KR20120120324A - 무선 중계 노드들을 보안화하는 방법 및 장치 - Google Patents

무선 중계 노드들을 보안화하는 방법 및 장치 Download PDF

Info

Publication number
KR20120120324A
KR20120120324A KR1020127021844A KR20127021844A KR20120120324A KR 20120120324 A KR20120120324 A KR 20120120324A KR 1020127021844 A KR1020127021844 A KR 1020127021844A KR 20127021844 A KR20127021844 A KR 20127021844A KR 20120120324 A KR20120120324 A KR 20120120324A
Authority
KR
South Korea
Prior art keywords
node
relay node
authentication
access
subscriber
Prior art date
Application number
KR1020127021844A
Other languages
English (en)
Other versions
KR101476898B1 (ko
Inventor
애드리안 에스콧
아난드 팔라니고운데르
파티 얼루피나
브라이언 엠 로젠버그
Original Assignee
퀄컴 인코포레이티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 퀄컴 인코포레이티드 filed Critical 퀄컴 인코포레이티드
Publication of KR20120120324A publication Critical patent/KR20120120324A/ko
Application granted granted Critical
Publication of KR101476898B1 publication Critical patent/KR101476898B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04BTRANSMISSION
    • H04B7/00Radio transmission systems, i.e. using radiation field
    • H04B7/14Relay systems
    • H04B7/15Active relay systems
    • H04B7/155Ground-based stations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04BTRANSMISSION
    • H04B7/00Radio transmission systems, i.e. using radiation field
    • H04B7/24Radio transmission systems, i.e. using radiation field for communication between two or more posts
    • H04B7/26Radio transmission systems, i.e. using radiation field for communication between two or more posts at least one of which is mobile
    • H04B7/2603Arrangements for wireless physical layer control
    • H04B7/2606Arrangements for base station coverage control, e.g. by using relays in tunnels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W16/00Network planning, e.g. coverage or traffic planning tools; Network deployment, e.g. resource partitioning or cells structures
    • H04W16/24Cell structures
    • H04W16/26Cell enhancers or enhancement, e.g. for tunnels, building shadow
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Radio Relay Systems (AREA)

Abstract

통신 네트워크 내에 중계 노드의 삽입으로 인한 보안 위험을 완화시키기 위해, 디바이스 인증과 가입자 인증 양쪽 모두가 중계 노드 상에서 수행된다. 디바이스 및 가입자 인증은, 디바이스 및 가입자 인증 양쪽 모두가 성공적인 경우에만, 중계 노드가 네트워크 내에서 동작하기 위한 액세스를 승인받도록 서로 바인딩될 수도 있다. 덧붙여, 통신 네트워크 (또는 인증 노드) 는 가입자 인증 프로세스의 부분으로서 가입자 식별자 (가입자 인증의 부분으로서 수신됨) 가 대응하는 디바이스 유형 (대응하는 디바이스 인증에서 디바이스 식별자에 의해 식별됨) 과 연관된다는 것을 추가로 검증할 수도 있다.

Description

무선 중계 노드들을 보안화하는 방법 및 장치{METHOD AND APPARATUS FOR SECURING WIRELESS RELAY NODES}
35 U.S.C.§119 하의 우선권 주장
본 출원은 2010년 1월 22일자로 출원된 발명의 명칭이 "Method and Apparatus for Securing Wireless Relays"인 미국 가출원 제61/297649호를 우선권 주장하며, 그 미국 가출원은 본 양수인에게 양도된 것이고, 본 명세서에 참조로 명백히 통합되어 있다.
분야
하나 이상의 특징들은 통신 디바이스들의 보안, 그리고 특히 사용자 장비를 통신 네트워크에 무선으로 인터페이싱하도록 기능하는 중계 노드들의 보안이다.
3세대 파트너십 프로젝트 (3GPP) 는 진화형 이동통신 세계화 시스템 (GSM) 사양들에 기초하고 라디오, 코어 네트워크 및 서비스 아키텍처를 포괄하는 세계적으로 적용가능한 3세대 (3G) 이동 전화 시스템 사양들 (예컨대, 국제 전기통신 연합 (ITU) 의 국제 이동 통신-2000 프로젝트의 범위 내) 을 정의하기 위해 결합된 전기통신 협회들의 그룹들 사이의 공동작업이다. 3GPP 내의 여러 다른 표준들 중에서, LTE (Long Term Evolution) 는 모바일 네트워크 기술 아레나 내의 표준이다.
LTE-준수 네트워크들의 진화에서, 중계 노드들은 네트워크 커버리지를 사용자 장비까지 확장하는 것을 돕기 위해 그리고 셀-에지 대역폭을 개선하기 위해 배치된다. 제어되는 물리적 로케이션들을 오퍼레이터의 제어 하에 동작하는, 진화형 노드 B (evolved node B; eNB), 이동성 관리 엔티티 (MME) 등과 같은 다른 네트워크 디바이스들과는 달리, 중계 노드들은 물리적으로 더 액세스 가능하거나 또는 취약한 로케이션들에서 사용자 장비에 더 가까이 위치되고 더 독립적으로 동작하는 경향이 있다. 그 결과, 중계 노드들은 eNB 또는 MME와 같은 다른 네트워크 디바이스들에서 존재하지 않는 특정한 새로운 보안 위협들 및 공격들 (예컨대, 중간자 공격들, 중계 노드 위장 (impersonation) 공격들 등) 을 받기 쉽다.
중계 노드에서의 동작 방법이 제공된다. 중계 노드는 제 1 액세스 노드와 제 1 모바일 노드 사이의 트래픽을 중계함으로써 제 1 액세스 노드와 제 1 모바일 노드 사이에서 동작하도록 구성될 수도 있다. 중계 노드의 제 1 통신 인터페이스는 제 1 액세스 노드와 통신하여, 중계 노드가 제 1 액세스 노드에게 제 2 모바일 노드로서 여겨지도록 구성될 수도 있다. 중계 노드의 제 2 통신 인터페이스는 제 1 모바일 노드와 통신하여, 중계 노드가 제 1 모바일 노드에게 제 2 액세스 노드로서 여겨지도록 구성될 수도 있다. 중계 노드는 중계 노드의 디바이스 인증을 인에이블시키기 위한 디바이스 인증 메시지를 전송할 수도 있다. 마찬가지로, 중계 노드는 중계 노드의 가입자 인증을 인에이블시키기 위한 가입자 인증 메시지를 전송할 수도 있으며, 디바이스 인증은, 중계 노드가 통신 네트워크를 통해 통신 서비스를 획득할 수 있는지 여부를 결정함에 있어서, 가입자 인증에 바인딩된다. 중계 노드는, 성공적인 가입자 인증 및 디바이스 인증시, 통신 네트워크에 대한 액세스를 획득할 수도 있다. 예를 들어, 중계 노드는, 성공적인 가입자 인증 및 디바이스 인증시, 통신 네트워크에 대한 액세스를 승인하는 서비스 승인 메시지를 수신할 수도 있다. 다르게는, 중계 노드는, 성공하지 못한 가입자 인증 또는 디바이스 인증시, 통신 네트워크에 대한 액세스를 거부하는 서비스 거부 메시지를 수신할 수도 있다. 디바이스 인증 메시지와 가입자 인증 메시지는 단일 인증 메시지로서 동시에 전송될 수도 있다. 제 1 통신 인터페이스는 제 2 통신 인터페이스와는 상이한 OTA (over-the-air) 통신 프로토콜을 구현할 수도 있다. 디바이스 인증은, 중계 노드에 고유하고 중계 노드 내의 보안성 비착탈식 저장 디바이스에 저장된 디바이스 식별자 또는 디바이스 키 중 적어도 하나를 이용하여 수행될 수도 있다. 디바이스 식별자는 중계 노드에 대한 국제 이동 단말기 식별번호 (International Mobile Equipment Identity; IMEI), 중계 노드 내의 액세스 노드 모듈, 또는 중계 노드 내의 모바일 노드 모듈 중의 적어도 하나일 수도 있다. 제 1 통신 인터페이스는 LTE (Long Term Evolution) - 준수 네트워크에 대한 진화형 노드 B로서 동작하도록 구성된 모바일 액세스 모듈의 부분일 수도 있다. 제 1 통신 인터페이스는 중계 노드의 모바일 노드 모듈의 부분일 수도 있고, 제 2 통신 인터페이스는 중계 노드의 액세스 노드 모듈의 부분이다. 가입자 인증은 그 후에 디바이스 인증보다 더 빈번하게 반복될 수도 있다. 가입자 인증에 사용되는 가입자 식별자 또는 키는 디바이스 유형과 사전 연관될 (pre-associated) 수도 있고, 가입자 인증은 디바이스 인증이 동일한 디바이스 유형을 식별하는 경우에만 성공적이다.
덧붙여, 중계 노드는 제 1 통신 인터페이스를 통해 수신된 제 1 패킷 유형의 트래픽을 제 2 통신 인터페이스를 통한 송신을 위한 제 2 패킷 유형으로 변환하도록 구성될 수도 있다. 마찬가지로, 중계 노드는 제 2 통신 인터페이스를 통해 수신된 제 2 패킷 유형의 트래픽을 제 1 통신 인터페이스를 통한 송신을 위한 제 1 패킷 유형으로 변환하도록 구성될 수도 있다. 다시 말하면 중계 노드는 제 1 통신 인터페이스와 제 2 통신 인터페이스 사이의 데이터 트래픽 전송물들을 제 1 신호 유형으로부터 제 2 신호 유형으로 변환하도록 구성될 수도 있다.
네트워크 인증 엔티티에서의 동작 방법이 또한 제공된다. 제 1 모바일 노드와 제 1 액세스 노드 사이에서 동작하는 중계 노드에 의해 발신되는 디바이스 인증 메시지가 인증 엔티티에 의해 수신될 수도 있다. 그러면 인증 엔티티는, 중계 노드, 중계 노드의 액세스 노드 모듈, 또는 중계 노드의 모바일 노드 모듈과 연관된 하나 이상의 디바이스 식별자들 또는 키들에 기초하여 디바이스 인증을 수행할 수도 있다. 중계 노드에 의해 발신된 가입자 인증 메시지는 또한 인증 엔티티에서 수신될 수도 있다. 그러면 인증 엔티티는 중계 노드와 연관된 하나 이상의 가입자 식별자들 또는 키들에 기초하여 가입자 인증을 수행할 수도 있다. 그 다음 통신 네트워크에 대한 중계 노드 액세스를 승인하는 메시지는, 성공적인 가입자 인증 및 디바이스 인증시, 전송될 수도 있다. 다르게는, 통신 네트워크에 대한 중계 노드 액세스를 거부하는 메시지는, 성공하지 못한 가입자 인증 또는 디바이스 인증시, 전송될 수도 있다. 가입자 인증에 사용되는 가입자 식별자 또는 키는 디바이스 유형과 사전 연관될 수도 있고, 가입자 인증은, 디바이스 인증이 동일한 디바이스 유형을 식별하는 경우에만 성공적이다. 디바이스 인증 메시지와 가입자 인증 메시지는 단일 인증 메시지로서 동시에 수신될 수도 있다.
인증 엔티티는 디바이스 인증을 개시하기 위한 제 1 메시지를 중계 노드에 전송할 수도 있고; 및/또는 가입자 인증을 개시하기 위한 제 2 메시지를 중계 노드에 전송할 수도 있다. 디바이스 인증은 디바이스 인증 노드에 의해 수행될 수도 있는 한편 가입자 인증은 가입자 인증 노드에 의해 수행된다.
도 1은 중계 노드를 갖는 예시적인 통신 네트워크의 블록도이다.
도 2는 중계 노드에 부착된 사용자-UE를 공격하는 중계 노드의 위장을 도시한다.
도 3은 중간자 (man-in-the-middle; MitM) 중계 노드 공격을 도시한다.
도 4는 디바이스 인증을 구현함으로써 중계 노드가 공격자들에 대해 보안화될 수 있는 방법의 일 예를 도시한다.
도 5는 예시적인 중계 노드를 도시하는 블록도이다.
도 6은 디바이스 인증을 수행함으로써 공격들을 완화시키기 위한 중계 노드에서의 동작 방법을 도시한다.
도 7은 적어도 하나의 구현예에 따라 인증 노드의 구성요소들을 선택하는 블록도를 도시한다.
도 8은 디바이스 인증을 수행함으로써 중계 노드에 대한 공격들을 완화시키기 위한 인증 노드에서의 동작 방법을 도시한다.
다음의 설명에서, 특정 세부사항들은 설명된 구현예들의 철저한 이해를 제공하기 위해 주어진다. 그러나, 구현예들이 이들 특정 세부사항들 없이 실용화될 수도 있다는 것은 이 기술의 통상의 지식을 가진 자에 의해 이해될 것이다. 예를 들어, 회로들은 불필요하게 상세하여 구현예들을 이해하기 어렵도록 하지 않기 위해 블록도들로 보여질 수도 있다. 다른 경우들에서, 주지의 회로들, 구조들 및 기법들은 구현예들을 이해하기 어렵도록 하지 않기 위해 상세히 보여질 수도 있다.
단어 "예시적인"은 본 명세서에서는 "예, 사례, 또는 예시로서 기능한다"는 의미로 사용된다. "예시적인" 것으로서 여기서 설명된 어떤 구현예 또는 실시형태라도 다른 실시형태들보다 바람직하거나 유익하다고 해석될 필요는 없다. 마찬가지로, "실시형태들"이란 용어는 모든 실시형태들이 설명되는 특징, 이점 또는 동작 모드를 포함할 것을 필요로 하지 않는다. 본 명세서에서 사용된 바와 같은 용어들 "중계 노드" 및 "사용자 장비"는 폭넓게 해석되는 것으로 의도된다. 예를 들어, "중계 노드"는 통신 또는 데이터 네트워크에 대한 무선 접속성 (하나 이상의 사용자 장비용) 을 용이하게 하는 디바이스를 지칭할 수도 있다. 더욱이, 용어들 "사용자 장비" 및/또는 "이동 노드" 및/또는 "클라이언트 단말기"는 무선 또는 셀룰러 네트워크를 통해 적어도 부분적으로 통신하는 모바일 폰들, 페이저들, 무선 모뎀들, 개인휴대 정보단말기, 개인 정보 관리자들 (PIM들), 팜톱 컴퓨터들, 랩톱 컴퓨터들, 디지털 테블릿들, 및/또는 다른 모바일 통신/컴퓨팅 디바이스들을 포함할 수도 있다. 용어 "액세스 노드"는, 통신 네트워크에 결합된 디바이스를 지칭할 수도 있고, 하나 이상의 모바일 노드들 사이의 무선 접속성을 통신 네트워크에 제공한다.
개요
통신 네트워크 내에 중계 노드의 삽입으로 인한 보안 위험을 완화시키기 위해, 디바이스 인증과 가입자 인증 양쪽 모두가 중계 노드 상에서 수행된다. 디바이스 및 가입자 인증은, 디바이스 및 가입자 인증 양쪽 모두가 성공적인 경우에만, 중계 노드가 네트워크 내에서 동작하기 위한 액세스를 승인받도록 서로 바인딩될 수도 있다. 덧붙여, 통신 네트워크 (또는 인증 노드) 는 가입자 인증 프로세스의 부분으로서 가입자 식별자 (가입자 인증의 부분으로서 수신됨) 가 대응하는 디바이스 유형 (대응하는 디바이스 인증에서 디바이스 식별자에 의해 식별됨) 과 연관된다는 것을 추가로 검증할 수도 있다.
중계 노드를 갖는 예시적인 통신 네트워크
도 1은 중계 노드를 갖는 예시적인 통신 네트워크의 블록도이다. 통신 네트워크 (100) 는 IP 통신 네트워크 (102) (예컨대, LTE (Long Term Evolution) -호환 네트워크), 사용자-UE 서빙 게이트웨이 (SGW) /PDN 게이트웨이 (PGW) (126), 도너 eNB (128) (액세스 노드라고도 지칭됨), 중계 노드 (120), 및 사용자 장비 (사용자-UE) (104) (모바일 노드라고도 지칭됨) 를 포함할 수도 있다. 중계 노드 (120) 는 도너 eNB (128) 및 사용자-UE 서빙 게이트웨이 (SGW) /PDN 게이트웨이 (PGW) (126) 를 통해 통신 네트워크 (102) 에 결합한다. 통신 네트워크 (102) 및 도너 eNB (128) 에게는, 중계 노드 (120) 가 사용자 장비 (예컨대, UE) 로서 여겨질 수도 있다. 사용자 장비 (사용자-UE) (104) 에는, 중계 노드 (120) 가 진화형 노드 B (enhanced Node B; eNB) 로서 여겨질 수도 있다. 이 목적을 위해, 중계 노드 (120) 는 eNB 모듈 (122) (UE (104) 에게 네트워크 게이트웨이로서 여겨짐) 및 UE 모듈 (124) (네트워크 (102) 에게 UE로서 여겨짐)을 구비할 수도 있다.
통신 네트워크 (102) 의 관점에서, 중계 노드 (120) 는 사용자 장비로서 여겨진다. 중계 노드 (120) 및 통신 네트워크 (102) 로/로부터의 통신들은 UE 모듈 (124) 을 통해 (예컨대, 진화형 범용 지상파 접속 (E-UTRA) Un 신호 프로토콜/인터페이스를 이용하여) 수행된다.
마찬가지로, 사용자-UE (104) 의 관점에서, 중계 노드 (120) 는 네트워크 eNB로서 여겨진다. 중계 노드 (120) 및 사용자-UE (104) 로/로부터의 통신들은 eNB 모듈 (122) 을 통해 (예컨대, 진화형 범용 지상파 접속 (E-UTRA) Uu 신호 프로토콜/인터페이스를 이용하여) 수행된다. eNB들이 유선 접속 (예컨대, 광 섬유 접속 등) 에 의해 통신 네트워크 (102) 에 일반적으로 결합되지만, 중계 노드는 OTA (over-the-air) 시그널링 (예컨대, LTE-준수 프로토콜) 을 사용하여 eNB와 통신할 수도 있다.
하나의 예에서, 도너 eNB (128) 는 eNB (116), 중계-UE SGW/PGW (114), 및/또는 중계 게이트웨이 (112) 의 기능성을 포함할 수도 있다. 중계 게이트웨이 (112) 와 사용자-UE SGW/PGW (126) 사이의 통신들은 S1-U (UE) 신호 프로토콜/인터페이스를 이용할 수도 있다. 마찬가지로, eNB (116) 와 중계-UE SGW/PGW (114) 사이의 통신들은 S1-U (Relay) 신호 프로토콜/인터페이스를 이용할 수도 있다.
E-UTRA Uu 및 Un은 사용자-UE (104) 와 중계 노드 (120) 사이, 및 중계 노드 (120) 와 도너-eNB (128) 사이에서의 전형적인 시그널링 프로토콜들/인터페이스들을 지칭한다. E-UTRA Uu 및 Un 인터페이스들은 사용자-UE (104) 로/로부터의 무선을 통해 패킷 데이터 서비스들을 제공하는 LTE 네트워크 인터페이스일 수도 있다.
기술 사양들 중 3GGP 기술 사양 (TS) 36.41x 시리즈는 또한 시스템 아키텍처 진화 (SAE) /진화형 패킷 코어 (EPC) 시스템의 코어 네트워크에 대한 진화형 범용 지상파 무선 접속 네트워크 (E-UTRAN) 의 진화형 노드B (eNB) 구성요소의 상호 접속을 위한 S1 인터페이스를 정의한다. 따라서, eNB (116) 와 중계-UE SGW/PGW (114) 사이의 통신들은 S1 시그널링 프로토콜/인터페이스를 이용할 수도 있다.
하나의 예에서, 서빙 게이트웨이들 (즉, 중계-UE SGW (114) 및/또는 사용자-UE SGW (126)) 은 사용자 데이터 패킷들을 라우팅하고 포워딩하는 한편, 또한 eNB 간 핸드오버들 동안의 사용자 평면에 대한 이동성 앵커로서 그리고 (S4 인터페이스를 종료하고 트래픽을 2G/3G 시스템들과 PGW 사이에서 중계하는) 다른 3GPP 기술들과 LTE 사이의 이동성에 대한 앵커로서 작용한다. 마찬가지로, PDN 게이트웨이들 (PGW) (예컨대, 중계-UE PGW (114) 및 사용자-UE PGW (126)) 은 UE에 대한 트래픽의 입구 및 출구 지점이 됨으로써 UE로부터 외부 패킷 데이터 네트워크들로 접속을 제공할 수도 있다. UE는 다수의 PDN들에 액세스하는 둘 이상의 PGW와의 동시 접속을 가질 수도 있다. PGW는 정책 시행, 각각의 사용자에 대한 패킷 필터링, 차징 (charging) 지원, 합법적인 차단 및 패킷 차단을 수행할 수도 있다. PGW의 또 다른 역할은 와이맥스와 3GPP2 (CDMA 1X 및 EvDO) 와 같은 3GPP 와 비-3GPP 기술들 사이에서의 이동성에 대한 앵커로서 작용하는 것이다.
도 1의 예에서, 통신 네트워크 (102) 는 사용자-UE (104) 가 도너 eNB (128) 를 통해 결합됨을 인식하도록 구성될 수도 있다. 따라서, 사용자-UE (104) 에 대한 통신물들을 도너 eNB (128) 의 중계 GW (112) 를 통해 포워딩할 것을 사용자-UE 모바일 관리 엔티티 (MME) (108) 가 사용자-UE SGW/PGW (126) 에게 알려준다. 사실상, 사용자-UE (104) 는 중계 노드 (120) 를 통해 접속되기 때문에, 중계-UE SGW/PGW (114) 는 사용자-UE (104) 에 대한 통신물들을 중계 노드 (120) 로 라우팅하기 위해 중계-UE 모바일 관리 엔티티 (MME) (118) 에 의해 구성된다. 중계 노드 (120) 가 또 다른 UE (즉, UE 모듈 (124)) 로 여겨지기 때문에, 도너 eNB (116) 프로토콜들 및/또는 동작들은 수정될 필요가 없다는 점에 주의한다. 이는 eNB 및 중계 노드에서의 종래의 프로토콜들/인터페이스들의 재사용을 허용한다. 예시의 목적을 위해, 두 개의 별개의 MME들 (즉, 사용자-UE MME (108) 및 중계-U MME (118)) 이 도 1에서 보여지고 있다는 점에 주의한다. 그러나, 일부 구현예들에서, 사용자-UE MME (108) 및 중계-U MME (118) 에 의해 수행되는 기능들은 단일 MME 디바이스에 통합될 수도 있다.
많은 통신 시스템들이 네트워크 액세스를 승인하기 전에 가입자/사용자 인증에 의존한다. 이는 UE 또는 UE 모듈에 결합되고 가입자/사용자를 인증하는데 사용되는 하나 이상의 키들을 포함하는 착탈식 가입자 모듈 또는 스마트카드 (예컨대, LTE-준수 네트워크들에서 범용 집적회로 카드 (UICC) 로서도 알려짐) 의 사용에 의해 (예컨대, 인증 및 키 합의 (AKA)) 를 구현하기 위해) 행해질 수도 있다. 하나의 예에서, 중계 노드 (120) 에서의 UE 모듈 (124) 은 적어도 하나의 그러한 착탈식 스마트카드를 구비할 수도 있다. 그러나, 이러한 가입자/사용자 인증 절차는 사용자들/가입자들이 UE들을 변경/업그레이드하는 것을 허용하도록 디자인되기 때문에 (즉, 스마트카드는 상이한 UE들로 이동될 수 있기 때문에), 착탈식 스마트카드는 UE 모듈 (124) 또는 중계 노드 (120) 를 인증하도록 기능하지 않는다.
중계 노드 (120) 를 사용자-UE (104) 와 도너 eNB (128) 사이에 도입하는 것이 네트워크 통신 가능 구역을 확장하는 것을 용이하게 하지만, 그것은 또한 데이터 전송물들에 대한 비인가 액세스를 얻는데 사용될 수 있는 공격 지점을 제공한다. 몇 개의 이들 공격들은 위장 공격들 및 중간자 공격들을 포함한다.
갖가지 보안 특징들은 중계 노드 (120) 를 통과하는 전송물들이 전형적인 eNB을 통과하는 전송물들 만큼 보안화되도록 중계 노드 (120) 에 관련하여 구현될 수도 있다. 다시 말하면, 통신 시스템/네트워크의 보안은 통신 시스템으로의 중계 노드의 삽입으로 인해 감소거나 또는 위태롭게 되지 않아야 한다.
통신네트워크들에서 중계 노드들에 대한 예시적인 위협들
위협 1: 중계 노드에 부착된 사용자- UE 를 공격하는 중계 노드의 위장
도 2는 중계 노드에 부착된 사용자-UE를 공격하는 중계 노드의 위장을 도시한다. 위장 공격에서, 공격자는 인증 중계 노드 (120) 로부터 범용 집적회로 카드 (UICC) (223) 를 제거하고 그것을 악성 (rogue) 중계 노드 (220) 에 삽입할 수도 있다. UICC (223) 는 서비스 가입을 홈 가입자 서버 (HSS) (219) 로 인증하도록 기능한다. 그러나, 중계 노드에 삽입되는 UICC에서의 가입만으로, 중계 노드의 디바이스로서의 인증은 되지 않는다. 결과적으로, 통신 네트워크는 악성 중계 노드 (220) 를 검출할 수 없고 그래서 사용자-UE (104) 에 관련된 키들은 악성 중계 노드 (220) 에 전달된다. 이는 사용자-UE (104) 가 악성 중계 노드 (220) 에 부착되고 그래서 사용자-UE (104) 로/로부터의 데이터 전송물들의 보안은 위태로워질 수도 있다.
위협 2: Un 인터페이스에서의 중간자 중계 노드 공격
도 3은 중간자 (man-in-the-middle; MitM) 중계 노드 공격을 도시한다. 이 경우, 인증 중계 노드 (120) 에서의 진짜 UICC는 가짜 UICC (324) 로 교체되었을 수도 있다. 진짜 UICC (323) 는 그 다음에 MitM 중계 노드 (320) 에 삽입된다. 이 공격에서, MitM 중계 노드 (320) 는 인증 중계 노드 (120) 와 도너 eNB (128) 사이에 삽입된다. 공격자가 가짜 UICC (324) 에 대한 루트 키를 알기 때문에, MitM 중계 노드 (320) 는 인증 중계 노드 (120) 로/로부터의 메시지들을 인터셉트하고 디코딩할 수 있다. MitM 중계 노드 (320) 는 인증 중계 노드 (120) 와 도너 eNB (128) 사이의 트래픽을 인증 중계 노드 (120) 또는 도너 eNB (128) 가 그것을 알아차리는 일 없이 투명하게 송신, 수신, 뷰잉 (view), 및/또는 수정할 수 있다. 그런고로, 진짜 중계 노드 (324) 에 접속된 사용자-UE (104) 로부터의/로의 임의의 데이터 전송의 보안은 위태로워질 수도 있다. 사용자 관련 키들이 사용자-UE (104) 및 중계 노드 (120) 에 서빙하는 MME들 (108 및 118) 사이에서 보안 프로토콜 (이를테면 IPsec) 에 의해 보호되는 경우에도, MitM 중계 노드 (320) 는 사용자 트래픽을 뷰잉, 수정, 및/또는 투입할 수 있다는 점에 주의한다. 이 공격에 의해 설명되는 보안 포인트는, 필요한 중계 노드 (120) 의 디바이스 인증 뿐만 아니라 인증 중계 노드 (120) 로부터의 모든 보안 터널들이 MitM 중계 노드 (320) 대신에 진짜 네트워크 (즉, 도너 eNB (128)) 에서 종료된다는 것이다.
위협 3: 중계 노드와 도너 eNB 인터페이스 사이에 트래픽 인터셉트/투입
도 1을 다시 참조하면, 중계 노드 (120) 와 도너 eNB (128) 사이의 인터페이스는 표준 E-UTRAN 에어 인터페이스에 기초한다. 이는 중계 노드 (120) 와 도너 eNB (128) 사이의 트래픽을 시그널링하는 모든 비-라디오 자원 제어 (RRC) 가 무결성 보호되지 않는다는 것을 의미한다. 이는, 사용자-UE (104) 로부터의 사용자 트래픽이 용인되지만, 중계 노드 (120) 에서부터 통신 네트워크 (예컨대, 도너 eNB (128)) 로 트래픽 (S1-AP 또는 X2-AP 중의 어느 하나) 을 시그널링하는 것은 용인되지 않는다. 이는 사용자-UE (104) 와 도너 eNB (128) 사이의 인터페이스 (즉, Un 인터페이스라고 지칭됨) 가 보호될 필요가 있다는 것을 의미한다. 그러므로, Un 인터페이스는 표준 E-UTRAN UE-eNB 인터페이스일 수 없거나 또는 Un 인터페이스를 가로지르는 S1-AP 및 X2-AP 시그널링을 보호하는 일부 다른 방법이 사용될 필요가 있다.
위협 4: 네트워크를 공격하는 중계 노드의 위장
도 2를 다시 참조하면, 악성 중계 노드 (220) 는 본질적으로 트래픽의 세 유형들을 통신 네트워크에 삽입할 수 있다. 첫째로, 그것은 중계-UE MME (118) 쪽으로 비-액세스 스트라텀 (Non-Access Stratum; NAS) 시그널링을 삽입할 수 있다. 그러나, 이 동일한 공격은 악성 사용자-UE로 행해질 수 있고 그래서 이 공격의 고려는 중계 노드 보안 분석을 위해 중요하지 않다. 둘째로, 악성 중계 노드 (220) 는 S1-AP 또는 X2-AP 시그널링을 삽입할 수 있다. 셋째로, 악성 중계 노드 (220) 는 또한 다른 사용자 대신 IP 접속을 얻거나 데이터를 삽입하는 것을 시도하기 위해 사용자 평면 트래픽을 삽입할 수 있다.
중계 노드들에 대한 예시적인 보안 절차
중계 노드 및/또는 중계 노드가 동작하는 코어 통신 네트워크/시스템에 대한 보안 위협들을 완화시키거나 또는 대처하기 위해, 갖가지 보안 조치가 중계 노드에 대해 구현될 수도 있다. 따라서, 갖가지 유형의 보안 위협들에 대한 중계 노드들 및/또는 통신 네트워크들/시스템들의 보안을 향상시켜서 이상적으론 중계 노드가 eNB 만큼 보안성이 있도록 하는 기법들, 프로토콜들, 및/또는 방법들이 본 명세서에서 설명된다.
이러한 보안을 제공하는 하나의 양태는 통신 네트워크를 통해 통신하는 것이 허용되기 전에 중계 노드의 디바이스 인증을 수행하는 것을 포함한다. 예를 들면, 디바이스 인증과 가입자 인증 (예컨대, E-UTRAN 인증) 양쪽 모두는 중계 노드에 대해 수행될 수도 있다. 디바이스 및 가입자 인증의 결과들은 어느 하나가 실패한다면 중계 노드가 통신 네트워크를 통해 동작할 수 없도록 바인딩될 수도 있다. 디바이스 인증 및 가입자 인증의 이러한 바인딩은 인증 프로세스 또는 절차적 수단의 부분으로서 생성된 키들을 혼합함으로써 어느 하나의 암호화 수단을 이용하여 수행될 수도 있다, 예컨대, 네트워크 (또는 UICC와 같은 네트워크 신뢰 모듈) 는 디바이스 인증 및 가입자 인증 절차들 양쪽 모두가 동일한 엔티티로부터 유래하였음을 검증한다. 이러한 바인딩에 의해, 위협 2 (즉, 도 3의 중간자 공격) 의 가짜 UICC의 사용은, 디바이스 인증이 실패할 이후로 통신 네트워크에 대한 액세스를 중계 노드가 얻는 것을 막는다는 점에 주의한다.
하나의 구현예에서, 이러한 바인딩은 AKA 키들 (및 구현 관련 AKA "f" 기능들) 을 착탈식 UICC 카드에 저장하는 대신에 중계 노드를 위한 안전한 스토리지 또는 환경 내에서 이것들을 직접 준비함으로써 제공될 수도 있다. AKA 키들 (일반적으로 가입자 인증에 사용됨) 을 중계 노드의 보안성 비착탈식 스토리지 내에 배치시킴으로써, AKA 키들은 또한 디바이스 키들로서 효과적으로 작용한다. 따라서, 가입자 인증은 또한 이 경우 "디바이스 인증"으로서 작용한다.
제 2 구현예에서, E-UTRAN 보안 절차들은 중계 노드에 저장된 크리덴셜에 기초한 디바이스 인증을 또한 제공하기 위해 향상될 수도 있다. 이는 중계 노드의 디바이스 식별번호, 이를테면 UE 모듈의 IMEI 또는 중계 노드의 eNB 모듈의 식별번호에 기초하여, E-UTRAN 보안 절차들 (예컨대, 가입자 인증) 을 디바이스 인증과 효과적으로 바인딩한다. 이러한 바인딩은 위협들을 완화시키는데, 그것이 통신 네트워크 및 중계 노드에, 다른 것이 진짜임의 보증을 제공해서이다. 이는 위협 2 및 4에서의 공격들의 일부를 해결할 수 있다.
디바이스 인증 및 가입자 인증을 바인딩하는 것의 또 다른 특징은 가입자와 디바이스 사이의 관계를 추가로 검증하는 통신 네트워크의 능력이다. 예를 들어, 특정 가입자 또는 서비스 계획은 중계 노드 디바이스들과 연관될 수도 있다. 그러므로, 인증의 부분으로서, 통신 네트워크 (예컨대, 인증 노드) 는 그것이 (예컨대, 가입자 인증 동안) 수신한 가입자 식별자가, 수신된 디바이스 식별자에 의해 식별된 디바이스에 대응하는지 여부를 확인할 수도 있다. 예를 들어, 통신 네트워크가 연관된 중계 노드 디바이스 유형인 것으로 알려진 가입자 식별자를 수신하지만 모바일 디바이스 (비-중계 디바이스) 에 대한 대응하는 디바이스 식별자도 수신한다면, 통신 네트워크는 요구하는 디바이스에 대한 서비스를 거부할 수도 있다.
다른 보안 양태들은 제어 평면 시그널링을 보안화하는 목적을 위해 중계 노드와 통신 네트워크 사이에서 보안 프로토콜, 이를테면 IPsec를 추가로 채용할 수도 있다. 예를 들어, 3GPP 기술 사양 33.401 v9.6.0 (본 명세서에서는 참조로 통합됨), 조항 11은 진화형 패킷 시스템 (EPS) 및 E-UTRAN 호환 네트워크들에 대한 S1 및 X2 제어 평면의 보호를 위한 IPsec의 사용을 정의한다. 이 보안 조치는 또는 위에서 언급된 위협 1, 3, 및 4를 억제하거나 방지한다. 제어 시그널링 평면에 대한 IPsec의 사용에 의해 유발된 오버헤드는 무시될 수 있는데, 사용자 평면 트래픽에 비해 적은 제어 시그널링이 있기 때문이다. 또 다른 예에서, 사용자 평면 (트래픽용) 에 대한 IPsec은 3GPP 기술 사양 33.401의 조항 12에서 설명된 바와 같이, S1-U 및 X2-U 인터페이스들에서 구현될 수도 있다. 이것이 작은 사용자 평면 패킷들에 IPsec를 사용하는 오버헤드로 인해 모든 배포들에 적합하지 않을 수도 있지만, 그것은 RTP와 같은 미디어 트래픽이 LTE를 통해 운반되지 않을 때 합리적인 해결책이 될 수도 있다. 그것은 또한 매크로 네트워크를 통한 프로토콜 개선을 요구하지 않는다는 이점을 가진다. 제어 평면과 사용자 평면 양쪽 모두에 대해 IPsec을 사용하는 것은, 여전히 MitM 노드가 있을 수도 있지만 MitM 중계 노드에서 이용가능한 모든 진짜 UE 관련 트래픽은 보호된다는 점에서 위협 2를 해결한다. 덧붙여, 위협 3 및 4에서의 삽입된 트래픽 공격은 또한 오퍼레이터의 네트워크에서의 보안 게이트웨이들을 통해 그것의 트래픽을 라우팅하기 위해 중계 노드를 서빙하는 P-GW를 얻음으로써 이러한 솔루션에 의해 완화된다. 이는 임의의 삽입된 트래픽이 IPsec에 의해 보호되지 않으므로 드롭된다는 것을 보장한다.
도 4는 디바이스 인증을 구현함으로써 중계 노드가 공격자들에 대해 보안화될 수 있는 방법의 일 예를 도시한다. 여기서, 중계 노드 (404) 는 모바일 노드 (402) 와 액세스 노드 (406) 사이의 트래픽을 무선으로 전송할 수도 있다. 액세스 노드 (406) 는 코어 통신 네트워크 (408) 와 중계 노드 (404) 사이의 트래픽을 송신할 수도 있다. 코어 통신 네트워크 (408) 는 홈 네트워크, 방문 네트워크, 및/또는 홈 및 방문 네트워크들 중의 하나 또는 양쪽 모두에서의 구성요소들 또는 노드들일 수 있다는 점에 주의한다.
하나의 예에서, 중계 노드 (404) 는 액세스 노드 (406) 와 통신하는 제 1 통신 인터페이스 (예컨대, 모바일 노드 모듈 또는 UE 모듈) 및 모바일 노드 (402) 와 통신하는 제 2 통신 인터페이스 (예컨대, 액세스 노드 모듈 또는 eNB 모듈) 를 구비할 수도 있다. 따라서, 중계 노드 (404) 는 액세스 노드 (406) 에게 모바일 노드로서 여겨질 수도 있고, 그것은 모바일 노드 (402) 에게 네트워크 액세스 노드로서 여겨질 수도 있다. 예를 들면, 제 1 통신 인터페이스는 제 2 통신 인터페이스와는 상이한 OTA (over-the-air) 통신 프로토콜을 구현할 수도 있다. 따라서, 중계 노드는 제 1 통신 인터페이스와 제 2 통신 인터페이스 사이에서 신호들, 메시지들, 및/또는 패킷들의 변환을 수행할 수도 있다.
중계 서비스를 제공할 수 있기 전에, 중계 노드 (404) 는 코어 통신 네트워크 (408) 로 인증 절차들을 수행할 수도 있다. 예를 들면, 코어 통신 네트워크 (408) 는, 가입자 및/또는 디바이스를 인증하는 책임이 있는 및/또는 그렇게 인증하도록 구성된, 홈 네트워크 및/또는 방문 네트워크에서의 엔티티들을 포함할 수도 있다. 예를 들어, LTE-호환 네트워크 내에서 인증 절차에 직접적으로 또는 간접적으로 관계가 있을 수 있는 얼마간의 엔티티들은 진화형 노드 B들 (eNB), 이동성 관리 엔티티 (MME), 및/또는 홈 가입자 서버를 포함한다.
중계 서비스들을 제공할 수 있기 전에, 중계 노드 (404) 는 코어 통신 네트워크 (408) 와의 디바이스 인증 절차 (410) 에 참여할 수도 있다. 디바이스 인증 절차 (410) 는 중계 노드 (404) 를 코어 통신 네트워크 (408) 로 인증하려고 시도할 수도 있다. 이러한 디바이스 인증 절차 (410) 는 중계 노드 (404) 를 코어 통신 네트워크 (408) 로 인증하기 위해 중계 노드 (또는 중계 노드의 구성요소) 에 특정한 하나 이상의 디바이스 식별자들 및/또는 키들 (예컨대, 중계 노드의 안전한 스토리지에 저장됨) 을 이용할 수도 있다. 하나 이상의 디바이스 식별자들 및/또는 키들은, 예를 들어, 중계 노드 (404) 의 비-착탈식 및/또는 비-사용자 액세스가능 스토리지 내에 저장될 수도 있다. 이는 공격자가 중계 노드에서의 디바이스 식별자들 및/또는 키(들)에 대한 액세스를 얻으려고 시도하는 것을 막는다. 일부 예들에서, 중계 노드를 위한 고유 디바이스 식별자들은 모바일 노드 모듈에 대한 국제 이동 단말기 식별번호 (International Mobile Equipment Identity; IMEI) 및/또는 액세스 노드 모듈에 대한 식별번호일 수 있고, 디바이스 키들과 안전하게 바인딩될수 도 있다. 일부 예들에서, 가입 식별자들은 국제 이동 가입자 식별번호 (IMSI) (예컨대, 영구 가입자 식별번호) 및/또는 전세계 단일 임시 UE 식별번호 (Globally Unique Temporary UE Identity; GUTI) (예컨대, LTE에서 사용되는 임시 가입 식별번호) 일 수도 있다.
일부 구현예들에서, 중계 노드 (408) 는 디바이스 인증 프로세스 (410) 를 개시하기 위해 디바이스 인증 메시지를 코어 통신 네트워크 (408) 에 일방적으로 또는 독립적으로 전송할 수도 있다. 다른 구현들에서, 코어 통신 네트워크 (408) 는 중계 노드 (408) 가 디바이스 인증 메시지를 전송하는 것을 요구함으로써 디바이스 인증 절차를 개시할 수도 있다. 예를 들어, 코어 통신 네트워크 (408) 는 도전 메시지를 중계 노드 (404) 에 전송할 수도 있다. 그러면 중계 노드 (404) 는 도전 및 그것의 하나/또는 그 이상의 디바이스 식별자(들)/키(들) 로부터의 정보 (예컨대, 데이터, 값들, 기능들 등) 를 이용하여, 코어 통신 네트워크 (408) 에 전송되는 디바이스 인증 메시지를 생성한다. 예를 들면, 중계 노드 (404) 는 그것의 디바이스 식별자 (및 가능하게는 도전 메시지로 수신된 다른 정보) 를 그것의 디바이스 키로 간단히 암호 서명하고, 디바이스 키 및 서명된 디바이스 키를 포함하는 인증 메시지를 코어 통신 네트워크 (408) 에 전송한다. 그러면 코어 통신 네트워크 (408) 는 서명된 디바이스 식별자를 검증하기 위해, 코어 통신 네트워크 (408) 에 알려지고 중계 노드 (404) 와 연관된 디바이스 키를 사용하여 중계 노드 (404) 를 인증한다. 가입자 키가 대칭 키 (예컨대, 비밀 키) 또는 비대칭 키 (예컨대, 공개/개인 키 쌍) 일 수도 있는 다른 암호화 방법들 및/또는 알고리즘들이 사용될 수도 있다.
덧붙여, 중계 노드 (404) 는 또한 가입자 인증 절차 (412) 에 참여할 수도 있다. 가입자 인증 절차 (412) 는 중계 노드 (404) 에 대한 사용자/가입자 (예컨대, 중계 노드의 모바일 노드 모듈 또는 UE 모듈) 를 코어 통신 네트워크 (408) 로 인증하려고 시도할 수도 있다. 이러한 가입자 인증 메시지 (412) 는 가입자 (중계 노드 또는 모바일 노드 모듈과 연관됨) 에 특정한 하나 이상의 식별자들 및/또는 키들 (예컨대, 중계 노드의 모바일 노드 모듈 또는 UE 모듈에 저장됨) 을 사용하여 자신을 코어 통신 네트워크 (408) 에 인증할 수도 있다. 가입자 인증을 위한 하나 이상의 식별자들 및/또는 키들은, 예를 들어, 착탈식 스마트카드에 저장할 수도 있다.
일부 구현예들에서, 중계 노드 (408) 는 가입자 인증 프로세스 (412) 를 개시하기 위해 가입자 인증 메시지를 코어 통신 네트워크 (408) 에 일방적으로 또는 독립적으로 전송할 수도 있다. 다른 구현들에서, 코어 통신 네트워크 (408) 는 중계 노드 (408) 가 가입자 인증 메시지를 전송하는 것을 요구함으로써 가입자 인증 절차 (412) 를 개시할 수도 있다. 예를 들어, 코어 통신 네트워크 (408) 는 도전 메시지를 중계 노드 (404) 에 전송할 수도 있다. 그러면 중계 노드 (404) 는 도전 및 그것의 하나/또는 그 이상의 가입자 식별자(들)/키(들)로부터의 정보 (예컨대, 데이터, 값들, 기능들 등) 를 이용하여, 코어 통신 네트워크 (408) 에 전송되는 가입자 인증 메시지를 생성한다. 예를 들면, 중계 노드 (404) 는 그것의 가입자 식별자 (및 가능하게는 도전 메시지로 수신된 다른 정보) 를 그것의 가입자 키로 간단히 암호 서명하고, 가입자 키 및 서명된 가입자 키를 포함하는 인증 메시지를 코어 통신 네트워크 (408) 에 전송한다. 그러면 코어 통신 네트워크 (408) 는 서명된 가입자 식별자를 검증하기 위해, 코어 통신 네트워크 (408) 에 알려지고 중계 노드 (404) 와 연관된 가입자 키를 사용하여 중계 노드 (404) 를 인증한다. 가입자 키가 대칭 키 (예컨대, 비밀 키) 또는 비대칭 키 (예컨대, 공개/개인 키 쌍) 일 수도 있는 다른 암호화 방법들 및/또는 알고리즘들이 사용될 수도 있다.
가입자 인증 메시지 및 디바이스 인증 메시지의 수신시, 코어 통신 네트워크 (408) 의 하나 이상의 구성요소들 (예컨대, 하나 이상의 인증 노드들) 은 가입자 및 디바이스 (414) 양쪽 모두의 인증을 수행할 수도 있다. 예를 들면, 코어 통신 네트워크 (408) (또는 그것의 구성요소들 중 하나 이상) 는 정보 (예컨대, 키들 및/또는 식별 정보) 에 대한 사전 액세스 (prior access) 를 하여 중계 노드 (404) 및/또는 그것의 가입자 정보의 진위를 검증할 수도 있다. 그 다음 인증 승인/거부 메시지 (416) 는 코어 통신 네트워크 (408) 에 의해 다른 네트워크 구성요소들 (예컨대, 네트워크 액세스 노드 또는 eNB) 및/또는 중계 노드 (404) 에 전송될 수도 있다. 인증이 성공했다면, 중계 노드 (404) 는 모바일 노드 (402) 와 액세스 노드 (406) 사이의 트래픽 전송물들 (418a 및 418b) 을 코어 통신 네트워크 (408) 에 전송하도록 동작할 수도 있다. 일부 구현예들에서, 중계 노드 (404) 는 그것의 제 1 통신 인터페이스와 그것의 제 2 통신 인터페이스 사이의 트래픽 변환 (419) 을 수행하여 고유한 트래픽 전송물들 간에서 컨버팅할 수도 있다. 인증이 실패했다면, 중계 노드 (404) 는 트래픽을 코어 통신 네트워크 (408) 에 송신하는 액세스가 거부된다. 이런 방식으로, 디바이스 인증은 코어 통신 네트워크 (408) 에 의해 가입자 인증에 바인딩된다. 어느 인증이라도 실패하면, 중계 노드는 액세스 노드 (406) 를 통해 트래픽을 송신하는 액세스가 거부된다.
일부 구현예들에서, 디바이스 인증 (410) 은 가입자 인증 (412) 전에 수행된다. 디바이스 인증을 먼저 수행하는 것에 의해, 코어 네트워크는 인증을 요구하는 디바이스의 유형의 특성들을 확인할 수 있다. 이는 대응하는 가입자 식별자 (예컨대, 가입자 인증 절차의 부분으로서 수신됨) 가 디바이스의 올바른 유형으로 사용되고 있는지 여부를 그 후에 확인할 때에 통신 네트워크에 도움을 줄 수도 있다. 예를 들어, 가입자 식별자가 중계 노드 디바이스들을 위한 것이지만 모바일 노드에 대한 디바이스 식별자로 사용되고 있다면, 디바이스/가입자 인증은 거부된다. 다른 구현들에서, 가입자 인증은 디바이스 인증 전에 수행될 수도 있다. 또 다른 대체 구현예에서, 디바이스 인증과 가입자 인증 양쪽 모두는 그것들이 동시에 발생하도록 단일 인증 절차/메시지로 통합될 수도 있다. 중계 노드 디바이스 인증에 사용되는 암호화 키들은 대칭 키 (예컨대, 비밀 키) 또는 비대칭 키 (예컨대, 공개/개인 키 쌍) 일 수도 있다.
가입자 인증 업데이트 절차 (420) 는 계속되는 검증을 위해 (예컨대, 매일 또는 이틀마다) 그 후에 반복될 수도 있다. 마찬가지로, 디바이스 인증 절차 (422) 는 또한 가입자 인증 (420) 보다는 덜 빈번하지만 (예컨대, 매주 또는 매달) 반복될 수도 있다.
예시적인 중계 노드 및 그 내부에서의 동작들
도 5는 예시적인 중계 노드를 도시하는 블록도이다. 중계 노드 (500) 는 모바일 노드 모듈 (506), 액세스 노드 모듈 (508), 및/또는 내부 보안성 저장 디바이스 (504) 에 결합된 처리 회로 (502) 를 구비할 수도 있다. 모바일 노드 모듈 (506) 은 제 1 안테나 (510) 를 통해 액세스 노드로/로부터 통신하기 위한 송신기 및 수신기를 구비한 제 1 통신 인터페이스 (507) 를 포함할 수도 있다. 모바일 노드 모듈 (506) 은 또한 모바일 노드 모듈 (506) 의 다른 기능들/동작들 중에서 제 1 통신 인터페이스로/로부터의 데이터 전송들을 제어할 수도 있는 모바일 노드 (MN) 처리 회로 (503) 를 구비할 수도 있다. 모바일 노드 모듈 (506) 은 또한 모바일 노드 모듈 (506) 을 고유하게 식별하는 하나 이상의 모바일 노드 디바이스 식별자들을 유지할 수도 있는 저장 디바이스 (518) 를 구비할 수도 있다. 덧붙여, 모바일 노드 모듈 (506) 은 가입자/사용자 인증 정보 (예컨대, 키들 및 가입 식별자 (들)) 가 저장될 수도 있는 착탈식 UICC 카드 (514) 에 결합되거나 또는 그것과 통신할 수도 있다.
마찬가지로, 액세스 노드 모듈 (508) 은 제 2 안테나 (512) 를 통해 모바일 노드로/로부터 통산하기 위한 송신기 및 수신기를 구비한 제 2 통신 인터페이스 (509) 를 포함할 수도 있다. 액세스 노드 모듈 (508) 은 또한 액세스 노드 모듈 (508) 의 다른 기능들/동작들 중에서 제 2 통신 인터페이스로/로부터의 데이터 전송들을 제어할 수도 있는 액세스 노드 (AN) 처리 회로 (505) 를 구비할 수도 있다. 액세스 노드 모듈 (508) 은 또한 액세스 노드 모듈 (506) 을 고유하게 식별하는 하나 이상의 액세스 노드 디바이스 식별자들을 유지할 수도 있는 저장 디바이스 (520) 를 구비할 수도 있다.
중계 노드 (500) 는 또한 모바일 노드 모듈 (506), 액세스 노드 모듈 (508), 및/또는 저장 디바이스 (504) 에 결합된 처리 회로 (502) 를 구비할 수도 있다. 처리 회로 (502) 는 가능하게는 저장 디바이스 (504) 를 버퍼 또는 큐로서 사용하여, 액세스 노드 모듈 (508) 과 모바일 노드 모듈 (506) 사이에 데이터를 전송하도록 구성될 수도 있다. 덧붙여, 처리 회로 (502) 는 액세스 노드 모듈 (508) 과 모바일 노드 모듈 (506) 사이에서 트래픽 포맷들/프로토콜들을 변환하는 트래픽 변환 회로 (520) 를 구비할 수도 있다. 예를 들면, 트래픽 변환 회로 (520) 는 제 1 통신 인터페이스 (507) 및 제 2 통신 인터페이스 (509) 간의 데이터 트래픽 전송물들을 제 1 신호 유형으로부터 제 2 신호 유형으로 변환할 수도 있다.
모바일 노드 모듈 (506), 처리 회로 (502) 및 액세스 노드 모듈 (508) 이 도 5에서 별개의 구성요소들 또는 회로들로 예시되지만, 그것들의 기능들 및/또는 동작들은 단일 회로 (예컨대, 집적회로) 로 통합될 수도 있다는 점에 주의한다.
저장 디바이스 (504) 는 또한 중계 노드 (500), 액세스 노드 모듈 (508), 및/또는 모바일 노드 모듈 (506) 을 고유하게 식별하는 하나 이상의 디바이스 식별자들 (516) 을 구비할 수도 있다. 이들 하나 이상의 디바이스 식별자들 (516), 하나 이상의 모바일 노드 디바이스 식별자들 (518), 및/또는 하나 이상의 액세스 노드 디바이스 식별자들 (520) 은 디바이스 인증을 수행할 때에 중계 노드에 의해 사용될 수도 있다. 이들 식별자들 및 디바이스 식별자들과 연관된 키들이 내부적으로 그리고 보안적으로 저장되기 때문에 (즉, 키들은 공격자에게 액세스가능하지 않기 때문에), 그것들은 공격자에게 이용가능하지 않다. 디바이스 식별자들과 연관된 키들은 비대칭 또는 대칭 키들 중 어느 하나일 수도 있다. 이들 식별자들 중의 하나 이상은 중계 노드 (500) 의 디바이스 인증에 사용될 수도 있지만 (UICC 카드 (514) 에서의) 가입자/사용자 정보는 가입자/사용자 인증을 위해 기능할 수도 있다.
도 6은 디바이스 인증을 수행함으로써 공격들을 완화시키기 위한 중계 노드에서의 동작 방법을 도시한다. 중계 노드는 네트워크 액세스 노드와 모바일 노드 사이에서 동작할 수도 있다. 중계 노드는 액세스 노드 모듈 및 모바일 노드 모듈을 구비할 수도 있다. 중계 노드의 모바일 노드 모듈은 액세스 노드와 통신하도록 구성된 제 1 통신 인터페이스를 구비할 수도 있다. 모바일 노드 모듈은 중계 노드가 액세스 노드에게 모바일 노드로서 여겨지게 한다. 중계 노드가 모바일 노드에게 네트워크 액세스 노드로서 여겨지는 중계 노드의 액세스 노드 모듈은 또한 모바일 노드와 통신하는 제 2 통신 인터페이스를 구비할 수도 있다.
중계 노드 및/또는 모바일 노드 모듈에는 가입자 식별자 및/또는 키(들)가 준비될 수도 있다 (602). 예를 들어, 이러한 가입자 식별자 및/또는 키(들)는 모바일 노드 모듈에 결합되는 착탈식 카드에 저장될 수도 있다. 중계 노드, 액세스 노드 모듈, 및/또는 모바일 노드 모듈에는 또한 하나 이상의 디바이스 식별자들 및/또는 연관된 키(들)가 준비될 수도 있다 (604). 예를 들어, 이러한 디바이스 식별자(들)/키(들)는 중계 노드, 모바일 노드 모듈, 및/또는 액세스 노드 모듈 내의 하나 이상의 보안 로케이션들에 저장될 수도 있다. 디바이스 식별자들에 연관된 키들은 비대칭 또는 대칭 키들 중 어느 하나일 수도 있다.
중계 노드는 네트워크 액세스 노드와 모바일 노드 사이의 트래픽을 송신, 변환, 중계, 및/또는 라우팅하도록 구성될 수도 있다 (606). 예를 들어, 중계 노드, 및/또는 그 내부의 모바일 노드 모듈은, 액세스 노드와 통신하여, 중계 노드가 액세스 노드에게 모바일 노드로서 여겨지도록 구성된 제 1 통신 인터페이스를 구비할 수도 있다. 마찬가지로, 중계 노드, 및/또는 그 내부의 액세스 노드 모듈은, 모바일 노드와 통신하여, 중계 노드가 모바일 노드에게 네트워크 액세스 노드로서 여겨지도록 하는 제 2 통신 인터페이스를 구비할 수도 있다.
네트워크를 통해 통신하는 것을 허용하기 전에, 중계 노드는 디바이스 및/또는 가입자 인증을 위한 하나 이상의 메시지들을 전송할 수도 있다. 예를 들어, 중계 노드는 중계 노드의 디바이스 인증을 인에이블시키기 위한 디바이스 인증 메시지를 전송할 수도 있다 (608). 예를 들면, 디바이스 인증 메시지는 액세스 노드를 통해 통신 네트워크에서의 제 1 MME에 전송될 수도 있다. 마찬가지로, 중계 노드는 중계 노드 (또는 적어도 그 내부의 모바일 노드 모듈) 의 가입자 인증을 인에이블시키기 위한 가입자 인증 메시지를 전송할 수도 있으며, 디바이스 인증은, 중계 노드가 통신 네트워크를 통해 통신 서비스를 획득할 수 있는지 여부를 결정함에 있어서, 가입자 인증에 바인딩된다 (610).
그 다음, 중계 노드는, 성공적인 가입자 인증 및 디바이스 인증시, 통신 네트워크에 대한 액세스를 획득할 수도 있다 (612). 예를 들어, 중계 노드는, 성공적인 가입자 인증 및 디바이스 인증시, 통신 네트워크에 대한 액세스를 승인하는 서비스 승인 메시지를 수신할 수도 있다. 다르게는, 중계 노드는, 성공하지 못한 가입자 인증 또는 디바이스 인증시, 통신 네트워크에 대한 액세스를 거부하는 서비스 거부 메시지를 수신할 수도 있다. 하나의 예에서, 디바이스 인증 메시지와 가입자 인증 메시지는 단일 인증 메시지로서 동시에 전송될 수도 있다.
제 1 통신 인터페이스는 제 2 통신 인터페이스와는 상이한 OTA (over-the-air) 통신 프로토콜을 구현할 수도 있다. 디바이스 인증은, 중계 노드에 고유하고 중계 노드 내의 보안성 비착탈식 저장 디바이스에 저장된 디바이스 식별자 또는 디바이스 키 중 적어도 하나를 이용하여 수행될 수도 있다. 디바이스 식별자는 중계 노드에 대한 국제 이동 단말기 식별번호 (International Mobile Equipment Identity; IMEI), 중계 노드 내의 액세스 노드 모듈, 또는 중계 노드 내의 모바일 노드 모듈 중의 적어도 하나일 수도 있다. 제 1 통신 인터페이스는 LTE (Long Term Evolution) - 준수 네트워크에 대한 진화형 노드 B로서 동작하도록 구성된 모바일 액세스 모듈의 부분일 수도 있다. 제 1 통신 인터페이스는 중계 노드의 모바일 노드 모듈의 부분일 수도 있고 제 2 통신 인터페이스는 중계 노드의 액세스 노드 모듈의 부분이다. 가입자 인증은 그 후에 디바이스 인증보다 더 빈번하게 반복될 수도 있다.
덧붙여, 중계 노드는 제 1 통신 인터페이스를 통해 수신된 제 1 패킷 유형의 트래픽을 제 2 통신 인터페이스를 통한 송신을 위한 제 2 패킷 유형으로 변환하도록 구성될 수도 있다. 마찬가지로, 중계 노드는 제 2 통신 인터페이스를 통해 수신된 제 2 패킷 유형의 트래픽을 제 1 통신 인터페이스를 통한 송신을 위한 제 1 패킷 유형으로 변환하도록 구성될 수도 있다.
예시적인 코어 네트워크 인증 디바이스(들)및 그 내부에서의 동작들
도 7은 적어도 하나의 구현예에 따라 인증 노드 (700) 의 구성요소들을 선택하는 블록도를 도시한다. 인증 노드는 인증 노드 (700) 의 동일한 기능들을 수행하는 하나 이상의 디바이스들로서 구현될 수도 있다. 인증 노드 (700) 는 통신 인터페이스 (708) 및 저장 디바이스 (704) 에 결합된 처리 회로 (702) 를 구비할 수도 있다.
하나의 예에서, 처리 회로 (702) 는 예를 들어, 소프트웨어 및/또는 펌웨어 명령들, 및/또는 하드웨어 회로를 포함하여, 실행가능 명령들을 실행하도록 구성된 프로세서, 제어기, 복수의 프로세서들 및/또는 다른 구조체 중 하나 이상으로서 구현될 수도 있다. 처리 회로 (702) 의 실시형태들은 본 명세서에서 설명된 기능들을 수행하도록 디자인된 범용 프로세서, 디지털 신호 프로세서 (DSP), 주문형 집적회로 (ASIC), 필드 프로그램가능 게이트 어레이 (FPGA) 또는 다른 프로그램가능 로직 컴포넌트, 개별 게이트 또는 트랜지스터 로직, 개별 하드웨어 컴포넌트들, 또는 그것들의 임의의 조합을 구비할 수도 있다. 범용 프로세서는 마이크로프로세서일 수도 있지만, 대안적으로는, 이 프로세서는 임의의 종래의 프로세서, 제어기, 마이크로제어기, 또는 상태 머신일 수도 있다. 프로세서는 또한 컴퓨팅 컴포넌트들의 조합, 이를테면 DSP 및 마이크로프로세서의 조합, 복수 개의 마이크로프로세서들, DSP 코어와 협력하는 하나 이상의 마이크로프로세서들, 또는 임의의 다른 이러한 구성으로도 구현될 수도 있다. 처리 회로 (702) 의 이들 예들은 예시를 위한 것이고 본 개시물의 범위 내의 다른 적합한 구성들이 또한 생각될 수도 있다.
처리 회로 (702) 는 통신 네트워크로부터 네트워크 통신 인터페이스 (708) 를 통해 메시지들을 수신하고 및/또는 송신하도록 구성될 수도 있다. 이 목적을 위해, 네트워크 통신 인터페이스 (708) 는 송신기 및 수신기를 구비할 수도 있다. 처리 회로 (702) 는 적어도 하나의 실시형태에서 적절한 미디어에 의해 제공된 소망의 프로그래밍을 구현하도록 구성된 회로를 포함할 수도 있다. 예를 들어, 처리 회로는 가입자 인증 모듈 (710) 및/또는 디바이스 인증 모듈 (712) 을 구비할 및/또는 구현할 수도 있다.
중계 노드에 의해 발신된 가입자 인증 메시지의 수신시, 가입자 인증 모듈 (710) 은 중계 노드를 그 후에 인증하는데 사용되는 중계 노드와 연관된 가입자 식별자(들)/키(들)를 획득할 수도 있다. 이러한 가입자 인증은 가입자 인증 메시지에서의 특정 정보가 유효한 가입자로부터 실제로 발신되었음을 검증하는 것을 수반할 수도 있다. 예를 들어, 이 가입자 인증은 가입자 키를 사용하여 가입자 인증 메시지에서의 정보를 재생성 및/또는 검증하는 것을 수반할 수도 있다.
중계 노드에 의해 발신된 디바이스 인증 메시지의 수신시, 디바이스 인증 모듈 (712) 은 중계 노드와 연관된 하나 이상의 중계 노드 (RN) 디바이스 식별자(들)/키(들)(714), 액세스 노드 구성요소 식별자(들)(716), 및/또는 모바일 노드 구성요소 식별자(들)/키(들)(718) 를 획득할 수도 있다. 그 다음 하나 이상의 디바이스 식별자들/키들은 중계 노드를 인증하는데 사용된다. 예를 들어, 이 디바이스 인증은 디바이스 식별자(들)/키(들)를 사용하여 디바이스 인증 메시지에서의 정보를 재생성 및/또는 검증하는 것을 수반할 수도 있다.
다른 구현들에서, 가입자 인증 및/또는 디바이스 인증은 인증 노드 (710) 와 중계 노드 사이의 일련의 메시지들을 수반할 수도 있다는 점에 주의한다.
가입자 인증과 디바이스 인증 양쪽 모두가 성공적이면, 인증 노드 (700) 는 통신 네트워크에 대한 중계 노드 액세스를 승인하는 메시지를 전송할 수도 있다.
도 8은 디바이스 인증을 수행함으로써 중계 노드에 대한 공격들을 완화시키기 위한 인증 노드에서의 동작 방법을 도시한다. 중계 노드는 네트워크 액세스 노드와 모바일 노드 사이에서 동작할 수도 있다. 중계 노드는 액세스 노드 모듈 및 모바일 노드 모듈을 구비할 수도 있다. 인증 노드는 중계 노드들의 하나 이상의 모바일 노드 구성요소들에 대해 하나 이상의 가입자 식별자(들)/키(들)를 획득할 수도 있다 (802). 덧붙여, 인증 노드는 또한 하나 이상의 모바일 노드 구성요소들, 액세스 노드 구성요소들, 및/또는 중계 노드들을 위한 하나 이상의 디바이스 식별자(들)/키(들)를 획득할 수도 있다 (804).
그 후에, 인증 노드는 중계 노드에 의해 발신된 가입자 인증 메시지를 수신할 수도 있다 (806). 그 다음 인증 노드는 하나 이상의 가입자 식별자(들)/키(들)를 사용하여 가입자 인증을 수행할 수도 있다 (808).
덧붙여, 인증 노드는 중계 노드에 의해 발신된 디바이스 인증 메시지를 수신할 수도 있다 (810). 그 다음 인증 노드는 하나 이상의 디바이스 식별자(들)/키(들)를 사용하여 디바이스 인증을 수행할 수도 있다 (812).
성공적인 가입자 인증 및 디바이스 인증시, 인증 노드는 통신 네트워크에 대한 중계 노드 액세스를 승인하는 메시지를 전송할 수도 있다 (814).
도 1, 도 2, 도 3, 도 4, 도 5, 도 6, 도 7 및/또는 도 8에 도시된 구성요소들, 단계들, 특징들 및/또는 기능들 중의 하나 이상이, 단일 구성요소, 단계, 특징 또는 기능으로 재배치 및/또는 조합될 수도 있거나 또는 여러 구성요소들, 단계들, 또는 기능들로 실시될 수도 있다. 부가적인 요소들, 구성요소들, 단계들, 및/또는 기능들이 또한 본 발명으로부터 벗어나지 않고서도 추가될 수도 있다. 도 1, 도 5 및/또는 도 5에 도시된 장치, 디바이스들, 및/또는 구성요소들은 도 4, 도 6 및/또는 도 8에서 설명되는 방법들, 특징들, 또는 단계들 중의 하나 이상을 수행하도록 구성될 수도 있다. 본 명세서에서 설명되는 신규한 알고리즘들은 또한 능률적으로 소프트웨어로 구현되거나 및/또는 하드웨어에 내장될 수도 있다.
또한, 적어도 일부의 구현예들은 플로차트, 흐름도, 구조도, 또는 블록도로서 묘사된 프로세서로서 설명되었다는 점에 주의한다. 흐름도가 순차적 프로세스로서 동작들을 설명할 수도 있지만, 많은 동작들은 병행하여 또는 동시에 수행될 수 있다. 덧붙여서, 동작들의 순서는 재배치될 수도 있다. 프로세스는 그것의 동작들이 완료될 때 종료된다. 프로세스는 메소드, 함수, 프로시저, 서브루틴, 서브프로그램 등에 대응할 수도 있다. 프로세스가 함수에 대응할 때, 그것의 종료는 호출 함수 또는 메인 함수로의 기능의 반환에 대응한다.
더욱이, 실시형태들은 하드웨어, 소프트웨어, 펌웨어, 미들웨어, 마이크로코드, 또는 이것들의 임의의 조합에 의해 구현될 수도 있다. 소프트웨어, 펌웨어, 미들웨어 또는 마이크로코드로 구현될 때, 필요한 태스크들을 수행하는 프로그램 코드 또는 코드 세그먼트들은 저장 매체 또는 다른 스토리지(들)와 같은 머신 판독가능 매체에 저장될 수도 있다. 프로세서가 필요한 태스크들을 수행할 수도 있다. 코드 세그먼트는 프로시저, 함수, 서브프로그램, 프로그램, 루틴, 서브루틴, 모듈, 소프트웨어 패키지, 클래스, 또는 명령들, 데이터 구조들, 또는 프로그램문들 (program statements) 의 임의의 조합을 나타낼 수도 있다. 코드 세그먼트는, 정보, 데이터, 독립변수들 (arguments), 하나 이상의 매개변수들, 또는 메모리 콘텐츠들을 전달하고 및/또는 수신하는 것에 의해 다른 코드 세그먼트 또는 하드웨어 회로에 결합될 수도 있다. 정보, 독립변수들, 매개변수들, 데이터 등은, 메모리 공유, 메시지 패싱, 토큰 패싱, 네트워크 전송 등을 포함하는 임의의 적당한 수단을 경유하여 전달되거나, 포워딩되거나, 또는 전송될 수도 있다.
용어들인 "머신 판독가능 매체", "컴퓨터 판독가능 매체", 및/또는 "프로세서 판독가능 매체"는, 휴대용 또는 고정형 저장 디바이스들, 광 저장 디바이스들, 및 명령(들)및/또는 데이터를 저장, 포함, 또는 운반할 수 있는 다양한 다른 매체들과 같은, 비 일시적 (non-transitory) 매체들을 포함할 수도 있으나 이것으로 제한되지는 않는다. 그래서, 본 명세서에서 설명되는 다양한 방법들은, "머신 판독가능 매체", "컴퓨터 판독가능 매체", 및/또는 "프로세서 판독가능 매체"에 저장될 수도 있고 하나 이상의 프로세서들, 머신들 및/또는 디바이스들에 의해 실행될 수도 있는 명령들 및/또는 데이터에 의해 부분적으로 또는 완전히 구현될 수도 있다.
본 명세서에서 설명되는 예들에 관련하여 설명된 방법들 또는 알고리즘들은 하드웨어로, 프로세서에 의해 실행가능한 소프트웨어 모듈로, 또는 이것 양쪽 모두의 조합으로, 처리 유닛, 프로그래밍 명령들, 또는 다른 지시들의 형태로 직접 실시될 수도 있고, 단일 디바이스에 포함되거나 또는 다수의 디바이스들에 걸쳐 분산될 수도 있다. 소프트웨어 모듈은 RAM 메모리, 플래시 메모리, ROM 메모리, EPROM 메모리, EEPROM 메모리, 레지스터들, 하드 디스크, 착탈식 디스크, CD-ROM 또는 당업계에 알려진 임의의 다른 형태의 저장 매체 내에 존재할 수 있다. 저장 매체는 프로세서가 저장 매체로부터 정보를 읽을 수 있고 그 저장 매체에 정보를 쓸 수 있도록 프로세서에 결합될 수도 있다. 대체예에서, 저장 매체는 프로세서에 통합될 수 있다.
이 기술분야의 숙련된 자들에게는 여기에 개시된 실시형태들에 관련하여 설명되는 각종 구체적인 논리 블록들, 모듈들, 회로들, 및 알고리즘 단계들이 전자 하드웨어, 컴퓨터 소프트웨어, 또는 양쪽 모두의 조합들로 구현될 수도 있다는 것이 추가로 이해될 것이다. 하드웨어 및 소프트웨어의 이러한 상호 교환 가능성을 명백하게 예증하기 위하여, 전술된 다양하고 예시적인 구성요소들, 블록들, 모듈들, 회로들, 및 단계들이 일반적으로 그것들의 기능성의 관점에서 설명되어 있다. 이러한 기능성이 하드웨어 또는 소프트웨어 중 어느 것으로 구현되는지는 전체 시스템에 부가되는 특정 애플리케이션 및 디자인 제약들에 의존한다.
본 명세서에서 설명된 본 발명의 다양한 특징들은 본 발명으로부터 벗어남 없이 상이한 시스템들로 구현될 수 있다. 전술한 실시형태들은 단지 예들이고 본 발명을 제한하는 의도는 아니라는 것에 주의해야 할 것이다. 실시형태들의 설명은 예시적인 것으로 의도되었고 청구항들의 범위를 제한하는 것으로 의도되지는 않았다. 이처럼, 본 교시들은 장치들의 다른 유형들에 쉽게 적용될 수 있고 많은 대체예들, 변형예들, 및 개조예들이 이 기술분야의 숙련된 자들에게 명확하게 될 것이다.

Claims (39)

  1. 중계 노드에서의 동작 방법으로서,
    제 1 액세스 노드와 제 1 모바일 노드 사이의 트래픽을 중계함으로써 상기 제 1 액세스 노드와 상기 제 1 모바일 노드 사이에서 동작하도록 상기 중계 노드를 구성하는 단계로서,
    상기 중계 노드의 제 1 통신 인터페이스는 상기 제 1 액세스 노드와 통신하여, 상기 중계 노드가 상기 제 1 액세스 노드에게 제 2 모바일 노드로서 여겨지도록 구성되고,
    제 2 통신 인터페이스는 상기 제 1 모바일 노드와 통신하여, 상기 중계 노드가 상기 제 1 모바일 노드에게 제 2 액세스 노드로서 여겨지도록 구성되는,
    상기 중계 노드를 구성하는 단계;
    상기 중계 노드의 디바이스 인증을 인에이블시키기 위한 디바이스 인증 메시지를 전송하는 단계; 및
    상기 중계 노드의 가입자 인증을 인에이블시키기 위한 가입자 인증 메시지를 전송하는 단계를 포함하고,
    상기 디바이스 인증은, 상기 중계 노드가 통신 네트워크를 통해 통신 서비스를 획득할 수 있는지 여부를 결정함에 있어서, 상기 가입자 인증에 바인딩되는, 중계 노드에서의 동작 방법.
  2. 제 1 항에 있어서,
    성공적인 가입자 인증 및 디바이스 인증시, 상기 통신 네트워크에 대한 액세스를 획득하는 단계를 더 포함하는, 중계 노드에서의 동작 방법.
  3. 제 1 항에 있어서,
    성공적인 가입자 인증 및 디바이스 인증시, 상기 통신 네트워크에 대한 액세스를 승인하는 서비스 승인 메시지를 수신하는 단계; 및
    성공하지 못한 가입자 인증 또는 디바이스 인증시, 상기 통신 네트워크에 대한 액세스를 거부하는 서비스 거부 메시지를 수신하는 단계를 더 포함하는, 중계 노드에서의 동작 방법.
  4. 제 1 항에 있어서,
    상기 디바이스 인증 메시지 및 상기 가입자 인증 메시지는 단일 인증 메시지로서 동시에 전송되는, 중계 노드에서의 동작 방법.
  5. 제 1 항에 있어서,
    상기 제 1 통신 인터페이스는, 상기 제 2 통신 인터페이스와는 상이한 OTA (over-the-air) 통신 프로토콜을 구현하는, 중계 노드에서의 동작 방법.
  6. 제 1 항에 있어서,
    상기 디바이스 인증은, 상기 중계 노드에 고유하고 상기 중계 노드 내의 보안성 비착탈식 저장 디바이스에 저장된 디바이스 식별자 또는 디바이스 키 중 적어도 하나를 사용하여 수행되는, 중계 노드에서의 동작 방법.
  7. 제 6 항에 있어서,
    상기 디바이스 식별자는 상기 중계 노드에 대한 국제 이동 단말기 식별번호 (International Mobile Equipment Identity; IMEI), 상기 중계 노드 내의 액세스 노드 모듈, 또는 상기 중계 노드 내의 모바일 노드 모듈 중 적어도 하나인, 중계 노드에서의 동작 방법.
  8. 제 1 항에 있어서,
    상기 제 1 통신 인터페이스는 LTE (Long Term Evolution) - 준수 네트워크에 대한 진화형 노드 B (enhanced Node B) 로서 동작하도록 구성된 모바일 액세스 모듈의 부분인, 중계 노드에서의 동작 방법.
  9. 제 1 항에 있어서,
    상기 제 1 통신 인터페이스는 상기 중계 노드의 모바일 노드 모듈의 부분이고,
    상기 제 2 통신 인터페이스는 상기 중계 노드의 액세스 노드 모듈의 부분인, 중계 노드에서의 동작 방법.
  10. 제 1 항에 있어서,
    상기 가입자 인증은, 그 후에 상기 디바이스 인증보다 더 빈번하게 반복되는, 중계 노드에서의 동작 방법.
  11. 제 1 항에 있어서,
    상기 제 1 통신 인터페이스를 통해 수신된 제 1 패킷 유형의 트래픽을, 상기 제 2 통신 인터페이스를 통한 송신을 위한 제 2 패킷 유형으로 변환하도록, 상기 중계 노드를 구성하는 단계; 및
    상기 제 2 통신 인터페이스를 통해 수신된 상기 제 2 패킷 유형의 트래픽을, 상기 제 1 통신 인터페이스를 통한 송신을 위한 상기 제 1 패킷 유형으로 변환하도록, 상기 중계 노드를 구성하는 단계를 더 포함하는, 중계 노드에서의 동작 방법.
  12. 제 1 항에 있어서,
    상기 제 1 통신 인터페이스와 상기 제 2 통신 인터페이스 사이의 데이터 트래픽 전송물들을 제 1 신호 유형으로부터 제 2 신호 유형으로 변환하도록 상기 중계 노드를 구성하는 단계를 더 포함하는, 중계 노드에서의 동작 방법.
  13. 제 1 항에 있어서,
    상기 가입자 인증에 사용되는 가입자 식별자 또는 키는 디바이스 유형과 사전 연관되고 (pre-associated),
    상기 가입자 인증은, 상기 디바이스 인증이 동일한 디바이스 유형을 식별하는 경우에만 성공적인, 중계 노드에서의 동작 방법.
  14. 중계 노드로서,
    제 1 액세스 노드와 통신하여, 상기 중계 노드가 제 1 액세스 노드에게 제 2 모바일 노드로서 여겨지도록 구성된 제 1 통신 인터페이스;
    제 1 모바일 노드와 통신하여, 상기 중계 노드가 상기 제 1 모바일 노드에게 제 2 액세스 노드로서 여겨지도록 구성된 제 2 통신 인터페이스; 및
    상기 제 1 통신 인터페이스 및 상기 제 2 통신 인터페이스에 결합된 처리 회로를 포함하고,
    상기 처리 회로는,
    상기 제 1 액세스 노드와 상기 제 1 모바일 노드 사이의 트래픽을 중계하고,
    상기 중계 노드의 디바이스 인증을 인에이블시키기 위한 디바이스 인증 메시지를 전송하며,
    상기 중계 노드의 가입자 인증을 인에이블시키기 위한 가입자 인증 메시지를 전송하도록 구성되며,
    상기 디바이스 인증은, 상기 중계 노드가 통신 네트워크를 통해 통신 서비스를 획득할 수 있는지 여부를 결정함에 있어서, 상기 가입자 인증에 바인딩되는, 중계 노드.
  15. 제 14 항에 있어서,
    상기 처리 회로는 또한,
    성공적인 가입자 인증 및 디바이스 인증시, 상기 통신 네트워크에 대한 액세스를 획득하도록 구성되는, 중계 노드.
  16. 제 14 항에 있어서,
    상기 처리 회로는 또한,
    성공적인 가입자 인증 및 디바이스 인증시, 상기 통신 네트워크에 대한 액세스를 승인하는 서비스 승인 메시지를 수신하고;
    성공하지 못한 가입자 인증 또는 디바이스 인증시, 상기 통신 네트워크에 대한 액세스를 거부하는 서비스 거부 메시지를 수신하도록 구성되는, 중계 노드.
  17. 제 14 항에 있어서,
    상기 처리 회로에 결합된 비착탈식 보안성 저장 디바이스를 더 포함하고,
    상기 비착탈식 보안성 저장 디바이스는, 상기 중계 노드에 고유하고 디바이스 인증에 사용되는 디바이스 식별자 또는 키 중 적어도 하나를 저장하는, 중계 노드.
  18. 제 17 항에 있어서,
    상기 디바이스 식별자는 상기 중계 노드에 대한 국제 이동 단말기 식별번호 (International Mobile Equipment Identity; IMEI), 상기 중계 노드 내의 액세스 노드 모듈, 또는 상기 중계 노드 내의 모바일 노드 모듈 중 적어도 하나인, 중계 노드.
  19. 제 14 항에 있어서,
    상기 제 1 통신 인터페이스는, 상기 제 2 통신 인터페이스와는 상이한 OTA (over-the-air) 통신 프로토콜을 구현하는, 중계 노드.
  20. 제 14 항에 있어서,
    상기 제 1 통신 인터페이스, 및 디바이스 인증에 사용되는 하나 이상의 모바일 노드 식별자들 및/또는 키들을 저장하는 비-착탈식 저장 디바이스를 구비하는 모바일 노드 모듈을 더 포함하는, 중계 노드.
  21. 제 14 항에 있어서,
    상기 제 2 통신 인터페이스, 및 디바이스 인증에 사용되는 하나 이상의 액세스 노드 식별자들 및/또는 키들을 저장하는 비-착탈식 저장 디바이스를 구비하는 액세스 노드 모듈을 더 포함하는, 중계 노드.
  22. 제 14 항에 있어서,
    상기 처리 회로는 또한,
    상기 제 1 통신 인터페이스와 상기 제 2 통신 인터페이스 사이의 데이터 트래픽 전송물들을 제 1 신호 유형으로부터 제 2 신호 유형으로 변환하도록 구성되는, 중계 노드.
  23. 중계 노드로서,
    제 1 액세스 노드와 통신하여, 상기 중계 노드가 상기 제 1 액세스 노드에게 제 2 모바일 노드로서 여겨지도록 하는 수단;
    제 1 모바일 노드와 통신하여, 상기 중계 노드가 상기 제 1 모바일 노드에게 제 2 액세스 노드로서 여겨지도록 하는 수단;
    상기 제 1 액세스 노드 사이의 트래픽을 상기 제 1 모바일 노드에 중계하는 수단;
    상기 중계 노드의 디바이스 인증을 인에이블시키기 위한 디바이스 인증 메시지를 전송하는 수단, 및
    상기 중계 노드의 가입자 인증을 인에이블시키기 위한 가입자 인증 메시지를 전송하는 수단을 포함하고,
    상기 디바이스 인증은, 상기 중계 노드가 통신 네트워크를 통해 통신 서비스를 획득할 수 있는지 여부를 결정함에 있어서, 상기 가입자 인증에 바인딩되는, 중계 노드.
  24. 제 23 항에 있어서,
    성공적인 가입자 인증 및 디바이스 인증시, 상기 통신 네트워크에 대한 액세스를 획득하는 수단을 더 포함하는, 중계 노드.
  25. 제 23 항에 있어서,
    디바이스 식별자 또는 키 중 적어도 하나를 보안적으로 그리고 비착탈식으로 저장하는 수단을 더 포함하는, 중계 노드.
  26. 제 23 항에 있어서,
    상기 제 1 통신 인터페이스와 상기 제 2 통신 인터페이스 사이의 데이터 트래픽 전송물들을 제 1 신호 유형으로부터 제 2 신호 유형으로 변환하는 수단을 더 포함하는, 중계 노드.
  27. 제 1 모바일 노드와 제 1 액세스 노드 사이에서 동작하도록 구성된 중계 노드 상에서 동작가능한 하나 이상의 명령들을 포함하는 프로세서 판독가능 매체로서,
    상기 명령들은, 처리 회로에 의해 실행될 때, 상기 처리 회로로 하여금,
    제 1 통신 인터페이스를 통해 상기 제 1 액세스 노드와 통신하여, 상기 중계 노드가 상기 제 1 액세스 노드에게 제 2 모바일 노드로서 여겨지도록 하게 하고;
    제 2 통신 인터페이스를 통해 상기 제 1 모바일 노드와 통신하여, 상기 중계 노드가 상기 제 1 모바일 노드에게 제 2 액세스 노드로서 여겨지도록 하게 하고;
    상기 제 1 액세스 노드와 상기 제 1 모바일 노드 사이의 트래픽을 중계하게 하고;
    상기 중계 노드의 디바이스 인증을 인에이블시키기 위한 디바이스 인증 메시지를 전송하게 하며;
    상기 중계 노드의 가입자 인증을 인에이블시키기 위한 가입자 인증 메시지를 전송하게 하고,
    상기 디바이스 인증은, 상기 중계 노드가 통신 네트워크를 통해 통신 서비스를 획득할 수 있는지 여부를 결정함에 있어서, 상기 가입자 인증에 바인딩되는, 프로세서 판독가능 매체.
  28. 제 23 항에 있어서,
    처리 회로에 의해 실행될 때, 상기 처리 회로로 하여금,
    성공적인 가입자 인증 및 디바이스 인증시, 상기 통신 네트워크에 대한 액세스를 획득하게 하는 하나 이상의 명령들을 포함하는, 프로세서 판독가능 매체.
  29. 네트워크 인증 엔티티에서의 동작 방법으로서,
    제 1 모바일 노드와 제 1 액세스 노드 사이에서 동작하는 중계 노드에 의해 발신된 디바이스 인증 메시지를 수신하는 단계;
    중계 노드, 상기 중계 노드의 액세스 노드 모듈, 또는 상기 중계 노드의 모바일 노드 모듈과 연관된 하나 이상의 디바이스 식별자들 또는 키들에 기초하여 디바이스 인증을 수행하는 단계;
    상기 중계 노드에 의해 발신된 가입자 인증 메시지를 수신하는 단계;
    상기 중계 노드와 연관된 하나 이상의 가입자 식별자들 또는 키들에 기초하여 가입자 인증을 수행하는 단계; 및
    성공적인 가입자 인증 및 디바이스 인증시, 통신 네트워크에 대한 중계 노드 액세스를 승인하는 메시지를 전송하는 단계를 포함하는, 네트워크 인증 엔티티에서의 동작 방법.
  30. 제 29 항에 있어서,
    성공하지 못한 가입자 인증 또는 디바이스 인증시, 상기 통신 네트워크에 대한 상기 중계 노드 액세스를 거부하는 메시지를 전송하는 단계를 더 포함하는, 네트워크 인증 엔티티에서의 동작 방법.
  31. 제 29 항에 있어서,
    상기 디바이스 인증을 개시하기 위한 제 1 메시지를 상기 중계 노드에 전송하는 단계; 및
    상기 가입자 인증을 개시하기 위한 제 2 메시지를 상기 중계 노드에 전송하는 단계를 더 포함하는, 네트워크 인증 엔티티에서의 동작 방법.
  32. 제 29 항에 있어서,
    상기 가입자 인증에 사용되는 가입자 식별자 또는 키는 디바이스 유형과 사전 연관되고,
    상기 가입자 인증은, 상기 디바이스 인증이 동일한 디바이스 유형을 식별하는 경우에만 성공적인, 네트워크 인증 엔티티에서의 동작 방법.
  33. 제 29 항에 있어서,
    상기 디바이스 인증은 디바이스 인증 노드에 의해 수행되는 한편, 상기 가입자 인증은 가입자 인증 노드에 의해 수행되는, 네트워크 인증 엔티티에서의 동작 방법.
  34. 제 29 항에 있어서,
    상기 디바이스 인증 메시지 및 상기 가입자 인증 메시지는 단일 인증 메시지로서 동시에 수신되는, 네트워크 인증 엔티티에서의 동작 방법.
  35. 통신 네트워크를 통해 중계 노드와 통신하도록 구성된 통신 인터페이스; 및
    상기 통신 인터페이스에 결합된 처리 회로를 포함하고,
    상기 처리 회로는,
    제 1 모바일 노드와 제 1 액세스 노드 사이에서 동작하는 상기 중계 노드에 의해 발신된 디바이스 인증 메시지를 수신하고;
    상기 중계 노드, 상기 중계 노드의 액세스 노드 구성요소, 또는 상기 중계 노드의 모바일 노드 구성요소와 연관된 하나 이상의 디바이스 식별자들 또는 키들에 기초하여 디바이스 인증을 수행하고;
    상기 중계 노드에 의해 발신된 가입자 인증 메시지를 수신하고;
    상기 중계 노드와 연관된 하나 이상의 가입자 식별자들 또는 키들에 기초하여 가입자 인증을 수행하며;
    성공적인 가입자 인증 및 디바이스 인증시, 상기 통신 네트워크에 대한 중계 노드 액세스를 승인하는 메시지를 전송하도록 구성되는, 인증 엔티티.
  36. 제 35 항에 있어서,
    상기 처리 회로는 또한,
    성공하지 못한 가입자 인증 또는 디바이스 인증시, 상기 통신 네트워크에 대한 상기 중계 노드 액세스를 거부하는 메시지를 전송하도록 구성되는, 인증 엔티티.
  37. 제 36 항에 있어서,
    상기 디바이스 인증을 수행하는 디바이스 인증 노드; 및
    상기 가입자 인증을 수행하는 가입자 인증 노드를 더 포함하는, 인증 엔티티.
  38. 제 1 모바일 노드와 제 1 액세스 노드 사이에서 동작하는 중계 노드에 의해 발신된 디바이스 인증 메시지를 수신하는 수단;
    상기 중계 노드, 상기 중계 노드의 액세스 노드 구성요소, 또는 상기 중계 노드의 모바일 노드 구성요소와 연관된 하나 이상의 디바이스 식별자들 또는 키들에 기초하여 디바이스 인증을 수행하는 수단;
    상기 중계 노드에 의해 발신된 가입자 인증 메시지를 수신하는 수단;
    상기 중계 노드와 연관된 하나 이상의 가입자 식별자들 또는 키들에 기초하여 가입자 인증을 수행하는 수단; 및
    성공적인 가입자 인증 및 디바이스 인증시, 통신 네트워크에 대한 중계 노드 액세스를 승인하는 메시지를 전송하는 수단을 포함하는, 인증 엔티티.
  39. 코어 통신 네트워크 내에서 동작하는 인증 엔티티 상에서 동작가능한 하나 이상의 명령들을 포함하는 프로세서 판독가능 매체로서,
    상기 하나 이상의 명령들은, 처리 회로에 의해 실행될 때, 상기 처리 회로로 하여금,
    제 1 모바일 노드와 제 1 액세스 노드 사이에서 동작하는 중계 노드에 의해 발신된 디바이스 인증 메시지를 수신하게 하고;
    상기 중계 노드, 상기 중계 노드의 액세스 노드 구성요소, 또는 상기 중계 노드의 모바일 노드 구성요소와 연관된 하나 이상의 디바이스 식별자들 또는 키들에 기초하여 디바이스 인증을 수행하게 하고;
    상기 중계 노드에 의해 발신된 가입자 인증 메시지를 수신하게 하고;
    상기 중계 노드와 연관된 하나 이상의 가입자 식별자들 또는 키들에 기초하여 가입자 인증을 수행하게 하며;
    성공적인 가입자 인증 및 디바이스 인증시, 통신 네트워크에 대한 중계 노드 액세스를 승인하는 메시지를 전송하게 하는, 프로세서 판독가능 매체.
KR1020127021844A 2010-01-22 2011-01-24 무선 중계 노드들을 보안화하는 방법 및 장치 KR101476898B1 (ko)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US29764910P 2010-01-22 2010-01-22
US61/297,649 2010-01-22
US13/011,678 US8904167B2 (en) 2010-01-22 2011-01-21 Method and apparatus for securing wireless relay nodes
US13/011,678 2011-01-21
PCT/US2011/022279 WO2011091375A1 (en) 2010-01-22 2011-01-24 Method and apparatus for securing wireless relay nodes

Publications (2)

Publication Number Publication Date
KR20120120324A true KR20120120324A (ko) 2012-11-01
KR101476898B1 KR101476898B1 (ko) 2014-12-26

Family

ID=44309988

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020127021844A KR101476898B1 (ko) 2010-01-22 2011-01-24 무선 중계 노드들을 보안화하는 방법 및 장치

Country Status (17)

Country Link
US (1) US8904167B2 (ko)
EP (1) EP2526636A1 (ko)
JP (1) JP5572720B2 (ko)
KR (1) KR101476898B1 (ko)
CN (1) CN102754361B (ko)
AU (1) AU2011207450B2 (ko)
BR (1) BR112012018094A2 (ko)
CA (1) CA2787826C (ko)
IL (1) IL221063A0 (ko)
MX (1) MX2012008466A (ko)
MY (1) MY169615A (ko)
RU (1) RU2533172C2 (ko)
SG (1) SG182649A1 (ko)
TW (1) TWI492654B (ko)
UA (1) UA106515C2 (ko)
WO (1) WO2011091375A1 (ko)
ZA (1) ZA201206296B (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101496641B1 (ko) * 2013-04-25 2015-03-02 주식회사 에이에스엔 중계기 노드 연결 방법
KR20220058642A (ko) * 2017-05-05 2022-05-09 노키아 테크놀로지스 오와이 인증 요청들을 제어하기 위한 프라이버시 표시자들

Families Citing this family (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110305339A1 (en) * 2010-06-11 2011-12-15 Karl Norrman Key Establishment for Relay Node in a Wireless Communication System
US9215220B2 (en) * 2010-06-21 2015-12-15 Nokia Solutions And Networks Oy Remote verification of attributes in a communication network
US20130163762A1 (en) * 2010-09-13 2013-06-27 Nec Corporation Relay node device authentication mechanism
CN102724102B (zh) * 2011-03-29 2015-04-08 华为技术有限公司 与网管***建立连接的方法、设备及通信***
JP5021820B1 (ja) * 2011-04-01 2012-09-12 株式会社エヌ・ティ・ティ・ドコモ 移動通信方法及び移動管理ノード
US8693401B2 (en) * 2011-07-20 2014-04-08 Connectem Inc. Method and system for optimized handling of context using hierarchical grouping (for machine type communications)
US8984276B2 (en) * 2012-01-10 2015-03-17 Jpmorgan Chase Bank, N.A. System and method for device registration and authentication
US9363812B2 (en) * 2012-02-01 2016-06-07 Qualcomm Incorporated Method and apparatus for white space operation by a mobile entity
DE102012201505B4 (de) * 2012-02-02 2013-08-22 Siemens Aktiengesellschaft Authentisierungssystem für mobile Geräte zum Datenaustausch von medizinischen Daten
PL2813098T3 (pl) 2012-02-06 2019-09-30 Nokia Technologies Oy Sposób i urządzenie szybkiego dostępu
US9986535B2 (en) * 2012-03-31 2018-05-29 Tejas Networks Limited Method and system for managing mobile management entity (MME) in a telecommunication network
US10051686B2 (en) * 2012-05-04 2018-08-14 Qualcomm Incorporated Charging over a user-deployed relay
US9405925B2 (en) 2014-02-09 2016-08-02 Microsoft Technology Licensing, Llc Content item encryption on mobile devices
WO2016059836A1 (ja) * 2014-10-15 2016-04-21 ソニー株式会社 情報処理装置、通信システムおよび情報処理方法
EP3266233B1 (en) 2015-03-02 2020-05-06 Samsung Electronics Co., Ltd. Method and apparatus for providing service in wireless communication system
US11290879B2 (en) 2015-07-02 2022-03-29 Telefonaktiebolaget Lm Ericsson (Publ) Method for obtaining initial access to a network, and related wireless devices and network nodes
CN108141751B (zh) * 2015-09-24 2021-11-02 三星电子株式会社 用于在网络中支持对远程邻近服务ue的合法监听的方法
US9979730B2 (en) * 2015-10-30 2018-05-22 Futurewei Technologies, Inc. System and method for secure provisioning of out-of-network user equipment
US20170325270A1 (en) * 2016-05-06 2017-11-09 Futurewei Technologies, Inc. System and Method for Device Identification and Authentication
CN107438247B (zh) * 2016-05-26 2020-04-03 新华三技术有限公司 无线中继实现方法及装置
WO2018041757A1 (en) * 2016-08-29 2018-03-08 Koninklijke Kpn N.V. System and methods of sending and receiving a relay notification
US10630661B2 (en) * 2017-02-03 2020-04-21 Qualcomm Incorporated Techniques for securely communicating a data packet via at least one relay user equipment
US10484371B2 (en) * 2017-05-22 2019-11-19 Seagate Technology Llc Device controller security system
KR102350842B1 (ko) * 2018-02-11 2022-01-12 광동 오포 모바일 텔레커뮤니케이션즈 코포레이션 리미티드 이동 통신 시스템, 방법 및 장치
EP3959914A4 (en) * 2019-04-26 2022-11-23 Telefonaktiebolaget LM Ericsson (publ) METHODS AND DEVICES FOR SERVICE DISCOVERY
DE102020212451A1 (de) * 2020-10-01 2022-04-07 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren zum digitalen Signieren einer Nachricht
CN114915498B (zh) * 2022-07-14 2022-09-27 国网思极网安科技(北京)有限公司 一种基于密钥保护的安全接入网关
CN117560669A (zh) * 2022-08-04 2024-02-13 华为技术有限公司 一种鉴权方法、通信装置和***
CN115348583B (zh) * 2022-10-18 2023-01-03 中国民航信息网络股份有限公司 一种高速移动场景下的通信方法及***

Family Cites Families (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH08140136A (ja) 1994-11-07 1996-05-31 Oki Electric Ind Co Ltd 通信システム
US6233577B1 (en) * 1998-02-17 2001-05-15 Phone.Com, Inc. Centralized certificate management system for two-way interactive communication devices in data networks
JP3238680B2 (ja) 1999-07-09 2001-12-17 ケイディーディーアイ株式会社 コードレス通信システム、中継器一体型phs端末及び通信モード切替方法
US20030236980A1 (en) 2002-06-20 2003-12-25 Hsu Raymond T. Authentication in a communication system
JP4018573B2 (ja) 2003-03-25 2007-12-05 株式会社エヌ・ティ・ティ・ドコモ 認証システム及び通信端末
JP4090955B2 (ja) 2003-07-15 2008-05-28 Kddi株式会社 ネットワーク中継システムおよび中継装置
GB0421408D0 (en) 2004-09-25 2004-10-27 Koninkl Philips Electronics Nv Registration of a mobile station in a communication network
KR100689554B1 (ko) * 2004-10-07 2007-03-02 삼성전자주식회사 광대역 무선 접속 통신 시스템에서 옥내 및 옥외 무선접속을 제공하는 장치 및 방법
JP4480538B2 (ja) 2004-10-22 2010-06-16 株式会社エヌ・ティ・ティ・ドコモ 中継装置及び中継方法
EP1830595A1 (en) 2004-12-21 2007-09-05 Matsushita Electric Industrial Co., Ltd. Access network system, base station device, network connection device, mobile terminal, and authentication method
WO2006099209A2 (en) * 2005-03-11 2006-09-21 Ems Technologies, Inc. Remotely controllable and reconfigurable wireless repeater
KR101137340B1 (ko) 2005-10-18 2012-04-19 엘지전자 주식회사 릴레이 스테이션의 보안 제공 방법
JP2007281861A (ja) 2006-04-06 2007-10-25 Nec Corp 端末認証方法及び携帯端末装置
JP4894465B2 (ja) 2006-11-07 2012-03-14 富士通東芝モバイルコミュニケーションズ株式会社 情報処理装置
US7969930B2 (en) * 2006-11-30 2011-06-28 Kyocera Corporation Apparatus, system and method for managing wireless local area network service based on a location of a multi-mode portable communication device
WO2008085206A2 (en) * 2006-12-29 2008-07-17 Prodea Systems, Inc. Subscription management of applications and services provided through user premises gateway devices
US20090271626A1 (en) 2007-09-04 2009-10-29 Industrial Technology Research Institute Methods and devices for establishing security associations in communications systems
US20090069049A1 (en) * 2007-09-12 2009-03-12 Devicefidelity, Inc. Interfacing transaction cards with host devices
US7930264B2 (en) * 2007-12-06 2011-04-19 First Data Corporation Multi-module authentication platform
CN101500229B (zh) 2008-01-30 2012-05-23 华为技术有限公司 建立安全关联的方法和通信网络***
US8516558B2 (en) * 2008-02-25 2013-08-20 Jeffrey L. Crandell Polling authentication system
EP2134116A1 (en) 2008-06-11 2009-12-16 Mitsubishi Electric R&D Centre Europe B.V. Method and a device for identifying at least one terminal for which signals transferred between the at least one terminal and a base station have to be relayed by a relay
KR101457704B1 (ko) 2008-06-19 2014-11-04 엘지전자 주식회사 무선 송수신기와 이를 구비한 중계국
JP5254704B2 (ja) 2008-08-23 2013-08-07 京セラ株式会社 中継局および無線通信中継方法

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101496641B1 (ko) * 2013-04-25 2015-03-02 주식회사 에이에스엔 중계기 노드 연결 방법
KR20220058642A (ko) * 2017-05-05 2022-05-09 노키아 테크놀로지스 오와이 인증 요청들을 제어하기 위한 프라이버시 표시자들
KR20230062585A (ko) * 2017-05-05 2023-05-09 노키아 테크놀로지스 오와이 인증 요청들을 제어하기 위한 프라이버시 표시자들
KR20230130766A (ko) * 2017-05-05 2023-09-12 노키아 테크놀로지스 오와이 인증 요청들을 제어하기 위한 프라이버시 표시자들
US11792172B2 (en) 2017-05-05 2023-10-17 Nokia Technologies Oy Privacy indicators for controlling authentication requests

Also Published As

Publication number Publication date
KR101476898B1 (ko) 2014-12-26
UA106515C2 (uk) 2014-09-10
BR112012018094A2 (pt) 2016-05-03
JP5572720B2 (ja) 2014-08-13
IL221063A0 (en) 2012-09-24
MX2012008466A (es) 2012-11-23
MY169615A (en) 2019-04-23
EP2526636A1 (en) 2012-11-28
RU2533172C2 (ru) 2014-11-20
US8904167B2 (en) 2014-12-02
CA2787826A1 (en) 2011-07-28
SG182649A1 (en) 2012-08-30
CA2787826C (en) 2015-12-01
RU2012136123A (ru) 2014-02-27
TW201208455A (en) 2012-02-16
CN102754361B (zh) 2017-12-01
AU2011207450A1 (en) 2012-08-16
CN102754361A (zh) 2012-10-24
AU2011207450B2 (en) 2014-09-04
JP2013518475A (ja) 2013-05-20
ZA201206296B (en) 2018-12-19
US20110185397A1 (en) 2011-07-28
WO2011091375A1 (en) 2011-07-28
TWI492654B (zh) 2015-07-11

Similar Documents

Publication Publication Date Title
KR101476898B1 (ko) 무선 중계 노드들을 보안화하는 방법 및 장치
ES2863310T3 (es) Seguridad mejorada de estrato de no acceso
US20210368314A1 (en) Mtc key management for key derivation at both ue and network
CN107018676B (zh) 用户设备与演进分组核心之间的相互认证
EP2583479B1 (en) Method and apparatus for binding subscriber authentication and device authentication in communication systems
KR101508576B1 (ko) 홈 노드-b 장치 및 보안 프로토콜
US20110305339A1 (en) Key Establishment for Relay Node in a Wireless Communication System
KR20190016540A (ko) 모바일 무선 네트워크 시스템에서의 액세스 인증 방법 및 시스템
US20130091556A1 (en) Method for establishing a secure and authorized connection between a smart card and a device in a network
KR20130042006A (ko) 중계 노드 디바이스 인증 메커니즘
CN110495199B (zh) 无线网络中的安全小区重定向
KR102205625B1 (ko) 사이퍼링 및 무결성 보호의 보안
WO2020056433A2 (en) SECURE COMMUNICATION OF RADIO RESOURCE CONTROL (RRC) REQUEST OVER SIGNAL RADIO BEARER ZERO (SRBo)
CN101483870A (zh) 跨平台的移动通信安全体系的实现方法
CN101977378A (zh) 信息传输方法、网络侧及中继节点
KR20190000781A (ko) 단말의 데이터 전송 방법, 단말 장치 및 데이터 전송 제어 방법
CN110754101A (zh) 在电信网络中增强移动订户隐私
WO2012174884A1 (zh) 接入控制方法、装置、接口及安全网关
Fidelis et al. ENHANCED ADAPTIVE SECURITY PROTOCOL IN LTE AKA

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee