KR100445422B1 - 다이아메터 기반 에이에이에이 시스템에서 티엘에스를이용한 보안 전송 계층 연결 설정 방법 - Google Patents

다이아메터 기반 에이에이에이 시스템에서 티엘에스를이용한 보안 전송 계층 연결 설정 방법 Download PDF

Info

Publication number
KR100445422B1
KR100445422B1 KR10-2001-0072224A KR20010072224A KR100445422B1 KR 100445422 B1 KR100445422 B1 KR 100445422B1 KR 20010072224 A KR20010072224 A KR 20010072224A KR 100445422 B1 KR100445422 B1 KR 100445422B1
Authority
KR
South Korea
Prior art keywords
transport layer
connection
tls
diameter
message
Prior art date
Application number
KR10-2001-0072224A
Other languages
English (en)
Other versions
KR20030041431A (ko
Inventor
유상근
김현곤
박치항
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR10-2001-0072224A priority Critical patent/KR100445422B1/ko
Publication of KR20030041431A publication Critical patent/KR20030041431A/ko
Application granted granted Critical
Publication of KR100445422B1 publication Critical patent/KR100445422B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Communication Control (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 다이아메터(Diameter) 기반 AAA 시스템에서 보안 프로토콜인 TLS(Transport Layer Security) 프로토콜을 이용하여 전송 계층 프로토콜 상에 안전한 통신 채널 설정 방법에 대한 것이다. 다이아메터 기반 AAA 시스템의 하부 전송 프로토콜로 정의된 TCP (Transmission Control Protocol) 및 SCTP (Stream Control Transmission Protocol) 상에 TLS를 이용하여 안전한 통신 채널 설정 시 전송보안이 요구되지 않는 메시지에 대하여 TLS를 사용하지 않고 직접 TCP나 SCTP로 전송하여 연결 설정시 사용되는 다이아메터의 선택(Election) 프로세스에 의해 해지될 연결에 대해 TLS 연결 설정을 방지함으로써 TLS의 Handshake Protocol 및 Record Layer 프로토콜에 의한 다이아메터 시스템의 자원 낭비 및 연결 설정 시간 지연 등의 주요 문제점을 해결할 수 있다.

Description

다이아메터 기반 에이에이에이 시스템에서 티엘에스를 이용한 보안 전송 계층 연결 설정 방법{Method of establishing secure transport connection using TLS in Diameter-based AAA system}
본 발명은 다이아메터 기반 AAA 시스템에서 TLS를 이용한 보안 전송 계층 연결 설정 방법에 관한 것으로, 좀 더 상세하게는 IMT-2000과 같은 이동통신 네트웍에서 사용자에게 자신이 속해있는 이동통신 사업자 외에 다른 사업자의 이동통신 네트웍에서 서비스를 제공하기 위한 다이아메터 기반 AAA 시스템에서 TLS를 이용한 다이아메터 노드들간 안전한 전송 계층 연결 설정하는 방법에 관한 것이다.
다이아메터 기반 AAA 시스템은 다이아메터를 기반으로 사용자에게 인증(Authentication), 권한검증(Authorization), 과금(Accounting) 서비스를 제공한다.
도 1은 일반적인 다이아메터 기반 AAA 시스템에서 다이아메터 노드들의 연결 구성도를 도시하고 있다. 도시된 바와 같이 다이아메터 노드는 다이아메터 클라이언트(Diameter Client)와 다이아메터 클라이언트에 대응하는 다이아메터 에이젼트(Diameter Agent)를 포함하여 이루어진다. 도면에서는 하나의 다이아메터 에이전트당 두 개의 다이아메터 클라이언트가 대응되어 있으며, 이러한 4개의 다이아메터 에이전트(100-400)를 총괄하는 다이아 에이전트(500)가 구비되어 있다.
일반적인 네트워크 보안의 경우에는 전송 계층인 TCP나 SCTP 상에 TLS를 설정한 후 전송계층을 통해 전송되는 모든 메시지를 암호화하고 있다. 그러나, 다이아메터 기반 AAA 시스템의 특성상 어느 하나의 다이아메터 노드는 하나 이상의 상대 다이아메터 노드와 TLS를 이용한 전송 계층 연결을 설정해야 하며, 통신 개시는 누구나 먼저 할 수 있는 Peer-to-Peer 방식이므로 기존의 클라이언트-서버 개념과는 다르다.
도 2는 도 1의 다이아메터 노드를 구성하는 기능 구성블록도를 나타낸다. 도 2를 참조하면, 다이아메터 노드는 하부 전송을 담당하는 이더넷부(Ethernet), IP부, SCTP/TCP부, 다이아메터 노드간 전송 계층 보안을 담당하는 TLS부, 다이아메터 메시지를 처리하는 다이아메터부로 구성될 수 있다.
다이아메터부는 AAA 서비스를 제공하기 위해 필요한 다이아메터 메시지를 생성 및 처리하는 기능을 가지고 TLS는 다이아메터 메시지를 전송계층을 통해 상대 다이아메터 노드에게 전달할 때 보안을 위해 암호화하는 기능을 제공한다.
이더넷부를 포함한 IP부와 SCTP/TCP부는 암호화된 다이아메터 메시지를 전송 계층을 통해 상대 다이아메터 노드로 전송하거나, 상대 다이아메터 노드로부터 다이아메터 메시지를 수신하는 기능을 수행한다.
편의상 하부 전송을 담당하는 이더넷부, IP부, SCTP/TCP부를 통칭하여 TLB(Transport Layer Block)라 하면, 도 3과 같이 표시할 수 있다.
도 4는 종래의 다이아메터 기반 AAA 시스템에서 TLS를 이용한 기존의 보안 전송 계층 설정시 하나의 노드가 연결설정을 개시하는 흐름도이다.
도 4를 참조하면, 우선, 다이아메터 에이전트A(100)는 통신 개시자로서 다이아메터 에이전트B(200)에게 연결설정 요청 메시지를 전송하여 전송 계층 연결 설정을 요청한다(S1). 다이아메터 에이전트B(200)는 응답자로서 동작하여 개시자의 연결 요청을 처리한 후 개시자에게 응답 메시지를 보낸다(S2). 응답 메시지를 수신한 다이아메터 에이전트A(100)는 TLS 연결 설정을 수행한다(S3). TLS 연결이 설정되면, 통신 개시자(100)는 다이아메터 세부 기능 지원 등의 정보를 교환하기 위해 CER 메시지를 전송한다(S4). 통신 개시자(100)로부터 CER 메시지를 받은 응답자(200)는 CER 메시지를 처리한 후 자신의 Diameter 세부 지원 기능 등의 정보를 포함한 CEA 메시지를 전송한다(S5).
도 5는 종래의 다이아메터 기반 AAA 시스템에서 TLS를 이용한 기존의 보안 전송 계층 설정시 두 개의 노드가 동시에 연결 설정을 개시하는 흐름도이다. 도 5를 참조하여 종래의 다이아메터 기반 AAA 시스템에서 TLS를 이용한 효율적인 보안 전송 계층 설정 방법에 대한 정보 흐름도 중 두 개의 노드가 동시에 연결 설정을 개시하는 경우를 살펴보자.
두개의 노드가 동시에 연결 설정을 시작하는 경우 다음과 같은 절차로 진행된다. 우선 다이아메터 에이전트 A(100)에 대한 다이아메터 에이전트 B(200)의 연결 및 TLS 연결이 유지된 상태에서(S11) 통신 개시자(다이아메터 에이전트 A)(100)가 상대(다이아메터 에이전트 B)(200)에게 전송 계층 연결 설정을 요청한다(S12).
다이아메터 에이전트B(200)는 다이아메터 세부 기능 지원 등의 정보를 교환하기 위해 자신의 CER 메시지를 전송하고(S13), 다이아메터 에이전트A(100)에서는 CER 메시지를 받아 CER 메시지를 처리한다. 다이아메터 에이전트B(200)에서 연결응답 메시지를 전송하고(S15), 응답 메시지를 수신한 다이아메터 에이전트A(100)는 TLS 연결 설정을 수행한다(S16).
다이아메터 에이전트A(100)에서도 다이아메터 세부 기능 지원 등의 정보를 교환하기 위해 자신의 CER 메시지를 전송하고(S17), 각 통신 개시자로부터 CER 메시지를 받은 각 응답자들은 CER 메시지를 처리한 후 2개의 전송 계층 연결 중 하나를 선택하기 위한 선택 프로세스를 수행하게 된다(S18).
이때, 다이아메터 규격에서 정의한 선택 프로세스에서 승리한 응답자는 자신이 개시자가 된 연결(outgoing connection)을 해지한 후(S19, S20) 자신의 CEA 메시지를 다이아메터 에이전트B(200)에게 전송한다(S21). 다이아메터 에이전트A(100)로부터 CEA 메시지를 받은 다이아메터 에이전트B(200)는 상대가 요청한 연결(incoming connection)을 해지하고(S22), TLS 연결을 해제한다(S23).
이와 같이 종래의 경우, 전송 계층으로 전달되는 모든 다이아메터 메시지들이 TLS로 설정된 보안 채널로 전달되어야 하므로 연결 설정시 필요한 CER(Capabilities-Exchange-Request), CEA(Capabilities-Exchange-Answer), DPR(Disconnect-Peer-Request), DPA(Disconnect-Peer-Answer), DWR(Device-Watchdog-Request)과 DWA(Device-Watchdog-Answer)와 같은 다이이아메터 메시지들을 교환하기 위해서는 반드시 전송 계층 연결 설정과 동시에 TLS 연결 설정을 해야 한다.
다이아메터에서는 한 쌍의 다이아메터 노드가 두 개 이상의 연결을 가질 수 없다. 따라서, 한 쌍의 다이아메터 노드가 동시에 연결을 설정하는 경우 두 개의TLS 연결 중 선택(Election) 프로세스에 의해 선택되지 않은 TLS 연결은 해지된다.
이와 같이 기존의 방식에서는 동일한 다이아메터 노드의 쌍이 동시에 전송 계층 연결을 시도할 경우 먼저 TLS를 이용하여 안전한 전송 계층 연결을 설정한 후 선택 프로세스에 의하여 2개의 전송 계층 연결 중 하나만 선택하게 된다. 따라서, 기 설정된 하나의 전송 계층 연결은 해지 되어야 한다. TCP나 SCTP상에 TLS를 이용하여 안전한 전송 계층 연결을 설정하는 경우 TLS의 특성상 TLS Handshake 프로토콜을 사용하게 되는데 TLS Handshake 프로토콜은 시스템의 입장에서 보면 상당한 시간과 컴퓨터 자원이 필요한 작업이다.
기존의 방법에서는 모든 전송 계층에 TLS를 설정한 후 선택 프로세스에 의해 선택되지 않은 연결은 해지하게 되므로 시간의 낭비와 컴퓨터 자원의 낭비를 초래하는 단점이 있다.
본 발명은 이러한 문제점을 해결하기 위해 안출된 것으로, 다이아메터 노드의 자원 사용과 프로세스 처리시간을 단축시켜 보다 안정적이고 효율적인 AAA 시스템을 지원하기 위한 다이아메터 기반 AAA 시스템의 다이아메터 노드간의 전송계층 연결방법을 제공하는데 그 목적이 있다.
도 1은 일반적인 다이아메터 기반 AAA 시스템에서 다이아메터 노드들의 연결 구성도.
도 2는 도 1의 다이아메터 노드를 구성하는 기능 블록도.
도 3은 도 2의 변형도.
도 4은 종래의 다이아메터 기반 AAA 시스템에서 TLS를 이용한 기존의 보안 전송 계층 설정시 하나의 노드가 연결설정을 개시하는 흐름도.
도 5은 종래의 다이아메터 기반 AAA 시스템에서 TLS를 이용한 기존의 보안 전송 계층 설정시 두 개의 노드가 동시에 연결 설정을 개시하는 흐름도.
도 6은 본 발명에 따른 다이아메터 기반 AAA 시스템에서 TLS를 이용한 보안 전송 계층 설정시 하나의 노드가 연결 설정을 개시하는 흐름도.
도 7은 본 발명에 따른 다이아메터 기반 AAA 시스템에서 TLS를 이용한 보안 전송 계층 설정시 두 개의 노드가 동시에 연결 설정을 개시하는 흐름도.
<도면의 주요부분에 대한 부호의 설명>
100-500 : 다이아메터 에이전트
이러한 목적을 달성하기 위한 본 발명에 따른 다이아메터 기반 AAA 시스템에서 다이아메터 노드간 전송 계층 연결 설정 방법의 일측면에 의하면, 다이아메터 기반 AAA 시스템에서 다이아메터 노드간 전송 계층 연결을 설정하는 방법에 있어서, 통신을 개시하기 위해 네트워크를 통해 통신상대자에게 전송 계층의 연결 설정을 요청하는 단계와, 통신 상대자로부터 연결설정 요청에 대한 응답 메시지가 수신되는 경우, 다이아메터 세부 기능 지원 등의 정보를 교환하기 위해 CER 메시지를 전송하는 단계와, 통신 상대자로부터 CER 메시지에 대한 통신 상대자의 다이아메터 세부 지원 기능 등의 정보를 포함한 CEA 메시지가 수신되는 경우, 그 CEA 메시지를 처리하고 통신 상대자 사이에 설정된 전송 계층 연결 위에 TLS 연결을 설정하는 단계를 수행한다.
또한, 본 발명에 따른 다이아메터 기반 AAA 시스템에서 다이아메터 노드간 전송 계층 연결 설정 방법의 일측면에 의하면, 다이아메터 기반 AAA 시스템에서 다이아메터 노드간 전송 계층 연결을 설정하는 방법에 있어서, 통신을 개시하기 위해 네트워크를 통해 통신 상대자에게 전송 계층의 연결 설정을 요청하여 통신 상대자로부터 연결설정 요청에 대한 응답 메시지가 수신되는 경우, 다이아메터 세부 기능 지원 등의 정보를 교환하기 위해 CER 메시지를 전송하는 단계와, 통신 상대자로부터 네트워크를 통해 전송 계층의 연결 설정을 요청하는 신호를 수신하는 경우, 그 연결 설정 요청에 대한 응답 메시지를 통신 상대자에게 전송하여 통신 상대자로부터 다이아메터 세부기능 지원등의 정보를 교환하기 위한 CER 메시지를 수신하는 경우, 그 CER 메시지를 처리하는 단계와, 2개의 전송 계층 연결 중 다이아메터 규격에 정의한 선택 프로세스에 의하여 하나를 선택하는 단계와, a)선택된 전송 계층연결이 자신이 개시한 전송 계층인 경우, 그 전송 계층 연결을 해지하고, 자신의 CEA 메시지를 상대 통신 개시자에게 전송하고, b) 통신 상대자로부터 CEA 메시지를 수신하는 경우, 그 CEA 메시지를 처리하고, 상대가 요청한 연결을 해지하는 단계와, 통신 개시자와 설정된 전송 계층 연결 위에 TLS 연결을 설정하는 단계를 수행한다.
또한, 본 발명에 따른 다이아메터 기반 AAA 시스템에서 다이아메터 노드간 전송 계층 연결 설정 방법을 수행하기 위한 기록매체의 일측면에 의하면, 다이아메터 기반 AAA 시스템에서 다이아메터 노드간 전송 계층 연결을 설정하는 방법을 수행하기 위하여, 디지탈 처리장치에 의해 실행될 수 있는 명령어들의 프로그램이 유형적으로 구현되어 있으며, 디지탈 처리장치에 의해 판독될 수 있는 기록매체에 있어서, 통신을 개시하기 위해 네트워크를 통해 통신상대자에게 전송 계층의 연결 설정을 요청하는 단계와, 통신 상대자로부터 연결설정 요청에 대한 응답 메시지가 수신되는 경우, 다이아메터 세부 기능 지원 등의 정보를 교환하기 위해 CER 메시지를 전송하는 단계와, 통신 상대자로부터 CER 메시지에 대한 통신 상대자의 다이아메터 세부 지원 기능 등의 정보를 포함한 CEA 메시지가 수신되는 경우, 그 CEA 메시지를 처리하고 통신 상대자 사이에 설정된 전송 계층 연결 위에 TLS 연결을 설정하는 단계를 포함한다.
이와 같이 본 발명에서는 다이아메터 노드간 안전한 전송 계층 설정 시 선택 프로세스에 의하여 최종적인 전송 계층 연결을 설정 한 후 해당 전송 연결에 TLS를 설정하는 구조를 가지고 있다. 따라서, 프로세스에 의해 해지 될 전송 계층 연결에는 TLS를 설정하지 않으며, 전송 계층을 통해 전송되는 사용자 데이터를 안전하게 보호할 수 있게 된다.
본 발명의 핵심은 다이아메터 노드간 안전한 전송 계층 설정 시 교환되는 다이아메터 메시지는 전송 보안이 필요하지 않으므로, 선택 프로세스에 의하여 최종적인 전송 계층 연결을 설정 한 후 해당 전송 연결에 TLS를 설정하는데 있다.
또한, 이하에서 인용하는 표는 발명이 기초로 하고 있는 다이아메터 베이스 프로토콜(Diameter Base Protocol)이라는 규격서에 명시되어 있는 내용이며, 표에 들어간 단어 하나하나를 자세히 설명한다는 것은 다아아메타 베이스 프로토콜 규격서를 설명한다는 것이므로 자세한 설명은 생략하기로 한다.
본 발명의 경우, 선택 프로세스 전에는 어떠한 전송 계층 연결에도 TLS가 설정되지 않는다. 다이아메터 규격에서는 전송 계층으로 데이터를 전달하는 경우 보안이 필요한 메시지와 보안이 필요하지 않은 메시지를 정의했는데 이를 표 4에 표시하였다.
Diameter 규격에서 전송 계층 연결을 설정할 때 표 1과 표2의 스테이트 머신(State Machine)을 가지고 연결을 설정하게 된다. 표 1과 표 2의 스테이트 머신은 다이아메터 규격서에 기재되어 있는 다이아메터 피어 스테이트 머신(Diameter Peer State Machine)으로 다이아메터 노드가 전송 계층 연결을 설정할 때 사용되는 단계로 동일한 다이아메터 쌍이 동시에 전송 계층 설정을 개시할 경우 처리하는 절차를 포함하고 있다. 현재 다이아메터 규격이 완전히 정의되어 있지 않아 변경될 가능성이 있지만, 다이아메터 피어 스테이트 머신의 변경이 본 발명에는 영향을 미치지 않는다.
State Event Action Next state
Closed StartR-Conn-CER I-Snd-Conn-ReqR-Accept,Process-CER,R-Snd-CEA Wait-Conn-AckR-Open
Wait-Conn-Ack I-Rcv-Conn-AckI-Rcv-Conn-NackR-Conn-CERTimeout I-Snd-CERCleanupR-Accept,Process-CERError Wait-I-CEAClosedWait-Conn-Ack/ElectClosed
Wait-I-CEA I-Rcv-CEAR-Conn-CERI-Peer-DiscI-Rcv-DPRI-Rcv-Non-CEATimeout Process-CEAR-Accept,Process-CER, ElectI-DiscI-Snd-DPAErrorError I-OpenWait-ReturnsClosedClosingClosedClosed
Wait-Conn-Ack/Elect I-Rcv-Conn-AckI-Rcv-Conn-NackR-Peer-DiscR-Rcv-DPRR-Conn-CERTimeout I-Snd-CER, ElectR-Snd_CEAR-DiscR-Snd-DPA, R-DiscR-RejectError Wait-ReturnsR-OpenWait-Conn-AckWait-Conn-AckWait-Conn-Ack/ElectClosed
Wait-Returns Win-ElectionI-Rcv-DPRI-Rcv-CEAR-Peer-DiscR-Rcv-DPRR-Conn-CERTimeout I-Disc, R-Snd-CEAI-Snd-DPA,R-Snd-CEAR-Snd-DPRR-DiscR-Snd-DPA, R-DiscR-RejectError R-OpenR-OpenI-OpenWait-I-CEAWait-I-CEAWait-ReturnsClosed
R-Open Send-MessageR-Rcv-MessageWatchDog-TimerR-Rcv-DWRR-Rcv-DWAR-Conn-CERStopR-Rcv-DPRR-Peer-DiscR-Rcv-CERR-Rcv-CEA R-Snd-MessageProcessR-Snd-DWRProcess-DWR,R-Snd-DWAProcess-DWAR-RejectR-Snd-DPRR-Snd-DPA, R-DiscR-DiscErrorError R-OpenR-OpenR-OpenR-OpenR-OpenR-OpenClosingClosedClosedClosedClosed
I-Open Send-MessageI-Rcv-MessageWatchDog-TimerI-Rcv-DWRI-Rcv-DWAR-Conn-CERStopI-Rcv-DPRI-Peer-DiscI-Rcv-CERI-Rcv-CEA I-Snd-MessageProcessR-Snd-DWRProcess-DWR,R-Snd-DWAProcess-DWAR-RejectI-DiscI-Snd-DPA, I-DiscI-Snd-DPRErrorError I-OpenI-OpenI-OpenI-OpenI-OpenI-OpenClosedClosedClosingClosedClosed
Closing I-Rcv-DPAR-Rcv-DPATimeout I-DiscR-DiscError ClosedClosedClosed
다이아메터 규격에서 전송 계층 연결을 설정할 때 교환되는 다이아메터 명령어들은 위 다이아메터 피어 스테이트 머신에 표시되어 있듯이 CER, CEA, DPR, DPA, DWR, DWA 등이다.
위 메시지에서 연결 설정에 필수적인 메시지는 CER 메시지와 CEA 메시지이다. 이 메시지들은 연결을 설정할 때 자신의 다이아메터 세부 지원 기능 등의 정보를 상대와 교환하는 메시지로 전송 계층 연결 설정에 필수적인 메시지들이다.
각각의 다이아메터 명령어들에 대한 내부 다이아메터 메시지의 구성은 다음과 같다.
Capabilities-Exchange-Request (CER) : : =1******* <Diameter Header: 257, REQ>{Origin-Host}{Origin-Realm}{Host-IP-Address}{Vendor-Id}{Product-Name}[Origin-State-Id][Supported-Vendor-Id][Auth-Application-Id][Acct-Application-Id][Alternate-Peer][Destination-Host][Firmware-Revision][AVP]
Capabilities-Exchange-Answer (CEA) : : =1******* <Diameter Header: 257>{Origin-Host}{Origin-Realm}{Host-IP-Address}{Vendor-Id}{Product-Name}[Origin-State-Id][Supported-Vendor-Id][Auth-Application-Id][Acct-Application-Id][Alternate-Peer][Destination-Host][Firmware-Revision][AVP]
Disconnect-Peer-Request (DPR) : : = <Diameter Header: 282, REQ >{Origin-Host}{Origin-Realm}{Destination-Host}{Disconnect-Cause}
Disconnect-Peer-Answer (DPA) : : = < Diameter Header: 282 >{Result-Code}{Origin-Host}{Origin-Realm}
Device-Watchdog-Request (DWR) : : = < Diameter Header: 280, REQ >{Origin-Host}{Origin-Realm}{Destination-Host}
Device-Watchdog-Answer (DWA) : : = < Diameter Header: 280 >{Result-Code}{Origin-Host}{Origin-Realm}
다음은 Diameter 규격서에 기재되어 있는 전송 보안이 필요한 Diameter 메시지이다.
Diameter 규격서에 기재되어 있는 전송 보안이 필요한 메시지
Attribute Name Need encryption?
Accounting-Interim-Interval Yes
Accounting-Multi-Session-Id Yes
Accounting-Record-Number Yes
Accounting-Record-Type Yes
Accounting-Session-Id Yes
Class Yes
Multi-Round-Time-Out Yes
Session-Id Yes
Session-Binding Yes
Session-Server-Failover Yes
User-Name Yes
Origin-Host No
Origin-Realm No
Host-IP-Address No
Vendor-Id No
Product-Name No
Origin-State-Id No
Supported-Vendor-Id No
Auth-Application-Id No
Acct-Application-Id No
Alternate-Peer No
Destination-Host No
Firmware-Revision No
................. No
위 표 3과 표 4에서 알 수 있듯이 각각의 명령어를 구성하는 다이아메터 메시지들은 전송 보안이 필요하지 않은 메시지들이다.
본 발명에서는 선택 프로세스를 거쳐 최종 선택된 전송 계층 연결에 대해 TLS를 설정하므로 선택 프로세스에 의해 해지 되는 TLS 연결은 존재하지 않는다.
본 발명에서 TLS 설정을 포함한 전송 계층 연결 설정은 두 가지 경우를 모두 포함한다. 하나는 단순 연결 설정의 경우로 한 쌍의 다이아메터 노드가 동시에 연결을 설정하지 않고 어느 하나만 연결을 설정하는 경우이며, 다른 하나는 동시에 연결을 설정하는 경우이다.
하나의 노드만이 연결 설정을 시작하는 경우 다음과 같은 절차로 진행된다.
도 6은 본 발명이 적용된 전송 계층 연결 설정 흐름도이다. 도 6을 참조하여 본 발명에 따른 다이아메터 기반 AAA 시스템에서 TLS를 이용한 효율적인 보안 전송 계층 설정 방법에 대한 정보 흐름도 중 하나의 노드가 연결 설정을 개시하는경우를 살펴보자.
우선, 통신 개시자가 상대에게 연결설정 요청 메시지를 전송하여 전송 계층 연결 설정을 요청한다(S31). 응답자는 개시자의 연결 요청을 처리한 후 개시자에게 응답 메시지를 보낸다(S32). 응답자로부터 응답 메시지를 받은 통신 개시자는 다이아메터 세부 기능 지원 등의 정보를 교환하기 위해 CER 메시지를 전송한다(S33). 통신 개시자로부터 CER 메시지를 받은 응답자는 CER 메시지를 처리한 후 자신의 Diameter 세부 지원 기능 등의 정보를 포함한 CEA 메시지를 전송한다(S34). 응답자로부터 CEA 메시지를 받은 통신 개시자는 CEA 메시지를 처리한 후 통신 개시자와 응답자는 설정된 전송 계층 연결 위에 TLS 연결을 설정한다(S35).
도 7은 본 발명에 따른 전송 계층 설정 흐름도이다. 도 7을 참조하여 본 발명에 따른 다이아메터 기반 AAA 시스템에서 TLS를 이용한 효율적인 보안 전송 계층 설정 방법에 대한 정보 흐름도 중 두 개의 노드가 동시에 연결 설정을 개시하는 경우를 살펴보자.
두개의 노드가 동시에 연결 설정을 시작하는 경우 다음과 같은 절차로 진행된다. 우선 통신 개시자(다이아메터 에이전트 A)(100)가 상대(다이아메터 에이전트 B)(200)에게 전송 계층 연결 설정을 요청한다(S41). 또 다른 통신 개시자(다이아메터 에이전트 B)(100)가 상대(다이아메터 에이전트 A)(100)에게 전송 계층 연결 설정을 요청한다(S42). 따라서, 다이아메터 에이전트 A(100) 및 다이아메터 에이전트 B(200)는 서로에 대하여 통신 개시자가 됨과 동시에 상대편측에서 보면 통신 개시자의 응답자로써 동작하게 된다.
각 응답자는 자신이 수신한 전송 계층 연결 설정 요청을 처리한 후(S43, S44) 연결 응답 메시지를 전송한다(S45, S46). 연결 설정 요청에 대한 응답 메시지를 수신한 각 통신 개시자들은 다이아메터 세부 기능 지원 등의 정보를 교환하기 위해 자신의 CER 메시지를 전송한다(S47, S48).
각 통신 개시자로부터 CER 메시지를 받은 각 응답자들은 CER 메시지를 처리한 후 2개의 전송 계층 연결 중 하나를 선택하기 위한 선택 프로세스를 수행하게 된다(S49).
이때, 다이아메터 규격에서 정의한 선택 프로세스에서 승리한 응답자는 자신이 개시자가 된 연결(outgoing connection)을 해지한 후(S50) 자신의 CEA 메시지를 상대 통신 개시자에게 전송한다(S51). 응답자로부터 CEA 메시지를 받은 통신 개시자는 CEA 메시지를 처리하고, 상대가 요청한 연결(incoming connection)을 해지한다(S52). 통신 개시자와 통신 응답자는 설정된 전송 계층 연결 위에 TLS 연결을 설정한다(S53).
이상에서 설명한 본 발명은 전술한 절차 및 도면에 의해 한정되는 것이 아니고,다이아메터의 선택 프로세스에 의해 연결이 해지 되는 경우 TLS 연결 설정을 하지 않는다는 본 발명의 기술적 아이디어를 벗어나지 않는 범위 내에서 여러 가지 방법들이 사용될 수 있다는 것이 본 발명이 속하는 기술분야에서 통상의 지식을 가지고 있는 자에게 있어 명백할 것이다.
이상에서 설명한 바와 같이 본 발명은, 다이아메터 기반 AAA 시스템에서 다이아메터 노드간에 전송 계층 연결을 설정할 때 다이아메터 노드들 간에 교환되는 CER과 CEA 등의 메시지와 같이 전송 보안이 필요 없는 다이아메터 메시지들에 대하여 TLS를 이용한 보안을 취하지 않고 전송 계층 연결로 직접 전달하며, 두 개의 다이아메터 노드가 동시에 연결 설정을 개시하는 경우 선택 프로세스에 의해 최종의 전송 계층 연결이 선택된 후 선택된 연결에 TLS 연결을 설정하여 이미 설정된 TLS 연결이 선택 프로세스의 결과에 의해 해지되는 것을 방지할 수 있다.TLS 연결을 설정하는 경우 두 노드간 네트워크를 통한 4번의 메시지 교환이 필요하다. 네트워크 지연이 거의 발생하지 않는 동일 네트워크 상에 TCP 전송 프로토콜을 이용하여 하나의 TLS 연결을 설정하는 경우 컴퓨터 성능에 따라 약간의 차이가 발생하지만 0.24초 가량 소요된다. 만일 네트워크 지연이 발생하는 경우라면 시간은 0.24초를 초과하게 되며, 다수의 TLS 연결을 생성하는 경우라면 위의 시간을 훨씬 초과하게 된다.또한 설정된 TLS를 이용하여 데이터를 송수신하는 방법을 TLS를 이용하지 않은 방법과 비교하는 경우 약 2배 가량의 시간이 필요한 것이 실험의 결과를 통해 알 수 있었다. TLS에서 사용되는 암호화 및 복호화 연산은 많은 양의 컴퓨팅 자원을 필요로 하는 대표적인 컴퓨팅 연산이기 때문에 필요치 않은 암호화 및 복호화 연산을 줄이는 것이 컴퓨팅 자원관리하는 면에서 효율이 좋다.
따라서, 본 발명을 적용하는 경우 필요하지 않은 TLS 연결 설정을 제거할 수 있으므로 TLS 연결을 설정하는데 필요한 시간을 단축할 수 있고, CER과 CEA 메시지를 TLS 연결을 이용하지 않고 전송 계층 연결로 직접 전달하기 때문에 위에서 언급한 데이터 처리시간을 단축할 수 있으며, 또한 컴퓨팅 자원들을 효율적으로 관리할 수 있게 되므로 동일한 AAA 시스템에서 본 발명을 적용할 경우 더욱 효율적이고 안정적인 시스템을 구축할 수 있는 효과가 있다.

Claims (7)

  1. 다이아메터 기반 AAA 시스템에서 다이아메터 노드간 전송 계층 연결을 설정하는 방법에 있어서,
    통신을 개시하기 위해 네트워크를 통해 통신상대자에게 전송 계층의 연결 설정을 요청하는 단계와,
    상기 통신 상대자로부터 상기 연결설정 요청에 대한 응답 메시지가 수신되는 경우, 다이아메터 세부 기능 지원 등의 정보를 교환하기 위해 CER 메시지를 전송하는 단계와,
    상기 통신 상대자로부터 상기 CER 메시지에 대한 통신 상대자의 다이아메터 세부 지원 기능 등의 정보를 포함한 CEA 메시지가 수신되는 경우, 그 CEA 메시지를 처리하고 상기 통신 상대자 사이에 설정된 전송 계층 연결 위에 TLS 연결을 설정하는 단계를 수행하는 다이아메터 기반 AAA 시스템에서 TLS를 이용한 보안 전송 계층 연결 설정 방법.
    (단 CER:Capabilities-Exchange-Request , CEA:Capabilities-Exchange-Answer)
  2. 제 1항에 있어서,
    상기 전송 계층의 연결 설정을 요청하는 단계에서, TCP (TransmissionControl Protocol) 전송 프로토콜 또는 SCTP (Stream Control Transmission Protocol) 전송 프로토콜을 이용하는 다이아메터 기반 AAA 시스템에서 TLS를 이용한 보안 전송 계층 연결 설정 방법.
  3. 다이아메터 기반 AAA 시스템에서 다이아메터 노드간 전송 계층 연결을 설정하는 방법에 있어서,
    통신을 개시하기 위해 네트워크를 통해 통신상대자에게 전송 계층의 연결 설정을 요청하여 상기 통신 상대자로부터 상기 연결설정 요청에 대한 응답 메시지가 수신되는 경우, 다이아메터 세부 기능 지원 등의 정보를 교환하기 위해 CER 메시지를 전송하는 단계와,
    상기 통신 상대자로부터 네트워크를 통해 전송 계층의 연결 설정을 요청하는 신호를 수신하는 경우, 그 연결 설정 요청에 대한 응답 메시지를 상기 통신 상대자에게 전송하여 상기 통신 상대자로부터 다이아메터 세부기능 지원등의 정보를 교환하기 위한 CER 메시지를 수신하는 경우, 그 CER 메시지를 처리하는 단계와,
    상기 2개의 전송 계층 연결 중 다이아메터 규격에 정의한 선택 프로세스에 의하여 하나를 선택하는 단계와,
    a)상기 선택된 전송 계층 연결이 자신이 개시한 전송 계층인 경우, 그 전송 계층 연결을 해지하고, 자신의 CEA 메시지를 상대 통신 개시자에게 전송하고,
    b)상기 통신 상대자로부터 CEA 메시지를 수신하는 경우, 그 CEA 메시지를 처리하고, 상대가 요청한 연결을 해지하는 단계와,
    상기 통신 개시자와 설정된 전송 계층 연결 위에 TLS 연결을 설정하는 단계를 수행하는 다이아메터 기반 AAA 시스템에서 TLS를 이용한 보안 전송 계층 연결 설정 방법.
    (단 CER:Capabilities-Exchange-Request , CEA:Capabilities-Exchange-Answer)
  4. 제 3항에 있어서, 상기 TLS 연결을 설정하는 단계에서,
    상기 통신상대자를 TLS 서버로 하여 자신은 TLS 클라이언트로 동작하는 다이아메터 기반 AAA 시스템에서 TLS를 이용한 보안 전송 계층 연결 설정 방법.
  5. 제 3항에 있어서, 상기 TLS 연결을 설정하는 단계에서,
    상기 통신 상대자를 TLS 클라이언트로 하여 자신은 TLS 서버로 동작하는 다이아메터 기반 AAA 시스템에서 TLS를 이용한 보안 전송 계층 연결 설정 방법.
  6. 다이아메터 기반 AAA 시스템에서 TLS를 이용한 보안 전송 계층 연결 설정 방법을 수행하기 위하여, 디지탈 처리장치에 의해 실행될 수 있는 명령어들의 프로그램이 유형적으로 구현되어 있으며, 디지탈 처리장치에 의해 판독될 수 있는 기록매체에 있어서,
    통신을 개시하기 위해 네트워크를 통해 통신상대자에게 전송 계층의 연결 설정을 요청하는 단계와,
    상기 통신 상대자로부터 상기 연결설정 요청에 대한 응답 메시지가 수신되는 경우, 다이아메터 세부 기능 지원 등의 정보를 교환하기 위해 CER 메시지를 전송하는 단계와,
    상기 통신 상대자로부터 상기 CER 메시지에 대한 통신 상대자의 다이아메터 세부 지원 기능 등의 정보를 포함한 CEA 메시지가 수신되는 경우, 그 CEA 메시지를 처리하고 상기 통신 상대자 사이에 설정된 전송 계층 연결 위에 TLS 연결을 설정하는 단계를 포함하는 기록매체.
    (단 CER:Capabilities-Exchange-Request , CEA:Capabilities-Exchange-Answer)
  7. 다이아메터 기반 AAA 시스템에서 TLS를 이용한 보안 전송 계층 연결 설정 방법을 수행하기 위하여, 디지탈 처리장치에 의해 실행될 수 있는 명령어들의 프로그램이 유형적으로 구현되어 있으며, 디지탈 처리장치에 의해 판독될 수 있는 기록매체에 있어서,
    통신을 개시하기 위해 네트워크를 통해 통신상대자에게 전송 계층의 연결 설정을 요청하여 상기 통신 상대자로부터 상기 연결설정 요청에 대한 응답 메시지가 수신되는 경우, 다이아메터 세부 기능 지원 등의 정보를 교환하기 위해 CER 메시지를 전송하는 단계와,
    상기 통신 상대자로부터 네트워크를 통해 전송 계층의 연결 설정을 요청하는 신호를 수신하는 경우, 그 연결 설정 요청에 대한 응답 메시지를 상기 통신 상대자에게 전송하여 상기 통신 상대자로부터 다이아메터 세부기능 지원등의 정보를 교환하기 위한 CER 메시지를 수신하는 경우, 그 CER 메시지를 처리하는 단계와,
    상기 2개의 전송 계층 연결 중 다이아메터 규격에 정의한 선택 프로세스에 의하여 하나를 선택하는 단계와,
    a)상기 선택된 전송 계층 연결이 자신이 개시한 전송 계층인 경우, 그 전송 계층 연결을 해지하고, 자신의 CEA 메시지를 상대 통신 개시자에게 전송하고,
    b)상기 통신 상대자로부터 CEA 메시지를 수신하는 경우, 그 CEA 메시지를 처리하고, 상대가 요청한 연결을 해지하는 단계와,
    상기 통신 개시자와 설정된 전송 계층 연결 위에 TLS 연결을 설정하는 단계를 포함하는 기록매체.
    (단 CER:Capabilities-Exchange-Request , CEA:Capabilities-Exchange-Answer)
KR10-2001-0072224A 2001-11-20 2001-11-20 다이아메터 기반 에이에이에이 시스템에서 티엘에스를이용한 보안 전송 계층 연결 설정 방법 KR100445422B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2001-0072224A KR100445422B1 (ko) 2001-11-20 2001-11-20 다이아메터 기반 에이에이에이 시스템에서 티엘에스를이용한 보안 전송 계층 연결 설정 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2001-0072224A KR100445422B1 (ko) 2001-11-20 2001-11-20 다이아메터 기반 에이에이에이 시스템에서 티엘에스를이용한 보안 전송 계층 연결 설정 방법

Publications (2)

Publication Number Publication Date
KR20030041431A KR20030041431A (ko) 2003-05-27
KR100445422B1 true KR100445422B1 (ko) 2004-08-25

Family

ID=29570318

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2001-0072224A KR100445422B1 (ko) 2001-11-20 2001-11-20 다이아메터 기반 에이에이에이 시스템에서 티엘에스를이용한 보안 전송 계층 연결 설정 방법

Country Status (1)

Country Link
KR (1) KR100445422B1 (ko)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7882251B2 (en) 2003-08-13 2011-02-01 Microsoft Corporation Routing hints
US8266294B2 (en) 2003-08-13 2012-09-11 Microsoft Corporation Routing hints

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001031843A2 (en) * 1999-10-22 2001-05-03 Nomadix, Inc. Systems and methods for providing dynamic network authorization, authentication and accounting
KR20010063809A (ko) * 1999-12-24 2001-07-09 오길록 멀티프로토콜 레이블 스위칭망에서의 인증된레이블스위칭경로 설정을 위한 레이블분배프로토콜메시지의 처리방법
KR20010097608A (ko) * 2000-04-25 2001-11-08 권도균 웹 보안 프로토콜을 이용한 통신방법
KR20020076906A (ko) * 2001-03-31 2002-10-11 (주) 엘지텔레콤 모바일아이피가 부여된 휴대폰을 이용한데이터송수신방법

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001031843A2 (en) * 1999-10-22 2001-05-03 Nomadix, Inc. Systems and methods for providing dynamic network authorization, authentication and accounting
KR20010063809A (ko) * 1999-12-24 2001-07-09 오길록 멀티프로토콜 레이블 스위칭망에서의 인증된레이블스위칭경로 설정을 위한 레이블분배프로토콜메시지의 처리방법
KR20010097608A (ko) * 2000-04-25 2001-11-08 권도균 웹 보안 프로토콜을 이용한 통신방법
KR20020076906A (ko) * 2001-03-31 2002-10-11 (주) 엘지텔레콤 모바일아이피가 부여된 휴대폰을 이용한데이터송수신방법

Also Published As

Publication number Publication date
KR20030041431A (ko) 2003-05-27

Similar Documents

Publication Publication Date Title
EP1374533B1 (en) Facilitating legal interception of ip connections
US6584567B1 (en) Dynamic connection to multiple origin servers in a transcoding proxy
US8090107B2 (en) Key agreement and re-keying over a bidirectional communication path
CN100592731C (zh) 端到端加密数据电信的合法侦听
CN107612899B (zh) 一种基于量子密钥的OpenVPN安全通信方法和通信系统
JP4755203B2 (ja) ホスト・アイデンティティ・プロトコルの方法および装置
US20060002426A1 (en) Header compression negotiation in a telecommunications network using the protocol for carrying authentication for network access (PANA)
CN109417536A (zh) 用于管理内容递送网络中的安全内容传输的技术
WO2004040936A2 (en) Session updating procedure for authentication, authorization and accounting
WO2003014935A1 (en) Efficient security association establishment negotiation technique
CA2527550A1 (en) Method for securely associating data with https sessions
US8788821B2 (en) Method and apparatus for securing communication between a mobile node and a network
WO2006003631A1 (en) Domain name system (dns) ip address distribution in a telecommunications network using the protocol for carrying authentication for network access (pana)
GB2411086A (en) Secure communication between terminals over a local channel using encryption keys exchanged over a different network
KR100445422B1 (ko) 다이아메터 기반 에이에이에이 시스템에서 티엘에스를이용한 보안 전송 계층 연결 설정 방법
Ventura Diameter: Next generations AAA protocol
CN113382410B (zh) 通信方法和相关装置及计算机可读存储介质
JP2006053799A (ja) 端末装置、ファイアウォール装置、及びファイアウォール装置制御のための方法、並びにプログラム
CN111431858B (zh) 一种面向路由报文的集中化安全传输与认证方法
KR102553166B1 (ko) 비프록시 기반 다중 경로 전송 시스템, 그리고 이의 세션 연결을 위한 인증 방법
Chamuczynski et al. Enabling pervasiveness by seamless inter-domain handover: performance study of pana pre-authentication
Xenakis et al. Alternative Schemes for Dynamic Secure VPN Deployment in UMTS
Komninos et al. Modified WAP for secure voice and video communication
KR100609704B1 (ko) 이동 아이피 환경에서의 종단간 보안 설정 방법 및 설정장치
KR20120019206A (ko) Diameter 프로토콜의 TLS 사용시 통신 호 끊김 방지 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20100802

Year of fee payment: 7

LAPS Lapse due to unpaid annual fee