KR100948604B1 - 서버 기반 이동 인터넷 프로토콜 시스템에 있어서 보안방법 - Google Patents

서버 기반 이동 인터넷 프로토콜 시스템에 있어서 보안방법 Download PDF

Info

Publication number
KR100948604B1
KR100948604B1 KR1020080027271A KR20080027271A KR100948604B1 KR 100948604 B1 KR100948604 B1 KR 100948604B1 KR 1020080027271 A KR1020080027271 A KR 1020080027271A KR 20080027271 A KR20080027271 A KR 20080027271A KR 100948604 B1 KR100948604 B1 KR 100948604B1
Authority
KR
South Korea
Prior art keywords
server
security
mobile
node
tunnel
Prior art date
Application number
KR1020080027271A
Other languages
English (en)
Other versions
KR20090102050A (ko
Inventor
윤호선
류호용
홍성백
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020080027271A priority Critical patent/KR100948604B1/ko
Priority to US12/678,812 priority patent/US8925048B2/en
Priority to PCT/KR2008/001685 priority patent/WO2009038260A1/en
Priority to CN200880116655A priority patent/CN101861712A/zh
Priority to JP2010525736A priority patent/JP2010539839A/ja
Publication of KR20090102050A publication Critical patent/KR20090102050A/ko
Application granted granted Critical
Publication of KR100948604B1 publication Critical patent/KR100948604B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/047Key management, e.g. using generic bootstrapping architecture [GBA] without using a trusted network node as an anchor
    • H04W12/0471Key exchange
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network

Abstract

본 발명은 서버 기반 이동 인터넷 프로토콜 시스템에 있어서 보안 방법에 관한 것으로, 특히 이동 노드와 서버 간 혹은 이동 노드와 이동 노드 간에 교환되는 제어 메시지를 비롯한 일반 데이터를 안전하게 교환하기 위한 보안 방법에 관한 것이다. 구체적으로, 입력되는 아이디 및 패스워드를 이용해 상호 인증을 수행하면서 대응되는 노드와 키 정보를 교환하여 필요한 키들을 생성하고, 보안 정책을 협상하는 mPAK 수행 모듈 및 상기 대응되는 노드와 협상된 보안 정책을 설정하여, 데이터 전송시 상기 설정된 보안 정책에 따라 상기 데이터에 보안 정책을 적용하는 보안 모듈을 포함하는 이동 노드에 의해 데이터를 안전하게 교환하는 방법에 관한 것이다.
이동 인터넷 프로토콜, mPAK, 보안 정책, 보안 연계

Description

서버 기반 이동 인터넷 프로토콜 시스템에 있어서 보안 방법{SECURITY METHOD OF MOBILE INTERNET PROTOCOL BASED SERVER}
본 발명은 서버 기반 이동 인터넷 프로토콜 시스템에 있어서 보안 방법에 관한 것으로, 특히 이동 노드와 서버 간 혹은 이동 노드와 이동 노드 간에 교환되는 제어 메시지를 비롯한 일반 데이터를 안전하게 교환하기 위한 보안 방법에 관한 것이다.
본 발명은 정보통신부 및 정보통신연구진흥원의 IT신성장동력핵심기술개발사업의 일환으로 수행하였음[2007-S-013-01, All IPv6기반 Fixed-Mobile Convergence 네트워킹 기술개발(R&D on all IPv6 based Fixed-Mobile convergence networking technology)].
일반적으로 두 노드 간에 교환되는 데이터를 보호하기 위해서 가장 일반적으로 사용되는 방법은 IPSEC과 TLS(Transport Layer Security)이다. IPSEC은 IETF에서 제안하는 모바일 IP에서 제어 메시지에 대한 보안을 위해서 반드시 필요한 기술로써, 사용자 영역에서 키 교환 기능을 수행하는 IKE(Internet Key Exchange)와 커널 영역에서 데이터를 보호하기 위한 AH(Authentication Header) 및 ESP(Encapsulating Security Payload)로 구성되어있다. IP 헤더 부분부터 메시지를 보호하기 때문에 서비스 응용별로 데이터를 보호하거나 QoS(Quality of Service)를 적용할 수 없는 단점이 있다. 이에 비해서 TLS는 응용별로 데이터를 보호할 수 있지만, IP 헤더에 대한 보안은 수행할 수 없는 단점이 있다.
데이터를 보호하기 위해서는 두 노드 간에 동일한 키 정보를 공유하고 있어야만 한다. 두 노드 간에 동일한 키를 공유하기 위해서 IPSEC은 IKE를 사용하며 TLS는 자체 키 교환 기능을 이용한다. 키 교환 기능을 수행하는 경우에 두 노드 간에 상호 인증이 반드시 필요하며, 이러한 상호 인증을 위해서 주로 공인 인증서를 사용한다. 즉, 데이터 보안을 위해서 키가 필요하며, 키를 교환하기 위해서 공인 인증서가 필요한 것이다. 이러한 공인 인증서를 관리하기 위해서는 PKI(Public Key Infrastructure)라는 보안 인프라가 필요하다. 또한 키 교환 프로토콜 자체가 상당히 복잡한 구조를 가지고 있으므로 무선 환경에 적용하기에는 많은 어려움이 있다.
이에 따라, 본 발명에 의한 서버 기반 이동 IP 시스템에 있어서 보안 방법은 공인 인증서를 이용하지 않고 간단한 프로토콜을 이용해서 무선 환경에 적합한 키 교환 방식을 통해 노드 간에 교환되는 각종 메시지들을 보호하는 방법을 제공하는 것을 목적으로 한다.
또한, 본 발명은 메시지를 보호하기 위해 5-tulpes 룩업을 지원하여 메시지 보안과 함께 필터링 기능을 제공하는 것을 목적으로 한다.
상기와 같은 목적을 달성하기 위해, 본 발명의 서버 기반 이동 인터넷 프로토콜 시스템에 있어서 보안 방법은 서버와 mPAK를 수행하여 교환된 제 1 보안 요소를 이용해 상기 서버와 터널을 생성하는 단계, 상기 생성된 터널을 통해 상기 서버에 유사 패스워드 요청 메시지(PPQ)를 전달하는 단계, 상기 요청에 대응하여 상기 서버로부터 수신되는 유사 패스워드 응답 메시지(PPA)를 이용해 통신을 원하는 상대 노드와 mPAK를 수행하여 제 2 보안 요소를 교환하는 단계, 및 상기 제 2 보안 요소를 이용해 상기 상대 노드와 송수신되는 데이터 및 제어메시지 보안을 위한 터널을 생성하는 단계를 포함하는 것을 특징으로 한다.
또한, 본 발명의 서버 기반 이동 인터넷 프로토콜 시스템에 있어서 보안 방 법은 다수의 이동 노드와 mPAK를 수행하여 교환되는 보안 요소들을 이용해 터널을 생성하는 단계, 상기 생성된 터널을 통해 적어도 하나의 이동 노드로부터 유사 패스워드 요청 메시지(PPQ)를 수신하는 단계, 상기 유사 패스워드 요청 메시지가 수신되면 임의의 난수 발생에 따라 생성되는 유사 패스워드를 상기 터널을 통해 상기 이동 노드로 전달하는 단계를 포함하는 것을 특징으로 한다.
한편, 본 발명에 의한 서버 기반 이동 IP 시스템에 있어서 이동 노드 장치는 입력되는 아이디 및 패스워드를 이용해 상호 인증을 수행하면서 대응되는 노드와 키 정보를 교환하여 필요한 키들을 생성하고, 보안 정책을 협상하는 mPAK 수행 모듈, 및 상기 대응되는 노드와 협상된 보안 정책을 설정하여, 데이터 전송시 상기 설정된 보안 정책에 따라 상기 데이터에 보안 정책을 적용하는 보안 모듈을 포함하는 것을 특징으로 한다.
상술한 바와 같이, 본 발명에 의한 서버 기반 이동 인터넷 프로토콜 시스템에 있어서 보안 방법은 키 교환을 위해서 인증 센터를 비롯한 기반 시설을 이용하는 것 대신에 간단한 프로토콜을 이용함으로써 많은 연산량과 메시지 교환 횟수를 줄일 수 있는 것은 물론 전력 및 계산 능력이 약한 이동 노드에서도 안전하게 통신을 수행할 수 있는 효과가 있다.
또한, 본 발명은 5-tuple 룩업을 통해서 보안 정책을 결정하여 응용별로 보 안 정책을 적용할 수 있으며, 패킷 필터링 기법을 적용하여 간단한 방화벽의 역할을 수행할 수 있는 효과가 있다.
이하, 본 발명의 바람직한 실시 예를 첨부한 도면을 참조하여 상세히 설명한다. 본 발명을 설명함에 있어, 관련된 공지 기능 혹은 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다.
본 발명의 실시예에서는 모바일 환경에 적합한 패스워드를 이용한 키 교환 방식(mobile Password-based Authenticated Key exchange 이하, mPAK라 칭함)을 이용한다. 이러한 mPAK는 패스워드를 이용해서 키를 교환하는 방식으로써 PKI와 같은 보안 인프라를 필요로 하지 않으면서도 안전하게 키를 교환할 수 있다. 즉, 서버 기반 이동 IP 시스템은 이동 노드의 전원이 켜지거나 모바일 서비스를 사용하려고 하는 경우에 사용자가 ID와 패스워드를 입력함으로써 이동 노드와 서버 간에 키를 교환하게 되며, 교환된 키를 이용해서 메시지를 보호한다. 여기서 교환된 키는 이동 노드의 전원이 꺼지거나 모바일 서비스를 중단하는 경우까지 사용할 수 있다.
그러면 이와 같은 서버 기반 이동 IP 시스템에서의 제어 메시지들을 보호하기 위한 보안 방법에 대해 첨부된 도면을 참조하여 설명하기로 한다. 우선, 서버 기반 이동 IP 시스템에서 mPAK를 이용하여 키를 교환하는 절차를 살펴보기로 한다.
도 1은 본 발명의 실시예에 따라 서버 기반 이동 IP 시스템에서 이동 노드와 서버 및 이동 노도와 이동 노드 사이의 보안 절차를 나타내는 도면이다.
도 1을 참조하면, 서버 기반 이동 IP 시스템에서 이동 노드(10a, 10b)는 먼저 서버(20)와 mPAK를 수행하여 보안 요소를 교환하고, 이렇게 교환된 보안 요소들을 이용해 안전한 터널(secure tunnel)을 생성한다.(101) 안전한 터널(secure tunnel)이 생성되면 이동 노드(10a, 10b)와 서버(20)는 메시지 보안 방식에 따라서 정보를 공유하면서 안전한 터널을 통해 제어 메시지를 송수신한다.(102)
상기와 같이, 이동 노드(10a, 10b)와 서버(20) 사이에 보안 절차가 수행된 후에는 이동 노드 사이에 데이터 통신을 위한 절차가 수행될 수 있다. 이동 노드 간에 데이터 통신을 원하는 로컬 노드(10a)는 데이터 통신을 하고자 하는 원격지 노드(10b)와 안전한 터널을 설정하기 위해 유사 패스워드 요청(PPQ : Pseudo Password Query) 메시지를 서버(20)에 전달한다.(103)
서버(20)는 로컬 노드(10a)의 유사 패스워드 요청(PPQ)에 따라 유사 패스워드를 생성하여 로컬 노드(10a) 및 원격지 노드(10b)에 전달한다.(103, 104)
서버(20)로부터 유사 패스워드가 수신되면, 수신된 유사 패스워드를 이용해 mPAK를 수행하여 로컬 노드(10a)와 원격지 노드(10b) 사이에 안전한 터널을 생성한다.(105) 로컬 노드(10a)와 원격지 노드(10b) 사이에 안전한 터널이 생성되면, 두 노드 사이에 생성된 터널을 통해 데이터 및 제어 메시지가 교환된다.(106, 107)
도 2는 도 1의 보안 절차를 구체적으로 나타내는 도면으로, 상기에서 설명 된 보안 절차에 대하여 도 2를 참조하여 구체적으로 설명한다.
각 이동 노드(10a, 10b)의 전원이 켜지거나, 이동성 서비스를 제공받고자 하는 사용자가 존재하는 경우, 사용자는 아이디(ID)와 패스워드(PW)를 입력한다. 사용자에 의해 아이디(ID) 및 패스워드(PW)가 입력되면, 제 1, 2 이동 노드(10a, 10b) 각각은 서버(20)와 mPAK를 수행하여 제 1 이동 노드(10a)와 서버(20), 제 2 이동 노드(10b)와 서버(20) 사이에 각각 안전한 터널(secure tunnel)을 설정하기 위한 정보들을 교환한다.(201) 구체적으로 이동 노드(10a, 10b)는 서버(20)와 mPAK를 수행하여 키 교환, 상호 인증 및 보안 터널을 설정하기 위해 요구되는 보안 정책 및 요소들을 협상한다.
이러한 mPAK 과정을 통해 교환되는 키 정보는 키의 씨드(seed)가 되고, 이러한 키 씨드(Key seed)를 이용해 다양한 키(key)를 생성할 수 있다. 다만, 이러한 키 생성은 기존에 이미 알려진 다양한 방식들을 이용할 수 있다.
또한, 협상을 통해 이동 노드(10a, 10b)와 서버(20)가 공유하는 정보는 메시지 보안 방식에 따라 다양하게 적용될 수 있다. 예를 들어, 메시지 보안을 위해 IPSEC의 AH 및 ESP를 사용하는 경우에는 보안 정책으로 보안 연계(SA : Security Association)를 설정하기 위한 정보들을 협상할 필요가 있다. 보안 정책으로 보안 연계를 설정한다는 것은 안전한 터널을 위한 보안 정책 데이터 베이스(Security Policy Database : SPD) 및 보안 연계 데이터 베이스(Security Association Database : SAD)를 설정하는 것을 의미한다.
여기서, 보안 연계를 설정하기 위해서는 보안 파라미터 인덱스(Security Parameter Indexes이하, SPI라 칭함), 근원지 주소 및 포트 번호, 목적지 주소 및 포트 번호, AH 및 ESP 사용 여부, 트랜스포트(transport) 모드 또는 터널(Tunnel) 모드 여부, 암/복호화 알고리즘 및 키, 인증 알고리즘 및 키 등의 정보가 필요하다.
이동 노드(10a, 10b)와 서버(20) 사이에 mPAK를 수행하여 안전한 터널을 생성하기 위한 정보들의 교환이 완료되면, 안전한 터널(security tunnel)이 각각의 이동 노드(10a, 10b)와 서버(20) 사이에 설정된다.(202)
이동 노드(10a, 10b)와 서버(20) 사이에 안전한 터널이 생성되면, 이후에 각각의 이동 노드(10a, 10b)와 서버(20) 사이에 교환되는 모든 제어 메시지들은 이렇게 생성된 안전한 터널을 이용하여 전달된다.(203) 안전한 터널(security tunnel)은 제어 메시지의 종류에 따라 별도로 생성될 수도 있고, 혹은 제어 메시지 종류에 관련 없이 하나만 생성될 수 있다.
이렇게 생성된 안전한 터널(Security tunnel)을 이용해 서버(20)와 교환되는 제어 메시지에 있어서 IP 헤더에 보호할 정보가 존재하면, IPSEC AH 및 ESP를 이용해 보안을 수행한다. 반면, IP 헤더에 보호할 정보가 존재하지 않으면 필요에 따라서 다양한 종류의 보안 방식을 적용할 수 있다. 예를 들어, 교환되는 제어 메시지가 인증만 필요하다면 Keyed Hash 방식으로 터널을 설정할 수 있다. 또한, 필요한 경우에 인증 및 암호화, 복호화 기능을 수행하도록 터널을 설정할 수 있다. 다만, 여기서 교환되는 제어 메시지의 형태는 필요에 따라서 결정될 수 있으며 여기서 별도로 언급하지는 않는다.
안전한 터널이 생성된 후에 제 1 이동 노드(10a)가 제 2 이동 노드(10b)와 데이터 통신을 원하는 경우, 제 1 이동 노드(10a)는 생성된 안전 터널을 이용해 서버(20)에 유사 패스워드 요청 메시지(PPQ)를 전송한다.(204) 이때, 유사 패스워드 요청 메시지(PPQ)는 데이터 통신을 원하는 상대 노드의 주소를 포함한다. 여기서 제 2 이동 노드(10b)를 말한다.
서버(20)가 제 1 이동 노드(10a)로부터 유사 패스워드 요청 메시지(PPQ)를 수신하면, 서버(20)는 mPAK의 입력 파라미터인 패스워드를 대신해서 사용하기 위한 유사 패스워드를 생성한다.(205) 구체적으로, 서버(20)는 제 1 이동 노드(10a)의 요청에 따라 임의의 난수를 발생하고 이를 이용해 유사 패스워드를 생성한다. 여기서 난수 발생 방법은 일반적인 난수 발생 방법을 이용할 수 있다. 또한, 여기서 요청되는 유사 패스워드는 유사 ID와 유사 패스워드를 포함한다.
서버(20)는 유사 패스워드를 생성한 후에, 이미 생성된 안전한 터널을 통해 생성된 유사 패스워드를 포함하는 유사 패스워드 응답 메시지(PPA : Pseudo Password Ack)를 제 1 이동 노드(10a)에 전송(206)하고, 또한 상대 노드인 제 2 이동 노드(10b)에도 생성된 유사 패스워드를 포함하는 유사 패스워드 응답 메시지(PPA)를 전송한다.(207)
이때, 서버(20)로부터 제 1 이동 노드(10a) 및 제 2 이동 노드(10b)로 전송되는 유사 패스워드 응답 메시지(PPA)에는 생성된 유사 ID 및 유사 패스워드 정보를 포함한다.
제 1 이동 노드(10a)와 제 2 이동 노드(10b)는 서로 안전한 통신을 위해 서 버로부터 전송된 유사 패스워드를 이용해 mPAK를 수행한다.(208) 여기서, 수행되는 mPAK는 상기에서 설명한 이동 노드와 서버 사이에서 패스워드를 이용해 수행되는 mPAK와 동일한 방법으로 이루어진다.
mPAK를 수행한 후에, 제 1 이동 노드(10a)와 제 2 이동 노드(10b) 사이에 데이터 및 제어 메시지를 안전하게 교환하기 위한 안전한 터널이 생성된다.(209)
이에 따라, 제 1 이동 노드(10a) 및 제 2 이동 노드(10b)는 안전한 터널을 통해 제어 메시지를 교환하고(210), 또한, 응용(application) 간에 교환되는 데이터를 교환한다.(211)
상기에서 설명한 mPAK의 수행은 다음 표 1과 같은 mPAK 프로토콜에 의해 이루어진다. 이하, 표 1에 대하여 구체적으로 설명한다.
표 1에서 사용되는 기호에 대한 간단한 설명.
- H[ ] : Hash 함수.
- LA || RA || ID || PW : Local 주소 || Remote 주소 || ID || 패스워드(“||”concatenation을 의미함).
- PRF[ ] : 유사 난수 생성 함수
- KH[ ]K : 키 K를 이용한 Keyed Hash
각 노드별로 교환되는 메시지는 메시지 보안 방식에 따라 정의할 수 있다. 예를 들면, 메시지 보안 방식이 IPSEC인 경우에는 지원 가능한 각종 보안 알고리즘, ESP/AH를 구분하기 위한 타입(Type), 트랜스포트/터널 모드를 구분하기 위한 모드(Mode) 항목 등이 상기 메시지(MSGR, MSGL, MSGN)에 포함되어 협상될 수 있다.
Figure 112008021472233-pat00001
상기 mPAK 프로토콜에 따른 키 교환 수행 과정을 좀 더 구체적으로 설명하기로 한다.
최초, 키 교환을 원하는 로컬 노드(Local Node)는 임의의 난수(x)를 선택하고, 선택된 난수를 이용해서 X를 계산한다. 이때, 난수 x는 비밀 정보로써 추후에 키 생성을 위해서 사용된다.
정보를 수신한 원격지 노드(Remote Node)는 수신된 ID를 이용해서 패스워드를 검색하며, 해당 ID와 패스워드 정보는 로컬 노드(Local Node)가 사전 절차를 통해서 미리 알고 있다고 가정한다. 원격지 노드(Remote Node)는 임의의 난수(y)를 선택하고, μ와 σ를 계산하며, 계산된 정보들을 이용해서 키 생성에 사용되는 씨드(Kseed)를 계산한다. MSGR에 대해서 Keyed Hash를 적용하기 위한 키 KA를 계산하고, 계산된 정보들을 이용해서 AUTHR을 계산한다. 여기서 MSGR은 보안 방식에 따라서 다양한 정보들이 포함될 수 있다.
만일, 적용되는 보안 방식이 IPsec인 경우의 MSGR은 다음과 같은 정보를 포함한다.
MSGR = [cipher_alg_num, cipher_alg_list, mac_alg_num, mac_alg_list, type, mode, proto, dhGroup, SPI, local_addr_v4, local_addr_v6]
MSGR은 자신이 지원 가능한 각종 보안 알고리즘에 대한 리스트를 포함한다. cipher_alg_num은 지원 가능한 암호화 알고리즘 개수, cipher_alg_lit는 지원 가능한 암호화 알고리즘 리스트, mac_alg_num은 지원 가능한 인증 알고리즘 개수, mac_alg_list는 지원 가능한 인증 알고리즘 리스트를 의미한다. ESP/AH를 구분하기 위한 type, transport/tunnel 모드를 구분하기 위한 mode, 프로토콜을 나타내는 proto, Diffie-Hallman 그룹을 나타내는 dhGroup, SA를 구분하기 위한 SPI 등의 정보가 포함된다. 또한 local_addr_v4와 local_addr_v6는 각각 자신의 IPv4 주소와 IPv6 주소를 의미한다.
또한, 다음과 같은 정보를 MSGR에 포함하는 보안방식을 적용할 수 있다.
MSGR = [cipher_alg_num, cipher_alg_list, mac_alg_num, mac_alg_list,
local_addr_v4, local_addr_v6]
원격지 노드로부터 메시지를 수신한 로컬 노드는 비밀 정보 x를 이용해서 σ를 계산하고, 키 씨드(Kseed)와 인증을 위한 키(KA)를 계산하고, 수신된 AUTHR을 검증한다. 검증에 성공하면 MSGL을 생성하고, 인증 키 KA를 이용해서 AUTHL을 계산한다.
여기서 생성되는 MSGL도 보안 방식에 따라 다르게 적용될 수 있다.
예를 들어, 보안 방식이 IPsec인 경우에 MSGL는 다음과 같이 표현된다.
MSGL = [cipher_alg, mac_alg, type, mode, SPI]
상대 노드로부터 수신한 MSGR 로부터 얻은 보안 알고리즘 리스트와 자신이 지원할 수 있는 알고리즘 리스트를 비교해서 우선 순위가 높은 알고리즘을 결정해서 상대 노드에게 전달한다.
또한, 다른 보안 방식에 따라 MSGL은 다음과 같은 정보를 포함할 수 있다.
MSGL = [cipher_alg_num, cipher_alg_list, mac_alg_num, mac_alg_list,
sp_num, sp_info[action, proto, dport, sport, cipher_alg, mac_alg]]
이때, MSGL은 지원 가능한 각종 보안 알고리즘 정보와 보안 정책 정보를 포함한다. cipher_alg_num, cipher_alg_lit, mac_alg_num, mac_alg_list의 의미는 MSGR에서의 의미와 동일하다. sp_num은 보안 정책의 개수를 나타내며, 보안 정책에는 add/delete 여부를 나타내는 action, 프로토콜을 의미하는 proto, 목적지 포트 번호를 의미하는 dport, 소스 포트 번호를 의미하는 sport, 암호화 알고리즘을 의미하는 cipher_alg, 인증 알고리즘을 의미하는 mac_alg 등이 포함된다. 암호화 알고리즘과 인증 알고리즘은 원격지 노드가 지원 가능할 수 있는 알고리즘들과 자신이 지원할 수 있는 알고리즘들을 비교해서, 두 노드 모두에서 지원 가능한 보안 알고리즘들 중에서 우선 순위에 의해서 결정된다.
원격지 노드는 수신된 AUTHL을 검증하고, 검증에 성공하면 성공 여부를 MSGN을 통해서 로컬 노드에게 전달한다.
다음은 보안 방식이 IPsec인 경우의 MSGN을 나타낸 것이며, 상대 노드에게 성공 여부를 전달하는 필드를 포함한다.
MSGN = [result]
또한, 다른 보안 방식을 이용하는 경우의 MSGN은 다음과 같은 정보를 포함할 수 있다.
MSGN = [sp_num, sp_info[action, proto, dport, sport, cipher_alg, mac_alg]]. 여기서, 각 필드의 의미는 MSGL과 동일하다.
MSGR, MSGL, MSGN은 보안 모듈에서 메시지에 적용되는 보안 방식에 따라서 다양한 정보들이 포함될 수 있다.
상기 표 1의 절차를 수행한 후에, 두 노드는 키 씨드(Kseed)를 공유할 수 있으며, 키 씨드를 이용해서 다양한 종류의 키들을 생성할 수 있다. 키 씨드로부터 여러 키들을 생성하는 방법은 이미 발표된 방식들이 많이 있으며, 본 발명에서는 언급하지 않는다.
도 3은 본 발명의 실시예에 따라 데이터 보안을 실행하는 구체적인 방법을 나타내는 도면이다.
두 노드 사이에 데이터 및 제어 메시지를 안전 터널을 통해 전달하기 위해 각각의 노드는 mPAK 프로토콜(30a)에 의해 키를 공유하고, 또한 송수신되는 데이터에 보안 정책을 적용하는 보안 모듈(Security Module, 30c)을 구비한다.
도 3에서 mPAK(30a)는 키 교환을 수행하는 프로토콜을 의미하며, App(3b)는 다양한 종류의 응용들을 나타낸다.
실제로 데이터에 대한 보안 정책을 적용하는 보안 모듈(Security Module, 30c)은 도 3과 같이 별도의 장치와 같이 작동할 수 있는 것은 물론 Layer 2 네트워크 디바이스 드라이버에 포함될 수 있다. 보안 모듈(Security Module, 30c)에서는 데이터에 보안 정책을 적용하는 것 이외에도 5-tuple 룩업을 통해서 수신된 데이터를 받아들일 것인지 여부를 결정할 수도 있다. 이러한 데이터 필터링 기능은 간단한 방화벽 기능을 수행하는 것과 같은 역할을 수행한다.
두 노드 사이에 데이터 및 제어 메시지를 보안 정책에 따라 송수신하기 위해서는 입력된 패스워드를 이용해 mPAK(30a)를 수행하여 키 정보를 교환하고, 보안 모듈(Security Module, 30c)에 보안 정책과 관련된 정보를 전달한다.
보안 모듈(30c)에 전달되는 정보는 암/복호화 및 인증 알고리즘 정보, 키, 재전송 공격을 막기 위한 순서 번호(Sequence Number), 정보 생성 시간, 그리고 생명 주기(Life Time) 등이 포함될 수 있다. 이러한 정보를 검색하기 위한 인덱스는 목적지 주소 및 포트 번호, 원천지 주소 및 포트 번호, 그리고 프로토콜 번호를 사용한다. 보안 모듈(30c)에서 5-tuple 룩업을 수행하는 방법은 기존에 발표된 방식들 중에서 선택할 수 있으며, 본 발명에서는 구체적으로 언급하지 않는다.
두 노드 사이에 mPAK(301)를 수행하여 생성되는 안전 터널을 통해 두 노드에 존재하는 응용(application) 간에 데이터를 교환하는 경우, 교환되는 데이터는 TCP/UDP 계층(302) 및 IP 계층(303)을 거친 후에 보안 모듈(30c)을 통과하여 mPAK(30a)로부터 수신된 보안 정책을 해당 데이터에 적용한다. 이렇게 보안 정책이 적용된 데이터(304)는 공중망을 통해 상대 노드로 전달된다.
상대 노드는 공중망을 통해 전달된 데이터를 수신하면, 데이터를 전달한 노드에서의 처리 과정의 역순으로 데이터를 처리한다.
도 4는 본 발명에 의한 보안 정책에 따라 송수신되는 데이터의 형태를 구체적으로 나타내는 도면이다.
구체적으로, Version(401)는 버전을 나타내고, Length(402)는 Sequence Number(403)부터 Padding Length(408)까지의 길이를 의미한다. Sequence Number(403)는 재전송 공격을 방지하기 위한 순서 번호(8바이트)를 나타내고, IV(Initialization Vector, 404)는 블록 암호 알고리즘에서 사용되는 IV를 의미한다. Message(405)는 실제로 전달되는 데이터를, MAC(406)은 Keyed Hash한 결과를, Padding(407)은 블록 암호 알고리즘에서 필요로 하는 패딩을, 마지막으로 Padding Length(408)는 패딩 길이를 나타낸다. Version(401)에서부터 Message(405)까지는 Keyed Hash(409)를 이용해서 인증 절차를 수행하고, Message(405)부터 Padding Length(408)까지의 필드데 대해서 데이터 암호화(410)을 적용한다. 사용되는 알고리즘들은 기존에 발표된 다양한 알고리즘들을 사용할 수 있다.
도 5는 본 발명에 따라 도 3의 보안 모듈에서 데이터를 암호화하는 절차를 나타내는 도면이다.
먼저, 5-tuple 룩업(lookup)을 수행하고(S501), 수행된 5-tuple 룩업(lookup) 결과로 Version, Length, Sequence Number, IV와 같은 정보를 비롯해서 실제 데이터 보호를 위해서 필요한 키 정보와 알고리즘 정보 등이 검색된다.(S502)
Keyed Hash를 이용해서 인증 정보(MAC)를 생성하고(S503), MAC가 생성된 후에 암호화를 위한 패딩(Padding)을 수행한다(S504). 그리고 데이터에 대한 암호화를 수행하고(S505), 암호화된 데이터를 전달한다.(S506)
도 6은 보안 모듈(30c)에서 데이터를 복호화하기 위한 절차를 흐름도로 나타낸 것이다.
데이터가 수신되면, 먼저 5-tuple 룩업(lookup)을 수행하고, 그 결과에 따라 데이터의 수신 여부를 결정한다.(602) 데이터 수신을 거절하는 경우에는 에러 메시지를 반환한 후 작업을 종료하고, 데이터의 수신이 결정되면 버전의 정당성을 검사한다.(603) 버전의 정당성 검사 결과 유효한 경우에는 순서 번호(Sequence Number)의 정당을 검사한다.(604), 순서 번호가 유효한 경우에는 복호화를 위한 패딩을 검사하여(605), 유효한 경우에는 데이터에 대한 복호화를 수행한다.(606) 만일 버전, 순서 번호 및 패딩 검사 결과 유효하지 않은 경우에는 에러 메시지를 반환한 후 작업을 종료한다.
데이터에 대한 복호화가 수행된 후에는 MAC를 검사하여 인증 절차를 수행한다.(S607) 인증 절차를 통과하면, 복호화된 데이터를 반환한 후 작업을 종료하고, 인증 절차를 통과하기 못한 경우에는 에러 메시지를 반환한 후 작업을 종료한다.
한편, 본 발명의 상세한 설명에서는 구체적인 실시 예에 관하여 설명하였으나, 본 발명의 범위에서 벗어나지 않는 한도 내에서 여러 가지 변형이 가능함은 물론이다. 그러므로 본 발명의 범위는 설명된 실시 예에 국한되어 정해져서는 않되며 후술하는 발명청구의 범위뿐 만 아니라 이 발명청구의 범위와 균등한 것들에 의해 정해져야 한다.
도 1은 본 발명의 실시예에 따라 서버 기반 이동 IP 시스템에서 노드와 서버 및 노도와 노드 사이의 보안 절차를 나타내는 도면이다.
도 2는 도 1의 보안 절차를 구체적으로 나타내는 도면이다.
도 3은 본 발명의 실시예에 따라 데이터 보안을 실행하는 구체적인 방법을 나타내는 도면이다.
도 4는 본 발명에 의한 보안 정책에 따라 송수신되는 데이터의 형태를 나타내는 도면이다.
도 5는 본 발명에 따라 데이터를 암호화하는 절차를 나타내는 도면이다.
도 6은 본 발명에 따라 데이터를 복호화하는 절차를 나타내는 도면이다.

Claims (20)

  1. 서버와 mPAK를 수행하여 교환된 제 1 보안 요소를 이용해 상기 서버와 터널을 생성하는 단계;
    상기 생성된 터널을 통해 상기 서버에 유사 패스워드 요청 메시지(PPQ)를 전달하는 단계;
    상기 요청에 대응하여 상기 서버로부터 수신되는 유사 패스워드 응답 메시지(PPA)를 이용해 통신을 원하는 상대 노드와 mPAK를 수행하여 제 2 보안 요소를 교환하는 단계;
    상기 제 2 보안 요소를 이용해 상기 상대 노드와 송수신되는 데이터 및 제어메시지 보안을 위한 터널을 생성하는 단계를 포함하는 서버 기반 이동 IP 시스템에 있어서 이동 노드의 보안 방법.
  2. 제 1 항에 있어서, 상기 서버와의 mPAK 수행은
    사용자의 ID 및 패스워드의 입력에 의해 이루어지는 것을 특징으로 하는 서버 기반 이동 IP 시스템에 있어서 이동 노드의 보안 방법.
  3. 제 1 항에 있어서, 상기 제 1 및 제2 보안 요소는
    키 교환, 상호 인증 및 보안 터널을 설정하기 위해 요구되는 보안 정책을 포함하는 것을 특징으로 하는 서버 기반 이동 IP 시스템에 있어서 이동 노드의 보안 방법.
  4. 제 1 항에 있어서, 상기 서버와 터널을 생성하는 단계는
    상기 서버와 mPAK를 수행하여 교환된 제 1 보안 요소들을 이용해 보안 정책을 설정하는 단계; 및
    상기 설정된 보안 정책에 따라 상기 서버와 터널을 생성하는 것을 특징으로 하는 서버 기반 이동 IP 시스템에 있어서 이동 노드의 보안 방법.
  5. 제 1 항에 있어서, 상기 이동 노드와 터널을 생성하는 단계는
    상기 서버와 mPAK를 수행하여 교환된 제 2 보안 요소들을 이용해 보안 정책을 설정하는 단계; 및
    상기 설정된 보안 정책에 따라 상기 이동 노드와 터널을 생성하는 단계를 포함하는 것을 특징으로 하는 서버 기반 이동 IP 시스템에 있어서 이동 노드의 보안 방법.
  6. 제 4 항 또는 제 5 항에 있어서, 상기 보안 정책을 설정하는 단계는
    상기 터널을 위한 보안 정책 데이터 베이스 및 보안 연계 데이터 베이스를 설정하는 것을 특징으로 하는 서버 기반 이동 IP 시스템에 있어서 이동 노드의 보안 방법.
  7. 제 6 항에 있어서, 상기 설정된 보안 정책은
    5-tuple 룩업을 이용하는 것을 특징으로 하는 서버 기반 이동 IP 시스템에 있어서 이동 노드의 보안 방법.
  8. 제 7 항에 있어서,
    근원지 주소 및 포트 번호, 목적지 주소 및 포트 번호, 프로토콜 번호를 인덱스로 이용하여 룩업 결과로 키 정보, 알고리즘 정보, 순서 번호, 버전, 생명 주기 및 생성 시간이 검색되는 것을 특징으로 하는 서버 기반 이동 IP 시스템에 있어서 이동 노드의 보안 방법.
  9. 제 1 항에 있어서, 상기 서버에 전달되는 유사 패스워드 요청 메시지(PPQ)는
    상기 통신을 원하는 상대 노드의 주소를 더 포함하는 것을 특징으로 하는 서 버 기반 이동 IP 시스템에 있어서 이동 노드의 보안 방법.
  10. 제 1 항에 있어서, 상기 서버와 터널을 설정하는 단계는
    입력된 아이디 및 패스워드를 이용해 상호 인증을 수행하면서 상기 서버와 키 정보를 교환하고 보안 정책을 협상하는 단계;
    상기 교환되는 키 정보를 이용해 필요한 키들을 생성하는 단계; 및
    상기 서버와 교환된 키 정보 및 협상된 보안 정책을 이용해 터널을 생성하는 단계를 포함하는 것을 특징으로 하는 서버 기반 이동 IP 시스템에 있어서 이동 노드의 보안 방법.
  11. 제 1 항에 있어서, 상기 유사 패스워드 응답 메시지(PPA)는
    유사 아이디 및 유사 패스워드를 포함하는 것을 특징으로 하는 서버 기반 이동 IP 시스템에 있어서 이동 노드의 보안 방법.
  12. 다수의 이동 노드와 mPAK를 수행하여 교환되는 보안 요소들을 이용해 터널을 생성하는 단계;
    상기 생성된 터널을 통해 적어도 하나의 이동 노드로부터 유사 패스워드 요 청 메시지(PPQ)를 수신하는 단계;
    상기 유사 패스워드 요청 메시지가 수신되면 임의의 난수 발생에 따라 생성되는 유사 패스워드를 상기 터널을 통해 상기 이동 노드로 전달하는 단계를 포함하는 것을 특징으로 하는 서버 기반 이동 IP 시스템에 있어서 서버의 보안 방법.
  13. 제 12 항에 있어서, 상기 이동 노드와의 mPAK 수행은
    사용자의 ID 및 패스워드의 입력에 의해 이루어지는 것을 특징으로 하는 서버 기반 이동 IP 시스템에 있어서 서버의 보안 방법.
  14. 제 12 항에 있어서, 상기 유사 패스워드 요청 메시지는
    상기 이동 노드가 통신을 하고자 하는 상대 노드의 주소를 포함하는 것을 특징으로 하는 서버 기반 이동 IP 시스템에 있어서 서버의 보안 방법.
  15. 제 14 항에 있어서,
    상기 상대 노드의 주소로 상기 생성된 유사 패스워드를 전달하는 단계를 더 포함하는 것을 특징으로 하는 서버 기반 이동 IP 시스템에 있어서 서버의 보안 방법.
  16. 제 12 항에 있어서, 상기 생성된 유사 패스워드는
    유사 아이디를 포함하는 것을 특징으로 하는 서버 기반 이동 IP 시스템에 있어서 서버의 보안 방법.
  17. 입력되는 아이디 및 패스워드를 이용해 상호 인증을 수행하면서 대응되는 노드와 키 정보를 교환하여 필요한 키들을 생성하고, 보안 정책을 협상하는 mPAK 수행 모듈;
    상기 대응되는 노드와 협상된 보안 정책을 설정하여, 데이터 전송시 상기 설정된 보안 정책에 따라 상기 데이터에 보안 정책을 적용하는 보안 모듈을 포함하는 서버 기반 이동 IP 시스템에 있어서 이동 노드 장치.
  18. 제 17 항에 있어서,
    상기 보안 모듈은 Layer 2 네트워크 디바이스 드라이버에 포함되는 것을 특징으로 하는 서버 기반 이동 IP 시스템에 있어서 이동 노드 장치.
  19. 제 17 항에 있어서, 상기 보안 모듈은
    수신되는 데이터에 대하여 5-tuple 룩업을 적용하여 상기 수신된 데이터를 필터링하는 것을 특징으로 하는 서버 기반 이동 IP 시스템에 있어서 이동 노드 장치.
  20. 제 17 항에 있어서, 상기 보안 모듈은
    보안 정책 데이터 베이스 및 보안 연계 데이터 베이스를 포함하는 것을 특징으로 하는 서버 기반 이동 IP 시스템에 있어서 이동 노드 장치.
KR1020080027271A 2007-09-18 2008-03-25 서버 기반 이동 인터넷 프로토콜 시스템에 있어서 보안방법 KR100948604B1 (ko)

Priority Applications (5)

Application Number Priority Date Filing Date Title
KR1020080027271A KR100948604B1 (ko) 2008-03-25 2008-03-25 서버 기반 이동 인터넷 프로토콜 시스템에 있어서 보안방법
US12/678,812 US8925048B2 (en) 2007-09-18 2008-03-26 Security method of mobile internet protocol based server
PCT/KR2008/001685 WO2009038260A1 (en) 2007-09-18 2008-03-26 Security method of mobile internet protocol based server
CN200880116655A CN101861712A (zh) 2007-09-18 2008-03-26 基于移动因特网协议的服务器的安全方法
JP2010525736A JP2010539839A (ja) 2007-09-18 2008-03-26 サーバ基盤移動インターネットプロトコルシステムにおけるセキュリティ方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020080027271A KR100948604B1 (ko) 2008-03-25 2008-03-25 서버 기반 이동 인터넷 프로토콜 시스템에 있어서 보안방법

Publications (2)

Publication Number Publication Date
KR20090102050A KR20090102050A (ko) 2009-09-30
KR100948604B1 true KR100948604B1 (ko) 2010-03-24

Family

ID=40468053

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080027271A KR100948604B1 (ko) 2007-09-18 2008-03-25 서버 기반 이동 인터넷 프로토콜 시스템에 있어서 보안방법

Country Status (5)

Country Link
US (1) US8925048B2 (ko)
JP (1) JP2010539839A (ko)
KR (1) KR100948604B1 (ko)
CN (1) CN101861712A (ko)
WO (1) WO2009038260A1 (ko)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101997679A (zh) 2009-08-21 2011-03-30 华为终端有限公司 加密信息协商方法、设备及网络系统
DE102010013202A1 (de) * 2010-03-29 2011-09-29 Giesecke & Devrient Gmbh Verfahren zum sicheren Übertragen einer Anwendung von einem Server in eine Lesegeräteinheit
KR101293374B1 (ko) * 2012-06-25 2013-08-05 에스케이씨앤씨 주식회사 모바일 환경에서 안전한 관리 권한 획득 방법 및 이를 적용한 시스템
CN104580483A (zh) * 2015-01-19 2015-04-29 浪潮电子信息产业股份有限公司 一种基于tpm2.0芯片的可信移动模块实现方法
US10129131B2 (en) 2015-06-30 2018-11-13 Dell Products, Lp System and method for device optimization in a network of devices with embedded electronics
US10601912B2 (en) 2015-06-30 2020-03-24 Dell Products, L.P. System and method for device policy exchange in a network of devices with embedded electronics
CN107566115B (zh) 2016-07-01 2022-01-14 华为技术有限公司 密钥配置及安全策略确定方法、装置
CN107087312A (zh) * 2017-05-23 2017-08-22 迈普通信技术股份有限公司 全连通网络建立方法及装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050041820A (ko) * 2003-10-31 2005-05-04 삼성전자주식회사 이종망간에 데이터 통신이 가능한 터널 서비스를 제공하는시스템
KR20070059902A (ko) * 2005-12-07 2007-06-12 한국전자통신연구원 IPv6 네트워크에서 이동노드에게 VPN 서비스를제공하는 방법 및 이를 위한 게이트웨이
US20070133803A1 (en) 2000-02-04 2007-06-14 Makoto Saito Method, apparatus and program for establishing encrypted communication channel between apparatuses

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010027902A (ko) 1999-09-16 2001-04-06 박진우 사용자가 기억할 수 있는 패스워드를 이용한 안전한 사용자 인증과 키 일치 방법
US20040030659A1 (en) * 2000-05-25 2004-02-12 Gueh Wilson How Kiap Transaction system and method
US7076656B2 (en) 2001-04-05 2006-07-11 Lucent Technologies Inc. Methods and apparatus for providing efficient password-authenticated key exchange
DE10222757B4 (de) * 2002-05-23 2004-05-06 Daimlerchrysler Ag Zylinderkurbelgehäuse einer Brennkraftmaschine
KR20040009002A (ko) * 2002-07-20 2004-01-31 삼성전자주식회사 광정보 저장매체 및 그 기록 방법
KR100545628B1 (ko) 2002-12-09 2006-01-24 한국전자통신연구원 보안연계 협상과 키교환 시스템 및 방법
JP4029396B2 (ja) 2003-02-25 2008-01-09 日本電信電話株式会社 通信制御システムと通信制御方法およびプログラム
KR100505139B1 (ko) 2003-04-16 2005-08-04 아이피원(주) 동적 이동 ip 환경에서 이동노드의 이동성 및 데이터전송을 보장하는 방법
US7549048B2 (en) 2004-03-19 2009-06-16 Microsoft Corporation Efficient and secure authentication of computing systems
EP1650924B1 (en) * 2004-09-30 2007-03-21 Alcatel Mobile authentication for network access
US7764795B2 (en) * 2004-10-20 2010-07-27 Oracle International Corporation Key-exchange protocol using a password-derived prime
WO2007000772A1 (en) * 2005-06-28 2007-01-04 Hewlett - Packard Development Company L.P. Access control method and apparatus
US20070177550A1 (en) * 2005-07-12 2007-08-02 Hyeok Chan Kwon Method for providing virtual private network services to mobile node in IPv6 network and gateway using the same
US7508764B2 (en) * 2005-09-12 2009-03-24 Zeugma Systems Inc. Packet flow bifurcation and analysis
JP4592611B2 (ja) * 2006-02-03 2010-12-01 富士通株式会社 パケット通信システム

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070133803A1 (en) 2000-02-04 2007-06-14 Makoto Saito Method, apparatus and program for establishing encrypted communication channel between apparatuses
KR20050041820A (ko) * 2003-10-31 2005-05-04 삼성전자주식회사 이종망간에 데이터 통신이 가능한 터널 서비스를 제공하는시스템
KR20070059902A (ko) * 2005-12-07 2007-06-12 한국전자통신연구원 IPv6 네트워크에서 이동노드에게 VPN 서비스를제공하는 방법 및 이를 위한 게이트웨이

Also Published As

Publication number Publication date
WO2009038260A1 (en) 2009-03-26
CN101861712A (zh) 2010-10-13
KR20090102050A (ko) 2009-09-30
JP2010539839A (ja) 2010-12-16
US20100262825A1 (en) 2010-10-14
US8925048B2 (en) 2014-12-30

Similar Documents

Publication Publication Date Title
Tschofenig et al. Transport layer security (tls)/datagram transport layer security (dtls) profiles for the internet of things
JP4707992B2 (ja) 暗号化通信システム
US9350708B2 (en) System and method for providing secured access to services
US8504822B2 (en) Transparent proxy of encrypted sessions
US8346949B2 (en) Method and system for sending a message through a secure connection
US9319220B2 (en) Method and apparatus for secure network enclaves
US8046577B2 (en) Secure IP access protocol framework and supporting network architecture
KR100948604B1 (ko) 서버 기반 이동 인터넷 프로토콜 시스템에 있어서 보안방법
US20070006296A1 (en) System and method for establishing a shared key between network peers
CA2414044C (en) A secure ip access protocol framework and supporting network architecture
CN110191052B (zh) 一种跨协议网络传输方法及系统
US20220263811A1 (en) Methods and Systems for Internet Key Exchange Re-Authentication Optimization
Fossati RFC 7925: Transport Layer Security (TLS)/Datagram Transport Layer Security (DTLS) Profiles for the Internet of Things
WO2009082950A1 (fr) Procédé, dispositif et système de distribution de clés
CN101360096B (zh) 一种应用于数字医疗的系统安全规划方法
JP2008199420A (ja) ゲートウェイ装置および認証処理方法
Korhonen et al. Mobile IPv6 security framework using transport layer security for communication between the mobile node and home agent
US20240022402A1 (en) A Method for Tunneling an Internet Protocol Connection Between Two Endpoints
KR101989147B1 (ko) 비대칭 키 교환을 이용한 mptcp의 핸드 셰이크 방법
Modares et al. Protection of binding update message in Mobile IPv6
Rehman Design and implementation of mobility for virtual private network users
CN116938441A (zh) 互联网密钥交换过程中的量子密码学
Patil et al. RFC 6618: Mobile IPv6 Security Framework Using Transport Layer Security for Communication between the Mobile Node and Home Agent
Roepke et al. A Survey on Protocols securing the Internet of Things: DTLS, IPSec and IEEE 802.11 i
Hoeper EMU Working Group S. Hartman, Ed. Internet-Draft Painless Security Intended status: Standards Track T. Clancy Expires: May 2, 2012 Electrical and Computer Engineering

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130304

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20140303

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20150226

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20160226

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20170224

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20180226

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20200224

Year of fee payment: 11