KR20140022455A - 이용자 엔티티에 네트워크 액세스를 제공하기 위한 방법 및 장치 - Google Patents

이용자 엔티티에 네트워크 액세스를 제공하기 위한 방법 및 장치 Download PDF

Info

Publication number
KR20140022455A
KR20140022455A KR1020147000252A KR20147000252A KR20140022455A KR 20140022455 A KR20140022455 A KR 20140022455A KR 1020147000252 A KR1020147000252 A KR 1020147000252A KR 20147000252 A KR20147000252 A KR 20147000252A KR 20140022455 A KR20140022455 A KR 20140022455A
Authority
KR
South Korea
Prior art keywords
access point
user
access
user entities
network
Prior art date
Application number
KR1020147000252A
Other languages
English (en)
Other versions
KR101545879B1 (ko
Inventor
티에리 반 데 벨데
빔 헨데릭스
텔레마코 멜리아
Original Assignee
알까뗄 루슨트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 알까뗄 루슨트 filed Critical 알까뗄 루슨트
Publication of KR20140022455A publication Critical patent/KR20140022455A/ko
Application granted granted Critical
Publication of KR101545879B1 publication Critical patent/KR101545879B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2854Wide area networks, e.g. public data networks
    • H04L12/2856Access arrangements, e.g. Internet access
    • H04L12/2863Arrangements for combining access network resources elements, e.g. channel bonding
    • H04L12/2867Physical combinations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

액세스 포인트를 통해 복수의 이용자 엔티티들에 네트워크 액세스를 제공하기 위한 방법이 개시되고, 상기 액세스 포인트는 LAN 인터페이스 및 광대역 네트워크 인터페이스를 포함하고, 방법은 게이트웨이 디바이스에서: 상기 액세스 포인트와의 제 2 안전한 통신 링크를 확립하는 단계; 상기 제 2 안전한 통신 링크를 통해 상기 복수의 이용자 엔티티들 중 하나의 이용자 엔티티로부터 IP 어드레스 할당 요청을 수신하는 단계; 상기 복수의 이용자 엔티티들 중 상기 하나의 이용자 엔티티와 연관된 모바일 가입과 관련된 데이터에 기초하여 상기 복수의 이용자 엔티티들 중 상기 하나의 이용자 엔티티의 성공적인 인증이 이미 발생한지의 여부를 검증하기 위해 AAA 서버에 액세스하는 단계; 및 성공적인 검증 시에, 상기 복수의 이용자 엔티티들 중 상기 하나의 이용자 엔티티로 IP 어드레스 할당 방식을 완료하고 상기 복수의 이용자 엔티티들 중 상기 하나의 이용자 엔티티와 PDN 사이에 데이터의 중계를 가능하게 하는 단계를 포함하고; 상기 게이트웨이 디바이스는 상이한 액세스 포인트들로부터 상기 PDN를 향해 제 2 안전한 통신 링크들의 복수의 인스턴스들(instances)을 집성하도록 적응된다.

Description

이용자 엔티티에 네트워크 액세스를 제공하기 위한 방법 및 장치{METHOD AND APPARATUS FOR PROVIDING NETWORK ACCESS TO A USER ENTITY}
본 발명은 액세스 네트워크들의 분야에 관한 것이고, 특히 셀룰러 및 비-셀룰러 액세스 네트워크들의 서비스-레벨 통합의 분야에 관한 것이다.
현대의 특정 핸드헬드 전자 디바이스들(또한 "이용자 엔티티들("User Entities" 또는 "UE")로서 언급된)은 2G, 2.5G, 3G, 및/또는 LTE 네트워크와 같은, 셀룰러 네트워크에 접속시키기 위한 필요한 구성요소들, 및 무선 LAN 네트워크(예를 들면, IEEE 802.11a/b/g/n) 또는 유선 LAN 네트워크(예를 들면, IEEE 802.3)와 같은 비-셀룰러 IP 접속성 액세스 네트워크(IP CAN)에 접속시키기 위한 필요한 구성요소들을 포함한다.
지금까지, 오퍼레이터들(operators)이 비-셀룰러 네트워크를 통해 통신하고 있을 때, 상기 오퍼레이터들이 모바일 고객들에 광대역 서비스들(접속성 및 부가가치 서비스들)을 제공하게 하는 만족스러운 프로토콜 아키텍처가 부족하다.
예를 들면, 제 3 세대 파트너쉽 프로젝트(3GPP)에 의해 명시된 아키텍처들은, IP CAN가 모바일 네트워크 오퍼레이터(MNO) 관점으로부터 신뢰를 받지 못하면, UE와 진화된 패킷 데이터 게이트웨이(ePDG) 또는 패킷 데이터 네트워크 게이트웨이(PDN 게이트웨이) 사이에 셋 업(set up)될 안전한 접속("얇은 파이프")을 요구한다.
본 발명의 실시예들의 목적은 상기 언급된 단점들을 극복하는 것이다.
본 발명의 일 양태에 따라, 액세스 포인트를 통해 복수의 이용자 엔티티들에 네트워크 액세스를 제공하기 위한 방법이 제공되고, 상기 액세스 포인트는 LAN 인터페이스 및 광대역 네트워크 인터페이스를 포함하고, 방법은 게이트웨이 디바이스에서: 상기 액세스 포인트와의 제 2 안전한 통신 링크를 확립하는 단계; 상기 제 2 안전한 통신 링크를 통해 상기 복수의 이용자 엔티티들 중 하나의 이용자 엔티티로부터 IP 어드레스 할당 요청을 수신하는 단계; 상기 복수의 이용자 엔티티들 중 상기 하나의 이용자 엔티티와 연관된 모바일 가입과 관련된 데이터에 기초하여 상기 복수의 이용자 엔티티들 중 상기 하나의 이용자 엔티티의 성공적인 인증이 이미 발생한지의 여부를 검증하기 위해 AAA 서버에 액세스하는 단계; 및 성공적인 검증 시에, 상기 복수의 이용자 엔티티들 중 상기 하나의 이용자 엔티티로 IP 어드레스 할당 방식을 완료하고 상기 복수의 이용자 엔티티들 중 상기 하나의 이용자 엔티티와 PDN 사이에 데이터의 중계를 가능하게 하는 단계를 포함하고; 상기 게이트웨이 디바이스는 상이한 액세스 포인트들로부터 상기 PDN를 향해 제 2 안전한 통신 링크들의 복수의 인스턴스들(instances)을 집성하도록 적응된다.
본 발명의 일 양태에 따라, 액세스 포인트를 통해 복수의 이용자 엔티티들에 네트워크 액세스를 제공하기 위한 방법이 제공되고, 상기 액세스 포인트는 LAN 인터페이스 및 광대역 네트워크 인터페이스를 포함하고, 방법은 상기 무선 액세스 포인트에서: 상기 LAN 인터페이스를 통해 상기 복수의 이용자 엔티티들 중에서 각각의 이용자 엔티티와의 각각의 제 1 안전한 통신 링크를 확립하는 단계; 상기 광대역 네트워크 인터페이스를 통해 게이트웨이 디바이스와의 제 2 안전한 통신 링크를 확립하는 단계; 및 각각의 제 1 안전한 통신 링크와 상기 제 2 안전한 통신 링크 사이에 데이터를 양?항으로 중계하는 단계를 포함하고, 상기 게이트웨이 디바이스는 상이한 액세스 포인트들로부터 상기 PDN 게이트웨이를 향해 제 2 안전한 통신 링크들의 복수의 인스턴스들을 집성하도록 적응된다.
본 발명은 셀룰러 라디오 액세스 네트워크로부터 비-셀룰러 IP CAN로 특정 데이터 트래픽을 "오프로딩(offloading)"하기 위한 방식을 제공하고, 이 개시의 목적들을 위해, 상기 비-셀룰러 IP CAN는 또한 일반적으로 "LAN"로서 언급될 것이다. 이것은 셀룰러 네트워크와 와이-파이(Wi-Fi)와 같은 비-셀룰러 IP CAN 둘 모두 상에서 동작할 수 있는 이용자 엔티티를 이용하는 최종-이용자들 및 모바일 네트워크 오퍼레이터들에 잇점들을 제공한다. 마이크로-셀룰러 인프라스트럭처(macro-cellular infrastructure)에서 비트 당 비용은 오프로딩된 트래픽에 대해서 보다 상당히 높다. 이것은, 와이-파이에 대한 위치, 파워 및 심지어 고정된 백홀(backhaul)이 전형적으로 MNO에 의해 전달되지 않을 것이기 때문에, 인프라스트럭처 투자 비용에 대한 경우 뿐만 아니라, 경영 지출들에 대한 경우이다. 또한, 그것은 모바일 오퍼레이터가 이 오프로딩된 트래픽에 대해 청구하게 하고, 이는 새로운 수입 기회들을 생성한다.
본 발명의 방법의 일 실시예에서, 액세스 포인트는 무선 액세스 포인트이고, LAN 인터페이스는 무선 LAN 인터페이스이고, 상기 액세스 포인트의 무선 송신들은 IEEE 802.11i 암호화 프로토콜에 의해 보안된다.
이 실시예는 공지된 단-대-단 IPSec 모델들보다 이용자 엔티티에서 및 네트워크 게이트웨이(ePDG/PGW)에서 적은 범용 처리 파워를 요구하는 장점을 갖는다.
본 발명의 방법의 일 실시예에서, 제 2 안전한 통신 링크는 IPSec 전송 터널에 의해 보안된다.
이 실시예는 합당한 비용 및 복잡성으로, 액세스 포인트와 게이트웨이 디바이스 사이에 양호한 보안을 제공하는 장점을 갖고, 따라서, 공지된 단-대-단 IPSec 모델들보다 이용자 엔티티에서의 적은 범용 처리 파워를 요구하는 오퍼레이터 네트워크(예를 들면, 가정용 게이트웨이(residential gateway))와 액세스 포인트 사이의 디바이스들에서의 스누핑(snooping)의 위험성을 회피한다.
일 실시예에서, 본 발명의 방법은 또한: 액세스 포인트에서, 광대역 네트워크 인터페이스와 연결된 네트워크와의 통신을 허가하기 위해 LAN 인터페이스를 통해, 이용자 장비로부터의 요청을 수신하는 단계; 홈 위치 레지스터로부터 이용자 장비와 연관된 모바일 가입과 관련된 데이터를 얻는 단계; 모바일 가입과 관련된 데이터에 기초하여 이용자 장비를 인증하는 단계; 및 인증이 성공적이면, 광대역 네트워크 인터페이스에 연결된 네트워크와의 통신을 허가하는 단계를 포함한다.
특정한 일 실시예에서, 이용자 장비의 인증은: LAN 인터페이스를 통해 이용자 장비로 적어도 하나의 인증 챌린지(authentication challenge)를 송신하는 단계, 및 LAN 인터페이스를 통해 이용자 장비로부터 적어도 하나의 인증 챌린지에 대한 응답을 수신하는 단계를 포함하고, 응답은 이용자 장비에서 안전하게 저장되는 키에 의해 적어도 하나의 인증 챌린지로부터 암호적으로 얻어진다.
더 특정한 실시예에서, 키는 SIM 카드에 저장된다.
"SIM 카드"는 GSM 및 UMTS 명세들에서 표준화되는 것으로서 가입자 아이덴티티 모듈을 지정하도록 이해된다. EAP-SIM/AKA 인증은 모바일(3G-LTE) 액세스 및 와이-파이 오프로드 둘 모두에 대해 통합된 가입 및 가입자 데이터베이스를 허용한다. 이용자 엔티티, 전형적으로 "스마트폰(smartphone)"을 식별하고 인증하기 위해 컨버징(converging)된 오퍼레이터에 의한 EAP-SIM/AKA 인증의 재-이용은 상기 오퍼레이터가 오퍼레이터 및 최종-이용자 둘 모두의 상호 잇점에 대해 와이-파이 오프로드 세션의 소유를 유지하도록 허용한다. 이것은 분명히 모바일 네트워크 오퍼레이터(MNO)에 대해 상당한 잇점들을 갖는다. 그것은 MNO가 상기 MNO의 매크로 계층 라디오 액세스 네트워크(RAN)로부터 상당한 트래픽을 오프로딩하도록 허용하여, 용량 확장에서 리소스들을 풀어주고(freeing up) 요구된 투자를 지연하고 동시에, 최종-이용자와의 완전한 관계를 유지하며, 상표 충성도(brand loyalty)를 향상시킨다. 최종-이용자에 대해, 주요 장점은 MNO에 의해 지원된 모든 네트워크들, 특히 와이-파이 네트워크들로의 끊김없는 액세스이다. 이것은 최종-이용자가 이용가능한 와이-파이 리소스들을 이용하는 위치들의 수를 크게 증가시킬 것이다.
특정한 일 실시예에서, 이용자 엔티티는 IEEE 802.1X 요청자(supplicant)를 포함하고, 통신의 허가는 액세스 포인트의 일부를 IEEE 802.1X 허가 상태로 전이하는 단계를 포함한다.
본 발명의 방법의 일 실시예에서, 게이트웨이 디바이스는 이용자 엔티티 세션들을 예시하고 삭제하기 위해 AAA 서버, AAA 프록시, 및 AAA 스니퍼(sniffer) 중 하나를 포함한다.
본 발명의 방법의 일 실시예에서, 게이트웨이 디바이스는 모바일 오퍼레이터 IP 서비스들 및/또는 과금 메커니즘들(charging mechanisms)로의 액세스를 이용자 엔티티에 제공하기 위해, GGSN 또는 PDN 게이트웨이로 GTP 터널을 셋 업한다. 상기 경우에, 이용자 엔티티 어드레스는 GGSN 또는 PDN 게이트웨이에 의해 승인될 수 있다.
본 발명의 방법의 또 다른 실시예에서, 게이트웨이 디바이스는 모바일 IP(MIP, 듀얼 스택 MIP v6) 외부 에이전트를 포함하여, UE를 홈 에이전트에 등록한다.
본 발명의 일 양태에 따라, 프로그래밍가능한 기계로 하여금 WAP/CPE 둘 모두에서 또는 게이트웨이 디바이스에서 상기 설명된 방법을 실행하게 하도록 구성된 컴퓨터 프로그램이 제공된다.
본 발명의 일 양태에 따라, 상기 설명된 방법에서 이용하기 위한 액세스 포인트가 제공된다.
본 발명의 일 양태에 따라, 상기 설명된 방법에서 이용하기 위한 게이트웨이 디바이스가 제공된다.
본 발명에 따른 프로그램, 액세스 포인트, 및 게이트웨이 디바이스의 장점들은 본 발명에 따른 방법들의 장점들에 준용된다.
본 발명의 실시예들에 따른 장치 및/또는 방법들의 일부 실시예들이 이제 단지 예로서, 그리고 첨부된 도면들을 참조하여 설명된다.
도 1은 본 발명의 방법의 실시예들이 배치될 수 있는 단순한 일 예시적인 네트워크 토폴로지를 도시한 도면.
도 2는 본 발명의 방법의 실시예의 흐름도 특히, 게이트웨이 디바이스에서 취해진 단계들을 도시한 도면.
도 3은 본 발명의 방법의 실시예의 흐름도 특히, 액세스 포인트에서 취해진 단계들을 도시한 도면.
도 4는 본 발명의 방법의 일 실시예에서의 특정 단계들의 흐름도.
도 5는 본 발명의 방법의 일 실시예에서의 특정 단계들에 대한 상세한 프로토콜 메시지 교환을 개략적으로 도시한 도면.
도 6은 본 발명의 방법의 실시예들이 배치될 수 있는 상세한 일 예시적인 네트워크 토폴로지를 도시한 도면.
도면들에 걸쳐, 동일한 참조 부호들은 동일한 요소들을 지정하기 위해 이용된다.
상기 설명에 걸쳐, 다음 일반화들이 유지된다. 특정한 요소의 임의의 특정한 수의 인스턴스들이 도시되고/도시되거나 설명되는 경우에, 이것은 단지 목적들을 명확하게 하기 위해 그리고 일반성의 손실 없이 행해진다. 방법의 단계들이 특정한 순서로 도시되고/도시되거나 설명되는 경우에, 이것은 단지 목적들을 명확하게 하기 위해 그리고 일반성의 손실 없이 행해지고; 단계들의 순서는, 단계들의 특정한 순서가 연관된 기술적인 결과를 얻기 위해 필요함이 설명으로부터 명백하지 않으면, 본 발명의 범위를 벗어나지 않고 변경될 수 있고/있거나 병렬화될 수 있다. 참조가 특정한 표준에 대해 행해지는 경우에, 다른, 기능적으로 등가의 표준들이 대체될 수 있음이 이해되어야 한다. 본 발명에 따른 방법과 연관하여 설명된 특징들 및 잇점들은 본 발명에 따른 장치에 준용되고, 그 반대도 마찬가지다.
도 1은 본 발명의 실시예들이 배치될 수 있는 상기 극도로 단순화된 예시적인 네트워크 토폴로지를 도시한다. 액세스 포인트(110)를 통해 복수의 이용자 엔티티들(100a 내지 100c)에 네트워크 액세스를 제공하는 것이 본 발명의 실시예들의 목적이다. 이용자 엔티티들(100a 내지 100c)은 셀룰러 네트워크(예를 들면: 2G, 2.5G, 3G, LTE)를 통해 그리고 무선 LAN 네트워크(예를 들면: IEEE 802.11a/b/g/n)와 같은 LAN 네트워크를 통해 통신할 수 있는 디바이스들이 되도록 가정된다.
일반성의 손실 없이, 무선 LAN 네트워크는 설명의 나머지에서 LAN 네트워크로서 가정된다. 당업자는 본 발명이 완전하게 유사한 방식으로 유선 LAN 네트워크들에 적용됨을 인식할 것이다.
이용자 엔티티들(100a 내지 100c)이 무선 액세스 포인트(110)에 의해 서비스된 것과 같은, 무선 LAN 네트워크의 범위 내에 있을 때, 경제적인 관점으로부터 및 대역폭 이용가능성의 문제로서 셀룰러 인터페이스를 통해서라기보다 무선 LAN 인터페이스를 통해 예를 들면, 인터넷-기반 텔레비전 및/또는 비디오 호들을 포함하는, 다량의 데이터 통신들을 행하는 것이 바람직하다. 셀룰러 라디오 액세스 네트워크(RAN)로부터 멀리 및 무선 LAN 액세스 네트워크로 의도된 통신들을 이동시키는 것은 상기 셀룰러 라디오 액세스 네트워크(RAN)에 일 형태의 "오프-로딩"을 제공하고; 따라서, 본 발명의 실시예들에 의해 도입된 배치 모델은 "와이파이 오프-로딩"으로서 언급될 것이다.
이 목적을 위해, 무선 액세스 포인트(110)는 무선 LAN 인터페이스를 통한 제 1 안전한 통신 링크들(105)의 확립을 허용한다. 상기 통신 링크들(105)은 그들이 각각의 이용자 엔티티(100a 내지 100c)와 액세스 포인트(110) 사이에서 일 형태의 암호화, 바람직하게 IEEE 802.11i 프레임워크(예를 들면: WPA, WPA2)에서 표준화된 바와 같은 일 형태의 암호화에 의해 커버되는 점에서 볼 때 안전하다. 유선 액세스 포인트가 이용되는 경우에, 보안은 매체의 물리적인 포인트-대-포인트 속성에 의해 제공될 수 있다(예를 들면, 꼬임 쌍 또는 포인트-대-포인트 섬유를 통한 IEEE 802.3 이더넷).
3GPP 프레임워크에서 제안된 것들과 같은, 종래의 아키텍처들에 반해, 본 발명에 따른 무선 액세스 포인트(110)는 이하에 또한 진화된 광대역 네트워크 게이트웨이(eBNG)로서 언급되는, 게이트웨이 디바이스(120)와의 제 2 안전하고/안전하거나 캡슐화된 통신 링크(115)를 확립한다. 제 2 안전한 통신 링크(115)는 그것이 암호화되고/되거나 캡슐화되는 점에서 볼 때 안전하다. 이 링크(115)는 무선 액세스 포인트(110)와 eBNG(120) 사이에서 일 형태의 암호화, 바람직하게 IPSec 프레임워크에서 표준화된 바와 같은 일 형태의 암호화에 의해 커버될 수 있다. 이 링크(115)는, 무선 액세스 포인트(110) 및 eBNG(120)가 각각의 업링크 및 다운링크 IP 패킷을 GRE, L2TP, MPLS, VLAN 태깅(tagging) 또는 다른 캡슐화 프로토콜을 운반하는 새로운 IP 패킷으로 캡슐화하는 점에서 볼 때 부가적이거나 대안적으로 캡슐화될 수 있다. 제 2 통신 링크(115)는 물리적으로 임의의 적합한 네트워크에 의해 운반되고, 상기 임의의 적합한 네트워크는 몇몇 유선(예를 들면, 이더넷, xDSL, GPON) 및/또는 무선(예를 들면, IEEE 802.16) 네트워크 세그먼트들로 구성될 수 있다. 가정용 게이트웨이(112)와 같은 부가적인 네트워크 장비는 네트워크의 이 부분에 존재할 수 있다.
제 2 안전한 통신 링크(115)는 다수의 이용자 엔티티 세션들의 트래픽을 운반하고, 따라서 단지 단일 UE-개시된 세션만을 운반하는 소위 "씬 파이프들(thin pipes)"에 반해, "팻 파이프(fat pipe)"로서 지정될 수 있다. 본 발명에 따른 네트워크 및 프로토콜 아키텍처는 또한 "팻 파이프 모델"로서 언급될 것이다.
eBNG(120)는 상기 언급된 "팻 파이프들" 중 몇몇을 집성하고, 그들 중 일부는 상이한 무선 액세스 포인트 인스턴스들(넘버링되지 않음)로부터 발생하는 것으로서 도 1에 도시되고, 각각의 UE에 대해, 세션은 선택적으로 PDN 게이트웨이(130)를 향해 GTPv2 터널을 확립한다. 이 PDN 게이트웨이(130)를 통해, 이용자 엔티티들(100a 내지 100c)은 그들의 가입 조건들에 따라, 클라우드(140)에 의해 상징되고 도 5에서 더 상세하게 도시된, 셀룰러 네트워크에 의해 또는 상기 셀룰러 네트워크를 통해 제공된 IP 서비스들로의 원하는 액세스를 가질 수 있다.
액세스 포인트(110)로부터의 IPSec 터널을 PDN 게이트웨이(130)에서 종료시키는 것은 몇몇 장점들을 갖는다. 첫째, 그것은 이용자 엔티티들(100a 내지 100c)로부터 제공자-연관된 IPSec 세션을 종료시키는 부담을 없애주고, 이는 그에 따라 기업 네트워크의 게이트웨이와 같은 코레스폰던트(correspondent)를 갖는 단-대-단 IPSec 세션을 구동하는 단계를 포함하는, 다른 작업들을 위해 리소스들을 풀어줄 수 있다. 둘째, 액세스 포인트(110)가 일반적으로 무선 링크를 통해 보안을 제공할 수 있기 때문에, 이 디바이스(110)는 백-투-백 암호화를 제공하기 위해 적합하고, 따라서 이용자 엔티티들(100a 내지 100c)과 eBNG(120) 사이의 단-대-단 통신에서 임의의 암호화되지 않은 링크들의 존재를 회피한다. 이것은 가정용 게이트웨이(112)와 같은, 부가적인 장비가 엔드 포인트들(end points) 사이에서 존재하고, 일반적으로 허가되지 않은 사람들에 액세스가능할 때, 특히 관련이 있다. 이 경우에, 액세스 포인트(110)와 가정용 게이트웨이(112) 사이의 세그먼트는 신뢰된 IP CAN에 대해 오프로딩하기 위한 기존의 3GPP 아키텍처에서 보호되지 않은 채로 있을 수 있다. 신뢰된 IP CAN는 실제로 RGW(112)와 eBNG(120) 사이의 경로 상에 위치된, RGW(112)와 광대역 네트워크 게이트웨이(BNG)(118) 사이의 세그먼트로서 규정된다.
본 발명에 따른 네트워크 및 프로토콜 아키텍처를 고려해볼 때, 그것은 게이트웨이 디바이스(120)에서 "합법적 감청(Lawful Intercept)" 기능을 구현하기가 용이해지는 장점이 있는데, 이는 그것이 모든 기존의 고정된 또는 모바일 "합법적 감청" 인프라스트럭처(LI 게이트웨이)를 재-이용할 수 있기 때문이다. 유사하게, 게이트웨이 디바이스(120)에서의 이용자 세션 인식 덕분에, AAA, 온라인 과금, 오프라인 과금, 정책 제어 및 강화 기능, 네트워크 어드레스 변환 및 다른 기능들은 게이트웨이 디바이스(120)에서 구현될 수 있다.
도 2는 본 발명의 방법의 일 실시예의 흐름도를 표현한다; 특히, 그것은 도 1의 아키텍처에서 게이트웨이 디바이스(120)의 핵심 활동들을 도시한다. 하나의 단계(210)에서, 게이트웨이 디바이스(120)는 무선 액세스 포인트(110)와의 안전한 통신 링크를 확립한다. 계층-2 통신은 아래에 더 상세하게 설명되지만, 이용자 엔티티(100)와 연관된 모바일 가입과 관련된 데이터에 기초하여 상기 이용자 엔티티(100)의 인증을 수반하는 방식으로 이용자 엔티티(100)와 무선 액세스 포인트(110) 사이에 셋 업된다. AAA 서버(150)는 인증 처리에 수반된다. 하나의 단계(220)에서, 게이트웨이 디바이스(120)는 고려 중인 이용자 엔티티(100)로부터 IP 어드레스 할당 요청, 전형적으로 DHCP 요청을 수신한다. 하나의 단계(230)에서, 게이트웨이 디바이스(120)는 상기 언급된 인증이 성공적으로 발생하는지의 여부를 검증하기 위해 AAA 서버(150)에 연락한다. 이것이 실제로 그 경우(235)이면, 게이트웨이 디바이스(120)는 IP 어드레스 할당이 진행하도록 허용하고, 단계(240)에서 PDN 게이트웨이(130)에서의 제공자의 네트워크 인프라스트럭처와 이용자 엔티티(100) 사이에 통신을 확립하도록 허용한다. 따라서, 이용자 엔티티(100)는 단 한번만 인증되어야 하는 반면에, 계층-2 및 계층-3 둘 모두의 접속성은 상기 인증의 결과에 의존한다. 인증 그 자체는 이용자 엔티티(100)의 이용자에 의해 보유된 가입에 기초한다.
도 3은 본 발명의 방법의 일 실시예의 흐름도를 표현한다; 특히, 그것은 도 1의 아키텍처에서 무선 액세스 포인트(110)의 핵심 활동들을 도시한다. 하나의 단계(310)에서, 무선 액세스 포인트(110)는 무선 네트워크 인터페이스를 통해, 이용자 엔티티(100)와의 제 1 안전한 통신 링크(105)를 확립한다. 하나의 단계(320)에서, 무선 액세스 포인트(110)는 게이트웨이 디바이스(120)와의 제 2 안전하고/안전하거나 캡슐화된 통신 링크(115)를 확립한다. 하나의 단계(330)에서, 무선 액세스 포인트(110)는 제 1 안전한 통신 링크(105)와 제 2 통신 링크(115) 사이의 양 방향들로 데이터를 중계하고, 즉 상기 무선 액세스 포인트(110)는 이용자 엔티티(100)와 게이트웨이 디바이스(120) 사이의 통신을 허용한다.
본 발명에 따른 방법의 실시예들에서, 이용자 엔티티(110)와 게이트웨이 디바이스(120) 사이의 통신의 확립은 이용자 엔티티(110)의 성공적인 인증에 의존하고, 가입 조건들에 의해 제한되며 이용자 엔티티(110)는 상기 가입 조건들 하에서 동작한다. 도 4는 본 발명의 방법의 이러한 실시예에서 특정 단계들의 흐름도를 표현한다.
하나의 단계(410)에서, 무선 액세스 포인트(110)는 통신을 허가하기 위해 이용자 엔티티(100)로부터 요청을 수신한다. 바람직하게, 이용자 엔티티(100)는 이 목적을 위해 IEEE 802.1X 요청자 기능성을 구현하고, 요청은 IEEE 802.1X 허가 요청으로 처리된다. 도 4의 의미에서 이용자 엔티티의 요청은 이용자 엔티티의 그 자신의 주도로 송신될 필요는 없고: 그것은 사실 무선 액세스 포인트(110)로부터의 "EAP 요청" 메시지에 대한 반응으로 전송된 "EAP 응답" 메시지일 수 있다.
하나의 단계(420)에서, 무선 액세스 포인트(110)는 후자의 홈 위치 레지스터(HLR)(160)로부터 이용자 엔티티(100)와 연관된 모바일 가입 데이터를 얻는다. 이 정보는 전형적으로 직접적으로 얻어지지 않고, 게이트웨이 디바이스(120)를 통해, 바람직하게 RADIUS 프로토콜 교환을 이용하여 액세스가능한 인증, 허가, 및 과금(AAA) 서버(150)를 통해 간접적으로 얻어진다. 따라서, HLR(160)로부터의 가입자 정보에 기초하여 단계(430)에서 무선 액세스 포인트(110)에서의 인증을 완료하는 것이 가능하게 된다. 이 방법은 게이트웨이 디바이스(120)에서 이용자 엔티티의 가입자 상세들의 인식을 생성하는 장점을 갖고, 이는 가입-특정 서비스들의 배치 및/또는 가입-기반 과금을 가능하게 한다. 인증 단계가 시도-응답(challenge-response) 인증 교환 시에, 이용자 엔티티의 SIM 카드를 이용함으로써 매우 안전하게 행해질 수 있는 것이 또 다른 장점이다. 완전한 인증 시퀀스는 이롭게 EAP-SIM 또는 EAP-AKA 교환으로서 구현될 수 있다.
일단 계층-2 통신이 셋 업되면, 성공적인 인증(435) 시에, 계층-3 통신이 확립되어야 한다(440 내지 460). 이 단계에서, 무선 액세스 포인트(110)는 이미, 후속 프로토콜 교환들이 상기 엔티티들 사이에서 발생할 수 있도록 이용자 엔티티(100)와 게이트웨이 디바이스(120) 사이의 계층-2 통신을 허용하기 위해 셋 업된다. 계층-3 단계는 하나의 단계(440)에서 게이트웨이 디바이스(120)에 의해 수신된, IP 어드레스의 할당을 위한 요청으로 시작된다. 이 요청에 응답하여, 게이트웨이 디바이스(120)는 하나의 단계(450)에서 AAA 서버(150)로부터 이용자 엔티티(100)의 인증 상태를 검색한다. 이 상태 검색이, 인증이 성공적이었음을 나타내면(455), IP 어드레스 할당 요청은 수용되고 IP 어드레스는 하나의 단계(460)에서 할당된다. IP 어드레스 할당 교환은 바람직하게 UE에 의해 개시된, DHCP 프로토콜에 따라 발생한다.
도 5는 상기 상세하게 설명된 바와 같이, 도 4의 단계들(410 내지 460)에 대응하는, 본 발명의 방법의 일 실시예에 따른 상세한 프로토콜 메시지 교환을 개략적으로 도시한다.
도 6은 상세한 일 예시적인 네트워크 토폴로지를 표현하고 본 발명의 방법의 실시예들은 상기 예시적인 네트워크 토폴로지에 배치될 수 있다.
특히, 도 6은 게이트웨이 디바이스(120)의 인터페이스들을 도시한다. 비-셀룰러 IP CAN에 걸쳐 UE 세션들을 예시하는 진화된 광대역 네트워크 게이트웨이(eBNG)로서 상기 게이트웨이 디바이스의 특정한 기능에 더하여, 게이트웨이 디바이스(120)는 전통적인 광대역 네트워크 게이트웨이(CPE 또는 RGW에 의해 개시된 세션을 예시하는 BNG)의 기능들 및/또는 진화된 패킷 데이터 게이트웨이(UE-개시된 IPSec SA를 종료시키는 ePDG)의 기능들을 수행할 수 있고, 그것은 이 목적을 위해 필요한 구조적인 구성요소들을 갖는다. 본 발명에 따른 게이트웨이 디바이스(120)는 상기 표시된 바와 같은 "팻 파이프"를 표현하는 안전하고/안전하거나 캡슐화된 링크를 이용하여, 전형적으로 고정 광대역 액세스 네트워크를 통해, 무선 액세스 포인트(110)와 상호작용하기 위한 인터페이스; PDN 게이트웨이, GGSN 또는 HA(130)와 상호작용하기 위한 선택적 인터페이스; 및 AAA 서버(150)와 상호작용하기 위한 인터페이스를 포함하고, 그것은 상기 AAA 서버로부터 가입 관련 정보를 얻을 수 있다. 당업자는 상기 인터페이스들이 물리적으로 별개일 필요가 없고, 필요한 하드웨어 및 소프트웨어가 네트워크 계층 및 그 이상에서 각각의 코레스폰던트들로의 및 그들로부터의 통신을 적절히 구별하기 위해 존재해야 함을 인식할 것이다.
본 발명 및 그것의 잇점들을 또한 명백하게 하기 위해, 이제 일 예시적인 구현이 더 상세하게 설명될 것이다. 당업자는 각각의 구현 옵션들이 본 개시의 범위로부터 벗어나지 않고 이 설명으로부터 취해질 수 있고 본 발명의 상기 언급된 일반적인 개념들과 조합될 수 있음을 인식할 것이다.
스마트폰(100)이 폐쇄형 SSID를 갖는 핫스팟(hotspot)으로 진입할 때, 그것은 그것의 SIM/USIM 크리덴셜들(credentials)을 이용하여 그 자신을 인증할 것이고, 이는 이용자가 임의의 지정된 와이-파이 계정을 셋 업할 필요성을 회피한다.
SIM/USIM 크리덴셜들은 EAP-SIM/AKA 방법들을 통해 중계되고 HLR(160)에서 가입자 정보에 대해 입증된다. 이와 같이, 2G, 2.5G, 3G 또는 LTE 네트워크 내의 인증 및 허가를 위해 이용된 것과 동일한 모바일 크리덴셜들(SIM/USIM)이 존재한다.
이용자 엔티티(100), 무선 액세스 포인트(110), 및 HLR(160)는 eBNG(120) 및 AAA 서버(150)에 의해 도움을 받을 수 있다.
- 이용자 엔티티(100): 와이-파이 오프로드를 위한 모든 인증 메커니즘들은 오늘날 상업적인 스마트폰들, 3G/와이-파이 동글들(dongles) 및 3G/와이-파이 가능 랩톱들에 의해 지원된다.
- 무선 액세스 포인트(110): 와이-파이 IEEE 802.11n 증명을 수신하기 위해, 무선 액세스 포인트는 EAP-SIM 및/또는 EAP-AKA 인증을 지원할 필요가 있다. 게다가, 무선 액세스 포인트는 모든 오프로딩된 트래픽을 라우팅(routing)하도록 eBNG(120)에 대해 전송 터널을 지원할 필요가 있다. 이 터널은 우선 IPsec 또는 GRE 터널로서 성취된다.
- eBNG(120): eBNG는 무선 액세스 포인트 뒤의 최종-이용자에 대한 DHCP 세션 생성을 핸들링할 필요가 있다. DHCP 요청 정보는 RADIUS 클라이언트를 통해 AAA 서버(150)로 핸드 오프(hand off)될 수 있고, 상기 AAA 서버는 이 요청을 동일한 UE MAC 어드레스에 대한 이전 EAP-SIM/AKA 인증에 연관시켰다. eBNG(120)가 EAP-SIM/AKA 인증 단계를 위해 RADIUS 프록시 에이전트 또는 스니퍼를 지원하면, eBNG(120)는 상기 UE MAC에 대한 이전의 성공적인 EAP-SIM/AKA 인증 콘텍스트(context)를 검색할 수 있고, 인증 단계에서 발견된 UE 식별자들(IMSI, MISDN,...)에 기초하여 노스바운드 통신들(AAA, 과금, PCC, LI,...)을 셋 업할 수 있다. eBNG(120)는 예를 들면, 일일 이용권을 판매함으로써 모바일 네트워크 오퍼레이터를 대신하여 오프라인/온라인 과금을 적용할 수 있고, 상기 일일 이용권의 일부는 모바일 네트워크 오퍼레이터로 킥 백(kick back)될 것이다.
- AAA: AAA 서버(150)는 HLR(160)를 향한 그것의 MAP-기반 백엔드 인터페이스(backend interface)(Gr)를 통해 단말 EAP-SIM 또는 EAP-AKA 인증 및 허가를 지원한다: 그것은 RADIUS EAP-대-MAP 게이트웨이 기능을 수행한다. 제 2 RADIUS 요청이 세션 셋-업을 위해 eBNG RADIUS 클라이언트로부터 도착할 때, AAA 서버(150)는 이용자 엔티티의 아이덴티티(UE-MAC 어드레스)를 상관시킨다. 상기 UE가 이전에 허가되었으면, 네트워크 액세스는 수용될 것이고 세션은 셋 업될 것이다. AAA 서버(150)는 과금 및 다른 노스바운드 서비스 플랫폼들로 용이한 통합을 허용하기 위해 eBNG로 과금-프로파일-Id 및 MSISDN을 리턴할 수 있다.
단-대-단 보안은 홉 단위로 성취된다. 이용자 엔티티(100)와 무선 액세스 포인트(110) 사이의 에어 인터페이스는 IEEE 802.11i로 보안된다. IEEE 802.11i 키들(바람직하게 WPA2를 통해 이용하기 위한)은 EAP-SIM/AKA 암호화 키들로부터 얻어질 수 있다.
무선 액세스 포인트(110)와 eBNG(120) 사이의 인터페이스는 IPSec로 보안된다. eBNG(120)로부터, 다수의 옵션들이 제안된 서비스의 기능에 존재한다. 상기 설명된 바와 같이, "팻 파이프" 모델에 따라, 무선 액세스 포인트(110)와 eBNG(120) 사이의 단일 IPsec 터널은 다수의 최종 이용자들의 세션들을 운반한다.
팻 파이프 모델은 이용자 엔티티(100)에게 스푸핑(spoofing)을 회피하기 위해 802.11i 또는 동등한 암호화를 지원하도록 요구한다. 한편, 팻 파이프 모델은 이용자 엔티티(100)에 대한 IPsec 암호화를 요구하지 않고 따라서, 무선 LAN 에어 인터페이스에 대한 IPSec 오버헤드, 패킷 단편화 및 IKE 킵-얼라이브(keep-alive) 패킷들을 회피한다. 그것은 또한 단-대-단 암호화(대안적인 "씬 파이프 모델"은 이용자 엔티티(100)에 의한 더블 IPsec 암호화를 요구할 것이다)를 허용하기 때문에, 기업 VPN 액세스와 호환가능하다.
eBNG(120)에 대해, 팻 파이프 모델은 씬 파이프 모델(ePDG 또는 PDN 게이트웨이)보다 양호한 확장성을 제공하는데, 이는 각각의 터널이 상기 무선 액세스 포인트(110)에 대해 활성인 모든 UE 세션들을 포함하기 때문이다.
eBNG(120)는 부가적으로 모바일 이용자들을 위해 제공하는 기반 서비스와 유사한 한 세트의 관리 서비스들을 전달한다. 이것은 이용자 프로파일에 기초하여 강화된 가입자 관리 콘텍스트에서 세션을 예시함으로써 행해진다. 강화된 가입자 관리(ESM)는 자동적인 가입자 프로비저닝(provisioning) 및 가입자 당 QoS 및 보안 강화를 허용하는 한 세트의 AAA, 보안 및 QoS 특징들이다. ESM 특징 세트의 핵심 양태는 그것이 액세스 유형(IP CAN)에 독립적인 가입자-인식 모델을 제공하고, 따라서 그것이 또한 와이-파이 액세스에 적용될 수 있다.
트래픽은 그것이 무선 액세스 포인트를 향한 IPsec ESP 터널(또는 비-암호화된 터널로)에서 캡슐화되기 전에, ESM 엔진에 의해 처리된다. ESM 엔진은 AAA 서버(150)로부터 마지막 RADIUS 액세스 수용 메시지에서의 이용자 프로파일을 수신한다. 이용자 프로파일은 프레임 IP 어드레스, 프레임 IP 풀, VPRN 식별자(가상 개인 라우팅 네트워크), QoS 프로파일, 과금 프로파일, DPI 규칙베이스, NAT 및 보안 프로파일을 포함할 수 있다.
- QoS: 가입자 콘텍스트는 eBNG(120)가 개인화된 QoS 프로파일에 따라 모든 가입자 트래픽을 분류하도록 허용한다. 서비스 등급 당 지정된 하드웨어 큐들 및 HW 폴리서들(policers)은 (계층적인) 스케줄러와 함께 각각의 실증된 가입자들에 할당될 수 있다. 스케줄러 및 지정된 큐들은 와이파이 서비스가 최선-노력으로부터, 또한 실시간 음성 및 비디오 애플리케이션들을 지원하는 QoS-인에이블링(enabling)된 IP 서비스들로 진화하도록 허용한다.
- 보안: eBNG(120)를 향한 안전한 액세스는 eBNG(120)에서의 한 세트의 보안 시설들(security features)로 보완된다. 상기 보안 시설들은 프로파일 기반 액세스 제어 리스트들 및 안티-스푸핑 보호를 포함한다. 안티-스푸핑 필터들은 최종-가입자들이 다른 가입자들을 공격하거나 IP 및 MAC 어드레스들을 스푸핑함으로써 다른 가입자들을 가장하기를 시도하는 것을 방지하기 위해 이용된다.
- VPRN: eBNG(120)에서의 VPRN 예시는 도매 콘텍스트에서의 서비스 가상화를 위해 이용될 수 있거나 안전한 비즈니스 VPN 액세스를 제공하기 위해 이용될 수 있다. 따라서, VPRN-id는 소매 VPN 또는 비즈니스 고객 VPN를 나타낼 것이다.
- NAT: IPv4 어드레스 공간을 보존하기 위해, 네트워크 어드레스 및 포트 변환(NAPT)은 eBNG(120)에 대해 구성될 수 있다. 각각의 새로운 가입자 NAPT 콘텍스트는 동적으로 예시된다.
- 로컬 콘텐트 삽입: eBNG(120)가 이미 고정 CDN 네트워크의 로컬 콘텐트 삽입 포인트와 통합될 때, 와이-파이 오프로드 트래픽은 또한 이 캐싱(caching)된 콘텐트를 이용할 수 있다. 이것은 홉들(hops) 및 트래픽 트래버스들(traffic traverses)의 수와 발생하는 비용을 감소시킬 것이고, 콘텐트 이용가능성 및 최종-이용자를 향한 대응성을 증가시킬 것이다.
과금 통합은 eBNG(120)로부터 모바일 청구 지원 시스템(BSS)으로 와이-파이 오프로드 과금 레코드들을 제공함으로써 성취될 수 있다. 특히, eBNG(120)가 모바일 오퍼레이터에 의해 소유될 때, 오프라인 및 온라인 과금 둘 모두에 대한 이 과금 통합은 와이-파이 오프로드 서비스 도입에서 제 1 단계를 허용할 수 있다. 그것은 단지 AAA 및 과금 인터페이스 통합에 대한 네트워크들 둘 모두의 통합을 감소시킨다. 와이-파이 오프로딩된 트래픽의 데이터 플레인(data plane)은 모바일 네트워크를 거칠 필요가 없고 인터넷으로 직접 오프로딩될 수 있다.
동일한 인프라스트럭처는 또한 열린 액세스(IEEE 802.1X 없는) 및 포털(portal) 인증을 지원하기 위해 오픈 업(open up)될 수 있다. 상기 시나리오에서, eBNG(120)는 인증되지 않은 디바이스가 DHCP 세션을 시작하도록 허용하지만, 임의의 http 트래픽을 랜딩 페이지(landing page)를 향해 재지향시킬 것이다. 임의의 비-http 트래픽은 버려진다. 이것은 AAA 서버(150)로부터 얻어진 eBNG(120)의 재지향-정책을 통해 성취된다.
이용자가 포털 등록을 완료하고 허가될 때, 이용자 프로파일은 이용자에게 완전한 데이터 액세스를 제공하기 위해 eBNG(120)에서 업데이트된다. 이것은 AAA 서버(150)로부터의 RADIUS CoA 업데이트를 통해 행해진다.
모바일 패킷 코어를 향한 eBNG(120)의 또 다른 통합은, 오프로딩된 트래픽이 PGW 또는 GGSN를 향한 GTP 기반 s2b-유사 인터페이스 상에서 핸드 오프되도록 상기 오프로딩된 트래픽의 GTP 캡슐화를 통해 성취된다. eBNG(120)에서의 GTP 캡슐화는 오퍼레이터가 3G-LTE 및 와이-파이 오프로딩될 트래픽 둘 모두에 대해, 동일한 앵커 포인트를 갖도록 허용한다. 그것은 최종 이용자가 셀룰러 및 비-셀룰러 IP CAN의 IP 어드레스를 유지하는 동안 상기 셀룰러 및 비-셀룰러 IP CAN 사이를 로밍하도록 허용하고 그것은 모바일 데이터 서비스 인프라스트럭처로의 네이티브 액세스(native access)를 허용한다. 그것은 모바일 오퍼레이터가 과금에 대해서 뿐만 아니라, 모바일 콘텐트, 인터넷 액세스, 딥 패킷 검사, 비디오 최적화, 헤더 강화, 등을 위해, PGW-GGSN 상에서 상기 모바일 오퍼레이터의 전체 서비스 인프라스트럭처를 재-이용하도록 허용한다.
인증 및 허가는 상기 설명된 선택적인 임베딩된 RADIUS 프록시 에이전트로 독립형 eBNG(120)에 맞춰 완전하게 조정된다. 그러나, eBNG(120)는 이제 PGW-GGSN에 대해 EPS 세션 또는 PDP 콘텍스트를 생성함으로써 DHCP 탐색 메시지에 응답한다. 그 다음, UE IP 어드레스는 UE IP의 로컬 풀들 또는 미리-존재하는 EPS-세션 또는 PDP 콘텍스트로부터 PGW에 의해 선택된다.
데이터 플레인에서, eBNG(120)는 선택적으로 LAC-유사 기능을 수행한다: 업스트림에서, 그것은 IPsec 팻 파이프에서의 세션들로부터의 모든 트래픽을 GTP-캡슐화하고 PGW-GGSN로 상기 트래픽을 포워딩(forwarding)하고; 다운스트림에서, 그것은 PGW-GGSN로부터 수신된 GTP-캡슐화된 트래픽을 종료시키고 정확한 무선 액세스 포인트를 향한 정확한 IPsec 터널로 트래픽을 포워딩한다.
셀룰러 IP CAN 세션과 비-셀룰러 IP CAN 세션 사이의 UE IP 어드레스를 보존하기 위해, eBNG(120)는 PGW-GGSN에서 핸드-오버 표시를 갖는 EPS 세션을 생성한다. 이 핸드-오버 표시는 PGW-GGSN가, 기존의 EPS 세션 또는 PDP 콘텍스트가 이용자 엔티티를 향해 진행중인지의 여부를 검증하고, 상기 세션의 콘텍스트를 검색하도록 강요할 것이다. 결과적으로, PGW-GGSN는 비-셀룰러 세션에 기존의 IP 어드레스를 할당할 것이고 SGW/MME 또는 Gn/Gp SGSN로 세션 분리를 전송할 것이다.
액세스 포인트(110)의 주요 개인적인 이용과 공공 이용에 대한 이용가능한 잉여 대역폭의 이용 사이를 구분할 필요성이 존재한다.
이것은 액세스 포인트 상에 2개의 SSID들을 제공함으로써 성취될 수 있다. 개인 SSID를 통한 모든 트래픽은 고정 액세스로서 집성되고 또한 이와 같이 간주된다. 공용 SSID를 통한 트래픽에 대해, 지정된 접속은 이 트래픽이 독립적으로 처리될 수 있고 독립적으로 설명될 수 있도록, (가능하게 지정된 VLAN 또는 터널을 통해) 셋 업될 필요가 있다.
"처리기들"로서 라벨링(labeling)된 임의의 기능 블록을 포함하는, 도면들에 도시된 다양한 요소들의 기능들은 전용 하드웨어 뿐만 아니라, 적절한 소프트웨어와 연관된 소프트웨어를 실행할 수 있는 하드웨어의 이용을 통해 제공될 수 있다. 처리기에 의해 제공될 때, 기능들은 단일 전용 처리기에 의해, 단일 공유된 처리기에 의해, 또는 일부가 공유될 수 있는 복수의 개별적인 처리기들에 의해 제공될 수 있다. 게다가, 용어 "처리기" 또는 "제어기"의 명백한 이용은 오로지 소프트웨어를 실행할 수 있는 하드웨어를 언급하도록 해석되어서는 안되고, 함축적으로 제한 없이, 디지털 신호 처리기(DSP) 하드웨어, 네트워크 처리기, 주문형 반도체(application specific integrated circuit; ASIC), 필드 프로그래밍가능한 게이트 어레이(FPGA), 소프트웨어를 저장하기 위한 판독 전용 메모리(ROM), 랜덤 액세스 메모리(RAM), 및 비 휘발성 저장장치를 포함할 수 있다. 다른 하드웨어, 종래의 및/또는 맞춤형 하드웨어가 또한 포함될 수 있다. 유사하게, 도면들에 도시된 임의의 스위치들은 단지 개념적이다. 그들의 기능은 프로그램 로직의 동작을 통해, 전용 로직을 통해, 프로그램 제어부 및 전용 로직의 상호작용을 통해, 또는 심지어 수동적으로 실행될 수 있고, 특정 기술은 문맥으로부터 더 특별하게 이해되는 바와 같이 구현자에 의해 선택가능하다.
100a 내지 100c: 이용자 엔티티 105: 통신 링크들
110: 무선 액세스 포인트 112: 가정용 게이트웨이
120: 게이트웨이 디바이스 130: PDN 게이트웨이
150: AAA 서버 160: 홈 위치 레지스터

Claims (13)

  1. 액세스 포인트를 통해 복수의 이용자 엔티티들에 네트워크 액세스를 제공하기 위한 방법으로서, 상기 액세스 포인트는 LAN 인터페이스 및 광대역 네트워크 인터페이스를 포함하는, 상기 방법에 있어서, 게이트웨이 디바이스에서:
    - 상기 액세스 포인트와의 제 2 안전한 통신 링크를 확립하는 단계;
    - 상기 제 2 안전한 통신 링크를 통해 상기 복수의 이용자 엔티티들 중 하나의 이용자 엔티티로부터 IP 어드레스 할당 요청을 수신하는 단계;
    - 상기 복수의 이용자 엔티티들 중 상기 하나의 이용자 엔티티와 연관된 모바일 가입과 관련된 데이터에 기초하여 상기 복수의 이용자 엔티티들 중 상기 하나의 이용자 엔티티의 성공적인 인증이 이미 발생한지의 여부를 검증하기 위해 AAA 서버에 액세스하는 단계; 및
    - 성공적인 검증 시에, 상기 복수의 이용자 엔티티들 중 상기 하나의 이용자 엔티티로 IP 어드레스 할당 방식을 완료하고 상기 복수의 이용자 엔티티들 중 상기 하나의 이용자 엔티티와 PDN 사이에 데이터의 중계를 가능하게 하는 단계를 포함하고;
    상기 게이트웨이 디바이스는 상이한 액세스 포인트들로부터 상기 PDN를 향해 제 2 안전한 통신 링크들의 복수의 인스턴스들(instances)을 집성하도록 적응되는, 액세스 포인트를 통해 복수의 이용자 엔티티들에 네트워크 액세스를 제공하기 위한 방법.
  2. 액세스 포인트를 통해 복수의 이용자 엔티티들에 네트워크 액세스를 제공하기 위한 방법으로서, 상기 액세스 포인트는 LAN 인터페이스 및 광대역 네트워크 인터페이스를 포함하는, 상기 방법에 있어서, 상기 액세스 포인트에서:
    - 상기 LAN 인터페이스를 통해 상기 복수의 이용자 엔티티들 중에서 각각의 이용자 엔티티와의 각각의 제 1 안전한 통신 링크를 확립하는 단계;
    - 상기 광대역 네트워크 인터페이스를 통해 게이트웨이 디바이스와의 제 2 안전한 통신 링크를 확립하는 단계; 및
    - 각각의 제 1 안전한 통신 링크와 상기 제 2 안전한 통신 링크 사이에 데이터를 양?항으로 중계하는 단계를 포함하고,
    상기 게이트웨이 디바이스는 상이한 액세스 포인트들로부터 상기 PDN 게이트웨이를 향해 제 2 안전한 통신 링크들의 복수의 인스턴스들을 집성하도록 적응되는, 액세스 포인트를 통해 복수의 이용자 엔티티들에 네트워크 액세스를 제공하기 위한 방법.
  3. 제 1 항에 있어서,
    상기 액세스 포인트는 무선 액세스 포인트이고, 상기 LAN 인터페이스는 무선 LAN 인터페이스이고, 상기 액세스 포인트의 무선 송신들은 IEEE 802.11i 암호화 프로토콜에 의해 보안되는, 액세스 포인트를 통해 복수의 이용자 엔티티들에 네트워크 액세스를 제공하기 위한 방법.
  4. 제 1 항 내지 제 3 항 중 어느 한 항에 있어서,
    상기 제 2 안전한 통신 링크는 IPSec 전송 터널에 의해 보안되는, 액세스 포인트를 통해 복수의 이용자 엔티티들에 네트워크 액세스를 제공하기 위한 방법.
  5. 제 1 항 내지 제 4 항 중 어느 한 항에 있어서,
    상기 액세스 포인트에서:
    - 상기 광대역 네트워크 인터페이스와 연결된 네트워크와의 통신을 허가하기 위해 상기 LAN 인터페이스를 통해, 이용자 장비로부터의 요청을 수신하는 단계;
    - 홈 위치 레지스터로부터 상기 이용자 장비와 연관된 모바일 가입과 관련된 데이터를 얻는 단계;
    - 상기 모바일 가입과 관련된 상기 데이터에 기초하여 상기 이용자 장비를 인증하는 단계; 및
    - 상기 인증이 성공적이면, 상기 광대역 네트워크 인터페이스에 연결된 상기 네트워크와의 통신을 허가하는 단계를 추가로 포함하는, 액세스 포인트를 통해 복수의 이용자 엔티티들에 네트워크 액세스를 제공하기 위한 방법.
  6. 제 1 항 내지 제 5 항 중 어느 한 항에 있어서,
    상기 이용자 장비의 상기 인증은:
    - 상기 LAN 인터페이스를 통해 상기 이용자 장비로 적어도 하나의 인증 챌린지(authentication challenge)를 송신하는 단계, 및
    - 상기 LAN 인터페이스를 통해 상기 이용자 장비로부터 상기 적어도 하나의 인증 챌린지에 대한 응답을 수신하는 단계를 포함하고, 상기 응답은 상기 이용자 장비에서 안전하게 저장되는 키에 의해 상기 적어도 하나의 인증 챌린지로부터 암호적으로 얻어지는, 액세스 포인트를 통해 복수의 이용자 엔티티들에 네트워크 액세스를 제공하기 위한 방법.
  7. 제 1 항 내지 제 6 항 중 어느 한 항에 있어서,
    상기 키는 SIM 카드에 저장되는, 액세스 포인트를 통해 복수의 이용자 엔티티들에 네트워크 액세스를 제공하기 위한 방법.
  8. 제 5 항 내지 제 7 항 중 어느 한 항에 있어서,
    상기 이용자 엔티티는 IEEE 802.1X 요청자(supplicant)를 포함하고, 상기 통신을 허가하는 단계는 상기 액세스 포인트의 일부를 IEEE 802.1X 허가 상태로 전이하는 단계를 포함하는, 액세스 포인트를 통해 복수의 이용자 엔티티들에 네트워크 액세스를 제공하기 위한 방법.
  9. 제 1 항 내지 제 8 항 중 어느 한 항에 있어서,
    상기 게이트웨이 디바이스는 이용자 엔티티 세션들을 예시하고 삭제하기 위해 AAA 서버, AAA 프록시, 및 AAA 스니퍼(sniffer) 중 하나를 포함하는, 액세스 포인트를 통해 복수의 이용자 엔티티들에 네트워크 액세스를 제공하기 위한 방법.
  10. 제 1 항 내지 제 9 항 중 어느 한 항에 있어서,
    상기 게이트웨이 디바이스는 모바일 오퍼레이터 IP 서비스들 및/또는 과금 메커니즘들(charging mechanisms)로의 액세스를 상기 이용자 엔티티에 제공하기 위해, GGSN 또는 PDN 게이트웨이로 GTP 터널을 셋 업(set up)하는, 액세스 포인트를 통해 복수의 이용자 엔티티들에 네트워크 액세스를 제공하기 위한 방법.
  11. 프로그래밍가능한 기계로 하여금 제 1 항 내지 제 10 항 중 어느 한 항의 방법을 실행하게 하도록 구성된, 컴퓨터 프로그램.
  12. 제 1 항 내지 제 10 항 중 어느 한 항의 방법에서 이용하기 위한, 게이트웨이 디바이스.
  13. 제 1 항 내지 제 10 항 중 어느 한 항의 방법에서 이용하기 위한, 액세스 포인트.
KR1020147000252A 2011-06-08 2012-06-04 이용자 엔티티에 네트워크 액세스를 제공하기 위한 방법 및 장치 KR101545879B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP11290264.8 2011-06-08
EP11290264.8A EP2533466B1 (en) 2011-06-08 2011-06-08 Method and apparatus for providing network access to a user entity
PCT/EP2012/060473 WO2012168173A1 (en) 2011-06-08 2012-06-04 Method and apparatus for providing network access to a user entity

Publications (2)

Publication Number Publication Date
KR20140022455A true KR20140022455A (ko) 2014-02-24
KR101545879B1 KR101545879B1 (ko) 2015-08-20

Family

ID=46210247

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020147000252A KR101545879B1 (ko) 2011-06-08 2012-06-04 이용자 엔티티에 네트워크 액세스를 제공하기 위한 방법 및 장치

Country Status (6)

Country Link
US (1) US10992674B2 (ko)
EP (1) EP2533466B1 (ko)
JP (2) JP5797332B2 (ko)
KR (1) KR101545879B1 (ko)
CN (2) CN103597779A (ko)
WO (1) WO2012168173A1 (ko)

Families Citing this family (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102244866B (zh) * 2011-08-18 2016-01-20 杭州华三通信技术有限公司 门户认证方法及接入控制器
US8438631B1 (en) 2013-01-24 2013-05-07 Sideband Networks, Inc. Security enclave device to extend a virtual secure processing environment to a client device
WO2014107358A1 (en) * 2013-01-03 2014-07-10 Intel Corporation Packet data connections in a wireless communication system using a wireless local area network
CN103973658A (zh) * 2013-02-04 2014-08-06 中兴通讯股份有限公司 静态用户终端认证处理方法及装置
CN103974223B (zh) * 2013-02-05 2019-07-26 中兴通讯股份有限公司 无线局域网络与固网交互中实现认证及计费的方法及系统
CN103532717B (zh) * 2013-10-16 2016-10-12 杭州华三通信技术有限公司 一种Portal认证处理方法、认证协助方法及装置
US10212030B2 (en) * 2014-06-13 2019-02-19 Telefonaktiebolaget Lm Ericsson (Publ) Mobile network IOT convergence
CN105207858B (zh) * 2014-06-16 2017-04-12 华为技术有限公司 接入装置及其执行的将用户设备接入网络的方法
WO2016027545A1 (ja) * 2014-08-22 2016-02-25 ソニー株式会社 無線通信装置及び無線通信方法
US20170310655A1 (en) * 2014-12-04 2017-10-26 Telefonaktiebolaget Lm Ericsson (Publ) Secure connections establishment
US20180084409A1 (en) * 2015-03-31 2018-03-22 Ruckus Wireless, Inc. Virtual Device with Internet Protocol Security Tunnel
KR102152130B1 (ko) * 2015-07-30 2020-09-07 소니 모바일 커뮤니케이션즈 인크. 모바일 핫스팟
US9979730B2 (en) * 2015-10-30 2018-05-22 Futurewei Technologies, Inc. System and method for secure provisioning of out-of-network user equipment
WO2017137881A1 (en) * 2016-02-12 2017-08-17 Telefonaktiebolaget Lm Ericsson (Publ) Method for converging iot data with mobile core
US10404648B2 (en) 2016-02-26 2019-09-03 Nokia Of America Corporation Addressing for customer premises LAN expansion
US10264621B2 (en) 2016-03-18 2019-04-16 Parallel Wireless, Inc IuGW architecture
WO2018035177A2 (en) 2016-08-15 2018-02-22 Parallel Wireless, Inc. Convergence proxy for core network virtualization
US10531356B2 (en) 2016-08-15 2020-01-07 Parallel Wireless, Inc. VoIP and native carrier call integration
US10270674B2 (en) * 2017-05-19 2019-04-23 Akamai Technologies, Inc. Traceroutes for discovering the network path of inbound packets transmitted from a specified network node
FR3067551A1 (fr) * 2017-06-07 2018-12-14 Orange Transmission de donnees entre un terminal et un serveur associe
US10701572B2 (en) * 2017-08-08 2020-06-30 T-Mobile Usa, Inc. Provisioning of SIMs for a testing environment of a wireless communications network
CN111034125B (zh) * 2017-08-31 2021-06-22 华为技术有限公司 一种地址分配方法及相关设备
CN107666433B (zh) * 2017-09-13 2021-05-11 上海展扬通信技术有限公司 一种基于智能终端的语音中继方法及语音中继系统
CN108196886B (zh) * 2017-12-26 2020-11-27 浪潮通用软件有限公司 一种读卡器业务实现方法及读卡器
CN110798437B (zh) * 2018-08-03 2023-02-21 中兴通讯股份有限公司 一种数据保护方法、装置及计算机存储介质
US11252049B2 (en) * 2018-09-20 2022-02-15 Cable Television Laboratories, Inc. Systems and methods for providing individualized communication service
JP7130874B2 (ja) * 2018-12-19 2022-09-05 台湾積體電路製造股▲ふん▼有限公司 ネットワークアクセスサービスのシステムおよび方法
US11395139B1 (en) * 2019-06-03 2022-07-19 Sprint Communications Company Lp Network profile anti-spoofing on wireless gateways
CN110248375B (zh) * 2019-07-25 2021-11-09 维沃移动通信有限公司 一种通信方法及无线接入点
CN111131642B (zh) * 2019-11-18 2021-05-18 集奥聚合(北京)人工智能科技有限公司 用于私有化部署场景的便携式智能语音外呼系统、方法
CN111371798A (zh) * 2020-02-24 2020-07-03 迈普通信技术股份有限公司 数据安全传输方法、系统、装置及存储介质
CN112738132A (zh) * 2021-01-27 2021-04-30 华北石油通信有限公司 一种二次认证接入系统及其方法
CN114189864B (zh) * 2022-02-16 2022-05-31 中国电子科技集团公司第三十研究所 移动通信系统非蜂窝接入装置及接入方法

Family Cites Families (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FI106831B (fi) 1998-01-14 2001-04-12 Nokia Networks Oy Pääsyn kontrollointimenetelmä matkaviestinjärjestelmää varten
CN1476205A (zh) 2002-08-16 2004-02-18 华为技术有限公司 综合接入设备的通信系统和系统中综合接入设备的管理方法
AU2002332279A1 (en) * 2002-08-30 2004-03-29 Fujitsu Limited Communication method, communication device, and communication system
JP2004199490A (ja) * 2002-12-19 2004-07-15 Komatsu Ltd 車載プログラムの書き換え制御装置
US7136651B2 (en) * 2004-08-30 2006-11-14 Tatara Systems, Inc. Mobile services control platform providing a converged voice service
EP1871065A1 (en) 2006-06-19 2007-12-26 Nederlandse Organisatie voor Toegepast-Natuuurwetenschappelijk Onderzoek TNO Methods, arrangement and systems for controlling access to a network
CN101155126A (zh) * 2006-09-25 2008-04-02 华为技术有限公司 一种实现移动性管理的系统、装置和方法
WO2008127662A1 (en) * 2007-04-12 2008-10-23 Marvell World Trade Ltd. Packet data network connectivity domain selection and bearer setup
US20080310358A1 (en) * 2007-06-06 2008-12-18 Interdigital Technology Corporation Method and apparatus for providing cell information list for non-3gpp capable user equipment operating in a 3gpp network and supporting layer-2 based handoff from a utran system to a non-3gpp system
US20090047966A1 (en) 2007-08-17 2009-02-19 Qualcomm Incorporated Method for a heterogeneous wireless ad hoc mobile internet access service
CN101785351A (zh) * 2007-08-29 2010-07-21 夏普株式会社 移动通信系统、无线通信方法、核心网络、移动终端装置及程序
CN101141822B (zh) 2007-09-30 2011-05-25 中兴通讯股份有限公司 一种无线网络的网关选择方法
JP4893581B2 (ja) * 2007-10-23 2012-03-07 日本電気株式会社 多重化通信システム、送信処理装置、受信処理装置、多重化通信方法、送信処理方法、および受信処理方法
CN101471964B (zh) 2007-12-27 2011-11-02 华为技术有限公司 一种网络地址的分配方法、网络系统及网络节点
US9043862B2 (en) * 2008-02-06 2015-05-26 Qualcomm Incorporated Policy control for encapsulated data flows
US9112909B2 (en) * 2008-02-13 2015-08-18 Futurewei Technologies, Inc. User and device authentication in broadband networks
EP2160051A1 (en) * 2008-09-01 2010-03-03 Nokia Siemens Networks OY Methods and devices for messaging
WO2010043254A1 (en) 2008-10-15 2010-04-22 Telefonaktiebolaget Lm Ericsson (Publ) Secure access in a communication network
EP2377363B1 (en) 2009-01-15 2016-05-04 Telefonaktiebolaget LM Ericsson (publ) PROXY MOBILE IPv6 SUPPORT IN RESIDENTIAL NETWORKS
JP5153732B2 (ja) 2009-07-13 2013-02-27 Kddi株式会社 アクセスポイントにおける電波の検出に基づく端末間の呼確立方法及びシステム
US8687631B2 (en) * 2009-10-16 2014-04-01 Cisco Technology, Inc. System and method for providing a translation mechanism in a network environment
US8423760B2 (en) * 2010-02-23 2013-04-16 Stoke, Inc. Method and system for reducing packet overhead for an LTE architecture while securing traffic in an unsecured environment

Also Published As

Publication number Publication date
JP2014524166A (ja) 2014-09-18
CN103597779A (zh) 2014-02-19
KR101545879B1 (ko) 2015-08-20
US20140223538A1 (en) 2014-08-07
US10992674B2 (en) 2021-04-27
JP2015181299A (ja) 2015-10-15
WO2012168173A1 (en) 2012-12-13
EP2533466A1 (en) 2012-12-12
JP5797332B2 (ja) 2015-10-21
CN107070755B (zh) 2022-06-10
CN107070755A (zh) 2017-08-18
JP6045648B2 (ja) 2016-12-14
EP2533466B1 (en) 2020-03-04

Similar Documents

Publication Publication Date Title
KR101545879B1 (ko) 이용자 엔티티에 네트워크 액세스를 제공하기 위한 방법 및 장치
US10021566B2 (en) Non-mobile authentication for mobile network gateway connectivity
EP2608617B1 (en) System and method for resource management for operator services and internet
US9549317B2 (en) Methods and apparatuses to provide secure communication between an untrusted wireless access network and a trusted controlled network
US8477785B2 (en) Method and system for interworking a WLAN into a WWAN for session and mobility management
CN108029017B (zh) 通过受管理的公共WLAN接入进行安全wifi呼叫连接的方法
US8335490B2 (en) Roaming Wi-Fi access in fixed network architectures
US9210728B2 (en) System and method for resource management for operator services and internet
JP2020506578A (ja) ユーザ機器の二次認証
US20060182061A1 (en) Interworking between wireless WAN and other networks
US8914520B2 (en) System and method for providing enterprise integration in a network environment
US20130155851A1 (en) System and method for resource management for operator services and internet
US11870604B2 (en) Communication system, communication device, communication method, terminal, non-transitory medium for providing secure communication in a network
JP2018537912A (ja) 複数の接続およびサービスコンテキストをサポートするためのセキュリティモデルを使用したワイヤレス通信のための方法および装置
CN103781073B (zh) 移动用户固网的接入方法及系统
JP5820782B2 (ja) フロー分配システム、フロー分配装置、フロー分配方法、及びプログラム
JP5947763B2 (ja) 通信システム、通信方法、および、通信プログラム
Vintilă et al. A J-PAKE based solution for secure authentication in a 4G network

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20190718

Year of fee payment: 5