KR20050061292A - 단말 장치를 인식하는 장치 및 방법과 메쉬 라우터 - Google Patents

단말 장치를 인식하는 장치 및 방법과 메쉬 라우터 Download PDF

Info

Publication number
KR20050061292A
KR20050061292A KR1020040094551A KR20040094551A KR20050061292A KR 20050061292 A KR20050061292 A KR 20050061292A KR 1020040094551 A KR1020040094551 A KR 1020040094551A KR 20040094551 A KR20040094551 A KR 20040094551A KR 20050061292 A KR20050061292 A KR 20050061292A
Authority
KR
South Korea
Prior art keywords
router
certificate
mesh
terminal device
mesh router
Prior art date
Application number
KR1020040094551A
Other languages
English (en)
Other versions
KR101117829B1 (ko
Inventor
다니엘알. 사이먼
헬렌지아헤 왕
파람비르 바흘
Original Assignee
마이크로소프트 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 마이크로소프트 코포레이션 filed Critical 마이크로소프트 코포레이션
Publication of KR20050061292A publication Critical patent/KR20050061292A/ko
Application granted granted Critical
Publication of KR101117829B1 publication Critical patent/KR101117829B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • H04L63/064Hierarchical key distribution, e.g. by multi-tier trusted parties
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/006Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W40/00Communication routing or communication path finding
    • H04W40/24Connectivity information management, e.g. connectivity discovery or connectivity update
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/14Backbone network devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Measuring And Recording Apparatus For Diagnosis (AREA)
  • Investigating Or Analysing Biological Materials (AREA)

Abstract

예시적인 라우터는, 단말 장치로부터 다른 라우터에 의해 발행된 적어도 하나의 인증서를 수신하고, 상기 다른 라우터가 미리 결정된 이웃 멤버인지 여부를 확인하고, 상기 적어도 하나의 인증서가 유효한지 여부를 판정하고, 및 상기 다른 라우터가 미리 결정된 이웃 멤버로 확인되고 상기 적어도 하나의 인증서가 유효하다고 판정되는 경우, 이 단말 장치는 특별 허가된(privileged) 것으로 인식되는 액션을 수행한다. 예시적인 메쉬 라우터(mesh router)는 다른 메쉬 라우터들과 무선 메쉬 네트워크를 확립할 수 있고, 이 메쉬 라우터는 또한 이웃 관리자 메쉬 라우터를 지명할 수 있고, 특정 메쉬 라우터가 상기 지명된 이웃 관리자 메쉬 라우터의 이웃의 한 멤버인 경우, 이 특정 메쉬 라우터에 의해 발행된 특정 인증서와 관련된 특정 단말 장치에 특별 허가된 상태를 허가하도록 적응된다.

Description

단말 장치를 인식하는 장치 및 방법과 메쉬 라우터{MESH NETWORKS WITH END DEVICE RECOGNITION}
본 발명은 일반적으로 메쉬 네트워크에 관한 것이고, 특히, 실례로서 하나의 메쉬 라우터와 제휴되어 있는 단말 장치가 소정의 메쉬 네트워크 이웃내의 다른 메쉬 라우터들에 의해 인식될 수 있도록 하는 것에 관한 것이지만 이제 제한되지 않는다.
무선 네트워크는 음성 및 데이터 통신 둘 다에서 점점 더 많이 사용되고 있다. 이러한 무선 통신은 전송기에서 수신기로 무선 신호를 전파함으로써 달성되고, 그 각각은 무선 네트워크의 노드를 구성하고 있다. 예를 들어, 종래의 셀 방식의 무선 네트워크의 노드는 고정 기반 스테이션 및 이동 스테이션을 포함한다. 이동 스테이션은 고정 기반 스테이션을 통해 셀 방식의 무선 네트워크를 액세스한다. 기반 스테이션은 네트워크 서비스 제공자에 의해 운영되며, 이 네트워크 서비스 제공자는 셀 방식의 무선 네트워크를 설계하고 무선 네트워크의 보안 수단으로의 액세스를 제어하고 및/또는 보안 수단을 채용할 수 있다. 다시 말해, 단일 엔티티가 대규모 기반의 다수의 기반 스테이션을 운영하므로, 셀 방식의 무선 네트워크에 대한 어느 레벨의 전반적인 네트워크 관리 뿐만 아니라 어느 정도의 보안 조직 및 수단을 제공할 수 있다.
자발적인 무선 네트워크와 같은 다른 유형의 무선 네트워크는 보통 이러한 대규모 계획, 조직 또는 운영을 수반하지 않는다. 예를 들어, 애드 혹 무선 네트워크(ad hoc wireless network)는, 일반적으로 다수 장치의 소유자들간에 사전 또는 이후의 명시적인 동의 없이, 무선 네트워크의 노드를 형성하기 위해 함께 참여하기로 상호 결정하는 다수 장치들에 의해 생성된다. 그러므로, 네트워크 액세스 규칙을 집행하거나, 보안 이슈를 처리하거나, 표준 기반의 요구사항을 모니터하거나, 또는 일반적으로 받아들여지는 무선 네트워크 행동을 보장하는, 전체를 지배하는 운영자 또는 다른 엔티티가 없다. 따라서, 이러한 애드 혹 네트워크의 합법적이고 비합법적인 참가자들은 중요한 제약 또는 임의의 실제 영향을 받지 않고 부주의하게, 마구잡이로, 또는 심지어 악의를 지니고 행동할 수 있다.
따라서, 자연적으로 형성된 무선 네트워크에 어느 정도의 제어 및/또는 책임을 도입하는 스킴 및/또는 기술이 요구되어진다.
예시적인 라우터 구현에서, 라우터는 적어도 하나의 프로세서, 및 상기 적어도 하나의 프로세서에 의해 실행될 수 있는 프로세서 실행가능 명령어를 포함하는 하나 이상의 매체를 포함하고, 상기 프로세서 실행가능 명령어는 라우터로 하여금, 단말 장치로부터 다른 라우터에 의해 발행된 적어도 하나의 인증서를 수신하는 것; 상기 다른 라우터가 미리 결정된 이웃의 한 멤버인지 여부를 확인하는 것; 이 적어도 하나의 인증서가 유효한지 여부를 판정하는 것; 상기 다른 라우터가 미리 결정된 이웃의 한 멤버로 확인되고 또 유효하다고 판정된 경우, 이 단말 장치를 특별 허가된 상태(이 특별 허가된 상태는 서비스 레벨에 관한 것임)를 지니는 것으로 인식하는 것과 같은 액션을 수행하도록 지시하도록 적용된다.
예시적인 메쉬 라우터 구현에서, 메쉬 라우터는 다른 메쉬 라우터들과 무선 메쉬 네트워크를 확립할 수 있고, 또한 이웃 관리자 메쉬 라우터를 지명할 수 있다; 또한 메쉬 라우터는 특정 메쉬 라우터가 상기 지명된 이웃 관리자 메쉬 라우터의 이웃의 한 멤버인 경우, 이 특정 메쉬 라우터에 의해 발행된 특정 인증서와 관련된 특정 단말 장치에 특별 허가된 상태를 허가하도록 적응된다.
다른 예시적인 메쉬 라우터 구현에서, 메쉬 라우터는 이하의 액션을 수행하도록 구성되고, 이하의 액션으로는, 무선 링크를 통해 단말 장치와의 접속을 확립하는 것; 상기 단말 장치로부터 서명을 지니고 있는 적어도 하나의 인증서를 수신하는 것; 상기 적어도 하나의 인증서의 서명상에 서명 검증 프로시져를 수행하는 것; 상기 서명 검증 프로시져가 성공적일 경우, 상기 단말 장치에 우선 액세스(preferred access)를 허가하는 것; 및 상기 서명 검증 프로시져가 실패할 경우, 상기 단말 장치에 표준 액세스(standard access)를 허가하는 것 등을 포함한다.
다른 방법, 시스템, 어프로치, 장치, 라우터, 기기, 매체, 프로시져, 구성 등 구현들이 본 명세서에 설명된다.
유사하고 및/또는 대응하는 측면, 특징 및 컴포넌트를 참조하기 위해 전 도면에 걸쳐 동일한 번호가 사용된다.
도 1은 메쉬 라우터 계층 및 단말 장치 계층을 포함하는 예시적인 무선 메쉬 네트워크(100)를 도시하고 있다. 메쉬 라우터 계층은 무선 메쉬 네트워크(100)의 메쉬 라우터 네트워크 일부를 생성하는 메쉬 라우터(102)로부터 구성된다. 단말 장치 계층은 단말 장치(104)로부터 구성된다. 단말 장치(104)는 메쉬 라우터 네트워크의 하나 이상의 메쉬 라우터(102)를 통해 서로 통신한다.
도시된 대로, 5개의 메쉬 라우터(102(A),102(B),102(C),102(D),102(E))는 다중 홉 무선 네트워크(multi-hop wireless network)의 적어도 일부를 실현하기 위해 메쉬 라우터 네트워크를 형성한다. 그러나, 2개 이상(아마도 수십, 수백, 수천개 등)의 메쉬 라우터(102)가 메쉬 라우터 네트워크를 형성할 수도 있다. 각 메쉬 라우터(102)는 예를 들어 무선 송신기 및/또는 수신기(예를 들어, 송수신기)를 이용하여 무선으로 통신할 수 있다.
메쉬 라우터(102(A))는 메쉬 라우터(102(B))와는 무선 링크(108AB)를, 메쉬 라우터(102(D))와는 무선 링크(108AD)를 가진다. 메쉬 라우터(102(B))는 추가로 메쉬 라우터(102(C))와 메쉬 라우터(102(E))와 각각, 무선 링크(108BC)와 무선 링크(108BE)를 가진다. 마찬가지로, 메쉬 라우터(102(C)) 또한 무선 링크(108CE)를 통해 메쉬 라우터(102(E))와 무선 통신하고, 메쉬 라우터(102(E)) 또한 무선 링크(108DE)를 통해 메쉬 라우터(102(D))와 무선 통신한다.
각각의 메쉬 라우터(102)가 하나 내지 3개의 단말 장치(104)와 무선 통신하는 것으로 도시되어 있지만, 각각은 다르게는 임의의 개수의 단말 장치(104)와 통신할 수 있다. 메쉬 라우터(102A)는 무선 통신(110(A1),110(A2))을 통해 각각 2개의 단말 장치(104(A1),104(A2))와 무선 통신한다. 메쉬 라우터(102B)는 무선 통신(110(B1))을 통해 하나의 단말 장치(104(B1))와 무선 통신한다. 메쉬 라우터(102C)는 무선 통신(110(C1),110(C2))을 통해 각각 2개의 단말 장치(104(C1),104(C2))와 무선 통신한다. 마찬가지로, 메쉬 라우터(102E)는 3개의 단말 장치(104(E1),104(E2),104(E3))와 무선 통신(110(E))을 가진다. 메쉬 라우터(102D)는 2개의 단말 장치(104(D1),104(D2))에 대해 각각 무선 통신(110(D1),110(D2))을 가진다.
설명된 구현에서, 메쉬 라우터(102)는 동작 관점으로부터 비교적 표준인 장치 집합을 포함한다. 예를 들어, 각 메쉬 라우터(102)는 유사한(또는 동일한) 하드웨어 및/또는 소프트웨어를 지닐 수 있다. 하드웨어는 무선 통신 및 (펌웨어를 포함하는) 소프트웨어의 실행이 가능하다.
메쉬 라우터(102)는 적어도 상호동작할 수 있는 기능의 기준선 집합을 가지는 엔티티에 의해 설계되고/또는 제조되어진다. 예를 들어, 제1 생산은 제1 버전에 대해 하드웨어 및 소프트웨어 관점 둘 다로부터 동일한 메쉬 라우터(102)를 그 결과 얻을 수 있다. 가능한 (예를 들어 펌웨어를 포함하는 소프트웨어) 업그레이드는 선택적이고 부가인 기능들을 제공하는 제2 및 그 후의 버전을 그 결과 얻을 수 있다. 제2 생산은 이전 버전과는 다르지만 여전히 소급하여 호환성이 있는 이후 버전의 메쉬 라우터(102)를 그 결과 얻을 수 있다. 간단히 말해서, 메쉬 라우터(102)를 생산하는 엔티티는 그들의 하드웨어 및 소프트웨어 컴포넌트에 관한 판정의 어떤 기준을 지니고 있다.
이와 대비해서, 단말 장치(104)는 우연한 동작 기능으로 임의의 하드웨어 및 소프트웨어를 지니는 비교적 다양한 장치 집합을 포함한다. 단말 장치(104) 각각은 랩탑, 이동전화, PDA, 홈컴퓨터, 오락 또는 다른 전기 제품 등일 수 있다. 단말 장치(104)는 각종 운영 체제, 애플리케이션, 관리되는 프로그램 코딩 등의 임의의 것을 실행할 수 있다. 그렇지 않을 경우 다양한 반면, 이러한 단말 장치(104)는 메쉬 라우터(102)를 통해 인정된 프로토콜을 이용하여 무선 메쉬 네트워크(100)에 액세스할 수 있다.
메쉬 라우터(102)를 생산하는 엔티티들은 안정적이고 예측가능한 메쉬 라우터 네크워크가 비교적 자동적으로 확립될 수 있는 메쉬 라우터를 생성한다. 물론, 무선 메쉬 라우터 네트워크의 안정성 및 예측성은 송신기와 수신기간의 거리, 간섭, 무선 매체에 대한 변경 등에 의해 영향을 받듯이 무선 통신의 예측 불허의 변동에 의해 제한된다. 그럼에도 불구하고, 메쉬 라우터(102)가 활성화되면, 메쉬 라우터는 그 범위내에 있는 임의의 메쉬 라우터(102)와 통신함으로써 무선 메쉬 네트워크(100)에의 참가를 시도한다. 무선 메쉬 네트워크(100)의 확립은 특히 도2 및 도3을 참조로 하여 후술될 것이다. 메쉬 라우터(102)를 생산하는 엔티티는 그들의 동작 기능을 판정하기 때문에, 고의의 또는 그것이 아닐 경우 부적절한 행동은 어느 정도 감소될 수 있다.
한편, 단말 장치(104)는 실제로 임의의 및/또는 조직적인 고의의 액션을 할 수 있는데, 이것은 그들의 동작 기능이 중앙에서 제어되지 않기 때문이다. 그러나, 단말 장치(104)의 액션은 어느 정도까지 줄일 수 있는데, 그 이유는 단말 장치(104)가 무선 링크(110)에 의해 표시된 대로 메쉬 라우터(102)를 통해 무선 메쉬 네트워크(100)에 접속하기 때문이다. (i) 단말 장치(104)-메쉬 라우터(102)간의 통신에 대한 무선 링크(110) 및 (ii) 메쉬 라우터(102)간의 통신에 대한 무선 링크(108)를 지배하는 무선 액세스 프로토콜이 같을 수도 있고 다를 수도 있다는 것을 유의한다.
실례로서, 단말 장치(104(A1))가 단말 장치(104(C1))에게 통신을 전송하고자 한다면, 단말 장치(104(A1))는 무선 링크(110(A1))를 통해 메쉬 라우터(102(A))에게 통신을 전송한다. 메쉬 라우터(102(A))는 메쉬 라우터(102(B))를 통해 또는 메쉬 라우터(102(D),102(E))를 통해 메쉬 라우터(102(C))에게 통신을 라우팅한다. 그 후 메쉬 라우터(102(C))는 그 통신을 무선 링크(110(C1))를 통해 단말 장치(104(C1))에게 전송한다.
도시된 대로, 단말 장치(104(C1))는 자원(106(C1))을 포함한다. 단지 하나의 자원(106)이 도시되어 있지만, 무선 메쉬 네트워크(100)의 동일한 또는 다른 메쉬 라우터(102)에 여러 자원들(106)이 존재할 수 있다. 예를 들어, 각 자원(106)은 로컬 서버 또는 정보 저장소(예를 들어 서브분할을 위해), 인터넷 액세스 포인트(Internet access point;ITap), 멀티미디어 데이터의 집합(예를 들어 소규모 커뮤니티에 중요한 것) 등일 수 있다.
도 2는 각 메쉬 라우터(102)가 인증서(202)와 관련되어 있는 메쉬 라우터 계층에서의 예시적인 공개 키 기반구조(public key infrastructure;PKI)를 도시하고 있다. 3개의 예시적인 메쉬 라우터(102(A),102(B),102(C))가 특별히 도시되어 있다. 도시된 대로, 각 메쉬 라우터(102)는 인증서(202), 공개 키(PbK;204), 전용 키(PvK;206) 및 루트 키(208)를 포함한다. 각 인증서(202)는 이름(210), 서명(212), 및 대응하는 공개 키(204)를 포함한다. 메쉬 라우터 "A"(102(A))는 특히 메쉬 라우터 계층에서의 예시적인 PKI의 이러한 일반적인 측면을 설명하는 데에 사용된다.
메쉬 라우터(102(A))에 대해 설명된 구현에서, 생산 엔티티는 그 생산 엔티티용 공개-전용 키 쌍을 함께 형성하는 서명 키(도시 생략) 및 루트 키(208)과 관련되어 있다. 생산 엔티티는 전용 서명 키로 인증서(202(A))를 서명하여 이름-A(210(A))에 연산을 수행함으로써 서명(212(A))을 생성한다. 인증서(202(A))는 공개 키(204(A))가 메쉬 라우터(102(A))의 이름인 이름-A(210(A))에 바운드되어 있다는 것을 인증한다. 이름-A(210(A))는 예를 들어 메쉬 라우터(102(A))의 일련 번호일 수 있다.
인증서(202(A))는 메쉬 라우터(102(A))가 루트 키(208)와 관련된 생산 엔티티에 의해 인증된 유효 메쉬 라우터(102)라는 것을 나타낸다. 그러므로 인증서(202(A))는 메쉬 라우터(102(A))가 (도 1의) 무선 메쉬 네트워크(100)에 참가하도록 허락되어야 한다는 것을 나타낸다. 인증서(202(A)) 외에, 메쉬 라우터(102(A))는 공개 키(204(A)), 전용 키(206(A)) 및 루트 키(208(A))를 포함한다(또는 저장한다). 전용 키(206(A))는 공개 키(204(A))에 대응하고, 이들은 함께 메쉬 라우터(102(A))와 관련된 공개-전용 키 쌍을 형성한다. 루트 키(208(A))는 생산 엔티티의 루트 키(208)의 사본이며, 이것은 메쉬 라우터(102(A))에 저장된다.
간단히 말해서, 각 메쉬 라우터(102)는 관련된 인증서(202)를 장착한다. 따라서, 메쉬 라우터 "B"(102(B))는 인증서(202(B))를 포함하고, 메쉬 라우터 "C"(102(C))는 인증서(202(C))를 포함한다. 인증서(202(B))는 이름-B(210(B)), 서명(212(B)) 및 공개 키(204(B))를 포함하여 메쉬 라우터(102(B))가 생산 엔티티로부터 유효한 메쉬 라우터(102)이고 이것이 공개 키(204(B))에 대응하는 전용 키(206(B))에 바운드되어 있다는 것을 나타낸다. 마찬가지로, 인증서(202(C))는 이름-C(210(C)), 서명(212(C)) 및 공개 키(204(C))를 포함하여 메쉬 라우터(102(C))가 생산 엔티티로부터 유효한 메쉬 라우터(102)이고 이것이 공개 키(204(C))에 대응하는 전용 키(206(C))에 바운드되어 있다는 것을 나타낸다.
메쉬 라우터(102)가 활성화되면, 메쉬 라우터는 무선 메쉬 네트워크(100)를 확립하기 위해(또는 참가하기 위해) 다른 메쉬 라우터(102)와의 접촉을 시도한다. 활성화된 메쉬 라우터(102)가 다른 메쉬 라우터(102)를 접촉할 경우, 활성화된 메쉬 라우터(102) 및 다른 메쉬 라우터(102)는 인증/키 교환 프로토콜을 수행한다. 이 2개의 메쉬 라우터(102)는 인증서들을 교환하여 각각이 루트 키(208)를 이용한 서명 검증 프로시져를 통해 생산 엔티티로부터 유효한 메쉬 라우터(102)라는 것을 서로에게 알린다.
그 후 하나 또는 메쉬 라우터(102) 둘 다는 다른 라우터의 공개 키(204)를 사용하여 활성화된 메쉬 라우터(102) 및 그 다른 메쉬 라우터(102) 둘 만이 공유할 수 있는 비밀 대칭 키를 확립한다. 이 비밀 키는 키 이송 프로시져(key transfer procedure) 또는 키 동의 프로시져(key agreement procedure)를 통해 확립될 수 있다. 이 공유 비밀 키는 그 후 각 메쉬 라우터(102)를 다른 라우터에 대해 인증하는 데 사용된다. 공유 비밀 키는 또한 2개의 메쉬 라우터(102)간의 통신에서 정보의 기밀성을 보장하는 데 사용될 수 있다.
메쉬 라우터(102(A))의 실례로서, 활성화된 후에, 메쉬 라우터는 범위내에 있고 잠재적인 이웃인 다른 메쉬 라우터(102)를 검색하고 찾는다. 메쉬 라우터(102(B))에 관해, 메쉬 라우터(102(A),102(B))는 인증서(202(A),202(B))를 교환한다. 비밀 키 확립 프로시져 이후에, 키 AB(214)가 생성되고 메쉬 라우터(102(A),102(B))간에 공유된다.
메쉬 라우터(102(A))에서, 키 AB(214(A))는 메쉬 라우터 "B"와 관련하여/메쉬 라우터 "B"에 매핑되어 저장된다. 이들 메쉬 라우터-키 매핑은 예를 들어 데이터 구조에 저장될 수 있다. 메쉬 라우터(102(B))에서, 키 AB(214(B))는 메쉬 라우터 "A"와 관련하여/메쉬 라우터 "A"에 매핑되어 저장된다. 키 AB(214)는 메쉬 라우터(102(A))를 메쉬 라우터(102(B))에 대해 인증하는 데 사용되고, 또는 그 반대로 사용될 수 있을 뿐만 아니라, 암호화를 통해 통신의 기밀성을 선택적으로 보장하는 데에 사용될 수 있다.
마찬가지로, 메쉬 라우터(102(A),102(C))는 인증서(202(A),202(C))를 교환한다. 비밀 키 확립 프로시져 이후에, 키 AC(216)가 생성되고 메쉬 라우터(102(A),102(C))간에 공유된다. 키 AC(216(A))는 메쉬 라우터(102(A))의 메쉬 라우터 "C"로 매핑되고, 키 AC(216(C))는 메쉬 라우터(102(C))의 메쉬 라우터 "A"로 매핑된다. 메쉬 라우터(102(A),102(C))간의 이 인증/키 교환 프로토콜 및 키 확립 프로시져는, 메쉬 라우터(102(A),102(C))가 서로 무선 범위내에 있지 않은 경우라 할지라도 무선 메쉬 네트워크(100)의 메쉬 라우터 네트워크 일부를 통해 (예를 들어 메쉬 라우터(102(B))와 같은 하나 이상의 라우터(102)를 통해) 일어날 수 있다. 마찬가지로, 인증서(202(B),202(C))의 교환 및 비밀 키 확립 프로시져 이후에, 키 BC(218)가 생성되고 메쉬 라우터(102(B),102(C))간에 공유된다. 키 BC(218(B))는 메쉬 라우터(102(B))의 메쉬 라우터 "C"로 매핑되고, 키 BC(218(C))는 메쉬 라우터(102(C))의 메쉬 라우터 "B"로 매핑된다.
도 3은 패킷(302) 통신에 대한 메쉬 라우터 계층에서의 PKI의 예시적인 활용을 도시하고 있다. 메쉬 라우터(102(A))는 계획된 수신자 메쉬 라우터(102(B))에게 패킷(302)을 전송한다. 패킷(302)은 다른 메쉬 라우터(102)로부터, 단말 장치(104(A)) 등으로부터 메쉬 라우터(102(A))로 수신될 수 있고, 메쉬 라우터(102(A))에서 최초로 공식화될 수 있다. 메쉬 라우터(102(A))는 패킷(302)을 메세지 인증 코드(message authentication code;MAC)로 태그(tag)한다.
패킷(302)이 메쉬 라우터(102(A))로부터 메쉬 라우터(102(B))로 전송되기 때문에, 메쉬 라우터(102(A))는 데이터 구조(예를 들어 테이블)에서 메쉬 라우터 "B"를 검색하고, 그들 사이에 비밀 키가 공유되는지 여부를 확인한다. 이 실례에서, 메쉬 라우터(102(A))가 검색하는 공유 비밀 키는 키 AB(214(A))이다. 그 결과, 메쉬 라우터(102(A))는 MAC-AB(302(AB))를 생성하기 위해 키 AB(214(A))를 사용한다. 그 후 MAC-AB(302(AB))는 전송에 앞서 패킷(302)상에 태그된다. 패킷(302)을 수신하자마자, 메쉬 라우터(102(B))는 메쉬 라우터 "A"에 대한 엔트리에서 자신의 비밀 키 데이터 구조에 액세스하여 키 AB(214(B))에 매핑된 공유 비밀 키를 검색한다. 메쉬 라우터(102(B))는 MAC-AB(302(AB))와 함께 키 AB(214(B))를 사용하여 패킷(302)이 유효하고 기능을 제대로 발휘하지 못하는(uncompromised) 메쉬 라우터인 메쉬 라우터(102(A))로부터 전송되었다는 것을 인증한다.
이 실례에서, 패킷(302)은 궁극적으로 단말 장치(104(C1))의 자원(106(C1))을 향하고 있으며, 이 단말 장치(104(C1))는 메쉬 라우터(102(C))의 무선 메쉬 네트워크(100)에 결합되어 있다(또는 그 일부로 간주됨). 무선 메쉬 네트워크(100)를 위한 라우팅 기능을 지니는 메쉬 라우터(102(B))는 그 패킷(302)이 메쉬 라우터(102(C))로 전송되는지를 판정한다. 따라서, 메쉬 라우터(102(B))는 키 BC(218(B))가 메쉬 라우터 "C"로 매핑되는 것을 확인하고, 키 BC(218(B))를 활용하여 MAC-BC(302(BC))를 생성한다. MAC-BC(302(BC))는 패킷(302)상에 태그되어 메쉬 라우터(102(C))로 전송된다. 메쉬 라우터(102(C))는 자신에 저장되어 있는 키 BC(218(C))를 사용하여 패킷(302)이 알려져 있고 신뢰할 만한 메쉬 라우터(102(B))로부터 수신된다는 것을 인증한다.
인증은 이렇게 홉-바이-홉 기준(hop-by-hop basis)으로 수행된다. 통신 정보 내용의 기밀성(예를 들어, 암호화를 통해) 또한 인접한 메쉬 라우터(102)의 각 쌍의 공유 비밀 키에 의해 암호화된 각 통신으로 홉-바이-홉 기준으로 수행된다. 또는, 암호화가 엔드-투-엔드 기준(end-to-end basis)으로 수행될 수 있다. 예를 들어, 메쉬 라우터(102(A),102(C))가 공유 비밀 키 AC(216)를 확립했기 때문에, 패킷(302)의 내용은 키 AC(216)를 이용하여 암호화된다. 결과적으로, 패킷(302)의 내용은 엔드-투-엔드 암호화로 무선 메쉬 네트워크(100)를 통해 라우팅되기 때문에 메쉬 라우터(102(B))와 같이 중간에 개입되어 있는 메쉬 라우터(102)는 그 내용을 이해할 수 없다.
도 4는 무선 메쉬 네트워크(100)에 대해 예시적인 이웃 확립을 도시하고 있다. 무선 메쉬 네트워크(100)는 임의의 속도로, 및 크게 사실상 무제한의 크기로 지침없이 구성상 커질 수 있다. 게다가, 네트워크가 매끄럽게 계속해서 기능하도록 하는 중앙의 전체 네트워크 관리자도 없다. 그러므로 메쉬 라우터(102)는 비교적 민주적인 기초에서 동의 아래 이웃 관리자(404)를 지명하거나 선정하는 준-공인 이웃(quasi-official neighborhoods)을 확립하도록 하는 권한을 부여받는다.
도 4에 도시된 대로, 메쉬 라우터(102(A))는 또한 메쉬 라우터(102(D))와 공유 비밀 키 AD(402)를 확립한다. 키 AD(402(A))는 메쉬 라우터(102(A))의 메쉬 라우터 "D"에 매핑되고, 키 AD(402(D))는 메쉬 라우터(102(D))의 메쉬 라우터 "A"에 매핑된다. 각 메쉬 라우터-대-비밀 키 매핑 데이터 구조에 포함된 타원은 추가 엔트리의 존재가 가능하다는 것을 나타낸다. 이러한 추가의 엔트리는 도 4에 도시된 다른 메쉬 라우터(102) 및 도 4에 특별히 포함되지 않은 다른 메쉬 라우터(102)로 향할 수도 있다.
설명된 실시예에서, 메쉬 라우터(102(C))는 무선 메쉬 네트워크(100)의 많은 메쉬 라우터(102)에 대해 자기 자신을 이웃 관리자(404)로서 제공하거나 제안한다. 각 메쉬 라우터(102)는 생산 엔티티에 의해 원래 제공되고 사용가능한 허용된 기능들의 (아마도) 한계내에서 개개의 메쉬 라우터(102)의 기능을 관리하는 그것의 소유자와 같은 개인용 관리자(도시 생략)를 지닌다.
메쉬 라우터(102)의 각 개인용 관리자는 이웃 관리자 지명에 대해 선택할 수 있다. 도 4에 도시되지는 않았지만, 이웃 관리자는 관리되는 것의 이웃에 물리적으로 위치하지 않을 수도 있다; 예를 들어, 이웃 관리자는 실제로 인터넷 서비스일 수 있다. 물리적 위치에도 불구하고, 이웃 관리자는 적어도 관리 판정의 서브집합에 대해 로컬 이웃을 관리하도록 신뢰된다. 이 관리 판정의 서브집합은 도 5 내지 도 7에 특히 관련하여 후술된대로 직무태만의 메쉬 라우터(102)/인증서(202)를 제외시킨다. 로컬 이웃의 크기는 이웃 관리자로부터의 미리결정된(그러나 변경가능한) 홉의 수에 의해 한정될 수 있다.
도 4의 실례에서, 메쉬 라우터(102(C))는 사용가능한 이웃 관리자(404)이다. 메쉬 라우터(102(A),102(B),102(D),102(E))는 메쉬 라우터 "C"를 406A, 406B, 406D, 406E 각각에서 이웃 관리자로서 지명한다. 그 결과, 이웃 관리자 지명이 취소될 때까지, 메쉬 라우터(102(A),102(B),102(D),102(E))는 관리 판정의 서브집합에 대해 메쉬 라우터(102(C))에게 결정을 맡긴다. 선택적으로, 개별적인 개인용 관리자 각각은 또한 개개의 메쉬 라우터(102)가 결정을 맡기는, 관리 판정의 서브집합의 선택된 것들을 식별할 수 있다.
도 5는 직무태만의 메쉬 라우터/인증서에 관한 예시적인 제외 메커니즘의 한 측면을 도시하고 있다. 메쉬 라우터(102)는 악의로, 고의로, 우연히, 이를 일부 조합하여 등 규정된 네트워크 행동의 범위 외부에서 행해질 수 있다. 어떤 경우든지, 금지된 네트워크 행동에 종사하고 있는 메쉬 라우터(102)는 직무태만인 것으로 간주된다. 따라서, 그 직무태만의 메쉬 라우터(102)와 관련된 인증서(202) 또한 직무태만인 것으로 간주된다.
설명된 구현에서, 직무태만인 행동은, (i) 허용된 속도 이상으로 전송하는 것; (ii) 소정의 시간 간격동안 메쉬 네트워크를 통해 허용된 최대 숫자 이상의 패킷 전송을 시도하는 것; (iii) 유효한 메쉬 라우터와의 통신을 거절하는 것; (iv) 합법적인 패킷을 전달하지 않는 것을 포함해서 버리는 것; (v) 네트워크에 대한 공격을 가하는 것; (vi) 이들의 조합 ; 등을 포함하되 이에 제한되지 않는다. 임의로, 로컬 이웃 및/또는 이웃 관리자는 특히 생산 엔티티에 의해 보급된 리스트로부터 직무태만으로 간주하는 행동들을 선택적으로 판정할 수 있다. 직무태만의 메쉬 라우터는 예를 들어, 보안 추적 루트, 물리적 측정, 트래픽 흐름 모니터링, 특화된 메쉬 관리 툴(예를 들어 통계 분석), 다른 이웃 관리자로부터의 통지, 이들의 조합 등을 이용하여 탐색될 수 있다.
도 5에 도시된 실례에서, 메쉬 라우터(102(A))는 직무태만인 것으로 탐색되었다. 그 결과, 메쉬 라우터(102(C))는 502(C)에 표시된 대로 (도 2의) 인증서(202(A))를 제외시킨다. 제외 표시는 메쉬 라우터 "A"와 관련이 있거나/메쉬 라우터 "A"에 매핑된다. 제외 표시는 공유 비밀 키를 저장하는 같은 데이터 구조 또는 다른 데이터 구조에 포함될 수 있다.
생산 엔티티는 원래 메쉬 라우터(102(A))의 유효성을 나타내고 그들의 공개-전용 키를 거기에 바인드(bind)하기 위해 인증서(202(A))를 발행했다. 그러나, 인증서(202(A))를 제외시킴으로써 메쉬 라우터(102(C))가 (i) 인증서(202(A))가 무선 메쉬 네트워크(100) 목적에 대해 무효하다고 간주하도록 하게 하고, (ii) 관련 메쉬 라우터(102(A))로부터의 트래픽 라우팅을 거절하도록 하게 한다.
이웃 관리자(404)로서의 메쉬 라우터(102(C))는, 의무가 아니라면, 그 이웃에 있는 메쉬 라우터(102)들에게 제외 판정을 전달하는 능력을 지니고 있다. 메쉬 라우터(102(C))는 이웃에 있는 메쉬 라우터(102)에게 제외 메세지(504)를 동보전송한다. 제외 메세지-메쉬 라우터(A(504))는 메쉬 라우터(102(A)) 및/또는 인증서(202(A))의 ID를 포함한다. 이 ID는 예를 들어, (도 2의) 이름-A(210(A)), 인증서(202(A))의 모두 또는 일부 등을 포함한다.
도 5에 도시된 대로, 메쉬 라우터(102(B),102(D),102(E))는 제외 메세지-메쉬 라우터(A(504))를 수신한다. 임의로, 인증서(202(A)) 및 메쉬 라우터(102(A))의 제외를 메쉬 라우터(102(A)) 및 그것의 개인용 관리자에게 통지하기 위해 제외 메세지-메쉬 라우터(A(504))* 를 전송할 수 있다. 또한, 제외 메세지-메쉬 라우터(A(504))는 일부 대역외 방법을 이용하여 메쉬 라우터(102) 및/또는 그것의 개인용 관리자에게 전송될 수 있다. 이러한 방법으로는 이메일, 정규 메일, 인스턴트 메세징, 전화 등이 있다.
도 6은 직무태만의 메쉬 라우터(102(A))/인증서(202(A))에 관한 예시적인 제외 메커니즘의 또 다른 측면을 도시하고 있다. 도 5과 관련하여 상술된 대로, 메쉬 라우터(102(B),102(D),102(E)) 각각은 메쉬 라우터(102(C))로부터 제외 메세지-메쉬 라우터(A(504))를 수신한다. 이 제외 메세지-메쉬 라우터(A(504)) 수신에 응답하여, 메쉬 라우터(102(B),102(D),102(E)) 각각은 502(B), 502(D), 502(E) 각각에서 제외 표시를 메쉬 라우터 "A" 및/또는 인증서(202(A))와 연관시키고/메쉬 라우터 "A" 및/또는 인증서(202(A))에 제외 표시를 매핑한다.
제외 메세지-메쉬 라우터(A(504))의 수신에 앞서 공용 비밀 키가 메쉬 라우터(102(A))와 이미 확립되어 있었다면, 공유 비밀 키는 후에 무시될 수 있다. 예를 들어, 제외 표시(502(B),502(D))에서, 키 AB(214(B)) 및 키 AD(402(D))는 무관한 것으로 간주될 수 있다. 임의로, 이러한 키들이 이후에 예를 들어 추적 목적으로 사용되지 않을 경우, 키 AB(214(B)) 및 키 AD(402(D))는 삭제될 수 있다.
잘려진 무선 링크(108AB, 108AD)에 나타난 대로, 메쉬 라우터(102(A))는 메쉬 라우터(102(C))가 이웃 관리자(404)인 이웃으로부터 제외되어 있다. 예를 들어, 메쉬 라우터(102(B))가 MAC-AB(302(AB))로 태그된 패킷(302)을 수신한 경우, 메쉬 라우터(102(B))는 패킷(302)을 (다른 메쉬 라우터(102)로든 또는 단말 장치(104(B1))로든) 더 이상 라우팅하지 않는다.
한편, 제외 메세지-메쉬 라우터(A(504))의 수신에 앞서 공용 비밀 키가 메쉬 라우터(102(A))와 아직 확립되지 않았다면, 제외 표시는, 메세지에서 제공될 경우, 메쉬 라우터(102(A)) 및/또는 인증서(202(A))의 ID로 매핑될 수 있다. 이 ID는 예를 들어, (도 2의) 이름-A(210(A)), 인증서(202(A))의 모두 또는 일부일 수 있다. 도 6에 도시된 대로, 메쉬 라우터(102(E))의 데이터 구조의 엔트리(602(E))는 메쉬 라우터 "A"의 ID를 제외 표시(502(E))로 매핑한다. 메쉬 라우터(102(A))가 그 후에 메쉬 라우터(102(E))와 통신을 시도하고 유효성 및 신뢰의 표시로서 인증서(202(A))를 제공할 경우, 메쉬 라우터(102(E))는 메쉬 라우터(102(A))와 인증/키 교환 프로토콜을 수행하는 것을 거절한다.
도 7은 무선 메쉬 네트워크에서 제외 기능을 구현하는 예시적인 방법을 도시하는 흐름도(700)이다. 흐름도(700)는 6개의 블록(702-712)을 포함한다. 블록(702-712)의 액션이 다른 구현 및 환경에서 수행될 수 있지만, 도 2 내지 도 6은 특히 본 방법의 일부 측면을 명백히 하기 위해 사용된다. 예를 들어, 흐름도(700)는 2개의 부분, 메쉬 라우터 "C" (102(C)) 및 메쉬 라우터 "B" (102(B))로 나뉜다. 도시된 대로, 메쉬 라우터 "C" (102(C))는 3개의 블록(702-706)의 액션을 수행하고, 메쉬 라우터 "B" (102(B))는 3개의 블록(708-712)의 액션을 수행한다.
블록(702)에서, 이웃 관리자의 상태가 확립된다. 예를 들어, 메쉬 라우터 "C" (102(C))는 이웃 관리자(404)가 되는 것을 제안할 수 있고, 적어도 하나의 다른 메쉬 라우터(102)가 메쉬 라우터 "C" (102(C))를 이웃 관리자(404)로서 지명한다. 예를 들어, 소중한 자원(106)의 소유자는 그 메쉬 라우터(102)를 이웃 관리자(104)로 제안할 수 있다.
블록(704)에서, 직무태만의 메쉬 라우터가 검출된다. 예를 들어, 상술된 메커니즘 중 하나 이상을 통해 메쉬 라우터(102(A))가 직무태만이라는 것이 검출될 수 있다. 블록(706)에서, 이웃 메쉬 라우터는 직무태만의 메쉬 라우터를 통지받을 수 있다. 예를 들어, 메쉬 라우터 "C" (102(C))는, 메세지에 인증서(202(A))를 포함시킴으로써 메쉬 라우터(102(A))임을 식별하는 제외 메세지-메쉬 라우터(A(504))를 동보전송할 수 있다. 제외 메세지-메쉬 라우터(A(504))는 무선 메쉬 네트워크(100)를 통해 또는 일부 대역외 방법을 통해 전송될 수 있다.
메쉬 라우터 "B" (102(B))에 관해, 이웃 관리자가 블록(708)에서 메쉬 라우터에 의해 지명된다. 예를 들어, 메쉬 라우터 "B" (102(B))는 메쉬 라우터 "C" (102(C))를 자신의 지명된 이웃 관리자(406B)로 지명할 수 있다. 이 지명을 유효하게 하는 통신 교환은 메쉬 라우터 "C" (102(C))에게 메쉬 라우터 "B" (102(B))가 그 이웃으로 참가한다는 것을 알려 준다. 그 결과, 메쉬 라우터 "C" (102(C))에 의해 제공된(예를 들어 전송된) 제외 통지는 메쉬 라우터 "B" (102(B))를 목표로 한다.
블록(710)에서, 메쉬 라우터는 지명된 이웃 관리자로부터 직무태만의 메쉬 라우터의 통지를 수신한다. 예를 들어, 메쉬 라우터 "B" (102(B))는 제외 메세지-메쉬 라우터(A(504))를 수신할 수 있고, 이것은 메쉬 라우터 "C" (102(C))로부터, 메쉬 라우터(102(A))의 인증서(202(A))를 식별한다. 제외 메세지-메쉬 라우터(A(504))는 메쉬 라우터 "C" (102(C))에 의해 서명되어 메쉬 라우터 "B" (102(B))가 제외 통지가 자신의 지명된 이웃 관리자(404)로부터 기인한다는 것을 인증할 수 있다.
블록(712)에서, 메쉬 라우터는 식별된 직무태만의 메쉬 라우터와 관련된 인증서에 기초하는, 식별된 직무태만의 메쉬 라우터를 제외시킨다. 예를 들어, 메쉬 라우터 "B" (102(B))는 인증서(202(A)) 또는 그것과 확립된 비밀 키로 인증된 패킷을 전달하거나 또는 그것이 아닐 경우 라우팅하는 것을 거절하는 것을 포함하여, 메쉬 라우터(102(A))와의 통신을 거절할 수 있다.
인증서(202(A))는 메쉬 라우터(102)의 생산 엔티티에 의해 메쉬 라우터(102(A))에 대해 발행된다. 메쉬 라우터(102(C))는 메쉬 라우터(102(B))에게 인증서(202(A))의 제외 상태를 통지한다. 따라서 메쉬 라우터(102(B))는 이 통지에 기초하여 인증서(202(A))를 제외시킨다. 이 제외는 인증서(202(A))를 유효성 및 신뢰의 표시로서 제공하고자 하는 메쉬 라우터(102(A)) 또는 임의의 메쉬 라우터(102)에 영향을 끼친다. 따라서, 메쉬 라우터(102(B))는 실질적으로 인증서(202(A))를, 발행하지 않는 엔티티, 즉, 메쉬 라우터(102(B))에 의해 이 제외 권한을 갖도록 지명된 메쉬 라우터(102(C))로부터의 통지에 기초하여 취소된 것으로 및/또는 유효하지 않은 것으로 취급한다.
도 8은 단말 장치(104(B1))에 관한 예시적인 인식 메커니즘의 한 측면을 도시하고 있다. 단말 장치(104(B1))는 무선 링크(110(B1))를 통해 메쉬 라우터(102(B))와 통신한다. 예시적인 인식 메커니즘으로 인해 단말 장치(104(B1))는 소정의 이웃내에서 다수의 메쉬 라우터(102)에 의해 특별히 인식된다. 예를 들어, 단말 장치(104(B1))는 메쉬 라우터(102(B))와 제휴되어 있으며, 메쉬 라우터(102(B))는 메쉬 라우터(102(C))의 이웃의 한 멤버이다. 단말 장치(104(B1))가 동일한 이웃의 일부인 메쉬 라우터(102(E))와 같은 다른 메쉬 라우터(102)로 이동할 때, 다른 메쉬 라우터(102)는 단말 장치(104(B1))를 특별 허가된 단말 장치(104)로 인식한다. 메쉬 라우터(102(E))로의 이동 및 메쉬 라우터(102(E))에 의한 인식은 특별히 도 9와 관련하여 후술된다.
도 8에 도시된 대로, 메쉬 라우터(102(E))는 인증서(202(E))를 포함하는 것으로 명시적으로 도시되어 있다. 인증서(202(E))는 이름-E(210(E)), 서명(212(E)), 및 공개 키(240(E))를 포함한다. 공개 키(240(E))는 메쉬 라우터(102(E))의 전용 키(206(E))(도시 생략)에 대응한다. 인증서(202)는 특히 도 2와 관련하여 일반적으로 상술되어 있다. 단말 장치(104(B1))는 인증서(202(B1)) 및 인증서(202(B))(의 복사본)를 포함하는 것으로 도시되어 있다.
설명된 구현에서, 메쉬 라우터(102(C))는 소정의 이웃에 대해 확립된 이웃 관리자(404)이다. 메쉬 라우터(102(C))의 이웃으로는 메쉬 라우터(102(B)), 메쉬 라우터(102(E)), 메쉬 라우터(102(D))(예를 들어 도 1, 도 4 및 도 5), 메쉬 라우터(102(A))(제외되지 않은 경우) 및 특별히 도시되어 있지 않은 가능한 다른 메쉬 라우터들(102)이다. 메쉬 라우터(102(C))의 이웃의 메쉬 라우터(102)는 메쉬 라우터 "C"를 406에서 그들의 이웃 관리자로서 지명했다.
이웃을 형성하는 것은 상술된 제외 기능의 구현을 가능하게 하는 하나의 어프로치이다. 이웃 형성은 또한 소정의 이웃의 메쉬 라우터들(102)간에 다른 종류의 협동을 가능하게 한다. 예를 들어, 특별 허가된 액세스가 메쉬 라우터(102)에 의해 동일한 이웃의 다른 메쉬 라우터(102)와 제휴된 단말 장치(104)에 주어질 수 있다.
설명된 구현에서, 단말 장치(104)는 다른 특별 허가/우선순위 레벨로 (예를 들어 도 1의)무선 메쉬 네트워크(100)로의 액세스를 허가 받는다. 예를 들어, 단말 장치(104)는 표준 액세스 또는 우선 액세스(preferred access)를 허가 받을 수 있다. 디폴트 액세스 시나리오로 인해 모든 단말 장치(104)는 표준 액세스 레벨에서 무선 메쉬 네트워크(100)에 액세스할 수 있다. 높은 액세스 시나리오로 인해 소정의 이웃의 특정 메쉬 라우터(102)와 제휴된 단말 장치(104)는 우선 액세스 레벨로 소정의 이웃의 모든 메쉬 라우터(102)에 액세스할 수 있다. 적어도 부분적으로, 메쉬 라우터 계층의 PKI를 이용하여, 단말 장치(104)가 소정의 이웃의 특정 메쉬 라우터(102)와 제휴되어 있다는 증거가 제공된다.
단말 장치(104(B1))는 메쉬 라우터(102(B))와 제휴되어 있다. 예를 들어, 메쉬 라우터(102(B))의 개인용 관리자는 단말 장치(104(B1))의 실제 소유자를 알 수 있고 또는 단말 장치(104(B1))의 실제 소유자일 수 있다. 따라서, 개인용 관리자는 단말 장치(104(B1))가 적어도 메쉬 라우터(102(B))를 통해 무선 메쉬 네트워크(100)로의 우선 액세스를 허가받기를 원한다. 단말 장치(104(B1))에게 이 제휴의 증거를 제공하기 위해, 메쉬 라우터(102(B))는 인증서(202(B))에 의해 단말 장치(104(B1))에 서명된 인증서(202(B1))를 발행한다.
다시 말해, 단말 장치(104(B1))가 발행되고 인증서(202(B))에 의해 서명된 인증서(202(B1))와 관련된다. 그러므로 인증서(202(B1))의 이름이 단말 장치(104(B1))를 나타낸다. 인증서(202(B1))의 공개 키는 전용 키에 대응하고, 그 결과 공개-전용 키 쌍은 단말 장치(104(B1))와 관련된다. 인증서(202(B1))의 서명이 메쉬 라우터(102(B))의 (도 2의)전용 키(206(B))를 이용하여 공개 키 동작에 의해 생산된다. 단말 장치(104(B1))는 자신과 제휴되어 있는 메쉬 라우터(102(B))에 증명하기 위해 인증서(202(B))와 함께 인증서(202(B1))를 사용할 수 있다.
인증서(202(B1))와 같이 단말 장치(104)에 발행된 인증서는 만기일을 지니고 발행될 수 있는데, 그 이유는 인증서들이 생산 엔티티에 의해 메쉬 라우터(102(B))와 같은 메쉬 라우터(102)에 발행된 인증서보다 다소 덜 안전하기 때문이다. 메쉬 라우터(102(B))는 또한 단말 장치(104)에 인증서 발행 권한을 위임할 수 있다. 단말 장치(104(B1))는 이어서 다른 단말 장치(104)에 추가의 인증서(202)를 발생하여 인증서 체인을 생성할 수 있다. 이 인증서 체인은 단말 장치(104) 제휴를 증명하며, 비제휴 메쉬 라우터(102)로부터의 인식을 보증하는 데 사용된다.
소정의 메쉬 라우터(102)의 개인용 관리자가 그 소정의 메쉬 라우터(102)에 의해 발행된 특정 단말 장치 인증서(202)가 수상쩍다는 것을 알게 될 경우(예를 들어, 관련 단말 장치(104)가 기능을 제대로 발휘하지 못하기 때문에), 그것의 개인용 관리자 또는 소정의 메쉬 라우터(102)는 그 수상쩍은 단말 장치 인증서(202)를 제외시킬 것을 요구한다. 이 이것은 이웃 관리자(404)에게 요청되며, 그러면 이웃 관리자(404)는 그 수상쩍은 단말 장치 인증서(202)를 식별하는 제외 통지 메세지를 동보전송한다.
단말 장치(104(B1))는 인증서(202(B))와 함께 인증서(202(B1))를 사용하여 메쉬 라우터(102(C))의 이웃인 비제휴 메쉬 라우터(102)와 또한 우선 액세스하는 자격이 있다는 것을 증명한다. 이것은 예를 들어, 메쉬 라우터(102(B))가 기능이 없거나 및/또는 단말 장치가 메쉬 라우터(102(B))의 범위 바깥으로 이동하는 경우 발생할 수 있다. 예를 들어, 단말 장치(104(B1))가 메쉬 라우터(102(E))의 범위내로 이동할 수 있다.
도 9는 단말 장치(104(B1))에 관한 예시적인 인식 메커니즘의 또 다른 측면을 도시하고 있다. 도 8과 비교해 보면, 단말 장치(104(B1))가 메쉬 라우터(102(E))의 범위내로 이동해 있다. 단말 장치(104(B1))는 무선 링크(110(E/B1))를 통해 메쉬 라우터(102(E))와 통신한다. 이 예시적인 인식 메커니즘으로 인해 단말 장치(104(B1))는 메쉬 라우터(102(E))에 의해 메쉬 라우터(102(C))의 이웃의 일부로서 특별히 인식된다.
메쉬 라우터(102(E))는 이웃 멤버들인 메쉬 라우터들(102)을 리스트하거나 나열하는 데이터 구조(902)를 포함한다. 이 실례에서, 나열된 이웃 멤버들은 메쉬 라우터(102(C))를 406B, 406E 등에서 그들의 이웃 관리자로서 지명했던 그 메쉬 라우터들(102)이다. 데이터 구조(902)는 메쉬 라우터 "B"[102(B)]; 이웃 관리자(neighborhood administrator;NA)로서 식별될 수 있는 메쉬 라우터 "C"[102(C)]; 메쉬 라우터 "D"[102(D)]; 등을 리스트한다.
데이터 구조(902)는 공유 비밀 키를 저장하고, 제외 표시를 저장하는 등의 데이터 구조와 같은 다른 데이터 구조를 포함하거나 그 일부일 수 있다. 도 9에 도시되지는 않았지만, 메쉬 라우터(102(C))의 이웃(예를 들어, 메쉬 라우터(102(B)))의 일부인 각 메쉬 라우터(102)는 또한 데이터 구조(902)와 유사한 데이터 구조를 포함한다.
동작시, 단말 장치(104(B1)) 및 메쉬 라우터(102(E))는 그들 사이에 무선 링크(110(E/B1))를 셋업한다. 단말 장치(104(B1))는 메쉬 라우터(102(E))에게 인증서(202(B))와 인증서(202(B1))를 제공한다. 인증서(202(B))에 기초하여, 메쉬 라우터(102(E))는 데이터 구조(902)를 액세스하여 지명된 메쉬 라우터 즉 메쉬 라우터(102(B))가 메쉬 라우터(102(E))가 속해 있는 메쉬 라우터(102(C))의 이웃의 한 멤버인지 여부를 확인한다. 데이터 구조(902)가 이미 제외된 메쉬 라우터(102)를 포함하고 있다면, 메쉬 라우터(102(E))는 메쉬 라우터(102(B))가 제외되었는지를 확인하기 위해 또한 점검한다.
메쉬 라우터(102(B))는 메쉬 라우터(102(C))의 이웃의 한 멤버이므로 이웃 멤버 데이터 구조(902)에 리스트되어 있고, 메쉬 라우터(102(E))는 인증서(202(B))를 분석한다. 메쉬 라우터(102(E)) 및 메쉬 라우터(102(B))가 이전에 인증서 교환/키 확립 프로시져를 수행하였고, 메쉬 라우터(102(E))가 인증서(202(B))의 사본을 저장했을 경우, 메쉬 라우터(102(E))는 단지 저장된 인증서(202(B))의 사본과 단말 장치(104(B1))에 의해 제공된 인증서(202(B))의 사본을 비교하여 인증서(202(B))의 합법성을 보증할 수 있다. 그것이 아니라면, 메쉬 라우터(102(E))는 인증서(202(B))를 검증하기 위해 자신의 저장된 루트 키(208(E))(명시적으로 도시되지 않음)를 사용하여 인증서(202(B))상에서 서명 검증 프로시져를 수행한다.
메쉬 라우터(102(E))는 메쉬 라우터(102(B))가 동일한 이웃의 한 멤버이고 제공된 인증서(202(B))가 합법적이고/유효하다는 것을 확인한 후, 인증서(202(B1))를 분석한다. 인증서(202(B1))는 분석되어 이것이 인증서(202(B))와 관련된 메쉬 라우터(102(B))에 의해 발행되었다는 것을 보증한다. 그러므로, 메쉬 라우터(102(E))는 인증서(202(B))의 공개 키(204(B))를 사용하여, 인증서(202(B1))의 서명이 이웃 멤버 메쉬 라우터(102(B))의 대응하는 전용 키(206(B))에 의해 서명되었다는 것을 증명하기 위해 인증서(202(B1))의 서명상에서 서명 검증 프로시져를 수행한다.
이 서명 검증 프로시져가 성공적일 경우, 메쉬 라우터(102(E))는 인증서(202(B1))가 유효하고 단말 장치(104(B1))가 메쉬 라우터(102(C))의 이웃의 한 멤버인 메쉬 라우터(102(B))와 제휴되어 있다는 것을 판정한다. 그 결과, 메쉬 라우터(102(E))는 단말 장치(104(B1))에게 표준 액세스 대신 우선 액세스를 허가한다. 메쉬 라우터(102(E)) 및 단말 장치(104(B1))는 또한 키 확립 프로시져를 수행하여 이 두 노드간의 통신을 인증하고/암호화하기 위한 공유 비밀 키를 확립한다.
특별 허가된 상태는 단지 표준 액세스가 아니라 우선 액세스의 자격이 주어지는 것과 같은 서비스 레벨에 관한 것이다. 우선 액세스 대 표준 액세스는 각각 빠른 데이터 속도 대 늦은 데이터 속도, 보장된 처리량 대 최대 노력 처리량, 전송/수신을 위한 높은 우선순위 대 전송/수신을 위한 낮은 우선순위, 이들의 조합 등을 포함한다. 서비스 레벨은 또한 서비스/상태의 2가지 이상의 다른 레벨을 포함한다.
통신 트래픽을 위한 우선 액세스 대 표준 액세스(또는 다른 수많은 서비스 레벨)는 트래픽을 태깅함으로써 무선 메쉬 네트워크(100) 전반에 걸쳐 지켜져야한다는 것을 유의해야 한다. 예를 들어, 라우터(102)는 그의 전송된 패킷을 그들의 개별적으로 정해진 분류(예를 들어, "표준 액세스 속도" 또는 "우선 액세스 속도"와 같이)에 따라 태그할 수 있다. 그 결과, 패킷 분류의 차이는, 단말 장치(104)가 그 패킷을 무선 메쉬 네트워크(100)로 소개하고 분류가 결정되는 라우터(102)만에서가 아니라, 무선 메쉬 네트워크(100) 전반에 걸쳐 지켜질 수 있다.
따라서 이 예시적인 인식 메커니즘으로 인해 특정 메쉬 라우터(102(B))와 제휴되어 있는 단말 장치(104(B1))는 동일한 이웃의 멤버이고, 메쉬 라우터(102(C))에 의해 관리되는 다른 메쉬 라우터들(102)에 의해 특별히 인식될 수 있다. 그 결과, 제1 계층의 피어(예를 들어, 메쉬 라우터들(102))는 제1 계층의 다른 피어들에 의해 인식된 제2 다른 층에(예를 들어, 단말 장치(104))에) 계층적으로 인증서(202)를 발행할 수 있다.
도 10은 무선 메쉬 네트워크에서 단말 장치 인식을 구현하는 예시적인 방법을 도시하는 흐름도(1000)이다. 흐름도(1000)는 10개의 블록(1002-1020)을 포함한다. 블록(1002-1020)의 액션이 다른 구현 및 환경에서 수행될 수 있음에도 불구하고, 도 2, 도 8, 및 도 9는 본 발명의 일부 측면을 나타내기 위해 특별히 사용된다. 예를 들어, 흐름도(1000)는 3개의 부분, 메쉬 라우터 "B" (102(B)), 메쉬 라우터 "B"의 단말 장치(104(B1)), 및 메쉬 라우터 "E" (102(E))로 나뉜다. 도시된 대로, 메쉬 라우터 "B" (102(B))는 블록(1002)의 액션을 수행하고, 메쉬 라우터 "B"의 단말 장치(104(B1))는 5개의 블록(1004-1012)의 액션을 수행하고, 메쉬 라우터 "E" (102(E))는 4개의 블록(1014-1020)의 액션을 수행한다.
블록(1004)에서, 단말 장치는 제휴된 메쉬 라우터와 접속한다. 예를 들어, 단말 장치(104(B1))는 무선 링크(110(B1))를 통해 메쉬 라우터(102(B))와 접속할 수 있다. 단말 장치(104(B1))는 메쉬 라우터(102(B))의 개인용 관리자가 단말 장치(104(B1))의 소유자/운영자를 알거나 또는 그것이 아니라면 단말 장치(104(B1))의 소유자/운영자를 신뢰할 경우 메쉬 라우터(102(B))와 제휴될 수 있다.
블록(1002)에서, 제휴된 메쉬 라우터는 단말 장치에게 제휴된 메쉬 라우터의 메쉬 라우터 인증서에 의해 서명된 단말 장치 인증서를 발행한다. 예를 들어, 메쉬 라우터(102(B))는 그의 관련된 인증서(202(B))를 사용하여 단말 장치(104(B1))에 발행된 인증서(202(B1))를 서명한다. 메쉬 라우터(102(B))로부터 단말 장치(104(B1))로의 무선 링크(110(B1))를 통해, 인증서(202(B)) 및 인증서(202(B1)) 둘 다를 제공할 수 있다.
블록(1006)에서, 단말 장치 인증서 및 메쉬 라우터 인증서는 단말 장치에 의해 저장된다. 예를 들어, 인증서(202(B1)) 및 인증서(202(B))는 단말 장치(104(B1))에 의해 저장될 수 있다. 블록(1008)에서, 단말 장치는 새 위치로 이동한다. 예를 들어, 메쉬 라우터(102(B))와 접속을 끊은 후에, 단말 장치(104(B1))는 메쉬 라우터(102(B))의 범위내에서부터 메쉬 라우터(102(E))의 범위내로 이동할 수 있다. *에 의해 표시된 대로, 단말 장치(104(B1))가 하나의 위치로부터 메쉬 라우터(102(B)) 및 메쉬 라우터(102(E)) 둘 다의 범위내에 있고, 이 둘 다와 무선 통신할 수 있는 한에는 선택가능한 액션이다.
블록(1010)에서, 단말 장치는 이웃(이지만 비제휴) 메쉬 라우터와 접속한다. 예를 들어, 단말 장치(104(B1))는 무선 링크(110(E/B1))를 통해 메쉬 라우터(102(E))와 접속한다. 메쉬 라우터(102(E))는 단말 장치(104(B1))가 제휴되어 있는 메쉬 라우터(102(B))의 이웃으로서 동일한 이웃의 멤버이다. 다시 말해, 메쉬 라우터(102(B)) 및 메쉬 라우터(102(E))는 둘 다 메쉬 라우터(102(C))의 동일한 이웃 관리자(404)를 지명했다.
블록(1012)에서, 단말 장치는 단말 장치 인증서 및 비제휴 이웃 메쉬 라우터에 단말 장치 인증서를 서명하는데 사용되었던 메쉬 라우터 인증서를 둘 다 제공한다. 예를 들어, 단말 장치(104(B1))는 인증서(202(B1)) 및 인증서(202(B))를 메쉬 라우터(102(E))에게 제공할 수 있다. 또는, 메쉬 라우터(102(E))가 그 이웃의 각 메쉬 라우터(102)에 대한 관련 인증서(202)의 사본을 저장하고 있을 경우, 단말 장치(104(B1))는 단지 인증서(202(B1)) 및 인증서(202(B1))에 포함된 ID일 수 있는 메쉬 라우터(102(B))의 ID를 메쉬 라우터(102(E))로 전송한다.
블록(1014)에서, 이웃 메쉬 라우터는 메쉬 라우터 인증서와 관련된 메쉬 라우터가 이웃 멤버인지 여부를 확인한다. 예를 들어, 메쉬 라우터(102(E))는 이웃 멤버 데이터 구조(902)에 액세스하여 메쉬 라우터(102(B))로 향하거나/메쉬 라우터(102(B))를 포함하는 엔트리가 있는지 여부를 확인할 수 있다. 그렇지 않을 경우, 블록(1020)에서 이웃 메쉬 라우터는 단말 장치 표준 액세스를 허가한다. 예를 들어, 메쉬 라우터(102(E))는 표준 액세스를 단말 장치(104(B1))에 허가할 수 있다.
한편, 이웃 메쉬 라우터가 메쉬 라우터 인증서와 관련된 메쉬 라우터가 이웃 멤버라는 것을 확인하는 경우(블록 1014에서), 방법은 블록(1016)으로 진행한다. 블록(1016)에서, 이웃 메쉬 라우터는 단말 장치 인증서가 유효한지 여부를 판정한다. 예를 들어, 메쉬 라우터(102(E))는 아마도 인증서(202(B))의 분석과 함께 인증서(202(B1))를 분석하여 인증서(202(B1))가 합법적인 메쉬 라우터(102(B))의 전용 키(206(B))에 의해 발행되었는지 여부를 판정할 수 있다. 이 분석은 인증서(202(B1))의 서명상에서 서명 검증 프로시져에 대한 적어도 하나의 공개 키(204(B)) 동작을 포함한다.
단말 장치 인증서가 유효하다고 판정되지 않은 경우(블록 1016에서), 블록(1020)에서 이웃 메쉬 라우터에 의해 단말 장치에게 표준 액세스가 허가된다. 한편, 이웃 메쉬 라우터가 단말 장치 인증서가 유효하다는 것을 판정할 경우(블록 1016에서), 방법은 블록(1018)으로 계속된다. 블록(1018)에서, 이웃 메쉬 라우터는 우선 액세스를 단말 장치에 허가한다. 예를 들어, 메쉬 라우터(102(E))는 우선 액세스를 단말 장치(104(B1))에 허가할 수 있다. 따라서, 이 예시적인 방법은 단말 장치가 제휴된 메쉬 라우터와 동일한 이웃의 한 멤버인 비제휴 메쉬 라우터로부터 특별 허가된 액세스를 받음으로써 무선 메쉬 네트워크에서 단말 장치 인식을 구현한다.
도 11은 이웃간 이동(inter-neighborhood movement)에 종사하고 있는 단말 장치(104(B1))에 관한 또 다른 예시적인 인식 메커니즘을 도시하고 있다. 단말 장치(104(B1))는 제휴 메쉬 라우터(102(B))를 멤버로 지니는 제1 이웃으로부터 제2 이웃으로 이동할 수 있다. 도 11에 도시된 이 다른 예시적인 인식 메커니즘으로, 단말 장치(104(B1))는 제2 이웃의 멤버인 메쉬 라우터들(102)에 의해 특별히 인식될 수 있다.
도시된 대로, 메쉬 라우터 "C" (102(C))는 404C에서 제1 이웃에 대한 이웃 관리자로서 표시된다. 메쉬 라우터(102(B))는 메쉬 라우터(102(C))의 제1 이웃의 한 멤버이다. 메쉬 라우터 "G" (102(G))는 404G에서 제2 이웃의 이웃 관리자로서 표시된다. 메쉬 라우터(102(F))는 메쉬 라우터(102(G))의 제2 이웃의 한 멤버이다. 메쉬 라우터(102(F))는 406F에서 메쉬 라우터 "G"를 이웃 관리자로서 지명한다. 메쉬 라우터(102(F))는 인증서(202(F))와 관련되어 있고, 메쉬 라우터(102(G))는 인증서(202(G))와 관련되어 있다.
설명된 구현에서, 메쉬 라우터(102(C)) 및 메쉬 라우터(102(G))의 이웃 관리자(404C) 및 이웃관리자(404G) 각각은 상호 관계 인식(reprocity recognition)(1102)을 동의한다. 즉, 메쉬 라우터(102(C)) 및 메쉬 라우터(102(G)) 각각은 서로의 멤버 메쉬 라우터(102)와 제휴되어 있는 단말 장치(104)를 특별히 인식하는 것을 동의한다. 또는, 인식 동의는 상호간 및 양방간인 대신 일방적일 수 있다.
메쉬 라우터(102(G))는 무선 링크(108FG)를 통해 메쉬 라우터(102(F))와 통신한다. 무선 링크(108FG)를 통해, 메쉬 라우터(102(G))는 신뢰 메쉬 라우터 "C" 메세지(1104)를 메쉬 라우터(102(F))로 전송한다. 다시 말해, 메쉬 라우터(102(G))는 메쉬 라우터(102(C))가 훌륭하고 및/또는 신뢰할 수 있는 이웃을 동작한다는 것을 주장한다. 메쉬 라우터(102(G))는 또한 자신의 이웃에 있는 적절한 메쉬 라우터(102)의 의무를 수행하기 위해, 메쉬 라우터(102(F))에게 메쉬 라우터(102(C))의 이웃의 메쉬 라우터들(102)과 제휴된 단말 장치들(104)을 특별히 인식하라고 지시한다.
메쉬 라우터(102(F))는 신뢰될 수 있는 이웃 관리자를 리스트하거나 나열하는 데이터 구조(1106)를 포함한다. 신뢰 메쉬 라우터 "C" 메세지(1104)에 응답하여, 메쉬 라우터(102(F))는 메쉬 라우터 "C" [102(C)]를 포함하고/식별하는 엔트리를 추가한다. 데이터 구조(1106)는 또한 타원에 의해 표시된 대로 추가의 엔트리를 포함할 수 있다. 또한, 신뢰되는 이웃 관리자 데이터 구조(1106)는 또한 본 명세서에서 설명되지 않은 것을 포함하여, 다른 데이터 구조와 조합될 수 있다. 도 11에 그렇게 도시되어 있지는 않지만, 메쉬 라우터(102(B))는 인식 동의(1102)가 상호간일 때 메쉬 라우터 "G" [102(G)]를 나열하는, 유사하고 신뢰되는 이웃 관리자 데이터 구조(1106)를 또한 포함한다.
설명된 구현에서, T=X인 때에, 단말 장치(104(B1))는 무선 링크(110(B1))를 통해 메쉬 라우터(102(B))와 통신한다. 단말 장치(104(B1))는 인증서(202(B))에 의해 서명된 대로 인증서(202(B1))와 관련되어 있고 이를 포함하며, 인증서(202(B))는 또한 단말 장치(104(B1))에 의해 저장되어 있다. 메쉬 라우터(102(B)) 또한 단말 장치(104(B1))에 인증서(202(C))에 의해 서명된 멤버쉽 인증서(202(CB))를 제공한다. 멤버쉽 인증서(202(CB)) 및 인증서(202(C))는 메쉬 라우터(102(C))로부터 메쉬 라우터(102(B))에 제공된다.
디지털 인증서도 엔티티가 특정 속성을 지닌다는 것을 인증하는 데 또한 사용될 수 있다. 엔티티가 특정 속성을 지닌다는 것을 나타내는 인증서는 속성 인증서(attribute certificates)라 불린다. 속성이 멤버쉽인 경우, 속성 인증서를 멤버쉽 인증서라 칭할 수 있다. 멤버쉽 인증서(202(CB))는 메쉬 라우터(102(B))가 메쉬 라우터(102(C))의 이웃의 한 멤버라는 것을 나타낸다. 멤버쉽 인증서(202(CB))는 이웃 관리자(404C)인 메쉬 라우터(102(C))에 의해 인증서(202(C))로 서명된다.
T=X+1인 때에, 단말 장치(104(B1))는 메쉬 라우터(102(C))의 이웃인 메쉬 라우터(102(B))의 범위에서 메쉬 라우터(102(G))의 이웃인 메쉬 라우터(102(F))로 이동한다. 메쉬 라우터(102(F))와 단말 장치(104(B1))는 무선 링크(110(F/B1))를 통하여 접속을 확립한다. 무선 링크(110(F/B1))를 통해, 단말 장치(104(B1))는 인증서(202(B1)), 인증서(202(B)), 멤버쉽 인증서(202(CB)) 및/또는 인증서(202(C))를 메쉬 라우터(102(F))로 전송한다. 다른 구현에서, 멤버쉽 인증서(202(CB)) 및 인증서(202(C))는 메쉬 라우터(102(G))로부터 메쉬 라우터(102(F))로 제공될 수 있다.
메쉬 라우터(102(F))는 인증서(202(B1)) 및 인증서(202(B))를 이용하여 단말 장치(104(B1))가 서명 검증 프로시져를 통해 메쉬 라우터(102(B))와 사실 제휴되어 있는 유효 메쉬 라우터(102)라는 것을 보증한다. 메쉬 라우터(102(F))는 멤버쉽 인증서(202(CB)) 및 인증서(202(C))를 이용하여 메쉬 라우터(102(B))가 사실 메쉬 라우터(102(C))의 이웃인 한 멤버라는 것을 보증한다.
신뢰되는 이웃 관리자 데이터 구조(1106)를 액세스하고 메쉬 라우터 "C" [102(C)]를 포함하고/메쉬 라우터 "C" [102(C)]로 향하는 엔트리를 찾은 후에, 메쉬 라우터(102(F))는, 메쉬 라우터들(102(C))의 이웃 멤버인 메쉬 라우터들(102)과 제휴된 단말 장치들(104)에게 특별 인식을 허가할 것인지 여부를 판정한다. 따라서, 메쉬 라우터(102(F))는 단말 장치(104(B1))에게 특별 인식을 허가한다. 예를 들어, 단말 장치(104(B1))는 우선 액세스 상태의 자격이 주어진다.
도 8 내지 도 10과 관련하여, 속성 인증서(202)가 이웃 멤버 데이터 구조(902) 어프로치 대신에 이웃간 이동 구현에 또한 사용될 수 있다는 것을 유의한다. 예를 들어 도 9의 이동과 같은 이러한 구현에서, 단말 장치(104(B1))는 메쉬 라우터(102(E))로 인증서(202(B1)) 및 인증서(202(B))외에, 멤버쉽 속성 인증서(202(CB))(및 아마도 인증서(202(C)))를 전송한다. 그 후 메쉬 라우터(102(E))는 데이터 구조(902)를 액세스하는(또는 저장하는) 대신 인증서(202)를 분석한다.
도 1 내지 도 11의 라우터, 장치, 액션, 측면, 특징, 컴포넌트 등은 다수의 블록으로 나뉘어진 흐름도에 도시되어 있다. 그러나, 도 1 내지 도 11에서 설명되고 도시된 순서, 상호 연결, 상호 관계, 레이아웃 등은 제한된 것으로서 해석되어서는 안 되며, 모든 블록의 수는 메쉬 네트워크 구현을 위한 하나 이상의 시스템, 방법, 기기, 프로시져, 매체, API, 장치, 구성 등을 구현하는 임의의 방식으로 수정되고, 조합되고, 재배열되고, 증가되고, 생략될 수 있다. 또한, 본 명세서의 설명이 특정 구현(및 이하의 도 12의 예시적인 운영 환경)에 대한 참조를 포함하고 있다 하더라도, 도시되고 및/또는 설명된 구현은 임의의 적합한 하드웨어, 소프트웨어, 펌웨어, 또는 그들의 조합에서, 및 임의의 적합한 장치 아키텍처, 코딩 패러다임, 통신 방법, 무선 인터페이스 스킴(wireless air interface scheme) 등을 사용하여 구현될 수 있다.
도 12는 본 명세서에 설명된 메쉬 네트워크 구현을 위해, 적어도 하나의 시스템, 라우터, 기기, 장치, 컴포넌트, 구성, 프로토콜, 어프로치, 방법, 프로시져, 매체, API, 이들의 일부 조합 등을 (전체 또는 부분적으로) 구현할 수 있는 예시적인 컴퓨팅 (또는 범용 장치) 운영 환경(1200)을 도시하고 있다. 운영 환경(1200)은 후술된 컴퓨터 및 네트워크 아키텍처에서 활용될 수 있다.
예시적인 운영 환경(1200)은 단지 환경의 한 실례일 뿐이며, 적용가능한 장치(컴퓨터, 라우터 또는 단말 장치, 엔터테인먼트 장치, 무선 전자제품, 범용 전자 장치 등과 같은 네트워크 노드를 포함함) 아키텍처의 사용 범위 또는 기능성에 어떤 제한을 두는 것은 아니다. 또한 운영 환경(1200)(또는 그것의 장치들)이 도 12에 도시된 컴포넌트 중 어느 하나 또는 그 조합에 관해 어떤 종속성 또는 요건을 갖는 것으로 해석되어져서는 안 된다.
또한, 메쉬 네트워크 구현은 수많은 기타 범용 또는 전용 장치(컴퓨팅 또는 무선 시스템을 포함함) 환경 또는 구성으로 실현될 수 있다. 사용하기에 적절하고 잘 알려진 장치, 시스템, 환경, 및/또는 구성의 예로는 퍼스널 컴퓨터, 서버 컴퓨터, 씬 클라이언트(thin client), 씩 클라이언트(thick client), PDA 또는 이동 전화, 시계, 핸드헬드 또는 랩탑 장치, 멀티프로세서 시스템, 마이크로프로세서 기반 시스템, 셋톱 박스, 프로그램가능 가전 제품, 비디오 게임 기계, 게임 콘솔, 이동형 또는 핸드헬드 게이밍 유닛, 네트워크 PC, 미니 컴퓨터, 메인 프레임 컴퓨터, 유선 또는 무선 네트워크 노드(범용 또는 전용 라우터를 포함함), 위의 시스템 및 장치, 그들의 일부 조합 등 중 어느 하나를 포함하는 분산 또는 멀티 프로세싱 컴퓨팅 환경 등이 있지만 이에 제한되는 것은 아니다.
메쉬 네트워크 구현에 대한 실현은 프로세서 실행가능 명령어의 일반적인 컨텍스트로 설명될 것이다. 일반적으로, 프로세서 실행가능 명령어는 특정 태스크를 수행하고 및/또는 가능하게 하고 및/또는 특정 추상 데이터 타입을 구현하는 루틴, 프로그램, 모듈, 프로토콜, 오브젝트, 인터페이스, 컴포넌트, 데이터 구조 등을 포함한다. 메쉬 네트워크 구현은 본 발명의 일부 실시예에서 설명되었듯이 또한 커뮤니케이션 링크 및/또는 네트워크를 통해 연결된 원격 연결 처리 장치에 의해 태스크가 수행되는 분산 처리 환경에서도 수행되어 질 수 있다. 분산 컴퓨팅 환경에서만은 아니지만 특히 분산 컴퓨팅 환경에서, 프로세서 실행가능 명령어는 다른 프로세서에 의해 실행되는 및/또는 전송 매체를 통해 전파되는 별도의 기억 장치 매체에 위치할 수도 있다.
예시적인 운영 환경(1200)은 컴퓨터(1202)의 형태인 범용 컴퓨팅 장치를 포함하고, 컴퓨터(1202)는 컴퓨팅/처리 기능을 지닌 임의의 장치(예를 들어 전자 장치)를 포함한다. 컴퓨터(1202)의 컴포넌트로는 하나 이상의 프로세서 또는 처리 장치(1204), 시스템 메모리(1206), 및 프로세서(1204)를 포함한 각종 시스템 컴포넌트를 시스템 메모리(1206)에 연결시키는 시스템 버스(1208)를 포함하지만 이에 제한되는 것은 아니다.
프로세서(1204)는 프로세서를 형성하는 요소(material) 또는 그 안에 채용된 처리 메커니즘에 의해 제한되지 않는다. 예를 들어, 프로세서(1204)는 반도체 및/또는 트랜지스터(예를 들어 전자 집적 회로)로 구성될 수 있다. 이러한 맥락에서, 프로세서 실행가능 명령어는 전자적으로 실행가능한 명령어이다. 또는, 프로세서(1204)의 또는 프로세서에 대한 메커니즘, 및 컴퓨터(1202)의 또는 컴퓨터에 대한 메커니즘은 양자 광학 컴퓨팅, 광학 컴퓨팅, (예를 들어 나노기술을 이용한) 기계 컴퓨팅 등을 포함하지만 이에 제한되는 것은 아니다.
시스템 버스(1208)는 메모리 버스 또는 메모리 콘트롤러, 포인트-대-포인트 접속, 스위칭 구조(switching fabric), 주변장치 버스, AGP(accelerated graphics port), 및 각종 버스 아키텍처 중 임의의 것을 사용하는 프로세서 또는 로컬 버스를 포함하는, 많은 유형의 임의의 유선 또는 무선 버스 구조 중 하나 이상의 것을 나타낸다. 예로서, 이러한 구조는 ISA(industry standard architecture) 버스, MCA(micro channel architecture) 버스, EISA(Enhanced ISA) 버스, VESA(video electronics standard association) 로컬 버스, 그리고 메자닌 버스(mezzanine bus)로도 알려진 PCI(peripheral component interconnect) 버스, 이들의 일부 조합 등을 포함하지만 이에 제한되는 것은 아니다.
컴퓨터(1202)는 일반적으로 각종 프로세서 액세스가능 매체를 포함한다. 컴퓨터(1202) 또는 다른 (예를 들어, 전자와 같은) 장치에 의해 액세스가능한 매체는 그 어떤 것이든지 이러한 매체가 될 수 있고, 이것은 휘발성 및 불휘발성 매체, 이동식 및 이동불가식 매체, 및 기억 장치 및 전송 매체를 포함한다.
시스템 메모리(1206)는 RAM(1240)과 같은 휘발성 메모리 및/또는 ROM(1212)과 같은 불휘발성 메모리 형태의 프로세서 액세스가능 기억 장치 매체를 포함한다. 시동 시 컴퓨터(1202)내의 구성요소들 사이의 정보의 전송을 돕는 기본 루틴을 포함하는 기본 입/출력 시스템(BIOS)(1214)은 일반적으로 ROM(1212)에 저장되어 있다. RAM(1210)은 일반적으로 즉시 액세스가능하고 및/또는 현재 처리 장치(1204)에 의해 동작되고 있는 데이터 및/또는 프로그램 모듈을 포함한다.
컴퓨터(1202)는 또한 기타 이동식/이동불가식 및/또는 휘발성/불휘발성 기억 장치 매체를 포함한다. 예로서, 도 12는 (통상적으로) 이동불가식, 불휘발성 자기 매체로의 기록 또는 그로부터의 판독을 위한 하드 디스크 드라이브 또는 디스크 드라이브 어레이(1216)(별도 도시 생략); (통상적으로) 이동식, 불휘발성 자기 디스크(1220)(예를 들어 "플로피 디스크")로의 기록 또는 그로부터의 판독을 위한 자기 디스크 드라이브(1218); CD, DVD, 또는 기타 광 매체 등과 같은 (통상적으로) 이동식, 불휘발성 광 디스크(1224)로의 기록 및/또는 그로부터의 판독을 위한 광 디스크 드라이브(1222)를 포함한다. 하드 디스크 드라이브(1216), 자기 디스크 드라이브(1218) 및 광 디스크 드라이브(1222)는 하나 이상의 기억 장치 매체 인터페이스(1226)에 의해 시스템 버스(1208)에 각각 접속된다. 또는, 하드 디스크 드라이브(1216), 자기 디스크 드라이브(1218) 및 광 디스크 드라이브(1222)는 하나 이상의 다른 분리된 또는 결합된 인터페이스(도시 생략)에 의해 시스템 버스(1208)에 접속될 수 있다.
디스크 드라이브들 및 이들과 관련된 프로세서 액세스가능 매체는, 데이터 구조, 프로그램 모듈, 및 컴퓨터(1202)의 다른 데이터와 같은 프로세서 실행가능 명령어의 불휘발성 기억 장치를 제공한다. 예시적인 컴퓨터(1202)가 하드 디스크(1216), 이동식 자기 디스크(1220), 및 이동식 광학 디스크(1224)를 도시하고 있지만, 프로세서 액세스가능 매체의 다른 유형이 자기 카셋트 또는 기타 자기 기억 장치, 플래쉬 메모리, CD, DVD, 또는 기타 광학 기억 장치, RAM, ROM, EEPROM 등과 같은 장치에 의해 액세스가능 명령어를 저장할 수 있다는 것을 이해할 것이다. 이러한 매체는 또한 소위 전용 또는 고정 IC 칩을 포함한다. 다시 말해, 예시적인 운영 환경(1200)의 기억 장치 매체를 구현하는 데에 임의의 프로세서 액세스가능 매체를 활용할 수 있다.
일반적인 예로서 운영 환경(1228), 하나 이상의 애플리케이션 프로그램(1230), 기타 프로그램 모듈(1232), 및 프로그램 데이터(1234)를 포함하는 임의의 수의 프로그램 모듈(또는 기타 유닛 또는 명령어/코드 집합)이 하드 디스크(1216), 자기 디스크(1220), 광학 디스크(1224), ROM(1212), 및/또는 ROM(1240)에 저장될 수 있다. 이러한 명령어는 무선 메쉬 네트워크에 참가하고 참여하게 하는 모듈, 제외 메커니즘을 구현하는 모듈, PKI를 단말 장치 계층으로 확장하는 모듈, 매핑 데이터 구조 등을 포함한다.
사용자는 키보드(1236) 및 (예를 들어 마우스와 같은) 포인팅 디바이스(1238)의 입력 장치를 통해 명령 및/또는 정보를 컴퓨터(1202)에 입력할 수 있다. 다른 입력 장치(1240)(상세히는 도시 생략)로는 마이크, 조이스틱, 게임 패드, 위성 접시, 직렬 포트, 스캐너 및/또는 등이 있을 수 있다. 이들 및 다른 입력 장치는 시스템 버스(1208)에 연결된 입/출력 인터페이스(1242)를 통해 처리 장치(1204)에 접속된다. 그러나, 입력 장치 및/또는 출력 장치는 대신 다른 인터페이스 및 병렬 포트, 게임 포트, USB(universal serial bus) 포트, 적외선 포트, IEEE 1394("방화벽") 인터페이스, IEEE 802.11 또는 기타 일반적인 무선 인터페이스, 블루투스 무선 인터페이스 등의 다른 인터페이스 및 버스 구조에 의해 연결될 수도 있다.
모니터/뷰 스크린(1244) 또는 다른 유형의 디스플레이 장치도 또한 비디오 어댑터(1246) 등의 인터페이스를 통해 시스템 버스(1208)에 연결될 수 있다. 비디오 어댑터(1246)(또는 기타 컴포넌트)는 그래픽 집약적인 계산 및 큰 노력을 요하는 디스플레이 요구사항을 처리하는 그래픽 카드를 포함하거나 그러한 그래픽 카드일 수 있다. 통상적으로, 그래픽 카드는 그래픽 처리 유닛(GPU), 비디오 RAM(VRAM) 등을 포함하여 신속한 그래픽 디스플레이 및 그래픽 연산의 수행을 용이하게 한다. 모니터(1244) 이외에, 기타 출력 주변 장치는 스피커(도시 생략) 및 프린터(1248) 등의 컴포넌트를 포함할 수 있고, 이들은 입/출력 인터페이스(1242)를 통해 컴퓨터(1202)로 연결될 수 있다.
컴퓨터(1202)는 원격 컴퓨팅 장치(1250)와 같은 하나 이상의 원격 컴퓨터로의 논리적 연결을 사용하여 네트워킹 환경에서 동작할 수 있다. 실례로서, 원격 컴퓨팅 장치(1250)는 하나의 퍼스널 컴퓨터, 포터블 컴퓨터(예를 들어, 랩탑 컴퓨터, 타블렛 컴퓨터, PDA, 이동 스테이션 등), 팜 또는 포켓 사이즈 컴퓨터, 시계, 게이밍 장치, 서버, 라우터, 네트워크 컴퓨터, 피어 장치, 다른 네크워크 노드 또는 상술된 것과 다른 장치 유형 등일 수 있다. 그러나, 원격 컴퓨팅 장치(1250)는 컴퓨터(1202)에 관해 본 명세서에서 설명된 구성요소 및 특징의 많은 부분 또는 그 전부를 포함하는 포터블 컴퓨터로서 도시되어 있다.
컴퓨터(1202)와 원격 컴퓨터(1250)간의 논리적 접속이 LAN(1252) 및 WAN(1254)으로 도시되어 있다. 이러한 네트워킹 환경은 사무실, 회사 전체에 걸친 컴퓨터 네트워크, 인트라넷, 인터넷, 유선 및 무선 전화 네트워크, 애드 혹 및 기반구조 무선 네트워크, 기타 무선 네트워크, 게이밍 네트워크, 이들의 일부 조합 등에서 통상적인 것이다. 이러한 네트워크 및 통신 접속은 전송 매체의 실례이다.
LAN 네트워킹 환경에서 구현될 때, 컴퓨터(1202)는 일반적으로 네트워크 인터페이스, 즉 어댑터(1256)를 통해 LAN(1252)에 연결된다. WAN 네트워킹 환경에서 구현될 때, 컴퓨터(1202)는 통상적으로 WAN(1254) 상에서의 통신을 설정하기 위한 모뎀(1258) 또는 다른 컴포넌트를 포함한다. 컴퓨터(1202)에 내장형 또는 외장형일 수 있는 모뎀(1258)은 입/출력 인터페이스(1242) 또는 임의의 다른 적절한 메커니즘을 통해 시스템 버스(1208)에 연결된다. 도시된 네트워크 연결은 예시적인 것이며 컴퓨터(1202)와 컴퓨터(1250) 사이의 무선 링크를 포함한 통신 링크를 설정하는 다른 수단이 사용될 수 있다는 것을 이해할 것이다.
네트워킹 환경에서, 운영 환경(1200)에서 도시된 것과 같이, 컴퓨터(1202)와 관련하여 도시된 프로그램 모듈 또는 기타 명령어, 또는 그 일부는 원격 매체 기억 장치에 그 전체 또는 일부가 저장될 수 있다. 실례로서, 원격 애플리케이션 프로그램(1260)은 원격 컴퓨터(1250)의 메모리 컴포넌트상에 상주하지만 컴퓨터(1202)에 의해 사용가능하거나 또는 액세스가능하다. 또한, 도시의 목적을 위해, 애플리케이션 프로그램(1230) 및 운영 체제(1228)와 같은 기타 프로세서 실행가능 명령어는 본 명세서에서 독립된 블록으로 도시되어 있지만, 이러한 프로그램, 컴포넌트 및 기타 명령어가 다양한 때에 컴퓨팅 장치(1202)(및/또는 원격 컴퓨팅 장치(1250))의 다른 기억 장치 컴포넌트에 상주할 수 있고, 컴퓨터(1202)의 프로세서(1204)(및/또는 원격 컴퓨팅 장치(1250)의 프로세서)에 의해 실행될 수 있다는 것을 인식할 수 있다.
시스템, 매체, 라우터, 기기, 방법, 프로시져, 장치, 기술, API, 스킴, 어프로치, 프로시져, 구성 및 기타 구현이 구조적이고, 논리적이고, 연산적이고(algorithmic), 및 기능적인 특징 및/또는 흐름도에 고유한 언어로 기술되었지만, 첨부된 청구항에 정의된 본 발명이 설명된 특정 특징 또는 흐름도에 꼭 제한되지 않는다는 것을 이해할 것이다. 오히려, 특정 특징 및 흐름도를 청구된 발명을 구현하는 예시적인 형태로서 개시하고 있다.
본 발명의 예시적인 라우터 구현들을 통해, 자연적으로 형성된 무선 네트워크에 어느 정도의 제어 및/또는 책임을 도입하는 스킴 및/또는 기술을 도입할 수 있게 되어, 네트워크의 합법적이고 비합법적인 참가자들은 액세스를 제어하고 및/또는 보안 수단을 채용할 수 있다.
도 1은 메쉬 라우터 계층(mesh router tier) 및 단말 장치 계층(end device tier)을 포함하는 예시적인 무선 메쉬 네트워크를 도시하는 도면.
도 2는 각 메쉬 라우터가 인증서와 관련되어 있는 메쉬 라우터 계층에서의 예시적인 공개 키 기반구조(public key infrastructure;PKI)를 도시하는 도면.
도 3은 패킷 통신에 대한 메쉬 라우터 계층에서의 PKI의 예시적인 활용을 도시하는 도면.
도 4는 무선 메쉬 네트워크에 대한 예시적인 이웃 확립을 도시하는 도면.
도 5는 직무태만의 메쉬 라우터/인증서에 관한 예시적인 제외 메커니즘(exclusion mechanism)의 측면을 도시하는 도면.
도 6은 직무태만의 메쉬 라우터/인증서에 관한 예시적인 제외 메커니즘의 또 다른 측면을 도시하는 도면.
도 7은 무선 메쉬 네트워크에서 제외 기능을 구현하는 예시적인 방법을 도시하는 흐름도.
도 8은 단말 장치에 관한 예시적인 인식 메커니즘(recognition mechanism)의 측면을 도시하는 도면.
도 9는 단말 장치에 관한 예시적인 인식 메커니즘의 또 다른 측면을 도시하는 도면.
도 10은 무선 메쉬 네트워크에서 단말 장치 인식을 구현하는 예시적인 방법을 도시하는 흐름도.
도 11은 이웃간 이동(inter-neighborhood movement)에 종사하고 있는 단말 장치에 관한 또 다른 예시적인 인식 메커니즘을 도시하는 도면.
도 12는 본 명세서에 설명된 메쉬 네트워크의 적어도 한 측면을 (전체적으로 또는 부분적으로) 구현할 수 있는 예시적인 컴퓨팅 (또는 범용 장치) 운영 환경을 도시하는 도면.
<도면의 주요 부분에 대한 부호의 설명>
1202 : 컴퓨터
1204 : 처리 장치
1210 : 시스템 메모리
1208 : 시스템 버스

Claims (40)

  1. 라우터에 있어서,
    적어도 하나의 프로세서; 및
    상기 적어도 하나의 프로세서에 의해 실행될 수 있는 프로세서 실행가능 명령어를 포함하는 하나 이상의 매체
    를 포함하고,
    상기 프로세서 실행가능 명령어는 상기 라우터로 하여금,
    단말 장치로부터 다른 라우터에 의해 발행되는 적어도 하나의 인증서를 수신하는 액션;
    상기 다른 라우터가 미리 결정된 이웃의 한 멤버인지 여부를 확인하는 액션;
    상기 적어도 하나의 인증서가 유효한지 여부를 판정하는 액션; 및
    상기 다른 라우터가 미리 결정된 이웃의 한 멤버로 확인되고 상기 적어도 하나의 인증서가 유효하다고 판정된 경우, 상기 단말 장치를 서비스 레벨에 관련된 특별 허가된 상태를 지니는 것으로 인식하는 액션
    을 포함하는 액션들을 수행하게끔 하도록 적응되는 라우터.
  2. 제1항에 있어서, 상기 라우터는 단말 장치 및/또는 다른 라우터들과의 무선 통신을 가능하게 하는 무선 송수신기를 더 포함하는 라우터.
  3. 제1항에 있어서, 상기 수신 액션은,
    상기 단말 장치로부터 상기 적어도 하나의 인증서 및 상기 다른 라우터의 ID를 수신하는 액션을 포함하는 라우터.
  4. 제1항에 있어서, 상기 수신 액션은,
    상기 단말 장치로부터 상기 적어도 하나의 인증서 및 다른 인증서를 수신하는 액션을 포함하고,
    상기 다른 인증서는 상기 다른 라우터와 관련되어 있고, 상기 다른 인증서의 공개 키에 대응하는 전용 키는 상기 적어도 하나의 인증서를 서명하는 데 사용되는 라우터.
  5. 제1항에 있어서, 상기 수신 액션은,
    상기 단말 장치로부터 (i) 상기 적어도 하나의 인증서; (ii) 상기 다른 라우터와 관련되어 있고 상기 적어도 하나의 인증서를 서명한 다른 인증서; (iii) 상기 다른 라우터가 상기 미리 정해진 이웃의 한 멤버라는 것을 나타내는 멤버쉽 인증서; 및 (iv) 상기 미리 정해진 이웃의 이웃 관리자의 인증서 -상기 이웃 관리자의 인증서는 상기 멤버쉽 인증서를 서명함- 를 수신하는 액션
    을 포함하는 라우터.
  6. 제1항에 있어서, 상기 하나 이상의 매체는 상기 라우터가 또한 멤버로 있는 이웃의 멤버들인 다수의 라우터들을 나열하는 데이터 구조를 또한 포함하고;
    상기 확인하는 액션은,
    상기 데이터 구조를 액세스하는 액션; 및
    상기 다른 라우터가 상기 데이터 구조에 나열되어 있는지 여부를 점검하는 액션
    을 포함하는 라우터.
  7. 제6항에 있어서, 상기 데이터 구조는 또한 상기 라우터에 대해 확립된 각각의 공유 비밀 키들을 상기 다수의 라우터들의 적어도 일부인 각각의 라우터들에 매핑시키는 라우터.
  8. 제1항에 있어서, 상기 확인하는 액션은,
    상기 다른 라우터가 상기 미리 정해진 이웃의 한 멤버인지 여부를 확인하는 액션 -상기 미리 정해진 이웃은 상기 라우터가 또한 한 멤버로 있는 이웃을 포함함-
    을 포함하는 라우터.
  9. 제1항에 있어서, 상기 확인하는 액션은,
    상기 다른 라우터가 상기 미리 결정된 이웃의 한 멤버인지 여부를 확인하는 액션 -상기 미리 결정된 이웃은 상기 라우터가 한 멤버로 있는 이웃의 이웃 관리자에 의해 신뢰되는 이웃 관리자를 지니고 있는 이웃을 포함함-
    을 포함하는 라우터.
  10. 제1항에 있어서, 상기 판정하는 액션은,
    상기 적어도 하나의 인증서의 서명에 대해 서명 검증 프로시져를 수행하는 액션
    을 포함하는 라우터.
  11. 제1항에 있어서, 상기 판정하는 액션은,
    상기 다른 라우터와 관련되어 있는 다른 인증서로부터의 공개 키를 사용하여 상기 적어도 하나의 인증서에 대해 공개 키 동작을 수행하는 액션
    을 포함하는 라우터.
  12. 제1항에 있어서, 상기 인식하는 액션은,
    상기 단말 장치를 이웃 멤버인 상기 다른 라우터와 제휴되어 있는 것으로 인식하는 액션
    을 포함하는 라우터.
  13. 제1항에 있어서, 상기 인식하는 액션은,
    상기 단말 장치를 상기 다른 라우터와 제휴되어 있는 것으로 인식하는 액션 -상기 다른 라우터는 상기 라우터가 멤버로 있는 이웃과 상호 관계 인식을 갖는 이웃의 한 멤버임-
    을 포함하는 라우터.
  14. 제1항에 있어서, 상기 인식하는 액션은,
    상기 단말 장치에 무선 메쉬 네트워크에 대한 우선 액세스를 허가하는 액션
    을 포함하는 라우터.
  15. 제1항에 있어서, 상기 프로세서 실행가능 명령어는 상기 라우터로 하여금,
    상기 다른 라우터가 상기 미리 정해진 이웃의 한 멤버인 것이 확인되지 않거나 또는 상기 적어도 하나의 인증서가 유효하다고 판정되지 않은 경우, 상기 단말 장치에 무선 메쉬 네트워크에 대한 표준 액세스를 허가하는 액션
    을 포함하는 추가의 액션을 수행하게끔 하도록 적응되는 라우터.
  16. 제1항에 있어서, 상기 프로세서 실행가능 명령어는 상기 라우터로 하여금,
    상기 다른 라우터에 의해 인식가능한 다른 인증서를 다른 단말 장치에 발행하는 액션
    을 포함하는 추가의 액션을 수행하게끔 하도록 적응되고,
    상기 라우터 및 상기 다른 라우터는 무선 메쉬 네트워크내에서 피어인 라우터.
  17. 단말 장치 인식을 가능하게 하는 장치에 있어서,
    단말 장치로부터 적어도 하나의 인증서를 수신하는 수신 수단 -상기 적어도 하나의 인증서는 상기 단말 장치가 제휴되어 있는 라우터에 의해 상기 단말 장치에 대해 발행됨;
    상기 라우터가 미리 결정된 이웃의 한 멤버인지 여부를 확인하는 확인 수단;
    상기 적어도 하나의 인증서가 유효한지 여부를 판정하는 판정 수단; 및
    상기 단말 장치를 상기 확인 수단 및 상기 판정 수단에 응답하여 특별 허가된 상태를 지니는 것으로 인식하는 인식 수단
    을 포함하는 장치.
  18. 제17항에 있어서, 상기 인식 수단은, 상기 확인 수단이 상기 라우터가 상기 미리 결정된 이웃의 한 멤버라는 것을 확인하고 상기 판정 수단이 상기 적어도 하나의 인증서가 유효하다는 것을 판정하는 경우, 상기 단말 장치를 상기 특별 허가된 상태를 지니는 것으로 인식하도록 적응되는 장치.
  19. 제17항에 있어서, 상기 인식 수단은 상기 확인 수단 및 상기 판정 수단에 응답하여 상기 단말 장치에 우선 액세스를 허가하는 수단을 포함하는 장치.
  20. 제17항에 있어서, 상기 확인 수단은,
    이웃 멤버들을 저장하는 데이터 구조 수단; 및
    상기 라우터가 상기 데이터 구조 수단에 나열되는지 여부를 점검하는 액세스 수단
    을 포함하는 장치.
  21. 제17항에 있어서, 상기 확인 수단은,
    신뢰되는 이웃 관리자들을 저장하는 데이터 구조 수단; 및
    멤버쉽 인증서에 의해 표시된, 상기 라우터의 이웃 관리자가 상기 데이터 구조 수단에 나열되어 있는지 여부를 점검하는 액세스 수단
    을 포함하는 장치.
  22. 제17항에 있어서, 상기 판정 수단은,
    상기 적어도 하나의 인증서의 서명에 대해 서명 검증 프로시져를 수행하는 검증 수단
    을 포함하는 장치.
  23. 제17항에 있어서, 상기 판정 수단은,
    상기 단말 장치가 제휴되어 있는 상기 라우터와 관련된 다른 인증서로부터의 공개 키를 사용하여 상기 적어도 하나의 인증서에 대해 공개 키 동작을 수행하는 동작 수단
    을 포함하는 장치.
  24. 제17항에 있어서, 상기 장치는 (i) 메쉬 라우터 및 (ii) 하나 이상의 프로세서 액세스가능 매체 중 적어도 하나를 포함하는 장치.
  25. 메쉬 라우터에 있어서,
    무선 링크를 통해 단말 장치와 접속을 확립하는 액션;
    상기 단말 장치로부터 서명을 지닌 적어도 하나의 인증서를 수신하는 액션;
    상기 적어도 하나의 인증서의 서명에 대해 서명 검증 프로시져를 수행하는 액션;
    상기 서명 검증 프로시져가 성공적일 경우, 상기 단말 장치에 우선 액세스를 허가하는 액션; 및
    상기 서명 검증 프로시져가 실패할 경우, 상기 단말 장치에 표준 액세스를 허가하는 액션
    을 포함하는 액션들을 수행하도록 구성된 메쉬 라우터.
  26. 제25항에 있어서,
    상기 단말 장치에 대해 상기 적어도 하나의 인증서를 발행한 다른 메쉬 라우터의 ID를 수신하는 액션; 및
    상기 ID와 관련하여, 상기 적어도 하나의 인증서를 발행한 상기 다른 메쉬 라우터가, 상기 메쉬 라우터가 또한 한 멤버로 있는 이웃의 한 멤버인지 여부를 확인하는 액션
    을 포함하는 추가의 액션을 수행하도록 구성된 메쉬 라우터.
  27. 제25항에 있어서, 상기 수신 액션은,
    상기 적어도 하나의 인증서 및 다른 인증서를 수신하는 액션을 포함하고,
    상기 적어도 하나의 인증서는 상기 단말 장치와 관련되어 있고, 상기 다른 인증서는 다른 메쉬 라우터와 관련되어 있는 메쉬 라우터.
  28. 제25항에 있어서, 상기 수신 액션은,
    상기 단말 장치로부터 상기 적어도 하나의 인증서를 수신하는 액션을 포함하고,
    상기 적어도 하나의 인증서는 상기 단말 장치와 관련되어 있고, 상기 서명은 다른 메쉬 라우터와 관련되어 있는 전용 키를 사용하여 전용 키 동작의 결과인 메쉬 라우터.
  29. 다른 메쉬 라우터들과 무선 메쉬 네트워크를 확립할 수 있는 메쉬 라우터에 있어서,
    또한, 이웃 관리자 메쉬 라우터를 지명할 수 있고;
    특정 메쉬 라우터가 상기 지명된 관리자 메쉬 라우터의 이웃의 한 멤버인 경우, 상기 특정 메쉬 라우터에 의해 발행된 특정 인증서와 관련되어 있는 특정 단말 장치에 특별 허가된 상태를 허가하도록 적응되는
    메쉬 라우터.
  30. 제29항에 있어서, 상기 특정 단말 장치와 관련된 상기 특정 인증서는,
    (i) 상기 특정 단말 장치의 이름,
    (ii) 상기 특정 단말 장치와 관련되어 있는 공개-전용 키 쌍의 공개 키,
    (iii) 상기 특정 메쉬 라우터와 관련되어 있는 공개-전용 키 쌍의 전용 키에 의해 서명된 서명
    을 포함하는 메쉬 라우터.
  31. 제29항에 있어서, 상기 메쉬 라우터는, 상기 메쉬 라우터가 노드를 형성하는 상기 무선 메쉬 네트워크에 관해서 상기 특정 단말 장치에 우선 액세스를 허가하도록 또한 적응되는 메쉬 라우터.
  32. 제29항에 있어서, 상기 메쉬 라우터는, 상기 메쉬 라우터에 피어이고 미리 결정된 이웃의 멤버들인 상기 다른 메쉬 라우터들에 의해 단말 장치들에 계층적으로 발행되어온 인증서들을 인식하도록 또한 적응되는 메쉬 라우터.
  33. 제32항에 있어서, 상기 미리 결정된 이웃은 (i) 상기 지명된 이웃 관리자 메쉬 라우터의 이웃 및 (ii) 신뢰되는 이웃 관리자 메쉬 라우터를 갖는 이웃 둘 중 적어도 하나를 포함하는 메쉬 라우터.
  34. 제29항에 있어서, 상기 메쉬 라우터는, 소정의 메쉬 라우터가 신뢰되는 이웃 관리자 메쉬 라우터를 갖는 이웃의 한 멤버인 경우, 상기 소정의 메쉬 라우터에 의해 발행된 소정의 인증서와 관련된 소정의 단말 장치에 특별 허가된 상태를 허가하도록 또한 적응되는 메쉬 라우터.
  35. 단말 장치 인식을 가능하게 하는 방법에 있어서,
    단말 장치로부터 특정 라우터에 의해 발행된 적어도 하나의 인증서를 수신하는 단계;
    상기 특정 라우터가 미리 결정된 이웃의 한 멤버인지 여부를 확인하는 단계;
    상기 특정 라우터가 상기 미리 결정된 이웃의 한 멤버가 아닌 경우, 표준 액세스를 상기 단말 장치에 허가하는 단계;
    상기 특정 라우터가 상기 미리 결정된 이웃의 한 멤버인 경우, 상기 적어도 하나의 인증서가 유효인지 여부를 판정하는 단계; 및
    상기 적어도 하나의 인증서가 유효한 경우, 상기 단말 장치를 특별 허가된 상태를 지니는 단말 장치로 인식하는 단계
    를 포함하는 방법.
  36. 제35항에 있어서,
    상기 특정 라우터에 의해, 상기 특정 라우터의 전용 키를 사용하여 상기 적어도 하나의 인증서를 서명하는 단계; 및
    상기 특정 라우터에 의해, 상기 적어도 하나의 인증서를 상기 단말 장치에 대해 발행하는 단계
    를 더 포함하는 방법.
  37. 제35항에 있어서,
    상기 단말 장치에 의해 이웃 라우터로 접속하는 단계; 및
    상기 단말 장치에 의해 상기 적어도 하나의 인증서 및 상기 특정 라우터의 인증서를 상기 이웃 라우터에게 제공하는 단계
    를 더 포함하고,
    상기 이웃 라우터는 상기 수신, 확인, 판정 및 인식 단계를 수행하는 방법.
  38. 실행 시, 라우터로 하여금 제35항의 상기 방법을 수행하게끔 하도록 하는 프로세서 실행가능 명령어들을 포함하는 하나 이상의 프로세서 액세스가능 매체.
  39. 제35항에 있어서, 상기 확인 단계는,
    (i) 동일한 이웃의 멤버들인 라우터들 및 (ii) 신뢰되는 이웃 관리자들 둘 중 적어도 하나를 나열하는 데이터 구조를 액세스하는 단계를 포함하는 방법.
  40. 제35항에 있어서, 상기 확인 단계는,
    상기 특정 라우터가 소정의 이웃 관리자를 갖는 이웃의 한 멤버라는 것을 나타내는 멤버쉽 인증서에 관련하여 신뢰되는 이웃 관리자를 나열하는 데이터 구조를 액세스하는 단계
    를 포함하는 방법.
KR1020040094551A 2003-12-17 2004-11-18 단말 장치를 인식하는 장치 및 방법과 메쉬 라우터 KR101117829B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/738,802 US7489645B2 (en) 2003-12-17 2003-12-17 Mesh networks with end device recognition
US10/738,802 2003-12-17

Publications (2)

Publication Number Publication Date
KR20050061292A true KR20050061292A (ko) 2005-06-22
KR101117829B1 KR101117829B1 (ko) 2012-03-20

Family

ID=34523180

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020040094551A KR101117829B1 (ko) 2003-12-17 2004-11-18 단말 장치를 인식하는 장치 및 방법과 메쉬 라우터

Country Status (7)

Country Link
US (1) US7489645B2 (ko)
EP (1) EP1545074B1 (ko)
JP (1) JP4714459B2 (ko)
KR (1) KR101117829B1 (ko)
CN (1) CN100592705C (ko)
AT (1) ATE399419T1 (ko)
DE (1) DE602004014582D1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100808339B1 (ko) * 2006-11-23 2008-02-27 엘지노텔 주식회사 메시 네트워크 내에서 액세스 포인트 장치 및 핸드 오프방법
KR101278745B1 (ko) * 2005-06-23 2013-06-25 마이크로소프트 코포레이션 Nfc를 이용한 장치들의 무선 접속 권한 설정

Families Citing this family (31)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050138365A1 (en) * 2003-12-19 2005-06-23 Bellipady Guruprashanth A. Mobile device and method for providing certificate based cryptography
US7626944B1 (en) * 2004-03-31 2009-12-01 Packeteer, Inc. Methods, apparatuses and systems facilitating remote, automated deployment of network devices
US20070179426A1 (en) * 2004-05-11 2007-08-02 Selden Nathan R Interfacial stent and method of maintaining patency of surgical fenestrations
US7626967B2 (en) * 2005-01-05 2009-12-01 Intel Corporation Methods and apparatus for providing a transparent bridge associated with a wireless mesh network
US11733958B2 (en) * 2005-05-05 2023-08-22 Iii Holdings 1, Llc Wireless mesh-enabled system, host device, and method for use therewith
JP4730735B2 (ja) * 2005-09-07 2011-07-20 株式会社エヌ・ティ・ティ・ドコモ 安全なアドホックネットワークを構成するデバイスおよび認証方法並びに認証プログラム
EP2041910A4 (en) * 2006-07-06 2013-05-22 Apple Inc WIRELESS ACCESS POINT SECURITY FOR MULTIHOP NETWORKS
US20080065890A1 (en) * 2006-09-11 2008-03-13 Motorola, Inc. Secure support for hop-by-hop encrypted messaging
KR101018911B1 (ko) * 2006-09-18 2011-03-02 인텔 코오퍼레이션 무선 메쉬 네트워크에서의 보안 정책 교섭을 위한 기술
CN101222331B (zh) * 2007-01-09 2013-04-24 华为技术有限公司 一种认证服务器及网状网中双向认证的方法及系统
US8000334B2 (en) * 2007-01-11 2011-08-16 Sprint Spectrum L.P. Methods and improvements for joining wireless mesh networks
US7729278B2 (en) * 2007-02-14 2010-06-01 Tropos Networks, Inc. Wireless routing based on data packet classifications
US8244249B1 (en) 2007-03-09 2012-08-14 Sprint Spectrum L.P. Methods and systems for a mesh-network takeover
US8130747B2 (en) 2007-08-06 2012-03-06 Blue Coat Systems, Inc. System and method of traffic inspection and stateful connection forwarding among geographically dispersed network appliances organized as clusters
JP4881813B2 (ja) * 2007-08-10 2012-02-22 キヤノン株式会社 通信装置、通信装置の通信方法、プログラム、記憶媒体
US8280057B2 (en) 2007-09-04 2012-10-02 Honeywell International Inc. Method and apparatus for providing security in wireless communication networks
CN101772124B (zh) * 2008-12-30 2013-01-30 瑞昱半导体股份有限公司 无线网络
US8964634B2 (en) * 2009-02-06 2015-02-24 Sony Corporation Wireless home mesh network bridging adaptor
AU2013230989B2 (en) * 2012-03-07 2015-12-03 Google Technology Holdings LLC Policy for secure packet transmission using required node paths and cryptographic signatures
US9596613B2 (en) * 2013-05-30 2017-03-14 Wistron Neweb Corporation Method of establishing smart architecture cell mesh (SACM) network
US9531704B2 (en) * 2013-06-25 2016-12-27 Google Inc. Efficient network layer for IPv6 protocol
CN104901930A (zh) * 2014-04-21 2015-09-09 孟俊 一种基于cpk标识认证的可追溯网络行为管理方法
US10313349B2 (en) * 2014-07-31 2019-06-04 Hewlett Packard Enterprise Development Lp Service request modification
CN107239474B (zh) * 2016-03-29 2021-05-04 创新先进技术有限公司 一种数据记录方法及装置
US10362612B2 (en) * 2017-03-06 2019-07-23 Citrix Systems, Inc. Virtual private networking based on peer-to-peer communication
US10749692B2 (en) 2017-05-05 2020-08-18 Honeywell International Inc. Automated certificate enrollment for devices in industrial control systems or other systems
US10791118B2 (en) * 2018-03-29 2020-09-29 Mcafee, Llc Authenticating network services provided by a network
KR102114992B1 (ko) 2018-04-25 2020-05-25 (주)휴맥스 무선 통신 장비 및 무선 통신 장비의 메쉬 네트워크 구성 방법
JP7204534B2 (ja) * 2019-03-04 2023-01-16 株式会社東芝 通信システム
DE102019216533A1 (de) * 2019-10-28 2021-04-29 Robert Bosch Gmbh System, maschine, verfahren zur konfiguration eines systems und verfahren zum betrieb einer maschine
JP2022135723A (ja) * 2021-03-05 2022-09-15 株式会社Free-D メッシュネットワークシステム

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0758771A (ja) * 1993-08-12 1995-03-03 Sharp Corp アドレス管理装置
US6397329B1 (en) 1997-11-21 2002-05-28 Telcordia Technologies, Inc. Method for efficiently revoking digital identities
US6389532B1 (en) 1998-04-20 2002-05-14 Sun Microsystems, Inc. Method and apparatus for using digital signatures to filter packets in a network
US6425004B1 (en) 1999-02-24 2002-07-23 Nortel Networks Limited Detecting and locating a misbehaving device in a network domain
US6853988B1 (en) * 1999-09-20 2005-02-08 Security First Corporation Cryptographic server with provisions for interoperability between cryptographic systems
EP1102430A1 (en) * 1999-10-27 2001-05-23 Telefonaktiebolaget Lm Ericsson Method and arrangement in an ad hoc communication network
US6571221B1 (en) * 1999-11-03 2003-05-27 Wayport, Inc. Network communication service with an improved subscriber model using digital certificates
US6917985B2 (en) 2000-03-10 2005-07-12 The Regents Of The University Of California Core assisted mesh protocol for multicast routing in ad-hoc Networks
US20020022483A1 (en) * 2000-04-18 2002-02-21 Wayport, Inc. Distributed network communication system which allows multiple wireless service providers to share a common network infrastructure
JP2001313979A (ja) * 2000-04-28 2001-11-09 Oki Electric Ind Co Ltd 移動端末接続方法
US7047409B1 (en) 2000-06-09 2006-05-16 Northrop Grumman Corporation Automated tracking of certificate pedigree
US20020053020A1 (en) 2000-06-30 2002-05-02 Raytheon Company Secure compartmented mode knowledge management portal
JP2002125270A (ja) * 2000-10-18 2002-04-26 Oki Electric Ind Co Ltd 移動端末接続方法
DE60219431T2 (de) * 2001-02-06 2007-12-13 Certicom Corp., Mississauga Mobile zertifikatverteilung in einer infrastruktur mit öffentlichem schlüssel
US7096359B2 (en) * 2001-03-01 2006-08-22 University Of Cincinnati Authentication scheme for ad hoc and sensor wireless networks
GB2385955A (en) * 2002-02-28 2003-09-03 Ibm Key certification using certificate chains
JP3931710B2 (ja) * 2002-03-22 2007-06-20 ヤマハ株式会社 サーバ装置、通信端末装置、配信システム及び配信プログラム
US6879574B2 (en) 2002-06-24 2005-04-12 Nokia Corporation Mobile mesh Ad-Hoc networking
US7934263B2 (en) 2002-12-17 2011-04-26 Sony Pictures Entertainment Inc. License management in a media network environment
FI20030429A0 (fi) 2003-03-24 2003-03-24 Nokia Corp Ryhmäliikennöinti matkaviestinverkossa

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101278745B1 (ko) * 2005-06-23 2013-06-25 마이크로소프트 코포레이션 Nfc를 이용한 장치들의 무선 접속 권한 설정
KR100808339B1 (ko) * 2006-11-23 2008-02-27 엘지노텔 주식회사 메시 네트워크 내에서 액세스 포인트 장치 및 핸드 오프방법

Also Published As

Publication number Publication date
US20050135268A1 (en) 2005-06-23
EP1545074A1 (en) 2005-06-22
JP2005184835A (ja) 2005-07-07
KR101117829B1 (ko) 2012-03-20
US7489645B2 (en) 2009-02-10
EP1545074B1 (en) 2008-06-25
ATE399419T1 (de) 2008-07-15
JP4714459B2 (ja) 2011-06-29
CN1630269A (zh) 2005-06-22
DE602004014582D1 (de) 2008-08-07
CN100592705C (zh) 2010-02-24

Similar Documents

Publication Publication Date Title
KR101117829B1 (ko) 단말 장치를 인식하는 장치 및 방법과 메쉬 라우터
JP4738808B2 (ja) 排除機能を備えるメッシュネットワーク
EP3308520B1 (en) System, apparatus and method for managing lifecycle of secure publish-subscribe system
JP4808348B2 (ja) 通信ネットワークにおける配列と方式
EP2269361B1 (en) Method and device for dynamic deployment of trust bridges in an ad hoc wireless network
Oulhaci et al. Secure and distributed certification system architecture for safety message authentication in VANET
JP2022528359A (ja) ブロックチェーン及びDICE-RIoTを使用したデバイスのリモート管理
Zhou et al. Towards fine-grained access control in enterprise-scale Internet-of-Things
Kousar et al. A Secure Data Dissemination in a DHT‐Based Routing Paradigm for Wireless Ad Hoc Network
Graarud Implementing a secure ad hoc network
Candolin A security framework for service oriented architectures
Frantti et al. Requirements of secure wsn-mcn edge router
Gupta et al. A Secure Hybrid and Robust Zone Based Routing Protocol for Mobile Ad Hoc Networks
Alasiri A Taxonomy of Security Features for the Comparison of Home Automation Protocols
Chandrakant et al. Restricting the admission of selfish or malicious nodes into the network by using efficient security services in middleware for MANETs
Joby et al. A localised clustering scheme to detect attacks in wireless sensor network
Kumar et al. A Systematic Survey on VANET: Routing Protocols, Harmful Attacks, and Security
El-Dalahmeh et al. A Critical Review of Software Defined Networks Enabled Vehicular Ad Hoc Network
Al-Gburi Towards an Architecture for Secure Privacy-preserving Opportunistic Resource Utilization Networks
Apolinarski System Support for Security and Privacy in Pervasive Computing
Sibilio Formal methods for wireless systems
Li et al. MOSAR: A Secure On-demand Routing Protocol for Mobile Multilevel Ad Hoc Networks
Alotaibi Stability of secure routing protocol in ad hoc wireless network.
Sain Survey of Secure Communication Techniques in Mobile Ad-hoc Network
Rohner Security Bootstrapping for Networked Devices

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee