KR20090081006A

KR20090081006A - 공중 액세스 포인트

Info

Publication number: KR20090081006A
Application number: KR1020097011624A
Authority: KR
Inventors: 데니스 마이클 볼파노
Original assignee: 마이크로소프트 코포레이션
Priority date: 2004-01-09
Filing date: 2004-12-14
Publication date: 2009-07-27
Also published as: JP5253442B2; KR20100002283A; KR20060129005A; US8675559B2; JP2010178357A; US20110321128A1; KR20130049812A; EP1702434A2; JP5330298B2; WO2005069784A3; JP2007518356A; CN101707596A; CN1910861A; JP5865578B2; CN1910861B; US20140337966A1; JP2010178356A; US7986937B2; KR100933097B1; US8767623B2

Abstract

본 발명은 IEEE Std 802.11 구성요소를 이용한 개인용 VLAN 브리지에 관한 것이다. 이는 공중 액세스 포인트로 언급되는 브리지로서, IEEE Std.802.11 아키텍처보다 공중 무선 데이터 네트워크를 실현하는데 더 적합하다. 본 발명은 공중 액세스 포인트를 상호 접속하는 브리지의 전송 테이블을 갱신 하기 위한 위치 갱신 프로토콜을 제공한다. 본 발명은 정교한 브리징으로 언급되는 보다 제어된 브리징을 위한 방법을 제공한다.

PAP, VLAN, 전송 테이블, 가상 베이직 서비스 세트.

Description

공중 액세스 포인트{PUBLIC ACCESS POINT}

본 발명은 전자 네트워크로의 무선 공중 액세스에 관한 것이다. 보다 구체적으로, 본 발명은 전자 네트워크에 대한 물리적 액세스 포인트 내에서 가상 베이직 서비스 세트(virtual basic service set)의 생성을 허용하는 아키텍처에 관한 것이다.

공중 WiFi 핫스폿(hotspot)은 전통적인 IEEE Std.802.11-일부 제외된 컴플리언트 액세스 포인트를 이용하여 배치된다. 그러나, IEEE Std.802.11 아키텍처와 보안 모델은 공중 사용에는 부적합하다. 액세스 포인트(Access Point, 액세스 포인트)와 연계된 스테이션은 802.11 베이직 서비스 세트(이하 BSS) 또는 무선 LAN을 공유한다. BSS의 모든 요소(member)가 신뢰될 수 없는 한, BSS에서의 어떤 스테이션이라도 다른 요소에 의해 시작되는 공격(attack)으로부터 안전할 수 없다. 이러한 공격은 베이직 서비스와, 이 서비스를 받기 위해 가입자에 의해 제공되는 패스워드와 신용카드 정보 등의 기밀 정보의 절도(stealing)를 포함한다. 다른 공격은 네트워크 무결성(integrity)과 서비스의 품질 저하를 포함한다. 예를 들어, 공중 액세스 포인트와 연계된 스테이션으로 구성된, 공중 서비스 세트의 모든 요소를 신 뢰할 수 있게 되기를 기대하는 것은 비현실적이다. 따라서, 스테이션은 공중 BSS에서 취약하다.

공중 BSS를 공유하는 것은 또 다른 위협(threat)을 제공한다. BSS의 요소는 다른 요소의 스테이션을 웜(worms)이나 트로이안 목마(Trojan horses)로 감염시킬 수 있다. 포트-기반 DCOM RPC 공격, MSBlaster, 및 Welchia 웜은 좋은 예이다. 이 위협은 전자적 세스풀(cesspool)인 공중 BSS로 더욱 심각해진다. 스테이션은 어떻게 이 위협에 대처할 것인가?

BSS에서의 스테이션은 개인 방화벽과 같은 방어물로 자체적으로 방어할 수 있다. 대안적으로, 공중 WiFi 공급자는 상호간 가입자들을 보호하는 보안 모델을 배치할 수 있다. 하나의 접근법은 스테이션 상호 간의 통신(inter-station communication)을 방지하는 것이다. 그러나 이는 성립될 수 없는 해결책이다. 상호 신뢰하는 스테이션은 공중 세팅일지라도 그들 사이의 통신이 허용되어야만 한다. 예를 들면 컨벤션 센터(convention center)에서 개최된 회의에서 스테이션은 동일 지역 LAN 상의 파일 서버로 액세스할 수 있어야만 한다. 예컨대, 이는 표준 회의에서 통상적인 관례이다. 또한 이런 종류의 공유가 허용된다면 IEEE Std.802.11하에서는 침입자가 전체 BSS를 동작 불가능하게 하는 것이 쉬워진다. 이는 라스베가스에서 열린 2001 Usenix Security Conference와 2001 DEFCON Conference에서 논증되었다. 취약성을 도입하지 않고 이런 종류의 공유를 지원할 수 있는 무선 LAN용의 보안 모델은 현재 없다.

취약성의 도입함이 없이 또는 BSS를 이용하는 스테이션 사이의 보안성을 손 상하지 않고 단일한 물리적 BSS의 공유를 지원할 수 있는 무선 LAN용의 보안 모델을 제공하는 것이 유리할 것이다.

본 발명은 취약성의 도입이나 스테이션 보안의 손상 없이 스테이션에 의한 단일한 물리적 BSS의 공유를 지원할 수 있는 무선 LAN 용의 보안 모델을 제공한다. 따라서, 새로운 종류의 액세스 포인트가 제공되고, 이는 공중 액세스 포인트(Public Access Point, PAP)로 이하 언급된다. PAP는 IEEE Std.802.11에 의해 전술한 것과는 상이한 보안 아키텍처를 갖는다. PAP 아키텍처는 단일한 물리적 액세스 포인트내에서 가상 베이직 서비스 세트의 생성을 허용한다. 임의의 수의 가상 서비스 세트가 생성될 수 있고, 어떤 수의 종단 스테이션(end station)이라도 가상 BSS에 소속될 수 있다. PAP는 각각의 가상 BSS에 대해 하나씩 다중 물리적 802.11 액세스 포인트로서 종단 스테이션에 나타난다. 따라서, PAP는 어떤 802.11 종단 스테이션과도 완전하게 공동조작(interoperable)이 가능하다.

PAP 사용의 일례로서, 컨벤션 센터를 들 수 있다. 상이한 회의는 802.11-인에이블된 프로젝터를 이용할 수 있다. PAP는 각각의 회의에 대해 개별적인 LAN 세그먼트를 제공하고 각각에 대해 개별적인 링크 프라이버시 및 무결성을 제공하는 것을 허용한다. IEEE Std.802.11만을 사용하는 대신, 회의 프로젝터와 이를 이용해 프로젝팅할 수 있는 모든 스테이션은 사설 액세스 포인트(private access point) 또는 전용 WLAN을 이용해야만 하며, WLAN 회원, 인증 및 중요한 자료(keying material)를 관리해야만 한다. 그렇지 않다면, 누구라도 프로젝터로 투사할 수 있으며, 더욱 나쁘게는 디스플레이되기 전에 유효한 프로젝터 트래픽을 차단하여 외 부인에 의해 모니터되거나 손상될 수 있다.

또한, 종래의 접근법과 연관된 보안 관리 부담이 매우 높고, 회의 입안자는 모든 장소에 그 소유의 것을 인스톨하고 구성하는 것 대신에 로컬 액세스 포인트(local access point)를 사용하는 것을 선호한다. PAP는 모든 보안을 운영할 수 있다. 그에 따라, 공유된 프로젝터와 임의의 로컬 파일 서버를 포함하는 각각의 회의에서 모든 종단 스테이션은 그 회의에 대한 가상 802.11 액세스 포인트에 효율적으로 연계될 수 있고, 모든 가상 액세스 포인트는 동일한 물리적 PAP로부터 발생된다.

본 발명은 공중 액세스 포인트를 서로 접속하는 브리지의 전송 테이블(forwarding table)을 갱신하기 위한 위치 갱신 프로토콜을 제공한다.

또한, 본 발명은 정교한 브리징(fine brigding)으로 언급되는 보다 제어된 브리징에 대한 방법을 제공한다.

공중 액세스 포인트

미국특허출원 제10/057,566호에서, 프로토콜은 종단 스테이션이 현존하는 VLAN의 태그 및 언태그된 요소 세트를 중첩함으로써 현존하는 VLAN을 복제하는 가상의 브리지된 LAN(VLAN)을 생성할 수 있는 것으로 설명된다. 또한, 새로운 VLAN은 가상적인 그의 고유한 보안 연계(security association)에 의해 고유하다. 이 연계는 VLAN 프라이빗(private)에 속하는 패킷을 유지하고 그들의 VLAN 회원이 키 MAC(keyed MAC)에 의해 암호적으로 검증되도록 하는 암호화 중심 자료(keying material)를 제공한다. 새로운 VLAN은 그 생성자에 의해 소유된다. 소유자는 VLAN의 수명뿐만 아니라 어느 스테이션이 VLAN을 결합할 수 있고 발견할 수 있는지를 제어한다. 따라서, VLAN은 개별적인 가상의 브리지된 LAN(PVLAN)으로 불려진다.

본 발명의 일실시예는 IEEE Std.802.11-1999의 표준 구성요소만을 이용하는 PVLAN의 세밀사항(refinement)을 제공한다(Part 11: Wireless LAN Medium Access Control(MAC) and Physical Layer(PHY) specification, ISO/IEC 8802-11:1999(E), ANSI/IEEE Std.802.11,1999 edition; 및 Part 11: Wireless LAN Medium Access Control(MAC) and Physical Layer(PHY) specification, Medium Access Control(MAC) Security Enhancement, IEEE Std.802.11i/D7.0, Draft amendment to ISO/IEC 8802-11:1999(E),ANSI/IEEE Std.802.11,1999 edition 참조).

각각의 BSS(BSS-A, BSS-B)가 각각의 액세스 포인트(액세스 포인트-A,액세스 포인트-B)를 포함하고 스테이션(A1/A2,B1/B2)에 연계되어 있는, IEEE Std.802.11 프로토콜 엔티티의 블록 개요도인 도1 및 IEEE Std.802.11 구성 기반구조의 블록 개요도인 도2를 참조한다. 액세스 포인트로 작용하지 않는 변형되지 않은 802.11-컴플리언트 종단 스테이션 동작의 수정이 본 발명에 요구된다. 세밀사항은 가상의 802.11 BSS에 대한 PVLAN을 인스턴트화(instantiates)하고, 액세스 포인트에만 영향을 준다.

도3은 본 발명에 따른 공중 액세스 포인트 아키텍처의 블록 개요도이다. 가상 802.11 BSS, 예를 들면 BSS-1 또는 BSS-2는, 각각 하드웨어(MAC) 어드레스를 갖 고(도 1 참조), 그룹 보안 연계로 불리는 고유의 보안 연계를 공유하는 스테이션의 세트를 포함한다. 보안 연계는 암호화 키와 인증 코드 키로 이루어진다.

정확하게 가상 BSS 내의 스테이션 중 하나만이 공중 액세스 포인트(PAP)(31)이다. 이는 802.11 무선 매체(WM)(32)와 802.11 분배 시스템 매체(DSM)(33)를 브리지한다.

고유한 유니캐스트(unicast) 보안 연계는 가상 BSS 내의 모든 스테이션에 존재한다. 이는 스테이션과 그 가상 BSS의 PAP 사이에 공유된다.

각각의 가상 BSS, 예를 들면 BSS-1 또는 BSS-2는 그 소유의 식별자(identifier) 또는 BSSID를 갖는다. 이는 그 BSS에 속하는 PAP의 가상 MAC 어드레스이다. PAP는 그 가상 MAC 어드레스 중 하나에 정해진 WM으로부터 임의의 프레임을 수신하고, 프레임의 소스 MAC 어드레스로서 그 가상 MAC 어드레스 중 하나를 사용하여 WM으로 프레임을 송신한다.

가상 베이직 서비스 세트의 수집은 단일 PAP에서 공유된 시간 동기화 기능(Timing Synchronization Function), 분배된 조정 기능(Distributed Coordination Function, DCF) 및 선택적으로 포인트 조정 기능(Point Coordination Function, PCF)에 의해 지원된다. 각각의 PAP에는 단일 네트워크 배치 벡터(Network Allocation Vector, NAV)와 포인트 조정기(Point Coordinator, PC)가 있다. 이런 공유는 802.11 가상 캐리어-센스, 매체 예약 매커니즘이 동일 채널 중첩을 사용하는 다중 베이직 서비스 세트와 작업하도록 설계되므로 가능하다. 이런 종류의 오버랩은 단일 채널 PAP에 의해 지원되는 가상 베이직 서비스 세트 사이에 서 일어날 수 있다. 가상 서비스 세트는 하나의 채널을 사용할 수 있고, 따라서 PAP에서 중첩될 수 있다.

PAP는 하나 이상의 가상 BSS에 소속될 수 있다. 도 1의 BSS-1, BSS-2를 참조하라. PAP가 아닌 어떤 스테이션이라도 최대 하나의 가상 BSS에 소속될 수 있다.

가상 802.11 BSS는 가상의 브리지된 LAN에 의해 그들의 공중 액세스 포인트의 접속을 통해 다른 가상 BSS에 브리지될 수 있다. 각각의 가상 BSS의 PAP는 VLAN 어웨어 브리지(aware bridge)의 트렁크된 또는 언태그된 포트를 통해 분배 시스템(DS)에 접속된다. DS로 송신된 프레임은 DSM에 알려진 VLAN 태그를 전달할 수 있다. PAP는 VLAN 태그를 가상 BSSID로 매핑하는 DSM VLAN 매핑을 유지할 수 있다.

현재 클래스-1 및 클래스-3 가상 BSS의 두 종류의 가상 BSS가 있다. PAP는 정확하게 하나의 클래스-1 가상 BSS 또는 하나 또는 그 이상의 다중 클래스-3 가상 베이직 서비스 세트를 지원한다. 클래스-1 가상 BSS는 단지 가상 BSS이고, 스테이션은 802.11 상태 1 또는 2에 있는 동안 PAP에 의해 제어되는 바대로 점령이 허용된다. 상태 3에 있을 때, 스테이션은 클래스-3 가상 BSS에 결합되는 것이 허용된다. 클래스-3 가상 BSS는, 예를 들면, 개방 시스템 또는 스테이션 인증에 이용된 공유 키 등의 인증의 종류에 따라 결정될 수 있다.

클래스-1 가상 BSSID는 이러한 필드를 갖는 모든 클래스 1 및 클래스 2 프레임의 BSSID 필드이다. 이는 클래스 1 및 클래스 2 프레임에 적합한 수신기 또는 송신기 어드레스 필드이다.

모든 가상 BSS는 타임스탬프(Timestamp), 비컨 인터벌(beacon interval), 보 호된 성능 정보 프라이버시 비트(Cability information Privacy bit), 서비스 세트 식별자(SSID: Service Set ID), 보안 성능(security cability) 구성요소, 트래픽 지시 맵(TIM: Traffic Indication Map) 구성요소 필드를 제외하곤, 동일한 비컨(beacon) 프레임 콘텐츠를 갖는다.

PAP가 그 BSS 내의 종단 스테이션에 대해 PS(Power-Save) 모드를 지원하지 않는다면, 클래스-3 가상 BSS에 대해 비컨할 필요가 없다. 클래스-3 BSS에 대해 비컨하면, 모든 비컨 내의 SSID 구성요소는 브로드캐스트 SSID를 지정한다. 이들 단계는 어떤 클랙스-3 가상 BSS가 비컨을 통해 식별되는 것을 방지한다.

클래스-1 가상 BSS 비컨만이 비-브로드캐스트 SSID 필드를 갖는 SSID 구성 요소를 포함한다. 스테이션은 클랙스-1 가상 BSS에만 연계될 수 있다. 스테이션은 연계 또는 재연계 요청 프레임의 SSID 구성 요소 내의 비-브로드캐스트 SSID를 이용한다.

미국특허출원 제10/057,566호는 PVLAN 조인과 전개 단계를 확인한다. 가상 BSS로서 기술된 PVLAN에 따르면, 이들 단계는 다음과 같이 인스턴스화된다.

조인(Join)

모든 스테이션은 의무적으로 PAP에서 클래스-1 가상 BSS의 요소다. PAP는 클래스-1 가상 BSS에서 스테이션의 이용자 또는 스테이션 자체를 인증한다. 성공적이라면, 스테이션은 PAP에서 802.11 상태 2로 진입된다. 이 때, PAP 및 스테이션은 클래스-1 가상 BSS 상태에서 클래스 1과 클래스 2 프레임을 교환할 수 있다.

클래스 1 프레임은 암호적으로 보호되지 않는다. 클래스 2 프레임은 성공적 인 인증 후에 스테이션과 PAP가 유니캐스트 보안 연계를 공유한다면 암호적으로 보호된다. PAP 및 스테이션은 인증 후에 그룹 보안 연계를 공유할 수도 있다. 그룹 보안 연계는 PAP와의 802.11 연계가 완료될 경우 스테이션이 속하는 클래스-3 가상 BSS를 위한 것이다.

스테이션 및 PAP가 클래스 3 프레임을 교환하기 전에, 스테이션은

1) 상태 2로부터 클래스-1 가상 BSS와의 연계를 요청하고,

2) 클래스-3 가상 BSS로 전환해야만 한다.

그 소스 어드레스(어드레스 2 필드) 또는 BSSID(어드레스 3 필드)가 그 가상 BSS에 대한 클래스-3 가상 BSSID인 연계 응답 MMPDU를 갖는 스테이션의 연계 요청에 응답함으로써 PAP는 스테이션을 클래스-3 가상 BSS로 전환한다. 연계 응답의 성능 정보 필드는 보호된 프라이버시 비트 세트를 갖는다.

클래스-3 가상 BSS는 3가지 방식 중 하나로 결정된다.

1) DS 내의 인증 서버는 이용자에 대한 DSM VLAN을 지정하고, PAP는 DSM VLAN 매핑을 이용하여 이를 클래스-3 가상 BSSID로 매핑한다.

2) DS 내의 인증 서버는 이용자에 대해 클래스-3 가상 BSS를 지정한다.

3) PAP는 이용자에 대한 새로운 클래스-3 가상 BSS를 생성하고, PAP는 새로운 가상 BSS의 인증 서버를 통지하고, 다른 스테이션이 새로운 BSS에 조인하는 것을 허용하기 위한 규칙을 제공한다.

전개(Discovery)

클래스-1 가상 BSS는 BSSID 필드(어드레스3 필드)와 소스 어드레스 필드(어 드레스2 필드)가 각각 클래스-1 가상 BSSID로 설정되는 802.11 비컨 또는 프로브 응답(Probe Response) 관리 프레임을 통해 발견된다. 이들 프레임에서 성능 정보 필드의 보호된 프라이버시 비트는 "0"으로 설정된다. 비컨의 TIM 구성요소는 클래스-1 가상 BSS로 적용된다. 클래스-1 가상 BSS만이 비컨 프레임을 통해 통지된다.

데이터 프레임(MPDU) 분배

PAP는 MAC 프로토콜 데이터 유닛(MPDU) 브리지 프로토콜을 수행한다. DSM 또는 WM으로부터 수신된 MPDU에 대해 프로토콜은 다음의 2개의 케이스에 따라 정의된다.

1. DSM으로부터 수신된 MPDU. 2개의 서브케이스가 있다(2개의 서브케이스는 모든 PAP의 스테이션이 적어도 하나의 가상 BSS에 속하기 때문에 PAP의 로컬 LLC로 수신된 MPDU의 전달을 제어한다).

a. 수신된 MPDU는 VLAN 태그를 갖지 않거나 빈(null) VLAN 태그를 갖는다. 목적지 어드레스가 가상 BSS에 속한 스테이션의 어드레스이고 스테이션이 PAP와 연계된다면, 또는 목적지 어드레스가 그룹 어드레스이고 가상 BSS는 그룹에 속한 스테이션을 갖고 스테이션은 PAP와 연계된다면, MPDU는 DSM으로부터 가상 BSS로 중계된다. 모든 스테이션은 브로드캐스트 그룹이다.

b. 수신된 MPDU는 비지 않은(non-null) VLAN 태그를 갖는다. MPDU가 중계되는 가상 BSS는 비-널 VLAN 태그가 PAP의 DSM VLAN 매핑 하에서 매핑되는 가상 BSSID에 의해 식별된다. 매핑이 주어진 태그에 대해 규정되지 않을 경우 MPDU는 중계되지 않는다.

수신된 MPDU가 중계되는 임의의 가상 BSS는 가상 BSS로 중계되는 802.11 MPDU의 소스 어드레스(어드레스2 필드)를 형성하는 BSSID를 갖는다.

2. WM으로부터 수신된 MPDU. 목적지 어드레스(MPDU의 어드레스 3 필드)가 식별된 가상 BSS에 속한 스테이션의 어드레스이고 스테이션이 PAP와 연계되면, 또는 목적지 어드레스가 그룹 어드레스라면, 수신된 802.11 MPDU는 MPDU의 어드레스 1 필드에 의해 식별된 가상 BSS로 중계된다. 그렇지 않으면, 프레임은 어떤 가상 BSS로도 중계되지 않는다. 수신된 802.11 MPDU의 어드레스 1 필드는 어드레스 1 필드에 의해 식별된 가상 BSS로 중계되는 802.11 MPDU의 소스 어드레스(어드레스 2 필드)이다.

목적지 어드레스(MPDU의 어드레스 3 필드)가 PAP에 연계되지 않은 스테이션의 어드레스이거나, 또는 목적지 어드레스가 그룹 어드레스라면, 수신된 MPDU는 DSM으로도 중계된다. DSM으로 중계된 MPDU는 DS가 VLAN 어웨어라면 VLAN 태그를 갖고, 그렇지 않으면 언태그드된다. VLAN 태그는 PAP의 DSM VLAN 매핑 하에서 수신된 MPDU의 어드레스 1 필드의 프리-이미지(pre-image)이다.

암호화 및 해독 과정

암호화 및 해독화는 서브타입 연계 요청/응답, 재연계 요청/응답, 연계해제(disassociation) 및 인증해제(deauthentication)의 802.11 데이터 프레임과 관리 프레임을 이용한다.

802.11 데이터 또는 관리 프레임을 WM으로 송신하기 전에 PAP에 의해 이용된 암호화 과정은 다음의 2가지 중요한 단계를 포함한다.

·프레임에 대한 보안 연계를 식별하는 단계; 및

·일부 암호화 및 인증화 코드 프로토콜에 따라 전송용의 확장된 프레임을 만들기 위해 연계를 이용하는 단계.

상이한 암호화 및 인증화 코드 프로토콜은 브로드캐스트 및 가상 베이직 서비스 세트 사이의 멀티캐스트 트래픽에 이용될 수도 있고, 상이한 암호화 및 인증화 코드 프로토콜은 단일 가상 BSS 내의 스테이션 사이의 관리에 유니캐스트용으로 이용될 수 있다.

프레임 목적지 어드레스(어드레스1 필드)가 스테이션의 어드레스라면, 스테이션과 PAP 사이에 공유된 유니캐스트 보안 연계는 확장(expansion)에 이용될 수 있다. 프레임이 데이터 프레임이고 그 목적지 어드레스가 그룹 어드레스라면, MPDU 브리지 프로토콜은 프레임에 대한 목적지 가상 BSS를 식별한다. 식별된 가상 BSS 에 대한 그룹 보안 연계는 확장에 이용될 수 있다.

비-PAP 스테이션은 타입 데이터의 802.11 MPDU 또는 관리 프레임을 그 가상 BSS 내의 상기 PAP와 공유하는 유니캐스트 보안 연계를 이용하여 DS로 전송한다.

802.11 데이터 또는 관리 프레임을 WM으로부터 수신하면, PAP는 MPDU의 소스 어드레스(어드레스 2 필드)에 의해 식별된 스테이션에 대한 유니캐스트 보안 연계를 이용하여 프레임의 해독 및 무결성 검증을 시도한다.

PAP로부터 타입 데이터의 802.11 MPDU 또는 관리 프레임을 수신하면, 비-PAP 스테이션은, 프레임(어드레스 1 필드)의 목적지 어드레스가 스테이션의 어드레스이라면 PAP와 공유하는 유니캐스트 보안 연계를 이용하여, 그리고 프레임의 목적지 어드레스가 그룹 어드레스라면 그 클래스-3 가상 BSS의 그룹 보안 연계를 이용하여 프레임의 해독 및 무결성 검증을 시도한다.

위치 갱신 프로토콜

또한 본 발명은 공중 액세스 포인트를 접속하는 브리지 또는 기타 상호접속 매체의 전송 테이블을 갱신하기 위한 위치 갱신 프로토콜을 포함한다.

브리지된 LAN의 스패닝 트리(spanning tree)에서 상이한 브리지에 부착된 다중 공중 액세스 포인트와 이중 하나에 연계되고 나서 새로운 PAP와 재연계된 종단 스테이션이라면, 새로운 PAP는 지향성 브리지 프로토콜 테이터 유니트(BPDP)(리로케이션 PDU로 언급됨)를 스테이션이 이전에 연계된 PAP로 전송한다. BPDU의 목적지 어드레스는 재연계 요청 프레임의 현재 액세스 포인트 어드레스이고, 클래스-3 가상 BSSID이다. 소스 어드레스는 스테이션의 하드웨어 어드레스이다.

특정 포트에서 재배치 MPDU를 수신함에 따라, 브리지는 수신 포트를 MPDU의 소스 어드레스에 결합하는 엔트리로 그 전송 테이블을 갱신한다.

수신 브리지는 포트에 도달한 MPDU 또는 수신 브리지가 스패닝 트리의 루트가 아닌한 재배치 MPDU를 그 지정된 루프 포트로 전송한다. 만일 이것이 브리지의 지정된 루프 포트에서 또는 루트 브리지에 의해 수신되면, 브리지의 학습된 전송 테이블에 따라 전송되고, 이는 수신 포트를 제외한 모든 포트로의 MPDU의 플러딩(flooding)을 포함할 수 있다.

정교한 브리징(fine bridging)

전술한 본 발명의 일실시예는 가상 BSS에 대한 PVLAN을 상세히 논한다. MPDU 브리지 프로토콜 하에서, 가상 BSS 내의 어떤 스테이션이라도 지향되거나 그룹-어드레스된 프레임을 그 가상 BSS 내의 다른 스테이션으로 송신할 수 있다. 이는 바람직하지 않을 수도 있다. 예를 들면, 컨퍼런스 센터에서의 회의는 그 소유의 가상 BSS를 가질 수 있지만, 모든 출석자가 상호를 신뢰하지는 않는다. 동일한 가상 BSS를 공유함으로써, 일부 출석자는 웜이나 바이러스를 유포할 수 있다. 각각의 출석자에게 고유의 가상 BSS를 할당함으로써 이들 공격을 방지하는 것은 출석자가 서버를 공유하는 것을 방해한다. 이상적으로, 서버는 모든 회의 관계자에 의해 공유되지만, 어떤 관계자도 다른 관계자를 액세스, 즉 프레임을 다른 관계자에게 송신할 수는 없다. 전술한 공중 액세스 포인트는 이런 수준의 액세스 제어는 제공할 수 없다. 액세스 포인트 지원 정교한 브리징이 이를 제공할 수 있다.

에지 호스트의 세트를 LAN 등의 기반구조 시스템에 접속하는 IEEE Std.802.1Q 브리지의 블록 개요도를 도시하는 도 7을 참조한다. 에지 호스트로부터 도달된 언태그 프레임은 포트-기반 VLAN 할당(PVID A)의 힘으로 VLAN에 할당되고, 기반구조 시스템으로부터 도달된 언태그 프레임은 VLAN B(PVID B)에 할당된다. 도시된 탈출 규칙(egress rule)은 A 또는 B에 속한 프레임이 기반구조로 탈출하는 것을 허용하는 반면 B에 속한 것들은 에지 호스트로 탈출하는 것이 허용된다. 이러한 방법으로, 에지 호스트는 상호 직접적으로 통신하는 것이 방지된다.

정교한 브리징은 브로드캐스트 식별자 또는 멀티캐스트 도메인과 BSS를 분리한다.

정교한 브리징에서, 액세스 포인트의 브리징 동작은 방향 그래프(directed graph)로서 나타낸 정책에 의해 결정된다. 그래프의 노드는 스테이션이고, 스테이션 A가 스테이션 B를 액세스할 수 있어야만 한다면, 즉 스테이션 B가 스테이션 A로부터의 지향 프레임 또는 그룹 프레임을 수신할 수 있어야 한다면, 스테이션 A로부터 스테이션 B까지 에지가 있다.

소정 정책에 있어서, 노드에 대한 브로드캐스트 도메인은 그 자신이고 액세스해야하는 모든 노드이다. 이 정책의 브로드캐스트 도메인 세트는 그 노드에 대한 브로드캐스트 도메인의 세트이다.

정책의 수행에 있어서, 브로드캐스트 도메인마다 그룹 보안 연계가 있다. 또한, 각각의 스테이션(노드)은 정책 내에서 자신에 대한 브로드캐스트 도메인의 그룹 보안 연계를 처리하고, 요소인 정책 내에서 다른 모든 브로드캐스트 도메인의 그룹 보안 연계를 처리한다. 전자의 연계는 그룹 프레임을 송신하기 위해 스테이션에 의해 이용될 수 있고, 후자의 연계는 그룹 프레임을 수신하기 위해 이용될 수 있다.

하나가 액세스 포인트인 3-스테이션 가상 BSS 내의 액세스능력은 도 2에 도시한 정책에 의해 얻어진다. 정책에서의 각각의 노드는 그 브로드캐스트 도메인으로서 {A,B,액세스 포인트}를 갖는다. 따라서, 정책이 하나의 가상 BSS를 반영한다는 기대대로, 정책에 대해서는 하나의 브로드캐스트 도메인만이 존재한다. 각각의 스테이션은 도메인에 대한 그룹 보안 연계를 알고 있고, 그 연계하에서 그룹 프레임을 송수신할 수 있다.

도 3은 스테이션 A와 B가 서버 스테이션 S와 D를 공유하지만 상호 액세스는 허용되지 않는 4개 스테이션 사이의 정책을 포획한다.

이 정책은 브로드캐스트 도메인 B1{A,S,D}, B2:{B,S,D}, 및 B3:{D,A,S,B}를 갖는다. 스테이션 A는 그룹 프레임을 송신하기 위해 B1에 대한 그룹 보안 연계와, S와 D에 의해 송신된 그룹 프레임을 수신하기 위해 B3에 대한 그룹 보안 연계를 알고 있다. 스테이션 D는 그룹 프레임을 송신하고 S로부터 이를 수신하기 위해 B3에 대한 그룹 보안 연계와, A와 B로부터 각각이 그룹 프레임을 수신하기 위해 B1과 B2 양자에 대한 그룹 보안 연계를 알고 있다.

도 3에 도시한 정책이 B로부터 A로의 에지가 정책에 추가되도록 도 4에 도시한 바와 같이 변형된다면, 도메인 B2는 제거되고 B1과 B3만이 남게 된다.

A로부터 B로의 에지가 도 4의 정책에 추가된다면, 도메인 B1, B2 및 B3는 이 정책에 있어서 단일 도메인 B3로 붕괴된다.

다른 정책 변형의 제안이 당업자에게 가능하다.

본 발명은 바람직한 실시예를 참조하여 설명되었지만, 당업자라면 본 발명의 범위 내에서 각종 변형이 가능하다는 것을 알 수 있다. 따라서 본 발명은 첨부된 특허청구범위에 의해 제한되어야 한다.

도 1은 IEEE Std.802.11 프로토콜 엔티티의 블록 개요도,

도 2는 IEEE Std.802.11 구성 기반구조의 블록 개요도,

도 3은 본 발명에 따른 공중 액세스 포인트의 블록 개요도,

도 4는 본 발명에 따른 3-스테이션 가상 BSS(이중 하나는 액세스 포인트임) 내의 액세스 능력(accessibility)에 대한 정책의 블록 개요도,

도 5는 본 발명에 따른, 스테이션 A와 B가 서버 스테이션 S와 D를 공유하지만 A와 B의 상호 액세스는 허용되지 않는 4-스테이션 사이의 정책의 블록 개요도,

도 6은 본 발명에 따른, B로부터 A로의 에지가 추가되도록 변형된 도 3에서의 정책의 블록 개요도, 및

도 7은 포트-기반 VLAN 할당, 탈출 필터링(egress filtering), 및 공유된 VLAN 학습(shared VLAN learning, SVL)를 통해 기반구조 시스템에 접속된 에지 호스트들 사이에서 직접 통신을 제거한 IEEE Std.802.1Q 브리지의 블록 개요도.

Claims

가상 802.11 베이직 서비스 세트(BSS); 및

각각이 하드웨어 매체 접근 제어(Media Access Control: MAC) 어드레스를 갖는 복수의 스테이션를 포함하는 보안 무선 네트워크로서,

상기 가상 BSS 내의 상기 복수의 스테이션 모두는 그룹 보안 연계(group security association)를 공유하고- 상기 그룹 보안 연계는 MAC 보안의 구현(implementation)임-,

상기 가상 BSS 내의 상기 복수의 스테이션 중 하나는 액세스 포인트(Access Point)를 포함하는 보안 무선 네트워크.
제1항에 있어서,

상기 MAC 보안의 구현은 보안 MAC 서비스의 구현을 포함하는 보안 무선 네트워크.
제2항에 있어서,

상기 보안 MAC 서비스의 구현은 MAC 보안 키 동의(MAC Security Key Agreement) 및 MAC 보안 엔티티(MAC Securoty Entity)를 포함하는 보안 무선 네트워크.
제2항에 있어서,

상기 그룹 보안 연계는 하나 이상의 암호화 방법(cryptographic methods)의 사용을 포함하는 보안 무선 네트워크.
제4항에 있어서,

MAC 보안 키 동의에 의해 유지되는 보안 관계(relationship)에서 구현되는 상기 하나 이상의 암호화 방법을 더 포함하는 보안 무선 네트워크.
보안 무선 네트워크가, 각각이 하드웨어 MAC 어드레스를 갖는 복수의 스테이션간의 네트워크 트래픽의 분리를 지원하기 위한 액세스 포인트 디바이스에서의 방법으로서, 상기 방법은,

제1 스테이션으로부터 연계 요청(association request) 또는 프로브 요청(probe request)을 수신하고,

상기 요청에 대하여, 상기 액세스 포인트 디바이스에 의해 상기 요청이 수신된 시점에 상기 액세스 포인트 디바이스로 알려지지 않은 베이직 서비스 세트(BSS)를 결정하고,

상기 BSS를 정의하는 적어도 하나의 파라미터(parameter)를 수신하고,

상기 적어도 하나의 파라미터에 적어도 기초하여 상기 BSS를 지정함으로써(establishing), 상기 스테이션의 서브세트에 대하여 상기 BSS를 생성하고,

상기 지정된 BSS의 BSSID를 포함하는 상기 종단 스테이션으로 응답을 송신하 는 것을 포함하고,

상기 지정된 BSS에 속하는 상기 서브세트 내의 스테이션들은 그룹 보안 연계를 공유하며, 상기 그룹 보안 연계는 MAC 보안의 구현인 방법.
제6항에 있어서,

상기 MAC 보안의 구현은 보안 MAC 서비스의 구현을 포함하는 방법.
제7항에 있어서,

상기 보안 MAC 서비스의 구현은 MAC 보안 키 동의 및 MAC 보안 엔티티를 포함하는 방법.
제7항에 있어서,

상기 그룹 보안 연계는 하나 이상의 암호화 방법의 사용을 포함하는 방법.
제9항에 있어서,

MAC 보안 키 동의에 의해 유지되는 보안 관계에서 구현되는 상기 하나 이상의 암호화 방법을 더 포함하는 방법.
복수의 종단 스테이션간에 트래픽을 분리하기 위한 액세스 포인트로서,

암호화 인증 코드(cryptographic authentication code)를 갖는 프레임과- 상 기 프레임이 널 가상 LAN ID(null virtual LAN ID)를 운반할 때, 상기 프레임은 예비 VLAN 분류(preliminary VLAN classification)를 결정하기 위한 소스 MAC 어드레스를 가지며, 상기 프레임이 가상 LAN ID(virtual LAN ID: VID)를 운반할 때, 상기 프레임은 상기 예비 VLAN 분류로서 상기 VID를 가짐-,

상기 예비 VLAN 분류에 기초하여 암호화 인증 코드 키를 제공하는 보안 연계의 테이블을 포함하고- 상기 암호화 인증 코드 키는 상기 프레임의 페이로드(payload)에 대해 새로운 암호화 인증 코드를 재계산(recompute)하기 위해 사용됨 -,

상기 새로운 암호화 인증 코드는 상기 암호화 인증 코드와 비교되고,

상기 새로운 암호화 인증 코드와 상기 암호화 인증 코드가 매칭될 때, 상기 예비 VLAN 분류는 최종 VLAN 분류로서 구현되며, 상기 프레임은 해독되고(descripted),

상기 새로운 암호화 인증 코드와 상기 암호화 인증 코드가 매칭되지 않을 때, 상기 예비 VLAN 분류는 상기 최종 VLAN 분류로서 구현되지 않고, 상기 프레임은 무시되는(discarded) 액세스 포인트.
제11항에 있어서,

상기 암호화 인증 코드 키를 생성하는 초기 인증 동작을 더 포함하는 액세스 포인트.
제11항에 있어서,

상기 새로운 암호화 인증 코드가, 초기 인증 동작동안에 암호화 메시지 다이제스트 알고리듬(cryptographic message digest algorithm)을 사용하여 상기 페이로드에 대하여 재계산되는 액세스 포인트.
제11항에 있어서,

상기 최종 VLAN 분류가 임의의 대응하는 데이터 요청 프리미티브(primitives)의 VLAN 분류 파라미터의 값으로서 사용되는 액세스 포인트.
제11항에 있어서,

상기 암호화 인증 코드 또는 상기 새로운 암호화 인증 코드는 상기 VLAN을 유일하게(uniquely) 식별하는 액세스 포인트.
가상 802.11 베이직 서비스 세트(BSS); 및

각각이 하드웨어(MAC) 어드레스를 갖는 복수의 스테이션를 포함하는 보안 무선 네트워크 장치에 있어서,

상기 가상 BSS 내의 상기 복수의 스테이션 모두는 그룹 보안 연계를 공유하고,

상기 가상 BSS 내의 상기 복수의 스테이션 중 하나는 공중 액세스 포인트(PAP)를 포함하고,

상기 가상 BSS는 클래스-1 및 클래스-3 가상 BSS를 포함하고,

상기 PAP는 하나의 클래스-1 가상 BSS 및 하나 이상의 다중 클래스-3 가상 BSS를 지원하고,

상기 클래스-1 가상 BSS는 상기 복수의 스테이션 중 하나가 802.11 상태 1 또는 2에 있는 동안 상기 PAP의 지원에 따라 이용(occupy)되는 유일한 가상 BSS이고,

상태 3에 있을 때, 상기 복수의 스테이션 중 하나는 클래스-3 가상 BSS로 조인이 허용되고,

클래스-3 가상 BSS는 상기 복수의 스테이션 중 하나를 인증하기 위해 이용된 인증의 종류에 의해 결정되며,

802.11 데이터 프레임과, 서브타입(subtype) 연계 요청/응답, 재연계 요청/응답, 연계해제(disassociation)/인증해제(deauthentication)의 관리 프레임을 적용함으로써 암호화 및 해독화를 수행하기 위한 수단을 더 포함하고,

상기 802.11 데이터 프레임 또는 상기 관리 프레임을 WM으로 송신하기 전 상기 PAP에 의해 사용된 암호화 프로세스는,

상기 802.11 데이터 프레임 또는 상기 관리 프레임에 대한 보안 연계를 식별하기 위한 단계; 및

암호화 및 해독화 코드 프로토콜에 따른 전송을 위한 확장된 프레임을 형성하기 위해 상기 802.11 데이터 프레임 또는 상기 관리 프레임에 대한 보안 연계를 이용하는 단계를 수행하는 매커니즘을 포함하고,

프레임 목적지 어드레스(어드레스 1 필드)가 스테이션의 어드레스라면, 상기 스테이션과 상기 PAP 사이의 유니캐스트 보안 연계가 상기 프레임 확장에 이용되고,

상기 802.11 데이터 프레임인 경우, 그 목적지 어드레스가 그룹 어드레스라면, MPDU 브리지 프로토콜은 상기 802.11 데이터 프레임에 대한 목적지 가상 BSS를 식별하고, 상기 식별된 가상 BSS에 대한 그룹 보안 연계는 상기 프레임 확장에 이용되는 것을 특징으로 하는 네트워크 장치.
제16항에 있어서,

비-PAP 스테이션은 802.11 MPDU의 타입 데이터 프레임 또는 관리 프레임을 그 가상 BSS 내의 상기 PAP와 공유하는 유니캐스트 보안 연계를 이용하여 DSM으로 전송하는 것을 특징으로 하는 네트워크 장치.
제17항에 있어서,

WM으로부터 802.11 MPDU의 타입 데이터 프레임 또는 관리 프레임을 수신할 때, 상기 PAP는 상기 802.11 MPDU의 소스 어드레스(어드레스 2 필드)에 의해 식별된 스테이션에 대한 유니캐스트 보안 연계를 이용하여 상기 802.11 MPDU의 타입 데이터 프레임 또는 관리 프레임의 해독 및 무결성 검증을 시도하는 것을 특징으로 하는 네트워크 장치.
제18항에 있어서,

상기 PAP로부터 802.11 MPDU의 타입 데이터 프레임 또는 관리 프레임을 수신할 때, 비-PAP 스테이션은 상기 802.11 MPDU의 타입 데이터 프레임 또는 관리 프레임(어드레스 1 필드)의 목적지 어드레스가 상기 복수의 스테이션 중 하나의 어드레스라면, PAP와 공유하는 유니캐스트 보안 연계를 이용하고, 그리고 상기 802.11 MPDU의 타입 데이터 프레임 또는 관리 프레임의 목적지 어드레스가 그룹 어드레스라면 그 클래스-3 가상 BSS의 그룹 보안 연계를 이용하여 상기 802.11 MPDU의 타입 데이터 프레임 또는 관리 프레임의 해독 및 무결성 검증을 시도하는 것을 특징으로 하는 네트워크 장치.
제19항에 있어서,

상이한 가상 베이직 서비스 세트 내의 브로드캐스트 및 멀티캐스트 트래픽은 상기 네트워크에서 상이한 암호화 또는 인증 코드에 의해 보호되는 것을 특징으로 하는 네트워크 장치.
제19항에 있어서,

PAP와 스테이션, 상기 PAP와 가상 BSS 내의 다른 스테이션 사이의 유니캐스트 트래픽은 상기 가상 BSS에서 상이한 암호화 또는 인증 코드에 의해 보호되는 것을 특징으로 하는 네트워크 장치.
다중 공중 액세스 포인트(PAPs)가 브리지된 LAN의 스패닝 트리 내의 상이한 브리지에 부착되고, 종단 스테이션이 상기 PAPs 중 하나에 연계되고, 신규 PAP에 재연계되어 있고, 브리지의 전송 테이블, 또는 공중 액세스 포인트(PAP)를 함께 접속하는 상호접속 매체를 갱신하기 위한 로케이션-갱신 방법에 있어서,

상기 신규 PAP가, 상기 종단 스테이션이 사전 연계된 상기 다중 PAPs 중 하나에 지향된 브리지 프로토콜 데이터 유니트(BPDU)를 송신하는 단계 - 여기서, 상기 BPDU의 목적지 어드레스는 클래스-3 가상 BSS 식별자(BSSID)인 재연계 요청 프레임의 현재의 액세스 포인트 어드레스이고, 소스 어드레스는 상기 종단 스테이션의 하드웨어 어드레스이며;

특정 포트에서 재배치 MPDU를 수신함에 따라, 수신 포트를 상기 MPDU의 소스 어드레스에 결합하는 엔트리로 그 전송 테이블을 브리지 갱신하는 단계; 및

상기 수신 포트 또는 수신 브리지 상에 도달된 상기 MPDU가 상기 스패닝 트리의 루트가 아닌 한, 상기 수신 브리지가 지정된(designated) 루트 포트에 재배치 MPDU를 전송하는 단계를 포함하고,

상기 MPDU가 상기 브리지의 상기 지정된 루트 포트에서 또는 루트 브리지에 의해 수신되면, 상기 MPDU는 상기 브리지의 학습된 전송 테이블에 따라 전송되고, 상기 수신 포트를 제외한 모든 포트로의 상기 MPDU 플러딩(flooding)을 선택적으로 포함하는 것을 특징으로 하는 방법.
무선 네트워크를 위한 정교한 브리징 방법에 있어서,

브로드캐스트 식별자 또는 멀티캐스트 도메인을 베이직 서비스 세트(BSS)와 결합해제하는 단계; 및 방향 그래프(directed graph)로 기술된 정책(policy)에 의해 액세스 포인트(액세스 포인트)의 브리징 동작을 결정하는 단계를 포함하고,

상기 정책에 있어서, 하나의 노드에 대한 브로드캐스트 도메인은 상기 노드 자체 및 액세스 해야하는 모든 노드들이고,

상기 정책의 상기 브로드캐스트 도메인 세트는 상기 노드들에 대한 브로드캐스트 도메인들의 세트이고,

상기 그래프의 노드들는 스테이션들이고, 제2 스테이션이 제1 스테이션으로부터 지향되거나 프레임 또는 그룹 프레임을 수신하도록, 상기 제1 스테이션이 상기 제2 스테이션과 통신하거나 상기 제2 스테이션을 액세스 한다면, 상기 제1 스테이션으로부터 상기 제2 스테이션으로의 에지가 존재하는 것을 특징으로 하는 방법.
제23항에 있어서,

브로드캐스트 도메인마다 그룹 보안 연계를 제공하는 단계를 더 포함하는 것을 특징으로 하는 방법.
제24항에 있어서,

각각의 노드는 정책 내에서 자신에 대한 브로드캐스트 도메인의 제1 그룹 보안 연계를 처리하고, 상기 노드가 요소인 정책에서는 다른 모든 브로드캐스트 도메인에 대한 그룹 보안 연계의 제2 세트를 처리하는 것을 특징으로 하는 방법.
제25항에 있어서,

상기 제1 그룹 보안 연계는 그룹 프레임을 송신하기 위해 상기 노드에 의해 이용되고, 그룹 보안 연계의 상기 제2 세트는 그룹 프레임을 수신하기 위해 이용되는 것을 특징으로 하는 방법.