KR101589574B1 - 비신뢰 네트워크를 통한 외부 인증 지원 - Google Patents

비신뢰 네트워크를 통한 외부 인증 지원 Download PDF

Info

Publication number
KR101589574B1
KR101589574B1 KR1020137021363A KR20137021363A KR101589574B1 KR 101589574 B1 KR101589574 B1 KR 101589574B1 KR 1020137021363 A KR1020137021363 A KR 1020137021363A KR 20137021363 A KR20137021363 A KR 20137021363A KR 101589574 B1 KR101589574 B1 KR 101589574B1
Authority
KR
South Korea
Prior art keywords
authentication
authentication request
user equipment
communication network
binding update
Prior art date
Application number
KR1020137021363A
Other languages
English (en)
Other versions
KR20130114727A (ko
Inventor
앤더스 잔 올로프 칼
죄르지 타마스 올프너
조우니 코르호넨
Original Assignee
노키아 솔루션스 앤드 네트웍스 오와이
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 노키아 솔루션스 앤드 네트웍스 오와이 filed Critical 노키아 솔루션스 앤드 네트웍스 오와이
Publication of KR20130114727A publication Critical patent/KR20130114727A/ko
Application granted granted Critical
Publication of KR101589574B1 publication Critical patent/KR101589574B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/02Addressing or allocation; Relocation
    • G06F12/04Addressing variable-length words or parts of words
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Power Engineering (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Telephonic Communication Services (AREA)

Abstract

비신뢰 액세스 네트워크를 통해 외부 패킷 데이터 네트워크에 대한 인증을 지원하기 위한 대책들이 제공되며, 상기 대책들은 예시적으로, 제 1 인증 요청에 응답하여 비보안(unsecured) 액세스 네트워크에 걸쳐 사용자 장비를 위해 접속(connectivity)을 제공하는 통신 네트워크에 상기 사용자 장비를 인증하는 것 ― 상기 인증 요청은 키 정보 교환 메커니즘의 인증 요청이고, 인증 데이터를 포함함 ―, 상기 통신 네트워크 외부의 패킷 데이터 네트워크에 상기 사용자 장비를 인증하기 위한 제 2 인증 요청을 수신하는 것을 포함한다. 상기 대책들은 상기 사용자 장비로부터 수신된 상기 사용자의 아이덴티티 정보 및 상기 인증 데이터를 포함하는 바인딩 업데이트 메시지를 생성하는 것을 더 포함할 수 있다.

Description

비신뢰 네트워크를 통한 외부 인증 지원{EXTERNAL AUTHENTICATION SUPPORT OVER AN UNTRUSTED NETWORK}
본 발명은, 비신뢰(untrusted) 네트워크를 통한, 예를 들어 비신뢰 비-3GPP(non-3GPP) 네트워크를 통한 외부 인증 지원을 위한 장치들, 방법들, 및 컴퓨터 프로그램 물건에 관한 것이다.
본 명세서에서 이용되는 약어들에 대해 다음 의미들이 적용된다:
3GPP(3rd generation partnership project): 3세대 파트너십 프로젝트
AAA(Authentication, Authorization, and Accounting): 인증, 인가, 및 과금
APN(Access point name): 액세스 포인트 명칭
CHAP(Challenge Handshake Authentication Protocol): 챌린지 핸드셰이크 인증 프로토콜
EAP(Extensible Authentication Protocol): 확장가능 인증 프로토콜
EAP-GTC(EAP general token card): EAP 범용 토큰 카드
eNode-B(LTE base station): LTE 기지국(eNB로 또한 지칭됨)
EPC(Evolved Packet Core): 이볼브드 패킷 코어
EPS(Evolved Packet System): 이볼브드 패킷 시스템
ePDG(Evolved Packet Data Gateway): 이볼브드 패킷 데이터 게이트웨이
GGSN(Gateway GPRS Support Node): 게이트웨이 GPRS 지원 노드
GPRS(General Packet Radio Service): 범용 패킷 무선 서비스
GTPv2(GPRS Tunnelling Protocol version 2): GPRS 터널링 프로토콜 버전 2
IDi(Identification - initiator): 식별-개시자
IDr(Identification - responder): 식별-응답자
IETF(Internet Engineering Task Force): 인터넷 엔지니어링 태스크 포스
IKEv2(Internet Key Exchange version 2): 인터넷 키 교환 버전 2
IP(Internet protocol): 인터넷 프로토콜
IPSec(Internet Protocol Security): 인터넷 프로토콜 보안
LCP(Link control protocol): 링크 제어 프로토콜
LTE(Long term evolution): 롱텀 에볼루션
LTE-A(LTE-Advanced): LTE-어드밴스드
MN(Mobile node): 모바일 노드
MSISDN(Mobile station integrated services data network): 모바일 스테이션 통합 서비스들 데이터 네트워크
MT(mobile terminal): 모바일 단말
PAP(Password Authentication Protocol): 패스워드 인증 프로토콜
PCO(Protocol Configuration Options): 프로토콜 구성 옵션들
PDG(Packet Data Gateway): 패킷 데이터 게이트웨이
PDN(Packet data network): 패킷 데이터 네트워크
PDP(Packet data protocol): 패킷 데이터 프로토콜
PGW(PDN Gateway): PDN 게이트웨이(PDN GW)
PMIPvβ(Proxy MIPv6): 프록시 MIPv6
PPP(Point-to-point protocol): 포인트-투-포인트 프로토콜
TE(Terminal equipment): 단말 장비
UE(User equipment): 사용자 장비
본 명세서는 기본적으로 3GPP 이볼브드 패킷 시스템(EPS)에 관한 것으로, 보다 구체적으로는 UE가 비신뢰 비-3GPP 액세스 네트워크를 통해 EPC에 접속되는 경우의 시나리오에 관한 것이다. UE가 비신뢰 비-3GPP 액세스 네트워크를 통해 EPC(이볼브드 패킷 코어)에 접속되는 경우, 보안 통신을 갖기 위해 UE와 3GPP 네트워크 사이에 IPSec 터널이 존재한다. 3GPP 네트워크에서 IPSec 터널 엔드-포인트는 ePDG(이볼브드 패킷 데이터 게이트웨이)이다. IPSec 터널을 확립하기 위해 UE와 ePDG 사이에서 IKEv2가 이용된다.
예를 들어, 3GPP TS 23.060에서 그리고 EPS에서 명시된 바와 같은 GPRS에서, UE가 3GPP 액세스 또는 신뢰(trusted) 비-3GPP 액세스 네트워크를 통해 3GPP 패킷 코어 네트워크에 접속되는 경우, CHAP 또는 PAP를 이용하여 외부 AAA 서버와의 인증이 가능하다. 이러한 외부 인증의 세부사항들은 예를 들어 3GPP TS 29.061에서 명시된다.
외부 인증은 UE와 외부 AAA 서버 사이에서의 인증 정보의 교환을 필요로 한다.
이러한 목적을 위해, UE가 3GPP 액세스 네트워크에 부착되는 경우, UE와 코어 네트워크 사이에서 사용자 크리덴셜(credential)들을 반송하기 위해 이용될 수 있는 프로토콜 구성 옵션들(PCO) 정보 엘리먼트들이 명시된다. 사용자 크리덴셜들은 예를 들어, PAP 또는 CHAP 파라미터들(PAP: 패스워드 인증 프로토콜, CHAP: 챌린지-핸드셰이크 프로토콜) 내의 사용자 명칭 및 사용자 패스워드이다.
UE가 비신뢰 비-3GPP 액세스 네트워크를 통해 EPC에 접속되는 경우, 보안 통신을 확립하기 위해 UE와 3GPP 네트워크 사이에 IPSec 터널이 존재한다. 3GPP 네트워크 측에서의 IPSec 터널의 엔드포인트는 ePDG(이볼브드 패킷 데이터 네트워크)이다. 예를 들어, IPSec 터널을 확립하기 위해 UE와 ePDG 사이에서 IKEv2(인터넷 키 교환 버전 2)가 이용된다.
그러나, 현재, 비신뢰 비-3GPP 액세스를 이용하는 UE와 코어 네트워크 사이에서 사용자 크리덴셜들을 반송하는 방법의 어떠한 솔루션도 존재하지 않으며, UE와 ePDG 사이에 규정된 어떠한 PCO 메커니즘 등도 존재하지 않는다.
상기 내용을 고려하면, 비신뢰 액세스 네트워크를 통한 외부 네트워크로의 UE의 액세스를 인증하는 경우에 이용될 요구되는 인증 데이터를 ePDG에 제공하기 위한 어떠한 실현가능한 메커니즘들도 존재하지 않는다.
따라서, 비신뢰 액세스를 통한 외부 인증 지원을 위한, 즉 비신뢰 액세스 네트워크를 통해 외부 패킷 데이터 네트워크에 대한 인증을 지원하기 위한 메커니즘들에 대한 요구가 존재한다.
본 발명의 실시예들은 상기 이슈들 및/또는 문제점들의 적어도 일부를 해결하는 것을 목표로 한다.
본 발명의 실시예들은 비신뢰 액세스를 통한 외부 인증 지원을 위한, 즉 비신뢰 액세스 네트워크를 통한 외부 패킷 데이터 네트워크에 대한 인증을 지원하기 위한 메커니즘들을 제공하도록 이루어진다.
본 발명의 예시적인 제 1 양상에 따라, 다음이 제공된다.
본 발명의 예시적인 제 1 양상에 따라, 방법이 제공되며, 상기 방법은, 비보안(unsecured) 액세스 네트워크에 걸쳐 사용자 장비를 위해 접속(connectivity)을 제공하는 통신 네트워크에 사용자 장비를 인증하기 위한 제 1 인증 요청을 생성하는 단계 ― 인증 요청은 키 정보 교환 메커니즘의 인증 요청이고, 인증 데이터는 인증 요청에 삽입됨 ―,
인증 데이터에 기초하여 통신 네트워크로 사용자 장비를 인증하기 위한 제 1 인증 요청을 전송하는 단계,
통신 네트워크로 인증 후에, 통신 네트워크 외부의 패킷 데이터 네트워크에 사용자 장비를 인증하기 위한 제 2 인증 요청을 생성하는 단계, 및
제 2 인증 요청을 전송하는 단계를 포함한다.
상기 예시적인 제 1 양상의 추가의 전개들 또는 수정들에 따라, 다음들 중 하나 또는 둘 이상이 적용된다:
- 방법은 제 1 인증 요청을 전송하기 전에, 다중 인증들이 지원된다는 표시를 수신하는 단계, 및 다중 인증들이 지원된다는 표시를 제 1 인증 요청에 삽입하는 단계를 더 포함할 수 있고;
- 방법은 사용자 장비의 아이덴티티를 포함하는 요청을 전송하는 단계를 더 포함할 수 있고; 및/또는
- 방법은 구성 파라미터들을 포함하는 인증 응답을 수신하는 단계를 더 포함할 수 있다.
본 발명의 예시적인 제 2 양상에 따라, 방법이 제공되며, 상기 방법은, 비보안 액세스 네트워크에 걸쳐 사용자 장비를 위해 접속을 제공하는 통신 네트워크에 사용자 장비를 인증하기 위한 제 1 인증 요청을 수신하는 단계 ― 인증 요청은 키 정보 교환 메커니즘의 인증 요청이고, 인증 데이터를 포함함 ―, 인증 데이터에 기초하여 통신 네트워크로 사용자 장비를 인증하는 단계, 통신 네트워크 외부의 패킷 데이터 네트워크에 사용자 장비를 인증하기 위한 제 2 인증 요청을 사용자 장비로부터 수신하는 단계, 사용자 장비로부터 수신된 사용자의 아이덴티티 정보 및 인증 데이터를 포함하는 바인딩 업데이트 메시지를 생성하는 단계, 및 바인딩 업데이트 메시지를 패킷 데이터 네트워크의 게이트웨이 장치에 전송하는 단계를 포함한다.
상기 예시적인 제 2 양상의 추가의 전개들 또는 수정들에 따라, 다음들 중 하나 또는 둘 이상이 적용된다:
- 인증 데이터는 바인딩 업데이트 메시지 내의 전용의 정보 엘리먼트 내에 포함될 수 있고;
- 인증 데이터는 바인딩 업데이트 메시지 내의 프로토콜 구성 옵션들 정보 엘리먼트 내에 포함될 수 있고;
- 복수의 정보 엘리먼트들이 패스워드 정보 엘리먼트, 인증 프로토콜 챌린지 정보 엘리먼트 및/또는 사용자명칭 정보 엘리먼트를 포함하는 바인딩 업데이트 메시지 내에 제공될 수 있고;
- 방법은 제 1 인증 요청을 수신하기 전에, 다중 인증이 지원된다는 표시를 전송하는 단계를 더 포함할 수 있고,
제 1 인증 요청은 다중 인증들이 지원된다는 표시를 포함하며;
- 방법은 사용자 장비의 아이덴티티를 포함하는 요청을 사용자 장비로부터 수신하는 단계를 더 포함할 수 있고; 및/또는
- 방법은 구성 파라미터들을 포함하는 바인딩 업데이트 응답을 게이트웨이 장치로부터 수신하는 단계, 및 구성 파라미터들을 포함하는 인증 응답을 사용자 장비에 전송하는 단계를 더 포함할 수 있다.
본 발명의 예시적인 제 3 양상에 따라, 방법이 제공되며, 상기 방법은, 아이덴티티 정보 및 인증 데이터를 포함하는 바인딩 업데이트 메시지를 수신하는 단계 ― 아이덴티티 정보 및 인증 데이터는 패킷 데이터 네트워크에 사용자 장비를 인증하기 위해 서빙함 ―, 아이덴티티 정보 및 인증 데이터에 기초하여 액세스 요청을 생성하는 단계, 및 액세스 요청 메시지를 네트워크 인증 엘리먼트에 전송하는 단계를 포함한다.
상기 예시적인 제 3 양상의 추가의 전개들 또는 수정들에 따라, 다음들 중 하나 또는 둘 이상이 적용된다:
- 인증 데이터는 바인딩 업데이트 메시지 내의 전용의 정보 엘리먼트 내에 포함될 수 있고;
- 인증 데이터는 바인딩 업데이트 메시지 내의 프로토콜 구성 옵션들 정보 엘리먼트 내에 포함될 수 있고;
- 복수의 정보 엘리먼트들이 인증 프로토콜 패스워드 정보 엘리먼트, 인증 프로토콜 챌린지 정보 엘리먼트, 패스워드 정보 엘리먼트 및/또는 사용자명칭 정보 엘리먼트를 포함하는 바인딩 업데이트 메시지 내에 제공될 수 있고; 및/또는
- 방법은 바인딩 업데이트 메시지에 응답하여 구성 파라미터들을 포함하는 바인딩 업데이트 응답을 전송하는 단계를 더 포함할 수 있다.
본 발명의 예시적인 제 4 양상에 따라, 방법이 제공되며, 상기 방법은, 사용자 장비로부터 제 1 게이트웨이 장치로, 비보안 액세스 네트워크에 걸쳐 사용자 장비를 위해 접속을 제공하는 통신 네트워크에 사용자 장비를 인증하기 위한 제 1 인증 요청을 전송하는 단계 ― 제 1 인증 요청은 키 정보 교환 메커니즘의 인증 요청이고, 인증 데이터를 포함함 ―, 인증 데이터에 기초하여 통신 네트워크로 사용자 장비를 인증하는 단계, 사용자 장비로부터 제 1 게이트웨이 장치로, 통신 네트워크 외부의 패킷 데이터 네트워크에 사용자 장비를 인증하기 위한 제 2 인증 요청을 전송하는 단계, 사용자 장비로부터 수신된 사용자의 아이덴티티 정보 및 인증 데이터를 포함하는 바인딩 업데이트 메시지를 생성하는 단계, 및 바인딩 업데이트 메시지를 제 1 게이트웨이 장치로부터 패킷 데이터 네트워크의 제 2 게이트웨이 장치에 전송하는 단계를 포함한다.
상기 예시적인 제 4 양상의 추가의 전개들 또는 수정들에 따라, 다음들 중 하나 또는 둘 이상이 적용된다:
- 방법은 아이덴티티 정보 및 인증 데이터에 기초하여 액세스 요청을, 제 2 게이트웨이 장치로부터 네트워크 인증 엘리먼트에 전송하는 단계, 및 제 2 게이트웨이 장치에서, 네트워크 인증 엘리먼트로부터의 액세스 수락(accept) 메시지를 수신하는 단계를 더 포함할 수 있고; 및/또는
- 방법은 구성 파라미터들을 포함하는 바인딩 업데이트 응답을, 제 2 게이트웨이 장치로부터 제 1 게이트웨이 장치에 전송하는 단계, 및 구성 파라미터들을 포함하는 인증 응답을, 제 1 게이트웨이 장치로부터 사용자 장비에 전송하는 단계를 더 포함할 수 있다.
본 발명의 예시적인 제 5 양상에 따라, 장치가 제공되며, 상기 장치는, 비보안 액세스 네트워크에 걸쳐 사용자 장비를 위해 접속을 제공하는 통신 네트워크에 사용자 장비를 인증하기 위한 제 1 인증 요청을 생성하도록 구성된 프로세서 ― 인증 요청은 키 정보 교환 메커니즘의 인증 요청이고, 인증 데이터는 인증 요청에 삽입됨 ―, 및 인증 데이터에 기초하여 통신 네트워크로 사용자 장비를 인증하기 위한 제 1 인증 요청을 전송하도록 구성된 인터페이스를 포함하고, 프로세서는, 통신 네트워크로 인증 후에, 통신 네트워크 외부의 패킷 데이터 네트워크에 사용자 장비를 인증하기 위한 제 2 인증 요청을 생성하도록 추가로 구성되고, 인터페이스는 제 2 인증 요청을 전송하도록 추가로 구성된다.
상기 예시적인 제 5 양상의 추가의 전개들 또는 수정들에 따라, 다음들 중 하나 또는 둘 이상이 적용된다:
- 프로세서는 제 1 인증 요청을 전송하기 전에, 다중 인증들이 지원된다는 표시를 수신하도록 구성될 수 있고, 프로세서는 다중 인증들이 지원된다는 표시를 제 1 인증 요청에 삽입하도록 구성될 수 있고;
- 인터페이스는 사용자 장비의 아이덴티티를 포함하는 요청을 전송하도록 구성될 수 있고; 및/또는
- 인터페이스는 구성 파라미터들을 포함하는 인증 응답을 수신하도록 구성될 수 있다.
본 발명의 예시적인 제 6 양상에 따라, 장치가 제공되며, 상기 장치는, 비보안 액세스 네트워크에 걸쳐 사용자 장비를 위해 접속을 제공하는 통신 네트워크에 사용자 장비를 인증하기 위한 제 1 인증 요청을 수신하도록 구성된 인터페이스 ― 인증 요청은 키 정보 교환 메커니즘의 인증 요청이고, 인증 데이터를 포함함 ―, 및 인증 데이터에 기초하여 통신 네트워크로 사용자 장비를 인증하도록 구성된 프로세서를 포함하고, 인터페이스는 통신 네트워크 외부의 패킷 데이터 네트워크에 사용자 장비를 인증하기 위한 제 2 인증 요청을 사용자 장비로부터 수신하도록 추가로 구성되고, 프로세서는 사용자 장비로부터 수신된 사용자 장비의 아이덴티티 정보 및 인증 데이터를 포함하는 바인딩 업데이트 메시지를 생성하도록 추가로 구성되며, 인터페이스는 바인딩 업데이트 메시지를 패킷 데이터 네트워크의 게이트웨이 장치에 전송하도록 추가로 구성된다.
상기 예시적인 제 6 양상의 추가의 전개들 또는 수정들에 따라, 다음들 중 하나 또는 둘 이상이 적용된다:
- 프로세서는 바인딩 업데이트 메시지 내의 전용의 정보 엘리먼트 내에 인증 데이터를 포함하도록 구성될 수 있고;
- 프로세서는 바인딩 업데이트 메시지 내의 프로토콜 구성 옵션들 정보 엘리먼트 내에 인증 데이터를 포함하도록 구성될 수 있고;
- 복수의 정보 엘리먼트들은 패스워드 정보 엘리먼트, 인증 프로토콜 챌린지 정보 엘리먼트 및/또는 사용자명칭 정보 엘리먼트를 포함하는 바인딩 업데이트 메시지 내에 제공될 수 있고;
- 프로세서는 다중 인증들을 지원하도록 구성될 수 있고, 인터페이스는 제 1 인증 요청을 수신하기 전에, 다중 인증들이 지원된다는 표시를 전송하도록 구성될 수 있고, 제 1 인증 요청은 다중 인증들이 지원된다는 표시를 포함할 수 있고;
- 인터페이스는 사용자 장비의 아이덴티티를 포함하는 요청을 사용자 장비로부터 수신하도록 추가로 구성될 수 있고; 및/또는
- 인터페이스는 구성 파라미터들을 포함하는 바인딩 업데이트 응답을 게이트웨이 장치로부터 수신하도록 추가로 구성될 수 있고, 프로세서는 구성 파라미터들을 포함하는 인증 응답을 생성하도록 구성될 수 있으며, 인터페이스는 인증 응답을 사용자 장비에 전송하도록 추가로 구성될 수 있다.
본 발명의 예시적인 제 7 양상에 따라, 장치가 제공되며, 상기 장치는, 아이덴티티 정보 및 인증 데이터를 포함하는 바인딩 업데이트 메시지를 수신하도록 구성된 인터페이스 ― 아이덴티티 정보 및 인증 데이터는 패킷 데이터 네트워크에 사용자 장비를 인증하기 위해 서빙함 ―, 및 아이덴티티 정보 및 인증 데이터에 기초하여 액세스 요청을 생성하도록 구성된 프로세서를 포함하며, 인터페이스는 액세스 요청 메시지를 네트워크 인증 엘리먼트에 전송하도록 추가로 구성된다.
상기 예시적인 제 7 양상의 추가의 전개들 또는 수정들에 따라, 다음들 중 하나 또는 둘 이상이 적용된다:
- 인증 데이터는 바인딩 업데이트 메시지 내의 전용의 정보 엘리먼트 내에 포함될 수 있고;
- 인증 데이터는 바인딩 업데이트 메시지 내의 프로토콜 구성 옵션들 정보 엘리먼트 내에 포함될 수 있고;
- 복수의 정보 엘리먼트들은 패스워드 정보 엘리먼트, 인증 프로토콜 챌린지 정보 엘리먼트 및/또는 사용자명칭 정보 엘리먼트를 포함하는 바인딩 업데이트 메시지 내에 제공될 수 있고; 및/또는
- 프로세서는 구성 파라미터들을 포함하는 바인딩 업데이트 응답을 생성하도록 추가로 구성될 수 있고, 인터페이스는 바인딩 업데이트 메시지에 응답하여 바인딩 업데이트 응답을 전송하도록 추가로 구성될 수 있다.
본 발명의 예시적인 제 8 양상에 따라, 컴퓨터 프로그램 물건이 제공되며, 컴퓨터 프로그램 물건은, 장치의 프로세서 상에서 실행될 때, 상술된 제 5, 제 2, 제 3 및/또는 제 4 양상들 및/또는 그들의 전개들 또는 수정들에 따른 방법을 수행하도록 배열된 소프트웨어 코드 부분들을 포함하는 프로그램을 포함한다.
상기 예시적인 제 8 양상의 추가의 전개들 또는 수정들에 따라, 제 8 양상에 따른 컴퓨터 프로그램 물건은 소프트웨어 코드 부분들이 저장되는 컴퓨터-판독가능 매체를 포함하고 및/또는 프로그램은 프로세서의 메모리에 직접적으로 로딩가능하다.
이러한 그리고 다른 목적들, 피처들, 세부사항들, 및 이점들은, 첨부 도면들과 관련하여 취해지는 본 발명의 실시예들의 아래 상세한 설명으로부터 더욱 완전히 명백해질 것이다.
도 1 및 도 2는 본 발명의 실시예들이 적용될 수 있는 이볼브드 패킷 시스템의 예시적인 시스템 아키텍처들을 예시하는 개략도들을 도시한다.
도 3은 본 발명의 실시예에 따른 사용자 장비, ePDG, 및 PGW의 구조들을 예시하는 개략적인 블록도를 도시한다.
도 4는 본 발명의 실시예에 따른 사용자 장비, 제 1 게이트웨이 장치, 및 제 2 게이트웨이 장치 사이의 시그널링을 예시하는 시그널링 도면을 도시한다.
아래에서, 본 발명의 실시예들에 대한 설명이 이루어질 것이다. 그러나, 설명은 단지 예시로만 주어지며, 기술되는 실시예들은 결코 본 발명을 기술되는 실시예들로 제한하는 것으로 이해되지 않는다는 것이 이해된다.
본 발명 및 본 발명의 실시예들은 주로, 특정 예시 네트워크 구성들 및 배치들에 대한 비제한적인 예들로서 이용되는 3GPP 규격들과 관련하여 기술된다. 특히, 비신뢰 (비-3GPP) 액세스 네트워크를 통해 UE에 의해 액세스가능한 외부 PDN 및 (내부) EPC를 이용한 EPS 컨텍스트는, 이와 같이 기술된 예시적인 실시예들의 적용가능성에 대한 비제한적인 예로서 이용된다. 이와 같이, 본 명세서에서 주어진 예시적인 실시예들의 설명은 구체적으로, 그와 직접적으로 관련되는 용어를 참조한다. 이러한 용어는 제시된 비제한적인 예들의 문맥에서만 이용되며, 당연히 어떠한 방식으로든 본 발명을 제한하지 않는다. 오히려, 본 명세서에 기술된 피처들과 부합하는 한, 임의의 다른 네트워크 구성 또는 시스템 배치 등이 또한 활용될 수 있다.
일반적으로, 본 발명의 실시예들은, 3GPP(3세대 파트너십 프로젝트) 또는 IETF(인터넷 엔지니어링 태스크 포스) 규격들에 따른 임의의 고안가능한 모바일/무선 통신 네트워크들을 포함하는 임의의 종류의 현대의 그리고 미래의 통신 네트워크를 위해/그러한 통신 네트워크에 적용가능할 수 있다.
이하에서, 본 발명의 다양한 실시예들 및 구현들 그리고 본 발명의 양상들 또는 실시예들은 여러 대안들을 이용하여 기술된다. 특정 필요성들 및 제약들에 따라, 기술되는 대안들 모두는 단독으로 또는 임의의 고안가능한 조합(다양한 대안들의 개개의 피처들의 조합들을 또한 포함함)으로 제공될 수 있다는 것이 일반적으로 유의된다.
본 발명의 예시적인 실시예들의 기술에서, 네트워크(예를 들어 EPC, PDN)에 사용자 장비(또는 그 사용자)의 인증은, 각각의 네트워크(예를 들어 EPC, PDN)에 대한/각각의 네트워크를 위한 사용자 장비(또는 그 사용자)의 액세스의/액세스를 위한 인증과 동등한 것으로 해석된다.
이하에서 기술되는 바와 같은 본 발명의 예시적인 실시예들은 특히, 3GPP 표준들에 따른 이볼브드 패킷 시스템에 적용가능하다.
도 1 및 도 2는 본 발명의 실시예들이 적용가능한 이볼브드 패킷 시스템의 예시적인 시스템 아키텍처들을 예시하는 개략도들을 도시한다.
도 1 및 도 2에 도시된 바와 같은 이러한 이볼브드 패킷 시스템에서, 사용자 장비, 이를 테면 WLAN UE는 비신뢰 비-3GPP 액세스 네트워크에 부착되고, 상기 비신뢰 비-3GPP 액세스 네트워크를 통해 상기 사용자 장비가 이볼브드 패킷 코어(EPC) 및 외부 패킷 데이터 네트워크(PDN)에 접속된다. EPC 및 외부 PDN(이하에서 때때로는 단지 PDN으로 지칭됨)은 PDN 게이트웨이(PGW)를 통해 링크된다.
다양한 구현들의 세부사항들을 살펴보기 전에 예비적인 문제들로서, 본 발명의 예시적인 실시예들을 실시하는데 이용하기 적합한 다양한 전자 디바이스들의 간략화된 블록도들을 예시하는 도 3에 대한 참조가 이루어진다.
도 3에 도시된 바와 같이, 본 발명의 실시예에 따른 사용자 장비(UE)(10)는 버스(14)에 의해 접속되는 프로세서(11), 메모리(12), 및 인터페이스(13)를 포함한다. 제 1 게이트웨이 장치에 대한 예로서의 ePDG(20)는 버스(24)에 의해 접속되는 프로세서(21), 메모리(22), 및 인터페이스(23)를 포함한다. 제 2 게이트웨이 장치(30)에 대한 예로서의 PGW(30)(PDN GW)는 버스(34)에 의해 접속되는 프로세서(31), 메모리(32), 및 인터페이스(33)를 포함한다. 사용자 장비(10)와 제 1 게이트웨이 장치는 도 2에 도시된 SWu 인터페이스를 포함할 수 있는 링크(17)를 통해 접속되고, 제 1 게이트웨이 장치(20)와 제 2 게이트웨이 장치(30)는 도 2에 도시된 S2b 인터페이스일 수 있는 링크(18)를 통해 접속된다.
메모리들(12, 22, 및 32)은, 연관된 프로세서들(11, 21, 및 31)에 의해 실행될 때, 전자 디바이스가 본 발명의 예시적인 실시예들에 따라 동작하는 것을 가능하게 하는 프로그램 명령들을 포함하는 것으로 가정되는 각각의 프로그램들을 저장할 수 있다. 프로세서들(11, 21, 및 31)은 또한, 인터페이스들(13, 23, 및 33)을 통해 (하드와이어) 링크들(17, 18, 및 19)을 거쳐 통신을 용이하게 하기 위해 모뎀을 포함할 수 있다. 사용자 장비(10)의 인터페이스(13)는, 무선 액세스 네트워크와의 하나 또는 둘 이상의 무선 링크들을 통한 양방향성 무선 통신들을 위해 하나 또는 둘 이상의 안테나들에 결합된 적합한 무선 주파수(RF) 트랜시버를 더 포함할 수 있다.
사용자 장비(10)의 다양한 실시예들은 모바일 스테이션들, 셀룰러 전화기들, 무선 통신 능력들을 갖는 PDA들(개인 디지털 정보단말들), 무선 통신 능력들을 갖는 휴대용 컴퓨터들, 이미지 캡처 디바이스들, 이를 테면 무선 통신 능력들을 갖는 디지털 카메라들, 무선 통신 능력들을 갖는 게임 디바이스들, 무선 통신 능력들을 갖는 음악 저장 및 재생 기기들, 무선 인터넷 액세스 및 브라우징을 허용하는 인터넷 기기들뿐만 아니라 이러한 기능들의 조합들을 포함하는 휴대용 유닛들 또는 단말들(그러나, 이에 한정되지 않음)을 포함할 수 있다.
일반적으로, 본 발명의 예시적인 실시예들은 메모리들(12, 22, 및 32)에 저장된 컴퓨터 소프트웨어에 의해 구현될 수 있고, 프로세서들(11, 21, 및 31)에 의해, 또는 하드웨어에 의해, 또는 도시된 디바이스들 중 임의의 또는 모든 디바이스들 내의 소프트웨어 및/또는 펌웨어 및 하드웨어의 조합에 의해 실행가능하다.
용어들 "접속된(connected)", "결합된(coupled)", 또는 이들의 임의의 변형은, 둘 또는 그보다 많은 수의 엘리먼트들 사이의 직접적인 또는 간접적인 임의의 접속 또는 결합을 의미하고, 함께 "접속" 또는 "결합"되는 2개의 엘리먼트들 사이의 하나 또는 둘 이상의 중간 엘리먼트들의 존재를 포함할 수 있다. 엘리먼트들 사이의 결합 또는 접속은 물리적이거나, 논리적이거나, 또는 그 조합일 수 있다. 본 명세서에서 이용되는 바와 같이, 2개의 엘리먼트들은, 비제한적인 예들로서, 전자기 에너지, 이를 테면 무선 주파수 영역, 마이크로파 영역, 및 광학 (가시적 및 비가시적 모두) 영역의 파장들을 갖는 전자기 에너지의 이용에 의해서뿐만 아니라, 하나 또는 둘 이상의 와이어들, 케이블들, 및 인쇄 전기 접속들의 이용에 의해 함께 "접속" 또는 "결합"되는 것으로 고려될 수 있다.
본 발명의 일반적인 실시예들에 따라, 사용자 장비(10)의 프로세서(11)는, 비신뢰 액세스 네트워크에 걸쳐 사용자 장비를 위해 접속을 제공하는 통신 네트워크에 사용자 장비를 인증하기 위한 제 1 인증 요청을 생성하도록 구성되고, 인증 요청은 키 정보 교환 메커니즘의 인증 요청이며, 인증 데이터는 인증 요청에 삽입된다. 사용자 장비의 인터페이스(13)는 인증 데이터에 기초하여 통신 네트워크로 사용자 장비를 인증하기 위한 제 1 인증 요청을 전송하도록 구성된다. 프로세서(11)는 통신 네트워크로 인증 후에, 사용자 장비로부터 통신 네트워크 외부의 패킷 데이터 네트워크에 사용자 장비를 인증하기 위한 제 2 인증 요청을 생성하도록 추가로 구성된다. 더욱이, 프로세서(11)는 사용자 장비로부터 수신된 사용자의 아이덴티티 정보 및 인증 데이터를 포함하는 바인딩 업데이트 메시지를 생성하도록 구성된다. 인터페이스(13)는 바인딩 업데이트 메시지를 게이트웨이 장치(예를 들어 ePDG(20))에 전송하도록 추가로 구성된다.
본 발명의 일반적인 실시예들에 따라, 제 1 게이트웨이 장치(예를 들어 도 3에 도시된 ePDG(20))의 인터페이스(23)는 비보안 액세스 네트워크에 걸쳐 사용자 장비를 위해 접속을 제공하는 통신 네트워크에 사용자 장비를 인증하기 위한 제 1 인증 요청을 수신하도록 구성되며, 인증 요청은 키 정보 교환 메커니즘의 인증 요청이고, 인증 데이터를 포함한다. 제 1 게이트웨이 장치의 프로세서(21)는 인증 데이터에 기초하여 통신 네트워크로 사용자 장비를 인증하도록 구성된다. 인터페이스(23)는 통신 네트워크 외부의 패킷 데이터 네트워크에 사용자 장비를 인증하기 위한 제 2 인증 요청을 사용자 장비로부터 수신하도록 추가로 구성된다. 더욱이, 프로세서(21)는 사용자 장비로부터 수신된 사용자 장비의 아이덴티티 정보 및 인증 데이터를 포함하는 바인딩 업데이트 메시지를 생성하도록 구성되며, 제 1 게이트웨이 장치의 인터페이스는 바인딩 업데이트 메시지를 패킷 데이터 네트워크의 제 2 게이트웨이 장치(예를 들어 PGW(30))에 전송하도록 추가로 구성된다.
더욱이, 본 발명의 일반적인 실시예들에 따라, 제 2 게이트웨이 장치(예를 들어 도 3에 도시된 PGW(30))의 인터페이스(33)는 아이덴티티 정보 및 인증 데이터를 포함하는 바인딩 업데이트 메시지를 수신하도록 구성되며, 아이덴티티 정보 및 인증 데이터는 패킷 데이터 네트워크에 사용자 장비를 인증하기 위해 서빙하고, 제 2 게이트웨이 장치의 프로세서(31)는 아이덴티티 정보 및 인증 데이터에 기초하여 액세스 요청을 생성하도록 구성된다. 더욱이, 제 2 게이트웨이 장치의 인터페이스는 액세스 요청 메시지를 네트워크 인증 엘리먼트에 전송하도록 추가로 구성된다.
인증 데이터는 사용자 크리덴셜 정보, 이를 테면 패스워드(예를 들어 PAP 또는 CHAP 패스워드), 인증 프로토콜 챌린지(예를 들어 PAP 또는 CHAP 챌린지) 등일 수 있다. 그러나, 본 발명은 이들 특정 예들로 제한되지 않는다.
더욱이, 상술된 키 정보 교환 메커니즘은 IKEv2 메커니즘일 수 있다. 그러나, 본 발명은 이러한 특정 예로 제한되지 않는다.
본 발명의 예시적인 실시예들에 따라, UE와 ePDG 사이에서 부가적인 인증 파라미터들을 전달하기 위해 RFC 4739에 명시된 IKEv2 확장을 이용하는 것이 제안된다.
도 4에 예시된 예는 외부 인증 서버와의 CHAP(챌린지 핸드셰이크 인증 프로토콜)를 이용한 프로시저를 제시한다. PAP 및 EAP를 이용한 프로시저는 매우 유사할 것이다. 제시된 예는 PMIP 기반 S2b를 가정하지만, GTP 기반 S2b, 또는 다른 적합한 프로토콜을 이용하여 동작할 수 있다. 본 발명은 이러한 특정 예들로 제한되지 않는다.
단계(1)에서, UE 및 ePDG는 IKE_SA_INIT로 알려진 제 1 메시지들 쌍을 교환한다. ePDG는 단계(1b)에서 표시 MULTIPLE_AUTH_SUPPORTED를 포함한다.
단계(2)에서, UE는 표시 MULTIPLE_AUTH_SUPPORTED를 포함하는 사용자 IKE_AUTH_Request를 전송한다. ePDG는 단계(9) 동안 추후 이용을 위해 IDi 페이로드에서 수신된 아이덴티티를 저장한다.
단계(3)에서, 정규 EAP-AKA 인증이 수행된다.
단계(4)에서, UE는 AUTH 페이로드를 포함하는 IKE_AUTH Request 메시지를 전송하고, 이는 제 1 IKE_SA_INIT 메시지를 인증한다. AUTH 페이로드는 단계(3)에서 이용된 키 발생 EAP-방법에 의해 확립된 공유 키를 이용하여 계산된다. 메시지는 또한, 다른 인증 라운드가 뒤따를 것이라는 것을 ePDG에 표시하는 Notify 페이로드 ANOTHER_AUTH_FOLLOWS를 포함한다.
단계(5)에서, ePDG는 UE로부터 수신된 AUTH의 정확성(correctness)을 체크한다. ePDG는 응답 AUTH 페이로드를 계산하고, 이는 단계(3)에서 사용된 키 발생 EAP-방법에 의해 확립된 공유 키를 이용하여 제 2 IKE_SA_INIT 메시지를 인증한다. 그 다음으로, AUTH 파라미터가 UE에 전송된다.
단계(6)에서, UE는 IDi' 페이로드에서 개인 네트워크 내의 자신의 아이덴티티를 전송하고, 이러한 아이덴티티는 외부 AAA 서버를 이용하여 인증 및 인가된다(단계(10)).
단계(7)에서, 단계(2)의 IDr 페이로드에 의해 표시된 APN이 외부 AAA 서버에 대한 인증을 요구하고, 선택된 인증 방법이 CHAP 프로시저인 경우, ePDG는 다음번(next) 인증을 위해 EAP MD5-챌린지 요청을 UE에 전송한다.
단계(8)에서, UE는 EAP MD5-챌린지 응답을 ePDG에 리턴한다.
단계(9)에서, ePDG는, IKE_AUTH 요청(단계(6))의 IDi'로부터 카피되는 사용자-명칭과, CHAP-패스워드, 및 CHAP-챌린지 속성들을 포함하는 PDN 접속을 생성하기 위해 PBU 메시지를 PGW에 전송한다. PBU 내의 MN-식별자 옵션은 단계(2)의 IDi 페이로드에서 수신된 아이덴티티에 대응하는 아이덴티티를 포함한다. 이는 아래에서 더욱 상세하게 기술된다.
단계(10)에서, PGW는 PBU 메시지에서 수신된 파라미터들을 갖는 액세스 요청 메시지를 RADIUS 클라이언트로서 외부 AAA 서버에 전송한다.
단계(11)에서, 외부 AAA 서버는 액세스 수락을 PDG에 리턴한다.
단계(12)에서, PGW는 PBA 메시지를 ePDG에 전송한다.
단계(13)에서, EAP 성공 메시지가 IKEv2를 통해 UE에 전송된다.
단계(14)에서, UE는 제 1 IKE_SA_INIT 메시지를 인증하기 위해 AUTH 파라미터를 발생시킨다. AUTH 파라미터는 ePDG에 전송된다.
단계(15)에서, ePDG는 UE로부터 수신된 AUTH의 정확성을 체크한다. ePDG는 할당된 IP 어드레스, 및 다른 구성 파라미터들을 UE에 전송한다. IKEv2 협의(negotiation)는 본 단계에서 종결된다.
예시되지 않았지만, 상기 인증 프로시저들의 하나에서 장애가 발생할 수 있는 경우, 대응하는 메시지가 UE에 전송되고 프로시저는 종결된다.
상기 프로세스는 아래와 같이 요약될 수 있다:
- 이중의(double) 인증이 수행된다: 제 1 인증은 UE와 네트워크 사이에서이고, 제 2 인증은 UE와 외부 AAA 사이에서이며, 이는 PGW에 의해서만 접촉될 수 있다.
- 제 2 인증의 인증 데이터는 제 1 인증을 위해 이용된 프로토콜의 확장을 이용하여 UE로부터 ePDG에 전송된다.
- 제 2 인증의 인증 데이터는 바인딩 업데이트 내에서 ePDG로부터 PGW에 포워딩된다.
- PGW는 사용자를 인증하기 위해 단계(2)에서 수신된 인증 데이터를 이용하여 외부 AAA에 접촉한다.
아래에서, CHAP 인증에 관한 특정 세부사항이 기술된다. 특히, ePDG는 CHAP 챌린지를 발생시키는 것을 담당한다. UE가, 이론상으로 가능할 수 있는, 이른바 스플릿-UE(split-UE)로서 구현되는 경우(즉, TE(단말 장비) 및 MT(모바일 단말)가 분리되고, 이들 사이의 통신을 위해 PPP(포인트-투-포인트 프로토콜)가 이용됨), PPP 핸들링에 관한 몇몇 고려사항들이 필요하다. 베어러 셋업이 시작되는 경우, TE는 AT-명령들을 MT에 발행하고, 여기서, 이용된 APN(액세스 포인트 명칭) 및 PDP(패킷 데이터 프로토콜) 타입이 규정된다.
MT는, 적합한 PGW, APN/PDN에 대한 접속을 확립하기 위해, 그리고 IKEv2 메시지들에서 IP 구성을 위한 적합한 구성 페이로드들을 파퓰레이트하는 방법(MT가 충족시키는 방법, 예를 들어 IPv4, IPv6, 또는 IPv4v6 "베어러" 중 어느 것이 셋업되는지를 구성 페이로드들이 결정함)을 결정하기 위해, ePDG와의 제 1 페이즈(phase) IKEv2 교환(RFC4739에 따라) 동안(즉, 도 4에 도시된 단계(1) 내지 단계(3) 동안), 수신된 APN 및 PDP 타입 정보를 이용한다. TE와 MT 사이의 PPP 접속을 셋업하는 것은, 제 1 페이즈 IKEv2 교환을 개시한다. MT는, 제 2 페이즈 IKEv2 교환 동안 어떤 인증 방법이 발생하든, LCP(링크 제어 프로토콜) 및 IPCP/IPV6CP에 대한 LCP가 인터리빙되어야 한다는 것을 알고 있다. MT는 실제로 PPP 내의 NAS와 IKEv2 개시자 사이에서 "브리지(bridge)"로서 작용한다. 예를 들어 다음과 같다:
● EAP가 이용되고 ePDG는 EAP-MD5를 제안한다. 이는 PPP LCP Request-CHAP auth를 TE에 전송하도록 MT에 트랜슬레이트한다. TE는 LCP 레벨에서 이에 ACK하거나 또는 NACK하고, 그 다음으로 이는 MT에서 IKEv2 내의 적합한 EAP-Response로 변환한다.
● EAP가 이용되고 ePDG는 EAP-GTC를 제안한다. 이는 PPP LCP Request-PAP auth를 TE에 전송하도록 MT에 트랜슬레이트한다. TE는 LCP 레벨에서 이에 ACK하거나 또는 NACK하고, 그 다음으로 이는 MT에서 IKEv2 내의 적합한 EAP-Response로 변환한다.
● EAP가 이용되고 ePDG는 임의의 EAP 방법을 제안한다. 이는 PPP LCP Request-EAP auth를 TE에 전송하도록 MT에 트랜슬레이트한다. TE는 LCP 레벨에서 이에 ACK하거나 또는 NACK하고, 그 다음으로 이는 MT에서 IKEv2 내의 적합한 EAP-Response로 변환한다.
일단 IKEv2 페이즈들 양측 모두가 성공적으로 완료되면, IPCP/IPV6CP 협의는 TE와 MT 사이에서 시작될 수 있다. 이러한 단계는 이미 이러한 시점에서 완전히 국부적임을 유의한다. MT는 단지 IP 레벨 구성 정보를 TE에 피딩하고, 상기 MT는 IKEv2(+PMIPv6) 동안 협의 그 자체를 수신하였다.
예시적인 실시예들에 따라, ePDG와 PGW 사이에서 (CHAP 또는 PAP) 사용자 크리덴셜 정보를 PBU 및 PBA 메시지들 및 대응하는 GTPv2 메시지들에서 전송하는 2개의 대안적인 방법들이 제공된다:
1. 새로운 정보 엘리먼트들에서.
2. 사용자 크리덴셜 정보는 PBU/PBA 내의, 이미 명시된 프로토콜 구성 옵션들(PCO) 정보 엘리먼트들 내에 포함된다.
솔루션 2에 따라 PBU/PBA 내의 이미 존재하는 PCO 정보 엘리먼트들을 이용하는 것의 이점은, PCO 정보 엘리먼트가 PMIP 및 GTP 양측 모두에서 3GPP에 이미 명시되었다는 것이다. 따라서, 솔루션 2는 용이하게 구현될 수 있다.
솔루션 1에 따라 새로운 정보 엘리먼트들을 이용하는 것의 이점은 PCO 시맨틱(semantic)들에 대한 어떠한 변경들도 필요하지 않다는 것이다. 즉, 바람직하게, PCO 정보 엘리먼트는 UE와 PGW 사이에서 변경되지 않은 정보를 반송해야 한다. 솔루션 2에 따라, ePDG는 IKEv2에서 반송되는 사용자 크리덴셜 정보를 PMIP PCO 내의 사용자 크리덴셜 정보로 "트랜슬레이트"할 것이다. 그러나, PCO는 UE와 PGW 사이에서 엔드-투-엔드 시그널링되도록 의도된다. 그러므로, ePDG에 의한 PCO 생성은 바람직하지 않은 것으로 간주될 수 있다. 따라서, 솔루션 1에 따라, 새로운 정보 엘리먼트들이 3GPP에서 명시되며, 이에 의해, ePDG와 PGW 사이에서 교환되는 PBU/PBA 메시지들 내의 사용자 크리덴셜 정보가 반송된다. 이는 PMIPvβ 및 GTPv2의 다소의 확장을 요구할 것이지만, 이는 구현하고 이용하기 용이하다.
필요한 PMIPvβ 및 GTP 정보 엘리먼트들은 다음과 같다:
● CHAP-패스워드 정보 엘리먼트
● CHAP-챌린지 정보 엘리먼트
● PAP-패스워드 정보 엘리먼트
● Username 정보 엘리먼트(이러한 정보 엘리먼트 내의 아이덴티티는 예를 들어, PMIPvβ와 함께 이용되는 MN-식별자와 상이할 수 있다는 것을 유의한다).
정보 엘리먼트가, 이용되는 역할들 사이에서 구분될 수 있다고 가정하면, CHAP-패스워드 및 PAP-패스워드 정보 엘리먼트들은 결합될 수 있다.
더욱이, 상술된 패스워드 정보 엘리먼트들 대신에, 확장형 패스워드 엘리먼트가 CHAP 패스워드로서 이용되는지 또는 PAP 패스워드로서 이용되는지를 표시하는 플래그가 뒤따르는 확장형 패스워드 엘리먼트가 이용될 수 있다. 그러나, 이러한 플래그는 패스워드 정보 엘리먼트를 위해 이용되는 인증 프로토콜의 표시를 위한 단지 하나의 예일뿐이다.
다른 인증 프로토콜이 이용되는 경우, 대응하는 패스워드는 패스워드 정보 엘리먼트에 삽입될 수 있다.
본 발명의 일반적인 실시예들의 양상에 따라, 장치가 제공되며, 상기 장치는:
비보안 액세스 네트워크에 걸쳐 사용자 장비를 위해 접속을 제공하는 통신 네트워크에 사용자 장비를 인증하기 위한 제 1 인증 요청을 생성하기 위한 수단 ― 인증 요청은 키 정보 교환 메커니즘의 인증 요청이고, 인증 데이터는 인증 요청에 삽입됨 ―,
인증 데이터에 기초하여 통신 네트워크로 사용자 장비를 인증하기 위한 제 1 인증 요청을 전송하기 위한 수단,
통신 네트워크로 인증 후에, 통신 네트워크 외부의 패킷 데이터 네트워크에 사용자 장비를 인증하기 위한 제 2 인증 요청을 생성하기 위한 수단, 및
제 2 인증 요청을 전송하기 위한 수단을 포함한다.
본 발명의 일반적인 실시예들의 추가의 양상에 따라, 장치가 제공되며, 상기 장치는:
비보안 액세스 네트워크에 걸쳐 사용자 장비를 위해 접속을 제공하는 통신 네트워크에 사용자 장비를 인증하기 위한 제 1 인증 요청을 수신하기 위한 수단 ― 인증 요청은 키 정보 교환 메커니즘의 인증 요청이고, 인증 데이터를 포함함 ―,
인증 데이터에 기초하여 통신 네트워크로 사용자 장비를 인증하기 위한 수단,
통신 네트워크 외부의 패킷 데이터 네트워크에 사용자 장비를 인증하기 위한 제 2 인증 요청을 사용자 장비로부터 수신하기 위한 수단,
사용자 장비로부터 수신된 사용자의 아이덴티티 정보 및 인증 데이터를 포함하는 바인딩 업데이트 메시지를 생성하기 위한 수단, 및
바인딩 업데이트 메시지를 패킷 데이터 네트워크의 게이트웨이 장치에 전송하기 위한 수단을 포함한다.
본 발명의 일반적인 실시예들의 추가의 양상에 따라, 장치가 제공되며, 상기 장치는:
아이덴티티 정보 및 인증 데이터를 포함하는 바인딩 업데이트 메시지를 수신하기 위한 수단 ― 아이덴티티 정보 및 인증 데이터는 패킷 데이터 네트워크에 사용자 장비를 인증하기 위해 서빙함 ―,
아이덴티티 정보 및 인증 데이터에 기초하여 액세스 요청을 생성하기 위한 수단, 및
액세스 요청 메시지를 네트워크 인증 엘리먼트에 전송하기 위한 수단을 포함한다.
각각의 양상들 및/또는 실시예들이 대안들을 배제하는 것으로 명백하게 명시되지 않는 한, 상기 수정들 중 임의의 수정들은 그들이 참조하는 각각의 양상들 및/또는 실시예들에 단독으로 또는 조합으로 적용될 수 있다는 것이 이해된다.
본 명세서에서 상술된 바와 같은 본 발명의 실시예들의 목적을 위해, 다음이 유의되어야 한다:
- 소프트웨어 코드 부분들로서 구현될 가능성이 있고, (디바이스들, 장치들 및/또는 그들의 모듈들의 예들로서, 또는 그러므로 장치들 및/또는 모듈들을 포함하는 엔티티들의 예들로서) 단말 또는 네트워크 엘리먼트에서 프로세서를 이용하여 실행되는 방법 단계들은, 소프트웨어 코드 독립적이고, 방법 단계들에 의해 규정된 기능성이 보존되는 한, 임의의 알려진 또는 미래에 개발되는 프로그래밍 언어를 이용하여 명시될 수 있고;
- 일반적으로, 임의의 방법 단계는 구현되는 기능성의 측면에서 본 발명의 아이디어를 변경함이 없이 하드웨어에 의해 또는 소프트웨어로서 구현되기에 적합하고;
- 상기-규정된 장치들에서 하드웨어 컴포넌트들로서 구현될 가능성이 있는 방법 단계들 및/또는 디바이스들, 유닛들 또는 수단, 또는 그들의 임의의 모듈(들)(예를 들어, 상술된 바와 같은 실시예들에 따라 장치들의 기능들을 수행하는 디바이스들, 이를 테면 상술된 바와 같은 UE, ePDG, PGW 등)은 하드웨어 독립적이고, 임의의 알려진 또는 미래에 개발되는 하드웨어 기술 또는 이들의 임의의 하이브리드들, 이를 테면 예를 들어 ASIC(주문형 IC(집적 회로)) 컴포넌트들, FPGA(필드-프로그램가능 게이트 어레이들) 컴포넌트들, CPLD(컴플렉스 프로그램가능 로직 디바이스) 컴포넌트들 또는 DSP(디지털 신호 프로세서) 컴포넌트들을 이용하는 MOS(금속 산화물 반도체), CMOS(상보적 MOS), BiMOS(바이폴라 MOS), BiCMOS(바이폴라 CMOS), ECL(이미터 결합 로직), TTL(트랜지스터-트랜지스터 로직) 등을 이용하여 구현될 수 있고;
- 디바이스들, 유닛들, 또는 수단(예를 들어 상기-규정된 장치들, 또는 그들의 각각의 수단 중 임의의 하나)은 개개의 디바이스들, 유닛들, 또는 수단으로서 구현될 수 있지만, 이는, 디바이스, 유닛, 또는 수단의 기능성이 보존되는 한, 상기 디바이스들, 유닛들, 또는 수단이 시스템에 걸쳐 분산된 방식으로 구현되는 것을 배제하지 않고;
- 장치는 반도체 칩, 칩셋, 또는 이러한 칩 또는 칩셋을 포함하는 (하드웨어) 모듈에 의해 제시될 수 있지만; 이는 장치 또는 모듈의 기능성이, 하드웨어 구현되는 대신에, 프로세서 상에서의 실행/런을 위해 실행가능한 소프트웨어 코드 부분들을 포함하는 컴퓨터 프로그램 물건 또는 컴퓨터 프로그램과 같은 (소프트웨어) 모듈에서 소프트웨어로서 구현되는 가능성을 배제하지 않으며;
- 디바이스는, 기능적으로 서로 협력하든 또는 기능적으로 서로 독립적이든 ― 그러나 예를 들어 동일한 디바이스 하우징 내에 있음 ― 장치로서, 또는 하나보다 많은 수의 장치의 어셈블리로서 간주될 수 있다.
상술된 실시예들 및 예들은 단지 예시적인 목적들을 위해서만 제공되며, 어떠한 방식으로든 본 발명이 그에 제한되는 것으로 의도되지 않는다는 것이 유의된다. 오히려, 첨부된 청구항들의 사상 및 범주 내에 있는 모든 변형들 및 수정들이 포함되는 것이 의도된다.

Claims (37)

  1. 방법으로서,
    비보안(unsecured) 액세스 네트워크에 걸쳐 사용자 장비를 위해 접속(connectivity)을 제공하는 통신 네트워크에 상기 사용자 장비를 인증하기 위한 제 1 인증 요청을 생성하는 단계 ― 상기 인증 요청은 키 정보 교환 메커니즘의 인증 요청이고, 인증 데이터는 상기 인증 요청에 삽입됨 ―,
    상기 인증 데이터에 기초하여 상기 통신 네트워크로 상기 사용자 장비를 인증하기 위한 상기 제 1 인증 요청을 전송하는 단계,
    상기 통신 네트워크로 인증 후에, 상기 통신 네트워크 외부의 패킷 데이터 네트워크에 상기 사용자 장비를 인증하기 위한 제 2 인증 요청을 생성하는 단계, 및
    상기 통신 네트워크의 게이트웨이로 하여금 상기 제 1 인증 요청 및 상기 제 2 인증 요청으로부터의 정보를 결합하는 프록시 바인딩 업데이트 메시지(proxy binding update message)를 생성하게 하기 위해 상기 제 2 인증 요청을 전송하는 단계
    를 포함하고,
    상기 사용자 장비와 상기 통신 네트워크 사이에 전송되는, 다중 인증들을 위한 지원을 표시하는 메시지가 상기 제 1 인증 요청에 선행하는,
    방법.
  2. 제 1 항에 있어서,
    상기 제 1 인증 요청을 전송하기 전에, 다중 인증들이 지원된다는 표시를 수신하는 단계, 및
    다중 인증들이 지원된다는 표시를 상기 제 1 인증 요청에 삽입하는 단계
    를 더 포함하는,
    방법.
  3. 방법으로서,
    비보안 액세스 네트워크에 걸쳐 사용자 장비를 위해 접속을 제공하는 통신 네트워크에 상기 사용자 장비를 인증하기 위한 제 1 인증 요청을 수신하는 단계 ― 상기 인증 요청은 키 정보 교환 메커니즘의 인증 요청이고, 인증 데이터를 포함함 ―,
    상기 인증 데이터에 기초하여 상기 통신 네트워크로 상기 사용자 장비를 인증하는 단계,
    상기 통신 네트워크 외부의 패킷 데이터 네트워크에 상기 사용자 장비를 인증하기 위한 제 2 인증 요청을 상기 사용자 장비로부터 수신하는 단계,
    상기 제 1 인증 요청 및 상기 제 2 인증 요청으로부터의 정보를 결합하고 상기 사용자 장비로부터 수신된 상기 사용자의 아이덴티티 정보 및 상기 인증 데이터를 포함하는 바인딩 업데이트 메시지를 생성하는 단계, 및
    상기 바인딩 업데이트 메시지를 상기 패킷 데이터 네트워크의 게이트웨이 장치에 전송하는 단계
    를 포함하고,
    상기 사용자 장비와 상기 통신 네트워크 사이에 전송되는, 다중 인증들을 위한 지원을 표시하는 메시지가 상기 제 1 인증 요청에 선행하는,
    방법.
  4. 제 3 항에 있어서,
    상기 인증 데이터는 상기 바인딩 업데이트 메시지 내의 전용의 정보 엘리먼트 내에 포함되는,
    방법.
  5. 제 3 항에 있어서,
    상기 인증 데이터는 상기 바인딩 업데이트 메시지 내의 프로토콜 구성 옵션들 정보 엘리먼트 내에 포함되는,
    방법.
  6. 제 3 항 내지 제 5 항 중 어느 한 항에 있어서,
    복수의 정보 엘리먼트들이 패스워드 정보 엘리먼트, 인증 프로토콜 챌린지 정보 엘리먼트 및 사용자명칭 정보 엘리먼트 중 어느 하나 이상을 포함하는 상기 바인딩 업데이트 메시지 내에 제공되는,
    방법.
  7. 제 3 항 내지 제 5 항 중 어느 한 항에 있어서,
    상기 제 1 인증 요청을 수신하기 전에, 다중 인증이 지원된다는 표시를 전송하는 단계를 더 포함하며,
    상기 제 1 인증 요청은 다중 인증들이 지원된다는 표시를 포함하는,
    방법.
  8. 방법으로서,
    제 1 인증 요청 및 제 2 인증 요청으로부터의 정보를 결합하고 아이덴티티 정보 및 인증 데이터를 포함하는 바인딩 업데이트 메시지를 수신하는 단계 ― 상기 아이덴티티 정보 및 상기 인증 데이터는 패킷 데이터 네트워크에 사용자 장비를 인증하기 위해 서빙함 ―,
    상기 아이덴티티 정보 및 인증 데이터에 기초하여 액세스 요청을 생성하는 단계, 및
    액세스 요청 메시지를 네트워크 인증 엘리먼트에 전송하는 단계
    를 포함하는,
    방법.
  9. 제 8 항에 있어서,
    상기 인증 데이터는 상기 바인딩 업데이트 메시지 내의 전용의 정보 엘리먼트 내에 포함되는,
    방법.
  10. 제 8 항에 있어서,
    상기 인증 데이터는 상기 바인딩 업데이트 메시지 내의 프로토콜 구성 옵션들 정보 엘리먼트 내에 포함되는,
    방법.
  11. 방법으로서,
    사용자 장비로부터 제 1 게이트웨이 장치로, 비보안 액세스 네트워크에 걸쳐 사용자 장비를 위해 접속을 제공하는 통신 네트워크에 상기 사용자 장비를 인증하기 위한 제 1 인증 요청을 전송하는 단계 ― 상기 제 1 인증 요청은 키 정보 교환 메커니즘의 인증 요청이고, 인증 데이터를 포함함 ―,
    상기 인증 데이터에 기초하여 상기 통신 네트워크로 상기 사용자 장비를 인증하는 단계,
    상기 사용자 장비로부터 상기 제 1 게이트웨이 장치로, 상기 통신 네트워크 외부의 패킷 데이터 네트워크에 상기 사용자 장비를 인증하기 위한 제 2 인증 요청을 전송하는 단계,
    상기 제 1 인증 요청 및 상기 제 2 인증 요청으로부터의 정보를 결합하고 상기 사용자 장비로부터 수신된 상기 사용자의 아이덴티티 정보 및 상기 인증 데이터를 포함하는 바인딩 업데이트 메시지를 생성하는 단계, 및
    상기 바인딩 업데이트 메시지를 상기 제 1 게이트웨이 장치로부터 상기 패킷 데이터 네트워크의 제 2 게이트웨이 장치에 전송하는 단계
    를 포함하고,
    상기 사용자 장비와 상기 통신 네트워크 사이에 전송되는, 다중 인증들을 위한 지원을 표시하는 메시지가 상기 제 1 인증 요청에 선행하는,
    방법.
  12. 장치로서,
    비보안 액세스 네트워크에 걸쳐 사용자 장비를 위해 접속을 제공하는 통신 네트워크에 상기 사용자 장비를 인증하기 위한 제 1 인증 요청을 생성하도록 구성된 프로세서 ― 상기 인증 요청은 키 정보 교환 메커니즘의 인증 요청이고, 인증 데이터는 상기 인증 요청에 삽입됨 ―, 및
    상기 인증 데이터에 기초하여 상기 통신 네트워크로 상기 사용자 장비를 인증하기 위한 상기 제 1 인증 요청을 전송하도록 구성된 인터페이스
    를 포함하고,
    상기 프로세서는, 상기 통신 네트워크로 인증 후에, 상기 통신 네트워크 외부의 패킷 데이터 네트워크에 상기 사용자 장비를 인증하기 위한 제 2 인증 요청을 생성하도록 추가로 구성되고,
    상기 인터페이스는, 상기 통신 네트워크의 게이트웨이로 하여금 상기 제 1 인증 요청 및 상기 제 2 인증 요청으로부터의 정보를 결합하는 프록시 바인딩 업데이트 메시지를 생성하게 하기 위해 상기 제 2 인증 요청을 전송하도록 추가로 구성되고,
    상기 사용자 장비와 상기 통신 네트워크 사이에 전송되는, 다중 인증들을 위한 지원을 표시하는 메시지가 상기 제 1 인증 요청에 선행하는,
    장치.
  13. 제 12 항에 있어서,
    상기 프로세서는 상기 제 1 인증 요청을 전송하기 전에, 다중 인증들이 지원된다는 표시를 수신하도록 구성되고,
    상기 프로세서는 다중 인증들이 지원된다는 표시를 상기 제 1 인증 요청에 삽입하도록 구성되는,
    장치.
  14. 장치로서,
    비보안 액세스 네트워크에 걸쳐 사용자 장비를 위해 접속을 제공하는 통신 네트워크에 상기 사용자 장비를 인증하기 위한 제 1 인증 요청을 수신하도록 구성된 인터페이스 ― 상기 인증 요청은 키 정보 교환 메커니즘의 인증 요청이고, 인증 데이터를 포함함 ―, 및
    상기 인증 데이터에 기초하여 상기 통신 네트워크로 상기 사용자 장비를 인증하도록 구성된 프로세서
    를 포함하고,
    상기 인터페이스는 상기 통신 네트워크 외부의 패킷 데이터 네트워크에 상기 사용자 장비를 인증하기 위한 제 2 인증 요청을 상기 사용자 장비로부터 수신하도록 추가로 구성되고,
    상기 프로세서는, 상기 제 1 인증 요청 및 상기 제 2 인증 요청으로부터의 정보를 결합하고 상기 사용자 장비로부터 수신된 상기 사용자 장비의 아이덴티티 정보 및 상기 인증 데이터를 포함하는 바인딩 업데이트 메시지를 생성하도록 추가로 구성되고,
    상기 인터페이스는 상기 바인딩 업데이트 메시지를 상기 패킷 데이터 네트워크의 게이트웨이 장치에 전송하도록 추가로 구성되고,
    상기 사용자 장비와 상기 통신 네트워크 사이에 전송되는, 다중 인증들을 위한 지원을 표시하는 메시지가 상기 제 1 인증 요청에 선행하는,
    장치.
  15. 제 14 항에 있어서,
    상기 프로세서는 상기 바인딩 업데이트 메시지 내의 전용의 정보 엘리먼트 내에 상기 인증 데이터를 포함하도록 구성되는,
    장치.
  16. 제 14 항에 있어서,
    상기 프로세서는 상기 바인딩 업데이트 메시지 내의 프로토콜 구성 옵션들 정보 엘리먼트 내에 상기 인증 데이터를 포함하도록 구성되는,
    장치.
  17. 제 14 항 내지 제 16 항 중 어느 한 항에 있어서,
    복수의 정보 엘리먼트들이 패스워드 정보 엘리먼트, 인증 프로토콜 챌린지 정보 엘리먼트 및 사용자명칭 정보 엘리먼트 중 어느 하나 이상을 포함하는 상기 바인딩 업데이트 메시지 내에 제공되는,
    장치.
  18. 제 14 항 내지 제 16 항 중 어느 한 항에 있어서,
    상기 프로세서는 다중 인증들을 지원하도록 구성되고,
    상기 인터페이스는 상기 제 1 인증 요청을 수신하기 전에, 다중 인증들이 지원된다는 표시를 전송하도록 구성되며,
    상기 제 1 인증 요청은 다중 인증들이 지원된다는 표시를 포함하는,
    장치.
  19. 장치로서,
    제 1 인증 요청 및 제 2 인증 요청으로부터의 정보를 결합하고 아이덴티티 정보 및 인증 데이터를 포함하는 바인딩 업데이트 메시지를 수신하도록 구성된 인터페이스 ― 상기 아이덴티티 정보 및 상기 인증 데이터는 패킷 데이터 네트워크에 사용자 장비를 인증하기 위해 서빙함 ―, 및
    상기 아이덴티티 정보 및 인증 데이터에 기초하여 액세스 요청을 생성하도록 구성된 프로세서
    를 포함하며,
    상기 인터페이스는 액세스 요청 메시지를 네트워크 인증 엘리먼트에 전송하도록 추가로 구성되는,
    장치.
  20. 제 19 항에 있어서,
    상기 인증 데이터는 상기 바인딩 업데이트 메시지 내의 전용의 정보 엘리먼트 내에 포함되는,
    장치.
  21. 제 19 항에 있어서,
    상기 인증 데이터는 상기 바인딩 업데이트 메시지 내의 프로토콜 구성 옵션들 정보 엘리먼트 내에 포함되는,
    장치.
  22. 컴퓨터-판독가능한 저장 매체로서,
    장치의 프로세서 상에서 실행될 때, 제 1 항 내지 제 5 항 및 제 8 항 내지 제 11 항 중 어느 한 항에 따른 방법을 수행하도록 배열된 코드 부분들을 기록한,
    컴퓨터-판독가능한 저장 매체.
  23. 삭제
  24. 삭제
  25. 삭제
  26. 삭제
  27. 삭제
  28. 삭제
  29. 삭제
  30. 삭제
  31. 삭제
  32. 삭제
  33. 삭제
  34. 삭제
  35. 삭제
  36. 삭제
  37. 삭제
KR1020137021363A 2011-01-14 2011-01-14 비신뢰 네트워크를 통한 외부 인증 지원 KR101589574B1 (ko)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/EP2011/050475 WO2012095184A1 (en) 2011-01-14 2011-01-14 External authentication support over an untrusted network

Publications (2)

Publication Number Publication Date
KR20130114727A KR20130114727A (ko) 2013-10-17
KR101589574B1 true KR101589574B1 (ko) 2016-01-28

Family

ID=43901410

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020137021363A KR101589574B1 (ko) 2011-01-14 2011-01-14 비신뢰 네트워크를 통한 외부 인증 지원

Country Status (9)

Country Link
US (2) US9641525B2 (ko)
EP (1) EP2664100B1 (ko)
JP (1) JP2014507855A (ko)
KR (1) KR101589574B1 (ko)
CN (1) CN103299578A (ko)
AU (1) AU2011355322B2 (ko)
BR (1) BR112013017889B1 (ko)
MX (1) MX2013008150A (ko)
WO (1) WO2012095184A1 (ko)

Families Citing this family (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103024737B (zh) * 2011-09-23 2017-08-11 中兴通讯股份有限公司 可信任非3gpp接入网元、接入移动网络及去附着方法
US20140071907A1 (en) * 2012-05-04 2014-03-13 Telefonaktiebolaget L M Ericsson (Publ) Method and Apparatus for Handling PDN Connections
US9538560B1 (en) * 2012-09-13 2017-01-03 Cisco Technology, Inc. Protocol configuration options (PCOS) in untrusted WLAN access
CN104378333B (zh) * 2013-08-15 2018-09-21 华为终端有限公司 调制解调器拨号方法及宽带设备
CN106416191B (zh) * 2014-01-28 2020-01-07 瑞典爱立信有限公司 向通信网络中的服务提供信息
CN103957152B (zh) * 2014-04-22 2017-04-19 广州杰赛科技股份有限公司 IPv4与IPv6网络通信方法及NAT‑PT网关
US10284524B2 (en) * 2014-08-21 2019-05-07 James Armand Baldwin Secure auto-provisioning device network
US9332015B1 (en) 2014-10-30 2016-05-03 Cisco Technology, Inc. System and method for providing error handling in an untrusted network environment
JP6449088B2 (ja) * 2015-03-31 2019-01-09 株式会社日立製作所 情報収集システム、情報収集システムにおける接続制御方法
JP6577052B2 (ja) * 2015-04-22 2019-09-18 華為技術有限公司Huawei Technologies Co.,Ltd. アクセスポイント名許可方法、アクセスポイント名許可装置、およびアクセスポイント名許可システム
US9730062B2 (en) * 2015-04-30 2017-08-08 Intel IP Corporation AT command for secure ESM information
US9602493B2 (en) 2015-05-19 2017-03-21 Cisco Technology, Inc. Implicit challenge authentication process
JP2017004133A (ja) * 2015-06-08 2017-01-05 株式会社リコー サービス提供システム、情報処理システム、情報処理装置、サービス提供方法、及びプログラム
US9967148B2 (en) 2015-07-09 2018-05-08 Oracle International Corporation Methods, systems, and computer readable media for selective diameter topology hiding
US10237795B2 (en) * 2015-10-11 2019-03-19 Qualcomm Incorporated Evolved packet data gateway (EPDG) reselection
CN106686589B (zh) * 2015-11-09 2020-04-28 中国电信股份有限公司 一种实现VoWiFi业务的方法、***及AAA服务器
US10033736B2 (en) 2016-01-21 2018-07-24 Oracle International Corporation Methods, systems, and computer readable media for remote authentication dial-in user service (radius) topology hiding
KR102088717B1 (ko) * 2016-04-08 2020-03-13 한국전자통신연구원 비접속계층 기반 액세스 방법 및 이를 지원하는 단말
US10419994B2 (en) * 2016-04-08 2019-09-17 Electronics And Telecommunications Research Institute Non-access stratum based access method and terminal supporting the same
EP3297222A1 (en) * 2016-09-15 2018-03-21 Eco-i Limited Configuration gateway
EP3319277B1 (en) * 2016-11-08 2019-05-29 Telia Company AB Provision of access to a network
CN112534851B (zh) * 2018-08-07 2024-04-26 联想(新加坡)私人有限公司 委托数据连接
US20220141658A1 (en) * 2020-11-05 2022-05-05 Visa International Service Association One-time wireless authentication of an internet-of-things device
US11558737B2 (en) 2021-01-08 2023-01-17 Oracle International Corporation Methods, systems, and computer readable media for preventing subscriber identifier leakage
US11888894B2 (en) 2021-04-21 2024-01-30 Oracle International Corporation Methods, systems, and computer readable media for mitigating network function (NF) update and deregister attacks
US11627467B2 (en) 2021-05-05 2023-04-11 Oracle International Corporation Methods, systems, and computer readable media for generating and using single-use OAuth 2.0 access tokens for securing specific service-based architecture (SBA) interfaces
US11638155B2 (en) 2021-05-07 2023-04-25 Oracle International Corporation Methods, systems, and computer readable media for protecting against mass network function (NF) deregistration attacks
US11570689B2 (en) 2021-05-07 2023-01-31 Oracle International Corporation Methods, systems, and computer readable media for hiding network function instance identifiers
US11695563B2 (en) 2021-05-07 2023-07-04 Oracle International Corporation Methods, systems, and computer readable media for single-use authentication messages

Family Cites Families (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7900242B2 (en) * 2001-07-12 2011-03-01 Nokia Corporation Modular authentication and authorization scheme for internet protocol
US7441043B1 (en) * 2002-12-31 2008-10-21 At&T Corp. System and method to support networking functions for mobile hosts that access multiple networks
CN100550955C (zh) 2003-05-26 2009-10-14 华为技术有限公司 大容量宽带接入方法及***
DE50306750D1 (de) * 2003-07-31 2007-04-19 Siemens Ag Verfahren zum Ermitteln eines Abrechnungstarifs für eine Datenübertragung
US8341700B2 (en) * 2003-10-13 2012-12-25 Nokia Corporation Authentication in heterogeneous IP networks
RU2354066C2 (ru) 2003-11-07 2009-04-27 Телеком Италия С.П.А. Способ и система для аутентификации пользователя системы обработки данных
US8046829B2 (en) * 2004-08-17 2011-10-25 Toshiba America Research, Inc. Method for dynamically and securely establishing a tunnel
JP4933609B2 (ja) * 2006-04-11 2012-05-16 クゥアルコム・インコーポレイテッド 複数の認証(multipleauthentications)を結び付けるための方法および装置
US8239671B2 (en) * 2006-04-20 2012-08-07 Toshiba America Research, Inc. Channel binding mechanism based on parameter binding in key derivation
JP4763560B2 (ja) * 2006-09-14 2011-08-31 富士通株式会社 接続支援装置
US8707416B2 (en) * 2007-01-19 2014-04-22 Toshiba America Research, Inc. Bootstrapping kerberos from EAP (BKE)
EP2037652A3 (en) * 2007-06-19 2009-05-27 Panasonic Corporation Methods and apparatuses for detecting whether user equipment resides in a trusted or a non-trusted access network
JP5291706B2 (ja) * 2007-06-22 2013-09-18 インターデイジタル テクノロジー コーポレーション 相異なるワイヤレス通信アーキテクチャ間のモビリティのための資源管理
CN101330740A (zh) * 2007-06-22 2008-12-24 中兴通讯股份有限公司 一种无线网络中的网关选择方法
CN101345998B (zh) 2007-07-12 2011-12-28 华为技术有限公司 接入网络切换方法、锚点管理设备、移动接入设备
CN101374055B (zh) * 2007-08-20 2012-12-12 华为技术有限公司 计费处理方法和网络***、分组数据网络网关及计费***
US8335490B2 (en) * 2007-08-24 2012-12-18 Futurewei Technologies, Inc. Roaming Wi-Fi access in fixed network architectures
GB2453526B (en) 2007-09-28 2009-11-18 Samsung Electronics Co Ltd Communication method and apparatus
EP2079253A1 (en) * 2008-01-09 2009-07-15 Panasonic Corporation Non-3GPP to 3GPP network handover optimizations
US8224330B2 (en) * 2008-08-07 2012-07-17 Futurewei Technologies, Inc. Method and system for interworking between two different networks
EP2166724A1 (en) 2008-09-23 2010-03-24 Panasonic Corporation Optimization of handovers to untrusted non-3GPP networks
WO2010036611A1 (en) * 2008-09-24 2010-04-01 Interdigital Patent Holdings, Inc. Home node-b apparatus and security protocols
US8654716B2 (en) * 2008-11-14 2014-02-18 Futurewei Technologies, Inc. System and method for name binding for multiple packet data network access
EP2377355B1 (en) * 2008-12-10 2020-08-05 Nokia Solutions and Networks Oy Assignment of a common network address to multiple network interfaces of a computing device
US8566455B1 (en) * 2008-12-17 2013-10-22 Marvell International Ltd. Method and apparatus for supporting multiple connections in 3GPP systems
US8270978B1 (en) * 2009-01-06 2012-09-18 Marvell International Ltd. Method and apparatus for performing a handover between a non-3GPP access and a 3GPP access using Gn/Gp SGSNs
US8059643B1 (en) * 2009-05-11 2011-11-15 Sprint Communications Company L.P. IPv4 and IPv6 single session on a home agent
WO2011137928A1 (en) 2010-05-04 2011-11-10 Nokia Siemens Networks Oy Packet data network connection with non-transparent interworking mode

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
3GPP Draft, "Access to private networks with S2b", S2-105489, 2010.11.09*
3GPP Draft, "Introducing user credentials in PCO for S2b", S2-102594, 2010.05.04.*
RFC 4739, "Multiple Authentication Exchanges in the IKEv2 Protocol", 2006.11.*

Also Published As

Publication number Publication date
US10581816B2 (en) 2020-03-03
EP2664100A1 (en) 2013-11-20
AU2011355322A1 (en) 2013-08-01
EP2664100B1 (en) 2018-12-05
CN103299578A (zh) 2013-09-11
BR112013017889A2 (pt) 2020-11-17
US9641525B2 (en) 2017-05-02
MX2013008150A (es) 2013-09-13
BR112013017889B1 (pt) 2021-12-07
RU2013137968A (ru) 2015-02-20
US20170149751A1 (en) 2017-05-25
WO2012095184A1 (en) 2012-07-19
US20130290722A1 (en) 2013-10-31
KR20130114727A (ko) 2013-10-17
JP2014507855A (ja) 2014-03-27
AU2011355322B2 (en) 2016-11-03

Similar Documents

Publication Publication Date Title
KR101589574B1 (ko) 비신뢰 네트워크를 통한 외부 인증 지원
US11818566B2 (en) Unified authentication for integrated small cell and Wi-Fi networks
US8176327B2 (en) Authentication protocol
KR101638908B1 (ko) 듀얼 모뎀 디바이스
US9549317B2 (en) Methods and apparatuses to provide secure communication between an untrusted wireless access network and a trusted controlled network
CN108012264B (zh) 用于802.1x载体热点和Wi-Fi呼叫认证的基于经加密的IMSI的方案
EP2087689B1 (en) Authentication in mobile interworking system
EP3020219B1 (en) Trusted wireless local area network (wlan) access scenarios
JP2023156302A (ja) 5gcnへの非3gppアクセスが許可されない失敗の対処
WO2013004905A1 (en) Trusted wireless local area network access
KR20230124621A (ko) 비-3gpp 서비스 액세스를 위한 ue 인증 방법 및 시스템
WO2011137928A1 (en) Packet data network connection with non-transparent interworking mode
US20200036715A1 (en) Mobile terminal, network node server, method and computer program
CN110226319B (zh) 用于紧急接入期间的参数交换的方法和设备
JP6189389B2 (ja) 信頼できないネットワークを介した外部認証サポート
RU2575682C2 (ru) Поддержка внешней аутентификации через незащищенную сеть
WO2020176197A2 (en) Wireless-network attack detection
WO2011162481A2 (en) Method of communicating between a wireless terminal and a packet data network

Legal Events

Date Code Title Description
A201 Request for examination
AMND Amendment
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
X091 Application refused [patent]
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20190103

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20200103

Year of fee payment: 5