KR20070103735A - 복수의 pana 세션 - Google Patents
복수의 pana 세션 Download PDFInfo
- Publication number
- KR20070103735A KR20070103735A KR1020077012206A KR20077012206A KR20070103735A KR 20070103735 A KR20070103735 A KR 20070103735A KR 1020077012206 A KR1020077012206 A KR 1020077012206A KR 20077012206 A KR20077012206 A KR 20077012206A KR 20070103735 A KR20070103735 A KR 20070103735A
- Authority
- KR
- South Korea
- Prior art keywords
- pana
- pac
- authentication
- session
- paa
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/062—Pre-authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
바람직한 실시예들은 전체 인증 지연을 줄이기 위해 2개의 EAP를 동시에 실행하는 단계를 포함하는 네트워크를 이용한 모바일 노드의 인증 지연을 줄이기 위한 새로운 시스템 및 방법을 제공한다. 몇몇 실시예에서, 2개의 EAP 실행 단계는 PaC의 특정 디바이스 식별자를 인증하기 위하여 이용된다. 몇몇 예시적인 실시예에서, 2개의 EAP 실행 단계는 복수의 ISP를 동시에 연결하는 것에 관하여 PaC의 특정 디바이스 식별자를 인증하기 위하여 이용된다.
EAP, 인증 지연, 네트워크, 모바일 노드, 디바이스 식별자,
Description
본 출원은 무선 네트워킹에 관한 것으로서, 일부 바람직한 실시예에서는 복수의 PANA 세션을 무선 네트워크 등에 실행하기 위한 시스템 및 방법에 관한 것이다.
Yoshihiro Ohba 등이 "Serving Network Selection And Multihoming Using IP Access Network"의 명칭으로 2004년 1월 22에 출원한 미국특허 출원번호 10/761,347호(대리인 정리번호 3119-102)의 전반적인 내용이 본 명세서에 참조로서 포함된다. 추가로, 다음 문헌들의 전반적인 내용은 본 발명에 대한 배경기술로 본 명세서에 참조로서 그대로 포함된다.
1. D. Forsberg, et al., "Protocol for Carrying Authentication for Network Access (PANA)", draft-ietf-pana-pana, work in progress, June 2003.
2. S. Deering, "ICMP Router Discovery Messages", RFC 1256, September 1991.
3. T. Narten, et al., "Neighbor Discovery for IP Version 6 (IPv6)", RFC 2461, December 1998.
4. D. Harkins and D. Carrel, "The Internet Key Exchange (IKE)", RFC 2409, November 1998.
5. C. Kaufman, "Internet Key Exchange (IKEv2) Protocol", draft-ietf-ipsec-ikev2, work in progress, October 2003.
6. L. Blunk and J. Vollbrecht, "PPP Extensible Authentication Protocol (EAP)", RFC 2284, March 1998.
7. B. Aboba, et al., "EAP Key Management Framework", draft-ietf-eap-keying, work in progress, October 2003.
8. M. Parthasarathy, "PANA enabling IPsec based Access Control", draft-ietf-pana-ipsec, work in progress, October 2003.
9. Troan and R. Droms, "IPv6 Prefix Options for DHCPv6", draft-ietf-dhc-dhcpv6-opt-prefix-delegation, work in progress, October 2003.
10. C. Perkins, "IP Mobility Support for IPv4", RFC 3344, August 2002.
11. D. Johnson, et al., "Mobility Support in IPv6", draft-ietf-mobileip-ipv6, work in progress.
일반적인 배경기술 논의:
네트워크 및 인터넷 프로토콜:
수많은 타입의 컴퓨터 네트워크가 존재하고, 인터넷이 가장 유명하다. 인터넷은 컴퓨터 네트워크의 전 세계적인 네트워크이다. 오늘날, 인터넷은 수백만의 유저가 이용할 수 있는 대중적이고 자립적인 네트워크이다. 인터넷은 TCP/IP(즉, Transmission Control Protocol/Internet Protocol)로 부르는 통신 프로토콜의 세 트를 이용하여 호스트를 연결한다. 인터넷에는 인터넷 백본으로 알려진 통신 기반구조가 있다. 인터넷 백본에 대한 액세스는 회사 및 개인에 대한 액세스를 전매하는 인터넷 서비스 공급자(ISP: Internet Service Provider)가 주로 제어한다.
IP(Internet Protocol)는 데이터를 한 디바이스(예컨대, 전화, PDA[Personal Digital Assistant], 컴퓨터 등)로부터 네트워크상의 또 다른 디바이스로 송신할 수 있는 프로토콜이다. 오늘날, 예를 들어 IPv4, IPv6 등을 포함하는 다양한 버전의 IP가 존재한다. 네트워크상의 각 호스트 디바이스에는 그 디바이스의 유일한 식별자인 적어도 하나의 IP 어드레스가 있다.
IP는 비연결지향 프로토콜이다. 통신 중인 엔드 포인트(end point) 간의 연결은 연속적이지 않다. 유저가 데이터 또는 메시지를 송신 또는 수신하는 경우, 데이터 또는 메시지는 패킷으로 알려진 구성요소 분리된다. 각 패킷은 데이터의 독립 유닛으로서 간주한다.
인터넷 또는 유사한 네트워크를 통한 포인트 간의 전송을 표준화하기 위하여, OSI(Open Systems Interconnection) 모델이 제정되었다. OSI 모델은 네트워크에 있는 2개 포인트 간의 통신 프로세스를 7개의 스택형 계층으로 분리하는데, 각 계층은 그 계층 고유의 기능 세트를 부가한다. 각 디바이스가 메시지를 처리하므로, 송신 엔드 포인트에서는 각 계층을 통한 하향 흐름이 존재하고, 수신 엔드 포인트에서는 그 계층들을 통한 상향 흐름이 존재한다. 기능의 7개 계층을 제공하는 프로그래밍 및/또는 하드웨어는 통상적으로 디바이스 오퍼레이팅 시스템, 애플리케이션 소프트웨어, TCP/IP 및/또는 다른 전송 및 네트워크 프로토콜 그리고 다른 소 프트웨어 및 하드웨어의 조합이다.
일반적으로, 상위 4개 계층은 메시지가 유저로부터/에게 전해지는 경우에 이용되고, 하위 3개 계층은 메시지가 디바이스(예컨대, IP 호스트 디바이스)를 통해 전해지는 경우에 이용된다. IP 호스트는 IP 패킷을 전송 및 수신할 수 있는 네트워크상의 디바이스, 예컨대 서버, 라우터 또는 워크스테이션이다. 일부 다른 호스트로 향하는 메시지는 상위 계층까지 전해지지 않고, 그 다른 호스트에 전달된다. OSI 및 다른 유사한 모델에서 IP는 Layer-3, 네트워크 계층이다.
무선 네트워크:
무선 네트워크는 다양한 타입의 모바일 디바이스, 예컨대 셀룰러 및 무선전화, PC(personal computer), 랩톱 컴퓨터, 입는 컴퓨터, 코드리스 폰, 무선 호출기, 헤드셋, 프린터, PDA 등을 포함할 수 있다. 예를 들어, 모바일 디바이스는 음성 및/또는 데이터의 고속 무선 전송을 안전하게 하는 디지털 시스템을 포함할 수도 있다. 통상적인 모바일 디바이스는 다음의 컴포넌트 중 일부 또는 전부를 포함한다: 송수신기(즉, 전송기 및 수신기로서, 예를 들어 통합된 전송기, 수신기 그리고 원한다면 다른 기능을 구비한 단일 칩 송수신기를 포함함); 안테나; 프로세서; 하나 이상의 오디오 트랜스듀서(예를 들어, 오디오 통신을 위한 디바이스 내의 스피커 또는 마이크로폰); 전자기 데이터 스토리지(예컨대, 데이터 프로세싱이 제공되는 디바이스 내의 ROM, RAM, 디지털 데이터 스토리지 등); 메모리; 플래시 메모리; 풀 칩 세트 또는 집적 회로; 인터페이스(예컨대, USB, CODEC, UART, PCM 등); 등.
모바일 유저가 무선 연결을 통해 LAN(local area network)에 연결할 수 있는 무선 LAN(WLAN)이 무선 통신을 위하여 사용될 수도 있다. 무선 통신은 예를 들어 전자기파, 예컨대 광, 적외선, 라디오, 마이크로파를 통해 전파되는 통신을 포함할 수 있다. 현재 존재하는 다양한 WLAN 표준, 예컨대 블루투스, IEEE 802.11 및 HomeRF가 존재한다.
예로서, 블루투스 제품은 모바일 컴퓨터, 모바일 폰, 휴대용 핸드헬드 디바이스, PDA(personal digital assistant) 및 다른 모바일 디바이스 간의 링크 그리고 인터넷으로의 연결성을 제공하는 데 사용될 수도 있다. 블루투스는 모바일 디바이스가 서로 간에 그리고 근거리 무선 연결을 이용하는 비모바일 디바이스와 어떻게 용이하게 상호연결할 수 있는지를 설명하는 컴퓨팅 및 전기통신 산업 사양이다. 블루투스는 데이터를 한 디바이스로부터 또 다른 디바이스에 이르기까지 동기화 및 일관성 있게 유지할 필요가 있는 다양한 모바일 디바이스의 급증으로부터 발생하는 엔드-유저 과제를 처리하는 디지털 무선 프로토콜을 생성하고, 이로 인해 상이한 공급자로부터의 장비가 서로 한결같이 동작할 수 있다. 블루투스 디바이스는 공통 네이밍 개념에 따라 이름지을 수도 있다. 예를 들어, 블루투스 디바이스는 블루투스 디바이스 명칭(BDN; Bluetooth Device Name) 또는 유일한 블루투스 디바이스 어드레스(BDA: Bluetooth Device Address)와 관련된 명칭을 소유할 수도 있다. 또한, 블루투스 디바이스는 인터넷 프로토콜(IP) 네트워크에 관여할 수도 있다. 블루투스 디바이스가 IP 네트워크상에서 기능하는 경우에는 IP 어드레스 및 IP (네트워크) 명칭이 제공될 수도 있다. 따라서, IP 네트워크에 관여하도록 구성 된 블루투스 디바이스는 예컨대 BDN, BDA, IP 어드레스 및 IP 명칭을 소유할 수도 있다. 용어 "IP 명칭"은 인터페이스의 IP 어드레스에 대응하는 명칭을 의미한다.
IEEE 표준, IEEE 802.11은 무선 LAN 및 디바이스를 위한 기술을 설명한다. 802.11을 이용하면, 무선 네트워킹은 복수의 디바이스를 지원하는 각 단일 기지국과 이루어질 수도 있다. 몇몇 예에서, 디바이스는 무선 하드웨어를 미리 갖출 수도 있고, 또는 유저가 안테나를 포함할 수도 있는 카드와 같은 하드웨어를 개별적으로 설치할 수도 있다. 예로서, 802.11에서 이용되는 디바이스는 그 디바이스가 액세스 포인트(AP), 이동국(STA), 브리지, PCMCIA 카드 또는 또 다른 디바이스이든지에 상관없이 통상적으로 3개의 중요한 구성요소를 포함한다: 라디오 송수신기; 안테나; 네트워크에 있는 포인트 간의 패킷 흐름을 제어하는 미디어 액세스 제어(MAC: Media Access Control) 계층.
추가로, 다중 인터페이스 디바이스(MID: Multiple Interface Device)가 몇몇 무선 네트워크에 사용될 수도 있다. MID는 블루투스 인터페이스 및 802.11 인터페이스와 같은 2개의 독립 네트워크 인터페이스를 포함할 수도 있고, 이로 인해 MID는 2개의 개별 네트워크에 관여할 뿐만 아니라 블루투스 디바이스와 인터페이스할 수 있다. MID에는 IP 어드레스 및 그 IP 어드레스와 관련된 공통 IP (네트워크) 명칭이 있을 수도 있다.
무선 네트워크 디바이스는 블루투스 디바이스, 다중 인터페이스 디바이스(MID), 802.11x 디바이스(예컨대, 802.11a, 802.11b 및 802.11g 디바이스를 포함하는 IEEE 802.11 디바이스), HomeRF(Home Radio Frequency) 디바이스, Wi- Fi(Wireless Fidelity) 디바이스, GPRS(General Packet Radio Service) 디바이스, 3G 셀룰러 디바이스, 205G 셀룰러 디바이스, GSM(Global System for Mobile Communications) 디바이스, EDGE(Enhanced Data for GSM Evolution) 디바이스, TDMA 타입(Time Division Multiple Access) 디바이스 또는 CDMA 2000을 포함하는 CDMA 타입(Code Division Multiple Access) 디바이스를 포함할 수도 있지만, 이에 한정하지 않는다. 각 네트워크 디바이스는 IP 어드레스, 블루투스 디바이스 어드레스, 블루투스 공통 명칭, 블루투스 IP 어드레스, 블루투스 IP 공통 명칭, 802.11 IP 어드레스, 802.11 IP 공통 명칭 또는 IEEE MAC 어드레스를 포함하는 다양한 타입의 어드레스를 포함할 수도 있지만, 이에 한정하지 않는다.
또한, 무선 네트워크는 예컨대 모바일 IP(Internet Protocol) 시스템, PCS 시스템 및 다른 모바일 네트워크 시스템에서 발견되는 방법 및 프로토콜을 포함할 수 있다. 모바일 IP는 IETF(Internet Engineering Task Force)가 만드는 표준 통신 프로토콜을 포함한다. 모바일 IP를 이용하면, 모바일 디바이스 유저는 한번 할당된 모바일 디바이스 유저의 IP 어드레스를 유지하면서 네트워크 전역을 이동할 수 있다. RFC(Request for Comments) 3344. NB를 참조: RFC는 IETF의 정식 문헌이다. 모바일 IP는 인터넷 프로토콜(IP)을 강화하고, 모바일 디바이스의 홈 네트워크 외부에서 연결하는 경우에는 인터넷 트래픽을 모바일 디바이스에 전달하는 수단을 부가한다. 모바일 IP는 각 모바일 노드의 홈 네트워크상의 홈 어드레스 및 네트워크와 그 서브네트 내에 있는 디바이스의 현재 위치를 식별하는 CoA(care-of-address)를 각 모바일 노드에 할당한다. 디바이스가 상이한 네트워크로 이동하는 경우, 그 디바이스는 새로운 CoA를 수신한다. 홈 네트워크상의 이동성 에이전트는 각 홈 어드레스를 홈 네트워크의 CoA와 관련시킬 수 있다. 모바일 노드는 CoA를 변경할 때마다, 예컨대 인터넷 제어 메시지 프로토콜(ICMP: Internet Control Message Protocol)을 이용하여 바인딩 업데이트를 홈 에이전트에 송신할 수 있다.
기본 IP 라우팅(즉, 외부 모바일 IP)에서, 통상적으로 라우팅 메커니즘은 각 네트워크 노드가 예컨대 인터넷에 대한 일정한 접속 포인트(attachment point)를 항상 구비하고, 각 노드의 IP 어드레스는 그 어드레스가 소속되는 네트워크 링크를 식별한다는 가정에 의존한다. 이 문헌에서, "노드"라는 용어는 예컨대 데이터 전송을 위한 재분배 포인트 또는 엔드 포인트를 포함할 수 있고, 다른 노드로의 통신을 인지, 처리 및/또는 전달할 수 있는 연결 포인트를 포함한다. 예를 들어, 인터넷 라우터는 디바이스의 네트워크를 식별하는 예컨대 IP 어드레스 프리픽스 등을 조사할 수 있다. 다음으로, 네트워크 레벨에서 라우터는 예컨대 특정 서브네트를 식별하는 비트의 세트를 조사할 수 있다. 그 다음, 서브네트 레벨에서 라우터는 예컨대 특정 디바이스를 식별하는 비트의 세트를 조사할 수 있다. 통상적인 모바일 IP 통신 시, 유저가 예컨대 인터넷으로부터 모바일 디바이스의 연결을 끊고, 새로운 서브네트에서 모바일 디바이스를 재연결하려고 시도하는 경우, 그 디바이스는 새로운 IP 어드레스, 적당한 넷마스크 및 디폴트 라우터로 재구성해야 한다. 재구성하지 않는 경우, 라우팅 프로토콜은 패킷을 적당하게 전달할 수 없다.
미디어-독립 사전-인증:
미디어-독립 사전-인증(MPA: Media-independent Pre-Authentication)은 어떤 링크 계층을 조사하고, 어떤 이동성 관리 프로토콜과 작용하는 모바일 보조 안전 핸드오버 최적화 방식이다. MPA를 이용하면, 모바일 노드는 후보 타깃 네트워크(CTN: Candidate Target Network)를 위한 IP 어드레스 및 다른 구성 파라미터를 안전하게 얻을 수 있을 뿐만 아니라, 모바일 노드가 그 얻은 IP 어드레스를 사용하는 IP 패킷을 송신 및 수신한 후 CTN에 실질적으로 소속될 수 있다. 이는 모바일 노드가 어떤 이동성 관리 프로토콜의 바인딩 업데이트를 완료하고, 링크 계층에서 핸드오버를 실행하기 전에 새로운 CoA를 사용하는 것을 가능하게 한다.
MPA는 어떤 링크 계층을 조사하고, Mobile IPv4, Mobile IPv6, MOBIKE, HIP, SIP 이동성 등을 포함하는 어떤 이동성 관리 프로토콜과 작용한다. MPA에서, IEEE 802.11i 사전-인증의 개념은 상위 계층에서 작용하도록 확장되고, 모바일 단말이 이동할 수도 있는 네트워크로부터의 IP 어드레스의 빠른 획득뿐만 아니라 그 모바일 단말이 현재 네트워크에 여전히 소속되어 있는 동안 그 네트워크에 대한 프로-액티브 핸드오버를 실행하는 추가적인 메커니즘을 포함한다.
MPA를 지원하는 모바일 노드(MN)는 인증 에이전트(AA)와 사전-인증 프로세스를 시작한다. 인증이 성공하면 PANA 인증 에이전트(PAA)는 AA와 관련된 안전을 수립할 수 있다. 이 외에, 구성 에이전트(CA)는 IP 어드레스 및 다른 구성 파라미터를 모바일 노드에 안전하게 전달하는 구성 프로토콜을 안전하게 실행하는 데 사용되고, 액세스 라우터(AR)는 모바일 노드에 대한 프로액티브 핸드오버 터널을 수립하는 터널 관리 프로토콜을 안전하게 실행하는 데 사용된다. 이 전반적인 프로세스는 MN이 현재 접속 포인트에 연결되는 경우에 실행된다. 이는 본 명세서에 참조 로서 포함되는 문헌 "draft-ohba-mobopts-mpa-framework-02.txt", March 2006 및 "draft-ohba-mobopts-mpa-framework-03.txt", October 22, 2006에 상세하게 설명된다.
안전한 네트워크 액세스 서비스를 제공하는 데는 클라이언트와 액세스 네트워크의 인증 및 인가에 기초한 액세스 제어가 필요하다. 클라이언트 대 네트워크 인증은 실행 포인트(enforcement point)를 통한 트래픽 흐름을 단속하는 데 필요한 파라미터를 제공한다. 프로토콜은 클라이언트와 액세스 네트워크 사이에서 인증 방법을 전달할 필요가 있다.
PANA는 네트워크 액세스 인증 방법을 위한 링크 계층 중립 전송을 제공한다. 확장성 인증 프로토콜(EAP: Extensible Authentication Protocol)[본 명세서에 그 전반적인 내용이 참조로서 포함된 RFC3748을 참조]은 그와 같은 인증 방법을 제공한다. 이 점에 있어서, PANA는 다양한 인증 방법을 전달할 수 있는 EAP를 전달한다. IP 위에 EAP의 전송을 가능하게 함으로써, EAP 방법으로서 전달될 수 있는 어떤 인증 방법이 PANA에 대하여 이용가능하게 되고, 따라서 어떤 링크 계층 기술에 이용가능하게 된다.
PANA 프로토콜[I-D.ietf-pana-pana]은 액세스 네트워크에 있는 PaC(PANA Client)와 PAA(PANA Authentication Agent) 간에 EAP 메시지를 전달한다. PaC가 모바일 디바이스이고, 애플리케이션을 실행하는 동안 한 액세스 네트워크로부터 또 다른 액세스 네트워크로 이동할 수 있는 경우, PaC가 핸드오버 주기 동안 애플리케이션의 성능을 떨어뜨리지 않으면서 한결같이 핸드오버를 실행하는 것이 중요하다. PaC가 새로운 액세스 네트워크에 있는 PAA와 PANA 세션을 수립할 필요가 있는 핸드오버의 경우, PANA 세션을 수립하는 시그널링은 가능한 빠르게 완료되어야 한다.
PANA 프로토콜은 네트워크 액세스 서비스를 위한 인증 및 인가를 실행하기 위하여 클라이언트(PaC)와 서버(PAA) 사이에서 운영된다. 프로토콜 메시징은 일련의 요청 및 응답을 수반하는데, 그 중 일부는 다른 엔드에 의해 시작될 수도 있다. 각 메시지는 0 또는 많은 AVP를 페이로드 내에 수반할 수 있다. PANA의 메인 페이로드는 인증을 실행하는 EAP이다. PANA는 PaC 및 PAA가 EAP 세션을 수립하는 것을 돕는다.
PANA는 UDP 기반의 프로토콜이다. UDP 기반의 프로토콜은 메시지를 신뢰성 있게 전달하는 고유한 재전송 메커니즘이 있다. PANA 메시지는 PaC와 PAA 사이에서 PANA 세션의 일부로서 송신된다. PANA 세션은 이하에서 설명하고, 도 1에 도시하는 바와 같은 복수의 명확한 단계를 포함한다:
1. 핸드쉐이크 단계: 이는 새로운 PANA 세션을 시작하는 단계이다. 핸드쉐이크 단계는 PaC와 PAA 둘 다가 트리거할 수 있다.
2. 인증 및 인가 단계: 핸드쉐이크 단계 바로 다음으로 PAA와 PaC 간의 EAP 실행이다. EAP 페이로드(EAP 방법 내에서 수반)는 인증을 위해 사용되는 것이다. PAA는 인증 및 인가의 결과를 이 단계의 한쪽에 있는 PaC에 전달한다.
3. 액세스 단계: 성공적인 인증 및 인가 후, 호스트는 네트워크에 대한 액세스를 획득하고, EP(s)를 통해 IP 데이터 트래픽을 송신 및 수신할 수 있다. 이 단계 동안의 어떤 시점에서, PaC 및 PAA는 피어상의 PANA 세션의 테스트 라이브니 스(text liveness)에 PANA 핑 메시지를 선택적으로 송신할 수도 있다.
4. 재인증 단계: 액세스 단계 동안, PAA는 PANA 세션 라이프타임이 만료되기 전에 재인증을 시작해야 한다. EAP는 인증을 실행하는 PANA가 수반한다. 이 단계는 세션 라이프타임에 대한 어떤 반영도 없이 PaC와 PAA 둘 다가 선택적으로 트리거할 수도 있다. 세션은 액세스 단계로부터 이 단계로 이동하고, 성공적인 재인증 시 다시 돌아간다.
5. 종료 단계: PaC 또는 PAA는 어느 시점에서 액세스 서비스에 대한 연결을 끊도록 선택할 수도 있다. 명백한 연결 끊김 메시지는 어느 한쪽의 엔드에서 송신할 수 있다. PaC 또는 PAA가 종료 메시징을 시작하지 않고 연결을 끊는 경우, 유한 세션 라이프타임의 만료 또는 실패한 라이브니스 테스트는 다른 한쪽에 있는 세션을 정리한다는 점이 예상된다.
PANA는 UDP를 PANA의 전송 계층 프로토콜로서 이용한다. UDP 포트 번호는 예를 들어 IANA가 할당한다. 여기서, 메시지는 항상 유니캐스트이다.
PANA는 이하에서 설명하는 것과 같은 속성 값 쌍을 이용한다. 여기서, PANA 메시지의 페이로드는 0 또는 많은 AVP를 포함한다. 이하에서 간략하게 설명한다.
o Algorithm AVP: 유사 랜덤 함수 및 무결성 알고리즘을 포함한다.
o AUTH AVP: PANA 메시지를 무결성 보호하는 메시지 인증 코드를 포함한다.
o Cookie AVP: [RFC4086]에 따라 PAA가 생성하고, 블라인드 리소스 소모 DoS 어택에 대하여 핸드쉐이크 단계를 견고하게 하기 위하여 사용되는 랜덤 값을 포함한다.
o Device-Id AVP: PaC의 디바이스 식별자(링크 계층 어드레스 또는 IP 어드레스) 또는 EP를 포함한다.
o EAP AVP: EAP PDU를 포함한다.
o Failed-AVP: 실패를 발생시킨 offending AVP를 포함한다.
o Key-Id AVP: MSK 식별자를 포함한다.
o Protection-Capability AVP: 암호 메커니즘이 PANA 인증 후 동작해야할 때 퍼-패킷 보호(per-packet protection)(링크 계층 대 네트워크 계층)의 타입을 포함한다.
o NAP-Information AVP, ISP-Information AVP: NAP 및 ISP의 식별자를 각각 포함한다[RFC4086].
o Nonce AVP: 암호 키 계산에 이용되는 랜덤하게 선택된 값을 포함한다.
o Notification AVP: 표시가능한 메시지를 포함한다.
o Provider-Identifier AVP: NAP 또는 ISP의 식별자를 포함한다.
o PPAC AVP: Post-PANA-Address-Configuration AVP. 성공적인 PANA 인증 후 PaC가 이용할 수 있는 이용가능한/선택된 IP 어드레스 구성 방법을 나타내는 데 이용.
o Provider-Name AVP: NAP 또는 ISP의 명칭을 포함한다.
o Result-Code AVP: 프로토콜 실행 결과에 대한 정보를 포함한다.
o Session-Id AVP: PANA 세션 식별자 값을 포함한다.
o Session-Lifetime AVP: 인가된 액세스의 기간을 포함한다.
o Termination-Cause AVP: 세션 종료의 원인을 포함한다.
AVP는 PANA 메시지에 관련된 정보를 암호화하는 방법이다. AVP에 대한 더 많은 정보는 Section 6.3을 참조하시오. AVP 헤더에 관하여, OctetString 타입의 각 AVP는 32비트 경계에 대하여 정렬하도록 패드할 필요가 있는 반면, 다른 AVP 타입은 자연스럽게 정렬한다. 수많은 0 값의 바이트가 워드 경계에 도달할 때까지 AVP 데이터 필드의 한쪽에 부가된다. 패딩의 길이는 AVP 길이 필드에 반영되지 않는다[RFC3588 참조]. AVP 헤더 내 필드는 네트워크 바이트 순서대로 송신된다. AVP 헤더의 포맷은 도 2에 도시한다.
다른 배경기술 정보에 대해서는 Protocol for Carrying Authentication for Network Access (PANA), Internet Draft of the PANA working Group of the I.E.T.F., document no. draft-ietf-pana-pana-12, dated August 24, 2006, to D. Forsberg, Y. Ohba, et al.,을 참조하고, 그 전반적인 내용은 본 명세서에 자세하게 열거되듯이 참조로서 포함된다.
추가적인 참조를 위하여, 몇몇 배경기술 용어는 포함한다:
이동성 바인딩(Mobility Binding):
모바일 단말의 로케이터와 식별자 간의 바인딩. 이동성 관리 프로토콜(Mobility Management Protocol)(MMP): 네트워크 계층 또는 그 상위에서 동작하여 모바일 단말의 로케이터와 식별자 간의 바인딩을 유지하는 프로토콜.
이동성 관리 프로토콜(Mobility Management Protocol)(MMP):
네트워크 계층 또는 그 상위에서 동작하여 모바일 단말의 로케이터와 식별자 간의 바인딩을 유지하는 프로토콜.
바인딩 업데이트(Binding Update):
이동성 바인딩을 업데이트하는 절차.
미디어-독립 사전-인증 모바일 노드(Media-independent Pre-Authentication Mobile Node(MN)):
바람직한 실시예에서, 어떤 링크 계층을 조사하고, 어떤 이동성 관리 프로토콜과 작용하는 모바일 보조 안전 핸드오버 최적화 방식인 미디어-독립 사전-인증(MPA)의 모바일 단말. MPA 모바일 노드는 IP 노드이다. 이 문헌에서, 용어 "모바일 노드" 또는 수식 어구가 없는 "MN"은 "MPA 모바일 노드"를 의미한다. MPA 모바일 노드는 이동성 관리 프로토콜의 모바일 노드의 기능성도 구비한다.
후보 타깃 네트워크(Candidate Target Network)(CTN):
모바일이 가까운 미래에 이동할 수도 있는 네트워크.
타깃 네트워크(Target Network)(TN):
모바일이 이동하기로 결정한 네트워크. 타깃 네트워크는 하나 이상의 후보 타깃 네트워크 중에서 선택한다.
프로액티브 핸드오버 터널(Proactive Handover Tunnel)(PHT):
MPA 모바일 노드와 후보 타깃 네트워크의 액세스 라우터 사이에 수립되는 양방향 IP 터널. 이 문헌에서, 수식 어구가 없는 용어 "터널"은 "프로액티브 핸드오버 터널"을 의미한다.
접속 포인트(Point of Attachment)(PoA):
네트워크에 대한 MPA 모바일 노드용 링크 계층 접속 포인트로서 기능하는 링크 계열 디바이스(예를 들어, 스위치, 액세스 포인트 또는 기지국 등).
보조 어드레스(Care-of Address)(CoA):
이동성 관리 프로토콜에 의해 MPA 모바일 노드의 로케이터로서 사용되는 IP 어드레스.
PANA 클라이언트(PANA Client)(PaC):
액세스 디바이스(예를 들어, 랩톱, PDA 등)에 상주하는 프로토콜의 클라이언트 측. 네트워크 액세스 인가를 위한 아이덴티티(인증)를 증명하기 위하여 증명서를 제공할 책임이 있다. PaC 및 EAP 피어는 동일한 액세스 디바이스에 상호 배치된다.
PANA 인증 에이전트(PANA Authentication Agent)(PAA):
PANA 클라이언트(PaC)가 제공한 증명서를 검증하고, 그 클라이언트와 관련되고, 디바이스 식별자(DI)로 식별되는 디바이스에 대한 네트워크 액세스를 인가하는 책임이 있는 액세스 네트워크 내 프로토콜 엔티티. PAA 및 EAP 인증자(그리고 선택적으로 EAP 서버)는 동일한 노드에 상호 배치된다. EAP 모델에 따른 인증 및 인가 절차는 백엔드 AAA 기반구조에 또한 오프로드될 수 있다.
PANA 세션(PANA Session):
PANA 세션은 PANA 클라이언트(PaC)와 PANA 인증 에이전트(PAA) 간의 핸드쉐이크로 시작하고, 재전송 도착 최대 값, 세션 라이프타임 만료 또는 명백한 종료 메시지 후 인증 또는 라이브니스 테스트 실패, 메시지 전달 실패의 결과로서 종료 된다. 고정된 세션 식별자는 세션 내내 유지된다. 세션은 복수의 네트워크 인터페이스를 통해 공유될 수 없다. PaC의 하나의 디바이스 식별자만이 간소화를 위하여 PANA 세션에 바인드될 수 있다.
세션 라이프타임(Session Lifetime):
PANA 세션과 관련되는 기간. 수립된 PANA 세션에 대하여, 세션 라이프타임은 PaC에 대하여 주어진 현재 인가의 라이프타임이 된다. 세션 라이프타임은 만료되기 전에 EAP 인증의 새로운 라운드에 의해 업데이트될 수 있다.
세션 식별자(Session Identifier):
이 식별자는 PAA 및 PaC상의 PANA 세션을 유일하게 식별하는 데 사용된다. 이는 PAA의 식별자를 포함하므로, 복수의 PAA에 걸쳐 공유될 수 없다. 이는 PANA 메시지에 포함되어, 그 메시지를 특정 PANA 세션에 바인드한다. 이 양방향 식별자는 핸드쉐이크에 후속하여 PAA에 의해 할당되고, 그 세션이 종료될 때 해제된다.
PANA 보호 연계(PANA Security Association)(PANA SA):
PANA 보호 연계는 암호 키잉 매체 및 관련된 컨텍스트를 공유함으로써 PaC와 PAA 사이에서 형성된다. 형성된 듀플렉스 보안 연관은 PaC와 PAA 간의 양방향 PANA 시그널링 트래픽을 보호하는 데 이용된다.
디바이스 식별자(Device Identifier)(DI):
네트워크가 디바이스의 네트워크 액세스를 제어 및 단속하는 핸들로서 사용하는 식별자. 액세스 기술에 따라, 이 식별자는 프로토콜 헤더에 수반되는 어드레스(예컨대, IP 또는 링크 계층 어드레스) 또는 연결된 디바이스의 로컬 프로토콜 스택(예컨대, 회로 id, PPP 인터페이스 id)에 의해 이용가능해지는 국부적으로 중요한 식별자를 포함할 수도 있다.
실행 포인트(Enforcement Point)(EP):
퍼-패킷 실행 정책(즉, 필터)이 액세스 디바이스의 인바운드 및 아웃바운드 트래픽상에 적용되는 액세스 네트워크상의 노드. DI와 같은 정보 및 (선택적으로) 암호 키는 EP에 대한 필터를 생성하기 위한 클라이언트마다 PAA에 의해 제공된다.
네트워크 액세스 공급자(Network Access Provider)(NAP):
관리하는 액세스 네트워크에 예컨대 물리 및 링크 계층 연결성을 제공하는 서비스 공급자.
인터넷 서비스 공급자(Internet Service Provider)(ISP):
인터넷 및 다른 관련 서비스에 예컨대 액세스를 제공하는 서비스 공급자.
마스터 세션 키(Master Session Key)(MSK):
EAP 피어 및 EAP 서버가 발생하고, 인증자에 전송되는 키[RFC3748 참조].
추가 용어 및 배경기술은 PANA 프레임워크 문헌[I-D.ietf-pana-framework]으로부터 본 명세서에 참조로서 포함된다.
다양한 시스템 및 방법이 알려져 있지만, 예컨대 다양한 환경에서의 인증 속도를 높이기 위한 시스템 및 방법을 포함하는 개선된 시스템 및 방법이 필요하다.
본 발명은 예컨대 인증 지연에 관한 것을 포함하는 배경기술의 다양한 한계와 결함을 극복한다.
몇몇 실시예에 따르면, 네트워크를 이용한 모바일 노드의 인증 지연을 줄이기 위한 방법은 2개의 EAP를 동시에 실행하여 전체 인증 지연을 줄이는 단계를 포함한다. 유사하게, 몇몇 실시예에 따르면, 네트워크를 이용한 모바일 노드의 인증 지연을 줄이기 위한 시스템은 2개의 PANA 세션을 PANA 인증 에이전트와 동시에 실행하여 전체 인증 지연을 줄이도록 구성하는 PANA 인증 클라이언트를 포함한다. 또한, 몇몇 실시예에 따르면, 네트워크를 이용한 모바일 노드의 인증 지연을 줄이기 위한 시스템은 2개의 PANA 세션을 PANA 인증 클라이언트와 동시에 실행하여 전체 인증 지연을 줄이도록 구성하는 PANA 인증 에이전트를 포함한다.
몇몇 실시예에서, 본 방법은 2개의 EAP 실행은 PaC의 특정 디바이스 식별자를 인증하기 위하여 이용하는 것을 포함한다. 몇몇 실시예에서, 본 방법은 2개의 EAP 실행은 복수의 ISP를 동시에 연결하는 것에 관하여 PaC의 특정 디바이스 식별자를 인증하기 위하여 이용하는 것을 포함한다. 몇몇 실시예에서, 본 방법은, 2개의 EAP 실행은 PaC상의 복수의 유저에 관하여 PaC의 특정 디바이스 식별자를 인증하기 위하여 이용하는 것을 포함한다. 몇몇 실시예에서, 본 방법은 2개의 EAP 실행은 NAP 및 ISP 인증에 이용하여 전체 인증 지연을 줄이는 것을 포함한다.
몇몇 다른 실시예에서, 본 방법은 PaC의 동일한 디바이스 식별자에 대하여 PaC와 PAA 간의 복수의 PANA 세션을 수립하고, 복수의 PANA 세션 중에서 암호 바인딩을 생성하는 것을 포함한다. 몇몇 실시예에서, 본 방법은 PaC의 동일한 디바이스 식별자에 대하여 PaC와 PAA 간의 복수의 PANA 세션을 수립하고, 복수의 독립 PANA 세션 각각에 대하여 EP를 위한 명확한 PaC-EP-Master-Key를 생성하는 것을 포함한다. 몇몇 실시예에서, 본 방법은 PaC와 PAA 간의 독립 PANA 세션 각각에 대하여 명확한 IKE 보안 연계(Security Association)를 수립하고, 각 독립 세션에 대한 각 유저에 전용인 IPsec 보안 연계를 생성하는 것을 포함한다. 몇몇 실시예에서, 본 방법은 인증을 위한 상황을 피어에게 알리기 위한 새로운 인증-상황 AVP를 제공하는 것을 포함한다. 몇몇 실시예에서, 본 방법은 PANA-start request(PSR) 내의 새로운 인증-상황 타입 길이 값을 제공하는 것을 포함한다. 몇몇 실시예에서, 본 방법은 PSR 내 S-flag는 NAP 및 ISP 개별 인증의 기능을 억제하도록 설정되지 않고, N-flag는 PSR 및 후속하는 PANA 메시지에 설정되지 않는 것을 포함한다.
몇몇 실시예에서, 본 방법은 PAA를 위한 새로운 세션을 생성하는 PAA 발견 메시지를 PANA에 송신하는 PaC를 구비하고, PAA를 위한 다른 세션에 할당하는 것과는 상이한 새로운 UDP 소스 포트 번호를 할당하는 것을 포함한다. 몇몇 실시예에서, 본 방법은 PAA가 PaC를 위한 새로운 세션을 생성하는 PSR을 불필요하게 송신하는 경우, PaC를 위한 다른 세션에 할당하는 것과는 상이한 새로운 UDP 목적지 포트 번호를 할당하는 것을 포함한다. 몇몇 실시예에서, 본 방법은 상이한 세션에 상이한 EAP 인증법 및 증명서를 이용하는 것을 포함한다. 몇몇 실시예에서, 본 방법은 PANA 조건 성공에 관련된 새로운 결과 코드 및 하나 이상의 세션 ID AVP를 포함하는 새로운 AVP를 제공하고, 종속 세션을 위한 PANA 바인드 리퀘스트(PBR)를 구비하여 새로운 결과 코드를 전달하는 것을 포함한다. 몇몇 실시예에서, 본 방법은 EP를 위한 PaC-EP-master-Key는 종속 세션의 AAA-Key로부터 유도되지 않는다는 점을 포함한다. 몇몇 실시예에서, 본 방법은 종속 세션을 암호로 바인드하는 새로운 세션을 생성하는 PAA를 구비하고, 새로운 세션을 생성한 후 PSR을 PAA에 송신하는 것을 포함한다. 몇몇 실시예에서, 본 방법은 새로운 세션을 위한 PANA 시작 응답을 수신한 후, PAA는 PANA-Auth-Request/PANA-Auth-A 교환 없이 PBR을 즉시 송신하는 것을 포함한다.
다양한 실시예의 상술한 양상, 특징 및/또는 장점 또는 다른 양상, 특징 및/또는 장점은 첨부한 도면에 관한 다음의 설명으로부터 더욱 이해하게 될 것이다. 다양한 실시예는 적용가능한 상이한 양상, 특징 및/또는 장점을 포함 및/또는 배제할 수 있다. 추가로, 다양한 실시예는 다른 실시예의 적용가능한 하나 이상의 양상 또는 특징을 조합할 수 있다. 특정 실시예의 양상, 특징 및/또는 장점에 대한 설명은 다른 실시예 또는 청구범위를 한정하는 것으로서 해석해서는 안 된다.
도 1은 세션에서의 PANA 메시지의 설명을 도시하는 도면이고, 도 1에 도시한 프로토콜 흐름은 환경 및 전개에 따라 단축될 수 있음을 알아야 한다(불필요한 PANA-Start-Request 메시지는 PANA-Client-Initiation 없이 송신될 수 있고, EAP 응답은 PANA-Auth-Ansers에 대하여 피기백 방식으로 전달될 수 있으며, PANA-Ping 및 PANA-Termination 이용은 옵션이다).
도 2는 AVP 헤더 포맷을 도시하는 도면이다.
도 3은 복수의 예시적인 실시예에 따른 독립, 종속, 페어런트 세션에 관한 PaC와 PAA 간의 메시지 시퀀스를 도시하는 도면이다.
도 4는 PANA 세션 1 및 2로 ISP를 분리하는 예시적인 멀티-호밍 사용 케이스 를 도시하는 도면이다.
도 5는 PANA 세션 1 및 2로 유저를 분리하는 예시적인 멀티-유저 사용 케이스를 도시하는 도면이다.
도 6은 복수의 예시적인 예에 따라 복수의 PANA 세션, 세션 A 및 B의 수립을 위한 PaC와 PAA 간의 예시적인 메시지 시퀀스를 도시하는 도면이다.
본 발명의 바람직한 실시예는 첨부한 도면에서 예로서 도시하지만, 이에 한정하지 않는다.
본 발명은 수많은 상이한 형태로 구현될 수도 있지만, 예시적인 실시예는 본 명세서에 기술한 다양한 발명 원리의 예를 제공하는 것으로서 간주하고, 그와 같은 예는 본 명세서에 기술 및/또는 예시한 바람직한 실시예에 대하여 본 발명을 한정하지 않는다는 점의 이해하에 기술된다.
과제 설명:
기존의 시스템으로는 수많은 과제와 결함이 존재한다. 예를 들어, 다음의 과제가 존재한다.
과제 1: PaC의 특정 디바이스 식별자를 인증하기 위해서는 2개 이상의 EAP가 운영될 필요가 있는 상황이 존재한다. 예를 들어, 다음의 2가지 예시적인 환경에서는 PaC의 특정 디바이스 식별자를 인증하기 위해서는 2개 이상의 EAP가 운영될 필요가 있다: a) 복수의 ISP에 동시에 연결; b) PaC상의 복수의 유저 연결.
과제 2: 현재 PANA 사양에서의 NAP 및 ISP 개별 인증은 연속적인 2개의 EAP 실행을 요구한다. 이 애플리케이션에서, 2개의 EAP 운영이 동시에 실행되어 전반적인 인증 지연을 줄일 수 있어야 한다는 점이 고려된다.
http://ftp.3gpp2.org/TSGX/Working/2005/2005-12/TSG-X-2005-12-Maui/WG3-PSN/SWG31-PDS/ (December 08, 2005 11:43 PM 109568 X31-20051205-013 PANA-for-PFO-[Samsung, Starent, Nokia].ppt)에서 온라인으로 입수할 수 있는 A. Yegin, K. Chowdhury and G. Bajko가 TSG-X, EAP/PANA for PFO로 명명하고, Samsung, Starent and Nokia에 의한 3GPP2 기고문에서, 저자들은 "PANA는 라우터를 통해 실행할 수 있으므로, 이로 인해 단말은 하나 이상의 타깃 액세스 네트워크와 사전 인증할 수 있어(혼합된 액세스 기술을 이용하더라도 다중 홉과는 거리가 있음)", "핸드오버 후, 대기를 통한 단일 라운드-트립(round-trip)은 네트워크에 대한 단말의 액세스를 인가하는 데 충분하다."라고 설명한다. 또한, 그 저자들은 "병렬 시그널링"은 "오퍼레이터는 추가로 한정된 L3 프로토콜 시그널링이 PANA와 병행하여(대역 외부) 발생하게 하여, 예컨대: IMS, Mobile IPv6, Mobile IPv4 signaling while executing PANA," "전체 지연은 누적되는 것이 아니라 개별 지연의 최대값이다."라는 점에서 PANA와 이용할 수 있다는 점을 또한 기술한다. 다음으로 그 저자들은 어떤 지원, 세부사항 등이 없이 사전-인증에 관하여 다음과 같이 가정한다:
"병행 가입자 및 디바이스 인증
- 복수의 인증이 실행될 필요가 있는 경우(예컨대, 액세스 디바이스를 위한 하나, 가입자를 위한 또 다른 하나), 인증은 2개의 개별 PANA 세션으로서 병렬로 실행되고, 나중에 서로 바인드될 수 있다.
- 최종 효과: 인증 지연이 2등분 된다."
필요조건:
기존의 기술과 대조적으로, 본 출원은 그 중에서도 특히 병렬 PANA 세션의 실행에 관한 새로운 시스템 및 방법을 설명한다. 본 명세서에 기술하는 목적인 병렬 PANA 세션의 실행에 관하여, 수많은 필요조건이 본 발명자들에 의해 식별된다. 이 점에서, 본 발명에 관련된 수많은 필요조건은 이하에서 설명한다.
필요조건 1: PANA는 PaC의 동일한 디바이스 식별자에 대하여 PaC와 PAA 간에 수립되는 복수의 PANA 세션을 지원할 필요가 있다. 이 점에서, 기존의 PANA 사양은 이를 지키지 않는다.
필요조건 2: PaC의 동일한 디바이스 식별자에 대하여 PaC와 PAA 간에 복수의 PANA 세션을 수립하는 경우, 인증을 위한 상황은 각 세션을 위한 피어 사이에서 전달될 필요가 있다. 복수의 예시적인 상황은 ISP 인증, NAP 인증 등을 예로서 포함하지만, 이에 한정하지 않는다.
필요조건 3: PaC의 동일한 디바이스 식별자에 대하여 PaC와 PAA 간에 복수의 PANA 세션을 수립하는 경우, PANA는 그 세션을 동시에 수립할 필요가 있다.
필요조건 4: PaC의 동일한 디바이스 식별자에 대하여 PaC와 PAA 간에 복수의 PANA 세션을 수립하는 경우, 예컨대 EP를 위한 명확한 PaC-EP-Master-Key가 복수의 세션 각각을 위하여 생성되지 않는다면, 암호 바인딩이 복수의 세션 중에서 생성될 필요가 있다. 이 점에서, EP를 위한 동일한 PaC-EP-Master-Key를 공유하는 PANA 세션은 본 명세서에서 "종속" 세션으로서 간주하고, 공유하지 않는 PANA 세션은 본 명세서에서 "독립" 세션으로서 간주한다. 여기서, 독립 세션은 EP를 위한 상이한 PaC-EP-Master-Key를 생성할 수도 있다. 예에서, 이는 PaC와 PAA 간의 각 독립 세션을 위한 명확한 IKE SA를 수립하는 것을 포함할 수 있다. 각 유저에 전용인 IPsec SA는 각 독립 세션을 위하여 생성될 것이다.
몇몇 실시예에서, 필요조건 2에 대한 해결책은 다음을 포함할 수 있다.
1. 새로운 AVP가 제공된다: 인증-상황 (Type: OctetString, 'M' 플래그가 설정될 필요가 있다.) 여기서, 새로운 AVP는 인증을 위한 상황에 대하여 피어에게 알리기 위하여 사용된다. 추가로, PANA-PAA-Discover 또는 PANA-Start-Request 메시지로 전달될 수 있다. 추가로, 전달하는 한 개의 1 옥텟 상황을 포함한다: 1(NAP 인증); 2(ISP 인증).
2. 인증-상황 타입-길이 값(TLV) 패킷이 PANA-start request(PSR)에 선택적으로 포함될 수 있다. AVP가 포함되는 경우, PSR 내 S-flag는 NAP 및 ISP 개별 인증의 기능을 억제하도록 설정되어서는 안 된다. 추가로, N-flag는 PSR 및 후속 PANA 메시지에 설정되어서는 안 된다.
몇몇 실시예에서, 필요조건 3에 대한 해결책은 다음을 포함할 수 있다.
1. PaC가 PAA를 위한 새로운 세션을 생성하는 PANA-PAA-Discover(PDI) 메시지를 송신하는 경우, PAA에 대하여 다른 세션에 할당되는 것과는 상이한 새로운 UDP 소스 포트 번호가 할당되어야 한다.
2. PAA가 PaC를 위한 새로운 세션을 생성하는 PSR을 불필요하게 송신하는 경우, PaC에 대하여 다른 세션에 할당되는 것과는 상이한 새로운 UDP 목적지 포트 번 호가 할당되어야 한다.
3. 추가로, 상이한 세션은 상이한 EAP 인증 방법 및 증명서를 이용할 수도 있다.
몇몇 실시예에서, 필요조건 4에 대한 해결책은 다음을 포함할 수 있다.
1. 새로운 결과 코드가 제공된다:
PANA_CONDITIONAL_SUCCESS;
2. 새로운 AVP가 제공된다: Session-Id-List (Type: Grouped, 'M' 플래그가 설정되어야 한다.) 여기서, 새로운 AVP는 하나 이상의 Session-Id AVP를 포함한다.
3. 종속 세션을 위한 PANA-Bind-Request(PBR)은 PANA_SUCCESS 대신 이 결과 코드를 전달한다. 추가로, 여기서 a) 인증은 이 시점에서 이루어지지 않고 b) EP를 위한 PaC-EP-Master-Key는 종속 세션의 AAA-Key로부터 유도되지 않는다.
4. PAA는 종속 세션을 암호로 바인드하는 새로운 세션을 생성한다. 여기서, 새로운 세션은 페어런트 세션으로서 간주한다.
5. PSR은 페어런트 세션을 생성한 후 PAA에 송신된다.
6. 페어런트 세션을 위한 Pana-Start-answer(PSA)를 수신한 후, PAA는 PANA-Auth-Request/PANA-Auth-Answer(PAR/PAN) 교환 없이 즉시 PBR을 송신한다. 여기서:
ⅰ. 페어런트 세션을 위한 PBR 내 결과 코드는 PANA_SUCCESS이다;
ⅱ. PBR은 차일드 세션을 위한 Session-Id AVP의 리스트를 포함하는 Session-ID-List AVP를 전달한다.
ⅲ. 페어런트 세션을 위한 AAA-Key는 종속 세션을 위한 AAA-Key의 접합으로서 계산된다.
a. 종속 세션을 위한 AAA-Key는 Session-Id-List AVP에 나열되는 세션의 순서에 따라 배열된다.
ⅳ. 추가로, 인가는 이 시점에서 이루어진다.
a. 종속 세션 중 가장 짧은 인가 라이프타임은 페어런트 세션을 위한 인가 라이프타임이 된다.
b. EP를 위한 PaC-EP-Master-Key는 페어런트 세션이 그 페어런트 세션의 종속 세션 중에서 공유되는 AAA-Key로부터 유도된다.
7. 재인증은 각 종속 세션에 대하여 실행된다.
ⅰ. 각 재인증의 종료 시, 페어런트 세션을 위한 인가 라이프타임 및 AAA-Key는 재계산된다.
8. 페어런트 세션이 종료되는 경우, 그 페어런트 세션의 종속 세션은 즉시 그리고 조용하게 종료된다.
9. 그 종속 세션 중 하나가 종료되는 경우, 페어런트 세션은 종료 정책에 따라 종료될 수도 있고, 또는 종료되지 않을 수도 있다.
ⅰ. 여기서, 종료 정책이 페어런트 세션을 종료하는 것을 나타내지 않는 경우, 페어런트 세션을 위한 인가 라이프타임 및 AAA-Key는 재계산된다.
ⅱ. 추가로, 종료 정책에 상관없이, 페어런트 세션은 마지막 종속 세션이 종 료되는 경우에는 즉시 그리고 조용하게 종료된다.
PANA 인증 지연:
참고로, 적용가능한 PANA 인증 지연은 이하에서 설명한다. 다음의 방정식에서, T1 = 발견 및 핸드쉐이크 단계에서의 지연; T2,NAP = NAP 인증을 위한 PAR/PAN 교환에서의 지연; T2,ISP = ISP 인증을 위한 PAR/PAN 교환에서의 지연; 및 T3 = PBR/PBA 교환에서의 지연으로서 이용한다. 추가로, 종속 및 독립 PANA 세션의 경우, 2개 세션을 위한 PAA 발견은 동시에 시작되고, 동시에 완료된다.
ㆍNAP 및 ISP 개별 인증:
DS = T1 + T2 , NAP + T2 , ISP + T3
ㆍ독립 세션:
DI = T1 + max(T2 , NAP, T2 , ISP) + T3
ㆍ종속 세션 및 페어런트 세션
DD = DI + T1 + T3
DI < DD < DS
도 3-6:
도 3 내지 6은 본 발명의 몇몇 실시예의 양상을 증명하는 몇몇 예시적인 도면을 도시한다.
이 점에 있어서, 도 3은 독립 세션, 종속 세션 및 페어런트 세션에 관한 PaC와 PAA 간의 예시적인 메시지 시퀀스뿐만 아니라 상술한 바와 같은 몇몇 케이스의 암호 바인딩의 수립을 도시한다.
추가로, 도 4는 예컨대 멀티-호밍에 관련된 예시적인 사용 케이스를 도시하는 예시적인 구성 및 개략 도면을 도시한다. 이 예시적인 예에 도시한 바와 같이, 제1 PANA 세션은 제1 서비스 공급자 ISP1에 관하여 수립되고, 제2 PANA 세션은 제2 서비스 공급자 ISP2에 관하여 수립된다. PANA 세션 1에 관련된 트래픽은 이 도면의 상부 가까운 곳에 도시하는 반면, PANA 세션 2에 관련된 트래픽은 이 도면의 하부 가까운 곳에 도시한다. 여기서, 세션 1 및 2는 본 명세서에서 기술한 바와 같은 종속 또는 독립 세션일 수 있다. 이 경우에서, 종속 세션일 때, 상이한 세션에 관련된 트래픽은 구별될 필요가 있는데, 예컨대 상이한 세션을 위한 개별 IKE SA를 생성함으로써 이루어질 수 있다.
추가로, 도 5는 예컨대 멀티-유저에 관련된 예시적인 사용 케이스를 도시하는 예시적인 구성 및 개략 도면을 도시한다. 이 예시적인 예에 도시한 바와 같이, 제1 PANA 세션은 제1 유저인 User A에 관하여 수립되고, 제2 PANA 세션은 제2 유저인 User B에 관하여 수립된다. PANA 세션 1에 관련된 트래픽은 이 도면의 상부 가까운 곳에 도시하는 반면, PANA 세션 2에 관련된 트래픽은 이 도면의 하부 가까운 곳에 도시한다. 특히, 이 도면은 제1 유저 디바이스를 통해 동작하는 제1 유저인 User A는 PANA 인증 에이전트(PAA)/실행 포인트(EP)와 통신하는 PANA 인증 클라이언트(PaC)/네트워크 액세스 트랜슬레이터(NAT)를 통해 제1 PANA 세션 1을 네트워크 액세스 공급자(NAP) 및 인터넷 서비스 공급자(ISP)에 대하여 수립하고, 제1 유저 디바이스를 통해 동작하는 제2 유저인 User B는 PANA 인증 클라이언트(PaC)/네트워 크 액세서 트랜슬레이터(NAT) 및 PANA 인증 에이전트(PAA)/실행 포인트(EP)를 통해 제2 PANA 세션 2를 네트워크 액세스 공급자(NAP) 및 인터넷 서비스 공급자(ISP)에 대하여 수립하는 예시적인 예를 도시한다. 여기서, PaC는 차일드 디바이스를 위한 EAP 증명서로 사전에 구성된다. 추가로, 상이한 세션에 관련된 트래픽은 구별될 필요가 있는데, 예를 들어 상이한 세션을 위한 개별 IKE SA를 생성함으로써 이루어질 수 있다. 도 6은 몇몇 예시적인 예에 따라 복수의 PANA 세션, 세션 A 및 B의 수립을 위한 PaC와 PAA 간의 예시적인 메시지 시퀀스를 도시하는 도면이다.
본 발명의 범위:
본 발명의 예시적인 실시예가 본 명세서에 기술되지만, 본 발명은 본 명세서에 기술된 다양한 바람직한 실시예에 한정되는 것이 아니라 본 명세서의 내용에 기초한 기술분야의 숙련자가 인식하는 균등한 범위의 구성요소, 수정, 생략, 조합(예컨대, 다양한 실시예에 따른 양상의 조합), 변형 및/또는 대안을 갖는 어떤 실시예 및 모든 실시예를 포함하는 것이다. 청구범위의 한계는 그 청구범위에 사용되는 언어에 기초하여 광범위하게 해석되고, 본 명세서에 기술되거나 본 출원의 실행 동안의 예에 한정되지 않으며, 그 예는 한정적이지 않은 것으로서 해석된다. 예를 들어, 본 명세서에서 용어 "바람직하게"는 한정적이지 않으며, "바람직하게는, 한정되지 않는다"라는 점을 의미한다. 본 명세서 및 본 출원의 실행 동안, 수단과 기능 또는 단계와 기능 한정은 특정 청구범위 한정에 다음의 조건이 모두 존재하는 경우에만 사용된다: a) "∼위한 수단" 또는 "∼위한 단계"가 명백하게 인용되고; b) 대응하는 기능이 명백하게 인용되며; c) 그 구조를 지원하는 구조, 매체 또는 행위가 인용되지 않는 경우. 본 명세서 및 본 출원의 실행 동안, 용어 "본 발명" 또는 "발명"은 본 명세서 내의 하나 이상의 양상에 대한 기준으로서 이용될 수도 있다. 본 발명 또는 발명의 언어는 동일한 것으로서 부적당하게 해석해서는 안 되고, 모든 양상 또는 실시예에 걸쳐 적용하는 것으로서 부적당하게 해석해서는 안 되며(즉, 본 발명은 수많은 양상 및 실시예를 갖는다고 이해해야 함), 본 출원 또는 청구범위의 범위를 한정하는 것으로서 부적당하게 해석해서는 안 된다. 본 명세서 및 본 출원의 실행 동안, 용어 "실시예"는 어떤 양상, 특징, 프로세스 또는 단계, 그 조합 및/또는 그 조합의 어떤 부분 등을 기술하는 데 이용될 수 있다. 몇몇 예에서, 다양한 실시예는 중첩되는 특징을 포함할 수도 있다. 본 명세서에서, 다음의 생략된 용어가 사용될 수도 있다: "예컨대"는 "예를 들어"를 의미한다.
Claims (20)
- 네트워크를 이용한 모바일 노드의 인증 지연을 줄이기 위한 방법으로서,2개의 EAP를 동시에 실행하여 전체 인증 지연을 줄이는 단계를 포함하는 방법.
- 제1항에 있어서,상기 2개의 EAP 실행 단계는 PaC의 특정 디바이스 식별자를 인증하기 위하여 이용하는 방법.
- 제2항에 있어서,상기 2개의 EAP 실행 단계는 복수의 ISP를 동시에 연결하는 것에 관하여 PaC의 특정 디바이스 식별자를 인증하기 위하여 이용하는 방법.
- 제2항에 있어서,상기 2개의 EAP 실행 단계는 PaC상의 복수의 유저에 관하여 PaC의 특정 디바이스 식별자를 인증하기 위하여 이용하는 방법.
- 제1항에 있어서,상기 2개의 EAP 실행 단계는 NAP 및 ISP 인증에 이용하여 상기 전체 인증 지 연을 줄이는 방법.
- 제1항에 있어서,상기 PaC의 동일한 디바이스 식별자에 대하여 PaC와 PAA 간의 복수의 PANA 세션을 수립하고, 복수의 PANA 세션 중에서 암호 바인딩을 생성하는 단계를 더 포함하는 방법.
- 제1항에 있어서,상기 PaC의 동일한 디바이스 식별자에 대하여 PaC와 PAA 간의 복수의 PANA 세션을 수립하고, 복수의 독립 PANA 세션 각각에 대하여 EP를 위한 별개의 PaC-EP-Master-Key를 생성하는 단계를 더 포함하는 방법.
- 제7항에 있어서,PaC와 PAA 간의 상기 독립 PANA 세션 각각에 대하여 별개의 IKE 보안 연계(Security Association)를 수립하고, 각 독립 세션에 대한 각 유저에 전용인 IPsec 보안 연계를 생성하는 단계를 더 포함하는 방법.
- 제1항에 있어서,상기 인증을 위한 상황을 피어에게 알리기 위한 새로운 인증-상황 AVP를 제공하는 단계를 더 포함하는 방법.
- 제1항에 있어서,PANA-start request(PSR) 내의 새로운 인증-상황 타입 길이 값을 제공하는 단계를 더 포함하는 방법.
- 제10항에 있어서,상기 PSR 내 S-flag는 NAP 및 ISP 개별 인증의 기능을 억제하도록 설정되지 않고, N-flag는 상기 PSR 및 후속하는 PANA 메시지에 설정되지 않는 방법.
- 제1항에 있어서,PAA를 위한 새로운 세션을 생성하는 PAA 발견 메시지를 PANA에 송신하는 PaC를 구비하고, 상기 PAA를 위한 다른 세션에 할당하는 것과는 상이한 새로운 UDP 소스 포트 번호를 할당하는 단계를 더 포함하는 방법.
- 제1항에 있어서,PAA가 PaC를 위한 새로운 세션을 생성하기 위하여 PSR을 불필요하게 송신하는 경우, 상기 PaC를 위한 다른 세션에 할당하는 것과는 상이한 새로운 UDP 목적지 포트 번호를 할당하는 단계를 더 포함하는 방법.
- 제1항에 있어서,상이한 세션에 상이한 EAP 인증법 및 증명서를 이용하는 단계를 더 포함하는 방법.
- 제1항에 있어서,PANA 조건 성공에 관련된 새로운 결과 코드 및 하나 이상의 세션 ID AVP를 포함하는 새로운 AVP를 제공하고, 종속 세션을 위한 PANA 바인드 리퀘스트(PBR)를 구비하여 상기 새로운 결과 코드를 전달하는 단계를 더 포함하는 방법.
- 제15항에 있어서,EP를 위한 PaC-EP-master-Key는 종속 세션의 AAA-Key로부터 유도되지 않는다는 점을 더 포함하는 방법.
- 제15항에 있어서,종속 세션을 암호로 바인드하는 새로운 세션을 생성하는 상기 PAA를 구비하고, 상기 새로운 세션을 생성한 후 PSR을 상기 PAA에 송신하는 단계를 더 포함하는 방법.
- 제17항에 있어서,상기 새로운 세션을 위한 PANA 시작 응답을 수신한 후, 상기 PAA는 PANA-Auth-Request/PANA-Auth-A 교환 없이 PBR을 즉시 송신하는 단계를 더 포함하는 방 법.
- 네트워크를 이용한 모바일 노드의 인증 지연을 줄이기 위한 시스템으로서,2개의 PANA 세션을 PANA 인증 에이전트와 동시에 실행하여 전체 인증 지연을 줄이도록 구성하는 PANA 인증 클라이언트를 포함하는 시스템.
- 네트워크를 이용한 모바일 노드의 인증 지연을 줄이기 위한 시스템으로서,2개의 PANA 세션을 PANA 인증 클라이언트와 동시에 실행하여 전체 인증 지연을 줄이도록 구성하는 PANA 인증 에이전트를 포함하는 시스템.
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US76671406P | 2006-02-07 | 2006-02-07 | |
| US60/766,714 | 2006-02-07 | ||
| US11/558,921 | 2006-11-12 | ||
| US11/558,921 US8006089B2 (en) | 2006-02-07 | 2006-11-12 | Multiple PANA sessions |
| PCT/JP2007/052074 WO2007091577A1 (en) | 2006-02-07 | 2007-01-31 | Multiple pana sessions |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20070103735A true KR20070103735A (ko) | 2007-10-24 |
| KR100932325B1 KR100932325B1 (ko) | 2009-12-16 |
Family
ID=38057417
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020077012206A KR100932325B1 (ko) | 2006-02-07 | 2007-01-31 | 복수의 pana 세션 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US8006089B2 (ko) |
| EP (1) | EP1982498B1 (ko) |
| JP (2) | JP4823233B2 (ko) |
| KR (1) | KR100932325B1 (ko) |
| CN (1) | CN104080084B (ko) |
| CA (1) | CA2641495C (ko) |
| WO (1) | WO2007091577A1 (ko) |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2005706B1 (en) * | 2006-04-11 | 2018-12-12 | QUALCOMM Incorporated | Method and apparatus for binding multiple authentications |
| KR101329150B1 (ko) * | 2006-12-08 | 2013-11-14 | 삼성전자주식회사 | Pana 인증 방법 및 장치 |
| ATE460817T1 (de) * | 2006-12-19 | 2010-03-15 | Ericsson Telefon Ab L M | Verwaltung des benutzerzugangs in einem kommunikationsnetz |
| US8886802B1 (en) * | 2009-03-23 | 2014-11-11 | Symantec Corporation | Transport agnostic network access control |
| EP2276278A1 (en) | 2009-07-13 | 2011-01-19 | Research In Motion Limited | Methods and apparatus for maintaining secure connections in a wireless communication network |
| US8881305B2 (en) * | 2009-07-13 | 2014-11-04 | Blackberry Limited | Methods and apparatus for maintaining secure connections in a wireless communication network |
| JP5378296B2 (ja) | 2010-05-10 | 2013-12-25 | 株式会社東芝 | 通信装置および通信方法 |
| JP5468588B2 (ja) * | 2011-09-15 | 2014-04-09 | 株式会社東芝 | 通信装置及びプログラム |
| US8984590B2 (en) | 2011-11-08 | 2015-03-17 | Qualcomm Incorporated | Enabling access to key lifetimes for wireless link setup |
| US8676954B2 (en) * | 2011-12-06 | 2014-03-18 | Kaseya International Limited | Method and apparatus of performing simultaneous multi-agent access for command execution through a single client |
| JP6216868B2 (ja) * | 2013-05-22 | 2017-10-18 | コンヴィーダ ワイヤレス, エルエルシー | マシンツーマシン通信のためのネットワーク支援型ブートストラッピング |
| CN111416717B (zh) * | 2019-01-07 | 2023-01-03 | 中安网脉(北京)技术股份有限公司 | 一种sm2算法并行多路硬件实现方法 |
| CN112152790A (zh) * | 2019-06-26 | 2020-12-29 | 联合汽车电子有限公司 | 一种数据加密方法、解密方法、加密装置和解密装置 |
| NL2024116B1 (en) * | 2019-10-29 | 2021-07-19 | Sancoo B V | Method and system for identified communications |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1366597A2 (en) * | 2000-10-18 | 2003-12-03 | Koninklijke Philips Electronics N.V. | Multiple authentication sessions for content protection |
| US20020174335A1 (en) * | 2001-03-30 | 2002-11-21 | Junbiao Zhang | IP-based AAA scheme for wireless LAN virtual operators |
| AU2003276588A1 (en) * | 2002-11-18 | 2004-06-15 | Nokia Corporation | Faster authentication with parallel message processing |
| US7860978B2 (en) * | 2004-01-22 | 2010-12-28 | Toshiba America Research, Inc. | Establishing a secure tunnel to access router |
| US20050273853A1 (en) * | 2004-05-24 | 2005-12-08 | Toshiba America Research, Inc. | Quarantine networking |
| US20060002557A1 (en) * | 2004-07-01 | 2006-01-05 | Lila Madour | Domain name system (DNS) IP address distribution in a telecommunications network using the protocol for carrying authentication for network access (PANA) |
| US8688834B2 (en) * | 2004-07-09 | 2014-04-01 | Toshiba America Research, Inc. | Dynamic host configuration and network access authentication |
| US7716724B2 (en) * | 2005-06-16 | 2010-05-11 | Verizon Business Global Llc | Extensible authentication protocol (EAP) state server |
-
2006
- 2006-11-12 US US11/558,921 patent/US8006089B2/en not_active Expired - Fee Related
-
2007
- 2007-01-31 CA CA2641495A patent/CA2641495C/en not_active Expired - Fee Related
- 2007-01-31 JP JP2007547073A patent/JP4823233B2/ja not_active Expired - Fee Related
- 2007-01-31 KR KR1020077012206A patent/KR100932325B1/ko not_active IP Right Cessation
- 2007-01-31 WO PCT/JP2007/052074 patent/WO2007091577A1/en active Application Filing
- 2007-01-31 EP EP07713893.1A patent/EP1982498B1/en not_active Expired - Fee Related
- 2007-01-31 CN CN201410331138.XA patent/CN104080084B/zh not_active Expired - Fee Related
-
2011
- 2011-06-21 JP JP2011137783A patent/JP5323141B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| CA2641495C (en) | 2015-03-03 |
| JP5323141B2 (ja) | 2013-10-23 |
| CN104080084A (zh) | 2014-10-01 |
| WO2007091577A1 (en) | 2007-08-16 |
| EP1982498B1 (en) | 2015-06-03 |
| US20070186096A1 (en) | 2007-08-09 |
| US8006089B2 (en) | 2011-08-23 |
| JP2008537850A (ja) | 2008-09-25 |
| JP2011234394A (ja) | 2011-11-17 |
| CA2641495A1 (en) | 2007-08-16 |
| JP4823233B2 (ja) | 2011-11-24 |
| EP1982498A1 (en) | 2008-10-22 |
| CN104080084B (zh) | 2018-07-13 |
| KR100932325B1 (ko) | 2009-12-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR100932325B1 (ko) | 복수의 pana 세션 | |
| JP5955352B2 (ja) | 事前認証、事前設定及び/又は仮想ソフトハンドオフを使用するモビリティアーキテクチャ | |
| US8046829B2 (en) | Method for dynamically and securely establishing a tunnel | |
| JP5430709B2 (ja) | Eap拡張(eap−ext)のためのeapメソッド | |
| KR100807652B1 (ko) | Pana를 지원하는 매체-독립 사전 인증 프레임워크 | |
| EP2106591B1 (en) | Solving pana bootstrapping timing problem |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20121107 Year of fee payment: 4 |
|
| FPAY | Annual fee payment |
Payment date: 20131125 Year of fee payment: 5 |
|
| FPAY | Annual fee payment |
Payment date: 20141020 Year of fee payment: 6 |
|
| FPAY | Annual fee payment |
Payment date: 20151013 Year of fee payment: 7 |
|
| FPAY | Annual fee payment |
Payment date: 20161018 Year of fee payment: 8 |
|
| FPAY | Annual fee payment |
Payment date: 20171020 Year of fee payment: 9 |
|
| LAPS | Lapse due to unpaid annual fee |