KR20060117808A - Method for prevention against reflection attack in mobile ipv6 environment - Google Patents
Method for prevention against reflection attack in mobile ipv6 environment Download PDFInfo
- Publication number
- KR20060117808A KR20060117808A KR1020050040355A KR20050040355A KR20060117808A KR 20060117808 A KR20060117808 A KR 20060117808A KR 1020050040355 A KR1020050040355 A KR 1020050040355A KR 20050040355 A KR20050040355 A KR 20050040355A KR 20060117808 A KR20060117808 A KR 20060117808A
- Authority
- KR
- South Korea
- Prior art keywords
- mobile host
- message
- mobile
- node
- address
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/04—Network layer protocols, e.g. mobile IP [Internet Protocol]
- H04W80/045—Network layer protocols, e.g. mobile IP [Internet Protocol] involving different protocol versions, e.g. MIPv4 and MIPv6
Abstract
Description
도 1은 종래기술에 따른 모바일 인터넷 프로토콜 기반의 네트워크에서 반사 공격이 발생하는 경우를 보이는 도면,1 is a diagram showing a case in which a reflex attack occurs in a mobile Internet protocol based network according to the prior art;
도 2는 본 발명의 실시 예에 따른 모바일 인터넷 프로토콜 기반의 네트워크에서 이동 호스트의 반사 공격 방지 방법을 도시하는 도면, 2 is a diagram illustrating a method for preventing a reflection attack of a mobile host in a mobile Internet protocol based network according to an embodiment of the present invention;
도 3은 본 발명의 실시 예에 따른 모바일 인터넷 프로토콜 기반의 네트워크에서 상대 노드의 반사 공격 방지 방법을 도시하는 도면,3 is a diagram illustrating a method of preventing a reflex attack of a counterpart node in a mobile Internet protocol based network according to an embodiment of the present invention;
도 4는 본 발명의 실시 예에 따른 모바일 인터넷 프로토콜 기반의 네트워크에서 반사 공격 방지를 위한 전반적인 동작 과정을 보이는 도면,4 is a view showing the overall operation of the anti-reflection attack in the mobile Internet protocol based network according to an embodiment of the present invention,
도 5는 질의 메시지 및 응답 메시지의 포맷을 도시하는 도면, 및5 shows the format of a query message and a response message; and
도 6은 바인딩 갱신 통보 메시지의 포맷을 도시하는 도면.6 is a diagram illustrating a format of a binding update notification message.
본 발명은 모바일 인터넷 프로토콜 버전 6(Mobile Internet Protocol Version 6 : MIPv6)기반의 네트워크에 관한 것으로서, 특히 모바일 인터넷 프로토콜 버전 6 기반의 네트워크에서 반사 공격 방지 방법에 관한 것이다. The present invention relates to a mobile internet protocol version 6 (MIPv6) based network, and more particularly to a method for preventing reflex attacks in a mobile internet protocol version 6 based network.
인터넷 사용자들은 언제 어디서나 고품질의 인터넷 서비스를 사용하기를 바라고 있으며, 특히 휴대용 컴퓨터나 핸드폰, PDA와 같은 이동 단말기들의 성능 향상과 무선 통신 기술의 발전으로 이동 호스트를 아용하는 사용자 수가 크게 증가하고 있다. 이에 따라 상기 이동 호스트를 이용한 서비스에 대한 관심이 증가하고 있다. Internet users want to use high-quality Internet services anytime and anywhere. Especially, the number of users who use mobile hosts is increasing due to the improvement of the performance of mobile terminals such as portable computers, mobile phones and PDAs and the development of wireless communication technology. Accordingly, interest in services using the mobile host is increasing.
인터넷 주소 체계인 IP 주소는 네트워크 식별자 필드와 호스트 식별자 필드로 구성된다. 네트워크 식별자 필드는 네트워크, 즉 망을 구분하기 위한 부분이고, 호스트 식별자 필드는 한 네트워크 내에서 호스트를 구분하기 위한 부분이다. 이동 단말기가 다른 망으로 이동하면 네트워크 식별자가 달라지고 따라서 이동 단말기의 IP 주소가 달라지게 된다. IP 계층에서 패킷들은 목적지 주소의 네트워크 식별자에 따라 라우팅되기 때문에 이동 단말이 다른 네트워크로 이동한 경우에는 패킷을 받을 수 없다. 여기서, 상기 이동 단말이 다른 망에서도 통신을 계속하고 싶다면 망을 옮길 때마다 그 망의 네트워크 식별자를 갖도록 IP 주소를 바꾸어 주어야 하는데, 이렇게 할 경우에 TCP 연결 등의 상위계층 연결이 보장되지 않는다. 따라서 기존의 주소를 그대로 유지하면서 통신을 가능하기 하기 위해 이동성을 보장할 수 있는 프로토콜이 필수적이다.An IP address, an Internet address system, consists of a network identifier field and a host identifier field. The network identifier field is a part for identifying a network, that is, a network, and the host identifier field is a part for identifying a host in a network. When the mobile terminal moves to another network, the network identifier is changed and therefore the IP address of the mobile terminal is changed. In the IP layer, packets are routed according to the network identifier of the destination address, so that the mobile terminal cannot receive the packet when the mobile terminal moves to another network. In this case, if the mobile terminal wants to continue communication in another network, the IP address should be changed to have the network identifier of the network every time the network is moved. In this case, the upper layer connection such as the TCP connection is not guaranteed. Therefore, a protocol that can guarantee mobility is essential in order to enable communication while maintaining an existing address.
대표적인 이동성 지원 프로토콜인 모바일 아이피(Mobile IP) 프로토콜은 데 이터 전송에 있어서 기존 보유 아이피의 변경이나 접속의 끊김없이 데이터를 제공하는 효과가 있으며, 사용하는 IP(Internet Protocol)의 버전에 따라 모바일 인터넷 프로토콜 버전 4(Mobile IPv4)와 모바일 인터넷 프로토콜 버전 6(Mobile IP version 6 : MIPv6)등으로 나뉜다. 하지만, 지금과 같은 무선 인터넷 사용자의 증가추세에서 기존의 인터넷 프로토콜 버전 4(IPv4)의 주소체계로는 늘어나는 IP 주소 요구량을 충족시킬 수 없으므로, 현재 차세대 인터넷 프로토콜로 주목받고 있는 인터넷 프로토콜 버전 6(IPv6)을 이용하여 이동성을 제공하고자 하는 연구가 활발히 진행되고 있다. Mobile IP protocol, a typical mobility support protocol, has the effect of providing data without any change of existing IP or disconnection in data transmission, and depending on the version of IP (Internet Protocol) used, mobile Internet protocol It is divided into Version 4 (Mobile IPv4) and Mobile Internet Protocol Version 6 (MIPv6). However, in the current trend of increasing wireless Internet users, the existing Internet protocol version 4 (IPv4) addressing system cannot meet the increasing IP address requirements. There is an active research to provide mobility using).
모바일 인터넷 프로토콜 버전 6기반의 네트워크에서 이동 호스트(Mobile Node : MN)는 움직이는 지역에 상관없이 사용하는 홈 주소(Home Address)와 한 홈 망에서 외부 망으로 이동시 현재 위치한 서브넷에서 획득하는 의탁주소(Care-Of Address : 이하 CoA라 칭함)를 사용한다. 상기 이동 호스트는 외부의 한 서브넷에서 다른 서브넷으로 이동할 때도 새로운 서브넷으로부터 새로운 의탁주소를 획득할 수 있다. 이때, 상기 이동 호스트는 홈 주소(Home Address : 이하 HoA라 칭함)와 상기 의탁주소(CoA)를 바인딩(binding)하여 자신이 통신하고 있는 상대 노드(Corresponding Node : CN)와 홈 망의 홈 에이전트(Home Agent)로 전송한다. 여기서, 상기 상대 노드와 홈 망의 홈 에이전트는 바인딩 캐쉬(Binding Cache)에 상기 홈 주소와 상기 의탁주소 쌍으로 이루어진 바인딩을 등록하고, 이동 호스트의 바인딩 엔트리(Binding Entry)가 종료될 때까지 서비스를 계속 한다. In the mobile internet protocol version 6 based network, the mobile node (MN) is the home address used regardless of the moving region and the care address obtained from the subnet where it is currently located when moving from one home network to an external network. -Of Address: (hereinafter referred to as CoA). The mobile host may obtain a new care-of address from the new subnet even when moving from one external subnet to another. At this time, the mobile host binds a home address (hereinafter referred to as HoA) and the care-of address (CoA) to a correspondent node (Corresponding Node: CN) with which it communicates with a home agent of a home network ( Home Agent). Here, the home agent of the partner node and the home network registers the binding composed of the home address and the care-of address pair in a binding cache, and services the service until the binding entry of the mobile host is terminated. Continue.
도 1은 종래기술에 따른 인터넷 프로토콜 버전 6 기반의 네트워크에서 반사 공격이 발생하는 경우를 설명하고 있다. 여기서, 이동 호스트(Mobile Node : MN)(11)는 자신의 망 접속위치를 바꾸는 호스트이고, 상기 상대 노드(Correspondent Node : CN)(15)는 상기 이동 호스트와 통신하는 호스트이다. 만약, 상기 상대 노드(15)가 다른 망으로 이동한 이동 호스트(11)로 전송하고자 하는 패킷이 있을 경우, 상기 상대 노드(15)는 상기 패킷의 목적지를 상기 이동 호스트(11)의 의탁주소(CoA)로 설정하고 상기 이동 호스트(11)로 상기 패킷을 전송할 수 있다. 상기 홈 에이전트(13)는 이동 호스트의 홈 망에 있는 라우터로, 이동 호스트의 등록 정보를 가지고 있어 이동 호스트가 홈 망을 떠나 있을 경우 이동 호스트의 현재 위치로 데이터그램을 보내주는 역할을 한다.1 illustrates a case in which a reflex attack occurs in an Internet protocol version 6 based network according to the prior art. Here, the mobile node (MN) 11 is a host that changes its network connection position, and the correspondent node (CN) 15 is a host that communicates with the mobile host. If there is a packet to be transmitted to the
도 1을 참조하면, 새로운 위치로 이동한 상기 이동 호스트(11)는 자신의 의탁주소를 알리기 위해 101 및 105단계에서 상기 상대 노드(15)와 상기 홈 에이전트(13)에 바인딩 갱신(Binding Update)을 수행한다. 이때, 상기 상대 노드(15)와 상기 홈 에이전트(13)는 103 및 107단계에서 데이터베이스 즉, 바인딩 캐쉬에 상기 이동 호스트에 관련된 바인딩 정보를 기록한다. Referring to FIG. 1, the
이때, 상기 이동 호스트(11)의 홈 주소(Home Address)와 상대 노드(15)의 주소를 알고 있는 공격자(attacker)(17)는 109단계에서 상대 노드로 전송되는 패킷의 홈 어드레스 옵션에 상기 이동 호스트의 홈 주소(HoA)를 기록하여 상기 상대 노드(15)로 서비스 요청 메시지를 전송할 수 있다. 여기서, 상기 서비스 요청 메시지에는 소스 주소(Source Address), 목적지 주소(Destination Adress), 원래의 홈 주소를 알려주기 위한 홈 어드레스 옵션(Home Address Option)등이 포함될 수 있다. 즉 , 상기 공격자(attacker)(17)는 109단계에서 상기 목적지 주소(Destination Adress)가 상대 노드(15)이고, 홈 어드레스 옵션(Home Address Option)이 상기 이동 호스트(11)의 홈 주소(HoA)인 서비스 요청 메시지를 상기 상대 노드(15)로 전송할 수 있다.At this time, the
여기서, 상기 공격자(17)가 상기 소스 주소(Source Address)에 상기 이동 호스트(11)의 의탁주소를 사용하여 데이터 전송 요청 메시지를 보냈다면, 상기 메시지를 수신한 상대 노드(15)는 111단계에서 자신의 바인딩 캐쉬(binding cache)를 검색하여 상기 이동 호스트(11)의 해당 홈 주소에 대한 의탁주소가 등록되어 있음을 확인한다. 이후, 상기 상대 노드(15)는 113단계로 진행하여 상기 서비스 요청에 대한 응답으로 데이터를 상기 이동 호스트로 전송하고, 이로써 상기 이동 호스트는 원치 않은 다량의 트래픽을 수신할 수 있다. 예를 들어, 상기 공격자(17)가 비디오 스트리밍 서비스를 전송해줄 것을 요청했다면, 상기 이동 호스트는 다량의 패킷으로 인한 공격에 노출될 위험이 있다. 이와같이 공격자가 이전에 전송된 메시지를 송신자에게 되돌려 보내는 것과 관련된 공격을 반사 공격(reflection attack)이라 하고, 본 발명에서는 홈 어드레스 옵션을 활용하여 상대노드가 이동 호스트에게 원치 않는 패킷을 전송하게 만드는 것과 관련된 공격을 반사 공격이라 한다. Here, if the
만약, 상기 공격자(17)가 상기 소스 주소(Source Address)에 자신의 주소, 예를 들어, B를 기록하여 상기 요청 메시지를 보냈다면, 상기 메시지를 수신한 상대 노드(15)는 111단계에서 자신의 바인딩 캐쉬(binding cache)를 검색하여 상기 이동 호스트(11)의 해당 홈 주소에 대한 의탁주소로 B가 등록되어 있지 않음을 확 인하고, 상기 서비스 요청 메시지를 폐기할 수 있다. 하지만, 이런 경우에 실제로 새로운 위치로 이동한 이동 호스트(11)가 전송한 패킷이 공격자로부터의 패킷으로 오인되어 손실될 수 있는 문제점이 있다. 또한, 상기 상대 노드(15)는 상기 홈 에이전트(13)을 통해 상기 이동 호스트(11)로 바인딩 갱신을 유도할 수 있지만, 이 방법 역시 반사 공격에 노출되는 것을 방지할 수 있는 방법은 아니다.If the
따라서, 본 발명의 목적은 모바일 인터넷 프로토콜 버전 6 기반의 네트워크에서 반사 공격 방지 방법을 제공함에 있다.Accordingly, an object of the present invention is to provide a method for preventing reflection attacks in a mobile Internet protocol version 6 based network.
본 발명의 또 다른 목적은 상대 노드가 서비스 요청 메시지 수신시 공격자와 이동 호스트를 구별하기 위한 방법을 제공함에 있다. It is still another object of the present invention to provide a method for a counterpart node to distinguish an attacker from a mobile host when receiving a service request message.
본 발명의 또 다른 목적은 상대 노드가 공격자의 공격 가능성 감지시 이동 호스트에게 통보하여 상기 공격자로부터 이동 호스트를 보호하기 위한 방법을 제공함에 있다. It is still another object of the present invention to provide a method for protecting a mobile host from an attacker by notifying the mobile host when an opponent node detects an attacker's possibility of attack.
상기 목적들을 달성하기 위한 본 발명의 제 1견지에 따르면, 모바일 인터넷 프로토콜 버전 6 기반의 네트워크에서 반사 공격 방지 방법은, 상대 노드가 이동 호스트로부터 서비스 요청 메시지 수신시, 서비스 요청 여부에 대한 질의 메시지를 생성하고 상기 이동 호스트로 전송하는 과정과, 상기 질의 메시지를 수신한 상기 이동 호스트가 응답 메시지를 생성하고 상기 상대 노드로 전송하는 과정과, 상기 상대 노드가 상기 이동 호스트로부터 응답 메시지를 수신하는 과정을 포함하는 것 을 특징으로 한다. According to a first aspect of the present invention for achieving the above object, the anti-reflection attack method in a mobile Internet protocol version 6-based network, when the partner node receives a service request message from the mobile host, the query message for the service request; Generating and transmitting the response message to the mobile host, generating and sending a response message to the counterpart node, and receiving the response message from the mobile host; It is characterized by including.
이하 본 발명의 바람직한 실시 예를 첨부된 도면의 참조와 함께 상세히 설명한다. 그리고, 본 발명을 설명함에 있어서, 관련된 공지기능 혹은 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단 된 경우 그 상세한 설명은 생략한다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings. In describing the present invention, when it is determined that a detailed description of a related known function or configuration may unnecessarily obscure the subject matter of the present invention, the detailed description thereof will be omitted.
도 2는 본 발명의 실시 예에 따른 모바일 인터넷 프로토콜 기반의 네트워크에서 이동 호스트의 반사 공격 방지 방법을 도시하고 있다. 2 illustrates a method for preventing a reflection attack of a mobile host in a mobile Internet protocol based network according to an exemplary embodiment of the present invention.
도 2를 참조하면, 상기 이동 호스트는 201단계에서 데이터 전송 서비스를 요청했는지에 대한 질의 메시지를 상대 노드로부터 수신한다. 여기서, 상기 질의 메시지는 질의 비트(Query bit)가 1로 설정된 메시지로, 도 5와 같은 포맷을 가진다. 여기서, 상기 질의 메시지에 대한 포맷은 차후 자세히 언급하도록 한다. Referring to FIG. 2, in
이후, 상기 이동 호스트는 203단계로 진행하여 실제로 서비스 요청 메시지를 전송했는지를 검사한다. 만약, 상기 서비스 요청 메시지를 전송했다면, 상기 이동 호스트는 205단계에서 상기 상대 노드로 응답 비트(Reply bit)를 1로 설정한 응답 메시지를 전송하고, 이후 상기 상대 노드로부터 전송되는 데이터를 수신한다. 여기서, 상기 응답 메시지는 도 5와 같은 포맷을 가지며, 상기 포맷은 차후 자세히 언급하도록 한다. 만약, 상기 이동 호스트가 상기 서비스를 요청하지 않았다면, 상기 이동 호스트는 207단계에서 상기 상대 노드로 응답 비트(Reply bit)를 0으로 설정 한 응답 메시지를 전송한다. 상기 응답 비트가 0인 응답 메시지를 전송한 상기 이동 호스트는 209단계로 진행하여 상기 상대 노드로부터 바인딩 갱신 통보 메시지가 수신되는지 검사한다. 여기서, 상기 바인딩 갱신 통보 메시지는 공격자로부터의 공격이 있었으니 바인딩을 다시 갱신하라는 메시지이다. 상기 메시지가 수신되면, 상기 이동 호스트는 211단계에서 상기 상대 노드로 바인딩 갱신을 수행하고, 본 발명에 따른 알고리즘을 종료한다. Thereafter, the mobile host proceeds to
도 3은 본 발명의 실시 예에 따른 모바일 인터넷 프로토콜 기반의 네트워크에서 상대 노드의 반사 공격 방지 방법을 도시하고 있다. 3 illustrates a method for preventing a reflex attack of a counterpart node in a mobile Internet protocol based network according to an exemplary embodiment of the present invention.
도 3을 참조하면, 상기 상대 노드는 301단계에서 이동 호스트로부터 홈 주소 옵션에 이동 호스트의 홈 주소를 포함한 데이터 전송에 대한 서비스 요청 메시지를 수신한다. 이후, 상기 상대 노드는 303단계로 진행하여 상기 요청 메시지의 소스 주소가 바인딩 캐쉬에 상기 이동 호스트의 의탁주소로 등록되어 있는지 검사한다. 만약, 상기 소스 주소가 상기 바인딩 캐쉬에 상기 이동 호스트의 의탁주소로 등록되어 있지 않다면, 상기 상대 노드는 공격자가 상기 이동 호스트의 홈 주소를 이용하여 서비스를 요청하였거나 실제로 새로운 위치로 이동한 상기 이동 호스트가 바인딩 갱신을 수행하지 않은 상태에서 서비스를 요청하였을 것으로 판단하여, 상기 이동 호스트로 바인딩 갱신부터 다시 시작할 것을 통보한다. 만약, 상기 요청 메시지의 소스 주소가 상기 바인딩 캐쉬에 등록되어 있다면, 상기 상대 노드는 305단계로 진행하여 상기 서비스 요청 메시지에 대하여 보안 상태를 점검하기를 원하는지 체크한다. Referring to FIG. 3, in
상기 요청 메시지에 대한 보안 상태를 점검하기를 원하지 않는다면, 상기 상대 노드는 상기 이동 호스트로 상기 서비스 요청에 대한 응답 즉, 상기 이동 호스트가 원한 데이터를 전송한다. 만약, 상기 이동 호스트로부터의 서비스 요청 메시지에 대한 보안 상태 점검을 원한다면, 상기 상대 노드는 307단계로 진행하여 상기 이동 호스트로 질의 비트(Query bit)가 1로 설정된 질의 메시지를 전송한다. 이때, 상기 질의 메시지는 목적지 주소로 상기 이동 호스트의 홈 주소를 이용하여 홈 에이전트를 통해 상기 이동 호스트로 전송된다. 여기서, 상기 질의 메시지에 대한 포맷은 도 5와 같으며, 차후 자세히 언급하도록 한다. If it is not desired to check the security status for the request message, the counterpart node sends a response to the service request, i.e., the data desired by the mobile host, to the mobile host. If it is desired to check the security status of the service request message from the mobile host, the counterpart node proceeds to step 307 and transmits a query message with a query bit set to 1 to the mobile host. At this time, the query message is transmitted to the mobile host through a home agent using the home address of the mobile host as a destination address. The format of the query message is shown in FIG. 5 and will be described in detail later.
이후, 상기 상대 노드는 309단계에서 상기 홈 에이전트를 통해 상기 이동 호스트로부터 응답비트가 1인 응답 메시지가 수신되는지 검사한다. 만약, 상기 응답 비트가 1인 응답 메시지를 수신하였다면, 상기 상대 노드는 요청된 데이터를 상기 이동 호스트로 전송하기 시작한다. 만약, 상기 응답 비트가 0인 응답 메시지를 수신하였다면, 상기 상대 노드는 311단계로 진행하여 상기 이동 호스트로 공격자에 의한 공격이 의심됨을 알리고 다시 바인딩 갱신을 시작할 것을 지시함으로서, 본 발명에 따른 알고리즘을 종료한다. In
도 4는 본 발명의 실시 예에 따른 모바일 인터넷 프로토콜 기반의 네트워크에서 반사 공격을 방지하기 위한 전반적인 동작과정을 보이고 있다. 4 is a flowchart illustrating the overall operation for preventing a reflection attack in a mobile Internet protocol based network according to an embodiment of the present invention.
도 4를 참조하면, 상기 이동 호스트(41)는 401단계에서 상대 노드(45)로 자신의 의탁주소를 알리기 위해 바인딩 갱신을 수행한다. 이때, 상기 상대 노드(45)는 403단계에서 상기 이동 호스트의 바인딩 정보를 자신의 데이터베이스 즉, 바인 딩 캐쉬에 기록한다. 여기서, 상기 바인딩(binding)은 의탁주소와 해당 호스트의 홈 주소를 매치시킨 것으로, 새로운 위치로 이동한 이동 호스트가 자신의 의탁주소를 알리기 위해 홈 에이전트와 상대노드로 바인딩 갱신(binding update)을 수행할 수 있다. 여기서, 상기 바인딩 캐쉬에 기록된 상기 이동 호스트(41)의 정보에는 상기 이동 호스트(41)의 홈 주소(HoA)와 의탁주소(CoA) 및 유효시간(life time)등이 포함되어 있다. 상기 상대 노드(45)로의 바인딩 갱신 수행과 함께, 상기 이동 호스트(41)는 405단계에서 홈 에이전트(43)로 바인딩 갱신을 수행한다. 이때, 상기 홈에이전트(43)는 407단계에서 상기 이동 호스트의 바인딩 정보를 기록한다. Referring to FIG. 4, in step 401, the
이후, 이동 호스트(41)의 홈 주소(HoA)와 상대 노드(45)의 주소를 알고 있는 공격자(47)가 409단계에서 상기 상대 노드(45)로 서비스 요청 메시지를 전송한다. 여기서, 상기 공격자(47)는 상기 서비스 요청 메시지의 홈 어드레스 옵션(Home Address Option)에 상기 이동 호스트(41)의 홈 주소(Home Address : HoA)를 넣고, 소스 주소(Source Address)에 자신의 주소나 상기 이동 호스트(41)의 의탁주소(Care of Address : CoA)를 기록하여 상기 상대 노드(45)로 전송할 수 있다. 상기 공격자(47)의 서비스 요청 메시지는 상기 이동 호스트(41)를 공격하기 위한 메시지로, 예를 들어, 상기 이동 호스트(41)가 상기 상대 노드(45)로부터 다량의 트래픽 데이터를 수신하게 함으로써, 상기 이동 호스트(41)의 작업을 방해할 수 있다. Thereafter, the
만약, 상기 상대 노드(45)가 411단계에서 바인딩 캐쉬를 검색하여 상기 메시지의 소스 주소가 상기 이동 호스트(41)의 의탁주소로 등록되어있지 않음이 확인되면, 상기 공격자(47)가 상기 이동 호스트(41)의 홈 주소를 이용하여 서비스를 요청 하였거나 실제로 새로운 위치로 이동한 상기 이동 호스트(41)가 바인딩 갱신을 수행하지 않은 상태에서 서비스를 요청하였을 것으로 판단하고, 상기 이동 호스트(41)로 바인딩 갱신을 다시 시작할 것을 통보한다. 만약, 상기 상대 노드(45)가 411단계에서 바인딩 캐쉬를 검색하였을 때 상기 메시지의 소스 주소가 상기 이동 호스트(41)의 의탁주소로 등록되어 있다면, 상기 상대 노드(45)는 상기 수신된 서비스 요청 메시지의 보안 상태를 체크할 것인지를 판단한다. 만약, 상기 보안 상태를 체크하기를 원하지 않는다면, 상기 이동 호스트로 요청된 데이터를 전송하고, 상기 보안 상태를 체크하기를 원한다면, 상기 상대 노드(45)는 413단계에서 홈 에이전트(43)로 질의 비트가 1인 질의 메시지를 캡슐화(encapsulation)하여 전송한다. 상기 질의 메시지를 수신한 홈 에이전트(43)는 415단계에서 상기 이동 호스트(41)로 역캡슐화(decapsulation)하여 상기 질의 메시지를 전달한다. If the
이후, 상기 이동 호스트(41)가 417 및 419단계에서 상기 질의 메시지에 대한 응답 메시지를 상기 홈 에이전트(43)을 통해 상기 상대 노드(45)로 전송한다. 이때, 상기 응답 메시지의 응답 비트가 1이라면, 상기 상대 노드(45)는 상기 이동 호스트(41)로 요청된 서비스를 전송한다. 만약, 상기 상대 노드(45)가 응답 비트가 0인 응답 메시지를 수신하였다면, 상기 상대 노드(45)는 421 및 423단계로 진행하여 상기 홈 에이전트(43)를 통해 상기 이동 호스트(41)로 메시지를 보냄으로서, 공격자에 의한 공격이 의심됨을 알리고 다시 바인딩 갱신을 시작할 것을 통보한다. Thereafter, the
도 5는 상대 노드에서 이동 호스트로 보내는 질의 메시지 및 이동 호스트에서 상대 노드로 보내는 응답 메시지의 포맷을 나타낸다. 상기 도 5를 참조하여 각 필드의 의미를 설명하면, 8비트의 페이로드 프로토(Payload Proto)(501)는 모빌리티 헤더(Mobility header) 뒤에 오는 인터넷 프로토콜 버전 6(IP version 6) 헤더의 타입을 나타낸다. 헤더 길이(Header len)(503)는 8비트 언사인드 정수(unsigned integer)로서, 처음 8옥텟(octets)은 제외한 모빌리티 헤더의 길이를 8옥텟(octets) 단위로 나타낸 것이다. 또한, 8비트의 모빌리티 헤더 타입(Mobility header type : MH type)(505)은 모빌리티 메시지(mobility message)를 구분하는데 사용되며, 상기 질의 및 응답을 위한 메시지의 경우 8번으로 정의한다. 예약(Reserved) 필드(507, 517)는 8비트 혹은 30비트 필드로 미래의 사용을 위하여 예약된 영역이고, 체크섬(Checksum)(509)은 16비트 언사인드 정수(unsigned integer)로서 모빌리티 헤더의 체크섬을 의미한다. 시퀀스(Sequence) 필드(511)는 16비트 언사인드 정수(unsigned integer)로서, 상대 노드가 보내는 메시지를 순서화하고, 이동 호스트가 보내는 응답 메시지와의 매칭을 위해 사용된다. 질의(Q) 필드(513)와 응답(A) 필드(515)는 상기 모빌리티 헤더 뒤에 질의와 응답을 위해 사용된다. 본 발명에 따라, 상대 노드가 질의 비트가 1인 질의 메시지를 이동 호스트로 보내면, 상기 이동 호스트는 서비스 요청 여부에 따라 1 또는 0으로 응답비트를 설정하여 상기 상대 노드로 응답 메시지를 전송할 수 있다. 5 illustrates the format of a query message sent from a counterpart node to a mobile host and a response message sent from a mobile host to a counterpart node. Referring to FIG. 5, the meaning of each field will be described. The 8-
도 6은 상대 노드에서 이동 호스트로 공격자의 공격 가능성을 알리고, 바인딩 갱신을 수행할 것을 지시하는 메시지의 포맷을 나타낸다. 상기 도 6을 참조하여 각 필드의 의미를 설명하면, 페이로드 프로토(Payload Proto)(601)는 모빌리티 헤더(Mobility header) 뒤에 오는 IPv6(IP version 6) 헤더의 타입을 나타내며, 8비 트의 크기를 가진다. 헤더 길이(Header len)(603)는 8비트 언사인드 정수(unsigned integer)로서, 처음 8옥텟(octets)은 제외한 모빌리티 헤더의 길이를 8옥텟(octets) 단위로 나타낸 것이다. 또한, 모빌리티 헤더 타입(Mobility header type : MH type)(605)은 8비트의 크기를 가지고 모빌리티 메시지(mobility message)를 구분하는데 사용되며, 상기 바인딩 갱신 통보를 위한 메시지의 경우 9번으로 정의한다. 예약(Reserved) 필드(607, 613)는 8비트 필드로 미래의 사용을 위하여 예약된 영역이고, 체크섬(Checksum)(609)은 16비트 언사인드 정수(unsigned integer)로서 모빌리티 헤더의 체크섬을 의미한다. 상태(Status)(611) 필드는 8비트 언사인드 정수(unsigned integer)로, 공격 가능성 및 이상에 대해서 알려준다. 예를 들어, 상기 상태 필드에 1이 기록되면, 공격 가능성이 있으므로 바인딩 갱신을 요청하는 상태를 의미하고, 상기 상태 필드에 2가 기록되면, 현재 바인딩이 없는 상태이며 공격이 의심되므로 바인딩을 요청한다는 의미가 될 수 있다.FIG. 6 shows a format of a message informing an attacker of an attack possibility from a counterpart node to a mobile host and instructing to perform a binding update. Referring to FIG. 6, the meaning of each field will be described. The payload proto 601 indicates the type of an IPv6 header followed by a mobility header and has a size of 8 bits. Has
한편 본 발명의 상세한 설명에서는 구체적인 실시 예에 관해 설명하였으나, 본 발명의 범위에서 벗어나지 않는 한도 내에서 여러 가지 변형이 가능함은 물론이다. 그러므로 본 발명의 범위는 설명된 실시 예에 국한되어 정해져서는 아니 되며 후술하는 특허청구의 범위뿐만 아니라 이 특허청구의 범위와 균등한 것들에 의해 정해져야 한다.Meanwhile, in the detailed description of the present invention, specific embodiments have been described, but various modifications are possible without departing from the scope of the present invention. Therefore, the scope of the present invention should not be limited to the described embodiments, but should be determined not only by the scope of the following claims, but also by the equivalents of the claims.
상술한 바와 같이, 본 발명은 모바일 인터넷 프로토콜 기반의 네트워크에서 이동 호스트로부터 데이터 전송을 요청받은 상대 노드가 상기 이동 호스트로 실제 데이터 전송을 요청 했는지 질의하고 상기 이동 호스트가 이에 응답하는 과정을 수행함으로서, 상기 이동 호스트가 반사 공격의 희생자가 되는 것을 막고 더 나아가 장기적인 서비스 중지와 같은 서비스 거부(Denial of service) 공격으로부터 이동 호스트를 보호할 수 있는 이점이 있다. As described above, the present invention performs a process of inquiring whether a counterpart node that has requested data transmission from a mobile host in the mobile Internet protocol based network requests the actual data transmission to the mobile host and responds to the mobile host. There is an advantage in preventing the mobile host from being a victim of the reflex attack and further protecting the mobile host from denial of service attacks such as long term service outages.
Claims (5)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020050040355A KR20060117808A (en) | 2005-05-13 | 2005-05-13 | Method for prevention against reflection attack in mobile ipv6 environment |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020050040355A KR20060117808A (en) | 2005-05-13 | 2005-05-13 | Method for prevention against reflection attack in mobile ipv6 environment |
Publications (1)
Publication Number | Publication Date |
---|---|
KR20060117808A true KR20060117808A (en) | 2006-11-17 |
Family
ID=37705233
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020050040355A KR20060117808A (en) | 2005-05-13 | 2005-05-13 | Method for prevention against reflection attack in mobile ipv6 environment |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR20060117808A (en) |
-
2005
- 2005-05-13 KR KR1020050040355A patent/KR20060117808A/en not_active Application Discontinuation
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8514851B2 (en) | Mobile IPv6 authentication and authorization baseline | |
Johnson et al. | RFC 3775: Mobility support in IPv6 | |
US7764949B2 (en) | Method of preventing replay attack in mobile IPv6 | |
US9398512B2 (en) | Mobile route optimization | |
EP1853031B1 (en) | Method and apparatus for transmitting messages in a mobile internet protocol network | |
US7623500B2 (en) | Method and system for maintaining a secure tunnel in a packet-based communication system | |
EP1540902B1 (en) | Method for updating a routing entry | |
KR100915513B1 (en) | PACKET BUFFERING METHOD AND APPARATUS FOR REDUCING PACKET LOSS IN PROXY MOBILE IPv6 | |
EP1421746B1 (en) | Device, method and system for enhanced routing in mobile ip networking | |
TW201019655A (en) | Methods for detecting routing loops between home agents | |
KR100737140B1 (en) | The processing apparatus and method for providing internet protocol virtual private network service on mobile communication | |
EP1841143A1 (en) | Efficent handover of a mobile node within a network with multiple anchor points | |
JP4823053B2 (en) | Method for switching between different types of communication interfaces, mobile terminal and management device | |
KR20060117808A (en) | Method for prevention against reflection attack in mobile ipv6 environment | |
JPWO2008114496A1 (en) | Packet communication device | |
JP2003338850A (en) | SECURITY ASSOCIATION MANAGEMENT SERVER FOR Mobile IP NETWORK | |
Bokor et al. | A Complete HIP Based Framework for Secure Micromobility. | |
Kavitha et al. | A secure route optimization protocol in mobile IPv6 | |
KR20060060533A (en) | Apparatus supporting seamless mobility in the ubiquitous environment and its method | |
Leung et al. | RFC 5213: Proxy Mobile IPv6 | |
Qin | Security of Mobile IPv6 | |
Arkko | IETF Mobile IP Working Group D. Johnson Internet-Draft Rice University Obsoletes: 3775 (if approved) C. Perkins (Ed.) Expires: January 14, 2010 WiChorus Inc. | |
Arkko | IETF Mobile IP Working Group D. Johnson Internet-Draft Rice University Expires: July 21, 2003 C. Perkins Nokia Research Center | |
Arkko | IETF Mobile IP Working Group D. Johnson Internet-Draft Rice University Expires: October 30, 2003 C. Perkins Nokia Research Center | |
Arkko | IETF Mobile IP Working Group David B. Johnson INTERNET-DRAFT Rice University Charles E. Perkins Nokia Research Center |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
WITN | Withdrawal due to no request for examination |