KR100693603B1

KR100693603B1 - 모바일 ｉｐ 서비스를 위한 인증 방법

Info

Publication number: KR100693603B1
Application number: KR1020040049391A
Authority: KR
Inventors: 이성구
Original assignee: 주식회사 팬택
Priority date: 2004-06-29
Filing date: 2004-06-29
Publication date: 2007-03-14
Anticipated expiration: 2024-06-29
Also published as: US20050287989A1; KR20060000500A

Abstract

1. 청구범위에 기재된 발명이 속한 기술분야

본 발명은 모바일 ＩＰ 서비스를 위한 인증 방법에 관한 것임.

2. 발명이 해결하려고 하는 기술적 과제

본 발명은 모바일 노드의 개별적 인증서를 이용한 전자서명을 등록 요청 메시지에 추가함으로써, 부인 방지 기능을 제공하는 동시에 모바일 노드의 부하를 줄이는 모바일 ＩＰ 서비스를 위한 인증 방법을 제공하는데 그 목적이 있음.

3. 발명의 해결방법의 요지

본 발명은, 복수개의 에이전트 및 모바일 노드를 포함하는 네트워크 시스템에 적용되는 모바일 ＩＰ 서비스를 위한 인증 방법에 있어서, 상기 모바일 노드가 상기 복수개의 에이전트 중 하나의 에이전트로부터 광고 메시지를 수신하는 광고메시지수신단계; 및 상기 모바일 노드가 상기 광고 메시지에 대응하는 에이전트로 전자서명을 포함하는 등록 요청을 전송하는 등록요청전송단계를 포함한다.

4. 발명의 중요한 용도

본 발명은 모바일 IP 서비스에 이용됨.

모바일 IP, 모바일 노드, 에이전트, 전자 서명

Description

모바일 ＩＰ 서비스를 위한 인증 방법{METHOD FOR AUTHENTICATION OF MOBILE IP SERVICE}

도 1은 외부 에이전트에서 타 에이전트를 발견하는 일반적인 방법을 나타낸 동작흐름도,

도 2는 외부 에이전트에서의 일반적인 등록 방법 중 등록 요청 처리 과정을 나타낸 동작흐름도,

도 3은 외부 에이전트에서의 일반적인 등록 방법 중 등록 응답 처리 방법을 나타낸 동작흐름도,

도 4는 홈 에이전트에서의 일반적인 등록 방법 중 등록 요청 처리 방법을 나타낸 동작흐름도,

도 5는 모바일 노드에서의 일반적인 에이전트 정보 관리 방법을 나타낸 동작흐름도,

도 6은 모바일 노드에서의 일반적인 에이전트 발견 방법을 나타낸 동작흐름도,

도 7은 본 발명의 일 실시예에 의한 모바일 ＩＰ 서비스를 위한 인증 방법 중 모바일 노드의 동작을 나타낸 동작흐름도,

도 8a 및 도 8b는 본 발명의 일 실시예에 의한 모바일 ＩＰ 서비스를 위한 인증 방법 중 에이전트의 동작을 나타낸 동작흐름도,

도 9a는 모바일 노드가 홈 네트워크로부터 1km에서 40km까지 멀어져 갈 경우 인증을 위하여 필요한 시간을 나타낸 그래프,

도 9b는 모바일 노드가 속하는 서브넷의 크기가 0.1km인 경우 전체 서브넷에 머무는 시간에 대하여 인증 시간이 차지하는 비율을 나타낸 그래프,

도 9c는 모바일 노드가 속하는 서브넷의 크기가 0.5km인 경우 전체 서브넷에 머무는 시간에 대하여 인증 시간이 차지하는 비율을 나타낸 그래프,

도 9d는 모바일 노드가 속하는 서브넷의 크기가 1km인 경우 전체 서브넷에 머무는 시간에 대하여 인증 시간이 차지하는 비율을 나타낸 그래프이다.

본 발명은 휴대용 단말기의 모바일 ＩＰ 서비스를 위한 인증 방법에 관한 것으로, 더욱 상세하게는 공개키 암호 알고리즘에 기반한 휴대용 단말기의 모바일 ＩＰ 서비스를 위한 인증 방법에 관한 것이다.

PDA, 스마트 폰, 인터넷 단말기, 인터넷 TV등의 다양한 정보기기는 블루투스, 802.11b등의 무선통신 기술과 융합되어 기존의 고정형 데스크탑 PC중심의 컴퓨팅 패러다임을 이동형으로 변화시키고 있다. 이러한 패러다임은 사용자가 언제 어 디서든지 정보를 접근할 수 있도록 하고 있다. 특히, 최근에 인터넷 사용과 무선 네트워크의 성장이 두드러짐에 따라 기존의 유선 사용자뿐만 아니라 무선 사용자도 장소에 구애받지 않고 다양한 서비스를 자유롭게 접근하고 싶어한다. 지식 정보화 시대를 맞이하여, 언제, 어디서나, 그리고 누구나 원하는 지식 및 정보 액세스가 가능한 컴퓨터 및 인터넷 기술이 등장하고 있다. 그 중에서도 모바일(Mobile)-IP 기술은 정보가전 기기를 상호 연결하여 외부 혹은 내부에서 제공되는 각종 지식과 정보서비스를 자유롭고 쉽게 얻을 수 있는 방법을 제공하는 것이다. 홈네트워킹 및 정보가전 기술에 의해 이미 인터넷 냉장고나 인터넷 전자오븐 등이 네트워크와 연결되고 있는 추세여서, 국내 초고속망 네트워크와 사이버 아파트를 이용한 디지털 라이프 시대, 유비쿼터스 시대가 다가오고 있다. 이런 이동성을 제공하기 위해 소정의 IP 프로토콜이 제시되고, 이러한 IP 프로토콜에 의해 무선 사용자가 일시적으로 다른 서브 넷으로 이동해도 지속적인 서비스를 제공하게 되었다.

무선 인터넷 환경에서는, 단말기가 이동하여 그 위치가 항상 바뀌므로, 단말기의 이동성이 지원되는 동시에 기존 유선망에서와 같은 인터넷 서비스가 제공되어야 한다. 이런 단말기의 이동성을 지원하기 위한 대표적인 기술로는 모바일 IP와 W-TCP, 그리고 MANET(Mobile Ad-hoc NETwork)를 들 수 있다. 여기서, 모바일 IP는 현재 망에서 모바일 노드가 어디에 있던지 관계없이 IP 서비스를 제공할 수 있게 하기 위한 기술이며, Wireless-TCP는 기존 TCP를 무선망에 적합한 형태로 향상시키려는 기술이다. 마지막으로, MANET는 기지국과 같은 고정 인프라 없이 모든 노드가 이동하는 상황을 지원하기 위한 기술이라 할 수 있다.

이중에서, 모바일 IP는 네트워크 IP 주소 기반의 경로 설정에서 호스트의 서브넷간 이동에 대한 제한을 극복하기 위해 개발되었다. 기존의 다른 알고리즘은 서브넷간의 이동성을 지원하지 못했다. 다른 네트워크로 이동한 호스트가 계속 인터넷에 연결하기 위해서는 사용자가 이동한 네트워크 시스템에서 유효한 IP 주소를 할당 받아 이에 맞게 호스트의 설정을 변경해야 하고, 이는 IP 주소 관리 등의 문제에 있어서 많은 불편을 야기한다. 이러한 문제를 해결하기 위해서 IETF(Internet Engineering Task Force)에서 모바일 IP(RFC 2002)라는 프로토콜이 제안되었다. 모바일 IP는 이동성을 제공하는 것으로 무선 인터넷을 지원하기 위해서 유선 코어망의 프로토콜인 모바일 IP는 반드시 필요하다. 현재 3GPP2 네트워크에서 모바일 IP를 수용하고 있고 UMTS의 경우 GPRS내에서 이를 표준으로 정하고 있다.

모바일 IP에서는 IP계층에서의 주소 변환 기법으로써 투-타이어(two-tier) 주소 체계를 채택하였다. 즉, 첫번째 주소는 경로 배정과 전달 방법에 사용되는 COA(Care Of Address)이고, 다른 주소는 이동 호스트를 식별하고 세션 연결에 사용되는 이동 호스트 고유의 고정 IP 주소인 HA(Home Address)이다. 즉, 이동 호스트는 기존의 고정 호스트같이 호스트 이름에 대응하는 고유한 인터넷 주소인 HA(Home Address)와, 이와 함께 실제 패킷의 전달 지점으로써 이동 호스트가 네트워크를 이동하면서 변경되는 주소인 COA를 가지게 된다.

여기서, 모바일 노드(MN: Mobile Node)는 통신이 가능한 단말기로 노트북, 컴퓨터, 무선단말기 등이다. 또한, 모바일 에이전트(MA: Mobile Agent)는 홈 또는 외부의 각 네트워크 링크의 라우터이다. 한편, 홈 에이전트(HA: Home Agent)는 노 드의 홈 네트워크 링크에 있는 라우터이다. 또한, 외부 에이전트(FA: Foreign Agent)는 노드의 외부 네트워크 링크에 있는 라우터이다. 한편, COA(Care-Of-Address)는 모바일 노드가 홈 에이전트와 통신을 하기 위해 보유하고 있는 외부 에이전트의 주소이다.

모바일 IP에서의 동작에 관하여 설명하면 다음과 같다.

먼저, 에이전트 발견(Agent Discovery) 과정을 수행한다.

에이전트 발견 과정은, 이동 호스트의 현재 위치가 HN(Home Network)인지 FN(Foreign Network)인지를 판단하거나, 한 네트워크에서 다른 네트워크로 이동했는지 판단하는 과정이다. 모든 HA나 FA는 자신의 링크상의 접속범위 내에 COA를 방송하여 현재 서비스가 가능함을 주기적으로 광고한다. 또한 이동 호스트는 COA를 획득하기 위해 에이전트 간청(Agent Solicitation) 메시지를 전송할 수 있다. 에이전트 광고(Agent Advertisement)는 다음과 같은 기능을 수행한다.

● HA 또는 FA를 발견할 수 있게 한다.

● 이동 호스트가 얻을 수 있는 COA들을 나열한다.

● 이동 호스트에게 FA가 제공하는 특별한 기능에 대한 정보를 알려준다.

● 이동 호스트에게 현재 연결된 네트워크가 홈 네트워크인지 외부 네트워크인지 구별할 수 있게 해준다.

그 후, 등록(Registration) 과정을 수행한다.

등록 과정은, 이동 호스트가 현재 속해 있는 네트워크 정보를 그들의 HA에 전달하는 과정이다. 등록 과정을 통하여 HA(Home Agent)에 이동호스트의 홈 어드레 스(Home Address)와 COA, 등록 유효 시간 등을 가지는 이동성 바인딩을 새로 생성하거나 갱신하게 된다. 등록은 크게 두 가지 시나리오(Scenario)가 있는데, FA가 이동호스트의 등록 요구 메시지를 HA로 전달하는 방법, 그리고 FA와 같은 외부 에이전트 없이 이동 호스트가 직접 HA에 등록 요구 메시지를 보내는 방법이 있다.

그 후, 터널링(Tunneling) 과정을 수행한다.

터널링 과정은, 이동호스트가 FA와 HA에 등록된 후, 이동호스트의 HN으로 보내지는 데이터그램은 HA에서 인터셉트(Intercept)되어 이동호스트의 COA 정보에 따라 등록된 FA에 전송하는 과정이다. 만약 이동호스트가 HA에 존재하면 별도의 터널링 과정 없이 이동호스트에게 바로 전달되고, FN으로 이동해 있으면 HA에서 COA로 데이터그램을 캡슐화(Encapsulation)하여 FA로 전송하게 된다.

도 1은 외부 에이전트에서 타 에이전트를 발견하는 일반적인 방법을 나타낸 동작흐름도로서, 이에 관하여 설명하면 다음과 같다.

먼저, 외부 에이전트(FA)가 모바일 노드로부터 간청을 수신하였는지 여부를 판정한다(S110). 만약, 모바일 노드로부터 간청을 수신한 경우에는 해당 모바일 노드를 향하여 1:1 광고를 전송한다(Unicast)(S120). 한편, 모바일 노드로부터 간청을 수신하지 않은 경우에는 내부 타이머에 의해 소정 시간이 경과했는지 여부를 판정하고, 소정 시간이 경과하지 않은 경우에는 소정 시간이 경과했는지 여부를 판정하는 과정을 반복적으로 수행한다(S130). 만약, 소정 시간이 경과한 경우에는, 가능한 모든 모바일 노드(N개)를 향하여 1:N 광고를 전송한다(Broadcast)(S140).

도 2는 외부 에이전트에서의 일반적인 등록 방법 중 등록 요청 처리 과정을 나타낸 동작흐름도로서, 이에 관하여 설명하면 다음과 같다.

먼저, 외부 에이전트(FA)가 모바일 노드로부터 등록 요청을 수신한다(S210). 그 후, 모바일 노드의 등록 요청이 외부 에이전트(FA)가 도 1의 방법을 통하여 전송한 광고의 라이프 타임(life time) 이내인지 여부를 판정한다(S220). 만약, 모바일 노드의 등록 요청이 외부 에이전트(FA)가 전송한 광고의 라이프 타임(life time)을 초과하여 수신된 경우에는 등록 요청을 무시한다(S230). 한편, 모바일 노드의 등록 요청이 외부 에이전트(FA)가 전송한 광고의 라이프 타임(life time) 이내에 수신된 경우에는 현재 외부 에이전트(FA)가 등록 과정을 수행할 수 없는 상태(busy)인지 여부를 판정한다(S240). 만약, 현재 외부 에이전트(FA)가 등록 과정을 수행할 수 없는 상태인 경우에는 방문 리스트(Visit list)에 모바일 노드 정보를 추가한다(S250). 그 후, 모바일 노드의 등록 요청을 홈 에이전트로 포워딩시킨다(S260). 한편, 현재 외부 에이전트(FA)가 등록 과정을 수행할 수 있는 경우에는, MD5 인증 방식을 통하여 생성된 등록 ID를 저장함으로써 저장 과정을 수행한다(S270).

도 3은 외부 에이전트에서의 일반적인 등록 방법 중 등록 응답 처리 방법을 나타낸 동작흐름도로서, 이에 관하여 설명하면 다음과 같다.

먼저, 외부 에이전트(FA)가 도 2의 방법에 의해 등록 요청을 포워딩시킨 홈 에이전트로부터 등록 응답을 수신하고, 등록 응답 ID가 외부 에이전트가 보낸 ID와 일치하는지 검사한다(S310). 그 후, 등록 응답 ID가 외부 에이전트가 보낸 ID와 일치하는 경우에는, 모바일 노드의 등록 요청이 외부 에이전트(FA)가 도 2의 방법을 통하여 포워딩한 등록 요청의 라이프 타임(life time) 이내인지 여부를 판정한다(S320). 만약, 홈 에이전트로부터의 등록 응답이 외부 에이전트(FA)가 포워딩한 등록 요청의 라이프 타임(life time)을 초과하여 수신된 경우에는 등록 응답을 무시한다(S330). 한편, 홈 에이전트로부터의 등록 응답이 외부 에이전트(FA)가 포워딩한 등록 요청의 라이프 타임(life time) 이내에 수신된 경우에는 등록 응답을 등록 요청한 모바일 노드에 포워딩한다(S340).

도 4는 홈 에이전트에서의 일반적인 등록 방법 중 등록 요청 처리 방법을 나타낸 동작흐름도로서, 이에 관하여 설명하면 다음과 같다.

먼저, 홈 에이전트가 외부 에이전트(FA)를 통하여 모바일 노드로부터 등록 요청을 수신한다(S410). 그 후, 모바일 노드의 등록 요청이 홈 에이전트가 전송한 광고의 라이프 타임(life time) 이내인지 여부를 판정한다(S420). 만약, 모바일 노드의 등록 요청이 홈 에이전트)가 전송한 광고의 라이프 타임(life time)을 초과하여 수신된 경우에는 등록 요청을 무시한다(S430). 한편, 모바일 노드의 등록 요청이 홈 에이전트가 전송한 광고의 라이프 타임(life time) 이내에 수신된 경우에는 현재 홈 에이전트가 등록 과정을 수행할 수 없는 상태(busy)인지 여부를 판정한다(S440). 만약, 현재 홈 에이전트가 등록 과정을 수행할 수 없는 상태인 경우에는 바인딩 리스트(Binding list)에 모바일 노드 정보 및 관련 외부 에이전트의 정보를 저장한다(S450). 그 후, 등록이 불가하다는 등록 응답을 외부 에이전트를 통해 모바일 노드로 전송한다(S460). 한편, 현재 홈 에이전트가 등록 과정을 수행할 수 있는 경우에는, MD5 인증 방식을 통하여 생성된 등록 ID를 저장함으로써 저 장 과정을 수행한다(S470).

도 5는 모바일 노드에서의 일반적인 에이전트 정보 관리 방법을 나타낸 동작흐름도로서, 이에 관하여 설명하면 다음과 같다.

먼저, 모바일 노드가 외부 에이전트(FA) 또는 홈 에이전트로부터 광고를 수신하였는지 여부를 판정한다(S510). 만약, 모바일 노드가 외부 에이전트(FA) 또는 홈 에이전트로부터 광고를 수신하였으면, 내부에 장착된 캐시 메모리에 해당 외부 에이전트(FA) 또는 홈 에이전트의 정보를 저장한다(S520). 한편, 모바일 노드가 외부 에이전트(FA) 또는 홈 에이전트로부터 광고를 수신하지 않은 경우에는 내부 타이머에 의해 소정 시간이 경과했는지 여부를 판정하고, 소정 시간이 경과하지 않은 경우에는 소정 시간이 경과했는지 여부를 판정하는 과정을 반복적으로 수행한다(S530). 만약, 소정 시간이 경과한 경우에는, 모바일 노드가 외부 에이전트(FA) 또는 홈 에이전트를 향하여 간청(solicitation)을 전송한다(S540). 그 후, 간청을 수신한 외부 에이전트(FA) 또는 홈 에이전트로부터 광고 메시지를 수신한 후(S550), 내부에 장착된 캐시 메모리에 해당 외부 에이전트(FA) 또는 홈 에이전트의 정보를 저장한다(S520).

도 6은 모바일 노드에서의 일반적인 에이전트 발견 방법을 나타낸 동작흐름도로서, 이에 관하여 설명하면 다음과 같다.

먼저, 모바일 노드가 새로운 네트워크로 이동하였는지 여부를 판정한다(S610). 만약, 모바일 노드가 새로운 네트워크로 이동하지 않은 경우에는, 캐시 메모리로부터 외부 에이전트 정보를 읽어온다(S620). 그 후, 획득한 외부 에 이전트 정보에 따라 해당 외부 에이전트에 등록을 요청한다(S630). 한편, 모바일 노드가 새로운 네트워크로 이동한 경우에는, 새로운 외부 에이전트 정보를 획득하고, 캐시 메모리에 새로운 외부 에이전트 정보를 읽어온 후(S640), 획득한 외부 에이전트 정보에 따라 해당 외부 에이전트에 등록을 요청한다(S630).

그 밖에, 모바일 노드 및 에이전트는 역방향(Reverse) 터널링을 지원할 수 있는데, 외부 에이전트의 광고 메시지 확장 포맷에서 'T'비트가 설정되어 있는 것으로 역방향 터널링을 지원한다는 것을 알리게 된다. 모바일 노드는 등록 요청 형식에 'T'비트를 설정해서 역방향 터널링을 통한 모바일 IP 서비스를 한다고 알리게 되고, 홈 에이전트가 역방향 터널링을 통한 모바일 IP 서비스를 개시하게 된다. 역방향 터널링의 큰 흐름을 일반적인 터널링과 비교해 보면, 모바일 노드가 연결된 관련(Correspondent) 노드로부터 패킷을 수신하는데까지는 'T'비트를 통해서 서비스를 하는 것을 제외하고는 유사하지만, 모바일 노드가 관련 노드로 송신하는 과정에서는 이 패킷을 어느 곳을 통해 포워딩시키는가 하는 것에 있어서 차이점을 보인다.

상술한 모바일 IP 서비스를 안전하고 효율적으로 제공하기 위하여 ID 등록 (S270, S470)시 인증 과정이 중요하며, 종래의 인증 방법인 비밀키 기반 인증 메커니즘, 공개키 기반 인증 메커니즘 및 최소 공개키 기반 인증 메커니즘에 관하여 설명하면 다음과 같다.

먼저, 인증 참여자(모바일 노드, 홈 에이전트 및 외부 에이전트)를 기준으로 종래의 인증 방법을 설명하면 다음과 같다.

비밀키 기반 인증 메커니즘에서의 인증은 기본적으로 모바일 노드와 홈 에이전트 둘 사이에서 이루어진다. 모바일 노드는 등록 요청 시 비밀키와 보호된 필드에 대한 MAC(Massage Authentication Code)을 첨부시켜 홈 에이전트에게 인증 받고, 홈 에이전트도 등록 응답 시 동일한 방법으로 모바일 노드에게 인증 받는다. 그러나 인증에 참여하는 외부 에이전트의 역할은 전달 받은 메시지를 전달해주는 소극적인 역할만을 수행하여 보안이 완전하지 못한 문제점이 있었다.

공개키 기반 인증 메커니즘은 서로에 대한 인증을 메시지를 받고 전달할 때마다 수행한다. 등록과정에 참여하는 세 참여자(모바일 노드, 홈 에이전트 및 외부 에이전트)는 모두 서로에 대한 신뢰 있는 인증을 할 수 있기 때문에 보안 면에서 이상적이나 반복되는 인증은 성능의 저하를 가져오는 문제점이 있었다.

최소 공개키 기반 인증 메커니즘 역시 세 참여자(모바일 노드, 홈 에이전트 및 외부 에이전트) 모두 인증에 참여하되 간접적인 인증을 통해 인증 횟수를 줄이고 비밀키 인증의 필요한 오버헤드를 줄였다. 외부 에이전트는 모바일 노드로부터 등록 요청을 받으면 인증 작업을 수행하지 않고 자신이 보냈던 에이전트 광고의 값이 유효한 것인가만 검사한다. 모바일 노드가 외부 에이전트를 직접 인증하지 않고 홈 에이전트가 인증한 결과를 받음으로써 간접적으로 공개키 인증효과를 가짐으로써 모든 인증 참여자에 대한 인증이 가능하다. 이 방법은 외부 에이전트의 인증까지 유지하는 동시에 외부 에이전트의 공개키 인증부분은 홈 에이전트에게 넘겨 성능저하를 감소시켰다. 이 때, 안전한 인증을 위하여 인증 참여자 모두를 인증하여야 하고 동시에 효율을 높이기 위하여 기본적으로 반복되는 공개키 인증의 횟수를 줄이며 모바일 노드에게는 계산이 비교적 간단한 비밀키 인증을 시키는 방법으로 이루어져야 한다.

한편, 문서의 전자적인 교환이 일반화되면서 문서의 인위적인 변조나 여러 가지 결함 때문에 문제가 많다. 따라서 일반적인 종이문서에 상호서명이나 도장을 찍는 것과 같이 전자문서의 송신자와 수신자간에 문서내용에 전자 서명을 하는 방식이 필요하다. 이러한 전자 서명 방식의 관점에서 종래의 인증 방법을 설명하면 다음과 같다.

비밀키 기반 암호 메커니즘에서는 타임스탬프 등을 사용하여 재사용하지 못하게 하며 원문에 대해 유일하게 생성되는 인증 코드를 덧붙여서 인증 받고 문서내용이 변경되지 않음을 증명할 수 있다. 그러나 암호화하는 키와 복호화하는 키가 동일하여 비밀키가 누설되었을 경우 누구든지 인증 가능하므로 부인방지 기능을 제공하지 못하는 문제점이 있다. 여기서, 암호화를 할 수 있는 자가 유일하다는 특성은 자신이 제공한 서비스에 대하여 후에 부인할 수 없게 한다. 이것을 전자 서명이 제공하는 부인 방지 서비스라고 하며 이동하는 노드가 책임을 가지고 네트워크 자원을 사용하도록 한다.

공개키 기반 인증 메커니즘에서 역시 타임스탬프 등으로 재사용하지 못하게 하며 원문에 대하여 전자 서명을 함으로써 인증 받고 내용이 변경되지 않음을 증명한다. 공개키 기반 시스템은 개인키와 공개 키의 쌍으로 이루어져 이 중 공개 키만 외부에 노출되어 있고 개인키는 어떠한 경우에도 개인키 소유자에게만 알려져 있다. 따라서 개인키 소유자가 개인키를 노출시키지 않는 한 누구도 올바로 암호화할 수 없다. 즉, 부인 방지 서비스를 제공할 수 있다.

최소 공개키 기반 인증 메커니즘은 공개 키를 사용하여 확장성을 높이면서도 모바일 노드가 해야 하는 인증 관련 관리와 모바일 노드에게 부여된 공개키 계산을 최소로 줄였다. 그러나 모바일 노드와 홈 에이전트 사이에는 비밀 키를 이용하여 MAC을 생성하였기 때문에 부인방지 서비스가 결여되어 있다. 즉, 외부 에이전트와 홈 에이전트 사이에서는 공개 키를 이용한 전자서명을 교환하기 때문에 네트워크에서 제공한 것에 대하여 부인할 수 없다. 다만 홈 에이전트는 외부 에이전트에게 공개키로 전자서명을 보냄으로써 모바일 노드에게 제공한 서비스에 대하여 부인할 수 없다. 그러나, 전자상거래와 같이 보안이 중요한 환경에서 모바일 노드의 위치 등록에 대한 부인방지 서비스가 결여되어 있는 문제점이 있다.

마지막으로, 암호 알고리즘의 관점에서 종래의 인증 방법을 설명하면 다음과 같다.

현재 IETF RFC2002에서 지정해 놓은 표준 모바일(Mobile)-IP의 인증 메커니즘은 비밀키 기반으로 RFC 1321에 정의된 해쉬 함수 MD5를 이용한다. 해쉬 함수는 임의의 입력 비트 열에 대하여 일정한 길이의 안전한 비트 열을 출력하는 것이다. 입력 데이터 스트링을 고정된 길이의 출력인 해쉬 코드로 대응시키는 함수로서 주어진 해쉬 코드에 대하여 이 해쉬 코드를 생성하는 데이터 스트링을 찾아내는 것은 계산상 실행 불가능하며, 주어진 데이터 스트링에 대하여 같은 해쉬 코드를 생성하는 또 다른 데이터 스트링을 찾아내는 것은 계산상 실행 불가능하다. MD5는 론 리베스트(Ron Rivest)가 1990년 개발한 MD4 알고리즘을 개선한 것으로 충돌률이 일 어날 가능성이 적은 크기인 128ibt의 해쉬를 만든다. 적은 계산 비용과 빠른 계산 속도면에 있어서 공개키에 비하여 우수한지만 RFC 2002에 따라 동작하는 비밀키가 모바일 노드와 홈 에이전트 사이에 미리 분배되어야 한다는 문제로 확장성이 떨어지는 문제점이 있다.

이에 반하여 공개키 인증 메커니즘에서는 모바일 노드가 인증서를 기반으로 한 공개키 암호작동을 하도록 요구한다. 공개키 기반 인증 메커니즘은 IETF의 드래프트(draft)로 제시되어 있으며 마찬가지로 어떤 알고리즘이든 사용할 수 있으나 기본적으로 512bit키를 사용한 RSA(Rivest-Shamir-Adelman)를 제안한다. 보안상의 강점에도 불구하고 암복호화의 비용이 높아 인증서를 증명하기 위한 인증서 검증 작업과 함께 모바일 노드에게 성능 저하를 가져오는 문제점이 있다. 특히, 공개키 동작이 일반적으로 비밀키 동작에 비하여 100~1,000배 이상 복잡하다는 것을 생각할 때 공개키 방식은 상당히 부담스럽다. 일반적으로 자원이 제약되어 있는 모바일 노드에게는 인증서를 발급하는 동작은 상당히 무거운 작업이다. 인증서 발급으로 인하여 공개키 기반 인증 메커니즘의 경우 등록 단계에서만 정의된 인증기관에 접근하여 인증서 확인 결과를 기다려야 한다. 그런데 모바일 노드가 일반적으로 자원이 한정되어 있어 계산할 수 있는 파워가 부족하다는 점과 홈 네트워크에서 멀어질수록 인증기관에서 메시지를 주고 받는 시간이 길어진다는 면에서 이러한 동작이 수행되지 어려운 문제점이 있다.

최소 공개키 기반 인증 메커니즘에서는 모바일 노드가 인증 기관에 접근하여 인증서를 발급 받고 유효한 인증서인지 확인하기 위하여 CRL에 접근해야 하는 복잡 한 작업에서 해방되었다. 모바일 노드는 홈 에이전트와 비밀 키를 이용하여 인증하며 자원이 풍부한 외부 에이전트와 홈 에이전트는 공개 키를 사용하여 인증한다. 따라서 자원에 제약되어 있는 모바일 노드는 계산이 간단한 해쉬 함수를 사용하는 방법으로 인증하는 것이 효율적이며 자원이 풍부한 외부 에이전트나 홈 에이전트는 공개키 암호 시스템을 사용하여 보안을 강화시키는 것이 좋다.

다시 말하면, 비밀키 기반 인증 메커니즘에서는 가벼운 비밀키 계산으로 인증의 효율성은 높으나 모든 인증 참여자에 대한 인증이 이루어지지 못하고 생성하는 MAC의 특성상 부인방지 서비스가 부족하다는 문제점이 있다.

공개키 기반 인증 메커니즘은 모든 인증 참여자에 대하여 공개 키를 기반으로 부인방지 서비스가 제공되는 인증을 수행하나 실제로 적용할 수 없을 만큼 시간이 오래 걸리는 문제점이 있다.

최소 공개키 기반 인증 메커니즘에서는 모바일 노드와 홈 에이전트 사이에는 비밀 키를 기반으로 신뢰성 있는 관계를 유지하며, 외부 에이전트와 홈 에이전트는 공개 키를 기반으로 인증하게 되는데, 보안을 유지시키면서 홈 에이전트 사이에는 전자서명을 사용하지 않아 부인방지 기능이 없는 문제점이 있다.

본 발명은 상기 문제점을 해결하기 위하여 제안된 것으로, 모바일 노드의 개별적 인증서를 이용한 전자서명을 등록 요청 메시지에 추가함으로써, 부인 방지 기능을 제공하는 동시에 모바일 노드의 부하를 줄이는 모바일 ＩＰ 서비스를 위한 인 증 방법을 제공하는데 그 목적이 있다.

본 발명의 다른 목적 및 장점들은 하기의 설명에 의해서 이해될 수 있으며, 본 발명의 실시예에 의해 보다 분명하게 알게 될 것이다. 또한, 본 발명의 목적 및 장점들은 특허 청구 범위에 나타낸 수단 및 그 조합에 의해 실현될 수 있음을 쉽게 알 수 있을 것이다.

상기 목적을 달성하기 위한 본 발명의 방법은, 복수개의 에이전트 및 모바일 노드를 포함하는 네트워크 시스템에 적용되는 모바일 ＩＰ 서비스를 위한 인증 방법에 있어서, 상기 모바일 노드가 상기 복수개의 에이전트 중 하나의 에이전트로부터 광고 메시지를 수신하는 광고메시지수신단계; 및 상기 모바일 노드가 상기 광고 메시지에 대응하는 에이전트로 전자서명을 포함하는 등록 요청을 전송하는 등록요청전송단계를 포함한다.

또한, 상기 목적을 달성하기 위한 본 발명의 방법은, 복수개의 에이전트 및 모바일 노드를 포함하는 네트워크 시스템에 적용되는 모바일 ＩＰ 서비스를 위한 인증 방법에 있어서, 상기 복수개의 에이전트 중 제1 에이전트가 상기 모바일 노드로부터 전자서명을 포함하는 등록 요청을 수신하는 등록요청수신단계; 상기 제1 에이전트가 등록 동작이 가능함에 따라 상기 전자서명을 사용하여 증명하고, 증명 완료에 따라 증명 사실을 등록 요청의 증거로서 생성하는 증명단계; 및 상기 제1 에 이전트가 상기 모바일 노드의 등록 ID를 생성하고 상기 등록 ID를 저장하는 등록단계를 포함한다.

상술한 목적, 특징 및 장점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해 질 것이며, 그에 따라 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 것이다. 또한, 본 발명을 설명함에 있어서 본 발명과 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에 그 상세한 설명을 생략하기로 한다. 이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 일실시예를 상세히 설명하기로 한다.

도 7은 본 발명의 일 실시예에 의한 모바일 ＩＰ 서비스를 위한 인증 방법 중 모바일 노드의 등록 요청 동작을 나타낸 동작흐름도로서, 이에 관하여 설명하면 다음과 같다.

먼저, 모바일 노드가 외부 에이전트(FA) 또는 홈 에이전트로부터 광고를 수신하였는지 여부를 판정한다(S710).

한편, 상기 모바일 노드가 상기 외부 에이전트(FA) 또는 상기 홈 에이전트로부터 광고를 수신하지 않은 경우에는 내부 타이머에 의해 소정 시간이 경과했는지 여부를 판정하고, 소정 시간이 경과하지 않은 경우에는 소정 시간이 경과했는지 여부를 판정하는 과정을 반복적으로 수행한다(S720).

만약, 소정 시간이 경과한 경우에는, 상기 모바일 노드가 상기 외부 에이전 트(FA) 또는 상기 홈 에이전트를 향하여 간청(solicitation)을 전송한다(S730).

그 후, 간청을 수신한 상기 외부 에이전트(FA) 또는 상기 홈 에이전트로부터 광고 메시지를 수신한다(S740).

그 후, 상기 모바일 노드가 상기 외부 에이전트(FA) 또는 상기 홈 에이전트로부터 광고를 수신하였으면, 내부에 장착된 캐시 메모리에 해당 외부 에이전트(FA) 또는 홈 에이전트의 정보를 저장한다(S750).

그 후, 모바일 노드는 외부 선택 등에 의해 인증 관련 동작이 활성화되어야 하는지 여부를 판정하고, 인증 관련 동작이 활성화되어야 하지 않는 경우에는 인증 관련 동작이 활성화되어야 하는지 여부를 판정하는 과정을 반복적으로 수행한다(S760).

그 후, 인증 관련 동작이 활성화되어야 하는 경우에는, 획득한 외부 에이전트 또는 홈 에이전트 정보에 따라 해당 에이전트에 전자서명을 포함하여 등록을 요청한다(S750). 즉, 상기 모바일 노드가 상기 광고에 의해 설정된 에이전트로 전자서명을 포함하는 등록 요청을 전송한다. 여기서, 상기 전자서명은 상기 모바일 노드의 개인키가 사용되어 생성되며, 상기 모바일 노드가 미리 발급된 인증서를 보유할 수 있으나 이에 한정되지 않는다.

도 8a는 본 발명의 일 실시예에 의한 모바일 ＩＰ 서비스를 위한 인증 방법 중 홈 에이전트의 동작을 나타낸 동작흐름도로서, 이에 관하여 설명하면 다음과 같다.

먼저, 홈 에이전트가 모바일 노드로부터 전자서명을 포함하는 등록 요청을 수신한다(S810).

그 후, 상기 모바일 노드의 전자서명을 포함하는 등록 요청이 홈 에이전트가 전송한 광고의 라이프 타임(life time) 이내인지 여부를 판정한다(S820).

만약, 상기 모바일 노드의 전자서명을 포함하는 등록 요청이 홈 에이전트가 전송한 광고의 라이프 타임(life time)을 초과하여 수신된 경우에는 등록 요청을 무시한다(S830).

한편, 상기 모바일 노드의 전자서명을 포함하는 등록 요청이 홈 에이전트가 전송한 광고의 라이프 타임(life time) 이내에 수신된 경우에는 현재 홈 에이전트가 등록 과정을 수행할 수 없는 상태(busy)인지 여부를 판정한다(S840).

만약, 현재 상기 홈 에이전트가 등록 과정을 수행할 수 없는 상태인 경우에는 방문 리스트(Visit list)에 상기 모바일 노드 정보를 추가한다(S850).

그 후, 상기 모바일 노드의 전자서명을 포함하는 등록 요청을 다른 에이전트로 포워딩시킨다(S860).

한편, 현재 상기 홈 에이전트가 등록 과정을 수행할 수 있는 경우에는, 상기 전자서명을 사용하여 인증기관에 접근하고, 이를 통하여 증명 과정을 수행한다(S870).

그 후, 상기 홈 에이전트가 상기 증명 과정을 통하여 인증 작업이 완료되었는지 여부를 판정한다(S880).

만약, 인증 작업이 완료된 경우에는, 상기 홈 에이전트가 증명 사실을 등록 요청의 증거로서 생성하고, 상기 저장한 에이전트가 상기 모바일 노드의 등록 ID를 생성하고 상기 등록 ID를 저장하게 된다(S890). 즉, MD5 인증 방식을 통하여 생성된 등록 ID를 저장함으로써 저장 과정을 수행할 수 있으나 이에 한정되지 않는다. 여기서, 상기 증명 사실은, 증명 완료 여부를 표시하는 플래그 형식으로 상기 홈 에이전트 내 메모리에 저장될 수 있으나 이에 한정되지 않는다.

한편, 인증 작업이 완료되지 못한 경우에는, 등록 요청을 무시한다(S830).

이 때, 홈 에이전트가 등록 ID 저장이 완료되었음을 알리는 등록 응답을 모바일 노드를 향하여 전송할 수 있다(도시되지 않음). 여기서, 상기 등록 응답은, 비밀키를 사용한 MAC의 형태일 수 있으나, 이에 한정되지 않는다.

도 8b는 본 발명의 일 실시예에 의한 모바일 ＩＰ 서비스를 위한 인증 방법 중 외부 에이전트의 동작을 나타낸 동작흐름도로서, 이에 관하여 설명하면 다음과 같다.

먼저, 외부 에이전트(FA)가 모바일 노드로부터 전자서명을 포함하는 등록 요청을 수신한다(S811).

그 후, 상기 모바일 노드의 전자서명을 포함하는 등록 요청이 외부 에이전트(FA)가 전송한 광고의 라이프 타임(life time) 이내인지 여부를 판정한다(S821).

만약, 상기 모바일 노드의 전자서명을 포함하는 등록 요청이 외부 에이전트(FA)가 전송한 광고의 라이프 타임(life time)을 초과하여 수신된 경우에 는 등록 요청을 무시한다(S831).

한편, 상기 모바일 노드의 전자서명을 포함하는 등록 요청이 외부 에이전트(FA)가 전송한 광고의 라이프 타임(life time) 이내에 수신된 경우에는 현재 외부 에이전트(FA)가 등록 과정을 수행할 수 없는 상태(busy)인지 여부를 판정한다(S841).

만약, 현재 상기 외부 에이전트(FA)가 등록 과정을 수행할 수 없는 상태인 경우에는 방문 리스트(Visit list)에 상기 모바일 노드 정보를 추가한다(S851).

그 후, 상기 모바일 노드의 전자서명을 포함하는 등록 요청을 다른 외부 에이전트로 포워딩시킨다(S861).

한편, 현재 상기 외부 에이전트(FA)가 등록 과정을 수행할 수 있는 경우에는, 홈 에이전트로 증명 사실 및 전자 서명을 포함하는 정보를 요청한다(S871). 즉, 홈 에이전트는 도 8a에 따른 방법에 의해 인증 과정이 완료되면 그에 따른 증명 사실을 저장하고 있는데, 이른 요청하는 것이다.

그 후, 상기 외부 에이전트(FA)가 상기 증명 사실 및 상기 전자 서명을 이용한 증명 과정을 통하여 이전에 홈 에이전트에서 올바른 인증 작업이 완료되었는지 여부를 판정한다(S881). 여기서, 상기 외부 에이전트(FA)는 인증기관에 접근할 필요 없이 상기 증명 사실에 의해 인증 과정이 완료되었는지 여부를 확인하고 전자 서명의 일치성을 단순 비교함으로써 인증 과정을 수행하게 된다.

만약, 인증 작업이 완료된 경우에는, 상기 외부 에이전트(FA) 또는 상기 홈 에이전트가 증명 사실을 등록 요청의 증거로서 저장하고, 상기 저장한 에이전트가 상기 모바일 노드의 등록 ID를 생성하고 상기 등록 ID를 저장하게 된다(S891). 즉. MD5 인증 방식을 통하여 생성된 등록 ID를 저장함으로써 저장 과정을 수행할 수 있으나 이에 한정되지 않는다.

한편, 인증 작업이 완료되지 못한 경우에는, 등록 요청을 무시한다(S831).

본 발명의 모바일 ＩＰ 서비스를 위한 인증 방법을 모바일 노드 외부 에이전트 및 홈 에이전트에 적용한 일례에 관하여 설명하면 다음과 같다.

전자상거래와 같이 모바일 노드 행동의 책임성이 짙은 경우에는 위치 등록에 대한 부인 방지 서비스가 있어야 한다. 따라서 인증은 사용자가 네트워크에서 사용한 자원과 행동에 대하여 부인을 못하도록 하며 동시에 사용자의 편의와 원활한 네트워크 이용을 위해 등록 과정이 짧아야 한다. 본 발명의 모바일 ＩＰ 서비스를 위한 인증 방법은 공개키 기반 인증 메커니즘과 최소 공개키 기반 인증 메커니즘의 혼합 형태이다. 모바일 노드가 등록 요청에 전자서명을 추가하는 것 외에는 최소 공개키 기반 인증 메커니즘과 동일하게 작동한다. 외부 에이전트는 홈 에이전트가 인증한 내용을 증명 사실을 통해 간접적으로 인증한다. 모바일 노드는 홈 에이전트에게 전자서명을 보내고 홈 에이전트는 인증 기관에 접근하여 전자 서명의 진실 여부를 확인한 후 전자서명을 증명한다. 이로써 홈 에이전트는 모바일 노드와 외부 에이전트 모두를 인증할 수 있다. 여기서 모바일 노드의 전자서명은 자신이 등록한 위치정보에 대한 중요한 부인방지 기능을 제공하여 네트워크 자원 사용을 관리 제어할 수 있다. 홈 에이전트의 경우에는 외부 에이전트에게 전자서명을 보내 인증 받고 모바일 노드에게는 MAC(message authentication code)을 생성시킴으로써 직접 인증 받는다. 이로써, 새로운 위치 등록과정에 관계하는 모든 참여자에 대한 인증을 할 수 있다. 모바일 노드는 자신의 개인키를 사용해서 전자서명을 생성하고 그 전자서명을 등록 요청에 포함시킨다. 모바일 노드는 원문에 전자서명과 인증서를 포함시키지만 미리 인증서를 발급해 놓기 때문에 서명시 마다 인증 기관에 접근할 필요가 없다. 홈 에이전트는 전자서명을 받아 증명하고 모바일 노드의 서비스 요청에 대한 증거로 보존한다. 등록 요청은 전자서명을 이용하지만, 등록 응답은 MAC에 의존하기 때문에 모바일 노드가 등록 응답을 받았을 때에도 미리 나눠 가진 비밀키로 인증함으로써 인증시 인증 기관에 접근할 필요가 없다. 이런 구조는 특히 모바일 노드의 공개키 사용을 최소로 한다.

본 발명의 모바일 ＩＰ 서비스를 위한 인증 방법이 공개키 기반 인증 메커니즘에 비하여 가지는 장점은 하기와 같다.

첫째, 홈 에이전트가 보내는 등록 응답은 비밀 키를 사용한 MAC을 포함시켜 모바일 노드의 성능 저하를 줄였다는 것이다. 모바일 노드와 같이 계산을 최소로 줄여야 하는 환경에서 해쉬 함수가 주는 이점이 크다. 즉, 홈 에이전트가 등록 ID를 저장한 후(S890), 비밀키를 사용한 MAC를 등록 응답을 전송하게 되는데, 종래의 등록 응답 과정(도 3 참조)에 적용되는 MAC에 비하여 비밀키를 사용한 MAC가 간소화될 수 있어 계산 과정이 간단해진다.

둘째, 모바일 노드는 에이전트 광고를 받은 때 외부 에이전트를 증명할 필요가 없고 등록 과정 중 외부 에이전트와 직접 상호 인증을 할 필요도 없다. 홈 에이 전트가 등록 요청을 받아 외부 에이전트를 인증하고 인증이 성공이라면 등록 응답을 모바일 노드에게 보낸다. 모바일 노드는 등록 응답을 받음으로써 외부 에이전트에 대한 내용을 간접적으로 인증한다.

셋째, 모바일 노드는 한번의 공개키 동작을 수행하여 전자서명을 생성해 낸다. 자신의 개인키로 전자서명을 만들고 보내므로 인증기관에 접근할 필요가 없다. 일반적으로 전력을 아껴서 사용해야 하는 모바일 노드에게 계산을 줄여준다. 또한 홈 에이전트로부터 등록 응답을 받아도 미리 분배 받은 비밀키로 인증하기 때문에 인증기관에 접근할 필요도 없고 계산 비용이 매우 적다. 이렇게 새로 제시된 전자서명을 이용한 최소 공개키 인증 방안은 모바일 노드가 위치를 바꾸었을 때, 이후에 이루어질 데이터 통신 경로를 열기 위한 새 위치 등록 단계에 해당된다. 따라서 새 통신 경로를 만드는데 있어서 인증 과정에 관계하는 모든 참여자를 인증한다는 면에서 악의를 가진 사용자의 공격을 방지할 수 있으며, 동시에 비밀키 공개 키에서 사용되는 MD5와 RSA와 같은 인증 알고리즘을 통하여 인증의 무결성을 보장할 수 있다. 특히 RSA는 이동 사용자만이 비밀키를 보유한다는 점에서 새 위치 등록과정 행위를 부인할 수 없게 한다. 이 방법은 보안을 중요시하는 네트워크에서 새로운 네트워크 경로 설정할 때 네트워크 자원 사용에 대한 부인방지 기능을 부여하는 것으로, 이것은 어플리케이션에서 전자서명을 이용한 문서, 데이터에 대한 부인방지 기능과는 다르다. 이로써 인증 참여자 모두에게 인증을 수행하면서도 공개 키를 최소로 사용하여 성능을 높였으며 부인방지 서비스를 모바일 노드에게도 포함시킴으로써 보안이 높은 시스템을 가진 네트워크에서 사용될 수 있는 이동 프로토콜로 제 안될 수 있다. 그 외에도 등록되어 있던 모바일 노드가 오프라인이 되었다가 다시 같은 외부 에이전트에게 재등록하려고 한다면 최적화하여 구현할 수 있다. 즉, 모바일 노드의 휴지 기간 동안 먼저 전자서명을 만들어 놓았다가 재등록 시 즉시 사용함으로써 전체 인증시간의 단축을 가져올 수 있다.

상술한 본 발명의 모바일 ＩＰ 서비스를 위한 인증 방법의 성능을 분석하면 다음과 같다.

모델링은 모바일 노드가 새로운 서브넷으로 들어가 에이전트 광고와 같은 특별한 메시지를 받았을 때 새 모바일 정보를 홈 에이전트 등에게 등록하는 과정에 해당한다.

인증 메커니즘에서 암복호화가 차지하는 비중이 크기 때문에 각 수행 횟수(표 1에 개시)와 인증 평균시간을 계산하여 인증 메커니즘에서 차지하는 영향을 분 석할 수 있다. 표 1을 통해 먼저 각 인증 메커니즘에서 요구되는 암복호화 횟수를 계산하였다. 이 때 시뮬레이션 결과를 수치로 계산하기 위하여 사용된 수식은 다음과 같다. 여기서, 전체 등록 시간(T)은 등록 요청, 등록 응답을 만드는 시간과 각 에이전트가 자신이 가진 테이블을 갱신하는 시간을 포함한 노드 프로세싱 시간(Operation), 노드와 에이전트 사이에 메시지가 전달되는 데 거리는 전달 지연시간(Delay), MAC이나 전자서명을 만드는데 필요한 암호화 복호화 시간(EncrypDescrypTime)을 합친 시간이다.

전달지연시간(Delay)은 인증 참여 노드 사이의 거리와 미디어에 따른 전파 지연(Propagation Delay)과 전송 지연(Transmission Delay)을 합친 것이고, 암호화 복호화에 사용되는 시간(EncrypDescrypTime)은 각각 암호화 시간(EncrypTime)과 복 호화시간(DecrypTime)으로 나뉜다. 암호화 시간은 다시 비밀키 기반 암호화 시간(SecretEncryp)과 공개키 기반 암호화 시간(PulicEncryp)으로 나누어진다. 비밀키로는 MD5가 사용되었고 공개키로는 RSA가 사용되었다. 마찬가지로 복호화 시간도 비밀키 기반 복호화 시간(SecretDecryp)과 공개키 기반 복호화 시간(PublicDecryp)으로 나누어져 계산된다. 비밀키 방식에서는 해쉬 함수 계산이 4번인데 비하여 공개키 방식에서는 공개키 계산횟수가 21번으로 5배이상 증가하였다. 공개키 계산 자체가 일반적으로 100~1,000배 정도 오래 걸린다는 것을 고려할 때 공개키 방식은 비밀키 방식에 비하여 상당한 시간과 계산 비용을 요구함을 알 수 있다. 최소 공개키 방식에서 처럼 공개키 계산을 최소로 할 경우 비싼 공개키 계산이 반 이하로 줄며 특히 모바일 노드에서는 비밀키 계산만 수행하도록 하였다. 본 발명의 모바일 ＩＰ 서비스를 위한 인증 방법에서는 부인방지 서비스를 위해 전자서명을 추가시킴으로써 공개키 계산이 조금 증가하였으나 모바일 노드에서의 공개키 계산 횟수 증가는 1번에 불과함을 알 수 있다.

위의 표 2는 인증 코드를 생성하고 검증하는 데 필요한 평균 시간을 보여준다. MAC을 생성하기 위하여 평균 0.208ms가 걸리고 증명하기 위하여 0.167ms가 걸리는데 실제로 MAC을 만들고 증명하는 메커니즘이 동일하므로 차이가 거의 없다. 전자서명에서는 전자서명을 생성하는데 80.38ms이 걸려 증명하는데 필요한 10.08ms보다 오래 걸린다. 전자서명은 MAC을 만드는 과정에 비해 48~473배 걸리는데 해쉬 함수에 비하여 공개키 함수 자체가 복잡한 구조를 가졌기 때문이다. 공개키 계산은 더 계산 비용이 많이 들어 자원을 많이 필요로 하고 전력을 소모시킨다. 또한, 암복호화 시간이 오래 걸릴뿐 아니라 자신의 공개키를 발급하여 키관리소에 맡기고 상대방의 공개키를 배급받아 복호화에 사용하는 과정을 생각하면 단순한 비밀키 계산에 비하여 계산 비용이 상당히 높은 이유를 알 수 있다. 인증 평균시간을 통하여 보안을 보장하는 범위 내에서 공개키 사용을 최소로 줄여야 함을 알 수 있다.

모바일(Mobile)-IP는 매크로 이동성을 지원하는데 적합한데 만약 매우 작은 지역만 처리할 수 있는 무선 트랜스리시버 사이를 움직이는 것과 같은 마이크로 이동성을 가지는 경우에 사용되기에는 오버헤드가 너무 크다. 따라서 모바일 IP가 매크로 이동성을 기반으로 한다는 것을 가정으로 할 때 모바일 노드의 위치 변화에 따른 인증 시간을 계산한다. 도 9a는 모바일 노드가 홈 네트워크로부터 1km에서 40km까지 멀어져 갈 경우 인증을 위하여 필요한 시간을 보여준다.

모바일 노드와 홈 에이전트 사이의 거리가 1km에서 40km까지 멀어질 때 비밀키(SK)의 등록시간은 13배나 증가하였으나 실제 시간은 420ms밖에 걸리지 않는다. 이에 반하여 공개키(PK)의 경우 4배로 증가율은 낮았으나 전체 인증시간이 4초가 넘는다. 이에 반하여 최소 공개키(minPK)에서는 공개키(PK)의 반도 걸리지 않으며 본 발명의 방법(minPKds)도 비슷한 선을 유지한다. 본 발명의 방법는 모바일 노드가 홈 네트워크로부터 멀어짐에 따라 더 사용하기에 적합함을 알 수 있다.

서브넷의 크기가 0.1km에서 1km 사이일 경우 모바일 노드가 이동하는 속도에 따라 그 서브넷에서 머무는 시간을 나타낸다. 서브넷의 크기는 마이크로셀일 때0.1km에서부터 매크로 셀일 때 1km이상으로 변한다. 이동하는 사용자의 속도는 걸어다닐 때 1~2km/h로 가정한다.

도 9b는 모바일 노드가 속하는 서브넷의 크기가 0.1km인 경우 전체 서브넷에 머무는 시간에 대하여 인증 시간이 차지하는 비율을 보여준다.

서브넷의 크기가 0.1km일 경우에는 전체 서브넷에 머무는 시간에 대하여 인증 시간이 차지하는 비율이 크다. 특히 이동 속도가 빨라짐에 따라 그 비율이 급격하게 증가한다. 실제로 모바일 IP에서 새로운 서브넷에 들어가면 새 위치 정보에 대하여 인증을 받고 데이터그램을 터널링해서 받는데 시간이 오래 걸리므로 인증이 차지하는 비율이 적어야 한다. 그렇지 않을 경우 인증을 받고 터널링 되어 오고 있는 데이터그램을 받기도 전에 또 다른 새로운 서브넷으로 이동하게 되어 인증과 터널링에 드는 오버헤드만 지나치게 높아지고 실제로 데이터 그램을 전송 받는 시간이 짧아진다. 이 경우에는 인증 시간이 짧은 것이 중요하므로 성능 저하가 가정 적은 비밀키(SK)를 사용하는 것이 바람직하다.

도 9c는 모바일 노드가 속하는 서브넷의 크기가 0.5km인 경우 전체 서브넷에 머무는 시간에 대하여 인증 시간이 차지하는 비율을 나타낸 그래프이고, 도 9d는 모바일 노드가 속하는 서브넷의 크기가 1km인 경우 전체 서브넷에 머무는 시간에 대하여 인증 시간이 차지하는 비율을 나타낸 그래프로서, 이에 관하여 설명하면 다음과 같다.

도 9c와 같이 서브넷의 크기가 0.5km일 경우, 20~30km/h일 때에는 비밀키(PK)도 사용할 수 있으나 그 이상의 속도로 움직일 경우에는 본 발명의 방법(minPKds)를 사용하여 원하는 서비스를 제공 받으면서 성능저하를 줄이는 방법이 좋다. 그러나 도 9d와 같이 서브넷의 크기가 1km 일 경우에는 이동 속도가 100km/h까지 증가해도 서브넷에 머무는 시간에 대한 인증 시간의 차지 비율이 8% 미만으로 유지된다. 실제로 50km/h로 이동할 때까지는 비밀키(PK)를 사용해도 좋다. 이와 같이 서브넷과 이동 노드의 상황을 참조하여 인증 메커니즘의 보안과 성능에 따라서 바람직한 인증 메커니즘을 골라 사용할 수 있다.

상술한 바와 같은 본 발명의 방법은 프로그램으로 구현되어 컴퓨터로 읽을 수 있는 형태로 기록매체(씨디롬, 램, 롬, 플로피 디스크, 하드 디스크, 광자기 디스크 등)에 저장될 수 있다. 이러한 과정은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있으므로 더 이상 상세히 설명하지 않기로 한다.

이상에서 설명한 본 발명은, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하므로 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니다.

상기와 같은 본 발명은, 모바일 노드의 개별적 인증서를 이용한 전자서명을 등록 요청 메시지에 추가함으로써, 부인 방지 기능을 제공하는 동시에 모바일 노드의 부하를 줄이는 장점이 있다.

Claims

복수개의 에이전트 및 모바일 노드를 포함하는 네트워크 시스템에 적용되는 모바일 ＩＰ 서비스를 위한 인증 방법에 있어서,

상기 모바일 노드가 상기 복수개의 에이전트 중 하나의 에이전트로부터 광고 메시지를 수신하는 광고메시지수신단계; 및

상기 모바일 노드가 상기 광고 메시지에 대응하는 에이전트로 전자서명을 포함하는 등록 요청을 전송하는 등록요청전송단계

를 포함하는 모바일 ＩＰ 서비스를 위한 인증 방법.
제1항에 있어서,

상기 전자서명은 상기 모바일 노드의 개인키가 사용되어 생성되는

것을 특징으로 하는 모바일 ＩＰ 서비스를 위한 인증 방법.
제1항에 있어서,

상기 전자서명은 상기 모바일 노드가 상기 네트워크 시스템에 대하여 오프라인인 동안에 생성되는

것을 특징으로 하는 모바일 ＩＰ 서비스를 위한 인증 방법.
제1항 내지 제3항 중 어느 한 항에 있어서,

상기 모바일 노드는 미리 발급된 인증서를 보유하는

것을 특징으로 하는 모바일 ＩＰ 서비스를 위한 인증 방법.
복수개의 에이전트 및 모바일 노드를 포함하는 네트워크 시스템에 적용되는 모바일 ＩＰ 서비스를 위한 인증 방법에 있어서,

상기 복수개의 에이전트 중 제1 에이전트가 상기 모바일 노드로부터 전자서명을 포함하는 등록 요청을 수신하는 등록요청수신단계;

상기 제1 에이전트가 등록 동작이 가능함에 따라 상기 전자서명을 사용하여 증명하고, 증명 완료에 따라 증명 사실을 등록 요청의 증거로서 생성하는 증명단계; 및

상기 제1 에이전트가 상기 모바일 노드의 등록 ID를 생성하고 상기 등록 ID를 저장하는 등록단계

를 포함하는 모바일 ＩＰ 서비스를 위한 인증 방법.
제5항에 있어서,

상기 증명 사실은, 증명 완료 여부를 표시하는 표시자로서 상기 제1 에이전 트 내 메모리에 저장되는

것을 특징으로 하는 모바일 ＩＰ 서비스를 위한 인증 방법.
제5항에 있어서,

상기 제1 에이전트가 상기 모바일 노드로 등록 응답을 전송하는 등록응답전송단계

를 더 포함하고,

상기 등록 응답은 비밀키를 사용한 인증 코드를 포함하는

것을 특징으로 하는 모바일 ＩＰ 서비스를 위한 인증 방법.
제5항에 있어서,

상기 복수개의 에이전트 중 제2 에이전트가 상기 모바일 노드로부터 전자서명을 포함하는 등록 요청을 수신하는 등록요청수신단계;

상기 제2 에이전트가 등록 동작이 가능함에 따라 상기 제1 에이전트로부터 전자서명 및 증명 사실을 포함하는 정보를 수신하는 정보수신단계; 및

상기 제2 에이전트가 상기 모바일 노드로부터의 전자서명 및 상기 제1 에이전트로부터의 전자서명이 일치하고 상기 증명 사실에 의해 증명 완료가 보장됨에 따라 상기 모바일 노드의 등록 ID를 생성하고 상기 등록 ID를 저장하는 등록단계

를 더 포함하는 것을 특징으로 하는 모바일 ＩＰ 서비스를 위한 인증 방법.