知財求人 - 知財ポータルサイト「IP Force」
▶ サムスン エレクトロニクス カンパニー リミテッドの特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6066992
(24)【登録日】2017年1月6日
(45)【発行日】2017年1月25日
(54)【発明の名称】マシン−対−マシンサービスを提供する方法及び装置
(51)【国際特許分類】
H04L 9/08 20060101AFI20170116BHJP
H04L 9/14 20060101ALI20170116BHJP
H04L 9/32 20060101ALI20170116BHJP
G06F 21/44 20130101ALI20170116BHJP
H04W 12/06 20090101ALI20170116BHJP
H04W 4/24 20090101ALI20170116BHJP
【FI】
H04L9/00 601C
H04L9/00 641
H04L9/00 675A
G06F21/44
H04W12/06
H04W4/24
【請求項の数】15
【全頁数】17
(21)【出願番号】特願2014-505089(P2014-505089)
(86)(22)【出願日】2012年4月16日
(65)【公表番号】特表2014-517560(P2014-517560A)
(43)【公表日】2014年7月17日
(86)【国際出願番号】KR2012002877
(87)【国際公開番号】WO2012141557
(87)【国際公開日】20121018
【審査請求日】2015年4月15日
(31)【優先権主張番号】61/475,972
(32)【優先日】2011年4月15日
(33)【優先権主張国】US
(31)【優先権主張番号】61/485,275
(32)【優先日】2011年5月12日
(33)【優先権主張国】US
(31)【優先権主張番号】61/544,577
(32)【優先日】2011年10月7日
(33)【優先権主張国】US
(73)【特許権者】
【識別番号】503447036
【氏名又は名称】サムスン エレクトロニクス カンパニー リミテッド
(74)【代理人】
【識別番号】100110364
【弁理士】
【氏名又は名称】実広 信哉
(72)【発明者】
【氏名】アルパー・イェギン
(72)【発明者】
【氏名】ヨン・キョ・ペク
【審査官】
宮司 卓佳
(56)【参考文献】
【文献】
特表2010−500803(JP,A)
【文献】
特表2011−512052(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 9/08
G06F 21/44
(57)【特許請求の範囲】
【請求項1】
マシン−対−マシン(machine−to−machine、M2M)端末によってサービスを提供する方法であって、
ネットワーク保安能力部(network security capability、NSEC)にサービス要請を送信する段階であって、前記サービス要請は、前記端末に割り当てられたデバイスの識別子を含むものである、送信する段階と、
前記NSECを介してM2M認証サーバー(M2M authentication server、MAS)と拡張可能な認証プロトコル(extensible authentication protocol、EAP)認証を行う段階と、
前記EAP認証が成功的なら、マスターセッションキー(master session key、MSK)、第1定数ストリング、及び前記端末に割り当てられたサービスの識別子を使用してサービスキーを生成する段階と、を含むことを特徴とする方法。
ネットワーク保安能力部(network security capability、NSEC)にサービス要請を送信する段階であって、前記サービス要請は、前記端末に割り当てられたデバイスの識別子を含むものである、送信する段階と、
前記NSECを介してM2M認証サーバー(M2M authentication server、MAS)と拡張可能な認証プロトコル(extensible authentication protocol、EAP)認証を行う段階と、
前記EAP認証が成功的なら、マスターセッションキー(master session key、MSK)、第1定数ストリング、及び前記端末に割り当てられたサービスの識別子を使用してサービスキーを生成する段階と、を含むことを特徴とする方法。
【請求項2】
前記サービスキーを生成した後、前記サービスキー、第2定数ストリング、及びアプリケーションID(identification)を使用してアプリケーションキーを生成する段階をさらに含む方法であって、
前記NSECは、前記EAP認証が成功的なら、前記MSK、前記第1定数ストリング、及び前記端末に割り当てられたサービスの前記識別子を使用して前記サービスキーを生成する、請求項1に記載の方法。
前記NSECは、前記EAP認証が成功的なら、前記MSK、前記第1定数ストリング、及び前記端末に割り当てられたサービスの前記識別子を使用して前記サービスキーを生成する、請求項1に記載の方法。
【請求項3】
ネットワークエンティティに登録結果認識を示すメッセージを伝送する段階を含み、前記登録結果認識を示すメッセージは、登録のために要請された寿命に対する値を含む、
請求項1に記載の方法。
請求項1に記載の方法。
【請求項4】
サービスを提供するためのマシン−対−マシン(machine−to−machine、M2M)端末であって、
信号を送受信するための送受信部と、
ネットワーク保安能力部(Network Security Capability、NSEC)にサービス要請を送信することを制御する制御部であって、前記サービス要請は、前記端末に割り当てられたデバイスの識別子を含み、前記NSECを介してM2M認証サーバー(M2M authentication server、MAS)と拡張可能な認証プロトコル(extensible authentication protocol、EAP)認証を行い、
前記EAP認証が成功的なら、マスターセッションキー(master session key、MSK)、第1定数ストリング、及び前記端末に割り当てられたサービスの識別子を使用してサービスキーを生成することを制御する制御部と、を含むことを特徴とするM2M端末。
信号を送受信するための送受信部と、
ネットワーク保安能力部(Network Security Capability、NSEC)にサービス要請を送信することを制御する制御部であって、前記サービス要請は、前記端末に割り当てられたデバイスの識別子を含み、前記NSECを介してM2M認証サーバー(M2M authentication server、MAS)と拡張可能な認証プロトコル(extensible authentication protocol、EAP)認証を行い、
前記EAP認証が成功的なら、マスターセッションキー(master session key、MSK)、第1定数ストリング、及び前記端末に割り当てられたサービスの識別子を使用してサービスキーを生成することを制御する制御部と、を含むことを特徴とするM2M端末。
【請求項5】
前記制御部は、前記サービスキー、第2定数ストリング、及びアプリケーションIDを使用してアプリケーションキーを生成することを制御し、
前記NSECは、前記EAP認証が成功的なら、前記マスターセッションキー(master session key、MSK)、前記第1定数ストリング、及び前記端末に割り当てられたサービスの前記識別子を使用して前記サービスキーを生成する、請求項4に記載のM2M端末。
前記NSECは、前記EAP認証が成功的なら、前記マスターセッションキー(master session key、MSK)、前記第1定数ストリング、及び前記端末に割り当てられたサービスの前記識別子を使用して前記サービスキーを生成する、請求項4に記載のM2M端末。
【請求項6】
前記制御部は、ネットワークエンティティに登録結果認識を示すメッセージを伝送することを制御し、
前記登録結果認識を示すメッセージは、登録のために要請された寿命に対する値を含む、請求項4に記載のM2M端末。
前記登録結果認識を示すメッセージは、登録のために要請された寿命に対する値を含む、請求項4に記載のM2M端末。
【請求項7】
マシン−対−マシン(machine−to−machine、M2M)システムでネットワーク保安能力部(network security capability、NSEC)にサービスを提供する方法であって、
端末からサービス要請が受信されるか否かを決定する段階であって、前記サービス要請は、前記端末に割り当てられたデバイスの識別子を含むものである、決定する段階と、
前記サービス要請が受信されれば、前記M2M端末及びM2M認証サーバー(M2M Authentication Server、MAS)と拡張可能な認証プロトコル(extensible authentication protocol、EAP)認証を行う段階と、
前記EAP認証が成功的なら、マスターセッションキー(master session key、MSK)、第1定数ストリング、及び前記端末に割り当てられたサービスの識別子を使用してサービスキーを生成する段階と、を含むことを特徴とする方法。
端末からサービス要請が受信されるか否かを決定する段階であって、前記サービス要請は、前記端末に割り当てられたデバイスの識別子を含むものである、決定する段階と、
前記サービス要請が受信されれば、前記M2M端末及びM2M認証サーバー(M2M Authentication Server、MAS)と拡張可能な認証プロトコル(extensible authentication protocol、EAP)認証を行う段階と、
前記EAP認証が成功的なら、マスターセッションキー(master session key、MSK)、第1定数ストリング、及び前記端末に割り当てられたサービスの識別子を使用してサービスキーを生成する段階と、を含むことを特徴とする方法。
【請求項8】
前記サービスキー、第2定数ストリング、及びアプリケーションIDを使用してアプリケーションキーを生成する段階をさらに含む、請求項7に記載の方法。
【請求項9】
前記M2M端末は、前記EAP認証が成功的なら、前記マスターセッションキー(MSK)、前記第1定数ストリング、及び前記端末に割り当てられたサービスの前記識別子を使用して前記サービスキーを生成する、請求項7に記載の方法。
【請求項10】
ネットワークジェネリック(Generic)通信能力部(NGC)に登録結果認識を示すメッセージを伝送する段階を含み、
前記登録結果認識を示すメッセージは、登録のために要請された寿命に対する値を含む、請求項7に記載の方法。
前記登録結果認識を示すメッセージは、登録のために要請された寿命に対する値を含む、請求項7に記載の方法。
【請求項11】
前記EAP認証を行う段階は、
前記M2M端末と前記EAP認証をするために、ネットワークアクセス(protocol for carrying authentication for network access、PANA)認証を行うためにプロトコルを使用して通信する段階と、
前記M2M認証サーバー(MAS)と前記EAP認証をするために、認証、認可(Authorization)及び課金(Accounting)(AAA)プロトコルを使用して通信する段階とを含む、請求項7に記載の方法。
前記M2M端末と前記EAP認証をするために、ネットワークアクセス(protocol for carrying authentication for network access、PANA)認証を行うためにプロトコルを使用して通信する段階と、
前記M2M認証サーバー(MAS)と前記EAP認証をするために、認証、認可(Authorization)及び課金(Accounting)(AAA)プロトコルを使用して通信する段階とを含む、請求項7に記載の方法。
【請求項12】
マシン−対−マシン(machine−to−machine、M2M)システムでサービスを提供するためのネットワーク保安能力部(network security capability、NSEC)デバイスであって、
信号を送受信する送受信部と、
M2M端末からサービス要請が受信されたか否かを決定し、前記サービス要請が受信されたら、前記M2M端末及びM2M認証サーバー(M2M Authentication Server、MAS)と拡張可能な認証プロトコル(extensible authentication protocol、EAP)認証を行うことを制御する制御部であって、前記サービス要請は、前記端末に割り当てられたデバイスの識別子を含み、
前記認証が成功的なら、マスターセッションキー(master session key、MSK)、第1定数ストリング、及び前記端末に割り当てられたサービスの識別子を使用してサービスキーを生成することを制御する制御部と、を含むことを特徴とするNSECデバイス。
信号を送受信する送受信部と、
M2M端末からサービス要請が受信されたか否かを決定し、前記サービス要請が受信されたら、前記M2M端末及びM2M認証サーバー(M2M Authentication Server、MAS)と拡張可能な認証プロトコル(extensible authentication protocol、EAP)認証を行うことを制御する制御部であって、前記サービス要請は、前記端末に割り当てられたデバイスの識別子を含み、
前記認証が成功的なら、マスターセッションキー(master session key、MSK)、第1定数ストリング、及び前記端末に割り当てられたサービスの識別子を使用してサービスキーを生成することを制御する制御部と、を含むことを特徴とするNSECデバイス。
【請求項13】
前記制御部は、前記サービスキー、第2定数ストリング、及びアプリケーションIDを使用してアプリケーションキーを生成し、
前記EAP認証が成功的なら、前記マスターセッションキー(MSK)、前記第1定数ストリング、及び前記端末に割り当てられたサービスの前記識別子を使用して前記サービスキーを生成することを制御する、請求項12に記載のNSECデバイス。
前記EAP認証が成功的なら、前記マスターセッションキー(MSK)、前記第1定数ストリング、及び前記端末に割り当てられたサービスの前記識別子を使用して前記サービスキーを生成することを制御する、請求項12に記載のNSECデバイス。
【請求項14】
前記制御部は、ネットワークエンティティに登録結果認識を示すメッセージを伝送することを制御し、
前記登録結果認識を示すメッセージは、登録のために要請された寿命に対する値を含む、請求項12に記載のNSECデバイス。
前記登録結果認識を示すメッセージは、登録のために要請された寿命に対する値を含む、請求項12に記載のNSECデバイス。
【請求項15】
前記制御部は、前記M2Mデバイスと前記EAP認証をする間に、ネットワークアクセス認証を行うプロトコル(PANA)を使用して通信し、前記M2M認証サーバー(MAS)と前記EAP認証をする間に、認証、認可及び課金(AAA)プロトコルを使用して通信することを制御する、請求項12に記載のNSECデバイス。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、通信システムのための方法及び装置に関する。より具体的に、本発明は、マシン−対−マシン(Machine−to−Machine:M2M)サービスを提供するための方法及び装置に関する。
【背景技術】
【0002】
M2M産業は、現在、M2MデバイスがM2Mネットワークと結合し、M2Mデバイスで実行されるアプリケーションがインターネットまたは他の類似の通信ネットワークにある複数の制御ノード(すなわちサーバー)で実行されるアプリケーションと通信することができるようにする技術を開発し、定義する。この通信を容易にするために、M2Mデバイスは、与えられたM2Mネットワークとサービス登録手続(service registration procedure)を実行することが予想される。
【発明の概要】
【発明が解決しようとする課題】
【0003】
本発明の側面は、少なくとも前述した問題及び/または短所を解決し、少なくとも下記に説明された利点を提供する。
【課題を解決するための手段】
【0004】
本発明の一側面によってマシン−対−マシン(M2M)デバイスによってサービスを提供する方法が提供される。本方法は、ネットワーク保安能力部(Network Security Capability)(NSEC)にサービス要請を送信する段階であって、前記サービス要請は、M2Mデバイスのデバイスサービス能力階層(Device Service Capabilitiy Layer)(DSCL)の識別子を含む、送信する段階と、前記NSECを介してM2M認証サーバー(M2M Authentication Server)(MAS)と拡張可能な認証プロトコル(Extensible Authentication Protocol)(EAP)認証を行う段階と、前記EAP認証が成功的なら、マスターセッションキー(Master Session Key)(MSK)、第1定数ストリング(constant string)、及び前記DSCLの前記識別子を使用してサービスキーを生成する段階とを含む。
【0005】
本発明の一側面によって、サービスを提供するためのマシン−対−マシン(M2M)デバイスが提供される。前記M2Mデバイスは、ネットワーク保安能力部(NSEC)にサービス要請を送信するための送信機であって、前記サービス要請は、前記M2Mデバイスのデバイスサービス能力階層(DSCL)の識別子を含むものである、送信機と、前記NSECを介してM2M認証サーバー(MAS)と拡張可能な認証プロトコル(EAP)認証を行うための制御機と、前記EAP認証が成功的なら、マスターセッションキー(MSK)、第1定数ストリング、及び前記DSCLの前記識別子を使用してサービスキーを生成するためのキー生成器とを含む。
【0006】
本発明のさらに他の側面によって、マシン−対−マシン(M2M)システムにおいてネットワーク保安能力部(NSEC)によってサービスを提供する方法が提供される。本方法は、M2Mデバイスからサービス要請が受信されたか否かを決定する段階であって、前記サービス要請は、前記M2Mデバイスのデバイスサービス能力階層(DSCL)の識別子を含むものである、決定する段階と、前記サービス要請が受信されたら、前記M2Mデバイス及びM2M認証サーバー(MAS)と拡張可能な認証プロトコル(EAP)認証を行う段階と、前記EAP認証が成功的なら、マスターセッションキー(MSK)、第1定数ストリング、及び前記DSCLの識別子を使用してサービスキーを生成する段階とを含む。
【0007】
本発明のさらに他の側面によって、マシン−対−マシン(M2M)システムにおいてサービスを提供するためのネットワーク保安能力部(NSEC)デバイスが提供される。前記NSECデバイスは、M2Mデバイスからサービス要請が受信されたか否かを決定し、前記サービス要請が受信されたら、前記M2Mデバイス及びM2M認証サーバー(MAS)と拡張可能な認証プロトコル(EAP)認証を行うための制御機であって、前記サービス要請は、前記M2Mデバイスのデバイスサービス能力階層(DSCL)の識別子を含むものである、制御機と、前記認証が成功的なら、マスターセッションキー(MSK)、第1定数ストリング、及び前記DSCLの前記識別子を使用してサービスキーを生成するためのキー生成器とを含む。
【発明の効果】
【0008】
本発明の他の側面、利点及び顕著な特徴は、添付の図面とともに、本発明の例示的な実施例を開示する以下の詳細な説明からこの技術分野に通常の知識を有する者に明白になる。
【図面の簡単な説明】
【0009】
本発明の特定例示的な実施例の前記及び他の側面、特徴、利点は、添付の図面とともに以下の詳細な説明からさらに明らかになる。【図1】本発明の一実施例によってマシン−対−マシン(M2M)サービス登録手続に隋伴されるネットワーク要素を示す図である。
【図2】本発明の一実施例によってマシン−対−マシン(M2M)ネットワークによって使用されるイベント(event)のハイレベル流れを示す図である。
【図3】本発明の例示的な実施例によってサービス登録手続のためのハイレベル呼流れ(call flow)を示す図である。
【図4】本発明の例示的な実施例によってサービス登録手続のためのハイレベル呼流れを示す図である。
【図5】本発明の例示的な実施例によってデバイス302のサービス登録手続のための流れ図である。
【図6】本発明の例示的な実施例によってNSEC304のサービス登録手続のための流れ図である。
【図7】本発明の例示的な実施例によってM2M認証サーバー(MAS)のサービス登録手続のための流れ図である。
【図8】本発明の例示的な実施例によってNGC308のサービス登録手続のための流れ図である。 図面全体にわたって、同一の参照符号は、同一または類似の要素、特徴、及び構造を示すのに使用されるものと理解される。
【発明を実施するための形態】
【0010】
添付の図面を参照して以下の詳細な説明は、本請求範囲及びその均等範囲によって限定された本発明の例示的な実施例の包括的理解を助けるために提供される。この詳細な説明は、理解を助けるために様々な特定詳細を含むが、これら詳細は、ただ例示的なものと考慮される。したがって、この技術分野に通常の知識を有する者なら本明細書に説明された実施例の様々な変更と変形が本発明の範囲と思想を逸脱することなく行われることができることを認識することができる。ひいては、よく知られた機能と構成に対する説明は、明確化と簡潔さをために省略されることができる。
【0011】
以下、詳細な説明及び請求範囲に使用された用語と単語は、書誌的意味(bibliographical meaning)に制限されるものではなく、本発明を明確にし、かつ一貫した理解を可能にするために単純に本発明者によって使用されたものに過ぎない。したがって、この技術分野に通常の知識を有する者なら本発明の例示的な実施例の以下の詳細な説明は、ただ例示的な目的のために提供されたものであって、添付の請求範囲とその均等範囲によって限定された本発明を制限するために提供されたものではないということを明確に理解することができる。
【0012】
単数形態“一”及び“前記”は、文脈が明確に別途指示しない限り、複数の対象を含むものと理解される。したがって、例えば、“成分表面(component surface)”というのは、1つ以上のこのような表面を言うものを含む。
【0013】
M2Mサービス登録は、M2Mコアネットワークによって提供されるM2MサービスにアクセスするためにM2Mデバイスを認証(authenticate)し、認可(authorize)するためにM2MデバイスとM2Mコアネットワークとの間につながる手続である。電子デバイスが複数の箇所で通信ネットワークに併合されたものを示すM2M接続、連結、結合(joining)、または他のこれと類似な単語のような代案的な名前がM2Mサービス登録手続に使用されることができる。
【0014】
図1は、本発明の一実施例によってマシン−対−マシン(M2M)サービス登録手続で隋伴されるネットワーク要素を示す。
【0015】
図1を参照すれば、ネットワーク要素を連結するラインは、M2Mネットワークのネットワーク要素のうち使用される通信インターフェースに対応する。デバイス110は、M2Mコアネットワーク120によって提供されるM2M施設を使用し始めるために登録(register)を試みる個体(entity)である。M2M認証サーバー(MAS)130は、登録手続の一部としてデバイス110の認証中に使用されるルートキー(Root Key)(KR)の写本を保有する。デバイス110は、ブートストラップ手続を経た状態であるか、またはこのデバイス110及びM2Mネットワークは、KRがあらかじめ提供されたもの(pre−provisioned)と仮定される。登録終了時には、セッション秘密キー(session Secret Key)(KS)が生成され、KSは、M2Mネットワークを介してアプリケーション通信(application communication)を暗号的に保安するのに使用される。KSは、M2Mコアネットワーク120及びデバイス110に格納される。
【0016】
ヨーロッパ通信標準機関(European Telecommunications Standards Institute:ETSI)M2M技術委員会(Technical Committee:TC)は、M2M標準を設計することに対して研究する標準機関中の1つである。ETSI M2M TCは、登録期間の間に登録手続及び要求条件に対する必要性を識別したが、登録手続に対する解法を開発しなかった。
【0017】
図2は、本発明の一実施例によってM2Mネットワークによって使用されるイベントのハイレベル流れを示す。
【0018】
図2を参照すれば、ネットワークアクセス認証を含むネットワーク登録は、インターネットまたはインターネットプロトコル(IP)ネットワークにアクセスを得るためにM2Mデバイスによって使用される手続である。M2M関連した手続のようなさらに高い階層の手続は、ネットワーク登録手続を成功的に行った後に使用されることができる。M2Mサービスブートストラップ及びM2Mサービス接続のようなM2M関連した手続は、前記M2Mネットワーク及びIPネットワークの上部のオーバレイネットワーク(overlay network)にアクセスするのに使用される。図2で“M2Mサービス接続”というのは、本明細書で“M2Mサービス登録”手続と言うものに対応する。図2で、M2Mデバイスは、デバイスサービス能力階層(DSCL)を含み、M2Mゲートウェイは、ゲートウェイサービス能力階層(GSCL)を含み、ネットワークドメイン(Domain)は、ネットワークサービス能力階層(NSCL)を含む。NSCLは、ネットワークドメインでM2Mサービス能力を言う。GSCLは、M2MゲートウェイでM2Mサービス能力を言う。DSCLは、M2MデバイスでM2Mサービス能力を言う。DSCLは、DSCLを識別するDSCL識別子(ID)を具備し、GSCLは、GSCLを識別するGSCL識別子(ID)を具備する。
【0019】
ETSI M2Mアキテクチャーは、M2Mコアネットワークに接続するためにデバイス及びゲートウェイ類型の装備をすべて支援する。簡略化のために、“デバイス”という単語だけが本明細書でM2Mコアネットワークに接続することができる複数の電子デバイス及びゲートウェイ類型装備を言うのに使用され、デバイスに適用されるものは、何でもゲートウェイ装備にも適用される。“デバイス”という単語は、本明細書でDSCL及び/またはGSCLを言うのに使用されることができる。専用ソリューション(proprietary solution)がM2M登録手続のために開発され、ここで、専用ソリューションは、デバイス及びネットワークを互いに相互認証(authenticating)するために送信階層保安(TLS)を使用する。
【0020】
インターネットエンジニアリングタスクフォース(Internet Engineering Task Force:IETF)は、ネットワークアクセス(PANA)のための認証を行うための拡張可能な認証プロトコル(EAP)及びプロトコルを開発した。EAP及びPANAは、TLS基盤ソリューションに比べてコード再使用、拡張可能性、軽量性、及びさらに優れたモデル適合性(model fit)を含む多数の差別性(distinction)を提供する。
【0021】
コード再使用において、EAPは、例えばWiFi(Wireless Fidelity)ネットワーク、マイクロ波アクセス(WiMAX)ネットワークのための無線相互動作可能性(Wireless Interoperability)、ジグビー(Zigbee(登録商標))ネットワーク、イサーネット(Ethernet(登録商標))ネットワーク、及び他の類似のネットワークで“ネットワークアクセス認証”をするのに広く使用される。PANAは、ジグビー(Zigbee(登録商標))デバイスで“ネットワークアクセス認証”をするのに使用される。また、他の目的に同一の成分を再使用することは、M2Mデバイスの開発及び生産費用を節減する。拡張可能性において、EAP及びPANAは、すべて拡張可能なプロトコルであり、あらかじめ−共有されたキー(PSK)及び資格に基づく(certificated−based)認証のみを許容するTLSとは異なって、任意の認証方法が使用されることができるようにする。PANAは、拡張可能で、新しいペイロードが新しい属性−値−対(Attribute Value Pair)(AVP)を限定することによって容易に運搬されることができるようにする。軽量性において、EAP及びPANAを使用するソリューションは、ユーザーデータグラムプロトコル(User Datagram Protocol)(UDP)基盤スタック及び伝送制御プロトコル(TCP)基盤スタックをすべて支援する。これとは対照的に、TLSは、TCP基盤スタックを要求し、これは、さらに多いコード及びプロセッシングを要求する。さらに優れたモデル適合性において、EAP及びPANAの3者(party)認証モデルがデバイス−コア−MASシステムにさらに適している。これとは対照的に、TLSは、両者(2−party)設計に基づいていて、TLSに基づくソリューションは、M2Mアキテクチャーに適していない。したがって、EAP及びPANA基盤M2Mサービス登録手続に対する必要性が存在する。
【0022】
図3は、本発明の例示的な実施例によってサービス登録手続のためのハイレベル呼流れを示す。
【0023】
図3を参照すれば、ネットワークアクセス(PANA)セッションに認証を行う既存のプロトコルがデバイス302とネットワーク保安能力部(NSEC)304との間に使用され、ブートストラップ手続の時間に生成されたPANAセッションである。NSEC 304及びネットワークジェネリック(Generic)通信能力部(NGC)308は、マシン−対−マシン(M2M)コアネットワークに存在する機能要素である。NSEC 304は、認証者(authenticator)として使用され、NGC 308は、アプリケーション−階層保安のために使用される。
【0024】
段階310で、デバイス302は、サービス登録要請をNSEC 304に送信する。サービス登録要請は、この段階でPANA通知要請メッセージが使用されるものである。属性値対(AVP)は、このPANA通知要請メッセージに含まれることができる。より具体的に、M2Mサービス登録要請は、M2Mコアネットワークとサービス登録の詳細を示すのに使用されることができる。0個、1個、またはさらに多いこのようなAVPが1つのメッセージに含まれることができる。AVPの値フィールドは、以下に説明されたデータ要素を含む。しかし、本発明は、これらに制限されず、他のデータ要素がさらに含まれることができる。各データ要素に0個、1個、またはさらに多いインストンスがAVPに含まれることができる。
【0025】
データ要素は、割り当てられたデバイス識別(ID)、ネットワーク識別(ID)、アプリケーションID、寿命指示子(indicator)、及びキーインデックスを含む。割り当てられたデバイスIDは、登録手続を行うデバイス302を識別するデバイス識別子である。ネットワークIDは、登録のためにターゲット設定されたネットワークを識別するネットワーク識別子である。アプリケーションIDは、登録後に使用されるアプリケーション(例えば、スマート計測(smart metering)、エアコン(air−conditioner)制御機など)を識別するアプリケーション識別子である。寿命指示子(indicator)は、登録のために要請された寿命に対する値である。キーインデックスは、秘密キー(KS)及びアプリケーションキー(KA)を含む、登録手続の一部として生成されたキーに対して使用されるインデックスである。キーインデックスは、また、ネットワークによって割り当てられることができ、この場合、キーインデックスは、M2Mサービス登録要請には見られないが、これは、M2Mサービス登録応答には見られる。
【0026】
NSEC 304は、M2Mサービス登録要請を認証(authenticate)する。終端点(end−point)の間には、PANAセッションが樹立されているので、NSEC 304は、認証手続のために連関されたPANA保安連関を使用することができる。メッセージが認証手続を通過すれば、NSEC 304は、段階320に進行する。そうではなければ、このメッセージは、脱落する(dropped)。
【0027】
段階320で、NSEC 304は、サービス登録要請をM2M認証サーバー(MAS)306に送信する。NSEC 304は、サービス登録要請をAAA(認証(Authentication)、認可(Authorization)、及び課金(Accounting))要請メッセージとしてMAS 306に伝逹(forward)する。PANA M2Mサービス登録要請AVPがAAAプロトコルを介して行われるか、またはそのデータコンテンツがAAA−特定属性に付与(imported)され、それ自体で運搬される。
【0028】
MAS 306は、PANA M2Mサービス登録要請を認可(authorize)する。認可(Authorization)の結果は、段階330で説明されたように、M2Mサービス登録応答メッセージを介して運搬される。段階330で、NSEC 304は、MAS306からM2Mサービス登録応答を受信する。MAS 306は、M2Mサービス登録応答をNSEC 304に返送する。M2Mサービス登録応答は、また、サービスキーとしてKSを含む。KSは、次の数式を使用してデバイス302及びMAS306の両方によって計算され、KSは、キーKRのチャイルドキー(childkey)である。KS=ハッシュ(KR、定数_ストリング|割り当てられた−サービス−ID|ネットワーク−ID|キー−インデックス|他の_パラメータ)
【0029】
ここで、ハッシュは、ハッシュ基盤メッセージ認証コード(HMAC)−保安ハッシュアルゴリズム1(SHA1)、HMAC−SHA256、または他の類似なハッシュ関数のような一方向キー設定されたハッシュ関数であり;KRは、ブートストラップ手続で生成されたまたはあらかじめ提供されたルートキーであり;定数_ストリングは、“M2Mサービスキー”のような定数ストリング値であり、ストリングは、1つ以上のNULL文字(“¥0”)を含むことができ;割り当てられた−サービス−IDは、ネットワークによって割り当てられたサービス識別子の値であり;ネットワーク−IDは、ネットワーク識別子であり;キー−インデックスは、段階310中または段階340中に伝達されたキーインデックスであり;他の_パラメータは、この数式の変更に追加され得る0個以上のパラメータである。キー−インデックスは、このキーに対するインデックスとして使用される。
【0030】
MAS 306は、段階330で、KS及びキー−インデックスをNSEC 304に伝達する。段階340で、デバイス302は、NSEC 304からのM2Mサービス登録応答をPANA−通知(notification)−応答(Answer)メッセージとして受信する。
【0031】
以下、AVPは、本例示的な実施例によって、サービス登録要請の結果を示すのに使用されたM2M−サービス−登録−応答(Answer)である前述したPANAメッセージに含まれることができる。0個、1個、またはさらに多いこのようなAVPは、同一のメッセージに含まれることができる。AVPの値フィールドは、以下のデータ要素、すなわちデバイス識別子である割り当てられた−デバイスID;ネットワーク識別子であるネットワークID;この登録に割り当てられたサービス識別子である割り当てられたサービスID;アプリケーション識別子であるアプリケーション−ID;要請の結果(例えば、拒否される、受諾されるなど)を示す結果−コード;この登録手続に許与された寿命である寿命;及びこの登録手続の一部として生成されたキー(KS及びKA)に対して使用されるインデックスであるキーインデックスを含みに、他のデータ要素がさらに含まれるか、または以下のデータ要素のうちいずれが1つを超過して含まれることができる。
【0032】
次に、段階350で、NSEC 304は、アプリケーションキーを生成し、このキーをNGC 308に伝達する。NSEC 304及びデバイス302は、すべて以下の数式を使用してKAを演算する:KA=ハッシュ(KS、定数_ストリング|アプリケーション−ID|他の_パラメータ)
【0033】
ここで、ハッシュは、HMAC−SHA1、HMAC−SHA256のような一方向キー設定されたハッシュ関数であり;KSは、さらに先立って生成された/伝達されたサービスキーであり;定数_ストリングは、1つ以上のNULL文字(“¥0”)を含むことができる“M2Mアプリケーションキー”のような定数ストリング値であり;アプリケーション−IDは、アプリケーション識別子の値であり;他の_パラメータは、この数式の変更に追加されることができる0個以上のパラメータであり;キー−インデックスは、このキーに対するインデックスとして使用され;割り当てられた−デバイス−ID、ネットワーク−ID、サービス−ID、アプリケーション−ID、寿命、KA及びキー−インデックスは、NSEC 304からNGC 308に送信される。デバイス302、NSEC 304、MAS 306、及びNGC 308のそれぞれは、各デバイスの動作を制御し実行するための制御機、各デバイスから信号を送信するための送信機、各デバイスで信号を受信するための受信機、各デバイスで信号を送受信するためのトランシーバ、及びキーを生成するためのキー生成器をそれぞれ含むことができる。
【0034】
図4は、本発明の例示的な実施例によってサービス登録手続のためのハイレベル呼流れを示す。
【0035】
図4を参照すれば、新しいPANAセッションがEAP方法及びKRを使用してデバイス302とNSEC 304との間で生成される。このEAP/PANA認証は、M2Mサービス登録のためにデバイス302の認証及び認可(Authorization)を達成する。段階410で、デバイス302は、サービス登録要請をNSEC 304に送信する。このメッセージは、サービス登録手続を開始する。PANA−クライアント−開始メッセージは、段階410に使用されることができ、類型値がM2Mサービス登録を示す値に設定された使用−類型AVPを含む。また、図3のM2M−サービス−登録−要請AVPは、このメッセージに含まれ、図3を参照して前述された。
【0036】
PANA−クライアント−開始メッセージは、以下のフィールド、すなわちPANAセッションの目的を示すための使用−類型;以下のデータ要素、すなわち使用類型を示す計数された値、例えば、ネットワークアクセスに対しては、0、M2Mブートストラップに対しては、1、及びM2Mサービス登録に対しては、2である類型を含むAVPの値フィールド;及びこの手続(KS及びKA)の一部として生成されたキーに対して使用されるインデックスであるキーインデックスAVPを含み、キー−インデックスAVPは、また、ネットワークによって割り当てられることができ、この場合、このパラメータは、段階410では見られないが、段階440では見られる。
【0037】
PANA−クライアント−開始メッセージに応答して、NSEC 304は、段階420に進行する。段階420及び段階425で、デバイス302、NSEC 304及びMAS 306は、実行EAP認証を行う。段階420及び425で、EAP方法は、NSEC 304を介してデバイス302とMAS 306との間で実行される。このEAP方法は、相互認証のためにデバイス302とMAS306との間に共有された秘密キーとしてKRを使用する。
【0038】
段階420及び425は、終端点の間に多数のラウンドトリップメッセージング(round−trip messaging)を伴うことができる。メッセージの正確な個数及びメッセージフォーマットは、使用されるEAP方法に従属する。本例示的な実施例の動作及び段階は、この段階で使用されるEAP方法に従属しない。デバイス302とNSEC 304との間にEAPを伝送するのに使用されるプロトコルは、PANAであることができ、NSEC304とMAS306との間にEAPを伝送するのに使用されるプロトコルは、インターネットエンジニアリングタスクフォース(Internet Engineering Task Force)(IETF)によって規定されたRADIUSまたはDiameterであることがある。しかし、本発明は、これらに制限されず、任意の適切なプロトコルが使用されることができる。
【0039】
段階430で、NSEC 304は、登録結果をデバイス302に送信する。IETFによって規定されたような、完了(Completion)ビットセットを用いたPANA−認証−要請が段階430で使用されることができる。この登録結果は、また、M2M−サービス−登録−応答(Answer)AVPを含まなければならない。
【0040】
KSは、サービス登録結果として生成されたサービスキーである。このKSは、デバイス302とNSEC 304との間に共有される。これは、3つの方式のうち1つとして生成されることができる。最初に、このKSマスターセッションキー(MSK)から生成されることができる。かくして、段階425の終了時には、MSKが既に生成され、MAS 306からNSEC 304に送信される。この時点で、MSKは、デバイスにあるEAPは、また、同一のMSKを生成するので、NSEC 304及びデバイス 302によって共有された秘密キーを構成する。MSKは、以下の数式:KS=ハッシュ(MSK、定数_ストリング|割り当てられた−サービス−ID|他の_パラメータ)によってKSを生成するためのシード(seed)として使用されることができる。
【0041】
前記数式で、ハッシュは、HMAC−SHA1、HMAC−SHA256のような一方向キー設定されたハッシュ関数であり;MSKは、EAP方法によって生成されたマスターセッションキーであり;定数_ストリングは、“M2Mサービスキー”のような定数ストリング値であり、このストリングは、1つ以上のNULL文字(“¥0”)を含むことができ;割り当てられた−サービス−IDは、ネットワークによってデバイス302に割り当てられたサービス識別子の値であり;他の_パラメータは、この数式の変更に追加されることができる0個以上のパラメータである。
【0042】
キーインデックスとして、PANAセッション識別子及びPANAキー−IDの組合がデバイス302に使用される。デバイス302がただ1つのサービス登録のみを有している場合、キー−IDの使用だけでもKSをインデキッシングするのに十分である。代案的に、段階410または段階440で伝達されたキーインデックスは、キーインデックスとして使用されることができる。
【0043】
このKSは、また、拡張されたMSK(Extended MSK)(EMSK)から生成されることができる。段階425の終了時には、EMSKがデバイス302及びMAS 306の両方で既に生成されている。この時点で、EMSKは、MAS 306及びデバイス302によって共有された秘密キーを構成する。このEMSKは、以下の数式:KS=ハッシュ(EMSK、定数_ストリング|割り当てられた−サービス−ID|他の_パラメータ)によってKSを生成するためのシードとして使用されることができる。
【0044】
KSは、デバイス302及びMAS 306の両方によって生成される。MAS 306は、段階425の終了時にRADIUSまたはDiameterを使用してKSをNSEC 304に伝達する。キー−インデックスは、キーインデックスとして使用されるかまたは代案的に、以下の数式がキーインデックスを演算するのに使用されることができる:キー−インデックス=ハッシュ(KS、定数_ストリング|他の_パラメータ)、
【0045】
ここで、ハッシュは、HMAC−SHA1、HMAC−SHA256のような一方向キー設定されたハッシュ関数であり、定数_ストリングは、“Ksのためのキーインデックス”のような定数ストリング値であり、1つ以上のNULL文字(“¥0”)を含むことができ、他の_パラメータは、この数式の変更に追加されることができる0個以上のパラメータである。
【0046】
このKSは、また、KRから生成され、KSは、KRのチャイルドキーであることができ、これは、以下の数式によって演算される:KS=ハッシュ(KR、定数_ストリング|割り当てされた−サービス−ID|ネットワーク−ID|キー−インデックス|他の_パラメータ)、
【0047】
ここで、ハッシュは、HMAC−SHA1、HMAC−SHA256のような一方向キー設定されたハッシュ関数であり;KRは、ブートストラップ手続で生成されたまたは先立ってあらかじめ提供されたルートキーであり;定数_ストリングは、“M2Mサービスキー”のような定数ストリング値であり、1つ以上のNULL文字(“¥0”)を含むことができ;割り当てられた−サービス−IDは、ネットワークによって割り当てられたサービス識別子の値であり;ネットワーク−IDは、ネットワーク識別子であり;キー−インデックスは、段階1または段階4中に伝達されたキーインデックスであり;他の_パラメータは、この数式の変更に追加されることができる0個以上のパラメータであり;キー−インデックスは、このキーに対するインデックスとして使用される。
【0048】
このような場合に、KSは、デバイス302及びMAS 306の両方によって生成される。MAS 306は、段階425の終了時にRADIUSまたはDiameterを使用してこのキーをNSEC 304に伝達する。
【0049】
KAは、サービス登録後にKSから生成されたアプリケーションキーである。NSEC 304及びデバイス302の両方は、以下の数式を使用してアプリケーションキーを演算する:KA=ハッシュ(KS、定数_ストリング|アプリケーション−ID|他の_パラメータ)、
【0050】
ここで、ハッシュは、HMAC−SHA1、HMAC−SHA256のような一方向キー設定されたハッシュ関数であり;KSは、先立って生成された/伝達されたサービスキーである;定数_ストリングは、“M2Mアプリケーションキー”のような定数ストリング値であり、1つ以上のNULL文字(“¥0”)を含むことができ;アプリケーション−IDは、アプリケーション識別子の値であり;他の_パラメータは、この数式の変更に追加されることができる0個以上のパラメータであり;キー−インデックスは、このキーに対するインデックスとして使用される。
【0051】
段階440で、デバイス302は、登録結果受信確認をNSEC 304に送信する。デバイス302は、登録結果に対する受信確認を返送する。PANA−認証−応答メッセージがここで使用されることができる。次に、段階450で、NSEC 304は、NGC 308を提供(provision)し、割り当てられた−デバイス−ID、ネットワーク−ID、サービス−ID、アプリケーション−ID、寿命、KA及びキー−インデックスがNSEC 304からNGC 308に送信される。
【0052】
図5は、本発明の例示的な実施例によってデバイス302のサービス登録手続のための流れ図を示す。
【0053】
図5を参照すれば、段階510で、デバイス302は、サービス登録を開始する。例えば、デバイス302は、サービス登録要請をNSEC 304に送信する。次に、段階520で、デバイス302は、NSEC 304及び/またはMAS 306とEAP認証を実行する。デバイス302は、図3または図4の例示的な実施例によってEAP認証を行うことができる。
【0054】
段階530で、デバイス302は、認証が成功的であるか否かを決定する。認証が成功的ではなければ、プロセスは終了する。そうではなければ、プロセスは、段階540に移動する。段階540で、デバイス302は、KSを生成する。段階550で、デバイス302は、KAを生成する。デバイス302は、図3及び図4の例示的な実施例によってKS及びKAを生成することができる。
【0055】
図6は、本発明の例示的な実施例によってNSECのサービス登録手続のための流れ図を示す。
【0056】
図6を参照すれば、段階610で、NSEC 304は、サービス登録要請が受信されたか否かを決定する。NSEC 304がサービス登録要請を受信しなかったら、NSEC 304は、サービス登録要請が受信されるまで待機する。NSEC 304がサービス登録要請を受信したら、プロセスは、段階620に移動する。
【0057】
段階620で、NSEC 304は、デバイス302及び/またはMAS 306とEAP認証を実行する。NSEC 304は、図3及び図4の例示的な実施例によってEAP認証を行うことができる。次に、段階630で、NSEC 304は、認証が成功的であるか否かを決定する。認証が成功的ではなければ、プロセスは終了し、そうではなければ、プロセスは、段階640に移動する。段階640で、NSEC 304は、KSを生成する。段階650で、NSEC 304は、KAを生成する。NSEC 304は、図3及び図4の例示的な実施例によってKS及びKAを生成することができる。段階660で、NSEC 304は、生成されたキー及び/またはIDパラメータをNGC 308に送信する。
【0058】
図7は、本発明の実施例によってMAS 306のサービス登録手続のための流れ図を示す。図7を参照すれば、段階710で、MAS 306は、サービス登録要請が受信されたか否かを決定する。MAS 306がサービス登録要請を受信しなかったら、MAS 306は、サービス登録要請が受信されるまで待機する。MAS 306がサービス登録要請を受信したら、プロセスは、段階720に移動する。段階720で、MAS 306は、デバイス302及び/またはNSEC 304とEAP認証を実行する。MAS 306は、図3及び図4の例示的な実施例によってEAP認証を行うことができる。
【0059】
図8は、本発明の例示的な実施例によってNGC 308のサービス登録手続のための流れ図を示す。
【0060】
図8を参照すれば、段階810で、GC 308は、キー及びIDパラメータが受信されたか否かを決定する。MAS 306及びIDパラメータを受信しなかったら、NGC 308は、サービス登録要請が受信されるまで待機する。NGC 308がキー及びIDパラメータを受信したら、プロセスは、段階820に移動する。段階820で、NGC 308は、受信されたキー及びIDパラメータを格納する。
【0061】
コンピュータプログラム命令が一般コンピュータ、特殊コンピュータ、または他のプログラミング可能なデータプロセッシング装備のプロセッサに装着されることができるので、コンピュータまたは他のプログラミング可能なデータプロセッシング装備のプロセッサを介して行われた命令は、流れ図のブロックに説明された機能を行う手段を生成する。コンピュータプログラム命令は、特定構造で機能を具現するようにコンピュータまたは他のプログラミング可能なデータプロセッシング装備を配向することができるコンピュータまたはコンピュータ読み取り可能なメモリに格納されることができるので、コンピュータまたはコンピュータ読み取り可能なメモリに格納された命令は、流れ図のブロックに説明された機能を行う命令手段を伴う製造物品(manufacturing article)を生産することができる。コンピュータプログラム命令がコンピュータまたは他のプログラミング可能なデータプロセッシング装備に装着されることができるので、一連の動作段階がコンピュータによって実行されたプロセスを生成するようにコンピュータまたは他のプログラミング可能なデータプロセッシング装備で行われ、コンピュータまたは他のプログラミング可能なデータプロセッシング装備によって行われた命令は、流れ図のブロックに説明された機能を行う段階を提供することができる。
【0062】
さらに、各ブロックは、特定論理機能を実行する少なくとも1つの実行可能な命令を含むモジュール、セグメント、またはコードの一部を示すことができる。複数の実行例示は、ブロックで説明された機能を順序を脱して生成することができるものと理解される。例えば、2個の連続的に図示されたブロックは、同時に行われるか、ブロックは、対応する機能によって逆順に行われることができる。
【0063】
本明細書に使用されたもののように、“ユニット”という用語は、電界プログラミング可能なゲートアレイ(FPGA)またはアプリケーション特定集積回路(ASIC)のようなソフトウェアまたはハードウェア構造要素を言い、この“ユニット”は、一部の役目を行う。しかし、この“ユニット”は、ソフトウェアまたはハードウェアに制限されない。この“ユニット”は、アドレス可能な格納媒体に格納されて少なくとも1つのプロセッサをプレイするように構成されることができる。したがって、例えば、この“ユニット”は、ソフトウェア構造的な要素、客体志向ソフトウェア構造的な要素、クラス構造的な要素、タスク構造的な要素、プロセス、機能、属性、手続、サブルーチン、プログラムコードのセグメント、ドライバー、ファームウエア、マイクロコード、回路、データ、データベース、データ構造、テーブル、アレイ、及び変数を含む。構造的な要素及び“ユニット”に提供された機能は、さらに少ない数の構造的な要素及び“ユニット”で行われることができ、または追加的な構造的な要素及び“ユニット”によって分割されることができる。さらに、構造的な要素及び“ユニット”は、保安マルチメディアカードでデバイスまたは少なくとも1つのCPUをプレイするように具現されることができる。
【0064】
本発明が特定の例示的な実施例を参照して図示され説明されたが、この技術分野における通常の知識を有する者なら添付の請求範囲及びその均等範囲を逸脱することなく、これらの形態及び詳細に様々な変形が可能であることを理解することができる。
【符号の説明】
【0065】
110 デバイス120 M2Mコアネットワーク
130 MAS
302 デバイス
304 NSEC
306 MAS
308 NGC