KR100609704B1 - Method for setting end-to-end security in mobile IP and Apparatus thereof - Google Patents

Method for setting end-to-end security in mobile IP and Apparatus thereof Download PDF

Info

Publication number
KR100609704B1
KR100609704B1 KR1020040089161A KR20040089161A KR100609704B1 KR 100609704 B1 KR100609704 B1 KR 100609704B1 KR 1020040089161 A KR1020040089161 A KR 1020040089161A KR 20040089161 A KR20040089161 A KR 20040089161A KR 100609704 B1 KR100609704 B1 KR 100609704B1
Authority
KR
South Korea
Prior art keywords
aaah
redirect
security
aaaf
message
Prior art date
Application number
KR1020040089161A
Other languages
Korean (ko)
Other versions
KR20060039995A (en
Inventor
유희종
김현곤
정교일
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020040089161A priority Critical patent/KR100609704B1/en
Publication of KR20060039995A publication Critical patent/KR20060039995A/en
Application granted granted Critical
Publication of KR100609704B1 publication Critical patent/KR100609704B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/084Access security using delegated authorisation, e.g. open authorisation [OAuth] protocol

Abstract

본 발명은 이동 IP(mobile Internet Protocol) 환경에서의 종단간 보안 설정 방법 및 설정 장치에 관한 것으로, 특히 내부 리다이렉트(redirect)를 이용하여 종단간(end-to-end) 보안을 설정할 수 있는 방법 및 장치에 관한 것이며, 본 발명이 속하는 분야는 이동 인터넷 및 이동통신 시스템 환경에서 사용자 인증시 인증 서버 사이의 통신 보안 분야이다.The present invention relates to a method and setting device for end-to-end security in a mobile Internet Protocol (IP) environment, and more particularly, to a method for setting end-to-end security using an internal redirect. TECHNICAL FIELD The present invention relates to the field of communication security between authentication servers during user authentication in mobile Internet and mobile communication system environments.

본 명세서에서 개시하는 이동 IP 환경에서의 종단간 보안 설정 방법은 NAS로부터 전송된 사용자 인증 요청 메시지상의 라우팅 정보가 AAAH로의 리다이렉트인 경우, AAAF가 TLS(Transport Layer Security) 설정을 수행하고 상기 AAAH로 상기 인증 요청 메시지를 전송하여 상기 AAAH로 리다이렉트를 수행하는 단계; 상기 AAAH가 상기 인증 요청 메시지에 대한 인증 응답(허락) 메시지를 생성하여 상기 AAAF에게 전송하는 단계; 및 상기 AAAF가 상기 응답 메시지를 상기 NAS에게 전송하는 단계를 포함하여 본 발명의 목적 및 기술적 과제를 달성한다.In the end-to-end security setting method in the mobile IP environment disclosed herein, when the routing information on the user authentication request message sent from the NAS is redirected to AAAH, AAAF performs TLS (Transport Layer Security) setting and the AAAH is performed. Performing a redirect to the AAAH by sending an authentication request message; Generating, by the AAAH, an authentication response (permission) message for the authentication request message and transmitting the same to the AAAF; And the AAAF transmitting the response message to the NAS to achieve the object and technical problem of the present invention.

Description

이동 아이피 환경에서의 종단간 보안 설정 방법 및 설정 장치{Method for setting end-to-end security in mobile IP and Apparatus thereof}Method for setting end-to-end security in mobile IP environment and setting device {Method for setting end-to-end security in mobile IP and Apparatus

도 1은 이동 IP 환경에서의 Diameter 통신 프로토콜에서 사용자 인증을 위한 정보 흐름을 나타내는 도면이다.1 is a diagram illustrating an information flow for user authentication in Diameter communication protocol in a mobile IP environment.

도 2는 Diameter 통신 프로토콜에서 PKI를 이용하여 보안 서비스를 제공하기 위한 흐름을 나타내는 도면이다.2 is a diagram illustrating a flow for providing a security service using a PKI in the Diameter communication protocol.

도 3은 현재 Diameter WG에서 표준화 진행중인 이동 IP에서의 종단간 보안 을 위한 흐름을 나타내는 도면이다.3 is a diagram illustrating a flow for end-to-end security in a mobile IP which is currently being standardized in Diameter WG.

도 4는 Diameter EAP 응용에서의 리다이렉트를 이용한 종단간 보안을 위한 흐름을 나타내는 도면이다.4 is a diagram illustrating a flow for end-to-end security using redirect in Diameter EAP application.

도 5a는 본 명세서에서 개시하는 이동 IP 환경에서의 종단간 보안 설정 방법의 흐름을 제시한 도면이다.FIG. 5A is a diagram illustrating a flow of a method for configuring end-to-end security in a mobile IP environment disclosed herein.

도 5b는 본 명세서에서 개시하는 이동 IP 환경에서의 종단간 보안 설정 장치의 일실시예의 구성을 제시한 도면이다.FIG. 5B is a diagram illustrating a configuration of an embodiment of an end-to-end security configuration apparatus in a mobile IP environment disclosed herein.

본 발명은 이동 IP(mobile Internet Protocol) 환경에서의 종단간 보안 설정 방법 및 설정 장치에 관한 것으로, 특히 내부 리다이렉트(redirect)를 이용하여 종단간(end-to-end) 보안을 설정할 수 있는 방법 및 장치에 관한 것이며, 본 발명이 속하는 분야는 이동 인터넷 및 이동통신 시스템(3세대 IMT-2000 및 이후 세대의 이동통신 시스템)환경에서 사용자 인증 시 인증 서버 사이의 통신 보안 분야이다.The present invention relates to a method and setting device for end-to-end security in a mobile Internet Protocol (IP) environment, and more particularly, to a method for setting end-to-end security using an internal redirect. TECHNICAL FIELD The present invention relates to the field of communication security between authentication servers during user authentication in mobile Internet and mobile communication systems (3rd generation IMT-2000 and later generations of mobile communication systems).

도 1은 이동 IP 환경에서의 사용자 인증을 위한 정보의 흐름을 나타내는 도면으로 Diameter 프로토콜이 적용되는 경우이다.1 is a diagram illustrating a flow of information for user authentication in a mobile IP environment, in which the Diameter protocol is applied.

NAS(Network Access Server, 10)와 AAAH(Authentication, Authorization and Accounting server in Home network, 13)는 사용자 트래픽이 송수신되는 통신 환경에서의 통신 참여 대상으로 종단 노드이다. 중간 노드 AAAF(Authentication, Authorization and Accounting server in Foreign network, 11)와 AAAB(Authentication, Authorization and Accounting server in Broker network, 12)는 사용자 인증(authentication) 과정에 참여하거나, NAS(10)와 AAAH(13) 사이에서 메시지를 전달하는 역할을 수행한다.NAS (Network Access Server) 10 and AAAH (Authentication, Authorization and Accounting server in Home network, 13) are end nodes for participation in communication in a communication environment in which user traffic is transmitted and received. The intermediate nodes AAAF (Authentication, Authorization and Accounting server in Foreign network, 11) and AAAB (Authentication, Authorization and Accounting server in Broker network, 12) participate in the user authentication process, or NAS (10) and AAAH (13). It serves to pass messages between).

이 때, NAS, AAAF, AAAB, AAAH 노드들은 이동 환경에서 AAA(Authentication, Authorization and Accounting) 프로토콜이 적용된 노드들로 두 개념이 섞인 경우에 도출되는 기본 노드들이다. AAA 서버의 경우는 Diameter 프로토콜의 기본 노드지만 이동 환경에 적용됨에 따라 AAAF, AAAB, AAAH 등으로 역할이 나누어지게 된다. 또한 NAS는 이동 통신을 하기 위한 기본 노드이며, 사용자와 직접 연결된 노드이다.In this case, NAS, AAAF, AAAB, and AAAH nodes are nodes that are applied when the two concepts are mixed with nodes to which AAA (Authentication, Authorization and Accounting) protocol is applied in a mobile environment. The AAA server is the basic node of the Diameter protocol, but the roles are divided into AAAF, AAAB, and AAAH according to the mobile environment. NAS is also a basic node for mobile communication and a node directly connected to a user.

Diameter 프로토콜은, 이동 IP 환경에서의 보안 설정에 관한 일 프로토콜로서, 종단간 보안(end-to-end security)을 위해 Diameter CMS Security Application을, (중간)노드간 보안(hop by hop Security)을 위해서는 TLS(Transport Layer Security) 혹은 IPsec(IP security)을 적용한다.The Diameter protocol is a protocol for setting up security in a mobile IP environment. The Diameter CMS Security Application is used for end-to-end security and the (hop) hop for hop (hop by hop security). Apply TLS (Transport Layer Security) or IPsec (IP security).

사용자가 자신의 등록 네트워크를 벗어나 외부 네트워크에 도달했을 시 NAS(10)에게 서비스 요청 메시지를 전송한다(S11). NAS(10)는 사용자의 등록 네트워크인 AAAH(13)를 확인하여 인증 요청 메시지를 AAAF(11)로 전달한다(S12). 이 과정에서 외부 네트워크의 인증 서버인 AAAF(11)은 인증 요청 메시지에 이동 IP 애플리케이션에서 필요한 작업을 수행할 수 있다. AAAB(12)는 AAAF(11)의 네트워크와 AAAH(13)의 네트워크를 연결하는 브로커(broker) 네트워크이며, 두 네트워크 사이에서 메시지를 릴레이(relay) 하는 기능을 수행한다.When the user reaches the external network out of his registration network, and transmits the service request message to the NAS (10) (S11). The NAS 10 checks AAAH 13, which is a user's registration network, and transmits an authentication request message to the AAAF 11 (S12). In this process, the AAAF 11, which is an authentication server of an external network, may perform a task required by the mobile IP application in an authentication request message. The AAAB 12 is a broker network connecting the network of the AAAF 11 and the network of the AAAH 13, and performs a function of relaying messages between the two networks.

AAAF(11)와 AAAB(12)를 통하여 NAS(10)와 AAAH(13)간 인증 요청 메시지(S13, S14)와 응답 메시지(S15 내지 S17)가 송수신되며 인증이 성공하면 사용자에게 원하는 서비스가 제공된다(S18).Authentication request messages (S13, S14) and response messages (S15 to S17) between the NAS 10 and AAAH 13 are transmitted and received through the AAAF 11 and AAAB 12, and the service is provided to the user when authentication is successful. (S18).

도 2는 Diameter 통신 프로토콜에서 PKI(Public Key Infrastructure)를 이용하여 보안 서비스를 제공하기 위한 정보 흐름을 나타내는 도면이다.FIG. 2 is a diagram illustrating an information flow for providing a security service using a public key infrastructure (PKI) in a diameter communication protocol.

도 2에 제시된 정보의 흐름은 Diameter AAA WG(Working Group)의 Diameter CMS Security Application 에 의한 것으로, Diameter 종단 노드 사이의 보안 기능을 제공한다. 노드 NAS(10)와 AAAH(13)는 종단간 보안 정보를 공유하기 위해, 이전에 우선 DSA(Diameter Security Association)을 설정하고(S21 내지 S26), 도 1에 제시된 과정(S11 내지 S18)이 진행된다.The information flow shown in FIG. 2 is by Diameter CMS Security Application of Diameter AAA Working Group (WG), and provides security between Diameter end nodes. In order to share end-to-end security information, the node NAS 10 and the AAAH 13 first establish a DSA (Diameter Security Association) (S21 to S26), and the processes S11 to S18 shown in FIG. do.

DSA 설정은 DSAR(Diameter Security Association Request) 메시지(S21 내지 S23)와 DSAA(DSA Answer) 메시지(S24 내지 S26)를 송수신하여 설정되며, 하부 연결 시에 송수신될 수 있다. DSA의 설정으로 두 종단 노드 NAS(10)와 AAAH(13)는 추후의 메시지에 대해 3-DES(3-Data Encryption Standard) 암호화와 디지털 서명을 적용할 수 있다. 이동 IP 혹은 EAP(Extensible Authentication Protocol) 애플리케이션의 경우 사용자 인증 요청 메시지에 설정된 DSA를 통하여 종단간 보안이 적용된다.The DSA setting is set by transmitting and receiving a DSAR (Diameter Security Association Request) message (S21 to S23) and a DSAA (DSA Answer) message (S24 to S26). With the configuration of the DSA, the two end nodes NAS 10 and AAAH 13 can apply 3-DES (3-Data Encryption Standard) encryption and digital signature for future messages. For mobile IP or Extensible Authentication Protocol (EAP) applications, end-to-end security is applied through the DSA set in the user authentication request message.

그러나, Diameter CMS Security Application은 2003년 표준화 작업이 중단되었다. 따라서 이에 대한 대안으로 리다이렉트 기법과 노드간 보안에서 사용되었던 TLS를 이용하여 종단간 보안으로 적용하려는 표준화 작업이 진행중이다.However, the Diameter CMS Security Application was discontinued in 2003. Therefore, as an alternative to this, standardization work is underway to apply end-to-end security using TLS, which is used in the redirection scheme and inter-node security.

본 발명은 이러한 움직임에 부응하기 위해 창안된 것으로, 본 발명의 목적 및 이루고자 하는 기술적 과제는 사용자 인증을 위한 통신을 수행해야 하는 네트워크 노드들 사이에서 이동 IP 환경에서의 리다이렉트를 이용한 종단간 보안 설정을 보다 안전하고 효율적으로 이루어지게 하는 방법 및 장치를 제공함에 있다.The present invention was devised to cope with such a movement, and an object of the present invention and the technical problem to be achieved is to establish an end-to-end security configuration using a redirect in a mobile IP environment between network nodes that must perform communication for user authentication. The present invention provides a method and apparatus for safer and more efficient operation.

본 명세서에서 개시하는 이동 IP 환경에서의 종단간 보안 설정 방법은 (a)NAS로부터 전송된 사용자 인증 요청 메시지상의 라우팅 정보가 AAAH로의 리다이렉트인 경우, AAAF가 TLS(Transport Layer Security) 설정을 수행하고, 상기 AAAH 로 상기 인증 요청 메시지를 전송하여 상기 AAAH로 리다이렉트를 수행하는 단계; (b)상기 AAAH가 상기 인증 요청 메시지에 대한 인증 응답(허락) 메시지를 생성하여 상기 AAAF에게 전송하는 단계; 및 (c)상기 AAAF가 상기 응답 메시지를 상기 NAS에게 전송하는 단계를 포함하여 본 발명의 목적 및 기술적 과제를 달성한다.End-to-end security configuration method in the mobile IP environment disclosed herein (a) when the routing information on the user authentication request message sent from the NAS is redirected to AAAH, AAAF performs a transport layer security (TLS) configuration, Transmitting the authentication request message to the AAAH to perform a redirect to the AAAH; (b) the AAAH generating an authentication response (permission) message for the authentication request message and transmitting it to the AAAF; And (c) the AAAF transmitting the response message to the NAS to achieve the object and technical problem of the present invention.

상기 (a)단계는 상기 AAAF가, 중간 노드 AAAB와의 리다이렉트 메시지의 송수신 없이, 상기 AAAH로 리다이렉트를 직접 수행하여 이루어지게 함이 본 발명의 목적 및 기술적 과제를 달성을 위해 바람직하다.In the step (a), the AAAF is performed by directly performing a redirect to the AAAH without transmitting and receiving a redirect message with the intermediate node AAAB.

아울러, 본 명세서에서 개시하는 이동 IP 환경에서의 종단간 보안 설정 장치는 NAS로부터 수신된 사용자 인증 요청 메시지의 라우팅 정보가 AAAH 로의 리다이렉트인 경우, 상기 AAAH 로 상기 메시지를 전송하여 상기 AAAH 로 리다이렉트를 설정하는 리다이렉트 설정부; 및 상기 설정부로부터 상기 메시지를 전송받아 상기 메시지에 대한 인증 응답(허락) 메시지를 생성하여 상기 NAS 로 전송하는 인증 응답 메시지 생성부를 포함하여 본 발명의 목적 및 기술적 과제를 달성한다.In addition, when the routing information of the user authentication request message received from the NAS is redirected to AAAH, the apparatus for end-to-end security setting in the mobile IP environment disclosed herein sets the redirect to the AAAH by transmitting the message to the AAAH. A redirect setting unit; And an authentication response message generation unit configured to receive the message from the setting unit and generate an authentication response (permission) message for the message and transmit the same to the NAS to achieve the object and technical problem of the present invention.

이하, 본 발명의 기술적 사상을 명확화하기 위해, 본 발명의 실시예에 근거하여 그 구성 및 동작을 첨부 도면을 참조하여 상세히 설명하되 도면의 구성요소들에 참조번호를 부여함에 있어서 동일 구성요소에 대해서는 비록 다른 도면상에 있더라도 동일 참조번호를 부여하였으며 당해 도면에 대한 설명시 필요한 경우 다른 도면의 구성요소를 인용할 수 있음을 미리 밝혀둔다.Hereinafter, in order to clarify the technical spirit of the present invention, the configuration and operation thereof will be described in detail with reference to the accompanying drawings based on the embodiments of the present invention. Although the same reference numerals have been given even in different drawings, it will be appreciated that components of other drawings may be cited when necessary in describing the drawings.

본 발명이 제공하는 기술적 사상의 핵심은 이동 IP 환경에서 종단간 보안을 보다 효율적이고 안전하게 제공하기 위해 리다이렉트 설정 서버(이하 '리다이렉트 서버') AAAF 를 이동 IP 애플리케이션에서의 최종 노드로 설정함과 동시에 리다이렉트 서버로 설정하여, AAAF가 중간 노드 AAAB와의 리다이렉트를 위한 메시지의 송수신 없이, AAAF 가 AAAH 로 직접 리다이렉트를 수행하도록 하는 것이다.The core of the technical idea provided by the present invention is to set up a redirect configuration server (hereinafter referred to as a "redirect server") AAAF as a final node in a mobile IP application to provide end-to-end security in a mobile IP environment more efficiently and safely By setting it as a server, the AAAF performs the direct redirect to the AAAH without sending or receiving a message for the redirect with the intermediate node AAAB.

본 발명 구현의 기본적 개념을 제공하는 종단간 보안 설정 방식에 대하여 도 3과 도 4를 참조하여 설명한다.An end-to-end security configuration method that provides a basic concept of implementing the present invention will be described with reference to FIGS. 3 and 4.

도 3은 Diameter WG에서 표준화가 진행중인 이동 IP 환경에서의 종단간 보안 설정을 위한 정보 흐름을 나타내는 도면이다. 도 3에 제시된 방식은 기존의 노드간 보안에 사용되던 TLS와 리다이렉트 기법을 이용하여 종단 노드간 직접 연결을 통해 중간 경유 노드를 거치지 않고 통신하는 방식이다.3 is a diagram illustrating an information flow for end-to-end security configuration in a mobile IP environment in which standardization is performed in Diameter WG. The method shown in FIG. 3 is a method of communicating without passing through an intermediate transit node through a direct connection between end nodes using a TLS and a redirect technique used in the existing inter-node security.

도 3에 제시된 보안 방식에서는 중간 노드 AAAB(12)가 리다이렉트 서버로 동작함을 가정한다. 리다이렉트 서버 AAAB(12)는 라우팅 테이블의 호스트 정보에 특정 애플리케이션 정보를 가지는 메시지의 수신시에 메시지의 발신자에게 목적 서버로 직접 연결할 수 있는 정보를 제공하는 기능을 가진다.In the security scheme shown in FIG. 3, it is assumed that the intermediate node AAAB 12 acts as a redirect server. The redirect server AAAB 12 has a function of providing the sender of the message with information capable of directly connecting to the destination server upon receipt of a message having specific application information in the host information in the routing table.

초기 사용자가 서비스 요청시(S31) NAS(10)는 사용자 인증 요청 메시지를 AAAF(11)에 전송한다(S32). AAAF(11)는 이 메시지에 해당하는 이동 IP 애플리케이션에 대한 처리를 수행한 후 라우팅 정보에 따라 AAAB(12)에게 사용자 인증 요청 메시지를 전송(S33)한다.When the initial user requests the service (S31), the NAS 10 transmits a user authentication request message to the AAAF 11 (S32). The AAAF 11 performs a process for the mobile IP application corresponding to this message and then transmits a user authentication request message to the AAAB 12 according to the routing information (S33).

리다이렉트 서버로 동작하는 AAAB(12)는 인증 요청 메시지의 애플리케이션이 이동 IP 이고 이 메시지상의 라우팅 정보가 리다이렉트로 설정되어 있는 경우, AAAF(11)에서 AAAH(13)로의 직접 연결 정보를 리다이렉트 정보 요소들에 삽입하고 리다이렉트 정보를 인증 응답 메시지에 포함하여 인증 요청 메시지의 발신자, 즉 AAAF(11)에게 전송한다(S34). AAAF(11)는, 이 리다이렉트 정보를 수신하면, AAAH(13)에게 직접 연결 요청과 TLS 설정을 수행(S35)하고 인증 요청 메시지(S36)및 응답 메시지(S37)를 직접 주고받는다.AAAB 12, acting as a redirect server, redirects direct connection information from AAAF 11 to AAAH 13 when the application of the authentication request message is a mobile IP and the routing information on the message is set to redirect. It inserts in the and inserts the redirect information in the authentication response message and transmits it to the sender of the authentication request message, that is, AAAF 11 (S34). Upon receiving this redirect information, the AAAF 11 performs a direct connection request and TLS setup to the AAAH 13 (S35) and directly sends and receives an authentication request message (S36) and a response message (S37).

여기서, 이동 IP 애플리케이션에서의 실제 종단 노드는 NAS(10)와 AAAH(13)이지만, 이동 IP 애플리케이션의 특성상 AAAF(11) 또한 인증 요청 메시지와 응답 메시지의 처리에 관여하게 되므로, AAAF(11)와 AAAH(13) 사이에서도 종단간 보안 관계가 설정되어야 한다. S37 단계 이후 AAAF(11)는 NAS(10)에 응답 메시지를 전송하며(S38), 그 이후 AAAF(11)와 AAAH(13)간에 중간 노드의 경유없이 인증을 위한 메시지가 직접 송수신된다(R1 내지 A2). 인증이 성공하면 사용자에게 서비스가 제공된다(S39).Here, the actual end nodes in the mobile IP application are NAS 10 and AAAH 13, but because of the characteristics of the mobile IP application, AAAF 11 is also involved in the processing of the authentication request message and the response message. End-to-end security relationships should also be established between the AAAHs 13. After the step S37, the AAAF 11 transmits a response message to the NAS 10 (S38), and thereafter, a message for authentication is directly transmitted and received between the AAAF 11 and the AAAH 13 without passing through an intermediate node (R1 to R1 through). A2). If authentication is successful, a service is provided to the user (S39).

도 4는 Diameter EAP 애플리케이션에서의 리다이렉트를 이용한 종단간 보안을 위한 정보 흐름을 나타내는 도면이다.4 is a diagram illustrating an information flow for end-to-end security using redirect in Diameter EAP application.

EAP 애플리케이션에서는, AAAF(11)에서의 이동 IP 애플리케이션에 대한 처리가 필요하지 않으므로, 도 3의 경우와는 달리 AAAF(11)가 직접 리다이렉트 서버로서의 역할이 가능하다. 따라서 실제 종단 노드인 NAS(10)와 AAAH(13) 사이의 직접 통신이 가능하다.In the EAP application, since the processing for the mobile IP application in the AAAF 11 is not necessary, the AAAF 11 can serve as a direct redirect server unlike the case of FIG. 3. Therefore, direct communication between the NAS 10 and the AAAH 13, which are actual end nodes, is possible.

초기 사용자가 서비스 요청시(S41) NAS(10)는 사용자 인증 요청 메시지를 AAAF(11)에게 전송한다(S42). 리다이렉트 서버로 동작하는 AAAF(11)는 인증 요청 메시지의 애플리케이션이 EAP이고 라우팅 정보에 AAAH(13)로의 리다이렉트로 설정 되어 있는 경우, AAAH(13)로의 직접 연결 정보를 리다이렉트 정보 요소들에 삽입하고 이 정보들을 인증 응답 메시지에 포함하여 인증 요청 메시지의 발신자, 즉 NAS(10)에게 전송한다(S43).When the initial user requests a service (S41), the NAS 10 transmits a user authentication request message to the AAAF 11 (S42). The AAAF 11 acting as a redirect server inserts direct connection information to the AAAH 13 into the redirect information elements when the application of the authentication request message is EAP and the routing information is set to redirect to the AAAH 13. The information is included in the authentication response message and transmitted to the sender of the authentication request message, that is, the NAS 10 (S43).

NAS(10)는, 이 리다이렉트 정보를 수신하면, AAAH(13)에게 직접 연결 요청과 TLS 설정을 수행하고(S44) 중간 노드 AAAB(12)의 경유없이 AAAH(13)와 인증 요청 및 응답 메시지를 직접 주고받는다(S45, S46). 인증이 성공하면 사용자에게 서비스가 제공된다(S47).The NAS 10, upon receiving this redirect information, performs a direct connection request and TLS setup to the AAAH 13 (S44) and sends an authentication request and response message to the AAAH 13 without passing through the intermediate node AAAB 12. Send and receive directly (S45, S46). If authentication is successful, a service is provided to the user (S47).

도 3에 제시된 이동 IP 환경에서의 리다이렉트를 이용한 종단간 보안 방식은 도 4에 제시된 EAP 애플리케이션 방식에 비해서 여러 단점을 가지고 있다. 종단간 보안은 메시지를 처리하는 노드가 아닌 중간 경유 노드에서의 불법적인 메시지 수정, 추가, 노출 등을 막기 위한 것으로, 리다이렉트 서버로 동작하는 AAAB(12)에서의 안전성이 문제가 될 수 있으며, EAP 애플리케이션의 경우보다 많은 메시지 인터페이스가 발생한다. 따라서 Diameter 프로토콜의 안전성과 효율성이 감소하게 된다. 또한 도 4에 제시된 종단간 보안 방식에 있어서도, NAS(10)와 AAAF(11)간에 리다이렉트를 위한 메시지의 송수신이 발생하므로 비효율적인 측면이 있다.The end-to-end security scheme using redirect in the mobile IP environment shown in FIG. 3 has several disadvantages compared to the EAP application scheme shown in FIG. 4. End-to-end security is to prevent illegal message modification, addition, exposure, etc. in the intermediate transit node, not the node that processes the message, and the security in the AAAB 12 acting as a redirect server may be a problem. There are more message interfaces than for an application. This reduces the safety and efficiency of the Diameter protocol. Also in the end-to-end security scheme shown in Figure 4, there is an inefficient side because the transmission and reception of the message for the redirect between the NAS 10 and AAAF (11) occurs.

도 5a에 본 발명이 제안하는 이동 IP 환경에서의 리다이렉트 종단간 보안 방법이 제시되어 있는데, Diameter 프로토콜에 의한 사용자 인증 과정으로 수행된다.In FIG. 5A, a redirect end-to-end security method in a mobile IP environment proposed by the present invention is presented, which is performed by a user authentication process using a Diameter protocol.

도 5a에 제시된, 본 명세서에서 개시하는 이동 IP 환경에서의 종단간 보안 설정 방법은 도 3에 제시된 방식에 토대를 두되, 상기한 단점들을 해결하기 위해 도 4에 제시된 방식의 개념을 부가한다.The end-to-end security configuration method in the mobile IP environment disclosed herein in FIG. 5A is based on the scheme shown in FIG. 3, but adds the concept of the scheme shown in FIG. 4 to solve the above disadvantages.

먼저 사용자가 서비스를 받기 위한 인증을 요청한다(S51). NAS(10)는 인증 요청 메시지를 생성하여 AAAF(11)에게 전송한다(S52). 이 때, AAAF(11)가 도 4에 제시된 EAP 애플리케이션의 경우에서처럼 리다이렉트 서버의 역할을 담당하며, 인증 요청 메시지를 수신한 AAAF(11)는 이동 IP 애플리케이션에 대한 필요한 처리를 수행하여 인증 요청 메시지를 수정한다. 그리고 요청 메시지상의 라우팅 정보를 확인하여 AAAH(13)로의 리다이렉트인 경우 하부 연결 설정과 TLS 설정을 하고(S53), AAAH(13)로 사용자 인증 요청 메시지를 전달한다(S54). 여기서, 하부 연결이란 NAS, AAAH, AAAB, AAAF 등 Diameter 노드들이 TCP(Transmission Control Protocol), SCTP(Stream Control Transmission Protocol) 등 통신 프로토콜의 어느 하나를 이용하여 상호 연결을 한다는 의미이다.First, the user requests authentication to receive a service (S51). The NAS 10 generates an authentication request message and transmits it to the AAAF 11 (S52). At this time, the AAAF 11 plays the role of a redirect server as in the case of the EAP application shown in FIG. 4, and the AAAF 11 having received the authentication request message performs the necessary processing for the mobile IP application to perform the authentication request message. Correct it. In case of redirection to the AAAH 13 by checking the routing information on the request message, the lower connection setting and the TLS setting are performed (S53), and the user authentication request message is transmitted to the AAAH 13 (S54). Here, the lower connection means that diameter nodes such as NAS, AAAH, AAAB, and AAAF interconnect each other using any one of communication protocols such as Transmission Control Protocol (TCP) and Stream Control Transmission Protocol (SCTP).

AAAH(13)는 인증 요청에 대한 인증 응답 메시지를 생성하여 AAAF(11)에게 전달(S55)하고 AAAF(11)는 이를 NAS(10)에게 송신한다(S56). 인증 메커니즘에 따라 부가적인 사용자 요청 및 응답 메시지가 송수신 될 수 있는데(R1 내지 A2), 그 메시지의 내용은 S52 내지 S56 과정을 통해 송수신되는 메시지와 동일하며 이 부가적인 메시지들은 서로 직접 연결된 AAAF(11)와 AAAH(13)를 통해 직접 송수신된다. 여기서 R은 'Request', A는 'Answer'의 의미이다. 인증이 성공할 경우 사용자에게 원하는 서비스가 제공된다(S57).The AAAH 13 generates an authentication response message for the authentication request and delivers it to the AAAF 11 (S55), and the AAAF 11 transmits it to the NAS 10 (S56). According to the authentication mechanism, additional user request and response messages may be transmitted and received (R1 to A2), and the contents of the message are the same as those transmitted and received through S52 to S56, and these additional messages are directly connected to each other through AAAF (11). ) And directly through the AAAH (13). Where R is 'Request' and A is 'Answer'. If authentication is successful, a desired service is provided to the user (S57).

도 5b에는 본 명세서에서 개시하는 리다이렉트 종단간 보안 장치의 일례의 구성이 제시되어 있다.5B shows a configuration of an example of a redirect end-to-end security device disclosed herein.

NAS(10)는 사용자 인증 요청 메시지를 생성하여 AAAF(11)에게 전송한다. 이 때, AAAF(11)가 도 4에 제시된 EAP 애플리케이션의 경우에서처럼 리다이렉트 서버의 역할을 담당한다. 인증 요청 메시지를 수신한 AAAF(11) 내의 리다이렉트 설정부(111)는 이동 IP 애플리케이션에 대한 필요한 처리를 수행하여 인증 요청 메시지를 수정한다. 그리고 요청 메시지상의 라우팅 정보를 확인하여 AAAH(13)로의 리다이렉트인 경우 하부 연결 설정과 TLS 설정을 하고, AAAH(13)로 사용자 인증 요청 메시지를 전송한다.The NAS 10 generates a user authentication request message and transmits it to the AAAF 11. At this time, the AAAF 11 plays the role of a redirect server as in the case of the EAP application shown in FIG. Upon receiving the authentication request message, the redirect setting unit 111 in the AAAF 11 performs the necessary processing for the mobile IP application to modify the authentication request message. In case of the redirection to the AAAH 13 by checking the routing information on the request message, the lower connection setting and the TLS setting are performed, and the user authentication request message is transmitted to the AAAH 13.

AAAH(13) 내의 인증 응답 메시지 생성부(131)는 인증 요청에 대한 인증 응답(허락) 메시지를 생성하여 AAAF(11) 내의 인증 응답 메시지 송/수신부(112)에 전송하고 인증 응답 메시지 송/수신부(112)는 이를 NAS(10)에게 송신함으로써 종단간 보안이 설정된다.The authentication response message generating unit 131 in the AAAH 13 generates an authentication response (permission) message for the authentication request and transmits the authentication response message transmitting / receiving unit 112 in the AAAF 11 to send the authentication response message transmitting / receiving unit. 112 transmits this to NAS 10, thereby establishing end-to-end security.

본 발명의 구현에 있어서는 RFC 3588의 프로토콜 수정은 불필요하다. 단지 AAAF(11) 노드가 내부적으로 리다이렉트 서버로의 기능을 수행하여 중간 노드인 AAAB(12)와의 리다이렉트 정보의 송수신(S34)없이 리다이렉트 기능을 바로 제공하도록 하는 것이다.In the implementation of the present invention, protocol modification of RFC 3588 is unnecessary. Only, the AAAF 11 node internally performs the function of the redirect server so that the AAAF 11 node directly provides the redirect function without transmitting / receiving (S34) the redirect information with the intermediate node AAAB 12.

도 3에 제시된 이동 IP 기반 종단간 보안 기법과 비교하면, 본 발명은 사용자 인증 과정에 직접 참여하지 않는 노드인 AAAB(12)를 거치지 않으므로 보다 효율적인 통신이 가능하며, 도 4에 제시된 종단간 보안 기법과 비교하더라도 리다이렉트를 위한 메시지의 송수신이 불필요하므로 보다 효율적이다.Compared with the mobile IP-based end-to-end security scheme shown in FIG. 3, the present invention does not go through AAAB 12, which is a node that does not directly participate in the user authentication process, thereby enabling more efficient communication, and the end-to-end security scheme shown in FIG. Compared with the above method, transmission and reception of messages for redirection are unnecessary, which is more efficient.

본 발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스 템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.The invention can also be embodied as computer readable code on a computer readable recording medium. Computer-readable recording media include all types of recording devices that store data that can be read by a computer system. Examples of computer-readable recording media include ROM, RAM, CD-ROM, magnetic tape, floppy disk, optical data storage, and the like, and may also be implemented in the form of a carrier wave (for example, transmission over the Internet). Include. The computer readable recording medium can also be distributed over network coupled computer systems so that the computer readable code is stored and executed in a distributed fashion.

이제까지 본 발명에 대하여 그 바람직한 실시예를 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시예는 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 균등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.So far I looked at the center of the preferred embodiment for the present invention. Those skilled in the art will appreciate that the present invention can be implemented in a modified form without departing from the essential features of the present invention. Therefore, the disclosed embodiments should be considered in descriptive sense only and not for purposes of limitation. The scope of the present invention is shown in the claims rather than the foregoing description, and all differences within the equivalent scope will be construed as being included in the present invention.

본 발명은 중간 노드 AAAB 와의 리다이렉트 정보의 송수신 없이 보안을 설정하기 때문에 노드 사이의 통신 횟수의 감소 효과와 동시에 보다 안전한 통신이 이루어지게 할 수 있다. 기존에는 사용자 인증 과정에 참여하지 않는 중간 노드가 사용자 인증 메시지의 초기 인증 정보를 수정하거나 직접 본 후 리다이렉트 정보를 송수신하여 안전성과 효율성 측면에서 모두 문제가 발생할 수 있었는데, 본 발명에 의하면, 사용자 인증 과정에 참여하는 종단 노드에서 내부 리다이렉트를 직접 수행 하도록 하여 통신 노드간 인터페이스를 줄이고 다른 노드로부터 사용자 인증 정보를 안전하게 보호할 수 있다.According to the present invention, since the security is set without transmitting and receiving the redirect information with the intermediate node AAAB, it is possible to reduce the number of communication between the nodes and at the same time make more secure communication. Previously, an intermediate node not participating in the user authentication process could modify or directly view the initial authentication information of the user authentication message and transmit and receive the redirect information, thereby causing problems in terms of both safety and efficiency. Internal redirects can be performed directly at the end nodes participating in the SNS, reducing the interface between communication nodes and protecting user authentication information from other nodes.

Claims (4)

(a)AAAF 가, NAS로부터 수신된 사용자 인증 요청 메시지상의 라우팅 정보가 AAAH 로의 리다이렉트인 경우, TLS(Transport Layer Security) 설정을 수행하고 상기 AAAH 로 상기 인증 요청 메시지를 전송하여 상기 AAAH 로 리다이렉트를 수행하는 단계;(a) When the routing information on the user authentication request message received from the NAS is redirected to AAAH, the AAAF performs a transport layer security (TLS) setting and sends the authentication request message to the AAAH to perform the redirect to the AAAH. Doing; (b)상기 AAAH 가 상기 인증 요청 메시지에 대한 인증 응답(허락) 메시지를 생성하여 상기 AAAF 에게 전송하는 단계; 및(b) the AAAH generating an authentication response (permission) message for the authentication request message and transmitting it to the AAAF; And (c)상기 AAAF 가 상기 응답 메시지를 사용자에 전송하는 단계를 포함함을 특징으로 하는 이동 IP 환경에서의 종단간 보안 설정 방법.(c) the AAAF transmitting the response message to the user. 제 1 항에 있어서, 상기 (a)단계는 상기 AAAF 가, 중간 노드 AAAB 와 상기 리다이렉트를 위한 메시지의 송수신 없이, 상기 AAAH 로 상기 리다이렉트를 직접 수행하여 이루어짐을 특징으로 하는 이동 IP 환경에서의 종단간 보안 설정 방법.The end-to-end in a mobile IP environment of claim 1, wherein step (a) is performed by the AAAF directly performing the redirect to the AAAH without transmitting and receiving a message for the intermediate node AAAB and the redirect. How to set up security. NAS로부터 수신된 사용자 인증 요청 메시지의 라우팅 정보가 AAAH 로의 리다이렉트인 경우, 상기 AAAH 로 상기 인증 요청 메시지를 전송하여 상기 AAAH 로 리다이렉트를 설정하는 리다이렉트 설정부; 및A redirect setting unit configured to set the redirect to the AAAH by transmitting the authentication request message to the AAAH when the routing information of the user authentication request message received from the NAS is redirected to the AAAH; And 상기 설정부로부터 상기 인증 요청 메시지를 전송받아 상기 인증 요청 메시지에 대한 인증 응답(허락) 메시지를 생성하여 상기 NAS로 전송하는 인증 응답 메시지 생성부를 포함함을 특징으로 하는 이동 IP 환경에서의 종단간 보안 설정 장치.End-to-end security in a mobile IP environment, characterized in that for receiving the authentication request message from the setting unit and generates an authentication response (authorization) message for the authentication request message and transmits to the NAS Setting device. 제 3 항에 있어서, 상기 리다이렉트 설정부는, 중간 노드 AAAB 와 상기 리다이렉트를 위한 메시지의 송수신 없이, 상기 AAAH 로 상기 리다이렉트를 직접 설정함을 특징으로 하는 이동 IP 환경에서의 종단간 보안 설정 장치.The end-to-end security setting device of claim 3, wherein the redirect setting unit directly sets the redirect to the AAAH without transmitting and receiving an intermediate node AAAB and a message for the redirect.
KR1020040089161A 2004-11-04 2004-11-04 Method for setting end-to-end security in mobile IP and Apparatus thereof KR100609704B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020040089161A KR100609704B1 (en) 2004-11-04 2004-11-04 Method for setting end-to-end security in mobile IP and Apparatus thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020040089161A KR100609704B1 (en) 2004-11-04 2004-11-04 Method for setting end-to-end security in mobile IP and Apparatus thereof

Publications (2)

Publication Number Publication Date
KR20060039995A KR20060039995A (en) 2006-05-10
KR100609704B1 true KR100609704B1 (en) 2006-08-09

Family

ID=37147065

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020040089161A KR100609704B1 (en) 2004-11-04 2004-11-04 Method for setting end-to-end security in mobile IP and Apparatus thereof

Country Status (1)

Country Link
KR (1) KR100609704B1 (en)

Also Published As

Publication number Publication date
KR20060039995A (en) 2006-05-10

Similar Documents

Publication Publication Date Title
US6792534B2 (en) End-to end protection of media stream encryption keys for voice-over-IP systems
CN103503408B (en) system and method for providing access credentials
US7716724B2 (en) Extensible authentication protocol (EAP) state server
CN101675644B (en) User profile, policy, and pmip key distribution in a wireless communication network
JP5043392B2 (en) Method for setting up a SIP communication session, system and computer program thereof
EP1374533B1 (en) Facilitating legal interception of ip connections
EP1635502A1 (en) Session control server and communication system
CN107612931B (en) Multipoint conversation method and multipoint conversation system
CA2527550A1 (en) Method for securely associating data with https sessions
CN109548022A (en) Method for mobile terminal user to remotely access local network
Rasol et al. An improved secure SIP registration mechanism to avoid VoIP threats
US20070289007A1 (en) Authentication Proxy Method, Distribution Management Device, And Authentication Proxy Method Program
US20050132075A1 (en) Authentication of mobile communication devices using mobile networks, SIP and Parlay
KR20180081965A (en) Apparatus and methdo for providing network service
CN108900584B (en) Data transmission method and system for content distribution network
KR100609704B1 (en) Method for setting end-to-end security in mobile IP and Apparatus thereof
Ventura Diameter: Next generations AAA protocol
CN110120907B (en) Proposed group-based IPSec VPN tunnel communication method and device
KR20220031252A (en) Method and apparatus for transmitting and receiving data based on blockchain in a wireless communication system
CN111614688A (en) Generic protocol for blockchains
JP2006352710A (en) Packet repeating apparatus and program
JP3472098B2 (en) Mobile computer device, relay device, and data transfer method
JP2007286820A (en) Information sharing system and information sharing method
CN115278660A (en) Access authentication method, device and system
JP2010537491A (en) New Diameter signaling for mobile IPv4

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee