KR101527249B1 - Ip 어드레스 위임 - Google Patents

Ip 어드레스 위임 Download PDF

Info

Publication number
KR101527249B1
KR101527249B1 KR1020107022081A KR20107022081A KR101527249B1 KR 101527249 B1 KR101527249 B1 KR 101527249B1 KR 1020107022081 A KR1020107022081 A KR 1020107022081A KR 20107022081 A KR20107022081 A KR 20107022081A KR 101527249 B1 KR101527249 B1 KR 101527249B1
Authority
KR
South Korea
Prior art keywords
ipv6
network routing
public key
host
verifying
Prior art date
Application number
KR1020107022081A
Other languages
English (en)
Other versions
KR20100126783A (ko
Inventor
곤잘로 카말릴로
페카 니칸데르
Original Assignee
텔레폰악티에볼라겟엘엠에릭슨(펍)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 텔레폰악티에볼라겟엘엠에릭슨(펍) filed Critical 텔레폰악티에볼라겟엘엠에릭슨(펍)
Publication of KR20100126783A publication Critical patent/KR20100126783A/ko
Application granted granted Critical
Publication of KR101527249B1 publication Critical patent/KR101527249B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/604Address structures or formats
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/659Internet protocol version 6 [IPv6] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5092Address allocation by self-assignment, e.g. picking addresses at random and testing if they are already in use

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

네트워크 라우팅 프레픽스 및 암호화 생성 인터페이스 식별자를 포함하는 IPv6 어드레스에 대해 행해지는 요청을 검증하는 방법이 제공된다. 상기 요청은, 적어도 상기 호스트의 공개 키, 하나 이상의 부가 파라미터들 또는 하나 이상의 부가 파라미터들을 생성하기 위한 식 또는 식들, IPv6 네트워크 라우팅 프레픽스들의 범위 또는 세트의 사양, 위임되는 호스트의 아이덴티티, 및 상기 공개 키와 관련되는 개인 키를 사용하여 적어도 상기 아이덴티티 및 IPv6 네트워크 라우팅 프레픽스들의 범위 또는 세트의 상기 사양에 대하여 취해지는 디지털 서명을 포함하는 위임 인증서를 포함한다. 상기 방법은 상기 IPv6 어드레스의 상기 네트워크 라우팅 프레픽스가 상기 사양 내에 포함되는지를 검증하는 단계, 상기 공개 키 및 상기 부가 파라미터(들)가 상기 암호화 생성 인터페이스 식별자를 생성하는데 사용될 수 있는지를 검증하는 단계, 및 상기 공개키를 사용해서 상기 서명을 검증하는 단계를 포함한다.

Description

IP 어드레스 위임{IP ADDRESS DELEGATION}
본 발명은 IP 어드레스 위임에 관한 것이고 특히 상기 어드레스를 소유하는 노드(node)로부터 부가 노드로의 암호 발생 어드레스(Cryptographically Generated Address)에 대한 책무의 위임에 관한 것이다.
IPv6 어드레스들은 길이가 128 비트들이다. 어드레스의 처음 64 비트들은 IP 단말기 또는 노드에 의해 사용되는 인터넷 액세스 노드(또는 소위 "로컬 링크(local link)")를 고유하게 식별하는 라우팅 프레픽스(routing prefix)를 형성하는데 반해, 나중의 64 비트들은 액세스 노드로의(또는 로컬 링크 내의) 모바일 단말기를 고유하게 식별하는 호스트 서픽스(host suffix)를 형성한다. 호스트 서픽스는 자신이 액세스 인터페이스를 통해 호스트를 고유하게 식별할 때 "인터페이스 식별자"로서 칭해진다. 전형적으로, 호스트가 액세스 노드에 등록되면, 호스트는 액세스 노드로부터 송신되는 광고 메시지로부터 액세스 노드의 라우팅 프레픽스를 습득한다. IETF RFC3041에 따르면, 이때 호스트는 호스트에 의해 생성되는 무작위의 수를 사용하여 자체의 인터페이스 식별자를 발생시킨다. 호스트는 추가로 링크 계층 어드레스를 사용하여 인터페이스 식별자를 발생시킬 수 있어서, 링크 계층 어드레스는 예를 들어 액세스 네트워크에 의해 사용되는 MAC 계층 어드레스이다.
WO02/076060는 노드가 해시 함수(hash function)과 같은 일방향 코딩 함수(coding function)를 사용하여 인터페이스 식별자의 암호화 버전을 어떻게 생성하고 상기 노드가 IP 어드레스의 인터페이스 식별자의 소유자인지를 이후에 검증할 수 있는 다른 피어(peer) 사용자에게 상기 암호화 버전을 어떻게 제공할 수 있는지를 기술한다. 그와 같은 암호 발생 어드레스들은 CGA들로 공지되어 있다. CGA들은 예를 들어 노드가 사용하기를 원하는 IP 어드레스가 공격자의 소유자임을 상기 공격자가 주장하는 서비스 거부의 공격을 방지하는데 도움을 주는 일정 수준의 보안을 제공한다. CGA 방법은 IETF RFC 3972에서 표준화되었고 그 중에서도 IETF RFC 3971에서 표준화된 보안 이웃 탐색(Secure Neighbor Discovery: SeND)에서 사용된다.
RFC 3972에 따르면, CGA들은 다음과 같이 발생된다:
Hash1 = hash(변경자|프레픽스|공개키|확장자)
IPv6 어드레스 = 프레픽스|Hash1(보안 레벨 및 다른 요건들에 따른 특정한 비트들을 갖는).
여기서 "프레픽스(prefix)"는 네트워크 라우팅 프레픽스이고, "해시"는 암호화 해시 함수(SHA-1)이고, "공개 키(public key)"는 어드레스를 발생한 노드의 공개 키이고, "확장자"는 표준화된 정보를 반송하기 위해 현재 사용되지 않는 필드(field)이다. "변경자"는 보안을 증가시킬 뿐만 아니라 무작위성(randomness)을 향상시키기 위해 노드에 의해 발생되는 128 비트 값이다. 특히, 요구되는 보안 레벨에 따라, 변경자 값은 가장 좌측의 비트 장소들에 지정된 "0"의 수를 갖는 값("Hash2")으로 해싱(hashing)하는 데이터(변경자 및 공개 키를 포함한)의 특정한 연결을 발생하도록 선택된다.
CGA의 소유를 증명하기 위해서 노드는, CGA 데이터 구조로서 배열되는, CGA 어드레스, 변경자, 공개 키, 및 임의의 확장자의 인터페이스 식별자(Interface Identifier: IID) 부분을 포함하는 인증서를 제공할 수 있어야만 한다. 인증서는 노드의 개인 키(private key)를 사용하여 송신될 메시지에 걸쳐 취해지는 디지털 서명(SHA-1)을 포함한다. 인증서를 수신하는 피어 노드는 Hash2를 계산하고 그것이 가장 좌측의 비트 장소들에서 정확한 "0"들의 수를 갖는지를 검증한다. 만일 그러한 경우라면, 노드는 Hash1을 계산하고 이를 IID와 비교함으로써 IID가 공개-개인 키 쌍에 속하는지를 검출하고나서, 검증된 공개 키를 사용하여 서명 프로세스를 역으로 함으로써 서명을 검증한다. 이 제 2 단계는 송신자가 실제로 공개 키를 소유하고 있고 단지 그것을 잘못 인식하고 있는지를 입증할 뿐만 아니라, 메시지가 주장되는 송신자로부터 발신되었는지를 입증한다.
CGA를 소유하는 호스트("위임하는" 노드)는 일부 부가 노드("위임되는" 노드)에 상기 어드레스에 대한 책무를 위임할 수 있는데, 예를 들어 위임된 노드가 트래픽이 위임하는 노드로 지향되도록 요청하는 것이 가능하다. 이는 CGA, CGA 데이터 구조, 위임된 노드의 아이덴티티(identity), 및 위임하는 노드의 공개 키를 사용하여 생성되는 서명을 포함하는 인증서를 위임된 노드에 제공함으로써 달성된다. 주장되고 있는 CGA를 사용하는 것이 허용되어 있는지를 제3자에게 입증하기 위해, 위임된 노드는 인증서를, IID가 공개 키에 속해 있고 상기 인증서가 공개 키의 소유자에 의해 유효하게 서명되어 있는지를 검증할 수 있는 제3자에게 제공한다. 상기 아이덴티티가 위임된 노드의 공개키인 경우에, 위임된 노드는 자체의 개인 키를 갖는 CGA와 관련된 임의의 요청에 서명함으로써, 제3자가 주장되고 있는 아이덴티티를 위임된 노드가 소유하고 있음을 증명하도록 할 수 있다.
위임에 관한 이 방법의 문제점은 위임하는 노드에 의해 위임되는 노드로 제공되는 인증서가 단일 CGA에 매여 있다는 점이다. 위임하는 노드가 예를 들어 이동성 및 새로운 네트워크 라우팅 프레픽스의 사용으로 인해서 자체의 IPv6 어드레스를 변경하는 경우, 새 인증서가 위임된 노드에 제공되어야만 한다.
본 발명의 제 1 양상에 따르면, 네트워크 라우팅 프레픽스 및 암호화 생성 인터페이스 식별자를 포함하는 IPv6 어드레스에 대해 행해지는 요청을 검증하는 방법이 제공된다. 상기 요청은, 적어도 상기 호스트의 공개 키, 하나 이상의 부가 파라미터들 또는 하나 이상의 부가 파라미터들을 생성하기 위한 식 또는 식들, IPv6 네트워크 라우팅 프레픽스들의 범위 또는 세트의 사양, 위임되는 호스트의 아이덴티티, 및 상기 공개 키와 관련되는 개인 키를 사용하여 적어도 상기 아이덴티티 및 IPv6 네트워크 라우팅 프레픽스들의 범위 또는 세트의 상기 사양에 대하여 취해지는 디지털 서명을 포함하는 위임 인증서를 포함한다. 상기 방법은 상기 IPv6 어드레스의 상기 네트워크 라우팅 프레픽스가 상기 사양 내에 포함되는지를 검증하는 단계, 상기 공개 키 및 상기 부가 파라미터(들)가 상기 암호화 생성 인터페이스 식별자를 생성하는데 사용될 수 있는지를 검증하는 단계, 및 상기 공개키를 사용해서 상기 서명을 검증하는 단계를 포함한다.
본 발명의 실시예들은, 심지어 어드레스들이 아직 생성되지 않을 때라도, 호스트가 IPv6 어드레스들에 대한 책무를 부가 호스트에 위임하도록 한다.
어드레스가 사용하게 되면, 호스트들 사이의 후속 시그널링이 감소하거나 심지어 제거된다.
바람직한 실시예에 따르면, 상기 하나 이상의 부가 파라미터들은 어느 정도의 무작위성을 어드레스 생성 프로세스에 도입하는 변경자를 포함한다. 더욱 바람직하게는, 상기 인증서는 상기 변경자를 생성하기 위한 식을 포함하여 상기 변경자가 인터페이스 식별자가 생성될 때마다 변경되도록 한다. 상기 하나 이상의 부가 파라미터들은 또한 하나 이상의 확장자들을 포함할 수 있다.
상기 IPv6 네트워크 라우팅 프레픽스들의 범위 또는 세트는 모든 이용 가능한 라우팅 프레픽스들의 서브세트일 수 있다. 대안으로, 상기 IPv6 네트워크 라우팅 프레픽스들의 범위 또는 세트의 사양은 모든 이용 가능한 라우팅 프레픽스들을 지정할 수 있는, 즉, 인증서는 위임되는 노드가 모든 라우팅 프레픽스들에 대해 동작하도록 하는 권한을 부여한다.
상기 공개 키 및 상기 부가 파라미터(들)이 상기 암호화하여 생성된 인터페이스 식별자를 생성하는데 사용될 수 있는지를 검증하는 단계는 상기 검증 프로세스에서 상기 IPv6 어드레스의 상기 네트워크 라우팅 프레픽스를 사용하는 단계, 및 해싱 알고리즘을 이용하는 단계를 포함할 수 있다. 해싱 알고리즘은 또한 상기 공개 키를 사용하여, 상기 서명을 검증하는데 사용될 수 있다.
본 발명의 제 2 양상에 따르면, 위임 인증서를 생성하도록 구성된 제 1 프로세서를 포함하는 IPv6 호스트가 제공되고, 상기 인증서는 적어도 상기 호스트의 공개 키, 하나 이상의 부가 파라미터들 또는 하나 이상의 부가 파라미터들을 생성하기 위한 식 또는 식들, IPv6 네트워크 라우팅 프레픽스들의 범위 또는 세트의 사양, 위임되는 호스트의 아이덴티티, 및 상기 공개 키와 관련되는 개인 키를 사용하여 적어도 상기 아이덴티티 및 IPv6 네트워크 라우팅 프레픽스들의 범위 또는 세트의 상기 사양에 대하여 취해지는 디지털 서명을 포함한다. 상기 공개 키 및 상기 하나 이상의 부가 파라미터들은 암호화 생성 어드레스의 인터페이스 식별자 부분을 계산하는데 사용될 수 있다. 상기 호스트는 상기 인증서를 상기 위임되는 호스트에 제공하기 위한 출력, 및 적어도 상기 공개키 및 상기 하나 이상의 부가 파라미터를 사용하여 인터페이스 식별자를 생성하고, 암호화 생성 어드레스를 생성하기 위해 상기 인터페이스 식별자를 상기 프레픽스들의 범위 또는 세트 내에 포함되는 네트워크 라우팅 프레픽스와 결합하도록 구성되는 제 2 프로세스를 더 포함한다. 상기 출력은 암호화 생성 어드레스가 생성되었을 때 상기 위임되는 호스트에 통지를 송신하도록 더 구성될 수 있고, 상기 통지는 상기 암호화 생성 어드레스를 포함한다.
본 발명의 제 3 양상에 따르면, 피어 IPv6 호스트로부터 위임 인증서를 수신하는 제 1 입력을 포함하는 IPv6 호스트가 제공되고, 상기 인증서는 적어도 상기 피어 호스트의 공개 키, 하나 이상의 부가 파라미터들 또는 하나 이상의 부가 파라미터들을 생성하기 위한 식 또는 식들, IPv6 네트워크 라우팅 프레픽스들의 범위 또는 세트의 사양, 상기 수신 호스트의 아이덴티티, 상기 공개 키와 관련되는 개인 키를 사용하여 적어도 상기 아이덴티티 및 IPv6 네트워크 라우팅 프레픽스들의 범위 또는 세트의 상기 사양에 대하여 취해지는 디지털 서명을 포함한다. 상기 호스트는 상기 피어 호스트가 상기 인증서로의 암호화 생성 어드레스 매핑(mapping)을 사용하고 있다는 통지를 상기 피어 호스트로부터 수신하기 위한 제 2 입력, 및 상기 암호화 생성 어드레스의 대한 요청을 제3자 노드로 송신하고 상기 인증서를 상기 요청에 포함하기 위한 출력을 더 포함한다.
본 발명의 제 4 양상에 따르면, 적어도 호스트의 공개 키, 하나 이상의 부가 파라미터들 또는 하나 이상의 부가 파라미터들을 생성하기 위한 식 또는 식들, IPv6 네트워크 라우팅 프레픽스들의 범위 또는 세트의 사양, 위임되는 호스트의 아이덴티티, 및 사기 공개 키와 관련되는 개인 키를 사용하여 적어도 상기 아이덴티티 및 IPv6 네트워크 라우팅 프레픽스들의 범위 또는 세트의 상기 사양에 대하여 취해지는 디지털 서명을 포함하는 위임 인증서가 저장되는 컴퓨터 저장 매체가 제공된다.
상술한 바와 같이, 본 발명에 의해 위임하는 노드에 의해 위임되는 노드로 제공되는 인증서가 단일 CGA에 결부되지 않고, 위임하는 노드가 자체의 IPv6 어드레스를 변경하는 경우, 새 인증서가 위임된 노드에 제공되지 않아도 된다.
도 1은 새로운 CGA 위임 인증서에 대한 예시적인 구조를 개략적으로 도시하고;
도 2는 CGA 위임 인증서의 생성 및 사용에 수반되는 통신 시스템의 구성요소들을 개략적으로 도시하고;
도 3은 IPv6 어드레스에 대해 행해진 요청을 입증하기 위한 프로세스를 도시하는 흐름도이다.
IPv6 노드 또는 호스트("위임하는" 노드)가 아직까지 결정되지 않은 암호화 생성 IP 어드레스들에 대한 책무를 일부 부가 노드("위임되는" 노드)에 위임할 수 있도록 하기 위해, 본원에서는 위임하는 노드에서 상기 결정되지 않은 CGA들을 생성하는데 필요한 정보를 포함하는 인증서를 생성하는 것을 포함하는 메커니즘이 제안된다. 인증서는 위임하는 노드의 개인 키에 의해 생성되는 서명을 포함하고, 위임되는 노드에 제공된다. 인증서를 제3자에게 제공함으로써, 위임되는 노드는 주장되는 CGA에 대한 자신의 위임된 책무를 후속해서 입증할 수 있다.
위임 메커니즘을 더 자세하게 고려하면, 아직까지 결정되지 않은 CGA들에 대한 책무를 위임하고자 하는 노드는 도 1에 도시된 데이터 구조를 갖는 인증서를 생성한다. 상기 인증서는 새로운 데이터 구조 및 위임되는 노드의 아이덴티티를 포함한다. 이 아이덴티티는 위임되는 노드에 속하는 공개 키일 수 있다. 새로운 데이터 구조는 변경자, 위임하는 노드의 공개 키, 임의의 확장자, 및 허용 가능한 네트워크 라우팅 프레픽스들의 범위, 세트 또는 다른 규정으로 구성된다. 허용 가능한 프레픽스들은 예를 들어 브룸 필터(Bloom filter)를 사용하여 알고리즘적으로 규정될 수 있고, 실제로 데이터 구조는 모든 프레픽스들이 허용 가능하다는 표시를 포함할 수 있다. 단일 변경자 값을 규정하기보다는, 데이터 구조는 변경자를 생성하는 수단, 예를 들어 알고리즘 또는 알고리즘의 참조를 식별할 수 있어서, 이에 의해 변경자는 공지된 입력 값, 예를 들어 네트워크 라우팅 프레픽스 및 현재 시각으로부터 결정론적으로 생성될 수 있다. 시각이 사용되는 경우, CGA들은 시간 경계일 것이다. 적절하게 조악한 세분성(coarse granularity)이 예를 들어 한 시간 간격으로 사용되어야만 한다. 유사하게, 임의의 사용된 확장자들이 알고리즘적으로 규정될 수 있다.
CGA를 위해 필요한 보안 레벨은 자체의 가장 낮은 값(즉 RFC3972에 따르면 sec = 0)으로 설정되는 것으로 가정하면, 변경자를 생성하기 위한 알고리즘은 용이하게 규정될 수 있다. 보다 복잡한 고려사항들은 sec > 0일 때 발생한다.
위임하는 노드는 인증서에 자체의 개인 키에 의해 생성되는 서명을 포함하고 상기 인증서를 위임되는 노드에 제공한다. 이는 임의의 적절한 메커니즘에 의해 예를 들어 IETF RFC3972의 Section 6에 기술되는 메커니즘을 사용하여 행해질 수 있다. 당업자에 의해 인식되는 바와 같이, 서명은 CGA 데이터 구조와 결부된다. 일부의 적시의 이후 지점에서, 위임하는 노드는 CGA를 스스로 생성할 것이다. 이를 행하기 위해, 이는 필요하다면, 특정한 알고리즘(들)을 사용하여 변경자(및 임의의 확장자들)를 생성하고 적절한 네트워크 라우팅 프레픽스를 선택하거나 생성하고 RFC 3972의 Section 4에서 제시되는 절차를 따를 것이다.
이때, 위임하는 노드는 위임받는 노드에 자신의 새로운 IPv6 어드레스를 통지할 것이다. 후속해서, 위임받는 노드가 제3자 노드("검증하는" 노드)에 새로운 CGA에 대해 동작하라고 요청하고자 하면, 위임받은 노드는 상기 요청을 구비한 인증서를 포함해야만 한다. 검증하는 노드는 상기 요청을 검증하기 위해 다음의 동작들을 수행한다:
· 이는 CGA로부터 네트워크 라우팅 프레픽스를 추출하고 이것이 인증서의 CGA 데이터 구조에서 규정되는 임의의 세트 도는 범위에 해당하는지를 검증한다.
· 그리고나서 이는 데이터 구조로부터 변경자를 추출 또는 생성할 뿐만 아니라 위임하는 노드의 공개 키 및 임의의 확장자(들)를 추출한다.
· CGA 생성 동안 사용되는 실제 충돌 계수 값은 검증 시점에 인지되지 않을 것이므로, 검증 노드는 충돌 계수를 연속적으로 1, 1, 및 2로 설정하고나서 DGA가 위임하는 노드의 공개 키에 속하는지를 검증하기 위해 IETF RFC3972의 Section 5의 알고리즘을 수행해야만 한다.
· CGA가 정확하게 검증되는 경우, 검증하는 노드는 인증서 내에 포함되는 서명이 위임하는 노드의 공개 키에 대응하는 개인 키를 사용하여 생성되었는지를 검증하고자 시도한다.
· 서명이 정확하게 검증되는 경우, 검증하는 노드는 요청의 송신자, 즉 인증하는 노드가 인증서 내에 포함되는 아이덴티티의 소유자임을 검증하고자 시도한다. 상기 아이덴티티가 부가 공개 키라면, 이는 인증받는 노드의 개인 키를 사용하여 생성되는 요청 내에 포함되는 부가 서명을 검증하는 것을 포함할 수 있다.
보안 레벨이 낮게 설정되었다고, 즉 sec = 0이라고 가정하면, Hash2를 계산하기 위해 노드를 검증할 필요가 없다. sec > 0이라면, RFC3972의 Section 5 단계 6 및 7에서 기술된 절차가 수행되어야 한다.
도 2는 상술한 바와 같이 위임 인증서를 생성하도록 구성되는 제 1 프로세서를 포함하는 위임 노드(1)를 개략적으로 도시한다. 제 2 프로세서(3)는 상기 인증서 내에 포함되는 파라미터들을 사용하여 CGA를 생성하도록 구성된다. 인증서 및 CGA 생성의 통지 이 둘 모두는 출력(4)을 통해 위임되는 노드(5)로 송신된다. 이 노드(5)는 제 1 입력(6)에서 인증서를 수신하고 제 2 입력(7)에서 통지들을 수신한다. 프로세서(9)는 위임되는 CGA에 대한 요청을 생성하고 이것들을 인증서와 함께 검증 노드(10)로 송신하는 책무가 있다. 세 단계의 검증 프로세스는 인증서 상에서 수행, 즉: 라우팅 프레픽스가 범위(12) 내에 있는지를 검증하고, IID가 공개 키(13)와 정합하는지를 검증하고, 서명(14)을 검증한다.
도 3은 인증서를 검증하기 위한 프로세스를 도시한 흐름도이다. 도시된 이 단계들은 검증 노드에서 위임된 노드로부터 (CGA에 관한) 요청을 수신하는 단계(단계 100), CGA로부터 라우팅 프레픽스를 추출하는 단계(단계 101), 라우팅 프레픽스가 인증서 내에서 지정된 범위 내에 있는지를 검증하는 단계(단계 102), CGA의 IID를 검증하는 단계(단계 103), 및 서명을 검증하는 단계(단계 104)를 포함한다. 검증이 임의의 단계에서 실패한 경우, 요청이 거부된다(단계 106). 모든 검증 단계들이 성공적이면, 요청이 허용되고 프로세싱된다(단계 105).
본 발명의 범위를 벗어나지 않고 상술한 실시예에 다양한 수정들이 행해질 수 있음이 당업자에 의해 인식될 것이다.

Claims (12)

  1. 네트워크 라우팅 프레픽스 및 암호화 생성 인터페이스 식별자를 포함하는 IPv6 어드레스에 대해 행해지는 요청을 검증하는 방법으로서,
    상기 요청은, 호스트의 적어도 공개 키, 하나 이상의 부가 파라미터 또는 하나 이상의 부가 파라미터를 생성하기 위한 식을 포함하는 위임 인증서, IPv6 네트워크 라우팅 프레픽스의 범위 또는 세트의 사양, 위임된 호스트의 아이덴티티, 및 상기 공개 키와 관련되는 개인 키를 사용하여 적어도 상기 아이덴티티 및 IPv6 네트워크 라우팅 프레픽스의 범위 또는 세트의 상기 사양을 통해 얻어지는 디지털 서명을 포함하며, 상기 방법은
    상기 IPv6 어드레스의 상기 네트워크 라우팅 프레픽스가 상기 사양 내에 포함되는지를 검증하는 단계;
    상기 공개 키 및 상기 부가 파라미터가 상기 암호화 생성 인터페이스 식별자를 생성하는데 사용될 수 있는지를 검증하는 단계; 및
    상기 공개키를 사용해서 상기 서명을 검증하는 단계를 포함하는 것을 특징으로 하는 IPv6 어드레스에 대해 행해지는 요청을 검증하는 방법.
  2. 제 1 항에 있어서,
    상기 하나 이상의 부가 파라미터는 변경자(modifier)를 포함하는 것을 특징으로 하는 IPv6 어드레스에 대해 행해지는 요청을 검증하는 방법.
  3. 제 2 항에 있어서,
    상기 인증서는 상기 변경자가 인터페이스 식별자를 생성할 때마다 변경되도록 상기 변경자를 생성하기 위한 식을 포함하는 것을 특징으로 하는 IPv6 어드레스에 대해 행해지는 요청을 검증하는 방법.
  4. 제 1 항 내지 제 3 항 중 어느 한 항에 있어서,
    상기 하나 이상의 부가 파라미터는 하나 이상의 확장자를 포함하는 것을 특징으로 하는 IPv6 어드레스에 대해 행해지는 요청을 검증하는 방법.
  5. 제 1 항 내지 제 3 항 중 어느 한 항에 있어서,
    상기 IPv6 네트워크 라우팅 프레픽스의 범위 또는 세트는 모든 이용 가능한 라우팅 프레픽스의 서브세트인 것을 특징으로 하는 IPv6 어드레스에 대해 행해지는 요청을 검증하는 방법.
  6. 제 1 항 내지 제 3 항 중 어느 한 항에 있어서,
    상기 IPv6 네트워크 라우팅 프레픽스의 범위 또는 세트의 사양은 모든 이용 가능한 라우팅 프레픽스를 지정하는 것을 특징으로 하는 IPv6 어드레스에 대해 행해지는 요청을 검증하는 방법.
  7. 제 1 항 내지 제 3 항 중 어느 한 항에 있어서,
    상기 공개 키 및 상기 부가 파라미터가 상기 암호화 생성 인터페이스 식별자를 생성하는데 사용될 수 있는지를 검증하는 단계는 검증 프로세스에서 상기 IPv6 어드레스의 상기 네트워크 라우팅 프레픽스를 사용하는 단계를 포함하는 것을 특징으로 하는 IPv6 어드레스에 대해 행해지는 요청을 검증하는 방법.
  8. 제 1 항 내지 제 3 항 중 어느 한 항에 있어서,
    상기 공개 키 및 상기 부가 파라미터가 상기 암호화 생성 인터페이스 식별자를 생성하는데 사용될 수 있는지를 검증하는 단계 및 상기 서명을 검증하는 단계는 각각 해싱 알고리즘을 이용하는 단계를 포함하는 것을 특징으로 하는 IPv6 어드레스에 대해 행해지는 요청을 검증하는 방법.
  9. IPv6 호스트에 있어서,
    상기 호스트의 적어도 공개 키, 하나 이상의 부가 파라미터 또는 하나 이상의 부가 파라미터를 생성하기 위한 식을 포함하는 위임 인증서, IPv6 네트워크 라우팅 프레픽스의 범위 또는 세트의 사양, 위임된 호스트의 아이덴티티, 및 상기 공개 키와 관련되는 개인 키를 사용하여 적어도 상기 아이덴티티 및 IPv6 네트워크 라우팅 프레픽스의 범위 또는 세트의 상기 사양을 통해 얻어지는 디지털 서명을 생성하도록 구성된 제 1 프로세서로서, 상기 공개 키 및 상기 하나 이상의 부가 파라미터는 암호화 생성 어드레스의 인터페이스 식별자 부분을 계산하는데 사용될 수 있는 상기 제 1 프로세서;
    상기 인증서를 상기 위임된 호스트에 제공하는 출력 수단; 및
    적어도 상기 공개키 및 상기 하나 이상의 부가 파라미터를 사용하여 인터페이스 식별자를 생성하고, 암호화 생성 어드레스를 생성하기 위해 상기 인터페이스 식별자를 상기 프레픽스의 범위 또는 세트 내에 포함된 네트워크 라우팅 프레픽스와 결합하도록 구성되는 제 2 프로세서를 포함하는 것을 특징으로 하는 IPv6 호스트.
  10. 제 9 항에 있어서,
    상기 출력 수단은 암호화 생성 어드레스가 생성되었을 때 상기 위임된 호스트에 통지를 송신하도록 더 구성될 수 있고, 상기 통지는 상기 암호화 생성 어드레스를 포함하는 것을 특징으로 하는 IPv6 호스트.
  11. IPv6 호스트에 있어서,
    피어 IPv6 호스트로부터 상기 피어 IPv6 호스트의 적어도 공개 키, 하나 이상의 부가 파라미터 또는 하나 이상의 부가 파라미터를 생성하기 위한 식을 포함하는 위임 인증서, IPv6 네트워크 라우팅 프레픽스의 범위 또는 세트의 사양, 수신하는 호스트의 아이덴티티, 및 상기 공개 키와 관련되는 개인 키를 사용하여 적어도 상기 아이덴티티 및 IPv6 네트워크 라우팅 프레픽스의 범위 또는 세트의 상기 사양을 통해 얻어지는 디지털 서명을 수신하는 제 1 입력 수단;
    상기 피어 IPv6 호스트가 상기 인증서에 매핑하는 암호화 생성 어드레스를 사용하고 있다는 통지를 상기 피어 IPv6 호스트로부터 수신하는 제 2 입력 수단; 및
    상기 암호화 생성 어드레스에 대한 요청을 제3자 노드로 송신하고, 상기 요청에 상기 인증서를 포함하는 출력 수단을 포함하는 것을 특징으로 하는 IPv6 호스트.
  12. 호스트의 적어도 공개 키, 하나 이상의 부가 파라미터 또는 하나 이상의 부가 파라미터를 생성하기 위한 식을 포함하는 위임 인증서, IPv6 네트워크 라우팅 프레픽스의 범위 또는 세트의 사양, 위임된 호스트의 아이덴티티, 및 상기 공개 키와 관련되는 개인 키를 사용하여 적어도 상기 아이덴티티 및 IPv6 네트워크 라우팅 프레픽스의 범위 또는 세트의 상기 사양을 통해 얻어지는 디지털 서명을 실행시키기 위한 프로그램을 저장한 컴퓨터 판독 가능한 기록 매체.
KR1020107022081A 2008-03-04 2008-03-04 Ip 어드레스 위임 KR101527249B1 (ko)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/EP2008/052634 WO2009109221A1 (en) 2008-03-04 2008-03-04 Ip address delegation

Publications (2)

Publication Number Publication Date
KR20100126783A KR20100126783A (ko) 2010-12-02
KR101527249B1 true KR101527249B1 (ko) 2015-06-08

Family

ID=40070731

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020107022081A KR101527249B1 (ko) 2008-03-04 2008-03-04 Ip 어드레스 위임

Country Status (8)

Country Link
US (1) US8843751B2 (ko)
EP (1) EP2250784B1 (ko)
JP (1) JP5291725B2 (ko)
KR (1) KR101527249B1 (ko)
CN (1) CN101960814B (ko)
PL (1) PL2250784T3 (ko)
RU (1) RU2469492C2 (ko)
WO (1) WO2009109221A1 (ko)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8548467B2 (en) 2008-09-12 2013-10-01 Qualcomm Incorporated Ticket-based configuration parameters validation
US9148335B2 (en) * 2008-09-30 2015-09-29 Qualcomm Incorporated Third party validation of internet protocol addresses
US9894093B2 (en) 2009-04-21 2018-02-13 Bandura, Llc Structuring data and pre-compiled exception list engines and internet protocol threat prevention
US8468220B2 (en) * 2009-04-21 2013-06-18 Techguard Security Llc Methods of structuring data, pre-compiled exception list engines, and network appliances
CN101710906B (zh) * 2009-12-18 2013-02-13 工业和信息化部电信传输研究所 IPv6地址的结构、分配及溯源的方法和装置
FR2961994A1 (fr) * 2010-06-29 2011-12-30 France Telecom Procede d'allocation securisee d'une adresse ipv6 a un noeud d'un reseau prive
CN103297550B (zh) * 2012-02-28 2018-05-04 中兴通讯股份有限公司 一种IPv6无状态地址的处理方法和系统
US10097525B2 (en) 2016-03-08 2018-10-09 Qualcomm Incorporated System, apparatus and method for generating dynamic IPV6 addresses for secure authentication
US10652950B2 (en) * 2017-11-16 2020-05-12 Cisco Technology, Inc. Method and system for providing signed user location information
CN111343298B (zh) * 2020-02-28 2021-12-14 王鹏 生成IPv6地址的方法、存储设备和处理设备
CN111404884B (zh) * 2020-03-02 2021-07-20 清华大学 安全通信方法、客户机及非公开服务器
US11558277B2 (en) * 2020-05-08 2023-01-17 Bank Of America Corporation System for generating and signing cryptographically generated addresses using computing network traffic
WO2021254897A1 (en) * 2020-06-15 2021-12-23 Signify Holding B.V. An efficient method for mapping between a local short address and a long ip address
CN114422474B (zh) * 2021-12-20 2023-11-10 广西壮族自治区公众信息产业有限公司 基于RADIUS服务器的用户IPv6地址生成方法
CN117040943B (zh) * 2023-10-10 2023-12-26 华中科技大学 基于IPv6地址驱动的云网络内生安全防御方法和装置

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070268919A1 (en) * 2006-05-19 2007-11-22 Futurewei Technologies, Inc. Using DHCPv6 and AAA for Mobile Station Prefix Delegation and Enhanced Neighbor Discovery

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6976164B1 (en) * 2000-07-19 2005-12-13 International Business Machines Corporation Technique for handling subsequent user identification and password requests with identity change within a certificate-based host session
GB2367986B (en) * 2001-03-16 2002-10-09 Ericsson Telefon Ab L M Address mechanisms in internet protocol
RU2001117628A (ru) * 2001-06-28 2003-06-10 Ильгиз Амирович Ямилев Способ проведения трансакции в подвижной сети связи посредством электронного цифрового платежного документа и система для его осуществления (варианты)
US7535905B2 (en) * 2004-03-31 2009-05-19 Microsoft Corporation Signing and validating session initiation protocol routing headers
CN101006682B (zh) * 2004-08-20 2013-03-06 艾利森电话股份有限公司 快速网络附着
KR100651715B1 (ko) * 2004-10-07 2006-12-01 한국전자통신연구원 차세대 인터넷에서 자동으로 주소를 생성하고 수락하는방법 및 이를 위한 데이터 구조
US7546463B2 (en) * 2004-11-30 2009-06-09 Sap Ag Method and system for delegating authority in an online collaborative environment
US20070113075A1 (en) * 2005-11-10 2007-05-17 Ntt Docomo, Inc. Secure route optimization for mobile network using multi-key crytographically generated addresses
EP2022229B1 (en) * 2006-05-24 2009-11-04 OY LM Ericsson AB Delegation based mobility management
US8219800B2 (en) * 2007-06-06 2012-07-10 Cisco Technology, Inc. Secure neighbor discovery router for defending host nodes from rogue routers

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070268919A1 (en) * 2006-05-19 2007-11-22 Futurewei Technologies, Inc. Using DHCPv6 and AAA for Mobile Station Prefix Delegation and Enhanced Neighbor Discovery

Also Published As

Publication number Publication date
CN101960814A (zh) 2011-01-26
KR20100126783A (ko) 2010-12-02
RU2010140392A (ru) 2012-04-10
JP2011515049A (ja) 2011-05-12
US20110004766A1 (en) 2011-01-06
CN101960814B (zh) 2014-08-13
RU2469492C2 (ru) 2012-12-10
EP2250784B1 (en) 2013-09-11
EP2250784A1 (en) 2010-11-17
JP5291725B2 (ja) 2013-09-18
PL2250784T3 (pl) 2014-02-28
US8843751B2 (en) 2014-09-23
WO2009109221A1 (en) 2009-09-11

Similar Documents

Publication Publication Date Title
KR101527249B1 (ko) Ip 어드레스 위임
US8098823B2 (en) Multi-key cryptographically generated address
US10616250B2 (en) Network addresses with encoded DNS-level information
Hoffman et al. The DNS-based authentication of named entities (DANE) transport layer security (TLS) protocol: TLSA
Arkko et al. Secure neighbor discovery (SEND)
JP4054007B2 (ja) 通信システム、ルータ装置、通信方法、ルーティング方法、通信プログラムおよびルーティングプログラム
US8650397B2 (en) Key distribution to a set of routers
JP2008271601A (ja) インターネットプロトコルのアドレス機構
CN105376098A (zh) 一种路由源和路径双重验证方法
JP5144685B2 (ja) 移動ネットワークにおけるシグナリング委任
CN111726368B (zh) 一种基于SRv6的域间源地址验证的方法
Aura RFC 3972: Cryptographically generated addresses (CGA)
US8364949B1 (en) Authentication for TCP-based routing and management protocols
Castelluccia et al. Protecting AODV against Impersonation attacks
CA2474144C (en) Method for securing data traffic in a mobile network environment
Su et al. Secure DHCPv6 that uses RSA authentication integrated with self-certified address
CN115883088B (zh) 基于bgp路由的自治域安全参数更新方法
CN112910864B (zh) 公钥的高速报文验证方法
Lee et al. Secure communications between bandwidth brokers
JP2005142719A (ja) メッセージ検証システム、メッセージ検証方法およびメッセージ検証プログラム
CGA Securing Neighbor Discovery T. Aura Internet-Draft Microsoft Research Expires: April 19, 2004 October 20, 2003
CGA Securing Neighbor Discovery T. Aura Internet-Draft Microsoft Research Expires: May 28, 2004 November 28, 2003
CGA Securing Neighbor Discovery T. Aura Internet-Draft Microsoft Research Expires: January 30, 2004 August 1, 2003
Meinel Network Working Group H. Rafiee Internet Draft Hasso Plattner Institute Updates RFC 2845 (if approved) M. v. Loewis Intended status: Standards Track Hasso Plattner Institute
CGA Securing Neighbor Discovery T. Aura Internet-Draft Microsoft Research Expires: June 2004 December 2003

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20180524

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20190528

Year of fee payment: 5