KR102598119B1 - 통신 시스템에서 인증 장치 및 방법 - Google Patents

통신 시스템에서 인증 장치 및 방법 Download PDF

Info

Publication number
KR102598119B1
KR102598119B1 KR1020150186593A KR20150186593A KR102598119B1 KR 102598119 B1 KR102598119 B1 KR 102598119B1 KR 1020150186593 A KR1020150186593 A KR 1020150186593A KR 20150186593 A KR20150186593 A KR 20150186593A KR 102598119 B1 KR102598119 B1 KR 102598119B1
Authority
KR
South Korea
Prior art keywords
network object
mac address
message
port
network
Prior art date
Application number
KR1020150186593A
Other languages
English (en)
Other versions
KR20170076392A (ko
Inventor
고은숙
나벤두다스
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Priority to KR1020150186593A priority Critical patent/KR102598119B1/ko
Publication of KR20170076392A publication Critical patent/KR20170076392A/ko
Application granted granted Critical
Publication of KR102598119B1 publication Critical patent/KR102598119B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Small-Scale Networks (AREA)

Abstract

본 발명은 통신 시스템에서 인증 장치 및 방법에 관한 것으로서, 망 객체의 동작 방법은, 제1 MAC(Medium Access Control) 주소를 포함하는 제1 메시지를 전송하는 과정, 다른 망 객체로부터 제2 MAC 주소를 포함하는 제2 메시지를 수신하는 과정, 및 상기 제1 MAC 주소와 상기 제2 MAC 주소를 기반으로 상기 다른 망 객체에 대한 인증기 및 인증 요청기 중 어느 하나로 동작하는 과정을 포함할 수 있다.

Description

통신 시스템에서 인증 장치 및 방법{APPARATUS AND METHOD FOR AUTHENTICATING IN COMMUNICATION SYSTEM}
본 개시는 통신 시스템에서 인증 장치 및 방법에 관한 것이다.
최근 근거리 통신망(Local Area Network)을 이용하여 통신하는 휴대폰, 노트북과 같은 정보화 기기의 사용이 급증하면서, 근거리 통신망(Local Area Network)의 인증 메커니즘에 대한 관심이 증가하고 있다. IEEE(Institute of Electrical and Electronics Engineers) 802.1X에서는 2계층(Layer 2) 포트 인증 방식에 대해 기술하고 있다. 포트 인증 방식에서는 링크에 대한 종단 점(end-point)들인 두 망 객체(Network entity)들 중 하나의 망 객체가 인증기(authenticator)로 동작하고 다른 하나의 망 객체가 인증 요청기(supplicant)로 동작함으로써, 인증 절차를 수행한다. 이때, 인증기로 동작하는 망 객체는 인증 요청기에 대한 인증 절차를 수행하기 위해 인증 서버와 통신할 수 있다. 예를 들어, 인증기는 인증 요청기로부터의 인증요청을 인증 서버로 전달하고, 인증 서버로부터 수신되는 인증 성공 혹은 실패 결과를 인증 요청기로 전달한다. 또한, 인증기는 인증 성공 혹은 실패에 따라 인증 요청기에 대한 포트를 개폐함으로써, 해당 인증 요청기에 대한 네트워크 이용을 허용하거나 제한할 수 있다.
IEEE 802.1X에서는 링크에 대한 두 망 객체들 중에서 어떤 망 객체가 인증기 역할을 수행하는지, 혹은 어떤 망 객체가 인증 요청기의 역할을 수행하는지에 대해서 언급하고 있지 않고, 각 망 객체의 역할이 미리 결정된 것으로 가정하여 포트 인증 방식에 대해 설명한다. 그러나, 근거리 통신망 내에 존재하는 망 객체들이 다수개인 상태에서 상술한 바와 같이 각 망 객체의 역할이 미리 결정된 경우, 인증기의 역할을 수행하는 망 객체의 부하가 심각하게 증가할 수 있다.
일 실시 예는 근거리 통신망에서 인증을 위한 망 객체들의 역할을 결정하는 방법 및 장치를 제공한다.
다른 실시 예는 근거리 통신망에서 각 망 객체들의 MAC(Medium Access Control) 주소를 기반으로 인증을 위한 역할을 결정하는 방법 및 장치를 제공한다.
또 다른 실시 예는 근거리 통신망의 망 객체에서 자신의 MAC 주소와 상대 망 객체의 MAC 주소를 기반으로 인증기 및 인증 요청기 중 어느 하나로 동작하는 방법 및 장치를 제공한다.
일 실시 예에 따른 통신 시스템에서 망 객체의 동작 방법은, 제1 MAC(Medium Access Control) 주소를 포함하는 제1 메시지를 전송하는 과정; 다른 망 객체로부터 제2 MAC 주소를 포함하는 제2 메시지를 수신하는 과정; 및 상기 제1 MAC 주소와 상기 제2 MAC 주소를 기반으로 상기 다른 망 객체에 대한 인증기 및 인증 요청기 중 어느 하나로 동작하는 과정을 포함할 수 있다.
일 실시 예에 따른 통신 시스템에서 망 객체는, 제1 MAC(Medium Access Control) 주소를 포함하는 제1 메시지를 전송하고, 다른 망 객체로부터 제2 MAC 주소를 포함하는 제2 메시지를 수신하는 통신부; 및 상기 제1 MAC 주소와 상기 제2 MAC 주소를 기반으로 상기 망 객체가 상기 다른 망 객체에 대한 인증기 및 인증 요청기 중 어느 하나로 동작하도록 제어하는 제어부를 포함할 수 있다.
본 개시에서는 근거리 통신망의 망 객체가 자신의 MAC(Medium Access Control) 주소와 상대 망 객체의 MAC 주소를 기반으로 상대 망 객체와 자신의 역할을 결정함으로써, 상대 망 객체에 따라 인증기로 동작하거나 인증 요청기로 동작할 수 있다. 이에 따라, 본 개시에서는 근거리 통신망 내에서 다수의 망 객체가 인증기로 동작하도록 함으로써, 인증 절차를 위한 부하를 분산시킬 수 있다.
도 1은 근거리 통신망의 환경을 도시한다.
도 2는 일 실시 예에 따른 근거리 통신망에서 각 망 객체들의 인증 절차를 도시한다.
도 3은 일 실시 에에 따른 근거리 통신망에서 새로운 망 객체가 발생된 경우에 대한 인증 절차를 도시한다.
도 4는 일 실시 예에 따른 근거리 통신망에서 다수의 포트를 포함하는 스위치의 포트 별 역할을 도시한다.
도 5는 일 실시 예에 따른 근거리 통신망에서 새로운 망 객체가 발생된 경우에 다수의 포트를 포함하는 스위치의 포트 별 역할을 도시한다.
도 6은 802.1X 시스템에서 정의된 EAPOL(Extensible Authentication Protocol Over LAN)-START PDU(Packet Data Unit)의 구조를 도시한다.
도 7은 도 6의 EAPOL-START PDU에 포함된 TLV 필드의 구조를 도시한다.
도 8은 802.1X 시스템에서 정의된 TLV 타입을 도시한다.
도 9는 일 실시 예에 따른 EAPOL-START PDU의 구조를 도시한다.
도 10은 일 실시 예에 따른 망 객체의 블록 구성을 도시한다.
도 11a 및 도 11b는 일 실시 예에 따른 망 객체의 동작 절차를 도시한다.
도 12는 다른 실시 예에 따른 망 객체의 동작 절차를 도시한다.
이하 첨부된 도면을 참조하여 다양한 실시 예들의 동작 원리를 상세히 설명한다. 하기에서 다양한 실시 예들을 설명에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 다양한 실시 예들에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
이하 본 개시는 근거리 통신망에서 인증을 위한 망 객체들의 역할을 결정하는 방법 및 장치에 대해 설명한다. 이하 실시 예들은 무선 혹은 유선 근거리 통신망에 동일하게 적용될 수 있다.
이하 설명에서 사용되는 메시지들을 지칭하는 용어, 망 객체(network entity)들을 지칭하는 용어, 정보들을 지칭하는 용어, 및 장치의 구성 요소를 지칭하는 용어 등은 설명의 편의를 위해 예시된 것이다. 따라서, 본 발명이 후술되는 용어들에 한정되는 것은 아니며, 동등한 기술적 의미를 가지는 다른 용어가 사용될 수 있다.
이하 설명의 편의를 위하여, IEEE(Institute of Electrical and Electronics Engineers) 802.1X 규격에서 정의하고 있는 용어 및 명칭들이 일부 사용될 수 있다. 하지만, 본 발명이 상기 용어 및 명칭들에 의해 한정되는 것은 아니며, 다른 규격에 따르는 시스템에도 동일하게 적용될 수 있다.
이하 설명되는 실시 예들에서, 망 객체(Network Entity; NE)는 단말, AP(Access Point), 라우터(router), 스위치(switch) 등과 같은 근거리 통신망을 구성하는 객체일 수 있다. 여기서, 단말은 UE(user equipment), MT(mobile terminal), UT(user terminal), SS(subscriber station), 무선기기(wireless device), PDA(personal digital assistant), 휴대 기기(handheld device), 휴대용 전자 장치(portable electronic device), 스마트폰(smart phone), 휴대용 단말기(portable terminal), 이동 전화(mobile phone), 이동 패드(mobile pad), 노트북(notebook), PC(personal computer), 태블릿 컴퓨터(tablet computer), 핸드헬드 컴퓨터(handheld computer) 또는 PDA(Personal Digital Assistant) 중 하나일 수 있다. 또한, 단말은 상술한 장치들 중 둘 이상의 기능들을 결합한 장치일 수 있다.
도 1은 근거리 통신망의 환경을 도시한다.
도 1을 참조하면, 근거리 통신망은 다수의 망 객체(Network Entity; NE)들 101 내지 103과 인증 서버 110을 포함하여 구성될 수 있다.
다수의 망 객체들 101 내지 103 각각은 다른 망 객체와 링크를 형성하고, 다른 망 객체와 통신할 수 있다. 다수의 망 객체들 101 내지 103 각각은 링크를 형성하는 다른 망 객체와 메시지를 교환하고, 교환된 메시지의 MAC(Medium Access Control) 주소를 기반으로 다른 망 객체에 대한 인증기 혹은 인증 요청기로 동작할 수 있다. 구체적인 예로, 다수의 망 객체들 101 내지 103 각각은 자신의 MAC 주소(혹은 망 객체에 포함된 포트의 MAC 주소)를 포함하는 EAPOL(Extensible Authentication Protocol Over LAN)-START 메시지를 전송하고, 다른 망 객체로부터 EAPOL-START 메시지를 수신한다. 여기서, EAPOL-START 메시지는 인증 절차를 시작하기 위한 메시지를 의미한다. 다수의 망 객체들 101 내지 103 각각은 수신된 EAPOL-START 메시지의 소스 MAC 주소를 획득하여, 해당 EAPOL-START 메시지를 전송한 다른 망 객체의 MAC 주소를 확인할 수 있다. 다수의 망 객체들 101 내지 103 각각은 자신의 MAC 주소와 다른 망 객체의 MAC 주소 값을 비교한다. 여기서, 망 객체 자신의 MAC 주소는 다른 망 객체로부터 EAPOL-START 메시지가 수신된 포트의 MAC 주소를 의미할 수 있다. 다수의 망 객체들 101 내지 103 각각은 자신의 MAC 주소 값이 다른 망 객체의 MAC 주소 값보다 작은 경우, 자신이 다른 망 객체에 대한 인증 요청기로 동작해야 함을 결정할 수 있다. 또한, 다수의 망 객체들 101 내지 103 각각은 자신의 MAC 주소 값이 다른 망 객체의 MAC 주소 값보다 큰 경우, 자신이 다른 망 객체에 대한 인증기로 동작해야 함을 결정할 수 있다. 예를 들어, 제2 망 객체(NE2) 102는 제1 망 객체(NE1) 101과 EAPOL-START 메시지를 교환하고, 교환된 EAPOL-START 메시지의 MAC 주소를 기반으로 제1 망 객체 101에 대한 인증기로 동작할 수 있다. 또한, 제2 망 객체 102는 제3 망 객체(NE3) 103과 EAPOL-START 메시지를 교환하고, 교환된 EAPOL-START 메시지의 MAC 주소를 기반으로 제3 망 객체 103에 대한 인증 요청기로 동작할 수 있다. 다른 예를 들어, 제1 망 객체 101은 제2 망 객체 102와 EAPOL-START 메시지를 교환하고, 교환된 EAPOL-START 메시지의 MAC 주소를 기반으로 제2 망 객체 102에 대한 인증 요청기로 동작할 수 있다. 또한, 제1 망 객체 101은 제3 망 객체 103과 EAPOL-START 메시지를 교환하고, 교환된 EAPOL-START 메시지의 MAC 주소를 기반으로 제3 망 객체 103에 대한 인증 요청기로 동작할 수 있다. 또한, 망 각체들 101 내지 103 각각은 자신의 MAC 주소 값과 다른 망 객체의 MAC 주소 값이 동일한 경우, EAPOL-START에 포함된 우선순위 값을 기반으로 다른 망 객체에 대한 인증기 혹은 인증 요청기로 동작할 수 있다.
망 객체들 101 내지 103 각각은 상대 망 객체에 대한 인증기로 동작하는 경우, 인증 요청기로 동작하는 망 객체에 대한 인증 절차를 수행하기 위해 인증 서버 110과 통신할 수 있다. 예를 들어, 제1 망 객체 101에 대한 인증기로 동작하는 제2 망 객체 102는 제1 망 객체 101로부터의 인증요청을 인증 서버 110으로 전달하고, 인증 서버 110으로부터 수신되는 인증 성공 혹은 실패 결과를 제1 망 객체 101로 전달한다. 또한, 제2 망 객체 102는 인증 성공 혹은 실패에 따라 제1 망 객체 101에 대한 포트를 개방하거나 폐쇄함으로써, 제1 망 객체 101에 대한 네트워크 이용을 허용하거나 제한할 수 있다.
또한, 망 객체들 101 내지 103 각각은 상대 망 객체에 대한 인증 요청기로 동작하는 경우, 인증기로 동작하는 망 객체로 인증을 요청하여 인증 결과에 따라 네트워크를 이용할 수 있다. 예를 들어, 제2 망 객체 102에 대한 인증 요청기로 동작하는 제1 망 객체 101은 제2 망 객체 102로 인증을 요청하고, 제2 망 객체 102로부터 인증 성공 혹은 실패 결과를 수신한다. 제1 망 객체 101은 인증이 성공되었을 경우, 제2 망 객체 102를 통해 네트워크를 이용할 수 있고, 인증이 실패되었을 경우, 제2 망 객체 102를 통해 네트워크를 이용할 수 없게 된다.
상술한 바와 같이, 본 개시의 실시 예에 따른 망 객체들 101 내지 103 각각은 상대 망 객체와 교환한 메시지에 포함된 MAC 주소를 기반으로, 상대 망 객체에 대한 인증기로 동작하거나 인증 요청기로 동작할 수 있다. 따라서, 다수의 망 객체들과 링크를 형성하는 망 객체는 일부 망 객체들(혹은 일부 망 객체들의 포트)에 대해서는 인증기로 동작하고, 다른 일부 망 객체들(혹은 다른 일부 망 객체들의 포트)에 대해서는 인증 요청기로 동작할 수 있다. 또한, 본 개시의 실시 예들에서는 EAPOL-START 메시지를 이용하는 경우를 가정하여 설명하였으나, 본 개시는 EAPOL-START 메시지에 한정되지 않는다. 예를 들어, 본 개시의 실시 예들은 망 객체의 MAC 주소를 포함하는 다른 메시지를 이용하는 경우에도 동일하게 적용될 수 있다.
그러면, 이하에서 망 객체가 인증기 혹은 인증 요청기로 동작하는 구체적인 예시에 대해 설명하기로 한다.
도 2는 일 실시 예에 따른 근거리 통신망에서 각 망 객체들의 인증 절차를 도시한다. 여기서는 각각의 망 객체기 하나의 포트를 포함하는 것을 가정한다. 이하 설명되는 인증 절차는 예시적인 것으로서, 각 단계는 반드시 순차적으로 수행되는 것이 아니다. 예를 들어, 각 단계는 병렬적으로 동시에 수행될 수도 있고, 그 순서가 변경될 수도 있다.
도 2를 참조하면, 201단계에서 제1 망 객체(NE1) 101, 제2 망 객체(NE2) 102, 및 제3 망 객체(NE3) 103 각각은 초기 활성화 시에 인증 요청기로 동작하고, EAPOL-START 메시지를 전송한다. 예를 들어, 제1 망 객체 101, 제2 망 객체 102, 및 제3 망 객체 103 각각은 자신의 MAC 주소가 소스 MAC 주소이고, 미리 결정된 MAC 주소가 목적지 MAC 주소인 EAPOL-START 메시지(혹은 EAPOL-START 프레임)를 전송한다. 또한, EAPOL-START 메시지는 인증 역할을 결정하기 위해 해당 망 객체의 우선순위 값을 추가로 포함할 수 있다. 여기서, 미리 결정된 MAC 주소는 MAC 01-80-C2-00-0-03일 수 있다. 또한, 초기 활성화는 망 객체의 전원 온, 혹은 망 객체의 활성화 감지, 망 객체의 포트 상태 변경(예: down 상태에서 up 상태로 변경) 등을 포함할 수 있다.
203단계에서 제1 망 객체 101, 제2 망 객체 102, 및 제3 망 객체 103 각각은 다른 망 객체들로부터 EAPOL-START 메시지를 수신한다. 예를 들어, 제1 망 객체 101은 제2 망 객체 102 및 제3 망 객체 103 각각으로부터 전송된 EAPOL-START 메시지를 수신한다. 또한, 제2 망 객체 102는 제1 망 객체 101 및 제3 망 객체 103 각각으로부터 전송된 EAPOL-START 메시지를 수신하고, 제3 망 객체는 제1 망 객체 101 및 제2 망 객체 102 각각으로부터 전송된 EAPOL-START 메시지를 수신한다.
205단계에서, 제1 망 객체 101, 제2 망 객체 102, 및 제3 망 객체 103 각각은 EAPOL-START 메시지에 포함된 소스 MAC 주소를 기반으로, 인증기 및 인증 요청기를 결정한다. 예를 들어, 제1 망 객체 101, 제2 망 객체 102, 및 제3 망 객체 103 각각은 자신의 MAC 주소와 다른 망 객체로부터 수신된 EAPOL-START 메시지에 포함된 소스 MAC 주소를 비교하고, 비교 결과에 따라 다른 망 객체에 대한 인증기로 동작해야 할지 혹은 인증 요청기로 동작해야 할지 결정할 수 있다. 여기서, 자신의 MAC 주소는 각 망 객체가 다른 망 객체로부터 EAPOL-START 메시지가 수신된 포트의 MAC 주소일 수 있다.
각각의 망 객체는 자신의 MAC 주소가 다른 망 객체 102로부터 수신된 EAPOL-START 메시지에 포함된 소스 MAC 주소보다 작은 경우, 다른 망 객체에 대한 인증 요청기로 동작해야 함을 결정할 수 있다. 반면, 각각의 망 객체는 자신의 MAC 주소가 다른 망 객체 102로부터 수신된 EAPOL-START 메시지에 포함된 소스 MAC 주소보다 큰 경우, 다른 망 객체에 대한 인증기로 동작해야 함을 결정할 수 있다. 이하 실시 예에서는 설명의 편의를 위해, 제1 망 객체 101, 제2 망 객체 102, 및 제3 망 객체 103 각각의 MAC 주소를 MAC1, MAC2, 및 MAC3라 하고, MAC1이 MAC2보다 작고, MAC2가 MAC3보다 작은 경우(MAC1 < MAC2 < MAC3)를 가정한다.
210단계 및 211단계와 같이, 제1 망 객체 101은 제2 망 객체 102에 대한 인증 요청기로 동작함을 결정하고, 제2 망 객체 102는 제1 망 객체에 대한 인증기로 동작함을 결정할 수 있다. 이에 따라, 제2 망 객체 102는 212단계에서 EAP 인증정보 요청(EAP-Request-Identity) 메시지를 전송하고, 제1 망 객체 101은 213단계에서 EAP 인증정보 응답(EAP-Response-Identity) 메시지를 전송한다. 여기서, EAP 인증정보 요청 메시지는 인증기의 ID를 인증 요청기로 알리면서, 인증 요청기의 ID를 요청하는 메시지이다. 또한, EAP 인증정보 응답 메시지는 인증 요청기의 ID를 알리는 메시지이다. 또한, 제1 망 객체 101 및 제2 망 객체 102는 214단계에서 EAP-TLS(Transport Layer Security) 인증서를 교환하고, 215단계에서 EAP-TLS 키를 교환한다. 또한, 제2 망 객체 102는 인증 서버로부터 수신된 인증 성공 혹은 실패 결과를 나타내는 EAP 성공/실패 메시지를 제1 망 객체 101로 전송한다.
또한, 220단계 및 221단계와 같이, 제2 망 객체 102는 제3 망 객체 103에 대한 인증 요청기로 동작함을 결정하고, 제3 망 객체 103은 제2 망 객체에 대한 인증기로 동작함을 결정할 수 있다. 이에 따라, 제3 망 객체 103은 222단계에서 EAP 인증정보 요청(EAP-Request-Identity) 메시지를 전송하고, 제2 망 객체 102는 223단계에서 EAP 인증정보 응답(EAP-Response-Identity) 메시지를 전송한다. 여기서, EAP 인증정보 요청 메시지는 인증기의 ID를 인증 요청기로 알리면서, 인증 요청기의 ID를 요청하는 메시지이다. 또한, EAP 인증정보 응답 메시지는 인증 요청기의 ID를 알리는 메시지이다. 또한, 제2 망 객체 102 및 제3 망 객체 103은 224단계에서 EAP-TLS(Transport Layer Security) 인증서를 교환하고, 225단계에서 EAP-TLS 키를 교환한다. 또한, 제3 망 객체 103은 인증 서버로부터 수신된 인증 성공 혹은 실패 결과를 나타내는 EAP 성공/실패 메시지를 제2 망 객체 102로 전송한다.
또한, 230단계 및 231단계와 같이, 제1 망 객체 101은 제3 망 객체 103에 대한 인증 요청기로 동작함을 결정하고, 제3 망 객체 103은 제1 망 객체에 대한 인증기로 동작함을 결정할 수 있다. 이에 따라, 제3 망 객체 103은 232단계에서 EAP 인증정보 요청(EAP-Request-Identity) 메시지를 전송하고, 제1 망 객체 101은 233단계에서 EAP 인증정보 응답(EAP-Response-Identity) 메시지를 전송한다. 여기서, EAP 인증정보 요청 메시지는 인증기의 ID를 인증 요청기로 알리면서, 인증 요청기의 ID를 요청하는 메시지이다. 또한, EAP 인증정보 응답 메시지는 인증 요청기의 ID를 알리는 메시지이다. 또한, 제1 망 객체 101 및 제3 망 객체 103은 234단계에서 EAP-TLS(Transport Layer Security) 인증서를 교환하고, 235단계에서 EAP-TLS 키를 교환한다. 또한, 제3 망 객체 103은 인증 서버로부터 수신된 인증 성공 혹은 실패 결과를 나타내는 EAP 성공/실패 메시지를 제1 망 객체 101로 전송한다.
상술한 설명에서, 212단계 내지 216단계, 222단계 내지 226단계, 및 232단계 내지 236단계는 IEEE 802.1X에서 정의된 인증기와 인증 요청기 사이의 인증 절차를 간략하게 나타낸 것이다.
도 3은 일 실시 에에 따른 근거리 통신망에서 새로운 망 객체가 발생된 경우에 대한 인증 절차를 도시한다. 여기서는, 도 2에서 설명한 바와 같이, 제1 망 객체(NE1) 101, 제2 망 객체(NE2) 102, 및 제3 망 객체(NE3) 103에 대해 미리 인증이 완료된 상태에서 새로운 제4 망 객체(NE 4)가 발생된 경우에 대해 설명한다. 또한, 도 2에서와 같이, 각각의 망 객체가 하나의 포트를 포함하는 것을 가정한다. 이하 설명되는 인증 절차는 예시적인 것으로서, 각 단계는 반드시 순차적으로 수행되는 것이 아니다. 예를 들어, 각 단계는 병렬적으로 동시에 수행될 수도 있고, 그 순서가 변경될 수도 있다.
도 3을 참조하면, 210단계 및 211단계와 같이, 제1 망 객체 101은 제2 망 객체 102에 대한 인증 요청기로 동작하고, 제2 망 객체 102는 제1 망 객체에 대한 인증기로 동작할 수 있다. 또한, 220단계 및 221단계와 같이, 제2 망 객체 102는 제3 망 객체 103에 대한 인증 요청기로 동작하고, 제3 망 객체 103은 제2 망 객체에 대한 인증기로 동작할 수 있다. 또한, 230단계 및 231단계와 같이, 제1 망 객체 101은 제3 망 객체 103에 대한 인증 요청기로 동작하고, 제3 망 객체 103은 제1 망 객체에 대한 인증기로 동작할 수 있다.
상술한 바와 같이, 제1 망 객체 101, 제2 망 객체 102, 및 제3 망 객체 103에 대한 미리 인증이 완료된 상태에서 제4 망 객체 104가 활성화된 경우, 제4 망 객체는 310단계에서 EAPOL-START 메시지를 멀티캐스팅한다. 예를 들어, 제4 망 객체 104는 자신이 초기에 인증 요청기로 동작해야 함을 결정하고, 제4 망 객체 104의 MAC 주소를 소스 MAC 주소로 포함하고, 미리 결정된 MAC 주소를 목적지 MAC 주소로 포함하는 EAPOL-START 메시지(혹은 EAPOL-START 프레임)를 멀티캐스팅한다. 여기서, 미리 결정된 MAC 주소는 멀티캐스팅을 위해 미리 예약된 MAC 01-80-C2-00-0-03일 수 있다. 또한, 제4 망 객체 104는 인증 역할을 결정하기 위해 이용되는 우선순위 값을 EAPOL-START 메시지에 추가로 포함시킬 수 있다. 여기서, 우선순위 값은 제4 망 객체 104의 소스 MAC 주소와 상대 망 객체의 MAC 주소가 동일한 경우, 인증 역할을 결정하기 위해 이용될 수 있다. 예컨대, 제4 망 객체 104와 상대 망 객체 중에서 우선순위가 높은 망 객체가 인증기가 되고, 우선순위가 낮은 망 객체가 인증 요청기가 될 수 있다. 우선순위 값은 임의의 값으로 결정될 수 있다. 예를 들어, 제4 망 객체는 난수 발생기를 통해 획득된 임의의 값을 제4 망 객체의 우선순위로 결정할 수 있다.
제1 망 객체 101, 제2 망 객체 102, 및 제3 망 객체 103 각각은 제4 망 객체 104로부터 EAPOL-START 메시지를 수신한 후, 이에 대한 응답으로 311단계 내지 313단계에서 EAPOL-START 메시지를 전송한다. 여기서, 제1 망 객체 101, 제2 망 객체 102, 및 제3 망 객체 103 각각은 자신의 MAC 주소를 소스 MAC 주소로 포함하고, 제4 망 객체의 MAC 주소를 목적지 주소로 포함하는 EAPOL-START 메시지를 전송한다. 또한, 제1 망 객체 101, 제2 망 객체 102, 및 제3 망 객체 103 각각은 자신의 우선순위 값을 전송할 EAPOL-START 메시지에 추가로 포함시킬 수 있다. 여기서, 자신의 MAC 주소는 각 망 객체가 제4 망 객체로부터 EAPOL-START 메시지가 수신된 포트의 MAC 주소일 수 있다. 또한, 여기서 자신의 우선순위 값은 각 망 객체가 제4 망 객체로부터 EAPOL-START 메시지가 수신된 포트의 우선순위일 수 있다.
제4 망 객체는 311단계 내지 313단계에서 제1 망 객체 101, 제2 망 객체 102, 및 제3 망 객체 103 각각으로부터 EAPOL-START 메시지를 수신한다. 이후, 제4 망 객체는 315단계에서 제1 망 객체 101, 제2 망 객체 102, 및 제3 망 객체 103 각각으로부터 수신된 EAPOL-START 메시지에 포함된 소스 MAC 주소를 기반으로, 제1 망 객체 101, 제2 망 객체 102, 및 제3 망 객체 103 각각에 대한 인증기로 동작할지, 혹은 인증 요청기로 동작할지 결정한다. 또한, 315단계에서 제1 망 객체 101, 제2 망 객체 102, 및 제3 망 객체 103 각각은 제4 망 객체 104로부터 수신된 EAPOL-START 메시지에 포함된 소스 MAC 주소를 기반으로, 제4 망 객체 104에 대한 인증기로 동작할지, 혹은 인증 요청기로 동작할지 결정한다. 이하 실시 예에서는 설명의 편의를 위해, 제1 망 객체 101, 제2 망 객체 102, 제3 망 객체 103, 및 제4 망 객체 104 각각의 MAC 주소를 MAC1, MAC2, MAC3, MAC4라 하고, MAC1이 MAC2보다 작고, MAC2가 MAC3보다 작고, MAC3가 MAC4보다 작은 경우(MAC1 < MAC2 < MAC3 < MAC4)를 가정한다. 예를 들어, 제4 망 객체 104는 제4 망 객체의 MAC 주소와 제1 망 객체 101, 제2 망 객체 102, 및 제3 망 객체 103 각각으로부터 수신된 EAPOL-START 메시지에 포함된 소스 MAC 주소를 비교한다. 비교 결과, 제4 망 객체는 제4 망 객체의 MAC 주소인 MAC4가, 제1 망 객체 101의 MAC 주소인 MAC1보다 큰 것을 확인하고, 제1 망 객체 101에 대한 인증기로 동작함을 결정할 수 있다. 또한, 제4 망 객체는 제4 망 객체의 MAC 주소인 MAC4가, 제2 망 객체 102의 MAC 주소인 MAC2보다 큰 것을 확인하고, 제2 망 객체 102에 대한 인증기로 동작함을 결정할 수 있다. 또한, 제4 망 객체는 제4 망 객체의 MAC 주소인 MAC4가, 제3 망 객체 103의 MAC 주소인 MAC3보다 큰 것을 확인하고, 제3 망 객체 103에 대한 인증기로 동작함을 결정할 수 있다. 마찬가지로, 제1 망 객체는 제1 망 객체의 MAC 주소인 MAC1이 제4 망 객체 104의 MAC 주소인 MAC4보다 작은 것을 확인하고, 제4 망 객체 104에 대한 인증 요청기로 동작함을 결정할 수 있다. 또한, 제2 망 객체는 제2 망 객체의 MAC 주소인 MAC2가 제4 망 객체 104의 MAC 주소인 MAC4보다 작은 것을 확인하고, 제4 망 객체 104에 대한 인증 요청기로 동작함을 결정할 수 있다. 또한, 제3 망 객체는 제3 망 객체의 MAC 주소인 MAC3이 제4 망 객체 104의 MAC 주소인 MAC4보다 작은 것을 확인하고, 제4 망 객체 104에 대한 인증 요청기로 동작함을 결정할 수 있다.
이후, 320단계 및 321단계와 같이, 제3 망 객체 103은 제4 망 객체 104에 대한 인증 요청기로 동작하고, 제4 망 객체 104는 제3 망 객체 103에 대한 인증기로 동작할 수 있다. 이후, 제3 망 객체 103과 제4 망 객체 104는 인증 절차 322를 수행한다. 여기서, 인증 절차 322는 도 2에 도시된 212단계 내지 216단계와 동일하게 구성될 수 있으며, 이에 따라 인증 절차에 대한 상세한 설명은 생략한다.
또한, 330단계 및 331단계와 같이, 제1 망 객체 101은 제4 망 객체 104에 대한 인증 요청기로 동작하고, 제4 망 객체 104는 제1 망 객체 101에 대한 인증기로 동작할 수 있다. 이후, 제1 망 객체 101과 제4 망 객체 104는 인증 절차 332를 수행한다. 여기서, 인증 절차 332는 도 2에 도시된 212단계 내지 216단계와 동일하게 구성될 수 있으며, 이에 따라 인증 절차에 대한 상세한 설명은 생략한다.
또한, 340단계 및 341단계와 같이, 제2 망 객체 102는 제4 망 객체 104에 대한 인증 요청기로 동작하고, 제4 망 객체 104는 제2 망 객체 102에 대한 인증기로 동작할 수 있다. 이후, 제2 망 객체 102와 제4 망 객체 104는 인증 절차 342를 수행한다. 여기서, 인증 절차 342는 도 2에 도시된 212단계 내지 216단계와 동일하게 구성될 수 있으며, 이에 따라 인증 절차에 대한 상세한 설명은 생략한다.
도 4는 일 실시 예에 따른 근거리 통신망에서 다수의 포트를 포함하는 스위치의 포트 별 역할을 도시한다. 여기서는, 제1 망 객체 101, 및 제3 망 객체 103가 하나의 포트를 포함하며, 제2 망 객체 102가 둘 이상의 포트를 포함하는 스위치400인 경우를 가정한다. 즉, 제2 망 객체 102가 제1 포트와 제2 포트를 포함하는 경우를 가정한다. 또한, 여기서는 제2 망 객체 102의 제1 포트가 제1 망 객체와 연결되고, 제2 망 객체 102의 제2 포트가 제3 망 객체 103과 연결되는 경우를 가정하여 설명한다. 또한, 제1 망 객체 101의 MAC 주소가 MAC1이고, 제2 망 객체 102의 제1 포트 및 제2 포트의 주소가 각각 MAC2, 및 MAC3이고, 제3 망 객체 103의 MAC 주소가 MAC4이며, MAC1이 MAC2보다 작고, MAC2가 MAC3보다 작고, MAC3가 MAC4보다 작은 경우(MAC1 < MAC2 < MAC3 < MAC4)를 가정한다.
도 4를 참조하면, 제1 망 객체 101, 제2 망 객체 102, 및 제3 망 객체 103 각각은 410단계와 같이 EAPOL-START 메시지를 전송할 수 있다. 또한, 제1 망 객체 101, 제2 망 객체 102, 및 제3 망 객체 103 각각은 411단계와 같이 상대 망 객체로부터 EAPOL-START 메시지를 수신할 수 있다. 여기서, 제1 망 객체 101, 제2 망 객체 102, 및 제3 망 객체 103 각각에서 수행되는 410단계 및 411단계는 모두 동일한 동작을 수행하기 때문에, 편의를 위해 동일한 참조 번호를 할당하여, 병렬적으로 도시하였다. 그러나, 각각의 망 객체들은 서로 다른 시점에 410단계 및 411단계를 수행할 수 있다. 또한, 각각의 망 객체들은 411단계를 먼저 수행한 이후에 410단계를 수행할 수 있다. 예를 들어, 제1 망 객체 101이 활성화된 경우, 410단계에서 EAPOL-START 메시지를 전송한 후, 411단계에서 제2 망 객체 102로부터 EAPOL-START 메시지를 수신할 수 있다. 또한, 제2 망 객체 102는 411단계에서 제1 포트를 통해 제1 망 객체 101로부터 EAPOL-START 메시지를 수신한 후, 410단계에서 제1 포트를 통해 EAPOL-START 메시지를 전송할 수 있다. 또한, 스위치 400이 활성화된 경우, 스위치 400은 410단계에서 제2 망 객체 102에 포함된 제1 포트 및 제2 포트를 통해 EAPOL-START 메시지를 전송하도록 제어할 수 있다. 또한, 스위치 400은 제2 망 객체 102의 제1 포트를 통해 EAPOL-START 메시지의 수신이 감지될 경우, 제2 망 객체 102가 제1 포트를 통해 410단계에서 EAPOL-START 메시지를 전송하도록 제어할 수 있다. 이때, 스위치 400은 EAPOL-START 메시지의 수신이 감지되지 않은 제2 망 객체 102의 제2 포트를 통해서는 EAPOL-START 메시지가 전송되지 않도록 제어할 수 있다.
상술한 바와 같이, 제1 망 객체 101, 제2 망 객체 102, 및 제3 망 객체 103 각각은 410단계 및 411단계를 통해 EAPOL-START 메시지를 교환하고, 교환된 EAPOL-START 메시지의 MAC 주소 및 우선순위를 기반으로 각 망 객체의 역할을 결정한다.
제1 망 객체 101은 MAC1보다 큰 MAC2를 갖는 제2 망 객체 102의 제1 포트에 대한 인증 요청기로 동작하고, MAC1보다 작은 MAC 주소를 갖는 망 객체를 감지하지 못하였으므로 인증기의 동작은 수행하지 않는다. 또한, 제2 망 객체 102는 제1 포트의 MAC 주소인 MAC2보다 작은 MAC1을 갖는 제1 망 객체 101에 대한 인증기로 동작하고, MAC2의 제1 포트를 통해 MAC2보다 큰 MAC 주소를 갖는 망 객체를 감지하지 못하였으므로 인증 요청기의 동작은 수행하지 않는다. 따라서, 제1 망 객체 101과 제2 망 객체 102의 제1 포트는 420단계와 같이, EAP-TLS 인증 절차를 수행한다. 여기서, EAP-TLS 절차는 도 2의 212단계 내지 216단계와 같이 구성될 수 있다. 또한, 제1 망 객체 101과 제2 망 객체 102 각각은 자신이 어떤 망 객체에 대해 인증기로 동작하는지 나타내는 인증기의 인접한 망 객체 목록, 및 자신이 어떤 망 객체에 대해 인증 요청기로 동작하는지 나타내는 인증 요청기의 인접한 망 객체 목록을 저장할 수 있다. 예를 들어, 제1 망 객체 101은 인증 요청기의 인접한 망 객체 목록 431에 제2 망 객체 102의 제1 포트에 대한 MAC 주소인 MAC2를 추가하고, 인증기의 인접한 망 객체 목록 432에는 어떤 MAC 주소도 추가하지 않는다. 또한, 제2 망 객체 102는 인증기의 인접한 망 객체 목록 441에 제1 망 객체의 MAC 주소인 MAC1를 추가하고, 인증 요청기의 인접한 망 객체 목록 442에는 어떤 MAC 주소도 추가하지 않는다.
또한, 제2 망 객체 102는 제2 포트의 MAC3보다 큰 MAC4를 갖는 제3 망 객체 103에 대한 인증 요청기로 동작하고, MAC3보다 작은 MAC 주소를 갖는 망 객체를 감지하지 못하였으므로 인증기의 동작은 수행하지 않는다. 또한, 제3 망 객체 103은 MAC4보다 작은 MAC3을 갖는 제2 망 객체 102의 제2 포트에 대한 인증기로 동작하고, MAC4보다 큰 MAC 주소를 갖는 망 객체를 감지하지 못하였으므로 인증 요청기의 동작은 수행하지 않는다. 따라서, 제2 망 객체 102와 제3 망 객체 103은 420단계와 같이, EAP-TLS 인증 절차를 수행한다. 또한, 제2 망 객체 102와 제3 망 객체 103 각각은 자신이 어떤 망 객체에 대해 인증기로 동작하는지 나타내는 인증기의 인접한 망 객체 목록, 및 자신이 어떤 망 객체에 대해 인증 요청기로 동작하는지 나타내는 인증 요청기의 인접한 망 객체 목록을 저장할 수 있다. 예를 들어, 제2 망 객체 102는 인증 요청기의 인접한 망 객체 목록 451에 제3 망 객체의 MAC 주소인 MAC4를 추가하고, 인증기의 인접한 망 객체 목록 452에는 어떤 MAC 주소도 추가하지 않는다. 또한, 제3 망 객체 103은 인증기의 인접한 망 객체 목록 461에 제2 망 객체의 제2 포트에 대한 MAC 주소인 MAC3을 추가할 수 있고, 인증 요청기의 인접한 망 객체 목록 462에는 어떤 MAC 주소도 추가하지 않는다.
도 5는 일 실시 예에 따른 근거리 통신망에서 새로운 망 객체가 발생된 경우에 다수의 포트를 포함하는 스위치의 포트 별 역할을 도시한다. 여기서는, 제1 망 객체 101, 및 제3 망 객체 103가 하나의 포트를 포함하며, 제2 망 객체 102가 둘 이상의 포트를 포함하는 스위치400인 경우를 가정한다. 즉, 제2 망 객체 102가 제1 포트와 제2 포트를 포함하는 경우를 가정한다. 또한, 여기서는 제2 망 객체 102의 제1 포트가 제1 망 객체와 연결되고, 제2 망 객체 102의 제2 포트가 제3 망 객체 103과 연결되는 경우를 가정하여 설명한다. 또한, 제1 망 객체 101의 MAC 주소가 MAC1이고, 제2 망 객체 102의 제1 포트 및 제2 포트의 주소가 각각 MAC2, 및 MAC3이고, 제3 망 객체 103의 MAC 주소가 MAC4이며, MAC1이 MAC2보다 작고, MAC2가 MAC3보다 작고, MAC3가 MAC4보다 작은 경우(MAC1 < MAC2 < MAC3 < MAC4)를 가정한다.
도 5를 참조하면, 제2 망 객체 102는 MAC2에 대응되는 제1 포트가 활성화되고, MAC3에 대응되는 제2 포트가 비활성화된 상태임을 감지한다. 이에 따라, 제1 망 객체 101과 제2 망 객체 102는 410단계에서 EAPOL-START 메시지를 전송하고, 411단계에서 상대 망 객체로부터 EAPOL-START 메시지를 수신할 수 있다. 즉, 제1 망 객체 101, 및 제2 망 객체 102는 410단계 및 411단계를 통해 EAPOL-START 메시지를 교환하고, 교환된 EAPOL-START 메시지의 MAC 주소 및 우선순위를 기반으로 각 망 객체의 역할을 결정한다. 여기서, 410단계, 411단계 및 420단계의 구체적인 동작 및 특징은 도 4에서 설명한 바와 동일하다. 따라서, 제1 망 객체 101은 MAC1보다 큰 MAC2를 갖는 제2 망 객체 102의 제1 포트에 대한 인증 요청기로 동작하고, MAC1보다 작은 MAC 주소를 갖는 망 객체를 감지하지 못하였으므로 인증기의 동작은 수행하지 않는다. 이때, 제1 망 객체 101은 인증 요청기의 인접한 망 객체 목록 431에 제2 망 객체 102의 제1 포트에 대한 MAC 주소인 MAC2를 추가하고, 인증기의 인접한 망 객체 목록 432에는 어떤 MAC 주소도 추가하지 않는다. 또한, 제2 망 객체 102는 제1 포트와 관련하여, MAC2보다 작은 MAC1을 갖는 제1 망 객체 101에 대한 인증기로 동작하고, MAC2의 제1 포트를 통해 MAC2보다 큰 MAC 주소를 갖는 망 객체를 감지하지 못하였으므로 인증 요청기의 동작은 수행하지 않는다. 이때, 제2 망 객체 102는 제1 포트와 관련된 인증 요청기의 인접한 망 객체 목록 441에 제1 망 객체 101의 MAC 주소인 MAC1을 추가하고, 제1 포트와 관련된 인증기의 인접한 망 객체 목록 442에는 어떤 MAC 주소도 추가하지 않는다.
상기와 같이 제1 망 객체 101과 제2 망 객체 102의 제1 포트가 인증된 상태에서 제3 망 객체 103이 활성화되고, 제3 망 객체 103의 활성화에 의해 제3 망 객체 103과 연결된 제2 망 객체 102의 제2 포트가 활성화될 수 있다.
이에 따라, 제2 망 객체 102와 제3 망 객체 103은 510단계에서 EAPOL-START 메시지를 전송하고, 511단계에서 상대 망 객체로부터 EAPOL-START 메시지를 수신할 수 있다. 즉, 제2 망 객체 102, 및 제3 망 객체 103은 510단계 및 511단계를 통해 EAPOL-START 메시지를 교환하고, 교환된 EAPOL-START 메시지의 MAC 주소 및 우선순위를 기반으로 각 망 객체의 역할을 결정한다. 여기서, 510단계, 511단계, 및 520단계의 구체적인 동작 및 특징은 도 4에서 설명한 410단계, 411단계, 및 420단계와 동일하다. 따라서, 제2 망 객체 102는 제2 포트와 관련하여, MAC3보다 큰 MAC4를 갖는 제3 망 객체 103에 대한 인증 요청기로 동작하고, 제2 포트를 통해 MAC3보다 작은 MAC 주소를 갖는 망 객체를 감지하지 못하였으므로 인증기의 동작은 수행하지 않는다. 이때, 제2 망 객체 102는 제2 포트와 관련된 인증 요청기의 인접한 망 객체 목록 551에 제3 망 객체 103의 MAC 주소인 MAC4를 추가하고, 인증기의 인접한 망 객체 목록 552에는 어떤 MAC 주소도 추가하지 않는다. 또한, 제3 망 객체 103은 MAC4보다 작은 MAC3을 갖는 제2 망 객체 102의 제2 포트에 대한 인증기로 동작하고, MAC4보다 큰 MAC 주소를 갖는 망 객체를 감지하지 못하였으므로 인증 요청기의 동작은 수행하지 않는다. 이때, 제3 망 객체 103은 인증 요청기의 인접한 망 객체 목록 561에 제2 망 객체 102의 제2 포트에 대한 MAC 주소인 MAC3을 추가하고, 인증기의 인접한 망 객체 목록 562에는 어떤 MAC 주소도 추가하지 않는다.
이때, 제1 망 객체 101에 저장된 인증 요청기의 인접한 망 객체 목록 431, 531 및 인증기의 인접한 망 객체 목록 432, 532, 및 제2 망 객체 102에 저장된 제1 포트와 관련된 인증 요청기의 인접한 망 객체 목록 441, 541, 및 제1 포트와 관련된 인증기의 인접한 망 객체 목록 442, 542는 변경되지 않고 유지된다.
이후, 570단계와 같이, 제1 망 객체 101, 제2 망 객체 102, 및 제3 망 객체 103의 인증 절차가 완료된다.
상술한 바와 같이, 본 개시의 실시 예에 따르면, 새로운 망 객체가 활성화되어 인증 절차가 수행되는 경우, 기존에 인증 절차가 완료된 망 객체 및/혹은 망 객체의 포트에는 영향을 미치지 않는다.
상술한 실시 예들에서는 다수의 망 객체들의 MAC 주소가 상이한 경우를 가정하여 설명하였다. 그러나, 다수의 망 객체들의 MAC 주소가 동일한 경우가 발생될 수 있다. 실시 예에 따라 둘 이상의 망 객체들의 MAC 주소가 동일한 경우, 망 객체 각각은 교환된 메시지에 포함된 우선순위를 기반으로 상대 망 객체에 대해 인증기로 동작할지, 혹은 상대 망 객체에 대해 인증 요청기로 동작할지 여부를 결정할 수 있다. 예를 들어, 망 객체는 자신의 MAC 주소와 수신된 메시지에 포함된 소스 MAC 주소가 동일한 경우, 자신의 우선순위와 수신된 메시지에 포함된 우선순위를 비교하고, 비교 결과를 기반으로 상대 망 객체에 대해 인증기 혹은 인증 요청기로 동작할 수 있다. 여기서, 망 객체 자신의 우선순위는 상대 망 객체로부터 메시지가 수신된 포트의 우선순위를 의미한다. 예컨대, 상대 망 객체로부터 메시지가 수신된 포트의 우선순위가 수신된 메시지에 포함된 우선순위보다 높은 경우, 망 객체는 상대 망 객체에 대한 인증 요청기로 동작할 수 있다. 반면, 상대 망 객체로부터 메시지가 수신된 포트의 우선순위가 수신된 메시지에 포함된 우선순위보다 낮은 경우, 망 객체는 상대 망 객체에 대한 인증기로 동작할 수 있다. 본 개시의 실시 예에 따른 우선순위는 하기 도 6 내지 도 9에 나타낸 바와 같이, EAPOL-START 메시지에 포함될 수 있다.
도 6은 802.1X 시스템에서 정의된 EAPOL-START PDU의 구조를 도시하고, 도 7은 도 6의 PDU에 포함된 TLV 필드의 구조를 도시한다. 또한, 도 8은 802.1X 시스템에서 정의된 TLV 타입을 도시하고, 도 9는 일 실시 예에 따른 EAPOL-START PDU의 구조를 도시한다.
도 6을 참조하면, EAPOL-START PDU는 프로토콜 버전(Protocol Version) 600, 패킷 타입(Packet Type) 602, 패킷 바디 길이(Packet Body Length) 604, 패킷 바디(Packet Body) 606, 및 TLV(Type Length Value) 608을 포함할 수 있다. 이때, 프로토콜 버전 600은 EAP 버전을 나타낼 수 있으며, 패킷 타입 602은 PDU가 EAPOL-START 메시지임을 나타낼 수 있다. 또한, 패킷 바디 길이 604는 이후에 오는 패킷 바디의 길이를 의미하며, 패킷 바디 606은 EAPOL-START 메시지에 포함될 데이터를 포함할 수 있다. 실시 예에 따라, TLVs 608은 본 개시의 실시 예에 따라 인증 역할을 결정하기 위한 우선순위 값을 포함할 수 있다. 구체적으로, TLVs 608은 도 7에 도시된 바와 같이, TLV 타입 701, TLV 정보 열 길이(TLV information string length) 703, TLV 정보 열(TLV information string) 705를 포함한다. 이때, 본 개시의 실시 예에서는 우선순위 값을 위한 TLV 타입 701을 127로 지정할 수 있다. 예를 들어, 본 개시의 실시 예에 따라 도 8에 도시된 바와 같이, IEEE 802.1X 표준에 정의된 TLV 타입들 중에서 사업자가 임의로 지정하여 이용할 수 있도록 예약된 TLV 타입 127(801)을 이용할 수 있다. 또한, TLV 정보 열 길이 703은 이후에 위치한 TLV 정보 열 705의 길이를 나타낸다. 또한, TLV 정보 열 705는 각 망 객체의 인증 역할을 결정하기 위한 포트의 우선순위 값을 포함할 수 있다.
따라서, 본 개시의 실시 예에 따른 EAPOL-START DOU는 도 9에 나타낸 바와 같이, EAP의 버전을 나타내는 버전 900, EAPOL-START 메시지임을 나타내는 타입 902, 패킷 바디 길이 904, 및 우선순위에 대한 TLV 906을 포함할 수 있다. 이때, 우선순위에 대한 TLV 906은 해당 TLV가 우선순위에 대한 것임을 나타내는 TLV 타입 907, 우선순위의 길이를 나타내는 TLV 길이 908, 및 우선순위 909를 포함하도록 구성될 수 있다.
도 10은 일 실시 예에 따른 망 객체의 블록 구성을 도시한다. 이하 사용되는 '…부', '…기' 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어, 또는, 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.
도 10을 참조하면, 망 객체는 제어부 1000, 통신부 1010, 및 저장부 1020을 포함할 수 있다.
제어부 1000은 적어도 하나의 프로세서를 포함하여 구성될 수 있다. 제어부 1000은 근거리 통신망 내에 존재하는 적어도 하나의 다른 망 객체와 링크를 형성하고, 적어도 하나의 다른 망 객체와 통신하기 위한 기능을 제어한다. 특히, 제어부 1000은 역할 결정부 1002을 포함함으로써, 망 객체의 역할을 결정할 수 있다. 예컨대, 역할 결정부 1002는 망 객체가 상대 망 객체에 대한 인증기로 동작할지, 혹은 상대 망 객체에 대한 인증 요청기로 동작할지 여부를 결정한다. 구체적으로, 역할 결정부 1002는 망 객체 혹은 망 객체에 포함된 포트가 비활성화 상태에서 활성화 상태로 변경될 시, 인증 요청기로 임시 동작함을 결정할 수 있다. 역할 결정부 1002는 망 객체의 MAC 주소 혹은 망 객체에 포함된 포트의 MAC 주소를 소스 MAC 주소로 포함하고, 멀티캐스팅을 위해 미리 결정된 MAC 주소를 목적지 MAC 주소로 포함하는 제1 메시지를 생성하고, 생성된 제1 메시지를 통신부 1010을 통해 멀티캐스팅할 수 있다. 여기서, 제1 메시지는 인증 시작을 위한 EAPOL-START 메시지일 수 있다. 또한, EAPOL-START 메시지는 도 10에 도시된 바와 같은, 우선순위 TLV 906을 포함할 수 있다. 또한, 역할 결정부 1002는 통신부 1010을 통해 다른 망 객체로부터 제2 메시지를 수신할 수 있다. 제2 메시지는 EAPOL-START 메시지이며, 다른 망 객체의 MAC 주소를 소스 MAC 주소로 포함하고, 역할 결정부 1002의 망 객체의 MAC 주소 혹은 망 객체에 포함된 포트의 MAC 주소를 목적지 MAC 주소로 포함한다. 또한, 제2 메시지는 도 10에 도시된 바와 같은 우선순위 TLV 906을 포함할 수 있다.
역할 결정부 1002는 제2 메시지가 수신된 포트의 MAC 주소와 제2 메시지에 포함된 소스 MAC 주소를 비교하고, 비교 결과를 기반으로 제2 메시지에 대응되는 다른 망 객체에 대해 인증기로 동작할지 혹은 인증 요청기로 동작할지 결정할 수 있다. 예를 들어, 역할 결정부 1002는 제2 메시지가 수신된 포트의 MAC 주소가 제2 메시지에 포함된 소스 MAC 주소보다 작을 경우, 제2 메시지에 대응되는 다른 망 객체에 대해 인증 요청기로 동작함을 결정할 수 있다. 다른 예로, 역할 결정부 1002는 제2 메시지가 수신된 포트의 MAC 주소가 제2 메시지에 포함된 소스 MAC 주소보다 클 경우, 제2 메시지에 대응되는 다른 망 객체에 대해 인증기로 동작함을 결정할 수 있다. 한편, 역할 결정부 1002는 제2 메시지가 수신된 포트의 MAC 주소와 제2 메시지에 포함된 소스 MAC 주소가 동일할 경우, 제2 메시지가 수신된 포트의 우선순위와 제2 메시지에 포함된 우선순위를 비교하고, 비교 결과를 기반으로 제2 메시지에 대응되는 다른 망 객체에 대해 인증기로 동작할지 혹은 인증 요청기로 동작할지 결정할 수 있다. 예를 들어, 역할 결정부 1002는 제2 메시지가 수신된 포트의 우선순위가 제2 메시지에 포함된 우선순위보다 높은 경우, 제2 메시지에 대응되는 다른 망 객체에 대해 인증 요청기로 동작함을 결정할 수 있다. 다른 예로, 역할 결정부 1002는 제2 메시지가 수신된 포트의 우선순위가 제2 메시지에 포함된 우선순위보다 낮은 경우, 제2 메시지에 대응되는 다른 망 객체에 대해 인증기로 동작함을 결정할 수 있다.
제어부 1000은 역할 결정부 1002에서 결정된 역할에 따라 인증 절차를 수행하기 위한 기능을 제어한다. 예를 들어, 제어부 1000은 망 객체가 상대 망 객체에 대한 인증기로 동작함이 결정된 경우, 상대 망 객체에 대한 인증 절차를 수행하기 위해 인증 서버 110과 통신할 수 있다. 구체적으로, 제어부 1000은 상대 망 객체로부터의 인증요청을 인증 서버 110으로 전달하고, 인증 서버 110으로부터 수신되는 인증 성공 혹은 실패 결과를 상대 망 객체로 전달한다. 또한, 제어부 1000은 인증 성공 혹은 실패에 따라 상대 망 객체에 대한 포트를 개폐함으로써, 상대 망 객체에 대한 네트워크 이용을 허용하거나 제한할 수 있다. 다른 예로, 제어부 1000은 망 객체가 상대 망 객체에 대한 인증 요청기로 동작함이 결정된 경우, 상대 망 객체로 인증을 요청하여 인증 결과에 따라 네트워크를 이용 여부를 판단할 수 있다.
통신부 1010은 근거리 통신망 내에 존재하는 적어도 하나의 다른 망 객체와 통신하기 위한 기능을 제어한다. 통신부 1010은 제어부 1000의 제어에 따라 다른 망 객체와 신호를 송수신한다. 또한, 통신부 1010은 제어부 1000의 제어에 따라 인증 서버와 신호를 송수신한다. 또한, 통신부 1010은 제어부 1000의 제어에 따라 특정 포트를 개폐할 수 있다.
저장부 1020은 망 객체의 동작에 필요한 각종 데이터 및 프로그램을 저장한다. 특히, 저장부 1020은 제어부 1000의 제어에 따라 망 객체의 역할을 저장한다. 예를 들어, 저장부 1020은 해당 망 객체가 어떤 상대 망 객체에 대해 인증기로 동작하는지 나타내는 인증기의 인접한 망 객체 목록을 저장할 수 있다. 또한, 저장부 1020은 해당 망 객체가 어떤 상대 망 객체에 대해 인증 요청기로 동작하는지 나타내는 인증 요청기의 인접한 망 객체 목록을 저장할 수 있다.
도 11a 및 도 11b는 일 실시 예에 따른 망 객체의 동작 절차를 도시한다.
도 11a 및 도 11b를 참조하면, 제1 망 객체는 1101단계에서 제1 망 객체의 시작을 감지한다. 예를 들어, 제1 망 객체는 제1 망 객체의 전원 온, 혹은 제1 망 객체의 활성화, 혹은 제1 망 객체의 포트 상태 변경(예: down 상태에서 up 상태로 변경) 등을 감지한다.
제1 망 객체는 1103단계에서 제1 EAPOL START 메시지를 전송한다. 예를 들어, 제1 망 객체는 제1 망 객체의 MAC 주소를 소스 MAC 주소로 포함하고, 멀티캐스팅을 위해 미리 예약된 MAC 주소를 목적지 MAC 주소로 포함하는 제1 EAPOL START 메시지를 전송한다. 이때, 제1 EAPOL 메시지는 도 9에 도시된 바와 같은, 제1 망 객체의 우선순위를 나타내는 우선순위 TLV 906를 포함할 수 있다. 여기서, 제1 망 객체는 랜덤 함수를 통해 우선순위를 획득될 수 있다. 만일, 제1 망 객체가 다수의 포트를 포함하는 경우, 제1 망 객체는 각 포트에 대한 MAC 주소를 소스 MAC 주소로 하는 다수의 제1 EAPOL START 메시지를 전송한다. 예를 들어, 제1 망 객체가 제1 포트와 제2 포트를 포함하는 경우, 제1 망 객체는 제1 포트에 대한 MAC 주소를 소스 MAC 주소로 포함하고, 미리 예약된 MAC 주소를 목적지 MAC 주소로 포함하는 제1 EAPOL START 메시지를 제1 포트를 통해 전송하고, 제2 포트에 대한 MAC 주소를 소스 MAC 주소로 포함하고, 미리 예약된 MAC 주소를 목적지 MAC 주소로 포함하는 제1 EAPOL START 메시지를 제2 포트를 통해 전송한다. 이때, 제1 포트를 통해 전송되는 제1 EAPOL 메시지는 제1 포트에 대한 우선순위를 포함할 수 있고, 제2 포트를 통해 전송되는 제2 EAPOL 메시지는 제2 포트에 대한 우선순위를 포함할 수 있다.
제1 망 객체는 1105단계에서 제2 EAPOL START 메시지를 수신한다. 제2 EAPOL START 메시지는 다른 망 객체의 MAC 주소를 소스 MAC 주소로 포함하고, 제1 망 객체의 MAC 주소를 목적지 MAC 주소로 포함할 수 있다. 여기서, 제1 망 객체의 MAC 주소는 제2 EAPOL START 메시지가 수신된 포트의 MAC 주소일 수 있다. 또한, 제2 EAPOL START 메시지는 다른 망 객체의 우선순위를 나타내는 우선순위 TLV 906를 포함할 수 있다.
제1 망 객체는 1107단계에서 제2 EAPOL START 메시지가 수신된 포트의 MAC 주소와 제2 EAPOL START 메시지의 소스 MAC 주소가 동일한지 여부를 검사한다. 예를 들어, 제1 망 객체가 다수의 포트를 포함하는 경우, 다수의 포트 중에서 제2 EAPOL START 메시지가 수신된 포트의 MAC 주소와 제2 EAPOL START 메시지에 포함된 소스 MAC 주소가 동일한지 여부를 결정한다.
제1 망 객체는 제2 EAPOL START 메시지가 수신된 포트의 MAC 주소와 제2 EAPOL START 메시지의 소스 MAC 주소가 동일하지 않을 경우, 1109단계로 진행하여 제2 EAPOL START 메시지가 수신된 포트의 MAC 주소가 제2 EAPOL START 메시지의 소스 MAC 주소보다 큰 값인지 여부를 결정한다. 만일, 제2 EAPOL START 메시지가 수신된 포트의 MAC 주소가 제2 EAPOL START 메시지의 소스 MAC 주소보다 큰 경우, 제1 망 객체는 1111단계에서 제2 EAPOL START 메시지의 소스 MAC 주소를 갖는 망 객체에 대해 인증기로 동작한다. 반면, 제2 EAPOL START 메시지가 수신된 포트의 MAC 주소가 제2 EAPOL START 메시지의 소스 MAC 주소보다 작은 경우, 제1 망 객체는 1113단계에서 제2 EAPOL START 메시지의 소스 MAC 주소를 갖는 망 객체에 대해 인증 요청기로 동작한다.
한편, 1107단계의 검사 결과 제2 EAPOL START 메시지가 수신된 포트의 MAC 주소와 제2 EAPOL START 메시지의 소스 MAC 주소가 동일할 경우, 제1 망 객체는 1115단계에서 제2 EAPOL START 메시지가 수신된 포트의 우선순위가 제2 EAPOL START 메시지에 포함된 우선순위보다 높은지 여부를 결정한다. 예를 들어, 제1 망 객체는 제2 EAPOL START 메시지가 수신된 포트의 우선순위와 제2 EAPOL START 메시지에 포함된 우선순위를 비교할 수 있다.
만일, 제2 EAPOL START 메시지가 수신된 포트의 우선순위가 제2 EAPOL START 메시지에 포함된 우선순위보다 높은 경우, 제1 망 객체는 1113단계로 진행하여 제2 EAPOL START 메시지의 소스 MAC 주소를 갖는 망 객체에 대해 인증 요청기로 동작한다. 반면, 제2 EAPOL START 메시지가 수신된 포트의 우선순위가 제2 EAPOL START 메시지에 포함된 우선순위보다 낮은 경우, 제1 망 객체는 1111단계로 진행하여 제2 EAPOL START 메시지의 소스 MAC 주소를 갖는 망 객체에 대해 인증기로 동작한다.
이후, 제1 망 객체는 1117단계에서 다른 망 객체로부터 제3 EAPOL START 메시지가 수신되는지 여부를 검사한다. 예를 들어, 제1 망 객체는 새롭게 활성화된 또 다른 망 객체로부터 제3 EAPOL START 메시지가 수신되는지 여부를 검사한다. 제3 EAPOL START 메시지는 또 다른 망 객체의 MAC 주소를 소스 MAC 주소로 포함하면서, 멀티캐스팅을 위해 미리 예약된 MAC 주소를 목적지 MAC 주소로 포함할 수 있다. 또한, 제3 EAPOL START 메시지는 또 다른 망 객체의 우선순위를 나타내는 우선순위 TLV 906를 포함할 수 있다.
제1 망 객체는 제3 EAPOL START 메시지 수신에 대한 응답으로, 1119단계에서 제4 EAPOL START 메시지를 전송한다. 이때, 제4 EAPOL START 메시지는 제3 EAPOL START가 수신된 포트의 MAC 주소를 소스 MAC 주소로 포함하고, 제3 EAPOL START 메시지에 포함된 소스 MAC 주소를 목적지 MAC 주소로 포함할 수 있다. 또한, 제4 EAPOL START 메시지는 제3 EAPOL START가 수신된 포트의 우선순위를 포함할 수 있다. 또한, 제1 망 객체는 제3 EAPOL START가 수신된 포트를 통해 제4 EAPOL START 메시지를 전송할 수 있다.
이후, 제1 망 객체는 1121단계에서 제3 EAPOL START 메시지가 수신된 포트의 MAC 주소와 제3 EAPOL START 메시지의 소스 MAC 주소가 동일한지 여부를 검사한다. 예를 들어, 제1 망 객체가 다수의 포트를 포함하는 경우, 다수의 포트 중에서 제3 EAPOL START 메시지가 수신된 포트의 MAC 주소와 제3 EAPOL START 메시지에 포함된 소스 MAC 주소가 동일한지 여부를 결정한다.
제1 망 객체는 제3 EAPOL START 메시지가 수신된 포트의 MAC 주소와 제3 EAPOL START 메시지의 소스 MAC 주소가 동일하지 않을 경우, 1123단계로 진행하여 제3 EAPOL START 메시지가 수신된 포트의 MAC 주소가 제3 EAPOL START 메시지의 소스 MAC 주소보다 큰 값인지 여부를 결정한다. 만일, 제3 EAPOL START 메시지가 수신된 포트의 MAC 주소가 제3 EAPOL START 메시지의 소스 MAC 주소보다 큰 경우, 제1 망 객체는 1125단계에서 제3 EAPOL START 메시지의 소스 MAC 주소를 갖는 망 객체에 대해 인증기로 동작한다. 반면, 제3 EAPOL START 메시지가 수신된 포트의 MAC 주소가 제3 EAPOL START 메시지의 소스 MAC 주소보다 작은 경우, 제1 망 객체는 1127단계에서 제3 EAPOL START 메시지의 소스 MAC 주소를 갖는 망 객체에 대해 인증 요청기로 동작한다.
한편, 1121단계의 검사 결과 제3 EAPOL START 메시지가 수신된 포트의 MAC 주소와 제3 EAPOL START 메시지의 소스 MAC 주소가 동일할 경우, 제1 망 객체는 1129단계에서 제3 EAPOL START 메시지가 수신된 포트의 우선순위가 제3 EAPOL START 메시지에 포함된 우선순위보다 높은지 여부를 결정한다. 예를 들어, 제1 망 객체는 제3 EAPOL START 메시지가 수신된 포트의 우선순위와 제3 EAPOL START 메시지에 포함된 우선순위를 비교할 수 있다.
만일, 제3 EAPOL START 메시지가 수신된 포트의 우선순위가 제3 EAPOL START 메시지에 포함된 우선순위보다 높은 경우, 제1 망 객체는 1127단계로 진행하여 제3 EAPOL START 메시지의 소스 MAC 주소를 갖는 망 객체에 대해 인증 요청기로 동작한다. 반면, 제3 EAPOL START 메시지가 수신된 포트의 우선순위가 제3 EAPOL START 메시지에 포함된 우선순위보다 낮은 경우, 제1 망 객체는 1125단계로 진행하여 제3 EAPOL START 메시지의 소스 MAC 주소를 갖는 망 객체에 대해 인증기로 동작한다.
도 12는 다른 실시 예에 따른 망 객체의 동작 절차를 도시한다.
도 12를 참조하면, 망 객체는 1201단계에서 제1 MAC 주소를 포함하는 제1 메시지를 전송하고, 1203단계에서 다른 망 객체로부터 제2 MAC 주소를 포함하는 제2 메시지를 수신한다. 여기서, 제1 MAC 주소는 망 객체에 포함된 포트에 대응하는 MAC 주소이고, 제2 MAC 주소는 다른 망 객체에 포함된 포트에 대응하는 MAC 주소이다. 또한, 제1 메시지 및 제2 메시지는 인증 절차 시작을 위한 EAPOL START 메시지일 수 있다. 실시 예에 따라 1201단계 및 1203단계의 순서는 변경될 수 있다. 예를 들어, 망 객체는 제1 메시지 전송에 대한 응답으로 다른 망 객체로부터 제2 메시지를 수신할 수도 있고, 다른 망 객체로부터의 제2 메시지 수신에 대한 응답으로, 다른 망 객체로 제1 메시지를 전송할 수도 있다. 또한, 실시 예에 따라 제1 메시지 및 제2 메시지 각각은 해당 망 객체에 대한 우선순위 정보를 포함할 수 있다.
망 객체는 1205단계에서 제1 MAC 주소와 제2 MAC 주소를 기반으로 인증기 및 인증 요청 기 중 어느 하나로 동작한다. 예를 들어, 망 객체는 제1 MAC 주소와 제2 MAC 주소를 비교하고, 비교 결과에 따라 제2 MAC 주소를 갖는 망 객체에 대한 인증기로 동작하거나, 혹은 인증 요청기로 동작할 수 있다. 망 객체는 제1 MAC 주소가 제2 MAC 주소보다 작을 경우, 제2 MAC 주소를 갖는 망 객체에 대한 인증 요청기로 동작할 수 있다. 또한, 망 객체는 제1 MAC 주소가 제2 MAC 주소보다 클 경우, 제2 MAC 주소를 갖는 망 객체에 대한 인증기로 동작할 수 있다. 반면, 제1 MAC 주소와 제2 MAC 주소가 동일할 경우, 망 객체는 제1 메시지 및 제2 메시지 각각에 포함된 우선순위를 기반으로 인증기 및 인증 요청 기 중 어느 하나로 동작할 수 있다.
본 개시의 청구항 또는 명세서에 기재된 실시 예들에 따른 방법들은 하드웨어, 소프트웨어, 또는 하드웨어와 소프트웨어의 조합의 형태로 구현될(implemented) 수 있다.
그러한 소프트웨어는 컴퓨터 판독 가능 저장 매체에 저장될 수 있다. 컴퓨터 판독 가능 저장 매체는, 적어도 하나의 프로그램(소프트웨어 모듈), 전자 장치에서 적어도 하나의 프로세서에 의해 실행될 때 전자 장치가 본 개시의 방법을 실시하게 하는 명령어들(instructions)을 포함하는 적어도 하나의 프로그램을 저장한다.
이러한 소프트웨어는, 휘발성(volatile) 또는 (ROM: Read Only Memory)과 같은 불휘발성(non-volatile) 저장장치의 형태로, 또는 램(RAM: random access memory), 메모리 칩(memory chips), 장치 또는 집적 회로(integrated circuits)와 같은 메모리의 형태로, 또는 컴팩트 디스크 롬(CD-ROM: Compact Disc-ROM), 디지털 다목적 디스크(DVDs: Digital Versatile Discs), 자기 디스크(magnetic disk) 또는 자기 테이프(magnetic tape) 등과 같은 광학 또는 자기적 판독 가능 매체에, 저장될 수 있다.
저장 장치 및 저장 미디어는, 실행될 때 일 실시 예들을 구현하는 명령어들을 포함하는 프로그램 또는 프로그램들을 저장하기에 적절한 기계-판독 가능 저장 수단의 실시 예들이다. 실시 예들은 본 명세서의 청구항들 중 어느 하나에 청구된 바와 같은 장치 또는 방법을 구현하기 위한 코드를 포함하는 프로그램, 및 그러한 프로그램을 저장하는 기계-판독 가능 저장 매체를 제공한다. 나아가, 그러한 프로그램들은 유선 또는 무선 연결을 통해 전달되는 통신 신호와 같은 어떠한 매체에 의해 전자적으로 전달될 수 있으며, 실시 예들은 동등한 것을 적절히 포함한다.
상술한 구체적인 실시 예들에서, 발명에 포함되는 구성 요소는 제시된 구체적인 실시 예에 따라 단수 또는 복수로 표현되었다. 그러나, 단수 또는 복수의 표현은 설명의 편의를 위해 제시한 상황에 적합하게 선택된 것으로서, 상술한 실시 예들이 단수 또는 복수의 구성 요소에 제한되는 것은 아니며, 복수로 표현된 구성 요소라 하더라도 단수로 구성되거나, 단수로 표현된 구성 요소라 하더라도 복수로 구성될 수 있다.
한편 발명의 설명에서는 구체적인 실시 예에 관해 설명하였으나, 다양한 실시 예들이 내포하는 기술적 사상의 범위에서 벗어나지 않는 한도 내에서 여러 가지 변형이 가능함은 물론이다. 그러므로 본 발명의 범위는 설명된 실시 예에 국한되어 정해져서는 아니되며 후술하는 청구범위뿐만 아니라 이 청구범위와 균등한 것들에 의해 정해져야 한다.

Claims (20)

  1. 통신 시스템에서 망 객체의 동작 방법에 있어서,
    제1 MAC(Medium Access Control) 주소를 포함하는 제1 메시지를 전송하는 과정;
    다른 망 객체로부터 제2 MAC 주소를 포함하는 제2 메시지를 수신하는 과정; 및
    상기 제1 MAC 주소와 상기 제2 MAC 주소를 기반으로 상기 다른 망 객체에 대한 인증기 및 인증 요청기 중 어느 하나로 동작하는 과정을 포함하는 방법.
  2. 청구항 1에 있어서,
    상기 제1 MAC 주소와 상기 제2 MAC 주소를 기반으로 상기 다른 망 객체에 대한 인증기 및 인증 요청기 중 어느 하나로 동작하는 과정은,
    상기 제1 MAC 주소와 상기 제2 MAC 주소를 비교하는 과정;
    상기 제1 MAC 주소가 상기 제2 MAC 주소보다 작은 경우, 상기 다른 망 객체에 대한 인증 요청기로 동작하는 과정; 및
    상기 제1 MAC 주소가 상기 제2 MAC 주소보다 큰 경우, 상기 다른 망 객체에 대한 인증기로 동작하는 과정을 포함하는 방법.
  3. 청구항 2에 있어서,
    상기 제1 MAC 주소가 상기 제2 MAC 주소와 동일한 경우, 상기 제1 MAC 주소에 대응되는 포트의 우선순위와 상기 제2 메시지에 포함된 우선순위를 기반으로 상기 다른 망 객체에 대한 인증기 및 인증 요청기 중 어느 하나로 동작하는 과정을 더 포함하는 방법.
  4. 청구항 3에 있어서,
    상기 제1 MAC 주소에 대응되는 포트의 우선순위와 상기 제2 메시지에 포함된 우선순위를 기반으로 상기 다른 망 객체에 대한 인증기 및 인증 요청기 중 어느 하나로 동작하는 과정은,
    상기 제1 MAC 주소에 대응되는 포트의 우선순위가 상기 제2 메시지에 포함된 우선순위보다 낮은 경우, 상기 다른 망 객체에 대한 인증기로 동작하는 과정; 및
    상기 제1 MAC 주소에 대응되는 포트의 우선순위가 상기 제2 메시지에 포함된 우선순위보다 높은 경우, 상기 다른 망 객체에 대한 인증 요청기로 동작하는 과정을 포함하는 방법.
  5. 청구항 1에 있어서,
    상기 제1 MAC는 주소는, 상기 다른 망 객체로부터 상기 제2 메시지를 수신한 포트에 대응되는 방법.
  6. 청구항 1에 있어서,
    상기 망 객체의 시작을 감지하는 과정을 더 포함하며,
    상기 제1 MAC 주소를 포함하는 상기 제1 메시지는 상기 망 객체에 포함된 제 1 포트를 통해 전송되며,
    상기 제1 메시지는 상기 제1 포트에 대응되는 상기 제1 MAC 주소를 소스 주소로 포함하고, 멀티캐스트를 위해 미리 결정된 MAC 주소를 목적지 주소로 포함하는 방법.
  7. 청구항 6에 있어서,
    상기 망 객체가 상기 제1 포트 이외에 적어도 하나의 포트를 더 포함하는 경우, 상기 적어도 하나의 포트 각각에 대응되는 MAC 주소를 포함하는 적어도 하나의 메시지를 전송하는 과정을 더 포함하며,
    상기 적어도 하나의 메시지는 상기 망 객체에 포함된 적어도 하나의 포트를 통해 전송되며,
    상기 적어도 하나의 메시지는 상기 적어도 하나의 포트 각각에 대응되는 MAC 주소를 소스 주소로 포함하고, 멀티캐스트를 위해 미리 결정된 MAC 주소를 목적지 주소로 포함하는 방법.
  8. 청구항 6에 있어서,
    상기 제2 MAC 주소를 포함하는 제2 메시지는, 상기 제1 메시지에 대한 응답으로 수신되며,
    상기 제2 메시지는, 상기 제2 MAC 주소를 소스 주소로 포함하고, 상기 제1 MAC 주소를 목적지 주소로 포함하는 방법.
  9. 청구항 1에 있어서,
    상기 제1 메시지는 상기 제2 메시지가 수신된 것에 대한 응답으로 전송되며,
    상기 제2 메시지는, 상기 다른 망 객체의 제2 MAC 주소를 소스 주소로 포함하고, 멀티캐스트를 위해 미리 결정된 MAC 주소를 목적지 주소로 포함하며,
    상기 제1 메시지는, 상기 제2 메시지가 수신된 포트에 대응되는 상기 제1 MAC 주소를 소스 주소로 포함하고, 상기 제2 MAC 주소를 목적지 주소로 포함하는 방법.
  10. 청구항 1에 있어서,
    상기 제1 메시지와 상기 제2 메시지는, EAPOL(Extensible Authentication Protocol Over LAN) 시작 메시지인 방법.
  11. 통신 시스템에서 망 객체에 있어서,
    제1 MAC(Medium Access Control) 주소를 포함하는 제1 메시지를 전송하고, 다른 망 객체로부터 제2 MAC 주소를 포함하는 제2 메시지를 수신하는 통신부; 및
    상기 제1 MAC 주소와 상기 제2 MAC 주소를 기반으로 상기 망 객체가 상기 다른 망 객체에 대한 인증기 및 인증 요청기 중 어느 하나로 동작하도록 제어하는 제어부를 포함하는 망 객체.
  12. 청구항 11에 있어서,
    상기 제어부는, 상기 제1 MAC 주소와 상기 제2 MAC 주소를 비교하고, 상기 제1 MAC 주소가 상기 제2 MAC 주소보다 작은 경우, 상기 망 객체가 다른 망 객체에 대한 인증 요청기로 동작하도록 제어하고, 상기 제1 MAC 주소가 상기 제2 MAC 주소보다 큰 경우, 상기 망 객체가 상기 다른 망 객체에 대한 인증기로 동작하도록 제어하는 망 객체.
  13. 청구항 12에 있어서,
    상기 제어부는, 상기 제1 MAC 주소가 상기 제2 MAC 주소와 동일한 경우, 상기 제1 MAC 주소에 대응되는 포트의 우선순위와 상기 제2 메시지에 포함된 우선순위를 기반으로 상기 다른 망 객체에 대한 인증기 및 인증 요청기 중 어느 하나로 동작하도록 제어하는 망 객체.
  14. 청구항 13에 있어서,
    상기 제어부는, 상기 제1 MAC 주소에 대응되는 포트의 우선순위가 상기 제2 메시지에 포함된 우선순위보다 낮은 경우, 상기 다른 망 객체에 대한 인증기로 동작하고, 상기 제1 MAC 주소에 대응되는 포트의 우선순위가 상기 제2 메시지에 포함된 우선순위보다 높은 경우, 상기 다른 망 객체에 대한 인증 요청기로 동작하도록 제어하는 망 객체.
  15. 청구항 11에 있어서,
    상기 제1 MAC는 주소는, 상기 다른 망 객체로부터 상기 제2 메시지를 수신한 포트에 대응되는 망 객체.
  16. 청구항 11에 있어서,
    상기 제어부는, 상기 망 객체의 시작을 감지하고, 상기 제1 MAC 주소를 포함하는 상기 제1 메시지가 상기 망 객체에 포함된 제 1 포트를 통해 전송되도록 제어하며,
    상기 제1 메시지는 상기 제1 포트에 대응되는 상기 제1 MAC 주소를 소스 주소로 포함하고, 멀티캐스트를 위해 미리 결정된 MAC 주소를 목적지 주소로 포함하는 망 객체.
  17. 청구항 16에 있어서,
    상기 제어부는, 상기 망 객체가 상기 제1 포트 이외에 적어도 하나의 포트를 더 포함하는 경우, 상기 적어도 하나의 포트 각각에 대응되는 MAC 주소를 포함하는 적어도 하나의 메시지를 전송하도록 제어하고, 상기 적어도 하나의 메시지가 상기 망 객체에 포함된 적어도 하나의 포트를 통해 전송되도록 제어하며,
    상기 적어도 하나의 메시지는 상기 적어도 하나의 포트 각각에 대응되는 MAC 주소를 소스 주소로 포함하고, 멀티캐스트를 위해 미리 결정된 MAC 주소를 목적지 주소로 포함하는 망 객체.
  18. 청구항 16에 있어서,
    상기 제2 MAC 주소를 포함하는 제2 메시지는, 상기 제1 메시지에 대한 응답으로 수신되며,
    상기 제2 메시지는, 상기 제2 MAC 주소를 소스 주소로 포함하고, 상기 제1 MAC 주소를 목적지 주소로 포함하는 망 객체.
  19. 청구항 11에 있어서,
    상기 제1 메시지는 상기 제2 메시지가 수신된 것에 대한 응답으로 전송되며,
    상기 제2 메시지는, 상기 다른 망 객체의 제2 MAC 주소를 소스 주소로 포함하고, 멀티캐스트를 위해 미리 결정된 MAC 주소를 목적지 주소로 포함하며,
    상기 제1 메시지는, 상기 제2 메시지가 수신된 포트에 대응되는 상기 제1 MAC 주소를 소스 주소로 포함하고, 상기 제2 MAC 주소를 목적지 주소로 포함하는 망 객체.
  20. 청구항 11에 있어서,
    상기 제1 메시지와 상기 제2 메시지는, EAPOL(Extensible Authentication Protocol Over LAN) 시작 메시지인 망 객체.
KR1020150186593A 2015-12-24 2015-12-24 통신 시스템에서 인증 장치 및 방법 KR102598119B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150186593A KR102598119B1 (ko) 2015-12-24 2015-12-24 통신 시스템에서 인증 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150186593A KR102598119B1 (ko) 2015-12-24 2015-12-24 통신 시스템에서 인증 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20170076392A KR20170076392A (ko) 2017-07-04
KR102598119B1 true KR102598119B1 (ko) 2023-11-09

Family

ID=59357139

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150186593A KR102598119B1 (ko) 2015-12-24 2015-12-24 통신 시스템에서 인증 장치 및 방법

Country Status (1)

Country Link
KR (1) KR102598119B1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11671451B1 (en) * 2019-08-05 2023-06-06 Amazon Technologies, Inc. Server/client resolution for link level security protocol

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010074768A (ja) 2008-09-22 2010-04-02 Nec Access Technica Ltd 無線簡易設定システム、無線簡易設定方法、及び無線簡易設定プログラム

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100819942B1 (ko) * 2006-04-17 2008-04-10 주식회사 에어큐브 유무선 네트워크의 검역 및 정책기반 접속제어 방법
CN100534037C (zh) * 2007-10-30 2009-08-26 西安西电捷通无线网络通信有限公司 一种适用于ibss网络的接入认证方法

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010074768A (ja) 2008-09-22 2010-04-02 Nec Access Technica Ltd 無線簡易設定システム、無線簡易設定方法、及び無線簡易設定プログラム

Also Published As

Publication number Publication date
KR20170076392A (ko) 2017-07-04

Similar Documents

Publication Publication Date Title
CN106105134B (zh) 用于改进端到端数据保护的方法和装置
US9049184B2 (en) System and method for provisioning a unique device credentials
US9219816B2 (en) System and method for automated whitelist management in an enterprise small cell network environment
KR101068424B1 (ko) 통신시스템을 위한 상호동작 기능
US9071968B2 (en) Method, apparatus, and system for centralized 802.1X authentication in wireless local area network
EP3328107B1 (en) Method, relevant device and system for message protection
CN105027529B (zh) 用于验证对网络资源的用户接入的方法和设备
US8661510B2 (en) Topology based fast secured access
KR20080093431A (ko) 무선 네트워크의 클라이언트의 인증 방법
CN101785343B (zh) 用于快速转换资源协商的方法、系统和装置
KR20180057665A (ko) 사용자 장비(ue)를 위한 액세스 방법, 디바이스 및 시스템
US10542481B2 (en) Access point beamforming for wireless device
US9807088B2 (en) Method and network node for obtaining a permanent identity of an authenticating wireless device
US20120054359A1 (en) Network Relay Device and Frame Relaying Control Method
US9084111B2 (en) System and method for determining leveled security key holder
JP2016530732A (ja) プロキシミティベースサービス通信におけるセキュアグループ生成
US9578506B2 (en) Method and arrangement for providing a wireless mesh network
US7477746B2 (en) Apparatus for dynamically managing group transient key in wireless local area network system and method thereof
Kumar et al. Design of a USIM and ECC based handover authentication scheme for 5G-WLAN heterogeneous networks
TWI685267B (zh) 一種接入控制的方法及設備
US10516998B2 (en) Wireless network authentication control
CN115412911A (zh) 一种鉴权方法、通信装置和系统
KR102598119B1 (ko) 통신 시스템에서 인증 장치 및 방법
WO2019141135A1 (zh) 支持无线网络切换的可信服务管理方法以及装置
US20200162907A1 (en) Optimized simultaneous authentication of equals (sae) authentication in wireless networks

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant