KR20140021632A - 인터넷 키 교환 버전 2 프로토콜(internet key exchange version 2 protocol: ikev2) 절차를 사용하여 아이피 어드레스들을 구분하고 무선 펨토 셀들 홈 (진화된) 기지국(home (evolved) nodeb: h(e)nb) 및 논리 게이트웨이(local gateway: lgw)로 할당하는 방법 및 시스템 - Google Patents

인터넷 키 교환 버전 2 프로토콜(internet key exchange version 2 protocol: ikev2) 절차를 사용하여 아이피 어드레스들을 구분하고 무선 펨토 셀들 홈 (진화된) 기지국(home (evolved) nodeb: h(e)nb) 및 논리 게이트웨이(local gateway: lgw)로 할당하는 방법 및 시스템 Download PDF

Info

Publication number
KR20140021632A
KR20140021632A KR1020137028654A KR20137028654A KR20140021632A KR 20140021632 A KR20140021632 A KR 20140021632A KR 1020137028654 A KR1020137028654 A KR 1020137028654A KR 20137028654 A KR20137028654 A KR 20137028654A KR 20140021632 A KR20140021632 A KR 20140021632A
Authority
KR
South Korea
Prior art keywords
ikev2
addresses
gateway
services
procedure
Prior art date
Application number
KR1020137028654A
Other languages
English (en)
Inventor
라자벨사미 라자두라이
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Publication of KR20140021632A publication Critical patent/KR20140021632A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/26Network addressing or numbering for mobility support
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/04Large scale networks; Deep hierarchical networks
    • H04W84/042Public Land Mobile systems, e.g. cellular systems
    • H04W84/045Public Land Mobile systems, e.g. cellular systems using private Base Stations, e.g. femto Base Stations, home Node B

Abstract

다수의 논리 엔터티(logical entity)들 혹은 서비스를 지원할 경우 인터넷 키 교환 버전 2 프로토콜(Internet Key Exchange Version 2 protocol: IKEv2) 절차를 사용하여 무선 펨토 셀(femto cell)들 홈 (진화된) 기지국(Home (evolved) NodeB: H(e)NB)의 IP 어드레스들을 구분 및 할당하는 방법 및 시스템이 제공된다. 본 발명은 광대역 IP 네트워크들에 관한 것으로서, 특히 IP 기반 엔터티 내의 특정 서비스에 대한 특정 IP 어드레스를 제공함으로써 다수의 서비스들을 지원하는 시그널링 메커니즘(signaling mechanism)에 관한 것이다. 다른 엔터티들(논리적 혹은 물리적), 상기 GW (IKEv2 피어)/H(e)NB (IKEv2 피어)에 대한 다수의 IP 요구에 대해 할당된 IP 어드레스들을 구분하는 다른 방법들은 IKEv2 절차를 사용하는 각 엔터티에 대한 페이로드에서 고유한 식별자를 첨부한다.

Description

인터넷 키 교환 버전 2 프로토콜(INTERNET KEY EXCHANGE VERSION 2 PROTOCOL: IKEV2) 절차를 사용하여 아이피 어드레스들을 구분하고 무선 펨토 셀들 홈 (진화된) 기지국(HOME (EVOLVED) NODEB: H(E)NB) 및 논리 게이트웨이(LOCAL GATEWAY: LGW)로 할당하는 방법 및 시스템{METHOD AND SYSTEM TO DIFFERENTIATE AND ASSIGNING IP ADDRESSES TO WIRELESS FEMTO CELLS H(E)NB (HOME (EVOLVED) NODEB) AND LGW (LOCAL GATEWAY) BY USING IKEV2 (INTERNET KEY EXCHANGE VERSION 2 PROTOCOL) PROCEDURE}
본 발명은 인터넷 프로토콜(Internet Protocol: IP) 네트워크에 관한 것으로서, 특히 IKEv2 피어(peer)들에 대한 IP 어드레스들을 구분 및 할당하는 것에 관한 것이다.
인터넷 세계와 전화 통신 세계의 진보적 융합으로, 상기 인터넷 상에서 제공되던 거의 대부분의 서비스들이 이동 전화기들에서도 유용해지게 되었고, 정반대로 음성 서비스들은 상기 인터넷을 통해서(Voice over IP) 유용해지게 되었다. 이 뿐만 아니라, 고정-이동 융합은 셀룰라 네트워크(cellular network)와 로컬 네트워크(local network)(가정에서는 홈 네트워크(home network), 혹은 기업 네트워크(corporate network), 혹은 핫 스팟(hotspot)) 모두에 대해 연결 가능한 단일 통신 디바이스(device)들을 제안하는 것을 목적으로 하고 있다.
펨토 셀(femtocell)들로 칭해지는 소형 셀룰라 기지국들은 다른 네트워크 억세스(일반적으로 유선 네트워크)가 가능한 한 셀룰라 네트워크들을 사용할 수 없는 것을 완화시키기 위해 사용될 수 있다. 펨토 셀은 표준 이동 디바이스들을 가정용 광대역 연결들을 사용하는 이동 운영자의 네트워킹에 연결시키기 위해 허가된 스펙트럼(spectrum)에서 동작하는 저-전력 무선 억세스 포인트(access point)이다. 펨토셀들은 일반적으로 구내 말단 사용자들에 설치되는 간단한 디바이스들이 될 수 있고, 종종 홈 게이트웨이(Home gateway) 혹은 가정용 게이트웨이(residential gateway)로 알려져 있을 수 있다. 펨토 셀들은 통신 디바이스들에 관해서는 셀룰라 네트워크처럼 동작하고, 상기 다른 네트워크 엑세스(섬유를 통한 인터넷 억세스, DSL, 혹은 케이블 가입들과 같은)를 통해 셀룰라 네트워크 운영자의 코어 네트워크(core network)로 연결된다. 펨토셀들은 어떤 타입의 셀룰라 네트워크들 기술들, 일 예로 WCDMA, GSM, CDMA2000, TD-SCDMA, WiMAX 혹은 LTE 기술들과 같은 어떤 타입의 셀룰라 네트워크들 기술들을 위해서 개발될 수 있다. 상기 3GPP는 3G 펨토 셀들을 홈 기지국(Home NodeB: HNB)들로 칭하고, LTE에서는 펨토 셀 용어가 홈 진화된 기지국(Home enhanced NodeB: HeNB)이다. 펨토 셀들은 사실상 “가정용” 셀룰라 기지국들이다. 상기 용어 H(e)NB는 홈 기지국(Home NodeB: HNB) 및 홈 진화된 기지국(Home eNodeB: HeNB) 모두를 칭한다.
H(e)NB 아키텍쳐(architecture) 내에는, 3개의 새로운 네트워크 엘리먼트(element)들: 상기 H(e)NB (혹은 펨토 셀)과, 상기 보안 게이트웨이(the Security Gateway: SeGW) 및 상기 H(e)NodeB 게이트웨이, 혹은 H(e)NB-GW가 존재한다. 보안 게이트웨이는 사용자들에 대한 보안 종료와 어그리게이션(aggregation) 및 시그널링 트래픽(signaling traffic)이 상기 이동 운영자의 코어 네트워크에 도달하도록 제공한다. 보안 게이트웨이에 의해 제공되는 기능들의 예들은 IPSec 터널(tunnel), DoS 완화(Mitigation), 동적 세션 보안(Dynamic Session Security) 및 이동 운영자들의 네트워크들 및 상기 이동 운영자들의 네트워크들의 사용자들에 대한 보안을 제공하는 실시간 대역폭 관리(Real-time Bandwidth management)이다.
인터넷 키 교환 버전 2(Internet Key Exchange Version 2: IKEv2)는 IP 프로토콜 제품군에서 보안 연결(security association: SA)을 셋업하기 위해 사용되는 프로토콜(protocol)이다. IKEv2는 제3자의 인프라구조(infrastructure)를 통한 네트워크 엘리먼트들간의 보안 전송을 제공하는 많은 표준화된 네트워크 해결 방식들에 의해 적용될 수 있다. 상기 IKEv2 피어(peer)들은 한 개의 IP 어드레스 혹은 다수개의 IP 어드레스들을 요구할 수 있고, 다른 피어는 동작을 위해 하나 혹은 그 이상의 IP 어드레스를 할당할 수 있다.
IKEv2는 VPN 터널 생성 및 상기 IKEv2를 사용하고, 다른 서비스들/논리 엔터티들/인터페이스(interface)에 대한 다수 개의 IP 어드레스들을 요구하는 상기 게이트웨이를 위해 광범위하게 사용되고 있다. 일 예로, 셀룰라 기지국(eNB)은 S1 인터페이스(코어 네트워크에 대한)와, OAM 인터페이스(구성에 대한), X2 인터페이스(eNB들간의)와 같은 다른 인터페이스들에 대한 다수개의 IP 어드레스들을 필요로 한다. 유사하게, H(e)NB는 S1, S5 및 OAM에 대한 다수개의 IP 어드레스들을 필요로 한다. 그러나, 현재는 상기 IKEv2에 의해 제공되는, 특정한 서비스/인터페이스/논리 엔터티에 대해 할당되는 상기 IP 어드레스에 대한 정보를 전달하는 메커니즘(mechanism)이 존재하지 않는다.
홈 (진화된) 기지국(Home (evolved) NodeB: H(e)NB)에 대한 원격(내부) IP 어드레스의 할당은 IKEv2 절차 내에서 수행된다. 이동 네트워크 운영자는 특정 서비스 혹은 논리적 엔터티에 대한 IP 어드레스의 풀(pool)을 할당하고 쉽고, 효율적인 관리 및 동작 목적을 위해 H(e)NB에 대한 IP 어드레스의 다른 풀을 할당할 수 있다. IKEv2에서, 다수 개의 IP 어드레스들은 IKEv2 절차 동안 H(e)NB에게 할당될 수 있지만, 상기 H(e)NB는 어떤 IP 어드레스가 상기 H(e)NB의 동작을 위해 존재하고, 어떤 IP 어드레스가 특정 서비스 혹은 논리적 엔터티에 대한 것인지 알 수 없다. 일 예로, 로컬 IP 억세스(Local IP Access: LIPA)가 H(e)NB를 위해 활성화될 경우, H(e)NB는 상기 H(e)NB 및 상기 L-GW에 대해 다른 원격 IP 어드레스들을 요구할 수 있고, 보안 게이트웨이(Security Gateway: SeGW)는 상기 H(e)NB (Rel-10) (TS 33.320 v10.1.0)에 할당되어 있는 상기 원격(즉, 내부) IP 어드레스와 다른 원격(즉, 내부) IP 어드레스를 상기 L-GW에 할당할 수 있다.
현재의 IKEv2 절차(인터넷 엔지니어링 태스크 포스(Internet Engineering Task Force: IETF)에 정의되어 있는)에서는, 상기 SeGW가 요구를 기반으로 상기 H(e)NB에게 다수 개의 IP 어드레스들을 송신할 수 있다. 그러나, 2개의 IP 어드레스들은 IKEv2 절차를 사용하는 상기 SeGW에 의해 상기 H(e)NB에게 이슈(issue)되고, H(e)NB는 적합한 IP 어드레스 구성 및 정보에 대한 상기 IP 어드레스 할당(L-GW/H(e)NB에 대해 구성될 IP 어드레스)에 대한 정보를 필요로 한다. 이 정보가 제공되지 않을 경우, 상기 IP 어드레스의 잘못된 구성(mis-configuration)이 초래될 것이고, 네트워크 억세스 실패를 초래하게 될 것이다.
또한, 일 예로, 상기 홈 게이트웨이 혹은 셋탑 박스 혹은 가정용 게이트웨이에 대한 원격 IP 어드레스의 할당은 IKEv2 절차 내에서 수행된다. 서비스 제공자는 특정 서비스에 대한 IP 어드레스의 풀을 할당하고, 쉽고 효율적인 관리 목적을 위해 일부 다른 서비스에 대해 IP 어드레스의 다른 풀을 제공할 수 있다. 이 경우, 두 개 혹은 그 이상의 IP 어드레스들이 상기 홈 게이트웨이 혹은 셋탑 박스 혹은 가정용 게이트웨이에 이슈될 경우, 어떤 IP 어드레스가 특정 서비스에 대해 구성되는지는 알려지지 않고, 이는 잘못된 구성 및 네트워크 억세스 실패를 초래하게 된다.
상기에서 설명한 바와 같은 이유들로 인해서, 다른 서비스들에 대한 IP 어드레스들의 할당을 명백하게 나타내기 위한 방법에 대한 필요성이 대두되고 있다는 것이 분명하다. 이는 잘못된 구성 및 네트워크 억세스 실패를 피하기 위해서이다.
따라서, 본 발명은 통신 네트워크에서 인터넷 키 교환(Internet Key Exchange: IKEv2) 절차에서 서비스들에 대한 인터넷 프로토콜(Internet Protocol: IP) 어드레스(address)들을 할당하는 방법을 제공한다. 상기 네트워크는 적어도 하나의 홈 게이트웨이(Home Gateway)와 적어도 하나의 네트워크 보안 게이트웨이(network security gateway)를 포함하고, 또한 상기 방법은 상기 홈 게이트웨이는 상기 각 서비스에 대한 서비스 특정 어드레스들의 할당을 위해 상기 보안 게이트웨이로 구성 페이로드(configuration payload)에서 요구를 송신하는 과정과; 상기 보안 게이트웨이는 구성 페이로드에서 상기 요구를 프로세싱(processing)하는 과정과; 상기 보안 게이트웨이가 상기 서비스들의 상기 IP 어드레스들을 나타내는 상기 구성 페이로드에서 상기 홈 게이트웨이로 응답을 송신하는 과정을 포함함을 특징으로 한다.
따라서, 본 발명은 통신 네트워크에서 인터넷 키 교환(Internet Key Exchange: IKEv2) 절차에서 서비스들에 대한 인터넷 프로토콜(Internet Protocol: IP) 어드레스(address)들을 구분하는 홈 게이트웨이(Home Gateway)를 제공한다. 상기 홈 게이트웨이는: 상기 홈 게이트웨이가 서비스하는 각 서비스에 대한 특정 IP 어드레스들을 할당하기 위해 보안 게이트웨이(security gateway)로 구성 페이로드(configuration payload)에서 요구를 송신하고; 상기 보안 게이트웨이로부터 상기 서비스들에 대한 상기 IP 어드레스들의 할당을 나타내는 상기 구성 페이로드에서 응답을 송신하도록 구성됨을 특징으로 한다.
따라서, 본 발명은 통신 네트워크에서 인터넷 키 교환(Internet Key Exchange: IKEv2) 절차에서 서비스들에 대한 인터넷 프로토콜(Internet Protocol: IP) 어드레스(address)들을 할당하는 보안 게이트웨이(security gateway)를 제공한다. 상기 보안 게이트웨이는: 각 서비스에 대한 특정 IP 어드레스들의 할당을 위해 홈 게이트웨이(Home Gateway)로부터 구성 페이로드(configuration payload)에서 요구를 수신하고; 상기 보안 게이트웨이가 구성 페이로드에서 상기 요구를 프로세싱(processing)하고; 상기 서비스들에 대한 IP 어드레스들의 할당을 나타내는 상기 구성 페이로드에서 상기 홈 게이트웨이로 응답을 송신하도록 구성됨을 특징으로 한다.
여기서 상기 실시예들의 이런 측면들 및 다른 측면들은 하기의 설명과 첨부 도면들과 함께 고려될 경우 보다 잘 인식되고 이해될 것이다. 그러나, 바람직한 실시예들 및 그 많은 구체적인 특정들을 나타냄에도 불구하고 하기의 설명들은 도시를 위해서만 주어질 뿐 제한되지는 않음이 이해되어야만 할 것이다. 여기서 상기 실시예들의 범위 내에서 많은 변경들 및 수정들이 그 사상을 벗어남이 없이 이루어질 수 있고, 여기서 상기 실시예들은 상기와 같은 모든 수정들을 포함한다.
도 1은 여기에서 게시되는 실시예들에 따른, IKEv2 절차에서 상기 보안 게이트웨이(Security Gateway: SeGW)와 상호 연결되는 상기 홈 (진화된) 기지국(Home (evolved) NodeB: H(e)NB) 보안 구조를 도시하고 있는 도면이다;
도 2는 여기에서 게시되는 실시예들에 따른, 상기 H(e)NB와 상기 코어 네트워크간의 IP 어드레스 할당을 사용하는 IKEv2 절차에 대한 상기 메시지 흐름을 도시하고 있는 도면이다;
도 3은 여기에서 게시되는 실시예들에 따른, 인터넷 키 교환 버전 2 프로토콜(Internet Key Exchange Version 2 protocol: IKEv2) 절차를 사용하는 구성 페이로드 어트리뷰트 타입(Configuration Payload Attribute Type)을 사용하는 상기 H(e)NB 통지를 도시하고 있는 도면이다;
도 4는 여기에서 게시되는 실시예들에 따른, 구성 어트리뷰트 페이로드 예약 비트(Configuration Attribute Payload Reserved bit)를 사용하는 상기 게이트웨이 통지를 도시하고 있는 도면이다;
도 5는 여기에서 게시되는 실시예들에 따른, 상기 IP 어드레스를 요구하는 디바이스/서비스를 나타내기 위해 구성 페이로드를 위해 사용될 경우 상기 일반 페이로드 헤더(Generic Payload Header)에서 상기 예약된 바이트들을 사용하는 상기 개시자 혹은 응답자를 도시하고 있는 도면이다;
도 6은 여기에서 게시되는 실시예들에 따른, 상기 식별자들이 교환되는 메시지들에서 상기 CFG_REQUEST 및 CFG_REPLY와 함께 통지 페이로드를 사용하는 통지를 도시하고 있는 도면이다;
도 7은 여기에서 게시되는 실시예들에 따른, 인터넷 키 교환 버전 2 프로토콜(Internet Key Exchange Version 2 protocol: IKEv2) 절차를 사용하는 CFG 어트리뷰트 타입(CFG Attribute Type)을 사용하는 상기 H(e)NB 통지를 도시하고 있는 도면이다.
여기서의 상기 실시예들 및 그 다양한 특징들과 유리한 구체적인 사항들은 첨부 도면들에 도시되어 있고 하기 설명에서 구체화되고 있는 제한없는 실시예들을 참조하여 보다 전체적으로 설명된다. 공지된 컴포넌트(component)들 및 프로세싱 기술들의 설명들은 여기서의 상기 실시예들을 불필요하게 이해하는 것을 어렵도록 하지 않도록 생략된다. 여기서 사용되는 예들은 단지 상기 실시예들이 실현될 수 있는 방식들의 이해를 가능하게 하고, 또한 해당 기술 분야의 당업자들이 여기서의 상기 실시예들을 실현하는 것을 가능하도록 하기 위해서 의도될 뿐이다. 따라서, 상기 예들은 여기서의 상기 실시예들의 범위를 제한하도록 이해되어서는 안 된다.
여기서의 실시예들은 인터넷 키 교환 버전 2 프로토콜(Internet Key Exchange Version 2 protocol: IKEv2) 절차를 사용하는 메커니즘(mechanism)들에서 무선 펨토(Femto) 셀들에 대한 상기 IP 어드레스(address) 요구 및 할당을 구분하는 시스템 및 방법을 성취한다. 본 발명은 광대역 IP 네트워크들에 관한 것으로서, 특히 IP 기반 엔터티 내의 특정 서비스에 대한 특정 IP 어드레스를 제공함으로써 다수 개의 서비스들을 지원하는 시그널링 메커니즘(signaling mechanism)에 관한 것이다. 특히, 본 발명은 무선 펨토 셀들(H(e)NB) 내의 로컬 IP 억세스와 같은 다수 개의 서비스들을 지원하는 시그널링 메커니즘에 관한 것이다. 다른 엔터티들(논리적 혹은 물리적) 및/혹은 서비스들에 대한 다수 개의 인터넷 프로토콜(Internet Protocol: IP) 요구에 대해서, 상기 홈 게이트웨이(Home Gateway)(H(e)NB)(인터넷 키 교환 버전 2 프로토콜(Internet Key Exchange Version 2 protocol: IKEv2)) 피어는 적합한 네트워크 구성 값들(IP 어드레스)를 할당하기 위해 각 엔터티 및/혹은 서비스에 대한 상기 페이로드(payload)에서 식별자를 첨부한다. 상기 응답자(responder)(IKEv2 피어)는 적합한 IP 구성을 위해 다른 엔터티들 및/혹은 서비스들을 구분하기 위해 할당된 IP 어드레스(들) 및 상기 IP 어드레스(들)로 응답한다.
일 실시예에서, 상기 H(e)NB는 NodeB 혹은 eNodeB와 같은 셀룰라 매크로 기지국(cellular macro base station) 혹은 가정용 게이트웨이(residential gateway) 혹은 셋탑 박스(setup box)이다. 상기 NodeB 혹은 eNodeB는 IKEv2 절차 내에서 상기 NodeB 혹은 상기 eNodeB 내에 함께 위치하고 지원되는 각 인터페이스들 혹은 논리 엔터티들 혹은 서비스들에 대해 상기 페이로드에서 식별자를 가지는 상기 코어 네트워크 혹은 동작들 및 관리(Operations And Management: OAM)로부터 다수개의 IP 어드레스들을 요구한다. 그리고 나서, 상기 코어 네트워크 혹은 상기 동작들 및 관리(Operations And Management: OAM) 네트워크는 적합한 IP 구성을 위해 엔터티들 및/혹은 서비스들을 구분하기 위해 할당된 IP 어드레스(들) 및 상기 IP 어드레스(들)에 대한 정보로 응답한다.
상기 무선 펨토 셀들은 사용자들에 대한 보안 종료 및 어그리게이션(aggregation) 및 상기 IKEv2 절차를 통한 상기 이동 운용자의 코어 네트워크에 도달되는 시그널링 트래픽(signaling traffic)을 제공하는 상기 보안 게이트웨이(security gateway: SeGW)와 통신한다. 인터넷 키 교환 버전 2(Internet Key Exchange version 2: IKEv2)는 상기 인터넷 엔지니어링 태스크 포스(Internet Engineering Task Force: IETF)에 의해 표준화되었고, H(e)NB 및 상기 SeGW의 인증 요구들 및 보안 연결 성립을 처리하는 강력한 수단들을 제공하고 있다. IKEv2는 많은 실제 인증 방법들을 지원함으로써 광범위하고 다양한 사용 경우들을 지원하는 유연한 프로토콜이다. 상기 IKEv2 프로토콜은 키들을 공유하거나 혹은 상기 확장된 인증 프로토콜(extended authentication protocol: EAP)의 다양한 방법들을 사용하는 PKI 인증서들을 통해 통신 피어들의 상호간의 강력한 인증을 지원한다. IKEv2 내에서 상기 EAP의 사용은 상기 전화 통신들 사용 경우에서 기존 인증 말단(back-end)들과 AAA 서버들에 영향을 미치는 상기 EAP-AKA 및/혹은 EAP-SIM와 같은 인증 프로토콜들의 보다 광범위환 집합에 대한 수단들을 제공한다. 일 실시예에서, 여기서 논의되는 방법들은 IKEv2 절차를 사용하는 모든 서비스들에 적용 가능하다. 여기서 논의되는 실시예들은 3GPP 시스템들, 3G (UMTS), WiMAX 네트워크, 인터넷 서비스 제공자(Internet Service Provider), 어플리케이션 서비스 제공자(application service provider), 가상 사설 네트워크(Virtual Private Network) 및 롱 텀 에볼루션(Long Term Evolution: LTE) 기술들에 적용 가능할 수 있다.
이제부터 도면들을 참조하여, 특히 도 1 내지 도 7을 참조하여 바람직한 실시예들이 도시되고, 도 1 내지 도 7에서는 유사한 참조 번호들이 도면들을 통해 일관적으로 해당하는 특징들을 나타낸다.
도 1은 여기에서 게시되는 실시예들에 따른, IKEv2 절차에서 상기 보안 게이트웨이(Security Gateway: SeGW)와 상호 연결되는 상기 홈 (진화된) 기지국(Home (evolved) NodeB: H(e)NB) 보안 아키텍쳐(architecture)를 도시하고 있는 도면이다. 상기 사용자 단말기(User equipment: UE)(101)는 동일한 장소에 위치하는 로컬 게이트웨이(local gateway: L-GW)(102)를 가지는 상기 H(e)NB(103)와 통신하고 있다. 상기 H(e)NB(103)는 상기 UE(101)와 통신할 수 있다. 일 실시예에서, 상기 H(e)NB(103)는 다수 개의 사용자 단말기 디바이스들과 통신할 수 있다. 일 실시예에서, 상기 UE(101)는 이동 디바이스와, 이동 전화기와, 태블릿(tablet)과, 개인용 디지털 단말기(Personal Digital Assistant: PDA) 등이 될 수 있다. 다른 실시예에서, 상기 사용자 단말기는 UMTS 및/혹은 LTE 서비스에 의해 지원되는 이동 단말기이다.
다수의 이동 스탠다드(standard)들(일 예로, 3G, LTE and WiMAX)로부터 뿐만 아니라 펨토 포럼으로부터 표준화된 보안 아키텍쳐는 모두가 상기 불안전 링크 네트워크(104)(일 예로, ADSL, 케이블 네트워크(Cable network)들 등)를 통해 상기 펨토 셀 AP(Femtocell AP: FAP)와 상기 보안 게이트웨이(Security Gateway: SeGW)(105)를 상호 연결하기 위해 상기 IKEv2에 영향을 미치는 공통 아키텍쳐를 가지는 좋은 예들이다. 보안 게이트웨이(105)는 사용자들에 대한 보안 종료 및 어그리게이션(aggregation) 및 상기 이동 운영자의 코어 네트워크에 도달되는 시그널링 트래픽(signaling traffic)을 제공한다.
또한, 상기 보안 게이트웨이(105)는 AAA 서버(106) 및 HSS를 포함하는 상기 운영자의 코어 네트워크와 연결된다. AAA 서버(106)는 네트워크 자원들에 대한 억세스에 대한, 엔터프라이즈(enterprise)에 대한 사용자 요구들을 핸들링하고, 인증, 수권 및 과금(authentication, authorization, and accounting: AAA) 서비스들을 제공하는 서버 프로그램이다. 상기 AAA 서버(106)는 일반적으로 네트워크 억세스 및 게이트웨이 서버들과, 사용자 정보를 포함하는 데이터 베이스(database)들 및 디렉토리(directory)들과 상호 동작한다. 홈 가입자 서버(Home Subscriber Server: HSS) 혹은 사용자 프로파일 서버 기능(User Profile Server Function: UPSF)은 상기 가입-관련 정보(가입자 프로파일들)을 포함하고, 상기 사용자의 인증 및 수권을 수행하고, 상기 가입자의 위치에 대한 정보 및 IP 정보를 제공하는 마스터 사용자 데이터 베이스(master user database)이다.
상기 운영자의 코어 네트워크는 H(e)NB의 집중 포인트(concentrate point)인 H(e)NB-게이트웨이(Gateway: GW)(107)를 포함하고, 상기 운영자의 코어 네트워크는 상기 H(e)NB 등록을 제어한다. 일 실시예에서, H(e)NB-GW(107)는 UMTS 특정 시그널링을 핸들링한다. 다른 실시예에서, H(e)NB-GW(107)는 LTE 특정 시그널링을 핸들링한다. 또한, 상기 운영자의 코어 네트워크는 상기 H(e)NB(103)로 구성 파라미터(configuration parameter)들을 송신하고, 상기 이동 운영자에 의해 상기 H(e)NB(103)를 관리하기 위해 사용되는 H(e)NB 관리 시스템(H(e)NB management system: H(e)MS)을 포함한다. 다른 H(e)MS(108)는 불안전 링크(104)를 통해 직접 상기 H(e)NB와 연결된다.
도 2는 여기서 게시되는 실시예들에 따른, 상기 H(e)NB와 상기 코어 네트워크간의 IKEv2 절차에 대한 상기 메시지 흐름을 도시하고 있는 도면이다. 도면에 도시되어 있는 바와 같이, 상기 H(e)NB(103)는 상기 보안 게이트웨이(Security gateway: SeGW)(105)와 상기 IKEv2 절차를 통해 상기 보안 연결(security association)을 인증 및 성립한다. 상기 절차는 보안 부트(secure boot)에 대한 H(e)NB(103)를 제공하는 TrE와 시작하고, H(e)NB(103)의 디바이스 완전성 체크(device integrity check)를 수행한다(201). 신뢰성 있는 실행 환경 혹은 상기 신뢰성 있는 환경(trusted environment: TrE)은 상기 신뢰성 있는 실행 환경 혹은 상기 TrE가 다른 외부 보안성 특징들이 기반으로 하는 ‘디바이스 내부’ 보안성을 제공할 경우 상기 펨토 셀 아키텍쳐의 중요한 컴포넌트가 될 수 있다. 일 예로, 상기 펨토 셀과 상기 캐리어 네트워크(carrier network)간의 인증은 상기 TrE에서 상기 보안 저장부 내에 저장되어 있는 인증서(credentials)를 사용하여 수행된다.
성공적인 디바이스 완전성 체크 후에, 상기 H(e)NB(103)는 상기 SeGW(105)로 IKE_SA_INIT 요구를 송신한다. 이 요구의 목적은 암호 파라미터(cryptographic parameter)들의 상호 동의 가능 집합을 협상하는 것에 있다. 그리고 나서, SeGW는 상기 H(e)NB(103)로부터의 인증서(certificate)를 요구하는 IKE_SA_INIT 응답을 송신한다(203). 또한, 상기 H(e)NB(103)는 상기 H(e)NB(103)의 식별자를 상기 IKE_AUTH 단계의 이 첫 번째 메시지에 포함되어 있는 상기 IDi 페이로드(payload)에서 송신하고(204), 자(child) 보안 연결들의 협상을 시작한다. 이런 교환에서, 상기 피어들은 이전 메시지들을 인증하고, 서로에게 상기 피어들의 식별자들을 제시하고, 일부 경우들에서는 인증서들을 제시한다. 이런 메시지들은 부분적으로 인크립트(encrypt)되고, 가능한 도청자들로부터 상기 피어들의 식별자들을 숨기기 위해 완전성 보호된다. 일 실시예에서, 또한 선택적으로 사용자 프로파일은 상기 IDi 페이로드에 존재하는 상기 H(e)NB의 식별자를 기반으로 선택될 수 있고, 또한 상기 사용자 프로파일에서 상기 인증 타입 지시는 인증 선택을 강제화하도록(디바이스만 혹은 결합된 디바이스 및 호스팅 파티 인증(Hosting Party authentication)) 사용될 수 있다. 상기 H(e)NB(103)는 상기 AUTH 페이로드와 상기 H(e)NB(103)의 인증서를 송신하고, 또한 상기 SeGW(105)로부터 인증서를 요구한다. 상기 H(e)NB 및/혹은 L-GW의 원격 IP 어드레스가 동적으로 구성되어야 할 경우, 하나 혹은 두 개의 어트리뷰트(attribute) 요구를 가지는 구성 페이로드가 이 메시지에서 전달된다. 일 실시예에서, H(e)NB(103)는 CFG_INFO의 통지 타입(Notification Type)을 가지는, 다른 엔터티들 혹은 서비스들에 대한 IP 어드레스 요구를 구분하는 디바이스 id 혹은 디바이스 명칭의 정보를 포함하는 통지 페이로드(Notify Payload)를 포함한다. H(e)NB(103)는 선택적으로 상기 IKE_AUTH 요구에서 INTEGRITY_INFO의 통지 타입을 가지는 H(e)NB(103)의 완전성 정보를 포함하는 통지 페이로드를 포함한다. 상기 AUTH 파라미터의 계산은 상기 H(e)NB의 TrE 내에서 수행된다. 상기 SeGW(105) 인증서의 유효성 체크가 구성될 경우, 상기 H(e)NB(103 )는 상기 OCSP 응답자로부터 SeGW 인증서 상태 정보를 검색한다. 온라인 인증서 상태 프로토콜(Online Certificate Status Protocol: OCSP)은 서버 및 다른 네트워크 자원들의 보안성을 유지하는 두 개의 공통 방식들 중 하나이다. 일부 시나리오들에서 OCSP를 대신하여 사용되고 있는 다른, 이전의 방법은 인증서 폐기 리스트(Certificate Revocation List: CRL)로서 알려져 있다. OCSP는 CRL의 주된 제한인 상기 클라이언트 측에서 상기 리스트를 현재 상태로 유지하도록 하기 위해 업데이트(update)들이 자주 다운로드되어야만 한다는 점을 극복한다. 사용자가 서버에 억세스하고자 할 경우, OSCP는 인증서 상태 정보에 대한 요구를 송신한다. 상기 서버는 “현재(current)", "파기된(expired)", 혹은 "알 수 없는(unknown)"의 응답을 송신한다. 상기 프로토콜은 상기 서버(상기 인증서 상태를 포함하는) 및 상기 클라이언트 어플리케이션(client application)(그 상태를 알려주는) 간의 통신에 대한 신택스(syntax)를 특정화시킨다. OSCP는 파기된 인증서들을 가지는 사용자들에게 유예 기간(grace period)을 허여하고, 따라서 상기 파기된 인증서들을 가지는 사용자들은 갱신전에 제한된 시간 동안 서버들에 억세스할 수 있다.
그 이후, SeGW는 상기 H(e)NB(103)로부터 수신된 AUTH의 정확도를 체크하고, 두 번째 IKE_SA_INIT 메시지를 인증하는 상기 AUTH 파라미터를 계산한다. 상기 SeGW(105)는 상기 H(e)NB(103)로부터 수신된 인증서를 확인한다(205). 일 실시예에서, 상기 SeGW(105)는 CRL 혹은 OCSP를 사용하여 상기 인증서들의 유효성을 체크할 수 있다. 상기 H(e)NB(103)가 포함되어 있는 OCSP 요구를 요구할 경우, 혹은 상기 SeGW(105)가 상기 H(e)NB(103)로 상기 SeGW(105)의 인증 폐기 상태를 제공하도록 구성될 경우, 상기 SeGW(105)는 상기 OSCP 서버로부터 SeGW 인증서 상태 정보를 검색하거나, 혹은 한 개가 유용할 경우 유효한 캐쉬된 응답(valid cached response)을 사용한다. 그리고 나서, 상기 SeGW(105)는 상기 운영자의 로컬 정책(local policy)을 기반으로 상기 IKE_AUTH 요구의 상기 N 페이로드를 프로세싱한다(206). 일 실시예에서, SeGW(105)는 통계적 분석을 위해서 상기 N 페이로드에서 전달되는 상기 정보를 보유하기로 선택할 수 있고, 부정 적발을 위한 부정 정보 취합 시스템(Fraud Information Gathering System: FIGS)으로 상기 정보를 송신하거나, 혹은 확인을 위해 확인 엔터티(validation entity)로 상기 정보를 송신할 수 있다.
그 후, 상기 SeGW(105)는 상기 IDr 페이로드에서 상기 SeGW(105)의 식별자를 송신하고, 상기 AUTH 파라미터 및 상기 SeGW(105)의 인증서를 상기 구성 페이로드, 보안 연결들, 상기 IKEv2 파라미터들의 나머지와, 상기 IKEv2 협상 종료들과 함께 상기 H(e)NB(103)로 송신한다. 상기 원격 IP 어드레스들은 상기 H(e)NB(103)가 상기 CFG_REQUEST를 통한 H(e)NB 및/혹은 L-GW의 원격 IP 어드레스들을 요구하였을 경우 상기 구성 페이로드(configuration payload: CFG_REPLY)에서 할당된다.
일 실시예에서, SeGW(105)는 CFG_INFO의 통지 타입과 함께, 상기 할당을 구분하기 위해, 디바이스 id 혹은 디바이스 명칭 및 상기 SeGW(105)에 대한 해당 IP 어드레스 할당의 정보를 포함하는 통지 페이로드를 포함한다.
또한, 상기 H(e)NB(103)는 상기 H(e)NB(103)의 저장되어 있는 루트 인증서(root certificate)를 사용하여 상기 SeGW 인증서를 확인한다(208). 상기 SeGW 인증서에 대한 상기 루트 인증서는 상기 TrE에 저장된다. 상기 H(e)NB(103)는 상기 SeGW 인증서에 포함되어 있는 상기 SeGW(105) 식별자가 초기 구성에 의해 혹은 H(e)MS(108)에 의해 H(e)NB(103)에 제공되어 있는 상기 SeGW 식별자와 동일한지 체크한다. 상기 H(e)NB(103)는 그렇게 수행하도록 구성되어 있을 경우, 상기 OSCP 응답을 사용하여 상기 SeGW(105) 인증서들의 유효성을 체크한다.
또한, 상기 SeGW(105)가 이미 존재하고 있는 상기 H(e)NB(103)에 대한 이전의 IKE SA를 검출하였을 경우, 상기 SeGW(105)는 상기 이전의 IKE SA를 삭제하고(209), H(e)NB(103)에서 상기 이전의 IKE SA를 삭제하기 위해 삭제 페이로드(Delete payload)를 가지는 정보 교환(INFORMATIONAL exchange)을 송신한다.
도 3은 여기에서 게시되는 실시예들에 따른, 인터넷 키 교환 버전 2 프로토콜(employing Internet Key Exchange Version 2 protocol: IKEv2) 절차를 사용하는 구성 페이로드 어트리뷰트 타입(Configuration Payload Attribute Type)을 사용하는 상기 H(e)NB 통지를 도시하고 있는 도면이다. 다른 엔터티들(논리적 혹은 물리적)로부터의 다수 개의 IP 요구에 대해 상기 도면에 도시되어 있는 바와 같이, 상기 H(e)NB (IKEv2 피어)는 IP 어드레스를 할당하는 네트워크 엔터티에 대한 상기 어트리뷰트 타입 값(Attribute Type Value)에 고유한 식별자를 함께 포함시킨다. 일 실시예에서, 상기 결합된 H(e)NB/L-GW 노드(node)는 두 개의 다른 어드레스들: 상기 H(e)NB 기능을 위한 어드레스 및 상기 L-GW 기능을 위한 다른 어드레스를 사용한다. 일 예로, H(e)NB(103)와 SeGW(105)간의 IPsec 터널(tunnel)은 상기 IKEv2 프로토콜을 가지는 3GPP 시스템들에 따라 성립된다. 따라서, 상기 IKEv2 프로토콜은 상기 “개시자(initiator)"가 상기 초기 IKEv2 교환 동안 상기 CFG_REQUEST 구성 페이로드를 통해 다수 개의 “내부 IP 어드레스들(internal IP addresses)”을 요구하는 것을 허여한다. 상기 "initiator" 역할에서, 상기 결합된 HeNB/L-GW 노드는 그리고 나서 적어도 두 개의 내부 IP 어드레스들을 요구할 수 있고, 상기 H(e)NB 기능에 한 개의 내부 IP 어드레스를 할당하고, 상기 L-GW(102) 기능에 다른 한 개의 내부 IP 어드레스를 할당할 수 있다.
CFG_Request 및 CFG_Response에서 Attribute Type는 일반적으로:
<XXX>_IP4_<YYY> 혹은
<XXX>_IP6_<YYY> 혹은
<XXX>_<YYY>_IP4 혹은
<XXX>_<YYY>_IP6이다.
여기서, XXX는 내부(INTERNAL) 혹은 외부(EXTERNAL)가 될 수 있고, YYY는 엔터티 혹은 서비스 혹은 인터페이스 혹은 어플리케이션 지시/명칭을 나타낸다.
CFG 타입(CFG Type)은 상기 Configuration Attribute들에 의해 표현되는 교환의 타입이다. 상기 CFG 타입은 CFG_REQUEST, CFG_REPLY, CFG_SET 및 CFG_ACK가 될 수 있다.
어트리뷰트 타입(Attribute Type)은 상기 Configuration Attribute Type들 각각에 대한 고유한 식별자이다. 매 어트리뷰트 타입은 값 및 길이를 가진다. 일 예로, 상기 어트리뷰트 타입들은 하기와 같이 표현될 수 있다:
INTERNAL_IP4_HNB
INTERNAL_IP4_LGW]
INTERNAL_IP4_HeNB]
INTERNAL_IP4_H(e)NB
INTERNAL_IP4_IMS
EXTERNAL_IP4_H(e)NB_NAT
일 실시예에서, 상기 어트리뷰트 타입은 1의 값을 가지고, 0 혹은 4 옥텟(octet)의 길이를 가지는 INTERNAL_IP4_ADDRESS로서 표현될 수 있다. 다수개의 내부 어드레스들은 다수개의 내부 어드레스들 어트리뷰트들을 요구함으로써 요구될 수 있다. 상기 응답자는 오직 요구된 어드레스들의 개수까지 송신할 수 있다.
일 실시예에서, 상기 식별자는 표준화된 값으로 상기 IKEv2 피어들에게 알려져 있다. 일 실시예에서, 상기 식별자는 벤더 특정 값(Vendor specific value)들로 미리 구성되어 있다. 이런 값들은 또한 CFG_SET/CFG_ACK 페이로드들에서 사용된다. 벤더 ID 페이로드는 또한 상기 값들/엔터티들이 특정 시나리오/네트워크에 속할 경우 포함될 수 있다. 다음 페이로드 필드는 상기 헤더(header) 바로 뒤에 나오는 페이로드의 타입을 나타낸다. 상기 페이로드의 타입은 상기 메시지에서 다음 페이로드의 페이로드 타입에 대한 식별자이다. 현재의 페이로드가 상기 메시지에서 마지막일 경우, 이 필드는 0이 될 것이다. 이 필드는 "체이닝(chaining)" 능력을 제공하고, 이에 따라 추가적인 페이로드들은 상기 추가적인 페이로드들을 상기 메시지의 마지막에 첨부시키고 상기 새로운 페이로드의 타입을 나타내기 위해 이전 페이로드의 “다음 페이로드(Next Payload)"를 설정함으로써 메시지에 추가될 수 있다.
도 4는 여기에서 게시되는 실시예들에 따른, 구성 페이로드 예약 비트(Configuration Payload Reserved bit)를 사용하는 게이트웨이 통지(Gateway notification)를 도시하고 있는 도면이다. 일 실시예에서, 다른 엔터티들(논리 혹은 물리)로부터의 다수개의 IP 요구에 대해, 상기 H(e)NB (IKEv2 피어)는 IP 어드레스를 할당할 상기 네트워크 엔터티에 대한 구성 어트리뷰트 페이로드의 예약 비트에 고유한 식별자를 포함시킨다. 이런 해결 방식들은 오직 두 개의 IP 어드레스들을 할당한다는 제한을 가진다.
일 실시예에서, 구성 페이로드 예약 비트 “0”은 H(e)NB IP 어드레스를 나타내고, “1”은 L-GW IP 어드레스를 나타낸다. 상기 식별자는 표준화된 값으로서 상기 IKEv2 피어들에게 알려져 있다. 일 실시예에서, 상기 식별자는 벤더 특정 값들로서 사전에 구성된다. 또한, 상기 값들은 CFG_SET/CFG_ACK 페이로드들에서 사용된다. 벤더 ID 페이로드는 또한 상기 값들/엔터티들이 특정 시나리오/네트워크에 속할 경우 포함될 수 있다.
도 5는 여기서 게시되는 실시예들에 따른, 상기 IP 어드레스들을 요구하는 상기 디바이스/서비스를 나타내기 위해 구성 페이로드에 의해 사용될 경우 상기 일반 페이로드 헤더(Generic Payload Header)에서 상기 예약된 바이트들을 사용하는 상기 개시자 혹은 응답자를 도시하고 있는 도면이다. 일 실시예에서, 개시자 혹은 응답자는 상기 IP 어드레스를 요구하는 상기 디바이스/서비스를 나타내기 위해 상기 일반 페이로드 헤더에서 상기 예약된 비트들을 사용한다. 상기 지시자는 값이거나 혹은 스트링(string)이 될 수 있다. 벤더 ID(Vendor ID) 페이로드는 상기 값들/엔터티들이 특정 시나리오/네트워크에 속해 있을 경우 포함될 수 있다. 일 실시예에서, 상기 서비스는 인터넷 프로토콜(Internet Protocol: IP) 멀티미디어 서비스들을 전달하는 IP 멀티미디어 서브 시스템(IP Multimedia Subsystem: IMS)이 될 수 있다.
도 6은 여기에서 게시되는 실시예들에 따른, 상기 식별자들 혹은 명칭들 혹은 값들이 변경되는 상기 메시지들에서 상기 CFG_REQUEST 및 CFG_REPLY 페이로드와 함께 통지 페이로드 필드를 사용하는 통지를 도시하고 있는 도면이다. 일 실시예에서, 상기 메시지들에서 상기 CFG_REQUEST 및 CFG_REPLY 페이로드와 함께 Notified Payload를 사용하여 상기 식별자들 혹은 명칭들 혹은 값들이 교환된다. 이제, 상기 SeGW는 어떤 어드레스가 어떤 디바이스 혹은 서비스 혹은 기능 엔터티에 할당될 것인지 알고 있고, 상기 H(e)NB는 어떤 어드레스가 어떤 디바이스 혹은 서비스 혹은 기능 엔터티에 대해 구성될 것인지 알고 있다. 일 실시예에서, Vendor ID 페이로드는 또한 상기 값들/엔터티들이 특정 시나리오/네트워크에 속할 경우 포함될 수 있다.
상기 IP 어드레스들의 구분에 대한 정보는 상기 SeGW(105)로부터 상기 H(e)NB(103)로의 IKEv2 절차들 동안 상기 Notify Payload에서 전달된다. H(e)NB(103)는 하기에 나타내고 있는 바와 같은 상기 통지 메시지 타입(Notification Message Type) 중 어느 하나를 가지는 구분 정보를 포함하는 통지 페이로드(Notify Payload)를 포함한다.
CFG_INFO
INTERNAL_ADDRESS_INFO
도 7은 여기에서 게시되는 실시예들에 따른, 인터넷 키 교환 버전 2 프로토콜(Internet Key Exchange Version 2 protocol: IKEv2) 절차를 사용하는 CFG Attribute Type을 사용하는 상기 H(e)NB 통지를 도시하고 있는 도면이다. 일 실시예에서, 다른 엔터티들(논리 혹은 물리) 및/혹은 서비스들로부터의 다수개의 IP 요구에 대해, 상기 H(e)NB (IKEv2 피어)는 IP 어드레스를 할당할 수 있는 네트워크 엔터티에 대한 상기 Attribute Type Value에 고유한 식별자를 포함시킨다.
새로운 어트리뷰트 타입들은 다음과 같다:
INTERNAL_TYPED_IPV4_ADDRESS
INTERNAL_TYPED_IPV6_ADDRESS
EXTERNAL_TYPED_IPV4_ADDRESS
EXTERNAL_TYPED_IPV6_ADDRESS
값(Value) 필드는 16-비트 어드레스_타입(Address_Type)부터 시작하고, 그 다음에 16-비트 예약 필드 및 IPv4/IPv6 어드레스에 대한 32/128 비트가 뒤 따른다. 일 실시예에서, 예약 필드는 얼라인먼트(alignment)를 위해 존재하고, 예약 필드의 필드 사이즈(size)들 및 존재는 변경될 수 있다.
일 실시예에서, INTERNAL_IP4_ADDRESS는 값 1을 가지고 0 혹은 4 옥텟들의 길이를 가지고, INTERNAL_IP6_ADDRESS는 값 8을 가지고 0 혹은 16의 옥텟들의 길이를 가진다.
어드레스 타입(Address_Type)들은 일반적으로 하기와 같이 정의된다:
<XXX>_IP4_<XXX> 혹은
<XXX>_IP6_<XXX> 혹은
<XXX>_IP6_<YYY> 혹은
<XXX>_<YYY>_IP4 혹은
<XXX>_<YYY>_IP6
여기서, XXX는 내부(INTERNAL) 혹은 외부(EXTERNAL)가 될 수 있고, YYY는 엔터티 혹은 서비스 혹은 인터페이스 혹은 어플리케이션 지시/명칭을 나타낸다.
일 예로, 상기 어트리뷰트 타입은 다음과 같을 수 있다:
INTERNAL_IP4_HNB
INTERNAL_IP4_LGW
INTERNAL_IP4_HeNB
INTERNAL_IP4_H(e)NB
INTERNAL_IP4_IMS
EXTERNAL_IP4_H(e)NB_NAT
일 실시예에서, 상기 식별자는 표준화된 값으로 상기 IKEv2 피어들에게 알려질 것이다. 일 실시예에서, 상기 식별자는 벤더 특정 값들로 미리 구성된다. 상기 값들은 또한 CFG_SET/CFG_ACK 페이로드들에서 사용된다. 벤더 ID는 상기 값들/엔터티들이 특정 시나리오/네트워크에 속할 경우 포함될 수 있다.
여기서 게시되고 있는 실시예들은 적어도 하나의 하드웨어 디바이스(hardware device)에서 실행되고 상기 엘리먼트들을 제어하는 네트워크 관리 기능들을 수행하는 적어도 하나의 소프트웨어 프로그램(software program)을 통해 구현될 수 있다. 도 1 및 도 2에 도시되어 있는 엘리먼트들은 하드웨어 디바이스, 혹은 하드웨어 디바이스 및 소프트웨어 모듈(software module)의 결합 중 적어도 하나가 될 수 있는 블록들을 포함한다.
특정 실시예들의 상기와 같은 설명은 여기서 타인들이 현재의 지식을 적용함으로써 상기 일반 개념으로부터의 벗어남이 없는 상기 특정 실시예들과 같은 다양한 어플리케이션들에 대한 용이한 수정 및/혹은 적용할 수 있도록 상기 실시예들의 일반적인 특성을 모두 나타낼 것이고, 따라서 상기와 같은 적용들 및 수정들은 게시되어 있는 실시예들의 의미 및 그 균등한 것들의 범위 내에서 이해되어야만 하거나 이해될 것이다. 여기서 사용되는 어법 및 용어는 설명의 목을 위한 것이지 제한을 위한 것이 아님이 이해될 것이다. 따라서, 여기서 상기 실시예들이 바람직한 실시예들 측면에서 설명되고 있다고 할지라도, 해당 기술 분야의 당업자들은 여기서의 상기 실시예들은 여기서 설명되는 실시예들의 사상 및 범위 내에서 수정되어 실현될 수 있음을 인식할 것이다.

Claims (25)

  1. 통신 네트워크에서 인터넷 키 교환(Internet Key Exchange: IKEv2) 절차에서 서비스들에 대한 인터넷 프로토콜(Internet Protocol: IP) 어드레스(address)들을 할당하는 방법에 있어서, 상기 네트워크는 적어도 하나의 홈 게이트웨이(Home Gateway)와 적어도 하나의 네트워크 보안 게이트웨이(network security gateway)를 포함하며:
    상기 홈 게이트웨이는 상기 각 서비스에 대한 서비스 특정 어드레스들의 할당을 위해 상기 보안 게이트웨이로 구성 페이로드(configuration payload)에서 요구를 송신하는 과정과;
    상기 보안 게이트웨이는 구성 페이로드에서 상기 요구를 프로세싱(processing)하는 과정과;
    상기 보안 게이트웨이가 상기 서비스들의 상기 IP 어드레스들을 나타내는 상기 구성 페이로드에서 상기 홈 게이트웨이로 응답을 송신하는 과정을 포함함을 특징으로 하는 통신 네트워크에서 IKEv2 절차에서 서비스들에 대한 IP 어드레스들을 할당하는 방법.
  2. 제1항에 있어서,
    상기 요구를 송신하는 과정은:
    상기 홈 게이트웨이 및 로컬 게이트웨이(local gateway)에 대해, 정보와 IP 어드레스들의 동적 할당 중 적어도 하나에 대한 상기 구성 페이로드 요구에서 적어도 하나의 어트리뷰트(attribute) 요구를 사용하는 과정을 포함함을 특징으로 하는 통신 네트워크에서 IKEv2 절차에서 서비스들에 대한 IP 어드레스들을 할당하는 방법.
  3. 제1항에 있어서,
    상기 구성 페이로드에서 상기 요구를 송신하는 과정은:
    IP 어드레스를 제공하는 상기 보안 게이트웨이 엔터티(entity)에 대한 상기 페이로드에서 상기 어트리뷰트 타입 값에서 고유한 식별자를 사용하여 수행됨을 특징으로 하는 통신 네트워크에서 IKEv2 절차에서 서비스들에 대한 IP 어드레스들을 할당하는 방법.
  4. 제3항에 있어서,
    상기 식별자는 표준화 값으로 상기 IKEv2 피어(peer)들에 알려지고, 네트워크 운영자 특정 값들로 미리 구성되는 것 중 하나임을 특징으로 하는 통신 네트워크에서 IKEv2 절차에서 서비스들에 대한 IP 어드레스들을 할당하는 방법.
  5. 제1항에 있어서,
    상기 구성 페이로드에서 상기 요구를 송신하는 과정은:
    IP 어드레스를 제공하는 상기 보안 게이트웨이에 대한 구성 어트리뷰트(attribute) 페이로드의 예약된 비트에서 고유한 식별자를 사용하여 수행됨을 특징으로 하는 통신 네트워크에서 IKEv2 절차에서 서비스들에 대한 IP 어드레스들을 할당하는 방법.
  6. 제5항에 있어서,
    상기 예약된 비트에서 영은 상기 IP 어드레스가 상기 홈 게이트웨이에 대한 것이고, 상기 예약된 비트에서 1은 상기 IP 어드레스가 상기 로컬 게이트웨이에 대한 것임을 나타냄을 특징으로 하는 통신 네트워크에서 IKEv2 절차에서 서비스들에 대한 IP 어드레스들을 할당하는 방법.
  7. 제1항에 있어서,
    상기 방법은:
    상기 디바이스에 대한 IP 어드레스를 구분하기 위해 구성 페이로드 요구(configuration payload request)와, 구성 페이로드 응답(configuration payload response) 중 적어도 하나에서 일반 페이로드 헤더 예약된 비트(Generic Payload Header RESERVED bit)들을 사용함을 특징으로 하는 통신 네트워크에서 IKEv2 절차에서 서비스들에 대한 IP 어드레스들을 할당하는 방법.
  8. 제1항에 있어서,
    상기 방법은:
    상기 서비스에 대한 IP 어드레스를 구분하기 위해 구성 페이로드 요구(configuration payload request)와, 구성 페이로드 응답(configuration payload response) 중 적어도 하나에서 상기 통지 페이로드(Notify Payload)의 통지 데이터를 사용함을 특징으로 하는 통신 네트워크에서 IKEv2 절차에서 서비스들에 대한 IP 어드레스들을 할당하는 방법.
  9. 제1항에 있어서,
    상기 방법은:
    상기 구성 페이로드에서 디바이스 식별자(device identity)와, 디바이스 명칭(device name)과, 서비스 식별자(service identity)와, 서비스 명칭(service name)과, 인터페이스 명칭(interface name)과, 어플리케이션 식별자(application identity)와, 어플리케이션 명칭(application name) 중 적어도 하나를 상기 IP 어드레스 요구 및 할당을 나타내기 위한 구분자들로서 사용함을 특징으로 하는 통신 네트워크에서 IKEv2 절차에서 서비스들에 대한 IP 어드레스들을 할당하는 방법.
  10. 제1항에 있어서,
    상기 구성 페이로드는 네트워크 운영자에 의해 제공되고, 상기 운영자에 특정됨을 특징으로 하는 통신 네트워크에서 IKEv2 절차에서 서비스들에 대한 IP 어드레스들을 할당하는 방법.
  11. 제1항에 있어서,
    상기 프로세싱 과정은:
    상기 홈 게이트웨이의 인증과 상기 운영자의 로컬 정책(local policy)을 기반으로 상기 IKEv2 요구의 상기 통지 페이로드를 프로세싱하는 과정을 포함함을 특징으로 하는 통신 네트워크에서 IKEv2 절차에서 서비스들에 대한 IP 어드레스들을 할당하는 방법.
  12. 제1항에 있어서,
    상기 통신 네트워크는 3세대 파트너쉽 프로젝트(third generation partnership project: 3GPP) 시스템들과, WiMAX 네트워크와, 인터넷 서비스 제공자(Internet Service Provider)와, 어플리케이션 서비스 제공자(Application Service Provider)와, 가상 사설 네트워크(Virtual Private Network) 중 적어도 하나임을 특징으로 하는 통신 네트워크에서 IKEv2 절차에서 서비스들에 대한 IP 어드레스들을 할당하는 방법.
  13. 제1항에 있어서,
    상기 홈 게이트웨이는 홈 (진화된) 기지국(Home (enhanced) NodeB: H(e)NB)과, 가정용 게이트웨이(residential gateway)와, 셋 탑 박스(setup box)와, NodeB와, eNodeB와, IKEv2 피어(peer) 중 적어도 하나임을 특징으로 하는 통신 네트워크에서 IKEv2 절차에서 서비스들에 대한 IP 어드레스들을 할당하는 방법.
  14. 통신 네트워크에서 인터넷 키 교환(Internet Key Exchange: IKEv2) 절차에서 서비스들에 대한 인터넷 프로토콜(Internet Protocol: IP) 어드레스(address)들을 할당하는 시스템에 있어서, 상기 네트워크는 IKEv2 피어(peer)들을 포함하고, 상기 시스템은 청구항 1 내지 청구항 13에서 청구하고 있는 방법들 중 적어도 하나를 수행함을 특징으로 하는 통신 네트워크에서 IKEv2 절차에서 서비스들에 대한 IP 어드레스들을 할당하는 시스템.
  15. 통신 네트워크에서 인터넷 키 교환(Internet Key Exchange: IKEv2) 절차에서 서비스들에 대한 인터넷 프로토콜(Internet Protocol: IP) 어드레스(address)들을 구분하는 홈 게이트웨이(Home Gateway)에 있어서,
    상기 홈 게이트웨이는:
    상기 홈 게이트웨이가 서비스하는 각 서비스에 대한 특정 IP 어드레스들을 할당하기 위해 보안 게이트웨이(security gateway)로 구성 페이로드(configuration payload)에서 요구를 송신하고;
    상기 보안 게이트웨이로부터 상기 서비스들에 대한 상기 IP 어드레스들의 할당을 나타내는 상기 구성 페이로드에서 응답을 송신하도록 구성됨을 특징으로 하는 통신 네트워크에서 IKEv2 절차에서 서비스들에 대한 IP 어드레스들을 구분하는 홈 게이트웨이.
  16. 제15항에 있어서,
    상기 홈 게이트웨이는 IP 어드레스를 제공하는 상기 보안 게이트웨이 엔터티(entity)에 대한 상기 페이로드에서 상기 어트리뷰트 타입 값(attribute type value)에서 고유한 식별자를 사용하는 상기 IKEv2 구성 페이로드에서 상기 요구를 송신하도록 구성됨을 특징으로 하는 통신 네트워크에서 IKEv2 절차에서 서비스들에 대한 IP 어드레스들을 구분하는 홈 게이트웨이.
  17. 제15항에 있어서,
    상기 홈 게이트웨이는 IP 어드레스를 할당하는 상기 보안 게이트웨이에 대한 IKEv2 구성 어트리뷰트(attribute) 페이로드의 예약된 비트에서 고유한 식별자를 사용하는 상기 IKEv2 구성 페이로드에서 상기 요구를 송신하도록 구성됨을 특징으로 하는 통신 네트워크에서 IKEv2 절차에서 서비스들에 대한 IP 어드레스들을 구분하는 홈 게이트웨이.
  18. 제15항에 있어서,
    상기 홈 게이트웨이는 상기 서비스에 대한 IP 어드레스 요구를 나타내기 위해 IKEv2 구성 페이로드 요구에서 예약되니 비트들을 사용하도록 구성됨을 특징으로 하는 통신 네트워크에서 IKEv2 절차에서 서비스들에 대한 IP 어드레스들을 구분하는 홈 게이트웨이.
  19. 제15항에 있어서,
    상기 홈 게이트웨이는 상기 서비스에 대한 IP 어드레스 요구를 나타내기 위해 IKEv2 구성 페이로드 요구에서 통지 데이터(Notification data)를 사용하도록 구성됨을 특징으로 하는 통신 네트워크에서 IKEv2 절차에서 서비스들에 대한 IP 어드레스들을 구분하는 홈 게이트웨이.
  20. 제15항에 있어서,
    상기 홈 게이트웨이는 3세대 파트너쉽 프로젝트(third generation partnership project: 3GPP) 시스템들에서 동작하도록 구성됨을 특징으로 하는 통신 네트워크에서 IKEv2 절차에서 서비스들에 대한 IP 어드레스들을 구분하는 홈 게이트웨이.
  21. 제15항에 있어서,
    상기 홈 게이트웨이는 홈 (진보된) 기지국(Home (enhanced) NodeB: H(e)NB)임을 특징으로 하는 통신 네트워크에서 IKEv2 절차에서 서비스들에 대한 IP 어드레스들을 구분하는 홈 게이트웨이.
  22. 통신 네트워크에서 인터넷 키 교환(Internet Key Exchange: IKEv2) 절차에서 서비스들에 대한 인터넷 프로토콜(Internet Protocol: IP) 어드레스(address)들을 할당하는 보안 게이트웨이(security gateway)에 있어서,
    상기 보안 게이트웨이는:
    각 서비스에 대한 특정 IP 어드레스들의 할당을 위해 홈 게이트웨이(Home Gateway)로부터 구성 페이로드(configuration payload)에서 요구를 수신하고;
    상기 보안 게이트웨이가 구성 페이로드에서 상기 요구를 프로세싱(processing)하고;
    상기 서비스들에 대한 IP 어드레스들의 할당을 나타내는 상기 구성 페이로드에서 상기 홈 게이트웨이로 응답을 송신하도록 구성됨을 특징으로 하는 통신 네트워크에서 IKEv2 절차에서 서비스들에 대한 IP 어드레스들을 할당하는 보안 게이트웨이.
  23. 제22항에 있어서,
    상기 게이트웨이는 상기 서비스에 대한 IP 어드레스 할당을 나타내기 위해 구성 페이로드 응답에서 예약된 비트들을 사용하도록 구성됨을 특징으로 하는 통신 네트워크에서 IKEv2 절차에서 서비스들에 대한 IP 어드레스들을 할당하는 보안 게이트웨이.
  24. 제22항에 있어서,
    상기 게이트웨이는 상기 서비스에 대한 IP 어드레스 할당을 나타내기 위해 구성 페이로드 응답에서 통지 데이터(Notification data)를 사용하도록 구성됨을 특징으로 하는 통신 네트워크에서 IKEv2 절차에서 서비스들에 대한 IP 어드레스들을 할당하는 보안 게이트웨이.
  25. 제22항에 있어서,
    상기 게이트웨이는 3세대 파트너쉽 프로젝트(third generation partnership project: 3GPP) 시스템들에서 동작됨을 특징으로 하는 통신 네트워크에서 IKEv2 절차에서 서비스들에 대한 IP 어드레스들을 할당하는 보안 게이트웨이.
KR1020137028654A 2011-03-30 2012-03-30 인터넷 키 교환 버전 2 프로토콜(internet key exchange version 2 protocol: ikev2) 절차를 사용하여 아이피 어드레스들을 구분하고 무선 펨토 셀들 홈 (진화된) 기지국(home (evolved) nodeb: h(e)nb) 및 논리 게이트웨이(local gateway: lgw)로 할당하는 방법 및 시스템 KR20140021632A (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
IN998CH2011 2011-03-30
IN998/CHE/2011 2011-03-30
PCT/KR2012/002375 WO2012134217A2 (en) 2011-03-30 2012-03-30 Method and system to differentiate and assigning ip addresses to wireless femto cells h(e)nb (home (evolved) nodeb) and lgw (local gateway) by using ikev2 (internet key exchange version 2 protocol) procedure

Publications (1)

Publication Number Publication Date
KR20140021632A true KR20140021632A (ko) 2014-02-20

Family

ID=46932160

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020137028654A KR20140021632A (ko) 2011-03-30 2012-03-30 인터넷 키 교환 버전 2 프로토콜(internet key exchange version 2 protocol: ikev2) 절차를 사용하여 아이피 어드레스들을 구분하고 무선 펨토 셀들 홈 (진화된) 기지국(home (evolved) nodeb: h(e)nb) 및 논리 게이트웨이(local gateway: lgw)로 할당하는 방법 및 시스템

Country Status (4)

Country Link
US (1) US20140093080A1 (ko)
EP (1) EP2692109A4 (ko)
KR (1) KR20140021632A (ko)
WO (1) WO2012134217A2 (ko)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015112429A1 (en) * 2014-01-23 2015-07-30 Newomics Inc Methods and systems for diagnosing diseases
US10608985B2 (en) * 2015-08-14 2020-03-31 Oracle International Corporation Multihoming for tunneled encapsulated media
TWI566545B (zh) * 2015-08-28 2017-01-11 鴻海精密工業股份有限公司 家庭基站及ip配置的方法

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8515421B2 (en) * 2005-11-12 2013-08-20 Interdigital Technology Corporation IMS enabled attach procedure for LTE
EP3291636B1 (en) * 2007-10-25 2020-04-29 Cisco Technology, Inc. Interworking gateway for mobile nodes
WO2010078492A2 (en) * 2008-12-31 2010-07-08 Interdigital Patent Holdings, Inc. Authentication method selection using a home enhanced node b profile
JP5453461B2 (ja) * 2009-03-05 2014-03-26 インターデイジタル パテント ホールディングス インコーポレイテッド H(e)NB完全性検証および妥当性確認のための方法および機器
GB2472842B (en) * 2009-08-21 2012-06-27 Samsung Electronics Co Ltd A network entity, a wireless communication unit and methods for access to a remote private IP network and supporting therof
EP2490469B1 (en) * 2009-10-13 2018-06-13 Nec Corporation Mobile communication system, gateway device, base station device, control method for gateway device, and computer-readable medium
EP2494814B1 (en) * 2009-10-27 2015-12-23 Telefonaktiebolaget L M Ericsson (PUBL) Method and apparatus for exchanging data between a user equipment and a core network via a security gateway
CN104581702B (zh) * 2009-11-02 2018-05-08 Lg电子株式会社 用于在家庭蜂窝基站处提供本地ip接入的方法及其装置
EP2378802B1 (en) * 2010-04-13 2013-06-05 Alcatel Lucent A wireless telecommunications network, and a method of authenticating a message
KR20130079564A (ko) * 2010-09-28 2013-07-10 리서치 인 모션 리미티드 Ue가 주택/기업 네트워크 커버리지 밖으로 이동할 때 로컬 gw와의 연결을 해제시키는 방법 및 장치
US9723531B2 (en) * 2011-02-15 2017-08-01 Nokia Solutions And Networks Oy Method and apparatus for in sequence delivery of downlink local IP access (LIPA) packets
EP2676420A4 (en) * 2011-02-15 2017-06-28 ZTE Corporation Internet protocol mapping resolution in fixed mobile convergence networks

Also Published As

Publication number Publication date
US20140093080A1 (en) 2014-04-03
WO2012134217A3 (en) 2013-01-03
WO2012134217A2 (en) 2012-10-04
EP2692109A4 (en) 2015-04-15
EP2692109A2 (en) 2014-02-05

Similar Documents

Publication Publication Date Title
US11838286B2 (en) Multi-stage secure network element certificate provisioning in a distributed mobile access network
CN112997454B (zh) 经由移动通信网络连接到家庭局域网
KR102315881B1 (ko) 사용자 단말과 진화된 패킷 코어 간의 상호 인증
JP6416380B2 (ja) ユーザー装置、リレーデバイスが実行する方法、コンピュータプログラム及び記憶媒体
US8627064B2 (en) Flexible system and method to manage digital certificates in a wireless network
KR100907507B1 (ko) 무선 랜 단말의 bwa 네트워크 연동시 사용자 인증 방법및 그 시스템
KR101121465B1 (ko) Ims과 같은 시큐어 코어 네트워크와 통신하는 펨토셀에 부착된 모바일 유닛들을 인증하기 위한 방법
US10902110B2 (en) Use of AKA methods and procedures for authentication of subscribers without access to SIM credentials
US20100251330A1 (en) Optimized relaying of secure network entry of small base stations and access points
RU2009138223A (ru) Профиль пользователя, политика и распределение ключей pmip в сети беспроводной связи
BR112017002343B1 (pt) aparelho e método para provimento de servidores e credencial de travessia com o uso de retransmissores ao redor de tradução de endereço de rede (turn)
CN108307391B (zh) 一种终端接入方法和系统
US11496894B2 (en) Method and apparatus for extensible authentication protocol
US20110255459A1 (en) Wireless metropolitan area network service over wireless local area network
US20140004830A1 (en) System and Method for Femto ID verification
US20140093080A1 (en) Method and system to differentiate and assigning ip addresses to wireless femto cells h(e)nb (home (evolved) nodeb) and lgw (local gateway) by using ikev2 (internet key exchange version 2 protocol) procedure
US9473934B2 (en) Wireless telecommunications network, and a method of authenticating a message
Prasad et al. A secure certificate based authentication to reduce overhead for heterogeneous wireless network
Namal et al. Securing the backhaul for mobile and multi-homed femtocells
CN113498055B (zh) 接入控制方法及通信设备
WO2013109417A2 (en) Notarized ike-client identity and info via ike configuration payload support
Samoui et al. Improved IPSec tunnel establishment for 3GPP–WLAN interworking
KR102558364B1 (ko) 5g lan 서비스 제공 방법
Singh et al. Heterogeneous networking: Security challenges and considerations
Iyer et al. Public WLAN Hotspot Deployment and Interworking.

Legal Events

Date Code Title Description
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid