KR20110113565A - 공중 무선 네트워크를 통한 사설 네트워크로의 보안 접근 - Google Patents

공중 무선 네트워크를 통한 사설 네트워크로의 보안 접근 Download PDF

Info

Publication number
KR20110113565A
KR20110113565A KR1020110029302A KR20110029302A KR20110113565A KR 20110113565 A KR20110113565 A KR 20110113565A KR 1020110029302 A KR1020110029302 A KR 1020110029302A KR 20110029302 A KR20110029302 A KR 20110029302A KR 20110113565 A KR20110113565 A KR 20110113565A
Authority
KR
South Korea
Prior art keywords
network
client device
private
public
computer
Prior art date
Application number
KR1020110029302A
Other languages
English (en)
Inventor
마크 세그레
앤드류 폴 위스키다
Original Assignee
인터내셔널 비지네스 머신즈 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 인터내셔널 비지네스 머신즈 코포레이션 filed Critical 인터내셔널 비지네스 머신즈 코포레이션
Publication of KR20110113565A publication Critical patent/KR20110113565A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • H04W76/12Setup of transport tunnels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/14Multichannel or multilink protocols

Abstract

클라이언트 디바이스가 공중 무선 네트워크를 통해 사설 네트워크에 보안적으로 접근하는 시스템, 방법, 및 컴퓨터 프로그램 제품이 개시된다. 상기 시스템은 상기 클라이언트 디바이스와 상기 공중 무선 네트워크의 게이트웨이 사이에 제1 네트워크 터널을 수립하고, 그런 다음, 상기 제1 터널을 사용하여 상기 사설 네트워크의 인증 서버로 상기 클라이언트 디바이스를 인증한다. 상기 인증은 상기 공중 네트워크의 인증 서버에 의해 프록시된다. 상기 인증이 성공적인 경우, 상기 상기 클라이언트 디바이스에 의해 상기 사설 네트워크로의 보안적 접근을 위해 상기 클라이언트 디바이스와 상기 사설 네트워크의 게이트 사이에 제2 터널이 수립된다.

Description

공중 무선 네트워크를 통한 사설 네트워크로의 보안 접근{SECURE ACCESS TO A PRIVATE NETWORK THROUGH A PUBLIC WIRELESS NETWORK}
본 발명은 일반적으로는 컴퓨터 네트워크와 관련되고, 더 구체적으로는, 공중 또는 제3의 무선 네트워크를 통한 기업 사설 네트워크(enterprise private network)로의 보안 접근 방법 및 시스템과 관련된다.
통신 네트워크는 사설(private) 네트워크 또는 공중(public) 네트워크 중 어느 하나일 수 있다. 사설 네트워크에서, 다수의 컴퓨터들 사이의 커뮤니케이션은 적절한 인증 없이도 그 네트워크 바깥으로부터의 접근을 방지하는 보안 환경에서 일어난다. 이들 네트워크들은 "신뢰되는(trusted)" 네트워크들로 간주된다. 왜냐하면 상기 커뮤니케이션 신호들은 외부 환경에 노출됨이 없이 그 사설 네트워크 내에서 하나의 컴퓨터에서 다른 컴퓨터로 보안적으로(securely) 이동하기 때문이다.
한편, 인터넷과 같은 공중 네트워크는 안전하지 않다(not secure). 왜냐하면 이들 네트워크들을 통한 커뮤니케이션은 비공개적(private)이지 않고 다른 컴퓨터들에 의한 인터셉션이 빈번히 발생한다. 또한, 상기 공중 네트워크는 송신된 데이터 패킷들의 전달을 보장할 수 있다. 상기 공중 네트워크는 전송시 패킷들이 무분별하게 그 네트워크 내로 주입되도록 하거나, 그 네트워크로부터 빠져나가도록 할 수 있고, 또한 분석될 수 있다. 공중 네트워크를 통해 송신된 데이터를 비공개적으로 유지하기 위해, 두 개의 컴퓨터들이 공중 네트워크를 사용하여 서로 통신하는 경우 흔히 가상 사설 네트워크(Virtual Private Network, VPN)이 그 공중 네트워크의 맨 위에 수립된다. VPN에서, 하나의 컴퓨터에서 다른 컴퓨터로 송신된 데이터는 보안 게이트웨이(security gateway)에 의해 암호화(encrypt)되고, 암호화된 형태로 그 공중 네트워크를 통해 수신 컴퓨터에 연결된 제2의 보안 게이트웨이로 전송된다. 상기 제2 게이트웨이는 그것을 상기 수신 컴퓨터로 전달하기 전에 상기 데이터를 복호화(decrypt)한다. 다른 네트워크의 맨 위에 수립된 이러한 개인 채널(private channel)은 네트워크 터널(network tunnel)로 일컬어진다.
VPN을 셋업하기 위해, 유저(user)는 먼저 VPN 서버로의 경로를 수립하고 신원확인(identification) 및 허가(authorization)를 위해 AAA 프로세스(인증(authentication), 허가(authorization), 어카운팅(accounting))을 통과하여 그 서버와 보안 터널(secure tunnel)을 생성한다. 일단 상기 유저가 허가받으면, IPsec와 같은 VPN 프로토콜을 사용하여, 상기 공중 네트워크를 통해 상기 유저와 상기 VPN 서버 사이에 보안 네트워크 터널이 수립된다. 이 프로세스는 적절한 유저 환경설정들(configurations) 뿐만 아니라, 상기 유저 측에 VPN 클라이언트를 요구하고 상기 터널의 다른 측에 VPN 서버 및 다른 VPN 하드웨어를 요구한다.
오늘날의 사설 네트워크는 모바일 접근을 수용하기 위해 종종 WiMAX와 같은 무선 네트워크를 포함한다. 또한, 큰 지리적 범위 내에서 모빌리티 접근(mobility access)을 제공하기 위해, 사설 기업(private enterprise)은 종종 자신의 무선 네트워크 이외에 제3의 무선 인프라구조에 의존한다. 이 경우, 유저의 디바이스는 상기 기업 네트워크에 접근할 수 있기 전에 제3의 게이트웨이 및 기업 인증 서버에 의해 인증될 필요가 있다. 유저 크리덴셜(user credentials)은 전형적으로 상기 제3의 게이트웨이에 의해 요구되고 보안적으로 상기 제3의 게이트웨이로 리턴된다. 일단 상기 유저가 인증 및 허가를 받으면, 상기 유저는 상기 제3의 무선 게이트웨이와 통신할 수 있다.
그러나, 공중 네트워크를 통과할 경우 상기 기업의 사설 네트워크에 접근하기 위해서, 상기 유저는 상기 유저의 디바이스와 기업 VPN 서버 사이의 보안 연결을 여전히 필요로 한다. 결국, 제3의 무선 캐리어 네트워크를 포함하는 환경에서, 유저는 사설 기업 네트워크에 접근하기 위해서 공중 게이트웨이와 기업의 인증 서버 모두에 의해 인증 및 허가를 받아야만 한다.
따라서, 당해 기술 분야에서는 전술한 단점들이 없이 공중 또는 제3의 무선 네트워크를 통해 사설 네트워크와 보안적으로 통신하는 향상된 시스템 및 방법이 여전히 필요하게 된다.
본 발명은 공중 또는 제3의 캐리어 무선 네트워크를 통해 기업의 사설 네트워크에 보안적으로 접근하는 컴퓨터 네트워크 시스템, 방법 및 컴퓨터 프로그램 제품과 관련된다. 상기 네트워크 시스템은 클라이언트 디바이스가 상기 공중 네트워크의 인증 서버(authentication server)에 의해 인증받는 경우 상기 클라이언트 디바이스와 게이트웨이 사이에 제1 네트워크 터널을 수립하기 위한 공중 게이트웨이를 포함한다. 그런 다음, 상기 인증 서버는 상기 제1 터널을 사용하여 상기 사설 네트워크의 인증 서버에 대해 상기 클라이언트 디바이스를 인증하기 위한 프록시로서 작용한다. 상기 클라이언트가 상기 사설 네트워크의 인증 서버에 대해 성공적으로 인증되면, 보안 클라이언트 접근을 허용하기 위해 상기 클라이언트 디바이스와 상기 사설 네트워크 사이에 제2 네트워크 터널이 수립된다.
본 발명의 실시예들에서, 상기 네트워크 터널들은 확장가능 인증 프로토콜-전송층 보안(Extensible Authentication Protocol-Transport Layer Security, EAP-TLS)와 같은 챌린지-응답 인증 프로토콜(challenge-response authentication protocol)을 사용하여 수립된다. 상기 인증은 클라이언트 유저의 보안 크리덴셜들 및 공중-개인 암호화 키 쌍들(public-private encryption key pairs) 상에서의 상기 클라이언트와 상기 서버 사이의 교환을 포함한다. 상기 사설 인증 서버와 함께 상기 클라이언트 디바이스의 인증과 연관된 데이터 패킷들은 암호화되고 상기 공중 게이트웨이에 의해 상기 사설 인증 서버로 변하지 않은 상태로(unchanged) 전달된다. 본 발명의 실시예들에서 공중 무선 네트워크는 WiMAX 무선 네트워크이다.
본 발명의 또 다른 실시예에서, 클라이언트가 공중 무선 네트워크를 통해 사설 네트워크에 보안적으로 접근하는(securely access) 방법이 기술된다. 이 방법은 상기 사설 네트워크에 연결된 공중 무선 네트워크의 게이트웨이에 대해 제1 터널을 수립하는 단계, 및 상기 제1 터널을 사용하여 상기 사설 네트워크의 인증 서버로 상기 클라이언트 디바이스를 인증하는 단계 - 여기서, 상기 인증 서버는 상기 사설 네트워크의 게이트웨이에 연결됨 - 를 포함한다. 상기 인증이 성공적이면, 상기 사설 네트워크에 대한 보안 접근(secure access)이 가능하도록 상기 클라이언트와 상기 사설 게이트웨이 사이에 제2 터널이 수립된다.
본 발명의 또 다른 실시예에서, 클라이언트 디바이스가 공중 무선 네트워크를 통해 사설 네트워크에 보안적으로 접근하는 컴퓨터 프로그램 제품이 기술된다. 이 제품은 컴퓨터 사용가능 스토리지 매체를 포함하는데, 이 컴퓨터 사용가능 스토리지 매체는 내부에 구현된 판독가능 프로그램 코드를 갖는다. 상기 프로그램 코드는 상기 사설 네트워크에 연결된 공중 무선 네트워크의 게이트웨이에 대한 제1 터널을 수립하고, 상기 제1 터널을 사용하여 상기 사설 네트워크의 인증 서버로 상기 클라이언트 디바이스를 인증하고, 상기 사설 네트워크에 대한 보안적 클라이언트 접근이 가능하도록 상기 클라이언트 디바이스와 상기 사설 네트워크 게이트웨이 사이에 제2 터널을 수립한다.
본 발명의 바람직한 실시예들에 관한 상세한 내용들, 즉 본 발명의 바람직한 실시예들의 구조 및 동작에 관하여는, 첨부된 도면들을 참조하여 이하의 상세한 설명 부분에서 자세히 기술되는데, 첨부된 도면들에서 유사한 참조 부호들은 유사한 부분들을 일컫는다. 본 발명에 관한 상기 과제 해결 수단은 본 발명의 주제의 중요 특징들을 확인시키려는 의도로 제공된 것이지, 본 발명의 주제의 범위를 한정하려는 의도로 사용된 것은 아니다.
도 1은 인터넷을 통해 두 개의 네트워크들 사이에 수립되는 전형적인 보안 네트워크 터널을 도시하는 블록도이다.
도 2는 보안 네트워크 터널을 통해 전송을 위해 캡슐화된(encapsulated) 데이터 패킷의 일 예를 보여주는 블록도이다.
도 3은 VPN 서버 및 보안 방화벽들을 사용하여 클라이언트 디바이스들이 공중 무선 네트워크를 통해 사설 네트워크에 접근할 수 있도록 하는 네트워크 구성을 보여주는 블록도이다.
도 4는 본 발명의 측면들에 따라, 클라이언트 인증이 공중 인증 서버에 의해 프록시되는 공중 무선 네트워크를 통해 클라이언트 디바이스들이 사설 네트워크에 접근할 수 있도록 하는 네트워크 기술(netwtork arrangement)의 일 예를 보여주는 블록도이다.
도 5는 본 발명의 실시예들에 따라, 사설 네트워크에게 보안 클라이언트 접근을 제공하기 위해, 클라이언트 디바이스, 게이트웨이 및 무선 공중 네트워크의 인증 서버, 그리고 게이트웨이 및 사설 네트워크의 인증 서버 사이의 인터랙션들을 도시한다.
도 6은 본 발명의 측면들에 따라, 클라이언트 디바이스가 인증되고, 공중 무선 네트워크를 통해 사설 네트워크에 대한 보안 네트워크 터널을 수립하는 프로세스의 일 예의 흐름도이다.
도 7은 본 발명의 측면들에 따라, 제1 보안 네트워크 터널을 수립하기 위해 공중 무선 네트워크의 인증 서버 및 게이트웨이에 의해 클라이언트 디바이스가 인증되는 프로세스의 일 예의 흐름도이다.
도 8은 본 발명의 측면들에 따라, 제2 보안 네트워크 터널을 수립하기 위해 사설 네트워크의 인증 서버 및 게이트웨이에 의해 클라이언트 디바이스가 인증되는 프로세스의 예의 흐름도이다.
당해 기술 분야에서 숙련된 자라면 알 수 있는 바와 같이, 본 발명의 측면들은 방법, 시스템 또는 컴퓨터 프로그램 제품으로 구현될 수 있다. 따라서, 본 발명의 측면들은 전적으로 하드웨어 실시예의 형태를 취할 수도 있고, 전적으로 소프트웨어 실시예(펌웨어, 상주 소프트웨어, 마이크로-코드 등을 포함함)의 형태를 취할 수도 있고, 또는 소프트웨어와 하드웨어 측면들 - 이것들 모두는 일반적으로, 본 명세서 내에서는 "회로", "모듈" 또는 "시스템"으로 일컬어질 수 있음 - 을 결합시킨 실시예의 형태를 취할 수도 있다. 더 나아가, 본 발명의 측면들은 하나 또는 그 이상의 컴퓨터 판독가능 매체(들) - 상기 하나 또는 그 이상의 컴퓨터 판독가능 매체(들)은 그 내부에 구현된 컴퓨터 판독가능 프로그램 코드를 가짐 - 에 구현된 컴퓨터 프로그램 제품의 형태를 취할 수도 있다.
하나 또는 그 이상의 컴퓨터 판독가능 매체(들)의 어떤 조합이든지 이용될 수 있다. 상기 컴퓨터 판독가능 매체는 컴퓨터 판독가능 신호 매체 또는 컴퓨터 판독가능 스토리지 매체일 수 있다. 컴퓨터 판독가능 스토리지 매체는, 예를 들어, 전기, 자기, 광학, 전자기, 적외선, 또는 반도체 시스템, 장치, 또는 디바이스, 또는 이것들의 적절한 조합일 수 있다. 그러나, 이러한 예들로 한정되는 것은 아니다. 상기 컴퓨터 판독가능 스토리지 매체의 더 구체적인 예들(총 망라한 것은 아님)은 다음과 같은 것들을 포함할 수 있다. 즉, 하나 또는 그 이상의 와이어들을 갖는 전기적 연결, 휴대용 컴퓨터 디스켓, 하드 디스크, RAM(random access memory), ROM(read-only memory), 소거가능 프로그램형 읽기-전용 메모리(erasable programmable read-only memory, EPROM 또는 플래쉬 메모리), 광섬유, 휴대용 컴팩트 디스크 읽기-전용 메모리(CD-ROM), 광 스토리지 디바이스, 자기 스토리지 디바이스, 또는 이것들의 적절한 조합이 그 예들이다. 본 문서의 맥락에서, 컴퓨터 판독가능 스토리지 매체는 명령 실행 시스템, 장치, 또는 디바이스에 의해 사용하기 위한, 또는 명령 실행 시스템, 장치, 또는 디바이스와 함께 사용하기 위한 프로그램을 포함, 또는 저장할 수 있는 실체적인 매체일 수 있다.
컴퓨터 판독가능 신호 매체는 컴퓨터 판독가능 프로그램 코드를 갖는(예를 들어, 기저대역에서 또는 반송파의 일부로서) 전파되는 데이터 신호를 포함할 수 있다. 이러한 전파되는 신호는, 예를 들어, 전기-자기, 광학, 또는 이것들의 적절한 조합을 포함하는 여러 형태들 중 어떤 것이든지 취할 수 있다. 그러나, 이러한 예들로 한정되는 것은 아니다. 컴퓨터 판독가능 신호 매체는 컴퓨터 판독가능 스토리지 매체가 아닌 컴퓨터 판독가능 매체 - 이는 명령 실행 시스템, 장치, 또는 디바이스에 의해 사용하기 위한, 또는 명령 실행 시스템, 장치, 또는 디바이스와 함께 사용하기 위한 프로그램을 전달, 전파, 전송할 수 있음 - 일 수 있다.
컴퓨터 판독가능 매체 상에 구현되는 프로그램 코드는 적절한 매체를 사용하여 전송될 수 있다. 예를 들어, 무선, 유선, 광섬유 케이블, RF 등, 또는 이것들의 적절한 조합이 그것이나, 이러한 것들로 한정되는 것은 아니다.
본 발명의 측면들을 위한 동작들을 수행하기 위한 컴퓨터 프로그램 코드는 하나 또는 그 이상의 프로그래밍 언어의 조합으로 작성될 수 있다. 이 프로그래밍 언어의 예들에는, 자바, 스몰토크, C++ 등과 같은 객체 지향 프로그래밍 언어, "C" 프로그래밍 언어 또는 유사 프로그래밍 언어들과 같은 전통적인 절차 프로그래밍 언어들 등이 포함되나, 이러한 예들로 한정되는 것은 아니다. 상기 프로그램 코드는, 독립형 소프트웨어 패키지로서, 유저의 컴퓨터 상에서 전적으로, 유저의 컴퓨터 상에서 부분적으로 실행될 수도 있고, 또는 유저의 컴퓨터 상에서 부분적으로 그리고 원격 컴퓨터 상에서 부분적으로, 또는 원격 컴퓨터 또는 서버 상에서 전적으로 실행될 수도 있다. 후자의 경우, 상기 원격 컴퓨터는 어떤 유형의 네트워크를 통해서든 연결될 수 있는데, 이 네트워크의 예들에는 LAN(local area network), WAN(wide area network)이 있다. 또는 상기 연결은 외부 컴퓨터에 대해 이뤄질 수 있다(예를 들어, 인터넷 서비스 공급자를 사용하여 인터넷을 통해).
본 발명의 측면들은 본 발명의 실시예들에 따른 방법들, 장치들(시스템들) 및 컴퓨터 프로그램 제품들에 관한 흐름도들 및/또는 블록도들을 참조하여 이하에서 기술된다. 흐름도들 및/또는 블록도들의 각각의 블록, 및 흐름도들 및/또는 블록도들 내의 블록들의 조합은 컴퓨터 프로그램 명령들에 의해 실행될 수 있음을 이해해야 할 것이다. 이들 컴퓨터 프로그램 명령들은 범용 컴퓨터, 전용 컴퓨터, 또는 기타 프로그램가능 데이터 처리 장치의 프로세서로 제공되어 머쉰을 생성해 내도록 할 수 있다. 그리하여, 상기 머쉰이 상기 컴퓨터 또는 기타 프로그램가능 데이터 처리 장치의 프로세서를 통해 실행되는 경우, 흐름도 및/또는 블록도의 블록 또는 블록들에 명시된 기능들/작용들을 구현하는 수단을 생성하도록 한다.
이들 컴퓨터 프로그램 명령들은 컴퓨터 판독가능 매체에 또한 저장될 수 있다. 상기 컴퓨터 판독가능 매체는 컴퓨터, 기타 프로그램가능 데이터 처리 장치, 또는 기타 디바이스들이 특정 방식으로 기능하여, 상기 컴퓨터 판독가능 매체에 저장된 명령들이 흐름도 및/또는 블록 다이어그램의 블록 또는 블록들에 명시된 기능/작용을 실행하는 명령들을 포함하는 제조 물품을 생성해 내도록 한다.
상기 컴퓨터 프로그램 명령들은 또한 컴퓨터, 기타 프로그램가능 데이터 처리 장치, 또는 기타 디바이스들 상에 로드되어, 일련의 동작 단계들이 상기 컴퓨터, 기타 프로그램가능 장치 또는 기타 디바이스들 상에서 수행되도록 하여 컴퓨터로 구현되는 프로세스를 생성해 내도록 한다. 그리하여 상기 명령들이 상기 컴퓨터 또는 기타 프로그램가능 장치 상에서 실행되는 경우 흐름도 및/또는 블록도의 블록 또는 블록들에 명시된 기능들/작용들을 구현하는 프로세스들을 제공하도록 한다.
이하에서 기술되는 도면들 내의 흐름도 및 블록도들은 본 발명의 여러 가지 실시예들에 따른 시스템들, 방법들 및 컴퓨터 프로그램 제품들의 아키텍쳐, 기능, 및 가능한 구현들의 동작을 도시한다. 이 점에서, 흐름도 또는 블록도들 내의 각각의 블록은 모듈, 세그먼트, 또는 코드부를 표현할 수 있는데, 이는 명시된 논리적 기능(들)을 구현하기 위한 하나 또는 그 이상의 실행가능한 명령들을 포함한다. 또한, 일부 다른 구현 예들에서는, 블록에 나타낸 기능들은 도면들에 나타낸 순서를 벗어나서 일어날 수도 있음을 주목해야 한다. 예를 들어, 연속해서 보여지는 두 개의 블록들은, 사실상, 실제로 동시에 실행될 수도 있고, 또는 그 블록들은 관련된 기능에 의존하여 때로는 역순으로 실행될 수도 있다. 또한 블록도들 및/또는 흐름도들의 각각의 블록, 및 블록도들 및/또는 흐름도 내의 블록들의 조합들은 전용 하드웨어 기반 시스템들에 의해 구현될 수 있는데, 이 전용 하드웨어 기반 시스템들은 전용 하드웨어 및 컴퓨터 명령들의 특정 기능들 또는 작용들, 또는 조합들을 수행한다.
본 발명은 기업의 사설 네트워크의 보안적이고 원격인 클라이언트 접근과 관련되는데, 여기서 상기 사설 네트워크에 대한 상기 클라이언트 인증은 공중 또는 제3의 무선 네트워크에 의해 프록시된다. 더 구체적으로는, 상기 사설 네트워크에 대한 상기 클라이언트 인증은 상기 공중 또는 제3의 무선 네트워크 상에서 수립된 보안 네트워크 터널을 통하여 공중 인증 서버에 의해 수행된다. 비록 본 발명의 실시예들은 공중 또는 제3의 무선 네트워크들로 한정되는 것은 아니나, 이것들은 상기 클라이언트를 인증하기 위해 많은 무선 네트워크들, 특히, WiMAX 네트워크들에 사용되는 아키텍쳐를 레버리지한다. 상기 인증(Authentication), 허가(Authorization) 및 어카운팅(Accounting)(AAA) 프로세스와 상기 기업의 사설 게이트웨이에 대한 상기 보안 터널의 관리 모두는 상기 공중 인증 서버 및 상기 공중 네트워크에서의 게이트웨이에 의해 프록시된다.
보안 원격 무선 접근은 VPN 서버, VPN 클라이언트 또는 VPN 하드웨어를 필요로 함이 없이 수행된다. 이는 설비를 절약하고 기업에게는 비용을 지원하며 유저에게는 매끄러운 연결을 제공한다. 기업의 무선 네트워크와 공중 네트워크들 사이의 로밍은 VPN 클라이언트를 시작하는 것과 같은 어떤 유저의 개입없이 자동적으로 일어난다. 감소된 인프라구조 뿐만 아니라, 기업은 VPN 서버의 유지 및 관리와 연관된 비용을 없앨 수 있다.
이제 도 1을 참조하여 설명하도록 한다. 도 1은 공중 인터넷(114)을 통해 수립된 전형적인 가상 사설 네트워크(100)를 도시한다. 가상 사설 네트워크(100)는 신뢰할 수 있는 네트워크(110 및 119) 사이의 보안 네트워크 터널(115)을 포함한다. 신뢰할 수 있는 네트워크(100)는 네트워크(112)에 의해 서로 연결된 다수의 컴퓨터들(111)을 포함한다. 신뢰할 수 있는 네트워크(119)는 네트워크(118)에 의해 서로 연결된 다수의 컴퓨터들(117)을 포함한다. 네트워크들(112 및 118)은 전형적으로 LAN(예를 들어, 이더넷 네트워크들)이고, 이는 각기 보안 게이트웨이들(113 및 116)을 통해 공중 인터넷에 연결된다.
두 개의 네트워크들(110 및 119) 사이의 네트워크 터널(115)은 언더라잉(underlying) 인터넷(114)의 맨 위(top)에 수립된다. 터널(115)을 통한 데이터 이동은 인터넷(114)의 트래픽에게는 보이지 않고 인터넷(114)의 트래픽으로부터 캡슐화된다. 터널(115) 내의 트래픽은 통과될 또 다른 트래픽 스트림과 같이 인터넷(114)에 대해 보인다. 또한, 두 개의 네트워크들(110 및 119) 사이의 패이로드(payload)를 지니는 데이터 패킷들은, 추가 패킷 식별 및 보안 정보로, 인터넷 프로토콜의 패킷들 내에 캡슐화된다.
도 2는 터널(115)과 같은 IPsec 기반 VPN을 통해 전송된 데이터 패킷들의 일 예이다. 데이터 패킷(210)은 호스트(111 또는 117)로부터 네트워크 내의 다른 컴퓨터들로 전송된 것일 수 있다. 데이터 패킷(210)은 IP 헤더(211) 및 데이터 필드(212)를 포함한다. IP 헤더(211)는 전형적으로 데이터 유형, 패킷 넘버, 전송되는 패킷들의 총 수, 및 전송자 및 수신자의 IP 주소들을 포함한다. IP 헤더(211) 및 데이터 필드(212)의 내용들을 상기 전송자 및 수신자에 대해 비공개적인(private) 상태로 유지하기 위해, 더 큰 데이터 패킷(213)이 인터넷을 통해 전송될 때 이 더 큰 데이터 패킷(213)에 이들 필드들이 포함된다.
데이터 패킷((213)은 새로운 IP 헤더(214) 및 캡슐화 보안 페이로드(Encapsulating Security Payload, ESP) 헤더(215)를 포함한다. 새로운 IP 헤더(214) 및 ESP 헤더(215)는 외부 IP 헤더(Outer IP header)(216)로 일컬어진다. 오리지널 IP 헤더(211) 및 데이터 필드(218)는 패킷(213)의 내부 IP 헤더(Inner IP header)(219)로 일컬어진다. 추가 보안 보호를 위해, 내부 IP 헤더(219) 및 오리지널 데이터 필드(212)는 일반적으로 전송 전에 전송 노드(sending node)에 의해 암호화되고, 그런 다음 수신 노드(receiving node)에 의해 복호화된다.
도 3은 캐리어 무선 네트워크를 통한 사설 인트라넷 및 VPN 서버를 이용하는 인터넷에 모바일 유저들 및 클라이언트 디바이스들이 접근할 수 있도록 하는 네트워크 구성의 일 예를 보여준다. 캐리어 네트워크(314)와 같은 무선 네트워크는 공중으로(over the air) 데이터를 전송한다. 상기 전송된 데이터는 RF(radio-frequency) 신호의 범위 내에 있는 누군가에 의해 수신될 수 있다. 클라이언트 디바이스(310)는 통합된 802.1X 무선을 갖는 휴대용 컴퓨터 또는 통신 디바이스일 수 있고 데이터 암호화 및 클라이언트 인증을 지원할 수 있다. 클라이언트 디바이스(310)는 무선 안테나(311)를 통해 공중 무선 네트워크(314) 또는 캐리어의 게이트웨이(312)와 통신한다. 캐리어 또는 공중 무선 네트워크(314)는 WiMAX 무선 네트워크일 수 있다. 클라이언트 디바이스(310)는 클라이언트 디바이스(310)가 먼저 게이트웨이(312)에 연결될 경우, 전형적으로 공중 네트워크(314)의 인증(AAA) 서버(313)에 의해 인증 및 허가될 필요가 있다.
공중 또는 캐리어 네트워크(314)를 통해 전송된 데이터를 허가 받지 않은 유저들로부터 보호하기 위해, 대부분의 무선 기술들(WiMAX를 포함하여)은 유저들을 인증하고 최종 유저 디바이스들과 사설 네트워크 사이에서 데이터를 교환하기 위해 보안 터널들을 채용한다. 상기 터널들은, 게이트웨이(312)와 같이, 무선 네트워크 또는 공통 게이트웨이의 접근점(access point) - 모든 접근점들은 이것과 통신함 - 에서 종료된다. WiMAX 및 기타 무선 네트워크들은 일반적으로 유저들을 인증하기 위해 확장가능 인증 프로토콜(Extensible Authentication Protocol, EAP)과 같은 챌린지-응답 프로토콜(challenge-response protocol)을 사용한다. 최종 유저 크리덴셜들이 요청되고, 유저가 공중 무선 네트워크(314)를 사용하도록 허가받았는지를 검증하는 무선 게이트웨이(312)로 보안적으로 리턴된다. 유저를 인증하는 한 가지 방법은 인증 서버(313), 예를 들어, RADIUS 서버 또는 DIAMETER 서버로 클라이언트 크리덴셜들을 전달하는 것이다. 일단 상기 유저가 인증 및 허가받으면, 공중 무선 네트워크(314)를 통해 보안적으로 데이터가 교환될 수 있도록 유저 디바이스(310)에서 무선 네트워크(314) 또는 게이트웨이(312)로 보안 터널이 수립된다.
만약 무선 네트워크(314)가 기업 내에 있다면, 클라이언트 디바이스(310)는 기업의 사설 네트워크(316)에 접근을 시작할 수 있다. 그러나, 이는 자주 있는 경우는 아니고, 흔히 무선 네트워크(314)는 전형적으로 인터넷(315)에 대한 접근을 제공하는 제3의 캐리어에 의해 운영된다. 기업의 사설 네트워크(316)는 또한 더 넓은 원격 접근 범위를 허용하도록 인터넷(315)에 연결된다. 그 결과, 상기 기업은 전형적으로 VPN 서버(317)를 갖는데, 이 VPN 서버(317)는 인터넷(315)으로부터 접근가능하고, 유저의 클라이언트 디바이스(310)가 그것이 기업 네트워크(316)에 접근할 수 있기 전에 VPN 서버(317)에 의해 인증 및 허가될 것을 요구한다. 만약 클라이언트 디바이스(310)가 인증 및 허가받는다면, 이 때 상기 최종 유저의 클라이언트 디바이스(310)로부터 기업의 VPN 서버(317)로, 또 다른 보안 터널이 수립된다.
또한 도 3에는 온-캠퍼스 무선 네트워크(on-campus wireless network)를 통해 기업의 사설 네트워크(316)에 접근하는 기업의 전제(premise) 상에 유저의 클라이언트 디바이스(320)가 있다. 상기 온-캠퍼스 무선 네트워크는 무선 안테나(319)를 포함하는데, 이 무선 안테나(319)를 통해 클라이언트 디바이스(320)는 무선 게이트웨이(321)에 연결된다. 무선 게이트웨이(321)는 기업 인증 서버(322) 및 기업 사설 네트워크(316)에 연결된다. 기업 인증 서버(322)는 그것이 기업의 온-캠퍼스 무선 네트워크에 먼저 접근할 때 클라이언트 디바이스(320)의 인증 및 허가를 처리한다. 도 3의 네트워크 구성은 매크로 네트워크(예를 들어, 네트워크(314)))를 한 캐리어 무선 서비스들과 피코 셀 네트워크(pico cell network)를 통한 사설 캠퍼스/건물 내 연결 모두를 전달할 수 있는 능력에 의해 WiMAX의 세기들 중 하나를 보여준다.
도 4는 본 발명의 실시예들에 따라, 캐리어 또는 공중 무선 네트워크(예를 들어, WiMAX)를 통해 기업의 사설 네트워크에 대한 클라이언트 접근을 가능하게 하는 네트워크 구성을 보여준다. 클라이언트 디바이스(410)는 무선 안테나(411)를 통해 캐리어 또는 공중 무선 네트워크(414)의 게이트웨이(412)와 통신한다. 클라이언트 디바이스(410)는 클라이언트 디바이스(410)가 먼저 공중 게이트웨이(412)에 연결될 때 공중 네트워크(414)의 인증 서버(413)에 의해 인증 및 허가받는다.
클라이언트 디바이스(410)와 공중 게이트웨이(412) 사이에 네트워크 터널이 수립되면, 공중 인증 서버(413)는 기업 사설 네트워크(416)로의 접근을 위해 클라이언트 디바이스(410)가 인증 및 허가받을 수 있도록 프록시로서 작용한다. 상기 프록시된 클라이언트 인증은 도 5-8을 참조하여 이하에서 상세히 기술된다. 일 예로서, 기업 사설 인트라넷(416)은 인터넷(415) 및 사설 인터라넷(416)의 게이트웨이(417)를 통해 공중 또는 캐리어 무선 네트워크(414)로부터 접근가능한 것으로 보여진다. 인트라넷(415)을 통한 사설 네트워크(416)에 대한 접근은 방화벽들(423 및 424)에 의해 인증되지 않은 클라이언트들로부터 더 보호된다.
도 4는 또한 온-캠퍼스 무선 네트워크를 통해 기업 사설 네트워크(416)에 접근하는 기업의 전제 상에서 최종 유저 클라이언트 디바이스(420)를 보여준다. 상기 온-캠퍼스 무선 네트워크는 무선 안테나(419)를 포함하는데, 무선 안테나(419)를 통해 클라이언트 디바이스(420)는 무선 게이트웨이(421)에 연결된다. 무선 게이트웨이(421)는 그 결과 기업 인증(AAA) 서버(422) 및 기업 사설 네트워크(416)에 연결된다. 기업 인증 서버(422)는 도 5-7을 참조하여 이하에서 기술되는 바와 같이 클라이언트 디바이스(420)의 인증 및 허가를 처리한다.
이제 도 5를 참조하면, 도 5는 본 발명의 실시예들에 따라 사설 네트워크에 클라이언트가 접근하는 프로세스를 도시하는데, 여기서 상기 클라이언트 인증은 공중 무선 네트워크의 인증 서버 및 게이트웨이에 의해 프록시된다. 클라이언트 디바이스(510)는 공중 네트워크(514)의 무선 게이트웨이(512)를 통해 공중 무선 네트워크(514)에 접근한다. 클라이언트(510)는 상기 공중 네트워크의 인증(AAA) 서버(513)에 의해 인증받은 후, 무선 링크(511)를 통해 게이트웨이(512)에 연결된다. 전형적으로, 최종 유저 크리덴셜들이 무선 게이트웨이(512)에 의해 클라이언트 디바이스(510)로부터 요청된다. 그런 다음, 게이트웨이(512)는 상기 유저가 공중 무선 네트워크(514)를 사용하도록 허가받는지를 리턴되는 크리덴셜들로부터 검증한다. 유저를 검증하는 한 가지 방법은 인증(AAA) 서버(513)로 클라이언트 크리덴셜들을 전달하는 것이다. 상기 유저가 인증 서버(513)에 의해 인증 및 허가받는 경우, 제1 네트워크 터널(525)이 유저 디바이스(510)에서 무선 게이트웨이(512)로 수립된다.
도 5는 인터넷(515) 및 사설 네트워크 게이트웨이(517)를 통해 공중 네트워크(514)에 연결된 기업의 사설 네트워크(516)를 더 보여준다. 이와는 다르게, 사설 네트워크(516)는 임대된 전화선 또는 광섬유 링크와 같은 통신 채널들의 기타 유형들을 통해 공정 네트워크(514)에 연결될 수 있다.
제1 네트워크 터널(525)이 수립된 경우, 인증 서버(513)는 사설 네트워크(516)로의 접근을 위해 클라이언트 디바이스(510)를 인증하도록 기업 사설 네트워크(516)와 연관된 인증 서버(522)에 대한 요청을 프록시한다. 본 발명의 실시예들에서, 클라이언트 디바이스(510)는 이하에서 기술되는 확장가능 인증 프로토콜(Extensible Authentication Protocol, EAP)와 같은 챌린지-응답 프로토콜을 사용하여 인증된다. 클라이언트 디바이스(510)가 인증 서버(522)에 의해 인증 및 허가 받은 후, 사설 네트워크(516)에 대해 디바이스(510)가 보안적으로 접근할 수 있도록 클라이언트 디바이스(510)와 사설 네트워크 게이트웨이(517) 사이에 제2 네트워크 터널(526)이 수립된다. 인증 서버(522)에 의한 클라이언트 디바이스(510)의 인증 및 제2 네트워크 터널(526)의 수립은 도 6-7을 참조하여 기술된다.
EAP 인증
본 발명의 실시예들에서, 무선 네트워크에 대한 클라이언트 인증은 확장가능 인증 프로토콜(EAP)의 구현에 기초한다. EAP는 무선 네트워크들 및 점대점 연결들에서 흔히 사용되는 인증 프레임워크이다. 상기 EAP 프레임워크는 무선 네트워크들로 제한되는 것은 아니고 또한 유선 LAN 인증을 위해 사용될 수도 있지만, 무선 환경에서 더 일반적이다. 상기 EAP 프레임워크는 포트 기반 인증을 제공하는데, 이 포트 기반 인증은 서플리컨트(supplicant, 클라이언트), 인증자(authenticator), 및 인증 서버 사이의 통신들과 관련된다. 상기 서플리컨트는 흔히 랩탑과 같은 클라이언트 디바이스 상의 소프트웨어이고, 인증자는 유선 또는 무선 접근점이고, 상기 인증 서버는 전형적으로 상기 EAP 구현을 지원하는 호스트 실행 소프트웨어이다.
상기 인증자는 보호받는 네트워크에 대한 보안 가드(security guard)와 같이 작용한다. 상기 서플리컨트의 아이덴티티가 검증받고 인증될 때까지, 상기 서플리컨트(클라이언트 디바이스)는 상기 네트워크의 보호받는 측으로 상기 인증자를 통한 접근을 허용받지 않는다. 어떤 인증에서는, 상기 서플리컨트는 유저 이름/패스워드 또는 전자 인증서(digital certificate)와 같은 크리덴셜들을 상기 인증자에게 제공하고, 상기 인증자는 검증을 위해 상기 인증 서버로 상기 크리덴셜들을 전달한다. 만약 상기 크리덴셜들이 상기 인증 서버의 데이터베이스에 유효한 것으로 검증된다면, 상기 서플리컨트(클라이언트 디바이스)는 상기 네트워크의 보호받는 측 상에 위치하는 리소스들에 접근하도록 허용받는다.
전형적인 인증 프로세스는 다음의 단계들로 구성된다.
- 초기화: 새로운 클라이언트(서플리컨트)의 탐지시, 상기 인증자에 관한 포트는 인에이블되고 "비인증(unauthorized)" 상태로 세트된다.
- 개시(Initiation): 상기 인증을 개시하기 위해, 상기 인증자는 주기적으로 EAP-요청 아이덴티티 프레임을 지정된 주소로 전송한다. 상기 서플리컨트는 이 주소에 관해 듣고(listen), 상기 EAP-요청 아이덴티티 프레임의 수신시, 그것은 서플리컨트 확인자(identifier)를 포함하는 EAP-응답 아이덴티티 프레임에 응답한다. 그런 다음, 상기 인증자는 이 아이덴티티 응답을 밀봉하고 그것을 상기 인증 서버 상으로 전달한다. 상기 서플리컨트는 또한 EAPOL-시작 프레임을 상기 인증자에게 전송함에 의해 인증을 개시 또는 재시작할 수 있다.
- 협상(Negotiation): 상기 인증 서버는 상기 인증자에게 응답을 전송하는데, 이 응답은 상기 서플리컨트가 수행하기를 원하는 EAP 방법을 명시하는 EAP 요청을 포함한다. 상기 인증자는 EAPOL 프레임에 상기 EAP 요청을 밀봉하고 그것을 상기 서플리컨트에게 전송한다. 상기 서플리컨트는 그것이 기꺼이 수행하는 다른 EAP 방법에 응답하거나, 상기 요청된 EAP 방법을 시작할 수 있다.
- 인증: 만약 상기 인증 서버 및 서플리컨트가 EAP 방법에 동의하면, EAP 요청들 및 응답들은 상기 인증 서버가 EAP-성공 메시지 또는 EAP-실패 메시지 중 어느 하나에 응답할 때까지 상기 서플리컨트와 상기 인증 서버 사이에 전송된다(상기 인증자에 의해 해석(translate)됨). 만약 인증이 성공적이면, 상기 인증자는 상기 포트를 "인증(authorized)" 상태로 세트하고 정상적인 트래픽(normal traffic)이 허용된다.
본 발명의 실시예에서, 상기 EAP-트랜스포트층 보안(EAP-Transport Layer Security, EAP-TLS) 프로토콜은 무선 클라이언트 디바이스를 인증하기 위해 사용된다. 상기 EAP-TLS는 인증 서버로 보안 통신을 위한 강한 보안(strong security)을 제공하고, 상기 인증에서 클라이언트 측 인증서를 사용하며, 대부분의 클라이언트 운영 체제들에 의해 지원된다.
EAP-TLS 인증 동안, 상기 네트워크 클라이언트는 상기 서버의 TLS 서명을 확인(validate)함에 의해 초기에 상기 인증 서버의 아이덴티티를 검증한다. 그런 다음, 상기 클라이언트 및 서버는 상기 EAP 인증의 그 다음 단계를 보호하기 위한 대칭 키(symmetric key)를 유도할 것인데, 여기서 상기 클라이언트의 아이덴티티는 상기 서버에 의해 확인된다. 상기 인증 서버는 EAP-요청/아이덴티티 패킷을 상기 클라이언트로 전송하고, 상기 클라이언트는 상기 클라이언트의 유저-ID를 포함하는 인증자에게 EAP-응답/아이덴티티 패킷에 응답한다. 상기 클라이언트의 아이덴티티가 수신되는 경우, 상기 EAP 서버는 EAP-TLS/시작 패킷에 응답한다.
그런 다음, 상기 EAP-TLS 대화가 시작될 것인데, 여기서 상기 클라이언트는 EAP-응답 패킷을 송신한다. 그런 다음, 상기 EAP 서버는 EAP-요청 패킷에 응답한다. 상기 EAP-요청 패킷은 핸드쉐이크(handshake), TLS 인증서, 서버_키_교환 및 인증서_요청 메시지들을 포함한다. 이 정보는 상기 EAP-요청 패킷에 캡슐화된다. 상기 인증서 메시지는 키 교환 공중 키(예를 들어, RSA 또는 Diffie-Hellman 키 교환 공중 키) 또는 서명 공중 키(예를 들어, RSA 또는 디지털 서명 표준 서명 공중 키)를 위해 공중 키 서명 체인을 포함한다.
상기 서버가 공중 키를 통해 상기 피어(peer)가 그 자신을 인증하기를 원할 경우 인증서_요청 메시지가 포함된다. 만약 상기 피어가 EAP-TLS를 지원하고 그것을 사용하도록 구성된다면, 그것은 EAP-Type=EAP-TLS의 EAP-응답 패킷을 갖는 상기 EAP-요청에 응답한다. 상기 피어는 상기 피어의 서명 공중 키를 위해 인증서를 포함하고, 상기 피어의 서명된 인증은 상기 EAP 서버에 응답한다. 이 패킷을 수신한 후, 상기 EAP 서버는, 만약 요청받는 경우, 상기 피어의 인증서 및 디지털 서명을 검증할 것이다.
만약 상기 피어의 인증이 성공적이지 않다면, 상기 EAP 서버는 EAP-Type=EAP-TLS를 갖는 EAP-request 패킷을 전송하는데, 이는 적절한 TLS 경고 메시지를 포함하는 TLS 레코드를 캡슐화하고 있다. 만약 상기 피어가 성공적으로 인증한다면, 상기 EAP 서버는 EAP-Type=EAP-TLS를 갖는 EAP-request 패킷에 응답하는데, 이는 종료된 핸드쉐이크 메시지들을 포함한다. 그런 다음, 상기 피어는 EAP-Type=EAP-TLS의 EAP-response을 전송함에 의해 상기 종료된 메시지를 검증하고, 아무런 데이터도 없다. 상기 EAP 서버는 상기 인증 프로세스를 종료하기 위해 EAP-성공 메시지에 응답한다.
인증 피어 인증자
<- EAP-요청/아이덴티티
EAP-응답/아이덴티티(MyID) ->
<- EAP-요청/EAP-유형=EAP-TLS
(TLS 시작)
EAP-응답/EAP-유형=EAP-TLS(TLS client_hello) ->
<- EAP-요청/EAP-유형=EAP-TLS
(TLS server_hello, TLS 인증서, [TLS 서버_키_교환,], TLS 인증서_요청, TLS servo_hello_done)
EAP-응답/EAP-유형=EAP-TLS(TLS 인증서, TLS 클라이언트_키_교환, TLS 인증서_검증, TLS 교환_cipher_spec, TLS 종료) ->
<- EAP-요청/EAP-유형=EAP-TLS
(TLS 교환_cipher_spec, TLS 종료)
EAP-응답/EAP-Type=EAP-TLS ->
<- EAP-성공
표 1은 EAP-TLS 상호 인증이 성공적인 경우, 피어(클라이언트 디바이스)와 인증자 사이의 인증 메시지들의 교환의 요약이다.
아이덴티티 검증( IDENTITY VERIFICATION )
상기 TLS 협상의 일부로서, 상기 서버는 상기 피어에게 인증서를 제공하고, 만약 상호 인증이 요청된다면, 상기 피어는 상기 서버로 인증서를 제공한다. 상기 EAP-TLS 피어 명칭(Peer-ID)은 접근 제어 및 어카운팅 목적들을 위해 사용될 아이덴티티를 제공한다. 상기 서버-Id는 상기 EAP 서버의 아이덴티티를 제공한다. 상기 피어-Id와 서버-Id는 함께 상기 공중/개인 키 쌍(pair)을 유도하는 것과 관련된 엔티티들을 식별한다. 상기 EAP-TLS 프로토콜에서, 상기 피어-Id 및 서버-Id는 상기 피어 및 서버 인증서들로부터 결정된다.
인증서 확인( CERTIFICATION VALIDATION )
상기 EAP-TLS 서버는 전형적으로 인터넷에 연결되고 상기 피어 인증서를 확인하는 것을 지원한다. 상기 EAP-TLS 서버가 중간의 인증서들을 리트리브할 수 없는 경우, 경로 확인(path validaton)을 완료하기 위해 그것은 상기 필요한 중간의 인증서들이 미리 구성될 필요가 있을 것이고, 또는 그것은 상기 TLS 핸드쉐이크의 일부로서 이 정보를 제공하기 위해 상기 EAP-TLS 피어에 의존할 것이다. TLS 세션이 수립된 경우, EAP-TLS 피어 및 서버 구현들은 상기 인증서에 제공된 아이덴티티들이 적절하고 EAP-TLS에 사용하기 위해 허가되는지를 확인한다. 상기 허가 프로세스는 기타 정황 정보(contextual information) 뿐만 아니라 상기 인증서들의 내용들을 이용한다. 허가는 상기 EAP-TLS 피어-Id 및 서버-Id에 기초한다.
도 6은 본 발명의 측면들에 따른 사설 네트워크에 접근하기 전에 클라이언트 디바이스가 인정되는 예시적인 프로세스의 흐름도이다. 블록 611에서, 먼저 상기 클라이언트 디바이스와 공중 또는 제3자의 캐리어 무선 네트워크 사이에 네트워크 터널이 수립된다. 그런 다음, 블록 612에서 상기 클라이언트 디바이스는 상기 제1 터널을 사용하여 상기 기업의 사설 네트워크의 인증 서버로 인증된다. 상기 클라이언트 디바이스가 상기 사설 네트워크와 연관된 상기 인증 서버에 의해 인증된 경우, 블록 613에서 상기 클라이언트가 상기 사설 네트워크에 보안적으로 접근할 수 있도록 상기 클라이언트 디바이스와 상기 사설 네트워크의 게이트웨이 사이에 제2 네트워크 터널이 셋업된다.
도 7은 상기 공중 네트워크의 상기 인증 서버에 의해 상기 클라이언트 디바이스를 인증하고 상기 제1 네트워크 터널을 수립(블록 611로부터)하는 예시적인 프로세스의 흐름도이다. 블록 722에서, 상기 클라이언트 디바이스는 상기 공중 또는 캐리어 무선 네트워크의 게이트웨이로 "EAP-시작"을 전송한다. 그런 다음, 블록 712에서 상기 공중 게이트웨이는 상기 클라이언트의 아이덴티티 정보를 요청한다. 블록 713에서, 상기 클라이언트 디바이스는 상기 공중 게이트웨이에 클라이언트 아이덴티티 데이터를 포함하는 "영역(realm)" 메시지로 응답한다. 상기 클라이언트의 아이덴티티가 상기 공중 네트워크 게이트웨이에 의해 검증된 경우, 상기 게이트웨이는 블록 714에 도시된 바와 같이, 상기 공중 게이트웨이에 연결된 인증 서버를 컨택하고 상기 인증 서버에게 상기 클라이언트 디바이스를 인증하고 허가하도록 요청한다. 상기 공중 네트워크의 인증 서버는 블록 715에서 위에서 기술된 바와 같은 EAP 인증과 같은 클라이언트 인증 프로세스를 수행한다. 만약 상기 인증이 성공적이면, 블록 716에서 상기 클라이언트 디바이스와 상기 공중 무선 네트워크의 게이트웨이 사이에 제1 보안 네트워크 터널이 셋업된다.
도 8은 상기 제1 터널을 사용하여 사설 네트워크로 상기 클라이언트 디바이스를 인증하고(블록 612로부터), 상기 클라이언트와 사설 네트워크 게이트웨이(블록 613으로부터) 사이에 제2 터널을 수립하는 예시적인 프로세스의 흐름도를 보여준다. 제1 네트워크 터널이 상기 클라이언트 디바이스와 상기 공중 게이트웨이 사이에 수립되면, 블록 811에서, 상기 공중 네트워크의 인증 서버는 상기 제1 터널을 통해 상기 사설 네트워크로 클라이언트 인증을 개시하기 위해 상기 사설 네트워크의 인증 서버로 요청을 전송한다. 블록 812에서, 상기 기업 인증 서버는 상기 클라이언트 디바이스의 인증을 시작한다(바람직하게는, EAP 프로세스를 사용하여).
앞서 기술된 바와 같이, 상기 EAP 인증은 클라이언트 디바이스로부터 클라이언트 보안 크리덴셜들을 위한 요청을 포함하고(블록 813), 상기 클라이언트 디바이스와 상기 사설 인증 서버 사이의 공중/개인 키들의 교환(블록 814))을 포함한다. 상기 크리덴셜들 및 공중/개인 키들에 관한 요청들 및 응답들은 상기 제1 네트워크 터널을 통해 상기 공중 네트워크의 인증 서버 및 게이트웨이에 의해 프록시된다. 블록 815에서, 상기 클라이언트 디바이스가 상기 사설 인증 서버에 의해 성공적으로 인증 및 허가받으면, 블록 816에서, 상기 클라이언트 디바이스와 상기 사설 게이트웨이 사이에 제2 네트워크 터널이 수립된다. 상기 클라이언트 디바이스는 이제 상기 제2 터널을 통해 상기 사설 네트워크로의 보안 접근을 시작한다.
위에서 기술된 본 발명의 주제는 단지 예시의 목적으로 제공된 것이므로 본 발명을 제한하는 것으로 해석되어서는 아니된다. 상기 기술된 컴포넌트들 및 동작들에 관한 여러가지 변형 및 대체 예들은 이하의 청구항들에서 정의된 본 발명의 사상 및 범위를 벗어나지 않고서 당해 기술 분야에서 숙련된 자들에 의해 구현될 수 있음은 자명하다. 따라서, 본 발명의 범위는 이러한 변형 예들 및 균등 범위의 구조들을 다 포함하도록 가장 넓게 해석되어야 한다. 당해 기술 분야에서 숙련된 자라면 알 수 있는 바와 같이, 여기에 기술되는 시스템들, 방법들, 및 절차들은 프로그램가능 컴퓨터, 컴퓨터 실행가능 소프트웨어, 또는 디지털 회로에서 구현될 수 있다. 상기 소프트웨어는 컴퓨터 판독가능 매체 상에 저장될 수 있다. 예를 들어, 컴퓨터 판독가능 매체는 플로피 디스크, RAM, ROM, 하드 디스크, 착탈식 매체, 플래쉬 메모리, "메모리 스틱", 광학 매체, 자기-광학 매체, CD-ROM 등을 포함할 수 있다.

Claims (23)

  1. 공중 무선 네트워크(public wireless network)를 통해 사설 네트워크(private network)에 클라이언트 디바이스가 보안적으로 접근(securely access)하는 네트워크 시스템에 있어서,
    상기 공중 네트워크에 결합되고 상기 제1 클라이언트 디바이스로의 제1 네트워크 터널을 갖는, 공중 게이트웨이(public gateway);
    상기 클라이언트 디바이스를 인증하기 위해 상기 사설 네트워크에 결합된 사설 인증 서버 - 상기 클라이언트 디바이스 인증은 상기 제1 터널을 통해 상기 공중 네트워크의 인증 서버에 의해 프록시(proxy)됨 -; 및
    상기 사설 네트워크 및 공중 인증 서버에 결합되고 상기 클라이언트 디바이스로의 제2 네트워크 터널을 갖는, 사설 게이트웨이(private gateway)를 포함하는
    네트워크 시스템.
  2. 청구항 1에 있어서, 상기 제1 및 제2 터널들은 챌린지-응답 인증 프로토콜(challenge-response authentication protocol)을 사용하여 수립되는
    네트워크 시스템.
  3. 청구항 1에 있어서, 상기 제1 및 제2 터널들은 확장가능 인증 프로토콜(Extensible Authentication Protocol, EAP)을 사용하여 수립되는
    네트워크 시스템.
  4. 청구항 3에 있어서, 상기 확장가능 인증 프로토콜은 확장가능 인증 프로토콜-전송 층 보안(Extensible Authentication Protocol-Transport Layer Security, EAP-TLS) 프로토콜인
    네트워크 시스템.
  5. 청구항 1에 있어서, 상기 제1 및 제2 터널은 상기 클라이언트 디바이스와 연관된 유저 보안 크리덴셜들에 기초하여 수립되는
    네트워크 시스템.
  6. 청구항 1에 있어서, 상기 사설 인증 서버로 상기 클라이언트 디바이스를 인증하는 것과 연관된 데이터 패킷들은 암호화되는
    네트워크 시스템.
  7. 청구항 6에 있어서, 상기 암호화된 데이터 패킷들은 상기 사설 인증 서버로 상기 공중 게이트웨이에 의해 변하지 않고(unchanged) 전송되는
    네트워크 시스템.
  8. 청구항 1에 있어서, 상기 사설 인증 서버로 상기 클라이언트 디바이스를 인증하는 것은 공중-개인 키 쌍(pair)의 교환을 포함하는
    네트워크 시스템.
  9. 청구항 1에 있어서, 상고 공중 네트워크는 WiMAX 무선 네트워크인
    네트워크 시스템.
  10. 청구항 1에 있어서, 상기 제1 및 제2 터널들은 IPsec 터널들인
    네트워크 시스템.
  11. 청구항 1에 있어서, 상기 제1 및 제2 터널들은 상기 클라이언트 디바이스와 상기 사설 네트워크 사이에서 데이터가 보안적으로(securely) 교환되도록 허용하는
    네트워크 시스템.
  12. 클라이언트 디바이스가 공중 무선 네트워크(public wireless network)를 통해 사설 네트워크(private network)에 보안적으로 접근(securely access)하는 컴퓨터로 구현되는 방법에 있어서,
    상기 사설 네트워크에 연결된 상기 공중 무선 네트워크의 게이트웨이로의 제1 터널을 수립하는 단계;
    상기 제1 터널을 사용하여 상기 사설 네트워크의 인증 서버로 상기 클라이언트 디바이스를 인증하는 단계 - 상기 인증 서버는 상기 사설 네트워크의 게이트웨이에 연결됨 -; 및
    상기 클라이언트 디바이스와 상기 사설 네트워크 게이트웨이 사이에 제2 터널을 수립하는 단계를 포함하는
    컴퓨터로 구현되는 방법.
  13. 청구항 12에 있어서, 상기 제1 및 제2 터널들은 챌린지-응답 인증 프로토콜(challenge-response authentication protocol)을 사용하여 수립되는
    컴퓨터로 구현되는 방법.
  14. 청구항 12에 있어서, 상기 제1 및 제2 터널들은 확장가능 인증 프로토콜(Extensible Authentication Protocol, EAP)을 사용하여 수립되는
    컴퓨터로 구현되는 방법.
  15. 청구항 14에 있어서, 상기 확장가능 인증 프로토콜은 확장가능 인증 프로토콜-전송 층 보안(Extensible Authentication Protocol-Transport Layer Security, EAP-TLS) 프로토콜인
    컴퓨터로 구현되는 방법.
  16. 청구항 12에 있어서, 상기 제1 및 제2 터널들은 상기 클라이언트 디바이스와 연관된 유저 보안 크리덴셜들에 기초하는
    컴퓨터로 구현되는 방법.
  17. 청구항 12에 있어서, 상기 사설 인증 서버로 상기 클라이언트 디바이스를 인증하는 것과 연관된 데이터 패킷들은 암호화되는
    컴퓨터로 구현되는 방법.
  18. 청구항 17에 있어서, 상기 암호화된 데이터 패킷들은 상기 공중 네트워크 게이트웨이에 의해 상기 사설 인증 서버로 변하지 않는 상태로(unchanged) 전송되는
    컴퓨터로 구현되는 방법.
  19. 청구항 12에 있어서, 상기 사설 인증 서버로 상기 클라이언트 디바이스를 인증하는 것은 공중-개인 키 쌍(pair)의 교환을 포함하는
    컴퓨터로 구현되는 방법.
  20. 청구항 12에 있어서, 상기 공중 네트워크는 WiMAX 무선 네트워크인
    컴퓨터로 구현되는 방법.
  21. 청구항 12에 있어서, 상기 제1 및 제2 터널들은 IPsec 터널들인
    컴퓨터로 구현되는 방법.
  22. 청구항 12에 있어서, 상기 제1 및 제2 터널들은 상기 클라이언트 디바이스와 상기 사설 네트워크 사이에 데이터가 보안적으로 교환되도록 허용하는
    컴퓨터로 구현되는 방법.
  23. 클라이언트 디바이스가 공중 무선 네트워크를 통해 사설 네트워크에 보안적으로 접근하는 컴퓨터로 프로그램 제품으로서, 상기 제품은 컴퓨터 사용가능 스토리지 매체를 포함하며, 상기 컴퓨터 사용가능 스토리지 매체는 상기 스토리지 매체 내에 구현되는 판독가능 프로그램 코드를 가지며, 상기 프로그램 코드는,
    상기 공중 네트워크에 연결된 상기 공중 무선 네트워크의 게이트웨이로의 제1 터널을 수립하고;
    상기 제1 터널을 사용하여 상기 사설 네트워크의 인증 서버로 상기 클라이언트 디바이스를 인증하고 - 상기 인증 서버는 상기 사설 네트워크의 게이트웨이에 연결됨 -; 및
    상기 클라이언트 디바이스와 상기 사설 네트워크 게이트웨이 사이에 제2 터널을 수립하도록 동작하는
    컴퓨터 프로그램 제품.
KR1020110029302A 2010-04-09 2011-03-31 공중 무선 네트워크를 통한 사설 네트워크로의 보안 접근 KR20110113565A (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US12/757,199 2010-04-09
US12/757,199 US8601569B2 (en) 2010-04-09 2010-04-09 Secure access to a private network through a public wireless network

Publications (1)

Publication Number Publication Date
KR20110113565A true KR20110113565A (ko) 2011-10-17

Family

ID=44746564

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110029302A KR20110113565A (ko) 2010-04-09 2011-03-31 공중 무선 네트워크를 통한 사설 네트워크로의 보안 접근

Country Status (3)

Country Link
US (1) US8601569B2 (ko)
KR (1) KR20110113565A (ko)
CN (1) CN102215487B (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20170063795A (ko) * 2014-10-06 2017-06-08 크리프트존 노스 아메리카, 아이엔씨. 네트워크 디바이스를 보호하기 위한 시스템 및 방법

Families Citing this family (44)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8509440B2 (en) * 2007-08-24 2013-08-13 Futurwei Technologies, Inc. PANA for roaming Wi-Fi access in fixed network architectures
US8452957B2 (en) * 2010-04-27 2013-05-28 Telefonaktiebolaget L M Ericsson (Publ) Method and nodes for providing secure access to cloud computing for mobile users
US9270653B2 (en) * 2011-05-11 2016-02-23 At&T Mobility Ii Llc Carrier network security interface for fielded devices
US10277630B2 (en) * 2011-06-03 2019-04-30 The Boeing Company MobileNet
US8869235B2 (en) * 2011-10-11 2014-10-21 Citrix Systems, Inc. Secure mobile browser for protecting enterprise data
CN102497354A (zh) * 2011-11-08 2012-06-13 陈嘉贤 用于对用户身份进行认证的方法、系统及其使用的设备
EP2634993B1 (en) * 2012-03-01 2017-01-11 Certicom Corp. Devices and methods for connecting client devices to a network
US20130283050A1 (en) * 2012-04-23 2013-10-24 Anil Gupta Wireless client authentication and assignment
US8978093B1 (en) * 2012-05-03 2015-03-10 Google Inc. Policy based trust of proxies
US10177957B1 (en) 2012-07-06 2019-01-08 Cradlepoint, Inc. Connecting a cloud network to the internet
US10560343B1 (en) 2012-07-06 2020-02-11 Cradlepoint, Inc. People centric management of cloud networks via GUI
US10880162B1 (en) 2012-07-06 2020-12-29 Cradlepoint, Inc. Linking logical broadcast domains
US9992062B1 (en) * 2012-07-06 2018-06-05 Cradlepoint, Inc. Implicit traffic engineering
US10135677B1 (en) 2012-07-06 2018-11-20 Cradlepoint, Inc. Deployment of network-related features over cloud network
US10601653B2 (en) * 2012-07-06 2020-03-24 Cradlepoint, Inc. Implicit traffic engineering
US10110417B1 (en) 2012-07-06 2018-10-23 Cradlepoint, Inc. Private networks overlaid on cloud infrastructure
JP5854148B2 (ja) * 2012-08-20 2016-02-09 富士通株式会社 シームレスプッシュシステム及びその方法
WO2014030199A1 (ja) * 2012-08-20 2014-02-27 富士通株式会社 シームレスアプリプッシュシステム及びその方法
TW201417535A (zh) * 2012-10-31 2014-05-01 Ibm 根據風險係數的網路存取控制
DE102013206661A1 (de) * 2013-04-15 2014-10-16 Robert Bosch Gmbh Kommunikationsverfahren zum Übertragen von Nutzdaten sowie entsprechendes Kommunikationssystem
US9411978B2 (en) 2013-07-11 2016-08-09 Open Text S.A. System and method for access control using network verification
US9226153B2 (en) * 2013-08-23 2015-12-29 Cisco Technology, Inc. Integrated IP tunnel and authentication protocol based on expanded proxy mobile IP
US9906497B2 (en) 2014-10-06 2018-02-27 Cryptzone North America, Inc. Multi-tunneling virtual network adapter
EP3228059B1 (en) * 2014-12-04 2018-05-23 Telefonaktiebolaget LM Ericsson (publ) Secure connections establishment
US20160366124A1 (en) * 2015-06-15 2016-12-15 Qualcomm Incorporated Configuration and authentication of wireless devices
US9866519B2 (en) 2015-10-16 2018-01-09 Cryptzone North America, Inc. Name resolving in segmented networks
CN106875515B (zh) * 2015-12-11 2019-10-29 中国移动通信集团辽宁有限公司 门禁验证系统及其门禁验证方法
US10178512B2 (en) 2015-12-18 2019-01-08 At&T Intellectual Property I, L.P. Information broadcast
US10412048B2 (en) 2016-02-08 2019-09-10 Cryptzone North America, Inc. Protecting network devices by a firewall
US10142323B2 (en) * 2016-04-11 2018-11-27 Huawei Technologies Co., Ltd. Activation of mobile devices in enterprise mobile management
US9560015B1 (en) 2016-04-12 2017-01-31 Cryptzone North America, Inc. Systems and methods for protecting network devices by a firewall
US20180317086A1 (en) * 2017-01-27 2018-11-01 Telefonaktiebolaget Lm Ericsson (Publ) Secondary Authentication of a User Equipment
CN107231426A (zh) * 2017-06-15 2017-10-03 郑州云海信息技术有限公司 一种多数据中心访问方法、代理服务器及系统
NZ772135A (en) * 2018-07-17 2022-11-25 Icu Medical Inc Systems and methods for facilitating clinical messaging in a network environment
WO2020068875A1 (en) * 2018-09-24 2020-04-02 Andrew Robinson Virtual private network environment for application unification over a public network
JP7273523B2 (ja) * 2019-01-25 2023-05-15 株式会社東芝 通信制御装置および通信制御システム
TWI706281B (zh) * 2019-02-19 2020-10-01 華東科技股份有限公司 裝置驗證方法
EP3673435B1 (en) * 2019-03-27 2022-05-25 Advanced New Technologies Co., Ltd. Improving integrity of communications between blockchain networks and external data sources
KR102136960B1 (ko) 2019-03-27 2020-07-23 알리바바 그룹 홀딩 리미티드 고 가용성의 신뢰 실행 환경을 사용하여 블록체인 네트워크에 대한 공용 데이터를 리트리빙하는 방법
CA3058244C (en) 2019-03-29 2021-04-27 Alibaba Group Holding Limited Retrieving access data for blockchain networks using highly available trusted execution environments
US11751049B2 (en) 2019-05-01 2023-09-05 John A. Nix Distributed EAP-TLS authentication for wireless networks with concealed user identities
CN114631398A (zh) * 2019-11-06 2022-06-14 华为技术有限公司 一种通信方法,通信装置及通信系统
CN113498055B (zh) * 2020-03-20 2022-08-26 维沃移动通信有限公司 接入控制方法及通信设备
US11882110B2 (en) * 2020-04-29 2024-01-23 Hewlett Packard Enterprise Development Lp Renewal of security certificates of supplicants

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6571289B1 (en) 1998-08-03 2003-05-27 Sun Microsystems, Inc. Chained registrations for mobile IP
US6081900A (en) * 1999-03-16 2000-06-27 Novell, Inc. Secure intranet access
US7117526B1 (en) 1999-10-22 2006-10-03 Nomadix, Inc. Method and apparatus for establishing dynamic tunnel access sessions in a communication network
US7181542B2 (en) * 2000-04-12 2007-02-20 Corente, Inc. Method and system for managing and configuring virtual private networks
US7159242B2 (en) 2002-05-09 2007-01-02 International Business Machines Corporation Secure IPsec tunnels with a background system accessible via a gateway implementing NAT
JP4056849B2 (ja) * 2002-08-09 2008-03-05 富士通株式会社 仮想閉域網システム
US7391748B2 (en) * 2002-10-15 2008-06-24 Cisco Technology, Inc. Configuration of enterprise gateways
US7779152B2 (en) 2003-01-24 2010-08-17 Nokia Corporation Establishing communication tunnels
US7774828B2 (en) * 2003-03-31 2010-08-10 Alcatel-Lucent Usa Inc. Methods for common authentication and authorization across independent networks
US7478427B2 (en) 2003-05-05 2009-01-13 Alcatel-Lucent Usa Inc. Method and apparatus for providing adaptive VPN to enable different security levels in virtual private networks (VPNs)
JP4107213B2 (ja) * 2003-10-06 2008-06-25 松下電工株式会社 パケット判定装置
US7716724B2 (en) * 2005-06-16 2010-05-11 Verizon Business Global Llc Extensible authentication protocol (EAP) state server
US20080022392A1 (en) 2006-07-05 2008-01-24 Cisco Technology, Inc. Resolution of attribute overlap on authentication, authorization, and accounting servers
US7707623B2 (en) * 2006-10-24 2010-04-27 Avatier Corporation Self-service resource provisioning having collaborative compliance enforcement

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20170063795A (ko) * 2014-10-06 2017-06-08 크리프트존 노스 아메리카, 아이엔씨. 네트워크 디바이스를 보호하기 위한 시스템 및 방법

Also Published As

Publication number Publication date
CN102215487A (zh) 2011-10-12
CN102215487B (zh) 2014-10-15
US20110252230A1 (en) 2011-10-13
US8601569B2 (en) 2013-12-03

Similar Documents

Publication Publication Date Title
US8601569B2 (en) Secure access to a private network through a public wireless network
EP3410758B1 (en) Wireless network connecting method and apparatus, and storage medium
US9015473B2 (en) Method and system for automated and secure provisioning of service access credentials for on-line services to users of mobile communication terminals
US20060259759A1 (en) Method and apparatus for securely extending a protected network through secure intermediation of AAA information
KR101009330B1 (ko) 모바일 네트워크를 기반으로 하는 엔드 투 엔드 통신에서의 인증을 위한 방법, 시스템 및 인증 센터
US8635444B2 (en) System and method for distributing keys in a wireless network
EP2025088B1 (en) Provision of secure communiucations connection using third party authentication
US20090063851A1 (en) Establishing communications
US20100161958A1 (en) Device for Realizing Security Function in Mac of Portable Internet System and Authentication Method Using the Device
Cheikhrouhou et al. An EAP-EHash authentication method adapted to resource constrained terminals
Pandey et al. A system and method for authentication in wireless local area networks (wlans)
Niemiec et al. Authentication in virtual private networks based on quantum key distribution methods
WO2014117524A1 (zh) Wlan接入网络中传递成对主密钥的方法和系统
Sithirasenan et al. An EAP framework for unified authentication in wireless networks
Eronen et al. An Extension for EAP-Only Authentication in IKEv2
Sithirasenan et al. EAP-CRA for WiMAX, WLAN and 4G LTE Interoperability
US20240114338A1 (en) Systems and methods for authentication of non-3gpp devices behind a residential gateway
Robyns Wireless network privacy
Elahi et al. Network Security
Dejamfar Enhancing Efficiency of EAP-TTLS Protocol Through the Simultaneous Use of Encryption and Digital Signature Algorithms
Ntantogian et al. A security protocol for mutual authentication and mobile VPN deployment in B3G networks
Eronen et al. RFC 5998: An Extension for EAP-Only Authentication in IKEv2
Lee et al. Performance of an efficient performing authentication to obtain access to public wireless LAN with a cache table
Networking Project IEEE 802.16 Broadband Wireless Access Working Group< http://ieee802. org/16> Title Enhancement of 802.16 e to Support EAP-based Authentication/Key Distribution Rev. 4
Networking Project IEEE 802.16 Broadband Wireless Access Working Group< http://ieee802. org/16> Title Enhancement of 802.16 e to Support EAP-based Authentication/Key Distribution Rev. 3

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E601 Decision to refuse application