KR20140002773A - 무선 네트워크에서 디지털 인증서들을 관리하기 위한 플렉시블 시스템 및 방법 - Google Patents
무선 네트워크에서 디지털 인증서들을 관리하기 위한 플렉시블 시스템 및 방법 Download PDFInfo
- Publication number
- KR20140002773A KR20140002773A KR1020137027868A KR20137027868A KR20140002773A KR 20140002773 A KR20140002773 A KR 20140002773A KR 1020137027868 A KR1020137027868 A KR 1020137027868A KR 20137027868 A KR20137027868 A KR 20137027868A KR 20140002773 A KR20140002773 A KR 20140002773A
- Authority
- KR
- South Korea
- Prior art keywords
- cms
- certificate
- sur
- base station
- level
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 46
- 230000008569 process Effects 0.000 claims abstract description 8
- 238000007726 management method Methods 0.000 description 19
- 239000010410 layer Substances 0.000 description 14
- 238000004891 communication Methods 0.000 description 12
- 238000010586 diagram Methods 0.000 description 7
- 230000009286 beneficial effect Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 3
- 230000004913 activation Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 239000003999 initiator Substances 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 239000011229 interlayer Substances 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000035755 proliferation Effects 0.000 description 1
- 238000013468 resource allocation Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 238000012384 transportation and delivery Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/006—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
- H04L9/007—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models involving hierarchical structures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
- H04L63/064—Hierarchical key distribution, e.g. by multi-tier trusted parties
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3265—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate chains, trees or paths; Hierarchical trust model
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0433—Key management protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
- H04L2209/805—Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/08—Access point devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
기반 구조는 무선 백홀 네트워크들에서 네트워크 보안을 위해 디지털 인증서들의 분배를 관리하기 위해 제공된다. 실시예들에서, 최상위 인증서 관리 시스템(최상위 CMS)은 디지털 인증서들에 대한 요청들을 처리하고, 최상위 인증서들을 발행하고, 대리 인증서 관리 시스템들(sur-CMSs)을 자동으로 인증하고, 인증서 요청들을 자동으로 처리하고, 인증서 번들들을, 성공적으로 인증되는 sur-CMS들로 발행한다. 기반 구조는 각각의 영역들내 기지국들이 할당되는 sur-CMS들을 포함한다. 각각의 sur-CMS는 그의 자신의 기지국들을 자동으로 인증하고 인증서 요청들을 자동으로 처리하고 인증서 번들들을 성공적으로 인증되는 기지국들에 발행한다. 기지국에 발행된 인증서 번들은 이러한 기지국의 공개 키의 sur-CMS를 발행함으로써 서명된 디지털 인증서, 및 최상위 CMS의 자기-서명된 인증서를 포함하는 적어도 하나의 추가의 디지털 인증서를 포함한다.
Description
본 발명은 보안 프로토콜들을 인증하기 위해 무선 네트워크에서 네트워크 요소들에 의해 사용된 보안 디지털 인증서들을 관리하기 위한 시스템들 및 방법들에 관한 것이다.
무선 네트워크들에서 무선 액세스 네트워크(RAN)는 무선 고속 패킷 데이터를 전달하고 다른 패킷 데이터 네트워크들과 인터페이스 및 동작하기 위한 증대되는 요구를 충족시키기 위해 회로 교환 네트워크로부터 패킷 교환 네트워크로 진화하고 있다. 4G 무선, 및 LTE 기술의 출현은 특히 통신을 위해 모든-IP 기반 프로토콜을 갖고 더 빠르고 더 균일한 네트워크 아키텍처를 부여했다. 더 이전의 네트워크들에 비해, LTE 네트워크는, 예를 들면, 더 적은 앵커 포인트들, 에지에 제어 로직의 더 큰 분배, 및 다수의 운영자들간에 공유하는 전송을 구동하는 높은 셀 대역폭을 갖는다. 하나의 결과는 컴퓨터들, 서버들, 라우터들, 및 기지국들과 같은 RAN 네트워크 요소들(NEs), 및 그들 사이의 인터페이스들은 IP 트래픽에 노출된다는 것이다. 이는 네트워크 계층 및 상위 계층들에서 NE들에 대한 보안 위협들 및 취약성들을 도입한다. 이러한 위협들 및 취약성들을 해결할 필요가 있다.
네트워크 운영자들이 이러한 위협들 및 취약성들로부터 RAN 네트워크 요소들을 보호하기 위해 채택한 하나의 방어적인 방법은 RAN에 의해 사용된 통신 프로토콜들의 보안 버전들을 실행하는 것이었다. 일 예는 IP 보안("IPsec")으로 알려진 묶음의 보안 프로토콜들이고, 이는 IP 계층에서 패킷들의 안전한 교환을 지원하기 위한 인터넷 엔지니어링 태스크 포스(IETF)에 의해 개발되었다.
다른 이로운 특성들 중에서, IPsec은 LAN들로부터 전역 네트워크들로의 모든 크기들의 네트워크들에서 지원될 수 있도록 스케일러블하다. 이는 낮은 네트워크 계층들에서 동작하고, 따라서, 사용자들, 애플리케이션들, 및 상위 레벨 프로토콜들에 의해 영향을 받지 않는다. 이는 특정 애플리케이션들에 한정되지 않는다. 이는 전송 프로토콜들(예를 들면, TCP, UDP, SCTP) 또는 상위-계층 프로토콜들(예를 들면, http, ftp, SSH) 및 애플리케이션들의 갱신을 요구하지 않는다. IPsec은 IP 패킷들을 캡슐화하여 IPsec 터널들을 형성할 수 있고, 이는 패킷들의 원래의 속성들을 보존하고 네트워크 계층에서 보안 VPN들을 제공한다.
IPsec은 패킷-바이-패킷에 기초하여 소스 인증, 무결성 보호, 및 암호화를 지원한다. 이를 행하기 위해, IPsec은 두 개의 IPsec 피어들간에 공유된 보안 키 및 IPsec 활성화 동안 두 개의 피어들간에 동의되는 수 개의 대칭 암호화 알고리즘("대칭 암호 알고리즘")의 실행에 의존한다. 대칭 암호 알고리즘은 IPsec이 각각의 IPsec 피어에 저장된 사전 확립된 키들로부터 도출하는 세션 키들을 사용한다. 인터넷 키 교환("IKE")이라고 불리는 프로토콜은 IPsec 활성화 동안 및 키들이 리브레시될 때 키 협의 및 키 동의를 실시한다.
IKE는 IPsec이 활성화될 때 구동하는 제 1 프로토콜이다. IKE의 두 개의 현재 표준 버전들, 즉, IKEv1 및 IKEv2는 상호 호환가능하지 않지만, 이들은 여기에 간략히 기술하는 몇몇 공통적인 속성들을 갖는다. IKE의 두 버전들은 2 개의 단계들에서 메시지 교환을 수행한다. 제 1 단계에서, IKE는 두 개의 IPsec 피어들 사이의 보안 연관을 설정하기 위한 보안 채널을 설정한다. 제 2 단계에서, IKE 피어들은 서로 인증한다. 어느 하나의 단계가 실패하는 경우, IPsec 접속은 중지된다.
IKE 인증의 수개의 대안적인 방법들이 알려져 있다. 하나의 널리 사용되는 방법으로, X.509 디지털 인증서들은 IKE 인증 단계 동안 두 개의 IPsec 피어들간에 교환된다. 잘 알려진 절차들에 따라, 디지털 인증서들은 인증 기관(CA)으로부터 획득된다. 디지털 인증서들은 공개 키가 많은 아이덴티티 타입들, 데이터 정보 및 포맷들에 결합하도록 큰 융통성을 제공한다. X.509는 공개 키 기반 구조에 대한 ITU-T로부터의 표준이다. ITU-T는 국제 전기통신 연합의 전기통신 표준화 섹터이다.
예를 들면, 기지국, LTE 백홀 네트워크의 서버, 또는 IP 호스트로서 동작하는 몇몇 다른 엔티티는 공개 키 및 호스트 아이덴티티를 호스트 디지털 인증서의 파라미터들로서 삽입함으로써 호스트 공개 키를 호스트 아이덴티티에 결합하게 할 수 있어서, IP 호스트 인증서가 이들 파라미터들 모두를 포함할 것이다.
IKE 상호 인증을 위한 디지털 인증서들을 사용하는 방법들은, 다른 이유들 중에서도, 그들이 스케일러블하기 때문에 이롭다: IPsec이 활성화될 때 각각의 노드를 인증하기 위해 노드들의 네트워크에서 요구된 인증서들의 수는 노드들의 수와 선형관계이다.
IKE 인증 동안, 각각의 피어는 인증서들 번들(하나의 번들은 일반적으로 세 개의 인증서들을 하나로 한다)을 교환하여 그의 아이덴티티의 증명을 제공한다. 상기 번들은 IP 호스트의 아이덴티티로부터 시작하여 수신자에 의해 신뢰되는 앵커까지의 신뢰되는 경로를 규정하는 인증서들의 위임 체인을 형성한다. 위임 체인이 신뢰된 앵커로부터 피어 인증서로의 인증서마다 검증될 수 있는 경우, IKE 피어가 인증된다. 인증 절차를 성공적으로 완료하기 위해서, 각각의 IKE 피어는 인증서들의 정확한 번들이 공급될 필요가 있고, 그렇지 않으면 IKE 인증 단계가 실패할 것이다.
무선 백홀과 같은 큰 네트워크들의 요구가 충족될 수 있도록 디지털 인증서들을 관리하고 리프레시하기 위한 절차를 자동화하는 것이 필요하다.
큰 무선 백홀 네트워크에서 디지털 인증서들의 관리를 위한 자동화된 방법을 개발하였다. 이는 디지털 인증서들을 관리하는 노드들의 두 개 이상의 레벨들에 의존하기 때문에 계층적 방법론과 같은 우리의 자동화된 방법을 참조한다. 이후, 우리는 몇몇 구현들을 기술할 것이고, 각각은 인증서 위임에 포함된 노드들의 특정 모델 계층을 갖는다. 기술될 구현들의 각각에서, 인증서들의 관리는 합법적인 증명서들만이 IKE 피어들에 의해 전송되고 수락되도록 보안 및 인증된 채널을 통해 수행된다는 것이 가정된다.
따라서, 시스템 구현에서, 최상위 인증서 관리 시스템(root CMS)은 최상위 인증서들을 발행하도록 권한 부여된다. 최상위 CMS는 대리 인증서 관리 시스템들(sur-CMS)을 자동으로 인증하고 성공적으로 인증된 임의의 sur-CMS에 인증서 번들을 자동으로 발행하도록 구성된다. 상기 시스템은 두 개 이상의 sur-CMS들을 포함하고, 그의 각각은 각각의 영역내 그에 할당된 하나 이상의 기지국들을 갖는다. 각각의 sur-CMS는 그의 자신의 기지국들을 자동으로 인증하고 성공적으로 인증하는 각각의 기지국에 인증서 번들을 자동으로 발행하도록 구성된다. 기지국에 발행된 각각의 인증서 번들은 이러한 기지국의 공개 키의 발행하는 sur-CMS에 의해 서명된 디지털 인증서를 포함한다. 기지국에 발행된 각각의 인증서 번들은 최상위 CMS의 자기-서명된 인증서를 포함하는 적어도 하나의 다른 디지털 인증서를 또한 포함한다.
본 발명은 큰 무선 백홀 네트워크에서 디지털 인증서들의 관리를 위한 자동화된 방법을 제공한다.
도 1은 일반적인 LTE 네트워크의 고레벨 개략도.
도 2는 보안 방법들이 실행된 LTE 네트워크의 일부의 고레벨 개략도.
도 3 내지 도 5는 무선 네트워크에서 디지털 인증서들을 관리하기 위한 다수의 CMS 계층적 아키텍처 모델들의 개략도들. 각각의 도면들의 유사한 요소들은 유사한 참조 번호들로 표시된다.
도 3은 운영자 인증 기관(CA)이 없고 모든 노드가 ROOT CMS의 CA를 신뢰하는 모델의 개략도.
도 4는 운영자가 CA를 소유하고 모든 노드가 운영자 CA를 신뢰하는 모델의 개략도.
도 5는 운영자 CA가 있고, 기지국들은 ROOT CMS의 CA를 신뢰하고, SEG들은 운영자 CA를 신뢰하는 직접 교차-인증 모델의 개략도.
도 6은 두 개의 신뢰된 기관들이 있는 모델의 개략도. 즉, 기지국들은 ROOT CMS의 CA를 신뢰하고, SEG들은 외부 CA를 신뢰한다.
도 7 내지 도 11은 여기에 기술되는 디지털 인증서 관리의 몇몇 사용 경우들을 예시하는 프로토콜 메시징 도면들.
도 2는 보안 방법들이 실행된 LTE 네트워크의 일부의 고레벨 개략도.
도 3 내지 도 5는 무선 네트워크에서 디지털 인증서들을 관리하기 위한 다수의 CMS 계층적 아키텍처 모델들의 개략도들. 각각의 도면들의 유사한 요소들은 유사한 참조 번호들로 표시된다.
도 3은 운영자 인증 기관(CA)이 없고 모든 노드가 ROOT CMS의 CA를 신뢰하는 모델의 개략도.
도 4는 운영자가 CA를 소유하고 모든 노드가 운영자 CA를 신뢰하는 모델의 개략도.
도 5는 운영자 CA가 있고, 기지국들은 ROOT CMS의 CA를 신뢰하고, SEG들은 운영자 CA를 신뢰하는 직접 교차-인증 모델의 개략도.
도 6은 두 개의 신뢰된 기관들이 있는 모델의 개략도. 즉, 기지국들은 ROOT CMS의 CA를 신뢰하고, SEG들은 외부 CA를 신뢰한다.
도 7 내지 도 11은 여기에 기술되는 디지털 인증서 관리의 몇몇 사용 경우들을 예시하는 프로토콜 메시징 도면들.
우선 도 1을 참조하여 LTE 네트워크들의 일반적인 특징들을 기술할 것이다. 본 발명은 LTE 네트워크들에서의 구현에 대한 특정 참조를 통해 기술되지만, 이러한 기술은 순수하게 예시의 목적들을 위한 것이고, 본 발명의 적용의 범위가 그렇게 한정되는 것을 암시하는 것을 의도하지 않는다. 예를 들면, 그의 폭 넓은 양태에서 우리의 방법이 구현될 수 있는 다른 종류들의 네트워크들은 WiFi, WCDMA, CDMA/EVDO, 및 GSM을 포함한다.
LTE는 모든-IP 네트워킹 아키텍처를 포함하는 UMTS 전기통신에 대한 제 4 세대 향상이다. LTE는 제 3 세대 파트너십 프로젝트(3GPP)에 의한 일련의 공개를 통해 도입되었다. LTE에서, GPRS 코어 네트워크는 시스템 아키텍처 에볼루션(SAE)에 의해 대체되고, 이는 평탄한, IP-기반 네트워크 아키텍처이다. LTE가 끝에서부터 끝까지의 모든 IP이기 때문에, LTE용 이동 핸드셋들 및 다른 단말 장치들(100)은 IP 능력들을 삽입하였고, 진화된 NodeBs로서 불리는 기지국들(120)은 IP-기반이다.
진화된 패킷 코어(EPC)(130)는 SAE의 주요 아키텍처 구성요소이다. EPC는 네 개의 요소들: 서빙 게이트웨이(SGW; 140), 패킷 데이터 네트워크 게이트웨이(PGW; 150), 이동성 관리 엔티티(MME; 160), 및 정책 및 과금 규칙 기능(PCRF; 170)을 포함하는 것을 도면으로부터 알게 될 것이다. SGW, PGW, 및 MME는 3GPP Release 8에서 도입되고, PCRF는 3GPP Release 7에서 도입된다.
SGW는 데이터 평면 요소이다. 그의 주요 기능은 사용자-평면 이동성을 관리하는 것 및 무선 액세스 네트워크(RAN)와 코어 네트워크들 사이의 분계 지점의 역할을 하는 것이다. SGW는 eNodeBs와 PGW 사이의 데이터 경로들을 유지한다.
PGW는 패킷 데이터 네트워크들로 패킷 데이터 인터페이스의 종료 지점이다. 이와 같이, 이는 UEs에 대해, 즉, 사용자 단말들에 대해 트래픽에 대한 입구 및 출구 지점이다. PGW는 리소스 할당 및 이용, 패킷 필터링, 및 과금을 위한 운영자 규정된 정책을 지원한다.
MME는 네트워크 접속들에 대한 UE 액세스, 네트워크 자원들의 할당, 및 트랙킹, 페이징, 로밍, 및 핸드오버들을 지원하기 위한 이동성 상태들의 관리를 관리하기 위한 시그널링 및 제어 기능들, 및 가입자 및 세션 관리에 관련된 모든 다른 제어-평면 기능들을 수행한다.
PCRF는 서비스 데이터 흐름 검출, 정책 시행, 및 흐름-기반 과금을 지원한다. (LTE에서, 서비스 데이터 흐름-SDF-은 데이터-평면 트래픽을 전달하는 가상 접속이다.)
IMS 서비스들을 지원하는 IMS 관리 네트워크(180), 및 사용자 데이터베이스를 포함하고 그들 중에 가입자 인증, 위치, 및 가입 서비스들을 제공함으로써 호들을 조정하는 IMS 네트워크 엔티티들을 지원하는, 홈 가입자 서버(HSS; 190)가 EPC와 관련하여 도면에서 또한 도시된다. LTE 네트워크에 대하여, 운용, 관리, 및 유지 보수 기능들을 제공하는 OAM 서버(200)가 도면에 또한 도시된다.
도 1을 또한 참조하면, 이더넷 백홀 네트워크(210)가 eNodeBs를 서로 접속하고 EPC에 접속하는 것을 알게 될 것이다. eNodeBs(120) 및 네트워크(201)를 포함하는 무선 액세스 네트워크 사이의 다수의 상호 접속들은 네트워크 레벨 다층 스위치(MLS; 220)에 의해 조정될 수 있다. 통신 네트워크들(230, 240)은 백홀과 EPC 및 OAM 서버 각각의 사이에 통신을 위해 제공될 수 있다. 네트워크들(230, 249)과 같은 네트워크들은 일반적으로 네트워크 운영자에 의해 소유된 사설 네트워크들이다.
도 2는 보안 방법들이 실행되는 LTE 네트워크 아키텍처의 일 예를 도시한다. 도 1과 공통인 도면 요소들은 유사한 참조 번호들로 표시된다. 네트워크-레벨 층간 교환 네트워크(도 1에서 참조 번호(220)로 표시됨)가 여기서 보안 게이트웨이(SEG; 250)를 포함하는 것을 도 2에서 알게 될 것이다. IPsec 프로토콜 묶음이 실행되는 경우, SEG는 대안적으로 IPsec 게이트웨이로 불릴 수 있다.
이동 기반구조가 일반적으로 매우 크고, 또한 매우 많은 노드들을 포함하기 때문에, 도 2의 영역들(R1, R2)과 같은 다수의 영역들로 RAN을 세분하는 것이 종종 이로울 것이다. 각각의 영역은 일반적으로, 지리적으로 서로에게 비교적 가까이에 위치되는 복수의 기지국들을 포함한다. 주어진 영역내 보안 통신을 위해, 영역의 기지국들은 IPsec 터널들(260)을 통해 직접 보안 게이트웨이(SEG) 집성자에 접속한다. 영역들 사이의 보안 통신을 위해, 상이한 영역들에 위치된 SEG들 사이의 네트워크(290)를 지나는 IPsec 터널(280)은 각각의 영역의 주변을 보호하기 위해 사용된다. 따라서, 예를 들면, 터널들(280)은 제 3 당사자들에 의해 소유된 네트워크들상에 로밍하는 동안 트래픽을 보호하기에 유용할 수 있다. 네트워크들(230)을 지나는 IPsec 터널들(270)은 IMSI 및 다른 고객 기밀 정보를 포함하는, 예를 들면, 제어-평면 및 사용자-평면 트래픽을 보호하기에 유용하다.
본 방법은 예를 들면, X.509 디지털 인증서들을 관리하는 애플리케이션 기반구조로서 구현될 것이다. 애플리케이션 기반구조는, 예를 들면, 디지털 신호 프로세서들 또는 특정 또는 범용 디지털 컴퓨터들일 수 있는 적절한 하드웨어 머신들상에 실행될 것이다. 이러한 목적을 위해, 소스 또는 객체 코드에서 한 세트의 명령들 또는 한 세트의 머신-실행가능 명령들로서 제공될 수 있다. 전술한 것 중 임의의 것은 광 디크스, 필드-프로그래머블 게이트 어레이, 또는 컴퓨터 메모리 장치와 같은 실재하는, 비-일시적 머신-판독가능 매체에서 구현되는 것으로 제공될 수 있다.
이해되는 바와 같이, 애플리케이션 기반구조는 운영자 명령들에 따라 디지털 인증서 요청들을 트리거하고, 디지털 인증서들에 서명하고, 인증서들의 번들을 무선 백홀 네트워크에서 IP 노드들에 분배할 것이다.
애플리케이션 기반구조는 또한, 예를 들면, IP 노드의 초기 인증을 허용하는 팩토리로부터의 인증서들을 장착한 경우, 플러그 앤 플레이 등을 위한 새로운 IP 노드가 기술적인 지원 없이 본 필드에 배치될 수 있다는 것에 따른 자체 구성 시나리오들을 지원하도록 이롭게 설계될 수 있다.
애플리케이션 기반구조는 또한, 예를 들면, 인증서 없는 레거시 IP 노드가 이전 소프트웨어 공개로부터 새로운 공개로 이동하게 하는 이동 시나리오들을 지원하기 위하여 IP 호스트 내에 인증서들을 위치시키도록 이롭게 설계될 수 있다. 그렇게 하여, 레거시 IP 노드는 수동 개입의 필요 없이 IPSec에서 IKE 프로토콜에 의해 인증되기 위하여 필요한 인증서 번들을 원격으로 획득한다.
애플리케이션 기반구조는 일반적으로 무선 네트워크에 고정된 집중된 플랫폼에 호스팅될 것이지만, 랩탑 컴퓨터와 같은 로컬 플랫폼에도 또한 설치될 수 있다. 즉, 로컬 플랫폼은 예를 들면, 인증서가 공장에서 공급되지 않은 새롭게 배치된 기지국들에 설치를 위한 IP 호스트 인증서들을 다운로딩하기 위한 목적을 위해 셀 사이트와 같은 로컬 사이트에서 인증서들을 관리하도록 구성될 수 있고, 따라서, 초기에 배치될 때, 그 자신을 인증할 수 없다.
로컬 플랫폼의 다른 예에서, 애플리케이션 기반 구조는 예를 들면, 디지털 인증서 번들을 다운로드하기 위해 팩토리에서 사용된다.
우리의 애플리케이션 기반구조는 두 개 이상의 계층적인 레벨들을 갖는다. 복수의 레벨들의 사용, 및 특히 두 개의 레벨들의 사용은 인증서들의 관리를 단순화하면서, 또한 사용자들로부터 최상위 인증 기관을 격리시키고 예를 들면, 개인 키를 획득하기를 시도하는 공격자들로부터 이를 보호하기 위해 적어도 하나의 중재층을 제공하기 위하여 이롭다.
더 구체적으로, 각각의 관리 트랜잭션은, 한정된 수의 인증서들만이 신뢰 경로를 구축하기 위해 각각의 CMS에 의해 생성되고 교환될 필요가 있도록 국부적으로 행해진다. 따라서, 계층적인 층들은 격리층을 통해 보안을 추가할 뿐만 아니라, 온라인 인증 요청들을 수행하기 위한 로컬 기능을 제공한다. 이후, 이는 신뢰 기관들에서 인증 및 교차-인증 프로세스들을 단순화시키고 가속화한다.
두 개, 세 개, 또는 더 많은 계층적인 층들이 우리의 기반구조에서 쉽게 적응되는 점이 주의되어야 한다. 그러나, 설계 트레이드오프가 존재한다: 계층적인 층들의 수가 너무 큰 경우, IKE 인증 동안 인증서 및 서명 검증들의 수가 너무 커서 성능을 열화시키고 오버헤드가 과도한 레벨로 증가한다. 다른 한편, 너무 적은 계층적인 층들이 존재하는 경우, CMS들에 의해 로컬 기능의 불충분한 위임이 있을 것이고, 그들 중 몇몇은 그들이 네트워크의 IP 노드들로부터의 요청들에 응답하여 생성하고 교환할 필요가 있는 다수의 인증서들에 의해 압도될 수 있다.
따라서, 우리는 두 개의 층들을 갖는, 또는 몇몇 경우들에서 다소 더 많은 계층을 갖는 계층적인 모델이 일반적으로 기관의 몇몇 상이한 신뢰 모델들에 적응하기에 충분한 융통성이 있고, 오버헤드를 최소로 유지할 것이라는 것을 발견했다. "융통성 있는" 기반 구조는 예를 들면, 하나보다 많은 인증 기관 및 하나보다 많은 신뢰 모델을 지원할 수 있다. 외부 인증 기관을 도입할 필요가 있는 제 3 당사자와 보안 통신이 확립될 수 있도록 이러한 융통성 있는 기반 구조를 갖는 것이 이롭다.
도 3은 무선 백홀 네트워크의 우리의 애플리케이션 기반구조를 구현하기 위한 하나의 가능한 아키텍처를 도시한다. 아키텍처의 하나의 중요한 구성요소는 디지털 인증서들을 관리할 책임이 있는 시스템 애플리케이션이다. 우리는 이러한 시스템 애플리케이션을 인증서 관리 시스템(CMS)이라고 부른다.
도 3을 참조하면, ROOT CMS 애플리케이션(300)이 CMS 계층의 최상부에 위치하는 것이 이해될 것이다. 실질적인 구현들에서, ROOT CMS는 도 1의 네트워크(240)와 같은 OAM 네트워크의 서버에 위치한다. 이후 ROOT(300)는 인증서들의 필요시 IP 노드들과 국부적 또는 원격 방식으로 직접 인터페이스하는 다수의 sur-CMS 애플리케이션들(310)이다. 실제적인 구현들에서, sur-CMS 기능들은 ROOT CMS의 플랫폼들과 유사한 플랫폼들상에 존재한다. 도 3은 단지 세 개의 sur-CMS 애플리케이션들만을 도시하도록 단순화되었지만, 실제로는, 물론, 더 많은 수가 공통 ROOT CMS에 의해 서빙될 수 있다. 따라서, 도면은 단순히 설명적인 것이고 이러한 점에 한정하지 않는 것으로 이해되어야 한다.
두 개의 형태들의 IP 노드들이 도면에 또한 도시된다: 기지국들(321, 323)(LTE의 환경에서 eNodeBs이라 불림) 및 SEGs(330). 이하에 더 상세히 설명되는 바와 같이, 도시된 아키텍처의 SEGs(330)는 안전하게 상호접속되고, 각각의 SEG는 예를 들면, IPSec 터널에 의해, 각각의 그룹의 기지국들(321, 322, 또는 323)에 안전하게 접속된다. 보안 접속들을 확립하기 위한 목적을 위해, 기지국들은 서로의 IKE 피어들이고, SEGs는 유사하게 서로의 IKE 피어들이다.
우리는 여기서 IPsec이 RAN 통신들에 대해 선택된 보안 프로토콜이라는 것을 가정하지만, IPsec의 선택은 단순히 예시적이고 한정적이 아니라는 점에서 이해되어야 한다. 본 환경에서 유용할 수 있는 다른 보안 프로토콜들의 예들은 https 및 TLS를 포함한다.
일반적인 구현들에서, 이동 기반 구조의 소유자 또는 백홀 네트워크의 운영자와 같은, 하나의 단일 신뢰 기관은 하나의 단일 ROOT CMS와 연관될 것이다.
우리가 상기에 주의한 바와 같이, 큰 이동 기반 구조 및 많은 노드들이 주어지면, RAN 네트워크를 수 개의 별개의 영역들로 세분하는 것이 이롭고, 각각의 영역은 그래픽적으로 클러스터링된 복수의 기지국들을 포함한다. 세 개의 영역들(361 내지 363)이 도 3에 도시된다. 상기에 설명된 바와 같이, 도면은 단순화를 위해 세 개의 영역들로 한정되었고, 한정의 목적들이 아니다. 유사하게, 도면에서 각각의 영역에 대해 도시된 기지국들의 수는 도면을 단순화하기 위해 세 개로 한정되었고 한정의 목적을 위한 것이 아니다.
상기 언급된 바와 같이, 도 3의 SEGs(330)는 안전하게 상호접속되고, SEGs의 각각은 각각의 그룹의 기지국들에 안전하게 접속된다. 더 구체적으로, 주어진 영역내에 보안 통신을 제공하기 위해, 영역들(361 내지 363)의 각각에서 기지국들은 IPsec 터널들(351, 352, 또는 353)을 통해 그들의 각각의 SEG(300)에 직접 접속한다. 영역들 사이의 보안 통신을 위해, 영역들을 따라 SEGs 사이의 IPsec 터널들(340)은 각각의 영역들의 경계를 보호하기 위해 사용된다.
IPsec 터널들은, 예를 들면, 프로토콜들의 IPsec 묶음에 의해 규정되는 알려진 방법들을 사용하여 확립된다. IPsec 셋-업 절차들은 잘 알려졌고 여기에 상세히 기술될 필요가 없다. 그러나, 편의성을 위해, 간단한 리뷰가 여기에 제시될 것이다:
IKE는 두 개의 예상된 IPsec 피어들 사이의 보안 인증된 통신 채널을 확립하는 것을 목적으로 하는 제 1 단계, 및 IPsec 또는 다른 서비스들을 위하여 피어들 사이의 보안 연관들(SAs)을 협의하는 것을 목적으로 하는 제 2 단계를 갖는다. SAs는 단계 1에서 확립된 보안 채널을 사용하여 협의된다.
피어들이 IKE 단계 1 동안 그들 자신을 인증하기 위해 사용할 수 있는 수 개의 대안적인 방법들이 존재하고, 그들 중 하나는 합의되거나 미리 선택되어야 한다. 본 문맥에서 특정 이익이 있는 하나의 이러한 방법은 RSA 서명에 의해 인증된 디지털 인증서를 사용한다. 각각의 피어는 그 자신의 ID 값, 그의 아이덴티티 디지털 인증서, 및 RSA 서명 값을 다른 피어에 전송한다. 각각의 피어는 인증 기관(CA)에 등록하고 피어들의 증명서들이 검증된 후 인증서 발행을 행함으로써 그의 디지털 인증서를 획득한다. 인증서의 내용들은 일반적으로 인증서 베어러의 아이덴티티 및 IP 어드레스, 인증서의 시리얼 넘버 및 만료 일자, 및 베어러의 공개 키의 복사본을 포함한다.
상기 언급된 바와 같이, 다중 레벨 네트워크에서, 인증서들의 위임 체인은 네트워크의 하부에서 IP 호스트로부터 네트워크의 상부에서 또는 그의 상부 근처의 신뢰 앵커까지의 범위로 연장하는 신뢰 경로를 규정한다. 따라서, IKE 인증 동안, 각각의 피어는 인증서들의 위임 체인을 형성하는 인증서들의 번들을 교환한다. 위임 체인이 신뢰 앵커로부터 피어 인증서까지 인증서마다 검증될 수 있는 경우, IKE 피어가 인증된다. 인증 절차를 성공적으로 완료하기 위해, 각각의 IKE 피어는 정확한 번들의 인증서들이 공급될 필요가 있고, 그렇지 않으면 IKE 인증 단계가 실패할 것이다.
성공적인 경우, IKE 단계 1는 피어들간에 보안 터널을 확립한다. 보안 터널을 사용하여, IKE 단계 2는 피어들간에 SA에 대한 파라미터들을 협의하고 SA를 확립하여, 그에 의해 IPsec 터널을 생성한다. IPsec 터널을 사용하여 피어들간에 교환된 패킷들은 확립되는 SA 파라미터들에 따라 암호화되고 복호화된다.
예시적인 구현들에서, eNodeB는 인증 절차의 개시자이다. 예를 들면, 새로운 eNodeB가 온라인에 접속할 때, 시스템 소프트웨어가 처음으로 인증서들의 인증을 지원하기 위해 갱신될 때, 또는 보안 채널들이 공중 전송 네트워크들을 통해 또는 백홀을 통해 민감 정보를 송신하기 위해 처음으로 확립될 때, 상기 절차가 개시될 수 있다.
우리가 여기에 기술하는 아키텍처들에서, eNodeB들은 서로의 IKE 피어들이 아니다; 즉, IPSec 터널들이 eNodeB들 사이에 확립되지 않는다는 점에 주의되어야 한다. 상기 특정 설계 선택은 단순히 예시적인 것이고 한정하는 것이 아닌 것으로 이해되어야 한다. 원하는 경우, 우리의 기반 구조는 터널들을 통해 상호접속된 eNodeB들 사이의 인증을 쉽게 적응시킬 수 있다. 그러나, 많은 경우들에서, 이러한 상호 접속은 네트워크 노드들 사이의 링크들의 급증이 너무 복잡한 네트워크를 초래할 수 있고, 그러므로, eNodeB들이 그들의 공유된 SEGs를 통해 간접적으로 상호 통신되는 것보다 덜 경제적이기 때문에 이러한 접속은 선호되지 않을 것이다.
이는 인증 기관(CA)이 SEGs 및 기지국들에 디지털 인증서들을 발행할 수 있어야 한다는 것이 상기 논의로부터 이해될 것이다. 각각의 영역 내에, IPSec이 초기화되고 IKE 프로토콜이 호출될 때, SEG 및 기지국들이 서로 상호 인증할 수 있고, 상이한 영역들의 경계들에 위치된 SEGs이 유사하게 서로 상호 인증할 수 있도록 이것이 필요하다.
도 1의 배치에서, 기지국들 및 SEGs 모두는, 결과적으로 인증 기관의 역할을 할 수 있는 동일한 ROOT CMS를 신뢰한다. 이는, 예를 들면, 단일 기관이 기지국들 및 SEGs를 소유 및 동작시키는 경우일 수 있다.
그러나, 상이한 기관들은 개별적으로 기지국들 및 SEGs를 소유한다는 것이 또한 일어날 수 있다. 이러한 경우에, 기관들 중 하나는 그의 자신의 외부 인증 기관(CA)를 사용하기를 원할 수 있고, 반면에 다른 기관은 그의 CA로서 root CMS를 사용한다. 이러한 분할된 시나리오의 예는 도 6에 제공된다.
CMS
계층적 모델들
우리는 우리의 기반구조에 의해 지원될 수 있는 인증 관리 및 위임의 수 개의 상이한 인증 기관(CA) 계층적 모델들을 기술할 것이다. 각각의 모델은 무선 운영자가 지원할 필요가 있을 수 있는 상이한 시나리오를 처리해야 한다.
세 개의 예시적인 모델들은:
1. 운영자 CA 없는 계층적 CMS : 무선 서비스 제공자는 운영자 CA를 소유하지 않는다. 기지국 및 SEG가 신뢰하는 앵커는 ROOT CMS이다.
2. 운영자 CA 를 갖는 계층적 CMS : 무선 서비스 제공자는 운영자 CA를 소유한다. 기지국 및 SEG가 신뢰하는 앵커는 운영자 CA이다. 추가된 값은 CMS 기반 구조가 운영자 CA 인증서들의 기지국 인증서 관리의 자동화를 허용하는 것이다.
3. 운영자 CA 를 갖는 직접 교차-인증 모델 : 기지국 및 SEG은 상이한 기관들에 의해 소유되고, 그들은 상이한 앵커들을 신뢰한다. SEG 운영자는 운영자 CA를 소유한다. 기지국은 ROOT CMS를 신뢰하고 SEG는 운영자 CA를 신뢰한다. 추가된 값은 운영자 CA와 ROOT CMS 사이의 통신을 브리지하고 기지국 인증서들의 관리를 자동화할 수 있는 것이다.
전술한 모델들은 기본적으로 그들이 신뢰 경로를 구성하는 방식에서 상이하지만, 단지 비교적 작은 양의 다른 전개가 다른 모델들이 유사하게 지원되도록 모델들 중 하나에 대해 전개된 CMS 기반 구조를 연장하는 것이 필요로 된다. 이는 각각의 모델들이 인증서 번들들의 내용에서 주로 상이하지만, CMS 기반 구조들 및 전달 메커니즘들과 절차들은 실질적으로 동일하다는 사실 때문이다.
운영자
CA
없는 계층적 모델
도 3은 단일 기관이 기지국 및 SEGs에 의해 신뢰되고 운영자가 외부 CA를 소유하지 않을 때 CMS 고레벨 아키텍처 구성 요소들을 도시한다. 이러한 모델에서, CMS 기반 구조는 기지국에서 인증서들을 위한 요청 및 인증서들의 분배를 자동화하여 SEG에 대해 기지국을 인증한다. 인증서들이 서명되어 상부 레벨로부터 하부 레벨로 전달된다는 점에서 상기 모델은 계층적이다. 계층의 상부에는 ROOT CMS(300)이 있다. 이는 계층적 기반 구조에서 신뢰 앵커(CA)이다. ROOT CMS의 CA는 하위의 sur-CMS CAs(310) 및 SEGs(330)로 인증서들을 발행한다. 각각의 sur-CMS CA는 책임이 있는 기지국 종단 엔티티들(321 내지 323) 각각에 인증서들을 발행한다. sur-CMS는 또한 연관되는 SEG에 인증서들을 발행한다.
기지국 및 SEG에 대한 디지털 인증서들의 신뢰 앵커, 인증 경로, 및 저장 위치는 이러한 모델에 대해 다음의 표에 도시된다. 저장 위치 행에서, 다음의 기호가 사용된다: X(Y)는 CA X가 CA 또는 종단 엔티티(Y)의 공개 키의 디지털 인증서를 발행한다는 것을 의미한다. 인증서들은 인증서의 발행자와 동일한 기관 도메인에 위치된 종단 엔티티에 저장된다.
운영자
CA
를 갖는 계층적 모델
도 4는 운영자가 외부 CA(400)를 소유하고 기지국 및 SEG가 운영자 CA를 신뢰할 때의 아키텍처를 도시한다. 이러한 모델에서, 기지국 및 SEG가 신뢰하는 앵커는 운영자 CA(400)이다. ROOT CMS(300) 및 sur-CMS(310)는 신뢰 경로를 운영자 CA에 위임하는 하위 CA들이다. 이러한 모델에 대해 CMS에 의해 추가된 값은 CMS 기반 구조가 자동화된 방식으로 기지국까지 분배할 수 있는 수 개의 인증서들을 추가함으로써 운영자가 기지국의 인증서 관리를 자동화할 수 있는 것이다.
기지국 및 SEG에 대한 디지털 인증서들의 신뢰 앵커, 인증 경로, 및 저장 위치는 이러한 모델에 대해 다음의 표에 도시된다.
운영자
CA
를 갖는 직접 교차-인증 모델
도 5는 운영자 CA(400)을 갖는 직접 교차-인증 모델을 도시한다. 이러한 모델에서, 기지국 및 SEG는 두 개의 개별적인 네트워크 보안 도메인들에 속하고, 그들은 IKE 피어에 직접 접속되지 않은 상이한 기관들을 신뢰한다. 신뢰 관계를 확립하기 위해, 각각의 기관은 ROOT CMS CA(300)와 운영자 CA(400) 사이에 양방향 교차-인증서들을 직접 발행함으로써 다른 기관과 신뢰를 확립한다. 교차-인증은 두 개의 기관들 사이에 동의들을 통해 달성된다.
이러한 모델은 예를 들면, 이동 운영자가 기지국 기관이고, 전송 운영자가 SEG 기관이고, 각각의 기관이 (네트워크 보안에 관하여) 신뢰의 독립적인 도메인을 유지하기를 원하는 시나리오들에 적합하다. 이러한 모델은 또한 기지국 및 전송이 네트워크 보안 도메인들을 공유하지 않는 상이한 운영자들을 가질 때 백홀 공유를 지원하는 데 유용하다.
이러한 모델은, 구현하기에 단순하고, 인증 경로를 단축하고, 두 개의 독립적인 CA들 사이의 신뢰 관계를 신속하게 확립할 수 있기 때문에 이롭다. 다른 이점은 SEG 운영자가 CMS 기반 구조를 신뢰하지 않는 경우에도, 기지국은, sur-CMA를 통해 운영자 CA에 의해 서명된 교차 인증서들을 포함하는 인증서들을 다운로드하기 위해 CMS 기반 구조에 의해 제안된 자동화된 능력들을 사용할 수 있다는 것이다.
이러한 모델의 중요한 양태는 SEG를 인증하기 위해, 기지국은 단지 그의 자신의 보안 도메인에서 CA들에 의해 서명된 인증서들을 신뢰할 필요가 있다는 것이다. 즉, 단지, ROOT CMS CA의 자기-서명된 인증서를 신뢰하고, ROOT CMS CA에 의해 또한 발행되는 운영자 CA 공개 키의 교차-인증서를 신뢰할 필요가 있다. 더 구체적으로, 운영자 CA에 의해 발행되고 IKE 동안 SEG로부터 수신된 인증서는 기지국 보안 도메인에서 발행된 두 개의 인증서들을 사용하여 기지국에 의해 검증될 수 있다. 유사하게는, SEG는 기지국을 인증하기 위해 단지 그 자신의 보안 도메인에서 CA들에 의해 서명된 인증서들을 신뢰하는 것이 필요하다.
기지국 및 SEG에 대한 디지털 인증서들의 신뢰 앵커, 인증 경로, 및 저장 위치는 이러한 모델에 대해 다음의 표에 도시된다.
다른 모델은 도 6에 도시된 바와 같은 외부 CA 를 갖는 교차-인증이다. 이러한 모델이 도 5의 모델과 위상학적으로 유사한 것은 도면으로부터 이해될 것이다. 그러나, 외부 CA(600)가 네트워크 운영자에 의해 소유되지 않는다. 대신, 이는 예를 들면, 인증서 관리 서비스들을 제공하는 것에 동의한 제 3 당사자이다. 이러한 경우에, 관련된 개인 키는 외부 CA에 의해 소유되고, 네트워크 운영자에 의해 소유되지 않는다.
예 1
도 7은 ROOT CMS 자기-서명된 인증서 및 sur-CMS 인증서로 구성된 인증서 번들을 획득하는 sur-CMS를 초래하는 트랜잭션을 도시한다. 도면의 블록 (71)에서 이해되는 바와 같이, ROOT CMS 애플리케이션이 초기화되고, ROOT CMS에서, (이러한 예에서, RSA 프로토콜에 따라) ROOT CMS 공개-개인 키 쌍이 생성되고, ROOT CMS 자기-서명된 인증서가 생성된다.
블록 (72)에서, sur-CMS 애플리케이션이 초기화되고, 이는 RSA 키 쌍을 생성한다. 블록 (73)에서, sur-CMS는 그의 RSA 공개 키 및 기지국 아이덴티티들을 포함하여 인증서 요청을 ROOT CMS에 전송한다. 블록 (74)에서, ROOT CMS는 sur-CMS 인증서를 생성하고 이에 그의 개인키로 서명한다. 블록 (75)에서, ROOT CMS는 그의 자신의 자기-서명된 인증서 및 sur-CMS 인증서를 sur-CMS로 전송한다. 블록 (76)에서, sur-CMS는 수신된 인증서 번들을 저장한다.
예 2
도 8 및 도 9는 기지국에서 새로운 또는 갱신된 백홀 제어 보드가 디지털 인증서들을 다운로드하는 트랜잭션을 도시한다. 도 8에서, 다운로드는 새로운 보드에 의해 로컬 CMS 애플리케이션을 통해 행해진다. 도 9에서, 이는 기존 보드에 의해 원격 위치된 CMS 애플리케이션을 통해 행해진다.
도면들에 도시된 바와 같이, sur-CMS는 요청을 기지국에 전송하여 RSA 키 쌍을 생성하고 공개 키 및 기지국의 아이덴티티를 전송한다(블록들(81, 91)). 기지국은 키 쌍 및 기지국 ID를 생성하고(블록들(82, 92)), 공개 키 및 ID를 sur-CMS로 전송한다(블록들(83, 93)). sur-CMS는 기지국 인증서를 생성하고 sur-CMS의 개인 키로 그에 서명하고, 인증서를 저장한다(블록들(84, 94)). sur-CMS는 기지국 인증서, 그의 자신의 인증서, 및 ROOT CMS에 의해 자기-서명된 인증서를 기지국에 전송한다(블록들(85, 95)).
도 8의 트랜잭션에서, 인증서들의 사용은 IPSec 프로토콜들 하에서 안전한 OAM 트래픽에 제한된다. 도 9의 트랜잭션에서, 이러한 한정은 없고, sur-CMS는 또한 ROOT CMS에 의해 서명된 (존재하는 경우) 교차-인증서들을 인증서 번들에 포함한다.
기지국은 적절한 에러 코드들로 트랜잭션의 성공 또는 실패에 대해 sur-CMS에 보고한다(블록들(86, 96)).
예 3
도 10 및 도 11은 기지국에서 새로운 또는 갱신된 백홀 제어 보드가 디지털 인증서들을 다운로드하는 트랜잭션을 도시한다. 도 10에서, 다운로드는 새로운 보드에 의해 원격 CMS 애플리케이션을 통해 행해진다. 도 11에서, 이는 운영자 구내의 중앙 위치의 기존 보드에 의해 행해지지만, eRAN(즉, LTE 진화된 무선 액세스 네트워크) 백홀에 접속되지 않는다.
도면들에 도시된 바와 같이, sur-CMS는 요청을 기지국에 전송하여, RSA 키 쌍을 생성하고 공개 키 및 기지국의 아이덴티티를 전송한다(블록들(101, 111)). 기지국은 키 쌍 및 기지국 ID를 생성하고(블록들(102, 112)), 공개 키 및 ID를 sur-CMS에 전송한다(블록들(103, 113)). sur-CMS는 기지국 인증서를 생성하고 sur-CMS의 개인 키로 그에 서명하고, 인증서를 저장한다(블록들(104, 114)). sur-CMS는 기지국에 기지국 인증서, 그의 자신의 인증서, ROOT CMS에 의해 자기 서명된 인증서, 및 ROOT CMS에 의해 서명된 임의의 교차-인증서들을 전송한다(블록들(105, 115)). 도 11의 트랜잭션에서, 인증서의 사용은 IPSec 프로토콜들 하에서 보안된 OAM 트래픽에 한정된다.
기지국은 적절한 에러 코드들로 트랜잭션의 성공 또는 실패에 대해 sur-CMS에 보고한다(블록들(106, 116)).
300 : ROOT CMS 애플리케이션 310 : sur-CMS 애플리케이션들
330 : SEGs 340 : IPsec 터널들
330 : SEGs 340 : IPsec 터널들
Claims (10)
- 디지털 인증서들에 대한 요청들을 처리하고, 최상위 인증서들을 발행하기 위해 권한 부여되고, 대리 인증서 관리 시스템들(sur-CMSs)을 자동으로 인증하고, 인증서 요청들을 자동으로 처리하고 성공적으로 인증된 sur-CMSs에 인증서 번들들을 발행하도록 구성되는, 최상위 인증서 관리 시스템(root CMS); 및
두 개 이상의 sur-CMSs로서, 그의 각각은 각각의 영역내에 그에 할당된 하나 이상의 기지국들을 갖는, 상기 두 개 이상의 sur-CMSs를 포함하고,
각각의 상기 sur-CMS는 그의 자신의 기지국들을 자동으로 인증하고, 인증서 요청들을 자동으로 처리하고, 성공적으로 인증되는 인증서 번들들을 기지국들에 발행하도록 구성되고,
상기 기지국에 발행된 각각의 기지국 번들은: 이러한 기지국의 공개 키의, sur-CMS를 발행함으로써 서명된, 디지털 인증서; 및 상기 최상위 CMS의 자기-서명된 인증서를 포함하는 적어도 하나의 다른 디지털 인증서를 포함하는, 시스템. - 제 1 항에 있어서,
상기 최상위 CMS 및 적어도 하나의 상기 sur-CMS는 영역들의 각각에 적어도 하나의 보안 게이트웨이 집합자(SEG)를 자동으로 인증하고 인증서 요청들을 자동으로 처리하고 성공적으로 인증되는 인증서 번들들을 SEG들에 발행하도록 추가로 구성되는, 시스템. - 제 1 항에 있어서,
상기 최상위 CMS는 인증 기관(CA)에 의해 인증되고 상기 CA에 의해 발행된 디지털 인증서를 수신하도록 구성되고, 상기 디지털 인증서는 공개 키를 상기 최상위 CMS에 결합시키는, 시스템. - 제 3 항에 있어서,
기지국에 발행된 각각의 인증서 번들은 공개키를 상기 최상위 CMS에 결합시키는 상기 디지털 인증서를 추가로 포함하고, 상기 CA의 자기-서명된 인증서를 추가로 포함하는, 시스템. - 제 3 항에 있어서,
상기 최상위 CMS는 상기 CA를 인증하고, 인증서 요청을 처리하고, 디지털 서명을 상기 CA에 발행하도록 구성되고, 상기 디지털 인증서는 공개 키를 상기 CA에 결합시키는, 시스템. - 디지털 인증서들을 분배하기 위해 인증서 관리 시스템(CMS)을 사용하는 종류의 무선 네트워크에서 수행될 방법에 있어서,
대리 CMS(sur-CMS)에 의해, 최상위 CMS로부터 디지털 인증서를 획득하는 상기 sur-CMS를 초래하는 인증 절차를 수행하는 단계;
상기 sur-CMS에 의해, 하나 이상의 기지국들을 자동으로 인증하는 단계; 및
상기 sur-CMS에 의해, 디지털 인증서 번들을 각각의 인증된 기지국에 자동으로 발행하는 단계로서, 상기 번들은 이러한 기지국의 공개 키의, 상기 발행하는 sur-CMS에 의해 서명된, 디지털 인증서, 및 상기 최상위 CMS의 자기-서명된 인증서를 포함하는 적어도 하나의 다른 디지털 인증서를 포함하는, 상기 자동 발행 단계를 포함하는, 방법. - 제 6 항에 있어서,
상기 sur-CMS에 의해, 적어도 하나의 보안 게이트웨이 집합자(SEG)를 자동으로 인증하는 단계; 및
상기 sur-CMS에 의해, 디지털 인증서 번들을 각각의 인증된 SEG에 자동으로 발행하는 단계를 추가로 포함하는, 방법. - 제 6 항에 있어서,
각각의 인증된 기지국에 발행된 상기 디지털 인증서 번들은 상기 최상위 CMS로부터 멀리 떨어진 인증 기관의, 상기 최상위 CMS에 의해 발행된 디지털 인증서를 추가로 포함하는, 방법. - 디지털 인증서들을 발행하기 위해 인증서 관리 시스템(CMS)을 사용하는 종류의 무선 네트워크에서 수행될 방법에 있어서,
대리 CMS(sur-CMS)로부터 디지털 인증서 번들을 수신하는 기지국을 초래하는 인증 절차를 상기 기지국에 의해 수행하는 단계; 및
보안 게이트웨이 집합자(SEG)를 갖는 보안 터널을 설정하는 상기 기지국을 초래하는 인증 절차를 상기 기지국에 의해 수행하는 단계를 포함하고,
상기 sur-CMS로부터 수신된 상기 인증서 번들은 상기 sur-CMS에 의해 서명된 디지털 인증서 및 최상위 CMS에 의해 자기-서명된 디지털 인증서를 포함하는, 방법. - 제 9 항에 있어서,
상기 sur-CMS로부터 수신된 상기 인증서 번들은 상기 최상위 CMS로부터 멀리 떨어진 인증 기관(CA)의, 상기 최상위 CMS에 의해 발행된, 디지털 인증서를 추가로 포함하고,
상기 기지국과 상기 SEG 간의 상기 인증 절차는 적어도:
상기 최상위 CMS에 의해 자기-서명된 디지털 인증서, 및
상기 최상위 CMS로부터 멀리 떨어진 CA의, 상기 최상위 CMS에 의해 발행된 디지털 인증서를 사용하는, 방법.
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201161467089P | 2011-03-24 | 2011-03-24 | |
| US61/467,089 | 2011-03-24 | ||
| US13/155,614 | 2011-06-08 | ||
| US13/155,614 US8627064B2 (en) | 2011-03-24 | 2011-06-08 | Flexible system and method to manage digital certificates in a wireless network |
| PCT/US2012/025782 WO2012128876A1 (en) | 2011-03-24 | 2012-02-20 | A flexible system and method to manage digital certificates in a wireless network |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20140002773A true KR20140002773A (ko) | 2014-01-08 |
| KR101532968B1 KR101532968B1 (ko) | 2015-07-09 |
Family
ID=46878338
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020137027868A Expired - Fee Related KR101532968B1 (ko) | 2011-03-24 | 2012-02-20 | 무선 네트워크에서 디지털 인증서들을 관리하기 위한 플렉시블 시스템 및 방법 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US8627064B2 (ko) |
| EP (1) | EP2689597A1 (ko) |
| JP (2) | JP2014512120A (ko) |
| KR (1) | KR101532968B1 (ko) |
| CN (1) | CN103460736B (ko) |
| WO (1) | WO2012128876A1 (ko) |
Families Citing this family (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8413226B2 (en) * | 2008-05-13 | 2013-04-02 | Telefonaktiebolaget Lm Ericsson (Publ) | User-type handling in a wireless access network |
| US8627064B2 (en) * | 2011-03-24 | 2014-01-07 | Alcatel Lucent | Flexible system and method to manage digital certificates in a wireless network |
| US9549317B2 (en) * | 2011-10-17 | 2017-01-17 | Mitel Mobility Inc. | Methods and apparatuses to provide secure communication between an untrusted wireless access network and a trusted controlled network |
| CN102711106B (zh) * | 2012-05-21 | 2018-08-10 | 中兴通讯股份有限公司 | 建立IPSec隧道的方法及系统 |
| US9253636B2 (en) * | 2012-08-15 | 2016-02-02 | Cisco Technology, Inc. | Wireless roaming and authentication |
| US9762569B2 (en) * | 2012-10-15 | 2017-09-12 | Nokia Solutions And Networks Oy | Network authentication |
| AU2013342220A1 (en) * | 2012-11-09 | 2015-06-04 | Ent Technologies, Inc. | Entity Network Translation (ENT) |
| EP2979415B1 (en) | 2013-03-27 | 2017-05-10 | Nokia Solutions and Networks Oy | Secured network architecture |
| US9288672B2 (en) * | 2013-09-23 | 2016-03-15 | Qualcomm Incorporated | Method for configuring a remote station with a certificate from a local root certificate authority for securing a wireless network |
| US9413738B2 (en) * | 2014-06-19 | 2016-08-09 | Microsoft Technology Licensing, Llc | Securing communications with enhanced media platforms |
| US10432610B2 (en) * | 2015-06-30 | 2019-10-01 | Vmware, Inc. | Automated monitoring and managing of certificates |
| US9819497B2 (en) * | 2015-06-30 | 2017-11-14 | Vmware, Inc. | Automated provisioning of certificates |
| CN108702322B (zh) * | 2016-03-02 | 2022-01-07 | 日本电气株式会社 | 网络系统、终端、传感器数据收集方法以及程序 |
| US10313878B2 (en) * | 2016-09-16 | 2019-06-04 | Qualcomm Incorporated | On-demand network function re-authentication based on key refresh |
| US10397006B2 (en) * | 2017-02-13 | 2019-08-27 | Amazon Technologies, Inc. | Network security with surrogate digital certificates |
| CN108990060B (zh) * | 2017-06-05 | 2021-02-02 | 中国移动通信集团公司 | 一种基站设备的证书分发系统及方法 |
| US10756908B1 (en) | 2019-02-22 | 2020-08-25 | Beyond Identity Inc. | User authentication with self-signed certificate and identity verification |
| US20220158851A1 (en) * | 2019-04-29 | 2022-05-19 | Hyundai Motor Company | Cross-certificate method and device for electric vehicle charging |
| CN112261068B (zh) * | 2020-12-22 | 2021-03-19 | 北京翼辉信息技术有限公司 | 一种局域网内的动态 tls 认证方法、装置及存储介质 |
| CN117581508A (zh) * | 2022-05-13 | 2024-02-20 | 北京小米移动软件有限公司 | 认证方法、装置、通信设备及存储介质 |
| CN115277001B (zh) * | 2022-06-20 | 2024-07-05 | 中国联合网络通信集团有限公司 | 一种共建共享网络的证书分发方法、装置、系统及介质 |
| US20250030676A1 (en) * | 2023-07-18 | 2025-01-23 | Oracle International Corporation | Provisioning cloud resource instances associated with a virtual cloud network |
| WO2025071943A1 (en) * | 2023-09-27 | 2025-04-03 | Google Llc | Authenticating system information blocks |
| CN119254541B (zh) * | 2024-12-04 | 2025-03-04 | 鹏城实验室 | 联盟网站管理系统 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7631183B2 (en) * | 2004-09-01 | 2009-12-08 | Research In Motion Limited | System and method for retrieving related certificates |
| US8176328B2 (en) | 2008-09-17 | 2012-05-08 | Alcatel Lucent | Authentication of access points in wireless local area networks |
| US20100318788A1 (en) | 2009-06-12 | 2010-12-16 | Alexandro Salvarani | Method of managing secure communications |
| CN101931952B (zh) * | 2010-08-25 | 2012-12-12 | 广州杰赛科技股份有限公司 | 一种无线城域网系统及其鉴别认证方法 |
| US8627064B2 (en) * | 2011-03-24 | 2014-01-07 | Alcatel Lucent | Flexible system and method to manage digital certificates in a wireless network |
-
2011
- 2011-06-08 US US13/155,614 patent/US8627064B2/en not_active Expired - Fee Related
-
2012
- 2012-02-20 EP EP12706175.2A patent/EP2689597A1/en not_active Withdrawn
- 2012-02-20 KR KR1020137027868A patent/KR101532968B1/ko not_active Expired - Fee Related
- 2012-02-20 JP JP2014501077A patent/JP2014512120A/ja active Pending
- 2012-02-20 CN CN201280014533.4A patent/CN103460736B/zh not_active Expired - Fee Related
- 2012-02-20 WO PCT/US2012/025782 patent/WO2012128876A1/en active Application Filing
-
2015
- 2015-12-28 JP JP2015256031A patent/JP2016067054A/ja not_active Withdrawn
Also Published As
| Publication number | Publication date |
|---|---|
| WO2012128876A1 (en) | 2012-09-27 |
| JP2014512120A (ja) | 2014-05-19 |
| JP2016067054A (ja) | 2016-04-28 |
| US20120246466A1 (en) | 2012-09-27 |
| CN103460736A (zh) | 2013-12-18 |
| KR101532968B1 (ko) | 2015-07-09 |
| CN103460736B (zh) | 2017-06-20 |
| EP2689597A1 (en) | 2014-01-29 |
| US8627064B2 (en) | 2014-01-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101532968B1 (ko) | 무선 네트워크에서 디지털 인증서들을 관리하기 위한 플렉시블 시스템 및 방법 | |
| Bikos et al. | LTE/SAE security issues on 4G wireless networks | |
| WO2020174121A1 (en) | Inter-mobile network communication authorization | |
| Sanchez-Gomez et al. | Integrating LPWAN technologies in the 5G ecosystem: A survey on security challenges and solutions | |
| WO2018013925A1 (en) | Adaptive authorization framework for communication networks | |
| KR101146204B1 (ko) | 패킷 데이터 네트워크에 응급 서비스 신뢰를 제공하기 위한 시스템 및 방법 | |
| US9847875B1 (en) | Methods and systems for bootstrapping an end-to-end application layer session security keyset based on a subscriber identity master security credential | |
| CN112602344A (zh) | 漫游5g-nr通信的端到端安全性 | |
| CN114500120A (zh) | 一种公共云的扩展方法、设备、系统及存储介质 | |
| Angelogianni et al. | On identifying threats and quantifying cybersecurity risks of mnos deploying heterogeneous rats | |
| Boubakri et al. | Access control in 5G communication networks using simple PKI certificates | |
| Liyanage et al. | Novel secure VPN architectures for LTE backhaul networks | |
| CN105325020A (zh) | 用于毫微微接入点之间的通信方法以及毫微微接入点 | |
| Fossati et al. | Love all, trust few: On trusting intermediaries in HTTP | |
| Aiash et al. | Introducing a novel authentication protocol for secure services in heterogeneous environments using Casper/FDR | |
| Merlino et al. | Infrastructure-centric, networkserver-agnostic lorawan roaming | |
| Lei et al. | 5G security system design for all ages | |
| Kumar et al. | A public key infrastructure for 5g service-based architecture | |
| Southern et al. | Wireless security: securing mobile UMTS communications from interoperation of GSM | |
| Aiash et al. | A secure framework for communications in heterogeneous networks | |
| Aiash | An integrated approach to QoS and security in future mobile networks using the Y-Comm framework | |
| Xenakis et al. | Alternative Schemes for Dynamic Secure VPN Deployment in UMTS | |
| Liyanage et al. | ‘Securing the communication of industrial Internet | |
| Mousavi | A survey on cybersecurity in 5G | |
| Sher et al. | Development of IMS privacy & security management framework for Fokus open IMS testbed |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| PA0105 | International application |
Patent event date: 20131023 Patent event code: PA01051R01D Comment text: International Patent Application |
|
| PA0201 | Request for examination | ||
| PG1501 | Laying open of application | ||
| E902 | Notification of reason for refusal | ||
| PE0902 | Notice of grounds for rejection |
Comment text: Notification of reason for refusal Patent event date: 20141103 Patent event code: PE09021S01D |
|
| E701 | Decision to grant or registration of patent right | ||
| PE0701 | Decision of registration |
Patent event code: PE07011S01D Comment text: Decision to Grant Registration Patent event date: 20150331 |
|
| GRNT | Written decision to grant | ||
| PR0701 | Registration of establishment |
Comment text: Registration of Establishment Patent event date: 20150625 Patent event code: PR07011E01D |
|
| PR1002 | Payment of registration fee |
Payment date: 20150626 End annual number: 3 Start annual number: 1 |
|
| PG1601 | Publication of registration | ||
| FPAY | Annual fee payment |
Payment date: 20180619 Year of fee payment: 4 |
|
| PR1001 | Payment of annual fee |
Payment date: 20180619 Start annual number: 4 End annual number: 4 |
|
| FPAY | Annual fee payment |
Payment date: 20190530 Year of fee payment: 5 |
|
| PR1001 | Payment of annual fee |
Payment date: 20190530 Start annual number: 5 End annual number: 5 |
|
| PC1903 | Unpaid annual fee |
Termination category: Default of registration fee Termination date: 20210406 |