KR101034380B1 - System and Method for security of Neighborhood Area Network using neighborhood detection - Google Patents

System and Method for security of Neighborhood Area Network using neighborhood detection Download PDF

Info

Publication number
KR101034380B1
KR101034380B1 KR1020090044141A KR20090044141A KR101034380B1 KR 101034380 B1 KR101034380 B1 KR 101034380B1 KR 1020090044141 A KR1020090044141 A KR 1020090044141A KR 20090044141 A KR20090044141 A KR 20090044141A KR 101034380 B1 KR101034380 B1 KR 101034380B1
Authority
KR
South Korea
Prior art keywords
node
neighbor
access node
nodes
information
Prior art date
Application number
KR1020090044141A
Other languages
Korean (ko)
Other versions
KR20100125103A (en
Inventor
박수현
박현문
이승주
Original Assignee
강릉원주대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 강릉원주대학교산학협력단 filed Critical 강릉원주대학교산학협력단
Priority to KR1020090044141A priority Critical patent/KR101034380B1/en
Publication of KR20100125103A publication Critical patent/KR20100125103A/en
Application granted granted Critical
Publication of KR101034380B1 publication Critical patent/KR101034380B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/18Self-organising networks, e.g. ad-hoc networks or sensor networks

Abstract

본 발명은 보안 방법 및 장치에 관한 것으로서, 더욱 상세하게는 NAN(Neighborhood Area Network)에서 이웃 검색을 이용하여 네트워크 보안을 하는 시스템 및 방법에 관한 것이다.The present invention relates to a security method and apparatus, and more particularly, to a system and method for network security using neighbor search in a neighbor area network (NAN).

본 발명의 일 실시예에 따른 NAN에서의 이웃 검색을 이용한 네트워크 보안 시스템은 소정의 부모 노드를 통하여 새로운 클러스터로 접근하는 접속 노드; 및 상기 접속 노드에 이웃 검색 요청을 송신하여 상기 접속 노드로부터 이웃 검색에 의하여 생성된 확장 ACL 프레임을 수신하는 코디네이터를 포함하며, 상기 확장 ACL 프레임은 상기 접속 노드와 한 홉 이내의 이웃 노드들을 나타내는 이웃 리스트 필드; 및 상기 이웃 노드들에게 각각 할당된 무선 자원의 시간 정보를 나타내는 이웃노드 타임 스탬프 필드를 포함한다.In accordance with an embodiment of the present invention, a network security system using neighbor search in a NAN includes: an access node accessing a new cluster through a predetermined parent node; And a coordinator for transmitting a neighbor search request to the access node to receive an extended ACL frame generated by the neighbor search from the access node, wherein the extended ACL frame is a neighbor representing neighbor nodes within one hop of the access node. List fields; And a neighbor node time stamp field indicating time information of radio resources allocated to the neighbor nodes, respectively.

이웃 검색, NAN, 클러스터 구조 Neighbor Discovery, NAN, Cluster Structure

Description

NAN에서의 이웃 검색을 이용한 보안 시스템 및 방법{System and Method for security of Neighborhood Area Network using neighborhood detection}System and Method for Security of Neighborhood Area Network using neighborhood detection}

본 발명은 보안 시스템 및 방법에 관한 것으로서, 더욱 상세하게는 NAN(Neighborhood Area Network)에서 이웃 검색을 이용하여 네트워크 보안을 하는 시스템 및 방법에 관한 것이다.The present invention relates to a security system and method, and more particularly, to a system and method for network security using neighbor search in a neighbor area network (NAN).

무선 근거리 네트워킹 기술로는 RFID(Radio-Frequency IDentification), 블르투스(Bluetooth), 지그비(Zigbee) 등의 다양한 기술이 적용되고 있다. 예를 들어, 무선 근거리 네트워킹 기술의 적용예는 홈 네트워크, 빌딩, 산업용 기기 자동화, 환경 모니터링, 의료 분야, 자동차 통신 등의 다양한 분야로 빠르게 성장하여 넓은 시장을 형성할 것으로 예상된다.Wireless short-range networking technologies include radio-frequency identification (RFID), Bluetooth, and Zigbee. For example, the application of wireless short-range networking technology is expected to grow rapidly in various fields such as home network, building, industrial device automation, environmental monitoring, medical field, automotive communication, etc. to form a wide market.

예를 들어 홈 네트워크 분야에서는 월패드 기능와 가전제품 기기의 제어 서비스 형태에서 홈 내부의 무선네트워크 인프라 기반의 서비스로 변화하고 있다. 하지만, 기기간 인터페이스 표준화 작업의 부진과 보안 및 프로토콜 문제로 원격 검침이나 조명제어 등의 단순 홈 오토 수준이며, 홈네트워크에서 주력인 홈서버와 디지털가전을 기반한 엔터테이먼트와 정보 서비스 분야에서의 보안문제에 있어서는 걸음마 단계를 벗어나지 못하고 있다.For example, in the home network field, the service is changing from the wall pad function and the control service of home appliances to the service based on the wireless network infrastructure inside the home. However, it is a simple home auto level such as remote meter reading or lighting control due to the sluggishness of standardization of interface between devices and security and protocol problems, and security problem in the field of entertainment and information service based on home server and digital appliances, which are the main network in home network. When it comes to stepping out of step.

이와 같이, 근거리 통신에 있어 송수신 전송 속도 등에 대한 연구가 주로 이루어져, 악의적으로 접근하여 메시지를 위변조 하거나 네트워크 전반에 걸쳐 대량의 패킷을 발생시키는 것을 미연에 방지할 수 있는 보안 기법 및 시스템이 필요하다.As such, research on transmission and reception speeds is mainly performed in short-range communication, and a security technique and a system capable of preventing malicious access to forgery of a message or generating a large amount of packets throughout a network are needed.

본 발명의 일 실시예에 따르면, 이웃 검색에 의하여 악의적인 노드에 대한 네트워크 접속을 차단함으로서 NAN(Neighborhood Area Network)에서 보안을 유지할 수 있는 시스템 및 방법을 제공하는 데 있다.According to an embodiment of the present invention, there is provided a system and method capable of maintaining security in a neighbor area network (NAN) by blocking a network connection to a malicious node by neighbor search.

이와 함께, 이웃 검색에 따른 정보를 확장된 ACL 프레임에 반영함으로써 악의 노드의 접근을 차단할 수 있는 시스템 및 방법을 제공하는 데 있다. In addition, it is to provide a system and method that can block the access of the malicious node by reflecting the information according to the neighbor search in the extended ACL frame.

본 발명의 목적들은 이상에서 언급한 목적들로 제한되지 않으며, 언급되지 않은 또 다른 목적들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.The objects of the present invention are not limited to the above-mentioned objects, and other objects that are not mentioned will be clearly understood by those skilled in the art from the following description.

상술한 기술적 과제를 달성하기 위하여 본 발명의 NAN에서의 이웃 검색을 이용한 네트워크 보안 시스템의 일 양태(Aspect)는 소정의 부모 노드를 통하여 새로운 클러스터로 접근하는 접속 노드; 및 상기 접속 노드에 이웃 검색 요청을 송신하여 상기 접속 노드로부터 이웃 검색에 의하여 생성된 확장 ACL 프레임을 수신하는 코디네이터를 포함하며, 상기 확장 ACL 프레임은 상기 접속 노드와 한 홉 이내의 이웃 노드들을 나타내는 이웃 리스트 필드; 및 상기 이웃 노드들에게 각각 할당된 무선 자원의 시간 정보를 나타내는 이웃노드 타임 스탬프 필드를 포함한다.In order to achieve the above technical problem, an aspect of a network security system using neighbor search in a NAN of the present invention includes: an access node accessing a new cluster through a predetermined parent node; And a coordinator for transmitting a neighbor search request to the access node to receive an extended ACL frame generated by the neighbor search from the access node, wherein the extended ACL frame is a neighbor representing neighbor nodes within one hop of the access node. List fields; And a neighbor node time stamp field indicating time information of radio resources allocated to the neighbor nodes, respectively.

상술한 기술적 과제를 달성하기 위하여 본 발명의 NAN에서의 이웃 검색을 이용한 네트워크 보안 방법의 일 양태는 접속 노드로부터 소정의 클러스터로 접근하 여 초기 동기화 비콘을 수신하여 동기화를 수행하는 단계; 및 상기 접속 노드에 이웃 검색 요청을 송신하여 상기 접속 노드로부터 이웃 검색에 의하여 생성된 확장 ACL 프레임을 수신하는 단계를 포함하며, 상기 확장 ACL 프레임은 상기 접속 노드와 한 홉 이내의 이웃 노드들을 나타내는 이웃 리스트 필드; 및 상기 이웃 노드들에게 각각 할당된 무선 자원의 시간 정보를 나타내는 이웃노드 타임 스탬프 필드를 포함한다.In order to achieve the above technical problem, an aspect of a network security method using neighbor search in a NAN according to the present invention includes accessing a predetermined cluster from an access node, receiving an initial synchronization beacon, and performing synchronization; And transmitting a neighbor search request to the access node to receive an extended ACL frame generated by the neighbor search from the access node, wherein the extended ACL frame is a neighbor representing neighbor nodes within one hop of the access node. List fields; And a neighbor node time stamp field indicating time information of radio resources allocated to the neighbor nodes, respectively.

상술한 기술적 과제를 달성하기 위하여 본 발명의 NAN에서의 이웃 검색을 이용한 네트워크 보안 방법의 다른 양태는 접속 노드로부터 소정의 클러스터로 접근하여 초기 동기화 비콘을 수신하는 단계; 상기 접속 노드로부터 상기 접속 노드의 주소 및 생성된 난수 키를 전달받고, 상기 접속 노드에 이웃 검색 요청을 전송하는 단계; 상기 이웃 노드 검색에 따라 확장 ACL 프레임을 수신하는 단계; 상기 접속 노드로부터 이웃 검색에 따라 수집된 이웃 노드 리스트 중 하나의 노드를 선택하여 상기 선택된 노드의 주소, 난수 키 및 마스터 키를 연산하여 생성된 제1 암호키를 수신하는 단계; 상기 제1 암호키를 상기 난수 키 및 상기 마스터 키에 의하여 복호화하여 상기 선택된 노드를 추출하는 단계; 및 상기 선택된 노드의 정보 및 상기 확장 ACL 프레임으로부터 추출된 선택된 노드 정보의 일치 여부를 판단하는 단계를 포함한다.Another aspect of the network security method using the neighbor search in the NAN of the present invention to achieve the above technical problem is the step of accessing a predetermined cluster from the access node to receive an initial synchronization beacon; Receiving the address of the access node and the generated random number key from the access node, and transmitting a neighbor search request to the access node; Receiving an extended ACL frame according to the neighbor node search; Selecting one node from a list of neighbor nodes collected according to a neighbor search from the access node, and receiving a first encryption key generated by calculating an address, a random key, and a master key of the selected node; Extracting the selected node by decrypting the first encryption key by the random number key and the master key; And determining whether the information of the selected node coincides with the selected node information extracted from the extended ACL frame.

상기한 바와 같은 본 발명의 일 실시예에 따르면, NAN(Neighborhood Area Network)에서 이웃 검색에 의하여 악의 노드의 접속을 검출하여 차단할 수 있다.According to an embodiment of the present invention as described above, the NAN (Neighborhood Area Network) can detect and block the connection of the malicious node by neighbor search.

이와 함께, 악의 노드가 주위 노드를 복제하더라도 이웃 검색에 따른 해당 노드의 타임 스탬프를 도입함으로써, 보다 안정적이고 신뢰성있게 해킹 노드를 검출하여 보안을 유지할 수 있다.In addition, even if a malicious node replicates the neighboring node, by introducing a time stamp of the corresponding node according to the neighbor search, the hacking node can be detected more securely and securely.

본 발명의 효과들은 이상에서 언급한 효과들로 제한되지 않으며, 언급되지 않은 또 다른 효과들은 청구범위의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.The effects of the present invention are not limited to the above-mentioned effects, and other effects not mentioned will be clearly understood by those skilled in the art from the description of the claims.

기타 실시예들의 구체적인 사항들은 상세한 설명 및 도면들에 포함되어 있다. 본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.Specific details of other embodiments are included in the detailed description and the drawings. Advantages and features of the present invention and methods for achieving them will be apparent with reference to the embodiments described below in detail with the accompanying drawings. However, the present invention is not limited to the embodiments disclosed below, but can be implemented in various different forms, and only the embodiments make the disclosure of the present invention complete, and the general knowledge in the art to which the present invention belongs. It is provided to fully inform the person having the scope of the invention, which is defined only by the scope of the claims. Like reference numerals refer to like elements throughout.

도 1은 일반적인 클러스터 구조의 네트워크를 개략적으로 보여주는 도면이다. 도 1을 참조하면, NAN(Neighborhood Area Network)에서는 소정의 클러스터(100, 200)의 구조로 네트워크가 이루어질 수 있다. 예를 들어, 소정의 네트워크는 제1 코디네이터(110)가 관리하는 제1 클러스터(100) 및 제2 코디네이터(210)가 관리하는 제2 클러스터(200)로 나눌 수 있다.1 is a view schematically showing a network of a general cluster structure. Referring to FIG. 1, in a NAN (Neighborhood Area Network), a network may be formed in a structure of predetermined clusters 100 and 200. For example, the predetermined network may be divided into a first cluster 100 managed by the first coordinator 110 and a second cluster 200 managed by the second coordinator 210.

코디네이터(110, 210)는 클러스터(100, 200)에 속하는 각 노드들(120, 121, 122, 123, 124, 220, 221, 222, 223)의 무선 자원 할당 및 무선 자원 제어를 담당하여, 클러스터(100, 200)내에서의 각 노드들((120, 121, 122, 123, 124, 220, 221, 222, 223)의 데이터 송수신을 제어한다.The coordinator 110, 210 is responsible for radio resource allocation and radio resource control of the nodes 120, 121, 122, 123, 124, 220, 221, 222, and 223 belonging to the cluster 100, 200. Control data transmission and reception of each node (120, 121, 122, 123, 124, 220, 221, 222, 223) in (100, 200).

노드들(120, 121, 122, 123, 124, 220, 221, 222, 223)은 부모 노드(120, 220) 및 자식 노드(121, 122, 123, 124, 221, 222, 223)로 구분될 수 있다. 부모 노드(120, 220)는 코디네이터(110, 210)로부터 생성된 무선 자원 할당 정보, 제어 정보 등을 자신의 하위 그룹 노드인 자식 노드들(121, 122, 123, 124, 221, 222, 223)에게 전달한다.Nodes 120, 121, 122, 123, 124, 220, 221, 222, and 223 may be divided into parent nodes 120 and 220 and child nodes 121, 122, 123, 124, 221, 222 and 223. Can be. The parent nodes 120 and 220 use the radio resource allocation information and control information generated from the coordinator 110 and 210 as child nodes 121, 122, 123, 124, 221, 222, and 223 which are their subgroup nodes. To pass.

자식 노드들(121, 122, 123, 124, 221, 222, 223)은 이동이 가능한 노드들로서, 각 클러스터(100, 200)로 접속하거나 하나의 클러스터에서 다른 클러스터로 이동하여 접속할 수도 있다. 자식 노드들(121, 122, 123, 124, 221, 222, 223)은 그 하위 그룹으로 다른 새로운 노드가 접속하는 경우에는 부모 노드가 될 수 있다.The child nodes 121, 122, 123, 124, 221, 222, and 223 are movable nodes, and may be connected to each cluster 100 and 200 or may move from one cluster to another cluster. The child nodes 121, 122, 123, 124, 221, 222, and 223 may be parent nodes when another new node connects to the subgroup.

도 2a는 일반적인 ACL 프레임의 데이터 구조를 나타내는 도면이며, 도 2b는 도 1의 클러스터 구조에서 코디네이터에서의 ACL 데이터 구조를 간략히 보여주는 도면이다.FIG. 2A is a diagram illustrating a data structure of a general ACL frame, and FIG. 2B is a diagram illustrating an ACL data structure of a coordinator in the cluster structure of FIG. 1.

도 2a를 참조하면, 일반적인 NAN(Neighborhood Area Network)에서는 노드의 정보로 ACL 프레임의 데이터 구조를 생성하고, 이것을 갱신 및 교환을 통하여 소정 수준의 보안을 제공할 수 있다. Referring to FIG. 2A, a typical NAN (Neighborhood Area Network) may generate a data structure of an ACL frame using information of a node, and may provide a predetermined level of security through updating and exchanging this.

예를 들어, ACL 프레임(270)은 주소 필드(241), 보안 필드(242), 키 필 드(243), 벡터 필드(244) 및 카운터 필드(245)를 포함할 수 있다. 여기서, ACL 프레임(270)은 Access Control List 프레임으로서, 해당 클러스터에 접속하거나 또는 소정의 부모 노드를 통하여 네트워크에 접속하는 노드들의 정보 리스트를 말한다.For example, the ACL frame 270 may include an address field 241, a security field 242, a key field 243, a vector field 244, and a counter field 245. Here, the ACL frame 270 is an Access Control List frame, and refers to an information list of nodes that access the cluster or access the network through a predetermined parent node.

주소 필드(241)는 소정의 노드를 식별하는 주소를 말한다. 예를 들어, 주소 필드(241)에는 하드웨어를 나타내는 MAC 어드레스 또는 IP, ID 형태의 주소가 나열될 수 있다. The address field 241 refers to an address that identifies a given node. For example, the address field 241 may list MAC addresses representing hardware or addresses in the form of IP and ID.

보안 필드(242)는 일반적인 보안 등급을 나타내는 필드이다. 예를 들어, None, AES, AES-CCM, AES-CBC-MAC 등의 보안 등급을 나타낼 수 있다.The security field 242 is a field representing a general security level. For example, the security level may be None, AES, AES-CCM, AES-CBC-MAC, or the like.

키 필드(243)는 코디네이터가 생성하는 암호화된 키를 말한다. 키 필드는 암호화된 ACL 키가 될 수도 있고, 각 노드 또는 각 계층마다 서로 다른 ACL 키를 가질 수 있다. 예를 들어, 하나의 부모 노드들은 K1 키를 가질 수 있고, 그 하위단의 자식 노드들은 K2 키 값을 가질 수 있다.The key field 243 refers to an encrypted key generated by the coordinator. The key field may be an encrypted ACL key or may have a different ACL key for each node or each layer. For example, one parent node can have a K1 key, and child nodes below it can have a K2 key value.

벡터 필드(244)는 키를 암호화할때 동일한 키가 반복되지 않도록 초기 벡터를 제공하는 역할을 한다. The vector field 244 serves to provide an initial vector so that the same key is not repeated when encrypting the key.

카운터 필드(245)는 프레임 카운터(Frame counter) 및 키 시퀸스(Key sequence)로 구성되며, Nonce 가 서로 다른 패킷을 암호화하는 오류를 방지하는 역할을 한다.The counter field 245 is composed of a frame counter and a key sequence, and serves to prevent an error in encrypting packets different from each other.

하지만, 일반적인 ACL 프레임 구조에서는 클러스터를 구별하는 키가 없기 때문에, 소정의 클러스터 내에서 동일한 마스터 키를 할당하여 소정의 클러스터를 다른 클러스터와 구별할 수 있다. However, in the general ACL frame structure, since there is no key for distinguishing clusters, it is possible to distinguish a cluster from other clusters by allocating the same master key within a cluster.

이와 같이, 각 클러스터에서는 등록된 노드들과 마스터 키를 공유하기 때문에, 마스터 키가 암호화되지 않고 공유되는 경우에는 악의 노드가 마스터 키를 가로채어 다른 등록 노드들의 전송 메시지를 감청하고, 위변조할 수 있다.As such, since each cluster shares a master key with registered nodes, when the master key is shared without encryption, a malicious node may intercept the master key, listen to the transmission messages of other registered nodes, and forge and forge. .

도 2b를 참조하면, 도 1에서 도시한 바와 같이 제1 클러스터(100)에 속한 제1 코디네이트(110)에서의 ACL 프레임(271)은 제1 클러스터(100)에 속하는 모든 노드들(PN1, N4, N5, N6, N7)에 대한 정보가 복수의 데이터 구조로 이루어지는 ACL 프레임이 될 수 있다.Referring to FIG. 2B, as shown in FIG. 1, the ACL frame 271 in the first coordinate 110 belonging to the first cluster 100 includes all nodes PN1 and N4 belonging to the first cluster 100. , N5, N6, and N7) may be an ACL frame including a plurality of data structures.

이와 함께, 제2 클러스터(200)에 속한 제2 코디네이트(210)에서의 ACL 프레임(272)은 제1 클러스터(200)에 속하는 모든 노드들(PN2, N1, N2, N3)의 각 ACL 프레임이 복수의 데이터 구조로 나타내어질 수 있다.In addition, the ACL frame 272 in the second coordinate 210 belonging to the second cluster 200 is the ACL frame 272 of all the nodes (PN2, N1, N2, N3) belonging to the first cluster 200 It can be represented by a plurality of data structures.

상기와 같은 ACL 프레임(271, 272)에서는 코디네이터(110, 210) 또는 소정의 노드 하위에 위치하는 각 노드들의 정보를 ACL 프레임 구조를 표시하지만, 각 클러스터(100, 200) 하에서의 마스터 키의 노출 또는 키 필드의 ACL 키 값의 노출에 의하여 악의 노드에게 위변조 가능성의 위험이 있다. 한편, 악의 노드에 의하여 악의적인 접근이 있다 하더라도, ACL 프레임 구조에 의하여는 악의 노드의 접근을 용이하게 파악할 수 없다. 여기서, 악의 노드는 네트워크 시스템에 접근하여, 과도한 부하를 발생시켜 시스템을 교란시키거나 또는 자신의 정보를 이용하여 복제 노드를 생성하여 네트워크에 불필요한 트래픽을 발생시키는 정상적이지 않은 노드를 말한다.In the above-described ACL frames 271 and 272, the information on each node located under the coordinator 110 and 210 or a predetermined node indicates the ACL frame structure, but the master key under each cluster 100 and 200 is exposed or The exposure of ACL key values in key fields poses a risk of forgery to the malicious node. On the other hand, even if there is a malicious access by the malicious node, the ACL frame structure cannot easily identify the access of the malicious node. Here, a malicious node is a non-normal node that accesses a network system, generates excessive load, disturbs the system, or generates a duplicate node using its information to generate unnecessary traffic in the network.

따라서, 본 발명의 일 실시예에서는 이웃 검색에 의하여 ACL 프레임을 확장 시키거나 변형시켜 해킹 노드의 접속을 용이하게 파악하여, 악의 노드의 접근 및 복제를 방지하여 보안을 유지할 수 있도록 한다.Therefore, in an embodiment of the present invention, the ACL frame is expanded or modified by neighboring search to easily identify the hacking node's access, thereby preventing access and duplication of malicious nodes to maintain security.

도 3은 본 발명의 일 실시예에 따른 NAN에서의 이웃 검색을 이용한 보안 방법의 흐름도이다. 도 3을 참조하면, 먼저 소정의 클러스터로 새로운 노드가 접근하여, 코디네이트에게 클러스터로의 접속을 요청한다(S310). 이하에서는, 새로운 노드를 클러스터에 접속하는 "접속 노드"라 칭하기로 한다.3 is a flowchart of a security method using neighbor search in a NAN according to an embodiment of the present invention. Referring to FIG. 3, first, a new node approaches a predetermined cluster, and requests a coordinated connection to the cluster (S310). Hereinafter, the new node will be referred to as a "connection node" for connecting to the cluster.

코디네이터는 접속 노드의 네트워크 또는 클러스터 접근 권한 또는 접근 허용 여부를 판단하여, 접속 노드의 클러스터 접속을 위한 자원할당을 준비한다. 코디네이터는 접속 노드에게 접속 노드의 부모 노드를 통하여 데이터 송수신을 위한 기본적인 자원 할당 및 인증을 수행할 수 있다. 이와 함께, 본 발명의 일 실시예에 따라서 접속 노드가 악의 노드인지 여부를 판단하기 위하여 하기와 같은 소정의 테스트 과정을 거칠 수 있다.The coordinator determines the network or cluster access authority or access permission of the access node, and prepares resource allocation for accessing the cluster of the access node. The coordinator may perform basic resource allocation and authentication for data transmission and reception to the access node through the parent node of the access node. In addition, according to an embodiment of the present invention, a predetermined test process may be performed as follows to determine whether the access node is a malicious node.

코디네이터는 접속 노드 및 이웃 노드들 간의 통신을 위한 슬롯을 할당한다(S320). 할당된 슬롯을 통하여 접속 노드 및 접속 노드의 이웃 노들들 간의 소정의 메시지를 주고 받을 수 있다. 여기서, 슬롯은 소정의 시간 및/또는 주파수 등의 가용한 무선 자원 중에 일부를 말한다. 예를 들어, 하나의 라운드(round)당 16개의 시간 슬롯이 있는 경우에, 최대 16개의 시간 슬롯이 할당될 수 있다. 여기서, 이웃 노드는 접속 노드로부터 한 홉 이내 또는 NAN(Neighborhood Area Network)에서 정의하는 소정 메트릭(metric) 범위 내에 속하는 노드를 말한다.The coordinator allocates a slot for communication between the access node and the neighbor nodes (S320). A predetermined message may be exchanged between the access node and neighbor nodes of the access node through the assigned slot. Here, a slot refers to a part of available radio resources such as a predetermined time and / or frequency. For example, if there are 16 time slots per round, up to 16 time slots may be allocated. Here, the neighbor node refers to a node within one hop from the access node or within a predetermined metric range defined by a neighbor area network (NAN).

접속 노드 및 이웃 노드들은 할당된 슬롯에서 각각 서로 메시지를 주고 받을 수 있다(S330). 예를 들어, 접속 노드는 이웃 노드들과 자신의 존재 또는 클러스터 접속 여부를 알려주는 헬로우 메시지(Hello message) 등의 특정 메시지를 전송할 수 있다. 이러한 헬로우 메시지는 이웃 노드들에게 브로드캐스트 될 수 있다. The access node and the neighbor nodes may exchange messages with each other in the assigned slots (S330). For example, the access node may transmit a specific message such as a hello message indicating whether the neighbor node is present or not connected with the neighbor nodes. This hello message can be broadcast to neighbor nodes.

메시지를 전송 받은 노드들은 이웃 노드들에 대한 이웃 검색으로 후술할 확장 ACL 프레임을 생성한다(S340). 여기서, 확장 ACL 프레임이란 자신의 노드를 중심으로 이웃 노드들의 ACL 리스트를 나열한 프레임을 말한다. 다시 말하면, 각 할당된 슬롯을 통하여 소정의 메시지를 송수신하면서 자신을 주위에 위치하는 이웃 노드들의 정보를 알 수 있고, 이러한 정보를 바탕으로 확장 ACL 프레임을 생성할 수 있다. 확장 ACL 프레임은 본 발명의 일 실시예에서 생성된 프레임으로서, 이웃 검색에 의한 이웃 노드 리스트 및 이웃 노드에 할당된 이웃 타임 스탬프 정보를 포함할 수 있다. 여기서, 타임 스탬프 정보는 소정의 노드가 메시지를 전송한 시간 슬롯을 말하는 것으로, 각 노드는 코디네이터로부터 할당된 소정의 시간 슬롯을 할당 받아, 해당 시간 슬롯에서 메시지를 송수신 할수 있다. Nodes receiving the message generate an extended ACL frame, which will be described later, by neighbor search for neighbor nodes (S340). Here, the extended ACL frame refers to a frame that lists the ACL list of neighboring nodes around its own node. In other words, while transmitting and receiving a predetermined message through each assigned slot, it is possible to know the information of neighboring nodes surrounding itself, and can generate an extended ACL frame based on this information. The extended ACL frame is a frame generated in one embodiment of the present invention and may include a neighbor node list by neighbor search and neighbor time stamp information assigned to the neighbor node. Here, the time stamp information refers to a time slot in which a predetermined node transmits a message, and each node may receive a predetermined time slot allocated from the coordinator and transmit and receive a message in the corresponding time slot.

접속 노드 또는 이웃 노드들은 확장 ACL 프레임을 부모 노드를 통하여 코디네이터로 전송한다. 코디네이터는 자신이 가지고 있는 클러스터 정보를 수신한 확장 ACL 프레임과 비교한다(S350). 여기서, 클러스터 정보는 소정의 클러스터 내에 속한 노드들의 정보를 포함할 수 있다. 클러스터 정보는 확장 ACL 프레임과 동일한 구조로 이루어진 프레임일 수 있고, 또는 확장 프레임에 포함된 이웃노드 리스트 정보 및 이웃노드 타임 스탬프 정보를 포함하여 클러스터의 정보를 나타내는 소정의 데이터 구조일 수 있다. 한편, 본 발명의 일 실시예에서는 "확장 ACL 프레임을 전송한는 것"은 확장 ACL 프레임을 전송하거나 또는 확장 ACL 프레임으로부터 추출된 정보를 전송하는 것으로 정의될 수 있다. 예를 들어, 확장 ACL 프레임의 후술할 이웃 리스트 필드 및 이웃노드 타임 스탬프 필드의 정보를 추출하여 전송하는 것으로 이해될 수 있다.The access node or neighbor nodes send the extended ACL frame to the coordinator through the parent node. The coordinator compares the cluster information with the extended ACL frame with the cluster information (S350). Here, the cluster information may include information of nodes belonging to a predetermined cluster. The cluster information may be a frame having the same structure as the extended ACL frame, or may be a predetermined data structure indicating the cluster information including neighbor node list information and neighbor node time stamp information included in the extended frame. Meanwhile, in an embodiment of the present invention, "transmitting an extended ACL frame" may be defined as transmitting an extended ACL frame or transmitting information extracted from the extended ACL frame. For example, it may be understood to extract and transmit information of a neighbor list field and a neighbor node time stamp field, which will be described later, in the extended ACL frame.

코디네이터는 이미 새로운 노도의 접근으로 인하여 이미 갱신된 클러스터 정보를 가지고 있고, 이를 이웃 검색에 의하여 생성되어 코디네이터로 전송된 확장 ACL 프레임과 비교할 수 있다(S350). 그리하여, 코디네이터는 자신이 가지고 있는 클러스터 정보 및 이웃 검색에 의하여 확장 ACL 프레임으로 추출된 클러스터 구조 일부를 비교하여, 차이점이 있는 경우에는 악의 노드의 존재를 판단할 수 있다.The coordinator already has the updated cluster information due to the access of the new road, and can compare it with the extended ACL frame generated by the neighbor search and transmitted to the coordinator (S350). Thus, the coordinator may compare some of the cluster structure extracted by the extended ACL frame based on the cluster information and the neighbor search that the coordinator has, and may determine the existence of the malicious node when there is a difference.

악의 노드가 있는 경우에는, 코디네이터는 네트워크에 접속하는 악의 노드의 접근을 차단한다(S360). 네트워크의 접속 차단은 해당 악의 노드에게 무선 자원 할당을 취소하는 등의 네트워크의 접속을 원척적으로 차단함으로 이루어질 수 있다.If there is a malicious node, the coordinator blocks the access of the malicious node connecting to the network (S360). The connection blocking of the network may be performed by blocking the connection of the network such as canceling radio resource allocation to the malicious node.

도 4는 본 발명의 일 실시예에 따른 NAN에서의 이웃 검색에 따라 생성된 확장된 ACL 프레임 구조를 보여준다. 도 4를 참조하면, 본 발명의 일 실시예에 따른 이웃 검색에 따라 생성된 확장된 ACL 프레임은 일반적인 ACL 데이터 구조에 이웃 리스트 필드(446) 및 이웃노드 타임 스탬프 필드(447)를 더 포함할 수 있다.4 illustrates an extended ACL frame structure generated according to a neighbor search in a NAN according to an embodiment of the present invention. Referring to FIG. 4, an extended ACL frame generated according to a neighbor search according to an embodiment of the present invention may further include a neighbor list field 446 and a neighbor node time stamp field 447 in a general ACL data structure. have.

예를 들어, 일반적인 ACL 프레임은 주소 필드(441), 보안 필드(442), 키 필드(443), 벡터 필드(444) 및 카운터 필드(445)를 포함할 수 있다. 여기서, ACL 프레임(270)은 Access Control List 프레임으로서, 해당 클러스터에 접속하거나 또는 소정의 부모 노드를 통하여 네트워크에 접속하는 노드들의 정보를 나타내는 리스트 를 말한다. 이러한 주소 필드(441), 보안 필드(442), 키 필드(443), 벡터 필드(444) 및 카운터 필드(445)에 대해 이미 도 2를 중심으로 자세히 설명하였기에, 여기서는 이웃 리스트 필드(446) 및 이웃노드 타임 스탬프 필드(447)를 중심으로 상술하기로 한다.For example, a generic ACL frame may include an address field 441, a security field 442, a key field 443, a vector field 444, and a counter field 445. Here, the ACL frame 270 is an Access Control List frame and refers to a list representing information of nodes that access the cluster or access the network through a predetermined parent node. Since the address field 441, the security field 442, the key field 443, the vector field 444, and the counter field 445 have been described in detail with reference to FIG. 2, the neighbor list field 446 and The neighboring node time stamp field 447 will be described in detail below.

이웃 리스트 필드(446)는 해당 노드의 이웃 노드를 식별하는 식별자 또는 번호를 나타내는 데이터 필드이다. 예를 들어, 접속 노드의 주위에 3개의 이웃 노드가 있는 경우에는, 세 개의 확장 ACL 프레임이 생성되며, 각 확장 ACL 프레임의 이웃 리스트 필드(446)에는 이웃 노드를 식별하는 식별자 또는 번호가 들어갈 수 있다. The neighbor list field 446 is a data field indicating an identifier or number identifying a neighbor node of the node. For example, if there are three neighboring nodes around the access node, three extended ACL frames are generated, and the neighbor list field 446 of each extended ACL frame may contain an identifier or number identifying the neighboring node. have.

이웃노드 타임 스탬프 필드(447)는 이웃 리스트 필드(446)에 해당되는 이웃 노드의 타임 스탬프를 나타나는 필드이다. 예를 들어, 해당 이웃 노드가 두 번째 타임 슬롯에서 메시지를 송신하는 경우에, 해당 이웃 노드에 대하여는 이웃노드 타임 스탬프 필드(447)에 두 번째 타임 슬롯 시간을 스탬핑할 수 있다. 이는 일반적으로 코디네이터가 이웃 검색을 위하여 복수의 슬롯에 대하여 각각의 이웃 노드에게 특정 타임 슬롯을 할당하는 경우, 해당 이웃 노드들은 각자에게 주어진 특정 타임 슬롯에 소정의 메시지를 송수신할 수 있다. 따라서, 정상적인 노드들인 경우에는 해당 특정 타임 슬롯에 메시지를 송수신할 수 있지만, 비정상적인 악의 노드들인 경우에는 할당된 특정 타임 슬롯에 메시지를 송수신할 수 없다. The neighbor node time stamp field 447 is a field indicating a time stamp of a neighbor node corresponding to the neighbor list field 446. For example, when the neighbor node transmits a message in the second time slot, the neighbor node time stamp field 447 may stamp the second time slot time for the neighbor node. In general, when a coordinator allocates a specific time slot to each neighboring node for a plurality of slots for neighbor search, the neighboring nodes may transmit and receive a predetermined message in a specific time slot given to each other. Therefore, normal nodes can send and receive messages in a specific time slot, while abnormal malicious nodes cannot send and receive messages in a specific time slot.

상기와 같이, 이웃 검색에 의하여 이웃 리스트 필드(446) 및 이웃노드 타임 스탬프 필드(447)를 추가하여 확장된 ACL 프레임(400)을 생성할 수 있다. 이러한 확장 ACL 프레임(400)에 의하여 악의 노드를 용이하게 추출할 수 있다. 악의 노드 추출에 대하여는 뒤에서 보다 상세히 설명하기로 한다.As described above, the extended ACL frame 400 may be generated by adding the neighbor list field 446 and the neighbor node time stamp field 447 by neighbor search. By the extended ACL frame 400, a malicious node can be easily extracted. Malicious node extraction will be described in more detail later.

도 5a는 본 발명의 일 실시예에 따른 NAN에서의 이웃 검색에 따라 악의 노드를 검출하는 개략적인 도면을 보여준다. 도 5b는 도 5a에서의 접속 노드가 수집한 확장 ACL 프레임 구조를 보여준다.5A shows a schematic diagram of detecting a malicious node according to a neighbor search in a NAN according to an embodiment of the present invention. FIG. 5B shows the extended ACL frame structure collected by the access node in FIG. 5A.

도 5a를 참조하면, 코디네이터(C)를 주위로 소정의 클러스터 구조의 노드들이 네트워크를 형성할 수 있다. 코디네이터(C)에 일차적으로 연결되는 노드들(N1, N2, N3, N4)로 구성될 수 있다. 그 중에서 N2 노드는 부모 노드가 되면서 하위에 자식 노드들(N20, N21, N22)을 거느릴 수 있다. 이러한 계층별 구조는 도 5b에서의 키 필드의 키 값에 의하여 판단될 수 있으며, 키 값은 계층(예를 들어, 보모 노드들의 키 값은 K2, 자식 노드들은 K3 및 자신은 K1) 별로 서로 다른 키 값을 가질수 있다.Referring to FIG. 5A, nodes of a predetermined cluster structure may form a network around the coordinator C. FIG. Nodes N1, N2, N3, and N4 that are primarily connected to the coordinator C may be configured. Among them, the N2 node becomes a parent node and may have child nodes N20, N21, and N22 below. This hierarchical structure may be determined by the key value of the key field in FIG. 5B, and the key value is different for each hierarchical layer (for example, the key values of the nanny nodes are K2, the child nodes are K3, and the child nodes are K1). Can have a key value.

한편, N2 부모 노드에 연결되어 있는 N20, N21, N22 자식 노드들은 정상적인 노드라고 하고, N22의 자식 노드들인 N220, N221, N222는 악의 노드들이라고 가정한다. N22는 N2인 부모 노드를 통하여 코디네이터(C)로부터 ACL 키를 받아 정상적으로 클러스터에 접속할 수 있다. 하지만, N22가 잘못된 네트워크 트래픽을 발생시키기 위하여 비정상적인 악의 노드인 N220, N221, N222 등의 복제 노드들을 생성할 수 있다.Meanwhile, it is assumed that N20, N21, and N22 child nodes connected to the N2 parent node are normal nodes, and N220, N221, and N222 child nodes of N22 are malicious nodes. N22 receives the ACL key from the coordinator C through the parent node N2 and can normally connect to the cluster. However, N22 may generate duplicate nodes such as N220, N221, and N222 which are abnormal malicious nodes in order to generate wrong network traffic.

이러한 과정에서, 새로운 접속 노드인 N22는 이웃 검색을 할 수 있다. N22는 이웃 검색에 의하여 부모 노드인 N2, 이웃 노드인 N20, N22 및 자식 노드인 N220, N221, N222를 검색할 수 있다. 따라서, 도 5b에서와 같이 N22 접속 노드는 NHS 리스트로서, N2, N20, N22, N220, N221 및 N222를 포함할 수 있다.In this process, the new access node N22 may perform neighbor search. N22 may search for a parent node N2, a neighbor node N20, N22, and a child node N220, N221, N222 by neighbor search. Accordingly, as shown in FIG. 5B, the N22 access node may include N2, N20, N22, N220, N221, and N222 as an NHS list.

하지만, 코디네이터에서는 소정의 클러스터 구조에서의 정상적으로 접속해 있는 노드 리스트로서, N1, N2, N3, N4, N20, N21 및 N22를 가지고 있다. 이와 함께, 코디네이터(C)는 새로 접속한 노드인 N22의 정상적인 이웃 리스트(NHS List)으로 N2, N20 및 N22 만을 가지고 있다. 따라서, 코디네이터(C)는 자신이 가지고 있는 이웃 리스트 필드 및 해당 노드의 이웃 검색에 의하여 생성된 이웃 리스트 필드(446)를 비교하여 비정상적인 트레픽을 생성하고 있는 악의 노드인 N220, N221 및 N222를 검출할 수 있다.However, the coordinator has N1, N2, N3, N4, N20, N21, and N22 as a list of nodes normally connected in a predetermined cluster structure. In addition, the coordinator C has only N2, N20, and N22 as the normal neighbor list (NHS List) of the newly connected node N22. Accordingly, the coordinator C compares the neighbor list field of the node with the neighbor list field 446 generated by the neighbor search of the corresponding node, and detects N220, N221, and N222, which are malicious nodes generating abnormal traffic. Can be.

상기와 같이, 코디네이터에서 가지고 있는 이웃 리스트 및 이웃 검색에 의하여 생성된 이웃 리스트(446)를 비교함으로써, 비정상적인 악의 노드를 용이하게 추출할 수 있다.As described above, by comparing the neighbor list 446 generated by the coordinator and the neighbor list generated by the neighbor search, an abnormal malicious node can be easily extracted.

다른 실시예로서, 이웃노드 타임 스탬프 필드(447)를 이용하여 악의 노드를 판단할 수 있다. 코디네이터(C)는 이웃 검색을 각 노드에 명령하면서, 각 노드마다 소정의 시간 슬롯에 대한 무선 자원을 할당할 수 있다. 따라서, 정상적인 각 노드는 이웃 검색을 위하여 특정한 시간 슬롯이 할당될 수 있다. 따라서, 코디네이터(C)로부터 이웃 검색 명령을 받은 후에, 각 노드들은 자신에게 주어진 시간 슬롯에서 소정의 메시지를 송수신 할 수 있다. 접속 노드는 이웃 노드들로부터 소정의 메시지를 송수신하는 경우, 정상적인 노드는 할당된 시간 슬롯에 메시지를 전송하여, 특정 타임 스탬프를 확인할 수 있다. As another example, the neighbor node time stamp field 447 may be used to determine a malicious node. The coordinator C may instruct each node to allocate a radio resource for a predetermined time slot while instructing each node to search for a neighbor. Thus, each normal node may be assigned a specific time slot for neighbor search. Therefore, after receiving the neighbor search command from the coordinator (C), each node can send and receive a predetermined message in the time slot given to it. When the access node transmits and receives a predetermined message from neighbor nodes, the normal node may check the specific time stamp by transmitting the message in the assigned time slot.

예를 들어, 도 5a에서 N22 노드를 중심으로 이웃 검색을 하는 경우, 코디네이터(C)는 N2에 대하여는 6번 타임 슬롯을, N20에 대하여는 9번 타임 슬롯을, N22에 대하여는 10번 타임 슬롯을 할당하고, N220, N221 및 N222는 각각 12, 13 및 14 번 타임 슬롯을 할당할 수 있다. 따라서, 정상적인 노드인 N2, N20, N22 들은 주어진 타임 슬롯에 메시지를 전송하여, 이웃 검색을 성공적으로 하게 한다.For example, in the neighbor search in FIG. 5A, the coordinator C allocates 6 time slots for N2, 9 time slots for N20, and 10 time slots for N22. N220, N221, and N222 may allocate time slots 12, 13, and 14, respectively. Thus, normal nodes N2, N20, N22 send messages in a given time slot, making the neighbor search successful.

하지만, 복제 노드인 N220, N221 및 N222는 주어진 시간 슬롯에서 메시지를 송수신할 수 없다. 정상적인 노드가 아닌 상태에서 복제된 노드는 코디네이터에서 이웃 검색을 위한 특정한 시간 슬롯에 메시지를 송수신할 수 없다. 이는 단순히 복제된 노드로서, 물리적인 시간에 메시지를 송수신할 수 없기 때문이다. However, the replication nodes N220, N221 and N222 cannot transmit and receive messages in a given time slot. In a non-normal state, a replicated node cannot send or receive messages in a specific time slot for neighbor search in the coordinator. This is simply because the node cannot be sent or received in physical time.

따라서, 이웃 검색을 수행한 N22 노드의 확장 ACL 프레임(400)을 코디네이터각 수신하면, 이웃노드 타임 스탬프 필드(447)를 확인하여 악의 노드인 N220, N221 및 N222를 판단할 수 있다.Therefore, when the coordinator receives the extended ACL frame 400 of the N22 node that performed the neighbor search, the neighbor node time stamp field 447 may be checked to determine the malicious nodes N220, N221, and N222.

상기와 같이, 본 발명의 일 실시예에 따르면 이웃 검색에 의하여 확장 ACL 프레임을 생성할 수 있고, 이를 코디네이터에서 수신하여 악의 노드인지 여부를 판단할 수 있다. 확장 ACL 프레임에는 이웃 리스트 필드(446) 및 이웃노드 타임 스탬프 필드(447)를 포함하여, 이러한 데이터 필드에 의하여 악의 노드를 용이하게 판단할 수 있다.As described above, according to an embodiment of the present invention, an extended ACL frame may be generated by neighbor search, and received by the coordinator to determine whether the node is a malicious node. The extended ACL frame includes a neighbor list field 446 and a neighbor node time stamp field 447 so that the malicious node can be easily determined by this data field.

도 6은 본 발명의 다른 실시예에 따른 이웃 검색을 이용한 보안 방법의 흐름도이다. 도 6을 참조하면, 접속 노드는 소정의 코디네이터가 관장하는 클러스터에 접속하여 초기 동기화 과정을 거칠 수 있다(S605, S610). 예를 들어, 비콘(Beacon) 을 통한 소정의 동기화 과정이 이루어 질 수 있다. 한편, 코디네이터 및 부모 노드 사이에서의 보안은 무결한 것으로 가정하였다.6 is a flowchart of a security method using neighbor search according to another embodiment of the present invention. Referring to FIG. 6, the access node may access an cluster managed by a predetermined coordinator and undergo an initial synchronization process (S605 and S610). For example, a predetermined synchronization process through a beacon may be performed. On the other hand, it is assumed that security between the coordinator and the parent node is intact.

이어, 코디네이터는 클러스터에 접속하는 접속 노드에게 주소(Addnn)와 임의의 난수 키(Kran)를 요청한다(S612, S615). 접속 노드는 난수 키를 생성하고, 주소(Addnn)를 포함한 자신의 정보와 난수 키(Kran)를 코디네이터에 전송한다(S620). 여기서, 주소(Addnn)는 접속 노드를 식별하는 식별자 역할을 하는 것으로서, 예를 들어 접속 노드의 기기를 나타내는 MAC 어드레스 또는 접속 노드의 IPv6 타입의 주소 등으로 이루어질 수 있다.Subsequently, the coordinator requests an address Add nn and an arbitrary random key K ran from the access node accessing the cluster (S612 and S615). The access node generates a random number key and transmits its own information including the address Add nn and the random number key K ran to the coordinator (S620). Here, the address Add nn serves as an identifier for identifying the access node, and may include, for example, a MAC address representing a device of the access node or an IPv6 type address of the access node.

코디네이터는 해쉬 함수 등의 암호화 함수에 의하여 암호화된 마스터키를 생성하여 부모 노드를 통하여 접속 노드에 전송한다(S625, S630). 접속 노드는 암호화된 키 정보를 알 수 없기 때문에 암호화된 마스터 키를 이용하여 자신의 노드를 인증하는데 사용할 수 없다. The coordinator generates a master key encrypted by an encryption function such as a hash function and transmits the master key to the access node through the parent node (S625 and S630). Since the access node does not know the encrypted key information, the access node cannot use it to authenticate its node using the encrypted master key.

이에 코디네이터는 이웃 검색(NeighborHood Search; NHS)을 부모 노드 및 해당 부모 노드 이하의 자식 노드들에게 요청한다(S635, S640, S642). In response, the coordinator requests a neighbor search (NHS) from a parent node and child nodes below the parent node (S635, S640, and S642).

이에, 접속 노드 및 부모 노드를 포함한 이웃 노드들끼리는 서로 할당된 시간 슬롯에 메시지를 주고 받을 수 있다(S650, S651, S652, S653). 이러한 메시지 교환에 의하여, 자신의 노드의 주위의 이웃 노드를 파악할 수 있다. 다만, 이웃 검색에 있어 부모 노드를 제외하고 자식 노드들끼리만 메시지를 주고 받을 수도 있다. 상기 이웃 노드 검색에 의하여 이웃 검색 정보를 나타내는 확장 ACL 프레임 구 조를 생성할 수 있다.Accordingly, neighboring nodes including the access node and the parent node may exchange messages in time slots allocated to each other (S650, S651, S652, and S653). By this message exchange, it is possible to identify neighboring nodes around its own node. However, in the neighbor search, only child nodes may send and receive messages except for the parent node. The extended ACL frame structure indicating neighbor search information may be generated by the neighbor node search.

이웃 검색에 의하여 획득된 이웃 검색 정보인 확장 ACL 프레임을 부모 노드에 전송한다(S660, S670). 부모 노드는 이웃 검색 정보를 코디네이터에 전송한다(S675). 여기에, 확장 ACL 프레임은 소정의 노드를 중심으로 이웃 노드의 리스트 및 이웃 노드의 타임 스탬프 정보를 포함할 수 있다.The extended ACL frame, which is the neighbor search information obtained by the neighbor search, is transmitted to the parent node (S660, S670). The parent node transmits neighbor search information to the coordinator (S675). Here, the extended ACL frame may include a list of neighboring nodes and time stamp information of the neighboring nodes around a predetermined node.

접속 노드는 이웃 검색에 의해 검색된 이웃 노드 리스트 중 임의의 노드 k를 선출하여, 암호화된 마스터 키와 랜덤 키를 XOR 연산(Addk||Random key||Master key)을 수행하여 제1 암호화 키를 생성한다. 이와 같이, 생성된 제1 암호화 키를 코디네이터에 전송한다(S680). 코디네이터는 마스터 키와 접속 노드의 램던 키를 이미 가지고 있기 때문에, 이중 복호화로 접속 노드로부터 수신된 제1 암호화 키 정보를 마스터 키와 접속 노드의 랜덤 키로 XOR 연산을 수행하여 접속 노드가 선택한 k 노드를 추출할 수 있다(S685).The access node selects an arbitrary node k from the neighbor node list retrieved by the neighbor search, and performs an XOR operation on the encrypted master key and the random key (Add k || Random key || Master key) to select the first encryption key. Create In this way, the generated first encryption key is transmitted to the coordinator (S680). Since the coordinator already has the master key and the Lambton key of the access node, XOR operation is performed on the first encryption key information received from the access node with the master key and the random key of the access node by double decryption to select k nodes selected by the access node. Can be extracted (S685).

코디네이터는 복호화된 k 노드 정보를 부모 노드로부터 수신한 확장 ACL 프레임 정보와 비교하여 동일한지 확인한다(S687). 동일한 경우에는, 코디네이터는 마스터 키를 접속 노드로부터 수신된 랜덤 키와 XOR 연산을 수행하여 제2 암호화 키인 ACL 키로 생성하여, ACK 키 필드의 값으로 접속 노드에게 송신한다(S690). 따라서, 평문(Plain text)로 송수신되는 키 필드(443) 대신에 암호화된 키 필드(443)를 송신함으로써 보안 유지를 향상시킬 수 있다.The coordinator compares the decrypted k node information with the extended ACL frame information received from the parent node (S687). In the same case, the coordinator performs an XOR operation with the random key received from the access node to generate the ACL key, which is the second encryption key, and transmits the master key to the access node as a value of the ACK key field (S690). Therefore, the security maintenance can be improved by transmitting the encrypted key field 443 instead of the key field 443 transmitted and received in plain text.

접속 노드는 암호화된 ACL 키 필드의 값을 자신의 랜덤 키로 복호화하여 마 스터 키 정보를 코디네이터에 전송한다(S693). 코디네이터는 마스터 키를 통하여 인증을 수행하여, 접속 노드를 정상적인 노드로 등록한다(S695).The access node decrypts the encrypted ACL key field value with its own random key and transmits master key information to the coordinator (S693). The coordinator performs authentication through the master key, and registers the access node as a normal node (S695).

상기와 같이, 이웃 검색에 의하여 이웃 노드들 중에서 임의의 k 노드를 선택하여 암호화된 ACL 키 필드를 이용함으로써, 클러스터에 접근하는 다른 노드들이 ACK 키 필드를 가로채어, 클러스터를 해킹하거나 다운시키는 악의 노드의 활동을 미연에 방지할 수 있다.As described above, by selecting an arbitrary k node among neighboring nodes by neighbor search and using an encrypted ACL key field, other nodes accessing the cluster intercept the ACK key field to hack or down the cluster. Can prevent the activity of

한편, 다른 실시예로서 한 개의 이웃 노드 정보를 수집했을 경우에도 이웃 노드의 수만큼 생성된 다수의 키 중 한개의 키를 대입하여 복호화를 거쳐야 하기 때문에 코디네이터가 원하는 할당시간에 응답할 수 없다. 또한 소정의 단일 노드가 복수 노드를 복제·생성 할 경우 코디네이터가 할당한 시간에 모든 키와 할당된 시간을 대입하여 응답할 수 없다. 악의적인 노드가 이웃 노드 k를 복제하여도, 이웃노드 타임 스탬프 필드(447)에 담긴 슬롯 정보를 알 수 없기 때문에, 해당 시간 슬롯에 응답을 전혀 할 수 없다. 따라서, 코디네이터는 악의 노드를 용이하게 검출할 수 있다. Meanwhile, in another embodiment, even when collecting information of one neighbor node, the coordinator may not respond to a desired allocation time because one of the plurality of keys generated by the number of neighbor nodes needs to be decrypted. In addition, when a single node duplicates and generates a plurality of nodes, it cannot respond by assigning all keys and the allocated time to the time allocated by the coordinator. Even if the malicious node replicates the neighbor node k, since the slot information contained in the neighbor node time stamp field 447 is not known, the malicious node cannot respond to the corresponding time slot at all. Therefore, the coordinator can easily detect the evil node.

또 다른 실시예로서, 코디네이터는 악의적인 노드 복제에 의하여 생성되는 이웃 검색 리스트 및 이웃노드 타임 스탬프 필드(447)를 자신이 가지고 있는 이웃 검색 리스트 및 이웃노드 타임 스탬프 필드와의 차이를 통하여 악의 노드의 검출을 용이하게 할 수 있다.As yet another example, the coordinator may determine a malicious node through a difference between the neighbor search list and the neighbor node time stamp field generated by malicious node replication and the neighbor search list and the neighbor node time stamp field. Detection can be facilitated.

상기와 같이, 본 발명의 일 실시예에 따르면 이웃 검색에 따라 획득된 이웃 노드들의 정보를 이용함으로써, 별도에 암호화를 위한 복잡한 연산 및 인증 과정을 도입하지 않더라도 노드의 자원 정보를 가지고서 악의 노드를 용이하게 추출할 수 있다.As described above, according to an embodiment of the present invention, by using the information of the neighbor nodes obtained according to the neighbor search, the malicious node is easily carried out with the resource information of the node even without introducing a complicated calculation and authentication process for encryption. Can be extracted.

이상 첨부된 도면을 참조하여 본 발명의 실시예를 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명의 기술적 사상이나 필수적인 특징을 벗어나지 않는 범위 내에서 여러 가지로 치환, 변형 및 변경이 가능하므로 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다.Although embodiments of the present invention have been described above with reference to the accompanying drawings, those skilled in the art to which the present invention pertains have various permutations, modifications, and modifications without departing from the spirit or essential features of the present invention. It is to be understood that modifications may be made and other embodiments may be embodied. It is therefore to be understood that the above-described embodiments are illustrative in all aspects and not restrictive.

도 1은 일반적인 클러스터 구조의 네트워크를 개략적으로 보여주는 도면이다.1 is a view schematically showing a network of a general cluster structure.

도 2a는 일반적인 ACL 프레임의 데이터 구조를 나타내는 도면이다.2A is a diagram illustrating a data structure of a general ACL frame.

도 2b는 도 1의 클러스터 구조에서 코디네이터에서의 ACL 데이터 구조를 간략히 보여주는 도면이다.FIG. 2B is a diagram schematically illustrating an ACL data structure in the coordinator in the cluster structure of FIG. 1.

도 3은 본 발명의 일 실시예에 따른 NAN에서의 이웃 검색을 이용한 보안 방법의 흐름도이다.3 is a flowchart of a security method using neighbor search in a NAN according to an embodiment of the present invention.

도 4는 본 발명의 일 실시예에 따른 NAN에서의 이웃 검색에 따라 생성된 확장된 ACL 프레임 구조를 보여주는 도면이다.4 is a diagram illustrating an extended ACL frame structure generated according to a neighbor search in a NAN according to an embodiment of the present invention.

도 5a는 본 발명의 일 실시예에 따른 NAN에서의 이웃 검색에 따라 악의 노드를 검출하는 개략적인 도면을 보여주는 도면이다.5A is a schematic diagram of detecting a malicious node according to a neighbor search in a NAN according to an embodiment of the present invention.

도 5b는 도 5a에서의 접속 노드가 수집한 확장 ACL 프레임 구조를 보여주는 도면이다.FIG. 5B is a diagram illustrating an extended ACL frame structure collected by an access node in FIG. 5A.

도 6은 본 발명의 다른 실시예에 따른 NAN에서의 이웃 검색을 이용한 보안 방법의 흐름도이다.6 is a flowchart of a security method using neighbor search in a NAN according to another embodiment of the present invention.

*도면의 주요 부분에 대한 설명** Description of the main parts of the drawings *

100, 200: 클러스터 100, 200: cluster

120, 220: 코디네이터120, 220: Coordinator

270, 271, 272: ACL 프레임270, 271, 272: ACL frame

400: 확장 ACL 프레임400: extended ACL frame

Claims (12)

소정의 부모 노드를 통하여 새로운 클러스터로 접근하는 접속 노드; 및An access node accessing a new cluster through a given parent node; And 상기 접속 노드에 이웃 검색 요청을 송신하여 상기 접속 노드로부터 이웃 검색에 의하여 생성된 확장 ACL 프레임을 수신하는 코디네이터를 포함하며,A coordinator for transmitting a neighbor search request to the access node to receive an extended ACL frame generated by the neighbor search from the access node, 상기 확장 ACL 프레임은 The extended ACL frame is 상기 접속 노드와 한 홉 이내의 이웃 노드들을 나타내는 이웃 리스트 필드; 및A neighbor list field indicating neighbor nodes within one hop of the access node; And 상기 이웃 노드들에게 각각 할당된 무선 자원의 시간 정보를 나타내는 이웃노드 타임 스탬프 필드를 포함하는, NAN에서의 이웃 검색을 이용한 네트워크 보안 시스템.And a neighbor node time stamp field indicating time information of radio resources allocated to the neighbor nodes, respectively. 제 1항에 있어서, The method of claim 1, 상기 코디네이터는 상기 수신된 확장 ACL 프레임에 포함된 상기 이웃 리스트 필드 및 이웃노드 타임 스탬프 필드를 이용하여 악의 노드 여부를 판별하는, NAN에서의 이웃 검색을 이용한 네트워크 보안 시스템.And the coordinator determines whether a malicious node exists by using the neighbor list field and the neighbor node time stamp field included in the received extended ACL frame. 제 2항에 있어서, 3. The method of claim 2, 상기 코디네이터는 소정의 클러스터 내에 속한 노드들의 정보를 나타내는 클러스터 정보 및 상기 수신된 확장 ACL 프레임으로부터 추출된 정보를 비교하여 악 의 노드 여부를 판별하는, NAN에서의 이웃 검색을 이용한 네트워크 보안 시스템.And the coordinator compares cluster information indicating information of nodes belonging to a predetermined cluster with information extracted from the received extended ACL frame to determine whether the node is a malicious node. 제 1항에 있어서, The method of claim 1, 상기 이웃노드 타임 스탬프 필드는 상기 코디네이터에 의하여 상기 접속 노드 및 상기 이웃 노드 사이에 메시진 송수신을 위하여 할당된 시간 슬롯을 나타내는, NAN에서의 이웃 검색을 이용한 네트워크 보안 시스템.The Neighbor Time Stamp field indicates a time slot allocated by the coordinator for transmission and reception of messages between the access node and the neighbor node. 제 1항에 있어서,The method of claim 1, 상기 접속 노드는 상기 이웃 노드로부터 특정 메시지를 수신하는 시간 슬롯 번호 또는 시간을 상기 이웃 노드의 이웃노드 타임 스탬프 필드의 값으로 설정하여 상기 확장 ACL 프레임 정보를 송신하는, NAN에서의 이웃 검색을 이용한 네트워크 보안 시스템.The access node transmits the extended ACL frame information by setting a time slot number or time for receiving a specific message from the neighbor node to a value of a neighbor node time stamp field of the neighbor node. Security system. 접속 노드로부터 소정의 클러스터로 접근하여 초기 동기화 비콘을 수신하여 동기화를 수행하는 단계; 및Accessing a predetermined cluster from an access node, receiving an initial synchronization beacon, and performing synchronization; And 상기 접속 노드에 이웃 검색 요청을 송신하여 상기 접속 노드로부터 이웃 검색에 의하여 생성된 확장 ACL 프레임을 수신하는 단계를 포함하며,Sending a neighbor search request to the access node to receive an extended ACL frame generated by the neighbor search from the access node, 상기 확장 ACL 프레임은 The extended ACL frame is 상기 접속 노드와 한 홉 이내의 이웃 노드들을 나타내는 이웃 리스트 필드; 및A neighbor list field indicating neighbor nodes within one hop of the access node; And 상기 이웃 노드들에게 각각 할당된 무선 자원의 시간 정보를 나타내는 이웃노드 타임 스탬프 필드를 포함하는, NAN에서의 이웃 검색을 이용한 네트워크 보안 방법.And a neighbor node time stamp field indicating time information of radio resources allocated to the neighbor nodes, respectively. 제 6항에 있어서,The method of claim 6, 소정의 클러스터 내에 속한 노드들의 정보를 포함하는 클러스터 정보 및 상기 수신된 확장 ACL 프레임으로부터 추출된 정보를 비교하여 악의 노드 여부를 판별하는 단계를 더 포함하는, NAN에서의 이웃 검색을 이용한 네트워크 보안 방법.And comparing cluster information including information of nodes belonging to a predetermined cluster with information extracted from the received extended ACL frame to determine whether the node is a malicious node. 제 6항에 있어서, The method of claim 6, 상기 이웃 노드의 이웃노드 타임 스탬프 필드의 값은 상기 이웃 검색 요청을 수신한 상기 접속 노드가 상기 이웃 노드로부터 헬로우 메시지를 수신하는 시간 슬롯 번호 또는 시간을 나타내는 값인, NAN에서의 이웃 검색을 이용한 네트워크 보안 방법.The value of the neighbor node time stamp field of the neighbor node is a value indicating a time slot number or time at which the access node receiving the neighbor search request receives a hello message from the neighbor node. Way. 접속 노드로부터 소정의 클러스터로 접근하여 초기 동기화 비콘을 수신하는 단계; Accessing a predetermined cluster from an access node to receive an initial synchronization beacon; 상기 접속 노드로부터 상기 접속 노드의 주소 및 생성된 난수 키를 전달받고, 상기 접속 노드에 이웃 검색 요청을 전송하는 단계;Receiving the address of the access node and the generated random number key from the access node, and transmitting a neighbor search request to the access node; 상기 이웃 노드 검색에 따라 확장 ACL 프레임을 수신하는 단계;Receiving an extended ACL frame according to the neighbor node search; 상기 접속 노드로부터 이웃 검색에 따라 수집된 이웃 노드 리스트 중 하나의 노드를 선택하여 상기 선택된 노드의 주소, 난수 키 및 마스터 키를 연산하여 생성된 제1 암호키를 수신하는 단계;Selecting one node from a list of neighbor nodes collected according to a neighbor search from the access node, and receiving a first encryption key generated by calculating an address, a random key, and a master key of the selected node; 상기 제1 암호키를 상기 난수 키 및 상기 마스터 키에 의하여 복호화하여 상기 선택된 노드를 추출하는 단계; 및Extracting the selected node by decrypting the first encryption key by the random number key and the master key; And 상기 선택된 노드의 정보 및 상기 확장 ACL 프레임으로부터 추출된 선택된 노드 정보의 일치 여부를 판단하는 단계를 포함하는, NAN에서의 이웃 검색을 이용한 네트워크 보안 방법.And determining whether or not the information of the selected node and the selected node information extracted from the extended ACL frame coincide with each other. 제 9항에 있어서, 상기 선택된 노드 정보의 일치 여부를 판단하는 단계 후에,The method of claim 9, wherein after determining whether the selected node information matches, 상기 마스터 키 및 상기 난수 키를 연산하여 제2 암호키를 생성하여 상기 접속 노드에 전송하는 단계를 더 포함하는, NAN에서의 이웃 검색을 이용한 네트워크 보안 방법.Computing the master key and the random number key to generate a second cryptographic key and transmit the second encryption key to the access node. 제 9항에 있어서,The method of claim 9, 상기 마스터 키는 코디네이터에서 상기 소정의 클러스터에 부여된 암호화된 키를 나타내는, NAN에서의 이웃 검색을 이용한 네트워크 보안 방법.And said master key represents an encrypted key assigned to said predetermined cluster in a coordinator. 제 9항에 있어서,The method of claim 9, 상기 확장 ACL 프레임은 The extended ACL frame is 상기 접속 노드와 한 홉 이내의 이웃 노드들을 나타내는 이웃 리스트 필드; 및A neighbor list field indicating neighbor nodes within one hop of the access node; And 상기 이웃 노드들에게 각각 할당된 무선 자원의 시간 정보를 나타내는 이웃노드 타임 스탬프 필드를 포함하는, NAN에서의 이웃 검색을 이용한 네트워크 보안 방법.And a neighbor node time stamp field indicating time information of radio resources allocated to the neighbor nodes, respectively.
KR1020090044141A 2009-05-20 2009-05-20 System and Method for security of Neighborhood Area Network using neighborhood detection KR101034380B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020090044141A KR101034380B1 (en) 2009-05-20 2009-05-20 System and Method for security of Neighborhood Area Network using neighborhood detection

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090044141A KR101034380B1 (en) 2009-05-20 2009-05-20 System and Method for security of Neighborhood Area Network using neighborhood detection

Publications (2)

Publication Number Publication Date
KR20100125103A KR20100125103A (en) 2010-11-30
KR101034380B1 true KR101034380B1 (en) 2011-05-16

Family

ID=43409067

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090044141A KR101034380B1 (en) 2009-05-20 2009-05-20 System and Method for security of Neighborhood Area Network using neighborhood detection

Country Status (1)

Country Link
KR (1) KR101034380B1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015069041A1 (en) * 2013-11-06 2015-05-14 엘지전자 주식회사 Method and apparatus for nan terminal to transceive signal in wireless communication system
WO2017014503A1 (en) * 2015-07-17 2017-01-26 엘지전자 주식회사 Method and apparatus for exchanging data in wireless communication system

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015119440A1 (en) * 2014-02-05 2015-08-13 엘지전자 주식회사 Method and device for transreceiving signals through nan terminal in wireless communication system
US10098081B2 (en) 2014-02-07 2018-10-09 Lg Electronics Inc. Method and device for shifting state of NAN terminal in wireless communication system
WO2015170818A1 (en) * 2014-05-07 2015-11-12 엘지전자 주식회사 Method and apparatus for receiving signal by nan device in wireless communication system

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060117188A (en) * 2005-05-12 2006-11-16 삼성전자주식회사 Method for scanning channel in a mesh network and channel scan system
KR20090001223A (en) * 2007-06-29 2009-01-08 아주대학교산학협력단 System and method for detecting and removing malicious node having multiple identities
KR20090005628A (en) * 2007-07-09 2009-01-14 에스케이 텔레콤주식회사 Method for detecting sybil attack in ubiquitous sensor networks
KR20090042607A (en) * 2007-10-26 2009-04-30 경희대학교 산학협력단 Method for transmitting/receiving neighbor discovery message in ipv6 network

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060117188A (en) * 2005-05-12 2006-11-16 삼성전자주식회사 Method for scanning channel in a mesh network and channel scan system
KR20090001223A (en) * 2007-06-29 2009-01-08 아주대학교산학협력단 System and method for detecting and removing malicious node having multiple identities
KR20090005628A (en) * 2007-07-09 2009-01-14 에스케이 텔레콤주식회사 Method for detecting sybil attack in ubiquitous sensor networks
KR20090042607A (en) * 2007-10-26 2009-04-30 경희대학교 산학협력단 Method for transmitting/receiving neighbor discovery message in ipv6 network

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015069041A1 (en) * 2013-11-06 2015-05-14 엘지전자 주식회사 Method and apparatus for nan terminal to transceive signal in wireless communication system
KR101785672B1 (en) 2013-11-06 2017-10-16 엘지전자 주식회사 Method and apparatus for nan terminal to transceive signal in wireless communication system
US9974075B2 (en) 2013-11-06 2018-05-15 Lg Electronics Inc. Method and apparatus for NAN terminal to transceive signal in wireless communication system
WO2017014503A1 (en) * 2015-07-17 2017-01-26 엘지전자 주식회사 Method and apparatus for exchanging data in wireless communication system

Also Published As

Publication number Publication date
KR20100125103A (en) 2010-11-30

Similar Documents

Publication Publication Date Title
CN103119974B (en) For safeguarding the system and method for the privacy in wireless network
JP2011130012A (en) Actor node, sensor node, method for changing coverage block, parameter change method, program, and information processing system
EP1804462B1 (en) Method and apparatus for transmitting message to wireless devices that are classified into groups
US8800010B2 (en) Distributed group temporal key (GTK) state management
CN101771992B (en) Method, equipment and system for protection of confidentiality of international mobile subscriber identifier IMSI
WO2008011376A2 (en) System and method for providing network device authentication
US10848302B2 (en) Network security framework for wireless aircraft communication
JP5637990B2 (en) Method, communication apparatus and system for communicating in network
KR20180119201A (en) Electronic device for authentication system
KR101034380B1 (en) System and Method for security of Neighborhood Area Network using neighborhood detection
JP2011523513A (en) Wireless communication system and method for automatic node and key revocation
CN110506413B (en) System and method for network device security and trust score determination
KR101831604B1 (en) Method for transmitting data, method for authentication, and server for executing the same
Raja et al. Certificate revocation mechanism in mobile ADHOC grid architecture
KR20110031752A (en) Method and apparatus for detecting sybil attack node using localization information and hash chain in ubiquitous sensor networks
JP2022522454A (en) Resource request method, equipment and storage medium
Mahalle et al. Identity driven capability based access control (ICAC) scheme for the Internet of Things
Rani et al. Unique identity and localization based replica node detection in hierarchical wireless sensor networks
CN104641594B (en) Multicast message updates
Panke Clustering based certificate revocation scheme for malicious nodes in MANET
Nesteruk et al. Location-based protocol for the pairwise authentication in the networks without infrastructure
CN103200568A (en) Method and device for node location in wireless sensor network and sensor nodes
Dimitriou et al. Secure and efficient in-network processing for sensor networks
KR101878713B1 (en) Method and System For Connecting User Equipment with Network
CN111585813B (en) Management method and system of network nodes in Internet of things environment

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20140430

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20150429

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20160913

Year of fee payment: 6

LAPS Lapse due to unpaid annual fee