KR20070063416A - Method for local authenticating for micro mobility in mobile active network environment - Google Patents

Method for local authenticating for micro mobility in mobile active network environment Download PDF

Info

Publication number
KR20070063416A
KR20070063416A KR1020060122632A KR20060122632A KR20070063416A KR 20070063416 A KR20070063416 A KR 20070063416A KR 1020060122632 A KR1020060122632 A KR 1020060122632A KR 20060122632 A KR20060122632 A KR 20060122632A KR 20070063416 A KR20070063416 A KR 20070063416A
Authority
KR
South Korea
Prior art keywords
local
mobile
active network
authentication
authenticator
Prior art date
Application number
KR1020060122632A
Other languages
Korean (ko)
Other versions
KR100875918B1 (en
Inventor
안재영
김인수
김기천
황대준
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Publication of KR20070063416A publication Critical patent/KR20070063416A/en
Application granted granted Critical
Publication of KR100875918B1 publication Critical patent/KR100875918B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication

Abstract

A method for local authentication supporting micro mobility in a mobile active network environment is provided to generate and distribute a session key for weak wireless area security in a wireless mobile network and AAA structure inter-working model. A method for local authentication supporting micro mobility in a mobile active network environment includes the steps of: receiving and storing an authenticator generated in a home network by each node. An active network consists of nodes(S401); detecting local mobility inside the active network by a mobile node and transmitting a register request message to a server of the home network(S403); and performing authentication and binding processes inside the active network based on the authenticator by a local authentication server. The local authentication server receives the register request message of the mobile node through a foreign agent(S405).

Description

이동 능동망(mobile active network)환경에서 국지적 이동성을 지원하는 지역 인증 방법{Method for Local authenticating for micro mobility in mobile active network environment}Local authentication method that supports local mobility in mobile active network environment {Method for Local authenticating for micro mobility in mobile active network environment}

도 1은 이동성을 지원하는 액티브 네트워크의 개념적인 구성을 보여주는 도면이다.1 is a diagram illustrating a conceptual configuration of an active network supporting mobility.

도 2는 본 발명의 전제가 되는 이동노드와 홈네트워크 사이에서 교환되는 메시지의 흐름을 보여주는 신호흐름도이다.2 is a signal flow diagram illustrating the flow of messages exchanged between a mobile node and a home network, which is the premise of the present invention.

도 3은 이동노드의 국지적 이동에 따라 경로가 변경되는 모습을 보여주는 개념도이다.3 is a conceptual diagram illustrating a path change according to a local movement of a mobile node.

도 4는 본 발명에 의한 이동 능동망 환경에서 국지적 이동성을 지원하는 지역 인증 방법의 과정을 보여주는 흐름도이다.4 is a flowchart illustrating a process of a local authentication method supporting local mobility in a mobile active network environment according to the present invention.

도 5는 도 4의 S405단계를 보다 상세하게 보여주는 흐름도이다.5 is a flowchart illustrating step S405 of FIG. 4 in more detail.

도 6은 본 발명에 의한 지역 인증 방법에 의하여 이동노드와 망 노드간의 메시지의 흐름을 보여주는 신호흐름도이다.6 is a signal flow diagram illustrating a message flow between a mobile node and a network node by a local authentication method according to the present invention.

본 발명은 이동 능동망 환경에서 이동노드의 국지적 이동성을 지원하기 위하여 인증을 국지적으로 수행하는 방법에 관한 것으로서, 보다 상세하게는 MIP를 사용하는 이동통신망에 능동망 구조를 적용하여 국지 이동성을 효율적으로 구성하는 경우에 홈망 등록을 위한 보안 결합 및 연동인증 과정을 국지화시켜 이로 인한 국지이동성 효율의 손상 요인을 배제하기 위한 지역 인증 방법에 관한 것이다.The present invention relates to a method for performing authentication locally to support local mobility of a mobile node in a mobile active network environment. More particularly, the present invention relates to an active network structure in a mobile communication network using a MIP. In this case, the present invention relates to a local authentication method for localizing a security association and interworking authentication process for home network registration, thereby excluding the damage factor of local mobility efficiency.

인터넷을 이용하는 응용 및 사용자의 네트워크에 대한 요구가 복잡해지고 있으며, 이를 능동적으로 수용하는 기술로써 능동망 (Active Network) 기술이 제시되고 있다. 능동망은 네트워크 노드의 구조를 프로그래밍이 가능하도록 하고, 사용자 요구 기능을 수행할 수 있는 프로그램 코드를 전송/실행함으로써 통신망에 새로운 서비스를 보다 신속하고 경제적으로 도입하고 망 자원들을 보다 적절하게 활용할 수 있도록 하려는 네트워킹 기술이다.The demand for applications using the Internet and the network of users is complicated, and active network technology has been proposed as a technology to actively accommodate this. Active networks enable the programming of network node structures and the transmission / execution of program code to perform user-requested functions so that new services can be introduced into the network more quickly and economically, and network resources can be utilized more appropriately. The networking technology you want to do.

기존의 네트워크 노드가 단순히 패킷을 저장한 후 포워딩(store and forward) 하는 식의 단순한 네트워킹 기능을 하는 것과는 달리, 액티브 네트워크는 사용자가 원하는 프로그램을 패킷을 통하여 전송하여 실행하거나 네트워크 노드에 미리 설치된 프로그램 중에서 해당 기능을 실행함으로써, 기존에 네트워크 종단 간에서만 이루어지던 여러 가지 에러 처리 및 흐름 제어와 같은 복잡한 기능 혹은 그 외 사용자가 원하는 기능을 네트워크 노드에서 수행할 수 있다.Unlike the existing network node, which simply stores and forwards the packet, the network function is simple. The active network transmits and executes a desired program through the packet. By executing this function, the network node can perform complex functions such as various error handling and flow control that were previously performed only between network ends or other functions desired by the user.

이러한 특징은 사용자나 네트워크망 자체에 유연성뿐만 아니라 여러 많은 장점들을 제공할 수 있다. 특히 능동망을 MIP를 사용하는 이동통신망에 적용할 경우, MIP 의 특징적 절차인 이동노드의 홈망 등록 및 홈 에이전트 (Home Agent)와 이동 에이전트 (Foreign Agent) 간 패킷경로 설정과정을 최적화 할 수 있으므로, 방문망 액세스에서 나타나는 국지적 이동성 (Micro Mobility)을 구성할 경우 향상된 메커니즘을 제공할 수 있다.This feature can provide many advantages as well as flexibility for the user or the network itself. In particular, when the active network is applied to a mobile communication network using MIP, it is possible to optimize the process of registering the mobile node's home network and setting up the packet path between the home agent and the foreign agent, which is a characteristic procedure of the MIP. Configuring the local mobility (Micro Mobility) seen in visited network access can provide an improved mechanism.

방문망이 능동망일 경우, 도 1에 도시된 바와 같이 능동망(110)은 능동 라우터 (Active Router : AR)들로 구성되며, 이 도메인 내에서 관리되는 단말의 이동성은 흔히 지역 혹은 국지 이동성 (Micro Mobility)으로 불리운다. 이는 HA(130)와 공중 통신망(120)을 통한 FA 간의 터널링으로 유지되는 광역이동성의 하부구조로 존재하며, MIP만 사용될 경우 중첩된 터널링으로 구성되는 부분이다. 그러나 각 액티브 라우터는 이동노드의 주소를 기억 (바인딩) 하고 있으므로 이는 마치 기존 MIP 구조에서의 이동 에이전트 (Foreign Agent) 와 같은 기능을 수행할 수 있으며, 따라서 AR 들로 구성된 망(110)에서는 이러한 중첩된 하부 터널링이 필요없이 패킷전달이 가능하다.When the visited network is an active network, as shown in FIG. 1, the active network 110 is composed of active routers (ARs), and mobility of terminals managed in this domain is often local or local mobility (Micro). Mobility). It exists as a broad mobility infrastructure that is maintained by tunneling between the HA 130 and the FA through the public communication network 120, and when only MIP is used, the portion is composed of overlapped tunneling. However, since each active router remembers (binds) the address of the mobile node, it can perform the same function as a foreign agent in the existing MIP structure, and thus this overlap in the network 110 of ARs is performed. Packet forwarding is possible without requiring lower tunneling.

능동망에서 이동노드(Mobile Node; 이하 “MN”과 혼용하여 사용함) 가 국지 이동하는 경우 MN은 등록망에 있는 홈 에이전트(HA)를 향해 등록 메시지를 요청한다. 단순 MIP에서는 이동노드의 인증 및 이동된 주소 바인딩(등록)이 홈망의 인증 서버(AAAH) 및 HA 에 의해서 이루어지므로 이를 홈망으로 전달해야 했으나, 능동망에서는 각 AR 이 이동노드의 주소를 모두 아는 일종의 에이전트기능을 수행할 수 있으므로, 광역 MIP에서 FA 역할이 되는 관문 능동 라우터 (GAR: Gateway Active Router)가 중심이 되어 이동 단말 - 주소 바인딩 등록을 갱신하고, 이를 현재 유효 주소 (COA: Care of Address) 로 관리하게 되며, 국지 이동성을 위한 하부구조는 각 AR 이 패킷전달을 능동처리하게 되므로, 단말의 이동시마다 매번 홈망의 주소 바인딩을 갱신하는 부담이 경감된다.When a mobile node (hereinafter referred to as “MN”) is locally moved in an active network, the MN requests a registration message to a home agent (HA) in the registration network. In simple MIP, the mobile node's authentication and mobile address binding (registration) are performed by the home network's authentication server (AAAH) and HA. Since the agent function can be performed, the gateway active router (GAR), which becomes a FA role in the wide area MIP, is centered to update the registration of the mobile station-address binding, and the current effective address (COA) In the infrastructure for local mobility, each AR actively processes packet forwarding, thereby reducing the burden of updating the address binding of the home network every time the terminal moves.

한편, 이동 노드 (Mobile Node)의 안전한 이동성관리를 위해서는 이동노드의 인증 절차가 또한 필요하며, 이는 "이동노드 - MIP 홈에이전트 간 보안 결합(MN-HA security association)"을 기본 구조로 한다. 이러한 결합 구조는 이동노드가 등록을 요청할 경우 이 등록 메시지를 HA가 존재하는 홈망과 이동노드가 존재하는 방문망간에 주고 받는 광역 보안 연동을 필요로 하므로, 능동망을 사용하는 국지적 이동성 제공구조에서의 국지성을 손상하여 효율을 저감하는 원인이 되는 문제점이 있다. On the other hand, for the secure mobility management of the mobile node (Mobile Node) also requires a mobile node authentication procedure, which is based on the "MN-HA security association (MN-HA security association)" base structure. This combined structure requires wide-area security interworking when the mobile node requests registration between the home network where the HA exists and the visiting network where the mobile node exists. There is a problem that causes damage to locality and reduces efficiency.

본 발명이 이루고자 하는 기술적 과제는, 상기의 문제점을 해결하기 위하여 안출된 것으로서, MIP 를 사용하는 이동통신망에 능동망 구조를 적용하여 국지 이동성을 효율적으로 구성하는 경우에 있어 잔존하는 비효율성 문제인 "홈망 등록을 위한 보안 결합 및 연동인증 과정"을 국지화시켜 이로 인한 국지이동성 효율의 손상 요인을 배제하기 위한 지역 인증 방법을 제공하는데 있다. The technical problem to be solved by the present invention is to solve the above problems, which is a problem of remaining inefficiency in the case of efficiently configuring local mobility by applying an active network structure to a mobile communication network using MIP. It is to provide a local authentication method to localize the security binding and interlocking authentication process for registration, thereby excluding the damage factor of local mobility efficiency.

상기의 기술적 과제를 해결하기 위하여 본 발명에 의한 이동 능동망 환경에서 국지적 이동성을 지원하는 지역 인증 방법은 복수의 액세스 라우터(AR), 통신망과 접속하는 게이트웨이 억세스 라우터(GAR), 지역(local) 인증 서버를 포함하는 능동망에서 지역 인증을 수행하는 방법에 있어서, 상기 능동망을 구성하는 각 노드 가 지역 인증용 인증자를 수신하여 저장하는 단계; 이동노드가 상기 능동망내에서의 지역이동을 감지한 후 등록 요청 메시지를 홈 망의 서버로 송신하는 단계; 및 상기 이동노드의 등록 요청 메시지를 외부 에이전트(Foreign Agent)를 통하여 수신한 상기 지역 인증 서버가 상기 인증자를 기초로 하는 의한 인증을 수행하여 상기 능동망 내에서 인증과 바인딩 절차를 수행하는 단계;를 포함하는 것을 특징으로 한다.In order to solve the above technical problem, a local authentication method for supporting local mobility in a mobile active network environment according to the present invention includes a plurality of access routers (AR), a gateway access router (GAR) for connecting to a communication network, and local authentication. A method of performing local authentication in an active network including a server, the method comprising: receiving and storing a local authentication authenticator by each node constituting the active network; Transmitting, by a mobile node, a registration request message to a server of a home network after detecting a local movement in the active network; And performing the authentication and binding procedure in the active network by performing authentication by the local authentication server based on the authenticator by receiving the registration request message of the mobile node through a foreign agent. It is characterized by including.

보다 바람직하게는, 상기 인증자는 상기 이동단말이 최초 등록될 때 홈망의 인증서버에서 생성되는 것을 특징으로 한다.More preferably, the authenticator is generated in the authentication server of the home network when the mobile terminal is initially registered.

보다 바람직하게는, 상기 인증자는 상기 홈망의 인증서버가 sskM_AH, 홈 챌린지값을 포함하는 값을 인자로 하여 생성하는 것을 특징으로 한다.More preferably, the authenticator generates the authentication server of the home network using a value including sskM_AH and a home challenge value as a factor.

보다 바람직하게는, 상기 이동노드가 RA(Router Advertisement)의 prefix로 지역이동을 감지하고, 상기 인증자를 첨부하여 상기 등록 요청 메시지를 생성하는 것을 특징으로 한다.More preferably, the mobile node detects local movement as a prefix of a router advertisement (RA), and attaches the authenticator to generate the registration request message.

보다 바람직하게는, 상기 인증과 바인딩 절차를 수행하는 단계는 외부 에이전트가 상기 이동노드로부터 등록 요청 메시지를 수신하는 단계; 상기 외부 에이전트가 지역 인증 서버로 상기 이동노드에 대한 등록을 요청하는 단계; 상기 지역 인증 서버가 세션키를 기초로 상기 인증자를 복호하여 상기 인증자를 인증하는 단계; 인증이 성공하면 상기 인증자를 제외한 등록 메시지를 게이트웨이 외부 에이전트(GFA; Gateway Foreign Agent)로 전송하여 지역 바인딩 업데이트를 실행하는 단계; 및 상기 외부 에이전트에 대하여 세션키를 분배하는 단계;를 포함하는 것을 특 징으로 한다.More preferably, the performing of the authentication and binding procedure may include: receiving, by an external agent, a registration request message from the mobile node; Requesting, by the foreign agent, a registration for the mobile node from a local authentication server; The local authentication server decrypting the authenticator based on a session key to authenticate the authenticator; If the authentication is successful, transmitting a registration message excluding the authenticator to a gateway foreign agent (GFA) to execute local binding update; And distributing a session key to the foreign agent.

보다 바람직하게는 상기 세션키를 분배하는 단계는 상기 세션키를 sskAAL-FA를 기초로 암호하여 분배하는 것을 특징으로 한다.More preferably, the distributing of the session key may be performed by encrypting and distributing the session key based on sskAAL-FA.

이하에서, 첨부한 도면을 참조하여 본 발명의 실시예에 대하여 상세히 설명하기로 한다. 도 1은 이동성을 지원하는 액티브 네트워크의 개념적인 구성을 보여주는 도면이고, 도 2는 본 발명의 전제가 되는 이동노드와 홈네트워크 사이에서 교환되는 메시지의 흐름을 보여주는 신호흐름도이다. 한편 도 3은 이동노드의 국지적 이동에 따라 경로가 변경되는 모습을 보여주는 개념도이다. 그리고 도 4는 본 발명에 의한 이동 능동망 환경에서 국지적 이동성을 지원하는 지역 인증 방법의 과정을 보여주는 흐름도이며, 도 5는 도 4의 S405단계를 보다 상세하게 보여주는 흐름도이다. 마지막으로 도 6은 본 발명에 의한 지역 인증 방법에 의하여 이동노드와 망 노드간의 메시지의 흐름을 보여주는 신호흐름도이다.Hereinafter, with reference to the accompanying drawings will be described in detail an embodiment of the present invention. 1 is a diagram illustrating a conceptual configuration of an active network supporting mobility, and FIG. 2 is a signal flow diagram illustrating a flow of messages exchanged between a mobile node and a home network, which is the premise of the present invention. Meanwhile, FIG. 3 is a conceptual diagram illustrating a path changing according to a local movement of a mobile node. 4 is a flowchart illustrating a process of a local authentication method supporting local mobility in a mobile active network environment according to the present invention, and FIG. 5 is a flowchart showing step S405 of FIG. 4 in more detail. Finally, Figure 6 is a signal flow diagram showing the flow of messages between the mobile node and the network node by the local authentication method according to the present invention.

먼저, 본 발명의 전제 및 개요(이에 대하여는 도 1내지 도 3이 도시하고 있다)를 설명하도록 한다. MIP 기반 이동망에서 안전한 마이크로이동성 기술의 지원을 위해서 기존의 이동노드와 홈 에이전트간 보안 결합(MN-HA security association)을 기본으로 하던 과정을 이동노드와 게이트웨이 액세스 라우터간 보안 결합(MN-GAR security association)을 기반으로 만들기 위한 게이트웨 액세스 라우터(GAR) 중심의 새로운 인증 등록 절차를 제안한다.First, the premise and outline of the present invention (which is illustrated in FIGS. 1 to 3) will be described. MN-GAR security association based on the existing MN-HA security association based on the existing MN-HA security association for the support of secure micro mobility technology in MIP-based mobile networks. We propose a new authentication registration procedure centered on Gateway Access Router (GAR).

도 1은 이동성을 지원하는 액티브 네트워크의 개념적인 구성도이다. 액티브 네트워크는 액티브라우터(110 내의 AR), 지역인증서버(미도시), 이동노드(140)로 구성된다.1 is a conceptual diagram of an active network supporting mobility. The active network is composed of an AR in the active router 110, a local authentication server (not shown), and a mobile node 140.

액티브라우터(AR)는 이동노드와 인터넷망의 데이터 전달을 담당한다. 지역인증서버는 홈 인증서버와 연계되어 이동노드의 인증을 담당한다. 이동노드는 서비스를 제공받는 주체이다. 한편 이동노드(140)가 억세스하는 능동망(110)은 통신망(120)을 통하여 홈망(130)에 연결된다.The active router (AR) is responsible for data transfer between the mobile node and the internet network. The local authentication server is in charge of mobile node authentication in connection with the home authentication server. The mobile node is the subject receiving the service. Meanwhile, the active network 110 accessed by the mobile node 140 is connected to the home network 130 through the communication network 120.

도 2는 이동노드와 홈 에이전트 사이의 메시지 교환의 형태를 나타낸다. 먼저 이동노드(201)가 FA(203)로 등록요청을 하면(S201), FA(203)는 GFA(205)로 등록요청을 하고(S203), GFA(205)는 지역인증서버(AAAL,207)로 AHR(AA-Home-Agent-Request메시지)을 송신한다(S205). 다시 AAAL(207)은 홈 인증서버(AAAH,209)로 AHR을 보내고(S207), AAAH(209)는 다시 HA(210)로 AHR을 보낸다(S209), 이에 응답하여 HA(210)는 AAAH(209)로 AHA(AA-Home-Agent-Answer 메시지)를 송신한다(S210). AAAH(209)는 AAAL(207)로 등록응답 메시지(RegRep), 암호화된 세션키((SK)sskAAAH-AAAL), 암호화된 세션키와 홈 챌린지((SK,HC)sskAAAH-MN)을 송신한다(S211). 그리고 AAAL(207)은 GFA(205)로 등록응답 메시지(RegRep), 암호화된 세션키((SK)sskAAAL-FA), 암호화된 세션키와 홈 챌린지((SK,HC)sskAAAH-MN)를 송신한다(S213). 이어서 GFA(205)는 FA(203)로 등록응답 메시지(RegRep), 암호화된 세션키((SK)sskAAAL-FA), 암호화된 홈 챌린지((SK,HC)sskAAAH-MN)를 보낸다(S215). 마지막으로 FA(203)는 MN(201)로 등록응답 메시지(RegRep), 암호화된 세션키와 홈 챌린지((SK,HC)sskAAAH-MN)를 보냄으로써 흐름이 완성된다. 여기서, ssK는 공유 비밀키(shared secret Key), HC는 Home challenge를, SK는 session key를 각각 의미한 다. 2 shows a form of message exchange between a mobile node and a home agent. First, when the mobile node 201 requests a registration to the FA 203 (S201), the FA 203 requests a registration to the GFA 205 (S203), and the GFA 205 is a regional authentication server (AAAL, 207). AHR (AA-Home-Agent-Request message) is transmitted (S205). The AAAL 207 again sends the AHR to the home authentication server AAAH 209 (S207), and the AAAH 209 sends the AHR back to the HA 210 (S209). In response, the HA 210 sends the AHR to the AAAH (209). In step 209, AHA (AA-Home-Agent-Answer message) is transmitted (S210). The AAAH 209 sends a registration response message (RegRep), an encrypted session key ((SK) sskAAAH-AAAL), an encrypted session key and a home challenge ((SK, HC) sskAAAH-MN) to the AAAL 207. (S211). The AAAL 207 transmits a registration response message (RegRep), an encrypted session key ((SK) sskAAAL-FA), an encrypted session key and a home challenge ((SK, HC) sskAAAH-MN) to the GFA 205. (S213). Subsequently, the GFA 205 sends a registration response message (RegRep), an encrypted session key ((SK) sskAAAL-FA), and an encrypted home challenge ((SK, HC) sskAAAH-MN) to the FA 203 (S215). . Finally, the FA 203 completes the flow by sending a registration response message (RegRep), an encrypted session key and a home challenge ((SK, HC) sskAAAH-MN) to the MN 201. Where ssK stands for shared secret key, HC stands for Home challenge, and SK stands for session key.

도 1과 도 2의 전제하에 도 3에서 도시된 바와 같은 국지적 이동이 있다고 가정한다. 도 3은 이동노드가 접속점을 바꾸는 상황을 나타낸다. 즉 이동노드(140)이 AR3(111)과 접속을 하고 있다가 AR4(113)의 영역으로 이동하여 국지적인 핸드오버가 발생하는 경우이며, AR3과 AR4는 모두 같은 능동망이다(110,120). 대부분의 경우, 전체경로는 큰 변화 없이 일부 경로의 변환만이 요구되고, 본 발명에서는 이를 반영하여 전체경로갱신의 부담을 줄여주게 된다.Assume that there is a local movement as shown in FIG. 3 under the premise of FIG. 1 and FIG. 2. 3 shows a situation in which the mobile node changes the connection point. That is, the mobile node 140 connects to the AR3 111 and then moves to the area of the AR4 113 to generate a local handover. The AR3 and the AR4 are the same active networks (110 and 120). In most cases, only a partial path conversion is required without a large change in the whole path, and the present invention reduces the burden of updating the entire path by reflecting this.

이러한 상황에서 본 발명에 의한 인증이 수행되게 된다. 먼저 이동노드의 이동에 따라 요구되는 인증절차를 수행하기 위해, 지역에서 사용가능한 새로운 인증자(authenticator)가 필요하게 되고, 이는 이동노드의 최초 등록시 홈망에서 생성되어 이후 지역등록을 위해 세션 기간을 통해 지속 사용된다.In this situation, authentication by the present invention is performed. In order to perform the required authentication procedure according to the mobile node's movement, a new authenticator that is available locally is needed, which is created in the home network during initial registration of the mobile node and then through the session duration for local registration. It is used continuously.

본 발명에서 제안하는 새로운 인증자(authenticator)의 형태는 다음과 같다.The new authenticator proposed by the present invention is as follows.

인증자 : h(sskM_AH, HC) SKAuthenticator: h (sskM_AH, HC) SK

여기서, ssK : shared secret(공유비밀키), HC : 홈 챌린지(Home challenge), SK : 세션키(session Key)이다.Here, ssK: shared secret, HC: home challenge, and SK: session key.

이동노드는 지역이동을 감지하였을 때, RA(Router Advertisement)의 prefix로 이를 확인하고, 등록요청 메시지를 망으로 (홈망의 등록 서버를 향해) 전송하면서 위의 인증자를 첨부한다. When the mobile node detects local movement, it checks this by prefix of RA (Router Advertisement), and sends the registration request message to the network (to the registration server of the home network) and attaches the above authenticator.

이를 도 4를 보며 정리하면, 먼저 홈망에서 생성된 상기 인증자를 상기 능동망을 구성하는 각 노드가 수신하여 저장한다(S401). 그리고 이동노드가 상기 능동 망내에서의 지역이동을 감지한 후 등록 요청 메시지를 홈 망의 서버로 송신하면(S403), 상기 이동노드의 등록 요청 메시지를 외부 에이전트(Foreign Agent)를 통하여 수신한 상기 지역 인증 서버가 상기 인증자를 기초로 상기 능동망 내에서 인증과 바인딩 절차를 수행하게 되는 것이다(S405). Referring to FIG. 4, first, each node constituting the active network receives and stores the authenticator generated in the home network (S401). When the mobile node detects local movement in the active network and transmits a registration request message to the server of the home network (S403), the mobile node receives the registration request message of the mobile node through a foreign agent. The authentication server is to perform the authentication and binding procedure in the active network based on the authenticator (S405).

도 5를 참조하여 인증 및 바인딩 절차를 상세하게 살펴보자. 지역 AAA서버는 다음의 절차를 통해서 이동노드를 인증하게 된다.Referring to FIG. 5, the authentication and binding procedure will be described in detail. The local AAA server authenticates the mobile node through the following procedure.

이동노드로부터 등록요청 메시지를 전달받은 새로운 FA는 이동노드에 대하여 패킷전송을 통제하며(S501), 인증을 위해 등록 메시지를 지역 AAA서버로 전송한다(S503). 지역 AAA서버는 우선 세션키를 사용하여 인증자를 복호화한 후. 홈 등록시 홈 AAA서버에게서 받은 h(sskM_AH, HC)을 사용하여 등록메시지의 인증자를 인증하게 된다(S505). 노드의 인증이 성공하면, 인증자를 제외한 등록메시지를 GFA에 전송하여 지역 바인딩 업데이트를 실행한다(S507). 또한, 메시지를 전송한 FA에 대하여 세션키를 분배해준다. 이때에는 지역 인증서버와 FA간의 공유키(sskAAAL-FA)를 사용하여 암호화한다(S509).The new FA receiving the registration request message from the mobile node controls packet transmission for the mobile node (S501), and transmits the registration message to the local AAA server for authentication (S503). The local AAA server first decrypts the authenticator using the session key. At the time of home registration, the authenticator of the registration message is authenticated using h (sskM_AH, HC) received from the home AAA server (S505). If the authentication of the node is successful, the registration message excluding the authenticator is transmitted to the GFA to execute the local binding update (S507). It also distributes the session key to the FA that sent the message. At this time, using a shared key (sskAAAL-FA) between the local authentication server and the FA (S509).

위에서 기술한 지역인증 절차의 수행을 위해서는 지역 AAA서버와 이동노드는 다음의 값을 요구하게 된다.The local AAA server and mobile node require the following values to perform the regional authentication procedure described above.

AAAL : h(sskM_AH, HC), session keyAAAL: h (sskM_AH, HC), session key

MN : HC, session keyMN: HC, session key

위의 값들은 모두 홈 등록시 AAAH에 의해 생성되어 해당 노드로 분배된다. 각각의 파라메터는 해당하는 ssk를 사용하여 암호화한다. 따라서, AAAL과 MN은 HA 에 의해 상호인증할 수 있는 수단을 제공받는다.All the above values are generated by AAAH at home registration and distributed to the node. Each parameter is encrypted using the corresponding ssk. Therefore, AAAL and MN are provided with means to mutually authenticate by HA.

도 6은 도 3에서와 같이 이동노드의 국지적 이동으로 접속점이 바뀌게 될 경우 메시지의 전달절차이다.FIG. 6 is a procedure of delivering a message when the access point changes due to local movement of a mobile node as in FIG. 3.

MN(601)은 FA(603)으로 등록요청 메시지(RegReq), 홈 챌린지 해쉬값(h(sskMN-AAAH,HC))를 송신하고(S601), FA(603)는 AAAL(605)로 등록요청 메시지(RegReq), 홈 챌린지 해쉬값(h(sskMN-AAAH,HC))를 송신한다(S602). 이어서 AAAL(605)는 GFA(607)로 등록요청을 하고(S603), 이에 대응하여 GFA(607)는 등록되었다는 메시지를 보내고(S604), AAAL(605)는 FA(603)으로 암호화된 등록응답 메시지(RegRep)SK, 암호화된 세션키((SK)sskAAAL-FA)를 송신한다(S605). 마지막으로 FA(603)는 MN(601)으로 암호화된 등록응답 메시지(RegRep)SK를 보냄으로써 종료한다(S607).The MN 601 transmits a registration request message (RegReq) and a home challenge hash value (h (sskMN-AAAH, HC)) to the FA 603 (S601), and the FA 603 requests a registration to the AAAL 605. The message RegReq and the home challenge hash value h (sskMN-AAAH, HC) are transmitted (S602). Subsequently, the AAAL 605 makes a registration request to the GFA 607 (S603), and correspondingly, the GFA 607 sends a message indicating that it is registered (S604), and the AAAL 605 sends a registration response encrypted with the FA 603. The message RegRepSK and the encrypted session key (SK) skAAAL-FA are transmitted (S605). Finally, the FA 603 ends by sending an encrypted registration response message (RegRep) SK to the MN 601 (S607).

본 발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD_ROM, 자기테이프, 플로피디스크 및 광데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드로 저장되고 실행될 수 있다. 이상에서와 같이 도면과 명세서에서 최적 실시예가 개시되었다. 여기서 특정한 용어들이 사용되었으나, 이는 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의미한정이나 특허청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것은 아니다. 그러므로 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호 범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.The invention can also be embodied as computer readable code on a computer readable recording medium. The computer-readable recording medium includes all kinds of recording devices in which data that can be read by a computer system is stored. Examples of computer-readable recording media include ROM, RAM, CD_ROM, magnetic tape, floppy disks, and optical data storage, and may also include those implemented in the form of carrier waves (eg, transmission over the Internet). . The computer readable recording medium can also be distributed over network coupled computer systems so that the computer readable code is stored and executed in a distributed fashion. As described above, optimal embodiments have been disclosed in the drawings and the specification. Although specific terms have been used herein, they are used only for the purpose of describing the present invention and are not intended to limit the scope of the invention as defined in the claims or the claims. Therefore, those skilled in the art will understand that various modifications and equivalent other embodiments are possible from this. Therefore, the true technical protection scope of the present invention will be defined by the technical spirit of the appended claims.

이상에서 설명한 바와 같이, 본 발명은 기존의 무선이동망과 AAA구조의 연동모형에서는 취약한 무선구간 보안을 위한 세션 키 생성, 분배에 관한 해법을 제시하였다. 이동노드의 인증의 주체가 되는 홈망의 AAA서버는 세션키를 생성하여 각각의 안전한 방법을 통하여 FA와 MN에게 전달하고, FA-MN간 secret association을 생성하여 취약한 무선구간 보안 문제를 해결하였다. 하지만, 이동성을 두 단계로 나누어 지역망에서의 이동을 따로 관리하면 빠른 핸드오프가 가능하지만, 홈망과의 메시지교환이 없기 때문에 보안상의 문제점을 드러내게 된다. MIP에서는 이동노드의 인증이 홈망에서만 이루어지기 때문에 방문망에서 자체적으로 인증을 수행할 수 있는 메카니즘이 필요하게 되고, 본 발명에서는 그 문제를 해결하였다.As described above, the present invention has proposed a solution for generating and distributing session keys for security of vulnerable wireless sections in an existing interworking model of a wireless mobile network and AAA structure. The AAA server of the home network, which is the subject of mobile node authentication, generates a session key and delivers it to the FA and MN through each secure method, and creates a secret association between FA-MN to solve the weak wireless section security problem. However, if the mobility is divided into two stages to manage the movement in the local network separately, a quick handoff is possible, but the security problem is revealed because there is no message exchange with the home network. In the MIP, since the authentication of the mobile node is performed only on the home network, a mechanism for performing authentication on its own is required. The present invention solves the problem.

본 발명은 향후 이동환경이 적용된 거의 모든 분야에서 적용 가능할 것으로 예상되며, 향후에는 유비쿼터스 컴퓨팅 환경에서도 적용될 수 있다.The present invention is expected to be applicable to almost all fields to which the mobile environment is applied in the future, and may be applied to the ubiquitous computing environment in the future.

Claims (7)

복수의 액세스 라우터(AR), 통신망과 접속하는 게이트웨이 억세스 라우터(GAR), 지역(local) 인증 서버를 포함하는 능동망에서 지역 인증을 수행하는 방법에 있어서,A method of performing local authentication in an active network including a plurality of access routers (ARs), a gateway access router (GAR) for connecting to a communication network, and a local authentication server, (a) 상기 능동망을 구성하는 각 노드가 지역 인증용 인증자를 수신하여 저장하는 단계;(a) receiving and storing a local authenticator for each node constituting the active network; (b) 이동노드가 상기 능동망내에서의 지역이동을 감지한 후 등록 요청 메시지를 홈 망의 서버로 송신하는 단계; 및(b) the mobile node detecting a local movement in the active network and transmitting a registration request message to a server of a home network; And (c) 상기 이동노드의 등록 요청 메시지를 외부 에이전트(Foreign Agent)를 통하여 수신한 상기 지역 인증 서버가 상기 인증자를 기초로 상기 능동망 내에서 인증과 바인딩 절차를 수행하는 단계;를 포함하는 것을 특징으로 하는 이동 능동망 환경에서 국지적 이동성을 지원하는 지역 인증 방법.(c) the local authentication server receiving the registration request message of the mobile node through a foreign agent and performing an authentication and binding procedure in the active network based on the authenticator; Local authentication method for supporting local mobility in mobile active network environment. 제1항에 있어서, 상기 인증자는The method of claim 1, wherein the authenticator 상기 이동단말이 최초 등록될 때 홈망의 인증서버에서 생성되는 것을 특징으로 하는 이동 능동망 환경에서 국지적 이동성을 지원하는 지역 인증 방법.Local authentication method for supporting local mobility in a mobile active network environment, characterized in that generated in the authentication server of the home network when the mobile terminal is initially registered. 제2항에 있어서, 상기 인증자는The method of claim 2, wherein the authenticator 상기 홈망의 인증서버가 sskM_AH, 홈 챌린지값을 포함하는 값을 인자로 하여 생성하는 것을 특징으로 하는 이동 능동망 환경에서 국지적 이동성을 지원하는 지역 인증 방법.Local authentication method for supporting local mobility in the mobile active network environment, characterized in that the authentication server of the home network to generate a value including the sskM_AH, home challenge value as a factor. 제1항에 있어서, 상기 (b)단계는The method of claim 1, wherein step (b) 상기 이동노드가 RA(Router Advertisement)의 prefix로 지역이동을 감지하고, 상기 인증자를 첨부하여 상기 등록 요청 메시지를 생성하는 것을 특징으로 하는 이동 능동망 환경에서 국지적 이동성을 지원하는 지역 인증 방법.And the mobile node detects local movement as a prefix of a router advertisement, and generates the registration request message by attaching the authenticator to support local mobility in a mobile active network environment. 제1항에 있어서, 상기 (c)단계는The method of claim 1, wherein step (c) (c1) 외부 에이전트가 상기 이동노드로부터 등록 요청 메시지를 수신하는 단계;(c1) receiving, by an external agent, a registration request message from the mobile node; (c2) 상기 외부 에이전트가 지역 인증 서버로 상기 이동노드에 대한 등록을 요청하는 단계;(c2) the foreign agent requesting registration of the mobile node to a local authentication server; (c3) 상기 지역 인증 서버가 세션키를 기초로 상기 인증자를 복호하여 상기 인증자를 인증하는 단계;(c3) the local authentication server decrypting the authenticator based on a session key to authenticate the authenticator; (c4) 인증이 성공하면 상기 인증자를 제외한 등록 메시지를 게이트웨이 외부 에이전트(GFA; Gateway Foreign Agent)로 전송하여 지역 바인딩 업데이트를 실행하는 단계; 및(c4) if the authentication is successful, transmitting a registration message excluding the authenticator to a gateway foreign agent (GFA) to execute local binding update; And (c5) 상기 외부 에이전트에 대하여 세션키를 분배하는 단계;를 포함하는 것을 특징으로 하는 이동 능동망 환경에서 국지적 이동성을 지원하는 지역 인증 방 법.(c5) distributing a session key to the foreign agent; a local authentication method for supporting local mobility in a mobile active network environment. 제4항에 있어서, 상기 (c5)단계는The method of claim 4, wherein step (c5) 상기 세션키를 sskAAL-FA를 기초로 암호하여 분배하는 것을 특징으로 하는 이동 능동망 환경에서 국지적 이동성을 지원하는 지역 인증 방법.Local authentication method for supporting local mobility in a mobile active network environment, characterized in that the session key is encrypted and distributed based on sskAAL-FA. 복수의 액세스 라우터(AR), 통신망과 접속하는 게이트웨이 억세스 라우터(GAR), 지역(local) 인증 서버를 포함하는 능동망에서 지역 인증을 수행하는 방법에 있어서,A method of performing local authentication in an active network including a plurality of access routers (ARs), a gateway access router (GAR) for connecting to a communication network, and a local authentication server, (a) 액티브 노드의 지역 인증용 인증자를 상기 능동망을 구성하는 노드들이 수신하는 단계;(a) receiving, by nodes constituting the active network, an authenticator for local authentication of an active node; (b) 이동노드가 지역이동을 감지한 후 등록 요청 메시지를 홈 망의 서버로 송신하는 단계; 및(b) transmitting a registration request message to a server of a home network after the mobile node detects local movement; And (c) 상기 이동노드의 등록 요청 메시지를 외부 에이전트를 통하여 수신한 지역 인증 서버가 상기 인증자에 의한 인증을 수행하여 이동망 내에서 인증과 바인딩 절차를 수행하는 단계;를 포함하는 것을 특징으로 하는 이동 능동망 환경에서 국지적 이동성을 지원하는 지역 인증 방법을 컴퓨터에서 실행시킬 수 있는 프로그램을 기록한 컴퓨터가 읽을 수 있는 기록매체.(c) a local authentication server receiving the registration request message of the mobile node through an external agent, performing authentication and binding in a mobile network by performing authentication by the authenticator; A computer-readable recording medium that records a program capable of executing a local authentication method on a computer that supports local mobility in an active network environment.
KR1020060122632A 2005-12-14 2006-12-05 Local Authentication Method Supporting Local Mobility in a Mobile Active Network Environment KR100875918B1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20050123416 2005-12-14
KR1020050123416 2005-12-14

Publications (2)

Publication Number Publication Date
KR20070063416A true KR20070063416A (en) 2007-06-19
KR100875918B1 KR100875918B1 (en) 2008-12-26

Family

ID=38363457

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060122632A KR100875918B1 (en) 2005-12-14 2006-12-05 Local Authentication Method Supporting Local Mobility in a Mobile Active Network Environment

Country Status (1)

Country Link
KR (1) KR100875918B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009151258A3 (en) * 2008-06-13 2010-03-11 Samsung Electronics Co., Ltd. Method for ue handover between home node bs

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7245917B2 (en) 2003-09-08 2007-07-17 Research Foundation Of The State University Of New York System and method for IP handoff

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009151258A3 (en) * 2008-06-13 2010-03-11 Samsung Electronics Co., Ltd. Method for ue handover between home node bs

Also Published As

Publication number Publication date
KR100875918B1 (en) 2008-12-26

Similar Documents

Publication Publication Date Title
CN101297515B (en) EAP/SIM authentication for mobile IP to leverage GSM/SIM authentication infrastructure
US9197615B2 (en) Method and system for providing access-specific key
US7885410B1 (en) Wireless security system and method
JP5204219B2 (en) Method and apparatus for providing a proxy mobile key hierarchy in a wireless communication network
BRPI0616310A2 (en) Methods and equipment for using state transfer furniture
US7639802B2 (en) Methods and apparatus for bootstrapping Mobile-Foreign and Foreign-Home authentication keys in Mobile IP
US8289929B2 (en) Method and apparatus for enabling mobility in mobile IP based wireless communication systems
EP1771996A1 (en) Methods and apparatus for achieving route optimization and location privacy in an ipv6 network
US20110002465A1 (en) Integrated handover authenticating method for next generation network (ngn) with wireless access technologies and mobile ip based mobility control
WO2007004208A1 (en) Transfer of secure communication sessions between wireless networks access points
Lee et al. Secure handover for Proxy Mobile IPv6 in next‐generation communications: scenarios and performance
KR100875918B1 (en) Local Authentication Method Supporting Local Mobility in a Mobile Active Network Environment
Compagno et al. An ICN-based authentication protocol for a simplified LTE architecture
CN114946153A (en) Method, device and system for application key generation and management in a communication network in encrypted communication with a service application
You et al. ESS-FH: Enhanced security scheme for fast handover in hierarchical mobile IPv6
Imran et al. A secure and efficient cluster-based authentication scheme for Internet of Things (IoTs)
Mathi et al. Integrating dynamic architecture with distributed mobility management to optimize route in next generation internet protocol mobility
Qiu et al. A pmipv6-based secured mobility scheme for 6lowpan
CN102869000B (en) Certificate authorization method of separation-mechanism mobile management system
US9871793B2 (en) Diameter signaling for mobile IPv4
CN101051893B (en) Movable key generating and distributing method
CN101179845B (en) Key management method and system between local proxy and foreign proxy
Rai et al. A secure framework for integrated manet-internet communication
Chen et al. An efficient MIPv6 return routability scheme based on geometric computing
KR100670790B1 (en) Method for distributing IPsec SA via AAA infrastructure in mobile IPv6 environment

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20121129

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20130730

Year of fee payment: 18