KR101507632B1 - 로컬 네트워크로의 원격 액세스를 위한 방법 및 장치 - Google Patents

로컬 네트워크로의 원격 액세스를 위한 방법 및 장치 Download PDF

Info

Publication number
KR101507632B1
KR101507632B1 KR1020107022914A KR20107022914A KR101507632B1 KR 101507632 B1 KR101507632 B1 KR 101507632B1 KR 1020107022914 A KR1020107022914 A KR 1020107022914A KR 20107022914 A KR20107022914 A KR 20107022914A KR 101507632 B1 KR101507632 B1 KR 101507632B1
Authority
KR
South Korea
Prior art keywords
ims
remote
remote device
access
remote access
Prior art date
Application number
KR1020107022914A
Other languages
English (en)
Other versions
KR20100130996A (ko
Inventor
아요델레 다몰라
마르틴 게르데스
Original Assignee
텔레폰악티에볼라겟엘엠에릭슨(펍)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 텔레폰악티에볼라겟엘엠에릭슨(펍) filed Critical 텔레폰악티에볼라겟엘엠에릭슨(펍)
Publication of KR20100130996A publication Critical patent/KR20100130996A/ko
Application granted granted Critical
Publication of KR101507632B1 publication Critical patent/KR101507632B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2803Home automation networks
    • H04L12/283Processing of data at an internetworking point of a home automation network
    • H04L12/2834Switching of information between an external network and a home network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/10Architectures or entities
    • H04L65/1016IP multimedia subsystem [IMS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/10Architectures or entities
    • H04L65/102Gateways
    • H04L65/1033Signalling gateways
    • H04L65/1036Signalling gateways at the edge
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1073Registration or de-registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/30Types of network names
    • H04L2101/395Internet protocol multimedia private identity [IMPI]; Internet protocol multimedia public identity [IMPU]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/30Managing network names, e.g. use of aliases or nicknames
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Multimedia (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Automation & Control Theory (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Telephonic Communication Services (AREA)

Abstract

로컬 네트워크 외부에 위치된 원격 디바이스(300)로부터 로컬 네트워크의 로컬 게이트웨이(302)로의 원격 액세스를 가능하게 하는 방법 및 장치가 제공된다. 원격 디바이스 및 로컬 게이트웨이의 케이퍼빌리티들 및 자격 증명들은 원격 액세스를 위해 IMS 코어(304) 내에 독자적으로 구성된다. 각각의 권한 인증된 사용자의 IMS 아이덴티티를 IMS 기반 액세스 제어 목록(ACL)에 추가함으로써 하나 이상의 사용자들은 또한 로컬 네트워크로의 원격 액세스에 대하여 권한 부여된다. 원격 디바이스로부터 로컬 게이트웨이로의 액세스 요청은 원격 디바이스 사용자가 IMS 기반 ACL에서 사용자 자신의 IMS 아이덴티티에 의한 원격 액세스에 권한 부여된 경우에 액세스 요청을 허용될 것이다. 그리고나서 원격 액세스 접속은 원격 디바이스 및 로컬 게이트웨이의 구성된 케이퍼빌리티들 및 자격 증명들에 의해 설정될 수 있다.

Description

로컬 네트워크로의 원격 액세스를 위한 방법 및 장치{METHOD AND APPARATUS FOR REMOTE ACCESS TO A LOCAL NETWORK}
본 발명은 일반적으로 로컬 네트워크(local network) 외부에 위치된 통신 디바이스(device)로부터, 로컬 네트워크 내의 서비스들 및 통신 디바이스들로의 원격 액세스(access)를 가능하게 하는 방법 및 장치에 관한 것이다.
때로는 간단하게 "디바이스"로 칭해지는 통신 단말기들의 다수의 상이한 유형들이 IP(Internet Protocol)을 사용하는 패킷(packet) 기반 멀티미디어 통신용으로 개발되어 왔다. 멀티미디어 서비스들은 전형적으로 IP 네트워크를 통한 상이한 포맷들 및 결합들로 매체의 송신을 수반한다. 예를 들어, IP-인에이블드(enabled) 단말기는 비주얼 및/또는 오디오 정보와 같은 매체를 다른 IP-인에이블드 단말기와 교환할 수 있거나, 또는 매체를 콘텐츠 서버로부터 인터넷을 통해 다운로드할 수 있다.
IMS(IP Multimedia Subsystem)이라 칭해지는 네트워크 아키텍처는 IP 기반 멀티미디어 서비스들 및 세션(session)들을 처리하고 제어하기 위한 플랫폼(platform)으로 개발되었으며, 이는 흔히 IMS 네트워크 또는 IMS 코어로 칭해진다. 그러므로, IMS 네트워크는, 사용되는 액세스 기술과 상관없이, 다양한 액세스 네트워크들에 접속되는 통신 단말기에 대한 멀티미디어 세션들을 설정하고 제어하는데 사용될 수 있다.
멀티미디어 세션들은 IMS 네트워크 내의 특정한 세션 제어 노드(node)들, 예를 들어 노드들 P-CSCF(Proxy Call Session Control Function), S-CSCF(Serving CSCF), 및 I-CSCF(Interrogating CSCF)에 의해 처리된다. 더욱이, IMS 네트워크 내의 데이터베이스 노드 HSS(Home Subscriber Server)는 가입자 및 인증 데이터를 저장한다. IMS 네트워크는 다양한 애플리케이션 서버들을 더 포함할 수 있고 또한 외부 서비스 공급자들에 접속될 수 있다.
IMS 플랫폼에 따르면, "SIP"(Session Initiation Protocol)라 칭해지는 프로토콜은 일반적으로 멀티미디어 세션들을 개시하고, 관리하고, 종료하는데 사용된다. 그러므로 표준 SIP 메시지들은 IP 단말기들 또는 디바이스들에 의해 공통 세션 개시 메시지 "SIP invite" 및 공통 응답 메시지 "SIP 200 OK"와 같은 세션들을 설정하기 위해 사용된다. "세션 기술 프로토콜(Session Description Protocol)"은 SIP 메시지들 내에 자가 포함된 몸체로 임베딩(embedding)되어 다가올 멀티미디어 세션에 필요한 상이한 토인 파라미터들을 지정할 수 있다. 이 프로토콜은 일반적으로 세션 설정 절차들에서 필요한 당업계에 공지되어 있는 바와 같은 정보를, 예를 들어 디바이스 능력들, 매체 특성들, 현재 사용되는 IP 주소들 등을 교환하는데 사용된다.
IMS 기반 서비스들은 또한, 때로는 LAN(Local Area Network)으로 칭해지는, 주거지 또는 사무실 네트워크와 같은 로컬 또는 사설 네트워크 내의 디바이스들에 제공될 수 있다. 이 설명에서, 일반적인 용어 "로컬 네트워크"는 임의의 그러한 네트워크들을 표현하는데 사용되고, 용어 "디바이스"는 로컬 네트워크 내에서 IP 통신할 수 있는 임의의 단말기를 표현하는데 사용된다. 그러한 로컬 네트워크들에서, 비록 디바이스가 네트워크 외부의 공용 도메인에서 메시지들 및 데이터를 라우팅(routing)하기 위해 사용될 수 없을지라도, 상기 네트워크 내에서의 통신을 위해 로컬 IP 어드레스가 각각의 디바이스에 할당된다.
로컬 네트워크는 예를 들어 고정 및 무선 전화들, 컴퓨터들, 미디어 재생기들, 서버들 및 TV 세트들을 포함할 수 있다. IMS 서비스들을 그러한 디바이스들에 제공하기 위해, 로컬 네트워크로부터 IMS 네트워크로 IMS 네트워크를 에뮬레이팅(emulating)할 수 있는 "홈 IMS 게이트웨이(Home IMS Gateway: HIGA)"라 칭해지는 멀티미디어 게이트웨이가 규정되어 로컬 네트워크 내의 임의의 디바이스 대신 IMS 서비스들에 액세스한다.
UPnP(Universal Plug-and-Play)는 상이한 액세스 방법들, 운영 시스템들, 프로그래밍 언어들, 포맷 표준들 밑 통신 프로토콜들을 사용할 수 있는 상이한 디바이스들 사이의 로컬 네트워크 내에서의 통신을 위한 표준화된 디바이스 프로토콜들을 갖는 아키텍처이다. 그중에서도, UPnP는 디바이스가 로컬 네트워크에 참여할 수 있고, 로컬 IP 어드레스를 획득할 수 있으며, 자신의 명칭 및 IP 어드레스를 공지할 수 있고, 네트워크 내의 다른 디바이스들과 케이퍼빌리티(capability)들 및 서비스들을 교환할 수 있는 "디스커버리(discovery)" 또는 "페어링(pairing)"이라 칭해지는 프로세스를 지원한다. 이 설명에서, 데이터 전송, 통신, 인코딩(encoding), 저장, 및 디스플레이를 위한 어떠한 디바이스 케이퍼빌리티들도 짧게 "케이퍼빌리티들"로서 칭해질 것이다.
UPnP는 또한 네트워크 내에 위치된 디바이스들과 통신하기 위해 로컬 네트워크 외부에 위치된 원격 "UPnP 디바이스들"을 인에이블(enable)하는 원격 액세스 아키텍처(Remote Access Architecture: RAA)를 규정한다. 특히, RRA는 원격 액세스 서버(Remote Access Server: RAS) 및 원격 액세스 고객(Remote Access Client: RAC)를 각각 갖는 엔티티(entity)들 사이의 원격 액세스 접속들을 인에이블하는데 필요한 파라미터들을 제공하고 구성하는 법을 지정한다. 이 분야에서, RAS 및 RAC 기능에 대한 제어 포인트들은 때때로 일반적으로 "UPnP RA 관리 콘솔(console)"로 칭해진다. 그러나, UPnP RAA는 그와 같은 원격 액세스 접속들을 안전하게 하는 어떠한 해법도 제공하지 않으며 안전한 접속들을 위해 필요한 어떠한 자격 증명(credential)들 또는 자격 인증서(qualification)를 전달하는 법을 제공하지 않는다. 예를 들어, 외부로부터 로컬 네트워크에 액세스할 때 원격 디바이스를 인증하거나 검증하기 위해 지금까지 어떠한 해법도 제공되지 않았다.
도 1에서, 이 예에서 무선 전화, 고정 전화, TV 세트, 랩탑(laptop) 컴퓨터, 및 매체 서버를 포함하는 상이한 로컬 디바이스들을 구비한 로컬 네트워크(100)가 도시된다. 네트워크(100)는 또한 통신 링크를 다른 네트워크들 및 엔티티들에 제공하기 위해 외부 액세스 네트워크(104)에 접속된 "거주지 게이트웨이(residential gateway: RGW)"라 칭해지는 종래의 게이트웨이(102)를 포함한다. RGW(102)는 전형적으로, 당업계에 널리 공지되어 있는 바와 같이 로컬 IP 어드레스들을 디바이스들로 할당하도록 구성된, 도시되지 않은 NAT(Network Address Translation) 기능 및 로컬 DHCP(Dynamic Host Configuration Protocol) 서버를 포함한다.
로컬 네트워크(100)는 HSS(110)가 도시되는 IMS 네트워크(108)로의 접속을 제공하는 HIGA(106)을 더 포함한다. HIGA(106)는 점선들로 표시되는 바와 같이, 디바이스 적응 프로토콜들을 사용하여 네트워크(100) 내의 상이한 디바이스들로의 적절한 인터페이스들을 갖는다. 실제로, HiGA는 GGW에 통합될 수 있으나, 논리적으로 그것은 이 설명에서 개별 기능 유닛으로 고려될 것이다.
HIGA(106)는 IMS 가입들 및 사용자/서비스 프로파일(profile)들과 관련되는 IMS 아이덴티티(identity) 정보(112)를 유지하고, 상기 정보는 대응하는 가입자 정보(114)가 HSS 노드(110)에 저장되는 IMS 네트워크(108)에 액세스하는데 사용될 수 있다. 따라서, 사용자는 HIGA(106)에 의해 로컬 네트워크(100) 내의 디바이스로부터 IMS 네트워크로 로그온(log on)할 수 있고, 이때 사용된 디바이스의 로컬 IP 어드레스는 사용자의 프로파일과 관련될 수 있다. WO 2006/045706(Ericsson)에서 로컬 네트워크 내의 디바이스들은 HIGA에 의해 IMS 서비스들을 획득하는 법이 기술된다.
IHGA(106)가 디바이스 지정 인터페이스/프로토콜을 사용하여 네트워크(100) 내의 디바이스로부터 멀티미디어 서비스에 대한 요청을 수신하면, HIGA(106)는 서비스 요청을 디바이스 대신에 유효한 IMS 요청(예를 들어 SIP invite)으로 변환하여 적절한 SIP 메시지들을 IMS 네트워크(108)와 통신함으로써 디바이스에 대한 세션을 설정한다. 유사한 방식으로, IMS 세션은, 디바이스와 관련된 IMS 아이덴티티(112)를 사용함으로써, 네트워크(100) 내의 디바이스와 통신하기 위한 인입 요청에 대한 HIGA(106)에 의해서 설정될 수 있다. 어느 경우이든지, 임의의 통신되는 매체는, 양방향 화살표들에 의해 표시되는 바와 같이, 세션 동안 RGW(102) 및 액세스 네트워크(104)를 통해 디바이스로부터 또는 디바이스로 라우팅(routing)된다.
도 1은 네트워크(100) 내의 로컬 디바이스(100a)가 외부로 이동하여 원격 디바이스(100a')가 되는 것을 더 도시한다. 이때 원격 디바이스(100a')는 SIP invite 메시지를 IMS 네트워크(108)를 통해 HIGA(106)로 송신하여 네트워크(100) 내의 나머지 디바이스들 중 하나와 매체 통신을 개시할 수 있다. 이때 원격 디바이스(100a')는 네트워크(100) 외부로부터 IMS 네트워크에 액세스하기 위하여 유효한 IMS 아이덴티티를 가져야만 한다.
네트워크(100) 내의 로컬 디바이스에 원격으로 액세스하기 위하여, 원격 디바이스(100a')는 디스커버리 프로세스에서 어떻게든 로컬 디바이스의 정보를 얻어야만 했었다. 원격 디바이스는 로컬 네트워크(100) 내부에 위치되는 동안, 전형적으로 SSDP(Simple Session Discovery Protocol)이라 칭해지는 프로토콜에 따라 특정한 디스커버리 메시지들의 교환을 포함하여, 최근에 규칙적인 디스커버리 프로세스에 참여했었을 수도 있다. 그러나, 원격 디바이스가 실제로 로컬 네트워크 내에 전혀 있지 않았을 때와 같은 경우가 아니라면, 디스커버리 메시지들을 원격으로 교환하는 것이 필요하다.
도 2는 네트워크(도시되지 않음) 내의 로컬 디바이스들로의 원격 액세스를 가능하게 하기 위하여 로컬 네트워크의 원격 디바이스(200) 및 로컬 게이트웨이(202) 내의 가능한 논리 구조를 각각 도시한다. 로컬 게이트웨이(202)는 RGW 및/또는 HIGA일 수 있다. 원격 액세스 고객(Remote Access Client: RAC)(200a)은 원격 디바이스(200)에 구성되었고, 대응하는 원격 액세스 서버(Remote Access Server: RAS)(202a)는 로컬 게이트웨이(202)에 구성되었는데, 이들은 모두 로컬 네트워크 내에 존재하는데, 왜냐하면 RAC(200a) 및 RAS(202a)는 정합하는 프로파일들로 구성되어야 하기 대문이다.
RAC(200a)는 원격 액세스 디스커버리 에이전트(Remote Access Discovery Agent: RADA)(200b)를 포함하고, RAS(202a)는 두 엔티티들(200 및 202) 사이에서 디스커버리 메시지들을 교환하도록 구성된 대응하는 원격 액세스 디스커버리 에이전트(Remote Access Discovery Agent: RADA)(202b)를 포함한다. RAC(200a)는 원격 액세스 전송 에이전트(Remote Access Transport Agent : RATA)(200c)를 더 포함하고, RAS(202a)는 두 엔티티들(200 및 202) 사이의 매체를 위한 송신 채널을 설정하도록 구성되는 대응하는 원격 액세스 전송 에이전트(Remote Access Transport Agent : RATA)(202c)를 포함한다. 효과적으로, RATA들(200c, 202c)은 원격 액세스에 대한 반대쪽 종단 포인트들로서 역할을 한다.
그러나, UPnP RAA는 필요한 디스커버리 또는 페어링 프로세스를 수행하기 위해 RAC 및 RAS가 구현되는 엔티티들이 물리적으로 동일한 로컬 네트워크 내에 존재해야만 하도록 지시하므로, 이는 자연적으로 결점이 될 수 있다. 예를 들어, 인터넷 상의 어딘가에 위치된 UPnP 원격 액세스 가능 PC 디바이스는, 필요한 디스커버리 또는 페어링 프로세스를 수행하기 위해 상기 PC 디바이스가 먼저 물리적으로 로컬 네트워크 내로 운반되지 않는다면, 인터넷상의 다른 어딘가에 위치된 로컬 네트워크 내의 디바이스에 원격으로 액세스할 수 없다. 실제성 및 유용성의 관점에서, 이 요건은 충분히 문제가 될 수 있다. 게다가, 예를 들어 로컬 네트워크로의 원격 디바이스를 검증 또는 입증하기 위해, 그러한 원격 액세스에 신뢰 모델이 제공될 수 없는 것이 또한 문제가 된다.
본 발명의 목적은 상기에 약술된 문제들을 처리하는 것이다. 더욱이, 로컬 네트워크 내의 물리적인 존재를 필요로 하지 않으면서도 로컬 네트워크로의 안전한 원격 액세스 접속들을 가능하게 하는 해법을 제공하는 것이 목적이다.
하나의 양상에 따르면, 로컬 네트워크 외부에 위치된 원격 디바이스로부터 상기 로컬 네트워크의 로컬 게이트웨이로의 원격 액세스를 가능하게 하는 방법이 제공된다. 우선, 상기 원격 디바이스 및 상기 로컬 게이트웨이의 케이퍼빌리티들 및 자격 증명들은 상기 원격 액세스를 위해 IMS 코어 내에 구성된다. 그리고나서, 하나 이상의 사용자들은 권한 인증된 사용자 각각의 IMS 아이덴티티를 IMS 기반 액세스 제어 목록(Access Control List: ACL)에 추가함으로써 상기 로컬 네트워크로의 원격 액세스에 대하여 권한 부여(authorization)된다. 상기 로컬 게이트웨이로의 액세스 요청은 상기 IMS 코어를 통해 상기 원격 디바이스로부터 수신되고, 상기 액세스 요청은 상기 원격 디바이스 사용자가 상기 IMS 기반 ACL에서 사용자 자신의 IMS 아이덴티티에 의한 원격 액세스에 권한 부여된 경우에 허용된다. 상기 경우에서, 원격 액세스 접속은 상기 원격 디바이스 및 상기 로컬 게이트웨이의 상기 구성된 케이퍼빌리티들 및 자격 증명들을 사용하여 설정된다.
다른 양상에 따르면, 원격 액세스 서버는 로컬 네트워크 외부에 위치된 원격 디바이스로부터 상기 로컬 네트워크의 로컬 게이트웨이로의 원격 액세스를 가능하게 하는 IMS 코어에 제공된다. 상기 원격 액세스 서버는 상기 원격 액세스를 위해 상기 IMS 코어 내에 상기 원격 디바이스 및 상기 로컬 게이트웨이의 케이퍼빌리티들 및 자격 증명들을 구성하는 수단, 및 각각의 권한 부여된 사용자의 IMS 아이덴티티를 IMS 기반 ACL에 추가함으로써 상기 로컬 네트워크로의 원격 액세스에 대한 하나 이상의 사용자들에게 권한 부여하는 수단을 포함한다. 상기 원격 액세스 서버는 상기 로컬 게이트웨이로의 액세스 요청을 상기 원격 디바이스로부터 상기 IMS 코어를 통해 수신하는 수단, 상기 원격 디바이스의 사용자가 상기 IMS 기반 ACL 내의 사용자 자신의 IMS 아이덴티티에 의해 원격 액세스에 대하여 권한 부여되는 경우 액세스 요청을 허용하는 수단, 및 허용되는 경우, 상기 원격 디바이스 및 상기 로컬 게이트웨이의 상기 구성된 케이퍼빌리티들 및 자격 증명들을 사용하여 원격 액세스 접속을 설정하는 수단을 더 포함한다.
또 다른 양상에 따르면, 네트워크 외부에 위치되는 원격 디바이스로부터 로컬 게이트웨이로의 원격 액세스를 가능하게 하기 위하여, 로컬 네트워크의 로컬 게이트웨이 내의 장치가 제공된다. 상기 장치는 상기 원격 액세스를 위해 IMS 코어 내에 상기 로컬 게이트웨이의 케이퍼빌리티들 및 자격 증명들을 구성하는 수단, 상기 원격 디바이스로부터 상기 IMS 코어를 통해 액세스 요청을 수신하는 수단, 상기 원격 디바이스의 사용자가 사용자 자신의 IMS 아이덴티티에 의해 원격 액세스에 대해 권한 부여된 경우 상기 액세스 요청을 허용하는 수단, 및 허용되는 경우, 상기 원격 디바이스 및 상기 로컬 게이트웨이에 대해 구성되는 케이퍼빌리티들 및 자격 증명들에 의해 원격 액세스 접속을 설정하기 위한 수단을 포함한다.
상기의 방법, 원격 액세스 서버, 및 로컬 게이트웨이 장치에 상이한 실시예들이 가능하다. 예를 들어, 상기 원격 디바이스의 케이퍼빌리티들 및 자격 증명들은 상기 원격 디바이스 내의 IMS 고객 및 상기 IMS 코어 내의 원격 액세스 서버 사이의 IMS 메시징에 의해 상기 IMS 코어 내에 구성될 수 있다. 상기 로컬 게이트웨이의 케이퍼빌리티들 및 자격 증명들은 상기 원격 디바이스 내의 IMS 고객 및 상기 원격 액세스 서버 사이의 IMS 메시징에 의해 상기 IMS 코어 내에 구성될 수 있다. 상기 자격 증명들은 VPN 터널 설정에 대한 인증서를 포함할 수 있다. 더욱이, 사기 케이퍼빌리티들은 상기 로컬 게이트웨이 내의 RAS의 케이퍼빌리티들 및 상기 원격 디바이스 내의 RAC의 RATA 케이퍼빌리티들을 포함할 수 있다.
상기 케이퍼빌리티들 및 자격 증명들은 상기 원격 디바이스가 상기 로컬 네트워크 외부에 위치될 때 구성된다. 상기 권한 부여된 사용자는 임의의 단말기로부터 자신의 IMS 아이덴티티에 의해 원격으로 상기 로컬네트워크에 액세스할 수 있다. 상기 IMS 기반 ACL은 상기 로컬 게이트웨이에서 또는 상기 IMS 코어에서의 원격 액세스 서버 내에서 유지될 수 있다.
상기 원격 디바이스 사용자가 사용자 자신의 IMS 아이덴티티에 의해 원격 액세스에 대해 권한 부여되지 않은 경우, 예를 들어 로컬 네트워크 소유자에게 상기 액세스 요청이 허용될 수 있는지에 대해 질의를 함으로써 상기 액세스 요청이 상기 로컬 네트워크를 제어하는 상기 로컬 네트워크 소유자에게 허용 가능한지가 결정된다.
원격 액세스에 대해 허용된 디바이스들의 UUID들을 포함하는 UPnP 기반 ACL은 또한 상기 로컬 게이트웨이 내에 유지될 수 있다. 이 경우, 상기 원격 디바이스의 UUID는 상기 액세스 요청이 허용되는 경우에 상기 UPnP 기반 ACL에 추가될 수 있다.
본 발명의 부가적인 가능한 특징들 및 이점들은 아래 상세한 설명에서 설명될 것이다.
상술한 바와 같이, 본 발명에 의해, PC 디바이스가 먼저 물리적으로 로컬 네트워크 내로 운반되지 않더라도 인터넷상의 다른 어딘가에 위치된 로컬 네트워크 내의 디바이스에 원격으로 액세스하는 것이 가능하다.
본 발명은 이제 바람직한 실시예들에 의해 그리고 첨부 도면들을 참조하여 더욱 상세하게 설명될 것이다:
도 1은 종래 기술에 따른, 원격 디바이스가 네트워크 외부의 위치로부터 네트워크에 액세스할 때 로컬 네트워크를 도시한 개략도.
도 2는 종래 기술에 따른, 원격 디바이스에서 그리고 거주지 게이트웨이에서의 원격 액세스 특성들을 도시한 블록도.
도 3은 하나의 실시예에 따라, IMS 코어를 통해 로컬 네트워크의 로컬 게이트웨이에 액세스하는 원격 디바이스를 도시한 블록도.
도 4는 다른 실시예에 따른, 로컬 네트워크로의 안전한 원격 액세스를 가능하게 하는 절차를 도시한 흐름도.
도 5는 다른 실시예에 따라, 로컬 게이트웨이 및 원격 디바이스의 케이퍼빌리티들 및 자격증명들이 원격 디바이스가 원격 액세스 서비스를 위해 IMS 코어에 구성될 수 있는 방법을 도시한 시그널링 도.
도 6은 또 다른 실시예에 따라, ACL이 IMS 코어에서 유지될 때 사용자 X가 원격 디바이스로부터 로컬 게이트웨이에 액세스하는데 어떻게 권한 부여될 수 있는지를 도시한 시그널링 도.
오 7은 또 다른 실시예에 따라, ACL이 로컬 게이트웨이 내에 유지될 때 사용자 Y가 원격 디바이스로부터 로컬 게이트웨이에 어떻게 권한 부여될 수 있는지를 도시한 시그널링 도.
도 8은 또 다른 실시예에 따라, 원격 디바이스의 사용자가 이전에 권한 부여되었을 때 상기 원격 디바이스에 대한 로컬 네트워크로의 원격 액세스를 설정하기 위한 절차를 도시한 시그널링 도.
도 9는 또 다른 실시예에 따라, 원격 디바이스의 사용자가 이전에 권한 부여되지 않았을 때 상기 원격 디바이스에 대한 로컬 네트워크로의 원격 액세스를 설정하기 위한 절차를 도시한 시그널링 도.
본 발명은 상술한 디스커버리 또는 페어링 동안 로컬 네트워크 내에 원격 디바이스가 물리적으로 전재하도록 요구하지 않고, 원격 디바이스로부터 로컬 네트워크 내의 서비스들 및/또는 디바이스들로의 안전한 원격 액세스를 달성하는데 사용될 수 있다. 이 해법에서, 원격 액세스는 원격 액세스에 대한 인증/권한 부여 및 자격 부여 전달을 지원하기 위해 IMS 코어 내의 기능을 도입함으로써 IMS 코어에 대해 설정된다. 다음의 설명에서, 이 기능은 IMS 코어 내의 RA(Remote Access)에 의해 개략적으로 표시된다. 더욱이, IMS 기반 원격 액세스를 지원하기 위한 기능은 도한 "원격 액세스 지원 모듈(Remote Access Support Module: RASUM)"로 칭해지는 다음의 설명에서의 RAC 및 RAS 각각에 도입된다.
용어 RA 서버 및 RASUM은 본 발명이 임의의 특정한 유닛들의 구현으로 제한될지라도, 후술되는 특징들을 갖는 기능 유닛들을 일반적으로 나타내도록 본 명세서 전체에 걸쳐 사용된다. 더욱이, 용어 "로컬 네트워크 소유자"는 적어도 원격 액세스 서비스를 처리하고 어떤 사용자들 및 디바이스들이 본원에 서술된 방식으로 네트워크에 원격으로 액세스하게 되는지를 결정한다는 의미에서, 일반적으로 관리자, 경영자, 또는 로컬 네트워크를 제어하는 다른 사람을 나타내는데 사용된다.
본 장치의 예시적인 실시예는 기본적으로 도 3에 도시된다. 이 예에서, 원격 디바이스(300)는 도시되지 않은 네트워크 내의 로컬 디바이스와의 통신을 설정하기 위해, IMS 코어(304)를 통해 로컬 네트워크의 로컬 게이트웨이(302)에 액세스할 수 있다. 본 발명이 이에 제한되지 않을지라도, 원격 디바이스(300)는 모바일 단말기일 수 있고, 로컬 게이트웨이(302)는 HIGA일 수 있다. 원격 디바이스(300) 및 로컬 게이트웨이(302)는 RASUM 유닛들(300a 및 302a)을 각각 포함하고, RA 서버(304a)는 내부의 HSS 노드(304a)에 접속되는 IMS 코어(304)에 정주한다.
각각의 RASUM 유닛(300a, 302a)은, 특히 IMS 코어(304) 내에 IMS 지원 원격 액세스 서비스를 구성하고, 원격 액세스 통신을 설정하기 위해서, 예를 들어 SIP를 사용하여 IMS 메시지들을 RA 서버(304a)와 교환하도록 적응되는 IMS 고객(300b, 302b)을 포함한다. 원격 디바이스(300) 내의 RASUM 유닛(300a)은 UPnP RA 아키텍처에 의해 규정되는 바와 같이 UPnP 동작들에 의해 RAC(300d)와 상호 동작하도록 적응되는 RA(Remote Access) 관리자 콘솔(console)(300c)을 기본적으로 더 포함한다. 마찬가지로, 로컬 게이트웨이(302) 내의 RASUM 유닛(302a)은 UPnP 동작들에 의해 RAS(302d)와 상호 동작하도록 적응되는 RA 관리자 콘솔(302c)을 또한 포함한다.
간략하게 기술하면, 로컬 네트워크로의 IMS 기반 원격 액세스는 다음의 방식으로, 원격 네트워크 내에 물리적으로 존재할 필요 없이 원격 디바이스에 대해 안전하게 획득될 수 있다. 우선, 원격 액세스에 대한 케이퍼빌리티들 및 자격 증명들은 IMS 고객(302b) 및 RA 서버(304a) 사이의 IMS 메시징에 의해, 그리고 IMS 고객(300b) 및 RA 서버(304a) 사이의 IMS 메시징에 의해, 각각 IMS 코어 내에 구성된다. 이 설명에서, 용어 "자격 증명(credentials)"은 더욱 자세하게 후술되는 바와 같이, VPN(Virtual Private Network) 터널 설정에 대한 인증서(certificate)와 같이, 안전 접속을 설정하는데 필요한 어떤 파라미터들을 칭한다. 둘째로, 원격 디바이스(300)는 IMS 고객(302a) 및 RA 서버(304b) 사이의 IMS 메시징에 의해, IMS 보안에 기반하는 신뢰 모델을 사용하여 로컬 네트워크로의 원격 액세스에 대하여 권한 부여된다. 셋째로, 원격 액세스 세션은 RA 서버(304b)를 통해 IMS 고객들(300a 및 302a) 사이의 IMS 메시징에 의해 설정되고, 데이터는 RAC(300d) 하부의 양방향 화살표에 의해 표시되는 바와 같이, 내의 RATA 및 RAS(302d) 내의 RATA 사이에서 전송된다.
원격 디바이스로부터 로콜 네트워크로의 안전한 원격 액세스를 가능하게 하는 절차는 이제 도 4의 흐름도를 참조하고, 때때로 도 3을 더 참조하여 서술될 것이다. 그러므로 이 절차는 네트워크 내의 로컬 게이트웨이(302), 예를 들어 HIGA, IMS 코어(304) 내의 RA 서버(304a) 및 원격 디바이스(300)를 포함하는 원격 액세스 서비스를 제공한다. 로컬 네트워크는 일반적으로 적어도 특히 후술되는 방식으로, 로컬 네트워크 소유자에 의해 관리되고 제어된다.
단계 400에서, 양 원격 액세스 종단 포인트(302, 300)의 케이퍼빌리티들 및 자격 증명들은 원격 액세스 서비스를 위해 IMS 코어(304)에 구성된다. 이 단계에서, 로컬 게이트웨이(302) 내의 IMS 고객(302a)은 IMS 코어 내의 RAS(302a)의 RATA 케이퍼빌리티들을 결정하기 위해, 적절한 IMS 메시지들을 RA 서버(304b)와 교환한다. 로컬 게이트웨이(302)에 대한 자격 증명들은 IMS 코어(304) 내에서 RA 서버(304b)에 의해 발생되고, 이는 또한 게이트웨이(302)의 RA 종단 포인트들, RAS(302d) 내의 RATA로 전달되고, 이는 더 자세하게 후술될 것이다.
마찬가지로, 원격 디바이스(300) 내의 IMS 고객(300a)은, IMS 코어 내의 원격 디바이스(300)의 케이퍼빌리티들, 즉 RAC(300d)의 대응하는 RATA 케이퍼빌리티들, 및 반대의 RA 종단 포인트로 전달되는 디바이스(300)에 대한 자격 증명들, 즉 RAC(300d) 내의 RATA를 구성하기 위해, 적절한 IMS 메시지들을 RA 서버(304b)와 교환한다. 상기의 원격 디바이스(300)에 대한 원격 액세스 구성은 로컬 네트워크 외부에 위치될 때 수행될 수 있으므로, 로컬 네트워크 내에 물리적으로 존재할 필요가 없다.
예를 들어, 게이트웨이(302) 및 디바이스(300) 각각의 자격 증명들은 IPSec(Internet Protocol Security)에 기반하는 VPN 터널과 같은 지원되는 터널 설정 방법에 대응하는 인증서들일 수 있다. 상기의 경우에, 인증들은 소위 당업계에 널리 공지되어 있는 "x.509 인증서들"일 수 있다. 그러나, 본 발명은 임의의 특정한 자격 증명들 또는 인증서들로 제한되지 않는다.
단계 400에 따라 IMS 코어(304)에서 RAS(302d) 및 RAC(300d)의 RATA 케이퍼빌리티들을 각각 구성하는 것은 로컬 네트워크 내의 원격 디바이스(300)의 물리적 존재를 필요로 하지 않을지라도, 상술한 디스커버리 프로세스에 효과적으로 대응한다. 그러므로, 단계 400은 기본적으로 구성 동작을 나타내는 것으로, 즉, 서로 독립적으로 행해지는 IMS 코어(304)에서의 원격 액세스에 대한 원격 디바이스(300) 및 로컬 게이트웨이(302)를 구성하는 것으로 고려될 수 있다. 단계 400가 실제로 어떻게 구현될 수 있는지는 도 5를 참조하여 이후에 설명될 것이다.
다음 단계 402에서, 원격 디바이스(300)의 사용자를 포함하는 하나 이상의 특정 사용자들은, 로컬 네트워크 사용자에 의해 지정되는 바와 같이, 로컬 네트워크로의 원격 액세스에 대하여 권한 부여된다. 특정한 사용자에 대한 원격 액세스의 권한 부여는 IMS 코어 내의 서비스들에 액세스하는데 필요한 바에 따른 신뢰할 수 있는 검증을 제공할 상기 사용자의 IMS 아이덴티티에 기반한다. IMS 아이덴티티는 전형적으로, SIP URI(Universal Resource Identifier), 예를 들어 alice@op.net이다. 그러므로 본 해법은 어떤 단말기가 사용되느냐에 관계없이, 사용자가 또한 로컬 네트워크로 액세스하는 것을 검증하거나 가능하게 하는 IMS 식별자를 사용한다. 도 1과 관련하여 상술한 바와 같이, 원격 디바이스 사용자는 IMS 코어를 통해 로컬 네트워크에 액세스하기 위해서 유효 아이덴티티를 사용해야 한다. 그리고나서 권한 부여된 사용자는 실제 사용되는 단말기의 임의의 특정한 권한 부여를 필요로 하지 않고도, 자신의 IMS 아이덴티티에 의해 임의의 단말기로부터 원격으로 로컬 네트워크에 액세스할 수 있다.
이 단계에서, 유용한 신뢰 모델은, 로컬 네트워크 소유자가 예를 들어 사용자의 IMS 아이덴티티를 로컬 네트워크의 ACL(Access Control List) 등에 추가함으로써 상기 사용자가 네트워크에 원격으로 액세스하는 것이 허용되는 것을 명시적으로 지정할 때 설정된다. 그러므로, 이 신뢰 모델은, 사용자가 로컬 네트워크로의 액세스를 위해 자신의 원격 디바이스(300)를 허용하기 전에, 기존 IMS 보안 메커니즘들에 의해 권한 부여되고 또한 인증되는 개념으로 설정된다. 그러므로 이 IMS 보안 메커니즘들은 일반적으로 믿을 수 있고 신뢰 가능하도록 간주된다.
그러므로 ACL은 원격 액세스가 허용된 사용자들의 IMS 아이덴티티들을 포함하고, RA 서버(304a)에서 또는 로컬 게이트웨이(302)에서, 예를 들어 RA 관리자 콘솔(302c)에서 저장되고 유지될 수 있다. 단계 402는 제공 동작, 즉 로컬 네트워크로의 원격 액세스를 위하여 원격 디바이스 사용자들의 제공을 기본적으로 나타내는 것으로 간주될 수 있다. 단계 402가 특정 사용자를 위해 실제로 어떻게 구현될 수 있는지에 대한 두 예들이 도 6 및 7을 참조하여 각각 이후에 후술될 것이다.
게다가, UPnP 기반 ACL은 또한 상이한 UPnP 디바이스들에 대한 원격 액세스를, 원격 액세스에 대해 허용된 또는 거부된 각각의 디바이스의 UUID(Universally Unique Indetifier)를 포함하는, 예를 들어 "화이트 리스트(white list)" 또는 "블랙 리스트(black list)"로서 제어하는데 사용될 수 있다. UUID는 128 비트를 포함하는 UPnP 디바이스들에 대한 표준화된 식별자이고, 그러므로 상기 식별자는 사용자보다는 디바이스와 관련된다. UPnP 기반 ACL은 로컬 게이트웨이의 RAS에서 유지되므로 도 8 및 9에 도시된 일부 구현예들을 참조하여 더 자세하게 후술될 IMS 기반 ACL을 제외하고 사용될 수 있다. IMS 기반 ACL 및 UPnP 기반 ACL이 액세스 제어를 위해 사용되는 경우, 사용자 및 디바이스 이 둘 은 독립적으로 권한 부여되어 이는 액세스 제어를 현저하게 향상시킬 것이다. 실제로, 이 ACL들은 UPNP 및 IMS에서 각각 어느 정도 상이하게 구현될 것이다. IMS 기반 ACL은 기본적으로 원격 액세스 서비스에 대한 필터 기준을 형성하는 데이터의 세트이다. UPnP 기반 ACL은 화이트리스트 또는 블랙리스트일 수 있는 소위 "RADAConfig 필터들"이다.
도 4로 돌아와서, 액세스 요청은 부가 단계 404에서, IMS 코어를 통해 원격 디바이스로부터 일부 포인트에서 수신된다. 예를 들어, 요청 디바이스 사용자는 미디어 서버로부터 데이터를 페치(fetch)하거나, 데이터를 네트워크 내의 미디어 렌더기(renderer) 또는 저장소로 송신하고자 할 수 있다. 이 단계에서, 액세스 요청은 IMS 기반 ACL이 저장되고 유지되는 곳에 따라, IMS 코어에서 또는 로컬 게이트웨이에서 수신되고 처리될 수 있고, 이는 이후에 더 자세하게 설명될 것이다.
그리고나서 다음 단계 406에서 원격 디바이스 사용자가 상기 단계 402에 따라 원격 액세스에 대해 권한 부여되었는지 도는 아닌지가 결정된다. 예를 들어, 액세스 요청이 단계 402에서 설정된 IMS 기반 ACL에 기반하여 허용될 수 있는지 또는 아닌지, 즉, 기본적으로 원격 디바이스 사용자의 IMS 아이덴티티가 ACL에 존재하는지가 검사된다.
액세스 요청은 단계 406에서 원격 디바이스 사용자가 권한 부여되고, 따라서 로컬 네트워크 내에 원격 디바이스 및 로컬 디바이스를 포함하는 통신 세션이 수행될 수 있다고 결정된 경우에 단계 408에서 허용될 수 있다. 한편, 원격 디바이스 사용자가 권한 부여되지 않음을 단계 406이 나타내는 경우, 액세스 요청이 단계 410으로 도시되는 바와 같이 로컬 네트워크 소유자에 의해 허용될 수 있는지가 더 결정될 수 있다. 예를 들어, 로컬 네트워크 사용자에게 디바이스 사용자가 원격 액세스에 대해 허용될 수 있는지에 대한 질의가 행해질 수 있다. 대안으로, 액세스 요청은 점선의 410a에 의해 도시되는 바와 같이, 단지 거절될 수 있다.
단계들 404 내지 410/410a는 기본적으로 런타임(runtime) 동작, 즉 원격 디바이스에 대한 로컬 네트워크로의 원격 액세스의 설정을 나타내는 것으로 간주될 수 있다. 단계 404 내지 410이 특정한 사용자들에 대해 실제로 어떻게 구현될 수 있는지에 대한 두 예들은 아래 도 8 및 9를 각각 참조하여 이후에 설명될 것이다.
도 5는 IMS 코어 내의 로컬 게이트웨이 및 원격 디바이스의 케이퍼빌리티들을 결정하고 자격 증명들을 구성하기 위한, 즉 기본적으로 상기 단계 400에 따른, 예시적인 실시예를 더욱 상세하게 도시한다. 실제로, 동일한 프로세스가 어느 한쪽의 당사자에 대해서 유효하여 여기서 단지 하나로 기술될지라도, 이 프로세스는 로컬 게이트웨이 및 원격 디바이스에 대해 별개로 수행된다. 로컬 게이트웨이 및 원격 디바이스는 RA 관리자(502) 및 IMS 고객(504)을 갖는 RATA(500) 및 RASUM을 포함하고, 이는 모두 상술되어 있다. 로컬 게이트웨이는 HIGA일 수 있다.
원격 디바이스에서, RATA(500)는 RAC에서, 그리고 로컬 게이트웨이에 정주하고, RATA(500)는 RAS에 정주한다. 로컬 게이트웨이에서, RASUM은 HIGA에서 SIP 사용자 에이전트의 모듈일 수 있다. IMS 코어는 RA 서버(506) 및 HSS 노드(508))를 포함한다. 이 예에서, IMS 고객(504) 및 RA 서버(506)는 SIP에 의해 통신되지만, 본 발명은 일반적으로 이에 제한되지 않는다.
제 1 단계 5:1은 구성 프로세스를 개시하여 결과적으로 IMS 고객(504)에 트리거(trigger) 신호를 발생시키고나서 IMS 고객(504)은 다음 단계 5:2에서 원격 액세스 서비스에 대한 요청을 적절한 SIP 메시지로 IMS 코어로 송신하고 나서, 상기 SIP 메시지는 RA 관리자(502)에 의해 수신된다. 그러므로 이는 서비스 활성 단계이고, 바람직하게, 사용자는 IMS 운영자와의 이미 서비스 동의를 하였다.
다음 단계 5:3에서, RA 서버(506)는 RATA(500)의 케이퍼빌리티들에 대한 요청을 다른 적절한 SIP 메시지로 IMS 고객(504)에게 송신한다. 이후에 RASUM은 SIP 메시지로부터 이 케이퍼빌리티 요청을 추출할 수 있다. 부가적인 단계 5:4에서, RATA 케이퍼빌리티들은 기본적으로 RATA(500)로부터 페치된다. 이 단계에서, 이전 단계에서 수신되는 SIP 메시지를 파싱한 후에, RASUM 기능은 효과적으로 RA 관리자(502)로 요청을 생성하고 발생하고, RA 관리자(502)는 계속해서 IMS 고객(504)으로 역으로 전달되는 RATA(500)으로부터의 케이퍼빌리티들을 페치한다. 예를 들어, RATA 케이퍼빌리티들은 "인증서에 기반하는 IPsec 및 IKE(Internet Key Establishment)"를 포함할 수 있다.
다음 단계 5:5에서, IMS 고객(504)은 위의 단계 5:3의 케이퍼빌리티 요청에 응답하여, RATA 케이퍼빌리티들을 RA 서버(506)에 다른 적절한 SIP 메시지로 송신한다. 그리고나서 RA 서버(506)는 이후에 사용하기 위한 HSS 노드에서 RATA 케이퍼빌리티들을 저장하고, 여기서 로컬 게이트웨이 및 원격 디바이스 각각에 대한 원격 액세스 서비스 데이터를 갱신하는 단계 5:6에 도시된다.
다음 단계 5:7에서, RA 서버(506)는 상기 로컬 게이트웨이 및 원격 디바이스의 각각에 대한 원격 액세스 자격 증명들로서 인증서를 생성한다. 인증성 기반 IPSec가 지원되는 경우, x.509 인증서는 이 단계에서 생성될 수 있다. 이 단계는 인식된 자격 증명서 권한 부여와 같은, 제3자 엔티티(entity)에 의해 효과적으로 수행될 수 있다.
다음 단계 5:8에서, RA 서버(506)는 생성된 인증서를 로컬 게이트웨이 및 원격 디바이스 각각에 IMS 고객(504)에 대한 원격 액세스 자격 증명으로서 송신한다. 위에 나타난 바와 같이, x.509 인증서는 RA 서버(506)에 의한 또는 대안으로 제3자 서버(도시되지 않음)에 의한 자격 증명들로서 생성될 수 있다. 전송 네트워크를 통해 IMS 고객으로 자격 증명들을 분배하는 것은 푸쉬 기반(push-based) 또는 풀 기반(pull-based) 중 하나일 수 있다. 자격 증명들의 푸쉬 기반 분포는 RA 서버(506)로부터의 메시지(HTTP POST)에 의해 구현될 수 있는데 반해, 자격 증명들의 풀 기반 분포는 적절한 SIP 메시지에 의해 트리거되는 원격 디바이스 또는 로컬 게이트웨이로부터의 메시지(HTTP GET)에 의해 구현될 수 있다.
인증서를 수신함으로써, IMS 고객(504)은 상기 인증서를 RATA(500)에 대한 자격증명들로서 RA 관리자(502)로 전달하고, 이는 공동 단계 5:9로 도시된다. 최종적으로, RA 관리자(502)는 최종 단계 5:10로 표시되는, RATA(500)에 새로운 프로파일을 생성하기 위해 RASUM에 의해 트리거된다. 그러므로 이 프로파일은 원격 액세스 종단 포인트, 즉 RAS 또는 RAC가 IPSec 기반 VPN을 지원하고 인증서의 경우에 이를 행하는데 필요한 자격증명을 갖는다는 것을 나타낼 수 있다. 로컬 게이트웨이 및 원격 디바이스 각각에서의 RATA(500)은 현재 원격 액세스 접속들을 설정하는데 기술적으로 준비되어 있다. 그러나, 원격 디바이스 사용자는 우선 도 4에서의 단계 402에 의해 규정되는 바와 같은 원격 액세스에 대해 권한 부여되어야 한다.
로컬 네트워크 소유자가 로컬 네트워크로의 원격 액세스 접속을 설정할 수 있게 된 사용자들의 IMS 아이덴티티들을 포함하는 IMS 기반 ACL 등을 어떻게 생성할 수 있는지에 대한 상이한 대안의 절차들이 가능하다. 도 6a 및 6b는 각각 "서버 측" 절차 및 "게이트웨이 측" 절차로 칭해질 수 있는 두 대안 실시예들을 도시한다. 허용된 사용자들의 아이덴티티들은 일반적으로 상이한 방식들로 지정될 수 있다. 현재 IMS 표준들에 따르면, 사용자들은 SIP URI, 및/또는 전화 URI, 즉 전화번호, 예를 들어 070123456과 같은 식별자들일 수 있는 소위 "P-표명 아이덴티티(P-asserted identity)들에 기반하여 고유하게 식별된다.
도 6 및 7은 사용자에게 네트워크 외부에 위치되는 원격 디바이스로부터 로컬 게이트웨이에 액세스하라는 권한 부여를 위한, 즉 상기 단계 402에 따른 두 대안의 실시예들을 도시한다. 도 6에서, ACL은 IMS 코어 내에서 로컬 네트워크에 대해 유지되고, 도 7에서, ACL는 로컬 게이트웨이 내에서 유지된다. 상술한 바와 같이, UPnP 기반 ACL이 추가적으로 사용되어 로컬 게이트웨이로의 원격 액세스를 위하여 원격 UPnP 디바이스들에게 권한 부여할 수 있다.
도 6에서, 로컬 게이트웨이는 RA 사용자 관리 모듈(600)을 포함하고 IMS 기반 ACL은 RA 서버(602) 및 HSS 노드(604)를 포함하는 IMS 코어 내에서 유지된다. RA 사용자 관리 모듈(600)은 RASUM 유닛에서 구현될 수 있고 ACL은 RA 서버(602) 내에 또는 HSS 노드(604)) 내에 정주할 수 있다. 게다가, 로컬 네트워크의 특정 필터 기준이 도 5의 구성 프로세스 동안, 예를 들어, 단계 5:2 이후에 원격 액세스 서비스를 위한 HSS 노드(604)에 이전에 저장되었을 수 있다. "INVITE"는 일반적으로 세션을 개시하기 위해 최종 사용자 디바이스들에 의해 사용된다. P-CSCF(Proxy Call Control Function)으로 칭해지는 IMS 네트워크 내의 세션 제어 노드는 만일 있다면, 원격 액세스 서비스에 대해 저장되는 필터 기준에 따라 임의의 수신된 INVITE 메시지들에 대한 필터링 기능을 적용할 수 있다.
제 1 단계 6:1은 사용자 X를 IMS 기반 ACL에 추가하기 위해서, 로컬 네트워크 사용자가 사용자 X의 전화 URI 또는 SIP URI를 적절한 GUI(Graphical User Interface)에 있는 RA 사용자 관리 모듈(600) 내에 입력하는 것을 도시한다. 이 경우에, 서버 측 절차가 사용되고, 로컬 네트워크 소유자는 SIP URI 또는 전화 URI 또는 IMS 코어에 공지되어 있는 사용자 X의 다른 아이덴티티 중 하나를 제공할 수 있다. 다음 단계 6:2에서, 사용자 X에게 권한을 부여하라는 요청이 RA 서버(602)에 예를 들어 XCAP 메시지로 제출된다. 선택적으로, 권한 부여 요청은 IMS 고객이 구현되어 있는 임의의 디바이스로부터 송신될 수 있다. 이에 응답하여, RA 서버(602)는 ACL 내의 사용자 X의 SIP URI를 검색하고 추가해서, 단계 602에서, 예를 들어, 상술한 필터 기준을 포함하는, HSS노드(604) 내의 로컬 게이트웨이에 대한 서비스를 갱신한다.
도 7에 도시된 실시예에서, 도시된 RA 사용자 관리 모듈(600) 및 RA 서버(602)는 기본적으로 도 6과 동일하더라도, IMS 기반 ACL은 예를 들어 RA 사용자 관리 모듈(600) 내의 로컬 게이트웨이에서 유지된다. 결과적으로, 사용자 Y에 대한 원격 액세스 권한 부여 절차는 도 6의 절차와는 다소 상이하여, 이 경우에 게이트웨이 측 절차를 사용한다. 이 시나리오에서, 로컬 게이트웨이는 호출자의 SIP URI(P 표면 아이덴티티)를 검사함으로써, 원격 액세스 요청을 포함하는 호출자들로부터의 인입 SIP INVITE 메시지들의 필터링을 수행한다. 로컬 네트워크 소유자는 상기 사용자를 ACL에 추가할 때 사용자의 SIP URI 또는 전화 URI 중 하나를 지정할 수 있다. 전화 URI가 지정되면, 로컬 네트워크는 상술한 필터링 동작을 수행할 수 있도록 대응하는 SIP URI를 인지해야 한다. 그러므로, 전화 URI가 제공되면, 로컬 네트워크는 사용자의 대응하는 SIP URI에 대하여 IMS 코어에 질의할 필요가 있을 것이다.
RA 사용자 관리 모듈(600)에서 입력으로서 전화 URI 또는 SIP URI를 입력하는 제 1 단계는 기본적으로 단계 6:1과 같다. 그리고나서 모듈(600)은 다음 단계 7:2에서 SIP URI 또는 전화 URI가 단계 7:1에서 입력되었는지를 결정한다. 전화 URI가 단계 7:1에서 입력되었다면, 대응하는 SIP URI는 ACL 내의 저장을 위해 검색되어야만 하므로, 모듈(600)은 부가 단계 7:3에서 전화 URI에 대응하는 SIP URI에 대한 요청을 RA 서버(602)에 송신한다. 그리고나서 RA 서버(602)는 다음 단계 7:4에서 전화 URI에 기반하여 HSS(604)로부터 대응하는 SIP URI를 검색한다.
그리고나서, 단계 7:2에 응답하여, RA 서버(602)는 다음 단계 7:5에서 사용자 Y의 P-표명 아이덴티티인, 사용자 Y의 SIP URI를 송신한다. 이 단계에서, SIP URI는 적절한 SIP 메시지로 송신될 수 있다. 최종적으로, RA 사용자 관리 모듈(600)은 최종 단계 7:6에서 사용자 Y의 SIP URI를 ACL에 추가한다. 그러나, 단계 7:2에서 SIP URI가 단계 7:1에서 입력되었다고 결정되면, 이는 ACL 내에 직접 저장되므로, 그러한 경우에 단계들 7:3 내지 7:5를 생략할 수 있다. 어느 경우이든지, 사용자 친화적 아이덴티티는 바람직하게도 SIP URI 대신에 로컬 네트워크 소유자에게 디스플레이될 수 있다.
로컬 게이트웨이가 예를 들어 SIP INVITE 메시지들과 같은, 현재 원격 액세스에 대한 임의의 인입 요청들의 필터링을 수행하므로, 이 원격 액세스 요청들은 바람직하게도, 호출자 디바이스 및 IMS 코어를 필요로 하는 P-표명 아이덴티티를 포함한다. 예를 들어, 호출하는 디바이스는 SIP 헤더 내에 적절한 보안 레벨을 표시해야만 하므로, IMS 코어는 SIP 헤더 내의 P-표명 아이덴티티를 드러내지 않아야 하지만, 오히려 그것을 로컬 게이트웨이 내의 SIP 사용자 에이전트로 넘겨야 한다. 그러므로 원격 액세스 접속 개시자인 호출하는 디바이스는 INVITE 메시지 내의 사설 헤더 필드를 무엇으로도 설정하지 않을 수 있다. 그로 인해, P-표명 아이덴티티는 메시지를 로컬 게이트웨이로 전송할 때 P-CSCF에 의해 제거되지 않을 것이다.
예시적인 실시예에 따른 원격 디바이스를 위한 로컬 네트워크로의 원격 액세스를 설정하는 절차는 도 8을 참조하여 도시된다. 이 도면은 기본적으로 도 4에서의 단계들 404 내지 410/410a에 의해 표현되는 런타임 동작을 도시한다. 네트워크 내의 원격 디바이스 및 로컬 게이트웨이의 케이퍼빌리티들 및 자격 증명들이 예를 들어 도 5에서 서술된 바와 같이, 원격 액세스를 위하여 이전에 IMS 코어 내에 구성되었다고 가정한다. 이 예에서, 원격 액세스를 위해 허용된 사용자의 IMS 아이덴티티들을 포함하는 MS 기반 ACL은 로컬 게이트웨이에 대한 IMS 코어 내에 유지, 즉, 서버 측 절차는 사용자의 상기 권한 부여에 대해 사용되었다. 더욱이, 원격 디바이스의 사용자는 이 경우에 원격 액세스에 대해 권한 부여되어, ACL에 존재한다. 더욱이, 원격 액세스를 위해 허용된 디바이스들의 UUID들을 포함하는 UPnP 기반 ACL는 또한 디바이스들의 원격 액세스 제어를 위해, 도시된 예에서 로컬 게이트웨이 내에 도시된다.
로컬 게이트웨이는 RAS(800) 및 RA 관리자 콘솔(802) 및 IMS 고객(804)을 포함하는 RASUM을 포함한다. UPnP 기반 ACL은 RAS(800) 내에 유지된다. IMS 코어는 HSS 저장 정보에 액세스하는 RA 서버(806)를 포함하고, IMS 기반 ACL은 구현예에 따라, RA 서버 내 또는 HSS 또는 IMS 코어 내의 다른 적절한 노드 내의 필터 기준으로서 유지될 수 있다. 원격 디바이스는 RAC(808) 및 마찬가지로 RA 관리자 콘솔(810) 및 IMS 고객(812)을 포함하는 RASUM을 포함한다. 로컬 네트워크 소유자 및 디바이스 사용자 모두는 IMS 기반 RA 서비스의 가입자들이므로 IMS 보안에 기반한 신뢰 관계를 갖는다.
도시된 제 1 단계 8:1에서, IMS 코어는 INVITE 메시지를 원격 디바이스 내에 있는 IMS 고객(812)으로부터 수신하고, INVITE 메시지는 실제로 로컬 게이트웨이로 지향되는 디바이스의 사용자로부터의 세션 초대이다. INVITE 메시지는 SIP INVITE일 수 있고, 디바이스 사용자의 IMS 아이덴티티, 예를 들어 SIP URI를 포함한다. 더욱이, 원격 디바이스의 UUID는 SIP 몸체에 포함된다.
다음 단계 8:2에서, IMS 코어 내의 ACL은 디바이스 사용자가 로컬 네트워크로의 원격 액세스 접속을 인보킹하는데 권한 부여되는지를 검증하기 위해 조사되고, RAC(808)가 RAS(800)의 케이퍼빌리티와 정합하는 케이퍼빌리티들을 갖는지 조사된다. 그러므로, 디바이스 사용자가 예를 들어 도 6에 도시된 절차의 결과로서 IMS 기반 ACL에 존재하고, RAS(800)와 통신할 수 있는 경우, RAC(808) 및 RAS(800) 사이의 원격 액세스 접속이 가능하고 허용될 수 있다. 다음으로, 단계 8:1에서 수신된 INVITE 메시지는 이후의 단계 8:3에서, RA 서버(806)로부터 로컬 게이트웨이 내의 IMS 고객(804)으로 송신된다.
로컬 게이트웨이에서, 디바이스 아이덴티티 UUID는 다음 단계 8:4에서 RAS(800)의 UPnP 기반 ACL에 존재하는지 이제 조사된다. 디바이스 아이덴티티 UUID가 UPnP 기반 ACL에 존재하지 않으면, 이는 단계 8:4a에서 RA 관리자 콘솔(802)로부터 메시지를 트리거함으로써 상기 UPnP 기반 ACL에 추가될 수 있다. 그리고나서 따라서 RAS(800)의 RADA는 단계 8:4b에서, 종래의 UPnP 원격 액세스에 대한 설정 절차를 사용하여 UUID를 UPnP 기반 ACL에 추가하는 것을 포함하여 구성된다. RA 관리자 콘솔(802)은 또한 단계 8:4c에서 원격 디바이스가 UPnP 기반 ACL에 성공적으로 추가되었는지를 IMS 고객(804)에게 확인한다. 한편, 단계 8:4에서 원격 디바이스가 이미 UPnP 기반 ACL에 존재하고 있음이 확인되면, 단계 8:4a 내지 8:4c는 생략될 수 있다.
어느 경우든지, 인바운드(inbound) 접속 구성은 원격 액세스 세션에 대한 준비 시에, 로컬 게이트웨이의 NAT/방화벽에 "핀 홀(pin hole)"을 개방함으로써 로컬 게이트웨이에서 행해질 수 있다. 그리고나서 호출하는 디바이스 사용자에게는, 단계 8:5에서 로컬 게이트웨이가 IMS 고객(804)으로부터 IMS 고객(812)으로의 적절한 OK 메시지, 예를 들어 IMS 코어를 통하여 전달되는 SIP OK에 의해, 원격 디바이스로부터의 원격 액세스를 허용하였음이 통지된다.
단계 8:6에서 원격 액세스 접속을 개시하기 위해 IMS 고객(812)으로부터 RAC(808)로의 적절한 트리거 메시지 이후에, 접속은 최종적으로 단계 8:7에서 RAC(808) 및 RAS(800) 사이에 설정된다. 접속을 설정하는 것은 예를 들어 도 5의 단계들 5:7 내지 5:9에 따라 전송되는 RAS(800) 내에 저장되는 원격 디바이스에 대한 자격 증명들에 기반하여 RAC(808) 및RAS(800) 사이에 VPN 터널을 설정하는 것을 포함할 수 있다. VPN 터널은 원격 액세스에 대한 UPnP 사양에 따라 RAC(808)에 의해 개시될 수 있다.
원격 디바이스에 대한 로컬 네트워크로의 원격 액세스를 설정하기 위한 다른 예시적인 절차는 이제 도 9를 참조하여 기술될 것이다. 포함된 원격 디바이스, IMS 코어 및 로컬 게이트웨이는 기본적으로 도 8에서와 동일하므로, 기능 유닛들(800 내지 812)은 도 9에서 재사용된다. 다시, 원격 디바이스 및 로컬 게이트웨이의 케이퍼빌리티들 및 자격 증명들은 원격 액세스를 위하여 IMS 코어 내에 구성되었다고 가정한다. 이 예에서, 로컬 게이트웨이의 IMS 기반 ACL은 마찬가지로 IMS 코어 내에 유지되지만, 원격 디바이스의 사용자는 이전에 원격 액세스에 대해 권한 부여되지 않았으므로, 자신의 IMS 아이덴티티는 ACL 내에 존재하지 않는다. 더욱이, UPnP 기반 ACL은 또한 이 경우에 RAS(800) 내에 유지되고, 원격 디바이스의 UUID는 UPnP 기반 ACL 내에 있지 않다.
우선, IMS 코어는 단계 9:1에서, 세션 초대가 로컬 게이트웨이에 지향되는, 즉, 상기 단계 8:1과 동일하게, 사용자의 IMS 아이덴티티 및 디바이스의 UUID를 포함하는 INVITE메시지를 원격 디바이스로부터 수신한다. 다음 단계 9:2에서, 로컬 게이트웨이의 IMS 기반 ACL은 디바이스 사용자가 원격 액세스에 검증/허용될 수 있는지를 확인하기 위해 조사된다. 또한 원격 디바이스 및 원격 디바이스에 대한 정합하는 케이퍼빌리티들을 갖는지, 즉, RATA 케이퍼빌리티들 및 자격 증명들이 도 5의 절차에 따라 원격 디바이스 및 게이트웨이에 대해 구성되었는지가 조사될 수 있다.
그러나, 사용자의 IMS 아이덴티티는 이 경우에 ACL에서 발견되지 않고, INVITE 메시지는 다음 단계 9:3에서 디바이스가 IMS 기반 ACL에 따라 검증되지 않았음을 표시한 채로 RA 서버(806)로부터 로컬 게이트웨이 내의 IMS 고객(804)으로 송신된다. 이는 대응하는 키워드 등을 예를 들어 SIP 몸체 또는 SDP(Session Description Protocol) 몸채 내의 INVITE 메시지로 추가함으로써 표시될 수 있다. 그럼에도 불구하고, 원격 디바이스는 정합하는 케이퍼빌리티들을 가짐으로써 로컬 게이트웨이와의 접속을 설정하는 것이 기술적으로 가능할 수 있다.
부가적인 단계 9:4에서, 디바이스 사용자가 검증될 수 없으므로, 로컬 네트워크 소유자에게는 검증되지 않은 사용자가 원격 액세스 세션에 대한 초대를 행했음이 통지되고, 소유자에게 디바이스 사용자가 원격 액세스에 대해 허용될 수 있는지에 대한 질의가 적절한 GUI에 의해 행해진다. 이 경우에, 네트워크 소유자는 다음 단계 9:5에 도시되는 바와 같이, 사용자가 원격 액세스하도록 허용한다. 다음 단계 9:6에서, IMS 고객(804)은 RA 관리 콘솔(802)을 트리거하여 원격 디바이스의 UUID를 RAS(800) 내의 UPnP 기반 ACL에 추가하고, RAS(800)의 RADA는 따라서 정상적인 UPnP 원격 액세스 설정 절차를 사용하여, 단계 9:7에서 구성된다. RA 관리자 콘솔(802)은 또한 단계 9:8에서 UPnP 기반 ACL에 성공적으로 추가되었음을 IMS 고객(804)에게 확인한다. 인바운드 접속 구성은 이제 원격 액세스 세션에 대한 준비 시에, 로컬 게이트웨이 내에 NAT/방화벽 핀 홀을 개방함으로써 행해질 수 있다.
그리고나서 단계 9:9에서 적절한 OK 메시지, 예를 들어 RA 서버(806)에 의해 우선 수신되는 SIP 200 OK에 의해, 로컬 게이트웨이가 원격 디바이스로부터의 원격 액세스를 허용한다고 표시하는 통지가 IMS 고객(804)으로부터 IMS고객(812)으로 송신된다. 그리고나서, 통지를 수신함으로써, RA 서버(806)는 부가 단계 8:10에서, 사용자의 IMS 아이덴티티를 이에 추가함으로써, IMS 기반 ACL를 갱신한다. RA 서버(806)는 또한 단계 9:11에서 OK 메시지를 IMS 고객(812)으로 송신한다. IMS 고객(812)은 또한 단계 9:12에서 접속 트리거 메시지를 RAC(808)로 송신하여 원격 액세스 접속을 개시한다. 최종적으로, 접속은 단계 9:13에서, 예를 들어, 도 8의 이전 예에 대해 서술된 바와 같이, RAS(800)에 저장되는 원격 디바이스에 대한 자격 증명들에 기반하여 RAC(808) 및 RAS(800) 사이의 VPN 터널을 설정함으로써 설정된다.
본 발명을 사용함으로써, 어떤 디바이스가 사용되는지는 관계없이, IMS 기반 ACL에서 자신의 IMS 아이덴티티에 의해 권한 부여된 사용자에 대한 안전한 원격 액세스 접속들을 가능하게 하는 방식으로 신뢰 모델의 상술한 문제가 해소될 수 있다. 상기 예들에 의해 도시되는 바와 같이, 원격 액세스에 현재 사용되는 디바이스는 또한 UPnP 기반 ACL에서 권한 부여될 수 있다. UPnP RADA의 준수(compliance)를 보장하는 동안 자격 증명들을 전달하는 문제 또한 해소될 수 있다. 준수는 또한 UPnP RADA 및 UPnP RATA 및 RAC 및 RAS 내의 관리 콘솔 사이의 모든 상호 작용들을 모방함으로서 달성될 수 있다.
신뢰 설정에 대한 IMS 인증/권한 부여를 재사용함으로써, 상술한 해법은 부가적으로 IMS 시스템이 자격 증명들, 예를 들어 인증서들의 전달에 사용될 수 있도록 한다. 상술한 해법은 부가적으로 RAC 및 RAS가 UPnP RA에 대해 규정된 바와 같이 디스커버리 또는 페어링 프로세스에 대해 동일한 물리적 로컬네트워크 내에 있어야만 하는 요건을 방비하는데 사용될 수 있어서, UPnP 원격 액세스 아키텍처를 더욱 매력적이고 유용하게 한다.
본 발명이 특정한 예시적인 실시예들을 참조하여 설명되었을지라도, 상기 설명은 본 발명의 범위를 제한하는 것으로 해석되어서는 안 된다. 본 발명은 일반적으로 다음의 독립 청구항들에 의해 규정된다.

Claims (25)

  1. 로컬 네트워크 외부에 위치된 원격 디바이스(300)로부터 상기 로컬 네트워크의 로컬 게이트웨이(302)로의 원격 액세스를 가능하게 하는 방법에 있어서,
    원격 액세스 서버(Remote Access Server: RAS)에 의해 상기 원격 디바이스 및 상기 로컬 게이트웨이의 케이퍼빌리티들 및 자격 증명들을 상기 원격 액세스를 위해 IMS 코어(304) 내에 구성하는 단계,
    상기 원격 액세스 서버에 의해 각각의 권한 인증된 사용자의 IMS 아이덴티티를 IMS 기반 액세스 제어 목록(ACL)에 추가함으로써 하나 이상의 사용자들을 상기 로컬 네트워크로의 원격 액세스에 대하여 권한 부여하는 단계,
    상기 원격 액세스 서버에 의해 상기 IMS 코어를 통해 상기 원격 디바이스로부터 상기 로컬 게이트웨이로의 액세스 요청을 수신하는 단계,
    상기 원격 액세스 서버에 의해 상기 원격 디바이스 사용자가 상기 IMS 기반 ACL에서 사용자 자신의 IMS 아이덴티티에 의한 원격 액세스에 권한 부여된 경우에 상기 액세스 요청을 허용하는 단계, 및
    상기 원격 액세스 서버에 의해 상기 원격 디바이스 및 상기 로컬 게이트웨이의 상기 구성된 케이퍼빌리티들 및 자격 증명들을 사용하여 원격 액세스 접속을 설정하는 단계를 포함하는, 원격 액세스를 가능하게 하는 방법.
  2. 제 1 항에 있어서,
    상기 원격 디바이스의 상기 케이퍼빌리티들 및 자격 증명들은 상기 원격 디바이스 내의 IMS 고객(300b) 및 상기 IMS 코어 내의 원격 액세스 서버(304a) 사이의 IMS 메시징에 의해 구성되고, 상기 로컬 게이트웨이의 상기 케이퍼빌리티들 및 자격 증명들은 상기 원격 디바이스 내의 IMS 고객(302b) 및 상기 원격 액세스 서버(304a) 사이의 IMS 메시징에 의해 구성되는 것을 특징으로 하는 원격 액세스를 가능하게 하는 방법.
  3. 제 1 항 또는 제 2 항에 있어서,
    상기 자격 증명들은 VPN 터널 설정에 대한 인증서를 포함하는 것을 특징으로 하는 원격 액세스를 가능하게 하는 방법.
  4. 제 1 항 또는 제 2 항에 있어서,
    상기 케이퍼빌리티들은 상기 로컬 게이트웨이 내의 RAS의 RATA 케이퍼빌리티들 및 상기 원격 디바이스 내의 RAC의 RATA 케이퍼빌리티들을 포함하는 것을 특징으로 하는 원격 액세스를 가능하게 하는 방법.
  5. 제 1 항 또는 제 2 항에 있어서,
    상기 케이퍼빌리티들 및 자격 증명들은 상기 원격 디바이스가 상기 로컬 네트워크 외부에 위치될 때 구성되는 것을 특징으로 하는 원격 액세스를 가능하게 하는 방법.
  6. 제 1 항 또는 제 2 항에 있어서,
    상기 권한 부여된 사용자는 사용자 자신의 IMS 아이덴티티에 의해 임의의 단말기로부터 원격으로 상기 로컬 네트워크에 액세스할 수 있는 것을 특징으로 하는 원격 액세스를 가능하게 하는 방법.
  7. 제 1 항 또는 제 2 항에 있어서,
    상기 IMS 기반 ACL은 상기 IMS 코어에서 원격 액세스 서버(304a) 내에 유지되는 것을 특징으로 하는 원격 액세스를 가능하게 하는 방법.
  8. 제 1 항 또는 제 2 항에 있어서,
    상기 IMS 기반 ACL은 상기 로컬 게이트웨이에서 유지되는 것을 특징으로 하는 원격 액세스를 가능하게 하는 방법.
  9. 제 1 항 또는 제 2 항에 있어서,
    상기 원격 디바이스 사용자가 사용자 자신의 IMS 아이덴티티에 의해 원격 액세스에 대해 권한 부여되지 않은 경우, 상기 액세스 요청이 상기 로컬 네트워크를 제어하는 로컬 네트워크 소유자에게 허용 가능한지가 결정되는 것을 특징으로 하는 원격 액세스를 가능하게 하는 방법.
  10. 제 9 항에 있어서,
    상기 로컬 네트워크 소유자에게 상기 액세스 요청이 허용될 수 있는지에 대한 질의가 행해지는 것을 특징으로 하는 원격 액세스를 가능하게 하는 방법.
  11. 제 10 항에 있어서,
    원격 액세스가 가능한 디바이스들의 UUID들을 포함하는 UPnP 기반 ACL은 상기 로컬 게이트웨이 내에 유지되는 것을 특징으로 하는 원격 액세스를 가능하게 하는 방법.
  12. 제 11 항에 있어서,
    상기 원격 디바이스의 UUID는 상기 액세스 요청이 허용되는 경우 상기 UPnP 기반 ACL에 추가되는 것을 특징으로 하는 원격 액세스를 가능하게 하는 방법.
  13. 로컬 네트워크 외부에 위치된 원격 디바이스(300)로부터 상기 로컬 네트워크의 로컬 게이트웨이(302)로의 원격 액세스를 가능하게 하는 IMS 코어(304) 내의 원격 액세스 서버(304a)에 있어서,
    상기 원격 액세스를 위해 상기 IMS 코어 내에 상기 원격 디바이스 및 상기 로컬 게이트웨이의 케이퍼빌리티들 및 자격 증명들을 구성하는 수단,
    각각의 권한 부여된 사용자의 IMS 아이덴티티를 IMS 기반 ACL에 추가함으로써 상기 로컬 네트워크로의 원격 액세스에 대한 하나 이상의 사용자들에게 권한 부여하는 수단,
    상기 로컬 게이트웨이로의 액세스 요청을 상기 원격 디바이스로부터 상기 IMS 코어를 통해 수신하는 수단,
    상기 원격 디바이스의 사용자가 상기 IMS 기반 ACL 내의 사용자 자신의 IMS 아이덴티티에 의해 원격 액세스에 대하여 권한 부여되는 경우 액세스 요청을 허용하는 수단, 및
    허용되는 경우, 상기 원격 디바이스 및 상기 로컬 게이트웨이의 상기 구성된 케이퍼빌리티들 및 자격 증명들을 사용하여 원격 액세스 접속을 설정하는 수단을 포함하는 원격 액세스 서버.
  14. 제 13 항에 있어서,
    상기 원격 디바이스 내의 IMS 고객(300b) 및 상기 IMS 코어 내의 원격 액세스 서버(304a) 사이의 IMS 메시징에 의해 상기 원격 디바이스의 상기 케이퍼빌리티들 및 자격 증명들을 구성하도록 적응되고, 상기 원격 디바이스 내의 IMS 고객(302b) 및 상기 원격 액세스 서버(304a) 사이의 IMS 메시징에 의해 상기 로컬 게이트웨이의 상기 케이퍼빌리티들 및 자격 증명들을 구성하도록 적응되는 것을 특징으로 하는 특징으로 하는 원격 액세스 서버.
  15. 제 13 항 또는 제 14 항에 있어서,
    상기 자격 증명들은 VPN 터널 설정에 대한 인증서를 포함하는 것을 특징으로 하는 원격 액세스 서버.
  16. 제 13 항 또는 제 14 항에 있어서,
    상기 케이퍼빌리티들은 상기 로컬 게이트웨이 내의 RAS(302d)의 RATA 케이퍼빌리티들 및 상기 원격 디바이스 내의 RAC(300d)의 RATA 케이퍼빌리티들을 포함하는 것을 특징으로 하는 원격 액세스 서버.
  17. 제 13 항에 있어서,
    상기 원격 디바이스가 상기 로컬 네트워크 외부에 위치될 때 상기 케이퍼빌리티들 및 자격 증명들을 구성하도록 적응되는 것을 특징으로 하는 원격 액세스 서버.
  18. 제 13 항 또는 제 14 항에 있어서,
    권한 부여된 사용자는 사용자 자신의 IMS 아이덴티티에 의해 임의의 단말기로부터 원격으로 상기 로컬 네트워크에 액세스할 수 있는 것을 특징으로 하는 원격 액세스 서버.
  19. 제 13 항 또는 제 14 항에 있어서,
    상기 IMS 기반 ACL은 상기 IMS 코어에서 원격 액세스 서버(304a) 내에 유지되는 것을 특징으로 하는 원격 액세스 서버.
  20. 제 13 항 또는 제 14 항에 있어서,
    상기 IMS 기반 ACL은 상기 로컬 게이트웨이에서 유지되는 것을 특징으로 하는 원격 액세스 서버.
  21. 로컬 네트워크 외부에 위치되는 원격 디바이스(300)로부터 로컬 게이트웨이로의 원격 액세스를 가능하게 하기 위하여, 상기 로컬 네트워크의 로컬 게이트웨이(302) 내의 장치에 있어서:
    상기 원격 액세스를 위해 IMS 코어(304) 내에 상기 로컬 게이트웨이의 케이퍼빌리티들 및 자격 증명들을 구성하는 수단,
    상기 원격 디바이스로부터 상기 IMS 코어를 통해 액세스 요청을 수신하는 수단,
    상기 원격 디바이스의 사용자가 사용자 자신의 IMS 아이덴티티에 의해 원격 액세스에 대해 권한 부여된 경우 상기 액세스 요청을 허용하는 수단, 및
    허용되는 경우, 상기 원격 디바이스 및 상기 로컬 게이트웨이에 대해 구성되는 케이퍼빌리티들 및 자격 증명들에 의해 원격 액세스 접속을 설정하기 위한 수단을 포함하는 로컬 네트워크의 로컬 게이트웨이 내의 장치.
  22. 제 21 항에 있어서,
    상기 원격 디바이스 사용자가 사용자 자신의 IMS 아이덴티티에 의해 원격 액세스에 대해 권한 부여되지 않은 경우, 상기 액세스 요청이 상기 로컬 네트워크를 제어하는 로컬 네트워크 소유자에게 허용 가능한지를 결정하도록 적응되는 것을 특징으로 하는 로컬 네트워크의 로컬 게이트웨이 내의 장치.
  23. 제 22 항에 있어서,
    상기 로컬 네트워크 소유자에게 상기 액세스 요청이 허용될 수 있는지에 대해 질의하도록 적응되는 것을 특징으로 하는 로컬 네트워크의 로컬 게이트웨이 내의 장치.
  24. 제 21 항 내지 제 23 항 중 어느 한 항에 있어서,
    원격 액세스가 허용되는 디바이스들의 UUID들을 포함하는 UPnP 기반 ACL은 상기 로컬 게이트웨이 내에 유지되는 것을 특징으로 하는 로컬 네트워크의 로컬 게이트웨이 내의 장치.
  25. 제 24 항에 있어서,
    상기 액세스 요청이 허용 가능한 경우 상기 원격 디바이스의 UUID를 t아기 UPnP 기반 ACL에 추가하도록 적응되는 것을 특징으로 하는 로컬 네트워크의 로컬 게이트웨이 내의 장치.
KR1020107022914A 2008-03-14 2008-06-18 로컬 네트워크로의 원격 액세스를 위한 방법 및 장치 KR101507632B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
SE0800608 2008-03-14
SE0800608-2 2008-03-14
PCT/SE2008/050731 WO2009113931A1 (en) 2008-03-14 2008-06-18 Method and apparatus for remote access to a local network

Publications (2)

Publication Number Publication Date
KR20100130996A KR20100130996A (ko) 2010-12-14
KR101507632B1 true KR101507632B1 (ko) 2015-03-31

Family

ID=41065462

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020107022914A KR101507632B1 (ko) 2008-03-14 2008-06-18 로컬 네트워크로의 원격 액세스를 위한 방법 및 장치

Country Status (6)

Country Link
US (1) US8503462B2 (ko)
EP (1) EP2255496B1 (ko)
JP (1) JP5269916B2 (ko)
KR (1) KR101507632B1 (ko)
CN (1) CN101971570B (ko)
WO (1) WO2009113931A1 (ko)

Families Citing this family (44)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20100040658A (ko) * 2008-10-10 2010-04-20 삼성전자주식회사 UPnP 네트워크의 원격 접속 서비스에서 아이피 주소 충돌 해결 방법 및 장치
US9042387B2 (en) 2009-01-16 2015-05-26 Broadcom Corporation Utilizing a gateway for brokering and/or arbitrating service consumption options
WO2010101515A1 (en) * 2009-03-03 2010-09-10 Telefonaktiebolaget Lm Ericsson (Publ) Media transfer to a renderer in a local network from a server in a second local network
US10404485B2 (en) * 2009-03-03 2019-09-03 Samsung Electronics Co., Ltd Method and apparatus for restricting disclosure of network information during remote access service
CN102025603B (zh) * 2009-09-17 2015-01-28 中兴通讯股份有限公司 报文发送控制的方法、系统及注册、更新的方法及系统
US9762583B2 (en) * 2009-10-23 2017-09-12 Interdigital Patent Holdings, Inc. Protection against unsolicited communication
US8769630B2 (en) 2009-12-18 2014-07-01 France Telecom Monitoring method and device
WO2011073584A1 (fr) * 2009-12-18 2011-06-23 France Telecom Procede de controle d'acces a un reseau local
KR101630755B1 (ko) * 2010-01-15 2016-06-15 삼성전자주식회사 모바일 디바이스 간 보안 통신 방법 및 장치
KR101813276B1 (ko) 2010-02-03 2017-12-28 삼성전자주식회사 범용 플러그앤플레이 텔레포니 서비스에서 파일 전송을 위한 시스템 및 방법
CN102859946B (zh) * 2010-03-03 2016-07-06 法国电信公司 从本地网络来控制远程网络中的设备
CN101883119A (zh) * 2010-07-09 2010-11-10 潘薇 利用“新型nat”实现路由网关设备防范arp病毒攻击的方法
US20120096085A1 (en) * 2010-10-14 2012-04-19 Province of Ontario, Canada) Communications system including instant message device control and related methods
US8649359B2 (en) * 2010-11-19 2014-02-11 Nokia Corporation Apparatus and method for selection of a gateway of a local area network
CN103262473A (zh) * 2010-12-13 2013-08-21 摩托罗拉移动有限责任公司 在通用即插即用环境中在远程访问客户端之间共享媒体
US8683560B1 (en) 2010-12-29 2014-03-25 Amazon Technologies, Inc. Techniques for credential generation
US8645531B2 (en) * 2011-03-31 2014-02-04 Alcatel Lucent Method and apparatus for home network access by a trusted monitoring agent
JP5478546B2 (ja) * 2011-04-12 2014-04-23 日本電信電話株式会社 アクセス制御システム、およびアクセス制御方法
EP2707993B1 (en) * 2011-05-09 2019-12-25 Samsung Electronics Co., Ltd. Method and system for sharing device capabilities of universal plug and play (upnp) devices with a service network entity
US8639921B1 (en) 2011-06-30 2014-01-28 Amazon Technologies, Inc. Storage gateway security model
US9294564B2 (en) * 2011-06-30 2016-03-22 Amazon Technologies, Inc. Shadowing storage gateway
US8806588B2 (en) 2011-06-30 2014-08-12 Amazon Technologies, Inc. Storage gateway activation process
US8639989B1 (en) 2011-06-30 2014-01-28 Amazon Technologies, Inc. Methods and apparatus for remote gateway monitoring and diagnostics
US10754813B1 (en) 2011-06-30 2020-08-25 Amazon Technologies, Inc. Methods and apparatus for block storage I/O operations in a storage gateway
US8706834B2 (en) 2011-06-30 2014-04-22 Amazon Technologies, Inc. Methods and apparatus for remotely updating executing processes
US8832039B1 (en) 2011-06-30 2014-09-09 Amazon Technologies, Inc. Methods and apparatus for data restore and recovery from a remote data store
US8601134B1 (en) * 2011-06-30 2013-12-03 Amazon Technologies, Inc. Remote storage gateway management using gateway-initiated connections
CN102868997B (zh) * 2011-07-06 2017-10-10 中兴通讯股份有限公司 本地网关信息处理方法及装置
US8793343B1 (en) 2011-08-18 2014-07-29 Amazon Technologies, Inc. Redundant storage gateways
US9208344B2 (en) * 2011-09-09 2015-12-08 Lexisnexis, A Division Of Reed Elsevier Inc. Database access using a common web interface
US8789208B1 (en) 2011-10-04 2014-07-22 Amazon Technologies, Inc. Methods and apparatus for controlling snapshot exports
US9363099B2 (en) * 2011-12-13 2016-06-07 Ericsson Ab UPnP/DLNA with RADA hive
US9635132B1 (en) 2011-12-15 2017-04-25 Amazon Technologies, Inc. Service and APIs for remote volume-based block storage
CN102571817B (zh) * 2012-02-15 2014-12-10 华为技术有限公司 访问应用服务器的方法及装置
CN103379592B (zh) * 2012-04-28 2016-12-28 华为终端有限公司 用于远程接入本地网络的方法及装置
FR2991838A1 (fr) * 2012-06-11 2013-12-13 France Telecom Procede d'attribution de donnees d'authentifications temporaires pour l'acces a des services ims
US9686284B2 (en) * 2013-03-07 2017-06-20 T-Mobile Usa, Inc. Extending and re-using an IP multimedia subsystem (IMS)
US9992183B2 (en) 2013-03-15 2018-06-05 T-Mobile Usa, Inc. Using an IP multimedia subsystem for HTTP session authentication
CN104426887B (zh) * 2013-09-04 2018-06-19 华为技术有限公司 业务权限确定方法和装置
CN104519077A (zh) * 2013-09-26 2015-04-15 中兴通讯股份有限公司 多媒体分享方法、注册方法、服务器及代理服务器
CN111683054A (zh) * 2014-10-31 2020-09-18 华为技术有限公司 用于远程接入的方法和装置
US20170206225A1 (en) 2016-01-19 2017-07-20 Regwez, Inc. Semantic indexing by augmented object association
US10530764B2 (en) * 2016-12-19 2020-01-07 Forescout Technologies, Inc. Post-connection client certificate authentication
US10715996B1 (en) 2019-06-06 2020-07-14 T-Mobile Usa, Inc. Transparent provisioning of a third-party service for a user device on a telecommunications network

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007122577A1 (en) 2006-04-24 2007-11-01 Nokia Corporation Methods, devices and modules for secure remote access to home networks
WO2007142480A1 (en) 2006-06-08 2007-12-13 Samsung Electronics Co., Ltd. Method and system for access control to consumer electronics devices in a network

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7480915B2 (en) * 2002-10-03 2009-01-20 Nokia Corporation WV-IMS relay and interoperability methods
US8909701B2 (en) * 2003-05-02 2014-12-09 Nokia Corporation IMS conferencing policy logic
JP4041118B2 (ja) * 2004-11-24 2008-01-30 株式会社東芝 ゲートウェイ装置、ネットワークシステム、通信プログラム及び通信方法
US8473617B2 (en) * 2004-12-31 2013-06-25 Sony Corporation Media client architecture for networked communication devices
JP4663383B2 (ja) * 2005-04-13 2011-04-06 株式会社日立製作所 ホームゲートウェイ装置、ホームゲートウェイ装置の制御方法及び通信システムの制御方法
US7613705B2 (en) * 2005-08-26 2009-11-03 Hewlett-Packard Development Company, L.P. Initial filter criteria (IFC) database with class of service (COS)
DE602005019337D1 (de) * 2005-12-13 2010-03-25 Ericsson Telefon Ab L M Verfahren und anordnung zur ermöglichung von multimedia-kommunikation
US7783771B2 (en) * 2005-12-20 2010-08-24 Sony Ericsson Mobile Communications Ab Network communication device for universal plug and play and internet multimedia subsystems networks
US20070143488A1 (en) * 2005-12-20 2007-06-21 Pantalone Brett A Virtual universal plug and play control point
JP4138808B2 (ja) * 2006-01-10 2008-08-27 株式会社エヌ・ティ・ティ・ドコモ 通信システムおよび通信方法
JP2007272868A (ja) * 2006-03-07 2007-10-18 Sony Corp 情報処理装置、情報通信システム、および情報処理方法、並びにコンピュータ・プログラム
CN101401476B (zh) 2006-03-14 2012-07-18 艾利森电话股份有限公司 通信网络中的接入控制
US8522025B2 (en) * 2006-03-28 2013-08-27 Nokia Corporation Authenticating an application
US8285983B2 (en) * 2006-05-15 2012-10-09 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatuses for establishing a secure channel between a user terminal and a SIP server
US20080311890A1 (en) * 2007-06-13 2008-12-18 Benco David S IMS network support for remote video recording and access

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007122577A1 (en) 2006-04-24 2007-11-01 Nokia Corporation Methods, devices and modules for secure remote access to home networks
WO2007142480A1 (en) 2006-06-08 2007-12-13 Samsung Electronics Co., Ltd. Method and system for access control to consumer electronics devices in a network

Also Published As

Publication number Publication date
KR20100130996A (ko) 2010-12-14
JP5269916B2 (ja) 2013-08-21
CN101971570B (zh) 2016-04-27
CN101971570A (zh) 2011-02-09
EP2255496A4 (en) 2014-10-22
EP2255496B1 (en) 2016-02-10
JP2011517169A (ja) 2011-05-26
EP2255496A1 (en) 2010-12-01
US8503462B2 (en) 2013-08-06
WO2009113931A1 (en) 2009-09-17
US20110002341A1 (en) 2011-01-06

Similar Documents

Publication Publication Date Title
KR101507632B1 (ko) 로컬 네트워크로의 원격 액세스를 위한 방법 및 장치
KR101139072B1 (ko) Ims 기반 통신 개시 방법
KR100882326B1 (ko) 가입자 신원들
EP2078403B1 (en) A method and arrangement for enabling multimedia communication with a private network
EP2116006B1 (en) Method for remotely controlling multimedia communication across local networks.
KR100884314B1 (ko) Ip 네트워크의 신뢰 도메인에서 아이덴티티들의 처리
JP4875169B2 (ja) ホームネットワークに対するリモートアクセスのための方法及び装置
US8239551B2 (en) User device, control method thereof, and IMS user equipment
JP5876877B2 (ja) 電気通信ネットワーク及び電気通信ネットワークと顧客構内機器との間の接続の効率的な使用のための方法及びシステム
JP6330916B2 (ja) webRTCのためのシステム及び方法
US10244004B2 (en) Managing interaction constraints
US20110173687A1 (en) Methods and Arrangements for an Internet Multimedia Subsystem (IMS)
KR20150058534A (ko) 인증 정보 전송
WO2012118835A9 (en) Network communication systems and methods
US8914870B2 (en) Methods and arrangements for security support for universal plug and play system
JP4965499B2 (ja) 認証システム、認証装置、通信設定装置および認証方法
US11089561B2 (en) Signal plane protection within a communications network
WO2007056925A1 (fr) Procede et materiel de controle de session dans un reseau ims
US20080141343A1 (en) Method, system and apparatus for access control
KR100987856B1 (ko) 인터넷 전화 단말의 비밀번호 변경 방법 및 인증 처리 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
FPAY Annual fee payment

Payment date: 20180309

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20190313

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20200312

Year of fee payment: 6