KR20070106496A - 리턴 라우터빌리티의 최적화 - Google Patents

리턴 라우터빌리티의 최적화 Download PDF

Info

Publication number
KR20070106496A
KR20070106496A KR1020077007807A KR20077007807A KR20070106496A KR 20070106496 A KR20070106496 A KR 20070106496A KR 1020077007807 A KR1020077007807 A KR 1020077007807A KR 20077007807 A KR20077007807 A KR 20077007807A KR 20070106496 A KR20070106496 A KR 20070106496A
Authority
KR
South Korea
Prior art keywords
address
mobile node
node
certificate
signaling
Prior art date
Application number
KR1020077007807A
Other languages
English (en)
Inventor
암마드 아크람
마키스 카사피디스
Original Assignee
마쓰시타 일렉트릭 인더스트리얼 코우.,엘티디.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 마쓰시타 일렉트릭 인더스트리얼 코우.,엘티디. filed Critical 마쓰시타 일렉트릭 인더스트리얼 코우.,엘티디.
Priority to KR1020077007807A priority Critical patent/KR20070106496A/ko
Publication of KR20070106496A publication Critical patent/KR20070106496A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/26Network addressing or numbering for mobility support
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 첫 번째 주소(address)로부터 두 번째 주소로 가상사설망(Virtual Private Network, VPN) 터널 종료점(termination point)의 스위칭(switching)을 관리하는 방법에 관한 것이다. VPN은 종료점을 규정을 하는 이동 노드와 고정된 네트워크 노드 사이에서 작동한다. 이동 노드의 주소는 첫 번째 주소로부터 두 번째 주소로 스위치되며, 이동 노드로부터 고정된 노드로의 통지(notification)는 이동주소(mobile address)가 첫 번째 주소로부터 두 번째 주소로 변경되어진 것을 나타내도록 보내진다. 다음으로 두 번째 주소의 신뢰도(trustworthiness)의 검증(verification)이 이루어진다. 이러한 방법을 수행하기 위한 서치 매니저(searching manager) 또한 개시되어진다.

Description

리턴 라우터빌리티의 최적화{RETURN ROUTABILITY OPTIMISATION}
본 발명은 이동통신(mobile communication)에 관한 것이며, 더욱 상세하게는 가상사설망(Virtual Private Network, VPN) 터널(tunnel)의 스위칭(switching) 동안 RR(Return Routability)를 최적화(optimising)하는 방법에 관한 것이다.
도 1은 비보안 공중 인터넷(insecure public Internet, I)에 걸쳐서 IPSec(Internet Protocol Security Protocol) 보호된 터널 VPNT1 또는 VPNT2를 통해서 보안 게이트웨이(security gateway, SGW)를 경유해서 그 기업 네트워크로 다시 연결되는, 범용 패킷 무선 서비스(GPRS, General Packet Radio Service)와 IEEE802.11 무선 LAN(WLAN)을 가진 다중홈 휴대가능 전화와 같은 이동노드(MN, Mobile Node)를 로밍(roaming)하는 실례를 도시한다. 이동노드(MN)는 그 기업 네트워크 내의 정보로 접근하도록 IPSec 터널을 이용할 수도 있거나, 또는 예를 들어 가정용 방화벽(home firewall)과 같이 기업 네트워크 보안 게이트웨이(SGW)에 의해서 제공된 보안 서비스를 이용하도록 외부 트래픽(external traffic)으로 돌아간 터널일 수도 있다.
첫 번째 경우에 있어서, 이동노드(Mobile Node, MN)는 GPRS 인터페이스와 관련된 IP 주소(IP1) 자체를 설정하거나 또는 할당되어진 외부 네트워크(foreign network) FN1으로 로밍(roam)된다. 데이터 트래픽(data traffic)이 안전하게 통과할 수 있는 IPSec 터널(tunnel) VPNT1을 설정하도록, 이동 노드 MN(IP1)과 보안 게이트웨이(security gateway, SGW)는 IKE(Internet Key Exchange) 시그널링(signalling)과 관련된다. 이러한 복잡한 단계는 이동노드 MN(IP1)과 보안 게이트웨이(SGW)가 상호 인증(authentication)을 수행한 이후에, IKE SA(IKE Security Association)의 생성을 포함한다. IPSec 터널(VPN 연결)을 형성하는 SA(Security Association)는 IKE SA의 보호하에 생성되어진다.
이동성(mobility)으로 인해서, 이동노드(MN)는 첫 번째 외부 네트워크(FN1)로부터 연결해제되고, 이동노드(MN)가 GPRS 인터페이스 상의 새로운 또는 추가적인 IP 주소(IP2)로 할당되거나 또는 설정하는 두 번째 외부 네트워크(FN2)로 그 자체가 부착되어진다(단계 s1). 대안적으로, 이동성(mobility)은 이동노드(MN)가 GPRS 및 WLAN 인터페이스 상에서 각각 IP 주소 IP1 및 IP2를 모두를 동시에 지지하는 결과가 되는 두 번째 외부 네트워크(FN2)에서 GPRS 및 WLAN 모두의 적용범위 하에서 나오는 이동노드(MN)의 결과가 되도록 한다. 첫 번째 경우에 있어서, 이동노드(MN)는 IP 주소의 변경에 상관없이 보안 게이트웨이(SGW)에 VPN 연결을 유지하고자 하나, 두 번째 경우에 있어서, 이동노드(MN)는 가장 효과적으로 이용가능한 연결을 이용하고자 한다. 양자의 경우에 있어서, 이동노드(MN)는 보안 게이트웨이(SGW) 및 두 번째 IP 주소(IP2) 사이에서 VPN 연결을 재편성(reform)할 수도 있고, 번잡한 프로세스는 사용자 인터액션(user interaction)을 필요로 할 수 있다.
IETF(Internet Engineering Task Force) MOBIKE(IKEv2 Mobility and Multihoming) 워킹그룹(working group)에 의해서 조사된 새로운 접근은, 이동 노드의 업데이트된 주소에 대해서 보안 게이트웨이 피어(security gateway peer)를 통지하고, IP1으로부터 IP2로의 VPN 연결의 스위칭(switching)을 유효하게 하도록 이동 노드가 명시적 시그널링(explicit signalling)을 이용하는 것이다. IP 주소 사이의 VPN 연결의 스위칭은 이동 노드를 위하여 의도된 데이터의 효과적인 방향-변경(re-direction)이다. 이러한 접근이 가지는 문제점은, 유효 피어(peer)가 더 큰 양의 트래픽을 가진 피해(victim)를 플러딩(flooding)하는 의도를 가진 일부 제3자(third party)로 그 트래픽을 방향변경하는, 소위 “제3자 폭파(third party bombing)” 또는 “서비스 거부(DoS, denial of service) 공격”을 개시하도록 이용되어질 수 있다는 것이다.
이동 노드와 보안 게이트웨이 사이의 IKE SA(Security Association)은, 시그널링(signalling)이 인증된 소스(authenticated source)로부터 나오는 것을 보안 게이트웨이가 알도록 보안 게이트웨이에 이동 노드의 새로운 주소를 통지하도록, 명시적 MOBIKE 시그널링(signalling)을 보호한다. 그러나 보안 게이트웨이는 업데 이트 시그널링(update signalling) 내에 담긴 IP 주소가 이동노드에 속하며, 새로운 주소로 어떠한 차후의 방향변경(re-direction)이 제3자 폭발 공격(third party bombing attack)의 결과가 되지 않도록 확실히 하는 것이 여전히 필요하다.
MOBIKE 프로토콜의 일부로서, 이동노드가 MOBIKE 업데이트 페이로드(payload 내에서 가져오는 요청된 주소(claimed address)에 도달가능한 것을 보장하도록 RR(Return Routability) 테스트를 수행하는 것이 제시되어진다. RR(Return Routability) 테스트는 DPD(Dead-Peer-Detection)의 라인을 따라서 제시되어지는데, 여기서 피어(peer)는 비어있는 정보 패킷(informational packet)을 교환한다. 적절한 변형(modification)이 업데이트된 주소에 대한 DPD 테스트가 실패한다면 IKE SA가 삭제되지 않도록 보장하는 것이 요구되어진다.
RR/DPD 테스트는 몇 가지 문제점들을 가지고 있다. 현재 IKEv2 DPD 절차 내에서, 악의적(malicious)인 것으로 된 실제 인증된 노드(real authenticated node)가 요청 패킷(request packet)을 처리함이 없이 DPD 테스트 패킷에 응답하는 것이 가능하다. IKE 응답기(responder)에 의해서 복귀되어진 요청된 IP 주소에 연결된 쿠키(cookie) 또는 비표(nonce)를 이니시에이터(initiator)가 삽입하여야만 하도록 DPD에 보강이 요구되어진다. 1의 윈도우 크기로써 IKEv2 실행(implementation)은 DPD 테스트를 금지하게 되나, 일부 다른 IKEv2 교환은 개시된다. 추가적으로, RR/DPD는 절차의 실행과 관련된 왕복지연(round trip delay)으로 인하여 데이터 방 향변경(data re-direction)을 지연시킬 수 있다.
이동노드가 RR/DPD의 시그널링 오버헤드(signalling overhead)를 초래하지 않고 보안 게이트웨이에 요청된 IP주소의 소유권(ownership)을 주장하는 대안적인 메커니즘을 가지도록 하는 것이 장점적이다.
본 발명은 DHCP(Dynamic Host Configuration Protocol) 설정과 같은 상태보전 설정(stateful configuration) 및 상태 비보존형 주소 설정(stateless address configuration) 모두를 통해서 이동노드에 할당되어지는 요청된 IP 주소의 이동노드 소유권(ownership)을 확인할 때 RR/DPD 프로세스에 의해 부과되는 지연(delay) 및 신호 오버헤드(signalling overhead)를 제거하고자 한다.
본 발명에 따르면, 첫 번째 주소로부터 두 번째 주소로 가상 사설망(VPN, Virtual Private Network) 터널 종결점(termination point)의 스위칭(switching)을 관리하는 방법이 제공되는데, VPN은 종결점을 한정하는 이동노드와 고정된 네트워크 노드 사이에서 작동하며, 상기 방법은,
첫 번째 주소(address)로부터 두 번째 주소로 이동노드의 주소를 스위칭(switching)하는 단계와,
이동노드의 주소가 첫 번째 주소로부터 두 번째 주소로 변경되어지는 것을 이동노드로부터 고정된 네트워크 노드로 통지(notification)를 보내는 단계와,
두 번째 주소가 제3자에게 속하지 않는 것이 신뢰될 수 있는 주소인 것을 통지(notification)로부터 검증(verifying)하는 단계로 이루어지는 것을 특징으로 한다.
본 발명에 따르면, 가상 가설망(VPN) 터널 종결점 스위칭 매니저(switching manager)가 제공되는데, 상기 스위칭 매니저는,
VPN이 종결점(termination point)을 한정하는 이동노드와 고정된 네트워크 노드 사이에서 작동하며, 첫 번째 주소로부터 두 번째 주소로 VPN의 종결점을 사용시에 스위치(switch)하도록 배열되어진 스위칭 수단(switching means)과,
이동노드의 주소가 첫 번째 주소로부터 두 번째 주소로 변화되어지는 것을 이동노드로부터 고정된 네트워크 노드로 사용시에 통지(notification)를 보내도록 배열되어진 통지 전송 수단(notification sending means)과, 그리고
두 번째 주소가 제3자에서 속하지 않는 것으로 신뢰되어지는 것을 사용시에 통지(notification)로부터 검증하도록 배열되어지는 검증수단(verification means)을 포함한다.
본 발명은 이동노드가 사용되어지도록 요청하는 새로운 주소가 원치않는 트래픽(traffic)으로써 목표되는 제3자에게 속할 수 없는 것을 고정된 네트워크가 신뢰할 수 있는 시스템을 제공하는 것이다. 결과적으로 이동노드가 실제로 요청된 주소에 있는지를 입증하도록 이용되어지는 RR(Return Routability) 또는 DPD(Dead Peer Detection)을 채택할 필요가 없게 된다. 그 대신에, 새로운 주소에 대한 데이터 트래픽(data traffic)은 즉시 개시되어지고, 따라서 지연(delay)을 감소시킨다.
상태보존형(stateful) 및 상태 비보존형(stateless) 주소설정을 위한 본 발명의 실례는 참조번호가 표기되어지는 부분들을 가진 첨부된 도면들을 참조로 하여 기술되어진다.
도 1은 두 개의 네트워크 사이에서 이동하는 결과로서 보안 게이트웨이(security gateway)에 VPN 연결의 개시를 변경하는 이동 노드(mobile node)를 개략적으로 도시한 모습
도 2는 상태보존형 주소설정(Stateful Address Configuration)의 경우에서 VPN 연결의 개시를 유지하는데 요구되는 신호 흐름 다이어그램(signal flow diagram)의 단계 1 내지 단계 10을 도시한 모습
도 3은 상태 비보존형 주소설정(Stateless Address Configuration)의 경우에서 VPN 연결의 개시를 유지하는데 요구되는 신호 흐름 다이어그램의 단계 1 내지 단계 7을 도시한 모습
상태보존형 주소설정(stateful address configuration)의 경우에 명시적 MOBIKE 업데이트 시그널링(signalling)의 결과로서 두 개의 네트워크 사이의 VPN 터널 스위칭(switching)을 완료하는 프로세스는 도 2에서 타이밍(timing)이 도시된 다수의 분리된 단계들로 발생한다.
상태보존형 설정(stateful configuration)의 실례는 클라이언트/서버 프로토콜인 DHCP에 의한 것이며, DHCP 서버는 데이터베이스로부터 임시 베이시스(temporary basis) 상의 IP주소 할당(allocation)을 포함하는 클라이언트 장치의 상태보존형 설정을 제공한다. 대안적으로, 상태보존형 설정은 자동설정(autoconfiguration)에 의할 수도 있다. 도 1의 실례에서, 각각의 외부 네트워크 FN1과 FN2는 VPN 터널 VPNT1 및 VPNT2의 종결점(terminating point)로서 사용되어지도록 이동노드 MN으로 주소 IP1과 IP2를 할당하는 DHCP 서버를 포함할 수 있다. 본 발명의 기본 개념은 보안 게이트웨이를 가진 IKE SA의 생성에서 사용되어지는 것과 동일한 식별(identity)을 이용하여 DHCP 서버로부터 IP 주소를 요청하는 이동노드로써 시작한다. 그 응답(response)에서 주소를 할당할 때, DHCP 서버는 식별(identity)과 할당된 주소를 결합하는 이동노드에 인증서(certificate)를 추가적으로 제공한다. 요청된 업데이트 주소가 이동노드에 실제로 할당되어지고 의심하지 않는 피해(unsuspecting victim)에 속하지 않는 것을 보안 게이트웨이에 확신(confidence)을 제공하도록, 인증서는 이동노드와 보안 게이트웨이 사이의 모든 MOBIKE 업데이트 시그널링(signalling) 내에서 포함되어질 수 있다. 따라서, RR/DPD 테스트를 수행하지 않고서도 보안(security)은 하나의 IP 주소로부터 다른 주소로 데이터를 방향변경할 수 있다.
상태보존형 주소설정(stateful address configuration)의 경우에 두 개의 네트워크 사이의 VPN 터널 스위칭의 프로세스가 다음에서 상세하게 기술되며, 외부 네트워크(foreign network) FN1의 이동노드(MN)와 보안 게이트웨이(SGW) 사이의 VPN 터널의 동적 생성(dynamic creation)이 시작된다.
첫 번째 단계 1은 IKE 위상 일 메시지 교환이다. 보안 게이트웨이(SGW)와 이동노드(MN)는 식별(Identity) IDsgw를 이용한 보안 게이트웨이 SGW와 식별(identity) IDmn을 이용한 이동노드 MN 사이의 상호 인증(authentication)을 위하여 사용된 보안 교섭 채널(secure negotiation channel)인 IKE SA를 설정하도록, IKE 프로토콜을 실행한다. IKE 또는 IKEv2 중 어느 것이 실행되는지에 따라서, 이러한 특별한 단계는 대략 4-6 메시지들의 교환을 일반적으로 포함한다.
두 번째 단계 2에서, IKE SA는 VPN 셋업을 보호한다. IKE SA는 한 쌍의 단방향 IPSec SAs를 설정하는 시그널링(signalling)을 보호하도록 사용되어진다. IPSec SAs들은 AH(Authentication Header)/ESP(Encapsulating Security Protocol) 인증(authentication)/암호화(encryption) 방법과 같은 VPN 터널을 위한 특정 IPSec 파라미터의 실제 교섭(actual negotiation)이다. 이러한 단계는 다른 2-4 메시지의 교환을 일반적으로 포함한다.
세 번째 단계 3에서, VPN 터널 VPNT1이 외부 네트워크 FN1을 통해서 이동노드(MN)로 셋업되어진다. IPSec SA는 IP 주소/포트와 같은 트래픽 선택기(traffic selector)와 관련되어진다. 출발패킷(outbound packet)을 위하여, 목적지 주소/포트와 일치하는 모든 패킷들은 관련 IPSec SA의 보호가 주어지며, 이러한 경우는 주소 IP1에서 이동노드 MN에 암호화된 패킷의 포워딩(forwarding)의 결과로 된다.
네 번째 단계 4는 네트워크 이동성으로 인해서 FN1에서 FN2로 네트워크를 변경하는 이동노드(MN)이다. 이러한 것은 네트워크 접속(network attachment)의 새로운 지점 상에서 사용되어질 수 있는 새로운 주소를 설정하도록 이동노드 MN를 필요로 한다. 이동노드 MN은 로컬 DHCP 서버 DHCPS의 보조로써 상태보존형 주소설정을 겪는 것을 가정할 수 있다.
다섯 번째 단계 5에서, 이동노드 MN는 링크-로컬 IPv6 주소를 이용하여, 이용가능한 DHCP 서버 DHCPS를 위치시키도록 멀티캐스트 DHCP 솔리시트 메시지(Solicit message)를 보낸다. 이동노드 MN는 DHCP 서버가 주소설정 정보(address configuration information)를 제공하고, 이동노드 MN에 의해서 사용된 식별(identity)에 할당된 주소 정보를 결합하는 인증서(certificate)를 추가적으로 제공하는 요구를 전개한다.
여섯 번째 단계 6에서, 이동노드의 요구조건을 충족시킬 수 있는 모든 서버 DHCPS는 방송 메시지(Advertise message)와 응답한다.
일곱 번째 단계 7에서, 이동노드(MN)는 서버 DHCPS들 중 하나를 선택하고 IKE SA를 생성할 때 보안 게이트웨이(SGW)로 제공되는 것과 동일한 식별(identity) IDmn을 이용하여, 주소의 확인된 할당(assignment)과 다른 설정 정보(configuration information)를 요청하는 서버 DHCPS로 요청 메시지(request message)를 보낸다. 다른 모든 DHCP 클라이언트와 같이, 이동노드(MN)는 DHCPv6 규격(specification)의 범위를 넘는 것으로 고려되어진 대역외 메커니즘(out-of-band mechanism)을 통해서 이동노드(MN)와 DHCP 서버 DHCPS 모두로 분배되어진 한 세트의 키(key)를 가진다. 교환된 키(key)들은 다른 피어(peer)로 DHCP 메시지의 콘텐츠(content)와 소스(source)의 인증(authentication)을 제공하도록 사용되어진다. 전달 피어(transmitting peer)는, 수신 피어(receiving peer)에 의해서 정확하게 재생되어지면 오리지널 DHCP 메시지가 전송시에 변형되지 않는 것을 확인하는 DHCP 메시지로부터 키(keyed) HMAC-MD5 해쉬(hash)를 계산한다.
여덟 번째 단계 8은 서버 DHCPS가 이동노드(MN)를 위한 설정과 확인된 주소 IP2를 담고있는 응답 메시지(reply message)와 응답하는 것이다. DHCP 서버로부터 응답 메시지의 완결성(integrity)은 키(keyed) HMAC-MD5 해쉬(hash)의 사용에 의해 서 보호되어진다.
이동노드(MN)로 제공되는 인증서(certificate)의 콘텐츠는, 이동노드(MN)에 할당된 IP 주소, IKE SA 셋업에서 사용된 바와 같은 이동노드(MN)의 식별(identity), DHCP 서버 DHCPS가 IP 주소와 주소의 수명(lifetime)이 할당되어질 때를 나타내는 타임스탬프(timestamp), DHCP 서버 공개 키(public key), DHCP에 의한 서명(signature) 및 DHCP 인증서(certificate)이다. DHCP 서버는 이동노드(MN) 식별(identity)을 가진 타임스탬프와 할당된 주소 사이의 결합(binding)을 제공하는 개인 키(private key)로써 인증에 서명한다. 제3자(third party)는 인증서(certificate) 내에 포함되어진 DHCP 서버 공개 키(public key)를 이용하여 이러한 결합(binding)을 입증할 수 있다. 인증서는 DHCP 서버 DHCPS에 의해서 제공된 공개 키가 DHCP서버 DHCPS에 실제로 속하는 것을 입증하는 다른 인증서를 포함하기도 한다. 전형적으로, 보안 게이트웨이 SGW 및 DHCP 서버 DHCPS 모두에 의해 신뢰된 제3자(third party)는 상기 두 번째 인증서에 서명한다. 추가적인 시그널링(signalling)과 관련되는 대안적인 방법은 보안 게이트웨이 SGW가 DHCP 서버 식별(identity)로써 제공될 때 PKI(Public Key Infrastructure)를 이용하여 DHCP 공개 키를 추출하는 것이다.
아홉 번째 단계 9에서, VPN 터널을 IP1로부터 IP2로 교환하도록 이동노드 MN은 새로운 네트워크 FN2로부터 MOBIKE 업데이트 시그널링 요청(signalling request)을 발행한다. DHCP 인증서는 이러한 메시지로 삽입되어진다. 보안 게이트웨이 SGW는, 이동노드 MN에 의해서 보고되어지는 새로운 주소가 DHCP서버 DHCPS에 의해서 MN 식별 IDmn으로 실제로 할당되어지는 것을 입증하도록 DHCP서버 공개 키를 이용한다.
마지막 단계 10은 이동노드 MN이 외부 네트워크 FN2를 통해서 수정된 VNP 터널 VNPT2를 통해 데이터를 수신하도록 하는 것이다. 보안 게이트웨이 SGW는 방향변경(re-direction)이 의심하지 않는 피해(unsuspecting victim)로 서비스 거부(denial of service)가 야기되지 않도록 하는 것을 인식하면서, 이동노드 MN에 대한 데이터를 새로운 주소 IP2로 방향변경(re-direct)할 수 있다. 보안 게이트웨이 SGW는 업데이트된 주소의 승인을 확인하도록 이동노드 MN으로 인증 메시지(acknowledge message)를 복귀(return)시킨다. DHCP 인증서는 방향변경이 효과를 발휘하기 이전에 보안 게이트웨이 SGW가 RR/DPD 테스트를 수행하도록 하는 필요성을 제거시킨다.
상태 비보존형 주소 설정(stateless address configuration)의 경우에 명시적 MOBIKE 업데이트 시그널링(signalling)의 결과로서 두 개의 네트워크 사이에서 VPN 터널 스위칭을 완료하는 프로세스(process)는 그 타이밍(timing)이 도 3에서 도시된 다수의 분리된 단계(step)들로 발생한다.
상태 비보존형 주소 설정(stateless address configuration)은 국부적으로 이용가능한 정보(information)와 액세스 라우터(access router)에 의해서 통지된 정보의 조합(combination)을 이용하여 호스트(host)가 그 자체의 주소를 생성할 수 있도록 한다. 액세스 라우터는 링크(link)와 관련된 서브네트(subnet)를 식별하는 프리픽스(prefix)를 통지하나, 노드(node)들은 서브네트 상의 인터페이스(interface)를 특이하게 식별하는 링크 로컬 주소(link local address)를 생성한다. 링크 로컬 주소가 고유(unique)한 것으로, 즉 링크 상의 다른 노드에 의해서 이미 사용되지 않은 것으로 판명되어진 이후에, 글로벌 라우터블 주소(globally routable address)는 링크 로컬 주소와 서브네트 프리픽스(prefix)의 조합에 의해서 형성되어진다. 상태 비보존형 주소 설정(stateless address configuration)에 대한 본 발명의 기본 개념은 이동노드(mobile node)가 패킷(packet)을 송출하는데 소스주소(source address)로서 제3자(third party)에 의한 사용을 위해 매우 설정될 것 같지 않은 주소를 이용하는 것이다. CGA(Cryptographically Generated Addresses)를 이용하는 프로세스는 이동노드에 의해서 설정된 주소를 보유하고 있는 암호키(cryptographic key)와 결합하는 기술이다. CGA 개념은 주소 생성 프로세스(address generation process)에서 포함되기 위하여 이동노드와 보안 게이트웨이 사이에서 사전동의(pre-agreed) 파라미터(parameter)의 이용에 의해 본 발명에서 확장되어진다. 이러한 것은 보안 게이트웨이에 이동노드가 소스주소로 의도된 데이터의 방향변경(re-direction)이 다른 의심하지 않은 노드로의 서비스 거부 공격(denial of service attack)으로 될 것 같지 않다는 추가적인 신뢰를 제공한다.
상태 비보존형 주소 설정의 경우에서 VPN 터널 스위칭을 완료하는 프로세스는 다음에서 상세하게 기술되어진다.
도 2의 상태 보존형 실례(stateful example)와 공통되는 첫 번째 단계 1은 IKE SA를 설정한다. 추가적으로, 보안 게이트웨이 SGW는 이동노드의 공개 키(public key)의 소유로 되며, CGA 프로세스에서 포함되어지는 파라미터(parameter) 에 동의(agreement)가 이르게 된다. 이러한 것은 8-비트 충돌 카운터(collision counter) 및 128-비트 보조 파라미터(auxiliary parameter)를 포함한다. 현재 128 랜덤 선택 비트들은 보조 파라미터를 위하여 제시되어진다. 그러나 다른 파라미터들도 이용되어질 수도 있다. 본 발명에 있어서, 보조 파라미터를 위한 하나의 옵션은 이동노드 NM과 보안 게이트웨이 SGW가 고정된 세트의 128-비트에 동의하는 것이다. 다른 옵션은 이동노드 MN와 보안 게이트웨이 SGW가 IKE SA 및 IPSec SA의 생성동안 유도되는 키 재료(keying material)의 섹션들이 보조 파라미터로서 사용되어지는 것에 동의한다. 전형적으로, IKE SA 키이 재료는 각각의 IPSec SA 쌍들을 위한 추가적인 4 키를 가진 5 키로 구성된다. 하나의 IKE SA 하에 다중 IPSec 쌍들이 있을 수도 있다.
두 번째 단계 2, 세 번째 단계 3 그리고 네 번째 단계들은 도 2의 상태 보존형 실례와 동일하다. 이동성으로 인해서 이동노드 MN가 네트워크를 변경시키기 전 에 VPN 터널은 보안 게이트웨이 SGW와 이동노드 MN 사이에서 생성되어진다.
다섯 번째 단계 5a는 새로운 네트워크 FN2 상의 액세스 라우터(AR, Access Router)로부터 RA(Router Advertisement)가 글로벌 라우터블 주소를 설정하도록 사용되어질 수 있는 유효 프리픽스(prefix) 상의 정보를 이동노드 MN에 제공하도록 하는 것이다.
CGA 절차와 관련하여 해쉬함수(hash function)의 사용으로써 대역주소(global address)를 생성하도록, 이동노드 MN은 IKE/IPSec SA 키 재료로부터 사전 동의된 개수의 비트(bit)와, 사전동의된 충돌 카운터(collision counter)와, 그 공개 키(public key)와 통지된 프리픽스(prefix)를 이용한다. 이동노드 MN는 예를 들어 DAD(Duplicate Address Detection)와 같은 상태 비보존형 설정과 관련된 모든 인접 발견 함수(neighbour discovery function)를 종결한 이후에, 새롭게 설정된 CGA 주소를 이용하여 새로운 외부 네트워크(foreign network) FN2로부터 보안 게이트웨이 SGW로 보내기를 원하는 다음 패킷(packet)의 페이로드(payload)를 처리한다.
여섯 번째 단계 6a는 보안 게이트웨이 SGW가 CGA 소스 주소를 이용하여 새로운 외부 네트워크 FN2로부터 패킷(packet)을 보내는 것을 시작하는 것이다. 보안 게이트웨이 SGW는 예상 소스 주소(source address)와 다른 소스 주소를 가진 첫 번 째 패킷(packet)을 수신하며, 소스 주소가 이동 노드의 공개 키와 사전 동의된 값들을 이용하여 생성된 CGA 주소임을 입증한다. 다음으로, 보안 게이트웨이 SGW는 터널 외부 주소(tunnel outer address)의 종속성을 제거하고 정확한 IPSec SA를 위치시키는데 보안 파라미터 색인(SPI, Security Parameter Index)을 간단하게 이용한다.
일곱 번째 단계 7a에서, 이동노드 MN는 새로운 외부 네트워크 FN2를 경유해서 변형된 VPN 터널 VPNT2를 통해서 데이터를 수신한다. CGA 주소의 성공적인 검증(verification)의 경우에, 보안 게이트웨이 SGW는 이동노드 MN로 목적된 패킷 내의 목적지 주소(destination address)로서 소스 주소를 이용하며, 상기 주소를 위한 RR(Return Routability) 체크를 실행함이 없이 상기 주소로 데이터를 보내도록 한다.

Claims (33)

  1. 첫 번째 주소(address)로부터 두 번째 주소로 가상 사설망(virtual private network, VPN) 터널 종결점(termination point)의 스위칭(switching)을 관리하기 위한 방법에 있어서, VPN은 종결점을 한정하는 이동노드(mobile node)와 고정된 네트워크 노드 사이에서 작동하며, 상기 방법은
    첫 번째 주소로부터 두 번째 주소로 이동노드의 주소를 스위칭(switching)하는 단계와,
    이동노드의 주소가 첫 번째 주소로부터 두 번째 주소로 변경되는 것을 이동노드로부터 고정된 네트워크 노드로 통지(notification)를 보내는(sending) 단계와,
    두 번째 주소가 제3자(third party)에게 속하지 않는 것이 신뢰될 수 있는 주소인 것을 통지(notification)로부터 검증(verifying)하는 단계로 이루어지는 것을 특징으로 하는 방법
  2. 제 1 항에 있어서, 이동노드에 두 번째 주소에 의해서 규정된 새로운 주소를 할당시키는 단계를 추가적으로 포함하는 것을 특징으로 하는 방법
  3. 제 2 항에 있어서, 두 번째 주소가 할당되어지도록 이동노드가 요청하는 단계를 추가적으로 포함하는 것을 특징으로 하는 방법
  4. 제 1 항 내지 제 3 항 중 어느 하나의 항에 있어서, 두 번째 주소는 고정된 네트워크 노드에 의해서 신뢰된 제3자(third party)에 의해 이동노드에 할당되어지는 것을 특징으로 하는 방법
  5. 상기 항 중 어느 하나의 항에 있어서, 통지(notification)를 보내는 단계는 두 번째 주소를 담고있는 인증서(certificate)를 보내는 것을 포함하며, 인증서는 이동노드에 의해서 제공되어지는 것을 특징으로 하는 방법
  6. 제 5 항에 있어서, 인증서(certificate)는 두 번째 주소가 신뢰된 제3자(third party)에 의해서 이동노드로 할당되어지는 것을 입증하는 것을 특징으로 하는 방법
  7. 제 4 항 또는 제 6 항에 있어서, 신뢰된 제3자(third party)는 DHCP(Dynamic Host Configuration Protocol) 서버인 것을 특징으로 하는 방법
  8. 제 6 항 또는 제 7 항에 있어서, 인증서(certificate)는 신뢰된 제3자(third party)에 의해 이동노드로 할당된 두 번째 주소를 포함하는 것을 특징으로 하는 방법
  9. 제 6 항 내지 제 8 항 중 어느 하나의 항에 있어서, 인증서(certificate)는 주소 설정 프로세스 동안 이동노드에 의해 사용된 식별(identity)을 포함하는 것을 특징으로 하는 방법
  10. 제 6 항 내지 제 9 항 중 어느 하나의 항에 있어서, 인증서(certificate)는 공개 키(public key)를 포함하는 것을 특징으로 하는 방법
  11. 제 7 항 내지 제 10 항 중 어느 하나의 항에 있어서, 인증서(certificate)는 DHCP 서버가 두 번째 주소와 두 번째 주소가 이동노드에 할당되어지는 수명(lifetime)이 할당되는 때를 나타내는 타임스탬프(timestamp)를 포함하는 것을 특징으로 하는 방법
  12. 제 7 항 내지 제 11 항 중 어느 하나의 항에 있어서, 인증서는 두 번째 주소와, 이동노드 식별(identity) 그리고 타임스탬프(timestamp) 사이의 결합(binding)으로서 사용되는 DHCP 서버의 개인 키(private key)를 이용하는 디지털 서명(digital signature)을 포함하는 것을 특징으로 하는 방법
  13. 제 7 항 내지 제 12 항 중 어느 하나의 항에 있어서, 이동노드는 수정된 DHCP 시그널링(signalling)의 사용을 통해서 인증서(certificate)를 제공할 수 있는 DHCP 서버의 서비스를 요청하는 것을 특징으로 하는 방법
  14. 제 13 항에 있어서, 수정된 DHCP 시그널링(signalling)은 이동노드로부터 DHCP 서버로 DHCP 요청 메시지 내에 포함된 새로운 옵션인 OPTION_ADDR_CERT인 것을 특징으로 하는 방법
  15. 제 7 항 내지 제 14 항 중 어느 하나의 항에 있어서, IKEv2 시그널링(signalling)은 이동노드의 두 번째 주소의 고정된 네트워크 노드를 통지하도록 이용되어지며 DHCP 인증서를 담고 있는 것을 특징으로 하는 방법
  16. 제 1 항에 있어서, 두 번째 주소 그 자체에 의해서 한정된 새로운 주소의 이동노드 자동설정(autoconfiguring) 단계를 추가적으로 포함하는 것을 특징으로 하는 방법
  17. 제 16 항에 있어서, 통지(notification)를 보내는 단계는 고정된 네트워크 노드로 패킷 내의 소스 주소(source address)로서 제공되는 두 번째 주소를 보내는 이동노드를 포함하는 것을 특징으로 하는 방법
  18. 제 17 항에 있어서, 이동노드는 암호 처리(cryptographic processing)를 이용하여 유도되어지는 소스 주소로써 패킷(packet)을 처리하는 것을 특징으로 하는 방법
  19. 제 18 항에 있어서, 암호 처리(cryptographic processing)는 CGA(Cryptographically Generated Address)를 이용하는 것을 특징으로 하는 방법
  20. 제 19 항에 있어서, 이동노드로부터 도달하는 패킷 내의 소스 주소의 변경을 감지한 이후에, 네트워크 노드는 CGA 테스트를 실행하는 것을 특징으로 하는 방법
  21. 제 17 항 내지 제 20 항 중 어느 하나의 항에 있어서, 이동노드는 사전동의(pre-agreed)된 파라미터(parameter)를 이용하여 패킷을 처리하는 것을 특징으로 하는 방법
  22. 제 20 항 또는 제 21 항에 있어서, 사전-동의된 파라미터는 8비트 충돌 카운터(collision counter)를 포함하는 것을 특징으로 하는 방법
  23. 제 20 항 내지 제 22 항 중 어느 하나의 항에 있어서, 사전-동의된 파라미터는 128-비트 보조 파라미터(auxiliary parameter)를 포함하는 것을 특징으로 하는 방법
  24. 제 23 항에 있어서, 128-비트 보조 파라미터는 고정된 값이 할당되어지는 것을 특징으로 하는 방법
  25. 제 24 항에 있어서, 128-비트 보조 파라미터는 네트워크 노드와 이동노드 사이에서 IPSec SAs(internet protocol security protocol security associations)와 IKE(internet key exchange)의 일부로서 절충(negotiated)된 키 재료(keying material)로부터 취해지는 것을 특징으로 하는 방법
  26. 제 16 항 내지 제 23 항 중 어느 하나의 항에 있어서, IKE SA의 생성동안 사전-동의된 파라미터는 절충(negotiated)되며 안전하게 교환되어지는 것을 특징으로 하는 방법
  27. 제 18 항 내지 제 26 항 중 어느 하나의 항에 있어서, 이동노드 공개 키는 IKE SA의 생성동안 안전하게 교환되어지는 것을 특징으로 하는 방법
  28. 상기 항 중 어느 하나의 항에 있어서, VPN 터널 스위치오버(switchover)는 이동노드와 네트워크 사이의 IKE(Internet Key Exchange) 시그널링(signalling)을 통해서 관리되어지는 것을 특징으로 하는 방법
  29. 제 28 항에 있어서, IKE 시그널링(signalling)은 IKEv2(Internet Key Exchange version 2) 시그널링인 것을 특징으로 하는 방법
  30. 상기 항 중 어느 하나의 항과 첨부된 도면을 참조로 하여 기술되어지는 것에 따르는 것을 특징으로 하는 방법
  31. 가상 사설망(virtual private network, VPN) 터널 종결점 스위칭 매니저(switching manager)에 있어서,
    VPN이 종결점을 한정하는 이동노드와 고정된 네트워크 사이에서 작동하며, 사용시에 첫 번째 주소로부터 두 번째 주소로의 VPN 종결점(termination point)을 스위치(switch)하도록 배치되어지는 스위칭 수단(switching means)과,
    이동노드의 주소가 첫 번째 주소로부터 두 번째 주소로 변화되어지는 것을 사용시에 이동노드로부터 고정된 네트워크 노드로 통지(notification)를 보내도록 배열되어지는 통지 전송 수단(notification sending means)과, 그리고
    사용시에 통지(notification)로부터 두 번째 주소가 제3자(third party)에게 속하지 않는 것으로 신뢰되어질 수 있는 주소인 것을 검증하도록 배열되어지는 검증수단(verification means)을 포함하는 것을 특징으로 하는 스위칭 매니저
  32. 제 31 항에 있어서, 스위칭 매니저(switching manager)는 사용시에 이동노드와 네트워크 사이의 IKE(internet key exchange) 시그널링(signalling)을 통한 스위치오버(switchover)를 관리하는 것을 특징으로 하는 스위칭 매니저
  33. 제 32 항에 있어서, IKE 시그널링(signalling)은 IKEv2(Internet Key Exchange version 2) 시그널링인 것을 특징으로 하는 스위칭 매니저
KR1020077007807A 2007-04-05 2004-09-20 리턴 라우터빌리티의 최적화 KR20070106496A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020077007807A KR20070106496A (ko) 2007-04-05 2004-09-20 리턴 라우터빌리티의 최적화

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020077007807A KR20070106496A (ko) 2007-04-05 2004-09-20 리턴 라우터빌리티의 최적화

Publications (1)

Publication Number Publication Date
KR20070106496A true KR20070106496A (ko) 2007-11-01

Family

ID=39062393

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020077007807A KR20070106496A (ko) 2007-04-05 2004-09-20 리턴 라우터빌리티의 최적화

Country Status (1)

Country Link
KR (1) KR20070106496A (ko)

Similar Documents

Publication Publication Date Title
US7286671B2 (en) Secure network access method
US7155500B2 (en) IP address ownership verification mechanism
US7933253B2 (en) Return routability optimisation
CN101848508B (zh) 使用预认证、预配置和/或虚拟软切换的移动体系结构
US8918522B2 (en) Re-establishment of a security association
EP1782574B1 (en) Fast network attachment
JP2009516435A (ja) 複数鍵暗号化生成アドレスを使ったモバイルネットワークのためのセキュアな経路最適化
Deng et al. Defending against redirect attacks in mobile IP
WO2004036332A2 (en) Virtual private network with mobile nodes
JP5159878B2 (ja) インターネットプロトコル認証とモビリティシグナリングとを結合するための方法と装置
Ratola Which layer for mobility?-comparing mobile ipv6, hip and sctp
Ylitalo et al. Re-thinking security in IP based micro-mobility
WO2006102565A2 (en) Optimized derivation of handover keys in mobile ipv6
Ahmed et al. Secure neighbor discovery (SeND): Attacks and challenges
GB2424154A (en) Streamlined network logon using Host Identity Protocol (HIP) with broadcast puzzle challenges and home server certificates
Bagnulo et al. Efficient security for IPv6 multihoming
Al Hawi et al. Secure framework for the return routability procedure in MIPv6
Koskiahde Security in Mobile IPv6
Namal et al. Securing the backhaul for mobile and multi-homed femtocells
KR20070106496A (ko) 리턴 라우터빌리티의 최적화
Modares et al. Protection of binding update message in Mobile IPv6
Sarma Securing IPv6’s neighbour and router discovery using locally authentication process
Xenakis et al. Alternative Schemes for Dynamic Secure VPN Deployment in UMTS
Shrivastava Threats and Security Aspects of IPv6
Al-Ka’bi On Security in Wireless Mobile Networking

Legal Events

Date Code Title Description
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid