KR101847809B1 - 부분 분산형 이동성 관리 시스템에서의 보안 인증 방법 - Google Patents

부분 분산형 이동성 관리 시스템에서의 보안 인증 방법 Download PDF

Info

Publication number
KR101847809B1
KR101847809B1 KR1020170063594A KR20170063594A KR101847809B1 KR 101847809 B1 KR101847809 B1 KR 101847809B1 KR 1020170063594 A KR1020170063594 A KR 1020170063594A KR 20170063594 A KR20170063594 A KR 20170063594A KR 101847809 B1 KR101847809 B1 KR 101847809B1
Authority
KR
South Korea
Prior art keywords
authentication
access router
anchor
mobile node
mobility
Prior art date
Application number
KR1020170063594A
Other languages
English (en)
Inventor
신용태
김도현
최종석
신재형
Original Assignee
숭실대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 숭실대학교 산학협력단 filed Critical 숭실대학교 산학협력단
Application granted granted Critical
Publication of KR101847809B1 publication Critical patent/KR101847809B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0033Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
    • H04W36/0038Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information

Abstract

부분 분산형 이동성 관리 시스템에서의 보안 인증 방법이 개시된다. 이동성 앵커 및 접속 라우터(MAAR: Mobility Anchor and Access Router), 중앙 이동성 데이터베이스(CMD: Central Mobility Database) 및 인증 서버(AAA: Authentication Authorization Accounting)를 포함하는 부분 분산형 이동성 관리 시스템에서 모바일 노드(MN: Mobile Node)의 초기 접속 시의 보안 인증 방법은 모바일 노드와 이동성 앵커 및 접속 라우터 사이의 메시지를 보호하기 위하여, 메시지를 해시함수를 이용하여 암호화한다.

Description

부분 분산형 이동성 관리 시스템에서의 보안 인증 방법{Security authentication method in partially distributed mobility management system}
본 발명은 부분 분산형 이동성 관리 시스템에서의 보안 인증 방법에 관한 것이다.
차세대 무선 네트워크와 LTE(Long Term Evolution) 서비스 등 현재의 무선 접속 기술 및 서비스들은 이전의 기술들에 비하여 성능이 매우 우수하며, 무결점 서비스를 지향하고 있다. 이러한 통신 네트워크의 일련의 작업은 보다 많은 양질의 무결점 서비스를 제공하는 것이 네트워크의 성능 및 효율의 우수성을 나타내는 척도가 되고 있다. 그런 이유로 다양한 이동성 관리 기법들이 등장하였으며, 현재까지 중요하게 다루고 있는 논제이다.
IETF(Internet Engineering Task Force)에서는 이동성 관리 기법의 프로토콜로 MIPv6(Mobile IPv6), PMIPv6(Proxy Mobile IPv6)를 제안하였다. 여기서, MIPv6는 호스트 기반 이동성 관리 프로토콜이며, PMIPv6는 네트워크 기반의 이동성 관리 프로토콜이다.
도 1은 PMIPv6의 시스템 구성을 나타낸 도면이다.
도 1을 참조하면, PMIPv6 시스템은LMA(Local Mobility Anchor)(100)와 MAG(Mobile Access Gateway)(200)로 구성되어 있다.
MAG(200)는 모바일 노드(MN: Mobile Node)(10)가 연결하는 첫 번째 홉이 되며, 모바일 노드(10)를 대신하여 이동성 지원 시그널링을 수행하고, 시그널링 메시지를 LMA로 전송하는 역할을 담당한다. LMA는 모바일 노드(10)의 정보를 유지하며, 자신의 관리하에 있는 모바일 노드(10)에게 HNP(Home Network Prefix)를 할당하며, PMIPv6 도메인 안에서 모바일 노드(10)를 위한 홈 에이전트(Home Agent) 역할을 담당하고 있다.
PMIPv6시스템에서는, 새로운 CoA(Care of Address)를 생성하지 않고, 기존의 HoA(Home Address)만을 가지고 있기 때문에, 모바일 노드(10)가 다른 MAG의 영역으로 이동하더라도 모바일 노드(10)는 계속 홈 네트워크에 있는 것처럼 동작한다.
하지만, 이와 같은 이동성 관리 방법은, 임의의 단말과 상대 단말 사이에 전송되는 모든 트래픽이 홈 에이전트와 LMA를 거쳐서 전달되기 때문에, 홈 에이전트나 LMA에 모든 패킷이 집중되어 부하현상이 일어나게 된다. 또한, 홈 에이전트나 LMA에서 모든 단말의 위치 정보 및 터널링 정보를 관리하기 때문에, 급증하는 이동 단말을 모두 포용하기 어려운 문제점이 발생하며, 홈에이전트나 LMA의 고장으로 전체적인 통신 자체가 단절되는 현상인 SPOF(Single Point of Failure) 문제가 발생할 수 있다. 이러한 이유로, IETF에서는 기존의 이동성 관리 방안의 단점을 보완하기 위하여, 분산형 이동성 관리(DMM: Distributed Mobility Management)가 제안되었다.
도 2는 완전 분산형 이동성 관리 시스템을 나타낸 도면이고, 도 3은 부분 분산형 이동성 관리 시스템을 나타낸 도면이다.
분산형 이동성 관리 시스템은, 이동성 앵커들이 관리하는 단말에 대한 정보를 공유하는 방식에 따라 도 2 및 도 3과 같이, 완전 분산형 이동성 관리 방식과 부분 분산형 이동성 관리 방식으로 나눌 수 있다.
분산형 이동성 관리 시스템에서는, 기존의 MIPv6와 PMIPv6에 존재하지 않았던 MAAR(Mobility Anchor and Access Router)(20)과 CMD(Central Mobility Database)(30)가 추가되었다. CMD(30)는 MIPv6의 홈 에이전트나 PMIPv6의 LMA 노드와 달리 데이터 트래픽의 앵커 노드 역할을 수행하지 않고, 시그널링 메시지의 전달 역할만 수행한다. 데이터 트래픽의 앵커 역할은 모바일 노드(10)가 접속되는 MAAR(20)들이 분산 수행하게 되어, 데이터 트래픽이 MIPv6의 홈 에이전트나 PMIPv6의 LMA로 집중되는 현상을 방지하여 과부하와 단일 장애점 문제 및 확장성의 문제를 해결할 수 있다.
하지만, 네트워크 기반 분산형 이동성 관리 기술은, 기존 PMIPv6의 보안 취약점인 DoS(Denial of Service), IP 스프핑, 리다이렉트, MITM(Man-in-the-Middle), 재생공격 등에 대한 취약점을 기술적으로 보완하지 못하고 있다.
본 발명은 PMIPv6 기반의 부분 분산형 이동성 관리 시스템에서 초기 접속 시의 인증절차 및 핸드오버 시의 인증절차에서 메시지를 암호화함으로써, 개체 간에 메시지를 보호하고 메시지 위변조 공격으로부터 메시지를 보호하여 다른 보안 공격에 노출되는 것을 보호하는 부분 분산형 이동성 관리 시스템에서의 보안 인증 방법을 제공하기 위한 것이다.
본 발명의 일 측면에 따르면, 이동성 앵커 및 접속 라우터(MAAR: Mobility Anchor and Access Router), 중앙 이동성 데이터베이스(CMD: Central Mobility Database) 및 인증 서버(AAA: Authentication Authorization Accounting)를 포함하는 부분 분산형 이동성 관리 시스템에서 모바일 노드(MN: Mobile Node)의 초기 접속 시의 보안 인증 방법이 개시된다.
본 발명의 실시예에 따른 보안 인증 방법은 상기 모바일 노드가 상기 모바일 노드의 제1 아이디(MNID) 및 제1 타임스탬프(TSMN)를 선택하여 상기 모바일 노드와 상기 이동성 앵커 및 접속 라우터 사이의 제1 비밀키(SMM)를 생성하고, 상기 제1 아이디(MNID) 및 상기 제1 비밀키(SMM)를 포함하는 접속 요청 메시지를 상기 이동성 앵커 및 접속 라우터로 전송하는 단계, 상기 이동성 앵커 및 접속 라우터가 상기 모바일 노드의 인증을 위하여 상기 이동성 앵커 및 접속 라우터의 제2 타임스탬프(TSMAAR) 및 상기 인증 서버와의 제1 세션키(KSAM)를 생성하고, 상기 제2 타임스탬프(TSMAAR) 및 상기 제1 세션키(KSAM)를 포함하는 제1 인증 요청 메시지를 상기 인증 서버로 전송하는 단계, 상기 인증 서버가 상기 모바일 노드가 수행한 방법과 동일한 방법으로 상기 제1 비밀키(SMM)를 생성하고, 상기 생성한 제1 비밀키(SMM)를 이용하여 상기 제1 인증 요청 메시지를 확인하여 인증을 수행하고, 인증에 성공하면, 제1 인증 응답 메시지를 상기 이동성 앵커 및 접속 라우터로 전송하는 단계, 상기 이동성 앵커 및 접속 라우터가 상기 모바일 노드의 현재 위치를 등록하기 위한 프록시 바인딩 업데이트(PBU: Proxy Binding Update) 메시지를 포함하는 제2 인증 요청 메시지를 상기 중앙 이동성 데이터베이스로 전송하는 단계, 상기 중앙 이동성 데이터베이스가 상기 제2 인증 요청 메시지를 확인하여 인증을 수행하고, 인증에 성공하면, 상기 모바일 노드가 사용할 홈네트워크 프리픽스(HNP: Home Network Prefix) 및 프록시 바인딩 응답(PBA: Proxy Binding Acknowledgement) 메시지를 포함하는 제2 인증 응답 메시지를 상기 이동성 앵커 및 접속 라우터로 전송하는 단계 및 상기 이동성 앵커 및 접속 라우터가 상기 홈네트워크 프리픽스 및 상기 제1 비밀키(SMM)를 포함하는 접속 알림 메시지를 상기 모바일 노드로 전송하는 단계를 포함한다.
상기 제1 비밀키(SMM)는 상기 제1 아이디(MNID), 상기 제1 타임스탬프(TSMN) 및 상기 이동성 앵커 및 접속 라우터의 제2 아이디(MAARID)에 대하여, 상기 인증 서버와 사전에 공유한 제2 비밀키(SAAA)를 이용하여 생성된 해쉬값이다.
상기 제1 인증 요청 메시지는 상기 제1 아이디(MNID), 상기 제2 아이디(MAARID), 상기 제1 타임스탬프(TSMN), 상기 제2 타임스탬프(TSMAAR), 상기 제1 비밀키(SMM) 및 상기 제1 세션키(KSAM)를 포함한다.
상기 제1 인증 응답 메시지는 상기 제1 아이디(MNID), 상기 제2 아이디(MAARID), 상기 인증 서버의 제3 타임스탬프(TSAAA), 상기 제1 비밀키(SMM) 및 상기 제1 세션키(KSAM)를 포함한다.
상기 제2 인증 요청 메시지는 상기 제1 아이디(MNID), 상기 제2 아이디(MAARID), 상기 제2 타임스탬프(TSMAAR) 및 상기 이동성 앵커 및 접속 라우터와 상기 중앙 이동성 데이터베이스 사이의 제2 세션키(KSMC)를 포함한다.
상기 제2 인증 응답 메시지는 상기 제1 아이디(MNID), 상기 중앙 이동성 데이터베이스의 제3 아이디(CMDID), 상기 제2 타임스탬프(TSMAAR), 상기 제1 비밀키(SMM), 상기 홈네트워크 프리픽스 및 상기 제2 세션키(KSMC)를 포함한다.
상기 접속 알림 메시지는 상기 제1 아이디(MNID), 상기 제2 아이디(MAARID), 상기 홈네트워크 프리픽스 및 상기 제1 비밀키(SMM)를 포함한다.
본 발명의 다른 측면에 따르면, 이동성 앵커 및 접속 라우터(MAAR: Mobility Anchor and Access Router), 중앙 이동성 데이터베이스(CMD: Central Mobility Database) 및 인증 서버(AAA: Authentication Authorization Accounting)를 포함하는 부분 분산형 이동성 관리 시스템에서 모바일 노드(MN: Mobile Node)의 핸드오버(handover) 시의 보안 인증 방법이 개시된다.
본 발명의 실시예에 따른 보안 인증 방법은 상기 모바일 노드가 제1 이동성 앵커 및 접속 라우터의 접속 영역에서 제2 이동성 앵커 및 접속 라우터의 접속 영역으로 이동함에 따라 상기 모바일 노드의 제1 아이디(MNID) 및 제1 타임스탬프(TSMN)를 선택하여 상기 모바일 노드와 상기 제2 이동성 앵커 및 접속 라우터 사이의 제1 비밀키(SMM)를 생성하고, 상기 제1 아이디(MNID) 및 상기 제1 비밀키(SMM)를 포함하는 접속 요청 메시지를 상기 제2 이동성 앵커 및 접속 라우터로 전송하는 단계, 상기 제2 이동성 앵커 및 접속 라우터가 상기 모바일 노드의 인증을 위하여 상기 제2 이동성 앵커 및 접속 라우터의 제2 타임스탬프(TSMAAR) 및 상기 인증 서버와의 제1 세션키(KSAM)를 생성하고, 상기 제2 타임스탬프(TSMAAR) 및 상기 제1 세션키(KSAM)를 포함하는 제1 인증 요청 메시지를 상기 인증 서버로 전송하는 단계, 상기 인증 서버가 상기 모바일 노드가 수행한 방법과 동일한 방법으로 상기 제1 비밀키(SMM)를 생성하고, 상기 생성한 제1 비밀키(SMM)를 이용하여 상기 제1 인증 요청 메시지를 확인하여 인증을 수행하고, 인증에 성공하면, 제1 인증 응답 메시지를 상기 제2 이동성 앵커 및 접속 라우터로 전송하는 단계, 상기 제2 이동성 앵커 및 접속 라우터가 상기 모바일 노드의 현재 위치를 등록하기 위한 프록시 바인딩 업데이트(PBU: Proxy Binding Update) 메시지를 포함하는 제2 인증 요청 메시지를 상기 중앙 이동성 데이터베이스로 전송하는 단계, 상기 중앙 이동성 데이터베이스가 상기 모바일 노드가 상기 제2 이동성 앵커 및 접속 라우터로 이동함에 따른 이동성 정보의 갱신을 위하여, 상기 모바일 노드의 이동을 알리는 알림 메시지를 상기 제1 이동성 앵커 및 접속 라우터로 전송하는 단계, 상기 제1 이동성 앵커 및 접속 라우터가 상기 알림 메시지를 확인하여 상기 모바일 노드의 이동을 감지하고 응답 메시지를 상기 중앙 이동성 데이터베이스로 전송하는 단계, 상기 중앙 이동성 데이터베이스가 상기 제2 인증 요청 메시지를 확인하여 인증을 수행하고, 인증에 성공하면, 상기 모바일 노드가 사용할 홈네트워크 프리픽스(HNP: Home Network Prefix) 및 프록시 바인딩 응답(PBA: Proxy Binding Acknowledgement) 메시지를 포함하는 제2 인증 응답 메시지를 상기 제2 이동성 앵커 및 접속 라우터로 전송하는 단계 및 상기 제2 이동성 앵커 및 접속 라우터가 상기 홈네트워크 프리픽스 및 상기 제1 비밀키(SMM)를 포함하는 접속 알림 메시지를 상기 모바일 노드로 전송하는 단계를 포함한다.
상기 알림 메시지는 상기 중앙 이동성 데이터베이스의 제2 아이디(CMDID), 상기 제1 아이디(MNID) 및 상기 제1 이동성 앵커 및 접속 라우터와 상기 중앙 이동성 데이터베이스 사이의 제2 세션키(KSMC)를 포함한다.
상기 응답 메시지는 상기 제1 이동성 앵커 및 접속 라우터의 제3 아이디(MAARID), 상기 제1 아이디(MNID) 및 상기 제2 세션키(KSMC)를 포함한다.
본 발명의 실시예에 따른 부분 분산형 이동성 관리 시스템에서의 보안 인증 방법은, 기존 PMIPv6 기반 인증절차의 보안 취약점을 보완하여, 부분 분산형 이동성 관리 시스템에서 스니핑 및 위변조 공격으로부터 네트워크 자원을 보호할 수 있다.
도 1은 PMIPv6의 시스템 구성을 나타낸 도면.
도 2는 완전 분산형 이동성 관리 시스템을 나타낸 도면.
도 3은 부분 분산형 이동성 관리 시스템을 나타낸 도면.
도 4는 본 발명의 실시예에 따른 부분 분산형 이동성 관리 시스템에서의 보안 인증 방법을 나타낸 흐름도.
도 5는 본 발명의 다른 실시예에 따른 부분 분산형 이동성 관리 시스템에서의 보안 인증 방법을 나타낸 흐름도.
본 명세서에서 사용되는 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 명세서에서, "구성된다" 또는 "포함한다" 등의 용어는 명세서상에 기재된 여러 구성 요소들, 또는 여러 단계들을 반드시 모두 포함하는 것으로 해석되지 않아야 하며, 그 중 일부 구성 요소들 또는 일부 단계들은 포함되지 않을 수도 있고, 또는 추가적인 구성 요소 또는 단계들을 더 포함할 수 있는 것으로 해석되어야 한다. 또한, 명세서에 기재된 "...부", "모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어 또는 소프트웨어로 구현되거나 하드웨어와 소프트웨어의 결합으로 구현될 수 있다.
이하, 본 발명의 다양한 실시예들을 첨부된 도면을 참조하여 상술하겠다.
도 4는 본 발명의 실시예에 따른 부분 분산형 이동성 관리 시스템에서의 보안 인증 방법을 나타낸 흐름도이다.
우선, 도 4를 참조하면, 본 발명의 실시예에 따른 부분 분산형 이동성 관리 시스템은 모바일 노드(MN: Mobile Node, 이하 MN이라 함)(10), 이동성 앵커 및 접속 라우터(MAAR: Mobility Anchor and Access Router, 이하 MAAR이라 함)(20), 중앙 이동성 데이터베이스(CMD: Central Mobility Database, 이하 CMD라 함)(30) 및 인증 서버(AAA: Authentication Authorization Accounting, 이하 AAA 서버라 함)(40)를 포함한다.
본 발명의 실시예에 따른 보안 인증 방법은, 기존 PMIPv6의 환경과 같은 네트워크 기반의 부분 분산형 환경에서 수행된다. 기존 PMIPv6 의 인증 기법에서는, MAG(Mobile Access Gateway)(200)와 LMA(Local Mobility Anchor)(100) 간의 메시지가 IPsec으로 보호되었으나, MN(10)과 MAG(200) 사이의 메시지는 보호되지 않았다. 그래서, 본 발명의 실시예에 따른 보안 인증 방법에서는, MN(10)과 MAAR(20) 사이의 메시지를 보호하기 위하여, 메시지를 해시함수를 이용하여 암호화한다.
그리고, 기존 PMIPv6 의 인증 기법에서는, long-term 키가 인증절차 동안 지속적으로 사용되기 때문에, 키가 노출될 때 모든 메시지가 보안공격에 취약하다. 그래서, 본 발명의 실시예에 따른 보안 인증 방법에서는, 타임스탬프 기반의 세션키를 사용함으로써, 세션키가 노출되더라도 보안상으로 문제가 되지 않는다. 또한, CMD(30)와 인증하는 과정과 MN(10)을 등록시키는 과정이 동시에 수행된다. 즉, MAAR(20)이 CMD(30)로 인증 메시지를 전송할 때, 인증 메시지 안에 등록 메시지를 포함시켜 전송함으로써, 핸드오버 지연시간이 단축될 수 있다.
그리고, 본 발명의 실시예에 따른 부분 분산형 이동성 관리 시스템은 PMIPv6 기반의 분산 이동성 관리 환경이기 때문에, PMIPv6 RFC 5213에 따라 MAAR(20)과 CMD(30) 사이에는 IPsec을 이용하여 시그널링 및 데이터 보안을 보장한다고 가정한다.
도 4에서는, 부분 분산형 이동성 관리 시스템에서 MN(10)의 초기 접속 시의 보안 인증 방법에 대하여 설명한다.
S410 단계에서, MN(10)은 MN 아이디(MNID) 및 MN 타임스탬프(TSMN)를 선택하여 MN(10)과 MAAR(20) 사이의 비밀키(SMM)를 생성하고, MN 아이디 및 MN(10)과 MAAR(20) 사이의 비밀키(SMM)에 대한 메시지 인증 코드(Message Authentication Code)를 포함하는 접속 요청(AS: Attendant Solicit) 메시지를 MAAR(20)로 전송한다(MN(10)→MAAR(20): {MNID∥MAC(SMM)}).
여기서, MAC(SMM)은 선행하는 메시지에 대하여 비밀키 SMM로 계산한 메시지 인증 코드를 나타낸다.
그리고, 비밀키 SMM은, MN 아이디(MNID), MN 타임스탬프(TSMN) 및 MAAR 아이디(MAARID)에 대하여, AAA 서버(40)와 사전에 공유한 비밀키 SAAA를 이용하여 생성된 해쉬값이다(SMM: HMAC-SHA1(SAAA(MNID∥TSMN∥MAARID))).
S420 단계에서, MAAR(20)는 접속 요청 메시지의 수신에 따라 MN(10)의 인증을 위하여 MAAR 타임스탬프(TSMAAR) 및 AAA 서버(40)와의 세션키(KSAM)를 생성하고, 인증 요청(AReq: Authentication Request) 메시지를 AAA 서버(40)로 전송한다.
여기서, 인증 요청 메시지는 MN 아이디, MAAR 아이디, MN 타임스탬프, MAAR 타임스탬프, MN(10)과 MAAR(20) 사이의 비밀키(SMM)에 대한 메시지 인증 코드 및 AAA 서버(40)와의 세션키(KSAM)에 대한 메시지 인증 코드를 포함한다(MAAR(20)→AAA(40):{MNID∥MAARID∥TSMN∥TSMAAR∥MAC(SMM)∥MAC(KSAM)}).
S430 단계에서, AAA 서버(40)는 인증 요청 메시지의 수신에 따라 MN(10)이 수행한 방법과 동일한 방법으로 MN(10)과 MAAR(20) 사이의 비밀키(SMM)를 생성하고, 생성한 비밀키(SMM)를 이용하여 인증 요청 메시지를 확인하여 인증을 수행하고, 인증에 성공하면, 인증 응답(ARep: Authentication Reply) 메시지를 MAAR(20)로 전송한다.
여기서, 인증 응답 메시지는 MN 아이디, MAAR 아이디, AAA 서버 타임스탬프, MN(10)과 MAAR(20) 사이의 비밀키(SMM)에 대한 메시지 인증 코드 및 AAA 서버(40)와의 세션키(KSAM)에 대한 메시지 인증 코드를 포함한다(AAA(40)→MAAR(20):{MNID∥MAARID∥TSAAA∥MAC(SMM)∥MAC(KSAM)}).
S440 단계에서, MAAR(20)은 MN(10)에 대한 인증 성공에 따른 인증 응답 메시지의 수신에 따라 MN(10)의 현재 위치를 등록하기 위한 프록시 바인딩 업데이트(PBU: Proxy Binding Update) 메시지를 포함하는 인증 요청(ACR: Aa-CMD-Request) 메시지를 CMD(30)로 전송한다.
여기서, 인증 요청 메시지는 MN 아이디, MAAR 아이디, MAAR 서버 타임스탬프 및 MAAR(20)과 CMD(30) 사이의 세션키(KSMC)에 대한 메시지 인증 코드를 포함한다(MAAR(20)→CMD(30): {MNID∥MAARID∥TSMAAR∥MAC(KSMC)}).
S450 단계에서, CMD(30)는 수신한 인증 요청(ACR: Aa-CMD-Request) 메시지를 확인하여 인증을 수행하고, 인증에 성공하면, MN(10)이 사용할 홈네트워크 프리픽스(HNP: Home Network Prefix) 및 프록시 바인딩 응답(PBA: Proxy Binding Acknowledgement) 메시지를 포함하는 인증 응답(ACA: Aa-CMD-Answer) 메시지를 MAAR(20)로 전송한다.
여기서, 인증 응답 메시지는 MN 아이디, CMD 아이디, MAAR 타임스탬프, MN(10)과 MAAR(20) 사이의 비밀키(SMM)에 대한 메시지 인증 코드, 홈네트워크 프리픽스 및 MAAR(20)과 CMD(30) 사이의 세션키(KSMC)에 대한 메시지 인증 코드를 포함한다(CMD(30) → MAAR(20): {MNID∥CMDID∥TSMAAR∥MAC(SMM)∥HNP∥MAC(KSMC)}).
S460 단계에서, MAAR(20)은 인증 응답(ACA: Aa-CMD-Answer) 메시지의 수신에 따라 홈네트워크 프리픽스 및 MN(10)과 MAAR(20) 사이의 비밀키(SMM)를 포함하는 접속 알림(AA: Attendant Advertize) 메시지를 MN(10)으로 전송한다.
여기서, 접속 알림 메시지는 MN 아이디, MAAR 아이디, 홈네트워크 프리픽스 및 MN(10)과 MAAR(20) 사이의 비밀키(SMM)에 대한 메시지 인증 코드를 포함한다(MAAR(20)→MN(10): {MNID∥MAARID∥HNP∥MAC(SMM)}).
도 5는 본 발명의 다른 실시예에 따른 부분 분산형 이동성 관리 시스템에서의 보안 인증 방법을 나타낸 흐름도이다. 도 5에서는, 부분 분산형 이동성 관리 시스템에서 MN(10)의 핸드오버(handover) 시의 보안 인증 방법에 대하여 설명한다.
도 5를 참조하면, MN(10)의 핸드오버(handover) 시의 보안 인증 방법은 MN(10)의 이동에 따라 새로운 MAAR(20)을 통해 도 4에서 전술한 초기 접속 시의 보안 인증 방법과 동일하게 수행하되, S550 단계 및 S560 단계가 추가된다. 그리고, MAAR(20)들 간(MAAR1(20-1)과 MAAR2(20-2) 사이)에는 양방향 통신 터널이 형성되어 있다.
S510 단계에서, MN(10)은 MAAR1(20-1)의 접속 영역에서 MAAR2(20-2)의 접속 영역으로 이동함에 따라 MN 아이디(MNID) 및 MN 타임스탬프(TSMN)를 선택하여 MN(10)과 MAAR2(20-2) 사이의 비밀키(SMM)를 생성하고, MN 아이디 및 MN(10)과 MAAR2(20-2) 사이의 비밀키(SMM)에 대한 메시지 인증 코드(Message Authentication Code)를 포함하는 접속 요청(AS: Attendant Solicit) 메시지를 MAAR2(20-2)로 전송한다.
S520 단계에서, MAAR2(20-2)는 접속 요청 메시지의 수신에 따라 MN(10)의 인증을 위하여 MAAR 타임스탬프(TSMAAR) 및 AAA 서버(40)와의 세션키(KSAM)를 생성하고, 인증 요청(AReq: Authentication Request) 메시지를 AAA 서버(40)로 전송한다.
S530 단계에서, AAA 서버(40)는 인증 요청 메시지의 수신에 따라 MN(10)과 동일한 방법으로 MN(10)과 MAAR2(20-2) 사이의 비밀키(SMM)를 생성하고, 생성한 비밀키(SMM)를 이용하여 인증 요청 메시지를 확인하여 인증을 수행하고, 인증에 성공하면, 인증 응답(ARep: Authentication Reply) 메시지를 MAAR2(20-2)로 전송한다.
S540 단계에서, MAAR2(20-2)은 MN(10)에 대한 인증 성공에 따른 인증 응답 메시지의 수신에 따라 MN(10)의 현재 위치를 등록하기 위한 프록시 바인딩 업데이트(PBU: Proxy Binding Update) 메시지를 포함하는 인증 요청(ACR: Aa-CMD-Request) 메시지를 CMD(30)로 전송한다.
S550 단계에서, CMD(30)는 MN(10)이 MAAR2(20-2)로 이동함에 따른 이동성 정보의 갱신을 위하여 MN(10)의 이동을 알리는 AMCR(Aa-MAAR-CMD-Request) 메시지를 MAAR1(20-1)로 전송한다.
여기서, AMCR 메시지는 CMD 아이디, MN 아이디 및 MAAR1(20-1)과 CMD(30) 사이의 세션키(KSMC)에 대한 메시지 인증 코드를 포함한다(CMD→MAAR1: {CMDID∥MNID∥MAC(KSMC)}).
S560 단계에서, MAAR1(20-1)은 AMCR 메시지의 수신에 따라 MN(10)의 이동을 감지하고 이에 대한 응답으로 AMCA(Aa-MAAR-CMD-Answer) 메시지를 CMD(30)로 전송한다.
여기서, AMCA 메시지는 MAAR1 아이디, MN 아이디 및 MAAR1(20-1)과 CMD(30) 사이의 세션키(KSMC)에 대한 메시지 인증 코드를 포함한다(MAAR1→CMD: {MAAR1ID∥MNID∥MAC(KSMC)}).
S570 단계에서, CMD(30)는 수신한 인증 요청(ACR: Aa-CMD-Request) 메시지를 확인하여 인증을 수행하고, 인증에 성공하면, MN(10)이 사용할 홈네트워크 프리픽스(HNP: Home Network Prefix) 및 프록시 바인딩 응답(PBA: Proxy Binding Acknowledgement) 메시지를 포함하는 인증 응답(ACA: Aa-CMD-Answer) 메시지를 MAAR2(20-2)로 전송한다.
S580 단계에서, MAAR2(20-2)는 인증 응답(ACA: Aa-CMD-Answer) 메시지의 수신에 따라 홈네트워크 프리픽스 및 MN(10)과 MAAR(20) 사이의 비밀키(SMM)를 포함하는 접속 알림(AA: Attendant Advertize) 메시지를 MN(10)으로 전송한다.
이와 같이, 본 발명의 실시예에 따른 부분 분산형 이동성 관리 시스템에서의 보안 인증 방법은, PMIPv6 기반으로 하나, 이동성 시그널링이 CMD(30)와 MAAR(20)을 이용하여 수행되며, MN(10)의 위치 정보가 CMD(30)에 의하여 관리된다. 그리고, 데이터 트래픽이 MAAR(20)만을 통하여 전달되기 때문에 MIPv6와 PMIPv6의 단점이 해결될 수 있다.
한편, 전술된 실시예의 구성 요소는 프로세스적인 관점에서 용이하게 파악될 수 있다. 즉, 각각의 구성 요소는 각각의 프로세스로 파악될 수 있다. 또한 전술된 실시예의 프로세스는 장치의 구성 요소 관점에서 용이하게 파악될 수 있다.
또한 앞서 설명한 기술적 내용들은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시예들을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 하드웨어 장치는 실시예들의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
상기한 본 발명의 실시예는 예시의 목적을 위해 개시된 것이고, 본 발명에 대한 통상의 지식을 가지는 당업자라면 본 발명의 사상과 범위 안에서 다양한 수정, 변경, 부가가 가능할 것이며, 이러한 수정, 변경 및 부가는 하기의 특허청구범위에 속하는 것으로 보아야 할 것이다.
10: 모바일 노드(MN: Mobile Node)
20: 이동성 앵커 및 접속 라우터(MAAR: Mobility Anchor and Access Router)
30: 중앙 이동성 데이터베이스(CMD: Central Mobility Database)
40: 인증 서버(AAA: Authentication Authorization Accounting)

Claims (10)

  1. 이동성 앵커 및 접속 라우터(MAAR: Mobility Anchor and Access Router), 중앙 이동성 데이터베이스(CMD: Central Mobility Database) 및 인증 서버(AAA: Authentication Authorization Accounting)를 포함하는 부분 분산형 이동성 관리 시스템에서 모바일 노드(MN: Mobile Node)의 초기 접속 시의 보안 인증 방법에 있어서,
    상기 모바일 노드가 상기 모바일 노드의 제1 아이디(MNID) 및 제1 타임스탬프(TSMN)를 선택하여 상기 모바일 노드와 상기 이동성 앵커 및 접속 라우터 사이의 제1 비밀키(SMM)를 생성하고, 상기 제1 아이디(MNID) 및 상기 제1 비밀키(SMM)를 포함하는 접속 요청 메시지를 상기 이동성 앵커 및 접속 라우터로 전송하는 단계;
    상기 이동성 앵커 및 접속 라우터가 상기 모바일 노드의 인증을 위하여 상기 이동성 앵커 및 접속 라우터의 제2 타임스탬프(TSMAAR) 및 상기 인증 서버와의 제1 세션키(KSAM)를 생성하고, 상기 제2 타임스탬프(TSMAAR) 및 상기 제1 세션키(KSAM)를 포함하는 제1 인증 요청 메시지를 상기 인증 서버로 전송하는 단계;
    상기 인증 서버가 상기 모바일 노드가 수행한 방법과 동일한 방법으로 상기 제1 비밀키(SMM)를 생성하고, 상기 생성한 제1 비밀키(SMM)를 이용하여 상기 제1 인증 요청 메시지를 확인하여 인증을 수행하고, 인증에 성공하면, 제1 인증 응답 메시지를 상기 이동성 앵커 및 접속 라우터로 전송하는 단계;
    상기 이동성 앵커 및 접속 라우터가 상기 모바일 노드의 현재 위치를 등록하기 위한 프록시 바인딩 업데이트(PBU: Proxy Binding Update) 메시지를 포함하는 제2 인증 요청 메시지를 상기 중앙 이동성 데이터베이스로 전송하는 단계;
    상기 중앙 이동성 데이터베이스가 상기 제2 인증 요청 메시지를 확인하여 인증을 수행하고, 인증에 성공하면, 상기 모바일 노드가 사용할 홈네트워크 프리픽스(HNP: Home Network Prefix) 및 프록시 바인딩 응답(PBA: Proxy Binding Acknowledgement) 메시지를 포함하는 제2 인증 응답 메시지를 상기 이동성 앵커 및 접속 라우터로 전송하는 단계; 및
    상기 이동성 앵커 및 접속 라우터가 상기 홈네트워크 프리픽스 및 상기 제1 비밀키(SMM)를 포함하는 접속 알림 메시지를 상기 모바일 노드로 전송하는 단계를 포함하는 보안 인증 방법.
  2. 제1항에 있어서,
    상기 제1 비밀키(SMM)는 상기 제1 아이디(MNID), 상기 제1 타임스탬프(TSMN) 및 상기 이동성 앵커 및 접속 라우터의 제2 아이디(MAARID)에 대하여, 상기 인증 서버와 사전에 공유한 제2 비밀키(SAAA)를 이용하여 생성된 해쉬값인 것을 특징으로 하는 보안 인증 방법.
  3. 제2항에 있어서,
    상기 제1 인증 요청 메시지는 상기 제1 아이디(MNID), 상기 제2 아이디(MAARID), 상기 제1 타임스탬프(TSMN), 상기 제2 타임스탬프(TSMAAR), 상기 제1 비밀키(SMM) 및 상기 제1 세션키(KSAM)를 포함하는 것을 특징으로 하는 보안 인증 방법.
  4. 제3항에 있어서,
    상기 제1 인증 응답 메시지는 상기 제1 아이디(MNID), 상기 제2 아이디(MAARID), 상기 인증 서버의 제3 타임스탬프(TSAAA), 상기 제1 비밀키(SMM) 및 상기 제1 세션키(KSAM)를 포함하는 것을 특징으로 하는 보안 인증 방법.
  5. [청구항 5은(는) 설정등록료 납부시 포기되었습니다.]
    제4항에 있어서,
    상기 제2 인증 요청 메시지는 상기 제1 아이디(MNID), 상기 제2 아이디(MAARID), 상기 제2 타임스탬프(TSMAAR) 및 상기 이동성 앵커 및 접속 라우터와 상기 중앙 이동성 데이터베이스 사이의 제2 세션키(KSMC)를 포함하는 것을 특징으로 하는 보안 인증 방법.
  6. [청구항 6은(는) 설정등록료 납부시 포기되었습니다.]
    제5항에 있어서,
    상기 제2 인증 응답 메시지는 상기 제1 아이디(MNID), 상기 중앙 이동성 데이터베이스의 제3 아이디(CMDID), 상기 제2 타임스탬프(TSMAAR), 상기 제1 비밀키(SMM), 상기 홈네트워크 프리픽스 및 상기 제2 세션키(KSMC)를 포함하는 것을 특징으로 하는 보안 인증 방법.
  7. [청구항 7은(는) 설정등록료 납부시 포기되었습니다.]
    제6항에 있어서,
    상기 접속 알림 메시지는 상기 제1 아이디(MNID), 상기 제2 아이디(MAARID), 상기 홈네트워크 프리픽스 및 상기 제1 비밀키(SMM)를 포함하는 것을 특징으로 하는 보안 인증 방법.
  8. 이동성 앵커 및 접속 라우터(MAAR: Mobility Anchor and Access Router), 중앙 이동성 데이터베이스(CMD: Central Mobility Database) 및 인증 서버(AAA: Authentication Authorization Accounting)를 포함하는 부분 분산형 이동성 관리 시스템에서 모바일 노드(MN: Mobile Node)의 핸드오버(handover) 시의 보안 인증 방법에 있어서,
    상기 모바일 노드가 제1 이동성 앵커 및 접속 라우터의 접속 영역에서 제2 이동성 앵커 및 접속 라우터의 접속 영역으로 이동함에 따라 상기 모바일 노드의 제1 아이디(MNID) 및 제1 타임스탬프(TSMN)를 선택하여 상기 모바일 노드와 상기 제2 이동성 앵커 및 접속 라우터 사이의 제1 비밀키(SMM)를 생성하고, 상기 제1 아이디(MNID) 및 상기 제1 비밀키(SMM)를 포함하는 접속 요청 메시지를 상기 제2 이동성 앵커 및 접속 라우터로 전송하는 단계;
    상기 제2 이동성 앵커 및 접속 라우터가 상기 모바일 노드의 인증을 위하여 상기 제2 이동성 앵커 및 접속 라우터의 제2 타임스탬프(TSMAAR) 및 상기 인증 서버와의 제1 세션키(KSAM)를 생성하고, 상기 제2 타임스탬프(TSMAAR) 및 상기 제1 세션키(KSAM)를 포함하는 제1 인증 요청 메시지를 상기 인증 서버로 전송하는 단계;
    상기 인증 서버가 상기 모바일 노드가 수행한 방법과 동일한 방법으로 상기 제1 비밀키(SMM)를 생성하고, 상기 생성한 제1 비밀키(SMM)를 이용하여 상기 제1 인증 요청 메시지를 확인하여 인증을 수행하고, 인증에 성공하면, 제1 인증 응답 메시지를 상기 제2 이동성 앵커 및 접속 라우터로 전송하는 단계;
    상기 제2 이동성 앵커 및 접속 라우터가 상기 모바일 노드의 현재 위치를 등록하기 위한 프록시 바인딩 업데이트(PBU: Proxy Binding Update) 메시지를 포함하는 제2 인증 요청 메시지를 상기 중앙 이동성 데이터베이스로 전송하는 단계;
    상기 중앙 이동성 데이터베이스가 상기 모바일 노드가 상기 제2 이동성 앵커 및 접속 라우터로 이동함에 따른 이동성 정보의 갱신을 위하여, 상기 모바일 노드의 이동을 알리는 알림 메시지를 상기 제1 이동성 앵커 및 접속 라우터로 전송하는 단계;
    상기 제1 이동성 앵커 및 접속 라우터가 상기 알림 메시지를 확인하여 상기 모바일 노드의 이동을 감지하고 응답 메시지를 상기 중앙 이동성 데이터베이스로 전송하는 단계;
    상기 중앙 이동성 데이터베이스가 상기 제2 인증 요청 메시지를 확인하여 인증을 수행하고, 인증에 성공하면, 상기 모바일 노드가 사용할 홈네트워크 프리픽스(HNP: Home Network Prefix) 및 프록시 바인딩 응답(PBA: Proxy Binding Acknowledgement) 메시지를 포함하는 제2 인증 응답 메시지를 상기 제2 이동성 앵커 및 접속 라우터로 전송하는 단계; 및
    상기 제2 이동성 앵커 및 접속 라우터가 상기 홈네트워크 프리픽스 및 상기 제1 비밀키(SMM)를 포함하는 접속 알림 메시지를 상기 모바일 노드로 전송하는 단계를 포함하는 보안 인증 방법.
  9. 제8항에 있어서,
    상기 알림 메시지는 상기 중앙 이동성 데이터베이스의 제2 아이디(CMDID), 상기 제1 아이디(MNID) 및 상기 제1 이동성 앵커 및 접속 라우터와 상기 중앙 이동성 데이터베이스 사이의 제2 세션키(KSMC)를 포함하는 것을 특징으로 하는 보안 인증 방법.
  10. 제9항에 있어서,
    상기 응답 메시지는 상기 제1 이동성 앵커 및 접속 라우터의 제3 아이디(MAARID), 상기 제1 아이디(MNID) 및 상기 제2 세션키(KSMC)를 포함하는 것을 특징으로 하는 보안 인증 방법.


KR1020170063594A 2016-12-12 2017-05-23 부분 분산형 이동성 관리 시스템에서의 보안 인증 방법 KR101847809B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20160168389 2016-12-12
KR1020160168389 2016-12-12

Publications (1)

Publication Number Publication Date
KR101847809B1 true KR101847809B1 (ko) 2018-04-11

Family

ID=61975957

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170063594A KR101847809B1 (ko) 2016-12-12 2017-05-23 부분 분산형 이동성 관리 시스템에서의 보안 인증 방법

Country Status (1)

Country Link
KR (1) KR101847809B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20220063602A (ko) 2020-11-10 2022-05-17 국방과학연구소 이동성 관리 앵커 선택 장치, 방법, 컴퓨터 판독 가능한 기록매체 및 컴퓨터 프로그램

Non-Patent Citations (8)

* Cited by examiner, † Cited by third party
Title
Fabio Giust et al., "Analytic Evaluation and Experimental Validation of a Network-based IPv6 Distributed Mobility Management Solution", Journal of Latex Class Files, Vol.6, No.1, 2017.01 *
Mahedi Hassan et al., "One-time key and Diameter Message Authentication Protocol for Proxy Mobile IPv6", IJNCAA9(3):624-639, 2011 *
논문:(2011) *
논문:(2012) *
논문:(2013) *
논문:(2014) *
양현석 외1, PMIPv6에서의 무선 액세스 인증 절차에 기반한 바인딩 업데이트 절차 분석, 한국정보과학회 학술발표본문집 39(1D):439-441, 2012.06 *
임익균, 안전한 NEMO 기반 PMIPv6 네트워크를 위한 빠른 핸드오버를 지원하는 확장 인증기법, 성균관대학교 정보통신대학원, 2013.10 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20220063602A (ko) 2020-11-10 2022-05-17 국방과학연구소 이동성 관리 앵커 선택 장치, 방법, 컴퓨터 판독 가능한 기록매체 및 컴퓨터 프로그램

Similar Documents

Publication Publication Date Title
US7286671B2 (en) Secure network access method
US8893246B2 (en) Method and system for authenticating a point of access
Chuang et al. SPAM: A secure password authentication mechanism for seamless handover in proxy mobile IPv6 networks
EP1782574B1 (en) Fast network attachment
Deng et al. Defending against redirect attacks in mobile IP
US9226153B2 (en) Integrated IP tunnel and authentication protocol based on expanded proxy mobile IP
US8953798B2 (en) Enhanced cryptographically generated addresses for secure route optimization in mobile internet protocol
US20070022476A1 (en) System and method for optimizing tunnel authentication procedure over a 3G-WLAN interworking system
JP2010530680A (ja) モバイルノードのためのアクセスネットワーク−コアネットワーク間信頼関係検出
JP5159878B2 (ja) インターネットプロトコル認証とモビリティシグナリングとを結合するための方法と装置
Praptodiyono et al. Mobile IPv6 vertical handover specifications, threats, and mitigation methods: A survey
KR101847809B1 (ko) 부분 분산형 이동성 관리 시스템에서의 보안 인증 방법
Shah et al. A TOTP-based enhanced route optimization procedure for mobile IPv6 to reduce handover delay and signalling overhead
Taha et al. EM 3 A: Efficient mutual multi-hop mobile authentication scheme for PMIP networks
You et al. ESS-FH: Enhanced security scheme for fast handover in hierarchical mobile IPv6
Qiu et al. A pmipv6-based secured mobility scheme for 6lowpan
Kim et al. Secure session key exchange for mobile IP low latency handoffs
Kim et al. An enhanced security authentication mechanism in the environment partially distributed mobility management
Chandrasekaran Mobile ip: Issues, challenges and solutions
Rajkumar et al. Securing binding updates in routing optimizaton of mobile IPv6
EP2194672A1 (en) A protection method and device during a mobile ipv6 fast handover
Liu et al. The untrusted handover security of the S-PMIPv6 on LTE-A
Hassan et al. One-time key and diameter message authentication protocol for proxy mobile IPv6
Shiranzaei et al. Overview and analysis the performance of security in mobile IPv6
Krishnamurthi et al. Using the liberty alliance architecture to secure IP-level handovers

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant