KR20120051039A - 다중기술 인터워킹에서의 사전등록 보안 지원 - Google Patents

다중기술 인터워킹에서의 사전등록 보안 지원 Download PDF

Info

Publication number
KR20120051039A
KR20120051039A KR1020127004755A KR20127004755A KR20120051039A KR 20120051039 A KR20120051039 A KR 20120051039A KR 1020127004755 A KR1020127004755 A KR 1020127004755A KR 20127004755 A KR20127004755 A KR 20127004755A KR 20120051039 A KR20120051039 A KR 20120051039A
Authority
KR
South Korea
Prior art keywords
access
communication system
communication device
access technology
communication
Prior art date
Application number
KR1020127004755A
Other languages
English (en)
Other versions
KR101395416B1 (ko
Inventor
페레츠 페더
세미온 미지코브스키
Original Assignee
알까뗄 루슨트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 알까뗄 루슨트 filed Critical 알까뗄 루슨트
Publication of KR20120051039A publication Critical patent/KR20120051039A/ko
Application granted granted Critical
Publication of KR101395416B1 publication Critical patent/KR101395416B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0016Hand-off preparation specially adapted for end-to-end data sessions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0033Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
    • H04W36/0038Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/14Reselecting a network or an air interface
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/14Reselecting a network or an air interface
    • H04W36/144Reselecting a network or an air interface over a different radio air interface technology
    • H04W36/1446Reselecting a network or an air interface over a different radio air interface technology wherein at least one of the networks is unlicensed
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

다중 액세스 기술 환경에서의 사전등록 보안 지원이 개시된다. 예를 들면, 통신 시스템의 컴퓨팅 디바이스에서 사용하기 위한 방법이 개시된다. 통신 시스템은 통신 디바이스가 통신 시스템에 액세스하도록 허용하기 위한 2 개 이상의 액세스 기술들을 지원하고, 주어진 통신 디바이스가 제 1 액세스 기술을 통해 통신 시스템에 액세스하도록 허용하는, 주어진 통신 디바이스에 대한 제 1 보안 컨텍스트 중 적어도 일부분이 컴퓨팅 디바이스에서 생성된다. 상기 방법은, 주어진 통신 디바이스가 제 1 액세스 기술을 통해 통신 시스템에 계속해서 액세스하고 후속으로 제 2 액세스 기술을 통해 통신 시스템에 액세스하도록 사전등록되도록 제 1 보안 컨텍스트를 유지하면서, 주어진 통신 디바이스가 적어도 제 2 액세스 기술을 통해 통신 시스템에 액세스하도록 사전 등록되도록 주어진 통신 디바이스에 대한 적어도 제 2 보안 컨텍스트 중 적어도 일부분을 생성하는 단계를 포함한다.

Description

다중기술 인터워킹에서의 사전등록 보안 지원{PRE-REGISTRATION SECURITY SUPPORT IN MULTI-TECHNOLOGY INTERWORKING}
본 출원은 2009년 8월 24일자에 출원된 "Method for Pre-Registration Security Support in Multi-Technology Interworking"이란 명칭의 미국 가특허 출원, 제 61/275,008 호의 우선권을 청구하고, 이는 본원에 참조로서 통합된다.
본 발명은 일반적으로 통신 시스템에서의 보안에 관한 것이며, 더욱 상세하게는, 다중 액세스 기술 환경에서의 사전등록 보안 지원(pre-registration security support)에 관한 것이다.
최근에, 비교 가능한 성능을 갖는 제안된 통신 시스템 액세스 기술들의 수가 상당히 증가되어, 다중모드 무선 액세스 단말기를 제조하는 것이 신중하게 되었다. 즉, 3GPP2 - 제 3 세대 파트너쉽 프로젝트 2에 의해 정의된 CDMA(Code Division Multiple Access) 및 1xEV-DO(Evolution-Data Optimized); 3GPP - 제 3 세대 파트너쉽 프로젝트에 의해 정의된 GSM(Global System for Mobile), WCDMA로서 또한 알려진 UMTS(Universal Mobile Telecommunications System), UMTS에 대한 GPRS(General Packet Radio Service), EDGE(Enhanced Data rates for GSM Evolution); WiMAX 포럼에 의해 정의된 WiFi(Wireless Fidelity, IEEE 802.11 표준에 기반한 무선 로컬 영역 네트워크(WLAN) 디바이스의 클래스), WiMAX(Worldwide Interoperability for Microwave) 등에서 동작할 수 있는 모바일 단말기를 접하는 것은 이례적이지 않다. 2 개 이상의 액세스 기술들 사이의 인터워킹(interworking)은, 그들이 다중모드 단말기들을 소유한 사용자에게 공통 코어 네트워크 서비스를 제공할 수 있기 때문에, 무선 코어 네트워크 운영자들에게 중대한 일이 되었다.
무선 단말기가 네트워크에 액세스함에 따라, 정당성(legitimacy)에 대해 인증된다. 이러한 인증은 주어진 액세스 기술에 대해 특정적일 수 있지만, EAP(Encapsulated Authentication Protocol)의 급증으로 인해, 액세스 기술에 대해 투명한 공통 인증 프레임워크가 대중화되고 있다. EAP는 2008년 8월, IEFE RFC 5247, EAP(Encapsulated Authentication Protocol) 키 관리 프레임워크에 상세히 개시되어 있고, 이는 본원에 참조로서 통합된다.
그러나, 기존의 EAP 인증 동작들은 다중 보안 컨텍스트들이 다중 액세스 기술들에 대해 주어진 통신 디바이스에 관련하여 효과적으로 유지되도록 허용하지 않는다. 따라서, 기존의 인증 방식의 이들 및 다른 제한들을 극복할 필요성이 존재한다.
본 발명의 원리는 다중 액세스 기술 환경에서 사전등록 보안 지원을 제공한다.
예를 들면, 일 양상에서, 통신 시스템의 컴퓨팅 디바이스에서 사용하기 위한 방법이 제공되고, 통신 시스템은 통신 디바이스가 통신 시스템에 액세스하도록 허용하기 위해 2 개 이상의 액세스 기술들을 지원하고, 제 1 보안 컨텍스트(security context)의 적어도 일부분은 주어진 통신 디바이스가 제 1 액세스 기술을 통해 통신 시스템에 액세스하도록 허용하는, 주어진 통신 디바이스에 대한 컴퓨팅 디바이스에서 생성된다. 상기 방법은, 주어진 통신 디바이스가 제 1 액세스 기술을 통해 통신 시스템에 계속해서 액세스할 수 있고 후속으로 제 2 액세스 기술을 통해 통신 시스템에 액세스하기 위해 사전등록되도록 제 1 보안 컨텍스트를 유지하면서, 상기 주어진 통신 디바이스가 적어도 제 2 액세스 기술을 통해 통신 시스템에 액세스하기 위해 사전등록되도록 주어진 통신 디바이스에 대한 적어도 제 2 보안 컨텍스트의 적어도 일부분을 컴퓨팅 디바이스에서 생성하는 단계를 포함한다. 컴퓨팅 디바이스는 통신 시스템 내의 네트워크 서비스 제공자에 의해 관리되는 인증 서버를 포함할 수 있다.
또한, 또 다른 양상에서, 통신 시스템의 통신 디바이스에서 사용하기 위한 방법이 제공되고, 통신 시스템은 통신 디바이스가 통신 시스템에 액세스하도록 허용하기 위해 2 개 이상의 액세스 기술들을 지원하고, 제 1 보안 컨텍스트의 적어도 일부분은 통신 디바이스가 제 1 액세스 기술을 통해 통신 시스템에 액세스하도록 허용하는 상기 통신 디바이스에서 생성된다. 상기 방법은, 주어진 통신 디바이스가 제 1 액세스 기술을 통해 통신 시스템에 계속해서 액세스할 수 있고 후속으로 제 2 액세스 기술을 통해 통신 시스템에 액세스하기 위해 사전등록되도록 제 1 보안 컨텍스트를 유지하면서, 주어진 통신 디바이스가 적어도 제 2 액세스 기술을 통해 통신 시스템에 액세스하기 위해 사전등록되도록 주어진 통신 디바이스에 대한 적어도 제 2 보안 컨텍스트의 적어도 일부분을 통신 디바이스에서 생성하는 단계를 포함한다.
이롭게도, 본 발명의 예시적인 원리는, 다중 액세스 기술들에 대한 동시 모바일 등록들을 허용하도록 다중 활성, 명백하게 구별 가능한 보안 연관들을 보존하기 위한 기술들을 제공한다.
본 발명의 이들 및 다른 목적, 특징 및 이점은 본 발명의 예시적인 실시예의 다음의 상세한 설명으로부터 명백해질 것이고, 이는 첨부한 도면과 연관하여 판독된다.
도 1은 본 발명의 하나 이상의 실시예들에 따른, 다중 액세스 기술 환경에서 사전등록 보안 지원을 통합하는 네트워크 기준 모델을 예시한 도면이다.
도 2a는 본 발명의 실시예에 따른, 제 1 액세스 기술에 대한 네트워크 엔티티 방법을 예시한 도면이다.
도 2b는 본 발명의 실시예에 따른, 제 2 액세스 기술에 대한 네트워크 엔티티 방법을 예시한 도면이다.
도 2c는 본 발명의 실시예에 따른, 다중 액세스 기술 환경에서 사전등록 보안 지원을 위한 방법을 예시한 도면이다.
도 2d는 본 발명의 또 다른 실시예에 따른, 다중 액세스 기술 환경에서 사전등록 보안 지원을 위한 방법을 예시한 도면이다.
도 3은 본 발명의 하나 이상의 실시예들에 따른, 다중 액세스 기술 환경에서 사전등록 보안 지원을 구현하기에 적절한 통신 시스템의 일부분의 일반화된 하드웨어 아키텍처를 예시한 도면이다.
문구, "통신 시스템"이 일반적으로 통신 디바이스들 및/또는 네트워크 노드들이 다른 통신 디바이스들 및/또는 네트워크 노드들과 통신/상호 작용하도록 허용하는 하나 이상의 통신 네트워크들을 포함하도록 정의되고, 이들을 통해 하나 이상의 형태의 미디어가 전송될 수 있다는 것이 이해된다. 그러한 하나 이상의 형태의 미디어(즉, 멀티미디어)는, 이에 제한되지 않지만, 텍스트기반 데이터, 그래픽기반 데이터, 음성기반 데이터(더욱 일반적으로, 오디오형태 데이터), 및 비디오기반 데이터를 포함할 수 있다.
또한, 다중 액세스 기술들에 대해 사전등록 지원을 제공하기 위한 본 발명의 예시적인 실시예가 2 개의 예시적인 액세스 기술들인 WiMAX 및 WiFi에 관련하여 아래에 설명되지만, 본 발명은 이러한 2 개의 액세스 기술들 또는 단지 2 개의 액세스 기술들을 사용하는 것으로 제한되지 않는다는 것이 이해된다. 즉, 본 발명의 원리는, 이에 제한되지 않지만, CDMA, GSM, UMTS, 1xEV-DO, GPRS, 및 EDGE와 같은 많고 변동되는 다른 액세스 기술들에 적용될 수 있다. 본 발명의 원리가 EAP 프레임워크에서의 사용으로 제한되지 않는다는 것이 또한 인지되어야 한다.
또한, 문구, "보안 컨텍스트" 및 "보안 연관"은 본원에서 교환 가능하게 사용되고, 일반적으로 통신 네트워크에 대한 엔티티를 인증하기 위해 생성된 암호 또는 보안 데이터(예를 들면, 하나 이사의 키들)를 지칭하도록 정의된다.
또한, 본원에 사용된 "서버"는 일반적으로 하나 이상의 컴퓨팅 디바이스들로서 정의된다. "노드"가 통신 시스템 내의 전용 컴퓨팅 디바이스를 지칭할 수 있거나, 하나 이상의 다른 기능들을 수행하는 컴퓨팅 디바이스의 기능 부분을 지칭할 수 있다는 것이 또한 이해되어야 한다.
예시적인 실시예에 따라, 통신 디바이스(예를 들면, 모바일 단말기)는 그가 현재 액세스하는 네트워크를 인증하기 위해 EAP를 사용할 수 있고, 또 다른 이용 가능하고 지원되는 기술들로의 가능한 핸드오프들을 예상하고, 통신 디바이스는 액세스 기술에 대해 미리 사전등록 및 사전인증할 수 있다. 그와 같이, 하나의 액세스 기술로부터 또 다른 액세스 기술로의 통신 세션을 핸드오프하기 위한 결정이 이루어질 때, 타겟 기술에 대한 리소스가 이미 인증되고, 핸드오프 프로세스의 레이턴시(latency)가 대폭 감소된다.
현안의 다중 액세스 기술들이 WiFi 및 WiMAX를 포함하는 예시적인 실시예가 이제 설명된다. 상기 예시적인 실시예에 따라, 중첩하는 기간에서 동일한 HoA(home address) 세션에 대해 2 개의 이종 액세스 네트워크들(disparate access networks)(액세스 기술들) 상에서 동일한 EAP 인증 방식을 동시에 수행하는 것이 가능하다. 무결절(seamless) HO(handoff)를 유지하기 위해, 상기 방식은 네트워크들 양자에 대해 3 개의 공통 엔티티들, 즉, MS(mobile station) 및 그의 서플리컨트(supplicant), AAA(Authentication, Authorization and Accounting) 서버 및 HA(home agent) 서버를 수반한다.
본원에 사용된 "서플리컨트"가 보안 액세스 지원 기능을 수행하는 MA(통신 디바이스)의 부분, 즉, 통신 시스템에 액세스하기 위한 보안 컨텍스트의 생성에 참여하는 MS 내의 기능적 엔티티를 지칭한다는 것이 이해된다. 아래에 예시되는 바와 같이, 본 발명의 원리에 따른 통신 디바이스는 2 이상의 서플리컨트를 예시할 수 있고, 이로써 각각의 서플리컨트는 개별적인 보안 컨텍스트를 생성 및 유지한다. 예를 들면, 하나의 서플리컨트는 제 1 액세스 기술과 연관된 제 1 보안 컨텍스트를 생성할 수 있고, 제 2 서플리컨트는 제 2 액세스 기술과 연관된 제 2 보안 컨텍스트를 생성할 수 있다. 하나 이상의 서플리컨트들은 실행 가능 인스트럭션 코드, 하드웨어, 또는 이들의 조합으로서 MS 내에서 구현될 수 있다.
도 1은 WiMAX 및 WiFi 네트워크들 사이의 인터워킹을 위한 네트워크 기준 모델(NRM)(100)의 예를 도시한다. 용어 "네트워크" 또는 "통신 네트워크"가 특정 액세스 기술에 관련하여 사용되지만, 다중 액세스 기술들이 전체 "통신 시스템"의 일부분인 것으로 고려되는 것이 이해된다.
NRM(100)에서, 동일한 다중모드 무선 단말기(통신 디바이스) MS(102)가 WiMAX 및 WiFi 기술들 양자에 대한 액세스를 지원하고, WiMAX 네트워크에 대한 액세스가 R1 무선 인터페이스를 통한다고 가정된다. 네트워크 액세스 제공자(NAP)(106)에 속하는 액세스 서빙 네트워크(ASN)(104)는, 백홀 IP(Internet Protocol) 기반 R3 인터페이스를 통해 네트워크 서비스 제공자(NSP)(110)에 속하는 코어 서빙 네트워크(CSN)(108)에 상호 접속을 제공한다.
IP 세션은 CSN(108)에서 MS(102) 및 홈 AAA 서버(112) 사이의 성공적인 인증을 통해 허가된다. 이러한 성공적인 인증의 결과로서, AAA 서버(112) 및 MS(102)는 액세스 및 이동성 보안(mobility security)에 대한 보안 연관들의 세트(보안 컨텍스트), 즉, 비밀 키들을 상호 간에 생성한다. 하나의 실시예에서, 그러한 보안 연관은 WiMAX NWG 스테이지 3 규격 WMF-T33-001-R015v01_Network-Stage3-Base에 정의된 바와 같이 생성되고, 상기 규격의 개시는 본원에 참조로서 통합된다. 그러나, 본 발명은 이러한 특정 보안 연관들 또는 컨텍스트들을 통한 사용으로 제한되지 않는다.
액세스 보안 연관은, AAA 서버(112)에 의해 ASN-GW(access service network gateway) 서버(114) 내의 인증자 기능(Authenticator function)으로 전달되는 마스터 세션 키(MSK)에 기초한다. 인증자는 R1 무선 인터페이스에 대한 암호화 및 무결성 보호(integrity protection)를 위한 특별 키들의 세트를 생성하기 위해 MSK를 사용한다.
MSK 이외에, MS(102) 및 AAA 서버(112)는 또한 AAA 서버를 결코 떠나지 않는 EMSK(Extended Master Session Key)를 생성한다. 이러한 EMSK는 이동성을 보호하기 위한 특별 루트 키, MIP-RK(mobile IP root key)를 생성하는데 사용된다. 그후, MIP-RK는 모바일 IP 노드들 사이의 모바일 IP 메시지들의 보안 시그니처들을 생성하는 방법으로 모바일 IP 시그널링(2002년 8월, IETF RFC 3344, IP Mobility Support for IPv4(MIPv4)에 의해 정의됨, 이러한 개시는 본원에 참조로서 통합됨)을 보호하는데 사용된다. IPv6에 대한 IP 모바일 지원이 2004년 6월, RFC 3775, IP Mobility Support for IPv6(MIPv6)에 정의되고, 이러한 개시가 본원에 참조로서 통합된다는 것을 유의하라.
상세하게, MS(102) 내의 모바일 노드(MN) 및 CSN(108) 내의 홈 에이전트(HA)(116) 사이의 메시지는, MIP-RK부터 생성된 MN-HA 키를 사용하는 MN-HA 인증 확장에 의해 보호된다. MN 및 ASN-GW 서버(114) 내의 외부 에이전트(FA) 사이의 메시지는, MIP-RK 등으로부터 생성된 MN-FA 키를 사용하는 MN-FA 인증 확장에 의해 보호된다.
"간단한" IP 모바일 단말기를 지원하기 위해, MN 기능은 또한 액세스 네트워크 내의 노드에 배치될 수 있다. 이것은, 모바일이 하나의 ASN으로부터 또 다른 것으로 이동함에 따라 모바일을 뒤따르고, 모바일을 HA에 재등록하고, 따라서 HA 상의 IP 세션의 연속성을 유지하는 PMIP(Proxy Mobile IP Function)로 불린다. PMIP MN에 대한 MN-HA 키는, EAP 액세스 인증의 성공적인 결과를 나타내는 AAA 시그널링을 사용하여 ASN 내의 PMIP MN으로 항상 전달된다.
도 2a는 액세스 기술이 WiMAX인 경우에 대한 초기 네트워크 진입 절차(200)의 하나의 실시예를 예시한다. 도시된 바와 같이, 절차(200)에 열거된 단계들을 참조하면, 다음과 같다.
1. WiMAX MS(통신 디바이스)(201)는, 예를 들면, WiMAX 포럼 네트워크 아키텍처 규격, 릴리즈 1.5에 따라 WiMAX BS(기지국)(202)에 접속하고, WiMAX 접속을 설정하고, 이러한 개시는 본원에 참조로서 통합된다.
2. MS(201)는 다음의 EAP-TLS/TTLS/CHAPv2/AKA 중 어느 하나를 포함할 수 있는 PKMv2 및 EAP 방법을 사용하는 WiMAX ASN(203)을 통해 인증한다. MS(201)는 액세스 인증 동안에 NAI를 사용하여 그 자신을 식별한다. WiMAX ASN(203)은 액세스 기술을 식별하기 위해 AAA 요청 내에 NAS 형태를 포함시킨다. 이러한 EAP 인증 및 허가 단계의 종료 시에, MSK는 MS(201)에서 생성되고, AAA(205)로부터 WiMAX ASN(203)(ASN-GW 인증자)로 전달된다.
3. 그후, MS(201)는 802.13(WiMAX) 네트워크에 등록한다.
4. 그후, MS(201)는 DSA(Dynamic Service Addition) 요청/응답을 사용하여 서비스 흐름을 수립하고, 또한 ASN(203)으로의 데이터 경로 등록을 완료한다.
5. MS는 호스트 IP 구성을 위해 DHCP(Dynamic Host Configuration Protocol) 서버를 발견하기 위해 DHCPDISCOVER 메시지를 전송한다.
6. ASN(203) 내의 MAG(Mobility Access Gateway) 내의 PMIPv4 클라이언트 또는 PMIPv6 클라이언트는 등록 절차를 개시하기 위해 트리거링된다. EAP 인증 절차 동안에 사용되는 동일한 NAI는 MIP RRQ 또는 바인딩 업데이트 메시지에서 사용된다. 선택적인 동시 바인딩이 지원 및 실시되지 않는다면, PMIPv4 RRQ 메시지에서, 'S' 비트는 "0"으로 설정된다. PMIPv6 PBU 메시지에 대해, 핸드오프 표시자 옵션은 값 "1"로 설정될 수 있고(새로운 인터페이스를 통해 첨부), 액세스 기술 형태 옵션은 RFC 5213에 정의된 바와 같이 값 "5"로 설정될 수 있고, 이러한 개시는 본원에 참조로서 통합된다. 필드들의 나머지는 WiMAX 포럼 네트워크 아키텍처, 릴리즈 1.5, PMIPv6 스테이지 3 규격에 따라 초기화되고, 이러한 개시는 본원에 참조로서 통합된다. 일반적으로, MIPv4 용어에 관련하여 알려진 바와 같이, MIPv4 클라이언트, 외부 에이전트(FA), 및 홈 에이전트(HA)가 존재한다. MIPv6 용어에서, MIPv6 클라이언트 및 홈 에이전트(HA)가 존재하지만, FA는 존재하지 않는다. 프록시 MIPv4에서, MIPv4 클라이언트는 FA와 공존한다. PMIPv6에서, PMIPv6 클라이언트는 MAG라 불리는 네트워크 엘리먼트 내에 배치되고, HA는 LMA(Local Mobility Agent)로 불린다.
7. SPI(Security Parameter Index)에 의해 식별된 MN-HA 키가 이용 불가하면, HA(204)는 AAA(205)로부터 MN-HA 키를 요청한다.
8. MN-HA SPI와 연관된 MN-HA 키는 MN-HA AE 확인을 위해 HA(204)로 반환된다.
9. HA/LMA(204)는 PMIP RRP 또는 PMIP PBU 메시지로 응답한다. 일단 MN-A AE가 확인되면, HA/LMA(204)는 IP 어드레스를 MS(201)에 할당한다. MIP RRQ/PBU 내의 할당된 HoA 값이 0.0.0.0이면, HA(204)는 HoA를 할당하고, 그렇지 않다면, PMIP 등록 요청/PBU 내의 HoA가 사용된다. 이것이 MS(201)에 대한 초기 엔트리이면, HA/LMA(204)는 MS(201)에 대한 바인딩 캐시(binding cache)를 생성한다. 이러한 지점에서, PMIP 터널은 ASN(203) 및 HA/LMA(204) 사이에서 설정된다.
10. ASN(203) 내의 계정 클라이언트는 Acct-요청(시작) 메시지를 AAA(205)로 전송한다.
11. 계정 요청 메시지 수신 시에, AAA(205)는 Acct-응답 메시지를 계정 클라이언트로 전송한다.
12. ASN(203) 내의 DHCP 프록시는 DHCPOFFER 메시지를 MS(201)로 전송한다.
13. MS(201)는 DHCPOFFER에서 수신된 어드레스 정보와 함께, DHCPREQUEST 메시지와 함께 수신된 제 1 DHCPOFFER 메시지에 대해 DHCP 프록시로 응답한다.
14. DHCP 프록시는, DHCPACK 메시지를 전송함으로써, 이러한 IP 어드레스 및 RFC 2131에서 정의된 바와 같은 다른 구성 파라미터들의 사용을 확인 응답하고, 이러한 개시는 본원에 참조로서 통합된다.
15. MS(201)는, 업링크/다운링크 트래픽이 교환될 수 있도록 이제 WiMAX 네트워크에 접속된다.
MS(102)가, 본 예에서, IEEE 802.11 WiFi 프로토콜과 같은 또 다른 액세스 기술을 통해 동작할 때, 유사한 개념이 사용된다. EAP 액세스 인증의 결과로서 생성된 MSK가 IWK 기능(120)으로 불리는 특별 인터페이스 노드의 무선 인터페이스 기능(WIF)(118)에 위치되는 인증자 기능으로 전달되는 것을 제외하고, EAP 인증은 MS(102) 및 AAA 서버(112) 사이에서 여전히 실행된다. IWK(120)에 위치된 PMIP 기능에 대한 MN-HA 키는 또한 R3+ 인터페이스를 통해 AAA(112)로부터 전달된다.
도 2b는, 액세스 기술이 WiFi일 때에 대한 초기 네트워크 진입 절차(220)의 하나의 실시예를 예시한다. 도시된 바와 같이, 절차(220) 내의 열거된 단계들을 참조하면, 다음과 같다.
1. WiFi STA(통신 디바이스)(221)는 스위칭 온되고, WiFi 시그널링을 포착하고, 그후, 네트워크 발견 및 선택을 수행한다.
2. STA(221)는 WiFi AN(222)과의 802.11 연관을 설정한다.
3. STA(221)는 EAP-TLS 및 EAP-AKA와 같은 다양한 EAP 방법 및 802.1X/EAPOL을 사용하여 WiFi AN(222)과 인증한다. WiFi AN(222)은 EAP 메시지를 WIF(223) 내의 AAA 프록시로 전송하고, 그후, AAA 프록시는 WiFi STA(221)를 대신하여 인증을 용이하게 한다. WIF(223)로부터의 AAA 요청은 액세스 기술을 식별하는 NAS 형태를 포함한다. 인증 동안에, AAA 서버(225)에서 생성된 MSK는 WiFi AN(222)으로 전송되고, 그후, WiFi 인증 종료 시에, PMK 또는 쌍방향 마스터 키(Pairwise Master Key)(공중 인터페이스 보안을 위해 사용되는 부수적인 키)가 WiFi AN(222)에서 MSK로부터 유도된다.
WiMAX-세션-ID 및 CUI(Chargeable User Identity)가 WIF(223)에서 계정 클라이언트로 전달된다.
4. 그후, STA(221)는 WiFi AN(222)에서 인증자와 4-방향 핸드쉐이크(four-way handshake)를 실시한다. 4-방향 핸드쉐이크 절차 동안에, 새로운 쌍방향 마스터 키(PTK)가 PMK로부터 유도된다. 4-방향 핸드쉐이크의 성공적인 완료 시에, 802.1x 포트가 차단 해제된다.
5. STA(221)는 호스트 IP 구성에 대한 DHCP 서버를 발견하기 위해 DHCPDISCOVER 메시지를 전송한다.
6. WIF(223) 내의 FA/MAG는 PMIP 등록 절차를 개시하도록 트리거링된다. EAP 인증 절차 동안에 사용된 동일한 NAI는 RRQ/바인딩 업데이트 메시지에서 사용된다. 선택적인 동시 바인딩이 지원 및 실시되지 않는다면, RRQ 메시지에서, 'S' 비트는 "0"으로 설정될 수 있다. PBU 메시지에 대해, 핸드오프 표시자 옵션은 값 "1"(새로운 인터페이스를 통해 첨부)로 설정될 수 있고, 액세스 기술 형태 옵션은 RFC 5213에 정의된 바와 같이 값 "4"(IEEE 802.11a/b/g)로 설정될 수 있다. 필드들의 나머지는 상술된 바와 동일한 방식으로 초기화된다.
7. SPI에 의해 식별된 MN-HA 키가 이용 불가하면, HA(224)는 AAA(225)로부터 MN-HA 키를 요청한다.
8. MN-HA SPI와 연관된 MN-HA 키는 MN-HA AE 확인을 위해 HA(224)로 반환된다.
9. HA/LMA(224)는 RRP/PMIP PBU 메시지로 응답한다. 일단 MN-A AE가 확인되면, HA/LMA(224)는 IP 어드레스를 STA(221)에 할당한다. MIP RRQ/PBU 내의 할당된 HoA 값이 0.0.0.0이면, HA(224)는 HoA를 할당하고, 그렇지 않다면, PMIP 등록 요청/PBU 내의 HoA가 사용된다. 이것이 STA(221)에 대한 초기 엔트리이면, HA/LMA(224)는 STA(221)에 대한 바인딩 캐시를 생성한다. 이러한 지점에서, PMIP 터널은 WIF(223) 및 HA/LMA(224) 사이에 설정된다.
10. WIF(223)에서의 계정 클라이언트는 Acct-요청(시작) 메시지를 AAA(225)로 전송한다.
11. 계정 요청 메시지 수신 시에, AAA(225)는 Acct-응답 메시지를 WIF(223)에서의 계정 클라이언트로 전송한다.
12. WIF(223) 내의 DHCP 프록시는 DHCPOFFER 메시지를 STA(221)로 전송한다.
13. STA(221)는 DHCPOFFER에서 수신된 어드레스 정보와 함께, DHCPREQUEST 메시지와 함께 수신된 제 1 DHCPOFFER 메시지에 대해 DHCP 프록시로 응답한다.
14. WIF(223) 내의 DHCP 프록시는 이러한 IP 어드레스 및 다른 구성 파라미터들의 사용을 확인 응답한다.
15. STA(221)는 업링크/다운링크 트래픽이 교환될 수 있도록 이제 WiFi 네트워크에 접속된다.
또 다른 액세스 기술을 통해 여전히 동작하면서, 통신 디바이스(MS/STA)가 하나의 액세스 기술 상으로 사전등록하는 것이 바람직할 수 있다는 것이 인식된다. 이것은 현재 서빙 액세스 기술의 시그널링 캡슐에서 타겟 액세스 기술의 시그널링을 터널링하고, IWK 기능을 통해 이러한 캡슐화된 시그널링을 타겟 액세스 기술에 전달함으로써 실시될 수 있다.
그러나, 기존의 EAP 동작에 따라, 이러한 시그널링이 타겟 액세스 기술에 도달함에 따라, 그는 액세스를 인증하려고 시도하고, 그렇게 하는 동안에, 새로운 MSK 및 새로운 EMSK를 포함하는 새로운 보안 연관을 생성한다. 새로운 MSK는 IWK로 전달되고, MS/STA가 타겟 기술로의 핸드오프를 실제 실행할 때까지 그의 인증자 내에 보유될 수 있다. 그러나, 기존의 EAP 동작에서, AAA 내의 EMSK는 현재 세션과 연관된 현재 활성 EMSK를 대체할 것이고, MIP-RK 등과 같은 EMSK로부터 계산된 모든 부수적인 키들이 또한 재계산될 것이다.
이것은 네트워크에 의해 가정된 보안 연관들, 모바일에 의해 취급된 보안 연관들 사이의 차이를 초래할 것이고, 그래서 접속이 중단될 것이다.
이러한 문제점을 해결하기 위해, 본 발명의 원리는 이롭게도 다중 액세스 기술들에 대한 동시 모바일 등록들을 허용하도록 다중 활성, 명백히 구현 구별 가능한, 보안 연관(컨텍스트)을 보존하도록 동작한다.
본 발명의 예시적인 실시예에 따라, AAA 서버(112)가 액세스 인증에 대한 요청을 수신할 때, 이는 이러한 요청이 어떠한 액세스 기술로부터 오는 것인지를 나타내는 인증자(ASN-GW 서버(114) 또는 WIF(118) 내의)의 NAS 형태(네트워크 액세스 서버)를 점검한다. AAA 반경(2000년 6월, IEFT RFC 2865, Remote Authentication Dial In User Service, 이러한 개시가 본원에 참조로서 통합됨) 및 지름(2005년 8월, IETF RFC 4005, Diameter Network Access Server Application, 이러한 개시가 본원에 참조로서 통합됨) 시그널링의 표준 속성이다. 기술특정 정보를 갖는 AAA 시그널링을 개선하기 위한 몇몇의 VSA(Vendor-Specific Attributes)는 각각의 액세스 기술 표준들에서 정의된다. 예를 들면, WiMAX 포럼은 그의 Stg.3 문헌 WMF-T33-00x-R015v01-J_Network-Stage3_V&V에서 그의 특정 VSA들을 정의하고, 이러한 개시는 본원에 참조로서 통합된다.
동작 시에, 이것이 초기 네트워크 액세스이고, AAA 서버가 이러한 모바일에 대한 임의의 현재 활성 보안 컨텍스트를 갖지 않는다면, AAA 서버는 보통 EAP 인증 절차를 실시하고, 결과적인 보안 컨텍스트를 활성으로서 저장한다. 즉, 상술된 바와 같이, MSK가 생성되고 인증자로 전달되고, EMSK가 생성 및 저장되고, EMSK와 연관된 특별 SPI(Security Parameter Index)가 생성 및 저장되고, MIP-RK 및 그의 SPI가 생성 및 저장되고, MN-HA 및 그의 연관된 MN-HA SPI가 생성 및 저장된다.
동작 시에, AAA 서버가 이러한 액세스 기술에 대한 보안 컨텍스트를 이미 갖는다면, AAA 서버는 재인증을 실시하고, 오래된 컨텍스트를 새로운 컨텍스트로 대체한다.
그러나, 본 발명의 실시예에 따른 개선된 동작에서, AAA 서버가 이러한 액세스 기술에 대한 보안 컨텍스트를 이미 갖는다면, AAA 서버는 재인증을 실시하고, 이러한 액세스 기술에 대해서만 오래된 컨텍스트를 새로운 컨텍스트로 대체하여, 온전한 다른 이용 가능한 보안 컨텍스트를 남겨둔다.
본 발명의 실시예에 따른 부가적인 개선된 동작에서, AAA 서버가 이러한 모바일에 대한 보안 컨텍스트를 이미 갖지만, 요청이 또 다른 액세스 기술로부터 온다면, AAA 서버는 모바일이 타켓 액세스 기술로부터 액세스할 수 있고 액세스를 위해 허가된다는 것을 검증하기 위해 이러한 모바일의 가입 기록을 점검하고, 그렇지 않다면, 요청을 거부한다.
본 발명의 실시예에 따른 또 다른 개선된 동작에서, 요청이 다중 모드 MS와 연관되고, 액세스 기술이 이러한 모바일에 대해 지원 및 허가되면, AAA 서버는 EAP 액세스 인증을 실시하고, 현재 서빙 기술에 대한 이미 존재하는 컨텍스트와 함께 새로운 컨텍스트를 저장한다.
본 발명의 실시예에 따른 부가적인 개선된 동작에서, 요청이 HA에 의해 요청된 MN-HA 키 등과 같은 컨텍스트관련 파라미터에 대해 AAA 서버로 갈 때, AAA 서버는 요청에 포함된 연관된 SPI에 기초하여 어떠한 컨텍스트가 사용되는지를 결정할 것이다.
본 발명의 실시예에 따른 부가적인 개선된 동작에서, 특정 보안 컨텍스트가 그의 수명 만료, 특정 액세스 기술에 대한 재등록, 또는 임의의 정책관련 제한으로 인해 만료될 때, AAA 서버는 다른 활성 컨텍스트를 유효하게 유지하면서 이러한 특정 컨텍스트를 삭제한다.
본 발명의 실시예에 따른 부가적인 개선된 동작에서, 세션이 종료될 때, 모든 관련 보안 컨텍스트들이 삭제된다.
유사한 기능 로직이 다중모드 모바일 디바이스(MS)에 적용되고, 다중모드 모바일 디바이스(MS)는 그가 특정 액세스 기술에 액세스하고 재등록하고 그에 대해 인증될 때 특정 액세스 기술에 대한 보안 컨텍스트를 생성한다.
따라서, 본 발명의 예시적인 원리는, 동일한 세션 동안에 임의의 주어진 시간에서 MS(통신 디바이스) 및 통신 시스템 사이의 다수의 활성 보안 연관들을 생성 및 유지하고, 이러한 컨텍스트, 그들의 사용, 그들의 대체, 및 그들의 반대(deprecation)를 명확히 구별하기 위한 방법을 제공한다. 이와 같이, 본 발명의 예시적인 원리는, 하나의 기술로부터 또 다른 기술로의 핸드오프의 성능을 희생하지 않고 다수의 타겟 기술들에 대한 사전등록을 허용한다.
따라서, 본 발명의 예시적인 원리에 따라, 활성 모드에서 및 WiMAX 또는 WiFi 액세스 네트워크 중 어느 하나에 접속된 동안에, WiMAX/WiFi 통신 디바이스는 대안적인 액세스 기술(즉, WiFi 또는 WiMAX)에 대해 사전등록 및 사전인증할 수 있다. 활성 서빙 네트워크에 대한 보안 컨텍스트를 보존하기 위해, AAA는 동일한 디바이스에 대해 제 2 보안 컨텍스트를 생성하고, 제 2 보안 컨텍스트는 사전등록 및 사전인증이 수행되는 이종 액세스 기술과 연관된다.
동일한 NAI(network access identifier)를 사용하여 각각의 액세스 기술에 대해 고유한 보안 컨텍스트를 생성하기 위해, 각각의 NAS는 AAA 요청 메시지 내의 그의 형태를 인증 네트워크로 보고한다. AAA가 AAA 요청 메시지를 수신할 때, AAA는 액세스 네트워크의 보고된 형태, 예를 들면, 네트워크 액세스 서버(NAS) 형태를 점검하고, 모바일의 NAI에 기초하여, 요청이 초기 네트워크 액세스 또는 디바이스에 대한 부가적인 보안 컨텍스트를 요구하는 사전등록을 위한 것인지를 결정한다.
초기 네트워크 액세스에 대해, AAA는 EAP 인증 절차를 실시하고, 결과적인 보안 컨텍스트 및 그의 연관된 보안 파라미터 인덱스들(SPI)을 디바이스에 대해 활성인 것으로 저장한다. 마찬가지로, MS는 계산된 보안 컨텍스트와 초기 네트워크 액세스를 연관시킨다.
이종 액세스 기술에 대한 사전등록 동안에, 듀얼 모드 디바이스 내의 서플리컨트는 이종 액세스 기술과 연관된 제 2 보안 컨텍스트를 생성한다(이것은 제 2 서플리컨트에 의해 또한 취급될 수 있음). 마찬가지로, AAA는 디바이스가 사전등록된 액세스 기술과 연관된 동일한 세션에 대한 제 2 보안 컨텍스트를 생성한다.
활성 세션 동안에, AAA가 이미 존재하는 보안 컨텍스트, 즉, 동일한 NAI 및 동일한 액세스 기술(NAS 형태를 통해 표시됨)과 연관된 동일한 액세스 기술로부터 AAA 요청을 수신하면, AAA는 재인증을 실시하고, 보안 컨텍스트를 새롭게 생성된 것으로 대체한다.
AAA가 디바이스에 대한 보안 컨텍스트를 이미 갖지만, AAA 요청이 이종 액세스 기술로부터 오면, AAA는 디바이스가 타겟 액세스 기술로부터의 액세스에 대해 허가된다는 것을 검증하기 위해 디바이스의 가입 기록을 점검하고, 이러한 경우에, AAA는 EAP 액세스 사전-인증을 실시한다. EAP 인증의 성공적인 완료 시에, AAA는 그의 연관된 SPI를 갖는 제 2 보안 컨텍스트를 생성하고, 활성 보안 컨텍스트와 함께 이를 저장한다.
모바일이 이종 액세스 기술을 액세스하도록 허가되지 않는다면, AAA는 AAA 요청을 거부한다.
다수의 네트워크 형태들을 액세스할 수 있는 디바이스(다중모드 디바이스)에 대해, 특정 보안 컨텍스트가 그의 수명 만료 또는 액세스 기술들 중 하나에 대한 등록 취소로 인해 만료될 때, AAA 및 MS/STA는 다른 유효 컨텍스트들을 보유하면서 만료된 컨텍스트를 삭제한다.
다중모드 디바이스에 대해, 세션이 종료될 때, 모든 관련된 보안 컨텍스트가 AAA, NAS들 및 MS에서 삭제된다.
도 2c는 WiMAX 네트워크로부터 802.11i WiFi 네트워크로의 핸드오버 절차의 하나의 실시예를 예시한다. 이러한 시나리오에서, 초기에, MS/STA 듀얼모드 단일 라디오(유의: 단일 라디오는 단지 하나의 전송기 WiFi 또는 WiMAX가 임의의 주어진 시간에서 전송할 수 있다는 것을 의미함)가 WiMAX 네트워크에 접속된다고 가정된다. MS가 WiFi 네트워크의 이용 가능성 및 인터워킹 기능에 관하여 학습한다고 또한 가정된다. 이러한 지점에서, 하나 이상의 결정 기준들에 기초하여, MS/STA는 WiFi 네트워크로의 핸드오버를 결정한다. IEEE 802.11i 기반 WiFi 네트워크에 대해 WiMAX 대 WiFi 핸드오버 절차는, 절차(240)에 도시된 바와 같이, 다수의 단계들로 구성된다(유사한 단계들이 다른 형태의 WiFi 네트워크들에 대해 간단한 방식으로 실시될 수 있음을 유의하라).
0 단계: 초기 WiMAX 네트워크 진입. 모바일 디바이스(MS/STA(241))는 초기에 WiMAX 액세스 네트워크(242)에 접속된다. 초기 WiMAX 네트워크 진입 절차는 도 2a와 관련하여 상세히 상술되었다. 초기 네트워크 진입 동안에 및 성공적인 EAP 절차 후에, MSK가 생성된다. 우리는 이를 MSK1(제1 보안 컨텍스트의 부분)로서 부른다.
1 단계: 타겟 네트워크 검출 및 WiFi-SFF(Signaling Forwarding Function) 발견. MS/STA(241)는 타겟 AP(Access Point)를 결정하기 위해 WiFi 네트워크 신호를 검출하고, 그는 DHCP 또는 DNS 절차를 통해 WiFi-SFF(243)의 어드레스를 발견한다.
2 단계: 터널 설정 및 EAP-인증:
1. MS/STA(241)가 WiFi-SFF(243)의 어드레스를 발견한 후에, MS/STA(241)는 WiFi-SFF(243)에 대한 IP 터널을 설정한다.
2. 터널을 통한 EAP-인증 절차는 IEEE 802.11i 사양에 따르고, 이러한 개시는 본원에 참조로서 통합되고, 아래에 기재된 바와 같다.
ㆍ MS/STA(241)는 개방 시스템 알고리즘을 갖는 인증 요청 프레임을 타겟 AP로 전송하고, 타겟 AP로부터 인증 응답 프레임을 수신한다. 프레임 내의 BSSID는 결정된 타겟 AP의 BSSID이어야 한다. WiFi-SFF(243)는 인증 요청 프레임 내의 BSSID에 기초하여 타겟 WiFi 액세스를 발견하고, 프레임을 타겟 네트워크로 전송한다.
ㆍ MS/STA(241)는, 연관 요청 프레임을 AP로 전송하고, AP로부터 연관 응답 프레임을 수신함으로써 타겟 AP에 연관시킨다.
ㆍ MS/STA(241)는 IP 터널을 통해 EAP인증을 개시하기 위해 EAPOL-시작 메시지를 타겟 WiFi 액세스 네트워크로 전송한다. WiFi SFF는 WiFi 액세스 네트워크(244)에 위치된 인증자로 이러한 메시지를 전송한다.
ㆍ MS/STA(241) 및 인증 서버(AAA)(247)는 MSK를 유도한다. 우리는 이것은 MSK2(제 2 보안 컨텍스트의 부분)라 부른다. 인증 서버(247)는 MSK2를 타겟 WiFi 네트워크(244) 내의 인증자로 전송하고, 임의의 이동성 키를 WIF(243)에서의 PMIP 클라이언트로 전송한다. 인증자는 802.11i 규격에 따라 MSK2로부터 PMK를 유도한다.
3. MS/STA(241)는 WiFi SFF(243)에 의해 초기에 생성된 IP 터널을 해제한다.
3 단계: WiFi로의 핸드오버
1. MS/STA(241)는 WiFi 액세스 네트워크로 핸드오버하기로 결정한다. WiFi 인터페이스가 작동되고, WiMAX 인터페이스는 유휴 모드로 들어갈 수 있다.
2. 듀얼 모드 단일-라디오 MA/STA(241)는 초기에 유도된 PMK와 맵핑하기 위한 RSN(Robust Security Network) 정보 내의 PMKID를 갖는 타겟 WiFi AN(244)으로 재연관 메시지를 전송한다.
4 단계: IP 세션 연속. MS/STA(241)는 HA(246)에서 앵커된 IP 어드레스를 요청 및 수신한다. 이러한 경우에, 요청 및 응답 메시지는 인터워크 기능 WIF(245) 내의 DHCP 프록시 & PMIP 클라이언트/MAG에 의해 프록싱된다.
도 2d는 WiFi 네트워크로부터 WiMAX 네트워크로의 핸드오버 절차의 하나의 실시예를 예시한다. 이러한 시나리오에서, 초기에, MS/STA가 WiFi 네트워크에 접속된다고 가정된다. MS가 WiMAX 네트워크의 이용 가능성 및 인터워킹 기능에 관하여 학습한다고 또한 가정된다. 이러한 지점에서, 하나 이사의 결정 기준에 기초하여, MS/STA는 WiMAX 네트워크로 핸드오버하도록 결정한다. WiFi 대 WiMAX 절차들은 절차(260)에 도시된 바와 같이 다수의 단계들로 구성된다.
0 단계: 초기 WiFi 네트워크 진입(도 2d에 도시된 단계 1). 초기에, MS/STA(261)는 WiFi 네트워크에 접속된다. 초기 WiFi 네트워크 진입 절차는 도 2b에 관련하여 상술되었다. 초기 네트워크 진입 동안에 및 성공적인 EAP 절차 후에, MSK가 생성된다. 우리는 이를 MSK1(제 1 보안 컨텍스트의 부분)이라 부른다. 나중에, MS/STA(261)는 WiMAX 네트워크의 이용 가능성을 검출하고, 인터워킹 지원을 학습한다. 이러한 지점에서, 하나 이상의 결정 기준에 기초하여, MS/STA는 WiMAX 네트워크로 핸드오버하기로 결정한다. WiFi 대 WiMAX 단일 라디오 핸드오버에 대한 전체 절차는 4 개의 단계들로 구성된다.
1 단계: 타겟 네트워크 검출 및 WiMAX-SFF 발견(도 2d에 도시된 단계 2). MS/STA(261)는 WiMAX 네트워크 신호를 검출하고, MS/STA(261)는 WiMAX SFF(263)의 어드레스를 발견한다.
2 단계: 터널 설정 및 사전-초기 네트워크 진입, 즉, 사전등록 단계(도 2d에 도시된 단계들 3 내지 15). MS/STA(261)이 WiMAX-SFF(263)의 어드레스를 발견한 후에, MS/STA(261)는 WiMAX 네트워크 내의 WiMAX-SFF(263)로의 터널을 수립한다. 그후, MS/STA(261)는 MS/STA(261) 및 WiMAX-SFF(263) 사이의 터널을 통해 초기 WiMAX 네트워크 진입 절차를 수행한다. 성공적인 EAP 절차 후에, MSK가 생성되고, AAA(267)에 의해 전송된다. 우리는 이것을 MSK2(제 2 보안 절차의 부분)이라 부른다.
3 단계: 활성 또는 유휴 대 활성을 포함하는 라디오 핸드오버 동작(도 2d에 도시된 단계들 16 내지 32). MS/STA(261)는 ASN(265) 내에 존재하는 타겟 BS(264)로 핸드오버 절차를 수행한다. MS/STA(261)가 ASN(265) 내의 타겟 BS(264)로 핸드오버하기로 결정할 때, MS/STA(261)는 WiMAX로의 "SR 핸드오버 동작" 절차를 수행한다.
4 단계: 네트워크 리소스 해제. MS/STA가 위의 단계에서 HA(266)로부터 IP 어드레스를 획득한 후에, 이전 네트워크는 네트워크 리소스를 해제한다.
하나 이상의 예시적인 실시예들에서, 표준 단계들 및 호출 흐름이 WiMAX 포럼의 네트워크 워킹 그룹에 의해 정의된 3G-WiMAX 핸드오버 절차들/호출 흐름과 유사하거나 이와 정렬될 수 있다는 것을 유의하라.
도 3은, 본 발명에 따른, 다중 액세스 기술 환경에서 사전등록 보안 지원을 구현하기에 적절한 통신 시스템의 일부분의 일반화된 하드웨어 아키텍처(300)를 예시한다. 도 3이 단지 2 개의 엔티티들만을 도시하지만, 다른 엔티티들이 동일하거나 유사한 구성을 가질 수 있다는 것이 이해되어야 한다. 따라서, 상술된 사전등록 보안 지원에 관련하여, 2 개의 엔티티들은 모바일 가입자 통신 디바이스(도 1의 MS(102) 및 도 2a 내지 도 2d의 MS/STA) 및 AAA 서버(도 1의 AAA 서버(112) 및 도 2a 내지 도 2d의 AAA)일 수 있다. 그러나, 도 1에 도시된 다른 컴포넌트들이 도 3의 컴퓨팅 디바이스에 도시된 바와 같은 동일하거나 유사한 아키텍처로 구현될 수 있다. 따라서, 간략히 하기 위해, 본 발명의 방법들에 참여할 수 있는 모든 디바이스들이 도 3에 도시되는 것은 아니다.
도시된 바와 같이, (302)로 지정된 통신 디바이스 및 (304)로 지정된 AAA 서버는 통신 시스템 부분(306)과 연관된 적어도 2 개의 액세스 네트워크들을 통해 연결된다. 이것은 도 1에 도시된 다른 컴포넌트들 중 하나 이상의 컴포넌트들을 포함할 수 있고, 네트워크 운영자에 의해 운영되는 셀룰러 통신 네트워크와 같은 공공액세스 가능한 광역 통신 네트워크를 포함할 수 있다. 그러나, 본 발명은 특정 형태의 네트워크로 제한되지 않는다. 통상적으로, 통신 디바이스는, 이에 제한되지 않지만, 셀룰러 폰, 스마트 폰, 데스크톱 폰, PDA(personal digital assistant), 랩톱 컴퓨터, 개인용 컴퓨터 등일 수 있다.
당업자에게 용이하게 명백한 바와 같이, 서버 및 통신 디바이스는 컴퓨터 프로그램 코드의 제어 하에서 동작하는 프로그래밍된 컴퓨터로서 구현될 수 있다. 컴퓨터 프로그램 코드는 컴퓨터 판독 가능 저장 매체(예를 들면, 메모리)에 저장될 것이고, 상기 코드는 컴퓨터의 프로세서에 의해 실행될 것이다. 본 발명의 이러한 개시가 제공되면, 당업자는 본원에 기재된 프로토콜을 구현하기 위해 적절한 컴퓨터 프로그램 코드를 용이하게 생성할 수 있다.
그렇더라도, 도 3은 일반적으로 통신 시스템(306)과 연관된 적어도 2 개의 액세스 네트워크들을 통해 통신하는 각각의 디바이스/서버에 대한 예시적인 아키텍처를 예시한다. 도시된 바와 같이, 통신 디바이스(302)는 I/O 디바이스들(308-A), 프로세서(310-A), 및 메모리(312-A)를 포함한다. AAA 서버(304)는 I/O 디바이스들(308-B), 프로세서(310-B), 및 메모리(312-B)를 포함한다. 본원에 사용된 용어, "프로세서"가 이에 제한되지 않지만, 하나 이상의 신호 프로세서들, 하나 이상의 집적 회로들 등을 포함하여 중앙 처리 장치(CPU) 또는 다른 프로세싱 회로를 포함하는 하나 이상의 프로세싱 디바이스들을 포함하도록 의도된다는 것이 이해되어야 한다. 또한, 본원에 사용된 용어, "메모리"는 RAM, ROM, 고정 메모리 디바이스(예를 들면, 하드 드라이브), 또는 착탈 가능한 메모리 디바이스(예를 들면, 디스켓 또느 CDROM)과 같이, 프로세서 또는 CPU와 연관된 메모리를 포함하도록 의도된다. 또한, 본원에 사용된 용어, "I/O 디바이스들"은 데이터를 프로세싱 유닛에 입력하기 위한 하나 이상의 입력 디바이스들(예를 들면, 키보드, 마우스)뿐만 아니라, 프로세싱 유닛과 연관된 결과들을 제공하기 위한 하나 이상의 출력 디바이스들(예를 들면, CRT 디스플레이)을 포함하도록 의도된다.
따라서, 본원에 기재된 본 발명의 방법을 수행하기 위한 소프트웨어 인스트럭션 또는 코드는 연관된 메모리 디바이스들, 예를 들면, ROM, 고정 또는 착탈 가능 메모리 중 하나 이상의 메모리 디바이스들에 저장될 수 있고, 활용되도록 준비될 때, RAM으로 로딩되고, CPU에 의해 실행된다.
본 발명의 예시적인 실시예가 첨부된 도면을 참조하여 본원에 기재되었지만, 본 발명이 이러한 특정 실시예로 제한되지 않고, 본 발명의 범위 또는 사상으로부터 벗어나지 않고 당업자에 의해 다양한 다른 변경 및 수정이 이루어질 수 있다는 것이 이해되어야 한다.

Claims (10)

  1. 통신 시스템의 컴퓨팅 디바이스에서 사용하기 위한 방법 ? 상기 통신 시스템은 통신 디바이스가 상기 통신 시스템에 액세스하도록 허용하기 위해 2 개 이상의 액세스 기술들을 지원하고, 주어진 통신 디바이스가 제 1 액세스 기술을 통해 상기 통신 시스템에 액세스하도록 허용하기 위해 상기 컴퓨팅 디바이스에서 제 1 보안 컨텍스트(security context)의 적어도 일부분이 생성됨 ? 으로서,
    상기 주어진 통신 디바이스가 상기 제 1 액세스 기술을 통해 상기 통신 시스템에 계속해서 액세스할 수 있고 후속으로 제 2 액세스 기술을 통해 상기 통신 시스템에 액세스하기 위해 사전등록되도록 상기 제 1 보안 컨텍스트를 유지하면서, 상기 주어진 통신 디바이스가 적어도 제 2 액세스 기술을 통해 상기 통신 시스템에 액세스하기 위해 사전등록되도록 상기 주어진 통신 디바이스에 대한 적어도 제 2 보안 컨텍스트의 적어도 일부분을 상기 컴퓨팅 디바이스에서 생성하는 단계를 포함하는
    컴퓨팅 디바이스에서의 사용 방법.
  2. 제 1 항에 있어서,
    상기 컴퓨팅 디바이스가,
    상기 주어진 통신 디바이스에 대한 상기 제 1 액세스 기술로부터 재인증 절차(re-authentication procedure)의 개시를 요구하기 위한 요청을 수신하는 단계와,
    성공적인 재인증 절차에 응답하여, 상기 제 1 액세스 기술에 대해 상기 주어진 통신 디바이스에 대한 새로운 보안 컨텍스트의 적어도 일부분을 생성하는 단계와,
    상기 제 1 보안 컨텍스트를 상기 새로운 보안 컨텍스트로 대체하는 단계를 더 포함하는
    컴퓨팅 디바이스에서의 사용 방법.
  3. 제 1 항에 있어서,
    상기 컴퓨팅 디바이스가,
    상기 제 2 보안 컨텍스트를 생성하기 전에, 상기 주어진 통신 디바이스가 상기 제 2 액세스 기술로부터 액세스를 위해 허가되는지를 검증하는 단계를 더 포함하는
    컴퓨팅 디바이스에서의 사용 방법.
  4. 제 1 항에 있어서,
    상기 컴퓨팅 디바이스가,
    (i) 하나 이상의 보안 컨텍스트들이 만료될 때, 및 (ii) 상기 하나 이상의 보안 컨텍스트들이 상기 액세스 기술들 중 하나 이상의 액세스 기술들에 대해 등록 취소될 때 중 적어도 하나인 경우 상기 하나 이상의 보안 컨텍스트들을 삭제하는 단계를 더 포함하는
    컴퓨팅 디바이스에서의 사용 방법.
  5. 제 1 항에 있어서,
    상기 컴퓨팅 디바이스가,
    상기 통신 디바이스가 상기 통신 시스템에 액세스하는 세션이 종료될 때, 임의의 대응하는 보안 컨텍스트들을 삭제하는 단계를 더 포함하는
    컴퓨팅 디바이스에서의 사용 방법.
  6. 제 1 항에 있어서,
    상기 통신 디바이스는, 상기 통신 디바이스가 상기 제 1 액세스 기술을 통해 상기 통신 시스템에 액세스한 동일한 통신 세션에서 상기 제 2 액세스 기술을 통해 상기 통신 시스템에 액세스하는
    컴퓨팅 디바이스에서의 사용 방법.
  7. 제 1 항에 있어서,
    상기 컴퓨팅 디바이스는 상기 통신 시스템 내의 네트워크 서비스 제공자에 의해 관리되는 인증 서버(authentication server)를 포함하는
    컴퓨팅 디바이스에서의 사용 방법.
  8. 통신 시스템의 컴퓨팅 디바이스에서 사용하기 위한 장치 ? 상기 통신 시스템은 통신 디바이스가 상기 통신 시스템에 액세스하도록 허용하기 위해 2 개 이상의 액세스 기술들을 지원하고, 주어진 통신 디바이스가 제 1 액세스 기술을 통해 상기 통신 시스템에 액세스하도록 허용하기 위해, 제 1 보안 컨텍스트의 적어도 일부분이 상기 컴퓨팅 디바이스에서 생성됨 ? 로서,
    메모리와,
    상기 메모리에 연결된 프로세서를 포함하고,
    상기 프로세서는, 상기 주어진 통신 디바이스가 상기 제 1 액세스 기술을 통해 상기 통신 시스템에 계속해서 액세스할 수 있고 후속으로 제 2 액세스 기술을 통해 상기 통신 시스템에 액세스하기 위해 사전등록되도록 상기 제 1 보안 컨텍스트를 유지하면서, 상기 주어진 통신 디바이스가 적어도 제 2 액세스 기술을 통해 상기 통신 시스템에 액세스하기 위해 사전등록되도록 상기 주어진 통신 디바이스에 대한 적어도 제 2 보안 컨텍스트의 적어도 일부분을 상기 컴퓨팅 디바이스에서 생성하도록 구성되는
    컴퓨팅 디바이스에서의 사용 장치.
  9. 통신 시스템의 통신 디바이스에서 사용하기 위한 방법 ? 상기 통신 시스템은 상기 통신 디바이스가 상기 통신 시스템에 액세스하도록 허용하기 위해 2 개 이상의 액세스 기술들을 지원하고, 상기 통신 디바이스가 제 1 액세스 기술을 통해 상기 통신 시스템에 액세스하도록 허용하는 제 1 보안 컨텍스트의 적어도 일부분이 상기 통신 디바이스에서 생성됨 ? 으로서,
    주어진 통신 디바이스가 상기 제 1 액세스 기술을 통해 상기 통신 시스템에 계속해서 액세스할 수 있고 후속으로 제 2 액세스 기술을 통해 상기 통신 시스템에 액세스하기 위해 사전등록되도록 상기 제 1 보안 컨텍스트를 유지하면서, 상기 주어진 통신 디바이스가 적어도 제 2 액세스 기술을 통해 상기 통신 시스템에 액세스하기 위해 사전등록되도록 상기 주어진 통신 디바이스에 대한 적어도 제 2 보안 컨텍스트의 적어도 일부분을 상기 통신 디바이스에서 생성하는 단계를 포함하는
    통신 디바이스에서의 사용 방법.
  10. 통신 시스템의 통신 디바이스에서 사용하기 위한 장치 ? 상기 통신 시스템은 상기 통신 디바이스가 상기 통신 시스템에 액세스하도록 허용하기 위해 2 개 이상의 액세스 기술들을 지원하고, 상기 통신 디바이스가 제 1 액세스 기술을 통해 상기 통신 시스템에 액세스하도록 허용하는 제 1 보안 컨텍스트의 적어도 일부분이 상기 통신 디바이스에서 생성됨 ? 로서,
    메모리와,
    상기 메모리에 연결된 프로세서를 포함하고,
    상기 프로세서는, 주어진 통신 디바이스가 상기 제 1 액세스 기술을 통해 상기 통신 시스템에 계속해서 액세스할 수 있고 후속으로 제 2 액세스 기술을 통해 상기 통신 시스템에 액세스하기 위해 사전등록되도록 상기 제 1 보안 컨텍스트를 유지하면서, 상기 주어진 통신 디바이스가 적어도 제 2 액세스 기술을 통해 상기 통신 시스템에 액세스하기 위해 사전등록되도록 상기 주어진 통신 디바이스에 대한 적어도 제 2 보안 컨텍스트의 적어도 일부분을 상기 통신 디바이스에서 생성하도록 구성되는
    통신 디바이스에서의 사용 장치.
KR1020127004755A 2009-08-24 2010-08-20 다중기술 인터워킹에서의 사전등록 보안 지원 KR101395416B1 (ko)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US27500809P 2009-08-24 2009-08-24
US61/275,008 2009-08-24
US12/652,315 US8429728B2 (en) 2009-08-24 2010-01-05 Pre-registration security support in multi-technology interworking
US12/652,315 2010-01-05
PCT/US2010/046118 WO2011028442A2 (en) 2009-08-24 2010-08-20 Pre-registration security support in multi-technology interworking

Publications (2)

Publication Number Publication Date
KR20120051039A true KR20120051039A (ko) 2012-05-21
KR101395416B1 KR101395416B1 (ko) 2014-05-14

Family

ID=43606348

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020127004755A KR101395416B1 (ko) 2009-08-24 2010-08-20 다중기술 인터워킹에서의 사전등록 보안 지원

Country Status (6)

Country Link
US (1) US8429728B2 (ko)
EP (1) EP2471289B1 (ko)
JP (1) JP5378603B2 (ko)
KR (1) KR101395416B1 (ko)
CN (1) CN102484790B (ko)
WO (1) WO2011028442A2 (ko)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8429728B2 (en) 2009-08-24 2013-04-23 Alcatel Lucent Pre-registration security support in multi-technology interworking
US20110255465A1 (en) * 2010-04-16 2011-10-20 Chang Hong Shan Wimax voip service architecture
JP5378296B2 (ja) * 2010-05-10 2013-12-25 株式会社東芝 通信装置および通信方法
US8700782B2 (en) * 2010-08-18 2014-04-15 Microsoft Corporation Directing modalities over different networks in multimodal communications
US9210660B2 (en) * 2011-01-10 2015-12-08 Lg Electronics Inc. Method and device for transceiving data in a radio access system supporting multi-radio access technology
US9137742B1 (en) * 2011-02-23 2015-09-15 Sprint Communications Company L.P. Selective authentication of user devices in wireless communication networks
US9204473B2 (en) 2012-01-11 2015-12-01 Interdigital Patent Holdings, Inc. Method and apparatus for accelerated link setup
US9307470B2 (en) * 2012-07-10 2016-04-05 Futurewei Technologies, Inc. System and method for single radio handover
US9655012B2 (en) 2012-12-21 2017-05-16 Qualcomm Incorporated Deriving a WLAN security context from a WWAN security context
US9363671B2 (en) * 2013-03-15 2016-06-07 Qualcomm Incorporated Authentication for relay deployment
US9338136B2 (en) * 2013-12-05 2016-05-10 Alcatel Lucent Security key generation for simultaneous multiple cell connections for mobile device
US10433163B2 (en) * 2016-09-19 2019-10-01 Qualcomm Incorporated Techniques for deriving security keys for a cellular network based on performance of an extensible authentication protocol (EAP) procedure
US10904757B2 (en) 2018-12-20 2021-01-26 HCL Technologies Italy S.p.A. Remote pre-authentication of a user device for accessing network services
EP4147471A1 (en) * 2020-05-06 2023-03-15 Lenovo (Singapore) Pte. Ltd. Gateway function reauthentication

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3854930B2 (ja) * 2003-01-30 2006-12-06 松下電器産業株式会社 一元管理認証装置及び無線端末認証方法
JP4468449B2 (ja) * 2004-08-26 2010-05-26 株式会社エヌ・ティ・ティ・ドコモ セキュアハンドオーバをサポートする方法および装置
JP5059096B2 (ja) * 2006-03-31 2012-10-24 サムスン エレクトロニクス カンパニー リミテッド アクセスシステム間のハンドオーバー時の認証手順を最適化するシステム及び方法
JP4793826B2 (ja) * 2006-10-19 2011-10-12 Kddi株式会社 移動端末のハンドオーバにおける認証方法及びシステム
KR101490243B1 (ko) 2007-07-10 2015-02-11 엘지전자 주식회사 이종망간 핸드오버시 빠른 보안연계 설정방법
KR101467780B1 (ko) 2007-10-17 2014-12-03 엘지전자 주식회사 이기종 무선접속망간 핸드오버 방법
WO2009051405A2 (en) 2007-10-18 2009-04-23 Lg Electronics Inc. Method of establishing security association in inter-rat handover
US8166527B2 (en) * 2007-11-16 2012-04-24 Ericsson Ab Optimized security association database management on home/foreign agent
TWI410105B (zh) * 2008-12-01 2013-09-21 Inst Information Industry 無線網路架構之行動台、存取台、閘道裝置、基地台及其握手方法
US8094621B2 (en) * 2009-02-13 2012-01-10 Mitsubishi Electric Research Laboratories, Inc. Fast handover protocols for WiMAX networks
US8429728B2 (en) 2009-08-24 2013-04-23 Alcatel Lucent Pre-registration security support in multi-technology interworking

Also Published As

Publication number Publication date
US20110047592A1 (en) 2011-02-24
EP2471289B1 (en) 2019-09-25
WO2011028442A2 (en) 2011-03-10
WO2011028442A3 (en) 2011-04-28
EP2471289A2 (en) 2012-07-04
US8429728B2 (en) 2013-04-23
KR101395416B1 (ko) 2014-05-14
CN102484790A (zh) 2012-05-30
JP5378603B2 (ja) 2013-12-25
JP2013502879A (ja) 2013-01-24
CN102484790B (zh) 2015-03-18

Similar Documents

Publication Publication Date Title
KR101395416B1 (ko) 다중기술 인터워킹에서의 사전등록 보안 지원
US11463874B2 (en) User profile, policy, and PMIP key distribution in a wireless communication network
EP2174444B1 (en) Methods and apparatus for providing pmip key hierarchy in wireless communication networks
US8078175B2 (en) Method for facilitating a handover of a communication device, communication device, application server for facilitating a handover of a communication device, and communication system arrangement
KR101268892B1 (ko) 독립적인 네트워크들에 걸친 공통 인증 및 인가 방법
Dutta et al. Media-independent pre-authentication supporting secure interdomain handover optimization
US8887251B2 (en) Handover method of mobile terminal between heterogeneous networks
US20100228967A1 (en) Method of establishing security association in inter-rat handover
US20060251257A1 (en) Utilizing generic authentication architecture for mobile internet protocol key distribution
US20090067623A1 (en) Method and apparatus for performing fast authentication for vertical handover
US20110078442A1 (en) Method, device, system and server for network authentication
US20070191014A1 (en) Authentication mechanism for unlicensed mobile access
US20070124587A1 (en) Re-Keying in a Generic Bootstrapping Architecture Following Handover of a Mobile Terminal
KR20090093928A (ko) 무선 네트워크에서 컨텍스트 전송으로 외부 에이전트를 재할당하는 시스템
US8571211B2 (en) Method and apparatus for generating security key in a mobile communication system
Lopez et al. Network-layer assisted mechanism to optimize authentication delay during handoff in 802.11 networks
Zheng et al. Handover keying and its uses
Krishnamurthi et al. Using the liberty alliance architecture to secure IP-level handovers
Noaman et al. Improved EAP-SIM based authentication protocol with Pre-Authorization for FMIPv6 handover
Falk et al. WiMAX Network Security

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20180427

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20190417

Year of fee payment: 6