KR20080007579A - 무선 근거리 네트워크에서의 안전한 핸드오프 - Google Patents

무선 근거리 네트워크에서의 안전한 핸드오프 Download PDF

Info

Publication number
KR20080007579A
KR20080007579A KR1020077025982A KR20077025982A KR20080007579A KR 20080007579 A KR20080007579 A KR 20080007579A KR 1020077025982 A KR1020077025982 A KR 1020077025982A KR 20077025982 A KR20077025982 A KR 20077025982A KR 20080007579 A KR20080007579 A KR 20080007579A
Authority
KR
South Korea
Prior art keywords
server
authentication
access point
mobile device
local area
Prior art date
Application number
KR1020077025982A
Other languages
English (en)
Inventor
구일라우메 비촛
준삐아오 장
사우라브흐 마터
Original Assignee
톰슨 라이센싱
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 톰슨 라이센싱 filed Critical 톰슨 라이센싱
Priority to KR1020077025982A priority Critical patent/KR20080007579A/ko
Publication of KR20080007579A publication Critical patent/KR20080007579A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/80Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/08Access point devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/18Service support devices; Network management devices
    • H04W88/182Network node acting on behalf of an other network entity, e.g. proxy

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

무선 근거리 네트워크에 액세스하는 디바이스의 인증을 위한 서버에 의해 키잉 정보(keying information)를 계산하는 단계 및 무선 근거리 네트워크의 안전한 도메인내에 포함되는 액세스 포인트로 서버에 의해 키잉 정보를 포워딩하는 단계를 포함하되, 액세스 포인트의 하나는 기술된 이동 디바이스와 연관되는, 시스템과 방법이 설명된다.
서버, 보안, 근거리, LAN, 핸드오프

Description

무선 근거리 네트워크에서의 안전한 핸드오프{SECURE HANDOFF IN A WIRELESS LOCAL AREA NETWORK}
본 발명은 무선 근거리 네트워크에서의 사용자 장비의 인증에 대한 것이다. 특히, 본 발명은 무선 근거리 네트워크에서의 사용자 장치를 위한 고속의 안전한 핸드오프 메커니즘에 관한 것이다.
무선 근거리 네트워크(WLAN) 기술의 발달은 결국 휴게실, 카페, 공항, 도서관 및 유사 공공 편의시설에서의 공개적으로 액세스 가능한 핫 스포트(hot spot)를 초래하였다. 현재, 공개 WLAN은 이동 통신 디바이스(클라이언트) 사용자에게 사내 인트라넷과 같은 사설 데이터 네트워크, 또는 인터넷, P2P(Peer-To-Peer) 통신 및 생방송 무선 TV 방송과 같은 공중 데이터 네트워크에 대한 액세스권을 제공한다. 이용가능한 높은 대역폭(보통 초당 10메가 비트 초과)뿐만 아니라 공중 WLAN를 구현하고 동작시키는 비교적 저렴한 비용은 공중 WLAN을 이동 무선 통신 디바이스 사용자가 외부 엔티티와 패킷을 교환할 수 있는 이상적인 액세스 메커니즘으로 만든다.
보안은 무선 근거리 네트워크에서 개선되고 있다. IEEE 802.1x 원격 인증과 같은 표준의 채택은 유연성, 확장성 및 한층 높은 보안성을 제공한다. 기본적으로, 액세스 포인트와 관련한 이동 디바이스는 데이터를 송/수신할 수 있기 전에 인증되어야만 한다. 인증 프로세스는 액세스 포인트에 의해 촉발되지만, 실제로 인증, 권한부여 및 계정관리 (AAA:Authentication, Authorization and Accounting) 서버(또한 "인증 서버"로도 불림)와 사용자 장비 사이에 관리된다. 일단 이동국/ 사용자 장비가 인증되면, AAA 서버는 이동 디바이스에 액세스권을 부여하고 암호키를 전달하기 위해 액세스 포인트와 통신한다.
그러나, 이들 표준은 고려중인 무선 네트워크로 기록되지 않는다. 이러한 결말은 이동국의 핸드오프(즉, 액세스 포인트에 의해 커버되는 하나의 영역으로부터 다른 액세스 포인트에 의해 커버되는 다른 영역으로 이동)가 발생되는 경우, 이동국은 전체 인증 프로세스를 다시 계속해야만 한다.
액세스 포인트간 프로토콜에 관해 연구하는 IEEE 802.11 워킹 그룹 내에 소그룹이 있다. 이러한 프로토콜의 기초가 되는 사상은 이동국의 핸드오프가 2개의 액세스 포인트 사이에 발생하는 경우, 인터-액세스 포인트 프로토콜은 2개의 액세스 포인트가 그렇지 않으면 손실되었을 패킷 데이터뿐만 아니라 이동국/사용자 장비 문맥 데이터(context data)를 전달하는 것을 허용한다. 이러한 프로토콜은 인증에 관련한 일부 정보를 전달하기 위해 사용될 수 있다. 문제는 이 프로토콜이 2개의 액세스 포인트만 -즉 현재의 핸드오프에 관련된 2개의 액세스 포인트 만을 필요로 한다는 점이다. 따라서, 이동국이 2개의 액세스 포인트 사이에 핸드오프될 때마 다, 풀(full) 인증이 요구된다.
이동 사용자가 핫 스포트(hotspot) 네트워크 내로 로밍하는 경우, 핫 스포트 및 사용자 서비스 제공자 네트워크가 사용자를 인증하고 사용자 액세스를 부여하기 위해 로밍 프로토콜을 수행하는 것이 필요할 수 있다. 더 상세하게는, 사용자가 공중 WLAN 적용범위 영역 내에 있는 서비스를 액세스하고자 하는 경우, WLAN은 네트워크 액세스를 수여하기 전에, 먼저 사용자를 인증하고 인가한다. 인증이후, 공중 WLAN은 이동 통신 디바이스에 대한 안전한 데이터 채널을 열어 WLAN과 디바이스 사이를 통과하는 데이터의 프라이버시를 보호한다. 현재, WLAN 장비의 많은 제조자들은 사용된 장비를 위한 IEEE 802.1x 표준을 채택하였다. 따라서, 이 표준은 WLAN에 의해 이용되는 유력한 인증 매커니즘이다. 불행히도, IEEE 802.1x 표준은 사용 모델로서 사설 LAN 액세스로 설계된다. 따라서, IEEE 802.1x 표준은 공중 WLAN 환경에서 보안을 향상시키는 일부 특징을 제공한다.
웹 브라우저 기반의 인증 방식에 있어서, 이동 단말기(MT)는, HTTPS(Hyper Text Transfer Protocol Secured Sockets) 프로토콜을 통한 웹 브라우저를 사용하여, 직접 AAA 서버(AS)와 인증하고, 액세스 포인트(AP)(MT와 AS사이의 경로 상에 있는 임의 다른 디바이스/구성요소)는 극비의 사용자 정보를 침해하거나 또는 훔치지 못하는 것을 보장한다. 채널이 보안중인 경우, AP는 AS에 의해 명백하게 통지되지 않는다면, 인증의 결과를 결정할 수 없다. 그러나, AS가 MT에 관련된 정보만이 HTTPS 세션의 다른 말단에서 자신의 인터넷 프로토콜 또는 IP 어드레스가 된다. 방화벽이 있는 경우, NAT(Network Address Translation) 서버 또는 웹 프록시가 전자 적으로 AS 와 MT 사이에 위치하게 되는 경우, 이는 보통 가상 조작자 구성의 경우이며, AS가 세션을 초기화하여 인증의 결과에 관해 AP에 통지하고 MT를 식별하는 것은 어렵거나 또는 심지어 불가능하다.
대부분의 현재 WLAN 핫 스포트 무선 제공자는 사용자 인증 및 액세스 제어를 위한 웹 브라우저 기반한 솔루션을 사용하며, 이 웹 브라우저는 사용자에 편리한 것으로 판명되었고 사용자 디바이스상으로 어떤 소프트웨어의 다운로드도 요구하지 않는다. 이러한 솔루션에서, 사용자는 안전하게 서버에 의해 HTTPS틀 통하여 인증되며, 순차로 이 서버는 사용자에 액세스를 부여하도록 무선 AP에 통지한다. 이러한 인증 서버(AS)는 WLAN 조작자, 또는 ISP(Independent Service Provider), 선불 카드 제공자 또는 셀룰라 조작자와 같은, 가상 조작자로서 더 넓게 언급되는, 임의 제 3 자 제공자에 의해 소유될 수 있다.
종래기술에 있어서, 인증은 사용자와 인증 서버 사이의 통신, 즉 안전한 터널을 통하여 달성된다. 그러나 그것만으로, AP는 사용자와 인증 서버 사이의 통신을 번역하지 못한다. 그 결과, AP와 인증 서버(AS) 사이의 인가정보로 명칭되는 별도 통신이 확립되어야만 AP는 인가정보를 통지받는다.
AP에서의 액세스 제어는 이동 통신 디바이스/클라이언트 디바이스의 어드레스에 기반하며, 이 어드레스는 물리적 어드레스(PHY), 미디어 액세스 제어(MAC) 어드레스 또는 인터넷 프로토콜(IP) 어드레스가 될 수 있으며, 따라서 인증 서버는 인증 결과를 AP에 돌려주는 경우, 식별자로서 이동 단말기(MT) IP 어드레스 (HTTPS 터널의 소스 어드레스)를 사용할 수 있다. 이러한 접근방식은, 만일 방어벽 또는 AP 및 인증 서버(AS)사이의 NAT가 존재하지 않는다면, 성공한다. 인증 서버가 수신하는 소스 어드레스는 웹 프록시의 어드레스일 것이며, 이 어드레스는 이동 단말기 사용자 디바이스를 식별하기 위해 사용될 수 없으며, 따라서 안전한 연결을 보장함에 있어서 AP에 의해 사용될 수 없다.
필요한 것은 보안을 손상시키지도 않고 무선 근거리 네트워크에서의 핸드오프에 대한 속도를 향상시키기 위한 메커니즘이다.
본 발명의 환경(context)은 이동 통신 디바이스(또한, "클라이언트" 또는 "클라이언트 디바이스" 또는 "사용자 장비" 또는 "이동국" 또는 "이동 단말기"로 불림)를 위한, 및 고정 배선식 근거리(hard wired local area)와 같은 다른 네트워크 ,및 인터넷과 같은 글로벌 네트워크에 대한 액세스를 제공하는 액세스 포인트를 가지는 IEEE 802.1x 아키텍처를 사용하는 무선 근거리 네트워크 계열이다. 본 발명은 보안을 손상시키는 것 없이 고속의 부드러운(smooth) 핸드오프 메커니즘을 제공한다. 적어도 한번 인증되었던 이동국/사용자 장비는 재-인증 필요없이도 핸드오프될 수 있다. 본 발명은 인증 서버에 의해 자신의 안전한 범위(또는 안전한 도메인)하에 있는 액세스 포인트의 세트에 키 재료(keying material)를 브로드캐스팅하는 것을 포함하는 메커니즘이다. 이런 방식으로, 이동국/클라이언트가 액세스 포인트 간에 부드럽게 핸드-오프될 수 있다. 비록 본 발명이 잠정 기준(working assumption)으로서 IEEE 802.11 무선 프로토콜을 사용할 지라도, 본 발명의 메커니즘은 어떠한 무선 기술의 임의의 인프라스트럭처(infrastructure) 무선 근거리 네트워크에도 적용가능하다. 인프라스트럭처는 이동국으로부터/으로의 임의의 트래픽을 포함한다. 이는 보통 클라이언트-서버 모델의 상황 내에 있고 보통 액세스 포인트를 지나가는 트래픽을 수반한다.
무선 근거리 네트워크에 액세스하는 디바이스의 인증을 위한 서버에 의해 입력된 정보를 계산하는 것과, 이 서버에 의해 무선 근거리 네트워크의 안전한 도메인내에 포함된 액세스 포인트로 키잉 정보를 포워딩하는 것을 포함하며, 여기서 액세스 포인트의 하나가 이동 디바이스와 관련되는, 시스템과 방법이 기술된다.
본 발명은 첨부된 도면과 관련하여 읽혀지는 경우, 다음의 상세한 설명으로부터 최선으로 이해된다.
도 1은 원격 인증을 위한 일반적인 종래기술의 구성.
도 2는 본 발명에 따라 모든 액세스 포인트에 키잉 매터리얼(keying material)의 배포/브로드캐스팅을 묘사한 도면.
도 3은 본 발명에 따라 액세스 포인트에 의해 키잉 매터리얼의 배포/브로드캐스팅을 묘사한 도면.
도 4는 본 발명에 따라 인증, 인가 및 계정관리(AAA:Authentication, authorization and accounting) 서버와 이동 단말기, 액세스 포인트 사이의 메시지 흐름을 나타내는 사다리도.
도 1은 원격 인증을 위한 일반적인 종래 기술의 구성이다. 이동국/클라이언트 디바이스는 액세스 포인트1 (105)와 관련된다. 액세스 포인트는 소위 AAA 프록시 서버(110)을 통하여 원격 AAA 서버(115)와 DIAMETER/RADIUS 연결을 확립한다. 이러한 AAA 프록시 서버(110)는 엄격히 요구되지는 않지만, 그러나 실제적으로 대단히 유용하다. 이는, 이동국(120)과 관련된 액세스 포인트(110)가 하나의 AAA 서버 어드레스 - 즉, AAA 프록시 서버(110)의 어드레스로 구성되는 것을 허용한다. 그 결과, 단지 하나의 RADIUS/DIAMETER 연결이 이동국과 연결된 AP 및 AAA 프록시 서버사이에 요구된다. AAA 프록시 서버는 수개의 AAA 서버와의 수개 연결을 관리한다.
인증 교환은 사용자 장비/클라이언트 디바이스(120)와 연장 인증 프로토콜(EAP:Extened Authentication Protocol)을 경유하는 원격 AAA 서버(115) 사이에 발생한다. EAP 메시지는 전용 RADIUS/DIAMETER 메시지 내에 있는 이동국(120)과 관련된 AP(105)를 통하여 투명하게 전송된다. 일단 인증되면, AAA 서버(115)는 DIAMETER/RADIUS 프로토콜을 이용하여, (만일 존재한다면) AAA 프록시 서버(110)을 통하여 액세스 포인트1 (105)를 구성한다. AAA 서버(115)는 AP(105)에 신호를 보내 이동국/클라이언트 디바이스(120)는 액세스를 부여받는다(예를 들면, 이동국은 데이터 패킷을 전송하고 수신하여 인터넷에 도달할 수 있다). AAA 서버(115)는 또한 액세스 포인트(105)에 의해 사용된 액세스 포인트(105)에 키잉 매터리얼(keying material)을 전송하여 이동국(MS)/이동 단말기(MT)(120)로부터 오는/이동 단말 기(120)로 가는 데이터 패킷을 암화화한다. 이 포인트에서, 인증 서버는 이미 이동국(120)에 인증 프로세스를 통하여 키잉 매터리얼을 이미 전달했다. 이 원격 인증 프로세스는 상당히 시간 소모적이고, 이동국이 액세스 포인트와 관련 또는 재관련될 때마다, 수행될 필요가 있다. 도 1에 관해, 만일 MT(120)가 핸드오프를 위해 액세스 포인트2 (125)의 시야쪽으로 이동한다면, MT는 다시 인증 프로세스를 수행해야만 한다.
본 발명에 있어서, AAA 서버(115)가 MT(120)를 필요로 하는 새로운 세션을 위해 키잉 매터리얼을 계산한 후, 서버는 MT(120)가 관련된 액세스 포인트(105)(도 2에서 액세스 포인트1 (105))뿐만 아니라 AAA 서버(115)의 안전한 범위 하에 있는 모든 AP에 키잉 매터리얼을 전송한다. AAA 서버(115)의 안전한 범위는 액세스 포인트의 세트를 다른 안전한 도메인으로 분할하여 무선 근거리 네트워크의 보안 및 관리를 향상시키는 것을 포함하는 구성 파라메터(configuration parameter)이다. 2개의 액세스 포인트를 구성하는 소(small)무선 근거리 네트워크는 단지 하나의 안전한 도메인 또는 안전한 범위(scope)를 가질 것이다. 다수의 액세스 포인트를 포함하는 대(large)무선 근거리 네트워크는 다수의 안전한 도메인 또는 안전한 범위를 가질 수 있을 것이다. 안전한 도메인은 중첩될 수 있다.
키잉 매터리얼(keying material)은 세션키, MT의 식별(예를 들면, MT의 MAC 어드레스), 및 AAA 서버의 도메인 이름(MT는 다른 AAA 서버들과 병렬로, 그러나 단일 AP를 경유하여 수개의 세션에 참가할 수 있다)에 상응한다. 세션키를 포함하는 메시지를 수신하는 각 액세스 포인트는 MT의 MAC 어드레스, AAA 도메인 이름 및 대 응 세션키를 이용하여 자신의 내부 보안 테이블을 갱신한다.
이동 단말기가 동일한 안전한 도메인/안전한 범위에 있는 다른 액세스 포인트로 핸드오프되는 경우, 이 단말기는 이전 시나리오에서와 같이 액세스 포인트와 관련된다. 그러나, 새로운 AP는 자신의 내부 보안 테이블을 체크하고 MT의 MAC 어드레스와 매칭되는 내부 보안 테이블에 엔트리를 위치시킨다. 이후, 액세스 포인트는 MT를 위한 대응 세션키를 읽어들여 암호화/암호해독을 도출할 수 있다.
이 방식은 아무런 인증도 필수적이지 않음을 검출하는 어느 이동국이 무선 근거리 라디오 기술에 연결되는 것이다. 예를 들면, IEEE802.11에 있어서, IEEE 802.1x가 아마도 추천될 것이다. IEEE 802.1x는 EAPOL(Ethernet extended Authentication Protocol Over Local area network)에 대한 프로토콜을 정의한다. 액세스 포인트와 연계된 이후, 이동국은 EAPOL-START 패킷을 전송함으로써 인증 프로세스를 초기화한다. 만일 인증이 필수적이 아니면, 액세스 포인트는 메시지를 무시한다.
AAA 서버는 필요시마다 인증 또는 재-인증을 촉발한다. 새로운 세션키가 계산되는 경우, 이 세션키는 모든 액세스 포인트에 전송된다. AAA 서버로부터 액세스 포인트로 키잉 매터리얼을 전송하는 수개의 방식이 있으며, 이때 키잉 매터리얼은 유니캐스트, 멀티캐스트 또는 브로드캐스트가 될 수 있다. 소스 어드레스는 AAA 프록시 서버(또는 만일 AAA 프록시 서버가 없다면 AAA 서버)의 소스 어드레스이고, 목적지 어드레스는 유니캐스트 모드를 위한 각 액세스 포인트의 목적지 어드레스 또는 이러한 사용에 전용된 IP 멀티캐스트 그룹 어드레스 또는 안전한 도메인/안전 한 범위에 있는 모든 AP의 목적지 어드레스가 된다. 유니캐스트 모드는 RADIUS/DIAMETER 클라이언트가 디폴트로 유니캐스트를 지원하므로, 가장 단순한 해소법이다. 멀티캐스트와 브로드캐스트는 편리한데, 이는 이들이 AAA 서버가 앞서 액세스 포인트의 리스트를 아는 것을 강제하지 않기 때문이다. 그러나, 멀티캐스트 및 브로드캐스트는 DIAMETER에 의해 현재 지원되지 않는다.
AAA 프록시 서버의 존재는 AAA 서버가 도 2에 기술된 무선 근거리 네트워크 도메인의 밖에 있는 경우, 구현을 단순하게 만든다. AAA 프록시 서버가 없는 경우, 키잉 매터리얼을 요구하는 액세스 포인트에 키잉 매터리얼을 전송하는 것은 AAA 서버의 의무이다. AAA 프록시 서버의 경우, AAA 서버는 AAA 프록시 서버에 키잉 매터리얼을 전송하고, AAA 프록시 서버 도메인의 식별을 더한 키잉 매터리얼 및 MT의 식별을 안전한 도메인/안전한 범위 내에 있는 모든 다른 액세스 포인트에 포워딩할 책임이 있다.
도 3은 본 발명의 다른 실시예를 묘사한다. 인증이 수행된 이후(단계 1을 참조), 키잉 정보/매터리얼은 인증된 MT(120)(단계 2를 참조)와 관련된 액세스 포인트(도 3에서 액세스 포인트1 (105))로 패스된다. 본 발명의 이러한 실시예에서, AAA 기능(서버 또는 프록시)은 키잉 매터리얼의 배포에 관해 명료(transparent)하다. 일단 인증된 이동국과 관련된 액세스 포인트(105)(도 3에서 액세스 포인트1 (105))가 구성된다면, 이 액세스 포인트는 (가능하다면) 브로드캐스트, (가능하다면) 멀티캐스트, 또는 유니캐스트 네트워크 수단을 사용하여, 다른 액세스 포인트(단계 3을 참조)로 키잉 매터리얼을 포워딩한다. 브로드캐스트 또는 멀티캐스트가 선호되는데, 이는 소스 액세스 포인트가 무선 근거리 네트워크 내에 존재하는 액세스 포인트의 리스트를 미리 알 필요가 없기 때문이다.
이동국이 핸드오프되어 AP가 특정 이동국에 관한 최신의 키잉 매터리얼을 가지지 않게 되어, 액세스 포인트는 구성되지 않았을 가능성이 있다. 이 액세스 포인트는 그 이동 단말기로부터 오는 패킷을 암호해독할 수 없게 함으로써 이러한 조건을 검출한다. 이 예에서, 액세스 포인트는 풀(full) 인증을 촉발한다.
액세스 포인트는 영구히 키(keying) 기록을 저장할 수 없다. TTL(Time-To-Live)은 키잉 매터리얼과 관련된다. 일단 TTL이 만료되면, 액세스 포인트는 메모리로부터 기록을 제거한다. TTL은 타이머로서 구현되며, 각 액세스에 따라 연장/증가될 수 있다.
도 4는 본 발명에 따른, 이동 단말기, 액세스 포인트 및 인증, 인가 및 계정관리(AAA: Authentication, Authorization and Accounting) 서버 사이의 메시지 흐름을 나타내는 사다리도이다. 도 4는 AAA 서버에 의해 키잉 매터리얼의 배포를 위한 일실시예를 보여준다. 본 도면은 한 가지 가능한 키잉 매터리얼 배포 메커니즘을 단지 명료하게 하기 위한 것이다. 실제 구현에 있어서, 일부 단계는 효율성 또는 다른 이유를 위해 함께 결합되거나 또는 제거될 수 있다.
도 4에서, MT는 그 자신을 연관 요청(association request)(420)을 통하여 AP1과 연관시킨다. MT는 인증 요청(415)을 통해 AAA 서버에 자신을 인증한다. AAA 서버는 AP2뿐만 아니라 AP1, MT로 키잉 매터리얼(435,425,430)을 전송한다. 만일 MT가 AP2와 연관되면, AP2는 이미 자신의 캐쉬 내에 그 MT를 위한 키잉 매터리얼을 가지고 있을 수 있다(이는 MT가 MT를 위한 AP2에서 캐쉬 엔트리의 만료전에 AP2와 연관됨을 의미한다.
본 발명은 예를 들면, 이동 단말기, 액세스 포인트, 또는 셀롤라 네트워크 내에서, 하드웨어, 소프트웨어, 펌웨어, 특수 목적용 프로세서 또는 이들의 조합의 다양한 형태로 구현될 수 있음을 이해해야한다. 바람직하게는, 본 발명은 하드웨어와 소프트웨어의 조합으로서 구현된다. 더욱이, 소프트웨어는 바람직하게는 프로그램 스토리지 디바이스 상에 명백히 구현되는 어플리케이션 프로그램으로서 구현된다. 이 어플리케이션 프로그램은 임의의 적절한 아키텍처를 포함하는 머신에 업로드되어 실행될 수 있다. 바람직하게는, 머신은 하나 이상의 CPU(Central Processing Unit), RAM(Random Access Memory), 및 I/O(Input/Output) 인터페이스와 같은 하드웨어를 가지는 컴퓨터 플랫폼 상에 구현된다. 또한, 이 컴퓨터 플랫폼은 운영 체제 및 마이크로명령어(microinstruction) 코드를 포함한다. 여기에 기술된 다양한 프로세스 및 기능은 마이크로명령어 코드의 일부 또는 어플리케이션 프로그램의 일부(또는 이들의 조합)이 될 수 있으며, 이 코드 또는 프로그램은 운영 체제를 통하여 실행된다. 덧붙여, 추가 데이터 스토리지 디바이스 및 프린팅 디바이스와 같은 다양한 다른 주변 디바이스가 컴퓨터 플랫폼에 연결될 수 있다.
첨부된 도면에 기술된 구성 시스템 구성요소의 일부 및 방법 단계가 바람직하게는 소프트웨어로 구현되므로, 시스템 구성요소(또는 프로세스 단계)사이의 실제 연결은 본 발명이 프로그래밍되는 방식에 의존하여 다를 수 있음을 더 이해해야한다. 여기의 교지가 주어진다면, 당업자라면 본 발명의 이들 및 유사한 구현 또는 구성을 포함할 수 있을 것이다.
본 발명은 무선 근거리 네트워크에서의 사용자 장비의 인증에 대한 것으로서, 무선 근거리 네트워크에서의 사용자 장치를 위한 고속 안전한 핸드오프 메커니즘에 이용가능하다.

Claims (16)

  1. 방법으로서,
    서버에 의해, 무선 근거리 네트워크에 액세스하는 디바이스의 인증을 위한 키잉 정보(keying information)를 계산하는 단계; 및
    상기 서버에 의해, 상기 무선 근거리 네트워크의 안전한 도메인에 포함된 액세스 포인트로 상기 키잉 정보를 포워딩하는 단계를 포함하되, 상기 액세스 포인트 중 하나는 이동 디바이스와 관련되는, 방법.
  2. 제 1 항에 있어서,
    상기 이동 디바이스에 의해, 상기 이동 디바이스와 연관된 상기 액세스 포인트 중 상기 하나와 통신을 확립하는 단계;
    상기 이동 디바이스와 연관된 상기 액세스 포인트 중 상기 하나와 상기 서버사이의 연결을 확립하는 단계; 및
    상기 서버에 의해, 상기 이동 디바이스를 인증하는 단계를 더 포함하는, 방법.
  3. 제 2 항에 있어서,
    상기 연결은 서버를 통한, 방법.
  4. 제 2 항에 있어서,
    상기 연결은 RADIUS/DIAMETER 프로토콜을 사용하여 확립되는, 방법.
  5. 제 1 항에 있어서,
    상기 포워딩 단계는 상기 키잉 정보를 프록시 서버에 포워딩하는 단계를 더 포함하고, 상기 서버는 상기 안전한 도메인에 있는 상기 액세스 포인트에 상기 키잉 정보를 포워딩하는, 방법.
  6. 제 1 항에 있어서,
    상기 키잉 정보는 상기 이동 디바이스의 식별 정보, 상기 서버의 도메인 이름 및 세션키를 포함하는, 방법.
  7. 제 1 항에 있어서,
    상기 서버는 인증, 인가 및 계정관리(authentication, authorization and accounting) 서버인, 방법.
  8. 서버를 포함하는 시스템으로서,
    상기 서버는, 키잉 정보를 계산하고 상기 계산된 키잉 정보를 무선 근거리 네트워크의 안전한 도메인 내에 포함된 액세스 포인트로 포워딩하는, 서버를 포함하는 시스템.
  9. 제 8 항에 있어서,
    상기 이동 디바이스는 상기 액세스 포인트의 하나와 연관되되, 상기 서버는 상기 이동 디바이스를 인증하는, 서버를 포함하는 시스템.
  10. 제 8 항에 있어서,
    상기 서버는 인증, 인가 및 계정관리 서버인, 서버를 포함하는 시스템.
  11. 제 9 항에 있어서,
    상기 이동 디바이스와 상기 서버와 연관된 상기 액세스 포인트 중의 상기 하나 사이에 연결이 확립되는, 서버를 포함하는 시스템.
  12. 제 11 항에 있어서,
    상기 연결은 프록시 서버를 통하는, 서버를 포함하는 시스템.
  13. 제 11 항에 있어서,
    상기 연결은 RADIUS/DIAMETER 프로토콜을 사용하여 확립되는, 서버를 포함하는 시스템.
  14. 제 8 항에 있어서,
    상기 키잉 정보는 상기 키잉 정보를 프록시 서버로 포워딩함으로써 포워딩되고, 상기 프록시 서버는 상기 키잉 정보를 상기 안전한 도메인 내에 포함되는 상기 액세스 포인트로 포워딩하는, 서버를 포함하는 시스템.
  15. 제 8 항에 있어서,
    상기 키잉 정보는 상기 이동 디바이스의 식별정보, 상기 및 세션키의 도메인 이름을 포함하는, 서버를 포함하는 시스템.
  16. 제 12 항에 있어서,
    상기 프록시 서버는 인증, 인가 및 계정관리 프록시 서버인, 서버를 포함하는 시스템.
KR1020077025982A 2007-11-08 2005-05-16 무선 근거리 네트워크에서의 안전한 핸드오프 KR20080007579A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020077025982A KR20080007579A (ko) 2007-11-08 2005-05-16 무선 근거리 네트워크에서의 안전한 핸드오프

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020077025982A KR20080007579A (ko) 2007-11-08 2005-05-16 무선 근거리 네트워크에서의 안전한 핸드오프

Publications (1)

Publication Number Publication Date
KR20080007579A true KR20080007579A (ko) 2008-01-22

Family

ID=39220733

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020077025982A KR20080007579A (ko) 2007-11-08 2005-05-16 무선 근거리 네트워크에서의 안전한 핸드오프

Country Status (1)

Country Link
KR (1) KR20080007579A (ko)

Similar Documents

Publication Publication Date Title
US20090282238A1 (en) Secure handoff in a wireless local area network
EP1500223B1 (en) Transitive authentication authorization accounting in interworking between access networks
US7389412B2 (en) System and method for secure network roaming
JP5054772B2 (ja) アクセス専用キーを提供する方法およびシステム
JP4701172B2 (ja) リダイレクトを使用してネットワークへのアクセスを制御するシステム及び方法
Buddhikot et al. Design and implementation of a WLAN/CDMA2000 interworking architecture
FI105966B (fi) Autentikointi tietoliikenneverkossa
US7792527B2 (en) Wireless network handoff key
US8817757B2 (en) Zero-configuration secure mobility networking technique with web-based authentication interface for large WLAN networks
JP4575679B2 (ja) 無線ネットワークハンドオフ暗号鍵
US20030031151A1 (en) System and method for secure roaming in wireless local area networks
US8031672B2 (en) System and method for providing secure mobility and internet protocol security related services to a mobile node roaming in a foreign network
US20060264201A1 (en) Identity mapping mechanism in wlan access control with public authentication servers
WO2006068450A1 (en) System and method for providing mobility and secure tunnel using mobile internet protocol within internet key exchange protocol version 2
US7698436B2 (en) IP connection processing device
US20040133806A1 (en) Integration of a Wireless Local Area Network and a Packet Data Network
KR20080007579A (ko) 무선 근거리 네트워크에서의 안전한 핸드오프
Krishnamurthi et al. Using the liberty alliance architecture to secure IP-level handovers
Yogi et al. A Systematic Review of Security Protocols for Ubiquitous Wireless Networks
Yamada et al. A lightweight VPN connection in the mobile multimedia metropolitan area network
Komarova et al. Secure User’s Mobility: the current situation
Dunmore et al. of Deliverable: Framework for the Support of IPv6 Wireless LANs

Legal Events

Date Code Title Description
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid