KR100422826B1 - 이동 아이피 망에서 챌린지를 이용한 메시지 재사용에의한 공격방지 방법 - Google Patents

이동 아이피 망에서 챌린지를 이용한 메시지 재사용에의한 공격방지 방법 Download PDF

Info

Publication number
KR100422826B1
KR100422826B1 KR10-2001-0051884A KR20010051884A KR100422826B1 KR 100422826 B1 KR100422826 B1 KR 100422826B1 KR 20010051884 A KR20010051884 A KR 20010051884A KR 100422826 B1 KR100422826 B1 KR 100422826B1
Authority
KR
South Korea
Prior art keywords
challenge
mobile
agent
mobile node
message
Prior art date
Application number
KR10-2001-0051884A
Other languages
English (en)
Other versions
KR20030018266A (ko
Inventor
하정락
나지현
현은희
Original Assignee
삼성전자주식회사
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사, 한국전자통신연구원 filed Critical 삼성전자주식회사
Priority to KR10-2001-0051884A priority Critical patent/KR100422826B1/ko
Publication of KR20030018266A publication Critical patent/KR20030018266A/ko
Application granted granted Critical
Publication of KR100422826B1 publication Critical patent/KR100422826B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/04Registration at HLR or HSS [Home Subscriber Server]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Databases & Information Systems (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

1. 청구범위에 기재된 발명이 속한 기술분야
본 발명은 이동 아이피 망에서 챌린지를 이용한 메시지 재사용에 의한 공격방지 방법과 상기 방법을 실현시키기 위한 프로그램과 데이터 구조를 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것임.
2. 발명이 해결하려고 하는 기술적 과제
본 발명은, 이동 아이피 망에서 챌린지를 이용하여 이동 노드에 대한 등록 처리를 함으로써, 메시지 재사용에 의한 부당 사용자의 공격을 방지하는 방법과 상기 방법을 실현시키기 위한 프로그램과 데이터 구조를 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공하고자 함.
3. 발명의 해결방법의 요지
본 발명은, 이동 IP(Internet Protocol)망에 적용되는 챌린지를 이용한 메시지 재사용에 의한 공격방지 방법에 있어서, 이동 IP 망의 외부 에이전트가, 각각의 이동 노드에게 제공한 챌린지와 상기 이동 IP 망에서 이동 노드에 대해 에이전트 광고할 챌린지를 생성하는 제 1 단계; 상기 외부 에이전트가, 상기 이동 노드로부터 등록 요청 메시지를 전달받아 상기 등록 요청 메시지에 포함된 챌린지를 상기 제 1 단계에서 생성된 챌린지와 비교하는 제 2 단계; 및 상기 제 2 단계의 비교 결과에 따라, 상기 이동 노드가 요청한 등록 요청 메시지에 대해 메시지 재사용에 의한 공격인지 여부를 판단하여 처리하는 제 3 단계를 포함함.
4. 발명의 중요한 용도
본 발명은 이동 IP 망 등에 이용됨.

Description

이동 아이피 망에서 챌린지를 이용한 메시지 재사용에 의한 공격방지 방법{Method of Replay Protection by Using Challenge in Mobile IP Service}
본 발명은 이동 아이피 망에서 챌린지를 이용한 메시지 재사용에 의한 공격방지 방법과 상기 방법을 실현시키기 위한 프로그램과 데이터 구조를 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것이다.
통상의 이동(Mobile) IP망에서는 서비스를 제공하는 외부 에이전트(FA : Foreign Agent)와 서비스를 받는 이동 노드(MN : Mobile Node)사이의 상호간에 비밀키에 기반한 인증을 수행한다. 즉, 적법하지 않은 사용자는 비밀키를 갖고 있지 않으므로 서비스를 이용할 수 없다.
그러나, 적법한 사용자가 이미 사용했던 메시지를 일정한 시간이 지난 후 다시 보내는 메시지 재사용에 의한 공격(replay attack)을 이용하면 불법적인 서비스의 이용이 가능하게 된다.
종래의 "IETF(Internet Engineering Task Force) RFC2002(Request For Comments 2002)"에서는 메시지 재사용에 의한 공격을 막기 위해"타임스탬프(timestamp)"나, "나운스(nounce)"를 이용한 방법을 사용한다.
그러나, 이러한 방법에서는 메시지 재사용에 의한 공격이 가능한 여지가 있다. 예를 들어, "나운스(nounce)"라는 난수를 사용하는 경우 망측에서는 해당 이동노드가 최근에 사용한 나운스(nounce)들을 관리하며 여기에 해당되는 것들은 리플레이라고 본다. 이때, 불법적인 이동 노드가 적법한 메시지를 감청한 후 일정한 시간이 지난 후 동일한 메시지를 보낸다면 마치 적법한 것처럼 서비스를 제공받을 수 있다.
또한, "타임스탬프(timestamp)"를 사용하는 경우에는 이동 IP 망측에서는 수신한 타임스탬프(timestamp)의 오차가 일정수준 이하이면 적법한 메시지로, 일정수준 이상이면 부적합한 메시지로 본다. 이때, 불법적인 이동 노드는 적법한 메시지를 감청한 후, 일정한 시간 내에 동일한 메시지를 보내어 마치 적법한 것처럼 서비스를 제공받을 수 있다. 상기의 일정한 시간은 시스템에 따라 수 초 정도에 불과하지만, 리플레이 공격에 대해 노출되어 있다는 점에서는 문제점이 된다.
본 발명은, 상기한 바와 같은 문제점을 해결하기 위하여 제안된 것으로, 이동 아이피 망에서 챌린지를 이용하여 이동 노드에 대한 등록 처리를 함으로써, 메시지 재사용에 의한 부당 사용자의 공격을 방지하는 방법과 상기 방법을 실현시키기 위한 프로그램과 데이터 구조를 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공하는데 그 목적이 있다.
특히, 본 발명은 이동 IP 서비스를 제공하는 외부 에이전트에서 난수인 챌린지를 이동 노드에 내려보내고, 상기 챌린지를 포함하지 않은 이동 노드로부터의 이동 IP 망 등록 요청에 대해서 서비스 제공을 거부함으로써, 리플레이 공격을 막는다. 즉, 불법적인 사용자가 이미 서비스를 받았던, 혹은 받고 있는 적법한 등록 메시지를 감청하여 그대로 다시 등록 요청을 하더라도 서비스를 제공하는 외부 에이전트에서는 외부 에이전트 자신이 제공한 챌린지를 가지고 있지 않는 경우에는 등록을 거절하게 함으로써 불법적인 리플레이 공격에 의한 등록을 거부할 수 있도록 하는 데 그 목적이 있다.
도 1 은 본 발명이 적용되는 이동(Mobile) IP 망의 일실시예 구성도.
도 2 는 본 발명이 적용되는 이동(Mobile) IP 망에서의 이동 IP 인증을 위한 보안 관계를 나타내기 위한 일실시예 구성도.
도 3 는 본 발명이 적용되는 이동(Mobile) IP 망에서의 이동 IP 등록에 관한 일실시예 흐름도.
도 4 는 본 발명이 적용되는 이동 IP 망에 사용되는 이동 IP 등록 메시지에 대한 일실시예 구조도.
도 5a 내지 도 5b 는 본 발명에 따른 이동 IP 망에서의 챌린지를 이용한 메시지 재사용에 의한 공격방지 방법을 적용하기 위하여 챌린지를 보관하기 위한 일실시예 데이터 구조도.
도 6 은 본 발명에 따른 이동 IP 망에서의 챌린지를 이용한 메시지 재사용에 의한 공격방지 방법의 일실시예 전체 흐름도.
* 도면의 주요 부분에 대한 부호의 설명
11 : 방문망 12 : 홈망
13 : 대응 노드
101-1 : 이동 노드 101-2 : 이동 노드
102 : 홈 에이전트 103 : 외부 에이전트
상기 목적을 달성하기 위한 본 발명은, 이동 IP(Internet Protocol)망에 적용되는 챌린지를 이용한 메시지 재사용에 의한 공격방지 방법에 있어서, 이동 IP 망의 외부 에이전트가, 각각의 이동 노드에게 제공한 챌린지와 상기 이동 IP 망에서 이동 노드에 대해 에이전트 광고할 챌린지를 생성하는 제 1 단계; 상기 외부 에이전트가, 상기 이동 노드로부터 등록 요청 메시지를 전달받아 상기 등록 요청 메시지에 포함된 챌린지를 상기 제 1 단계에서 생성된 챌린지와 비교하는 제 2 단계; 및 상기 제 2 단계의 비교 결과에 따라, 상기 이동 노드가 요청한 등록 요청 메시지에 대해 메시지 재사용에 의한 공격인지 여부를 판단하여 처리하는 제 3 단계를 포함하여 이루어진 것을 특징으로 한다.
한편, 본 발명은, 프로세서를 구비한 이동 IP(Internet Protocol)망 관리 시스템에, 이동 IP 망의 외부 에이전트가, 각각의 이동 노드에게 제공한 챌린지와 상기 이동 IP 망에서 이동 노드에 대해 에이전트 광고할 챌린지를 생성하는 제 1 기능; 상기 외부 에이전트가, 상기 이동 노드로부터 등록 요청 메시지를 전달받아 상기 등록 요청 메시지에 포함된 챌린지를 상기 제 1 기능에 의해서 생성된 챌린지와 비교하는 제 2 기능; 및 상기 제 2 기능에 의한 비교 결과에 따라, 상기 이동 노드가 요청한 등록 요청 메시지에 대해 메시지 재사용에 의한 공격인지 여부를 판단하여 처리하는 제 3 기능을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공한다.
상술한 목적, 특징들 및 장점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해 질 것이다. 이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 일실시예를 상세히 설명한다.
도 1 은 본 발명이 적용되는 이동(Mobile) IP 망의 일실시예 구성도이다.
이동 IP 서비스 시스템은 홈망(12)과 방문망(11), 그리고 대응 노드(Correspondent Host, 또는 Correspondent Node)(13)를 구비하며, 홈망(12)은 홈 에이전트(102)와 이동 노드(MN : Mobile Node)(101-1), 방문망(11)은 외부 에이전트(103)와 이동노드(101-2)를 구비한다.
그 세부 동작을 살펴보면, 홈망(12)의 이동노드(101-1)는 자신이 속해 있는 홈망(12)의 홈 에이전트(102)에게서 서비스를 제공받는다. 이후, 새로운 망인 방문망(11)으로 사용자가 이동하면 이동된 방문망(11)의 이동 노드(101-2)는 외부 에이전트(103)로부터 서비스를 제공받는다. 이때, 방문망(11)의 이동 노드(101-2)는 홈망(12)의 이동노드(101-1)가 이동한 것이다.
이때, 제공되는 이동 IP 서비스는 이동노드(101-1, 101-2)가 인터넷 상의 호스트인 대응 노드(13)와의 통신이다.
도 2 는 본 발명이 적용되는 이동(Mobile) IP 망에서의 이동 IP 인증을 위한 보안 관계를 나타내기 위한 일실시예 구성도이다.
본 발명이 적용되는 이동(Mobile) IP 서비스 시스템의 이동 IP 인증을 위해서는 홈망(23)과 방문망(22), 그리고 이동 노드(21)사이에 비밀키를 공유하여, 비밀키를 통해 정당한 사용자만이 사용이 가능하도록 한다.
이를 위해, 방문망(22)의 인증 서버(AAA : Authentication, Authorization and Accounting Server)(222)와 방문망(22)의 외부 에이전트(221)간의 비밀키인 보안 관계(SA : Security Association)1, 이동 노드(21)와 홈망(23)의 인증 서버(232)간의 비밀키인 보안 관계2, 홈망(23)의 인증 서버(232)와 홈망(23)의 홈 에이전트(231)간의 비밀키인 보안 관계3 및 홈망(23)의 인증 서버(232)와 방문망(22)의 인증 서버(222)간의 비밀키인 보안 관계4를 최초의 네트워크 셋업시에 공유하도록 한다.
또한, 상기의 비밀키를 기반으로 홈망(23)의 홈 에이전트(231)와 이동 노드(21)간의 비밀키인 K(Key)1, 방문망(22)의 외부 에이전트(221)와 이동 노드(21)간의 비밀키인 K2 및 홈망(23)의 홈 에이전트(231)와 방문망(22)의 외부 에이전트(221)간의 비밀키인 K3을 분배한다.
도 3 는 본 발명이 적용되는 이동(Mobile) IP 망에서의 이동 IP 등록에 관한일실시예 흐름도이다.
서비스 에이전트인 외부 에이전트는 주기적으로 에이전트 광고(agent advertisement) 메시지를 브로드캐스팅하고(301), 이를 수신한 이동 노드로부터 이동 IP 등록 요청 메시지를 수신하면(302), 이동 IP 망에서는 상기 이동 IP 등록 요청 메시지를 확인한 후 등록 응답 메시지를 전송한다(303).
상기 과정에서 이동 IP 망에서 에이전트 광고 메시지를 브로드캐스팅할 때(301)에 챌린지(challenge)를 포함하여 보냄으로써, 최근의 챌린지(challenge)를 포함한 이동 IP 등록 요청 메시지만을 받아들이고 그렇지 않은 것은 등록을 거부한다.
또한, 이동 노드가 매번 에이전트 광고 메시지를 받기 위해서 기다리는 불편함을 없애기 위해, 등록 응답 메시지에 다음 등록에 사용할 챌린지를 포함하기도 한다.
한편, 외부 에이전트는 이동 IP 등록 요청 메시지를 수신한 후, 홈망의 홈 에이전트와 접속하여 이동노드의 방문 사실을 홈망에 등록한 후 등록 응답 메시지를 보내는데, 이 과정에 포함된 에러나 이동 IP 등록 요청 메시지에서 수신한 이동 IP 등록 요청의 챌린지 이외의 에러에 대해서는 본 발명과 관련이 없으므로 기술하지 않는다.
도 4 는 본 발명이 적용되는 이동 IP 망에 사용되는 이동 IP 등록 메시지에 대한 일실시예 구조도이다.
타입(Type) 필드(401)는 해당 메시지가 등록 요청 메시지인지 등록 응답 메시지인지를 구분한다.
그리고, 플래그(Flags) 필드(402)는 등록 시의 선택사항을 나타낸다.
그리고, 생존시간(LifeTime) 필드(403)는 해당 등록이 추후의 다른 등록 요청이 없이 지속될 시간을 나타낸다.
그리고, 이동 노드의 홈 주소 필드(404)는 이동 노드가 홈망에서 등록된 IP 주소, 홈 에이전트 주소 필드(405)는 이동 노드의 홈망의 홈 에이전트의 IP 주소, 이동 노드의 방문망에서의 주소 필드(406)는 이동노드가 방문망에서 사용할 IP 주소를 나타낸다.
그리고, 식별자(Identification) 필드(407)는 이동 노드가 보낸 해당 메시지의 식별자로써, 일반적으로 "타임스탬프(timestamp)"를 사용하며 선택적으로 "나운스(nounce)"를 사용할 수 있다.
그리고, 이동 노드와 홈 에이전트 사이의 인증 정보 필드(408), 챌린지 정보 필드(409) 및 이동 노드와 방문 에이전트간의 인증 정보 필드(410)를 포함한다. 보통, 챌린지를 사용하지 않은 경우는 챌린지 정보 필드(409)가 생략되지만 본 발명의 경우는 챌린지 정보 필드(409)를 이용한다.
도 5a 내지 도 5b 는 본 발명에 따른 이동 IP 망에서의 챌린지를 이용한 메시지 재사용에 의한 공격방지 방법을 적용하기 위하여 챌린지를 보관하기 위한 일실시예 데이터 구조도이다.
본 발명에 따른 이동 IP 망에서의 챌린지를 이용한 메시지 재사용에 의한 공격방지 방법을 적용하기 위하여 외부 에이전트는, 챌린지를 각각의 이동 노드에게제공한 챌린지와 이동 IP 망에서 에이전트 광고할 챌린지로 나누어 관리한다.
도 5a 는 외부 에이전트에서 각각의 이동 노드에게 제공한 챌린지를 관리하기 위한 일실시예 데이터 구조도를 나타낸다. 외부 에이전트는 각각의 이동 노드별로 현재 이동 노드에게 보내진 32비트(Bit) 이상으로 할당된 챌린지 필드(511)와, 이동 노드가 매번 에이전트 광고 메시지를 받기 위해서 기다리는 불편함을 없애기 위해, 등록 응답 메시지에 포함되어 추후 사용을 위해 보내진 32비트 이상으로 할당된 조기 챌린지(Early Challenge) 필드(512)를 관리한다.
또한, 상기 챌린지 필드(511) 및 조기 챌린지 필드(512)의 현재 상태를 표시하기 위한 1 바이트(Bite)로 할당된 플래그 필드(513)가 있다. 이와 같은 플래그 필드(513)는 네 가지 값을 가지게 되는데 그 값은 "CLEAR", "PENDING", "EARLY" 및 "INUSE"가 있다.
상기 각각의 값이 의미하는 것을 알아보면, "CLEAR"는 외부 에이전트로부터 새로운 챌린지가 이동 노드로 내려간 것을 의미한다. 그리고, "PENDING"은 이동 노드로부터 이동 IP 등록 요청 메시지를 수신하고 아직 등록 응답 메시지를 송신하지 못한 상태를 의미한다.
그리고, "EARLY"는 조기 챌린지 필드(512)가 유효(valid)한 경우를 의미하고, "INUSE"는 챌린지 필드(511)가 이미 사용 중인 경우를 의미한다.
도 5a 에 도시된 바와 같은, 외부 에이전트에서 각각의 이동 노드에게 제공한 챌린지를 관리하기 위한 데이터 구조를 생성하기 위해 이하와 같은 방법으로 챌린지를 생성한다.
외부 에이전트에서 챌린지를 생성시키는 것은 난수를 이용하여 수행하며, 이동 노드에 대한 챌린지를 생성하기 위해서는 상기 챌린지 필드(511)에 새로 생성한 난수를 넣고, 상기 플래그 필드(513)를 "CLEAR"로 표시한다. 또한, 이동 노드가 매번 에이전트 광고 메시지를 받기 위해서 기다리는 불편함을 없애기 위해, 등록 응답 메시지에 다음 등록에 사용할 챌린지를 포함하기도 하는데 이러한 다음 등록에 사용될 챌린지를 생성하기 위해서는 상기 조기 챌린지 필드(512)에 새로 생성한 난수를 넣고, 상기 플래그 필드(513)에 "EARLY"를 추가한다.
도 5b 는 외부 에이전트에서 이동 노드로 에이전트 광고할 챌린지를 관리하기 위한 일실시예 데이터 구조도를 나타낸다. 이동 IP 망의 외부 에이전트는 최근에 광고(advertise)한 챌린지를 윈도우의 형태로 관리한다. 여기서, 챌린지 윈도우(521)는 여러 개의 챌린지 필드(522, 523)를 집합적으로 표현하기 위한 개념적인 표현일 뿐 물리적인 필드를 가지는 것은 아니다. 그리고, 챌린지 윈도우(521)의 크기는 시스템에 따라 적절하게 관리할 수 있다. 상기의 챌린지 윈도우(521)의 크기에 따라, 각각이 32비트 이상으로 할당된 챌린지 필드(522, 523)를 여러개 관리할 수 있게 된다.
또한, 새로운 챌린지를 추가할 자리를 기억하기 위하여 현재 가장 최근에 추가된 챌린지 필드(522, 523)의 위치를 기억하기 위한 1바이트로 할당된 "CurPos(Current Position)" 필드(524)와 가장 최근에 광고한 시각을 나타내는 4바이트로 할당된 챌린지 시간 필드(525)를 두어 이동 IP망에서의 챌린지를 관리한다. 여기서, 상기 "CurPos" 필드(524) 및 챌린지 시간 필드(525)의 초기값은 각각 -1과0으로 한다.
도 5b 에 도시된 바와 같은, 외부 에이전트에서 이동 노드로 에이전트 광고할 챌린지를 관리하기 위한 데이터 구조를 생성하기 위해 이하와 같은 방법으로 챌린지를 생성한다.
외부 에이전트에서 이동 노드로 에이전트 광고하기 위한 챌린지를 생성하여 에이전트 광고에 포함시켜 보내기 위하여, 우선 현재 시간과 최근의 에이전트 광고를 수행한 시간을 포함하고 있는 챌린지 시간 필드(525)를 비교하여, 시스템에 의해 사전에 셋팅된 에이전트 광고 주기를 초과하지 않았다면 가장 최근에 발생된 챌린지인 "CurPos" 필드(524)가 나타내는 챌린지 필드(522, 523)의 챌린지를 그대로 보내고, 그렇지 않다면 새로운 챌린지를 생성한다.
또한, 새로운 챌린지를 생성시키는 것은 난수를 이용하여 수행하며, "CurPos" 필드(524)를 1 증가시키고, "CurPos" 필드(524)값과 챌린지 윈도우의 크기를 비교하여, "CurPos" 필드(524)값이 크거나 같다면 "CurPos" 필드(524)값을 0으로 한 후, 그 자리의 챌린지 필드(522, 523)에 새로운 난수를 생성하여 넣고 챌린지 시간필드(525)를 현재의 시각으로 설정한다.
도 6 은 본 발명에 따른 이동 IP 망에서의 챌린지를 이용한 메시지 재사용에 의한 공격방지 방법의 일실시예 전체 흐름도이다.
우선, 이동 노드의 서비스 요청이 있을 시에 외부 에이전트가 관리하고 있는 챌린지와 상기 이동 노드의 서비스 요청 메시지에 포함된 챌린지를 비교한다.
외부 에이전트는 이동 노드로 챌린지를 보낸 후 이동 노드로부터 이동 IP등록 요청 메시지를 수신한다(601). 상기 수신된 이동 IP 등록 요청 메시지에 챌린지 정보 필드가 있는지 확인하여(602), 챌린지 정보 필드가 없다면 챌린지를 포함하지 않은 부적합한 등록 요청으로(619) 에러(error)처리한다(620).
또한, 상기 수신된 이동 IP 등록 요청 메시지에 챌린지 정보 필드가 있는지 확인하여(602), 챌린지 정보 필드가 있다면 포함된 챌린지 값을 "Chgx"라고 하고, 상기 511의 챌린지 필드의 값과 비교하여(603) 두 값이 같은지를 확인한다(604).
확인 결과(604), 상기 두 값이 같고 513의 플래그 필드가 "INUSE"라면(609) 리플레이로 간주하여(610) 에러 처리한다(620). 반면, 두 값이 같지만 513의 플래그 필드가 "INUSE"가 아니라면(609) 적법한 챌린지를 가진 등록 요청으로 인정한다(630).
그리고, 확인 결과(604), 수신한 이동 IP 등록 요청 메시지에 포함된 Chgx가 상기 511의 챌린지 필드의 값과 다르다면 512의 조기 챌린지 필드 값과 비교하여(605) 두 값이 같은지 확인하여(606), 두 값이 같으며 513의 플래그 필드가 "EARLY"를 포함한다면(611) 수신된 Chgx를 511의 플래그 필드에 넣고(608), 적법한 챌린지를 가진 등록 요청으로 처리한다(630).
반면, 두 값(chgx와 512의 조기 챌린지 필드의 값)이 같지만 513의 플래그 필드가 "EARLY"를 포함하지 않는다면(611) 알 수 없는 챌린지를 가진 등록 요청으로(613) 에러 처리한다(620).
그리고, 수신한 이동 IP 등록 요청 메시지에 포함된 Chgx가 511의 챌린지 필드의 값과 다르고 512의 조기 챌린지 필드 값과도 다르다면, 상기 수신한 이동 IP등록 요청 메시지에 포함된 Chgx가 521의 챌린지 윈도우내의 챌린지 필드(522, 523)에 포함되어 있는지 확인한다(607).
확인 결과, 상기 수신한 이동 IP 등록 요청 메시지에 포함된 Chgx가 521의 챌린지 윈도우내의 챌린지 필드(522, 523)에 포함되어 있지 않다면 알 수 없는 챌린지를 가진 등록 요청으로(613) 에러 처리한다(620).
반면, 상기 수신한 이동 IP 등록 요청 메시지에 포함된 Chgx가 521의 챌린지 윈도우내의 챌린지 필드(522, 523)에 포함되어 있다면(607) 수신한 이동 IP 등록 요청 메시지에 포함된 Chgx를 511의 챌린지 필드에 넣고(608) 적법한 챌린지를 가진 등록 요청으로 인정한다(630).
한편, 620의 에러처리는 상기 610, 613 또는 619의 에러 코드를 포함한 등록 응답 메시지를 이동노드에게 보냄으로써 수행한다.
그리고, 630의 적법한 챌린지를 가진 이동 IP 등록 요청에 대해서는 홈 에이전트에 이동 IP 등록 요청을 전송하고(615) 등록 응답 메시지를 수신한다(616). 그리고, 등록 응답 메시지를 수신한 후 513의 플래그 필드를 "INUSE"로 바꾼 후(617) 이동 노드에게 등록 응답 메시지를 전송한다(618).
이때, 다음 등록에 사용할 챌린지를 생성하여, 513의 플래그 필드에 "EARLY"를 추가하고 512의 조기 챌린지 필드에 넣고 상기 등록 응답 메시지에 포함시켜 전송할 수도 있다.
상술한 바와 같은 본 발명의 방법은 프로그램으로 구현되어 컴퓨터로 읽을 수 있는 형태로 기록매체(씨디롬, 램, 롬, 플로피 디스크, 하드 디스크, 광자기 디스크 등)에 저장될 수 있다.
이상에서 설명한 본 발명은 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니고, 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하다는 것이 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어 명백할 것이다.
상기한 바와 같은 본 발명은, 이동 IP 망에서 불법적인 리플레이 공격을 막을 수 있도록 해서, 망 사업자의 서비스를 불법적으로 이용하는 행위를 방지하는 효과가 있다.
또한, 본 발명은, 종래의 "타임스탬프"나 "나운스"를 사용하는 방식이 짧은 시간이나마 불법적인 공격에 노출되어 있던 것에 비해 챌린지를 이용함으로써 불법적인 공격에 노출되는 시간이 없어지는 효과가 있다.

Claims (9)

  1. 이동 IP(Internet Protocol)망에 적용되는 챌린지를 이용한 메시지 재사용에 의한 공격방지 방법에 있어서,
    이동 IP 망의 외부 에이전트가, 각각의 이동 노드에게 제공한 챌린지와 상기 이동 IP 망에서 이동 노드에 대해 에이전트 광고할 챌린지를 생성하는 제 1 단계;
    상기 외부 에이전트가, 상기 이동 노드로부터 등록 요청 메시지를 전달받아 상기 등록 요청 메시지에 포함된 챌린지를 상기 제 1 단계에서 생성된 챌린지와 비교하는 제 2 단계; 및
    상기 제 2 단계의 비교 결과에 따라, 상기 이동 노드가 요청한 등록 요청 메시지에 대해 메시지 재사용에 의한 공격인지 여부를 판단하여 처리하는 제 3 단계
    를 포함하는 이동 IP 망에 적용되는 챌린지를 이용한 메시지 재사용에 의한 공격방지 방법.
  2. 제 1 항에 있어서,
    상기 외부 에이전트는,
    각각의 이동 노드에 제공한 챌린지를 관리하기 위하여,
    상기 각각의 이동 노드별로 현재 이동 노드에게 제공된 챌린지를 저장하기 위한 제 1 챌린지 구조;
    상기 이동 노드가 매번 에이전트 광고 메시지를 받기 위해서 기다리는 불편함을 없애기 위해, 상기 외부 에이전트로부터의 등록 응답 메시지에 포함되어 추후 사용을 위해 제공된 챌린지를 저장하기 위한 조기 챌린지(Early Challenge) 구조; 및
    상기 챌린지 구조 및 상기 조기 챌린지 구조의 현재 상태를, 외부 에이전트로부터 새로운 챌린지가 이동 노드로 내려간 것을 의미하는 "CLEAR", 이동 노드로부터 이동 IP 등록 요청 메시지를 수신하고 아직 등록 응답 메시지를 송신하지 못한 상태를 의미하는 "PENDING", 상기 조기 챌린지 구조가 유효(valid)한 경우를 의미하는 "EARLY" 및 챌린지 구조가 이미 사용 중인 경우를 나타내는 "INUSE"로 표시하기 위한 플래그 구조
    를 포함하는 데이터 구조를 가지는 것을 특징으로 하는 이동 IP 망에 적용되는 챌린지를 이용한 메시지 재사용에 의한 공격방지 방법.
  3. 제 1 항에 있어서,
    상기 외부 에이전트는,
    상기 이동 IP 망에서 이동 노드에 대해 에이전트 광고할 챌린지를 관리하기 위하여,
    상기 외부 에이전트에서 에이전트 광고할 챌린지를 저장하기 위한 제 2 챌린지 구조를 다수 포함하는 챌린지 윈도우;
    새로운 챌린지를 추가할 자리를 기억하기 위하여 현재 가장 최근에 추가된 챌린지 구조의 위치를 기억하기 위한 "CurPos(Current Position)" 구조; 및
    가장 최근에 에이전트 광고한 시각을 나타내기 위한 챌린지 시간 구조
    를 포함하는 데이터 구조를 가지는 것을 특징으로 하는 이동 IP 망에 적용되는 챌린지를 이용한 메시지 재사용에 의한 공격방지 방법.
  4. 제 2 항 또는 제 3 항에 있어서,
    상기 제 1 단계는,
    상기 외부 에이전트가,
    각각의 이동 노드에게 제공할 챌린지를 생성하기 위해서, 난수를 이용하여 챌린지를 생성하고 상기 챌린지 구조에 상기 생성한 난수를 넣고, 상기 플래그 구조를 "CLEAR"로 표시하는 제 4 단계;
    상기 이동 노드가 매번 에이전트 광고 메시지를 받기 위해서 기다리는 불편함을 없애기 위해, 상기 외부 에이전트로부터 등록 응답 메세지에 다음 등록에 사용할 챌린지를 포함하는 경우, 상기 조기 챌린지 구조에 상기 포함된 챌린지를 넣고, 상기 플래그 구조에 "EARLY"를 추가하는 제 5 단계;
    상기 외부 에이전트에서 상기 이동 노드로 에이전트 광고하기 위한 챌린지를 생성하기 위해서, 현재 시간과 최근의 에이전트 광고를 수행한 시간을 포함하고 있는 챌린지 시간 구조를 비교하는 제 6 단계;
    상기 제 6 단계의 비교 결과, 시스템에 의해 사전에 셋팅된 주기적인 에이전트 광고 시각을 초과하지 않았다면 "CurPos" 구조가 나타내는 챌린지 구조의 챌린지를 상기 이동 노드로 에이전트 광고하기 위한 챌린지로 하는 제 7 단계; 및
    상기 제 6 단계의 비교 결과, 시스템에 의해 사전에 셋팅된 에이전트 광고 주기를 초과하였으면, 새로운 챌린지를 생성하는 제 8 단계
    를 포함하는 이동 IP 망에 적용되는 챌린지를 이용한 메시지 재사용에 의한 공격방지 방법.
  5. 제 4 항에 있어서,
    상기 제 8 단계는,
    상기 제 6 단계의 비교 결과, 시스템에 의해 사전에 셋팅된 에이전트 광고 주기를 초과하였으면, 난수를 이용하여 새로운 챌린지를 생성하는 제 9 단계;
    상기 "CurPos" 구조의 값을 순차적으로 증가시키고, 상기 "CurPos" 구조값과 상기 챌린지 윈도우의 크기를 비교하여, 상기 "CurPos" 구조값이 크거나 같다면 상기 "CurPos" 구조값을 초기값으로 한 후, 해당 위치의 챌린지 구조에 상기 생성된 새로운 챌린지를 넣고 챌린지 시간 구조를 현재의 시각으로 설정하는 제 10 단계
    를 포함하는 이동 IP 망에 적용되는 챌린지를 이용한 메시지 재사용에 의한 공격방지 방법.
  6. 제 2 항 또는 제 3 항에 있어서,
    상기 제 2 단계는,
    상기 외부 에이전트가, 상기 이동 노드로부터 등록 요청 메시지를 전달받아 상기 등록 요청 메시지에 챌린지 정보가 포함되어 있는지를 확인하는 제 4 단계;
    상기 제 4 단계의 확인 결과, 상기 등록 요청 메시지에 챌린지 정보가 포함되어 있으면 상기 포함된 챌린지와 상기 제 1 챌린지 구조의 값이 같은지를 비교하는 제 5 단계;
    상기 제 5 단계의 비교 결과, 상기 포함된 챌린지와 상기 제 1 챌린지 구조의 값이 같지 않으면 상기 포함된 챌린지와 상기 조기 챌린지 구조의 값이 같은지를 비교하는 제 6 단계; 및
    상기 제 6 단계의 비교 결과, 상기 포함된 챌린지와 상기 조기 챌린지 구조의 값이 같지 않으면 상기 포함된 챌린지가 상기 챌린지 윈도우에 포함된 제 2 챌린지 구조의 값 중 하나와 일치하는 지를 비교하는 제 7 단계
    를 포함하는 이동 IP 망에 적용되는 챌린지를 이용한 메시지 재사용에 의한 공격방지 방법.
  7. 제 6 항에 있어서,
    상기 제 3 단계는,
    상기 제 4 단계의 확인 결과, 상기 등록 요청 메시지에 챌린지 정보가 포함되어 있지 않으면 에러 처리하는 제 8 단계;
    상기 제 5 단계의 비교 결과, 상기 포함된 챌린지와 상기 제 1 챌린지 구조의 값이 같고 상기 플래그 구조의 값이 "INUSE"이면 메시지 재사용에 의한 공격으로 에러 처리하고, 아니면 적법한 등록 요청으로 처리하는 제 9 단계;
    상기 제 6 단계의 비교 결과, 상기 포함된 챌린지와 상기 조기 챌린지 구조의 값이 같고 상기 플래그 구조의 값이 "EARLY"가 아니면 에러 처리하고, "EARLY"이면 상기 포함된 챌린지를 상기 제 1 챌린지 구조에 넣고 적법한 등록 요청으로 처리하는 제 10 단계; 및
    상기 제 7 단계의 비교 결과, 상기 포함된 챌린지가 상기 챌린지 윈도우에 포함된 제 2 챌린지 구조의 값 중 어느 하나와도 일치하지 않으면 에러 처리하고, 일치하면 상기 포함된 챌린지를 상기 제 1 챌린지 구조에 넣고 적법한 등록 요청으로 처리하는 제 11 단계
    를 포함하는 이동 IP 망에 적용되는 챌린지를 이용한 메시지 재사용에 의한 공격방지 방법.
  8. 제 7 항에 있어서,
    상기 적법한 등록 요청으로 처리하는 과정은,
    상기 외부 에이전트가,
    상기 이동 노드로부터 등록 요청 메시지를 홈 에이전트에 전송하여 등록 응답 메시지를 수신하는 제 12 단계 및
    상기 플래그 구조를 "INUSE"로 하고 상기 제 12 단계에서 수신한 등록 응답 메시지를 상기 이동 노드로 전송하는 제 13 단계
    를 포함하는 이동 IP 망에 적용되는 챌린지를 이용한 메시지 재사용에 의한 공격방지 방법.
  9. 프로세서를 구비한 이동 IP(Internet Protocol)망 관리 시스템에,
    이동 IP 망의 외부 에이전트가, 각각의 이동 노드에게 제공한 챌린지와 상기 이동 IP 망에서 이동 노드에 대해 에이전트 광고할 챌린지를 생성하는 제 1 기능;
    상기 외부 에이전트가, 상기 이동 노드로부터 등록 요청 메시지를 전달받아 상기 등록 요청 메시지에 포함된 챌린지를 상기 제 1 기능에 의해서 생성된 챌린지와 비교하는 제 2 기능; 및
    상기 제 2 기능에 의한 비교 결과에 따라, 상기 이동 노드가 요청한 등록 요청 메시지에 대해 메시지 재사용에 의한 공격인지 여부를 판단하여 처리하는 제 3 기능
    을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
KR10-2001-0051884A 2001-08-27 2001-08-27 이동 아이피 망에서 챌린지를 이용한 메시지 재사용에의한 공격방지 방법 KR100422826B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2001-0051884A KR100422826B1 (ko) 2001-08-27 2001-08-27 이동 아이피 망에서 챌린지를 이용한 메시지 재사용에의한 공격방지 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2001-0051884A KR100422826B1 (ko) 2001-08-27 2001-08-27 이동 아이피 망에서 챌린지를 이용한 메시지 재사용에의한 공격방지 방법

Publications (2)

Publication Number Publication Date
KR20030018266A KR20030018266A (ko) 2003-03-06
KR100422826B1 true KR100422826B1 (ko) 2004-03-12

Family

ID=27721068

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2001-0051884A KR100422826B1 (ko) 2001-08-27 2001-08-27 이동 아이피 망에서 챌린지를 이용한 메시지 재사용에의한 공격방지 방법

Country Status (1)

Country Link
KR (1) KR100422826B1 (ko)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100848541B1 (ko) 2005-05-13 2008-07-25 삼성전자주식회사 이동 아이피 버전 6에서 재전송 공격을 방지하기 위한 방법
CN100479376C (zh) * 2005-06-27 2009-04-15 华为技术有限公司 一种识别重放管理消息的方法
TWI309956B (en) 2005-10-14 2009-05-11 Hon Hai Prec Ind Co Ltd Mobile station and method for detecting attack on power save mode thereof

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6014085A (en) * 1997-10-27 2000-01-11 Lucent Technologies Inc. Strengthening the authentication protocol
WO2000002406A2 (en) * 1998-07-07 2000-01-13 Nokia Networks Oy System and method for authentication in a mobile communications system
US6118993A (en) * 1998-01-05 2000-09-12 Lucent Technologies, Inc. Effective use of dialed digits in call origination
KR20010022410A (ko) * 1997-08-01 2001-03-15 밀러 럿셀 비 무선통신에서의 재사용 침입 방지 시스템 및 방법
WO2001041470A2 (en) * 1999-12-03 2001-06-07 Qualcomm Incorporated Method and apparatus for authentication in a wireless telecommunications system

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010022410A (ko) * 1997-08-01 2001-03-15 밀러 럿셀 비 무선통신에서의 재사용 침입 방지 시스템 및 방법
US6014085A (en) * 1997-10-27 2000-01-11 Lucent Technologies Inc. Strengthening the authentication protocol
US6118993A (en) * 1998-01-05 2000-09-12 Lucent Technologies, Inc. Effective use of dialed digits in call origination
WO2000002406A2 (en) * 1998-07-07 2000-01-13 Nokia Networks Oy System and method for authentication in a mobile communications system
WO2001041470A2 (en) * 1999-12-03 2001-06-07 Qualcomm Incorporated Method and apparatus for authentication in a wireless telecommunications system

Also Published As

Publication number Publication date
KR20030018266A (ko) 2003-03-06

Similar Documents

Publication Publication Date Title
Perkins et al. Mobile IPv4 challenge/response extensions
JP4965671B2 (ja) 無線通信ネットワークにおけるユーザ・プロファイル、ポリシー及びpmipキーの配布
JP4685876B2 (ja) 複数の信用証明認証プロトコルを提供するシステム及び方法
US7065067B2 (en) Authentication method between mobile node and home agent in a wireless communication system
EP2213138B1 (en) Optimized security association database management on home/foreign agent
US20060078119A1 (en) Bootstrapping method and system in mobile network using diameter-based protocol
Perkins et al. Mobile IPv4 challenge/response extensions (revised)
CN100507934C (zh) 针对代码签名服务来注册实体的系统和方法
JP2009519515A (ja) サービスアカウントを保護するための方法、システム、及び装置
KR20070061619A (ko) 사전공유키(PSK) 기반의 안전한 모바일 IPv6 이동노드 초기구동을 위한 네트워크 시스템 및 통신 방법
US8078872B2 (en) Method, system and device for determining a mobile IP key, notifying a mobile IP type
WO2007133023A1 (en) System and method for authentication in a communication system
WO2018018780A1 (zh) 一种控制WiFi接入设备的接入方法及装置、存储介质
US7636845B2 (en) System for preventing IP allocation to cloned mobile communication terminal
KR100422826B1 (ko) 이동 아이피 망에서 챌린지를 이용한 메시지 재사용에의한 공격방지 방법
WO2007060016A2 (en) Self provisioning token
CN1918843B (zh) 用于在无线因特网系统中鉴别用户和网络的方法和装置
KR100478535B1 (ko) Dhcp를 이용한 인증받지 않은 사용자의 인터넷 및네트워크 접속 방지 시스템과 그의 방법
CN116388998A (zh) 一种基于白名单的审计处理方法和装置
CN101232369A (zh) 动态主机配置协议中密钥分发方法和系统
JPH11161618A (ja) 移動計算機管理装置、移動計算機装置及び移動計算機登録方法
US20130007196A1 (en) Connectionless Operation in a Wireless Network
JP2004072633A (ja) IPv6ノード収容方法およびIPv6ノード収容システム
WO2010050311A1 (ja) 認証サーバ
CN101026453A (zh) 通用鉴权系统及访问该系统中网络业务应用的方法

Legal Events

Date Code Title Description
A201 Request for examination
N231 Notification of change of applicant
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130227

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20140227

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20150226

Year of fee payment: 12

FPAY Annual fee payment

Payment date: 20160226

Year of fee payment: 13

FPAY Annual fee payment

Payment date: 20170224

Year of fee payment: 14

FPAY Annual fee payment

Payment date: 20180227

Year of fee payment: 15

LAPS Lapse due to unpaid annual fee