KR20110092333A - Tr-069 오브젝트 관리를 위한 모듈 및 연관된 방법 - Google Patents
Tr-069 오브젝트 관리를 위한 모듈 및 연관된 방법 Download PDFInfo
- Publication number
- KR20110092333A KR20110092333A KR1020117014969A KR20117014969A KR20110092333A KR 20110092333 A KR20110092333 A KR 20110092333A KR 1020117014969 A KR1020117014969 A KR 1020117014969A KR 20117014969 A KR20117014969 A KR 20117014969A KR 20110092333 A KR20110092333 A KR 20110092333A
- Authority
- KR
- South Korea
- Prior art keywords
- security
- object model
- module
- management
- view
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims description 18
- 238000004891 communication Methods 0.000 claims description 15
- 230000008859 change Effects 0.000 description 3
- 230000002776 aggregation Effects 0.000 description 2
- 238000004220 aggregation Methods 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000012937 correction Methods 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000003860 storage Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000004366 reverse phase liquid chromatography Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/22—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks comprising specially adapted graphical user interfaces [GUI]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2854—Wide area networks, e.g. public data networks
- H04L12/2856—Access arrangements, e.g. Internet access
- H04L12/2869—Operational details of access network equipments
- H04L12/287—Remote access server, e.g. BRAS
- H04L12/2876—Handling of subscriber policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/02—Standardisation; Integration
- H04L41/0213—Standardised network management protocols, e.g. simple network management protocol [SNMP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0471—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying encryption by an intermediary, e.g. receiving clear information at the intermediary and encrypting the received information at the intermediary before forwarding
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
- H04L67/125—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks involving control of end-device applications over a network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Human Computer Interaction (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Small-Scale Networks (AREA)
- Telephonic Communication Services (AREA)
Abstract
본 발명은 장치의 TR-069 오브젝트 모델의 관리에서 사용하기 위한 보안 모듈에 관한 것이다. 오브젝트 모델은 크리덴셜들에 기초하여 뷰 선택기 모듈에 의한 선택을 위한 복수의 파라미터들을 포함하고, 이로써 상기 장치에 연관된 오브젝트 모델 뷰를 규정한다. 보안 모듈은 오브젝트 모델 뷰를 보안 정책에 연관시키는 수단 및 중간 네트워크 엔티티 상에서 보안 정책의 보안 속성들을 구성하는 수단을 포함한다.
Description
본 발명은 원격 관리, 즉, 애플리케이션 또는 서비스 소프트웨어 모듈들 - 고객 댁내 장비(customer premises equipment; CPE) 장치들에 접속하는 네트워크 내의 임의의 서버 위치로부터 고객 댁내 장비(CPE) 상의 소위 "번들들(bundles)"의 설치, 구성 및 제거에 관한 것이다. 서버는 본 출원에 전체에 걸쳐 자동 구성 서버 또는 원격 관리 서버로 명명된다. CPE 또는 고객 장치들의 예들은 디지털 가입자 회선(DSL) 모뎀, 셋탑 박스(STB), 모바일 텔레폰과 같은 무선 단말기, PDA(Personal Digital Assistant), 등이다. 본 출원과 관련하여, 고객 장치는 또한 원격 관리 서비스들이 설치된 네트워크 내에 존재하는 장치, 예를 들면, DSLAM, 원격 유닛(RU), 서비스 블레이드(service blade), 등일 수 있다. 더욱 상세하게, 본 발명은 특정 서비스 또는 운영자에 속하는 파라미터들의 서브세트의 관리에 관한 것이다.
디지털 가입자 회선(xDSL) 네트워크와 같은 광대역 액세스 네트워크에 접속된 홈 네트워크는, 하나의 측면 상에서 홈 네트워크 내의 하나 이상의 어플라이언스들에 접속되고 다른 측면 상에서 중앙국 내의 디지털 가입자 회선 액세스 멀티플렉서(DSLAM) 또는 트래픽 집합 노드(traffic aggregation node)와 같은 xDSL 서비스 제공자의 노드에 접속되는 xDSL 모뎀과 같은 고객 댁내 장비를 포함한다. 이러한 CPE 및 DSLAM 사이의 링크는 정보를 전송하는데 사용되고, 이는 CPE 및 DSLAM 간의 통신 세션의 확립을 요구한다. 통신 세션을 확립하는 것은 통상적으로 장치들 간의 동기화와 같은 단계들, 에러 정정 시스템들을 규정하는 단계, 전송 속도를 결정하는 단계 등을 수반한다. 이를 성취하기 위해, 모뎀은 이러한 단계들에 관련된 정보를 필요로 한다. 예를 들면, 이것은 어떠한 에러 정정 코드들이 이용 가능한지, 어떠한 속도가 사용될 수 있는지, 어떠한 인코딩들이 바람직한지 등을 알아야 할 필요가 있다.
또한, TR-069 관리 프로토콜은 통상적으로 원격 장치 관리에서 사용된다. 이러한 프로토콜은 CPE가 원격 관리 서버 또는 자동 구성 서버(ACS)에 의해 서비스 제공자 네트워크 내에서부터 구성될 수 있도록 한다. 그러한 TR-069 관리 프로토콜은 각각 CPE에 저장된 오브젝트 모델에 기초한다. 오브젝트 모델은 원격 절차 호들(remote procedure calls)에 의해 판독되거나 변경될 수 있는 다수의 파라미터들로 구성된다. 이러한 파라미터들은 오브젝트 모델의 트리형 구조로 조직화된다. 트리 모델의 결과로서, 파라미터는 명백하게 어드레싱될 수 있거나, 파라미터들의 서브세트들이 어드레싱될 수 있다. ACS는 상술된 바와 같은 특정 파라미터 또는 서브세트의 어드레싱을 사용하여 하나 이상의 파라미터들의 값을 검색하기 위해 원격 절차 호(RPC)를 실시할 수 있다. ACS는 또한 파라미터의 값 또는 파라미터들의 서브세트를 변경하기 위해 RPC를 인보크할 수 있다. 또한, ACS는 CPE 상의 소프트웨어의 업데이트들, CPE 상의 소프트웨어의 설치 또는 제거 등을 트리거링하는 RPC들을 인보크할 수 있다. 따라서, TR-069 관리 프로토콜은 운영자가 CPE를 원격으로 구성 및 관리하도록 하고, 이는 사용자가 적은 노력으로 하나 이상의 서비스들을 액세스할 수 있다는 것을 의미한다.
TR-069 프로토콜은 또한, 특정 서비스가 더 많거나, 예를 들면, OSGi(Open Service Gateway initiative) 서비스 플랫폼들과 같은 다양한 서비스들을 제공하는 다른 CPE들을 원격으로 관리하는데 사용된다. 그러나, 그러한 OSGi를 사용함으로써, 서비스들 및 애플리케이션들은 CPE 상의 모든 것을 공유한다. 이것은, 전체 TR-069 오브젝트 모델이 CPE 상에서 활용된 서비스들 및 애플리케이션들에 대해 이용 가능하고, 이들 중 임의의 일부에 의해 검색 또는 변경될 수 있다는 것을 의미한다. 이로써, 각각의 원격 관리 서버 또는 ACS는 TR-069 오브젝트 모델 및 그 안에 저장된 모든 파라미터들을 수정할 수 있다. 이것은, 다양한 서비스 제공자들에 관련된 다수의 서비스들이 실행되는 CPE 상에서, 각각의 서비스 제공자는 다른 운영자들의 서비스들 및 애플리케이션들을 수정할 수 있다는 것을 의미한다. 실제로, 오브젝트 모델이 단일의 액세스 가능한 데이터의 세트이기 때문에, 서비스 운영자들은 다른 운영자들의 서비스들 또는 애플리케이션들에 관련된 파라미터들의 간단한 수정에 의해 다른 운영자들에 대해 이점을 얻을 수 있다.
TR-069 오브젝트 모델에서 자동 구성의 악의적인 이용을 회피하고, 각각의 서비스 제공자에게 더욱 안전한 파라미터들의 세트를 제공하기 위해, TR-069 오브젝트 모델의 관리에서 사용하기 위한 뷰 선택기 모듈에 의해 파라미터들의 안전한 세트가 자동으로 제공된다. 그러한 모듈은 통상적으로 크리덴셜들(credentials)에 기초하여 복수의 파라미터들 중 하나 이상을 선택 및/또는 변경하는 수단을 포함한다. 뷰 선택기 모듈은 2007년 8월 14일자에 제출된 출원번호 제 07291009.4 호의 유럽 특허 출원에 기재되어 있다. 여기서, 크리덴셜들에 기초한 파라미터들의 선택 또는 파라미터들의 변경을 허용함으로써, 서비스 제공자, 원격 관리 서버 또는 ACS와 같은 특정 당사자에게 이용 가능한 TR-069 오브젝트 모델의 서브세트만을 제조하는 것이 가능하게 된다는 것이 기재되어 있다. 이것은, 특정 당사자만이 당사자에 의해 설치된 애플리케이션들 또는 번들들에 대한 특정 TR-069 파라미터들 또는 모든 사람에게 이용 가능한 파라미터들 또는 모든 애플리케이션들 또는 번들들로부터 정보를 검색할 수 있다는 것을 의미한다. 마찬가지로, 단지 다수의 파라미터들이 특정 당사자에 의해 변경될 수 있고, 이에 반하여, 예를 들면, 다른 파라미터들이 당사자, 번들 또는 서비스에 속하지 않지 않기 때문에, 다른 파라미터들이 변경될 수 없다. 따라서, 운영자 A가 운영자 B의 서비스들에 관련된 파라미터들을 보거나 수정하는 것이 불가능하게 된다. 이와 같이, 운영자 A는 운영자 B의 서비스의 용량 또는 품질을 감소시킴으로써 운영자 B에 대해 그의 서비스들에 대한 불공정한 이점을 더 이상 얻을 수 없다.
또한, 홈네트워크 내의 TR-069 순응 고객 댁내 장치들(CPEs)은 통상적으로 그들의 TR-069 오브젝트 모델 파라미터들의 관리를 위해 운영자의 네트워크 내의 자동 구성 서버(ACS)와 협력하여 수송 계층 보안/보안 소켓 계층, 짧게 소위 TLS/SSL 세션을 사용한다. 통상적으로, ACS 또는 프록시는 이러한 TLS/SSL 세션을 종료하고, 자기 혼자서 CPE의 오브젝트 모델 파라미터들을 관리한다.
이러한 방식에 대한 몇몇의 단점들이 존재한다는 것이 설명되어야 한다.
1. CPE의 구성에 대한 지식이 운영자의 네트워크 내의 ACS(또는 그의 위임자들)에서 유지되고, 예를 들면, 진단 툴들에 대해 정보가 홈 네트워크에 국부적으로 요구될 수 있다.
2. TLS/SSL 프로토콜은 터널의 엔드-포인트들 상에서 각각의 세션에 대한 상태를 유지하기 위해 매우 높은 저장 용량 및 CPU 전력을 요구한다.
3. TLS/SSL 세션의 사용으로 인해, 이러한 보안 터널을 통과하는 정보는 중간 네트워크 장치들에 대해 투명하다. 투명하다는 것에 의해, 예를 들면, 가정용 홈 게이트웨이와 같은 ACS 및 CPE 간의 다른 중간 네트워크 장치들에 의해 통과한 정보가 판독될 수 없거나 해석될 수 없다는 것을 의미한다.
본 발명의 목적은 오브젝트 모델의 관리를 운영자 네트워크 내의 다른 신뢰하는 엔티티들에게 위임하는 것이고, 즉, ACS가 관리를 전달하고 CPE의 TR-069 오브젝트 모델을 부분적으로 또는 전체적으로 제어하도록 신뢰하는 다른 신뢰 엔티티들에 위임하는 것이다. 본 출원의 다른 목적은, 예를 들면, 저가 가정용 홈 게이트웨이들에서, TLS/SSL 프로토콜의 터널의 엔드-포인트들 상의 각각의 세션에 대한 상태를 유지하기 위해 요구되는 매우 높은 저장 용량 및 CPU 전력을 공유하는 것이다. 또 다른 목적은, CPE 및 ACS 간의 중간 신뢰 네트워크 장치들, 즉, 개재될 수 있는 중간 신뢰 네트워크 장치들에 투명하지 않은 TR-069 오브젝트 모델의 관리를 제공하는 것이다.
본 발명에 따라, 장치의 TR-069 오브젝트 모델의 관리에서 사용하기 위한 보안 모듈에 의해 종래 기술의 단점들이 극복되고, 본 발명의 목적들이 실현되고, 상기 오브젝트 모델은 크리덴셜들에 기초하여 뷰 선택기 모듈에 의한 선택을 위한 복수의 파라미터들을 포함하고, 이로써 장치에 연관된 오브젝트 모델 뷰를 규정하고, 보안 모듈은 오브젝트 모델 뷰를 보안 정책에 연관시키는 수단 및 중간 네트워크 엔티티 상에서 보안 정책의 보안 속성들을 구성하는 수단을 포함한다.
실제로, TR-069 CPE 관리를 위한 TLS/SSL 세션 계층 보안을 사용하는 대신에, TR-069 오브젝트 모델 뷰 암호화에 연관된 새로운 보안 방법은 CPE 및 ACS 간의 TR-069 관리 세션에서 사용된다. 보안 정책은 TR-069 CPE 오브젝트 모델의 각각의 개별적인 뷰에 할당되고, 신뢰하는 중간 네트워크 엔티티에 대해 관련된 보안 속성들이 구성된다. 이로써, 각각의 보안 정책에 대응하는 올바른 보안 속성들을 소유하는 단지 그들의 네트워크 엔티티들은 TR-069 오브젝트 모델의 특정 뷰를 제어할 수 있다. 적절한 보안 정책들을 분배함으로써, TR-069 CPE 장치의 관리는 운영자에 의해 CPE 및 ACS 간의 TR-069 제어 경로 상의 네트워크 엔티티들의 선택된 세트에 위임될 수 있다. 이와 같이, 이것은 중앙 ACS의 관리 작업을 완화하고, 그들의 중간 네트워크 엔티티들 상에 존재하는 다른 (세미-) 신뢰 애플리케이션들에서 이용 가능한 CPE의 구성 정보를 제조한다.
선택적으로, 연관 수단은 원격 관리 서버, TR-069 관리 에이전트, 또는 ACS 상에 설치되도록 구성된다.
TR-069 CPE 오브젝트 모델의 각각의 파라미터는 보안 정책에 따라 특정 오브젝트 모델 뷰에 할당되고, 이들의 속성들은 특정 암호 및 암호 해독 키를 포함하고, 개별적인 파라미터 베이스에 대한 판독 전용 또는 기록 액세스를 사실상 집행한다. 이러한 할당은 초기 표준 TR-069 SSL/TLS 구성 세션을 사용하여 ACS에 의해 수행될 수 있다. 이러한 초기 구성은 후속 TR-069 통신 세션들에 대한 새로운 보안 프로토콜의 사용을 야기시킨다. 초기 구성 후에, ACS는 ACS와 CPE 간의 경로, 예를 들면, 가정용 게이트웨이 상의 네트워크 장치들의 선택된 세트 상에 특정 보안 정책들을 활용한다. 이러한 정책들의 속성들, 특히, 암호/암호 해독 키들은 이들 장치들이 연관된 CPE 오브젝트 모델 뷰를 제어하도록 허용하고, 이들 장치들은 CPE 오브젝트 모델의 파라미터들 및 그들이 필요한 보안 정책을 갖는 그들의 값을 단지 암호 해독할 수 있다. 마찬가지로, 그들의 CPE 오브젝트 모델 뷰의 파라미터들의 값들을 변경하기 위해, 이들 중간 장치들은 오브젝트 모델 뷰의 보안 정책과 연관된 올바른 암호화 키를 필요로 한다. 이러한 방법으로, ACS로부터 올바른 보안 정책을 획득한 그들의 네트워크 장치들만이 CPE의 오브젝트 모델의 특정 뷰를 액세스할 수 있고, 다른 오브젝트 모델 뷰들은 이들 장치들에 대해 액세스할 수 없다.
또한, TLS/SSL 터널이 TR-069 CPE 관리 자체에 대한 층 보안에서 사용되지 않지만, 이러한 TLS/SSL 프로토콜은 중간 네트워크 엔티티 상의 ACS에 의해 각각의 보안 속성들의 구성에서 여전히 사용될 수 있다. 이것은, 예를 들면, 보증서들, 암호 등과 같은 TLS/SSL 프로토콜의 특징들이 각각의 보안 속성들의 구성 동안에 사용된다는 것을 의미한다. TLS/SSL 프로토콜의 사용이 간단하게 언급되지만, 본 출원의 장치 및 방법이 이에 제한되지 않는다는 것을 유의해야 된다.
또한, 보안 모듈은 구성된 보안 속성들에 기초하는 암호화 프로토콜에 의해 장치 및 중간 네트워크 엔티티와 통신하는 수단을 더 포함하고, 이로써, 중간 네트워크 엔티티가 구성된 보안 속성들에 기초하여 암호화 프로토콜에 의해 장치의 연관된 오브젝트 모델 뷰를 제어하도록 허용한다.
선택적으로, 암호화 프로토콜은 암호화된 TR-069 오브젝트 모델 메시지들을 포함하는 몸체 부분 및 각각의 보안 정책에 대한 비암호화된 참조를 포함하는 헤더 부분을 갖는 간단한 오브젝트 액세스 프로토콜(SOAP)에 의해 구현된다. 실제로, 암호화 프로토콜 자체는 SOAP 레벨 상에서 구현될 수 있고, SOAP 몸체 부분은 암호화된 TR-069 메시지를 포함하고, 보안 정책이 무엇인지 나타내는 비암호화된 SOAP 헤더는 콘텐트를 암호 해독하도록 요구된다. 비암호화된 SOAP 헤더를 판독함으로써, 중간 네트워크 엔티티는 그가 메시지 자체를 처리할 수 있는지 또는 메시지를 ACS에 전송할 필요가 있는지를 결정할 수 있다. 그가 올바른 보안 정책을 소유하고, 메시지 자체에 응답하도록 결정하면, 중간 장치는 TR-069 메시지를 암호 해독하고, 대응하는 보안 콘텍스트로부터 암호화 키를 사용하여 그의 응답을 암호화한다. ACS로서 동작하여, 이러한 중간 장치는 그의 TR-069 암호화된 응답을 CPE에 전송한다. CPE의 뷰의 포인트로부터, 이러한 메시지는, 그가 ACS에 의해 전송된 것처럼 보이고, 이와 같이, 이러한 프로토콜은 CPE에 대한 TR-069 오브젝트 모델 관리의 위임을 은닉한다.
원래 간단한 오브젝트 액세스 프로토콜로서 규정된 SOAP가 컴퓨터 네트워크들에서 웹 서비스들의 구현에서 구조화된 정보를 교환하기 위한 프로토콜 규격이라는 것이 설명되어야 한다. 이것은 그의 메시지 포맷으로서 XML(Extensible Markup Language)에 의존하고, 메시지 협상 및 전송에서 다른 애플리케이션 계층 프로토콜들, 가장 현저하게 원격 절차 호(RPC) 및 HTTP에 항상 의존한다. SOAP는 추상 계층들이 구축될 수 있는 기본 메시징 프레임워크를 제공하는 웹 서비스들 프로토콜 스택의 기초 계층을 형성한다.
선택적으로, 중간 네트워크 엔티티는 가정용 게이트웨이에 의해 구현되고, 상기 장치가 고객 댁내 장비에 의해 구현된다. 마지막으로, 상기 모듈은 TR-069 관리 프로토콜에 통합되도록 구성될 수 있다.
청구항들에서 사용된 용어, "포함"이 이후에 나열된 수단에 대한 제한으로서 해석되어서는 안 된다는 것을 유의해야 한다. 따라서, 표현 '수단 A 및 B를 포함하는 장치'의 범위는 단지 구성요소들 A 및 B로 구성된 장치들로 제한되어서는 안 된다. 본 발명에 관하여, 단지 장치들의 관련 구성요소들이 A 및 B라는 것을 의미한다.
본 발명의 상기 및 다른 목적들 및 특징들은 첨부한 도면들과 연관하여 취해진 실시예의 다음의 설명을 참조함으로써 더욱 명백해질 것이고, 본 발명 자체가 최상으로 이해될 것이고, 도 1은 홈 액세스 네트워크에 설치된 보안 모듈을 도시한다.
본 발명은, 오브젝트 모델의 관리를 운영자 네트워크 내의 다른 신뢰하는 엔티티들에게 위임하는 보안 모듈 및 방법을 제공한다.
도 1은 홈 액세스 네트워크에 설치된 보안 모듈을 도시한 도면.
도 1에 도시된 원격 통신 환경에 따른 본 발명에 따른 장치의 작동은 도 1에 도시된 상이한 블록들의 기능적 설명에 의해 설명될 것이다. 이러한 설명에 기초하여, 블록들의 실제 구현은 당업자에게 명백할 것이고, 따라서 상세히 설명되지 않을 것이다. 또한, TR-069 오브젝트 모델 장치의 관리에서 사용하기 위한 보안 방법의 작동 원리는 더 상세히 설명될 것이다.
도 1은 중간 네트워크 엔티티, 즉, 고객 댁내 장비(106)인 장치에 결합된 가정용 게이트웨이(105)에 결합된 자동 구성 서버(ACS)에 대한 TR-069 관리 에이전트(114)를 갖는 액세스 홈 네트워크를 예시한다.
관리 에이전트 TR-069(114)는 구성 수단, 즉, 보안 구성 모듈(108), 연관 수단(107) 및 명령 수단(113)을 포함하는 보안 모듈(101), 통신 수단, 즉, 통신 모듈(112)을 포함한다. 또한, 관리 에이전트 TR-069(114)는 뷰 선택기 모듈(102) 및 통신 모듈(112)을 포함한다.
고객 댁내 장비(106)는 그의 파라미터들에 대해 적용될 뷰 선택기 모듈(102') 및 통신 모듈(111)을 포함한다.
가정용 게이트웨이(105)는 구성된 보안 속성 모듈(109) 및 통신 모듈(110)을 포함한다.
고객 댁내 장비 오브젝트 모델의 다수의 파라미터들이 뷰 선택기 모듈에 의해 선택된다는 것이 설명되어야 한다. 이러한 선택은 이러한 CPEi에 연관된 특정 오브젝트 모델 뷰(OMVi)에서 발생한다. 홈 네트워크 내의 고객 댁내 장비(106)는 그의 TR-069 오브젝트 모델 파라미터들의 관리를 위해 운영자의 네트워크 내의 자동 구성 서버의 TR-069 관리 에이전트(114)와 통신한다. 관리 에이전트(114)는 고객 댁내 장비(CPEi)의 오브젝트 모델 파라미터들을 관리 및 제어한다.
본 발명의 기본 아이디어에 따라, 생성된 오브젝트 모델 뷰(OMVi)는 특정 보안 정책(SPi)에 연관된다. 특정 보안 정책(SPi)은 특정 암호 및 암호 해독 키를 포함하는 속성들을 규정한다. 특정 보안 정책(SPi)에 대한 오브젝트 모델 뷰(OMVi)의 연관은 관리 에이전트(114)에서 보안 모듈(101)의 연관 수단(107)에 의해 수행된다.
연관에 기초하여, 보안 정책(SPi)의 속성들은 가정용 게이트웨이 상의 보안 모듈의 보안 구성 모듈에 의해 구성되고, 즉, 속성들은 가정용 게이트웨이(106)의 구성된 보안 속성 모듈(109) 상의 보안 모듈(101)의 보안 구성 모듈(108)에 전송되고, 보안 구성 모듈(108)에 의해 저장된다. 할당이 초기 표준 TR-069 SSL/TLS 구성 세션을 사용함으로써 보안 모듈(101)에 의해 수행될 수 있다는 것이 언급되어야 한다.
가정용 게이트웨이(106)에서 구성된 보안 속성 모듈의 초기 구성 후에, 후속 TR-069 통신 세션들이 발진할 수 있다. TR-069 관리 에이전트(114)의 통신 모듈(112)은 암호화 프로토콜에 의해 CPEi 장치(106) 및 가정용 게이트웨이(105)의 각각의 유사한 통신 모듈들(111 및 110)과 통신한다. 본 출원에 따라, 이러한 암호화 프로토콜은 구성된 보안 속성들에 기초하고, 이로써 중간 가정용 게이트웨이(105)가, TR-069 관리 에이전트(114) 대신에, 구성된 보안 속성들에 기초하는 이러한 암호화 프로토콜에 의해 장치(106)의 연관된 오브젝트 모델 뷰(OMVi)(103)를 제어하도록 허용한다.
TR-069 관리 에이전트는, 예를 들면, 가정용 게이트웨이(106)와 같은 CPE 및 TR-069 관리 에이전트 간의 경로 상의 네트워크 요소들에 대한 특정 보안 정책들을 활용한다. 이러한 정책들의 속성들, 특히, 암호/암호 해독 키들은 중간 네트워크 엔티티가 연관된 CPE 오브젝트 모델 뷰를 제어하도록 허용한다. 실제로, 중간 네트워크 엔티티는 CPE 오브젝트 모델 뷰의 파라미터들 및 그들의 값들을 암호 해독하도록 인에이블되고, 이들에 대해서만 중간 네트워크 엔티티는 필요한 보안 정책을 수신한다. 마찬가지로, 그들의 CPE 오브젝트 모델 뷰의 파라미터들의 값들을 변경하기 위해, 중간 네트워크 엔티티는 오브젝트 모델 뷰의 보안 정책과 연관된 올바른 암호화 키를 필요로 한다. 이러한 방법으로, ACS로부터 올바른 보안 정책을 획득한 네트워크 장치들은 CPE의 오브젝트 모델의 특정 뷰를 액세스할 수 있지만, 다른 오브젝트 모델 뷰들은 이들의 장치들에 대해 액세스할 수 없다.
최종 진술은, 본 발명의 실시예들이 기능적인 블록들에 관하여 상술되었다는 것이다. 상기에 제공된 이들 블록들의 기능적인 설명으로부터, 이들 블록들의 실시예들이 잘 알려진 전자 구성요소들로 제조될 수 있다는 것을 전자 장치들을 설계하는 당업자에게 명백할 것이다. 따라서, 기능적인 블록들의 콘텐츠의 상세한 구조는 제공되지 않는다.
본 발명의 원리들이 특정 장치와 연관하여 상술되었지만, 이러한 설명이 예의 방법으로만 이루어지고, 첨부된 청구항들에 규정된 바와 같은 본 발명의 범위에 대한 제한으로서 이루어지지 않는다는 것이 명백히 이해된다.
101: 보안 모듈 102, 102': 뷰 선택기 모듈
103: 오브젝트 모델 뷰 104: 보안 정책
105: 가정용 게이트웨이 106: 고객 댁내 장비
107: 연관 수단 108: 보안 구성 모듈
109: 구성된 보안 속성 모듈 110: 통신 모듈
111: 통신 모듈 112: 통신 모듈
113: 명령 수단 114: TR-069 관리 에이전트
103: 오브젝트 모델 뷰 104: 보안 정책
105: 가정용 게이트웨이 106: 고객 댁내 장비
107: 연관 수단 108: 보안 구성 모듈
109: 구성된 보안 속성 모듈 110: 통신 모듈
111: 통신 모듈 112: 통신 모듈
113: 명령 수단 114: TR-069 관리 에이전트
Claims (9)
- 장치(106)의 TR-069 오브젝트 모델의 관리에서 이용하기 위한 보안 모듈(101)로서, 상기 오브젝트 모델은 크리덴셜들(credentials)에 기초하여 뷰 선택기 모듈(102, 107)에 의한 선택을 위한 복수의 파라미터들을 포함하고, 이로써 상기 장치(106)에 연관된 오브젝트 모델 뷰(103)를 규정하는, 상기 보안 모듈(101)에 있어서,
상기 보안 모듈(101)은 상기 오브젝트 모델 뷰(103)를 보안 정책(104)에 연관시키는 수단(107) 및 중간 네트워크 엔티티(105) 상에서 상기 보안 정책(104)의 보안 속성들을 구성하는 수단(108, 109)을 포함하는 것을 특징으로 하는, 보안 모듈(101). - 제 1 항에 있어서,
상기 연관 수단(107)은 원격 관리 서버(110) 상에 설치되도록 구성되는 것을 특징으로 하는, 보안 모듈(101). - 제 1 항에 있어서,
상기 보안 모듈(101)은 상기 중간 엔티티(105) 상에서 상기 보안 속성들을 구성하기 위해 수송 계층 보안/보안 소켓 계층(Transport Layer Security/Secure Sockets Layer; TLS/SSL) 프로토콜을 이용하는 것을 특징으로 하는, 보안 모듈(101). - 제 1 항에 있어서,
상기 보안 모듈(101)은, 상기 구성된 보안 속성들에 기초하여 암호화 프로토콜에 의해 상기 장치(106) 및 상기 중간 네트워크 엔티티(105)와 통신하도록 통신 수단(112)에 명령하고, 이로써 상기 중간 네트워크 엔티티(105)로 하여금 상기 구성된 보안 속성들에 기초하여 상기 암호화 프로토콜에 의해 상기 장치(106)의 상기 연관된 오브젝트 모델 뷰(103)를 제어하도록 허용하는 명령 수단(113)을 추가로 포함하는 것을 특징으로 하는, 보안 모듈(101). - 제 4 항에 있어서,
상기 암호화 프로토콜은, 암호화된 TR-069 오브젝트 모델 메시지들을 포함하는 몸체 부분 및 상기 보안 정책(SPi)에 대한 비암호화된 참조를 포함하는 헤더 부분을 갖는 간단한 오브젝트 액세스 프로토콜(Simple Object Access Protocol; SOAP)에 의해 구현되는 것을 특징으로 하는, 보안 모듈(101). - 제 1 항에 있어서,
상기 중간 네트워크 엔티티(105)는 가정용 게이트웨이에 의해 구현되는 것을 특징으로 하는, 보안 모듈(101). - 제 1 항에 있어서,
상기 장치는 고객 댁내 장비(customer premises equipment)(106)인 것을 특징으로 하는, 보안 모듈(101). - 제 1 항에 있어서,
상기 모듈(101)은 TR069 관리 프로토콜에 통합되도록 구성되는 것을 특징으로 하는, 보안 모듈(101). - TR-069 오브젝트 모델 장치의 관리에 이용하기 위한 보안 방법으로서, 상기 오브젝트 모델은 크리덴셜들에 기초하여 뷰 선택기 모듈(102, 107)에 의한 선택을 위한 복수의 파라미터들을 포함하고, 이로써 상기 장치(106)에 연관된 오브젝트 모델 뷰(103)를 규정하는, 상기 보안 방법에 있어서,
상기 오브젝트 모델 뷰(103)를 보안 정책(104)에 연관시키는 단계 및 중간 네트워크 엔티티(105) 상에서 상기 보안 정책(104)의 보안 속성들을 구성하는 단계를 포함하는 것을 특징으로 하는, 보안 방법.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP08291134A EP2194688A1 (en) | 2008-12-02 | 2008-12-02 | A module and associated method for TR-069 object management |
EP08291134.8 | 2008-12-02 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20110092333A true KR20110092333A (ko) | 2011-08-17 |
KR101548552B1 KR101548552B1 (ko) | 2015-09-01 |
Family
ID=40602255
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020117014969A KR101548552B1 (ko) | 2008-12-02 | 2009-11-24 | Tr-069 오브젝트 관리를 위한 모듈 및 연관된 방법 |
Country Status (6)
Country | Link |
---|---|
US (1) | US8955034B2 (ko) |
EP (1) | EP2194688A1 (ko) |
JP (1) | JP5537560B2 (ko) |
KR (1) | KR101548552B1 (ko) |
CN (1) | CN101753564B (ko) |
WO (1) | WO2010063407A1 (ko) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101447858B1 (ko) * | 2013-05-15 | 2014-10-07 | (주)엔텔스 | IPSec 게이트웨이 장치, IPSec 게이트웨이의 패킷 전송 방법 및 네트워크 시스템 |
WO2014185639A1 (ko) * | 2013-05-15 | 2014-11-20 | 주식회사 엔텔스 | IPSec 게이트웨이 장치, IPSec 게이트웨이의 패킷 전송 방법 및 네트워크 시스템 |
Families Citing this family (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
GB2415065B (en) * | 2004-06-09 | 2009-01-21 | Symbian Software Ltd | A computing device having a multiple process architecture for running plug-in code modules |
EP2141858B1 (en) * | 2008-06-30 | 2014-11-26 | Alcatel Lucent | Method for managing a communication between a server device and a customer device |
FR2951343A1 (fr) * | 2009-10-14 | 2011-04-15 | Alcatel Lucent | Gestion de dispositif de communication a travers un reseau de telecommunications |
US8925039B2 (en) * | 2009-12-14 | 2014-12-30 | At&T Intellectual Property I, L.P. | System and method of selectively applying security measures to data services |
EP2403216B1 (en) * | 2010-06-30 | 2014-03-05 | Alcatel Lucent | Method for installation of an application |
EP2403201A1 (en) * | 2010-06-30 | 2012-01-04 | Alcatel Lucent | Method for communicating between customer device and server device |
CN103116606A (zh) * | 2013-01-17 | 2013-05-22 | 上海斐讯数据通信技术有限公司 | 一种数据存储结构 |
US10554861B2 (en) | 2015-03-05 | 2020-02-04 | Hewlett-Packard Development Company, L.P. | Method and device for color compensation |
CN104852813B (zh) * | 2015-04-08 | 2018-02-13 | 烽火通信科技股份有限公司 | 家庭网关设备中tr069参数节点的按需加载方法及系统 |
US11038923B2 (en) * | 2018-02-16 | 2021-06-15 | Nokia Technologies Oy | Security management in communication systems with security-based architecture using application layer security |
US11233647B1 (en) * | 2018-04-13 | 2022-01-25 | Hushmesh Inc. | Digital identity authentication system |
US11477072B2 (en) * | 2019-09-17 | 2022-10-18 | OpenVault, LLC | System and method for prescriptive diagnostics and optimization of client networks |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1691284A1 (en) * | 2005-02-11 | 2006-08-16 | Comptel Corporation | Method, system and computer program product for providing access policies for services |
CN100596069C (zh) * | 2006-08-15 | 2010-03-24 | 中国电信股份有限公司 | 家庭网关中IPSec安全策略的自动配置系统和方法 |
TWI337818B (en) * | 2007-04-16 | 2011-02-21 | Accton Technology Corp | Network management system and management method thereof |
EP2026594B1 (en) | 2007-08-14 | 2017-07-12 | Alcatel Lucent | A module and associated method for TR-069 object management |
US8019767B2 (en) * | 2007-11-12 | 2011-09-13 | International Business Machines Corporation | Correlation-based visualization of service-oriented architecture protocol (SOAP) messages |
-
2008
- 2008-12-02 EP EP08291134A patent/EP2194688A1/en not_active Withdrawn
-
2009
- 2009-11-04 US US12/591,005 patent/US8955034B2/en not_active Expired - Fee Related
- 2009-11-24 WO PCT/EP2009/008428 patent/WO2010063407A1/en active Application Filing
- 2009-11-24 KR KR1020117014969A patent/KR101548552B1/ko not_active IP Right Cessation
- 2009-11-24 JP JP2011538876A patent/JP5537560B2/ja not_active Expired - Fee Related
- 2009-11-25 CN CN200910226064.2A patent/CN101753564B/zh not_active Expired - Fee Related
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101447858B1 (ko) * | 2013-05-15 | 2014-10-07 | (주)엔텔스 | IPSec 게이트웨이 장치, IPSec 게이트웨이의 패킷 전송 방법 및 네트워크 시스템 |
WO2014185639A1 (ko) * | 2013-05-15 | 2014-11-20 | 주식회사 엔텔스 | IPSec 게이트웨이 장치, IPSec 게이트웨이의 패킷 전송 방법 및 네트워크 시스템 |
Also Published As
Publication number | Publication date |
---|---|
CN101753564A (zh) | 2010-06-23 |
US8955034B2 (en) | 2015-02-10 |
JP5537560B2 (ja) | 2014-07-02 |
WO2010063407A1 (en) | 2010-06-10 |
KR101548552B1 (ko) | 2015-09-01 |
CN101753564B (zh) | 2013-09-18 |
US20100138895A1 (en) | 2010-06-03 |
JP2012510766A (ja) | 2012-05-10 |
EP2194688A1 (en) | 2010-06-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101548552B1 (ko) | Tr-069 오브젝트 관리를 위한 모듈 및 연관된 방법 | |
US7302487B2 (en) | Security system for a data communications network | |
Blaze et al. | Trust management for IPsec | |
KR101438243B1 (ko) | Sim 기반 인증방법 | |
US8195944B2 (en) | Automated method for securely establishing simple network management protocol version 3 (SNMPv3) authentication and privacy keys | |
CN102265566B (zh) | 用于配置用以管理附属于数据流的数据分组的参数的方法 | |
US20140189362A1 (en) | Method for a secured backup and restore of configuration data of an end-user device, and device using the method | |
US10965653B2 (en) | Scalable and secure message brokering approach in a communication system | |
CN110191052B (zh) | 一种跨协议网络传输方法及系统 | |
CN111373702B (zh) | 用于现场总线网络与云之间的数据交换的接口装置 | |
KR20100058477A (ko) | Tr―069 오브젝트 관리를 위한 모듈 및 연관된 방법 | |
JP7442690B2 (ja) | 安全な通信方法、関連する装置、およびシステム | |
Li | Policy-based IPsec management | |
Rantos et al. | Secure policy-based management solutions in heterogeneous embedded systems networks | |
CN114614984A (zh) | 一种基于国密算法的时间敏感网络安全通信方法 | |
US11936634B2 (en) | Method for editing messages by a device on a communication path established between two nodes | |
Protskaya | Security in the Internet of Things | |
CN102148704A (zh) | 一种加密型交换机通用网管接口的软件实现方法 | |
WO2023238172A1 (ja) | 鍵発行システム、鍵発行方法、およびプログラム | |
Stusek et al. | A Novel Application of CWMP: An Operator-grade Management Platform for IoT | |
Wheeler et al. | Securely Connecting the Unconnected | |
Schwiderski-Grosche et al. | Towards the secure initialisation of a personal distributed environment | |
CN114024664A (zh) | 安全通信方法、相关装置及系统 | |
Game | WP1: Requirement Analysis D 1. C:” State of the Art Report” | |
Headquarters | Release Notes for Cisco uBR905 and Cisco uBR925 Cable Access Routers for Cisco IOS Release 12.2 CZ |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
LAPS | Lapse due to unpaid annual fee |