KR20130049812A

KR20130049812A - 공중 액세스 포인트

Info

Publication number: KR20130049812A
Application number: KR1020137006734A
Authority: KR
Inventors: 데니스 마이클 볼파노
Original assignee: 마이크로소프트 코포레이션
Priority date: 2004-01-09
Filing date: 2004-12-14
Publication date: 2013-05-14
Also published as: KR101365830B1; JP2010183610A; JP2010178357A; JP5330298B2; US20040141617A1; US9730070B2; US7986937B2; KR20100002283A; US20110321128A1; CN1910861B; CN1910861A; KR100933097B1; KR20060129005A; JP5253442B2; US20140337966A1; CN101707596A; KR20090081006A; JP5865578B2; CN101707596B; KR101002448B1

Abstract

본 발명은 IEEE Std 802.11 구성요소를 이용한 개인용 VLAN 브리지에 관한 것이다. 이는 공중 액세스 포인트로 언급되는 브리지로서, IEEE Std.802.11 아키텍처보다 공중 무선 데이터 네트워크를 실현하는데 더 적합하다. 본 발명은 공중 액세스 포인트를 상호 접속하는 브리지의 전송 테이블을 갱신 하기 위한 위치 갱신 프로토콜을 제공한다. 본 발명은 정교한 브리징으로 언급되는 보다 제어된 브리징을 위한 방법을 제공한다.

Description

공중 액세스 포인트{PUBLIC ACCESS POINT}

본 발명은 전자 네트워크로의 무선 공중 액세스에 관한 것이다. 보다 구체적으로, 본 발명은 전자 네트워크에 대한 물리적 액세스 포인트 내에서 가상 베이직 서비스 세트(virtual basic service set)의 생성을 허용하는 아키텍처에 관한 것이다.

공중 WiFi 핫스폿(hotspot)은 전통적인 IEEE Std.802.11-일부 제외된 컴플리언트 액세스 포인트를 이용하여 배치된다. 그러나, IEEE Std.802.11 아키텍처와 보안 모델은 공중 사용에는 부적합하다. 액세스 포인트(Access Point, 액세스 포인트)와 연계된 스테이션은 802.11 베이직 서비스 세트(이하 BSS) 또는 무선 LAN을 공유한다. BSS의 모든 요소(member)가 신뢰될 수 없는 한, BSS에서의 어떤 스테이션이라도 다른 요소에 의해 시작되는 공격(attack)으로부터 안전할 수 없다. 이러한 공격은 베이직 서비스와, 이 서비스를 받기 위해 가입자에 의해 제공되는 패스워드와 신용카드 정보 등의 기밀 정보의 절도(stealing)를 포함한다. 다른 공격은 네트워크 무결성(integrity)과 서비스의 품질 저하를 포함한다. 예를 들어, 공중 액세스 포인트와 연계된 스테이션으로 구성된, 공중 서비스 세트의 모든 요소를 신뢰할 수 있게 되기를 기대하는 것은 비현실적이다. 따라서, 스테이션은 공중 BSS에서 취약하다.

공중 BSS를 공유하는 것은 또 다른 위협(threat)을 제공한다. BSS의 요소는 다른 요소의 스테이션을 웜(worms)이나 트로이안 목마(Trojan horses)로 감염시킬 수 있다. 포트-기반 DCOM RPC 공격, MSBlaster, 및 Welchia 웜은 좋은 예이다. 이 위협은 전자적 세스풀(cesspool)인 공중 BSS로 더욱 심각해진다. 스테이션은 어떻게 이 위협에 대처할 것인가?

BSS에서의 스테이션은 개인 방화벽과 같은 방어물로 자체적으로 방어할 수 있다. 대안적으로, 공중 WiFi 공급자는 상호간 가입자들을 보호하는 보안 모델을 배치할 수 있다. 하나의 접근법은 스테이션 상호 간의 통신(inter-station communication)을 방지하는 것이다. 그러나 이는 성립될 수 없는 해결책이다. 상호 신뢰하는 스테이션은 공중 세팅일지라도 그들 사이의 통신이 허용되어야만 한다. 예를 들면 컨벤션 센터(convention center)에서 개최된 회의에서 스테이션은 동일 지역 LAN 상의 파일 서버로 액세스할 수 있어야만 한다. 예컨대, 이는 표준 회의에서 통상적인 관례이다. 또한 이런 종류의 공유가 허용된다면 IEEE Std.802.11하에서는 침입자가 전체 BSS를 동작 불가능하게 하는 것이 쉬워진다. 이는 라스베가스에서 열린 2001 Usenix Security Conference와 2001 DEFCON Conference에서 논증되었다. 취약성을 도입하지 않고 이런 종류의 공유를 지원할 수 있는 무선 LAN용의 보안 모델은 현재 없다.

취약성의 도입함이 없이 또는 BSS를 이용하는 스테이션 사이의 보안성을 손상하지 않고 단일한 물리적 BSS의 공유를 지원할 수 있는 무선 LAN용의 보안 모델을 제공하는 것이 유리할 것이다.

본 발명은 취약성의 도입이나 스테이션 보안의 손상 없이 스테이션에 의한 단일한 물리적 BSS의 공유를 지원할 수 있는 무선 LAN 용의 보안 모델을 제공한다. 따라서, 새로운 종류의 액세스 포인트가 제공되고, 이는 공중 액세스 포인트(Public Access Point, PAP)로 이하 언급된다. PAP는 IEEE Std.802.11에 의해 전술한 것과는 상이한 보안 아키텍처를 갖는다. PAP 아키텍처는 단일한 물리적 액세스 포인트내에서 가상 베이직 서비스 세트의 생성을 허용한다. 임의의 수의 가상 서비스 세트가 생성될 수 있고, 어떤 수의 종단 스테이션(end station)이라도 가상 BSS에 소속될 수 있다. PAP는 각각의 가상 BSS에 대해 하나씩 다중 물리적 802.11 액세스 포인트로서 종단 스테이션에 나타난다. 따라서, PAP는 어떤 802.11 종단 스테이션과도 완전하게 공동조작(interoperable)이 가능하다.

PAP 사용의 일례로서, 컨벤션 센터를 들 수 있다. 상이한 회의는 802.11-인에이블된 프로젝터를 이용할 수 있다. PAP는 각각의 회의에 대해 개별적인 LAN 세그먼트를 제공하고 각각에 대해 개별적인 링크 프라이버시 및 무결성을 제공하는 것을 허용한다. IEEE Std.802.11만을 사용하는 대신, 회의 프로젝터와 이를 이용해 프로젝팅할 수 있는 모든 스테이션은 사설 액세스 포인트(private access point) 또는 전용 WLAN을 이용해야만 하며, WLAN 회원, 인증 및 중요한 자료(keying material)를 관리해야만 한다. 그렇지 않다면, 누구라도 프로젝터로 투사할 수 있으며, 더욱 나쁘게는 디스플레이되기 전에 유효한 프로젝터 트래픽을 차단하여 외부인에 의해 모니터되거나 손상될 수 있다.

또한, 종래의 접근법과 연관된 보안 관리 부담이 매우 높고, 회의 입안자는 모든 장소에 그 소유의 것을 인스톨하고 구성하는 것 대신에 로컬 액세스 포인트(local access point)를 사용하는 것을 선호한다. PAP는 모든 보안을 운영할 수 있다. 그에 따라, 공유된 프로젝터와 임의의 로컬 파일 서버를 포함하는 각각의 회의에서 모든 종단 스테이션은 그 회의에 대한 가상 802.11 액세스 포인트에 효율적으로 연계될 수 있고, 모든 가상 액세스 포인트는 동일한 물리적 PAP로부터 발생된다.

본 발명은 공중 액세스 포인트를 서로 접속하는 브리지의 전송 테이블(forwarding table)을 갱신하기 위한 위치 갱신 프로토콜을 제공한다.

또한, 본 발명은 정교한 브리징(fine brigding)으로 언급되는 보다 제어된 브리징에 대한 방법을 제공한다.

도 1은 IEEE Std.802.11 프로토콜 엔티티의 블록 개요도,
도 2는 IEEE Std.802.11 구성 기반구조의 블록 개요도,
도 3은 본 발명에 따른 공중 액세스 포인트의 블록 개요도,
도 4는 본 발명에 따른 3-스테이션 가상 BSS(이중 하나는 액세스 포인트임) 내의 액세스 능력(accessibility)에 대한 정책의 블록 개요도,
도 5는 본 발명에 따른, 스테이션 A와 B가 서버 스테이션 S와 D를 공유하지만 A와 B의 상호 액세스는 허용되지 않는 4-스테이션 사이의 정책의 블록 개요도,
도 6은 본 발명에 따른, B로부터 A로의 에지가 추가되도록 변형된 도 3에서의 정책의 블록 개요도, 및
도 7은 포트-기반 VLAN 할당, 탈출 필터링(egress filtering), 및 공유된 VLAN 학습(shared VLAN learning, SVL)를 통해 기반구조 시스템에 접속된 에지 호스트들 사이에서 직접 통신을 제거한 IEEE Std.802.1Q 브리지의 블록 개요도.

공중 액세스 포인트

미국특허출원 제10/057,566호에서, 프로토콜은 종단 스테이션이 현존하는 VLAN의 태그 및 언태그된 요소 세트를 중첩함으로써 현존하는 VLAN을 복제하는 가상의 브리지된 LAN(VLAN)을 생성할 수 있는 것으로 설명된다. 또한, 새로운 VLAN은 가상적인 그의 고유한 보안 연계(security association)에 의해 고유하다. 이 연계는 VLAN 프라이빗(private)에 속하는 패킷을 유지하고 그들의 VLAN 회원이 키 MAC(keyed MAC)에 의해 암호적으로 검증되도록 하는 암호화 중심 자료(keying material)를 제공한다. 새로운 VLAN은 그 생성자에 의해 소유된다. 소유자는 VLAN의 수명뿐만 아니라 어느 스테이션이 VLAN을 결합할 수 있고 발견할 수 있는지를 제어한다. 따라서, VLAN은 개별적인 가상의 브리지된 LAN(PVLAN)으로 불려진다.

본 발명의 일실시예는 IEEE Std.802.11-1999의 표준 구성요소만을 이용하는 PVLAN의 세밀사항(refinement)을 제공한다(Part 11: Wireless LAN Medium Access Control(MAC) and Physical Layer(PHY) specification, ISO/IEC 8802-11:1999(E), ANSI/IEEE Std.802.11,1999 edition; 및 Part 11: Wireless LAN Medium Access Control(MAC) and Physical Layer(PHY) specification, Medium Access Control(MAC) Security Enhancement, IEEE Std.802.11i/D7.0, Draft amendment to ISO/IEC 8802-11:1999(E),ANSI/IEEE Std.802.11,1999 edition 참조).

각각의 BSS(BSS-A, BSS-B)가 각각의 액세스 포인트(액세스 포인트-A,액세스 포인트-B)를 포함하고 스테이션(A1/A2,B1/B2)에 연계되어 있는, IEEE Std.802.11 프로토콜 엔티티의 블록 개요도인 도1 및 IEEE Std.802.11 구성 기반구조의 블록 개요도인 도2를 참조한다. 액세스 포인트로 작용하지 않는 변형되지 않은 802.11-컴플리언트 종단 스테이션 동작의 수정이 본 발명에 요구된다. 세밀사항은 가상의 802.11 BSS에 대한 PVLAN을 인스턴트화(instantiates)하고, 액세스 포인트에만 영향을 준다.

도3은 본 발명에 따른 공중 액세스 포인트 아키텍처의 블록 개요도이다. 가상 802.11 BSS, 예를 들면 BSS-1 또는 BSS-2는, 각각 하드웨어(MAC) 어드레스를 갖고(도 1 참조), 그룹 보안 연계로 불리는 고유의 보안 연계를 공유하는 스테이션의 세트를 포함한다. 보안 연계는 암호화 키와 인증 코드 키로 이루어진다.

정확하게 가상 BSS 내의 스테이션 중 하나만이 공중 액세스 포인트(PAP)(31)이다. 이는 802.11 무선 매체(WM)(32)와 802.11 분배 시스템 매체(DSM)(33)를 브리지한다.

고유한 유니캐스트(unicast) 보안 연계는 가상 BSS 내의 모든 스테이션에 존재한다. 이는 스테이션과 그 가상 BSS의 PAP 사이에 공유된다.

각각의 가상 BSS, 예를 들면 BSS-1 또는 BSS-2는 그 소유의 식별자(identifier) 또는 BSSID를 갖는다. 이는 그 BSS에 속하는 PAP의 가상 MAC 어드레스이다. PAP는 그 가상 MAC 어드레스 중 하나에 정해진 WM으로부터 임의의 프레임을 수신하고, 프레임의 소스 MAC 어드레스로서 그 가상 MAC 어드레스 중 하나를 사용하여 WM으로 프레임을 송신한다.

가상 베이직 서비스 세트의 수집은 단일 PAP에서 공유된 시간 동기화 기능(Timing Synchronization Function), 분배된 조정 기능(Distributed Coordination Function, DCF) 및 선택적으로 포인트 조정 기능(Point Coordination Function, PCF)에 의해 지원된다. 각각의 PAP에는 단일 네트워크 배치 벡터(Network Allocation Vector, NAV)와 포인트 조정기(Point Coordinator, PC)가 있다. 이런 공유는 802.11 가상 캐리어-센스, 매체 예약 매커니즘이 동일 채널 중첩을 사용하는 다중 베이직 서비스 세트와 작업하도록 설계되므로 가능하다. 이런 종류의 오버랩은 단일 채널 PAP에 의해 지원되는 가상 베이직 서비스 세트 사이에서 일어날 수 있다. 가상 서비스 세트는 하나의 채널을 사용할 수 있고, 따라서 PAP에서 중첩될 수 있다.

PAP는 하나 이상의 가상 BSS에 소속될 수 있다. 도 1의 BSS-1, BSS-2를 참조하라. PAP가 아닌 어떤 스테이션이라도 최대 하나의 가상 BSS에 소속될 수 있다.

가상 802.11 BSS는 가상의 브리지된 LAN에 의해 그들의 공중 액세스 포인트의 접속을 통해 다른 가상 BSS에 브리지될 수 있다. 각각의 가상 BSS의 PAP는 VLAN 어웨어 브리지(aware bridge)의 트렁크된 또는 언태그된 포트를 통해 분배 시스템(DS)에 접속된다. DS로 송신된 프레임은 DSM에 알려진 VLAN 태그를 전달할 수 있다. PAP는 VLAN 태그를 가상 BSSID로 매핑하는 DSM VLAN 매핑을 유지할 수 있다.

현재 클래스-1 및 클래스-3 가상 BSS의 두 종류의 가상 BSS가 있다. PAP는 정확하게 하나의 클래스-1 가상 BSS 또는 하나 또는 그 이상의 다중 클래스-3 가상 베이직 서비스 세트를 지원한다. 클래스-1 가상 BSS는 단지 가상 BSS이고, 스테이션은 802.11 상태 1 또는 2에 있는 동안 PAP에 의해 제어되는 바대로 점령이 허용된다. 상태 3에 있을 때, 스테이션은 클래스-3 가상 BSS에 결합되는 것이 허용된다. 클래스-3 가상 BSS는, 예를 들면, 개방 시스템 또는 스테이션 인증에 이용된 공유 키 등의 인증의 종류에 따라 결정될 수 있다.

클래스-1 가상 BSSID는 이러한 필드를 갖는 모든 클래스 1 및 클래스 2 프레임의 BSSID 필드이다. 이는 클래스 1 및 클래스 2 프레임에 적합한 수신기 또는 송신기 어드레스 필드이다.

모든 가상 BSS는 타임스탬프(Timestamp), 비컨 인터벌(beacon interval), 보호된 성능 정보 프라이버시 비트(Cability information Privacy bit), 서비스 세트 식별자(SSID: Service Set ID), 보안 성능(security cability) 구성요소, 트래픽 지시 맵(TIM: Traffic Indication Map) 구성요소 필드를 제외하곤, 동일한 비컨(beacon) 프레임 콘텐츠를 갖는다.

PAP가 그 BSS 내의 종단 스테이션에 대해 PS(Power-Save) 모드를 지원하지 않는다면, 클래스-3 가상 BSS에 대해 비컨할 필요가 없다. 클래스-3 BSS에 대해 비컨하면, 모든 비컨 내의 SSID 구성요소는 브로드캐스트 SSID를 지정한다. 이들 단계는 어떤 클랙스-3 가상 BSS가 비컨을 통해 식별되는 것을 방지한다.

클래스-1 가상 BSS 비컨만이 비-브로드캐스트 SSID 필드를 갖는 SSID 구성 요소를 포함한다. 스테이션은 클랙스-1 가상 BSS에만 연계될 수 있다. 스테이션은 연계 또는 재연계 요청 프레임의 SSID 구성 요소 내의 비-브로드캐스트 SSID를 이용한다.

미국특허출원 제10/057,566호는 PVLAN 조인과 전개 단계를 확인한다. 가상 BSS로서 기술된 PVLAN에 따르면, 이들 단계는 다음과 같이 인스턴스화된다.

조인(Join)

모든 스테이션은 의무적으로 PAP에서 클래스-1 가상 BSS의 요소다. PAP는 클래스-1 가상 BSS에서 스테이션의 이용자 또는 스테이션 자체를 인증한다. 성공적이라면, 스테이션은 PAP에서 802.11 상태 2로 진입된다. 이 때, PAP 및 스테이션은 클래스-1 가상 BSS 상태에서 클래스 1과 클래스 2 프레임을 교환할 수 있다.

클래스 1 프레임은 암호적으로 보호되지 않는다. 클래스 2 프레임은 성공적인 인증 후에 스테이션과 PAP가 유니캐스트 보안 연계를 공유한다면 암호적으로 보호된다. PAP 및 스테이션은 인증 후에 그룹 보안 연계를 공유할 수도 있다. 그룹 보안 연계는 PAP와의 802.11 연계가 완료될 경우 스테이션이 속하는 클래스-3 가상 BSS를 위한 것이다.

스테이션 및 PAP가 클래스 3 프레임을 교환하기 전에, 스테이션은

1) 상태 2로부터 클래스-1 가상 BSS와의 연계를 요청하고,

2) 클래스-3 가상 BSS로 전환해야만 한다.

그 소스 어드레스(어드레스 2 필드) 또는 BSSID(어드레스 3 필드)가 그 가상 BSS에 대한 클래스-3 가상 BSSID인 연계 응답 MMPDU를 갖는 스테이션의 연계 요청에 응답함으로써 PAP는 스테이션을 클래스-3 가상 BSS로 전환한다. 연계 응답의 성능 정보 필드는 보호된 프라이버시 비트 세트를 갖는다.

클래스-3 가상 BSS는 3가지 방식 중 하나로 결정된다.

1) DS 내의 인증 서버는 이용자에 대한 DSM VLAN을 지정하고, PAP는 DSM VLAN 매핑을 이용하여 이를 클래스-3 가상 BSSID로 매핑한다.

2) DS 내의 인증 서버는 이용자에 대해 클래스-3 가상 BSS를 지정한다.

3) PAP는 이용자에 대한 새로운 클래스-3 가상 BSS를 생성하고, PAP는 새로운 가상 BSS의 인증 서버를 통지하고, 다른 스테이션이 새로운 BSS에 조인하는 것을 허용하기 위한 규칙을 제공한다.

전개(Discovery)

클래스-1 가상 BSS는 BSSID 필드(어드레스3 필드)와 소스 어드레스 필드(어드레스2 필드)가 각각 클래스-1 가상 BSSID로 설정되는 802.11 비컨 또는 프로브 응답(Probe Response) 관리 프레임을 통해 발견된다. 이들 프레임에서 성능 정보 필드의 보호된 프라이버시 비트는 "0"으로 설정된다. 비컨의 TIM 구성요소는 클래스-1 가상 BSS로 적용된다. 클래스-1 가상 BSS만이 비컨 프레임을 통해 통지된다.

데이터 프레임(MPDU) 분배

PAP는 MAC 프로토콜 데이터 유닛(MPDU) 브리지 프로토콜을 수행한다. DSM 또는 WM으로부터 수신된 MPDU에 대해 프로토콜은 다음의 2개의 케이스에 따라 정의된다.

1. DSM으로부터 수신된 MPDU. 2개의 서브케이스가 있다(2개의 서브케이스는 모든 PAP의 스테이션이 적어도 하나의 가상 BSS에 속하기 때문에 PAP의 로컬 LLC로 수신된 MPDU의 전달을 제어한다).

a. 수신된 MPDU는 VLAN 태그를 갖지 않거나 빈(null) VLAN 태그를 갖는다. 목적지 어드레스가 가상 BSS에 속한 스테이션의 어드레스이고 스테이션이 PAP와 연계된다면, 또는 목적지 어드레스가 그룹 어드레스이고 가상 BSS는 그룹에 속한 스테이션을 갖고 스테이션은 PAP와 연계된다면, MPDU는 DSM으로부터 가상 BSS로 중계된다. 모든 스테이션은 브로드캐스트 그룹이다.

b. 수신된 MPDU는 비지 않은(non-null) VLAN 태그를 갖는다. MPDU가 중계되는 가상 BSS는 비-널 VLAN 태그가 PAP의 DSM VLAN 매핑 하에서 매핑되는 가상 BSSID에 의해 식별된다. 매핑이 주어진 태그에 대해 규정되지 않을 경우 MPDU는 중계되지 않는다.

수신된 MPDU가 중계되는 임의의 가상 BSS는 가상 BSS로 중계되는 802.11 MPDU의 소스 어드레스(어드레스2 필드)를 형성하는 BSSID를 갖는다.

2. WM으로부터 수신된 MPDU. 목적지 어드레스(MPDU의 어드레스 3 필드)가 식별된 가상 BSS에 속한 스테이션의 어드레스이고 스테이션이 PAP와 연계되면, 또는 목적지 어드레스가 그룹 어드레스라면, 수신된 802.11 MPDU는 MPDU의 어드레스 1 필드에 의해 식별된 가상 BSS로 중계된다. 그렇지 않으면, 프레임은 어떤 가상 BSS로도 중계되지 않는다. 수신된 802.11 MPDU의 어드레스 1 필드는 어드레스 1 필드에 의해 식별된 가상 BSS로 중계되는 802.11 MPDU의 소스 어드레스(어드레스 2 필드)이다.

목적지 어드레스(MPDU의 어드레스 3 필드)가 PAP에 연계되지 않은 스테이션의 어드레스이거나, 또는 목적지 어드레스가 그룹 어드레스라면, 수신된 MPDU는 DSM으로도 중계된다. DSM으로 중계된 MPDU는 DS가 VLAN 어웨어라면 VLAN 태그를 갖고, 그렇지 않으면 언태그드된다. VLAN 태그는 PAP의 DSM VLAN 매핑 하에서 수신된 MPDU의 어드레스 1 필드의 프리-이미지(pre-image)이다.

암호화 및 해독 과정

암호화 및 해독화는 서브타입 연계 요청/응답, 재연계 요청/응답, 연계해제(disassociation) 및 인증해제(deauthentication)의 802.11 데이터 프레임과 관리 프레임을 이용한다.

802.11 데이터 또는 관리 프레임을 WM으로 송신하기 전에 PAP에 의해 이용된 암호화 과정은 다음의 2가지 중요한 단계를 포함한다.

·프레임에 대한 보안 연계를 식별하는 단계; 및

·일부 암호화 및 인증화 코드 프로토콜에 따라 전송용의 확장된 프레임을 만들기 위해 연계를 이용하는 단계.

상이한 암호화 및 인증화 코드 프로토콜은 브로드캐스트 및 가상 베이직 서비스 세트 사이의 멀티캐스트 트래픽에 이용될 수도 있고, 상이한 암호화 및 인증화 코드 프로토콜은 단일 가상 BSS 내의 스테이션 사이의 관리에 유니캐스트용으로 이용될 수 있다.

프레임 목적지 어드레스(어드레스1 필드)가 스테이션의 어드레스라면, 스테이션과 PAP 사이에 공유된 유니캐스트 보안 연계는 확장(expansion)에 이용될 수 있다. 프레임이 데이터 프레임이고 그 목적지 어드레스가 그룹 어드레스라면, MPDU 브리지 프로토콜은 프레임에 대한 목적지 가상 BSS를 식별한다. 식별된 가상 BSS 에 대한 그룹 보안 연계는 확장에 이용될 수 있다.

비-PAP 스테이션은 타입 데이터의 802.11 MPDU 또는 관리 프레임을 그 가상 BSS 내의 상기 PAP와 공유하는 유니캐스트 보안 연계를 이용하여 DS로 전송한다.

802.11 데이터 또는 관리 프레임을 WM으로부터 수신하면, PAP는 MPDU의 소스 어드레스(어드레스 2 필드)에 의해 식별된 스테이션에 대한 유니캐스트 보안 연계를 이용하여 프레임의 해독 및 무결성 검증을 시도한다.

PAP로부터 타입 데이터의 802.11 MPDU 또는 관리 프레임을 수신하면, 비-PAP 스테이션은, 프레임(어드레스 1 필드)의 목적지 어드레스가 스테이션의 어드레스이라면 PAP와 공유하는 유니캐스트 보안 연계를 이용하여, 그리고 프레임의 목적지 어드레스가 그룹 어드레스라면 그 클래스-3 가상 BSS의 그룹 보안 연계를 이용하여 프레임의 해독 및 무결성 검증을 시도한다.

위치 갱신 프로토콜

또한 본 발명은 공중 액세스 포인트를 접속하는 브리지 또는 기타 상호접속 매체의 전송 테이블을 갱신하기 위한 위치 갱신 프로토콜을 포함한다.

브리지된 LAN의 스패닝 트리(spanning tree)에서 상이한 브리지에 부착된 다중 공중 액세스 포인트와 이중 하나에 연계되고 나서 새로운 PAP와 재연계된 종단 스테이션이라면, 새로운 PAP는 지향성 브리지 프로토콜 테이터 유니트(BPDP)(리로케이션 PDU로 언급됨)를 스테이션이 이전에 연계된 PAP로 전송한다. BPDU의 목적지 어드레스는 재연계 요청 프레임의 현재 액세스 포인트 어드레스이고, 클래스-3 가상 BSSID이다. 소스 어드레스는 스테이션의 하드웨어 어드레스이다.

특정 포트에서 재배치 MPDU를 수신함에 따라, 브리지는 수신 포트를 MPDU의 소스 어드레스에 결합하는 엔트리로 그 전송 테이블을 갱신한다.

수신 브리지는 포트에 도달한 MPDU 또는 수신 브리지가 스패닝 트리의 루트가 아닌한 재배치 MPDU를 그 지정된 루프 포트로 전송한다. 만일 이것이 브리지의 지정된 루프 포트에서 또는 루트 브리지에 의해 수신되면, 브리지의 학습된 전송 테이블에 따라 전송되고, 이는 수신 포트를 제외한 모든 포트로의 MPDU의 플러딩(flooding)을 포함할 수 있다.

정교한 브리징(fine bridging)

전술한 본 발명의 일실시예는 가상 BSS에 대한 PVLAN을 상세히 논한다. MPDU 브리지 프로토콜 하에서, 가상 BSS 내의 어떤 스테이션이라도 지향되거나 그룹-어드레스된 프레임을 그 가상 BSS 내의 다른 스테이션으로 송신할 수 있다. 이는 바람직하지 않을 수도 있다. 예를 들면, 컨퍼런스 센터에서의 회의는 그 소유의 가상 BSS를 가질 수 있지만, 모든 출석자가 상호를 신뢰하지는 않는다. 동일한 가상 BSS를 공유함으로써, 일부 출석자는 웜이나 바이러스를 유포할 수 있다. 각각의 출석자에게 고유의 가상 BSS를 할당함으로써 이들 공격을 방지하는 것은 출석자가 서버를 공유하는 것을 방해한다. 이상적으로, 서버는 모든 회의 관계자에 의해 공유되지만, 어떤 관계자도 다른 관계자를 액세스, 즉 프레임을 다른 관계자에게 송신할 수는 없다. 전술한 공중 액세스 포인트는 이런 수준의 액세스 제어는 제공할 수 없다. 액세스 포인트 지원 정교한 브리징이 이를 제공할 수 있다.

에지 호스트의 세트를 LAN 등의 기반구조 시스템에 접속하는 IEEE Std.802.1Q 브리지의 블록 개요도를 도시하는 도 7을 참조한다. 에지 호스트로부터 도달된 언태그 프레임은 포트-기반 VLAN 할당(PVID A)의 힘으로 VLAN에 할당되고, 기반구조 시스템으로부터 도달된 언태그 프레임은 VLAN B(PVID B)에 할당된다. 도시된 탈출 규칙(egress rule)은 A 또는 B에 속한 프레임이 기반구조로 탈출하는 것을 허용하는 반면 B에 속한 것들은 에지 호스트로 탈출하는 것이 허용된다. 이러한 방법으로, 에지 호스트는 상호 직접적으로 통신하는 것이 방지된다.

정교한 브리징은 브로드캐스트 식별자 또는 멀티캐스트 도메인과 BSS를 분리한다.

정교한 브리징에서, 액세스 포인트의 브리징 동작은 방향 그래프(directed graph)로서 나타낸 정책에 의해 결정된다. 그래프의 노드는 스테이션이고, 스테이션 A가 스테이션 B를 액세스할 수 있어야만 한다면, 즉 스테이션 B가 스테이션 A로부터의 지향 프레임 또는 그룹 프레임을 수신할 수 있어야 한다면, 스테이션 A로부터 스테이션 B까지 에지가 있다.

소정 정책에 있어서, 노드에 대한 브로드캐스트 도메인은 그 자신이고 액세스해야하는 모든 노드이다. 이 정책의 브로드캐스트 도메인 세트는 그 노드에 대한 브로드캐스트 도메인의 세트이다.

정책의 수행에 있어서, 브로드캐스트 도메인마다 그룹 보안 연계가 있다. 또한, 각각의 스테이션(노드)은 정책 내에서 자신에 대한 브로드캐스트 도메인의 그룹 보안 연계를 처리하고, 요소인 정책 내에서 다른 모든 브로드캐스트 도메인의 그룹 보안 연계를 처리한다. 전자의 연계는 그룹 프레임을 송신하기 위해 스테이션에 의해 이용될 수 있고, 후자의 연계는 그룹 프레임을 수신하기 위해 이용될 수 있다.

하나가 액세스 포인트인 3-스테이션 가상 BSS 내의 액세스능력은 도 2에 도시한 정책에 의해 얻어진다. 정책에서의 각각의 노드는 그 브로드캐스트 도메인으로서 {A,B,액세스 포인트}를 갖는다. 따라서, 정책이 하나의 가상 BSS를 반영한다는 기대대로, 정책에 대해서는 하나의 브로드캐스트 도메인만이 존재한다. 각각의 스테이션은 도메인에 대한 그룹 보안 연계를 알고 있고, 그 연계하에서 그룹 프레임을 송수신할 수 있다.

도 3은 스테이션 A와 B가 서버 스테이션 S와 D를 공유하지만 상호 액세스는 허용되지 않는 4개 스테이션 사이의 정책을 포획한다.

이 정책은 브로드캐스트 도메인 B1{A,S,D}, B2:{B,S,D}, 및 B3:{D,A,S,B}를 갖는다. 스테이션 A는 그룹 프레임을 송신하기 위해 B1에 대한 그룹 보안 연계와, S와 D에 의해 송신된 그룹 프레임을 수신하기 위해 B3에 대한 그룹 보안 연계를 알고 있다. 스테이션 D는 그룹 프레임을 송신하고 S로부터 이를 수신하기 위해 B3에 대한 그룹 보안 연계와, A와 B로부터 각각이 그룹 프레임을 수신하기 위해 B1과 B2 양자에 대한 그룹 보안 연계를 알고 있다.

도 3에 도시한 정책이 B로부터 A로의 에지가 정책에 추가되도록 도 4에 도시한 바와 같이 변형된다면, 도메인 B2는 제거되고 B1과 B3만이 남게 된다.

A로부터 B로의 에지가 도 4의 정책에 추가된다면, 도메인 B1, B2 및 B3는 이 정책에 있어서 단일 도메인 B3로 붕괴된다.

다른 정책 변형의 제안이 당업자에게 가능하다.

본 발명은 바람직한 실시예를 참조하여 설명되었지만, 당업자라면 본 발명의 범위 내에서 각종 변형이 가능하다는 것을 알 수 있다. 따라서 본 발명은 첨부된 특허청구범위에 의해 제한되어야 한다.

Claims

종단 스테이션(end station)을 복수의 종단 스테이션들과 구별하여 상기 종단 스테이션과 상기 복수의 종단 스테이션들 간 네트워크 트래픽의 구분(segregation)을 지원하는 무선 LAN용 액세스 포인트 장치로서,
상기 액세스 포인트 장치는 상기 무선 LAN에서의 통신을 위한 공통의 액세스 포인트로서 이용가능하되,
상기 액세스 포인트 장치는 상기 종단 스테이션으로부터 요청 - 상기 요청은 연계 요청 또는 프로브 요청임 - 을 수신하도록 구성되고,
상기 액세스 포인트 장치는 또한
상기 요청이 상기 액세스 포인트 장치에 의해 수신되었을 때, 상기 요청에 대하여 상기 액세스 포인트 장치에 알려지지 않은 베이직 서비스 세트(Basic Service Set; BSS)를 결정하는 것,
상기 BSS를 정의하는 적어도 하나의 파라미터를 수신하는 것,
상기 적어도 하나의 파라미터에 적어도 기초하여 상기 BSS를 설정하는 것,
상기 BSS 내에서 상기 종단 스테이션과 보안 연계를 설정하는 것 - 상기 보안 연계는 적어도 두 개의 키를 포함하며, 하나의 키는 암호화를 위한 것이고, 다른 키는 인증 코드(authentication code) 계산을 위한 것임 -, 및
상기 설정된 BSS의 BSSID를 포함하는 응답을 상기 종단 스테이션에 보내는 것에 의해 상기 요청을 처리하도록 구성되는,
무선 LAN용 액세스 포인트 장치.
제1항에 있어서,
복수의 개별적인 LAN 세그먼트를 제공하되 상기 LAN 세그먼트 각각에 대해 개별적인 링크 프라이버시 및 무결성을 제공하도록 또한 구성되는,
무선 LAN용 액세스 포인트 장치.
제1항에 있어서,
상기 적어도 하나의 파라미터는 상기 종단 스테이션에 의해 제공되는,
무선 LAN용 액세스 포인트 장치.
제1항에 있어서,
상기 적어도 하나의 파라미터는 상기 종단 스테이션이 아닌 소스에 의해 제공되는,
무선 LAN용 액세스 포인트 장치.
제1항에 있어서,
상기 요청은 서비스 세트 식별자(Service Set ID; SSID)를 포함하되, 상기 적어도 하나의 파라미터는 상기 SSID에 기초하는,
무선 LAN용 액세스 포인트 장치.
보안 무선 네트워크가, 각각이 하드웨어 (Media Access Control: MAC) 어드레스를 갖는 복수의 스테이션들 간에 네트워크 트래픽의 구분을 지원하도록 하는, 액세스 포인트 장치에서의 방법으로서,
제1 스테이션으로부터 연계 요청 또는 프로브 요청을 수신하는 단계;
상기 연계 요청 또는 상기 프로브 요청이 상기 액세스 포인트 장치에 의해 수신되었을 때, 상기 연계 요청 또는 상기 프로브 요청에 대하여 상기 액세스 포인트 장치에 알려지지 않은 베이직 서비스 세트(BSS)를 결정하는 단계;
상기 BSS를 정의하는 적어도 하나의 파라미터를 수신하는 단계;
상기 적어도 하나의 파라미터에 적어도 기초하여 상기 BSS를 설정하는 단계 - 따라서, 상기 복수의 스테이션들의 서브세트를 위한 상기 BSS가 생성됨 -;
상기 BSS 내에서 각각의 종단 스테이션들과 보안 연계를 설정하는 단계 - 상기 보안 연계는 적어도 두 개의 키를 포함하며, 하나의 키는 암호화를 위한 것이고, 다른 키는 인증 코드 계산을 위한 것임 -; 및
상기 설정된 BSS의 BSSID를 포함하는 응답을 상기 종단 스테이션들에 보내는 단계 - 상기 서브세트 내의 스테이션들은 상기 설정된 BSS에 속하며 그룹 보안 연계(group security association)를 공유함 -
를 포함하는 방법.