KR101227620B1 - 노드의 신분 위조를 방지하는 방법, 디바이스, 시스템, 클라이언트 노드, 피어 노드 및 수렴점 - Google Patents

노드의 신분 위조를 방지하는 방법, 디바이스, 시스템, 클라이언트 노드, 피어 노드 및 수렴점 Download PDF

Info

Publication number
KR101227620B1
KR101227620B1 KR1020107018635A KR20107018635A KR101227620B1 KR 101227620 B1 KR101227620 B1 KR 101227620B1 KR 1020107018635 A KR1020107018635 A KR 1020107018635A KR 20107018635 A KR20107018635 A KR 20107018635A KR 101227620 B1 KR101227620 B1 KR 101227620B1
Authority
KR
South Korea
Prior art keywords
node
peer
client
peer node
client node
Prior art date
Application number
KR1020107018635A
Other languages
English (en)
Other versions
KR20100103713A (ko
Inventor
펭 리
싱펭 지앙
하이펭 지앙
Original Assignee
후아웨이 테크놀러지 컴퍼니 리미티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 후아웨이 테크놀러지 컴퍼니 리미티드 filed Critical 후아웨이 테크놀러지 컴퍼니 리미티드
Publication of KR20100103713A publication Critical patent/KR20100103713A/ko
Application granted granted Critical
Publication of KR101227620B1 publication Critical patent/KR101227620B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/104Peer-to-peer [P2P] networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

오버레이 네트워크 분야에서, P2P 네트워크에서 노드가 신분(identity, ID)을 위조하는 것을 방지하는 방법, 디바이스, 시스템, 클라이언트 노드, 피어 노드, 및 수렴점을 제공하여, 기존의 노드의 기만행위를 방지하는 기술적 해결책에서의 높은 오버헤드 및 긴 지연이라는 문제점을 해결한다. 상기 방법은 다음의 단계들을 포함한다. 상기 클라이언트 노드가 자신에게 서비스를 제공하는 피어 노드를 발견한 후, 클라이언트 노드와 피어 노드 중 적어도 하나가 ID 인증을 수행한다. 상기 인증에 성공한 후, 클라이언트 노드 또는 피어 노드가 상대방에 관한 ID 위조방지 로그를 설정한다. 본 발명은 P2P 네트워크 내의 네트워크 장비에 대한 ID 인증에 폭넓게 적용 가능하다.

Description

노드의 신분 위조를 방지하는 방법, 디바이스, 시스템, 클라이언트 노드, 피어 노드 및 수렴점 {METHOD, DEVICE, SYSTEM, CLIENT NODE, PEER NODE AND CONVERGENT POINT FOR PREVENTING NODE FROM FORGING IDENTITY}
삭제
본 출원은 오버레이 네트워크(overlay network) 분야에 관한 것이며, 더욱 구체적으로는 네트워크 장비가 신분(identity, ID)을 위조하는 것을 방지하는 방법, 디바이스, 시스템, 클라이언트 노드(client node), 피어 노드(peer node), 및 수렴점(convergent point)에 관한 것이다.
오버레이 네트워크는 하나 이상의 이미 존재하는 하층 네트워크(underlying networks)(예를 들면, 물리 네트워크 또는 논리 네트워크) 상에 건립되는 가상 네트워크(virtual network)이다. 오버레이 네트워크는, 메시지 라우팅 또는 토폴로지 유지보수(topology maintenance)와 같은, 하층 네트워크에서는 곤란한 어떤 특정한 기능들을 구현할 수 있다.
피어투피어(Peer to Peer, P2P) 오버레이 네트워크 (즉, P2P 네트워크)는 기존의 인터넷에 기초하여 P2P 모드로 건립된 오버레이 네트워크이다. P2P 네트워크에서는, P2P 네트워크 내의 피어 노드들 사이의 지위 대등(equal status) 및 자원 공유와 같은 기능을 기존의 인터넷(예컨대, 클라이언트 노드/서버 네트워크 등)에 기초하여 실현할 수 있다.
P2P 네트워크는 두 가지 유형의 엔티티, 즉 피어 노드와 클라이언트 노드를 가진다. 피어 노드는, 자원 공유 기능을 갖는 외에, 라우팅 기능, 저장 기능, 및 기타 기능들을 포함하는 P2P 네트워크의 조직 및 유지보수에 참여한다. 클라이언트 노드의 기능은 비교적 단순하다. 클라이언트 노드는 피어 노드를 통해 네트워크에 요청을 전달해야 하고, 라우팅 기능을 갖지 않는다, 즉 네트워크에서의 라우팅은 클라이언트 노드를 지나지 않는다.
P2P 네트워크에서, 피어 노드와 클라이언트 노드 각각은 ID를 갖는다. 라우팅 시에, 네트워크 내의 키/값 쌍(key/value pair)과 키에 대응하는 값은 피어 노드 ID(peer ID)에 따라 저장 또는 판독된다. 클라이언트 노드는 클라이언트 노드 ID에 따라 피어 노드에 의해 제공되는 서비스를 받는다. 피어 노드 ID 및 클라이언트 노드 ID는 일정한 규칙에 따라 취득된다. 예를 들면 피어 노드 ID는 해시 알고리즘(Hash algorithm)에 의해 취득되고, 클라이언트 노드 ID는 관리 서버(management server)에 의해 할당된다.
악의적인 노드(malicious node)는 피어 노드 ID와 클라이언트 노드 ID를 쉽게 위조할 수 있다. 악의적인 노드는 피어 노드 ID를 위조함으로써 네트워크를 공격하거나 네트워크 자원을 불법으로 취득하고, 다른 클라이언트 노드 ID를 위조함으로써 네트워크 자원을 사용하는 비용을 들이지 않는다.
ID 위조를 방지하기 위해 흔히 사용되는 방법은 다음과 같다. 각 클라이언트 노드가 네트워크에 가입(join)하기 전에, 제3자 기관 또는 조직(third-party institution or organization)에 클이언트 노드 ID를 인증받고, 그 인증을 통과한 클라이언트 노드는 네트워크 가입을 위한 증서(certificate)을 취득할 수 있다. 클라이언트 노드는 증서의 개인키(private key)에 따라 자신이 생성한 메시지(self-generated message)에 서명하며, 또 수신된 메시지를 인증하고 서명한다.
본 발명의 구현하던 중에, 본 발명자들은 상기한 기술적 해결책에 다음의 문제점이 있다는 것을 알았다. 증서와 클라이언트 노드를 상기한 방법으로 바인딩하는 경우, ID 위조를 방지하는 능력은 있지만 비용이 상당이 많이 든다. 첫째로, 상기한 방법에서는, 네트워크에 공개키 기반구조(Public Key Infrastructure, PKI) 시스템을 배포(deploy)하여야 하지만, 배포 비용이 많이 들고, 또한 시스템 유지보수 비용도 많이 든다. 둘째로, 클라이언트 노드는 전송 메시지마다 그리고 수신 메시지마다 서명하여야 하는데, 이것이 네트워크 메시지 라우팅에 상당히 긴 지연을 초래한다. 그 결과, 이 방법은 스트리밍 미디어 서비스의 지연에 대한 고도의 요건을 반드시 충족시킬 수는 없다. 셋째로, 어떤 특정한 단순 애플리케이션 환경에서는, 클라이언트 노드와 피어 노드 모두가 증서를 가지고 있더라도, 그 증서가 반드시 메시지를 인증하는 데 사용되는 것은 아니며, 오로지 ID 인증만을 필요로 한다.
본 발명의 실시예는 P2P 네트워크에서 노드의 신분(ID) 위조를 방지하는 방법을 제공하며, 이 방법은 피어 노드의 기만행위(cheating)를 방지하는 기존의 기술적 해결책에 PKI를 배포하는 경우, 그 배포 및 유지보수에 비용이 많이 든다는 문제점을 해결하고, 피어 노드의 기만행위를 방지하는 기존의 기술적 해결책에서 전송 메시지마다 그리고 수신 메시지마다 서명 검증(signature verification)을 수행하는 경우에 메시지 라우팅 지연이 길어진다는 문제점을 해결한다.
상기 목적을 달성하기 위해, P2P 네트워크에서 노드의 신분(ID) 위조를 방지하는 방법이 제공된다. 상기 P2P 네트워크는 클라이언트 노드 및 상기 클라이언트 노드에게 서비스를 제공하는 피어 노드를 포함하고, 상기 클라이언트 노드는 상기 피어 노드를 통해 상기 P2P 네트워크에 요청을 전달해야 한다. 상기 방법은 다음의 단계들을 포함한다.
클라이언트 노드가, 상기 클라이언트 노드에게 서비스를 제공하는 피어 노드를 발견한 후, 상기 클라이언트 노드와 상기 피어 노드 중 적어도 하나는 인증 개시자(authentication initiator) 역할을 하여 상대방을 인증한다.
상기 인증에 성공한 후, 상기 인증 개시자 역할을 하는 상기 클라이언트 노드 또는 상기 피어 노드는 상대방에 관한 ID 위조방지 로그(anti-forgery log)를 로컬로 설정하고 저장하며, 상기 ID 위조방지 로그를 사용하여 악의적인 노드를 식별한다.
본 발명의 실시예에 따른 노드의 신분(ID) 위조를 방지하는 방법에서는, 피어 노드 또는 클라이언트 노드가 ID 위조방지 로그를 로컬로 저장함으로써, 피어 노드의 기만행위를 방지하기 위해 기존의 기술적 해결책에 PKI를 배포하는 경우, 그 배포 및 유지보수에 비용이 많이 든다는 문제점이 해결된다. ID 위조방지 로그를 사용함으로써 악의적인 노드를 식별하는 프로세스는 간단하고 효과적이며 검출 비용이 적게 든다. 피어 노드의 기만행위를 방지하는 기존의 기술적 해결책에서 전송 메시지 및 수신 메시지마다 서명 검증을 수행하는 경우에 메시지 라우팅 지연이 길어진다는 문제점이 해결된다. ID 위조방지 로그를 사용함으로써 악의적인 노드가 식별된 경우, 오직 노드 ID만 검증이 필요하고, 송신 메시지 및 수신 메시지마다 서명 검증이 반드시 수행되지는 않으므로, 라우팅 지연이 단축된다.
실시예에서, 본 발명은 또한 P2P 네트워크에서 노드의 신분(ID) 위조를 방지하는 디바이스를 제공하며, 이 디바이스는 피어 노드의 기만행위를 방지하는 기존의 기술적 해결책에 PKI를 배포하는 경우, 그 배포 및 유지보수에 비용이 많이 든다는 문제점을 해결하고, 피어 노드의 기만행위를 방지하는 기존의 기술적 해결책에서 전송 메시지 및 수신 메시지마다 서명 검증을 수행하는 경우에 메시지 라우팅 지연이 길어진다는 문제점을 해결한다.
상기 목적을 달성하기 위해, 본 발명의 실시예에 따른 P2P 네트워크에서 노드의 신분(ID) 위조를 방지하는 디바이스는 다음의 기술적 해결책을 채택한다.
상기 P2P 네트워크는 클라이언트 노드 및 상기 클라이언트 노드에게 서비스를 제공하는 피어 노드를 포함하고, 상기 클라이언트 노드는 상기 피어 노드를 통해 상기 P2P 네트워크에 요청을 전달해야 하며, 상기 디바이스는 상기 클라이언트 노드이거나 상기 피어 노드이다.
상기 디바이스는 인증 유닛(1), 저장 유닛(2), 및 식별 유닛(3)을 포함한다.
상기 인증 유닛(1)은 노드 ID의 유효성(authenticate)을 인증하도록 구성된다.
상기 저장 유닛(2)은 인증된 노드 ID에 관한 ID 위조방지 로그를 설정 및 저장하도록 구성된다.
상기 식별 유닛(3)은 ID 위조방지 로그에 따라 악의적인 노드를 식별하도록 구성된다.
본 발명의 실시예에서 제공된 노드의 신분(ID) 위조를 방지하는 디바이스에서는, 피어 노드 또는 클라이언트 노드가 로컬 저장 유닛에 ID 위조방지 로그를 저장함으로써, 피어 노드의 기만행위를 방지하기 위해 기존의 기술적 해결책에 PKI를 배포하는 경우, 그 배포 및 유지보수에 비용이 많이 든다는 문제점을 해결한다. ID 위조방지 로그를 사용함으로써 식별 유닛이 악의적인 노드를 식별하는 프로세스는 간단하고, 효과적이며, 검출 비용이 적게 든다. 피어 노드의 기만행위를 방지하는 기존의 기술적 해결책에서 전송 메시지 및 수신 메시지마다 서명 검증을 수행하는 경우에 메시지 라우팅 지연이 길어진다는 문제점이 해결된다. 식별 유닛이 ID 위조방지 로그를 사용하여 악의적인 노드를 식별하는 경우, 인증 유닛은 간단히 노드 ID만 검증하고, 송신 메시지 및 수신 메시지마다 서명 검증이 반드시 수행되지는 않으므로, 라우팅 지연이 단축된다.
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
실시예에서, 본 발명은 또한, 피어 노드의 기만행위를 방지하는 기존의 기술적 해결책에 PKI를 배포하는 경우, 그 배포 및 유지보수에 비용이 많이 든다는 문제점을 해결하고, 피어 노드의 기만행위를 방지하는 기존의 기술적 해결책에서 전송 메시지 및 수신 메시지마다 서명 검증을 수행하는 경우에 메시지 라우팅 지연이 길어진다는 문제점을 해결하는, P2P 네트워크에서 노드의 신분(ID) 위조를 방지하는 시스템을 제공한다.
상기 목적을 달성하기 위해, 본 발명의 실시예에 따른 노드의 신분(ID) 위조를 방지하는 시스템은 다음의 기술적 해결책을 채택한다. 상기 시스템은 클라이언트 노드 및 상기 클라이언트 노드에게 서비스를 제공하는 피어 노드를 포함하고, 상기 클라이언트 노드는 상기 피어 노드를 통해 상기 P2P 네트워크에 요청을 전달해야 한다.
상기 클라이언트 노드는, 상기 클라이언트 노드에게 서비스를 제공하는 피어 노드를 발견하고 상기 피어 노드와의 연결을 설정하도록 구성된다.
상기 피어 노드는, 상기 피어 노드에게 서비스 요청을 전송하는 클라이언트 노드와의 연결을 설정하도록 구성된다.
상기 클라이언트 노드와 상기 피어 노드 중 적어도 하나는 인증 개시자 역할을 하여 상대방을 인증하도록 구성된다.
상기 인증에 성공한 후, 상기 인증 개시자 역할을 하는 상기 클라이언트 노드 또는 상기 피어 노드는 상대방에 관한 ID 위조방지 로그를 로컬로 설정하고 저장하며, 상기 ID 위조방지 로그를 사용하여 악의적인 노드를 식별한다.
상기 인증 개시자 역할을 하는 노드가 상기 클라이언트 노드인 경우, 상기 상대방에 관한 ID 위조방지 로그는 상기 피어 노드의 ID, 상기 피어 노드의 물리 어드레스, 및 상기 피어 노드의 ID와 상기 피어 노드의 물리 어드레스 사이의 하나 이상의 매핑 관계를 포함하고;
상기 인증 개시자 역할을 하는 노드가 상기 피어 노드인 경우, 상기 상대방에 관한 ID 위조방지 로그는 상기 클라이언트 노드의 ID, 상기 클라이언트 노드의 물리 어드레스, 및 상기 클라이언트의 ID와 상기 클라이언트의 물리 어드레스 사이의 하나 이상의 매핑 관계를 포함한다.
본 발명의 실시예에 따른 노드의 신분(ID) 위조를 방지하는 시스템에서는, 피어 노드 또는 클라이언트 노드가 ID 위조방지 로그를 로컬 저장 유닛에 저장함으로써, 피어 노드의 기만행위를 방지하기 위해 기존의 기술적 해결책에 PKI를 배포하는 경우, 그 배포 및 유지보수에 비용이 많이 든다는 문제점이 해결된다. ID 위조방지 로그를 사용함으로써 피어 노드와 클라이언트 노드의 식별 유닛이 악의적인 노드를 식별하는 프로세스는 간단하고 효과적이며 검출 비용이 적게 든다.
피어 노드의 기만행위를 방지하는 기존의 기술적 해결책에서 전송 메시지 및 수신 메시지마다 서명 검증을 수행하는 경우에 메시지 라우팅 지연이 길어진다는 문제점이 해결된다. 피어 노드와 클라이언트 노드의 식별 유닛이 ID 위조방지 로그를 사용하여 악의적인 노드를 식별하는 경우, 인증 유닛은 간단히 노드 ID만의 검증을 필요하고, 송신 메시지 및 수신 메시지마다 서명 검증이 반드시 수행되지는 않으므로, 라우팅 지연이 단축된다.
도 1은 본 발명의 실시예에 따른 노드의 신분(ID) 위조를 방지하는 방법의 흐름도이다.
도 2는 본 발명의 실시예에 따른 수렴점을 사용함으로써 노드의 신분(ID) 위조를 방지하는 방법의 개략도이다.
도 3은 본 발명의 실시예에 따른 노드의 신분(ID) 위조를 방지하는 디바이스의 개략 구성도이다.
도 4는 본 발명의 실시예에 따른 노드의 신분(ID) 위조를 방지하는 시스템의 개략 구성도이다.
본 발명의 실시예에서는 노드가 ID를 위조하는 것을 방지하는 방법을 제공하여, P2P 네트워크에서 피어 노드가 기만행위를 하는 것을 방지하는 기존의 방법이 갖는 높은 오버헤드 및 긴 지연이라는 문제점을 해결한다.
도 1에 나타낸 바와 같이, 본 발명의 실시예에 제공된, 노드의 ID 위조를 방지하는 방법은 다음의 단계들을 포함한다.
단계 11에서, 클라이언트 노드가 자신에게 서비스를 제공하는 피어 노드를 발견한 후, 클라이언트 노드와 피어 노드 중 적어도 하나가 인증 개시자 역할을 하여, 상대방을 인증한다.
이 인증은 일방(one-way authentication) 인증과 상호 인증(mutual authentication) 포함한다.
일방 인증은 다음과 같다: 인증 개시자(클라이언트 노드나 피어 노드 중 어느 하나)가 상대방의 ID를 인증한다, 즉 클라이언트 노드가 피어 노드의 ID를 인증하거나, 또는 피어 노드가 클라이언트 노드의 ID를 인증한다.
상호 인증은 다음과 같다: 클라이언트 노드가 피어 노드의 ID를 인증하고 피어 노드가 클라이언트 노드의 ID를 인증한다.
구체적인 인증 프로세스는 종래 기술에서 다루고 있으므로, 본 출원에서는 상세하게 설명하지 않는다.
단계 12에서, 인증에 성공한 후, 인증 개시자 역할을 하는 클라이언트 노드 또는 피어 노드가 상대방에 관한 ID 위조방지 로그를 로컬로 설정하고 저장한다.
일방 인증에서, 클라이언트 노드가 인증 개시자인 경우, 클라이언트 노드는 피어 노드에 관한 ID 위조방지 로그를 로컬로 설정한다. 이 ID 위조방지 로그는 피어 노드의 ID, 피어 노드의 물리 어드레스, 및 피어 노드의 ID와 피어 노드의 물리 어드레스 사이의 하나 이상의 매핑 관계를 포함한다.
일방 인증에서, 피어 노드가 인증 개시자인 경우, 피어 노드는 클라이언트 노드에 관한 ID 위조방지 로그를 로컬로 설정한다. 이 ID 위조방지 로그는 클라이언트 노드의 ID, 클라이언트 노드의 물리 어드레스, 및 클라이언트 노드의 ID와 클라이언트 노드의 물리 어드레스 사이의 하나 이상의 매핑 관계를 포함한다.
상호 인증에서, 피어 노드는 클라이언트 노드에 관한 ID 위조방지 로그를 로컬로 설정하고, 클라이언트 노드는 피어 노드에 관한 ID 위조방지 로그를 로컬로 설정한다.
피어 노드의 ID는 피어 노드 신분 증명서(identification)를 포함하고, 클라이언트 노드의 ID는 클라이언트 노드 신분 증명서를 포함한다. 물리 어드레스는 MAC 어드레스, 또는 IP 어드레스, 또는 비동기 전송 모드 가상 경로 식별자/가상 채널 식별자(Asynchronous Transfer Mode Virtual Path Identifier/Virtual Channel Identifier, ATM VPI/VCI), 또는 노드의 가상 근거리 통신망 ID(Virtual Local Area Network ID, VLAN ID)일 수 있거나, 또는 클라이언트 노드와 피어 노드 사이의 물리적인 연결 어드레스일 수 있다.
노드는 상대방에 관한 ID 위조방지 로그를 설정하고 저장하며, 이 ID 위조방지 로그를 사용하여 악의적인 노드를 식별한다. 클라이언트 노드가 상대방에 관한 ID 위조방지 로그를 로컬로 설정하고 저장하는 경우, 클라이언트 노드가 악의적인 노드를 식별하는 구체적인 프로세스는 다음과 같다.
피어 노드에 의해 전송된 메시지를 수신한 후, 클라이언트 노드는 인증 개시자 역할을 하여 피어 노드의 ID와 피어 노드의 물리 어드레스 사이의 매핑 관계를 인증한다.
피어 노드의 ID와 피어 노드의 물리 어드레스 사이의 매핑 관계가, 인증 개시자가 소유한 ID 위조방지 로그 내의 기록과 일치하는 경우, 그 피어 노드는 악의적인 노드가 아니고; 피어 노드의 ID와 피어 노드의 물리 어드레스 사이의 매핑 관계가, 인증 개시자가 소유한 ID 위조방지 로그 내의 기록과 불일치하는 경우, 그 피어 노드는 악의적인 노드이다.
피어 노드가 상대방에 관한 ID 위조방지 로그를 로컬로 설정하고 저장하는 경우, 피어 노드가 악의적인 노드를 식별하는 구체적인 프로세스는 다음과 같다.
클라이언트 노드에 의해 전송된 메시지를 수신한 후, 피어 노드가 인증 개시자 역할을 하여, 클라이언트 노드의 ID와 클라이언트 노드의 물리 어드레스 사이의 매핑 관계를 인증한다.
클라이언트 노드의 ID와 클라이언트 노드의 물리 어드레스 사이의 매핑 관계가, 인증 개시자가 소유한 ID 위조방지 로그 내의 기록과 일치하는 경우, 그 클라이언트 노드를 악의적인 노드가 아니고; 클라이언트 노드의 ID와 클라이언트 노드의 물리 어드레스 사이의 매핑 관계가, 인증 개시자가 소유한 ID 위조방지 로그 내의 기록과 불일치하는 경우, 그 클라이언트 노드를 악의적인 노드이다.
본 발명의 실시예에 제공된 노드의 신분(ID) 위조를 방지하는 방법에서는, 피어 노드 또는 클라이언트 노드가 ID 위조방지 로그를 로컬로 저장하므로, 피어 노드의 기만행위를 방지하는 기존의 기술적 해결책에 PKI를 배포하는 경우, 그 배포 및 유지보수에 비용이 많이 든다는 문제점을 해결한다. 상기한 ID 위조방지 로그를 사용함으로써 악의적인 노드를 식별하는 프로세스는 간단하고, 효과적이며, 검출 비용이 적게 든다. 피어 노드의 기만행위를 방지하는 기존의 기술적 해결책에서 전송 메시지 및 수신 메시지마다 서명 검증을 수행하는 경우에 메시지 라우팅 지연이 길어진다는 문제점이 해결된다. ID 위조방지 로그를 사용함으로써 악의적인 노드를 식별하는 경우, 오직 노드 ID만 검증이 필요하고, 송신 메시지 및 수신 메시지마다 서명 검증이 반드시 수행되지는 않으므로, 라우팅 지연이 단축된다.
피어 노드의 물리 어드레스가 변경된 경우, 클라이언트 노드는 ID 위조방지 로그에서 그 피어 노드에 관한 ID 위조방지 레코드를 삭제한다.
피어 노드가 새로운 물리 어드레스를 취득한 후, 클라이언트 노드는 그 피어 노드를 다시 인증한다.
이 인증에 성공한 후, 클라이언트 노드는 피어 노드의 ID와 피어 노드의 새로운 물리 어드레스 사이의 매핑 관계를 로컬 ID 위조방지 로그에 저장한다.
클라이언트 노드에게 서비스를 제공하는 피어 노드가 P2P 네트워크를 떠나는 경우, 피어 노드는 프록시 피어 노드(proxy peer node)에 클라이언트 노드의 ID와 클라이언트 노드의 물리 어드레스 사이의 매핑 관계를 통지하고, 프록시 피어 노드가 클라이언트 노드에게 계속하여 서비스를 제공한다는 것을 클라이언트 노드에게 통지한다.
프록시 피어 노드에 의해 제공되는 서비스를 수락하기 전에, 클라이언트 노드는 먼저 프록시 피어 노드의 ID를 인증한다.
이 인증에 성공한 후, 클라이언트 노드는 프록시 피어 노드의 ID와 프록시 피어 노드의 물리 어드레스 사이의 매핑 관계를 로컬 ID 위조방지 로그에 추가한다.
그후, 클라이언트 노드는 프록시 피어 노드에 의해 제공된 서비스를 수락한다.
도 2에 나타낸 바와 같이, 어떤 애플리케이션 시나리오에서는, P2P 네트워크의 메시지를 감지할 수 있는 수렴점이 P2P 네트워크에 연결된다. 각 피어 노드는 이 수렴점을 통해 P2P 네트워크에 연결되고, 피어 노드는 또한 클라이언트 노드와 연결될 수 있다. 피어 노드들 사이의 메시지는 어떤 특정한 수렴점을 통해 P2P 네트워크에 전달된다. 이 수렴점은 기본 메시지 파싱 기능(basic message parsing function)을 가진다. 수렴점은 패킷 감청(deep packet inspection, DPI)을 통해 수신된 메시지를 분석(parse)하여 메시지 컨텐츠를 취득하고, 메시지로부터 피어 노드의 ID와 피어 노드의 물리 어드레스 사이의 매핑 관계를 추출하며, 피어 노드에 관한 ID 위조방지 로그를 설정한다.
본 발명의 실시예는 또한, P2P 네트워크에서 노드의 신분(ID) 위조를 방지하는 디바이스를 제공한다. 도 3에 나타낸 바와 같이, 이 디바이스는 인증 유닛(1), 저장 유닛(2), 및 식별 유닛(3)을 포함한다.
인증 유닛(1)은 노드의 ID의 유효성을 인증하도록 구성된다.
저장 유닛(2)은 인증된 노드에 관한 ID 위조방지 로그를 설정 및 저장하도록 구성된다.
식별 유닛(3)은 ID 위조방지 로그에 따라 악의적인 노드를 식별하도록 구성된다.
노드는 클라이언트 노드와 피어 노드를 포함한다. 노드가 클라이언트 노드인 경우, 노드 ID 위조방지 로그는 피어 노드의 ID, 피어 노드의 물리 어드레스, 및 피어 노드의 ID와 피어 노드의 물리 어드레스 사이의 매핑 관계를 포함한다. 노드가 피어 노드인 경우, 노드 ID 위조방지 로그는 클라이언트 노드의 ID, 클라이언트 노드의 물리 어드레스, 및 클라이언트 노드의 ID와 클라이언트 노드의 물리 어드레스 사이의 매핑 관계를 포함한다.
ID 위조방지 로그에 따라 악의적인 노드를 식별하는 프로세스에 대해서는 방법 실시예에서 상세하게 설명하였으므로, 여기서는 다시 설명하지 않는다.
본 발명의 실시예에 제공된 노드의 신분(ID) 위조를 방지하는 디바이스에서는, 노드가 ID 위조방지 로그를 로컬 스토리지 유닛에 저장하므로, 피어 노드의 기만행위를 방지하는 기존의 기술적 해결책에 PKI를 배포하는 경우, 그 배포 및 유지보수에 비용이 많이 든다는 문제점을 해결한다. ID 위조방지 로그를 사용함으로써 식별 유닛이 악의적인 노드를 식별하는 프로세스는 간단하고, 효과적이며, 검출 비용이 적게 든다. 피어 노드의 기만행위를 방지하는 기존의 기술적 해결책에서 전송 메시지 및 수신 메시지마다 서명 검증을 수행하는 경우에 메시지 라우팅 지연이 길어진다는 문제점이 해결된다. 식별 유닛이 ID 위조방지 로그를 사용하여 악의적인 노드를 식별하는 경우, 인증 유닛은 단순히 노드 ID의 검증을 필요로 하고, 송신 메시지 및 수신 메시지마다 서명 검증이 반드시 수행되지는 않으므로, 라우팅 지연이 단축된다.
본 발명의 실시예는 또한 인증 유닛, 저장 유닛, 및 식별 유닛을 포함하는 클라이언트 노드를 제공한다.
인증 유닛은 피어 노드의 신분(ID)의 유효성을 인증하도록 구성된다.
저장 유닛은 인증 유닛의 인증 결과에 따라 피어 노드에 관한 ID 위조방지 로그를 설정 및 저장하도록 구성된다.
식별 유닛은 메시지를 전송하는 피어 노드의 정보 및 저장 유닛에 의해 저장된 ID 위조방지 로그에 따라 악의적인 피어 노드를 식별하도록 구성된다.
피어 노드에 관한 ID 위조방지 로그는 피어 노드의 ID 및 피어 노드의 물리 어드레스, 및 피어 노드의 ID와 피어 노드의 물리 어드레스 사이의 매핑 관계를 포함한다.
이 클라이언트 노드는 악의적인 피어 노드를 식별할 수 있으며, 악의적인 피어 노드를 식별하는 구체적인 프로세스에 대해서는 방법 실시예에서 상세하게 설명하였으므로, 여기서는 다시 설명하지 않는다.
본 발명의 실시예에 제공된 클라이언트 노드는 ID 위조방지 로그를 로컬 스토리지 유닛에 저장하므로, 피어 노드의 기만행위를 방지하는 기존의 기술적 해결책에 PKI를 배포하는 경우, 그 배포 및 유지보수에 비용이 많이 든다는 문제점을 해결한다. ID 위조방지 로그를 사용함으로써 클라이언트 노드의 식별 유닛이 악의적인 노드를 식별하는 프로세스는 간단하고, 효과적이며, 검출 비용이 적게 든다. 피어 노드의 기만행위를 방지하는 기존의 기술적 해결책에서 전송 메시지 및 수신 메시지마다 서명 검증을 수행하는 경우에 메시지 라우팅 지연이 길어진다는 문제점이 해결된다. 클라이언트 노드의 식별 유닛이 ID 위조방지 로그를 사용하여 악의적인 노드를 식별하는 경우, 클라이언트 노드의 인증 유닛은 단순히 피어 노드 ID의 검증을 필요로 하고, 송신 메시지 및 수신 메시지마다 서명 검증이 반드시 수행되지는 않으므로, 라우팅 지연이 단축된다.
본 발명의 실시예는 또한 인증 유닛, 저장 유닛, 및 식별 유닛을 포함하는 네트워크 피어 노드를 제공한다.
인증 유닛은 클라이언트 노드의 신분(ID)의 유효성을 인증하도록 구성된다.
저장 유닛은 인증 유닛의 인증 결과에 따라 클라이언트 노드에 관한 ID 위조방지 로그를 설정 및 저장하도록 구성된다.
식별 유닛은 메시지를 전송하는 클라이언트 노드의 정보 및 저장 유닛에 의해 저장된 ID 위조방지 로그에 따라 악의적인 클라이언트 노드를 식별하도록 구성된다.
클라이언트 노드에 관한 ID 위조방지 로그는 클라이언트 노드의 ID 및 클라이언트 노드의 물리 어드레스, 및 클라이언트 노드의 ID와 클라이언트 노드의 물리 어드레스 사이의 하나 이상의 매핑 관계를 포함한다.
네트워크 피어 노드는 악의적인 클라이언트 노드를 식별할 수 있으며, 악의적인 클라이언트 노드를 식별하는 구체적인 프로세스에 대해서는 방법 실시예에서 상세하게 설명하였으므로, 여기서는 다시 설명하지 않는다.
본 발명의 실시예에 제공된 네트워크 피어 노드는 ID 위조방지 로그를 로컬 스토리지 유닛에 저장하므로, 피어 노드의 기만행위를 방지하는 기존의 기술적 해결책에 PKI를 배포하는 경우, 그 배포 및 유지보수에 비용이 많이 든다는 문제점을 해결한다. ID 위조방지 로그를 사용함으로써 피어 노드의 식별 유닛이 악의적인 노드를 식별하는 프로세스는 간단하고, 효과적이며, 검출 비용이 적게 든다. 피어 노드의 기만행위를 방지하는 기존의 기술적 해결책에서 전송 메시지 및 수신 메시지마다 서명 검증을 수행하는 경우에 메시지 라우팅 지연이 길어진다는 문제점이 해결된다. 네트워크 피어 노드의 식별 유닛이 ID 위조방지 로그를 사용하여 악의적인 노드를 식별하는 경우, 네트워크 피어 노드의 인증 유닛은 단순히 클라이언트 노드 ID의 검증을 필요로 하고, 송신 메시지 및 수신 메시지마다 서명 검증이 반드시 수행되지는 않으므로, 라우팅 지연이 단축된다.
본 발명의 실시예는 인증 유닛, 저장 유닛, 및 식별 유닛을 포함하는 네트워크 수렴점을 제공한다.
인증 유닛은 인증된 피어 노드의 ID의 유효성을 인증하도록 구성된다.
저장 유닛은 인증 유닛의 인증 결과에 따라 인증된 피어 노드에 관한 ID 위조방지 로그를 설정 및 저장하도록 구성된다.
식별 유닛은 메시지를 전송하는 노드의 정보 및 저장 유닛에 의해 저장된 ID 위조방지 로그에 따라 악의적인 노드를 식별하도록 구성된다.
피어 노드에 관한 ID 위조방지 로그는 피어 노드의 ID, 피어 노드의 물리 어드레스, 및 상기 ID와 상기 물리 어드레스 사이의 하나 이상의 매핑 관계를 포함한다.
이 네트워크 수렴점은 악의적인 노드를 식별할 수 있으며, 그 구체적인 프로세스에 대해서는 방법 실시예에서 상세하게 설명하였으므로, 여기서는 다시 설명하지 않는다.
본 발명의 실시예에 제공된 네트워크 수렴점은 ID 위조방지 로그를 로컬 스토리지 유닛에 저장하므로, 피어 노드의 기만행위를 방지하는 기존의 기술적 해결책에 PKI를 배포하는 경우, 그 배포 및 유지보수에 비용이 많이 든다는 문제점을 해결한다. ID 위조방지 로그를 사용함으로써 네트워크 수렴점의 식별 유닛이 악의적인 노드를 식별하는 프로세스는 간단하고, 효과적이며, 검출 비용이 적게 든다. 피어 노드의 기만행위를 방지하는 기존의 기술적 해결책에서 전송 메시지 및 수신 메시지마다 서명 검증을 수행하는 경우에 메시지 라우팅 지연이 길어진다는 문제점이 해결된다. 네트워크 수렴점의 식별 유닛이 ID 위조방지 로그를 사용하여 악의적인 노드를 식별하는 경우, 네트워크 수렴점의 인증 유닛은 단순히 노드 ID의 검증만을 필요로 하고, 송신 메시지 및 수신 메시지마다 서명 검증이 반드시 수행되지는 않으므로, 라우팅 지연이 단축된다.
본 발명의 실시예는 또한 P2P 네트워크에서 노드의 신분(ID) 위조를 방지하는 시스템을 제공한다. 도 4에 나타낸 바와 같이, 이 시스템은 피어 노드와 클라이언트 노드를 포함한다.
클라이언트 노드는 자신에게 서비스를 제공하는 피어 노드를 발견하고 그 피어 노드와의 연결을 설정하도록 구성된다.
피어 노드는 자신에게 서비스 요청을 전송하는 클라이언트 노드와의 연결을 설정하도록 구성된다.
클라이언트 노드와 피어 노드 중 적어도 하나는 인증 개시자 역할을 하여 상대방을 인증한다.
이 인증에 성공한 후, 인증 개시자 역할을 하는 클라이언트 노드 또는 피어 노드는 상대방에 관한 ID 위조방지 로그를 로컬로 설정하고 저장한다.
피어 노드에 관한 ID 위조방지 로그는 피어 노드의 ID, 피어 노드의 물리 어드레스, 및 피어 노드의 ID와 피어 노드의 물리 어드레스 사이의 하나 이상의 매핑 관계를 포함한다. 클라이언트 노드에 관한 ID 위조방지 로그는 클라이언트 노드의 ID, 클라이언트 노드의 물리 어드레스, 및 클라이언트 노드의 ID와 클라이언트 노드 물리 어드레스 사이의 하나 이상의 매핑 관계를 포함한다.
어떤 애플리케이션의 시나리오에서, 본 발명의 실시예에 제공된 P2P 네트워크에서 노드의 신분(ID) 위조를 방지하기 위한 시스템은, 하나 이상의 피어 노드와 연결된 수렴점과, 클라이언트 노드와 연결된 피어 노드를 더 포함한다.
피어 노드는, 자신에게 서비스를 제공하는 수렴점을 발견하고 그 수렴점과의 연결을 설정하도록 구성된다.
수렴점은, 자신에게 서비스 요청을 전송하는 피어 노드와의 연결을 설정하도록 구성된다.
수렴점은 인증 개시자 역할을 하여 피어 노드의 ID를 인증한다.
이 인증에 성공한 후, 인증 개시자 역할을 하는 수렴점은 피어 노드에 관한 ID 위조방지 로그를 로컬로 설정하고 저장한다.
노드는 클라이언트 노드 또는 피어 노드이다. 노드가 클라이언트 노드인 경우, 노드 ID 위조방지 로그는 피어 노드의 ID, 피어 노드의 물리 어드레스, 및 피어 노드의 ID와 피어 노드의 물리 어드레스 사이의 하나 이상의 매핑 관계를 포함한다. 노드가 피어 노드인 경우, 노드 ID 위조방지 로그는 클라이언트 노드의 ID, 클라이언트 노드의 물리 어드레스, 및 클라이언트 노드의 ID와 클라이언트 노드의 물리 어드레스 사이의 매핑 관계를 포함한다.
이 시스템은 악의적인 피어 노드를 식별할 수 있으며, 그 구체적인 프로세스에 대해서는 방법 실시예에서 상세하게 설명하였으므로, 여기서는 다시 설명하지 않는다.
본 발명의 실시예에 제공된 노드의 ID 위조를 방지하는 시스템에서, 피어 노드, 클라이언트 노드, 또는 수렴점이 ID 위조방지 로그를 로컬 스토리지 유닛에 저장하므로, 피어 노드의 기만행위를 방지하는 기존의 기술적 해결책에 PKI를 배포하는 경우, 그 배포 및 유지보수에 비용이 많이 든다는 문제점을 해결한다. ID 위조방지 로그를 사용함으로써 피어 노드, 클라이언트 노드, 또는 수렴점이 악의적인 노드를 식별하는 프로세스는 간단하고, 효과적이며, 검출 비용이 적게 든다. 피어 노드의 기만행위를 방지하는 기존의 기술적 해결책에서 전송 메시지 및 수신 메시지마다 서명 검증을 수행하는 경우에 메시지 라우팅 지연이 길어진다는 문제점이 해결된다. 피어 노드, 클라이언트 노드, 또는 수렴점이 ID 위조방지 로그를 사용하여 악의적인 노드를 식별하는 경우, 피어 노드 ID의 검증만을 필요로 하고, 송신 메시지 및 수신 메시지마다 서명 검증이 반드시 수행되지는 않으므로, 라우팅 지연이 단축된다.
해당 기술분야의 당업자는, 본 발명의 실시예에 다른 방법의 단계들의 전부 또는 일부를 관련 하드웨어를 명령하는 프로그램으로 구현될 수 있다는 것을 알 것이다. 이 프로그램은, 예를 들면 판독 전용 메모리(Read-Only Memory, ROM), 임의 접근 메모리(Random Access Memory, RAM), 자기 디스크, 컴팩트 디스크 판독 전용 메모리 (Compact Disk Read-Only Memory, CD-ROM) 등의, 컴퓨터로 판독가능한 저장 매체에 저장될 수 있다.
이상의 설명은 단지 본 발명의 일부 예시적인 실시예에 대한 설명일 뿐이며, 본 발명의 범위를 제한하기 위한 것은 아니다. 본 발명의 원리를 벗어나지 않고 이루어진 모든 변경, 등가물의 교체, 또는 개량은 본 발명의 범위에 속한다. 그러므로, 본 발명의 보호 범위는 첨부된 특허청구범위에 의해 정해진다.

Claims (17)

  1. 피어투피어(Peer to Peer, P2P) 네트워크에서 노드의 신분(identity, ID) 위조를 방지하는 방법으로서,
    상기 P2P 네트워크는 클라이언트 노드 및 상기 클라이언트 노드에게 서비스를 제공하는 피어 노드를 포함하고, 상기 클라이언트 노드는 상기 피어 노드를 통해 상기 P2P 네트워크에 요청을 전달해야 하며,
    상기 방법은,
    상기 클라이언트 노드가, 상기 클라이언트 노드에게 서비스를 제공하는 피어 노드를 발견한 후, 상기 클라이언트 노드와 상기 피어 노드 중 적어도 하나가 인증 개시자 역할을 하여, 상대방의 ID를 인증하는 단계;
    상기 인증에 성공한 후, 상기 인증 개시자 역할을 하는 상기 클라이언트 노드 또는 상기 피어 노드가 상대방에 관한 ID 위조방지 로그(anti-forgery log)를 로컬로 설정하고 저장하며, 상기 ID 위조방지 로그에 따라 악의적인 노드를 식별하는 단계;
    상기 클라이언트 노드에게 서비스를 제공하는 상기 피어 노드가 상기 P2P 네트워크를 떠나는 경우, 상기 피어 노드가 프록시 피어 노드에 상기 클라이언트 노드의 ID와 상기 클라이언트 노드의 물리 어드레스 사이의 매핑 관계를 통지하고, 상기 프록시 피어 노드가 상기 클라이언트 노드에 계속하여 서비스를 제공한다는 것을 상기 클라이언트 노드에 통지하는 단계;
    상기 클라이언트 노드가 상기 프록시 피어 노드의 ID를 인증하는 단계;
    상기 인증에 성공한 후, 상기 클라이언트 노드가 상기 프록시 피어 노드의 ID와 상기 프록시 피어 노드의 물리 어드레스 사이의 매핑 관계를 상기 로컬의 ID 위조방지 로그에 추가하는 단계; 및
    상기 클라이언트 노드가 상기 프록시 피어 노드에 의해 제공된 서비스를 수락하는 단계
    를 포함하는 방법.
  2. 제1항에 있어서,
    상기 인증 개시자 역할을 하는 노드가 상기 클라이언트 노드인 경우, 상기 상대방에 관한 ID 위조방지 로그는 상기 피어 노드의 ID, 상기 피어 노드의 물리 어드레스, 및 상기 피어 노드의 ID와 상기 피어 노드의 물리 어드레스 사이의 매핑 관계를 포함하고;
    상기 인증 개시자 역할을 하는 노드가 상기 피어 노드인 경우, 상기 상대방에 관한 ID 위조방지 로그는 상기 클라이언트 노드의 ID, 상기 클라이언트 노드의 물리 어드레스, 및 상기 클라이언트의 ID와 상기 클라이언트의 물리 어드레스 사이의 매핑 관계를 포함하는, 방법.
  3. 제2항에 있어서,
    상기 인증 개시자 역할을 하는 노드가 상기 클라이언트 노드인 경우,
    상기 방법은,
    상기 인증 개시자 역할을 하는 상기 클라이언트 노드가, 상기 피어 노드에 의해 전송된 메시지를 수신한 후, 상기 피어 노드의 ID와 상기 피어 노드의 물리 어드레스 사이의 상기 매핑 관계를 인증하는 단계; 및
    상기 피어 노드의 ID와 상기 피어 노드의 물리 어드레스 사이의 상기 매핑 관계가, 상기 클라이언트 노드가 소유한 ID 위조방지 로그 내의 기록과 일치하는 경우, 상기 피어 노드를 악의적인 노드가 아닌 것으로 간주하고; 상기 피어 노드의 ID와 상기 피어 노드의 물리 어드레스 사이의 상기 매핑 관계가, 상기 클라이언트 노드가 소유한 ID 위조방지 로그 내의 기록과 불일치하는 경우, 상기 피어 노드를 악의적인 노드로 간주하는 단계
    를 더 포함하고;
    상기 인증 개시자 역할을 하는 노드가 상기 피어 노드인 경우,
    상기 방법은,
    상기 인증 개시자 역할을 하는 상기 피어 노드가, 상기 클라이언트 노드에 의해 전송된 메시지를 수신한 후, 상기 클라이언트 노드의 ID와 상기 클라이언트 노드의 물리 어드레스 사이의 상기 매핑 관계를 인증하는 단계; 및
    상기 클라이언트 노드의 ID와 상기 클라이언트 노드의 물리 어드레스 사이의 상기 매핑 관계가, 상기 피어 노드가 소유한 ID 위조방지 로그 내의 기록과 일치하는 경우, 상기 클라이언트 노드를 악의적인 노드가 아닌 것으로 간주하고; 상기 클라이언트 노드의 ID와 상기 클라이언트 노드의 물리 어드레스 사이의 상기 매핑 관계가, 상기 피어 노드가 소유한 ID 위조방지 로그 내의 기록과 불일치하는 경우, 상기 클라이언트 노드를 악의적인 노드로 간주하는 단계
    를 더 포함하는, 방법.
  4. 제2항 또는 제3항에 있어서,
    상기 인증 개시자 역할을 하는 노드가 상기 클라이언트 노드이고, 상기 피어 노드의 물리 어드레스가 변경되는 경우, 상기 클라이언트 노드가 상기 피어 노드에 관한 ID 위조방지 레코드를 삭제하는 단계;
    상기 클라이언트 노드가 상기 피어 노드를 다시 인증하는 단계; 및
    상기 인증에 성공한 후, 상기 피어 노드의 ID와 상기 피어 노드의 새로운 물리 어드레스 사이의 매핑 관계를 상기 로컬의 ID 위조방지 로그에 저장하는 단계를 더 포함하는 방법.
  5. 제2항에 있어서,
    상기 피어 노드의 ID와 상기 피어 노드의 물리 어드레스 사이의 매핑 관계는 하나의 피어 노드와 상기 피어 노드의 둘 이상의 물리 어드레스 사이의 매핑 관계인, 방법.
  6. 제1항에 있어서,
    상기 P2P 네트워크는 하나 이상의 피어 노드에 연결된 수렴점을 더 포함하고,
    상기 피어 노드가, 상기 피어 노드에게 서비스를 제공하는 수렴점을 발견한 후, 상기 수렴점이 상기 피어 노드의 ID를 인증하는 단계; 및
    상기 인증에 성공한 후, 상기 수렴점이 상기 피어 노드에 관한 ID 위조방지 로그를 로컬로 설정하고 저장하는 단계를 더 포함하는 방법.
  7. 제6항에 있어서,
    상기 인증 개시자 역할을 하는 노드는 상기 클라이언트 노드 또는 상기 피어 노드이고,
    상기 인증 개시자 역할을 하는 노드가 상기 클라이언트 노드인 경우, 상기 상대방에 관한 ID 위조방지 로그는 상기 피어 노드의 ID, 상기 피어 노드의 물리 어드레스, 및 상기 피어 노드의 ID와 상기 피어 노드의 물리 어드레스 사이의 매핑 관계를 포함하고;
    상기 인증 개시자 역할을 하는 노드가 상기 피어 노드인 경우, 상기 상대방에 관한 ID 위조방지 로그는 상기 클라이언트 노드의 ID, 상기 클라이언트 노드의 물리 어드레스, 및 상기 클라이언트 노듸 ID와 상기 클라이언트 노드의 물리 어드레스 사이의 매핑 관계를 포함하는, 방법.
  8. 제6항에 있어서,
    상기 피어 노드가, 상기 피어 노드에게 서비스를 제공하는 수렴점을 발견한 후, 상기 수렴점이 상기 피어 노드의 ID를 인증하는 단계는,
    상기 피어 노드가 전송한 메시지를 수신한 후, 상기 수렴점이 패킷 감청(deep packet inspection, DPI)을 통해 메시지를 인증하는 단계; 및
    상기 피어 노드의 ID 및 상기 피어 노드의 물리 어드레스를 추출하는 단계를 포함하는, 방법.
  9. 클라이언트 노드 및 상기 클라이언트 노드에게 서비스를 제공하는 피어 노드를 포함하는, 피어투피어(Peer to Peer, P2P) 네트워크에서 노드의 신분(identity, ID) 위조를 방지하는 시스템으로서,
    상기 클라이언트 노드는 상기 피어 노드를 통해 상기 P2P 네트워크에 요청을 전달해야 하고;
    상기 클라이언트 노드는, 상기 클라이언트 노드에게 서비스를 제공하는 피어 노드를 발견하고 상기 피어 노드와의 연결을 설정하도록 구성되고;
    상기 피어 노드는, 상기 피어 노드에게 서비스 요청을 전송하는 상기 클라이언트 노드와의 연결을 설정하도록 구성되며;
    상기 클라이언트 노드와 상기 피어 노드 중 적어도 하나는 인증 개시자 역할을 하여 상대방을 인증하고;
    상기 인증에 성공한 후, 상기 인증 개시자 역할을 하는 상기 클라이언트 노드 또는 상기 피어 노드는 상기 상대방에 관한 ID 위조방지 로그를 로컬로 설정하고 저장하며, 상기 ID 위조방지 로그에 따라 악의적인 노드를 식별하고,
    상기 클라이언트 노드에게 서비스를 제공하는 상기 피어 노드가 상기 P2P 네트워크를 떠나는 경우, 상기 피어 노드가 프록시 피어 노드에 상기 클라이언트 노드의 ID와 상기 클라이언트 노드의 물리 어드레스 사이의 매핑 관계를 통지하고, 상기 프록시 피어 노드가 상기 클라이언트 노드에 계속하여 서비스를 제공한다는 것을 상기 클라이언트 노드에 통지하며, 상기 클라이언트 노드는 상기 프록시 피어 노드의 ID를 인증하고,
    상기 인증에 성공한 후, 상기 클라이언트 노드가 상기 프록시 피어 노드의 ID와 상기 프록시 피어 노드의 물리 어드레스 사이의 매핑 관계를 상기 로컬의 ID 위조방지 로그에 추가하고, 또
    상기 클라이언트 노드는 상기 프록시 피어 노드에 의해 제공된 서비스를 수락하는,
    시스템.
  10. 제9항에 있어서,
    상기 인증 개시자 역할을 하는 노드가 상기 클라이언트 노드인 경우, 상기 상대방에 관한 ID 위조방지 로그는 상기 피어 노드의 ID, 상기 피어 노드의 물리 어드레스, 및 상기 피어 노드의 ID와 상기 피어 노드의 물리 어드레스 사이의 매핑 관계를 포함하고;
    상기 인증 개시자 역할을 하는 노드가 상기 피어 노드인 경우, 상기 상대방에 관한 ID 위조방지 로그는 상기 클라이언트 노드의 ID, 상기 클라이언트 노드의 물리 어드레스, 및 상기 클라이언트 노드의 ID와 상기 클라이언트 노드의 물리 어드레스 사이의 매핑 관계를 포함하는, 시스템.
  11. 제9항에 있어서,
    상기 P2P 네트워크에 연결된 수렴점을 더 포함하고, 상기 수렴점은 하나 이상의 피어 노드에 연결되며,
    상기 피어 노드는, 상기 피어 노드에게 서비스를 제공하는 상기 수렴점을 발견하고 상기 수렴점과의 연결을 설정하도록 구성되고;
    상기 수렴점은, 상기 수렴점에 서비스 요청을 전송하는 상기 피어 노드와의 연결을 설정하도록 구성되며;
    상기 수렴점은 인증 개시자 역할을 하여 상기 피어 노드의 ID를 인증하고;
    상기 인증에 성공한 후, 상기 인증 개시자 역할을 하는 수렴점은 상기 피어 노드에 관한 ID 위조방지 로그를 로컬로 설정하고 저장하는, 시스템.
  12. 삭제
  13. 삭제
  14. 삭제
  15. 삭제
  16. 삭제
  17. 삭제
KR1020107018635A 2008-02-02 2008-10-29 노드의 신분 위조를 방지하는 방법, 디바이스, 시스템, 클라이언트 노드, 피어 노드 및 수렴점 KR101227620B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN200810006832.9 2008-02-02
CN 200810006832 CN101499903B (zh) 2008-02-02 2008-02-02 防止节点伪造身份的方法、装置、系统、客户节点、对等节点及汇聚点
PCT/CN2008/072875 WO2009097721A1 (zh) 2008-02-02 2008-10-29 防止节点伪造身份的方法、装置、系统、客户节点、对等节点及汇聚点

Publications (2)

Publication Number Publication Date
KR20100103713A KR20100103713A (ko) 2010-09-27
KR101227620B1 true KR101227620B1 (ko) 2013-01-30

Family

ID=40946796

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020107018635A KR101227620B1 (ko) 2008-02-02 2008-10-29 노드의 신분 위조를 방지하는 방법, 디바이스, 시스템, 클라이언트 노드, 피어 노드 및 수렴점

Country Status (5)

Country Link
EP (2) EP2568684A1 (ko)
KR (1) KR101227620B1 (ko)
CN (1) CN101499903B (ko)
ES (1) ES2404175T3 (ko)
WO (1) WO2009097721A1 (ko)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101753596A (zh) * 2008-12-18 2010-06-23 华为技术有限公司 一种p2p中控制资源发布的方法、系统和设备
US8301895B2 (en) * 2009-12-02 2012-10-30 Microsoft Corporation Identity based network policy enablement
CN104079326B (zh) * 2013-03-25 2017-08-04 华为终端有限公司 一种设备识别方法及相关设备
CN104660722A (zh) * 2013-11-21 2015-05-27 倚强科技股份有限公司 网络连线方法及其网络系统
CN107426253B (zh) * 2017-09-26 2022-06-21 武汉斗鱼网络科技有限公司 一种数据校验方法及客户端
CN108599960A (zh) * 2018-05-08 2018-09-28 厦门集微科技有限公司 一种信息获取方法及网络节点

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070097986A1 (en) * 2005-11-02 2007-05-03 Abu-Amara Hosame H Peer-to-peer communication architecture and terminals

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8009586B2 (en) * 2004-06-29 2011-08-30 Damaka, Inc. System and method for data transfer in a peer-to peer hybrid communication network
BRPI0615559A2 (pt) * 2005-07-20 2017-09-12 Verimatrix Inc sistema e método de autenticação de usúario de rede
CN101009567A (zh) * 2006-01-26 2007-08-01 西门子通信技术(北京)有限公司 一种利用对等网络实体提供网络服务的方法及系统
CN100502339C (zh) * 2007-08-31 2009-06-17 华为技术有限公司 对等网络自治的方法、节点装置和系统

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070097986A1 (en) * 2005-11-02 2007-05-03 Abu-Amara Hosame H Peer-to-peer communication architecture and terminals

Also Published As

Publication number Publication date
EP2568684A1 (en) 2013-03-13
EP2239883A1 (en) 2010-10-13
EP2239883A4 (en) 2011-09-07
ES2404175T3 (es) 2013-05-24
EP2239883B1 (en) 2013-02-20
WO2009097721A1 (zh) 2009-08-13
KR20100103713A (ko) 2010-09-27
CN101499903B (zh) 2012-11-21
CN101499903A (zh) 2009-08-05

Similar Documents

Publication Publication Date Title
Bobba et al. Bootstrapping security associations for routing in mobile ad-hoc networks
EP2410711B1 (en) Node registration method, communication system and related server
US8862871B2 (en) Network with protocol, privacy preserving source attribution and admission control and method
US8880891B2 (en) Method, system and apparatus for establishing communication
KR101227620B1 (ko) 노드의 신분 위조를 방지하는 방법, 디바이스, 시스템, 클라이언트 노드, 피어 노드 및 수렴점
US20100088399A1 (en) Enterprise security setup with prequalified and authenticated peer group enabled for secure DHCP and secure ARP/RARP
Ling et al. Protocol-level hidden server discovery
CN103701700A (zh) 一种通信网络中的节点发现方法及系统
Aiello et al. Tempering Kademlia with a robust identity based system
Bassil et al. Security analysis and solution for thwarting cache poisoning attacks in the domain name system
CN115378604A (zh) 一种基于信誉值机制的边缘计算终端设备的身份认证方法
CN114389835A (zh) 一种IPv6选项显式源地址加密安全验证网关及验证方法
CN101637004B (zh) 用于通信系统中的前缀可达性的方法
US8406223B2 (en) Mechanism for protecting H.323 networks for call set-up functions
CN112351019A (zh) 一种身份认证系统及方法
KR100856918B1 (ko) IPv6 기반 네트워크상에서의 IP 주소 인증 방법 및IPv6 기반 네트워크 시스템
Jacquemart Towards uncovering BGP hijacking attacks
US8713310B2 (en) Method and device for authenticating transmitted user data
Dolnák Secure mutual exchange of messages between network nodes inspired by security technologies for electronic mail exchange
He et al. Network-layer accountability protocols: a survey
US11399092B2 (en) Method for preventing sip device from being attacked, calling device, and called device
Pradeep et al. Formal Verification of CHAP PPP authentication Protocol for Smart City/Safe City Applications.
CN115834164A (zh) 一种Kerberos认证中防止票据攻击的方法和系统
Huang et al. Addressing intra-domain network security issues through secure link-state routing protocol: A new architectural framework
Brumley et al. Towards attack-agnostic defenses

Legal Events

Date Code Title Description
A201 Request for examination
AMND Amendment
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
AMND Amendment
J201 Request for trial against refusal decision
B701 Decision to grant
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20151217

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20161219

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20180104

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20200103

Year of fee payment: 8