KR100826736B1 - 클라이언트 노드를 서빙 네트워크로 동적으로 접속시키는 방법, 클라이언트 노드를 복수의 인터넷 서비스 제공자로 접속시키는 방법, 및 클라이언트 노드를 서빙 네트워크로 접속시키는 방법 - Google Patents

클라이언트 노드를 서빙 네트워크로 동적으로 접속시키는 방법, 클라이언트 노드를 복수의 인터넷 서비스 제공자로 접속시키는 방법, 및 클라이언트 노드를 서빙 네트워크로 접속시키는 방법 Download PDF

Info

Publication number
KR100826736B1
KR100826736B1 KR1020067014782A KR20067014782A KR100826736B1 KR 100826736 B1 KR100826736 B1 KR 100826736B1 KR 1020067014782 A KR1020067014782 A KR 1020067014782A KR 20067014782 A KR20067014782 A KR 20067014782A KR 100826736 B1 KR100826736 B1 KR 100826736B1
Authority
KR
South Korea
Prior art keywords
network
access
client node
serving
serving network
Prior art date
Application number
KR1020067014782A
Other languages
English (en)
Other versions
KR20070008555A (ko
Inventor
오바 요시히로
바바 신이찌
Original Assignee
가부시끼가이샤 도시바
텔코디아 테크놀로지스, 인코포레이티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 가부시끼가이샤 도시바, 텔코디아 테크놀로지스, 인코포레이티드 filed Critical 가부시끼가이샤 도시바
Publication of KR20070008555A publication Critical patent/KR20070008555A/ko
Application granted granted Critical
Publication of KR100826736B1 publication Critical patent/KR100826736B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/18Selecting a network or a communication service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/54Store-and-forward switching systems 
    • H04L12/56Packet switching systems
    • H04L12/5691Access to open networks; Ingress point selection, e.g. ISP selection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/17Selecting a data network PoA [Point of Attachment]

Abstract

몇몇 예시적인 실시형태에서, IP-레이어 기반의 네트워크 선택 및 멀티호밍 방법이 제공되는데, 이는 클라이언트 노드에 의한 사용을 위하여 하나 이상의 서빙 네트워크의 플렉시블하고 안전한 동적 선택을 가능하게 한다. 이러한 방법은 어떠한 링크-레이어 기술에도 독립적이다. 서빙 네트워크는 ISP 네트워크, NAP 네트워크 교환 장치, VLAN 등일 수 있다. 네트워크 정보가 클라이언트 노드로 알려지고, 클라이언트 노드는 액세스 라우터의 사용을 위하여 인증 및 허가되고, 보안 터널이 클라이언트 노드와 액세스 라우터 사이에 확립된다. 이러한 방법은 표준 프로토콜을 사용함으로써 구현될 수 있고, 어떠한 수정 없이도, IP 데이터그램을 운반할 수 있는 기존의 또는 장래의 임의의 링크-레이어 기술에 대해 적용될 수 있다.
멀티호밍, IP 액세스 네트워크, 액세스 라우터

Description

클라이언트 노드를 서빙 네트워크로 동적으로 접속시키는 방법, 클라이언트 노드를 복수의 인터넷 서비스 제공자로 접속시키는 방법, 및 클라이언트 노드를 서빙 네트워크로 접속시키는 방법{A METHOD OF DYNAMICALLY CONNECTING A CLIENT NODE TO A SERVING NETWORK, A METHOD OF CONNECTING A CLIENT NODE TO MULTIPLE INTERNET SERVICE PROVIDERS, AND A METHOD OF CONNECTING A CLIENT NODE TO A SERVING NETWORK}
배경기술
기술분야
본 발명은 일반적으로 네트워크 통신에 관한 것이며, 바람직한 실시형태들은 더욱 구체적으로 다수의 상이한 이용가능한 제공자들 사이로부터 단일 클라이언트 위치에서의 통신 네트워크 서비스 제공자 선택에 관한 것이다. 몇몇 바람직한 실시형태에 따르면, 본 발명은 액세스 네트워크 상의 클라이언트 노드에서 사용자에 의한 멀티호밍(multihoming) 및 인터넷 서비스 제공자(ISP) 선택에 관한 것이다.
배경 설명
멀티호밍은 동시에 또는 동적으로 2 이상의 ISP를 통해 인터넷에 접속하는 기술이다. 멀티호밍은 하나의 ISP가 실패한 경우에 공용 인터넷으로 중요한 백업 접속을 제공하는 것, 향상된 지역적(regional) 접속성 및 로컬 접속성, 향상된 대역폭, 성능을 향상시킬 수 있는 부하-분담 이용가능성(availability of load-sharing)을 포함하여 다수의 이점을 갖는다. 일반적으로, 단일 사용자 위치에서 복수의 ISP가 이용가능한 경우가 많다. 예를 들어, 홈 사용자는 다이얼-업 접속을 통해 하나의 ISP를 선택하고, 케이블 또는 디지털 가입자 라인(DSL : Digital Subscriber Line) 모뎀 접속을 통해 또 다른 ISP를 선택할 수 있다.
IP 캡슐화를 위해 이더넷을 통한 점대점 프로토콜(PPPoE : Point-to-Point Protocol over Ethernet)을 사용하는 DSL 제공자는, 이니셜 사인-업(initial sign-up) 동안 정적으로, 또는 PPP 인증 단계동안 가입자들에 의해 제공되는 네트워크 액세스 식별자(NAIs : Network Access Identifiers)를 이용하거나 PPPoE 탐색 단계에서 ISP 정보를 운반함으로써 동적으로, 다수의 접속된 ISP 중 하나를 가입자로 하여금 선택하게 할 수 있다.
IEEE 802 LANs(로컬 영역 네트워크)에서, VLAN(가상 LAN)은 LAN을 복수의 더 작은 LAN으로 분할하는데 이용된다. VLAN은, 실제로는 LAN의 상이한 세그먼트 상에 물리적으로 위치할지라도, 동일한 선에 접속되어 있는 것처럼 동작하는 컴퓨터들의 네트워크이다. VLAN은 하드웨어보다는 소프트웨어를 통해 구성될 수 있는데, 소프트웨어는 VLAN을 매우 플렉시블하게 만든다. 클라이언트 노드가 유선 이더넷(Ethernet) 접속을 통해 VLAN에 접속되는 경우에, 클라이언트 노드의 이더넷 포트와 VLAN 사이의 매핑은 대부분의 경우에 정적으로 구성된다. 공용 무선 LAN 환경에서, 액세스 포인트에 의해 알려진 IEEE 802.11 SSID(Service Set IDentifier)는 서비스 제공자 정보를 포함할 수 있다. 또한, 특정 SSID를 지정함으로써 액세스 포인트에 연관되는 스테이션(station)이 그 SSID에 매핑된 특정 VLAN에 접속되도록, SSID는 SSID와 VLAN 사이에 정적인 매핑을 생성함으로써 VLAN을 동적으로 선택하는데 이용된다.
ISP 또는 VLAN을 선택하기 위한 통상적인 방법은 특정 링크-레이어 기술(즉, PPP 및 IEEE 802.11)에 밀접하게 관련되어 있으므로, 모든 링크-레이어 기술 전반에 적용하기 곤란하다. 이와 같이, 액세스 네트워크가 이종(heterogeneous)이고, 클라이언트 노드로의 VLAN 할당에서 더 큰 유연성(flexibility)이 요구되는 상황에서, 어떠한 링크-레이어 기술에도 독립적인 인터넷 프로토콜(IP : Internet Protocol) 레이어 솔루션을 갖는 것이 바람직할 것이다.
단순한 IP-레이어 솔루션으로서, 액세스 네트워크 상의 클라이언트 노드가 데이터 패킷을 송신 및 수신하도록 특정 액세스 라우터를 선택할 수 있도록, 각각의 액세스 라우터가 특정 ISP 또는 VLAN에 접속되는 액세스 네트워크에서 복수의 액세스 라우터를 배치할 수 있다. 그러나, 이러한 단순한 솔루션은 2가지 문제점을 갖는다. 첫째로, 복수의 IPS 또는 VLAN 사이의 액세스 네트워크에서, 특히 액세스 네트워크가 다중-액세스 기술을 이용하는 경우에 정보 누출이 발생할 수도 있다. 두번째로, 진입 필터링(ingress filtering)이 액세스 라우터에서 수행된다면, 이러한 단순한 솔루션은, 단일 물리적 인터페이스를 갖는 클라이언트 노드가 2 이상의 IPS 또는 VLAN으로 동시에 접속할 수 있도록 구현하기 곤란한다. 진입 필터링은, 액세스 라우터가 배속되는 액세스 네트워크와 상이한 네트워크에서 생성된 것처럼 위조된 소스 IP 어드레스를 갖는 주입 패킷(injecting packet)으로부터 공격자를 차단하기 위한 기술이다. 진입 필터링이 채용된 액세스 네트워크에서, 액세스 네트워크에서 생성된 패킷은, 패킷이 수신된 네트워크 인터페이스로 라우터에 의해 할당된 네트워크 프리픽스(prefix)를 갖는 소스 어드레스를 갖는 경우에만 액세스 라우터를 통과할 수 있다. 그러나, 상이한 IPS 또는 VLAN으로의 동시 접속이 인에이블링된 경우에서와 같이, 상이한 네트워크 프리픽스를 갖는 복수의 라우팅가능한 IP 어드레스가 소정의 인터페이스에 할당되는 경우에, 대부분의 호스트 구현은 적절한 소스 어드레스를 선택하는 어떠한 방법도 제공하지 않는다.
따라서, 이러한 기술 분야에서, 다른 것들 중에, 임의의 정보 누출 발생을 방지하고 또한 IP 어드레스 위조 공격에 대해 보호하는 솔루션에 대한 필요성이 존재한다.
본 발명의 개요
본 발명의 바람직한 실시형태는 기존의 방법 및/또는 장치를 상당히 개선시킬 수 있다. 몇몇 실시형태에서, 본 발명은 전술한 방법에 실질적인 개선을 제공한다.
본 발명의 일 양태에 따르면, 네트워크 선택 및 멀티호밍을 위한 새로운 IP-레이어 기반 모델이 제공되는데, 이는 사용할 하나 이상의 서빙 네트워크의 플렉시블하고 안전한 동적 선택을 가능하게 하며, 서빙 네트워크는 ISP 네트워크, 네트워크 액세스 포인트(NAP : Network Access Point) 네트워크 교환 설비, VLAN 등이다. 하나의 바람직한 실시형태에 따른 IP-레이어 기반 모델은 3 단계로 이루어진다. 제1 단계에서 네트워크 정보가 클라이언트 노드에 알려지며, 제2 단계에서 액세스 라우터의 이용을 위하여 클라이언트 노드가 인증 및 허가되고, 제3 단계에서 보안 터널이 클라이언트 노드와 액세스 라우터 사이에 확립된다. 진보적인 모델은 표준 프로토콜을 사용함으로써 구현될 수 있고, 어떠한 수정 없이, IP 데이터그램을 운반할 수 있는 기존 또는 장래의 임의의 링크-레이어 기술에 대해 적용될 수 있다.
특히, 바람직한 일 실시형태에 따르면, 본 발명은, 클라이언트 노드가 네트워크 접속되는 액세스 네트워크를 제공하는 단계; 상기 액세스 네트워크로 네트워크 접속되고, 하나 이상의 서빙 네트워크로 네트워크 접속되는 하나 이상의 액세스 라우터를 제공하는 단계; 상기 클라이언트 노드로 서빙 네트워크 제공자 알림 정보를 전송하는 단계; 서빙 네트워크 제공자 정보를 상기 클라이언트 노드로부터 수신하는 단계 - 상기 서빙 네트워크 제공자 정보는, 상기 클라이언트 노드가 액세스하기를 희망하는 서빙 네트워크를 특정하는 정보임 -; 및 상기 클라이언트 노드가 상기 액세스 네트워크를 통해 통신 터널 내의 상기 클라이언트 노드에 의해 특정되는 상기 서빙 네트워크로, 그리고 상기 서빙 네트워크로부터 데이터 패킷을 송신 및 수신할 수 있도록, 상기 클라이언트 노드와 상기 액세스 라우터 사이에 상기 액세스 네트워크를 통해 상기 통신 터널을 확립하는 단계를 포함하는, 클라이언트 노드를 서빙 네트워크로 동적으로 접속시키는 방법을 제공한다.
제2 양태에 따르면, 본 발명은, 액세스 네트워크를 제공하는 단계 - 상기 클라이언트 노드는 상기 액세스 네트워크를 통해 상기 복수의 인터넷 서비스 제공자와 통신할 수 있음 -; 및 상기 클라이언트 노드가 상기 액세스 네트워크를 통해 개별 통신 터널 내의 상기 인터넷 서비스 제공자 각각으로, 그리고 상기 인터넷 서비스 제공자 각각으로부터 데이터 패킷을 송신 및 수신할 수 있도록, 상기 복수의 인터넷 서비스 제공자 각각에 대하여 상기 액세스 네트워크 내에 개별 통신 터널을 확립하는 단계를 포함하는, 클라이언트 노드를 복수의 인터넷 서비스 제공자로 접속시키는 방법을 제공한다.
제3 양태에 따르면, 본 발명은, 2 이상의 서빙 네트워크로 네트워크 접속되는 액세스 라우터를 제공하는 단계; 서빙 네트워크 정보를 상기 클라이언트 노드로부터 수신하는 단계 - 상기 서빙 네트워크 정보는, 상기 클라이언트 노드가 액세스하기를 희망하는 서빙 네트워크를 특정하는 정보임 -; 상기 클라이언트 노드가 액세스 네트워크를 통해 상기 통신 터널 내에서 상기 클라이언트 노드에 의해 특정되는 상기 서빙 네트워크로, 그리고 상기 서빙 네트워크로부터 데이터 패킷을 송신 및 수신할 수 있도록, 상기 액세스 네트워크를 통해 상기 클라이언트 노드와 상기 액세스 라우터 사이에 통신 터널을 확립하는 단계; 및 상기 특정된 서빙 네트워크의 서빙 네트워크 정보를 상기 통신 터널의 보안 관련 식별자로서 이용함으로써, 상기 통신 터널을 상기 특정된 서빙 네트워크로 바인딩하는 단계를 포함하는, 클라이언트 노드를 서빙 네트워크로 접속시키는 방법을 제공한다.
다양한 실시형태의 전술한 양태 및/또는 다른 양태, 특성 및/또는 이점은 첨부한 도면과 함께 이하의 설명을 참조하여 더욱 잘 이해될 것이다. 다양한 실시형태들은 적용가능한 상이한 양태, 특성 및/또는 이점을 포함 및/또는 배제할 수 있다. 또한, 다양한 실시형태는 적용가능한 다른 실시형태의 하나 이상의 양태 또는 특성을 결합할 수 있다. 특정 실시형태의 양태, 특성 및/또는 이점에 대한 설명은 다른 실시형태 또는 청구범위를 한정하는 것으로 해석되어서는 안된다.
도면의 설명
본 발명의 바람직한 실시형태를 첨부한 도면에서 한정이 아닌 예시의 방식으로 도시한다.
도 1은 본 발명의 바람직한 일 실시형태에 따른 물리적인 네트워크 토폴로지(topology)를 나타내는 도면이다.
도 2는 도 1의 토폴로지를 오버레이(overlay)하는, 본 발명의 바람직한 일 실시형태에 따른, 논리적 네트워크 토폴로지를 나타내는 도면이다.
도 3은 IPS 및 NAP를 이용하는, 본 발명의 바람직한 일 실시형태에 따른 네트워크 토폴로지를 나타내는 도면이다.
도 4 및 도 5는 액세스 VLAN 및 서빙 VLAN을 이용하는, 본 발명의 바람직한 일 실시형태에 따른 네트워크 토폴로지를 도시하는 도면이다.
도 6 및 도 7은 가상 액세스 포인트를 이용하는, 본 발명의 바람직한 일 실시형태에 따른 네트워크 토폴로지를 도시하는 도면이다.
도 8은 원격 네트워크를 이용하는, 본 발명의 바람직한 일 실시형태에 따른 네트워크 토폴로지를 도시하는 도면이다.
바람직한 실시형태의 설명
본 발명은 많은 다른 형태로 구현될 수 있으며, 다수의 예시적인 실시형태들이 본 명세서에서 개시되고, 본 설명은 본 발명의 원리의 예시를 제공하는 것으로서 고려되고, 이러한 예시는 본 명세서에서 설명된 및/또는 예시된 바람직한 실시형태로 본 발명을 한정하려는 것은 아니라는 것을 이해해야 한다.
본 발명의 바람직한 실시형태에 따른, 제안된 IP-레이어 모델의 예시적인 물리적 토폴로지가 도 1에 도시된다. 도시한 바와 같이, IP 액세스 네트워크(101)는 액세스 라우터 AR1 및 AR2와 클라이언트 노드(103)를 포함한다. 액세스 네트워크 상의 추가적인 노드는 명료성을 위해 도시하지 않았다. 액세스 라우터 AR1은 서빙 네트워크 N1에 접속되고, 액세스 라우터 AR2는 서빙 네트워크 N2 및 N3에 접속된다. IP 액세스 네트워크(101)에서, 클라이언트 노드(103)는, 액세스 네트워크 내의 통신에 유효한 라우팅가능한 또는 라우팅불가능한 IP 어드레스를 이용함으로써, 다른 노드들(미도시) 뿐만 아니라 액세스 라우터들과 통신할 수 있다. 클라이언트 노드(103)가 서빙 네트워크를 통해 데이터 패킷을 송신 또는 수신할 필요가 있는 경우에, 클라이언트 노드(103)는 IP 보안 프로토콜(IPSec 터널)을 이용하여 IP 액세스 네트워크를 통해 그 서빙 네트워크의 액세스 라우터에 대한 보안 터널(논리적 인터페이스)을 확립한다. 터널링은 하나의 네트워크로 하여금 또 다른 네트워크의 접속을 통해 데이터를 전송할 수 있도록 하고, 제2 네트워크에 의해 운반된 패킷 내의 네트워크 프로토콜을 캡슐화함으로써 동작한다. 예를 들어, 점대점 터널링 프로토콜(PPTP : Point-to-Point Tunneling Protocol) 기술은 기관들로 하여금 가상 사설 네트워크(VPN : Virtual Private Network)를 거쳐 데이터를 송신하도록 인터넷을 이용할 수 있도록 한다. 이는 인터넷에 의해 운반되는 TCP/IP 패킷 내에 자신의 네트워크 프로토콜을 삽입함으로써 수행된다.
확립된 IPSec 터널은 액세스 라우터를 통해 통과하는 패킷에 대한 기밀성, 무결성 및 재생 보호를 제공하며, 또한 패킷이 다른 서빙 네트워크로 누출되는 것을 방지한다. 또한, IPSec 터널은 노드의 물리적 인터페이스에 오버레이하는 논리적 터널 인터페이스를 확립한다. 이는, 특정 인터페이스 어드레스(즉, 특정 논리적 터널 인터페이스에 할당된 어드레스)가 대응하는 액세스 라우터로 전달된 패킷의 소스 어드레스로서 이용됨을 보장한다. 진입 필터링을 채용하는 액세스 라우터는 이러한 소스 어드레스를 갖는 패킷을 절대 버리지 않을 것이고, 이는 그 소스 어드레스가 액세스 라우터에 의해 논리적 인터페이스에 할당된 네트워크 프리픽스를 포함할 것이기 때문이다.
도 1의 물리적 토폴로지에 오버레이하는 예시적인 논리적 토폴로지가 도 2에 도시된다. 도시한 바와 같이, 클라이언트 노드(103)는 그 각각이 개별 논리적 인터페이스 L1, L2 또는 L3과 연관된, 3개의 IPSec 터널(201, 202 및 203)을 갖는다. 논리적 인터페이스 L1, L2 또는 L3는 특정 서빙 네트워크 N1, N2 및 N3을 통해 데이터 패킷을 각각 송신 및 수신하는데 이용된다. 서빙 네트워크 N1, N2 및 N3는 ISPs, NAPs, VLANS, 또는 유사한 서빙 네트워크일 수 있다. 논리적 인터페이스 L1에 대응하는 IPSec 터널(201)은 액세스 라우터 AR1에서 종단된다. 논리적 인터페이스 L2 및 L3에 대응하는 IPSec 터널(202, 203)은 액세스 라우터 AR2에서 종단된다.
클라이언트 노드(103)의 논리적 인터페이스 L1, L2 및 L3 각각의 인터페이스 어드레스는 대응하는 서빙 네트워크의 어드레스 블록으로부터 할당된다. 도시된 예에서, 클라이언트 노드(103)는 3개의 서빙 네트워크 N1, N2 및 N3 중 임의의 것을 통해 데이터 패킷을 송신 및 수신할 수 있다. 물론, 클라이언트 노드가 3개의 모든 서빙 네트워크 대신에 단지 하나 또는 2개의 서빙 네트워크로의 접속을 확립하는 것도 가능하다. 액세스 네트워크로 온-링크 접속되는 클라이언트 노드는 워크스테이션 또는 라우터일 수 있다.
클라이언트 노드(103)는 액세스 네트워크(101)에서 다른 노드들과 통신하기 위한 라우팅가능한 어드레스 또는 라우팅불가능한 어드레스인 IP 어드레스를 이용할 수 있다. 라우팅불가능한 어드레스는 라우터에 의해 전달될 수 없는 반면, 라우팅가능한 어드레스는 라우터에 의해 전달될 수 있다. 라우팅불가능한 어드레스의 예시는 IPv4 링크-로컬 어드레스 또는 IPv6 링크-로컬 어드레스이고, 클라이언트 노드(103)는 이를 위하여 자율적으로 어드레스를 생성할 수 있다. 특히, IPv6 링크-로컬 어드레스가 사용되는 경우에, 보안 이웃 탐색(SEND : SEcure Neighbor Discovery)이 IPv6 이웃 탐색 교환을 보호하기 위해 사용될 수 있다. 라우팅가능한 어드레스가 사용되는 경우에, 이는 정적으로 구성되거나, 또는 동적 호스트 구성 프로토콜(DHCP : Dynamic Host Configuration Protocol), DHCPv6 또는 IPv6 어드레스 자동-구성을 포함하는 임의의 방법을 사용하여 동적으로 구성될 수 있다.
공용 서비스 액세스 네트워크와 같이, 서비스를 제공하는 서빙 네트워크를 위한 보안이 중요하지 않다면, 터널을 확립하기 위하여 IPSec 키 관리 프로토콜을 사용하는 것이 불필요하다. 이러한 경우에, 예를 들어 IP-in-IP 또는 일반 라우팅 캡슐화(GRE : Generic Routing Encapsulation)와 같이 다른 IP 터널링 기법이 사용될 수도 있다.
서빙 네트워크 정보 알림
많은 무선 LAN 핫스폿(hostpot) 서비스 제공자는, 서비스 제공자 정보를 무선 클라이언트에 알리기 위하여 브로드캐스트 비컨(broadcast beacon) 프레임에 포함된 802.11 SSID를 통상적으로 사용한다. 가상 액세스 포인트(VAP : virtual access point)라 불리는 기술은, 단일 물리적 액세스 포인트가 복수의 가상 액세스 포인트로 분할될 수 있고, 각각의 VLAN에 대해 개별 SSID를 알림으로써 그 각각이 개별 물리적 액세스 포인트인 것처럼 동작하는 사용으로 확장할 수 있다. VAP의 불리한 점은 이것이 특정 액세스 기술과 밀접하게 연계되어 있어, 다른 액세스 기술에 적용하기 곤란하다는 것이다. 또 다른 불리한 점은 보다 넓은 대역폭이 비컨 프레임에 의해 점유됨으로써 전체 데이터 트래픽 스루풋(throughput)이 감소한다는 것이다. 예를 들어, 10개의 가상 액세스 포인트가 존재하고 각각의 액세스 포인트가 100msec 마다 비컨 프레임을 생성한다면, 스테이션은 10 msec 마다 비컨 프레임을 수신하게 되며, 이러한 경우에 IEEE 802.11b의 링크 대역폭의 30% 이상이 비컨 프레임에 의해 점유된다.
반대로 본 발명에 따르면, 네트워크 레이어 프로토콜이 액세스 네트워크(101) 상에서 클라이언트 노드로 서빙 네트워크 정보를 알리기 위해 이용된다. 라우팅가능한 네트워크가 ISP 또는 NAP 네트워크인 경우에, 제공자 식별자 및 제공자 네임 데이터 쌍이 각각의 서비스 제공자마다 알려질 수도 있는데, 제공자 식별자는 제공자를 식별하는데 이용되는 고유한 식별자이고, 제공자 네임은 제공자의 네임을 나타내는 문자열(character string)이다. 서빙 네트워크가 VLANs 인 경우에, VLAN 식별자 및 VLAN 네임은 VLAN 마다 알려질 수도 있는데, VLAN 식별자는 VLAN을 식별하는데 이용되는 고유의 식별자이고, VLAN 네임은 VLAN의 네임을 나타내는 문자열이다. VLAN 알림 정보는, 액세스 네트워크가 또한 VLAN이 아닌 경우에 IP를 통해 전송될 수도 있다.
본 발명의 바람직한 일 실시형태에 따르면, 서빙 네트워크의 관련 정보는 네트워크 액세스를 위한 인증 정보를 운반하기 위한 프로토콜(PANA : Protocol for carrying Authentication information for Network Access)을 이용함으로서 알려진다. 몇몇 시나리오에서, IP-기반 디바이스는, 사용하기 위해 허가받기 전에 네트워크에 대해 자신을 인증하는 것이 요구된다. 이러한 인증은 통상적으로 다양한 인증 방법을 지원할 수 있는 프로토콜을 요구한다. 대부분의 링크-레이어 상의 이러한 인증 프로토콜이 없는 경우에, 구조는 많은 부적절한 인증 방법을 이용하는 것에 의존한다. PANA는, IP 프로토콜을 이용하여 클라이언트로 하여금 액세스 네트워크에 그 자신을 인증할 수 있도록 하는 프로토콜을 정의하고, 이 IP 프로토콜은, 싸이트에서 사용 중인 특정 AAA 하부구조 프로토콜을 이해할 필요없이 액세스를 얻기 위해 클라이언트가 싸이트의 백-엔드 인증, 허가, 과금(AAA : Authentication, Authorization, and Accounting) 하부 구조와 상호작용할 수 있도록 한다. 또한, 이는 이러한 상호작용이 링크-레이어 특정 메커니즘 없이 일어날 수 있도록 한다. PANA는 다중-액세스 및 점대점 링크 양자에 적용할 수 있다. 본 발명은 서빙 네트워크 정보를 액세스 네트워크 상의 클라이언트 노드로 제공하기 위하여 PANA 프로토콜을 이용한다.
PANA는, 클라이언트 및 서버가 각각 PaC(PANA 클라이언트) 및 PAA(PANA 인증에이전트)라 불리는 클라이언트-서버 타입 프로토콜이다. 본 발명에서, 클라이언트 노드(103)는 PaC 이다. PAA는 액세스 네트워크 내에 배치되고, 액세스 라우터와 함께 배치되거나 함께 배치되지 않을 수도 있다. PAA가 액세스 라우터와 함께 배치되지 않는 경우에, 단순 네트워크 관리 프로토콜(SNMP : Simple Network Management Protocol) 또는 다이어미터(Diameter)와 같은 또 다른 프로토콜을 사용하여, 허가된 클라이언트에 대한 허가 정보를 PAA에 의해 알려지는 서빙 네트워크(들)에 접속된 액세스 라우터의 일부 또는 전부로 전달한다.
알림 시퀀스는 이하와 같이 수행될 수 있다:
1. PaC는 액세스 네트워크 내의 멀티캐스트(multicast)이거나 특정 PAA로의 유니캐스트(unicast) 일 수 있는 PANA-PAA-탐색 메시지를 전송한다.
2. PANA-PAA-탐색 메시지를 수신한 각각의 PAA는 PaC로 PANA-개시-요청 메시지를 다시 전송한다. PANA-개시-요청 메시지는 PAA와 연관된 서빙 네트워크(들)에 대한 정보를 포함한다.
3. PANA-개시-요청 메시지(들)를 수신한 PaC는 수신된 메시지로부터 서빙 네트워크 정보를 추출한다.
PANA를 이용하여 서빙 네트워크 정보를 수신하기 위하여 특정되지 않은 IP 어드레스를 사용하는 경우에, PaC는 IP 어드레스를 구성할 필요가 없을 수도 있다는 것이 인식된다. 이러한 경우에, PAA는, 레이어 2-특정 패킷 전달 메커니즘을 이용하고 통상의 IP 스택 구현을 바이패스함으로써 PaC로 IP 패킷 내에 캡슐화된 정보를 전송할 것이다.
본 발명의 또 다른 실시형태에 따르면, 서빙 네트워크 정보는 IPv4 또는 IPv6의 라우터 탐색 메커니즘을 이용함으로써 클라이언트에 알려질 수도 있다. 클라이언트 노드는 라우터 탐색을 이용하여 서빙 네트워크 정보를 획득하기 위하여 IP 어드레스를 구성할 필요가 있다. 알림 시퀀스는 이하와 같이 수행될 수 있다:
1. 클라이언트 노드는 액세스 네트워크 내의 멀티캐스트이거나 특정 라우터로의 유니캐스트일 수 있는 라우터 요청(solicitation) 메시지를 전송한다.
2. 라우터 요청 메시지를 수신한 각각의 라우터는 클라이언트 노드로 라우터 알림 메시지를 다시 전송한다. 라우터 알림 메시지는 라우터에 접속된 서빙 네트워크(들)에 대한 정보를 포함한다.
3. 라우터 알림 메시지(들)를 수신한 클라이언트 노드는 수신된 메시지로부터 서빙 네트워크 정보를 추출한다.
인증
PANA가 서빙 네트워크에 대한 정보를 알리는데 이용되는 경우에, PANA는 그 원래 목적, 즉, 클라이언트를 인증 및 허가하기 위하여 이용될 수도 있다. 또한, 인터넷 키 교환(Internet Key Exchange)이 클라이언트를 인증하기 위하여 이용될 수 있다. IKE가 클라이언트 인증을 위하여 이용되는 경우에, 클라이언트 노드는 즉시 보안 터널을 확립한다. IKE는 IPSec 표준과 함께 이용되는 키 관리 프로토콜 표준이다. IPSec는 강력한 인증 및 IP 패킷의 암호화를 제공하는 IP 보안 특성이다.
한편, PAA가 액세스 라우터와 함께 배치되지 않는 경우에, PANA는 언제나 클라이언트를 인증하기 위해 이용된다. PANA가 클라이언트 인증을 위하여 이용되는 경우에, 인증 절차는 이전의 제3 단계로부터 계속된다:
4. PaC는 PANA-개시-요청 메시지에 응답하여 PANA-개시-응답 메시지를 PAA로 전송한다. PaC는, PANA-개시-응답 메시지 내에 희망 서빙 네트워크(들)에 대한 정보를 삽입함으로써, 액세스하고자 하는 하나 이상의 서빙 네트워크를 특정할 수도 있다.
5. 그 후에, PAA는 확장가능 인증 프로토콜(EAP : Extensible Authentication Protocol) 메시지 및 PANA 세션 식별자를 운반하는 PANA-인증-요청 메시지를 전송한다. PANA-인증-요청 메시지는 진행중인 인증과 연관된 서빙 네트워크에 대한 정보를 포함할 수도 있다. EAP는 토큰(token) 카드, 1회용 패스워드, 인증서, 공용 키 인증 및 스마트 카드와 같은 복수의 인증 방법을 또한 지원하는 인증용 범용 프로토콜이다. 인증의 목적은 클라이언트 또는 사용자의 아이덴티티를 확인하는 것이다.
6. PaC는 EAP 메시지를 운반하여 PANA-인증-요청 메시지에 응답하여 PANA-인증-응답 메시지를 반환한다.
7. 제5 단계 및 제6 단계는 EAP 인증 프로세스가 완료될 때까지 필요한 만큼 반복된다.
8. EAP 인증 프로세스가 완료된 경우에, PAA는 EAP 성공/실패 메시지를 포함하는 PANA-바인드(Bind)-요청 메시지를 PaC로 전송한다. EAP 인증이 성공적으로 완료된다면, PAA와 연관된 액세스 라우터의 IP 어드레스 리스트가 메시지에 추가적으로 포함된다. PAA가 액세스 라우터와 함께 배치되지 않는다면, PAA와 연관되고 서빙 네트워크(들)에 접속된 액세스 라우터의 네임 리스트가 이 메시지에 추가적으로 포함된다. PANA-바인드-요청은, PAA가 PaC로의 액세스를 허가하는 서빙 네트워크에 대한 정보를 포함할 수도 있다. 클라이언트 인증이 실패한다면, 클라이언트 노드는 어떠한 서빙 네트워크로의 액세스도 거부할 것이다.
9. PaC는 PAA로 PANA-Bind-응답 메시지를 반환한다.
10. EAP 인증이 하나 이상의 서빙 네트워크에 대해 필요한 경우에, 제5 단계 내지 제9 단계가 각각의 서빙 네트워크에 대해 반복된다.
전술한 시퀀스에서, EAP 마스터 세션 키(MSK : Master Session Key)를 획득할 수 있는 하나 이상의 EAP 인증 방법이 사용되는 것으로 가정된다. 획득된 MSK는 PaC와 PAA 사이에서 공유된다. 획득된 MSK로 EAP 인증 프로세스를 성공적으로 완료할 시에, PAA는 서빙 네트워크로의 액세스를 갖는 PaC를 허가하기 위하여, 제4 단계에서 PaC에 의해 특정된 서빙 네트워크(들)에 접속되고 PAA와 연관된 각각의 액세스 라우터로 최소한 이하의 정보를 전송한다:
· PANA 세션 식별자
· MSK로부터 획득된 IKE 선공유(pre-shared) 기밀 데이터
액세스 라우터로의 보안 터널 확립
(알림 및 인증을 위하여 PANA를 이용하는 경우에) 서빙 네트워크 알림 정보 및 클라이언트 노드 인증의 수신을 성공적으로 완료했을 시에, 또는(라우터 탐색을 이용하는 경우에) 서빙 네트워크 알림 정보의 수신을 성공적으로 완료했을 시에, 클라이언트는 PAA와 연관된 어떠한 액세스 라우터가 어떠한 서빙 네트워크(들)에 접속되는지를 인지한다. 그 후, 클라이언트는 임의의 액세스 라우터로 IKE를 수행하여 IPSec 터널을 확립할 수 있다.
IKE는 인터넷 보안 연계 및 키 관리 프로토콜(ISAKMP : Internet Security Association and Key Management Protocol) 프레임워크 내의 Oakley 키 교환 및 Skeme 키 교환을 구현하는 하이브리드 프로토콜이다. (ISAKMP, Oakley 및 Skeme은 IKE에 의해 구현된 보안 프로토콜이다.) IPSec는 관여하는 피어(peer) 들 사이에 데이터 기밀성, 데이터 무결성 및 데이터 인증을 제공하는 공개 표준의 프레임워크이다. IPSec는 IP 레이어에서 이러한 보안 서비스를 제공하고, IKE를 이용하여 로컬 정책에 기초한 프로토콜 및 알고리즘의 협상을 다루고, IPSec에 의해 이용될 암호화 및 인증 키를 생성한다. IPSec는 한 쌍의 호스트 사이, 한 쌍의 보안 게이트웨이 사이, 또는 보안 게이트웨이와 호스트 사이에서 하나 이상의 데이터 흐름을 보호하는데 이용될 수 있다.
보안 터널 확립 단계에 진입하기 전에 인증이 수행된다면, 인증 절차에서 획득된 IKE 선공유 키는 IKE가 IKE 엔드-포인트를 인증하는데 이용된다(따라서 IKE 협상 내에서 어떠한 다른 클라이언트 인증도 수행되지 않는다). 클라이언트는 IKEv1에서의 ISAKMP 보안 연계(ISAMKP SA) 식별자 또는 IKEv2에서의 IKE_SA와 같이, 액세스 네트워크에서 PANA 세션 식별자 또는 유효 IP 어드레스를 사용할 수 있다. IP 어드레스가 IKEv1에서 ISAKMP SA 식별자로서 이용되는 경우에, IKEv1 메인 모드가 이용될 필요가 있다.
한편, 클라이언트 인증이 보안 터널 확립 단계에 진입하기 전에 수행되지 않았다면, IKE 선공유 키를 이용하는 것 외에 다른 인증 절차가 IKE 협상 내에서 수행되어야만 한다. 이 경우에, 이러한 인증 절차에 특정된 식별자가 이용된다.
액세스 라우터가(도 1에서의 액세스 라우터 AR2와 같이) 복수의 서빙 네트워크에 접속되는 경우에, 액세스 라우터가 (1) IPSec 터널 내부 어드레스를 서빙 네트워크의 어드레스 블럭으로부터 할당하고, (2) 클라이언트와 서빙 네트워크 사이에 패킷을 전달할 수 있도록, IPSec 터널을 특정 서빙 네트워크에 바인딩하는 메커니즘이 필요하다. 이러한 바인딩은 IPSec SA 식별자 증명서와 같이 서빙 네트워크에 대한 정보를 이용함으로써 IKE 협상에서 생성될 수 있다. 이러한 방식으로, 도 2에 도시한 바와 같이, 클라이언트 노드와 액세스 라우터 사이에 복수의 IPSec 터널을 확립하고 개별 서빙 네트워크에 각각의 바운드(bound)를 확립할 수 있다. 전체 액세스 네트워크를 위한 단일 PANA 인증 및 세션 식별자, 각각의 액세스 라우터를 위한 단일 PANA 인증 및 식별자, 또는 각각의 서빙 네트워크를 위한 단일 PANA 인증 및 식별자와 같은 복수의 구성이 채용될 수 있다. 각각의 서빙 네트워크를 위한 인증이 존재하는 경우에, PANA 세션 식별자가 IKE를 위한 식별자로서 이용될 수도 있으나, 다른 경우에, 클라이언트는 특정 서빙 네트워크에 대한 IKE에 대하여 고유한 식별자를 이용/생성하여야만 하거나, 다른 정보/식별자 교환/협상이 IKE 동안 요구될 수도 있다.
IKEv2가 IPSec 터널을 확립하는데 이용되는 경우에, 클라이언트 노드와 액세스 라우터 사이에 복수의 IPSec 터널을 확립하고, 서빙 네트워크로 각각의 바운드를 확립할 수도 있다. 액세스 라우터가 단 하나의 서빙 네트워크에 접속되는 경우에, 단지 하나의 바인딩이 존재하며, 다른 식별자가 사용될 수도 있다.
IPSec 터널 SA의 내부 어드레스가 터널을 종단하는 액세스 라우터에 의한 IKE 협상동안 할당될 수도 있다. 예를 들어, IKEv2는 구성 페이로드(Payload) 교환을 정의하여 IPSec 터널 내부 어드레스를 할당한다. 내부 어드레스가 IKE 협상에서 할당되지 않는 경우에, DHCP는 확립된 IPSec 터널을 통해 수행될 수도 있다. 어떠한 경우에든, 할당된 IPSec 내부 어드레스는 IPSec SA로의 서빙 네트워크 바운드에 대하여 유효하여야 한다. 또한, 서브넷 프리픽스(또는 넷마스크(netmask)), 도메인 네임 시스템(DNS :Domain Name System) 서버 어드레스, 또는 DHCP 서버 어드레스와 같은 다른 구성 정보가 IKE 협상에서 할당될 수도 있다. 또한, 클라이언트 노드가 IPv6 라우터인 경우에, 서빙 네트워크로부터 파견된 IPv6 프리픽스 또한 확립된 IPSec 터널을 통해 프리픽스 위임 옵션(delegation option) 과 함께 DHCPv6을 실행시킴으로써 할당될 수 있다. 이 경우에, 파견된 프리픽스는, 클라이언트 라우터가 서빙 네트워크로의 클라이언트측 게이트웨이로서 기능하는 다른 클라이언트 노드들 사이에서 공유될 수 있다.
액세스 라우터는 그것이 종단하는 IPSec 터널을 통한 서비스 품질(QoS : Quality of Service) 제어를 수행하여, 다른 클라이언트 노드로부터의 IPSec 터널 및/또는 동일한 클라이언트 노드로부터의 IPSec 터널 사이에서 차등화된 서비스를 제공할 수 있다. 또한, 서빙 네트워크에 대한 알림 정보는, 클라이언트 노드가 IKE에서 IPSec SA 동안 QoS 정보를 특정할 수 있도록 QoS 정보를 포함할 수 있다.
또한, 본 발명은 동일한 액세스 네트워크 상의 복수의 액세스 라우터로 하여금 동일한 서빙 네트워크에 접속할 수 있게 한다. 따라서, 액세스 라우터들 사이의 부하 균형이 가능하다. PANA가 서빙 네트워크 알림 및 인증에 사용되는 경우에, 인증 단계 동안 PANA-바인드-요청 메시지에 포함된 액세스 라우터의 리스트가 어떠한 액세스 라우터가 어떠한 서빙 네트워크에 접속되는지를 식별하는데 이용될 수 있다.
또한, 브로드캐스트 및/또는 멀티캐스트 트래픽이 IPSec 터널을 통해 송신될 수도 있다. 액세스 라우터는 IPSec 터널을 통한 브로드캐스트/멀티캐스트 트래픽의 송신을 허용 및 금지하기 위한 구성 옵션을 가질 수도 있다.
액세스 라우터로의 IPSec 터널을 갖는 클라이언트 노드는 IPSec 터널을 사용하지 않고 액세스 네트워크 내의 다른 노드로 패킷을 송신 또는 수신할 수도 있다. 이러한 패킷은, 액세스 네트워크 내의 로컬 프린터로의 프린팅 데이터와 같은 애플리케이션 트래픽을 포함한다.
용법 시나리오
본 발명이 DSL 또는 무선 LAN 핫스폿에서 사용되는 경우에, 서빙 네트워크는 ISP 네트워크 또는 NAP 교환 네트워크일 수 있다. 액세스 네트워크는 통상적으로 단일 NAP에 의해 소유되지만, 복수의 NAP가 동일한 액세스 네트워크를 공유하는 것 또한 가능하다. 단일 NAP(301)가 액세스 네트워크(101)를 소유하는 경우의 예시적인 물리적 토폴로지가 도 3에 도시된다.
본 예시에서, 클라이언트 노드(103)는 ISP1, ISP2, ISP3 또는 NAP(301)에 의해 소유되는 하나, 몇몇 또는 모든 서빙 네트워크로의 접속을 선택적으로 확립할 수 있다. PANA가 클라이언트 노드를 인증하는데 사용되는 경우에, 가능한 경우 다른 클라이언트 식별자들을 사용하여, 하나는 ISP 용이고, 다른 하나는 NAP 용인 2개의 EAP 인증을 단일 PANA 세션에서 수행할 수 있다. 클라이언트 노드(103)가 다른 ISP들로의 복수의 IPSec 터널을 생성하는 경우에, 멀티호밍이 달성된다. 각각의 제공자(ISP 또는 NAP)에 대하여, 제공자의 식별자 및 네임이 서빙 네트워크 정보로서 이용될 수도 있다.
VLAN 용법을 위한 예시적인 물리적 토폴로지가 도 4 내지 도 8에 도시된다. VLAN 토폴로지는 주로 기업 네트워크 구성에 이용된다. 도 4에 도시한 예시에서, 네트워크 내에 구성된 4개의 VLAN이 존재한다. 액세스 VLAN(401)은 클라이언트 노드(103)를 위한 액세스 네트워크로서 사용된다. 서빙 VLAN(402-404)은 서빙 네트워크로서 이용되는 VLAN이다. 서빙 VLAN으로의 접속은 클라이언트 노드(103)와 액세스 라우터(AR1 및 AR2) 사이에 확립된 IPSec 터널을 통해서만 이루어진다(액세스 라우터는, VLAN이 동일한 물리적 네트워크에서 구성되는 가상 라우터일 수도 있다). 각각의 서빙 VLAN에 대하여, VLAN의 식별자 및 네임이 서빙 네트워크 정보로서 이용된다.
또한, 도 5에 도시한 바와 같이, 액세스 네트워크가 복수의 액세스 VLAN(501 및 502)으로 구성될 수 있다. 이러한 구성은(레거시(legacy) VLAN 네트워크가 그러한 것처럼) 액세스 네트워크 내의 트래픽을 분배하는데 유용하고, 이는, 클라이언트 노드(103)가 액세스 VLAN(501)을 통하여 서빙 VLAN(402-404)으로의 접속을 확립하고, 클라이언트 노드(104)가 액세스 VLAN(502)을 통하여 서빙 VLAN(402-404)으로의 접속을 확립하면서, 여전히 클라이언트 노드로 하여금 서빙 VLAN으로 동적 바인딩을 생성할 수 있도록 한다.
이하, 도 6 및 도 7을 참조하여, 본 발명이 가상 액세스 포인트(VAP : Virtual Access Point)에 기초한 레이어-2 동적 VLAN 모델과 함께 이용될 수 있는 방식을 설명한다. 가상 액세스 포인트는 물리적 액세스 포인트(AP : Access point) 내에 존재하는 논리적 엔티티이다. 단일 물리적 AP가 복수의 가상 AP를 지원하는 경우에, 단지 단일 물리적 AP가 존재한다 하더라도, 각각의 가상 AP는 클라이언트 스테이션에 독립적 물리적 AP로서 보이게 된다. 예를 들어, 복수의 가상 AP는 단일 물리적 AP 내에 존재할 수 있으며, 이 AP 각각은 개별 SSID 및 용량 세트를 알린다. IEEE 802.11 SSID가 VLAN을 식별하는 정보로서 이용되는 것으로 가정한다. 이하 설명되는 바와 같이, VAP에 적용되는 것과 같이 본 발명을 위한 2개의 택일적 구성이 존재한다. 또한, 이러한 2개의 구성은 결합될 수 있다.
AP가 IPSec(또는 IEEE 802.11i) 처럼 강력한 보안 액세스 메커니즘 및 동적 VLAN 기능(즉, 복수의 VLAN을 처리하는 능력) 모두를 지원한다면, 도 6에 도시한 바와 같이 개별 SSID가 각각의 서빙 VLAN에 연관되는 서빙 VLAN으로 AP를 직접(가상적으로) 접속할 수 있다. 클라이언트 노드(103)는 본 발명을 이용하여 유선 이더넷 접속(601)을 통해 서빙 VLAN(1-3)으로 접속하며, (IEEE 802.11i를 지원하는) 무선 클라이언트 노드(104)는 가상 AP3로의 무선 접속(602)을 통해 서빙 VLAN으로 직접 접속할 수 있다. 그러나, 무선 클라이언트가 복수의 무선 LAN 카드를 갖지 않는다면(또는, 단일 물리적 레이어 상의 소정 종류의 "가상 스테이션"을 지원하지 않는다면), 무선 클라이언트는 복수의 서빙 VLAN에 동시에 접속할 수 없을 것이다.
AP가 동적 VLAN 기능을 지원하지만 IPSec와 같이 강력한 보안 액세스 메커니즘을 지원하지 않는다면, 네트워크 관리자는 AP로 하여금 직접 서빙 VLAN에 접속하도록 하지 않을 것이지만 도 7에 도시한 바와 같이 AP는 액세스 VLAN으로 접속될 수도 있다. 이러한 경우에, 클라이언트 노드(103(104))는 우선 가상 AP(701(702))를 통하여 액세스 VLAN(501(502))으로 접속하고, 그 후에 본 발명을 이용하여 서빙 VLAN(402-404)으로의 접속을 확립한다.
도 8에 도시한 바와 같이, 클라이언트 노드(103)는 원격 네트워크 싸이트(801)로부터 서빙 VLAN(402-404)으로 접속하기를 원할 수도 있다. 서비스 제공자 알림 정보를 수신하기 위하여, 클라이언트 노드(103)가 PAA 또는 액세스 라우터 AR1 또는 AR2의 IP 어드레스를 인지한다면, 본 발명은 이러한 상황을 지원할 수 있다. 이것은 액세스 라우터나 PAA 모두 원격 네트워크로 제공자 정보를 브로드캐스팅할 수 없기 때문이다.
클라이언트 노드가 DMZ(비무장 지대 - 통합 사설 LAN 과 같은 신뢰 내부 네트워크와 공용 인터넷과 같은 비신뢰 외부 네트워크 사이에 위치하는 컴퓨터 또는 소규모 서브 네트워크 -) 내의 방화벽을 통해 외부 네트워크로부터 내부 네트워크로 접속하는 경우에, 이하의 시나리오가 제시된다.
· 내부 네트워크 관리 정책이, (서빙 VLAN의 액세스 라우터가 내부 네트워크에 위치된 경우와 같이) 외부 네트워크로부터의 모든 액세스가 DMZ 내의 IPSec 게이트웨이를 통해 IPSec로 보호되어야 함을 요구하는 경우 - 이러한 경우에, 클라이언트 노드와 서빙 VLAN의 액세스 라우터 사이에 확립된 IPSec 터널을 통하여 송신된 패킷은 클라이언트 노드와 IPSec VPN 게이트웨이(더블 IPSec) 사이에 확립된 또 다른 IPSec 터널로 보호될 것이다.
· 내부 네트워크 관리 정책이, 외부 네트워크로부터의 모든 액세스가 IPSec로 보호되어야 함을 요구하지만, IPsec 게이트웨이가 반드시 DMZ 내에 존재할 필요는 없는 경우 - 이러한 경우에, 추가적인 IPsec 터널이 필요하지 않다.
또한, 본 발명은 이하의 방식으로(MIPv4와 같은) 모바일 IP와 함께 이용될 수 있다. 첫째로, 본 발명은 클라이언트 노드로 하여금 하나의 서빙 네트워크로부터 다른 서빙 네트워크로 동적으로 스위칭할 수 있게 하므로, 스위칭이 발생하는 경우에 그 대응 노드로의 지속적인 접속을 필요로 하는 애플리케이션에 대해 안정적인 IP 어드레스가 요구된다(스위칭은 물리적으로 이동하지 않는 모바일 클라이언트 노드 상에서 발생할 수 있다는 것을 알 것이다). 모바일 IP를 이용함으로써, 홈 어드레스가 이러한 안정적인 IP 어드레스로서 이용될 수 있다.
두번째로, 서빙 네트워크로 접속된 모바일 클라이언트 노드는, 하나의 액세스 네트워크에 의해 커버된 영역으로부터 또 다른 액세스 네트워크에 의해 커버된 영역으로 물리적으로 이동할 수도 있으며, 여기에서 액세스 네트워크는 원격 네트워크 내의 액세스 네트워크 또는 서빙 네트워크의 액세스 네트워크일 수도 있다. 모바일 IP를 이용함으로써, 클라이언트 노드는 애플리케이션 접속을 잃지 않고 상이한 액세스 네트워크들 사이에서 끊김 없이 이동할 수 있다.
양 경우에, 패킷 내에 홈 어드레스를 포함하는 IP 헤더는 IPSec 터널 헤더 내부에 나타난다. 클라이언트 노드가 DMZ를 통해 외부 싸이트로부터 내부 서빙 네트워크로 접속되는 경우에, 추가적인 모바일 IP가 외부 이동성을 지원하는데 이용될 수도 있다.
VLAN 시나리오에서, 모바일 클라이언트 노드가 복수의 서빙 VLAN으로 접속을 확립하고, 각각의 서빙 VLAN이 그 자신의 홈에이전트를 이용한다면, 클라이언트 노드는 복수의 홈 어드레스를 이용하는 것과 병행하여 듀얼 모바일 IP를 동작시킬 수도 있다. 또한, 전술한 설명은 모바일 IPv6 이 모바일 IP 대신 이용되는 경우에도 적용된다.
본 발명의 광범위
본 발명의 예시적인 실시형태를 본 명세서에서 설명하였지만, 본 발명은 여기에 설명된 다양한 바람직한 실시형태들로 한정되지 않으며, 본 명세서에 기초한 기술 분야의 당업자에 의해 이해되는 바와 같이, 수정, 생략, (예를 들어, 다양한 실시형태에 걸친 양태의) 조합, 개조 및/또는 변경을 갖는 임의의 실시형태 및 모든 실시형태를 포함한다. 청구 범위에서의 한정은 청구범위에 사용된 언어에 기초하여 광범위하게 해석되어야 하며, 본 명세서에서 또는 본 출원의 진행 동안에 설명된 예시로 한정되지 않으며, 이 예시는 비배타적(non-exclusive)으로 해석되어야 한다. 예를 들어 본 명세서에서, "바람직하게(preferably)"라는 용어는 비배타적이고 "바람직하지만, 한정되지는 않는"을 의미한다. 수단-플러스-기능 또는 단계-플러스-기능 한정은, 특정 청구항 한정에 대해 이하의 모든 조건이 그 한정에 존재하는 경우에만 사용될 것이다: a) "을 위한 수단(means for)" 또는 "하는 단계(step for)"(즉, 의 단계(step of)가 아님)가 명확히 기술된다; b) 대응하는 기능이 명확히 기술된다; 그리고 c) 구성, 그 구성을 지원하는 재료 또는 동작은 기술되지 않는다. 본 명세서에서 그리고 본 출원의 진행 동안에, "본 발명" 또는 "발명" 이란 용어는 본 명세서 내에서 하나 이상의 양태에 대한 참조로써 이용될 수도 있다. 본 발명 또는 발명이라는 언어는 크리티컬리티(criticality)의 동일성으로서 부적절하게 해석되어서는 안되고, 모든 양태 또는 실시형태에 걸쳐 적용하는 것으로 부적절하게 해석되어서는 안되며(즉, 본 발명은 다수의 양태 및 실시형태를 갖는다는 것이 이해되어야 한다), 출원 또는 청구범위의 범위를 한정하는 것으로 부적절하게 해석되어서는 안 된다. 본 명세서에서 그리고 본 출원의 진행 중에, "실시형태" 라는 용어는 임의의 양태, 특성, 프로세스 또는 단계, 그 임의의 조합, 및/또는 그 임의의 부분 등을 설명하는데 이용될 수 있다. 몇몇 예시에서, 다양한 실시형태는 중첩되는 특성을 포함할 수도 있다.

Claims (27)

  1. 클라이언트 노드를 서빙 네트워크로 동적으로 접속시키는 방법으로서,
    클라이언트 노드가 네트워크 접속되는 액세스 네트워크를 제공하는 단계;
    상기 액세스 네트워크로 네트워크 접속되고, 하나 이상의 서빙 네트워크로 네트워크 접속되는 하나 이상의 액세스 라우터를 제공하는 단계;
    상기 클라이언트 노드로 서빙 네트워크 제공자 알림 정보를 전송하는 단계;
    서빙 네트워크 제공자 정보를 상기 클라이언트 노드로부터 수신하는 단계 - 상기 서빙 네트워크 제공자 정보는, 상기 클라이언트 노드가 액세스하기를 희망하는 서빙 네트워크를 특정하는 정보임 -; 및
    상기 클라이언트 노드가 상기 액세스 네트워크를 통해 통신 터널 내의 상기 클라이언트 노드에 의해 특정되는 상기 서빙 네트워크로, 그리고 상기 서빙 네트워크로부터 데이터 패킷을 송신 및 수신할 수 있도록, 상기 액세스 네트워크를 통해 상기 클라이언트 노드와 상기 액세스 라우터 사이에 상기 통신 터널을 확립하는 단계를 포함하는, 서빙 네트워크로의 동적 접속 방법.
  2. 제1항에 있어서,
    상기 통신 터널을 확립하기 전에 상기 클라이언트 노드를 인증하는 단계를 더 포함하는, 서빙 네트워크로의 동적 접속 방법.
  3. 제1항에 있어서,
    상기 액세스 네트워크로 네트워크 접속되고 2 이상의 서빙 네트워크로 네트워크 접속되는 제2 액세스 라우터를 제공하는 단계를 더 포함하는, 서빙 네트워크로의 동적 접속 방법.
  4. 제3항에 있어서,
    상기 클라이언트 노드에 의해 특정된 서빙 네트워크가 상기 제2 액세스 라우터와 연관되는 경우에, 상기 확립하는 단계는,
    상기 특정된 서빙 네트워크의 서빙 네트워크 정보를 상기 통신 터널의 보안 연관 식별자로서 이용함으로써, 상기 통신 터널을 상기 제2 액세스 라우터와 연관된 상기 특정된 서빙 네트워크로 바인딩(binding)하는 단계를 더 포함하는, 서빙 네트워크로의 동적 접속 방법.
  5. 제1항에 있어서,
    상기 액세스 라우터는 2 이상의 서빙 네트워크로 네트워크 접속되고, 상기 서빙 네트워크로의 동적 접속 방법은,
    상기 클라이언트 노드가 상기 2개의 서빙 네트워크 각각으로, 그리고 상기 2개의 서빙 네트워크 각각으로부터 데이터 패킷을 선택적으로 송신 및 수신할 수 있도록, 상기 액세스 네트워크를 통해 상기 클라이언트 노드와 상기 액세스 라우터 사이에 제2 통신 터널을 확립하는 단계를 더 포함하는, 서빙 네트워크로의 동적 접속 방법.
  6. 제1항에 있어서,
    상기 액세스 네트워크로 네트워크 접속되고, 하나 이상의 서빙 네트워크로 네트워크 접속되는 제2 액세스 라우터를 제공하는 단계를 더 포함하고,
    상기 서빙 네트워크로의 동적 접속 방법은,
    상기 클라이언트 노드가 상기 통신 터널들을 통해 상기 액세스 라우터들과 연관된 상기 서빙 네트워크들 각각으로, 그리고 상기 서빙 네트워크들 각각으로부터 데이터 패킷을 선택적으로 송신 및 수신할 수 있도록, 상기 액세스 네트워크를 통해 상기 클라이언트 노드와 상기 제2 액세스 라우터 사이에 제2 통신 터널을 확립하는 단계를 더 포함하는, 서빙 네트워크로의 동적 접속 방법.
  7. 제1항에 있어서,
    상기 서빙 네트워크 제공자 알림 정보를 전송하는 단계는 PANA 프로토콜을 사용하는 단계를 포함하는, 서빙 네트워크로의 동적 접속 방법.
  8. 제1항에 있어서,
    상기 서빙 네트워크 제공자 알림 정보를 전송하는 단계는 라우터 탐색 메커니즘을 사용하는 단계를 포함하는, 서빙 네트워크로의 동적 접속 방법.
  9. 제1항에 있어서,
    상기 하나 이상의 서빙 네트워크는, 인터넷 서비스 제공자 네트워크를 포함하는, 서빙 네트워크로의 동적 접속 방법.
  10. 제1항에 있어서,
    상기 하나 이상의 서빙 네트워크는 네트워크 액세스 제공자 네트워크를 포함하는, 서빙 네트워크로의 동적 접속 방법.
  11. 제1항에 있어서,
    상기 하나 이상의 서빙 네트워크는 VLAN 네트워크를 포함하는, 서빙 네트워크로의 동적 접속 방법.
  12. 제11항에 있어서,
    상기 VLAN 서빙 네트워크 내에 가상 액세스 포인트를 제공하는 단계를 더 포함하여, 상기 가상 액세스 포인트를 통해 상기 클라이언트 노드가 상기 VLAN 서빙 네트워크로 직접 접속할 수 있게 하는, 서빙 네트워크로의 동적 접속 방법.
  13. 제1항에 있어서,
    상기 액세스 네트워크는 IP 액세스 네트워크를 포함하는, 서빙 네트워크로의 동적 접속 방법.
  14. 제1항에 있어서,
    상기 액세스 네트워크는 VLAN 액세스 네트워크를 포함하는, 서빙 네트워크로의 동적 접속 방법.
  15. 제14항에 있어서,
    상기 VLAN 액세스 네트워크는 복수의 VLAN 액세스 서브-네트워크로 분할되는, 서빙 네트워크로의 동적 접속 방법.
  16. 제14항에 있어서,
    상기 VLAN 액세스 네트워크 내에 가상 액세스 포인트를 제공하는 단계를 더 포함하여, 상기 가상 액세스 포인트를 통해 상기 클라이언트 노드가 상기 VLAN 액세스 네트워크로 접속할 수 있게 하는, 서빙 네트워크로의 동적 접속 방법.
  17. 제1항에 있어서,
    상기 클라이언트 노드는 원격 네트워크를 통해 상기 액세스 네트워크로 접속되는, 서빙 네트워크로의 동적 접속 방법.
  18. 제1항에 있어서,
    상기 통신 터널을 확립하는 단계는 IPSec 키 관리 프로토콜을 사용하는 단계를 포함하는, 서빙 네트워크로의 동적 접속 방법.
  19. 제1항에 있어서,
    상기 클라이언트 노드는 모바일 노드이고, 상기 클라이언트 노드의 상기 액세스 네트워크로의 상기 네트워크 접속은 무선 접속인, 서빙 네트워크로의 동적 접속 방법.
  20. 제1항에 있어서,
    상기 통신 터널은 보안 통신 터널인, 서빙 네트워크로의 동적 접속 방법.
  21. 제20항에 있어서,
    IPSec 키 관리 프로토콜을 이용하여 상기 보안 통신 터널을 확립하는 단계를 더 포함하는, 서빙 네트워크로의 동적 접속 방법.
  22. 클라이언트 노드를 복수의 인터넷 서비스 제공자로 접속시키는 방법으로서,
    액세스 네트워크를 제공하는 단계 - 상기 클라이언트 노드는 상기 액세스 네트워크를 통해 상기 복수의 인터넷 서비스 제공자와 통신할 수 있음 -; 및
    상기 클라이언트 노드가 상기 액세스 네트워크를 통해 개별 통신 터널 내의 상기 인터넷 서비스 제공자 각각으로, 그리고 상기 인터넷 서비스 제공자 각각으로부터 데이터 패킷을 송신 및 수신할 수 있도록, 상기 복수의 인터넷 서비스 제공자 각각에 대하여 상기 액세스 네트워크 내에 개별 통신 터널을 확립하는 단계를 포함하는, 복수의 인터넷 서비스 제공자로의 접속 방법.
  23. 제22항에 있어서,
    상기 통신 터널은 보안 통신 터널인, 복수의 인터넷 서비스 제공자로의 접속 방법.
  24. 제23항에 있어서,
    IPSec 키 관리 프로토콜을 이용하여 상기 보안 통신 터널을 확립하는 단계를 더 포함하는, 복수의 인터넷 서비스 제공자로의 접속 방법.
  25. 클라이언트 노드를 서빙 네트워크로 접속시키는 방법으로서,
    2 이상의 서빙 네트워크로 네트워크 접속되는 액세스 라우터를 제공하는 단계;
    서빙 네트워크 정보를 상기 클라이언트 노드로부터 수신하는 단계 - 상기 서빙 네트워크 정보는, 상기 클라이언트 노드가 액세스하기를 희망하는 서빙 네트워크를 특정하는 정보임 -;
    상기 클라이언트 노드가 액세스 네트워크를 통해 통신 터널 내에서 상기 클라이언트 노드에 의해 특정되는 상기 서빙 네트워크로, 그리고 상기 서빙 네트워크로부터 데이터 패킷을 송신 및 수신할 수 있도록, 상기 액세스 네트워크를 통해 상기 클라이언트 노드와 상기 액세스 라우터 사이에 통신 터널을 확립하는 단계; 및
    상기 특정된 서빙 네트워크의 상기 서빙 네트워크 정보를 상기 통신 터널의 보안 관련 식별자로서 이용함으로써, 상기 통신 터널을 상기 특정된 서빙 네트워크로 바인딩하는 단계를 포함하는, 서빙 네트워크로의 접속 방법.
  26. 제25항에 있어서,
    상기 통신 터널은 보안 통신 터널인, 서빙 네트워크로의 접속 방법.
  27. 제26항에 있어서,
    IPSec 키 관리 프로토콜을 이용하여 상기 보안 통신 터널을 확립하는 단계를 더 포함하는, 서빙 네트워크로의 접속 방법.
KR1020067014782A 2004-01-22 2005-01-21 클라이언트 노드를 서빙 네트워크로 동적으로 접속시키는 방법, 클라이언트 노드를 복수의 인터넷 서비스 제공자로 접속시키는 방법, 및 클라이언트 노드를 서빙 네트워크로 접속시키는 방법 KR100826736B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/761,347 2004-01-22
US10/761,347 US7860978B2 (en) 2004-01-22 2004-01-22 Establishing a secure tunnel to access router

Publications (2)

Publication Number Publication Date
KR20070008555A KR20070008555A (ko) 2007-01-17
KR100826736B1 true KR100826736B1 (ko) 2008-04-30

Family

ID=34794818

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020067014782A KR100826736B1 (ko) 2004-01-22 2005-01-21 클라이언트 노드를 서빙 네트워크로 동적으로 접속시키는 방법, 클라이언트 노드를 복수의 인터넷 서비스 제공자로 접속시키는 방법, 및 클라이언트 노드를 서빙 네트워크로 접속시키는 방법

Country Status (6)

Country Link
US (1) US7860978B2 (ko)
EP (1) EP1709547B1 (ko)
JP (1) JP4675909B2 (ko)
KR (1) KR100826736B1 (ko)
CN (1) CN100507895C (ko)
WO (1) WO2005072276A2 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100911942B1 (ko) * 2009-01-21 2009-08-13 (주)이소컴 고정 아이피 주소를 부여받을 수 있는 이동식 저장장치 및 고정 아이피 주소 부여 방법

Families Citing this family (102)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FI118170B (fi) * 2002-01-22 2007-07-31 Netseal Mobility Technologies Menetelmä ja järjestelmä viestin lähettämiseksi turvallisen yhteyden läpi
US7421736B2 (en) * 2002-07-02 2008-09-02 Lucent Technologies Inc. Method and apparatus for enabling peer-to-peer virtual private network (P2P-VPN) services in VPN-enabled network
US7978655B2 (en) * 2003-07-22 2011-07-12 Toshiba America Research Inc. Secure and seamless WAN-LAN roaming
US7533407B2 (en) * 2003-12-16 2009-05-12 Microsoft Corporation System and methods for providing network quarantine
US7676599B2 (en) 2004-01-28 2010-03-09 I2 Telecom Ip Holdings, Inc. System and method of binding a client to a server
US10375023B2 (en) 2004-02-20 2019-08-06 Nokia Technologies Oy System, method and computer program product for accessing at least one virtual private network
US7549048B2 (en) * 2004-03-19 2009-06-16 Microsoft Corporation Efficient and secure authentication of computing systems
US9686669B2 (en) * 2004-04-08 2017-06-20 Nokia Technologies Oy Method of configuring a mobile node
US20050267954A1 (en) * 2004-04-27 2005-12-01 Microsoft Corporation System and methods for providing network quarantine
KR101166765B1 (ko) * 2004-05-07 2012-07-27 엘지전자 주식회사 IPv4 및 IPv6을 지원하기 위한 IP 주소 설정
KR20060047692A (ko) * 2004-05-07 2006-05-18 엘지전자 주식회사 광대역 무선접속 시스템에 적용되는 수면모드 수행 및 제어방법
KR101119372B1 (ko) * 2004-05-10 2012-06-12 엘지전자 주식회사 Ip 연결 설정 방법
US20060002351A1 (en) * 2004-07-01 2006-01-05 Telefonaktiebolaget L M Ericsson (Publ) IP address assignment in a telecommunications network using the protocol for carrying authentication for network access (PANA)
CN100474839C (zh) * 2004-10-12 2009-04-01 上海贝尔阿尔卡特股份有限公司 IPv6接入网中的网络服务选择和认证,及无状态自动配置
US20060085850A1 (en) * 2004-10-14 2006-04-20 Microsoft Corporation System and methods for providing network quarantine using IPsec
US8839427B2 (en) * 2005-04-13 2014-09-16 Verizon Patent And Licensing Inc. WAN defense mitigation service
JP4421517B2 (ja) * 2005-06-07 2010-02-24 株式会社東芝 情報処理サーバ、遠隔操作システムおよび遠隔操作方法
US7801517B2 (en) * 2005-06-29 2010-09-21 At&T Intellectual Property I, L.P. Methods, systems, and computer program products for implementing a roaming controlled wireless network and services
US20070009139A1 (en) * 2005-07-11 2007-01-11 Agere Systems Inc. Facial recognition device for a handheld electronic device and a method of using the same
WO2007019871A1 (en) * 2005-08-12 2007-02-22 Telefonaktiebolaget Lm Ericsson (Publ) Access selection method
FI119863B (fi) * 2005-08-22 2009-04-15 Teliasonera Ab Etäasiakkaan aitouden ja oikeuksien varmistaminen
ATE392769T1 (de) * 2005-08-25 2008-05-15 Alcatel Lucent Sicheres kommunikationsverfahren- und gerät zur verarbeitung von send-datenpaketen
US7526677B2 (en) * 2005-10-31 2009-04-28 Microsoft Corporation Fragility handling
JP2007128331A (ja) * 2005-11-04 2007-05-24 Inter Net Inishiateibu:Kk ネットワーク接続機器の自動生成機構
EP2763443B1 (en) * 2005-12-01 2019-05-22 Ruckus Wireless, Inc. On-demand services by wireless base station virtualization
AU2006333118B2 (en) * 2005-12-15 2011-06-09 Barclays Capital Inc System and method for secure remote desktop access
US7827545B2 (en) * 2005-12-15 2010-11-02 Microsoft Corporation Dynamic remediation of a client computer seeking access to a network with a quarantine enforcement policy
US10659250B2 (en) * 2005-12-30 2020-05-19 Telecom Italia S.P.A. Method and system for managing an internet connection and informing a user about connectivity
US8006089B2 (en) * 2006-02-07 2011-08-23 Toshiba America Research, Inc. Multiple PANA sessions
US20070198525A1 (en) * 2006-02-13 2007-08-23 Microsoft Corporation Computer system with update-based quarantine
US9781162B2 (en) * 2006-02-15 2017-10-03 International Business Machines Corporation Predictive generation of a security network protocol configuration
US7974249B2 (en) * 2006-03-01 2011-07-05 Dell Products L.P. Virtual access point for configuration of a LAN
US20070233844A1 (en) * 2006-03-29 2007-10-04 Murata Kikai Kabushiki Kaisha Relay device and communication system
US7793096B2 (en) * 2006-03-31 2010-09-07 Microsoft Corporation Network access protection
US9769655B2 (en) 2006-04-24 2017-09-19 Ruckus Wireless, Inc. Sharing security keys with headless devices
US9071583B2 (en) 2006-04-24 2015-06-30 Ruckus Wireless, Inc. Provisioned configuration for automatic wireless connection
US7788703B2 (en) 2006-04-24 2010-08-31 Ruckus Wireless, Inc. Dynamic authentication in secured wireless networks
US8625609B2 (en) * 2006-05-19 2014-01-07 Futurewei Technologies Inc. Using DHCPv6 and AAA for mobile station prefix delegation and enhanced neighbor discovery
CN101102189B (zh) * 2006-07-05 2011-06-22 华为技术有限公司 一种实现多种媒体接入的网关系统和方法
US7958368B2 (en) * 2006-07-14 2011-06-07 Microsoft Corporation Password-authenticated groups
US7742479B1 (en) * 2006-12-01 2010-06-22 Cisco Technology, Inc. Method and apparatus for dynamic network address reassignment employing interim network address translation
US8751625B2 (en) * 2006-12-04 2014-06-10 Canon Kabushiki Kaisha Notification apparatus and notification method
KR101329150B1 (ko) * 2006-12-08 2013-11-14 삼성전자주식회사 Pana 인증 방법 및 장치
US8072973B1 (en) * 2006-12-14 2011-12-06 Cisco Technology, Inc. Dynamic, policy based, per-subscriber selection and transfer among virtual private networks
US8194605B2 (en) * 2006-12-22 2012-06-05 Research In Motion Limited Global virtual local area network for voice communication sessions in a wireless local area network
EP1936869B1 (en) * 2006-12-22 2009-02-11 Research In Motion Limited Global virtual local area network for voice communication sessions in a wireless area network
US8307411B2 (en) * 2007-02-09 2012-11-06 Microsoft Corporation Generic framework for EAP
WO2009001434A1 (ja) * 2007-06-26 2008-12-31 Fujitsu Limited データ転送機能検出処理方法,処理システムおよびプログラム
US8341277B2 (en) * 2007-07-03 2012-12-25 International Business Machines Corporation System and method for connecting closed, secure production network
US8160038B1 (en) * 2007-08-06 2012-04-17 Marvell International Ltd. Packet data network specific addressing solutions with network-based mobility
US8509440B2 (en) * 2007-08-24 2013-08-13 Futurwei Technologies, Inc. PANA for roaming Wi-Fi access in fixed network architectures
KR100964350B1 (ko) * 2007-09-14 2010-06-17 성균관대학교산학협력단 IPv6 환경에서의 SEND와 IPSec 협업 기법 및시스템
US9225684B2 (en) * 2007-10-29 2015-12-29 Microsoft Technology Licensing, Llc Controlling network access
US8825883B2 (en) * 2008-02-29 2014-09-02 Microsoft Corporation Connectivity platform
US8364847B2 (en) * 2008-02-29 2013-01-29 Microsoft Corporation Address management in a connectivity platform
CN101547383B (zh) * 2008-03-26 2013-06-05 华为技术有限公司 一种接入认证方法及接入认证系统以及相关设备
WO2009151480A1 (en) * 2008-06-13 2009-12-17 Nortel Networks Limited Unifying virtualizations in a core network and a wireless access network
US20110158649A1 (en) * 2008-08-29 2011-06-30 Shanker Singh Hari Integrating plurality of building management services and home automation services with plurality of multi - play services on neutral access network operations basis
US8341717B1 (en) 2008-11-13 2012-12-25 Sprint Communications Company L.P. Dynamic network policies based on device classification
US8479266B1 (en) * 2008-11-13 2013-07-02 Sprint Communications Company L.P. Network assignment appeal architecture and process
US8363658B1 (en) 2008-11-13 2013-01-29 Sprint Communications Company L.P. Dynamic firewall and dynamic host configuration protocol configuration
US8769257B2 (en) * 2008-12-23 2014-07-01 Intel Corporation Method and apparatus for extending transport layer security protocol for power-efficient wireless security processing
US8364825B2 (en) * 2009-01-07 2013-01-29 Hewlett-Packard Development Company, L.P. Network connection manager
US8599860B2 (en) * 2009-05-14 2013-12-03 Futurewei Technologies, Inc. Multiple prefix connections with translated virtual local area network
US8438389B2 (en) * 2009-08-17 2013-05-07 Intel Corporation Method and system for dynamic service negotiation with a uniform security control plane in a wireless network
US20110099280A1 (en) * 2009-10-28 2011-04-28 David Thomas Systems and methods for secure access to remote networks utilizing wireless networks
US8724583B2 (en) * 2009-11-04 2014-05-13 Cisco Technology, Inc. Neighbor discovery message handling to support roaming of wireless mobile client devices
US8687609B2 (en) 2009-11-04 2014-04-01 Cisco Technology, Inc. Managing router advertisement messages to support roaming of wireless mobile client devices
MY153839A (en) * 2010-02-10 2015-03-31 Mimos Berhad Method and system for use in deploying multiple gateways in mobile networks
US8446876B2 (en) 2010-05-04 2013-05-21 Cisco Technology, Inc. Maintaining point of presence at access switch for roaming clients in distributed wireless controller system
US8520595B2 (en) 2010-05-04 2013-08-27 Cisco Technology, Inc. Routing to the access layer to support mobility of internet protocol devices
US8441983B2 (en) 2010-05-04 2013-05-14 Cisco Technology, Inc. Maintaining point of presence at tunneling endpoint for roaming clients in distributed wireless controller system
US8428006B2 (en) 2010-05-04 2013-04-23 Cisco Technology, Inc. Hierarchical control signaling for mobile clients in distributed wireless controller system
US8675601B2 (en) 2010-05-17 2014-03-18 Cisco Technology, Inc. Guest access support for wired and wireless clients in distributed wireless controller system
BR112013005060A2 (pt) * 2010-09-03 2019-09-24 Nec Corp aparelho de controle,sistema de comunicação,método de comunicação e meio de gravação
EP2434822B1 (en) * 2010-09-27 2014-04-16 Alcatel Lucent Method and base station system for providing access to a mobile communication network
US8667148B1 (en) * 2010-10-04 2014-03-04 Netblazr Inc. Minimal effort network subscriber registration
CN102694752B (zh) * 2011-03-21 2015-03-11 国基电子(上海)有限公司 网关设备
JP6066997B2 (ja) 2011-05-01 2017-01-25 ラッカス ワイヤレス, インコーポレイテッド 遠隔ケーブルアクセスポイントリセット
WO2013003653A1 (en) * 2011-06-28 2013-01-03 Huawei Technologies Co., Ltd. System and method for communications network configuration
US8539055B2 (en) * 2011-06-30 2013-09-17 Aruba Networks, Inc. Device abstraction in autonomous wireless local area networks
US8756668B2 (en) 2012-02-09 2014-06-17 Ruckus Wireless, Inc. Dynamic PSK for hotspots
US9137210B1 (en) 2012-02-21 2015-09-15 Amazon Technologies, Inc. Remote browsing session management
WO2013143611A1 (en) * 2012-03-30 2013-10-03 Nokia Siemens Networks Oy Centralized ip address management for distributed gateways
US9092610B2 (en) 2012-04-04 2015-07-28 Ruckus Wireless, Inc. Key assignment for a brand
US9258704B2 (en) * 2012-06-27 2016-02-09 Advanced Messaging Technologies, Inc. Facilitating network login
US9166952B2 (en) 2012-10-15 2015-10-20 Thales Canada Inc Security device bank and a system including the and SD security device bank
US9826399B2 (en) * 2013-01-04 2017-11-21 Apple Inc. Facilitating wireless network access by using a ubiquitous SSID
EP3007477B1 (en) 2014-05-31 2021-04-28 Huawei Technologies Co., Ltd. Network connection method, hotspot terminal, and management terminal
CN104243465A (zh) * 2014-09-09 2014-12-24 京信通信系统(中国)有限公司 一种基于wlan的ipsec的实现方法及装置
US10142172B2 (en) * 2015-07-22 2018-11-27 Facebook, Inc. Internet service provider management platform
US11233675B2 (en) * 2016-12-19 2022-01-25 Arris Enterprises Llc System and method for enabling coexisting hotspot and DMZ
CN106961355B (zh) * 2017-04-01 2020-05-15 国家电网公司 网络系统及用共享备用路由器实现网络故障恢复的方法
CN110351772B (zh) * 2018-04-08 2022-10-25 慧与发展有限责任合伙企业 无线链路和虚拟局域网之间的映射
CN112204925B (zh) * 2018-07-13 2022-10-28 三菱电机楼宇解决方案株式会社 具有误操作防止功能的电梯系统
US11122054B2 (en) 2019-08-27 2021-09-14 Bank Of America Corporation Security tool
US11765131B2 (en) * 2019-10-07 2023-09-19 Schlumberger Technology Corporation Security system and method for pressure control equipment
WO2022150041A1 (en) * 2021-01-08 2022-07-14 Hewlett-Packard Development Company, L.P. Data communications via tethered connections
US20220393967A1 (en) * 2021-06-07 2022-12-08 Vmware, Inc. Load balancing of vpn traffic over multiple uplinks
US11863514B2 (en) 2022-01-14 2024-01-02 Vmware, Inc. Performance improvement of IPsec traffic using SA-groups and mixed-mode SAs
US11956213B2 (en) 2022-05-18 2024-04-09 VMware LLC Using firewall policies to map data messages to secure tunnels
WO2024044021A1 (en) * 2022-08-24 2024-02-29 National Currency Technologies, Inc. Implementation mechanisms for digital currencies

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020069278A1 (en) * 2000-12-05 2002-06-06 Forsloew Jan Network-based mobile workgroup system
US20050108386A1 (en) * 2003-10-31 2005-05-19 Ibm Corporation Network route control

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7411916B2 (en) * 1998-02-26 2008-08-12 Nortel Networks Limited Data forwarding method and apparatus
US6636898B1 (en) * 1999-01-29 2003-10-21 International Business Machines Corporation System and method for central management of connections in a virtual private network
JP3394727B2 (ja) 1999-06-29 2003-04-07 日本電信電話株式会社 ネットワーク間通信方法及びその装置
JP2001237892A (ja) 2000-02-25 2001-08-31 Nec Corp アクセスサーバを用いたインターネットアクセス方式および方法
JP2002044076A (ja) 2000-07-26 2002-02-08 Nippon Telegraph & Telephone East Corp 端末装置、ネットワーク接続制御方法および接続制御プログラムを記録したコンピュータ読み取り可能な記録媒体
JP2002135313A (ja) 2000-10-25 2002-05-10 Nippon Telegraph & Telephone East Corp 通信システムおよび通信方法
JP3655575B2 (ja) 2001-10-30 2005-06-02 株式会社日立コミュニケーションテクノロジー ゲートウェイ装置
JP2003167805A (ja) 2001-12-04 2003-06-13 Nippon Telegr & Teleph Corp <Ntt> 複数ユーザ側閉域網とサーバ側閉域網間のネットワーク通信方法およびサーバ装置
US7099319B2 (en) * 2002-01-23 2006-08-29 International Business Machines Corporation Virtual private network and tunnel gateway with multiple overlapping, remote subnets
US20040019664A1 (en) * 2002-02-15 2004-01-29 Franck Le Method and system for discovering a network element in a network such as an agent in an IP network
US20030233580A1 (en) * 2002-05-29 2003-12-18 Keeler James D. Authorization and authentication of user access to a distributed network communication system with roaming features
US20040236855A1 (en) * 2003-05-23 2004-11-25 Amir Peles Multi-link tunneling

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020069278A1 (en) * 2000-12-05 2002-06-06 Forsloew Jan Network-based mobile workgroup system
US20050108386A1 (en) * 2003-10-31 2005-05-19 Ibm Corporation Network route control

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100911942B1 (ko) * 2009-01-21 2009-08-13 (주)이소컴 고정 아이피 주소를 부여받을 수 있는 이동식 저장장치 및 고정 아이피 주소 부여 방법

Also Published As

Publication number Publication date
WO2005072276A2 (en) 2005-08-11
EP1709547B1 (en) 2016-01-06
EP1709547A2 (en) 2006-10-11
EP1709547A4 (en) 2013-08-07
CN100507895C (zh) 2009-07-01
JP2007519379A (ja) 2007-07-12
CN1954309A (zh) 2007-04-25
US20050165953A1 (en) 2005-07-28
WO2005072276A3 (en) 2005-09-29
US7860978B2 (en) 2010-12-28
JP4675909B2 (ja) 2011-04-27
KR20070008555A (ko) 2007-01-17

Similar Documents

Publication Publication Date Title
KR100826736B1 (ko) 클라이언트 노드를 서빙 네트워크로 동적으로 접속시키는 방법, 클라이언트 노드를 복수의 인터넷 서비스 제공자로 접속시키는 방법, 및 클라이언트 노드를 서빙 네트워크로 접속시키는 방법
US7155518B2 (en) Extranet workgroup formation across multiple mobile virtual private networks
US6954790B2 (en) Network-based mobile workgroup system
US7441043B1 (en) System and method to support networking functions for mobile hosts that access multiple networks
JP5281644B2 (ja) ノマディック型端末に、レイヤ2レベル上でホーム・ネットワークにアクセスすることを可能にする方法および装置
EP2347560B1 (en) Secure access in a communication network
US20050223111A1 (en) Secure, standards-based communications across a wide-area network
US20030172144A1 (en) Secure IP access protocol framework and supporting network architecture
JP2007518349A (ja) モバイル仮想プライベートネットワークの中規模/大規模企業ネットワークへの展開を容易にする装置
WO2006118497A1 (en) Operator shop selection
CA3021367A1 (en) Using wlan connectivity of a wireless device
US20090106831A1 (en) IPsec GRE TUNNEL IN SPLIT ASN-CSN SCENARIO
JP2004312257A (ja) 基地局、中継装置及び通信システム
Carthern et al. Advanced Routing
Yurcik et al. A planning framework far implementing virtual private networks
US20130133063A1 (en) Tunneling-based method of bypassing internet access denial
WO2003007561A1 (en) Method for forming a secured network
CN113785606A (zh) 用于基于策略的无线网络接入的网络设备及方法
Series Router
Jarvinen Comparing IPv4 and IPv6 mobility and autoconfiguration for residential networks
Fajardo et al. Network service provider selection and security bootstrapping using PANA
ARIF STATELESS AUTO CONFIGURATION AND SECURED DATA TRANSMISSION IN IPV6 NETWORKS THROUGH IPSEC TUNNELING
Vijay et al. A Secure Gateway Solution for Wireless Ad-Hoc Networks.
Ghosh Transition to IPv6-Based Networks
Sara 2.3 Virtual Private Networking Solutions

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20121126

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20140102

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20141201

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20151207

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20170110

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20180129

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20190128

Year of fee payment: 12