• 专利附录
  • 专利说明
  • 权利要求
  • 类似技术
  • 同族专利
  • 引用文献
  • 法律状态
  • 优先权
    • 专利摘要:
    無線アクセス技術及び移動IP基盤の移動性制御技術が適用されたNGN環境のための統合ハンドオーバー認証技法に関するものであって、接続ルータ(PAR)、ターゲットルータ(NAR)及び認証サーバー(AAA)を含む次世代のネットワーク(NGN)環境で統合ハンドオーバー認証を行うための移動端末(MN)の動作方法において、移動端末とターゲットルータとの間に共有し、移動端末とターゲットルータとの間にFBU(FastBindingUpdate)メッセージを保護するハンドオーバー認証キーHKNARを生成するステップ、ハンドオーバー認証キーHKNARを利用して生成した認証要請メッセージAAuthReqを伝送するステップ、及び認証要請メッセージAAuthReqに対する応答として認証成功メッセージAAuthRespを受信するステップを含むことを特徴とし、端末の移動性が有する局地性によって階層的なハンドオーバーを行って、AAA認証サーバーのオーバーヘッドを最小化する統合ハンドオーバー認証実行手順を提供する。
    公开号:JP2011512052A
    申请号:JP2010539288
    申请日:2008-12-09
    公开日:2011-04-14
    发明作者:アン、ジェ‐ヤン;ウォン、テ‐ジュン;チェ、ジェダック;ユン、スーホワン
    申请人:エレクトロニクス アンド テレコミュニケーションズ リサーチ インスチチュートElectronics And Telecommunications Research Institute;
    IPC主号:H04L9-32
    专利说明:

    [0001] 本発明は、無線アクセス技術及び移動IP基盤の移動性制御技術が適用されたNGN(Next Generation Network)環境のための統合ハンドオーバー認証方法に係り、特に本発明は、ITU(International Telecommunication Union)−Tで開発中であるNGN網接続(Network Attachment)技術標準が、基本的にIEEE 802.11,802.16e,3世代移動通信など無線アクセス技術と共にIP基盤のネットワーク移動性制御技術を受容できるように定義されており、それらの認証手順を統合受容する統合認証モデルを採択している一方、統合ハンドオーバー認証方法まで考慮した一貫した方法を適切に定義していない点を補完する技術である。]
    [0002] 本発明は、情報通信部及び情報通信研究振興院の情報通信標準開発支援事業の一環として行った研究から導出されたものである[課題管理番号:2007−P10−30、課題名:広帯域統合網の統合番号体系標準開発]。]
    背景技術

    [0003] 多様な異種アクセス技術が適用される場合、EAP(Extensible Authentication Protocol)基盤の認証の低い階層制御方式は、各アクセス技術別に別に開発され、IP基盤の統合網を構築しようとするNGNは、それらを統合するための統合認証方法を採択する。]
    [0004] NGNでは、EAP基盤の統合認証方法を定義しており、四つの要素から構成される構造を採択している。これは、AS(Authentication Server)、Authenticator、EP(Enforcement Point)、Peerから構成され、それぞれの構成要素は、802.11−FMIPv6,802.16e−FMIPv6,3G−FMIPv6ネットワーク構造で、各機能ノードと一対一にマッチングされる(AS−AAA,Authenticator−AR,EP−AP,Peer−MN)。]
    [0005] この場合、端末が移動する場合を考慮すれば、リンク階層のEAP認証に対してハンドオーバー認証を付加すると共に、モバイルIPなどネットワーク階層でもハンドオーバーが起こるので、このためのハンドオーバー認証手順が行われねばならない。特に速いハンドオーバーのためには、EAP階層とネットワーク階層との統合認証を通じて、認証制御シグナリングの不要な重複的な手順を最小化することはいうまでもなく、ハンドオーバー手順自体を一貫して保護せねばならないという技術的な課題がある。]
    [0006] かかるハンドオーバー認証技術については、モバイルIP階層で提案されたバインディングアップデート保護技術(IETF RFC4086)、AAA(Authentication,Authorization,Accounting)基盤のハンドオーバー認証(IETF draft−ietf−mipshop−3gfh−03)、SENDを利用した安全コンテキスト伝達方法を利用したハンドオーバー認証技法(IETF draft−ietf−mipshop−handover−key−00)などがあるが、それらは、いずれもネットワーク階層単独のハンドオーバー認証のみを考慮している。]
    [0007] 移動アクセス階層でもハンドオーバー認証方法は提案されたものがあり、特にWLANのためには、IEEE 802.1XEAP認証、プロアクティブキー分配方法、移動性予測技法など多様な方式が存在する。しかし、それらも無線アクセス階層単独でのみ適用を考慮して提案されており、他の階層のハンドオーバー認証と共に使用する場合、複数の重複メッセージを誘発するなど統合の観点では、負担になるプロトコル設計構造を有している。]
    [0008] 結論として、多数のハンドオーバー認証方法がLayer2及びLayer3それぞれに対して提案されているが、NGNのような統合構造を有する網のアクセス端で起こる各階層別認証手順を効果的に統合し、移動性発生の場合、統合ハンドオーバー認証まで適切に行う、移動性を考慮した統合認証制御及びキー管理方法はまだ提案されていない。]
    発明が解決しようとする課題

    [0009] 本発明が解決しようとする課題は、NGNアクセス環境で、多様な異種アクセス及びモバイルIP基盤のネットワーク移動性を具現する場合、端末の移動に対して各階層で発生するハンドオーバー認証手順を統合制御することによって、不要な重複メッセージを省略する効率的な統合認証制御構造を提示し、局地的な移動性が発生する場合には、統合認証による不要な制御領域の拡大が起こらないように、各階層が所定のレベルの局地的ハンドオーバー認証を行わせる階層的な方法を提示するものである。]
    [0010] 本発明が解決しようとする他の課題は、移動端末が直接ハンドオーバーキーを生成して管理する方法に関するものであって、AR(Access Router)とAAA認証サーバーとの間に安全なチャネルが存在し、AAAと端末とがIETFのEAP標準文書(RFC 3748)で定義したEMSK(Extended Master Session Key)を共有する環境を定義し、該EMSKを利用して、サーバーと端末との間の認証のためのキーAMK(Authentication Master Key)と、移動端末が新たなARと共有するハンドオーバー認証キーHK(Handover Key)とを暗号化するEMK(Encryption Master Key)を生成可能にするものである。]
    [0011] 本発明が解決しようとするさらに他の課題は、ハンドオーバー認証モデルには、大きくPredictive(移動予測方式)及びReactive(事後反応処理方式)の2種類があるので、効率的な統合認証手順及びキー管理モデルを該2種類のモデルに対してそれぞれ適用する方法を提示するものである。]
    [0012] 本発明が解決しようとするさらに他の課題は、統合ハンドオーバー認証方法をITU−Tで開発されているNGN統合認証モデルに適するように適用するものであって、前記ハンドオーバー認証技法に対して階層的管理技術を加えて、移動ノードのネットワーク階層ハンドオーバー時には、AAAサーバー基盤の移動ノード主導型ハンドオーバー認証を行い、リンク階層ハンドオーバー時には、ARで各AP(Access point)またはBS(Base Station)のハンドオーバー認証キーを階層的に管理する構造を開発するものである。]
    課題を解決するための手段

    [0013] 前記課題を解決するために、本発明で提示する統合ハンドオーバー認証を行うための移動端末の動作方法は、接続ルータ(PAR)、ターゲットルータ(NAR)及び認証サーバー(AAA)を含む次世代のネットワーク(NGN)環境で統合ハンドオーバー認証を行うための移動端末(MN)の動作方法において、(a)移動端末とターゲットルータとの間に共有され、前記移動端末と前記ターゲットルータとの間にFBU(Fast Binding Update)メッセージを保護するハンドオーバー認証キーHKNARを生成するステップ、(b)前記ハンドオーバー認証キーHKNARを利用して生成した認証要請メッセージAAuthReqを伝送するステップ、及び(c)前記認証要請メッセージAAuthReqに対する応答として認証成功メッセージAAuthRespを受信するステップを含むことを特徴とする。]
    [0014] また、前記(a)ステップは、現在時間をキー値とし、前記移動端末を識別できる識別コードIDMNと、前記ターゲットルータを識別できる識別コードIDNARとを利用して、ハッシュ関数を通じて前記ハンドオーバー認証キーHKNARを生成することを特徴とする。]
    [0015] また、前記(b)ステップは、前記ハンドオーバー認証キーHKNARを暗号化して生成した値EEMK(HKNAR)、前記認証サーバーが前記移動端末を検証するための情報を暗号化して生成した値MACMN_AAA及び前記接続ルータが前記移動端末を検証するための情報を暗号化して生成した値MACMN_PARを含む前記認証要請メッセージAAuthReqを伝送することを特徴とする。]
    [0016] また、前記(c)ステップは、前記認証要請メッセージAAuthReqに含まれた前記ハンドオーバー認証キーHKNARを利用して生成された認証成功メッセージAAuthRespを受信することを特徴とする。]
    [0017] また、(d)前記接続ルータから前記ターゲットルータにハンドオーバーする場合には、現在連結された接続ルータで使用したアドレス、及び前記ターゲットルータで使用するアドレスを含むFBUメッセージを伝送するステップ、及び(e)ハンドオーバーが完了した場合、前記移動端末(MN)を識別できる識別コードIDMN、及び前記ハンドオーバー認証キーHKNARを利用して生成したFNA(Fast Neighbor Advertisement)メッセージを伝送するステップをさらに含むことを特徴とする。]
    [0018] 前記課題を解決するために、本発明で提示する統合ハンドオーバー認証を行うための移動端末の動作方法は、接続ルータ(PAR)、ターゲットルータ(NAR)及び認証サーバー(AAA)を含む次世代のネットワーク(NGN)環境で統合ハンドオーバー認証を行うための移動端末(MN)の動作方法において、(a)接続ルータからターゲットルータにハンドオーバーが完了した場合、移動端末及び前記ターゲットルータがハンドオーバー時に共有したハンドオーバー認証キーHKNARを利用して生成した認証要請メッセージAAuthReqを伝送するステップ、(b)前記移動端末が認証可能な場合、前記ハンドオーバー認証キーHKNARを利用して生成された認証成功メッセージAAthuRespを受信するステップを含むことを特徴とする。]
    [0019] また、前記(a)ステップは、前記ハンドオーバー認証キーHKNARを暗号化して生成した値EEMK(HKNAR)、認証サーバーが前記移動端末を検証するための情報を暗号化して生成した値MACMN_AAA、及び前記接続ルータが前記移動端末を検証するための情報を暗号化して生成した値MACMN_NARを含む前記認証要請メッセージAAuthReqを伝送することを特徴とする。]
    [0020] また、前記(b)ステップは、前記認証サーバーで前記認証要請メッセージAAuthReqを利用して、前記移動端末の認証可能如何を判別して認証可能な場合、前記認証要請メッセージAAuthReqに含まれた前記ハンドオーバー認証キーHKNARを復号化し、前記ハンドオーバー認証キーHKNARを利用して生成した認証成功メッセージAAuthRespを受信することを特徴とする。]
    [0021] 前記課題を解決するために、本発明で提示する統合ハンドオーバー認証を行うための認証サーバーの動作方法は、接続ルータ(PAR)、ターゲットルータ(NAR)及び認証サーバー(AAA)を含む次世代のネットワーク(NGN)環境で統合ハンドオーバー認証を行うための認証サーバー(AAA)の動作方法において、(a)移動端末(MN)、接続ルータ及びターゲットルータ間に共有したハンドオーバー認証キーHKPARまたはHKNARを利用して、前記接続ルータ及び前記ターゲットルータそれぞれに含まれたAP(Access Point)別にセッションマスタキー(SMK)を割り当てるステップ、及び(b)前記移動端末が前記接続ルータ内の相異なるAPにハンドオーバーする場合には、前記ハンドオーバー認証キーHKPAR、及び前記ハンドオーバーするAPに対するセッションマスタキーを利用して、前記移動端末とのリンク階層認証を行うステップを含むことを特徴とする。]
    [0022] また、前記(b)ステップは、(b1)前記移動端末が前記接続ルータ内のAPから前記ターゲットルータ内のAPにハンドオーバーする場合には、前記ハンドオーバー認証キーHKNARを利用して生成した認証要請メッセージAAuthReqを前記接続ルータ及び前記ターゲットルータから順次に受信されて、前記移動端末の認証可能如何を判別して認証可能な場合、前記ハンドオーバー認証キーHKNARを利用して生成した認証成功メッセージAAuthRespを前記ターゲットルータ、前記接続ルータ及び前記移動端末へ順次に伝送して、ネットワーク階層認証を行うステップ、及び(b2)前記ハンドオーバー認証キーHKNAR、及び前記ハンドオーバーするAPに対するセッションマスタキーを利用して、前記移動端末とのリンク階層認証を行うステップを含むことを特徴とする。]
    [0023] また、前記(b)ステップは、(b1)前記移動端末が前記接続ルータ内のAPから前記ターゲットルータ内のAPにハンドオーバーする場合には、前記移動端末がハンドオーバーが完了した場合、前記移動端末及び前記ターゲットルータがハンドオーバー時に共有したハンドオーバー認証キーHKNARを利用して生成した認証要請メッセージAAuthReqを前記移動端末から伝送され、前記移動端末が前記接続ルータで使用したアドレスが含まれたFBUメッセージを前記接続ルータから伝送された前記ターゲットルータから前記認証要請メッセージAAthuReqを伝達されて、前記移動端末の認証可能如何を判別して認証可能な場合、前記ハンドオーバー認証キーHKNARを利用して生成した認証成功メッセージAAthuRespを前記ターゲットルータ及び前記移動端末へ順次に伝送して、ネットワーク階層認証を行うステップ、及び(b2)前記ハンドオーバー認証キーHKNAR及び前記ハンドオーバーするAPに対するセッションマスタキーを利用して、前記移動端末とのリンク階層認証を行うステップを含むことを特徴とする。]
    [0024] 前記課題を解決するために、本発明で提示する次世代のネットワーク(NGN)環境で移動端末MNの統合ハンドオーバー認証方法は、接続ルータ(PAR)、ターゲットルータ(NAR)及び認証サーバー(AAA)を含む次世代のネットワーク(NGN)環境で移動端末MNの統合ハンドオーバー認証方法において、(a)移動端末は、前記移動端末とターゲットルータとの間に共有し、前記移動端末と前記ターゲットルータとの間にFBUメッセージを保護するハンドオーバー認証キーHKNARを生成するステップ、(b)前記ハンドオーバー認証キーHKNARを利用して生成した認証要請メッセージAAuthReqを接続ルータ、前記ターゲットルータ及び認証サーバーへ順次に伝送するステップ、及び(c)前記移動端末の認証可能如何を判別して認証可能な場合、前記ハンドオーバー認証キーHKNARを利用して生成した認証成功メッセージAAuthRespを前記ターゲットルータ、前記接続ルータ及び前記移動端末へ順次に伝送するステップを含むことを特徴とする。]
    [0025] また、前記(a)ステップにおいて、前記ハンドオーバー認証キーHKNARは、前記移動端末の現在時間をキー値とし、前記移動端末を識別できる識別コードIDMNと、前記ターゲットルータを識別できる識別コードIDNARとを利用して、ハッシュ関数を通じて生成することを特徴とする。]
    [0026] また、前記(b)ステップにおいて、前記認証要請メッセージAAuthReqは、前記ハンドオーバー認証キーHKNARを暗号化して生成した値EEMK(HKNAR)、前記認証サーバーが前記移動端末を検証するための情報を暗号化して生成した値MACMN_AAA、及び前記接続ルータが前記移動端末を検証するための情報を暗号化して生成した値MACMN_PARを含むことを特徴とする。]
    [0027] また、前記(c)ステップにおいて、前記認証サーバーは、伝送された前記認証要請メッセージAAuthReqを利用して、前記移動端末の認証可能如何を判別して認証可能な場合、前記認証要請メッセージAAuthReqに含まれた前記ハンドオーバー認証キーHKNARを復号化し、前記ハンドオーバー認証キーHKNARを利用して生成した認証成功メッセージAAuthRespを前記ターゲットルータ、前記接続ルータ及び前記移動端末へ伝送することを特徴とする。]
    [0028] また、(d)前記移動端末が前記接続ルータから前記ターゲットルータにハンドオーバーする場合には、前記移動端末が前記接続ルータで使用したアドレス、及び前記移動端末が前記ターゲットルータで使用するアドレスを含むFBUメッセージを前記接続ルータ及び前記ターゲットルータへ順次に伝送するステップ、及び(e)前記移動端末が前記接続ルータから前記ターゲットルータにハンドオーバーが完了した場合、前記移動端末を識別できる識別コードIDMNと、前記ハンドオーバー認証キーHKNARとを利用して生成したFNAメッセージを前記ターゲットルータへ伝送するステップをさらに含むことを特徴とする。]
    発明の効果

    [0029] 前述したように、本発明は、WLANをはじめとする多様な無線アクセス技術及びFMIPv6を含む移動IP基盤のネットワーク階層の移動性が共に使われた通信網で、端末の移動によるハンドオーバー認証を階層間での統合施行を可能にする方法を提案して、この過程で認証のための付随的なメッセージの発生を最小化し、特に端末の移動性が有した局地性によって階層的なハンドオーバーを施行して、AAA認証サーバーのオーバーヘッドを最小化する統合ハンドオーバー認証実行手順を提供する。]
    [0030] また、本発明は、ITU−Tで標準化が進行中であるNGN、及び国内で開発中であるBcNのアクセス統合認証制御構造に適用するのに適した統合ハンドオーバー認証方法を提供する。]
    [0031] また、本発明は、IEEE802の無線アクセス技術及び移動IPを組み合わせて使用した通信網で、移動端末がアクセス地点を移動するハンドオーバーの場合、認証のための手順が節約され、これによってさらに速いハンドオーバーが行われる。]
    [0032] また、リンク階層の移動性のみを発生させる局地的な移動の場合に、複雑なAAA中心認証手順が省略されるので、さらに効果が向上し、多様なリンク技術を一貫したキー管理方法で統合するので、異種アクセス網間のハンドオーバー及び認証の問題を容易に具現可能に支援する。]
    図面の簡単な説明

    [0033] 本発明の望ましい一実施形態による本発明で使われる各キーの意味及び構成を示す図面である。
    本発明の望ましい一実施形態による移動性予測に基づいたハンドオーバー処理方式であるpredictiveモードで、統合ハンドオーバー認証を行う手順のメッセージのフロー及びキー運用方法を示す図面である。
    本発明の望ましい一実施形態による事後反応処理方式であるreactiveモードで、統合ハンドオーバー認証技法の認証を行う手順のメッセージのフロー及びキー運用方法を示す図面である。
    本発明の望ましい一実施形態による802.11−FMIPv6ネットワーク統合ハンドオーバー認証技法をNGN統合認証モデル構造に合わせて適用した図面である。
    本発明の望ましい一実施形態による図4の階層構造キーにおける構造を示す図面である。] 図4
    実施例

    [0034] 以下、添付された図面を参照して、本発明の望ましい実施形態について詳細に説明する。]
    [0035] まず、本発明の適用のためのシステム構成の前提は、次の通りである。]
    [0036] FMIPv6など移動IP環境で、AR(Access Router)とAAA(Authentication,Authorization,Accounting)認証サーバーとの間でTLS(Transport Layer Security)またはIPSec(IP Security)保安プロトコルを使用して安全なチャネルが形成されていると仮定する。]
    [0037] また、移動ノード(Moving Node、MN)は、ブーティング過程でEAP−TLSのような初期認証実行を通じて、AAAサーバーと共有したEMSK(Extended Master Session Key)を端末で安全に保存していると仮定する。]
    [0038] 本発明で使われるAMK(Authentication Master Key)及びEMK(Encryption Master Key)は、次のようにEMSKから派生される。]
    [0039] AMKは、AAAサーバーが移動端末を認証するために使用するキーであり、EMKは、移動端末がNAR(New AR)と共有するハンドオーバー認証キーHK(Handover Key)を暗号化するために使用するキーである。]
    [0040] 図1は、本発明の望ましい一実施形態による本発明で使われる各キーの意味及び構成を示す図面である。] 図1
    [0041] EMSKは、IETF(Internet Engineering Task Force)のEAP(Extensible Authentication Protocol)標準文書であるRFC 3748に定義されている用語であって、ネットワーク通信において、その他の保安キーの生成のためのマスタキーとして使われる。]
    [0042] EMSKは、EAPピアとEAPサーバーとの間に認証過程が成功的に行われた後で生成されたマスタキー(Master Session Key:MSK)から派生されたキーである。]
    [0043] 該EMSKの目的は、MSKを直接データ暗号及び無欠性などその他の保安キーを誘導する過程に使用する場合、その誘導された保安キーからMSKが露出されれば、全体の保安通信の安全性が侵害される。]
    [0044] したがって、MSKを直接その他の保安キーを誘導するのに使用せず、EMSKを生成して該EMSKからその他の保安キーを誘導して使用させることによって、安全性をさらに高める。一般的に、保安通信において、キー誘導過程は、キー最上のルートキーであるMSKから直接その他の保安キーを誘導する過程を含まない。]
    [0045] AMKは、本発明で提案するキーである。本ハンドオーバー認証技術は、移動端末MNとアクセスルータARとの間にハンドオーバー認証キーを分配するために、MNがHKを生成し、AAAサーバーを通じてNARに伝達する。]
    [0046] ここで、AMKは、AAAサーバーがMNを認証するのに使われる認証キーである。AAAサーバーは、AAAサーバー自身とハンドオーバー認証を要請したMNとの間に該AMKを共有していることをMACMN_AAA値で確認し、認証が成功的に行われれば、AAAサーバーは、MNのハンドオーバー認証手順を正常に処理する。]
    [0047] 下記の数式のように、MNは、AAAと共有しているAMKを使用してMAC(Message Authentication Code)を生成し、AAAサーバーは、この値を検証して正常にハンドオーバー認証手順を行ってもよいか否かを判断する。]
    [0048] [数]
    MACMN_AAA=H(AMK,IDMN||IDNAR||IDAAA||EEMK(HKNAR))
    数式についての詳細な説明は、後述する。]
    [0049] EMKは、本発明で提案するキーである。EMKは、MNのHKをARに伝達する過程で第3者に平文で見せないようにするために、EMKを使用してHKを暗号化するキーである。]
    [0050] EEMK(HK)のように、HKは、EMKに暗号化アルゴリズムを使用して暗号化される。本発明において、暗号化アルゴリズムは、いかなる特定のアルゴリズムに制限しない。AES,DESなど色々な暗号アルゴリズムが使われる。]
    [0051] HKは、本発明で提案するキーである。MNがNARにハンドオーバーする前に、MNがNAR領域で使用するIPv6アドレスをあらかじめPAR(Previous Access Router)に登録させる。]
    [0052] この過程が、FMIPv6技術でFBU(Fast Binding Update)過程である。かかるFBU過程は、FMIPv6標準で定義した過程である。HKは、下記の数式のようにFBU過程を安全に行うために使われるキーである。]
    [0053] [数]
    H(HK,FBU)、H()は、ハッシュ関数にHK及びFBU内容を使用して生成した値]
    [0054] 数式1は、マスタキーの生成方法を表す。
    [数1]
    AMK=H(EMSK0_31,“Authentication Key”)
    EMK=H(EMSK32_63,“Encryption Key”)
    ここで、EMSKX_Yは、EMSKのXビットでのYビットを表す。]
    [0055] H()は、ワンウェイハッシュ関数である(例えば、SHA,MD5など)。]
    [0056] 他の数式で使われるEEMK()は、EMKキーを使用して()内に内容を暗号化するという表示である。暗号アルゴリズムは、AES,DESなど多様に使われる。]
    [0057] AMK=H(EMSK0_31,“Authentication Key”)は、EMSKの0から31ビットまで、すなわち32ビット値、及び“Authentication Key”というテキストをハッシュ関数の入力値としてAMKを生成する。AMKの長さは、どのハッシュ関数を使用したかによって変わる。]
    [0058] EMK=H(EMSK32_63,“Encryption Key”)は、EMSKの32ビットから63ビットまで、すなわち32ビット値、及び“Encryption Key”というテキストをハッシュ関数の入力値としてEMKを生成する。EMKの長さは、どの暗号アルゴリズムを使用するかによって変わる。]
    [0059] 1)Predictiveハンドオーバー認証技法
    図2は、本発明の望ましい一実施形態による移動性予測に基づいたハンドオーバー処理方式であるpredictiveモードで、統合ハンドオーバー認証を行う手順のメッセージのフロー及びキー運用方法を示す図面である。] 図2
    [0060] MNは、リンク階層でハンドオーバーが行われる前に、AAuthReq及びAAuthRespメッセージを使用してハンドオーバー認証を行う。]
    [0061] AAuthreq及びAAuthrespメッセージに含まれる情報は、FMIPv6のハンドオーバーモード(Predictive,Reactive)及び各区間(MN−PAR,PAR−NAR,MN−NAR)によって変わる。二つのメッセージは、本発明で提案したメッセージである。]
    [0062] MACX_Yの意味は、XがMAC値を生成し、YがMAC値を検証するという意味である。]
    [0063] Predictiveハンドオーバーモードである場合、図2のように二つのメッセージが含む情報は、次の通りである。] 図2
    [0064] MN−PAR区間:AAuthreq=[EEMK(HKNAR),NonceMN,MACMN_PAR,MACMN_AAA]
    PAR−NAR区間:AAuthreq=[EEMK(HKNAR),NonceMN,MACMN_AAA]
    PAR−NAR区間でMACMN_PAR値が除去された理由は、PARがMACMN_PAR値を検証し、MNが認証されたノードであることが確認されたために除去したのである。]
    [0065] NAR−PAR−MN区間:AAuthresp=[“Success”または“Fail”]、認証成功如何の文句が含まれる。ここで、認証成功の意味は、MNがAAAサーバーにより認証され、HKがNARに正常に伝達されたことを意味する。]
    [0066] MNがNARにハンドオーバーすれば、NARは、MNをもう一度認証するためにFNA(Fast Neighbor Advertisement)メッセージにMACMN_NARを含む。NARは、このMAC値が正しければ、ハンドオーバーを受諾する。]
    [0067] 図2の方法を詳細に説明すれば、まず、MNは、MAC値及びNARと共有するHKNARを次のように生成する。] 図2
    [0068] MACMN_PARは、PARがMNを認証するための値であり、MACMN_AAAは、AAAサーバーがMNを認証するための値である。]
    [0069] MACは、二つのノード間に共有しているキーを利用して、ハッシュ関数H()(例えば、SHA1,SHA256,MD5など)を使用して生成した値である。]
    [0070] メッセージの無欠性及び二つのノード間に認証のために使われる暗号学的な値としてハッシュ関数は、一般的にH()に入力値として内容のみを含む場合であるが(例えば、H(内容))、このハッシュ関数に入力値として内容及びキー値が含まれれば(例えば、H(キー、内容))、HMAC関数と呼ばれる(同じH()ハッシュ関数であるが、名称のみをHMAC関数という)。]
    [0071] すなわち、ハッシュ関数は同一であるが、キー値が含まれているか否かによって区別し、MAC値は、ハッシュ関数にキー値を使用して生成した値である。]
    [0072] NAR(Next Access Router)は、IETFのFMIPv6技術で定義された用語である。MNがハンドオーバーする次のARである。3階層(ネットワーク階層)のネットワークノードとしてモバイルルータである。MNにネットワーク情報(IPv6のプリフィックス情報など)を知らせる。]
    [0073] PAR(Previous Access Router)は、IETFのFMIPv6技術で定義された用語である。MNが現在の領域に含まれているARである。すなわち、MNがNARにハンドオーバーする以前のARである。]
    [0074] ハンドオーバー認証キーの生成方法は、次の数式2を参照する。]
    [0075] [数2]
    HKNAR=H(Time_stamp||RNMN,IDMN||IDNAR)
    MACMN_PAR=H(HKPAR,IDMN||IDNAR||IDAAA||EEMK(HKNAR)||MACMN_AAA)
    MACMN_AAA=H(AMK,IDMN||IDNAR||IDAAA||EEMK(HKNAR))
    ここで、MACx_yは、xノードでMAC値を生成し、yノードでMAC値を検証することを表す。]
    [0076] IDMNは、MNを識別できるIDである(例えば、MNのIPアドレスまたはその他のネットワークサービス事業者から割り当てられたID)。IDXの意味は、XノードのIDである。]
    [0077] NonceMNは、MNが生成した任意のランダム値である。NonceXの意味は、Xノードが生成したNonce値である。]
    [0078] HKNARは、MNとNARとの間に共有し、今後MNが次のNAR(NNAR)にハンドオーバーするとき、MNとNARとの間にFBUメッセージを保護するハンドオーバー認証キーである。]
    [0079] HKPARは、MNとPARとの間に共有したキーであり、これは、MNがNARにハンドオーバーするとき、MNとPARとの間にFBUメッセージを保護する時に使われるキーである。]
    [0080] HKNAR=H(Time_stamp||RNMN,IDMN||IDNAR)において、Time_stampは、現在MNの時間を意味する。“||”は、コンカチネーション(二つの値を連続して付ける)を意味する(例えば、IDMNが“AA”であり、IDNARが“BB”である場合、IDMN||IDNAR値は、AABBとなる)。]
    [0081] MACMN_PAR=H(HKPAR,IDMN||IDNAR||IDAAA||EEMK(HKNAR)||MACMN_AAA)は、MNのハンドオーバー認証要請に対して、PARがMNを検証するためにMNが生成する値である。HKPARは、MNとPARとの間に以前にハンドオーバー認証過程を通じて共有したキーである。該キーを通じて、PARはMNを検証できる。]
    [0082] EEMK(HKNAR)及びMACMN_AAAは、MNが二つの値を含めているAAuthreqメッセージをPARに伝達する過程で二つの値が変調されることを防止するために、MACMN_PAR値の生成に入力値として含む。]
    [0083] PARは、検証されていないMNに対してハンドオーバー認証手順を行う場合、悪意的な攻撃者により多量のハンドオーバー認証要請メッセージでネットワークの不要なトラフィックを発生させ、正常なMNのハンドオーバー過程を侵害しうる。]
    [0084] MACMN_AAA=H(AMK,IDMN||IDNAR||IDAAA||EEMK(HKNAR))は、MNのハンドオーバー認証要請に対して、AAAサーバーがMNを検証するためにMNが生成する値である。AMKは、MNとAAAサーバーとの間に既に共有しているキーである。すなわち、EMSKから派生されたキーである。]
    [0085] 同様に、H()関数内にパラメータは、その値が中間に悪意的なノードから変調されることを防止するためである。]
    [0086] このように各値を生成した後(ステップS200)、移動ノードは、AAuthReqメッセージをPARへ伝送してハンドオーバー認証過程を駆動する(ステップS201)。]
    [0087] PARは、AAuthReqメッセージでMACMN_PARを検証し、検証が成功的に行われれば、NARにAAuthReqメッセージを伝達する(ステップS202)。NARは、移動端末のIDMN,NonceMN値を使用して認証キャッシュテーブルを生成した後、AAAAVP形態にメッセージを変換して、AAA要請メッセージをAAAサーバーに伝達する(ステップS203)。]
    [0088] 認証キャッシュテーブルは、NARがPARからMNのハンドオーバー認証要請値を受けたが、まだAAAサーバーから検証されていない値であるために臨時に保存して置いていて、AAAサーバーからAAA応答メッセージを通じて最終的に検証された値を受ければ、認証キャッシュテーブルを、認証要請値(HKNAR,NonceMN,IDMN)を使用して完成する。もし、AAA応答からMNのハンドオーバー認証要請に対して失敗メッセージを応答として受ければ、この認証キャッシュテーブルは削除される。]
    [0089] AVP(Attribute Value Parameters)は、AAA通信で各パラメータの特性を反映したヘッダフィールドと同じ意味である。AAA通信に必要なパラメータを伝達するために定義した形態である。]
    [0090] AAA要請メッセージは、本発明(FMIPv6ハンドオーバー認証)において、MNがハンドオーバーする時にハンドオーバーを許諾するか拒絶するかについての判断をAAA認証サーバーが判断する。したがって、MNがNARにハンドオーバーする時、ハンドオーバー認証メッセージがAAAサーバーを経るようになっている。]
    [0091] すなわち、AAAサーバー基盤のハンドオーバー認証技術である。AAA要請メッセージは、NARとAAA認証サーバーとの間での通信のためのプロトコルメッセージである。AAA要請メッセージは、NARが受けたMNのハンドオーバー認証要請メッセージをAAAサーバーに伝達するメッセージである(NARとAAAとの間にMNの認証を要請するメッセージ)。]
    [0092] AAAには、DiameterまたはRadiusプロトコルが使われる。本発明では、二つのプロトコルのうち、どの特定の技術使用に対して制限しない。]
    [0093] AAA要請メッセージを受信したAAAサーバーは、IDMNを識別してAAAサーバーが保存しているIDMNのAMKを使用してMACMN_AAAを検証する。検証が成功的に行われた場合、AAAサーバーは、HKNARを復号化して、NARとAAAとの間に安全なチャネルを通じてHKNARとNonceMNとを伝達する(ステップS204)。NARは、既に生成されている認証キャッシュテーブルにHKNARを追加登録した後、MNに認証成功メッセージを伝達する(ステップS205,S206)。]
    [0094] 図2において、NARがEEMK(HKNAR)とNonceMNとをAAAサーバーに伝達する(AAARequestメッセージ部分)。] 図2
    [0095] AAAサーバーは、EEMK(HKNAR)を、EMKを使用して復号化してHKNAR値を得る。]
    [0096] MACMN_AAA値を検証して、NonceMNを含むハンドオーバー認証要請メッセージが変更されないということを確認する。AAAサーバーは、あらゆる手順が検証されれば、HKNARとNonceMNとをNARに伝達する。]
    [0097] すなわち、NARは、二つの値がAAAサーバーから認証されて確認されたものであるため、安全であると判断して使用する。]
    [0098] HKNARは、MNがNARからNNARにハンドオーバーするとき、FBUメッセージを保護するために使われる。]
    [0099] FBUは、IETFFMIPv6技術で定義された用語である。]
    [0100] MNがAR間にハンドオーバーするとき、MNは、NARで使用するアドレスをPARに知らせねばならない。これによって、MNがPARと通信中であったパケットをNARにリダイレクションできる。]
    [0101] このために、MNがNARで使用するIPアドレスをPARに知らせる手順がFBU手順である。すなわち、MNがPARにMNのIPv6が変わったと知らせる機能である。FBU過程は、MNが実際にNARにハンドオーバーする以前に行われる。]
    [0102] FBU情報は、PARで使用したMNのIPv6アドレス、NARで使用するMNのIPv6アドレスなどが含まれる(ステップS207)。]
    [0103] 移動ノードMNがハンドオーバーする時は、FBUメッセージを保護するために、MNとPARとの間に共有しているHKPARを使用して、FBUに対するHMAC(ハッシュアルゴリズムSHA−1を使用)値を生成する(ステップS208)。MNがNARに移動した後でFNAメッセージを伝達する時は、MACMN_NARを生成して、HKNARが正常に交換されたことを最終的に検証し、MNのハンドオーバー過程を受容する(ステップS209)。]
    [0104] FNAは、IETFFMIPv6技術で定義された用語である。FNAは、MNが実際にNARにハンドオーバーした後、NARに自身がハンドオーバーしたことを知らせる機能である。]
    [0105] FNA情報は、FNAパケットにソースアドレス(NARで使用するMNのIPv6アドレス)、デスティネーションアドレス(NARのIPv6アドレス)、その他の情報は、オプションと定義されている。]
    [0106] ハンドオーバーキー認証コードの生成方法は、次の数式3を参照する。]
    [0107] [数3]
    MACMN_NAR=H(HKNAR,NonceMN||IDMN||IDNAR)]
    [0108] 2)Reactiveハンドオーバーの認証技法
    図3は、本発明の望ましい一実施形態による事後反応処理方式であるreactiveモードで、統合ハンドオーバー認証技法の認証を行う手順のメッセージのフロー及びキー運用方法を示す図面である。] 図3
    [0109] Reactiveハンドオーバー認証モードで、移動ノードは、ハンドオーバー認証要請メッセージをリンク階層及びネットワーク階層のハンドオーバーがNARに行われた後に伝送する。まず、MNは、PARと既に共有しているHKPARを使用してFBUメッセージについてのHMAC値を生成し、AAuthReqメッセージに含まれる次のような値を計算した後、FNA及びAAuthReqメッセージをNARへ伝送する(ステップS300)。]
    [0110] Reactiveモードである場合、図3のように、AAuthReq及びAAuthRespの二つのメッセージは、次のような情報を含む。] 図3
    [0111] MN−NAR区間で、AAuthreq=[EEMK(HKNAR),NonceMN,MACMN_NAR,MACMN_AAA]
    MNが既にNARにハンドオーバーしたため、MACMN_PAR値の代わりにMACMN_NAR値が含まれる。]
    [0112] NAR−MN区間で、認証成功時にAAuthresp=[IDMN,NonceNAR,MACNAR_MN,“Success”]、または認証失敗時にAAuthresp=[“Fail”]
    ここで、認証成功という意味は、MNがAAAサーバーから認証され、ハンドオーバー認証キーがNARに正常に伝達されたというものである。]
    [0113] MNに認証されるために、NARもHKを使用してMACNAR_MNを生成し、MNに伝達する。]
    [0114] メッセージ認証コードの生成方法は、次の数式4を参照する。]
    [0115] [数4]
    MACMN_AAA=H(AMK,IDMN||IDNAR||IDAAA||NonceMN||EEMK(HKNAR))||MACMN_NAR)
    MACMN_NAR=H(HKNAR,NonceMN||IDMN||IDNAR)]
    [0116] 新たに接続されたアクセスルータであるNARは、IDMNに対する認証キャッシュテーブルを生成する前に、FBU手順をPARが行うようにする(ステップS301)。PARがFBUメッセージを成功的に行えば、NARは、IDMNに対する認証キャッシュテーブルを生成し、AAA要請メッセージをAAAサーバーに伝達する(ステップS302)。]
    [0117] AAA要請メッセージを受信したAAAサーバーは、IDMNを識別して、AAAサーバーが保存しているIDMNのAMKを使用してMACMN_AAAを検証する。検証が成功的に行われた場合、AAAサーバーは、HKNARを復号化して、NARとAAAとの間に安全なチャネルを通じてHKNARとNonceMNとをNARに伝達する(ステップS303)。]
    [0118] NARは、既に生成されている認証キャッシュテーブルにHKNARを追加登録した後、MNに次の数式5のように生成された値と共に認証成功メッセージを伝達する(ステップS304)。HKNARは、MNがNARからNNARにハンドオーバーするとき、FBUメッセージを保護するために使われる。]
    [0119] 他のメッセージ認証コードの生成方法は、次の数式5を参照する。]
    [0120] [数5]
    MACNAR_MN=H(HKNAR,NonceMN||NonceNAR||IDMN||IDNAR)]
    [0121] 3)階層構造キー管理に基づいた階層的ハンドオーバー認証手順
    前記ハンドオーバー認証手順をNGN統合認証モデルに適切に適用するハンドオーバー認証技法は、“階層的ハンドオーバー認証”構造として定義される。移動ノードがネットワーク階層ハンドオーバー時には、AAAサーバー基盤の移動ノード主導型ハンドオーバー認証を行い、リンク階層ハンドオーバー時には、ARで各APまたはBS(Base Station)のハンドオーバー認証キーを階層的に管理する構造である。]
    [0122] 図4は、本発明の望ましい一実施形態による802.11−FMIPv6ネットワーク統合ハンドオーバー認証技法をNGN統合認証モデル構造に合わせて適用した図面である。かかる構造は、802.16e−FMIPv6,3G−FMIPv6網にも適用される。] 図4
    [0123] 図4において、移動ノードのハンドオーバーの場合に認証手順を説明すれば、次の通りである。] 図4
    [0124] まず、移動ノードは、AP1領域で初期ブーティングを行い、PARを通じてAAAサーバーと共に初期認証過程を行う。ここで、PARは、初期ブーティング過程でAAAサーバーから安全なチャネルを通じてHKPARキーを共有する。]
    [0125] 移動ノードがAP2にハンドオーバーするとき、AP1−AP2間でのハンドオーバー認証は、PARのHKPARから派生されたSMK2(Session Master Key)を使用して、移動ノードとAAAサーバーとの間にリンク階層ハンドオーバー認証過程を代替する。]
    [0126] ネットワーク階層とリンク階層との間のハンドオーバーが同時に行われるAP2−AP3間には、ネットワーク階層のハンドオーバー認証のために前述した二つのハンドオーバー認証技法を行い、リンク階層でハンドオーバー認証は、SMK3を使用して行う。]
    [0127] EK(Encryption Key)及びIK(Integrity Key)は、無線区間でMNとAPとの間でのデータ保護のために使われる。]
    [0128] データ保護キーの生成方法は、次の数式6を参照する。]
    [0129] [数6]
    SMK=H(HKNAR,IDMN||IDAP||“Session Master”)
    EK=H(SMK,IDMN||IDAP||NonceMN||“Encryption Key”)
    IK=H(SMK,IDMN||IDAP||NonceMN||“Integrity Key”)]
    [0130] 図5は、本発明の望ましい一実施形態による図4の階層構造キーにおける構造を示す図面である。] 図4 図5
    [0131] 前述した内容のうち、BS(Base Station)は、3GPPやWiMax技術で2(リンク)階層のネットワークノードであり、WLANでAPの役割を行うものである。]
    [0132] SMKは、リンク階層ハンドオーバー認証のために使われるキーである。]
    [0133] MNがAPまたはBS間でハンドオーバーする時も、リンク階層ノードであるAPまたはBSは、MNに対してハンドオーバー認証手順を行わねばならない。本発明では、リンク階層におけるハンドオーバー認証手順を簡素化するために、3(ネットワーク)階層で生成されたHKNARに基づいてリンク階層のキーを階層的に生成して管理する構造を提案したものである。]
    [0134] したがって、NARでHKNARが分配されれば、NARは、NARに含まれるAPまたはBSにSMKをそれぞれ分ける。MNがリンク階層のハンドオーバーを行う時は、このSMKを使用してAPまたはBSがMNと簡単にMAC値のみをやり取りしてハンドオーバー認証を行う。]
    [0135] また、SMKは、MNとAPまたはBSとの間に無線区間でデータを保護するために使われる暗号化キー(EK)及び無欠性キー(IK)を生成するのに使われ、ARに色々なAPまたはBSが含まれるが、ARは、それぞれのAPまたはBSに固有のSMKを分配する。]
    [0136] 本発明は、また、コンピュータで読み取り可能な記録媒体にコンピュータで読み取り可能なコードとして具現することが可能である。コンピュータで読み取り可能な記録媒体は、コンピュータシステムにより読み取られるデータが保存されるあらゆる種類の記録装置を含む。コンピュータで読み取り可能な記録媒体の例としては、ROM(Read Only Memory)、RAM(Random Access Memory)、CD−ROM、磁気テープ、フロッピーディスク、光データ保存装置などがあり、またキャリアウェーブ(例えば、インターネットを通じた伝送)の形態で具現されるものも含む。また、コンピュータで読み取り可能な記録媒体は、ネットワークに連結されたコンピュータシステムに分散され、分散方式でコンピュータで読み取り可能なコードが保存されて実行されうる。]
    [0137] 以上のように、図面と明細書で最適の実施形態が開示された。ここで、特定の用語が使われたが、これは、単に本発明を説明するための目的で使われたものであり、意味限定や特許請求の範囲に記載された本発明の範囲を制限するために使われたものではない。したがって、当業者ならば、これから多様な変形及び均等な他の実施形態が可能であるという点を理解できるであろう。したがって、本発明の真の技術的な保護範囲は、特許請求の範囲の技術的思想により決まらねばならない。]
    权利要求:

    請求項1
    接続ルータ(Previous Access Router:PAR)、ターゲットルータ(New Access Router:NAR)及び認証サーバー(AAA:Authentication,Authorization,Accounting)を含む次世代のネットワーク(NGN)環境で統合ハンドオーバー認証を行うための移動端末(MN)の動作方法において、(a)移動端末とターゲットルータとの間に共有され、前記移動端末と前記ターゲットルータとの間にFBU(Fast Binding Update)メッセージを保護するハンドオーバー認証キーHKNARを生成するステップと、(b)前記ハンドオーバー認証キーHKNARを利用して生成した認証要請メッセージAAuthReqを伝送するステップと、(c)前記認証要請メッセージAAuthReqに対する応答として認証成功メッセージAAuthRespを受信するステップと、を含むことを特徴とする統合ハンドオーバー認証を行うための移動端末の動作方法。
    請求項2
    前記(a)ステップは、現在時間をキー値とし、前記移動端末を識別できる識別コードIDMNと、前記ターゲットルータを識別できる識別コードIDNARとを利用して、ハッシュ関数を通じて前記ハンドオーバー認証キーHKNARを生成することを特徴とする請求項1に記載の統合ハンドオーバー認証を行うための移動端末の動作方法。
    請求項3
    前記(b)ステップは、前記ハンドオーバー認証キーHKNARを暗号化して生成した値EEMK(HKNAR)、前記認証サーバーが前記移動端末を検証するための情報を暗号化して生成した値MACMN_AAA、及び前記接続ルータが前記移動端末を検証するための情報を暗号化して生成した値MACMN_PARを含む前記認証要請メッセージAAuthReqを伝送することを特徴とする請求項1に記載の統合ハンドオーバー認証を行うための移動端末の動作方法。
    請求項4
    前記(c)ステップは、前記認証要請メッセージAAuthReqに含まれた前記ハンドオーバー認証キーHKNARを利用して生成された認証成功メッセージAAuthRespを受信することを特徴とする請求項1に記載の統合ハンドオーバー認証を行うための移動端末の動作方法。
    請求項5
    (d)前記接続ルータから前記ターゲットルータにハンドオーバーする場合には、現在連結された接続ルータで使用したアドレス、及び前記ターゲットルータで使用するアドレスを含むFBUメッセージを伝送するステップと、(e)ハンドオーバーが完了した場合、前記移動端末を識別できる識別コードIDMN、及び前記ハンドオーバー認証キーHKNARを利用して生成したFNA(Fast Neighbor Advertisement)メッセージを伝送するステップと、をさらに含むことを特徴とする請求項1に記載の統合ハンドオーバー認証を行うための移動端末の動作方法。
    請求項6
    接続ルータ(PAR)、ターゲットルータ(NAR)及び認証サーバー(AAA)を含む次世代のネットワーク(NGN)環境で統合ハンドオーバー認証を行うための移動端末(MN)の動作方法において、(a)接続ルータからターゲットルータにハンドオーバーが完了した場合、移動端末及び前記ターゲットルータがハンドオーバー時に共有したハンドオーバー認証キーHKNARを利用して生成した認証要請メッセージAAuthReqを伝送するステップと、(b)前記移動端末が認証可能な場合、前記ハンドオーバー認証キーHKNARを利用して生成された認証成功メッセージAAthuRespを受信するステップと、を含むことを特徴とする統合ハンドオーバー認証を行うための移動端末の動作方法。
    請求項7
    前記(a)ステップは、前記ハンドオーバー認証キーHKNARを暗号化して生成した値EEMK(HKNAR)、認証サーバーが前記移動端末を検証するための情報を暗号化して生成した値MACMN_AAA、及び前記接続ルータが前記移動端末を検証するための情報を暗号化して生成した値MACMN_NARを含む前記認証要請メッセージAAuthReqを伝送することを特徴とする請求項6に記載の統合ハンドオーバー認証を行うための移動端末の動作方法。
    請求項8
    前記(b)ステップは、認証サーバーで前記認証要請メッセージAAuthReqを利用して前記移動端末の認証可能如何を判別して認証可能な場合、前記認証要請メッセージAAuthReqに含まれた前記ハンドオーバー認証キーHKNARを復号化し、前記ハンドオーバー認証キーHKNARを利用して生成した認証成功メッセージAAuthRespを受信することを特徴とする請求項6に記載の統合ハンドオーバー認証を行うための移動端末の動作方法。
    請求項9
    接続ルータ(PAR)、ターゲットルータ(NAR)及び認証サーバー(AAA)を含む次世代のネットワーク(NGN)環境で統合ハンドオーバー認証を行うための認証サーバー(AAA)の動作方法において、(a)移動端末MN、接続ルータ及びターゲットルータ間に共有したハンドオーバー認証キーHKPARまたはHKNARを利用して、前記接続ルータ及び前記ターゲットルータそれぞれに含まれたAP(Access Point)別にセッションマスタキー(SMK)を割り当てるステップと、(b)前記移動端末が前記接続ルータ内の相異なるAPにハンドオーバーする場合には、前記ハンドオーバー認証キーHKPAR、及び前記ハンドオーバーするAPに対するセッションマスタキーを利用して、前記移動端末とのリンク階層認証を行うステップと、を含むことを特徴とする統合ハンドオーバー認証を行うための認証サーバーの動作方法。
    請求項10
    前記(b)ステップは、(b1)前記移動端末が前記接続ルータ内のAPから前記ターゲットルータ内のAPにハンドオーバーする場合には、前記ハンドオーバー認証キーHKNARを利用して生成した認証要請メッセージAAuthReqを前記接続ルータ及び前記ターゲットルータから順次に受信されて、前記移動端末の認証可能如何を判別して認証可能な場合、前記ハンドオーバー認証キーHKNARを利用して生成した認証成功メッセージAAuthRespを前記ターゲットルータ、前記接続ルータ及び前記移動端末へ順次に伝送してネットワーク階層認証を行うステップと、(b2)前記ハンドオーバー認証キーHKNAR、及び前記ハンドオーバーするAPに対するセッションマスタキーを利用して、前記移動端末とのリンク階層認証を行うステップと、を含むことを特徴とする請求項9に記載の統合ハンドオーバー認証を行うための認証サーバーの動作方法。
    請求項11
    前記(b)ステップは、(b1)前記移動端末が前記接続ルータ内のAPから前記ターゲットルータ内のAPにハンドオーバーが完了した場合、前記移動端末及び前記ターゲットルータがハンドオーバー時に共有したハンドオーバー認証キーHKNARを利用して生成した認証要請メッセージAAuthReqを前記移動端末から伝送され、前記移動端末が前記接続ルータで使用したアドレスが含まれたFBUメッセージを前記接続ルータから伝送された前記ターゲットルータから前記認証要請メッセージAAthuReqを伝達されて、前記移動端末の認証可能如何を判別して認証可能な場合、前記ハンドオーバー認証キーHKNARを利用して生成した認証成功メッセージAAthuRespを前記ターゲットルータ及び前記移動端末へ順次に伝送してネットワーク階層認証を行うステップと、(b2)前記ハンドオーバー認証キーHKNAR、及び前記ハンドオーバーするAPに対するセッションマスタキーを利用して、前記移動端末とのリンク階層認証を行うステップと、を含むことを特徴とする請求項9に記載の統合ハンドオーバー認証を行うための認証サーバーの動作方法。
    請求項12
    接続ルータ(PAR)、ターゲットルータ(NAR)及び認証サーバー(AAA)を含む次世代のネットワーク(NGN)環境で移動端末(MN)の統合ハンドオーバー認証方法において、(a)移動端末は、前記移動端末とターゲットルータとの間に共有し、前記移動端末と前記ターゲットルータとの間にFBUメッセージを保護するハンドオーバー認証キーHKNARを生成するステップと、(b)前記ハンドオーバー認証キーHKNARを利用して生成した認証要請メッセージAAuthReqを接続ルータ、前記ターゲットルータ及び認証サーバーへ順次に伝送するステップと、(c)前記移動端末の認証可能如何を判別して認証可能な場合、前記ハンドオーバー認証キーHKNARを利用して生成した認証成功メッセージAAuthRespを前記ターゲットルータ、前記接続ルータ及び前記移動端末へ順次に伝送するステップと、を含むことを特徴とする次世代のネットワーク環境での移動端末の統合ハンドオーバー認証方法。
    請求項13
    前記(a)ステップにおいて、前記ハンドオーバー認証キーHKNARは、前記移動端末の現在時間をキー値とし、前記移動端末を識別できる識別コードIDMNと、前記ターゲットルータを識別できる識別コードIDNARとを利用して、ハッシュ関数を通じて生成することを特徴とする請求項12に記載の次世代のネットワーク環境での移動端末の統合ハンドオーバー認証方法。
    請求項14
    前記(b)ステップにおいて、前記認証要請メッセージAAuthReqは、前記ハンドオーバー認証キーHKNARを暗号化して生成した値EEMK(HKNAR)、前記認証サーバーが前記移動端末を検証するための情報を暗号化して生成した値MACMN_AAA、及び前記接続ルータが前記移動端末を検証するための情報を暗号化して生成した値MACMN_PARを含むことを特徴とする請求項12に記載の次世代のネットワーク環境での移動端末の統合ハンドオーバー認証方法。
    請求項15
    前記(c)ステップにおいて、前記認証サーバーは、伝送された前記認証要請メッセージAAuthReqを利用して、前記移動端末の認証可能如何を判別して認証可能な場合、前記認証要請メッセージAAuthReqに含まれた前記ハンドオーバー認証キーHKNARを復号化し、前記ハンドオーバー認証キーHKNARを利用して生成した認証成功メッセージAAuthRespを前記ターゲットルータ、前記接続ルータ及び前記移動端末へ伝送することを特徴とする請求項12に記載の次世代のネットワーク環境での移動端末の統合ハンドオーバー認証方法。
    請求項16
    (d)前記移動端末が前記接続ルータから前記ターゲットルータにハンドオーバーする場合には、前記移動端末が前記接続ルータで使用したアドレス、及び前記移動端末が前記ターゲットルータで使用するアドレスを含むFBUメッセージを前記接続ルータ及び前記ターゲットルータへ順次に伝送するステップと、(e)前記移動端末が前記接続ルータから前記ターゲットルータにハンドオーバーが完了した場合、前記移動端末を識別できる識別コードIDMNと、前記ハンドオーバー認証キーHKNARとを利用して生成したFNAメッセージを前記ターゲットルータへ伝送するステップと、をさらに含むことを特徴とする請求項12に記載の次世代のネットワーク環境での移動端末の統合ハンドオーバー認証方法。
    类似技术:
    公开号 | 公开日 | 专利标题
    JP6023152B2|2016-11-09|ダイレクトリンク通信のための拡張されたセキュリティ
    US9628481B2|2017-04-18|Method of providing fresh keys for message authentication
    US20170134941A1|2017-05-11|Managing user access in a communications network
    US10455414B2|2019-10-22|User-plane security for next generation cellular networks
    US20190075462A1|2019-03-07|User profile, policy, and pmip key distribution in a wireless communication network
    US8254581B2|2012-08-28|Lightweight key distribution and management method for sensor networks
    CN101669379B|2014-06-25|用于无线网络中切换之际的新密钥推导的方法和装置
    KR101158956B1|2012-06-21|통신 시스템에 증명서를 배분하는 방법
    DE60035953T2|2008-05-08|Wiederverwendung von sicherheitsbeziehungen zur verbesserung der durchführung eines handovers
    AU2007292553B2|2010-07-01|Method and system for secure processing of authentication key material in an ad hoc wireless network
    US7451316B2|2008-11-11|Method and system for pre-authentication
    US8705743B2|2014-04-22|Communication security
    CA2662846C|2013-10-01|Method and apparatus for establishing security associations between nodes of an ad hoc wireless network
    EP2039054B1|2014-01-08|Encryption method for secure packet transmission
    EP1974553B1|2016-03-30|Wireless router assisted security handoff | in a multi-hop wireless network
    TWI394415B|2013-04-21|於無線通信網路中用於提供代理行動網際網路協定金鑰階層之方法及裝置
    US8122249B2|2012-02-21|Method and arrangement for providing a wireless mesh network
    US6876747B1|2005-04-05|Method and system for security mobility between different cellular systems
    EP2119094B1|2013-04-10|Kerberized handover keying
    US8239671B2|2012-08-07|Channel binding mechanism based on parameter binding in key derivation
    RU2420896C2|2011-06-10|Способ и устройство для взаимной аутентификации
    Haverinen et al.2006|Extensible authentication protocol method for global system for mobile communications | subscriber identity modules |
    Shin et al.2006|Wireless network security and interworking
    EP1766915B1|2008-11-19|Method and system for controlling access to communication networks, related network and computer program therefor
    DE602004011573T2|2009-03-05|Verbesserungen der authentifikation und autorisierung in heterogenen netzwerken
    同族专利:
    公开号 | 公开日
    US20110002465A1|2011-01-06|
    WO2009078615A2|2009-06-25|
    KR101407573B1|2014-06-13|
    WO2009078615A3|2009-09-17|
    KR20090066116A|2009-06-23|
    JP5290323B2|2013-09-18|
    引用文献:
    公开号 | 申请日 | 公开日 | 申请人 | 专利标题
    JPH08263439A|1994-11-23|1996-10-11|Xerox Corp|複合ディジタルワークへのアクセス及び配給制御方法と複合ディジタルワークへのアクセス及び使用制御システム|
    WO2006003859A1|2004-06-30|2006-01-12|Matsushita Electric Industrial Co., Ltd.|通信ハンドオーバ方法及び通信メッセージ処理方法並びに通信制御方法|
    JP2007194848A|2006-01-18|2007-08-02|Mitsubishi Electric Corp|無線lanシステムの移動無線端末認証方法|JP2014517560A|2011-04-15|2014-07-17|サムスンエレクトロニクスカンパニーリミテッド|マシン−対−マシンサービスを提供する方法及び装置|GB2379361B|2001-09-01|2003-11-05|Motorola Inc|Radio transceiver unit and a system for control and application of communications|
    US6832087B2|2001-11-30|2004-12-14|Ntt Docomo Inc.|Low latency mobile initiated tunneling handoff|
    US7280505B2|2002-11-13|2007-10-09|Nokia Corporation|Method and apparatus for performing inter-technology handoff from WLAN to cellular network|
    JP4311174B2|2003-11-21|2009-08-12|日本電気株式会社|認証方法、移動体無線通信システム、移動端末、認証側装置、認証サーバ、認証代理スイッチ及びプログラム|
    KR20050075159A|2004-01-15|2005-07-20|삼성전자주식회사|모바일 아이피를 사용하는 이동 통신 시스템의 핸드 오버방법|
    US7333454B2|2004-06-29|2008-02-19|Nokia Corporation|System and associated mobile node, foreign agent and method for link-layer assisted mobile IP fast handoff|
    WO2006022469A1|2004-08-25|2006-03-02|Electronics And Telecommunications Research Institute|Method for security association negociation with extensible authentication protocol in wireless portable internet system|
    KR100645432B1|2004-11-04|2006-11-15|삼성전자주식회사|IP 기반 이동망 환경에서 액세스 망간 핸드오버시QoS 시그널링 방법|
    US7502331B2|2004-11-17|2009-03-10|Cisco Technology, Inc.|Infrastructure-less bootstrapping: trustless bootstrapping to enable mobility for mobile devices|
    US20060251101A1|2005-04-25|2006-11-09|Zhang Li J|Tunnel establishment|
    US20060285519A1|2005-06-15|2006-12-21|Vidya Narayanan|Method and apparatus to facilitate handover key derivation|
    KR100667838B1|2005-11-25|2007-01-12|삼성전자주식회사|고속으로 핸드오버하는 방법 및 장치|
    US7653813B2|2006-02-08|2010-01-26|Motorola, Inc.|Method and apparatus for address creation and validation|
    KR101377574B1|2006-07-28|2014-03-26|삼성전자주식회사|프락시 모바일 아이피를 사용하는 이동통신 시스템에서보안 관리 방법 및 그 시스템|
    KR100863135B1|2006-08-30|2008-10-15|성균관대학교산학협력단|이동환경에서의 듀얼 인증 방법|
    US7734052B2|2006-09-07|2010-06-08|Motorola, Inc.|Method and system for secure processing of authentication key material in an ad hoc wireless network|
    US20080095114A1|2006-10-21|2008-04-24|Toshiba America Research, Inc.|Key Caching, QoS and Multicast Extensions to Media-Independent Pre-Authentication|
    JP4905061B2|2006-11-08|2012-03-28|日本電気株式会社|移動通信システム、基地局装置およびそのハンドオーバ方法ならびにプログラム|
    US7949876B2|2006-12-28|2011-05-24|Telefonaktiebolaget L M Ericsson |Method and nodes for optimized and secure communication between routers and hosts|KR20100074463A|2008-12-24|2010-07-02|삼성전자주식회사|매체 독립 핸드 오버 메시지 전송의 보안 방법|
    EP2288195B1|2009-08-20|2019-10-23|Samsung Electronics Co., Ltd.|Method and apparatus for operating a base station in a wireless communication system|
    KR101718096B1|2009-12-01|2017-03-20|삼성전자주식회사|무선통신 시스템에서 인증방법 및 시스템|
    CN102223347B|2010-04-13|2015-01-28|中兴通讯股份有限公司|下一代网络中多接入认证方法及系统|
    US8973125B2|2010-05-28|2015-03-03|Alcatel Lucent|Application layer authentication in packet networks|
    US9451460B2|2012-02-07|2016-09-20|Lg Electronics Inc.|Method and apparatus for associating stationwith access point |
    AT518034B1|2015-12-02|2018-02-15|Geoprospectors Gmbh|Landwirtschaftliche Arbeitsmaschine mit einem Bodensensor|
    CN108777874A|2018-05-31|2018-11-09|安徽电信器材贸易工业有限责任公司|一种路由器相互切换的方法及其系统|
    法律状态:
    2012-10-15| A131| Notification of reasons for refusal|Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20121012 |
    2013-01-16| A521| Written amendment|Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130115 |
    2013-05-08| A01| Written decision to grant a patent or to grant a registration (utility model)|Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130507 |
    2013-06-13| A61| First payment of annual fees (during grant procedure)|Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130605 |
    2016-07-05| R250| Receipt of annual fees|Free format text: JAPANESE INTERMEDIATE CODE: R250 |
    2017-06-06| R250| Receipt of annual fees|Free format text: JAPANESE INTERMEDIATE CODE: R250 |
    2018-06-14| LAPS| Cancellation because of no payment of annual fees|
    优先权:
    申请号 | 申请日 | 专利标题
    [返回顶部]