KR100449489B1 - 이동 노드와 홈 다이아메터 서버간의 aaa 비밀키재발급 방법 - Google Patents

이동 노드와 홈 다이아메터 서버간의 aaa 비밀키재발급 방법 Download PDF

Info

Publication number
KR100449489B1
KR100449489B1 KR10-2002-0064926A KR20020064926A KR100449489B1 KR 100449489 B1 KR100449489 B1 KR 100449489B1 KR 20020064926 A KR20020064926 A KR 20020064926A KR 100449489 B1 KR100449489 B1 KR 100449489B1
Authority
KR
South Korea
Prior art keywords
aaa
key
home
mobile node
mip
Prior art date
Application number
KR10-2002-0064926A
Other languages
English (en)
Other versions
KR20040036118A (ko
Inventor
이해동
김현곤
손승원
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR10-2002-0064926A priority Critical patent/KR100449489B1/ko
Publication of KR20040036118A publication Critical patent/KR20040036118A/ko
Application granted granted Critical
Publication of KR100449489B1 publication Critical patent/KR100449489B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F7/00Methods or arrangements for processing data by operating upon the order or content of the data handled
    • G06F7/58Random or pseudo-random number generators
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/503Internet protocol [IP] addresses using an authentication, authorisation and accounting [AAA] protocol, e.g. remote authentication dial-in user service [RADIUS] or Diameter
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0433Key management protocols

Abstract

본 발명은 이동 노드와 홈 다이아메터 서버간의 AAA 비밀키 재발급 방법에 관한 것으로, 이동 노드가 MN-AAA 보안 연관을 갱신하고자 할 경우, AAA 키 요청 확장을 포함하는 MIP 등록 요청 메시지를 전송한다. 홈 AAA 서버는 AAA 키 요청 확장을 포함하는 MIP 등록 요청 메시지를 수신할 경우에만, AAA 비밀키 생성에 사용될 키 원천 난수(MKey)를 생성한 후, 생성된 키 원천 난수로부터 새로 발급된 AAA 비밀키(N_KAAA)를 추출하고, 새로 발급될 AAA 비밀키(N_KAAA)를 이용하여 사용할 암호 알고리즘(AlgAAA), SPI 값(SAAA), 키의 유효 기간(LKey)을 결정한 후, 키의 유효 기간을 판단하여 키의 유효 기간이 양수이면, 유효 기간 만료시 주기적으로 키의 재발급을 수행한다. 이후, 홈 AAA 서버는 새로 발급된 AAA 비밀키, 암호 알고리즘, SPI 값 및 키의 유효기간에 대한 정보를 전달하기 위해 MIP MN-AAA 키 요청 확장에 대응하는 MIP MN-AAA 키 응답 확장을 제안하고, 제안된 확장을 MIP 등록 응답 메시지에 포함시켜 다이아메터 프로토콜을 통해 이동 노드에 제공한다. 따라서, 강한 보안 연관을 제공할 수 있으며, 이동 가입자가 AAA를 통한 로밍 서비스에 가입할 때, 부여받은 AAA 비밀키를 재 갱신하고자 할 경우, 사업자의 지정 장소에 방문하지 않고도 온라인 상에서 AAA 비밀키를 재 갱신할 수 있는 효과가 있다.

Description

이동 노드와 홈 다이아메터 서버간의 AAA 비밀키 재발급 방법{AAA KEY REFRESH MECHANISM METHOD BETWEEN MOBILE IP MOBILE NODE AND HOME DIAMETER SERVER}
본 발명은 이동 노드와 홈 다이아메터 서버간의 AAA(Authentication Authorization Accounting : AAA) 비밀키(long-term shared key) 재발급 방법에 관한 것으로, 특히 다이아메터(diameter) 프로토콜을 사용하여 이동 노드와 홈 다이아메터 서버간에 공유하는 AAA 비밀키를 이용한 인증 메커니즘을 적용하여 비밀키를 재발급(key refreshment)할 수 있도록 하는 방법에 관한 것이다.
통상적으로, 이동 노드와 홈 다이아메터 서버간의 보안 연관은 일반적인 의미의 보안 연관(security association)과 동일하며, MN(Mobile Node : MN)-AAA 보안 연관이라 칭하기도 한다.
도 1은 기존 이동 노드에 대한 홈 다이아메터 서버의 인증 메시지 통신 방법을 수행하기 위한 블록 구성도로서, 이동 노드(1)와, 방문 에이전트(2)와, 방문 AAA 서버(3)와, 홈 AAA 서버(4)와, 홈 에이전트(5)를 포함한다.
이동 노드(1)는 방문 에이전트(2)의 서브넷(subnet)으로 이동하면, 방문 에이전트(2)로부터 MIP(Mobile Internet Protocol : MIP) 에이전트 광고 메시지를 수신한 후, 이에 대응하는 MIP 등록 요청 메시지를 방문 에이전트(2)로 전송한다.
여기서, MIP 등록 요청 메시지는 MN-AAA 인증 확장을 포함하는데, 보다 세부적으로 도 2를 참조하면, 이동 노드(1)가 인증을 제공받기 위해 요청하는 MIP 등록 요청 메시지(S2)에 범용 MIP 인증 확장의 헤더를 추가(S3)한다.
그리고, 인증값(authenticator)은 AAA 비밀키와 S3에서 만든 것을 입력으로 제공받아 MAC(Message Authentication Code) 값으로 하며(S4), 이때, 사용되는 기본 암호 알고리즘은 HMAC-MD5이다. 최종적으로 이동 노드(1)가 생성해야 할 MIP 등록 요청 메시지는 도 2의 S5에 도시된 바와 같다.
방문 에이전트(2)는 이동 노드(1)로부터 제공되는 MIP 등록 요청 메시지를 분석하여 AMR(AA-Mobile-Node-Request : AMR) 메시지를 생성하여 방문 AAA 서버(3)로 제공한다.
방문 AAA 서버(3)는 AMR 메시지를 제공받은 후, 추가적으로 AVP(Attribute Value Pair) 추가 및 AVP 데이터를 수정하여 홈 AAA 서버(4)로 제공한다.
홈 AAA 서버(4)는 이동 노드(1)에 대한 인증 및 권한검증을 수행하는 블록으로서, 이동 노드(1)에 대한 인증 및 권한검증이 성공되면, HAR(Home-Agent-MIP-Request : HAR) 메시지를 홈 에이전트(5)에게 전송한다. 여기서, HAR 메시지는 AVP 형식의 MIP 등록 요청 메시지이다.
여기서, 인증할 등록 요청 메시지(S6)는 이동 노드(1)와 같이 동일한 방법으로 인증값을 재 계산(S7)하며, 재 계산된 인증값과 수신된 인증값을 비교하여 인증 성공 혹은 실패를 결정하며(S8), 인증을 완료한 후, 이동 노드(1), 방문 에이전트(2), 홈 에이전트(5)간의 안전한 등록을 위해서 세션 키를 발급한다.
홈 에이전트(5)는 HAR 메시지를 분석하여 내부적으로 포함된 MIP 등록 요청메시지를 처리하여 이동 노드(1)에 대한 등록을 수행하고, MIP 등록 응답 메시지를 작성하고, 작성된 등록 응답 메시지가 포함된 HAA(Home-Agent-MIP-Answer : HAA) 메시지를 생성하여 홈 AAA 서버(4)로 제공한다.
홈 AAA 서버(4)는 홈 에이전트(5)로부터 제공된 HAA 메시지의 결과 코드(Result-Code)가 2001(DIAMETER_SUCCESS)일 경우, 성공적으로 MIP 등록이 수행된 것으로 판단하여 AMA(AA-Mobile-Node-Answer : AMA) 메시지를 방문 AAA 서버(3)로 제공한다.
방문 AAA 서버(3)는 홈 AAA 서버(4)로부터 제공된 AMA 메시지를 방문 에이전트(2)로 제공한다.
방문 에이전트(2)는 방문 AAA 서버(3)로부터 제공된 AMA 메시지를 분석하여 이 메시지에 포함된 MIP 등록 메시지를 추출하여 이동 노드(1)에게 전송한다.
이동 노드(1)는 방문 에이전트(2)로부터 MIP 등록 메시지를 제공받은 후, 등록이 성공적으로 이루어짐에 따라 사용자 데이터를 홈 에이전트(5)로 송신하고 다시 홈 에이전트(5)로부터 사용자 데이터를 수신한다.
한편, 도 3은 홈 AAA 서버(4)가 이동 노드(1)에게 MN-HA 키, MN-FA 키를 분배하기 위한 도면으로서, 홈 AAA 서버(4)는 바로 세션 키를 생성하여 분배하는 것이 아니라, 세션 키를 만드는 데 필요한 키 원천(key material)을 분배하는 것으로, 먼저 최소 길이 64 비트의 난수를 생성하여 키 원천으로 사용한다(S11).
64비트의 난수를 생성한 후, MIP MN-FA 키 응답 확장 및 MIP MN-HA 키 응답 확장의 키 원천 필드에 삽입하며(S12), 키 응답 확장을 포함하는 등록 응답 메시지를 이동 노드(1)에게 전송한다(S13).
이동 노드(1)는 MIP 키 응답 확장을 포함하는 MIP 등록 응답 메시지를 수신한 후(S14), AAA 비밀키와 키 원천/홈 주소를 HMAC-MD5 암호 알고리즘의 입력(S15)으로 하여 출력된 MAC값을 MN-FA 키 혹은 MN-HA 키로 사용(S16)함으로써, 키 분배의 안정성을 확보할 수 있어 AAA 비밀키을 알지 못하면, 키 원천만으로는 세션키를 추출할 수 없기 때문이다.
이와 같이, 도 2 및 도 3을 참조하면, 이동 노드(1)에 대하여 안전하게 인증 및 세션키를 발급하였지만, 인증 과정 및 세션키의 추출 과정에서 사용된 AAA 비밀키는 이동 가입자가 초기 가입시 사업자가 지정한 장소로부터 발급된 다음에는 프로토콜 상에서 주기적으로 갱신할 수 없어 AAA 비밀키의 안전성에 대한 위협이 증가하게 되는 문제점을 갖고 있다.
이와 같이, 이동 노드와 홈 다이아메터 서버간의 AAA 비밀키를 재 발급하는 기술로는 2001년 12월 26일 10-2001-0084762로 출원된 "난수의 생성 및 확인을 통한 소프트웨어 불법 사용 방지방법"과, 2000년 4월 정보 처리 논문에 게재된 "무선 통신에서의 키 분배 및 인증에 관한 연구" 등에 개시되어 있다.
상술한 바와 같이, 개시된 선행기술을 상세하게 설명하면, 난수의 생성 및 확인을 통한 소프트웨어 불법 사용 방지방법은 소프트웨어 이용자격이 없는 사람들이 무단복제를 통해 소프트웨어를 이용하는 것을 방지하기 위한 방법에 관한 것으로, 이용자 컴퓨터에 소프트웨어 설치 시 인터넷을 매개로 하여 제작자 서버에 난수발급을 요청하고 발급된 난수를 이용자 컴퓨터에 저장한 후, 이용자 컴퓨터에 기설치된 소프트웨어 이용 시에는 인터넷을 매개로 하여 제작자 서버에 기 저장되어 있는 난수와 이용자 컴퓨터에 저장되어 있는 난수의 일치여부를 확인하여 난수가 일치하는 경우에만 제작자 서버가 이용자 컴퓨터에 새로운 난수를 재 발급하여 이를 저장토록 하고 소프트웨어가 실행되도록 하는 방식으로 COPY의 소프트웨어를 여러 대의 컴퓨터에서 동시에 실행되지 못하게 하는 방법이다.
다음으로, 무선 통신에서의 키 분배 및 인증에 관한 연구는 무선 이동 통신의 발전을 기반으로 향후 이동 통신 시스템은 많은 사용자들에게 현재보다 더 나은 고품질의 멀티미디어 서비스를 제공할 것으로 기대됨에 따라 이와 관련된 많은 기술적 부분들이 고려되며, 특히 보안 관련 분야의 도입을 통해 기밀성 및 안전성을 획득하려 하고 있다.
본 논문에서는 이와 관련하여 이동 통신상에서 발생 가능한 취약성들 및 요구사항들을 제시함과 동시에 이들 요구 사항에 근거하여 상호 인증 및 키 분배를 위한 call set-up 및 hand-off 프로토콜을 제안하고, 기존 방식들과 제안 방식을 비교 분석하며, 디지털 이동 통신 시스템을 위한 키 분배 및 인증 방식을 제안한다.
이러한, 제안 방식은 2-way 방식을 적용하였으며, 수신자 지정 서명 방식을 도입하며, 그 외에도 가명 식별자 도입, 세션 키 생성을 위한 랜덤 값 생성, 사용자 통신 함수 선택을 위한 CF 전송, 핸드오프 허용 및 2중 구조 One-Time Password 방식 적용 등을 통하여 고려 사항을 충분히 만족하고 있다.
이와 같이, 선행 특허에 개시된 기술을 살펴보았을 때, 본원 발명에서의 문제점인 인증 과정 및 세션키의 추출 과정에서 사용된 AAA 비밀키는 이동 가입자가 초기 가입시 사업자가 지정한 장소로부터 발급된 다음에는 프로토콜 상에서 주기적으로 갱신할 수 없어 AAA 비밀키의 안전성에 대한 위협이 증가하게 되는 문제점을 여전히 해결할 수 없다.
따라서, 본 발명은 상술한 문제점을 해결하기 위해 안출된 것으로서, 그 목적은 다이아메터(diameter) 프로토콜을 사용하여 이동 노드와 홈 다이아메터 서버간에 공유하는 AAA 비밀키를 이용한 인증 메커니즘을 적용하여 비밀키를 재발급(key refreshment)할 수 있도록 하는 이동 노드와 홈 다이아메터 서버간의 AAA 비밀키 재발급 방법을 제공함에 있다.
상술한 목적을 달성하기 위한 본 발명에서 이동 노드와 홈 다이아메터 서버간의 AAA 비밀키 재발급 방법은 이동 노드가 MN-AAA 보안 연관을 갱신하고자 할 경우, AAA 키 요청 확장을 포함하는 MIP 등록 요청 메시지를 전송하는 단계; 홈 AAA 서버에서 AAA 키 요청 확장을 포함하는 MIP 등록 요청 메시지를 수신할 경우에만, AAA 비밀키 생성에 사용될 키 원천 난수(MKey)를 생성한 후, 생성된 키 원천 난수로부터 새로 발급된 AAA 비밀키(N_KAAA)를 추출하는 단계; 새로 발급될 AAA 비밀키(N_KAAA)를 이용하여 사용할 암호 알고리즘(AlgAAA), SPI 값(SAAA), 키의 유효 기간(LKey)을 결정한 후, 키의 유효 기간을 판단하여 키의 유효 기간이 양수이면, 유효 기간 만료시 주기적으로 키의 재발급을 수행하는 단계; 새로 발급된 AAA 비밀키, 암호 알고리즘, SPI 값 및 키의 유효기간에 대한 정보를 전달하기 위해 MIP MN-AAA 키 요청 확장에 대응하는 MIP MN-AAA 키 응답 확장을 제안하고, 제안된 확장을 MIP 등록 응답 메시지에 포함시켜 다이아메터 프로토콜을 통해 이동 노드에 제공하는 단계를 포함하는 것을 특징으로 한다.
도 1은 기존 이동 노드에 대한 홈 다이아메터 서버의 인증 메시지 통신 방법을 수행하기 위한 블록 구성도이고,
도 2는 기존 이동 노드에 대한 홈 다이아메터 서버의 인등 메커니즘의 도시한 도면이며,
도 3은 홈 AAA 서버가 이동 노드에게 MN-HA 키와 MN-FA 키를 분배하기 위한 도면이며,
도 4는 본 발명에 따른 이동 노드와 홈 다이아메터 서버간의 AAA 비밀키 재발급 방법을 수행하기 위한 블록 구성도이며,
도 5는 본 발명에 따른 이동 노드와 홈 다이아메터 서버간의 AAA 비밀키 재발급 방법의 동작에 대한 상세 흐름도이며,
도 6은 본 발명에 따른 이동 노드의 AAA 비밀키 요청 및 이에 대한 응답 확장을 정의한 도면이다.
<도면의 주요부분에 대한 부호의 설명>
10 : 이동 노드 20 : 방문 에이전트
30 : 방문 AAA 서버 40 : 홈 AAA 서버
45 : 사용자 프로파일 DB 50 : 홈 에이전트
이하, 첨부된 도면을 참조하여 본 발명에 따른 실시 예를 상세하게 설명하기로 한다.
도 4는 본 발명에 따른 이동 노드와 홈 다이아메터 서버간의 AAA 비밀키 재발급 방법을 수행하기 위한 블록 구성도로서, 이동 노드(10)와, 방문 에이전트(20)와, 방문 AAA 서버(30)와, 홈 AAA 서버(40)와, 홈 에이전트(50)를 포함한다.
이동 노드(10)는 MN-AAA 보안 연관을 갱신하고자 할 경우, AAA 키 요청 확장을 포함하는 MIP 등록 요청 메시지를 방문 에이전트(20)로 전송한다.
이후, 이동 노드(10)는 방문 에이전트(20)로부터 제공되는 AAA 키 요청 확장을 포함하는 MIP 등록 응답 메시지를 수신한 후, 홈 AAA 서버(40)와 동일한 수학식 1을 통해 AAA 비밀키(N_KAAA)를 추출한 다음에, 추출된 AAA 비밀키와 MIP MN-AAA 키 응답 확장에 포함된 암호 알고리즘(AAAA), SPI(Security Parameter Index : SPI) 값, 키 유효 기간(LKey)을 사용하여 MN-AAA 보안 연관을 생성 및 갱신하면서 등록이 성공적으로 이루어짐에 따라 사용자 데이터를 홈 에이전트(50)로 송신하고 다시 홈 에이전트(50)로부터 사용자 데이터를 수신한다.
방문 에이전트(20)는 이동 노드(10)로부터 제공되는 AAA 키 요청 확장을 포함하는 MIP 등록 요청 메시지를 분석하여 AMR 메시지를 생성하여 방문 AAA 서버(30)로 제공한다.
방문 AAA 서버(30)는 AMR 메시지를 제공받은 후, 추가적으로 AVP(Attribute Value Pair) 데이터 추가 및 수정하여 다이아메터 프로토콜(S1)을 통해 홈 AAA 서버(40)로 제공한다.
홈 AAA 서버(40)는 이동 노드(10)에 대한 인증 및 권한검증을 수행하는 블록으로서, 방문 AAA 서버(30)로부터 제공된 추가 및 수정된 AVP 메시지 중 AAA 키 요청 확장을 포함하는 MIP 등록 요청 메시지를 수신할 경우에만, AAA 비밀키 생성에 사용될 키 원천 난수(MKey)를 생성한 후, 생성된 키 원천 난수로부터 새로 발급된 AAA 비밀키(N_KAAA)를 수학식 1을 통해 추출한다.
여기서, N_KAAA는 새로 발급될 AAA 비밀키이며, O_KAAA는 기존 AAA 비밀키이며, MKey는 키 원천이며, AddrH는 이동 노드의 홈 주소이며, HMAC-MD5는 암호 알고리즘으로 MIP 프로토콜에서 권고한 알고리즘을 사용한다.
즉, HMAC-MD5의 입력값은 기존 AAA 비밀키를 입력으로 하며, 데이터로 키 원천과 홈 주소를 사용하며, HMAC-MD5의 출력값은 새로 발급될 AAA 비밀키를 사용한다.
이와 같이, 새로 발급될 AAA 비밀키를 이용하여 사용할 암호 알고리즘(AlgAAA), SPI 값(Security Parameter Index : SAAA), 키의 유효 기간(LKey)을 결정할 수 있다.
이후, 홈 AAA 서버(40)는 키의 유효 기간을 판단하여 유효 기간이 "0"이면, 키의 유효 기간은 무한을 의미하여 이동 가입자의 요구에 의해 간헐적으로 변경될 수 있게 하며, 키의 유효 기간이 "0"이 아닌 양수이면, 유효 기간 만료시 주기적으로 키의 재발급을 수행할 수 있도록 한다.
그리고, 홈 AAA 서버(40)는 새로 발급된 AAA 비밀키, 암호 알고리즘, SPI 값 및 유효기간으로 보안 연관을 만들어 사용자 프로파일 데이터베이스(DataBase : DB)(45)에 제공하여 보안 연관을 갱신하도록 하며, MN-AAA 보안 연관을 구성하는 새로 발급된 AAA 비밀키, 암호 알고리즘, SPI 값 및 유효기간 등의 정보를 전달하기 위해 도 6에 도시된 바와 같이, MIP MN-AAA 키 요청 확장(S17)에 대응하는 MIP MN-AAA 키 응답 확장(S18)을 제안한다.
여기서, MIP MN-AAA 키 응답 확장(S18)은 MIP MN-HA 키 응답 확장과 동일한 구조를 갖으며, MIP MN-AAA 키 응답 확장(S18)에 N_KAAA와 AlgAAA, SAAA, LKey의 정보를 삽입한 다음에 이 확장을 MIP 등록 응답 메시지에 포함시켜 홈 에이전트(50)에 제공한다.
홈 AAA 서버(40)는 홈 에이전트(50)로부터 제공된 AAA 키 요청 확장을 포함하는 MIP 등록 응답 메시지의 결과 코드(Result-Code)가 2001(DIAMETER_SUCCESS)일경우, 성공적으로 MIP 등록이 수행된 것으로 판단하여 AAA 키 요청 확장을 포함하는 MIP 등록 응답 메시지를 다이아메터 프로토콜(S1)을 통해 방문 AAA 서버(30) 및 방문 에이전트(20)를 통해 이동 노드(10)에 제공한다.
홈 에이전트(50)는 홈 AAA 서버(40)로부터 제공되는 AAA 키 요청 확장을 포함하는 MIP 등록 응답 메시지를 분석하여 이동 노드(10)에 대한 등록을 수행하고, AAA 키 요청 확장을 포함하는 MIP 등록 응답 메시지를 홈 AAA 서버(40)로 제공한다.
도 5의 흐름도를 참조하면서, 상술한 구성을 바탕으로, 본 발명에 따른 이동 노드와 홈 다이아메터 서버 중 홈 AAA 서버간의 AAA 비밀키 재발급 방법의 동작에 대하여 보다 상세하게 설명한다.
먼저, 이동 노드(10)는 방문 에이전트(20)의 서브넷(subnet)으로 이동하면, 방문 에이전트(20)로부터 MIP 에이전트 광고 메시지를 수신한 후, 이에 대응하는 MN-AAA 보안 연관을 갱신하고자 할 경우, AAA 키 요청 확장을 포함하는 MIP 등록 요청 메시지를 방문 에이전트(20)로 전송한다(단계 501).
방문 에이전트(20)는 이동 노드(10)로부터 제공되는 AAA 키 요청 확장을 포함하는 MIP 등록 요청 메시지를 분석하여 AMR 메시지를 생성하여 방문 AAA 서버(30)로 제공한다(단계 502).
방문 AAA 서버(30)는 AMR 메시지를 제공받은 후, 추가적으로 AVP(Attribute Value Pair) 데이터 추가 및 수정하여 홈 AAA 서버(40)로 제공한다(단계 503).
홈 AAA 서버(40)는 방문 AAA 서버(30)로부터 제공된 추가 및 수정된 AVP 메시지 중 AAA 키 요청 확장을 포함하는 MIP 등록 요청 메시지를 수신할 경우에만, AAA 비밀키 생성에 사용될 키 원천 난수(MKey)를 생성한 후, 생성된 키 원천 난수로부터 새로 발급된 AAA 비밀키(N_KAAA)를 상술한 수학식 1을 통해 추출한다(단계 504).
상술한 수학식 1에서 HMAC-MD5의 입력값은 기존 AAA 비밀키를 입력으로 하며, 데이터로 키 원천과 홈 주소를 사용하며, HMAC-MD5의 출력값은 새로 발급될 AAA 비밀키를 사용한다(단계 505).
이와 같이, 홈 AAA 서버(40)는 새로 발급될 AAA 비밀키를 이용하여 사용할 암호 알고리즘(AlgAAA), SPI 값(SAAA), 키의 유효 기간(LKey)을 결정한 후, 이중 키의 유효 기간을 판단한다(단계 506).
상기 판단 단계(506)에서 키의 유효 기간이 "0"일 경우, 키의 유효 기간은 무한을 의미하여 이동 가입자의 요구에 의해 간헐적으로 변경될 수 있도록 제어한다(단계 507). 반면에, 상기 판단 단계(506)에서 키의 유효 기간이 "0"이 아닌 양수이면, 유효 기간 만료시 주기적으로 키의 재발급을 수행할 수 있도록 한다(단계 508).
그리고, 홈 AAA 서버(40)는 새로 발급된 AAA 비밀키, 암호 알고리즘, SPI 값 및 유효기간으로 보안 연관을 만들어 사용자 프로파일 데이터베이스(DataBase : DB)(45)에 제공하여 보안 연관을 갱신하도록 하며(단계 509), MN-AAA 보안 연관을 구성하는 새로 발급된 AAA 비밀키, 암호 알고리즘, SPI 값 및 유효기간 등의 정보를 전달하기 위해 도 6에 도시된 바와 같이, MIP MN-AAA 키 요청 확장(S17)에 대응하는 MIP MN-AAA 키 응답 확장(S18)을 제안한다(단계 510).
여기서, MIP MN-AAA 키 응답 확장(S18)은 MIP MN-HA 키 응답 확장과 동일한 구조를 갖으며, MIP MN-AAA 키 응답 확장(S18)에 N_KAAA와 AlgAAA, SAAA, LKey의 정보를 삽입한 다음에 이 확장을 MIP 등록 응답 메시지에 포함시켜 홈 에이전트(50)에 제공한다(단계 511).
홈 에이전트(50)는 홈 AAA 서버(40)로부터 제공되는 AAA 키 요청 확장을 포함하는 MIP 등록 응답 메시지를 분석하여 이동 노드(10)에 대한 등록을 수행하고, AAA 키 요청 확장을 포함하는 MIP 등록 응답 메시지를 홈 AAA 서버(40)로 제공한다(단계 512).
홈 AAA 서버(40)는 홈 에이전트(50)로부터 제공된 AAA 키 요청 확장을 포함하는 MIP 등록 응답 메시지의 결과 코드(Result-Code)가 2001(DIAMETER_SUCCESS)일 경우, 성공적으로 MIP 등록이 수행된 것으로 판단하여 AAA 키 요청 확장을 포함하는 MIP 등록 응답 메시지를 방문 AAA 서버(30) 및 방문 에이전트(20)를 통해 이동 노드(10)에 제공한다(단계 513).
이후, 이동 노드(10)는 방문 에이전트(20)로부터 제공되는 AAA 키 요청 확장을 포함하는 MIP 등록 응답 메시지를 수신한 후, 홈 AAA 서버(40)와 동일한 수학식 1을 통해 AAA 비밀키(N_KAAA)를 추출한 다음에, 추출된 AAA 비밀키와 MIP MN-AAA 키 응답 확장에 포함된 암호 알고리즘(AAAA), SPI 값, 키 유효 기간(LKey)을 사용하여MN-AAA 보안 연관을 생성 및 갱신하면서 등록이 성공적으로 이루어짐에 따라 사용자 데이터를 홈 에이전트(50)로 송신하고 다시 홈 에이전트(50)로부터 사용자 데이터를 수신한다(단계 514).
상기와 같이 설명한 본 발명은 다이아메터(diameter) 프로토콜을 사용하여 이동 노드와 홈 다이아메터 서버간에 공유하는 AAA 비밀키를 이용한 인증 메커니즘을 적용하여 비밀키를 재발급(key refreshment)하여 보안 연관을 갱신함으로써, 강한 보안 연관을 제공할 수 있으며, 이동 가입자가 AAA를 통한 로밍 서비스에 가입할 때, 부여받은 AAA 비밀키를 재 갱신하고자 할 경우, 사업자의 지정 장소에 방문하지 않고도 온라인 상에서 AAA 비밀키를 재 갱신할 수 있는 효과가 있다.

Claims (8)

  1. 이동 노드와 홈 다이아메터 서버 중 홈 AAA(Authentication Authorization Accounting : AAA) 서버간의 AAA 비밀키 재발급 방법에 있어서,
    상기 이동 노드가 MN(Mobile Node : MN)-AAA 보안 연관을 갱신하고자 할 경우, AAA 키 요청 확장을 포함하는 MIP(Mobile Internet Protocol : MIP) 등록 요청 메시지를 전송하는 단계;
    상기 홈 AAA 서버에서 상기 AAA 키 요청 확장을 포함하는 MIP 등록 요청 메시지를 수신할 경우에만, AAA 비밀키 생성에 사용될 키 원천 난수(MKey)를 생성한 후, 상기 생성된 키 원천 난수로부터 새로 발급된 AAA 비밀키(N_KAAA)를 추출하는 단계;
    상기 새로 발급될 AAA 비밀키(N_KAAA)를 이용하여 사용할 암호 알고리즘(AlgAAA), SPI(Security Parameter Index : SPI) 값(SAAA), 키의 유효 기간(LKey)을 결정한 후, 상기 키의 유효 기간을 판단하여 키의 유효 기간이 양수이면, 유효 기간 만료시 주기적으로 키의 재발급을 수행하는 단계;
    상기 새로 발급된 AAA 비밀키, 암호 알고리즘, SPI 값 및 키의 유효기간에 대한 정보를 전달하기 위해 MIP MN-AAA 키 요청 확장에 대응하는 MIP MN-AAA 키 응답 확장을 제안하고, 상기 제안된 확장을 MIP 등록 응답 메시지에 포함시켜 다이아메터 프로토콜을 통해 상기 이동 노드에 제공하는 단계를 포함하는 것을 특징으로 하는 이동 노드와 홈 다이아메터 서버간의 AAA 비밀키 재발급 방법.
  2. 제 1 항에 있어서,
    상기 방문 에이전트에서 상기 이동 노드로부터 제공되는 AAA 키 요청 확장을 포함하는 MIP 등록 요청 메시지를 분석하여 AMR 메시지를 생성하여 제공하는 단계;
    상기 AMR 메시지를 제공받은 방문 AAA 서버에서 추가적으로 AVP(Attribute Value Pair) 데이터 추가 및 수정하여 상기 홈 AAA 서버로 제공하는 단계를 더 포함하는 것을 특징으로 하는 이동 노드와 홈 다이아메터 서버간의 AAA 비밀키 재발급 방법.
  3. 제 1 항에 있어서,
    상기 새로 발급된 AAA 비밀키(N_KAAA)는,
    수학식 1
    에 의해 추출되는 것을 특징으로 하는 이동 노드와 홈 다이아메터 서버간의 AAA 비밀키 재발급 방법.
  4. 제 3 항에 있어서,
    상기 수학식 1에서 HMAC-MD5의 입력값은 기존 AAA 비밀키를 입력으로 하며,데이터로 키 원천과 홈 주소를 사용하며, 상기 HMAC-MD5의 출력값은 새로 발급될 AAA 비밀키를 사용하는 것을 특징으로 하는 이동 노드와 홈 다이아메터 서버간의 AAA 비밀키 재발급 방법.
  5. 제 1 항에 있어서,
    상기 판단 단계에서 키의 유효 기간이 "0"일 경우, 키의 유효 기간은 무한을 의미하여 이동 가입자의 요구에 의해 간헐적으로 변경될 수 있도록 제어하는 것을 특징으로 하는 이동 노드와 홈 다이아메터 서버간의 AAA 비밀키 재발급 방법.
  6. 제 1 항에 있어서,
    상기 홈 AAA 서버에서 상기 새로 발급된 AAA 비밀키, 암호 알고리즘, SPI 값 및 키의 유효기간에 대한 정보를 만들어 사용자 프로파일 데이터베이스(DataBase)에 저장하여 보안 연관을 갱신하는 것을 특징으로 하는 이동 노드와 홈 다이아메터 서버간의 AAA 비밀키 재발급 방법.
  7. 제 1 항에 있어서,
    상기 MIP MN-AAA 키 응답 확장은 MIP MN-HA 키 응답 확장과 동일한 구조를 갖으며, 상기 MIP MN-AAA 키 응답 확장에 상기 새로 발급된 AAA 비밀키, 암호 알고리즘, SPI 값 및 키의 유효기간에 대한 정보를 삽입한 후, 상기 MIP 등록 응답 메시지에 포함되는 것을 특징으로 하는 이동 노드와 홈 다이아메터 서버간의 AAA 비밀키 재발급 방법.
  8. 제 1 항에 있어서,
    상기 홈 AAA 서버로부터 제공되는 AAA 키 요청 확장을 포함하는 MIP 등록 응답 메시지를 홈 에이전트에서 분석한 다음에 상기 이동 노드에 대한 등록을 수행하고, 상기 AAA 키 요청 확장을 포함하는 MIP 등록 응답 메시지를 홈 AAA 서버로 제공하는 단계;
    상기 홈 AAA 서버에서 AAA 키 요청 확장을 포함하는 MIP 등록 응답 메시지의 결과 코드(Result-Code)가 2001(DIAMETER_SUCCESS)일 경우, 성공적으로 MIP 등록이 수행된 것으로 판단하여 AAA 키 요청 확장을 포함하는 MIP 등록 응답 메시지를 상기 이동 노드에 제공하는 단계;
    상기 이동 노드에서 AAA 키 요청 확장을 포함하는 MIP 등록 응답 메시지를 수신한 후, 상기 홈 AAA 서버와 동일한 수학식 1을 통해 AAA 비밀키(N_KAAA)를 추출한 다음에, 상기 추출된 AAA 비밀키와 MIP MN-AAA 키 응답 확장에 포함된 암호 알고리즘(AAAA), SPI 값, 키 유효 기간(LKey)을 사용하여 MN-AAA 보안 연관을 생성 및 갱신하는 단계를 더 포함하는 것을 특징으로 하는 이동 노드와 홈 다이아메터 서버간의 AAA 비밀키 재발급 방법.
KR10-2002-0064926A 2002-10-23 2002-10-23 이동 노드와 홈 다이아메터 서버간의 aaa 비밀키재발급 방법 KR100449489B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2002-0064926A KR100449489B1 (ko) 2002-10-23 2002-10-23 이동 노드와 홈 다이아메터 서버간의 aaa 비밀키재발급 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2002-0064926A KR100449489B1 (ko) 2002-10-23 2002-10-23 이동 노드와 홈 다이아메터 서버간의 aaa 비밀키재발급 방법

Publications (2)

Publication Number Publication Date
KR20040036118A KR20040036118A (ko) 2004-04-30
KR100449489B1 true KR100449489B1 (ko) 2004-09-22

Family

ID=37334722

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2002-0064926A KR100449489B1 (ko) 2002-10-23 2002-10-23 이동 노드와 홈 다이아메터 서버간의 aaa 비밀키재발급 방법

Country Status (1)

Country Link
KR (1) KR100449489B1 (ko)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100921153B1 (ko) * 2007-08-01 2009-10-12 순천향대학교 산학협력단 무선 통신 네트워크 상에서의 사용자 인증 방법
CN101431756A (zh) * 2007-11-08 2009-05-13 华为技术有限公司 防止恶意攻击的方法、系统和装置
CN101656959B (zh) * 2009-09-10 2012-02-29 中兴通讯股份有限公司 PMIP中HA获取MN-HA key的方法、设备及系统
KR101314435B1 (ko) * 2012-06-19 2013-10-07 가톨릭대학교 산학협력단 이동 노드에 대한 보안 로밍 방법 및 그 방문 에이전트 장치, 그리고 보안 로밍 시스템
JP6061110B2 (ja) 2012-07-24 2017-01-18 ▲ホア▼▲ウェイ▼技術有限公司Huawei Technologies Co.,Ltd. カウンタ検査および再構成の方法、装置、およびシステム

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001352321A (ja) * 2000-04-06 2001-12-21 Sony Corp 情報処理システム、情報処理方法、および情報記録媒体、並びにプログラム提供媒体
KR20020040741A (ko) * 1999-07-06 2002-05-30 추후제출 축소 가능한 보안 그룹 통신용의 이중 암호화 프로토콜
KR20030005468A (ko) * 2001-07-09 2003-01-23 엘지전자 주식회사 네트워크 시스템의 암호화 키 집합 검증 장치 및 방법
KR20030024599A (ko) * 2001-09-17 2003-03-26 가부시끼가이샤 도시바 공개 키 기반 시스템, 방법, 장치 및 프로그램

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20020040741A (ko) * 1999-07-06 2002-05-30 추후제출 축소 가능한 보안 그룹 통신용의 이중 암호화 프로토콜
JP2001352321A (ja) * 2000-04-06 2001-12-21 Sony Corp 情報処理システム、情報処理方法、および情報記録媒体、並びにプログラム提供媒体
KR20030005468A (ko) * 2001-07-09 2003-01-23 엘지전자 주식회사 네트워크 시스템의 암호화 키 집합 검증 장치 및 방법
KR20030024599A (ko) * 2001-09-17 2003-03-26 가부시끼가이샤 도시바 공개 키 기반 시스템, 방법, 장치 및 프로그램

Also Published As

Publication number Publication date
KR20040036118A (ko) 2004-04-30

Similar Documents

Publication Publication Date Title
EP1849327B1 (en) Methods, apparatuses, system and computer program for optimal transfer of guss data in a wireless communications system
KR100990320B1 (ko) 공용 서버로부터 콘텐츠를 요청할 때 클라이언트프라이버시를 제공하는 방법 및 시스템
US7961884B2 (en) Method and system for changing security information in a computer network
JP4546240B2 (ja) チャレンジ/レスポンス方式によるユーザー認証方法及びシステム
EP1486025B1 (en) System and method for providing key management protocol with client verification of authorization
US9065641B2 (en) Method and device for updating a key
Perkins et al. Authentication, authorization, and accounting (AAA) registration keys for mobile IPv4
EP2701362A1 (en) Communications device authentication
JP5297529B2 (ja) 認証システム
CN101300543A (zh) 用于提供授权材料的方法和装置
CN101502078A (zh) 提供接入待定的密钥的方法和系统
JP2005522937A (ja) コンピュータ・ネットワークでセキュリティ情報を変更する方法とシステム
KR100449489B1 (ko) 이동 노드와 홈 다이아메터 서버간의 aaa 비밀키재발급 방법
WO2007060016A2 (en) Self provisioning token
CN1885768B (zh) 一种环球网认证方法
JP2003244123A (ja) 共通鍵管理システム、共通鍵管理サーバ、共通鍵管理方法、及び共通鍵管理プログラム
US9172679B1 (en) Secure intermediation system and method
KR100423153B1 (ko) 통신 망에서의 단말기 인증 방법
KR20030065100A (ko) 무선 인터넷에서의 티켓 기반 인증 및 지불 방법
Mills A sasl and gss-api mechanism for oauth draft-mills-kitten-sasl-oauth-04. txt
Perkins et al. RFC 3957: Authentication, authorization, and accounting (AAA) registration keys for mobile IPv4
KR20020052670A (ko) 웹정합 프록시서버를 포함하는 데이터통신망에서의인증처리방법
KR20120119490A (ko) 인증 연동 시스템 및 방법

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20100901

Year of fee payment: 7

LAPS Lapse due to unpaid annual fee