KR100803272B1 - 아이피 브이 식스 네트워크에서 인증을 처리하는 방법 및그 장치 - Google Patents

아이피 브이 식스 네트워크에서 인증을 처리하는 방법 및그 장치 Download PDF

Info

Publication number
KR100803272B1
KR100803272B1 KR20040005864A KR20040005864A KR100803272B1 KR 100803272 B1 KR100803272 B1 KR 100803272B1 KR 20040005864 A KR20040005864 A KR 20040005864A KR 20040005864 A KR20040005864 A KR 20040005864A KR 100803272 B1 KR100803272 B1 KR 100803272B1
Authority
KR
South Korea
Prior art keywords
node
information
authentication
message
authentication server
Prior art date
Application number
KR20040005864A
Other languages
English (en)
Other versions
KR20050078434A (ko
Inventor
김병철
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Priority to KR20040005864A priority Critical patent/KR100803272B1/ko
Priority to US11/010,531 priority patent/US20050172333A1/en
Priority to JP2005009821A priority patent/JP4033868B2/ja
Priority to EP20050001831 priority patent/EP1560396A2/en
Priority to CNA2005100061487A priority patent/CN1649294A/zh
Publication of KR20050078434A publication Critical patent/KR20050078434A/ko
Application granted granted Critical
Publication of KR100803272B1 publication Critical patent/KR100803272B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/167Adaptation for transition between two IP versions, e.g. between IPv4 and IPv6
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 IPv6 네트워크에서 인증을 처리하는 방법 및 그 장치에 관한 것으로, IPv6 보안 망 노드들이 인증 기관으로부터 전송되는 보안 정보를 이용하여, 상호 인증을 통해 통신을 수행할 수 있도록 함으로써, 인증 기관과 각 노드간에 교환되는 메시지 량을 최소화하고, 또한, IPv6 보안 망에서 인증을 처리하는 인증 기관과 IPv6 보안 망에 접근하는 노드간에 최초 인증 처리를 할 때, 교환되는 메시지를 통해 상호 인증을 처리함으로써, 악의적으로 IPv6 보안 망에 접근하는 노드를 원천적으로 방지할 수 있는 효과가 있다.

Description

아이피 브이 식스 네트워크에서 인증을 처리하는 방법 및 그 장치{apparatus and method of prosessing certification in IPv6 network}
도 1은 일반적인 IPv6 주소 구성을 설명하기 위한 도면.
도 2는 IPv6의 주소 자동 설정 기능을 설명하기 위한 도면.
도 3은 주소 자동 설정 기능으로 생성된 IPv6 주소의 인터페이스 ID를 설명하기 위한 도면.
도 4는 일반적인 IPv6 보안 망의 구성을 설명하기 위한 전체 블록 도면.
도 5는 본 발명의 바람직한 실시예에 따른 노드의 구성을 설명하기 위한 내부 블록 도면.
도 6은 본 발명의 바람직한 실시예에 따른 인증 기관의 내부 구성을 설명하기 위한 내부 블록 도면.
도 7은 본 발명의 바람직한 실시예에 따른 각 노드가 인증 기관으로부터 인증받는 방법의 흐름을 설명하기 위한 플로우챠트 도면.
도 8은 본 발명의 바람직한 실시예에 따른 각 노드간 상호 인증 방법의 흐름을 설명하기 위한 플로우챠트 도면.
도 9는 본 발명의 바람직한 실시예에 따른 IPv6 보안 망을 통해 노드가 통신 을 하는 방법의 흐름을 설명하기 위한 흐름도.
<도면의 주요 부분에 대한 부호의 설명>
10 : 인증 기관(CA) 11 : 인증 처리부
12 : 데이터 베이스(DB) 13 : 암/복호화 처리부
14 ; IP 인터페이스부 20 : IPv6 보안 망
31~33 : 노드 31a : 네트워크 인터페이스부
31b : 암/복호화부 31c : 메시지 처리부
31d : 주소 처리부
본 발명은 IPv6 네트워크에서 인증을 처리하는 방법 및 그 장치에 관한 것으로, 더욱 자세하게는, IPv6 보안 망에 접근하는 각 노드가 중복 주소 발견 기능을 수행하면서 인증 기관으로부터 전송되는 보안 정보를 통해 각 노드간 상호 IPv6 네트워크에서 인증을 처리하는 방법 및 그 장치에 관한 것이다.
IPv6는 RFC(Request for Comments) 2460(obsolates 1883) 표준에 있다.
이러한, IPv6에는 자체 기능인 이웃발견 기능(ND: Neighbor Discovery mechanism)과 주소 자동설정 기능(AAC: Address Auto-Configuration), 중복 주소 발견 기능(DAD : Duplicate Address Detection)을 통해 자신의 글로벌 주소(global address)를 직접 생성한다.
이러한, IPv6의 자체 기능 중 첫 번째, 이웃발견 기능(ND : Neighbor Discovery mechanism)은, IPv4에서의 ARP(Address Resolution Protocol)의 기능과, 네트워크 위상의 변화를 발견하고 링크의 상태를 측정하기 위한 기능이다.
ND는 활동하고 있는 이웃노드들로의 경로에 대한 도착 가능 정보를 유지하고 주변의 라우터 및 프리픽스(prefix)를 발견한다.
두 번째, 주소 자동설정 기능(AAC : Address Auto-configuration Mechanism)은, 호스트에 주소를 부여하기 위해 세팅하는 작업이 필요 없는 IPv6의 'Plug-and-Play' 기능으로 라우팅이 가능한 주소를 자동으로 생성하고, 기본 라우터(default router)를 자동으로 설정한다.
이는 ND를 이용한 추가기능이라 할 수 있으며 프리픽스(prefix), 기본 라우터, 주소 중복 여부를 파악함으로써 네트워크를 구성하고 관리하는 것이다.
도 1은 일반적인 IPv6 주소 구성을 설명하기 위한 도면으로, 도 1을 참조하면, IPv6 주소는 128비트 중 n비트로 이루어진 네트워크 프리픽스(prefix)와 (128-n)비트로 이루어진 인터페이스 ID로 구성되어 있다.
도 2는 IPv6의 주소 자동 설정 기능을 설명하기 위한 도면이고, 도 3은 주소 자동 설정 기능으로 생성된 IPv6 주소의 인터페이스 ID를 설명하기 위한 도면으로, 도 2 내지 도 3을 참조하여, 글로벌(Global) IPv6 주소를 생성하는 과정을 설명한다.
먼저 128비트의 주소 중 자신의 48비트 MAC(Media Access Control) 주소를 이용하여 글로벌(Global) IPv6 주소의 하위 64비트를 구성한다.
이더넷(Ethernet)상의 IPv6에서 인터페이스 ID란 EUI-64 인터페이스 ID(Interface Identifier)를 나타낸다.
즉, 도 2 내지 도 3에 도시된 바와 같이, 48비트의 MAC주소 '00:90:27:17:fc:0f'의 중간에 2바이트의 중간 주소인 'ff:fe'를 첨가하고, 그 중 최상위 바이트 '00'내의 최상위비트(most significant bit)로부터 7번째 비트인 b1를 '1'로 설정함으로써 글로벌 IPv6 주소의 하위 64비트 인터페이스 ID인 '02:90:27:ff:fe:17:fc:0f'를 얻는다.
상기와 같이, 얻어진 하위 64비트의 인터페이스 ID인 '02:90:27:ff:fe:17:fc:0f'는 도 3과 같으며, 도 1에 도시된 IPv6 주소의 인터페이스 ID이다.
세 번째, 중복 주소 발견기능(DAD)은 생성된 IPv6 주소를 타 호스트가 사용 중인지 여부를 확인하는 것으로, NS(Neighbor Solicitation) 및 NA(Neighbor Advertisement) 메시지를 사용한다.
즉, 주소 자동 설정 기능을 통해 IPv6 주소를 생성한 호스트가 네트워크에 접속되어 있는 모든 호스트로 NS 메시지를 전송하고, 임의 호스트가 NS 메시지를 전송한 호스트가 생성한 IPv6 주소와 동일한 IPv6 주소를 사용하고 있는 경우, 응답 메시지인 NA 메시지를 전송한다.
그리고, 호스트는 NS 메시지를 브로트캐스트 방식으로 모든 호스트로 전송하고, NA 메시지가 전송되지 않으면, 생성된 IPv6 주소를 사용하고, NA 메시지가 전 송되면, 주소 자동 설정 기능을 통해 IPv6 주소를 재 설정한다.
이러한, IPv6 주소를 사용하는 노드가 인증이 필요한 IPv6 보안 망에 접속하려면, 해당 노드를 인증해 줄 수 있는 인증 기관(Certificate Authority : CA)으로부터 인증을 받아야 한다.
즉, 노드 A 와 노드 B가 IPv6 보안 망을 통해 통신을 하고자 하는 경우, 노드 A 와 노드 B는 IPv6 보안 망에 접근하면서 인증 기관으로부터 인증을 받고, 사용자로부터 타 노드와의 통신이 요청되는 경우, 다시금 인증 기관에 해당 노드와 통신을 하기 위한 인증을 받아야만 통신이 가능하게 된다.
그러나, 이러한, 통신 방식은 IPv6 보안 망에 접속하는 노드가 늘어나거나, 통신 량이 증가하게 되면, 인증을 위한 노드와 인증 기관간에 교환되는 메시지의 개수가 기하 급수적으로 증가하게 되어, IPv6 보안 망의 사용 효율이 급격히 저하된다.
또한, IPv6 보안 망에서 교환되는 메시지의 개수가 증가하게 되면, 인증 기관에서 각 노드의 인증을 처리하는 프로세서의 부하가 증가하게 되어, 결과적으로 보안 망의 서비스 품질이 저하되는 문제가 발생한다.
따라서, 본 발명은 상기와 같은 문제점을 해결하기 위하여 창안된 것으로, IPv6 보안 망에서 보안을 담당하는 인증 기관이 IPv6 보안 망에 접근하는 노드를 초기 인증하면서, 보안 정보를 알려 주어, 인증 기관에서 인증을 받은 각 노드가 인증 기관을 통하지 않고, 상호 인증을 통해 통신을 할 수 있도록 하는 IPv6 네트워크에서 인증을 처리하는 방법 및 그 장치를 제공하는 것에 그 목적이 있다.
상기 목적을 달성하기 위한 본 발명의 일측면에 따른 인증 처리 시스템은, 상기 각 노드의 식별 정보 및 상기 각 노드에 할당할 중간 주소 정보를 저장하고, 상기 노드가 보안 네트워크로 접근하면, 상기 노드의 식별 정보에 따른 상기 중간 주소 정보 및 보안 정보를 전송하는 인증 서버와, 상기 인증 서버에 접속하여, 상기 인증 서버로부터 수신되는 상기 중간 주소 정보를 이용하여, IPv6 주소를 생성하고, 상기 IPv6 주소 및 보안 정보를 통해 상기 보안 네트워크의 타 노드와 상호 인증을 처리하는 적어도 하나 이상의 노드를 포함한다.
그리고, 본 발명의 다른 측면에 따른 IPv6 네트워크에서 인증을 처리하는 시스템은, 노드 정보를 암호화하여, 제 2 노드로 전송하고, 상기 제 2 노드로부터 수신되는 보안 정보를 상기 인증 서버로부터 전송된 비밀키로 복호화하여, 파악되는 상기 제 2 노드의 보안 정보가 상기 인증 서버로부터 전송된 보안 정보와 동일하면, 상기 제 2 노드를 인증 처리하는 제 1 노드와, 상기 제 1 노드로부터 인증 요청되면, 보안 정보를 상기 인증 서버로부터 전송된 비밀키로 암호화하여, 전송하고, 상기 제 1 노드로부터 인증 처리되면, 상기 제 1 노드를 인증하는 제 2 노드를 포함한다.
삭제
아울러, 본 발명의 또 다른 측면에 따른 IPv6 네트워크의 노드는, 타 노드와의 통신 요청에 있으면, 상기 타 노드로 인증 요청하고, 상기 타 노드로부터 수신되는 보안 정보를 상기 인증 서버로부터 전송된 비밀키로 복호화하여 파악하고, 상기 타 노드의 보안 정보가 상기 인증 서버로부터 전송된 보안 정보와 동일하면, 상기 타 노드를 인증 처리하여 상기 타 노드와 통신을 개시하는 것을 특징으로 한다.
또한, 본 발명의 또 다른 측면에 따른 IPv6 네트워크의 인증 서버는, 적어도 하나 이상의 노드의 식별 정보 및 해당 노드에 할당할 중간 주소 정보를 저장하는 저장부와, IP 망을 통해 상기 노드가 접근하면, 상기 노드의 식별 정보를 이용하여 상기 노드가 접속이 허가되었는지 여부를 확인하고, 접속이 허가되었으면, 상기 노드에 할당할 중간 주소 정보를 비밀키로 암호화한 암호 정보와, 상기 비밀키 정보를 상기 노드로 전송하는 인증 처리부를 포함한다.
한편, 본 발명의 또 다른 측면에 따른 인증을 처리하는 방법은, 상기 인증 서버가 적어도 하나 이상의 노드의 식별 정보 및 상기 노드에 할당할 중간 주소 정보를 설정하는 단계와, 상기 인증 서버가 임의의 노드가 접근하면, 상기 노드가 접근 허가되었는지 여부를 노드의 식별 정보로 판단하여, 허가되었으면, 상기 노드에 할당된 중간 주소 정보 및 보안 정보를 전송하는 단계와, 상기 노드가 상기 중간 주소 정보를 이용하여, IPv6 주소를 생성하고, 상기 보안 정보를 통해 타 노드와 상호 인증 처리하는 단계를 포함한다.
그리고, 본 발명에 따른 인증을 처리하는 방법의 상호 인증을 처리하는 단계는, 상기 상호 인증을 처리하는 단계는, 사용자로부터 타 노드와의 통신이 요청되면, 상기 타 노드로 인증 요청하여, 상기 타 노드의 보안 정보를 파악하는 단계와, 상기 타 노드의 보안 정보와, 상기 인증 서버로부터 수신되는 보안 정보를 비교하여, 상기 타 노드의 보안 정보가 유효하면, 상기 타 노드를 인증하는 단계를 포함한다.
삭제
삭제
아울러, 본 발명의 또 다른 측면에 따른 IPv6 네트워크에서 노드간 상호 인증을 처리하는 방법은, 제 1 노드가 공개키에 따라 암호화한 인증 요청 메시지를 제 2 노드로 전송하는 단계와, 제 2 노드가 상기 인증 요청 메시지가 수신되면, 보안 정보가 상기 인증 서버로부터 수신되는 비밀키로 암호화되어 포함된 응답메시지를 공개키로 암호화하여 상기 제 1 노드로 전송하는 단계와, 상기 제 1 노드가 상기 제 2 노드로부터 수신되는 응답 메시지를 개인키로 복호화한 이후에 상기 인증 서버로부터 전송된 비밀키로 복호화하여, 상기 제 2 노드의 보안 정보를 파악하는 단계와, 상기 제 1 노드가 상기 보안 정보가 상기 인증 서버로부터 수신된 보안 정보와 동일하면, 상기 제 2 노드를 인증하는 인증 확인 메시지를 전송하는 단계와, 상기 제 2 노드가 상기 인증 확인 메시지를 수신하면, 상기 제 1 노드를 인증하는 단계를 포함한다.
그리고, 본 발명의 또 다른 측면에 따른 IPv6 네트워크의 노드가 인증을 처리하는 방법은, 타 노드와의 통신 요청에 있으면, 타 노드로 보안 정보를 요청하는 단계와, 상기 타 노드로부터 수신되는 보안 정보를 상기 인증 서버로부터 수신되는 비밀키로 복호화하여, 타 노드의 보안 정보를 파악하는 단계와, 상기 파악된 보안 정보가 상기 인증 서버로부터 수신된 보안 정보와 동일하면, 상기 타 노드를 인증하여 상기 타 노드와 통신을 개시하는 단계를 포함한다.
또한, 본 발명의 또 다른 측면에 따른 IPv6 네트워크의 인증 서버가 인증을 처리하는 방법은, 적어도 하나 이상의 노드의 식별 정보 및 해당 노드에 할당할 중간 주소 정보를 설정하는 단계와, IP 망을 통해 임의 노드가 접근하면, 상기 노드가 접속이 허가되었는지 여부를 노드의 식별 정보를 이용하여 확인하는 단계와, 상기 노드가 접속 허가되었으면, 상기 노드에 해당하는 중간 주소 정보를 비밀키로 암호화한 암호 정보와, 상기 비밀키 정보를 해당 노드로 전송하는 단계를 포함한다.
이하 본 발명에 따른 인증을 처리하는 방법 및 그 장치를 첨부한 도면을 참조하여 상세히 설명한다.
삭제
삭제
도 4는 일반적인 IPv6 보안 망의 구성을 설명하기 위한 전체 블록 도면이다.
도 4에 도시된 바와 같이, IPv6 보안 망은, 다수개의 노드(31~33)와, 각 노드(31~33)를 인증 관리하는 인증 기관(Certificate Authority : CA)(10)을 포함한다.
노드(31~33)란 IPv6를 구현한 장치를 말하며, CA(10)란, 보안 적격 여부, 메시지의 암호화와 복호화를 위한 공개키(public key), 개인키(private key)들을 발급하고 관리하는 기관을 말한다.
이하 본 발명에 적용되는 공개키및 개인키는 공개키 기반 구조(public key infrastructure)에서 지정된 인증 기관, 즉 CA(10)로부터 제공되는 한쌍의 키 값을 의미하며, 일반적으로 공개키는 송신측이 데이터를 암호화하는데 사용되며, 개인키는 수신측이 암호화된 데이터를 복호화하는데 사용하고, 개인키는 자신만이 알 수 있도록 보관하며, 공개키는 누구나 획득할 수 있도록 공개한다.
또한, 이하 본 발명에 적용되는 비밀키(secret key)는 DES(Data Encryption Standard) 등과 같은 암호화 알고리즘 구조에서 송신측과 수신측이 모두 동일하게 공유하며, 데이터를 전송하는 측과 수신하는 측이 모두 동일한 비밀키를 사용하여 데이터를 암호화/복호화한다.
삭제
도 5는 본 발명의 바람직한 실시예에 따른 노드의 구성을 설명하기 위한 내부 블록 도면이다.
도 5를 참조하면, 본 발명에 따른 노드(31)는, 네트워크 인터페이스부(31a), 암/복호화부(31b), 메시지 처리부(31c)를 포함하고, 메시지 처리부(31c)는 주소 처리부(31d)를 포함한다.
주소 처리부(31d)는 주소 자동 설정 기능을 통해 노드(31)가 사용할 IPv6 주소를 결정하여, 시험 주소(tentative address)를 생성하고, CA(10)로부터 IPv6 주소를 생성하기 위한 중간 주소가 전송되면, 그 중간 주소를 이용하여, IPv6 주소를 생성한다.
그리고, 메시지 처리부(31c)는 난수를 생성하고, 난수(random number) 정보 및 패스워드 정보를 이용하여, NS 메시지를 생성하여, CA(10)로 전송한다.
그리고, CA(10)로부터 전송되는 NA 메시지로부터 비밀키 정보및 중간 주소 정보를 파악한다.
또한, 메시지 처리부(31c)는 CA(10)로부터 인증을 받은 이후에 사용자로부터 타 노드(32, 33)와의 통신 요청이 있으면, 통신 요청 메시지를 생성하여, 타 노드(32, 33)로 전송하고, 타 노드(32, 33)로부터 전송되는 응답 메시지를 통해 타 노드(32, 33)가 CA(10)로부터 인증받은 노드인지 여부를 판단한다.
암/복호화부(31b)는 메시지 처리부(31c)에서 생성되는 메시지를 해당 노드(31)의 공개키또는 CA(10)로부터 전송되는 비밀키를 통해 암호화하고, 타 노드(32, 33) 또는 CA(10)로부터 전송되는 메시지를 개인키또는 비밀키로 복호화한다.
네트워크 인터페이스부(31a)는 CA(10) 또는 타 노드(32, 33)로부터 IPv6 보안 망(20)을 통해 전송되는 메시지를 수신하고, 메시지 처리부(31c)에서 생성되는 메시지를 IPv6 보안 망(20)을 통해 CA(10) 또는 타 노드(32, 33)로 전송한다.
도 6은 본 발명의 바람직한 실시예에 따른 인증 기관의 내부 구성을 설명하기 위한 내부 블록 도면이다.
도 6을 참조하면, 본 발명에 따른 인증 기관(CA)(10)은, 인증 처리부(11), 암/복호화 처리부(13), IP 인터페이스부(14) 및 데이터 베이스(Data Base : DB)(12)를 포함한다.
IP 인터페이스부(14)는 노드(31~33)로부터 IPv6 보안 망(20)을 통해 전송되는 NS 메시지를 수신하고, CA(10)에서 생성되는 NA 메시지를 IPv6 보안 망(20)을 통해 노드(31~33)로 전송한다.
그리고, 암/복호화 처리부(13)는 노드(31~33)로부터 전송되는 NS 메시지를 CA(10)의 개인키로 복호화하고, CA(10)에서 생성되는 NA 메시지를 각 노드(31~33)의 공개키로 암호화한다.
또한, 암/복호화 처리부(13)는 CA(10)에서 각 노드(31~33)로 전송하는 중간 주소 정보를 비밀키로 암호화한다.
DB(12)는 IPv6 보안 망(20)에 접근을 허가받은 각 노드(31~33)에 할당할 중간 주소 정보를 중간 주소 테이블의 형태로 저장한다.
이러한, 중간 주소 테이블은 다음 표 1과 같이 구성될 수 있다.
Figure 112004003793741-pat00001
상기 표 1에서 설명되어지는 바와 같이, 중간 주소 테이블에는 IPv6 보안 망(20)에 접근을 허가받은 각 노드(31~33) 정보와, 해당 노드(31~33)에 할당되는 중간 주소 정보를 저장하고 있다.
즉, CA(10)는 노드 A(31)로부터 NS 메시지가 전송되면, 노드 A(31)가 IPv6 보안 망(20)에 접근을 허가받은 경우, 중간 주소 정보를 '1A:1B'로 한 IPv6 주소를 사용하도록 하고, 노드 B(32)는 '1B:1A'를 중간 주소로 한 IPv6 주소를 사용하도록 한다.
이때, 중간 주소 테이블에 저장되는 각 중간 주소는 하나의 IPv6 보안 망(20)에서 유일하도록 하여, 하나의 IPv6 보안 망(20)에서 동일한 IPv6 주소를 사 용하는 복수개의 노드(31~33)가 발생하지 않도록 하는 것이 바람직하다.
그리고, 인증 처리부(11)는 노드(31~33)로부터 NS 메시지가 전송되면, 해당 노드(31~33)가 IPv6 보안 망(20)에 접근이 허가되었는지 여부를 판단하여, 허가되었으면, DB(12)에서 해당 노드(31~33)에 할당할 중간 주소 정보를 검색하고, 그 중간 주소 정보가 포함되는 NA 메시지를 생성한다.
또한, 인증 처리부(11)는 IPv6 보안 망(20)에 접근을 허가받은 각 노드(31~33)간 통신을 할 수 있도록 하는 보안 정보를 생성되는 NA 메시지에 포함시킨다.
이때, CA(10)가 각 노드(31~33)에 전송하는 보안 정보는 IPv6 보안 망(20)에 접속하는 각 노드(31~33)가 사용하는 비밀키 정보및 중간 주소 정보 등이 해당 될 수 있다.
도 7은 본 발명의 바람직한 실시예에 따른 각 노드가 인증 기관으로부터 인증받는 방법의 흐름을 설명하기 위한 플로우챠트 도면이다.
도 7을 참조하면, 노드(31)의 주소 처리부(31d)는 IPv6 보안 망(20)에 접근하기 위하여, 주소 자동 설정 기능을 통해 IPv6 주소를 생성하고, 메시지 처리부(31c)는 주소 처리부(31d)에서 생성되는 IPv6 주소 정보를 이용하여, NS 메시지를 생성한다(S 1).
그리고, 노드(31)의 암/복호화부(31b)는 메시지 처리부(31c)에서 생성되는 NS 메시지를 CA(10)의 공개키로 암호화하고, 그 암호화된 NS 메시지를 IPv6 보안 망(20)을 통해 CA(10)로 전송한다(S 2).
CA(10)의 IP 인터페이스부(14)는 노드(31)로부터 전송되는 NS 메시지를 수신하고, 암/복호화 처리부(13)는 CA(10)의 개인키로 NS 메시지를 복호화한다(S 3).
그리고, 인증 처리부(11)는 NS 메시지를 전송한 노드(31)가 IPv6 보안 망(20)에 접근이 허가되었는지 여부를 DB(12)에 저장된 중간 주소 테이블에서 검색하여 판단하고, 접근이 허가되었으면, 해당 노드(31)에 할당할 중간 주소 정보를 검색한다(S 4).
그리고, 인증 처리부(11)는 중간 주소 테이블에서 검색된 중간 주소 정보 및 IPv6 보안 망(20)에서 사용되는 비밀키 정보가 포함되는 NA 메시지를 생성한다(S 5).
암/복호화 처리부(13)는 인증 처리부(11)에서 생성한 NA 메시지를 노드(31)의 공개키로 암호화하여, IP 네트워크(14)를 통해 노드(31)로 전송한다(S 6).
노드(31)의 암/복호화부(31b)는 CA(10)로부터 전송되는 NA 메시지를 개인키로 복호화하고, 메시지 처리부(31c)는 NA 메시지에 포함되어 있는 비밀키 정보 및 중간 주소 정보를 파악한다(S 7).
그리고, 주소 처리부(31d)는 메시지 처리부(31c)에서 파악된 중간 주소 정보를 이용하여, IPv6 주소를 생성한다(S 8).
일례를 들어, 노드 A(31)가 CA(10)로부터 인증받는 방법을 간략히 설명하면, 먼저 노드(31)는 주소 자동 설정 기능을 통해 시험 주소(tentative address)를 생성한다.
즉, 노드 A(31)의 인터페이스 MAC address가 '0A:00:2B:3B:70:1E'이고, 네트 워크 프리픽스(Network Prefix)가 '3FFE:2E01:DEC1::/64'이면, 노드 A(31)의 주소 처리부(31d)는 IPv6 주소로 '3FFE:2E01:DEC1::0A00:2BFF:FE3B:701E'를 생성한다.
그리고, 노드 A(31)의 메시지 처리부(31c)는 난수(RN(A))를 생성하고, 그 생성된 난수 정보(RN(A))와, 패스워드 정보(PW(A))를 이용하여 NS 메시지를 생성한다.
여기서, PW(A)는 CA(10)가 노드 A(31)를 인증하기 위한 정보를 말하며, 이러한 PW(A)는 노드(31)의 ID 정보 및 패스워드 정보가 해당될 수 있다.
그리고, RN(A)는 노드 A(31)가 생성한 난수 정보를 말하며, 이러한, 난수 정보는 CA(10)가 악의적으로 접근하는 침입 노드(미도시)의 메시지를 차단(intercept)하기 위하여 사용되는 정보이다.
노드 A(31)가 패스워드 정보(PW(A)) 및 난수 정보(RN(A))를 이용하여, NS 메시지를 생성하는 것은, 노드(31)가 NS 메시지를 네트워크에 브로드캐스트 방식으로 전송되기 때문에 CA(10)가 아닌 악의적인 목적으로 IPv6 보안 망(20)에 접근하는 노드(미도시)도 NS 메시지를 수신할 수 있고, 이러한 악의적인 노드가 노드 A(31)로 거짓으로 생성한 NA 메시지를 전송할 가능성이 농후하다.
따라서, 노드 A(31)는 악의적인 노드가 NA 메시지를 생성하는 것을 방지하기 위해서, 난수 정보(RN(A))는 NS 메시지를 CA(10)의 공개키로 암호화하여 전송하여, CA(10)만이 난수 정보(RN(A))를 복호화 할 수 있도록 하고, CA(10)는 노드 A(31)로부터 전송되는 난수 정보(RN(A))를 복호화하여, 노드 A(31)의 공개키로 암호화하여, NA 메시지를 전송함으로써, CA(10)가 인증을 위해 전송하는 NA 메시지 임을 확인시킨다.
또한, CA(10)의 인증 처리부(11)는 노드 A(31)로 할당할 중간 주소 정보(DA(A))인 '1A:1B'를 중간 주소 테이블에서 검색하여, IPv6 보안 망(20)의 비밀키로 암호화하고, 비밀키로 암호화된 중간 주소 정보(DA(A)), 비밀키 정보(SS(C)) 및 노드 A(31)의 난수 정보(RN(A))를 노드 A(31)의 공개키로 암호화하여, NA 메시지를 생성하고, 그 생성된 NA 메시지를 노드 A(31)로 전송한다.
그리고, 노드 A(31)의 암/복호화부(31b)는 CA(10)로부터 전송되는 NA 메시지를 자신의 개인키로 복호화하고, 메시지 처리부(31c)는 NA 메시지에서 난수 정보(RN(A))를 파악하여, 자신이 생성한 난수 정보(RN(A))인지 여부를 확인한다.
그리고, 메시지 처리부(31b)는 전송된 NA 메시지의 난수 정보가 자신이 생성한 난수 정보(RN(A))이면, 중간 주소 정보(DA(A)) 및 비밀키 정보(SS(C))를 파악하고, 파악된 비밀키 정보(SS(C))를 암/복호화부(31b)로 제공하고, 중간 주소 정보(DA(A))를 주소 처리부(31d)로 제공한다. 즉, CA(10)는 NA 메시지에 각 노드(31, 32, 33)가 상호 인증할 수 있는 보안 정보인 비밀키 정보를 공개키로 암호화하여 전송하고, 각 노드(31, 32, 33)는 CA(10)로부터 수신되는 비밀키 정보를 개인키로 복호화하여 파악하여, 각 노드(31, 32, 33)간 상호 인증을 비밀키 정보를 기반으로 처리한다.
주소 처리부(31d)는 메시지 처리부(31c)로부터 제공되는 중간 주소 정보(DA(A))를 이용하여, IPv6 주소를 생성하고, 암/복호화부(31b)는 타 노드(32, 33)와 통신이 설정되면, 비밀키(SS(C))로 타 노드(32, 33)와 교환되는 메시지를 암/복호화한다.
즉, 주소 처리부(31d)는 CA(10)로부터 전송된 중간 주소 정보(DA(A))인 '1A:1B'를 이용하여, IPv6 주소인 '3FFE:2E01:DEC1::0A00:2B1A:1B3B:701E'를 생성한다.
도 8은 본 발명의 바람직한 실시예에 따른 각 노드간 상호 인증 방법의 흐름을 설명하기 위한 플로우챠트 도면이다.
도 8을 참조하여, 노드 A(31)가 노드 B(32)로 인증을 요청하는 경우에 대하여 설명한다.
노드 A(31)의 메시지 처리부(31c)는 사용자로부터 노드 B(32)와의 통신이 요청되면, 난수 정보(RN(A))를 생성하고, 암/복호화부(31b)는 노드 B(32)의 공개키로 암호화하여, 네트워크 인터페이스부(31a)를 통해 노드 B(32)로 전송한다(S 10).
즉, 노드 A(31)는 인증 요청 메시지를 노드 B(32)의 공개키로 암호화하여 전송한다.
노드 B(32)의 암/복호화부(32b)는 네트워크 인터페이스부(32a)를 통해 수신되는 인증 요청 메시지를 노드 B(32)의 개인키로 복호화하고, 메시지 처리부(32c)는 난수 정보(RN(B))를 생성한다.
그리고, 메시지 처리부(32c)는 노드 A(31)의 난수 정보(RN(A)), 생성된 난수 정보(RN(B)), 노드 A(31)의 중간 주소 정보(DA(A)) 및 자신의 중간 주소 정보(DA(B))를 변수로 한 해쉬 함수의 함수 값의 절반과, 노드 A(31)의 난수 정보(RN(A)) 및 노드 B(32)의 난수 정보(RN(B))를 노드 A(31)의 공개키로 암호화하여, 인증 응답 메시지를 생성하고, 그 생성된 인증 응답 메시지를 노드 A(31)로 전송한다(S 11).
여기서, 노드 A(31) 및 노드 B(32)가 CA(10)로부터 전송받은 중간 주소 정보(DA(A), DA(B))는 CA(10)로부터 전송된 비밀키 정보(SS(C))를 이용하여, 복호화하면 파악할 수 있다.
즉, 노드 B(32)는 노드 A(31)로부터 전송된 인증 요청 메시지에 대한 인증 응답 메시지를 노드 A(31)의 공개키로 암호화하여 전송한다.
그리고, 노드 A(31)의 암/복호화부(31b)는 네트워크 인터페이스부(31a)를 통해 수신되는 인증 응답 메시지를 자신의 개인키로 복호화하고(S 12), 메시지 처리부(31c)는 인증 응답 메시지에 포함되는 해쉬 함수의 함수 값과 자신의 해쉬 함수 값의 절반을 합하여, 하나의 해쉬 함수 값이 되는지 여부를 판단한다(S 13).
즉, 노드 A(31)의 메시지 처리부(31c)는 노드 B(32)로부터 전송되는 절반 함수 값과, 자신의 해쉬 함수의 절반 값을 합산하여, 올바른 해쉬 함수 값이 되는지 여부를 판단하고, 올바른 해쉬 함수 값이 되면, 노드 B(32)로부터 전송되는 해쉬 함수 값이 유효하다고 판단한다.
이때, 노드 B(32)로부터 전송되는 인증 응답 메시지에 전반부 절반의 해쉬 함수 값이 포함되면, 노드 A(31)는 후반부 절반의 해쉬 함수 값과, 전송되는 해쉬 함수 값을 합산할 수 있다.
한편, 노드 B(32)로부터 전송되는 인증 응답 메시지에 포함되는 해쉬 함수 값을 임의 부분에서 발췌하는 경우, 인증 요청 메시지를 전송한 노드 A(31)는 인증 응답 메시지에 포함되는 해쉬 함수 값에 타 부분의 해쉬 함수 값을 합산할 수 있다.
그리고, 노드 A(31)의 메시지 처리부(31c)는 인증 응답 메시지에 포함되는 해쉬 함수 값과, 자신의 해쉬 함수 값을 합산한 전체 해쉬 함수 값이 올바르지 않 다고 판단되면, 노드 B(32)가 IPv6 보안 망(20)에 접근이 허가되지 않은 노드라고 판단하여, 접속을 종료한다(S 14).
반면, 노드 A(31)의 메시지 처리부(31c)는 전체 해쉬 함수 값이 올바르다고 판단되면, 노드 B(32)로부터 전송된 해쉬 함수 값을 제외한 나머지 해쉬 함수 값과, 노드 B(32)의 난수 정보(RN(B))를 노드 B(32)의 공개키로 암호화하여, 인증 확인 메시지를 생성하고, 그 생성된 인증 확인 메시지를 노드 B(32)로 전송한다(S 15).
그리고, 노드 B(32)의 암/복호화부(32b)는 인증 확인 메시지를 개인키로 복호화하고, 메시지 처리부(32c)는 인증 확인 메시지에 포함되는 나머지 절반의 해쉬 함수 값이 유효한지 여부를 판단하여, 유효하면, 노드 A(31)와의 상호 인증이 완료되었다고 판단하여, 노드 A(31)와의 통신을 개시한다(S 16).
일례를 들어, IPv6 보안 망(20)을 통해 각 노드(31, 32)간 상호 인증을 하는 방법을 설명하면, 먼저, 노드 A(31)는 인증에 사용될 난수(RN(A))를 생성하고, 노드 B(32)의 공개키(PK(B))로 암호화하여, 노드 B(32)로 인증 요청 메시지로 전송한다.
노드 B(32)는 노드 A(31)와 상호 인증을 위한 난수 RN(B)를 생성하고, 해쉬 함수를 이용하여, 상호 인증을 하기 위한 인증 응답 메시지를 생성한다.
이때, 해쉬 함수를 사용하여, 인증 응답 메시지를 생성하는 것은, 해쉬 함수는 함수 값으로부터 변수 값을 도출하기 어려운 특징을 사용하여, 노드(31, 32)간 상호 인증을 하기 위한 것이다.
이하, 해쉬 함수를 잠시 살펴보면, 다음 수학식 1은 해쉬 함수를 나타내는 것이다.
h(M)→H
'h'는 해쉬 함수를 나타내고, 'M'은 해쉬 함수에 사용되는 변수를 나타내고, 'H'는 변수 'M'으로부터 도출되는 해쉬 함수 값을 나타낸다.
상호 인증에 사용되는 해쉬 함수는, 송신자가 해쉬 함수의 함수 값과, 변수를 동시에 전송하고, 수신자는 동일한 해쉬 함수를 사용하여, 변수로부터 함수 값을 도출하고, 그 도출된 함수 값과, 전송되는 함수 값을 비교한다.
그리고, 수신자는 도출된 함수 값과, 전송되는 함수 값이 동일한 경우, 송신자를 인증한다.
즉, 노드 B(32)는 CA(10)로부터 인증을 받으면서 전송받은 비밀키(SS(C))를 이용하여, 자신이 할당받은 중간 주소 정보(DA(B))와, 노드 A(31)가 할당받은 중간 주소 정보(DA(A))를 파악한다.
그리고, 노드 B(32)의 메시지 처리부(31c)는 노드 A(31)의 난수 정보(RN(A)), 자신의 난수 정보(RN(B)), 노드 A(31)의 중간 주소 정보(DA(A)) 및 자신의 중간 주소 정보(DA(B))를 변수로 하는 해쉬 함수 값의 절반 값과, 노드 A(31)의 난수 정보(RN(A)) 및 자신의 난수 정보(RN(B))를 노드 A(31)의 공개키로 암호화하여, 인증 응답 메시지로 전송한다.
이때, 노드 B(32)는 노드 A(31)가 CA(10)로부터 인증 받은 노드라면, IPv6 주소의 하위 64 비트 중 16비트는 CA(10)로부터 전송받은 비밀키(SS(C))로 암호화되어 있음으로, 노드 A(31)로부터 전송되는 인증 요청 메시지의 IPv6 주소가 CA(10)로부터 전송받은 비밀키(SS(C))로 올바르게 복호화되면, 노드 A(31)를 인증받은 노드로 판단할 수 있다.
또한, 노드 B(32)가 전송하는 인증 응답 메시지에 포함되는 해쉬 함수의 변수가 노드 A(31)의 중간 주소 정보(DA(A)), 노드 B(32)의 중간 주소 정보(DA(B))와 함께 노드 A(31)의 난수 정보(RN(A)) 및 노드 B(32)의 난수 정보(RN(B))를 사용함으로써, 해쉬 함수 값이 고정적이지 않고 인증을 시도할 때마다 변화하게 되어, 보다 보안성이 보장된다.
그리고, 노드 A(31)의 암/복화화부(31b)는 노드 B(32)로부터 전송되는 인증 응답 메시지를 자신의 개인키로 복호화하고, 메시지 처리부(31c)는 인증 응답 메시지에 해쉬 함수 값이 절반만 포함되어 있음으로, 자신의 가지고 있는 해쉬 함수 값을 합산하여, 전송된 해쉬 함수 값이 유효한지 여부를 판단한다.
또한, 메시지 처리부(31c)는 해쉬 함수 값이 유효하다고 판단되면, 노드 B(32)에 대한 상호 인증이 완료되었음을 알리는 인증 확인 메시지를 노드 B(32)로 전송한다.
이때, 노드 A(31)는 인증 확인 메시지에 노드 B(32)로부터 전송된 해쉬 함수 값을 제외한 나머지 해쉬 함수 값을 포함시켜 전송한다.
그리고, 노드 B(32)는 노드 A(31)로부터 전송되는 인증 확인 메시지에 포함된 해쉬 함수의 절반 값이 유효한지 여부를 판단하여, 유효한 경우, 노드 A(31)에 대한 상호 인증이 완료되었다고 판단하여, 노드 A(31)와의 통신을 개시한다.
도 9는 본 발명의 바람직한 실시예에 따른 IPv6 보안 망을 통해 노드가 통신을 하는 방법의 흐름을 설명하기 위한 흐름도이다.
도 9를 참조하면, 먼저 노드 B(32)는 CA(10)로부터 인증받아, CA(10)로부터 전송되는 중간 주소 정보(DA(B))를 이용한 IPv6 주소를 사용하여, IPv6 보안 망(20)에 접속하고 있다(S 20).
그리고, 노드 A(31)가 IPv6 보안 망(20)에 신규 접속하는 경우, 노드 A(31)의 주소 처리부(31d)는 주소 자동 설정 기능을 통해 시험 주소를 생성한다.
그리고, 메시지 처리부(31c)는 난수(RN(A))를 생성하고, 패스워드 정보(PW(A)) 및 난수 정보(RN(A))를 이용하여, NS 메시지를 생성하고, 암/복호화부(31b)는 NS 메시지를 CA(10)의 공개키로 암호화하여
Figure 112006070980712-pat00024
, 네트워크 인터페이스부(31a)를 통해 CA(10)로 전송한다
Figure 112006070980712-pat00025
(S 21).
그리고, CA(10)는 노드 A(31)로부터 NS 메시지가 전송되면, NS 메시지를 개인키로 복호화하고, 노드 A(31)가 IPv6 보안 망(20)에 접근이 허가되었는지 여부를 중간 주소 테이블에서 검색하여, 판단하고, 접근이 허가되었으면, 노드 A(31)에 할당할 중간 주소 정보(DA(A))를 검색한다.
또한, CA(10)는 검색된 중간 주소 정보(DA(A))를 비밀키로 암호화하고, 비밀키 정보(SS(C)), 파악된 노드 A(31)의 난수 정보(RN(A)) 및 비밀키로 암호화된 중간 주소 정보
Figure 112006070980712-pat00026
를 노드 A(31)의 공개키로 암호화하여
Figure 112006070980712-pat00027
NA 메시지로 전송한다
Figure 112006070980712-pat00028
(S 22).
노드 A(31)의 암/복호화부(31b)는 CA(10)로부터 전송되는 NA 메시지를 개인키로 복호화하고, 메시지 처리부(31c)는 CA(10)로부터 전송되는 비밀키 정보(SS(C))를 파악한다.
또한, 메시지 처리부(31b)는 NA 메시지에 포함되는 자신의 난수 정보(RN(A))가 올바르면, NA 메시지를 전송한 CA(10)가 IPv6 보안 망(10)의 올바른 CA(10)라고 판단한다. 즉 악의적인 목적으로 IPv6 보안 망(20)에 접근하여, 노드 A(31)로부터 전송되는 NS 메시지에 대한 거짓 NA 메시지를 전송하는 악의적 노드가 아니라, IPv6 보안 망(20)의 CA(10)가 맞다고 판단한다.
그리고, 암/복호화부(31b)는 메시지 처리부(31c)가 파악한 비밀키(SS(C))로 중간 주소 정보(DA(A))를 복호화하고, 주소 처리부(31d)는 암/복호화부(31b)에서 복호된 중간 주소 정보(DA(A))를 사용하여 IPv6 주소를 생성한다.
노드 A(31)의 메시지 처리부(31c)는 사용자로부터 노드 B(32)와의 통신이 요청되면, 난수(RN(A))를 생성하여, 인증 요청 메시지를 생성한다.
그리고, 암/복호화부(31b)는 생성되는 인증 요청 메시지를 노드 B(32)의 공개키로 암호화하여
Figure 112006070980712-pat00029
, 네트워크 인터페이스부(31a)를 통해 노드 B(32)로 전송한다
Figure 112006070980712-pat00030
(S 23).
노드 B(32)의 암/복호화부(32b)는 노드 A(31)로부터 전송되는 인증 요청 메시지를 개인키로 복호화하고, 메시지 처리부(32c)는 노드 A(31)와의 상호 인증을 위한 난수(RN(B))를 생성한다.
그리고, 메시지 처리부(32c)는 노드 A(31)의 중간 주소 정보(DA(A)), 자신의 중간 주소 정보(DA(B)), 노드 A(31)의 난수 정보(RN(A)) 및 생성되는 난수 정보(RN(B))를 변수로 한 해쉬 함수 값의 절반 값과, 노드 A(31)의 난수 정보(RN(A)) 및 생성된 난수 정보(RN(B))를 노드 A(31)의 공개키로 암호화하여, 인증 응답 메시지를 전송한다
Figure 112006070980712-pat00031
(S 24).
노드 A(31)의 암/복호화(31b)는 개인키로 노드 B(32)로부터 전송되는 인증 응답 메시지를 복호화하고, 메시지 처리부(31c)는 인증 응답 메시지에 포함되는 절반의 해쉬 함수 값에 자신이 가진 절반의 해쉬 함수 값을 합산한 함수 값이 유효한지 여부를 판단하여, 유효하면, 자신의 가진 나머지 절반의 해쉬 함수 값 및 노드 B(32)의 난수 정보(RN(B))를 노드 B(32)의 공개키로 암호화하여, 인증 확인 메시지로 전송한다
Figure 112006070980712-pat00032
(S 25).
그리고, 노드 B(32)의 암/복호화부(32b)는 노드 A(31)로부터 전송되는 인증 확인 메시지를 개인키로 복호화하고, 메시지 처리부(32c)는 인증 확인 메시지에 포함되는 절반의 해쉬 함수 값이 유효한지 여부를 판단하여, 유효하면, IPv6 보안 망(20)을 통해 통신을 하기 위한 상호 인증이 완료되었다고 판단하고, 노드 A(31)와 통신을 개시하게 된다.
이상에서 본 발명은 기재된 구체 예에 대해서만 상세히 설명하였지만 본 발명의 기술 사상 범위 내에서 다양한 변형 및 수정이 가능함은 당업자에게 있어서 명백한 것이며, 이러한 변형 및 수정이 첨부된 특허청구범위에 속함은 당연한 것이다.
상기한 바와 같이, 본 발명에 따르면, IPv6 보안 망의 보안 인증을 관리하는 인증 기관이 접속하는 노드를 인증 처리하면서, 각 노드간 상호 인증을 처리할 수 있는 보안 정보를 알려주어, IPv6 보안 망에 접속한 노드들이 타 노드와 통신을 하기 위하여, 추가적인 인증 기관과 메시지 교환없이 상호 인증을 처리할 수 있는 효과가 있다.
또한, IPv6 보안 망에서 인증을 처리하는 인증 기관과 IPv6 보안 망에 접근하는 노드간에 최초 인증 처리를 할 때, 교환되는 메시지를 통해 상호 인증을 처리함으로써, 악의적으로 IPv6 보안 망에 접근하는 노드를 원천적으로 방지할 수 있는 효과가 있다.

Claims (30)

  1. 다수개 노드의 인증을 처리하는 시스템에 있어서,
    상기 각 노드의 식별 정보 및 상기 각 노드에 할당할 중간 주소 정보를 저장하고, 상기 노드가 보안 네트워크로 접근하면, 상기 노드의 식별 정보에 따른 상기 중간 주소 정보 및 보안 정보를 전송하는 인증 서버;
    상기 인증 서버에 접속하여, 상기 인증 서버로부터 수신되는 상기 중간 주소 정보를 이용하여, IPv6 주소를 생성하고, 사용자로부터 타 노드와의 통신이 요청되면, 상기 타 노드로 인증 요청하고, 상기 타 노드로부터 수신되는 보안 정보와, 상기 인증 서버로부터 수신되는 보안 정보를 비교하여, 상기 타 노드의 보안 정보가 유효하면, 상기 타 노드를 인증하여, 통신을 개시하는 적어도 하나 이상의 노드를 포함하는 인증 처리 시스템.
  2. 삭제
  3. 제 1항에 있어서, 상기 중간 주소 정보는,
    상기 각 노드가 IPv4 주소로부터 IPv6 주소를 생성하기 위하여, 추가하는 주소 정보인 것을 특징으로 하는 인증 처리 시스템.
  4. 제 1항에 있어서, 상기 각 노드는,
    상기 보안 네트워크에 접근하면, 상기 노드의 ID 정보, 패스워드 정보 및 랜덤하게 생성하는 난수 정보 중 적어도 하나 이상의 노드 정보를 상기 인증 서버로 전송하는 인증 처리 시스템.
  5. 제 1항 또는 제 4항에 있어서, 상기 인증 서버는,
    비밀키 정보, 상기 비밀키로 암호화되는 중간 주소 정보 또는 상기 노드 정보를 해쉬 함수 처리한 함수 값 정보 중 적어도 하나 이상의 보안 정보를 상기 노드로 전송하는 인증 처리 시스템.
  6. 제 1항에 있어서, 상기 인증 서버는,
    상기 노드로부터 접속 메시지를 통해 수신되는 상기 노드의 ID 정보, 패스워드 정보 및 난수 정보 중 어느 하나 이상의 노드 정보를 인증 메시지에 포함시켜 해당 노드로 전송하는 인증 처리 시스템.
  7. 제 1항 또는 제 6 항에 있어서, 상기 노드는,
    상기 접근 메시지를 상기 인증 서버로 전송한 이후에 수신되는 인증 메시지에 상기 노드 정보가 포함되어 있지 않으면, 상기 인증 서버를 악의적 호스트로 판단하여, 접속을 종료하는 것을 특징으로 하는 인증 처리 시스템.
  8. 제 6항에 있어서, 상기 인증 서버는,
    상기 각 노드에 할당되는 중간 주소 정보를 비밀키로 암호화하여 상기 인증 메시지에 포함시켜 해당 노드의 공개 키로 암호화하고, 상기 접속 메시지를 개인 키로 복호화하는 인증 처리 시스템.
  9. 제 8항에 있어서, 상기 각 노드는,
    상기 인증 서버의 공개키로 상기 접속 메시지를 암호화하고, 상기 인증 메시지를 각자의 개인키로 복호화하는 것을 특징으로 하는 인증 처리 시스템.
  10. 삭제
  11. 인증 서버 및 적어도 하나 이상의 노드를 포함하는 시스템에 있어서,
    노드 정보를 암호화하여, 제 2 노드로 전송하고, 상기 제 2 노드로부터 전송된 절반의 보안 정보와, 자신의 절반의 보안 정보를 합산하여 상기 인증 서버로부터 전송된 비밀키로 복호화하여, 상기 인증 서버로부터 수신된 보안 정보와 동일한지 여부를 판단하는 한편 상기 제 2 노드의 보안 정보가 상기 인증 서버로부터 전송된 보안 정보와 동일하면, 상기 제 2 노드를 인증 처리하는 제 1 노드;
    상기 제 1 노드로부터 인증 요청되면, 상기 제 1 노드로 상기 보안 정보를 절반을 상기 인증 서버로부터 전송된 비밀키로 암호화하여 전송하고, 상기 제 1 노드로부터 인증 처리되면 상기 제 1 노드를 인증하는 제 2 노드를 포함하는 IPv6 네트워크에서 인증을 처리하는 장치.
  12. 제 11항에 있어서, 상기 제 2 노드는,
    상기 제 1 노드가 자신의 보안 정보에 따른 인증 처리되면, 상기 제 1 노드의 보안 정보를 파악하고, 상기 인증 서버로부터 전송된 보안 정보와 비교하여, 상기 제 1 노드의 보안 정보가 유효하면, 상기 제 1 노드를 인증하는 것을 특징으로 하는 IPv6 네트워크에서 인증을 처리하는 장치.
  13. 삭제
  14. 삭제
  15. 인증 서버를 포함하는 보안 망에 접속하는 노드에 있어서,
    타 노드와의 통신 요청에 있으면, 상기 타 노드로 인증 요청하고, 상기 타 노드로부터 수신되는 보안 정보를 상기 인증 서버로부터 전송된 비밀키로 복호화하여 파악하고, 상기 타 노드의 보안 정보가 상기 인증 서버로부터 전송된 보안 정보와 동일하면, 상기 타 노드를 인증 처리하여 상기 타 노드와 통신을 개시하는 IPv6 네트워크의 노드.
  16. 삭제
  17. 삭제
  18. 다수개 노드와, 인증 서버를 포함하는 IP 망에서 인증을 처리하는 방법에 있어서,
    상기 인증 서버가 적어도 하나 이상의 노드의 식별 정보 및 상기 노드에 할당할 중간 주소 정보를 설정하는 단계;
    상기 인증 서버가 임의의 노드가 접근하면, 상기 노드가 접근 허가되었는지 여부를 노드의 식별 정보로 판단하여, 허가되었으면, 상기 노드에 할당된 중간 주소 정보 및 보안 정보를 전송하는 단계;
    상기 노드가 상기 중간 주소 정보를 이용하여, IPv6 주소를 생성하고, 사용자로부터 타 노드와의 통신이 요청되면, 상기 타 노드로 인증 요청하여, 상기 타 노드의 보안 정보를 파악하며, 상기 타 노드의 보안 정보와, 상기 인증 서버로부터 수신되는 보안 정보를 비교하여 상기 타 노드의 보안 정보가 유효하면 상기 타 노드를 인증하는 단계를 포함하는 인증을 처리하는 방법.
  19. 삭제
  20. 삭제
  21. 삭제
  22. 삭제
  23. 삭제
  24. 삭제
  25. 삭제
  26. 인증 서버 및 다수개의 노드를 포함하는 IP 망에서 노드간 상호 인증을 처리하는 방법에 있어서,
    제 1 노드가 공개키에 따라 암호화한 인증 요청 메시지를 제 2 노드로 전송하는 단계;
    제 2 노드가 상기 인증 요청 메시지가 수신되면, 보안 정보가 상기 인증 서버로부터 수신되는 비밀키로 암호화되어 포함된 응답메시지를 공개키로 암호화하여 상기 제 1 노드로 전송하는 단계;
    상기 제 1 노드가 상기 제 2 노드로부터 수신되는 응답 메시지를 개인키로 복호화한 이후에 상기 인증 서버로부터 전송된 비밀키로 복호화하여, 상기 제 2 노드의 보안 정보를 파악하는 단계;
    상기 제 1 노드가 상기 보안 정보가 상기 인증 서버로부터 수신된 보안 정보와 동일하면, 상기 제 2 노드를 인증하는 인증 확인 메시지를 전송하는 단계;
    상기 제 2 노드가 상기 인증 확인 메시지를 수신하면, 상기 제 1 노드를 인증하는 단계를 포함하는 IPv6 네트워크에서 노드간 상호 인증을 처리하는 방법.
  27. 제 26항에 있어서, 상기 제 1 노드를 인증하는 단계는,
    상기 제 1 노드로부터 수신되는 상기 확인 메시지로부터 보안 정보를 파악하고, 상기 보안 정보와 상기 인증 서버로부터 전송된 보안 정보와 비교하여 유효하면, 상기 제 1 노드를 인증하는 것을 특징으로 하는 IPv6 네트워크에서 노드간 상호 인증을 처리하는 방법.
  28. 인증 서버를 포함하는 IPv6 네트워크의 노드가 인증을 처리하는 방법에 있어서,
    타 노드와의 통신 요청에 있으면, 타 노드로 보안 정보를 요청하는 단계;
    상기 타 노드로부터 수신되는 보안 정보를 상기 인증 서버로부터 수신되는 비밀키로 복호화하여, 타 노드의 보안 정보를 파악하는 단계;
    상기 파악된 보안 정보가 상기 인증 서버로부터 수신된 보안 정보와 동일하면, 상기 타 노드를 인증하여 상기 타 노드와 통신을 개시하는 단계를 포함하는 IPv6 네트워크의 노드가 인증을 처리하는 방법.
  29. 삭제
  30. 삭제
KR20040005864A 2004-01-29 2004-01-29 아이피 브이 식스 네트워크에서 인증을 처리하는 방법 및그 장치 KR100803272B1 (ko)

Priority Applications (5)

Application Number Priority Date Filing Date Title
KR20040005864A KR100803272B1 (ko) 2004-01-29 2004-01-29 아이피 브이 식스 네트워크에서 인증을 처리하는 방법 및그 장치
US11/010,531 US20050172333A1 (en) 2004-01-29 2004-12-14 Method and apparatus for handling authentication on IPv6 network
JP2005009821A JP4033868B2 (ja) 2004-01-29 2005-01-18 IPv6ネットワークで認証を処理する方法及びその装置
EP20050001831 EP1560396A2 (en) 2004-01-29 2005-01-28 Method and apparatus for handling authentication on IPv6 network
CNA2005100061487A CN1649294A (zh) 2004-01-29 2005-01-31 用于处理ipv6网络上的验证的方法和设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR20040005864A KR100803272B1 (ko) 2004-01-29 2004-01-29 아이피 브이 식스 네트워크에서 인증을 처리하는 방법 및그 장치

Publications (2)

Publication Number Publication Date
KR20050078434A KR20050078434A (ko) 2005-08-05
KR100803272B1 true KR100803272B1 (ko) 2008-02-13

Family

ID=34651535

Family Applications (1)

Application Number Title Priority Date Filing Date
KR20040005864A KR100803272B1 (ko) 2004-01-29 2004-01-29 아이피 브이 식스 네트워크에서 인증을 처리하는 방법 및그 장치

Country Status (5)

Country Link
US (1) US20050172333A1 (ko)
EP (1) EP1560396A2 (ko)
JP (1) JP4033868B2 (ko)
KR (1) KR100803272B1 (ko)
CN (1) CN1649294A (ko)

Families Citing this family (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100669240B1 (ko) * 2004-12-07 2007-01-15 한국전자통신연구원 평가규칙표기언어를 이용한 IPv6 네트워크 계층의보안성 평가 시스템 및 방법
US7881468B2 (en) * 2005-04-08 2011-02-01 Telefonaktiebolaget L M Ericsson (Publ) Secret authentication key setup in mobile IPv6
US7783041B2 (en) * 2005-10-03 2010-08-24 Nokia Corporation System, method and computer program product for authenticating a data agreement between network entities
US7468952B2 (en) * 2005-11-29 2008-12-23 Sony Computer Entertainment Inc. Broadcast messaging in peer to peer overlay network
CN101001245B (zh) * 2006-01-10 2010-04-14 华为技术有限公司 一种边界网关协议中更新信息的验证方法
DE102006017940B4 (de) * 2006-04-18 2009-12-17 Fraunhofer-Gesellschaft zur Förderung der angewandten Forschung e.V. Verfahren zur Herstellung einer Verbindung
EP2023530A1 (en) * 2006-06-01 2009-02-11 NEC Corporation Communication node authentication system and method, and communication node authentication program
KR100831327B1 (ko) * 2006-09-28 2008-05-22 삼성전자주식회사 무선 메쉬 네트워크의 인증 처리 방법 및 그 장치
CN101193103B (zh) * 2006-11-24 2010-08-25 华为技术有限公司 一种分配和验证身份标识的方法及系统
KR100818307B1 (ko) * 2006-12-04 2008-04-01 한국전자통신연구원 IPv6 공격 패킷 탐지장치 및 방법
KR100892616B1 (ko) * 2007-06-28 2009-04-09 연세대학교 산학협력단 무선 센서 네트워크에서의 새로운 장치 참여 방법
US8515996B2 (en) 2008-05-19 2013-08-20 Emulex Design & Manufacturing Corporation Secure configuration of authentication servers
US8548467B2 (en) 2008-09-12 2013-10-01 Qualcomm Incorporated Ticket-based configuration parameters validation
US8862872B2 (en) * 2008-09-12 2014-10-14 Qualcomm Incorporated Ticket-based spectrum authorization and access control
JPWO2010032391A1 (ja) * 2008-09-19 2012-02-02 日本電気株式会社 完全性検証のための通信システム、通信装置、及びそれらを用いた通信方法及びプログラム
US9148335B2 (en) * 2008-09-30 2015-09-29 Qualcomm Incorporated Third party validation of internet protocol addresses
CN101534309B (zh) * 2009-04-14 2013-03-13 华为技术有限公司 节点注册方法、路由更新方法、通讯系统以及相关设备
US20100322420A1 (en) * 2009-06-18 2010-12-23 Arris Group, Inc. Duplicate Address Detection Proxy in Edge Devices
JP5601251B2 (ja) 2011-03-10 2014-10-08 富士通株式会社 通信方法および通信システム
KR20130001655A (ko) * 2011-06-27 2013-01-04 삼성전자주식회사 서로 다른 서비스 단말로 서비스를 제공하기 위한 장치 및 방법
CN104145449A (zh) * 2012-02-29 2014-11-12 交互数字专利控股公司 在不进行定制或预付费协定的情况下进行网络接入和网络服务的提供
US9456344B2 (en) 2013-03-15 2016-09-27 Ologn Technologies Ag Systems, methods and apparatuses for ensuring proximity of communication device
US10177915B2 (en) 2013-03-15 2019-01-08 Ologn Technologies Ag Systems, methods and apparatuses for device attestation based on speed of computation
US9698991B2 (en) * 2013-03-15 2017-07-04 Ologn Technologies Ag Systems, methods and apparatuses for device attestation based on speed of computation
CA2911716C (en) 2013-05-10 2022-06-07 Ologn Technologies Ag Ensuring proximity of wifi communication devices
CN103347102B (zh) * 2013-06-28 2016-08-10 华为技术有限公司 冲突地址检测报文的识别方法及装置
US9455998B2 (en) 2013-09-17 2016-09-27 Ologn Technologies Ag Systems, methods and apparatuses for prevention of relay attacks
US10949349B2 (en) 2015-12-01 2021-03-16 Fastly, Inc. Anonymized network addressing in content delivery networks
US10447665B2 (en) * 2017-03-31 2019-10-15 Konica Minolta Laboratory U.S.A., Inc. IPv6 link local secure network with biometric security to secure IOT devices

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020199104A1 (en) 2001-06-22 2002-12-26 Mitsuaki Kakemizu Service control network
KR20030004947A (ko) * 2001-07-07 2003-01-15 엘지전자 주식회사 차세대 인터넷 프로토콜에서의 이동국 식별정보를 이용한인터페이스 식별 방법
JP2003333122A (ja) 2002-05-16 2003-11-21 Canon Inc 通信用識別情報に基づき制御を実行する制御装置、方法、プログラム
JP2004007512A (ja) 2002-04-17 2004-01-08 Canon Inc 公開鍵証明書提供装置

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5903651A (en) * 1996-05-14 1999-05-11 Valicert, Inc. Apparatus and method for demonstrating and confirming the status of a digital certificates and other data
US6513117B2 (en) * 1998-03-04 2003-01-28 Gemstar Development Corporation Certificate handling for digital rights management system
US6230266B1 (en) * 1999-02-03 2001-05-08 Sun Microsystems, Inc. Authentication system and process
US6701434B1 (en) * 1999-05-07 2004-03-02 International Business Machines Corporation Efficient hybrid public key signature scheme
US6353891B1 (en) * 2000-03-20 2002-03-05 3Com Corporation Control channel security for realm specific internet protocol
JP3987710B2 (ja) * 2001-10-30 2007-10-10 株式会社日立製作所 認定システムおよび認証方法
US7577425B2 (en) * 2001-11-09 2009-08-18 Ntt Docomo Inc. Method for securing access to mobile IP network
US20030211842A1 (en) * 2002-02-19 2003-11-13 James Kempf Securing binding update using address based keys
US7046647B2 (en) * 2004-01-22 2006-05-16 Toshiba America Research, Inc. Mobility architecture using pre-authentication, pre-configuration and/or virtual soft-handoff

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020199104A1 (en) 2001-06-22 2002-12-26 Mitsuaki Kakemizu Service control network
KR20030004947A (ko) * 2001-07-07 2003-01-15 엘지전자 주식회사 차세대 인터넷 프로토콜에서의 이동국 식별정보를 이용한인터페이스 식별 방법
JP2004007512A (ja) 2002-04-17 2004-01-08 Canon Inc 公開鍵証明書提供装置
JP2003333122A (ja) 2002-05-16 2003-11-21 Canon Inc 通信用識別情報に基づき制御を実行する制御装置、方法、プログラム

Also Published As

Publication number Publication date
JP2005218088A (ja) 2005-08-11
US20050172333A1 (en) 2005-08-04
CN1649294A (zh) 2005-08-03
EP1560396A2 (en) 2005-08-03
JP4033868B2 (ja) 2008-01-16
KR20050078434A (ko) 2005-08-05

Similar Documents

Publication Publication Date Title
KR100803272B1 (ko) 아이피 브이 식스 네트워크에서 인증을 처리하는 방법 및그 장치
US11140161B2 (en) Uncloneable registration of an internet of things (IoT) device in a network
US10972430B2 (en) Allocation of local MAC addresses to client devices
US10708780B2 (en) Registration of an internet of things (IoT) device using a physically uncloneable function
US7529926B2 (en) Public key certification providing apparatus
US7653813B2 (en) Method and apparatus for address creation and validation
KR100883648B1 (ko) 무선 환경에서의 네트웍 접근 통제 방법 및 이를 기록한기록매체
JP2009503916A (ja) マルチ鍵暗号化生成アドレス
JP5291725B2 (ja) Ipアドレス委任
JP2002247047A (ja) セッション共有鍵共有方法、無線端末認証方法、無線端末および基地局装置
US7243368B2 (en) Access control system and method for a networked computer system
Younes Securing ARP and DHCP for mitigating link layer attacks
US20160105407A1 (en) Information processing apparatus, terminal, information processing system, and information processing method
JP2005236728A (ja) サーバ装置、要求発行機器、要求受諾機器、通信システム及び通信方法
KR100856918B1 (ko) IPv6 기반 네트워크상에서의 IP 주소 인증 방법 및IPv6 기반 네트워크 시스템
JP4775154B2 (ja) 通信システム、端末装置、プログラム、及び、通信方法
JP2006109152A (ja) ネットワーク上で通信を行う接続要求機器、応答機器、接続管理装置、及び通信システム
KR100631633B1 (ko) 무선 데이터 통신 시스템의 주소 할당 방법 및 시스템
JP2006197094A (ja) 通信システム
JP4236167B2 (ja) Ipインタフェース情報の付与方法,その付与装置及びその付与プログラム並びにアクセス認証装置
JP4994683B2 (ja) ネットワーク機器
JP2005191646A (ja) 遮断装置、匿名公開鍵証明書発行装置、システム、および、プログラム
KR100738353B1 (ko) 홈 네트워크 보안성 최적화 장치 및 그 방법
JP2005303784A (ja) サーバ装置、要求発行機器、要求受諾機器、通信システム、通信方法及びプログラム
JP2005341006A (ja) アドレス解決サーバ、端末及びアドレス解決方法

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
J201 Request for trial against refusal decision
AMND Amendment
E801 Decision on dismissal of amendment
B601 Maintenance of original decision after re-examination before a trial
S901 Examination by remand of revocation
GRNO Decision to grant (after opposition)
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee