KR101528410B1 - 다이나믹 호스트 컨피규레이션 및 네트워크 액세스 인증 - Google Patents

다이나믹 호스트 컨피규레이션 및 네트워크 액세스 인증 Download PDF

Info

Publication number
KR101528410B1
KR101528410B1 KR1020137007645A KR20137007645A KR101528410B1 KR 101528410 B1 KR101528410 B1 KR 101528410B1 KR 1020137007645 A KR1020137007645 A KR 1020137007645A KR 20137007645 A KR20137007645 A KR 20137007645A KR 101528410 B1 KR101528410 B1 KR 101528410B1
Authority
KR
South Korea
Prior art keywords
client
network
connections
ufd
multicast
Prior art date
Application number
KR1020137007645A
Other languages
English (en)
Other versions
KR20130059425A (ko
Inventor
겐사꾸 후지모또
야스히로 가쯔베
요시히로 오바
Original Assignee
가부시끼가이샤 도시바
텔코디아 테크놀로지스, 인코포레이티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 가부시끼가이샤 도시바, 텔코디아 테크놀로지스, 인코포레이티드 filed Critical 가부시끼가이샤 도시바
Publication of KR20130059425A publication Critical patent/KR20130059425A/ko
Application granted granted Critical
Publication of KR101528410B1 publication Critical patent/KR101528410B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
    • G06Q50/40Business processes related to the transportation industry
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/5014Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Health & Medical Sciences (AREA)
  • Tourism & Hospitality (AREA)
  • Health & Medical Sciences (AREA)
  • Human Resources & Organizations (AREA)
  • Marketing (AREA)
  • Primary Health Care (AREA)
  • Strategic Management (AREA)
  • Economics (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

일부 실시예들에 따르면, 예를 들면 접속이 손실된 경우에 동기화를 유지하는 것과 같이, PANA SA 상태와 DHCP SA 상태간의 동기화를 위한, 특히 PAA(PANA 인증 에이전트)와 DHCP(다이나믹 호스트 컨피규레이션 프로토콜) 서버 간의 인터액션과 관련된, 다이나믹 호스트 컨피규레이션 및 네트워크 액세스 인증을 바인딩하기 위한 시스템 및 방법이 제공된다. 일부 실시예들에 따르면, 예를 들면 상기와 관련하여 서비스 절도 등(예를 들면, MAC 어드레스 및/또는 IP 어드레스 스푸핑)을 회피하여, 특히, PAA와 레이어-2 스위치간의 인터액션들과 관련된, 네트워크 브리지 및 네트워크 액세스 인증을 바인딩하기 위한 시스템 및 방법이 제공된다. 일부 다른 실시예들에 따르면, 예를 들면 상기와 관련하여 인가된 수신기들과 동일한 레이어 (2) 세그먼트에 접속된 비인가된 수신기들에 의해 불필요하게 수신 및/또는 처리되는 IP 멀티캐스트 스트림들을 회피하기 위하여, 특히, 보호된 IP 멀티캐스트 스트림들에 대한 키 관리에 관련된, 네트워크 액세스 인증 프로토콜로부터 멀티캐스트 보안을 부트스트랩핑하기 위한 시스템 및 방법이 제공된다.

Description

다이나믹 호스트 컨피규레이션 및 네트워크 액세스 인증{DYNAMIC HOST CONFIGURATION AND NETWORK ACCESS AUTHENTICATION}
본 발명은 컴퓨터 네트워크에 관한 것으로, 특히 다이나믹 호스트 컨피규레이션, 멀티캐스트 보안 및 네트워크 액세스 인증에 관한 것이다.
네트워크 및 인터넷 프로토콜
다수의 컴퓨터 네트워크 타입이 존재하고, 인터넷이 가장 유명하다. 인터넷은 컴퓨터 네트워크의 전세계적인 네트워크이다. 오늘날, 인터넷은 수백만 사용자들에게 가용한 공공 및 자기-유지하는 네트워크이다. 인터넷은 호스트를 접속하는데 TCP/IP(즉, 송신 제어 프로토콜/인터넷 프로토콜)라 불리는 통신 프로토콜의 세트를 이용한다. 인터넷은 인터넷 백본으로 알려진 통신 인프라구조를 가지고 있다. 인터넷 백본으로의 액세스는 회사 및 개인에게 액세스를 재판매하는 인터넷 서비스 제공자(ISP)에 의해 대부분 제어된다.
IP(인터넷 프로토콜)에 대해, 이것은 데이터가 네트워크 상에서 하나의 디바이스(예를 들면, 전화기, PDA(개인 휴대 단말기), 컴퓨터, 등)로부터 다른 디바이스로 전송될 수 있는 프로토콜이다. 오늘날에는 예를 들면, IPv4, IPv6, 등을 포함하는 다양한 버전의 IP가 있다. 네트워크 상의 각 호스트 디바이스는 그 자신의 고유 식별자인 적어도 하나의 IP 어드레스를 가지고 있다.
*IP는 비연결형 프로토콜이다. 통신 동안에 엔드 포인트간의 접속은 연속적이지 않다. 사용자가 데이터 또는 메시지를 전송하거나 수신하는 경우, 데이터 또는 메시지는 패킷으로 알려진 컴포넌트로 분할된다. 각 패킷은 데이터의 독립적인 유닛으로 다루어진다.
인터넷 또는 유사한 네트워크를 통해 포인트들간의 송신을 표준화하기 위해, OSI(Open Systems Interconnection) 모델이 확립되었다. OSI 모델은 네트워크 내의 2개의 포인트간 통신 프로세스를 7개의 스택된 레이어로 분리하고, 각 레이어는 그 자신의 펑션(functions) 세트를 추가한다. 각 디바이스는 각 전송 엔드 포인트에서 각 레이어를 통한 하향 플로우 및 수신 엔드 포인트에서 레이어를 통한 상향 플로우가 있도록 메시지를 핸들링한다. 7개의 펑션 레이어를 제공하는 프로그래밍 및/또는 하드웨어는 통상 디바이스 오퍼레이팅 시스템, 어플리케이션 소프트웨어, TCP/IP 및/또는 다른 트랜스포트 및 네트워크 프로토콜, 및 다른 소프트웨어 및 하드웨어의 조합이다.
통상, 상부 4개의 레이어는 메시지가 사용자로부터 또는 사용자에게 패싱하는 경우에 이용되고, 아래 3개의 레이어는 메시지가 디바이스(예를 들면, IP 호스트 디바이스)를 통해 패싱하는 경우에 이용된다. IP 호스트는 서버, 라우터 또는 워크스테이션과 같이 IP 패킷들을 송신하고 수신할 수 있는 네트워크 상의 임의의 디바이스이다. 일부 다른 호스트에 대해 정해진 메시지는 상부 레이어까지 패싱되지 않지만 다른 호스트에 포워딩된다. OSI 모델의 레이어들은 이하에 리스팅되어 있다. 레이어 7(즉, 어플리케이션 레이어)은 예를 들면, 통신 파트너가 식별되고, 서비스 품질이 식별되며, 사용자 인증 및 프라이버시가 고려되고, 데이터 구문에 대한 제한이 식별되는 등의 레이어이다. 레이어 6(즉, 프리젠테이션 레이어)은 예를 들면, 인커밍 및 아웃고잉 데이터를 하나의 프리젠테이션 포맷에서 다른 것으로 변환하는 등의 레이어이다. 레이어 5(즉, 세션 레이어)는 예를 들면, 어플리케이션 사이에서 대화, 교환 및 다이얼로그를 셋업하고, 조정하며, 종료하는 등의 레이어이다. 레이어 4(즉, 트랜스포트 레이어)는 예를 들면 엔드-투-엔드 제어 및 에러-체킹을 관리하는 등의 레이어이다. 레이어 3(즉, 네트워크 레이어)은 예를 들면 라우팅 및 포워딩을 핸들링하는 등의 레이어이다. 레이어 2(즉, 데이터 링크 레이어)는 예를 들면, 물리적 레벨에 대한 동기화를 제공하고, 비트 스터핑(bit-stuffing)을 수행하며, 송신 프로토콜 지식 및 관리를 제공하는 등의 레이어이다. 전기전자 엔지니어 협회(IEEE)는 데이터 링크 레이어를 2개의 추가 서브 레이어, 즉 물리적 레이어로의 및 그로부터의 데이터 전달을 제어하는 MAC(Media Access Control) 레이어 및 네트워크 레이어와 인터페이싱하고 명령을 해석하며 에러 복원을 수행하는 LLC(Logical Link Control) 레이어로 서브-분할한다. 레이어 1(즉, 물리적 레이어)은 예를 들면 물리적 레벨에서 네트워크를 통해 비트 스트림을 운반하는 레이어이다. IEEE는 물리적 레이어를 PLCP(Physical Layer Convergence Procedure) 서브 레이어 및 PMD(Physical Medium Dependent) 서브 레이어로 서브-분할한다.
무선 네트워크
무선 네트워크는 예를 들면, 셀룰러 및 무선 전화기, PC(퍼스널 컴퓨터), 랩탑 컴퓨터, 웨어러블(wearable) 컴퓨터, 코드리스(cordless) 전화기, 페이저, 헤드셋, 프린터, PDA 등과 같은 다양한 타입의 모바일 디바이스를 포함할 수 있다. 예를 들면, 모바일 디바이스는 음성 및/또는 데이터의 고속 무선 송신을 보장하는 디지털 시스템을 포함한다. 전형적인 모바일 디바이스는 이하의 컴포넌트, 즉 트랜시버(즉, 통합된 송신기, 수신기 및, 원하는 경우에 다른 기능을 가지는 단일 칩 트랜시버를 포함하는 송신기 및 수신기), 안테나, 프로세서, 하나 이상의 오디오 트랜스듀서(예를 들면, 오디오 통신을 위한 디바이스에서와 같은 스피커 또는 마이크로폰), 전자기 데이터 저장장치(예를 들면, 데이터 처리가 제공되는 디바이스에서와 같이, ROM, RAM, 디지털 데이터 저장장치, 등), 메모리, 플래시 메모리, 풀 칩셋 또는 집적 회로, 인터페이스(예를 들면, USB, CODEC, UART, PCM, 등), 등의 일부 또는 전체를 포함한다.
모바일 사용자가 무선 접속을 통해 로컬 영역 네트워크(LAN)에 접속할 수 있는 무선 LAN(WLAN)은 무선 통신에 채용될 수 있다. 무선 통신은 예를 들면, 광, 적외선, 라디오, 마이크로파와 같은 전자기파를 통해 전파하는 통신을 포함할 수 있다. 예를 들면, 블루투스, IEEE 802.11 및 HomeRF와 같이, 현재 존재하는 다양한 WLAN 표준이 있다.
예를 들면, 블루투스 제품은 모바일 컴퓨터, 모바일 전화기, 휴대용 핸드헬드 디바이스, 개인휴대단말기(PDA)와 다른 모바일 디바이스간의 링크 및 인터넷으로의 연결성을 제공하는데 이용될 수 있다. 블루투스는 모바일 디바이스가 서로 그리고 비-모바일 디바이스와 짧은-범위(short-range) 무선 접속을 이용하여 용이하게 상호접속할 수 있는 방법을 상세화시킨 컴퓨팅 및 통신 산업 스펙이다. 블루투스는 디지털 무선 프로토콜을 생성하여, 하나의 디바이스로부터 다른 디바이스로 데이터가 동기화되고 일관되도록 유지하는 것을 필요로 하는 다양한 모바일 디바이스의 보급으로발생하는 엔드-사용자 문제를 처리함으로써, 다른 벤더의 장비들이 함께 무결절성으로 작동할 수 있게 한다. 블루투스 디바이스는 공통 네이밍(naming) 개념에 따라 명명될 수 있다. 예를 들면, 블루투스 디바이스는 BDN(Bluetooth Device Name) 또는 고유 BDA(unique Bluetooth Device Address)와 연관된 네임을 소유할 수 있다. 블루투스 디바이스는 인터넷 프로토콜(IP) 네트워크에 참여할 수도 있다. 블루투스 디바이스가 IP 네트워크 상에서 기능하는 경우, IP 어드레스 및 IP(네트워크) 네임이 제공된다. 그러므로, IP 네트워크 상에서 참여하도록 구성된 블루투스 디바이스는 예를 들면, BDN, BDA, IP 어드레스 및 IP 네임을 포함할 수 있다. 용어 "IP 네임"은 인터페이스의 IP 어드레스에 대응하는 네임을 지칭한다.
IEEE 표준, IEEE 802.11은 무선 LAN 및 디바이스에 대한 기술을 지정한다. 802.11을 이용하여, 각 단일 기지국이 수개의 디바이스를 지원하는 무선 네트워킹이 달성될 수 있다. 일부 예들에서, 디바이스는 무선 하드웨어를 미리-갖추게 되거나, 사용자는 안테나를 포함할 수 있는, 카드와 같은 하드웨어의 분리된 조각을 설치할 수 있다. 예를 들어, 802.11에 이용된 디바이스는, 디바이스가 액세스 포인트(AP), 이동국(STA), 브리지, PCMCIA 카드 또는 다른 디바이스인지 여부에 관계없이, 3개의 중요한 구성요소, 즉 무선 트랜시버, 안테나, 및 네트워크에서 포인트들간의 패킷 플로우를 제어하는 MAC 레이어를 포함한다.
뿐만 아니라, MID(Multiple Interface Devices)는 일부 무선 네트워크에 활용될 수 있다. MID는 블루투스 인터페이스 및 802.11 인터페이스와 같은 2개의 독립적인 네트워크 인터페이스를 포함하여, MID가 블루투스 디바이스와 인터페이스할 뿐만 아니라 2개의 분리된 네트워크에 참여하게 할 수 있다. MID는 IP 어드레스, 및 IP 어드레와 연관된 공통 IP(네트워크) 네임을 가질 수 있다.
무선 네트워크 디바이스는 블루투스 디바이스, MIDs, 802.11x 디바이스(예를 들면, 802.11a, 802.11b 및 802.11g 디바이스를 포함하는 IEEE 802.11 디바이스), HomeRF(홈 라디오 주파수) 디바이스, Wi-Fi(Wireless Fidelity) 디바이스, GPRS(General Packet Radio Service) 디바이스, 3G 셀룰러 디바이스, 2.5G 셀룰러 디바이스, GSM(Global System for Mobile Communications) 디바이스, EDGE(Enhanced Data for GSM Evolution) 디바이스, TDMA 타입(Time Division Multiple Access) 디바이스, 또는 CDMA2000을 포함하는 CDMA(Code Division Multiple Access) 타입 디바이스를 포함하지만, 이들로 제한되지 않는다. 각 네트워크 디바이스는 IP 어드레스, 블루투스 디바이스 어드레스, 블루투스 공통 네임, 블루투스 IP 어드레스, 블루투스 IP 공통 네임, 802.11 IP 어드레스, 802.11 IP 공통 네임, 또는 IEEE MAC 어드레스를 포함하지만, 이들로 제한되지 않는 다양한 타입의 어드레스를 포함할 수 있다.
무선 네트워크는 예를 들면, 모바일 IP(인터넷 프로토콜) 시스템, PCS 시스템, 및 다른 모바일 네트워크 시스템에서 발견되는 방법 및 프로토콜과 관련될 수 있다. 모바일 IP에 대해, 이것은 IETF(Internet Engineering Task Force)에 의해 생성된 표준 통신 프로토콜과 관련된다. 모바일 IP에 있어서, 모바일 디바이스 사용자들은 일단 할당된 그 IP 어드레스를 유지하면서 네트워크를 이동할 수 있다. RFC(Request for Comments) 3344를 참조하라. NB: RFC는 IETF의 공식 문서이다. 모바일 IP는 인터넷 프로토콜(IP)를 향상시키고, 그 홈 네트워크 외부에서 접속할 때 모바일 디바이스에 인터넷 트래픽을 포워딩하는 수단을 추가한다. 모바일 IP는 각 모바일 노드에 그 홈 네트워크 상의 홈 어드레스 및 네트워크 및 그 서브네트 내의 디바이스의 현재 로케이션을 식별하는 CoA(care-of-address)를 할당한다. 디바이스가 다른 네트워크로 이동되는 경우, 새로운 CoA를 수신한다. 홈 네트워크 상의 이동 에이전트는 각 홈 어드레스를 그 CoA와 연관시킬 수 있다. 모바일 노드는 예를 들면 ICMP(Internet Control Message Protocol)을 이용하여 그 CoA를 변경할 때마다, 홈 에이전트에 바인딩 업데이트를 전송할 수 있다.
기본적인 IP 라우팅(즉, 모바일 IP 외부)에서, 라우팅 메커니즘은, 각 네트워크 노드가 항상 예를 들면 인터넷으로의 일정한 부착(attachment) 포인트를 가지고 있고 각 노드의 IP 어드레스가 그가 접속된 네트워크 링크를 식별하는 가정에 의존한다. 이러한 문서에서, 용어 "노드"는 예를 들면 재분배 포인트 또는 데이터 송신을 위한 엔드 포인트를 포함할 수 있고 통신을 인식하고, 처리하고 및/또는 다른 노드에 포워딩할 수 있는 접속 포인트를 포함한다. 예를 들면, 인터넷 라우터는 예를 들면, 디바이스의 네트워크를 식별하는 IP 어드레스 프리픽스(prefix) 등을 볼 수 있다. 그리고 나서, 네트워크 레벨에서, 라우터는 예를 들면, 특정 서브네트를 식별하는 비트 세트를 볼 수 있다. 그리고 나서, 서브네트 레벨에서, 라우터는 예를 들면, 특정 디바이스를 식별하는 비트 세트를 볼 수 있다. 전형적인 모바일 IP 통신에 있어서, 사용자가 모바일 디바이스를 예를 들면 인터넷으로부터 분리하고 새로운 서브네트에서 재접속하려고 시도하는 경우, 디바이스는 새로운 IP 어드레스, 적절한 네트마스크 및 디폴트 라우터로 재구성되어야 한다. 그렇지 않으면, 라우팅 프로토콜은 패킷을 적절하게 전달할 수 없을 것이다.
다이나믹 호스트 컨피규레이션 프로토콜
DHCP(Dynamic Host Configuration Protocol)은 네트워크에서 관리자가 IP 어드레스 할당을 관리하거나 자동화하게 할 수 있는 통신 프로토콜이다. 인터넷 프로토콜(IP)에 있어서, 인터넷에 접속하는 모든 디바이스는 고유 IP 어드레스를 필요로 한다. ISP 또는 조직이 사용자의 컴퓨터를 인터넷에 접속하는 경우, IP 어드레스가 그 디바이스에 할당될 필요가 있다. 컴퓨터가 네트워크에서 다른 장소에 플러그인되는 경우에, DHCP는 관리자가 IP 어드레스를 분배시키고 새로운 IP 어드레스를 전송할 수 있게 한다. DHCP는 또한 영구적인 IP 어드레스를 필요로 하는 웹 서버를 포함하는 컴퓨터에 대한 정적 어드레스를 지원한다. DHCP는 더 이른 네트워크 IP 관리 프로토콜, BOOTP(Bootstrap Protocol)의 확장이다.
1997년 3월, R. Droms 에 의한 Dynamic Host Configuration Protocol로 명명된 RFC2131에 상세하게 기재된 바와 같이, DHCP는 컨피규레이션 파라미터를 인터넷 호스트에 제공한다. DHCP는 2개의 컴포넌트, 즉 DHCP 서버로부터 호스트에 호스트-특정 컨피규레이션 파라미터를 전달하기 위한 프로토콜, 및 호스트로의 네트워크 어드레스의 할당을 위한 메커니즘을 포함한다. RFC2131을 참조하라. "DHCP는 클라이언트-서버 모델 상에 구축되고, 여기에서 지정된 DHCP 서버 호스트는 네트워크 어드레스를 할당하고 컨피규레이션 파라미터를 다이나믹하게 구성된 호스트에 전달한다".
RFC2131에 기재된 바와 같이, DHCP 서버는 DHCP를 통해 초기화 파라미터를 제공하는 호스트를 지칭하고, DHCP 클라이언트는 DHCP 서버로부터 초기화 파라미터를 요구하는 호스트를 지칭한다. 호스트는 시스템 관리자에 의해 적절하게 구성되지 않는다면 DHCP 서버로서 동작하지 않는다. DHCP는 IP 어드레스 할당에 대한 3가지 메커니즘, 1) DHCP가 영구적인 IP 어드레스를 클라이언트에 할당하는 "자동 할당", 2) DHCP가 제한된 기간동안(또는, 클라이언트가 어드레스를 명백하게 포기할 때까지) IP 어드레스를 클라이언트에 할당하는 "다이나믹 할당", 및 3) 클라이언트의 IP 어드레스가 네트워크 관리자에 의해 할당되는 "수동 할당"을 지원하고, DHCP는 할당된 어드레스를 클라이언트에 운반하는데 이용된다. 이들 중에, 다이나믹 할당은 할당되었던 클라이언트에 의해 더 이상 필요로 하지 않는 어드레스의 자동 재이용을 허용한다. 그러므로, 다이나믹 할당(allocation)은 네트워크에 단지 일시적으로 접속될 클라이언트에 어드레스를 할당하거나, 영구적인 IP 어드레스를 필요로 하지 않는 클라이언트 그룹 중에서 IP 어드레스의 제한된 풀(pool)을 공유하는데 유용하다. 다이나믹 할당은, IP 어드레스가 기존의 클라이언트가 철수할 때 이들을 재청구하는 것이 중요할 정도로 충분히 드문 경우의 네트워크에 영구적으로 접속되어 있는 새로운 클라이언트에 IP 어드레스를 할당하기 위한 양호한 선택일 수 있다.
다양한 시스템 및 방법이 알려져 있지만, 개선된 시스템 및 방법에 대한 필요성이 남아있다.
본 발명은 접속이 손실된 경우에 동기화를 유지하도록 다이나믹 호스트 컨피규레이션 및 네트워크 액세스 인증을 바인딩하기 위한 시스템 및 방법을 제공하고자 하는 것이다.
또한, 본 발명은 서비스 절도 등(예를 들면, MAC 어드레스 및/또는 IP 어드레스 스푸핑)을 회피하여 네트워크 브리지 및 네트워크 액세스 인증을 바인딩하기 위한 시스템 및 방법을 제공하고자 하는 것이다.
또한, 본 발명은 불필요하게 수신 및/또는 처리되는 IP 멀티캐스트 스트림들을 회피하기 위하여 네트워크 액세스 인증 프로토콜로부터 멀티캐스트 보안을 부트스트랩핑하기 위한 시스템 및 방법을 제공하고자 하는 것이다.
본 발명의 양호한 실시예들은 현재의 방법 및/또는 장치를 크게 개선시킬 수 있다.
일부 실시예들에 따르면, 예를 들면 접속이 손실된 경우에 동기화를 유지하기 위하는 것과 같이, 인증 SA 상태(예를 들면, PANA SA 상태)와 DHCP SA 상태간의 동기화를 위한, 특히 인증 에이전트(예를 들면, PAA)와 DHCP 서버 간의 인터액션과 관련된, 다이나믹 호스트 컨피규레이션 및 네트워크 액세스 인증을 바인딩하기 위한 시스템 및 방법이 제공된다.
일부 실시예들에 따르면, 예를 들면 상기와 관련하여 서비스 절도 등(예를 들면, MAC 어드레스 및/또는 IP 어드레스 스푸핑)을 회피하기 위한 것과 같이, 특히, 인증 에이전트(예를 들면, PAA)와 레이어-2 스위치간의 인터액션과 관련된, 네트워크 브리지 및 네트워크 액세스 인증을 바인딩하기 위한 시스템 및 방법이 제공된다.
일부 실시예들에 따르면, 예를 들면 상기와 관련하여 인가된 수신기와 동일한 레이어 2 세그먼트에 접속된 비인가된 수신기에 의해 불필요하게 수신되고 및/또는 처리되는 IP 멀티캐스트 스트림들을 회피하기 위하여, 보호된 IP 멀티캐스트 스트림에 대한 키 관리에 관련된, 네트워크 액세스 인증 프로토콜로부터 멀티캐스트 보안을 부트스트랩핑하기 위한 시스템 및 방법이 제공된다.
본 발명의 시스템 및 방법에 따르면, 접속이 손실된 경우에 동기화를 유지하도록 다이나믹 호스트 컨피규레이션 및 네트워크 액세스 인증을 바인딩할 수 있다.
또한, 본 발명의 시스템 및 방법에 따르면, 서비스 절도 등을 회피하여 네트워크 브리지 및 네트워크 액세스 인증을 바인딩할 수 있다.
또한, 본 발명의 시스템 및 방법에 따르면, 불필요하게 수신 및/또는 처리되는 IP 멀티캐스트 스트림들을 회피하기 위하여 네트워크 액세스 인증 프로토콜로부터 멀티캐스트 보안을 부트스트랩핑할 수 있다.
본 발명의 양호한 실시예는 첨부된 도면에서 예를 들어 도시되고 제한적으로 도시되지 않는다.
도 1-12는 바람직한 실시예의 상세한 설명의 파트 1에 관련된, 특히 바인딩 다이나믹 호스트 컨피규레이션 및 네트워크 액세스 인증과 관련된, 특히 본 발명의 일부 바람직한 실시예에 따른 특징을 증명하는 예시적인 개략도이며, 더 구체적으로는,
도 1은 일반적인 아키텍쳐 모델의 개략도이다.
도 2는 다른 것들 중에서, 네트워크 액세스 인증 및 DHCP를 예시하는 개략도이다.
도 3은 인증 세션이 끝난 경우에 다른 것들 중에서 서버의 양태를 예시하는 개략도이다.
도 4는 인증 세션이 끝난 경우에, 다른 것들 중에서 클라이언트의 양태를 예시하는 개략도이다.
도 5는 다른 것들 중에서, AAA-키 업데이트 방법 1 - DHCP 키가 변경되지 않고 유지됨 -을 예시하는 개략도이다.
도 6은 다른 것들 중에서, AAA-키 업데이트 방법 2 - 지연된 DHCP 키 업데이트 -를 예시하는 개략도이다.
도 7은 다른 것들 중에서, AAA-키 업데이트 방법 3 - 즉시 DHCP 키 업데이트 -을 예시하는 개략도이다.
도 8은 다른 것들 중에서, DHCP 서버 재시작 방법 1 - 비휘발성 저장 -을 예시하는 개략도이다.
도 9는 다른 것들 중에서, DHCP 서버 재시작 방법 2 - 스크래치로부터의 재부팅 -를 예시하는 개략도이다.
도 10은 다른 것들 중에서, DHCP 서버 재시작 방법 3 - 키에 대한 인증자를 요구함 -을 예시하는 개략도이다.
*도 11은 다른 것들 중에서, DHCP 수명 만료 방법 1 - 현재 DHCP 키를 유지함 -을 예시하는 개략도이다.
도 12는 다른 것들 중에서, DHCP 수명 만료 방법 2 - 재인증을 요구함 -를 예시하는 개략도이다.
도 13-39는 특히, 바람직한 실시예의 상세한 설명의 파트 II에 관련된 네트워크 브리지 및 네트워크 액세스 인증을 바인딩하는 것에 관련된 본 발명의 일부 바람직한 실시예에 따른 특징을 증명하는 예시적인 개략도들이며, 더 구체적으로는,
도 13은 다른 것들 중에서, 가능한 서비스 절도: MAC 및 IP 어드레스 스푸핑을 예시하는 개략도이다.
도 14는 다른 것들 중에서, 예로 든 네트워크의 아웃트라인을 예시하는 개략도이다.
도 14a는 다른 것들 중에서, 레코드 추가/제거의 통지를 예시하는 개략도이다.
도 14b는 다른 것들 중에서, UFD 레코드에 관한 질의/응답을 예시하는 개략도이다.
도 15는 다른 것들 중에서, 예시적인 패킷 필터링 기능을 예시하는 개략도이다.
도 16은 다른 것들 중에서, PIT(Port Identifier Tag) 기능을 가지는 예시적인 포워딩을 도시하는 개략도이다.
도 17은 다른 것들 중에서, PIT를 가지는 세션 식별을 예시하는 개략도이다.
도 18은 다른 것들 중에서, PIT 메시지 포맷의 예를 예시하는 개략도이다.
도 19-23은 다른 것들 중에서, 예시적인 예 1 - 단계 1-A 내지 단계 5-A -를 각각 예시하는 개략도이다.
도 24-25는 다른 것들 중에서, 예시적인 예 1 - 단계 4-B 내지 단계 5-B -를 각각 예시하는 개략도이다.
도 26은 예시적인 예 1 - 위협 1 -을 도시하는 개략도이다.
도 27은 예시적인 예 1 - 위협 2(단계 1-A 내지 3-A 및 4-B) -을 도시하는 개략도이다.
도 28은 다른 것들 중에서, 예시적인 예 1 - 위협 2(단계 5-B) -을 예시하는 개략도이다.
도 29는 예시적인 예 1 - 위협 2, 동시 공격 -을 도시하는 개략도이다.
도 30은 예시적인 예 1 - 위협 3 -을 도시하는 개략도이다.
도 31 내지 37은 예시적인 예 2 - 단계 1-A 내지 7-A -를 각각 도시하는 개략도이다.
도 38은 예시적인 예 2 - 위협 1 및 2, 단계 5-A에서의 복수의 세션 -를 도시하는 개략도이다.
도 39는 예시적인 예 2 - 위협 1 및 2, 단계 7-A에서의 복수의 세션 -를 도시하는 개략도이다.
도 40-47은 바람직한 실시예의 상세한 설명의 파트 III과 관련된 네트워크 액세스 인증 프로토콜로부터 특히 멀티캐스트 보안을 부트스트랩핑하는 것과 관련된 본 발명의 일부 바람직한 실시예에 따른 특징을 증명하는 예시적인 개략도이다.
도 40은 예시적인 IP 멀티캐스트 네트워크의 개략적인 아키텍쳐 도면이다.
도 41은 (S1, G)에 대한 패킷 포워딩 경로의 예의 개략적인 아키텍쳐 도면이다.
도 42는 (S2, G)에 대한 패킷 포워딩 경로의 예의 개략적인 아키텍쳐 도면이다.
도 43은 공유된 링크를 가지는 예시적인 IP 멀티캐스트 네트워크의 개략적인 아키텍쳐 도면이다.
도 44는 (S1, G)에 대한 패킷 포워딩 경로의 예의 개략적인 아키텍쳐 도면이다.
도 45는 멀티캐스트 청취자 발견(질의)의 개략적인 아키텍쳐 도면이다.
도 46은 멀티캐스트 청취자 발견(리포트)의 개략적인 아키텍쳐 도면이다.
도 47은 MLD 스누핑이 없는 멀티캐스트 데이터 패킷 포워딩을 도시하는 개략적인 아키텍쳐 도면이다.
도 48은 MLD 스누핑을 가지는 멀티캐스트 데이터 패킷 포워딩을 도시하는 개략적인 아키텍쳐 도면이다.
도 49는 MLDA 키 계층을 도시하는 개략적인 아키텍쳐 도면이다.
도 50은 멀티캐스트 IPsec 키 계층을 도시하는 개략적인 아키텍쳐 도면이다.
도 51은 제1 방법에서 SRTP 키 계층을 도시하는 개략적인 아키텍쳐 도면이다.
도 52는 제2 방법에서 SRTP 키 계층을 도시하는 개략적인 아키텍쳐 도면이다.
도 53은 제1 방법에서 MLDA를 부트스트랩핑하기 위한 기능적 모델을 도시하는 개략적인 아키텍쳐 도면이다.
도 54는 제2 방법에서 MLDA를 부트스트랩핑하기 위한 기능적 모델을 도시하는 개략적인 아키텍쳐 도면이다.
도 55는 멀티캐스트 IPsec을 부트스트랩핑하기 위한 기능적 모델을 도시하는 개략적인 아키텍쳐 도면이다.
도 56은 제1 방법에서 안전한 멀티캐스트 어플리케이션을 부트스트랩핑하기 위한 기능적 모델을 도시하는 개략적인 아키텍쳐 도면이다.
도 57은 제2 방법에서 안전한 멀티캐스트 어플리케이션을 부트스트랩핑하기 위한 기능적 모델을 도시하는 개략적인 아키텍쳐 도면이다.
본 발명이 다수의 다른 형태로 실시될 수 있지만, 본 개시가 본 발명의 원리의 예를 제공하는 것으로 간주되고 그러한 예들은 여기에 기재되거나 예시된 양호한 실시예로 본 발명을 제한하려는 것이 아니라는 이해를 바탕으로, 다수의 예시적인 실시예들이 여기에 기재된다.
이하의 상세한 설명에서, 본 발명의 양호한 실시예는 3가지 파트에서 기재된다. 다이나믹 호스트 컨피규레이션 및 네트워크 액세스 인증을 바인딩하는 것으로 제목이 붙여진 파트 I은 특히 PAA(PANA 인증 에이전트)와 DHCP 서버간의 인터액션에 관한 것이다. 다른 것들 중에서, 파트 I은 예를 들면, 접속이 손실된 경우에 동기화를 유지하는 것과 같은 PANA SA 상태와 DHCP SA 상태간의 동기화를 위한 방법을 기재한다. 한편, 네트워크 브리지 및 네트워크 액세스 인증을 바인딩하는 것으로 제목이 붙여진 파트 II는 특히 PAA와 레이어-2 스위치간의 인터액션에 관한 것이다. 다른 것들 중에서, 파트 II는 파트 I의 컨텍스트에서 서비스 절도 등(예를 들면, MAC 어드레스 및/또는 IP 어드레스 스푸핑)을 회피하기 위한 방법을 기술하고 있다. 한편, 네트워크 액세스 인증 프로토콜로부터 멀티캐스트 보안을 부트스트랩핑하는 것으로 제목이 붙여진 파트 III은 특히 보호된 IP 멀티캐스트 스트림을 위한 키 관리에 관한 것이다. 다른 것들 중에서, 파트 III은 파트 I의 컨텍스트에서 인가된 수신기와 동일한 레이어 2 세그먼트에 접속된 비인가된 수신기에 의해 불필요하게 수신 및/또는 처리되는 IP 멀티캐스트 스트림을 회피하는 방법을 기술하고 있다.
파트 I : 다이나믹 호스트 컨피규레이션 및 네트워크 액세스 인증을 바인딩
1. 현재의 프로토콜
상기 설명되고 그 전체를 참조로 여기에 첨부한 인터넷 엔지니어링 태스크 포스(IETF)의 RFC2131은 다이나믹 호스트 컨피규레이션 프로토콜(DHCP)을 정의한다. 상기 설명된 바와 같이, DHCP는 컨피규레이션 정보를 TCP/IP 네트워크 상의 호스트에 패싱하기 위한 프레임워크를 제공한다. DHCP는 재사용가능한 네트워크 어드레스의 자동 할당 및 추가 컨피규레이션 옵션의 성능을 가지고 있다.
여기에 그 전체가 참고로 첨부된 IEFT의 RFC3118은 인증 티켓이 용이하게 생성될 수 있고 적절한 인가를 가지는 새롭게 부착된 호스트가 인증된 DHCP 서버로부터 자동으로 구성될 수 있는 DHCP 옵션을 정의하는, DHCP 메시지에 대한 인증을 기술하고 있다.
여기에 그 전체가 참조로 첨부된 IETF의 RFC3315는 IPv6에 대한 다이나믹 호스트 컨피규레이션 프로토콜(DHCPv6)을 정의한다. DHCPv6은 DHCP 서버가 IPv6 네트워크 어드레스와 같은 컨피규레이션 파라미터를 IPv6 노드에 패싱하는 기능을 할 수 있게 한다. 이는 재사용 가능한 네트워크 어드레스의 자동 할당 및 추가적인 컨피규레이션 유연성의 성능을 제공한다. RFC3315는 또한 DHCPv6에 대한 지연된 인증 프로토콜을 포함한다.
[http://www.ietf.org/internet-drafts/Yegin-Eap-Boot-RFC3118-00.txt]에서 발견되고 여기에 그 전체를 참고로 첨부한 2004년 9월 2일자의 A.Yegin 등에 의한 그 제목이 'Bootstrapping RFC3118 Delayed DHCP Authentication Using EAP-based Network Access Authentication'인 인터넷 드래프트-문서는 EAP-기반 네트워크 액세스 인증을 이용한 RFC3118 지연된 DHCP 인증을 부트스트랩핑하는 것을 기술하고 있다. 이는 EAP-기반 네트워크 액세스 인증 메커니즘이 로컬 트러스트 관계를 확립하고 RFC3118과 함께 이용될 수 있는 키들을 생성하는데 이용될 수 있는 방법을 개략적으로 기술하고 있다.
2. 일부 현재의 한계
RFC3118 및 RFC3315는 DHCP/DHCPv6 메시지가 지연된 인증 프로토콜을 이용하여 인증될 수 있는 방법을 기술하고 있지만, 이들은 지연된 인증 프로토콜을 개시하는데 필요한 공유 키를 구성하는 것에 대해서는 어떤 것도 기술하지 않는다. 한편, Draft-Yegin-EAP-Boot-rfc3118-00.txt는 EAP-기반 네트워크 액세스 인증 메커니즘을 이용하여 키들을 생성하는 방법을 기술하고 있으므로, DHCP 클라이언트 호스트가 네트워크에 부착된 바로 그 처음에 지연된 인증 프로토콜을 개시할 수 있도록 한다.
그러나, Draft-Yegin-EAP-Boot-rfc3118-00.txt는 DHCP의 제1 부트스트랩핑 후에 EAP-기반 인증 세션 및 DHCP 세션이 서로 가장 효율적으로 인터액팅하는 방법을 고려하거나 기술하고 있지 않다.
본 발명자들은 현재의 기술보다 상당한 장점을 가지고 있는 네트워크 액세스 인증 메커니즘과 호스트 컨피규레이션 메커니즘간의 새로운 아키텍쳐 및 관계를 개발했다. 다른 것들 중에서도, 본 발명의 일부 양호한 실시예에 따르면, DHCP 및 인증 세션이 이하의 경우에서 어떻게 다루어질 수 있는 가에 대한 시스템 및 방법이 제공된다:
· 종료: 예를 들면, 인증 세션이 종료되는 경우,
· 업데이팅: 예를 들면, 인증 세션 키가 업데이트 되는 경우,
· 재시작: 예를 들면, DHCP 서버가 재시작할 필요가 있는 경우,
· 만료: 예를 들면, DHCP 바인딩의 수명이 만료되는 경우, 및
· 새로운 세션 확립: 예를 들면, 새로운 인증 세션이 확립되는 경우.
3. 제안된 방법
"일반 모델"로 라벨링된 도 1은 일부 바람직한 실시예들이 구현될 수 있는 기본적인 환경을 도시하고 있다. 이러한 예시적인 환경에서, 인증자는 바람직하게는 클라이언트를 인증하고 액세스 네트워크를 통해 그 네트워크 액세스를 인가하는 성능을 가지고 있는 기능적 실체이다. 뿐만 아니라, EAP 서버는 바람직하게는 EAP 클라이언트를 인증하는 EAP 인증 방법을 실행하는 실체이다. 뿐만 아니라. PANA 서버는 바람직하게는 EAP를 이용하여 PANA 클라이언트를 인증하는 실체이다.
도 1이 예시적인 목적을 위해, 인증자, DHCP 서버 및 클라이언트를 도시하고 있지만, 본 명세서에 기초하여 본 기술분야의 통상의 기술자에게 자명한 바와 같이, 다른 실시예들이 가변될 수 있다. 예를 들면, 다른 실시예들은 복수의 인증자, 복수의 DHCP 서버 및/또는 복수의 클라이언트를 채용할 수 있다.
"네트워크 액세스 인증 및 DHCP"라고 라벨링된 도 2는 일부 바람직한 실시예들내에 채용된 일부 원리들을 증명하는데 도움을 준다.
PANA가 네트워크 액세스에 대한 인증 정보를 운반하는 프로토콜로서 이용되고 EAP가 네트워크 액세스를 위한 인증 정보를 운반하는 프로토콜에 의해 운반되는 실제 인증 프로토콜로서 이용되는 것과 관련하여컨텍스트로 일부 예시적 예들이 기재되어 있지만, 이들은 일부 예들에 불과하다. 본 명세서에 기초하여 잘 이해되는 바와 같이, 본 발명의 다양한 실시예들이 PANA 및 EAP와 유사한 기능, 예를 들면 성공적인 인증 및 인가의 결과로서 클라이언트와 인증자간의 인증 세션 키를 확립하는 기능을 제공하는 임의의 프로토콜 또는 프로토콜 세트에 적용될 수 있다. 일부 예들로서, 바람직한 실시예들의 시스템 및 방법은 IEEE 802.1X가 EAP를 운반하는 프로토콜로서 이용되는 액세스 네트워크 내에서 채용될 수 있다.
뿐만 아니라, 도면들이 EAP-서버 및 PANA-서버가 하나의 노드에서 동시 배치된 경우들을 예시하고 있지만, 이들 2개의 실체들은 예를 들면, 이들 사이에서 EAP 메시지를 운반하는 AAA 프로토콜을 이용하여 분리된 노드에서 구현될 수 있다. 또한, 그러한 예들에서, 인증 세션 키는 AAA 키로서 표현될 수 있다.
3.1 인증 세션이 종료된 때의 서버 양태
본 섹션은 일부 바람직한 실시예들에서 인증 세션이 의도적으로 또는 우연히 종료되는 경우에 인증자 및 DHCP 서버가 동작하는 방법을 기술하고 있다. 이러한 측면에서, "인증 세션이 끝난 경우의 서버의 양태"로 라벨링된 도 3이 참고로 이용된다.
(1) 통상, 인증자는 인증 세션이 종료되었다고 통지한다. 인증자가 인증 세션의 종료를 통지할 수 있는 경우는 이하를 포함한다:
· 인증 세션의 수명의 만료,
· 클라이언트의 재-인증 동안의 오류, 및
· 클라이언트로부터 종료 요구의 수신.
그러한 상황에서, 인증자는 종료가 사고라고 간주되는 경우에 새로운 인증 세션을 재시작하려고 시도하는 인증 요구 메시지를 전송할 수도 그렇지 않을 수도 있다.
(2) 본 발명의 일부 양호한 실시예에 따르면, 인증자는 DHCP 서버에게 이제 막 종료된 인증 세션으로부터 도출된 DHCP 키가 더 이상 유효하지 않다는 것을 통지할 수 있다. 다른 것들 중에서도, 이것은 세션이 종료된 경우라도 DHCP 서버가 통상 기존의 컨피규레이션 파일을 저장하기 때문에 장점이 될 수 있다. 바람직하게는, 인증자가 인증 세션의 종료를 인식하자마자, 인증자는 DHCP 서버에 통지한다. 다양한 실시예들에서, 인증자가 DHCP 서버에 DHCP 키의 상태의 무효성 또는 변경을 통지하는 다수의 잠재적인 구현들이 존재한다.
· 제1 예에서, 컨피규레이션 파일이 재기록되거나 재로딩될 수 있다. 예를 들면, 인증자는 DHCP 서버의 컨피규레이션 파일을 변형시킬 수 있다. 그리고 나서, 인증자는 DHCP 서버가 재시작하게 하거나, DHCP 서버에게 컨피규레이션 파일을 다시 판독하도록 요청하는 신호를 송신할 수 있다.
· 제2 예에서, 요구가 DHCP 서버에 전송되어 클라이언트 컨피규레이션을 삭제할 수 있다. 예를 들면, 인증자는 IP 또는 유닉스 도메인 소켓과 같은 통신 프로토콜을 통해 요구 메시지를 전송할 수 있다.
(3) 일부 시스템들에서, 옵션 특징은, DHCP 서버가 DHCP 키 폐기의 메시지를 수신하는 경우, 및 호스트 컨피규레이션 프로토콜이 허용하는 경우, DHCP 서버는 DHCP 클라이언트가 이전 DHCP 메시지에서 클라이언트에 할당된 바인딩을 해제하도록 요구하는 것을 포함할 수 있다. 예를 들어, DHCPv6 서버는 클라이언트가 이하의 예시적인 단계들에 의해 그 바인딩을 업데이트하도록 요구할 수 있다:
1. DHCPv6 서버는 이전 DHCP 키를 이용하여 재구성(Reconfigure) 메시지를 전송한다.
2. DHCPv6 클라이언트는 갱신 메시지 또는 정보-요구 메시지를 DHCP 서버에 전송한다.
3. DHCPv6 서버는 이전 DHCP 키를 이용하여 DHCP 인증 옵션을 체크하고, 제로의 수명을 가지는 바인딩을 포함하는 응답 메시지를 전송한다.
4. DHCPv6 클라이언트는 기존 바인딩을 중지시키고 새로운 바인딩을 요구하기 시작한다.
5. DHCPv6 서버는 이전 DHCP 키를 가지는 메시지를 폐기한다.
일부 예들에서, 클라이언트가 인증 세션의 종료를 인지하는 경우, 클라이언트는 이전 키를 스스로 폐기할 것이다. 따라서, 그러한 경우에 상기 단계 2 및 후속 단계들은 발생하지 않을 수 있다.
(4) 일부 시스템들에서, DHCP 서버는 DHCP 키를 제거하고 바인딩을 디스에이블하게 한다. 바인딩 엔트리를 디스에이블되게 하는 이하의 가능한 구현들이 존재한다:
· 바인딩 테이블로부터 엔트리를 제거하기;
· 엔트리들이 만료된 것처럼 엔트리의 수명을 강제로 제로로 만드는 것.
유의할 점은, 바인딩 테이블로부터 엔트리를 제거하는 것은 이들에 대한 리소스가 비어있다는 것을 의미하는 것은 아니라는 점이다. 예를 들면, 클라이언트는 리소스를 우연히 연속하여 이용할 수도 있다. DHCP 서버는 바인딩에 관련된 리소스들이 여전히 네트워크내의 임의의 실체에 의해 이용되고 있는지 여부를 체크할 수 있다. 예를 들면, RFC2131은 할당(DHCPv4) 서버가, 예를 들면 ICMP 에코 요구와 같이 어드레스를 할당하기 이전에 재사용된 어드레스를 프로빙해야 한다는 것을 기술하고 있다. DHCPv6 서버는 유사한 방식으로 네트워크 리소스의 일관성을 체크할 수 있다.
3.1.1 인증 세션이 종료된 경우의 클라이언트 양태
본 서브섹션은 클라이언트의 관점에서 클라이언트가 인증 세션의 종료를 다루는 방법을 기술하고 있다. 이러한 측면에서, 그 제목이 "Clients Behavior in the Case Authentication Session Is Gone"인 도 4는 거기에 관련된 특징을 예시하고 있다. 도 4를 참조하면, 시스템은 이하의 단계들을 수행한다.
(1) 첫째로, 도면에서 1로 도시된 바와 같이, 클라이언트는 인증 세션이 종료되어 있다는 것을 인지한다. 이러한 측면에서, 클라이언트가 인증 세션의 종료를 인지할 수 있는 경우들은 이하를 포함한다:
· 인증 세션의 수명의 종료;
· 재인증의 실패;
· 종료 요구.
(2) 두 번째로, 클라이언트는 DHCP 서버에 의해 할당된 리소스를 이용하는 것을 중지한다. 클라이언트는 이전 DHCP 키를 이용하여 바인딩을 해제하는 해제 메시지를 전송하거나 그렇지 않을 수도 있다.
(3) 세 번째로, 도면에서 3으로 도시된 바와 같이, 클라이언트는 새로운 인증 세션을 재시작하고, 필요하다면 새로운 키를 얻는다.
3.2 인증 세션 키가 업데이트된 경우
일부 바람직한 실시예들에 따르면, 인증 세션 키가 업데이트되는 경우에, DHCP 키들은 특별하게 다루어진다. 양호한 실시예들에서, 3개의 잠재적인 방법들이 가용하다.
일부 실시예들에서, 클라이언트 및 인증자 및/또는 다이나믹 호스트 컨피규레이션 서버는 어느 방법이 채용되어야 할지에 관해 협상할 수 있다. 예를 들면, 일부 실시예에서, 클라이언트는 어느 방법을 지원하는지를 나타내는 신호를 전송할 수 있다. 예를 들면, 일부 실시예에서, 인증 세션 키가 업데이트되는 경우에 다이나믹 호스트 컨피규레이션 및 네트워크 액세스 인증을 바인딩하기 위한 시스템에 이용하기 위한 클라이언트 디바이스에 의해 수행되는 방법은, 상기 인증 세션 또는 상기 다이나믹 호스트 컨피규레이션 세션 중 어느 하나의 종료시 또는 그러한 세션의 시작시에, 상기 클라이언트 디바이스는 클라이언트 디바이스가 그러한 종료 또는 시작을 다루기 위해 지원하는 것이 어느 다이나믹 호스트 컨피규레이션 키 핸들링 방법인지를 식별하는 메시지를 전송하는 것을 포함할 수 있다. 일부 실시예들에서, 상기 클라이언트 디바이스는 상기 메시지를 인증자에게 전송한다. 일부 실시예들에서, 상기 클라이언트 디바이스는 상기 메시지를 다이나믹 호스트 컨피규레이션 서버에 전송한다.
3.2.1 DHCP 키가 변경되지 않고 유지된다(방법 1)
제1 실시예에 따르면, 제1 방법은 인증 키가 변경되지 않은 동안에 DHCP 키가 변경되지 않고 유지되는 것을 포함한다. "AAA-키 업데이트: 방법 1: DHCP 키가 변경되지 않고 유지된다"로 라벨링된 도 5는 본 실시예의 바람직한 구현에 따른 특징을 예시하는데 도움을 준다. 도 5를 참조하면, 시스템은 바람직하게는 이하의 단계들을 수행한다.
(1) 첫 번째로, 도면에서 1로 도시된 바와 같이, 인증 세션 키가 인증 세션에서 변경된다.
(2) 두 번째로, 도면에서 2로 도시된 바와 같이, 클라이언트는 DHCP 키를 터치하지 않고 유지하는 동안에 인증 세션 키를 업데이트한다. 인증자는 DHCP 서버에 DHCP 키에 관한 어떠한 것도 전송하지 않는다.
(3) 세 번째로, 도면에서 3으로 도시된 바와 같이, DHCP 메시지 교환이 클라이언트 또는 DHCP 서버에 의해 요구되는 경우, 이들은 동일한 DHCP 키를 이용하여 유지한다.
3.2.2 지연된 DHCP 업데이트 (방법 2)
제2 실시예에 따르면, 제2 방법은 DHCP 키가 나중에 업데이트되는 것을 포함한다. 특히, 인증 세션 키의 변경은 즉각적인 DHCP 메시지 교환을 유발하지 않는다. 그러므로, 일부 바람직한 실시예들에서, DHCP 서버 및 클라이언트는 키를 변경한 후에 처음으로 DHCP 메시지 교환을 필요로 하는 경우에 DHCP 키를 업데이트할 것이다. 이러한 측면에서, "AAA-키 업데이트: 방법 2: 지연된 DHCP 키 업데이트"로 라벨링된 도 6은 이러한 실시예에 따른 양호한 특징을 도시하고 있다. 도 6을 참조하면, 시스템은 바람직하게는 이하의 단계들을 수행한다:
(1) 첫 번째로, 도면에서 1로 도시된 바와 같이, 인증 세션 키 업데이트는 이벤트에 의해 트리거링된다.
(2) 두 번째로, 도면에서 2로 도시된 바와 같이, 인증자는 새로운 DHCP 키를 DHCP 서버에 전송한다.
(3) 세 번째로, 도면에서 3으로 도시된 바와 같이, 새로운 인증 세션 키는 인증자와 클라이언트 사이에 확립된다.
(4) 네 번째로, 도면에서 4로 도시된 바와 같이, 클라이언트는 이 단계에서의 대안 키로서 새로운 DHCP 키를 저장한다.
(5) 다섯 번째로, 도면에서 5로 도시된 바와 같이, DHCP 서버 및 클라이언트는 새로운 인증 키를 획득한 후, 메시지 교환을 위해, 적용가능한 경우에, 새로운 DHCP 키를 이용할 것이다. 일단 DHCP 서버 및 클라이언트가 새로운 DHCP 키를 이용하면, DHCP 서버 및 클라이언트는 기존 DHCP 키를 제거할 것이다.
3.2.3 즉각적인 DHCP 업데이트 (방법 3)
제3 실시예에 따르면, 제3 방법은 키의 변경 바로 후에 새로운 DHCP 키를 이용하여 DHCP 세션이 재시작되는 것을 포함한다. "AAA-키 업데이트: 방법 3: 즉각적인 DHCP 키 업데이트"로 라벨링된 도 7은 이러한 실시예에 따른 특징을 도시하고 있다. 도 7을 참조하면, 시스템은 바람직하게는 이하의 단계들을 수행한다:
(1) 첫 번째로, 도면에서 1로 도시된 바와 같이, 인증 세션 키가 인증 세션에서 변경된다.
(2) 두 번째로, 도면에서 2로 도시된 바와 같이, 인증자와 클라이언트 사이에 새로운 인증 세션 키가 확립된다. 본 발명의 바람직한 실시예에 따르면, 인증자는 바람직하게는 이 단계의 종료에 의해 새로운 DHCP 키를 DHCP 서버에 전송한다.
(3) 세 번째로, 도면에서 3으로 도시된 바와 같이, 클라이언트는 바람직하게는 새로운 DHCP 키를 이용하여 새로운 DHCP 세션을 개시한다.
3.3 DHCP 서버가 재시작할 필요가 있는 경우
일부 양호한 실시예들에 따르면, DHCP 서버는 재부팅 후에 또는 다른 이유로 인해 특별한 방식으로 재시작된다. 바람직한 실시예들에서, 채용될 수 있는 3가지 잠재적인 방법들이 있다.
일부 실시예들에서, 클라이언트 및 인증자 및/또는 다이나믹 호스트 컨피규레이션 서버는 어느 방법이 채용될 지에 대해 협상할 수 있다. 예를 들면, 일부 실시예들에서, 클라이언트는 자신이 어느 방법을 지원하는지를 나타내는 신호를 전송한다. 예를 들면, 일부 실시예들에서, 다이나믹 호스트 컨피규레이션 바인딩의 수명이 만료된 경우에 다이나믹 호스트 컨피규레이션 및 네트워크 액세스 인증을 바인딩하기 위한 시스템에 이용하기 위한 클라이언트 디바이스에 의해 수행되는 방법은, 다이나믹 호스트 컨피규레이션 바인딩의 만료시(또는 유사하게 다이나믹 호스트 컨피규레이션 세션을 시작할 때), 클라이언트 디바이스는 클라이언트 디바이스가 그러한 종료 또는 시작을 다루도록 지원하는 것이 어느 다이나믹 호스트 컨피규레이션 키 핸들링 방법인지를 나타내는 메시지를 전송할 수 있는 것을 포함한다. 일부 실시예들에서, 상기 클라이언트 디바이스는 상기 메시지를 인증자에게 전송한다. 일부 실시예들에서, 클라이언트 디바이스는 상기 메시지를 다이나믹 호스트 컨피규레이션 서버에 전송한다.
3.3.1 비휘발성 저장상태로부터 전체 상태를 복원(방법 1)
본 발명의 제1 실시예에 따르면, 제1 방법은 상태를 복원하기 위해 비휘발성 메모리 저장장치를 이용하는 것을 포함한다. 이러한 측면에서, "DHCP 서버 재시작: 방법 1: 비휘발성 저장장치"로 라벨링된 도 8은 본 실시예에 따른 예시적 특징을 도시하고 있다. 도 8을 참조하면, 시스템은 바람직하게는 이하의 단계들을 수행한다:
(1) 첫 번째로, 도면에서 1로 도시된 바와 같이, DHCP 서버는 바람직하게는 DHCP 키 테이블 및 바인딩 테이블을 비휘발성 메모리 저장장치에 저장한다. DHCP 서버는 테이블이 업데이트될때마다 비휘발성 메모리를 업데이트하거나 주기적으로 업데이트할 수 있다. 비휘발성 메모리 저장장치는 예를 들면, 하드 드라이브, 자기 디스크, 플래시 메모리 등과 같은 임의의 적절한 데이터 저장 장치 또는 메모리를 이용하여 구현될 수 있다.
(2) 두 번째로, DHCP 서버는 바람직하게는 일부 이유로 인해 재시작한다.
(3) 세 번째로, 도면에서 3으로 도시된 바와 같이, DHCP 서버는 바람직하게는 비휘발성 메모리 저장장치로부터 키 테이블 및 바인딩 테이블을 복원시킨다. 바람직하게는, DHCP 서버는 수명이 만료된 엔트리를 제거한다.
(4) 네 번째로, 도면에서 4로 도시된 바와 같이, DHCP 서버 및 클라이언트는 바람직하게는 키의 수명이 만료될 때까지 동일한 키를 이용한다.
3.3.2 DHCP 서버로부터 통지를 재부팅하거나 인증자에 의해 검출을 재부팅 (방법 2)
다른 실시예에 따르면, 제2 방법은 DHCP가 스크래치로부터 재시작하는 것을 포함할 수 있다. 그 측면에서, 이전 키 테이블 및 바인딩 테이블이 폐기될 것이다. 그리고, 각 클라이언트는 인증 세션을 재시작할 필요가 있다. "DHCP 서버 재시작: 방법 2: 스크래치로부터 재부팅"이라고 라벨링된 도 9는 본 실시예에 따른 일부 예시적 특징들을 도시하고 있다. 도 9를 참조하면, 시스템은 바람직하게는 이하의 단계들을 수행한다:
(1) DHCP 서버는 일부 이유로 인해 재시작한다.
(2) 인증자 및 바인딩 테이블의 대응하는 엔트리로부터 다이나믹하게 얻어진 모든 DHCP 키가 손실될 것이다. DHCP 서버는 멀티-할당을 방지하기 위해 이전 바인딩에 할당될 수 있는 리소스를 체크하거나 그러지 않을 수도 있다. 이것을 수행하도록 하는 구현의 일부 방식들은 이하를 포함한다:
· DHCP 서버는 바인딩 테이블을 복원하고 업데이트하기 위해 각 클라이언트에 재구성(Reconfigure)을 전송할 수 있다.
· DHCP 서버는 비휘발성 메모리 저장장치를 이용하여 바인딩 테이블을 복원시킬 수 있다.
(3) 일부 양호한 실시예에 따르면, a) DHCP 서버가 인증자에게 DHCP 키들이 삭제되었음을 통지하거나, b) 인증자가 DHCP 서버로부터의 통지없이 DHCP 서버의 재부팅을 아는 능력을 가지고 있는 단계가 선택적으로 채용될 수 있다. 그러한 경우에, 인증자는 바람직하게는 각 클라이언트에 대해 DHCP 키를 업데이트하고, 이들을 DHCP 서버에 전송한다.
(4) 클라이언트는 인증자가 그렇게 요구하거나 클라이언트가 DHCP 세션의 종료를 인지하는 경우에 인증 세션 및 DHCP 세션을 재시작한다.
3.3.3 인증자에게 키를 요청한다(방법 3)
본 발명의 다른 실시예에 따르면, 제3 방법은 DHCP 서버가 인증자에게 키 정보를 재전송하고 DHCP 키 테이블을 복원하도록 요구하는 것을 포함한다. "DHCP 서버 재시작: 방법 3: 인증자에게 키를 요청한다"로 라벨링된 도 10은 본 실시예에 따른 예시적 특징들을 도시하고 있다. 도 10을 참조하면, 시스템은 바람직하게는 이하의 단계들을 수행한다:
(1) 첫 번째로, 도면에서 1로 도시된 바와 같이, DHCP 서버는 인증자에게 DHCP 서버가 시작할 때 DHCP 키를 재전송하도록 요구한다.
(2) 두 번째로, 도면에서 2로 도시된 바와 같이, 인증자는 모든 유효 DHCP 키를 DHCP 서버에 전송한다.
(3) 세 번째로, 도면에서 3으로 도시된 바와 같이, DHCP 서버는 DHCP 키 테이블을 복원한다. 이러한 측면에서, 바인딩 테이블 엔트리는 복원되거나 그렇지 않을 수도 있다.
· 일부 실시예들에서, DHCP 서버는 가능하다면, 바인딩 테이블을 복원하거나 업데이트하도록 각 클라이언트에 재구성 메시지를 전송할 수 있다.
· 일부 실시예들에서, DHCP 서버는 비휘발성 메모리 저장장치를 이용하여 바인딩 테이블을 복원할 수 있다.
3.4 DHCP 의 바인딩의 수명이 만료한 경우
본 섹션은 DHCP 바인딩의 수명이 만료한 경우에 DHCP 클라이언트가 동작하는 방법을 기술한다. 구현될 수 있는 다수의 잠재적인 방법들이 있다.
3.4.1 현재 DHCP 키를 유지하기
현재 방법은 DHCP 클라이언트 및 서버가 수명을 연장하기 위해 현재 키를 이용하는 것을 포함한다. 이러한 측면에서, "DHCP 수명 만료: 방법 1: 현재 DHCP 키를 유지하기"로 라벨링된 도 11은 이러한 현재 방법의 특징을 도시하고 있다. 도 11을 참조하면, 시스템은 바람직하게는 이하의 단계들을 수행한다:
(1) 첫 번째로, 도면에서 1로 도시된 바와 같이, DHCP 바인딩 업데이트를 위한 타이머가 만료한다.
(2) 두 번째로, 도면에서 2로 도시된 바와 같이, DHCP 서버 또는 클라이언트는 현재의 DHCP 키를 이용하여 DHCP 메시지 교환을 개시함으로써 수명을 연장시킨다.
3.4.2 재인증의 요구
본 발명의 양호한 실시예에 따르면, DHCP 메시지 교환에 앞서, 인증 세션을 갱신하라는 DHCP 클라이언트 요구를 가지는 것을 포함하는 다른 방법이 채용될 수 있다. 이러한 측면에서, "DHCP 수명 만료: 방법 2: 재인증의 요구"로 라벨링된 도 12는 본 실시예에 따른 예시적 특징들을 도시하고 있다. 도 11을 참조하면, 시스템은 바람직하게는 이하의 단계들을 수행한다:
(1) 첫 번째로, DHCP 바인딩 업데이트를 위한 타이머가 만료한다.
(2) 두 번째로, 도면에서 2로 도시된 바와 같이, 클라이언트는 인증자에게 DHCP 키를 재인증하고 업데이트하도록 요구한다. 일부 실시예들에서, DHCP 서버는 인증자에게 DHCP 키를 재인증하고 업데이트하도록 요구할 수 있다.
(3) 세 번째로, 도면에서 3으로 도시된 바와 같이, 인증자는 새로운 DHCP 키를 DHCP 서버에 전송한다. 바람직하게는, PANA 클라이언트는 DHCP 클라이언트에게 새로운 DHCP 키를 통지한다.
(4) 네 번째로, 도면에서 4로 도시된 바와 같이, 클라이언트는 새로운 DHCP 키를 이용하여 새로운 DHCP 세션을 시작한다.
3.5 새로운 인증 세션이 확립된 경우의 서버 양태
바람직한 실시예에 따르면, 인증 메시지가 교환되어 인증자와 클라이언트 사이에 새로운 DHCP 키를 생성하는 동안에, 인증자는 바람직하게는 DHCP 키가 성공적으로 DHCP 서버 상에 인스톨될 때까지는 새로운 인증 세션이 성공적으로 확립되었다는 것을 나타내는 메시지를 리턴하지 않을 것이다. 이와 같이, 클라이언트는 동시에 레이스 조건을 회피하면서 성공적인 인증 세션 확립 직후에, 새로운 키로 새로운 DHCP 세션을 시작할 수 있다.
파트 II : 네트워크 브리지 및 네트워크 액세스 인증의 바인딩
1. 현재의 방법
여기에 그 전체를 참조로 첨부한 인터넷 Draft-IETF-EAP-RFC2284bis-09는 확장 가능한 인증 프로토콜(EAP), 복수의 인증 방법을 지원하는 인증 프레임워크를 정의한다.
여기에 그 전체를 참조로 첨부한 인터넷 Draft-IETF-PANA-PANA-04는 네트워크 액세스를 위한 인증을 운반하기 위한 프로토콜(PANA), 클라이언트와 액세스 네트워크간의 네트워크 액세스 인증을 가능하게 하는 확장가능한 인증 프로토콜(EAP)에 대한 링크-레이어 어그노스틱 트랜스포트(link-layer agnostic transport)를 정의한다.
상기 설명된 바와 같이, RFC3118은 DHCP 메시지에 대한 인증을 기술하고, 이것은 인가 티켓이 생성될 수 있고 적절한 인가를 가지는 새롭게 부착된 호스트가 인증된 DHCP 서버로부터 자동으로 구성될 수 있는 DHCP 옵션을 정의한다.
상기 설명된 바와 같이, RFC3315는 IPv6에 대한 다이나믹 호스트 컨피규레이션 프로토콜(DHCPv6)을 정의한다. DHCPv6은 DHCP 서버가 IPv6 네트워크 어드레스와 같은 컨피규레이션 파라미터를 IPv6 노드에 패싱할 수 있게 한다. DHCPv6은 재사용 가능한 네트워크 어드레스의 자동 할당 및 추가적인 컨피규레이션 유연성의 성능을 제공한다. RFC3315는 DHCPv6에 대한 지연된 인증 프로토콜을 포함한다.
상기 설명된 바와 같이, Draft-Yegin-EAP-Boot-RFC3118-00.txt는 EAP-기반 네트워크 액세스 인증을 이용한 부트스트랩핑 RFC3118 지연된 DHCP 인증을 기술하고 있다. 이는 EAP-기반 네트워크 액세스 인증 메커니즘이 로컬 트러스트 관계를 확립하는데 이용되고 RFC3118과 조합하여 이용될 수 있는 키를 생성하는데 이용될 수 있는 방법을 기술하고 있다.
뿐만 아니라, 제목이 "Draft Stands for Local and Metropolitan Area Network: Standard for Port based Network Access Control"이고 여기에 참고로 그 전체를 첨부한 IEEE DRAFT P802.1X는 인증 및 결과적인 액션이 발생하는 아키텍쳐 프레임워크를 기술하고 있다. 그러나, 이는 스위치의 다른 물리적 포트간의 인터액션을 기술하지 않는다.
여기에 그 전체를 참고로 첨부한 Rich Seifert, JOHN WILEY & SONS, INC. ISBN0-471034586-5에 의한 스위치 북은 현재의 스위치 및 브리지가 동작하는 방법을 설명하고 있다.
2. 현재 방법의 한계
EAP 및 PANA는 네트워크 액세스에 대한 인증 프레임 워크를 제공한다. 뿐만 아니라, 지연된 DHCP 인증은 DHCP 패킷을 인증하는데 이용될 수 있다. 일단 이들 프로세스들이 수행되면, 클라이언트는 예를 들면 어플리케이션 데이터와 같은 패킷을 전송하고 수신하기 시작할 수 있다. 이 포인트에서, EAP/PANA 및 DHCP 인증은 더 이상 그러한 패킷들에 대해 패킷당 보호(per-packet protection)를 제공하지 못하고, 서비스 절도의 가능성이 있다.
"가능한 서비스 절도"로 라벨링된 도 13은 발생할 수 있는 서비스 절도의 일부 예들을 도시하고 있다. 도면에서 파트 (a)는 PAA, DHCP 서버, 라우터 및 일부 클라이언트(예를 들면, 클라이언트 1 및 공격자를 참고할 것)가 예를 들면 브로드캐스트 허브 또는 동축 케이블 이더넷과 같은 브로드캐스팅 LAN으로 접속되는 단순 액세스 네트워크를 도시하고 있다. 클라이언트1이 어플리케이션 서버(App)로서 도시된 네트워크 서비스를 이용하고 있는 경우, App 서버로부터 클라이언트1에 전송된 패킷은 LAN에 직접 접속된 모든 노드에 브로드캐스팅된다. 결과적으로, 공격자는 잠재적으로 App 서버로부터 패킷을 수신할 수 있다. 뿐만 아니라, 공격자는 소스 IP 어드레스를 스푸핑함으로써 이들이 클라이언트1로부터 전송된 것처럼 App 서버에 패킷을 전송할 수도 있다. 이것은 예시적으로 "서비스 절도"라 불려진다.
한편, 파트 (b)는 브로드캐스팅 매체 대신에 LAN으로서 L2 브리지를 이용하는 네트워크를 도시하고 있다. 브리지는 보통은 클라이언트 1에 어드레싱된 유니캐스트를 클라이언트1 이외의 다른 노드에는 전송하지 않는다. 그러나, 일단 공격자가 클라이언트1의 MAC 어드레스를 스푸핑하는 패킷을 전송하면, 브리지는 악의적인 정보에 따라 그 포워딩 데이터베이스를 업데이트하고, 클라이언트1에 어드레싱된 후속 패킷을 합법적인 클라이언트1 대신에 공격자에게 포워딩한다. 그러므로, 서비스 절도가 여전히 가능하다. 이들 공격 방법을 이용함으로써, 공격자는 어떠한 인증없이도 네트워크 액세스를 얻을 수 있다.
그러므로, 이들 환경에서 악의적인 공격자가 비인가된 네트워크 액세스를 얻는 것을 방지하는 새로운 방법이 필요하다.
3. 제안된 모델
3.1 네트워크의 예의 아웃트라인
"네트워크 예의 아웃트라인"으로 라벨링된 도 14는 네트워크 예를 도시하고 있다. 이러한 예시적인 예에서, 네트워크 액세스 제공자는 인증자인 PAA, DHCP 서버, 라우터 및 레이어 2 네트워크 브리지를 구비하고 있다. 브리지는 인증자 및 DHCP 서버를 위해 네트워크에 접속된 물리적 포트를 가지고 있다. 본 문서에서, 이러한 포트는 "서버 포트"로서 지칭된다. 도 14에서, P0로 명명된 포트가 서버 포트이다.
뿐만 아니라, 브리지는 또한 클라이언트 호스트 및 네트워크에 접속된 다른 물리적 포트를 가지고 있다. 이들은 "클라이언트 포트"로서 지칭된다. 예를 들면, 각 클라이언트 포트는 P1, P2 및 P3과 같은 이름을 가지고 있다. 도 14에 도시된 실시예에서, 라우터는 제공자 네트워크와, 예를 들면 인터넷과 같인 외부 네트워크를 접속시킨다. 도 14에 도시된 네트워크는 예에 불과하고 단지 설명의 목적으로만 이용된다는 것은 자명하다. 예를 들어, 다양한 다른 네트워크에서, 시스템은 복수의 인증자, 복수의 DHCP 서버, 복수의 라우터, 복수의 브리지 등이 존재할 수 있는 것과 같이, 실질적으로 가변할 수 있다.
3.2 포워딩 데이터베이스
기존의 네트워크 브리지는 MAC 어드레스와 브리지 포트간의 관계를 저장하는 포워딩 데이터베이스라 명명된 테이블을 가지고 있다. 본 발명의 양호한 실시예들에서, 다수의 새로운 타입의 포워딩 데이터베이스가 브리지에 유입된다.
3.2.1 인가된 포워딩 데이터베이스
제1 예시적인 새로운 데이터베이스는 바람직하게는 MAC 어드레스 및 포트 번호 쌍의 리스트를 포함하는 AFD(Authorized Forwarding Database)로 지칭된다. AFD의 예는 이하의 표 1에 도시되어 있다.
(표 1)
MAC 포트
MAC1 P1
MAC2 P2
MAC3 P3
MAC4 P3
MAC5 P3
바람직게는, AFD는 임의의 MAC 어드레스가 결코 2번 이상은 나타나지 않도록 유지된다. 바람직하게는, 주어진 MAC 어드레스의 레코드가 AFD에 존재하는 경우, 이는 MAC 어드레스를 가지고 있고 포트에 접속된 클라이언트 노드가 인증자에 의해 인증된다는 것을 의미한다. 바람직한 실시예들에서, 브리지에 접속된 모든 인증된 클라이언트 노드는 브리지의 AFD에 나타난다. 바람직하게는, 클라이언트와 인증자간의 인증 세션이 삭제된 경우, 클라이언트의 MAC 어드레스에 대응하는 레코드가 AFD로부터 즉시 제거된다. 바람직하게는, 레코드가 AFD로부터 제거되는 경우, 제거된 레코드의 MAC 어드레스에 대응하는 인증 세션이 즉시 삭제된다.
바람직한 실시예들에서, 인증자는 브리지가 AFD에서 레코드를 추가하거나 제거하도록 요구하도록 구성된다. 일부 실시예들에서, 클라이언트 노드의 물리적 분리는 예를 들면, 네트워크 제공자 및/또는 클라이언트 노드의 정책에 따라 AFD로부터 클라이언트의 레코드를 제거하거나 그렇지 않을 수도 있다.
· 예를 들면, 클라이언트 노드가 빈번하게 하나의 포트로부터 다른 포트로 스위칭하는 경우, 포트로부터 분리되는 경우에 즉시 AFD로부터 제거될 그 MAC 어드레스에 대응하는 레코드를 원할 수 있다.
· 그러나, 분리시 자동적인 DoS(Denial of Service) 공격을 더 용이하게 만들 수 있다. 예시적 위협 2 및 3으로 이하에 설명된 DoS 공격에 관한 이하의 설명을 보라.
3.2.2 비인가된 포워딩 데이터베이스
제2 예시적인 새로운 데이터베이스는 바람직하게는 AFD와 유사하게, MAC 어드레스 및 포트 번호 쌍의 리스트를 포함하는 UFD(Unauthorized Forwarding Database)로 지칭된다. 바람직하게는, 임의의 MAC 어드레스는 UFD에서 결코 2번 이상 나타나지 않는다. 바람직하게는, 시스템은 AFD 또는 UFD에 이미 존재하는 MAC 어드레스를 추가하는 것이 금지된다. 바람직한 실시예에서, 주어진 MAC 어드레스의 레코드가 UFD에 존재하는 경우, 이는, MAC 어드레스를 가지고 있고 포트에 접속한 것으로 여겨지는 클라이언트 노드가 인증자에 의해 아직 인증되지 않은 것을 의미한다.
바람직하게는, 클라이언트와 인증자간의 인증 세션이 확립된 경우(즉, 인증된 경우), 클라이언트의 MAC 어드레스에 대응하는 레코드가 UFD로부터 제거되어 AFD에 추가된다. 한편, 바람직하게는, 예를 들면, 에러 또는 타임아웃으로 인증 메시지 교환이 실패한 경우, 클라이언트에 대응하는 레코드가 바람직하게는 UFD로부터 제거된다.
양호한 실시예들에서, 레코드가 예를 들면 상기 설명된 바와 같은 이벤트 시 제거될 필요가 있는 경우, 인증자는 브리지가 UFD에서 레코드를 추가하거나 제거하는 것을 요구한다. 바람직하게는, UFD의 레코드가 수명을 가지고 있다. 바람직하게는, 수명의 상한이 있다. 수명을 초과하는 경우, 레코드는 바람직하게는 UFD로부터 제거된다. 일부 실시예들에서, UFD의 레코드가 클라이언트와 인증자간의 인증 메시지 교환 중간에 제거되는 경우, 인증이 즉시 실패한다.
레코드의 제거 및 인증 세션의 실패는 바람직하게는 동기되어 수행되어야 한다. 예를 들면, 동기화를 유지하는 간단한 방법은, 인증자만이 UFD의 레코드의 타임아웃을 결정한다는 것이다. 다른 실시예들에서, 동기화를 유지하는 임의의 다른 방법이 원하는 대로 채용될 수 있다.
바람직하게는, 브리지는 포트를 통해 MAC 어드레스로부터 패킷을 수신하고 MAC 어드레스가 임의의 포워딩 데이터베이스(들)에서 나타나지 않는 경우, MAC 어드레스 및 포트의 레코드가 UFD에 추가된다. 바람직하게는, 레코드는 수명의 상한이 지가거나 인증자가 레코드가 제거되도록 또는 AFD로 이동되도록 요구할 때까지 유지한다. 일부 실시예들에서, 인증 실패 또는 타임아웃이 발생하는 경우, 레코드는 다음 섹션에서 설명되는 페널티 리스트에 이동되거나 그렇지 않을 수도 있다.
일부 양호한 실시예들에서, 각 포트에 대한 최대 레코드 개수를 제한하는 것이 UFD를 오버플로우하는 것을 목표로 하는 종류의 DoS 공격을 방지하는데 도움을 주기 위해 채용될 수 있다. 동일한 포트 번호를 가지고 있는 레코드의 개수가 한계에 도달하는 경우, 브리지는 바람직하게는 포트에 대해 레코드를 추가하라는 요구를 거절하고, 그 포트에 대한 레코드의 개수가 특정 임계값 이하로 감소할 때까지 UFD의 존재하는 레코드와 매칭하지 않는 임의의 패킷을 차단시킨다.
일부 바람직한 실시예들에서, 브리지는 인증자 및/또는 다이나믹 호스트 컨피규레이션 서버(예를 들면, DHCP 서버)에게 UFD로의 레코드의 추가 및 UFD로부터 레코드의 제거를 즉시 통지한다. 통지는 바람직하게는, 레코드의 포트 번호 및 MAC 어드레스를 포함한다. 통지를 이용하여, 인증자 및/또는 다이나믹 호스트 컨피규레이션 서버는 각 클라이언트의 포트 식별자를 알 수 있다. 그러므로, 인증자 및/또는 다이나믹 호스트 컨피규레이션 서버는 포트 식별자에 따라 의심스러운 클라이언트로부터의 요구를 차단할 수 있다. "레코드 추가/제거의 통지"라고 캡션된 도 14a를 보라. 도 14a에 도시된 예시적 예에서, 클라이언트1에 대한 레코드가 추가 또는 제거되고, 브리지 B1이 통지 메시지를 인증자(예를 들면, Pana 인증 에이전트[PAA]) 및/또는 다이나믹 호스트 컨피규레이션 서버(예를 들면, DHCP 서버)에게 송신하는 것으로 도시되어 있다.
일부 양호한 실시예들에서, 브리지는 UFD의 레코드에 관해 인증자 및/또는 다이나믹 호스트 컨피규레이션 서버(예를 들면, DHCP 서버)로부터의 질의에 답변할 수 있으므로, 인증자 및/또는 DHCP 서버는 클라이언트의 포트 식별자를 알 수 있다. 일부 실시예들에서, 인증자 및/또는 DHCP 서버는 예를 들면, 포트 식별자에 따라 의심스러운 클라이언트로부터의 요구를 차단할 수 있다. "UFD 레코드에 관한 질의/답변"으로 캡션된 도 14b를 보라. 도 14b에 도시된 예시적 예에서, 인증자(예를 들면, Pana 인증 에이전트[PAA]) 및/또는 다이나믹 호스트 컨피규레이션 서버(예를 들면, DHCP 서버)는 예를 들면, 클라이언트1(MAC1)이 어떤 포트 번호를 가지고 있는지를 묻는 질의를 브리지 b1에 전송한다. 그러면, 브리지 B1은 클라이언트1(MAC1)의 레코드를 체크한다. 그리고나서, 브리지 B1은 인증자 또는 다이나믹 호스트 컨피규레이션 서버에 답변한다.
3.2.3 페널티 리스트
제3 예시적인 새로운 데이터베이스는 AFD 및 UFD와 같이 MAC 어드레스 및 포트 번호 쌍의 리스트를 포함하는 페널티 리스트(PL)로서 지칭된다. 바람직하게는, PL의 레코드는 예를 들면, 타임아웃을 다루는 시간 스탬프 또는 타이머와 같은 타임아웃 정보를 가지고 있다. 바람직하게는, PL의 각 레코드는 구현에 따라 정적으로 특정 길이로 설정되거나 다이나믹하게 변경될 수 있는 수명(lifetime)을 가지고 있다. 수명 타이머가 만료하는 경우, 레코드는 바람직하게는 자동으로 PL로부터 제거된다.
바람직하게는, MAC 어드레스는 PL에서 2번 이상 나타날 수 있지만, MAC 어드레스와 포트의 조합은 바람직하게는 PL에서 고유하다. 페널티 리스트의 예가 아래의 표 2에 도시되어 있다.
(표 2)
* MAC 포트 타임아웃 정보
MAC1 P2 30초에 만료됨
MAC3 P2 10초에 만료됨
MAC3 P3 20초에 만료됨
다양한 실시예들에서, 칼럼 "타임아웃 정보"의 실제 포맷은 구현 환경에 따라 좌우될 수 있다. 예를 들어, 하나의 예시적인 구현은 만료될 때까지 남은 초를 저장할 수 있다(예를 들면, 표 2에 도시된 예). 다른 예로서, 다른 구현은 레코드가 PL에 추가되는 때, 그 날의 시간을 저장할 수 있고, 만료 시간을 다이나믹하게 결정할 수 있다.
일부 다른 실시예들에서, PL은 레코드에 "카운터"필드를 포함하도록 확장될 수 있다. 이러한 측면에서, MAC 어드레스와 포트의 동일한 조합이 PL에 추가되도록 요구되는 경우, 조합을 위한 카운터는 바람직하게는 증가된다. 일부 실시예들에서, 네트워크 관리자는 카운터가 특정 값에 도달될 때까지 블록킹을 시작하지 않도록(예를 들면, 특정 값에 도달할 때 블록킹을 시작하도록) 브리지를 구성하거나 그렇지 않을 수도 있다. 다른 것들 중에서도, 이것은 사용자가 패스워드 타이핑 및/또는 다른 정직한 에러 이후에 바로 인증을 시도할 수 있도록 할 수 있다. 바람직하게는, 카운터에 대한 상한 임계값은 과도한 오류 액세스를 방지하기 위해, 동일한 MAC 어드레스 및 포트 조합으로부터의 임의의 추가 액세스를 차단하는데 이용될 수 있다.
뿐만 아니라, 포트당 레코드의 최대 개수를 제한하는 것은, PL 오버플로우를 시도하려고 하는 DoS 공격 종류를 방지하는 좋은 방식이다. 바람직하게는, 동일한 포트 번호 P를 가지는 레코드의 개수가 한계에 도달하는 경우, 브리지는 "와일드카드"레코드(*, P)를 추가하고 포트 번호 P를 가지는 다른 레코드를 제거하여 PL에 대한 여지를 만든다. 와일드카드 레코드는 예를 들면 허용되는 최대 수명을 가질 수 있다. 뿐만 아니라, 와일드카드 레코드는 카운터에 관계없이 효과를 발휘할 수 있다. 바람직하게는, 와일드카드 레코드는 UFD 또는 AFD의 레코드를 매칭하는 패킷에 영향을 미치지 않는다. 포트 P에 대해 와일드카드 레코드가 있는 경우, 브리지는 바람직하게는 포트 P로부터 임의의 매칭되지 않은 패킷을 차단한다.
3.2.4 패킷 필터링
바람직한 실시예에서, 브리지는 상기 설명된 AFD, UFD 및 PL 포워딩 데이터베이스에 따른 패킷을 필터링한다. 바람직하게는, 레코드의 MAC 어드레스 필드가 패킷의 소스 MAC 어드레스와 동일하고 레코드의 포트 번호 필드가 P를 포함하는 경우, 클라이언트 포트 P에서 수신된 패킷은 포워딩 데이터베이스의 레코드와 정확하게 매칭하는 것으로 간주된다. 한편, 바람직하게는, 레코드의 MAC 어드레스 필드가 패킷의 목적지 MAC 어드레스와 동일한 경우에, 서버 포트에서 수신된 패킷은 포워딩 데이터베이스의 레코드와 정확하게 매칭하는 것으로 간주된다.
예를 들어, "패킷 필터링"으로 라벨링된 도 15는 본 발명의 일부 예시적 실시예에 따른 일부 패킷 필터링 스키마를 예시하고 있다.
바람직한 실시예들에서, 각 패킷은 필터링 목적을 위해 이하의 방식으로(즉, 적어도 일부, 바람직하게는 이하의 스키마의 전부에 따라) 체크된다:
· 패킷이 AFD의 레코드와 정확하게 매칭하는 경우, 브리지는 패킷을 포워딩한다. 예를 들면, 도 15에 도시된 포트1의 MAC1을 보라.
· 패킷이 UFD의 레코드와 정확하게 매칭하는 경우, 브리지는 패킷의 IP 헤더를 조사한다. 패킷이 액세스 네트워크 외부의 노드에 어드레싱되는 경우, 브리지는 패킷을 차단한다. 그렇지 않으면, 액세스 네트워크 내부의 노드에 어드레싱되는 경우, 브리지는 인가된 타입의 패킷을 포워딩할 수 있다. 예를 들어, 수개 타입의 패킷이 브리지에 의해 포워딩될 수 있다. 일부 예시적 실시예들에서, 인가된 타입의 패킷은 인증(PANA) 메시지 및 DHCP 메시지를 포함할 수 있다. 예를 들면, 도 15에 도시된 포트3의 MAC3을 보라.
· 패킷이 PL의 레코드와 정확하게 매칭하는 경우, 브리지는 패킷을 차단한다. 예를 들면 도 15의 포트4의 MAC3을 보라.
· 패킷이 클라이언트 포트에서 수신되었고 소스 MAC 어드레스가 AFD 또는 UFD의 레코드에서 발견된 경우, 브리지는 패킷을 차단한다. 예를 들면, 도 15의 포트3의 MAC1을 보라.
3.3 포트 식별자 태그
3.3.1 포트 식별자 태그에 대한 일반적 설명
본 문서에서, 브리지의 식별자(즉, 브리지 식별자) 및 포트 번호의 조합은 "포트 식별자"로 지칭된다. 바람직하게는, 브리지 식별자는 액세스 네트워크에 이용된 브리지들 중에서 고유하다.
바람직한 실시예에서, 포트 식별자는 바람직하게는 패킷에 부착된다. 본 공보에서, 이것은 "포트 식별자 태그"(PIT)로 지칭된다. 포트 식별자 태그 특징이 가능한 경우, 브리지는 인증자 또는 DHCP 서버에 어드레싱된 패킷에 포트 식별자를 태깅하고, 원래의 패킷 대신에 태깅된 패킷을 포워딩한다. 브리지가 인증자 또는 DHCP 서버로부터 전송된 태깅된 패킷을 수신하는 경우, 브리지는 태그의 포트 식별자를 조사하고 태깅되지 않은 패킷을 태그에 지정된 포트에 포워딩한다.
"포트 식별자 태그를 가진 포워딩"으로 라벨링된 도 16은 2개의 브리지를 채용하는 예시적이고 비제한적인 예를 도시하고 있다. 브리지 1의 포트 1에 접속된 노드는 패킷을 PAA에 전송하고 있다. 이러한 측면에서, 브리지 1은 포트 식별자 태그 "B1:P1"을 패킷에 부착하고, 이는 패킷이 브리지 1(B1)의 포트 1(P1)로부터 전송되었다는 것을 보여주고 있다. 그리고 나서, 태깅된 패킷이 PAA에 전송된다. 원래 패킷의 목적지 MAC 어드레스가 유니캐스트 어드레스인 경우(예를 들면, 하나의 수신기에 통신되는 경우), 목적지 IP 어드레스를 결정하는 것은 다소 사소하다. 예를 들면, 목적지 IP 어드레스는 PIT 노드 테이블(예를 들면, 도 18을 보라)에서 발견될 수 있다. ARP(Address Resolution Protocol) 테이블을 룩업하는 것은 다른 가능한 구현이다. 원래 패킷의 목적지 MAC 어드레스가 브로드캐스트 어드레스(예를 들면, 누구에게나 통신됨) 또는 멀티캐스트 어드레스(예를 들면, 복수의 수신기에 통신됨)인 경우, 더 많은 디자인 선택 구현이 있을 수 있고, 그 일부가 이하에 제시된다:
· 브리지는 브로드캐스트 또는 멀티캐스트 어드레스에 대한 PIT 노드 테이블 레코드에 발견된 각각의 IP 어드레스에 유니캐스트 패킷을 전송할 수 있다.
· 브리지는 브로드캐스트 또는 멀티캐스트 패킷에 대해 미리 구성된 미리-공유된 키(PSK)를 이용하여 브로드캐스트 또는 멀티캐시트 패킷을 전송할 수 있다.
· 브리지는 패킷의 IP 헤더를 조사하고, 어떤 서비스를 원하는지를 결정한다. 예를 들어, 패킷이 UDP 패킷이고 그 목적지 포트가 부트스트랩 프로토콜(BOOTP) 서버 포트인 경우, 브리지는 패킷을 BOOTP(또는 DHCP) 서버에 포워딩한다.
도 16에서, DHCP 서버는 또한 브리지 2의 포트 3에 접속된 노드에 패킷을 전송하고 있다. 이러한 측면에서, DHCP 서버는 바람직하게는 포트 식별자 태그 "B1:P3"을 가지는 패킷을 준비하고, 이를 브리지 2에 전송한다. 브리지 2는 패킷으로부터 포트 식별자 태그를 분리하고 패킷을 포트 3을 통해 목적지에 포워딩한다. 유의할 점은, 다른 포트 상에 동일한 MAC3을 가지는 다른 노드가 있더라도, 브리지 2가 바람직하게는 포트 식별자에 따라 포트 3을 통해 패킷을 포워딩한다는 점이다. MAC 어드레스가 바람직하게는 세상에서 고유할 수도 있지만, 실제로는 보통의 경우에는 거의 발생하지 않는다. 그러나, 악의적인 스푸핑 노드(malicious spoofing nodes)가 존재할 수 있는 경우, 포트 식별자에 의해 동일한 MAC 어드레스를 가지는 노드를 서로 구별하는 것이 매우 유익할 수 있다.
3.3.2 세션 식별
일부 네트워크 서버는 그 클라이언트 노드의 MAC 어드레스에 의해 세션을 구별한다. PAA(PANA 서버) 및 DHCP 서버는 이들 서버 타입의 예들이다. 그러나, 복수의 노드가 우연한 및/또는 고의적인 공격으로 인해 동일한 MAC 어드레스를 가질 수 있다고 가정하는 경우, MAC 어드레스는 세션을 식별하기에 충분한 것은 아니다.
이러한 측면에서, "PIT로 세션 식별"로 라벨링된 도 17은 도면의 좌측에 현재의 브리지 및 서버(예를 들면, PAA)에 대한 문제들을 도시하고 있다. 일부 양호한 실시예들에 따르면, 포트 식별자 태그가 이용 중인 경우, 포트 식별자 및 MAC 어드레스의 조합은 세션을 서로 구별하는데 이용될 수 있다. 도 17의 우측은 포트 식별자 및 MAC 어드레스의 조합이 세션을 구별하는데 유익하게 이용될 수 있는 방법을 증명하고 있다. 바람직하게는, 브리지는 PIT-인에이블된 서버에 어드레싱된 패킷만이 태깅되도록 구성 가능할 것이다.
3.3.3 포트 식별자 태그에 대한 보안 고려
포트 식별자 태그는 강력하여 바람직하게는 잘못되거나 악의적인 이용으로부터 멀어지게 할 것이다. 공격자가 공격 툴로서 PIT를 이용하는 것을 금지하기 위해, 클라이언트 포트로부터 전송된 PIT를 가지는 패킷을 차단하도록 브리지를 구성하는 것이 바람직하다. 예를 들면, 도 16을 참조하면, 일부 바람직한 실시예에서, 브리지 1 및 브리지 2는 포트 1 내지 4를 통해 전송된 임의의 PIT 패킷을 폐기하고 도면에서 포트 0을 통해서만 전송된 PIT를 수락하도록 구성될 수 있다. 뿐만 아니라, 예를 들면 인터넷과 같은 외부 네트워크로의 접속이 있는 경우, 게이트웨이 라우터 또는 방화벽은 바람직하게는, 외부 네트워크로부터 전송되고 및/또는 이것으로 전송되는 PIT 패킷을 폐기하도록 구성되어야 한다.
PIT의 신뢰성을 증가시키는 다른 방법은 메시지 인증을 위해 HMAC(메시지 인증을 위한 키잉된-해싱(Keyed Hashing): 해시 함수 기반 메시지 인증 코드) 또는 유사한 기술을 이용하는 것이다.
3.3.4 포트 식별자 태그의 잠재적인 구현
일부 예시적인 실시예들에서, PIT를 구현하는 다수의 방법들은 예를 들면 이하를 포함한다:
· UDP/IP 인캡슐레이션;
· 새로운 에테르타입;
· 새로운 IP 옵션.
"PIT 메시지 포맷의 예"로 라벨링된 도 18은 UDP/IP 인캡슐레이션이 채용되는 예시적이고 비제한적인 실시예를 도시하고 있다. 도 18은 브리지가 클라이언트 포트에서 수신된 이더넷 프레임으로부터 UDP/IP 인캡슐레이션 패킷을 구성할 수 있는 방법을 증명하고 있다. 바람직한 실시예들에서, 브리지는 이하와 같이 패킷을 다룬다.
1. 브리지는 패킷을 체크하여 AFD, UFD 및 PL에 따라 패킷이 포워딩되거나 차단되어야 하는지 여부를 결정한다. 패킷이 차단되는 경우, 이는 폐기된다.
2. 브리지는 바람직하게는 MAC 어드레스에 의해 인덱싱된 IP 어드레스 및 PSK(Pre-shared Keys)의 레코드를 포함하는 예를 들면 "PIT 노드 테이블"과 같은 테이블의 목적지 MAC 어드레스를 룩업한다. 일부 실시예들에서, PIT 노드 테이블은 관리자에 의해 브리지에서 미리 구성될 수 있다. 바람직하게는, 이더넷 패킷의 목적지 MAC 어드레스가 테이블에서 발견되지 않는 경우, 패킷은 PIT 없이 보통의 방식으로 포워딩될 것이다.
3. 브리지는 원래의 이더넷 패킷을 인캡슐레이팅하는 새로운 UDP/IP 패킷을 구성한다. 목적지 IP 어드레스는 PIT 노드 테이블의 레코드로부터 복사된다. 레코드는 목적지 IP 노드에서 PIT 패킷을 수신하는 UDP 포트 번호를 포함할 수 있다. 소스 IP 어드레스는 브리지 자체의 IP 어드레스일 수 있다. 브리지 식별자가 그 IP 어드레스에 의해 표현되는 경우, 이하 "브리지 식별자" 필드가 생략되어 PIT 패킷의 크기를 감소시킬 수 있다. 브리지는 또한 "브리지 식별자"필드 및 "브리지 포트 번호"필드를 포함하는 PIT-특정 필드를 채운다. 브리지 식별자는 네트워크에 이용된 모든 브리지들 중에서 고유한 번호이다. 네트워크의 관리자는 각 브리지에 대해 그러한 것을 미리-구성할 수도 있다. 브리지 포트 번호는 브리지의 포트를 식별하는 것이다. HMAC 필드는 예를 들면, PIT 패킷을 인증하는데 이용될 수 있다. 브리지는 바람직하게는, PIT 노드 테이블의 레코드의 PSK를 이용하여 PIT 메시지의 HMAC를 계산한다. HMAC는 바람직하게는 전체 IP 데이터그램에 걸쳐 계산된다.
* 3.4 브리지에 대한 다른 고려
일부 바람직한 실시예들에서, PAA 및/또는 DHCP 서버의 위조를 방지하기 위해, 브리지는 클라이언트 포트로부터 다른 클라이언트 포트로 PANA 및 DHCP 패킷을 포워딩하지 않도록 구성될 수도 있다.
4. 구현 예
이하의 서브섹션에서, 2개의 예시적인 구현 예들이 기재된다. 본 공보에 기초하여 이들이 단지 예시적인 예들에 불과하다는 것은 자명하다.
4.1 제1 구현예
4.1.1 제1 예의 시나리오
제1 예시적 구현에 따르면, 시스템은 AFD, UFD 및 선택적으로는 PL을 채용할 수 있다. 바람직한 실시예들에서, 시스템은 이하의 적어도 일부, 바람직하게는 모두를 수행할 것이다.
1-A. "예 1: 단계 1-A"로 라벨링된 도 19를 참조하면, 클라이언트(클라이언트1)가 액세스 네트워크에 접속하기 시작하는 상황을 참조한다. 여기에서, 클라이언트1은 브리지(B1)의 포트1(P1)에 접속되고, 부팅 동안에 제1 패킷을 전송한다. 예를 들면, 이것은 라우터 솔리시테이션(solicitation) 메시지, DHCP 발견/솔리시트(Discover/Solicit) 메시지 또는 다른 형태의 메시지(들)와 관련될 수 있다.
2-A. "예 1: 단계 2-A"로 라벨링된 도 20을 참조하면, 소스 MAC 어드레스(MAC1)가 AFD, UFD 및 PL에 발견되지 않으므로, 브리지는 클라이언트 1에 대해 UFD에 새로운 레코드를 추가한다(또는 인증자에게 브리지를 추가하도록 요청할 수 있음). 바람직하게는, 브리지(또는 인증자)는 새로운 타이머를 시작하여 새로운 레코드의 만료를 유지한다.
3-A. "예 1: 단계 3A"로 라벨링된 도 21을 참조하면, 클라이언트1은 부트스트랩동안에 메시지 교환으로 진행한다. 이들 메시지 교환들은 예를 들면, IP 어드레스 자동-컨피규레이션 또는 DHCP 메시지 및 PANA 인증 메시지를 포함할 수 있다. 바람직하게는, 네트워크 접속을 시작하는데 필요한 이들 메시지들은, 클라이언트1이 UFD에 레코드를 가지고 있으므로 포워딩되도록 허용된다.
4-A. "예 1: 단계 4A"로 라벨링된 도 22를 참조하면, 클라이언트1이 성공적으로 인증되는 경우, 인증자는 브리지(B1)가 UFD의 클라이언트1 레코드를 AFD에 이동하도록 요구한다.
5-A. "예 1: 단계 5A"로 라벨링된 도 23을 참조하면, 클라이언트1은 다른 어플리케이션에 대한 메시지 교환을 시작한다. 이러한 측면에서, 브리지(B1)는 바람직하게는 클라이언트1(MAC1: P1)에 대한 레코드가 AFD에 존재하고 있으므로, 임의의 인가된 패킷을 포워딩한다.
한편, 클라이언트 1이 인증에서 실패하거나 UFD의 클라이언트1 레코드가 상기 단계 3-A 동안에 만료된 경우, 단계 4-A 내지 5-A는 바람직하게는 이하의 단계 4-B 내지 6-B로 대체된다.
4-B. "예 1: 단계 4B"로 라벨링된 도 24를 참조하면, 클라이언트 1에 대한 레코드가 UFD에서 제거된다.
5-B. "예 1: 단계 5B"로 라벨링된 도 25를 참조하면, 선택적으로는, 새로운 레코드(MAC1, P1)가 PL에 추가된다. 이러한 측면에서, 클라이언트 1로부터 및/또는 그것에 포워딩된 임의의 패킷은 바람직하게는, 레코드가 PL에서 지속되는 기간 동안에 브리지 B1에 의해 금지된다.
6-B. 이 단계에서, 클라이언트1은 단계 1-A로 다른 인증 시작을 다시 한번 시도하거나 그렇지 않을 수도 있다.
4.1.2 보안 고려
4.1.2.1 위협 1: 스푸핑에 의한 서비스 절도
"예 1: 위협 1"로 라벨링된 도 26을 참조하면, 일부 경우에, 클라이언트1이 인증된 후 또는 클라이언트 1이 인증되기 바로 이전 순간에, 공격자는 클라이언트 1의 MAC 어드레스 MAC1을 스푸핑하는 동안에 패킷을 전송할 수 있다. 예를 들면, 이것은 브리지가 악의적인 정보에 따라 그 포워딩 데이터베이스(들)를 업데이트하도록 하고 클라이언트 1에 어드레싱된 후속 패킷을 합법적인 클라이언트 1 대신에 공격자에게 포워딩하게 할 목적으로 수행될 수 있다. 이것은 예시적인 서비스 절도 공격이다.
그러나, P1 이외의 포트를 통한 MAC1로부터/로의 임의의 패킷 교환은 바람직하게는, 레코드(예를 들면, MAC1, P1)가 AFD 및 UFD 중 어느 하나에 존재하는 주기 동안에 금지된다. 결과적으로, 이러한 타입의 공격은 상기 언급된 단계 5-A(즉, AFD는 레코드를 가지고 있다) 및 단계 2-A 내지 4-A(즉, UFD가 레코드를 가지고 있다) 동안에 실패할 것이다.
4.1.2.2 위협 2: 인증없는 DoS 공격
도 27-29를 참조하면, 일부 경우에, 공격자는 클라이언트 1의 네트워크로의 제1 접속 이전에 클라이언트 1의 MAC 어드레스 MAC1을 스푸핑하는 패킷을 전송할 수 있다. 예를 들면, 공격자가 MAC1을 스푸핑하는 패킷을 브리지에 전송하는 경우, 브리지는 UFD에 새로운 레코드를 생성하여, 나중에 클라이언트 1에 전송된 패킷은 레코드가 존재하는 동안에 브리지에 의해 차단될 것이다.
그리고 나서, 공격자는 단계 1-A 내지 3-A 및 단계 4-B 내지 6-B를 반복할 수 있다. 공격자의 상태가 단계 1-A 및 4-B 사이에 있는 주기 동안에, 합법적인 클라이언트 1은 네트워크로의 액세스를 얻을 수 없을 것이다. 이것은 다른 예시적인 타입의 DoS 공격이다. "예 1: 위협 2: (단계 1-A 내지 3-A 및 4-B)"로 라벨링된 도 27은 그러한 DoS 공격을 예시하고 있다.
뿐만 아니라, 공격자가 그 인증 시도에서 실패하고 단계 5-B가 인에이블된 경우, 공격자에 대한 레코드(MAC1, P2)가 페널티 리스트(PL)에 추가될 것이다. 그러나, 레코드가 지속되는 기간 동안에, 클라이언트 1은 UFD에서 클라이언트 1에 대한 레코드(MAC1, P1)를 생성하는 브리지에 패킷을 전송하지 않을 수도 있다. 그러나, 일단 클라이언트 1이 UFD의 레코드를 얻으면, 클라이언트 1은 공격자에 의해 방해받지 않고 인증을 시도할 수 있다. 공격자가 DoS 공격을 위해 복수의 포트를 이용할 수 있는 경우, 공격자는 PL에 있는 다른 공격 노드로 시간 지속기간(time durations)을 잠재적으로 채울 수 있다.
"예 1: 위협 2: 동시 공격"로 라벨링된 도 29를 참조하면, 차트 (1)은 복수의 포트로부터의 이러한 동시 DoS 공격을 도시하고 있다. 차트 (1)에서, 공격자는 포트 P2, P3 및 P4를 이용하고 있고 브리지에 스푸핑 패킷을 반복적으로 전송하려고 시도하고 있다. 시간 0에서, P2에서의 노드는 패킷을 전송하고 UFD의 레코드를 획득한다. 그러므로, 이는 포트 P1에서의 피해자가 브리지를 통해 패킷을 전송하는 것을 방지한다. UFD의 공격 레코드는 시간 1에서 만료하지만, P3에서의 다른 공격 노드는 패킷을 브리지에 전송하고 UFD의 레코드를 얻는다. 이러한 레코드는 시간 2에서 만료하지만, P4에서의 또 다른 노드는 UFD의 레코드를 얻는다. 이러한 레코드가 만료되는 경우, 제1 노드 P1은 패킷을 다시 전송하도록 인에이블되게 된다. 예시된 바와 같이, 이들 단계들은 DoS 조건을 생성하도록 반복될 수 있다.
일부 실시예들에서, 이러한 타입의 공격에 대한 하나의 예시적인 솔루션은 동일한 MAC 어드레스를 가지는 UFD 및 PL 레코드의 개수에 비례하여 PL 레코드의 수명을 증가시키는 것이다. 이러한 타입의 솔루션의 예시적인 예는 도 29의 차트 (2)에 도시되어 있다. 차트 (2)에 예시된 바와 같이, P2에서의 공격 노드는 패킷을 전송하고 시간 0에서 UFD의 레코드를 얻으며, P3에서의 노드는 시간 1에서 하나의 레코드를 얻는다. P3에서의 노드에 대한 UFD 레코드는 시간 2에서 만료하고 레코드(MAC1, P3)가 PL로 이동된다. 그러나, 차트 (1)에 도시된 것과 대조적을, 이러한 시간, PL 레코드의 수명은 UFD의 유사한 레코드 및 PL의 레코드의 개수에 비례하여 계산된다. 이러한 예에서, 시간 2에서, UFD 및 PL에 MAC1을 가지는 2개의 레코드가 있다. 따라서, 레코드의 수명이 2배가 된다. 시간 3에서, P4에서의 노드가 PL로 이동된다. 따라서, UFD 및 PL에 3개의 MAC1 레코드가 있으므로, 그에 대한 수명이 3배가 된다. 결과적으로, P1에서 합법적인 노드는 시간 4와 6 사이 및 시간 7과 9 사이에서 브리지에 패킷을 전송할 일부 기회를 가진다.
다른 실시예들에서, PL 구현의 추가 가능한 확장은 MAC 어드레스 및 포트의 동일한 조합이 PL에 반복적으로 추가되는 경우에 증가하는 레이트 또는 지수함수적으로 PL 레코드의 수명을 증가시키는 것을 포함할 수 있다. 이것은 본 섹션에 기재된 DoS 공격이 훨씬 실행가능할 수 없게 만들 것이다. 그러나, 이는 다른 타입의 DoS 공격을 더 쉽게 만들게 한다. 그러한 측면에서, 공격자 및 피해자가 동일한 포트 P1을 이용하는 경우, 공격자는 P1로부터 과도한 횟수로 MAC 어드레스 MAC1을 PL에 추가하려고 시도할 수 있다. 그 후, 피해자는 MAC 어드레스가 MAC1인 노드를 포트 1에 접속하려고 시도할 수 있지만, PL의 레코드(MAC1, P1)가 지수함수적으로 큰 지속기간을 가지고 있으므로 실패할 수 있다. 이러한 나중 타입의 DoS 공격을 방지하기 위해, 그러한 지수함수적 증가에 대해 적당한 상한 시간 제한이 유용할 수 있다.
4.1.2.3 위협 3: 인증을 가지는 DoS 공격
"예 1: 위협 3"으로 라벨링된 도 30을 참조하면, 제1 사용자 "사용자 1"이 노드 "클라이언트 1"을 이용하고 제2 사용자 "사용자 2"가 노드 "클라이언트 2"를 이용하는 상황이 고려된다. 도시된 바와 같이, 클라이언트 1은 P1에 접속되고, 클라이언트 2는 P2에 접속된다. 이러한 예에서, 각 사용자, 사용자 1 및 사용자 2는 인증자에 대해 그 자신의 어카운트를 가지고 있다. 사용자 1이 네트워크에 접속하는 것을 방지하기 위해, 공격자 사용자 2는 클라이언트 2를 네트워크에 접속시키고, 클라이언트 1의 MAC 어드레스를 스푸핑한다. 사용자 2가 인증에 실패한 경우, 이전 섹션에서 기술된 위협 2의 경우와 유사하다. 그러나, 이 때, 사용자 2는 인증자에 대해 유효 어카운트를 가지고 있으므로, 사용자 자신의 사용자 자격증명을 이용하여 인증될 수 있다. 클라이언트 2가 사용자 2의 자격증명을 이용하여 인증되기 때문에, 클라이언트 2에 대한 레코드가 AFD에 생성된다. 따라서, 클라이언트 1이 브리지 B1로부터 접속하는 것으로부터 디스에이블될 수 있다. 이러한 타입의 공격을 방지하기 위해, 네트워크 관리자는 잘못을 저지르는 사용자 2의 자격증명을 취소할 수 있다. 다르게는, 관리자는 사용자 1의 자격증명만이 MAC1의 인증에 이용될 수 있도록 인증자를 구성할 수 있다.
일부 실시예들에서, 인증자는 클라이언트의 포트 식별자를 알 수 있으므로, 인증자에 대해 더 유연한 컨피규레이션이 가능하다. 예를 들면, 이하의 섹션 4.2.2.3의 마지막에 리스트된 예들을 보라.
4.2 제2 구현예
4.2.1 제2 예의 시나리오
제2 예시적 구현에 따르면, 시스템은 AFD, PIT 및 선택적으로는 PL을 채용할 수 있다. 양호한 실시예들에서, 시스템은 이하의 적어도 일부, 바람직하게는 모두를 수행할 것이다:
1-A. "예 2: 단계 1-A"로 라벨링된 도 31을 참조하면, 그러한 예시적 환경에서, 클라이언트(클라이언트1)가 액세스 네트워크에 접속하기 시작한다. 도시된 바와 같이, 클라이언트1은 브리지(B1)의 포트1(P1)에 접속되고, 부팅 동안에 제1 패킷을 전송한다. 이러한 메시지는 라우터 솔리시테이션(solicitation) 메시지, DHCP 발견/솔리시트 메시지 또는 다른 메시지(들)일 수 있다.
2-A. "예 2: 단계 2-A"로 라벨링된 도 32를 참조하면, 소스 MAC 어드레스(MAC1)가 AFD 및 PL에서 발견되지 않으므로, 브리지는 클라이언트 1로부터 전송된 패킷에 PIT에 부착하고 이를 PIT 노드 테이블에서 발견된 목적지 노드에 포워딩한다. 도 32의 예에 도시된 바와 같이, 원래의 패킷의 목적지 어드레스가 브로드캐스트 어드레스이므로, 브리지는 패킷을 PAA 및 DHCP 서버에 전송한다. 상기 설명된 바와 같이, 브로드캐스트 패킷에 대해 다른 구현이 이용될 수도 있다.
3-A. "예 2: 단계 3-A"로 라벨링된 도 33을 참조하면, DHCP 서버는 클라이언트 1에 응답을 전송하고, 요구 패킷으로부터 복사된 PIT를 부착한다.
4-A. "예 2: 단계 4-A"로 라벨링된 도 34를 참조하면, 브리지는 패킷으로부터 PIT를 분리하고 이를 PIT에서 발견된 포트에 포워딩한다.
5-A. "예 2: 단계 5-A"로 라벨링된 도 35를 참조하면, 클라이언트1은 부트스트랩 동안에 메시지 교환으로 진행한다. 이들은 예를 들면, IP 어드레스 자동-컨피규레이션 또는 DHCP 메시지 및 PANA 인증 메시지를 포함할 수 있다.
6-A. "예 2: 단계 6-A"로 라벨링된 도 36을 참조하면, 클라이언트 1이 성공적으로 인증된 경우, 인증자는 브리지(B1)에게 클라이언트 1에 대해 AFD에 새로운 레코드를 추가하도록 요구한다.
7-A. "예 2: 단계 7-A"로 라벨링된 도 37을 참조하면, 클라이언트 1은 다른 어플리케이션에 대한 메시지 교환을 시작한다. 그러한 측면에서, 브리지(B1)는 클라이언트 1에 대한 레코드(MAC1: P1)가 AFD에 존재하므로 임의의 인가된 패킷을 포워딩한다.
일부 양호한 실시예들에서, 클라이언트 1이 상기 단계 5-A에서 인증에 실패하는 경우, 인증자는 브리지에게 클라이언트 1에 대해 PL에 새로운 레코드를 추가하도록 요구한다.
4.2.2 보안 고려
4.2.2.1 위협 1: 스푸핑에 의한 서비스 절도
도 38-39를 참조하면, 일부 경우에, 클라이언트 1이 인증된 후 또는 클라이언트 1이 인증되기 바로 이전 순간에, 공격자는 클라이언트 1의 MAC 어드레스 MAC1을 스푸핑하는 패킷을 전송할 수 있다. 이것은 브리지가 악의적인 정보에 따라 그 포워딩 데이터베이스(들)를 업데이트하도록 하고 클라이언트 1에 어드레싱된 후속 패킷을 합법적인 클라이언트 1 대신에 공격자에게 포워딩하게 할 목적으로 수행될 수 있다. 그러나 인증자 및 DHCP 서버는 바람직하게는 MAC 어드레스뿐만 아니라 포트 식별자에 의해 세션을 구별한다. 따라서, 이들은 다른 포트로부터 전송된 패킷을 스푸핑함으로써 혼동되지 않아야 한다. "예 2: 위협 1&2: 단계 5-A에서의 복수의 세션"으로 라벨링된 도 38을 보라. 뿐만 아니라, 일단 클라이언트 1이 인증되고 클라이언트 1에 대한 레코드가 단계 6-A에서 AFD에 추가되면, P1 이외의 포트를 통한 MAC1로부터 및/또는 그것으로의 임의의 패킷 교환이 금지될 것이다. 결과적으로, 이러한 타입의 공격은 실패할 것이다. "예 2: 위협 1&2: 단계 7-A"로 라벨링된 도 39를 보라.
4.2.2.2 위협 2: 인증없는 DoS 공격
도 38-39를 참조하면, 일부 경우에, 공격자는 클라이언트 1의 네트워크로의 제1 접속 이전에 클라이언트 1의 MAC 어드레스 MAC1을 스푸핑하는 패킷을 전송한다. 이것은 잠재적으로 UFD를 이용하여 상기 언급된 구현에 대해 문제가 될 수 있지만, 이것은 PIT를 이용하는 상기 기술된 구현에 대해서는 문제가 되지 않을 것이다.
인증자 및 DHCP 서버는 복수의 세션을 구별할 수 있으므로, 클라이언트 1은 그 인증을 항상 시도할 수 있고, 그 동안에 공격자는 스푸핑 패킷을 전송하고 있다. "예 2: 위협 1&2: 단계 5-A에서의 복수의 세션"으로 라벨링된 도 38을 보라. 일단 클라이언트 1이 인증되고 클라이언트 1에 대한 레코드가 단계 6-A에서 AFD에 추가되면, P1 이외의 포트를 통한 MAC1으로부터 및/또는 그것으로의 임의의 패킷 교환이 금지될 것이다. 따라서, 그러한 공격은 실패할 것이다. "예 2: 위협 1&2: 단계 7-A"로 라벨링된 도 39를 보라.
4.2.2.3 위협 3: 인증을 가지는 DoS 공격
a) 사용자 "사용자 1"이 노드 "클라이언트 1"을 이용하고 사용자 "사용자 2"가 노드 "클라이언트 2"를 이용하고, b) 클라이언트 1이 포트 P1에 접속되며 클라이언트 2가 포트 P2에 접속되고, c) 각 사용자 1 및 사용자 2가 인증자에 대해 그 자신의 어카운트를 가지고 있는 예시적인 경우를 참조한다. 사용자 1이 네트워크에 접속하는 것을 방지하기 위해, 공격자 사용자 2는 클라이언트 2를 네트워크에 접속시키고, 클라이언트 1의 MAC 어드레스를 스푸핑한다. 사용자 2가 인증에 실패한 경우, 이전 섹션에서 기술된 위협 2의 경우와 유사하다. 그러나, 이 때, 사용자 2는 인증자에 대해 유효 어카운트를 가지고 있으므로, 사용자 자신의 사용자 자격증명을 이용하여 인증될 수 있다. 또한, 클라이언트 2가 사용자 2의 자격증명을 이용하여 인증되기 때문에, 클라이언트 2에 대한 레코드가 AFD에 생성된다. 따라서, 클라이언트 1이 브리지 B1로부터 접속하는 것으로부터 디스에이블될 수 있다.
이러한 타입의 공격을 방지하기 위해, 네트워크 관리자는 잘못을 저지르는 사용자 2의 자격증명을 취소할 수 있다. 다르게는, 관리자는 사용자 1의 자격증명만이 MAC1의 인증에 이용될 수 있도록 인증자를 구성할 수 있다.
PIT는 인증자에 대해 더 유연한 컨피규레이션을 가능하게 한다. 예를 들면, 인증자는 각 메시지에 대한 포트 식별자를 알고 있으므로, 포트 식별자를 이용하여 제한을 지정할 수 있다. 예를 들면, 이하의 규칙의 일부 또는 모두는 일부 예시적인 실시예에서 구현될 수 있다.
· 포트 B1:P2로부터 온 경우 MAC1에 대한 인증 요구를 거절하라. 예를 들면, 이러한 규칙은 상기 설명된 경우에 유용할 수 있다.
· 포트 B1:P1 이외의 포트로부터 오는 경우, 사용자 1의 자격증명을 수락하지 말라. 사용자 1이 특정 포트 B1:P1에서 사용자의 네트워크 노드를 이용하는 경우, 이러한 규칙은 유용하다. 결과적으로, 누군가가 사용자 1의 비밀키를 훔치더라도, 공격자는 포트 B1:P1 이외의 포트에서는 키를 이용할 수 없다.
· 포트 B1:P1 이외의 포트로부터 온 경우, MAC1에 대한 인증 요구를 거절하라. 네트워크 노드가 포트 B1:P1에 접속되어 있고 노드가 수개의 사용자들 중에 공유되어 있다고 가정하자. 바람직하게는, 각 사용자는 노드를 이용하는 각 어카운트를 가지고 있다. 사용자는 노드를 이용할 수 있지만, 공격자는 B1:P1 이외의 포트로부터 DoS 공격을 할 수 없다.
· B1:P1 이외의 포트(들)에서 자격증명 및 MAC의 제한된 조합만을 허용하면서 포트 B1:P1로부터 임의의 유효한 자격증명을 허용하라. 이러한 규칙은 포트 B1:P1이 안전한 룸에 배치되고 다른 포트는 안전하지 않은 열린 공간에 배치되는 경우에 유용할 수 있다.
파트 III : 네트워크 액세스 인증 프로토콜로부터 멀티캐스트 보안을 부트스 트랩핑
1. 배경 정보
1.1 참고문헌
이하의 일반적인 배경 참조문헌은 여기에 그 전체를 참고로 첨부하였다.
SCANNING
1. B. Cain, et al., "Internet Group Management Protocol, Version 3," RFC 3376, 2002년 10월(이후 [RFC3376]으로 지칭함).
2. R. Vida and L. Costa, "Multicast Listener Discovery Version (MLDv2) for IPv6," RFC 3810, 2004년 6월(이후 [RFC3810]으로 지칭함).
3. T. Hayashi, et al., "Multicast Listener Discovery Authentication Protocol(MLDA)," Internet-Draft, draft-hayashi-mlda-02.txt, work in progress, 2004년 4월(이후 [MLDA]로 지칭함).
4. M. Christensen, et al., "Considerations for IGMP and MLD Snooping Switches," Internet-Draft, draft-ietf-magma-snoop-11.txt, work in progress, 2004년 5월(이후 [MLDSNOOP]로 지칭함).
5. B. Lloyed 및 W. Simpson, "PPP Authentication Protocols", RFC1334, 1992년 10월(이후 [RFC1334]로 지칭함).
6. M. Baugher et. al., "The Secure Real-time Transport Protocol(SRTP)," RFC 3711, 2004년 3월(이후 [RFC3711]로 지칭함).
7. J. Arkko, et al., "MIKEY: Multimedia Internet Keying," Internet-Draft, draft-ietf-msec-mikey-08.txt work in progress, 2003년 12월(이후 [MIKEY]로 지칭함).
8. M. Thomas 및 J. Vilhuber, "Kerberized Internet Negotiation of Keys(KINK)," Internet-Draft, draft-ietf-kink-kink-05.txt, work in progress, 2003년 1월(이후 [KINK]로 지칭함).
9. T. Hardjono 및 B. Weis, "The Multicast Group Security Architecture, " RFC 3740, 2004년 3월(이후 [RFC3740]으로 지칭함).
10. H. Harney, et al., "GSAKMP," Internet-Draft, draft-ietf-msec-gsakmp-sec-06.txt, work in progress, 2004년 6월(이후 [GSAKMP]로 지칭함).
11. T. Narten 및 E. Nordmark, "Neighbor Discovery for IP Version 6(IPv6)," RFC 2461, 1998년 12월(이후 [RFC2461]로 지칭함).
12. H. Schulzrinne, et al., "RTP: A Transport Protocol for Real-time Applications," RFC 3550, 2003년 6월(이후 [RFC3550]로 지칭함).
13. B. Aboba, et al., "Extensible Authentication Protocol(EAP)," RFC 3748, 2004년 6월(이후 [RFC3748]로 지칭함).
14. B. Aboba, et al., "Extensible Authentication Protocol(EAP) Key Management Framework," Internet-Draft, draft-ietf-eap-keying-02.txt, work in progress, 2004년 6월(이후 [EAP-KEY]로 지칭함).
15. D. Waitzman, et al. "Distance Vector Multicast Routing Protocol," RFC 1075 1998년 11월(이후 [RFC1075]로 지칭함).
16. A. Ballardie, "Core Based Trees(CBT version 2) Multicast Routing, " RFC 2189, 1997년 9월(이후 [RFC2189]로 지칭함).
17. D. Estrin, et al., "Protocol Independent Multicast-Sparse Mode(PIM-SM): Protocol Specification," RFC 2362, 1998년 6월(이후 [RFC2362]로 지칭함).
18. D. Forsberg, et al., "Protocol for Carrying Authentication for Network Acces(PANA)," Internet-Draft, draft-ietf-pana-pana-04.txt, work in progress, 2004년 5월 7일(이후 [PANA]로 지칭함).
19. IEEE Standard for Local and Metropolitan Area Networks, "Port-Based Network Access Control," IEEE Std 802.1x-2001(이후 [802.1x]로 지칭함).
1.2 용어
본 명세서에서, 용어 "멀티캐스트 라우터"는 예를 들면, IP 멀티캐스트 패킷을 포워딩할 수 있는 라우터를 포함한다. 일부 예들에서, 동일한 IP 링크내에 복수의 IP 멀티캐스트 라우터가 있을 수 있다.
본 명세서에서, 용어 "멀티캐스트 청취자"는 예를 들면, IP 멀티캐스트 패킷을 수신하기를 원하는 호스트 또는 라우터를 포함한다.
1.3 IP 멀티캐스트 개관
도 40은 IP 멀티캐스트 네트워크의 예를 도시하고 있다. 이러한 예시적 예에서, S1 및 S2는 네트워크에 대하여 특정한 멀티캐스트 어드레스 G를 위한 IP 멀티캐스트 패킷을 발생시키는 노드이다. R1, R2 및 R3은 IP 멀티캐스트 패킷을 포워딩할 수 있는 라우터이다. 뿐만 아니라, D1, D2 및 D3은 IP 멀티캐스트 패킷의 최종 수신기인 노드이다. 이러한 예시적인 예에서, 각 링크는 점대점 링크인 것으로 가정된다.
도 41-42는 도 40에 도시된 네트워크에서의 멀티캐스트 어드레스 G로의, 각각 S1 및 S2로부터 발생된 멀티캐스트 패킷에 대한 IP 멀티캐스트 패킷 포워딩 경로의 예들을 도시하고 있다. 멀티캐스트 라우팅 테이블은 멀티캐스트 패킷을 청취자에게 포워딩하기 위하여 각 라우터에 의해 유지된다. 멀티캐스트 라우팅 테이브은 정적으로, 다이나믹하게 또는 정적이고 다이나믹하게 구성될 수 있다. 거리-벡터 멀티캐스트 라우팅 프로토콜([RFC1075] 참조), 베이스된 트리([RFC2189] 참조), 및 PIM(Protocol-Independent Multicast [RFC2362] 참조)과 같은 멀티캐스트 라우팅 프로토콜은 멀티캐스트 라우팅 테이블을 다이나믹하게 구성하는데 이용될 수 있다. 결과적인 멀티캐스트 포워딩 경로는 사용 중인 멀티캐스트 라우팅 프로토콜에 따라 다를 수 있다. 이들 예들에서, 라우터 R3은 각 멀티캐스트 패킷의 복수의 복사본을 생성하여, 이를 멀티캐스트 어드레스 G에 대한 복수의 다음 호프(hop) 노드에 포워딩할 필요가 있다.
도 43은 공유 링크를 포함하는 IP 멀티캐스트 네트워크의 예시적인 예를 도시하고 있다. 도시된 바와 같이, S1 및 S2는 네트워크에 대하여 특정한 멀티캐스트 어드레스 G를 위한 IP 멀티캐스트 패킷을 생성시키는 노드이다. R1, R2 및 R3은 IP 멀티캐스트 패킷을 포워딩할 수 있는 라우터이다. 뿐만 아니라, D1, D2 및 D3은 IP 멀티캐스트 패킷의 최종 수신기인 노드이다.
도 44는 S1로부터 멀티캐스트 어드레스 G로 발원된 멀티캐스트 패킷에 대한 IP 멀티캐스트 패킷 포워딩 경로의 예시적인 예를 도시하고 있다. 이전 예와는 달리, 여기에서 라우터 R1은 패킷을 포워딩하는 멀티캐스트 패킷의 복수의 복사본을 생성할 필요가 없다.
1.4 멀티캐스트 청취자 발견
MLD(Multicast Listenr Discovery)은 멀티캐스트 청취자 상태를 유지하기 위해 동일한 IP 링크 상의 IPv6 멀티캐스트 라우터 및 IPv6 멀티캐시트 청취자 중에서 운용되도록 디자인된 프로토콜이다.
MLD 프로토콜의 버전 2의 개관은 이하에 설명된다(RFC3810을 보라). IPv4에 대해, IGMP(Internet Group Management Protocol, [RFC3376] 참조)는 MLD로서 유사한 목적에 이용된다. MLD 및 IGMP는 유사한 기능을 제공하므로, 유사한 설명 및 기재(메시지 명칭 및 어드레스 타입에 대한 차이는 예외임)가 IGMP에 적용될 수 있다. 따라서, 본 명세서에서, IGMP와 관련한 설명은 추가적으로 상세하지는 않는다.
멀티캐스트 청취자 상태는 멀티캐스트 라우터의 링크별로 유지되고 개념적으로는 형태: (IPv6 멀티캐스트 어드레스, 필터 모드, 소스 리스트)의 레코드 세트를 포함한다. 필터 모드는 INCLUDE 또는 EXCLUDE 중 어느 하나를 나타내고, INCLUDE는 소스 리스트에 리스트된 임의의 소스 어드레스로부터 전송되고 IPv6 멀티캐스트 어드레스를 위한 멀티캐스트 패킷이 링크 상에서 포워딩된다는 것을 나타내고, EXCLUDE는 소스 리스트에 리스팅된 임의의 소스 어드레스로부터 전송되고 IPv6 멀티캐스트 어드레스를 위한 멀티캐스트 패킷이 링크 상에서 포워딩되지 않는다는 것을 나타낸다.
MLDv2에서, 멀티캐스트 라우터는 각 링크 상에서 MLQ(Multicast Listener Query) 메시지를 주기적으로 또는 요구시에 멀티캐스팅한다. MLQ 메시지는 링크의 멀티캐스트 청취자 상태의 변경을 유발하는 MLR(Multicast Listener Report) 메시지가 링크 상에서 수신되는 경우에 요구시에 전송된다. 멀티캐스트 청취자는 특정 멀티캐스트 어드레스(또는 소스)를 청취하거나 더 이상 청취하지 않기를 원한다고 표현하는 경우 또는 MLQ 메시지를 수신하는 경우에, MLR 메시지를 전송한다. 멀티캐스트 라우터는 MLR을 수신할 때 멀티캐스트 청취자 상태를 업데이트한다. 링크의 멀티캐스트 청취자 상태가 소스-목적지 어드레스 쌍(S, G)을 가지는 포워딩 패킷이 명백하게 허용되거나 명백하게 금지되지 않는 것을 나타내는 경우에 한하여, 멀티캐스트 라우터는 특정 소스 S로부터 발원되어 링크 상의 특정 멀티캐스트 어드레스 G를 위한 멀티캐스트 패킷을 포워딩한다.
도 45는 (S1, G) 또는 (S2, G) 멀티캐스트 트래픽에 대해 멀티캐스트 청취자의 존재를 질의하는 MLQ 메시지를 전송하기 위한 예를 도시하고 있다. 도 46은 도 45의 MLQ에 응답하여, (S1, G) 멀티캐스트 트래픽에 대한 멀티캐스트 청취자 N1 및 N2의 존재를 리포트하는 MLR 메시지를 전송하기 위한 예를 도시하고 있다.
1.5 MLD 스누핑
도 47-48은 도 45-46에 도시된 MLD 절차의 완료 후에 (S1, G) 멀티캐스트 패킷에 대한 패킷 포워딩을 도시하고 있다. 도 47에서, 링크-레이어 스위치 SW는 소위 "MLD 스누핑"([MLDSNOOP]를 보라)의 기능을 가지고 있지 않다. 도 48에서, 링크-레이어 스위치 SW는 이러한 "MLD 스누핑" 기능을 가지고 있다. MLD 스누핑을 가지는 링크-레이어 스위치는 링크 레이어 프레임의 페이로드를 조사하여 MLD 헤더 또는 페이로드 및 ICMP를 포함하는 상위 레이어 정보를 보고, MLD 메시지 교환을 모니터링함으로써 멀티캐스트 청취자의 존재가 알려져 있는 포트들에만 IP 멀티캐스트 패킷을 운반하는 링크 레이어 멀티캐스트 데이터 프레임을 포워딩한다. 특히, 멀티캐스트 청취자는 스위치가 포트 상에서 MLR 메시지를 보는 경우에 스위치의 포트 상에 존재하는 것으로 간주되고, 더 미세하게 그레인된(그리고 더 효율적인) 링크 레이어 멀티캐스트 포워딩은 멀티캐스트 목적지 어드레스 및 멀티캐스트 소스 어드레스와 같은 MLR 메시지 페이로드의 컨텐트를 이용함으로써 가능하다. MLD 스누핑이 없는 경우, 스위치는 어떠한 멀티캐스트 청취자도 없는 포트를 포함하는 모든 포트들에 포워딩되도록 허용되는 임의의 링크-레이어 멀티캐스트 데이터 프레임을 포워딩할 것이고, 이는 비효율적인 리소스 사용으로 나타나게 된다.
1.6 MLD 인증
MLD 인증 프로토콜 또는 MLDA 프로토콜이라 불리는 MLD로의 안전한 확장은 상기 인용된 참고문헌[MLDA]에 정의된다. MLDA 프로토콜은 멀티캐스트 청취자가 인증하는 기능을 멀티캐스트 라우터에 제공하여, 링크 상에서 단지 인증된 멀티캐스트 청취자들이 멀티캐스트 라우터의 링크의 멀티캐스트 청취자 상태를 업데이트할 수 있다. 이와 같이, MLD 인증은 인증되고 인가된 가입자 노드에만 데이터 트래픽을 포워딩함으로써 가입-기반 멀티캐스트 스트리밍 컨텐트 전달에 이용될 수 있다. MLDA는 멀티캐스트 청취자를 인증하기 위한 PAP(Passwork Authentication Protocol) 및 CHAP(Challenge-Response Authentication Protocol) 인증 프로토콜을 지원하고, 이는 액세스 네트워크내에서 멀티캐스트 청취자의 패스워드가 모든 멀티캐스트 라우터 상에 저장되는 것을 회피하기 위해, 멀티캐스트 라우터 상에서 AAA 클라이언트 기능을 가짐으로써 백엔드 AAA(인증, 인가 및 어카운팅) 서버에 의해 멀티캐스트 청취자가 인증될 수 있도록 허용한다.
1.7 SRTP
SRTP(안전한 실시간 트랜스포트 프로토콜)는 상기 인용된 참고문헌[RFC3711]에 제시되고, 어플리케이션 레이어 패킷당 암호화, 무결성 보호 및 리플레이 보호를 제공한다.
2. 현재 방법의 문제
이하에 설명되는 바와 같이, 현재의 방법에는 다양한 문제점 및 한계가 있다.
문제 1:
제1 문제는 MLD 자체는 비인가된 청취자가 MLR 메시지를 전송하여 멀티캐스트 청취자 상태를 멀티캐스트 패킷을 수신하도록 변경하는 것을 방지하지 못하고, 이로 인해 청취자와 멀티캐스트 라우터의 간의 링크 타입(예를들면, 점대점 또는 공유된)에 관계없이 그리고 공유된 링크의 경우에 MLD 스누핑 기술이 링크 상에 이용되는지 여부에 관계없이 멀티캐스트-기반 서비스의 무임-승차로 나타나게 된다는 것과 관련된다.
이러한 측면에서, 예를 들면 MLDA에 의해 제공된 청취자 인증 및 인가로 묶여진 적절한 액세스 제어를 채용함으로써 MLDA가 이러한 보안 문제를 해결하는데 이용될 수 있다. 그러나, MLDA와 같은 청취자 인증 및 인가 메커니즘으로 묶여진 그러한 액세스 제어 방법이 없었다.
문제 2:
제2 문제는 MLDA에 의해 지원되는 인증 프로토콜의 약점으로 인한 보안 문제와 관련된다. MLDA에 의해 지원되는 PAP 및 CHAP 모두는 멀티캐스트 청취자의 정적 패스워드가 PAP 및 CHAP의 공유된 비밀로서 이용되는 경우에 사전 공격(dictionary attack) 공격에 대해 약한 것으로 알려져 있으므로, 이들 인증 프로토콜이 안전한 통신 채널 상에서 운용되지 않는 한, 이들 알고리즘의 이용이 위험하고 추천되지 않는다. 특히, PAP 및 CHAP는 공격자가 용이하게 사용자 패스워드를 얻거나 추측하는 위조 액세스 포인트일 수 있는 무선 LAN을 통해 이용되지 않아야 한다.
문제 3
제3 문제는 MLDA가 MLDA 페이로드의 비밀성을 제공하지 않는 것과 관련된다. 또한, MLDA는 MLD의 변형을 필요로 한다.
문제 4
제4 문제는 MLDA가 AAA로 통합될 수 있지만, 대부분의 상용 액세스 네트워크가 AAA와 통합되기도 하는 네트워크 액세스 인증을 필요로 하므로, 멀티캐스트 청취자이기도 한 네트워크 액세스 클라이언트는 AAA 절차를 두 번 수행, 즉 한번은 글로벌 IP 어드레스를 얻기 위한 네트워크 액세스 인증을 위하여 그리고 또 한번은 자격증명(credential)을 수신하기 위해 실행하는 관점에서 비효율적인 시그널링이 될 수 있고, 이는 가능한 한 많이 회피되는 것이 바람직할 것이다.
문제 5:
제5 문제는 MLDA 및 IEEE 802.11i를 포함하는 네트워크 레이어 및/또는 링크 레이어 보안 메커니즘에만 의존하는 솔루션은 무선 액세스 링크를 통해 네트워크 액세스에 대해 인증되고 인가된 클라이언트가 링크 상에서 다른 멀티캐스트 청취자에게 포워딩되는 멀티캐스트 데이터 패킷을 수신하고 디코딩하는 것을 방지할 수 없다는 것과 관련된다. 이것은 SRTP([RFC3711] 참조)와 같은 상위 레이어 패킷당 보안 메커니즘이 완전히 공유된 액세스 링크를 통한 멀티캐스트 서비스의 무임-승차를 회피하는데 필요로 한다는 것을 의미한다. 그러한 상위-레이어 패킷당 멀티캐스트 보안 메커니즘은 멀티캐스트 키 분배 절차를 자동화하기 위해 멀티캐스트 암호 키를 멀티캐스트 청취자에게 전달하기 위하여 교환 프로토콜을 필요로 한다. 상기 언급된 MIKEY([MIKEY] 참조) 및 KINK([KINK] 참조)는 그렇게 기능하도록 설계된다. 그러나, 그러한 멀티캐스트 키 교환 프로토콜을 이용하는데 필요한 자격증명을 확립하기 위한 실질적인 솔루션이 전혀 없다.
3. 제안된 솔루션
3.1 네트워크 액세스 인증으로부터 MLDA 부트스트랩핑
MLDA를 이용하는 하나의 문제는 MLDA의 PAP 및 CHAP의 공유 비밀로서 멀티캐스트 청취자의 정적 패스워드의 이용에 기인한다. 한 가지 솔루션은 MLDA의 RAP 및 CHAP에 대하여 다이나믹하게 생성된 공유 비밀을 이용하는 것이다. 공유된 비밀은 바람직하게는, 비밀이 제한된 시간 동안에만 유효하도록 하는 수명을 가지고 있다. 본 명세서에서, MLDA에 이용된 공유된 비밀에 기초한 멀티캐스트 청취자와 멀티캐스트 라우터간의 보안 연관은 MLDA 보안 연관 또는 MLDA SA로 지칭되고, 공유된 비밀은 MLDA-키로서 지칭된다. 양호한 실시예들에서, MLDA-키의 다이나믹 생성을 아카이브하는(archive) 2개의 방법 예들이 이하에 설명된다.
제1 방법에서, MLDA-키는 예를 들면 PANA([PANA] 참조) 및 IEEE 802.X1([802.1X] 참조)과 같은 네트워크 액세스 인증 프로토콜을 이용함으로써 다이나믹하게 생성되는 인증 세션 키로부터 도출된다. PANA 또는 IEEE 802.1X가 네트워크 액세스 인증 프로토콜에 이용되는 경우, 인증 세션 키는 AAA-키([EAP-KEY] 참조)를 통해 EAP([RFC3748] 참조) 마스터 세션 키(MSK)로부터 도출될 수 있다.
제2 방법에서, MLDA-키는 암호화되어, 예를 들면 PANA 및 IEEE 802.1X와 같은 네트워크 액세스 인증 프로토콜을 통해 운반될 수 있다. PANA가 네트워크 액세스 인증으로서 이용되는 경우, 암호화된 MLDA-키는 예를 들면 PANA-바인드-요구 및 PANA-바인드-응답 메시지 내에서 운반될 수도 있다. 이 경우에, MLDA-키는 예를 들면 KDC(key distribution center)에 의해 생성되거나 관리될 수 있다. 이러한 측면에서, MLDA 키 분배 메커니즘은 이러한 명세서에 기초하여 적절한 대로 그 목적대로 구현될 수 있다.
도 49는 제1 방법의 MLDA 키 계층을 도시하고 있다. 도 49에서, 3개의 프로토콜 실체, 즉 EAP, 네트워크 액세스 인증 프로토콜(예를 들면, PANA 및 IEEE 802.1X) 및 MLDA가 포함된다. 유의할 점은, MLDA-키와 함께 MLDA-키의 수명은 네트워크 액세스 인증 실체로부터 MLDA 실체로 전달될 수 있다는 점이다.
장기간 패스워드를 이용하는 대신에 MLDA 키로서 단기 공유 비밀을 이용함으로써, MLDA의 보안 레벨이 개선될 수 있다. 다른 것들 중에서도, 이것은 이전 섹션 2에서 상기 설명된 문제 2에 대한 솔루션을 제공한다. 뿐만 아니라, 이들 예시적인 방법들은 네트워크 액세스 인증에 대한 AAA 절차가 수행되면 MLDA에 대한 추가적인 AAA 절차가 필요하지 않다는 점에서 효율적이다. 결과적으로, 이들은 이전 섹션 2에서 상기 설명된 문제 4에 대한 솔루션을 제공한다.
다양한 실시예들에서, MLDA 키 도출 알고리즘은 본 명세서에 기초하여 본 기술분야의 통상의 기술자에 의해 구현될 수 있다.
도 53은 제1 방법의 기능적 모델을 도시하고 있다. 도시된 바와 같이, EAP-S(EAP 서버)는 EAP 방법의 엔드 포인트이다. AA(Authentication Agent)는 네트워크 액세스 인증 프로토콜(예를 들면, IEEE 802.1X 인증자 또는 PANA 에이전트)의 인증자이다. R은 멀티캐스트 라우터이다. L은 멀티캐스트 청취자이다. 일부 실시예들에서, EAP-S는 AA와 동일한 물리적 실체 내에 함께 배치될 수 있다. 뿐만 아니라, 일부 실시예에서 AA는 EAP-S 또는 R과 동일한 물리적 실체 내에 함께 배치될 수 있다.
도 53을 참조하면, 네트워크 액세스 인증은 MLDA가 수행되기 이전에 L과 AA 사이에 발생한다. 일부 실시예들에서, 네트워크 액세스 인증은 L을 인증하기 위해 EAP를 이용하고, 여기에서 AA는 EAP-S에 접촉하여 AAA 프로토콜 또는 API를 통해 AAA-키를 얻는다. 네트워크 액세스 인증이 성공적으로 완료된 경우, AA는 AAA-키로부터 MLDA-키를 도출하고 MLDA-키를 R에 패싱한다. L은 AA와 공유하는 AAA-키로부터 국소적으로(locally) 동일한 MLDA-키를 도출한다. 이 포인트 후에, R 및 L은 MLDA를 수행할 수 있다.
도 54는 제2 방법의 기능적 모델을 도시하고 있다. 도시된 바와 같이, EAP-S(EAP 서버)는 EAP 방법의 엔드 포인트이다. AA(Authentication Agent)는 네트워크 액세스 인증 프로토콜(예를 들면, IEEE 802.1X 인증자 또는 PANA 에이전트)의 인증자이다. R은 멀티캐스트 라우터이다. L은 멀티캐스트 청취자이다. 뿐만 아니라, KDC는 키 분배 센터이다. 일부 실시예들에서, EAP-S는 AA와 동일한 물리적 실체 내에 함께 배치될 수 있다. 뿐만 아니라, 일부 실시예들에서, AA는 EAP-S 또는 R과 동일한 물리적 실체 내에 함께 배치될 수 있다. 더구나, KDC는 EAP-S, AA 또는 R과 동일한 물리적 실체 내에 함께 배치될 수 있다.
도 54를 참조하면, 네트워크 액세스 인증은 L과 AA 사이에서 처음으로 발생한다. 네트워크 액세스 인증은 L을 인증하기 위해 EAP를 이용하고, 여기에서 AA는 EAP-S를 접촉하여 AAA 프로토콜 또는 API를 통해 AAA-키를 얻는다. 네트워크 액세스 인증이 성공적으로 완료된 경우, AA는 KDC로부터 MLDA 키의 복사본을 얻고, 이를 네트워크 액세스 인증 프로토콜을 통해 L에게 암호화하여 전달한다. R은 KDC로부터 MLDA-키의 복사본을 얻을 수 있다. 일단 MLDA-키가 L에 전달되면, R 및 L은 MLDA를 수행할 수 있다.
3.2 멀티캐스트 IPsec 으로 MLD 의 보호
MLDA를 이용하는 대신에, MLD 프로토콜 교환을 보호하는데 IPsec AH 및/또는 ESP를 이용할 수 있다. 이러한 방법은 무결성 보호 및 리플레이 보호뿐만 아니라 MLD 메시지의 컨텐트의 비밀성을 제공한다. 뿐만 아니라, 이러한 방법은 MLD 프로토콜 자체에 어떠한 변형도 요구하지 않는다. 이들 2가지(IPsec AH 및/또는 ESP)는 이전 섹션 2에서 상기 설명된 문제 3에 대한 솔루션을 제공한다. MLD 프로토콜은 (예를 들면, 링크-로컬) 멀티캐스트 통신에 기초하고 있으므로, 기초하는 IPsec SA는 다수대 다수의 연관(예를 들면, MLD의 경우에 멀티캐스트 청취자와 멀티캐스트 라우터의 사이)인 그룹 보안 연관 또는 GSA([RFC3740] 참조)를 형성한다. IPsecGSA를 자동으로 생성하기 위해, 멀티캐스트 키 관리 프로토콜이 이용될 수 있다. 예를 들면, GSAKMP([GSAKMP] 참조), MIKEY([MIKEY] 참조), 및 KINK([KINK] 참조)와 같이, GSA를 확립하는데 이용될 수 있는 다수의 키 관리 프로토콜이 존재한다.
예를 들면, IKE와 같은 유니캐스트 키 관리 프로토콜과 유사하게, 멀티캐스트 키 관리 프로토콜은 일반적으로 유니캐스트 통신에 기초하고 있고, 멀티캐스트 키가 잘못된 실체에 의해 확립되는 것을 방지하기 위해 엔드 포인트의 상호 인증을 가져야 한다. 이것은 멀티캐스트 키 관리 프로토콜에서 상호 인증에 이용되는 특정 키가 멀티캐스트 키 관리 프로토콜의 각 엔드 포인트 상에서 미리 구성되어야 한다는 것을 의미한다. 그러한 키는 멀티캐스트 키 관리 키 또는 MKM-키로서 지칭된다. 양호한 실시예들에서, 제안된 방법은 MKM-키를 도출하는데 기초하고 있고, MLDA-키를 도출하는 동일한 방식으로 네트워크 액세스 인증 프로토콜로부터 도출된다.
도 50은 IPsec GSA가 멀티캐스트 키 관리 프로토콜을 이용함으로써 확립되고 MKM-키가 네트워크 액세스 인증 프로토콜로부터 도출되는 경우의 멀티캐스트 IPsec 키 계층을 도시하고 있다.
이러한 키 도출 모델은 멀티캐스트 IPsec으로 MLD를 안전하게 하기 위한 것뿐만 아니라, 예를 들면 IPv6 이웃 발견(Neighbor Discover)([RFC2461] 참조) 및 RTP([RFC3550] 참조)와 같은 다른 멀티캐스트 통신 프로토코을 멀티캐스트 IPsec으로 안전하게 하기 위해 이용될 수 있다.
이러한 예시적 스킴은 예를 들면, 일단 네트워크 액세스 인증을 위한 AAA 절차가 수행되면 MLDA를 위한 추가적인 AAA 절차가 필요로 하지 않는다는 의미에서 매우 효율적일 수 있다. 결과적으로, 이것은 이전 섹션 2에서 상기 설명된 문제 4에 대한 솔루션을 제공한다.
다양한 실시예들에서, 각 가능한 멀티캐스트 키 관리 프로토콜에 대한 MKD-키 도출 알고리즘은 본 명세서에 기초하여 적절하게 본 기술분야의 통상의 기술자에 의해 구현될 수 있다.
도 55는 이러한 방법의 기능적 모델을 도시하고 있다. 도시된 바와 같이, EAP-S(EAP 서버)는 EAP 방법의 엔드 포인트이다. AA(Authentication Agent)는 네트워크 액세스 인증 프로토콜(예를 들면, IEEE 802.1X 인증자 또는 PANA 에이전트)의 인증자이다. R은 멀티캐스트 IPsec 수신기이다. S는 멀티캐스트 IPsec 전송자이다. KMS는 키 관리 프로토콜 서버이다. 여기에서, EAP-S는 AA와 동일한 물리적 실체 내에 함께 배치할 수 있다. 뿐만 아니라, KMS는 AA, EAP 또는 S와 동일한 물리적 실체 내에 함께 배치된다.
도 55에서, 네트워크 액세스 인증은 먼저 R과 AA 사이에서 발생한다. 네트워크 액세스 인증은 R을 인증하기 위해 EAP를 이용하고, 여기에서 AA는 EAP-S와 접촉하여 AAA 프로토콜 또는 API를 통해 AAA-키를 얻는다. 네트워크 액세스 인증이 성공적으로 완료된 경우, AA는 AAA-키로부터 MKM-키를 도출하고, MKM-키를 KMS에 패싱한다. 그리고 나서, 키 관리 프로토콜은 KMS와 R 사이에서 운용된다. 일단 키 관리 프로토콜이 IPsec 암호 키를 생성하면, IPsec 암호 키는 KMS로부터 S에 전달되어, 최종적으로 S 및 R은 멀티캐스트 IPsec을 통해 MLD 또는 임의의 다른 멀티캐스트-기반 프로토콜을 수행할 수 있다.
3.3 MLD 또는 MLDA 와 링크- 레이어 멀티캐스트 액세스 제어의 통합
일부 실시예들에서, 레이어-2 멀티캐스트 프레임을 제한된 포트의 세트(예를 들면, 제한된 멀티캐스트 기능)로 복사하는 것을 지원하는 링크-레이어 스위치는 공유된 링크를 통한 멀티캐스트 트래픽의 액세스 제어에 이용될 수 있다.
IPsec을 가지는 MLDA 또는 MLD가 멀티캐스트 청취자 상태를 안전하게 유지하는데 이용되는 경우, 암호적으로(cryptographically) 유효한 MLR 메시지가 수신되는 멀티캐스트 청취자가 있는 포트에 멀티캐스트 패킷이 포워딩되도록 하는 방식으로, 멀티캐스트 라우터는 링크 상에서 그러한 링크-레이어 스위치를 제어할 수 있다. 이러한 방법에서, IPsec을 가지는 MLDA 및 MLD는 이전 섹션 3.1 및 3.2에서 기재된 방법을 이용함으로써 PANA 및 IEEE 802.1X와 같은 네트워크 액세스 인증 프로토콜로부터 부트스트랩핑될 수 있다.
제한된 멀티캐스트 기능을 가지는 링크-레이어 스위치가 또한 "바인딩 네트워크 브리지 및 네트워크 액세스 제어"라고 제목이 붙여진 상기 파트 II에서 기재된 스킴을 지원하는 경우, 네트워크 액세스에 대해 성공적으로 인증되지 못하였고 인가되지 않았던 청취자로부터 발원된 및 청취자를 위한 MLR 및 MLQ 메시지를 필터링아웃할 수 있다. 스위치가 또한 MLD 스누핑을 지원하는 경우, IPsec을 가지는 MLDA 또는 MLD에 의존하지 않고 링크-레이어 멀티캐스트 액세스 제어를 수행할 수 있다. 이러한 방법에서, 멀티캐스트 청취자는 예를 들면, PANA 및 IEEE 802.1X와 같은 네트워크 액세스 인증 프로토콜을 이용함으로써 네트워크 액세스에 대해 인증되고 인가된다.
그러므로, 이들 2가지 방법들은 양호하게 섹션 2의 문제 1에 대한 솔루션을 제공할 수 있다.
MLD 또는 MLDA에 무관하게 제공되는 시그널링 메커니즘을 이용함으로써, 멀티캐스트 청취자에 대한 멀티캐스트 트래픽 필터링 정보(예를 들면, 인가된 멀티캐스트 그룹 어드레스 및/또는 인가된 멀티캐스트 소스 어드레스)가 링크 레이어 스위치에 설치되고, 링크 레이어로의 후속 인가된 멀티캐스트 트래픽의 전달이 인에이블되고, 그리고 나서, MLD 또는 MLDA는 멀티캐스트 청취자와 멀티캐스트 라우터 사이에 이용되지 않을 수도 있다.
3.4 네트워크 액세스 인증으로부터 안전한 멀티캐스트 어플리케이션 세션을 부트스트랩핑하기.
문제 5에 대해 섹션 2에서 상기 설명된 바와 같이, 예를 들면, SRTP([RFC3711] 참조)와 같은 상위 레이어 패킷당 보안 메커니즘은 완전히 공유된 액세스 링크를 통해 멀티캐스트 서비스의 무임 승차를 방지하는데 필요하다. 그러한 메커니즘은 어플리케이션 데이터 트래픽의 암호화를 포함한다. 대규모 환경에서 작용하는 그러한 어플리케이션-레이어 보안에 대해, 메커니즘은 멀티캐스트 키로 안전한 어플리케이션 세션을 위한 보안 연관을 자동으로 확립하는데 이용될 것이다. 일부 실시예들에서, 이하에 상세하게 설명되는, 이것을 아카이브는 2가지 예시적인 방법이 있다.
제1 방법은 안전한 어플리케이션 세션에 대한 보안 연관을 확립하는데 이용되는 멀티캐스트 키 관리 프로토콜을 부트스트랩핑하는 것에 기초한다. 다양한 실시예들에서, 예를 들면, GSAKMP([GSAKMP] 참조), MIKEY([MIKEY] 참조), 및 KINK([KINK] 참조)와 같이, 안전한 멀티캐스트 어플리케이션 세션에 대한 보안 연관을 확립하는데 이용될 수 있는 다수의 키 관리 프로토콜이 있다. 뿐만 아니라, SIP는 멀티캐스트 키 관리 프로토콜로서 이용될 수도 있다. 섹션 3.2에서 상기 설명된 바와 같이, MKM-키는 멀티캐스트 키 관리 프로토콜에서 상호 인증에 필요하다. 방법은 섹션 3.2에서 상기 설명된 동일한 방식으로 네트워크 액세스 인증 프로토콜로부터 MKM-키를 도출한다.
도 51은 SRTP가 제1 방법에서 안전한 어플리케이션-레이어 프로토콜로서 이용되는 경우의 멀티캐스트 어플리케이션 세션 키 계층을 도시하고 있다. 도 51에서, SRTP 마스터 키([RFC3711] 참조)는 멀티캐스트 키 관리 프로토콜을 이용하여 확립되고, MKM-키는 네트워크 액세스 인증 프로토콜로부터 도출된다. 이러한 키 도출 모델은 SRTP뿐만 아니라, 다른 멀티캐스트-기반 어플리케이션-레이어 프로토콜을 안전하게 하는데도 이용될 수 있다. 각 가능한 멀티캐스트 키 관리 프로토콜에 대한 특정 MKM-키 도출 알고리즘 및 각 가능한 멀티캐스트 어플리케이션에 대한 어플리케이션 세션 키 도출 알고리즘은 본 명세서에 기초하여 적절하게 본 기술분야의 통상의 기술자에 의해 구현될 수 있다.
제2 방법은 예를 들면, PANA 및 IEEE 802.1X와 같은 네트워크 액세스 인증 프로토콜을 통해 어플리케이션 세션 키를 운반하는 것에 기초하고 있다. PANA가 네트워크 액세스 인증으로서 이용되는 경우, 예를 들면 SRTP 마스터 키([RFC3711] 참조)와 같은 어플리케이션 세션 키는 PANA-바인드-요구 및 PANA-바인드-응답 메시지에 암호화되어 운반될 수도 있다. 이 경우에, 어플리케이션 세션 키는 키 분배 센터(KDC)에 의해 생성되거나 관리될 수 있다. 어플리케이션 세션 키 분배 메커니즘은 본 명세서에 기초하여 본 기술분야의 통상의 기술자에 의해 적절하게 구현될 수 있다.
도 52는 SRTP가 제2 방법에서 안전한 어플리케이션-레이어 프로토콜로서 이용되는 경우의 멀티캐스트 어플리케이션 세션 키 계층을 도시하고 있다. 도 52에서, SRTP 마스터 키([RFC3711] 참조)는 멀티캐스트 키 관리 프로토콜을 이용하여 확립되고, MKM-키는 네트워크 액세스 인증 프로토콜로부터 도출된다.
일부 실시예들에서, 이들 2가지 방법들은 섹션 2에서 상기 설명된 문제 5에 대한 솔루션을 제공할 수 있고, 섹션 3.1 내지 섹션 3.3에서 기재된 다른 방법과 함께 이용될 수도 있다.
도 56은 제1 방법의 기능적 모델을 도시하고 있다. EAP-S(EAP-서버)는 EAP 방법의 엔드 포인트이다. AA(인증 에이전트)는 네트워크 액세스 인증 프로토콜(에를 들면, IEEE 802.1X 인증자 또는 PANA 에이전트)의 인증자이다. R은 멀티캐스트 어플리케이션 수신기이다. S은 멀티캐스트 어플리케이션 전송자이다. KMS는 키 관리 프로토콜 서버이다. 뿐만 아니라, EAP-S는 AA와 동일한 물리적 실체 내에 함께 배치될 수 있다. 더구나, KMS는 AA, EAP-S 또는 S와 동일한 물리적 실체 내에 함께 배치될 수 있다.
도 56에서, 네트워크 액세스 인증은 처음에 R과 AA 사이에 발생한다. 네트워크 액세스 인증은 R을 인증하기 위해 EAP를 이용하고, 여기에서 AA는 EAP-S와 접촉하여 AAA 프로토콜 또는 API를 통해 AAA-키를 얻는다. 네트워크 액세스 인증이 성공적으로 완료된 경우, AA는 AAA-키로부터 MKM-키를 얻고 MKM-키를 KMS에 패싱한다. 그리고 나서, 키 관리 프로토콜은 KMS와 R 사이에서 운용된다. 일단 키 관리 프로토콜이 어플리케이션 세션 키를 생성하면, S 및 R은 어플리케이션-레이어 보안 메커니즘으로 보호된 멀티캐스트 어플리케이션 트래픽을 전송하고 수신할 수 있다.
도 57은 제2 방법의 기능적 모델을 도시하고 있다. EAP-S(EAP 서버)는 EAP 방법의 엔드 포인트이다. AA(인증 에이전트)는 네트워크 액세스 인증 프로토콜(예를 들면, IEEE 802.1X 인증자 또는 PANA 에이전트)의 인증자이다. R은 멀티캐스트 어플리케이션 수신기이다. S은 멀티캐스트 어플리케이션 전송자이다. KDC는 키 분배 센터이다. 뿐만 아니라, EAP-S는 AA와 동일한 물리적 실체 내에 함께 배치될 수 있다. 더구나, KDC는 AA, EAP-S 또는 S와 동일한 물리적 실체 내에 함께 배치될 수 있다.
도 57에서, 네트워크 액세스 인증은 처음에 R과 AA 사이에 발생한다. 네트워크 액세스 인증은 R을 인증하기 위해 EAP를 이용하고, 여기에서 AA는 EAP-S와 접촉하여 AAA 프로토콜 또는 API를 통해 AAA-키를 얻는다. 네트워크 액세스 인증이 성공적으로 완료된 경우, AA는 KDC로부터 어플리케이션 세션 키의 복사본을 얻고 이를 네트워크 액세스 인증 프로토콜을 통해 R에 전달한다. S는 KDC로부터의 어플리케이션 세션 키의 복사본을 얻을 수 있다. 일단 어플리케이션 세션 키가 R에 전달되면, S 및 R은 어플리케이션-레이어 보안 메커니즘으로 보호된 멀티캐스트 어플리케이션 트래픽을 전송하고 수신할 수 있다.
본 발명의 넓은 범주
본 발명의 예시적 실시예들이 여기에 기재되었지만, 본 발명은 여기에 기재된 다양한 바람직한 실시예들로 제한되지 않고, 본 명세서에 기초하여 본 기술분야의 통상의 기술자에게 자명한 바와 같이, 등가 구성요소, 변형, 생략, 조합(예를 들면, 다양한 실시예에 걸친 양태들), 적응 및/또는 교체를 가지는 임의의 및 모든 실시예를 포함한다. 청구의 범위의 한계는 청구의 범위에 채용된 언어에 기초하여 넓게 해석되어야 하고, 본 명세서 또는 출원의 진행 동안에 기재된, 예들로 제한되지 않으며, 이 예들은 비제한적인 것으로 해석되어야 한다. 예를 들면, 본 명세서에서, 용어 "바람직하게는"은 비배타적이고, "바람직하지만, 이것으로 제한되지 않는"을 의미한다. 본 명세서 및 본 출원의 진행 동안에, 수단-플러스-기능 또는 단계-플러스-기능 제한은 특정 청구의 범위 제한에 대해 그 제한에 이하의 모든 조건들이 제시되는 경우에만 이용될 것이다: a) "~ 을 위한 수단" 또는 "~ 을 위한 단계"가 명백하게 인용됨; b) 대응하는 기능이 명백하게 인용됨; 및 c) 구조, 재료 또는 그 구조를 지원하는 액트가 인용되지 않음. 본 명세서 및 본 출원서의 진행 동안에, 용어 "본 발명" 또는 "발명"은 본 명세서 내의 하나 이상의 양태에 대한 참조로서 이용될 수 있다. 언어 본 발명 또는 발명은 임계성의 식별로서 부적절하게 해석되어서는 안 되고, 모든 양태 또는 실시예에 걸쳐 적용되는 것으로 부적절하게 해석되어서는 안되며(즉, 본 발명은 복수의 양태 및 실시예를 가지고 있다고 이해되어야 한다), 본 출원서 또는 청구의 범위의 범주를 제한하는 것으로 부적절하게 해석되어서는 안된다. 본 명세서 및 본 출원의 진행 동안에, 용어 "실시예"는 임의의 양태, 특징, 프로세스 또는 단계, 그 임의의 조합 및/또는 그 임의의 일부, 등을 기술하는데 이용될 수 있다. 일부 예들에서, 다양한 실시예들은 중첩하는 특징들을 포함할 수 있다. 이러한 명세서에서, 이하의 약칭 용어, 즉 "예를 들면"을 의미하는 "e.g" 및 "note well"을 의미하는 "NB"가 채용될 수 있다.

Claims (9)

  1. 네트워크 액세스 인증을 위한 시스템으로서,
    악의적인 공격자들이 네트워크로의 비인가된 액세스를 얻는 것을 방지하도록 구성된 네트워크 브리지를 포함하고,
    상기 네트워크 브리지는 적어도 하나의 클라이언트와의 통신을 위한 클라이언트 포트들 및 상기 네트워크와 통신하는 적어도 하나의 서버 포트를 포함하며,
    상기 네트워크 브리지는 어드레스 및 브리지 포트 데이터를 저장하는 적어도 하나의 포워딩 데이터베이스를 포함하고, 상기 네트워크 브리지는 상기 적어도 하나의 포워딩 데이터베이스에 기초하여 악의적인 공격자들이 비인가된 액세스를 얻는 것을 방지하고, 상기 적어도 하나의 포워딩 데이터베이스와의 매칭에 따라 패킷들을 필터링하도록 구성되며,
    상기 적어도 하나의 포워딩 데이터베이스는 MAC(media access control) 어드레스와 상기 클라이언트 포트들 사이의 관계로서 연결들을 저장하도록 구성되며, 인가된 포워딩 데이터베이스(AFD), 비인가된 포워딩 데이터베이스(UFD), 및 페널티 리스트 데이터베이스(PL)를 적어도 포함하고,
    상기 UFD는 상기 MAC 어드레스와 상기 클라이언트 포트들 사이의 관계로서, 상기 AFD로 이동되거나 상기 UFD로부터 제거되기 전에 상기 네트워크 브리지나 인증자에 의해 지정된 시간 기간 동안 상기 인증자에 의해 인가되어야 하는, 상기 연결들을 저장하도록 구성되며, 상기 UFD는 상기 연결들이 상기 인가에 실패하거나 상기 지정된 시간 기간이 만료하는 경우 상기 연결들을 제거하도록 구성되고,
    상기 PL은 상기 UFD로부터 제거된 상기 연결들을 저장하고, 상기 PL에 저장된 상기 연결들 각각에 할당된 수명 타이머가 만료되면 자동으로 상기 연결들을 제거하도록 구성되며, 상기 수명 타이머의 길이는, 상기 AFD 및 상기 UFD 중 어느 하나에 저장된 상기 MAC 어드레스와 상기 클라이언트 포트들 사이의 관계로서 상기 연결들에 따르는 상기 클라이언트 포트들 이외의 클라이언트 포트들로부터의 DoS(denial of service) 공격을 방지하기 위해, 상기 MAC 어드레스 및 상기 클라이언트 포트의 동일한 조합이 상기 PL에 반복적으로 추가되는 때마다 증가하는 레이트 또는 지수적으로 증가하도록 구성되고,
    상기 네트워크 브리지는, 클라이언트 포트에서 수신된 패킷이 AFD 또는 UFD에서 발견된 MAC 어드레스를 가지고 있는 경우, 상기 네트워크 브리지가 상기 패킷을 차단하는 방식으로 패킷들이 필터링 목적을 위해 체크되도록 구성되는 시스템.
  2. 삭제
  3. 삭제
  4. 삭제
  5. 삭제
  6. 삭제
  7. 네트워크 액세스 인증을 위한 시스템으로서,
    악의적인 공격자들이 네트워크로의 비인가된 액세스를 얻는 것을 방지하도록 구성된 네트워크 브리지를 포함하고,
    상기 네트워크 브리지는 적어도 하나의 클라이언트와의 통신을 위한 클라이언트 포트들 및 상기 네트워크와 통신하는 적어도 하나의 서버 포트를 포함하며,
    상기 네트워크 브리지는 어드레스 및 브리지 포트 데이터를 저장하는 적어도 하나의 포워딩 데이터베이스를 포함하고, 상기 네트워크 브리지는 상기 적어도 하나의 포워딩 데이터베이스에 기초하여 악의적인 공격자들이 비인가된 액세스를 얻는 것을 방지하고, 상기 적어도 하나의 포워딩 데이터베이스와의 매칭에 따라 패킷들을 필터링하도록 구성되고,
    상기 적어도 하나의 포워딩 데이터베이스는 MAC(media access control) 어드레스와 상기 클라이언트 포트들 사이의 관계로서 연결들을 저장하도록 구성되며, 인가된 포워딩 데이터베이스(AFD), 비인가된 포워딩 데이터베이스(UFD), 및 페널티 리스트 데이터베이스(PL)를 적어도 포함하고,
    상기 UFD는 상기 MAC 어드레스와 상기 클라이언트 포트들 사이의 관계로서, 상기 AFD로 이동되거나 상기 UFD로부터 제거되기 전에 상기 네트워크 브리지나 인증자에 의해 지정된 시간 기간 동안 상기 인증자에 의해 인가되어야 하는, 상기 연결들을 저장하도록 구성되며, 상기 UFD는 상기 연결들이 상기 인가에 실패하거나 상기 지정된 시간 기간이 만료하는 경우 상기 연결들을 제거하도록 구성되고,
    상기 PL은 상기 UFD로부터 제거된 상기 연결들을 저장하고, 상기 PL에 저장된 상기 연결들 각각에 할당된 수명 타이머가 만료되면 자동으로 상기 연결들을 제거하도록 구성되며, 상기 수명 타이머의 길이는, 상기 AFD 및 상기 UFD 중 어느 하나에 저장된 상기 MAC 어드레스와 상기 클라이언트 포트들 사이의 관계로서 상기 연결들에 따르는 상기 클라이언트 포트들 이외의 클라이언트 포트들로부터의 DoS(denial of service) 공격을 방지하기 위해, 상기 MAC 어드레스 및 상기 클라이언트 포트의 동일한 조합이 상기 PL에 반복적으로 추가되는 때마다 증가하는 레이트 또는 지수적으로 증가하도록 구성되고,
    상기 네트워크 브리지는 인증 패킷들 또는 다이나믹 호스트 컨피규레이션 패킷들을 하나의 클라이언트 포트로부터 또 다른 클라이언트 포트로 포워딩하지 않도록 구성되는 시스템.
  8. 네트워크 액세스 인증을 위한 시스템으로서,
    악의적인 공격자들이 네트워크로의 비인가된 액세스를 얻는 것을 방지하도록 구성된 네트워크 브리지를 포함하고,
    상기 네트워크 브리지는 적어도 하나의 클라이언트와의 통신을 위한 클라이언트 포트들 및 상기 네트워크와 통신하는 적어도 하나의 서버 포트를 포함하며,
    상기 네트워크 브리지는 어드레스 및 브리지 포트 데이터를 저장하는 적어도 하나의 포워딩 데이터베이스를 포함하고, 상기 네트워크 브리지는 상기 적어도 하나의 포워딩 데이터베이스에 기초하여 악의적인 공격자들이 비인가된 액세스를 얻는 것을 방지하고, 상기 적어도 하나의 포워딩 데이터베이스와의 매칭에 따라 패킷들을 필터링하도록 구성되고,
    상기 적어도 하나의 포워딩 데이터베이스는 MAC(media access control) 어드레스와 상기 클라이언트 포트들 사이의 관계로서 연결들을 저장하도록 구성되며, 인가된 포워딩 데이터베이스(AFD), 비인가된 포워딩 데이터베이스(UFD), 및 페널티 리스트 데이터베이스(PL)를 적어도 포함하고,
    상기 UFD는 상기 MAC 어드레스와 상기 클라이언트 포트들 사이의 관계로서, 상기 AFD로 이동되거나 상기 UFD로부터 제거되기 전에 상기 네트워크 브리지나 인증자에 의해 지정된 시간 기간 동안 상기 인증자에 의해 인가되어야 하는, 상기 연결들을 저장하도록 구성되며, 상기 UFD는 상기 연결들이 상기 인가에 실패하거나 상기 지정된 시간 기간이 만료하는 경우 상기 연결들을 제거하도록 구성되고,
    상기 PL은 상기 UFD로부터 제거된 상기 연결들을 저장하고, 상기 PL에 저장된 상기 연결들 각각에 할당된 수명 타이머가 만료되면 자동으로 상기 연결들을 제거하도록 구성되며, 상기 수명 타이머의 길이는, 상기 AFD 및 상기 UFD 중 어느 하나에 저장된 상기 MAC 어드레스와 상기 클라이언트 포트들 사이의 관계로서 상기 연결들에 따르는 상기 클라이언트 포트들 이외의 클라이언트 포트들로부터의 DoS(denial of service) 공격을 방지하기 위해, 상기 MAC 어드레스 및 상기 클라이언트 포트의 동일한 조합이 상기 PL에 반복적으로 추가되는 때마다 증가하는 레이트 또는 지수적으로 증가하도록 구성되고,
    상기 네트워크 브리지는 상기 인증자 및 다이나믹 호스트 컨피규레이션 서버에 상기 UFD로의 레코드의 추가 또는 상기 UFD로부터의 레코드의 제거를 통지하도록 구성되고, 상기 통지는 상기 레코드의 MAC 어드레스 및 포트 번호를 포함하는 시스템.
  9. 네트워크 액세스 인증을 위한 시스템으로서,
    악의적인 공격자들이 네트워크로의 비인가된 액세스를 얻는 것을 방지하도록 구성된 네트워크 브리지를 포함하고,
    상기 네트워크 브리지는 적어도 하나의 클라이언트와의 통신을 위한 클라이언트 포트들 및 상기 네트워크와 통신하는 적어도 하나의 서버 포트를 포함하며,
    상기 네트워크 브리지는 어드레스 및 브리지 포트 데이터를 저장하는 적어도 하나의 포워딩 데이터베이스를 포함하고, 상기 네트워크 브리지는 상기 적어도 하나의 포워딩 데이터베이스에 기초하여 악의적인 공격자들이 비인가된 액세스를 얻는 것을 방지하고, 상기 적어도 하나의 포워딩 데이터베이스와의 매칭에 따라 패킷들을 필터링하도록 구성되고,
    상기 적어도 하나의 포워딩 데이터베이스는 MAC(media access control) 어드레스와 상기 클라이언트 포트들 사이의 관계로서 연결들을 저장하도록 구성되며, 인가된 포워딩 데이터베이스(AFD), 비인가된 포워딩 데이터베이스(UFD), 및 페널티 리스트 데이터베이스(PL)를 적어도 포함하고,
    상기 UFD는 상기 MAC 어드레스와 상기 클라이언트 포트들 사이의 관계로서, 상기 AFD로 이동되거나 상기 UFD로부터 제거되기 전에 상기 네트워크 브리지나 인증자에 의해 지정된 시간 기간 동안 상기 인증자에 의해 인가되어야 하는, 상기 연결들을 저장하도록 구성되며, 상기 UFD는 상기 연결들이 상기 인가에 실패하거나 상기 지정된 시간 기간이 만료하는 경우 상기 연결들을 제거하도록 구성되고,
    상기 PL은 상기 UFD로부터 제거된 상기 연결들을 저장하고, 상기 PL에 저장된 상기 연결들 각각에 할당된 수명 타이머가 만료되면 자동으로 상기 연결들을 제거하도록 구성되며, 상기 수명 타이머의 길이는, 상기 AFD 및 상기 UFD 중 어느 하나에 저장된 상기 MAC 어드레스와 상기 클라이언트 포트들 사이의 관계로서 상기 연결들에 따르는 상기 클라이언트 포트들 이외의 클라이언트 포트들로부터의 DoS(denial of service) 공격을 방지하기 위해, 상기 MAC 어드레스 및 상기 클라이언트 포트의 동일한 조합이 상기 PL에 반복적으로 추가되는 때마다 증가하는 레이트 또는 지수적으로 증가하도록 구성되고,
    상기 네트워크 브리지는 상기 인증자 또는 다이나믹 호스트 컨피규레이션 서버 중 어느 하나로부터 상기 UFD로의 레코드의 추가 또는 상기 UFD의 레코드의 제거에 대한 질의에 응답하여 상기 인증자 또는 상기 다이나믹 호스트 컨피규레이션 서버가 클라이언트의 포트 식별자를 알 수 있도록 구성되는 시스템.
KR1020137007645A 2004-07-09 2005-07-08 다이나믹 호스트 컨피규레이션 및 네트워크 액세스 인증 KR101528410B1 (ko)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US58640004P 2004-07-09 2004-07-09
US60/586,400 2004-07-09
US10/975,497 US8688834B2 (en) 2004-07-09 2004-10-29 Dynamic host configuration and network access authentication
US10/975,497 2004-10-29
PCT/US2005/024160 WO2006017133A2 (en) 2004-07-09 2005-07-08 Dynamic host configuration and network access authentication

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
KR1020097014270A Division KR101320721B1 (ko) 2004-07-09 2005-07-08 다이나믹 호스트 컨피규레이션 및 네트워크 액세스 인증

Related Child Applications (1)

Application Number Title Priority Date Filing Date
KR1020147001941A Division KR101591609B1 (ko) 2004-07-09 2005-07-08 다이나믹 호스트 컨피규레이션 및 네트워크 액세스 인증

Publications (2)

Publication Number Publication Date
KR20130059425A KR20130059425A (ko) 2013-06-05
KR101528410B1 true KR101528410B1 (ko) 2015-06-11

Family

ID=35801300

Family Applications (5)

Application Number Title Priority Date Filing Date
KR1020147001941A KR101591609B1 (ko) 2004-07-09 2005-07-08 다이나믹 호스트 컨피규레이션 및 네트워크 액세스 인증
KR1020097014270A KR101320721B1 (ko) 2004-07-09 2005-07-08 다이나믹 호스트 컨피규레이션 및 네트워크 액세스 인증
KR1020077003170A KR100931073B1 (ko) 2004-07-09 2005-07-08 다이나믹 호스트 컨피규레이션 및 네트워크 액세스 인증
KR1020127011243A KR101396042B1 (ko) 2004-07-09 2005-07-08 다이나믹 호스트 컨피규레이션 및 네트워크 액세스 인증
KR1020137007645A KR101528410B1 (ko) 2004-07-09 2005-07-08 다이나믹 호스트 컨피규레이션 및 네트워크 액세스 인증

Family Applications Before (4)

Application Number Title Priority Date Filing Date
KR1020147001941A KR101591609B1 (ko) 2004-07-09 2005-07-08 다이나믹 호스트 컨피규레이션 및 네트워크 액세스 인증
KR1020097014270A KR101320721B1 (ko) 2004-07-09 2005-07-08 다이나믹 호스트 컨피규레이션 및 네트워크 액세스 인증
KR1020077003170A KR100931073B1 (ko) 2004-07-09 2005-07-08 다이나믹 호스트 컨피규레이션 및 네트워크 액세스 인증
KR1020127011243A KR101396042B1 (ko) 2004-07-09 2005-07-08 다이나믹 호스트 컨피규레이션 및 네트워크 액세스 인증

Country Status (6)

Country Link
US (1) US8688834B2 (ko)
EP (1) EP1769384B1 (ko)
JP (2) JP5000501B2 (ko)
KR (5) KR101591609B1 (ko)
CN (1) CN101416176B (ko)
WO (1) WO2006017133A2 (ko)

Families Citing this family (168)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7885644B2 (en) * 2002-10-18 2011-02-08 Kineto Wireless, Inc. Method and system of providing landline equivalent location information over an integrated communication system
US7533407B2 (en) * 2003-12-16 2009-05-12 Microsoft Corporation System and methods for providing network quarantine
JP4298530B2 (ja) * 2004-01-30 2009-07-22 キヤノン株式会社 通信装置
JP2005217976A (ja) * 2004-01-30 2005-08-11 Canon Inc 電子機器及びその制御方法
US7558845B2 (en) * 2004-02-19 2009-07-07 International Business Machines Corporation Modifying a DHCP configuration for one system according to a request from another system
US20050267954A1 (en) * 2004-04-27 2005-12-01 Microsoft Corporation System and methods for providing network quarantine
US7865723B2 (en) * 2004-08-25 2011-01-04 General Instrument Corporation Method and apparatus for multicast delivery of program information
US20060085850A1 (en) * 2004-10-14 2006-04-20 Microsoft Corporation System and methods for providing network quarantine using IPsec
US8619662B2 (en) * 2004-11-05 2013-12-31 Ruckus Wireless, Inc. Unicast to multicast conversion
TWI391018B (zh) 2004-11-05 2013-03-21 Ruckus Wireless Inc 藉由確認抑制之增強資訊量
US8638708B2 (en) 2004-11-05 2014-01-28 Ruckus Wireless, Inc. MAC based mapping in IP based communications
US7505447B2 (en) 2004-11-05 2009-03-17 Ruckus Wireless, Inc. Systems and methods for improved data throughput in communications networks
JP3910611B2 (ja) * 2004-12-28 2007-04-25 株式会社日立製作所 通信支援サーバ、通信支援方法、および通信支援システム
KR100714687B1 (ko) * 2004-12-31 2007-05-04 삼성전자주식회사 복수의 칼럼으로 구성된 그래픽 사용자 인터페이스를제공하는 장치 및 방법
US20060190997A1 (en) * 2005-02-22 2006-08-24 Mahajani Amol V Method and system for transparent in-line protection of an electronic communications network
US20060195610A1 (en) * 2005-02-28 2006-08-31 Sytex, Inc. Security Enhanced Methods And System For IP Address Allocation
US20060250966A1 (en) * 2005-05-03 2006-11-09 Yuan-Chi Su Method for local area network security
US7813511B2 (en) * 2005-07-01 2010-10-12 Cisco Technology, Inc. Facilitating mobility for a mobile station
US7506067B2 (en) * 2005-07-28 2009-03-17 International Business Machines Corporation Method and apparatus for implementing service requests from a common database in a multiple DHCP server environment
US9066344B2 (en) * 2005-09-19 2015-06-23 Qualcomm Incorporated State synchronization of access routers
US7542468B1 (en) * 2005-10-18 2009-06-02 Intuit Inc. Dynamic host configuration protocol with security
US7526677B2 (en) * 2005-10-31 2009-04-28 Microsoft Corporation Fragility handling
US20070256085A1 (en) * 2005-11-04 2007-11-01 Reckamp Steven R Device types and units for a home automation data transfer system
US7870232B2 (en) * 2005-11-04 2011-01-11 Intermatic Incorporated Messaging in a home automation data transfer system
US7698448B2 (en) * 2005-11-04 2010-04-13 Intermatic Incorporated Proxy commands and devices for a home automation data transfer system
US20070121653A1 (en) * 2005-11-04 2007-05-31 Reckamp Steven R Protocol independent application layer for an automation network
US7694005B2 (en) * 2005-11-04 2010-04-06 Intermatic Incorporated Remote device management in a home automation data transfer system
US7903647B2 (en) * 2005-11-29 2011-03-08 Cisco Technology, Inc. Extending sso for DHCP snooping to two box redundancy
US7827545B2 (en) * 2005-12-15 2010-11-02 Microsoft Corporation Dynamic remediation of a client computer seeking access to a network with a quarantine enforcement policy
US8615591B2 (en) * 2006-01-11 2013-12-24 Cisco Technology, Inc. Termination of a communication session between a client and a server
US8006089B2 (en) * 2006-02-07 2011-08-23 Toshiba America Research, Inc. Multiple PANA sessions
US20070198525A1 (en) * 2006-02-13 2007-08-23 Microsoft Corporation Computer system with update-based quarantine
US7675854B2 (en) 2006-02-21 2010-03-09 A10 Networks, Inc. System and method for an adaptive TCP SYN cookie with time validation
US7689168B2 (en) * 2006-03-30 2010-03-30 Sony Ericsson Mobile Communications Ab Remote user interface for Bluetooth™ device
US7793096B2 (en) * 2006-03-31 2010-09-07 Microsoft Corporation Network access protection
US20080076425A1 (en) * 2006-09-22 2008-03-27 Amit Khetawat Method and apparatus for resource management
JP4855162B2 (ja) * 2006-07-14 2012-01-18 株式会社日立製作所 パケット転送装置及び通信システム
US20080019376A1 (en) * 2006-07-21 2008-01-24 Sbc Knowledge Ventures, L.P. Inline network element which shares addresses of neighboring network elements
CN101127600B (zh) * 2006-08-14 2011-12-07 华为技术有限公司 一种用户接入认证的方法
US8625456B1 (en) * 2006-09-21 2014-01-07 World Wide Packets, Inc. Withholding a data packet from a switch port despite its destination address
US7995994B2 (en) * 2006-09-22 2011-08-09 Kineto Wireless, Inc. Method and apparatus for preventing theft of service in a communication system
US8036664B2 (en) * 2006-09-22 2011-10-11 Kineto Wireless, Inc. Method and apparatus for determining rove-out
US20080076392A1 (en) * 2006-09-22 2008-03-27 Amit Khetawat Method and apparatus for securing a wireless air interface
US8204502B2 (en) 2006-09-22 2012-06-19 Kineto Wireless, Inc. Method and apparatus for user equipment registration
US8073428B2 (en) 2006-09-22 2011-12-06 Kineto Wireless, Inc. Method and apparatus for securing communication between an access point and a network controller
EP2074747B1 (en) * 2006-09-28 2015-08-05 PacketFront Network Products AB Method for automatically providing a customer equipment with the correct service
US8279829B2 (en) * 2006-10-10 2012-10-02 Futurewei Technologies, Inc. Multicast fast handover
US8312507B2 (en) 2006-10-17 2012-11-13 A10 Networks, Inc. System and method to apply network traffic policy to an application session
US8584199B1 (en) 2006-10-17 2013-11-12 A10 Networks, Inc. System and method to apply a packet routing policy to an application session
US8418241B2 (en) * 2006-11-14 2013-04-09 Broadcom Corporation Method and system for traffic engineering in secured networks
US8112803B1 (en) * 2006-12-22 2012-02-07 Symantec Corporation IPv6 malicious code blocking system and method
US8245281B2 (en) * 2006-12-29 2012-08-14 Aruba Networks, Inc. Method and apparatus for policy-based network access control with arbitrary network access control frameworks
US8270948B2 (en) * 2007-01-18 2012-09-18 Toshiba America Research, Inc. Solving PANA bootstrapping timing problem
US9661112B2 (en) * 2007-02-22 2017-05-23 International Business Machines Corporation System and methods for providing server virtualization assistance
US8019331B2 (en) * 2007-02-26 2011-09-13 Kineto Wireless, Inc. Femtocell integration into the macro network
US8145905B2 (en) 2007-05-07 2012-03-27 Qualcomm Incorporated Method and apparatus for efficient support for multiple authentications
US20100046516A1 (en) * 2007-06-26 2010-02-25 Media Patents, S.L. Methods and Devices for Managing Multicast Traffic
ES2358546T3 (es) * 2007-06-26 2011-05-11 Media Patents, S. L. Router para administrar grupos multicast.
CN101355425A (zh) * 2007-07-24 2009-01-28 华为技术有限公司 组密钥管理中实现新组员注册的方法、装置及系统
US8547899B2 (en) 2007-07-28 2013-10-01 Ruckus Wireless, Inc. Wireless network throughput enhancement through channel aware scheduling
US8310953B2 (en) * 2007-08-21 2012-11-13 International Business Machines Corporation Method and apparatus for enabling an adapter in a network device to discover the name of another adapter of another network device in a network system
US8509440B2 (en) * 2007-08-24 2013-08-13 Futurwei Technologies, Inc. PANA for roaming Wi-Fi access in fixed network architectures
US8806565B2 (en) * 2007-09-12 2014-08-12 Microsoft Corporation Secure network location awareness
US8239549B2 (en) * 2007-09-12 2012-08-07 Microsoft Corporation Dynamic host configuration protocol
US20090232310A1 (en) * 2007-10-05 2009-09-17 Nokia Corporation Method, Apparatus and Computer Program Product for Providing Key Management for a Mobile Authentication Architecture
KR20090036335A (ko) * 2007-10-09 2009-04-14 삼성전자주식회사 휴대 방송 시스템에서 효율적인 키 제공 방법 및 그에 따른시스템
US8064449B2 (en) * 2007-10-15 2011-11-22 Media Patents, S.L. Methods and apparatus for managing multicast traffic
EP2213042A1 (en) * 2007-10-15 2010-08-04 Media Patents, S. L. Method for managing multicast traffic in a data network and network equipment using said method
KR100942719B1 (ko) * 2007-10-22 2010-02-16 주식회사 다산네트웍스 동적 호스트 설정 프로토콜 스누핑 기능을 구비한 장치
KR100958283B1 (ko) * 2007-10-22 2010-05-19 주식회사 다산네트웍스 동적 호스트 설정 프로토콜 스누핑 기능을 구비한 장치
US9225684B2 (en) * 2007-10-29 2015-12-29 Microsoft Technology Licensing, Llc Controlling network access
WO2009056175A1 (en) * 2007-10-30 2009-05-07 Soporte Multivendor S.L. Method for managing multicast traffic between routers communicating by means of a protocol integrating the pim protocol; and router and switch involved in said method
US8295300B1 (en) * 2007-10-31 2012-10-23 World Wide Packets, Inc. Preventing forwarding of multicast packets
US8411866B2 (en) * 2007-11-14 2013-04-02 Cisco Technology, Inc. Distribution of group cryptography material in a mobile IP environment
US8155588B2 (en) * 2007-12-27 2012-04-10 Lenovo (Singapore) Pte. Ltd. Seamless hand-off of bluetooth pairings
JP5216336B2 (ja) * 2008-01-23 2013-06-19 株式会社日立製作所 計算機システム、管理サーバ、および、不一致接続構成検知方法
US9031068B2 (en) * 2008-02-01 2015-05-12 Media Patents, S.L. Methods and apparatus for managing multicast traffic through a switch
WO2009095041A1 (en) * 2008-02-01 2009-08-06 Soporte Multivendor S.L. Method for managing multicast traffic through a switch operating in the layer 2 of the osi model, and router and switch involved in said method
US8621198B2 (en) * 2008-02-19 2013-12-31 Futurewei Technologies, Inc. Simplified protocol for carrying authentication for network access
WO2009109684A1 (es) * 2008-03-05 2009-09-11 Media Patents, S. L. Procedimiento para monitorizar o gestionar equipos conectados a una red de datos
KR20090096121A (ko) * 2008-03-07 2009-09-10 삼성전자주식회사 IPv6 네트워크의 상태 보존형 주소 설정 프로토콜 처리방법 및 그 장치
US20090262703A1 (en) * 2008-04-18 2009-10-22 Amit Khetawat Method and Apparatus for Encapsulation of RANAP Messages in a Home Node B System
US8953601B2 (en) * 2008-05-13 2015-02-10 Futurewei Technologies, Inc. Internet protocol version six (IPv6) addressing and packet filtering in broadband networks
US8661252B2 (en) * 2008-06-20 2014-02-25 Microsoft Corporation Secure network address provisioning
US8891358B2 (en) * 2008-10-16 2014-11-18 Hewlett-Packard Development Company, L.P. Method for application broadcast forwarding for routers running redundancy protocols
JP5003701B2 (ja) * 2009-03-13 2012-08-15 ソニー株式会社 サーバ装置及び設定情報の共有化方法
CN101931607A (zh) * 2009-06-23 2010-12-29 中兴通讯股份有限公司 一种宽带接入设备中防止用户地址欺骗的方法和装置
US8189584B2 (en) 2009-07-27 2012-05-29 Media Patents, S. L. Multicast traffic management in a network interface
CN101640787B (zh) * 2009-08-24 2011-10-26 中兴通讯股份有限公司 一种层次化控制访问组播组的方法和装置
US9960967B2 (en) 2009-10-21 2018-05-01 A10 Networks, Inc. Determining an application delivery server based on geo-location information
CN102763378B (zh) * 2009-11-16 2015-09-23 鲁库斯无线公司 建立具有有线和无线链路的网状网络
US9979626B2 (en) * 2009-11-16 2018-05-22 Ruckus Wireless, Inc. Establishing a mesh network with wired and wireless links
WO2011064858A1 (ja) * 2009-11-26 2011-06-03 株式会社 東芝 無線認証端末
US20110149960A1 (en) * 2009-12-17 2011-06-23 Media Patents, S.L. Method and apparatus for filtering multicast packets
KR101624749B1 (ko) * 2010-01-29 2016-05-26 삼성전자주식회사 패킷 기반 통신 시스템에서 단말의 절전 모드 제어 방법 및 장치
CN101883090A (zh) * 2010-04-29 2010-11-10 北京星网锐捷网络技术有限公司 一种客户端的接入方法、设备及系统
CN101924801B (zh) * 2010-05-21 2013-04-24 中国科学院计算机网络信息中心 Ip地址管理方法和系统、动态主机配置协议服务器
CN101945143A (zh) * 2010-09-16 2011-01-12 中兴通讯股份有限公司 一种在混合组网下防止报文地址欺骗的方法及装置
US9215275B2 (en) 2010-09-30 2015-12-15 A10 Networks, Inc. System and method to balance servers based on server load status
US9609052B2 (en) 2010-12-02 2017-03-28 A10 Networks, Inc. Distributing application traffic to servers based on dynamic service response time
CN102591886B (zh) * 2011-01-06 2016-01-20 阿尔卡特朗讯 在分布式数据库架构中维护会话-主机关系的容错方法
JP5105124B2 (ja) * 2011-02-24 2012-12-19 Necアクセステクニカ株式会社 ルータ装置、プレフィクス管理にもとづくパケット制御方法およびプログラム
CN103716179A (zh) * 2011-03-09 2014-04-09 成都勤智数码科技股份有限公司 一种基于Telnet/SSH的网络终端管理的方法
US9521108B2 (en) * 2011-03-29 2016-12-13 Intel Corporation Techniques enabling efficient synchronized authenticated network access
KR101231975B1 (ko) * 2011-05-12 2013-02-08 (주)이스트소프트 차단서버를 이용한 스푸핑 공격 방어방법
CN102882907A (zh) * 2011-07-14 2013-01-16 鸿富锦精密工业(深圳)有限公司 客户端配置系统及方法
KR101125612B1 (ko) * 2011-10-04 2012-03-27 (주)넷맨 불법 dhcp 서버 감지 및 차단 방법
US8897154B2 (en) 2011-10-24 2014-11-25 A10 Networks, Inc. Combining stateless and stateful server load balancing
JP5824326B2 (ja) * 2011-10-28 2015-11-25 キヤノン株式会社 管理装置、管理方法、およびプログラム
US9100940B2 (en) 2011-11-28 2015-08-04 Cisco Technology, Inc. System and method for extended wireless access gateway service provider Wi-Fi offload
CN103139163B (zh) * 2011-11-29 2016-01-13 阿里巴巴集团控股有限公司 数据访问方法、服务器和终端
US9386088B2 (en) 2011-11-29 2016-07-05 A10 Networks, Inc. Accelerating service processing using fast path TCP
US9094364B2 (en) 2011-12-23 2015-07-28 A10 Networks, Inc. Methods to manage services over a service gateway
US10044582B2 (en) 2012-01-28 2018-08-07 A10 Networks, Inc. Generating secure name records
US9025494B1 (en) * 2012-03-27 2015-05-05 Infoblox Inc. IPv6 network device discovery
US9118618B2 (en) 2012-03-29 2015-08-25 A10 Networks, Inc. Hardware-based packet editor
CN103517270B (zh) * 2012-06-29 2016-12-07 鸿富锦精密工业(深圳)有限公司 设定预共享密钥的方法、服务器及客户端装置
US8782221B2 (en) 2012-07-05 2014-07-15 A10 Networks, Inc. Method to allocate buffer for TCP proxy session based on dynamic network conditions
US8990916B2 (en) 2012-07-20 2015-03-24 Cisco Technology, Inc. System and method for supporting web authentication
US9843484B2 (en) 2012-09-25 2017-12-12 A10 Networks, Inc. Graceful scaling in software driven networks
US10002141B2 (en) 2012-09-25 2018-06-19 A10 Networks, Inc. Distributed database in software driven networks
US9106561B2 (en) 2012-12-06 2015-08-11 A10 Networks, Inc. Configuration of a virtual service network
JP2015534769A (ja) 2012-09-25 2015-12-03 エイ10 ネットワークス インコーポレイテッドA10 Networks, Inc. データネットワークにおける負荷分散
US10021174B2 (en) 2012-09-25 2018-07-10 A10 Networks, Inc. Distributing service sessions
US8875256B2 (en) * 2012-11-13 2014-10-28 Advanced Micro Devices, Inc. Data flow processing in a network environment
US9338225B2 (en) 2012-12-06 2016-05-10 A10 Networks, Inc. Forwarding policies on a virtual service network
CN104871500A (zh) * 2012-12-19 2015-08-26 日本电气株式会社 通信节点、控制装置、通信系统、分组处理方法、通信节点控制方法及程序
CN103916359A (zh) * 2012-12-30 2014-07-09 航天信息股份有限公司 防止网络中arp中间人攻击的方法和装置
US9531846B2 (en) 2013-01-23 2016-12-27 A10 Networks, Inc. Reducing buffer usage for TCP proxy session based on delayed acknowledgement
US8837328B2 (en) * 2013-01-23 2014-09-16 Qualcomm Incorporated Systems and methods for pre-association discovery of services on a network
US9900252B2 (en) 2013-03-08 2018-02-20 A10 Networks, Inc. Application delivery controller and global server load balancer
WO2014144837A1 (en) 2013-03-15 2014-09-18 A10 Networks, Inc. Processing data packets using a policy based network path
US10038693B2 (en) 2013-05-03 2018-07-31 A10 Networks, Inc. Facilitating secure network traffic by an application delivery controller
US10027761B2 (en) 2013-05-03 2018-07-17 A10 Networks, Inc. Facilitating a secure 3 party network session by a network device
CN104184583B (zh) * 2013-05-23 2017-09-12 中国电信股份有限公司 用于分配ip地址的方法和系统
CN104243413A (zh) * 2013-06-14 2014-12-24 航天信息股份有限公司 对局域网中的arp中间人攻击进行防范的方法和系统
KR102064500B1 (ko) * 2013-08-01 2020-01-09 휴렛-팩커드 디벨롭먼트 컴퍼니, 엘.피. 화상형성장치의 서비스 제공 제어 방법 및 서비스 제공을 제어하는 화상형성장치
US10230770B2 (en) 2013-12-02 2019-03-12 A10 Networks, Inc. Network proxy layer for policy-based application proxies
US9942152B2 (en) 2014-03-25 2018-04-10 A10 Networks, Inc. Forwarding data packets using a service-based forwarding policy
US9942162B2 (en) 2014-03-31 2018-04-10 A10 Networks, Inc. Active application response delay time
US9906422B2 (en) 2014-05-16 2018-02-27 A10 Networks, Inc. Distributed system to determine a server's health
US10129122B2 (en) 2014-06-03 2018-11-13 A10 Networks, Inc. User defined objects for network devices
US9986061B2 (en) 2014-06-03 2018-05-29 A10 Networks, Inc. Programming a data network device using user defined scripts
US9992229B2 (en) 2014-06-03 2018-06-05 A10 Networks, Inc. Programming a data network device using user defined scripts with licenses
KR20170065575A (ko) * 2014-09-24 2017-06-13 브이5 시스템즈, 인크. 동적 데이터 관리
US10268467B2 (en) 2014-11-11 2019-04-23 A10 Networks, Inc. Policy-driven management of application traffic for providing services to cloud-based applications
CN104581701B (zh) * 2014-12-12 2018-02-09 郑锋 一种多移动终端和多接入终端连接绑定方法及其网络系统
US9973304B2 (en) * 2014-12-31 2018-05-15 Echostar Technologies Llc Communication signal isolation on a multi-port device
US10721206B2 (en) 2015-02-27 2020-07-21 Arista Networks, Inc. System and method of persistent address resolution synchronization
US10581976B2 (en) 2015-08-12 2020-03-03 A10 Networks, Inc. Transmission control of protocol state exchange for dynamic stateful service insertion
US10243791B2 (en) 2015-08-13 2019-03-26 A10 Networks, Inc. Automated adjustment of subscriber policies
US10084705B2 (en) 2015-10-30 2018-09-25 Microsoft Technology Licensing, Llc Location identification of prior network message processor
US10505948B2 (en) * 2015-11-05 2019-12-10 Trilliant Networks, Inc. Method and apparatus for secure aggregated event reporting
US10171422B2 (en) * 2016-04-14 2019-01-01 Owl Cyber Defense Solutions, Llc Dynamically configurable packet filter
JP6600606B2 (ja) * 2016-07-04 2019-10-30 エイチ・シー・ネットワークス株式会社 サーバ装置およびネットワークシステム
US20180013798A1 (en) * 2016-07-07 2018-01-11 Cisco Technology, Inc. Automatic link security
JP6914661B2 (ja) * 2017-01-27 2021-08-04 キヤノン株式会社 通信装置および通信装置の制御方法
JP6793056B2 (ja) * 2017-02-15 2020-12-02 アラクサラネットワークス株式会社 通信装置及びシステム及び方法
CN107483480B (zh) * 2017-09-11 2020-05-12 杭州迪普科技股份有限公司 一种地址的处理方法及装置
US10791091B1 (en) * 2018-02-13 2020-09-29 Architecture Technology Corporation High assurance unified network switch
US11057769B2 (en) 2018-03-12 2021-07-06 At&T Digital Life, Inc. Detecting unauthorized access to a wireless network
US11429753B2 (en) * 2018-09-27 2022-08-30 Citrix Systems, Inc. Encryption of keyboard data to avoid being read by endpoint-hosted keylogger applications
US11641374B2 (en) * 2020-05-26 2023-05-02 Dell Products L.P. Determine a trusted dynamic host configuration protocol (DHCP) server in a DHCP snooping environment
CN114157631B (zh) * 2021-11-30 2024-02-20 深圳市共进电子股份有限公司 一种获取终端信息的方法、装置、拓展设备及存储介质
CN114666130B (zh) * 2022-03-23 2024-06-07 北京从云科技有限公司 一种web安全反向代理方法
JP2024129496A (ja) * 2023-03-13 2024-09-27 株式会社デンソー 生産指示システム
CN117135772B (zh) * 2023-08-22 2024-06-04 深圳市众通源科技发展有限公司 一种网桥管理方法
CN117061485B (zh) * 2023-10-12 2024-02-09 广东广宇科技发展有限公司 一种用于动态ip的通信线路验证方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR19990021934A (ko) * 1995-06-07 1999-03-25 미키오 이시마루 전 2중이서네트용 802.3 매체접근제어 및 연관신호스킴
KR20010092028A (ko) * 2000-03-13 2001-10-24 윤종용 네트워크상의 장치에서의 패킷 필터링방법
US6393484B1 (en) * 1999-04-12 2002-05-21 International Business Machines Corp. System and method for controlled access to shared-medium public and semi-public internet protocol (IP) networks

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6640251B1 (en) 1999-03-12 2003-10-28 Nortel Networks Limited Multicast-enabled address resolution protocol (ME-ARP)
US6615264B1 (en) * 1999-04-09 2003-09-02 Sun Microsystems, Inc. Method and apparatus for remotely administered authentication and access control
US6704789B1 (en) * 1999-05-03 2004-03-09 Nokia Corporation SIM based authentication mechanism for DHCPv4/v6 messages
US7882247B2 (en) * 1999-06-11 2011-02-01 Netmotion Wireless, Inc. Method and apparatus for providing secure connectivity in mobile and other intermittent computing environments
ATE432561T1 (de) 1999-10-22 2009-06-15 Nomadix Inc System und verfahren zur dynamischen berechtigung,authentifizierung und abrechnung in netzwerken
US6587680B1 (en) * 1999-11-23 2003-07-01 Nokia Corporation Transfer of security association during a mobile terminal handover
JP2001292135A (ja) 2000-04-07 2001-10-19 Matsushita Electric Ind Co Ltd 鍵交換システム
JP2002084306A (ja) 2000-06-29 2002-03-22 Hitachi Ltd パケット通信装置及びネットワークシステム
US7627116B2 (en) * 2000-09-26 2009-12-01 King Green Ltd. Random data method and apparatus
US20020075844A1 (en) * 2000-12-15 2002-06-20 Hagen W. Alexander Integrating public and private network resources for optimized broadband wireless access and method
US20020199120A1 (en) * 2001-05-04 2002-12-26 Schmidt Jeffrey A. Monitored network security bridge system and method
US7325246B1 (en) * 2002-01-07 2008-01-29 Cisco Technology, Inc. Enhanced trust relationship in an IEEE 802.1x network
CN1292354C (zh) 2002-02-08 2006-12-27 联想网御科技(北京)有限公司 基于桥的二层交换式防火墙包过滤的方法
JP3647433B2 (ja) 2002-10-25 2005-05-11 松下電器産業株式会社 無線通信管理方法及び無線通信管理サーバ
US7458095B2 (en) 2002-11-18 2008-11-25 Nokia Siemens Networks Oy Faster authentication with parallel message processing
US7532588B2 (en) * 2003-02-19 2009-05-12 Nec Corporation Network system, spanning tree configuration method and configuration program, and spanning tree configuration node
US7523485B1 (en) * 2003-05-21 2009-04-21 Foundry Networks, Inc. System and method for source IP anti-spoofing security
US20050060535A1 (en) * 2003-09-17 2005-03-17 Bartas John Alexander Methods and apparatus for monitoring local network traffic on local network segments and resolving detected security and network management problems occurring on those segments
US20050177515A1 (en) * 2004-02-06 2005-08-11 Tatara Systems, Inc. Wi-Fi service delivery platform for retail service providers
US20060002426A1 (en) * 2004-07-01 2006-01-05 Telefonaktiebolaget L M Ericsson (Publ) Header compression negotiation in a telecommunications network using the protocol for carrying authentication for network access (PANA)
US20060002557A1 (en) * 2004-07-01 2006-01-05 Lila Madour Domain name system (DNS) IP address distribution in a telecommunications network using the protocol for carrying authentication for network access (PANA)

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR19990021934A (ko) * 1995-06-07 1999-03-25 미키오 이시마루 전 2중이서네트용 802.3 매체접근제어 및 연관신호스킴
US6393484B1 (en) * 1999-04-12 2002-05-21 International Business Machines Corp. System and method for controlled access to shared-medium public and semi-public internet protocol (IP) networks
KR20010092028A (ko) * 2000-03-13 2001-10-24 윤종용 네트워크상의 장치에서의 패킷 필터링방법

Also Published As

Publication number Publication date
JP5470113B2 (ja) 2014-04-16
KR20130059425A (ko) 2013-06-05
KR20120076366A (ko) 2012-07-09
WO2006017133A2 (en) 2006-02-16
WO2006017133A3 (en) 2009-04-02
KR101396042B1 (ko) 2014-05-15
US8688834B2 (en) 2014-04-01
KR100931073B1 (ko) 2009-12-10
JP2010183604A (ja) 2010-08-19
EP1769384B1 (en) 2014-01-22
JP2008536338A (ja) 2008-09-04
CN101416176B (zh) 2015-07-29
US20060036733A1 (en) 2006-02-16
KR101591609B1 (ko) 2016-02-03
KR20090089456A (ko) 2009-08-21
EP1769384A4 (en) 2012-04-04
KR20140025600A (ko) 2014-03-04
KR101320721B1 (ko) 2013-10-21
JP5000501B2 (ja) 2012-08-15
KR20070032061A (ko) 2007-03-20
EP1769384A2 (en) 2007-04-04
CN101416176A (zh) 2009-04-22

Similar Documents

Publication Publication Date Title
KR101528410B1 (ko) 다이나믹 호스트 컨피규레이션 및 네트워크 액세스 인증
CA2414216C (en) A secure ip access protocol framework and supporting network architecture
US9112909B2 (en) User and device authentication in broadband networks
US9577984B2 (en) Network initiated alerts to devices using a local connection
CN102123157B (zh) 一种认证方法及系统
US20100107223A1 (en) Network Access Method, System, and Apparatus
CA2414044C (en) A secure ip access protocol framework and supporting network architecture
JP2004040762A (ja) アドレスに基づく鍵を使用することによる近隣発見の保護
US9930049B2 (en) Method and apparatus for verifying source addresses in a communication network
EP2347560A1 (en) Secure access in a communication network
US7933253B2 (en) Return routability optimisation
Liyanage et al. Securing virtual private LAN service by efficient key management
WO2009082950A1 (fr) Procédé, dispositif et système de distribution de clés
Liyanage et al. Secure hierarchical virtual private LAN services for provider provisioned networks
EP3264710B1 (en) Securely transferring the authorization of connected objects
JP2006345302A (ja) ゲートウェイ装置およびプログラム
Bjarnason RFC 8994: An Autonomic Control Plane (ACP)

Legal Events

Date Code Title Description
A107 Divisional application of patent
A201 Request for examination
E902 Notification of reason for refusal
A107 Divisional application of patent
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20180129

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20190313

Year of fee payment: 5