KR20080093791A - 무선 환경에서의 aaa 아키텍처에 기반한 인증 방법 및장치 - Google Patents

무선 환경에서의 aaa 아키텍처에 기반한 인증 방법 및장치 Download PDF

Info

Publication number
KR20080093791A
KR20080093791A KR1020070038000A KR20070038000A KR20080093791A KR 20080093791 A KR20080093791 A KR 20080093791A KR 1020070038000 A KR1020070038000 A KR 1020070038000A KR 20070038000 A KR20070038000 A KR 20070038000A KR 20080093791 A KR20080093791 A KR 20080093791A
Authority
KR
South Korea
Prior art keywords
authentication
mobile node
aaa
request
message
Prior art date
Application number
KR1020070038000A
Other languages
English (en)
Inventor
이종혁
이제민
이중희
임헌정
한병진
정태명
Original Assignee
성균관대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 성균관대학교산학협력단 filed Critical 성균관대학교산학협력단
Priority to KR1020070038000A priority Critical patent/KR20080093791A/ko
Publication of KR20080093791A publication Critical patent/KR20080093791A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

무선 환경에서의 AAA 아키텍처에 기반한 인증 방법 및 장치가 개시된다. 무선 환경에서 AAA 아키텍처에 기반한 인증 방법은, 외부 네트워크를 방문한 모바일 노드가 Registration Request를 외부 네트워크에 따른 외부 에이전트(nFA)로부터 요청하는 단계; nFA가 Registration Request에 따른 AAA-MN Request를 외부 네트워크에 상응하는 AAA 지역 서버(nAAAL)로 전송하는 단계; nAAAL은 모바일 노드에 대한 인증을 바로 이전에 수행한 타 AAA 지역 서버(pAAAL)의 주소를 인식하고, pAAAL로 AAA-MN Request을 전달하는 단계; 모바일 노드에 대한 인증을 수행한 pAAAL로부터 AAA-MN Request에 대한 AAA-MN answer 메시지를 수신한 nAAAL가 AAA-MN Request의 암호를 풀고 nFA로 전달하는 단계; 및 nFA가 AAA-MN Request에 따른 모바일 노드와의 세션키를 생성한 이후 모바일 노드가 nFA와의 세션키를 생성하도록 관련 정보를 모바일 노드로 제공하는 단계를 포함한다. 본 발명에 따르면, 반드시 AAA 홈 서버를 이용하는 것이 아니라 이전의 AAA 지역 서버를 이용하여 인증 처리함으로써 인증 지연 시간을 최소화할 수 있으며, AAA 홈 서버에서의 인증 처리에 따른 부하 집중을 해소할 수 있다.
Figure P1020070038000
AAA 서버, 인증, 세션키, 모바일

Description

무선 환경에서의 AAA 아키텍처에 기반한 인증 방법 및 장치{Authentication method based AAA architecture in mobile environment and device thereof}
도 1은 일반적인 AAA 아키텍처에 따른 인증 수행 방식을 나타낸 도면.
도 2는 종래 방식에 따른 AAA 아키텍처 기반의 인증 처리 예시를 나타낸 도면.
도 3은 본 발명의 일 실시예에 따른 무선 환경에서의 AAA 아키텍처에 기반한 인증 방법의 기본 개념을 나타낸 도면.
도 4는 본 발명의 일 실시예에 따른 무선 환경에서의 AAA 아키텍처에 기반한 인증 수행을 위한 세션키 포워딩 과정을 나타낸 흐름도.
도 5는 본 발명의 일 실시예에 따른 AAA 서버의 구성을 나타낸 기능 블록도.
도 6은 본 발명의 일 실시예에 따른 시스템 파라미터의 예시를 나타낸 테이블.
도 7은 종래 방식과 본 발명의 실시예에 따른 인증 방법의 인증 지연 시간을 비교한 그래프.
도 8 및 도 9는 종래 방식과 본 발명의 실시예에 따른 인증 방법의 인증실패 율을 비교한 그래프.
본 발명은 무선 환경에서의 인증에 관한 것으로서, 좀 더 상세하게는 무선 환경에서의 AAA 아키텍처에 기반한 인증 방법 및 장치에 관한 것이다.
무선 통신 기술의 비약적인 발전은 모바일 환경을 이용하여 유비쿼터스 인터넷 서비스나 유명한 어플리케이션들을 사용하기에 용이하게 하였다. 개방된 전송매체를 이용한 전송으로 인해 보다 많은 보안적인 문제점에 직면함에도 불구하고 종종 무선 모바일 네트워크를 이용하여 매우 민감한 정보를 전송하도록 요구되는 e-비지니스 등이 이에 속한다. 모바일 환경에서의 보안서비스를 제공하기 위해, 인증은 AAA 아키텍처와 같이 인증서를 통해 MN이 통신할 권한을 부여하는 과정의 초기 단계로 사용된다. 현재 AAA 아키텍처에서는 MN들이 외부 네트워크로 로밍할 때 MN들을 인증하기 위하여 AAA 홈 서버(AAAH)의 의뢰결과에 의존한다. 이는 AAA 지역 서버(AAAL)가 MN들에 대한 정보를 기지고 있지 않기 때문이다. 비록 AAAL이 MN들의 인증서 정보를 가지고 있는 AAAH와 우회적인 신뢰간계를 가지고 있다고 하더라도 MN들의 인증서는 원격 검증을 위해 암호화되어 AAAL-AAAH 사이에서 홉 바이 홉(Hop-by-Hop)으로 전송된다. 이러한 이유에서 MN이 새로운 외부 네트워크(FN)를 방문할 때 마다 AAAL은 MN에 대한 검증을 위해 AAAH에게 인증 요청을 해야만 한다.
이러한 문제점은 MN이 홈 네트워크에서 아주 멀리 떨어져 있을 때 보다 심각해진다. 메시지를 암호화 하지 않는 한 MN은 공격자들에게 스푸핑(spoofing)당할 수 있다. 공격자들은 거짓 Registration Request를 홈 에이전트(Home Agent : HA)에게 보냄으로써 메시지들을 공격자 자신에게 리다이렉트 시키거나 MN의 서비스를 불가능하게 할 수 있다. 게다가 MN이 해당 외부 네트워크(FN)에 처음 온 경우 외부 에이전트(FA)나 AAAL은 일반적으로 MN을 인증하기 위한 정보를 가지고 있지 않다. 또한 FA와 HA 간의 메시지는 반드시 암호화 되어서 전송되어야 한다.
MN이 서비스를 유지하면서 다른 외부 네트워크(FN)의 경계를 넘을 때, 도메인간 핸드오프로 인한 인증이 요구된다. Security Association(SA)은 MN과 FA간의 on-going communication session 에 관련되어 있고 MN과 FA간의 SA가 존재하지 않기 때문에 MN의 AAAH에게 접근하는 것이 필요하다.
도 1은 일반적인 AAA 아키텍처에 따른 인증 수행 방식을 나타낸 도면이다.
도 1을 참조하면, AAAL(30)이 FA(20)로부터 보내진 AAA-MN Request를 받게 되면, AAAL(30)은 MN(10)을 인증하기에 충분한 정보를 가지고 있지 않기 때문에 MN(10)의 인증을 위하여 MN(10)의 AAAH(40)에게 AAA-MN Request 메시지를 전달해야 한다. AAAH(40)에서의 인증과정 이후에 AAAH(40)는 HA-MIP Request 메시지를 홈 에이전트(HA, 50)에게 보낸다. HA(50)는 HA-MIP Request에 대한 응답으로 HA(50)-MN(10), FA(20)-MN(10)간의 키를 담아 AAAH(40)에게 보낸다. AAAH(40)는 해당 정보를 AAA-MN answer 메시지로 만들어 AAAL(30)에게 보내고, AAAL(30)은 FA(20)에게 포워딩한다. FA(20)는 해당정보를 토대로 Registration Reply를 MN(10)에게 보낸 다. MN(10)은 Registration Reply를 체크하고 통신을 보호하기 위해 요구한 키를 얻는다 (FA-MN key, HA-MN key)
상기한 바와 같은 AAA 아키텍처에 기반한 종래의 인증 방식은 MN이 새로운 외부 네트워크를 방문할 때마다 해당 네트워크의 AAAL은 반드시 AAAH에게 MN에 대한 인증을 요구해야 한다. 이로 인해 AAAH는 모바일 노드(MN)가 새로운 외부 네트워크에 방문할 때마다 해당 MN에 대한 인증을 수행해야 함에 따라 부하가 집중되는 문제점이 있다.
더욱이, MN과 AAAH가 멀리 떨어질 수록, 해당 AAAL이 AAAH로 인증을 요청하여인증 처리하는데 따른 인증 지연 시간이 커지게 되는 가장 큰 문제점이 있었다.
따라서, 본 발명은 상술한 문제점을 해결하기 위해 안출된 것으로서, AAA 홈 서버에서의 인증 처리에 따른 부하 집중을 해소할 수 있는 무선 환경에서의 AAA 아키텍처에 기반한 인증 방법 및 장치를 제공하기 위한 것이다.
또한, 본 발명은 반드시 AAA 홈 서버를 이용하는 것이 아니라 이전의 AAA 지역 서버를 이용하여 인증 처리함으로써 인증 지연 시간을 최소화할 수 있는 무선 환경에서의 AAA 아키텍처에 기반한 인증 방법 및 장치를 제공하기 위한 것이다.
본 발명의 다른 목적들은 이하에 서술되는 바람직한 실시예를 통하여 보다 명확해질 것이다.
상술한 목적을 달성하기 위한 본 발명의 일측면에 따르면, 무선 환경에서 AAA 아키텍처에 기반한 인증 방법에 있어서, 외부 네트워크를 방문한 모바일 노드가 Registration Request를 상기 외부 네트워크에 따른 외부 에이전트(nFA)로부터 요청하는 단계; 상기 nFA가 상기 Registration Request에 따른 AAA-MN Request를 상기 외부 네트워크에 상응하는 AAA 지역 서버(nAAAL)로 전송하는 단계; 상기 nAAAL은 상기 모바일 노드에 대한 인증을 바로 이전에 수행한 타 AAA 지역 서버(pAAAL)의 주소를 인식하고, 상기 pAAAL로 상기 AAA-MN Request을 전달하는 단계; 상기 모바일 노드에 대한 인증을 수행한 상기 pAAAL로부터 상기 AAA-MN Request에 대한 AAA-MN answer 메시지를 수신한 nAAAL가 상기 AAA-MN Request의 암호를 풀고 상기 nFA로 전달하는 단계; 및 상기 nFA가 상기 AAA-MN Request에 따른 상기 모바일 노드와의 세션키를 생성한 이후 상기 모바일 노드가 상기 nFA와의 세션키를 생성하도록 관련 정보를 상기 모바일 노드로 제공하는 단계를 포함하는 무선 환경에서의 인증 방법이 제공된다.
여기서, 상기 모바일 노드는 상기 외부 네트워크 이전에 접속한 이전 네트워크에 상응하는 이전 외부 에이전트(pFA)와의 세션키를 이용하여 상기 Registration Request를 암호화 하고, 상기 pFA의 주소 정보를 상기 nFA로 제공할 수 있다.
상술한 목적을 달성하기 위한 본 발명의 다른 측면에 따르면, AAA 서버에서 모바일 노드에 대한 인증을 수행하는 방법에 있어서, 외부 네트워크를 방문한 모바 일 노드에 대한 인증을 상기 외부 네트워크에 따른 외부 에이전트(nFA)로부터 요청받는 단계; 상기 모바일 노드에 대한 인증을 바로 이전에 수행한 타 AAA 서버의 주소를 인식하고, 상기 타 AAA 서버로 상기 모바일 노드에 대한 인증 요청 메시지를 전송하는 단계; 및 상기 모바일 노드에 대한 인증을 수행한 상기 타 AAA 서버로부터 상기 인증 요청 메시지에 상응하는 응답 메시지를 수신하고, 상기 응답 메시지에 상응하는 상기 외부 에이전트로부터의 인증 요청에 따른 결과 메시지를 상기 외부 에이전트로 전달하는 단계를 포함하는 무선 환경에서의 인증 방법이 제공된다.
여기서, 상기 모바일 노드는 상기 외부 네트워크 이전에 접속한 이전 네트워크에 상응하는 이전 외부 에이전트(pFA)와의 세션키를 이용하여 암호화된 인증 메시지를 상기 nFA로 전송하고, 상기 nFA는 상기 인증 메시지에 상응하도록 상기 AAA 서버로 상기 모바일 노드에 따른 인증을 요청할 수 있고, 상기 모바일 노드는 상기 pFA의 주소 정보를 상기 nFA로 제공할 수 있다.
상기 타 AAA 서버는 상기 인증 요청 메시지의 헤쉬값을 이용하여 인증 처리할 수 있다.
또한, 상기 결과 메시지를 상기 외부 에이전트로 전달하는 단계는, 상기 응답 메시지를 수신하는 단계; 상기 응답 메시지의 암호를 풀어 상기 결과 메시지를 생성하는 단계; 및 상기 결과 메시지를 상기 외부 에이전트로 전송하는 단계를 포함할 수 있다.
또한, 상기 nFA는 상기 결과 메시지에 따라 상기 모바일 노드와의 세션키를 생성하고 상기 모바일 노드가 자신과의 세션키를 생성하도록 관련 정보를 상기 모 바일 노드로 제공할 수 있다.
상술한 목적을 달성하기 위한 본 발명의 또 다른 측면에 따르면, 모바일 노드에 대한 인증을 수행하는 AAA 서버에 있어서, 외부 네트워크를 방문한 모바일 노드에 대한 인증을 상기 외부 네트워크에 따른 외부 에이전트(nFA)로부터 요청받기 위한 통신 모듈; 상기 모바일 노드에 대한 인증을 바로 이전에 수행한 타 AAA 서버의 주소를 인식하기 위한 이동성 관리 모듈; 상기 타 AAA 서버로 상기 모바일 노드에 대한 인증 요청 메시지를 전송하고, 상기 모바일 노드에 대한 인증을 수행한 상기 타 AAA 서버로부터 상기 인증 요청 메시지에 상응하는 응답 메시지를 수신하고, 상기 응답 메시지에 상응하는 상기 외부 에이전트로부터의 인증 요청에 따른 결과 메시지를 상기 외부 에이전트로 전달하여 상기 모바일 노드에 대한 인증을 수행하는 인증 모듈을 포함하는 무선 환경의 AAA 서버가 제공된다.
여기서, 이전에 인증을 수행한 모바일 단말에 대한 인증 요청을 임의의 다른 AAA 서버로부터 수신함에 따라, 인증 수행을 위한 세션키를 관리하는 키 관리 모듈을 더 포함할 수 있다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것 으로 이해되어야 한다.
제1, 제2 등과 같이 서수를 포함하는 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되지는 않는다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하, 첨부한 도면들을 참조하여 본 발명에 따른 실시예들을 상세히 설명하기로 한다.
도 2는 종래 방식에 따른 AAA 아키텍처 기반의 인증 처리 예시를 나타낸 도면이고, 도 3은 본 발명의 일 실시예에 따른 무선 환경에서의 AAA 아키텍처에 기반한 인증 방법의 기본 개념을 나타낸 도면이다.
도 2를 참조하면, 종래의 AAA 아키텍처 기반 인증 방식은 긴 인증 지연시간을 유발한다. 이는 AAAL(AAA 지역 서버)이 반드시 MN(모바일 노드)의 인증을 AAAH(AAA 홈 서버)에게 요청해야 한다는 이유 때문이다. 즉, 종래에 따르면 nAAAL(현재 외부 네트워크의 AAA 지역 서버)은 pAAAL(이전 외부 네트워크의 AAA 지역 서버)이 MN의 HA(홈 에이전트)-MN간의 키와 pFA-MN간의 키를 알고 있음에도 불구하고, MN이 기존 외부 네트워크(pFN)에서 새로운 외부 네트워크(nFN)를 방문할 때마다 AAAH에게 MN에 대한 인증을 요구해야 했다.
이와 비교하여 본 발명의 일 실시예에 따른 인증 방식을 나타낸 도 3을 참조하면, nAAAL이 pAAAL을 믿을 수만 있다면 MN은 방문과 동시에 AAAH와 접촉할 필요 없이 인증을 받을 수 있게 된다. 즉, 본 실시예에 따르면 nAAAL은 pAAAL로 MN에 대한 인증을 요청하고, pAAAL이 인증 처리하여 그 결과를 nAAAL로 전달함으로써 MN에 대한 인증이 완료될 수 있다.
본 실시예에 따른 AAA 아키텍처 기반의 인증 방법은 AAA 기반의 Keying 문제에 대해 유용한 솔루션을 제공한다. 이전 방식에서는 세션키 계산 시간과 키 전달 지연시간은 MN이 MN의 AAAH로부터 멀어질수록 증가된다. 결과적으로 인증시간이 증가하게 되고 따라서 핸드오프 지연시간도 증가하게 된다.
본 실시예에 따른 이전 AAAL을 이용한 인증 방법을 위해, AAA 서버들과 클라이언트들은 AAA 메시지를 생성하고 전달 할 수 있는 기능이 있으며, AAA 서버들은 세션키를 포워딩해줄 이웃에 대한 리스트를 가지고 있으며 자신들의 FA-MN간의 세션키를 유지하고 있음을 가정하기로 한다. 또한, 연결된 AAA 서버들(AAAH, AAALs)과 클라이언트들(HA, FAs) 간에는 안전한 채널임을 가정한다.
먼저, 본 실시예에 따른 세션키 포워딩 시나리오는 다음과 같다.
MN이 이전 외부 네트워크(pFN)로부터 새로운 외부 네트워크(nFN)로 이동해오면, MN은 새로운 SA를 맺기 위해 (HA-MN, nFA-MN)간의 세션키를 필요로 한다. 이때 HA-MN간의 세션키는 홈 네트워크에서 MN이 시작했을 때 생성되었던 키로서, 세션키 포워딩을 통해 pAAAL이 그 키를 제공해준다면 MN이 새로운 외부 네트워크(FN)에 이동할 때마다 새로 생성할 필요는 없다. 따라서, MN은 오직 nFA-MN간의 세션키만 새 로 필요하다. 이는 MN이 새로운 외부 네트워크 도메인에 이동하였을 때, 추가적인 라운드 트립을 최소화 하고, 자연스러운 핸드오프를 가능하게 한다. MN에 대한 인증과 세션키 분배가 끝난 뒤, MN과 HA간에 있는 AAAL들은 MN-HA간의 세션키에 대한 정보를 알고 있다. 이는 현재의 nAAAL이 MN의 다음번 핸드오프 발생시에는 pAAAL이 되어 이 기법을 적용할 수 있게 된다는 말이다.
도 4는 본 발명의 일 실시예에 따른 무선 환경에서의 AAA 아키텍처에 기반한 인증 수행을 위한 세션키 포워딩 과정을 나타낸 흐름도이다.
nFA-MN간의 세션키를 획득하는 방법이 도 4에 도시되어 있다.
도 4를 참조하면, MN(100)은 새로운 외부 네트워크(FN)를 방문하고 Registration Request를 nFA(130)에게 보낸다(단계 S410). 인증 데이터(HMAC-MD5 hash)는 pFA-MN간에 공유한 세션키를 이용해 암호화 하여 보내진다. Registration Request와 더불어 pFN 의 주소도 반드시 덧붙여져야 하며, 이 주소는 MN(100)이 통신하는 동안 유지되어야 한다.
nFA(130) 는 AAA-MN Request를 nAAAL(150)에게 보내고(단계 S420), nAAAL(150)은 AAA-MN Request를 받고 pAAAL(170)의 주소를 얻어낸 다음 해당 메시지를 pAAAL(170)에게 보낸다(단계 S430).
pAAAL(170)은 메시지의 해쉬값을 이용하여 인증하고, MN(100)과 nFA(130)를 위한 nonce값을 생성한다(단계 S440). AAA-MN answer 메시지는 pAAAL(170)에서 생성되는데, 그 메시지에는 플레인 논스(plain nonce)와 pFA-MN간의 공유된 키로 암 호화된 nonce가 nAAAL(150)과 pAAAL(170)간에 공유된 키로 암호화 되고 서명되어 보내진다.
nAAAL(150)은 pAAAL(170)에게서 AAA-MN answer를 받게 되면(단계 S450), 그것의 암호를 풀고 nFA(130)에게 보낸다(단계 S460).
nFA(130)는 수신된 plain nonce을 이용하여 nFA-MN간의 세션키를 생성한다. 그 다음 암호화된 nonce를 Registration Reply 메시지에 실어서 MN(100)에게 보낸다(단계 S470).
MN(100)은 Registration Reply메시지를 받고 pFA-MN간의 키로 암호를 풀어 nonce값을 얻어내어 nFA-MN간의 세션키를 생성한다(단계 S480). 따라서, MN(100)은 새로운 외부 네트워크(FN)에서의 서비스를 시작할 수 있다.
AAA 아키텍쳐는 다양한 보안 위협에 대해 극복할 수 있어야 한다. 이하, 본 실시예에 따른 인증 방법에서 부인방지, 흉내내기 공격, 리플레이 공격의 세가지 경우에 대하여 분석하기로 한다.
우선, 부인방지에 대해 살펴보면, 부인 공격은 메시지의 전송자가 정보를 보낸것에 대해 부인할 때 발생한다. 본 실시예에 따르면, MN(100)이 nFN에서 요청을 할 때, MN(100)은 반드시 HA-MN간의 세션키를 이용해야 한다. AAAH는 그 세션키를 이용해 사인한 내용을 입증해야 하며, 입증이 성립하면 논쟁이 발생하였을 때 MN(100)이 부인하지 못하게 된다.
다음으로, 흉내내기 공격에 대해 살펴보면, 만일 어떤 공격자가 새로운 외부 네트워크에서(nFN) 합법적인 사용자를 흉내내려고 시도한다면, 그 시도는 성공하지 못할 것이다. 그 이유는 공격자는 pFN-MN간의 세션키를 소유하지 못했기 때문이다. 실질적인 키의 강도는 비트의 수로 표현될 수 있다. 만일 키 강도가 N(임의의 자연수) 비트라면, 현재 알려진 최선의 방법으로 키를 알아내려면 평균적으로 2N-1 만큼의 노력이 필요하다.
마지막으로 리플레이 공격에 대해 살펴보면, 만일 공격자가 합법적인 MN(100)이 이전에 보낸 메시지를 리플레이하려고 시도한다면, 타임스탬프가 타당하지 않기 때문에 이 시도는 실패하게 될 것이다. 타임스탬프의 만기여부는 AAA 서버로부터 효율적으로 검증할 수 있다.
이하, 본 실시예에 따른 세션키 포워딩을 수행하는 AAA 서버의 구성을 설명하기로 한다.
도 5는 본 발명의 일 실시예에 따른 AAA 서버의 구성을 나타낸 기능 블록도이다.
도 5를 참조하면, AAA 서버는 인증 모듈(510), 이동성 관리 모듈(520) 및 키 관리 모듈(530)을 포함한다.
본 실시예에 따른 AAA 서버의 이동성 관리 모듈(Mobility management module, 520)은 AAA 서버가 존재하는 도메인(네트워크) 내에서 홈 에이전트(Home Agent, HA)의 위치 정보나 이동노드들의 홈 에이전트 등록을 수행한다. 즉, 전술한 바와 같이, AAA 서버들은 세션키를 포워딩해줄 이웃에 대한 리스트를 가지고 있으 며 자신들의 FA-MN간의 세션키를 유지하고 있다.
키 관리 모듈(530)은 MN(Mobile node)의 인증을 위한 세션키를 관리하는 기능을 수행한다. 해당 세션키는 MN에 대한 인증을 바로 이전에 수행한 타 AAAL 서버 또는 AAAH로부터 취득될 수 있다. 차후, 타 AAAL 서버로부터 세션키가 요청되면 해당 세션키를 포워딩한다.
인증 모듈(510)은 MN에 대한 인증 절차를 수행하도록 기능한다. 즉, 인증 모듈(510)은 이전에 인증을 수행한 타 AAAL과 연동하여 해당 모바일 노드의 인증을 수행한다. 인증 수행 시 필요한 세션키는 키 관리 모듈(530)에 의해 MN이 이전에 인증 받은 해당 AAA 서버로 문의함으로써 상응하는 세션키를 포워딩 받을 수 있다.
여기서, 본 도면에는 도시되지 않았으나, AAA 서버는 타 장치(예를 들어, FA 등)와 통신하기 위한 통신 모듈, 권한부여(Authorization)을 위한 모듈, 회계(Accounting)을 위한 모듈 및 AAA 서버에 의해 서비스 되는 응용 어플리케이션과의 통신 인터페이스인 어플리케이션 특성 모듈(Application specific modules) 등을 더 포함할 수 있으며, 이는 당업자에게 자명할 것이다.
이하, 무선 환경에서의 AAA 아키텍처에 기반한 인증 방법의 성능에 대해 설명하고자 한다.
도 6은 본 발명의 일 실시예에 따른 시스템 파라미터의 예시를 나타낸 테이블이며, 도 7은 종래 방식과 본 발명의 실시예에 따른 인증 방법의 인증 지연 시간을 비교한 그래프이며, 도 8 및 도 9는 종래 방식과 본 발명의 실시예에 따른 인증 방법의 인증실패율을 비교한 그래프이다.
본 발명에 따른 인증을 위한 세션키 포워딩 방식의 성능 평가를 위한 시스템 파라미터가 도 6에 도시되어 있다.
T MN-nFA /T nFA-nAAAL /T nAAAL-pAAAL /T pAAAL-nAAAL /T nAAAL-nFA /T nFA-MN 은 각각 MN과 nFA / nFA와 nAAAL / nAAAL과 pAAAL / pAAAL과 nAAAL / nAAAL과 nFA / nFA와 MN 간의 전송시간을 뜻한다.
또한, P MN /P nFA /P nAAAL /P pAAAL 은 각각 MN / nFA / nAAAL / pAAAL 에서의 처리시간을 뜻하며, AT nAAAL 은 pAAAL 에서의 인증 소요시간을 뜻한다.
성능평가를 위해 도 4에 나타난 메시지 시퀀스를 바탕으로 전체인증시간(Total authentication time, Treq)을 구한다. 전체인증시간은 유선환경에서의 전송시간과 무선 환경에서의 전송시간, 노드에서의 처리시간 그리고 인증시간의 합으로 계산된다. 각각의 시간은 아래와 같은 식으로 계산된다.
유선환경에서의 전송시간(
Figure 112007029499318-PAT00001
) = T nFA-nAAAL + T nAAAL-pAAAL + T pAAAL-nAAAL + T nAAAL-nFA
무선환경에서의 전송시간(
Figure 112007029499318-PAT00002
) = T MN-nFA + T nFA-MN
노드별 처리시간(
Figure 112007029499318-PAT00003
)= P MN + P nAAAL + P pAAAL + P nFA + P MN
인증 처리시간(
Figure 112007029499318-PAT00004
)= AT nAAAL
따라서 인증을 위해 필요한 전체시간(Treq)은 아래와 같은 수학식 1에 의해 계산된다.
Figure 112007029499318-PAT00005
인증실패율(Authentication Failure Rate)을 계산하기 위해 랜덤 변수 T 를 정의한다. 랜덤 변수 T 는 이동노드가 중첩되어 있는 엑세스 라우터(Access Router, 예를 들어 무선 AP)로부터 신호를 받을 수 있는 공간에 머물러 있는 시간을 뜻하는 변수이다. 또한, 위에서 계산된 인증을 위해 필요한 전체시간(Treq)은 이동노드가 인증을 수행하는데 필요한 전체 시간이기 때문에 이동노드의 인증실패율은 아래와 같은 수학식 2로 표현된다.
P = Prob(T < Treq)
위의 식에서 랜덤변수 T 는 익스포낸셜하게 분포되어 있다고 가정한다면 아래와 같은 수학식 3으로 다시 정리 될 수 있다.
P = Prob(T < Treq) = 1 - exp(-λ Treq) < Pf
위의 식에서 λ는 이동노드가 중첩된 공간으로 들어오는 빈도(rate)이며 이동노드의 이동방향은
Figure 112007029499318-PAT00006
간격으로 균일하게 분포 (uniformly distributed) 되어 있다고 가정한다. 따라서, λ는
Figure 112007029499318-PAT00007
로 계산된다(V 는 이동노드의 속도, L은 중첩된 공간의 길이 =
Figure 112007029499318-PAT00008
,
Figure 112007029499318-PAT00009
은 엑세스 라우터에 의해 발생되는 신호가 닿는 원의 반지름). 또한, 중첩된 공간의 크기 S는
Figure 112007029499318-PAT00010
로 계산된다. 그러므로 이동노드의 인증실패율은
Figure 112007029499318-PAT00011
(신호의 반지름)과 v(이동노드의 속도)의 측면에서 계산될 수 있다.
Figure 112007029499318-PAT00012
의 크기에 따른 인증실패율은 아래와 같은 수학식 4로 표현된다.
Figure 112007029499318-PAT00013
성능평가 결과는 도 7 내지 도 9에 나타난다. 먼저 도 7에 도시된 바와 같이, nAAAL과 AAAH와의 홉단위 거리가 멀어짐에 따라 본 발명에 따른 인증 방식이 기존의 표준화된 방식보다 낮은 인증지연 시간을 가진다는 것을 알 수 있다.
본 실시예에 따른 인증 방법이 기존의 방법보다 더 낮은 인증지연 시간을 가지는 이유는 이동노드가 AAAH 로부터 멀어짐에 따라 인증을 하기 위해서 멀리 존재하는 AAAH 에게 인증 요청을 하지 않고 자신의 pAAAL에게서 인증을 처리 받기 때문에 위와 같은 인증지연 관점에서 보안취약점을 드러내지 않고서 6.16% 의 향상을 보인다.
표준화된 인증 방식과 본 실시예에 따른 인증 방식의 인증실패율을 비교한 도 8 및 도 9를 참조하면, 각 그래프의 파라미터로 각각 5km/h 와 20km/h 의 이동노드 속도(V)를 주었다. 이동노드가 빠른 속도(V)을 가진다는 것은 중첩된 공간을 빠른 속도로 벗어 난다고 하는 것이고 그만큼 짧은 인증 시간을 요구하게 된다. 반면에 무선 AP의 신호의 반경을 의미하는 신호의 크기의 반지름(R)이 크면 클수록 이동노드는 인증을 마칠수 있는 시간적이 여유가 많아 이동노드의 인증실패율은 낮아 진다. 이동노드의 이동속도(V)와 인증실패율(F)의 측면에서 본 발명에서 제안된 기법은 V = 20km/h, F = 10% 일때 40.1m 크기의 신호의 반지름(R)을 요구하는 반면 표준화된 기법은 52.7m 크기를 요구한다. 따라서 본 발명에서 제안된 인증 방법이 더욱 안정적인 인증을 수행할 수 있다고 말할 수 있으며 이동노드의 빠른 속도에서도 안전하게 인증을 수행할 수 있다.
상술한 바와 같은 본 발명의 방법은 프로그램으로 구현되어 컴퓨터로 읽을 수 있는 기록매체(씨디롬, 램, 롬, 플로피 디스크, 하드디스크, 광자기디스크 등) 에 저장될 수 있다.
본 발명은 상기한 실시예에 한정되지 않으며, 많은 변형이 본 발명의 사상 내에서 당 분야에서 통상의 지식을 가진 자에 의하여 가능함은 물론이다.
이상에서 상술한 바와 같이 본 발명에 따르면, 반드시 AAA 홈 서버를 이용하는 것이 아니라 이전의 AAA 지역 서버를 이용하여 인증 처리함으로써 인증 지연 시간을 최소화할 수 있으며, AAA 홈 서버에서의 인증 처리에 따른 부하 집중을 해소할 수 있는 무선 환경에서의 AAA 아키텍처에 기반한 인증 방법 및 장치를 제공할 수 있다.
또한, 본 발명은 안정적인 인증을 수행할 수 있으며, 이동노드의 빠른 속도에서도 안전하게 인증을 수행할 수 있는 무선 환경에서의 AAA 아키텍처에 기반한 인증 방법 및 장치를 제공할 수 있다.
상기에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야에서 통상의 지식을 가진 자라면 하기의 특허 청구범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.

Claims (11)

  1. 무선 환경에서 AAA 아키텍처에 기반한 인증 방법에 있어서,
    외부 네트워크를 방문한 모바일 노드가 Registration Request를 상기 외부 네트워크에 따른 외부 에이전트(nFA)로부터 요청하는 단계;
    상기 nFA가 상기 Registration Request에 따른 AAA-MN Request를 상기 외부 네트워크에 상응하는 AAA 지역 서버(nAAAL)로 전송하는 단계;
    상기 nAAAL은 상기 모바일 노드에 대한 인증을 바로 이전에 수행한 타 AAA 지역 서버(pAAAL)의 주소를 인식하고, 상기 pAAAL로 상기 AAA-MN Request을 전달하는 단계;
    상기 모바일 노드에 대한 인증을 수행한 상기 pAAAL로부터 상기 AAA-MN Request에 대한 AAA-MN answer 메시지를 수신한 nAAAL가 상기 AAA-MN Request의 암호를 풀고 상기 nFA로 전달하는 단계; 및
    상기 nFA가 상기 AAA-MN Request에 따른 상기 모바일 노드와의 세션키를 생성한 이후 상기 모바일 노드가 상기 nFA와의 세션키를 생성하도록 관련 정보를 상기 모바일 노드로 제공하는 단계를 포함하는 무선 환경에서의 인증 방법.
  2. 제 1항에 있어서,
    상기 모바일 노드는 상기 외부 네트워크 이전에 접속한 이전 네트워크에 상 응하는 이전 외부 에이전트(pFA)와의 세션키를 이용하여 상기 Registration Request를 암호화 하는 것을 특징으로 하는 무선 환경에서의 인증 방법.
  3. 제 1항에 있어서,
    상기 모바일 노드는 상기 pFA의 주소 정보를 상기 nFA로 제공하는 것을 특징으로 하는 무선 환경에서의 인증 방법.
  4. AAA 서버에서 모바일 노드에 대한 인증을 수행하는 방법에 있어서,
    외부 네트워크를 방문한 모바일 노드에 대한 인증을 상기 외부 네트워크에 따른 외부 에이전트(nFA)로부터 요청받는 단계;
    상기 모바일 노드에 대한 인증을 바로 이전에 수행한 타 AAA 서버의 주소를 인식하고, 상기 타 AAA 서버로 상기 모바일 노드에 대한 인증 요청 메시지를 전송하는 단계; 및
    상기 모바일 노드에 대한 인증을 수행한 상기 타 AAA 서버로부터 상기 인증 요청 메시지에 상응하는 응답 메시지를 수신하고, 상기 응답 메시지에 상응하는 상기 외부 에이전트로부터의 인증 요청에 따른 결과 메시지를 상기 외부 에이전트로 전달하는 단계를 포함하는 무선 환경에서의 인증 방법.
  5. 제 4항에 있어서,
    상기 모바일 노드는 상기 외부 네트워크 이전에 접속한 이전 네트워크에 상응하는 이전 외부 에이전트(pFA)와의 세션키를 이용하여 암호화된 인증 메시지를 상기 nFA로 전송하고, 상기 nFA는 상기 인증 메시지에 상응하도록 상기 AAA 서버로 상기 모바일 노드에 따른 인증을 요청하는 것을 특징으로 하는 무선 환경에서의 인증 방법.
  6. 제 5항에 있어서,
    상기 모바일 노드는 상기 pFA의 주소 정보를 상기 nFA로 제공하는 것을 특징으로 하는 무선 환경에서의 인증 방법.
  7. 제 4항에 있어서,
    상기 타 AAA 서버는 상기 인증 요청 메시지의 헤쉬값을 이용하여 인증 처리하는 것을 특징으로 하는 무선 환경에서의 인증 방법.
  8. 제 4항에 있어서,
    상기 결과 메시지를 상기 외부 에이전트로 전달하는 단계는,
    상기 응답 메시지를 수신하는 단계;
    상기 응답 메시지의 암호를 풀어 상기 결과 메시지를 생성하는 단계; 및
    상기 결과 메시지를 상기 외부 에이전트로 전송하는 단계를 포함하는 것을 특징으로 하는 무선 환경에서의 인증 방법.
  9. 제 4항에 있어서,
    상기 nFA는 상기 결과 메시지에 따라 상기 모바일 노드와의 세션키를 생성하고 상기 모바일 노드가 자신과의 세션키를 생성하도록 관련 정보를 상기 모바일 노드로 제공하는 것을 특징으로 하는 무선 환경에서의 인증 방법.
  10. 모바일 노드에 대한 인증을 수행하는 AAA 서버에 있어서,
    외부 네트워크를 방문한 모바일 노드에 대한 인증을 상기 외부 네트워크에 따른 외부 에이전트(nFA)로부터 요청받기 위한 통신 모듈;
    상기 모바일 노드에 대한 인증을 바로 이전에 수행한 타 AAA 서버의 주소를 인식하기 위한 이동성 관리 모듈; 및
    상기 타 AAA 서버로 상기 모바일 노드에 대한 인증 요청 메시지를 전송하고, 상기 모바일 노드에 대한 인증을 수행한 상기 타 AAA 서버로부터 상기 인증 요청 메시지에 상응하는 응답 메시지를 수신하고, 상기 응답 메시지에 상응하는 상기 외부 에이전트로부터의 인증 요청에 따른 결과 메시지를 상기 외부 에이전트로 전달하여 상기 모바일 노드에 대한 인증을 수행하는 인증 모듈을 포함하는 무선 환경의 AAA 서버.
  11. 제 10항에 있어서,
    이전에 인증을 수행한 모바일 단말에 대한 인증 요청을 임의의 다른 AAA 서버로부터 수신함에 따라, 인증 수행을 위한 세션키를 관리하는 키 관리 모듈을 더 포함하는 무선 환경의 AAA 서버.
KR1020070038000A 2007-04-18 2007-04-18 무선 환경에서의 aaa 아키텍처에 기반한 인증 방법 및장치 KR20080093791A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020070038000A KR20080093791A (ko) 2007-04-18 2007-04-18 무선 환경에서의 aaa 아키텍처에 기반한 인증 방법 및장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070038000A KR20080093791A (ko) 2007-04-18 2007-04-18 무선 환경에서의 aaa 아키텍처에 기반한 인증 방법 및장치

Publications (1)

Publication Number Publication Date
KR20080093791A true KR20080093791A (ko) 2008-10-22

Family

ID=40154258

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070038000A KR20080093791A (ko) 2007-04-18 2007-04-18 무선 환경에서의 aaa 아키텍처에 기반한 인증 방법 및장치

Country Status (1)

Country Link
KR (1) KR20080093791A (ko)

Similar Documents

Publication Publication Date Title
Mershad et al. A framework for secure and efficient data acquisition in vehicular ad hoc networks
Sun et al. A privacy-preserving mutual authentication resisting DoS attacks in VANETs
US7581095B2 (en) Mobile-ad-hoc network including node authentication features and related methods
Bohge et al. An authentication framework for hierarchical ad hoc sensor networks
CN112671798B (zh) 一种车联网中的服务请求方法、装置和系统
US20040236939A1 (en) Wireless network handoff key
US8423772B2 (en) Multi-hop wireless network system and authentication method thereof
US20020118674A1 (en) Key distribution mechanism for IP environment
US20060013398A1 (en) Method and system for pre-authentication
US7233782B2 (en) Method of generating an authentication
Bhoi et al. SIR: a secure and intelligent routing protocol for vehicular ad hoc network
KR20120091635A (ko) 통신 시스템에서 인증 방법 및 장치
KR100863135B1 (ko) 이동환경에서의 듀얼 인증 방법
Cao et al. LPPA: Lightweight privacy‐preservation access authentication scheme for massive devices in fifth Generation (5G) cellular networks
Yang et al. Improved handover authentication and key pre‐distribution for wireless mesh networks
Zhang et al. Is Today's End-to-End Communication Security Enough for 5G and Its Beyond?
Mershad et al. REACT: secure and efficient data acquisition in VANETs
Shikfa et al. Bootstrapping security associations in opportunistic networks
Mahajan et al. Security and privacy in VANET to reduce authentication overhead for rapid roaming networks
Bilal et al. Time‐assisted authentication protocol
Lin et al. A fast iterative localized re-authentication protocol for heterogeneous mobile networks
Degefa et al. MES-FPMIPv6: MIH-Enabled and enhanced secure Fast Proxy Mobile IPv6 handover protocol for 5G networks*^
Jia et al. A Critique of a Lightweight Identity Authentication Protocol for Vehicular Networks.
Tai et al. A fast-handover-supported authentication protocol for vehicular ad hoc networks.
KR20080093791A (ko) 무선 환경에서의 aaa 아키텍처에 기반한 인증 방법 및장치

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application