KR20040102172A

KR20040102172A - 액세스 네트워크 사이의 연동에서의 과도적인 인증 공인계정

Info

Publication number: KR20040102172A
Application number: KR10-2004-7017145A
Authority: KR
Inventors: 윤비아오 장
Original assignee: 톰슨 라이센싱 소시에떼 아노님
Priority date: 2002-04-26
Filing date: 2003-03-12
Publication date: 2004-12-03
Also published as: MXPA04010624A; EP1500223B1; EP1500223A1; CA2482648C; US7721106B2; CN1663168B; WO2003092218A1; MY142197A; CA2482648A1; JP4583167B2; BR0309523A; KR101013523B1; AU2003213852A1; BRPI0309523B1; CN1663168A; JP2006514447A; US20050154895A1; EP1500223A4

Abstract

본 발명은, 제 1 통신 네트워크에 의해 이미 인증되었던 사용자 디바이스(240)가 제 2 통신 네트워크에 의해 인증을 겪지 않고 이 제 2 통신 네트워크에 대한 액세스를 얻게 하는 방법 및 시스템에 관한 것이다. 제 1 통신 네트워크와 제 2 통신 네트워크는 그 사이에 미리-수립된 신뢰도 관계를 갖는다. 사용자 디바이스 공개 키를 포함하는 사용자 디바이스(240)로부터 패킷이 제 2 네트워크에 의해 제 1 네트워크(210)를 통해 수신된다. 세션 키는, 패킷과 관련된 소스 인터넷 프로토콜(IP) 어드레스가 제 1 네트워크(210)에 할당된 범위 내에 있을 때, 제 2 네트워크(220)로부터 사용자 디바이스(240)로 제 1 네트워크(210)를 통해서 전송된다. 세션 키는 사용자 디바이스 공개 키로 암호화된다. 사용자 디바이스는 개인 키를 사용하여 세션 키를 복호화하고, 그 이후 제 2 네트워크(220)에 액세스하기 위해 이 세션 키를 사용한다. 나아가, 사용자 디바이스(240)에 관련된 사용 데이터가 제 2 통신 네트워크에 의해 생성되고, 제 1 통신 네트워크에 송신되도록 사용자 디바이스(240)의 ID와 세션 키를 상관시키기 위한 매핑이 생성되며, 이러한 제 1 통신 네트워크는 제 2 통신 네트워크의 사용자 디바이스(240) 액세스를 나타내는 계정 정보를 생성한다.

Description

액세스 네트워크 사이의 연동에서의 과도적인 인증 공인 계정{TRANSITIVE AUTHENTICATION AUTHORIZATION ACCOUNTING IN INTERWORKING BETWEEN ACCESS NETWORKS}

전형적으로, 인증, 공인 및 계정(AAA)은 셀룰러 네트워크와 무선 근거리 네트워크(WLAN)와 같은 네트워크를 액세스하고 사용해야 한다. 이동 단말이 다수의 네트워크 액세스 메커니즘을 갖는 환경에서, 이들 네트워크 사이에서 AAA 연동을 제공하는 것이 가장 중요하다. 그러나, 관계된 네트워크 중 하나 이상은 폐쇄된 AAA 방식(scheme)을 갖는 것이 일반적인 경우이며, 네트워크 중 하나가 네트워크 중 또 다른 하나의 AAA 구조를 사용하는 것 및 그 반대의 경우도 어렵다. 예컨대, 비록 관계된 네트워크(셀룰러 네트워크를 포함함)가 외부 IP 연결을 갖는다 하더라도 셀룰러 네트워크는 인터넷 기반 AAA와 호환될 수 없고 인터넷 프로토콜을 통해 쉽게 액세스될 수 없는 AAA 하부구조를 갖는다.

AAA 연동을 제공하기 위한 종래의 접근법들은 모두 심지어 네트워크 사이에신뢰도 관계를 미리 설정하고 있는 네트워크 사이의 AAA 연동의 경우에도 네트워크 사이에 특수한 연동 기능을 필요로 한다. 이러한 연동 기능을 사용하면, 예컨대 네트워크 B는 (폐쇄된 네트워크 AAA 메커니즘을 통해) 네트워크 A에 의해 이미 인증된 사용자를 인증하기 위해 네트워크 A의 AAA 하부구조에 액세스할 것이다. 종래의 접근법은 사용자가 네트워크 B와의 신뢰도 관계를 미리 설정하고 있는 네트워크 A에 의해 이미 인증되었다는 사실을 이용하지 않는다.

따라서, 하나의 네트워크에 의해 사용자에게 속해 있는 신뢰도를 이 네트워크로부터 또 다른 네트워크로 전송하기 위한 방법을 이러한 방법을 달성하기 위해 임의의 특수한 연동 기능을 필요로 하지 않고도 갖는 것이 바람직하고 매우 유리하다.

본 발명은 일반적으로 네트워킹에 관한 것이며, 좀더 상세하게는 액세스 네트워크 사이의 연동에서의 과도적인 인증 공인 및 계정(AAA: Authentication Authorization and Accounting) 방법에 관한 것이다.

도 1은 본 발명의 예시적인 실시예에 따른, 본 발명이 적용될 컴퓨터 시스템(100)을 예시한 블록도.

도 2는 본 발명의 예시적인 실시예에 따른, 본 발명이 적용될 과도적인 AAA 구조를 예시한 블록도.

도 3은 본 발명의 예시적인 실시예에 따른, 3G 셀룰러 네트워크에 의해 인증되었던 사용자 디바이스가 무선 근거리 네트워크(WLAN)에 대한 액세스를 얻게 하는 AAA 방법을 예시하는 흐름도.

도 4는 본 발명의 예시적인 실시예에 따른, 도 3의 방법의 사용자 디바이스의 사용자에 대한 계정을 실행하는 계정 방법을 예시하는 흐름도.

전술한 문제 및, 종래기술의 다른 관련 문제는 액세스 네트워크 사이의 연동에서 과도적인 인증, 공인 및 계정(AAA)을 위한 본 발명의 방법에 의해 해결된다.

본 발명의 일양상에 따라, 제 1 네트워크에 의해 이미 인증된 사용자 디바이스가 제 2 네트워크에 대한 액세스를 얻게 하는 방법이 제공된다. 제 1 네트워크 및 제 2 네트워크는 그 사이에 미리 설정된 신뢰도 관계를 갖는다. 패킷이 사용자 디바이스 공개 키(public key)를 포함하는 사용자 디바이스로부터 제 2 네트워크에 의해 수신된다. 세션 키(session key)는 이 패킷과 관련된 소스 인터넷 프로토콜(IP) 어드레스가 제 1 네트워크에 할당된 범위 내에 있을 때 제 2 네트워크로부터 사용자 디바이스로 전송된다. 세션 키는 사용자 디바이스 공개 키로 암호화된다.세션 키는 사용자 디바이스가 제 2 네트워크에 액세스하게 하기 위한 것이다.

본 발명의 이들 및 다른 양상, 특성, 및 장점은 수반하는 도면과 연계해서 읽게될 바람직한 실시예에 대한 다음의 상세한 설명으로부터 분명해질 것이다.

본 발명은 액세스 네트워크 사이의 연동을 위한 과도적인 인증 공인 및 계정(AAA) 방법에 관한 것이다. 본 발명이 액세스 네트워크의 임의의 결합에 적용될 수 있음을 이해하게 될 것이다. 그러나, 본 발명은 특히 셀룰러 네트워크와 무선 근거리 네트워크(WLAN) 상호연동에 적용될 수 있다.

본 발명은 제 1 액세스 네트워크에 의해 사용자 상의 신뢰도를 제 2 액세스 네트워크에 전송하며, 여기서 제 1 및 제 2 액세스 네트워크는 미리 설정된 신뢰도관계를 갖는다. 종래기술과는 대조적으로, 본 발명은 두 개의 네트워크 사이의 임의의 특수한 상호연동 기능을 필요로 하기보다는 사용자 액세스 권한을 검증하기 위한 IP 어드레싱 및 라우팅 방법에 의존한다. 본 발명이 본 명세서에서는 과도적인 AAA로서 또한 지칭됨이 이해될 것이다.

본 발명은 하드웨어, 소프트웨어, 펌웨어, 특수용도 프로세서, 또는 그 조합의 여러 형태로 구현될 수 있음을 이해하게 될 것이다. 바람직하게, 본 발명은 하드웨어 및 소프트웨어의 조합으로서 구현된다. 게다가, 소프트웨어는 바람직하게는 프로그램 저장 디바이스 상에 명백하게 구현된 응용 프로그램으로서 구현된다. 응용 프로그램은 임의의 적절한 아키택쳐를 포함하는 머신에 업로드되고 이 머신에 의해 수행될 수 있다. 바람직하게, 머신은 하나 이상의 중앙처리장치(CPU), 랜덤액세스메모리(RAM), 및 입력/출력(I/O) 인터페이스(들)와 같은 하드웨어를 갖는 컴퓨터 플랫폼 상에 구현된다. 컴퓨터 플랫폼은 또한 운영체계 및 마이크로명령 코드를 포함한다. 여기서 기술된 여러 프로세스 및 기능은 운영체계를 통해 수행되는 응용 프로그램의 일부 또는 마이크로명령 코드의 일부( 또는 이들의 조합)일 수 있다. 게다가, 추가적인 데이터 저장 디바이스와 인쇄 디바이스와 같은 여러 다른 주변 디바이스가 컴퓨터 플랫폼에 연결될 수 있다.

수반하는 도면에 도시된 구성 시스템의 구성요소 및 방법의 단계 중 몇몇은 바람직하게는 소프트웨어로 구현되기 때문에, 시스템 구성요소(또는 프로세스 단계) 사이의 실제 연결은 본 발명이 프로그램되는 방식에 따라 다를 수 있음이 또한 이해될 것이다. 본 명세서의 교훈이 주어진다면, 당업자는 본 발명의 이들 및 유사한 구현 또는 구성을 생각해낼 수 있을 것이다.

도 1은 본 발명의 예시적인 실시예에 따른, 본 발명이 적용될 수 있는 컴퓨터 시스템(100)을 예시한 블록도이다. 컴퓨터 처리 시스템(100)은 시스템 버스(104)를 통해 다른 구성요소에 동작 가능하게 결합된 적어도 하나의 프로세서(CPU)(102)를 포함한다. 판독전용메모리(ROM)(106), 랜덤액세스메모리(RAM)(108), 디스플레이 어댑터(110), I/O 어댑터(112), 사용자 인터페이스 어댑터(114), 사운드 어댑터(170), 및 네트워크 어댑터(198)는 동작 가능하게 시스템 버스(104)에 결합된다.

디스플레이 디바이스(116)는 디스플레이 어댑터(110)에 의해 시스템 버스(104)에 동작 가능하게 결합된다. 디스크 저장 디바이스(예컨대, 자기 또는 광 디스크 저장 디바이스)(118)는 I/O 어댑터(112)에 의해 시스템 버스(104)에 동작 가능하게 결합된다. 마우스(120)와 키보드(122)는 사용자 인터페이스 어댑터(114)에 의해 시스템 버스(104)에 동작 가능하게 결합된다. 마우스(120)와 키보드(122)는 정보를 시스템(100)에 입력하고 이 시스템으로부터 출력하는데 사용된다.

적어도 하나의 스피커(본 명세서에서 이후에는 "스피커")(185)는 사운드 어댑터(170)에 의해 시스템 버스(104)에 동작 가능하게 결합된다.

(디지털 및/또는 아날로그) 모뎀(196)은 네트워크 어댑터(198)에 의해 시스템 버스(104)에 동작 가능하게 결합된다.

도 2는 본 발명의 예시적인 실시예에 따른, 본 발명이 적용될 수 있는 과도적인 AAA 구조를 예시한 블록도이다. 도 2의 예시적인 실시예에서, 과도적인 AAA구조는 제 1 네트워크(210); 제 2 네트워크(220); 인터넷(230); 및 사용자 디바이스(240)를 포함한다. 제 2 네트워크(220)는 AAA 서버(220a)를 포함한다. 사용자 디바이스(240)는 제 1 네트워크 인터페이스(240a)와 제 2 네트워크 인터페이스(240b)를 포함한다. 본 발명이 본 명세서에서 두 개의 네트워크에 대해 기술되었지만, 본 발명은 본 발명의 사상과 범위를 유지하면서 임의의 수 및 임의의 유형의 네트워크에 적용될 수 있음을 이해하게 될 것이다.

본 발명을 예시하기 위해, 본 발명에 대한 다음의 설명은 두 개의 네트워크, 즉 3G 셀룰러 네트워크와 무선 근거리 네트워크(WLAN)에 대해 이뤄진다. 그러나, 본 발명은 본 발명의 사상과 범위를 유지하면서 임의의 수의 네트워크 조합 및 임의 유형의 네트워크에 적용될 수 있음을 이해하게 될 것이다.

예시적인 예에서, 사용자 디바이스(240)는 3G 네트워크와 WLAN에 액세스하기 위한 이중 무선 인터페이스를 갖는다. 본 발명에 따라, 사용자 디바이스(240)는 다음과 같은 3G 네트워크(210)의 AAA 메커니즘을 통해 WLAN(220)에 액세스할 수 있다. WLAN(220)을 검출하자마자, 사용자 디바이스(240)는 WLAN(220)이 과도적인 AAA를 지원하는지를 결정한다. 만약 그렇다면, 사용자 디바이스(240)는 등록 메시지를 경로(214)를 통해 3G 네트워크에 전송한다. 등록 메시지는 사용자 공개 키를 포함한다. 등록 메시지는 경로(216 및 222)에 의해 지시된 바와 같이, 인터넷을 통해 WLAN 서버(230a)에 송신된다. 등록 메시지를 수신하자마자, WLAN 서버(230a)는 수신된 어드레스가 과도적인 AAA가 지원되는 어드레스 범위 이내에 있는지를 결정하기 위해 소스 IP 어드레스를 검사한다. 만약 그렇다면, WLAN 서버(230)는 사용자디바이스 공개 키로 암호화되는 세션 키를 제공하고, 경로(224 및 218)에 의해 지시된 바와 같이, 인터넷을 통해 이 세션 키를 3G 네트워크(210)에 송신한다. 그러면 3G 네트워크는 경로(212)로 지시된 바와 같이, 세션 키를 사용자 디바이스(240)에 송신한다. 그러면, 사용자 디바이스(240)는 사용자 디바이스 개인 키(private key)를 사용하여 세션 키를 복호화하며, 세션 키를 사용하여 WLAN(220)에 대한 액세스를 얻을 수 있다.

이러한 방식으로, 사용자 디바이스(240)는, WLAN(220)이 과도적인 AAA를 지원하고 3G 네트워크(210)와 이미-존재하는 신뢰도 관계를 갖는 한은, 3G 네트워크(210)의 AAA 메커니즘을 통해서 WLAN(220)에 대한 액세스를 얻을 수 있다. 본 발명은 WLAN이 인증을 위해 3G AAA 서비스에 접촉하게 하거나 각 WLAN과 관련된 AAA 메커니즘을 사용하기보다는, 3G 네트워크의 AAA 메커니즘을 직접 사용함으로써 3G 네트워크와 이미-존재하는 관계를 갖는 WLAN 사이에서 사용자 디바이스(240)가 "로밍"하게 하는 메커니즘을 제공한다.

3G 셀룰러 네트워크에는 IP 어드레스 범위가 할당된다; 즉, 사용자가 IP 액세스에 대한 3G 셀룰러 네트워크를 사용할 때, 소스 IP 어드레스는 이 범위에 있게 될 것이다. 인터넷 라우팅 방식이 주어진다면, 임의의 스누퍼(snooper)가 이러한 소스 IP 어드레스를 위조할 수 있는 동안, 반환 IP 패킷이 전송될 때, 만약 스누퍼가 IP 패킷을 전송한 라우터에 침입할 수 없다면, 이 IP 패킷은 IP 어드레스를 실제 갖는 사용자에 의해서만 수신될 수 있다. 그에 따라, 본 발명은 추가적인 보안 조치를 제공할 수 있다.

도 3은 본 발명의 예시적인 실시예에 따라, 3G 셀룰러 네트워크에 의해 인증되었던 사용자 디바이스가 무선 근거리 네트워크(WLAN)에 대한 액세스를 얻게 하는 AAA 방법을 예시하는 흐름도이다. 사용자 디바이스는 두 개의 무선 액세스 인터페이스(3G 셀룰러 및 WLAN)를 갖는다. 3G 셀룰러 네트워크와 WLAN은 그 사이에 미리-설정된 신뢰도 관계를 갖는다.

사용자 디바이스가 WLAN의 서비스 구역의 영역 내로 이동하면, WLAN이 과도적인 AAA를 지원하는 지와, 3G 셀룰러 네트워크가 {예컨대, 방송 또는 다이내믹 호스트 구성 프로토콜(DHCP: Dynamic Host Configuration Protocol)을 통해} WLAN과의 미리-설정된 신뢰도 관계를 갖는지가 결정된다{단계(302)}. 만약 그렇지 않다면, 이 방법은 종료된다. 그렇지 않으면, 단계(304)는 후술될 바와 같이 실행되며, 그러면, 방법은 단계(305)로 진행한다. 단계(305)에서, WLAN의 AAA 서버(이후 WLAN AAA 서버)의 IP 어드레스는 사용자 디바이스에 의해 얻어진다{단계(305)}.

등록 메시지를 포함하는 사용자 데이터그램 프로토콜(UDP: User Datagram Protocol) 패킷은 예컨대 사용자의 디바이스의 3G 셀룰러 인터페이스를 통해 사용자 디바이스로부터 WLAN AAA 서버로 전송된다{단계(310)}. 단계(310)가 UDP 패킷에 대해 기술되었지만, 송신 제어 프로토콜(TCP: Transmission Control Protocol) 패킷을 포함하며 이것 제한되지 않는 임의의 유형의 패킷이 사용될 수 있다는 점이 이해될 것이다. 등록 메시지는 사용자 디바이스의 WLAN 어드레스{예컨대, WLAN 인터페이스의 매체 액세스 제어(MAC: Medium Access Control) 어드레스 또는 IP 어드레스}와 사용자 디바이스의 공개 키를 포함한다.

등록 메시지를 수신하자마자, WLAN AAA 서버는 등록 메시지의 소스 IP 어드레스(예컨대, 3G 인터페이스의 IP 어드레스)가 WLAN 네트워크가 미리-설정된 관계를 갖는 3G 셀룰러 네트워크에 할당된 범위 내에 있는지를 결정한다{단계(315)}. 만약 범위 내에 없다면, 본 방법은 종료된다. 그렇지 않고 범위 내에 있다면, WLAN AAA 서버는 확인 메시지를 사용자 디바이스의 3G 셀룰러 인터페이스에 다시 전송한다{단계(320)}. 확인 메시지는 사용자 디바이스와 WLAN 사이에 사용될 세션 키를 포함한다(세션 키는 사용자가 WLAN에 액세스할 수 있게 한다); 즉, 세션 키는 사용자 디바이스의 공개 키로 암호화된다. WLAN AAA 서버는 또한 사용자 디바이스의 WLAN 어드레스와 (할당된) 세션 키 사이의 매핑을 등록한다{단계(325)}. 단계(325)는 주어진 세션 키가 대응하는 사용자와 관련되도록 실행된다.

확인 메시지를 (예컨대, 사용자 디바이스의 3G 셀룰러 인터페이스를 통해) 수신하자마자, 세션 키는 사용자 디바이스의 개인 키를 사용하여 복호화된다{단계(328)}. 세션 키를 사용하여, WLAN에 대한 액세스가 사용자 디바이스에 의해 획득된다{단계(330)}.

도 3의 방법에 대한 해커의 가능한 협력 공격이 이제 설명될 것이다. 다음의 공격은 3G 셀룰러 네트워크로부터의 추가적인 인증 지원없이도 IP 어드레싱과 IP 라우팅을 사용함으로써 일어날 수 있다는 점이 이해될 것이다. 해커는 3G 셀룰러 네트워크 범위 내에 있는 위조 IP 어드레스로 등록 메시지를 전송한다. 그러면, 해커는 WLAN과 3G 셀룰러 코어 네트워크 사이의 루트를 따라서 어딘 가에서 확인 메시지를 인터셉트한다. 해커는 WLAN 서비스 구역 내의 또 다른 해커에게 발견된 키를 통지한다.

그러나, 전술한 공격, 특히 확인 메시지를 인터셉트하는 단계를 달성하는 것은 매우 어렵다. 해커는 단지 세션 키를 얻을 목적으로 WLAN과 3G 네트워크 사이의 루트를 따라서 하나의 라우터에 대한 액세스를 얻어야 하며, 두 해커는 이 공격을 실행하기 위해 협력해야 한다(만약 WLAN의 서비스 구역 내의 한 해커가 액세스를 얻을 수 있다면, 이 해커가 인터넷 액세스를 이미 얻었을 것이므로 상기 공격을 실행할 이유가 없었을 것이기 때문에, 이 해커가 전술된 라우터 중 어느 하나에 대한 액세스를 얻을 수 없다고 가정한다).

선행하는 해커의 협력 공격을 막기 위해, 단계(304)는 도 3의 방법에서 실행된다. 단계(304)에서, 안전한 IP 채널{예컨대, 인터넷 프로토콜(IP) 보안(IPSec) 터널}이 WLAN AAA 서버와 3G 셀룰러 네트워크의 게이트웨이 일반 패킷 무선 서비스(GPRS) 서비싱/지원 노드(GGSN) 사이에 설정된다. 이 경로는 (3G 네트워크 보안에 의해 확인된 바와 같이) 사용자와 3G 셀룰러 네트워크의 GGSN 사이에서 또한 안전하므로, 상기 공격은 좌절될 수 있다.

본 발명의 예시적인 실시예에 따라, 도 3의 방법과 함께 사용될 수 있는 계정 방법에 대한 설명이 이제 주어질 것이다. 도 4는 본 발명의 예시적인 실시예에 따른, 도 3의 방법의 사용자 디바이스의 사용자에 대한 계정을 실행하기 위한 계정 방법을 예시하는 흐름도이다.

사용자 디바이스의 3G 셀룰러 인터페이스의 IP 어드레스가 정적 IP 어드레스인지가 결정된다{단계(405)}. 만약 그렇다면, 사용자의 ID는 3G 셀룰러 인터페이스의 IP 어드레스를 기반으로 해서 결정되며{단계(410)}, 방법은 단계(450}로 진행된다. 그렇지 않다면(IP 어드레스가 동적이라면), 사용자의 ID는 3G 셀룰러 인터페이스의 (일시적인) IP 어드레스와 사용자의 실제 ID 사이의 매핑으로부터 결정되며{단계(415)}, 방법은 단계(450)로 진행된다. 단계(450)에서, 계정 단계는 3G 셀룰러 인터페이스의 IP 어드레스(정적 IP 어드레스) 또는 매핑(동적인 IP 어드레스)을 기반으로 해서 사용자에 대해 실행된다.

본 발명을 위해, 네트워크 어드레스 번역(NAT: Network Address Translation)이 3G 셀룰러 인터페이스의 IP 어드레스가 동적이었던 경우와 동일하게 취급됨을 이해해야 한다. 게다가, 상기 단계(415)에서 지칭된 매핑에 대해, 이러한 매핑은 예컨대 DHCP 서버나 NAT가 사용된 다면 NAT 서버에 저장될 수 있다. 본 발명은 비-정적 IP 어드레스의 경우 사용자 ID를 결정하기 위해 매핑을 사용하는 것으로 제한되지 않으며, 그에 따라 다른 접근법이 본 발명의 사상과 범주를 유지하면서도 사용될 수 있음을 또한 이해해야 할 것이다.

비록 예시적인 실시예가 수반한 도면을 참조하여 본 명세서에서 기술되었지만, 본 발명은 이들 정밀한 실시예로 제한되지 않으며, 본 발명의 사상과 범위에서 벗어나지 않는다면 여러 다른 변화 및 변경이 당업자에 의해 본 발명에서 이뤄질 수 있음을 이해해야 할 것이다. 이러한 모든 변화 및 변경은 첨부된 청구항에 의해 한정된 본 발명의 범위 내에 포함되는 편이다.

상술한 바와 같이, 본 발명은 일반적으로 네트워킹, 좀더 상세하게는 액세스네트워크 사이의 연동에서 과도적인 인증 공인 및 계정(AAA) 방법에 이용된다.

Claims

사용자 디바이스가 무선 LAN에 대한 액세스를 얻게 하는 방법으로서,

사용자 디바이스로부터, 제 2 통신 네트워크를 통해서, 사용자 디바이스 공개 키를 포함하는 등록 메시지를 수신하는 단계로서, 상기 사용자 디바이스는 상기 제 2 통신 네트워크에 의해 인증되었으며, 상기 무선 LAN은 상기 제 2 통신 네트워크와 미리-설정된 신뢰도 관계를 갖는, 등록 메시지 수신 단계와;

상기 제 2 통신 네트워크로부터 수신된 소스 IP 어드레스가 IP 소스 어드레스의 미리 결정된 범위 내에 있는지를 결정하는 단계와,

만약 그렇다면,

상기 사용자 디바이스 공개 키에 응답하여 사용자 디바이스 개인 키를 사용하여 복호화되도록 적응된 세션 키를 생성하는 단계와,

상기 세션 키를 상기 제 2 통신 네트워크에 송신하는 단계와,

상기 사용자 디바이스가 상기 세션 키를 사용하여 상기 통신 네트워크에 대한 액세스를 얻게 하는 단계를,

포함하는, 사용자 디바이스가 무선 LAN에 대한 액세스를 얻게 하는 방법.
제 1항에 있어서, 상기 제 2 통신 네트워크는 셀룰러 네트워크를 포함하며, 상기 무선 LAN과 상기 셀룰러 네트워크 사이의 안전한 IP 채널을 설정하는 단계를 더 포함하는, 사용자 디바이스가 무선 LAN에 대한 액세스를 얻게 하는 방법.
제 1항에 있어서, 상기 사용자 디바이스와 관련된 인터페이스의 어드레스를 수신하는 단계와, 상기 어드레스와 상기 세션 키 사이의 매핑을 등록하는 단계를 더 포함하는, 사용자 디바이스가 무선 LAN에 대한 액세스를 얻게 하는 방법.
제 3항에 있어서, 상기 어드레스는 매체 액세스 제어(MAC: Medium Access Control) 어드레스와 인터넷 프로토콜(IP) 어드레스 중 하나를 포함하는, 사용자 디바이스가 무선 LAN에 대한 액세스를 얻게 하는 방법.
제 3항에 있어서, 상기 사용자 디바이스에 의한 통신 네트워크의 액세스에 응답하여 사용 데이터를 생성하는 단계와, 상기 사용 데이터를 상기 제 2 통신 네트워크에 송신하는 단계를 더 포함하며, 이를 통해 상기 사용자 디바이스에 대한 계정 정보는 상기 사용 데이터에 응답하여 생성될 수 있는, 사용자 디바이스가 무선 LAN에 대한 액세스를 얻게 하는 방법.
무선 LAN으로서,

사용자 디바이스와 통신하기 위한 제 1 수단과;

통신 네트워크와 통신하기 위한 제 2 수단과;

사용자 디바이스 공개 키를 포함하는 등록 메시지를 수신하고, 상기 등록 메시지와 관련된 소스 IP 어드레스가 미리 결정된 소스 IP 어드레스의 범위 내에 있는지를 결정하기 위해 상기 제 2 통신 수단에 결합되는 수단과;

만약 상기 소스 IP 어드레스가 상기 범위 내에 있다면 상기 사용자 디바이스 공개 키를 사용하여 암호화된 세션 키를 생성하고, 상기 세션 키를 상기 통신 수단을 통해 상기 사용자 디바이스에 송신하기 위해, 상기 결정 수단과 상기 통신 수단에 결합되는 수단을,

포함하며, 여기서, 상기 제 1 통신 수단은 상기 세션 키를 사용하여 상기 무선 LAN에 사용자 디바이스가 액세스하게 하는,

무선 LAN.
제 6항에 있어서, 상기 사용자 디바이스와 관련된 인터페이스 어드레스를 상기 세션 키로 매핑하기 위한 메모리 수단과, 상기 무선 LAN의 사용자 디바이스 액세스에 응답하여 사용 데이터를 생성하고, 상기 사용 데이터를 상기 통신 네트워크에 송신하기 위한 수단을 더 포함하는, 무선 LAN.
사용자 디바이스를 사용하여 무선 LAN에 액세스하기 위한 방법으로서,

제 1 통신 네트워크와 통신을 수립하고, 상기 제 1 통신 네트워크와의 인증 단계를 실행하는 단계와;

사용자 디바이스 공개 키를 포함하는 등록 메시지를 상기 제 1 통신 네트워크에 송신하는 단계와;

상기 무선 LAN으로부터 수신된 세션 키를 상기 제 1 통신 네트워크로부터 수신하는 단계와;

상기 세션 키를 개인 키로 복호화하는 단계와;

상기 세션 키를 사용하여 상기 무선 LAN에 대한 액세스를 수립하는 단계를,

포함하는, 사용자 디바이스를 사용하여 무선 LAN에 액세스하기 위한 방법.
제 8항에 있어서, 상기 제 1 통신 네트워크는 셀룰러 네트워크인, 사용자 디바이스를 사용하여 무선 LAN에 액세스하기 위한 방법.
제 8항에 있어서, 상기 등록 메시지는 상기 무선 LAN과 통신하기 위한 인터페이스와 관련된 어드레스를 포함하며, 이를 통해 매핑이 상기 어드레스 및 상기 세션 키를 위해 생성될 수 있는, 사용자 디바이스를 사용하여 무선 LAN에 액세스하기 위한 방법.
제 10항에 있어서, 상기 어드레스는 매체 액세스 제어(MAC) 어드레스와 인터넷 프로토콜(IP) 어드레스 중 하나를 포함하는, 사용자 디바이스를 사용하여 무선 LAN에 액세스하기 위한 방법.
제 11항에 있어서, 상기 무선 LAN이나 상기 셀룰러 네트워크 중 어느 하나를 통해서 상기 무선 LAN에 대한 사용자 디바이스 액세스에 관한 계정 정보를 수신하는 단계를 더 포함하는, 사용자 디바이스를 사용하여 무선 LAN에 액세스하기 위한방법.
제 8항에 있어서, 상기 제 1 통신 네트워크가 상기 무선 LAN과의 미리-설정된 신뢰도 관계를 갖는지를 먼저 결정하는 단계를 더 포함하는, 사용자 디바이스를 사용하여 무선 LAN에 액세스하기 위한 방법.
제 1 통신 네트워크와 통신하는 사용자 디바이스가 제 2 통신 네트워크에 대한 액세스를 얻게 하는 방법으로서, 상기 제 1 통신 네트워크와 상기 제 2 통신 네트워크는 그 사이에 미리-수립된 신뢰도 관계를 갖는, 사용자 디바이스가 액세스를 얻게 하는 방법으로서,

상기 제 1 통신 네트워크 내의 상기 사용자 디바이스를 인증하는 단계와;

상기 사용자 디바이스로부터 사용자 디바이스 공개 키를 포함하는 등록 메시지를 수신하는 단계(310)와;

상기 제 1 통신 네트워크에 할당된 미리 결정된 범위 내에 있는 소스 어드레스와 상기 사용자 디바이스 공개 키를 포함하는 메시지를 상기 제 2 통신 네트워크에 송신하는 단계(310)와;

상기 제 2 통신 네트워크로부터 세션 키를 수신하는 단계(320)와;

상기 세션 키를 상기 사용자 디바이스에 송신하는 단계(320)로서, 상기 세션 키는 상기 사용자 디바이스가 상기 제 2 통신 네트워크에 대한 액세스를 얻게 하는, 송신 단계(320)를,

포함하는, 사용자 디바이스가 액세스를 얻게 하는 방법.
제 14항에 있어서, 상기 제 1 통신 네트워크는 셀룰러 네트워크를 포함하고, 상기 제 2 통신 네트워크는 무선 LAN 네트워크를 포함하는, 사용자 디바이스가 액세스를 얻게 하는 방법.
제 15항에 있어서, 상기 세션 키의 비인증된 인터셉션(interception)을 막기 위해 상기 제 1 통신 네트워크와 상기 제 2 통신 네트워크 사이의 안전한 IP 채널을 수립하는 단계를 더 포함하는, 사용자 디바이스가 액세스를 얻게 하는 방법.
제 15항에 있어서, 상기 사용자 디바이스와 관련된 인터페이스의 어드레스를 수신하고, 상기 인터페이스와 상기 세션 키 사이의 매핑을 등록하는 단계를 더 포함하는, 사용자 디바이스가 액세스를 얻게 하는 방법.
제 17항에 있어서, 상기 인터페이스의 어드레스는 매체 액세스 제어(MAC) 어드레스와 인터넷 프로토콜(IP) 어드레스 중 하나를 포함하는, 사용자 디바이스가 액세스를 얻게 하는 방법.
제 17항에 있어서, 상기 제 2 통신 네트워크의 사용자 디바이스 액세스를 나타내는, 상기 제 2 통신 네트워크로부터의 사용 데이터를 수신하고, 상기 사용 데이터를 기반으로 해서 상기 사용자 디바이스와 관련된 계정 정보를 생성하는 단계를 더 포함하는, 사용자 디바이스가 액세스를 얻게 하는 방법.
제 15항에 있어서, 상기 세션 키는 상기 사용자 디바이스 공개 키를 사용하여 암호화되고, 사용자 디바이스 개인 키를 사용하여 복호화되도록 적응되는, 사용자 디바이스가 액세스를 얻게 하는 방법.