KR100609704B1 - Method for setting end-to-end security in mobile IP and Apparatus thereof - Google Patents
Method for setting end-to-end security in mobile IP and Apparatus thereof Download PDFInfo
- Publication number
- KR100609704B1 KR100609704B1 KR1020040089161A KR20040089161A KR100609704B1 KR 100609704 B1 KR100609704 B1 KR 100609704B1 KR 1020040089161 A KR1020040089161 A KR 1020040089161A KR 20040089161 A KR20040089161 A KR 20040089161A KR 100609704 B1 KR100609704 B1 KR 100609704B1
- Authority
- KR
- South Korea
- Prior art keywords
- aaah
- redirect
- security
- aaaf
- message
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/084—Access security using delegated authorisation, e.g. open authorisation [OAuth] protocol
Abstract
본 발명은 이동 IP(mobile Internet Protocol) 환경에서의 종단간 보안 설정 방법 및 설정 장치에 관한 것으로, 특히 내부 리다이렉트(redirect)를 이용하여 종단간(end-to-end) 보안을 설정할 수 있는 방법 및 장치에 관한 것이며, 본 발명이 속하는 분야는 이동 인터넷 및 이동통신 시스템 환경에서 사용자 인증시 인증 서버 사이의 통신 보안 분야이다.The present invention relates to a method and setting device for end-to-end security in a mobile Internet Protocol (IP) environment, and more particularly, to a method for setting end-to-end security using an internal redirect. TECHNICAL FIELD The present invention relates to the field of communication security between authentication servers during user authentication in mobile Internet and mobile communication system environments.
본 명세서에서 개시하는 이동 IP 환경에서의 종단간 보안 설정 방법은 NAS로부터 전송된 사용자 인증 요청 메시지상의 라우팅 정보가 AAAH로의 리다이렉트인 경우, AAAF가 TLS(Transport Layer Security) 설정을 수행하고 상기 AAAH로 상기 인증 요청 메시지를 전송하여 상기 AAAH로 리다이렉트를 수행하는 단계; 상기 AAAH가 상기 인증 요청 메시지에 대한 인증 응답(허락) 메시지를 생성하여 상기 AAAF에게 전송하는 단계; 및 상기 AAAF가 상기 응답 메시지를 상기 NAS에게 전송하는 단계를 포함하여 본 발명의 목적 및 기술적 과제를 달성한다.In the end-to-end security setting method in the mobile IP environment disclosed herein, when the routing information on the user authentication request message sent from the NAS is redirected to AAAH, AAAF performs TLS (Transport Layer Security) setting and the AAAH is performed. Performing a redirect to the AAAH by sending an authentication request message; Generating, by the AAAH, an authentication response (permission) message for the authentication request message and transmitting the same to the AAAF; And the AAAF transmitting the response message to the NAS to achieve the object and technical problem of the present invention.
Description
도 1은 이동 IP 환경에서의 Diameter 통신 프로토콜에서 사용자 인증을 위한 정보 흐름을 나타내는 도면이다.1 is a diagram illustrating an information flow for user authentication in Diameter communication protocol in a mobile IP environment.
도 2는 Diameter 통신 프로토콜에서 PKI를 이용하여 보안 서비스를 제공하기 위한 흐름을 나타내는 도면이다.2 is a diagram illustrating a flow for providing a security service using a PKI in the Diameter communication protocol.
도 3은 현재 Diameter WG에서 표준화 진행중인 이동 IP에서의 종단간 보안 을 위한 흐름을 나타내는 도면이다.3 is a diagram illustrating a flow for end-to-end security in a mobile IP which is currently being standardized in Diameter WG.
도 4는 Diameter EAP 응용에서의 리다이렉트를 이용한 종단간 보안을 위한 흐름을 나타내는 도면이다.4 is a diagram illustrating a flow for end-to-end security using redirect in Diameter EAP application.
도 5a는 본 명세서에서 개시하는 이동 IP 환경에서의 종단간 보안 설정 방법의 흐름을 제시한 도면이다.FIG. 5A is a diagram illustrating a flow of a method for configuring end-to-end security in a mobile IP environment disclosed herein.
도 5b는 본 명세서에서 개시하는 이동 IP 환경에서의 종단간 보안 설정 장치의 일실시예의 구성을 제시한 도면이다.FIG. 5B is a diagram illustrating a configuration of an embodiment of an end-to-end security configuration apparatus in a mobile IP environment disclosed herein.
본 발명은 이동 IP(mobile Internet Protocol) 환경에서의 종단간 보안 설정 방법 및 설정 장치에 관한 것으로, 특히 내부 리다이렉트(redirect)를 이용하여 종단간(end-to-end) 보안을 설정할 수 있는 방법 및 장치에 관한 것이며, 본 발명이 속하는 분야는 이동 인터넷 및 이동통신 시스템(3세대 IMT-2000 및 이후 세대의 이동통신 시스템)환경에서 사용자 인증 시 인증 서버 사이의 통신 보안 분야이다.The present invention relates to a method and setting device for end-to-end security in a mobile Internet Protocol (IP) environment, and more particularly, to a method for setting end-to-end security using an internal redirect. TECHNICAL FIELD The present invention relates to the field of communication security between authentication servers during user authentication in mobile Internet and mobile communication systems (3rd generation IMT-2000 and later generations of mobile communication systems).
도 1은 이동 IP 환경에서의 사용자 인증을 위한 정보의 흐름을 나타내는 도면으로 Diameter 프로토콜이 적용되는 경우이다.1 is a diagram illustrating a flow of information for user authentication in a mobile IP environment, in which the Diameter protocol is applied.
NAS(Network Access Server, 10)와 AAAH(Authentication, Authorization and Accounting server in Home network, 13)는 사용자 트래픽이 송수신되는 통신 환경에서의 통신 참여 대상으로 종단 노드이다. 중간 노드 AAAF(Authentication, Authorization and Accounting server in Foreign network, 11)와 AAAB(Authentication, Authorization and Accounting server in Broker network, 12)는 사용자 인증(authentication) 과정에 참여하거나, NAS(10)와 AAAH(13) 사이에서 메시지를 전달하는 역할을 수행한다.NAS (Network Access Server) 10 and AAAH (Authentication, Authorization and Accounting server in Home network, 13) are end nodes for participation in communication in a communication environment in which user traffic is transmitted and received. The intermediate nodes AAAF (Authentication, Authorization and Accounting server in Foreign network, 11) and AAAB (Authentication, Authorization and Accounting server in Broker network, 12) participate in the user authentication process, or NAS (10) and AAAH (13). It serves to pass messages between).
이 때, NAS, AAAF, AAAB, AAAH 노드들은 이동 환경에서 AAA(Authentication, Authorization and Accounting) 프로토콜이 적용된 노드들로 두 개념이 섞인 경우에 도출되는 기본 노드들이다. AAA 서버의 경우는 Diameter 프로토콜의 기본 노드지만 이동 환경에 적용됨에 따라 AAAF, AAAB, AAAH 등으로 역할이 나누어지게 된다. 또한 NAS는 이동 통신을 하기 위한 기본 노드이며, 사용자와 직접 연결된 노드이다.In this case, NAS, AAAF, AAAB, and AAAH nodes are nodes that are applied when the two concepts are mixed with nodes to which AAA (Authentication, Authorization and Accounting) protocol is applied in a mobile environment. The AAA server is the basic node of the Diameter protocol, but the roles are divided into AAAF, AAAB, and AAAH according to the mobile environment. NAS is also a basic node for mobile communication and a node directly connected to a user.
Diameter 프로토콜은, 이동 IP 환경에서의 보안 설정에 관한 일 프로토콜로서, 종단간 보안(end-to-end security)을 위해 Diameter CMS Security Application을, (중간)노드간 보안(hop by hop Security)을 위해서는 TLS(Transport Layer Security) 혹은 IPsec(IP security)을 적용한다.The Diameter protocol is a protocol for setting up security in a mobile IP environment. The Diameter CMS Security Application is used for end-to-end security and the (hop) hop for hop (hop by hop security). Apply TLS (Transport Layer Security) or IPsec (IP security).
사용자가 자신의 등록 네트워크를 벗어나 외부 네트워크에 도달했을 시 NAS(10)에게 서비스 요청 메시지를 전송한다(S11). NAS(10)는 사용자의 등록 네트워크인 AAAH(13)를 확인하여 인증 요청 메시지를 AAAF(11)로 전달한다(S12). 이 과정에서 외부 네트워크의 인증 서버인 AAAF(11)은 인증 요청 메시지에 이동 IP 애플리케이션에서 필요한 작업을 수행할 수 있다. AAAB(12)는 AAAF(11)의 네트워크와 AAAH(13)의 네트워크를 연결하는 브로커(broker) 네트워크이며, 두 네트워크 사이에서 메시지를 릴레이(relay) 하는 기능을 수행한다.When the user reaches the external network out of his registration network, and transmits the service request message to the NAS (10) (S11). The
AAAF(11)와 AAAB(12)를 통하여 NAS(10)와 AAAH(13)간 인증 요청 메시지(S13, S14)와 응답 메시지(S15 내지 S17)가 송수신되며 인증이 성공하면 사용자에게 원하는 서비스가 제공된다(S18).Authentication request messages (S13, S14) and response messages (S15 to S17) between the
도 2는 Diameter 통신 프로토콜에서 PKI(Public Key Infrastructure)를 이용하여 보안 서비스를 제공하기 위한 정보 흐름을 나타내는 도면이다.FIG. 2 is a diagram illustrating an information flow for providing a security service using a public key infrastructure (PKI) in a diameter communication protocol.
도 2에 제시된 정보의 흐름은 Diameter AAA WG(Working Group)의 Diameter CMS Security Application 에 의한 것으로, Diameter 종단 노드 사이의 보안 기능을 제공한다. 노드 NAS(10)와 AAAH(13)는 종단간 보안 정보를 공유하기 위해, 이전에 우선 DSA(Diameter Security Association)을 설정하고(S21 내지 S26), 도 1에 제시된 과정(S11 내지 S18)이 진행된다.The information flow shown in FIG. 2 is by Diameter CMS Security Application of Diameter AAA Working Group (WG), and provides security between Diameter end nodes. In order to share end-to-end security information, the
DSA 설정은 DSAR(Diameter Security Association Request) 메시지(S21 내지 S23)와 DSAA(DSA Answer) 메시지(S24 내지 S26)를 송수신하여 설정되며, 하부 연결 시에 송수신될 수 있다. DSA의 설정으로 두 종단 노드 NAS(10)와 AAAH(13)는 추후의 메시지에 대해 3-DES(3-Data Encryption Standard) 암호화와 디지털 서명을 적용할 수 있다. 이동 IP 혹은 EAP(Extensible Authentication Protocol) 애플리케이션의 경우 사용자 인증 요청 메시지에 설정된 DSA를 통하여 종단간 보안이 적용된다.The DSA setting is set by transmitting and receiving a DSAR (Diameter Security Association Request) message (S21 to S23) and a DSAA (DSA Answer) message (S24 to S26). With the configuration of the DSA, the two end nodes NAS 10 and
그러나, Diameter CMS Security Application은 2003년 표준화 작업이 중단되었다. 따라서 이에 대한 대안으로 리다이렉트 기법과 노드간 보안에서 사용되었던 TLS를 이용하여 종단간 보안으로 적용하려는 표준화 작업이 진행중이다.However, the Diameter CMS Security Application was discontinued in 2003. Therefore, as an alternative to this, standardization work is underway to apply end-to-end security using TLS, which is used in the redirection scheme and inter-node security.
본 발명은 이러한 움직임에 부응하기 위해 창안된 것으로, 본 발명의 목적 및 이루고자 하는 기술적 과제는 사용자 인증을 위한 통신을 수행해야 하는 네트워크 노드들 사이에서 이동 IP 환경에서의 리다이렉트를 이용한 종단간 보안 설정을 보다 안전하고 효율적으로 이루어지게 하는 방법 및 장치를 제공함에 있다.The present invention was devised to cope with such a movement, and an object of the present invention and the technical problem to be achieved is to establish an end-to-end security configuration using a redirect in a mobile IP environment between network nodes that must perform communication for user authentication. The present invention provides a method and apparatus for safer and more efficient operation.
본 명세서에서 개시하는 이동 IP 환경에서의 종단간 보안 설정 방법은 (a)NAS로부터 전송된 사용자 인증 요청 메시지상의 라우팅 정보가 AAAH로의 리다이렉트인 경우, AAAF가 TLS(Transport Layer Security) 설정을 수행하고, 상기 AAAH 로 상기 인증 요청 메시지를 전송하여 상기 AAAH로 리다이렉트를 수행하는 단계; (b)상기 AAAH가 상기 인증 요청 메시지에 대한 인증 응답(허락) 메시지를 생성하여 상기 AAAF에게 전송하는 단계; 및 (c)상기 AAAF가 상기 응답 메시지를 상기 NAS에게 전송하는 단계를 포함하여 본 발명의 목적 및 기술적 과제를 달성한다.End-to-end security configuration method in the mobile IP environment disclosed herein (a) when the routing information on the user authentication request message sent from the NAS is redirected to AAAH, AAAF performs a transport layer security (TLS) configuration, Transmitting the authentication request message to the AAAH to perform a redirect to the AAAH; (b) the AAAH generating an authentication response (permission) message for the authentication request message and transmitting it to the AAAF; And (c) the AAAF transmitting the response message to the NAS to achieve the object and technical problem of the present invention.
상기 (a)단계는 상기 AAAF가, 중간 노드 AAAB와의 리다이렉트 메시지의 송수신 없이, 상기 AAAH로 리다이렉트를 직접 수행하여 이루어지게 함이 본 발명의 목적 및 기술적 과제를 달성을 위해 바람직하다.In the step (a), the AAAF is performed by directly performing a redirect to the AAAH without transmitting and receiving a redirect message with the intermediate node AAAB.
아울러, 본 명세서에서 개시하는 이동 IP 환경에서의 종단간 보안 설정 장치는 NAS로부터 수신된 사용자 인증 요청 메시지의 라우팅 정보가 AAAH 로의 리다이렉트인 경우, 상기 AAAH 로 상기 메시지를 전송하여 상기 AAAH 로 리다이렉트를 설정하는 리다이렉트 설정부; 및 상기 설정부로부터 상기 메시지를 전송받아 상기 메시지에 대한 인증 응답(허락) 메시지를 생성하여 상기 NAS 로 전송하는 인증 응답 메시지 생성부를 포함하여 본 발명의 목적 및 기술적 과제를 달성한다.In addition, when the routing information of the user authentication request message received from the NAS is redirected to AAAH, the apparatus for end-to-end security setting in the mobile IP environment disclosed herein sets the redirect to the AAAH by transmitting the message to the AAAH. A redirect setting unit; And an authentication response message generation unit configured to receive the message from the setting unit and generate an authentication response (permission) message for the message and transmit the same to the NAS to achieve the object and technical problem of the present invention.
이하, 본 발명의 기술적 사상을 명확화하기 위해, 본 발명의 실시예에 근거하여 그 구성 및 동작을 첨부 도면을 참조하여 상세히 설명하되 도면의 구성요소들에 참조번호를 부여함에 있어서 동일 구성요소에 대해서는 비록 다른 도면상에 있더라도 동일 참조번호를 부여하였으며 당해 도면에 대한 설명시 필요한 경우 다른 도면의 구성요소를 인용할 수 있음을 미리 밝혀둔다.Hereinafter, in order to clarify the technical spirit of the present invention, the configuration and operation thereof will be described in detail with reference to the accompanying drawings based on the embodiments of the present invention. Although the same reference numerals have been given even in different drawings, it will be appreciated that components of other drawings may be cited when necessary in describing the drawings.
본 발명이 제공하는 기술적 사상의 핵심은 이동 IP 환경에서 종단간 보안을 보다 효율적이고 안전하게 제공하기 위해 리다이렉트 설정 서버(이하 '리다이렉트 서버') AAAF 를 이동 IP 애플리케이션에서의 최종 노드로 설정함과 동시에 리다이렉트 서버로 설정하여, AAAF가 중간 노드 AAAB와의 리다이렉트를 위한 메시지의 송수신 없이, AAAF 가 AAAH 로 직접 리다이렉트를 수행하도록 하는 것이다.The core of the technical idea provided by the present invention is to set up a redirect configuration server (hereinafter referred to as a "redirect server") AAAF as a final node in a mobile IP application to provide end-to-end security in a mobile IP environment more efficiently and safely By setting it as a server, the AAAF performs the direct redirect to the AAAH without sending or receiving a message for the redirect with the intermediate node AAAB.
본 발명 구현의 기본적 개념을 제공하는 종단간 보안 설정 방식에 대하여 도 3과 도 4를 참조하여 설명한다.An end-to-end security configuration method that provides a basic concept of implementing the present invention will be described with reference to FIGS. 3 and 4.
도 3은 Diameter WG에서 표준화가 진행중인 이동 IP 환경에서의 종단간 보안 설정을 위한 정보 흐름을 나타내는 도면이다. 도 3에 제시된 방식은 기존의 노드간 보안에 사용되던 TLS와 리다이렉트 기법을 이용하여 종단 노드간 직접 연결을 통해 중간 경유 노드를 거치지 않고 통신하는 방식이다.3 is a diagram illustrating an information flow for end-to-end security configuration in a mobile IP environment in which standardization is performed in Diameter WG. The method shown in FIG. 3 is a method of communicating without passing through an intermediate transit node through a direct connection between end nodes using a TLS and a redirect technique used in the existing inter-node security.
도 3에 제시된 보안 방식에서는 중간 노드 AAAB(12)가 리다이렉트 서버로 동작함을 가정한다. 리다이렉트 서버 AAAB(12)는 라우팅 테이블의 호스트 정보에 특정 애플리케이션 정보를 가지는 메시지의 수신시에 메시지의 발신자에게 목적 서버로 직접 연결할 수 있는 정보를 제공하는 기능을 가진다.In the security scheme shown in FIG. 3, it is assumed that the
초기 사용자가 서비스 요청시(S31) NAS(10)는 사용자 인증 요청 메시지를 AAAF(11)에 전송한다(S32). AAAF(11)는 이 메시지에 해당하는 이동 IP 애플리케이션에 대한 처리를 수행한 후 라우팅 정보에 따라 AAAB(12)에게 사용자 인증 요청 메시지를 전송(S33)한다.When the initial user requests the service (S31), the
리다이렉트 서버로 동작하는 AAAB(12)는 인증 요청 메시지의 애플리케이션이 이동 IP 이고 이 메시지상의 라우팅 정보가 리다이렉트로 설정되어 있는 경우, AAAF(11)에서 AAAH(13)로의 직접 연결 정보를 리다이렉트 정보 요소들에 삽입하고 리다이렉트 정보를 인증 응답 메시지에 포함하여 인증 요청 메시지의 발신자, 즉 AAAF(11)에게 전송한다(S34). AAAF(11)는, 이 리다이렉트 정보를 수신하면, AAAH(13)에게 직접 연결 요청과 TLS 설정을 수행(S35)하고 인증 요청 메시지(S36)및 응답 메시지(S37)를 직접 주고받는다.
여기서, 이동 IP 애플리케이션에서의 실제 종단 노드는 NAS(10)와 AAAH(13)이지만, 이동 IP 애플리케이션의 특성상 AAAF(11) 또한 인증 요청 메시지와 응답 메시지의 처리에 관여하게 되므로, AAAF(11)와 AAAH(13) 사이에서도 종단간 보안 관계가 설정되어야 한다. S37 단계 이후 AAAF(11)는 NAS(10)에 응답 메시지를 전송하며(S38), 그 이후 AAAF(11)와 AAAH(13)간에 중간 노드의 경유없이 인증을 위한 메시지가 직접 송수신된다(R1 내지 A2). 인증이 성공하면 사용자에게 서비스가 제공된다(S39).Here, the actual end nodes in the mobile IP application are
도 4는 Diameter EAP 애플리케이션에서의 리다이렉트를 이용한 종단간 보안을 위한 정보 흐름을 나타내는 도면이다.4 is a diagram illustrating an information flow for end-to-end security using redirect in Diameter EAP application.
EAP 애플리케이션에서는, AAAF(11)에서의 이동 IP 애플리케이션에 대한 처리가 필요하지 않으므로, 도 3의 경우와는 달리 AAAF(11)가 직접 리다이렉트 서버로서의 역할이 가능하다. 따라서 실제 종단 노드인 NAS(10)와 AAAH(13) 사이의 직접 통신이 가능하다.In the EAP application, since the processing for the mobile IP application in the
초기 사용자가 서비스 요청시(S41) NAS(10)는 사용자 인증 요청 메시지를 AAAF(11)에게 전송한다(S42). 리다이렉트 서버로 동작하는 AAAF(11)는 인증 요청 메시지의 애플리케이션이 EAP이고 라우팅 정보에 AAAH(13)로의 리다이렉트로 설정 되어 있는 경우, AAAH(13)로의 직접 연결 정보를 리다이렉트 정보 요소들에 삽입하고 이 정보들을 인증 응답 메시지에 포함하여 인증 요청 메시지의 발신자, 즉 NAS(10)에게 전송한다(S43).When the initial user requests a service (S41), the
NAS(10)는, 이 리다이렉트 정보를 수신하면, AAAH(13)에게 직접 연결 요청과 TLS 설정을 수행하고(S44) 중간 노드 AAAB(12)의 경유없이 AAAH(13)와 인증 요청 및 응답 메시지를 직접 주고받는다(S45, S46). 인증이 성공하면 사용자에게 서비스가 제공된다(S47).The
도 3에 제시된 이동 IP 환경에서의 리다이렉트를 이용한 종단간 보안 방식은 도 4에 제시된 EAP 애플리케이션 방식에 비해서 여러 단점을 가지고 있다. 종단간 보안은 메시지를 처리하는 노드가 아닌 중간 경유 노드에서의 불법적인 메시지 수정, 추가, 노출 등을 막기 위한 것으로, 리다이렉트 서버로 동작하는 AAAB(12)에서의 안전성이 문제가 될 수 있으며, EAP 애플리케이션의 경우보다 많은 메시지 인터페이스가 발생한다. 따라서 Diameter 프로토콜의 안전성과 효율성이 감소하게 된다. 또한 도 4에 제시된 종단간 보안 방식에 있어서도, NAS(10)와 AAAF(11)간에 리다이렉트를 위한 메시지의 송수신이 발생하므로 비효율적인 측면이 있다.The end-to-end security scheme using redirect in the mobile IP environment shown in FIG. 3 has several disadvantages compared to the EAP application scheme shown in FIG. 4. End-to-end security is to prevent illegal message modification, addition, exposure, etc. in the intermediate transit node, not the node that processes the message, and the security in the
도 5a에 본 발명이 제안하는 이동 IP 환경에서의 리다이렉트 종단간 보안 방법이 제시되어 있는데, Diameter 프로토콜에 의한 사용자 인증 과정으로 수행된다.In FIG. 5A, a redirect end-to-end security method in a mobile IP environment proposed by the present invention is presented, which is performed by a user authentication process using a Diameter protocol.
도 5a에 제시된, 본 명세서에서 개시하는 이동 IP 환경에서의 종단간 보안 설정 방법은 도 3에 제시된 방식에 토대를 두되, 상기한 단점들을 해결하기 위해 도 4에 제시된 방식의 개념을 부가한다.The end-to-end security configuration method in the mobile IP environment disclosed herein in FIG. 5A is based on the scheme shown in FIG. 3, but adds the concept of the scheme shown in FIG. 4 to solve the above disadvantages.
먼저 사용자가 서비스를 받기 위한 인증을 요청한다(S51). NAS(10)는 인증 요청 메시지를 생성하여 AAAF(11)에게 전송한다(S52). 이 때, AAAF(11)가 도 4에 제시된 EAP 애플리케이션의 경우에서처럼 리다이렉트 서버의 역할을 담당하며, 인증 요청 메시지를 수신한 AAAF(11)는 이동 IP 애플리케이션에 대한 필요한 처리를 수행하여 인증 요청 메시지를 수정한다. 그리고 요청 메시지상의 라우팅 정보를 확인하여 AAAH(13)로의 리다이렉트인 경우 하부 연결 설정과 TLS 설정을 하고(S53), AAAH(13)로 사용자 인증 요청 메시지를 전달한다(S54). 여기서, 하부 연결이란 NAS, AAAH, AAAB, AAAF 등 Diameter 노드들이 TCP(Transmission Control Protocol), SCTP(Stream Control Transmission Protocol) 등 통신 프로토콜의 어느 하나를 이용하여 상호 연결을 한다는 의미이다.First, the user requests authentication to receive a service (S51). The
AAAH(13)는 인증 요청에 대한 인증 응답 메시지를 생성하여 AAAF(11)에게 전달(S55)하고 AAAF(11)는 이를 NAS(10)에게 송신한다(S56). 인증 메커니즘에 따라 부가적인 사용자 요청 및 응답 메시지가 송수신 될 수 있는데(R1 내지 A2), 그 메시지의 내용은 S52 내지 S56 과정을 통해 송수신되는 메시지와 동일하며 이 부가적인 메시지들은 서로 직접 연결된 AAAF(11)와 AAAH(13)를 통해 직접 송수신된다. 여기서 R은 'Request', A는 'Answer'의 의미이다. 인증이 성공할 경우 사용자에게 원하는 서비스가 제공된다(S57).The
도 5b에는 본 명세서에서 개시하는 리다이렉트 종단간 보안 장치의 일례의 구성이 제시되어 있다.5B shows a configuration of an example of a redirect end-to-end security device disclosed herein.
NAS(10)는 사용자 인증 요청 메시지를 생성하여 AAAF(11)에게 전송한다. 이 때, AAAF(11)가 도 4에 제시된 EAP 애플리케이션의 경우에서처럼 리다이렉트 서버의 역할을 담당한다. 인증 요청 메시지를 수신한 AAAF(11) 내의 리다이렉트 설정부(111)는 이동 IP 애플리케이션에 대한 필요한 처리를 수행하여 인증 요청 메시지를 수정한다. 그리고 요청 메시지상의 라우팅 정보를 확인하여 AAAH(13)로의 리다이렉트인 경우 하부 연결 설정과 TLS 설정을 하고, AAAH(13)로 사용자 인증 요청 메시지를 전송한다.The
AAAH(13) 내의 인증 응답 메시지 생성부(131)는 인증 요청에 대한 인증 응답(허락) 메시지를 생성하여 AAAF(11) 내의 인증 응답 메시지 송/수신부(112)에 전송하고 인증 응답 메시지 송/수신부(112)는 이를 NAS(10)에게 송신함으로써 종단간 보안이 설정된다.The authentication response
본 발명의 구현에 있어서는 RFC 3588의 프로토콜 수정은 불필요하다. 단지 AAAF(11) 노드가 내부적으로 리다이렉트 서버로의 기능을 수행하여 중간 노드인 AAAB(12)와의 리다이렉트 정보의 송수신(S34)없이 리다이렉트 기능을 바로 제공하도록 하는 것이다.In the implementation of the present invention, protocol modification of RFC 3588 is unnecessary. Only, the
도 3에 제시된 이동 IP 기반 종단간 보안 기법과 비교하면, 본 발명은 사용자 인증 과정에 직접 참여하지 않는 노드인 AAAB(12)를 거치지 않으므로 보다 효율적인 통신이 가능하며, 도 4에 제시된 종단간 보안 기법과 비교하더라도 리다이렉트를 위한 메시지의 송수신이 불필요하므로 보다 효율적이다.Compared with the mobile IP-based end-to-end security scheme shown in FIG. 3, the present invention does not go through
본 발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스 템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.The invention can also be embodied as computer readable code on a computer readable recording medium. Computer-readable recording media include all types of recording devices that store data that can be read by a computer system. Examples of computer-readable recording media include ROM, RAM, CD-ROM, magnetic tape, floppy disk, optical data storage, and the like, and may also be implemented in the form of a carrier wave (for example, transmission over the Internet). Include. The computer readable recording medium can also be distributed over network coupled computer systems so that the computer readable code is stored and executed in a distributed fashion.
이제까지 본 발명에 대하여 그 바람직한 실시예를 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시예는 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 균등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.So far I looked at the center of the preferred embodiment for the present invention. Those skilled in the art will appreciate that the present invention can be implemented in a modified form without departing from the essential features of the present invention. Therefore, the disclosed embodiments should be considered in descriptive sense only and not for purposes of limitation. The scope of the present invention is shown in the claims rather than the foregoing description, and all differences within the equivalent scope will be construed as being included in the present invention.
본 발명은 중간 노드 AAAB 와의 리다이렉트 정보의 송수신 없이 보안을 설정하기 때문에 노드 사이의 통신 횟수의 감소 효과와 동시에 보다 안전한 통신이 이루어지게 할 수 있다. 기존에는 사용자 인증 과정에 참여하지 않는 중간 노드가 사용자 인증 메시지의 초기 인증 정보를 수정하거나 직접 본 후 리다이렉트 정보를 송수신하여 안전성과 효율성 측면에서 모두 문제가 발생할 수 있었는데, 본 발명에 의하면, 사용자 인증 과정에 참여하는 종단 노드에서 내부 리다이렉트를 직접 수행 하도록 하여 통신 노드간 인터페이스를 줄이고 다른 노드로부터 사용자 인증 정보를 안전하게 보호할 수 있다.According to the present invention, since the security is set without transmitting and receiving the redirect information with the intermediate node AAAB, it is possible to reduce the number of communication between the nodes and at the same time make more secure communication. Previously, an intermediate node not participating in the user authentication process could modify or directly view the initial authentication information of the user authentication message and transmit and receive the redirect information, thereby causing problems in terms of both safety and efficiency. Internal redirects can be performed directly at the end nodes participating in the SNS, reducing the interface between communication nodes and protecting user authentication information from other nodes.
Claims (4)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020040089161A KR100609704B1 (en) | 2004-11-04 | 2004-11-04 | Method for setting end-to-end security in mobile IP and Apparatus thereof |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020040089161A KR100609704B1 (en) | 2004-11-04 | 2004-11-04 | Method for setting end-to-end security in mobile IP and Apparatus thereof |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20060039995A KR20060039995A (en) | 2006-05-10 |
KR100609704B1 true KR100609704B1 (en) | 2006-08-09 |
Family
ID=37147065
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020040089161A KR100609704B1 (en) | 2004-11-04 | 2004-11-04 | Method for setting end-to-end security in mobile IP and Apparatus thereof |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100609704B1 (en) |
-
2004
- 2004-11-04 KR KR1020040089161A patent/KR100609704B1/en not_active IP Right Cessation
Also Published As
Publication number | Publication date |
---|---|
KR20060039995A (en) | 2006-05-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US6792534B2 (en) | End-to end protection of media stream encryption keys for voice-over-IP systems | |
CN103503408B (en) | system and method for providing access credentials | |
US7716724B2 (en) | Extensible authentication protocol (EAP) state server | |
CN101675644B (en) | User profile, policy, and pmip key distribution in a wireless communication network | |
JP5043392B2 (en) | Method for setting up a SIP communication session, system and computer program thereof | |
EP1374533B1 (en) | Facilitating legal interception of ip connections | |
EP1635502A1 (en) | Session control server and communication system | |
CN107612931B (en) | Multipoint conversation method and multipoint conversation system | |
CA2527550A1 (en) | Method for securely associating data with https sessions | |
CN109548022A (en) | Method for mobile terminal user to remotely access local network | |
Rasol et al. | An improved secure SIP registration mechanism to avoid VoIP threats | |
US20070289007A1 (en) | Authentication Proxy Method, Distribution Management Device, And Authentication Proxy Method Program | |
US20050132075A1 (en) | Authentication of mobile communication devices using mobile networks, SIP and Parlay | |
KR20180081965A (en) | Apparatus and methdo for providing network service | |
CN108900584B (en) | Data transmission method and system for content distribution network | |
KR100609704B1 (en) | Method for setting end-to-end security in mobile IP and Apparatus thereof | |
Ventura | Diameter: Next generations AAA protocol | |
CN110120907B (en) | Proposed group-based IPSec VPN tunnel communication method and device | |
KR20220031252A (en) | Method and apparatus for transmitting and receiving data based on blockchain in a wireless communication system | |
CN111614688A (en) | Generic protocol for blockchains | |
JP2006352710A (en) | Packet repeating apparatus and program | |
JP3472098B2 (en) | Mobile computer device, relay device, and data transfer method | |
JP2007286820A (en) | Information sharing system and information sharing method | |
CN115278660A (en) | Access authentication method, device and system | |
JP2010537491A (en) | New Diameter signaling for mobile IPv4 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
LAPS | Lapse due to unpaid annual fee |