음) 의 ESM 보안성 컨텍스트로부터 유도된 디폴트 AS 보안성 컨텍스트가 이용될 수도 있다. RAN (1104) (예컨대, eNB) 에서, 세션 컨텍스트들 (1120) (예컨대, 세션 컨텍스트들 1, 2, 3) 은 패킷들을 클라이언트 (1102) (예컨대, UE) 로부터 S-GW 들 (1116) 로, 또는 그 반대로 포워딩하기 위하여 이용된 정보를 제공한다. 예를 들어, 세션 컨텍스트는 베어러 ID 들, QoS 정보, 터널 종점 ID 들 등을 포함할 수도 있다. S-GW 들 (1116) 에서의 세션 컨텍스트들은 RAN (1104) 의 그것들과 유사하다. 예를 들어, 이 컨텍스트들은 P-GW 들 (1118) 로부터 수신된 클라이언트 (1102) 에 대한 패킷들을 RAN (1104) (예컨대, eNB) 으로, 그리고 그 반대로 포워딩하기 위하여 이용된 정보를 제공할 수도 있다.
제어 메시지 (예컨대, RRC 메시지) 에 대하여, RAN 노드 (1104) 는 AS 보안성 컨텍스트에 기초하여, 메시지를 암호화할 수도 있고 무결성-보호할 수도 있으며 VESM 태그를 메시지에 추가할 수도 있다. 데이터 메시지에 대하여, RAN 노드 (1104) 는 AS 보안성 컨텍스트에 기초하여, 메시지를 암호화할 수도 있고 VESM 태그를 메시지에 추가할 수도 있다. 하나의 예에서, VESM 태그는 TEID (unique tunnel endpoint identifier; 고유 터널 종점 식별자) 및 S-GW IP 어드레스로부터 결정될 수도 있다. RAN 노드 (1104) 로부터 메시지를 수신할 시에, 클라이언트 디바이스 (1102) 는 VESM 태그에 기초하여 메시지를 검증하기 위하여 대응하는 AS 보안성 컨텍스트를 결정할 수도 있다.
도 16 은 도 6 에서 도시된 HMME 제어 평면 모델 또는 다른 적당한 HMME 제어 평면 모델들과 함께 구현될 수도 있는 제 2 HMME 데이터 평면 모델 (1200) 을 예시한다. 제 2 HMME 데이터 평면 모델 (1200) 에서, 클라이언트 디바이스 (1202) 와 RAN (1204) 사이의 UE-투-RAN 데이터 평면 트래픽에 대하여, 클라이언트 디바이스 (1202) (예컨대, UE) 는 어떤 서비스 네트워크로 예정된 메시지에 대응하는 AS 보안성 컨텍스트 (1206) 를 결정한다. 이 예에서, 3 개의 AS 보안성 컨텍스트들 (1206) 은 ESM 컨텍스트들 (1208) 로부터 유도된다. 클라이언트 디바이스 (1202) 는 제 1 서비스 네트워크 (1210) 와 제 1 ESM 컨텍스트 (ESM 컨텍스트 1) 를, 제 2 서비스 네트워크 (1212) 와 제 2 ESM 컨텍스트 (ESM 컨텍스트 2) 를, 그리고 제 3 서비스 네트워크 (1214) 와 제 3 ESM 컨텍스트 (ESM 컨텍스트 3) 를 확립하였다. 제 2 HMME 데이터 평면 모델 (1200) 은 상이한 P-GW 들 (1218) 에 대한 공통 S-GW (1216) 를 이용한다. 제 2 HMME 데이터 평면 모델 (1200) 은 제 1 HMME 데이터 평면 모델 (1100) 과 유사하고, 제 2 HMME 데이터 평면 모델 (1200) 의 중복적인 설명은 간결함을 위하여 반복되지 않을 것이다.
도 17 은 도 6 에서 도시된 HMME 제어 평면 모델 또는 다른 적당한 HMME 제어 평면 모델들과 함께 구현될 수도 있는 제 3 HMME 데이터 평면 모델 (1300) 을 예시한다. 클라이언트 디바이스 (1302) 는 각각 제 1 서비스 네트워크 (1310), 제 2 서비스 네트워크 (1312), 및 제 3 서비스 네트워크 (1314) 에 대하여 상이한 ESM 컨텍스트들 (1308), 예를 들어, 제 1 ESM 컨텍스트, 제 2 ESM 컨텍스트, 및 제 3 ESM 컨텍스트를 확립하였을 수도 있다. 이 특정한 예에서, UE-투-RAN 데이터 평면 트래픽에 대하여, 클라이언트 디바이스 (1302) (예컨대, UE) 는 EMM 보안성 컨텍스트 (1309) 로부터 유도된 디폴트 AS 보안성 컨텍스트 (1306) 를 이용할 수도 있다. 또 다른 예에서, ESM 보안성 컨텍스트 (1308) 로부터 유도된 AS 보안성 컨텍스트는 디폴트 AS 보안성 컨텍스트로서 설정될 수도 있다. 제어 메시지 (예컨대, RRC 메시지) 에 대하여, 클라이언트 디바이스 (1302) 는 AS 보안성 컨텍스트에 기초하여, 메시지를 암호화할 수도 있고 무결성-보호할 수도 있으며 VESM 태그를 제어 메시지에 추가할 수도 있다. 데이터 메시지에 대하여, 클라이언트 디바이스 (1302) 는 AS 보안성 컨텍스트에 기초하여, 데이터 메시지를 암호화할 수도 있고 VESM 태그를 메시지에 추가할 수도 있다.
RAN (1304) 에서, 세션 컨텍스트들 (1320) (예컨대, 세션 컨텍스트들 1, 2, 3) 은 패킷들을 클라이언트 (1302) (예컨대, UE) 로부터 S-GW (1316) 로, 또는 그 반대로 포워딩하기 위하여 이용된 정보를 제공한다. 예를 들어, 세션 컨텍스트는 베어러 ID 들, QoS 정보, 터널 종점 ID 들 등을 포함할 수도 있다. S-GW (1316) 에서의 세션 컨텍스트들은 RAN (1304) 의 그것들과 유사하다. 예를 들어, 이 컨텍스트들은 P-GW 들 (1318) 로부터 수신된 클라이언트 (1302) 에 대한 패킷들을 RAN (1304) (예컨대, eNB) 으로, 그리고 그 반대로 어떻게 포워딩할 것인지에 대한 정보를 포함할 수도 있다.
위에서 설명된 데이터 평면 모델들에서, RAN 에서는, UE 컨텍스트가 예를 들어, 세션 컨텍스트, AS 보안성 컨텍스트, 및 클라이언트에 관련된 다른 상태들을 포함하는 클라이언트 (예컨대, UE) 에 대한 정보를 포함한다. 유사하게, HMME 에서, UE 컨텍스트는 EMM/ESM 컨텍스트들, 보안성 컨텍스트, 및 다른 상태들, 예컨대, IMSI, TMSI 등을 포함하는 클라이언트에 대한 정보를 포함한다.
RAN-투-UE 데이터 평면 트래픽에 대하여, RAN 노드 (1304) (예컨대, eNB) 는 HMME (도 17 에서 도시되지 않음) 에 의해 제공된 디폴트 AS 보안성 컨텍스트를 이용할 수도 있다. 제어 메시지 (예컨대, RRC 메시지) 에 대하여, RAN 노드 (1304) (예컨대, eNB) 는 AS 보안성에 기초하여, 메시지를 암호화할 수도 있고 무결성-보호할 수도 있으며 VESM 태그를 메시지에 추가할 수도 있다. 데이터 메시지에 대하여, RAN 노드 (1304) 는 AS 보안성 컨텍스트에 기초하여, 메시지를 암호화할 수도 있고 VESM 태그를 메시지에 추가할 수도 있다. 예를 들어, VESM 태그는 TEID 및 S-GW IP 어드레스로부터 결정될 수도 있다.
도 18 은 개시물의 양태에 따라, 예시적인 사용자 평면 보안성 종결 모델 (1400) 을 예시하는 도면이다. 도 15 내지 도 17 에서 설명된 것들과 유사한 클라이언트 디바이스 (1402) 는 RAN (1404) 과 확립된 단일 ESM 컨텍스트를 가진다. RAN (1404) 은 상이한 패킷 데이터 게이트웨이 (P-GW) 들 (1408) 각각 접속되는 3 개의 S-GW 들 (1406) 에 접속된다. P-GW 들 (1408) 의 각각은 대응하는 서비스 네트워크 (1410) 에 대한 액세스를 제공한다. EMM 컨텍스트 및 다수의 ESM 컨텍스트는 도 7 내지 도 11 에 관련하여 위에서 설명된 절차들을 이용하여 확립될 수도 있다. 이 예에서, 사용자 평면 보안성 (UP 보안성) 은 패킷 데이터 게이트웨이들 (1408) (P-GW1, P-GW2, P-GW3) 에서 종결된다. 이 사용자-평면 보안성 종결 모델은 도 15 내지 도 17 에서 예시된 데이터 평면 모델들에서 이용될 수도 있다. UP 보안성은 서비스 제공자가 액세스 네트워크 (예컨대, RAN (1404)) 로부터 사용자 데이터 트래픽을 보호하는 것을 가능하게 한다. 개시물의 다양한 양태들에서, AS 보안성 컨텍스트는 클라이언트 디바이스와 RAN 사이에서 양자의 데이터 라디오 베어러 (Data Radio Bearer; DRB) 및 시그널링 라디오 베어러 (Signaling Radio Bearer; SRB) 를 보호하기 위하여 이용될 수도 있고, UP 보안성은 DRP 보호로부터 별도로 적용된다.
도 19 는 개시물의 양태에 따라, 다수의 동시 또는 공존 서비스 컨텍스트들을 확립하기 위하여 클라이언트 디바이스에서 동작가능한 예시적인 방법 (1500) 을 예시하는 플로우차트이다. 방법 (1500) 은 도 1, 도 2, 도 4 내지 도 8, 도 10, 도 11, 및/또는 도 14 내지 도 18 중의 임의의 것에서 예시된 클라이언트 디바이스에서 수행될 수도 있다. 블록 (1502) 에서, 클라이언트 디바이스는 제 1 크리덴셜에 기초하여 접속성 네트워크와 무선 링크 또는 접속을 확립한다. 블록 (1504) 에서, 클라이언트 디바이스는 접속에 대응하는 접속 컨텍스트를 확립한다. 예를 들어, 클라이언트 디바이스 (UE) 는 접속성 크리덴셜을 이용하여 액세스 네트워크 (예컨대, RAN) 에 연결할 수도 있고, HMME (예컨대, 도 4 내지 도 6 의 HMME 들) 를 사용하여 RAN 으로의 단일 접속을 확립할 수도 있다. 일부 예들에서, HMME 는 코어 네트워크에서 상주할 수도 있다. 이 때, 단일 EMM 컨텍스트 또는 접속성이 확립된다. 하나의 예에서, 클라이언트 디바이스는 무선 링크 및 접속성 컨텍스트를 확립하기 위하여 라디오 링크 확립 모듈 (210) 및 무선 네트워크 통신 인터페이스 (204) (도 2 참조) 를 사용할 수도 있다.
블록 (1506) 에서, 클라이언트 디바이스는 접속성 네트워크와 연관된 하나 이상의 서비스 네트워크들을 식별한다. 예를 들어, 클라이언트 디바이스는 하나 이상의 서비스 네트워크들로 예정된 제 1 메시지를 송신할 수도 있고, 여기서, 제 1 메시지는 액세스 네트워크의 네트워크 노드 (예컨대, HMME) 로 예정된 제 2 메시지에서 캡슐화된다. 메시지가 예정된 네트워크의 특정 엔티티 (예컨대, 서비스 네트워크의 HMME 또는 SME) 로 어드레싱될 때, 메시지는 어떤 네트워크로 예정된다. 예를 들어, 서비스 네트워크들은 도 4 내지 도 6, 및 도 14 내지 도 17 에서 예시된 서비스 네트워크들일 수도 있다. 클라이언트 디바이스는 도 7, 도 8, 도 10, 및 도 11 에서 예시된 것들과 유사한 절차들을 수행하여 서비스 네트워크들을 식별하기 위하여 서비스 컨텍스트 확립 모듈 (212) (도 2 참조) 을 사용할 수도 있다.
블록 (1508) 에서, 클라이언트 디바이스는 확립된 무선 링크 또는 접속을 사용하여 서비스 네트워크들과 하나 이상의 서비스 접속들을 확립하고, 여기서, 하나 이상의 서비스 접속들은 개개의 제 2 크리덴셜들을 이용하여 확립된다. 블록 (1510) 에서, 클라이언트 디바이스는 서비스 접속들에 각각 대응하는 하나 이상의 서비스 컨텍스트들을 확립한다. 서비스 컨텍스트들은 상이한 보안성 컨텍스트들을 포함할 수도 있다. 보안성 컨텍스트들의 각각은 NAS 보안성 컨텍스트 및 AS 보안성 컨텍스트를 포함하고, 양자의 NAS 및 AS 보안성 컨텍스트들은 동일한 제 2 크리덴셜에 대응한다. 예를 들어, 서비스 컨텍스트들은 도 4 내지 도 6, 및 도 14 내지 도 17 에서 설명된 ESM 컨텍스트들일 수도 있고, 보안성 컨텍스트들은 도 4 내지 도 6, 및 도 14 내지 도 17 에서 설명된 것들일 수도 있다. 클라이언트 디바이스는 도 7, 도 8, 도 10, 및 도 11 에서 예시된 것들과 유사한 절차들을 수행하여 서비스 접속들 및 컨텍스트들을 확립하기 위하여 서비스 컨텍스트 확립 모듈 (212) 을 사용할 수도 있다. 서비스 접속들의 각각은 대응하는 AS 보안성 컨텍스트에 기초하여 별도의 키로 보호될 수도 있고, 대응하는 VESM 태그에 의해 구별될 수도 있다.
도 20 은 개시물의 양태에 따라, 방법 (1500) 의 추가적인 절차들을 예시하는 플로우차트이다. 블록 (1512) 에서, 클라이언트 디바이스는 하나 이상의 서비스 네트워크들과 각각 연관된 복수의 패킷 데이터 게이트웨이 (P-GW) 들로부터 수신되거나 이러한 복수의 패킷 데이터 게이트웨이 (P-GW) 들로 송신된 패킷들을 보호하기 위하여, 복수의 사용자 평면 (UP) 보안성 컨텍스트들을 사용할 수도 있다. 예를 들어, P-GW 들은 도 4 내지 도 8, 도 10, 도 11, 및 도 14 내지 도 18 중의 임의의 것에서 예시된 P-GW 들일 수도 있다.
도 21 은 개시물의 양태에 따라, 접속성 네트워크의 네트워크 노드에서 동작가능한 예시적인 방법 (1600) 을 예시하는 플로우차트이다. 방법 (1600) 은 도 1, 도 3, 도 4 내지 도 8, 및 도 10 내지 도 18 중의 임의의 것에서 예시된 네트워크 노드 (예컨대, HMME) 에서 수행될 수도 있다. 블록 (1602) 에서, 접속성 네트워크의 네트워크 노드는 접속성 크리덴셜에 기초하여 클라이언트 디바이스와 무선 링크 또는 제 1 접속을 확립한다. 블록 (1604) 에서, 네트워크 노드는 제 1 접속에 대응하는 접속성 컨텍스트를 확립한다. 예를 들어, 네트워크 노드는 접속성 크리덴셜을 이용하여 클라이언트 디바이스와 단일 접속 및 대응하는 EMM 컨텍스트를 확립하기 위하여 클라이언트 디바이스 (UE) 로부터 제 1 연결 요청을 수신하는 HMME (예컨대, 도 4 내지 도 14 에서 도시된 HMME 들) 일 수도 있다. 네트워크 노드는 도 7 내지 도 11 에서 설명된 절차들을 이용하여 클라이언트 디바이스 (도 3 참조) 와 단일 링크 및 EMM 컨텍스트를 확립하기 위하여, 라디오 링크 확립 모듈 (310) 및 네트워크 통신 인터페이스 (304) 및 HMME 모듈 (312) 을 사용할 수도 있다.
단일 무선 링크가 클라이언트 디바이스와 확립된 후, 블록 (1606) 에서, 네트워크 노드는 클라이언트 디바이스로부터, 접속성 네트워크와 연관된 하나 이상의 서비스 네트워크들과 접속들을 확립하기 위한 요청을 수신할 수도 있다. 예를 들어, 서비스 네트워크들은 도 4 내지 도 6, 및 도 14 내지 도 18 에서 예시된 서비스 네트워크들 또는 제공자들일 수도 있다. 요청은 현존하는 무선 링크 또는 접속성을 이용하여 서비스 네트워크들 또는 제공자들 중의 하나 이상과 별도의 ESM 컨텍스트들을 확립하기 위한 제 2 연결 요청을 포함할 수도 있다. ESM 컨텍스트들의 각각은 상이한 보안성 컨텍스트에 대응할 수도 있다. 네트워크 노드는 클라이언트 디바이스로부터 요청을 수신하기 위하여 네트워크 통신 인터페이스 (304) (도 3 참조) 를 사용할 수도 있다.
블록 (1608) 에서, 네트워크 노드는 네트워크 노드를 프록시로서 사용하여, 각각 클라이언트 디바이스에 대하여 서비스 네트워크들과 하나 이상의 제 2 접속들을 확립한다. 하나의 예에서, 네트워크 노드는 도 7 내지 도 11 에서 설명된 절차들을 이용하여 제 2 접속들 및 대응하는 컨텍스트들을 확립하기 위하여 SME 모듈 (314) 을 사용할 수도 있다.
도 22 는 개시물의 양태에 따라, 방법 (1600) 의 추가적인 절차들을 예시하는 플로우차트이다. 블록 (1610) 에서, 네트워크 노드는 클라이언트 디바이스로부터 메시지를 수신할 수도 있고, 여기서, 메시지는 서비스 네트워크들로 예정된 또 다른 메시지를 캡슐화한다. 예를 들어, 메시지는 도 8 및 도 11 에서 예시된 NAS 캡슐화된 메시지들일 수도 있다.
도 23 은 개시물의 양태에 따라, 서비스 네트워크의 네트워크 노드에서 동작가능한 예시적인 방법 (1700) 을 예시하는 플로우차트이다. 방법 (1700) 은 도 1, 도 3, 도 4 내지 도 8, 및 도 10 내지 도 18 중의 임의의 것에서 예시된 네트워크 노드 (예컨대, SME) 에서 수행될 수도 있다. 블록 (1702) 에서, 네트워크 노드는 클라이언트 디바이스로부터, 접속을 확립하기 위한 요청을 수신한다. 예를 들어, SME 는 요청을 수신하기 위하여 그 네트워크 통신 인터페이스 (304) (도 3 참조) 를 사용할 수도 있다. 블록 (1704) 에서, 네트워크 노드는 접속성 네트워크의 네트워크 노드 (예컨대, HMME) 를 통해 클라이언트 디바이스와 접속을 확립한다. 예에 대하여, 네트워크 노드는 접속을 확립하기 위하여 서비스 관리 엔티티 모듈/회로/기능 (314) 을 사용할 수도 있다. 블록 (1706) 에서, 네트워크 노드는 접속에 대응하는 서비스 컨텍스트를 확립하고, 여기서, 서비스 컨텍스트는 보안성 컨텍스트와 연관된다. 예를 들어, 서비스 관리 엔티티 모듈/회로/기능 (314) 은 서비스 컨텍스트 (334) (도 3 참조) 를 확립하기 위하여 SME 명령들 (318) 에 의해 구성될 수도 있다.
개시된 프로세스들에서의 단계들의 특정 순서 또는 계층구조는 예시적인 접근법들의 예시라는 것이 이해된다. 설계 선호도들에 기초하여, 프로세스들에서의 단계들의 특정 순서 또는 계층구조는 재배열될 수도 있다는 것이 이해된다. 동반된 방법 청구항들은 표본적인 순서에서 다양한 단계들의 엘리먼트들을 제시하고, 제시된 특정 순서 또는 계층구조로 한정되도록 의도된 것은 아니다.

Claims (30)

  1. 클라이언트 디바이스를 동작시키는 방법으로서,
    제 1 크리덴셜 (credential) 에 기초하여 접속성 네트워크와 접속성 컨텍스트를 확립하는 단계; 및
    상기 접속성 네트워크와 확립된 상기 접속성 컨텍스트를 사용하여 상기 접속성 네트워크와 연관된 복수의 개개의 서비스 네트워크들과 복수의 서비스 컨텍스트들을 확립하는 단계로서, 상기 복수의 서비스 컨텍스트들은 상기 클라이언트 디바이스에 의해 제공되는 대응하는 복수의 제 2 크리덴셜들을 이용하여 확립되는, 상기 복수의 서비스 컨텍스트들을 확립하는 단계를 포함하고,
    상기 복수의 서비스 컨텍스트들의 각각의 서비스 컨텍스트는 상이한 보안성 컨텍스트를 각각 포함하고, 그리고
    상기 복수의 서비스 컨텍스트들의 각각의 상기 보안성 컨텍스트는 코어 네트워크 보안성 컨텍스트 및 액세스 보안성 컨텍스트를 포함하고, 상기 코어 네트워크 보안성 컨텍스트 및 상기 액세스 보안성 컨텍스트 양자는 상기 복수의 제 2 크리덴셜들 중 동일한 제 2 크리덴셜을 이용하는, 클라이언트 디바이스를 동작시키는 방법.
  2. 제 1 항에 있어서,
    상기 코어 네트워크 보안성 컨텍스트는 상기 클라이언트 디바이스와, 호스트 이동성 관리 엔티티 (host mobility management entity; HMME) 또는 서비스 관리 엔티티 (Service Management Entity; SME) 중의 적어도 하나와의 사이의 제어 메시지들을 보호하도록 구성되고, 그리고
    상기 액세스 보안성 컨텍스트는 하나 이상의 시그널링 라디오 베어러들, 하나 이상의 데이터 라디오 베어러들, 또는 하나 이상의 시그널링 라디오 베어러들 및 하나 이상의 데이터 라디오 베어러들의 조합 중의 적어도 하나를 보호하도록 구성되는, 클라이언트 디바이스를 동작시키는 방법.
  3. 제 1 항에 있어서,
    상기 복수의 서비스 컨텍스트들을 확립하는 단계는 상기 복수의 서비스 네트워크들로 예정된 메시지를 송신하는 단계를 포함하고, 상기 메시지는 상기 접속성 네트워크의 호스트 이동성 관리 엔티티 (HMME) 로 예정된 메시지에서 캡슐화되는, 클라이언트 디바이스를 동작시키는 방법.
  4. 제 1 항에 있어서,
    상기 복수의 서비스 네트워크들은 상기 접속성 네트워크에서 적어도 부분적으로 확립되는 가상적인 네트워크를 포함하고, 상기 하나 이상의 서비스 네트워크들은 상이한 서비스들과 각각 연관되는, 클라이언트 디바이스를 동작시키는 방법.
  5. 제 1 항에 있어서,
    상기 복수의 서비스 컨텍스트들의 각각은 상기 액세스 보안성 컨텍스트에 기초하여 별도의 키로 보호되고, 대응하는 가상적인 진화형 패킷 시스템 (Evolved Packet System; EPS) 세션 관리 태그에 의해 구별되는, 클라이언트 디바이스를 동작시키는 방법.
  6. 제 1 항에 있어서,
    상기 복수의 서비스 네트워크들과 각각 연관된 복수의 패킷 데이터 게이트웨이들로부터 수신되거나 이러한 복수의 패킷 데이터 게이트웨이들로 송신된 패킷들을 보호하기 위하여 복수의 사용자 평면 (user plane; UP) 보안성 컨텍스트들을 사용하는 단계를 더 포함하는, 클라이언트 디바이스를 동작시키는 방법.
  7. 제 6 항에 있어서,
    상기 패킷들을 보호하는 단계는,
    상기 패킷들을 암호화하는 단계;
    상기 패킷들을 무결성 보호하는 단계; 또는
    상기 패킷들을 암호화하고 무결성 보호하는 단계 중의 적어도 하나를 포함하는, 클라이언트 디바이스를 동작시키는 방법.
  8. 접속성 네트워크의 네트워크 노드를 동작시키는 방법으로서,
    클라이언트 디바이스에 의해 제공되는 접속성 크리덴셜에 기초하여 상기 클라이언트 디바이스와 제 1 접속성 컨텍스트를 확립하는 단계;
    상기 클라이언트 디바이스로부터, 복수의 개개의 서비스 네트워크들과 복수의 서비스 컨텍스트들을 확립하기 위한 요청을 수신하는 단계; 및
    상기 네트워크 노드를 프록시로서 사용하여, 상기 클라이언트 디바이스에 의해 제공되는 대응하는 복수의 서비스 크리덴셜들을 이용하여 각각 상기 클라이언트 디바이스에 대하여 상기 복수의 서비스 네트워크들과 상기 복수의 서비스 컨텍스트들을 확립하는 단계로서, 상기 네트워크 노드는 호스트 이동성 관리 엔티티 (HMME) 를 포함하는, 상기 복수의 서비스 컨텍스트들을 확립하는 단계를 포함하고,
    상기 복수의 서비스 컨텍스트들의 각각의 서비스 컨텍스트는 상이한 보안성 컨텍스트를 각각 포함하고, 그리고
    상기 복수의 서비스 컨텍스트들의 각각의 상기 보안성 컨텍스트는 코어 네트워크 보안성 컨텍스트 및 액세스 보안성 컨텍스트를 포함하고, 상기 코어 네트워크 보안성 컨텍스트 및 상기 액세스 보안성 컨텍스트 양자는 상기 복수의 서비스 크리덴셜들 중 동일한 개개의 서비스 크리덴셜을 이용하는, 접속성 네트워크의 네트워크 노드를 동작시키는 방법.
  9. 제 8 항에 있어서,
    상기 복수의 서비스 컨텍스트들의 각각은 IP 보안성 (IP Security; IPSec) 터널을 포함하는, 접속성 네트워크의 네트워크 노드를 동작시키는 방법.
  10. 제 8 항에 있어서,
    상기 클라이언트 디바이스로부터 메시지를 수신하는 단계로서, 상기 메시지는 상기 복수의 서비스 네트워크들로 예정된 또 다른 메시지를 캡슐화하는, 상기 메시지를 수신하는 단계를 더 포함하는, 접속성 네트워크의 네트워크 노드를 동작시키는 방법.
  11. 서비스 네트워크의 네트워크 노드를 동작시키는 방법으로서,
    클라이언트 디바이스로부터, 상기 클라이언트 디바이스에 의해 제공되는 제 1 크리덴셜에 기초하여 접속성 컨텍스트를 확립하기 위한 요청을 수신하는 단계;
    접속성 네트워크의 네트워크 노드를 통해 상기 클라이언트 디바이스와 상기 접속성 컨텍스트를 확립하는 단계로서, 상기 접속성 네트워크의 상기 네트워크 노드는 호스트 이동성 관리 엔티티 (HMME) 를 포함하는, 상기 접속성 컨텍스트를 확립하는 단계; 및
    상기 클라이언트 디바이스에 의해 제공되는 대응하는 복수의 서비스 크리덴셜들에 기초하여 접속에 대응하는 복수의 서비스 컨텍스트들을 확립하는 단계로서, 상기 복수의 서비스 컨텍스트들의 각각의 서비스 컨텍스트는 상이한 보안성 컨텍스트와 연관되는, 상기 복수의 서비스 컨텍스트들을 확립하는 단계를 포함하고,
    상기 복수의 서비스 컨텍스트들의 각각의 상기 보안성 컨텍스트는 코어 네트워크 보안성 컨텍스트 및 액세스 보안성 컨텍스트를 포함하고, 상기 코어 네트워크 보안성 컨텍스트 및 상기 액세스 보안성 컨텍스트 양자는 상기 복수의 서비스 크리덴셜들 중 동일한 개개의 서비스 크리덴셜을 이용하는, 서비스 네트워크의 네트워크 노드를 동작시키는 방법.
  12. 삭제
  13. 제 11 항에 있어서,
    상기 복수의 서비스 컨텍스트들의 적어도 하나는 상기 접속성 네트워크의 상기 네트워크 노드를 통한 IP 보안성 (IPSec) 터널을 포함하는, 서비스 네트워크의 네트워크 노드를 동작시키는 방법.
  14. 제 11 항에 있어서,
    상기 복수의 서비스 컨텍스트들의 적어도 하나는 상기 접속성 네트워크에서 적어도 부분적으로 확립되는 가상적인 네트워크를 포함하는, 서비스 네트워크의 네트워크 노드를 동작시키는 방법.
  15. 제 11 항에 있어서,
    상기 복수의 서비스 컨텍스트들의 적어도 하나는 가상적인 진화형 패킷 시스템 (EPS) 세션 관리 태그와 연관되는, 서비스 네트워크의 네트워크 노드를 동작시키는 방법.
  16. 클라이언트 디바이스로서,
    메모리;
    접속성 네트워크와 통신하도록 구성된 통신 인터페이스; 및
    상기 메모리 및 상기 통신 인터페이스에 결합된 프로세서를 포함하고,
    상기 프로세서 및 상기 메모리는,
    상기 클라이언트 디바이스에 의해 제공되는 제 1 크리덴셜에 기초하여 상기 접속성 네트워크와 접속성 컨텍스트를 확립하고; 그리고
    상기 접속성 네트워크와 확립된 상기 접속성 컨텍스트를 사용하여 복수의 개개의 서비스 네트워크들과 복수의 서비스 컨텍스트들을 확립하는 것으로서, 상기 복수의 서비스 컨텍스트들은 상기 클라이언트 디바이스에 의해 제공되는 대응하는 복수의 제 2 크리덴셜들을 이용하여 확립되는, 상기 복수의 서비스 컨텍스트들을 확립하도록 구성되고,
    상기 복수의 서비스 컨텍스트들의 각각의 서비스 컨텍스트는 상이한 보안성 컨텍스트를 각각 포함하고, 그리고
    상기 복수의 서비스 컨텍스트들의 각각의 상기 보안성 컨텍스트는 코어 네트워크 보안성 컨텍스트 및 액세스 보안성 컨텍스트를 포함하고, 상기 코어 네트워크 보안성 컨텍스트 및 상기 액세스 보안성 컨텍스트 양자는 상기 복수의 제 2 크리덴셜들 중 동일한 제 2 크리덴셜을 이용하는, 무선 통신 네트워크에서의 클라이언트 디바이스.
  17. 제 16 항에 있어서,
    상기 코어 네트워크 보안성 컨텍스트는 상기 클라이언트 디바이스와, 호스트 이동성 관리 엔티티 (HMME) 또는 서비스 관리 엔티티 (SME) 중의 적어도 하나와의 사이의 제어 메시지들을 보호하도록 구성되고, 그리고
    상기 액세스 보안성 컨텍스트는 하나 이상의 시그널링 라디오 베어러들, 하나 이상의 데이터 라디오 베어러들, 또는 하나 이상의 시그널링 라디오 베어러들 및 하나 이상의 데이터 라디오 베어러들의 조합 중의 적어도 하나를 보호하도록 구성되는, 무선 통신 네트워크에서의 클라이언트 디바이스.
  18. 제 16 항에 있어서,
    상기 복수의 서비스 컨텍스트들을 확립하기 위하여, 상기 프로세서는 또한 상기 복수의 서비스 네트워크들로 예정된 메시지를 송신하도록 구성되고, 상기 메시지는 상기 접속성 네트워크의 호스트 이동성 관리 엔티티 (HMME) 로 예정된 메시지에서 캡슐화되는, 무선 통신 네트워크에서의 클라이언트 디바이스.
  19. 제 16 항에 있어서,
    상기 복수의 서비스 네트워크들은 상기 접속성 네트워크에서 적어도 부분적으로 확립되는 가상적인 네트워크를 포함하고, 상기 복수의 서비스 네트워크들은 상이한 서비스들과 각각 연관되는, 무선 통신 네트워크에서의 클라이언트 디바이스.
  20. 제 16 항에 있어서,
    상기 복수의 서비스 컨텍스트들의 각각은 대응하는 상기 액세스 보안성 컨텍스트에 기초하여 별도의 키로 보호되고, 대응하는 가상적인 진화형 패킷 시스템 (EPS) 세션 관리 태그에 의해 구별되는, 무선 통신 네트워크에서의 클라이언트 디바이스.
  21. 제 16 항에 있어서,
    상기 프로세서는 또한,
    상기 복수의 서비스 네트워크들과 각각 연관된 복수의 패킷 데이터 게이트웨이들로부터 수신되거나 이러한 복수의 패킷 데이터 게이트웨이들로 송신된 패킷들을 보호하기 위하여 복수의 사용자 평면 (UP) 보안성 컨텍스트들을 사용하도록 구성되는, 무선 통신 네트워크에서의 클라이언트 디바이스.
  22. 제 21 항에 있어서,
    상기 프로세서는 또한,
    상기 패킷들을 암호화하는 것;
    상기 패킷들을 무결성 보호하는 것; 또는
    상기 패킷들을 암호화하고 무결성 보호하는 것 중의 적어도 하나에 의해, 상기 패킷들을 보호하도록 구성되는, 무선 통신 네트워크에서의 클라이언트 디바이스.
  23. 접속성 네트워크의 네트워크 노드로서,
    메모리;
    클라이언트 디바이스와 통신하도록 구성된 통신 인터페이스; 및
    상기 메모리 및 상기 통신 인터페이스에 결합된 프로세서를 포함하고,
    상기 프로세서 및 상기 메모리는,
    상기 클라이언트 디바이스에 의해 제공되는 접속성 크리덴셜에 기초하여 상기 클라이언트 디바이스와 제 1 접속성 컨텍스트를 확립하고;
    상기 클라이언트 디바이스로부터, 복수의 서비스 네트워크들과 복수의 서비스 컨텍스트들을 확립하기 위한 요청을 수신하고; 그리고
    상기 네트워크 노드를 프록시로서 사용하여, 상기 클라이언트 디바이스에 의해 제공되는 대응하는 복수의 서비스 크리덴셜들을 이용하여 각각 상기 클라이언트 디바이스에 대하여 상기 복수의 서비스 네트워크들과 상기 복수의 서비스 컨텍스트들을 확립하는 것으로서, 상기 네트워크 노드는 호스트 이동성 관리 엔티티 (HMME) 를 포함하는, 상기 복수의 서비스 컨텍스트들을 확립하도록 구성되고,
    상기 복수의 서비스 컨텍스트들의 각각의 서비스 컨텍스트는 상이한 보안성 컨텍스트를 각각 포함하고, 그리고
    상기 복수의 서비스 컨텍스트들의 각각의 상기 보안성 컨텍스트는 코어 네트워크 보안성 컨텍스트 및 액세스 보안성 컨텍스트를 포함하고, 상기 코어 네트워크 보안성 컨텍스트 및 상기 액세스 보안성 컨텍스트 양자는 상기 복수의 서비스 크리덴셜들 중 동일한 개개의 서비스 크리덴셜을 이용하는, 접속성 네트워크의 네트워크 노드.
  24. 제 23 항에 있어서,
    상기 복수의 서비스 컨텍스트들의 각각은 IP 보안성 (IPSec) 터널을 포함하는, 접속성 네트워크의 네트워크 노드.
  25. 제 23 항에 있어서,
    상기 프로세서는 또한, 상기 클라이언트 디바이스로부터 메시지를 수신하도록 구성되고, 상기 메시지는 상기 복수의 서비스 네트워크들로 예정된 또 다른 메시지를 캡슐화하는, 접속성 네트워크의 네트워크 노드.
  26. 서비스 네트워크의 네트워크 노드로서,
    메모리;
    클라이언트 디바이스와 통신하도록 구성된 통신 인터페이스; 및
    상기 메모리 및 상기 통신 인터페이스에 결합된 프로세서를 포함하고,
    상기 프로세서 및 상기 메모리는,
    상기 클라이언트 디바이스로부터, 상기 클라이언트 디바이스에 의해 제공되는 제 1 크리덴셜에 기초하여 접속성 컨텍스트를 확립하기 위한 요청을 수신하고;
    접속성 네트워크의 네트워크 노드를 통해 상기 클라이언트 디바이스와 상기 접속성 컨텍스트를 확립하는 것으로서, 상기 접속성 네트워크의 상기 네트워크 노드는 호스트 이동성 관리 엔티티 (HMME) 를 포함하는, 상기 접속성 컨텍스트를 확립하고; 그리고
    상기 클라이언트 디바이스에 의해 제공되는 대응하는 복수의 서비스 크리덴셜들에 기초하여 접속에 대응하는 복수의 서비스 컨텍스트들을 확립하는 것으로서, 상기 복수의 서비스 컨텍스트들의 각각의 서비스 컨텍스트는 상이한 보안성 컨텍스트와 연관되는, 상기 복수의 서비스 컨텍스트들을 확립하도록 구성되고,
    상기 복수의 서비스 컨텍스트들의 각각의 상기 보안성 컨텍스트는 코어 네트워크 보안성 컨텍스트 및 액세스 보안성 컨텍스트를 포함하고, 상기 코어 네트워크 보안성 컨텍스트 및 상기 액세스 보안성 컨텍스트 양자는 상기 복수의 서비스 크리덴셜들 중 동일한 개개의 서비스 크리덴셜을 이용하는, 서비스 네트워크의 네트워크 노드.
  27. 삭제
  28. 제 26 항에 있어서,
    상기 복수의 서비스 컨텍스트들의 적어도 하나는 상기 접속성 네트워크의 상기 네트워크 노드를 통한 IP 보안성 (IPSec) 터널을 포함하는, 서비스 네트워크의 네트워크 노드.
  29. 제 26 항에 있어서,
    상기 복수의 서비스 컨텍스트들의 적어도 하나는 상기 접속성 네트워크에서 적어도 부분적으로 확립되는 가상적인 네트워크를 포함하는, 서비스 네트워크의 네트워크 노드.
  30. 제 26 항에 있어서,
    상기 복수의 서비스 컨텍스트들의 적어도 하나는 가상적인 진화형 패킷 시스템 (EPS) 세션 관리 태그와 연관되는, 서비스 네트워크의 네트워크 노드.
KR1020187013667A 2015-11-17 2016-10-28 다수의 접속성 및 서비스 컨텍스트들을 지원하기 위하여 보안성 모델을 이용하는 무선 통신을 위한 방법들 및 장치 KR102610951B1 (ko)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201562256472P 2015-11-17 2015-11-17
US62/256,472 2015-11-17
US15/048,044 2016-02-19
US15/048,044 US11234126B2 (en) 2015-11-17 2016-02-19 Methods and apparatus for wireless communication using a security model to support multiple connectivity and service contexts
PCT/US2016/059494 WO2017087139A1 (en) 2015-11-17 2016-10-28 Methods and apparatus for wireless communication using a security model to support multiple connectivity and service contexts

Publications (2)

Publication Number Publication Date
KR20180084785A KR20180084785A (ko) 2018-07-25
KR102610951B1 true KR102610951B1 (ko) 2023-12-06

Family

ID=58690139

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020187013667A KR102610951B1 (ko) 2015-11-17 2016-10-28 다수의 접속성 및 서비스 컨텍스트들을 지원하기 위하여 보안성 모델을 이용하는 무선 통신을 위한 방법들 및 장치

Country Status (9)

Country Link
US (2) US11234126B2 (ko)
EP (1) EP3378248B1 (ko)
JP (1) JP6912470B2 (ko)
KR (1) KR102610951B1 (ko)
CN (1) CN108353282B (ko)
AU (1) AU2016357203B2 (ko)
BR (1) BR112018009990A8 (ko)
TW (1) TWI713614B (ko)
WO (1) WO2017087139A1 (ko)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11234126B2 (en) 2015-11-17 2022-01-25 Qualcomm Incorporated Methods and apparatus for wireless communication using a security model to support multiple connectivity and service contexts
EP3550780B1 (en) * 2016-12-30 2021-04-14 Huawei Technologies Co., Ltd. Verification method and apparatus for key requester
US10624020B2 (en) * 2017-02-06 2020-04-14 Qualcomm Incorporated Non-access stratum transport for non-mobility management messages
CN117320091A (zh) * 2017-08-15 2023-12-29 华为技术有限公司 会话处理方法及相关设备
US10390383B2 (en) * 2017-12-04 2019-08-20 Telefonaktiebolaget Lm Ericsson (Publ) Timer-based handling of multiple connection requests
US11824881B2 (en) 2020-04-15 2023-11-21 T-Mobile Usa, Inc. On-demand security layer for a 5G wireless network
US11799878B2 (en) 2020-04-15 2023-10-24 T-Mobile Usa, Inc. On-demand software-defined security service orchestration for a 5G wireless network
US11444980B2 (en) 2020-04-15 2022-09-13 T-Mobile Usa, Inc. On-demand wireless device centric security for a 5G wireless network
US11070982B1 (en) 2020-04-15 2021-07-20 T-Mobile Usa, Inc. Self-cleaning function for a network access node of a network
US11057774B1 (en) 2020-05-14 2021-07-06 T-Mobile Usa, Inc. Intelligent GNODEB cybersecurity protection system
US11115824B1 (en) 2020-05-14 2021-09-07 T-Mobile Usa, Inc. 5G cybersecurity protection system
US11206542B2 (en) 2020-05-14 2021-12-21 T-Mobile Usa, Inc. 5G cybersecurity protection system using personalized signatures
US20240098479A1 (en) * 2022-09-19 2024-03-21 Qualcomm Incorporated Service groups in a service-based wireless system
US20240129737A1 (en) * 2022-10-17 2024-04-18 Samsung Electronics Co., Ltd. Method and apparatus for selecting selective security mode and flow management in a wireless communication system

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011043772A1 (en) * 2009-10-07 2011-04-14 Research In Motion Limited System and method for managing security keys for multiple security contexts of a wireless user device to handover communications in a network
US20140064209A1 (en) * 2012-08-31 2014-03-06 Qualcomm Incorporated Optimized always-on wireless service using network assistance and keep-alives
WO2014165832A1 (en) * 2013-04-04 2014-10-09 Interdigital Patent Holdings, Inc. Methods for 3gpp wlan interworking for improved wlan usage through offload
US20150229620A1 (en) * 2012-09-13 2015-08-13 Nec Corporation Key management in machine type communication system

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101026861A (zh) 2006-02-23 2007-08-29 华为技术有限公司 一种移动台与演进分组核心网间连接建立的方法
US20070258427A1 (en) 2006-05-03 2007-11-08 Interdigital Technology Corporation Wireless communication method and system for activating multiple service bearers via efficient packet data protocol context activation procedures
CN101242629B (zh) 2007-02-05 2012-02-15 华为技术有限公司 选择用户面算法的方法、***和设备
EP2028910A1 (en) 2007-08-21 2009-02-25 NEC Corporation Method for allowing a UICC to manage the PDP context parameters
US8660270B2 (en) 2007-09-17 2014-02-25 Telefonaktiebolaget L M Ericsson (Publ) Method and arrangement in a telecommunication system
JP5021844B2 (ja) * 2008-03-21 2012-09-12 インターデイジタル パテント ホールディングス インコーポレイテッド パケット交換ドメインから回線交換ドメインへのフォールバックを可能にする方法および装置
CN102821382B (zh) 2008-06-18 2015-09-23 上海华为技术有限公司 一种用于接入的装置
KR101574594B1 (ko) * 2008-08-15 2015-12-04 삼성전자주식회사 이동 통신 시스템의 비계층 프로토콜 처리 방법 및 이동통신 시스템
US9166875B2 (en) * 2009-06-22 2015-10-20 Qualcomm Incorporated Method and apparatus for network optimization using SON solutions
KR101268658B1 (ko) 2009-10-12 2013-05-29 한국전자통신연구원 3GPP LTE-Advanced 시스템의 릴레이 노드를 사용한 서비스 제공 방법 및 시스템
WO2011152665A2 (en) 2010-06-01 2011-12-08 Samsung Electronics Co., Ltd. Method and system of securing group communication in a machine-to-machine communication environment
CA2832067C (en) 2011-04-01 2019-10-01 Interdigital Patent Holdings, Inc. Method and apparatus for controlling connectivity to a network
US9019974B2 (en) 2012-10-26 2015-04-28 Blackberry Limited Multiple access point name and IP service connectivity
US9084147B2 (en) 2013-05-08 2015-07-14 Qualcomm Incorporated Parallel registration to offload PLMN with single SIM
US9332480B2 (en) 2014-03-28 2016-05-03 Qualcomm Incorporated Decoupling service and network provider identification in wireless communications
US10212585B2 (en) * 2014-07-03 2019-02-19 Huawei Technologies Co., Ltd. System and method for wireless network access protection and security architecture
EP3334238A4 (en) * 2015-08-07 2019-03-06 Sharp Kabushiki Kaisha DEVICE DEVICE, MME, METHOD FOR CONTROLLING THE COMMUNICATION OF A TERMINAL DEVICE AND METHOD FOR CONTROLLING MME COMMUNICATION
US11234126B2 (en) 2015-11-17 2022-01-25 Qualcomm Incorporated Methods and apparatus for wireless communication using a security model to support multiple connectivity and service contexts

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011043772A1 (en) * 2009-10-07 2011-04-14 Research In Motion Limited System and method for managing security keys for multiple security contexts of a wireless user device to handover communications in a network
US20140064209A1 (en) * 2012-08-31 2014-03-06 Qualcomm Incorporated Optimized always-on wireless service using network assistance and keep-alives
US20150229620A1 (en) * 2012-09-13 2015-08-13 Nec Corporation Key management in machine type communication system
WO2014165832A1 (en) * 2013-04-04 2014-10-09 Interdigital Patent Holdings, Inc. Methods for 3gpp wlan interworking for improved wlan usage through offload

Also Published As

Publication number Publication date
US20170142587A1 (en) 2017-05-18
US20220132313A1 (en) 2022-04-28
US11729619B2 (en) 2023-08-15
CN108353282B (zh) 2021-11-19
EP3378248B1 (en) 2021-11-17
JP6912470B2 (ja) 2021-08-04
AU2016357203A1 (en) 2018-05-10
BR112018009990A8 (pt) 2019-02-26
JP2018537912A (ja) 2018-12-20
CN108353282A (zh) 2018-07-31
TW201720216A (zh) 2017-06-01
TWI713614B (zh) 2020-12-21
EP3378248A1 (en) 2018-09-26
AU2016357203B2 (en) 2020-12-24
BR112018009990A2 (pt) 2018-11-06
US11234126B2 (en) 2022-01-25
WO2017087139A1 (en) 2017-05-26
KR20180084785A (ko) 2018-07-25

Similar Documents

Publication Publication Date Title
KR102610951B1 (ko) 다수의 접속성 및 서비스 컨텍스트들을 지원하기 위하여 보안성 모델을 이용하는 무선 통신을 위한 방법들 및 장치
US11818566B2 (en) Unified authentication for integrated small cell and Wi-Fi networks
US11683087B2 (en) Cloud based access solution for enterprise deployment
JP6889263B2 (ja) ユーザ機器の二次認証
US20170171752A1 (en) Securing signaling interface between radio access network and a service management entity to support service slicing
JP2018526869A (ja) 暗号化されたクライアントデバイスコンテキストを用いたネットワークアーキテクチャおよびセキュリティ
JP2018528647A (ja) ネットワークセキュリティアーキテクチャ
WO2016085001A1 (ko) 스몰셀 환경을 지원하는 무선 접속 시스템에서 위치 비밀성 보호를 지원하는 방법 및 장치
WO2022038292A1 (en) Privacy of relay selection in cellular sliced networks
KR20230116943A (ko) 단일 접속성 컨텍스트로 다수의 병행 서비스 컨텍스트들의지원
WO2017209367A1 (ko) 무선통신 시스템에서 서비스 별로 단말의 인증을 수행하기 위한 방법 및 이를 위한 장치
EP3962131A1 (en) Relay selection in cellular sliced networks
US20230179996A1 (en) Selective user plane protection in 5g virtual ran
US11968529B2 (en) Authentication of a radio communication device to a network
CN115776323A (zh) 实现卫星星间数据链路安全的方法及***

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant