KR100960851B1 - 디지털 메시지 전송 장비의 통신 프로토콜에서 인증 처리를위한 인트라넷 프로토콜의 헤더 구조 및 인증 처리 방법 - Google Patents

디지털 메시지 전송 장비의 통신 프로토콜에서 인증 처리를위한 인트라넷 프로토콜의 헤더 구조 및 인증 처리 방법 Download PDF

Info

Publication number
KR100960851B1
KR100960851B1 KR1020090020684A KR20090020684A KR100960851B1 KR 100960851 B1 KR100960851 B1 KR 100960851B1 KR 1020090020684 A KR1020090020684 A KR 1020090020684A KR 20090020684 A KR20090020684 A KR 20090020684A KR 100960851 B1 KR100960851 B1 KR 100960851B1
Authority
KR
South Korea
Prior art keywords
digital signature
intranet
protocol
packet
signature value
Prior art date
Application number
KR1020090020684A
Other languages
English (en)
Inventor
한정준
김승진
안민호
이경규
Original Assignee
주식회사 현대제이콤
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 현대제이콤 filed Critical 주식회사 현대제이콤
Priority to KR1020090020684A priority Critical patent/KR100960851B1/ko
Application granted granted Critical
Publication of KR100960851B1 publication Critical patent/KR100960851B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/161Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/02Topology update or discovery
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

본 발명은 디지털 메시지 전송 장비의 통신 프로토콜에서 인증 처리를 위한 인트라넷 프로토콜의 헤더 구조 및 인증 처리 방법에 관한 것으로, 보다 상세하게는 MIL-STD-188-220 프로토콜에서 네트워크 가입 및 탈퇴 과정과 애드혹 기능을 위한 토폴로지 관리를 허가된 장비만 활용할 수 있도록 인증 기능을 강화한 인증 처리 방법 및 이러한 인증 처리 방법을 수행하기 위하여 인증 기능이 추가된 인트라넷 프로토콜의 헤더 구조에 관한 것이다.
본 발명에서와 같이, 네트워크 가입 및 탈퇴 과정과 애드혹 기능을 위한 토폴로지 관리와 같이 중요한 메시지의 송수신 시, 인트라넷 헤더에 디지털 서명값을 기록하여 패킷을 송수신하게 되면, 허가되지 않은 장비의 접근을 제한할 수 있게 되어, 정보 보호를 한층 강화할 있는 효과를 얻을 수 있다.
또한, 본 발명에서와 같이 상기 버전 넘버 필드의 일부를 상기 인증 필드로 사용하게 되면, 인트라넷 헤더 전체를 생성하지 않더라도, 인증 기능 사용여부를 판단할 수 있는 효과를 얻을 수 있게 된다.
디지털 서명값, 인트라넷 헤더, 디지털 메시지 전송 장비, 개인키, 공개키

Description

디지털 메시지 전송 장비의 통신 프로토콜에서 인증 처리를 위한 인트라넷 프로토콜의 헤더 구조 및 인증 처리 방법 {Intranet protocol header structure and method for processing authentication in communication protocol of digital message transfer devices}
본 발명은 디지털 메시지 전송 장비의 통신 프로토콜에서 인증 처리를 위한 인트라넷 프로토콜의 헤더 구조 및 인증 처리 방법에 관한 것으로, 보다 상세하게는 MIL-STD-188-220 프로토콜에서 네트워크 가입 및 탈퇴 과정과 애드혹 기능을 위한 토폴로지 관리를 허가된 장비만 활용할 수 있도록 인증 기능을 강화한 인증 처리 방법 및 이러한 인증 처리 방법을 수행하기 위하여 인증 기능이 추가된 인트라넷 프로토콜의 헤더 구조에 관한 것이다.
FM 무전기를 사용하는 디지털 메시지 전송장비(DMTD:Digital Message Transfer Devices)의 통신 프로토콜에는 MIL-STD-188-220이 있는데, 이 프로토콜은 데이터 링크 상에서 점대점(P2P), 점대다(P2M), 중계(Relay), 브로드캐스트(Broadcast) 통신을 할 수 있기 때문에, 미래 네트워크 전장 중심전을 수행하면서 실시간으로 전술 정보를 교환할 수 있어 무기체계의 승수 효과를 상승시킬 수 있고, 정보 우위 달성에 핵심적인 역할을 담당한다. 이 프로토콜은 현재 흑표 전차 및 차기 보병 장갑차, 위치 보고 접속 장치 등에 적용되고 있다.
도 1을 참고로 종래 기술에 따른 MIL-STD-188-220 프로토콜에서 네트워크 가입 절차를 개략적으로 살펴본다. 네트워크는 네트워크 가입자(10), 네트워크 관리자(20)와 기존 네트워크 가입자(30)로 구성되는데, 네트워크 관리자(20)는 네트워크 가입자(10) 또는 기존 네트워크 가입자(30)에 주소를 부여하고, 가입자(10, 30)의 파라미터를 관리하는 등 가입자(10, 30)의 네트워크 가입/탈퇴를 제어하며 가입자(10, 30)들 사이 또는 가입자(10, 30)와 네트워크 관리자(20) 사이에서 송수신되는 데이터를 제어하는 노드를 의미한다. 한편, 네트워크 가입자(10)는 네트워크에 가입하여 네트워크 관리자(20) 또는 기존 네트워크 가입자(30)와 데이터를 송수신할 수 있는 노드를 의미한다.
우선, 네트워크 가입자(10)는 네트워크에 가입 요청하기 위한 XNP 메시지를 네트워크 관리자(20)로 전송한다(S10). 그러면, 네트워크 관리자(20)는 수신된 XNP 메시지에 구비되어 있는 네트워크 가입자(10)의 파라미터 값과 파라미터 값의 유효성(Validation)을 점검한다(S20). 네트워크 관리자(20)는 점검 결과에 따라 가입 허락 메시지나 가입 거절 메시지를 네트워크 가입자(10)에게 전송한다. 이때, 가입 허락할 경우, 기존 파라미터와 다른 경우, 기존 네트워크 가입자(30)에게 파라미터 업데이트 메시지를 전송할 수 있다(S40). 네트워크 가입자(10)가 가입 허락 메시지를 수신하면, 네트워크 가입 메시지를 기존 네트워크 가입자(30)에 전송하여, 네트워크 참여를 알린다(S50).
네트워크 탈퇴 과정이나 애드혹 기능을 위한 토폴로지 관리 과정 역시 위에서 살펴본 방식대로 별도의 인증 과정 없이 토폴로지 메시지를 네트워크 가입자(10), 네트워크 관리자(20) 또는 기존 네트워크 가입자(30) 사이에서 전송하고 수신하여 수행한다. 이와 같이 다수의 노드간에 패킷 교환 시 별도의 인증 과정을 수행하지 않게 되면, 허가되지 않은 장비가 네트워크에 접근할 수 있고, 네트워크를 통하여 교환되는 전술 정보 등이 허가되지 않은 장비로 전송되는 문제점이 발생하게 된다.
본 발명은 상술한 종래의 문제점을 극복하기 위한 것으로서, 본 발명이 해결하고자 하는 과제는 디지털 메시지 전송 장비의 통신 프로토콜의 네트워크 계층에서 인트라넷 프로토콜을 중심으로 송수신되는 메시지들 중 XNP 메시지, 토폴로지(Topology) 메시지 등과 같이 중요한 메시지의 교환 시 디지털 서명값을 이용하여 송신 노드와 수신 노드 사이의 인증성을 강화할 수 있는, 디지털 메시지 전송 장비의 통신 프로토콜에서 인증 처리를 위한 인트라넷 프로토콜의 헤더 구조 및 인증 처리 방법을 제공하기 위한 것이다.
본 발명의 예시적인 일 실시예에 따르면, 디지털 메시지 전송 장비의 통신 프로토콜에서 인증 처리를 위한 인트라넷 프로토콜의 헤더 구조로서, 상기 인트라넷 프로토콜의 버전을 표시하는 버전 넘버 필드; 인증 기능 사용 여부를 표시하는 인증 필드; 및 디지털 서명값이 기록되는 인증 데이터 필드를 포함하는 디지털 메 시지 전송 장비의 통신 프로토콜에서 인증 처리를 위한 인트라넷 프로토콜의 헤더 구조가 제공된다.
상기 버전 넘버 필드의 일부를 상기 인증 필드로 사용하는 것을 특징으로 한다.
상기 디지털 메시지 전송 장비의 통신 프로토콜은 MIL-STD-188-220 프로토콜인 것을 특징으로 한다.
상기 인트라넷 프로토콜의 헤더 구조는 메시지의 종류를 표시하는 메시지 타입 필드; 상기 인트라넷 프로토콜의 헤더 길이를 표시하는 인트라넷 헤더 길이 필드; 서비스 종류를 표시하는 서비스 타입 필드; 예비 사용을 위한 스패어 필드; 메시지 ID를 표시하는 메시지 ID 넘버 필드; 최대 홉 카운트를 표시하는 최대 홉 카운트 필드; 원본 노드 주소를 표시하는 오리지네이터 어드레스 필드; 목적지 및 중계 노드의 상태를 표시하는 목적지/중계 상태 필드; 및 목적지 및 중계 노드의 주소를 표시하는 목적지/중계 주소 필드를 더 포함한다.
본 발명의 예시적인 다른 실시예에 따르면, 디지털 메시지 전송 장비의 통신 프로토콜에서 인증 처리 방법으로서, 다수의 노드가 인증 기관으로부터 인증 처리에 필요한 개인키와 공개키를 부여 받는 단계; 상기 다수의 노드 중 송신 노드가 패킷 전송 시, 디지털 서명값을 생성하여, 상기 생성된 디지털 서명값을 인트라넷 헤더에 기록하는 단계; 상기 송신 노드가 상기 디지털 서명값을 포함한 패킷을 수신 노드로 전송하는 단계; 상기 수신 노드가 상기 송신 노드로부터 수신한 패킷의 디지털 서명값을 확인하는 단계 및 확인 결과, 상기 패킷이 인증된 송신 노드로부 터 전송된 경우에는 상기 패킷의 내용대로 처리하며, 만약 상기 패킷이 인증되지 않은 송신 노드로부터 전송된 경우에는 상기 패킷을 폐기하는 단계를 포함하는 디지털 메시지 전송 장비의 통신 프로토콜에서 인증 처리 방법이 제공된다.
상기 디지털 메시지 전송 장비의 통신 프로토콜은 MIL-STD-188-220 프로토콜이다.
상기 패킷은 인트라넷 프로토콜 헤더를 사용하는 XNP 메시지, 토폴로지 업데이트 메시지 및 토폴로지 요청 메시지 중 어느 하나를 포함한다.
상기 디지털 서명값을 생성하여, 상기 생성된 디지털 서명값을 인트라넷 헤더에 기록하는 단계는 디지털 서명값을 구할 랜덤값을 도출하는 단계; 상기 패킷에 대한 해쉬값을 계산하는 단계; 상기 랜덤값, 해쉬값 및 개인키를 이용하여 디지털 서명값을 생성하는 단계; 및 상기 생성된 디지털 서명값을 상기 인트라넷 헤더의 인증 데이터 필드에 기록하는 단계를 포함한다.
상기 수신 노드가 상기 송신 노드로부터 수신한 패킷의 디지털 서명값을 확인하는 단계는 상기 수신한 패킷에서 디지털 서명값을 분리하는 단계; 상기 디지털 서명값을 분리한 패킷을 해쉬함수를 이용하여 해쉬값을 생성하는 단계; 상기 생성한 해쉬값과 수신 노드의 공개키로 확인값을 생성하는 단계; 및 상기 분리한 디지털 서명값과 상기 생성한 확인값의 일치 여부를 비교하는 단계를 포함한다.
본 발명에서와 같이, 네트워크 가입 및 탈퇴 과정과 애드혹 기능을 위한 토폴로지 관리와 같이 중요한 메시지의 송수신 시, 인트라넷 헤더에 디지털 서명값을 기록하여 패킷을 송수신하게 되면, 허가되지 않은 장비의 접근을 제한할 수 있게 되어, 정보 보호를 한층 강화할 있는 효과를 얻을 수 있다.
또한, 본 발명에서와 같이 상기 버전 넘버 필드의 일부를 상기 인증 필드로 사용하게 되면 인트라넷 헤더가 모두 구성되는 유니캐스트 패킷 전송과 달리 인트라넷 헤더 앞부분 3Bytes만 구성되는 멀티캐스트로 패킷 전송시에도 버전넘버가 포함되기 때문에, 인증 기능 사용여부를 판단할 수 있게 된다.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예에 대해 상세히 설명한다.
도 2는 본 발명에 이용되는 디지털 메시지 전송 장비의 통신 프로토콜 중 MIL-STD-188-220 프로토콜 스택 구조의 개략 구성도가 도시되어 있다.
도 2를 참조하면, MIL-STD-188-220 프로토콜의 스택은 물리 계층, 데이터링크 계층, 네트워크 계층으로 이루어져 있으며, 네트워크 계층은 일반 통신 프로토콜과 다르게 데이터링크 계층과 인터넷 프로토콜 사이에 인트라넷 프로토콜이 존재한다. 인트라넷 프로토콜의 헤더는 접속 정보 및 토폴로지 정보를 교환하는 기능을 갖고 있으며, 송신자와 동일 선망에 존재하는 다수 수신자의 라우팅 정보를 패킷에 지정해 주는 기능이 있어, 패킷이 중계를 통해 원하는 다수 목적지에 도달할 수 있게 한다. 본 발명에 따른 인트라넷 프로토콜의 헤더 구조는 이하의 도 4a 및 도 4b를 참조하여 상세히 상술한다.
네트워크 계층에서는 이러한 인트라넷 프로토콜(Intranet Protocol)을 중심 으로 인트라넷 승인 메시지(Intranet Acknowledgement), XNP 메시지, 토폴로지(Topology) 메시지, ARP 메시지, IP 메시지 등과 같은 다양한 메시지들이 송수신 된다. 여기서 XNP 메시지는 최초 네트워크 가입과 탈퇴 및 가입자의 각종 파라미터값 교환 시 사용되는 메시지이며, 토폴로지 메시지는 애드혹(Ad-Hoc) 기능과 관련한 메시지로서, 네트워크 상태를 전송하는 토폴로지 업데이트 메시지와 네트워크 상태를 요청하는 토폴로지 요청 메시지로 구성된다.
도 3은 본 발명에 따른 MIL-STD-188-220 프로토콜에서 송신 노드와 수신 노드 간의 패킷 교환 시 인증 처리 절차를 나타낸 도이다.
도 3을 참조하면, 네트워크는 다수의 노드로 구성되며, 본 실시예에서 패킷을 전송하는 노드는 송신 노드라 하고, 패킷을 수신하는 노드는 수신 노드라 칭한다.
우선, 송신 노드(200)와 수신 노드(300)는 인증 기관(100)을 통하여 인증 처리 절차에 사용되는 개인키와 공개키를 부여 받는 과정을 수행한다(S110, S120).
송신 노드(200)는 패킷 전송 시, 부여 받은 송신 노드(200)의 개인키를 이용하여 디지털 서명값을 생성하고(S130), 생성한 디지털 서명값을 인트라넷 헤더에 기록하는 과정을 수행한다(S140). 그리고 나서, 송신 노드(200)는 디지털 서명값을 포함하는 패킷을 수신 노드(300)로 전송하는 과정을 수행한다(S150).
수신 노드(300)는 송신 노드(200)로부터 수신한 패킷의 디지털 서명값을 확인하는 과정을 수행한다(S160). 즉, 수신한 송신 노드(200)의 공개키를 이용하여 수신된 디지털 서명값을 확인함으로써, 수신한 패킷의 무결성을 검증하고, 수신된 패킷이 인증된 송신 노드로부터 전송된 것이 맞는지 확인한다.
확인 결과, 패킷이 인증된 송신 노드로부터 전송된 것이 맞는 경우에는 패킷의 내용대로 처리하며, 만약 패킷이 인증되지 않은 송신 노드로부터 전송된 것으로 판단된 경우에는 패킷을 폐기하는 과정을 수행한다(S170).
위에서 살펴본 바와 같은 인증 처리 절차는 최초 네트워크 가입과 탈퇴 및 각종 파라미터값 교환 시 사용되는 XNP 메시지를 전송할 때 사용하거나, 또는 네트워크 상태를 전송하는 토폴로지 업데이트 메시지 및 네트워크 상태를 요청하는 토폴로지 요청 메시지를 전송할 때 사용할 수 있다.
도 4a 및 도 4b는 본 발명에 따른 MIL-STD-188-220C와 MIL-STD-188-220D 프로토콜에서 인증 처리 방법을 수행하기 위하여, 인증 기능이 추가된 인트라넷 프로토콜의 헤더 구조를 각각 나타낸 도면이다.
도 4a에는 MIL-STD-188-220C 프로토콜에서 인트라넷 프로토콜의 헤더 구조가 개시되며, 이러한 헤더 구조는 메시지 타입 필드(MESSAGE TYPE), 버전 넘버 필드(VERSION NUMBER), 인트라넷 헤더 길이 필드(INTRANET HEADER LENGTH), 서비스 타입 필드(TYPE OF SERVICE), 메시지 ID 넘버 필드(MESSAGE ID NUMBER), 스패어 필드 (SPARE), 최대 홉 카운트 필드(MAX HOP COUNT), 송신 어드레스 필드(ORIGINATOR ADDRESS), N개의 목적지/중계 상태 필드(DESTINATION/RELAY STATUS BYTE), N개의 목적지/중계 주소 필드(DESTINATION/RELAY ADDRESS), 인증 필드(Auth) 및 인증 데 이터 필드(AUTHENTICATION DATA)로 구성된다.
메시지 타입 필드는 메시지의 종류를 표시하며, 버전 넘버 필드는 인트라넷 프로토콜의 버전을 표시하며, 인트라넷 헤더 길이 필드 인트라넷 프로토콜의 헤더 길이를 표시하고, 서비스 타입 필드는 서비스 종류를 표시한다. 그리고, 메시지 ID 넘버 필드는 메시지 ID를 표시하며, 최대 홉 카운트 필드는 최대 홉 카운트를 표시하고, 송신 어드레스 필드는 송신 노드 주소를 표시하며, 목적지/중계 상태 필드는 목적지 및 중계 노드의 상태를 표시하고, 목적지/중계 주소 필드는 목적지 및 중계 노드의 주소를 표시한다.
또한, 인증 필드는 인증 기능 사용 여부를 표시하며, 본 실시예의 경우 버전 넘버 필드의 일부를 인증 필드로 사용한다. 인증 데이터 필드에는 디지털 서명값이 기록된다.
본 실시예의 경우, 버전 넘버 필드의 최초 1비트를 인증 필드로 사용한다. 이와 같이, 버전 넘버 필드의 일부를 인증 필드로 이용하는 이유는 전송하려는 메시지를 유니캐스트가 아닌 같은 동일한 1홉에 있는 노드들에게 글로벌 멀티캐스트로 전송할 경우, 전체 인트라넷 헤더를 생성하지 않고 인트라넷 헤더의 메시지 타입, 버전 넘버, 인트라넷 헤더길이, 서비스 타입 필드의 3바이트만 생성하여 전송하기 때문이다. 따라서 인증 필드를 스패어 필드 등 다른 위치가 아닌 유니캐스트 전송이나 멀티캐스트 전송에 모두 해당되는 버전 넘버 필드의 최초 1비트에 위치시킨다.
인증 기능 사용이 판단되면, 인트라넷 헤더의 마지막 부분 즉, 인증 데이터 필드에 디지털 서명값을 기록하여, 해당 패킷을 수신 노드로 전송한다. 한편, 인증 기능이 사용되지 않는 경우에는 인증 데이터 필드는 삭제되고, 종래의 MIL-STD-188-220 프로토콜에서 사용되는 XNP 메시지 또는 토폴로지 메시지가 생성된다.
도 4b에는 MIL-STD-188-220D 프로토콜에서 인트라넷 프로토콜의 헤더 구조가 개시된다. 도 4b에 도시된 헤더 구조는 도 4a와 비교하여 프레그먼트 넘버 필드(FRAGMENT NUMBER)와 프레그먼트 토탈 넘버 필드(TOTAL NUMBER OF FRAGMENT)를 더 포함한다는 점이 상이하며, 나머지 구성은 유사하다.
프레그먼트 넘버 필드는 프레그먼트 넘버를 표시하며, 프레그먼트 토탈 넘버 필드는 프레그먼트의 전체 개수를 표시한다.
도 5는 본 발명의 일 실시예에 따라 MIL-STD-188-220 프로토콜에서의 네트워크 가입 절차를 나타낸 도 이다.
도 5를 참조하면, 우선, 네트워크 가입자(400), 네트워크 관리자(500) 및 기존 네트워크 가입자(600)는 인증 기관(100)을 통하여 인증 처리 절차에 사용되는 개인키와 공개키를 부여 받는 과정을 수행한다(S510).
네트워크 가입자(400)는 부여 받은 개인키를 이용하여 디지털 서명값을 생성하고, 생성된 디지털 서명값을 인트라넷 헤더에 기록한다(S520). 그리고 나서, 네트워크 가입자(400)는 디지털 서명값이 기록된 가입 요청 메시지를 네트워크 관리자(500)에게 전송한다(S530).
네트워크 관리자(500)는 수신한 가입 요청 메시지에 포함된 디지털 서명값을 확인하는 과정을 수행한다(S540). 즉, 네트워크 가입자(400)의 공개키를 이용하여 수신된 디지털 서명값을 확인함으로써, 수신한 패킷의 무결성을 검증하고, 수신된 가입 요청 메시지가 네트워크 가입자(100)에게서 전송되어 온 것이 맞는지 확인한다. 확인 결과, 디지털 서명값이 일치하면 다음 단계로 진행하며, 일치하지 않으면 가입 요청 메시지를 폐기한다.
디지털 서명값이 일치한 경우, 네트워크 관리자(500)는 수신된 가입 요청 메시지에서 네트워크 가입자(400)의 파라미터값과 유효성(Validation)을 점검하여, 네트워크 가입자(400)의 가입 허용여부를 판단한다(S550). 네트워크 관리자(500)는 부여 받은 네트워크 가입자(400)의 공개키를 이용하여 디지털 서명값을 생성하고, 생성된 디지털 서명값을 인트라넷 헤더에 기록한다(S560). 그리고 나서, 네트워크 관리자(500)는 디지털 서명값이 기록된 가입 허락 메시지 또는 가입 거절 메시지를 네트워크 가입자(400)에게 전송한다(S570).
네트워크 가입자(400)는 수신한 가입 허락 메시지나 가입 거절 메시지에 포함된 디지털 서명값을 확인하는 과정을 수행한다(S580).
만약, 가입 거절 메시지를 수신한 경우에는 가입 절차는 종료되며, 가입 허락 메시지를 수신한 경우에는 네트워크 가입자(400)는 부여 받은 개인키를 이용하여 디지털 서명값을 생성하고, 생성된 디지털 서명값을 인트라넷 헤더에 기록한다(S590). 그리고 나서, 네트워크 가입자(400)는 기존 네트워크 가입자에게 자신의 네트워크 참여 사실을 알리기 위하여, 디지털 서명값이 기록된 네트워크 가입 메시 지를 기존 네트워크 가입자(600)에게 전송한다(S600). 기존 네트워크 가입자(600)는 네트워크 가입자(400)의 공개키를 이용하여 수신한 네트워크 가입 메시지에 포함된 디지털 서명값을 확인하는 과정을 수행한다(S610).
본 실시예에서는 XNP 메시지를 전송하는 일 예로서 네트워크 가입 절차를 설명하고 있으나, 이외에도 네트워크 탈퇴 및 각종 파라미터값 교환 시에도 XNP 메시지가 사용되며, 이러한 XNP 메시지 전송 시에는 위에서 살펴본 바와 같이 인증 절차를 수행하여 XNP 메시지를 전송하게 된다.
도 6은 본 발명의 다른 실시예에 따른 MIL-STD-188-220 프로토콜에서 네트워크 가입자간의 토폴로지 메시지 전송 과정을 나타낸 도이다.
도 6을 참조하면, 제1 네트워크 가입자(410)는 부여 받은 개인키를 이용하여 디지털 서명값을 생성하고, 생성한 디지털 서명값을 인트라넷 헤더에 기록한다(S610). 그리고 나서, 제1 네트워크 가입자(410)는 디지털 서명값이 기록된 토폴로지 요청 메시지를 제2 네트워크 가입자(420)에게 전송한다(S620).
제2 네트워크 가입자(420)는 수신한 토폴로지 요청 메시지에 포함된 디지털 서명값을 확인하는 과정을 수행한다(S630). 즉, 제1 네트워크 가입자(410)의 공개키를 이용하여 수신된 디지털 서명값을 확인함으로써, 수신한 패킷의 무결성을 검증하고, 수신된 토폴로지 요청 메시지가 제1 네트워크 가입자(410)로부터 전송된 것이 맞는지 확인한다. 확인 결과, 디지털 서명값이 일치하면 토폴로지 업데이트 메시지 전송을 위하여 제1 네트워크 가입자(410)의 공개키로 암호화된 디지털 서명 값을 생성하고, 생성된 디지털 서명값을 인트라넷 헤더에 기록하며, 일치하지 않으면 토폴로지 요청 메시지를 폐기한다(S640). 제2 네트워크 가입자(420)는 디지털 서명값이 기록된 토폴로지 업데이트 메시지를 제1 네트워크 가입자(410)에게 전송한다(S650).
제1 네트워크 가입자(410)는 수신한 토폴로지 업데이트 메시지에 포함된 디지털 서명값을 제1 네트워크 가입자(410)의 개인키로 확인하는 과정을 수행한다(S660).
도 7은 디지털 서명값을 생성하는 과정을 나타낸 흐름도이며, 도 8은 수신된 패킷의 디지털 서명값을 확인하는 과정을 나타낸 흐름도이다.
도 7을 참조하여 디지털 서명값을 생성하는 과정을 살펴보면, 우선 디지털 서명값을 구할 랜덤값(k, R)을 도출하는 과정을 수행한다(S710).
전송할 패킷에 대한 해쉬값을 계산하는 과정을 수행한다(S720). 그리고 나서, 도출된 랜덤값(k, R), 계산된 해쉬값(H(M)) 및 부여 받은 개인키(x)를 이용하여 디지털 서명값(S)을 생성한다(S730).
전송될 디지털 서명값은 하기의 [식 1] 내지 [식 4]를 이용하여 생성한다.
0 < k < q [식 1]
R = (gk mod p)mod q [식 2]
H(M) = SHA1(인트라넷 헤더 + 첨부 메시지) [식 3]
S = k-1 * (H(M) + x*R)mod q [식 4]
디지털 서명에서 사용되는 공개키와 개인키는 통상적으로 DSA_p, DSA_q, DSA_g, DSA_count, DSA_seed의 파라미터로 구성되어 있다. 위의 [식 1] 내지 [식 4]에서 k는 랜덤한 정수값이며, p와 q는 개인키와 공개키의 프라임값(DSA_p)과 서브프라임값(DSA_q)이며, g는 베이스 랜덤값(DSA_g)이고, 2159 < q < 2160 이다. 인트라넷 헤더에 첨부되는 메시지는 XNP 메시지, 토폴로지 업데이트 메시지 및 토폴로지 요청 메시지 중 어느 하나이며, H(M)는 전송할 인트라넷 헤더와 첨부 메시지의 원형 데이터를 SHA1(해쉬 함수)로 계산한 해쉬값이다. 한편, S는 도출한 랜덤값(k, R)과 해쉬값(H(M)) 및 개인키(x)로부터 생성된 디지털 서명값이다.
도 8을 참조하여 수신한 패킷의 디지털 서명값을 확인하는 과정을 살펴보면, 우선 송신 노드로부터 수신한 패킷에서 디지털 서명값을 분리하는 과정을 수행한다(S810). 디지털 서명값이 분리된 패킷의 데이터를 SHA1(해쉬함수)에 넣어 해쉬값(H(M))을 계산하고, 공개키로 (S810)의 계산된 값을 이용하여 확인값(V)을 계산한다(S820). 그리고 나서, 계산한 확인값(S820)과 수신된 디지털 서명값(R')의 일치 여부를 판단한다(S830). 비교 결과, 일치하면 수신된 패킷은 인증된 송신 노드에서 전송한 것으로 판단하며, 일치하지 않은 경우에는 인증되지 않은 송신 노드에서 전송한 패킷으로 판단하여 폐기한다.
디지털 서명값을 확인하는 과정은 하기의 [식 5] 내지 [식 10]을 이용한다.
W = S-1 mod q [식 5]
H(M) = SHA1(인트라넷 헤더 + 첨부된 메시지) [식 6]
A = H(M)W mod q [식 7]
B = RW mod q [식 8]
V = (ga
Figure 112009014719218-pat00001
mod p) mod q [식 9]
V = if(V≡R') return Success [식 10]
여기서, p, q, g, R는 [식 1] 내지 [식 4]에서 사용한 변수 또는 랜덤값이며, Y는 송신 노드의 공개키값이다.
이상에서 설명한 것은 본 발명에 따른 디지털 메시지 전송 장비의 통신 프로토콜에서 인증 처리를 위한 인트라넷 프로토콜의 헤더 구조 및 인증 처리 방법 의 예시적인 실시예에 불과한 것으로서, 본 발명은 상기한 실시예에 한정되지 않고, 이하의 특허청구범위에서 청구하는 바와 같이, 본 발명의 요지를 벗어남이 없이 당해 발명이 속하는 분야에서 통상의 지식을 가진 자라면 누구든지 다양한 변경 실시가 가능한 범위까지 본 발명의 기술적 정신이 있다고 할 것이다.
도 1은 종래 기술에 따른 MIL-STD-188-220 프로토콜에서 네트워크 가입 절차를 개략적으로 나타낸 도이다.
도 2는 본 발명에 이용되는 디지털 메시지 전송 장비의 통신 프로토콜 중 MIL-STD-188-220 프로토콜 스택 구조의 개략 구성도이다.
도 3은 본 발명에 따른 MIL-STD-188-220 프로토콜에서 송신 노드와 수신 노드 간의 패킷 교환 시 인증 처리 절차를 나타낸 도이다.
도 4a 및 도 4b는 본 발명에 따른 MIL-STD-188-220C와 MIL-STD-188-220D 프로토콜에서 인증 처리 방법을 수행하기 위하여, 인증 기능이 추가된 인트라넷 프로토콜의 헤더 구조를 각각 나타낸 도이다.
도 5는 본 발명의 일 실시예에 따라 MIL-STD-188-220 프로토콜에서의 네트워크 가입 절차를 나타낸 도 이다.
도 6은 본 발명의 다른 실시예에 따른 MIL-STD-188-220 프로토콜에서 네트워크 가입자간의 토폴로지 메시지 전송 과정을 나타낸 도이다.
도 7은 디지털 서명값을 생성하는 과정을 나타낸 흐름도이며,
도 8은 수신된 패킷의 디지털 서명값을 확인하는 과정을 나타낸 흐름도이다.
*도면의 주요 부분에 대한 부호의 설명*
100 : 인증 기관
200 : 송신 노드
300 : 수신 노드
400 : 네트워크 가입자
500 : 네트워크 관리자
600 : 기존 네트워크 가입자

Claims (9)

  1. 디지털 메시지 전송 장비의 통신 프로토콜에서 인증 처리를 위한 인트라넷 프로토콜의 헤더 구조에 있어서,
    상기 인트라넷 프로토콜의 버전을 표시하는 버전 넘버 필드;
    인증 기능 사용 여부를 표시하는 인증 필드; 및
    디지털 서명값이 기록되는 인증 데이터 필드를 포함하며,
    상기 버전 넘버 필드의 일부를 상기 인증 필드로 사용하는 것을 특징으로 하는 인트라넷 프로토콜의 헤더 구조.
  2. 삭제
  3. 제1항에 있어서,
    상기 디지털 메시지 전송 장비의 통신 프로토콜은 MIL-STD-188-220 프로토콜인 것을 특징으로 하는 인트라넷 프로토콜의 헤더 구조.
  4. 제3항에 있어서, 상기 인트라넷 프로토콜의 헤더 구조는,
    메시지의 종류를 표시하는 메시지 타입 필드;
    상기 인트라넷 프로토콜의 헤더 길이를 표시하는 인트라넷 헤더 길이 필드;
    서비스 종류를 표시하는 서비스 타입 필드;
    메시지 ID를 표시하는 메시지 ID 넘버 필드;
    예비 사용을 위한 스패어 필드;
    최대 홉 카운트를 표시하는 최대 홉 카운트 필드;
    원본 노드 주소를 표시하는 오리지네이터 어드레스 필드;
    목적지 및 중계 노드의 상태를 표시하는 목적지/중계 상태 필드; 및
    목적지 및 중계 노드의 주소를 표시하는 목적지/중계 주소 필드를 더 포함하는 것을 특징으로 하는 인트라넷 프로토콜의 헤더 구조.
  5. 디지털 메시지 전송 장비의 통신 프로토콜에서 인증 처리 방법에 있어서,
    다수의 노드가 인증 기관으로부터 인증 처리에 필요한 개인키와 공개키를 부여받는 단계;
    상기 다수의 노드 중 송신 노드가 패킷 전송 시, 디지털 서명값을 생성하여, 상기 생성된 디지털 서명값을 인트라넷 헤더에 기록하는 단계;
    상기 송신 노드가 상기 디지털 서명값을 포함한 패킷을 수신 노드로 전송하는 단계;
    상기 수신 노드가 상기 송신 노드로부터 수신한 패킷의 디지털 서명값을 확인하는 단계 및
    확인 결과, 상기 패킷이 인증된 송신 노드로부터 전송된 경우에는 상기 패킷의 내용대로 처리하며, 만약 상기 패킷이 인증되지 않은 송신 노드로부터 전송된 경우에는 상기 패킷을 폐기하는 단계를 포함하며,
    상기 디지털 메시지 전송 장비의 통신 프로토콜은 MIL-STD-188-220 프로토콜인 것을 특징으로 하는 인증 처리 방법.
  6. 삭제
  7. 제5항에 있어서,
    상기 패킷은 인트라넷 프로토콜 헤더를 사용하는 XNP 메시지, 토폴로지 업데이트 메시지 및 토폴로지 요청 메시지 중 어느 하나를 포함하는 것을 특징으로 하는 인증 처리 방법.
  8. 제7항에 있어서, 상기 디지털 서명값을 생성하여, 상기 생성된 디지털 서명값을 인트라넷 헤더에 기록하는 단계는,
    디지털 서명값을 구할 랜덤값을 도출하는 단계;
    상기 패킷에 대한 해쉬값을 계산하는 단계;
    상기 랜덤값, 해쉬값 및 송신 노드의 개인키를 이용하여 디지털 서명값을 생성하는 단계; 및
    상기 생성된 디지털 서명값을 상기 인트라넷 헤더의 인증 데이터 필드에 기록하는 단계를 포함하는 것을 특징으로 하는 인증 처리 방법.
  9. 제7항에 있어서, 상기 수신 노드가 상기 송신 노드로부터 수신한 패킷의 디지털 서명값을 확인하는 단계는,
    상기 수신한 패킷에서 디지털 서명값을 분리하는 단계;
    상기 디지털 서명값을 분리한 패킷을 해쉬함수를 이용하여 해쉬값을 생성하는 단계;
    상기 생성한 해쉬값과 수신 노드의 공개키로 확인값을 생성하는 단계; 및
    상기 분리한 디지털 서명값과 상기 생성한 확인값의 일치 여부를 비교하는 단계를 포함하는 것을 특징으로 하는 인증 처리 방법.
KR1020090020684A 2009-03-11 2009-03-11 디지털 메시지 전송 장비의 통신 프로토콜에서 인증 처리를위한 인트라넷 프로토콜의 헤더 구조 및 인증 처리 방법 KR100960851B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020090020684A KR100960851B1 (ko) 2009-03-11 2009-03-11 디지털 메시지 전송 장비의 통신 프로토콜에서 인증 처리를위한 인트라넷 프로토콜의 헤더 구조 및 인증 처리 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090020684A KR100960851B1 (ko) 2009-03-11 2009-03-11 디지털 메시지 전송 장비의 통신 프로토콜에서 인증 처리를위한 인트라넷 프로토콜의 헤더 구조 및 인증 처리 방법

Publications (1)

Publication Number Publication Date
KR100960851B1 true KR100960851B1 (ko) 2010-06-07

Family

ID=42369479

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090020684A KR100960851B1 (ko) 2009-03-11 2009-03-11 디지털 메시지 전송 장비의 통신 프로토콜에서 인증 처리를위한 인트라넷 프로토콜의 헤더 구조 및 인증 처리 방법

Country Status (1)

Country Link
KR (1) KR100960851B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101140253B1 (ko) * 2011-01-25 2012-04-26 국방과학연구소 Mil-std-188-220 프로토콜을 사용하는 통신 단말의 네트워크 가입 방법
KR101287597B1 (ko) 2012-01-26 2013-07-19 한남대학교 산학협력단 해쉬 트리를 이용한 iptv의 서비스 제공자 인증 방법

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101140253B1 (ko) * 2011-01-25 2012-04-26 국방과학연구소 Mil-std-188-220 프로토콜을 사용하는 통신 단말의 네트워크 가입 방법
KR101287597B1 (ko) 2012-01-26 2013-07-19 한남대학교 산학협력단 해쉬 트리를 이용한 iptv의 서비스 제공자 인증 방법

Similar Documents

Publication Publication Date Title
EP2346205B1 (en) A method and device for preventing network attack
US7940761B2 (en) Communication connection method, authentication method, server computer, client computer and program
Misra et al. Efficient anonymity schemes for clustered wireless sensor networks
US8285990B2 (en) Method and system for authentication confirmation using extensible authentication protocol
US9602485B2 (en) Network, network node with privacy preserving source attribution and admission control and device implemented method therfor
EP2329621B1 (en) Key distribution to a set of routers
EP1842331B1 (en) Method of authenticating multicast messages
CN113904809B (zh) 一种通信方法、装置、电子设备及存储介质
WO2008043289A1 (fr) Procédé de partage de clé et système correspondant
WO2009067907A1 (en) Firewall control for public access networks
JP2003509970A (ja) パケット認証
KR100960851B1 (ko) 디지털 메시지 전송 장비의 통신 프로토콜에서 인증 처리를위한 인트라넷 프로토콜의 헤더 구조 및 인증 처리 방법
Tschofenig et al. RSVP security properties
KR100856918B1 (ko) IPv6 기반 네트워크상에서의 IP 주소 인증 방법 및IPv6 기반 네트워크 시스템
Biagioni Preventing UDP flooding amplification attacks with weak authentication
Dahshan et al. A robust self‐organized public key management for mobile ad hoc networks
Sigholt et al. Keeping connected when the mobile social network goes offline
WO2010124549A1 (zh) 获取公钥的方法、装置和系统
Itani et al. Slow but certain wins the race: authenticated bundle communication in delay tolerant networks
Ngoc et al. Aodvdc: An improved protocol prevents whirlwind attacks in mobile ad hoc network
KR100611577B1 (ko) 복합 기능 이동 단말기에서의 인증 방법 및 이를 이용한이동 단말기
Zhao et al. PAPA‐UIC: a design approach and a framework for secure mobile ad hoc networks
Othmen et al. Anonymous and Secure Routing Protocol for Multi-hop Cellular Networks
CN115766055A (zh) 一种用于通信报文验证的方法和装置
Li et al. PDAF: Proactive distributed authentication framework for regional network

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130506

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20140520

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20150522

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20160525

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20170524

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20180625

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20200219

Year of fee payment: 10

R401 Registration of restoration