KR101881344B1 - 스위칭 센터에 의한 제1 디바이스의 인증 - Google Patents

스위칭 센터에 의한 제1 디바이스의 인증 Download PDF

Info

Publication number
KR101881344B1
KR101881344B1 KR1020157007623A KR20157007623A KR101881344B1 KR 101881344 B1 KR101881344 B1 KR 101881344B1 KR 1020157007623 A KR1020157007623 A KR 1020157007623A KR 20157007623 A KR20157007623 A KR 20157007623A KR 101881344 B1 KR101881344 B1 KR 101881344B1
Authority
KR
South Korea
Prior art keywords
switching center
identifier
network
mac address
data structure
Prior art date
Application number
KR1020157007623A
Other languages
English (en)
Other versions
KR20150047588A (ko
Inventor
카이 피셔
슈테펜 프리이스
유르겐 게쓰너
Original Assignee
지멘스 악티엔게젤샤프트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 지멘스 악티엔게젤샤프트 filed Critical 지멘스 악티엔게젤샤프트
Publication of KR20150047588A publication Critical patent/KR20150047588A/ko
Application granted granted Critical
Publication of KR101881344B1 publication Critical patent/KR101881344B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • H04L61/6022
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/622Layer-2 addresses, e.g. medium access control [MAC] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices
    • H04W88/04Terminal devices adapted for relaying to or from another terminal or user

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

물리적 네트워크로의 액세스를 얻기 위하여, 액세스를 얻으려고 시도하는 디바이스들은 상위 엔티티, 예컨대 스위치에 의해 인증된다. 스위치가 알려지지 않은 MAC 주소를 포트에서 검출하자마자, 연관된 디바이스는 인증되어야 한다. 본 발명은, 네트워크 내의 스위칭 센터에 의한 제1 디바이스의 단순화된 인증을 위한 방법, 제1 디바이스, 및 스위칭 센터에 관한 것이고, 여기서 부가적인, 예컨대 가상의 네트워크 인터페이스들의 사용에 의해 유발되는 요건들이 고려된다. 본 발명에 따라, 디바이스는 인증을 위한 부가적인 MAC 주소들을 전송하기 위해 인증서들을 사용하고, 그 결과 복수의 MAC 주소들을 갖는 디바이스는 복수의 MAC 주소들로부터 네트워크로의 액세스를 1회(one-off) 인증 프로세스에서 얻는다.

Description

스위칭 센터에 의한 제1 디바이스의 인증{AUTHENTICATION OF A FIRST DEVICE BY A SWITCHING CENTRE}
본 발명은 네트워크(network) 내의 스위칭 센터(switching center)에 의해, 제1 디바이스(device)를 인증하기 위한 방법, 제1 디바이스, 및 스위칭 센터에 관한 것이다.
물리적 네트워크로의 액세스(access)를 얻기 위하여, 액세스를 얻기를 원하는 디바이스들은 상위 엔티티(superordinate entity)에 의해 인증된다. 인증은 종종 IEEE 802.1X 표준을 이용하여 수행되고, 상기의 경우, 인증은 일반적으로 IEEE 802.1X-가능 스위치(enabled switch)의 도움으로 수행되고, 상기 스위치의 포트(port)에 디바이스들이 연결된다. 이 경우, 디바이스들은 MAC(Media Access Control) 주소에 의해 식별된다. 스위치가 알려지지 않은 MAC 주소를 포트에서 검출하자마자 또는 물리적 연결이 인터럽팅(interrupting)되자마자, 연관된 디바이스는 다시 인증되어야 하거나, 또는 디바이스는 스위치에 의해 다시 인증되어야 한다.
서버 환경(server environment)에서 뿐만 아니라 클라이언트 영역(client area)에서도 가상화 솔루션(virtualization solution)들이 점점 더 사용되고 있다. 이는, 클라이언트 디바이스가, 물리적 네트워크 인터페이스(physical network interface)들에 부가하여, 부가적인 MAC 주소들을 갖는 가상 인터페이스들을 또한 갖게 야기한다.
소위 멀티-호스트 인증(multi-host authentification)을 지원하는 IEEE 802.1X-가능 스위치들이 종래 기술로부터 알려져 있다. 이 경우, 제1 액세스 동작만이 인증된다. 부가하여, 스위치의 동일 포트에 연결된 모든 다른 디바이스들 또는 가상 네트워크 인터페이스들은 인증될 필요가 없다.
또한, 소위 멀티-도메인 인증(multi-domain authentification)을 지원하는 IEEE 802.1X-가능 스위치들이 종래 기술로부터 알려져 있다. 이 경우, 각각의 디바이스 또는 각각의 네트워크 인터페이스 ―가상 네트워크 인터페이스들을 포함함― 는 다시 인증되어야 하는데, 그 이유는 물리적 네트워크에서 보일 수 있는 가상 MAC 주소들이 스위치에 알려져 있지 않기 때문이다.
유사한 상황이 자동화 환경에 적용되고: 프로피넷(Profinet) 디바이스들은, 각각의 네트워크 인터페이스에 대한 MAC 주소에 부가하여, 부가적으로 디바이스-특정 MAC 주소를 갖는다.
이러한 배경에 대하여, 본 발명의 목적은 네트워크들 내에서의 단순화된 인증 프로세스(process)에 대한 가능성을 제공하는 것이고, 상기의 경우 부가적인 네트워크 인터페이스들의 사용으로부터 도출되는 요건들이 고려된다.
이 목적은 독립 청구항들에서 진술되는 특징들에 따른 방법, 제1 디바이스, 및 스위칭 센터에 의하여 달성된다.
유리한 실시예들 및 발전들은 종속 청구항들에서 진술된다.
아래에 언급되는 장점들이 반드시 독립 특허 청구항들의 발명의 요지들에 의해 달성될 필요는 없다. 그보다는, 이들은 또한, 개별 실시예들 또는 발전들에 의해서만 달성되는 장점들일 수 있다.
본 발명에 따라, 네트워크 내의 스위칭 센터에 의한 제1 디바이스를 인증하기 위한 방법은 하기의 단계들을 갖는다:
제1 디바이스가 데이터 구조(data structure)의 식별 영역(identity region)에서 제1 식별자를 스위칭 센터에 송신한다. 제1 디바이스는 데이터 구조의 확장된 식별 영역에서 적어도 하나의 부가적인 식별자를 스위칭 센터에 송신한다. 스위칭 센터는 송신된 제1 식별자 및 송신된 부가적인 식별자에 기초하여 제1 디바이스를 인증한다.
부가하여, 설명된 방법에 따라 스위칭 센터에 의해 인증되는 디바이스들은, 인증이 부가적으로 수행되도록 의도된 네트워크 인터페이스들을 표시한다. 그러므로, 네트워크 내의 제1 디바이스는 상기 제1 디바이스의 물리적 네트워크 인터페이스에 기초하여 틀림없이 단 한 번만 인증될 것이다. 동시에, 제1 디바이스는, 마찬가지로 인증이 수행되도록 의도된 부가적인 네트워크 인터페이스들을 표시한다.
그러므로, 스위치의 동일 포트에 연결되는 다른 디바이스들 또는 그들의 가상 네트워크 인터페이스들이 원하는 대로 틀림없이 인증될 것임이 또한 보장된다. 그러므로, 복수의 네트워크 인터페이스들로부터 네트워크로의 액세스가 인증되는 1회(one-off) 인증 프로세스에서, 각각의 디바이스에 대해 인증이 수행된다.
일 실시예에 따라, 제1 디바이스는 물리적 네트워크 인터페이스에 속하는 제1 MAC 주소를 제1 식별자로서 송신하고, 그리고 가상 네트워크 인터페이스에 속하는 부가적인 MAC 주소 또는 물리적 네트워크 인터페이스에 속하는 제2 MAC 주소를 부가적인 식별자로서 송신한다.
이 경우, 네트워크 인터페이스들은 MAC 주소들에 의해 특정된다. 그러므로, 가상 네트워크 인터페이스에 속하는 MAC 주소, 및 제1 MAC 주소에 부가하여, 물리적 네트워크 인터페이스에 할당된 제2 MAC 주소 둘 다는, 인증 프로세스에 부수적으로 포함될 수 있다.
일 실시예에 따라, 데이터 구조는, 플레이스홀더(placeholder)의 도움으로 적어도 하나의 부가적인 MAC 주소가 확장된 식별 영역에서 표시되는 인증서의 형태이다.
그러므로, 인증이 수행되도록 의도된 특정 범위의 주소들을 표시하기 위해, 플레이스홀더를 갖는 엔트리(entry)가 인증서에서 사용될 수 있다. 예컨대, 주소의 앞쪽 부분에서의 플레이스홀더의 사용을 통해 주소의 앞쪽 부분이 특정되지 않는다면, 특정한 엔딩(ending)을 갖는 모든 주소들에 대해 식별이 수행될 수 있다. 그러나, 예컨대, 총 여섯 개의 바이트(byte)들 중 첫 번째 세 개의 바이트들은 제조업자 식별자로서 고정된 상태로 또한 남아 있을 수 있고, 그리고 제조업자에 의해 자유롭게 선택될 수 있는 추가적인 세 개의 바이트들은 부가적인 MAC 주소들에 대해 가변될 수 있다. 이 경우, 특히, 최종 바이트는 디바이스 버전(device version)을 포함할 수 있고, 플레이스홀더를 이용하여, 다수의 디바이스 버전들이 포함될 수 있다. 이 경우, 특정 제작 연도부터의 디바이스들을 포함하는 플레이스홀더가 생각될 수 있다.
일 실시예에 따라, MAC 주소 내의 제조업자 식별자를 마스크(mask)에 의하여 교체함으로써, 적어도 하나의 부가적인 MAC 주소가 생성된다.
MAC 주소의 여섯 개의 바이트들 중 첫 번째 세 개의 바이트들에 있는 제조업자 식별 번호를 덮어쓰기 함으로써 가상 MAC 주소들이 생성되는 MAC 주소 구조가 생각될 수 있다. 최종 세 개의 바이트들은 물리적 네트워크 카드(physical network card)에 대해 특정하고, 식별을 위한 기초로서 사용된다. 마스크에 의하여, 구성 동안, MAC 주소의 개별 바이트들, 특히 제조업자 바이트들이 덮어쓰기 될 수 있다.
일 발전에 따라, 데이터 구조는, 부가적인 MAC 주소에 대응하는 인터넷 프로토콜(Internet protocol) 주소가 확장된 식별 영역에서 부가적인 식별자로서 송신되는 인증서의 형태이다.
MAC 주소가 인터넷 프로토콜 버전 6 주소(IPv6 주소)의 일부라면, 각각의 부가적인 가상 네트워크 인터페이스에 대한 부가적인 식별자로서 IP 주소가 인증서에 표시될 수 있다.
일 발전에 따라, 데이터 구조는, 디바이스 인증서(device certificate) 또는 속성 인증서(attribute certificate)의 형태이다.
디바이스 인증서, 특히 X.509 디바이스 인증서를 이용하여, RFC 5280 표준에 따라, 부가적인 식별자로서 송신되는 모든 대안적 신원들을 확장된 식별자에 표시하는 것이 가능해지고, 상기의 경우 디바이스 인증서를 이용하여 인증되는 디바이스로의 할당은 즉시 제공된다.
부가적인 식별자가 속성 인증서의 확장된 식별 영역에서 송신된다면, 디바이스의 제조 동안 인증서가 발행(issue)될 수 있고, 상기 인증서에 MAC 주소가 저장되며, 그리고 후속하여, 주소들이 요구되는지 그리고 얼마나 많은 주소들이 요구되는지와 관계없이, 디바이스의 동작 동안, 이 MAC 주소는 추가적인 가상 주소들로 보충된다. 따라서, 제조 및 추후 사용이 효과적으로 분리될 수 있다.
일 발전에 따라, 데이터 구조는, 믿을 수 있는 인증 기관(trusted certification authority)의 서명(signature)에 의해, 조작으로부터 보호되는 디바이스 인증서 또는 속성 인증서의 형태이다.
그러므로, 가상 네트워크 인터페이스들 또는 물리적 네트워크 인터페이스들 및 그들의 개개의 주소들을 인증할 때, 고도의 보안 표준이 보장된다.
다른 실시예에 따라, 네트워크 내의 적어도 하나의 제2 디바이스가 전술된 실시예들 또는 발전들 중 하나에 따른 방법 단계들로 스위칭 센터에 의해 인증된다.
네트워크에 액세스할 목적을 위해 인증되는 두 개 이상의 디바이스들이 네트워크에 존재한다면, 인증 방법은 네트워크 내의 각각의 디바이스에 대해 별개로 수행된다. 각각의 물리적 디바이스에 대해 또는 각각의 물리적 네트워크 인터페이스에 대해 인증 방법이 수행된다.
일 발전에 따라, 제1 디바이스가 스위칭 센터에 의해 성공적으로 인증된 이후, 제1 디바이스는 스위칭 센터에 의해 네트워크로의 액세스를 승인받는다. 이는, 위에서 설명된 실시예들 또는 발전들 중 하나에 따른 인증 방법이 이전에 실행되었고 그리고 디바이스가 인증된 경우에만, 디바이스가 네트워크 인터페이스를 통해 네트워크에 액세스할 수 있음을 보장한다.
일 발전에 따라, 제2 디바이스가 스위칭 센터에 의해 성공적으로 인증된 이후, 제2 디바이스는 스위칭 센터에 의해 네트워크로의 액세스를 승인받는다.
그러므로, 디바이스가 네트워크로 액세스하게 허가받도록 승인하는 허가 단계는 각각의 디바이스에 대해 수행된다. 그러므로, 다중 인증이 요구되지 않고도, 복수의 네트워크 인터페이스들 또는 주소들을 이용하여 1회(one-off) 인증 프로세스에서, 디바이스가 네트워크로의 액세스를 승인받는다. 그럼에도 불구하고, 디바이스들이 연속하여 연결된다면, 디바이스들의 별개의 인증 및 그에 따른 별개의 허가가 수행되고, 그 결과 각각의 디바이스에 대해 별개의 인증 및 허가를 규정하는 보안 표준들을 보존하는 것이 가능하다.
본 발명의 다른 양상은 네트워크 내에서의 인증을 위한 제1 디바이스를 제공하고, 상기 제1 디바이스는 데이터 구조의 식별 영역에서 제1 식별자를 스위칭 센터에 통신하고, 그리고 상기 제1 디바이스는 상기 데이터 구조의 확장된 식별 영역에서 적어도 하나의 부가적인 식별자를 상기 스위칭 센터에 송신한다.
본 발명의 다른 양상은 스위칭 센터를 제공하고, 상기 스위칭 센터는 제1 디바이스에 의해 송신된 제1 식별자 및 상기 제1 디바이스에 의해 송신된 적어도 하나의 부가적인 식별자에 기초하여 상기 제1 디바이스를 인증한다.
본 발명은, 도면들을 이용하여, 예시적 실시예들에 대해 아래에서 더욱 상세히 설명된다.
도 1은 본 발명에 따른 방법의 일 예시적 실시예에 따라 인증을 위한 필수 컴포넌트(component)들 및 방법 단계들의 개략적인 어레인지먼트(arrangement)를 도시한다.
도 2는 본 발명의 일 예시적 실시예에 따른 데이터 구조의 개략적인 예시를 도시한다.
도 1은 본 발명의 예시적 실시예를 도시하고, 여기서 제1 디바이스(100) 및 제2 디바이스(200)는 산업 자동화 설비의 네트워크(400)에서 연속하여 연결되고, 그리고 스위칭 센터의 공통 포트에 연결되며, 상기 스위칭 센터는 본 예에서 스위치(300)에 의하여 구현된다. 이러한 라인 토폴로지(line topology)에서, 제1 디바이스(100) 및 제2 디바이스(200) 둘 다가 별개로 인증되는 것이 바람직하다.
제1 단계(S1)에서, 제1 디바이스(100)는 제1 디바이스(100)의 물리적 네트워크 인터페이스를 특정하는 제1 MAC(media access control) 주소(111)를 이용하여 네트워크(400)에 액세스하려고 시도한다. 제1 MAC 주소(111)는 아직 스위치(300)에서 인증되지 않았고, 스위치(300)는 제2 단계(S2)에서 인증을 위한 요청을 송신한다. 이 목적을 위해, 제1 디바이스(100)는 제3 단계(S3)에서 데이터 구조의 식별 영역(510)에서 제1 식별자를 스위치(300)에 송신하고, 상기 데이터 구조는 여기서 인증서(500)에 의하여 구현되고 도 2에서 개략적으로 도시된다. 부가하여, 제1 디바이스(100)는 확장된 식별 영역(520)에 세 개의 부가적인 식별자들(112, 121, 122)을 표시한다.
물리적 네트워크 인터페이스에 대한 MAC 주소는 세 개의 주소 영역들로 세분될 수 있는데, 앞쪽 주소 영역은 제조업자의 식별자 및 디바이스의 식별자를 위한 것이고, 중간 주소 영역은 네트워크 인터페이스를 물리적 네트워크 인터페이스로서 표시하고, 그리고 뒤쪽 주소 영역은 각각의 물리적 네트워크 인터페이스 및 각각의 디바이스에 대한 상이한 MAC 주소들을 각각 표시한다.
따라서, 가상 네트워크 인터페이스는 가상 네트워크 인터페이스로서의 표시를 갖는 중간 주소 영역을 갖고, 앞쪽 주소 영역은 다시, 제조업자를 위한 것이고, 뒤쪽 주소 영역은 다시, 각각의 디바이스에 대한 개개의 가상 네트워크 인터페이스를 표시한다.
하기의 형태의 MAC 주소
00-30-05-5A-DB-A0
는 여섯 개의 바이트들로 구성되는데, 첫 번째 세 개의 바이트들은 제조업자 바이트들로서 사용되고 있고, 그 중에서도, 제조업자 식별 번호를 포함한다. 이후의 두 개의 바이트들은 디바이스 식별 번호를 포함하고, 그리고 특히, 가상 네트워크 인터페이스에 할당된 MAC 주소와 물리적 네트워크 인터페이스에 할당된 MAC 주소 사이를 구별하는 표시를 가질 수 있다. 마지막으로, 최종 바이트는, 네트워크 인터페이스를 표시하기 위해, 포함된 버전 번호 또는 디바이스 제작 연도를 사용하는데, 다시 말해 가상이든 또는 물리적이든 간에, 각각의 이용 가능한 네트워크 인터페이스에 대해 표시 엔딩이 존재한다.
제1 식별자(111)에 부가하여, 제1 디바이스는 또한 인증서(500)에서 부가적인 식별자들(112, 121 및 122)을 송신한다. 제1 디바이스는, 물리적 네트워크 인터페이스에 속하는 제2 MAC 주소(112), 및 두 개의 가상 네트워크 인터페이스들에 속하는 두 개의 부가적인 MAC 주소들(121, 122)을 갖는다.
제4 단계(S4)에서, 스위치(300)는 인증 서버(600)의 도움으로 제1 디바이스(100)에 의해 제시된 인증서(500)를 검증하고, 그리고 성공적인 검증 이후, 제1 디바이스를 인증한다. 이제, 제5 단계(S5)에서, 제1 디바이스(100)는, 모든 네트워크 인터페이스들로부터의 그리고 모든 MAC 주소들을 이용한 네트워크(400)로의 액세스를 승인받는다.
이제, 제6 단계(S6)에서 제2 디바이스(200)가 제1 이차 디바이스 식별자(211)(제1 이차 디바이스 MAC 주소의 형태이고, 제2 디바이스(200)의 물리적 네트워크 인터페이스에 속함)을 이용하여 네트워크에 액세스하려고 시도한다면, 스위치(300)는 다시, 제7 단계(S7)에서 인증을 위한 요청을 송신하는데, 그 이유는 이 MAC 주소가 스위치에 의해 아직 인증되지 않았기 때문이다.
제3 단계(S3), 제4 단계(S4) 및 제5 단계(S5)에 따른 인증 프로세스가 이제 제2 디바이스(200)에 대해 유사한 방식으로 이루어진다.
그러므로, 자동화 설비의 네트워크에 대해 사용되는 설명된 스위치(300)에 대한 중요한 요건, 즉 복수의 디바이스들이 연속하여 연결된 경우 각각의 디바이스가 개별적으로 인증되는 요건이 충족된다.
도 2는 식별 영역(510) 및 확장된 식별 영역(520)을 갖는 데이터 구조(500)의 개략적인 예시를 도시한다. 설명된 예시적 실시예에서, IEEE 802.1X 표준에 따라 스위치(300)에 의해 인증이 수행되고, 제1 디바이스(100)는 인증을 위해 X.509 표준(RFC 5280 참조)에 따라 디바이스 인증서를 송신한다.
제1 디바이스(100)의 부가적인 MAC 주소들(121, 122) 및 제2 MAC 주소(112)는, 엔트리 "다른 이름"에 의하여 RFC 5280에 따라 확장 "SubjectAltName"를 이용하여 구현될 수 있고, 상기의 경우 네이밍(naming) 동안 큰 자유도가 존재하고, 부가적인 MAC 주소들(121, 122) 또는 제2 MAC 주소(112)의 목록이 저장될 수 있다. 이 목적을 위해, 제1 디바이스(100)는 자신의 네트워크 인터페이스들에 대한 모든 MAC 주소들의 목록을 생성한다. 또한, 제1 MAC 주소(111)를 "SubjectAltName"에서 또한 설명하는 것이 고려될 수 있는데, 다시 말해 식별 영역(510)과 확장된 식별 영역(520) 사이의 논리적 분리가 공통 엔트리에 의하여 또한 기술적으로 구현될 수 있다.
인증을 위해, 제2 디바이스(200)는 X.509에 따라 속성 인증서를 송신하고, 상기 속성 인증서의 확장에는, 인증이 동시에 수행되도록 의도되는 주소들의 범위가 플레이스홀더의 도움으로 "다른 이름"으로서 표시된다. 플레이스홀더(와일드카드(wildcard)로 또한 지칭됨)는, 이 경우, 한정된 또는 무기한의 길이의 주소 영역이 임의의 원하는 방식으로 판독되는 것을 가능케 하고, 그럼에도 불구하고, 부가적인 이차 디바이스 식별자(221, 222, 212)(부가적인 이차 디바이스 MAC 주소의 형태이고, 플레이스홀더에 포함된 영역에 있음)를 이용한, 제2 디바이스(200)에 의한 네트워크(400)로의 액세스를 위한 요청의 경우, 추가적인 인증이 요구되지 않는 것을 가능케 한다. 이 목적을 위해, 제2 디바이스(200)는, 제조업자 바이트들 및 디바이스 식별자만이 명시적으로 표시되고 반면에 최종 바이트 또는 엔딩은 플레이스홀더를 이용하여 열린 상태로 유지되는 형태로, 제1 이차 디바이스 MAC 주소(211)를 전송한다:
00-30-05-5A-DB-*
이것은, 가상 및 물리적 네트워크 인터페이스들에 대해 개별적으로, 별개로 수행될 수 있고, 부가적인 이차 디바이스 MAC 주소들(221, 222)은 가상 네트워크 인터페이스에 속하는 플레이스홀더와 함께 MAC 주소에 포함되고, 그리고 제2 이차 디바이스 MAC 주소(212)는 물리적 네트워크 인터페이스에 속하는 플레이스홀더(상이한 디바이스 식별자 바이트들을 가짐)와 함께 MAC 주소에 포함된다.
IEEE 802.1X 표준에 따른 인증을 위해 사용되는 것에 부가하여, 방법은 인터넷 프로토콜 연결에 기초한 인증에 대해서도 또한 적절하다. 이는, 예컨대, RFC 5191(Request for Comment 5191)에 따라 PANA(Protocol for Carrying Authentication for Network Access)를 이용한 네트워크 액세스 인증의 일부로서 수행된다. 계층 모델(model), 예컨대 OSI(Open Systems Interconnection) 참조 모델(OSI 계층 모델)에서 고려될 때, PANA를 이용한 인증은 IEEE 802.1X를 이용한 인증보다 더 상위의 레벨(level)에서 수행되고, 상기의 경우, 특히, 예시적 실시예들에서 설명된 식별자들과 같은 송신된 정보는 네트워크 계층 상에서 IEEE 802.1X에 따른 프로세싱(processing)과 유사한 방식으로 프로세싱된다.
제1 디바이스(100) 및 스위칭 센터(300)는, 소프트웨어(software), 하드웨어(hardware), 또는 소프트웨어 및 하드웨어의 결합을 이용하여, 실시 및 구현될 수 있다.
따라서, 유닛(unit)들에 의해 수행되는 단계들은 스토리지 매체(storage medium), 특히 하드 디스크(hard disk), CD-ROM 또는 스토리지 모듈(storage module) 상에 프로그램 코드(program code)로서 저장될 수 있고, 프로그램 코드의 개별 명령들은 프로세서(processor)를 포함하는 스위칭 센터(300) 및/또는 제1 디바이스(100)의 적어도 하나의 컴퓨팅 유닛(computing unit)에 의해 판독 및 프로세싱된다.
프로세서는, 데이터를 교환할 목적을 위해, 버스(bus)를 통해 스토리지 매체에 연결된다.
또한, 입/출력 유닛이 버스를 통해 연결될 수 있고, 입/출력 유닛을 이용하여, 데이터, 예컨대 메시지(message)들이 수신 및/또는 송신될 수 있다.
설명된 실시예들, 발전들 및 예시적 실시예들은 자유롭게 서로 결합될 수 있다.

Claims (12)

  1. 네트워크(network)(400) 내의 스위칭 센터(switching center)(300)에 의해 제1 디바이스(device)(100)를 인증하기 위한 방법으로서,
    상기 제1 디바이스(100)가 데이터 구조(data structure)(500)의 식별 영역(identity region)(510)에서 제1 식별자(111)를 상기 스위칭 센터(300)에 송신하는 단계;
    상기 제1 디바이스(100)가 상기 데이터 구조(500)의 확장된 식별 영역(520)에서 적어도 하나의 부가적인 식별자(112, 121, 122)를 상기 스위칭 센터(300)에 송신하는 단계; 및
    1회(one-off) 인증 프로세스에서, 상기 스위칭 센터(300)가 송신된 제1 식별자(111) 및 송신된 부가적인 식별자(112, 121, 122)에 기초하여 상기 제1 디바이스(100)를 인증하고, 상기 제1 디바이스(100)가 상기 식별자들(111, 112, 121, 122)에 의해 특정된 복수의 네트워크 인터페이스들로부터 상기 네트워크로 액세스(access)하는 것을 허가하는 단계
    를 포함하는,
    방법.
  2. 제 1 항에 있어서,
    상기 제1 디바이스(100)는 물리적 네트워크 인터페이스(physical network interface)에 속하는 제1 MAC(media access control) 주소(111)를 상기 제1 식별자(111)로서 송신하고, 가상 네트워크 인터페이스에 속하는 적어도 하나의 부가적인 MAC 주소(121, 122) 또는 상기 물리적 네트워크 인터페이스에 속하는 제2 MAC 주소(112)를 상기 부가적인 식별자(112, 121, 122)로서 송신하는,
    방법.
  3. 제 2 항에 있어서,
    상기 데이터 구조(500)는, 적어도 하나의 부가적인 MAC 주소(121, 122) 또는 제2 MAC 주소(112)가 플레이스홀더(placeholder)의 도움으로 상기 확장된 식별 영역(520)에 표시되는 인증서의 형태인,
    방법.
  4. 제 2 항 또는 제 3 항에 있어서,
    제1 MAC 주소(111) 내의 제조업자 식별자를 마스크(mask)를 이용하여 교체함으로써, 적어도 하나의 부가적인 MAC 주소(121, 122) 또는 제2 MAC 주소(112)가 생성되는,
    방법.
  5. 제 1 항에 있어서,
    상기 데이터 구조(500)는, 인터넷 프로토콜(Internet protocol) 주소가 상기 확장된 식별 영역(520)에서 상기 부가적인 식별자(112, 121, 122)로서 송신되는 인증서의 형태이고,
    상기 인터넷 프로토콜 주소는, 부가적인 MAC 주소(121, 122) 또는 제2 MAC 주소(112)를 컴포넌트(component)로서 가지는,
    방법.
  6. 제 1 항 내지 제 3 항 중 어느 한 항에 있어서,
    상기 데이터 구조(500)는 디바이스 인증서(device certificate) 또는 속성 인증서(attribute certificate)의 형태인,
    방법.
  7. 제 1 항 내지 제 3 항 중 어느 한 항에 있어서,
    상기 데이터 구조(500)는, 믿을 수 있는 인증 기관(trusted certification authority)의 서명(signature)에 의해, 조작으로부터 보호되는 디바이스 인증서 또는 속성 인증서의 형태인,
    방법.
  8. 제 1 항 내지 제 3 항 중 어느 한 항에 있어서,
    상기 네트워크(400) 내의 적어도 하나의 제2 디바이스(200)가 상기 스위칭 센터(300)에 의해 인증되는,
    방법.
  9. 제 1 항 내지 제 3 항 중 어느 한 항에 있어서,
    상기 제1 디바이스(100)가 상기 스위칭 센터(300)에 의해 성공적으로 인증된 이후, 상기 제1 디바이스(100)는 상기 스위칭 센터(300)에 의해 상기 네트워크(400)로의 액세스를 승인받는,
    방법.
  10. 제 8 항에 있어서,
    제2 디바이스(200)가 상기 스위칭 센터(300)에 의해 성공적으로 인증된 이후, 상기 제2 디바이스(200)는 상기 스위칭 센터(300)에 의해 상기 네트워크(400)로의 액세스를 승인받는,
    방법.
  11. 네트워크(400) 내에서의 인증을 위한 제1 디바이스(100)로서,
    상기 제1 디바이스(100)는 데이터 구조(500)의 식별 영역(510)에서 제1 식별자(111)를 스위칭 센터(300)에 송신하도록 설계되고;
    상기 제1 디바이스(100)는 상기 데이터 구조(500)의 확장된 식별 영역(520)에서 적어도 하나의 부가적인 식별자(112, 121, 122)를 상기 스위칭 센터(300)에 송신하도록 설계되며,
    상기 제1 디바이스(100)는, 1회 인증 프로세스에서, 송신된 제1 식별자(111) 및 송신된 부가적인 식별자(112, 121, 122)에 기초하여 인증되도록 설계되고, 상기 식별자들(111, 112, 121, 122)에 의해 특정된 복수의 네트워크 인터페이스들로부터 상기 네트워크로의 액세스를 획득하도록 설계되는,
    제1 디바이스(100).
  12. 스위칭 센터(300)로서,
    상기 스위칭 센터(300)는, 데이터 구조(500)의 식별 영역(510)에서 제1 디바이스(100)에 의해 송신된 제1 식별자(111) 및 상기 데이터 구조(500)의 확장된 식별 영역(520)에서 상기 제1 디바이스(100)에 의해 송신된 적어도 하나의 부가적인 식별자(112, 121, 122)에 기초하여 상기 제1 디바이스를 인증하고,
    1회 인증 프로세스에서, 상기 제1 디바이스가 상기 식별자들(111, 112, 121, 122)에 의해 특정된 복수의 네트워크 인터페이스들로부터 상기 네트워크로 액세스하는 것을 허가하도록 설계되는,
    스위칭 센터(300).
KR1020157007623A 2012-08-27 2013-06-21 스위칭 센터에 의한 제1 디바이스의 인증 KR101881344B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE102012215167.2A DE102012215167A1 (de) 2012-08-27 2012-08-27 Authentifizierung eines ersten Gerätes durch eine Vermittlungsstelle
DE102012215167.2 2012-08-27
PCT/EP2013/062970 WO2014032828A1 (de) 2012-08-27 2013-06-21 Authentifizierung eines ersten gerätes durch eine vermittlungsstelle

Publications (2)

Publication Number Publication Date
KR20150047588A KR20150047588A (ko) 2015-05-04
KR101881344B1 true KR101881344B1 (ko) 2018-07-24

Family

ID=48746445

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020157007623A KR101881344B1 (ko) 2012-08-27 2013-06-21 스위칭 센터에 의한 제1 디바이스의 인증

Country Status (6)

Country Link
US (1) US9774584B2 (ko)
EP (1) EP2842291B1 (ko)
KR (1) KR101881344B1 (ko)
CN (1) CN104584507B (ko)
DE (1) DE102012215167A1 (ko)
WO (1) WO2014032828A1 (ko)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3107246B1 (en) * 2014-03-26 2019-05-22 Huawei Technologies Co., Ltd. Network function virtualization-based certificate configuration
US10805291B2 (en) * 2015-09-11 2020-10-13 Comcast Cable Communications, Llc Embedded authentication in a service provider network
DE102018108309A1 (de) * 2018-04-09 2019-10-10 Wago Verwaltungsgesellschaft Mbh Automatisierungssystem, Reihenklemme für Automatisierungssysteme sowie Verfahren hierzu
EP3585028A1 (de) 2018-06-20 2019-12-25 Siemens Aktiengesellschaft Verfahren zur anbindung eines endgerätes in eine vernetzbare rechner-infrastruktur
EP3585027B1 (de) * 2018-06-20 2021-11-03 Siemens Aktiengesellschaft Verfahren zur anbindung eines endgerätes an eine vernetzbare rechner-infrastruktur
CN109005119B (zh) * 2018-09-29 2021-02-09 新华三技术有限公司合肥分公司 一种设置mac地址认证下线检测时间的方法及交换机
US11025592B2 (en) 2019-10-04 2021-06-01 Capital One Services, Llc System, method and computer-accessible medium for two-factor authentication during virtual private network sessions
US11722489B2 (en) * 2020-12-18 2023-08-08 Kyndryl, Inc. Management of shared authentication credentials
CN113775936B (zh) * 2021-08-18 2023-10-24 国家管网集团大连液化天然气有限公司 一种lng接收站辅助系统多主采集方法

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004147252A (ja) * 2002-10-28 2004-05-20 Tdk Corp 電子証明書およびその作成方法ならびに電子証明書による認証システム

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020022483A1 (en) * 2000-04-18 2002-02-21 Wayport, Inc. Distributed network communication system which allows multiple wireless service providers to share a common network infrastructure
GB2375205A (en) * 2001-05-03 2002-11-06 Orange Personal Comm Serv Ltd Determining identity of a user
KR20030030353A (ko) * 2001-10-10 2003-04-18 (주)비즈넷테크 호텔의 자동 네트워크 접속 서비스 시스템 및 방법
JP2005539409A (ja) * 2002-03-01 2005-12-22 エンテラシス ネットワークス インコーポレイテッド 位置認識データネットワーク
BRPI0520371A2 (pt) 2005-06-30 2009-09-29 Ericsson Telefon Ab L M nó de acesso para comunicação sem fio, método para mapear, para terminais se comunicando sem fio através de dispositivos de ponto de conexão com um nó de acesso, um endereço (mac) de controle de acesso de mìdia original de um terminal para um endereço de mac virtual, e, rede
EP2075959A1 (en) * 2007-12-27 2009-07-01 THOMSON Licensing Apparatus amd method for concurently accessing multiple wireless networks (WLAN/WPAN)
US8468355B2 (en) * 2008-12-19 2013-06-18 University Of South Carolina Multi-dimensional credentialing using veiled certificates
US8844040B2 (en) * 2009-03-20 2014-09-23 Citrix Systems, Inc. Systems and methods for using end point auditing in connection with traffic management
US8667575B2 (en) * 2009-12-23 2014-03-04 Citrix Systems, Inc. Systems and methods for AAA-traffic management information sharing across cores in a multi-core system
CN101888388A (zh) * 2010-07-15 2010-11-17 中兴通讯股份有限公司 一种实现虚拟媒体访问控制地址的方法及装置

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004147252A (ja) * 2002-10-28 2004-05-20 Tdk Corp 電子証明書およびその作成方法ならびに電子証明書による認証システム

Also Published As

Publication number Publication date
KR20150047588A (ko) 2015-05-04
CN104584507A (zh) 2015-04-29
DE102012215167A1 (de) 2014-02-27
EP2842291A1 (de) 2015-03-04
EP2842291B1 (de) 2017-10-18
US20150215301A1 (en) 2015-07-30
US9774584B2 (en) 2017-09-26
WO2014032828A1 (de) 2014-03-06
CN104584507B (zh) 2018-10-12

Similar Documents

Publication Publication Date Title
KR101881344B1 (ko) 스위칭 센터에 의한 제1 디바이스의 인증
CN106034104B (zh) 用于网络应用访问的验证方法、装置和系统
US8365294B2 (en) Hardware platform authentication and multi-platform validation
CN102438028B (zh) 一种防止dhcp服务器欺骗的方法、装置及系统
EP3346660A1 (en) Authentication information update method and device
CN108259226B (zh) 网络接口设备管理方法与装置
CN105052069B (zh) 用于隐私感知dhcp服务的用户设备、系统和方法
CN107026860B (zh) 登录认证方法、装置及系统
JP2013532394A (ja) 複数のクライアントを有する電子ネットワークにおける遠隔保守のためのシステム及び方法
TWI450604B (zh) 處理伺服器授權的方法及其通訊裝置
WO2011034691A1 (en) Method and apparatus for identity verification
US11552953B1 (en) Identity-based authentication and access control mechanism
CN106506515B (zh) 一种认证方法和装置
CN102624744B (zh) 网络设备的认证方法、装置、系统和网络设备
CN109327456A (zh) 一种去中心化的集群鉴权方法、集群节点及电子设备
CN105100268B (zh) 一种物联网设备的安全控制方法、系统及应用服务器
WO2016127294A1 (zh) 一种证书管理方法、设备及系统
CN104580553A (zh) 网络地址转换设备的识别方法和装置
US20160285843A1 (en) System and method for scoping a user identity assertion to collaborative devices
TW201430608A (zh) 單點登入系統及方法
CN113965395A (zh) 一种实时安全访问内网的方法、系统及装置
WO2023134557A1 (zh) 一种基于工业互联网标识的处理方法及装置
CN111163069A (zh) 一种基于区块链的物联网用户隐私保护方法
US9124581B2 (en) Industrial automation system and method for safeguarding the system
CN107911500B (zh) 基于态势感知定位用户的方法、设备、装置及存储介质

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant