KR20050065130A - A session key issuing method - Google Patents

A session key issuing method Download PDF

Info

Publication number
KR20050065130A
KR20050065130A KR1020030096897A KR20030096897A KR20050065130A KR 20050065130 A KR20050065130 A KR 20050065130A KR 1020030096897 A KR1020030096897 A KR 1020030096897A KR 20030096897 A KR20030096897 A KR 20030096897A KR 20050065130 A KR20050065130 A KR 20050065130A
Authority
KR
South Korea
Prior art keywords
key
aaa
session
authentication server
mobile node
Prior art date
Application number
KR1020030096897A
Other languages
Korean (ko)
Inventor
이병길
김현곤
송주석
박홍근
조창현
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020030096897A priority Critical patent/KR20050065130A/en
Publication of KR20050065130A publication Critical patent/KR20050065130A/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/503Internet protocol [IP] addresses using an authentication, authorisation and accounting [AAA] protocol, e.g. remote authentication dial-in user service [RADIUS] or Diameter
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 이동성을 갖는 차세대 인터넷 프로토콜(Mobile IPv6)에서 이동 노드(Mobile Node)의 로밍 시, 효과적이고 신뢰성 있는 세션 키 발급을 위한 것이다. 이를 위해 공개키 기반구조(Public Key Infrastructure, PKI) 기술을 다이어미터(Diameter) 프로토콜에 적용하여, 기존의 대칭키 뿐만 아니라 비 대칭키를 통한 세션 키 발급 방법을 정의하고, 이러한 키 발급과정에서 기밀성을 제공하는 것을 특징으로 한다. The present invention is to issue an effective and reliable session key when roaming a mobile node in mobile IPv6. To this end, public key infrastructure (PKI) technology is applied to the diameter protocol to define the method of issuing session keys through asymmetric keys as well as existing symmetric keys. It characterized in that to provide.

본 발명에 의하면, 이동 노드가 인증기관(Certificate Authority)에서 공개키 인증서를 발급 받음으로써, 기존의 다이어미터 노드간의 특별한 종단간 보안 연관 (Security Association, SA) 없이도 안전하게 세션 키의 발급이 가능하다. 또한 이러한 이동 노드의 공개키 인증서는 기존의 대칭키 방식의 AAA 키를 대신하여 사용할 수 있으며, 이를 통해 방문망의 AAA 인증서버에 의한 세션 키 발급이 가능하여, 효과적인 지역적 세션 키 발급 방법을 제공한다. According to the present invention, the mobile node is issued a public key certificate from a certificate authority, so that a session key can be securely issued without a special end-to-end security association (SA) between existing diameter nodes. In addition, the public key certificate of the mobile node can be used in place of the existing AAA key of the symmetric key type, through which the session key can be issued by the AAA authentication server of the visited network, thereby providing an effective method for issuing a local session key. .

결과적으로 키 생성 주체와 키 사용 주체간의 키 전달 과정에서 중간 노드들에 키가 노출될 수 있는 위험성을 제거함으로써, 키 발급 과정의 신뢰성을 높일 수 있으며, 전체적인 다이어미터 노드간의 네트웍 트래픽이 감소되는 효과를 제공할 수 있다.As a result, by eliminating the risk that the key is exposed to intermediate nodes in the key delivery process between the key generator and the key user, the reliability of the key issuance process can be improved, and the network traffic between the diameter nodes is reduced. Can be provided.

Description

세션 키 발급 방법{A session key issuing method}A session key issuing method}

본 발명은 다이어미터 프로토콜에 기반한 AAA 시스템에서 AAA 인증서버를 통한 신뢰성 있는 키 분배 메커니즘을 정의하고, MIPv6(Mobile IP Version 6)에 최적화된 인증 및 권한검증 메커니즘을 제공하는 방법에 관한 것이다. The present invention relates to a method for defining a reliable key distribution mechanism through an AAA authentication server in an AAA system based on a diameter protocol and providing an authentication and authorization mechanism optimized for Mobile IP Version 6 (MIPv6).

한편, 이동통신 네트워크에서 사용자에게, 자신이 속해있는 이동통신 사업자 외에 다른 사업자의 이동통신 네트워크에서 서비스를 제공하기 위한 시스템으로서 다이어미터 기반 AAA 프로토콜이 제안되어있다. Meanwhile, a diameter-based AAA protocol has been proposed as a system for providing a service to a user in a mobile communication network in a mobile communication network of another provider besides the mobile communication provider to which the mobile communication network belongs.

본 발명에서는 이러한 시스템에 공개키 기반 구조를 적용, 기존 AAA 키의 발급 및 갱신을 지원하고, 공개키 기반 구조를 기존 AAA 개체에서 이동노드까지 확장하며, 키 래핑(Key Wrapping) 메커니즘을 통한 키 분배의 기밀성을 제공한다. The present invention applies a public key infrastructure to such a system, supports issuance and renewal of an existing AAA key, extends the public key infrastructure from an existing AAA entity to a mobile node, and distributes keys through a key wrapping mechanism. To provide confidentiality.

다이어미터 기반 AAA 시스템은 다이어미터를 기반으로 사용자에게 인증(Authentication), 권한검증(Authorization) 및 과금(Accounting) 서비스를 제공한다.Diameter-based AAA systems provide authentication, authorization, and accounting services to users based on the diameter.

도 1은 종래기술에 따라 AAA 인증을 갖는 이동 인터넷 프로토콜(Mobile IP) 환경에서 공개키 기반구조(PKI)를 통한 종단간 보안(End-to-End Security) 시스템 모델의 개략도이다. 1 is a schematic diagram of an end-to-end security system model through a public key infrastructure (PKI) in a mobile IP protocol environment with AAA authentication according to the prior art.

도 1을 참조하면, 상기 시스템 모델은 방문망의 AAA 인증서버(AAA Server in Foreign Domain, AAAF)(10)와, 외부 에이전트(Foreign Agent, FA)(12)와, 홈망의 AAA 인증서버(AAA Server in Home Domain, AAAH)(11)와, 홈 에이전트(Home Agent, HA)(13)와, 인증서를 발급하는 인증기관(Certificate Authority, CA)(14)과, 이동 노드(Mobile Node, MN)(15)를 포함한다. Referring to FIG. 1, the system model includes an AAA Server in Foreign Domain (AAAF) 10, a Foreign Agent (FA) 12, and an AAA Authentication Server (AAA) in a home network. Server in Home Domain (AAAH) 11, Home Agent (HA) 13, Certificate Authority (CA) 14 for issuing certificates, and Mobile Node (MN) And (15).

상기 방문망의 AAA 인증서버(AAAF)(10)와 홈망의 AAA 인증서버(AAAH)(11)는 DSA(Diameter Security Association)을 통해 상호 인증 및 기밀성 제공의 기반을 마련한다. 이 과정을 위해 인증기관(CA)(14)은 방문망의 AAA 인증서버(10)와 홈망의 AAA 인증서버(11)로 각각 공개키 인증서를 발급하고 이를 통해 AAAF(10)과 AAAH(11) 간에 DSA(Diameter Security Association) 가 설정된다. The AAA authentication server (AAAF) 10 of the visited network and the AAA authentication server (AAAH) 11 of the home network provide a basis for mutual authentication and confidentiality through the DSA (Diameter Security Association). For this process, the certification authority (CA) 14 issues public key certificates to the AAA authentication server 10 of the visiting network and the AAA authentication server 11 of the home network, respectively, and through this, AAAF (10) and AAAH (11). DSA (Diameter Security Association) is established.

외부 에이전트(12)는 이동 노드(15)의 서비스 이용 권한을 확인하기 위해 이동 노드(15)에 대한 인증을 수행해야 한다. 그러나 외부 에이전트(12)는 이동 노드(15)에 대한 인증 정보를 알 수 없기 때문에, 방문망의 AAA 인증서버(10)를 통해 홈망에 있는 AAA 인증서버(11)에게 이동노드의 인증을 요청하고 결과를 통보 받음으로써, 해당 이동 노드에 대한 인증을 수행한다. The foreign agent 12 must perform authentication on the mobile node 15 to verify the mobile node 15's service usage rights. However, since the external agent 12 cannot know the authentication information for the mobile node 15, it requests the AAA authentication server 11 in the home network to authenticate the mobile node through the AAA authentication server 10 of the visiting network. By being informed of the result, authentication of the mobile node is performed.

이러한 과정에서 홈망의 AAA 인증서버(11)는 인증 과정에 참여하는 개체간에 필요한 키를 생성 및 분배하게 되는데, 이 과정에서 키 사용 주체가 아닌 다른 개체에 해당 키가 노출될 가능성이 존재한다.In this process, the AAA authentication server 11 of the home network generates and distributes a required key among the entities participating in the authentication process. In this process, there is a possibility that the key is exposed to an entity other than the key user.

도 2는 종래기술에 따라 IETF에서 제안한 종단간 보안 제공 방안으로 TLS(Transport Layer Security) 기술을 적용한 방법의 메시지 흐름도이다. 즉, 도 2에 도시된 방법은 도 1에 도시된 시스템 모델에서 나타날 수 있는 취약점을 보완하여 제시한 MIP/AAA 종단간 보안 모델 중 TLS(Transport Layer Security) 기술을 이용한 솔루션(Solution)이다. FIG. 2 is a message flow diagram illustrating a method of applying a transport layer security (TLS) technology as an end-to-end security providing method proposed by the IETF according to the related art. That is, the method illustrated in FIG. 2 is a solution using a Transport Layer Security (TLS) technology among the MIP / AAA end-to-end security models that are proposed to compensate for vulnerabilities that may appear in the system model illustrated in FIG. 1.

이동노드(20)는 방문망으로 이동하면서 방문망에서 홈에이전트가 할당될 것을 RRQ(Registration ReQuest) 메시지를 통해 외부 에이전트 FA(21)에게 요청한다(202). 이에 따라 FA(21)는 AMR(AA Mobile Node Request) 메시지 를 생성하고, 이를 방문망의 AAA 인증서버 AAAF(23)에게 전달한다(203). 다음 방문망의 AAA 인증서버 AAAF(23)는 홈망의 AAA 인증서버 AAAH(24)에게 AMR 메시지를 전송하여(204), 이동노드의 인증 및 권한 검증을 요청한다. 홈망의 AAA 인증서버 AAAH(24)는 이동노드의 인증 및 권한 검증을 수행하고, 그 결과를 담은 HAR 메지시를 다시 방문망의 AAA 인증서버AAAF(23)에게 전송하며(205), 이를 수신한 방문망의 AAA 인증서버 AAAF(23)는 HAR(Home Agent MIP Request) 메시지를 전송함으로써(206) 이동노드에게 홈에이전트를 할당한다. The mobile node 20 requests the external agent FA 21 through a Registration ReQuest (RRQ) message to assign a home agent to the visited network while moving to the visited network (202). Accordingly, the FA 21 generates an AA Mobile Node Request (AMR) message and delivers it to the AAA authentication server AAAF 23 of the visited network (203). The AAA authentication server AAAF 23 of the next visited network sends an AMR message to the AAA authentication server AAAH 24 of the home network 204 to request authentication and authorization of the mobile node. The AAA authentication server AAAH 24 of the home network performs authentication and authority verification of the mobile node, and transmits a HAR message containing the result to the AAA authentication server AAAF 23 of the visiting network (205). The AAA authentication server AAAF 23 of the visited network allocates a home agent to the mobile node by transmitting a Home Agent MIP Request (HAR) message (206).

할당된 홈에이전트(22)는 이동노드와의 세션키를 공유하기 위해 홈망의 AAA 인증서버AAAH(24)와 TLS 세션을 설정하고(207), 세션키를 요청하여(208), 이를 발급받는다(209).The assigned home agent 22 establishes a TLS session with the AAA authentication server AAAH 24 of the home network to share the session key with the mobile node (207), requests the session key (208), and issues it ( 209).

FA(21)도 홈망의 AAA 인증서버 AAAH(24)와 TLS 세션을 설정하고(215), 세션키를 요청하여(216) 이를 발급받는다(217).The FA 21 also establishes a TLS session with the AAA authentication server AAAH 24 of the home network (215), requests a session key (216) and receives it (217).

다음 외부 에이전트 FA(21)는 이동노드(20)로 방문망에서 홈에이전트가 할당된 것을 RRP 메시지를 통해 모바일 노드(20)로 응답한다(218).The foreign agent FA 21 then responds (218) to the mobile node 20 via the RRP message that the home agent is assigned to the mobile node 20 in the visited network.

이와 같이 키를 분배받는 노드(21, 22)와 홈망의 AAA 인증서버 AAAH(24)간에 직접적인 TLS 세션(AAAH-FA 세션, AAAH-HA 세션) 설정을 하고, 새로운 키 요청 명령어(command)를 추가하여 설정된 TLS 세션을 통해 목적지까지 직접 키를 전달함으로서, 목적하지 않은 노드에 키가 노출될 위험성을 제거하였다. As such, a direct TLS session (AAAH-FA session, AAAH-HA session) is established between the nodes 21 and 22 receiving the key and the AAA authentication server AAAH 24 of the home network, and a new key request command is added. By passing the key directly to the destination through the established TLS session, we eliminate the risk of exposing the key to an undesired node.

그러나 TLS 솔루션(Solution)에서도 각 노드 간에 기본적으로 설정되는 TLS 세션 외에 추가적인 TLS 세션을 설정해야 하기 때문에 단일 TLS 설정시 요구되는 핸드쉐이크(Handshake) 및 기록(Record) 메시지 교환에 따른 과부하(overhead)가 발생하고, TLS 세션 설정 후 키 요청을 위한 추가 명령어(Command) 교환에 따른 통신량이 증가한다는 단점을 가지고 있다.However, in the TLS solution, additional TLS sessions must be established in addition to the default TLS sessions between each node. Therefore, the overhead of handshake and record message exchange required in setting up a single TLS is increased. After the TLS session is established, the amount of communication due to the exchange of additional commands for key request is increased.

따라서 본 발명은 전술한 기존 종단간 보안(E2E Security) 모델의 문제점을 보완하려는 목적을 가진다. 또한 안정적이고 효율적인 AAA 시스템을 지원하기 위해 공개키 기반 구조(PKI)를 적용하여, 다이어미터 노드 및 이동 노드 간 메시지 이동 빈도(Round Trip)를 최소화하고, 키 분배시 불필요한 키 노출을 제거함으로서 기밀성을 보장한다는 데 목적이 있다.Therefore, the present invention has an object to compensate for the problems of the aforementioned end-to-end security (E2E Security) model. In addition, by applying a public key infrastructure (PKI) to support a stable and efficient AAA system, it minimizes the round trip of messages between diameter nodes and mobile nodes, and eliminates unnecessary key exposure during key distribution. The purpose is to ensure.

이러한 목적을 달성하기 위해 본 발명은 MIPv6/AAAv6(Mobile IP Version6/AAA version 6) 환경에서의 공개키 기반 구조 기술 적용 방법에 있어서 공개키 인증서의 발급 범위를 기존 AAA 개체에서 이동노드까지 확장하였다. In order to achieve the above object, the present invention extends the issue range of public key certificate from an existing AAA entity to a mobile node in a method of applying a public key infrastructure technology in a MIPv6 / AAAv6 (Mobile IP Version 6 / AAA version 6) environment.

본 발명의 하나의 특징은 이동 노드의 로밍에 따른 세션 키의 발급 방법에 있어서, 이동 노드와 홈망의 AAA 인증서버에게 공개키 인증서를 발급하는 단계와, 상기 공개키 인증서를 이용하여 세션 AAA 키를 암호화하는 단계를 포함하는 것이다. According to one aspect of the present invention, there is provided a method for issuing a session key according to roaming of a mobile node, comprising: issuing a public key certificate to an AAA authentication server of a mobile node and a home network, and using the public key certificate to generate a session AAA key. Encrypting.

본 발명의 다른 특징은 세션 키 발급 방법에 있어서, 액세스 라우터, 홈 에이전트의 키 사용주체가 세션 키의 발급 요청시, 세션 AAA 키를 생성하는 단계와, 상기 세션 AAA 키를 Key-Wrap AVP를 통해 홈망의 AAA 인증서버에게 전달하는 단계를 포함하는 것이다. According to another aspect of the present invention, in the method for issuing a session key, a key user of an access router and a home agent generates a session AAA key when a request for issuing a session key is performed, and the session AAA key is transmitted through a key-wrap AVP. And forwarding to the AAA authentication server of the home network.

여기서 바람직하게는, 기존의 대칭키 방식의 AAA 키를 사용하는 경우, 키 사용 주체가 홈망의 AAA 인증서버에게 세션 키를 요청 시, 128 비트의 난수로 형성된 세션 AAA 키를 생성하는 단계를 더 포함한다. Here, preferably, when using an existing symmetric key type AAA key, when the key user requests the session key from the AAA authentication server of the home network, generating a session AAA key having a 128-bit random number; do.

본 발명의 또다른 특징은 세션 키의 생성 방법에 있어서, 방문망의 AAA 인증서버에서 필요한 세션 키를 생성하여, 이를 이동 노드의 공개키 인증서로 암호화하여 전달하는 단계를 포함한다. Another aspect of the present invention provides a method for generating a session key, comprising generating a required session key in an AAA authentication server of a visited network, encrypting the session key with a public key certificate of a mobile node, and transmitting the same.

이제, 첨부된 도면을 참조하여 본 발명을 상세히 설명한다. The present invention will now be described in detail with reference to the accompanying drawings.

도 3은 본 발명이 적용되는 AAA 인증을 갖는 차세대 이동 인터넷 프로토콜(Mobile IPv6) 환경에서 공개키 기반구조를 적용한 시스템 모델의 개략도이다. 3 is a schematic diagram of a system model applying a public key infrastructure in a next-generation Mobile IPv6 environment with AAA authentication to which the present invention is applied.

도 3을 참조하면, 상기 시스템 모델은 방문망의 AAA 인증서버 AAAv(30)와, 홈망의 AAA 인증서버 AAAh(31)와, AAA 클라이언트 AAAc(32)와, 홈에이전트 HA(33)와, 인증기관CA(34), 및 이동노드(35)를 포함한다. Referring to FIG. 3, the system model includes the AAA authentication server AAAv 30 of the visiting network, the AAA authentication server AAAh 31 of the home network, the AAA client AAAc 32, the home agent HA 33, and the authentication. An engine CA 34 and a mobile node 35 are included.

AAA 클라이언트 AAAc(32)는 Mobile IPv6 의 액세스 라우터내의 AAA 클라이언트 모듈로써, 이동노드(35)로부터 서비스요청 메시지를 수신하여 방문망의 AAA 인증서버 AAAv(30)로 전달하며 이의 역으로도 동작한다. 방문망의 AAA 인증서버 AAAv(30)는 AAA 클라이언트 AAAc(32)의 MN(35)의 인증 및 권한 검증요청에 따라, 이의 인증 및 권한 검증정보를 홈망의 AAA 인증서버 AAAh(31)에게 전송한다. 홈망의 AAA 인증서버 AAAh(31)는 이에 따라 이동노드의 인증 및 권한 정보를 조회하여, 인증 결과를 방문망의 AAA 인증서버 AAAv(30)에게 알려준다. 이동노드(35)와 홈망의 AAA 인증서버 AAAv(30)는 동일한 인증기관으로부터 공개키 인증서를 발급받으며, 이러한 이동노드의 공개키 인증서는 기존의 대칭키 방식의 AAA 키를 대신하여 사용될 수 있다. 기존의 AAA 키는 홈망의 AAA 인증서버 AAAh(31)가 이동노드에게 발급하는 128 비트의 비밀키로써 이를 통해 홈망의 AAA 인증서버AAAh(31)가 이동노드의 인증 및 권한 검증을 수행하게 된다. 그러나, 본 발명에서는 이러한 AAA 키로써 이동노드의 공개키 인증서를 사용하여 세션키의 발급과정에서의 기밀성과 효율성을 제공하고 있다. AAA client AAAc 32 is an AAA client module in an access router of Mobile IPv6. The AAA client AAAc 32 receives a service request message from the mobile node 35 and delivers the service request message to the AAA authentication server AAAv 30 of the visited network and vice versa. The AAA authentication server AAAv 30 of the visited network transmits its authentication and authorization verification information to the AAA authentication server AAAh 31 of the home network according to the authentication and authorization verification request of the MN 35 of the AAA client AAAc 32. . The AAA authentication server AAAh 31 of the home network inquires the authentication and authorization information of the mobile node and informs the AAA authentication server AAAv 30 of the visited network accordingly. The mobile node 35 and the AAA authentication server AAAv 30 of the home network receive a public key certificate from the same certification authority, and the public node certificate of the mobile node may be used in place of the existing symmetric key type AAA key. The existing AAA key is a 128-bit secret key issued by the AAA authentication server AAAh 31 of the home network to the mobile node, whereby the AAA authentication server AAAh 31 of the home network performs authentication and authorization of the mobile node. However, the present invention provides the confidentiality and efficiency in the process of issuing a session key using the public node's public key certificate as the AAA key.

세션 키의 발급시 액세스 라우터 및 홈 에이전트 등의 각 키 사용 주체는 키 래핑 메커니즘을 이용하여 이를 통해 키 발급 주체와 논리적인 비밀 채널을 유지함으로써, 키의 기밀성을 보장한다. 공개키 기반구조를 통한 AAA 키의 발급은, 이동 노드와 홈망의 AAA 인증서버간 사전 비밀키의 등록을 요구한 종래의 단점을 보완하였으며, 이를 통해 AAA 키의 효율적인 재생성 및 분배 메커니즘을 제공할 수 있다. 또한, 방문망의 AAA 인증서버(AAAv)의 키 발급 메커니즘을 정의함으로써, 방문망에서 홈 에이전트(HA) 할당 시 요구되는 키를 방문망의 AAA 인증서버가 직접 발급하도록 함으로써 다이어미터 노드간 통신량(Traffic)을 감소시키는 시스템이다. When issuing a session key, each key usage entity such as an access router and a home agent uses a key wrapping mechanism to maintain a logical secret channel with the key issuer, thereby ensuring the confidentiality of the key. Issuance of the AAA key through the public key infrastructure compensates for the conventional disadvantage of requiring the registration of the pre-private key between the mobile node and the home network's AAA authentication server, thereby providing an efficient regeneration and distribution mechanism of the AAA key. have. In addition, by defining a key issuing mechanism of the AAA authentication server (AAAv) of the visited network, the AAA authentication server of the visited network directly issues a key required when assigning a home agent (HA) in the visited network so that traffic between diameter nodes ( It is a system that reduces traffic.

이를 위해, MIPv6 키 요청(MIPv6-Key-Request, MKR), MIPv6 키 응답(MIPv6-Key-Answer, MKA)의 메시지를 추가하고 세션 AAA 키(Session AAA Key)를 포함한 키 래핑(Key Wrap) AVP(Atribute-Value-Pair)를 추가하였다.To do this, add a message from the MIPv6 Key Request (MIPv6-Key-Request, MKR), the MIPv6 Key Response (MIPv6-Key-Answer, MKA), and key wrap AVP with the Session AAA Key. (Atribute-Value-Pair) was added.

키를 전달받기 위한 각 키 사용 주체는 128비트의 세션 AAA 키를 생성한다. 세션 AAA 키는 키 사용 주체가 생성한 난수값과 키 사용 주체의 주소를 이용하여 구성한다. 키 사용 주체는 홈망의 AAA 인증서버의 공개키로, 생성된 세션 AAA 키를 암호화하여 키 래핑 AVP (Key Wrapping AVP)를 생성한다. 각 사용 주체로부터 키 래핑 AVP를 전달받은 홈망의 AAA 인증서버는 자신의 개인키를 이용하여 키 래핑 AVP를 복호화하고 세션 AAA 키를 획득한다. 각 사용 주체로의 키 전달 과정은 홈망의 AAA 인증서버가 획득한 각 사용 주체의 세션 AAA 키에 의해 보호된다. 각 사용 주체는 [식 1]과 같이 세션 AAA 키 (Session AAA Key) 및 홈망의 AAA 인증서버가 생성한 키 자료(Key Material)를 이용하여 관련 세션 키를 추출한다.Each key user for receiving a key generates a 128-bit session AAA key. The session AAA key is constructed using the random number generated by the key user and the address of the key user. The key user is a public key of the AAA authentication server of the home network, and generates a key wrapping AVP by encrypting the generated session AAA key. The AAA authentication server of the home network, which receives the key wrapping AVP from each user, decrypts the key wrapping AVP using its private key and obtains the session AAA key. The key delivery process to each user is protected by the session AAA key of each user obtained by the AAA authentication server of the home network. As shown in [Equation 1], each user extracts the relevant session key by using the session AAA key and the key material generated by the home AAA authentication server.

[식 1][Equation 1]

Key = HMAC-MD5 (Session AAA Key, {Key Material | Home Address})Key = HMAC-MD5 (Session AAA Key, {Key Material | Home Address})

도 4는 본 발명의 제1 특징에 따라 홈 에이전트(Home Agent, HA)가 홈망에서 할당되는 경우 이동 노드의 공개키를 통한 세션 키 발급 과정의 메시지 흐름도이다. 도 4에 도시된 본 발명의 제1특징에서 이동노드에 대한 인증 및 키 전달은 이동노드의 공개키 인증서에 기반하고, 키의 생성 및 분배는 홈망의 AAA 인증서버(43)가 수행한다(MN-AR / MN-HA 세션 키). 또한 세션 AAA 키 및 홈망의 AAA 인증서버가 생성한 키 자료를 통해 키 사용 주체가 키를 생성하게 된다.4 is a message flow diagram illustrating a process of issuing a session key through a public key of a mobile node when a home agent (HA) is allocated in a home network according to a first aspect of the present invention. In the first aspect of the present invention shown in Figure 4 authentication and key delivery for the mobile node is based on the mobile node's public key certificate, the generation and distribution of the key is performed by the AAA authentication server 43 of the home network (MN -AR / MN-HA session key). In addition, the key user generates the key through the key material generated by the session AAA key and the home network AAA authentication server.

도 4를 참조하면, 먼저 이동노드(40)는 이동노드의 개인키를 이용하여 인증 데이터를 생성하고, AAA 클라이언트 AAAc(41)로 데이터 인증/권한을 요청(Extensible Authentication Protocol, EAP)을 전송한다(402). 이를 수신한 AAA 클라이언트 AAAc(41)는 해당 요청을 기반으로 인증/권한 예약 요청(AA Registration Request, ARR)을 전송한다(403). 이때 AAA 클라이언트 AAAc(41)는 세션 AAA 키를 생성하고 이것을 홈망의 AAA 인증서버 공개키로 암호화하여, 방문망 AAA 인증서버 AAAv(42)로 전달한다(403). 이를 수신한 AAAV(42)는 이러한 인증/권한 예약 요청을 홈망의 AAA 인증서버 AAAh(43)로 전달한다(404).Referring to FIG. 4, first, the mobile node 40 generates authentication data using the mobile node's private key, and transmits a data authentication / authorization request to the AAA client AAAc 41 (Extensible Authentication Protocol, EAP). (402). Upon receiving this, the AAA client AAAc 41 transmits an authentication / authorization reservation request (ARR) based on the request (403). At this time, the AAA client AAAc 41 generates a session AAA key, encrypts it with the AAA authentication server public key of the home network, and delivers the session AAA key to the visited network AAA authentication server AAAv 42 (403). Upon receiving this, the AAAV 42 forwards the authentication / authorization reservation request to the AAA authentication server AAAh 43 of the home network (404).

인증/권한 예약 요청을 받은 홈망의 AAA 인증서버 AAAh(43)는 이동노드의 공개키 인증서를 이용하여 이동노드를 인증하고, 이동노드-홈 에이전트 간 세션키를 생성한다. 다음, 홈망의 AAA 인증서버 AAAh(43)는 새로 할당된 홈 에이전트(44)로 홈 에이전트 이동 IPv6 요청(Home-Agent-MIPv6-Request, HOR)을 전송하고(405), 홈에이전트(44)는 HOR 메시지 내의 이동노드-홈 에이전트 간 세션키를 전달받아 저장한다. The AAA authentication server AAAh 43 of the home network that receives the authentication / authorization reservation request authenticates the mobile node using the public node's public key certificate and generates a session key between the mobile node and the home agent. Next, the AAA authentication server AAAh 43 of the home network sends a home agent move IPv6 request (Home-Agent-MIPv6-Request, HOR) to the newly assigned home agent 44 (405), and the home agent 44 It receives and stores session key between mobile node and home agent in HOR message.

새로 할당된 홈 에이전트(44)는 바인딩 업데이트(Binding Update) 후 홈망의 AAA 인증서버 AAAh(43)로 홈 에이전트 이동 IPv6 응답(Home-Agent-MIPv6-Answer, HOA)을 보내고(406), 이 응답을 받은 홈망의 AAA 인증서버 AAAh(43)는 세션 AAA 키를 복호화 하여 접근 라우터에 전달할 이동노드-접근 라우터 간 키 자료(key material)를 생성하며, 이동노드의 공개키를 이용하여 이동 노드에 전달할 이동노드-접근 라우터, 이동노드-홈 에이전트 간 키를 암호화하고 방문망의 AAA 인증서버 AAAv(42)로 인증/권한 응답을 전송한다(407). The newly assigned home agent 44 sends a home agent move IPv6 response (Home-Agent-MIPv6-Answer, HOA) to the AAA Authentication Server AAAh (43) of the home network after a Binding Update (406). The AAA authentication server AAAh (43) of the received home network decrypts the session AAA key, generates a key material between the mobile node and the access router to pass to the access router, and uses the public key of the mobile node to transfer the mobile node to the mobile node. It encrypts the key between the mobile node-access router and the mobile node-home agent and transmits an authentication / authorization response to the AAA authentication server AAAv 42 of the visited network (407).

이를 수신한 방문망의 AAA 인증서버 AAAv(42)는 AAA 클라이언트 AAAc(41)에게 인증/권한 응답을 전달하고(408), AAA 클라이언트 AAAc(41)는 인증/권한 응답을 통하여 전달된 키 자료 및 자신이 생성한 세션 AAA 키를 이용하여 이동노드-접근 라우터 간 키를 생성한 후, 이동노드(40)로 인증/권한 응답을 보낸다(409). 인증/권한 응답을 받은 이동노드(40)는 이동노드의 개인키를 이용하여 이동노드-접근 라우터 간, 이동노드-홈 에이전트 간의 세션키를 복호화 한다.The AAA authentication server AAAv 42 of the visiting network receives the authentication / authorization response to the AAA client AAAc 41 (408), and the AAA client AAAc (41) transmits the key material and the key material delivered through the authentication / authorization response. After generating the key between the mobile node and the access router by using the session AAA key generated by the self, it sends an authentication / authorization response to the mobile node 40 (409). The mobile node 40 receiving the authentication / authorization response decrypts the session key between the mobile node and the access router and between the mobile node and the home agent by using the private key of the mobile node.

도 5는 본 발명의 제2 특징에 따라 홈 에이전트가 방문망에서 할당되는 경우 이동 노드의 공개키를 통한 키를 통산 세션 키 발급과정의 메시지 흐름도이다.5 is a message flow diagram illustrating a process of issuing a session key through a key through a public key of a mobile node when a home agent is allocated in a visited network according to a second aspect of the present invention.

도 5에 도시된 본 발명의 제2특징에서, 이동노드에 대한 인증 및 키 전달은 이동노드의 공개키 인증서에 기반하고, 키(MN-AR 및 MN-HA 키)의 생성 및 분배는 방문망의 AAA 인증서버(53)가 수행한다. 이동노드에 공개키 기반 구조(PKI)를 적용함에 따라 방문망의 AAA 인증서버가 이동 노드의 공개키 인증서를 획득하여 생성한 세션 키를 이동 노드에게 안전하게 전달할 수 있다. In the second aspect of the invention shown in Figure 5, authentication and key delivery for the mobile node are based on the mobile node's public key certificate, and generation and distribution of keys (MN-AR and MN-HA keys) AAA authentication server 53 performs. As the public key infrastructure (PKI) is applied to the mobile node, the AAA authentication server of the visited network can securely transfer the session key generated by obtaining the public key certificate of the mobile node to the mobile node.

도 5를 참조하면, 이동노드(50)가 AAA 클라이언트 AAAc(51)에게 데이터 인증/권한을 요청(Extensible Authentication Protocol, EAP)을 전송하면(502), AAA 클라이언트 AAAc(51)는 방문망 AAA 인증서버 AAAv(53)로 인증/권한 예약 요청을 전송한다(503). 이를 접수한 방문망 AAA 인증서버 AAAv(53)는 홈망의 AAA 인증서버 AAAh(54)에게 인증/권한 예약 요청을 전달하고(504), 홈망의 AAA 인증서버 AAAh(54)는 방문망의 AAA 인증서버 AAAv(53)에게 홈 에이전트 이동 IPv6 요청(Home-Agent-MIPv6-Request, HOR)을 전송한다(503). Referring to FIG. 5, when the mobile node 50 transmits a data authentication / authorization request (Extensible Authentication Protocol, EAP) to the AAA client AAAc 51 (502), the AAA client AAAc 51 performs the visited network AAA authentication. The authentication / authority reservation request is sent to the server AAAv 53 (503). The visited network AAA authentication server AAAv 53 receives the authentication / authority reservation request to the AAA authentication server AAAh 54 of the home network (504), and the AAA authentication server AAAh (54) of the home network is AAA authentication. The server AAAv 53 sends a home agent move IPv6 request (Home-Agent-MIPv6-Request, HOR) (503).

이 때 방문망의 AAA 인증서버 AAAv(53)는 이동노드-홈 에이전트 간 세션키를 생성하여 새로 할당된 홈 에이전트(52)로 전송하며, 새로 할당된 홈 에이전트(52)에게 홈 에이전트 이동 IPv6 요청(Home-Agent-MIPv6-Request, HOR)을 전송한다(506). 이를 수신한 새로 할당된 홈 에이전트(52)는 이동노드-홈 에이전트간 세션키를 추출하고, 방문망의 AAA 인증서버 AAAv(53)에게 홈 에이전트 이동 IPv6 응답(Home-Agent-MIPv6-Answer, HOA)을 보내게 된다(507). 방문망의 AAA 인증서버 AAAv(53)는 홈 에이전트 이동 IPv6 응답을 홈망의 AAA 인증서버에게 전달하고(508), 홈망의 AAA 인증서버 AAAh(54)는 방문망의 AAA 인증서버 AAAv(53)에게 인증/권한 예약 응답(AA Registration Answer, ARA)을 보낸다(509). At this time, the AAA authentication server AAAv 53 of the visiting network generates a session node-to-home agent session key and transmits it to the newly assigned home agent 52, and requests the newly assigned home agent 52 a home agent move IPv6 request. (Home-Agent-MIPv6-Request, HOR) is transmitted (506). The newly assigned home agent 52 extracts the session key between the mobile node and the home agent, and sends a home agent move IPv6 response to the AAA authentication server AAAv 53 of the visiting network (Home-Agent-MIPv6-Answer, HOA). (507). The AAA Authentication Server AAAv (53) of the visiting network forwards the home agent mobile IPv6 response to the AAA Authentication Server of the home network (508), and the AAA Authentication Server AAAh (54) of the home network is forwarded to the AAA Authentication Server AAAv (53) of the visiting network. An authentication / authorization reservation response (AA Registration Answer, ARA) is sent (509).

이러한 인증/권한 예약 응답을 받은 방문망의 AAA 인증서버 AAAv(53)는 이동노드의 공개키를 이용하여 이동노드-홈 에이전트 간 세션키를 암호화하고, 이동노드-접근 라우터 간 세션키를 생성하고, 이동노드의 공개키를 이용하여 이동노드-접근 라우터간 세션키를 암호화한다. AAA 클라이언트 AAAc(51)에게 전달할 이동노드-접근 라우터 간 키는 방문망의 AAA 인증서버 - AAA 클라이언트 간 세션이 다이어미터가 기본적으로 제공하는 홉 바이 홉 시큐리티 (Hop-by-Hop Security) 메커니즘에 의해 보장되기 때문에, 안전하게 AAA 클라이언트 AAAc(51)에게 전달될 수 있다. 이후 방문망의 AAA 인증서버 AAAv(53)는 AAA 클라이언트 AAAC(51)에게 인증/권한 예약 응답(AA Registration Answer, ARA)을 보낸다(510). 이를 받은 AAA 클라이언트 AAAC(51)는 이동노드-접근 라우터 간 키를 추출한 뒤, 이동노드(50)에게 인증/권한 응답을 보낸다(511). 인증/권한 응답을 받은 이동노드(50)는 개인키를 이용하여 이동노드-접근 라우터(MN-AR), 이동노드-홈 에이전트(MN-HA)간 키를 복호화 한다. The AAA authentication server AAAv 53 of the visited network that receives the authentication / authorization reservation response encrypts the session key between the mobile node and the home agent by using the mobile node's public key, and generates the session key between the mobile node and the access router. The session key between the mobile node and the access router is encrypted using the public node's public key. The mobile node-to-router key to be passed to the AAA client AAAc (51) is based on the hop-by-hop security mechanism provided by the Diameter by the AAA Authentication Server-AAA Client-to-AAA session session. Because it is guaranteed, it can be safely delivered to the AAA client AAAc 51. Thereafter, the AAA authentication server AAAv 53 of the visited network sends an authentication / authorization reservation response (AA Registration Answer, ARA) to the AAA client AAAC 51 (510). The AAA client AAAC 51 receives the extracted key between the mobile node and the access router, and then sends an authentication / authorization response to the mobile node 50 (511). The mobile node 50 receiving the authentication / authorization response decrypts the key between the mobile node-access router (MN-AR) and the mobile node-home agent (MN-HA) using the private key.

도 6은 본 발명의 제3 특징에 따라 홈 에이전트가 홈망에서 할당되는 경우 이동 노드와 홈망의 AAA 인증서버(AAAh)간 대칭키 방식의 AAA 키를 통한 세션 키 발급 과정의 메시지 흐름도이다. 6 is a message flow diagram illustrating a session key issuing process through an AAA key using a symmetric key between a mobile node and an AAA authentication server (AAAh) of a home network when a home agent is allocated in a home network according to a third aspect of the present invention.

도 6에 도시된 본 발명의 제3특징에서는, 이동노드에 대한 인증 및 키 전달은 이동노드-홈망의 AAA 인증서버 간 롱텀 시큐리티 키 (Long-Term Secret Key)에 기반하고, 키(MN-AR 및 MN-HA 키)의 생성 및 분배는 홈망의 AAA 인증서버가 수행한다. 또한 세션 AAA 키를 통해 키 사용 주체까지 키 전달 과정을 보호한다.In the third aspect of the present invention shown in Figure 6, authentication and key delivery for the mobile node is based on the Long-Term Secret Key between the AAA authentication servers of the mobile node-home network, the key (MN-AR) And MN-HA key) generation and distribution are performed by the AAA authentication server of the home network. The session AAA key also protects the key passing process down to the keying subject.

도 6을 참조하면, 이동노드(60)가 AAA 클라이언트 AAAc(61)에게 데이터 인증/권한 요청(Extensible Authentication Protocol, EAP)을 전송하면(602), AAA 클라이언트 AAAC(61)는 세션 AAA 키를 생성한 후 이를 홈망의 AAA 인증서버 공개키로 암호화하여 방문망의 AAA 인증서버 AAAv(62)에 인증/권한 예약 요청을 전송한다(603). 이를 받은 방문망의 AAA 인증서버 AAAv(62)는 홈망의 AAA 인증서버 AAAh(63)에게 이를 전달하고(604), 홈망의 AAA 인증서버 AAAh(63)는 롱텀 시큐리티 키(Longterm Security Key)를 이용하여 이동노드를 인증한 후, 이동노드-홈 에이전트 간 세션키를 생성하고, 새로 할당된 홈 에이전트(64)로 홈 에이전트 이동 IPv6 요청(Home-Agent-MIPv6-Request, HOR)을 전송한다(605). 이러한 요청을 받은 새로 할당된 홈 에이전트(64)는 이동노드-홈 에이전트 간 키를 추출한 뒤 저장하고, 홈망의 AAA 인증서버 AAAh(63)에게 홈 에이전트 이동 IPv6 응답(Home-Agent-MIPv6-Answer, HOA)을 전송한다(606). 이를 받은 홈망의 AAA 인증서버 AAAh(63)는 세션 AAA 키를 복호화하고, AAA 클라이언트에게 전달할 이동노드 - 접근 라우터간 키 자료(key material)를 생성한다. 동시에 이동노드에게 전달할 이동노드-홈 에이전트 간 키 자료(key material)를 생성하여 방문망의 AAA 인증서버 AAAv(62)에게 인증/권한 예약 응답(AA Registration Answer, ARA)을 보내고(607), 이를 수신한 방문망의 AAA 인증서버 AAAv(62)는 AAA 클라이언트(61)에게 인증/권한 예약 응답을 보낸다(608). AAA 클라이언트(61)는 키 자료 및 자신의 세션 AAA 키를 이용하여 이동노드-접근 라우터 간 세션키를 추출한 후 이동노드로 인증/권한 응답을 보낸다(609). 이동노드(60)는 롱텀 시큐리티 키에 기반하여 이동노드-접근 라우터 간, 이동노드-홈 에이전트 간 키 자료로부터 이동노드-접근 라우터 간, 이동노드- 홈 에이전트 간 키를 생성한다.Referring to FIG. 6, when the mobile node 60 sends an Extensible Authentication Protocol (EAP) to the AAA client AAAc 61 (602), the AAA client AAAC 61 generates a session AAA key. After encrypting it with the AAA authentication server public key of the home network, the authentication / authority reservation request is transmitted to the AAA authentication server AAAv 62 of the visited network (603). The AAA authentication server AAAv (62) of the visited network receives it to the AAA authentication server AAAh (63) of the home network (604), and the AAA authentication server AAAh (63) of the home network uses a longterm security key. After authenticating the mobile node, the mobile terminal generates a session key between the mobile node and the home agent, and transmits a home agent move IPv6 request (Home-Agent-MIPv6-Request, HOR) to the newly assigned home agent 64 (605). ). Upon receiving this request, the newly assigned home agent 64 extracts and stores the key between the mobile node and the home agent, and sends the home agent mobile IPv6 response to the AAA authentication server AAAh (63) of the home network (Home-Agent-MIPv6-Answer, HOA) is transmitted (606). The AAA authentication server AAAh (63) of the home network receives the decrypted session AAA key and generates a key material between the mobile node and the access router to be delivered to the AAA client. At the same time, it generates a mobile node-home agent key material to be delivered to the mobile node and sends an authentication / authorization reservation response (AA) to the AAA authentication server AAAv (62) of the visiting network (607). The AAA authentication server AAAv 62 of the received visited network sends an authentication / authorization reservation response to the AAA client 61 (608). The AAA client 61 extracts the session key between the mobile node and the access router using the key material and its session AAA key, and sends an authentication / authorization response to the mobile node (609). The mobile node 60 generates a key between the mobile node-access router and the mobile node-home agent from the key material between the mobile node-access routers and the mobile node-home agent based on the long term security key.

도 7은 본 발명의 제4 특징에 따라 홈 에이전트가 방문망에서 할당되는 경우 이동 노드와 홈망의 AAA 인증서버간 대칭키 방식의 AAA 키를 통한 세션 키 발급 과정의 메시지 흐름도이다. 7 is a message flow diagram illustrating a session key issuing process through an AAA key using a symmetric key between a mobile node and an AAA authentication server of a home network when a home agent is allocated in a visited network according to a fourth aspect of the present invention.

도 7에 도시된 본 발명의 제4특징에서는, 이동노드에 대한 인증 및 키 전달은 이동노드-홈망의 AAA 인증서버간 롱텀 시큐리티 키에 기반하고, 키(MN-AR 및 MN-HA 키)의 생성 및 분배는 홈망의 AAA 인증서버가 수행한다. 그리고 방문망의 홈 에이전트에 키를 전달하기 위해 이동 IPv6 키 요청(MIPv6-Key-Request, MKR)(707)과 이동 IPv6 키 응답(MIPv6-Key-Answer, MKA)(710) 메시지를 새로이 추가하고, 세션 AAA 키를 통해 목적 노드에 직접 키를 전달하게 된다. In the fourth aspect of the present invention shown in Fig. 7, the authentication and key delivery for the mobile node is based on the long term security key between the AAA authentication servers of the mobile node-home network, and the key (MN-AR and MN-HA keys) Generation and distribution are performed by the AAA authentication server of the home network. In addition, a new Mobile IPv6 Key Request (MIPv6-Key-Request, MKA) 707 message and a Mobile IPv6 Key Response (MKA) 710 message are added to the home agent of the visited network. The session key is then passed directly to the destination node via the session AAA key.

도 7을 참조하면, 이동노드(70)가 AAA 클라이언트 AAAc(71)에게 데이터 인증/권한을 요청(Extensible Authentication Protocol, EAP)을 전송하면(702), AAA 클라이언트 AAAc(71)는 세션 AAA 키를 생성 후 이를 홈망의 AAA 인증서버 공개키로 암호화하여 방문망 AAA 인증서버 AAAv(73)로 인증/권한 예약 요청을 전송한다(703). 이를 받은 방문망 AAA 인증서버 AAAv(73)는 홈망의 AAA 인증서버(74)에게 이를 전달하고(704), 홈망의 AAA 인증서버 AAAh(74)는 방문망의 AAA 인증서버 AAAv(73)로 홈 에이전트 이동 IPv6 요청(Home-Agent-MIPv6-Request, HOR)(705)을 전송한다. Referring to FIG. 7, when the mobile node 70 transmits a data authentication / authorization request (Extensible Authentication Protocol, EAP) to the AAA client AAAc 71 (702), the AAA client AAAc 71 sends a session AAA key. After generation, it is encrypted with the AAA authentication server public key of the home network, and the authentication / authority reservation request is transmitted to the visited network AAA authentication server AAAv (73). The visited network AAA authentication server AAAv (73) receives it to the AAA authentication server 74 of the home network (704), and the AAA authentication server AAAh (74) of the home network is home to the AAA authentication server AAAv (73) of the visiting network. Send an Agent Mobile IPv6 Request (Home-Agent-MIPv6-Request, HOR) 705.

이를 받은 방문망의 AAA 인증서버 AAAv(73)는 새로 할당된 홈 에이전트(72)에게 이를 전달하고(706), 새로 할당된 홈 에이전트(72)는 세션 AAA 세션 키를 생성한 후 홈망의 공개키로 이를 암호화하여 다시 방문망의 AAA 인증서버 AAAv(73)에게 MIPv6-Key-Request를 보낸다(707). 방문망의 AAA 인증서버 AAAv(73)는 이를 홈망의 AAA 인증서버 AAAh(74)에게 전달하고(708), 홈망의 AAA 인증서버 AAAh(74)는 이동노드-홈 에이전트 간 키 자료를 생성하고, MIPv6-Key-Answer를 방문망 AAA 인증서버 AAAv(73)에게 보낸다(709). The AAA authentication server AAAv (73) of the visited network receives this information to the newly assigned home agent (72), and the newly assigned home agent (72) generates a session AAA session key and uses it as the public key of the home network. It encrypts the data and sends MIPv6-Key-Request to the AAA authentication server AAAv 73 of the visited network again (707). The AAA authentication server AAAv (73) of the visiting network passes this to the AAA authentication server AAAh (74) of the home network, and the AAA authentication server AAAh (74) of the home network generates key data between the mobile node and the home agent. The MIPv6-Key-Answer is sent to the visiting network AAA authentication server AAAv 73 (709).

방문망의 AAA 인증서버 AAAv(73)는 이를 새로 할당된 홈 에이전트(72)에 전달하고, 이를 받은 홈 에이전트(72)는 키 자료를 이용하여 이동노드-홈에이전트간 세션키를 추출한 후 방문망의 AAA 인증서버 AAAv(73)에게 홈 에이전트 이동 IPv6 응답(Home-Agent-MIPv6-Answer, HOA)을 전송한다(711). 그러면 방문망의 AAA 인증서버 AAAv(73)는 홈망의 AAA 인증서버 AAAh(74)에게 이를 전달하고(712), 이를 받은 홈망의 AAA 인증서버 AAAh(74)는 AAA 클라이언트가 생성한 세션 AAA 키를 자신의 개인키로 복호화하고, AAA 클라이언트(71)에게 전달할 이동노드 - 접근 라우터간 키 자료를 생성함과 동시에 이동노드에게 전달할 이동노드-홈 에이전트 간 키 자료를 생성하여 방문망의 AAA 인증서버 AAAv(73)에게 인증/권한 예약 응답(AA Registration Answer, ARA)을 전송한다(713). 이를 수신한 방문망의 AAA 인증서버 AAAv(73)는 AAA 클라이언트 AAAc(71)에게 인증/권한 예약 응답을 보낸다(714). AAA authentication server AAAv (73) of the visited network delivers it to the newly assigned home agent (72), which receives the home agent (72) using the key material to extract the session key between the mobile node and the home agent. The home agent moves IPv6 response (Home-Agent-MIPv6-Answer, HOA) to the AAA authentication server AAAv 73 of 711. Then, the AAA authentication server AAAv (73) of the visiting network delivers it to the AAA authentication server AAAh (74) of the home network (712), and the AAA authentication server AAAh (74) of the receiving home network receives the session AAA key generated by the AAA client. AAA authentication server AAAv of the visited network by decrypting with its own private key, generating mobile node-access router key material to be delivered to AAA client 71, and generating mobile node-home agent key material to be delivered to mobile node. 73, an authentication / authorization reservation response (AA Registration Answer, ARA) is transmitted (713). The AAA authentication server AAAv 73 of the visited network that receives this sends an authentication / authority reservation response to the AAA client AAAc 71 (714).

인증/권한 응답을 받은 AAA 클라이언트 AAAc(71)는 키 자료를 이용하여 이동노드 - 접근 라우터 간 세션키를 생성한 후 이동노드(70)에게 인증/권한 응답을 보낸다(715). 이동노드(70)는 롱텀 시큐리티 키에 기반하여 이동노드-접근 라우터 간, 이동노드-홈 에이전트 간 키 자료로부터 이동노드-접근 라우터 간, 이동노드- 홈 에이전트 간 키를 생성한다. After receiving the authentication / authorization response, the AAA client AAAc (71) generates a session key between the mobile node and the access router using the key material, and then sends the authentication / authorization response to the mobile node 70 (715). The mobile node 70 generates a key between the mobile node-access router and the mobile node-home agent from the key material between the mobile node-access router and the mobile node-home agent based on the long term security key.

상기와 같은 과정을 통하여 이동노드-접근 라우터 간, 이동노드-홈 에이전트 간 비밀 통신과 상호 인증을 위한 기반이 제공된다.Through the above process, a base for secret communication and mutual authentication between mobile node-access routers and mobile node-home agents is provided.

Command ABNF notation Command ABNF notation

MIPv6-Key-Request (MKR) MIPv6-Key-Request (MKR) : : = **** :: = **** <Diameter Header : xxx , REQ><Session-ID>{Auth-Application-Id}{Destination-Realm}{Origin-Host}{Origin-Realm}{Key-Wrap AVP}[Expected-Signed-AVP][Proxy-Info][Route-Record][AVP] <Diameter Header: xxx, REQ> <Session-ID> {Auth-Application-Id} {Destination-Realm} {Origin-Host} {Origin-Realm} {Key-Wrap AVP} [Expected-Signed-AVP] [Proxy -Info] [Route-Record] [AVP] MIPv6-Key-Request (MKR) MIPv6-Key-Request (MKR) : : = **** :: = **** <Diameter Header : xxx , ANS><Session-ID>{Auth-Application-Id}{Origin-Realm}{Result-Code}{Security Key}{Expected-Signed-AVP}[Error-Message][Proxy-Info][Route-Record][AVP] <Diameter Header: xxx, ANS> <Session-ID> {Auth-Application-Id} {Origin-Realm} {Result-Code} {Security Key} {Expected-Signed-AVP} [Error-Message] [Proxy-Info ] [Route-Record] [AVP]

이와 같이 본 발명은 키 암호화(Key Wrapping) 메커니즘을 통해 키 사용 주체가 세션 AAA 키를 키 생성 주체에게 전달함으로써, 키 분배 과정에서 기밀성을 보장하고, 기존 오프라인으로만 등록 가능했던 AAA 키를 공개키 기반 구조를 통해 AAA 키를 대체할 수 있는 환경을 제공함으로써, 방문망에서 홈 에이전트(HA) 할당시 요구되는 키를 방문망의 AAA 인증서버(AAAv)가 직접 발급함으로써 다이어미터 노드간 통신량을 감소시키는 효과가 있다.As described above, the present invention guarantees confidentiality in the key distribution process by allowing the key user to transfer the session AAA key to the key generator through a key wrapping mechanism, thereby publicly registering the AAA key that was previously registered only offline. By providing an environment that can replace AAA key through infrastructure, AAA Certificate Server (AAAv) of visit network directly issues key required when assigning home agent (HA) in visiting network. It is effective to let.

따라서 본 발명을 적용함으로써 이동노드-접근 라우터(Mobile Node-Access Router, MN-AR) 및 이동노드-홈 에이전트(MN-HA)간 키의 생성/분배를 홈망의 AAA 인증서버(AAAh)가 수행함으로써 다이어미터 노드들간의 통신량을 감소시키고, 관계되지 않은 노드들에게 키의 불필요한 노출을 방지할 수 있게 되므로, 본 발명을 적용하지 않은 기존의 시스템보다 안전하고 효율성 있는 시스템을 구축할 수 있는 효과가 있다. Therefore, the AAA authentication server (AAAh) of the home network performs the generation / distribution of keys between the mobile node-access router (MN-AR) and the mobile node-home agent (MN-HA) by applying the present invention. By reducing the communication between diameter nodes and preventing unnecessary exposure of the key to unrelated nodes, it is possible to build a safer and more efficient system than the existing system to which the present invention is not applied. have.

도 1은 종래기술에 따라 AAA 인증을 갖는 이동 인터넷 프로토콜(Mobile IP) 환경에서 공개키 기반구조(PKI)를 통한 종단간 보안(End-to-End Security) 시스템 모델의 개략도,1 is a schematic diagram of an end-to-end security system model through a public key infrastructure (PKI) in a mobile IP protocol environment with AAA authentication according to the prior art;

도 2는 종래기술에 따라 IETF에서 제안한 종단간 보안 제공 방안으로 TLS(Transport Layer Security) 기술을 적용한 방법의 메시지 흐름도,2 is a message flow diagram of a method applying TLS (Transport Layer Security) technology to provide end-to-end security proposed by the IETF according to the prior art;

도 3은 본 발명이 적용되는 AAA 인증을 갖는 차세대 이동 인터넷 프로토콜(Mobile IPv6) 환경에서 공개키 기반구조를 적용한 시스템 모델의 개략도,3 is a schematic diagram of a system model applying a public key infrastructure in a next-generation Mobile IPv6 environment with AAA authentication to which the present invention is applied;

도 4는 본 발명의 제1 특징에 따라 홈 에이전트(Home Agent, HA)가 홈망에서 할당되는 경우 이동 노드의 공개키를 통한 세션 키 발급 과정의 메시지 흐름도,4 is a message flow diagram of a session key issuing process through a public key of a mobile node when a home agent (HA) is allocated in a home network according to a first aspect of the present invention;

도 5는 본 발명의 제2 특징에 따라 홈 에이전트가 방문망에서 할당되는 경우 이동 노드의 공개키를 통한 키를 통산 세션 키 발급과정의 메시지 흐름도,5 is a message flow diagram illustrating a process of issuing a session key through a key through a public key of a mobile node when a home agent is allocated in a visited network according to a second aspect of the present invention;

도 6은 본 발명의 제3 특징에 따라 홈 에이전트가 홈망에서 할당되는 경우 이동 노드와 홈망의 AAA 인증서버(AAAh)간 대칭키 방식의 AAA 키를 통한 세션 키 발급 과정의 메시지 흐름도,6 is a message flow diagram of a session key issuing process through an AAA key of a symmetric key type between a mobile node and an AAA authentication server (AAAh) of a home network when a home agent is allocated in a home network according to a third aspect of the present invention;

도 7은 본 발명의 제4 특징에 따라 홈 에이전트가 방문망에서 할당되는 경우 이동 노드와 홈망의 AAA 인증서버간 대칭키 방식의 AAA 키를 통한 세션 키 발급 과정의 메시지 흐름도.7 is a message flow diagram of a session key issuing process through a symmetric key type AAA key between a mobile node and an AAA authentication server of a home network when a home agent is allocated in a visited network according to a fourth aspect of the present invention.

Claims (9)

이동 노드의 로밍에 따른 세션 키의 발급 방법에 있어서, In the method for issuing a session key according to roaming of a mobile node, 이동 노드와 홈망의 AAA 인증서버에게 공개키 인증서를 발급하는 단계와,Issuing a public key certificate to the AAA authentication server of the mobile node and the home network; 상기 공개키 인증서를 이용하여 세션 AAA 키를 암호화하는 단계를 포함하는 것을 특징으로 하는 세션 키의 발급 방법. Encrypting a session AAA key using the public key certificate. 세션 키 발급 방법에 있어서,In the session key issuing method, 액세스 라우터, 홈 에이전트의 키 사용주체가 세션 키의 발급 요청시, 세션 AAA 키를 생성하는 단계와,Generating a session AAA key when a key user of an access router and a home agent requests issuance of a session key; 상기 세션 AAA 키를 Key-Wrap AVP를 통해 홈망의 AAA 인증서버에게 전달하는 단계를 포함하는 것을 특징으로 하는 세션 키 발급 방법.And transmitting the session AAA key to an AAA authentication server of a home network through a Key-Wrap AVP. 제 1항에 있어서, The method of claim 1, 기존의 대칭키 방식의 AAA 키를 사용하는 경우, 키 사용 주체가 홈망의 AAA 인증서버에게 세션 키를 요청 시, 128 비트의 난수로 형성된 세션 AAA 키를 생성하는 단계를 더 포함하는 것을 특징으로 하는 세션 키 발급 방법.In the case of using the existing symmetric key type AAA key, when the key user requests the session key from the AAA authentication server of the home network, the method further comprises generating a session AAA key having a 128-bit random number. How to issue a session key. 제 1항에 있어서, The method of claim 1, 키 사용 주체에서 생성한 세션 AAA 키를 홈망의 AAA 인증서버의 공개키로 암호화하여, Key-Wrap AVP를 생성하는 단계를 더 포함하는 것을 특징으로 하는 세션 키 발급 방법.And encrypting the session AAA key generated by the key usage entity with the public key of the AAA authentication server of the home network, to generate a Key-Wrap AVP. 제 1항에 있어서, The method of claim 1, 기존의 대칭키 방식의 AAA 키를 통해 방문망의 AAA 인증서버에서 이동 노드에게 홈 에이전트를 할당한 경우, MIPv6-Key-Request 메시지를 생성하고, 이를 통해 Key-Wrap AVP를 홈망의 AAA 인증서버에게 전달하는 단계를 더 포함하는 세션 키 발급 방법.When the home agent is assigned to the mobile node from the AAA authentication server of the visited network through the existing symmetric key type AAA key, it generates a MIPv6-Key-Request message, and through this, the Key-Wrap AVP is sent to the AAA authentication server of the home network. Session key issuing method further comprising the step of passing. 제 1항에 있어서, The method of claim 1, 기존의 대칭키를 통해 방문망의 AAA 인증서버에서 이동 노드에게 홈 에이전트를 할당한 경우, MIPv6-Key-Request를 수신 받은 홈망의 AAA 인증서버가 MIPv6-Key-Answer 메시지를 통해 세션 키 생성을 위한 키 자료를 전달하는 단계를 더 포함하는 것을 특징으로 하는 세션 키 발급 방법.When the home agent is assigned to the mobile node in the AAA authentication server of the visited network through the existing symmetric key, the AAA authentication server of the home network that receives the MIPv6-Key-Request receives the MIPv6-Key-Answer message to generate the session key. Session key issuing method, characterized in that it further comprises the step of delivering the key material. 제 1항에 있어서, The method of claim 1, 세션 키 발급 요청에 따라 홈망의 AAA 인증서버가 키 자료를 생성하고, 이를 키 사용 주체에게 전달하여, 세션 AAA 키, 키 자료 및 이동노드의 홈 주소를 HMAC-MD5 알고리즘의 입력으로 하여 세션 키를 추출하는 단계를 더 포함하는 것을 특징으로 하는 세션 키 발급 방법.In response to the request for issuing the session key, the AAA authentication server of the home network generates the key material and delivers the key material to the key user. Session key issuing method further comprising the step of extracting. 세션 키의 생성 방법에 있어서, In the method for generating a session key, 방문망의 AAA 인증서버에서 필요한 세션 키를 생성하여, 이를 이동 노드의 공개키 인증서로 암호화하여 전달하는 단계를 포함하는 것을 특징으로 하는 세션 키 생성방법.And generating a required session key from the AAA authentication server of the visited network, encrypting it with the public key certificate of the mobile node, and transmitting the encrypted session key. 제 8항에 있어서, The method of claim 8, 이동 노드가 방문망의 AAA 인증서버에게 홈 에이전트 할당을 요구시, 방문망의 AAA 인증서버가 직접 세션 키들을 생성하고, 이를 이동 노드의 공개키 인증서로 암호화하는 단계를 더 포함하는 것을 특징으로 하는 세션 키 생성 방법.When the mobile node requests a home agent assignment from the visiting network's AAA authentication server, the visiting network's AAA authentication server directly generates session keys and encrypts it with the mobile node's public key certificate. How to generate a session key.
KR1020030096897A 2003-12-24 2003-12-24 A session key issuing method KR20050065130A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020030096897A KR20050065130A (en) 2003-12-24 2003-12-24 A session key issuing method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020030096897A KR20050065130A (en) 2003-12-24 2003-12-24 A session key issuing method

Publications (1)

Publication Number Publication Date
KR20050065130A true KR20050065130A (en) 2005-06-29

Family

ID=37256657

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020030096897A KR20050065130A (en) 2003-12-24 2003-12-24 A session key issuing method

Country Status (1)

Country Link
KR (1) KR20050065130A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100670790B1 (en) * 2004-12-03 2007-01-17 한국전자통신연구원 Method for distributing IPsec SA via AAA infrastructure in mobile IPv6 environment
KR20070122053A (en) * 2006-06-23 2007-12-28 경희대학교 산학협력단 System and method for authenticating roaming mobile node based on mipv6

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20020020133A (en) * 2000-09-08 2002-03-14 정규석 PKI system for and method of using WAP browser on mobile terminals
WO2003091858A2 (en) * 2002-04-26 2003-11-06 Thomson Licensing S.A. Certificate based authentication authorization accounting scheme for loose coupling interworking
KR20050046499A (en) * 2003-11-14 2005-05-18 삼성전자주식회사 System and method for establishing session of mobile terminal in a mobile ip system

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20020020133A (en) * 2000-09-08 2002-03-14 정규석 PKI system for and method of using WAP browser on mobile terminals
WO2003091858A2 (en) * 2002-04-26 2003-11-06 Thomson Licensing S.A. Certificate based authentication authorization accounting scheme for loose coupling interworking
KR20050046499A (en) * 2003-11-14 2005-05-18 삼성전자주식회사 System and method for establishing session of mobile terminal in a mobile ip system

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100670790B1 (en) * 2004-12-03 2007-01-17 한국전자통신연구원 Method for distributing IPsec SA via AAA infrastructure in mobile IPv6 environment
KR20070122053A (en) * 2006-06-23 2007-12-28 경희대학교 산학협력단 System and method for authenticating roaming mobile node based on mipv6

Similar Documents

Publication Publication Date Title
KR101401605B1 (en) Method and system for providing an access-specific key
JP4723158B2 (en) Authentication methods in packet data networks
US7298847B2 (en) Secure key distribution protocol in AAA for mobile IP
US7475241B2 (en) Methods and apparatus for dynamic session key generation and rekeying in mobile IP
JP5204219B2 (en) Method and apparatus for providing a proxy mobile key hierarchy in a wireless communication network
US7486951B2 (en) Apparatus of dynamically assigning external home agent for mobile virtual private networks and method for the same
US20060078119A1 (en) Bootstrapping method and system in mobile network using diameter-based protocol
US20070006296A1 (en) System and method for establishing a shared key between network peers
ES2368566T3 (en) QUICK CONNECTION TO NETWORK.
CN101160924A (en) Method for distributing certificates in a communication system
JP2004241976A (en) Mobile communication network system and method for authenticating mobile terminal
US7477626B2 (en) Apparatus of dynamically assigning external home agent for mobile virtual private networks and method for the same
US8275987B2 (en) Method for transmission of DHCP messages
Laurent-Maknavicius et al. Inter-domain security for mobile Ipv6
KR20050065130A (en) A session key issuing method
Wang et al. Integration of authentication and mobility management in third generation and WLAN data networks
JP4457859B2 (en) User authentication method, system, authentication server, and communication terminal
Jeon et al. Identification key based AAA mechanism in mobile IP networks
Chen et al. Mobile virtual private networks with dynamic MIP home agent assignment
Prasad et al. Light-weight AAA infrastructure for mobility support across heterogeneous networks
EP1638287B1 (en) Apparatus of dynamically assigning external home agent for mobile virtual private networks and method for same
Korhonen et al. Diameter mobile IPv6: Support for home agent to diameter server interaction
Mizikovsky et al. CDMA 1x EV-DO security
KR20070122053A (en) System and method for authenticating roaming mobile node based on mipv6
Jeon et al. On AAA with extended IDK in mobile IP networks

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application
J201 Request for trial against refusal decision
AMND Amendment
B601 Maintenance of original decision after re-examination before a trial
E801 Decision on dismissal of amendment
J301 Trial decision

Free format text: TRIAL DECISION FOR APPEAL AGAINST DECISION TO DECLINE REFUSAL REQUESTED 20060526

Effective date: 20070530