[go: up one dir, main page]

KR20050116817A - 공중 인증 서버를 이용한 wlan 액세스 제어에서의아이덴티티 매핑 매커니즘 - Google Patents

공중 인증 서버를 이용한 wlan 액세스 제어에서의아이덴티티 매핑 매커니즘 Download PDF

Info

Publication number
KR20050116817A
KR20050116817A KR1020057016938A KR20057016938A KR20050116817A KR 20050116817 A KR20050116817 A KR 20050116817A KR 1020057016938 A KR1020057016938 A KR 1020057016938A KR 20057016938 A KR20057016938 A KR 20057016938A KR 20050116817 A KR20050116817 A KR 20050116817A
Authority
KR
South Korea
Prior art keywords
mobile terminal
session
wlan
authentication
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
KR1020057016938A
Other languages
English (en)
Inventor
준비아오 항
Original Assignee
톰슨 라이센싱
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 톰슨 라이센싱 filed Critical 톰슨 라이센싱
Publication of KR20050116817A publication Critical patent/KR20050116817A/ko
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/35Network arrangements, protocols or services for addressing or naming involving non-standard use of addresses for implementing network functionalities, e.g. coding subscription information within the address or functional addressing, i.e. assigning an address to a function
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/146Markers for unambiguous identification of a particular session, e.g. session cookie or URL-encoding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/563Data redirection of data network streams
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/663Transport layer addresses, e.g. aspects of transmission control protocol [TCP] or user datagram protocol [UDP] ports
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W74/00Wireless channel access
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/26Network addressing or numbering for mobility support
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/02Data link layer protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Small-Scale Networks (AREA)
  • Telephonic Communication Services (AREA)

Abstract

본 발명은, 브라우저 요청을 리디렉팅하고, 세션 식별(세션 ID)을 HTTP 요청 내에 임베드하며, 그러한 세션 ID를 사용하는 2개의 HTTP 세션을 인증 서버에서 매칭함으로써, WLAN 환경에서의 이동 단말기의 보안성을 개선하기 위한 방법을 제공한다. 액세스 포인트는, 세션 ID가 URL(universal resource locator)에 임베드 되어 있는 이동 단말기로부터의 웹 요청을 처리한다. 추가로, 이 세션 ID와, 이동 단말기의 MAC 어드레스 또는 IP 어드레스 간의 매핑이 WLAN에서 유지된다. 인증 서버가 인증 결과에 대해 액세스 포인트에 통지하는 경우, 세션 ID는 이동 단말기를 특정하게 식별하기 위하여 사용된다. 이러한 모든 작동은 이동 단말기에 투명하다.

Description

공중 인증 서버를 이용한 WLAN 액세스 제어에서의 아이덴티티 매핑 매커니즘{AN IDENTITY MAPPING MECHANISM IN WLAN ACCESS CONTROL WITH PUBLIC AUTHENTICATION SERVERS}
관련 출원
본 출원은 2003년 3월 10일자로 출원한 미국 가특허 출원번호 60/453,329호의 우선권을 주장하며, 그 내용은 본 명세서에 참조로서 포함한다.
본 발명은, 세션 식별을 인증 요청 내에 임베드(embed)하고, 그 식별을 사용하는 2개 세션을 인증 서버 내의 보안 프로세스에서 매칭(matching)함으로써, WLAN(wireless local area network)에 관한 보안성과 액세스 제어를 개선하는 장치 및 방법을 제공한다.
본 발명의 배경은, 액세스 포인트(AP)를 구비한 IEEE 802.1x 아키텍처를 채용하는 무선 근거리 네트워크 또는 WLAN의 분야인데, 액세스 포인트는 이동 디바이스를 위한 액세스와, 인터넷과 같은 회로 접속(hard wired) 근거리 및 글로벌(global) 네트워크와 같은 다른 네트워크로의 액세스를 제공한다. WLAN 기술의 진보로 인하여, 휴게소, 카페, 도서관 및 유사한 공공 시설은 공개적으로 액세스 가능한 핫 스폿(hotspot)이 된다. 현재, 공중 WLAN은 이동 통신 디바이스 사용자에게, 공동 인트라넷과 같은 사설 데이터 네트워크, 또는 인터넷, 피어 투 피어 통신 및 라이브 무선 VT 방송과 같은 공중 데이터 네트워크에 대한 액세스를 제공한다. 공중 WLAN을 실시 및 작동하는 상대적으로 낮은 비용뿐만 아니라 이용 가능한 높은 대역폭(통상적으로, 10Mb/s를 초과)으로 인하여, 공중 WLAN은 이상적인 액세스 메커니즘이 되고, 이를 통해 어떤 이동 무선 통신 디바이스 사용자는 외부 엔티티(entity)를 갖는 패킷을 교환할 수 있지만, 이하에서 설명하는 바와 같이, 그러한 개방적인 배치는, 식별 및 인증을 위한 적절한 수단이 존재하지 않는 경우에는 보안성을 떨어뜨릴 수도 있다.
사용자가 공중 WLAN 커버리지(coverage) 영역 내의 서비스를 액세스하려는 경우, WLAN은 그 사용자를 인증 및 인정한 후에 네트워크 액세스를 허용한다. 인증 후, 공중 WLAN은 안전한 데이터 채널을 이동 통신 디바이스에 개방하여, WLAN과 디바이스 간을 이동하는 데이터의 프라이버시(privacy)를 보호한다. 현재, 수많은 WLAN 장비 제조업체는, 배치되는 장비를 위해 IEEE 802.1x 표준을 채택한다. 그러므로 이 표준은 WLAN에 의해 사용되는 유력한 인증 메커니즘이다. 불행하게도, IEEE 802.1x 표준은, 그 표준의 활용 모델로서 사설 LAN 액세스를 사용하도록 설계되었다. 그러므로 IEEE 802.1x 표준은 공중 WLAN 환경에서의 보안성을 개선하는 특징을 제공하지는 않는다.
도 1은 공중 WLAN 환경에서의 인증에 통상적으로 연관되는 3개 엔티티, 즉 이동 단말기(MT), WLAN 액세스 포인트(AP), 및 특별한 서비스 제공자, 또는 가상 오퍼레이터(operator)와 관련될 수도 있는 인증 서버(AS) 간의 관계를 도시한다. 신뢰 관계는 다음과 같다. MT는 AS와 함께 어카운트(account)를 구비하므로 MT와 AS는 신뢰 관계를 상호 공유하고, WLAN 오퍼레이터 및 AS를 소유한 오퍼레이터(이하에서 "가상 오퍼레이터"로 간주함)는 사업 관계이므로, AP와 AS는 신뢰 관계를 갖는다. 인증 절차의 목적은, 2개의 현존하는 신뢰 관계의 장점을 취함으로써 MT와 AP 간의 신뢰 관계를 확립하는 것이다.
웹 브라우저 기반의 인증 방법에서, MT는, HTTPS(Hyper Text Transfer Protocol Secured Sockets) 프로토콜을 통해 웹 브라우저를 사용하여 AS와 직접 인증하고, AP(그리고 MT와 AS 간의 경로에 있는 임의의 사용자)가 기밀 사용자 정보를 침해 또는 훔칠 수 없다는 점을 보증한다. 그 채널은 안전한 반면, AP는 AS에 의해 명백하게 통지되지 않는 경우에는 인증의 결과를 판정할 수 없다. 그러나 AS가 MT에 관한 것이라는 유일한 정보는, 그 정보의 인터넷 프로토콜 또는 HTTPS 세션의 다른 쪽에서의 IP 어드레스이다. 방화벽, NAT 서버, 또는 웹 프럭시가 MT와 AS 간에 전자적으로 위치할 때, 즉 가상 오퍼레이터 구성을 갖는 일반적인 경우, 그러한 정보를 채택하여 MT를 식별할 수 없다.
대부분의 현존하는 WLAN 핫 스폿 무선 공급자는, 사용자 인증 및 액세스 제어를 위해 웹 브라우저 기반의 솔루션(solution)을 사용하는데, 이 솔루션은 사용자에게 편리한 것으로 판명되고, 사용자 디바이스에 임의의 소프트웨어 다운로드를 요구하지 않는다. 그러한 솔루션에 있어서, 사용자는, 액세스를 승인하는 무선 AP를 사용자에게 차례로 통지하는 서버에 의한 HTTPS를 통해 안전하게 인증된다. 그러한 인증 서버 AS는 WLAN 오퍼레이터, 또는 ISP(Independent Service Provider), 선급 카드 공급자 또는 더욱 포괄적으로는 가상 오퍼레이터로서 간주하는 셀룰러(cellular) 오퍼레이터와 같은 임의의 제3 공급자에 의해 소유될 수도 있다.
종래 기술분야에서, 인증은 안전한 터널을 통해 사용자와 인증 서버 간의 통신에 의해 이루어진다. 그렇기 때문에 AP는 사용자와 인증 서버 간의 통신을 번역하지 않는다. 따라서, AP와 인증 서버 AS 간의 인증 정보로서 간주하는 개별 통신이 확립되어서, AP가 인증 정보를 수신해야 한다.
AP에서의 액세스 제어는 MAC 어드레스 또는 IP 어드레스에 기초하므로, 인증 서버 AS는, AP에 인증 결과를 리턴하는 경우, 이동 단말기(MT) IP 어드레스(HTTPS 터널의 소스 어드레스)를 식별자로서 사용할 수 있다. 이 접근법은, AP와 인증 서버 AS 간에, 방화벽 FW 및 로컬 서버 LS로 도시한 바와 같은 방화벽 또는 NAT(Network Address Translation)가 존재하지 않는 경우에 성공한다. 일반적으로 가상 오퍼레이터가 존재하는 경우, 인증 서버는 무선 액세스 네트워크 도메인의 외부에 위치하므로, 방화벽 FW의 외부에 위치하고, 인증을 위해 사용되는 HTTPS 커넥션(connection)은 흔히 웹 프럭시를 통해 실질적으로 이루어진다. 인증 서버 AS가 수신하는 소스 어드레스는 웹 프럭시의 어드레스인데, 이 웹 프럭시의 어드레스는 이동 단말기(MT) 사용자 디바이스를 식별하기 위해서는 사용될 수 없으므로, 안전한 커넥션의 보증 시 AP에 의해 사용될 수 없다.
현재의 웹 브라우저 기반의 인증 솔루션에 있어서, WLAN 및 인증 서버 AS는 동일한 엔티티의 일부분이므로, 상술한 문제점은 이슈가 되지 않을 수도 있다. 그러나 가상 오퍼레이터 개념이 핫 스폿 WLAN 액세스를 위해 더욱 광범위하게 전개되기 때문에, 소스 IP 어드레스에만 의존하지 않으면서 인증 세션을 식별하는 과제가 더욱 긴급해지는데, 이는 컴퓨터 해킹에 대한 가능성이 그에 따라 높아지기 때문이다.
<발명의 개요>
본 발명은 WLAN 환경에서의 이동 단말기의 보안성과 액세스 제어를 개선하기 위한 방법을 제공하여 상술한 문제점을 극복한다. 본 발명에 따른 방법은, 세션 식별(세션 ID)을 HTTP 요청 내에 임베드하고, 그러한 세션 ID를 사용하는 2개의 HTTP 세션을 인증 서버에서 매칭하며, 이로 인하여 인증 메시지와 관련된 이동 단말기를 특정하게 식별한다. 액세스 요청은, 세션 식별을 제공하고, 세션 식별을 이동 단말기에 매핑하는 매핑 데이터를 저장하며, 이동 단말기에 전송되는 임베드 되어 있는 세션 ID를 갖는 웹 페이지를 생성하는 WLAN 내의 서버에 리디렉팅될 수도 있다.
액세스 포인트는, 세션 ID가 URL(universal resource locator)에 임베드 되어 있는 이동 단말기로부터의 웹 요청을 처리한다. 추가로, 액세스 포인트는 이 세션 ID와 MT의 MAC 어드레스 간의 매핑을 유지한다. 인증 서버가, 액세스 포인트가 인증 결과를 수신하였다는 점을 액세스 포인트에 통지하는 경우, 세션 ID는 이동 단말기를 특정하게 식별하기 위하여 사용된다.
본 발명의 실시예에서, WLAN(wireless local area network)에 대한 액세스를 제어하기 위한 방법은, 상기 WLAN의 커버리지 영역 내에 배치된 이동 단말기로부터 상기 WLAN을 액세스하는 요청을 수신하는 단계, 상기 이동 단말기와 관련된 식별자와 세션 ID를 관련시키고, 상기 세션 ID를 상기 이동 단말기와 관련된 식별자에 매핑하는 데이터를 저장하는 단계, 상기 세션 ID를 포함한 인증 요청을 적당한 인증 서버에 전송하는 단계, 상기 적당한 인증 서버로부터 상기 이동 단말기에 관한 인증 메시지-상기 인증 메시지는 상기 세션 ID를 포함함-를 수신하는 단계, 상기 저장된 매핑 데이터에 응답하여 상기 수신한 인증 메시지를 상기 이동 단말기와 관련시키는 단계, 및 상기 수신한 인증 메시지에 응답하여 상기 WLAN에 대한 상기 이동 단말기에 의한 액세스를 제어하는 단계를 포함한다.
식별자는, 이동 단말기를 특정하게 식별하기 위하여 사용할 수 있는 이동 단말기의 임의의 파라미터 또는 특징일 수도 있다. 이동 단말기와 관련된 식별자는, 이동 단말기와 관련된 MAC 어드레스 또는 이동 단말기와 관련된 IP 어드레스를 포함할 수도 있다. 세션 ID는 WLAN에 의해 생성된 웹 페이지, 예를 들어 인증 서버를 구비한 HTTPS 세션에 대한 서브미트(submit) 버튼과 관련된 URL에 임베드 되어 있을 수도 있다.
본 발명은 첨부한 도면을 참조하여 설명하는 다음의 상세한 설명을 통해 가장 잘 이해된다. 도면의 다양한 특징이 철저하게 특정되지는 않는다. 대조적으로, 다양한 특징은 명확하게 하기 위하여 임의로 확장 또는 축소할 수도 있다. 도면에 포함된 것은 다음과 같다.
도 1은 이동 무선 통신 디바이스를 인증하기 위한 본 원리의 방법을 실현하기 위한 통신 시스템의 블록 다이어그램이다.
도 2는 본 발명에 따른 방법의 흐름을 나타내는 다이어그램이다.
논의될 도면에 있어서, 회로 및 관련 블록과 화살표는, 전기 회로와, 전기 신호를 전송하는 관련 배선 또는 데이터 버스로서 실시될 수도 있는 본 발명에 따른 방법의 기능을 표현한다. 대안으로, 하나 이상의 관련 화살표는, 특히 본 발명의 방법 또는 장치가 디지털 프로세스로서 실시되는 경우, 소프트웨어 루틴 간의 통신(예컨대, 데이터 흐름)을 표현할 수도 있다.
도 1에 따르면, 1401∼140n으로 표현한 하나 이상의 이동 단말기는 액세스 포인트(1301∼130n) 및 관련 컴퓨터(120)를 통해 인증 서버(150)와 통신하여, 통상적으로 해커와 같이 승인되지 않은 엔티티로부터의 높은 보안성을 요구하는 안전한 데이터베이스 또는 다른 소스에 접속한다.
도 1에 도시하는 바와 같이, IEEE 802.1x 아키텍처는, 네트워크 스택의 더 높은 계층에 투명한 국(station) 이동성을 제공하도록 상호작용하는 몇몇 컴포넌트 및 서비스를 포함한다. IEEE 802.1x 네트워크는 액세스 포인트(1301-n) 및 이동 단말기(1401-n)와 같은 AP 국을, 무선 매체와 연결하고, IEEE 802.1x 프로토콜의 기능성을 포함하는 컴포넌트로서 정의하는데, 그 컴포넌트는 MAC(Medium Access Control)(1341-n), 대응 PHY(Physical Layer)(도시하지 않음), 및 무선 매체로의 커넥션(127)이다. 통상적으로, IEEE 802.1x 기능은 무선 모뎀 또는 네트워크 액세스 또는 인터페이스 카드의 하드웨어 및 소프트웨어에서 실시한다. 본 발명은 식별 수단을 통신 스트림에 실시하기 위한 방법을 제안하여, 다운링크 트래픽(즉, 인정 서버로부터, 랩톱(laptop)과 같은 이동 단말기로)을 위한 IEEE 802.1x WLAN MAC 계층과 호환가능한 액세스 포인트(1301-n)는, 하나 이상의 무선 이동 디바이스(1401-n), 로컬 서버(120), 및 인증 서버(150)를 구비한 가상 오퍼레이터의 인증에 참여할 수도 있다.
본 원리에 따르면, 이동 단말기 자체뿐만 아니라 IEEE 802.1x 프로토콜에 따른 통신 스트림을 인증함으로써, 액세스(160)는 각각의 이동 단말기(1401-n)를, 복수의 액세스 포인트와 로컬 서버(120)를 구비한 WLAN(124)에 안전하게 액세스하게 한다. 액세스(160)가 그러한 안전한 액세스를 가능하게 하는 방식은 도 2를 참조하여 가장 잘 이해할 수 있는데, 도 2는 이동 무선 통신 디바이스, 즉 이동 단말기(140n), 공중 WLAN(124), 로컬 웹 서버(120) 및 인증 서버(150n) 간의 시간에 따라 발생하는 상호작용의 시퀀스를 도시한다. IEEE 802.1x 프로토콜을 사용하여 구성되는 경우, 도 1의 액세스 포인트(130n)는 제어 포트 및 미제어 포트를 유지하고, 이를 통해 액세스 포인트는 이동 단말기(140-n)와 정보를 교환한다. 액세스 포인트(130n)에 의해 유지되는 제어 포트는, WLAN(124)과 이동 단말기(140-n) 간의 액세스 포인트를 통과하는 데이터 트래픽과 같은 비인증 정보를 위한 통로(entryway)로서의 기능을 한다. 통상적으로, 액세스 포인트(130-n)는, 이동 무선 통신 디바이스의 인증 때까지, 각각의 제어 포트를 IEEE 802.1x 프로토콜에 따라 폐쇄 상태로 유지한다. 액세스 포인트(130-n)는 각각의 미제어 포트를 항상 개방 상태로 유지하여, 이동 단말기(140-n)가 인증 데이터를 인증 서버(150n)와 교환하게 한다.
도 2를 참조하면, WLAN(124)에서의 이동 단말기(140n)의 보안성을 개선하기 위한 본 발명에 따른 방법은, 일반적으로 HTTP 브라우저 요청(205)을 리디렉팅(redirecting)하고(210), 세션 ID(215)를 HTTP 요청 내에 임베드하며, 그러한 세션 ID(215)를 사용하는 2개의 HTTP 세션을 인증 서버(150n)에서 매칭함으로써 이루어진다.
특히, 본 발명의 방법은, (URL) 세션 ID(215)를 임베드함으로써, WLAN(124), 액세스 포인트(130n)를 통해 이동 단말기(140n)로부터의 액세스 요청(이동 단말기(140n)로부터의 웹 요청(205))을 처리한다.
도 2를 참조하면, WLAN 환경(124)에서의 이동 단말기(140n)의 보안성을 개선하기 위한 본 발명에 따른 방법은, 브라우저 요청을 로컬 웹 서버(120)에 리디렉팅한다(220). 로컬 서버(120)는, 이동 단말기(140n)와 관련된 MAC 어드레스(138n)를 얻고, 세션 ID(215)를 생성하며, MAC 어드레스(138n)와 세션 ID(215)를 관련시키는 매핑(mapping)을 저장한다. WLAN(124)은 세션 ID(215)와, 이동 단말기(140n)의 MAC 어드레스 간의 매핑을 유지한다. 로컬 서버(120)는, 이동 단말기(140)의 사용자에게 가상 오퍼레이터를 선택하도록 요청하는 웹 페이지를 생성하고, 이로 인하여 적당한 인증 서버(150)를 선택하며, 전송을 위해 세션 ID(215)를 웹 페이지(237)에 임베드한다. 또한, 로컬 서버(120)는, URL 어드레스에 임베드 되어 있는 관련 세션 ID(215)를 갖는 MAC 어드레스(138n)를 리턴한다(230).
이동 단말기는, 인증 서버(150)를 구비한 HTTPS 세션을 개시하는 서브미트(submit) 버튼과 관련된 URL을 임베드함으로써 응답하는데, WLAN(124)은 요청에 임베드 되어 있는 세션 ID(215)를 갖는 인증 요청(240)을 HTTPS를 통해 인증 서버(150n)에 송신한다. 그 이후, 인증 서버(150n)는 세션 ID(215)를 처리하고, 성공적인 인증을 확인하는(250) 세션 ID(215)를 WLAN(124)을 경유하여 액세스 포인트(130n)에 전달한다. 또한, 그 프로세스는, 하나 이상의 변경을 갖는 세션 ID(215)와 관련된 MAC 어드레스를 액세스 포인트에 의해 액세스 제어 필터로부터 수신하는 단계를 포함하고, 이로 인하여 MAC 어드레스를 갖는 모든 통신은 이동 단말기(140n)에 의해 수신할 수 있다. 상술한 프로세스는 액세스 포인트(130n)와 이동 단말기(140n) 간의 통신을 암호화하여, 더욱 안전한 액세스 제어를 보증하게 한다.
액세스 포인트(130n)와 인증 서버(150n)가 방화벽(122), 또는 NAT 서버에 의해 분리되는 경우, 인증 서버(150n)가 액세스 포인트(1301-n)와 직접 통신하는 것은 불가능하다. 이 문제점은, 인증 서버(150n)와 첫 번째로 접촉(contact)하는 액세스 포인트(130n)를 구비하여 통신 환경을 확립함으로써 해결할 수 있다. 액세스 포인트(130n)가 이동 단말기(1401-n) 중 하나는 인증 서버(150n)와 HTTPS 통신을 개시한다는 점을 검출한 경우, 관련 액세스 포인트(140n)는 인증 서버(150n)에 관련 세션 ID(215)를 갖는 메시지를 송신하는데, 그 세션 ID는 인증 서버(150n)가 그 세션에 대한 인증 결과를 리턴한다는 점을 나타낸다.
액세스 포인트(140n)는, 인증 서버(150n)와의 접촉을 확립할 때 이용가능한 몇몇 옵션을 구비한다. 예로서, 현존하는 프로토콜을 사용하여 상호 인증하고, 서로 간의 통신을 안전하게 하는 액세스 포인트(140n)와 인증 서버(150n)의 추가된 장점으로 HTTPS를 사용할 수도 있다. 이 접근법에서의 한 가지 단점은, HTTPS가 TCP(Telecommunication Control Protocol)를 통해 수행되므로, 이동 단말기(140n)가 인증될 때까지 TCP 커넥션은 개방 상태를 유지할 필요가 있다는 점이다. 이는 리소스를 액세스 포인트(140n)상의 큐(queue)에 놓을 수도 있다.
예로서, 또 다른 대안은, 액세스 포인트(130n)와 인증 서버(150) 간의 통신을 위하여, UDP에 기초한 RADIUS 프로토콜을 사용하는 것이다. 이 접근법의 장점은, 액세스 포인트(130n)와 인증 서버(150) 간에 커넥션이 유지될 필요는 없지만, 이동 단말기(140n)는 인증된다는 점이다. 이 접근법은 모든 방화벽(122) 구성에서 작동할 수도 없는데, 이는 특정 방화벽만이 HTTP, HTTPS, FTP 및 TELNET을 통과하게 하기 때문이다.
도시한 바와 같은 본 발명의 형태는 단순히 바람직한 실시예로서 이해하게 된다. 부품의 기능 및 배열에서 다양한 변경이 이루어질 수도 있는데, 동등한 수단이 예시 및 설명된 수단으로 대체될 수도 있으며, 어떤 특징은 다음의 청구항에서 정의되는 본 발명의 사상 및 범위로부터 벗어나지 않으면서 다른 특징과 무관하게 사용할 수도 있다.

Claims (18)

  1. WLAN(wireless local area network)에 대한 액세스를 제어하기 위한 방법으로서,
    상기 WLAN의 커버리지 영역 내에 배치된 이동 단말기로부터 상기 WLAN을 액세스하는 요청을 수신하는 단계,
    상기 이동 단말기와 관련된 식별자와 세션 ID를 관련시키고, 상기 세션 ID를 상기 이동 단말기와 관련된 식별자에 매핑하는 데이터를 저장하는 단계,
    상기 세션 ID를 포함한 인증 요청을 적당한 인증 서버에 전송하는 단계,
    상기 적당한 인증 서버로부터 상기 이동 단말기에 관한 인증 메시지-상기 인증 메시지는 상기 세션 ID를 포함함-를 수신하는 단계,
    상기 저장된 매핑 데이터에 응답하여 상기 수신한 인증 메시지를 상기 이동 단말기와 관련시키는 단계, 및
    상기 수신한 인증 메시지에 응답하여 상기 WLAN에 대한 상기 이동 단말기에 의한 액세스를 제어하는 단계
    를 포함하는 액세스 제어 방법.
  2. 제1항에 있어서,
    상기 관련시키는 단계는, 상기 세션 ID를 상기 이동 단말기의 MAC 어드레스와 관련시키는 단계와, 상기 세션 ID를 상기 이동 단말기의 MAC 어드레스에 매핑하는 데이터를 저장하는 단계를 포함하는 액세스 제어 방법.
  3. 제1항에 있어서,
    상기 관련시키는 단계는 상기 세션 ID를 상기 이동 단말기와 관련된 IP 어드레스와 조합하는 단계와, 상기 세션 ID를 상기 이동 단말기와 관련된 상기 IP 어드레스에 매핑하는 데이터를 저장하는 단계를 포함하는 액세스 제어 방법.
  4. 제1항에 있어서,
    상기 세션 ID를 상기 이동 단말기에 전송하는 단계,
    상기 이동 단말기로부터 상기 세션 ID가 임베드 되어 있는 인증 요청을 수신하는 단계, 및
    상기 수신한 인증 요청을 상기 적당한 인증 서버에 전송하는 단계
    를 더 포함하는 액세스 제어 방법.
  5. 제4항에 있어서,
    상기 제1 전송 단계는, 상기 이동 단말기가 적당한 인증 서버를 선택하는 것을 요청하는 웹 페이지를 생성하는 단계와, 상기 세션 ID를 상기 웹 페이지에 임베드하는 단계와, 상기 웹 페이지를 상기 이동 단말기에 전송하는 단계를 포함하는 액세스 제어 방법.
  6. 제5항에 있어서,
    상기 세션 ID는 HTTPS 세션을 개시하는 서브미트(submit) 버튼과 관련된 URL(universal resource locator)에 임베드 되어 있는 액세스 제어 방법.
  7. 제6항에 있어서,
    상기 HTTPS 세션이 상기 이동 단말기와 상기 인증 서버 간에 개시되는 경우, 상기 WLAN과 상기 인증 서버 간의 통신 환경을 확립하는 단계를 더 포함하고, 상기 인증 서버는 상기 인증 메시지를 상기 WLAN에 송신하는 액세스 제어 방법.
  8. WLAN에 대한 액세스를 제어하기 위한 방법으로서,
    상기 WLAN과 관련된 액세스 포인트에서, 상기 WLAN의 커버리지 영역 내에 배치된 이동 단말기로부터 상기 WLAN을 액세스하는 요청을 수신하는 단계,
    상기 요청을 상기 WLAN과 관련된 로컬 서버에 리디렉팅하고, 상기 로컬 서버가 상기 이동 단말기와 관련된 식별자와 세션 ID를 관련시키며, 상기 세션 ID를 상기 이동 단말기와 관련된 식별자에 매핑하는 데이터를 저장하는 단계,
    상기 세션 ID를 포함한 인증 요청을 적당한 인증 서버에 전송하는 단계,
    상기 로컬 서버에서, 상기 적당한 인증 서버로부터 상기 이동 단말기에 관한 인증 메시지-상기 인증 메시지는 상기 세션 ID를 포함함-를 수신하는 단계,
    상기 로컬 서버에서, 상기 저장된 매핑 데이터에 응답하여 상기 수신한 인증 메시지를 상기 이동 단말기와 관련시키는 단계, 및
    상기 수신한 인증 메시지에 응답하여 상기 WLAN에 대한 상기 이동 단말기에 의한 액세스를 제어하는 단계
    를 포함하는 액세스 제어 방법.
  9. 제8항에 있어서,
    상기 로컬 서버는 상기 세션 ID를 상기 이동 단말기의 MAC 어드레스와 관련시키고, 상기 세션 ID를 상기 이동 단말기의 MAC 어드레스에 매핑하는 데이터를 저장하는 액세스 제어 방법.
  10. 제8항에 있어서,
    상기 로컬 서버는 상기 세션 ID를 상기 이동 단말기와 관련된 IP 어드레스와 관련시키고, 상기 세션 ID를 상기 이동 단말기와 관련된 IP 어드레스에 매핑하는 데이터를 저장하는 액세스 제어 방법.
  11. 제8항에 있어서,
    상기 세션 ID를 상기 이동 단말기에 전송하는 단계,
    상기 이동 단말기로부터 상기 세션 ID가 임베드 되어 있는 인증 요청을 수신하는 단계, 및
    상기 수신한 인증 요청을 상기 적당한 인증 서버에 전송하는 단계
    를 더 포함하는 액세스 제어 방법.
  12. 제11항에 있어서,
    상기 로컬 서버는 상기 이동 단말기가 적당한 인증 서버를 선택하는 것을 요청하는 웹 페이지를 생성하고, 상기 세션 ID를 상기 이동 단말기에 전송되는 상기 웹 페이지에 임베드하는 액세스 제어 방법.
  13. 무선 근거리 네트워크(WLAN: wireless local area network)로서,
    무선 통신 채널을 통해 복수의 이동 단말기 중 하나와 통신하기 위한 액세스 포인트,
    상기 액세스 포인트와 연결되는 로컬 서버, 및
    상기 액세스 포인트와 상기 로컬 서버와 연결되며, 상기 WLAN을 외부 통신 네트워크-상기 외부 통신 네트워크는 복수의 인증 서버 중 하나와 연결됨-에 연결하기 위한 수단을 포함하고,
    상기 WLAN의 커버리지 영역에 배치된 이동 단말기에 의한 액세스 요청에 응답하여,
    상기 로컬 서버는 상기 요청하는 이동 단말기와 관련된 식별자와 세션 ID를 관련시키고, 상기 세션 ID를 상기 요청하는 이동 단말기와 관련된 식별자에 매핑하는 매핑 데이터를 저장하며,
    상기 세션 ID를 갖는 인증 요청을 적당한 인증 서버에 전송하며,
    상기 적당한 인증 서버로부터 수신한 인증 메시지를 상기 요청하는 이동 단말기와 관련시키며,
    상기 수신한 인증 메시지에 응답하여 상기 WLAN에 대한 상기 이동 단말기에 의한 액세스를 제어하는 무선 근거리 네트워크.
  14. 제13항에 있어서,
    상기 요청하는 이동 단말기와 관련된 식별자는 상기 요청하는 이동 단말기의 MAC 어드레스에 대응하는 무선 근거리 네트워크.
  15. 제13항에 있어서,
    상기 요청하는 이동 단말기와 관련된 식별자는 상기 요청하는 이동 단말기의 IP 어드레스에 대응하는 무선 근거리 네트워크.
  16. 제13항에 있어서,
    상기 액세스 포인트는 상기 세션 ID를 상기 이동 단말기에 전송하고, 상기 이동 단말기로부터, 상기 인증 서버에 전송되는 상기 세션 ID가 임베드 되어 있는 인증 요청을 수신하는 무선 근거리 네트워크.
  17. 제16항에 있어서,
    상기 로컬 서버는 상기 이동 단말기가 적당한 인증 서버를 선택하는 것을 요청하는 웹 페이지를 생성하고, 상기 세션 ID를 상기 웹 페이지에 임베드하며, 상기 액세스 포인트는 상기 웹 페이지를 상기 이동 단말기에 전송하는 무선 근거리 네트워크.
  18. 제17항에 있어서,
    상기 로컬 서버는 HTTPS 세션을 개시하는 서브미트 버튼과 관련된 URL(universal resource locator)에 상기 세션 ID를 임베드하는 무선 근거리 네트워크.
KR1020057016938A 2003-03-10 2004-03-04 공중 인증 서버를 이용한 wlan 액세스 제어에서의아이덴티티 매핑 매커니즘 Withdrawn KR20050116817A (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US45332903P 2003-03-10 2003-03-10
US60/453,329 2003-03-10

Publications (1)

Publication Number Publication Date
KR20050116817A true KR20050116817A (ko) 2005-12-13

Family

ID=32990758

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020057016938A Withdrawn KR20050116817A (ko) 2003-03-10 2004-03-04 공중 인증 서버를 이용한 wlan 액세스 제어에서의아이덴티티 매핑 매커니즘

Country Status (7)

Country Link
US (1) US20060264201A1 (ko)
EP (1) EP1618697A2 (ko)
JP (1) JP2006524017A (ko)
KR (1) KR20050116817A (ko)
CN (1) CN1759558A (ko)
MX (1) MXPA05009370A (ko)
WO (1) WO2004081718A2 (ko)

Families Citing this family (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7260393B2 (en) * 2003-09-23 2007-08-21 Intel Corporation Systems and methods for reducing communication unit scan time in wireless networks
JP4438054B2 (ja) * 2004-05-31 2010-03-24 キヤノン株式会社 通信システム、通信装置、アクセスポイント、通信方法およびプログラム
JP4707992B2 (ja) * 2004-10-22 2011-06-22 富士通株式会社 暗号化通信システム
US7954141B2 (en) * 2004-10-26 2011-05-31 Telecom Italia S.P.A. Method and system for transparently authenticating a mobile user to access web services
US20060167841A1 (en) * 2004-11-18 2006-07-27 International Business Machines Corporation Method and system for a unique naming scheme for content management systems
US8074259B1 (en) * 2005-04-28 2011-12-06 Sonicwall, Inc. Authentication mark-up data of multiple local area networks
JP4701132B2 (ja) * 2005-12-07 2011-06-15 株式会社エヌ・ティ・ティ・ドコモ 通信経路設定システム
US20070271453A1 (en) * 2006-05-19 2007-11-22 Nikia Corporation Identity based flow control of IP traffic
DE602006003907D1 (de) * 2006-10-17 2009-01-08 Software Ag Verfahren und Systeme zum Speichern und Abrufen von Identitätsabbildungsinformation
CN100466554C (zh) * 2007-02-08 2009-03-04 华为技术有限公司 通信适配层系统及获取网元信息的方法
JP4308860B2 (ja) * 2007-02-20 2009-08-05 株式会社エヌ・ティ・ティ・ドコモ 移動通信端末及びウェブサイト閲覧方法
US7996519B1 (en) 2007-03-07 2011-08-09 Comscore, Inc. Detecting content and user response to content
CN101309284B (zh) * 2007-05-14 2012-09-05 华为技术有限公司 一种远程接入的通信方法、设备和系统
US8132239B2 (en) * 2007-06-22 2012-03-06 Informed Control Inc. System and method for validating requests in an identity metasystem
US20090064291A1 (en) * 2007-08-28 2009-03-05 Mark Frederick Wahl System and method for relaying authentication at network attachment
CN101399813B (zh) * 2007-09-24 2011-08-17 中国移动通信集团公司 身份联合方法
CN101534239B (zh) 2008-03-13 2012-01-25 华为技术有限公司 路由安装方法和设备
CN101247395B (zh) * 2008-03-13 2011-03-16 武汉理工大学 一种Session ID全透明传递的ISAPI访问控制系统
CN101662458A (zh) * 2008-08-28 2010-03-03 西门子(中国)有限公司 一种认证方法
EP2405678A1 (en) * 2010-03-30 2012-01-11 British Telecommunications public limited company System and method for roaming WLAN authentication
US9444620B1 (en) * 2010-06-24 2016-09-13 F5 Networks, Inc. Methods for binding a session identifier to machine-specific identifiers and systems thereof
CN103297967B (zh) * 2012-02-28 2016-03-30 中国移动通信集团公司 一种无线局域网接入的用户认证方法、装置及系统
US9148765B2 (en) * 2012-11-27 2015-09-29 Alcatel Lucent Push service without persistent TCP connection in a mobile network
EP3025473A1 (en) * 2013-07-24 2016-06-01 Thomson Licensing Method and apparatus for secure access to access devices
US9692833B2 (en) * 2013-07-26 2017-06-27 Empire Technology Development Llc Device and session identification
US9576280B2 (en) * 2013-10-13 2017-02-21 Seleucid, Llc Method and system for making electronic payments
CN104023046B (zh) * 2014-05-08 2018-03-02 深信服科技股份有限公司 移动终端识别方法和装置
CN105338574A (zh) * 2014-08-12 2016-02-17 中兴通讯股份有限公司 一种基于无线保真的网络共享方法及装置
US9374664B2 (en) * 2014-08-28 2016-06-21 Google Inc. Venue-specific wi-fi connectivity notifications
CN106209727B (zh) * 2015-04-29 2020-09-01 阿里巴巴集团控股有限公司 一种会话访问方法和装置
US20170346688A1 (en) * 2016-05-26 2017-11-30 Pentair Water Pool And Spa, Inc. Installation Devices for Connecting Pool or Spa Devices to a Local Area Network
US11063758B1 (en) 2016-11-01 2021-07-13 F5 Networks, Inc. Methods for facilitating cipher selection and devices thereof

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6151628A (en) * 1997-07-03 2000-11-21 3Com Corporation Network access methods, including direct wireless to internet access
US6065120A (en) * 1997-12-09 2000-05-16 Phone.Com, Inc. Method and system for self-provisioning a rendezvous to ensure secure access to information in a database from multiple devices
US6223289B1 (en) * 1998-04-20 2001-04-24 Sun Microsystems, Inc. Method and apparatus for session management and user authentication
US20010030977A1 (en) * 1999-12-30 2001-10-18 May Lauren T. Proxy methods for IP address assignment and universal access mechanism

Also Published As

Publication number Publication date
WO2004081718A2 (en) 2004-09-23
EP1618697A2 (en) 2006-01-25
US20060264201A1 (en) 2006-11-23
JP2006524017A (ja) 2006-10-19
CN1759558A (zh) 2006-04-12
WO2004081718A3 (en) 2005-03-24
MXPA05009370A (es) 2006-03-13

Similar Documents

Publication Publication Date Title
KR20050116817A (ko) 공중 인증 서버를 이용한 wlan 액세스 제어에서의아이덴티티 매핑 매커니즘
JP4701172B2 (ja) リダイレクトを使用してネットワークへのアクセスを制御するシステム及び方法
EP1500223B1 (en) Transitive authentication authorization accounting in interworking between access networks
JP4666169B2 (ja) 信頼されないアクセス局を介した通信方法
FI105966B (fi) Autentikointi tietoliikenneverkossa
US8522315B2 (en) Automatic configuration of client terminal in public hot spot
KR101009686B1 (ko) 다수의 가상 운영자를 지원하는 공용 무선 lan을 위한 세션 키 관리
US8272037B2 (en) Flexible WLAN access point architecture capable of accommodating different user devices
CN110140415B (zh) 使用无线设备的wlan连接
CN110087236A (zh) 用于通过无线网络与匿名主机建立安全通信会话的协议
EP2909988B1 (en) Unidirectional deep packet inspection
KR20030023478A (ko) 무선 데이터 통신의 중계 기능을 가진 전자 기기
KR20050116821A (ko) 보안 리키잉과 로그 오프를 이용한 wlan 세션 관리기술
KR20040001329A (ko) 공중 무선랜 서비스를 위한 망 접속 방법
MXPA06001088A (es) Control de acceso a una red con el uso de redireccion
Helleseth Wi-Fi Security: How to Break and Exploit
Hung et al. sRAMP: secure reconfigurable architecture and mobility platform
KR20050119119A (ko) 내장 플랫폼을 위한 보안성 웹 브라우저 기반 시스템 관리

Legal Events

Date Code Title Description
PA0105 International application

Patent event date: 20050909

Patent event code: PA01051R01D

Comment text: International Patent Application

PG1501 Laying open of application
PC1203 Withdrawal of no request for examination
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid