KR100670790B1 - Method for distributing IPsec SA via AAA infrastructure in mobile IPv6 environment - Google Patents

Method for distributing IPsec SA via AAA infrastructure in mobile IPv6 environment Download PDF

Info

Publication number
KR100670790B1
KR100670790B1 KR1020040101091A KR20040101091A KR100670790B1 KR 100670790 B1 KR100670790 B1 KR 100670790B1 KR 1020040101091 A KR1020040101091 A KR 1020040101091A KR 20040101091 A KR20040101091 A KR 20040101091A KR 100670790 B1 KR100670790 B1 KR 100670790B1
Authority
KR
South Korea
Prior art keywords
security association
message
home agent
policy
mobile node
Prior art date
Application number
KR1020040101091A
Other languages
Korean (ko)
Other versions
KR20060062302A (en
Inventor
유준석
나재훈
정교일
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020040101091A priority Critical patent/KR100670790B1/en
Publication of KR20060062302A publication Critical patent/KR20060062302A/en
Application granted granted Critical
Publication of KR100670790B1 publication Critical patent/KR100670790B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/002Countermeasures against attacks on cryptographic mechanisms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

이동 IPv6 환경에서 AAA(Authentication Authorization Accounting) 기반 구조를 통한 IPSec 보안 연계 분배 방법 및 시스템이 개시되어 있다. 본 발명은 AAA 기반 구조와 연동된 모바일 IPv6환경에서 이동 노드와 홈에이전트간에 IPSec 보안 연계를 분배하는 IPSec 보안 연계 분배 방법에 있어서, 이동 노드가 상기 AAA기반구조로 보안 연계 분배를 요청하면 소정의 인증 절차를 거쳐 상기 홈에이전트에 보안 연계 분배에 필요한 정보를 요청하는 과정, 홈에이전트로부터 보안 연계 분배 요청의 정책 정보와 일치하는 정책의 존재 여부와 알고리듬 선택 메시지를 수신하면 그 메시지를 바탕으로 보안 연계 구성 정보를 생성하는 과정, 생성된 보안 연계 정보 메시지를 상기 이동 노드 및 상기 홈 에이전트로 분배하는 과정을 포함한다.Disclosed is a method and system for distributing IPSec security association through AAA (Authentication Authorization Accounting) infrastructure in a mobile IPv6 environment. The present invention provides an IPSec security association distribution method for distributing an IPSec security association between a mobile node and a home agent in a mobile IPv6 environment interworking with an AAA infrastructure, when a mobile node requests security association distribution to the AAA infrastructure. Requesting the home agent the necessary information for the distribution of security associations, and upon receiving the policy selection message and the algorithm selection message matching the policy information of the security association distribution request from the home agent, the security association is configured based on the message Generating information and distributing the generated security association information message to the mobile node and the home agent.

Description

이동 IPv6 환경에서 AAA기반 구조를 통한 IPSec 보안 연계 분배 방법{Method for distributing IPsec SA via AAA infrastructure in mobile IPv6 environment}Method for distributing IPsec SA via AAA infrastructure in mobile IPv6 environment}

도 1은 본 발명에 따른 AAA기반 구조를 통한 IPSec 보안 연계 분배 시스템을 도시한 것이다. 1 illustrates an IPSec security association distribution system through an AAA infrastructure according to the present invention.

도 2는 본 발명에 따른 AAA기반 구조를 통한 IPSec 보안 연계 분배 방법의 흐름도이다. 2 is a flowchart illustrating an IPSec security association distribution method through an AAA infrastructure according to the present invention.

본 발명은 IPsec(IP security protocol) 보안 연계 시스템에 관한 것이며, 특히 모바일(mobile) IPv6 환경에서 AAA(Authentication Authorization Accounting) 기반 구조를 통한 IPSec 보안 연계 분배 방법 및 시스템에 관한 것이다.The present invention relates to an IP security protocol (IPsec) security association system, and more particularly, to a method and system for distributing IPSec security association through AAA (Authentication Authorization Accounting) infrastructure in a mobile IPv6 environment.

통상적으로 IPv6는 기존 IPv4의 주소고갈 문제 뿐 아니라 향후 필요하게 될 다양한 기능들을 고려하여 개발되었기 때문에 충분한 글로벌 주소의 제공, 자동 주소 생성, 향상된 보안성, 이동성 지원 등의 다양한 특성을 가지고 있다. In general, IPv6 has been developed in consideration of address depletion problems of IPv4 as well as various functions that will be needed in the future, and thus has various characteristics such as providing sufficient global addresses, automatic address generation, improved security, and mobility support.

이 중에서 이동성을 지원하는 것은 무선 환경에서의 전송과 관련된 문제(신뢰성, 핸드 오프 등)를 비롯하여 IP 프로토콜 관련 문제(어드레싱, 라우팅 등), 그리고 보안 관련 사항 등에 대한 요구사항을 모두 고려해야 하므로 매우 어려운 문제 중의 하나이다. 만약 IP 프로토콜에서 이동성을 특별히 지원하지 않을 경우, 컴퓨터가 홈 링크가 아닌 다른 링크에 접속된다면 해당 컴퓨터로 향하는 패킷은 전달될 수 없다. 컴퓨터가 여러 링크를 이동해 다니더라도 지속적인 통신이 가능하려면, 해당 컴퓨터는 링크를 옮길 때 마다 자신의 IP 주소를 변경할 수 있어야 하는데 이는 전송 계층 이상의 연결을 잃게 되는 결과를 가져온다.Among these, supporting mobility is very difficult because it requires consideration of requirements related to transmission in a wireless environment (reliability, handoff, etc.), IP protocol related issues (addressing, routing, etc.), and security related matters. Is one of. If the IP protocol does not specifically support mobility, packets destined for the computer cannot be delivered if the computer is connected to a link other than the home link. In order for a computer to be able to communicate continuously across multiple links, the computer must be able to change its IP address each time the link is moved, resulting in a loss of connectivity beyond the transport layer.

모바일 IPv6는 IPv6 환경에서 이러한 문제를 해결하기 위해 개발된 프로토콜로써 이동 컴퓨터가 자신의 IPv6 주소, 즉 홈 주소를 변경하지 않고도 링크들을 이동해 다니며 통신할 수 있도록 하는 프로토콜을 정의하고 있다. 이 프로토콜을 사용하여 이동 컴퓨터의 홈 주소를 목적지로 하는 패킷들은 이동 컴퓨터가 어느 링크상에 위치해 있던지 상관없이 이동 컴퓨터로 전달될 수 있다. 하지만 이러한 이동성은 이동노드가 홈 도메인 내에서 이동할 경우에만 지원이 되며, 홈 도메인을 벗어난 이동노드가 외부 도메인에서 이동성 서비스를 받으려면 홈 도메인에서 해당 단말에 대한 인증이 이루어져야 한다. 이러한 로밍(roaming) 환경에서의 인증 문제 등은 AAA 기반구조를 사용함으로써 해결될 수 있다. AAA 기반 구조는 가입자의 인증, 권한 인가 및 과금 처리 기능을 수행하는 프로토콜의 일종이다. Mobile IPv6 is a protocol developed to solve this problem in an IPv6 environment, and defines a protocol that enables a mobile computer to move and communicate links without changing its IPv6 address, or home address. Using this protocol, packets destined for the mobile computer's home address can be delivered to the mobile computer regardless of which link the mobile computer is located on. However, such mobility is supported only when the mobile node moves within the home domain, and the mobile node outside the home domain needs to be authenticated for the terminal in the home domain in order to receive the mobility service from the external domain. This problem of authentication in roaming environment can be solved by using AAA infrastructure. The AAA infrastructure is a type of protocol that performs subscriber authentication, authorization and billing processing.

또한 모바일 IPv6가 이동성을 지원하기 위해서는 프리픽스 정보 전달, 자동적인 주소생성, 바인딩(binding) 갱신과 같은 서비스들이 필요하다. 이러한 서비스 들은 항상 악의적인 공격자에 의해 손상될 가능성이 있으며 모바일 IPv6의 보안 취약성과 매우 밀접한 관련을 가진다. 특히, 이동 노드와 홈에이전트 사이의 트래픽은 IPSec를 통해 보호되어야 하며, 이를 위해서 두 노드 사이에는 사전에 설정된 보안연계가 존재해야만 한다. 하지만 IPSec 보안 연계를 자동으로 분배하기 위한 방법인 IKE(Internet Key Exchange) 프로토콜은 오버 헤드가 상당하고 이로 인해 단말이 이동하는 모바일 IP 환경에서 끊김없는 서비스를 제공하기 어렵다는 문제를 지닌다. Mobile IPv6 also requires services such as forwarding prefix information, automatic address generation, and binding updates. These services are always at risk of being compromised by malicious attackers and are closely related to the security vulnerabilities of mobile IPv6. In particular, the traffic between the mobile node and the home agent must be protected via IPSec, and for this purpose, a predetermined security association must exist between the two nodes. However, the IKE (Internet Key Exchange) protocol, which is a method for automatically distributing IPSec security associations, has a considerable overhead, which makes it difficult to provide a seamless service in a mobile IP environment in which a terminal moves.

따라서 최근에는 AAA 기반구조를 통하여 AAA의 기본적인 기능인 인증, 권한검증, 과금의 문제 뿐 아니라 모바일 IP의 동작을 좀 더 효과적으로 수행할 수 있도록 하기위한 연구들이 활발히 이루어지고 있다. 그 중에서 이동노드와 홈에이전트 사이에서 교환되는 트래픽 보호를 위해 필요한 IPSec의 보안연계를 분배하는 방법에 대한 연구는 주요 이슈가 되고 있다. 하지만 기존 방법들은 IPSec의 동작을 위한 완전한 보안연계를 분배하지 않고 다만 인증키를 생성할 수 있는 키 재료만을 분배하는 방법만 제안하고 있다. 따라서 이러한 방법으로는 이동노드와 홈에이전트 사이의 트래픽을 보호하기 위해 IPSec을 사용할 수 없으며, IPSec 사용을 위해서는 별도로 완전한 보안연계를 분배해야 한다는 문제를 가지고 있다. Therefore, in recent years, researches are being actively conducted to enable the operation of mobile IP more effectively through the AAA infrastructure as well as the AAA basic functions such as authentication, authorization verification, and billing. Among them, research on how to distribute the security association of IPSec necessary for protecting traffic exchanged between mobile node and home agent is a major issue. However, the existing methods do not distribute the complete security association for the operation of IPSec, but only propose the method of distributing only the key material that can generate the authentication key. Therefore, in this method, IPSec cannot be used to protect the traffic between the mobile node and the home agent, and there is a problem that a separate security association must be separately distributed for the use of IPSec.

본 발명이 이루고자하는 기술적 과제는 이동 노드와 홈 에이젼트가 제공하는 정보에 기반하여 AAA 기반 구조내의 AAA 홈 서버가 완전한 IPsec 보안 연계를 구성할 수 있는 정보를 제공함으로써 보안 연계 협상 과정에서 발생하는 부담을 경감하 는 AAA 기반 구조를 통한 IPSec 보안 연계 분배 방법 및 그 시스템을 제공하는 데 있다. The technical problem to be achieved by the present invention is to provide the information that the AAA home server in the AAA infrastructure can form a complete IPsec security association based on the information provided by the mobile node and the home agent to overcome the burden incurred in the negotiation of the security association. The present invention provides a method and system for distributing IPSec security associations through a reduced AAA infrastructure.

상기의 기술적 과제를 해결하기 위하여, 본 발명은 AAA 기반 구조와 연동된 모바일 IPv6환경에서 이동 노드와 홈에이전트간에 IPSec 보안 연계를 분배하는 IPSec 보안 연계 분배 방법에 있어서,In order to solve the above technical problem, the present invention provides an IPSec security association distribution method for distributing an IPSec security association between a mobile node and a home agent in a mobile IPv6 environment interworking with the AAA infrastructure,

상기 이동 노드가 상기 AAA기반구조로 보안 연계 분배에 필요한 정보를 요청하면 소정의 인증 절차를 거쳐 상기 홈에이전트에 보안 연계 분배를 요청하는 과정;Requesting the security agent distribution to the home agent through a predetermined authentication procedure when the mobile node requests the information required for the security association distribution to the AAA infrastructure;

상기 홈에이전트로부터 보안 연계 분배 요청의 정책 정보와 일치하는 정책의 존재 여부와 알고리듬 선택 메시지를 수신하면 그 메시지를 바탕으로 보안 연계 구성 정보를 생성하는 과정;Generating security association configuration information based on the presence or absence of an algorithm selection message matching the policy information of the security association distribution request from the home agent based on the message;

상기 과정에서 생성된 보안 연계 정보 메시지를 상기 이동 노드 및 상기 홈 에이전트로 분배하는 과정을 포함하며,Distributing the security association information message generated in the process to the mobile node and the home agent;

상기 보안 연계 구성 정보 생성 과정은 The security association configuration information generation process

상기 홈에이전트에서 상기 보안연계 분배 요청의 정책 정보와 일치하는 정책이 존재하는가를 검색하는 과정;Searching whether there is a policy in the home agent that matches the policy information of the security association distribution request;

상기 검색 과정에서 요청된 정책 정보와 일치하는 정책이 존재할 경우 홈에이젼트가 알고리즘 리스트에서 지원 가능한 알고리즘을 랜덤하게 선택한 후 그 일치하는 정책 존재 여부와 선택된 알고리즘 정보를 포함하는 메시지를 생성하고, 상기 일치하는 정책이 존재하지 않거나 지원 가능한 알고리즘이 없을 경우 그에 해당 하는 메시지를 생성하는 과정;If there is a policy that matches the requested policy information in the search process, the home agent randomly selects an algorithm that can be supported from the algorithm list, and then generates a message including whether the matching policy exists and the selected algorithm information. Generating a corresponding message if there is no policy or if there is no supported algorithm;

상기 홈에이전트에서 생성된 정책 및 알고리즘 메시지를 수신하면 그 정책 및 알고리즘에 따른 보안연계 구성 정보들을 생성하는 과정을 구비하는 것을 특징으로 한다.And receiving the policy and algorithm message generated by the home agent, generating security association configuration information according to the policy and algorithm.

이하 첨부된 도면을 참조로 하여 본 발명의 바람직한 실시예를 설명하기로 한다. Hereinafter, exemplary embodiments of the present invention will be described with reference to the accompanying drawings.

도 1은 본 발명에 따른 AAA기반 구조를 통한 IPSec 보안 연계 분배 시스템을 도시한 것이다. 1 illustrates an IPSec security association distribution system through an AAA infrastructure according to the present invention.

도 1의 시스템은 이동노드(Mobile Node:MN), 홈에이전트(Home Agent:HA), AAA 로컬 서버(AAAL), AAA 홈 서버(AAAH), 어텐던트(Attendant)를 구비하며, 상기 AAA 로컬 서버(AAAL), AAA 홈 서버(AAAH), 어텐던트(Attendant)들이 AAA 기반 구조를 형성한다.The system of FIG. 1 includes a mobile node (MN), a home agent (HA), an AAA local server (AAAL), an AAA home server (AAAH), an attendant, and the AAA local server ( AAAL), AAA Home Server (AAAH), and Attendants form an AAA infrastructure.

도 1을 참조하면, 이동 노드(MN)는 홈망(120)과 외부망(110)을 이동해 다니면서 IP 주소의 변경없이 연결점을 바꾸는 이동 호스트이다. Referring to FIG. 1, a mobile node (MN) is a mobile host that moves a home network 120 and an external network 110 and changes a connection point without changing an IP address.

홈에이전트(HA)는 단말노드가 외부망 혹은 외부링크로 이동하였을 경우에 홈망(120)에서 단말 노드(MN)를 대신하여 패킷을 수신하고 단말노드(MN)로 이를 전송해주는 역할을 하는 라우터이다.The home agent (HA) is a router that receives a packet on behalf of the terminal node (MN) in the home network 120 and transmits it to the terminal node (MN) when the terminal node moves to an external network or an external link. .

AAA 로컬 서버(AAAL)는 이동 노드(MN)의 인증 요청을 받아 홈망(120)의 AAA 홈 서버(AAAH)로 전달해 주는 이동 노드(MN)가 방문한 망의 AAA 서버이다. The AAA local server AAAL is an AAA server of a network visited by the mobile node MN, which receives an authentication request from the mobile node MN and delivers the request to the AAA home server AAAH of the home network 120.

AAA 홈 서버(AAAH)는 AAA 로컬 서버(AAAL)로부터 전달되는 이동 노드(MN)의 인증요청을 받아 인증처리를 하는 홈망의 AAA 서버이다.The AAA home server AAAH is an AAA server of a home network that receives an authentication request from a mobile node MN delivered from an AAA local server AAAL and performs authentication processing.

어텐던트(Attendant)는 이동노드(MN)가 방문한 망에서 인터넷 접속의 접점을 제공하는 라우터이다. An attendant is a router that provides a point of contact for Internet access in a network visited by a mobile node (MN).

도 1의 AAA기반 구조를 통한 IPSec 보안 연계 분배 시스템에서 다음 사항을 가정한다. Assume the following in the IPSec security association distribution system through the AAA infrastructure of FIG.

이동 노드(MN)는 자신이 사용할 홈 에이전트(HA)를 이미 알고 있다.The mobile node MN already knows the home agent HA to use.

이동 노드(MN)와 홈에이전트(HA) 사이에 IPSec에 대한 정책은 미리 설정되어 있다.The policy for IPSec is set in advance between the mobile node MN and the home agent HA.

이동 노드(MN)와 AAA 홈 서버(AAAH) 사이는 비밀 정보 KEYAAAH-MN와 임의의 해쉬 알고리즘 H()를 사전에 공유하고 있다. The mobile node MN and the AAA home server AAAH share in advance the secret information KEY AAAH-MN and an arbitrary hash algorithm H ().

AAA 홈 서버(AAAH)와 홈에이전트(HA) 사이의 통신은 IPSec이나 SSL(Secure Sockets Layer)과 같은 별도의 보안 프로토콜에 의해서 보호된다.Communication between the AAA home server (AAAH) and the home agent (HA) is protected by separate security protocols such as IPSec or Secure Sockets Layer (SSL).

도 2는 본 발명에 따른 AAA기반 구조를 통한 IPSec 보안 연계 분배 방법의 흐름도이다.2 is a flowchart illustrating an IPSec security association distribution method through an AAA infrastructure according to the present invention.

먼저, 이동 노드(MN)는 최초에 홈망(120)에 접속하여 홈 주소(홈망(120)에서 할당받은 영구 IP 주소)를 할당받게 되고, 홈망(120)에 위치하는 동안 이동 노드(MN)는 홈 주소를 통하여 일반적인 IP 통신을 수행한다. 만약 이동 노드(MN)가 홈망(120)을 벗어나 외부망(110)으로 이동해 접속을 하게 되면 이동 노드(MN)는 어텐 던트(attendant)를 통하여 홈망(120)으로 인증 요청(AU_REQ)메시지를 전송한다. 이 때, 인증 요청(AU_REQ) 메시지는 AAA 인증을 위한 특정 프로토콜(예: 다이어메타(Diameter), 래디우스(radius)등)에서 제공하는 메시지 타입을 따른다. 또한 이동 노드(MN)는 인증 요청(AU_REQ) 메시지와 함께 이동 노드(MN)의 홈 주소, 홈에이전트(HA)의 주소, 그리고 두 노드에 관련된 정책 정보, 이동 노드(MN)가 지원할 수 있는 알고리즘 리스트를 포함하여 보안 연계 분배를 요청하는 보안연계 요청(SA_REQ) 메시지도 함께 전송한다. 이러한 인증 요청(AU_REQ) 및 보안연계 요청메시지들은 외부망(110)의 AAA로컬 서버(AAAL)을 거쳐 홈망(120)의 AAA홈 서버(AAAH)로 전달된다(212, 214, 216). First, the mobile node MN initially accesses the home network 120 and is assigned a home address (a permanent IP address assigned by the home network 120), while the mobile node MN is located in the home network 120. General IP communication is performed through the home address. If the mobile node MN moves out of the home network 120 to the external network 110 and accesses the mobile node MN, the mobile node MN sends an authentication request (AU_REQ) message to the home network 120 through an attendant. do. At this time, the authentication request (AU_REQ) message follows a message type provided by a specific protocol for AAA authentication (eg, Diameter, Radius, etc.). In addition, the mobile node (MN), along with the authentication request (AU_REQ) message, the mobile node (MN) 's home address, the home agent (HA) address, the policy information related to the two nodes, the algorithm that the mobile node (MN) can support The security association request (SA_REQ) message including the list is also transmitted. The authentication request (AU_REQ) and security association request messages are transmitted to the AAA home server (AAAH) of the home network 120 via the AAA local server (AAAL) of the external network 110 (212, 214, 216).

이때 AAA홈 서버(AAAH)는 인증 요청(AU_REQ) 메시지를 수신하면 이동노드의 인증 처리를 하고(220) 이를 통과한 경우에만 보안 연계 요청(SA_REQ)메시지를 처리하게 된다. 즉, AAA홈 서버(AAAH)는 이동 노드(MN)의 인증에 실패하면(230) 인증 실패(AU_FAILURE) 메시지를 이동 노드(MN)로 다시 전송하게 되고(232), 인증에 성공하면 보안연계요청(SA_REQ)내에 포함된 홈에이전트(HA) 주소를 목적지로 하여 보안 연계요청(SA_REQ) 메시지를 홈에이젼트(HA)에 전달한다(234). At this time, when the AAA home server AAAH receives the authentication request (AU_REQ) message, the AAA home server (AAAH) performs authentication processing of the mobile node (220) and processes the security association request (SA_REQ) message only when it passes. That is, if the AAA home server (AAAH) fails to authenticate the mobile node (MN) (230), the AAA home server sends an authentication failure (AU_FAILURE) message back to the mobile node (MN) (232). The security association request (SA_REQ) message is delivered to the home agent (HA) by using the home agent (HA) address included in the SA_REQ as a destination (234).

홈에이전트(HA)는 AAA홈 서버(AAAH)로부터 보안연계요청(SA_REQ) 메시지를 수신하면 정책 데이터베이스(SPD)에서 보안연계요청(SA_REQ)의 정책 정보와 일치하는 정책이 존재하는지를 검색한다(240). When the home agent (HA) receives a security association request (SA_REQ) message from the AAA home server (AAAH), the home agent (HA) searches the policy database (SPD) for a policy that matches the policy information of the security association request (SA_REQ). .

만약 일치하는 정책 정보가 존재할 경우(250), 홈에이전트(HA)는 알고리즘 리스트에서 자신이 지원할 수 있는 알고리즘을 랜덤하게 고른 후(260) 일치하는 정 책의 존재 여부와 선택한 알고리즘 정보를 포함하는 HA_SP_ALG 메시지를 생성하여 AAA홈 서버(AAAH)로 전송한다(262). 만약 일치하는 정책 정보가 존재하지 않거나 알고리즘 리스트에 홈에이전트(HA)가 지원할 수 있는 알고리즘이 없을 경우 홈에이전트(HA)는 NO_SP_EXIST 메시지나 UNMATCHED_ALG 메시지를 AAA홈 서버(AAAH)에게로 전송하고(252), 이동 노드(MN)에게는 인증 성공(AU_SUCCESS)메시지 및 NO_SP_EXIST, UNMATCHED_ALG 메시지를 전송한다(254). If there is a matching policy information (250), the home agent (HA) randomly selects an algorithm that it can support from the algorithm list (260) and then HA_SP_ALG including the existence of the matching policy and the selected algorithm information. A message is generated and transmitted to the AAA home server AAAH (262). If there is no matching policy information or no algorithm in the algorithm list can be supported by the home agent, the home agent sends a NO_SP_EXIST message or an UNMATCHED_ALG message to the AAA home server (AAAH) (252). In step 254, the mobile node MN transmits an authentication success (AU_SUCCESS) message and a NO_SP_EXIST, UNMATCHED_ALG message.

AAA홈 서버(AAAH)가 홈에이젼트(HA)로부터 HA_SP_ALG 메시지를 수신하면 선택된 알고리즘이 사용할 키 및 수명(life time) 등과 같이 완전한 보안연계(SA)를 구성할 수 있는 보안연계구성 정보들을 생성하고(270) 이들로 구성된 홈 에이젼트 보안 연계 정보(HA_SA_INFO) 메시지를 홈에이전트(HA)로 전송한다(272). 이 때 키는 다음과 같이 계산되며, RN은 AAA홈 서버(AAAH)가 생성한 랜덤값 이다. When the AAA Home Server (AAAH) receives the HA_SP_ALG message from the Home Agent (HA), it generates security association configuration information that can form a complete security association (SA) such as the key and life time that the selected algorithm will use ( In step 272, the home agent security association information (HA_SA_INFO) message including the message is transmitted to the home agent (HA). At this time, the key is calculated as follows, and RN is a random value generated by AAA Home Server (AAAH).

H(KEYAAAH-MN, 이동단말 홈주소||RN) H (KEY AAAH-MN , Mobile Terminal Home Address || RN)

또한 AAA홈 서버(AAAH)는 인증 성공(AU_SUCCESS) 메시지와 홈에이전트(HA)에서의 정책 존재여부, 선택된 알고리즘, 그리고 생성한 랜덤값(RN) 등으로 구성된 MN_SA_INFO 메시지를 이동 노드(MN)로 전송한다(274). 단, HA_SA_INFO 메시지와 MN_SA_INFO 메시지는 이동노드(MN)와 홈에이전트(HA)가 완전한 보안연계를 구성할 수 있는 정보를 포함하며, 이는 AAA홈 서버(AAAH)가 설정할 수 있다.In addition, AAA Home Server (AAAH) sends MN_SA_INFO message composed of authentication success (AU_SUCCESS) message, policy presence in home agent (HA), selected algorithm, and random value (RN) generated to mobile node (MN). (274). However, the HA_SA_INFO message and the MN_SA_INFO message include information that the mobile node (MN) and the home agent (HA) can form a complete security association, which can be set by the AAA home server (AAAH).

AAA홈 서버(AAAH)로 부터 HA_SA_INFO 메시지를 수신한 홈에이전트(HA)는 해당 메시지에 포함되어 있는 정보에 기반하여 해당 정책에 대한 보안연계를 구성하 고, 이를 보안연계 데이터베이스(SAD)에 저장한다(280). 또한 AAA홈 서버(AAAH)로부터 MN_SA_INFO 메시지를 수신한 이동 노드(MN)의 이동 단말 역시 해당 메시지에 포함되어 있는 정보에 기반하여 해당 정책에 대한 보안연계를 구성하고, 이를 보안연계 데이터베이스(SAD)에 저장한다(290). The home agent (HA) that receives the HA_SA_INFO message from the AAA home server (AAAH) configures the security association for the policy based on the information contained in the message and stores it in the security association database (SAD). (280). In addition, the mobile node of the mobile node (MN) that has received the MN_SA_INFO message from the AAA home server (AAAH) also configures a security association for the corresponding policy based on the information included in the message, and sends it to the security association database (SAD). Save (290).

본 발명은 상술한 실시예에 한정되지 않으며, 본 발명의 사상내에서 당업자에 의한 변형이 가능함은 물론이다.The present invention is not limited to the above-described embodiment, and of course, modifications may be made by those skilled in the art within the spirit of the present invention.

또한 본 발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 하드디스크, 플로피디스크, 플래쉬 메모리, 광 데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드로서 저장되고 실행될 수 있다.The present invention can also be embodied as computer readable code on a computer readable recording medium. The computer-readable recording medium includes all kinds of recording devices in which data that can be read by a computer system is stored. Examples of computer-readable recording media include ROM, RAM, CD-ROM, magnetic tape, hard disk, floppy disk, flash memory, optical data storage device, and also carrier waves (for example, transmission over the Internet). It also includes the implementation in the form of. The computer readable recording medium can also be distributed over network coupled computer systems so that the computer readable code is stored and executed in a distributed fashion.

상술한 바와 같이 본 발명에 의하면, 본 발명은 AAA 기반구조와 연동된 모바일 IPv6 환경에서 이동노드와 홈 에이전트 사이의 IPSec 보안연계를 IKE에 의해 분배하지 않고 AAA 서버에 의존함으로써 IKE 수행에 의한 부가적인 통신 오버헤드를 줄여 모바일 IPv6의 성능을 향상시킬 수 있다. As described above, according to the present invention, the present invention provides additional information by performing IKE by relying on AAA server without distributing IPSec security association between mobile node and home agent by IKE in mobile IPv6 environment interworking with AAA infrastructure. It can improve the performance of mobile IPv6 by reducing communication overhead.                     

또한 본 발명은 보안연계의 분배 대상인 이동노드와 홈에이전트에 보안연계 자동 협상을 위한 IKE 모듈의 탑재 필요성을 제거하므로, 컴퓨팅 파워 및 전력사용에 한계를 가지는 이동노드의 효율을 높일수 있다. In addition, the present invention eliminates the necessity of mounting the IKE module for autonomous security association in the mobile node and the home agent that is the distribution target of the security association, thereby increasing the efficiency of the mobile node having limitations in computing power and power usage.

Claims (7)

AAA 기반 구조와 연동된 모바일 IPv6환경에서 이동 노드와 홈에이전트간에 IPSec 보안 연계를 분배하는 AAA 서버의 IPSec 보안 연계 분배 방법에 있어서,A method for distributing IPSec security association of an AAA server for distributing IPSec security association between a mobile node and a home agent in a mobile IPv6 environment interworking with the AAA infrastructure, 상기 이동 노드가 외부망에서 홈망으로 인증 요청 메시지와 함께 상기 AAA기반 구조로 보안 연계 분배를 요청하면 소정의 인증 절차를 거쳐 상기 홈에이전트에 보안 연계 분배에 필요한 정보를 요청하는 과정;When the mobile node requests a security association distribution from the external network to the home network together with an authentication request message to the AAA infrastructure, requesting information required for the security association distribution to the home agent through a predetermined authentication procedure; 상기 홈에이전트에서 검색된 보안 연계 분배 요청의 정책 정보와 일치하는 정책의 존재 여부와 알고리듬 선택 메시지를 수신하면 그 메시지를 바탕으로 보안 연계 구성 정보를 생성하는 과정;Generating security association configuration information based on the presence or absence of an algorithm selection message matching the policy information of the security association distribution request retrieved from the home agent based on the message; 상기 과정에서 생성된 보안 연계 구성 정보 메시지를 상기 이동 노드 및 상기 홈 에이전트로 분배하는 과정을 포함하는 IPSec 보안 연계 분배 방법.And distributing the security association configuration information message generated in the process to the mobile node and the home agent. 제1항에 있어서, 상기 보안 연계 분배 요청 과정은 The method of claim 1, wherein the security association distribution request process is 이동 노드로부터 인증 요청 및 보안 연계 분배 요청 메시지를 수신하는 과정;Receiving an authentication request and a security association distribution request message from the mobile node; 상기 이동 노드의 인증을 처리하여 인증 성공이면 상기 보안 연계 분배 요청 을 상기 홈에이젼트로 전송하고, 인증 실패이면 인증 실패 메시지를 상기 이동 노드로 전송하는 과정을 구비하는 것을 특징으로 하는 IPSec 보안 연계 분배 방법.Transmitting the security association distribution request to the home agent if authentication is successful by processing the authentication of the mobile node, and transmitting an authentication failure message to the mobile node if authentication fails. . 제1항에 있어서, 상기 보안 연계 구성 정보 생성 과정은 The method of claim 1, wherein the generating of the security association configuration information is performed. 상기 홈에이전트에서 상기 보안연계 분배 요청의 정책 정보와 일치하는 정책이 존재하는가를 검색하는 과정;Searching whether there is a policy in the home agent that matches the policy information of the security association distribution request; 상기 검색 과정에서 요청된 정책 정보와 일치하는 정책이 존재할 경우 홈에이젼트가 알고리즘 리스트에서 지원 가능한 알고리즘을 랜덤하게 선택한 후 그 일치하는 정책 존재 여부와 선택된 알고리즘 정보를 포함하는 메시지를 생성하고, 상기 일치하는 정책이 존재하지 않거나 지원 가능한 알고리즘이 없을 경우 그에 해당하는 메시지를 생성하는 과정;If there is a policy that matches the requested policy information in the search process, the home agent randomly selects an algorithm that can be supported from the algorithm list, and then generates a message including whether the matching policy exists and the selected algorithm information. Generating a message corresponding to a policy that does not exist or there is no supportable algorithm; 상기 홈에이전트에서 생성된 정책 및 알고리즘 메시지를 수신하면 그 정책 및 알고리즘에 따른 보안연계 구성 정보들을 생성하는 과정을 구비하는 것을 특징으로 IPSec 보안 연계 분배 방법. Receiving a policy and algorithm message generated by the home agent, and generating security association configuration information according to the policy and algorithm. 제3항에 있어서, 상기 보안연계 구성 정보 메시지는 인증 성공 정보, 홈 에이전트의 정책 존재 여부, 선택된 알고리즘, 알고리즘 키이 값을 포함하는 것을 특징으로 IPSec 보안 연계 분배 방법. 4. The method of claim 3, wherein the security association configuration information message includes authentication success information, presence or absence of a policy of a home agent, a selected algorithm, and an algorithm key value. 제3항에 있어서, 상기 선택된 알고리즘이 사용하는 키는 4. The key of claim 3, wherein the key used by the selected algorithm is H(KEYAAAH-MN, 이동단말 홈주소||RN)이며, 여기서 RN은 AAA홈 서버(AAAH)가 생성한 랜덤값 임을 특징으로 하는 IPSec 보안 연계 분배 방법.H (KEY AAAH-MN , mobile terminal home address || RN), where RN is a random value generated by AAA home server (AAAH). 제1항에 있어서, 상기 보안 연계 정보 분배 과정은 According to claim 1, wherein the security association information distribution process 상기 정책 및 알고리즘 따라 생성된 보안연계 구성 정보 메시지를 상기 홈에이전트로 전송하고, Transmitting the security association configuration information message generated according to the policy and algorithm to the home agent, 상기 인증 성공 메시지와 상기 보안연계 구성 정보 메시지들을 상기 이동 노드로 전송하는 것임을 특징으로 IPSec 보안 연계 분배 방법. And transmitting the authentication success message and the security association configuration information messages to the mobile node. 제6항에 있어서, 상기 홈에이전트 및 이동 노드에서 각각 상기 보안연계 구성 정보 메시지에 포함된 정보를 근거로 해당 정책에 대한 보안 연계를 구성하여 보안 연계 데이터 베이스에 저장하는 과정을 더 포함하는 것임을 특징으로 IPSec 보안 연계 분배 방법.The method according to claim 6, wherein the home agent and the mobile node further comprise configuring a security association for a corresponding policy based on the information included in the security association configuration information message and storing the security association in a security association database. To distribute IPSec security associations.
KR1020040101091A 2004-12-03 2004-12-03 Method for distributing IPsec SA via AAA infrastructure in mobile IPv6 environment KR100670790B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020040101091A KR100670790B1 (en) 2004-12-03 2004-12-03 Method for distributing IPsec SA via AAA infrastructure in mobile IPv6 environment

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020040101091A KR100670790B1 (en) 2004-12-03 2004-12-03 Method for distributing IPsec SA via AAA infrastructure in mobile IPv6 environment

Publications (2)

Publication Number Publication Date
KR20060062302A KR20060062302A (en) 2006-06-12
KR100670790B1 true KR100670790B1 (en) 2007-01-17

Family

ID=37158486

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020040101091A KR100670790B1 (en) 2004-12-03 2004-12-03 Method for distributing IPsec SA via AAA infrastructure in mobile IPv6 environment

Country Status (1)

Country Link
KR (1) KR100670790B1 (en)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20020035530A (en) * 2002-04-12 2002-05-11 이정희 A Mobile CRM Mechanism using Subscriber Real-Time Service Information
KR20040077113A (en) * 2003-02-28 2004-09-04 에스케이 텔레콤주식회사 Sip based video telephony service method for mobile communication packet network
KR20050046499A (en) * 2003-11-14 2005-05-18 삼성전자주식회사 System and method for establishing session of mobile terminal in a mobile ip system
KR20050065127A (en) * 2003-12-24 2005-06-29 한국전자통신연구원 Communication method for providing fast moving among mobile network and providing secure session identifier transmission
KR20050065130A (en) * 2003-12-24 2005-06-29 한국전자통신연구원 A session key issuing method

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20020035530A (en) * 2002-04-12 2002-05-11 이정희 A Mobile CRM Mechanism using Subscriber Real-Time Service Information
KR20040077113A (en) * 2003-02-28 2004-09-04 에스케이 텔레콤주식회사 Sip based video telephony service method for mobile communication packet network
KR20050046499A (en) * 2003-11-14 2005-05-18 삼성전자주식회사 System and method for establishing session of mobile terminal in a mobile ip system
KR20050065127A (en) * 2003-12-24 2005-06-29 한국전자통신연구원 Communication method for providing fast moving among mobile network and providing secure session identifier transmission
KR20050065130A (en) * 2003-12-24 2005-06-29 한국전자통신연구원 A session key issuing method

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Wei Liang et al, A Local Authentication Control Sc*

Also Published As

Publication number Publication date
KR20060062302A (en) 2006-06-12

Similar Documents

Publication Publication Date Title
US9197615B2 (en) Method and system for providing access-specific key
EP2245799B1 (en) Route optimization in mobile ip networks
RU2437238C2 (en) Methods and device for provision of pmip keys hierarchy in wireless communication network
JP4965671B2 (en) Distribution of user profiles, policies and PMIP keys in wireless communication networks
FI105965B (en) Authentication in telecommunications networks
US8584207B2 (en) Infrastructure-less bootstrapping: trustless bootstrapping to enable mobility for mobile devices
AU2003294330B2 (en) Methods and apparatus for dynamic session key generation and rekeying in mobile IP
US8514851B2 (en) Mobile IPv6 authentication and authorization baseline
JP4291272B2 (en) How to register home address of mobile node with home agent
US9043599B2 (en) Method and server for providing a mobility key
US20040103275A1 (en) Methods and apparatus for secure, portable, wireless and multi-hop data networking
US20010012777A1 (en) Mobile communications system and method thereof
CN101305541A (en) Technique for maintaining secure network connections
BRPI0616310A2 (en) Methods and equipment for using state transfer furniture
JP2007036641A (en) Home agent device, and communication system
US8750303B2 (en) Mobility signaling delegation
KR100670790B1 (en) Method for distributing IPsec SA via AAA infrastructure in mobile IPv6 environment
Li et al. Mobile IPv6: protocols and implementation
KR100875918B1 (en) Local Authentication Method Supporting Local Mobility in a Mobile Active Network Environment
KR100596397B1 (en) Method for distributing session key of radius-based AAA server in a mobile IPv6
Cabellos-Aparicio et al. Mobility Agents: Avoiding the Route Optimization Signaling on Large Servers
Dorai et al. A Novel Architecture-Peer to Peer and Closed Network Mobile Multimedia File Transfer in 4G MIPV6 Network
KR20050043288A (en) Method for authentication between mobile internet protocol version 6 mobile node and home diameter server

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee