KR101807700B1

KR101807700B1 - 근원지 주소 위／변조 패킷 탐지 및 차단을 위한 인증 방법 및 장치

Info

Publication number: KR101807700B1
Application number: KR1020110132070A
Authority: KR
Inventors: 이상우; 서동일
Original assignee: 한국전자통신연구원
Priority date: 2011-12-09
Filing date: 2011-12-09
Publication date: 2017-12-14
Also published as: KR20130065278A; US8966609B2; US20130152189A1

Abstract

본 발명은 근원지 주소 위/변조 패킷 탐지 및 차단을 위한 근원지 주소 검증 시스템에 있어서, 제3자의 개인 또는 도움 없이도 송신자가 수신자에게 자신이 정당한 주소를 가지고 있음을 보증할 수 있는 자가보증형 ID를 이용하여 패킷의 근원지에 대한 검증 수행이 가능하도록 하고, 네트워크 계층에서 원천적으로 패킷의 근원지 주소에 대한 위/변조 여부를 탐지하여 라우터에서 근원지 주소가 정상적인 패킷만 포워딩할 수 있도록 함으로써 분산서비스 거부 등의 악의적인 공격을 원천적으로 방어할 수 있도록 한다.

Description

근원지 주소 위／변조 패킷 탐지 및 차단을 위한 인증 방법 및 장치{AUTHENTICATION METHOD AND APPARATUS FOR DETECTION AND PREVENTION OF SOURCE SPOOFING PACKETS}

본 발명은 주소가 위조 또는 변조되는 패킷(packet)에 대한 탐지 및 차단에 관한 것으로, 특히 제3자의 개인 또는 도움 없이도 송신자가 수신자에게 자신이 정당한 주소를 가지고 있음을 보증할 수 있는 자가보증형 ID를 이용하여 패킷의 근원지에 대한 검증 수행이 가능하도록 하고, 네트워크 계층(network layer)에서 원천적으로 패킷의 근원지 주소에 대한 위/변조 여부를 탐지하여 라우터(router)에서 근원지 주소가 정상적인 패킷만 포워딩(forwarding)할 수 있도록 함으로써 분산서비스 거부 등의 악의적인 공격을 원천적으로 방어할 수 있도록 하는 근원지 주소 위/변조 패킷 탐지 및 차단을 위한 인증 방법 및 장치에 관한 것이다.

일반적으로, 현재의 TCP/IP에 기반한 인터넷은 악의적인 사용자가 임의로 근원지 및 목적지를 변경하는 보안 위협에 매우 취약하다. 특히, 분산서비스거부(distributed denial of service : DDoS) 공격의 근본적인 원인은 근원지 주소가 변경되는 패킷(packet)의 유통에 있다.

따라서, 근원지 주소 위조 패킷 탐지를 위한 다양한 대응 방법에 제안되었다. 대표적으로 통계적 기법을 이용한 탐지 방법 및 라우터(router)에서의 필터링 방법 등을 들 수 있다. 통계적 기법을 이용한 공격 탐지기법은 각 근원지 IP 주소별 나타나는 빈도수를 계산하고 이를 바탕으로 근원지 주소의 분포 모델을 만들어, 이 분포를 이용하여 패킷의 근원지 IP 주소가 공격 툴에 의해서 랜덤(random)하게 선택된 것인지 여부를 측정한다.

이는 실제 정상 트래픽(traffic)에서의 근원지 주소의 분포와 공격 트래픽의 근원지 주소의 분포가 다르다는 점을 이용하여 공격임을 탐지하는 구조를 갖는다. 마지막으로 라우터에서 네트워크 입출력단에서 유효하지 않은 근원지 주소를 갖는 패킷을 필터링하거나, 라우팅 테이블(routing table)을 기반으로 잘못된 인터페이스(interface)로 수신되는 패킷을 필터링하는 패킷 기반의 필터링 기법(Packet Filtering) 방법 등이 있다.

대한민국 공개특허번호 10-2011-59963호 공개일자 2011년 06월 08일에는 유해 트래픽 차단 장치 및 방법과 이를 이용한 유해 트래픽 차단 시스템에 관한 기술이 개시되어 있다.

그러나, 종래의 다양한 근원지 주소 위/변조 패킷 탐지 방법에도 불구하고, 근원지 주소 위/변조 패킷에 의한 분산 서비스 거부 공격은 여전히 발생하고 있는 상황이다. 이것의 근본적인 원인은 IP계층이 패킷의 포워딩(forwarding) 기능만 담당하고, 전달하는 패킷에 대한 근원지 주소 검증 기능이 없기 때문이다.

따라서, 본 발명은 제3자의 개인 또는 도움 없이도 송신자가 수신자에게 자신이 정당한 주소를 가지고 있음을 보증할 수 있는 자가보증형 ID를 이용하여 패킷의 근원지에 대한 검증 수행이 가능하도록 하고, 네트워크 계층에서 원천적으로 패킷의 근원지 주소에 대한 위/변조 여부를 탐지하여 라우터에서 근원지 주소가 정상적인 패킷만 포워딩할 수 있도록 함으로써 분산서비스 거부 등의 악의적인 공격을 원천적으로 방어할 수 있도록 하는 근원지 주소 위/변조 패킷 탐지 및 차단을 위한 인증 방법 및 장치을 제공하고자 한다.

상술한 본 발명은 근원지 주소 위/변조 패킷 탐지 및 차단을 위한 인증장치로서, 이전 노드 또는 사용자 호스트로부터 패킷을 수신하는 패킷 수신부와, 상기 수신된 패킷의 근원지 노드에 대한 자가보증형 ID를 생성하는 자가보증형 ID 생성부와, 상기 자가보증형 ID를 이용하여 상기 수신된 패킷의 근원지 주소의 위조 또는 변조 여부를 판별하는 자가보증형 ID 검증부와, 상기 근원지 주소의 위조 또는 변조 판별 결과 신뢰할 수 있는 근원지 노드를 기록한 화이트리스트 저장부와, 상기 근원지 주소의 위조 또는 변조 판별 결과 신뢰할 수 없는 근원지 노드를 기록한 블랙리스트 저장부와, 상기 자가보증형 ID 검증부를 통해 근원지가 검증된 패킷을 그 다음 네트워크 노드로 전송하는 패킷 송신부를 포함한다.

또한, 상기 자가보증형 ID 생성부는, 입력된 패킷의 근원지 주소를 개인키를 이용하여 서명시킨 디지털 서명값(Sign1)을 생성하고, 상기 디지털 서명값(Sign1)과 공개키를 해쉬한 결과를 자가보증형 ID로 생성하는 것을 특징으로 한다.

또한, 상기 자가보증형 ID 생성부는, 상기 자가보증형 ID의 길이가 해쉬 함수의 길이가 서로 같지 않은 경우, 랜덤수(R1)을 생성하고, 상기 근원지 주소와 공개키, 상기 랜덤수에 대해 해쉬한 결과인 중간값(T1)을 생성한 후, 상기 근원지 주소와 랜덤수를 개인키를 이용하여 서명시킨 디지털 서명값(Sign2)를 생성하고, 상기 디지털 서명값(Sign2)과 공개키를 해쉬한 결과를 자가보증형 ID로 생성하는 것을 특징으로 한다.

또한, 상기 자가보증형 ID 검증부는, 상기 패킷 수신부로부터 수신된 패킷의 자가보증형 ID를 수신하는 경우, 상기 자가보증형 ID가 신뢰할 수 있는 근원지 노드를 기록한 화이트리스트에 저장되어 있는지 검사하여, 상기 화이트리스트에 저장되어 있는 경우 상기 패킷을 상기 패킷 송신부로 전달하는 것을 특징으로 한다.

또한, 상기 자가보증형 ID 검증부는, 상기 패킷의 자가보증형 ID가 신뢰할 수 있는 근원지 노드를 기록한 화이트리스트에 저장되어 있지 않은 경우, 상기 자가보증형 ID에 대한 정당성 검증절차를 수행하고, 검증결과 비정상인 경우 상기 패킷의 근원지 노드를 블랙리스트에 저장한 후, 상기 패킷을 삭제시키는 것을 특징으로 한다.

또한, 상기 자가보증형 ID 검증부는, 상기 패킷의 자가보증형 ID가 신뢰할 수 있는 근원지 노드를 기록한 화이트리스트에 저장되어 있지 않은 경우, 상기 자가보증형 ID에 대한 정당성 검증절차를 수행하고, 검증결과 정상인 경우 상기 패킷의 근원지 노드를 화이트리스트에 저장한 후, 상기 패킷을 상기 패킷 송신부로 전달하는 것을 특징으로 한다.

또한, 본 발명은 근원지 주소 위/변조 패킷 탐지 및 차단을 위한 인증방법으로서, 이전 노드 또는 사용자 호스트로부터 패킷을 수신하는 단계와, 상기 수신된 패킷의 근원지 노드에 대한 자가보증형 ID를 생성하는 단계와, 상기 자가보증형 ID를 이용하여 상기 수신된 패킷의 근원지 주소의 위조 또는 변조 여부를 검증하는 단계와, 상기 근원지 주소의 위조 또는 변조 검증 결과 신뢰할 수 있는 근원지 노드를 화이트리스트에 저장하는 단계와, 상기 근원지 주소의 위조 또는 변조 검증 결과 신뢰할 수 없는 근원지 노드를 블랙리스트에 저장하는 단계와, 상기 자가보증형 ID에 대한 검증을 통해 근원지가 검증된 패킷을 그 다음 네트워크 노드로 전송하는 단계를 포함한다.

또한, 상기 자가보증형 ID를 생성하는 단계는, 입력된 패킷의 근원지 주소를 개인키를 이용하여 서명시킨 디지털 서명값(Sign1)을 생성하는 단계와, 상기 디지털 서명값(Sign1)과 공개키를 해쉬한 결과를 자가보증형 ID로 생성하는 단계를 포함하는 것을 특징으로 한다.

또한, 상기 자가보증형 ID를 생성하는 단계는, 상기 자가보증형 ID의 길이가 해쉬 함수의 길이가 서로 같지 않은 경우, 랜덤수(R1)을 생성하는 단계와, 상기 근원지 주소와 공개키, 상기 랜덤수에 대해 해쉬한 결과인 중간값(T1)을 생성하는 단계와, 상기 근원지 주소와 랜덤수를 개인키를 이용하여 서명시킨 디지털 서명값(Sign2)를 생성하는 단계와, 상기 디지털 서명값(Sign2)과 공개키를 해쉬한 결과를 자가보증형 ID로 생성하는 단계를 포함하는 것을 특징으로 한다.

또한, 상기 자가보증형 ID를 검증하는 단계는, 상기 패킷의 자가보증형 ID를 수신하는 경우, 상기 자가보증형 ID가 신뢰할 수 있는 근원지 노드를 기록한 화이트리스트에 저장되어 있는지 검사하는 단계와, 상기 자가보증형 ID가 신뢰할 수 있는 근원지 노드를 기록한 화이트리스트에 저장되어 있는 경우 상기 자가보증형 ID를 검증하는 단계를 포함하는 것을 특징으로 한다.

또한, 상기 패킷의 자가보증형 ID가 상기 화이트리스트에 저장되어 있지 않은 경우, 상기 자가보증형 ID에 대한 정당성 검증절차를 수행하는 단계와, 상기 검증결과 비정상인 경우 상기 패킷의 근원지 노드를 블랙리스트에 저장한 후, 상기 패킷을 삭제시키는 단계를 더 포함하는 것을 특징으로 한다.

또한, 상기 검증결과 정상인 경우 상기 패킷의 근원지 노드를 화이트리스트에 저장한 후, 상기 패킷을 상기 패킷 송신부로 전달하는 단계를 더 포함하는 것을 특징으로 한다.

본 발명은 근원지 주소 위/변조 패킷 탐지 및 차단을 위한 근원지 주소 검증 시스템에 있어서, 네트워크 계층에서 원천적으로 근원지 주소 위/변조 패킷을 탐지하여, 라우터에서 근원지 주소가 정상적인 패킷만 포워딩하도록 함으로써 분산서비스 거부 등의 악의적인 공격을 원천적으로 방어할 수 있도록 한다.

즉, 본 발명은 제3자의 개인 또는 도움 없이도 송신자가 수신자에게 자신이 정당한 주소를 가지고 있음을 보증할 수 있는 자가보증형 ID를 이용하여 패킷의 근원지에 대한 검증 수행이 가능하도록 하고, 네트워크 계층에서 원천적으로 패킷의 근원지 주소에 대한 위/변조 여부를 탐지하여 라우터에서 근원지 주소가 정상적인 패킷만 포워딩할 수 있도록 함으로써 분산서비스 거부 등의 악의적인 공격을 원천적으로 방어할 수 있도록 하는 이점이 있다.

또한, 본 발명의 시스템은 자가 보증형 ID를 생성하는 데 있어서, 자가 보증형 ID의 길이가 해쉬함수의 길이보다 짧은 경우에도, 제2의 해쉬값을 이용하여 안전성을 강화시키는 이점이 있다.

도 1은 본 발명의 실시예에 따른 근원지 주소 위/변조 패킷 탐지 및 차단을 위한 인증장치의 상세 블록 구성도,
도 2는 본 발명의 실시예에 따른 자가보증형 ID 생성 절차 흐름도,
도 3은 본 발명의 실시예에 따른 자가보증형 ID 검증 절차 흐름도,
도 4는 본 발명의 실시예에 따른 자가보증형 ID 정당성 검증 절차 흐름도,
도 5는 본 발명의 다른 실시예에 따른 자가보증형 ID 정당성 검증 절차 흐름도.

본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시 예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시 예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시 예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.

본 발명의 실시 예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명의 실시 예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.

첨부된 블록도의 각 블록과 흐름도의 각 단계의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수도 있다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 블록도의 각 블록 또는 흐름도 각 단계에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 블록도의 각 블록 및 흐름도의 각 단계에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.

또한, 각 블록 또는 각 단계는 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실시 예들에서는 블록들 또는 단계들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들 또는 단계들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들 또는 단계들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.

도 1은 본 발명의 실시 예에 따른 근원지 주소 위/변조 패킷 탐지 및 차단을 위한 인증장치(100)의 상세 블록 구성을 도시한 것으로, 인증장치(100)는 패킷 수신부(102), 자가보증형 ID 검증부(104), 화이트리스트 저장부(108), 블랙리스트 저장부(110), 자가보증형 ID 생성부(112), 패킷 송신부(106) 등을 포함한다.

이하, 도 1을 참조하여 본 발명의 인증장치 각 구성요소에서의 동작을 상세히 설명하기로 한다.

본 발명의 인증장치(100)는 자가보증형 ID를 이용한 패킷의 근원지를 검증하는 것이 핵심적인 기능으로, 자가보증형 ID는 제 3자의 개입 또는 도움 없이 송신자가 수신자에게 자신이 정당한 주소를 가지고 있음을 보증할 수 있는 식별자를 의미한다.

먼저, 패킷 수신부(102)는 이전 노드(node) 또는 사용자 호스트(host)로부터 패킷을 수신한다.

자가보증형 ID 검증부(104)는 수신된 패킷의 근원지 주소 위조 또는 변조 여부를 판별한다.

화이트리스트 저장부(108)는 상기한 근원지 주소 위조 또는 변조 판별 결과 신뢰할 수 있는 근원지 ID를 기록한다.

블랙리스트 저장부(110)는 상기한 근원지 주소 위조 또는 변조 판별 결과 신뢰할 수 없는 근원지 ID를 기록한다. 자가보증형 ID 생성부(112)는 상기한 자가보증형 ID를 생성한다.

패킷 송신부(106)는 상기한 근원지 주소 위조 또는 변조 판별 결과 근원지를 검증한 패킷을 그 다음 네트워크 노드로 전송한다.

도 2는 본 발명의 실시예에 따른 자가보증형 ID 생성부(112)에서 자가보증형 ID를 생성하는 동작 제어 흐름을 도시한 것이다.

자가보증형 ID는 개념적으로 해당 노드의 공개키 및 위치 정보 즉 주소 정보의 해쉬값으로 생성된다. 여기서 사용되는 해쉬알고리즘은 SHA1, MD5등의 암호학적 해쉬 함수가 사용된다. 자가보증형 ID의 길이가 해쉬함수의 출력길이보다 짧은 경우에는 보안성을 높이기 위하여 추가적인 단계가 필요하게 된다.

도 2의 과정에서 사용되는 기호는 다음과 같이 정의될 수 있다.

Loc는 노드의 네트워크 상의 위치를 표현하는 주소를 의미한다. Sign은 공개키 암호 알고리즘을 이용한 디지털 서명 값이다. K_prv는 공개키 암호 알고리즘에서 개인키를 의미한다. 디지털 서명 생성시 사용된다. K_pub는 공개키 암호 알고리즘에서 공개키를 의미한다. 디지털 서명 검증 시 사용된다.

R1은 랜덤 수이다. T1은 자가보증형 ID의 길이가 해쉬 출력 길이보다 작을 때 계산되는 중간값이다. R2는 T1값의 최상위비트로부터의 비트 수를 의미한다. Hash는 암호학적 해쉬 함수(예: SHA-1, MD5 등)를 의미한다.

이하, 도 1 및 도 2를 참조하여 본 발명의 실시예를 상세히 설명하기로 한다.

먼저, 자가보증형 ID 생성부(112)는 근원지 비검증 패킷이 입력되는 경우 해당 패킷에 대한 자가보증형 ID의 길이(Loc)와 해쉬 함수의 출력 길이(Sign2로부터 검출한 Loc)가 같은지를 비교한다(S200).

이때, 자가보증형 ID의 길이와 해쉬 함수의 출력 길이가 같은 경우 자가보증형 ID 생성부(112)는 입력된 패킷의 네트워크 상의 주소(Loc)와 개인키(K_prv)를 이용하여 서명한 디지털 서명값(Sign1)을 생성한다(S202). 이어, 디지털 서명값(Sign1)과 공개키(K_pub)를 해쉬한 결과인 Hash1을 생성하고(S204), 디지털 서명값(Sign1)과 Hash1을 연접연산하여 자가보증형 ID를 생성한다(S206).

그러나, 자가보증형 ID의 길이가 해쉬함수의 출력 길이보다 짧은 경우, 자가보증형 ID 생성부(112)는 랜덤수 R1을 생성한다(S208).

이어, 공개키(K_pub)와 Loc, 및 상기한 R1을 연접한 값의 해쉬한 결과인 T1을 생성한다(S210).

이어, T1중에서 최상위비트로부터 R2비트까지의 값이 0인지 여부를 검사하고(S212), T1중에서 최상위비트로부터 R2비트까지의 값이 0이 아니면, R1을 1 증가 시키고(S214), (S210)∼(S214)단계를 반복한다.

그러나, T1중에서 최상위비트로부터 R2비트까지의 값이 0이면, Loc와 R1을, 개인키(K_prv)를 이용하여 서명한 디지털 서명값 Sign2를 생성한다(S216).

이어, 디지털 서명값 Sign2와 공개키(K_pub)를 해쉬한 결과인 Hash2를 생성하고(S218), 디지털 서명값 Sign2와 Hash2를 연접연산하여 자가보증형 ID를 생성한다(S220).

도 3은 본 발명의 실시예에 따른 자가보증형 ID 검증부(104)에서 자가보증형 ID를 검증하는 동작 제어 흐름을 도시한 것이다. 이하, 도 1 및 도 3을 참조하여 본 발명의 실시예를 상세히 설명하기로 한다.

먼저, 패킷 근원지 주소 검증 장치에 패킷이 유입되면 패킷 수신부(102)에서 패킷의 자가보증형 ID를 자가보증형 ID검증부(104)로 전달한다.

그러면, 자가보증형 ID 검증부(104)는 패킷의 입력을 인식하고(S300), 해당 패킷의 자가보증형 ID에 대한 근원지 주소를 추출하여 해당 근원지 주소가 신뢰할 수 있는 근원지 노드를 기록한 화이트리스트 저장부(108)에 저장되어 있는지를 검사한다(S302).

이때, 상기한 패킷의 자가보증형 ID에 대한 근원지 주소 위/변조 판별 결과 신뢰할 수 있는 근원지 노드를 기록한 화이트리스트 저장부(108)에 저장되어 있으면, 패킷 송신부(106)를 통하여 다음 노드로 패킷을 전달한다(S304).

그러나, 상기한 패킷의 자가보증형 ID에 대한 근원지 주소 위/변조 판별 결과 신뢰할 수 있는 근원지 노드를 기록한 화이트리스트 저장부(108)에 저장되어 있지 않으면(S302), 자가 보증형 ID가 정당하게 생성되었는지를 판별하는 자가보증형 ID 정당성 검증 절차를 수행한다(S306).

이때 자가보증형 ID 정당성 검증결과, 입력된 패킷의 자가보증형 ID가 정당하게 생성된 것으로 검증되는 경우, 자가보증형 ID 검증부(104)는 패킷의 근원지 노드를 화이트리스트 저장부(108)에 저장하고(S308), 다음 노드로 패킷을 전달한다(S310).

그러나, 자가보증형 ID 정당성 검증결과, 입력된 패킷의 자가보증형 ID가 정당하게 생성된 것이 아닌 것으로 검증되는 경우, 패킷의 근원지 노드를 블랙리스트 저장부(110)에 저장하고(S312), 상기한 패킷을 삭제한다(S314).

도 4는 본 발명의 실시예에 따른 자가보증형 ID의 길이가 해쉬 함수의 출력 길이와 같은 경우에 있어서, 도 3에서의 자가보증형 ID 정당성 검증 절차를 보다 상세히 도시한 것이다. 이하, 도 1, 도 3 및 도 4를 참조하여 본 발명의 실시예를 상세히 설명하기로 한다.

먼저, 자가보증형 ID 검증부(104)는 공개키(K_pub)를 이용하여 디지털 서명값인 Sign1값을 서명을 검증한 결과, 계산되어진 Loc값과 패킷의 근원지 주소에 기록되어진 Loc 값이 같은지를 판별함으로써(S400), Sign1의 정당성을 검증하고, 그 결과가 비정상이면, 자기보증형 ID 검증 실패를 출력하고(S402), 종료한다.

그러나, 공개키(K_pub)를 이용하여 디지털 서명값인 Sign1값을 서명을 검증한 결과, 계산되어진 Loc값과 패킷의 근원지 주소에 기록되어진 Loc 값이 같은 경우에는 공개키(K_pub)와 디지털 서명값 Sign1을 이용하여 Hash1을 계산하고, 계산된 Hash1과 수신한 Hash1과 일치하는지를 검사한다(S404).

이때, 계산된 Hash1과 수신한 Hash1과 일치하는 경우에는, 자가보증형 ID 검증 성공을 출력하고(S406), 그렇지 않으면 자가보증형 ID 검증 실패를 출력하고(S402) 종료한다.

도 5는 본 발명의 실시예에 따른 자가보증형 ID의 길이가 해쉬함수의 출력 길이보다 짧은 경우에 있어서, 도 3에서의 자가보증형 ID 정당성 검증 절차를 보다 상세히 도시한 것이다.

자가보증형 ID 검증부(104)는 공개키(K_pub)를 이용하여 디지털 서명값인 Sign2값을 서명을 검증한 결과, 계산되어진 Loc값과 패킷의 근원지 주소에 기록되어진 Loc 값이 같은지를 판별함으로써(S500), Sign2의 정당성을 검증하고, 그 결과가 비정상이면, 자가보증형 ID 검증 실패를 출력하고(S502) 종료한다.

이어, 자가보증형 ID 검증부(104)는 공개키(K_pub), Loc, R1 값을 이용하여 해쉬값 T1을 생성하고(S504), 생성된 T1중에서 최상위 비트로부터 R2비트까지의 값이 0인지를 검사하고(S506), T1중에서 최상위 비트로부터 R2비트까지의 값이 0이 아니면, 자가보증형 ID 검증 실패를 출력하고(S502) 종료하다.

그러나, T1중에서 최상위 비트로부터 R2비트까지의 값이 0인 경우, 자가보증형 ID 검증부(104)는 공개키(K_pub)와 Sign2을 이용하여 Hash2을 계산하고, 계산된 Hash2와 수신한 Hash2과 일치하는지를 검사한다(S508).

이때, 계산된 Hash2와 수신한 Hash2과 일치하는 경우, 자가보증형 ID 검증 성공을 출력하고(S510), 그렇지 않으면 자가보증형 ID 검증 실패를 출력하고(S502) 종료한다.

상기한 바와 같이, 본 발명은 근원지 주소 위/변조 패킷 탐지 및 차단을 위한 근원지 주소 검증 시스템에 있어서, 네트워크 계층에서 원천적으로 근원지 주소 위/변조 패킷을 탐지하여, 라우터에서 근원지 주소가 정상적인 패킷만 포워딩하도록 함으로써 분산서비스 거부 등의 악의적인 공격을 원천적으로 방어할 수 있도록 한다. 즉, 본 발명은 제3자의 개인 또는 도움 없이도 송신자가 수신자에게 자신이 정당한 주소를 가지고 있음을 보증할 수 있는 자가보증형 ID를 이용하여 패킷의 근원지에 대한 검증 수행이 가능하도록 하고, 네트워크 계층에서 원천적으로 패킷의 근원지 주소에 대한 위/변조 여부를 탐지하여 라우터에서 근원지 주소가 정상적인 패킷만 포워딩할 수 있도록 함으로써 분산서비스 거부 등의 악의적인 공격을 원천적으로 방어할 수 있도록 한다.

한편 상술한 본 발명의 설명에서는 구체적인 실시예에 관해 설명하였으나, 여러 가지 변형이 본 발명의 범위에서 벗어나지 않고 실시될 수 있다. 따라서 발명의 범위는 설명된 실시 예에 의하여 정할 것이 아니고 특허청구범위에 의해 정하여져야 한다.

102 : 패킷 수신부 104 : 자가보증형 ID 검증부
106 : 패킷 송신부 108 : 화이트리스트 저장부
110 : 블랙리스트 저장부 112 : 자가보증형 ID 생성부

Claims

이전 노드 또는 사용자 호스트로부터 패킷을 수신하는 패킷 수신부와,
상기 수신된 패킷의 근원지 노드에 대한 자가보증형 ID를 생성하는 자가보증형 ID 생성부와,
상기 자가보증형 ID를 이용하여 상기 수신된 패킷의 근원지 주소의 위조 또는 변조 여부를 판별하는 자가보증형 ID 검증부와,
상기 근원지 주소의 위조 또는 변조 판별 결과 신뢰할 수 있는 근원지 노드를 기록한 화이트리스트 저장부와,
상기 근원지 주소의 위조 또는 변조 판별 결과 신뢰할 수 없는 근원지 노드를 기록한 블랙리스트 저장부와,
상기 자가보증형 ID 검증부를 통해 근원지가 검증된 패킷을 그 다음 네트워크 노드로 전송하는 패킷 송신부
를 포함하고,
상기 자가보증형 ID 생성부는,
입력된 패킷의 근원지 주소를 개인키를 이용하여 서명시킨 디지털 서명값(Sign1)을 생성하고, 상기 디지털 서명값(Sign1)과 공개키를 해쉬한 결과를 자가보증형 ID로 생성하는 근원지 주소 위/변조 패킷 탐지 및 차단을 위한 인증 장치.
삭제
제 1 항에 있어서,
상기 자가보증형 ID 생성부는,
상기 자가보증형 ID의 길이가 해쉬 함수의 길이가 서로 같지 않은 경우, 랜덤수(R1)을 생성하고, 상기 근원지 주소와 공개키, 상기 랜덤수에 대해 해쉬한 결과인 중간값(T1)을 생성한 후, 상기 근원지 주소와 랜덤수를 개인키를 이용하여 서명시킨 디지털 서명값(Sign2)를 생성하고, 상기 디지털 서명값(Sign2)과 공개키를 해쉬한 결과를 자가보증형 ID로 생성하는 근원지 주소 위/변조 패킷 탐지 및 차단을 위한 인증 장치.
제 1 항에 있어서,
상기 자가보증형 ID 검증부는,
상기 패킷 수신부로부터 수신된 패킷의 자가보증형 ID를 수신하는 경우, 상기 자가보증형 ID가 신뢰할 수 있는 근원지 노드를 기록한 화이트리스트에 저장되어 있는지 검사하여, 상기 화이트리스트에 저장되어 있는 경우 상기 패킷을 상기 패킷 송신부로 전달하는 근원지 주소 위/변조 패킷 탐지 및 차단을 위한 인증 장치.
제 4 항에 있어서,
상기 자가보증형 ID 검증부는,
상기 패킷의 자가보증형 ID가 신뢰할 수 있는 근원지 노드를 기록한 화이트리스트에 저장되어 있지 않은 경우, 상기 자가보증형 ID에 대한 정당성 검증절차를 수행하고, 검증결과 비정상인 경우 상기 패킷의 근원지 노드를 블랙리스트에 저장한 후, 상기 패킷을 삭제시키는 근원지 주소 위/변조 패킷 탐지 및 차단을 위한 인증 장치.
제 5 항에 있어서,
상기 자가보증형 ID 검증부는,
상기 패킷의 자가보증형 ID가 신뢰할 수 있는 근원지 노드를 기록한 화이트리스트에 저장되어 있지 않은 경우, 상기 자가보증형 ID에 대한 정당성 검증절차를 수행하고, 검증결과 정상인 경우 상기 패킷의 근원지 노드를 화이트리스트에 저장한 후, 상기 패킷을 상기 패킷 송신부로 전달하는 근원지 주소 위/변조 패킷 탐지 및 차단을 위한 인증 장치.
이전 노드 또는 사용자 호스트로부터 패킷을 수신하는 단계와,
상기 수신된 패킷의 근원지 노드에 대한 자가보증형 ID를 생성하는 단계와,
상기 자가보증형 ID를 이용하여 상기 수신된 패킷의 근원지 주소의 위조 또는 변조 여부를 검증하는 단계와,
상기 근원지 주소의 위조 또는 변조 검증 결과 신뢰할 수 있는 근원지 노드를 화이트리스트에 저장하는 단계와,
상기 근원지 주소의 위조 또는 변조 검증 결과 신뢰할 수 없는 근원지 노드를 블랙리스트에 저장하는 단계와,
상기 자가보증형 ID에 대한 검증을 통해 근원지가 검증된 패킷을 그 다음 네트워크 노드로 전송하는 단계
를 포함하고,
상기 자가보증형 ID를 생성하는 단계는,
입력된 패킷의 근원지 주소를 개인키를 이용하여 서명시킨 디지털 서명값(Sign1)을 생성하는 단계와,
상기 디지털 서명값(Sign1)과 공개키를 해쉬한 결과를 자가보증형 ID로 생성하는 단계
를 포함하는 근원지 주소 위/변조 패킷 탐지 및 차단을 위한 인증 방법.
삭제
제 7 항에 있어서,
상기 자가보증형 ID를 생성하는 단계는,
상기 자가보증형 ID의 길이가 해쉬 함수의 길이가 서로 같지 않은 경우, 랜덤수(R1)을 생성하는 단계와,
상기 근원지 주소와 공개키, 상기 랜덤수에 대해 해쉬한 결과인 중간값(T1)을 생성하는 단계와,
상기 근원지 주소와 랜덤수를 개인키를 이용하여 서명시킨 디지털 서명값(Sign2)를 생성하는 단계와,
상기 디지털 서명값(Sign2)과 공개키를 해쉬한 결과를 자가보증형 ID로 생성하는 단계
를 포함하는 근원지 주소 위/변조 패킷 탐지 및 차단을 위한 인증 방법.
제 7 항에 있어서,
상기 자가보증형 ID를 검증하는 단계는,
상기 패킷의 자가보증형 ID를 수신하는 경우, 상기 자가보증형 ID가 신뢰할 수 있는 근원지 노드를 기록한 화이트리스트에 저장되어 있는지 검사하는 단계와,
상기 자가보증형 ID가 신뢰할 수 있는 근원지 노드를 기록한 화이트리스트에 저장되어 있는 경우 상기 자가보증형 ID를 검증하는 단계
를 포함하는 근원지 주소 위/변조 패킷 탐지 및 차단을 위한 인증 방법.
제 10 항에 있어서,
상기 패킷의 자가보증형 ID가 상기 화이트리스트에 저장되어 있지 않은 경우, 상기 자가보증형 ID에 대한 정당성 검증절차를 수행하는 단계와,
상기 검증결과 비정상인 경우 상기 패킷의 근원지 노드를 블랙리스트에 저장한 후, 상기 패킷을 삭제시키는 단계
를 더 포함하는 근원지 주소 위/변조 패킷 탐지 및 차단을 위한 인증 방법.
제 11 항에 있어서,
상기 검증결과 정상인 경우 상기 패킷의 근원지 노드를 화이트리스트에 저장한 후, 상기 패킷을 다음 노드로 전달하는 단계
를 더 포함하는 근원지 주소 위/변조 패킷 탐지 및 차단을 위한 인증 방법.