KR101326360B1 - Dns 서버 간의 보안 통신 방법 및 이를 위한 관할 dns 서버, 그리고 보안 통신 시스템 - Google Patents

Dns 서버 간의 보안 통신 방법 및 이를 위한 관할 dns 서버, 그리고 보안 통신 시스템 Download PDF

Info

Publication number
KR101326360B1
KR101326360B1 KR1020120067543A KR20120067543A KR101326360B1 KR 101326360 B1 KR101326360 B1 KR 101326360B1 KR 1020120067543 A KR1020120067543 A KR 1020120067543A KR 20120067543 A KR20120067543 A KR 20120067543A KR 101326360 B1 KR101326360 B1 KR 101326360B1
Authority
KR
South Korea
Prior art keywords
key
dns
dns server
blind
jurisdiction
Prior art date
Application number
KR1020120067543A
Other languages
English (en)
Inventor
정윤찬
Original Assignee
가톨릭대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 가톨릭대학교 산학협력단 filed Critical 가톨릭대학교 산학협력단
Priority to KR1020120067543A priority Critical patent/KR101326360B1/ko
Application granted granted Critical
Publication of KR101326360B1 publication Critical patent/KR101326360B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3273Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3006Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
    • H04L9/3013Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters involving the discrete logarithm problem, e.g. ElGamal or Diffie-Hellman systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 DNS 서버 간의 보안 통신 방법 및 이를 위한 관할 DNS 서버, 그리고 보안 통신 시스템에 관한 것이다. 본 발명에 따르면, 관할 DNS 서버가 지역 DNS 서버와 보안 통신을 수행하는 방법에 있어서, 제1 비밀 값을 이용하여 계산된 제1 블라인드 키가 포함된 DNS 질의 메시지를 상기 지역 DNS 서버로부터 수신하는 단계와, 제2 비밀 값을 이용하여 제2 블라인드 키를 생성하는 단계와, 상기 제2 비밀 값 및 상기 제1 블라인드 키를 이용하여 대칭키를 생성하고, 상기 대칭키를 이용하여 상기 DNS 질의 메시지에 포함된 질의응답(Q&A) 정보를 암호화하는 단계와, 상기 관할 DNS 서버의 개인키를 이용하여, 상기 제2 블라인드 키를 암호화하는 단계, 및 상기 암호화된 제2 블라인드 키 정보, 상기 관할 DNS 서버의 공개키 인증서 정보, 그리고 상기 암호화된 질의응답 정보를 포함하는 DNS 응답 메시지를 상기 지역 DNS 서버로 전송하는 단계를 포함하는 DNS 서버 간의 보안 통신 방법을 제공한다.
본 발명에 따르면, 질의를 전송하는 지역 DNS 서버와 그에 대한 응답을 전송하는 관할 DNS 서버 간의 DNS 트랜잭션 마다 관할 DNS 서버가 지역 DNS 서버와 협의하여 DNS 트랜잭션 동안 사용할 고유한 대칭 키를 온라인으로 생성함에 따라 상호 인증과 비밀성을 보장할 수 있으며 복잡한 키 관리 체계를 필요로 하지 않는 이점이 있다.

Description

DNS 서버 간의 보안 통신 방법 및 이를 위한 관할 DNS 서버, 그리고 보안 통신 시스템{Method for security communication between DNS server and authoritative DNS server for thereof and security communication system}
본 발명은 DNS 서버 간의 보안 통신 방법 및 이를 위한 관할 DNS 서버, 그리고 보안 통신 시스템에 관한 것으로서, 보다 상세하게는 관할 DNS 서버가 지역 DNS 서버와 보안 통신을 수행하기 위한 DNS 서버 간의 보안 통신 방법 및 이를 위한 관할 DNS 서버, 그리고 보안 통신 시스템에 관한 것이다.
본 발명과 관련되는 배경 기술로는 DNS(Domain Name System) 체계와 DNS 보안 체계 기술로 나눌 수 있다. 먼저 DNS의 기본적 역할과 구성 체계에 대하여 요약 설명하면 다음과 같다. DNS는 도메인 이름을 해당 IP 주소로 변환해주는 표준화된 메카니즘이며 통신하고자 하는 상대방의 이름을 알면 위치와 연관된 IP 주소를 알려주는 서비스를 제공한다. 이러한 DNS는 체계적 구조를 갖는 전 세계적인 분산 데이터베이스로 구현되어 운영되고 있다. 그리고 DNS 리졸버(Resolver)는 클라이언트 프로그램으로서 클라이언트를 대신하여 질의를 보내고 응답을 받는 역할을 담당한다. 응답 메시지에는 Resource Records(RRs) 정보를 포함하고 있어 이 RR 부분이 이름을 주소로 변환 가능케 한다.
보통 같은 존 (Zone) 내의 관할 이름 서버(Authoritative Name Server)들 사이에는 RR 복제 운영이 이루어진다. 지역 이름 서버(Local Name Server)에서는 한번 찾은 RR을 캐싱(Caching)하여 다음번 이용 시에 질의 전송 없이도 캐싱된 내용을 불러오는 메카니즘을 채택한다. 이에 따라 DNS의 가용성이나 성능이 향상된다.
DNS 이름 공간은 계층적으로 구성된다. 상위 도메인(TLDs;Top-Level Domains)은 바로 뿌리(Root) 아래에 배치된다. 보통 도메인은 여러 개의 존으로 나누어진다. 관할 이름 서버는 존 단위의 이름/IP 주소 정보를 보관하고 있다. 또한 관할 이름 서버는 마스터(1차)와 2차 서버 개념으로 운용되는데, 2차 관할 이름 서버는 주기적으로 마스터 관할 이름 서버에게 질의를 보내어 이름/IP 주소 정보를 마스터 관할 이름 서버가 가진 것과 일치하도록 하고 있다. DNS 질의는 먼저 뿌리(Root) 이름 서버에게 보내지는 체계이므로 뿌리 이름 서버로서는 질의 처리에 큰 부하가 걸리지 않을 수가 없다. 이에 따라 캐싱 운영 개념을 도입하여 뿌리 이름 서버의 부하를 상당 부분 줄여 주게 된다. 최종적인 DNS 응답은 관할 이름 서버에서 지역 이름 서버로 보내진다.
DNS에서의 보안성 문제를 해결하기 위해서 기존에 제안된 방법으로는 DNSSEC(DNS Security Extensions)가 있다. DNSSEC를 이용한 쿼리 전송 및 응답 방식에 관한 종래 기술은 국내공개특허 제2010-0008043에 개시되어 있다.
상기 DNSSEC은 완전성과 데이터 송신자 인증이 이루어지는데, DNS 데이터베이스 각각의 항에 대하여 사전에 적용된 전자서명 기술을 사용하고 있다. 즉, DNS 서버로부터 받는 모든 응답 메시지에는 전자서명이 붙어져 있다. 이 전자서명을 확인하는 절차를 통하여 DNSSEC 리졸버는 도착하는 응답 내용이 송신한 관할 이름 서버의 내용과 동일한 것인가를 판별할 수 있다.
기존 DNSSEC는 4개의 RR 형태를 새로이 추가 정의하고 있다. 그리고 DNSSEC은 DNS 질의/응답 메시지의 헤더 부분에서 DNS에서는 사용하지 않았던 플래그(Flag)를 사용하고 있다. 또한, 기존 UDP가 사용하는 512 비트 크기의 패킷을 DNS가 이용하는데 비해 DNSSEC은 큰 크기의 비밀 키를 수용해야 하기 때문에 이 패킷 한도를 초과하여 사용할 수 있는 확장형의 UDP 패킷을 사용하여야 한다.
실질적인 가용성 측면에서 살펴보았을 때, DNSSEC은 구현하기가 매우 복잡하다. 그 이유는 앞서와 같이 레코드 형을 새로 정의하고, DNS 질의/응답 과정에서 새로운 플래그 비트를 사용하고 있으며, 서버와 리졸버에게 가해지는 계산 로드(Computational load)를 증가시키고 신뢰성 있는 공개 키 관리 체계를 요구하고 있기 때문이다. 특히 가장 중요한 장애 요소는 이렇게 복잡한 시스템을 용이하게 배치하기가 어렵다는 점이다. 즉, DNSSEC이 전세계적으로 배치되어 동작하려면 암호 키 관리가 이루어져야 하지만, 실제 운영 측면에서 보았을 때 키 관리 기술 부분이 아직 해결되지 못하고 있으며 DNSSEC의 구현이 복잡한 단점이 있다.
따라서 본 발명이 이루고자 하는 과제는 지역 DNS 서버와 관할 DNS 서버 간에 상호 인증과 보안성을 보장한 상태에서 보안 통신이 가능하도록 하는 DNS 서버 간의 보안 통신 방법 및 이를 위한 관할 DNS 서버를 제공하는데 목적이 있다.
본 발명은, 관할 DNS 서버가 지역 DNS 서버와 보안 통신을 수행하는 방법에 있어서, 제1 비밀 값을 이용하여 계산된 제1 블라인드 키가 포함된 DNS 질의 메시지를 상기 지역 DNS 서버로부터 수신하는 단계와, 제2 비밀 값을 이용하여 제2 블라인드 키를 생성하는 단계와, 상기 제2 비밀 값 및 상기 제1 블라인드 키를 이용하여 대칭키를 생성하고, 상기 대칭키를 이용하여 상기 DNS 질의 메시지에 포함된 질의응답(Q&A) 정보를 암호화하는 단계와, 상기 관할 DNS 서버의 개인키를 이용하여, 상기 제2 블라인드 키를 암호화하는 단계, 및 상기 암호화된 제2 블라인드 키 정보, 상기 관할 DNS 서버의 공개키 인증서 정보, 그리고 상기 암호화된 질의응답 정보를 포함하는 DNS 응답 메시지를 상기 지역 DNS 서버로 전송하는 단계를 포함하는 DNS 서버 간의 보안 통신 방법을 제공한다.
여기서, 상기 지역 DNS 서버(LO)는, 상기 제1 비밀 값 X(LO), 소수 q 및 원시근 α을 이용하여 상기 제1 블라인드 키(Y(LO) = αX( LO ) mod q)를 계산하고, 상기 제1 블라인드 키 및 상기 질의응답 정보가 포함된 상기 DNS 질의 메시지를 상기 관할 DNS 서버(AU)로 전송할 수 있다.
그리고, 상기 제2 비밀 값을 이용하여 제2 블라인드 키를 생성하는 단계는, 상기 제2 비밀 값 X(AU), 소수 q 및 원시근 α을 이용하여 상기 제2 블라인드 키(Y(AU) = αX( AU ) mod q)를 계산할 수 있다.
또한, 상기 DNS 질의 메시지에 포함된 질의응답 정보를 암호화하는 단계는, 상기 제2 비밀 값 X(AU) 및 상기 제1 블라인드 키 Y(LO)를 이용하여 대칭키(Ks = Y(LO)X(AU) mod q)를 계산한 다음 상기 대칭 키 Ks를 이용하여 상기 질의응답 정보를 암호화하여, 암호화된 질의응답 정보(EKs[Q&A])를 생성하고, 상기 제2 블라인드 키를 암호화하는 단계는, 상기 관할 DNS 서버의 개인키 KR(AU)를 이용하여 상기 제2 블라인드 키 Y(AU)를 암호화하여, 암호화된 제2 블라인드 키 정보 EKR( AU )[Y(AU)]를 생성할 수 있다.
그리고, 상기 DNS 응답 메시지를 상기 지역 DNS 서버로 전송하는 단계 이후, 상기 지역 DNS 서버는, 상기 관할 DNS 서버의 공개키 인증서 정보로부터 상기 관할 DNS 서버의 공개키 KU(AU)를 추출하고, 상기 공개키 KU(AU)를 이용하여 상기 제2 블라인드 키 Y(AU)를 복호화하여, 복호화된 제2 블라인드 키(Y(AU) = DKU( AU )[EKR( AU )[Y(AU)]])를 획득하며, 상기 복호화된 제2 블라인드 키 Y(AU)와 상기 제1 비밀 값 X(LO)을 이용하여 상기 대칭 키(Ks = Y(AU)X(LO) mod q)를 추출한 다음, 상기 추출된 대칭키를 이용하여 상기 암호화된 질의응답 정보(EKs[Q&A])를 복호화하여, 복호화된 정보(DKs[EKs[Q&A]])를 획득할 수 있다.
그리고, 본 발명은 지역 DNS 서버와 보안 통신을 수행하는 관할 DNS 서버에 있어서, 제1 비밀 값을 이용하여 계산된 제1 블라인드 키가 포함된 DNS 질의 메시지를 상기 지역 DNS 서버로부터 수신하는 DNS 질의 메시지 수신부와, 제2 비밀 값을 이용하여 제2 블라인드 키를 생성하는 블라인드 키 생성부와, 상기 제2 비밀 값 및 상기 제1 블라인드 키를 이용하여 대칭키를 생성하고, 상기 대칭키를 이용하여 상기 DNS 질의 메시지에 포함된 질의응답(Q&A) 정보를 암호화하는 질의응답 정보 암호화부와, 상기 관할 DNS 서버의 개인키를 이용하여, 상기 제2 블라인드 키를 암호화하는 블라인드 키 암호화부, 및 상기 암호화된 제2 블라인드 키 정보, 상기 관할 DNS 서버의 공개키 인증서 정보, 그리고 상기 암호화된 질의응답 정보를 포함하는 DNS 응답 메시지를 상기 지역 DNS 서버로 전송하는 DNS 응답 메시지 전송부를 포함하는 관할 DNS 서버를 제공한다.
여기서, 상기 블라인드 키 생성부는, 상기 제2 비밀 값 X(AU), 소수 q 및 원시근 α을 이용하여 상기 제2 블라인드 키(Y(AU) = αX( AU ) mod q)를 계산할 수 있다.
또한, 상기 질의응답 정보 암호화부는, 상기 제2 비밀 값 X(AU) 및 상기 제1 블라인드 키 Y(LO)를 이용하여 대칭키(Ks = Y(LO)X(AU) mod q)를 계산한 다음 상기 대칭 키 Ks를 이용하여 상기 질의응답 정보를 암호화하여, 암호화된 질의응답 정보(EKs[Q&A])를 생성하고, 상기 블라인드 키 암호부는, 상기 관할 DNS 서버의 개인키 KR(AU)를 이용하여 상기 제2 블라인드 키 Y(AU)를 암호화하여, 암호화된 제2 블라인드 키 정보 EKR( AU )[Y(AU)]를 생성할 수 있다.
그리고, 본 발명은 DNS 서버 간의 보안 통신 시스템에 있어서, 제1 비밀 값을 이용하여 계산된 제1 블라인드 키가 포함된 DNS 질의 메시지를 전송하는 지역 DNS 서버와, 상기 지역 DNS 서버로부터 수신한 상기 DNS 질의 메시지에 대한 응답으로 DNS 응답 메시지를 상기 지역 DNS 서버로 전송하는 관할 DNS 서버를 포함하고, 상기 관할 DNS 서버는, 상기 DNS 질의 메시지를 수신한 이후, 제2 비밀 값을 이용하여 제2 블라인드 키를 생성하고 상기 제2 비밀 값 및 상기 제1 블라인드 키를 이용하여 대칭키를 계산하며, 상기 대칭키를 이용하여 상기 DNS 질의 메시지에 포함된 질의응답(Q&A) 정보를 암호화하고 상기 관할 DNS 서버의 개인키를 이용하여 상기 제2 블라인드 키를 암호화하며, 상기 암호화된 제2 블라인드 키 정보, 상기 관할 DNS 서버의 공개키 인증서 정보, 그리고 상기 암호화된 질의응답 정보를 포함하는 DNS 응답 메시지를 상기 지역 DNS 서버로 전송하는 DNS 서버 간의 보안 통신 시스템을 제공한다.
본 발명에 따른 DNS 서버 간의 보안 통신 방법 및 이를 위한 관할 DNS 서버, 그리고 보안 통신 시스템에 따르면, 질의를 전송하는 지역 DNS 서버와 그에 대한 응답을 전송하는 관할 DNS 서버 간의 DNS 트랜잭션 마다 관할 DNS 서버가 지역 DNS 서버와 협의하여 DNS 트랜잭션 동안 사용할 고유한 대칭 키를 온라인으로 생성함에 따라 상호 인증과 비밀성을 보장할 수 있으며 복잡한 키 관리 체계를 필요로 하지 않는 이점이 있다.
도 1은 일반적인 DNS 메시지 형태와 RR 형태를 도식화한 것이다.
도 2는 본 발명의 실시예에 사용되는 보안 통신 시스템의 구성도이다.
도 3은 본 발명의 실시예에 따른 관할 DNS 서버의 구성도이다.
도 4는 도 3을 이용한 DNS 서버 간의 보안 통신 방법의 흐름도이다.
도 5는 도 4에 대응되는 흐름도이다.
도 6은 본 발명의 실시예에서 현재 처리 중인 DNS 트랜잭션에 대하여 지역 DNS 서버가 비밀 값을 생성하고 보관하는 것을 설명하기 위한 예시도이다.
그러면 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다.
본 발명은 DNS 서버 간의 보안 통신 방법 및 이를 위한 관할 DNS 서버, 그리고 보안 통신 시스템에 관한 것으로서, DNS(Domain Name System) 서버 간의 안전한 보안 기술을 제공한다.
도 1은 일반적인 DNS 메시지와 리소스 기록을 도식화한 것이다. 본 발명의 상세한 설명에 앞서 기존의 DNS에서 사용하는 DNS 메시지, 그리고 도메인 이름과 IP 주소의 관계를 매핑(Mapping)시켜 주는 자원 단위 정보인 리소스 기록(RR, Resource Record)에 대하여 설명하기로 한다.
본 발명의 주요 특징 중 하나는 안전한 DNS 체계를 만들기 위하여 기존의 DNS 메시지나 리소스 기록(RR)을 수정하지 않고 현재의 DNS 메시지와 리소스 기록(RR)을 그대로 이용하는 것이다. 이는 기존 DNS 체계를 안전한 DNS 체계로 손쉽게 전환할 수 있음을 의미한다.
일반적으로 보안 위협은 주로 질의와 응답을 보내는 DNS 트랜잭션에서 발생한다. DNS가 동작하는 하나의 트랜잭션에 속한 DNS 메시지들은 모두 고유한 트랜잭션 IDT(101)를 DNS 헤더에 포함하고 있다. DNS 메시지가 질의용일 경우에는 호스트 이름(102)(ex, 알고자 하는 호스트 주소에 해당하는 이름)을 알려주어 이에 해당하는 IP 주소를 얻는다. 관할 DNS 서버가 응답을 보내 줄 때는 DNS 응답 메시지를 사용하며 질의한 호스트 이름에 해당하는 IP 주소(103)를 응답으로 보내준다.
관할 DNS 서버는 자신의 존(Zone) 내에서 관할하는 호스트들에 대한 모든 RR(104) 정보(DNS 자원 단위 정보)를 보유하고 있다. 전 세계에 있는 인터넷 호스트들에 대한 리소스 기록(RR) 정보에 대하여 관할 DNS 서버는 자신의 관할 리소스 기록(RR) 정보만을 보관하고 있는데 이는 DNS 체계가 대표적인 분산 데이터베이스 시스템으로 불리는 이유이다.
도 2는 본 발명의 실시예에 사용되는 보안 통신 시스템의 구성도이다. 이러한 시스템에는 지역 DNS 서버(210), 관할 DNS 서버(220), 상위 DNS 서버(230), 뿌리 DNS 서버(240), 그리고 단말기(10)를 포함한다. 여기서, 단말기(10)는 일반적인 사용자 단말기에 해당된다.
이러한 도 2에 표현된 약자는 아래의 표 1과 같이 정리된다.
LO Local DNS server (지역 이름 서버)
RO Root DNS server (뿌리 이름 서버)
TL TLD DNS server (상위 이름 서버)
AU Authoritative DNS server (관할 이름 서버)
X(LO) 지역 이름 서버 (LO)가 선택한 비밀 값
X(AU) 관할 이름 서버 (AU)가 선택한 비밀 값
Y(LO) 지역 이름 서버 (LO)가 계산한 블라인드 키
Y(AU) 관할 이름 서버 (AU)가 계산한 블라인드 키
Ks 하나의 DNS 트랜잭션 동안 사용할 세션 키
KU(AU) 관할 이름 서버의 공개 키
KR(AU) 관할 이름 서버의 개인 키
IDT DNS 헤더의 트랜잭션 ID
SR(LO) 지역 이름 서버 (LO)가 관리하는 비밀 정보 테이블
SR(AU) 관할 이름 서버 (AU)가 관리하는 비밀 정보 테이블
AUCertChain 지역 이름 서버 (LO)가 관할 이름 서버 (AU)의 공개 키 인증서를 안전하게 확보할 수 있도록 해 주는 정보
도 2는 주어진 호스트(20) 이름에 해당하는 IP 주소를 해결하기 위한 DNS 질의/응답 메시지들에 대한 일련의 순서를 보여준다. 도 2를 이용한 통신 동작은 다음과 같다.
먼저, 지역 DNS 서버(210)는 임의 호스트(10)로부터 DNS 질의 내용(ex, 호스트(20)의 이름 주소인 'www.○○○.net'의 요청)을 전송 받는다(1). 여기서, DNS 질의 = [Hdr, Qst, Ans]이다. 이후, 지역 DNS 서버(210)는 DNS 질의 내용을 뿌리 DNS 서버(240)로 전송하고(2), 뿌리 DNS 서버(240)는 질의에 해당되는 상위 DNS 서버(230)의 주소(ex, '.net')를 지역 DNS 서버(210)에 알려준다(3).
그러면 지역 DNS 서버(210)는 다시 상위 DNS 서버(230)에 상기 질의 내용을 보낸다(4). 여기서 DNS 질의 = [Hdr, Qst, Ans]이다. 그리고, 상위 DNS 서버(230)는 해당 질의와 관련된 관할 DNS 서버(220)의 주소(ex, '○○○.net')를 지역 DNS 서버(210)에 알려준다(5).
이후에는 지역 DNS 서버(210)와 관할 DNS 서버(220) 간에 질의&응답이 이루어지며 관할 DNS 서버(220)가 보유한 리소스 기록(RR) 정보를 지역 DNS 서버(210)로 보낸다(6~7). 그러면 지역 DNS 서버(210)는 수신한 리소스 기록(RR) 정보를 캐싱하고 질의를 요청한 호스트(10)에게 질의의 응답을 최종적으로 보내게 된다(8).
본 발명은 이상과 같은 절차를 기본 요소로 하고 있으며 기존에 보안에 취약한 6~7 과정에 대한 보안 통신의 완전성과 인증 및 비밀성을 보장한다. 이러한 본 발명은 디피헬만(Diffie-Hellman) 키 교환 이론에서 수학적으로 입증된 방법을 사용한다. 디피-헬만 알고리즘은 소수(Prime number; q)와 q의 원시 근(Primitive root; α)을 정의하고 있다. 본 발명에서 세션에서 사용하는 (q, α) 값은 사전에 지역 DNS 서버(210)와 관할 DNS 서버(220) 사이에 약속된 값을 사용한다.
도 3은 본 발명의 실시예에 따른 관할 DNS 서버의 구성도이다.
상기 관할 DNS 서버(220)는, DNS 질의 메시지 수신부(221), 블라인드 키 생성부(222), 질의응답 정보 암호화부(223), 블라인드 키 암호화부(224), DNS 응답 메시지 전송부(225)를 포함한다.
상기 DNS 질의 메시지 수신부(221)는, 제1 비밀 값을 이용하여 계산된 제1 블라인드 키를 포함하는 DNS 질의 메시지를 지역 DNS 서버(210)로부터 수신한다. 이는 도 2의 6번 과정에 해당되는 구성에 대응된다. 그리고, 상기 블라인드 키 생성부(222)는 제2 비밀 값을 이용하여 제2 블라인드 키를 생성한다.
질의응답 정보 암호화부(223)는 상기 제2 비밀 값 및 상기 제1 블라인드 키를 이용하여 대칭키를 생성하고, 상기 대칭키를 이용하여 상기 DNS 질의 메시지에 포함된 질의응답(Q&A) 정보를 암호화한다. 그리고, 상기 블라인드 키 암호화부(224)는 상기 관할 DNS 서버(220)의 개인키를 이용하여, 상기 제2 블라인드 키를 암호화한다.
상기 DNS 응답 메시지 전송부(225)는 상기 암호화된 제2 블라인드 키 정보, 상기 관할 DNS 서버(220)의 공개키 인증서 정보, 그리고 상기 암호화된 질의응답 정보를 포함하는 DNS 응답 메시지를 상기 지역 DNS 서버(210)로 전송한다.
도 4는 도 3을 이용한 DNS 서버 간의 보안 통신 방법의 흐름도이다. 도 5는 도 4에 대응되는 흐름도이다. 여기서, 도 5의 ② 내지 ⑦ 과정은 도 2의 2~7 과정과 대응되는 것으로서, 이하에서는 ⑥~⑦ 과정을 통하여 본 발명의 실시예에 따른 보안 통신 방법에 대하여 상세하게 설명한다. 본 발명의 실시예에 따른 DNS 서버 간의 보안 통신 방법에 관하여 관할 DNS 서버(220)를 기준으로 상세히 설명하면 다음과 같다.
먼저, 지역 DNS 서버(210)(LO)는 제1 비밀 값 X(LO)를 생성한 다음, 이 제1 비밀 값 X(LO), 소수 q 및 원시근 α을 이용하여 제1 블라인드 키(Y(LO) = αX( LO ) mod q)를 계산한다.
이러한 지역 DNS 서버(210)는 상기 제1 블라인드 키 Y(LO) 및 질의응답(Q&A) 정보가 포함된 DNS 질의 메시지를 관할 DNS 서버(220)(AU)로 전송한다. 여기서, DNS 질의 메시지는 [Hdr, Y(LO), Qst, Ans]로 구성된다.
도 5에는 DNS 질의 메시지를 구성하는 제1 블라인드 키(402)와 질의응답 정보(403)(Question & Answer)를 확인할 수 있다. 도 5에서 Question & Answer는 상기 DNS 질의 메시지의 Qst와 Ans에 해당된다.
도 6은 본 발명의 실시예에서 현재 처리 중인 DNS 트랜잭션에 대하여 지역 DNS 서버가 비밀 값을 생성하고 보관하는 것을 설명하기 위한 예시도이다. 도 6을 참조하면, 지역 DNS 서버(210)는 현재 처리하고 있는 DNS 트랜잭션에 대하여 제1 비밀 값 X(LO)를 가지고 있다.
여기서, 지역 DNS 서버(210)가 지니고 있는 현재 처리 중인 모든 DNS 트랜잭션에 대한 비밀 값 엔트리들을 모아 놓은 것을 SRLO로 표현한다. 트랜잭션 ID인 IDT(601)는 SRLO에서 해당 비밀 값을 찾아내는 포인터 값이 된다.
따라서, 지역 DNS 서버(210)가 하나의 DNS 트랜잭션(IDT)(601)을 시작할 때 SRLO에 하나의 엔트리 즉, 하나의 비밀 값(602)이 생성되며, 이 엔트리는 DNS 트랜잭션이 종료될 때까지 유지된다. 즉, 지역 DNS 서버(210)는 DNS 트랜잭션 IDT를 시작하기 위해 DNS 질의를 내보내려 할 때 제1 비밀 값 X(LO)를 선택한다.
이러한 지역 DNS 서버(210)는 제1 비밀 값 X(LO)를 자신 만이 알고 있으며 외부에 절대로 노출시키지 않는 반면, 앞서 계산된 제1 블라인드 키 Y(LO)는 제1 비밀 값 대신으로 외부로 노출한다.
상기의 과정에 따라, 상기 관할 DNS 서버(220)는 상기 DNS 질의 메시지를 상기 지역 DNS 서버(210)로부터 수신한다(S410). 이러한 S410 단계는 DNS 질의 메시지 수신부(221)를 통해 수행한다.
그러면, 상기 블라인드 키 생성부(222)에서는 제2 비밀 값 X(AU)를 생성하고, 생성된 제2 비밀 값 X(AU), 소수 q 및 원시근 α을 이용하여 제2 블라인드 키(Y(AU) = αX( AU ) mod q)를 계산한다(S420).
다음, 상기 질의응답 정보 암호화부(223)는 상기 제2 비밀 값 X(AU) 및 상기 제1 블라인드 키 Y(LO)를 이용하여 대칭키(Ks = Y(LO)X(AU) mod q)를 생성한 다음, 상기 생성된 대칭키 Ks를 이용하여 상기 DNS 질의 메시지에 포함된 질의응답(Q&A) 정보를 암호화한다(S430).
이러한 S430 단계는 대칭키 Ks를 이용하여 질의응답(Q&A) 필드를 암호화하는 과정을 나타내며, 이에 따라 암호화된 질의응답 정보(EKs[Q&A])를 생성한다. 여기서 E는 암호화 알고리즘에 해당된다.
다음, 블라인드 키 암호화부(224)에서는 상기 관할 DNS 서버(220)의 개인키 KR(AU)를 이용하여, 상기 제2 블라인드 키 Y(AU)를 암호화하여, 암호화된 제2 블라인드 키 정보 EKR( AU )[Y(AU)]를 생성한다(S440).
이후, 상기 DNS 응답 메시지 전송부(225)는 상기 암호화된 제2 블라인드 키 정보 EKR( AU )[Y(AU)], 상기 관할 DNS 서버(220)의 공개키 인증서 정보(AUCertChain), 그리고 상기 암호화된 질의응답 정보 EKs[Q&A]를 포함하는 DNS 응답 메시지(도 5의 405,406 참조)를 상기 지역 DNS 서버(210)로 전송한다(S450).
이러한 S450 단계에서는 관할 DNS 서버(220)(AU)의 공개키 인증서 정보를 DNS 응답 메시지에 포함시킨다. 상기 DNS 응답 메시지는 [Hdr, EKR( AU )[Y(AU)], AUCertChain, EKS[Q&A]로 구성된다.
상기 관할 DNS 서버(220)로부터 상기 DNS 응답 메시지를 수신한 상기 지역 DNS 서버(210)는, 우선 상기 관할 DNS 서버(220)의 공개키 인증서 정보로부터 상기 관할 DNS 서버(220)의 공개키 KU(AU)를 안전하게 추출한다. 다음, 상기 공개키 KU(AU)를 이용하여 상기 제2 블라인드 키 Y(AU)를 복호화한다. 즉, 복호화된 제2 블라인드 키 Y(AU) = DKU( AU )[EKR( AU )[Y(AU)]]를 획득한다. 여기서, 여기서 D는 복호화 알고리즘에 해당된다.
이어서, 상기 지역 DNS 서버(210)는 응답 DNS 메시지의 헤더에 포함된 IDT 값을 이용하여 상기 제1 비밀 값 X(LO)을 찾아낸 다음, 이 제1 비밀 값 X(LO)과 상기 복호화된 제2 블라인드 키 Y(AU)를 이용하여 상기 대칭 키(Ks = Y(AU)X(LO) mod q)를 추출한다. 이후에는, 상기 추출된 대칭키를 이용하여 상기 DNS 응답 메시지 내의 암호화된 질의응답 정보(EKs[Q&A])를 복호화하여, 복호화된 정보(DKs[EKs[Q&A]])를 획득한다.
이상과 같은 본 발명에 따르면, 트랜잭션 과정의 최종 단계 즉, 지역 DNS 서버(210)와 관할 DNS 서버(220) 간에 DNS 질의 메시지의 전송 및 응답 과정이 기존의 DNS 트랜잭션과 상이함을 알 수 있다.
기존에는 공격자들이 DNS 응답을 보내는 관할 DNS 서버(220)인 것처럼 가장하거나 DNS 응답 메시지를 변경시키고 서버에 보관되어 있는 캐싱(과거에 한번 알아낸 것을 보관해 놓은 정보) 정보를 바꾸기도 한다. 이러한 경우, 상대방의 이름으로 IP 주소를 알아낼 수가 없어 인터넷 통신을 할 수 없게 되거나 심지어는 적의 공격으로 인해 의도된 목적지를 벗어나 악성 서버로 연결될 수 있다.
그러나 본 발명의 실시예에 따르면, 제 3자인 공격자가 관할 DNS 서버(220)인 것처럼 가장하여 DNS 응답을 지역 DNS 서버(210)로 보내려고 시도하는 것이 불가능하다. 그 이유는 공격자는 자신의 신분을 속이고 블라인드 키 Y(AU)를 지역 DNS 서버(210)로 보낼 수 없기 때문이다. 즉, 지역 DNS 서버(210)는 오직 관할 DNS 서버(220)로부터 Y(AU)를 수신할 수 있다.
또한, 본 발명의 실시예에 있어서 공격자가 세션 키 Ks를 알아낼 방법이 없다. 이는 공격자가 세션 키 Ks를 알아내려면 제1 비밀 값 X(LO) 또는 제2 비밀 값 X(AU) 중 최소한 한 가지는 알아내야 하는데, 본 발명의 실시예에 따르면 대칭 키를 이용함으로써 이들 비밀 값을 공격자가 알아내는 것을 차단할 수 있다.
이와 같이 본 발명의 실시예에 따르면 가짜 DNS 응답 메시지에 의한 잘못된 정보가 지역 DNS 서버(210)에 캐싱되는 것을 차단할 수 있다. 또한, 오직 인증된 지역 DNS 서버(210)와 관할 DNS 서버(220)가 관여하는 DNS 트랜잭션에서 획득한 리소스 기록(RR) 정보만 데이터에 저장되므로 지역 DNS 서버(210)에 저장되는 리소스 기록(RR) 정보가 해킹되는 것을 방지할 수 있다.
이상과 같이 본 발명은 질의를 전송하는 지역 DNS 서버와 그에 대한 응답을 전송하는 관할 DNS 서버 간의 DNS 트랜잭션 마다 관할 DNS 서버가 지역 DNS 서버와 협의하여 DNS 트랜잭션 동안 사용할 고유한 대칭 키를 온라인으로 생성함에 따라, 상호 인증, 비밀성, 완전성을 제공할 수 있다. 또한, 본 발명은 기존의 DNSSEC(DNS Security Extensions)와 같이 복잡한 키 관리 체계를 필요로 하지 않는 이점이 있다. 더욱이, 본 발명은 기존의 DNS 체계에서 사용 중인 RR 형태를 수정하지 않고도 DNS 체계를 각종 위협으로부터 안전하게 보호할 수 있는 이점이 있다.
본 발명은 도면에 도시된 실시예를 참고로 설명되었으나 이는 예시적인 것에 불과하며, 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 다른 실시예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호 범위는 첨부된 특허청구범위의 기술적 사상에 의하여 정해져야 할 것이다.
10: 지역 DNS 서버 220: 관할 DNS 서버
221: DNS 질의 메시지 수신부 222: 블라인드 키 생성부
223: 질의응답 정보 암호화부 224: 블라인드 키 암호화부
225: DNS 응답 메시지 전송부 230: 상위 DNS 서버
240: 뿌리 DNS 서버

Claims (11)

  1. 관할 DNS 서버가 지역 DNS 서버와 보안 통신을 수행하는 방법에 있어서,
    제1 비밀 값을 이용하여 계산된 제1 블라인드 키가 포함된 DNS 질의 메시지를 상기 지역 DNS 서버로부터 수신하는 단계;
    제2 비밀 값을 이용하여 제2 블라인드 키를 생성하는 단계;
    상기 제2 비밀 값 및 상기 제1 블라인드 키를 이용하여 대칭키를 생성하고, 상기 대칭키를 이용하여 상기 DNS 질의 메시지에 포함된 질의응답(Q&A) 정보를 암호화하는 단계;
    상기 관할 DNS 서버의 개인키를 이용하여, 상기 제2 블라인드 키를 암호화하는 단계; 및
    상기 암호화된 제2 블라인드 키의 정보, 상기 관할 DNS 서버의 공개키 인증서 정보, 그리고 상기 암호화된 질의응답 정보를 포함하는 DNS 응답 메시지를 상기 지역 DNS 서버로 전송하는 단계를 포함하는 DNS 서버 간의 보안 통신 방법.
  2. 청구항 1에 있어서,
    상기 지역 DNS 서버(LO)는,
    상기 제1 비밀 값 X(LO), 소수 q 및 원시근 α을 이용하여 상기 제1 블라인드 키(Y(LO) = αX(LO) mod q)를 계산하고,
    상기 제1 블라인드 키 및 상기 질의응답 정보가 포함된 상기 DNS 질의 메시지를 상기 관할 DNS 서버(AU)로 전송하는 DNS 서버 간의 보안 통신 방법.
  3. 청구항 2에 있어서,
    상기 제2 비밀 값을 이용하여 제2 블라인드 키를 생성하는 단계는,
    상기 제2 비밀 값 X(AU), 소수 q 및 원시근 α을 이용하여 상기 제2 블라인드 키(Y(AU) = αX(AU) mod q)를 계산하는 DNS 서버 간의 보안 통신 방법.
  4. 청구항 3에 있어서,
    상기 DNS 질의 메시지에 포함된 질의응답 정보를 암호화하는 단계는,
    상기 제2 비밀 값 X(AU) 및 상기 제1 블라인드 키 Y(LO)를 이용하여 대칭키(Ks = Y(LO)X(AU) mod q)를 계산한 다음 상기 대칭 키 Ks를 이용하여 상기 질의응답 정보를 암호화하여, 암호화된 질의응답 정보(EKs[Q&A])를 생성하고,
    상기 제2 블라인드 키를 암호화하는 단계는,
    상기 관할 DNS 서버의 개인키 KR(AU)를 이용하여 상기 제2 블라인드 키 Y(AU)를 암호화하여, 암호화된 제2 블라인드 키 정보 EKR(AU)[Y(AU)]를 생성하는 DNS 서버 간의 보안 통신 방법.
  5. 청구항 4에 있어서,
    상기 DNS 응답 메시지를 상기 지역 DNS 서버로 전송하는 단계 이후,
    상기 지역 DNS 서버는,
    상기 관할 DNS 서버의 공개키 인증서 정보로부터 상기 관할 DNS 서버의 공개키 KU(AU)를 추출하고, 상기 공개키 KU(AU)를 이용하여 상기 제2 블라인드 키 Y(AU)를 복호화하여, 복호화된 제2 블라인드 키(Y(AU) = DKU(AU)[EKR(AU)[Y(AU)]])를 획득하며,
    상기 복호화된 제2 블라인드 키 Y(AU)와 상기 제1 비밀 값 X(LO)을 이용하여 대칭 키(Ks = Y(AU)X(LO) mod q)를 추출한 다음, 상기 추출된 대칭 키를 이용하여 상기 암호화된 질의응답 정보(EKs[Q&A])를 복호화하여, 복호화된 정보(DKs[EKs[Q&A]])를 획득하는 DNS 서버 간의 보안 통신 방법.
  6. 지역 DNS 서버와 보안 통신을 수행하는 관할 DNS 서버에 있어서,
    제1 비밀 값을 이용하여 계산된 제1 블라인드 키가 포함된 DNS 질의 메시지를 상기 지역 DNS 서버로부터 수신하는 DNS 질의 메시지 수신부;
    제2 비밀 값을 이용하여 제2 블라인드 키를 생성하는 블라인드 키 생성부;
    상기 제2 비밀 값 및 상기 제1 블라인드 키를 이용하여 대칭키를 생성하고, 상기 대칭키를 이용하여 상기 DNS 질의 메시지에 포함된 질의응답(Q&A) 정보를 암호화하는 질의응답 정보 암호화부;
    상기 관할 DNS 서버의 개인키를 이용하여, 상기 제2 블라인드 키를 암호화하는 블라인드 키 암호화부; 및
    상기 암호화된 제2 블라인드 키의 정보, 상기 관할 DNS 서버의 공개키 인증서 정보, 그리고 상기 암호화된 질의응답 정보를 포함하는 DNS 응답 메시지를 상기 지역 DNS 서버로 전송하는 DNS 응답 메시지 전송부를 포함하는 관할 DNS 서버.
  7. 청구항 6에 있어서,
    상기 지역 DNS 서버(LO)는,
    상기 제1 비밀 값 X(LO), 소수 q 및 원시근 α을 이용하여 상기 제1 블라인드 키(Y(LO) = αX(LO) mod q)를 계산하고,
    상기 제1 블라인드 키 및 상기 질의응답 정보가 포함된 상기 DNS 질의 메시지를 상기 관할 DNS 서버(AU)로 전송하는 관할 DNS 서버.
  8. 청구항 7에 있어서,
    상기 블라인드 키 생성부는,
    상기 제2 비밀 값 X(AU), 소수 q 및 원시근 α을 이용하여 상기 제2 블라인드 키(Y(AU) = αX( AU ) mod q)를 계산하는 관할 DNS 서버.
  9. 청구항 8에 있어서,
    상기 질의응답 정보 암호화부는,
    상기 제2 비밀 값 X(AU) 및 상기 제1 블라인드 키 Y(LO)를 이용하여 대칭키(Ks = Y(LO)X(AU) mod q)를 계산한 다음 상기 대칭 키 Ks를 이용하여 상기 질의응답 정보를 암호화하여, 암호화된 질의응답 정보(EKs[Q&A])를 생성하고,
    상기 블라인드 키 암호부는,
    상기 관할 DNS 서버의 개인키 KR(AU)를 이용하여 상기 제2 블라인드 키 Y(AU)를 암호화하여, 암호화된 제2 블라인드 키 정보 EKR( AU )[Y(AU)]를 생성하는 관할 DNS 서버.
  10. 청구항 9에 있어서,
    상기 지역 DNS 서버는,
    상기 관할 DNS 서버의 공개키 인증서 정보로부터 상기 관할 DNS 서버의 공개키 KU(AU)를 추출하고, 상기 공개키 KU(AU)를 이용하여 상기 제2 블라인드 키 Y(AU)를 복호화하여, 복호화된 제2 블라인드 키(Y(AU) = DKU(AU)[EKR(AU)[Y(AU)]])를 획득하며,
    상기 복호화된 제2 블라인드 키 Y(AU)와 상기 제1 비밀 값 X(LO)을 이용하여 대칭 키(Ks = Y(AU)X(LO) mod q)를 추출한 다음, 상기 추출된 대칭 키를 이용하여 상기 암호화된 질의응답 정보(EKs[Q&A])를 복호화하여, 복호화된 정보(DKs[EKs[Q&A]])를 획득하는 관할 DNS 서버.
  11. DNS 서버 간의 보안 통신 시스템에 있어서,
    제1 비밀 값을 이용하여 계산된 제1 블라인드 키가 포함된 DNS 질의 메시지를 전송하는 지역 DNS 서버;
    상기 지역 DNS 서버로부터 수신한 상기 DNS 질의 메시지에 대한 응답으로 DNS 응답 메시지를 상기 지역 DNS 서버로 전송하는 관할 DNS 서버를 포함하고,
    상기 관할 DNS 서버는,
    상기 DNS 질의 메시지를 수신한 이후, 제2 비밀 값을 이용하여 제2 블라인드 키를 생성하고 상기 제2 비밀 값 및 상기 제1 블라인드 키를 이용하여 대칭키를 계산하며,
    상기 대칭키를 이용하여 상기 DNS 질의 메시지에 포함된 질의응답(Q&A) 정보를 암호화하고 상기 관할 DNS 서버의 개인키를 이용하여 상기 제2 블라인드 키를 암호화하며,
    상기 암호화된 제2 블라인드 키의 정보, 상기 관할 DNS 서버의 공개키 인증서 정보, 그리고 상기 암호화된 질의응답 정보를 포함하는 DNS 응답 메시지를 상기 지역 DNS 서버로 전송하는 DNS 서버 간의 보안 통신 시스템.
KR1020120067543A 2012-06-22 2012-06-22 Dns 서버 간의 보안 통신 방법 및 이를 위한 관할 dns 서버, 그리고 보안 통신 시스템 KR101326360B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020120067543A KR101326360B1 (ko) 2012-06-22 2012-06-22 Dns 서버 간의 보안 통신 방법 및 이를 위한 관할 dns 서버, 그리고 보안 통신 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120067543A KR101326360B1 (ko) 2012-06-22 2012-06-22 Dns 서버 간의 보안 통신 방법 및 이를 위한 관할 dns 서버, 그리고 보안 통신 시스템

Publications (1)

Publication Number Publication Date
KR101326360B1 true KR101326360B1 (ko) 2013-11-11

Family

ID=49857009

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120067543A KR101326360B1 (ko) 2012-06-22 2012-06-22 Dns 서버 간의 보안 통신 방법 및 이를 위한 관할 dns 서버, 그리고 보안 통신 시스템

Country Status (1)

Country Link
KR (1) KR101326360B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108418824A (zh) * 2018-03-07 2018-08-17 北京元心科技有限公司 访问互联网的方法、装置及终端设备
KR102138467B1 (ko) * 2019-05-14 2020-07-28 한국과학기술원 통신 단절 상황에서의 식별자 기반 메시지 전송 방법 및 시스템

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20010052016A1 (en) 1999-12-13 2001-12-13 Skene Bryan D. Method and system for balancing load distrubution on a wide area network
KR20040056392A (ko) * 2002-12-23 2004-07-01 한국전자통신연구원 홈네트워크 환경에서의 정보가전 기기의 IPv6 주소 및이름 자동설정 방법
WO2011046790A1 (en) 2009-10-13 2011-04-21 Martin Kagan Dns application server
EP2388954A1 (en) 2010-05-18 2011-11-23 Spotify Ltd DNS based error reporting

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20010052016A1 (en) 1999-12-13 2001-12-13 Skene Bryan D. Method and system for balancing load distrubution on a wide area network
KR20040056392A (ko) * 2002-12-23 2004-07-01 한국전자통신연구원 홈네트워크 환경에서의 정보가전 기기의 IPv6 주소 및이름 자동설정 방법
WO2011046790A1 (en) 2009-10-13 2011-04-21 Martin Kagan Dns application server
EP2388954A1 (en) 2010-05-18 2011-11-23 Spotify Ltd DNS based error reporting

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108418824A (zh) * 2018-03-07 2018-08-17 北京元心科技有限公司 访问互联网的方法、装置及终端设备
KR102138467B1 (ko) * 2019-05-14 2020-07-28 한국과학기술원 통신 단절 상황에서의 식별자 기반 메시지 전송 방법 및 시스템

Similar Documents

Publication Publication Date Title
CN109983752B (zh) 带有编码dns级信息的网络地址
US11902265B2 (en) Symmetric-key infrastructure
US20140244998A1 (en) Secure publishing of public-key certificates
US20100011420A1 (en) Operating a service on a network as a domain name system server
US20120124369A1 (en) Secure publishing of public-key certificates
US20080313348A1 (en) Techniques for port hopping
US20060182124A1 (en) Cipher Key Exchange Methodology
US20160149711A1 (en) Distributed identification system for peer to peer message transmission
US7757272B1 (en) Method and apparatus for dynamic mapping
JP2000349747A (ja) 公開鍵管理方法
US11888828B2 (en) Domain name system queries
Grothoff et al. Toward secure name resolution on the internet
Bassil et al. Security analysis and solution for thwarting cache poisoning attacks in the domain name system
Evdokimov et al. Multipolarity for the object naming service
Zhao et al. Two-servers PIR based DNS query scheme with privacy-preserving
KR101326360B1 (ko) Dns 서버 간의 보안 통신 방법 및 이를 위한 관할 dns 서버, 그리고 보안 통신 시스템
CN115580498B (zh) 融合网络中的跨网通信方法及融合网络系统
Rafiee et al. A secure, flexible framework for dns authentication in ipv6 autoconfiguration
CN114666056B (zh) 提供第一数字证书和dns响应
Schanzenbach et al. RFC 0000 The GNU Name System
Bansal et al. Survey on domain name system security problems-DNS and blockchain solutions
Bakhache et al. Kerberos secured address resolution protocol (karp)
Chetioui et al. Encryption of Query in DNS Message
Chandramouli et al. Open issues in secure DNS deployment
Schanzenbach et al. RFC 9498 The GNU Name System

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160907

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20180919

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20190919

Year of fee payment: 7