KR100670790B1 - Method for distributing IPsec SA via AAA infrastructure in mobile IPv6 environment - Google Patents
Method for distributing IPsec SA via AAA infrastructure in mobile IPv6 environment Download PDFInfo
- Publication number
- KR100670790B1 KR100670790B1 KR1020040101091A KR20040101091A KR100670790B1 KR 100670790 B1 KR100670790 B1 KR 100670790B1 KR 1020040101091 A KR1020040101091 A KR 1020040101091A KR 20040101091 A KR20040101091 A KR 20040101091A KR 100670790 B1 KR100670790 B1 KR 100670790B1
- Authority
- KR
- South Korea
- Prior art keywords
- security association
- message
- home agent
- policy
- mobile node
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/002—Countermeasures against attacks on cryptographic mechanisms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/04—Network layer protocols, e.g. mobile IP [Internet Protocol]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
이동 IPv6 환경에서 AAA(Authentication Authorization Accounting) 기반 구조를 통한 IPSec 보안 연계 분배 방법 및 시스템이 개시되어 있다. 본 발명은 AAA 기반 구조와 연동된 모바일 IPv6환경에서 이동 노드와 홈에이전트간에 IPSec 보안 연계를 분배하는 IPSec 보안 연계 분배 방법에 있어서, 이동 노드가 상기 AAA기반구조로 보안 연계 분배를 요청하면 소정의 인증 절차를 거쳐 상기 홈에이전트에 보안 연계 분배에 필요한 정보를 요청하는 과정, 홈에이전트로부터 보안 연계 분배 요청의 정책 정보와 일치하는 정책의 존재 여부와 알고리듬 선택 메시지를 수신하면 그 메시지를 바탕으로 보안 연계 구성 정보를 생성하는 과정, 생성된 보안 연계 정보 메시지를 상기 이동 노드 및 상기 홈 에이전트로 분배하는 과정을 포함한다.Disclosed is a method and system for distributing IPSec security association through AAA (Authentication Authorization Accounting) infrastructure in a mobile IPv6 environment. The present invention provides an IPSec security association distribution method for distributing an IPSec security association between a mobile node and a home agent in a mobile IPv6 environment interworking with an AAA infrastructure, when a mobile node requests security association distribution to the AAA infrastructure. Requesting the home agent the necessary information for the distribution of security associations, and upon receiving the policy selection message and the algorithm selection message matching the policy information of the security association distribution request from the home agent, the security association is configured based on the message Generating information and distributing the generated security association information message to the mobile node and the home agent.
Description
도 1은 본 발명에 따른 AAA기반 구조를 통한 IPSec 보안 연계 분배 시스템을 도시한 것이다. 1 illustrates an IPSec security association distribution system through an AAA infrastructure according to the present invention.
도 2는 본 발명에 따른 AAA기반 구조를 통한 IPSec 보안 연계 분배 방법의 흐름도이다. 2 is a flowchart illustrating an IPSec security association distribution method through an AAA infrastructure according to the present invention.
본 발명은 IPsec(IP security protocol) 보안 연계 시스템에 관한 것이며, 특히 모바일(mobile) IPv6 환경에서 AAA(Authentication Authorization Accounting) 기반 구조를 통한 IPSec 보안 연계 분배 방법 및 시스템에 관한 것이다.The present invention relates to an IP security protocol (IPsec) security association system, and more particularly, to a method and system for distributing IPSec security association through AAA (Authentication Authorization Accounting) infrastructure in a mobile IPv6 environment.
통상적으로 IPv6는 기존 IPv4의 주소고갈 문제 뿐 아니라 향후 필요하게 될 다양한 기능들을 고려하여 개발되었기 때문에 충분한 글로벌 주소의 제공, 자동 주소 생성, 향상된 보안성, 이동성 지원 등의 다양한 특성을 가지고 있다. In general, IPv6 has been developed in consideration of address depletion problems of IPv4 as well as various functions that will be needed in the future, and thus has various characteristics such as providing sufficient global addresses, automatic address generation, improved security, and mobility support.
이 중에서 이동성을 지원하는 것은 무선 환경에서의 전송과 관련된 문제(신뢰성, 핸드 오프 등)를 비롯하여 IP 프로토콜 관련 문제(어드레싱, 라우팅 등), 그리고 보안 관련 사항 등에 대한 요구사항을 모두 고려해야 하므로 매우 어려운 문제 중의 하나이다. 만약 IP 프로토콜에서 이동성을 특별히 지원하지 않을 경우, 컴퓨터가 홈 링크가 아닌 다른 링크에 접속된다면 해당 컴퓨터로 향하는 패킷은 전달될 수 없다. 컴퓨터가 여러 링크를 이동해 다니더라도 지속적인 통신이 가능하려면, 해당 컴퓨터는 링크를 옮길 때 마다 자신의 IP 주소를 변경할 수 있어야 하는데 이는 전송 계층 이상의 연결을 잃게 되는 결과를 가져온다.Among these, supporting mobility is very difficult because it requires consideration of requirements related to transmission in a wireless environment (reliability, handoff, etc.), IP protocol related issues (addressing, routing, etc.), and security related matters. Is one of. If the IP protocol does not specifically support mobility, packets destined for the computer cannot be delivered if the computer is connected to a link other than the home link. In order for a computer to be able to communicate continuously across multiple links, the computer must be able to change its IP address each time the link is moved, resulting in a loss of connectivity beyond the transport layer.
모바일 IPv6는 IPv6 환경에서 이러한 문제를 해결하기 위해 개발된 프로토콜로써 이동 컴퓨터가 자신의 IPv6 주소, 즉 홈 주소를 변경하지 않고도 링크들을 이동해 다니며 통신할 수 있도록 하는 프로토콜을 정의하고 있다. 이 프로토콜을 사용하여 이동 컴퓨터의 홈 주소를 목적지로 하는 패킷들은 이동 컴퓨터가 어느 링크상에 위치해 있던지 상관없이 이동 컴퓨터로 전달될 수 있다. 하지만 이러한 이동성은 이동노드가 홈 도메인 내에서 이동할 경우에만 지원이 되며, 홈 도메인을 벗어난 이동노드가 외부 도메인에서 이동성 서비스를 받으려면 홈 도메인에서 해당 단말에 대한 인증이 이루어져야 한다. 이러한 로밍(roaming) 환경에서의 인증 문제 등은 AAA 기반구조를 사용함으로써 해결될 수 있다. AAA 기반 구조는 가입자의 인증, 권한 인가 및 과금 처리 기능을 수행하는 프로토콜의 일종이다. Mobile IPv6 is a protocol developed to solve this problem in an IPv6 environment, and defines a protocol that enables a mobile computer to move and communicate links without changing its IPv6 address, or home address. Using this protocol, packets destined for the mobile computer's home address can be delivered to the mobile computer regardless of which link the mobile computer is located on. However, such mobility is supported only when the mobile node moves within the home domain, and the mobile node outside the home domain needs to be authenticated for the terminal in the home domain in order to receive the mobility service from the external domain. This problem of authentication in roaming environment can be solved by using AAA infrastructure. The AAA infrastructure is a type of protocol that performs subscriber authentication, authorization and billing processing.
또한 모바일 IPv6가 이동성을 지원하기 위해서는 프리픽스 정보 전달, 자동적인 주소생성, 바인딩(binding) 갱신과 같은 서비스들이 필요하다. 이러한 서비스 들은 항상 악의적인 공격자에 의해 손상될 가능성이 있으며 모바일 IPv6의 보안 취약성과 매우 밀접한 관련을 가진다. 특히, 이동 노드와 홈에이전트 사이의 트래픽은 IPSec를 통해 보호되어야 하며, 이를 위해서 두 노드 사이에는 사전에 설정된 보안연계가 존재해야만 한다. 하지만 IPSec 보안 연계를 자동으로 분배하기 위한 방법인 IKE(Internet Key Exchange) 프로토콜은 오버 헤드가 상당하고 이로 인해 단말이 이동하는 모바일 IP 환경에서 끊김없는 서비스를 제공하기 어렵다는 문제를 지닌다. Mobile IPv6 also requires services such as forwarding prefix information, automatic address generation, and binding updates. These services are always at risk of being compromised by malicious attackers and are closely related to the security vulnerabilities of mobile IPv6. In particular, the traffic between the mobile node and the home agent must be protected via IPSec, and for this purpose, a predetermined security association must exist between the two nodes. However, the IKE (Internet Key Exchange) protocol, which is a method for automatically distributing IPSec security associations, has a considerable overhead, which makes it difficult to provide a seamless service in a mobile IP environment in which a terminal moves.
따라서 최근에는 AAA 기반구조를 통하여 AAA의 기본적인 기능인 인증, 권한검증, 과금의 문제 뿐 아니라 모바일 IP의 동작을 좀 더 효과적으로 수행할 수 있도록 하기위한 연구들이 활발히 이루어지고 있다. 그 중에서 이동노드와 홈에이전트 사이에서 교환되는 트래픽 보호를 위해 필요한 IPSec의 보안연계를 분배하는 방법에 대한 연구는 주요 이슈가 되고 있다. 하지만 기존 방법들은 IPSec의 동작을 위한 완전한 보안연계를 분배하지 않고 다만 인증키를 생성할 수 있는 키 재료만을 분배하는 방법만 제안하고 있다. 따라서 이러한 방법으로는 이동노드와 홈에이전트 사이의 트래픽을 보호하기 위해 IPSec을 사용할 수 없으며, IPSec 사용을 위해서는 별도로 완전한 보안연계를 분배해야 한다는 문제를 가지고 있다. Therefore, in recent years, researches are being actively conducted to enable the operation of mobile IP more effectively through the AAA infrastructure as well as the AAA basic functions such as authentication, authorization verification, and billing. Among them, research on how to distribute the security association of IPSec necessary for protecting traffic exchanged between mobile node and home agent is a major issue. However, the existing methods do not distribute the complete security association for the operation of IPSec, but only propose the method of distributing only the key material that can generate the authentication key. Therefore, in this method, IPSec cannot be used to protect the traffic between the mobile node and the home agent, and there is a problem that a separate security association must be separately distributed for the use of IPSec.
본 발명이 이루고자하는 기술적 과제는 이동 노드와 홈 에이젼트가 제공하는 정보에 기반하여 AAA 기반 구조내의 AAA 홈 서버가 완전한 IPsec 보안 연계를 구성할 수 있는 정보를 제공함으로써 보안 연계 협상 과정에서 발생하는 부담을 경감하 는 AAA 기반 구조를 통한 IPSec 보안 연계 분배 방법 및 그 시스템을 제공하는 데 있다. The technical problem to be achieved by the present invention is to provide the information that the AAA home server in the AAA infrastructure can form a complete IPsec security association based on the information provided by the mobile node and the home agent to overcome the burden incurred in the negotiation of the security association. The present invention provides a method and system for distributing IPSec security associations through a reduced AAA infrastructure.
상기의 기술적 과제를 해결하기 위하여, 본 발명은 AAA 기반 구조와 연동된 모바일 IPv6환경에서 이동 노드와 홈에이전트간에 IPSec 보안 연계를 분배하는 IPSec 보안 연계 분배 방법에 있어서,In order to solve the above technical problem, the present invention provides an IPSec security association distribution method for distributing an IPSec security association between a mobile node and a home agent in a mobile IPv6 environment interworking with the AAA infrastructure,
상기 이동 노드가 상기 AAA기반구조로 보안 연계 분배에 필요한 정보를 요청하면 소정의 인증 절차를 거쳐 상기 홈에이전트에 보안 연계 분배를 요청하는 과정;Requesting the security agent distribution to the home agent through a predetermined authentication procedure when the mobile node requests the information required for the security association distribution to the AAA infrastructure;
상기 홈에이전트로부터 보안 연계 분배 요청의 정책 정보와 일치하는 정책의 존재 여부와 알고리듬 선택 메시지를 수신하면 그 메시지를 바탕으로 보안 연계 구성 정보를 생성하는 과정;Generating security association configuration information based on the presence or absence of an algorithm selection message matching the policy information of the security association distribution request from the home agent based on the message;
상기 과정에서 생성된 보안 연계 정보 메시지를 상기 이동 노드 및 상기 홈 에이전트로 분배하는 과정을 포함하며,Distributing the security association information message generated in the process to the mobile node and the home agent;
상기 보안 연계 구성 정보 생성 과정은 The security association configuration information generation process
상기 홈에이전트에서 상기 보안연계 분배 요청의 정책 정보와 일치하는 정책이 존재하는가를 검색하는 과정;Searching whether there is a policy in the home agent that matches the policy information of the security association distribution request;
상기 검색 과정에서 요청된 정책 정보와 일치하는 정책이 존재할 경우 홈에이젼트가 알고리즘 리스트에서 지원 가능한 알고리즘을 랜덤하게 선택한 후 그 일치하는 정책 존재 여부와 선택된 알고리즘 정보를 포함하는 메시지를 생성하고, 상기 일치하는 정책이 존재하지 않거나 지원 가능한 알고리즘이 없을 경우 그에 해당 하는 메시지를 생성하는 과정;If there is a policy that matches the requested policy information in the search process, the home agent randomly selects an algorithm that can be supported from the algorithm list, and then generates a message including whether the matching policy exists and the selected algorithm information. Generating a corresponding message if there is no policy or if there is no supported algorithm;
상기 홈에이전트에서 생성된 정책 및 알고리즘 메시지를 수신하면 그 정책 및 알고리즘에 따른 보안연계 구성 정보들을 생성하는 과정을 구비하는 것을 특징으로 한다.And receiving the policy and algorithm message generated by the home agent, generating security association configuration information according to the policy and algorithm.
이하 첨부된 도면을 참조로 하여 본 발명의 바람직한 실시예를 설명하기로 한다. Hereinafter, exemplary embodiments of the present invention will be described with reference to the accompanying drawings.
도 1은 본 발명에 따른 AAA기반 구조를 통한 IPSec 보안 연계 분배 시스템을 도시한 것이다. 1 illustrates an IPSec security association distribution system through an AAA infrastructure according to the present invention.
도 1의 시스템은 이동노드(Mobile Node:MN), 홈에이전트(Home Agent:HA), AAA 로컬 서버(AAAL), AAA 홈 서버(AAAH), 어텐던트(Attendant)를 구비하며, 상기 AAA 로컬 서버(AAAL), AAA 홈 서버(AAAH), 어텐던트(Attendant)들이 AAA 기반 구조를 형성한다.The system of FIG. 1 includes a mobile node (MN), a home agent (HA), an AAA local server (AAAL), an AAA home server (AAAH), an attendant, and the AAA local server ( AAAL), AAA Home Server (AAAH), and Attendants form an AAA infrastructure.
도 1을 참조하면, 이동 노드(MN)는 홈망(120)과 외부망(110)을 이동해 다니면서 IP 주소의 변경없이 연결점을 바꾸는 이동 호스트이다. Referring to FIG. 1, a mobile node (MN) is a mobile host that moves a
홈에이전트(HA)는 단말노드가 외부망 혹은 외부링크로 이동하였을 경우에 홈망(120)에서 단말 노드(MN)를 대신하여 패킷을 수신하고 단말노드(MN)로 이를 전송해주는 역할을 하는 라우터이다.The home agent (HA) is a router that receives a packet on behalf of the terminal node (MN) in the
AAA 로컬 서버(AAAL)는 이동 노드(MN)의 인증 요청을 받아 홈망(120)의 AAA 홈 서버(AAAH)로 전달해 주는 이동 노드(MN)가 방문한 망의 AAA 서버이다. The AAA local server AAAL is an AAA server of a network visited by the mobile node MN, which receives an authentication request from the mobile node MN and delivers the request to the AAA home server AAAH of the
AAA 홈 서버(AAAH)는 AAA 로컬 서버(AAAL)로부터 전달되는 이동 노드(MN)의 인증요청을 받아 인증처리를 하는 홈망의 AAA 서버이다.The AAA home server AAAH is an AAA server of a home network that receives an authentication request from a mobile node MN delivered from an AAA local server AAAL and performs authentication processing.
어텐던트(Attendant)는 이동노드(MN)가 방문한 망에서 인터넷 접속의 접점을 제공하는 라우터이다. An attendant is a router that provides a point of contact for Internet access in a network visited by a mobile node (MN).
도 1의 AAA기반 구조를 통한 IPSec 보안 연계 분배 시스템에서 다음 사항을 가정한다. Assume the following in the IPSec security association distribution system through the AAA infrastructure of FIG.
이동 노드(MN)는 자신이 사용할 홈 에이전트(HA)를 이미 알고 있다.The mobile node MN already knows the home agent HA to use.
이동 노드(MN)와 홈에이전트(HA) 사이에 IPSec에 대한 정책은 미리 설정되어 있다.The policy for IPSec is set in advance between the mobile node MN and the home agent HA.
이동 노드(MN)와 AAA 홈 서버(AAAH) 사이는 비밀 정보 KEYAAAH-MN와 임의의 해쉬 알고리즘 H()를 사전에 공유하고 있다. The mobile node MN and the AAA home server AAAH share in advance the secret information KEY AAAH-MN and an arbitrary hash algorithm H ().
AAA 홈 서버(AAAH)와 홈에이전트(HA) 사이의 통신은 IPSec이나 SSL(Secure Sockets Layer)과 같은 별도의 보안 프로토콜에 의해서 보호된다.Communication between the AAA home server (AAAH) and the home agent (HA) is protected by separate security protocols such as IPSec or Secure Sockets Layer (SSL).
도 2는 본 발명에 따른 AAA기반 구조를 통한 IPSec 보안 연계 분배 방법의 흐름도이다.2 is a flowchart illustrating an IPSec security association distribution method through an AAA infrastructure according to the present invention.
먼저, 이동 노드(MN)는 최초에 홈망(120)에 접속하여 홈 주소(홈망(120)에서 할당받은 영구 IP 주소)를 할당받게 되고, 홈망(120)에 위치하는 동안 이동 노드(MN)는 홈 주소를 통하여 일반적인 IP 통신을 수행한다. 만약 이동 노드(MN)가 홈망(120)을 벗어나 외부망(110)으로 이동해 접속을 하게 되면 이동 노드(MN)는 어텐 던트(attendant)를 통하여 홈망(120)으로 인증 요청(AU_REQ)메시지를 전송한다. 이 때, 인증 요청(AU_REQ) 메시지는 AAA 인증을 위한 특정 프로토콜(예: 다이어메타(Diameter), 래디우스(radius)등)에서 제공하는 메시지 타입을 따른다. 또한 이동 노드(MN)는 인증 요청(AU_REQ) 메시지와 함께 이동 노드(MN)의 홈 주소, 홈에이전트(HA)의 주소, 그리고 두 노드에 관련된 정책 정보, 이동 노드(MN)가 지원할 수 있는 알고리즘 리스트를 포함하여 보안 연계 분배를 요청하는 보안연계 요청(SA_REQ) 메시지도 함께 전송한다. 이러한 인증 요청(AU_REQ) 및 보안연계 요청메시지들은 외부망(110)의 AAA로컬 서버(AAAL)을 거쳐 홈망(120)의 AAA홈 서버(AAAH)로 전달된다(212, 214, 216). First, the mobile node MN initially accesses the
이때 AAA홈 서버(AAAH)는 인증 요청(AU_REQ) 메시지를 수신하면 이동노드의 인증 처리를 하고(220) 이를 통과한 경우에만 보안 연계 요청(SA_REQ)메시지를 처리하게 된다. 즉, AAA홈 서버(AAAH)는 이동 노드(MN)의 인증에 실패하면(230) 인증 실패(AU_FAILURE) 메시지를 이동 노드(MN)로 다시 전송하게 되고(232), 인증에 성공하면 보안연계요청(SA_REQ)내에 포함된 홈에이전트(HA) 주소를 목적지로 하여 보안 연계요청(SA_REQ) 메시지를 홈에이젼트(HA)에 전달한다(234). At this time, when the AAA home server AAAH receives the authentication request (AU_REQ) message, the AAA home server (AAAH) performs authentication processing of the mobile node (220) and processes the security association request (SA_REQ) message only when it passes. That is, if the AAA home server (AAAH) fails to authenticate the mobile node (MN) (230), the AAA home server sends an authentication failure (AU_FAILURE) message back to the mobile node (MN) (232). The security association request (SA_REQ) message is delivered to the home agent (HA) by using the home agent (HA) address included in the SA_REQ as a destination (234).
홈에이전트(HA)는 AAA홈 서버(AAAH)로부터 보안연계요청(SA_REQ) 메시지를 수신하면 정책 데이터베이스(SPD)에서 보안연계요청(SA_REQ)의 정책 정보와 일치하는 정책이 존재하는지를 검색한다(240). When the home agent (HA) receives a security association request (SA_REQ) message from the AAA home server (AAAH), the home agent (HA) searches the policy database (SPD) for a policy that matches the policy information of the security association request (SA_REQ). .
만약 일치하는 정책 정보가 존재할 경우(250), 홈에이전트(HA)는 알고리즘 리스트에서 자신이 지원할 수 있는 알고리즘을 랜덤하게 고른 후(260) 일치하는 정 책의 존재 여부와 선택한 알고리즘 정보를 포함하는 HA_SP_ALG 메시지를 생성하여 AAA홈 서버(AAAH)로 전송한다(262). 만약 일치하는 정책 정보가 존재하지 않거나 알고리즘 리스트에 홈에이전트(HA)가 지원할 수 있는 알고리즘이 없을 경우 홈에이전트(HA)는 NO_SP_EXIST 메시지나 UNMATCHED_ALG 메시지를 AAA홈 서버(AAAH)에게로 전송하고(252), 이동 노드(MN)에게는 인증 성공(AU_SUCCESS)메시지 및 NO_SP_EXIST, UNMATCHED_ALG 메시지를 전송한다(254). If there is a matching policy information (250), the home agent (HA) randomly selects an algorithm that it can support from the algorithm list (260) and then HA_SP_ALG including the existence of the matching policy and the selected algorithm information. A message is generated and transmitted to the AAA home server AAAH (262). If there is no matching policy information or no algorithm in the algorithm list can be supported by the home agent, the home agent sends a NO_SP_EXIST message or an UNMATCHED_ALG message to the AAA home server (AAAH) (252). In
AAA홈 서버(AAAH)가 홈에이젼트(HA)로부터 HA_SP_ALG 메시지를 수신하면 선택된 알고리즘이 사용할 키 및 수명(life time) 등과 같이 완전한 보안연계(SA)를 구성할 수 있는 보안연계구성 정보들을 생성하고(270) 이들로 구성된 홈 에이젼트 보안 연계 정보(HA_SA_INFO) 메시지를 홈에이전트(HA)로 전송한다(272). 이 때 키는 다음과 같이 계산되며, RN은 AAA홈 서버(AAAH)가 생성한 랜덤값 이다. When the AAA Home Server (AAAH) receives the HA_SP_ALG message from the Home Agent (HA), it generates security association configuration information that can form a complete security association (SA) such as the key and life time that the selected algorithm will use ( In
H(KEYAAAH-MN, 이동단말 홈주소||RN) H (KEY AAAH-MN , Mobile Terminal Home Address || RN)
또한 AAA홈 서버(AAAH)는 인증 성공(AU_SUCCESS) 메시지와 홈에이전트(HA)에서의 정책 존재여부, 선택된 알고리즘, 그리고 생성한 랜덤값(RN) 등으로 구성된 MN_SA_INFO 메시지를 이동 노드(MN)로 전송한다(274). 단, HA_SA_INFO 메시지와 MN_SA_INFO 메시지는 이동노드(MN)와 홈에이전트(HA)가 완전한 보안연계를 구성할 수 있는 정보를 포함하며, 이는 AAA홈 서버(AAAH)가 설정할 수 있다.In addition, AAA Home Server (AAAH) sends MN_SA_INFO message composed of authentication success (AU_SUCCESS) message, policy presence in home agent (HA), selected algorithm, and random value (RN) generated to mobile node (MN). (274). However, the HA_SA_INFO message and the MN_SA_INFO message include information that the mobile node (MN) and the home agent (HA) can form a complete security association, which can be set by the AAA home server (AAAH).
AAA홈 서버(AAAH)로 부터 HA_SA_INFO 메시지를 수신한 홈에이전트(HA)는 해당 메시지에 포함되어 있는 정보에 기반하여 해당 정책에 대한 보안연계를 구성하 고, 이를 보안연계 데이터베이스(SAD)에 저장한다(280). 또한 AAA홈 서버(AAAH)로부터 MN_SA_INFO 메시지를 수신한 이동 노드(MN)의 이동 단말 역시 해당 메시지에 포함되어 있는 정보에 기반하여 해당 정책에 대한 보안연계를 구성하고, 이를 보안연계 데이터베이스(SAD)에 저장한다(290). The home agent (HA) that receives the HA_SA_INFO message from the AAA home server (AAAH) configures the security association for the policy based on the information contained in the message and stores it in the security association database (SAD). (280). In addition, the mobile node of the mobile node (MN) that has received the MN_SA_INFO message from the AAA home server (AAAH) also configures a security association for the corresponding policy based on the information included in the message, and sends it to the security association database (SAD). Save (290).
본 발명은 상술한 실시예에 한정되지 않으며, 본 발명의 사상내에서 당업자에 의한 변형이 가능함은 물론이다.The present invention is not limited to the above-described embodiment, and of course, modifications may be made by those skilled in the art within the spirit of the present invention.
또한 본 발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 하드디스크, 플로피디스크, 플래쉬 메모리, 광 데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드로서 저장되고 실행될 수 있다.The present invention can also be embodied as computer readable code on a computer readable recording medium. The computer-readable recording medium includes all kinds of recording devices in which data that can be read by a computer system is stored. Examples of computer-readable recording media include ROM, RAM, CD-ROM, magnetic tape, hard disk, floppy disk, flash memory, optical data storage device, and also carrier waves (for example, transmission over the Internet). It also includes the implementation in the form of. The computer readable recording medium can also be distributed over network coupled computer systems so that the computer readable code is stored and executed in a distributed fashion.
상술한 바와 같이 본 발명에 의하면, 본 발명은 AAA 기반구조와 연동된 모바일 IPv6 환경에서 이동노드와 홈 에이전트 사이의 IPSec 보안연계를 IKE에 의해 분배하지 않고 AAA 서버에 의존함으로써 IKE 수행에 의한 부가적인 통신 오버헤드를 줄여 모바일 IPv6의 성능을 향상시킬 수 있다. As described above, according to the present invention, the present invention provides additional information by performing IKE by relying on AAA server without distributing IPSec security association between mobile node and home agent by IKE in mobile IPv6 environment interworking with AAA infrastructure. It can improve the performance of mobile IPv6 by reducing communication overhead.
또한 본 발명은 보안연계의 분배 대상인 이동노드와 홈에이전트에 보안연계 자동 협상을 위한 IKE 모듈의 탑재 필요성을 제거하므로, 컴퓨팅 파워 및 전력사용에 한계를 가지는 이동노드의 효율을 높일수 있다. In addition, the present invention eliminates the necessity of mounting the IKE module for autonomous security association in the mobile node and the home agent that is the distribution target of the security association, thereby increasing the efficiency of the mobile node having limitations in computing power and power usage.
Claims (7)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020040101091A KR100670790B1 (en) | 2004-12-03 | 2004-12-03 | Method for distributing IPsec SA via AAA infrastructure in mobile IPv6 environment |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020040101091A KR100670790B1 (en) | 2004-12-03 | 2004-12-03 | Method for distributing IPsec SA via AAA infrastructure in mobile IPv6 environment |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20060062302A KR20060062302A (en) | 2006-06-12 |
KR100670790B1 true KR100670790B1 (en) | 2007-01-17 |
Family
ID=37158486
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020040101091A KR100670790B1 (en) | 2004-12-03 | 2004-12-03 | Method for distributing IPsec SA via AAA infrastructure in mobile IPv6 environment |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100670790B1 (en) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20020035530A (en) * | 2002-04-12 | 2002-05-11 | 이정희 | A Mobile CRM Mechanism using Subscriber Real-Time Service Information |
KR20040077113A (en) * | 2003-02-28 | 2004-09-04 | 에스케이 텔레콤주식회사 | Sip based video telephony service method for mobile communication packet network |
KR20050046499A (en) * | 2003-11-14 | 2005-05-18 | 삼성전자주식회사 | System and method for establishing session of mobile terminal in a mobile ip system |
KR20050065127A (en) * | 2003-12-24 | 2005-06-29 | 한국전자통신연구원 | Communication method for providing fast moving among mobile network and providing secure session identifier transmission |
KR20050065130A (en) * | 2003-12-24 | 2005-06-29 | 한국전자통신연구원 | A session key issuing method |
-
2004
- 2004-12-03 KR KR1020040101091A patent/KR100670790B1/en not_active IP Right Cessation
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20020035530A (en) * | 2002-04-12 | 2002-05-11 | 이정희 | A Mobile CRM Mechanism using Subscriber Real-Time Service Information |
KR20040077113A (en) * | 2003-02-28 | 2004-09-04 | 에스케이 텔레콤주식회사 | Sip based video telephony service method for mobile communication packet network |
KR20050046499A (en) * | 2003-11-14 | 2005-05-18 | 삼성전자주식회사 | System and method for establishing session of mobile terminal in a mobile ip system |
KR20050065127A (en) * | 2003-12-24 | 2005-06-29 | 한국전자통신연구원 | Communication method for providing fast moving among mobile network and providing secure session identifier transmission |
KR20050065130A (en) * | 2003-12-24 | 2005-06-29 | 한국전자통신연구원 | A session key issuing method |
Non-Patent Citations (1)
Title |
---|
Wei Liang et al, A Local Authentication Control Sc* |
Also Published As
Publication number | Publication date |
---|---|
KR20060062302A (en) | 2006-06-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9197615B2 (en) | Method and system for providing access-specific key | |
EP2245799B1 (en) | Route optimization in mobile ip networks | |
RU2437238C2 (en) | Methods and device for provision of pmip keys hierarchy in wireless communication network | |
JP4965671B2 (en) | Distribution of user profiles, policies and PMIP keys in wireless communication networks | |
FI105965B (en) | Authentication in telecommunications networks | |
US8584207B2 (en) | Infrastructure-less bootstrapping: trustless bootstrapping to enable mobility for mobile devices | |
AU2003294330B2 (en) | Methods and apparatus for dynamic session key generation and rekeying in mobile IP | |
US8514851B2 (en) | Mobile IPv6 authentication and authorization baseline | |
JP4291272B2 (en) | How to register home address of mobile node with home agent | |
US9043599B2 (en) | Method and server for providing a mobility key | |
US20040103275A1 (en) | Methods and apparatus for secure, portable, wireless and multi-hop data networking | |
US20010012777A1 (en) | Mobile communications system and method thereof | |
CN101305541A (en) | Technique for maintaining secure network connections | |
BRPI0616310A2 (en) | Methods and equipment for using state transfer furniture | |
JP2007036641A (en) | Home agent device, and communication system | |
US8750303B2 (en) | Mobility signaling delegation | |
KR100670790B1 (en) | Method for distributing IPsec SA via AAA infrastructure in mobile IPv6 environment | |
Li et al. | Mobile IPv6: protocols and implementation | |
KR100875918B1 (en) | Local Authentication Method Supporting Local Mobility in a Mobile Active Network Environment | |
KR100596397B1 (en) | Method for distributing session key of radius-based AAA server in a mobile IPv6 | |
Cabellos-Aparicio et al. | Mobility Agents: Avoiding the Route Optimization Signaling on Large Servers | |
Dorai et al. | A Novel Architecture-Peer to Peer and Closed Network Mobile Multimedia File Transfer in 4G MIPV6 Network | |
KR20050043288A (en) | Method for authentication between mobile internet protocol version 6 mobile node and home diameter server |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
LAPS | Lapse due to unpaid annual fee |