PATENTSCOPE sera indisponible quelques heures pour des raisons de maintenance le mardi 19.11.2019 à 16:00 CET
Recherche dans les collections de brevets nationales et internationales
Certains contenus de cette application ne sont pas disponibles pour le moment.
Si cette situation persiste, veuillez nous contacter àObservations et contact
1. (KR1020070090741) FRAMEWORK OF MEDIA-INDEPENDENT PRE-AUTHENTICATION SUPPORT FOR PANA
Note: Texte fondé sur des processus automatiques de reconnaissance optique de caractères. Seule la version PDF a une valeur juridique
명 세 서
PANA를 지원하는 매체-독립 사전 인증 프레임워크{FRAMEWORK OF MEDIA-INDEPENDENT PRE-AUTHENTICATION SUPPORT FOR PANA}
기 술 분 야
본 발명은 예를 들어, PANA 등을 지원하는 사전 인증을 포함하는 사전 인증 방법에 관한 것이다.
발명이 속하는 기술 및 그 분야의 종래기술
네트워크 및 인터넷 프로토콜
가장 잘 알려진 인터넷과 함께 컴퓨터 네트워크의 형태는 여러 형태가 존재한다. 인터넷은 컴퓨터 네트워크에서 있어서 가장 일반적인 네트워크이다. 오늘날, 인터넷은 공개적으로 그리고 자체 유지되고 있는 네트워크로 수백만의 사용자에 이용가능하다. 인터넷은 TCP/IP(즉, 전송 제어 프로토콜/인터넷 프로토콜(transmission control protocol/ Internet Protocol))라 하는 통신 프로토콜 세트를 이용한다. 인터넷은 인터넷 백본으로 알려진 통신 인프라스트럭쳐를 갖고 있다. 인터넷 백본에 대한 액세스는 회사와 개인에 대하여 액세스를 다시 판매하는 인터넷 서비스 제공자(ISP)에 의해 주로 제어된다.
IP(인터넷 프로토콜)에 대하여, 이 IP는 데이터를 한 디바이스(예를 들어, 폰, PDA(개인 휴대용 단말기), 컴퓨터 등)로부터 네트워크 상의 또 다른 디바이스로 데이터를 전송하는 프로토콜이다. 현재, IP는 예를 들어, IPv4, IPv6 등을 포함한 예를 들어, 여러 버전의 IP가 있다. 네트워크 상의 각각의 호스트 디바이스는 자신의 고유 식별자인 하나 이상의 IP 어드레스를 갖고 있다. IP는 무접속 프로토콜이다. 통신시의 종점들 간의 접속은 연속적이지 않다. 사용자가 데이터 또는 메시지를 송신 또는 수신하는 경우, 그 데이터 또는 메시지는 패킷이라 알려진 구성요소들로 분할된다. 각각의 패킷은 데이터의 독립 유닛으로서 처리된다.
네트워크 상의 인터넷 등을 통하여 포인트들 간의 전송을 표준화하기 위하여, OSI(개방 시스템 상호접속) 모델이 성립되었다. OSI 모델은 네트워크에서의 2개의 점들 간의 통신 처리들을 7개의 적층된 계층들로 분리하는데, 각각의 계층은 자체 펑션 세트를 추가한다. 각각의 디바이스는, 송신하는 종점에서는 계층들을 하방향 플로우로 통과하고 수신하는 종점에서는 계층들을 상방향 플로우로 통과하도록 메시지를 처리한다. 7개의 계층에 펑션을 제공하는 프로그래밍 및/또는 하드웨어는 통상 디바이스 오퍼레이팅 시스템, 애플리케이션 소프트웨어, TCP/IP 및/또는 그 외 전송 및 네트워크 프로토콜 및 그 외 소프트웨어 및 하드웨어의 조합으로 이루어진다.
통상적으로, 상위 4개의 계층은 메시지가 사용자로부터 또는 사용자로 전달되는 경우에 사용되며, 하위 3개의 계층은 메시지가 디바이스(예를 들어, IP 호스트 디바이스)를 통과하는 경우에 이용된다. IP 호스트는 예를 들어, 서버, 라우터, 또는 워크스테이션 등, IP 패킷을 송수신할 수 있는 네트워크 상의 어떤 디바이스이다. 몇몇 다른 호스트에 대해 예정된 메시지는 상위 계층까지 전달되지 않고 그 외 호스트로 전달된다. OSI 모델의 계층들은 아래와 같이 나열된다. 계층 7(즉, 애플리케이션 계층)은 예를 들어, 통신 파트너가 식별되고 서비스 품질이 식별되며 사용자 인증 및 프라이버시가 고려되고 데이터 구문 상의 제약이 식별되는 등의 계층이다. 계층 6(즉, 프리젠테이션 계층)은 예를 들어, 한 프리젠테이션 포맷으로부터 또 다른 프리젠테이션 포맷 등으로 입력 또는 출력 데이터를 변환하는 계층이다. 계층 5(즉, 세션 계층)은 예를 들어, 대화를 세트업하고 코디네이트하며 종료하고, 애플리케이션들 간을 교환하여 다이얼로그하는 등의 계층이다. 계층 4(즉, 전송 계층)는 예를 들어, 단 대 단 제어 및 에러 체크 등을 관리하는 계층이다. 계층 3(즉, 네트워크 계층)은 예를 들어, 라우팅 및 전송 등을 처리하는 계층이다. 계층 2(즉, 데이터 링크 계층)는 예를 들어, 물리 레벨에 대한 동기화를 제공하고, bit 스터핑(stuffing)을 행하며 전송 프로토콜 확인응답 및 관리 등을 제공하는 계층이다. 전기 및 전자 엔지니어 협회(IEEE)는 데이터 링크 계층을 2개의 부분 계층으로 세분하고 있는 데, 이 2 개의 부분 계층은 물리 계층으로부터 및 물리 계층으로의 데이터 송신을 제어하는 MAC(매체 액세스 제어) 및 계층 네트워크 계층과 인터페이스하고 커맨드를 해석하며 에러 리커버리를 수행하는 LLC(논리 링크 제어) 계층이 있다. 계층 1(즉, 물리 계층)은 물리 레벨에서 네트워크를 통하여 bit 스트림을 전달하는 계층이다. IEEE는 물리 계층을 PLCP(물리 계층 수속(convergence) 처리) 부분 계층과 PMD(물리 매체 종속) 부분 계층으로 세분한다.
무선 네트워크:
무선 네트워크는 예를 들어, 셀룰라 및 무선 전화기, PC(퍼스널 컴퓨터), 랩톱 컴퓨터, 착용형 컴퓨터, 코드 없는 폰, 페이저, 헤드셋, 프린터, PDA 등과 같은 여러 형태의 모바일 디바이스을 포함할 수 있다. 예를 들어, 모바일 디바이스는 음성 및/또는 데이터의 고속 무선 송신을 보장하는 디지털 시스템을 포함할 수 있다. 통상의 모바일 디바이스는 다음 나열된 구성요소의 일부 또는 전부를 포함하는데, 이 구성요소는, 트랜시버(즉, 송신기와 수신기로서, 예를 들어, 집적화된 송신기, 수신기 및 필요에 따라 다른 기능부들을 포함함), 안테나, 프로세서, 하나 이상의 오디오 트랜스듀서(예를 들어, 오디오 통신용 디바이스에서와 같은 스피커 또는 마이크로폰), (예를 들어, 데이터 처리가 제공되는 디바이스에서와 같은 ROM, RAM, 디지털 데이터 저장부 등과 같은)전자기 데이터 저장부, 메모리, 플래시 메모리, 풀 칩 세트, 또는 집적 회로, 인터페이스(예를 들어, USB, CODEC, UART, PCM 등) 등이 있다.
모바일 사용자가 무선 접속을 통하여 LAN에 접속할 수 있는 무선 LAN(WLAN)이 무선 통신용으로 채택될 수 있다. 무선 통신은 예를 들어, 광, 적외선, 라디오, 마이크로웨이브와 같은 전자기파를 통하여 전파하는 통신을 포함할 수 있다. 현재 있는 여러 형태의 WLAN으로는, 예를 들어, 블루투스, IEEE 802.11 및 HomeRF와 같은 것이 있다.
예를 들어, 블루투스 제품은 모바일 컴퓨터, 모바일 폰, 휴대용 디바이스, 개인 휴대용 단말기(PDA)와 그 외 다른 모바일 디바이스 간에 링크를 제공하여 인터넷에 대한 접속성을 제공하는데 이용된다. 블루투스는, 모바일 디바이스들이 단거리 무선 접속을 이용하여 서로 간에 또는 비모바일 디바이스와 얼마나 쉽게 상호접속할 수 있는 지를 상세 설명하는 연산 및 원거리 통신 산업 사양이다. 블루투스는 디지털 무선 프로토콜을 생성하여 데이터가 동기화를 유지시킬 필요가 있거나 디바이스 상호간에 호환이 요청되는 여러 모바일 디바이스의 확장에서 발생되는 최종 사용자 문제들을 해결함으로써 개개의 장치로부터의 기기들이 무결절성을 갖고 공동으로 작업을 수행할 수 있도록 한다. 블루투스 디바이스는 공용으로 명명되는 개념에 따라 지어진 이름이다. 예를 들어, 블루투스 디바이스는 블루투스 디바이스 이름(BDM) 또는 고유 블루투스 디바이스 어드레스(BDA)와 관련되어 있는 이름을 갖고 있다. 또한, 블루투스 디바이스는 인터넷 프로토콜(IP) 네트워크에 참여할 수 있다. 블루투스 디바이스가 IP 네트워크 상에서 기능을 하는 경우, 그 블루투스 디바이스는 IP 어드레스와 IP (네트워크) 이름을 제공받을 수 있다. 따라서, IP 네트워크 상에 참여하도록 구성되어 있는 블루투스 디바이스는 예를 들어, BDN, BDA, IP 어드레스 및 IP 네임을 포함할 수 있다. 용어 " IP 이름"은 인터페이스의 IP 어드레스에 대응하는 이름을 의미한다.
IEEE 표준, IEEE 802.11는 무선 LAN과 디바이스에 대한 기술을 구체화한다. 802.11를 이용하여, 수개의 디바이스를 지원하는 개개의 단일 기지국으로 무선 네트워킹을 구현할 수 있다. 일부 예에서, 디바이스는 무선 하드웨어와 함께 미리 미리 장착되어 구성될 수도 있고 또는 사용자가 안테나를 포함할 수 있는 카드와 같은 별도의 하드웨어 피스를 설치할 수도 있다. 예를 들어, 802.11에 통상 이용되는 디바이스는 3개의 중요한 엘리먼트와, 디바이스가 액세스 포인트(AP)에 있는 지의 여부, 모바일 스테이션(STA), 브리지, PCMCIA 카드 또는 또 다른 디바이스인, 무선 트랜시버, 안테나, 및 네트워크에서 포인트들간의 패킷 플로우를 제어하는 MAC(매체 액세스 제어) 계층을 포함한다.
또한, 다중 인터페이스 디바이스(MID)가 일부 무선 네트워크에서 이용될 수 있다. MID는 블루투스 인터페이스 및 802.11 인터페이스와 같은 2개의 독립 네트워크 인터페이스를 포함할 수 있으며, 이에 따라, 2개의 별도의 네트워크 상에 참여가능할 뿐만 아니라 블루투스 디바이스와의 인터페이스도 가능할 수 있다. MID는 IP 어드레스와, 이 IP 어드레스와 관련되어 있는 공용 IP (네트워크) 이름을 가질 수 있다.
무선 네트워크 디바이스는 블루투스 디바이스, 다중 인터페이스 디바이스(MID), 802.11x 디바이스(예를 들어, 802.11a, 802.11b, 802.11g 디바이스를 포함하는 IEEE 802.11 디바이스), HomeRF(홈 무선 주파수) 디바이스, Wi-Fi(Wireless-Fidelity), GPRS(범용 패킷 무선 서비스) 디바이스, 3G 셀룰라 디바이스, 2.5G 셀룰라 디바이스, GSM(모바일 통신용 글로벌 시스템) 디바이스, EDGE(GSM 에볼루션용 인핸스드 데이터) 디바이스, TDMA 타입 (시간 분할 다중 접속) 디바이스, 또는 CDMA2000을 포함한 CDMA 타입 (코드 분할 다중 접속) 디바이스를 포함할 수 있지만, 이들에한정 되는 것은 아니다. 각각의 네트워크 디바이스는 IP 어드레스, 블루투스 디바이스 어드레스, 블루투스 공용 이름, 블루투스 IP 어드레스, 블루투스 IP 공용 이름, 802.11 IP 공용 이름, 또는 IEEE MAC 어드레스를 포함한 여러 유형의 어드레스들을 포함할 수 있지만, 이들에 한정되는 것은 아니다.
또한, 무선 네트워크는 예를 들어, 모바일 IP(인터넷 프로토콜) 시스템이나 PCS 시스템이나 그 외 모바일 네트워크 시스템에서 구현되는 방법 및 프로토콜들을 포함할 수 있다. 모바일 IP에 대해서는, 인터넷 엔지니어링 태스크 포스(IETF)에 의해 형성된 표준 통신 프로토콜을 포함한다. 모바일 IP에서, 모바일 디바이스 사용자는 자신이 할당받은 IP 어드레스를 유지한 상태에서 네트워크 간을 이동할 수 있다. 이에 대해서는, RFC(Request for Comments) 3344를 참조한다. 주석: RFC는 인터넷 엔지니어링 태스크 포스(IETF)의 정식 도큐먼트이다. 모바일 IP는 인터넷 프로토콜(IP)을 강화하고, 자신의 홈 네트워크 외부로 접속하는 경우 모바일 디바이스로 인터넷 트래픽을 전달하는 수단을 추가한다. 모바일 IP는 자신의 홈 네트워크에 대한 홈 어드레스, 및 네트워크와 그 서브넷 내에서 디바이스의 현 위치를 식별하는 CoA(care of address)를 각각의 모바일 노드에 할당한다. 디바이스가 다른 네트워크로 이동하는 경우, 그 디바이스는 신규 CoA를 할당받는다. 홈 네트워크에 대한 모빌리티 에이전트는 각각의 홈 어드레스와 그 CoA를 연결할 수 있다. 모바일 노드는 예를 들어, 인터넷 제어 메시지 프로토콜(ICMP)을 이용하여 CoA를 변경할 때마다 바인딩 업데이트를 홈 에이전트로 송신할 수 있다.
기본 IP 라우팅에서(예를 들어, 모바일 IP 외부에서), 라우팅 메카니즘은 각각의 네트워크 노드가 예를 들어, 인터넷에 대한 일정 접속(attachment) 포인트를 항상 갖는다는 가정과, 각각의 노드의 IP 어드레스가 연결되어 있는 네트워크 링크를 식별한다는 가정에 의존한다. 이 도큐먼트에서는, 용어 "노드'는 예를 들어, 데이터 전송용 엔드 포인트 또는 재분배 포인트를 포함할 수 있으며 또 다른 노드에 대한 통신을 식별, 처리 및/또는 전송할 수 있는 접속 포인트를 포함한다. 예를 들어, 인터넷 라우터는 예를 들어, 디바이스의 네트워크를 식별하는 IP 어드레스 프리픽스 등을 조사할 수 있다. 그 후, 네트워크 레벨에서, 라우터는 예를 들어, 특정 서브넷을 식별하는 bit 세트를 조사할 수 있다. 그 후, 서브넷 레벨에서, 라우터는 예를 들어, 특정 디바이스를 식별하는 bit 세트를 조사할 수 있다. 통상적인 모바일 IP 통신에서, 사용자가 예를 들어, 인터넷으로부터 모바일 디바이스를 접속단절시킨 후, 신규 서브넷에서 모바일 디바이스와의 재접속을 시도하는 경우, 그 디바이스는 신규 IP 어드레스, 적합한 네트마스크 및 디폴트 라우터로 재구성되어야 한다. 그 외의 경우, 라우팅 프로토콜은 패킷을 적절하게 전달할 수 없게 될 것이다.
도 4는 클라이언트 디바이스와 통신하는 무선 액세스 포인트를 포함한, 일부 예시적이고 제한이 없는 구현예에서 채택될 수 있는 예시적인 아키텍쳐 구성요소를 나타낸다. 여기서, 도 4는 일반적으로 21로 나타낸 무선 LAN(WLAN)에 접속되는 예시적인 유선 네트워크(20)를 나타낸다. WLAN(21)는 액세스 포인트(AP; 22)와 복수의 사용자 스테이션(23, 24)을 포함한다. 예를 들어, 유선 네트워크(20)는 인터넷 또는 공동 데이터 처리 네트워크를 포함할 수 있다. 예를 들어, 액세스 포인트(22)는 무선 라우터일 수 있으며, 사용자 스테이션(23, 24)은 예를 들어, 휴대용 컴퓨터, 퍼스널 데스크톱 컴퓨터, PDA, 휴대용 보이스 오버 IP 전화기 및/또는 그 외 다른 디바이스일 수 있다. 액세스 포인트(22)는 사용자 스테이션(23, 24)과 통신하는 무선 네트워크(21) 및 무선 트랜시버에 연결되어 있는 네트워크 인터페이스(25)를 가질 수 있다. 예를 들어, 무선 트랜시버(26)는 사용자 스테이션(23, 24)과의 무선 또는 마이크로웨이브 주파수 통신용 안테나(27)를 포함할 수 있다. 또한, 액세스 포인트(22)는 프로세서(28), 프로그램 메모리(29) 및 랜덤 액세스 메모리(31)를 가질 수 있다. 사용자 스테이션(23)은 액세스 포인트 스테이션(22)과의 통신용인 안테나(36)를 포함하는 무선 트랜시버(35)를 갖고 있다. 이와 동일한 방식으로, 사용자 스테이션(24)는 액세스 포인트(22)와의 통신용인 안테나(39)와 무선 트랜시버(38)를 갖고 있다.
PANA:
참조를 위하여, P. Jayaraman의 "PANA Framework"(Internet-Draft, draft-ietf-pana-framework-01.txt, work in progress, July 2004)로부터 PANA와 관련된 정보를 이 세션에 포함시킨다. 여기서, PANA는 네트워크에 대한 액세스를 실현하기 원하는 노드와, 네트워크측 상의 서버 간에 실행되는 링크 계층 애그노스틱 네트워크 액세스 인증 프로토콜이다. PANA는 신규 EAP[Blunk, L., Vollbrecht, J., Carlson, J. 및 H. Levkowetz의 "Extensible Authentication Protocol (EAP)"(RFC 3748, June 2004)를 참조]와, 프로토콜 엔드 포인트 간 IP를 이용하는 하위 계층을 정의한다.
이러한 프로토콜과 요건을 정의하기 위한 동기는 Yegin, A. 및 Y. Ohda의 "Protocol for Carrying Authentication for Network Access (PANA) Requirements" (draft-ietf-pana-requirements-08 (work in progress), June 2004)에 개시되어 있다. 프로토콜 세부 내용은 Forsberg, D., Ohba, Y., Patil, B., Tschofenig, H. 및 A. Yegin의 "Protocol for Carrying Authentication for Network Access (PANA)"( draft-ietf-pana-pana-04 (work in progress), May 2004)에 개시되어 있으며, Parthasarathy, M.의 "PANA Enabling IPsec Based Access Control"[draft-ietf-pana-ipsec-03 (work in progress), May 2004]에서는, PANA-기반 인증에 따르는 액세스 제어를 위한 IPsec의 이용이 개시되어 있다. IPsec는 패킷 마다의 액세스 제어용으로 이용될 수 있지만, 그 기능성을 실현하기 위한 방법에 대해서는 개시되어있지 않다. 다른 방법들은 물리 보안 및 링크 계층 암호화에 대한 신뢰성을 포함한다. 액세스 제어를 규제하는 엔티티로부터 PANA 서버를 분리하는 것은 옵션 배치 선택으로서 고려되어 왔다. SNMP[Mghazli, Y., Ohba, Y. 및 J. Bournelle의 "SNMP Usage for PAA-2-EP Interface"(draft-ietf-pana-snmp-00(work in progress), April 2004)를 참조]는 별도의 노드들 간에 관련 정보를 전달하는 프로토콜러로서 선택되어 왔다.
PANA는 여러 형태의 배치에 대한 지원을 제공한다. 액세스 네트워크는 하위 계층 보안성의 이용가능성, PANA 엔티티의 위치, 클라이언트 IP 구성 및 인증 방법의 선택에 기초하여 달라질 수 있다.
PANA는 바로 아래 있는 보안성과 무관하게 어떠한 액세스 네트워크에도 이용될 수 있다. 예를 들어, 네트워크는 물리적으로 보안될 수도 있고 또는 성공적인 클라이언트 네트워크 인증 이후의 암호화 메카니즘에 의해 보안될 수도 있다.
이 설계에서는, PANA 클라이언트, PANA 인증 에이전트, 인증 서버, 및 실행 포인트(enforcement point)가 기능성 엔티티로 되어 있다. PANA 인증 에이전트 및 실행 포인트(들)은 (예를 들어, 액세스 포인트, 액세스 라우터, 전용 호스트와 같은) 액세스 네트워크에서의 여러 엘리먼트 상에 배치될 수 있다.
IP 어드레스 구성 메카니즘 또한 변경될 수 있다. 이에 의해, 정적 구성, DHCP, SAA(stateless address autoconfiguration)도 가능한 메카니즘으로 된다. 클라이언트가 패킷 마다의 보안성을 인에이블하기 위하여 IPsec 터널을 구성한 경우,터널 내부에서 IP 어드레스를 구성하는 것이 상응하게 되며, IKE와 같은 추가 선택이 행해진다.
PANA 프로토콜은 액세스 프로토콜에서의 클라이언트 인증 및 인가가 용이해지도록 설계된다. PANA는 EAP[Aboba, B., Blunk, L., Vollbrecht, J., Carlson, J. 및 H. Levkowetz의 "Extensible Authentication Protocol (EAP)"(RFC 3748, June 2004)를 참조]이며, 액세스 네트워크에서 클라이언트 호스트와 에이전트 간의 EAP 내부에 캡슐화되어 있는 EAP 인증 방법을 전달한다. PANA는 2개의 엔티티들 간의 인증 처리를 인에이블시키지만, 모든 AAA 및 액세스 제어 프레임워크 중 일부만이 된다. PANA를 이용한 AAA와 액세스 제어 프레임워크는 후술할 바와 같이, 그리고 도 1a 내지 도 1c에 도시한 바와 같이 4개의 기능성 엔티티를 포함한다.
첫번재 기능성 엔티티는 PANA 프로토콜의 클라이언트 구현인 PANA 클라이언트(PaC)이다. 이 엔티티는 네트워크 액세스를 요청하는 최종 호스트 상에 위치된다. 최종 호스트는 예를 들어, 무선 인터페이스 또는 유선 인터페이스를 통하여 네트워크에 접속되어 있는 랩톱, PDA, 셀폰, 데스크톱 PC 등을 포함할 수 있다. PaC 는 네트워크 액세스를 요청하고 PANA 프로토콜을 이용하는 인증 처리에 참여하는 역할을 한다.
두번째 기능성 엔티티는 PANA 프로토콜의 서버 구현인 PANA 인증 에이전트(PAA)이다. PAA는 네트워크 액세스 서비스에 대하여 PaC들을 인증하고 인가하기 위하여 PaC와 인터페이스하는 역할을 한다. PAA는 PaC의 자격 증명서(credential) 및 권리를 검증하기 위하여 인증 서버와 상담한다. 인증 서버가 PAA와 동일한 호스트 상에 위치하는 경우, 애플리케이션 프로그램 인터페이스(API)가 이러한 상호작용에 충분한 자격을 갖고 있다. (공중 액세스 네트워크에서의 보다 통상적인 경우로서) 인증 서버가 PAA와 분리되어 있는 경우, 프로토콜은 인증 서버와 PAA 간을 실행하는데 이용된다. LDAP[Hodges, J. 및 R. Morgan의 "Lightweight Directory Access Protocol (v3)"(Technical Specification, RFC 3377, September 2002) 참조]와, RADIUS[Rigney, C., Willens, S., Rubens, A. 및 W. Simpson의 "Remote Authentication Dial In User Service(RADIUS)"(RFC 2865, June 2000) 참조] 및 Diameter[Calhoun, P., Loughney, J., Guttman, E., Zorn, G. 및 J. Arkko의 "Diameter Base Protocol"(RFC 3588, September 2003) 참조]와 같은 AAA 프로토콜이 상기 목적을 위하여 널리 이용되고 있다.
또한, PAA는 인증 상태의 생성 및 삭제에 의존하여 액세스 제어 상태(즉, 필터들)를 업데이트하는 역할을 한다. PAA는 네트워크에서의 실행 포인트로 업데이트 상태를 전달한다. PAA와 EP가 동일한 호스트에 존재하고 있는 경우, API가 이러한 통신을 수행하는데 충분한 기능을 한다. 그 외의 경우, 프로토콜은 PAA로부터 EP로 인증된 클라이언트 속성을 전달하는데 이용된다. 또 다른 프로토콜을 금지시키지 않은 상태에서는, 이러한 태스크를 위하여, 현재 SNMP[Mghazli, Y., Ohba, Y. 및 J. Bournelle의 "SNMP Usage for PAA-2-EP Interface"(draft-ietf-pana-snmp-00 (work in progress), April 2004)를 참조]가 제안되고 있다.
PAA는 LAN에서의 네트워크 액세스 서버(NAS)라 통상 불리는 노드 상에 존재한다. PAA는 PaC와 동일한 IP 서브넷 상의 어떤 IP 인에이블 노드에 호스트될 수 있다. 이에 대해, DSL 네트워크에서의 BAS(broadband access server) 또는 3GPP2 네트워크에서의 PDSN를 예로 들 수 있다.
세번재 기능성 엔티티는 인증 서버(AS)로서, 이 인증 서버는 네트워크 액세스 서버를 요청하는 PaC의 자격 증명서를 검증하는 역할을 하는 서버 구현예이다. AS는 PaC를 대신하여 PAA로부터의 요청을 수신하고 인증 파라미터(예를 들어, 허용된 대역폭, IP 구성 등)와 함께 검증 결과에 응답한다. AS는 액세스 네트워크의 전용 호스트 상 또는 인터넷 상의 어떤 중앙 서버 상에서의 PAA와 동일한 호스트에 호스트받을 수 있다.
네번째 기능성 엔티티는 실행 포인트(EP)로서, 실행 포인트는 또 다른 프로토콜에 의한 액세스를 금지시킨 상태에서 인증받은 클라이언트에 대한 액세스를 가능하게 하는 역할을 하는 액세스 제어 구현예이다. EP는 PAA로부터 인증받은 클라이언트의 속성을 학습한다. EP는 비암호화 필터 또는 암호화 필터를 이용하여 데이터 패킷을 선택적으로 허용하고 폐기시킨다. 이들 필터는 링크 계층 또는 IP 계층에 적용될 수 있다. 암호화 액세스 제어를 이용하는 경우, 보안 연결 프로토콜이 PaC와 EP 간에 실행될 필요가 있다. 보안 연결 프로토콜이 무결성 보호, 데이터 기점 인증(data origin authentication), 재생 보호 및 옵션적으로 비밀 보호를 가능하게 하는데 필요한 보안 연결을 성립한 후, 링크 또는 네트워크 계층 보호(예를 들어, TKIP, IPsec ESP)가 이용된다. EP는 LAN에 전략적으로 위치되어 네트워크에 대하여 인증되지 않은 클라이언트의 액세스를 최소화시켜야 한다. 예를 들어, EP는 유선 네트워크에서 클라이언트에 직접 접속되는 스위치 상에 호스트될 수 있다. 이와 같은 방식으로, EP는 인증되지 않은 패킷이 어떤 다른 클라이언트에 도달하기 전에 또는 LAN을 벗어나기 전에 그 인증되지 않은 패킷을 누락시킬 수 있다.
엔티티들 중 일부는 배치 시나리오에 의존하여 공동 위치될 수 있다. 예를 들어, PAA와 EP는 DSL 네트워크에서의 동일한 노드(BAS) 상에 있을 수 있다. 이 경우, PAA와 EP 간에 간단한 API만으로도 충분해진다. 소형 엔터프라이즈 배치에서는, PAA와 AS는, PAA와 AS 간에 실행하는 프로토콜에 대한 필요성을 없앤 동일한 노드(예를 들어, 액세스 라우터) 상에 호스트될 수 있다. 배치 결정은 이들 엔티티를 공동 위치시킬 것인지의 결정 및 네트워크 토폴로지에서의 이들의 정확한 위치 결정이 있다.
보안 연결을 위한 IKE 또는 4-웨이 핸드쉐이크 프로토콜은 PANA를 실행하기 전에 어떤 하위 계층 보안이 없는 경우에만 요구된다. (예를 들어, DSL와 같이) 물리적으로 보안처리되는 네트워크 또는 PANA를 실행하기 전에 링크 계층 상에서 암호화로 이미 보안처리되는 네트워크(예를 들어, cdma2000)는 추가 보안 연결이나 패킷 마다의 암호화가 요구되지 않는다. 이들 네트워크는 PANA 인증 및 인가와 이미 이용가능한 하위 계층 보안 채널을 결합할 수 있다.
액세스 네트워크에 대한 EP는 어떤 인가받은 PaC로부터의 일반 데이터 트래픽을 허용하는 반면, 인가받지 못한 PaC에 대하여 트래픽(예를 들어, PANA, DHCP, 라우터 디스커버리)의 제한된 형태만을 허용한다. 이는 신규 연결된 클라이언트가 PANA에서 최소 액세스 서비스만을 허용받고 무제한 서비스에 대해서는 인가처리를 받도록 하는 것을 보장한다.
PaC는 PANA를 실행하기 전에 IP 어드레스를 구성시키는 것이 요구된다. 성공적인 PANA 인증 이후, 배치 시나리오에 의존하여, PaC는 자신의 IP 어드레스를 재구성하거나 추가 IP 어드레스(들)을 구성시킬 필요가 있다. 추가 어드레스 구성은 보안 연결 프로토콜 실행의 일부로서 실시될 수 있다.
처음에 인증되지 않는 PaC는 액세스 네트워크 상에서 PAA를 디스커버하고 후속하여 PANA를 통한 EAP 교환을 행함으로써 PANA 인증을 개시할 수 있다. 이러한 처리 동안, PAA는 AS와 상호작용한다. AS로부터 인증 및 인가 결과를 수신시, PAA는 네트워크 액세스 요청 결과를 PaC에 통지한다.
PaC가 네트워크에 대한 액세스의 획득을 인가받은 경우, PAA는 또한 SNMP를 이용하여 PaC-고유 속성(예를 들어, IP 어드레스, 암호 키 등)을 EP로 전송한다. EP는 이러한 정보를 이용하여, PaC로부터 및 PaC로의 데이터 트래픽을 통과시킬 수 있도록 필터를 변경한다.
암호화 액세스 제어가 PANA 인증 이후에 인에이블될 필요가 있을 경우, 보안 연결 프로토콜이 PaC와 EP 간에 실행된다. PaC는 이미 성공적인 PANA 교환의 결과로서 이러한 처리에 대한 입력 파라미터를 갖고 있어야 한다. 이와 유사하게, EP는 PAA로부터 SNMP를 통하여 이들 입력 파라미터를 획득해야만 한다. 보안 연결 교환은 PaC와 EP 간에 필요한 보안 연결들을 처리하여 암호화 데이터 트래픽 보호를 인에이블시킨다. 패킷 마다의 암호화 데이터는 추가적인 패킷마다의 오버헤드(additional per-packet overhead)를 도입하고 있으나, 이 오버헤드는 PaC와 EP 사이에만 존재하며, EP를 벗어난 통신에는 영향을 주지 못한다. 이러한 점에서, EP를 가능한 네트워크의 에지에 가깝게 위치시키는 것이 중요하다.
최종으로, 데이터 트래픽은 신규 인가된 PaC로 및 신규 인가된 PaC로부터의 플로우를 개시할 수 있다.
MPA 프레임워크:
매체 독립 사전 인증(MPA)은 어떤 이동성 관리 프로토콜을 갖고 어떤 링크 계층을 통하여 동작하며 이동성이 지원되는 보안 핸드오버 최적화 방식이다. MPA 에서는, 후보 목표 네트워크가 목표 네트워크로 되는 경우 모바일 노드가 후보 목표 네트워크에 연결되기 전에, 모바일 노드가 후보의 목표 네트워크로부터 IP 어드레스와 그 외 다른 구성 파라미터를 안전하게 획득할 수 있을 뿐만 아니라, 그 획득된 IP 어드레스와 그 외 다른 구성 파라미터를 이용하여 IP 패킷을 송수신할 수 있다. 이에 의해, 모바일 노드가 어떤 이동성 관리 프로토콜의 결합 업데이트를 완료하고, 링크 계층에서의 오버헤드를 수행하기 전에 신규 CoA를 이용할 수 있게 된다.
이러한 기능들은 후보 목표 네트워크에 아직 연결되지 않은 현재 네트워크에 대한 접속성을 갖는 모바일 노드로 하여금, (i) 후보 목표 네트워크와의 보안 연결을 성립시켜 후속하는 프로토콜 실행을 보장한 다음, (ii) 구성 프로토콜을 안전하게 실행시켜 후보 목표 네트워크로부터 IP 어드레스 및 그 외 다른 구성요소 파라미터들을 획득하는 것 뿐만 아니라, 터널 관리 프로토콜을 안전하게 실행시켜 후보 목표 네트워크의 액세스 라우터와 모바일 노드 간의 양방향 터널을 성립시키고 그 후, (iii) 획득된 IP 어드레스를 터널 내부 어드레스로서 이용하여, 이동성 관리 프로토콜의 결합 업데이트를 위한 시그널링 메시지를 포함하는 IP 패킷 및 결합 업데이트의 완료 이후에 송신되는 데이터 패킷을 터널을 통해 송수신하고, 최종적으로, (iv) 후보 목표 네트워크가 목표 네트워크로 되는 경우, 후보 목표 네트워크에 연결되기 직전에 터널을 삭제 또는 디스에이블시킨 다음, 모바일 노드가 인터페이스를 통하여 목표 네트워크에 연결된 직후에 그 삭제 또는 디스에이블된 터널의 내부 어드레스를 물리적 인터페이스에 재할당하게끔 함으로써 제공될 수 있다. 목표 네트워크에 연결되기 전에 터널을 삭제 또는 디스에이블하는 대신에, 목표 네트워크에 연결된 직후에 터널을 삭제 또는 디스에이블시킬 수도 있다.
특히, 세번째 과정에 의해, 모바일이 링크 계층 핸드오버를 개시하기 이전 상위 계층 핸드오버를 완료하는 것이 가능하게 된다. 이는 모바일이 터널을 통하여 결합 업데이트를 완료한 후에 송신된 데이터 패킷을 송수신할 수 있는 한편, 터널 외부에서 결합 업데이트를 완료하기 전에 전송된 데이터 패킷도 여전히 송수신할 수 있음을 의미한다.
상술한 4개의 MPA 기본 과정에서는, 첫번째 과정을 "사전 인증" 과정이라 하고, 두번째 과정을 "사전 구성" 과정이라 하며, 세번째와 네번째 과정을 합하여, "안전 프로액티브 핸드오버"라 한다. 사전 인증을 통하여 성립된 보안 연결을 "MPA-SA"라 한다. 사전 구성을 통하여 성립된 터널을 "프로액티브 핸드오버 터널"이라 한다.
MPA 프레임워크에서, 다음의 기능성 엘리먼트가 각각의 후보 목표 네트워크에 존재하여 모바일 노드인, 인증 에이전트(AA), 구성 에이전트(CA) 및 액세스 라우터(AR)와 통신할 것으로 예상된다. 이들 엘리먼트의 일부 또는 전부를 단일 네트워크 디바이스 내에 위치시킬 수도 있고 별도의 네트워크 디바이스에 위치시킬 수도 있다.
인증 에이전트는 사전 인증의 역할을 한다. 인증 프로토콜이 모바일 노드와 인증 에이전트 사이에 실행되어 MPA-SA를 성립시킨다. 인증 프로토콜은 모바일 노드와 인증 에이전트 간에 키를 유도할 수 있어야 하며, 상호 인증을 제공할 수 있어야 한다. 인증 프로토콜은 RADIUS 및 다이아미터와 같은 AAA 프로토콜과 상호작용하여 AAA 인프라스트럭쳐에서의 적절한 인증 서버로 인증 후보들을 전달할 수 있어야 한다. 이 유도된 키는, 사전 구성 및 보안 프로액티브 핸드오버에 이용되는 메시지 교환을 보호하는데 이용되는 키를 추가로 유도하는데 이용된다. 부트스트랩 링크 계층 및/또는 네트워크 계층 암호 MAY에 이용되는 그 외 키들들이 MPA-SA로부터 유도될 수 있다.
구성 에이전트는 사전 구성 과정 중 일부에 대하여 역할을 하는데, 즉, 구성 프로토콜을 안전하게 실행하여 IP 어드레스와 그 외 다른 구성요소 파라미터들을 모바일 노드에 안전하게 전달한다. 구성 프로토콜의 시그널링 메시지는 MPA-SA에 대응하는 키로부터 유도되는 키를 이용하여 보호되어야 한다.
액세스 라우터는 사전 구성 과정 중 또 다른 부분에 대하여 역할을 하는, 즉, 터널 관리 프로토콜을 안전하게 실행하여 프로액티브 핸드오버 터널을 성립시키는 라우터이며, 프로액티브 핸드오버 터널을 이용하여 프로액티브 핸드오버를 안전하게 한다. 구성 프로토콜의 시그널링 메시지는 MPA-SA에 대응하는 키로부터 유도되는 키를 이용하여 보호되어야 한다. 프로액티브 핸드오버 터널을 통하여 전송되는 IP 패킷은 MPA-SA에 대응하는 키로부터 유도되는 키를 이용하여 보호되어야 한다.
여기 설명된 바람직한 일부 실시형태에서는, 다른 매체의 상위 계층과 하위 계층 콘텍스트를 프로액티브하게 성립시키는 시스템 및 방법을 개시한다. 여기서, 매체는 예를 들어, 모바일 디바이스에 대해 액세스가능한 이용가능 네트워크(예를 들어, 유선, 무선 라이센스된, 무선 라인센스받지 못한 것 등)를 포함한다. 예를 들어, IEEE. 802.21를 포함하는 IEEE. 802에 개시된 매체를 참조한다. 매체는 예를 들어, 무선 LAN(예를 들어, IEEE. 802.11), IEEE. 802.16, IEEE. 802.20, 블루투스 등을 포함할 수 있다. 일부 예시적인 실시형태는 1) 예를 들어, 무선 인터페이스를 동시에 성립시키기 보다는 셀룰라 네트워크를 통하여 초기에 정보(예를 들어 키)를 획득하여 WIFI를 획득하려 시도하는 셀 인터페이스와 무선 인터페이스를 갖는 셀 폰과 같이 모바일 디바이스가 셀룰라 네트워크로부터 무선 또는 WIFI 네트워크로 전환하는 것, 2) 모바일 디바이스가 현재 무선 또는 WIFI 접속성을 갖고 있는 경우, 무선 WLAN이 잠재적으로 순간 셧다운되는 등이 발생될 수 있는 경우, 이러한 경우에는, 예를 들어, 모바일 디바이스가 (즉, 필요에 따라 고속 전환할 수 있도록) 셀룰라 네트워크를 통하여 사전 인증을 프리액티브하게 행할 수 있는 것을 포함한다. 일부 예시적인 경우에, 단일 IEEE. 802.xx 인터페이스를 갖는 모바일 노드가 다중 서브넷과 다중 관리 도메인들 간을 로밍할 수 있다. 다중 인터페이스를 항상 온으로 유지시키는 옵션인 상태에서는, 모바일 노드가 어떤 순간(예를 들어, 전력을 저장하는 등과 같은 순간)에 사용되지 않는 인터페이스를 비활성화시킬 것을 원할 수 있다. 또한, 무엇보다도, MPA는 다중 인터페이스의 사용 뿐만 아니라 서브넷 간 핸드오프, 도메인 간 핸드오프, 테크놀로지 간 핸드오프 등를 위하여 동작하는, 안전성 및 무결절성의 이동성 최적화를 제공할 수 있다.
[기술적 배경이 되는 참조 문헌]
본 발명은 무엇보다도 다음 참조 문헌에 설명되어 있는 시스템 및 방법에 비하여 여러 개선 및 진보성을 제공하는데, 여기서는, 이 참조 문헌의 전체 개시된 내용을 참조로서 포함하고 있다.
1. [I-D.ietf-pana-pana] Forsberg, D., Ohba, Y., Patil, B., Tschofenig, H. 및 A. Yegin의 "Protocol for Carrying Authentication for Network Access (PANA)"( draft-ietf-pana-pana-08 (work in progress), May 2005)
2. [I-D.Ohba-mobopts-mpa-framework] A. Dutta, Y. Ohba, K. Taniuchi 및 H. Schulzrinne, "A Framework of Media Independent Pre-Authentication(MPA)"( draft-Ohba-mobopts-mpa-framework-00(work in progress), February 2005)
3. [RFC2119] Bradner, S., "Key words for use in RFCs to indicate Requirement Levels"(BCP 14, RFC 2119, March 1997.)
4. [I-D.pana-mobopts] Forsberg, D."PANA Mobility Optimizations"(draft-ietf-pana-mobopts-00(work in progress), January 2005)
5. [I-D.bournelle-pana-ctp] Bournelle, J., "Use of Context Transfer Protocol(CxTP) for PANA"(draft-bournelle-pana-ctp-03(work in progress), June 2005)
6. [I-D.ietf-seamoby-ctp] Loughney, J. "Context Transfer Protocol"(draft-ietf-seamoby-ctp-11(work in progress), August 2004)
발명의 상세한 설명
본 발명은 상술한 및/또는 이하의 배경 기술 및/또는 문제를 개선한다.
일부 바람직한 실시형태에 따르면, 방문 네트워크에서의 모바일 노드와, 그 모바일 노드가 이동할 수 있는 또 다른 네트워크에서의 인증 에이전트 간의 보안 연결을 프로액티브하게 성립시키기 위한 방법을 제공하며, 본 방법은 통신 사전 인증 보안 연결을 성립시키기 위한 것인지를 나타내는 메시지 헤더에서의 플래그를 이용하여 사전 인증을 협상하는 단계와; 인증 에이전트와 모바일 노드 중 하나가 그 메시지 헤더에서의 플래그 세트를 가진 메시지를 전송하여 사전 인증을 개시하고, 인증 에이전트와 모바일 노드 중 나머지 하나가, 사전 인증을 지원하는 경우에만 그 메시지 헤더에서의 플래그 세트로 응답하는 단계를 포함한다. 일부 예에서는, 본 방법은 또 다른 네트워크의 서버에서 인증 에이전트와 모바일 노드 간에 링크 계층 아그노스틱 네트워크 액세스 인증 프로토콜을 이용하여 사전 인증을 수행하는 단계를 더 포함한다. 또 다른 일부 예에서는, 본 방법은 다중 관리 도메인에 걸쳐 사전 인증을 수행하는 단계를 더 포함한다. 또 다른 일부 예에서는, 본 방법은 매체 독립 사전 인증의 프레임워크에서 사전 인증을 수행하는 단계를 더 포함한다. 또 다른 일부 예에서는, 본 방법은 방문 네트워크가 제1 매체이고 또 다른 네트워크가 다른 매체이며, 제1 매체가 셀룰라이고 다른 매체가 무선 LAN이거나 제1 매체가 무선 LAN이고 다른 매체가 셀룰라인 것을 더 포함한다. 또 다른 일부 예에서는, 본 방법은 사전 인증을 지원하지 않은 경우, 모바일 노드와 인증 에이전트 중 나머지 하나가 에러 메시지로 응답하는 것을 더 포함한다.
또 다른 일부 예에서는, 본 방법은 PANA를 네트워크 액세스 인증 프로토콜로서 채택하는 것을 더 포함한다. 바람직한 실시형태에서, 본 방법은 플래그가 PANA 헤더의 P-플래그를 포함하는 것을 더 포함한다. 일부 예에서, 본 방법은 모바일 노드가 P-플래그 세트를 가진 PANA-PAA-디스커버 메시지를 전송하여 사전 인증을 개시시키거나 사전 인증 에이전트가 P-플래그 세트를 가진 PANA-Start-Request 메시지를 전송하여 사전 인증을 개시시키는 것을 더 포함한다.
일부 실시형태에 따르면, 방문 네트워크로부터, 모바일 노드가 이동할 수 있는 또 다른 네트워크에서의 인증 에이전트와 보안 연결을 프로액티브하게 성립시키도록 구성된 모바일 노드가 제공되며, 모바일 노드는 통신이 사전 인증 보안 연결을 성립시키기 위한 것인지를 나타내는 메시지 헤더에서의 플래그를 이용하여 사전 인증을 협상하도록 구성되며, 모바일 노드는 인증 에이전트와 모바일 노드 중 하나가 그 메시지 헤더에서의 플래그 세트를 가진 메시지를 전송하여 사전 인증을 개시하고, 인증 에이전트와 모바일 노드 중 나머지 하나가, 사전 인증을 지원하는 경우에만 그 메시지 헤더에서의 플래그 세트로 응답하도록 구성된다.
일부 실시형태에 따르면, 모바일 노드가 이동할 수 있는 또 다른 네트워크에 인증 에이전트가 있는 상태에서, 방문 네트워크로부터의 모바일 노드와 보안 연결을 프로액티브하게 성립시키도록 구성된 인증 에이전트는, 통신이 사전 인증 보안 연결을 성립시키기 위한 것인지를 나타내는 메시지 헤더에서의 플래그를 이용하여 사전 인증을 협상하도록 구성된 인증 에이전트 노드와; 인증 에이전트와 모바일 노드 중 하나가 그 메시지 헤더에서의 플래그 세트를 가진 메시지를 전송하여 사전 인증을 개시하고, 인증 에이전트와 모바일 노드 중 나머지 하나가, 사전 인증을 지원하는 경우에만 그 메시지 헤더에서의 플래그 세트로 응답하도록 구성되는 인증 에이전트를 포함한다.
도면의 간단한 설명
상술한 여러 실시형태의 양태, 특징, 이점 및/또는 또 다른 양태, 특징, 이점을, 첨부한 도면을 참조하여 보다 자세히 설명한다. 여러 실시형태는 적용가능한 여러 양태, 특징 및/또는 이점을 포함하고 및/또는 실행할 수 있다. 또한, 여러 실시형태는 적용가능한 또 다른 실시형태의 하나 이상의 양태 또는 특징을 결합할 수 있다. 특정 실시형태의 양태, 특징 및/또는 이점들은 또 다른 실시형태나 청구범위를 한정하지 않는 것으로 간주한다.
도 1은 일부 예시적인 실시형태에 따른 PaC 개시 사진 인증 호출 플로우를 나타내는 도면이다.
도 2는 일부 예시적인 실시형태에 따른 PAA 개시 사전 인증 호출 플로우를 나타내는 도면이다.
도 3은 일부 예시적인 실시형태에 따른 예시적인 P-플래그 특징을 나타내는 도면이다.
도 4는 본 발명의 일부 예시적인 실시형태에 따른 사용자 스테이션 또는 클라이언트 디바이스와 예시적인 액세스 포인트의 예시적인 서브컴포넌트를 나타내는 아키텍쳐 도면이다.
실 시 예
본 발명의 바람직한 실시형태를, 첨부한 도면을 통하여 제한없이 예를 들어 설명한다.
본 발명은 여러 상이한 형태로 구현될 수 있으며, 본 발명의 개시된 내용은 본 발명의 원리의 실시예를 제공하기 위한 것일 뿐 여기 개시되거나 및/또는 설명되어 있는 바람직한 실시형태로 본 발명을 한정하기 위한 것이 아니라는 기초하에 여러 예시적인 실시형태를 설명한다.
이하 설명에서는 다음 용어를 이용하고 있다.
액세스 네트워크: PaC가 하나 이상의 PAA에 의해 제어되는 하나 이상의 EP를 통하여 인터넷에 접속할 수 있는 네트워크. 이 액세스 네트워크는 다수의 IP 링크를 포함할 수 있다.
로컬 PAA: PaC(PANA 클라이언트)가 접속되어 있는 방문 네트워크에 있는 PAA(PAA 인증 에이전트). 용어 "로컬"은 특정 PaC의 위치와 관련되어 있다.
원격 PAA: 방문 네트워크 이외의 네트워크에 있는 PAA. 즉, PAA는 PaC에 대한 PAA가 아닌 PAA이다. 용어 "원격"은 특정 PaC의 위치와 관련되어 있다. 한 PaC에 대한 원격 PAA인 PAA는 또 다른 PaC에 대한 로컬 PAA일 수 있다.
로컬 PaC: 특정 PAA와 동일한 액세스 네트워크에 있는 PaC. 용어, "로컬"은 특정 PAA의 위치와 관련되어 있다.
원격 PaC: 특정 PAA에 대한 로컬 PaC가 아닌 PaC. 용어 "원격"은 특정 PAA의 위치와 관련되어 있다. 한 PAA에 대한 원격 PaC인 PaC는 또 다른 PAA에 대한 로컬 PaC일 수 있다.
액티브 PAA: PaC가 PANA 세션을 갖는 로컬 PAA.
예비 PAA: PaC와의 사전 인증을 수행하는 원격 PAA. 한 PaC에 대한 예비 PAA로서 기능하는 PAA는 또 다른 PaC에 대한 액티브 PAA로서 기능할 수 있다.
사전 인증: PANA 환경에서, 예를 들어, PaC와 예비 PAA 간에 수행되는 사전 인증을 수반할 수 있다.
사전 인증 SA: PANA 환경에서, 예를 들어, 성공적인 사전 인증의 결과로서, PaC와 예비 PAA 간에 성립되어 있는 PANA SA(보안 연결).
액티브 SA: PANA 환경에서, 예를 들어, PaC와 액티브 PAA 간에 성립되어 있는 PANA SA.
사전 인가: PANA 환경에서, 예를 들어, 성공적인 사전 인증의 결과로서 예비 PAA에 의해 PaC에 대하여 이루어지는 인가.
사후 인가: PANA 환경에서, 예를 들어, 예비 PAA로서 작용하고 액티브 PAA로 되는 PAA에 의해 PaC에 대하여 이루어지는 인가.
1. 바람직한 실시형태:
무엇보다도, 바람직한 실시형태는 방문 네트워크에서의 PaC와, PaC가 이동할 수 있는 또 다른 네트워크에서의 PAA 간에 PANA SA(보안 연결)를 프로액티브하게 성립시키는데 이용되는 PANA 프로토콜[I-D.ietf-pana-pana]에 대한 확장을 정의한다. 바람직한 실시형태에서, 이 메카니즘은 다수의 관리 도메인에 걸쳐 동작한다. 또한, 이 메카니즘은 MPA(매체 독립 사전 인증)[I-D.Ohba-mobopts-mpa-framework]의 프레임워크에서 인증 프로토콜로서 바람직하게 이용된다.
1. (다중 PANA 세션). 사전 인증을 지원하는 PaC는 예비 PAA에 대한 하나 이상의 PANA 세션에 더하여 로컬 PAA들 중 하나에 대한 PANA 세션을 가질 수 있다.
2. (사전 인증의 초기화). 사전 인증은 PaC와 PAA 양쪽에 의해 개시될 수 있다.
3. (사전 인증의 협상). 신규 플래그 P-플래그는 PANA 헤더에서 정의된다. 사전 인증이 수행되는 경우, PANA 메시지는 PANA 실행이 사전 인증 SA를 성립시키기 위한 것인지를 나타내는 신규 플래그를 포함할 수 있다. 바람직한 실시형태에서, 사전 인증은 이하에서와 같이 PANA 디스커버리와 초기 핸드쉐이크 단계에서 협상될 수 있다.
PaC가 사전 인증을 개시하는 경우, P-플래그 세트를 가진 PANA-PAA-디스커버 메시지를 송신한다. PAA는 사전 인증을 지원하는 경우에만 P-플래그 세트를 가진 PANA-Start-Request 메시지로 응답한다. 그 외의 경우, 신규 결과 코드 "PANA_HDR_BIT_UNSUPPORTED"를 가진 PANA-에러 메시지를 송신한다.
PAA가 사전 인증을 개시하는 경우, P-플래그 세트를 가진 PANA-Start-Request 메시지를 송신한다. PaC는 사전 인증을 지원하는 경우에만, P-플래그 세트를 가진 PANA-Start-ANSWER 메시지로 응답한다. 그 외의 경우, 신규 결과 코드 "PANA_HDR_BIT_UNSUPPORTED"를 가진 PANA-에러 메시지를 송신한다.
PaC와 PAA가 디스커버리 및 헨드쉐이크 단계 동안에 사전 인증을 수행하는 것에 대해 동의하면, 이들 사이에 교환되는 후속하는 PANA 메시지는 P-플래그 세트를 갖는다.
4. (사전 인증 SA로부터 액티브 SA로의 전환). PaC의 이동으로 인하여, 예비 PAA가 액티브 PAA로 되는 경우, PaC는 PAA가 있는 원격 네트워크로부터 구한 PaC의 신규 어드레스의 PAA를 업데이트하기 위하여 PANA-업데이트 교환을 이용하여 IP 어드레스 업데이트 과정을 수행한다. PANA-업데이트 과정의 완료는 사전 인증 SA로부터 액티브 SA로 변경할 수 있다. P-플래그는 PANA-업데이트 메시지와 후속하는 PANA 메시지 내에 설정되지 않는다.
5. (예비 PAA를 변경하지 않고 액티브 PAA를 변경하는 핸드오버). 액티브 PAA를 가진 액티브 SA와 예비 PAA를 가진 사전 인증 SA를 갖고 있는 PaC가 예비 PAA를 변경하는 일 없이 액티브 PAA를 변경하는 경우에는, PaC는 신규 액티브 PAA가 있는 원격 네트워크로부터 구한 PaC의 신규 어드레스의 PAA를 업데이트하기 위하여 PANA-업데이트 교환을 이용하여 IP 어드레스 업데이트 과정을 수행한다. PANA-업데이트 과정의 완료는 사준 인증 SA를 액티브 SA로 변경하지 않는다. P-플래그는 PANA-업데이트 메시지와 후속하는 PANA 메시지 내에 설정되지 않는다.
6. (사전 인증 SA의 삭제). 사전 인증 SA와 PaC와 사전 인증 PAA 간의 대응하는 PANA 세션은 PANA 프로토콜의 터미네이션 단계에 진입한 다음 그 단계에 대하여 요청되는 과정을 수행함으로써 삭제될 수 있다.
7. (원격 PAA의 디스커버). 원격 PAA를 디스커버하는데는 IEEE 802.21에서 정의되는 정보 서비스를 포함하여 여러 방법이 있으며, 이러한 방법은 당해 기술분야의 당업자에 의해 구현될 수 있다.
8. (예비 PAA의 위치). 예비 PAA는 사전 인증을 지원하지 않는 PAA와 동일한 방향에 위치해야 한다. 예를 들어, 예비 PAA는 네트워크의 진입을 향하는 액세스 링크 외의 어떤 위치 또는 각각의 액세스 링크에 위치될 수 있다.
9. (인가). PaC에 대한 사전 인가 및 사후 인가는 별개의 인가 정책을 가질 수 있다. 예를 들어, 사전 인가 정책이 PaC가 예비 PAA의 제어 하에서 이피(들)를 통하여 패킷을 송수신하지 못하도록 할 수 있는 반면, 사전 인가와 사후 인가 정책이 EP(들)에 대한 자격 증명서를 설치하도록 할 수 있는 데, 여기서, 자격 증명서는 패킷 마다의 암호 필터링에 대한 보안 연결을 성립시키는데 이용된다.
2. 추가 설명:
PANA 프로토콜[I-D.ietf-pana-pana를 참조]은 액세스 네트워크에서 PaC(PANA 클라이언트)와 PAA(PANA 인증 에이전트) 간에 EAP 메시지를 전달한다. PaC가 모바일 디바이스이고 자신의 애플리케이션을 실행시킨 상태에서 한 액세스 네트워크로부터 또 다른 액세스 네트워크로 이동할 수 있는 경우, PaC는 핸드오버 기간 동안에 애플리케이션의 성능을 열화시키지 않고 무결절성으로 핸드오버를 수행하는 것이 바람직하다. 핸드오버가 PaC에게 신규 액세스 네트워크에서의 PAA와 PANA 세션을 성립시키도록 요청하는 경우, PANA 세션을 성립시키는 시그널링을 가능한 고속으로 완료해야 한다.
핸드오버[I-D.pana-mobopts 참조] [I-D.bournelle-pana-ctp 참조] 상의 신규 PAA와의 PANA 세션을 성립시키기 위한 시그널링 지연을 감소시키는 최적화 방법은 컨텍스트 전송 프로토콜(CTP)[I-D.ietf-seamoby-ctp 참조]에 기초한다.
CTP 기초 방법은 이하의 결함을 포함하여 여러 문제를 갖고 있다. 첫번째로, 상이한 관리 도메인들에서의 PAA들 간에는 보안 연결을 갖는 것이 실제적으로 어렵기 때문에 다수의 관리 도메인들에 걸친 핸드오버를 적용할 수 없다. 둘째로, 단일 관리 도메인 내에서조차, CTP 기초 방법은 예를 들어 NAP와 ISP 별도 인증의 이용과 같이, 이전 액세스 네트워크와 신규 액세스 네트워크가 상이한 인가 특징들을 가질 경우 실행이 어렵게 된다. 세번째로, CTP 기초 방법은 PaC와 이전 액세스 네트워크에서의 PAA 간에 이용되는 AAA-키로부터, PaC와 신규 액세스 네트워크에서의 PAA 간에 이용되는 PANA_MAC_키를 유도하는 것에 의존하는데, 이것은 PAA들 간에 충분한 암호 분리를 제공하지 못한다.
CTP 기초 방법에서의 문제를 해결하기 위하여, 바람직한 실시형태는 EAP 인증을 프로액티브하게 실행시키고 액세스 네트워크에서의 PaC와, PaC가 이동할 수 있는 또 다른 액세스 네트워크에서의 PAA 간에 PANA SA를 성립시키는데 이용되는 PANA 프로토콜[I-D.ietf-pana-pana를 참조]에 대한 확장을 제공한다. 바람직한 실시형태에서, 이 방법은 복수의 관리 도메인들에 걸쳐 실시한다. 또한, 이 방법은 MPA(매체 독립 사전 인증)[I-D.Ohba-mobopts-mpa-framework]의 프레임워크에서 인증 프로토콜로서 바람직하게 이용된다.
본 방법이 CTP 기초 방법(즉, 단일 관리 도메인에서의 균일한 인가 특성)에 의해서도 포함되는 경우를 포함하고 있지만, 일부 바람직한 실시형태에서, 본 방법은 CTP 기초 방법을 대체하지 않는다. 그 대신에, 일부 바람직한 실시형태에서는, 본 방법은 CTP 기초 방법에 의해 포함되지 않는 경우에도 적용되며, 그 경우에, CTP 기초 방법에 의해 포함되는 경우를 위하여 CTP 기초 방법을 이용할 수 있다.
사전 인증 과정:
상술한 바와 같이, 사전 인증을 지원하는 PaC는 예비 PAA들에 대한 하나 이상의 PANA 세션 뿐만 아니라 로컬 PAA들 중 하나에 대한 PANA 세션을 가질 수 있다. 또한, 상술한 바와 같이, 원격 PAA를 디스커버하는 방법에는 여러개가 있지만, 원격 PAA-디스커버리 및 원격 PaC 디스커버리는 이 제안 범위 외에 있다. 또한, 언제 어느 원격 PAA 사전 인증이 수행되는지에 대해서도 여러 기준이 있을 수 있다. 이러한 기준은 주변환경에 의존하며 구현 사양이 될 수 있다.
사전 인증은 PaC와 예비 PAA 모두에 의해 개시될 수 있다. 상술한 바와 같이, 바람직한 실시형태에서는, 신규 플래그 P-플래그가 PANA 헤더에 정의된다. 사전 인증이 수행되면, 이 PANA 실행이 사전 인증 SA를 성립시키기 위한 것인지를 나타내기 위하여 PANA 메시지의 P-플래그가 설정된다. 바람직한 실시형태에서, 사전 인증은 PANA 디스커버리 및 핸드쉐이크 단계에서 다음과 같이 협상된다.
PaC가 사전 인증을 개시하는 경우, PaC는 P-플래그 세트를 가진 PANA-PAA-디스커버 메시지를 송신한다. PANA-PAA-디스커버 메시지는 유니캐스트되어야 한다. PAA는 사전 인증을 지원하는 경우에만 P-플래그 세트를 가진 PANA-Start-Request 메시지로 응답한다. 그 외의 경우, PAA는 메시지를 조용히 폐기해야 한다.
예비 PAA가 사전 인증을 개시하는 경우, P-플래그 세트를 가진 PANA-Start-Request 메시지를 송신한다. PaC는 사전 인증을 지원하는 경우에만 P-플래그 세트를 가진 PANA-Start-ANSWER 메시지로 응답한다. 그 외의 경우, PaC는 그 메시지를 조용히 폐기해야 한다.
PaC와 예비 PAA가 디스커버리 및 핸드쉐이크 단계 동안에 사전 인증을 수행하는 것에 동의하였다면, PaC와 예비 PAA 간에 교환되는 후속하는 PANA 메시지가 P-플래그 세트를 가져야 한다.
예비 PAA가 PaC의 이동으로 인해 액티브 PAA가 되는 경우, PaC는 PAA가 있는 원격 네트워크로부터 구한 PaC의 신규 어드레스로 PAA를 업데이트하기 위하여 PANA-업데이트 교환을 이용하여 IP 어드레스 업데이트 과정을 수행한다. PANA 업데이트 과정의 완료는 사전 인증 SA로부터 액티브 SA로 변경한다. P-플래그는 PANA-업데이트 메시지와 후속하는 PANA 메시지에 설정되지 않는다.
예비 PAA를 가진 사전 인증 SA에 더하여 액티브 PAA를 가진 액티브 SA를 갖는 PaC가 예비 PAA를 변경하는 일 없이 자신의 액티브 PAA를 변경하는 경우, PaC는 신규 액티브 PAA가 있는 원격 네트워크로부터 구한 PaC의 신규 어드레스의 PAA를 업데이트하기 위하여 PANA-업데이트 교환을 이용하여 IP 어드레스 업데이트 과정을 수행한다. PANA-업데이트 과정의 완료는 사전 인증 SA를 액티브 SA로 변경하지 않는다. P-플래그는 PANA-업데이트 메시지와 후속하는 PANA 메시지에 설정되지 않는다.
사전 인증 SA와, PaC와 사전 인증 PAA 간의 대응하는 PANA 세션은 PANA 프로토콜의 터미네이션 단계에 진입하고 그 단계에 요청되는 과정을 수행함으로써 삭제될 수 있다.
참조로, 예시적인 것일 뿐 한정하기 위한 것이 아닌 실시예인 PaC 개시 사전 인증에 대한 호출 플로우가 도 1에 도시되어 있다. 여기서, 액세스 네트워크에서의 PaC는 로컬 PAA(1-PAA)과의 PANA 세션을 성립시킨다. 어떤 시점에서, PaC는 또 다른 액세스 네트워크에서의 원격 PAA(r-PAA)에 대한 사전 인증을 위한 트리거링을 수신한다. 그 후, PaC는 P bit 세트를 가진 PANA-PAA-디스커버 메시지를 송신하여 사전 인증 과정을 개시한다. PANA 메시지는 모든 메시지에 대한 P bit 세트와 함께 PaC와 r-PAA 간에 교환된다. 사전 인증과 사전 인가에 대한 PANA 교환의 성공적인 완료시, 사전 인증 SA가 PaC와 PAA 간에 성립되어진다. 한편, PaC와 1-PAA 간에 성립된 액티브 SA는 액티브 상태로 유지된다. 사전 인증 SA를 성립시킨 후의 어떤 시점에서는, PaC가 r-PAA의 액세스 네트워크로 이동한다. 그 후, PaC가 PANA-업데이트 교환을 개시하여, IP 어드레스 교환을 PAA에 통지한다. 이 PANA-업데이트 교환에서는 P bit는 설정되지 않는다. PANA-업데이트 교환 및 사후 인가 과정의 성공적인 완료시, 사전 인증 SA가 액티브 SA로 된다. PaC와 1-PAA 간의 액티브 SA는 PaC가 이전 액세스 네트워크로 즉시 되전환되는 경우를 처리하는 동안 액티브 상태로 유지될 수 있다.
참조로, PAA 개시 사전 인증을 위한 또 다른 실시예의 호출 플로우가 도 2에 도시되어 있다. 여기서는, 액세스 네트워크에서의 PaC가 로컬 PAA(1-PAA)와의 PANA 세션을 성립시킨다. 어떤 시점에서, 또 다른 액세스 네트워크에서의 원격 PAA(r-PAA)가 PaC에 대한 사전 인증을 위한 트리거링을 수신한다. 그 후, PAA는 예를 들어, P-플래그 세트를 가진 PANA-Start-Request 메시지(PSR)를 송신하는 것과 같은 사전 인증 과정을 개시한다. 그후, PaC는 사전 인증을 지원하는 경우에만 P-플래그 세트를 가진 PANA-Start-ANSWER 메시지(PSA)로 응답한다. 이후, 도 2에 도시한 바와 같이, 호출 플로우가 도 1을 참조하여 설명된 것과 병렬된다.
PANA 확장:
상술한 바와 같이, 바람직한 실시형태에서는, 신규 P-플래그가 PANA 헤더의 플래그 필드에 정의된다. 여기서, 도 3은 P-플래그의 예시적인 실시형태를 나타낸다. 바람직한 실시형태에서, 사전 인증이 수행되는 경우, 이 PANA 실행이 사전 인증 SA를 성립시키기 위한 것인지를 나타내기 위하여 PANA 메시지의 P-플래그가 설정된다. 이 플래그는 상술한 바와 같이 사용될 수 있다. 바람직한 구현예에서는, 이 플래그를 인터넷 할당 번호 관리 기관(IANA)에 의해 할당받는다. 따라서, 바람직한 실시형태에서는, 예를 들어, "P" 재인증을 위하여 신규 플래그가 bit 3이 되는 설명된 실시예에서와 같이, PANA 헤더의 플래그 필드에서의 신규 플래그가 (예를 들어, IANA에 의해) 할당되어진다.
인가 및 계정 고려:
일부 경우, PaC에 대한 사전 인가와 사후 인가가 다른 인가 정책을 가질 수 있다. 예를 들어, 사전 인가 정책은 PaC가 예비 PAA의 제어 하에서 실행 포인트(이피들)를 통하여 패킷을 송수신하지 못하도록 할 수도 있는 반면, 사전 인가 및 사후 인가 정책 모두가 이피(들)에 대한 자격 증명서를 설치하도록 할 수 있는 데, 여기서, 자격 증명서는 패킷 마다의 암호 필터링을 위한 보안 연결을 성립시키는데 이용된다. 사전 인가 정책에 의존하여, PaC에 대한 사전 인증 SA를 가진 PAA는 사전 인증 SA가 성립된 후 즉시 계정을 시작할 수도 있고 또는 사전 인증 SA가 액티브 SA로 될 때까지 계정을 시작하지 않을 수도 있다.
보안 고려:
바람직한 실시형태에서, 여기 설명된 메카니즘은 다중 액세스 네트워크에 걸쳐 동작하도록 설계되어 있기 때문에, 각각의 이피(실행 포인트)는 인가받지 않은 PaC가 사전 인증을 개시하는 것을 방지하기 위히여 PaC가 로컬 PAA를 가진 액티브 SA를 갖는 경우에만, PANA 메시지가 PaC와 다른 액세스 네트워크에서의 예비 PAA 간에 전송될 수 있도록 구성되어야 한다. 사전 인증이 원격 PAA에 의해 개시되는 경우, PaC는 사전 인증을 개시하는 다중 원격 PAA와 동시와 통신할 수 있다. 바람직한 실시형태에서, 소스 어드레스를 변경함으로써 PaC에 대한 사전 인증을 개시하는 불명의 침입자에 의해 발생되는 PaC 상의 가능한 자원 소모 공격을 회피하기 위하여, PaC는 통신에 허용되는 최대 수의 PAA를 한정해야 한다.
본 발명의 넓은 범위:
본 발명의 예시적인 실시형태를 여기에 설명하고 있지만, 본 발명은 여기 설명된 여러 바람직한 실시형태로 한정되는 것이 아니며, 본 발명에 기초되는 등가의 엘리먼트, 변형, 생략, 조합(예를 들어, 여러 실시형태에 걸친 조합), 조정, 및/또는 변경을 갖는 일부 또는 전부의 실시형태를 포함한다. 청구범위의 한정 범위(예를 들어, 이후에 추가되어질 청구범위를 포함)는 청구범위에 기재된 내용에 기초하여 폭넓게 해석되어야 하며, 본 명세서에 설명된 예들로 한정되지 않으며, 또는 본 발명의 수행시 이 예들은 제한이 없는 것으로 간주되어야 한다. 예를들어, 본 발명의 개시 내용에 있어서, 용어, "바람직하게"는 그 제한이 없으며, "이것이 바람직하지만 이들에 한정되는 것이 아님"을 의미한다. 여기 개시된 실시형태와 본 발명의 수행시, 의미와 기능의 합한 것 또는 단계와 기능의 합한 것에 대한 제한도 특정 청구범위 한정에 대하여 다음 모든 조건이 제공되는 경우에만 채택되는데, 그 제한이란 a) "하는 단계" 또는 "하는 수단"이 표현적으로 인용되는 경우; b)대응하는 기능이 표현적으로 인용되는 경우, 및 c) 그 구조를 지지하는 구조, 재료 또는 작용이 인용되지 않은 경우를 든다. 본 발명의 개시 및 본 발명의 수행에 있어서, 용어 "본 발명" 또는 "당해"는 여기 개시된 내용 내의 하나 이상의 양태에 대한 참조로서 이용될 수 있다. 언어 "본 발명" 또는 "당해"는 중요 식별로서 부적절하게 해석되서는 안되며, 모든 양태 또는 실시형태에 걸쳐 적용되는 것으로 부적절하게 해석되지 않으며(즉, 본 발명은 복수의 양태 및 실시형태를 갖는 것으로 이해되어야 하며), 본 발명의 범위와 청구범위를 한정하는 것으로 부적절하게 해석되어서는 안된다. 본 발명의 개시 및 본 발명의 수행에 있어서, 용어 "실시형태"는 어떤 양태, 특징, 처리, 또는 단계 및 이들의 어떤 조합 또는 이들의 일부 등을 설명하는데 이용될 수 있다. 일부 예에서, 여러 실시형태는 중복하는 특징을 포함할 수도 있다. 본 발명의 개시된 내용에는 일부 용어에 대하여 약어로 기재하고 있다.