KR20110044664A - 미디어-독립-핸드오버를 위한 사전 인증 방법 및 장치 - Google Patents
미디어-독립-핸드오버를 위한 사전 인증 방법 및 장치 Download PDFInfo
- Publication number
- KR20110044664A KR20110044664A KR1020090101462A KR20090101462A KR20110044664A KR 20110044664 A KR20110044664 A KR 20110044664A KR 1020090101462 A KR1020090101462 A KR 1020090101462A KR 20090101462 A KR20090101462 A KR 20090101462A KR 20110044664 A KR20110044664 A KR 20110044664A
- Authority
- KR
- South Korea
- Prior art keywords
- authentication
- signature
- mihis
- mih
- handover
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/085—Secret sharing or secret splitting, e.g. threshold schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3006—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
- H04L9/3013—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters involving the discrete logarithm problem, e.g. ElGamal or Diffie-Hellman systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3006—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
- H04L9/302—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters involving the integer factorization problem, e.g. RSA or quadratic sieve [QS] schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
- H04L9/3249—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using RSA or related signature schemes, e.g. Rabin scheme
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
본 발명은 미디어-독립-핸드오버 (MIH) 표준 기술이 적용된 WLAN, WiBro/WiMAX, 3GPP LTA 등의 다양한 무선 네트워크가 공존하고 있는 이질적인 네트워크 환경에서 핸드오버 하는 이동 단말의 사전 인증을 대리 서명 기술을 통해 제공하는 인증 연동 방법에 관한 것이다.
미디어-독립-핸드오버, 인증 연동. 사전 인증, 대리 서명
Description
본 발명은 미디어-독립-핸드오버 (Media Independent Handover: MIH, 이하 "MIH" 라고 함.)가 적용된 WLAN, WiBro/WiMAX, 3GPP LTA (3GPP Long Term Evolution, 이하 "3GPP LTE" 라고 함.) 등의 다양한 무선 네트워크가 공존하는 이질적인 네트워크 환경에서 이질적인 네트워크 간을 핸드오버 하는 이동 단말 (Mobile Node: MN, 이하 "MN" 라고 함.)에 대해 핸드오버 하기 전에 사전 인증을 제공하는 방법에 대한 발명으로 MIH 기반 이질적인 네트워크 환경에서의 인증 연동 기술에 속한다.
본 발명은 IEEE 802.21 (Institute of Electrical and Electronics Engineers 802.21, 이하 "IEEE 802.21" 라고 함.) 작업반에서 표준화 진행중인 MIH (Media Independent Handover) 기반의 이질적인 네트워크에서 핸드오버 하는 MN을 인증하기 위한 사전 인증 방법을 제공하는 인증 연동 방법에 관한 것이다.
최근 유무선 통신 기술은 급속한 발전을 하고 있으며, 사용자가 사용하는 무선 단말 또한 점차 여러 종류의 접속 기술을 통해 다양한 무선 네트워크에 접속할 수 있게 되었다. 또한 이러한 통신 기술의 발전은 사용자들에게 보다 다양하고 수준 높은 네트워크 서비스를 제공할 수 있게 되었다. 최근 사용자의 무선 단말은 다중 무선 네트워크 인터페이스가 장착되어 이기종 무선 네트워크를 통해 다양한 네트워크 서비스를 이용할 수 있게 되었으며, 이기종 망을 자유롭게 핸드오버 하면서 필요한 서비스를 제공받을 수 있게 되었다. 그로 인해 이와 같은 네트워크 환경을 자유롭게 핸드오버 하는 사용자에게 끊김 없는 네트워크 접속 서비스를 제공하기 위한 핸드오버 기술이 요구되었다. 이러한 요구사항을 해결하기 위해 IEEE (Institute of Electrical and Electronics Engineers, 이하 "IEEE" 라고 함.)에서는 2004년 3월 802.21 작업반을 구성하여 이기종 망간 핸드오버 문제를 해결하기 위한 기술 표준화를 시작하였다. 현재 표준화가 진행되고 있는 IEEE 802.21 기술은 사용자에게 끊김 없는 네트워크 연결 서비스를 제공하도록 이질적인 무선 네트워크 환경을 연동할 수 있는 표준기술로서 관심이 집중되고 있다.
IEEE 802.21 작업반에서 표준화하고 있는 MIH는 둘 이상의 다른 네트워크 접속 인터페이스를 갖는 다중모드 단말이 미디어에 독립적으로 이기종 망간 핸드오버를 할 수 있도록 지원하는 기술이다. 표준화 중인 MIH는 MIES (Media Independent Event Service, 이하 "MIES" 라고 함.), MICS (Media Independent Command Service, 이하 "MICS" 라고 함.) 그리고 MIIS (Media Independent Information Service, 이하 "MIIS" 라고 함.) 등의 주요한 세 가지 서비스를 정의하고 있다. 이 세가지 서비스를 기반으로 MIH 프로토콜을 위한 메시지 프레임워크를 정의하고 있다. 표준문서에 정의하고 있는 프레임워크로 구성된 MIH는 또한 MIH 메시지를 안전 하게 보호하고, 핸드오버 하는 사용자에게 인증 서비스를 제공하기 위한 보안 기술 표준화도 계속 진행하고 있다. 하지만 아직까지는 기술 제안단계에서 표준화를 위한 연구가 계속되고 있으며, 현재 IETF의 EAP-TLS (Extensible Authentication Protocol - Transport Layer Security, 이하 "EAP-TLS" 라고 함.)를 기반으로 하는 사전 인증 기술에 대한 관심이 집중되고 있다. 그러나 MIH가 적용된 이기종 망 환경에서 빠른 핸드오버 지원을 위한 인증 연동 기술에 대한 제안이 필요하다.
기존 인증 기술 중 MIH 기반 환경에 적용 가능한 AAA (Authentication, Authorization and Accounting, 이하 "AAA" 라고 함.) 서버 기반의 인증 기술이 있지만 이기종 망을 핸드오버 하는 사용자가 매번 AAA 서버를 통해 인증을 받아야 하고, 인증을 받는 과정에서 추가적인 핸드오버 지연이 발생하는 수 있으며, 인증을 위한 추가적인 메시지들로 인해 메시지 오버헤드가 증가하는 문제점이 존재한다.
현재 IEEE 802.21 표준화 작업반에서 표준화 중인 MIH는 둘 이상의 다른 네트워크 접속 인터페이스를 갖는 다중모드 단말에서 미디어에 독립적으로 이기종 망간 핸드오버를 지원하기 위해 하위 물리 계층의 정보를 이용한다. 이때 사용되는 주요 서비스는 MIES, MICS 그리고 MIIS 등이다. MIES는 이벤트를 관리하는 서비스로 물리계층과 MAC (Media Access Control, 이하 "MAC" 라고 함.) 계층에서 발생하는 정보를 SAP (Service Access Point, 이하 "SAP" 라고 함.)를 통해 상위 계층으로 전달하는 기능을 담당한다. 여기서 사용되는 정보는 물리계층 및 MAC 계층에서 인지된 상태 변화 정보를 의미하고, 이때 발생한 이벤트는 단말의 상위 계층에 제공 된다.
MICS는 상위 계층에서 결정된 내용을 하위 계층으로 전달하거나 하위 계층의 동작을 제어하는 기능을 제공한다.
MIIS는 이기종 망간 핸드오버를 위해 필요로 하는 다양한 망 정보를 수집하고, 수집된 정보를 바탕으로 핸드오버를 수행할 수 있도록 지원한다.
위의 세 가지 주요 서비스를 통해 MIH는 MN의 이기종 네트워크 간의 핸드오버를 지원한다. MIH에서 이기종 네트워크를 핸드오버 하는 MN은 일반적으로 다음과정을 통해 핸드오버를 수행한다.
먼저 MN은 자신 주변에 존재하는 핸드오버 가능한 네트워크에 대한 정보를 습득하는 과정을 시작으로 핸드오버를 준비한다. MN의 MIHF (Media Independent Handover Function, 이하 "MIHF" 라고 함.)는 이기종 네트워크를 핸드오버를 하기 위해 MIHIS (Media Independent Handover Information Server, 이하 "MIHIS" 라고 함.)에게 MIH_GET_Information Request/Response 메시지를 통해 이용 가능한 주변 네트워크 (Candidate Network, 이하 "CN" 이라 함.)에 대한 정보를 얻어 오는 과정을 수행한다.
다음 과정은 핸드오버 할 무선 네트워크 (Target Netwrok, 이하 "TN" 이라 함.)를 선택한 후 현재 MN이 접속하고 있는 네트워크 (Serving Network, 이하 "SN" 이라 함.)의 PoS (Point of Service, 이하 "PoS" 이라 함.)와 TN PoS 간에 MIH_HO_Commit Request/Response 메시지를 주고 받음으로써 핸드오버를 준비한다.
다음 과정으로 핸드오버 준비가 끝나면 MN은 L2 (Layer 2, 이하 "L2", 라고 함.) 계층에서의 정보를 기반으로 L2 및 L3 (Layer 3, 이하 "L3", 라고 함.) 핸드 오버를 수행한다.
마지막 과정은 정상적으로 핸드오버가 완료되면 MN은 MIH_HO_Complete Request/Response 메시지를 TN PoS와 SN PoS 간에 주고 받으며 이전 망에서 할당되었던 네트워크 자원을 해제하여 핸드오버를 마무리한다.
위와 같은 과정을 통해 MN의 이기종 망간 핸드오버를 지원한다.
다음은 본 발명에서 인증 연동을 위해 적용하고 있는 대리 서명 기법에 대해서 설명한다. 대리 서명 기법은 1996년 Mambo, Usudo, Okamoto가 그 개념을 처음 소개하였다. 대리 서명 기법은 서명을 생성할 수 있는 원래의 서명자가 자신의 서명 권한을 지정한 대리 서명자에게 위임하여 자신을 대신하여 서명을 할 수 있도록 하였다. 이들이 처음 소개한 대리 서명은 서명 권한을 어떻게 위임하는가에 따라서 부분 위임, 완전 위임, 보증 위임 등으로 구분된다. 최근에는 보안상의 이유로 부분 위임과 보증 값을 이용하여 서명 권한을 위임하는 대리 서명 방식이 주로 사용된다. 이러한 대리 서명 방식은 서명권한을 위임받는 대리 서명자가 생성하는 대리 서명을 원 서명자도 생성할 수 있는지, 오직 대리 서명자만 생성할 수 있는지에 따라 다시 대리 서명자 보호형 대리 서명과 대리 서명자 비 보호형 대리 서명 방식으로 분류된다.
Mambo가 제안했던 대리 서명 방식은 다음과 같다. 먼저 원 서명자는 임의의 큰 소수 를 선택한다. 그 다음 를 구하고, 자신이 생성하는 서명에 사 용하는 개인 키 를 이용하여 공개 키를 와 같이 생성한다. 이후 선택된 대리 서명자에게 서명 권한을 위임하기 위해 서명을 생성한다. 이때 원 서명자는 임의의 를 와 같이 선택한 후 를 와 같이 구한 다음 서명을 와 같이 생성하여 대리 서명자에게 와 를 함께 전달한다.
원 서명자가 전송한 서명 정보를 대리 서명자가 수신하면 를 계산하여 원 서명자의 서명을 검증하고, 검증에 성공하면 원 서명자의 서명을 이용하여 대리 서명을 생성할 때 사용하는 개인 키 를 와 같이 생성한다. 대리 서명에 사용하는 개인 키를 생성한 다음 공개 키는 와 같이 생성한다. 이렇게 대리 서명용 개인 키와 공개 키를 생성함으로써 안전하게 대리 서명 권한을 위임받게 된다. 이후 대리 서명자는 자신의 대리 서명용 개인 키로 메시지를 와 같이 서명한 후 수신자에게 정보를 함께 전송하여 대리 서명을 검증할 수 있게 한다. 사용자에게 전달된 대리 서명은 대리 서명자의 공개 키를 와 같이 검증 함으로써 확인할 수 있다.
본 발명은 상기와 같은 문제점을 해결하기 위해 안출된 것으로서, 본 발명의 목적은 MIH 기반의 이질적인 네트워크 환경에서 이질적인 무선 네트워크를 자유롭게 핸드오버 하는 MN을 빠르게 인증할 수 있도록 대리 서명 방식을 적용하여 사전인증을 빠르게 제공함에 있다.
MIH 기반의 이질적인 네트워크 환경에 존재하는 인증 서버를 대신하여 핸드오버 하는 MN에게 서명정보를 제공할 수 있도록 MIHIS를 대리 서명자로 활용하고, MN이 핸드오버를 시작할 때 필요한 서명을 MIH 프로토콜의 기본 메시지에 포함하여 MN에게 전달하게 하였고, 제공받은 서명을 L2 핸드오버가 수행되기 전에 이동할 네트워크의 TN PoS에게 전달하여 서명 정보를 기반으로 빠르게 MN을 사전 인증할 수 있도록 하였으며, 이 과정에서 무선 구간의 메시지 및 데이터를 보호하기 위한 공유 비밀 키를 상호 공유할 수 있게 한다.
이상 설명한 바와 같이, 본 발명에 따르면 MIH 기반의 이질적인 네트워크 환경에서 현재 접속된 네트워크에서 다른 이질적인 네트워크로 핸드오버 하는 MN의 인증 시 기본적인 MIH 프로토콜에 인증을 위한 메시지를 추가하지 않고도 인증을 빠르게 수행할 수 있기 때문에 인증 기술을 적용하고도 메시지 추가에 따른 메시지 오버헤드를 줄일 수 있다. 또한 본 발명은 인증을 위한 서명 정보들이 MIH 프로토 콜의 기본 메시지를 통해 전달되고, MN이 L2 핸드오버를 하기 전에 MN에 대한 인증을 TN PoS에서 수행할 수 있기 때문에 핸드오버 과정에서 MN 인증에 따른 인증 지연 시간을 줄일 수 있으며, 이로 인해 MN에 대한 빠른 핸드오버를 지원할 수 있다. 그리고 본 발명은 MIH 기반의 이질적인 네트워크 환경에서 자유롭게 이질적인 네트워크를 이동하는 MN에 대해 이질적인 네트워크 환경 간의 인증 연동을 가능하게 한다.
상기 목적을 달성하기 위한 본 발명에 따른 미디어-독립-핸드오버 기반의 이질적인 네트워크 환경에서 대리 서명 방식을 적용한 사전 인증 방법은, 최초 MN 및 MIHIS가 부팅 되는 과정에서 인증 서버와 EAP-TLS를 통한 초기 인증 과정을 수행하여 인증 서버와 MN, 인증 서버와 MIHIS 간에 비밀 통신을 위한 마스터 세션 키를 상호 공유하게 되는 초기 인증 단계, 초기 인증 단계가 성공적으로 수행된 다음 각 인증 서버를 대신하여 MIHIS가 MN에 대한 서명을 발행할 수 있도록 인증 서버의 서명 권한을 위임하고 위임된 서명을 검증하는 단계, 서명 권한을 위임받은 MIHIS가 이질적인 네트워크로 핸드오버하는 MN이 MIHIS에게 주변 CN들에 대한 정보를 요청할 경우 가용한 네트워크에서 사전 인증을 위해 사용되는 서명을 생성하여 전달하고, 전달받은 서명을 MN이 검증하는 단계, 서명을 전달받은 MN이 핸드오버할 TN을 결정한 다음 TN에게 MIHIS가 발행한 서명을 전달함으로써 핸드오버 전에 사전인증을 수행하는 단계, 그리고 사전 인증 이후 L2, L3 핸드오버 과정을 통해 이질적인 네트워크로의 핸드오버를 마무리하는 단계를 포함한다.
이하에서는 도면을 참조하여 본 발명을 보다 상세하게 설명한다.
도 1은 본 발명에서 제안하는 인증 연동 프로토콜을 적용하기 위한 MIH 기반의 이질적인 네트워크가 연동되는 전체 네트워크 구조를 설명한 도면이다. 도면에서 보는 것처럼 WLAN, WiBro/WiMAX 그리고 3GPP LTE 환경이 연동되고 있으며, 이질적인 네트워크 간의 핸드오버를 지원하기 위해 MIH가 적용되었다. 각 네트워크는 도면에서 처럼 인증 서버(101)가 존재하고, MN(102)은 현재의 네트워크(103~104)에서 MIH 프로토콜을 이용하여 이질적인 후보 타겟 네트워크(106~109)로 핸드오버할 수 있다.
도 2는 도면 1에서 설명하는 네트워크 환경에서 현재 접속된 네트워크(201)에서 후보 타겟 네트워크(202)로 MN(102)이 핸드오버 할 경우 필요한 서명을 발급받는 과정을 설명한다. MN(102)이 초기 부팅을 시작하면 EAP-TLS 사전 인증 프로토콜(205)을 이용하여 현재 접속한 네트워크(201)의 인증 서버(101)와 초기 인증을 수행(204)한다. 또한 MIHIS(203)도 초기 부팅을 시작하면 EAP-TLS 사전 인증 프로토콜(205)을 이용하여 각 네트워크의 인증 서버(101)들과 초기 인증 과정(204)을 수행한다. MIHIS(203)가 성공적으로 각 인증 서버(101)들과 초기 인증(205)을 마무리하고나면, 각 인증 서버(101)들은 자신을 대신하여 핸드오버 하는 MN(102)이 사전 인증을 위해 사용하는 서명을 MIHIS(203)가 대신 생성하여 전달해 줄 수 있도록 하기 위한 서명 권한을 위임(207)한다. 서명 생성 및 검증을 위해 MIHIS(203)와 인증 서버(101)들은 RSA 암호의 개인 키 와 공개 키 쌍을 생성하여 사전에 보 관하고 있다. 서명 권한 위임을 위해 생성하는 서명은 다음 수식 1과 같이 생성된다.
생성된 서명은 서명 권한을 위임하는 MIHIS(203)의 RSA 공개 키와 식별정보, 서명 권한을 위임하는 인증 서버의 식별 정보 등이 포함되어 서명이 생성된다. 이렇게 생성된 서명은 MIHIS(203)에게 다이어메타 또는 라디우스와 같은 AAA 인증 프로토콜 등을 사용하여 안전한 방법으로 전달된다(207). 이렇게 전달된 서명을 MIHIS(203)가 수신하면 다음의 수식 2와 같은 방법으로 서명을 검증하여 인증 서버(101)로부터 정상적으로 서명 권한이 위임 되었음을 확인하고 서명을 보관한다.
이후 MN(102)이 현재의 네트워크(201)에서 다른 이질적인 네트워크(202)로 핸드오버를 할 경우 MN(102)의 MIHF는 MIHIS(203)에게 MIH 메시지를 전달하여 MN(102)의 핸드오버를 돕는다. 먼저 MN(102)은 MIHIS(203)에게 후보 타겟 네트워크(202)들에 대한 정보와 가용한 후보 타겟 네트워크에서 사전 인증을 위해 사용하게 되는 서명을 요청하는 메시지(208~209)를 MIHIS(203)에게 보낸다(208~209). MN(102)이 요청한 메시지(208~209)에는 MN(102)이 사용 가능한 무선 네트워크 인터페이스 정보가 포함되어 있다. 이 정보가 포함된 요청 메시지(208~209)를 수신한 MIHIS(203)는 MN(102)을 인증한다. 이때 MN(102)을 인증하기 위해 인증 서버(101)의 도움을 받거나, 초기 인증 과정을 통해 상호 간에 분배된 비밀 키를 통해 MN(102)을 인증 할 수 있다. 이렇게 MN(102)에 대한 인증이 성공적으로 마무리되면 MIHIS(203)는 MN(102)을 위한 서명을 다음의 수식 3과 같이 생성한다.
위와 같이 서명을 생성하여 후보 타겟 네트워크(202) 리스트와 함께 타겟 후보 네트워크(202)에서 핸드오버 하는 MN(102)을 인증하고 검증 가능한 서명을 응답 메시지(212~213)에 포함하여 MN(102)에게 전달한다. MN(102)이 응답 메시지(213)를 수신하면 응답 메시지에 포함된 서명 정보를 검증하여 정상적으로 서명 권한을 위임받은 MIHIS(203)가 생성한 서명인지를 다음 수식 4와 같이 검증한다.
위의 수식처럼 MN(102)이 서명을 성공적으로 검증하고 나면 MIH 프로토콜 표준에서와 같이 후보 네트워크들에 대한 네트워크 자원 검사 과정을 수행한다. MN(102)은 MIHIS(203)가 알려준 후보 타겟 네트워크(202) 정보를 기반으로 네트워크 자원 정보 검사 요청 메시지를 타겟 네트워크(202)들로 전송한다. 이때 요청 메시지(215~216)에는 MN(102)의 사전 인증 과정을 위해 후보 타겟 네트워크(202)의 디피헬만 공개 값을 요청하는 정보가 포함되어 전달된다. 요청 메시지를 수신한 타겟 네트워크는 응답 메시지(217~218)에 자신의 디피헬만 공개 값을 추가하여 MN(102)에게 응답한다. 응답 메시지(218)를 MN이 수신하면, MN은 자신이 핸드오버할 타겟 네트워크(202)를 결정하고, 결정된 타겟 네트워크의 디피헬만 공개 값을 디피헬만 키 생성 방법을 이용하여 타겟 네트워크와 공유하게 되는 비밀 공유 키 를 생성한다.
도 3은 위의 도 2에서 설명한 과정과 연속된 과정으로 타겟 네트워크(202)를 결정하고 공유 비밀 키를 생성한 MN(102)은 MIH 표준 프로토콜에서처럼 결정된 타겟 네트워크(202)로 네트워크 자원 준비를 요청하는 메시지를 전달한다. 이때 전달되는 MIH 메시지에 MN(102)이 타겟 네트워크(202)로 핸드오버 하기 전에 사전 인증을 수행할 수 있도록 하기 위해 MIHIS(203)가 발행한 서명과 공유 비밀 세션 키 를 통해 생성한 값 등을 함께 포함하여 타겟 네트워크(202)로 전송한다(221~222). MN(102)이 전송한 요청 메시지(221~222)를 타겟 네트워크(202)가 수신하면 MIH 표준에서처럼 네트워크 자원을 준비한다. 그리고 메시지에 포함된 서명을 수식 4에서와 같은 방법으로 검증하여 서명을 전달한 MN(102)을 인증한다. 또한 서명에 포함된 MN의 디피헬만 공개 값을 디피헬만 키 생성 방법을 사용하여 MN과 동일한 공유 비밀 키 를 생성한 다음 메시지에 포함된 값을 검증하여 메시지의 무결성 및 MN(102)에 대한 사전 인증을 마무리한다. 이후 타겟 네트워크는 사전 인증 성공 및 네트워크 자원 준비 결과를 MN(102)에게 전달한다(224~225). 이때 전달되는 응답 메시지(224~225)에는 타겟 네트워크(202)가 생성한 공유 비밀 키를 통해 생성한 값이 포함되어 전달된다(224~225). 이 메시지를 수신한 MN(102)은 포함된 을 검증(226)하여 사전 인증이 성공하였음을 알게 된다. 이후 MN(102)은 MIH 표준에서 설명하고 있는 것처럼 2 계층과 3 계층에 대한 핸드오버를 수행(227)하고, 이전 네트워크 자원을 해제하는 과정(228)을 통해 MN의 핸드오버를 마무리한다.
위에서처럼 이질적인 네트워크로 이동하는 MN(102)을 MIH 기반 표준 프로토콜을 이용하여 사전 인증 및 이질적인 네트워크 간의 인증 연동을 제공하기 위해 초기 인증 과정 이후에 인증 서버가 MIHIS(203)에게 서명 권한을 위임하게 하였다. 이후 서명 권한을 위임받은 MIHIS(203)는 이질적인 네트워크로 핸드오버 하는 MN(102)을 위해 후보 타겟 네트워크에서 검증 가능한 서명을 인증 서버를 대신하여 발급한다. 이 서명을 이용하여 MN(102)은 핸드오버 할 타겟 네트워크(202)와 MIH 표준 프로토콜을 주고받는 과정에서 사전 인증을 수행하고, 보안 통신을 위해 필요한 공유 비밀 키를 공유한다.
도 4는 본 발명을 위해 MIH 표준에서 정의하고 있는 MIH 프로토콜 프레임의 TLV (Type Length Value, 이하 "TLV" 라고 함.)에 새롭게 정의한 AIP-TLV (Authentication Interworking Protocol - Type Length Value, 이하 "AIP-TLV" 라고 함.)(304)에 대해서 설명한다. 본 발명에서 제안하는 인증 연동 프로토콜은 기존 MIH 표준 프로토콜에 적용하여 사용된다. 특히 본 인증 연동 프로토콜은 MN을 사전 인증하는 과정에서 추가적인 MIH 프로토콜 메시지를 추가하지 않고 현재 표준에서 정의하고 있는 MIH 프로토콜 메시지와 동작 절차를 그대로 사용할 수 있다. 이를 위해 본 발명에서는 기존 MIH 표준에서 정의하고 있는 MIH 프로토콜 프레임의 TLV 필드(302~303)에 본 발명을 위해 AIP-TLV(304)를 새롭게 정의하였다. 이렇게 함으로써 기존 MIH 표준 프로토콜에 인증 연동 과정을 추가하여도 MN이 핸드오버 할 때 필요한 전체적인 핸드오버 지연 시간에 대한 부담을 줄였다. 본 발명에서 추가된 인증 연동 프로토콜에서 사용되는 암호학적 계산들은 대부분 MN이 2 계층 핸드오버를 수행하기 전에 마무리된다. 즉 2 계층 핸드오버를 준비하는 과정에서 수행되기 때문에 전체적인 핸드오버 지연 시간에 크게 영향을 주지 않는다. 다만 보안이 적용된 이후 메시지 암/복호화 과정에서 필요한 연산 시간이 추가됨에 따른 지연 시간이 발생할 수 있다.
도 1은 본 발명에서 제안하는 인증 연동 프로토콜을 적용하기 위한 MIH 기반의 이질적인 네트워크가 연동되는 전체 네트워크 구조를 설명한 도면,
도 2는 도 1에서 설명한 네트워크 환경에서 MIH 프로토콜에 본 발명에서 제안하는 인증 연동 프로토콜을 적용하여 MN이 후보 타겟 네트워크로 핸드오버 할 때 사전 인증을 위해 필요한 서명을 생성하고 발급받는 과정을 설명하는 도면,
도 3은 도 2에서 설명하는 과정의 연속으로 서명을 발급받은 MN이 후보 타겟 네트워크로 핸드오버 하기 전에 서명을 이용한 사전 인증 및 공유 비밀 키를 분배하는 인증 연동을 수행하는 과정을 설명하는 도면이다.
Claims (4)
- 임의의 이동성 관리 프로토콜을 이용하여 링크 계층에 독립적으로 이동 단말의 이동성을 지원할 수 있도록 표준화되고 있는 미디어-독립-핸드오버 (MIH) 환경에서 이동하는 이동 단말이 사전 인증을 수행하기 위한 인증 연동 방법으로서,제1 미디어 네트워크에 접속성을 갖는 이동 단말이 접속 네트워크의 초기 인증 프로토콜을 이용하여 초기 인증을 수행하고, 각 이질적인 네트워크에 접속된 MIHIS가 각 접속 네트워크의 인증 서버들과의 초기 인증을 수행한 다음 인증 서버들로부터 서명 생성 권한을 위임받고, 이동 단말을 위한 서명을 인증 서버를 대신하여 생성하고 이동 단말로 전달하는 1 단계; 및상기 제1 미디어 네트워크에서 후보 타겟 네트워크로 이동하는 이동 단말이 미디어-독립-핸드오버 표준 프로토콜을 통해 MIHIS로부터 네트워크 정보를 받아 오는 과정에서 MIHIS가 인증 서버를 대신하여 생성, 발급한 서명을 이용하여 후보 타겟 네트워크와 사전 인증 및 공유 비밀 키를 생성 및 공유하는 2단계를 포함하는 것을 특징으로 하는 미디어-독립-핸드오버를 위한 사전 인증 수행 방법.
- 제 1항에 있어서,상기 제1 단계에서 초기 인증 과정(205)을 성공적으로 수행한 MIHIS(203)가 인증 서버(101)를 대신하여 서명을 생성하는 대리서명 생성장치로 활용하고, MIHIS 에게 RSA 기반의 대리서명 방법으로 인증 서버와 MIHIS 간의 안전한 보안 채널을 통해 서명 권한을 위임하는 단계(207);상기 1단계가 완료된 후 수행되는 상기 제2 단계에서 상기 MIHIS는 서명 권한을 위임받은 후 이동 단말(102)이 현재 접속한 제1 미디어 네트워크(201)에서 새로운 후보 타겟 네트워크로 핸드오버하기 위해 MIHIS에게 후보 타겟 네트워크의 정보를 MIH _GET_Information_ Sig Request 메시지로 요청하면 MIHIS는 상기 이동 단말 (102)에서 핸드오버 가능한 후보 타겟 네트워크 정보와 대리 서명을 생성하여 MIH _GET_Information_ Sig Response 메시지를 이용하여 상기 이동 단말로 전달하는 단계(208~213)를 포함하는 미디어-독립-핸드오버를 위한 사전 인증 수행 방법.
- 제 1항에 있어서,상기 제 1단계가 완료된 후 수행되는 상기 제2 단계에서, 이동 단말이 후보 타겟 네트워크(202)로 핸드오버 하기 전에 상기 MIHIS가 발급해준 서명을 이용하여 사전 인증을 수행하는 단계로써, 핸드오버 가능한 후보 타겟 네트워크(202)에게 MIH_HO_Candidate_Query Request 메시지를 전송한 후 후보 타겟 네트워크에서 MIH_HO_Candidate_Query Response 메시지로 응답할 때 후보 타겟 네트워크의 디피-헬만 공개 값을 공유하는 단계(215~218);상기 이동 단말(102)이 핸드오버 하기로 결정한 상기 타겟 네트워크(202)와 MIH_HO_PreAuth_Commit Request 메시지와 MIH _HO_ PreAuth _Commit Response 메시지 에 상기 MIHIS가 발급한 서명과 디피-헬만을 통해 생성한 공유 비밀 세션 키로 생성된 값을 이용하여 타겟 네트워크에서 이동 단말에 대한 사전 인증 수행 및 공유 비밀 세션 키를 공유하는 단계(220~226);상기 메시지를 수신 한 이동 단말(102)은 상기 타겟 네트워크와 사전 인증 수행을 완료하고 제2 계층 및 제3 계층에 대한 핸드오버를 통해 이기종 망으로 핸드오버를 수행하는 단계(227~228)를 포함하는 미디어-독립-핸드오버를 위한 사전 인증 방법.
- 제 1항에 있어서,상기 제1 단계와 제2 단계에서 현재 표준화 중인 미디어-독립-핸드오버 표준 프로토콜에 사전 인증을 위한 추가적인 메시지가 필요없이 기존 미디어-독립-핸드오버 표준 프로토콜의 프레임워크에 새롭게 인증 연동 프로토콜 TLV (304)를 추가하여 기존 MIH 표준 프로토콜 메시지를 MIH _GET_Information_ Sig Request/Response 메시지(208~213), MIH_HO_Candidate_Query Request/Response 메시지(215~218), MIH_HO_Pre_Auth_Commit Request/Response 메시지 (221~225) 등으로 수정하여 인증 연동을 위해 사용하는 것을 포함하는 미디어-독립-핸드오버를 위한 사전 인증 방법.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020090101462A KR101131936B1 (ko) | 2009-10-23 | 2009-10-23 | 미디어-독립-핸드오버를 위한 사전 인증 방법 및 장치 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020090101462A KR101131936B1 (ko) | 2009-10-23 | 2009-10-23 | 미디어-독립-핸드오버를 위한 사전 인증 방법 및 장치 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20110044664A true KR20110044664A (ko) | 2011-04-29 |
KR101131936B1 KR101131936B1 (ko) | 2012-04-03 |
Family
ID=44049360
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020090101462A KR101131936B1 (ko) | 2009-10-23 | 2009-10-23 | 미디어-독립-핸드오버를 위한 사전 인증 방법 및 장치 |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101131936B1 (ko) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20220063909A (ko) * | 2020-11-11 | 2022-05-18 | 한국철도기술연구원 | 비면허대역 통신시스템에서 저지연 핸드오버 지원방법 및 장치 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20060074828A (ko) * | 2004-12-27 | 2006-07-03 | 주식회사 케이티 | 계층적 캐싱 구조를 이용한 로밍 인증 시스템 및 그방법과, 그를 이용한 고속 페이징 방법 |
US7738882B2 (en) | 2005-06-13 | 2010-06-15 | Toshiba America Research, Inc. | Framework of media-independent pre-authentication improvements: including considerations for failed switching and switchback |
KR101203470B1 (ko) * | 2006-03-10 | 2012-11-27 | 삼성전자주식회사 | 핸드오버하는 이동 단말을 인증하는 방법 |
-
2009
- 2009-10-23 KR KR1020090101462A patent/KR101131936B1/ko not_active IP Right Cessation
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20220063909A (ko) * | 2020-11-11 | 2022-05-18 | 한국철도기술연구원 | 비면허대역 통신시스템에서 저지연 핸드오버 지원방법 및 장치 |
Also Published As
Publication number | Publication date |
---|---|
KR101131936B1 (ko) | 2012-04-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3668042B1 (en) | Registration method and apparatus based on service-oriented architecture | |
US11296877B2 (en) | Discovery method and apparatus based on service-based architecture | |
CN109699031B (zh) | 采用共享密钥、公钥和私钥的验证方法及装置 | |
CN101616410B (zh) | 一种蜂窝移动通信网络的接入方法和系统 | |
JP5043117B2 (ja) | ケルベロス化ハンドオーバキーイング | |
US20160226860A1 (en) | Virtual subscriber identity module | |
CN110035433A (zh) | 采用共享密钥、公钥和私钥的验证方法及装置 | |
EP2237473B1 (en) | Configuring a key for Media Independent Handover (MIH) | |
CN101233734A (zh) | 用于在无线通信系统中的越区切换期间分发安全密钥的方法 | |
EP3700162B1 (en) | Systems and methods for authentication | |
CN103313242B (zh) | 密钥的验证方法及装置 | |
JP2010521086A (ja) | リアクティブオペレーションのために最適化されるケルベロス化ハンドオーバキーイング | |
JP2008547304A (ja) | 無線携帯インターネットシステム用の認証キー識別子の割り当て方法 | |
JP5290323B2 (ja) | 無線アクセス技術及び移動ip基盤の移動性制御技術が適用された次世代のネットワーク環境のための統合ハンドオーバー認証方法 | |
CN101156352A (zh) | 基于移动网络端到端通信的认证方法、系统及认证中心 | |
KR20070120176A (ko) | 키 머티리얼의 교환 | |
CN107820242A (zh) | 一种认证机制的协商方法及装置 | |
US8407474B2 (en) | Pre-authentication method, authentication system and authentication apparatus | |
Kim et al. | MoTH: mobile terminal handover security protocol for HUB switching based on 5G and beyond (5GB) P2MP backhaul environment | |
Huang et al. | Authentication mechanisms in the 5G system | |
KR101131936B1 (ko) | 미디어-독립-핸드오버를 위한 사전 인증 방법 및 장치 | |
KR100729725B1 (ko) | 무선 휴대 인터넷 시스템에서 인증 방법 및 그 인증 시스템 | |
CN110830996B (zh) | 一种密钥更新方法、网络设备及终端 | |
KR100972743B1 (ko) | 마니모의 이동 애드 혹 네트워크에 속한 이동 라우터 간에인증 토큰을 이용한 상호 인증 방법 | |
Das et al. | A proxy based approach for pre-authentication in media independent vertical handover |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E90F | Notification of reason for final refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20150108 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20170117 Year of fee payment: 6 |
|
LAPS | Lapse due to unpaid annual fee |