KR101787404B1 - Dhcp 기반 보안 주소 할당 방법 - Google Patents

Dhcp 기반 보안 주소 할당 방법 Download PDF

Info

Publication number
KR101787404B1
KR101787404B1 KR1020170008479A KR20170008479A KR101787404B1 KR 101787404 B1 KR101787404 B1 KR 101787404B1 KR 1020170008479 A KR1020170008479 A KR 1020170008479A KR 20170008479 A KR20170008479 A KR 20170008479A KR 101787404 B1 KR101787404 B1 KR 101787404B1
Authority
KR
South Korea
Prior art keywords
dhcp
hash
authentication
client
authentication key
Prior art date
Application number
KR1020170008479A
Other languages
English (en)
Inventor
신동훈
이재인
김희준
Original Assignee
주식회사 베이스인 네트웍스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 베이스인 네트웍스 filed Critical 주식회사 베이스인 네트웍스
Priority to KR1020170008479A priority Critical patent/KR101787404B1/ko
Application granted granted Critical
Publication of KR101787404B1 publication Critical patent/KR101787404B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L61/2015
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/5014Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Small-Scale Networks (AREA)

Abstract

DHCP 기반 보안 주소 할당 방법이 제공되며, DHCP 클라이언트로부터 생성된 인증 해시(Authentication Hash)가 포함된 DHCP 메세지를 수신하는 단계, 수신된 DHCP 메세지에 포함된 인증 해시를 확인하는 단계, 인증 해시가 정상인 경우, 인증 해시와 인증 해시에 포함된 인증키의 조합으로부터 해시 함수를 이용하여 허가 해시(Authorization Hash)를 생성하는 단계, 생성된 허가 해시를 DHCP 메세지에 대한 응답으로 DHCP 클라이언트로 전송하는 단계, 및 DHCP 클라이언트로부터 주소를 요청하는 메세지(Req)를 수신하는 경우, 수신에 대한 응답(Ack)을 DHCP 클라이언트로 전송하여 주소를 할당받도록 하는 단계를 포함한다.

Description

DHCP 기반 보안 주소 할당 방법{METHOD FOR ALLOCATING NETWORK ADDRESS WITH SECURITY BASED ON DHCP}
본 발명은 DHCP 기반 보안 주소 할당 방법에 관한 것으로, 인증 해시 및 허가 해시로 무결성이 확인된 후 주소를 할당하는 방법에 관한 것이다.
DHCP(Dynamic Host Configuration Protocol)은, 네트워크 관리자들이 조직 내의 네트워크에서 IP 주소를 중앙에서 관리하고 할당해 줄 수 있도록 하는 프로토콜로, 네트워크 관리자가 중앙에서 IP 주소를 관리하고 할당하며, 컴퓨터가 네트워크의 다른 장소에 접속되었을 때 자동으로 새로운 IP 주소를 보내 줄 수 있도록 하는 방법이지만, DHCP의 IP 할당 방법을 이용한 공격에 취약점이 존재한다.
이때, DHCP의 보안을 위해 인증된 클라이언트에게 제한적인 접속 권한을 적용하는 방법이 이용되고 있다. 이와 관련하여, 선행기술인 한국공개특허 제2012-0053197호(2012.05.25 공개)에는, DHCP 서버가 인증된 클라이언트의 DHCP IP 요청에 응답하여 인증된 클라이언트에 제한적인 네트워크 접속 권한을 부여하기 위한 기본 ACL 및 DHCP IP를 할당하고, 보안 정책에 따라 인증된 클라이언트에게 접속 권한을 제공하는 방법이 이용되고 있다.
다만, DHCP에서 보안을 확인하는 방법은 개시되어 있지 않으며, IEEE 표준을 부가적으로 이용하게 되므로 호환성 및 확장성이 높지 않다. 또한, IEEE 표준이 아닌 별도의 인증을 이용한다고 할지라도 인증서를 배포 및 관리해야 하고, 클라이언트와 서버가 서로 다른 네트워크에 위치할 때 키 관리에 문제점이 존재한다.
본 발명의 일 실시예는, 클라이언트로부터 서버를 찾는 메세지가 도착하는 경우, 인증키를 확인 및 발급하고, 인증키에 기반하여 클라이언트는 인증 해시를 생성하여 서버로 전송하고, 서버는 인증 해시에 기반한 허가 해시를 생성하여 클라이언트로 전송하고, 유효성 및 무결성이 확인된 후에야 주소 할당을 시작하므로, 별도의 다른 표준을 이용하지 않아도 되므로 호환성 및 확장성이 높고, 별도의 인증서를 배포 및 관리하지 않아도 보안에 취약점을 해결할 수 있는, DHCP 기반 보안 주소 할당 방법을 제공할 수 있다. 다만, 본 실시예가 이루고자 하는 기술적 과제는 상기된 바와 같은 기술적 과제로 한정되지 않으며, 또 다른 기술적 과제들이 존재할 수 있다.
상술한 기술적 과제를 달성하기 위한 기술적 수단으로서, 본 발명의 일 실시예는, DHCP 클라이언트로부터 생성된 인증 해시(Authentication Hash)가 포함된 DHCP 메세지를 수신하는 단계, 수신된 DHCP 메세지에 포함된 인증 해시를 확인하는 단계, 인증 해시가 정상인 경우, 인증 해시와 인증 해시에 포함된 인증키의 조합으로부터 해시 함수를 이용하여 허가 해시(Authorization Hash)를 생성하는 단계, 생성된 허가 해시를 DHCP 메세지에 대한 응답으로 DHCP 클라이언트로 전송하는 단계, 및 DHCP 클라이언트로부터 주소를 요청하는 메세지(Req)를 수신하는 경우, 수신에 대한 응답(Ack)을 DHCP 클라이언트로 전송하여 주소를 할당받도록 하는 단계를 포함한다.
전술한 본 발명의 과제 해결 수단 중 어느 하나에 의하면, 클라이언트로부터 서버를 찾는 메세지가 도착하는 경우, 인증키를 확인 및 발급하고, 인증키에 기반하여 클라이언트는 인증 해시를 생성하여 서버로 전송하고, 서버는 인증 해시에 기반한 허가 해시를 생성하여 클라이언트로 전송하고, 유효성 및 무결성이 확인된 후에야 주소 할당을 시작하므로, 별도의 다른 표준을 이용하지 않아도 되므로 호환성 및 확장성이 높고, 별도의 인증서를 배포 및 관리하지 않아도 보안에 취약점을 해결할 수 있다.
도 1은 본 발명의 일 실시예에 따른 DHCP 기반 보안 주소 할당 시스템을 설명하기 위한 구성도이다.
도 2는 도 1에 도시된 DHCP 기반 보안 주소 할당 시스템에서 DHCP의 정의 및 기본 동작을 설명하기 위한 도면이다.
도 3은 도 1에 도시된 DHCP 기반 보안 주소 할당 서버를 설명하기 위한 구성도이다.
도 4는 도 1에 도시된 DHCP 서버 및 DHCP 클라이언트 간에 해시를 포함한 DHCP 통신 흐름을 설명하기 위한 도면이다.
도 5는 도 1에 도시된 DHCP 서버 및 DHCP 클라이언트에서 인증키를 발급하고 수신하는 과정을 설명하기 위한 도면이다.
도 6은 도 1에 도시된 DHCP 클라이언트에서 인증키가 없는 경우 및 DHCP 서버에서 인증 해시를 확인한 후 허가 해시를 발급하는 과정을 설명하기 위한 도면이다.
도 7은 도 1에서 도시된 DHCP 클라이언트에서 사용 시간 연장을 하는 과정을 설명하기 위한 도면이다.
아래에서는 첨부한 도면을 참조하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 본 발명의 실시예를 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.
명세서 전체에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때, 이는 "직접적으로 연결"되어 있는 경우뿐 아니라, 그 중간에 다른 소자를 사이에 두고 "전기적으로 연결"되어 있는 경우도 포함한다. 또한 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미하며, 하나 또는 그 이상의 다른 특징이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
명세서 전체에서 사용되는 정도의 용어 "약", "실질적으로" 등은 언급된 의미에 고유한 제조 및 물질 허용오차가 제시될 때 그 수치에서 또는 그 수치에 근접한 의미로 사용되고, 본 발명의 이해를 돕기 위해 정확하거나 절대적인 수치가 언급된 개시 내용을 비양심적인 침해자가 부당하게 이용하는 것을 방지하기 위해 사용된다. 본 발명의 명세서 전체에서 사용되는 정도의 용어 "~(하는) 단계" 또는 "~의 단계"는 "~ 를 위한 단계"를 의미하지 않는다.
본 명세서에 있어서 '부(部)'란, 하드웨어에 의해 실현되는 유닛(unit), 소프트웨어에 의해 실현되는 유닛, 양방을 이용하여 실현되는 유닛을 포함한다. 또한, 1개의 유닛이 2개 이상의 하드웨어를 이용하여 실현되어도 되고, 2개 이상의 유닛이 1개의 하드웨어에 의해 실현되어도 된다.
본 명세서에 있어서 단말, 장치 또는 디바이스가 수행하는 것으로 기술된 동작이나 기능 중 일부는 해당 단말, 장치 또는 디바이스와 연결된 서버에서 대신 수행될 수도 있다. 이와 마찬가지로, 서버가 수행하는 것으로 기술된 동작이나 기능 중 일부도 해당 서버와 연결된 단말, 장치 또는 디바이스에서 수행될 수도 있다.
본 명세서에서 있어서, 단말과 매핑(Mapping) 또는 매칭(Maching)으로 기술된 동작이나 기능 중 일부는, 단말의 식별 정보(Identifying Data)인 단말기의 고유번호나 개인의 식별정보를 매핑 또는 매칭한다는 의미로 해석될 수 있다.
이하 첨부된 도면을 참고하여 본 발명을 상세히 설명하기로 한다.
도 1은 본 발명의 일 실시예에 따른 DHCP 기반 보안 주소 할당 시스템을 설명하기 위한 구성도이다. 도 1을 참조하면, DHCP 기반 보안 주소 할당 시스템(1)은, DHCP 클라이언트(100) 및 DHCP 서버(300)를 포함할 수 있다. 다만, 이러한 도 1의 DHCP 기반 보안 주소 할당 시스템(1)은, 본 발명의 일 실시예에 불과하므로, 도 1을 통해 본 발명이 한정 해석되는 것은 아니다.
이때, 도 1의 각 구성요소들은 일반적으로 네트워크(network, 200)를 통해 연결된다. 예를 들어, 도 1에 도시된 바와 같이, DHCP 클라이언트(100)는 네트워크(200)를 통하여 DHCP 서버(300)와 연결될 수 있다. 그리고, DHCP 서버(300)는, 네트워크(200)를 통하여 DHCP 클라이언트(100)와 연결될 수 있다. 이때, DHCP 클라이언트(100)는, 복수일 수 있다.
여기서, 네트워크(200)는, 복수의 단말 및 서버들과 같은 각각의 노드 상호 간에 정보 교환이 가능한 연결 구조를 의미하는 것으로, 이러한 네트워크(200)의 일 예에는 3GPP(3rd Generation Partnership Project) 네트워크, LTE(Long Term Evolution) 네트워크, 5GPP(5rd Generation Partnership Project) 네트워크, WIMAX(World Interoperability for Microwave Access) 네트워크, 인터넷(Internet), LAN(Local Area Network), Wireless LAN(Wireless Local Area Network), WAN(Wide Area Network), PAN(Personal Area Network), 블루투스(Bluetooth) 네트워크, 위성 방송 네트워크, 아날로그 방송 네트워크, DMB(Digital Multimedia Broadcasting) 네트워크 등이 포함되나 이에 한정되지는 않는다. 도 1에 도시된 DHCP 클라이언트(100), DHCP 서버(300)는 도 1에 도시된 것들로 한정 해석되는 것은 아니다.
이하에서, DHCP 클라이언트(100)와 DHCP 서버(300)로 나누어 본 발명의 일 실시예에 따른 보안 주소 할당 방법을 설명하나, 본 발명의 방법에 따른 프로그램을 탑재한 단말이면 어느 것이든 DHCP 클라이언트(100) 또는 DHCP 서버(300)로 구성될 수 있음은 자명하다 할 것이다.
DHCP 클라이언트(100)는, DHCP(Dynamic Host Configuration Protocol)을 사용하고 TCP/IP 통신을 수행하기 위한 네트워크 구성 파라미터를 이용하여 주소를 동적으로 할당받는 단말일 수 있다. 그리고, DHCP 클라이언트(100)는, DHCP 서버(300)로 주소를 요청하고, DHCP 서버(300)로부터 특정 주소 및 그 주소의 대여(Lease) 기간을 응답받는 단말일 수 있다. 또한, DHCP 클라이언트(100)는, 부팅 후 이러한 정보에 대한 질의를 수행하며, 정보의 유효 기간이 해제되면 주기적으로 재질의하는 단말일 수 있다. 그리고, DHCP 클라이언트(100)는, DHCP 서버(300)와의 인증을 수행할 때, 인증 해시(Authentication Hash) 및 허가 해시(Authorization Hash)를 이용하여 IP 주소를 할당받는 호스트일 수 있다. 또한, DHCP 클라이언트(100)는, 두 가지의 해시를 이용하기 위하여 인증키를 DHCP 서버(300)로 요청하는 단말일 수 있다. 그리고, DHCP 클라이언트(100)는, 인증 해시에 대한 허가 해시가 수신되는 경우, 허가 해시를 인증키를 포함한 데이터로 인증하는 단말일 수 있다. 이에 따라, DHCP 클라이언트(100)는, 인증 해시 및 허가 해시로 DHCP 서버(300)와의 인증이 완료된 경우, 주소 정보를 할당받고 공격 또는 오류를 제거한 환경을 제공하는 단말일 수 있다.
여기서, DHCP 클라이언트(100)는, 네트워크(200)를 통하여 원격지의 서버나 단말에 접속할 수 있는 컴퓨터로 구현될 수 있다. 여기서, 컴퓨터는 예를 들어, 웹 브라우저(WEB Browser)가 탑재된 노트북, 데스크톱(Desktop), 랩톱(Laptop) 등을 포함할 수 있다. 이때, DHCP 클라이언트(100)는, 네트워크(200)를 통해 원격지의 서버나 단말에 접속할 수 있는 단말로 구현될 수 있다. DHCP 클라이언트(100)는, 예를 들어, 휴대성과 이동성이 보장되는 무선 통신 장치로서, 네비게이션, PCS(Personal Communication System), GSM(Global System for Mobile communications), PDC(Personal Digital Cellular), PHS(Personal Handyphone System), PDA(Personal Digital Assistant), IMT(International Mobile Telecommunication)-2000, CDMA(Code Division Multiple Access)-2000, W-CDMA(W-Code Division Multiple Access), Wibro(Wireless Broadband Internet) 단말, 스마트폰(smartphone), 스마트 패드(smartpad), 타블렛 PC(Tablet PC) 등과 같은 모든 종류의 핸드헬드(Handheld) 기반의 무선 통신 장치를 포함할 수 있다.
DHCP 서버(300)는, ISP로부터 할당받은 주어진 주소 블록 내에서 해당 기관의 호스트, 즉 DHCP 클라이언트(100)에 IP 주소를 할당하고 관리해야 한다. 이를 위해 수많은 DHCP 클라이언트(100)마다 IP 주소를 할당하고, DHCP 클라이언트(100) 이동시 새로운 주소를 설정해 주어야 한다. 이때, DHCP 서버(300)는, DHCP 클라이언트(100)가 네트워크에 접속하고자 할 때마다 IP를 동적으로 할당받을 수 있도록 하는 서버일 수 있다. 이때, DHCP 서버(300)는, DHCP 클라이언트(100)로부터 인증키를 요청받는 경우, 확인 및 승인 후 승인 ID, 인증키, 승인 날짜, MAC 주소를 매핑하여 저장하고, 인증키를 DHCP 클라이언트(100)로 전송하는 서버일 수 있다. 또한, DHCP 서버(300)는, 인증키를 이용한 인증 해시를 DHCP 클라이언트(100)로부터 수신하는 경우, 수신된 인증 해시를 저장된 데이터를 이용하여 검증하는 서버일 수 있다. 그리고, DHCP 서버(300)는, 검증 후 허가 해시를 DHCP 클라이언트(100)로 전송하여 서로 간의 인증을 확인하도록 하는 서버일 수 있다. 이에 따라, DHCP 서버(300)는, 주소를 할당할 때 인증키에 기반한 인증 해시 및 허가 해시를 이용하여 DHCP 클라이언트(100)와 상호적으로 암호를 이용한 인증을 실시하므로, 보안성을 높이고 공격에 취약한 DHCP의 보안을 강화하는 서버일 수 있다.
이때, DHCP 서버(300)는, 네트워크(200)를 통하여 원격지의 서버나 단말에 접속할 수 있는 컴퓨터로 구현될 수 있다. 여기서, 컴퓨터는 예를 들어, 웹 브라우저(WEB Browser)가 탑재된 노트북, 데스크톱(Desktop), 랩톱(Laptop) 등을 포함할 수 있다.
도 2는 도 1에 도시된 DHCP 기반 보안 주소 할당 시스템에서 DHCP의 정의 및 기본 동작을 설명하기 위한 도면이고, 도 3은 도 1에 도시된 DHCP 기반 보안 주소 할당 서버를 설명하기 위한 구성도이고, 도 4는 도 1에 도시된 DHCP 서버 및 DHCP 클라이언트 간에 해시를 포함한 DHCP 통신 흐름을 설명하기 위한 도면이고, 도 5는 도 1에 도시된 DHCP 서버 및 DHCP 클라이언트에서 인증키를 발급하고 수신하는 과정을 설명하기 위한 도면이고, 도 6은 도 1에 도시된 DHCP 클라이언트에서 인증키가 없는 경우 및 DHCP 서버에서 인증 해시를 확인한 후 허가 해시를 발급하는 과정을 설명하기 위한 도면이고, 도 7은 도 1에서 도시된 DHCP 클라이언트에서 사용 시간 연장을 하는 과정을 설명하기 위한 도면이다.
도 2를 참조하면, DHCP의 정의는 다음과 같다.
우선, (a) DHCP는, 동적 호스트 구성 프로토콜로, TCP/IP 통신을 실행하기 위하여 필요한 설정 정보를 자동적으로 할당 및 관리하기 위한 통신 규약으로 정의할 수 있다. 그리고, DHCP 클라이언트(100)는, DHCP 서버(300)에 정해진 규약에 따라 요청 또는 응답을 함으로써 TCP/IP 통신을 하기 위한 주소 정보, 예를 들어, IP 주소, 기본 게이트웨이, 서브넷 마스크 등을 할당받을 수 있다. 즉, 사용자는 네트워크 정보를 알 필요 없이 자동으로 주소를 할당받을 수 있다. 또한, DHCP는, bootp 프로토콜(rfc 951)에 다양한 옵션을 포함하여 재정의된 프로토콜이며, 본 발명의 일 실시예에서는 이러한 옵션을 정의하여 보안이 강화된 DHCP 시스템을 구성한다. 예를 들어, DHCP 옵션 코드는, 1 내지 255까지 사용할 수 있으며, 아직 많은 옵션이 표준화되지 않은 채 보관된 상태이며, 이러한 코드를 사용하면 보안을 강화할 수 있다.
또한, (b)를 참조하면, 기본적인 DHCP의 통신 흐름은 4 단계 통신으로 이루어진다.
첫 번째 단계는, DHCP 클라이언트(100)가 DHCP 서버(300)를 발견하는 단계(DHCP Server Discovery)이다.
새롭게 도착한 호스트, 즉 DHCP 클라이언트(100)는, 자신이 접속될 네트워크의 DHCP 서버(300) 주소를 알지 못한다. 따라서, DHCP 클라이언트(100)는, DHCP 서버(300) 발견 메세지(포트67, UDP 메시지)를 브로드캐스트 IP 주소(출발지 주소 : 0.0.0.0, 목적지 : 255.255.255.255)로 캡슐화하여 서브넷 상의 모든 노드로 전송한다.
두 번째 단계는, DHCP 서버(300)가 디스커버리 메세지(발견 메세지)에 응답하는 단계(DHCP Server Offer)이다. 즉, DHCP 서버(300)가 DHCP 클라이언트(100)에 주소를 할당할 수 있음을 나타내는 단계이며, DHCP 발견 메시지를 받은 DHCP 서버(300)는 DHCP 제공 메시지를 이용해 DHCP 클라이언트(100)로 브로드캐스트한다. 즉, 송신 호스트의 IP주소가 할당되기 전이기 때문에 (DHCP 서버(300) 발견 메시지 상의 출발지 주소가 0.0.0.0임), DHCP 서버(300)는 서브넷 상의 모든 호스트로 응답하는 것이다. 이때, 서버 제공 메시지는 DHCP 클라이언트(100)에 제공될 IP주소 네트워크 마스크, 도메인 이름, IP주소 임대 기간(유효 시간) 등의 클라이언트 설정 파라미터 값을 포함한다.
세 번째 단계는, 응답(Offer)을 수신한 DHCP 클라이언트(100)는 요청(Req) 메세지를 전송하여 응답을 제공한 서버에 주소를 요청하는 단계(DHCP Request)이다. 즉, IP 할당을 요청한 새 호스트, 즉 DHCP 클라이언트(100)는, 하나 이상의 DHCP 서버(300) 제공 메세지를 받고, 그 중의 가장 최적의 서버를 선택한 후, 그 서버측으로 DHCP 요청 메세지를 보낸다.
마지막으로, 네 번째 단계는, DHCP 서버(300)가 최종적으로 DHCP 클라이언트(100)로 주소를 제공하는 단계(DHCP ACK(Acknowledgement))이다. 즉, DHCP 서버(300)는, DHCP 요청 메세지에 대하여 요청된 설정을 확인하는 ACK(응답) 메세지를 전송한다.
이때, DHCP 통신은 다양한 DHCP 옵션을 CLV(Code-Length-Value) 형태로 구성하여 전송한다.
상술한 기존의 DHCP 통신의 취약점(Vulnerability)은 아래 표 1과 같다.
취약점 설명
v1 DHCP Starvation Attack DHCP DoS 공격: 무작위적으로 호스트의 물리적 주소를 바꿔가며 주소 요청을 진행하여 DHCP 서버의 주소 풀(Pool)을 고갈시킴
v2 Rogue DHCP 서버 인가되지 않은 DHCP 서버를 운영함으로써 주소를 요청한 DHCP 클라이언트는 비정상 주소를 할당받고, 호스트의 네트워크 접속에 문제를 발생시킴
v3 주소 자동 할당 DHCP 시스템의 자동 주소 할당은 인가되지 않은 호스트에 주소를 할당할 수 있어 보안이 취약함
v4 MAC 주소 복제 v3를 극복하기 위해 MAC 주소 기반으로 적용하나, 인가된 MAC 주소를 공격자의 호스트에 복제하여 주소를 요청할 경우 정상적인 네트워크 주소 할당이 가능함
v5 DHCP Spoofing 취약점 v2와 유사하며, 호스트의 주소요청시 공격자가 거짓응답을 보냄으로써 호스트는 잘못된 주소를 할당받음
도 3을 참조하면, (a) 본 발명의 일 실시예에 따른 보안 인증 주소 할당 방법은, 인증 해시 및 허가 해시를 이용하여 DHCP 클라이언트(100) 및 DHCP 서버(300)를 구성할 수 있다. 이때, 설명의 편의를 위하여 구성으로 설명하지만, DHCP 클라이언트(100) 및 DHCP 서버(300)는 프로그램, 애플리케이션 등과 같을 수 있음은 상술한 바와 같다.
또한, 인증 해시 및 허가 해시는 코드 200 및 코드 201로 전송될 수 있고, DHCP 클라이언트(100) 및 DHCP 서버(300)는, 모두 해시 값을 확인 후 올바른 경우라고 판단되면 다음 단계를 진행하고, 그렇지 않으면 요청 및 응답에 대해 무시하도록 한다. 즉, DHCP 클라이언트(100)를 탑재하지 않은 단말은 네트워크(200)에 연결해도 주소를 받을 수 없게 된다(Authentication Failure). 이에 따라, 기존에 DHCP를 이용한 시스템에서 발생했던 문제, 즉 표 1에서 언급된 v1 내지 v5를 모두 해결할 수 있다.
도 3의 (b)를 참조하면, 본 발명의 일 실시예에 따른 DHCP 서버(300)는, 인증키 생성부(310), 수신부(320), 확인부(330), 해시 생성부(340), 전송부(350), 할당부(360) 및 연장부(370)를 포함할 수 있다.
본 발명의 일 실시예에 따른 DHCP 서버(300) 또는 DHCP 서버(300)와 연동되어 동작하는 다른 서버(미도시)가 DHCP 클라이언트(100)로 DHCP 기반 보안 주소 할당 서비스 애플리케이션, 프로그램, 앱 페이지, 웹 페이지 등을 전송하는 경우, DHCP 클라이언트(100)는, DHCP 기반 보안 주소 할당 서비스 애플리케이션, 프로그램, 앱 페이지, 웹 페이지 등을 설치하거나 열 수 있다. 또한, 웹 브라우저에서 실행되는 스크립트를 이용하여 서비스 프로그램이 DHCP 클라이언트(100)에서 구동될 수도 있다. 여기서, 웹 브라우저는 웹(WWW: world wide web) 서비스를 이용할 수 있게 하는 프로그램으로 HTML(hyper text mark-up language)로 서술된 하이퍼 텍스트를 받아서 보여주는 프로그램을 의미하며, 예를 들어 넷스케이프(Netscape), 익스플로러(Explorer), 크롬(chrome) 등을 포함한다. 또한, 애플리케이션은 단말 상의 응용 프로그램(application)을 의미하며, 예를 들어, 모바일 단말(스마트폰)에서 실행되는 앱(app)을 포함한다.
이때, 네트워크(200)의 연결은, DHCP 클라이언트(100), DHCP 서버(300)가 네트워크(200)로 연결되어 있는 단말과 통신을 위해 통신 접점에 통신 객체를 생성하는 것을 의미한다. DHCP 서버(300)는 통신 객체를 통해 서로 데이터를 교환할 수 있다.
인증키 생성부(310)는, DHCP 클라이언트(100)로부터 인증키를 요청하는 디스커버(Discover)가 전송되는 경우, 인증키를 생성할 수 있다. 또한, 인증키 생성부(310)는, 생성된 인증키를 DHCP 코드 202를 포함하여 DHCP 클라이언트(100)로 전송할 수 있다. 이때, DHCP 클라이언트(100)는, 인증키에 DHCP 코드 202가 포함된 것이 확인되는 경우 인증키를 로컬 호스트에 저장하고, DHCP 서버(300)는, 인증키를 승인 아이디(ID), MAC 주소 및 승인 날짜와 매핑하여 데이터베이스에 저장할 수 있다. 이때, 인증키는, 토큰과 승인 ID의 조합으로부터 해시 함수에 의해 생성되고, 승인 ID는 랜덤으로 부여될 수 있고, 수식으로 표현하는 경우 이하 수학식 1과 같다.
Figure 112017006041856-pat00001
Figure 112017006041856-pat00002
이때, AK는 인증키를 의미하고, Hash()는 해시 함수를 의미하고, random은 승인 ID를 의미하고, token은 MAC 주소를 의미한다. 이때, MAC 주소는 이더넷 물리적 주소(Ethernet Physical Address)를 의미한다.
한편, DHCP 클라이언트(100)는, 인증키가 로컬 호스트에 존재하지 않는 경우, 디스커버(Discover)를 반복적으로 발생시켜 DHCP 서버(300)로부터 인증키에 대한 오퍼(Offer)를 수신하도록 할 수 있다.
수신부(320)는, DHCP 클라이언트(100)로부터 생성된 인증 해시(Authentication Hash)가 포함된 DHCP 메세지를 수신할 수 있다. 이때, DHCP 서버(300)는, 인증 해시가 포함되지 않은 DHCP 메세지를 수신하는 경우, 인증키가 발급된 DHCP 클라이언트(100)인지를 조회하고, 인증키가 발급되지 않은 DHCP 클라이언트(100)인 경우, 인증키를 발급하여 DHCP 클라이언트(100)에게 전송할 수 있다. 또한, DHCP 서버(300)는, 인증 해시가 포함된 DHCP 메세지를 수신하는 경우, 등록된 MAC 주소이고, 인증 해시가 유효한 경우 허가 해시를 생성할 수 있다.
이때, 인증 해시 및 허가 해시를 수식으로 표현하면 이하 수학식 2 및 3과 같다.
Figure 112017006041856-pat00003
Figure 112017006041856-pat00004
이때, Hashkey는, xid를 의미하는데, xid는 bootp transaction ID로 통신 때마다 변경되며 일관성을 없애기 위한 일종의 해시 키로 정의될 수 있다. 또한, HV1은 인증 해시를 의미하고, HV2는 허가 해시를 의미한다. 그리고, 해시 함수는 예를 들어 sha256 등일 수 있다.
확인부(330)는, 수신된 DHCP 메세지에 포함된 인증 해시를 확인할 수 있다. 이때, 인증 해시는 해시키(HashKey), 토큰(Token) 및 인증키(Authrization-key)의 조합으로부터 해시 함수(Hash Function)에 의해 생성될 수 있다. 또한, 해시키는, xid(bootp transaction id)이고, 토큰은 MAC Address이며, 인증키는 DHCP 서버(300) 및 DHCP 클라이언트(100)가 저장하는 공유키일 수 있다. 이에 따라, 확인부(330)는, 인증키를 DHCP 서버(300)에서 발급하고 저장해두었으므로, 인증 해시를 확인할 수 있다.
따라서, DHCP 서버(300)는, DHCP 클라이언트(100)로부터 수신된 DHCP 메세지에 포함된 인증 해시를, DHCP 서버(300)에 기 저장된 인증키, 토큰 및 해시키의 조합으로부터 해시 함수에 의해 생성된 기준 인증 해시와 비교하여 유효성을 확인할 수 있다.
해시 생성부(340)는, 인증 해시가 정상인 경우, 인증 해시와 인증 해시에 포함된 인증키의 조합으로부터 해시 함수를 이용하여 허가 해시(Authorization Hash)를 생성할 수 있다.
전송부(350)는, 생성된 허가 해시를 DHCP 메세지에 대한 응답으로 DHCP 클라이언트(100)로 전송할 수 있다.
할당부(360)는, DHCP 클라이언트(100)로부터 주소를 요청하는 메세지(Req)를 수신하는 경우, 수신에 대한 응답(Ack)을 DHCP 클라이언트(100)로 전송하여 주소를 할당받도록 한다. 이때, DHCP 클라이언트(100)는, DHCP 서버(300)로부터 수신된 응답(Ack)에 포함된 허가 해시를, 인증 해시 및 인증키의 조합으로부터 해시 함수에 의해 생성된 기준 허가 해시와 비교하여 유효성을 확인할 수 있다.
연장부(370)는, 할당부(360)에서 DHCP 클라이언트(100)로부터 주소를 요청하는 메세지(Req)를 수신하는 경우, 수신에 대한 응답(Ack)을 DHCP 클라이언트(100)로 전송하여 주소를 할당받도록 한 후, DHCP 클라이언트(100)로부터 할당된 주소의 임대시간을 연장하는 리뉴(Renew) 메세지를 수신할 수 있다. 또한, 연장부(370)는, 리뉴 메세지에 대하여 사용 연장을 위한 응답을 DHCP 클라이언트(100)로 전송할 수 있다. 이때, 리뉴 메세지도 주소 할당을 위한 방법과 마찬가지로 인증 해시를 포함하고, 사용 연장을 위한 응답은 허가 해시를 포함할 수 있다.
이하, 상술한 구성을 가지는 DHCP 기반 보안 주소 할당 서비스를 도 4 내지 도 7을 참조로 상세히 설명하기로 한다.
도 4를 참조하면, DHCP 클라이언트(100)는, 인증을 요청하는 해시인 인증 해시(HV1)를 생성한 후, DHCP 서버(300)로 인증 해시를 포함한 DHCP 메세지를 전송한다. 이때, DHCP 서버(300)는, DHCP 메세지를 수신하고, 인증 해시를 확인하는데, 인증 해시가 정상인 경우, DHCP 클라이언트(100)에서 DHCP 서버(300)를 검증할 수 있는 허가 해시를 생성하여 DHCP 클라이언트(100)로 전송한다. 이에 따라, DHCP 클라이언트(100)에서는 허가 해시를 확인하여 DHCP 서버(300)를 검증한 후 주소를 할당받게 된다.
한편, 네트워크 사용이 미인가된 사용자는 별도의 신청 및 승인의 과정을 거쳐야 인증키를 발급받을 수 있고, 발급받은 인증키는 로컬 호스트에 저장해야 한다. 이때, 인증키도 역시 해시 함수를 이용하여 발급될 수 있다. 예를 들어, 도 5의 (a)를 참조하면, DHCP 클라이언트(100)로부터 DHCP 서버(300)로 네트워크 사용 신청이 수신된 경우, 관리자의 확인 및 승인을 거치고, DHCP 서버(300)는, 승인이 완료된 경우 승인 ID를 생성하고, 인증키를 생성하여, 승인 ID, MAC 주소, 인증키(AK), 승인 날짜를 매핑하여 데이터베이스에 저장하게 된다.
이에 대응하여, DHCP 클라이언트(100)에서 인증키를 요청하고 수신하는 과정은 도 5의 (b)를 참조하면, 크게 두 가지 방법으로 인증키를 저장할 수 있는데, 첫 번째는 직접 신청 및 승인 페이지를 통하여 직접 다운로드한 후 저장하는 방법이다.
또한, 두 번째는, 인증키가 없는 DHCP 클라이언트(100)는 인증 해시 없이 디스커버리 메세지를 주기적으로 발생할 수 있다. 이때, DHCP 서버(300)는, 해당 DHCP 클라이언트(100)에 대한 인증키가 있다면 이 값은 DHCP 옵션 202에 포함하여 전달할 수 있다. 또한, DHCP 클라이언트(100)는, 202 코드가 수신되면, 이 값을 로컬 호스트에 저장하며, 저장된 인증키를 통하여 DHCP 요청 단계를 진행할 수 있다.
한편, DHCP 서버(300)는, DHCP 클라이언트(100)로부터 수신된 DHCP 메세지에 포함된 인증 해시에 대한 유효성을 이하 수학식 4를 통하여 확인할 수 있다.
Figure 112017006041856-pat00005
Figure 112017006041856-pat00006
또한, DHCP 클라이언트(100)는, DHCP 서버(300)로부터 수신된 DHCP 메세지에 포함된 허가 해시의 유효성을 수학식 5를 통하여 확인할 수 있다.
Figure 112017006041856-pat00007
한편, 인증키가 없는 경우에는 DHCP 클라이언트(100)에서 디스커버리 메세지를 반복적으로 발생시켜 인증키를 확인하고, 인증키가 있는 경우에는 인증키를 이용하여 인증 해시를 생성하고, 디스커버리 메세지를 통하여 DHCP 서버(300)를 찾고 나머지 단계를 진행할 수 있다. 이때, 설명되지 않은 부분은 상술한 바와 같으므로 상세한 설명은 생략하기로 한다.
도 6의 (b)를 참조하면, DHCP 서버(300)에서 인증 해시가 없는 디스커버리 메세지가 수신되는 경우, 인증키를 확인한 후 인증키가 발급된 상태이면 인증키와 옵션 202 코드를 붙여 DHCP 클라이언트(100)로 전송하고, 인증키가 없는 상태이면 상술한 바와 같은 인증키를 요청하도록 하는 단계를 진행한다. 또한, DHCP 서버(300)는, DHCP 클라이언트(100)로부터 수신된 디스커버리 메세지에 인증 해시가 존재하고, 유효한 값인 경우에는 허가 해시를 생성하여 전송하는 상술한 바와 같은 단계를 실시하도록 한다.
도 7을 참조하면, DHCP 서버(300)가 DHCP 클라이언트(100)로 주소를 할당할 때에는 유효 시간을 함께 설정하는데, DHCP 클라이언트(100)가 유효 시간을 연장하고자 하는 경우에는 인증 해시 및 허가 해시를 이용하여 무결성을 보장하도록 한다.
본 발명의 일 실시예에 따른 보안 주소 할당 방법은, 기존의 DHCP 시스템 환경의 장점이자 단점인 모든 호스트에 주소 할당을 방지할 수 있다. 또한, 공유기, 개인 서버 구축, 악의적(Malicious) DHCP Spoofing 등으로 인하여 DHCP 클라이언트의 주소 할당이 오염되는 것을 방지할 수 있다. 그리고, DHCP 프로토콜을 그대로 유지하면서 사용하지 않은 DHCP 옵션을 통하여 통신을 하므로 기존 네트워크 구성 환경에 영향을 미치지 않을 수 있다. 또한, 하나의 호스트는 매 통신 때마다 고정된 해시 값이 아닌 다른 해시 값을 사용하므로, 기밀성도 유지할 수 있으며, 서버에서 해시 값의 무결성을 검증하고, 이중으로 클라이언트 단에서도 재검증하게 되므로 하이재킹(Hijacking)이나 Spoofing 공격에 방어할 수 있다. 마지막으로, 일반 DHCP 클라이언트를 통하여 DoS(Denial of Service) 공격이 들어와도 주소 고갈(Starvation) 문제를 발생시키지 않는다.
이와 같은 도 2 내지 도 7의 DHCP 기반 보안 주소 할당 방법에 대해서 설명되지 아니한 사항은 앞서 도 1을 통해 DHCP 기반 보안 주소 할당 방법에 대하여 설명된 내용과 동일하거나 설명된 내용으로부터 용이하게 유추 가능하므로 이하 설명을 생략하도록 한다.
본 발명의 일 실시예에 따른 DHCP 기반 보안 주소 할당 방법은, DHCP 서버에서 DHCP 클라이언트로부터 생성된 인증 해시(Authentication Hash)가 포함된 DHCP 메세지를 수신한다. 그리고, DHCP 서버는, 수신된 DHCP 메세지에 포함된 인증 해시를 확인하는데, 인증 해시가 정상인 경우, 인증 해시와 인증 해시에 포함된 인증키의 조합으로부터 해시 함수를 이용하여 허가 해시(Authorization Hash)를 생성한다. 이때, DHCP 서버는, 생성된 허가 해시를 DHCP 메세지에 대한 응답으로 DHCP 클라이언트로 전송한다. 마지막으로, DHCP 서버는, DHCP 클라이언트로부터 주소를 요청하는 메세지(Req)를 수신하는 경우, 수신에 대한 응답(Ack)을 DHCP 클라이언트로 전송하여 주소를 할당받도록 한다.
이와 같이 설명된 일 실시예에 따른 DHCP 기반 보안 주소 할당 방법은, 컴퓨터에 의해 실행되는 애플리케이션이나 프로그램 모듈과 같은 컴퓨터에 의해 실행가능한 명령어를 포함하는 기록 매체의 형태로도 구현될 수 있다. 컴퓨터 판독 가능 매체는 컴퓨터에 의해 액세스될 수 있는 임의의 가용 매체일 수 있고, 휘발성 및 비휘발성 매체, 분리형 및 비분리형 매체를 모두 포함한다. 또한, 컴퓨터 판독가능 매체는 컴퓨터 저장 매체 및 통신 매체를 모두 포함할 수 있다. 컴퓨터 저장 매체는 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈 또는 기타 데이터와 같은 정보의 저장을 위한 임의의 방법 또는 기술로 구현된 휘발성 및 비휘발성, 분리형 및 비분리형 매체를 모두 포함한다. 통신 매체는 전형적으로 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈, 또는 반송파와 같은 변조된 데이터 신호의 기타 데이터, 또는 기타 전송 메커니즘을 포함하며, 임의의 정보 전달 매체를 포함한다.
전술한 본 발명의 일 실시예에 따른 DHCP 기반 보안 주소 할당 방법은, 단말기에 기본적으로 설치된 애플리케이션(이는 단말기에 기본적으로 탑재된 플랫폼이나 운영체제 등에 포함된 프로그램을 포함할 수 있음)에 의해 실행될 수 있고, 사용자가 애플리케이션 스토어 서버, 애플리케이션 또는 해당 서비스와 관련된 웹 서버 등의 애플리케이션 제공 서버를 통해 마스터 단말기에 직접 설치한 애플리케이션(즉, 프로그램)에 의해 실행될 수도 있다. 이러한 의미에서, 전술한 본 발명의 일 실시예에 따른 DHCP 기반 보안 주소 할당 방법은 단말기에 기본적으로 설치되거나 사용자에 의해 직접 설치된 애플리케이션(즉, 프로그램)으로 구현되고 단말기에 등의 컴퓨터로 읽을 수 있는 기록매체에 기록될 수 있다.
전술한 본 발명의 설명은 예시를 위한 것이며, 본 발명이 속하는 기술분야의 통상의 지식을 가진 자는 본 발명의 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 쉽게 변형이 가능하다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다. 예를 들어, 단일형으로 설명되어 있는 각 구성 요소는 분산되어 실시될 수도 있으며, 마찬가지로 분산된 것으로 설명되어 있는 구성 요소들도 결합된 형태로 실시될 수 있다.
본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 균등 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.

Claims (9)

  1. DHCP(Dynamic Host Configuration Protocol) 서버에서 실행되는 DHCP 기반 보안 주소 정보 할당 방법으로서, DHCP 클라이언트로부터 생성된 인증 해시(Authentication Hash)가 포함된 DHCP 메세지를 수신하는 단계; 상기 수신된 DHCP 메세지에 포함된 인증 해시를 확인하는 단계; 상기 인증 해시가 정상인 경우, 상기 인증 해시와 상기 인증 해시에 포함된 인증키의 조합으로부터 해시 함수를 이용하여 허가 해시(Authorization Hash)를 생성하는 단계; 상기 생성된 허가 해시를 상기 DHCP 메세지에 대한 응답으로 상기 DHCP 클라이언트로 전송하는 단계; 및 상기 DHCP 클라이언트로부터 주소를 요청하는 메세지(Req)를 수신하는 경우, 상기 수신에 대한 응답(Ack)을 상기 DHCP 클라이언트로 전송하여 주소를 할당받도록 하는 단계; 를 포함하는 DHCP 기반 보안 주소 정보 할당 방법에 있어서,
    상기 인증 해시는 해시키(HashKey), 토큰(Token) 및 인증키(Authrization-key)의 조합으로부터 해시 함수(Hash Function)에 의해 생성되고,
    상기 해시키는, xid(bootp transaction id)이고, 토큰은 MAC Address이며, 인증키는 상기 DHCP 서버 및 DHCP 클라이언트가 저장하는 공유키인 것인, DHCP 기반 보안 주소 정보 할당 방법.
  2. 삭제
  3. 제 1 항에 있어서,
    상기 DHCP 클라이언트로부터 생성된 인증 해시(Authentication Hash)가 포함된 DHCP 메세지를 수신하는 단계 이전에,
    상기 DHCP 클라이언트로부터 상기 인증키를 요청하는 디스커버(Discover)가 전송되는 경우, 상기 인증키를 생성하는 단계;
    상기 생성된 인증키를 DHCP 코드 202를 포함하여 상기 DHCP 클라이언트로 전송하는 단계;
    를 더 포함하고,
    상기 DHCP 클라이언트는, 상기 인증키에 상기 DHCP 코드 202가 포함된 것이 확인되는 경우 상기 인증키를 로컬 호스트에 저장하고,
    상기 DHCP 서버는, 상기 인증키를 승인 아이디(ID), MAC 주소 및 승인 날짜와 매핑하여 데이터베이스에 저장하는 것인, DHCP 기반 보안 주소 정보 할당 방법.
  4. 제 3 항에 있어서,
    상기 인증키는, 토큰과 승인 ID의 조합으로부터 해시 함수에 의해 생성되고, 상기 승인 ID는 랜덤으로 부여되는 것인, DHCP 기반 보안 주소 정보 할당 방법.
  5. 제 1 항에 있어서,
    상기 DHCP 서버는, 상기 DHCP 클라이언트로부터 수신된 DHCP 메세지에 포함된 인증 해시를, 상기 DHCP 서버에 기 저장된 인증키, 토큰 및 해시키의 조합으로부터 해시 함수에 의해 생성된 기준 인증 해시와 비교하여 유효성을 확인하고,
    상기 DHCP 클라이언트는, 상기 DHCP 서버로부터 수신된 응답(Ack)에 포함된 허가 해시를, 상기 인증 해시 및 인증키의 조합으로부터 해시 함수에 의해 생성된 기준 허가 해시와 비교하여 유효성을 확인하는 것인, DHCP 기반 보안 주소 정보 할당 방법.
  6. 제 1 항에 있어서,
    상기 DHCP 클라이언트는, 상기 인증키가 로컬 호스트에 존재하지 않는 경우, 디스커버(Discover)를 반복적으로 발생시켜 상기 DHCP 서버로부터 인증키에 대한 오퍼(Offer)를 수신하도록 하는 것인, DHCP 기반 보안 주소 정보 할당 방법.
  7. 제 1 항에 있어서,
    상기 DHCP 서버는,
    상기 인증 해시가 포함되지 않은 DHCP 메세지를 수신하는 경우, 인증키가 발급된 DHCP 클라이언트인지를 조회하고, 상기 인증키가 발급되지 않은 DHCP 클라이언트인 경우, 상기 인증키를 발급하여 상기 DHCP 클라이언트에게 전송하고,
    상기 인증 해시가 포함된 DHCP 메세지를 수신하는 경우, 등록된 MAC 주소이고, 상기 인증 해시가 유효한 경우 상기 허가 해시를 생성하는 것인, DHCP 기반 보안 주소 정보 할당 방법.
  8. 제 1 항에 있어서,
    상기 DHCP 클라이언트로부터 주소를 요청하는 메세지(Req)를 수신하는 경우, 상기 수신에 대한 응답(Ack)을 상기 DHCP 클라이언트로 전송하여 주소를 할당받도록 하는 단계 이후에,
    상기 DHCP 클라이언트로부터 상기 할당된 주소의 임대시간을 연장하는 리뉴(Renew) 메세지를 수신하는 단계;
    상기 리뉴 메세지에 대하여 사용 연장을 위한 응답을 상기 DHCP 클라이언트로 전송하는 단계
    를 더 포함하는 것인, DHCP 기반 보안 주소 정보 할당 방법.
  9. 제 8 항에 있어서,
    상기 리뉴 메세지는 상기 인증 해시를 포함하고, 상기 사용 연장을 위한 응답은 상기 허가 해시를 포함하는 것인, DHCP 기반 보안 주소 정보 할당 방법.
KR1020170008479A 2017-01-18 2017-01-18 Dhcp 기반 보안 주소 할당 방법 KR101787404B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170008479A KR101787404B1 (ko) 2017-01-18 2017-01-18 Dhcp 기반 보안 주소 할당 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170008479A KR101787404B1 (ko) 2017-01-18 2017-01-18 Dhcp 기반 보안 주소 할당 방법

Publications (1)

Publication Number Publication Date
KR101787404B1 true KR101787404B1 (ko) 2017-10-19

Family

ID=60298369

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170008479A KR101787404B1 (ko) 2017-01-18 2017-01-18 Dhcp 기반 보안 주소 할당 방법

Country Status (1)

Country Link
KR (1) KR101787404B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11201910B2 (en) 2018-05-18 2021-12-14 Hanwha Techwin Co., Ltd. Network security system and method for operating same

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101683013B1 (ko) * 2015-08-17 2016-12-06 주식회사 케이티 Dhcp 옵션 60, 61 및 82를 이용한 ip 주소 할당 방법 및 이를 위한 시스템

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101683013B1 (ko) * 2015-08-17 2016-12-06 주식회사 케이티 Dhcp 옵션 60, 61 및 82를 이용한 ip 주소 할당 방법 및 이를 위한 시스템

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11201910B2 (en) 2018-05-18 2021-12-14 Hanwha Techwin Co., Ltd. Network security system and method for operating same

Similar Documents

Publication Publication Date Title
Lear et al. Manufacturer usage description specification
US8239549B2 (en) Dynamic host configuration protocol
KR101159355B1 (ko) 클라이언트 장치를 안전하게 준비하는 방법 및 시스템
US8214482B2 (en) Remote log repository with access policy
US8806565B2 (en) Secure network location awareness
KR101034938B1 (ko) IPv6 주소 및 접속정책 관리 시스템 및 방법
US8214537B2 (en) Domain name system using dynamic DNS and global address management method for dynamic DNS server
US20100122338A1 (en) Network system, dhcp server device, and dhcp client device
US20180198786A1 (en) Associating layer 2 and layer 3 sessions for access control
US9215234B2 (en) Security actions based on client identity databases
US20080134315A1 (en) Gateway, Network Configuration, And Method For Conrtolling Access To Web Server
US10341286B2 (en) Methods and systems for updating domain name service (DNS) resource records
JP7359477B2 (ja) ネットワークシステムおよび情報処理方法
US20170093868A1 (en) Device authentication to capillary gateway
Lear et al. Rfc 8520: Manufacturer usage description specification
US7558845B2 (en) Modifying a DHCP configuration for one system according to a request from another system
KR101787404B1 (ko) Dhcp 기반 보안 주소 할당 방법
KR20090014625A (ko) 사설 네트워크를 갖는 네트워크에서의 인증 시스템 및 방법
KR101096129B1 (ko) 호스트의 아이피 및 도메인 네임 할당방법
JP2013105250A (ja) アクセス回線特定・認証システム
KR101821794B1 (ko) 보안 ip 통신 서비스를 제공하기 위한 장치, 방법 및 통신 시스템
US20180220477A1 (en) Mobile communication system and pre-authentication filters
Ju et al. DHCP message authentication with an effective key management
KR20180099293A (ko) 신뢰 도메인간 통신 방법 및 이를 위한 게이트웨이
KR101156479B1 (ko) 사용자 인증 기반의 접속 주소 할당 시스템 및 방법

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant