KR20060041395A - 무선 휴대 인터넷 시스템의 빠른 핸드오버를 지원하는가입자 인증 방법 - Google Patents
무선 휴대 인터넷 시스템의 빠른 핸드오버를 지원하는가입자 인증 방법 Download PDFInfo
- Publication number
- KR20060041395A KR20060041395A KR1020040090470A KR20040090470A KR20060041395A KR 20060041395 A KR20060041395 A KR 20060041395A KR 1020040090470 A KR1020040090470 A KR 1020040090470A KR 20040090470 A KR20040090470 A KR 20040090470A KR 20060041395 A KR20060041395 A KR 20060041395A
- Authority
- KR
- South Korea
- Prior art keywords
- subscriber
- session
- authentication
- message
- handover
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0016—Hand-off preparation specially adapted for end-to-end data sessions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/04—Network layer protocols, e.g. mobile IP [Internet Protocol]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
본 발명은 이동성을 제공하는 인터넷 접속 서비스에서 Fast-handover를 지원하는 인증시스템 및 그 방법에 관한 것이다.
본 발명의 무선 휴대 인터넷 시스템의 핸드오버시 가입자 인증 방법은 i) 가입자 인증 정보 및 접속 이력을 가입자 세션 데이터베이스에 미리 저장하는 단계; ii) 가입자 인증 요청시 가입자 세션 데이터베이스에 세션 식별자를 검색하는 단계; iii) 접속네트워크 장치의 아이피(Internet Protocol) 주소를 상기 세션 식별자와 비교하는 단계; iv) 접속 네트워크 장치와 세션 식별자가 상이한 경우, 이종의 서브 넷간의 핸드오버로 판단하고, 접속 이력을 이용하여 모바일 IP 재등록을 수행하는 단계를 포함한다.
이러한 본 발명에 따르면, 이동성을 제공하는 인터넷 접속 서비스에서 Fast- handover를 지원하는 인증시스템은 무선 구간에서의 연결설정에 있어서 가입자 재인증으로 인한 지연시간을 최소화하기 위한 핸드오버시간을 줄이고 가입자 재인증 절차 없이도 ACR이 PSS에 대한 접속제어를 하여 가입자 인증절차를 간소화함으로 효율적인 Handover를 제공할 수 있게 하여 무선 인터넷 접속시 발생하는 Handover를 최소화하고 가입자의 이동성에 따른 끊임없는 서비스를 제공할 수 있도록 하는 효과가 있다.
Fast-handover, 인터넷 접속 서비스, L3 핸드오버
Description
도 1은 본 발명의 실시 예에 따른 L3 핸드 오버를 지원하는 유무선 인터넷 접속 망의 AAA 인증 시스템의 구조를 도시한 블록도이다.
도 2는 본 발명의 실시 예에 따른 Fast-Handover를 지원하는 다이어미터 기반의 AAA인증시스템을 포함한 인터넷 접속 서비스를 제공하는 유무선 인터넷 접속 망의 블록도 이다.
도 3은 본 발명의 실시 예에 따른 Fast-Handover를 지원하는 인터넷 접속서비스를 위한 인증시스템에서 미리 인증 받을 경우(Preauthentication 시)의 메시지흐름을 도시한 블록도 이다.
도 4는 본 발명의 실시 예에 따른 Fast-Handover를 지원하는 인터넷 접속서비스를 위한 인증시스템에서 재인증 받을 경우(Reauthentication 시)의 메시지흐름을 도시한 블록도 이다.
도 5는 본 발명의 실시 예에 따른 Fast-handover를 지원하는 인터넷 접속서비스를 위한 인증 시스템에서 미리 인증 받을 경우(Preauthentication 시)의 메시지처리 방법을 도시한 순서도 이다.
도 6는 본 발명의 실시 예에 따른 Fast-Handover를 지원하는 인터넷 접속서비스를 위한 인증 시스템에서 재인증 받을 경우(Reauthentication 시)의 메시지 처리 방법을 도시한 순서도 이다.
본 발명은 이동성을 제공하는 인터넷 접속 서비스에서 Fast-handover를 지원하는 인증시스템 및 그 방법에 관한 것으로,
더욱 상세하게 말하자면, 이동성을 지원하는 인터넷 접속 서비스에서 Fast-handover를 지원하기 위한 AAA 인증 시스템에서의 처리 장치 및 그 방법에 관한 것이다.
휴대 무선 인터넷 서비스는 PSS (Personal S Station; 이하 'PSS'라 함)가 2.3GHz의 무선주파수 대역에 연결되어 시속60Km의 이동성을 제공토록 하는 접속 서비스이다. 이와 같이 이동성을 제공하는 무선인터넷 접속서비스는 가입자 PSS 가 기동 (Wakeup)된 상태에서 진입한 접속 네트웍에서 인터넷 사용 권한을 획득하기 위해 가입자 인증을 시도하고, 이에 대한 성공 응답 및 서비스 권한을 인증시스템으로부터 전달 받는다.
이동성이 없는 인터넷 접속서비스는 위와 같은 가입자 인증만으로 접속 서비스를 계시하지만, 휴대 무선 인터넷 등과 같은 이동성을 제공하는 서비스는 단말 이동성을 위한 MIP(Mobile Internet Protocol; 이하 'MIP'이라 함)를 도입하여 시 스템에 적용해야 한다. 즉, 가입자는 접속서비스를 제공받기 위하여 가입자 인증 후에 HoA (Home Address, 단말의 IP address) 및 CoA (Colocated Address)를 Home Agent에 등록해야 하고, 이때의 등록을 위한 멀티 라운드 trip을 단일(single round)trip으로써 처리하기 위하여 AAA 시스템이 이를 대행토록 한다, 특히 DIAMETER 기반의 프레임웍은 확장이 용이한 개방형 프레임웍으로써 DIAMETER MIP응용 (Application)을 서비스로 추가한다. 즉, 단말의 MIP 등록요청을 받은 네트웍 접속장치는 AAA 클라이언트로써 AAA MIP 등록요청을 인증시스템에 전달하고, 인증시스템은 가입자 인증에 성공한 PSS 임을 확인 한 후에, HA에 PSS에 대한 MIP 등록을 함으로써 PSS는 무선구간 커버리지가 가능한 범위 내에서 이동성 있는 인터넷 서비스를 제공받게 된다.
초기 가입자 인증 처리 시의 멀티라운드 메시징 처리 및 MIP 등록 처리로 인한 접속 지연시간은 가입자가 끊김없는 서비스를 이용하는데 문제를 야기하지 않는다. 그러나 접속 후의 서비스 사용 중에 가입자의 PSS가 이종의 IP 서브넷으로 이동 할 시에는 이 처리 지연이 서비스를 중단시키는 중요한 문제점이 된다.
새로운 네트웍 접속장치는 PSS가 인증을 획득한 합법적인 단말임이 판단되어야 PSS의 이동에 따른 MIP 등록 요청이 가능토록 트래픽을 제어할 수 있다. 그렇다면 초기 접속서비스와 동일한 절차로 가입자 인증을 위한 멀티라운드 메시지 처리를 다시 수행하여야 할 것이다.
즉, 최초의 접속이 이루어졌던 접속 망의 네트웍을 벗어나면 가입자가 망에 대한 사용 권한을 획득했지는 알지 못하기 때문에 가입자의 서비스를 단절시키는 큰 문제점이 존재한다.
따라서, 상기 문제점을 해결하기 위한 본 발명의 기술적 과제는 이동성을 제공하는 인터넷 접속서비스에서 무선 구간의 연결설정에 있어서, 가입자 재인증으로 인한 지연시간을 최소화하기 위한 핸드오버시간을 줄이고 가입자 재인증 절차 없이도 ACR이 PSS에 대한 접속제어를 하여 가입자 인증절차를 간소화함으로 효율적인 Handover를 제공할 수 있게 하여 무선 인터넷 접속시 발생하는 Handover를 최소화하고 가입자의 이동성에 따른 끊임없는 서비스를 제공할 수 있게 한다.
전술한 기술 과제를 해결하기 위한,
본 발명의 첫 번째 특징에 따라서 무선 휴대 인터넷 시스템의 핸드오버시 가입자 인증 방법은 i) 가입자 인증 정보 및 접속 이력을 가입자 세션 데이터베이스에 미리 저장하는 단계; ii) 가입자 인증 요청시 가입자 세션 데이터베이스에 세션 식별자를 검색하는 단계; iii) 접속네트워크 장치의 아이피(Internet Protocol) 주소를 상기 세션 식별자와 비교하는 단계; iv) 접속 네트워크 장치와 세션 식별자가 상이한 경우, 이종의 서브 넷간의 핸드오버로 판단하고, 접속 이력을 이용하여 모바일 IP 재등록을 수행하는 단계를 포함한다.
본 발명의 두 번째 특징에 따라서 Fast-Handover를 지원하는 인터넷 접속서비스를 위한 인증 시스템에서 미리 인증 받을 경우(Preauthentication 시)의 AAA 인증 시스템의 메시지 처리 방법은 i) AAA 인증 시스템의 BASE에서 모바일 IP 등록 요청 메시지를 전송 받아 MIP응용 모듈로 전송하는 단계; ii) MIP 응용 모듈에서 메시지의 신원정보(identity) 여부와 권한(Credential)을 상기 가입자 세션 데이터베이스에서 검사하는 단계; iii) 메시지의 신원정보(Identity)와 권한(Credential)의 승인을 받지 못하면 가입자 인증 전 모바일 IP 메시지 수신에 따른 실패로 처리되어 MIP 응용모듈에서 응답(실패)메세지를 생성하여 BASE로 전송하는 단계; iv) 신원정보(Identity)와 권한(Credential)의 승인을 받아 가입자 세션 데이터베이스에서 멀티 세션 계정 아이디(Acct-Multi-Session id)의 여부를 확인하는 단계; v) 멀티 세션 계정 아이디(Acct-Multi-Session id)가 존재하지 않아 초기접속에 따른 모바일 IP등록으로 처리하고 응답(성공)메시지를 생성하여 BASE로 전송하는 단계; vi) 멀티 세션 계정 아이디(Acct-Multi-Session id)가 존재하여 인증 시간(Auth-Life time)만료 또는 MAS 시간(MAS-Life time)만료에 따른 재인증 요청인지를 시간(Time)값 기록으로 확인하는 단계; vii) 인증 시간(Auth-Lifetime) 만료 또는 MAS 시간(MAS-Life time)만료에 의한 재인증이면 재인증에 따른 모바일 IP등록을 처리한 후 MIP응용 모듈에서 응답(성공)메시지를 BASE로 전송하는 단계; viii) 인증(Auth-Life time)만료 또는 MAS 시간(MAS-Life time)만료에 의한 재인증이 아니면 재인증 모드(Reauthentication Mode) 확인하는 단계; ix) 재인증 모드(Reauthentication Mode)이면 L3 핸드오버에 의한 모바일 IP으로 등록하여 처리한 후 응답(성공)메시지를 BASE로 전송하는 단계; x) 재인증 모드(Reauthentication Mode)이 아니면 재인증 모드로 설정한 후 L3 핸드 오버에 의한 모바일 IP으로 등록하여 처리하고 응답(성공)메시지를 BASE로 전송하는 단계; xi) BASE가 상기 응용모 듈로부터 전송 받은 메시지를 실시간으로 클라이언트 혹은 서버로 전송하는 단계를 포함한다.
본 발명의 세 번째 특징에 따라서 Fast-Handover를 지원하는 인터넷 접속서비스를 위한 인증 시스템에서 재인증 받을 경우(Reauthentication 시)의 AAA 인증 시스템의 메시지 처리 방법은 i) AAA인증 시스템의 BASE에서 메시지를 수신 받고, 인증 요청 타입(Auth_Request_Type)을 확인하는 단계; ii) 메시지가 인증 요청 타입(Auth_Request_Type)이면 EAP 응용 모듈에서 가입자 인증 데이터베이스의 신원정보(Identity)를 읽어 신원정보(Identity)와 권한(Credential)을 검사하는 단계; iii) 신원정보(Identity)와 권한(Credential)의 승인을 받지 못하면 가입자 인증 실패 처리를 하고 가입자 응답(실패) 메시지를 생성하여 BASE로 전송하는 단계; iv) 신원정보(Identity)와 권한(Credential)의 승인을 받아 가입자 세션 데이터베이스에서 신원정보 세션(Iedentity's Session) 유무를 확인하는 단계; v) 신원정보 세션(Iedentity's Session)이 없으면 초기 접속의 가입자 인증 처리를 하고 가입자 세션 테이블에 가입자 인증 처리 결과를 기록 한 후 가입자 응답 메시지를 생성하여 BASE로 전송하는 단계; vi) 신원정보 세션(Iedentity's Session)이 있으면 접속 네트웍장치의 아이피 주소(IP Address)와 세션 아이디(Session-id)가 다른지 검사하는 단계; vii) 아이피 주소(IP Address)와 세션 아이디(Session-id)가 다르면, L3 핸드오버에 의한 가입자 인증처리를 하고 가입자 세션 테이블에 가입자 인증 처리결과를 기록한 후 가입자 응답(성공)메시지를 생성하여 BASE로 전송하는 단계; viii) 아이피 주소(IP Address)와 세션 아이디(Session-id)가 같으면, Auth- Lifetime만료에 의한 가입자 재인증 처리를 하고, 가입자 인증처리 결과를 가입자 세션 테이블에 기록한 후 가입자 응답(성공)메시지를 생성하여 BASE로 전송하는 단계; ix) BASE가 응용모듈로부터 전송 받은 메시지를 실시간으로 클라이언트 혹은 서버로 전송하는 단계를 포함한다.
이하, 첨부된 도면을 참조하여, 본 발명에 따른 이동성을 지원하는 인터넷 접속 서비스에서 Fast-handover를 지원하기 위한 AAA 인증 시스템에서의 처리 장치 및 그 방법에 대하여 상세히 설명하면 다음과 같다.
도 1은 본 발명의 실시 예에 따른 L3 핸드 오버를 지원하는 유무선 인터넷 접속 망의 AAA 인증 시스템의 구조를 도시한 블록도이다.
도 1에 나타낸 바와 같이, 본 발명은 Fast-Handover핸드 오버를 지원하는 다이어미터 기반의 AAA 인증 시스템으로서, 데이터베이스(Database)(412), 시스템 연동 인터페이스(422), 홈 에이전트(Home Agent) 할당 및 관리 모듈(410), 홈 어드레스(Home Address)할당 및 관리 모듈(411), AAA 프레임웍(Framework)(420)를 포함한다.
데이터베이스(DateBase)(400)는 가입자의 정보와 가입자 인증에 관한 정보를 저장하고 있는 가입자 인증 데이터베이스(413), 사용자의 세션을 저장하는 가입자 세션 데이터베이스(414), 가입자의 어카운팅 세션 정보를 저장하는 가입자 어카운팅 세션 데이터베이스(415), 가입자의 어카운팅 정보를 저장하는 가입자 어카운팅 데이터베이스(416), 응용 모듈과 시스템의 정보를 저장하는 응용 모듈/시스템 데이터베이스(417)를 포함한다.
가입자 인증 데이터베이스(413)는 가입자 인증에 필요한 가입자의 인증정보를 저장하며, 응용모듈(430)의 요청으로 가입자 Identity(신원 정보)에 대한 Credential(권한)을 처리한다.
가입자 세션 데이터베이스(414)는 사용자의 개별적인 접속 세션을 처리하며, 실시간으로 접속 세션의 통합 및 구분을 하기 하여 저장한다.
가입자 어카운팅 세션 데이터베이스(415)는 가입자 어카운팅에 대한 세션 기록을 저장한다.
가입자 어카운팅 데이터베이스(416)는 가입자별 어카운팅에 대한 정보를 저장한다.
응용모듈/시스템 데이터베이스(417)는 응용모듈과 시스템의 정보를 저장한다.
시스템 연동 인터페이스(422)는 데이터베이스(Database)(412)와 AAA 프레임웍(420)의 각 내부 장치를 연결해 주는 접속 장치 역할을 한다.
AAA 프레임웍(AAA Framework)(420)은 가입자의 인증보안 및 데이터 보안과 무선 구간 보안 KEY관리를 하는 보안모듈(421), 응용 메시지 처리 및 관리를 하는 응용모듈(430), 전체적인 메시지관리를 하는 BASE(440)를 포함한다.
보안 모듈(421)은 가입자의 신원정보(Identity) 보안 및 무선 휴대 인터넷 등의 서비스를 위해 무선 구간 보안을 위한 A-키 생성, 갱신 등의 역할을 하며, 인증 보안에 필요한 프로토콜(EAP Pool, TLS, PAP, HMAC-MD5등)로 인증 및 데이터 보안을 한다.
응용 모듈(430)은 시스템의 응용 메시지 처리 및 관리 역할을 하고 Base에서 전송되어진 분석 메시지를 해당 응용 모듈에서 처리하여 각 연동 모듈로 전송하는 역할을 하며, EAP 응용 모듈(431), MIP 응용 모듈(432), NASREQ 응용 모듈(433), 어카운팅 응용 모듈(434)을 포함한다.
EAP 응용 모듈(431)은 다이어미터 클라이언트가 전송한 Diameter EAP 메시지안의 AVP를 읽어 가입자의 신원정보(identity)에 대해서 AAA처리를 하고, 보안 모듈(421)에 대한 처리 중계 역할을 한다.
MIP 응용 모듈(432)은 인증시스템이 단말의 HoA(Home Address)를 HA(600)에 등록하여 터널링 다운로딩(downloading tunnelling)을 형성하도록 지원하는 역할을 한다.
NASREQ(Network Access Server Requirement)응용 모듈(433)은 무선 인터넷 접속에 관한 무선 인터넷 세션을 관리한다.
어카운팅 응용모듈(434)은 기존의 BASE에서 어카운팅 처리 부분을 분리하여 응용모듈에 별도의 어카운팅 응용 모듈(434)로 구성함으로써 가입자 및 이동성의 인증/권한 과 응용서비스의 인증/권한을 동시에 어카운팅 할 수 있게 한다.
BASE(440)는 요청되는 메시지를 분석하여 접속서비스의 특성에 따라 처리하기 위해 해당 응용모듈로 콜백(Call-Back)하고 각 응용모듈에서 개별적으로 가입자의 세션을 처리할 수 있도록 서비스의 결합 및 분리, 확장이 가능토록 하며, 운영/관리시스템(500)에서 수신된 환경변수를 포함한 메시지를 분석하여 BASE환경을 변경할 수 있다.
AAA 인증시스템(400)은 홈 에이전트(Home Agent) 할당 및 관리모듈(410)과 홈 어드레스(Home Address)할당 및 관리모듈(411)을 두어 Home Agent 및 Address를 할당하고 관리를 한다.
AAA인증시스템(400)은 Diameter Client, Foreign Agent, Home Agent, Radius Client, Radius Server, Diameter Server와 메시지를 송수신한다.
도 2는 본 발명의 실시 예에 따른 Fast-Handover를 지원하는 다이어미터 기반의 AAA인증시스템을 포함한 인터넷 접속 서비스를 제공하는 유무선 인터넷 접속 망의 블록도 이다.
도 2에 나타낸 바와 같이, 다이어미터 기반의 AAA인증시스템을 포함한 유무선망은 AAA 인증시스템(400), 홈 에이전트(500), ACR(Auto Calling Router)(300), RAS(200), PSS(100)를 포함한다.
AAA 인증시스템(400)은 유무선 인터넷 접속 서비스를 제공하는 AAA 인증시스템(400)으로, 접속 서비스의 성격 및 특성에 따라 인증 및 권한 부여, 이동성 제공 및 어카운팅 등을 결합 및 분리하여 가입자의 세션을 관리하는 구조 및 기능을 한다.
홈 에이전트(home Agent; 이하 HA)(500)는 다이어미터 클라이언트(DIAMETER Client)역할을 하며 MIP(Mobile Internet Protocol; 이하 'MIP'이라 함)등록 및 관리와 홈 어드레스를 할당/관리한다.
ACR(Auto Calling Router; 이하 'ACR'라 함)(300, 310)은 다이어미터 클라이언트역할을 하는 라우터로 FA(Upload 트래픽 터널링(Tunneling) 및 라우팅, CoA(Care of Address)할당 및 관리)의 기능을 수행하며, 어카운팅을 추출한다.
RAS(Radio Access System; 이하 'RAS'라 함)(200, 210, 220, 230)는 PSS의 무선 인터넷 서비스 접속을 위한 접속점을 제공한다.
PSS(Personal S Station; 이하 'PSS'라 함)(100, 110)는 휴대 인터넷서비스를 제공하는 단말로 RAS(200, 210, 220, 230)에 접속하여 데이터를 송수신한다.
Fast-Handover를 지원하는 인터넷 접속서비스를 위한 인증시스템은 무선 휴대 인터넷 시스템의 핸드오버시 가입자를 인증하기 위하여 가입자 인증 정보 및 접속 이력을 가입자 세션 데이터베이스에 미리 저장하고, 가입자가 인증을 요청할 때 가입자 세션 데이터베이스에서 세션 식별자를 검색한다.
가입자 세션 데이터베이스의 세션 식별자와 타겟 전속 네트워크 장치의 IP 주소를 가입자 세션 데이터베이스에 모바일 IP가 존재하는지 여부를 확인하기 위하여 비교하고 접속 네트워크 장치의 IP주소와 세션 식별자가 상이한 경우, 이종의 서브넷간의 핸드오버로 판단하고, 접속 이력을 이용하여 모바일 IP 재등록을 수행한다.
만약 접속네트워크 장치의 IP 주소를 상기 세션 식별자가 동일한 경우, 모바일 IP 라이프 타임 갱신을 위하여 가입자 재인증을 수행한다.
도 3은 본 발명의 실시 예에 따른 Fast-Handover를 지원하는 인터넷 접속서비스를 위한 인증시스템에서 미리 인증 받을 경우(Preauthentication 시)의 메시지흐름을 도시한 블록도 이다.
도 3에 나타낸 바와 같이, 미리 인증 받을 경우(Preauthentication 시) PSS(100)의 Fast-Handover를 지원하는 유무선 인터넷 접속 망의 AAA인증시스템(400)은 가입자 인증 처리에 대한 요청 없이 New Serving ACR(Handover이후 단말기가 접속되는 ACR)로부터 모바일 IP등록 요청만이 전달된다. AAA인증 시스템(400)은 모바일 IP등록 요청에 대하여 가입자 세션 데이터베이스(414)의 가입자인증 세션 테이블을 조회하고, 조회 및 비교 결과가 가입자 인증 세션 테이블에 기록된 ACR 아미피 주소(IP address), 세션 아이디(Session-id)가 모바일 IP 등록 요청한 것과 동일하지 않으면 L3 핸드오버로 판단하고 HA(500)에 모바일 IP등록요청을 한다.
홈 에이전트(HA)(500)는 인증 시간(Auth-life-time)을 생성하는 정책(재생성 혹은 기존 생성값에서 현재까지의 접속시간을 뺀 나머지시간)에 따라 인증 시간(Auth-life-time)을 생성하여 AAA 인증 시스템(400)으로 전송한다.
AAA 인증 시스템(400)은 HA(500)에서 인증 시간(Auth-life-time)값을 가입자 세션 데이터베이스(414)의 가입자 세션 테이블에 갱신하고, MSA 시간(MSA(Mobility Security Association)-life-time)을 AAA 인증시스템(400)이 생성하는 정책(재생성 혹은 기존 생성 값에서 현재까지의 접속시간을 뺀 나머지 시간)에 맞춰 갱신한다. 그리고 세션키 값 및 임시값 역시 AAA 인증 시스템(400)에서의 정책에 따라 생성 혹은 기존값을 유지한다.
또한 AAA인증 시스템(400)은 EAP가입자 인증 시에 전달되어야 할 EAP 마스터 세션 키(EAP- Master-Session-Key), 서비스권한 정보(QoS(Quality of Service), 과금 타입에 따른 잔여시간, 트래픽 핸들링을 위한 터널 포인트 정보등)를 New Serving ACR(310)로 전달하기 위한 AAA-MIP응답 AVP를 확장한다.
도 4는 본 발명의 실시 예에 따른 Fast-Handover를 지원하는 인터넷 접속서비스를 위한 인증시스템에서 재인증 받을 경우(Reauthentication 시)의 메시지흐름을 도시한 블록도 이다.
도 4에 나타낸 바와 같이, 재인증 받을 경우(Reauthentication 시) PSS(100)의 Fast-Handover를 지원하는 유무선 인터넷 접속 망의 AAA 인증시스템(400)은 가입자 인증 처리 시에 표준 AVP에 규정된 인증 요청 타입(Auth_request_Type)을 권한 부여(Authorizatin_only)로 설정하여 New serving ACR(310)이 단일 라운드(1-round trip)로 가입자 인증 요청 및 처리를 수행할 수 있도록 ACR(DIAMETER Client)(300)와 AAA 인증 시스템(DIAMETER 서버)(400)간에 규정한다.
타켓 ACR(Target ACR)(New Serving ACR)(310)은 무선 구간 Handover처리 결과로서 무선구간 연결 설정된 PSS(100)가 Neighborhood ACR(300)로부터 핸드오버된 것인지, 무선 연결 설정을 마친 인증 전의 PSS(100)인지 분별하고 AAA 인증 시스템(400)은 Authentication_authorization(인증 권한)에 의한 가입자 인증처리와 차별되어서 가입자 세션 테이블만 조회하여 신원 정보(Identity)를 인증하고 기 부여되어 가입자 세션 테이블에 기록된 권한들을 확보하여 네트웍에 전달하여 유무선 인터넷 사용인증을 하여 기존의 방식대로 서비스를 받을 수 있게 한다.
도 5는 본 발명의 실시 예에 따른 Fast-handover를 지원하는 인터넷 접속서비스를 위한 인증 시스템에서 미리 인증 받을 경우(Preauthentication 시)의 메시지처리 방법을 도시한 순서도 이다.
도 5에 나타낸 바와 같이, AAA 인증 시스템(400)의 BASE(440)에서 가입자 모 바일IP 등록 요청 메시지를 수신 받으면(S100), MIP응용 모듈(432)로 전송하여 모바일 IP메시지를 처리한다.
MIP응용 모듈(432)은 가입자 세션 데이터베이스(414)에서 가입자 (신원정보)Identity 읽어 신원 정보(Identity)여부와 권한(Credential)을 검사한다(S110, S120).
만약 가입자 신원정보(Identity)가 없거나 권한(Credential)이 없다면 가입자 인증 전의 모바일 IP메시지수신에 따른 실패 처리를 하고(S121), 모바일 IP 응답(실패)메시지를 생성하여 BASE에 전송한다(S122).
만약 신원정보(Identity)확인여부와 권한(Credential)이 확인되면 가입자 세션 데이터베이스(414)에 멀티 세션 계정 아이디(Acct-Muti- Session-id)의 존재 여부를 검사한다(S130).
가입자 세션 데이터베이스(414)에 멀티 세션 계정 ID(Acct-Muti-Session-id)가 존재하지 않으면, MIP응용모듈(432)에서 초기접속에 따른 모바일 IP등록 처리를 한다(S131).
초기 접속에 따른 모바일 IP등록 처리는 MIP응용 모듈(432)에서 HA(500)로 등록 요청을 통하여 이루어진다.
모바일 IP 등록처리를 완료한 후 모바일 IP 응답(성공)메시지를 생성하여 BASE(440)로 전송한다(S132).
가입자 세션 데이터베이스(414)에 멀티 세션 계정 ID(Acct-Muti-Session-id)가 존재하면, 인증 시간(Auth- Lifetime)만료 또는 MAS 시간(MAS-Lifetime)만료에 따른 재인증요청인지 Time값 기록으로 확인한다(S133, S140).
인증 시간(Auth-Lifetime) 이나 MAS 시간(MAS-lifetime)만료에 의한 재인증이면 재인증에 따른 모바일 IP등록처리를 하고 모바일 IP 응답(성공)메시지를 BASE(440)로 전송한다(S141, S142).
인증 시간(Auth-Lifetime) 이나 MAS 시간(MAS-lifetime)만료에 의한 재인증이 아니면, 재인증 모드(Reauthentication Mode)여부를 확인하여(S150), 재인증(Reauthentication)이면 L3핸드오버에 의한 모바일 IP등록으로 처리하고 모바일 IP 응답(성공)메시지를 생성하여 BASE (440)로 전송하며(S151, S152), 재인증 모드(Reauthentication Mode)가 아니면 가입자 세션 데이터베이스(414)의 세션 정보를 재인증 모드(Reauthentication Mode)로 설정하고(S153), L3 핸드오버에 의한 모바일 IP등록으로 처리한 후 모바일 IP 응답(성공)메시지를 생성하여 BASE(440)로 전송한다(S154, S155).
BASE(440)는 응용모듈(430)로부터 전송 받은 응답(실패, 성공)메시지를 클라이언트(Client)로 전송한다(S160).
도 6는 본 발명의 실시 예에 따른 Fast-Handover를 지원하는 인터넷 접속서비스를 위한 인증 시스템에서 재인증 받을 경우(Reauthentication 시)의 메시지 처리 방법을 도시한 순서도 이다.
도 6에 나타낸 바와 같이, AAA 인증 시스템(400)에서 메시지를 수신 받으면(S200), AAA 인증 시스템(400)의 EAP 응용 모듈(431)은 메시지가 인증 요청 타입(Auth_Request_Type) 인지를 확인한다(S210).
메시지가 인증 요청 타입(Auth_Request_Type)이 아니면, EAP 응용 모듈(431)은 가입자 세션 데이터베이스(414)에서 신원정보 세션(Identity's Session)을 찾고(S212), 신원 정보 세션(Identity's Session)의 존재여부와 접속 네트웍장치의 아이피 주소(IP Address)가 세션 아이디(Session Id)와 다른지 여부를 검사한다(S260).
신원 정보세션(Identity's Session)의 존재하고 접속 네트웍장치의 아이피 주소(IP Address)가 세션 아이디(Session Id)와 다르면(S263), L3 핸드 오버에 의한 가입자 인증처리를 하고 가입자 세션 테이블(414)에 가입자 인증 처리 결과를 기록한 후 가입자 응답(성공)메시지를 BASE(440)로 전송한다(S263, S264, S265).
신원정보 세션(Identity's Session)의 존재하지 않거나 접속 네트웍장치의 아이피 주소(IP Address)가 세션 아이피(Session IP)와 같으면 가입자 인증 실패에 따른 처리를 한 후 가입자 응답(성공)메시지를 생성하여 BASE(440)로 전송한다(S261,S262).
메시지가 인증 요청 인증 요청 타입(Auth_Request_Type)이면, EAP 응용 모듈(431)은 가입자 인증 데이터베이스(414)에서 신원정보(Identity)를 읽어 신원정보(Identity)확인 여부와 권한(Credential)을 검사한다(S211, S220).
신원정보(Identity)와 권한(Credential)의 승인을 받지 못하면 가입자 인증 실패에 따른 처리를 한 후 가입자 응답 메시지를 생성하여 BASE(440)로 전송한다(S222, S223).
신원정보(Identity)와 권한(Credential)의 승인을 받은 후 EAP 응용 모듈 (431)은 가입자 세션 데이터베이스(414)에서 신원정보 세션(Identity's Session)을 찾는다(S221).
만약 가입자 세션 데이터베이스(414)에 신원정보 세션(Identity's Session)이 존재하지 않으면 초기접속의 가입자 인증처리를 하고(S231), 가입자 세션 테이블에 가입자 인증 처리 결과를 기록한 후 가입자 응답(성공)메시지를 생성하여 BASE(440)로 전송한다(S232, S233).
가입자 세션 데이터베이스(414)에 신원정보 세션(Identity's Session)이 존재하면 접속 네트웍 장치의 아이피 주소(IP Address)와 세션 아이디(Session-id)가 다른지 여부를 확인한다(S240).
만약 접속 네트웍 장치의 아이피 주소(IP Address)와 세션 아이디(Session-id)가 다르면 L3 핸드오버에 의한 가입자로 인증을 처리하고(S241), 가입자 세션 데이터베이스(414)의 가입자 세션 테이블에 가입자 인증 처리 결과를 기록한다(S242). 인증 처리 결과를 기록한 후 가입자 응답(성공)메시지를 생성하여 BASE(440)로 전송한다(S243).
만약 접속 네트웍 장치의 IP Address와 Session-id가 같으면 가입자 세션 테이블에 기록된 인증 시간(Auth-Lifetime)만료의 재 인증인가를 확인하고(S250), 인증 시간(Auth-Lifetime)만료의 재인증이면 인증 시간(Auth-Lifetime)만료에 의한 가입자 재인증 처리를 한 후 가입자 세션 테이블에 가입자 인증처리결과를 기록하고 가입자 응답(성공)메시지를 생성하여 BASE(440)로 전송한다(S251, S252, S253).
인증 시간(Auth-Lifetime)만료의 재인증이 아니면 L3 핸드오버에 의한 가입 자 인증처리를 하고(S241), 가입자 세션 테이블에 가입자 인증처리 결과를 기록한 후 가입자 응답(성공)메시지를 생성하여 BASE(440)로 전송한다(S242, S243).
BASE는 BASE(440)는 응용모듈(430)로부터 전송 받은 응답(실패, 성공)메시지를 클라이언트(Client)로 전송한다(S270).
이상에서 본 발명의 바람직한 실시 예에 대하여 상세하게 설명하였지만 본 발명은 이에 한정되는 것은 아니며, 그 외의 다양한 변경이나 변형이 가능하다.
본 발명에 따르면, 이동성을 제공하는 인터넷 접속 서비스에서 Fast- handover를 지원하는 인증시스템은 무선 구간에서의 연결설정에 있어서 가입자 재인증으로 인한 지연시간을 최소화하기 위한 핸드오버시간을 줄이고 가입자 재인증 절차 없이도 ACR이 PSS에 대한 접속제어를 하여 가입자 인증절차를 간소화함으로 효율적인 Handover를 제공할 수 있게 하여 무선 인터넷 접속시 발생하는 Handover를 최소화하고 가입자의 이동성에 따른 끊임없는 서비스를 제공할 수 있도록 하는 효과가 있다. 또한 이종 서브넷 간의 Fasthandover를 구현하기 위한 인증 시스템에 도입이 가능하고 그 적용범위가 IPv4 및 IPv6의 접속 네트웍과 인증시스템에 모두 적용할 수 있다.
Claims (6)
- 무선 휴대 인터넷 시스템의 핸드오버시 가입자 인증 방법에 있어서,a) 가입자 인증 정보 및 접속 이력을 가입자 세션 데이터베이스에 미리 저장하는 단계;b) 가입자 인증 요청시 상기 가입자 세션 데이터베이스에 세션 식별자를 검색하는 단계;c) 상기 접속네트워크 장치의 아이피(Internet Protocol) 주소를 상기 세션 식별자와 비교하는 단계;d) 상기 접속 네트워크 장치와 세션 식별자가 상이한 경우, 이종의 서브 넷간의 핸드오버로 판단하고, 상기 접속 이력을 이용하여 모바일 IP 재등록을 수행하는 단계;를 포함하는 가입자 인증 방법.
- 제 1 항에 있어서상기 d) 단계에 있어서, 상기 접속 네트워크 장치가 타겟 전속 네트워크 장치로 가입자 재인증 처리를 단일 라운드로 처리하는 가입자 인증 방법.
- 제 1 항에 있어서,상기 접속네트워크 장치의 IP 주소를 상기 세션 식별자가 동일한 경우,모바일 IP 라이프 타임 갱신을 위하여 가입자 재인증을 수행하는 단계를더 포함하는 가입자 인증 방법.
- Fast-Handover를 지원하는 인터넷 접속서비스를 위한 인증 시스템에서 미리 인증 받을 경우(Preauthentication 시)의 AAA 인증 시스템의 메시지 처리 방법에 있어서,i) AAA 인증 시스템의 BASE에서 모바일 IP 등록 요청 메시지를 전송 받아 MIP응용 모듈로 전송하는 단계;ii) MIP 응용 모듈에서 메시지의 신원정보(identity) 여부와 권한(Credential)을 상기 가입자 세션 데이터베이스에서 검사하는 단계;iii) 메시지의 신원정보(Identity)와 권한(Credential)의 승인을 받지 못하면 가입자 인증 전 모바일 IP 메시지 수신에 따른 실패로 처리되어 MIP 응용모듈에서 응답(실패)메세지를 생성하여 BASE로 전송하는 단계;iv) 신원정보(Identity)와 권한(Credential)의 승인을 받아 상기 가입자 세션 데이터베이스에서 멀티 세션 계정 아이디(Acct-Multi-Session id)의 여부를 확인하는 단계;v) 멀티 세션 계정 아이디(Acct-Multi-Session id)가 존재하지 않아 초기접속에 따른 모바일 IP등록으로 처리하고 응답(성공)메시지를 생성하여 BASE로 전송하는 단계;vi) 멀티 세션 계정 아이디(Acct-Multi-Session id)가 존재하여 인증 시간 (Auth-Life time)만료 또는 MAS 시간(MAS-Life time)만료에 따른 재인증 요청인지를 시간(Time)값 기록으로 확인하는 단계;vii) 인증 시간(Auth-Lifetime) 만료 또는 MAS 시간(MAS-Life time)만료에 의한 재인증이면 재인증에 따른 모바일 IP등록을 처리한 후 MIP응용 모듈에서 응답(성공)메시지를 BASE로 전송하는 단계;viii) 인증(Auth-Life time)만료 또는 MAS 시간(MAS-Life time)만료에 의한 재인증이 아니면 재인증 모드(Reauthentication Mode) 확인하는 단계;ix) 재인증 모드(Reauthentication Mode)이면 L3 핸드오버에 의한 모바일 IP으로 등록하여 처리한 후 응답(성공)메시지를 BASE로 전송하는 단계;x) 재인증 모드(Reauthentication Mode)이 아니면 재인증 모드로 설정한 후 L3 핸드 오버에 의한 모바일 IP으로 등록하여 처리하고 응답(성공)메시지를 BASE로 전송하는 단계;xi) BASE가 상기 응용모듈로부터 전송 받은 메시지를 실시간으로 클라이언트 혹은 서버로 전송하는 단계;미리 인증 받을 경우(Preauthentication 시)의 AAA 인증 시스템의 메시지 처리 방법
- Fast-Handover를 지원하는 인터넷 접속서비스를 위한 인증 시스템에서 재인증 받을 경우(Reauthentication 시)의 AAA 인증 시스템의 메시지 처리 방법에 있어서i) AAA인증 시스템의 BASE에서 메시지를 수신 받고, 인증 요청 타입(Auth_Request_Type)을 확인하는 단계;ii) 메시지가 인증 요청 타입(Auth_Request_Type)이면 EAP 응용 모듈에서 가입자 인증 데이터베이스의 신원정보(Identity)를 읽어 신원정보(Identity)와 권한(Credential)을 검사하는 단계;iii) 신원정보(Identity)와 권한(Credential)의 승인을 받지 못하면 가입자 인증 실패 처리를 하고 가입자 응답(실패) 메시지를 생성하여 BASE로 전송하는 단계;iv) 신원정보(Identity)와 권한(Credential)의 승인을 받아 가입자 세션 데이터베이스에서 신원정보 세션(Iedentity's Session) 유무를 확인하는 단계;v) 신원정보 세션(Iedentity's Session)이 없으면 초기 접속의 가입자 인증 처리를 하고 가입자 세션 테이블에 가입자 인증 처리 결과를 기록 한 후 가입자 응답 메시지를 생성하여 BASE로 전송하는 단계;vi) 신원정보 세션(Iedentity's Session)이 있으면 접속 네트웍장치의 아이피 주소(IP Address)와 세션 아이디(Session-id)가 다른지 검사하는 단계;vii) 아이피 주소(IP Address)와 세션 아이디(Session-id)가 다르면, L3 핸드오버에 의한 가입자 인증처리를 하고 가입자 세션 테이블에 가입자 인증 처리결과를 기록한 후 가입자 응답(성공)메시지를 생성하여 BASE로 전송하는 단계;viii) 아이피 주소(IP Address)와 세션 아이디(Session-id)가 같으면, Auth-Lifetime만료에 의한 가입자 재인증 처리를 하고, 가입자 인증처리 결과를 가입자 세션 테이블에 기록한 후 가입자 응답(성공)메시지를 생성하여 BASE로 전송하는 단계;ix) BASE가 응용모듈로부터 전송 받은 메시지를 실시간으로 클라이언트 혹은 서버로 전송하는 단계;를 포함하는 재인증 받을 경우(Reauthentication 시)의 AAA 인증 시스템의 메시지 처리 방법
- 제 5항에 있어서,상기 ii)단계는A) Auth_Request_Type이 아니면, EAP 응용 모듈이 가입자 세션 데이터베이스에서 가입자 신원정보 세션(Identity's Session)을 검색하는 단계;B) 신원정보 세션(Identity's Session)이 존재하고 접속 네트웍장치의 아이피 어드레스(IP Address)가 세션 아이디(Session Id)와 다른지 여부를 검사하는 단계;C) 신원정보 세션(Identity's Session)이 존재하지 않거나 접속 네트웍장치의 아이피 어드레스(IP Address)가 세션 아이디(Session Id)가 같다면 가입자 인증 실패에 따른 처리를 하고, 가입자 응답(실패) 메시지를 생성하여 BASE로 전송하는 단계;D) 신원정보 세션(Identity's Session)이 존재하고 접속 네트웍장치의 아이피 어드레스(IP Address)가 세션 아이디(Session Id)와 다르면 L3 핸드오버에 의한 가입자 인증 처리를 하고 가입자 인증 처리 결과를 가입자 세션 테이블에 기록한 후 가입자 응답 메시지를 생성하여 BASE로 전송하는 단계;를 포함하는 재인증 받을 경우(Reauthentication 시)의 AAA 인증 시스템의 메시지 처리 방법
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020040090470A KR20060041395A (ko) | 2004-11-08 | 2004-11-08 | 무선 휴대 인터넷 시스템의 빠른 핸드오버를 지원하는가입자 인증 방법 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020040090470A KR20060041395A (ko) | 2004-11-08 | 2004-11-08 | 무선 휴대 인터넷 시스템의 빠른 핸드오버를 지원하는가입자 인증 방법 |
Publications (1)
Publication Number | Publication Date |
---|---|
KR20060041395A true KR20060041395A (ko) | 2006-05-12 |
Family
ID=37147958
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020040090470A KR20060041395A (ko) | 2004-11-08 | 2004-11-08 | 무선 휴대 인터넷 시스템의 빠른 핸드오버를 지원하는가입자 인증 방법 |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR20060041395A (ko) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100800867B1 (ko) * | 2006-09-12 | 2008-02-04 | 삼성전자주식회사 | 이종 망에서 핸드오버 지연 감소 방법 및 장치 |
KR100879986B1 (ko) * | 2007-02-21 | 2009-01-23 | 삼성전자주식회사 | 모바일 네트워크 시스템 및 그 시스템의 핸드오버 방법 |
US7948463B2 (en) | 2005-03-18 | 2011-05-24 | Sharp Kabushiki Kaisha | Liquid crystal display device |
KR101328903B1 (ko) * | 2007-02-16 | 2013-11-13 | 삼성전자주식회사 | 확장 인증 프로토콜 패킷 유실에 따른 사용자 단말의초기화 방법 |
-
2004
- 2004-11-08 KR KR1020040090470A patent/KR20060041395A/ko not_active Application Discontinuation
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7948463B2 (en) | 2005-03-18 | 2011-05-24 | Sharp Kabushiki Kaisha | Liquid crystal display device |
KR100800867B1 (ko) * | 2006-09-12 | 2008-02-04 | 삼성전자주식회사 | 이종 망에서 핸드오버 지연 감소 방법 및 장치 |
KR101328903B1 (ko) * | 2007-02-16 | 2013-11-13 | 삼성전자주식회사 | 확장 인증 프로토콜 패킷 유실에 따른 사용자 단말의초기화 방법 |
KR100879986B1 (ko) * | 2007-02-21 | 2009-01-23 | 삼성전자주식회사 | 모바일 네트워크 시스템 및 그 시스템의 핸드오버 방법 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7831835B2 (en) | Authentication and authorization in heterogeneous networks | |
JP6343044B2 (ja) | WiMAXネットワークにおいてモビリティ・イベント中にアクセス・サービス・ネットワーク機能エンティティを再配置する方法 | |
JP4034729B2 (ja) | モバイルインターネット通信装置及び方法 | |
US8611316B2 (en) | Communication method and system for terminal entering and leaving idle mode | |
US20080026724A1 (en) | Method for wireless local area network user set-up session connection and authentication, authorization and accounting server | |
US8150317B2 (en) | Method and system for managing mobility of an access terminal in a mobile communication system using mobile IP | |
US20100091733A1 (en) | Method for handover between heterogenous radio access networks | |
US20080091824A1 (en) | Providing Mobile Core Services Independent of a Mobile Device | |
US10004007B2 (en) | Method, system and device for location update in networks | |
US9113331B2 (en) | Validating user identity by cooperation between core network and access controller | |
CN102006646A (zh) | 一种切换方法和切换设备 | |
KR20080102646A (ko) | 이동통신 시스템에서 프록시 이동 인터넷 프로토콜을이용한 단말의 이동성 관리 방법 및 시스템 | |
US8300631B2 (en) | Method for realizing mobile IP management and the network system thereof | |
JP2014222940A (ja) | 無線技術間の網間接続方法 | |
US7848737B2 (en) | Apparatus and method for fraud prevention when accessing through wireless local area networks | |
US20110003546A1 (en) | System and Method for Communications Device and Network Component Operation | |
US20090054035A1 (en) | System and method for providing location based services in a mobile communication system | |
US8561150B2 (en) | Method and system for supporting mobility security in the next generation network | |
US20110035490A1 (en) | Method, system and connectivity service network (csn) for realizing location service | |
KR20060041395A (ko) | 무선 휴대 인터넷 시스템의 빠른 핸드오버를 지원하는가입자 인증 방법 | |
CN101325804B (zh) | 获取密钥的方法、设备及系统 | |
WO2007071275A1 (en) | Subscriber authentication in mobile communication networks using unlicensed access networks | |
WO2008122601A1 (en) | Handover method wireless packet transceiving equipment data exchange system | |
WO2009152844A1 (en) | Selective route optimisation |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E601 | Decision to refuse application |