KR101311657B1 - 원격통신 네트워크를 보호하는 방법 및 그 방법을 구현하는 보안 라우터 - Google Patents

원격통신 네트워크를 보호하는 방법 및 그 방법을 구현하는 보안 라우터 Download PDF

Info

Publication number
KR101311657B1
KR101311657B1 KR1020127000016A KR20127000016A KR101311657B1 KR 101311657 B1 KR101311657 B1 KR 101311657B1 KR 1020127000016 A KR1020127000016 A KR 1020127000016A KR 20127000016 A KR20127000016 A KR 20127000016A KR 101311657 B1 KR101311657 B1 KR 101311657B1
Authority
KR
South Korea
Prior art keywords
hash
lsa
fingerprint
lsan
lsa2
Prior art date
Application number
KR1020127000016A
Other languages
English (en)
Other versions
KR20120020196A (ko
Inventor
아베드 헤이섬 엘
안토니 마틴
Original Assignee
알까뗄 루슨트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 알까뗄 루슨트 filed Critical 알까뗄 루슨트
Publication of KR20120020196A publication Critical patent/KR20120020196A/ko
Application granted granted Critical
Publication of KR101311657B1 publication Critical patent/KR101311657B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/02Topology update or discovery
    • H04L45/021Ensuring consistency of routing table updates, e.g. by using epoch numbers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/42User authentication using separate channels for security data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/02Topology update or discovery
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/02Topology update or discovery
    • H04L45/025Updating only a limited number of routers, e.g. fish-eye update
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/02Topology update or discovery
    • H04L45/03Topology update or discovery by updating link state protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

본 발명은 정보를 라우팅하기 위한 최적 경로를 구성하는 중간 라우터를 결정하기 위한 원격통신 네트워크의 토폴로지 맵(103)이 구비된 적어도 하나의 보안 라우터(100)를 포함하는 원격통신 네트워크를 보호하는 방법으로서, 상기 보안 라우터 및 상기 중간 라우터는 통신 프로토콜을 사용하여 링크 리스트(LSA1, LSA2, ... LSAn)를 공유함으로써 상기 토폴로지 맵을 생성하며,
상기 보안 라우터(100)는
링크 리스트(LSA1, LSA2, ... LSAn)가 수신될 때, 수신된 리스트(LSA1, LSA2, ... LSAn)의 적어도 하나의 수신 핑거프린트(해시(LSA1), 해시(LSA2), ... 해시(LSAn))를 계산한 다음 저장하는 단계(109),
링크 리스트(LSA'1, LSA'2, ... LSA'n)가 송신될 때, 송신될 리스트의 적어도 하나의 송신 핑거프린트(해시(LSA'1), 해시(LSA'2), ... 해시(LSA'n))를 계산한 다음 저장하는 단계(120), 및
수신 핑거프린트가 송신 핑거프린트와 다르면 리스트의 송신이 금지되도록 상기 수신 핑거프린트(해시(LSA1), 해시(LSA2), ... 해시(LSAn))와 상기 송신 핑거프린트(해시(LSA'1), 해시(LSA'2), ... 해시(LSA'n))를 비교하는 단계를 수행하는 것을 특징으로 한다.

Description

원격통신 네트워크를 보호하는 방법 및 그 방법을 구현하는 보안 라우터{METHOD FOR PROTECTING A TELECOMMUNICATION NETWORK AND SECURE ROUTER FOR IMPLEMENTING SUCH A METHOD}
본 발명은 원격통신 네트워크를 보호하는 방법뿐만 아니라 그 방법을 구현하는 라우터에 관한 것이다.
인터넷과 같은 원격통신 네트워크는 제 1 서버로부터 제 2 서버로 송신된 정보가 일반적으로 중간 라우터 중 하나 이상에 의해 라우팅되는 방식으로 서로 접속된 복수의 중간 라우터를 포함한다. 이 중간 송신을 최적화하기 위해, 네트워크의 토폴로지, 또는 더 일반적으로 말하면 네크워크의 일부가 위치된 네크워크의 일부- 이하 영역으로 식별됨 - 의 토폴로지를 식별하는 맵을 각 라우터에 구비하는 것이 공지되어 있다.
그러한 토폴로지 맵은 그 맵 상에 위치된 제 1 라우터 및 제 2 라우터를 고려하여 제 1 라우터가 네트워크 또는 영역을 통해 제 2 라우터에 정보를 송신하기 위해 토폴로지 맵의 도움을 받아 중간 라우터의 리스트를 의미하는 최적 경로를 결정할 수 있도록 네트워크 또는 영역의 라우터 사이의 관계에 대한 상태를 제시한다.
구체적인 용어로, 그리고 인터넷의 문맥 내에서, OSPF("Open Shortest Path First")로 알려진 라우팅 프로토콜을 사용하는 것이 공지되어 있으며, 이에 따라 영역의 라우터(i) 각각은 특히 이하 인접하는 라우터로 식별되는 직접 접속되는 영역에 있는 라우터를 식별하는 링크 리스트(LSAi("Link-State Advertisements")를 결정한다.
그 후에, 각 라우터(i)는 LSU("Link-State Update")로 알려진 메시지로 자체의 링크 리스트(LSAi) 및 다른 라우터로부터 수신된 링크 리스트(LSA1, LSA2, ... LSAn)를 인접하는 라우터와 공유한다.
그때, 각 라우터는 이 링크 리스트를 LSDB("Link-State Database")로 알려진 데이터베이스에 저장할 수 있으며, 그 결과 이 LSDB 데이터베이스에 기초해서 OSPF 영역 내에 포함된 라우터가 정보를 동일 OSPF 영역 내에 포함된 다른 라우터로 송신하기 위해 최적 경로 - 통상 "최단 경로 우선(Shortest Path First)" 접근법을 사용하는 최단 경로 - 를 결정한다.
인터넷을 통해 송신된 정보의 부정 강탈을 방지하기 위해, 예를 들어 공유 키 암호화 방법에 의해 메시지에 서명하는 것을 요구함으로써 LSU 메시지를 송신하는 라우터의 신원을 보호하는 것이 생각될 수 있다.
본 발명은 손상 라우터(corrupt router) 내에 수신된 LSU 메시지를 예를 들어 정보를 그것에 잘못 전송하도록 부정 라우터를 식별하는 잘못된 리스트를 포함하는 LSU 메시지로 대체할 수 있도록 손상 라우터의 송신 계층을 제어하는 범인에 의해 실현될 수 있는 정보의 "내부" 강탈을 그런 방법이 방지할 수 없다는 관찰로부터 기인한다.
이 경우에, 그 후 손상 LSU 메시지는 - 그 계층이 범인에 의해 강탈되지 않을지라도 - 손상 라우터의 보호 계층에 의해 정확하게 서명되며, 그 결과 이 부정이 네트워크로 확장된다.
이는 내부 부정의 경우 손상 라우터의 서명의 유효성을 감시하는 OSPF 영역의 다른 라우터에 의해 유효하다고 간주되는 잘못된 리스트를 범인이 갖게 하는 것을 의미한다.
본 발명은 특히 범인이 링크 리스트를 수정하기 위해 원격통신 네트워크의 라우터를 제어할 수 있는 내부 공격에 대하여 원격통신 네트워크 내에 설정된 토폴로지 맵의 무결성을 보장하는 것을 가능하게 해주는 방법을 제안함으로써 상기 문제를 해결하는 것을 목적으로 한다.
따라서, 본 발명은 정보를 라우팅하기 위한 최적 경로를 구성하는 중간 라우터를 결정하기 위해 원격통신 네트워크의 토폴로지 맵이 구비된 적어도 하나의 보안 라우터를 포함하는 원격통신 네트워크를 보호하되, 상기 보안 라우터 및 상기 중간 라우터는 통신 프로토콜을 사용하여 링크 리스트를 공유함으로써 이 토폴로지 맵을 생성시키는 방법에 있어서, 상기 보안 라우터는
- 링크 리스트를 수신할 때, 수신된 리스트의 적어도 하나의 수신 핑거프린트를 계산한 다음 저장하는 단계,
- 링크 리스트를 송신할 때, 송신될 리스트의 적어도 하나의 송신 핑거프린트를 계산한 다음 저장하되,
리스트의 핑거프린트를 결정하는 계산은 통신 프로토콜에 따라 패킷의 수신 및/또는 송신을 수행하는 송신 계층과 다른 보안 계층(컴퓨테이션의 보안 영역) 내에서 수행되고 있는 단계, 및
- 수신 핑거프린트가 송신 핑거프린트와 다르면 적어도 하나의 리스트의 송신이 금지되도록 수신 핑거프린트와 송신 핑거프린트를 비교하는 단계를 수행하는 것을 특징으로 하는 방법에 관한 것이다.
본 발명으로 인해, 링크 리스트를 수정해서 부정 리스트를 전달하기 위해 라우터를 제어하는 것을 목적으로 하는 내부 부정을 방지함으로써 원격통신 네트워크를 안전하게 하는 것이 가능하다.
그 결과, 본 발명에 따른 보안 라우터는 단지 송신 중에 그 핑거프린트가 수신 중의 핑거프린트에 대응하는 다른 라우터와 링크 리스트를 공유한다.
다시 말하면, 본 발명에 따른 보안 라우터는 내부적으로, 특히 보호/암호 계층보다 더 공격받기 쉬운 분리 송신 계층 내에서 수정될 수 있는 리스트의 어떤 공유를 금지하기 위해 공유된 리스트의 무결성을 검증할 수 있다.
본 발명은 문제의 네트워크의 라우터의 모두에서 변경을 필요로 하지 않으면서 기존 통신 프로토콜에 따라 기존 라우터에서 구현될 수 있는 장점을 나타낸다.
일실시예에 있어서, 상기 방법은 수신된 리스트 각각에 대한 수신 핑거프린트를 계산하는 단계 및 송신될 리스트 각각에 대한 송신 핑거프린트를 계산하는 단계를 포함한다.
일실시예에 따르면, 상기 방법은 수신 핑거프린트가 송신 핑거프린트와 다른 리스트의 송신만을 금지하는 단계를 포함한다.
일실시예에 있어서, 수신 및 송신 핑거프린트는 해시 함수에 의해 획득된다.
일실시예에 있어서, 상기 방법은 보안 계층을 위해 송신 핑거프린트와 수신 핑거프린트를 비교한 후 보안 라우터를 식별하는 서명을 송신된 리스트와 관련시키는 단계를 포함한다.
일실시예에 따르면, 상기 방법은 보안 계층을 위해 송신 핑거프린트의 계산 전에 수신된 리스트 중에서의 라우터 서명을 수신된 리스트 내에서 검증하는 단계를 포함한다.
일실시예에 있어서, 보안 계층은 라우터로부터 원격이거나 제거가능한 수단으로 구현된다.
이 경우에, 원격이거나 제거가능한 수단은 스마트 카드 및/또는 보안 라우터와 다른 라우터에 의해 형성될 수 있다.
일실시예에 따르면, 원격 또는 제거가능한 수단은 해시 함수를 제공하는 동작, 핑거프린트를 저장하는 동작, 또는 수신 핑거프린트와 송신 핑거프린트를 비교하는 동작 중 적어도 하나를 수행한다.
일실시예에 있어서, 원격통신 네트워크는 인터넷 영역이며, 상기 방법은 LSA 리스트에 의해 그 영역의 맵을 설정하기 위해 OSPF 프로토콜을 사용한다.
또한, 본 발명은 라우팅 내에서 하나의 정보를 위한 최적 경로를 규정하는 중간 라우터를 결정하기 위한 원격통신 네트워크의 토폴로지 맵을 포함하되, 상기 보안 라우터 및 상기 중간 라우터는 통신 프로토콜에 따라 링크 리스트를 공유함으로써 그 토폴로지 맵을 생성시키는 원격통신 네트워크의 보안 라우터에 있어서, 상기 보안 라우터는 이전 실시예 중 하나에 따른 방법을 구현하기 위해
- 링크 리스트를 수신한 후에, 수신된 리스트의 적어도 하나의 수신 핑거프린트를 계산해서 저장하는 수단,
- 링크 리스트를 송신하기 전에, 송신될 리스트의 적어도 하나의 송신 핑거프린트를 계산해서 저장하는 수단,
- 리스트의 핑거프린트를 결정하는 계산이 통신 프로토콜에 따라 패킷의 수신 및/또는 송신을 수행하는 송신 계층과 다른 보안 계층 내에서 수행되도록 수신 핑거프린트와 송신 핑거프린트를 비교하는 수단, 및
- 수신 핑거프린트가 송신 핑거프린트와 다르면 적어도 하나의 리스트의 송신을 금지하는 수단을 포함하는 것을 특징으로 하는 원격통신 네트워크의 보안 라우터에 관한 것이다.
또한, 본 발명은 라우터에는 라우팅 내에서 하나의 정보에 위한 최적 경로를 규정하는 중간 라우터를 결정하기 위해 원격통신 네트워크의 토폴로지 맵이 구비되며, 상기 토폴로지 맵은 통신 프로토콜에 따라 링크 리스트를 공유함으로써 상기 보안 라우터 및 상기 중간 라우터에 의해 생성되는 원격통신 네트워크의 보안 라우터를 위한 스마트 카드에 있어서, 상기 보안 라우터는 보안 서버와 상호작용하며 이전 실시예 중 하나에 따른 방법을 구현하기 위해
- 보안 서버에 의한 링크 리스트의 수신 후에, 수신된 리스트의 적어도 하나의 수신 핑거프린트를 계산 및/또는 저장하는 수단,
- 리스트의 핑거프린트를 결정하는 계산이 통신 프로토콜에 따라 패킷의 수신 및/또는 송신을 수행하는 송신 계층과 다른 보안 계층 내에서 수행되도록 링크 리스트의 송신 전에, 송신될 리스트의 적어도 하나의 송신 핑거프린트를 계산 및/또는 저장하는 수단,
- 수신 핑거프린트와 송신 핑거프린트를 비교하는 수단, 및/또는
- 수신 핑거프린트가 송신 핑거프린트와 다르면 리스트의 송신을 금지하는 수단 중 적어도 하나를 포함하는 것을 특징으로 하는 원격통신 네트워크의 보안 라우터를 위한 스마트 카드에 관한 것이다.
본 발명은 첨부 도면을 참조하여 비한정적인 예로만 제공되는 이하의 설명을 해석함으로써 더 양호하게 이해될 것이다.
도 1 내지 도 3은 본 발명에 따른 원격통신 네트워크의 토폴로지 맵에 관한 정보를 수신하는 방법의 다른 단계를 나타낸다.
도 4 내지 도 6은 본 발명에 따른 원격통신 네트워크의 토폴로지 맵에 관한 정보를 송신하는 방법의 다른 단계를 나타낸다.
도 1을 참조하면, 도시되지 않은 인터넷의 동일 영역 상에 위치되는 2개의 라우터(100 및 102)가 도시되어 있다.
라우터(100)의 LSDB 데이터베이스(103)의 업데이트를 가능하게 하기 위해, 라우터(102)는 보안 계층 내에 미리 서명된 OSPF 패킷(106), 또는 LSU(Link States Update)의 송신(105)을 가능하게 하는 제 1 인식 교환(104)을 구현한다.
도 2를 참조하면, 라우터(100)는 라우터(102)의 서명을 승인하며(단계 109), 그 후 승인되면 그 패킷(106)에 의해 송신된 다른 리스트(LSA1, LSA2, ... LSAn)를 추출하기(단계 110) 위해 보안 계층(108)을 사용한다.
그 후, 상기 리스트(LSA1, LSA2, ... LSAn)의 적어도 하나의 핑거프린트(112)는 송신 계층 내에서 상기 리스트에 대한 어떤 변경이 보호 계층에 의해 검출되도록 획득되며 그 후 보호 계층 내에 저장된다(도 3).
실시예에 따라서, 송신된 링크 리스트(LSA1, LSA2, ... LSAn)에 대한 단일 핑거프린트, 또는 이 링크 리스트(LSA1, LSA2, ... LSAn) 각각에 대한 다수의 핑거프린트(해시(LSA1), 해시(LSA2), ... 해시(LSAn))를 획득하는 것이 가능하다.
모든 상황 하에, 본 발명은 적어도 하나의 리스트에 관한 핑거프린트를 비교함으로써 구현되며, 이 핑거프린트는 그 리스트를 - 개별적으로 또는 다른 리스트와 함께 고려하는 동일한 방식으로 계산된다.
라우터(100)가 통신을 설정한 후(104) 리스트(LSA'1, LSA'2, ... LSA'n)를 LSU 패킷(111) 내에서 라우터(102')에 송신하고자 할 때마다, - 그 송신 계층 내에 위치된 - 데이터베이스(103)는 보호 계층이 라우터(100)의 서명을 특히 포함하는 LSU 패킷(111)을 생성하도록 저장된 리스트를 그 보호 계층에 송신한다(도 4).
그 서명 전에, 보호 계층은 - 단계 120에서 - 이 리스트(LSA'1, LSA'2, ... LSA'n)로부터 획득된 핑거프린트(해시(LSA'1), 해시(LSA'2), ... 해시(LSA'n))와 이미 저장된 핑거프린트(해시(LSA1), 해시(LSA2), ... 해시(LSAn))를 비교함으로써 데이터베이스(103)에 의해 송신된 리스트(LSA'1, LSA'2, ... LSA'n)의 검증을 수행한다(도 5).
이러한 핑거프린트가 동일하면, 이때 리스트는 동일한 것으로 간주되며 LSU 패킷은 송신을 위해 서명된다(도 6).
필요하다면, 라우터는 리스트 중 적어도 하나가 손상되었다고 믿어 이 송신을 금지한다.
본 발명은 많은 변형이 되기 쉽다. 특히, 보안 계층(103)은 라우터로부터 원격이거나 제거가능한 수단, 예를 들어 스마트 카드 및/또는 보안 라우터와 다른 라우터로 구현될 수 있다.
이 경우에, 이 원격이거나 제거가능한 수단은 해시 함수를 제공하는 동작, 핑거프린트를 저장하는 동작, 또는 수신 핑거프린트와 송신 핑거프린트를 비교하는 동작 중 적어도 하나를 수행할 수 있다.

Claims (12)

  1. 정보를 라우팅하기 위한 최적 경로를 구성하는 중간 라우터를 결정하기 위한 원격통신 네트워크의 토폴로지 맵(103)이 구비된 적어도 하나의 보안 라우터(100)를 포함하는 원격통신 네트워크를 보호하는 방법에 있어서,
    상기 보안 라우터 및 상기 중간 라우터는 통신 프로토콜을 사용하여 링크 리스트(LSA1, LSA2, ... LSAn)를 공유함으로써 상기 토폴로지 맵을 생성하며,
    상기 보안 라우터(100)가,
    링크 리스트(LSA1, LSA2, ... LSAn)가 수신될 때, 상기 수신된 리스트(LSA1, LSA2, ... LSAn)의 적어도 하나의 수신 핑거프린트(해시(LSA1), 해시(LSA2), ... 해시(LSAn))를 계산한 다음 저장하는 단계(109)와,
    링크 리스트(LSA'1, LSA'2, ... LSA'n)가 송신될 때, 송신될 리스트의 적어도 하나의 송신 핑거프린트(해시(LSA'1), 해시(LSA'2), ... 해시(LSA'n))를 계산한 다음 저장하는 단계(120)와,
    상기 수신 핑거프린트가 상기 송신 핑거프린트와 다르면 리스트의 송신이 금지되는 방식으로 상기 수신 핑거프린트(해시(LSA1), 해시(LSA2), ... 해시(LSAn))와 상기 송신 핑거프린트(해시(LSA'1), 해시(LSA'2), ... 해시(LSA'n))를 비교하는 단계를 수행하는 것을 포함하되,
    상기 리스트의 핑거프린트를 결정하는 계산은 상기 통신 프로토콜에 따라 패킷(105, 111)의 수신과 송신 중 적어도 하나를 수행하는 송신 계층과는 다른 보안 계층(108)에서 수행되는
    원격통신 네트워크 보호 방법.
  2. 제 1 항에 있어서,
    상기 보안 라우터가, 수신된 리스트(LSA1, LSA2, ... LSAn) 각각에 대한 상기 수신 핑거프린트(해시(LSA1), 해시(LSA2), ... 해시(LSAn))를 계산하는 단계 와,
    송신될 리스트(LSA'1, LSA'2, ... LSA'n) 각각에 대한 상기 송신 핑거프린트(해시(LSA'1), 해시(LSA'2), ... 해시(LSA'n))를 계산하는 단계를 수행하는 것을 포함하는
    원격통신 네트워크 보호 방법.
  3. 제 2 항에 있어서,
    상기 보안 라우터가, 수신 핑거프린트가 상기 송신 핑거프린트와 다른 리스트의 송신만을 금지하는 단계를 수행하는 것을 포함하는
    원격통신 네트워크 보호 방법.
  4. 제 1 항 내지 제 3 항 중 어느 한 항에 있어서,
    상기 수신 핑거프린트(해시(LSA1), 해시(LSA2), ... 해시(LSAn)) 및 송신 핑거프린트(해시(LSA'1), 해시(LSA'2), ... 해시(LSA'n))는 해시 함수에 의해 획득되는
    원격통신 네트워크 보호 방법.
  5. 제 1 항 내지 제 3 항 중 어느 한 항에 있어서,
    상기 보안 라우터가, 상기 보안 계층을 위해, 상기 송신 핑거프린트와 상기 수신 핑거프린트를 비교한 후 상기 보안 라우터를 식별하는 서명을 상기 송신될 리스트와 관련시키는 단계를 수행하는 것을 포함하는
    원격통신 네트워크 보호 방법.
  6. 제 5 항에 있어서,
    상기 보안 라우터가, 상기 보안 계층을 위해, 상기 송신 핑거프린트(해시(LSA'1), 해시(LSA'2), ... 해시(LSA'n))를 계산하기 전에 상기 수신된 리스트 내에서 라우터 서명을 검증하는 단계를 수행하는 것을 포함하는
    원격통신 네트워크 보호 방법.

  7. 제 5 항에 있어서,
    상기 보안 계층(108)은 상기 보안 라우터로부터 원격이거나 제거가능한 수단으로 구현되는
    원격통신 네트워크 보호 방법.
  8. 제 7 항에 있어서,
    상기 원격이거나 제거가능한 수단은 스마트 카드와 상기 보안 라우터와는 다른 라우터 중 적어도 하나에 의해 형성되는
    원격통신 네트워크 보호 방법.
  9. 제 8 항에 있어서,
    상기 원격이거나 제거가능한 수단은 해시 함수를 제공하는 동작, 상기 핑거프린트를 저장하는 동작, 또는 상기 수신 핑거프린트와 상기 송신 핑거프린트를 비교하는 동작 중 적어도 하나를 수행하는
    원격통신 네트워크 보호 방법.

  10. 제 1 항 내지 제 3 항 중 어느 한 항에 있어서,
    상기 원격통신 네트워크는 인터넷 영역이며, LSA 리스트에 의해 인터넷 영역의 상기 맵을 설정하기 위해 OSPF 프로토콜을 사용하는
    원격통신 네트워크 보호 방법.
  11. 라우팅 내에서 하나의 정보에 대한 최적 경로를 정의하는 중간 라우터를 결정하기 위한 원격통신 네트워크의 토폴로지 맵을 포함하는 상기 원격통신 네트워크의 보안 라우터(100) - 상기 보안 라우터 및 상기 중간 라우터는 통신 프로토콜에 따라 링크 리스트(LSA1, LSA2, ... LSAn)를 공유함으로써 상기 토폴로지 맵을 생성함 - 로서,
    상기 보안 라우터(100)는 제 1 항 내지 제 3 항 중 어느 한 항에 따른 방법을 구현하기 위해,
    링크 리스트(LSA1, LSA2, ... LSAn)의 수신 후에, 상기 수신된 링크 리스트(LSA1, LSA2, ... LSAn)의 적어도 하나의 수신 핑거프린트(해시(LSA1), 해시(LSA2), ... 해시(LSAn))를 계산해서 저장하는 수단과,
    링크 리스트(LSA'1, LSA'2, ... LSA'n)의 송신 전에, 송신될 링크 리스트((LSA'1, LSA'2, ... LSA'n))의 적어도 하나의 송신 핑거프린트(해시(LSA'1), 해시(LSA'2), ... 해시(LSA'n))를 계산해서 저장하는 수단과,
    상기 수신 핑거프린트(해시(LSA1), 해시(LSA2), ... 해시(LSAn))와 상기 송신 핑거프린트(해시(LSA'1), 해시(LSA'2), ... 해시(LSA'n))를 비교하는 수단과,
    상기 수신 핑거프린트가 상기 송신 핑거프린트와 다르면 링크 리스트(LSA1, LSA2, ... LSAn)의 송신을 금지하는 수단을 포함하되,
    상기 리스트의 핑거프린트를 결정하는 계산은 상기 통신 프로토콜에 따라 패킷(105, 111)의 수신과 송신 중 적어도 하나를 수행하는 송신 계층과는 다른 보안 계층(108)에서 수행되는
    보안 라우터.
  12. 원격통신 네트워크의 보안 라우터(100)를 위한 스마트 카드에 있어서,
    상기 보안 라우터(100)에는 라우팅 내에서 하나의 정보를 위한 최적 경로를 정의하는 중간 라우터를 결정하기 위한 원격통신 네트워크의 토폴로지 맵이 구비되며, 상기 보안 라우터 및 상기 중간 라우터는 통신 프로토콜에 따라 링크 리스트(LSA1, LSA2, ... LSAn)를 공유함으로써 상기 토폴로지 맵을 생성하며,
    상기 스마트 카드는 상기 보안 라우터(100)와 상호작용하며 제 1 항 내지 제 3 항 중 하나에 따른 방법을 구현하기 위해,
    상기 보안 라우터에 의한 링크 리스트의 수신 후에, 상기 수신된 링크 리스트(LSA1, LSA2, ... LSAn)의 적어도 하나의 수신 핑거프린트(해시(LSA1), 해시(LSA2), ... 해시(LSAn))의 계산과 저장 중 적어도 하나를 수행하는 수단과,
    링크 리스트의 송신 전에, 송신될 링크 리스트(LSA'1, LSA'2, ... LSA'n)의 적어도 하나의 송신 핑거프린트(해시(LSA'1), 해시(LSA'2), ... 해시(LSA'n))의 계산과 저장 중 적어도 하나를 수행하는 수단과,
    상기 수신 핑거프린트(해시(LSA1), 해시(LSA2), ... 해시(LSAn))와 상기 송신 핑거프린트(해시(LSA'1), 해시(LSA'2), ... 해시(LSA'n))를 비교하는 수단과,
    상기 수신 핑거프린트(해시(LSA1), 해시(LSA2), ... 해시(LSAn))가 상기 송신 핑거프린트(해시(LSA'1), 해시(LSA'2), ... 해시(LSA'n))와 다르면 링크 리스트(LSA1, LSA2, ... LSAn)의 송신을 금지하는 수단 중 적어도 하나를 포함하되,
    상기 리스트의 핑거프린트를 결정하는 계산은 상기 통신 프로토콜에 따라 패킷(105, 111)의 수신과 송신 중 적어도 하나를 수행하는 송신 계층과는 다른 보안 계층(108)에서 수행되는
    스마트 카드.
KR1020127000016A 2009-06-02 2010-04-22 원격통신 네트워크를 보호하는 방법 및 그 방법을 구현하는 보안 라우터 KR101311657B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
FR0953639A FR2946209A1 (fr) 2009-06-02 2009-06-02 Procede de protection d'un reseau de telecommunication et routeur securise mettant en oeuvre un tel procede.
FR0953639 2009-06-02
PCT/FR2010/050770 WO2010139871A1 (fr) 2009-06-02 2010-04-22 Procédé de protection d'un réseau de télécommunication et routeur sécurisé mettant en oeuvre un tel procédé

Publications (2)

Publication Number Publication Date
KR20120020196A KR20120020196A (ko) 2012-03-07
KR101311657B1 true KR101311657B1 (ko) 2013-09-25

Family

ID=41396170

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020127000016A KR101311657B1 (ko) 2009-06-02 2010-04-22 원격통신 네트워크를 보호하는 방법 및 그 방법을 구현하는 보안 라우터

Country Status (7)

Country Link
US (1) US8856537B2 (ko)
EP (1) EP2438717B1 (ko)
JP (1) JP5497161B2 (ko)
KR (1) KR101311657B1 (ko)
CN (1) CN102461090B (ko)
FR (1) FR2946209A1 (ko)
WO (1) WO2010139871A1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104168197A (zh) * 2013-05-16 2014-11-26 宇宙互联有限公司 传输管理装置、系统及方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050005763A (ko) * 2003-06-30 2005-01-14 노키아 코포레이션 안전한 액세스 구현 방법
US6973023B1 (en) * 2000-12-30 2005-12-06 Cisco Technology, Inc. Method for routing information over a network employing centralized control
US7457951B1 (en) * 1999-05-28 2008-11-25 Hewlett-Packard Development Company, L.P. Data integrity monitoring in trusted computing entity

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1999026188A1 (en) * 1997-11-14 1999-05-27 Digital Persona, Inc. A remotely accessible private space using a fingerprint
JP3623680B2 (ja) * 1999-01-11 2005-02-23 株式会社日立製作所 経路検証機能を備えるネットワークシステム、経路管理装置及び交換機
JP4379653B2 (ja) * 1999-02-17 2009-12-09 ソニー株式会社 情報処理装置および方法、並びにプログラム格納媒体
JP2003099329A (ja) * 2001-09-19 2003-04-04 Toshiba Corp 情報処理装置及び情報処理方法
JP2004128894A (ja) * 2002-10-02 2004-04-22 Nec Corp 電子データ送受信システム
US7529480B2 (en) * 2002-12-09 2009-05-05 Alcatel-Lucent Canada Inc. Method and system for light path monitoring in an optical communication network
JP2005286989A (ja) * 2004-03-02 2005-10-13 Ntt Docomo Inc 通信端末及びアドホックネットワーク経路制御方法
GB0412847D0 (en) * 2004-06-09 2004-07-14 Nortel Networks Ltd Method of applying the radius restricted routing scheme in a communication network
US7487358B2 (en) * 2004-11-29 2009-02-03 Signacert, Inc. Method to control access between network endpoints based on trust scores calculated from information system component analysis
US8046833B2 (en) * 2005-11-14 2011-10-25 Sourcefire, Inc. Intrusion event correlation with network discovery information
US7624095B2 (en) * 2005-11-15 2009-11-24 Microsoft Corporation Fast collaborative filtering through sketch function based approximations
US7664789B2 (en) * 2005-12-02 2010-02-16 Cisco Technology, Inc. Method and apparatus to minimize database exchange in OSPF by using a SHA-1 digest value
US7765599B2 (en) * 2006-06-13 2010-07-27 Intel Corporation Multimedia transmitter, multimedia receiver, multimedia transmission system, and method for securely transmitting multimedia content over a wireless link
JP2008287615A (ja) * 2007-05-21 2008-11-27 Contents Works Inc 出版物データ作製方法、この方法をコンピュータに実行させるためのソフトウェアプログラム、及び出版物データ作製システム
US7808927B2 (en) * 2008-02-05 2010-10-05 Cisco Technology, Inc. Technique to automatically deaggregate an optimum set to prevent suboptimal routing or routing failures within a link state flooding domain
US8259585B1 (en) * 2009-04-17 2012-09-04 Juniper Networks, Inc. Dynamic link load balancing

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7457951B1 (en) * 1999-05-28 2008-11-25 Hewlett-Packard Development Company, L.P. Data integrity monitoring in trusted computing entity
US6973023B1 (en) * 2000-12-30 2005-12-06 Cisco Technology, Inc. Method for routing information over a network employing centralized control
KR20050005763A (ko) * 2003-06-30 2005-01-14 노키아 코포레이션 안전한 액세스 구현 방법

Also Published As

Publication number Publication date
JP2012529210A (ja) 2012-11-15
US20120102330A1 (en) 2012-04-26
EP2438717B1 (fr) 2018-07-18
JP5497161B2 (ja) 2014-05-21
US8856537B2 (en) 2014-10-07
EP2438717A1 (fr) 2012-04-11
CN102461090A (zh) 2012-05-16
KR20120020196A (ko) 2012-03-07
CN102461090B (zh) 2015-08-19
WO2010139871A1 (fr) 2010-12-09
FR2946209A1 (fr) 2010-12-03

Similar Documents

Publication Publication Date Title
Ehrenkranz et al. On the state of IP spoofing defense
US10187299B2 (en) Method for using authenticated requests to select network routes
CN106657124A (zh) 用于物联网的基于假名的匿名认证与密钥协商优化认证方法以及优化认证分析方法
JPWO2006040892A1 (ja) サービス不能攻撃防御方法、サービス不能攻撃防御システム、サービス不能攻撃防御装置、中継装置、サービス不能攻撃防御プログラムおよび中継装置用プログラム
US7561694B1 (en) Session mobility for wireless devices
CN102132532A (zh) 用于避免不需要的数据分组的方法和装置
CN111726368B (zh) 一种基于SRv6的域间源地址验证的方法
Karim et al. Architecture, protocols, and security in IoV: Taxonomy, analysis, challenges, and solutions
Amin et al. Software-defined network enabled vehicle to vehicle secured data transmission protocol in VANETs
Komlo et al. Walking onions: Scaling anonymity networks while protecting users
KR101311657B1 (ko) 원격통신 네트워크를 보호하는 방법 및 그 방법을 구현하는 보안 라우터
JP6896264B2 (ja) 通信装置、通信方法、及びプログラム
Bhise et al. Detection and mitigation of Sybil attack in peer-to-peer network
CN108055285A (zh) 一种基于ospf路由协议的入侵防护方法和装置
Chikhaoui et al. Towards the formal validation of a ticket-based authentication scheme for VANETs
Fischlin et al. Provably secure distance-bounding: an analysis of prominent protocols
Chen Infrastructure-based anonymous communication protocols in future internet architectures
Ravindra MAPSDN-EESC: A Modeling of Authentication Process for the Software Defined Network using Encrypted Entity Scheme Cryptography
Liu et al. On the deployability of inter-AS spoofing defenses
Sharma et al. Security solutions for threats in IoT-based smart vehicles
Gollmann Protocol analysis for concrete environments
Chuat et al. Security Analysis
Lee et al. Path information based packet verification for authentication of SDN network manager
Gayathri et al. Design of CSKAS-VANET model for stable clustering and authentication scheme using RBMA and signcryption
Muñoz et al. MHT-based mechanism for certificate revocation in VANETs

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160909

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20170908

Year of fee payment: 5