KR100953068B1 - 인터넷 환경에서 보안 이웃 탐색 방법 - Google Patents
인터넷 환경에서 보안 이웃 탐색 방법 Download PDFInfo
- Publication number
- KR100953068B1 KR100953068B1 KR1020080069553A KR20080069553A KR100953068B1 KR 100953068 B1 KR100953068 B1 KR 100953068B1 KR 1020080069553 A KR1020080069553 A KR 1020080069553A KR 20080069553 A KR20080069553 A KR 20080069553A KR 100953068 B1 KR100953068 B1 KR 100953068B1
- Authority
- KR
- South Korea
- Prior art keywords
- address
- response message
- router
- message
- node
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3006—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/16—Discovering, processing access restriction or access information
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
인터넷 환경에서 보안 이웃 탐색 방법을 개시한다. 보안 이웃 탐색 프로토콜에서 이웃 노드의 주소를 해석할 때 송수신하는 메시지에 맥 주소를 포함하는 암호화 주소(CGA: Cryptographically Generated Addresses)를 포함시켜 메시지를 보안하고, 보안 이웃 탐색 프로토콜에서 필요로 하는 디지털 서명의 수를 줄인 인터넷 환경에서 보안 이웃 탐색 방법에 관한 것이다.
보안 이웃 탐색, CGA(Cryptographically Generated Addresses), 주소해석, 중복 탐색, 라우터 탐색
Description
본 발명은 인터넷 환경에서 보안 이웃 탐색 방법에 관한 것으로, 특히, 인터넷 환경에서 보안 이웃 탐색시 필요로 하는 디지털 서명의 수를 줄여서 계산의 효율을 향상시키는 보안 이웃 탐색 방법이다.
IT기술의 발전으로 인해서 인터넷 규모가 끊임없이 성장하고 있다. 데스크탑 컴퓨터뿐만 아니라 인터넷 접속 기능을 갖춘 핸드폰, 가전제품 등과 같은 단말들이 늘어나면서 인터넷 주소 공간 부족 문제가 점차 현실화 되어가고 있다. 이에 발맞춰 기존 32bit 주소 체계를 사용하는 IPv4(Internet Protocol Version 4)를 대체할 128bit 체계의 새로운 프로토콜 IPv6(Internet Protocol Version 6)가 연구되어 왔다. 하지만 현재까지는 상업적인 서비스를 제공하기에 앞서 시범망을 구축하여 기술 검증과 성능 개선 그리고 기존 IPv4 기술과의 호환성 등 IPv6 기술이 현실적으로 사용되기에 앞서 풀어야 할 다양한 관련 기술들에 대하여 연구가 진행 중이 다.
IPv6 프로토콜에서는 기존의 IPv4 프로토콜에서 사용되었던 ARP (Address Resolution Protocol) 기능이 이웃 탐색 프로토콜 (Neighbor Discovery Protocol)에 편입되었다. 또한 이웃 탐색 프로토콜은 라우터 탐색 기능과 임시 주소 자동 설정(Stateless address auto-configuration) 기능 등을 제공하여 DHCP 서버의 도움 없이 스스로 주소를 설정할 수 있는 링크 상에서 편리한 기능을 제공한다.
이러한 이웃 탐색 프로토콜에는 자체적인 보안 메커니즘 부재로 인해 악의적인 사용자가 쉽게 프로토콜의 취약점을 이용하여 공격이 가능하기 때문에 디지털 서명을 사용하여 모든 주고받는 이웃 탐색 메시지를 보호하는 보안 이웃 탐색 프로토콜(SEND; SEcure Neighbor Discovery)이 제안되었다.
보안 이웃 탐색 프로토콜(SEND; SEcure Neighbor Discovery)은 이웃 탐색 프로토콜을 보호하기 위해 제안된 기술로서 암호학적으로 생성한 주소(CGA; Cryptographically Generated Addresses) 기술과 디지털 서명(Digital Signature) 기술을 기반으로 하고 있다. 보안 이웃 탐색 프로토콜의 주요 기능은 다음과 같다.
먼저, 공개키 암호화 기술을 사용하는 이 기술은 암호학적인 연산을 통해 생성한 주소를 사용한다는 것을 특징으로 볼 수 있다. 이 주소를 CGA (Cryptographically Generated Address) 주소라고 한다.
도 1은 종래 기술에 따른 보안 이웃 탐색 프로토콜에서 사용하는 CGA주소의 구조를 도시한 도면이다.
도 1을 참조하면, CGA 주소(100)의 처음부터 64bit 까지는 네트워크 프리픽 스(Network Prefix)(102)이 값을 설정하고, 그 뒤의 64bit는 기존의 임시 주소 자동 설정에서 사용되었던 인터페이스 ID 대신에 노드에서 공개키와 보조 파라미터를 해시 입력 값으로 하여 얻은 해시 값(104)을 사용하여 생성한다.
CGA 주소의 검증은 수신 받은 이웃 탐색 메시지의 옵션 부분에서 CGA 주소를 생성할 때 사용했던 공개키와 보조 파라미터를 취하여 해시 값을 재계산하고 이 값을 메시지의 송신지 CGA 주소와 비교하여 검증한다. CGA 주소의 검증이 성공했다는 것은 CGA 주소와 공개키 사이에 결합되었다고 볼 수 있다. 즉, 특정 공개키를 소유한 노드의 IP 주소는 특정 CGA주소라고 볼 수 있는 것이다. 하지만 이 단계에서 공개키가 정상적인 값인지 판단 할 수 없으므로 통신하고 있는 주체에 대한 인증이 이루어진 상태라고 볼 수는 없다.
이웃 탐색 메시지 옵션에 포함된 디지털 서명을 공개키로 검증에 성공하게 되면, 그때 메시지에 대한 인증과 무결성에 대한 증명과 함께 통신하는 노드의 주체를 인증할 수 있게 된다.
또한, 보안 이웃 탐색 프로토콜(SEND; SEcure Neighbor Discovery)은 송수신 하는 메시지에 공개키 암호화 시스템을 기반으로 한 디지털 서명(Digital Signature)을 포함하여 송신자를 인증하고 메시지의 무결성을 제공한다.
상술한 바와 같이 이웃 탐색 과정에서 모든 이웃 탐색 메시지를 디지털 서명을 이용하여 보호하는 SEND 기술은 가용성 측면에서 큰 부담이 될 수 있다. 디지털 서명 기술은 공개키 암호화 기술을 기반으로 하여 상당한 수학적 연산 량이 요구되기 때문이다.
어느 정도의 비용을 요구하는지 알아보기 위해 RSA 디지털 서명 생성 및 검증 실험을 통해 그 성능을 측정해본 결과 디지털 서명 생성에 약 12ms 정도의 시간이 소요되는 것을 확인하였다. 보통 유선 로컬 네트워크 내에서 ping 수행 시 0.3ms 정도의 시간이 소요되는 것과 비교해볼 때 상당한 응답성 저하가 발생될 것을 예상해 볼 수 있다.
또한 고비용을 요구하는 SEND 기술은 휴대폰이나 PDA와 같이 전력 및 컴퓨팅 자원이 한정된 장치에 적용하기 부담스러울 것이다.
마지막으로 효율적인 보호 메커니즘을 사용하여 이웃 탐색 과정 보호에 사용되는 에너지 소비량을 줄일 수 있다면 경제적으로도 효과를 볼 수 있을 것이다.
본 발명은 인터넷 환경에서 보안 이웃 탐색 방법을 제공한다.
본 발명은 보안 이웃 탐색 프로토콜에서 필요로 하는 디지털 서명의 수를 줄인 인터넷 환경에서 보안 이웃 탐색 방법을 제공한다.
본 발명은 보안 이웃 탐색 프로토콜에서 이웃 노드의 주소를 해석할 때 송수신하는 메시지에 맥 주소를 포함하는 암호화 주소(CGA: Cryptographically Generated Addresses)를 포함시켜 메시지를 보안하는 인터넷 환경에서 보안 이웃 탐색 방법을 제공한다.
본 발명은 보안 이웃 탐색 프로토콜에서 중복 주소를 탐지할 때 디지털 서명의 수를 줄이는 이웃 탐색 방법을 제공한다.
본 발명은 보안 이웃 탐색 프로토콜에서 라우터를 탐색할 때 디지털 서명의 수를 줄이는 이웃 탐색 방법을 제공한다.
본 발명의 실시예에 따른 네트워크 노드의 보안 이웃 탐색 방법은, 확장 암호화 주소(Modified CGA: Modified Cryptographically Generated Addresses)를 포함하는 주소 해석 요청 메시지를 생성하여 목표 노드로 송신하는 단계; 상기 목표 노드로부터 주소 해석 응답 메시지 수신하는 단계; 상기 주소 해석 응답 메시지에 포함된 MAC 주소와 보조 매개 변수를 확인하고 상기 목표노드의 공개키와 결합하여 해시 값 계산하는 단계; 상기 주소 해석 응답 메시지에 포함된 상기 목표 노드의 확장 암호화 주소 에서 해시 값을 추출하는 단계; 및, 상기 계산한 해시 값과 추출한 해시 값을 비교하여 동일하면 상기 주소 해석 응답 메시지에 포함된 상기 MAC 주소를 상기 목표 노드의 MAC 주소로 획득하는 단계를 포함한다.
본 발명의 실시예에 따른 네트워크 노드의 보안 이웃 탐색 방법은, 소스 노드의 확장 암호화 주소(Modified CGA: Modified Cryptographically Generated Addresses)를 포함하는 주소 해석 요청 메시지를 수신하는 단계; 상기 주소 해석 요청 메시지에 포함된 MAC 주소와 보조 매개 변수를 확인하고 소스 노드의 공개키와 결합하여 해시 값 계산하는 단계; 상기 소스 노드의 확장 암호화 주소에서 해시 값 추출하는 단계; 및, 상기 계산한 해시 값과 상기 추출한 해시 값의 동일하면 자신의 확장 암호화 주소와 MAC 주소를 포함하는 주소 해석 응답 메시지를 생성하여 상기 소스 노드로 송신하는 단계를 포함한다.
본 발명의 실시예에 따른 네트워크 노드의 보안 이웃 탐색 방법은, 임시(tentative) 주소를 생성하는 단계; 상기 임시 주소를 포함하는 중복 주소 탐지 메시지를 상기 임시 주소로 송신하는 단계; 서명된 중복 주소 응답 메시지의 수신 여부를 확인하는 단계; 상기 서명된 중복 주소 응답 메시지를 수신하면 포함된 디지털 서명을 확인하여 악의적인 접근 여부를 확인하는 단계; 및, 확인결과 악의적인 접근이 없었으면 중복으로 판단하는 단계를 포함한다.
본 발명의 실시예에 따른 네트워크 노드의 보안 이웃 탐색 방법은, 임시(tentative) 주소를 포함하는 중복 주소 탐지 메시지를 수신하는 단계; 상기 중 복 주소 탐지 메시지에 포함된 상기 임시 주소가 사용중인 주소와 동일한지 여부를 확인하는 단계; 및, 확인결과 동일하면 상기 중복 주소 탐지 메시지를 송신한 노드로 서명된 중복 주소 응답 메시지를 생성하여 송신하는 단계를 포함한다.
본 발명의 실시예에 따른 네트워크 노드의 보안 이웃 탐색 방법은, 디지털 서명을 포함하는 서명된 라우터 탐색 메시지를 생성하여 라우터로 송신하는 단계; 상기 라우터로부터 서명된 라우터 응답 메시지 수신하는 단계; 상기 서명된 라우터 응답 메시지에 포함된 광고정보를 가장 최근 광고정보로 갱신하여 저장하는 단계; 및, 디지털 서명을 포함하지 않은 라우터 응답 메시지를 수신하면 상기 라우터 응답 메시지에 포함된 광고 정보와 저장된 상기 최근 광고정보가 동일한지 확인하는 단계를 포함한다.
본 발명의 실시예에 따른 라우터의 보안 이웃 탐색 방법은, 디지털 서명을 포함하는 서명된 라우터 탐색 메시지를 수신하면 서명된 라우터 응답 메시지를 생성하여 상기 서명된 라우터 탐색 메시지를 송신한 노드로 송신하는 단계; 및, 주기적으로 라우터 응답 메시지를 전송 시간에 디지털 서명을 포함하지 않은 라우터 응답 메시지를 송신하는 단계를 포함한다.
본 발명은 보안 이웃 탐색 프로토콜에서 이웃 노드의 주소를 해석할 때 송수신하는 메시지에 맥 주소를 포함하는 암호화 주소(CGA: Cryptographically Generated Addresses)를 포함시켜 메시지를 보안하고, 보안 이웃 탐색 프로토콜에 서 필요로 하는 디지털 서명의 수를 줄인 인터넷 환경에서 보안 이웃 탐색 방법에 관한 것으로, 기존의 보안 이웃 탐색 프로토콜(SEND; SEcure Neighbor Discovery)과 비교했을 때 상대적으로 저비용으로 이웃 탐색 프로토콜을 보호할 수 있다.
이하에서는 첨부된 도면을 참조하여 본 발명의 실시예를 상세히 설명한다. 그리고 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다.
본 발명의 실시 예는 인터넷 환경에서 보안 이웃 탐색시 필요로 하는 디지털 서명의 수를 줄여서 계산의 효율을 향상시키는 보안 이웃 탐색 방법이다. 본 발명의 설명에 앞서 본 발명에서는 디지털 서명을 포함하는 메시지를 서명된 메시지라 칭한다.
그러면 먼저 본 발명의 실시 예에 따른 보안 이웃 탐색 방법 중에서 주소 해석할 때 디지털 서명을 줄이면서도 보안이 가능하도록 하는 보안 이웃 탐색 방법부터 알아보고자 한다.
주소 해석 기능은 상대측 호스트의 IP 주소를 알고 있는 상태에서 이에 대응되는 MAC 주소를 얻기 위해 수행하는 기능으로, 요청하는 노드는 NS(Neighbor Solicitation) 메시지의 Target Address 필드에 IP 주소를 설정하여 전송하고 응답하는 노드는 NA(Neighbor Advertisement) 메시지의 Target link-layer address 옵션에 해당 MAC 주소를 담아 전송한다.
기존의 보안 이웃 탐색에서는 이웃 탐색 메시지를 서명하여 디지털 서명을 포함시켜 보내면, 수신측에서는 일차적으로 공개키와 IP 주소 사이의 결합을 검증하여 CGA 주소를 검증한 후, 이차적으로 검증된 공개키를 이용하여 디지털 서명을 검증하여 메시지를 보호했다.
도 2는 본 발명의 일 실시 예에 따른 네트워크의 노드에서 주소해석을 요청하여 주소를 획득하는 보안 이웃 탐색 과정을 도시한 도면이다.
도 2를 참조하면 네트워크의 노드는 200단계에서 주소 해석 이벤트 발생을 감지하면, 202단계로 진행하여 확장 CGA주소를 포함하는 주소 해석 요청 메시지를 생성하여 목표 노드로 송신한다. 확장 CGA주소는 해시 값을 생성할 때 MAC 주소를 포함한 값으로 아래에서 도 3을 참조하여 설명하고자 한다.
도 3은 본 발명의 일 실시 예에 따른 보안 이웃 탐색 프로토콜에서 사용하는 확장 CGA주소의 구조를 도시한 도면이다. 확장 CGA 주소(300)의 처음부터 64bit 까지는 네트워크 프리픽스(Network Prefix)(302)이 값을 설정하고, 그 뒤의 64bit는 노드의 공개 키(Public key), MAC 주소 및, 보조 파라미터(param)를 해시 입력 값으로 하여 얻은 해시 값(304)을 사용하여 생성한다. 즉, 확장 CGA 주소를 생성할 때 추가적으로 MAC 주소를 해시 입력 값으로 넣어 생성하여 MAC 주소와 IP 주소 사이에 결합 시킨다. 결합의 강도는 단방향 해시 함수의 충돌 율에 의해 결정된다.
이후 204단계에서 목표 노드로부터 주소 해석 응답 메시지 수신하면 206단계로 진행하여 주소 해석 응답 메시지에 포함된 MAC 주소와 보조 매개 변수를 확인하고 이를 목표노드의 공개키와 결합하여 해시 값 계산하고, 208단계로 진행하여 주소 해석 응답 메시지에 포함된 목표 노드의 확장 CGA주소에서 해시 값 확인하고, 210단계로 진행하여 계산한 해시 값과 추출한 해시 값 의 동일 여부를 확인한다.
상기 210단계의 확인결과 계산한 해시 값과 추출한 해시 값이 동일하면 노드는 주소 해석 응답 메시지에 악의적인 접근이 없었으므로 판단하고 212단계로 진행하여 주소 해석 응답 메시지에 포함된 MAC 주소를 목표 노드의 MAC 주소로 획득한다.
하지만. 상기 210단계의 확인결과 계산한 해시 값과 추출한 해시 값이 동일하지 않으면 노드는 214단계로 진행하여 주소 해석 응답 메시지를 악의적 노드에 의해 변경된 메시지 또는 오류 메시지로 판단한다.
도 4는 본 발명의 일 실시 예에 따른 네트워크의 노드에서 주소해석을 요청 받는 경우 주소를 제공하는 보안 이웃 탐색 과정을 도시한 도면이다.
도 4를 참조하면 네트워크의 노드가 400단계에서 목표 노드로서 주소 해석 요청 메시지를 수신하면 402단계로 진행하여 주소 해석 요청 메시지에 포함된 MAC 주소와 보조 매개 변수를 확인하고 이를 소스 노드의 공개키와 결합하여 해시 값 계산하고, 404단계로 진행하여 주소 해석 요청 메시지에 포함된 소스 노드의 확장 CGA주소에서 해시 값 확인하고, 406단계로 진행하여 계산한 해시 값과 추출한 해시 값의 동일여부를 확인한다.
406단계의 확인결과 계산한 해시 값과 추출한 해시 값이 동일하면, 목표 노드는 주소 해석 응답 메시지에 악의적인 접근이 없었으므로 판단하고 408단계로 진 행하여 자신의 확장 CGA주소와 MAC 주소를 포함하는 주소 해석 응답 메시지를 생성하여 소스 노드로 송신한다.
하지만, 406단계의 확인결과 계산한 해시 값과 추출한 해시 값이 동일하지 않으면, 목표 노드는 410단계로 진행하여 주소 해석 요청 메시지를 악의적 노드에 의해 변경된 메시지 또는 오류 메시지로 판단한다.
도 2와 도 4에서 표현된 주소 해석 요청 메시지와 주소 해석 응답 메시지는 확장 CGA주소를 사용하는 것을 제외하고, 다른 부분은 주소 해석 요청 메시지는 ICMPv6(Internet Control Message Protocol version 6) 프로토콜에서 정의하는 NS(Neighbor Solicitation) 메시지의 형태로 구성할 수 있으며, 주소 해석 응답 메시지는 ICMPv6 프로토콜에서 정의하는 NA(Neighbor Advertisement) 메시지의 형태로 구성할 수 있다.
다음으로 보안 이웃 탐색에서 중복 주소 탐지 기능이란 임시(tentative) 주소를 스스로 생성한 후 사용하기 전에 네트워크에서 이미 사용 중인 노드가 있는지 확인 검증하기 위해 수행하는 기능이다. 기존의 보안 이웃 탐색에서는 중복 주소 탐지 과정 또한 앞에서 살펴본 주소 해석 과정에서 설명한 바와 같이 모든 송수신 메시지에 디지털 서명을 포함하여 악의적인 접근으로부터 메시지를 보호한다.
그러면 본 발명의 실시 예에 따른 보안 이웃 탐색에서 중복 주소 탐지를 아래 도 5와 도 6을 참조하여 설명하고자 한다.
도 5는 본 발명의 일 실시 예에 따른 네트워크의 노드에서 중복 주소 탐지 를 요청하여 주소의 중복 여부를 확인하는 보안 이웃 탐색 과정을 도시한 도면이다. 도 5를 참조하면 네트워크의 노드는 500단계에서 임시 주소 생성하고, 502단계로 진행하여 임시 주소를 포함하는 중복 주소 탐지 메시지를 생성하여 생성한 임시 주소로 송신한다.
상기 502단계 이후 네트워크의 노드는 504단계에서 생성한 임시 주소와 동일한 임시 주소의 중복을 탐지하는 중복 주소 탐지 메시지를 다른 노드로부터 수신하면 506단계로 진행하여 중복 주소 탐지 메시지를 송신한 다른 노드로 서명된 중복 주소 응답 메시지를 생성하여 송신하고, 514단계로 진행하여 생성한 임시 주소를 상기 노드의 주소로 사용한다.
상기 502단계 이후 네트워크의 노드는 508단계에서 서명된 중복 주소 응답 메시지 수신하면, 510단계로 진행하여 서명된 중복 주소 응답 메시지에 포함된 디지털 서명을 확인하여 악의적인 접근이 없는 정당한 노드로부터 송신된 중복 주소 응답 메시지인지 확인한다. 510단계의 확인결과 정당한 노드로부터 송신된 중복 주소 응답 메시지이면, 네트워크의 노드는 500단계로 돌아가 일련의 과정을 다시 수행한다.
하지만 510단계의 확인결과 정당한 노드로부터 송신된 중복 주소 응답 메시지가 아니면 네트워크의 노드는 512단계로 진행하여 악의적 노드에 의해 변경된 메시지 또는 오류 메시지로 판단하고, 514단계로 진행하여 생성한 임시 주소를 상기 노드의 주소로 사용한다.
상기 502단계 이후 네트워크의 노드는 기설정 시간 동안에 상기 504단계에 서 중복 주소 탐지 메시지를 수신하지 않고, 상기 508단계에서 서명된 중복 주소 응답 메시지를 수신하지도 않으면 중복 주소를 사용하는 노드가 없다고 판단하고 514단계로 진행하여 생성한 임시 주소를 상기 노드의 주소로 사용한다.
도 6은 본 발명의 일 실시 예에 따른 네트워크의 노드에서 중복 주소 탐지를 요청받으면 주소의 중복 여부를 응답하는 보안 이웃 탐색 과정을 도시한 도면이다.
도 6을 참조하면 네트워크의 노드는 600단계에서 중복 주소 탐지 메시지를 수신하면, 602단계로 진행하여 중복 주소 탐지 메시지에 포함된 탐지하고자 하는 주소 확인하고, 604단계로 진행하여 탐지하는 주소와 사용중인 주소가 동일한지 여부를 확인한다.
상기 604단계의 확인결과 탐지하는 주소가 사용중인 주소와 동일하면 네트워트 노드는 606단계로 진행하여 중복 주소 탐지 메시지를 송신한 노드로 서명된 중복 주소 응답 메시지를 생성하여 송신한다.
상기 604단계의 확인결과 탐지하는 주소가 사용중인 주소와 동일하지 않으면 네트워트 노드는 본 발명의 실시 예에 따른 알고리즘을 종료한다.
도 5와 도 6에서 표현된 중복 주소 탐지 메시지는 ICMPv6 프로토콜에서 정의하는 NS(Neighbor Solicitation) 메시지의 형태로 구성할 수 있으며, 중복 주소 응답 메시지는 ICMPv6 프로토콜에서 정의하는 NA(Neighbor Advertisement) 메시지의 형태로 구성할 수 있다.
도 5와 도 6에서 상술한 바와 같이 본 발명에 실시 예에 따른 중복 주소 탐지는 중복 주소 탐지 메시지를 디지털 서명하지 않은 평문 형태로 전송하도록 하여 가용성 측면에서의 성능 개선을 이루었으며, 기존의 보안 이웃 탐색이 제공하는 보안 수준과 비슷한 보안 수준을 제공한다.
라우터 탐색 기능은 호스트 측에서 RS(Router Solicitation) 메시지를 전송하여 라우터로부터 RA(Router Advertisement) 메시지를 수신 받아 네트워크 프리픽스와 같은 정보를 얻을 때 사용하는 기능으로, 라우터는 호스트의 빠른 주소 자동 설정 또는 주소 재지정(Address Renumbering)과 같은 편리함을 제공하기 위해 주기적으로 RA 메시지를 전송하기도 한다.
기존의 보안 이웃 탐색에서는 라우터 탐색 과정 또한 앞에서 살펴본 주소 해석 과정에서 설명한 바와 같이 설명한 바와 같이 모든 송수신 메시지에 디지털 서명을 포함하여 악의적인 접근으로부터 메시지를 보호한다.
그러면 본 발명의 실시 예에 따른 보안 이웃 탐색에서 중복 주소 탐지를 아래 도 7과 도 8을 참조하여 설명하고자 한다.
도 7은 본 발명의 일 실시 예에 따른 네트워크의 노드에서 라우터를 탐색할 때 라우터로 광고정보를 요청하고 획득하는 보안 이웃 탐색 과정을 도시한 도면이다.
도 7을 참조하면 네트워크의 노드는 700단계에서 라우터 탐색 이벤트의 발생을 감지하면, 702단계로 진행하여 서명된 라우터 탐색 메시지 생성하여 라우터로 송신한다.
702단계 이후 네트워크의 노드는 704단계로 진행하여 정당한 라우터로부터 서명된 라우터 응답 메시지 수신하면, 706단계로 진행하여 라우터 응답 메시지에 포함된 광고정보를 가장 최근 광고정보로 갱신하여 저장한다.
706단계 이후 네트워크의 노드는 708단계에서 라우터로부터 라우터 응답 메시지 수신하면 710단계로 진행하여 라우터 응답 메시지에 정당한 라우터의 디지털 서명이 포함되어 있는지 확인한다. 확인결과 디지털 서명을 포함하고 있으면 706단계로 진행하여 라우터 응답 메시지에 포함된 광고정보를 가장 최근 광고정보로 갱신하여 저장하고 이후 일련의 과정을 다시 수행한다.
하지만, 710단계의 확인결과 디지털 서명을 포함하고 있지 않으면 712단계로 진행하여 라우터 응답 메시지의 광고정보가 저장된 최근 광고정보와 동일한지 여부를 확인한다. 712단계의 확인결과 라우터 응답 메시지의 광고정보와 저장된 최근 광고정보가 동일하면 708단계로 진행하여 라우터에서 일정주기로 송신하는 라우터 응답 메시지를 수신하고 이후 일련의 과정을 수행한다.
하지만 712단계의 확인결과 라우터 응답 메시지의 광고정보와 저장된 최근 광고정보가 동일하지 않으면, 네트워크의 노드는 악의적인 노드로부터의 보안을 위해 714단계로 진행하여 서명된 라우터 탐색 메시지를 생성하여 라우터로 송신하고, 708단계로 돌아간다.
도 8은 본 발명의 일 실시 예에 따른 네트워크의 라우터에서 라우터 탐색을 요청 받으면 광고정보를 제공하는 보안 이웃 탐색 과정을 도시한 도면이다.
도 8을 참조하면 라우터는 800단계에서 서명된 라우터 탐색 메시지 수신하면, 802단계로 진행하여 서명된 라우터 응답 메시지를 생성하여 서명된 라우터 탐색 메시지를 송신한 노드로 송신하고 804단계로 진행하여 서명된 라우터 응답 메시지의 광고정보를 최근 광고정보로 저장한다.
이후, 라우터는 806단계로 진행하여 주기적인 라우터 응답 메시지 전송시간인지 여부를 확인한다. 확인결과 주기적인 라우터 응답 메시지 전송시간이면 라우터는 808단계로 진행하여 전송할 라우터 응답 메시지의 광고정보와 가장 최근 전송한 라우터 응답 메시지의 광고정보가 동일한지 여부를 확인한다.
808단계의 확인결과 전송할 라우터 응답 메시지의 광고정보와 가장 최근 전송한 라우터 응답 메시지의 광고정보가 동일하지 않으면 라우터는 810단계로 진행하여 최근 광고정보를 진행하여 전송할 라우터 응답 메시지의 광고정보로 갱신하여 저장하고 812단계로 진행하여 서명된 라우터 응답 메시지를 생성하여 네트워크 노드로 송신한다.
808단계의 확인결과 전송할 라우터 응답 메시지의 광고정보와 가장 최근 전송한 라우터 응답 메시지의 광고정보가 동일하면 라우터는 814단계로 진행하여 라우터 응답 메시지를 생성하여 네트워크 노드로 송신한다.
도 7과 도 8에서 표현된 라우터 탐색 메시지는 ICMPv6 프로토콜에서 정의하는 RS(Router Solicitation) 메시지의 형태로 구성할 수 있으며, 라우터 응답 메시지는 ICMPv6 프로토콜에서 정의하는 RA(Router Advertisement) 메시지의 형태로 구 성할 수 있다.
인터넷 환경에서 보안 이웃 탐색 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
이상과 같이 본 발명은 비록 한정된 실시예와 도면에 의해 설명되었으나, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다.
그러므로, 본 발명의 범위는 설명된 실시예에 국한되어 정해져서는 아니 되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.
도 1은 종래 기술에 따른 보안 이웃 탐색 프로토콜에서 사용하는 CGA주소의 구조를 도시한 도면,
도 2는 본 발명의 일 실시 예에 따른 네트워크의 노드에서 주소해석을 요청하여 주소를 획득하는 보안 이웃 탐색 과정을 도시한 도면,
도 3은 본 발명의 일 실시 예에 따른 보안 이웃 탐색 프로토콜에서 사용하는 확장 CGA주소의 구조를 도시한 도면,
도 4는 본 발명의 일 실시 예에 따른 네트워크의 노드에서 주소해석을 요청 받는 경우 주소를 제공하는 보안 이웃 탐색 과정을 도시한 도면,
도 5는 본 발명의 일 실시 예에 따른 네트워크의 노드에서 중복 주소 탐지를 요청하여 주소의 중복 여부를 확인하는 보안 이웃 탐색 과정을 도시한 도면,
도 6은 본 발명의 일 실시 예에 따른 네트워크의 노드에서 중복 주소 탐지를 요청 받으면 주소의 중복 여부를 응답하는 보안 이웃 탐색 과정을 도시한 도면,
도 7은 본 발명의 일 실시 예에 따른 네트워크의 노드에서 라우터를 탐색할 때 라우터로 광고정보를 요청하고 획득하는 보안 이웃 탐색 과정을 도시한 도면 및,
도 8은 본 발명의 일 실시 예에 따른 네트워크의 라우터에서 라우터 탐색을 요청 받으면 광고정보를 제공하는 보안 이웃 탐색 과정을 도시한 도면이다.
Claims (17)
- 확장 암호화 주소(Modified CGA: Modified Cryptographically Generated Addresses)를 포함하는 주소 해석 요청 메시지를 생성하여 목표 노드로 송신하는 단계;상기 목표 노드로부터 주소 해석 응답 메시지 수신하는 단계;상기 주소 해석 응답 메시지에 포함된 MAC 주소와 보조 매개 변수를 확인하고, 상기 MAC 주소와 상기 보조 매개 변수와 상기 목표노드의 공개키를 결합하여 해시 값 계산하는 단계;상기 주소 해석 응답 메시지에 포함된 상기 목표 노드의 확장 암호화 주소 에서 해시 값을 추출하는 단계; 및상기 계산한 해시 값과 상기 추출한 해시 값을 비교하여 동일하면 상기 주소 해석 응답 메시지에 포함된 상기 MAC 주소를 상기 목표 노드의 MAC 주소로 획득하는 단계를 포함함을 특징으로 하는 네트워크 노드의 보안 이웃 탐색 방법.
- 제1항에 있어서,상기 계산한 해시 값과 상기 추출한 해시 값을 비교하여 동일하지 않으면, 상기 주소 해석 응답 메시지를 악의적 노드에 의해 변경된 메시지 또는 오류 메시지로 판단하는 단계를 더 포함함을 특징으로 하는 네트워크 노드의 보안 이웃 탐색 방법.
- 제1항에 있어서, 상기 확장 암호화 주소는,공개 키(Public key), MAC 주소 및, 보조 파라미터(param)를 해시 입력 값으로 하여 얻은 해시 값과 네트워크 프리픽스(Network Prefix)를 포함하여 구성함을 특징으로 하는 네트워크 노드의 보안 이웃 탐색 방법.
- 소스 노드의 확장 암호화 주소(Modified CGA: Modified Cryptographically Generated Addresses)를 포함하는 주소 해석 요청 메시지를 수신하는 단계;상기 주소 해석 요청 메시지에 포함된 MAC 주소와 보조 매개 변수를 확인하고, 상기 MAC 주소와 상기 보조 매개 변수와 상기 소스 노드의 공개키를 결합하여 해시 값을 계산하는 단계;상기 소스 노드의 확장 암호화 주소에서 해시 값 추출하는 단계; 및상기 계산한 해시 값과 상기 추출한 해시 값의 동일하면 자신의 확장 암호화 주소와 MAC 주소를 포함하는 주소 해석 응답 메시지를 생성하여 상기 소스 노드로 송신하는 단계를 포함함을 특징으로 하는 네트워크 노드의 보안 이웃 탐색 방법.
- 제4항에 있어서,상기 계산한 해시 값과 상기 추출한 해시 값을 비교하여 동일하지 않으면, 상기 주소 해석 요청 메시지를 악의적 노드에 의해 변경된 메시지 또는 오류 메시지로 판단하는 단계를 더 포함함을 특징으로 하는 네트워크 노드의 보안 이웃 탐색 방법.
- 제4항에 있어서, 상기 확장 암호화 주소는,공개 키(Public key), MAC 주소 및, 보조 파라미터(param)를 해시 입력 값으로 하여 얻은 해시 값과 네트워크 프리픽스(Network Prefix)를 포함하여 구성함을 특징으로 하는 네트워크 노드의 보안 이웃 탐색 방법.
- 임시(tentative) 주소를 생성하는 단계;상기 임시 주소를 포함하는 중복 주소 탐지 메시지를 디지털 서명하지 않고 상기 임시 주소로 송신하는 단계;서명된 중복 주소 응답 메시지의 수신 여부를 확인하는 단계;상기 서명된 중복 주소 응답 메시지를 수신하면 포함된 디지털 서명을 확인하여 악의적인 접근 여부를 확인하는 단계; 및확인결과 악의적인 접근이 없었으면 중복으로 판단하는 단계를 포함함을 특징으로 하는 네트워크 노드의 보안 이웃 탐색 방법.
- 제7항에 있어서,확인결과 악의적인 접근이 존재하면 생성한 상기 임시 주소를 상기 네트워크 노드의 주소로 사용하는 단계를 더 포함함을 특징으로 하는 네트워크 노드의 보안 이웃 탐색 방법.
- 제7항에 있어서, 기설정 시간 내에 상기 서명된 중복 주소 응답 메시지 또는 다른 노드로부터의 동일한 임시 주소에 대한 중복 주소 탐지 메시지를 수신하지 않으면 생성한 상기 임시 주소를 상기 네트워크 노드의 주소로 사용하는 단계를 더 포함함을 특징으로 하는 네트워크 노드의 보안 이웃 탐색 방법.
- 제7항에 있어서, 다른 노드로부터의 동일한 임시 주소에 대한 중복 주소 탐지 메시지를 수신하면 상기 다른 노드로 서명된 중복 주소 응답 메시지를 생성하여 송신하는 단계를 더 포함함을 특징으로 하는 네트워크 노드의 보안 이웃 탐색 방법.
- 임시(tentative) 주소를 포함하고 디지털 서명되지 않은 중복 주소 탐지 메시지를 수신하는 단계;상기 중복 주소 탐지 메시지에 포함된 상기 임시 주소가 사용중인 주소와 동일한지 여부를 확인하는 단계; 및확인결과 동일하면 상기 중복 주소 탐지 메시지를 송신한 노드로 서명된 중복 주소 응답 메시지를 생성하여 송신하는 단계를 포함함을 특징으로 하는 네트워크 노드의 보안 이웃 탐색 방법.
- 디지털 서명을 포함하는 서명된 라우터 탐색 메시지를 생성하여 라우터로 송신하는 단계;상기 라우터로부터 서명된 라우터 응답 메시지 수신하는 단계;상기 서명된 라우터 응답 메시지에 포함된 광고정보를 가장 최근 광고정보로 갱신하여 저장하는 단계; 및디지털 서명을 포함하지 않은 라우터 응답 메시지를 수신하면 상기 라우터 응답 메시지에 포함된 광고 정보와 저장된 상기 최근 광고정보가 동일한지 확인하는 단계를 포함함을 특징으로 하는 네트워크 노드의 보안 이웃 탐색 방법.
- 제12항에 있어서, 확인결과 상기 라우터 응답 메시지에 포함된 광고 정보와 저장된 최근 광고정보가 동일하지 않으면 상기 서명된 라우터 탐색 메시지를 생성 하여 송신하는 단계를 더 포함함을 특징으로 하는 네트워크 노드의 보안 이웃 탐색 방법.
- 제12항에 있어서, 상기 라우터로부터 서명된 라우터 응답 메시지 수신하면, 상기 서명된 라우터 응답 메시지에 포함된 광고정보를 가장 최근 광고정보로 갱신하여 저장하는 단계를 더 포함함을 특징으로 하는 네트워크 노드의 보안 이웃 탐색 방법.
- 디지털 서명을 포함하는 서명된 라우터 탐색 메시지를 수신하면 서명된 라우터 응답 메시지를 생성하여 상기 서명된 라우터 탐색 메시지를 송신한 노드로 송신하는 단계; 및주기적으로 디지털 서명을 포함하지 않은 라우터 응답 메시지를 송신하는 단계를 포함함을 특징으로 하는 라우터의 보안 이웃 탐색 방법.
- 제15항에 있어서,가장 최근에 송신한 서명된 라우터 응답 메시지에 포함된 광고 정보를 최근 광고 정보로 저장하는 단계; 및상기 디지털 서명을 포함하지 않은 라우터 응답 메시지에 포함된 광고 정보가 상기 최근 광고 정보와 동일하지 않으면, 서명된 라우터 응답 메시지를 생성하여 송신하는 단계를 더 포함함을 특징으로 하는 라우터의 보안 이웃 탐색 방법.
- 제1항 내지 제16항 중 어느 한 항의 방법을 실행하기 위한 프로그램이 기록되어 있는 것을 특징으로 하는 컴퓨터에서 판독 가능한 기록 매체.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020080069553A KR100953068B1 (ko) | 2008-07-17 | 2008-07-17 | 인터넷 환경에서 보안 이웃 탐색 방법 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020080069553A KR100953068B1 (ko) | 2008-07-17 | 2008-07-17 | 인터넷 환경에서 보안 이웃 탐색 방법 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20100008924A KR20100008924A (ko) | 2010-01-27 |
KR100953068B1 true KR100953068B1 (ko) | 2010-04-13 |
Family
ID=41817427
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020080069553A KR100953068B1 (ko) | 2008-07-17 | 2008-07-17 | 인터넷 환경에서 보안 이웃 탐색 방법 |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100953068B1 (ko) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106453049B (zh) * | 2016-10-11 | 2019-06-11 | 福建师范大学 | 一种保护位置隐私的近邻检测方法 |
CN116094779B (zh) * | 2022-12-29 | 2024-04-26 | 天翼云科技有限公司 | 一种IPv6中防ND欺骗的传输方法及装置 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20060030995A (ko) * | 2004-10-07 | 2006-04-12 | 한국전자통신연구원 | 차세대 인터넷에서 자동으로 주소를 생성하고 수락하는방법 및 이를 위한 데이터 구조 |
-
2008
- 2008-07-17 KR KR1020080069553A patent/KR100953068B1/ko not_active IP Right Cessation
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20060030995A (ko) * | 2004-10-07 | 2006-04-12 | 한국전자통신연구원 | 차세대 인터넷에서 자동으로 주소를 생성하고 수락하는방법 및 이를 위한 데이터 구조 |
Non-Patent Citations (1)
Title |
---|
:‘Wireless Mesh Networks의 보안 강화’, 한국정보과학회:학술대회논문집, 한국정보과학회 2006년도 가을 학술발표논문집 Vol.33 No.2 (C), 2006년, pp.629-632.* |
Also Published As
Publication number | Publication date |
---|---|
KR20100008924A (ko) | 2010-01-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9088415B2 (en) | Authentication of cache DNS server responses | |
US8266427B2 (en) | Secure mobile IPv6 registration | |
US7624264B2 (en) | Using time to determine a hash extension | |
Alicherry et al. | Doublecheck: Multi-path verification against man-in-the-middle attacks | |
US20070260884A1 (en) | Method and apparatus for address creation and validation | |
US9438583B2 (en) | Certificate generation method, certificate generation apparatus, information processing apparatus, and communication device | |
EP2259542B1 (en) | Method, apparatus and system for processing dynamic host configuration protocol message | |
JP2004030610A (ja) | Pnrpセキュリティ・インフラストラクチャおよび方法 | |
JP2009503916A (ja) | マルチ鍵暗号化生成アドレス | |
US20110004766A1 (en) | Ip address delegation | |
US8737616B2 (en) | Method and apparatus for identifying CGA public key, and method, apparatus, and system for determining CGA public key | |
US11924043B2 (en) | Establishing trust relationships of IPv6 neighbors using attestation-based methods in IPv6 neighbor discovery | |
JP2014138380A (ja) | 車両不正状態検出方法、車載システムにおける制御方法、およびシステム | |
WO2014116152A1 (en) | Communication apparatus, control method thereof, computer program thereof, relaying apparatus, control method thereof, computer program thereof | |
JP2004166002A (ja) | 通信装置、境界ルータ装置、サーバ装置、通信システム、通信方法、ルーティング方法、通信プログラム及びルーティングプログラム | |
Tian et al. | Securing ARP/NDP from the ground up | |
Liu et al. | Secure name resolution for identifier-to-locator mappings in the global internet | |
Guangxue et al. | A quick CGA generation method | |
CN110401646B (zh) | IPv6安全邻居发现过渡环境中CGA参数探测方法及装置 | |
Ahmed et al. | Secure neighbor discovery (SeND): Attacks and challenges | |
CN110417758B (zh) | 基于证书请求的安全邻居发现运行模式探测方法 | |
KR100856918B1 (ko) | IPv6 기반 네트워크상에서의 IP 주소 인증 방법 및IPv6 기반 네트워크 시스템 | |
Ahmed et al. | IPv6 cryptographically generated address: Analysis, optimization and protection | |
KR100953068B1 (ko) | 인터넷 환경에서 보안 이웃 탐색 방법 | |
CN101626366B (zh) | 保护代理邻居发现的方法、系统和相关装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20130329 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20140312 Year of fee payment: 5 |
|
LAPS | Lapse due to unpaid annual fee |