KR20110092333A - Tr-069 오브젝트 관리를 위한 모듈 및 연관된 방법 - Google Patents

Tr-069 오브젝트 관리를 위한 모듈 및 연관된 방법 Download PDF

Info

Publication number
KR20110092333A
KR20110092333A KR1020117014969A KR20117014969A KR20110092333A KR 20110092333 A KR20110092333 A KR 20110092333A KR 1020117014969 A KR1020117014969 A KR 1020117014969A KR 20117014969 A KR20117014969 A KR 20117014969A KR 20110092333 A KR20110092333 A KR 20110092333A
Authority
KR
South Korea
Prior art keywords
security
object model
module
management
view
Prior art date
Application number
KR1020117014969A
Other languages
English (en)
Other versions
KR101548552B1 (ko
Inventor
크리스텔 보차트
파스칼 저스틴
리우벤 톰 반
Original Assignee
알까뗄 루슨트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 알까뗄 루슨트 filed Critical 알까뗄 루슨트
Publication of KR20110092333A publication Critical patent/KR20110092333A/ko
Application granted granted Critical
Publication of KR101548552B1 publication Critical patent/KR101548552B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/22Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks comprising specially adapted graphical user interfaces [GUI]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2854Wide area networks, e.g. public data networks
    • H04L12/2856Access arrangements, e.g. Internet access
    • H04L12/2869Operational details of access network equipments
    • H04L12/287Remote access server, e.g. BRAS
    • H04L12/2876Handling of subscriber policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/02Standardisation; Integration
    • H04L41/0213Standardised network management protocols, e.g. simple network management protocol [SNMP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0471Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying encryption by an intermediary, e.g. receiving clear information at the intermediary and encrypting the received information at the intermediary before forwarding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • H04L67/125Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks involving control of end-device applications over a network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Human Computer Interaction (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Small-Scale Networks (AREA)
  • Telephonic Communication Services (AREA)

Abstract

본 발명은 장치의 TR-069 오브젝트 모델의 관리에서 사용하기 위한 보안 모듈에 관한 것이다. 오브젝트 모델은 크리덴셜들에 기초하여 뷰 선택기 모듈에 의한 선택을 위한 복수의 파라미터들을 포함하고, 이로써 상기 장치에 연관된 오브젝트 모델 뷰를 규정한다. 보안 모듈은 오브젝트 모델 뷰를 보안 정책에 연관시키는 수단 및 중간 네트워크 엔티티 상에서 보안 정책의 보안 속성들을 구성하는 수단을 포함한다.

Description

TR-069 오브젝트 관리를 위한 모듈 및 연관된 방법{A MODULE AND ASSOCIATED METHOD FOR TR-069 OBJECT MANAGEMENT}
본 발명은 원격 관리, 즉, 애플리케이션 또는 서비스 소프트웨어 모듈들 - 고객 댁내 장비(customer premises equipment; CPE) 장치들에 접속하는 네트워크 내의 임의의 서버 위치로부터 고객 댁내 장비(CPE) 상의 소위 "번들들(bundles)"의 설치, 구성 및 제거에 관한 것이다. 서버는 본 출원에 전체에 걸쳐 자동 구성 서버 또는 원격 관리 서버로 명명된다. CPE 또는 고객 장치들의 예들은 디지털 가입자 회선(DSL) 모뎀, 셋탑 박스(STB), 모바일 텔레폰과 같은 무선 단말기, PDA(Personal Digital Assistant), 등이다. 본 출원과 관련하여, 고객 장치는 또한 원격 관리 서비스들이 설치된 네트워크 내에 존재하는 장치, 예를 들면, DSLAM, 원격 유닛(RU), 서비스 블레이드(service blade), 등일 수 있다. 더욱 상세하게, 본 발명은 특정 서비스 또는 운영자에 속하는 파라미터들의 서브세트의 관리에 관한 것이다.
디지털 가입자 회선(xDSL) 네트워크와 같은 광대역 액세스 네트워크에 접속된 홈 네트워크는, 하나의 측면 상에서 홈 네트워크 내의 하나 이상의 어플라이언스들에 접속되고 다른 측면 상에서 중앙국 내의 디지털 가입자 회선 액세스 멀티플렉서(DSLAM) 또는 트래픽 집합 노드(traffic aggregation node)와 같은 xDSL 서비스 제공자의 노드에 접속되는 xDSL 모뎀과 같은 고객 댁내 장비를 포함한다. 이러한 CPE 및 DSLAM 사이의 링크는 정보를 전송하는데 사용되고, 이는 CPE 및 DSLAM 간의 통신 세션의 확립을 요구한다. 통신 세션을 확립하는 것은 통상적으로 장치들 간의 동기화와 같은 단계들, 에러 정정 시스템들을 규정하는 단계, 전송 속도를 결정하는 단계 등을 수반한다. 이를 성취하기 위해, 모뎀은 이러한 단계들에 관련된 정보를 필요로 한다. 예를 들면, 이것은 어떠한 에러 정정 코드들이 이용 가능한지, 어떠한 속도가 사용될 수 있는지, 어떠한 인코딩들이 바람직한지 등을 알아야 할 필요가 있다.
또한, TR-069 관리 프로토콜은 통상적으로 원격 장치 관리에서 사용된다. 이러한 프로토콜은 CPE가 원격 관리 서버 또는 자동 구성 서버(ACS)에 의해 서비스 제공자 네트워크 내에서부터 구성될 수 있도록 한다. 그러한 TR-069 관리 프로토콜은 각각 CPE에 저장된 오브젝트 모델에 기초한다. 오브젝트 모델은 원격 절차 호들(remote procedure calls)에 의해 판독되거나 변경될 수 있는 다수의 파라미터들로 구성된다. 이러한 파라미터들은 오브젝트 모델의 트리형 구조로 조직화된다. 트리 모델의 결과로서, 파라미터는 명백하게 어드레싱될 수 있거나, 파라미터들의 서브세트들이 어드레싱될 수 있다. ACS는 상술된 바와 같은 특정 파라미터 또는 서브세트의 어드레싱을 사용하여 하나 이상의 파라미터들의 값을 검색하기 위해 원격 절차 호(RPC)를 실시할 수 있다. ACS는 또한 파라미터의 값 또는 파라미터들의 서브세트를 변경하기 위해 RPC를 인보크할 수 있다. 또한, ACS는 CPE 상의 소프트웨어의 업데이트들, CPE 상의 소프트웨어의 설치 또는 제거 등을 트리거링하는 RPC들을 인보크할 수 있다. 따라서, TR-069 관리 프로토콜은 운영자가 CPE를 원격으로 구성 및 관리하도록 하고, 이는 사용자가 적은 노력으로 하나 이상의 서비스들을 액세스할 수 있다는 것을 의미한다.
TR-069 프로토콜은 또한, 특정 서비스가 더 많거나, 예를 들면, OSGi(Open Service Gateway initiative) 서비스 플랫폼들과 같은 다양한 서비스들을 제공하는 다른 CPE들을 원격으로 관리하는데 사용된다. 그러나, 그러한 OSGi를 사용함으로써, 서비스들 및 애플리케이션들은 CPE 상의 모든 것을 공유한다. 이것은, 전체 TR-069 오브젝트 모델이 CPE 상에서 활용된 서비스들 및 애플리케이션들에 대해 이용 가능하고, 이들 중 임의의 일부에 의해 검색 또는 변경될 수 있다는 것을 의미한다. 이로써, 각각의 원격 관리 서버 또는 ACS는 TR-069 오브젝트 모델 및 그 안에 저장된 모든 파라미터들을 수정할 수 있다. 이것은, 다양한 서비스 제공자들에 관련된 다수의 서비스들이 실행되는 CPE 상에서, 각각의 서비스 제공자는 다른 운영자들의 서비스들 및 애플리케이션들을 수정할 수 있다는 것을 의미한다. 실제로, 오브젝트 모델이 단일의 액세스 가능한 데이터의 세트이기 때문에, 서비스 운영자들은 다른 운영자들의 서비스들 또는 애플리케이션들에 관련된 파라미터들의 간단한 수정에 의해 다른 운영자들에 대해 이점을 얻을 수 있다.
TR-069 오브젝트 모델에서 자동 구성의 악의적인 이용을 회피하고, 각각의 서비스 제공자에게 더욱 안전한 파라미터들의 세트를 제공하기 위해, TR-069 오브젝트 모델의 관리에서 사용하기 위한 뷰 선택기 모듈에 의해 파라미터들의 안전한 세트가 자동으로 제공된다. 그러한 모듈은 통상적으로 크리덴셜들(credentials)에 기초하여 복수의 파라미터들 중 하나 이상을 선택 및/또는 변경하는 수단을 포함한다. 뷰 선택기 모듈은 2007년 8월 14일자에 제출된 출원번호 제 07291009.4 호의 유럽 특허 출원에 기재되어 있다. 여기서, 크리덴셜들에 기초한 파라미터들의 선택 또는 파라미터들의 변경을 허용함으로써, 서비스 제공자, 원격 관리 서버 또는 ACS와 같은 특정 당사자에게 이용 가능한 TR-069 오브젝트 모델의 서브세트만을 제조하는 것이 가능하게 된다는 것이 기재되어 있다. 이것은, 특정 당사자만이 당사자에 의해 설치된 애플리케이션들 또는 번들들에 대한 특정 TR-069 파라미터들 또는 모든 사람에게 이용 가능한 파라미터들 또는 모든 애플리케이션들 또는 번들들로부터 정보를 검색할 수 있다는 것을 의미한다. 마찬가지로, 단지 다수의 파라미터들이 특정 당사자에 의해 변경될 수 있고, 이에 반하여, 예를 들면, 다른 파라미터들이 당사자, 번들 또는 서비스에 속하지 않지 않기 때문에, 다른 파라미터들이 변경될 수 없다. 따라서, 운영자 A가 운영자 B의 서비스들에 관련된 파라미터들을 보거나 수정하는 것이 불가능하게 된다. 이와 같이, 운영자 A는 운영자 B의 서비스의 용량 또는 품질을 감소시킴으로써 운영자 B에 대해 그의 서비스들에 대한 불공정한 이점을 더 이상 얻을 수 없다.
또한, 홈네트워크 내의 TR-069 순응 고객 댁내 장치들(CPEs)은 통상적으로 그들의 TR-069 오브젝트 모델 파라미터들의 관리를 위해 운영자의 네트워크 내의 자동 구성 서버(ACS)와 협력하여 수송 계층 보안/보안 소켓 계층, 짧게 소위 TLS/SSL 세션을 사용한다. 통상적으로, ACS 또는 프록시는 이러한 TLS/SSL 세션을 종료하고, 자기 혼자서 CPE의 오브젝트 모델 파라미터들을 관리한다.
이러한 방식에 대한 몇몇의 단점들이 존재한다는 것이 설명되어야 한다.
1. CPE의 구성에 대한 지식이 운영자의 네트워크 내의 ACS(또는 그의 위임자들)에서 유지되고, 예를 들면, 진단 툴들에 대해 정보가 홈 네트워크에 국부적으로 요구될 수 있다.
2. TLS/SSL 프로토콜은 터널의 엔드-포인트들 상에서 각각의 세션에 대한 상태를 유지하기 위해 매우 높은 저장 용량 및 CPU 전력을 요구한다.
3. TLS/SSL 세션의 사용으로 인해, 이러한 보안 터널을 통과하는 정보는 중간 네트워크 장치들에 대해 투명하다. 투명하다는 것에 의해, 예를 들면, 가정용 홈 게이트웨이와 같은 ACS 및 CPE 간의 다른 중간 네트워크 장치들에 의해 통과한 정보가 판독될 수 없거나 해석될 수 없다는 것을 의미한다.
본 발명의 목적은 오브젝트 모델의 관리를 운영자 네트워크 내의 다른 신뢰하는 엔티티들에게 위임하는 것이고, 즉, ACS가 관리를 전달하고 CPE의 TR-069 오브젝트 모델을 부분적으로 또는 전체적으로 제어하도록 신뢰하는 다른 신뢰 엔티티들에 위임하는 것이다. 본 출원의 다른 목적은, 예를 들면, 저가 가정용 홈 게이트웨이들에서, TLS/SSL 프로토콜의 터널의 엔드-포인트들 상의 각각의 세션에 대한 상태를 유지하기 위해 요구되는 매우 높은 저장 용량 및 CPU 전력을 공유하는 것이다. 또 다른 목적은, CPE 및 ACS 간의 중간 신뢰 네트워크 장치들, 즉, 개재될 수 있는 중간 신뢰 네트워크 장치들에 투명하지 않은 TR-069 오브젝트 모델의 관리를 제공하는 것이다.
본 발명에 따라, 장치의 TR-069 오브젝트 모델의 관리에서 사용하기 위한 보안 모듈에 의해 종래 기술의 단점들이 극복되고, 본 발명의 목적들이 실현되고, 상기 오브젝트 모델은 크리덴셜들에 기초하여 뷰 선택기 모듈에 의한 선택을 위한 복수의 파라미터들을 포함하고, 이로써 장치에 연관된 오브젝트 모델 뷰를 규정하고, 보안 모듈은 오브젝트 모델 뷰를 보안 정책에 연관시키는 수단 및 중간 네트워크 엔티티 상에서 보안 정책의 보안 속성들을 구성하는 수단을 포함한다.
실제로, TR-069 CPE 관리를 위한 TLS/SSL 세션 계층 보안을 사용하는 대신에, TR-069 오브젝트 모델 뷰 암호화에 연관된 새로운 보안 방법은 CPE 및 ACS 간의 TR-069 관리 세션에서 사용된다. 보안 정책은 TR-069 CPE 오브젝트 모델의 각각의 개별적인 뷰에 할당되고, 신뢰하는 중간 네트워크 엔티티에 대해 관련된 보안 속성들이 구성된다. 이로써, 각각의 보안 정책에 대응하는 올바른 보안 속성들을 소유하는 단지 그들의 네트워크 엔티티들은 TR-069 오브젝트 모델의 특정 뷰를 제어할 수 있다. 적절한 보안 정책들을 분배함으로써, TR-069 CPE 장치의 관리는 운영자에 의해 CPE 및 ACS 간의 TR-069 제어 경로 상의 네트워크 엔티티들의 선택된 세트에 위임될 수 있다. 이와 같이, 이것은 중앙 ACS의 관리 작업을 완화하고, 그들의 중간 네트워크 엔티티들 상에 존재하는 다른 (세미-) 신뢰 애플리케이션들에서 이용 가능한 CPE의 구성 정보를 제조한다.
선택적으로, 연관 수단은 원격 관리 서버, TR-069 관리 에이전트, 또는 ACS 상에 설치되도록 구성된다.
TR-069 CPE 오브젝트 모델의 각각의 파라미터는 보안 정책에 따라 특정 오브젝트 모델 뷰에 할당되고, 이들의 속성들은 특정 암호 및 암호 해독 키를 포함하고, 개별적인 파라미터 베이스에 대한 판독 전용 또는 기록 액세스를 사실상 집행한다. 이러한 할당은 초기 표준 TR-069 SSL/TLS 구성 세션을 사용하여 ACS에 의해 수행될 수 있다. 이러한 초기 구성은 후속 TR-069 통신 세션들에 대한 새로운 보안 프로토콜의 사용을 야기시킨다. 초기 구성 후에, ACS는 ACS와 CPE 간의 경로, 예를 들면, 가정용 게이트웨이 상의 네트워크 장치들의 선택된 세트 상에 특정 보안 정책들을 활용한다. 이러한 정책들의 속성들, 특히, 암호/암호 해독 키들은 이들 장치들이 연관된 CPE 오브젝트 모델 뷰를 제어하도록 허용하고, 이들 장치들은 CPE 오브젝트 모델의 파라미터들 및 그들이 필요한 보안 정책을 갖는 그들의 값을 단지 암호 해독할 수 있다. 마찬가지로, 그들의 CPE 오브젝트 모델 뷰의 파라미터들의 값들을 변경하기 위해, 이들 중간 장치들은 오브젝트 모델 뷰의 보안 정책과 연관된 올바른 암호화 키를 필요로 한다. 이러한 방법으로, ACS로부터 올바른 보안 정책을 획득한 그들의 네트워크 장치들만이 CPE의 오브젝트 모델의 특정 뷰를 액세스할 수 있고, 다른 오브젝트 모델 뷰들은 이들 장치들에 대해 액세스할 수 없다.
또한, TLS/SSL 터널이 TR-069 CPE 관리 자체에 대한 층 보안에서 사용되지 않지만, 이러한 TLS/SSL 프로토콜은 중간 네트워크 엔티티 상의 ACS에 의해 각각의 보안 속성들의 구성에서 여전히 사용될 수 있다. 이것은, 예를 들면, 보증서들, 암호 등과 같은 TLS/SSL 프로토콜의 특징들이 각각의 보안 속성들의 구성 동안에 사용된다는 것을 의미한다. TLS/SSL 프로토콜의 사용이 간단하게 언급되지만, 본 출원의 장치 및 방법이 이에 제한되지 않는다는 것을 유의해야 된다.
또한, 보안 모듈은 구성된 보안 속성들에 기초하는 암호화 프로토콜에 의해 장치 및 중간 네트워크 엔티티와 통신하는 수단을 더 포함하고, 이로써, 중간 네트워크 엔티티가 구성된 보안 속성들에 기초하여 암호화 프로토콜에 의해 장치의 연관된 오브젝트 모델 뷰를 제어하도록 허용한다.
선택적으로, 암호화 프로토콜은 암호화된 TR-069 오브젝트 모델 메시지들을 포함하는 몸체 부분 및 각각의 보안 정책에 대한 비암호화된 참조를 포함하는 헤더 부분을 갖는 간단한 오브젝트 액세스 프로토콜(SOAP)에 의해 구현된다. 실제로, 암호화 프로토콜 자체는 SOAP 레벨 상에서 구현될 수 있고, SOAP 몸체 부분은 암호화된 TR-069 메시지를 포함하고, 보안 정책이 무엇인지 나타내는 비암호화된 SOAP 헤더는 콘텐트를 암호 해독하도록 요구된다. 비암호화된 SOAP 헤더를 판독함으로써, 중간 네트워크 엔티티는 그가 메시지 자체를 처리할 수 있는지 또는 메시지를 ACS에 전송할 필요가 있는지를 결정할 수 있다. 그가 올바른 보안 정책을 소유하고, 메시지 자체에 응답하도록 결정하면, 중간 장치는 TR-069 메시지를 암호 해독하고, 대응하는 보안 콘텍스트로부터 암호화 키를 사용하여 그의 응답을 암호화한다. ACS로서 동작하여, 이러한 중간 장치는 그의 TR-069 암호화된 응답을 CPE에 전송한다. CPE의 뷰의 포인트로부터, 이러한 메시지는, 그가 ACS에 의해 전송된 것처럼 보이고, 이와 같이, 이러한 프로토콜은 CPE에 대한 TR-069 오브젝트 모델 관리의 위임을 은닉한다.
원래 간단한 오브젝트 액세스 프로토콜로서 규정된 SOAP가 컴퓨터 네트워크들에서 웹 서비스들의 구현에서 구조화된 정보를 교환하기 위한 프로토콜 규격이라는 것이 설명되어야 한다. 이것은 그의 메시지 포맷으로서 XML(Extensible Markup Language)에 의존하고, 메시지 협상 및 전송에서 다른 애플리케이션 계층 프로토콜들, 가장 현저하게 원격 절차 호(RPC) 및 HTTP에 항상 의존한다. SOAP는 추상 계층들이 구축될 수 있는 기본 메시징 프레임워크를 제공하는 웹 서비스들 프로토콜 스택의 기초 계층을 형성한다.
선택적으로, 중간 네트워크 엔티티는 가정용 게이트웨이에 의해 구현되고, 상기 장치가 고객 댁내 장비에 의해 구현된다. 마지막으로, 상기 모듈은 TR-069 관리 프로토콜에 통합되도록 구성될 수 있다.
청구항들에서 사용된 용어, "포함"이 이후에 나열된 수단에 대한 제한으로서 해석되어서는 안 된다는 것을 유의해야 한다. 따라서, 표현 '수단 A 및 B를 포함하는 장치'의 범위는 단지 구성요소들 A 및 B로 구성된 장치들로 제한되어서는 안 된다. 본 발명에 관하여, 단지 장치들의 관련 구성요소들이 A 및 B라는 것을 의미한다.
본 발명의 상기 및 다른 목적들 및 특징들은 첨부한 도면들과 연관하여 취해진 실시예의 다음의 설명을 참조함으로써 더욱 명백해질 것이고, 본 발명 자체가 최상으로 이해될 것이고, 도 1은 홈 액세스 네트워크에 설치된 보안 모듈을 도시한다.
본 발명은, 오브젝트 모델의 관리를 운영자 네트워크 내의 다른 신뢰하는 엔티티들에게 위임하는 보안 모듈 및 방법을 제공한다.
도 1은 홈 액세스 네트워크에 설치된 보안 모듈을 도시한 도면.
도 1에 도시된 원격 통신 환경에 따른 본 발명에 따른 장치의 작동은 도 1에 도시된 상이한 블록들의 기능적 설명에 의해 설명될 것이다. 이러한 설명에 기초하여, 블록들의 실제 구현은 당업자에게 명백할 것이고, 따라서 상세히 설명되지 않을 것이다. 또한, TR-069 오브젝트 모델 장치의 관리에서 사용하기 위한 보안 방법의 작동 원리는 더 상세히 설명될 것이다.
도 1은 중간 네트워크 엔티티, 즉, 고객 댁내 장비(106)인 장치에 결합된 가정용 게이트웨이(105)에 결합된 자동 구성 서버(ACS)에 대한 TR-069 관리 에이전트(114)를 갖는 액세스 홈 네트워크를 예시한다.
관리 에이전트 TR-069(114)는 구성 수단, 즉, 보안 구성 모듈(108), 연관 수단(107) 및 명령 수단(113)을 포함하는 보안 모듈(101), 통신 수단, 즉, 통신 모듈(112)을 포함한다. 또한, 관리 에이전트 TR-069(114)는 뷰 선택기 모듈(102) 및 통신 모듈(112)을 포함한다.
고객 댁내 장비(106)는 그의 파라미터들에 대해 적용될 뷰 선택기 모듈(102') 및 통신 모듈(111)을 포함한다.
가정용 게이트웨이(105)는 구성된 보안 속성 모듈(109) 및 통신 모듈(110)을 포함한다.
고객 댁내 장비 오브젝트 모델의 다수의 파라미터들이 뷰 선택기 모듈에 의해 선택된다는 것이 설명되어야 한다. 이러한 선택은 이러한 CPEi에 연관된 특정 오브젝트 모델 뷰(OMVi)에서 발생한다. 홈 네트워크 내의 고객 댁내 장비(106)는 그의 TR-069 오브젝트 모델 파라미터들의 관리를 위해 운영자의 네트워크 내의 자동 구성 서버의 TR-069 관리 에이전트(114)와 통신한다. 관리 에이전트(114)는 고객 댁내 장비(CPEi)의 오브젝트 모델 파라미터들을 관리 및 제어한다.
본 발명의 기본 아이디어에 따라, 생성된 오브젝트 모델 뷰(OMVi)는 특정 보안 정책(SPi)에 연관된다. 특정 보안 정책(SPi)은 특정 암호 및 암호 해독 키를 포함하는 속성들을 규정한다. 특정 보안 정책(SPi)에 대한 오브젝트 모델 뷰(OMVi)의 연관은 관리 에이전트(114)에서 보안 모듈(101)의 연관 수단(107)에 의해 수행된다.
연관에 기초하여, 보안 정책(SPi)의 속성들은 가정용 게이트웨이 상의 보안 모듈의 보안 구성 모듈에 의해 구성되고, 즉, 속성들은 가정용 게이트웨이(106)의 구성된 보안 속성 모듈(109) 상의 보안 모듈(101)의 보안 구성 모듈(108)에 전송되고, 보안 구성 모듈(108)에 의해 저장된다. 할당이 초기 표준 TR-069 SSL/TLS 구성 세션을 사용함으로써 보안 모듈(101)에 의해 수행될 수 있다는 것이 언급되어야 한다.
가정용 게이트웨이(106)에서 구성된 보안 속성 모듈의 초기 구성 후에, 후속 TR-069 통신 세션들이 발진할 수 있다. TR-069 관리 에이전트(114)의 통신 모듈(112)은 암호화 프로토콜에 의해 CPEi 장치(106) 및 가정용 게이트웨이(105)의 각각의 유사한 통신 모듈들(111 및 110)과 통신한다. 본 출원에 따라, 이러한 암호화 프로토콜은 구성된 보안 속성들에 기초하고, 이로써 중간 가정용 게이트웨이(105)가, TR-069 관리 에이전트(114) 대신에, 구성된 보안 속성들에 기초하는 이러한 암호화 프로토콜에 의해 장치(106)의 연관된 오브젝트 모델 뷰(OMVi)(103)를 제어하도록 허용한다.
TR-069 관리 에이전트는, 예를 들면, 가정용 게이트웨이(106)와 같은 CPE 및 TR-069 관리 에이전트 간의 경로 상의 네트워크 요소들에 대한 특정 보안 정책들을 활용한다. 이러한 정책들의 속성들, 특히, 암호/암호 해독 키들은 중간 네트워크 엔티티가 연관된 CPE 오브젝트 모델 뷰를 제어하도록 허용한다. 실제로, 중간 네트워크 엔티티는 CPE 오브젝트 모델 뷰의 파라미터들 및 그들의 값들을 암호 해독하도록 인에이블되고, 이들에 대해서만 중간 네트워크 엔티티는 필요한 보안 정책을 수신한다. 마찬가지로, 그들의 CPE 오브젝트 모델 뷰의 파라미터들의 값들을 변경하기 위해, 중간 네트워크 엔티티는 오브젝트 모델 뷰의 보안 정책과 연관된 올바른 암호화 키를 필요로 한다. 이러한 방법으로, ACS로부터 올바른 보안 정책을 획득한 네트워크 장치들은 CPE의 오브젝트 모델의 특정 뷰를 액세스할 수 있지만, 다른 오브젝트 모델 뷰들은 이들의 장치들에 대해 액세스할 수 없다.
최종 진술은, 본 발명의 실시예들이 기능적인 블록들에 관하여 상술되었다는 것이다. 상기에 제공된 이들 블록들의 기능적인 설명으로부터, 이들 블록들의 실시예들이 잘 알려진 전자 구성요소들로 제조될 수 있다는 것을 전자 장치들을 설계하는 당업자에게 명백할 것이다. 따라서, 기능적인 블록들의 콘텐츠의 상세한 구조는 제공되지 않는다.
본 발명의 원리들이 특정 장치와 연관하여 상술되었지만, 이러한 설명이 예의 방법으로만 이루어지고, 첨부된 청구항들에 규정된 바와 같은 본 발명의 범위에 대한 제한으로서 이루어지지 않는다는 것이 명백히 이해된다.
101: 보안 모듈 102, 102': 뷰 선택기 모듈
103: 오브젝트 모델 뷰 104: 보안 정책
105: 가정용 게이트웨이 106: 고객 댁내 장비
107: 연관 수단 108: 보안 구성 모듈
109: 구성된 보안 속성 모듈 110: 통신 모듈
111: 통신 모듈 112: 통신 모듈
113: 명령 수단 114: TR-069 관리 에이전트

Claims (9)

  1. 장치(106)의 TR-069 오브젝트 모델의 관리에서 이용하기 위한 보안 모듈(101)로서, 상기 오브젝트 모델은 크리덴셜들(credentials)에 기초하여 뷰 선택기 모듈(102, 107)에 의한 선택을 위한 복수의 파라미터들을 포함하고, 이로써 상기 장치(106)에 연관된 오브젝트 모델 뷰(103)를 규정하는, 상기 보안 모듈(101)에 있어서,
    상기 보안 모듈(101)은 상기 오브젝트 모델 뷰(103)를 보안 정책(104)에 연관시키는 수단(107) 및 중간 네트워크 엔티티(105) 상에서 상기 보안 정책(104)의 보안 속성들을 구성하는 수단(108, 109)을 포함하는 것을 특징으로 하는, 보안 모듈(101).
  2. 제 1 항에 있어서,
    상기 연관 수단(107)은 원격 관리 서버(110) 상에 설치되도록 구성되는 것을 특징으로 하는, 보안 모듈(101).
  3. 제 1 항에 있어서,
    상기 보안 모듈(101)은 상기 중간 엔티티(105) 상에서 상기 보안 속성들을 구성하기 위해 수송 계층 보안/보안 소켓 계층(Transport Layer Security/Secure Sockets Layer; TLS/SSL) 프로토콜을 이용하는 것을 특징으로 하는, 보안 모듈(101).
  4. 제 1 항에 있어서,
    상기 보안 모듈(101)은, 상기 구성된 보안 속성들에 기초하여 암호화 프로토콜에 의해 상기 장치(106) 및 상기 중간 네트워크 엔티티(105)와 통신하도록 통신 수단(112)에 명령하고, 이로써 상기 중간 네트워크 엔티티(105)로 하여금 상기 구성된 보안 속성들에 기초하여 상기 암호화 프로토콜에 의해 상기 장치(106)의 상기 연관된 오브젝트 모델 뷰(103)를 제어하도록 허용하는 명령 수단(113)을 추가로 포함하는 것을 특징으로 하는, 보안 모듈(101).
  5. 제 4 항에 있어서,
    상기 암호화 프로토콜은, 암호화된 TR-069 오브젝트 모델 메시지들을 포함하는 몸체 부분 및 상기 보안 정책(SPi)에 대한 비암호화된 참조를 포함하는 헤더 부분을 갖는 간단한 오브젝트 액세스 프로토콜(Simple Object Access Protocol; SOAP)에 의해 구현되는 것을 특징으로 하는, 보안 모듈(101).
  6. 제 1 항에 있어서,
    상기 중간 네트워크 엔티티(105)는 가정용 게이트웨이에 의해 구현되는 것을 특징으로 하는, 보안 모듈(101).
  7. 제 1 항에 있어서,
    상기 장치는 고객 댁내 장비(customer premises equipment)(106)인 것을 특징으로 하는, 보안 모듈(101).
  8. 제 1 항에 있어서,
    상기 모듈(101)은 TR069 관리 프로토콜에 통합되도록 구성되는 것을 특징으로 하는, 보안 모듈(101).
  9. TR-069 오브젝트 모델 장치의 관리에 이용하기 위한 보안 방법으로서, 상기 오브젝트 모델은 크리덴셜들에 기초하여 뷰 선택기 모듈(102, 107)에 의한 선택을 위한 복수의 파라미터들을 포함하고, 이로써 상기 장치(106)에 연관된 오브젝트 모델 뷰(103)를 규정하는, 상기 보안 방법에 있어서,
    상기 오브젝트 모델 뷰(103)를 보안 정책(104)에 연관시키는 단계 및 중간 네트워크 엔티티(105) 상에서 상기 보안 정책(104)의 보안 속성들을 구성하는 단계를 포함하는 것을 특징으로 하는, 보안 방법.
KR1020117014969A 2008-12-02 2009-11-24 Tr-069 오브젝트 관리를 위한 모듈 및 연관된 방법 KR101548552B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
EP08291134A EP2194688A1 (en) 2008-12-02 2008-12-02 A module and associated method for TR-069 object management
EP08291134.8 2008-12-02

Publications (2)

Publication Number Publication Date
KR20110092333A true KR20110092333A (ko) 2011-08-17
KR101548552B1 KR101548552B1 (ko) 2015-09-01

Family

ID=40602255

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020117014969A KR101548552B1 (ko) 2008-12-02 2009-11-24 Tr-069 오브젝트 관리를 위한 모듈 및 연관된 방법

Country Status (6)

Country Link
US (1) US8955034B2 (ko)
EP (1) EP2194688A1 (ko)
JP (1) JP5537560B2 (ko)
KR (1) KR101548552B1 (ko)
CN (1) CN101753564B (ko)
WO (1) WO2010063407A1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101447858B1 (ko) * 2013-05-15 2014-10-07 (주)엔텔스 IPSec 게이트웨이 장치, IPSec 게이트웨이의 패킷 전송 방법 및 네트워크 시스템
WO2014185639A1 (ko) * 2013-05-15 2014-11-20 주식회사 엔텔스 IPSec 게이트웨이 장치, IPSec 게이트웨이의 패킷 전송 방법 및 네트워크 시스템

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2415065B (en) * 2004-06-09 2009-01-21 Symbian Software Ltd A computing device having a multiple process architecture for running plug-in code modules
EP2141858B1 (en) * 2008-06-30 2014-11-26 Alcatel Lucent Method for managing a communication between a server device and a customer device
FR2951343A1 (fr) * 2009-10-14 2011-04-15 Alcatel Lucent Gestion de dispositif de communication a travers un reseau de telecommunications
US8925039B2 (en) * 2009-12-14 2014-12-30 At&T Intellectual Property I, L.P. System and method of selectively applying security measures to data services
EP2403216B1 (en) * 2010-06-30 2014-03-05 Alcatel Lucent Method for installation of an application
EP2403201A1 (en) * 2010-06-30 2012-01-04 Alcatel Lucent Method for communicating between customer device and server device
CN103116606A (zh) * 2013-01-17 2013-05-22 上海斐讯数据通信技术有限公司 一种数据存储结构
US10554861B2 (en) 2015-03-05 2020-02-04 Hewlett-Packard Development Company, L.P. Method and device for color compensation
CN104852813B (zh) * 2015-04-08 2018-02-13 烽火通信科技股份有限公司 家庭网关设备中tr069参数节点的按需加载方法及系统
US11038923B2 (en) * 2018-02-16 2021-06-15 Nokia Technologies Oy Security management in communication systems with security-based architecture using application layer security
US11233647B1 (en) * 2018-04-13 2022-01-25 Hushmesh Inc. Digital identity authentication system
US11477072B2 (en) * 2019-09-17 2022-10-18 OpenVault, LLC System and method for prescriptive diagnostics and optimization of client networks

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1691284A1 (en) * 2005-02-11 2006-08-16 Comptel Corporation Method, system and computer program product for providing access policies for services
CN100596069C (zh) * 2006-08-15 2010-03-24 中国电信股份有限公司 家庭网关中IPSec安全策略的自动配置系统和方法
TWI337818B (en) * 2007-04-16 2011-02-21 Accton Technology Corp Network management system and management method thereof
EP2026594B1 (en) 2007-08-14 2017-07-12 Alcatel Lucent A module and associated method for TR-069 object management
US8019767B2 (en) * 2007-11-12 2011-09-13 International Business Machines Corporation Correlation-based visualization of service-oriented architecture protocol (SOAP) messages

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101447858B1 (ko) * 2013-05-15 2014-10-07 (주)엔텔스 IPSec 게이트웨이 장치, IPSec 게이트웨이의 패킷 전송 방법 및 네트워크 시스템
WO2014185639A1 (ko) * 2013-05-15 2014-11-20 주식회사 엔텔스 IPSec 게이트웨이 장치, IPSec 게이트웨이의 패킷 전송 방법 및 네트워크 시스템

Also Published As

Publication number Publication date
CN101753564A (zh) 2010-06-23
US8955034B2 (en) 2015-02-10
JP5537560B2 (ja) 2014-07-02
WO2010063407A1 (en) 2010-06-10
KR101548552B1 (ko) 2015-09-01
CN101753564B (zh) 2013-09-18
US20100138895A1 (en) 2010-06-03
JP2012510766A (ja) 2012-05-10
EP2194688A1 (en) 2010-06-09

Similar Documents

Publication Publication Date Title
KR101548552B1 (ko) Tr-069 오브젝트 관리를 위한 모듈 및 연관된 방법
US7302487B2 (en) Security system for a data communications network
Blaze et al. Trust management for IPsec
KR101438243B1 (ko) Sim 기반 인증방법
US8195944B2 (en) Automated method for securely establishing simple network management protocol version 3 (SNMPv3) authentication and privacy keys
CN102265566B (zh) 用于配置用以管理附属于数据流的数据分组的参数的方法
US20140189362A1 (en) Method for a secured backup and restore of configuration data of an end-user device, and device using the method
US10965653B2 (en) Scalable and secure message brokering approach in a communication system
CN110191052B (zh) 一种跨协议网络传输方法及系统
CN111373702B (zh) 用于现场总线网络与云之间的数据交换的接口装置
KR20100058477A (ko) Tr―069 오브젝트 관리를 위한 모듈 및 연관된 방법
JP7442690B2 (ja) 安全な通信方法、関連する装置、およびシステム
Li Policy-based IPsec management
Rantos et al. Secure policy-based management solutions in heterogeneous embedded systems networks
CN114614984A (zh) 一种基于国密算法的时间敏感网络安全通信方法
US11936634B2 (en) Method for editing messages by a device on a communication path established between two nodes
Protskaya Security in the Internet of Things
CN102148704A (zh) 一种加密型交换机通用网管接口的软件实现方法
WO2023238172A1 (ja) 鍵発行システム、鍵発行方法、およびプログラム
Stusek et al. A Novel Application of CWMP: An Operator-grade Management Platform for IoT
Wheeler et al. Securely Connecting the Unconnected
Schwiderski-Grosche et al. Towards the secure initialisation of a personal distributed environment
CN114024664A (zh) 安全通信方法、相关装置及系统
Game WP1: Requirement Analysis D 1. C:” State of the Art Report”
Headquarters Release Notes for Cisco uBR905 and Cisco uBR925 Cable Access Routers for Cisco IOS Release 12.2 CZ

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee