KR20140109478A - 통신 핸드오프 시나리오를 위한 인증 및 보안 채널 설정 - Google Patents

통신 핸드오프 시나리오를 위한 인증 및 보안 채널 설정 Download PDF

Info

Publication number
KR20140109478A
KR20140109478A KR1020147021819A KR20147021819A KR20140109478A KR 20140109478 A KR20140109478 A KR 20140109478A KR 1020147021819 A KR1020147021819 A KR 1020147021819A KR 20147021819 A KR20147021819 A KR 20147021819A KR 20140109478 A KR20140109478 A KR 20140109478A
Authority
KR
South Korea
Prior art keywords
layer
network
credential
server
authentication
Prior art date
Application number
KR1020147021819A
Other languages
English (en)
Inventor
요겐드라 씨 샤
인혁 차
안드레아즈 슈미트
루이스 제이 구치오네
로렌스 케이스
안드레아즈 레이처
유시프 타갈리
Original Assignee
인터디지탈 패튼 홀딩스, 인크
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 인터디지탈 패튼 홀딩스, 인크 filed Critical 인터디지탈 패튼 홀딩스, 인크
Publication of KR20140109478A publication Critical patent/KR20140109478A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0033Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
    • H04W36/0038Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

한 네트워크에서의 지속적 통신 계층 상에서 발생되는 지속적 통신 계층 크리덴셜이 다른 한 네트워크 상에서 인증을 수행하기 위한 레비리지로 활용될 수 있을 것이다. 예를 들어, 지속적 통신 계층 크리덴셜은 응용 계층 상에서 유도되는 응용 계층 크리덴셜을 포함할 수 있을 것이다. 응용 계층 크리덴셜은 네트워크 서버에서의 서비스에 접근하기 위한 모바일 디바이스를 인증하기 위한 인증 크리덴셜을 설정하기 위해 이용될 수 있을 것이다. 인증 크리덴셜은 한 네트워크로부터 다른 한 네트워크로 무결절 핸드오프를 할 수 있게 하기 위해 다른 한 네트워크의 응용 계층 크리덴셜로부터 유도될 수 있을 것이다. 인증 크리덴셜은 역 부트스트래핑 또는 다른 키 유도 기능을 이용하여 응용 계층 크리덴셜로부터 유도될 수 있을 것이다. 모바일 디바이스가 인증되고 있는 모바일 디바이스 및/또는 네트워크 엔터티는 통신 계층들 사이에서 인증 정보의 통신을 가능하게 할 수 있을 것이어서 다중 통신 계층을 이용하여 디바이스의 인증을 할 수 있게 한다.

Description

통신 핸드오프 시나리오를 위한 인증 및 보안 채널 설정 {AUTHENTICATION AND SECURE CHANNEL SETUP FOR COMMUNICATION HANDOFF SCENARIOS}
이 출원은 2010년 12월 30일 출원되고, 그것의 내용의 전부가 여기에 참고로 포함되는 미국 가 특허 출원 61/428,663호의 이익을 주장한다.
사용자는 일반적으로 네트워크 전체에 걸쳐 로밍하면서 연속적으로 서비스를 이용할 수 있다. 사용자가 현재의 네트워크에 의해 서비스가 제공되는 위치로부터 타겟 네트워크에 의해 서비스가 제공되는 위치로 이동할 때 예를 들어, 접근 계층에서 핸드오프가 수행될 수 있을 것이다. 핸드오프가 수행될 때, 사용자는 사용자가 이동해 들어가고 있는 장소에서 서비스를 제공하는 타겟 네트워크로 인증되는 것이 필요할 수 있을 것이다. 접근 계층에 대한 인증은 핸드오프마다 일어날 수 있을 것이며, 사용자 디바이스는 접근 계층에서 타겟 네트워크에 접근하기 위해 미리 준비된 크리덴셜을 이용할 수 있을 것이다.
사용자의 통신 디바이스는 계층화 통신 메커니즘을 이용하여 통신할 수 있을 것이다. 많은 경우에, 상이한 통신 계층의 각각은 그들 자신의 보안을 요구한다. 핸드오프는 계층화 네트워크에서의 한 노드로부터 다른 한 노드로의 도중에서 일어날 수 있을 것이다. 그러한 핸드오프를 실현하기 위한 기법들이 존재할 수 있을 것이지만, 통신은 현재 이용되는 보안 연관(security association) 또는 메커니즘의 중단을 요구할 수 있을 것이다.
한 예에 따르면, 접근 계층에서 다른 한 네트워크로의 핸드오프가 일어날 때 접근 계층 핸드오프는 추가적 보안 설정을 이용함으로써 현재 이용되는 보안 메커니즘에서의 그러한 중단을 유발할 수 있을 것이다. 예를 들어, 추가적 보안 설정은 접근 계층에서 핸드오프가 일어날 때마다 인증 및/또는 보안 키 합의의 다른 한 세션을 포함할 수 있을 것이다. 접근 계층 핸드오프가 더 빈번해질 수 있을 것임에 따라, 접근 계층 핸드오프가 일어날 때마다 추가적 보안 세션을 설정하는 것은 지연 및/또는 불필요한 방송 통신 및/또는 네트워크 인증 인프라에 대한 부담을 유발할 수 있을 것이다. 이것은 무결절 핸드오프를 실현하는 것을 곤란하게 할 수 있을 것이다.
이 개요는 아래의 상세한 설명에서 더 기술되는 다양한 개념을 간단히 소개하기 위해 제공된다.
네트워크 서버에서의 서비스에 접근하기 위한 모바일 디바이스를 인증하기 위해 모바일 디바이스에서 인증 크리덴셜을 발생시키는 시스템, 방법, 및 장치 실시예들이 여기에서 기술된다. 한 계층에서의 인증 및 관련 크리덴셜의 지속성이 다른 한 계층에서의 크리덴셜을 설정하기 위해 이용될 수 있을 것이다. 여기에서 기술되는 바와 같이, 지속적 통신 계층 크리덴셜은 네트워크 서버와 공유되게 설정될 수 있을 것이다. 예를 들어, 지속적 통신 계층 크리덴셜은 응용 계층에서 발생되는 응용 계층 크리덴셜 또는 한 네트워크로부터 다른 한 네트워크로의 핸드오프를 견뎌내는(survive) 지속적 통신 계층에서 발생되는 다른 크리덴셜일 수 있을 것이다. 지속적 통신 계층 크리덴셜은 제1 네트워크 상의 지속적 통신 계층을 통하여 설정될 수 있을 것이다. 지속적 통신 계층 크리덴셜은 제1 네트워크를 이용하여 네트워크 서버로부터의 서비스를 수신하기 위한 모바일 디바이스를 인증하도록 구성될 수 있을 것이다. 제2 네트워크 상의 네트워크 통신 엔터티가 발견될 수 있을 것이며, 지속적 통신 계층 크리덴셜에 근거하여 인증 크리덴셜이 발생될 수 있을 것이다. 모바일 디바이스가 제2 네트워크를 이용하여 네트워크 서버로부터 서비스를 수신할 수 있게 하는 지속적 통신 계층이 아닌 다른 통신 계층을 통하여 제2 네트워크와 인증하기 위해 인증 크리덴셜이 이용될 수 있을 것이다.
다른 한 예시적 실시예에 따르면, 통신 네트워크 상에 상주하는 응용 서버에서 모바일 디바이스를 인증함에 있어서 이용하기 위해 응용 서버에서 인증 크리덴셜이 획득될 수 있을 것이다. 예를 들어, 응용 계층 크리덴셜로부터 유도되는 인증 크리덴셜이 획득될 수 있을 것이다. 응용 서버와 연관된 응용 계층을 통하여 인증 크리덴셜이 획득될 수 있을 것이다. 응용 서버로부터의 서비스에 접근하는 이동 통신 디바이스를 인증하도록 인증 크리덴셜이 구성될 수 있을 것이다. 다른 통신 계층 상의 모바일 디바이스를 인증하기 위해 응용 계층으로부터 다른 한 통신 계층으로 인증 크리덴셜이 발송될 수 있을 것이다.
한 예시적 실시예에 따르면, 다른 통신 계층은 접근 계층일 수 있을 것이다. 접근 계층은 물리적, 데이터 링크, 및/또는 네트워크 계층일 수 있을 것이다. 다른 통신 계층이 접근 계층이면, 인증 크리덴셜은 접근 계층에서의 인증을 위해 이용되는 접근 계층 크리덴셜일 수 있을 것이다.
이 개요는 아래의 상세한 설명에서 더 기술되는 개념들의 선택을 간단히 소개하기 위해 제공된다. 이 요약은 특허청구되는 주제의 주요 특징 요소 또는 본질적 특징 요소를 구별해내려는 것도 아니고, 특허청구되는 주제의 범위를 제한하기 위해 이용되려는 것도 아니다. 또한, 특허청구된 주제는 이 기술내용의 어떤 부분에서든 언급되는 단점들 중 어떤 것 또는 전부를 해결하는 한정사항으로 제한되는 것이 아니다.
첨부된 도면과 함께 예로서 제공되는 다음의 기술로부터 더 자세하게 이해될 수 있을 것이며, 도면에서:
도 1a는 하나 이상의 개시된 실시예가 구현될 수 있을 것인 예시적 통신 시스템의 계통도이고;
도 1b는 도 1a에 예시된 통신 시스템 내에서 이용될 수 있을 것인 예시적 WTRU(무선 송수신 장치)의 계통도이며;
도 1c는 도 1a에 예시된 통신 시스템 내에서 이용될 수 있을 것인 예시적 무선 접속망 및 예시적 네트워크의 계통도이고;
도 2는 응용 계층 세션을 위한 핸드오프 시나리오를 예시하는 흐름도이며;
도 3은 응용 계층 세션을 위한 다른 한 핸드오프 시나리오를 예시하는 흐름도이고;
도 4는 로컬 오픈 ID를 이용하는 프로토콜 실현을 예시하는 흐름도이며;
도 5는 접근/인가를 허여하는 로컬 오픈 ID를 이용하는 프로토콜 실현을 예시하는 흐름도이고;
도 6은 RP(Relying Party)로서 작용하는 AAA(인증, 인가 및 계정) 서버와의 UAM-OpenID(일반 접근법-오픈 ID) 통합을 예시하는 흐름도이며;
도 7은 RP로서 작용하는 WLAN GW(무선 근거리 통신망 게이트웨이)와의 UAM-OpenID 통합을 예시하는 흐름도이고;
도 8은 RP로서 작용하는 AAA 서버와의 EAP-OpenID(확장성 인증 프로토콜-오픈 ID) 통합을 예시하는 흐름도이며;
도 9는 RP로서 작용하는 AAA 서버의 EAP-OpenID 통합을 예시하는 다른 한 흐름도이고;
도 10은 RP로서 작용하는 AAA 서버와의 EAP-OpenID 통합 및 로컬 OP(로컬 오픈 ID 제공자)의 구현을 예시하는 흐름도이며;
도 11은 RP로서 작용하는 AAA 서버의 EAP-OpenID 통합을 예시하는 다른 한 흐름도이고;
도 12는 OP 서버로서의 AAA 서버를 구현하는 인증 프로토콜을 예시하는 흐름도이며;
도 13은 EAP 프로토콜 메시지로의 오픈 ID 메시지의 통합을 예시하는 흐름도이고;
도 14는 오픈 ID 접속을 이용하는 서비스를 위한 UE(사용자 장비) 인증을 예시하는 흐름도이며;
도 15는 오픈 ID 접속 및 로컬 OP를 이용하는 서비스를 위한 UE의 인증을 예시하는 흐름도이다.
여기에서는 예를 들어, 이종 네트워크들의 전반에 걸쳐 무결절 사용자/디바이스 인증 및 보안 이동성이 가능하게 하기 위해, 오픈 ID 프로토콜과 같은, 연합된 ID 및 SSO(Single Sign On(싱글 사인 온))을 이용하는 다양한 구현들이 기술된다. 여기에서 기술되는 실시예들은 다른 한 네트워크 상에서의 인증을 수행하기 위해 하나의 네트워크 상에서의 크리덴셜들을 레버리지(leverage)로 활용할 수 있을 것이다. 한 예시적 실시예에서는, 하나의 네트워크 상의 지속적 통신 계층에서 발생되는 지속적 통신 계층 크리덴셜들이 역 부트스트래핑(reverse bootstrapping)을 수행하고 다른 한 네트워크 상에서 온디맨드(on-demand) 및 무결절(seamless) 방식으로 보안 계층 인증(security layer authentication) 및/또는 보안 터널 설정(secure tunnel setup)을 완료하기 위해 이용될 수 있을 것이다. 한 예시적 실시예에 따르면, 지속적 통신 계층 크리덴셜(persistent communication layer credential)은 응용 계층에서 발생되는 응용 계층 크리덴셜(application-layer credential) 또는 한 네트워크로부터 다른 한 네트워크로의 핸드오프(handoff)를 견뎌내는 지속적 통신 계층에서 발생되는 다른 한 크리덴셜일 수 있을 것이다. 여기에서의 실시예들이 핸드오프 시나리오에서 다른 한 계층(예를 들어, 비지속적 통신 계층(non-persistent communication layer))에서의 인증을 수행하기 위해 응용 계층 크리덴셜을 이용하는 것을 기술하지만, 네트워크와 네트워크 사이의 핸드오프를 견뎌내는 지속적 통신 계층에서 설정되는 어떤 다른 크리덴셜이든 이용될 수 있을 것임을 알아야 한다.
한 실시예에 따르면, 핸드오프(예를 들어, 접근 계층 핸드오프) 중에 모바일 디바이스의 인증에 이용하기 위해 접근 계층 인증 크리덴셜(access-layer authentication credentials)을 발생시키는 시스템 및 방법이 기술된다. 인증 크리덴셜은 모바일 디바이스가 접근하는 서비스가 핸드오프 중에 계속 무결절로 중단되지 않도록 발생될 수 있을 것이다. 여기에서 기술되는 바와 같이, 접근 계층에서 제1 네트워크 엔터티(network entity)와의 보안 통신이 설정될 수 있을 것이다. 제1 네트워크 엔터티와의 보안 통신에 근거하여 응용 서버와의 보안 응용 계층 통신(secure application- layer communication)이 설정될 수도 있을 것이다. 보안 통신을 이용하여 서비스가 수신될 수 있을 것이다. 제2 네트워크 엔터티가 발견될 수 있을 것이다. 제2 네트워크 엔터티와의 인증을 위한 인증 크리덴셜(예를 들어, 접근 계층 크리덴셜)이 발생될 수 있을 것이다. 응용 계층 통신과 연관된 응용 계층 정보를 이용하여 인증 크리덴셜이 발생될 수 있을 것이다. 핸드오프 중에 서비스가 무결절로 중단되지 않으면서 인증 크리덴셜이 발생될 수 있을 것이다.
한 예시적 실시예에 따르면 예를 들어, 무선 통신 장치가 응용 서버로부터의 서비스에 접근할 수 있게 하기 위해, SSO(single sign on(싱글 사인 온)) 프로토콜을 이용하여 하나의 네트워크로부터 다른 한 네트워크로의 핸드오프 중에 인증이 수행될 수 있을 것이다. 예를 들어, 셀룰러 통신 네트워크(예를 들어, 3GPP 네트워크)로부터 WLAN(wireless local area network(무선 근거리 통신망))(예를 들어, 브라우저 기반 WLAN 또는 802.1x/EAP 기반 WLAN)으로의 핸드오프가 있을 수 있을 것이다. SSO 프로토콜은 GBA(Generic Bootstrapping Architecture(포괄적 부트스트래핑 아키텍처))에 근거할 수 있을 것이다. SSO 프로토콜은 오픈 ID를 구현할 수 있을 것이다. 예를 들어, 응용 서버에서 사용자 및/또는 디바이스를 인증하기 위해 이용되는 인증 크리덴셜을 발생시키기 위해, 역 부트스트래핑과 같은 키 유도 기능(key derivation functions)을 구현하기 위해 SSO 프로토콜이 이용될 수 있을 것이다. 응용 서버는 OP(OpenID provider(오픈 ID 제공자)) 또는 RP(relying party)서 작용하는 AAA(authentication, authorization and accounting(인증, 인가 및 계정)) 서버를 포함할 수 있을 것이다. 다른 한 실시예에 따르면, 응용 서버는 RP로서 작용하는 WLAN(무선 근거리 통신망) 게이트웨이 또는 WLAN AP(access point(접근점))를 포함할 수 있을 것이다. WLAN AP는 UE와 다른 한 SSO 엔터티 사이의 SSO 교환을 허용할 수 있을 것이다.
여기에서 이용되는 용어의 기술이 제공된다. 로컬 IdP(local identity provider(로컬 ID 제공자))는, 클라이언트 로컬화 엔터티(client-localized entity), 및 그러한 엔터티의 로컬로, 즉, 디바이스 상에서 또는 지근에서 사용자/디바이스를 위한 ID 어서션(identity assertion)이 이루어질 수 있게 하는 기능을 위한 용어이다. RP는, 오픈 ID 프로토콜에서의 RP(Relying Party), 또는 사용자/디바이스의 ID를 검증하기 위해 시도하고 있고 ID 제공자와 신뢰 관계를 갖는 다른 응용 서비스 제공자이다. OP는, 오픈 ID 프로토콜에서의 오픈 ID 제공자(OpenID provider), 또는 응용 서비스 제공자를 위해 사용자 및/또는 디바이스를 인증할 수 있을 것인 ID 제공자이다. GW는 예를 들어, 접속된 엔터티와 엔터티 사이의 인터넷 트래픽(internet traffic)을 제어하는 엔터티와 같은 게이트웨이(Gateway)이다. BA는 브라우징 에이전트(browsing agent)이다. U는 포괄적 모바일 사용자(user)이다. UE는 포괄적 모바일 사용자의 모바일 디바이스(user's mobile device)이다.
로컬 모바일 SSO(Local Mobile SSO)는, 웹 기반 SSO 서버에 의해 일반적으로 수행되는 SSO(single sign-on(싱글 사인온)) 및/또는 그와 관련된 ID 관리 기능의 부분 또는 전부가 디바이스 상에서 로컬로 수행될 수 있을 것인 방법들을 집합적으로 나타내기 위해 이용되는 용어이다. 로컬 모바일 SSO는 예를 들어, 통신 디바이스 자체의 부분 또는 전부일 수 있을 것인 로컬 기반 엔터티 및/또는 모듈에 의해 수행될 수 있을 것이다. 로컬 기반 엔터티/모듈은 통신 디바이스 및/또는 그것의 사용자의 인접지에 물리적으로 및/또는 논리적으로 배치(즉, 로컬로 배치)될 수 있을 것이다(예를 들어, 그러한 엔터티/모듈이 디바이스 속에 내장되거나, 또는 로컬 인터페이스 또는 유선 또는 단거리 무선 수단에 의해 디바이스에 연결되거나 또는 접속됨).
로컬 오픈 ID(Local 오픈ID)는, SSO 또는 ID 관리가 오픈 ID 프로토콜에 근거할 수 있을 것인 로컬 모바일 SSO의 서브셋(subset)을 나타내기 위해 이용되는 용어이다. 오픈 ID 식별 제공자(OP 또는 OpenID IdP)의 기능의 부분 또는 전부가 로컬로 배치된 엔터티/모듈에 의해 수행될 수 있을 것이다.
로컬 OP는, 오픈 ID 서버의 기능의 부분 또는 전부를 수행하는 엔터티 또는 모듈을 나타내기 위해 이용되는 용어이다. 로컬 OP는, 오픈 ID 프로토콜을 이용하여 구현되는 로컬 IdP일 수 있을 것이다. 여기에서 기술되는 실시예들에서는 로컬 OP라는 용어가 충족될 수 있을 것이지만, 오픈 ID 프로토콜을 구현하지 않는 유사한 실시예에서는 로컬 IdP가 이용될 수 있을 것임을 알아야 한다. 로컬 OP를 나타내기 위해 OPloc가 이용될 수도 있을 것이다. 로컬 OP의 기능 중 하나는 사용자 및/또는 디바이스의 ID에 관한 어서션(assertion)을 통해 사용자 및/또는 무선 통신 장치의 인증을 가능하게 하는 것일 수 있을 것이다. 그러한 어서션은 로컬 OP로부터, 외부의 RP(Relying Party)에게 어서션을 전달할 수 있을 것인, 디바이스로(예를 들어, 디바이스의 브라우저 에이전트) 발송될 수 있을 것이다. 로컬 OP에 의해 제공되는 기능이 그러한 ID 어서션을 제공하는 것으로 주로 제한되면, 그러한 기능을 수행하는 로컬 엔터티는 LAP(local Assertion Provider(로컬 어서션 제공자))라고 지칭될 수 있을 것이다.
로컬 OP는 하나 이상의 어서션 메시지(assertion message)를 처리(예를 들어, 생성, 관리, 및/또는 발송)할 수 있을 것이다. 로컬 OP는 사용자 및/또는 디바이스에 관하여 하나 이상의 ID의 검증의 상태를 주장하기 위하여 이러한 메시지를 이용할 수 있을 것이다. 이 어서션은 그러한 메시지의 하나 이상의 외부의 수신자에 대해 이루어질 수 있을 것이다. 예를 들어, RP와 같은 제3자 엔터티(third-party entity)가 그러한 어서션 메시지의 수신자 중 하나일 수 있을 것이다. 로컬 OP는 예를 들어, 암호화 키를 이용함으로써 그러한 어서션 메시지에 서명할 수 있을 것이다.
로컬 오픈 ID 방법은 하나 이상의 암호화 키(cryptographic key)를 이용할 수 있을 것이다. 루트 세션 키(root session key)라고 지칭될 수 있고 Krp로 표시될 수 있을 것인 하나의 그러한 키는, 그로부터 다른 키들이 유도될 수 있을 것인 루트 세션 키로서 작용하기 위해 RP와 OP 사이에서 이용하려는 세션 키일 수 있을 것이다. 어서션 키(assertion key)라고 지칭될 수 있고 Kasc로 표시되는 다른 한 그러한 키는 사용자의 인증을 위한 어서션 메시지 중 하나 이상에 서명하기 위해 이용될 수 있을 것인 서명 키(signing key)일 수 있을 것이다. Kasc는 Krp로부터 유도될 수 있을 것이다.
로컬 오픈 ID는, 로컬 OP 및 임의적으로는 RP에 의해 이용될 시크릿(secrets)을 발생, 공유, 및/또는 분배하는 역할을 할 수 있을 것인 OPSF(OpenID Server Function(오픈 ID 서버 기능))이라고 지칭되는 서비스를 이용하여 구현될 수도 있을 것이다. OPSF 및 로컬 OP는 외부의 RP에게는 단일 엔터티로서 보여질 수 있을 것이다. OPSF는 로컬 OP에 의해 발급된 서명을 검증할 수 있을 것이며 예를 들어, 공용 인터넷 또는 다른 유선 통신 또는 무선 통신을 통하여 RP를 위해 직접 도달 가능할 수 있을 것이다. 디바이스는(예를 들어, 자신의 브라우저를 통하여), OPSF의 주소가 예를 들어, 로컬 OP로 매핑할 수 있을 것인 디바이스 상의 로컬 DNS 해석 캐시(resolving cache)를 수정하는 것 등에 의해 로컬 OP로 리디렉트(redirect)될 수 있을 것이다. 로컬 오픈 ID는, RP를 위해 로컬 OP를 발견하는 것이 가능하게 하는 역할을 할 수 있을 것인 OP-agg로 표시되는 서비스를 이용할 수도 있을 것이다.
앞서 언급된 용어 및 기술은 여기에서 기술되는 실시예들에서 참조될 수 있을 것이다. 여기에서의 실시예들이 오픈 ID라는 용어를 이용하여 기술될 수 있거나 및/또는 오픈 ID 프로토콜의 부분들일 수 있을 것이지만, 이러한 실시예들은 오픈 ID 프로토콜 또는 오픈 ID 엔터티의 이용에 제한되는 것이 아님을 알 것이다.
한 예시적 실시예에 따르면, 여기에서 더 기술되는 바와 같이 예를 들어, 스마트폰(smart phone)과 같은 이동 통신 디바이스는 계층화 통신(layered communications)을 이용하여 통신할 수 있을 것이다. 이동 통신 디바이스는 접근 계층에서 예를 들어, 접근 계층 네트워크와 통신을 설정할 수 있을 것이다. 이동 통신 디바이스는 응용 계층 또는 접근 계층에서 응용 서비스 제공자 및/또는 그러한 제공자의 응용 계층 네트워크 또는 접속망 등과 통신을 제각기 설정할 수 있을 것이다. 각각의 계층에서 통신은 제각기 그들 자신의 보안을 가질 수 있을 것이다. 그러한 계층 특유 보안은 각각의 계층에서 인증 및/또는 보안 키 합의를 구현할 수 있을 것이다. 예를 들어, 응용 계층과 같은 상위 계층에서의 인증 및/또는 보안 키 합의는 응용 계층을 위한 키 또는 다른 보안 관련 파라미터를 유도하기 위해 예를 들어, 하위 계층에서 보안 키 및/또는 보안 연관 컨텍스트(security association contexts)와 같은 다른 보안 관련 정보를 활용할 수 있을 것이다. 그러한 기법은 예를 들어, 부트스트래핑 기법이라고 지칭될 수 있을 것이다.
한 예시적 실시예에 따르면, 모바일 디바이스가 자신의 접근 계층 통신을 하나의 접속망으로부터 다른 한 접속망으로 전환할 때, 그러한 프로세스는 접근 계층 핸드오프라고 지칭될 수 있을 것이다. 접근 계층 핸드오프는 예를 들어, 통신 디바이스의 이동으로 인해 일어날 수 있을 것이다. 접근 계층 핸드오프는 접근 계층 네트워크에서 예를 들어, 기지국과 같은 하나의 접근 계층 노드로부터 예를 들어, 다른 한 기지국과 같은 다른 한 노드로의 도중에서 일어날 수 있을 것이다. 두개의 접근 계층 노드는 예를 들어, 동일한 네트워크에 있거나, 하나의 접근 계층 네트워크와 다른 한 접근 계층 네트워크 사이에 있거나, 또는 상이한 접근 계층 네트워크에 있을 수 있을 것이다. 접근 계층 핸드오프들은 이동 통신 디바이스의 사용자에게 투명한(transparent) 것이 바람직할 수 있을 것이다. 접근 계층 핸드오프들은 응용 계층 통신의 연속적이고 원활한 운용을 수행하기 위해 중단 없는 것이 바람직할 수도 있을 것이다.
응용 계층 보안 크리덴셜은 예를 들어, 접근 계층 시추에이션(access-layer situation) 중과 같은 접근 계층 보안 설정을 돕기 위해 이용될 수 있을 것이다. 한 예시적 실시예에 따르면, 핸드오프 중에 차후의 네트워크로의 접근에서 발견 및/또는 연결(attachment)을 보조하기 위해 응용 계층에서 예를 들어, 오픈 ID를 구현할 수 있을 것인 위임 인증(delegated authentication)이 수행될 수 있을 것이다.
한 실시예에 따르면, 부트스트래핑이 이용될 수 있을 것이다. 접근 계층 보안 키는 기존의 응용 계층 통신에서 이용 가능한 보안 자료에서 유도될 수 있을 것이다. 예를 들어, 접근 계층 보안 키는 예를 들어, GBA 또는 오픈 ID와 같은 위임 형식의 인증(delegated form of authentication)을 이용하여 설정된 보안 자료로부터 유도될 수 있을 것이다.
다른 한 실시예에 따르면, 역 부트스트래핑이 이용될 수 있을 것이다. 접근 계층 보안 키는 기존의 응용 계층 통신에서 이용 가능한 보안 자료에서 유도될 수 있을 것이다. 예를 들어, 접근 계층 보안 키는 예를 들어, 오픈 ID와 같은 위임 형식의 인증을 이용하여 설정된 보안 자료로부터 유도될 수 있을 것이다.
여기에서 기술되는 바와 같이 인증을 수행할 때, 로컬 어서션 제공자(local assertion provider)가 이용될 수도 있을 것이다. 예를 들어, 응용 계층에서 이용되는 오픈 ID 프로토콜의 부분으로서 로컬 OP가 이용될 수 있을 것이다. 로컬 OP는 접근 계층 핸드오프 중에 무결절 인증 및/또는 키 합의를 가능하게 할 수 있을 것이다. 접근 계층 인증 및/또는 키 합의뿐만 아니라 접근 계층 인가도 무결 절 핸드오프 중에 할 수 있게 될 수 있을 것이다.
도 1a 내지 도 1c는 여기에서 기술되는 실시예들에서 구현될 수 있을 것인 네트워크 통신 시스템 및/또는 디바이스들의 예를 예시한다. 도 1a는 하나 이상의 개시된 실시예가 구현될 수 있을 것인 예시적 통신 시스템(100)의 다이어그램이다. 통신 시스템(100)은 음성, 데이터, 영상, 메시지, 방송, 등과 같은 콘텐츠를 다중 무선 사용자들에게 제공하는 다중 접근 시스템일 수 있을 것이다. 통신 시스템(100)은 다중 무선 사용자들이 무선 대역폭을 포함하는 시스템 자원의 공유를 통해 그러한 콘텐츠에 접근하게 할 수 있을 것이다. 예를 들어, 통신 시스템(100)은 CDMA(code division multiple access(코드 분할 다중 접속)), TDMA(time division multiple access(시 분할 다중 접속)), FDMA(frequency division multiple access(주파수 분할 다중 접속)), OFDMA(orthogonal FDMA(직교 주파수 분할 다중 접속), 및/또는 SC-FDMA(single-carrier FDMA(단일 반송파 주파수 분할 다중 접속) 등과 같은 하나 이상의 채널 접근 방법을 채택할 수 있을 것이다.
도 1a에 도시된 바와 같이, 통신 시스템(100)은 WTRU(wireless transmit/receive units(무선 송수신 장치))(102a, 102b, 102c, 102d), RAN(radio access network(무선 접속망))(104), 코어 네트워크(106), PSTN(public switched telephone network(공중 교환 전화망))(108), 인터넷(110), 및 다른 네트워크(112)를 포함할 수 있을 것이며, 개시된 실시예들이 어떤 수의 WTRU, 기지국, 네트워크, 및/또는 네트워크 요소든 고려할 수 있음을 알 것이다. WTRU(102a, 102b, 102c, 102d)의 각각은 무선 환경에서 운용 및/또는 통신하도록 구성되는 어떤 유형의 디바이스든 될 수 있을 것이다. 예로서, WTRU(102a, 102b, 102c, 102d)는 무선 신호를 송신 및/또는 수신하도록 구성될 수 있을 것이며, UE(user equipment(사용자 장비)), 이동국(mobile station), 고정식 가입자 장치 또는 이동식 가입자 장치, 태블릿(tablet), 무선 호출기, 이동 전화기, PDA(personal digital assistant(개인 휴대 정보 단말기)), 스마트폰, 랩탑, 노트북, 개인용 컴퓨터, 무선 센서, 및 가전 제품 등을 포함할 수 있을 것이다.
통신 시스템(100)은 기지국(114a) 및 기지국(114b)을 포함할 수도 있을 것이다. 기지국(114a, 114b)의 각각은 코어 네트워크(106), 인터넷(110), 및/또는 네트워크(112)와 같은 하나 이상의 통신 네트워크에 대한 접근을 가능하게 하기 위해 WTRU(102a, 102b, 102c, 102d) 중 적어도 하나와 무선으로 접속하도록 구성되는 어떤 유형의 디바이스든 될 수 있을 것이다. 예로서, 기지국(114a, 114b)은 BTS(base transceiver station(기지 송수신국)), 노드 B, e-노드 B, 홈 노드 B, 홈 e-노드 B, 사이트 제어기(site controller), AP(access point(접근점)), 및/또는 무선 라우터 등일 수 있을 것이다. 기지국(114a, 114b)이 제각기 단일 요소로서 묘사될지라도, 기지국(114a, 114b)은 어떤 수의 상호 접속되는 기지국 및/또는 네트워크 요소든 포함할 수 있을 것이다.
기지국(114a)은, 다른 기지국 및/또는 BSC(base station controller(기지국 제어기)), RNC(radio network controller(무선 네트워크 제어기)), 중계 노드 등과 같은 네트워크 요소(도시 안 됨)를 포함할 수도 있을 것인, RAN(104)의 부분일 수 있을 것이다. 기지국(114a) 및/또는 기지국(114b)은, 셀(도시 안 됨)이라고 지칭될 수 있을 것인, 특정한 지리적 구역 내에서 무선 신호를 송신 및/또는 수신하도록 구성될 수 있을 것이다. 셀은 셀 섹터(cell sectors)로 더 분할될 수 있을 것이다. 예를 들어, 기지국(114a)과 연관된 셀은 3개의 섹터로 분할될 수 있을 것이다. 그래서, 한 실시예에서는, 기지국(114a)이 3개의 송수신기, 즉, 셀의 각각의 섹터마다 하나를 포함할 수 있을 것이다. 한 실시예에서는, 기지국(114a)은 다중 입력 다중 출력(MIMO) 기술을 채택할 수 있을 것이며, 그러므로, 셀의 각각의 섹터를 위한 다중 송수신기를 활용할 수 있을 것이다.
기지국(114a, 114b)은, 어떤 적합한 무선 통신 회선(예를 들어, 무선 주파수(RF), 마이크로파, 적외선(IR), 자외선(UV), 가시광, 등)으로든 될 수 있을 것인 무선 인터페이스(116) 상에서 WTRU(102a, 102b, 102c, 102d) 중 하나 이상과 통신할 수 있을 것이다. 무선 인터페이스(116)는 어떤 적합한 무선 접근 기술(RAT)이든 이용하여 설정될 수 있을 것이다.
더 자세하게는, 위에서 언급한 바와 같이, 통신 시스템(100)은 다중 접근 시스템일 수 있을 것이며, CDMA, TDMA, FDMA, OFDMA, 및/또는 SC-FDMA 등과 같은 하나 이상의 채널 접근 방안을 채택할 수 있을 것이다. 예를 들어, RAN(104) 및 WTRU(102a, 102b, 102c)에서의 기지국(114a)은, WCDMA(wideband CDMA(와이드밴드 코드 분할 다중 접속))를 이용하여 무선 인터페이스(116)를 설정할 수 있을 것인, UTRA(Universal Mobile Telecommunications System(UMTS) Terrestrial Radio Access(범용 이동 통신 시스템 지상파 접속))와 같은 무선 기술을 구현할 수 있을 것이다. WCDMA는 HSPA(High-Speed Packet Access(고속 패킷 접속)) 및/또는 HSPA+(Evolved HSPA(진보적 고속 패킷 접속))와 같은 통신 프로토콜을 포함할 수 있을 것이다. HSPA는 HSDPA(High-Speed Downlink Packet Access(고속 하향 패킷 접속)) 및/또는 HSUPA(High-Speed Uplink Packet Access(고속 상향 패킷 접속))를 포함할 수 있을 것이다.
한 실시예에서는, 기지국(114a) 및 WTRU(102a, 102b, 102c)는, LTE(Long Term Evolution(롱텀 에볼루션)) 및/또는 LTE- A(LTE-Advanced(롱텀 에볼루션 어드밴스드))를 이용하여 무선 인터페이스(116)를 설정할 수 있을 것인 E-UTRA(Evolved UMTS Terrestrial Radio Access(진보적 범용 이동 통신 시스템 지상파 접속))와 같은 무선 기술을 구현할 수 있을 것이다.
다른 실시예에서는, 기지국(114a) 및 WTRU(102a, 102b, 102c)는 IEEE 802.16(즉, WiMAX(Worldwide Interoperability for Microwave Access(마이크로파 접속을 위한 전세계적 상호운용성))), CDMA2000, CDMA2000 IX, CDMA2000 EV-DO, IS-2000(Interim Standard 2000(잠정 표준 2000)), IS-95(Interim Standard 95(잠정 표준 95)), IS-856(Interim Standard 856(잠정 표준 856)), GSM(Global System for Mobile communications(이동 통신 세계화 시스템)), EDGE(Enhanced 데이터 rates for GSM Evolution(GSM 발전을 위한 향상된 데이터 속도)), 및/또는 GSM EDGE(GERAN) 등과 같은 무선 기술을 구현할 수 있을 것이다.
도 1a에서의 기지국(114b)은 예를 들어, 무선 라우터, 홈 노드 B, 홈 e-노드 B, 펨토 셀 기지국(femto cell base station), 또는 접근점일 수 있을 것이며, 사업장, 집, 차량, 및/또는 캠퍼스 등과 같은 로컬 영역에서 무선 연결을 가능하게 하기 위해 어떤 적합한 RAT든 활용할 수 있을 것이다. 한 실시예에서는, 기지국(114b) 및 WTRU(102c, 102d)는 WLAN(wireless local area network(무선 근거리 통신망))을 설정하기 위해 IEEE 802.11과 같은 무선 기술을 구현할 수 있을 것이다. 한 실시예에서는, 기지국(114b) 및 WTRU(102c, 102d)는 WPAN(wireless personal area network(무선 사설망))을 설정하기 위해 IEEE 802.15와 같은 무선 기술을 구현할 수 있을 것이다. 한 실시예에서는, 기지국(114b) 및 WTRU(102c, 102d)는 피코셀(picocell) 또는 펨토셀을 설정하기 위해 셀 기반 RAT(예를 들어, WCDMA, CDMA2000, GSM, LTE, LTE- A, 등)를 활용할 수 있을 것이다. 도 1a에 도시된 바와 같이, 기지국(114b)은 인터넷(110)에 대한 직접 접속을 가질 수 있을 것이다. 그래서, 기지국(114b)은 코어 네트워크(106)를 통하여 인터넷(110)에 접근할 것이 요구되지 않을 수 있을 것이다.
RAN(104)은 WTRU(102a, 102b, 102c, 102d) 중 하나 이상에 대해 음성, 데이터, 애플리케이션, 및/또는 VoIP(voice over internet protocol(인터넷 전화 통신 규약)) 서비스를 제공하도록 구성되는 어떤 유형의 네트워크든 될 수 있을 것인 코어 네트워크(106)와 통신 상태에 있을 수 있을 것이다. 예를 들어, 코어 네트워크(106)는 호 제어, 청구 서비스(billing services), 모바일 위치 기반 서비스, 선불 전화, 인터넷 연결, 영상 분배 등을 제공할 수 있거나 및/또는 사용자 인증과 같은 고급 보안 기능을 수행할 수 있을 것이다. 도 1a에는 도시되지 않았을 지라도, RAN(104) 및/또는 코어 네트워크(106)는 RAN(104)과 동일한 RAT 또는 상이한 RAT를 채택하는 다른 RAN과 직접 또는 간접 통신 상태에 있을 수 있을 것임을 알 것이다. 예를 들어, E-UTRA 무선 기술을 활용하고 있을 수 있을 것인 RAN(104)에 접속되는 것 외에, 코어 네트워크(106)는 GSM 무선 기술을 채택하는 다른 한 RAN(도시 안 됨)과 통신 상태에 있을 수도 있을 것이다.
코어 네트워크(106)는 WTRU(102a, 102b, 102c, 102d)가 PSTN(108), 인터넷(110), 및/또는 다른 네트워크(112)에 접근하기 위한 게이트웨이로서 작용할 수도 있을 것이다. PSTN(108)은 POTS(plain old telephone service(기존 전화 서비스))를 제공하는 회로 교환 전화망을 포함할 수 있을 것이다. 인터넷(110)은 TCP(transmission control protocol(전송 제어 프로토콜)), UDP(user datagram protocol(사용자 데이터그램 프로토콜)) 및 TCP/IP 인터넷 프로토콜 슈트(TCP/IP internet protocol suite)에서의 IP(internet protocol(인터넷 프로토콜))와 같은 보편적인 통신 프로토콜을 이용하는 상호 접속된 컴퓨터 통신망 및 디바이스의 세계화 시스템을 포함할 수 있을 것이다. 네트워크(112)는 다른 서비스 제공자들에 의해 소유 및/또는 운용되는 유선 통신 또는 무선 통신 네트워크를 포함할 수 있을 것이다. 예를 들어, 네트워크(112)는 RAN(104)과 동일한 RAT 또는 상이한 RAT를 채택할 수 있을 것인 하나 이상의 RAN에 접속되는 다른 한 코어 네트워크를 포함할 수 있을 것이다.
통신 시스템(100)에서의 WTRU(102a, 102b, 102c, 102d)의 일부 또는 전부는 다중 모드 능력을 포함할 수 있을 것이며, 즉, WTRU(102a, 102b, 102c, 102d)는 상이한 무선 연결들에 걸쳐 상이한 무선 네트워크들과 통신하기 위한 다중 송수신기를 포함할 수 있을 것이다. 예를 들어, 도 1a에 도시된 WTRU(102c)는, 셀 기반 무선 기술을 채택할 수 있을 것인 기지국(114a), 및 IEEE 802 무선 기술을 채택할 수 있을 것인 기지국(114b)과 통신하도록 구성될 수 있을 것이다.
도 1b는 예시적 WTRU(102)의 계통도이다. 도 1b에 도시된 바와 같이, WTRU(102)는 프로세서(118), 송수신기(120), 송신/수신 요소(122), 스피커/마이크(124), 키패드(126), 디스플레이/터치패드(128), 고정식 메모리(130), 이동식 메모리(132), 전원(134), GPS(global positioning system(위성 위치 확인 시스템)) 칩셋(136), 및 다른 주변 디바이스(138)를 포함할 수 있을 것이다. WTRU(102)는 실시예와의 일관성을 유지하면서 앞서의 요소들의 어떤 서브 조합이든 포함할 수 있을 것임을 알 것이다.
프로세서(118)는 범용 프로세서, 특수용 프로세서, 일반용 프로세서, DSP(digital signal processor(디지털 신호 처리기)), 복수의 마이크로프로세서, DSP 코어와 연관된 하나 이상의 마이크로프로세서, 제어기, 마이크로콘트롤러, ASIC(Application Specific Integrated Circuits(주문형 반도체)), FPGA(Field Programmable Gate Array(필드 프로그램 가능 게이트 어레이)) 회로, 어떤 다른 유형의 IC(integrated circuit(집적 회로)), 및/또는 상태 기계(state machine) 등일 수 있을 것이다. 프로세서(118)는, WTRU(102)를 무선 환경에서 운용할 수 있게 하는, 신호 코딩, 데이터 처리, 전원 제어, 입력/출력 처리, 및/또는 어떤 다른 기능이든 수행할 수 있을 것이다. 프로세서(118)는 송신/수신 요소(122)에 결합될 수 있을 것인 송수신기(120)에 결합될 수 있을 것이다. 도 1b는 프로세서(118) 및 송수신기(120)를 별도의 구성 요소로서 묘사하지만, 프로세서(118) 및 송수신기(120)는 전자적 패키지 또는 칩으로 함께 집적될 수 있을 것임을 알 것이다. 프로세서(118)는 응용 계층 프로그램(예를 들어, 브라우저) 및/또는 RAN(radio access-layer(무선 접근 계층)) 프로그램 및/또는 통신을 수행할 수 있을 것이다. 프로세서(118)는 예를 들어, 인증과 같은 보안 연산, 보안 키 합의, 및/또는 접근 계층 및/또는 응용 계층에서와 같은 암호화 연산을 수행할 수 있을 것이다.
송신/수신 요소(122)는 무선 인터페이스(116) 상에서 기지국(예를 들어, 기지국(114a))에 신호를 송신하거나 또는 그로부터 신호를 수신하도록 구성될 수 있을 것이다. 예를 들어, 한 실시예에서는, 송신/수신 요소(122)는 RF 신호를 송신 및/또는 수신하도록 구성되는 안테나일 수 있을 것이다. 한 실시예에서는, 송신/수신 요소(122)는 예를 들어, IR, UV, 또는 가시광 신호를 송신 및/또는 수신하도록 구성되는 이미터/검출기일 수 있을 것이다. 한 실시예에서는, 송신/수신 요소(122)는 RF 및 광 신호를 송신 및 수신하도록 구성될 수 있을 것이다. 송신/수신 요소(122)는 무선 신호들의 어떤 조합이든 송신 및/또는 수신하도록 구성될 수 있을 것임을 알 것이다.
또한, 송신/수신 요소(122)가 도 1b에서는 단일 요소로서 묘사될지라도, WTRU(102)는 어떤 수의 송신/수신 요소(122)든 포함할 수 있을 것이다. 더 자세하게는, WTRU(102)는 MIMO 기술을 채택할 수 있을 것이다. 그래서, 한 실시예에서는, WTRU(102)는 무선 인터페이스(116) 상에서 무선 신호를 송신 및/또는 수신하기 위한 두개 이상의 송신/수신 요소(122)(예를 들어, 다중 안테나)를 포함할 수 있을 것이다.
송수신기(120)는 송신/수신 요소(122)에 의해 송신될 신호를 변조하고 송신/수신 요소(122)에 의해 수신되는 신호를 복조하도록 구성될 수 있을 것이다. 위에서 언급한 바와 같이, WTRU(102)는 다중 모드 능력을 가질 수 있을 것이다. 그래서, 송수신기(120)는 WTRU(102)가 예를 들어, UTRA 및 IEEE 802.11와 같은 다중 RAT를 통하여 통신할 수 있게 하는 다중 송수신기를 포함할 수 있을 것이다.
WTRU(102)의 프로세서(118)는 스피커/마이크(124), 키패드(126), 및/또는 디스플레이/터치패드(128)(예를 들어, LCD(liquid crystal display(액정 디스플레이)) 표시 장치 또는 OLED(organic light-emitting diode(유기 발광 다이오드)) 표시 장치)에 결합될 수 있고, 그로부터 사용자 입력 데이터를 수신할 수 있을 것이다. 프로세서(118)는 스피커/마이크(124), 키패드(126), 및/또는 디스플레이/터치패드(128)에 사용자 데이터를 출력할 수도 있을 것이다. 또한, 프로세서(118)는 고정식 메모리(130) 및/또는 이동식 메모리(132)와 같은 어떤 유형의 적합한 메모리로부터의 정보에든 접근할 수 있고 거기에 데이터를 저장할 수 있을 것이다. 고정식 메모리(130)는 RAM(random-access memory(랜덤 액세스 메모리)), ROM(read-only memory(판독 전용 메모리)), 하드 디스크, 및/또는 어떤 다른 유형의 메모리 저장 장치든 포함할 수 있을 것이다. 이동식 메모리(132)는 SIM(subscriber identity module(가입자 식별 모듈) 카드, 메모리 스틱, 및/또는 SD(secure digital(시큐어 디지털)) 메모리 카드 등을 포함할 수 있을 것이다. 다른 실시예에서, 프로세서(118)는, 서버 또는 가정용 컴퓨터(도시 안 됨)와 같은, WTRU(102)에 물리적으로 배치되지 않은 메모리로부터의 정보에 접근할 수 있고, 거기에 데이터를 저장할 수 있을 것이다.
프로세서(118)는 전원(134)으로부터 전력을 받을 수 있고, WTRU(102)에서의 다른 구성 요소들에 전력을 분배 및/또는 제어하도록 구성될 수 있을 것이다. 전원(134)은 WTRU(102)에 전력을 공급하기 위한 어떤 적합한 디바이스든 될 수 있을 것이다. 예를 들어, 전원(134)은 하나 이상의 건전지(예를 들어, 니켈 카드뮴(NiCd), 니켈 아연(NiZn), 니켈 수소 합금(NiMH), 리튬 이온(Li-ion) 등), 태양 전지, 및/또는 연료 전지 등을 포함할 수 있을 것이다.
프로세서(118)는 WTRU(102)의 현재의 위치에 관한 위치 정보(예를 들어, 경도 및 위도)를 제공하도록 구성될 수 있을 것인 GPS 칩셋(136)에 결합될 수도 있을 것이다. GPS 칩셋(136)으로부터의 정보에 부가적으로, 또는 대신하여, WTRU(102)는 무선 인터페이스(116) 상에서 기지국(예를 들어, 기지국(114a, 114b))으로부터 위치 정보를 수신할 수 있거나 및/또는 두개 이상의 인접 기지국들로부터 수신되는 신호들의 타이밍에 근거하여 자신의 위치를 결정할 수 있을 것이다. WTRU(102)는 실시예와의 일관성을 유지하면서 어떤 적합한 위치 결정 방법에 의해서든 위치 정보를 습득할 수 있을 것임을 알 것이다.
프로세서(118)는, 추가적 특징 요소, 기능 및/또는 유선 연결 또는 무선 연결을 제공하는 하나 이상의 소프트웨어 모듈 및/또는 하드웨어 모듈을 포함할 수 있을 것인 다른 주변 디바이스(138)에 더 결합될 수 있을 것이다. 예를 들어, 주변 디바이스(138)는 가속도계, 전자 나침판, 위성 송수신기, 디지털 카메라(사진 또는 영상용), USB(universal serial bus(범용 직렬 버스)) 포트, 진동 장치, 텔레비전 송수신기, 핸즈 프리 헤드셋, Bluetooth®(블루투스) 모듈, FM(frequency modulated(주파수 변조)) 무선 장치, 디지털 뮤직 플레이어, 미디어 플레이어, 비디오 게임 플레이어 모듈, 및/또는 인터넷 브라우저 등을 포함할 수 있을 것이다.
도 1c는 한 실시예에 따른 RAN(104) 및 코어 네트워크(106)의 계통도이다. 위에서 언급한 바와 같이, RAN(104)은 무선 인터페이스(116) 상에서 WTRU(102a, 102b, 102c)와 통신하도록 UTRA 무선 기술을 할 채택할 수 있을 것이다. RAN(104)은 코어 네트워크(106)와 통신 상태에 있을 수도 있을 것이다. 도 1c에 도시된 바와 같이, RAN(104)은 무선 인터페이스(116) 상에서 WTRU(102a, 102b, 102c)와 통신하는 하나 이상의 송수신기를 제각기 포함할 수 있을 것인 노드 B(140a, 140b, 140c)를 포함한다. 노드 B(140a, 140b, 140c)는 RAN(104) 내에서 특정한 셀(도시 안 됨)과 제각기 연관될 수 있을 것이다. RAN(104)은 RNC(142a, 142b)를 포함할 수 있을 것이다. RAN(104)은 실시예와의 일관성을 유지하면서 어떤 수의 노드 B 및 RNC든 포함할 수 있을 것임을 알 것이다.
도 1c에 도시된 바와 같이, 노드 B(140a, 140b)는 RNC(142a)와 통신 상태에 있을 수 있을 것이다. 추가적으로, 노드 B(140c)는 RNC(142b)와 통신 상태에 있을 수 있을 것이다. 노드 B(140a, 140b, 140c)는 Iub 인터페이스를 통하여 제각각의 RNC(142a, 142b)와 통신할 수 있을 것이다. RNC(142a, 142b)는 Iur 인터페이스를 통하여 서로 통신 상태에 있을 수 있을 것이다. RNC(142a, 142b)의 각각은 자신이 접속되는 제각각의 노드 B(140a, 140b, 140c)를 제어하도록 구성될 수 있을 것이다. 또한, RNC(142a, 142b)의 각각은 외부 회로 전원 제어, 부하 제어, 수락 제어, 패킷 스케줄링(packet scheduling), 핸드오버 제어, 매크로다이버시티(macrodiversity), 보안 기능, 및 데이터 암호화 등과 같은 다른 기능을 수행 및/또는 지원하도록 구성될 수 있을 것이다.
도 1c에 도시된 코어 네트워크(106)는, MGW(media gateway(미디어 게이트웨이))(144), MSC(mobile switching center(이동 전화 교환국))(146), SGSN(serving GPRS support node(서빙 GPRS 지원 노드))(148), 및/또는 GGSN(gateway GPRS support node(게이트웨이 GPRS 지원 노드))(150)를 포함할 수 있을 것이다. 앞서의 요소들의 각각이 코어 네트워크(106)의 부분으로서 묘사될지라도, 이러한 요소들 중 어떤 하나든 코어 네트워크 운용자가 아닌 다른 엔터티에 의해 소유 및/또는 운용될 수 있을 것임을 알 것이다.
RAN(104)에서의 RNC(142a)는 IuCS 인터페이스를 통하여 코어 네트워크(106)에서의 MSC(146)에 접속될 수 있을 것이다. MSC(146)는 MGW(144)에 접속될 수 있을 것이다. MSC(146) 및 MGW(144)는, WTRU(102a, 102b, 102c)와 일반적 지상 통신선 통신 장치 사이의 통신이 가능하게 하기 위해, WTRU(102a, 102b, 102c)에게 PSTN(108)과 같은 회로 교환망에 대한 접근권을 제공할 수 있을 것이다.
RAN(104)에서의 RNC(142a)는 IuPS 인터페이스를 통하여 코어 네트워크(106)에서의 SGSN(148)에 접속될 수 있을 것이다. SGSN(148)은 GGSN(150)에 접속될 수 있을 것이다. SGSN(148) 및 GGSN(150)는, WTRU(102a, 102b, 102c)와 IP 구현이 가능한 장치(IP-enabled devices) 사이의 통신이 가능하게 하기 위해, WTRU(102a, 102b, 102c)에게 패킷 교환망(packet- switched networks)에 대한 접근권을 제공할 수 있을 것이다.
위에서 언급한 바와 같이, 코어 네트워크(106)는, 다른 서비스 제공자들에 의해 소유 및/또는 운용되는 다른 유선 또는 무선 네트워크를 포함할 수 있을 것인, 네트워크(112)에 접속될 수도 있을 것이다.
위에 기술된 통신 시스템 및/또는 디바이스들은 여기에서 기술되는 바와 같이 인증된 핸드오프 시나리오에서 이용될 수 있을 것이다. 사용자가 동일하거나, 또는 상이한 접속망에서 접속망들 및/또는 접근점들 사이에서 교체하는 동안, 인증된 핸드오프는 사용자가 서비스 및/또는 애플리케이션을 연속적으로 이용할 수 있게 할 수 있을 것이다. 핸드오프 결정은 예를 들어, 접근 계층 및/또는 응용 계층에서 수행될 수 있을 것이다. 이것은, 각각의 계층 상에서의 인증이 각각의 핸드오프에서 일어날 수 있을 것, 및/또는 사용자 디바이스가 타겟 네트워크/접근점을 위한 크리덴셜이 미리 준비되어 있을 수 있을 것임을 의미할 수 있을 것이다. 이것은 집중형 인프라 및/또는 크리덴셜의 사전 준비를 요구할 수 있을 것이다. 다중 형식의 네트워크들에 걸쳐 로밍하는 동안 무결절 인증을 가능하게 함에 있어서, MNO(mobile network operator(모바일 네트워크 운용자)들과의 다중적 SLA(service level agreement(서비스 수준 합의))의 설정 또는 MNO 인증 인프라와의 밀착 결합을 회피하기 위해 독립적 위임 인증 엔터티가 이용될 수 있을 것이다. 예를 들어, 오픈 ID와 같은 연합된 ID 관리 방안 및/또는 인터넷에 대한 접근이 여기에서 기술되는 인증 실시예들에 의해 지원될 수 있을 것이다.
미리 준비된 크리덴셜을 이용하여 접근 계층 핸드오프를 수행하는 디바이스의 한 예가 도 2에 예시되어 있으며, 도 2에서 디바이스(215)는 두개의 접속망 사이에 전환한다. 도 2는 응용 계층 세션을 위한 핸드오프 시나리오를 예시하는 흐름도이다. 도 2에 예시된 핸드오프 시나리오는 응용 계층 상에서 통신할 수 있는 애플리케이션(214) 및 접근 계층 상에서 통신할 수 있는 접근 계층 모듈(216)을 포함하거나 또는 통신 상태에 있는 디바이스(215)를 포함한다. 도 2에 예시된 핸드오프 시나리오는 MNO A(217), 핫스팟 B(218), 및 응용 서버(219)를 포함할 수도 있을 것이다. MNO A(217) 및/또는 핫스팟 B(218)는 그들의 응용 계층 기능에서 위임 인증 서버로 작용할 수 있는 오픈 ID 서버 기능으로 가능해질 수 있을 것이다. 위임 형식의 인증 방법은 예를 들어, 오픈 ID일 수 있을 것이다. 그러므로, MNO A(217)가 MNO OP(오픈 ID 제공자) A(217)라고 지칭될 수 있거나(즉, 이 엔터티는 MNO A의 접근 계층 기능뿐만 아니라 오픈 ID 서버 기능을 가질 수 있을 것임) 및/또는 핫스팟 B(218)가 핫스팟 OP B(218)라고 지칭될 수 있을 것이다. 디바이스(215)는 접근 계층 모듈(216)을 통하여 MNO A(217) 및/또는 핫스팟 B(218)와 통신할 수 있을 것이다. 디바이스(215)는 애플리케이션(214)을 통하여 응용 서버(219)와 통신할 수도 있을 것이다.
도 2에 예시된 바와 같이, 디바이스(215)는 예를 들어, MNO(Mobile Network Operator(모바일 네트워크 운용자)) A(217)로부터의 셀룰러 네트워크와 예를 들어, 핫스팟 B(218)와 같은 펨토 또는 WLAN 네트워크 사이에 전환할 수 있을 것이다. 디바이스(215)는, 응용 계층에서의 인증을 위한 응용 계층 크리덴셜(221)을 생성하기 위해 디바이스 애플리케이션 및/또는 네트워크 응용 서버(219) 상에서 부트스트랩 되는 접근 계층 크리덴셜(220)을 이용할 수 있을 것이다. 그 후, 디바이스(215)는 핫스팟 B(218)에서 차후의 네트워크(예를 들어, WLAN 네트워크)에 연결하고 디바이스(215)와 핫스팟 B(218) 사이에서 미리 준비된 크리덴셜(222)을 이용하여 인증을 수행할 수 있을 것이다.
도 2에 예시된 핸드오프 시나리오에서 도시된 바와 같이, 201에서 디바이스(215)가 MNO A(217)의 접속망을 발견할 수 있을 것이다. 디바이스(215)는 202 및 203에서 MNO A(217)의 접속망에 대해 제각기 연결 및/또는 인증할 수 있을 것이다. 예를 들어, 디바이스(215)는 접근 계층 모듈(216)을 통하여 MNO A(217)의 접속망에 대해 연결 및/또는 인증할 수 있을 것이다. 디바이스(215)는 인증 크리덴셜(220)을 이용하여 MNO A(217)에 대해 인증할 수 있을 것이다. 인증 크리덴셜(220)은 예를 들어, 디바이스(215)와 MNO A(217) 사이에서 미리 준비된 크리덴셜일 수 있을 것이다. 203에서 인증이 성공적이면, 디바이스(215) 및 MNO A(217)의 접속망은 204에서 접근 계층 모듈(216)을 통하여 보안 접근 계층 통신을 설정할 수 있을 것이다.
디바이스(215)는 응용 서버(219)로부터의 서비스에 접근하기 위해 응용 서버(219)에 로그인 하고자 시도하기 위해 MNO A(217) 네트워크를 이용할 수 있을 것이다. 예를 들어, 디바이스(215) 상의 애플리케이션(214)은 205에서 네트워크 기반 응용 서버(219)에 로그인 할 수 있을 것이다. 응용 서버(219)는 RP로서 작용할 수 있을 것이고 MNO A(217)는 오픈 ID 식별 제공자(OP)로서 작용할 수 있을 것이다. 예를 들어, 206에서 응용 서버(219)는 MNO A(217)를 발견하거나 및/또는 MNO A(217)에게 사용자를 인증하도록 요청할 수 있을 것이다. 요청 및/또는 인증은 예를 들어, 오픈 ID를 이용하여 수행될 수 있을 것이다. 207에서, OP로서 작용하는 디바이스의 애플리케이션(214)과 MNO A(217)에서, 디바이스의 접근 계층 모듈(216)을 위해 MNO A(217)의 접근 계층에 대한 접근 계층 인증을 할 수 있었던 접근 계층 크리덴셜(220)로부터 응용 계층 인증 크리덴셜(221)이 부트스트랩(예를 들어, 발생 또는 유도) 될 수 있을 것이다. 디바이스(215) 및/또는 그것의 애플리케이션(214)은 MNO A(217)로 리디렉트될 수 있을 것이며, 접근 계층 크리덴셜(220)로부터 부트스트랩 되는 응용 계층 인증 크리덴셜(221)을 이용하여 208에서 응용 계층에서의 MNO A(217)에 대해 인증할 수 있을 것이다. 207에서 크리덴셜(221)의 부트스트랩은 208에서의 인증의 일부로서 또는 독립적으로 수행될 수 있을 것이다. MNO A(217)는 RP(도시 안 됨)로서 작용하는 응용 서버(219)에 대해 디바이스(215)의 인증 상태를 주장할 수 있을 것이다. 209에서는 디바이스의 애플리케이션(214)과 네트워크 기반 응용 서버(219) 사이에서 응용 계층에서의 보안 통신이 설정될 수 있을 것이다.
210에서 디바이스의 접근 계층 모듈(216)은 핫스팟 B(218)을 발견할 수 있을 것이다. 핫스팟 B(218)는 WLAN 상의 노드일 수 있을 것이고 디바이스(215)가 응용 서버(219) 상에서의 서비스에 접근할 수 있게 할 수도 있을 것이다. 한 예시적 실시예에 따르면, 디바이스(215)는 핫스팟 B(218)의 서비스 제공 영역의 레인지 내에 들어오면 핫스팟 B(218)을 발견할 수 있을 것이다. 디바이스(215)는 디바이스(215) 상에 저장되는 사용자 선호도, 애플리케이션 요구, 핫스팟 조건, 및/또는 서비스 제공자 정책에 근거하여 핫스팟 B(218)에 대해 연결하고자 시도할 수 있을 것이다. 211에서, 디바이스(215)는 접근 계층 모듈(216)을 통하여 접근 계층에서의 핫스팟 B(218)에 대해 연결할 수 있을 것이다. 한 실시예에 따르면, 209에서 설정되는 응용 계층 접속성은 211에서 일어나는 차후의 접근 계층 연결(핫스팟 B(218)에 대해)을 견뎌낼 수 있을 것이다.
212에서, 디바이스(215)는 접근 계층 모듈(216)을 통하여 핫스팟 B(218)에 대해 인증하기 위해 크리덴셜(222)을 이용할 수 있을 것이다. 212에서 이용된 크리덴셜(222)은 203 및 208에서의 인증을 위해 제각기 이용되는 크리덴셜(220) 또는 크리덴셜(221)을 처리할 아무 것도 갖지 않을 수 있을 것이다. 그러므로, 212에서 디바이스(215)에 대한 인증은 차후의 타겟 접속망(예를 들어, 핫스팟 B(218))에 대한 인증을 위해 적합할 수 있을 것인 미리 준비된 접근 계층 크리덴셜(222)을 이용할 수 있을 것이다. 212에서 인증이 성공적이면, 디바이스(215) 및 핫스팟 B(218)은 213에서 접근 계층에서의 보안 통신을 설정할 수 있을 것이다.
위에 기술되는 바와 같이, 도 2는 디바이스(215)가 미리 준비된 크리덴셜(222)을 이용하여 차후의 네트워크 상으로의 핸드오프 및/또는 접근 계층 인증을 수행할 수 있게 하기 위한 인증 프로토콜을 예시한다. 온디맨드(on-demand) 및 무결절 방식으로 다른 계층(예를 들어, 접근 계층)에서 인증 및/또는 보안 터널 설정을 완료하기 위해 핸드오프를 위한 접근 계층 또는 응용 계층 크리덴셜과 같은 지속적 크리덴셜을 레버리지로 활용하기 위한 다양한 구현들도 여기에서 기술된다.
한 예시적 실시예에 따르면, 응용 계층 크리덴셜은 후속하는 차후의 접근 계층 인증 절차에서 이용될 수 있을 것인 접근 계층 크리덴셜을 발생시키기 위해(예를 들어, 응용 계층 크리덴셜의 역 부트스트랩을 수행함으로써) 레버리지로 활용될 수 있을 것이다. 도 3에 예시된 바와 같이, 핸드오프 시나리오는 차후의 네트워크에서의 인증을 수행하기 위해 응용 계층 크리덴셜(331)의 역 부트스트래핑을 구현할 수 있을 것이다. 도 3에 예시된 핸드오프 시나리오는 응용 계층 상에서 통신할 수 있는 애플리케이션(320) 및 접근 계층 상에서 통신할 수 있는 접근 계층 모듈(322)을 포함하거나 또는 통신 상태에 있는 디바이스(321)를 포함한다. 접근 계층 모듈(322)은 디바이스(321) 상의 CM(connection manager(접속 관리자))을 포함하거나 및/또는 통신 상태에 있을 수 있을 것이다. 도 3에 예시된 핸드오프 시나리오는 MNO A(323), 핫스팟 B(324), 및 응용 서버(325)를 포함하기도 한다. MNO A(323)는 접근 계층(326) 및/또는 응용 계층(327)을 통하여 다른 네트워크 엔터티와 통신할 수 있을 것이다. MNO A(323)는 오픈 ID 제공자로서 작용할 수 있을 것이다. 핫스팟 B(324)는 접근 계층(328) 및/또는 응용 계층(329)을 통하여 다른 네트워크 엔터티와 통신할 수 있을 것이다. 핫스팟 B(324)는 RP로서 작용할 수 있을 것이다. 접근 계층 모듈(322)은 MNO A(323) 접근 계층(326) 및/또는 핫스팟 B(324) 접근 계층(328)과 통신할 수 있을 것이다. 애플리케이션(320)은 응용 서버(325), MNO A(323) 응용 계층(327), 및/또는 핫스팟 B(324) 응용 계층(329)과 통신할 수 있을 것이다. 응용 서버(325)는 여기에 기술된 어떤 실시예에 따른 RP로서 작용할 수도 있을 것이다.
도 3에서 예시된 바와 같이 예를 들어, 핸드오프 시나리오에서와 같은 차후의 접속망 핫스팟 B(324)과의 인증을 위한 접근 계층 인증 크리덴셜(333)을 발생시키기 위해 응용 계층 크리덴셜이 발생 및 역 부트스트랩 될 수 있을 것이다. 역 부트스트래핑은 차후의 접근 계층 인증 크리덴셜(333)을 발생시키기 위해 이용될 자료를 발생시키기 위해 타겟 접근 계층 네트워크 핫스팟 B(324)을 위한 MNO A(323)에 의한 응용 계층 인증을 포함할 수 있을 것이다. 역 부트스트래핑은 다음 중 적어도 하나에 좌우될 수 있을 것이다: 예를 들어, 1) 소스 네트워크 MNO A(323)에서의 사용자/디바이스(321)의 ID, 및/또는 2) 응용 서버(325) 또는 MNO A(323)에 관한 사용자/애플리케이션(320)의 응용 계층 ID(예를 들어, 오픈 ID 식별).
MNO A(323)에 의한 이전의 성공적 응용 계층 인증은 네트워크 핫스팟 B(324)에 대한 접근을 인가하기 위해 이용될 수 있을 것이다. 디바이스(321)의 접근 계층 인증에서 보조하기 위해 추가적 인증 정보가 네트워크 핫스팟 B(324)에 대해 제공될 수도 있을 것이다. 예를 들어, 네트워크 핫스팟 B(324)에 대해 어서션(예를 들어, "사용자가 네트워크 MNO A(323)로부터 나오고 인증된다")이 제공될 때, 네트워크 핫스팟 B(324)에 대한 접근을 인가하기 위해 응용 계층 인증이 이용될 수 있을 것이다.
한 실시예에 따르면, 도 3에 예시된 바와 같이 콜 흐름이 제공될 수 있을 것이다. 301 내지 309에서, 콜 흐름은 접근 계층 크리덴셜을 오픈 ID 프로세스에 결속시킬 수 있을 것인 응용 계층 부트스트래핑 절차를 이용하여 접근 계층 보안 연관 및 응용 계층 보안 연관을 설정할 수 있을 것이다. 예를 들어, 접근 계층 보안 연관은 301 내지 304에서 디바이스(321)와 MNO A(323) 사이에서 설정될 수 있을 것이다. 301에서, 접근 계층 모듈(322)은 접근 계층(326)을 통하여 MNO A(323) 네트워크를 발견할 수 있을 것이다. 접근 계층 모듈(322)은 302에서 MNO A(323)를 연결하고 303에서 인증을 수행할 수 있을 것이다. 303에서 접근 계층 인증은 디바이스(321)와 MNO A(323) 사이에서 공유되는 접근 계층 크리덴셜(330)을 이용하여 수행될 수 있을 것이다. 여기에서 기술되는 바와 같이, 접근 계층 크리덴셜(330)은 미리 준비된 크리덴셜 또는 다른 한 네트워크로부터 응용 계층 크리덴셜을 역 부트스트래핑 함으로써 설정되는 크리덴셜일 수 있을 것이다. 디바이스(321)와 MNO A(323) 사이에서 접근 계층 인증이 성공적이면, 304에서 디바이스(321)와 MNO A(323) 사이에서의 접근 계층(326) 상에서 보안 통신이 설정될 수 있을 것이다.
응용 계층 보안 연관은 305 내지 309에서 디바이스(321)와 응용 서버(325) 사이에서 설정될 수 있을 것이다. 예를 들어, 305에서 애플리케이션(320)은 응용 서버(325)에 대해 로그인 하고자 시도할 수 있을 것이다. 306에서, MNO A(323) OP 서버는 응용 계층(327)을 통하여 응용 서버(325)에 의해 발견될 수 있을 것이고 응용 서버(325)는 인증을 위해 MNO A(323)로 사용자/디바이스(321)를 리디렉트할 수 있을 것이다. 306에서 MNO A(323) OP는 응용 서버(325)에 대해 사용자/디바이스(321)를 인증할 수 있거나 및/또는 사용자/디바이스(321)를 위한 인증을 주장할 수 있을 것이다. 그 후, 사용자/디바이스(321)는 핫스팟 B(324)로 리디렉트될 수 있을 것이다.
307에서, 애플리케이션(320)과 MNO A(323) 사이에서, 디바이스(321)와 MNO A(323) 사이의 접근 계층 인증 및/또는 MNO A(323)로부터의 인증 어서션을 할 수 있었던 접근 계층 크리덴셜(330)로부터 응용 계층 크리덴셜(331)이 부트스트랩(예를 들어, 발생 또는 유도) 될 수 있을 것이다. 애플리케이션(320) 및 응용 서버(325)는 응용 계층 크리덴셜(331)을 이용하여 308에서 응용 계층 보안 연관을 설정할 수 있을 것이다. 308에서 응용 계층 보안 연관은 응용 계층 크리덴셜이 애플리케이션(320)과 응용 서버(325) 사이에서 공유되는 것으로 귀결될 수 있을 것이다. 307에서의 크리덴셜(331)의 부트스트래핑은 308에서의 응용 계층 보안 연관의 일부로서 또는 독립적으로 수행될 수 있을 것이다. 309에서는 디바이스의 애플리케이션(320)과 네트워크 기반 응용 서버(325) 사이에서 응용 계층에서의 보안 통신이 설정될 수 있을 것이다.
310에서, 디바이스(321)는 핫스팟 B(324)을 발견할 수 있을 것이다. 예를 들어, 접근 계층 모듈(322)과 같은 예를 들어, 디바이스(321) 상의 로컬 구성 요소가 핫스팟 B(324) 및/또는 그것의 ID 정보(예를 들어, SSID 또는 IP 주소)를 발견할 수 있을 것이다. 예를 들어, 공용 인터넷을 통하여, 핫스팟 B의 응용 계층(329)이, 그것의 IP 주소와 같은 접근 계층(328) 네트워크 발견 정보를 이용하여, 발견 가능할 수 있을 것이고, 발견 및/또는 도달되었을 수 있을 것이다. 접근 계층 모듈(322)은, 핫스팟 B(324)를 발견하고 및/또는 접속 결정을 함에 있어서 구현될 수 있을 것인, CM(접속 관리자)를 포함할 수 있을 것이다. 예를 들어, 비콘 채널(beacon channel)과 같은 접근 계층 시그널링을 통하여 핫스팟 B(324) 및/또는 그것의 ID 정보가 발견될 수 있을 것이다. 어떤 발견은 MNO A(323), 핫스팟 B(324), 및 핫스팟 B(324)에 관해 디바이스(321)로부터 발견된 정보 사이의 관계에 근거하여 수행될 수 있을 것이다. 핫스팟 B(324)로부터 발견된 정보(예를 들어, 신호 강도, 위치, 등)에 에 근거하여, 디바이스(321) 상의 접근 계층 모듈(322)은 디바이스(321)가 네트워크 통신을 위해 핫스팟 B(324)로 전환해야 한다고 결정할 수 있을 것이다. 접근 계층 모듈(322)은 이 명령을 디바이스의 애플리케이션(320)에 통신할 수 있을 것이다. 예를 들어, CM은 311에서 응용 계층 네트워크 발견 정보를 디바이스의 애플리케이션(320)으로 발송할 수 있을 것이다.
디바이스(321)는 응용 계층과 접근 계층 사이에서의 부트스트랩 크리덴셜(예를 들어, 키 유도 프로세스를 이용하여 발생됨)의 전달이 실행 가능하게 하는 식으로 구성될 수 있을 것이다. 애플리케이션(320)은 접근 계층 네트워크를 위해 적합한 ID를 발생시키도록 네트워크 발견 정보를 처리할 수 있을 것이다. 한 실시예에 따르면, 네트워크의 접근 계층을 위해 적합한 ID는, 접근 계층(328) 상의 핫스팟 B(324)에 대한 ID를 위해 적합한 포맷으로 더 처리/조작(예를 들어, 유일한 사용자/디바이스 ID로 해싱(hashed)) 될 수 있을 것인, 사용자/디바이스(321)의 오픈 ID URL 또는 전자메일 주소 로그인일 수 있을 것이다. 임의적으로, 논스(nonce) 또는 시퀀스 계수기 값과 같은 정보 요소는 해싱(hashing) 속에 혼합될 수 있거나 및/또는 이러한 정보 요소들 중 일부는 핫스팟 B(324)에 통신될 수 있을 것이다. 디바이스의 애플리케이션(320)은 308에서 설정되는 자신의 응용 계층 ID 및/또는 핫스팟 B(324)의 접근 계층 발견 정보에 근거하여 적합한 접근 계층 ID를 결정할 수 있을 것이다. 접근 계층 ID는 차후의 송신을 위해 312에서 응용 계층 ID에 결속되고 접근 계층 모듈(322)로 발송될 수 있을 것이다.
313에서, 디바이스(321)는 접근 계층 적합 ID를 이용하여 핫스팟 B(324)의 접근 계층(328)에 연결할 수 있을 것이며, 디바이스의 접근 계층 모듈(322)은 그것의 네트워크의 접근 계층을 위해 적합한 접근 계층 ID를 핫스팟 B의 접근 계층(328)에 중계할 수 있을 것이다. 그 후, 디바이스(321)의 접근 계층 ID는, 314에서, 핫스팟 B의 응용 계층(329)이 자신의 접근 계층 식별자에 의해 디바이스(321)를 식별할 수 있도록 알리기 위해, 응용 계층(329)에게 전달될 수 있을 것이다. 핫스팟 B(324)의 응용 계층(329)은 접근 계층(328)으로부터 물리적으로 분리되지만 논리적으로 연관될 수 있을 것이다. 315에서, 디바이스(321)의 애플리케이션(320)은 핫스팟 B의 응용 계층(329)에 대해 응용 계층 ID 정보 및, 임의적으로, 접근 계층 ID를 발송할 수 있을 것이다. 이 응용 계층 ID는 예를 들어, 핫스팟 B(324)에 로그온 하기 위해 제공될 수 있을 것이다. 응용 계층 ID는 디바이스(321)의 접근 계층 ID에 결속될 수 있을 것이다.
응용 계층 ID 및 접근 계층 ID 정보가 응용 계층(329)을 통하여 통신되면, 응용 계층 ID 및/또는 발견된 핫스팟 B(324) 정보는 316에서 MNO A(323)의 오픈 ID 기반 발견을 수행하기 위해 이용될 수 있을 것이다. 315에서 ID 정보의 발송은 예를 들어, 콜 흐름 313 내지 콜 흐름 314과 동시 또는 상이한 시간에 일어날 수 있을 것이다. 응용 계층 ID 정보의 예는 예를 들어, 오픈 ID URL 또는 전자메일 주소 로그인 ID 또는 어서션을 포함할 수 있을 것이다. ID 정보는 사용자/디바이스(321)의 보충적 정보를 포함할 수도 있을 것이다.
핫스팟 B(324)는 자신의 접근 계층(328)으로부터 수신되는 접근 계층 ID 정보 및 응용 계층(329)으로부터 수신되는 결속된 응용 계층 ID 및 접근 계층 ID 정보를 모두를 통합 및/또는 상호 관련(예를 들어, 접근 계층에서) 시킬 수 있을 것이다. 핫스팟 B(324)는 313 및 315에서 수신된 메시지들이 동일한 사용자/디바이스(321)로부터의 것인지를 결정할 수 있을 것이다. 예를 들어, 응용 계층(329)에서, 핫스팟 B(324)는 314에서 수신되는 접근 계층 ID에 결속됨에 따라 315에서 수신되는 응용 계층 ID를 식별할 수 있을 것이다. 자신의 접근 계층(328) 및 자신의 응용 계층(329) 상에서 동일한 사용자/디바이스(321)와 대화하고 있음을 확인한 후, 핫스팟 B(324)는 OP로서 작용하는 MNO A(323)와 함께 RP로서 작용할 수 있을 것이다. 316에서 핫스팟 B(324)는 MNO A(323)의 발견을 수행할 수 있을 것이고, MNO A(323)는 인증을 위해 사용자/디바이스(321)로 안내될(예를 들어, 오픈 ID 프로토콜을 실행함으로써) 수 있을 것이다. 디바이스 애플리케이션(320)은 MNO A 응용 계층(327)(예를 들어, 응용 계층(327)에서의 OP에서)과 인증할 수 있을 것이다. 성공적 인증에 후속하여, 디바이스(321)는 핫스팟 B(324) 응용 계층(329)으로 되돌아 가게 리디렉트될 수 있을 것이다. 317에서, 핫스팟 B(324) 및 디바이스(321)는 키 유도 기능을 이용하여 성공적 응용 계층 인증으로부터 접근 계층 크리덴셜(333)을 제각기 발생시킬 수 있을 것이다. 예를 들어, 애플리케이션(320) 및 핫스팟 B(324)의 응용 계층(329)은 응용 계층에서, 사용자/디바이스(321) 및/또는 핫스팟 B(324)가 접근 계층 크리덴셜(333)을 생성하게 할 수 있을 것인, 역 부트스트래핑 절차를 수행할 수 있을 것이다. 그래서, 접근 계층 크리덴셜(333)은 316에서 수행되는 응용 계층 인증 절차의 부산물일 수 있을 것이다. 이러한 접근 계층 크리덴셜(333)은 디바이스(321)의 접근 계층 모듈(322) 및/또는 핫스팟 B(324)의 접근 계층(328)으로 발송될 수 있을 것이다. 콜 흐름 318 및 콜 흐름 319에서는, 응용 계층에서 발생되는 접근 계층 크리덴셜(333)을 이용하여, 디바이스(321) 및 핫스팟 B(324)가 인증을 수행하고 통신을 위한 접근 계층 보안 연관을 설정할 수 있을 것이다. 인증 후, 접근 계층 크리덴셜(333)은 저장되거나 및/또는 사용자/디바이스(321)가 후속적으로 접근 계층(328)에서의 핫스팟 B(324)와 인증하고자 시도할 때 그와 관련될 수 있을 것이다.
한 실시예에 따르면, 모바일 디바이스(321)를 가진 사용자는 MNO A(323)에 접속할 수 있을 것이다. 사용자는 부트스트랩 인증 절차에 의해 예를 들어, 영상 서비스 제공자와 같은 서비스 제공자에 대해 인증할 수 있을 것이다. 크리덴셜이, 응용 계층 ID를 네트워크 ID에 유일하게 관련시킬 수 있을 것인, 도 3의 307에서 예시된 바와 같이 부트스트랩 되는 한, 이 인증은, 이 기술 분야에서 통상의 기술을 가진 자에게 알려진 다양한 기법 중 어떤 것이든 이용하여, 디바이스(321) 상의 미리 준비된 접근 계층 크리덴셜(330)을 이용할 수 있을 것이다. MNO A(323)는 오픈 ID 제공자로서 작용할 수 있을 것이다. 핫스팟 B(324)는 RP로서 작용할 수 있을 것이다. 한 예시적 실시예에 따르면 예를 들어, 영상 서비스 제공자로부터의 영상을 관람하는 것과 같은 서비스에 접근하면서, 사용자는 핫스팟 B의 도달 범위 내로 이동할 수 있을 것이다. 네트워크 핫스팟 B는 예를 들어, 더 낮은 비용으로 더 높은 대역폭을 제공할 수 있거나, 및/또는 예를 들어, 오픈 ID 네트워크와 제휴(또는 예를 들어, MNO A(323) 또는 다른 한 MNO와 연관)하고 있을 수 있을 것이다. 사용자는 원칙적으로 제휴된 오픈 ID 네트워크(또는 연관된 MNO A(323))에 접근하도록 허용될 수 있을 것이다. 예를 들어, 사용자는 사용자가 오픈 ID 제공자, MNO A(323)와 연관되어 있음을 증명할 수 있을 것이다.
디바이스(321)는 예를 들어, 비콘 및/또는 방송 메시지를 듣는 것 등에 의해 차후의 네트워크 핫스팟 B(324)를 발견하거나, 및/또는 차후의 네트워크에 관한 정보를 확인할 수 있을 것이다. 정보는 예를 들어, CM(접속 관리자)을 통해, 접근 계층 모듈(322)로부터, 사용자/디바이스(321) 응용 계층 ID로 응용 계층(329)에서의 핫스팟 B(324)와 접촉하기 위해 이 정보를 이용할 수 있을 것인, 애플리케이션(320)으로 전달될 수 있을 것이다. 디바이스(321)는 접근 계층(322 및 328) 상에서 핫스팟 B(324)로 ID 정보를 발송할 수 있을 것이다.
ID 정보가, 응용 계층(329)은 아니고, 접근 계층(328)을 통하여 통신되면, 사용자/디바이스(321) ID 정보는 예를 들어, 314에서 예시된 바와 같이 핫스팟 B(324) 상의 응용 계층까지 전달될 수 있을 것이다. 핫스팟 B(324)는 MNO A(323)의 오픈 ID 기반 발견을 위해 적합한 방식으로 정보를 포맷할 수 있을 것이다. ID 정보는 핫스팟 B(324)가 316에서 MNO A(323)를 발견하거나 및/또는 요청하는 사용자/디바이스(321)를 인증하고자 시도하기에 충분할 수 있을 것이다. 예를 들어, RP로서 작용하고 있는 중일 수 있을 것인 핫스팟 B(324)는, MNO A(323)에 의해 인증되도록 사용자/디바이스를 리디렉트하기 위한 오픈 ID 프로토콜을 실행할 수 있을 것이다. 예를 들어, 오픈 ID 서버로서 작용하고 있는 중일 수 있을 것인 MNO A(323)는, 사용자/디바이스(321)를 인증하기 위한 오픈 ID 프로토콜을 실행할 수 있을 것이다. 사용자/디바이스(321)가 성공적으로 인증되면, 319에서 핫스팟 B(324)는 디바이스(321)와 네트워크 사이의 보안 접속을 설정할 수 있을 것이다.
핫스팟 B(324) 및 사용자/디바이스(321)는 성공적 오픈 ID 기반 인증에 근거하여 공유된 크리덴셜을 생성할 수 있을 것이다. 예를 들어, 사용자/디바이스(321) 및/또는 핫스팟 B(324)는 차후의 접근 계층 크리덴셜(333)을 역 부트스트랩 할 수 있을 것이다. 어떤 발견은 핫스팟 B(324)와 MNO A(323) 사이의 관계에 근거하여 이루어질 수 있을 것이다. 이 정보는 사용자/디바이스(321) 응용 계층 ID를 통하여 획득되거나 및/또는 디바이스(321) 상의 애플리케이션(320)로부터 발견되는 핫스팟 B(324) 정보일 수 있을 것이다. 사용자/디바이스(321)가 MNO A(323)에 의해 인증되면, 핫스팟 B(324) 응용 계층으로부터의 자신의 접속망에 대한 크리덴셜들의(역) 부트스트래핑을 통해 디바이스(321)와 네트워크 사이에서 보안 접속이 설정될 수 있을 것이다.
한 실시예에 따르면, 핫스팟 B(324)가 응용 계층 크리덴셜(331)로부터 접근 계층 크리덴셜(333)을 역 부트스트랩 하기 위해, 핫스팟 B(324)는 자신의 접근 계층 기능 및 응용 계층 기능이 교차 계층 통신(cross-layer communication) 및 데이터 조작/처리가 가능하도록 설계되거나 및/또는 계층과 계층 사이에 관계(relationship)가 있는 능력을 가질 수 있을 것이다. 역 부트스트래핑은, 차후의 네트워크 핫스팟 B(324)을 위해 디바이스(321)에서 크리덴셜(332)을 미리 준비하거나 또는 설치할 필요 없이 및/또는 수동적 개입 없이 사용자에 대해 무결절로 일어날 수 있을 것이다.
차후의 네트워크의 접근 계층에서의 인증을 수행하기 위한 여기에서 기술되는 실시예들은 사용자 레벨에서 주목할 만한 특성을 가질 수 있을 것이다. 예를 들어, 사용자는 서비스에 로그온 하기 위해 사용자 또는 디바이스 식별자(예를 들어, 오픈 ID 식별자)를 입력할 수 있을 것이며, 사용자는 이전에는 알지 못했던 접속망(예를 들어, 핫스팟 B(324))들에 접근할 수 있을 것이지만, 서비스는 계속 무결절로 중단되지 않을 수 있을 것이다. 예를 들어, 접근 계층 크리덴셜(333)과 같은 인증 크리덴셜들은, 이미 실행하고 있는 응용 서비스 보안으로부터 또는 응용 계층 인증으로부터 그것들이 역 부트스트랩 될 수 있을 것이므로, 네트워크에서 미리 준비되지 않을 수 있을 것이다. 서비스는 고정된 유선 및/또는 무선일 수 있을 것이다. 서비스는 예를 들어, 공용 인터넷 및/또는 유사한 접근 수단을 통하여 도달 가능할 수 있을 것인 사용자의 집에서 격리된 AP(접근점)일 수도 있을 것이다.
한 실시예에 따르면, 핸드오프(예를 들어, 접근 계층 핸드오프) 후에 응용 계층 보안이 재설정될 것이면, 그러한 차후의 응용 계층 인증을 위한 보안 크리덴셜을 다양한 이전의 사례들에서 설정된 보안 크리덴셜(예를 들어, 핸드오프 접근 계층 인증에서 이용된 크리덴셜, 이전의 응용 계층 인증에서 이용된 크리덴셜, 또는 핸드오프 전에 접근 계층 인증에서 이용된 크리덴셜까지도)에 결속시키는, 순방향 부트스트래핑(forward bootstrapping)이 이용될 수 있을 것이다.
여기에서 기술되는 실시예들에서는, 독립적 ID 제공자가 이용될 수 있을 것이다. 예를 들어, MNO A(323)는 오픈 ID 식별 제공자가 아닐 수 있을 것이거나 및/또는 ID 관리 기능은 다른 한 제3자에 의해 수행될 수 있을 것이다. 제3자 ID 제공자는 MNO A(323)와 미리 설정되는 관계를 이용하여 오픈 ID 제공자의 역할을 담당하고, MNO A(323)에 준비된 접근 계층 크리덴셜(330)로부터 응용 계층 크리덴셜(331)을 인증 및 부트스트랩하기 위해 예를 들어, OpenID/EAP-SIM 또는 OpenID/GBA 부트스트래핑 능력과 같은 프로토콜을 이용할 수 있을 것이다. 나중에, 디바이스(321)에 대해 MNO A(323)에서 준비된 크리덴셜을 활용하여 핫스팟 B(324)를 위한 접근 계층 크리덴셜(333)을 부트스트랩 하기 위해, 동일하거나 또는 유사한 부트스트래핑 프로세스가 이용될 수 있을 것이다.
다른 한 실시예에 따르면, 네트워크 개시 핸드오프(network-initiated handoff)가 구현될 수 있을 것이다. 네트워크 개시 핸드오프에서는, 핸드오프가 예를 들어, 접속망 또는 응용 서버와 같은 네트워크에 의해 개시될 수 있을 것이다. 한 예에서는, MNO A(323)가 디바이스(321)를 연속적으로 감시할 수 있을 것이며, 그것은, 디바이스의 위치, 측정 정보, 및/또는 서비스의 품질 등과 같은 정보를 포함할 수 있을 것이다. MNO A(323)는 디바이스(321) 주변의 로컬 환경을 인식할 있을 것이다. MNO A(323)가 오픈 ID 제공자이기도 한 경우에, MNO A(323)는, 핫스팟 B(324)과의 핸드오프를 착수하기 위해, 응용 계층에서의 사용자/디바이스에게, 디바이스(321)가 발견하고 핸드오프를 개시할 수 있게 하는 적절한 파라미터를 갖는 메시지를 발송할 수 있을 것이다. 무결절 핸드오프는 여기에서 기술되는 바와 같이 수행될 수 있을 것이다. 다른 한 실시예에서는, MNO A(323)가 디바이스(321)와의 접근 계층 통신을 통하여 디바이스(321)에게 핸드오프 트리거 정보를 발송할 수 있을 것이다.
다른 한 실시예에 따르면, MNO A(323)는 인접 로컬 접근 노드의 레인지 내에 디바이스가 있을 때 노드에게 디바이스(321)와의 연결 및/또는 인증을 시도하라는 요청을 할 수 있을 것이다. 그것은 핸드오프를 트리거 하는 MNO A(323)가 아닐 수 있을 것이다. 디바이스(321), 디바이스의 로컬 통신 환경, 및/또는 사용자/디바이스(321)와 통신할 능력을 가진 엔터티에 관한 충분한 정보를 갖는 어떤 네트워크 구성 요소든 핸드오프를 트리거 할 수 있을 것이다. 이러한 경우에, 네트워크 구성 요소는 차후의 접속망(예를 들어, 핫스팟 B(324))을 발견하거나 및/또는 사용자/디바이스(321)에 대한 통신을 위한 보안 능력 및 무선 접근 능력을 교섭할 수 있을 것이다. 네트워크 구성 요소는 이 정보뿐만 아니라 핸드오프 정보도 사용자/디바이스(321)로 통신할 수 있을 것이다.
다른 한 실시예에 따르면, 애플리케이션에 의해 지원되는 크리덴셜 부트스트래핑이 수행될 수 있을 것이다. 애플리케이션에 의해 지원되는 크리덴셜 부트스트래핑에서는, 디바이스(321) 상의 애플리케이션(320)이, 핸드오프를 가능하게 하기 위해 응용 서버(325)가 애플리케이션(320)의 도움으로 차후의 접속망 핫스팟 B(324)을 위한 한 세트의 크리덴셜을 부트스트랩 할 수 있을 것임을, 응용 서버(325)에게 설명할 수 있을 것이다. 애플리케이션(320)은 예를 들어, IP 주소와 같은 발견된 핫스팟 B(324)에 관한 ID, 및 임의적으로 그것의 오픈 ID 로그인과 같은 요청을 응용 서버(325)에게 발송할 수 있을 것이다. 응용 서버(325)는 핫스팟 B(324)의 보안 능력을 교섭하기 위해 오픈 ID 제공자처럼 작용할 수 있을 것이다. 응용 서버(325)는 접근 계층에서의 핫스팟 B(324) 및 디바이스(321)를 위한 한 세트의 접근 계층 크리덴셜(333)을 역 부트스트랩 할 수 있을 것이다. 318에서 예시되는 바와 같이, 디바이스(321) 및 핫스팟 B(324) 상의 애플리케이션(320)은 서로 인증할 수 있거나 및/또는 보안 채널을 설정할 수 있을 것이다. 어떤 발견은 응용 서버(325)와 타겟 핫스팟 B(324) 사이의 관계에 근거하여 수행될 수 있을 것이다. 이 정보는 디바이스(321) 상의 애플리케이션(320)으로부터 발견되는 정보를 통해 획득될 수 있을 것이다.
차후에 발견되는 네트워크 인증을 위한 크리덴셜은 나중의 인증 절차를 더 신속하게 완료할 수 있게 하기 위해 양쪽 모두의 종점(both endpoints)에서 사전 처리될 수 있을 것이다. 이것은 디바이스가 배치되어 있거나 또는 디바이스가 이동해 가고 있는 로컬 영역에 대해 네트워크가 가진 지식에 근거할 수 있을 것이다. 핸드오프 기회를 찾도록 디바이스 상에서 미리 구성되면, 디바이스는 어떤 주기적 빈도로 교체 네트워크들을 탐색할 수 있을 것이며, 검출되면, 핸드오프를 추구할 수 있을 것이다. 네트워크 측에서의 사전 처리는 하나를 초과하는 교체 접근 노드에서 또는 그러한 노드에 대해 수행될 수 있을 것이다. 디바이스 및/또는 네트워크는 이전에 이용되었던 네트워크를 위해 이용되는 캐시 크리덴셜일 수 있을 것이다. 디바이스 및/또는 네트워크는 나중에 인증을 위해 이러한 크리덴셜을 재사용 할 수 있을 것이다. 이러한 크리덴셜의 재사용은 예를 들어, 디바이스가 이전에 떠났던 노드로 복귀할 때 유용할 수 있을 것이다. 크리덴셜의 재사용은 하나 이상의 노드들의 대체적 동적 선택(alternative dynamic selection)(예를 들어, 잡음 채널 또는 서비스 환경의 품질을 로컬로 동적으로 변화시킴에 있어서)을 위해서도 유용할 수 있을 것이다.
여기에서 기술되는 실시예들은 로컬 오픈 ID를 이용할 수 있을 것이다. 예를 들어, 독립적 로컬 오픈 ID가 구현될 수 있을 것이다. 여기에서 기술되는 바와 같이, 프로토콜 흐름(protocol flow)은 로컬 오픈 ID을 활용하고 접근/인가를 허여할 수 있을 것이다.
도 4는 독립적 로컬 오픈 ID를 이용하는 프로토콜 실현을 예시하는 흐름도이다. 도 4에서 예시되는 바와 같이, 흐름도는 로컬 IdP(432), 애플리케이션(433)(예를 들어, 브라우징 에이전트), 접근 계층 모듈(434), MNO(435), 핫스팟(436), 및/또는 응용 서버(437) 사이의 통신을 포함할 수 있을 것이다. 로컬 IdP(432)는 사용자의 무선 통신 장치 상에 배치될 수 있을 것이다. 애플리케이션(433) 및/또는 접근 계층 모듈(434)은 로컬 IdP(432)와 동일하거나 또는 상이 무선 통신 디바이스 상에 배치될 수 있을 것이다.
도 4에 예시되는 프로토콜은 무결절 핸드오프 및/또는 차후의 접근 계층 보안 연관의 설정을 할 수 있게 한다. 프로토콜은 예를 들어, 클라이언트 로컬화 오픈 ID(즉, 로컬 오픈 ID) 프로토콜을 이용하는 것 등에 의해, 디바이스와 디바이스의 현재의 접근 계층 네트워크 사이의 접근 계층 보안 및/또는 사용자/디바이스와 외부의 AS(application server(응용 서버))(437) 사이에 이전에 설정된 응용 보안을 구현할 수 있을 것이다.
도 4에 예시되는 바와 같이, 디바이스는 단계 401 내지 단계 419의 조합을 이용하여 응용 계층에서 AS(응용 서버)/RP(437)와 인증될 수 있을 것이고, 디바이스는 단계 419 내지 단계 431의 조합을 이용하여 접근 계층에서 차후의 네트워크(예를 들어, 핫스팟(436))와 인증될 수 있을 것이다. 401에서 디바이스 접근 계층 모듈(434)은 MNO(435)에 연결할 수 있을 것이다. 디바이스의 접근 계층 모듈(434) 및 MNO(435)는 인증하기 위해 공유된 크리덴셜을 이용할 수 있을 것이다. 인증의 결과로서, 디바이스의 접근 계층 모듈(434) 및/또는 MNO(435) 상에서 접근 계층 키(K)가 설정될 수 있을 것이다. 402에서, 접근 계층 키(K)는 디바이스 상에 저장될 수 있을 것이다. 예를 들어, 접근 계층 키(K)는 예를 들어, SIM(subscriber identity module(가입자 식별 모듈)) 카드, UICC(universal integrated circuit card(범용 집적 회로 카드)), TPM(trusted platform module(신뢰할 수 있는 플랫폼 모듈)), 또는 다른 신뢰할 수 있는 환경(trusted environment)과 같은 디바이스 상의 신뢰할 수 있는 환경에 저장될 수 있을 것이다. 신뢰할 수 있는 환경은 예를 들어, 디바이스 상에 포함되거나, 또는 별도의 모듈 또는 별도의 디바이스/장비로서 디바이스에 대해 접속될 수 있을 것이다. 신뢰할 수 있는 환경은 로컬 IdP(432)를 포함할 수 있을 것이다. 한 예시적 실시예에 따르면, 신뢰할 수 있는 환경 및 로컬 IdP(432)는 동일한 엔터티일 수 있을 것이다. 그러나, 신뢰할 수 있는 환경은 예를 들어, 애플리케이션(433), 접근 계층 모듈(434), 및/또는 디바이스 상에 배치된 다른 엔터티를 포함할 수도 있을 것이다.
403에서, MNO(435) 및 디바이스 접근 계층 모듈(434)은 모두 접근 계층 키(K)로부터 응용 계층 키(K_app)를 유도할 수 있을 것이다(즉, K_app = f(K), 여기에서 f는 MNO(435) 및 디바이스의 접근 계층 모듈(434) 모두에 알려진 어떤 함수이다). 로컬 IdP(432)에 대해 이용 가능한 응용 계층 키(K_app)가 만들어진다. 404에서 접근 계층 키(K)를 이용하여 디바이스 접근 계층 모듈(434)과 MNO(435) 사이에 접근 계층 보안 연관이 설정된다.
405에서, 사용자는 애플리케이션(433)을 통하여 AS(응용 서버)(437)에 로그인 할 수 있을 것이다. 사용자는 예를 들어, OP(OpenID provider(오픈 ID 제공자)) 식별자(예를 들어, URL 또는 전자메일 주소)로 로그인 할 수 있을 것이다. AS(437)는 RP로서 작용하고 있을 수 있을 것이고, 그래서 여기에서는 AS/RP(437)로서 지칭될 수 있을 것이다. 406에서 AS/RP(437)는 MNO(435)의 ID 발견을 수행할 수 있을 것이다. 407에서 MNO(435)와 AS/RP(437) 사이의 연관이 설정될 수 있을 것이며, 연관 핸들(association handle)이 발생될 수 있을 것이다. 408에서 MNO(435)는 응용 키(K_app) 및 연관 핸들로부터 세션 키(K_session)를 유도할 수 있을 것이다. 409에서, K_session은 연관 보안 프로토콜을 이용하여 AS/RP(437)에 전달될 수 있을 것이며, K_session은 차후의 연관 키로서 이용될 수 있을 것이다. 410에서, AS/RP(437)는 세션 키(K_session) 및 차후의 연관 정보를 저장할 수 있을 것이다. 로컬 IdP(432)와 인증하기 위해 411에서 애플리케이션(433)은 디바이스 상에서 리디렉트될 수 있을 것이다. 리디렉트 메시지는 세션 논스 및/또는 연관 핸들을 포함할 수 있을 것이다. 412에서, 애플리케이션(433)은 카드 접근 계층 모듈(434)을 통해 로컬 IdP(432)에 대해 접속을 요청할 수 있을 것이다. 요청은 예를 들어, 세션 논스 및/또는 연관 핸들을 포함할 수 있을 것이다. 413에서, 로컬 IdP(432)로의 리디렉트가 수행될 수 있을 것이다. 리디렉트는 세션 논스 및/또는 연관 핸들을 포함할 수도 있을 것이다. 414에서, 로컬 IdP(432)는 응용 계층 키(K_app) 및 연관 핸들을 이용하여 서명 키(K_session)를 유도할 수 있을 것이다. 로컬 IdP(432)는 디바이스 상의 응용 계층 키(K_app)에 대한 접근권을 가질 수 있을 것이다. 415에서, 로컬 IdP(432)는 오픈 ID 어서션 메시지를 생성하고 K_session를 이용하여 그것에 서명할 수 있을 것이다. 416에서, 로컬 IdP(432)는 서명된 오픈 ID 어서션 메시지를 카드 접근을 통해 디바이스의 접근 계층 모듈(434)로 돌아가도록 리디렉트할 수 있을 것이다. 417에서 디바이스의 접근 계층 모듈(434)은 서명된 오픈 ID 어서션을 디바이스의 애플리케이션(433)으로 투과적으로(transparently) 리디렉트할 수 있을 것이다. 418에서, 디바이스의 애플리케이션(433)은, 단계 411에서 수신된 논스와 함께, 서명된 오픈 ID 어서션 메시지를 외부의 AS/RP(437)로 리디렉트할 수 있을 것이다. 419에서, AS/RP(437)는 수신되는 서명된 어서션 메시지를 저장할 수 있을 것이다.
디바이스가 응용 계층에서 AS/RP(437)로 인증되면, 디바이스는 응용 계층 인증으로부터의 크리덴셜 또는 키를 이용하여 접근 계층에서의 차후의 네트워크(예를 들어, 핫스팟(436))와 인증될 수 있을 것이다. 도 4에 예시되는 바와 같이, 420에서 디바이스의 접근 계층 모듈(434)은 핫스팟(436)을 발견할 수 있을 것이다. 디바이스 상의 로컬 엔터티(예를 들어, CM(접속 관리자))는 디바이스가 발견된 핫스팟(436)으로 전환해야 한다고 결정할 수 있을 것이다. 421에서, 디바이스의 접근 계층 모듈(434)은 핫스팟(436) 정보를 디바이스의 애플리케이션(433)에 대해 전달할 수 있을 것이다. 422에서, 디바이스의 애플리케이션(433)은, 최근에 이용된 응용 서버(437) ID와 함께, 오픈 ID 식별자(예를 들어, URL 또는 전자메일 주소)를 차후의 발견을 위한 핫스팟(436)의 접근 계층으로 전달할 수 있을 것이다. 423에서, 디바이스의 애플리케이션(433)은 핸드오프를 개시하는 AS/RP(437)에 경보를 줄 수 있을 것이다. 423에서의 핸드오프의 초기화는 발견되는 핫스팟(436) 정보를 이용하여 수행될 수 있을 것이다. 디바이스의 애플리케이션(433)은 418에서 설정되는 자신의 응용 계층 ID 및/또는 핫스팟 B(436)의 접근 계층 발견 정보에 근거하여 접근 계층 적합 ID를 결정할 수 있을 것이다. 접근 계층 ID는 차후의 송신을 위해 422에서 응용 계층 ID에 결속되고 접근 계층 모듈(434)로 발송될 수 있을 것이다.
도 4의 단계 424 내지 단계 429에서 예시되는 바와 같이, AS/RP(437)는 디바이스의 접근 계층 인증을 가능하게 할 수 있을 것이다. 예를 들어, AS/RP(437)는 접근 계층 모듈(434)로 어서션 메시지를 전달할 수 있을 것이다. MNO(435)는 어서션을 검증할 수 있을 것이고, 그래서 접근 계층을 위한 ID를 보장한다. 424에서, 디바이스의 접근 계층 모듈(434)은 핫스팟(436)에 대해 로그인 요청을 할 수 있을 것이다. 예를 들어, 422에서 기술되는 바와 같이, 오픈 ID 식별자(예를 들어, URL 또는 전자메일 주소) 및/또는 최근 응용 서버에서 이용된 ID가 이 메시지에 포함될 수 있을 것이다. 425에서, 핫스팟(436)은 AS/RP(437)로부터의 디바이스 및 그것의 사용자를 위한 인증 정보를 요청할 수 있을 것이다. 예를 들어, 핫스팟(436)은 디바이스의 접근 계층(434)으로부터 수신되었던 오픈 ID 식별자(예를 들어, URL 또는 전자메일 주소)를 위한 어서션을 요청할 수 있을 것이다. 426에서, AS/RP(437)는, 단계 418에서 AS/RP(437)에 의해 수신되었고, 단계 425에서 수신된 오픈 ID 식별자에 대응하는, 서명된 어서션 메시지를 핫스팟(436)에 제출할 수 있을 것이다. 427에서, 핫스팟(436)은, 오픈 ID 식별자(예를 들어, URL 또는 전자메일 주소)에 대응하는 서명된 어서션 메시지를 위해, MNO(435)에서 오픈 ID 서비스로부터의 서명 검증을 요청할 수 있을 것이다. 428에서, MNO(435)는 서명을 검증할 수 있을 것이다(예를 들어, 오픈 ID 서버에서). MNO(435)는 단계 408로부터의 세션 키(K_session)를 가질 수 있을 것이다. 429에서, MNO(435)는 핫스팟(436)에게 서명 검증 메시지를 제공할 수 있을 것이다(예를 들어, 자신의 오픈 ID 서버를 이용하여).
인증이 성공적이었으면, 430에서 핫스팟(436)은 디바이스의 접근 계층 모듈(434)로 인증 성공 응답을 발송할 수 있을 것이다. 디바이스의 접근 계층 모듈(434) 및 핫스팟(436)은 자신들의 공통 채널을 안전하게 하기 위해 431에서 연관을 설정할 수 있을 것이다. 대칭 키 구조의 유도는 보안 통신일 수 있을 것이다. 도 4에 예시되는 프로토콜의 단계 431에서, 접근 계층 키/크리덴셜을 유도하기 위해 이 기술 분야에서 통상의 기술을 가진 자에게 알려진 다양한 대안적 방법들이 이용될 수 있을 것이다. 예를 들어, 서명으로 검증되는 응용 계층 어서션 메시지 상에서 키 유도 기능이 이용될 수 있을 것이다.
역 부트스트래핑의 구현은 여기에서 기술되는 바와 같이 명시적 또는 묵시적일 수 있을 것이다. 예를 들어, 도 4에서 예시되는 프로토콜에서 역 부트스트래핑은 묵시적으로 구현할 수 있을 것이다. 접근 계층 보안 연관이 응용 계층으로부터 제공되는 어서션에 근거하여 설정될 때 예를 들어, 응용 계층 크리덴셜로부터 직접적으로 접근 계층 키 및/또는 크리덴셜을 명시적으로 유도하기보다는 역 부트스트래핑이 묵시적으로 수행될 수 있을 것이다. 접근 계층 키가 예를 들어, 응용 계층 크리덴셜로부터 직접적으로 하는 것과 같이, 역 부트스트래핑의 명시적 프로세스를 통하여 유도되면, 명시적 역 부트스트래핑이 일어날 수 있을 것이다.
다른 한 실시예에 따르면, 프로토콜은 접근/인가를 허여하기도 하는 무결절 핸드오프가 가능하게 할 수 있을 것이다. 예를 들어, 도 5는 접근/인가를 허여하기도 하는 묵시적 역 부트스트래핑을 이용하여 무결절 핸드오프 할 수 있게 하는 프로토콜을 예시하는 흐름도이다. 도 5에 예시되는 프로토콜의 예시되는 이용은, 핫스팟(536)이 예를 들어, 서비스 또는 사용자의 사설 데이터에 접근하기 위한 접근 계층 핸드오프 및 인가를 획득하는 것을 가능하게 할 수 있을 것이다.
도 5에 예시되는 바와 같이, 501에서, 디바이스의 접근 계층 모듈(534)은 예를 들어, 접근 계층에서와 같은 MNO(535)에 연결할 수 있을 것이다. 디바이스의 접근 계층 모듈(534) 및 MNO(535)는 상호 인증을 수행하기 위해 공유된 크리덴셜을 이용할 수 있을 것이다. 공유된 크리덴셜은 예를 들어, 접근 계층 공유된 크리덴셜일 수 있을 것이다. 인증의 결과로서 예를 들어, MNO의 접근 계층에서와 같은 디바이스의 접근 계층 모듈(534) 및 MNO(535) 모두에서 접근 계층 키(K)가 설정될 수 있을 것이다. 502에서, 접근 계층 키(K)는 디바이스 상에 저장될 수 있을 것이다. 예를 들어, 접근 계층 키(K)는 디바이스 상의 신뢰할 수 있는 환경에 저장될 수 있을 것이다. 신뢰할 수 있는 환경은 예를 들어, 디바이스 상에 포함되거나, 또는 별도의 모듈 또는 별도의 디바이스/장비로서 디바이스에 대해 접속될 수 있을 것이다. 신뢰할 수 있는 환경은 로컬 IdP(532) 기능을 가질 수 있을 것이다. 신뢰할 수 있는 환경은 도 5에 예시되는 바와 같이 로컬 IdP(532)와 동일한 엔터티일 수 있을 것이다.
503에서, MNO(535) 및/또는 디바이스 접근 계층 모듈(534)은 접근 계층 키(K)로부터 응용 계층 키(K_app)를 유도할 수 있을 것이고(즉, K_app = f(K), 여기에서 f는 MNO(535) 및 디바이스의 접근 계층(534) 둘 다에 알려진 어떤 함수일 수 있을 것이다), 여기에서, K_app는 로컬 IdP(532)에 이용 가능해질 수 있을 것이다. 504에서 K_app를 이용하여 디바이스 접근 계층 모듈(534)과 MNO(535) 사이에서 접근 계층 연관이 설정될 수 있을 것이다. 사용자는 애플리케이션(533)을 통하여 응용 계층 상의 AS/RP(537)에 대해 505에서 로그인 할 수 있을 것이다. 예를 들어, 사용자는 OP 식별자(예를 들어, URL 또는 전자메일 주소)로 로그인 할 수 있을 것이다. 506에서 AS/RP(537)는 MNO(535)의 발견을 수행할 수 있을 것이다. 507에서 MNO(535)와 AS/RP(537) 사이의 연관이 설정될 수 있을 것이며, 연관 핸들(association handle)이 발생될 수 있을 것이다. 508에서 MNO(535)는 K_app 및 연관 핸들로부터 K_session을 유도할 수 있을 것이다. 509에서, 원래의 연관 보안 및 K_session을 예를 들어, 차후의 연관 키로서 이용하는 것 등에 의해, K_session이 AS/RP(537)에게 전달될 수 있을 것이다. 510에서, AS/RP(537)는 K_session 및 차후의 연관 정보를 저장할 수 있을 것이다. 511에서, 애플리케이션(533)(예를 들어, BA)은 로컬 IdP(532)와 인증하기 위해 디바이스 상의 AS/RP(537)에 의해 리디렉트될 수 있을 것이다. 메시지는 논스 및/또는 연관 핸들을 포함할 수 있을 것이다. 애플리케이션(533)은 512에서 접근 계층(534)을 통해 로컬 IdP(532)로 접속을 요청할 수 있을 것이다. 요청은 논스 및/또는 연관 핸들을 포함할 수 있을 것이다. 513에서, 로컬 IdP(532)로의 리디렉트가 수행된다. 리디렉트 메시지는 논스 및/또는 연관 핸들을 포함할 수도 있을 것이다.
514에서, 로컬 IdP(532)는 K_app 및 연관 핸들을 이용하여 서명 키(K_session)(예를 들어, 어서션 메시지들을 서명하기 위한)를 유도할 수 있을 것이다. 로컬 IdP(532)는 K_app에 대한 접근권을 가질 수 있을 것이다. 515에서, 로컬 IdP(532)는 오픈 ID 어서션 메시지를 생성하고 K_session를 이용하여 어서션 메시지에 서명할 수 있을 것이다. 516에서, 로컬로 생성되는 접근/인가 토큰(access/authorization token)의 제공자로서 작용하는 로컬 IdP(532)는 서명 키(K_token)를 유도할 수 있을 것이다. 서명 키(K_token)는 나중에 접근/인가 토큰을 서명하기 위해 이용될 수 있을 것이다. 그러한 K_token을 유도하기 위한 한 방식은 K_app 및 K_session 둘 다를 입력으로 갖는 키 발생 함수(KGF)를 이용함에 의한 것일 수 있을 것이다. 예를 들어, K_token = f(K_app, K_session). 517에서, 로컬로 생성되는 접근/인가 토큰의 제공자로서 작용하는 로컬 IdP(532)는 접근/인가 토큰을 생성하거나, 및/또는 K_token으로 그것을 서명할 수 있을 것이다. 518에서, 로컬 IdP(532)는 서명된 어서션(서명된 오픈 ID 어서션 및 서명된 접근/인가 토큰 둘 다)을 접근 계층(534)(예를 들어, 카드 접근)을 통해 디바이스의 접근 계층으로 되돌려 보내도록 리디렉트할 수 있을 것이다. 519에서, 디바이스의 접근 계층(534)은 서명된 어서션(오픈 ID 어서션 및 접근/인가 토큰)을 디바이스의 애플리케이션(533)으로(투과적 리디렉트로) 리디렉트할 수 있을 것이다. 520에서, 디바이스의 애플리케이션(예를 들어, BA)은 서명된 어서션(오픈 ID 어서션 및 접근/인가 토큰)을 511에서 수신된 논스와 함께 외부의 응용 AS/RP(537)로 리디렉트할 수 있을 것이다. AS/RP(537)는 수신되는 서명된 어서션 메시지를 저장할 수 있을 것이다.
521에서, 디바이스는 자신의 접근 계층 모듈(534)을 통하여 핫스팟(536)을 발견할 수 있을 것이다. CM(접속 관리자)은 디바이스가 발견된 핫스팟(536)으로 전환해야 한다고 결정할 수 있을 것이다. 522에서, 디바이스의 접근 계층 모듈(534)은 차후의 핫스팟 정보를 디바이스의 애플리케이션(533)으로 전달할 수 있을 것이다. 523에서, 디바이스의 애플리케이션(533)은 오픈 ID 식별자를 최근에 이용된 응용 서버 ID와 함께 핫스팟(536) 접근 계층으로 전달할 수 있을 것이다. 524에서, 디바이스의 애플리케이션(533)은 발견된 핫스팟(536)으로의 핸드오프를 개시하는 AS/RP(537)에게 경보를 줄 수 있을 것이다. 이것은 예를 들어, 핫스팟(536)과 같은 것에 로그인 요청을 발송하는 디바이스의 접근 계층 모듈(534)에 의해 이루어질 수 있을 것이다. 오픈 ID 식별자 및/또는 접근 토큰이 이 메시지에 포함될 수 있을 것이다. 애플리케이션(533)은 단계 519로부터 이 토큰을 가질 수 있을 것이다. 525에서, 핫스팟(536)은 MNO(535)의 OpenID/OAuth 서버를 발견할 수 있을 것이다. 526에서, 핫스팟(536)은 사용자/디바이스를 인증하고 오픈 ID 식별자 및/또는 서명된 접근 토큰을 이용한 접근을 인가할 것을 MNO(535)의 OpenID/OAuth 서버에 요청할 수 있을 것이다. 527에서, MNO(535)의 OpenID/OAuth 서버는 서명 키(K_token)를 계산할 수 있을 것이다. 서명 키(K_token)는 예를 들어, 단계 516에서 K_token가 계산되었던 방식과 동일한 방식으로 계산될 수 있을 것이다. 528에서, MNO(535)의 OpenID/OAuth 서버는 단계 527로부터 계산되었던 K_token을 이용하여 수신된 접근 토큰의 서명을 검증할 수 있을 것이다. 529에서, MNO(535)의 OpenID/OAuth 서버는 접근-토큰을 위한 긍정 어서션을 사용자/디바이스를 위한 어떤 추가적 ID 정보와든 함께 핫스팟으로 발송할 수 있을 것이다. 530에서, 인증이 성공적이면, 핫스팟(536)은 접근 계층 모듈(534)에서 디바이스에 대해 인증 성공 응답을 발송할 수 있을 것이다. 531에서, 디바이스(531)의 접근 계층 모듈(534) 및 핫스팟(536)은 보안 연관을 상호적으로 설정할 수 있을 것이다. 키 및/또는 보안 통신의 유도는 다음과 같을 수 있을 것이다.
여기에서 기술되는 바와 같이, UAM(Universal Access Method(일반 접근법)) 기반 및/또는 EAP(Extensible Authentication Protocol(확장성 인증 프로토콜)) 기반 공용 핫스팟에서 후속하는 접근 계층 또는 IP 계층 인증에서 이용되는 크리덴셜을 발생시키기 위해 응용 계층 크리덴셜이 이용될 수 있을 것이다.
UAM 기반 공용 핫스팟과의 오픈 ID 통합을 위한 구현 옵션은, 상이한 네트워크 엔터티들이 RP 또는 OP(오픈 ID 제공자)로서 작용할 수 있을 것인 다양한 구현을 포함할 수 있을 것이다. 예를 들어, 핫스팟 AAA(인증, 인가, 및 계정) 서버는 RP로서 작용할 수 있을 것이고, 핫스팟 WLAN(무선 근거리 통신망) 게이트웨이는 RP로서 작용할 수 있을 것이며, 핫스팟 종속 포털(captive portal)은 RP로서 작용할 수 있을 것이고, 핫스팟 AP(접근점)는 RP로서 작용할 수 있을 것이며(예를 들어, 카페에서 이용되는 핫스팟과 같은 작은 핫스팟을 위한), 및/또는 핫스팟 AAA 서버는 OP로서 작용할 수 있을 것이다. RP 기능을 구현하는 핫스팟 AAA 서버 및 WLAN 게이트웨이를 이용하는 오픈 ID-UAM 통합의 예시적 실시예들이 도 6 및 도 7에 예시될 수 있을 것이다. 다른 실시예들은 구현이 유사할 수 있을 것이지만, 상이한 배치 모델(deployment models)을 가짐을 알 것이다.
한 예시적 실시예에 따르면, 모바일 디바이스를 가진 사용자는 OP 서버로서 작용하는 MNO A에 접속할 수 있을 것이다. 사용자는 디바이스 상의 미리 준비된 접근 계층 크리덴셜을 이용하여 부트스트랩 인증 절차로 서비스에 대해 인증할 수 있을 것이다. 부트스트랩 인증 절차는 응용 계층 ID를 네트워크 ID에 유일하게 관련시킬 수 있을 것이다. 예로서, 인증은 오픈 ID를 이용하여 수행될 수 있을 것이지만, 어떤 다른 유사한 인증 프로토콜이든 이용될 수 있을 것이다. 오픈 ID가 구현되고 있으면, MNO A는 오픈 ID 제공자로서 작용할 수 있을 것이거나 및/또는 핫스팟 B에서의 WLAN 게이트웨이는 RP로서 작용할 수 있을 것이다.
디바이스가 MNO A에 접속한 후, 디바이스는 다른 한 네트워크를 발견할 수 있을 것이거나(예를 들어, 비콘 또는 방송 메시지를 들음으로써) 및/또는 접근 계층에서 새롭게 발견되는 네트워크에 관한 정보를 확인할 수 있을 것이다. 정보는 예를 들어, CM(접속 관리자)을 통해 디바이스 상의 애플리케이션에 전달될 수 있을 것이다. 디바이스 상의 애플리케이션은 사용자/디바이스 ID로 응용 계층에서의 핫스팟 B에서의 WLAN 게이트웨이와 접촉하기 위해 발견되는 네트워크에 관한 정보를 이용할 수 있을 것이다. 이 ID 정보는 도 6에 예시되는 바와 같은 RP로서 작용하는 AAA 서버 및/또는 도 7에 예시되는 바와 같은 RP로서 작용하는 WLAN 게이트웨이가 MNO A를 발견하고 요청하는 사용자/디바이스를 인증하고자 시도하기에 충분할 수 있을 것이다. OP-RP 프로토콜은 사용자/디바이스를 인증하기 위해 MNO A(오픈 ID 서버로서 작용하는) 및 핫스팟 B(RP로서 작용하는)에서의 WLAN 게이트웨이 또는 AAA 서버 중 적어도 하나에 의해 실행될 수 있을 것이다. 사용자/디바이스가 성공적으로 인증되었으면, 그것은 핫스팟 B에 대한 접근이 허용될 수 있을 것이다. 예를 들어, 도 6에서, AAA 서버가 사용자를 인증하고 핫스팟 B에서의 WLAN 게이트웨이에 대해 성공적 인증의 표시(예를 들어, 접근 수락 메시지)를 발송하면, 사용자는 핫스팟 B에서 접근이 허용될 수 있을 것이다. 유사하게, 도 7에서, 핫스팟 B에서의 WLAN 게이트웨이가 사용자/디바이스를 인증하면, 그것은 핫스팟 B에서 접근이 허용될 수 있을 것이다. 이 인증은 사용자에 대해 무결절 및/또는 차후에 발견되는 네트워크(핫스팟 B)와의 인증을 위해 디바이스에서 크리덴셜을 미리 준비하거나 또는 설치할 필요 없이 또는 수동적 개입 없이 일어날 수 있을 것이다.
도 6은 RP로서 작용하는 AAA 서버(617)와의 UAM-OpenID 통합을 예시하는 흐름도이다. 도 6에 예시되는 바와 같이, UE(614), AP(615), WLAN GW(616), AAA 서버/RP(617), 및/또는 OP 서버(618)가 UE(614)가 무선 네트워크를 인증할 수 있게 하기 위한 통신을 수행할 수 있을 것이다. UE(614) 상의 로컬 구성 요소(예를 들어, CM)는 핫스팟 AP(615)를 그것의 ID 정보(예를 들어, "MNO-WiFi" SSID)에 근거하여 발견할 수 있을 것이다. ID 정보는 예를 들어, 비콘 채널과 같은 접근 계층 시그널링에 의해 발견될 수 있을 것이다. UE(614) 상의 로컬 구성 요소(예를 들어, CM)는, UE(614)가 핫스팟으로 전환해야 한다는 것을 결정할 수 있을 것이며, 이 명령을 UE(614)의 응용 계층으로 통신할 수 있을 것이다. UE(614) 상의 로컬 구성 요소는 응용 계층 네트워크 발견 정보를 UE(614) 상의 애플리케이션(예를 들어, 브라우저)으로 발송할 수 있을 것이다.
도 6에 예시되는 바와 같이, 601에서 UE(614)는 오픈 모드 AP(접근점)(615)와 연관될 수 있을 것이다. 예를 들어, UE(614)는 접근 계층 상에서 획득되는 ID 정보(예를 들어, "MNO-WiFi" SSID)를 이용하여 그러한 연관 및/또는 오픈 모드 접근을 수행할 수 있을 것이다. UE(614)가 IP 주소를 획득하도록 구성되면(예를 들어, 이용하여 DHCP), 602에서 WLAN GW(게이트웨이)(616)는 UE(614)에 대해 사설 IP 주소를 할당할 수 있을 것이다. WLAN GW(616)에서의 UE(614)의 상태가 "비인가된"으로 설정될 수 있을 것임에 따라, 사용자는 사설 IP 주소를 이용하여 인터넷에 접근하지 못할 수 있을 것이다.
사용자는 UE(614) 상에서 웹 브라우저 애플리케이션을 열수 있을 것이며, 603에서 WLAN GW(616)는 UE(614)로부터 웹페이지(예를 들어, 사용자 홈페이지)를 위한 요청을 수신할 수 있을 것이다. WLAN GW(616)는, 604에서, 사용자에게 로그인 크리덴셜을 프롬프트(prompt)하는 포털 페이지(예를 들어, IP/URI)로 UE(614) 상의 브라우저를 리디렉트할 수 있을 것이다. 사용자는 자신의 오픈 ID 식별자(예를 들어, URL 또는 전자메일 주소)를 로그인 페이지에 입력할 수 있을 것이다. 605에서, WLAN GW(616)는 UE(614)로부터 로그인 크리덴셜을 수신할 수 있을 것이며, WLAN GW(616)는 구성된 AAA 서버/RP(617)를 위한 접근 요청 메시지를 발생시키기 위해 수신되는 로그인 크리덴셜을 이용할 수 있을 것이다. 606에서, WLAN GW(616)는 AAA 서버/RP(617)로 접근 요청 메시지를 발송할 수 있을 것이다.
607에서, RP로서 작용하는 AAA 서버(617)는 OP 서버(618)의 발견 및/또는 연관을 수행할 수 있을 것이다(예를 들어, 오픈 ID 프로토콜을 이용하여). 608에서, AAA 서버/RP(617)는 UE(614)를 OP 서버(618)로 리디렉트할 수 있을 것이다. 609에서, UE(614)는 OP 서버(618)를 향해 인증할 수 있을 것이다(예를 들어, 오픈 ID 크리덴셜을 이용하여). 610에서, OP 서버(618)는 인증 어서션과 함께 UE(614)를 AAA 서버/RP(617)로 리디렉트할 수 있을 것이다. 611에서, UE(614)는 어서션 및 성공적으로 인증되었다는 표시를 AAA 서버/RP(617)에 제시할 수 있을 것이다.
612에서, AAA 서버/RP는, WLAN GW(616)에 대해 성공적 인증의 표시(예를 들어, 접근 수락 메시지)를 및/또는 WLAN GW(616)에서 사용자/UE(614) 지위를 "인가된" 상태로 변화시키기 위한 표시를 발송할 수 있을 것이다. 613에서, WLAN GW(616)는, 사용자의 브라우저를 시작 페이지로 리디렉트하고 사용자가 WLAN 네트워크 상에서 인터넷에 접근할 수 있게 함으로써, 사용자/UE(614)에게 성공적 인증을 나타낼 수 있을 것이다.
오픈 ID RP 기능을 AAA 서버(617) 속에 통합함으로써, AAA 서버(617)는 인증을 위해 HLR/HSS와 통신하지 않을 수 있을 것이다. 추가적으로, 사용자가 인증될 수 있거나 및/또는 WLAN GW/RP로 자신의 크리덴셜을 발송하지 않고 WLAN GW/RP에 접근할 수 있음에 따라, 사용자 인증은 보안일 수 있을 것이다.
도 7은 RP로서 작용하는 WLAN GW(714)와의 UAM-OpenID 통합을 예시하는 흐름도이다. 도 7에 예시되는 바와 같이, UE(712), AP(713), WLAN GW/RP(714), 및/또는 OP 서버(715)가 UE(712)가 서비스에 접근하기 위해 무선 네트워크를 인증할 수 있게 하기 위한 통신을 수행할 수 있을 것이다. UE(712) 상의 로컬 구성 요소(예를 들어, CM)는 핫스팟 AP(713)를 그것의 ID 정보(예를 들어, "MNO-WiFi" SSID)에 근거하여 발견할 수 있을 것이다. AP(713)는 예를 들어, 비콘 채널과 같은 접근 계층 시그널링에 의해 발견될 수 있을 것이다. UE(712) 상의 로컬 구성 요소(예를 들어, CM)는, UE(712)가 핫스팟 AP(713)로 전환해야 한다는 것을 결정할 수 있을 것이며, 이 명령을 UE(712)의 응용 계층으로 통신할 수 있을 것이다. UE(712) 상의 로컬 구성 요소는 응용 계층 네트워크 발견 정보를 UE(712) 상의 애플리케이션(예를 들어, 브라우저)으로 발송할 수 있을 것이다.
도 7에 예시되는 바와 같이, 701에서 UE(712)는 오픈 모드 AP(접근점)(713)와 연관될 수 있을 것이다. 예를 들어, UE(712)는 "MNO-WiFi" SSID 및/또는 오픈 모드 접근을 이용하여 그러한 연관을 수행할 수 있을 것이다. UE(712)가 DHCP를 이용하여 IP 주소를 획득하도록 구성되면, 702에서 WLAN GW/RP(714)는 UE(712)에 대해 사설 IP 주소를 할당할 수 있을 것이다. 사용자는 IP 주소를 이용하여 인터넷에 접근하지 못할 수 있을 것이다. 이 시점에서, WLAN GW/RP(714)에서의 UE(712)의 상태는 "비인가된"으로 설정될 수 있을 것이고, 그래서 그것은 WLAN GW/RP(714)를 통하여 서비스에 접근하지 못할 수 있을 것이다.
사용자는 UE(712) 상에서 웹 브라우저 애플리케이션을 열 수 있을 것이다. 703에서, WLAN GW/RP(714)는 UE(712)로부터 웹페이지(예를 들어, 사용자 홈페이지)를 위한 요청을 수신할 수 있을 것이다. WLAN GW/RP(714)는, 704에서, 사용자에게 로그인 크리덴셜을 프롬프트할 수 있을 것인 포털 페이지(예를 들어, IP/URI)로 UE(712) 상의 브라우저를 리디렉트할 수 있을 것이다. 사용자는 자신의 오픈 ID 식별자(예를 들어, URL 또는 전자메일 주소)를 로그인 페이지에 입력할 수 있을 것이다.
705에서, WLAN GW/RP(714)는 UE(712)로부터 로그인 크리덴셜을 수신할 수 있을 것이며, WLAN GW/RP(714)는 OP 서버/RP(715)의 발견 및/또는 연관을 수행하기 위해 수신되는 로그인 크리덴셜을 이용할 수 있을 것이다. 706에서, RP로서 작용하는 WLAN GW/RP(714)는 OP 서버(715)의 발견 및/또는 연관을 수행할 수 있을 것이다(예를 들어, 오픈 ID 프로토콜을 이용하여). 707에서 WLAN GW/RP(714)는 UE(712)를 OP 서버(715)로 리디렉트할 수 있을 것이다. 708에서, UE(712)는 OP 서버(715)를 향해 인증할 수 있을 것이다(예를 들어, 오픈 ID 크리덴셜을 이용하여). 709에서, OP 서버(715)는 UE(712)를 WLAN GW/RP(714)로 리디렉트할 수 있을 것이다. 709에서, 리디렉트 메시지는 인증 어서션 정보를 포함할 수 있을 것이다. 710에서, UE(712)는 어서션 정보 및/또는 OP 서버(715)와의 성공적 인증의 표시를 WLAN GW/RP(714)에 대해 제시할 수 있을 것이다. 수신되는 어서션 정보 및/또는 성공적 인증의 표시에 근거하여, WLAN GW/RP(714)는 사용자 지위를 "인가된" 상태로 변화시킬 수 있을 것이다. WLAN GW/RP(714)는 UE(712) 상의 브라우저를 시작 페이지로 리디렉트함으로써 성공적 인증을 사용자/UE(712)에게 나타낼 수 있을 것이며, 사용자는 WLAN 네트워크 상에서의 인터넷에 접근 가능해질 수 있을 것이다. 711에서, 사용자(712)는 WLAN 네트워크 상에서 인터넷 접근할 수 있게 될 수 있을 것이다.
도 7에서 예시되는 바와 같이, 오픈 ID RP 기능을 핫스팟 WLAN GW(714) 속에 통합함으로써, AAA 서버는 인증을 위해 이용되지 않을 수 있을 것이다. WLAN GW(714)는 RADIUS 기능을 이용하지 않을 수 있을 것이다. 도 6에서 예시되는 실시예와 유사하게, 사용자가 인증될 수 있을 것이거나 및/또는 자신의 크리덴셜을 WLAN GW(714)에 발송하지 않고 핫스팟에 접근할 수 있을 것임에 따라도 7에서의 인증 구현은 보안 인증을 포함할 수 있을 것이다. 도 7에 예시되는 구현에서, WLAN 서비스/핫스팟 제공자는 단순화 인증으로 인해 큰 고객층에 도달할 수 있을 것이다. 예를 들어, MNO들에 의해 제공되는 인증 인프라로부터의 이익을 누리면서 고객들에게 다중 MNO로부터 서비스가 제공되게 하여, 하나의 핫스팟에 의해 다중 OP가 지원될 수 있을 것이다(예를 들어, OP 서버(715)로서 작용함).
EAP 기반 공용 핫스팟에서 후속하는 접근 계층 또는 IP 계층 인증에서 이용하기 위한 응용 계층 크리덴셜로부터 크리덴셜을 발생시키는(예를 들어, 역 부트스트래핑을 이용하여) 인증 실시예들도 여기에서 기술된다. 사용자 레벨에서, 사용자는 서비스에 로그온 하기 위해 오픈 ID 식별자를 입력할 수 있을 것이며 예를 들어, 핫스팟 B와 같은 이전에는 알지 못 했던 접속망에 접근 가능해질 수 있을 것이지만, 서비스는 계속 무결절로 중단되지 않는다. 차후의 접속망에서 접근 계층 또는 IP 계층 크리덴셜은 미리 준비되지 않을 수 있을 것인데, 이러한 크리덴셜들이 이미 실행하고 있는 응용 서비스 보안으로부터 부트스트랩 될 수 있을 것이기 때문이다.
EAP 기반 공용 핫스팟을 이용하여 기술되는 인증 실시예들은 오픈 ID 통합을 위한 구현 옵션을 포함할 수 있을 것이다. 802.1x/EAP 공용 핫스팟과의 오픈 ID 통합을 위한 구현 옵션은 RP로서 작용하는 핫스팟 AAA 서버의 이용, OP로서 작용하는 핫스팟 AAA 서버의 이용, 및/또는 EAP-오픈 ID를 이용하는 것을 포함할 수 있을 것이다.
도 8은 RP로서 작용하는 AAA 서버(820)와의 EAP-OpenID 통합을 예시하는 흐름도이다. RP 기능을 핫스팟 AAA 서비스 속에 통합하는 것은 예를 들어, 3GPP와 WLAN 네트워크 사이에서 무결절 인증 및/또는 서비스 커뮤니티(service continuity)를 지원 가능하게 할 수 있을 것이다. RP 모듈을 AAA 서버(820) 속에 통합하는 공용 핫스팟에서, 오픈 ID 인증을 교환하기 위한 활성적 접속(예를 들어, 3GPP 접속)을 이용하여 EAP-SIM/AKA 인증을 완료하기 위해 UE(818) 및/또는 OP 서버(821) 상에서 유도되는 키를 레버리지로 활용하거나 및/또는 핫스팟 AP(819)가 UE-OpenID 교환을 허용할 수 있게 함으로써, 사용자는 무결절로 인증될 수 있을 것이다.
도 8에 예시되는 바와 같이, UE(818) 및/또는 그것의 사용자는 UE(818), AP(819), AAA/RP 서버(820) 및/또는 OP 서버(821) 사이의 통신을 이용하여 인증될 수 있을 것이다. UE(818), AAA/RP 서버(820), 및/또는 OP 서버(821)는 제각기 응용 계층에서 통신할 수 있는 애플리케이션을 포함할 수 있을 것이다. UE(818), AP(819), 및/또는 AAA/RP 서버(820)는 제각기 IP 계층에서 통신할 수 있는 IP 계층 통신 모듈을 포함할 수 있을 것이다. UE(818) 및/또는 AAA/RP 서버(820)는 그것의 응용 계층 통신 모듈과 IP 계층 통신 모듈 사이에서 통신할 수 있게 구성될 수 있을 것이다. 오픈 ID 식별 제공자(OP)는 예를 들어, MNO 또는 MNO에 연관된 응용 서비스 제공자일 수 있을 것이다. OP 서버(821)는 다중 MNO 서비스를 제공하여, 폭넓은 고객층이 핫스팟을 이용하게 할 수 있을 것이다. AAA 서버(820)는 RP로서 구현될 수 있을 것이며, UE(818) 및/또는 OP 서버(821) 상에서 키(822)(예를 들어, 응용 계층에서 유도되는)를 레버리지로 활용할 수 있을 것이다. 한 예시적 실시예에 따르면, 응용 계층 키(822)는 EAP-SIM/AKA 인증을 완료하기 위해 레버리지로 활용될 수 있을 것이다.
도 8에 예시되는 바와 같이, 801에서, UE(818)는 접속망 통신(예를 들어, 3GPP 접속망 통신)을 통하여 OP 서버(821)를 향한 인증을 성공적으로 완료할 수 있을 것이다. 801에서 UE(818) 및 OP 서버(821)는 공유 키(822)를 설정할 수 있을 것이다. 공유 키(822)는 예를 들어, UE(818)와 OP 서버(821) 사이의 응용 계층에서 설정되는 응용 계층 크리덴셜일 수 있을 것이다. 802에서, UE(818) 상의 로컬 구성 요소(예를 들어, CM(접속 관리자))는 AP(819)를 예를 들어, "MNO-WiFi" SSID와 같은 그것의 ID 정보에 근거하여 발견할 수 있을 것이다. AP(819)의 ID 정보는 예를 들어, 비콘 채널과 같은 접근 계층 시그널링에 의해 발견될 수 있을 것이다. UE(818)(예를 들어, CM을 구현하는)는 자신이 서비스에 접근하기 위해 AP(819)로 전환해야 한다고 결정할 수 있을 것이다. UE(818)는 AP(819) 네트워크의 비인가된 클라이언트일 수 있을 것이다.
803에서 AP(819)(예를 들어, 인증자)는 UE(818)의 ID를 요청하는 EAP 요청을 할 수 있을 것이다. 804에서, UE(818)는 예를 들어, 자신의 영구 ID(예를 들어, IMSI(Iinternational mobile subscriber identity(국제 이동 가입자 ID))), 필명(pseudonym) ID, 신속 인증 ID, 또는 UE(818)의 다른 유사한 식별자와 같은 식별자를 제출할 수 있을 것이다. 접근 계층 식별자는 예를 들어, 자신의 영역(realm)과 같은 추가적 인증 정보와 함께 제출될 수 있을 것이다. 영역은 예를 들어, SSO(싱글 사인온) 인증을 이용하기 위한 힌트와 같은 인증을 수행함에 있어서 이용하기 위한 추가적 정보(예를 들어, [email protected])를 포함할 수 있을 것이다.
805에서, AP(819)는 접근 계층 식별자를 AAA/RP 서버(820)에 발송할 수 있을 것이다. AP(819)와 AAA/RP 서버(820) 사이의 접근 계층 식별자 및 다른 통신은 예를 들어, RADIUS 접근 요청, 접근 도전, 및/또는 접근 수락 메시지를 이용하여 발송될 수 있을 것이다. AAA/RP 서버(820)는 접근 계층 식별자를 AAA/RP 서버(820) 상의 응용 계층에 발송할 수 있을 것이다. 806에서, 접근 계층 식별자 및/또는 운용자 정책에 근거하여, AAA 서버(820)의 RP 기능은 OP 서버(821)의 발견 및/또는 연관을 수행할 수 있을 것이다. 발견 및/또는 연관은 예를 들어, 오픈 ID 프로토콜을 이용하여 수행될 수 있을 것이다. 806에서의 발견 및/또는 연관 중에, AAA/RP 서버(820)는 접근 계층 식별자를 OP 서버(821)에 발송할 수 있을 것이다. 예를 들어, 접근 계층 식별자는 AAA/RP 서버(820)와 OP 서버(821) 사이의 응용 계층에서 발송될 수 있을 것이다. OP 서버(821)는 AAA/RP 서버(820)에서 UE(818)를 인증하기 위해 이용될 수 있을 것인 키잉 자료를 발생시키기 위해 접근 계층 식별자 및/또는 응용 계층 크리덴셜(822)을 이용할 수 있을 것이다. 예를 들어, OP 서버(821)는 UE(818)와 관련된 응용 계층 크리덴셜(822)을 결정하기 위해 접근 계층 식별자를 이용할 수 있을 것이다. 키잉 자료는 키 유도 기능을 이용하여 응용 계층 크리덴셜(822)로부터 유도될 수 있을 것이다. 한 예시적 실시예에 따르면, 키잉 자료는 UE(818)와 AAA/RP 서버(820) 사이의 인증을 위해 이용될 수 있을 것인 세션 키를 포함할 수 있을 것이다. 807에서, OP 서버(821)는 키잉 자료를 AAA/RP 서버(820)에 발송할 수 있을 것이다.
AAA/RP 서버(820)는 EAP-SIM/AKA 도전(challenge)을 UE(818)에 발송하기 위해 OP 서버(821)로부터 수신되는 키잉 자료를 이용할 수 있을 것이다. EAP-SIM/AKA 도전은 예를 들어, HLR/HSS와 연관 또는 통신할 필요 없이 재인증 절차가 가능해지게 발송될 수 있을 것이다. 808에서, AAA/RP 서버(820)는 접근 도전을 AP(819)에게 발송할 수 있을 것이다. 접근 도전은 UE(818)와 관련된 식별자 및/또는 807에서 수신되는 키잉 자료를 포함할 수 있을 것이다. 809에서, AP(819)는 AAA/RP 서버(820)로부터 수신되는 EAP 메시지(예를 들어, EAP 요청/도전)를 무선 접속망을 통하여 UE(818)로 발송할 수 있을 것이다. EAP 요청/도전 메시지를 수신한 후, UE(818)는 메시지를 인정 검증하기 위해 키잉 자료를 체크하고, 810에서 응용 계층 크리덴셜(822)을 이용하여 EAP 응답을 발생시킬 수 있을 것이다. 예를 들어, UE(818)는 UE(818)에 상주하는 신뢰할 수 있는 환경(예를 들어, 신뢰할 수 있는 처리 모듈, UICC, SIM, 스마트카드, 등)으로, 키 유도 기능을 이용하여 응용 계층 크리덴셜(822)로부터 키잉 자료를 유도할 수 있을 것인, 도전을 발송할 수 있을 것이다. 키잉 자료는 응용 계층 크리덴셜을 이용하여 OP 서버(821)에서 발생되는 동일한 키잉 자료일 수 있을 것이다. 예를 들어, 키잉 자료는 UE(818)와 AAA/RP 서버(820) 사이의 인증을 위해 이용될 수 있을 것인 세션 키를 포함할 수 있을 것이다. 810에서, 키잉 자료는 응답을 발생시키기 위해 이용될 수 있을 것이다. 응답은 UE(818)의 응용 계층에서 발생되고 AP(819)로의 송신을 위해 접근 계층으로 송신될 수 있을 것이다.
811에서, UE(818)는 예를 들어, 재인증 절차를 이용하여, EAP 응답 메시지의 형식으로 응답을 AP(819)에 제출할 수 있을 것이다. 응답은 UE 식별자 및/또는 UE(818)에서 발생되는 키잉 자료(예를 들어, 세션 키)를 포함할 수 있을 것이다. 812에서, AP(819)는 예를 들어, 접근 요청 메시지의 형식에서와 같은 EAP 응답/도전 메시지를 AAA/RP 서버(820)로 전달할 수 있을 것이다. 812에서의 접근 요청은 EAP ID 및/또는 811에서의 UE(818)로부터의 키잉 자료를 포함할 수 있을 것이다. AAA/RP 서버(820)는 수신된 메시지를 인정 검증하거나 및/또는 수신된 응답이 812에서 기대했던 응답과 맞는지를 체크할 수 있을 것이며, 체크가 성공적이면, AAA/RP 서버(820)는 성공적 인증을 나타낼 수 있을 것이고, 및/또는 UE(818)가 WLAN 네트워크를 이용하여 서비스에 접근할 수 있을 것이다. 813에서 예를 들어, AAA/RP(820)는 접근 수락 메시지를 AP(819)로 발송할 수 있을 것이다. 접근 수락 메시지는 EAP 성공 표지 및/또는 키잉 자료를 포함할 수 있을 것이다. 814에서, AP(819)는 EAP 성공 표지를 UE(818)에 전달할 수 있을 것이다. 815에서, AP(819)에서의 UE(818)의 지위는 AP(819)의 이용에 대해 인가된 것으로 될 수 있을 것이다. UE(818)가 인가됨에 따라, 816에서 UE(818)는 DHCP를 이용하여 IP 주소를 획득할 수 있을 것이다. UE(818)는 예를 들어, IP 주소를 이용하여 817에서 WLAN 네트워크 상에서 인터넷에 접근할 수 있을 것이다.
도 8에 예시되는 콜 흐름 또는 그것의 부분들을 이용하면, 핫스팟 AAA 서버(820)는 EAP 프로토콜을 이용하여 인증을 수행하기 위해 MNO HLR/HSS에 접속하지 않을 수 있을 것이다. 예를 들어, 여기에서 기술되는 바와 같은 오픈 ID를 이용하여, AAA 서버(820), 또는 예를 들어, 다른 RP 엔터티는 사용자 인증을 수행하기 위해 HLR/HSS, 또는 예를 들어, 다른 SS7 엔터티와의 통신을 회피할 수 있을 것이다. 대신에, AAA 서버(820)는 예를 들어, 오픈 ID를 위한 IP 기반 HTTP(S) 인터페이스와 같은 인터넷 프로토콜(IP) 기반 HTTP(S) 인터페이스와 통신할 수 있을 것이다.
도 9는 RP로서 작용하는 AAA 서버(923)와의 EAP-OpenID 통합을 예시하는 흐름도이다. 도 9에 예시되는 바와 같이, UE(921) 및/또는 그것의 사용자는 UE(921), AP(922), AAA/RP 서버(923) 및/또는 OP 서버(924) 사이의 통신을 이용하여 WLAN 상의 통신을 위해 인증될 수 있을 것이다. UE(921), AAA/RP 서버(923), 및/또는 OP 서버(924)는 제각기 응용 계층에서 통신할 수 있는 애플리케이션을 포함할 수 있을 것이다. UE(921), AP(922), 및/또는 AAA/RP 서버(923)는 제각기 IP 계층에서 통신할 수 있는 IP 계층 통신 모듈을 포함할 수 있을 것이다. UE(921) 및/또는 AAA/RP 서버(923)는 그것의 애플리케이션과 IP 계층 통신 모듈 사이에서 통신할 수 있게 구성될 수 있을 것이다. 한 예시적 실시예에 따르면, AP(922)는 비인가된 UE(921)를 위해 오픈 ID 교환을 허용하도록 구성될 수 있을 것이며, UE(921)는 AP(922)를 통하여 AAA/RP 서버(923) 및/또는 OP 서버(924)에 도달 및 통신할 수 있을 것이다.
도 9에 예시되는 실시예에서는 예를 들어, 도 8에 예시되는 바와 같이, UE(921)와 OP 서버(924) 사이에서 이전에 공유되었던 키들이 새로워 지지 않을(not be fresh) 수 있을 것이다. 그래서, UE(921) 및/또는 OP 서버(924)는 응용 계층 ID 키(925)의 인증 및 발생을 수행할 수 있을 것이다. AAA 서버(923)는 RP로서 작용할 수 있을 것이고, 오픈 ID 인증을 수행하기 위해 접속(예를 들어, 3GPP 접속)을 이용할 수 있을 것이다. UE(921)는 다중 네트워크들과 동시에 접속을 설정할 수 있는 디바이스일 수 있을 것이다(예를 들어, UE(921)는 3GPP 네트워크를 통해 동시에 WLAN 핫스팟을 통하여 접속을 설정할 수 있는 다중 RAT 디바이스일 수 있을 것이다). 도 9에 예시되는 바와 같이, 설정되는 3GPP 접속은 오픈 ID 메시지를 교환하고 EAP-SIM/AKA 인증을 완료하기 위해 이용될 수 있을 것이다. 도 9는 WLAN 상에서의 통신을 위한 인증을 수행하기 위한 활성적 3GPP 접속으로 설정되는 크리덴셜을 이용하지만, 다른 형식의 무선 접속이 도 9에서 예시되는 바와 같은 인증을 수행하기 위해 유사한 방식으로 이용될 수 있을 것임을 알 것이다.
901에서, UE(921)는 활성적 3GPP 접속이 설정될 수 있을 것이며, 그것은 이 접속 상에서 AAA/RP 서버(923) 및/또는 OP 서버(924)에 도달할 수 있을 것이다. 다른 한 예시적 실시예에 따르면, AP(922)는 901에서 설정되는 3GPP 접속을 이용하기보다는 UE(921)의 인증을 위해 오픈 ID 교환을 허용할 수 있을 것이다. 어떤 실시예에서든, 프로토콜 흐름은 도 9에서 예시되는 것과 동일하거나, 또는 유사할 수 있을 것이다. 도 9의 프로토콜 흐름으로 계속하면, UE(921) 상의 로컬 구성 요소(예를 들어, CM)는 902에서 AP(922), 및/또는 예를 들어, "MNO-WiFi" SSID와 같은 그것의 ID 정보를 발견할 수 있을 것이다. AP(922)는 예를 들어, 비콘 채널과 같은 접근 계층 시그널링에 의해 발견될 수 있을 것이다. UE(921) 상의 로컬 구성 요소(예를 들어, CM)는 UE(921)가 AP(922)에 접속해야 한다고 결정할 수 있을 것이다. UE(921)는 AP(922)에서 비인가된 클라이언트일 수 있을 것이며, 네트워크 상에서 접근권을 가질 수 있을 것이다.
903에서, AP(922)(예를 들어, 인증자)는 UE(921)의 IP 계층 ID를 요청하는 EAP 요청을 할 수 있을 것이다. 904에서, UE(921)는 EAP 응답을 통하여 자신의 IP 계층 ID를 제출할 수 있을 것이다. UE(921)의 IP 계층 ID는 자신의 IMSI(국제 이동 가입자 ID) 및/또는 추가적 인증 정보를 포함할 수 있을 것이다. 추가적 정보는 예를 들어, UE(921)의 영역을 포함할 수 있을 것이다. 영역은 예를 들어, SSO 인증을 이용하기 위한 힌트와 같은 추가적 인증 정보(예를 들어, [email protected])를 포함할 수 있을 것이다. 905에서, AP(922)는 IP 계층 ID(EAP ID)를 AAA/RP 서버(923)에 발송할 수 있을 것이다. AP(922)와 AAA/RP 서버(923) 사이의 IP- 계층 ID 뿐만 아니라, 다른 통신도 예를 들어, RADIUS 접근 요? 메시지, RADIUS 접근 도전 메시지, 및/또는 RADIUS 접근 수락 메시지를 이용하여 발송될 수 있을 것이다.
906에서, AAA/RP 서버(923)는 OP 서버(924)를 발견하고 연관을 수행할 수 있을 것이다. 예를 들어, AAA/RP 서버(923)의 RP 기능은 오픈 ID 프로토콜을 이용하여 OP 서버(924)를 발견하고 연관을 수행할 수 있을 것이다. 907에서, UE(921) 상의 애플리케이션은, RP로서 작용할 수 있을 것인 AAA/RP 서버(924)로 로그인 요청을 발송할 수 있을 것이다. 907에서, 로그인 요청은 예를 들어, 오픈 ID에 의한 3GPP 접속 상에서 발송될 수 있을 것이다. UE(921) 상의 애플리케이션은 UE(921) 상의 로컬 엔터티(예를 들어, CM)로부터의 통신을 개시하기 위한 표시에 근거하여 로그인 요청을 발송할 수 있을 것이다. 3GPP 무선 접속 상에서 UE(921)와 통신하면, AAA/RP 서버(923)는 908에서 UE(921)를 OP 서버(924)로 리디렉트할 수 있을 것이다.
909에서, UE(921)는 3GPP 접속 상에서 OP 서버(924)와 인증할 수 있을 것이다(예를 들어, 오픈 ID 크리덴셜을 이용하여). 예를 들어, UE는 오픈 ID 크리덴셜을 이용하여 OP와 인증할 수 있을 것이다. OP 서버(924)를 향한 인증의 성공적 완료시에, UE(921) 및/또는 OP 서버(924) 상에 응용 계층 크리덴셜(925)이 설정될 수 있을 것이다. OP 서버(924)는 응용 계층 크리덴셜(925)에 근거하여 키잉 자료를 발생시킬 수 있을 것이다. 키잉 자료는 UE(921)와 AAA/RP 서버(923) 사이의 인증을 위해 이용될 수 있을 것이다. 키잉 자료는 키 유도 기능을 이용하여 응용 계층 크리덴셜(925)로부터 유도될 수 있을 것이다. 한 예시적 실시예에 따르면, 키잉 자료는 AAA/RP 서버를 이용하는 인증을 위해 이용되는 세션 키를 포함할 수 있을 것이다.
910에서, OP 서버(924)는 AAA/RP 서버(923)에 대한 응용 계층 크리덴셜(925)에 근거하여 키잉 자료를 발송할 수 있을 것이다. AAA/RP 서버(923)는 응용 계층에서 키잉 자료를 수신하고 AP(922)로 송신하기 위해 키잉 자료를 자신의 IP 계층 통신 모듈로 통신할 수 있을 것이다. AAA/RP 서버(923)는 911에서 AP(922)를 통하여 UE(921)로 EAP-SIM/AKA 도전을 발송하기 위해 키잉 자료를 이용할 수 있을 것이다. 도전은 재인증 절차에 근거할 수 있을 것이며, AAA/RP 서버(923)는 예를 들어, HLR/HSS와 통신할 필요 없이 인증을 수행할 수 있을 것이다. 911에서의 도전은 910에서 수신되는 EAP ID 및/또는 키잉 자료를 포함할 수 있을 것이다. 912에서, AP(922)는 911에서의 도전을 수신하고 AAA/RP 서버(923)로부터 수신되는 EAP 메시지(EAP 요청/도전 메시지)를 UE(921)로 발송할 수 있을 것이다.
912에서 EAP 요청/도전 메시지를 수신한 후, UE(921)는 913에서 응용 계층 크리덴셜(925)을 이용하여 응답을 발생시킬 수 있을 것이다. UE(921)는 AAA/RP 서버로부터 수신되는 키잉 자료를 체크할 수 있을 것이며, 응답을 발생시키기 위해 응용 계층 크리덴셜(925)을 이용하는 신뢰할 수 있는 환경(예를 들어, 신뢰할 수 있는 처리 모듈, UICC, SIM, 스마트카드, 등)으로 도전을 발송할 수 있을 것이다. 예를 들어, UE(921) 상의 신뢰할 수 있는 환경은 키 유도 기능을 이용하여 응용 계층 크리덴셜(925)로부터 키잉 자료를 유도할 수 있을 것이다. 키잉 자료는 응용 계층 크리덴셜(925)을 이용하여 OP 서버(924)에서 발생되는 동일한 키잉 자료일 수 있을 것이다. 예를 들어, 키잉 자료는 UE(921)와 AAA/RP 서버(923) 사이의 인증을 위해 이용될 수 있을 것인 세션 키를 포함할 수 있을 것이다. 913에서, 키잉 자료는 응답을 발생시키기 위해 이용될 수 있을 것이다. 응답은 UE(921)의 응용 계층에서 발생되고 AP(922)로의 송신을 위해 접근 계층으로 송신될 수 있을 것이다.
UE(921)는 재인증 절차에 근거하여 914에서 EAP 응답 메시지로 AP(922)에 대해 응답을 제출할 수 있을 것이다. EAP 응답 메시지는 응용 계층 크리덴셜(925)로부터 발생되는 IP 계층 식별자 및/또는 키잉 자료를 포함할 수 있을 것이다. AP(922)는 915에서 EAP 응답/도전 메시지를 AAA/RP 서버(923)로 전달할 수 있을 것이다. AAA/RP 서버(923)는 EAP 응답/도전 메시지에서의 키잉 자료를 체크함으로써 UE(921)를 인증할 수 있을 것이며, 체크가 성공적이면, AAA/RP 서버(923)는 UE(921)가 WLAN 네트워크 상에서 서비스에 접근 가능해지게 할 수 있을 것이다. 예를 들어, AAA/RP 서버(923)는 916에서 EAP 성공 및 키잉 자료를 포함하는 접근 수락 메시지를 AP(922)로 발송할 수 있을 것이다. EAP 성공 메시지는 917에서 UE(921)에 전달될 수 있을 것이다. 918에서, UE(921)의 지위는 AP(922)에서 인가된 것으로 될 수 있을 것이다. UE(921)는 예를 들어, DHCP를 이용하여 919에서 AP(922)로부터 IP 주소를 획득할 수 있을 것이며, 920에서 WLAN 네트워크 상에서 인터넷에 접근할 수 있을 것이다.
UE(921)와 OP 서버(924) 사이에서 공유된 크리덴셜(예를 들어, 응용 계층 크리덴셜(925))을 생성하기 위해 여기에서는 오픈 ID가 이용된다. 응용 계층 크리덴셜(925)은 AAA/RP 서버(923)에서 사용자/UE(921)의 인증을 위해 이용될 수 있을 것이다. 도 9에 예시되는 실시예는 UE(921)가 OP 서버(924)를 향해 인증하고 시크릿(925)을 공유할 수 있게 한다. UE(921)와 OP 서버(924) 사이의 인증은 UE(921)와 OP 서버(924) 사이의 성공적 인증시에 응용 계층 크리덴셜(925)이 발생될 수 있게 한다(예를 들어, 오픈 ID-AKA를 이용하여). 그 후, OP 서버(924)는, 910에서 AAA/RP 서버(923)로 발송된 후 응용 계층 크리덴셜(925)을 이용하여 AAA/RP 서버(923)에 의해 검증되는, 어서션에 서명하기 위해 응용 계층 크리덴셜(925)을 이용할 수 있을 것이다. 예를 들어, 오픈 ID 절차의 일부로서, OP 서버(924)와 UE(921) 사이에서의 시크릿 키(925) 발생시, 다른 한 네트워크 엔터티는 EAP 크리덴셜(예를 들어, 키잉 자료)을 UE(921)에게(예를 들어, UE(921) 상의 CM에게) 인도하기 위해 이용될 수 있을 것이다.
다시, 도 9에 예시되는 콜 흐름 또는 그것의 부분들을 이용하면, 핫스팟 AAA 서버(923)는 EAP 프로토콜을 이용하여 인증을 수행하기 위해 MNO HLR/HSS에 접속하지 않을 수 있을 것이다. 대신에, AAA 서버(923)는 예를 들어, 오픈 ID를 위한 IP 기반 HTTP(S) 인터페이스와 같은 단순한 인터넷 프로토콜(IP) 기반 HTTP(S) 인터페이스와 통신할 수 있을 것이다. 핫스팟 AP(922)는 AP 메시지 또는 비인증된 디바이스 외에 오픈 ID 교환을 허용할 수 있을 것이다.
도 10은 RP로서 작용하는 AAA 서버(1022)와의 EAP-OpenID 통합 및 로컬 OP(로컬 오픈 ID 제공자)의 구현을 예시하는 흐름도이다. 도 10에 예시되는 바와 같이, UE(1018) 및/또는 그것의 사용자는 UE(1018), AP(1021), AAA/RP 서버(1022) 및/또는 OP 서버(1023) 사이의 통신을 이용하여 인증될 수 있을 것이다. 도 10에 예시되는 바와 같이, UE(1018)는, 인증을 수행하고 서비스에 대한 접근권을 얻기 위해 서로 및/또는 다른 네트워크 엔터티들과 통신하도록 제각기 구성되는, 로컬 OP(1019) 및 BA(브라우징 에이전트)/CM(접속 관리자)(1020)을 포함할 수 있을 것이다. BA/CM(1020)가 도 10에서 단일 엔터티로서 예시되지만, BA 및 CM은 UE(1018) 내에서 독립적 기능을 수행하는 별도의 엔터티일 수 있을 것이다. 로컬 OP(1019)는 보안 환경(예를 들어, 신뢰할 수 있는 처리 모듈, UICC, SIM, 스마트카드, 등) 내에서 UE(1018) 상에 설치될 수 있을 것이다. 로컬 OP(1019)는 UE(1018)를 위한 OP 서버로서 작용할 수 있을 것이다. 로컬 OP(1019)는 네트워크 상의 OP 서버(1023)와 공유될 수 있을 것인 롱텀 시크릿(long term secret)(1024)을 포함할 수 있을 것이다. 성공적 로컬 사용자 인증 후, 로컬 OP(1019)는 ID 어서션을 생성 및/또는 서명할 수 있을 것이다.
1001에서, UE(1018)는 활성적 3GPP 접속을 가질 수 있을 것이며, 이 접속 상에서 AAA/RP(1022) 및/또는 OP 서버(1023)에 도달할 수 있을 것이다(예를 들어, BA/CM(1020)을 통하여). 도 10에서 3GPP와 WLAN 접속 사이에 인증 및 서비스 커뮤니티가 설정될 수 있을 것이지만, 다른 네트워크들 사이의 인증 및 서비스 커뮤니티를 위해 유사한 통신이 이용될 수 있을 것임을 알 것이다. 1002에서, BA/CM(1020)은 AP(1021)(예를 들어, 접속망에서) 및/또는 그것의 ID 정보를 발견할 수 있을 것이다. 이 시점에서, UE(1018)는 WLAN 네트워크 상의 비인가된 클라이언트일 수 있을 것이다. AP(1021)의 ID 정보는 "MNO-WiFi" SSID를 포함할 수 있을 것이다. 예를 들어, 비콘 채널(beacon channel)과 같은 접근 계층 시그널링을 통하여 AP(1023) 및/또는 그것의 ID 정보가 발견될 수 있을 것이다. BA/CM(1020)은 UE(1018)가 AP(1021)에 접속해야 한다고 결정할 수 있을 것이다. 1003에서, AP(1021)(예를 들어, 인증자)는 UE(1018) ID를 요청하는 EAP 요청을 할 수 있을 것이다. 1004에서, UE(1018)는 자신의 IP 계층 ID를 제출할 수 있을 것이다. UE(1018) IP 계층 ID는 IMSI(국제 이동 가입자 ID)) 및/또는 예를 들어, 그것의 영역과 같은 추가적 인증 정보를 포함할 수 있을 것이다. 영역은 예를 들어, SSO 인증을 이용하기 위한 힌트(예를 들어, [email protected])를 포함할 수 있을 것이다.
1005에서, AP(1021)는 EAP ID(예를 들어, IP 계층 ID)를 AAA/RP 서버(1022)에 발송할 수 있을 것이다. 1006에서, UE(1018) 상의 BA/CM(1020)은 오픈 ID 식별과 함께 AAA/RP(1022)에 HTTP GET 요청을 발송할 수 있을 것이다. 1007에서, AAA/RP 서버(1022)의 RP 기능은 OP 서버(1023)를 발견 및/또는 연관을 수행할 수 있을 것이다. 결과로서, OP 서버(1023)와 AAA/RP 서버(1022) 사이에서 연관 키(1024) 및/또는 연관 핸들이 생성되고 공유될 수 있을 것이다. 한 예시적 실시예에 따르면, OP 서버(1023)는 UE(1018)와 관련된 접근 계층 ID를 수신하고 연관 키(1024) 및/또는 연관 핸들을 응용 계층에서 AAA/RP 서버(1022)로 발송할 수 있을 것이다. AAA/RP 서버(1022)는 이 연관 키(1024)로부터 EAP 키(1025) 및/또는 도전을 유도할 수 있을 것이다. 예를 들어, EAP 키(1025)는 키 유도 기능 또는 역 부트스트래핑 절차를 이용하여 연관 키(1024)로부터 유도될 수 있을 것이다. AAA/RP 서버(1022)는 인증을 위해 1008에서 UE(1018)를 로컬 OP(1019)로 리디렉트할 수 있을 것이다. AAA/RP(1022)로부터 로컬 OP(1019)로의 이 리디렉트 메시지는 연관 핸들을 포함할 수 있을 것이지만, 연관 키(1024)는 포함하지 않을 수 있을 것이다.
1009에서, UE(1018) 및/또는 BA/CM(1020)는 로컬 OP(1019)와 로컬로 인증하고 및/또는 서명된 어서션을 발생시킬 수 있을 것이다. UE(1018)는 연관 핸들로부터 로컬 어서션 키(1024)를 유도하고 어서션에 서명하기 위해 어서션 키(1024)를 이용할 수 있을 것이다. 로컬 OP(1019)로의 리디렉트 요청은, 로컬 OP(1019)가 OP 서버(1023)와 AAA/RP 서버(1022) 사이에서 공유되어 있듯이 동일한 서명 키(1024)를 유도하기 위해 이용할 수 있을 것인, 연관 핸들을 포함할 수 있을 것이다. 인증의 성공적 완료시, 로컬 OP(1019)는 서명된 어서션 메시지를 생성할 수 있을 것이다. 로컬 OP(1019)는 1007에서 발생되는 AAA/RP 서버(1022)와 동일한 EAP 키(1025)를 유도할 수도 있을 것이다. 단계 1009에 대한 변화예에서는, 오픈 ID 프로토콜 실행을 완료하기 위해, 1009(b)에서 로컬 OP(1019)가 검증을 위해 서명된 어서션 메시지와 함께 BA/CM(1020)를 AAA/RP 서버(1022)로 리디렉트할 수 있을 것이다. 로컬 OP(1019) 및 네트워크 OP 서버(1023)는 서명 키(1025)를 유도하기 위해 이용될 수 있을 것인 롱텀 시크릿(1024)을 공유할 수 있을 것이다.
AAA/RP 서버(1022)는 발생되는 EAP 키(1025)에 근거하여 EAP 도전을 발생시킬 수 있을 것이다. EAP 도전은 EAP-SIM/AKA 도전일 수 있을 것이며 HLR/HSS와 통신할 필요 없이 UE(1018)로 발송될 수 있을 것이다. 예를 들어, AP(1021)는 1010에서 AAA/RP(1022)로부터 접근 도전을 수신하고 1011에서 EAP 요청을 UE(1018) 상의 BA/CM(1020)으로 발송할 수 있을 것이다. 접근 도전 및 EAP 요청은 EAP ID 및/또는 EAP 도전을 포함할 수 있을 것이다. EAP 요청/도전 메시지를 수신한 후, UE(1018)는 메시지를 인정 검증하거나 및/또는 EAP 키(1025)를 이용하여 응답을 발생시킬 수 있을 것이다. 예를 들어, UE(1018)는, EAP 응답을 발생시키기 위해 EAP 키(1025)를 이용할 수 있을 것인, UE(1018) 상의 보안 환경(예를 들어, 신뢰할 수 있는 처리 모듈, UICC, SIM, 스마트카드, 등)으로 도전을 발송할 수 있을 것이다.
UE(1018)는 1012에서 EAP 응답을 AP(1021)로 제출할 수 있을 것이다. EAP 응답은 공유 키(1025)로부터 발생되는 EAP ID 및/또는 EAP 키(1025)를 포함할 수 있을 것이다. 1013에서, AP(1021)는 EAP 응답/도전 메시지를 AAA/RP 서버(1022)로 전달할 수 있을 것이다. AAA/RP 서버는 메시지를 인정 검증하고 유도된 EAP 키(1025)에 근거하여 수신된 응답을 기대된 응답과 비교할 수 있을 것이다. AAA/RP 서버(1022)에서 수행되는 인증 체크가 성공적이면, AAA/RP 서버(1022)는 1014에서 성공적 인증의 표시를 AP(1021)로 발송할 수 있을 것이다. 예를 들어, AAA/RP 서버(1022)는 1021에서 EAP 성공 및 키잉 자료를 포함하는 접근 수락 메시지를 AP(1021)로 발송할 수 있을 것이다. 성공적 인증의 표시는 1015에서 UE(1018)로 전달될 수 있을 것이다. 성공적 인증이 수행된 후, UE(1018)의 지위는 AP(1021) 상에서 통신을 위해 인가된 것으로 될 수 있을 것이다. UE(1018)는 1016에서 IP 주소를 획득할 수 있을 것이며(예를 들어, 이용하여 DHCP), 1017에서 AP(1021)를 이용하여 WLAN 상에서 인터넷에 접근할 수 있을 것이다.
도 10에 예시되는 프로토콜 흐름 또는 그것의 부분들을 이용하면, 핫스팟 AAA 서버(1022)는 EAP 프로토콜을 이용하여 인증을 수행하기 위해 MNO HLR/HSS에 접속하지 않을 수 있을 것이다. 추가적으로, 로컬 OP(1019)의 이용은 UE(1018)가 EAP 프로세스를 위한 로컬 키 발생뿐만 아니라, 사용자의 로컬 인증도 수행할 수 있게 한다.
도 11은 RP로서 작용하는 AAA 서버(1121)와의 EAP-OpenID 통합을 예시하는 다른 한 흐름도이다. AAA/RP(1121)는 UE(1018)로부터의 서비스를 위한 요청에 앞서 OP 서버와의 사전 페치 연관(pre-fetch associations)을 개시할 수 있을 것이다. 도 11에 예시되는 바와 같이, UE(1117) 및/또는 그것의 사용자는 UE(1117), AP(1120), AAA/RP 서버(1121) 및/또는 OP 서버(1122) 사이의 통신을 이용하여 서비스에 대한 접근을 위해 인증될 수 있을 것이다. 도 11에 예시되는 예시적 실시예에 따르면, UE(1117)는 로컬 인증 및 UE(1117) 상의 오픈 ID 서명 키(1123)로부터의 EAP 키(1124)를 위한 키 발생을 수행하기 위해 로컬 OP(1118)를 이용할 수 있을 것이다. 추가적으로, 도 11에서 예시되는 실시예들은, UE(1117)가 AAA/RP 서버(1121)를 향해 인증하기 전에 AAA/RP 서버(1121)와 OP 서버(1122) 사이의 연관을 설정하기 위해 오픈 ID의 식별자 선택 모드(identifier select mode)를 이용할 수 있을 것이다. 이것은 OP 서버(1122)와 AAA/RP 서버(1121) 사이의 연관을 미리 설정되게 함으로써 OP 발견의 회피가 가능해지게 할 수 있을 것이다. 이것은 예를 들어, UE(1117)와 같은 UE가 접속망으로 이동할 때, SSO 절차를 완료하기 위한 시간을 줄이는 것으로 귀결되며, 네트워크 핸드오프가 사용자에 대해 무결절로 될 수 있게 할 수 있을 것이다.
한 예시적 실시예에 따르면, AAA/RP 서버(1121)는 예를 들어, OP 서버(1122)와 같은 알려진 OP 서버들과의 다중 연관을 개시할 수 있을 것이다. AAA/RP 서버(1121)는 예를 들어, 오픈 ID의 식별자 선택 모드를 이용하여 그러한 연관을 개시할 수 있을 것이다(제공자 URL은, 로컬 OP(1118)에 의해 나중에 완성될 수 있을 것인, 완전한 식별자 URL의 대신에 이용될 수 있을 것이다). AAA/RP 서버(1121)는 OP 서버들로부터 획득되는 연관 핸들 및 연관 시크릿들을 저장할 수 있을 것이다. AAA/RP 서버(1121)에 의해 수행되는 발견 및 연관들 중 하나는 1101에서의 OP 서버(1121)와의 발견 및 연관을 포함할 수 있을 것이다. AAA/RP(1121)는 OP 서버(1122)로부터 수신되는 연관 핸들 및/또는 연관 시크릿(1123)을 저장할 수 있을 것이다.
1102에서 예를 들어, BA/CM(1119)와 같은 UE 상의 로컬 구성 요소는 AP(1120)를 그것의 ID 정보에 근거하여 발견할 수 있을 것이다. AP(1120)는 예를 들어, 접근 계층 시그널링을 통하여 식별될 수 있을 것이다. 이 시점에서, UE(1117)는 AP(1120)와 연관된 네트워크(예를 들어, WLAN) 상에서 비인가된 클라이언트일 수 있을 것이다. BA/CM(1119)은 UE(1117)가 AP(1120)에 접속해야 한다고 결정할 수 있을 것이다. 1103에서, AP(1120)는 UE(1117)의 IP 계층 ID를 요청할 수 있을 것이다. 1104에서, UE(1117)는 자신의 IP 계층 ID 및/또는 추가적 인증 정보를 AP(1120)에게 제출할 수 있을 것이다. 1105에서, AP(1120)는 UE(1117)의 IP 계층 식별자를 AAA/RP 서버(1121)로 발송할 수 있을 것이다.
UE(1117) 상의 BA/CM(1119)은 1106에서 오픈 ID 제공자 URL, 전자메일 주소, 또는 다른 로그인 식별자(예를 들어, 식별자 선택 모드로)와 함께 요청을 AAA/RP(1121)로 발송할 수 있을 것이다. AAA/RP 서버(1121)는 미리 설정되는 연관 핸들 및 연관 키들 중 하나를 선택할 수 있을 것이다. 예를 들어, AAA/RP 서버(1121)는, UE(1117)로부터 수신되는 로그인 식별자에 근거하여 OP 서버(1122)와 미리 설정되었던, 연관 핸들 및 연관 키(1123)를 선택할 수 있을 것이다. AAA/RP 서버(1121)는 이 연관 키(1123)로부터 EAP 키(1124) 및/또는 EAP 도전을 유도할 수 있을 것이다. EAP 키(1124)는 예를 들어, 키 유도 기능 또는 역 부트스트래핑 절차를 이용하여 연관 키(1123)로부터 유도될 수 있을 것이다. AAA/RP(1121)는 1107에서 인증을 위해 UE(1117)를 로컬 OP(1118)로 리디렉트할 수 있을 것이다. 로컬 OP(1118)가 배치되므로, 인증은 로컬 OP(1118)로 리디렉트될 수 있을 것이다. 로컬 OP(1118)로의 이 리디렉트는 연관 핸들을 포함할 수 있을 것이지만, 연관 시크릿(1123)은 포함하지 않을 수 있을 것이다.
UE(1117) 및/또는 BA/CM(1119)는 1108에서 로컬 OP(1118)와 로컬로 인증할 수 있을 것이다. 로컬 OP(1118)로의 리디렉트 요청은, 로컬 OP(1118)가 OP 서버(1122)와 AAA/RP 서버(1121) 사이에서 공유되어 있듯이 서명 키(1123)를 유도하기 위해 이용할 수 있을 것인, 연관 핸들을 포함할 수 있을 것이다. 로컬 OP(1118) 및 네트워크 OP 서버(1122)는 서명 키(1123)를 유도하기 위해 이용될 수 있을 것인 롱텀 시크릿을 공유할 수 있을 것이다. 인증의 성공적 완료시, 로컬 OP(1118)는 AAA/RP 서버(1121)에서 유도되기도 하는 서명 키(1123)로부터 EAP 키(1124)를 유도할 수 있을 것이다. EAP 키는 예를 들어, 키 유도 기능을 이용하여 유도될 수 있을 것이다. 로컬 OP(1118)는 AAA/RP 서버(1121)로 발송하기 위한 서명된 어서션 메시지를 발생시키기 위해 EAP 키(1124)를 이용할 수 있을 것이다.
AAA/RP(1121)는 발생되는 EAP 키(1124)에 근거하여 EAP 도전을 발생시킬 수 있을 것이며, HLR/HSS와 통신할 필요 없이 EAP 도전을 UE(1117)로 발송할 수 있을 것이다. 예를 들어, 접근 도전은 1109에서 AAA/RP(1121)로부터 AP(1120)로 발송될 수 있을 것이다. 접근 도전은 EAP ID 및/또는 도전을 포함할 수 있을 것이다. AP(1120)는 1110에서 AAA/RP 서버(1121)로부터 수신되는 EAP 메시지(EAP 요청/도전)를 BA/CM(1119)로 발송할 수 있을 것이다.
EAP 요청/도전 메시지를 수신한 후, UE(1118)는 메시지를 인정 검증하거나 및/또는 EAP 키(1124)를 이용하여 응답을 발생시킬 수 있을 것이다. UE(1118)는, EAP 응답을 발생시키기 위해 EAP 키(1124)를 이용할 수 있을 것인, 신뢰할 수 있는 환경(예를 들어, 신뢰할 수 있는 처리 모듈, UICC, SIM, 스마트카드, 등)으로 EAP 도전을 발송할 수 있을 것이다. UE(1117)는 1111에서 AP(1120)에게 응답 메시지를 제출할 수 있을 것이다. 응답 메시지는 EAP ID 및/또는 EAP 응답을 포함할 수 있을 것이다. 1112에서, AP(1120)는 EAP 응답/도전 메시지를 AAA/RP 서버(1121)로 전달한다. AAA/RP는 EAP 키(1124)를 이용하여 인증을 수행할 수 있을 것이다. AAA/RP 서버(1121)에서 수행되는 인증 체크가 성공적이면, AAA/RP 서버(1121)는 1113에서 성공적 인증의 표시를 발송할 수 있을 것이다. 예를 들어, AAA/RP 서버(1121)는 성공적 인증을 나타내는 메시지를 AP(1120)로 발송할 수 있을 것이다. 예를 들어, 성공적 인증의 표시는 EAP 성공 및 키잉 자료를 포함할 수 있을 것이다. 성공적 인증의 표시는 1114에서 UE(1117)로 전달될 수 있을 것이다. 성공적 인증이 수행된 후, UE(1117) 지위는 AP(1120) 상에서 인가된 것으로 될 수 있을 것이다. UE(1117)는 1115에서 AP(1120) 상의 통신을 위한 IP 주소를 획득할 수 있을 것이며(예를 들어, DHCP를 이용하여), 1116에서 AP(1120)를 이용하여 인터넷에 접근할 수 있을 것이다.
도 12는 OP 서버로서의 AAA 서버(1218)를 구현하는 인증 프로토콜을 예시하는 흐름도이다. 도 12에 예시되는 흐름도는 UE(1216), AP(1217), 및 AAA/OP 서버(1218)를 이용하여 구현될 수 있을 것이다. AP(1217)는 예를 들어, WLAN 네트워크 상에서 통신할 수 있는 핫스팟 또는 다른 노드일 수 있을 것이다. OP 서버 기능을 핫스팟 AAA 서비스 속에 통합하는 것은 예를 들어, 3GPP와 WLAN 네트워크 사이와 같은 네트워크들 사이에서 무결절 인증 및/또는 서비스 커뮤니티를 지원 가능하게 할 수 있을 것이다. AAA/OP 서버(1218)는 WLAN 네트워크 상의 서비스에 접근하기 위한 인증을 수행하기 위해 UE(1216) 및/또는 AAA/OP 서버(1218) 상의 이전에 발생된 키(1219)를 이용할 수 있을 것이다. 한 예시적 실시예에 따르면, 이전에 발생된 키(1219)는 응용 계층 크리덴셜일 수 있을 것이다. 도 12는 3GPP 네트워크와 WLAN 네트워크 사이의 무결절 인증 및/또는 서비스 커뮤니티를 위한 네트워크 통신을 기술하지만, 다른 유형의 무선 네트워크들 사이의 무결절 인증 및 서비스 커뮤니티를 위해 유사한 통신이 이용될 수 있을 것임을 알 것이다.
여기에서 기술되는 바와 같이, 사용자는 AAA 서버(1218) 속에 통합되는 OP 모듈에 의해 공용 핫스팟(예를 들어, AP(1217))에서 무결절로 인증될 수 있을 것이다. 한 실시예에 따르면, 인증(예를 들어, EAP-SIM/AKA 인증)을 완료하기 위해 UE(1216) 및/또는 AAA/OP 서버(1218) 상에 유도된 키(1219)를 레버리지로 활용하도록 AAA/OP 서버(1218)를 이용하여 인증이 수행될 수 있을 것이다. 활성적 3GPP 접속은 WLAN 네트워크에서의 인증을 위한 인증 메시지(예를 들어, 오픈 ID 인증 메시지)들을 교환하기 위해 이용될 수 있을 것이다.
도 12에 예시되는 바와 같이, UE(1216)는 1201에서 3GPP 접속망 상의 AAA/OP 서버(1218)를 향한 인증을 성공적으로 완료할 수 있을 것이다. 3GPP 접속망 상의 인증 프로토콜 중에 UE(1216) 및/또는 AAA/OP 서버(1218) 상에 공유 키(1219)가 설정될 수 있을 것이다. 1202에서, UE 상의 로컬 구성 요소(예를 들어, CM)는 AP(1217)를 그것의 ID 정보에 근거하여 발견할 수 있을 것이다. 예를 들어, AP(1217)의 ID 정보는 "MNO-WiFi" SSID일 수 있을 것이다. AP(1217)는 예를 들어, 비콘 채널과 같은 접근 계층 시그널링에 의해 발견될 수 있을 것이다. UE(1216) 상의 로컬 구성 요소(예를 들어, CM)는 UE(1216)가 핫스팟에 접속해야 한다고 결정할 수 있을 것이다.
1203에서, AP(1217)(예를 들어, 인증자)는 UE(1216)의 IP 계층 ID를 요청하는 EAP 요청을 할 수 있을 것이다. 1204에서, UE(1216)는 자신의 IP 계층 ID 및/또는 추가적 인증 정보를 AP(1217)에게 제출할 수 있을 것이다. 예를 들어, UE(1216)는 자신의 IMSI(국제 이동 가입자 ID)를 제출할 수 있을 것이다. 추가적 인증 정보는 영역을 포함할 수 있을 것이다. 영역은 SSO 인증을 이용하기 위한 힌트(예를 들어, [email protected])를 포함한다. 한 예시적 실시예에 따르면, UE(1216)는, EAP-AKA 절차 또는 EAP-SIM 절차를 제각기 이용하기 위해 서버에 힌트를 주기 위해 IMSI에 대해 비트(예를 들어, '0' 또는 '1')를 미리 보류해 두는 것 등과 같은 UE(1216) 인증 능력의 발견을 보조하기 위해 추가적 정보를 제공할 수 있을 것이다.
1205에서, AP(1217)는 EAP ID(예를 들어, 접근 계층 ID)를 AAA/RP 서버(1218)에 발송할 수 있을 것이다. AAA 서버(1218)의 OP 기능은 1206에서 UE(1216)와 공유된 이전에 발생되는 키(1219)에 근거하여 도전을 발생시킬 수 있을 것이다. 예를 들어, AAA/OP 서버(1218)는 접근 계층에서 인증을 이용하기 위해 세션 키를 유도할 수 있을 것이다. 세션 키는 예를 들어, 키 유도 기능 또는 포괄적 부트스트랩 절차를 이용하여 유도될 수 있을 것이다. AAA/OP 서버(1218)는 EAP-SIM/AKA 도전 메시지로 UE(1216)에게 도전을 발송하기 위해 재인증 절차를 이용할 수 있을 것이다. 예를 들어, AP(1217)는 1207에서 공유 키(1219)로부터 발생되는 세션 키 및/또는 AAA/OP 서버(1218)로부터의 EAP ID를 포함하는 EAP 메시지를 수신할 수 있을 것이다. 그 후, AP(1217)는 1208에서 AAA/OP 서버로부터 수신된 EAP 메시지(EAP 요청/도전)를 UE(1216)에게 전달할 수 있을 것이다.
EAP 요청/도전 메시지를 수신한 후, UE(1216)는 세션 키를 이용하여 인증을 수행할 수 있을 것이다. UE(1216)는 1209에서 EAP 응답을 발생시키기 위해 AAA/OP 서버(1218)와의 공유 키(1219)를 이용할 수 있을 것인 거기에 상주하는 보안 환경(예를 들어, 신뢰할 수 있는 처리 모듈, UICC, SIM, 스마트카드, 등)에 대해 도전을 발송할 수 있을 것이다. 예를 들어, EAP 응답 메시지는 공유 키(1219)로부터 발생되는 응답을 포함할 수 있을 것이다.
UE(1216)는 1210에서 재인증 절차에 근거하여 AP(1217)에 대한 응답으로 AP(1217)에게 EAP 메시지를 제출할 수 있을 것이다. EAP 메시지는 EAP ID 및/또는 공유 키(1219)를 이용하여 발생되는 응답을 포함할 수 있을 것이다. 1211에서, AP(1217)는 EAP 응답/도전 메시지를 AAA/OP 서버(1218)로 전달할 수 있을 것이다. AAA/OP 서버는 메시지를 인정 검증하거나 및/또는 EAP 응답/도전 메시지로 수신되는 응답을 기대된 응답과 비교할 수 있을 것이다. AAA/RP 서버(1218)에서 수행되는 인증 체크가 성공적이면, AAA/OP 서버(1218)는 1217에서 성공적 인증의 표시를 AP(1216)로 발송할 수 있을 것이다. 예를 들어, AAA/OP 서버(1218)는 1212에서 EAP 성공 및 키잉 자료를 포함하는 접근 수락 메시지를 AP(1217)로 발송할 수 있을 것이다. EAP 성공 메시지는 1213에서 UE(1216)에 전달될 수 있을 것이다. 성공적 인증시, UE(1216) 지위는 AP(1217) 상에서 인가된 것으로 될 수 있을 것이다. UE(1216)는 1214에서 AP(1217)로부터 IP 주소(예를 들어, DHCP를 이용하여)를 획득할 수 있을 것이며, 1215에서 WLAN 네트워크 상의 인터넷에 접근할 수 있을 것이다.
여기에서 기술되는 바와 같이, UE(1216)와 AAA/OP 서버(1218) 사이에 공유된 크리덴셜(1219)이 발생될 수 있을 것이다. 공유된 크리덴셜은 예를 들어, 다른 한 네트워크에서 인증 중 또는 후에 설정될 수 있을 것이다. UE(1216)는, RP로 발송된 후 공유된 크리덴셜(1219)을 이용하여 RP에 의해 검증되는 어서션에 서명하기 위해 공유된 크리덴셜(1219)을 이용할 수 있을 것인, AAA/OP 서버(1218)를 향해 인증할 수 있을 것이다. UE(1216)와 AAA/OP(1218) 사이의 인증은 성공적 인증시 공유된 크리덴셜(1219)을 발생시킬 수 있을 것이다(예를 들어, 오픈 ID-AKA를 이용하여). AAA/OP(1218)와 UE(1216) 사이에서 공유된 크리덴셜(1219) 발생시, 다른 한 엔터티는 EAP 크리덴셜을 UE(1216)에게(예를 들어, CM에서) 인도할 수 있을 것이다.
여기에서 기술되는 실시예들은 핫스팟 AAA 서버 상의 복잡한 맵/다이어미터(MAP/Diameter) 인터페이스의 구현을 제거하거나 또는 AV 페칭(fetching)을 위해 MNO HLR/HSS와 접속 및 통신할 수 있을 것이다. 추가적으로, 3GPP와 WLAN 핫스팟 사이의 무결절 인증 및 서비스 커뮤니티가 가능해질 수 있을 것이다. 도 12에 예시되는 바와 같이, 핫스팟 AAA 서버(1218)에서 OP 모듈이 구현될 수 있을 것이다. OP를 핫스팟 AAA 서버 속에 통합하는 것에 대안 대안적으로, 또는 부가적으로, OP 기능이 MNO AAA 서버 속으로 구현될 수 있을 것이고, 핫스팟 AAA 서버는 MNO AAA 서버로 요청을 중계하는 AAA 프록시로서 작용할 수 있을 것이다.
도 13은 EAP 프로토콜 메시지 속으로의 오픈 ID 메시지의 통합을 위한 프로토콜 흐름의 예시적 실시예를 예시한다. 예를 들어, 도 11 및 도 12에 예시되는 네트워크 통신 중 일부를 가능하게 하기 위해 프로토콜 흐름, 또는 그와 유사한 것이 구현될 수 있을 것이다.
도 13에 예시되는 바와 같이, UE(1316), AP/RP(1317), 및/또는 OP 서버(1318)는 네트워크에서의 UE(1316)의 인증을 가능하게 하기 위한 통신을 수행할 수 있을 것이다. UE(1316)는 1301에서 AP/RP(1317)와 연관된 접속망을 발견할 수 있을 것이다. 이 시점에서, UE(1316)는 네트워크 상의 통신을 위해 비인가될 수 있을 것이다. 1302에서, AP/RP(1317)는 EAP ID(예를 들어, 접근 계층 ID)를 위한 요청을 발송할 수 있을 것이다. 1303에서, UE(1316)는 AP(1317)에게 EAP 응답으로 오픈 ID 식별자를 발송할 수 있을 것이다. 오픈 ID 식별자를 이용하여, AP(1317)는 1304에서 OP 서버(1318)와 오픈 ID 프로토콜의 발견 단계 및/또는 연관 단계를 수행할 수 있을 것이다. 발견 및/또는 연관을 수행하기 위해, AP(1317)는 EAP 프로토콜로부터의 오픈 ID 메시지(예를 들어, 오픈 ID 식별자)를 풀고 HTTP(S)를 통하여 OP 서버(1318)와 통신할 수 있을 것이다. 오픈 ID 프로토콜에서의 연관의 설정은 임의적일 수 있을 것이다.
연관 후, OP 서버(1318)는 1305에서 도전을 발생시킬 수 있을 것이고, 1306에서 AP(1317)는 OP 서버(1318)로부터 오픈 ID 도전을 수신할 수 있을 것이다. 1307에서, AP(1317)는 EAP 요청(오픈 ID 프로토콜에서의 오픈 ID 리디렉트에 대응하는)을 UE(1316)로 발송할 수 있을 것이다. 로컬 OP의 도움으로, 1308에서 UE(1316)는 정확한 응답을 발생시키고, 1309에서 서명된 오픈 ID 어서션과 함께 EAP 응답을 AP(1317)로 발송할 수 있을 것이다. AP(1317)가 OP 서버(1318)와 연관을 설정했으면, AP(1317)는 어서션 서명을 자체적으로 검증해서 UE(1316)를 인증 및 인가할 수 있을 것이다. 이전에 아무런 연관도 설정되지 않았으면, AP(1317)는 예를 들어, 1310에서와 같은 OP 서버(1318)에 의한 서명 검증을 요청하기 위해 상태 없는 모드(stateless mode)를 이용할 수 있을 것이다. OP 서버(1318)에서 인증이 성공적이면, OP 서버(1318)는 1311에서 AP/RP(1317)로 ID 및 인증 어서션과 함께 오픈 ID 메시지를 발송할 수 있을 것이다. AP/RP(1317)는 1312에서 UE(1316)에게 성공적 인증을 나타낼 수 있을 것이며, 1313에서 UE는 AP/RP(1317)를 통하여 서비스를 위해 인가될 수 있을 것이다. 1314에서, UE(1316)는 AP/RP(1317)로부터 IP 주소를 획득할 수 있을 것이며(예를 들어, DHCP 요청을 통하여), 1315에서 WLAN 네트워크 상에서 인터넷 접근이 가능해질 수 있을 것이다.
AP(1317) 및 OP 서버(1318)가 이미 연관을 설정했을지라도, 상태 없는 모드는 로컬 OP에 의해 '강요될' 수 있을 것이다. 로컬 OP는 어서션 메시지에서 필드 'invalidate_handle'(핸들 무효화)를 설정하고, 새로운 연관 핸들을 생성할 수 있다. 그 후, AP(1317)는 서명 검증을 위해 OP 서버(1318)로 되돌아갈 수 있을 것이다. 오픈 ID의 이 거동은, 로컬 OP가 가동 중이고 어서션을 할지라도, AP(1317)로부터 OP 서버(1318)로 피드백 메커니즘을 트리거 하기 위해 이용될 수 있을 것이다. 연관이 이용되고 무효화 되지 않으면, OP 서버(1318)로 아무런 피드백도 없을 수 있을 것이다. 여기에서 기술되는 실시예들은 예를 들어, 어떤 지불 시나리오 및/또는 프라이버시가 가능하게 할 수 있을 것이다.
한 예시적 실시예에 따르면, 서비스를 위한 사용자의 인증은 EAP 프로토콜에서의 AV 페칭을 위해 MNO의 AP와 AAA 서버 사이의 접속을 설정함으로써 수행될 수 있을 것이다. 오픈 ID를 구현함으로써, AP와 MNO 네트워크 사이에서 추가적 추상화 계층이 생성될 수 있을 것이다. OP는 네트워크 인증 인프라에 대해 프록시로서 작용하고, 접속되는 AP에 대해 네트워크 AV로의 직접 접근을 제공함이 없이 네트워크 크리덴셜에 근거하여 UE를 인증할 수 있을 것이다. OP가 인증점(authentication point)으로서 작용하므로, 오픈 ID 어서션을 검증하기 위한 AP에서의 로직이 감소될 수 있을 것이다. 오픈 ID를 이용하면, AP에서 AV를 취급할 필요가 없을 수 있을 것이다. 추가적으로, AP는 MNO 인프라에 대해 직접 접속할 필요가 없으므로, OP는 상이한 AP 운용자의 다중 AP들에게 서비스를 제공할 수 있을 것이다. OP는 거래 인증자로서 작용할 수도 있을 것이다(이것은 예를 들어, 로컬 OP를 포함할 수 있을 것이다). 이것은 AP 운용자를 위해 MNO 말기를 통하여 청구 및/또는 수당/보너스 지불을 허용할 수 있을 것이다. 그러므로, 다중 MNO들이 동일한 OP를 이용할 수 있을 것이다. 다중 AP 제공자들이 동일한 OP를 이용할 수도 있을 것이다. 이것은 예를 들어, '스타(star)' 아키텍처로 귀결될 수 있을 것이다.
여기에서의 실시예들은 포괄적 부트스트래핑 절차와 같은 키 유도 기능을 이용할 수 있을 것이다. 예를 들어, GBA(Generic Bootstrapping Architecture(포괄적 부트스트래핑 아키텍처))가 구현될 수 있을 것이다. GBA의 한 예시적 실시예는 3GPP TS(Technical Specification(기술 명세서)) 33.220에 기술될 수 있을 것이다. 그러나, GBA는 UICC 기반 크리덴셜들에 제한될 수 있을 것이다. 여기에서 기술되는 실시예들은 UICC 기반 및/또는 UICC에 기반하지 않은 크리덴셜을 이용하여 구현될 수 있을 것이다. GBA는 부트스트래핑 및 인증을 수행하기 위해 UE-BSF와 UE-NAF 사이의 IP 접속성에 제한될 수도 있을 것이다. 이것은 GBA가 예를 들어, 모바일 IP와 같은 무결절 이동성 프로토콜을 중단시키게 할 수 있을 것이다. 모바일 IP는 WLAN 인터페이스와 같은 새로운 인터페이스로의 전환 및 유발을 수행하고, HA(home agent(홈 에이전트))와의 등록을 수행하기 위해 IP 계층에서의 및/또는 그 하위에서의 인증을 이용할 수 있을 것이다. IP 계층에서의 모바일 IP 등록과 응용 계층에서의 GBA 부트스트래핑 사이의 경합 조건은 이동성을 중단시킬 수 있을 것이고 MIP 등록을 실패할 수 있을 것이며, 결과로서, WLAN 네트워크로의 전환이 실패할 수 있을 것이다.
3GPP 네트워크와 WLAN 네트워크 사이의 이동성 문제를 해결하기 위해 예를 들어, GBA에 근거한 듀얼 모드 디바이스들과 같은, EAP-GBA 통합 옵션이 이용될 수 있을 것이다. GBA 인증은 기존의 3GPP 인터페이스 상에서 수행될 수 있을 것이다. GBA 인증의 결과(예를 들어, 디바이스에 저장되는 Ks_NAF)가 핫스팟에서의 EAP 인증을 완료하기 위해 이용될 수 있을 것이다. 이동성 문제는, 3GPP 인터페이스를 통하여 GBA 인증을 위한 IP 접속성을 제공하고 예를 들어, GBA-EAP 통합을 이용함으로써 GBA에 의해 해결될 수 있을 것이다.
도 14는 오픈 ID 접속을 이용하는 서비스를 위한 UE(1421) 인증을 예시하는 흐름도이다. 도 14에 예시되는 바와 같이, UE(1421)는 활성적 무선 접속(예를 들어, 3GPP 접속)을 가질 수 있을 것이며 이 접속 상에서 AAA/RP 서버(1425) 및/또는 OP 서버(1426)에 도달할 수 있을 것이다. 1401에서, UE(1421)는, 접근 토큰을 생성할 수 있을 것인 AAA/RP 서버(1425)에 대한 오픈 ID 접속 로그인을 수행할 수 있을 것이다. 1402에서, 접근 토큰은 BA(1422)에 의해 저장(또는 OS에 의해 저장)될 수 있을 것이다. 예를 들어, CM(1423)인 UE 상의 로컬 구성 요소는 비콘 채널과 같은 접근 계층 시그널링을 통하여 AP(1424), 및 "MNO-WiFi" SSID와 같은 그것의 ID 정보를 발견할 수 있을 것이다. CM(1423)은 UE(1421)가 AP(1424)에 접속해야 한다고 결정할 수 있을 것이다. 1403에서, CM은 AP(1424)에 연결할 수 있을 것이다. 1404에서, AP(1424)(예를 들어, 인증자)는 UE(1421) 상태를 비인증된 또는 비인가된 것으로 설정할 수 있을 것이다.
1405에서, AP(1424)는 UE(1421) EAP/IP 계층 ID를 요청하는 EAP 요청을 할 수 있을 것이다. 1406에서 UE(1421)는 IMSI(국제 이동 가입자 ID) 및/또는 다른 인증 정보를 제출할 수 있을 것이다. 다른 인증 정보는 예를 들어, SSO 인증을 이용하기 위한 힌트(예를 들어, [email protected])를 포함할 수 있을 것인 그것의 영역을 포함할 수 있을 것이다. 1407에서, AP(1424)는 UE(1421)로부터 수신되는 EAP ID를 AAA/RP 서버(1425)로 발송할 수 있을 것이다(예를 들어, RADIUS 접근 요청을 이용하여).
1408에서, AAA/RP 서버(1425)는 수신되는 EAP ID에 근거하여(또는 수신되는 EAP ID를 이용하여 데이터베이스를 검색함으로써) UE(1421)가 오픈 ID 접속 기반 흐름을 이용할 수 있다는 것을 검출할 수 있을 것이다. AAA/RP 서버(1425)는 1409에서 EAP 프로토콜에서 오픈 ID 접속이 이용되어야 한다는 것을 나타내면서 EAP-SIM/AKA 도전을 AP(1424)에 발송할 수 있을 것이다. AP(1424)는 1208에서 AAA/RP 서버(1425)로부터 수신된 EAP 메시지(EAP 요청/도전)를 UE(1421)에게(예를 들어, CM(1423)에서) 전달할 수 있을 것이다.
EAP 요청/도전 메시지를 수신한 후, 1411에서, UE(1421)는 메시지에서 인증 파라미터를 체크할 수 있을 것이며, BA(1422)로부터 토큰을 요청할 수 있을 것이다(예를 들어, BA는 대안적으로 OS 또는 API일 수 있을 것이다). 1412에서, 접근 토큰이 CM(1423)에게 제출될 수 있을 것이다. 1413에서, CM(1423)은 EAP 메시지에서의 접근 토큰을 AP(1424)로 발송할 수 있을 것이다. AP(1424)는 1414에서 EAP 응답/도전 메시지를 AAA/RP 서버로 전달할 수 있을 것이다. 1415에서, AAA/RP 서버(1425)는 토큰을 검증한 후 OP 서버(1426)로부터 인증을 위한 사용자 정보를 검색하기 위해 OP 서버(1426)로부터의 사용자 정보 종점에 의해 토큰을 이용할 수 있을 것이다.
OP 서버(1426)는 사용자 정보를 공개하기 전에 토큰을 인정 검증할 수 있을 것이다. 1417에서, AAA/RP 서버(1425)는 사용자 정보를 수신할 수 있을 것이다. 사용자 정보는 예를 들어, 사용자명, 주소, 청구 정보, 및/또는 청구 토큰을 포함할 수 있을 것이다. 1417에서, AAA/RP 서버(1425)는 수신되는 사용자 정보에 근거하여 인증 체크를 수행할 수 있을 것이다. 모든 체크가 성공적이면, AAA/RP 서버는 성공적 인증의 표시를 UE(1421)로 발송할 수 있을 것이다. 예를 들어, AAA/RP 서버(1425)는 1418에서 EAP 성공 및 키잉 자료를 포함하는 접근 수락 메시지를 AP(1424)로 발송할 수 있을 것이다. EAP 성공 메시지는 1419에서 UE(1421)에 전달될 수 있을 것이다. 1420에서, UE(1421) 지위는 AP(1424) 상에서 네트워크에 대한 접근을 위해 인가된 것으로 된다. UE(1421)는 IP 주소를 획득할 수 있을 것이며(예를 들어, DHCP를 이용하여), AP(1424)를 통하여 인터넷에 접근할 수 있을 것이다.
도 15는 오픈 ID 접속 및 로컬 OP를 이용하는 서비스를 위한 UE의 인증을 예시하는 흐름도이다. 도 15에 예시되는 바와 같이 예를 들어, CM(1522)인 UE(1520) 상의 로컬 구성 요소는 AP(1524), 및/또는 그것의 ID 정보를 발견할 수 있을 것이다. 예를 들어, 비콘 채널과 같은 접근 계층 시그널링을 통하여 발견될 수 있을 것인 AP(1524) 및/또는 그것의 ID 정보는 "MNO-WiFi" SSID를 포함할 수 있을 것이다. CM(1522)은 UE(1520)가 AP(1524)에 접속해야 한다고 결정할 수 있을 것이다.
1501에서, UE는 AP(1524)에 연결할 수 있을 것이다. 1502에서, AP(1524)(예를 들어, 인증자)는 UE(1520) 상태를 비인증된 또는 통신을 위해 비인가된 것으로 설정할 수 있을 것이다. AP(1524)는 1503에서 UE IP 계층/EAP ID를 요청하는 EAP 요청을 할 수 있을 것이다. 1504에서, UE(1520)는 자신의 IP 계층/EAP 식별자를 제출할 수 있을 것이다. 예를 들어, UE(1520)는 IMSI(국제 이동 가입자 ID) 및/또는 추가적 인증 정보를 제출할 수 있을 것이다. 추가적 인증 정보는 예를 들어, SSO 인증을 이용하기 위한 힌트(예를 들어, [email protected])를 포함할 수 있을 것인 그것의 영역을 포함할 수 있을 것이다.
1505에서, AP(1524)는 EAP ID를 AAA/RP 서버(1525)에 발송할 수 있을 것이다. AP(1524)와 AAA/RP 서버(1525) 사이의 통신은 예를 들어, 접근 요청 메시지와 같은 RADIUS 메시지, 및 접근 도전 및/또는 접근 수락 메시지를 이용하여 수행될 수 있을 것이다. 1506에서, AAA/RP 서버는 수신되는 EAP ID에 근거하여(또는 예를 들어, 수신되는 EAP ID를 이용하여 데이터베이스를 검색함으로써) UE(1520)가 오픈 ID 접속 기반 흐름을 이용할 수 있다는 것을 검출할 수 있을 것이다. 1507에서, AAA/RP 서버는 EAP-SIM/AKA 도전을 AP(1524)로 발송할 수 있을 것이다. 도전은 EAP 프로토콜에서 오픈 ID 접속이 이용되어야 한다는 것을 나타낼 수 있을 것이다. 표시는 AP(1524) 및/또는 EAP 프로토콜에게 투과적일 수 있을 것이다. 표시의 대신에, AAA/RP 서버(1525)는 오픈 ID 접속 요청 대상(예를 들어, JSON)을 생성할 수 있을 것이며, 그것에 대한 표지(URL)를 요청에 포함시킬 수 있을 것이다.
AP(1524)는 1508에서 AAA/RP 서버(1525)로부터 수신된 EAP 메시지(EAP 요청/도전)를 UE(1520)에게(예를 들어, CM(1522)에서) 전달할 수 있을 것이다. EAP 요청/도전 메시지를 수신한 후, 1509에서 UE(1520)는 인증 파라미터를 체크하고 로컬 OP(1521)와의 오픈 ID 접속 세션을 개시하기 위해 오픈 ID 접속 요청을 이용할 수 있을 것이다. 1510에서, 로컬 OP(1521)는 접근 토큰을 생성할 수 있을 것이다(예를 들어, 성공적 로컬 사용자 인증 후). 1511에서, 접근 토큰이 CM(1522)에게 제출될 수 있을 것이다. 1512에서, CM(1522)은 EAP 메시지에서의 접근 토큰을 AP(1524)로 발송할 수 있을 것이다. AP(1524)는 EAP 응답/도전 메시지를 AAA/RP 서버(1525)로 전달할 수 있을 것이다. 1514에서, AAA/RP 서버(1525)는 토큰을 검증한 후 인증을 위한 사용자 정보를 검색하기 위해 OP 서버(1526)로부터의 사용자 정보 종점에 의해 토큰을 이용할 수 있을 것이다.
1515에서, OP 서버(1526)는 인증을 위한 사용자 정보를 공개할 수 있기 전에 토큰을 인정 검증할 수 있을 것이다. 1516에서, AAA/RP 서버(1525)는 사용자 정보를 수신할 수 있을 것이다. 사용자 정보는 예를 들어, 사용자명, 주소, 청구 정보, 및/또는 청구 토큰을 포함할 수 있을 것이다. AAA/RP 서버(1525)는 사용자에 대한 인증을 수행하기 위해 1516에서 수신되는 사용자 정보를 이용할 수 있을 것이며, 체크가 성공적이면, 1517에서, AAA/RP 서버(1525)는 성공적 인증의 표시를 UE(1520)로 발송할 수 있을 것이다. 예를 들어, AAA/RP 서버(1525)는 EAP 성공 메시지 및/또는 키잉 자료를 포함할 수 있을 것인 접근 수락 메시지를 AP(1524)로 발송할 수 있을 것이다. 1518에서, EAP 성공 메시지는 UE(1520)에게 {예를 들어, CM(1522)에게) 전달될 수 있을 것이다. 1519에서, UE(1520) 지위는 AP(1524) 상에 인가된 것으로 될 수 있을 것이다. UE(1520)는 IP 주소를 획득할 수 있을 것이며(예를 들어, DHCP를 이용하여), AP(1524)를 통하여 인터넷에 접근할 수 있을 것이다.
특징 및 요소들이 위에서 특정한 조합들로 기술되지만, 이 기술 분야에서 통상적인 기술을 가진 자는, 각각의 특징 또는 요소들이 독자적으로 또는 다른 특징 및 요소들과의 어떤 조합으로든 이용될 수 있음을 알 것이다. 또한, 여기에서 기술되는 방법들은 컴퓨터 또는 프로세서에 의해 실행하기 위한 컴퓨터 판독 가능한 매체에 포함된 컴퓨터 프로그램, 소프트웨어, 또는 펌웨어로 구현될 수 있을 것이다. 컴퓨터 판독 가능한 매체의 예는 전자적 신호(유선 접속 또는 무선 접속 상에서 송신되는) 및 컴퓨터 판독 가능한 저장 매체를 포함한다. 컴퓨터 판독 가능한 저장 매체의 예는, 판독 전용 메모리(ROM), 임의 접근 메모리(RAM), 레지스터, 캐시 메모리, 반도체 메모리 디바이스, 내장 하드 디스크 및 이동식 디스크와 같은 자기 매체, 자기-광 매체, 및 CD-ROM 디스크 및 DVD(digital versatile disk(디지털 다목적 디스크))와 같은 광 매체를 포함하지만, 거기에 한정되는 것은 아니다. 소프트웨어와 관련한 프로세서는 WTRU, UE, 단말기, 기지국, RNC, 또는 어떤 호스트 컴퓨터에서든 이용하기 위한 무선 주파수 송수신기를 구현하기 위해 이용될 수 있을 것이다.

Claims (22)

  1. 모바일 디바이스의 인증(authentication)에서 이용하기 위한 인증 크리덴셜(authentication credential)을 발생시키는 방법에 있어서,
    모바일 디바이스와 제1 네트워크 사이의 제1 통신 계층을 통하여, 네트워크 서버와 공유되는 제1 통신 계층 크리덴셜 - 상기 제1 통신 계층 크리덴셜은 상기 제1 네트워크를 이용하여 상기 네트워크 서버로부터 서비스를 수신하기 위해 상기 제1 통신 계층 상에서 모바일 디바이스를 인증하도록 구성됨 - 을 설정하는 단계;
    상기 모바일 디바이스의 제2 통신 계층을 통하여, 제2 네트워크 상의 네트워크 통신 엔터티를 발견하는 단계로서, 상기 모바일 디바이스는 상기 제2 네트워크 상에서 인증을 수행하며 상기 제2 네트워크를 이용하여 상기 네트워크 서버로부터 서비스를 수신하기 위해 제2 통신 계층 크리덴셜을 요구하며, 상기 제2 통신 계층 크리덴셜은 상기 제1 통신 계층 크리덴셜과 상이한 것인, 상기 네트워크 통신 엔터티 발견 단계; 및
    상기 제1 통신 계층 크리덴셜에 근거하여, 상기 제2 통신 계층을 통하여 상기 제2 네트워크 상에서 인증을 수행하기 위한 제2 통신 계층 크리덴셜을 발생시키는 단계를 포함하고,
    상기 제2 네트워크에서의 인증은 상기 모바일 디바이스가 상기 제1 네트워크로부터 상기 제2 네트워크로 전환할 수 있게 하며 상기 제2 네트워크를 이용하여 상기 네트워크 서버로부터 서비스를 수신할 수 있게 하고, 상기 제1 통신 계층 크리덴셜은 상기 제1 네트워크로부터 상기 제2 네트워크로의 전환을 견뎌내는(survive) 것인, 인증 크리덴셜의 발생 방법.
  2. 제1항에 있어서, 상기 제1 통신 계층은 응용 계층(application layer)을 포함하고, 상기 제1 통신 계층 크리덴셜은 응용 계층 크리덴셜을 포함하는 것인, 인증 크리덴셜의 발생 방법.
  3. 제2항에 있어서,
    상기 응용 계층에서 상기 네트워크 통신 엔터티와 통신하기 위한 응용 계층 ID(identity)를 결정하는 단계;
    접근 계층(access layer)에서, 상기 네트워크 통신 엔터티와 통신하기 위한 상기 응용 계층 ID로부터 접근 계층 ID를 결정하는 단계; 및
    상기 네트워크 통신 엔터티에서 인증 크리덴셜의 발생을 개시하기 위해 상기 네트워크 통신 엔터티로 상기 접근 계층 ID를 보내는 단계를 더 포함하는, 인증 크리덴셜의 발생 방법.
  4. 제2항에 있어서, 상기 모바일 디바이스는 상기 응용 계층으로부터 상기 제2 통신 계층으로 상기 제2 통신 계층 크리덴셜을 전달하도록 구성되는 것인, 인증 크리덴셜의 발생 방법.
  5. 제2항에 있어서, 상기 제2 통신 계층 크리덴셜은 키 유도(key derivation) 기능을 이용하여 상기 응용 계층 크리덴셜로부터 발생되는 것인, 인증 크리덴셜의 발생 방법.
  6. 제1항에 있어서, 상기 제2 통신 계층은 접근 계층을 포함하고, 상기 제2 통신 계층 크리덴셜은 접근 계층 크리덴셜인 것인, 인증 크리덴셜의 발생 방법.
  7. 제6항에 있어서, 상기 접근 계층 크리덴셜은 세션 키를 포함하는 것인, 인증 크리덴셜의 발생 방법.
  8. 제6항에 있어서, 또 다른 접근 계층 크리덴셜을 이용하여 상기 제1 네트워크 상에서 상기 모바일 디바이스를 인증하는 단계를 더 포함하는, 인증 크리덴셜의 발생 방법.
  9. 제8항에 있어서, 상기 제1 통신 계층 크리덴셜은 상기 제1 네트워크 상에서 상기 모바일 디바이스를 인증하기 위하여 이용되는 접근 계층 크리덴셜을 이용하여 설정되는 것인, 인증 크리덴셜의 발생 방법.
  10. 제1항에 있어서, 상기 제1 네트워크는 셀룰러 통신망이고, 상기 제2 네트워크는 WLAN(wireless local area network)인 것인, 인증 크리덴셜의 발생 방법.
  11. 제1항에 있어서, 상기 방법은 통신 계층 핸드오프 중에 수행되는 것인, 인증 크리덴셜의 발생 방법.
  12. 제1항에 있어서, 상기 네트워크 통신 엔터티는 AP(access point) 또는 핫스팟을 포함하고, 상기 네트워크 서버는 AAA(authentication, authorization, and accounting) 서버, WLAN 게이트웨이, 또는 WLAN AP를 포함하는 것인, 인증 크리덴셜의 발생 방법.
  13. 제12항에 있어서, 상기 AAA 서버는 오픈 ID 제공자(OP; OpenID provider) 서버를 포함하고, 상기 WLAN 게이트웨이 및 WLAN AP는 RP(relying party)를 포함하는 것인, 인증 크리덴셜의 발생 방법.
  14. 제13항에 있어서, 상기 OP는 모바일 네트워크 운용자(MNO; mobile network operator) 또는 MNO와 연관된 응용 서비스 제공자(ASP; application service provider)를 포함하는 것인, 인증 크리덴셜의 발생 방법.
  15. 제1항에 있어서, 상기 제2 통신 계층 크리덴셜은 로컬 OP(OpenID provider)에서 발생되는 것인, 인증 크리덴셜의 발생 방법.
  16. 응용 서버로부터의 서비스에 접근하기 위해 모바일 디바이스를 인증하는데 이용하기 위한 인증 크리덴셜을 획득하는 방법에 있어서,
    응용 서버와 연관된 응용 계층을 통하여, 응용 계층 크리덴셜로부터 유도되는 인증 크리덴셜 - 상기 인증 크리덴셜은 응용 서버로부터의 서비스에 접근하기 위해 모바일 통신 디바이스를 인증하도록 구성됨 - 을 획득하는 단계;
    다른 통신 계층 상에서 모바일 디바이스를 인증하기 위해 상기 응용 계층으로부터 다른 통신 계층으로 상기 인증 크리덴셜을 발송하는 단계; 및
    상기 인증 크리덴셜을 이용하여, 상기 응용 계층 크리덴셜에 근거하여 상기 다른 통신 계층에서 모바일 디바이스를 인증하는 단계를 포함하는, 인증 크리덴셜의 획득 방법.
  17. 제16항에 있어서, 상기 다른 통신 계층은 접근 계층이고, 상기 인증 크리덴셜은 접근 계층 크리덴셜인 것인, 인증 크리덴셜의 획득 방법.
  18. 제17항에 있어서, 상기 인증 크리덴셜을 획득하는 단계는:
    네트워크 통신 엔터티에서의 접근 계층을 통하여, 상기 모바일 디바이스로부터 접근 계층 ID를 수신하는 단계;
    상기 네트워크 통신 엔터티의 응용 계층으로 상기 접근 계층 ID를 보내는 단계;
    상기 네트워크 통신 엔터티에서의 응용 계층을 통하여, 상기 접근 계층 ID에 결속되는 응용 계층 ID를 수신하는 단계;
    상기 접근 계층 ID 및 상기 응용 계층 ID가 상기 모바일 디바이스로부터 수신되었다고 결정하는 단계; 및
    상기 결정의 결과로서, 상기 응용 계층 ID를 이용하여 상기 응용 계층 크리덴셜로부터 상기 인증 크리덴셜을 유도하는 단계를 더 포함하는, 인증 크리덴셜의 획득 방법.
  19. 제16항에 있어서, 상기 인증 크리덴셜은 키 유도 기능을 이용하여 유도되는 것인, 인증 크리덴셜의 획득 방법.
  20. 제16항에 있어서, 상기 방법은 핫스팟 B 또는 AAA(authentication, authorization, and accounting) 서버에서 수행되는 것인, 인증 크리덴셜의 획득 방법.
  21. 제16항에 있어서, 상기 인증 크리덴셜을 획득하는 단계는 OP(OpenID provider)로부터 인증 크리덴셜을 수신하는 단계를 더 포함하는 것인, 인증 크리덴셜의 획득 방법.
  22. 제21항에 있어서, 상기 OP는 MNO(mobile network operator) 또는 MNO와 연관된 ASP(application service provider)를 포함하는 것인, 인증 크리덴셜의 획득 방법.
KR1020147021819A 2010-12-30 2011-12-30 통신 핸드오프 시나리오를 위한 인증 및 보안 채널 설정 KR20140109478A (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201061428663P 2010-12-30 2010-12-30
US61/428,663 2010-12-30
PCT/US2011/068206 WO2012092604A2 (en) 2010-12-30 2011-12-30 Authentication and secure channel setup for communication handoff scenarios

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
KR1020137020258A Division KR101556046B1 (ko) 2010-12-30 2011-12-30 통신 핸드오프 시나리오를 위한 인증 및 보안 채널 설정

Publications (1)

Publication Number Publication Date
KR20140109478A true KR20140109478A (ko) 2014-09-15

Family

ID=45507916

Family Applications (2)

Application Number Title Priority Date Filing Date
KR1020147021819A KR20140109478A (ko) 2010-12-30 2011-12-30 통신 핸드오프 시나리오를 위한 인증 및 보안 채널 설정
KR1020137020258A KR101556046B1 (ko) 2010-12-30 2011-12-30 통신 핸드오프 시나리오를 위한 인증 및 보안 채널 설정

Family Applications After (1)

Application Number Title Priority Date Filing Date
KR1020137020258A KR101556046B1 (ko) 2010-12-30 2011-12-30 통신 핸드오프 시나리오를 위한 인증 및 보안 채널 설정

Country Status (6)

Country Link
US (3) US9009801B2 (ko)
EP (1) EP2659649A2 (ko)
JP (3) JP5775174B2 (ko)
KR (2) KR20140109478A (ko)
CN (2) CN106131081A (ko)
WO (1) WO2012092604A2 (ko)

Families Citing this family (77)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
BR0011768A (pt) * 1999-06-18 2002-06-11 Echarge Corp Método e aparelho para encomendar mercadorias, serviços e conteúdo através de um trabalho de internet utilizando uma conta de pagamento virtual
US6711554B1 (en) * 1999-12-30 2004-03-23 Lee Salzmann Method and system for managing and preparing documentation for real estate transactions
US8881247B2 (en) * 2010-09-24 2014-11-04 Microsoft Corporation Federated mobile authentication using a network operator infrastructure
KR20130089662A (ko) * 2010-11-15 2013-08-12 인터디지탈 패튼 홀딩스, 인크 인증서 검증 및 채널 바인딩
WO2012092604A2 (en) 2010-12-30 2012-07-05 Interdigital Patent Holdings, Inc. Authentication and secure channel setup for communication handoff scenarios
US8831568B2 (en) 2011-09-27 2014-09-09 Qualcomm Incorporated Automatic configuration of a wireless device
CN103096311B (zh) * 2011-10-31 2018-11-09 中兴通讯股份有限公司 家庭基站安全接入的方法及***
US20130159195A1 (en) * 2011-12-16 2013-06-20 Rawllin International Inc. Authentication of devices
US10433161B2 (en) * 2012-01-30 2019-10-01 Telefonaktiebolaget Lm Ericsson (Publ) Call handover between cellular communication system nodes that support different security contexts
US9380038B2 (en) * 2012-03-09 2016-06-28 T-Mobile Usa, Inc. Bootstrap authentication framework
US9031050B2 (en) * 2012-04-17 2015-05-12 Qualcomm Incorporated Using a mobile device to enable another device to connect to a wireless network
US10423952B2 (en) 2013-05-06 2019-09-24 Institutional Cash Distributors Technology, Llc Encapsulated security tokens for electronic transactions
US10410213B2 (en) * 2012-05-04 2019-09-10 Institutional Cash Distributors Technology, Llc Encapsulated security tokens for electronic transactions
US11334884B2 (en) * 2012-05-04 2022-05-17 Institutional Cash Distributors Technology, Llc Encapsulated security tokens for electronic transactions
KR101453154B1 (ko) * 2012-05-30 2014-10-23 모다정보통신 주식회사 M2m 통신에서 리소스 접근 권한 설정 방법
KR101453155B1 (ko) * 2012-05-30 2014-10-23 모다정보통신 주식회사 M2m 통신에서 리소스 접근 권한 설정 방법
KR20130143263A (ko) * 2012-06-21 2013-12-31 에스케이플래닛 주식회사 트러스티드 플랫폼 기반의 개방형 아이디 인증 방법, 이를 위한 장치 및 시스템
FR2992811A1 (fr) * 2012-07-02 2014-01-03 France Telecom Mise en place d'une association de securite lors de l'attachement d'un terminal a un reseau d'acces
CN103686710B (zh) * 2012-09-26 2017-03-22 ***通信集团公司 一种gba初始化方法、装置
US9655012B2 (en) 2012-12-21 2017-05-16 Qualcomm Incorporated Deriving a WLAN security context from a WWAN security context
US8893230B2 (en) * 2013-02-22 2014-11-18 Duo Security, Inc. System and method for proxying federated authentication protocols
EP2770470A1 (en) * 2013-02-26 2014-08-27 Nxp B.V. Method for personalizing a secure element, method for enabling a service, secure element and computer program product
US9356918B2 (en) * 2013-03-13 2016-05-31 Google Inc. Identification delegation for devices
KR102044002B1 (ko) * 2013-05-09 2019-12-02 한국전자통신연구원 철도 무선 센서 네트워크에서 데이터 고속 전송을 위한 전용채널 설정 및 운용 방법
WO2014193278A1 (en) 2013-05-29 2014-12-04 Telefonaktiebolaget L M Ericsson (Publ) Gateway, client device and methods for facilitating communcation between a client device and an application server
US9118650B1 (en) * 2013-09-23 2015-08-25 Amazon Technologies, Inc. Persistent connections for email web applications
US9369342B2 (en) * 2013-11-15 2016-06-14 Microsoft Technology Licensing, Llc Configuring captive portals with a cloud service
US9554323B2 (en) 2013-11-15 2017-01-24 Microsoft Technology Licensing, Llc Generating sequenced instructions for connecting through captive portals
US10382305B2 (en) 2013-11-15 2019-08-13 Microsoft Technology Licensing, Llc Applying sequenced instructions to connect through captive portals
US9432363B2 (en) 2014-02-07 2016-08-30 Apple Inc. System and method for using credentials of a first client station to authenticate a second client station
US20150237554A1 (en) * 2014-02-19 2015-08-20 Qualcomm Incorporated Systems, methods and apparatus for seamless handoff at the application layer between disparate networks for interactive applications
JP6327881B2 (ja) * 2014-02-24 2018-05-23 キヤノン株式会社 情報処理装置、その制御方法、及びプログラム
US9332480B2 (en) * 2014-03-28 2016-05-03 Qualcomm Incorporated Decoupling service and network provider identification in wireless communications
US9641512B2 (en) * 2014-04-10 2017-05-02 EMC IP Holding Company LLC Identity protocol translation gateway
CA2945800C (en) * 2014-04-25 2022-10-25 Thomson Reuters Global Resources Systems and methods for generating location based entitlements
GB2527276B (en) * 2014-04-25 2020-08-05 Huawei Tech Co Ltd Providing network credentials
US10158995B2 (en) * 2014-06-25 2018-12-18 Mitel Networks Corporation Personal area network system and method
US9794266B2 (en) * 2014-09-05 2017-10-17 Qualcomm Incorporated Using multiple credentials for access and traffic differentiation
WO2016114842A1 (en) * 2014-10-31 2016-07-21 Convida Wireless, Llc End-to-end service layer authentication
US9525675B2 (en) * 2014-12-26 2016-12-20 Mcafee, Inc. Encryption key retrieval
EP3879885A1 (en) * 2015-02-03 2021-09-15 Telefonaktiebolaget Lm Ericsson (Publ) Supporting real-time traffic steering between a first and a second communication network
US20160270141A1 (en) * 2015-03-12 2016-09-15 Qualcomm Incorporated Wireless network connection setup using multiple radio access technologies
EP3272094B1 (en) 2015-03-16 2021-06-23 Convida Wireless, LLC End-to-end authentication at the service layer using public keying mechanisms
US20160302144A1 (en) * 2015-04-08 2016-10-13 Nokia Technologies Oy Method, apparatus, and computer program product for efficient use of frequency bands and channels in wireless environment
US10810176B2 (en) * 2015-04-28 2020-10-20 International Business Machines Corporation Unsolicited bulk email detection using URL tree hashes
EP3320708B1 (en) * 2015-07-06 2022-03-09 Telefonaktiebolaget LM Ericsson (publ) Facilitating secure communcation between a client device and an application server
US10051644B2 (en) * 2015-07-31 2018-08-14 T-Mobile Usa, Inc. Transitioning a conversation between an unlicensed data network and a cellular network
RU2699403C1 (ru) * 2015-08-11 2019-09-05 Хуавей Текнолоджиз Ко., Лтд. Способ и аппаратура для аутентификации доступа
US11063981B2 (en) * 2015-09-11 2021-07-13 Telefonaktiebolaget Lm Ericsson (Publ) Gateway, client device and methods for facilitating secure communication between a client device and an application server using redirect
US10517126B2 (en) * 2015-10-19 2019-12-24 Time Warner Cable Enterprises Llc Communication management and wireless roaming support
CN106714254B (zh) * 2015-11-17 2020-02-21 ***通信集团公司 一种音视频业务应用网络的切换方法、终端及应用服务器
US10904752B2 (en) * 2016-05-27 2021-01-26 Lg Electronics Inc. Method for allocating terminal identifier in distributed antenna communication system and device for same
SG10201605752PA (en) 2016-07-13 2018-02-27 Huawei Int Pte Ltd A unified authentication work for heterogeneous network
US10932131B2 (en) * 2016-08-03 2021-02-23 Nokia Solutions And Networks Oy Service provisioning by local operator
US20180063152A1 (en) * 2016-08-29 2018-03-01 Matt Erich Device-agnostic user authentication and token provisioning
US10158684B2 (en) * 2016-09-26 2018-12-18 Cisco Technology, Inc. Challenge-response proximity verification of user devices based on token-to-symbol mapping definitions
GB2556060B (en) * 2016-11-16 2020-02-12 Wifispark Ltd Seamless handover between wireless communications networks
CN108092748A (zh) * 2016-11-21 2018-05-29 ***通信有限公司研究院 一种进行反馈的方法和接入层设备
CN108235317B (zh) * 2016-12-21 2019-06-21 电信科学技术研究院有限公司 一种接入控制的方法及设备
CN110114987B (zh) * 2016-12-23 2020-12-01 华为技术有限公司 一种切换方法、终端及域主节点
CN108307468A (zh) * 2017-01-13 2018-07-20 联发科技(新加坡)私人有限公司 网络切换认证方法
JP6857065B2 (ja) * 2017-03-27 2021-04-14 キヤノン株式会社 認証認可サーバー、リソースサーバー、認証認可システム、認証方法及びプログラム
US10581842B2 (en) 2017-03-30 2020-03-03 At&T Intellectual Property I, L.P. Seamless authentication device
US10045216B1 (en) * 2017-05-01 2018-08-07 Sprint Communications Company L.P. WiFi access point connection protocol adaptation
US20190014095A1 (en) * 2017-07-06 2019-01-10 At&T Intellectual Property I, L.P. Facilitating provisioning of an out-of-band pseudonym over a secure communication channel
US10541990B2 (en) 2017-07-31 2020-01-21 Hewlett Packard Enterprise Development Lp Client device ticket
US11190510B2 (en) * 2017-11-15 2021-11-30 Parallel Wireless, Inc. Two-factor authentication in a cellular radio access network
US10880291B2 (en) 2018-02-09 2020-12-29 Cisco Technology, Inc. Mobile identity for single sign-on (SSO) in enterprise networks
US10542466B1 (en) 2018-05-25 2020-01-21 Sprint Communications Company L.P. Mobile phone authentication in WiFi coverage
US11082838B2 (en) * 2018-08-06 2021-08-03 Charter Communications Operating, Llc Extensible authentication protocol with mobile device identification
US10944757B2 (en) 2018-09-19 2021-03-09 Cisco Technology, Inc. Granting wireless network access based on application authentication credentials of client devices
WO2021033022A1 (en) * 2019-08-16 2021-02-25 Lenovo ( Singapore) Pte. Ltd. Security capabilities in an encryption key request
US11265690B2 (en) * 2019-09-13 2022-03-01 Sling Media L.L.C. Ecosystem-based wireless network setup
US11689919B2 (en) 2021-01-21 2023-06-27 Cisco Technology, Inc. Dynamic exchange of metadata
CN113015164B (zh) * 2021-02-24 2022-09-30 中国联合网络通信集团有限公司 应用程序认证方法及装置
US20220311626A1 (en) * 2021-03-24 2022-09-29 Cisco Technology, Inc. Cloud-based identity provider interworking for network access authentication
US11722893B2 (en) * 2021-04-27 2023-08-08 Charter Communications Operating Llc Anonymous network access in a network environment

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050198379A1 (en) * 2001-06-13 2005-09-08 Citrix Systems, Inc. Automatically reconnecting a client across reliable and persistent communication sessions
US20070208864A1 (en) * 2002-10-21 2007-09-06 Flynn Lori A Mobility access gateway
US7774828B2 (en) * 2003-03-31 2010-08-10 Alcatel-Lucent Usa Inc. Methods for common authentication and authorization across independent networks
ES2281599T3 (es) 2003-06-26 2007-10-01 Telefonaktiebolaget Lm Ericsson (Publ) Aparato y metodo para la autentificacion de identificacion unica a traves de una red de acceso no confiable.
US7167705B2 (en) * 2003-06-27 2007-01-23 Oracle International Corporation Roaming across different access mechanisms and network technologies
CN101112038B (zh) 2005-01-28 2013-04-24 艾利森电话股份有限公司 通信***中的用户认证和授权
BRPI0608531A2 (pt) * 2005-02-11 2010-01-12 Nokia Corp método e aparelho para prover os procedimentos de auto-carregamento na rede de comunicação
ATE518397T1 (de) * 2007-09-14 2011-08-15 Huawei Tech Co Ltd Verfahren, vorrichtung und system zum erhalten von mih-serviceinformationen
CN101389132B (zh) * 2007-09-14 2013-04-17 华为技术有限公司 获得介质无关切换业务信息的方法和网元设备和网络***
US20110173105A1 (en) * 2010-01-08 2011-07-14 Nokia Corporation Utilizing AAA/HLR infrastructure for Web-SSO service charging
WO2012092604A2 (en) 2010-12-30 2012-07-05 Interdigital Patent Holdings, Inc. Authentication and secure channel setup for communication handoff scenarios

Also Published As

Publication number Publication date
KR101556046B1 (ko) 2015-09-30
JP2014506060A (ja) 2014-03-06
JP2015195599A (ja) 2015-11-05
KR20130114701A (ko) 2013-10-17
US9614831B2 (en) 2017-04-04
CN103392319A (zh) 2013-11-13
US9009801B2 (en) 2015-04-14
US20130007858A1 (en) 2013-01-03
JP2017123667A (ja) 2017-07-13
US20150326561A1 (en) 2015-11-12
US20170171184A1 (en) 2017-06-15
CN106131081A (zh) 2016-11-16
JP6093810B2 (ja) 2017-03-08
JP5775174B2 (ja) 2015-09-09
EP2659649A2 (en) 2013-11-06
CN103392319B (zh) 2016-09-28
WO2012092604A2 (en) 2012-07-05
WO2012092604A3 (en) 2012-09-20

Similar Documents

Publication Publication Date Title
KR101556046B1 (ko) 통신 핸드오프 시나리오를 위한 인증 및 보안 채널 설정
JP6715867B2 (ja) 統合スモールセルネットワークおよびwifiネットワークのための統一認証
US9185560B2 (en) Identity management on a wireless device
TWI558253B (zh) 進行用戶認證的計算機執行方法及使用用戶識別碼得到存取目標域處服務的方法
US20180014192A1 (en) Machine-To-Machine Gateway Architecture
TWI589141B (zh) 具有多sso技術之sso架構的用戶設備
US10044713B2 (en) OpenID/local openID security
US20130298209A1 (en) One round trip authentication using sngle sign-on systems
KR101684753B1 (ko) 신뢰적인 연합 아이덴티티를 위한 방법 및 장치
US20120284785A1 (en) Method for facilitating access to a first access nework of a wireless communication system, wireless communication device, and wireless communication system
TW201306610A (zh) 驗證協定之自動協商及選擇
JP2017538345A (ja) 方法、装置およびシステム

Legal Events

Date Code Title Description
A107 Divisional application of patent
E701 Decision to grant or registration of patent right