KR101683013B1 - Dhcp 옵션 60, 61 및 82를 이용한 ip 주소 할당 방법 및 이를 위한 시스템 - Google Patents

Dhcp 옵션 60, 61 및 82를 이용한 ip 주소 할당 방법 및 이를 위한 시스템 Download PDF

Info

Publication number
KR101683013B1
KR101683013B1 KR1020150115333A KR20150115333A KR101683013B1 KR 101683013 B1 KR101683013 B1 KR 101683013B1 KR 1020150115333 A KR1020150115333 A KR 1020150115333A KR 20150115333 A KR20150115333 A KR 20150115333A KR 101683013 B1 KR101683013 B1 KR 101683013B1
Authority
KR
South Korea
Prior art keywords
client device
dhcp
authentication key
authentication
address
Prior art date
Application number
KR1020150115333A
Other languages
English (en)
Inventor
조대성
강봉권
김태균
장덕문
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020150115333A priority Critical patent/KR101683013B1/ko
Application granted granted Critical
Publication of KR101683013B1 publication Critical patent/KR101683013B1/ko

Links

Images

Classifications

    • H04L61/2015
    • H04L61/203
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

DHCP 옵션 60의 값 변조로 인한, 의도되지 않은 클라이언트 장치로의 IP 주소 할당을 방지하고, IP 주소를 할당받고자 하는 클라이언트 장치를 식별할 뿐만 아니라 해당 클라이언트 장치가 가입되어 있는 서비스의 종류를 식별하여 해당 서비스에 특화된 IP 주소를 할당할 수 있도록 하는, IP 주소 할당 방법 및 이를 위한 시스템이 개시된다. 본 발명의 일 측면에 따른, DHCP 서버에서 클라이언트 장치로 IP 주소를 할당하는 방법은, DHCP 옵션 60, 61, 82이 추가된 IP 주소 할당을 요청하는 메시지를 수신하는 단계; 상기 DHCP 옵션 60, 61, 82의 값을 조합하여 제 1 인증키를 도출하고 그 제 1 인증키에 일치하는 값을 가입자 정보 DB를 조회함으로써, 상기 클라이언트 장치를 인증하는 단계; 및 인증 성공시 상기 가입자 정보 DB에서 조회된 IP 주소 할당 정책에 따라 상기 클라이언트 장치로 특수 목적의 IP 주소를 할당하는 단계;를 포함한다.

Description

DHCP 옵션 60, 61 및 82를 이용한 IP 주소 할당 방법 및 이를 위한 시스템{SYSTEM AND METHOD FOR ALLOCATING IP ADDRESS USING DHCP OPTION 60, 61 AND 82}
본 발명은, 클라이언트에 IP 주소를 할당하는 방법 및 이를 위한 시스템에 관한 것으로, 보다 구체적으로, DHCP(Dynamic Host Configuration Protocol) 옵션 82, 61, 60를 이용한 IP 주소 할당 방법 및 이를 위한 시스템에 관한 것이다.
일반적으로 인터넷 접속 가입자 망에서는 접속하는 클라이언트에 대해 DHCP 릴레이 에이전트 옵션(DHCP Relay Agent Option) 82(이하, 'DHCP 옵션 82'라 함) 또는 DHCP 60을 이용하여 IP 주소를 할당한다. 대표적으로, 국내등록특허 제10-1070081호 및 국내등록특허 제10-1100609호를 들 수 있다.
그러나 이러한 종래의 IP 주소 할당 방법은, 다양한 부가 서비스에 가입된 가입자를 식별하여 특수 목적의 IP 주소를 개별로 할당하지 못하고, 클라이언트 장치만을 식별하여 IP 주소를 할당하고 있다. 그리고 악의적인 사용자의 경우 클라이언트 장치를 식별하기 위해 사용하는 DHCP 옵션 60의 값을 변조하여, 악의적인 사용자의 클라이언트 장치가 IP 주소를 할당받는 문제점이 있다.
국내등록특허 제10-1070081호(2011.10.04. 공고) 국내등록특허 제10-1100609호(2011.12.29. 공고)
본 발명은 상기와 같은 문제점을 해결하기 위하여 제안된 것으로서, DHCP 옵션 60의 값 변조로 인한, 의도되지 않은 클라이언트 장치로의 IP 주소 할당을 방지하고, IP 주소를 할당받고자 하는 클라이언트 장치를 식별할 뿐만 아니라 해당 클라이언트 장치가 가입되어 있는 서비스의 종류를 식별하여 해당 서비스에 특화된 IP 주소를 할당할 수 있도록 하는, IP 주소 할당 방법 및 이를 위한 시스템을 제공하는데 그 목적이 있다.
상기 목적을 달성하기 위한 본 발명의 일 측면에 따른, DHCP 서버에서 클라이언트 장치로 IP 주소를 할당하는 방법은, DHCP 옵션 60, 61, 82이 추가된 IP 주소 할당을 요청하는 메시지를 수신하는 단계; 상기 DHCP 옵션 60, 61, 82의 값을 조합하여 제 1 인증키를 도출하고 그 제 1 인증키에 일치하는 값을 가입자 정보 DB를 조회함으로써, 상기 클라이언트 장치를 인증하는 단계; 및 인증 성공시 상기 가입자 정보 DB에서 조회된 IP 주소 할당 정책에 따라 상기 클라이언트 장치로 특수 목적의 IP 주소를 할당하는 단계;를 포함한다.
상기 방법은, 상기 인증하는 단계 이전에, 상기 DHCP 옵션 60의 값을 토대로 상기 클라이언트 장치가 특수 목적의 IP 주소 할당 대상인지 확인하는 단계;를 더 포함할 수 있다.
상기 확인하는 단계는, 상기 DHCP 옵션 60의 값으로 포함된 서비스 식별정보를 토대로 상기 클라이언트 장치가 특수 목적의 IP 주소 할당 대상인지 확인할 수 있다.
상기 인증하는 단계는, 상기 DHCP 옵션 60의 값으로 포함된 조합식 정보를 기초로 상기 DHCP 옵션 60, 61, 82 중 적어도 두 개 이상을 선택하여 조합함으로써 제 1 인증키를 도출할 수 있다.
상기 조합식 정보는, 상기 DHCP 옵션 60, 61, 82 중 적어도 두 개 이상의 선택 및 선택 순서에 대한 정보를 포함할 수 있다.
상기 인증하는 단계는, 상기 DHCP 옵션 60, 61, 82 중 선택한 값을 시드 값으로 하여 생성한 해쉬 값을 상기 제 1 인증키로 할 수 있다.
상기 방법은, 상기 인증에 실패하는 경우, 상기 DHCP 옵션 61에 포함된 상기 클라이언트 장치의 식별정보를 블랙리스트로 저장하는 단계;를 더 포함할 수 있다.
상기 블랙리스트로 저장하는 단계는, 소정 횟수 이상 인증 실패한 경우 블랙리스트로 저장할 수 있다.
상기 인증하는 단계는, 랜덤값을 생성하여 상기 클라이언트 장치로 전송하는 단계; 상기 랜덤값 및 상기 클라이언트 장치에 저장되어 있는 비밀키를 이용하여 생성된 제 2 인증키를 상기 클라이언트 장치로부터 수신하는 단계; 상기 랜덤값 및, 상기 제 1 인증키를 이용하여 상기 가입자 정보 DB에서 조회한 비밀키를 이용하여 자체적으로 제 2 인증키를 생성하는 단계; 및 상기 자체적으로 생성한 제 2 인증키와 상기 클라이언트 장치로부터 수신된 제 2 인증키를 비교하여 일치하는 경우에 인증 성공으로 판단하는 단계;를 포함할 수 있다.
상기 목적을 달성하기 위한 본 발명의 다른 측면에 따른, 클라이언트 장치로 IP 주소를 할당하는 시스템은, 가입자별 제 1 인증키 및 IP 주소 할당 정책을 저장하는 가입자 정보 DB; DHCP 옵션 60, 61, 82이 추가된 IP 주소 할당을 요청하는 메시지를 수신하고, 상기 DHCP 옵션 60, 61, 82의 값을 조합하여 제 1 인증키를 도출하며, 그 제 1 인증키에 일치하는 값을 상기 가입자 정보 DB에서 조회하여 상기 클라이언트 장치를 인증하고, 인증 성공시 상기 가입자 정보 DB에서 조회된 IP 주소 할당 정책에 따라 상기 클라이언트 장치로 IP 주소를 할당하는 DHCP 서버;를 포함한다.
상기 DHCP 서버는, 상기 인증 전에, 상기 DHCP 옵션 60의 값을 토대로 상기 클라이언트 장치가 특수 목적의 IP 주소 할당 대상인지 확인할 수 있다.
상기 DHCP 서버는, 상기 DHCP 옵션 60의 값으로 포함된 서비스 식별정보를 토대로 상기 클라이언트 장치가 특수 목적의 IP 주소 할당 대상인지 확인할 수 있다.
상기 DHCP 서버는, 상기 DHCP 옵션 60의 값으로 포함된 조합식 정보를 기초로 상기 DHCP 옵션 60, 61, 82 중 적어도 두 개 이상을 선택하여 조합함으로써 제 1 인증키를 도출할 수 있다.
상기 조합식 정보는, 상기 DHCP 옵션 60, 61, 82 중 적어도 두 개 이상의 선택 및 선택 순서에 대한 정보를 포함할 수 있다.
상기 DHCP 서버는, 상기 DHCP 옵션 60, 61, 82 중 선택한 값을 시드 값으로 하여 생성한 해쉬 값을 상기 제 1 인증키로 할 수 있다.
상기 DHCP 서버는, 상기 인증에 실패하는 경우, 상기 DHCP 옵션 61에 포함된 상기 클라이언트 장치의 식별정보를 블랙리스트로 저장할 수 있다.
상기 DHCP 서버는, 소정 횟수 이상 인증 실패한 경우 블랙리스트로 저장할 수 있다.
상기 DHCP 서버는, 랜덤값을 생성하여 상기 클라이언트 장치로 전송하고, 상기 랜덤값 및 상기 클라이언트 장치에 저장되어 있는 비밀키를 이용하여 생성된 제 2 인증키를 상기 클라이언트 장치로부터 수신하며, 상기 랜덤값 및, 상기 제 1 인증키를 이용하여 상기 가입자 정보 DB에서 조회한 비밀키를 이용하여 자체적으로 제 2 인증키를 생성하고, 상기 자체적으로 생성한 제 2 인증키와 상기 클라이언트 장치로부터 수신된 제 2 인증키를 비교하여 일치하는 경우에 인증 성공으로 판단할 수 있다.
본 발명은, 인터넷 연결을 시도하는 클라이언트 장치가 어떤 서비스에 가입되어 있는지를 식별하고 서비스에 특화된 특수 목적의 IP 주소를 할당하여 IP 부가 서비스 창출에 따른 과금을 용이하게 한다.
또한, 본 발명은, DHCP 옵션 60의 값의 변조에 따른 악의적인 목적의 IP 주소 할당을 방지함으로써 DHCP 서버의 불필요한 자원 소비를 방지하는 효과를 제공한다.
도 1은 본 발명의 일 실시예에 따른 IP 주소 할당을 위한 시스템 및 그 시스템에서의 IP 주소 할당 절차를 나타낸 도면이다.
도 2는 도 1의 시스템에서 클라이언트 장치(101)를 인증하는 다른 실시예를 나타내는 도면이다.
상술한 목적, 특징 및 장점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해 질 것이며, 그에 따라 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 것이다. 또한, 본 발명을 설명함에 있어서 본 발명과 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에 그 상세한 설명을 생략하기로 한다. 이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 일 실시예를 상세히 설명하기로 한다.
도 1은 본 발명의 일 실시예에 따른 IP 주소 할당을 위한 시스템 및 그 시스템에서의 IP 주소 할당 절차를 나타낸 도면이다.
도 1에 도시된 바와 같이, 본 실시예에 따른 시스템은, 클라이언트 장치(101), 가입자 접속 장치(102), DHCP 서버(103) 및 가입자 정보 DB(104)를 포함한다.
클라이언트 장치(101)는 인터넷 연결을 시도하는 가입자의 장치로서, 예를 들어 퍼스널 컴퓨터, 노트북, 셋탑박스, IP 카메라, VoIP 폰 등과 같이 IP 주소를 할당받아야 하는 장치이다. 이러한 클라이언트 장치(101)는 유선 장치 또는 무선 장치일 수 있다. 유선 장치인 클라이언트 장치(101)는 댁내 또는 오피스 등과 같은 공간 내의 인터넷 연결선에 연결될 수 있고, 무선 장치인 클라이언트 장치(101)는 무선 통신 방식의 인터페이스, 예를 들어 WiFi 인터페이스를 통하여 인터넷에 연결된다.
클라이언트 장치(101)는, 특수 목적의 서비스에 가입된 장치로서, 예를 들어 Secure IP 주소 할당 서비스에 가입된 장치일 수 있다. 따라서 클라이언트 장치(101)에는 상기 특수 목적의 서비스에 가입되었음을 나타내는 서비스 식별정보, 그리고 DHCP 서버(103)에서 인증키를 생성할 때 참조되는 조합식 정보가 설정되어 저장된다. 따라서, 클라이언트 장치(101)는, IP 주소의 할당을 요청하기 위한 DHCP Discover 메시지를 전송할 때, 상기 서비스 식별정보와 상기 조합식 정보를 DHCP 옵션 60의 값으로 추가한다. DHCP 옵션 60에는 클라이언트 장치(101)의 장치 종류 정보를 더 포함할 수 있다.
가입자 접속 장치(102)는, L2 장비, ADSL, VDSL 등의 DSLAM(Digital Subscriber Line Access Multiplexer) 장비, 이더넷 L3 스위치(Ethernet L3 Switch) 등으로 구성될 수 있다. 가입자 접속 장치(102)는, DHCP 릴레이 에이전트(Relay Agent)를 포함하여 클라이언트 장치(101)로부터의 트래픽을 집선하여 네트워크로 전달하는 기능을 수행한다.
DHCP 서버(103)는, 클라이언트 장치(101)로 IP 주소를 할당하는 장비로서, 일반적인 IP 주소를 할당하거나, 특수 목적의 IP 주소를 할당한다. DHCP 서버(103)는, 가입자 접속 장치(102)로부터 수신되는 DHCP Discover 메시지의 옵션 60의 값을 확인하여 클라이언트 장치(101)가 특수 목적의 IP 주소 할당 대상인지 확인하여, 특수 목적의 IP 주소 할당 대상인 경우 특수 목적의 IP 주소를 할당하고, 그렇지 않은 경우 일반적인 IP 주소, 예컨대 공인 IP 주소를 할당한다.
DHCP 서버(103)는, 특수 목적의 IP 주소를 할당함에 있어서, DHCP Discover 메시지의 옵션 60, 61, 82의 값의 조합으로부터 도출된 제 1 인증키가, 가입자 정보 DB(104)에 저장되어 있는지 확인하는 인증 절차를 수행하고, 인증 성공시에 특수 목적의 IP 주소를 할당한다. 이때, DHCP 서버(103)는, DHCP Discover 메시지의 옵션 60의 값 중 조합식 정보를 기초로, DHCP 옵션 60, 61, 82 중 적어도 두 개를 조합하여 제 1 인증키를 도출한다.
바람직하게, DHCP 옵션 60은 필수적으로 선택될 수 있다. 그리고 제 1 인증키를 도출하는데 있어서 해쉬 처리를 한다. 예를 들어, DHCP 옵션 60, 61을 조합하는 경우, HASH(DHCP 옵션 60, 61)와 같이 DHCP 옵션 60의 값과 61의 값을 시드 값으로 하여 해쉬 알고리즘으로 제 1 인증키를 도출한다.
이때 가입자 정보 DB(104)에는, 가입자들의 제 1 인증키와 IP 주소 할당 정책이 저장되어 있고, DHCP 서버(103)는, 특수 목적의 IP 주소를 할당할 때, 상기 가입자 정보 DB(104)에 저장되어 있는 해당 가입자의 IP 주소 할당 정책에 기초하여 특수 목적의 IP 주소를 할당한다. 예컨대, 제 1 서비스에 가입한 가입자에 대해서는 제 1 범위의 IP 주소를 할당하고, 제 2 서비스에 가입한 가입자에 대해서는 제 2 범위의 IP 주소를 할당한다.
상술한 바와 같이, 가입자 정보 DB(104)에는, 특수 목적의 IP 주소 할당 서비스에 가입한 가입자들의 제 1 인증키와 IP 주소 할당 정책이 매핑되어 저장되어 있다.
한편, DHCP 서버(103)는, 특수 목적의 IP 주소 할당 대상인 것으로 확인된 클라이언트 장치(101)의 제 1 인증키가 가입자 정보 DB(104)에 저장되어 있지 않아 인증에 실패하는 경우, 해당 클라이언트 장치(101)를 블랙리스트로 등록하여 저장한다. 바람직하게, DHCP 서버(103)는, N 회(N은 2 이상의 자연수) 이상 인증에 실패하는 경우 블랙리스트로 등록한다. DHCP 옵션 61에는 클라이언트 장치(101)의 식별정보, 예컨대 MAC 주소가 저장되어 있으므로, DHCP 서버(103)는 MAC 주소를 블랙리스트로 저장한다.
이하에서 도 1을 참조하여 IP 주소를 할당하는 구체적인 절차를 설명한다.
먼저, 단계 S151에서, 클라이언트 장치(101)는, 가입자 접속 장치(102)로 할당 가능한 IP 주소를 요청하는 DHCP Discover 메시지를 전송한다. 이때, DHCP Discover 메시지에는 옵션 60, 61이 포함되는데, 옵션 60은, 클라이언트 장치(101)가 특수 목적의 서비스에 가입되었음을 나타내는 서비스 식별정보, 그리고 DHCP 서버(103)에서 인증키를 생성할 때 참조되는 조합식 정보 그리고 클라이언트 장치(101)의 장치 종류 정보를 포함한다. 그리고 옵션 61은, 클라이언트 장치(101)의 식별정보, 예컨대 MAC 주소를 포함한다.
단계 S152에서, 상기 가입자 접속 장치(102)는 DHCP Discover 메시지에 DHCP 릴레이 에이전트 옵션 82를 추가하여 DHCP 서버(103)에게 전송한다. 상기 DHCP 릴레이 에이전트 옵션 82는, Agent_circuit_id와 Agent_Remote_ID를 포함한다. Agent_circuit_id로는, 클라이언트 장치(101)가 연결된 가입자 접속 장치(102)의 포트 번호가 기록되고, Agent_Remote_ID는 가입자 접속 장치(102)의 식별정보, 예컨대 IP 주소 또는 MAC 주소가 기록된다.
단계 S153에서, 옵션 60, 61, 82를 포함하는 DHCP Discover 메시지를 수신한 DHCP 서버(103)는, DHCP 옵션 60의 값을 확인하여 클라이언트 장치(101)가 특수 목적의 IP 주소 할당 대상인지 확인한다. 앞서 설명한 바와 같이, 특수 목적의 IP 주소 할당 대상의 클라이언트 장치(101)는, DHCP 옵션 60에 특수 목적의 서비스에 가입되었음을 나타내는 서비스 식별정보를 추가한다. 따라서 DHCP 서버(103)는, DHCP 옵션 60에 상기 서비스 식별정보가 포함되어 있는지 확인함으로써 해당 클라이언트 장치(101)가 특수 목적의 IP 주소 할당 대상인지 여부를 알 수 있다. 특수 목적의 IP 주소 할당 대상이 아닌 경우, 단계 S163 및 단계 S165에서, DHCP 서버(103)는 일반적인 IP 주소를 할당하고, 그 IP 주소를 포함하는 DHCP Offer 메시지를 클라이언트 장치(101)로 전송한다.
특수 목적의 IP 주소 할당 대상인 것으로 확인된 경우, 단계 S154에서, DHCP 서버(103)는, DHCP 옵션 61에 포함되어 있는 클라이언트 장치(101)의 식별정보, 예컨대, MAC 주소를 이용하여 클라언트 장치(101)가 블랙리스트에 해당하는지 확인한다. 블랙리스트에 해당하지 않는 경우, 단계 S155에서, DHCP 서버(103)는, DHCP 옵션 60에 포함되어 있는 조합식 정보를 확인하고, 단계 S156으로 진행한다. 반면, 블랙리스트에 해당하는 경우, DHCP 서버(103)는 무응답한다(S164).
단계 S156에서, DHCP 서버(103)는, 상기 조합식 정보에 기초하여, DHCP 옵션 60, 61, 82를 조합하여 제 1 인증키를 도출한다. 예를 들어, DHCP 옵션을 시드 값으로 해쉬 값을 산출한다. 여기서 조합은, DHCP 60, 61, 82 중 적어도 두 개를 선택하는 조합을 의미하고, 선택의 순서도 포함할 수 있다. 예를 들어, 조합식 정보가, DHCP 60, 61의 순서로 선택하는 것이라면, HASH(DHCP 옵션 60, DHCP 옵션 61)과 같이 해쉬 값을 산출하고, 그 산출된 값이 제 1 인증키가 된다.
다음으로, 단계 S157 및 단계 S158에서, DHCP 서버(103)는, 상기 도출된 제 1 인증키를 이용하여 가입자 정보 DB(104)를 조회하여 상기 도출된 제 1 인증키에 일치하는 값이 있는지 확인하는 인증 절차를 수행한다. 인증에 성공하는 경우, 단계 S160에서, DHCP 서버(103)는, 상기 제 1 인증키를 이용하여 가입자 정보 DB(104)에서 IP 주소 할당 정책을 조회한다. 그리고 단계 S161에서, DHCP 서버(103)는 조회된 IP 주소 할당 정책에 기초하여 특수 목적의 IP 주소를 할당하고, 단계 S162에서 그 할당한 IP 주소를 포함하는 DHCP ACK를 클라이언트 장치(101)로 전송한다.
단계 S158에서 인증에 실패한 경우, 단계 S159에서, DHCP 서버(103)는, DHCP 옵션 61에 포함되어 있는 클라이언트 장치(101)의 식별정보, 예컨대 MAC 주소를 블랙리스트로 등록한다. 그리고 DHCP 서버(103)는, 무응답한다(S164). 이때, DHCP 서버(103)는, 인증 실패가 1회 발생할 때 블랙리스트로 등록할 수 있고, 또는 인증 실패가 특정 시간 동안 N회 이상 발생하는 경우에 블랙리스트로 등록할 수 있다. 대표적으로, 클라이언트 장치(101)에서 DHCP 옵션 60을 변조하여 지속적으로 IP 주소 할당을 요청할 수 있다. 따라서 특정 시간 동안 N회 이상 인증에 실패하는 경우, DHCP 서버(103)는 클라이언트 장치(101)를 블랙리스트로 등록함으로써 불필요한 가입자 정보의 조회에 의한 시스템 자원 낭비를 방지한다.
한편, 단계 S154에서 클라이언트 장치(101)가 블랙리스트에 해당하거나, 단계 S158에서 인증 실패한 경우, DHCP 서버(103)는 무응답하는 것으로 설명하나, DHCP NACK를 전송할 수도 있고, 또는 일반 IP 주소를 할당할 수도 있다.
이상의 도 1을 참조하여 설명한 실시예에 따르면, 고객마다 제 1 인증키를 도출하기 위한 DHCP 옵션 60, 61, 82의 조합식을 달리함으로써 어느 한 고객의 조합식이 노출되더라도 다른 고객의 제 1 인증키를 도출할 수 없어, 보안을 높일 수 있다. 아울러, 클라이언트 장치(101)에서 DHCP 옵션 60의 값을 변조하는 경우 해당 클라이언트 장치(101)를 블랙리스트로 등록하여 DHCP 서버(103)에서 불필요하게 가입자 정보 DB(104)를 조회하지 않도록 하여 불필요한 자원 낭비를 방지한다.
도 2는 도 1의 시스템에서 클라이언트 장치(101)를 인증하는 다른 실시예를 나타내는 도면이다.
도 2에 있어서, 클라이언트 장치(101)와 가입자 정보 DB(104)에는 추가적으로 동일한 비밀키가 저장된다. 즉, 가입자가 특수 목적의 IP 주소 할당을 위한 서비스에 가입하는 경우, 클라이언트 장치(101)와 가입자 정보 DB(104)에는 추가적으로 동일한 비밀키가 저장된다.
도 2를 참조한 실시예는, 도 1에 도시된 단계 S158의 인증 과정의 다른 실시예로 이해될 수 있다. 즉, 도 1을 참조한 실시예에서, DHCP 서버(103)는 단계 S156에서 도출한 제 1 인증키와 동일한 값이 가입자 정보 DB(104)에 저장되어 있는 경우 인증에 성공한 것으로 한다. 그러나 본 실시예에서는 추가적으로 다음의 과정을 더 성공하는 경우에 인증에 성공하는 것으로 한다.
도 2를 참조하면, 단계 S201에서, DHCP 서버(103)는, 도 1의 단계 S156에서 도출한 제 1 인증키를 이용하여 가입자 정보 DB(104)에서 비밀키를 조회한다. 다음으로, 단계 S202에서, DHCP 서버(103)는 랜덤값을 생성한다. 예를 들어, 20 바이트의 랜덤값을 생성한다.
단계 S203에서, DHCP 서버(103)는 DHCP Offer 메시지의 옵션 60에 상기 랜덤값을 추가하여 클라이언트 장치(101)로 전송한다. 단계 S204에서, 클라이언트 장치(101)는, 상기 DHCP Offer 메시지의 옵션 60에서 상기 랜덤값을 추출하고 그 추출한 랜덤값과 자신에게 저장되어 있는 비밀키를 이용하여 제 2 인증키를 생성한다. 예를 들어, 클라이언트 장치(101)는 상기 랜덤값과 상기 비밀키를 시드 값으로 한 해쉬 값을 제 2 인증키로 한다.
이어서 단계 S205에서, 클라이언트 장치(101)는 상기 생성한 제 2 인증키를 DHCP Request 메시지의 옵션 60에 포함하여 해당 DHCP Request 메시지를 DHCP 서버(103)로 전송한다.
다음으로, 단계 S206에서, DHCP 서버(103)는, 상기 단계 S201에서 조회한 비밀키와, 상기 단계 S202에서 생성한 랜덤값을 이용하여 제 2 인증키를 생성한다. 예를 들어, 랜덤값과 비밀키를 시드 값으로 한 해쉬 값을 생성하고, 그 해쉬 값을 제 2 인증키로 한다.
단계 S207에서, DHCP 서버(103)는, 상기 단계 S206에서 생성한 제 2 인증키와, 상기 단계 S205에서 수신한 DHCP Request 메시지의 옵션 60에 포함되어 있는 제 2 인증키를 비교한다. 비교 결과, 제 2 인증키가 동일한 경우, DHCP 서버(103)는, 인증 성공으로 판단하고, 동일하지 않은 경우 인증 실패로 판단한다.
이상의 도 2를 참조한 실시예에 따르면, 악의적인 사용자가 특수 목적의 IP 주소 할당 서비스에 가입한 클라이언트 장치(101)의 서비스 식별정보, 조합식 정보를 탈취하더라도, 추가적으로 제 2 인증키를 이용하여 추가적인 인증을 함으로써, 보안을 더욱 강화할 수 있다.
본 명세서는 많은 특징을 포함하는 반면, 그러한 특징은 본 발명의 범위 또는 특허청구범위를 제한하는 것으로 해석되어서는 안 된다. 또한, 본 명세서에서 개별적인 실시예에서 설명된 특징들은 단일 실시예에서 결합되어 구현될 수 있다. 반대로, 본 명세서에서 단일 실시예에서 설명된 다양한 특징들은 개별적으로 다양한 실시예에서 구현되거나, 적절히 결합되어 구현될 수 있다.
도면에서 동작들이 특정한 순서로 설명되었으나, 그러한 동작들이 도시된 바와 같은 특정한 순서로 수행되는 것으로, 또는 일련의 연속된 순서, 또는 원하는 결과를 얻기 위해 모든 설명된 동작이 수행되는 것으로 이해되어서는 안 된다. 특정 환경에서 멀티태스킹 및 병렬 프로세싱이 유리할 수 있다. 아울러, 상술한 실시예에서 다양한 시스템 구성요소의 구분은 모든 실시예에서 그러한 구분을 요구하지 않는 것으로 이해되어야 한다. 상술한 프로그램 구성요소 및 시스템은 일반적으로 단일 소프트웨어 제품 또는 멀티플 소프트웨어 제품에 패키지로 구현될 수 있다.
상술한 바와 같은 본 발명의 방법은 프로그램으로 구현되어 컴퓨터로 읽을 수 있는 형태로 기록매체(시디롬, 램, 롬, 플로피 디스크, 하드 디스크, 광자기 디스크 등)에 저장될 수 있다. 이러한 과정은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있으므로 더 이상 상세히 설명하지 않기로 한다.
이상에서 설명한 본 발명은, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하므로 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니다.
101 : 클라이언트 장치
102 : 가입자 접속 장치
103 : DHCP 서버
104 : 가입자 정보 DB

Claims (18)

  1. DHCP 서버에서 클라이언트 장치로 IP 주소를 할당하는 방법에 있어서,
    DHCP 옵션 60, 61, 82이 추가된 IP 주소 할당을 요청하는 메시지를 수신하는 단계;
    상기 DHCP 옵션 60, 61, 82의 값을 조합하여 제 1 인증키를 도출하고 그 제 1 인증키에 일치하는 값을 가입자 정보 DB를 조회함으로써, 상기 클라이언트 장치를 인증하는 단계; 및
    인증 성공시 상기 가입자 정보 DB에서 조회된 IP 주소 할당 정책에 따라 상기 클라이언트 장치로 특수 목적의 IP 주소를 할당하는 단계;를 포함하고,
    상기 인증하는 단계는,
    상기 DHCP 옵션 60의 값으로 포함된 조합식 정보를 기초로 상기 DHCP 옵션 60, 61, 82 중 적어도 두 개 이상을 선택하여 조합함으로써 제 1 인증키를 도출하는 것을 특징으로 하는 방법.
  2. 제 1 항에 있어서,
    상기 인증하는 단계 이전에,
    상기 DHCP 옵션 60의 값을 토대로 상기 클라이언트 장치가 특수 목적의 IP 주소 할당 대상인지 확인하는 단계;를 더 포함하는 것을 특징으로 하는 방법.
  3. 제 2 항에 있어서,
    상기 확인하는 단계는,
    상기 DHCP 옵션 60의 값으로 포함된 서비스 식별정보를 토대로 상기 클라이언트 장치가 특수 목적의 IP 주소 할당 대상인지 확인하는 것을 특징으로 하는 방법.
  4. 삭제
  5. 제 1 항에 있어서,
    상기 조합식 정보는, 상기 DHCP 옵션 60, 61, 82 중 적어도 두 개 이상의 선택 및 선택 순서에 대한 정보를 포함하는 것을 특징으로 하는 방법.
  6. 제 5 항에 있어서,
    상기 인증하는 단계는,
    상기 DHCP 옵션 60, 61, 82 중 선택한 값을 시드 값으로 하여 생성한 해쉬 값을 상기 제 1 인증키로 하는 것을 특징으로 하는 방법.
  7. 제 1 항에 있어서,
    상기 인증에 실패하는 경우, 상기 DHCP 옵션 61에 포함된 상기 클라이언트 장치의 식별정보를 블랙리스트로 저장하는 단계;를 더 포함하는 것을 특징으로 하는 방법.
  8. 제 7 항에 있어서,
    상기 블랙리스트로 저장하는 단계는,
    소정 횟수 이상 인증 실패한 경우 블랙리스트로 저장하는 것을 특징으로 하는 방법.
  9. 제 1 항에 있어서,
    상기 인증하는 단계는,
    랜덤값을 생성하여 상기 클라이언트 장치로 전송하는 단계;
    상기 랜덤값 및 상기 클라이언트 장치에 저장되어 있는 비밀키를 이용하여 생성된 제 2 인증키를 상기 클라이언트 장치로부터 수신하는 단계;
    상기 랜덤값 및, 상기 제 1 인증키를 이용하여 상기 가입자 정보 DB에서 조회한 비밀키를 이용하여 자체적으로 제 2 인증키를 생성하는 단계; 및
    상기 자체적으로 생성한 제 2 인증키와 상기 클라이언트 장치로부터 수신된 제 2 인증키를 비교하여 일치하는 경우에 인증 성공으로 판단하는 단계;를 포함하는 것을 특징으로 하는 방법.
  10. 클라이언트 장치로 IP 주소를 할당하는 시스템에 있어서,
    가입자별 제 1 인증키 및 IP 주소 할당 정책을 저장하는 가입자 정보 DB;
    DHCP 옵션 60, 61, 82이 추가된 IP 주소 할당을 요청하는 메시지를 수신하고, 상기 DHCP 옵션 60, 61, 82의 값을 조합하여 제 1 인증키를 도출하며, 그 제 1 인증키에 일치하는 값을 상기 가입자 정보 DB에서 조회하여 상기 클라이언트 장치를 인증하고, 인증 성공시 상기 가입자 정보 DB에서 조회된 IP 주소 할당 정책에 따라 상기 클라이언트 장치로 IP 주소를 할당하는 DHCP 서버;를 포함하고,
    상기 DHCP 서버는,
    상기 DHCP 옵션 60의 값으로 포함된 조합식 정보를 기초로 상기 DHCP 옵션 60, 61, 82 중 적어도 두 개 이상을 선택하여 조합함으로써 제 1 인증키를 도출하는 것을 특징으로 하는 시스템.
  11. 제 10 항에 있어서,
    상기 DHCP 서버는,
    상기 인증 전에, 상기 DHCP 옵션 60의 값을 토대로 상기 클라이언트 장치가 특수 목적의 IP 주소 할당 대상인지 확인하는 것을 특징으로 하는 시스템.
  12. 제 11 항에 있어서,
    상기 DHCP 서버는,
    상기 DHCP 옵션 60의 값으로 포함된 서비스 식별정보를 토대로 상기 클라이언트 장치가 특수 목적의 IP 주소 할당 대상인지 확인하는 것을 특징으로 하는 시스템.
  13. 삭제
  14. 제 10 항에 있어서,
    상기 조합식 정보는, 상기 DHCP 옵션 60, 61, 82 중 적어도 두 개 이상의 선택 및 선택 순서에 대한 정보를 포함하는 것을 특징으로 하는 시스템.
  15. 제 14 항에 있어서,
    상기 DHCP 서버는,
    상기 DHCP 옵션 60, 61, 82 중 선택한 값을 시드 값으로 하여 생성한 해쉬 값을 상기 제 1 인증키로 하는 것을 특징으로 하는 시스템.
  16. 제 10 항에 있어서,
    상기 DHCP 서버는,
    상기 인증에 실패하는 경우, 상기 DHCP 옵션 61에 포함된 상기 클라이언트 장치의 식별정보를 블랙리스트로 저장하는 것을 특징으로 하는 시스템.
  17. 제 16 항에 있어서,
    상기 DHCP 서버는,
    소정 횟수 이상 인증 실패한 경우 블랙리스트로 저장하는 것을 특징으로 하는 시스템.
  18. 제 10 항에 있어서,
    상기 DHCP 서버는,
    랜덤값을 생성하여 상기 클라이언트 장치로 전송하고,
    상기 랜덤값 및 상기 클라이언트 장치에 저장되어 있는 비밀키를 이용하여 생성된 제 2 인증키를 상기 클라이언트 장치로부터 수신하며,
    상기 랜덤값 및, 상기 제 1 인증키를 이용하여 상기 가입자 정보 DB에서 조회한 비밀키를 이용하여 자체적으로 제 2 인증키를 생성하고,
    상기 자체적으로 생성한 제 2 인증키와 상기 클라이언트 장치로부터 수신된 제 2 인증키를 비교하여 일치하는 경우에 인증 성공으로 판단하는 것을 특징으로 하는 시스템.
KR1020150115333A 2015-08-17 2015-08-17 Dhcp 옵션 60, 61 및 82를 이용한 ip 주소 할당 방법 및 이를 위한 시스템 KR101683013B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150115333A KR101683013B1 (ko) 2015-08-17 2015-08-17 Dhcp 옵션 60, 61 및 82를 이용한 ip 주소 할당 방법 및 이를 위한 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150115333A KR101683013B1 (ko) 2015-08-17 2015-08-17 Dhcp 옵션 60, 61 및 82를 이용한 ip 주소 할당 방법 및 이를 위한 시스템

Publications (1)

Publication Number Publication Date
KR101683013B1 true KR101683013B1 (ko) 2016-12-06

Family

ID=57576175

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150115333A KR101683013B1 (ko) 2015-08-17 2015-08-17 Dhcp 옵션 60, 61 및 82를 이용한 ip 주소 할당 방법 및 이를 위한 시스템

Country Status (1)

Country Link
KR (1) KR101683013B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101787404B1 (ko) * 2017-01-18 2017-10-19 주식회사 베이스인 네트웍스 Dhcp 기반 보안 주소 할당 방법
US11201910B2 (en) 2018-05-18 2021-12-14 Hanwha Techwin Co., Ltd. Network security system and method for operating same

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101070081B1 (ko) 2003-11-20 2011-10-04 주식회사 케이티 Dhcp 릴레이 에이전트 옵션 82를 이용하는가입자망에서의 가입자 관리 방법
KR101100609B1 (ko) 2009-11-04 2011-12-29 에스케이브로드밴드주식회사 가입자 망에서 가입자를 인증하기 위한 방법
JP5185951B2 (ja) * 2007-12-05 2013-04-17 株式会社日立製作所 Dhcpクライアントサーバシステム、dhcpクライアント装置、dhcpサーバ装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101070081B1 (ko) 2003-11-20 2011-10-04 주식회사 케이티 Dhcp 릴레이 에이전트 옵션 82를 이용하는가입자망에서의 가입자 관리 방법
JP5185951B2 (ja) * 2007-12-05 2013-04-17 株式会社日立製作所 Dhcpクライアントサーバシステム、dhcpクライアント装置、dhcpサーバ装置
KR101100609B1 (ko) 2009-11-04 2011-12-29 에스케이브로드밴드주식회사 가입자 망에서 가입자를 인증하기 위한 방법

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
NMC Consulting Group, "TPS 서비스를 위한 가입자 인증 및 보안 기술 [2] TPS 가입자 및 단말 인증 구조", Netmanias 기술문서 (2007.02.28.)* *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101787404B1 (ko) * 2017-01-18 2017-10-19 주식회사 베이스인 네트웍스 Dhcp 기반 보안 주소 할당 방법
US11201910B2 (en) 2018-05-18 2021-12-14 Hanwha Techwin Co., Ltd. Network security system and method for operating same

Similar Documents

Publication Publication Date Title
WO2019037775A1 (zh) 下发业务配置文件
US9596097B2 (en) Apparatus and method for transferring network access information of smart household appliances
KR102010488B1 (ko) 안전한 사물 인터넷 단말 원격 접속 시스템 및 그 방법, ip 주소 할당 방법
US9973399B2 (en) IPV6 address tracing method, apparatus, and system
WO2021057348A1 (zh) 一种服务器安全防御方法及系统、通信设备、存储介质
CN109495594B (zh) 一种数据传输方法、pnf sdn控制器、vnf sdn控制器及系统
WO2020224341A1 (zh) 一种tls加密流量识别方法及装置
CN110798546A (zh) 一种基于duid的dhcp客户端接入认证方法
KR101683013B1 (ko) Dhcp 옵션 60, 61 및 82를 이용한 ip 주소 할당 방법 및 이를 위한 시스템
CN106060006A (zh) 一种访问方法及装置
US10270653B2 (en) Network security device, network management method, and non-transitory computer-readable medium
CN109120738B (zh) Dhcp服务器及其进行网络内部设备管理的方法
CN110913351B (zh) 组播控制方法、装置、网络设备及存储介质
US10432580B2 (en) Message processing method, apparatus, and system
KR20090014625A (ko) 사설 네트워크를 갖는 네트워크에서의 인증 시스템 및 방법
CN109167759B (zh) 一种手机号码获取方法和装置
CN106878291B (zh) 一种基于前缀安全表项的报文处理方法及装置
CN112565253B (zh) 域间源地址的验证方法、装置、电子设备及存储介质
KR101584986B1 (ko) 네트워크 접속 인증 방법
CN114710302A (zh) 互联网访问的控制方法及其控制装置
CN115694856A (zh) 基于dhcp协议的验证方法及相关设备
CN105376835A (zh) 一种便携式设备和移动终端连接便携式设备的方法
KR20180124817A (ko) 안전한 사물 인터넷 단말 원격 접속 시스템 및 ip 주소 할당 방법
KR100846536B1 (ko) Dhcp를 이용한 가상 사설 네트워크 및 그 보안방법
KR100744083B1 (ko) 사용자 인증 기반의 접속 주소 할당 방법 및 장치

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20190903

Year of fee payment: 4