特許7064528マシンツーマシン通信のためのネットワーク支援型ブートストラッピング
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2022-04-26
(45)【発行日】2022-05-10
(54)【発明の名称】マシンツーマシン通信のためのネットワーク支援型ブートストラッピング
(51)【国際特許分類】
H04W 12/06 20210101AFI20220427BHJP
H04W 4/70 20180101ALI20220427BHJP
【FI】
H04W12/06
H04W4/70
【請求項の数】
5
(21)【出願番号】P 2020081241
(22)【出願日】2020-05-01
(62)【分割の表示】P 2018207326の分割
【原出願日】2014-05-22
(65)【公開番号】P2020129830
(43)【公開日】2020-08-27
【審査請求日】2020-05-29
(31)【優先権主張番号】61/826,176
(32)【優先日】2013-05-22
(33)【優先権主張国・地域又は機関】US
(73)【特許権者】
【識別番号】515222713
【氏名又は名称】コンヴィーダ ワイヤレス, エルエルシー
(74)【代理人】
【識別番号】110002147
【氏名又は名称】特許業務法人酒井国際特許事務所
(72)【発明者】
【氏名】マイケル エフ. スターシニック
(72)【発明者】
【氏名】グアン エックス. ルー
(72)【発明者】
【氏名】スレシュ パラニサミー
(72)【発明者】
【氏名】チン リ
(72)【発明者】
【氏名】デール エヌ. シード
【審査官】篠田 享佑
(56)【参考文献】
【文献】Ericsson,Enhanced Privacy support in GAA/GBA[online], 3GPP TSG-SA WG3#41 S3-050753,インターネット<URL:http://www.3gpp.org/ftp/tsg_sa/WG3_Security/TSGS3_41_SanDiego/Docs/S3-050753.zip>
【文献】Ericsson, Nokia Corporation, Nokia Siemens Networks,Aligment of TS 33.402 to draft-arkko-eap-aka-kdf[online], 3GPP TSG-SA WG3#53 S3-081361,インターネット<URL:http://www.3gpp.org/ftp/tsg_sa/WG3_Security/TSGS3_53_Kyoto/Docs/S3-081361.zip>
(58)【調査した分野】(Int.Cl.,DB名)
H04B 7/24- 7/26
H04W 4/00-99/00
G16Y 10/75
G16Y 30/10
3GPP TSG RAN WG1-4
SA WG1-4
CT WG1-4
(57)【特許請求の範囲】
【請求項1】
ユーザ装置であって、プロセッサと、
前記プロセッサに接続されたメモリと
を備え、
前記メモリは、前記メモリ内に格納された実行可能命令を有し、前記命令は、前記プロセッサによって実行されると、
前記ユーザ装置の識別の要求を受信することと、
前記要求に応じて、第1の拡張認証プロトコル(EAP)メッセージをネットワークノードに提供することと、
前記第1のEAPメッセージに対する応答メッセージを受信することと
を含むオペレーションを前記プロセッサに実行させ、
前記第1のEAPメッセージは、
前記ユーザ装置の識別のための第1の識別子と、
前記ユーザ装置が接続を試行しているサービスのサービスプロバイダ識別子と
を備え、
前記応答メッセージは、前記サービスの接続が許可されたことを示す、ユーザ装置。
【請求項2】
前記第1のEAPメッセージは、前記ユーザ装置のアクセスネットワーク識別子をさらに備える請求項1に記載のユーザ装置。
【請求項3】
前記第1のEAPメッセージを提供することは、前記ネットワークノードから前記ユーザ装置の識別の要求を受信することに応答して行われる請求項1に記載のユーザ装置。
【請求項4】
ネットワークノードであって、プロセッサと、
前記プロセッサに接続されたメモリと
を備え、
前記メモリは、前記メモリ内に格納された実行可能命令を有し、前記命令は、前記プロセッサによって実行されると、
ユーザ装置の識別の要求を送信することと、
前記要求に応じて、第1の拡張認証プロトコル(EAP)メッセージをユーザ装置から受信することと、
前記第1のEAPメッセージに対する応答メッセージを送信することと
を含むオペレーションを前記プロセッサに実行させ、
前記第1のEAPメッセージは、
前記ユーザ装置の識別のための第1の識別子と、
前記ユーザ装置が接続を試行しているサービスのサービスプロバイダ識別子と
を備え、
前記応答メッセージは、前記サービスの接続が許可されたことを示す、ネットワークノード。
【請求項5】
ユーザ装置の識別の要求を送信することと、前記要求に応じて、第1の拡張認証プロトコル(EAP)メッセージをユーザ装置から受信することと、
前記第1のEAPメッセージに対する応答メッセージを送信することと
を含み、
前記第1のEAPメッセージは、
前記ユーザ装置の識別のための第1の識別子と、
前記ユーザ装置が接続を試行しているサービスのサービスプロバイダ識別子と
を備え、
前記応答メッセージは、前記サービスの接続が許可されたことを示す、方法。
【発明の詳細な説明】
【技術分野】
【0001】
(関連出願の引用)
本願は、米国仮特許出願第61/826176号(2013年5月22日出願、名称「ACCESS NETWORK ASSISTED BOOTSTRAPPING」)の利益を主張し、上記出願の内容は、参照により本明細書に引用される。
本願は、米国仮特許出願第61/826176号(2013年5月22日出願、名称「ACCESS NETWORK ASSISTED BOOTSTRAPPING」)の利益を主張し、上記出願の内容は、参照により本明細書に引用される。
【背景技術】
【0002】
マシンツーマシン(M2M)技術は、有線および無線通信システムを使用して、デバイスが互いにより直接的に通信することを可能にする。M2M技術は、一意的に識別可能なオブジェクトおよびインターネット等のネットワークを経由して互いに通信するそのようなオブジェクトの仮想表現のシステムである、モノのインターネット(IoT)のさらなる実現を可能にする。IoTは、食料品店内の商品または家庭内の器具等のさらに日常的な毎日のオブジェクトとの通信を促進し、それによって、そのようなオブジェクトの知識を向上させることによって、費用および無駄を低減させ得る。例えば、店は、在庫にあり得るか、または販売された場合がある、オブジェクトと通信するか、またはそこからデータを取得することができることによって、非常に精密な在庫データを維持し得る。
【0003】
マシンツーマシン通信のための標準化アーキテクチャを開発するために、いくつかの取り組みが行われてきた。これらは、第3世代パートナーシッププロジェクト(3GPP)マシン型通信(MTC)アーキテクチャ、ETSI M2Mアーキテクチャ、およびoneM2Mアーキテクチャを含む。これらのアーキテクチャは、以下で簡潔に要約される。
【0004】
3GPP進化型パケットコア(EPC)ネットワークは、最初にマシンツーマシン(M2M)通信を取り扱うために最適化される方法で設計されただけでなく、高性能計測、ホームオートメーション、eヘルス、消費者製品、フリート管理等を伴う通信等のマシンまたはデバイスがネットワークを経由して互いに通信する、マシン型通信(MTC)と称された。したがって、3GPP仕様のリリース11(R11)では、3GPPは、マシン型通信/マシンツーマシン通信のためのUMTSコアネットワークのインターワーキング能力を強化した。インターワーキングとは、情報を交換し、デバイスを制御し、またはデバイスを監視し、あるいはデバイスと通信する目的で、コアネットワークにインターフェース接続する、サーバまたはアプリケーションを指す。図1は、TS 23.682 V11.5.0で3GPPによって提示されるMTCアーキテクチャの部分を示す。
【0005】
図1に示されるように、ユーザ機器314は、E-UTRAN(LTEアクセスネットワーク)を含み得る、無線アクセスネットワーク(RAN)319を経由してEPCに接続し得る。進化型ノードB(eNodeB)3は、LTE無線用の基地局である。この図では、EPCは、サービングゲートウェイ(サービングGW)310、パケットデータネットワークゲートウェイ(PDN GWまたはP-GW)353、移動管理エンティティ(MME)312、およびホーム加入者サーバ(HSS)357を含む、いくつかのネットワーク要素を備えている。
【0006】
HSS357は、ユーザ関連および加入者関連情報を含むデータベースである。これはまた、移動管理、呼び出しおよびセッション設定、ユーザ認証およびアクセス認可におけるサポート機能も提供する。
【0007】
ゲートウェイ(S-GW310およびP-GW352)は、ユーザプレーンを取り扱う。それらは、ユーザ機器(UE)314と外部ネットワークとの間でIPデータトラフィックを輸送する。S-GW310は、無線側とEPCとの間の相互接続点である。その名前が示すように、このゲートウェイは、着信および発信IPパケットを経路指定することによってUEにサービス提供する。これは、LTE内移動のアンカーポイントであり(すなわち、RAN319内のeNodeB間のハンドオーバの場合)、LTEと他の3GPPアクセスとの間にある。これは、論理的に、他方のゲートウェイ、すなわち、P-GW353に接続される。
【0008】
P-GW353は、EPCとインターネット等の外部IPネットワークとの間の相互接続点である。これらのネットワークは、PDN(パケットデータネットワーク)と呼ばれ、したがって、名前。P-GW353は、PDNへ、およびそこからパケットを経路指定する。P-GW353はまた、IPアドレス/IPプレフィックス割付またはポリシー制御、および課金等の種々の機能も果たす。3GPPは、これらのゲートウェイが独立して動作するが、ネットワークベンダによって単一の「ボックス」の中で組み合わせられ得ることを規定する。
【0009】
MME312は、コントロールプレーンを取り扱う。これは、E-UTRANアクセスのための移動およびセキュリティに関連する信号伝達を取り扱う。MMEは、アイドルモードでUEの追跡およびページングに関与する。これはまた、非アクセス層(NAS)の終端点でもある。
【0010】
上記のように、UE314は、E-UTRANを使用してEPCに到達することができるが、これは、サポートされる唯一のアクセス技術ではない。3GPPは、複数のアクセス技術、また、これらのアクセスの間のハンドオーバもサポートすることを規定する。本概念は、複数のアクセス技術にわたって種々のIPベースのサービスを提供する一意のコアネットワークを使用して、集中をもたらすことである。既存の3GPP無線アクセスネットワークがサポートされる。3GPP仕様は、どのようにしてインターワーキングがE-UTRAN(LTEおよびLTE-Advanced)、GERAN(GSM(登録商標)/GPRSの無線アクセスネットワーク)、およびUTRAN(UMTSベース技術WCDMA(登録商標)およびHSPAの無線アクセスネットワーク)の間で達成されるかを定義する。
【0011】
アーキテクチャはまた、UEおよびEPCを相互接続する非3GPP技術も可能にする。非3GPPは、これらのアクセスが3GPPで規定されなかったことを意味する。これらの技術は、例えば、WiMAX、cdma2000(登録商標)、WLAN、または固定ネットワークを含む。非3GPPアクセスは、2つのカテゴリ、すなわち、「信頼できる」ものおよび「信頼できない」ものに分けることができる。信頼できる非3GPPアクセスは、EPCと直接相互作用することができる。信頼できない非3GPPアクセスは、ePDG(進化型パケットデータゲートウェイ)(図示せず)と呼ばれるネットワークエンティティを介してEPCとインターワークする。ePDGの主要な役割は、信頼できない非3GPPアクセスを経由したUEとの接続のIPsecトンネリング等のセキュリティ機構を提供することである。3GPPは、どの非3GPP技術が信頼できる、または信頼できないと見なされるべきであるかを規定しない。この決定は、オペレータによって行われる。
【0012】
図1でさらに図示されるように、サービス能力サーバ(SCS)361は、サービスをコアネットワーク、デバイス、およびアプリケーションに提供し得る。SCSはまた、M2Mサーバ、MTCサーバ、サービス能力層(SCL)、または共通サービスエンティティ(CSE)と呼ばれ得る。SCS361は、ホーム公衆陸上移動ネットワーク(HPLMN)のオペレータによって、またはMTCサービスプロバイダによって制御され得る。SCSは、オペレータドメインの内側または外側に展開され得る。SCSがオペレータドメインの内側に展開される場合、SCSは、内部ネットワーク機能であり得、かつオペレータによって制御され得る。SCSがオペレータドメインの外側に展開される場合、SCSは、MTCサービスプロバイダによって制御され得る。
【0013】
図1のMTCアーキテクチャでは、SCS361は、Tsp基準点(すなわち、インターフェース)308を介して、マシン型通信(MTC)インターワーキング機能(MTC-IWF)359と通信し得る。Tsp基準点は、コアネットワークとインターワークするために使用されるインターフェースの実施例である。
【0014】
UEは、無線アクセスネットワーク(RAN)319を含む公衆陸上移動ネットワーク(PLMN)を通して、SCSおよび/または他のMTC UEと通信し得る。MTC UE214は、1つ以上のMTCアプリケーション316をホストし得る。MTCアプリケーションはまた、1つ以上のアプリケーションサーバ(AS)(例えば、AS320)上でホストされ得る。MTCアプリケーション316は、SCS361、AS MTCアプリケーション、または他のUE MTCアプリケーションと相互作用し得る、MTC通信エンドポイントであり得る。
【0015】
アプリケーションサーバ(AS)(例えば、AS320)はまた、1つ以上のMTCアプリケーションをホストし得る。AS320は、SCS161とインターフェース接続し得、SCS361は、サービスをAS320上で作動するアプリケーションに提供し得る。AS上のMTCアプリケーションは、SCS、UE MTCアプリケーション、または他のMTCアプリケーションと相互作用し得る。
【0016】
MTCインターワーキング機能(MTC-IWF)359は、SCS361から内部PLMNトポロジーを隠す。MTC-IWFは、PLMN内でMTC機能性(例えば、MTC UEトリガ)をサポートするように、(例えば、Tsp基準点308を経由して)それ自体とSCSとの間で使用される信号伝達プロトコルを中継および/または変換し得る。例えば、SCSは、MTC-IWFがトリガをMTCデバイスに送信することを要求し得る。MTC-IWFは、例えば、SMS(図示せず)を介して、MTCトリガをMTCデバイス314に配信し得る。MTCデバイス316は、トリガに基づいて、SCS312に応答し得る。MTCデバイス314は、例えば、センサ示度で応答し得る。MTCデバイス214がSCS312に応答するとき、MTCデバイスは、SCS361と通信するために、P-GW353を介したパケットデータネットワーク(PDN)/パケットデータプロトコル(PDP)接続を使用し得る。MTCデバイスは、IP接続を使用して、SCSと接続し得る。
【0017】
MTC-IWF359は、SCSが3GPPネットワークとの通信を確立し得る前に、SCS361を認可し得る。例えば、SCS359がTsp基準点上でトリガ要求を行うとき、MTC-IWF359は、SCSがトリガ要求を送信する権限を与えられているかどうか、およびSCSがそのトリガ提出の割り当てまたは割合を超えていないことをチェックし得る。
【0018】
ETSI M2Mアーキテクチャが図2で図示されている。ETSI M2Mアーキテクチャでは、サービス能力層(SCL)は、サービス能力をネットワークに提供するために、露出インターフェースのセットを通してコアネットワーク機能性を使用する。SCLは、1つまたはいくつかの異なるコアネットワークにインターフェース接続し得る。
【0019】
ETSI M2Mアーキテクチャでは、ネットワークは、M2Mデバイス(例えば、デバイス145)、M2Mゲートウェイ(例えば、ゲートウェイ140)、およびM2Mサーバ(例えば、M2Mサーバ125)を備えている。デバイスアプリケーション(DA)は、M2Mデバイス上で実行され得、ゲートウェイアプリケーション(GA)は、M2Mゲートウェイ上で実行され得、ネットワークアプリケーション(NA)は、M2Mサーバ上で実行され得る。さらに示されるように、デバイス(例えば、デバイス145)は、デバイスサービス能力層(DSCL)(例えば、DSCL146)を使用して、M2Mサービス能力を実装し得、ゲートウェイは、ゲートウェイSCL(GSCL141)を実装し得、サーバは、ネットワークSCL(NSCL)(例えば、NSCL126)を実装し得る。
【0020】
mIa基準点は、ネットワークアプリケーションがM2Mサーバ内のM2Mサービス能力にアクセスすることを可能にする。
【0021】
dIa基準点は、M2Mデバイス内に常駐するデバイスアプリケーションが同一のM2Mデバイス内またはM2Mゲートウェイ内の異なるM2Mサービス能力にアクセスすることを可能にし、M2Mゲートウェイ内に常駐するゲートウェイアプリケーションが同一のM2Mゲートウェイ内の異なるM2Mサービス能力にアクセスすることを可能にする。
【0022】
mId基準点は、M2MデバイスまたはM2Mゲートウェイ内に常駐するM2Mサービス能力層が、ネットワーク内のM2Mサービス能力層と通信することを可能にする。mId基準点は、下位層としてコアネットワーク接続性機能を使用する。
【0023】
さらにETSI M2Mアーキテクチャによると、M2Mエンティティ(例えば、ハードウェアおよび/またはソフトウェアの組み合わせによって実装され得る、デバイス、ゲートウェイ、サーバ/プラットフォーム等のM2M機能エンティティ)は、アプリケーションまたはサービスを提供し得る。例えば、光センサは、検出された光レベルを示すデータを提供し得、サーモスタットは、温度データ、および空調制御を調整する能力を提供し得る。このデータは、他のM2Mエンティティによってアクセスされ得、本質的に、M2Mエンティティ間でデータを交換する手段としての機能を果たす、「リソース」として利用可能にされ得る。リソースは、ユニバーサルリソースインジケータ(URI)またはユニバーサルリソースロケータ(URL)を使用してアドレス指定され得る、データの一意的にアドレス可能な表現であり得る。そのようなリソースの可用性は、M2Mエンティティが、M2Mサービス能力層(SCL)を介してこれらのエンティティの間で伝達され得る。
【0024】
M2M SCLはまた、ハードウェアまたはハードウェアおよびソフトウェアの組み合わせを使用して実装され得、上記の基準点上で露出される機能(すなわち、M2Mエンティティ間の機能インターフェース)を提供する、機能エンティティである。例えば、M2M SCLは、異なるM2Mアプリケーションおよび/またはサービスによって共有されるか、または共通で使用される共通(サービス)機能性を提供し得る。M2Mサービス能力は、露出インターフェースのセット(例えば、3GPP、3GPP2、ETSI TISPAN等によって規定される既存のインターフェース)を通して、3GPPコアネットワークアーキテクチャの機能および能力を使用し得、1つ以上の他のコアネットワークにもインターフェース接続し得る。M2Mデバイスおよびエンティティは、典型的には、M2Mネットワークドメインの中へ組織化される。多くの実装では、ネットワークSCLエンティティ(NSCL)を伴って構成されるM2Mサーバ(例えば、M2Mサーバ125)は、同一のM2Mネットワークドメイン内の他のデバイス(例えば、他のM2MデバイスおよびM2Mゲートウェイ)による使用のためのリソースおよびリソースデータを維持し得る。
【0025】
依然として図2を参照すると、NSCL126は、ネットワークドメイン122内にあり、M2Mサーバプラットフォーム125においてネットワークアプリケーション(NA)127を伴って構成され得る。NA127およびNSCL126は、基準点mIa128を介して通信し得る。mIa基準点は、NAがM2Mドメイン内のNSCLから利用可能なM2Mサービス能力にアクセスすることを可能にし得る。さらに、ネットワークドメイン122内には、M2Mゲートウェイデバイス140において構成され得る、GSCL141およびゲートウェイアプリケーション(GA)142があり得る。GSCL141およびGA142は、基準点dIa143を使用して通信し得る。さらに、ネットワークドメイン122内には、M2Mデバイス145において構成され得る、DSCL146およびデバイスアプリケーション(DA)147があり得る。DSCL146およびDA147は、基準点dIa148を使用して通信し得る。GSCL141およびDSCL146の各々は、基準点mId124を使用してNSCL126と通信し得る。一般に、dIa基準点は、デバイスおよびゲートウェイアプリケーションがそれぞれのローカルサービス能力(すなわち、それぞれ、DSCLおよびGSCLで利用可能なサービス能力)と通信することを可能にする。mId基準点は、M2Mデバイス(例えば、DSCL146)またはM2Mゲートウェイ(例えば、GSCL141)内に常駐するM2M SCLがネットワークドメイン内のM2Mサービス能力(例えば、NSCL126)と通信することを可能にし、その逆も同様である。
【0026】
典型的には、デバイス145、ゲートウェイ140、およびM2Mサーバプラットフォーム125は、図8Cおよび図8Dで図示され、以下で説明されるデバイス等のコンピュータデバイスを備えている。NSCL、DSCL、GSCL、NA、GA、およびDAエンティティは、典型的には、システム120においてそれぞれの機能を果たすように、基礎的デバイスまたはプラットフォーム上で実行する、ソフトウェアの形態で実装される論理的エンティティである。ETSI M2MアーキテクチャのM2Mサーバ125は、3GPP MTCアーキテクチャ内のSCS(例えば、図1のSCS361)であり得る。
【0027】
図2でさらに示されるように、NSCL131は、NA132とともにドメイン130内にあり得る。NA132およびNSCL131は、mIa基準点133を介して通信し得る。ネットワークドメイン135内のNSCL136、およびネットワークドメイン138内のNSCL139もあり得る。mIm基準点123は、ネットワークドメイン122内のNSCL126、ネットワークドメイン130内のNSCL131、ネットワークドメイン135内のNSCL136、またはネットワークドメイン138内のNSCL139等の異なるネットワークドメイン内のM2Mネットワークノードが互いに通信することを可能にする、ドメイン間基準点であり得る。本明細書では簡単にするために、「M2Mサーバ」という用語が、サービス能力サーバ(SCS)、NSCL、アプリケーションサーバ、NA、またはMTCサーバを示すために使用され得る。加えて、本明細書で議論される場合、ユーザ機器(UE)という用語は、GA、GSCL、DA、またはDSCLに適用され得る。UEは、例えば、マシン、センサ、アプライアンス等、移動局、固定または移動加入者ユニット、ポケットベル、携帯情報端末(PDA)、コンピュータ、携帯電話またはスマートフォン、あるいは有線または無線環境で動作することが可能な任意の他のタイプのデバイスを含む、M2MまたはMTCデバイスまたはゲートウェイ等の3GPPまたは他の無線ネットワーク内で通信することが可能な任意の無線デバイスを備え得る。
【0028】
3GPP MTCおよびETSI M2Mアーキテクチャが、本明細書で背景として説明され、以降で説明される種々の実施形態を例証するために使用され得るが、以降で説明される実施形態の実装が、本開示の範囲内にとどまりながら変動し得ることが理解される。当業者であればまた、開示された実施形態は、上記で議論される3GPPまたはETSI M2Mアーキテクチャを使用する実装に限定されないが、むしろ、oneM2M、MQテレメトリトランスポート(MQTT)、ならびに他の関連M2Mシステムおよびアーキテクチャ等の他のアーキテクチャおよびシステムでも実装され得ることも認識するであろう。
【0029】
M2Mシステムでしばしば行われる1つのプロセスは、ブートストラッピングと呼ばれる。ブートストラッピングは、エンティティ(例えば、エンドユーザデバイスおよびサーバ)が、それらの間で安全な通信を可能にする関係を確立するために相互認証および鍵合意を行うプロセスである。相互認証は、各関係者がその識別を他者に証明するプロシージャである。認証は、正規エンドユーザデバイスであると装うことによって、不正デバイスがサーバに登録することを防止することに役立つ。認証はまた、正規サーバであると装うことによって不正サーバがエンドユーザデバイスとの接続を確立することから成り得る、介入者攻撃を不正サーバが行うことを防止することにも役立つ。
【0030】
鍵合意は、セキュリティ鍵を導出するプロシージャであり、例えば、セキュリティキーを使用する暗号化プロセスによって、通信エンティティが、次いで、それらの間で通信を保証するためにセキュリティキーを使用することができる。鍵合意機構の特徴は、鍵が伝送されないことである。鍵導出機能は、例えば、エンドユーザデバイスおよびサーバのみに意図されている共有秘密値に基づき得る。この共有秘密も伝送されない。鍵導出機能は、共有秘密を知らない盗聴者にとって、鍵合意プロシージャ中に伝送されるメッセージを観察することによって鍵を計算することが極めて計算的に複雑であるように設計されている。いくつかの認証および鍵合意機構の概観が本明細書で議論される。さらなるコンテキストを開示された実施形態に与えるように、拡張認証プロトコル(EAP)、およびネットワークアクセスのための認証を搬送するためのプロトコル(PANA)等のいくつかの認証および鍵合意機構の概観が以下で議論される。
【0031】
拡張認証プロトコル(EAP)は、それ自体では認証方法ではないが、むしろ特定の認証方法を実装するために使用することができる共通認証フレームワークである。換言すると、EAPは、ピア、オーセンティケータ、および認証サーバが、どのような認証方法が使用されるであろうかを交渉することを可能にするプロトコルである。次いで、選択された認証方法が、EAPプロトコルの内側で実行される。EAPは、RFC 3748で定義されている。RFC 3748は、EAPパケット形式、プロシージャ、ならびに所望の認証機構の交渉等の基本機能を説明する。
【0032】
図4は、基本EAPアーキテクチャを図示する。図4に示され、RFC3748で説明されるように、EAPオーセンティケータ163(例えば、アクセスポイント)を介して認証サーバ162に連絡し得る、EAPピア161がある。EAPは、RadiusまたはDiameterプロトコルを使用することができる。IETFによって定義される、多くのEAP方法がある。本明細書では、ユニバーサルモバイルテレコミュニケーションズシステム(UMTS)-AKAに基づき、RFC 4187で定義される、EAP認証および鍵合意(AKA)と呼ばれるEAP方法が議論される。それにもかかわらず、本明細書で提示される概念の多くは、選択されたEAP認証方法に関係なく使用することができる。EAPは、リンク層(第2層)プロトコルとして設計された。PANAは、IPネットワークを経由してEAPメッセージを搬送するために使用され得る、プロトコルである。換言すると、PANAは、EAPのためのトランスポートである。PANAは、ネットワーク(IP)層の上で作動する。PANAは、RFC5191で定義されている。PANAは、動的サービスプロバイダ選択を可能にし、種々の認証方法をサポートし、ローミングユーザのために好適であり、リンク層機構から独立している。
【発明の概要】
【課題を解決するための手段】
【0033】
ブートストラッピングは、多くの場合、所望のレベルのセキュリティを達成するために、秘密鍵または証明書がデバイスにおいてプロビジョニングされることを要求する、高価なプロセスであり得る。これは、SCSまたはM2Mサーバとブートストラップするために必要とされる多数のデバイスにより、マシンツーマシン分野で特に重要な問題である。少なくとも2つのブートストラッピングアプローチのための方法、デバイス、およびシステムが開示される。実施形態では、サービス層は、アクセスネットワークによってすでに必要とされているものを超えてプロビジョニングする必要なく、D/GSCLがM2Mサーバとブートストラップし得るように、アクセスネットワークインフラストラクチャを活用し得る。このアプローチでは、MTC-IWFは、アクセスネットワークのAAAサーバへの安全な接続を提供し得る。サービス層鍵材料は、UEがアクセスネットワークにアタッチするときにアクセスネットワークのAAAサーバによってM2Mサーバに提供され得る。別の実施形態では、M2Mサーバがデバイスを認証および認可するためにコアネットワークのインフラストラクチャを使用するように、プロシージャが定義される。例えば、EAP-PANAベースのアプローチは、UEおよびM2MサーバがEAP-AKA-PANA認証を行うことができるように、EAP認証サーバとしてHSSを使用し得る。
【0034】
本概要は、発明を実施するための形態において以下でさらに説明される、簡略化形態の概念の選択を導入するように提供される。本概要は、請求された主題の主要な特徴または不可欠な特徴を識別することを目的としておらず、また、請求された主題の範囲を限定するために使用されることも目的としていない。さらに、請求された主題は、本開示の任意の部分で記述されるいずれかまたは全ての不利点を解決する制限に限定されない。
本発明はさらに、例えば、以下を提供する。
(項目1)
ユーザ機器であって、
プロセッサと、
前記プロセッサに連結されているメモリと
を備え、
前記メモリは、実行可能命令を記憶しており、前記命令は、前記プロセッサによって実行されると、
第1の拡張認証プロトコル(EAP)メッセージをネットワークノードに提供することであって、前記第1のEAPメッセージは、マシンツーマシンサービスプロバイダ識別子を含む、ことと、
第2のEAPメッセージを前記ネットワークノードから受信することであって、前記第2のEAPメッセージは、前記ユーザ機器がマシンツーマシンサーバサービス層と通信するときに使用されるべき暗号化鍵を導出するために前記ユーザ機器によって使用されることができるデータを含む、ことと
を含む動作を前記プロセッサに達成させる、ユーザ機器。
(項目2)
前記メモリは、前記プロセッサによって実行されると、前記第2のEAPメッセージに基づいて前記暗号化鍵を導出することを含む動作を前記プロセッサに実行させる実行可能命令をさらに備えている、項目1に記載のユーザ機器。
(項目3)
前記サービスプロバイダ識別子は、
前記ユーザ機器が接続したいサービス層を提供する企業の名前、または、
前記ユーザ機器が接続したいサービス層の名前と
を含む、項目1に記載のユーザ機器。
(項目4)
前記ネットワークノードは、信頼できる非3GPPアクセスポイントである、項目1に記載のユーザ機器。
(項目5)
前記第1のEAPメッセージは、前記ユーザ機器のアクセスネットワーク識別子、または前記ユーザ機器に割り当てられるべき特定のアプリケーション識別子に対する要求をさらに含む、項目1に記載のユーザ機器。
(項目6)
前記データは、ランダムチャレンジ、ネットワーク認証ベクトル、またはメッセージ認証コードを含む、項目1に記載のユーザ機器。
(項目7)
前記第2のEAPメッセージは、
前記ユーザ機器上のアプリケーションの識別子であって、前記アプリケーションの前記識別子は、マシンツーマシンサーバによって前記アプリケーションに割り当てられる、アプリケーションの識別子と、
マシンツーマシンサーバ上のネットワークサービス能力層の識別子であって、前記ネットワークサービス能力層の前記識別子は、前記ユーザ機器上の前記アプリケーションが接続する前記マシンツーマシンサーバ上の前記ネットワークサービス能力層を表す、ネットワークサービス能力層の識別子と
をさらに含む、項目1に記載のユーザ機器。
(項目8)
前記第1のEAPメッセージを提供することは、前記ネットワークノードから前記ユーザ機器の識別に対する要求を受信することに応答する、項目1に記載のユーザ機器。
(項目9)
第1の拡張認証プロトコル(EAP)メッセージをネットワークノードに提供することであって、前記第1のEAPメッセージは、マシンツーマシンサービスプロバイダ識別子を含む、ことと、
第2のEAPメッセージを前記ネットワークノードから受信することであって、前記第2のEAPメッセージは、デバイスがマシンツーマシンサーバサービス層と通信するときに使用されるべき暗号化鍵を導出するために前記デバイスによって使用されることができるデータを含む、ことと
を含む、方法。
(項目10)
前記メモリは、前記プロセッサによって実行されると、前記第2のEAPメッセージに基づいて前記暗号化鍵を導出することを含む動作を前記プロセッサに達成させる実行可能命令をさらに備えている、項目9に記載の方法。
(項目11)
前記サービスプロバイダ識別子は、
前記デバイスが接続したいサービス層を提供する企業の名前、または、
前記デバイスが接続したいサービス層の名前
を含む、項目9に記載の方法。
(項目12)
前記ネットワークノードは、信頼できる非3GPPアクセスポイントである、項目9に記載の方法。
(項目13)
前記第1のEAPメッセージは、前記デバイスのアクセスネットワーク識別子、または前記デバイスに割り当てられるべき特定のアプリケーション識別子に対する要求をさらに含む、項目9に記載の方法。
(項目14)
前記データは、ランダムチャレンジ、ネットワーク認証ベクトル、またはメッセージ認証コードを含む、項目9に記載の方法。
(項目15)
前記第2のEAPメッセージは、
前記デバイス上のアプリケーションの識別子であって、前記アプリケーションの前記識別子は、マシンツーマシンサーバによって前記アプリケーションに割り当てられる、アプリケーションの識別子と、
マシンツーマシンサーバ上のネットワークサービス能力層の識別子であって、前記ネットワークサービス能力層の前記識別子は、前記デバイス上の前記アプリケーションが接続する前記マシンツーマシンサーバ上の前記ネットワークサービス能力層を表す、ネットワークサービス能力層の識別子と
をさらに含む、項目9に記載の方法。
(項目16)
前記第1のEAPメッセージを提供することは、前記ネットワークノードから前記デバイスの識別に対する要求を受信することに応答する、項目9に記載の方法。
(項目17)
コンピュータ実行可能命令を備えているコンピュータ読み取り可能な記憶媒体であって、
前記命令は、コンピュータデバイスによって実行されると、
第1の拡張認証プロトコル(EAP)メッセージをネットワークノードに提供することであって、前記第1のEAPメッセージは、マシンツーマシンサービスプロバイダ識別子を含む、ことと、
第2のEAPメッセージを前記ネットワークノードから受信することであって、前記第2のEAPメッセージは、前記コンピュータデバイスがマシンツーマシンサーバサービス層と通信するときに使用されるべき暗号化鍵を導出するために前記コンピュータデバイスによって使用されることができるデータを含む、ことと
を含む前記命令を前記コンピュータデバイスに行わせる、コンピュータ読み取り可能な記憶媒体。
(項目18)
前記第1のEAPメッセージは、前記コンピュータデバイスのアクセスネットワーク識別子、または前記コンピュータデバイスに割り当てられるべき特定のアプリケーション識別子に対する要求をさらに含む、項目17に記載のコンピュータ読み取り可能な記憶媒体。
(項目19)
前記データは、ランダムチャレンジ、ネットワーク認証ベクトル、またはメッセージ認証コードを含む、項目17に記載のコンピュータ読み取り可能な記憶媒体。
(項目20)
前記第2のEAPメッセージは、
前記コンピュータデバイス上のアプリケーションの識別子であって、前記アプリケーションの前記識別子は、マシンツーマシンサーバによって前記アプリケーションに割り当てられる、アプリケーションの識別子と、
マシンツーマシンサーバ上のネットワークサービス能力層の識別子であって、前記ネットワークサービス能力層の前記識別子は、前記コンピュータデバイス上の前記アプリケーションが接続する前記マシンツーマシンサーバ上の前記ネットワークサービス能力層を表す、ネットワークサービス能力層の識別子と
をさらに含む、項目17に記載のコンピュータ読み取り可能な記憶媒体。
本発明はさらに、例えば、以下を提供する。
(項目1)
ユーザ機器であって、
プロセッサと、
前記プロセッサに連結されているメモリと
を備え、
前記メモリは、実行可能命令を記憶しており、前記命令は、前記プロセッサによって実行されると、
第1の拡張認証プロトコル(EAP)メッセージをネットワークノードに提供することであって、前記第1のEAPメッセージは、マシンツーマシンサービスプロバイダ識別子を含む、ことと、
第2のEAPメッセージを前記ネットワークノードから受信することであって、前記第2のEAPメッセージは、前記ユーザ機器がマシンツーマシンサーバサービス層と通信するときに使用されるべき暗号化鍵を導出するために前記ユーザ機器によって使用されることができるデータを含む、ことと
を含む動作を前記プロセッサに達成させる、ユーザ機器。
(項目2)
前記メモリは、前記プロセッサによって実行されると、前記第2のEAPメッセージに基づいて前記暗号化鍵を導出することを含む動作を前記プロセッサに実行させる実行可能命令をさらに備えている、項目1に記載のユーザ機器。
(項目3)
前記サービスプロバイダ識別子は、
前記ユーザ機器が接続したいサービス層を提供する企業の名前、または、
前記ユーザ機器が接続したいサービス層の名前と
を含む、項目1に記載のユーザ機器。
(項目4)
前記ネットワークノードは、信頼できる非3GPPアクセスポイントである、項目1に記載のユーザ機器。
(項目5)
前記第1のEAPメッセージは、前記ユーザ機器のアクセスネットワーク識別子、または前記ユーザ機器に割り当てられるべき特定のアプリケーション識別子に対する要求をさらに含む、項目1に記載のユーザ機器。
(項目6)
前記データは、ランダムチャレンジ、ネットワーク認証ベクトル、またはメッセージ認証コードを含む、項目1に記載のユーザ機器。
(項目7)
前記第2のEAPメッセージは、
前記ユーザ機器上のアプリケーションの識別子であって、前記アプリケーションの前記識別子は、マシンツーマシンサーバによって前記アプリケーションに割り当てられる、アプリケーションの識別子と、
マシンツーマシンサーバ上のネットワークサービス能力層の識別子であって、前記ネットワークサービス能力層の前記識別子は、前記ユーザ機器上の前記アプリケーションが接続する前記マシンツーマシンサーバ上の前記ネットワークサービス能力層を表す、ネットワークサービス能力層の識別子と
をさらに含む、項目1に記載のユーザ機器。
(項目8)
前記第1のEAPメッセージを提供することは、前記ネットワークノードから前記ユーザ機器の識別に対する要求を受信することに応答する、項目1に記載のユーザ機器。
(項目9)
第1の拡張認証プロトコル(EAP)メッセージをネットワークノードに提供することであって、前記第1のEAPメッセージは、マシンツーマシンサービスプロバイダ識別子を含む、ことと、
第2のEAPメッセージを前記ネットワークノードから受信することであって、前記第2のEAPメッセージは、デバイスがマシンツーマシンサーバサービス層と通信するときに使用されるべき暗号化鍵を導出するために前記デバイスによって使用されることができるデータを含む、ことと
を含む、方法。
(項目10)
前記メモリは、前記プロセッサによって実行されると、前記第2のEAPメッセージに基づいて前記暗号化鍵を導出することを含む動作を前記プロセッサに達成させる実行可能命令をさらに備えている、項目9に記載の方法。
(項目11)
前記サービスプロバイダ識別子は、
前記デバイスが接続したいサービス層を提供する企業の名前、または、
前記デバイスが接続したいサービス層の名前
を含む、項目9に記載の方法。
(項目12)
前記ネットワークノードは、信頼できる非3GPPアクセスポイントである、項目9に記載の方法。
(項目13)
前記第1のEAPメッセージは、前記デバイスのアクセスネットワーク識別子、または前記デバイスに割り当てられるべき特定のアプリケーション識別子に対する要求をさらに含む、項目9に記載の方法。
(項目14)
前記データは、ランダムチャレンジ、ネットワーク認証ベクトル、またはメッセージ認証コードを含む、項目9に記載の方法。
(項目15)
前記第2のEAPメッセージは、
前記デバイス上のアプリケーションの識別子であって、前記アプリケーションの前記識別子は、マシンツーマシンサーバによって前記アプリケーションに割り当てられる、アプリケーションの識別子と、
マシンツーマシンサーバ上のネットワークサービス能力層の識別子であって、前記ネットワークサービス能力層の前記識別子は、前記デバイス上の前記アプリケーションが接続する前記マシンツーマシンサーバ上の前記ネットワークサービス能力層を表す、ネットワークサービス能力層の識別子と
をさらに含む、項目9に記載の方法。
(項目16)
前記第1のEAPメッセージを提供することは、前記ネットワークノードから前記デバイスの識別に対する要求を受信することに応答する、項目9に記載の方法。
(項目17)
コンピュータ実行可能命令を備えているコンピュータ読み取り可能な記憶媒体であって、
前記命令は、コンピュータデバイスによって実行されると、
第1の拡張認証プロトコル(EAP)メッセージをネットワークノードに提供することであって、前記第1のEAPメッセージは、マシンツーマシンサービスプロバイダ識別子を含む、ことと、
第2のEAPメッセージを前記ネットワークノードから受信することであって、前記第2のEAPメッセージは、前記コンピュータデバイスがマシンツーマシンサーバサービス層と通信するときに使用されるべき暗号化鍵を導出するために前記コンピュータデバイスによって使用されることができるデータを含む、ことと
を含む前記命令を前記コンピュータデバイスに行わせる、コンピュータ読み取り可能な記憶媒体。
(項目18)
前記第1のEAPメッセージは、前記コンピュータデバイスのアクセスネットワーク識別子、または前記コンピュータデバイスに割り当てられるべき特定のアプリケーション識別子に対する要求をさらに含む、項目17に記載のコンピュータ読み取り可能な記憶媒体。
(項目19)
前記データは、ランダムチャレンジ、ネットワーク認証ベクトル、またはメッセージ認証コードを含む、項目17に記載のコンピュータ読み取り可能な記憶媒体。
(項目20)
前記第2のEAPメッセージは、
前記コンピュータデバイス上のアプリケーションの識別子であって、前記アプリケーションの前記識別子は、マシンツーマシンサーバによって前記アプリケーションに割り当てられる、アプリケーションの識別子と、
マシンツーマシンサーバ上のネットワークサービス能力層の識別子であって、前記ネットワークサービス能力層の前記識別子は、前記コンピュータデバイス上の前記アプリケーションが接続する前記マシンツーマシンサーバ上の前記ネットワークサービス能力層を表す、ネットワークサービス能力層の識別子と
をさらに含む、項目17に記載のコンピュータ読み取り可能な記憶媒体。
【図面の簡単な説明】
【0035】
添付の図面と併せて一例として挙げられる、以下の説明から、より詳細に理解され得る。
【発明を実施するための形態】
【0036】
続行する前に、本明細書で説明される実施形態は、表現状態転送(REST)アーキテクチャに関して説明され、説明される構成要素およびエンティティは、RESTアーキテクチャ(RESTfulアーキテクチャ)の制約に従い得ることに留意されたい。RESTfulアーキテクチャは、物理的構成要素の実装または使用される通信プロトコルに関するよりもむしろ、アーキテクチャで使用される構成要素、エンティティ、コネクタ、およびデータ要素に適用される制約に関して説明される。したがって、構成要素、エンティティ、コネクタ、およびデータ要素の役割および機能が説明されるであろう。
【0037】
RESTfulアーキテクチャでは、一意的にアドレス可能なリソースの表現が、エンティティ間で転送される。ETSI M2M仕様(例えば、本明細書に論じられるようなTS 102 921およびTS102 690)は、SCL上に常駐するリソース構造を標準化している。RESTfulアーキテクチャでリソースを取り扱うとき、作成(子リソースを作成する)、読み出し(リソースのコンテンツを読み取る)、更新(リソースのコンテンツを書き込む)、または削除(リソースを削除する)等のリソースに適用され得る基本的方法がある。当業者であれば、本開示の範囲内にとどまりながら、本実施形態の実装が変動し得ることを認識するであろう。当業者であればまた、開示された実施形態が、例示的実施形態を説明するために本明細書で使用されるETSI M2Mアーキテクチャを使用する実装に限定されないことも認識するであろう。開示された実施形態は、oneM2M、ならびに他のM2Mシステムおよびアーキテクチャ等のアーキテクチャおよびシステムで実装され得る。
【0038】
本明細書で議論されるEAP-PANAアプローチおよびEAPアクセスネットワークベースのアプローチは、サービス層がより軽量であることを可能にする。EAP-PANAおよびEAPアクセスネットワークベースのアプローチでは、インターフェースがM2MサーバのNSCLからアクセスネットワークへ提供されるが、このインターフェースは、ETSI M2M仕様によって完全には定義されていない。ETSI M2Mアーキテクチャ仕様の第8.3.2節、およびETMS M2M mIa、dIa、mId仕様の第6.2節を含む、ETSI M2M仕様は、本明細書で議論されるようなアクセスネットワーク支援型ブートストラッピング方法のためのサポートを提供する。本明細書で開示される鍵合意の実施例は、D/GSCLおよびM2MサーバがM2Mサービス層ルート鍵(kmr)を導出することを含む。
【0039】
本明細書で開示されるブートストラッピングアプローチは、ETSI M2Mアーキテクチャ仕様の第8.3.2節、ETSI TS 102 690、およびETSI TS 102 921で概説されるアクセスネットワーク支援型M2Mブートストラッププロシージャに類似する。以下でさらに詳細に議論されるように、ETSI M2Mアーキテクチャは、ベースラインとして使用され、プロセスをより効率的にし、アクセスネットワークの能力をより良好に活用するように拡張される。アクセスネットワークは、概して、加入者をそれらの直近のアプリケーションサービスプロバイダに接続する、テレコミュニケーションズネットワークの一部と見なされ得る。
【0040】
本明細書で開示される各ブートストラッピング方法は、(i)UEのD/GSCL(以降ではUE D/GSCL)がM2MサーバのNSCL(以降ではM2Mサーバ)と相互認証を行うことを可能にするために、コアネットワークインフラストラクチャを活用し、(ii)ブートストラッピングプロセスの一部として、サービス層ルート鍵Kmrを導出するために、コアネットワークインフラストラクチャ(例えば、ホーム公衆陸上移動ネットワーク)を活用し、(iii)ブートストラッピングプロセスが完了したときに、UE D/GSCLがM2Mサーバに登録されるように、登録プロセスを統合し得る。
【0041】
本明細書で開示されるブートストラッピングアプローチのうちの1つは、EAP-PANAベースのアプローチである。要約すると、EAP-PANAベースのアプローチは、UE D/GSCLとM2MサーバとがEAP-AKA-PANA認証を行うことができるように、EAP認証サーバ(例えば、認証サーバ162)としてホーム加入者サーバ(HSS)を使用し得る。このアプローチでは、UE D/GSCLは、EAPピア(例えば、EAPピア161)と見なされ、M2Mサーバは、EAPオーセンティケータ(例えば、EAPオーセンティケータ163)と見なされる。M2Mサーバは、マシン型通信インターワーキング機能(MTC-IWF)を介して、EAP認証サーバ(例えば、HSS)に連絡する。
【0042】
図4は、セルラーアクセスネットワークとインターワークするためのEAP-PANA-AKAアーキテクチャ170(EAP-PANAアプローチ)を表示する。UE D/GSCL171は、EAP-PANAを使用して、M2Mサーバ174に通信可能に接続される。M2Mサーバ174は、Tsp基準点178を介してEAP認証サーバ175に通信可能に接続される。EAP認証サーバ175は、S6m基準点179を介して接続される、MTC-IWF177およびHSS176を含む。EAP認証サーバ175は、非アクセス層(NAS)およびショートメッセージングサービス(SMS)等のアクセスネットワーク制御プレーン181を介して、UE171に通信可能に接続される。このアーキテクチャでは、UE D/GSCL171は、EAPピアであり、M2Mサーバ174は、EAPオーセンティケータであり、MTC-IWF177は、HSS176とともに、EAP認証サーバ175内で統合されると見なされる。
【0043】
MTC-IWF177は、M2Mサーバ174からコアネットワークトポロジーを隠す。したがって、EAP認証サーバ175は、認証、認可、および会計(AAA)サーバ(図示せず)等のHSS176以外のエンティティを含み得る。ETSI用語では、MTC-IWF177は、M2M認証サーバ(MAS)、またはMASへのインターフェースである。M2Mサービスブートストラップ機能(MSBF)は、M2Mサーバ174の一部である。
【0044】
図4に示されるEAP-PANAベースのアーキテクチャを参照すると、AKAが使用される場合、認証鍵Kiが汎用集積回路カード(UICC)(図示せず)およびHSS176の中でプロビジョニングされるため、HSS176が認証サーバとして使用される。認証鍵がUE D/GSCL171上のある他の媒体に記憶され、AAAサーバ等の別のネットワークノードにおいてプロビジョニングされる場合には、同じアーキテクチャが適用される。
【0045】
EAP-PANA-AKAブートストラッピングプロシージャの呼び出しフローが、図5で図示され、以下で議論される。図5は、UE D/GSCL191がEAP-PANA-AKAを使用してブートストラップし、M2Mサーバ192に登録するフロー190を図示する。ステップ195では、PANAクライアント開始(PCI)メッセージが、UE D/GSCL191によってM2Mサーバ192に送信される。PCIメッセージは、PANA仕様、IETF RFC 5191で定義される。ステップ195で送信されるPCIメッセージは、登録要求である。PCIメッセージの宛先IPアドレスは、M2Mサーバ192のIPアドレスであり、宛先ポート番号は、PANAポート番号(例えば、ポート716)であり得る。M2Mサーバ192は、UE D/GSCL191がPANAメッセージに対してリッスンするIPアドレスおよびポート番号を決定するために、そのメッセージのソースIPアドレスおよびポート番号を使用する。実施形態では、M2Mサーバ192がUE D/GSCL191のIPアドレスを把握し、PANAメッセージに対してリッスンするポート番号を把握している場合、M2Mサーバ192がブートストラッピングを開始することができる。例えば、M2Mサーバ192が、それが必要とするいくつかのサービスをUE191上で発見する場合に、これが所望され得る。PANA仕様は、PCIメッセージにおけるいかなる属性値ペア(AVP)も定義しない。しかしながら、ETSI仕様、ETSI TS 102 921は、PCIメッセージのために使用され得るAVPを定義する。表1は、使用され得るAVPのうちのいくつかの実施例を表示する。MSM-MSBF-ID、M2M-NSCL-ID、M2M-D/GSCL-ID、およびM2M-SP-IDは、D/GSCLが標的登録をあるMSBF、NSCL、またはサービスプロバイダに限定したい場合に使用される、随意的なAVPである。
【0046】
【表1】
【0047】
ステップ196では、PANA-Auth要求(PAR)メッセージが、UE D/GSCL191に送信される。PANA-Auth要求(PAR)メッセージは、IETF RFC 5191(PANA仕様)で定義される。M2Mサーバ192がUE D/GSCL191のIPアドレスを把握していない場合には、PARメッセージは、UE D/GSCL191が到達可能なアドレスにブロードキャスト、マルチキャスト、エニーキャストされ得る。ステップ197では、PANA仕様で定義されるPANA-Auth回答(PAN)メッセージが、M2Mサーバ192に送信される。PANメッセージは、「M2M Bootstrapping」に設定されたM2M-Usage-Type AVPを有する。
【0048】
ステップ198では、M2Mサーバ192が、MTC-IWF193へデバイス認証要求を行う。デバイス認証要求は、デバイスの3GPP外部デバイス識別子を含む。この事例に対して、本明細書でさらに詳細に議論される、デバイス情報要求(DIR)コマンドが実行され得る。DIRコマンドは、IETF RFC 4187(EAP-AKA仕様)で定義されるEAP応答/AKA識別メッセージを搬送する、EAP_Payload AVPを含み得る。EAPペイロードは、EAP応答メッセージまたはAKA識別メッセージに等しい。DIRコマンドはまた、全てEAP AKA鍵材料(EAP_AKA_KEY_MATERIAL)である、外部ID、M2MサーバID(SCS ID)、およびRequested Paramを含み得る。
【0049】
ステップ199では、MTC-IWF193が、ステップ198に関連付けられるデバイス認証要求をHSS194に送信する。デバイス認証要求を受信した後、HSS194は、ステップ200で、認証トークン(AUTN)、ランダムチャレンジ(RAND)、期待認証応答(XRES)、メッセージ認証コード(MAC)、およびM2Mルート鍵を生成するために、AKAアルゴリズムを実行する。ステップ201では、HSS194が、MTC-IWF193にEAP-AKAブートストラッピング情報を送信する。本明細書でさらに詳細に議論される、デバイス情報回答(DIA)コマンドが、実行されるコマンドであり得る。DIAコマンドは、全てEAP AKA鍵材料(EAP_AKA_KEY_MATERIAL)である、外部ID、M2MサーバID、およびRequested Paramを含み得る。DIAコマンドはまた、RAND、XRES、AUTN、MAC、およびM2Mルート鍵に等しい、鍵材料を含み得る。
【0050】
ステップ202では、MTC-IWF193が、EAP-AKAブートストラッピング情報をM2Mサーバ192に送信する。DIAコマンドは、EAP_Payload AVPを含み得る。議論されるように、EAP_Payload AVPは、EAP-AKA仕様で定義されるEAP要求/AKAチャレンジメッセージを搬送する。ステップ202でのメッセージは、ランダムチャレンジ(AT_RAND)、AUTN、およびMACを搬送する。MTC-IWF193は、XRESおよびM2Mルート鍵(Kmr)を保持する。XRESは、M2Mサーバ192に渡されない。
【0051】
ステップ203では、UE D/GSCL191が、PARメッセージを受信する。このPARメッセージのEAP_Payloadは、ステップ202からのEAP要求/AKAチャレンジメッセージを搬送する。ステップ204では、UE D/GSCL191が、AKAアルゴリズムを実行し、ランダムチャレンジ(RAND)への応答(RES)を生成し、M2Mサーバ192を認証するためにAUTNを使用する。UE D/GSCL191はまた、ETSI TS 102 921によって定義されるように、M2Mルート鍵Kmrを導出する。ステップ205では、M2Mサーバ192が、EAP-AKA仕様で定義されるEAP要求/AKAチャレンジメッセージを搬送する、PANメッセージを受信する。ステップ206では、M2Mサーバ192が、UE D/GSCL191からのRESが正しいことをチェックするために、MTC-IWF193へ別のデバイス認証要求を行う。ステップ206での要求は、UE D/GSCL191の3GPP外部デバイス識別子を含む。ステップ206では、DIRコマンドが送信され得、外部ID、M2MサーバID、EAP_Payload、およびRequested Param AVPを含む。Requested Paramは、外部ID、M2MサーバID、およびRequested Paramを含む、EAP_AKA_KEY_MATERIALに設定され得る。EAP_Payload AVPは、EAP応答メッセージまたはAKAチャレンジメッセージに等しくあり得る。
【0052】
MTC-IWF193は、ステップ206の要求を受信した後、MTC-IWF193が、ステップ207で、XRESに対してRESを比較する。ステップ208では、M2Mサーバ192が、EAP_AKA_KEY_MATERIAL(=外部ID、SCS ID、およびRequested Param)およびEAP_Payload(=EAP成功またはEAP失敗、Kmrである鍵材料)を含む、応答を受信する。EAP成功メッセージおよびEAP失敗メッセージは、EAP仕様、IETF RFC 3748で定義される。ステップ208では、EAP成功メッセージが受信されると仮定される。
【0053】
ステップ209では、UE D/GSCL191が、ステップ208に関連付けられるEAP成功メッセージ(またはEAP失敗メッセージ)を搬送する、PARメッセージを受信する。ステップ209のPARメッセージは、M2Mブートストラップ結果、M2MノードID(サービスプロバイダ割り当てノードIDを搬送する)、M2M-D/GSCL-ID、およびM2M-NSCL-ID等の追加の情報を含み得る。ステップ210では、PANメッセージが、PANAを経由したEAP-AKAプロトコルを使用する、ブートストラッピングおよびM2Mサーバ192への登録が成功したことを示す、情報(例えば、設定された完全または「C」ビット)を搬送する。
【0054】
ここで、第2のブートストラッピングアプローチを説明する。この第2のアプローチは、サービス層ブートストラッピングおよび登録のためのEAPベースのアクセスネットワーク登録を活用する(以降ではEAPアクセスネットワークベースのアプローチ)。要約すると、EAPアクセスネットワークベースのアプローチは、UE D/GSCLがアクセスネットワークで認証するためにEAP方法を使用する場合に使用され得る。このアプローチでは、MTC-IWFは、アクセスネットワーク認証サーバへの安全な接続を提供する。サービス層鍵材料は、UE D/GSCLがアクセスネットワークにアタッチするときに、アクセスネットワークのAAAサーバによってM2Mサーバに提供され得る。セキュリティ鍵を交換するためにこのアプローチを使用することによって、M2MサーバとUE D/GSCLとが、まだ安全ではないインターフェースを経由してセキュリティ鍵を交渉する必要性が回避される。このアプローチは、デバイスをM2Mサーバに接続するプロセスを簡素化し得る。
【0055】
信頼できる無線ローカルエリアネットワーク(WLAN)を介した認可および認証が、3GPP TS 33.402で定義される。図6は、本実施形態による、サービス層ブートストラッピングおよび登録のためにEAPベースのアクセスネットワーク登録を活用するためのアーキテクチャを図示する。サービス層ルート鍵は、アクセスネットワーク222に関する鍵が生成されるときに、AAAサーバ/HSS224によって生成される。MTC-IWF225は、鍵材料をM2Mサーバ229に渡すために使用されるであろう。以下でさらに詳細に議論されるフロー図が、図7Aおよび図7Bに示される。
【0056】
EAPまたは類似認証方法が、D/GSCLをアクセスネットワークとブートストラップするために使用されるとき、M2Mサーバのサービス層は、デバイスとブートストラップするプロセスを活用し得る。いくつかのアクセスネットワークは、アクセスネットワーク登録のためのEAP方法を使用する。例えば、図6を参照すると、UE D/GSCL221が信頼できるWLAN223を介して進化型パケットシステム(EPS)と接続するとき、UE D/GSCL221は、EAP-AKA’を使用してコアネットワークで認証する。AKA’(AKAプライム)は、RFC5488で定義される。AKA’は、導出された鍵(すなわち、M2Mルート鍵)がアクセスネットワーク名に基づく、AKAの変異型である。EAPアクセスネットワークベースのアプローチに対して、図3のEAPアクターは、それぞれ、図6に示されるようなアクターに以下のようにマップされるであろう。EAPピア161は、UE D/GSCL221でマップされ得、EAPオーセンティケータ163は、WLANアクセスポイント223でマップされ得、認証サーバ162は、HSS224にマップされ得る。
【0057】
図7A-図7Bは、3GPP TS 33.402の図6.2-1に基づく。3GPP TS 33.402の図6.2-1は、信頼できる非3GPPアクセスポイントを介して接続するときに、UEがどのようにして3GPPアクセスネットワークで認証し、それと鍵合意を行うかを示す。図7A-図7Bは、以下の議論とともに、UE D/GSCL221が、同時に、ブートストラップし、鍵合意を行い、M2Mサーバ229に登録することができるように、どのようにしてプロセスを拡張できるかを示す。
【0058】
以下のメッセージの説明は、サービス層ブートストラッピングをサポートするように、どのようにして呼び出しフローが拡張されるかを示す。既存のステップのさらなる詳細な説明に対して、3GPP TS 33.402の図6.2-1を参照されたい。図7A-図7Bは、(例えば、diameter接続-SWmを含む)信頼できる非3GPPネットワークを介して認証するUE D/GSCLに基づくが、デバイスがEAPベースの方法または他の類似手段を介して認証することを可能にする、サービス層ブートストラッピングのための強化を任意のアクセスネットワークに適用できることに留意されたい。
【0059】
図7Aを参照すると、ステップ247では、UE D/GSCL241が、信頼できる非3GPPアクセスポイントであるアクセスポイント242と接続する。ステップ248では、アクセスポイント242が、UE D/GSCL241の識別を要求する。ステップ249では、UE D/GSCL241が、ステップ248の識別要求に対するEAP応答を送信する。UE D/GSCL241の識別は、そのネットワークアクセス識別(NAI)であり得る。ステップ249の応答はまた、アクセスネットワーク公開ID(例えば、3GPP外部識別子)、サービスプロバイダ識別子、またはUE D/GSCL241上のアプリケーションのアプリケーションIDを含む、パラメータを搬送するAVPを含み得る。サービスプロバイダ識別子は、デバイスが接続したいサービス層を提供する企業の名前であり得、またはデバイスが接続したい特定のサービス層の名前(例えば、NSCL ID)であり得る。アプリケーションID(例えば、3GPPに対するD/GSCL ID、onM2Mに対するDAまたはNA)は、要求アプリケーション(GA、DA、DSCL、またはGSCL)が割り当てられることを要求している、名前であり得る。
【0060】
ステップ250では、アクセスポイント242が、ステップ249からの情報を、HSSでもあり得るアクセスネットワークAAAサーバ243に送信する。ステップ251-ステップ254は、概して、AKA’が使用される場合、特に、UE D/GSCL241とAAAサーバ243との間のノードが、ステップ249の元のEAP識別応答メッセージ中のユーザ識別を変更した場合、行われる。ステップ251では、AAAサーバ243が、UE D/GSCL241のAKA’識別を要求する。ステップ252では、ステップ251の要求が、UE D/GSCL241に送信される。ステップ253では、UE D/GSCL241が、(ステップ249と同様に)その識別で応答する。ステップ254では、アクセスポイント242が、ネットワークAAAサーバ243にアクセスするように、ステップ253からの情報を送信する。
【0061】
ステップ255では、HSSからの加入者情報に基づいて、AAAサーバ243は、UE D/GSCL241がEPCにアクセスすることを許可されていることを検証し、UE D/GSCL241が前のステップで名付けられたM2Mサーバ246に登録することを許可されていることを検証する。さらに明確にするために、概して、HSSは、加入者情報を保持するデータベースと見なすことができる。ここで、AAAサーバ243は、HSSにアクセスし、HSSの中の情報に基づいてAAA決定を行うことを可能にされているサーバである。ステップ256では、UE D/GSCL241がアクセスネットワークにアクセスすることを許可されている場合、AKAアルゴリズムが実行されるであろう。さらに、「アタッチメントブロック有効」フラグが有効にされている場合、またはNSCL IDがステップ253で提供された場合、AAAサーバ243は、加入者データの中で提供されるMTC-IWF245のアドレスにメッセージを送信するであろう。本明細書でさらに詳細に議論される、デバイス許可要求(DPR)コマンドが、アクションタイプ=デバイスアタッチ要求、外部ID、SCS識別子を伴って実行され得る。ステップ256でのメッセージは、S6m基準点を経由して送信される。このメッセージの目的は、UE D/GSCL 241がアタッチすることを可能にされるべきかどうか、またはアタッチするための要求が拒否されることをM2Mサーバ246が希望するかどうかを確認することである。UE D/GSCL241の名前がステップ253で提供されていた場合、このメッセージはまた、UE D/GSCL241が登録され得るように、UE D/GSCL241の名前をM2Mサーバ246に提案するためにも使用される。
【0062】
ステップ257では、MTC-IWF245は、UE D/GSCL241がアタッチすることを可能にされるべきかどうかを決定するために、メッセージをM2Mサーバ246に送信する。このメッセージは、Tsp基準点を経由して送信される。DPRコマンドは、アクションタイプ=デバイスアタッチ要求、外部IDを伴って実行され得る。ステップ258では、M2Mサーバ246は、UE D/GSCL241がアタッチすることを可能にされるべきかどうかの指示で応答する。UE D/GSCL241がアタッチすることを可能にされるべきではないとM2Mサーバ246が示す場合、M2Mサーバ246は、原因をMTC-IWF245に提供し、M2Mサーバ246は、バックオフ時間をMTC-IWF245に提供し得る。UE D/GSCL241の名前が(例えば、ステップ257でDPRを介して)提供された場合には、M2Mサーバ246からの応答は、UE D/GSCL241の名前を含む。M2Mサーバ246が提案された名前を受け入れる場合には、同一の名前がMTC-IWFに提供される。デバイス許可回答(DPA)コマンドが、ステップ258に対して実行され得る。
【0063】
ステップ259では、MTC-IWF245は、UE D/GSCL241がアタッチすることを可能にされることをM2Mサーバ246が所望するかどうかという指示をAAAサーバ243に送信する。UE D/GSCL241が今回はアタッチされる必要がないことをM2Mサーバ246が示す場合、MTC-IWF245は、原因およびバックオフ時間をAAAサーバ243に提供する。このメッセージは、S6m基準点を経由して送信され、これは、DPAコマンドを使用して実行され得る。ステップ260では、EAP MSKおよびEMSKが生成される。EAP MSKおよびEMSKは、EAPアルゴリズムから外れる標準鍵である。サービス層ルート鍵(Kmr)は、ETSI M2Mアーキテクチャ仕様の第8.3.2.3節、ETSI TS 102 690で説明されるように、AAAサーバによって生成され得る。Kmrは、(EMSK,“ETSI M2M Device-Network Root Key”|M2M-Node-ID |M2M-SP-ID)のハッシュに等しい。
【0064】
ステップ261では、AAAサーバ243が、UE D/GSCL241に向かってEAP要求を送信する。EAP方法がAKA’であるときには、このメッセージは、ランダムチャレンジ(RAND)、ネットワーク認証ベクトル(AUTN)、およびメッセージ認証コード(MAC)を含む。この識別応答は、アクセスネットワーク公開ID、NSCL ID、または割り当てられたアプリケーションID(例えば、D/GSCL ID)等のパラメータを搬送する、AVPを含み得る。アクセスネットワーク公開IDは、Kmrを生成するために使用されるM2M-Node_IDとして使用され得る。NSCL IDは、UEアプリケーション(DA、GA、DSCL、またはGSCL)が接続すべき特定のサービス層を表し、これは、Kmrを生成するために使用されるM2M-SP-IDである。割り当てられたアプリケーションIDは、NSCLによってアプリケーションに割り当てられた特定の識別子を表す。この値は、Kmrを生成するために使用されるM2M-Node_IDとして使用され得る。ステップ262では、アクセスポイント242が、ステップ261のメッセージをUE D/GSCL241に送信する。
【0065】
図7Aのフローの継続である、図7Bに示されるように、ステップ263では、UE D/GSCL241が、AKAアルゴリズムを実行し、AUTNがネットワークを認証するために正しいことを検証する。ネットワークが検証された後、UE D/GSCL214は、RESへの応答を生成する。サービス層ルート鍵(例えば、Kmr)は、ETSI M2Mアーキテクチャ仕様の第8.3.2.3節で説明されるように、UE D/GSCL241によって生成され得る。Kmrは、(EMSK,“ETSI M2M Device-Network Root Key”|M2M-Node-ID|M2M-SP-ID)のハッシュに等しい。ステップ264では、UE D/GSCL241が、ランダムチャレンジへのRESを送信する。ステップ265では、AAAサーバ243が、ステップ264のRESを受信する。ステップ266では、AAAサーバ243は、RESがXRESに等しいことを検証する。
【0066】
図7Bをさらに参照すると、ステップ267では、「到達可能インジケータ有効」フラグが有効にされている場合、またはNSCL IDがステップ253で提供された場合には、AAAサーバ243は、UE D/GSCL241の加入者データの中で提供されたMTC-IWF245のアドレスにメッセージを送信する。本明細書でさらに詳細に議論されるようなデバイス通知要求(DNR)コマンドが、アクションタイプ=デバイスアタッチイベント、外部ID、M2M識別子、鍵材料、UEサービス層IDを伴って実行され得る。ステップ267でのメッセージは、S6m基準点を経由して送信され、最終的に、UE D/GSCL241がアタッチしたことをM2Mサーバ246に知らせるであろう。
【0067】
ステップ268では、M2Mサーバ246が、Tsp基準点を経由してアタッチ通知を受信する。DNRコマンドは、アクションタイプ=デバイスアタッチイベント、鍵材料、外部IDを伴って実行され得る。ステップ269では、M2Mサーバ246が、ステップ268の受信した通知を承認する。本明細書でさらに詳細に議論されるDNAコマンドが、ステップ269で実行され得る。ステップ270では、MTC-IWF245が、S6m基準点を経由して、ステップ269の確認応答をAAAサーバ243に送信する。
【0068】
ステップ251-ステップ254と同様に、ブロック271の中のステップは、通常、AKA’が使用されているときのみに行われる。ステップ272では、AAAサーバ243およびUE D/GSCL241が、保護された成功結果指示を使用している場合には、AAAサーバ243は、EAP成功メッセージを送信することに先立って、EAP要求/AKA’通知メッセージをUE D/GSCL241に送信する。ステップ273では、アクセスポイント242が、ステップ272の応答をUE D/GSCL241に送信する。ステップ275では、UE D/GSCL241が、ステップ274でAAAサーバ243に転送されるEAP要求/AKA’通知メッセージを送信する。ステップ276では、AAAサーバ243が、ステップ277でUE D/GSCL241に転送されるEAP成功メッセージを送信する。ステップ278では、UE D/GSCL241が登録されるが、M2Mサーバは、UE D/GSCL241のIPアドレスを把握していない場合がある。UE D/GSCL241は、mIdを経由して通信を開始し得るか、またはM2Mサーバ246は、デバイストリガを送信することによって通信を開始することができる。
【0069】
アクセスネットワークがブートストラッピングを支援するので、追加の情報が、この特徴を使用することを可能にされているデバイスの加入情報の中で保持され得る。新しいアクセスネットワーク加入情報が、サービス層ブートストラッピングの認可をサポートするようにHSSに追加される。
【0070】
図8Aは、1つ以上の開示された実施形態が実装され得る、例示的マシンツーマシン(M2M)、モノのインターネット(IoT)、またはモノのウェブ(WoT)通信システム10の略図である。概して、M2M技術は、IoT/WoTのための構成要素を提供し、任意のM2Mデバイス、ゲートウェイ、またはサービスプラットフォームは、IoT/WoTの構成要素ならびにIoT/WoTサービス層等であり得る。
【0071】
図8Aに示されるように、M2M/IoT/WoT通信システム10は、通信ネットワーク12を含む。通信ネットワーク12は、固定ネットワーク(例えば、イーサネット(登録商標)、ファイバ、ISDN、PLC等)または無線ネットワーク(例えば、WLAN、セルラー等)、あるいは異種ネットワークのネットワークであり得る。例えば、通信ネットワーク12は、音声、データ、ビデオ、メッセージング、ブロードキャスト等のコンテンツを複数のユーザに提供する、複数のアクセスネットワークから成り得る。例えば、通信ネットワーク12は、符号分割多重アクセス(CDMA)、時分割多重アクセス(TDMA)、周波数分割多重アクセス(FDMA)、直交FDMA(OFDMA)、単一キャリアFDMA(SC-FDMA)等の1つ以上のチャネルアクセス方法を採用し得る。さらに、通信ネットワーク12は、例えば、コアネットワーク、インターネット、センサネットワーク、工業制御ネットワーク、パーソナルエリアネットワーク、融合個人ネットワーク、衛星ネットワーク、ホームネットワーク、または企業ネットワーク等の他のネットワークを備え得る。
【0072】
図8Aに示されるように、M2M/IoT/WoT通信システム10は、インフラストラクチャドメインおよびフィールドドメインを含み得る。インフラストラクチャドメインは、エンドツーエンドM2M展開のネットワーク側を指し、フィールドドメインは、通常はM2Mゲートウェイの背後にある、エリアネットワークを指す。フィールドドメインは、M2Mゲートウェイ14および端末デバイス18を含む。任意の数のM2Mゲートウェイデバイス14およびM2M端末デバイス18が、所望に応じてM2M/IoT/WoT通信システム10に含まれ得ることが理解されるであろう。M2Mゲートウェイデバイス14およびM2M端末デバイス18の各々は、通信ネットワーク12または直接無線リンクを介して、信号を伝送および受信するように構成される。M2Mゲートウェイデバイス14は、無線M2Mデバイス(例えば、セルラーおよび非セルラー)ならびに固定ネットワークM2Mデバイス(例えば、PLC)が、通信ネットワーク12等のオペレータネットワークを通して、または直接無線リンクを通してのいずれかで、通信することを可能にする。例えば、M2Mデバイス18は、データを収集し、通信ネットワーク12または直接無線リンクを介して、データをM2Mアプリケーション20またはM2Mデバイス18に送信し得る。M2Mデバイス18はまた、M2Mアプリケーション20またはM2Mデバイス18からデータを受信し得る。さらに、データおよび信号は、以下で説明されるように、M2Mサービス層22を介して、M2Mアプリケーション20に送信され、そこから受信され得る。M2Mデバイス18およびゲートウェイ14は、例えば、セルラー、WLAN、WPAN(例えば、Zigbee(登録商標)、6LoWPAN、Bluetooth(登録商標))、直接無線リンク、および有線を含む、種々のネットワークを介して通信し得る。
【0073】
図8Bを参照すると、フィールドドメイン内の図示したM2Mサービス層22(例えば、本明細書で説明されるようなネットワークサービス能力層(NSCL))は、M2Mアプリケーション20、M2Mゲートウェイデバイス14、M2M端末デバイス18、および通信ネットワーク12のためのサービスを提供する。M2Mサービス層22は、所望に応じて、任意の数のM2Mアプリケーション、M2Mゲートウェイデバイス14、M2M端末デバイス18、および通信ネットワーク12と通信し得ることが理解されるであろう。M2Mサービス層22は、1つ以上のサーバ、コンピュータ等によって実装され得る。M2Mサービス層22は、M2M端末デバイス18、M2Mゲートウェイデバイス14、およびM2Mアプリケーション20に適用される、サービス能力を提供する。M2Mサービス層22の機能は、例えば、ウェブサーバとして、セルラーコアネットワークで、クラウドで等、種々の方法で実装され得る。
【0074】
図示したM2Mサービス層22と同様に、インフラストラクチャドメイン内にM2Mサービス層22’がある。M2Mサービス層22’は、インフラストラクチャドメイン内のM2Mアプリケーション20’および下層通信ネットワーク12’のためのサービスを提供する。M2Mサービス層22’はまた、フィールドドメイン内のM2Mゲートウェイデバイス14およびM2M端末デバイス18のためのサービスも提供する。M2Mサービス層22’は、任意の数のM2Mアプリケーション、M2Mゲートウェイデバイス、およびM2M端末デバイスと通信し得ることが理解されるであろう。M2Mサービス層22’は、異なるサービスプロバイダによるサービス層と相互作用し得る。M2Mサービス層22’は、1つ以上のサーバ、コンピュータ、仮想マシン(例えば、クラウド/計算/記憶ファーム等)等によって実装され得る。
【0075】
図8Bも参照すると、M2Mサービス層22および22’は、多様なアプリケーションおよび垂直線が活用することができる、サービス配信能力のコアセットを提供する。これらのサービス能力は、M2Mアプリケーション20および20’がデバイスと相互作用し、データ収集、データ分析、デバイス管理、セキュリティ、課金、サービス/デバイス発見等の機能を果たすことを可能にする。本質的に、これらのサービス能力は、これらの機能性を実装する負担をアプリケーションから取り除き、したがって、アプリケーション開発を単純化し、市場に出す費用および時間を削減する。サービス層22および22’はまた、M2Mアプリケーション20および20’が、サービス層22および22’が提供するサービスと関連して、種々のネットワーク12を通して通信することも可能にする。
【0076】
いくつかの実施形態では、M2Mアプリケーション20および20’は、本明細書で議論されるようなEAPを使用して通信する、所望のアプリケーションを含み得る。M2Mアプリケーション20および20’は、限定ではないが、輸送、保健および健康、コネクテッドホーム、エネルギー管理、アセット追跡、ならびにセキュリティおよび監視等の種々の業界でのアプリケーションを含み得る。上記のように、本システムのデバイス、ゲートウェイ、および他のサーバにわたって作動するM2Mサービス層は、例えば、データ収集、デバイス管理、セキュリティ、課金、場所追跡/ジオフェンシング、デバイス/サービス発見、およびレガシーシステム統合等の機能をサポートし、サービス等のこれらの機能をM2Mアプリケーション20および20’に提供する。
【0077】
本願で使用されるEAP関連アプローチ(例えば、EAP-PANAまたはEAPアクセスネットワークベースのアプローチ)は、サービス層の一部として実装され得る。サービス層(例えば、UE D/GSCL191)は、アプリケーションプログラミングインターフェース(API)および下層ネットワーキングインターフェースのセットを通して付加価値サービス能力をサポートする、ソフトウェアミドルウェア層である。M2Mエンティティ(例えば、ハードウェアおよびソフトウェアの組み合わせによって実装され得る、デバイス、ゲートウェイ、またはサーバ/プラットフォーム等のM2M機能エンティティ)が、アプリケーションまたはサービスを提供し得る。ETSI M2MおよびoneM2Mの両方が、本発明のEAP関連アプローチを含み得るサービス層を使用する。ETSI M2Mのサービス層は、サービス能力層(SCL)と称される。SCLは、(それがデバイスSCL(DSCL)と称される)M2Mデバイス、(それがゲートウェイSCL(GSCL)と称される)ゲートウェイ、および/または(それがネットワークSCL(NSCL)と称される)ネットワークノード内で実装され得る。oneM2Mサービス層は、共通サービス機能(CSF)(すなわち、サービス能力)のセットをサポートする。1つ以上の特定のタイプのCSFのセットのインスタンス化は、異なるタイプのネットワークノード(例えば、インフラストラクチャノード、中央ノード、アプリケーション特有のノード)上でホストすることができる、共通サービスエンティティ(CSE)と称される。さらに、本願のEAP関連アプローチは、本願のEAP関連アプローチ等のサービスにアクセスするために、サービス指向アーキテクチャ(SOA)および/またはリソース指向アーキテクチャ(ROA)を使用する、M2Mネットワークの一部として実装することができる。
【0078】
図8Cは、例えば、M2M端末デバイス18またはM2Mゲートウェイデバイス14等の例示的M2Mデバイス30の系統図である。図8Cに示されるように、M2Mデバイス30は、プロセッサ32と、送受信機34と、伝送/受信要素36と、スピーカ/マイクロホン38と、キーパッド40と、ディスプレイ/タッチパッド42と、非取り外し可能メモリ44と、取り外し可能メモリ46と、電源48と、全地球測位システム(GPS)チップセット50と、他の周辺機器52とを含み得る。M2Mデバイス30は、実施形態と一致したままで、先述の要素の任意の副次的組み合わせを含み得ることが理解されるであろう。このデバイスは、EAP-PANAを使用したブートストラッピングのための開示されたシステムおよび方法を使用する、デバイスであり得る。
【0079】
プロセッサ32は、汎用プロセッサ、特殊用途プロセッサ、従来のプロセッサ、デジタル信号プロセッサ(DSP)、複数のマイクロプロセッサ、DSPコアと関連する1つ以上のマイクロプロセッサ、コントローラ、マイクロコントローラ、特定用途向け集積回路(ASIC)、フィールドプログラマブルゲートアレイ(FPGA)回路、任意の他のタイプの集積回路(IC)、状態機械等であり得る。プロセッサ32は、信号符号化、データ処理、電力制御、入出力処理、および/またはM2Mデバイス30が無線環境で動作することを可能にする任意の他の機能性を果たし得る。プロセッサ32は、伝送/受信要素36に連結され得る、送受信機34に連結され得る。図8Cは、プロセッサ32および送受信機34を別個の構成要素として描写するが、プロセッサ32および送受信機34は、電子パッケージまたはチップに一緒に組み込まれ得ることが理解されるであろう。プロセッサ32は、アプリケーション層プログラム(例えば、ブラウザ)および/または無線アクセス層(RAN)プログラムおよび/または通信を行い得る。プロセッサ32は、例えば、アクセス層および/またはアプリケーション層等で、認証、セキュリティキー一致、および/または暗号化動作等のセキュリティ動作を行い得る。
【0080】
伝送/受信要素36は、信号をM2Mサービスプラットフォーム9に伝送し、またはM2Mサービスプラットフォーム22から信号を受信するように構成され得る。例えば、実施形態では、伝送/受信要素36は、RF信号を伝送および/または受信するように構成されるアンテナであり得る。伝送/受信要素36は、WLAN、WPAN、セルラー等の種々のネットワークおよびエアインターフェースをサポートし得る。実施形態では、伝送/受信要素36は、例えば、IR、UV、または可視光信号を伝送および/または受信するように構成されるエミッタ/検出器であり得る。さらに別の実施形態では、伝送/受信要素36は、RFおよび光信号の両方を伝送および受信するように構成され得る。伝送/受信要素36は、無線または有線信号の任意の組み合わせを伝送および/または受信するように構成され得ることが理解されるであろう。
【0081】
加えて、伝送/受信要素36は、単一の要素として図8Cで描写されているが、M2Mデバイス30は、任意の数の伝送/受信要素36を含み得る。より具体的には、M2Mデバイス30は、MIMO技術を採用し得る。したがって、実施形態では、M2Mデバイス30は、無線信号を伝送および受信するための2つ以上の伝送/受信要素36(例えば、複数のアンテナ)を含み得る。
【0082】
送受信機34は、伝送/受信要素36によって伝送される信号を変調するように、および伝送/受信要素36によって受信される信号を変調するように構成され得る。上記のように、M2Mデバイス30は、マルチモード能力を有し得る。したがって、送受信機34は、M2Mデバイス30が、例えば、UTRAおよびIEEE802.11等の複数のRATを介して通信することを可能にするための複数の送受信機を含み得る。
【0083】
プロセッサ32は、非取り外し可能メモリ44および/または取り外し可能メモリ46等の任意のタイプの好適なメモリから情報にアクセスし、そこにデータを記憶し得る。非取り外し可能メモリ44は、ランダムアクセスメモリ(RAM)、読み取り専用メモリ(ROM)、ハードディスク、または任意の他のタイプのメモリ記憶デバイスを含み得る。取り外し可能メモリ46は、加入者識別モジュール(SIM)カード、メモリスティック、セキュアデジタル(SD)メモリカード等を含み得る。他の実施形態では、プロセッサ32は、サーバまたはホームコンピュータ上等のM2Mデバイス30上に物理的に位置しないメモリから情報にアクセスし、そこにデータを記憶し得る。プロセッサ32は、本明細書で説明される実施形態のうちのいくつかでのブートストラッピング(例えば、EAPを使用したブートストラッピング)が成功したか、または成功していないかどうかに応答して、ディスプレイまたはインジケータ42上の照明パターン、画像、または色を制御し、あるいは別様にリソース伝搬プロセスの状態を示すように構成され得る。ディスプレイ42を介して視認されるユーザインターフェースは、認証のためにEAP-PANA、EAPアクセスネットワークベースのアプローチ、GBA等を使用するオプションをユーザに与え得る。
【0084】
プロセッサ32は、電源48から電力を受け取り得、M2Mデバイス30内の他の構成要素への電力を分配および/または制御するように構成され得る。電源48は、M2Mデバイス30に電力供給するための任意の好適なデバイスであり得る。例えば、電源48は、1つ以上の乾電池バッテリ(例えば、ニッケルカドミウム(NiCd)、ニッケル亜鉛(NiZn)、ニッケル水素(NiMH)、リチウムイオン(Li-ion)等)、太陽電池、燃料電池等を含み得る。
【0085】
プロセッサ32はまた、M2Mデバイス30の現在の場所に関する場所情報(例えば、経度および緯度)を提供するように構成される、GPSチップセット50に連結され得る。M2Mデバイス30は、実施形態と一致したままで、任意の公的な場所決定方法を介して場所情報を獲得し得ることが理解されるであろう。
【0086】
プロセッサ32はさらに、追加の特徴、機能性、および/または有線あるいは無線接続を提供する、1つ以上のソフトウェアおよび/またはハードウェアモジュールを含み得る、他の周辺機器52に連結され得る。例えば、周辺機器52は、加速度計、e-コンパス、衛星送受信機、センサ、デジタルカメラ(写真またはビデオ用)、ユニバーサルシリアルバス(USB)ポート、振動デバイス、テレビ送受信機、ハンズフリーヘッドセット、Bluetooth(登録商標)(登録商標)モジュール、周波数変調(FM)ラジオユニット、デジタル音楽プレーヤ、メディアプレーヤ、ビデオゲームプレーヤモジュール、インターネットブラウザ等を含み得る。
【0087】
図8Dは、例えば、図8Aおよび8BのM2Mサービスプラットフォーム22が実装され得る、例示的なコンピュータシステム90のブロック図である。コンピュータシステム90は、コンピュータまたはサーバを備え得、主に、ソフトウェアの形態であり得るコンピュータ読み取り可能な命令によって制御され得、どこでも、またはどのような手段を用いても、そのようなソフトウェアが記憶あるいはアクセスされる。そのようなコンピュータ読み取り可能な命令は、コンピュータシステム90を稼働させるように、中央処理装置(CPU)91内で実行され得る。多くの既知のワークステーション、サーバ、および周辺コンピュータでは、中央処理装置91は、マイクロプロセッサと呼ばれる単一チップCPUによって実装される。他の機械では、中央処理装置91は、複数のプロセッサを備え得る。コプロセッサ81は、追加の機能を果たすか、またはCPU91を支援する、主要CPU91とは明確に異なる、随意的なプロセッサである。CPU91および/またはコプロセッサ81は、デバイス認証メッセージを交換すること等のEAPのための開示されたシステムおよび方法に関連するデータを受信、生成、および処理し得る。
【0088】
動作中、CPU91は、命令をフェッチ、復号、および実行し、コンピュータの主要データ転送経路であるシステムバス80を介して、情報を他のリソースへ、およびそこから転送する。そのようなシステムバスは、コンピュータシステム90内の構成要素を接続し、データ交換のための媒体を定義する。システムバス80は、典型的には、データを送信するためのデータライン、アドレスを送信するためのアドレスライン、ならびに割り込みを送信するため、およびシステムバスを動作させるための制御ラインを含む。そのようなシステムバス80の実施例は、PCI(周辺構成要素相互接続)バスである。
【0089】
システムバス80に連結されているメモリデバイスは、ランダムアクセスメモリ(RAM)82および読み取り専用メモリ(ROM)93を含む。そのようなメモリは、情報が記憶されること、および読み出されることを可能にする回路を含む。ROM93は、概して、容易に修正することができない、記憶されたデータを含む。RAM82に記憶されたデータは、CPU91または他のハードウェアデバイスによって読み取られ、または変更されることができる。RAM82および/またはROM93へのアクセスは、メモリコントローラ92によって制御され得る。メモリコントローラ92は、命令が実行されると、仮想アドレスを物理的アドレスに変換する、アドレス変換機能を提供し得る。メモリコントローラ92はまた、システム内のプロセスを分離し、ユーザプロセスからシステムプロセスを分離する、メモリ保護機能を提供し得る。したがって、第1のモードで作動するプログラムは、独自のプロセス仮想アドレス空間によってマップされるメモリのみにアクセスすることができ、プロセス間のメモリ共有が設定されていない限り、別のプロセスの仮想アドレス空間内のメモリにアクセスすることができない。
【0090】
加えて、コンピュータシステム90は、CPU91からプリンタ94、キーボード84、マウス95、およびディスクドライブ85等の周辺機器に命令を伝達する責任がある、周辺機器コントローラ83を含み得る。
【0091】
ディスプレイコントローラ96によって制御されるディスプレイ86は、コンピュータシステム90によって生成される視覚出力を表示するために使用される。そのような視覚出力は、テキスト、グラフィックス、動画グラフィックス、およびビデオを含み得る。ディスプレイ86は、CRTベースのビデオディスプレイ、LCDベースのフラットパネルディスプレイ、ガスプラズマベースのフラットパネルディスプレイ、またはタッチパネルを伴って実装され得る。ディスプレイコントローラ96は、ディスプレイ86に送信されるビデオ信号を生成するために必要とされる、電子構成要素を含む。
【0092】
さらに、コンピュータシステム90は、図8Aおよび8Bのネットワーク12等の外部通信ネットワークにコンピュータシステム90を接続するために使用され得る、ネットワークアダプタ97を含み得る。
【0093】
本明細書で説明されるシステム、方法、およびプロセスのうちのいずれかまたは全ては、命令が、コンピュータ、サーバ、M2M端末デバイス、M2Mゲートウェイデバイス等の機械によって実行されると、本明細書で説明されるシステム、方法、およびプロセスを行うおよび/または実装する、コンピュータ読み取り可能な記憶媒体上に記憶されたコンピュータ実行可能命令(すなわち、プログラムコード)の形態で具現化され得ることが理解される。具体的には、上記で説明されるステップ、動作、または機能のうちのいずれかは、そのようなコンピュータ実行可能命令の形態で実装され得る。コンピュータ読み取り可能な記憶媒体は、情報の記憶のための任意の方法または技術で実装される、揮発性および不揮発性、取り外し可能および非取り外し可能媒体の両方を含むが、そのようなコンピュータ読み取り可能な記憶媒体は、信号を含まない。コンピュータ読み取り可能な記憶媒体は、RAM、ROM、EEPROM、フラッシュメモリまたは他のメモリ技術、CD-ROM、デジタル多用途ディスク(DVD)または他の光学ディスク記憶装置、磁気カセット、磁気テープ、磁気ディスク記憶装置または他の磁気記憶デバイス、あるいは所望の情報を記憶するために使用することができ、コンピュータによってアクセスすることができる任意の他の物理的媒体を含むが、それらに限定されない。
【0094】
図で図示されるような本開示の主題の好ましい実施形態を説明する際に、明確にするために、特定の用語が採用される。しかしながら、請求された主題は、そのように選択された特定の用語に限定されることを目的としておらず、各特定の要素は、類似目的を達成するように同様に動作する、全ての技術的均等物を含むことを理解されたい。
【0095】
本明細書は、最良の様態を含む、本発明を開示するために、また、当業者が、任意のデバイスまたはシステムを作製して使用すること、および任意の組み込まれた方法を行うことを含む、本発明を実践することを可能にするために、実施例を使用する。本発明の特許性のある範囲は、請求項によって定義され、当業者に想起される他の実施例を含み得る。そのような他の実施例は、請求項の文字通りの言葉とは異ならない構造要素を有する場合に、または請求項の文字通りの言葉とのごくわずかな差異を伴う同等の構造要素を含む場合に、請求項の範囲内であることを目的としている。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7A】
【図7B】
【図8A】
【図8B】
【図8C】
【図8D】
