KR20070018101A - Method for protecting against attacks in a high-speed network - Google Patents

Method for protecting against attacks in a high-speed network Download PDF

Info

Publication number
KR20070018101A
KR20070018101A KR1020067025183A KR20067025183A KR20070018101A KR 20070018101 A KR20070018101 A KR 20070018101A KR 1020067025183 A KR1020067025183 A KR 1020067025183A KR 20067025183 A KR20067025183 A KR 20067025183A KR 20070018101 A KR20070018101 A KR 20070018101A
Authority
KR
South Korea
Prior art keywords
target
query
module
network
initiator
Prior art date
Application number
KR1020067025183A
Other languages
Korean (ko)
Inventor
크리스토프 라이쉬
마르코 크래머
세바스티안 키에셀
크리스티안 하우세르
Original Assignee
인터내셔널 비지네스 머신즈 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 인터내셔널 비지네스 머신즈 코포레이션 filed Critical 인터내셔널 비지네스 머신즈 코포레이션
Priority to KR1020067025183A priority Critical patent/KR20070018101A/en
Publication of KR20070018101A publication Critical patent/KR20070018101A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

고속 네트워크에 있어서 침입에 대해 타겟을 보호하는 방법, 모듈 및 컴퓨터 프로그램이 제공된다. 본 발명에 따른 방법은 네트워크 내의 특정 노드에 연관된 소스 ID에 의해 식별된 개시자로부터 요구를 수신한 후에 질의를 발생시키는 단계와, 그 질의를 소스 ID에 의해 식별된 노드에 전송하는 단계와, 질의에 대한 응답이 수신된 경우, 응답을 평가하는 단계와, 적절한 응답이 수신된 경우, 타겟으로부터 개시자로 추가 메시지를 전송함으로써 개시자 및 타겟 사이의 통신을 인에이블링하는 단계를 포함한다.

Figure 112006088683698-PCT00001

Methods, modules and computer programs are provided for protecting targets against intrusion in high speed networks. The method according to the invention comprises the steps of: generating a query after receiving a request from an initiator identified by a source ID associated with a particular node in a network, sending the query to the node identified by the source ID; Evaluating the response if a response is received, and enabling the communication between the initiator and the target by sending an additional message from the target to the initiator, if an appropriate response is received.

Figure 112006088683698-PCT00001

Description

고속 네트워크에 있어서 침입에 대해 타겟을 보호하는 방법, 모듈 및 컴퓨터 프로그램{METHOD FOR PROTECTING AGAINST ATTACKS IN A HIGH-SPEED NETWORK}METHOD FOR PROTECTING AGAINST ATTACKS IN A HIGH-SPEED NETWORK}

본 발명은 고속 네트워크에 있어서 침입에 대해 타겟을 보호하는 분야에 관한 것으로서, 보다 구체적으로는 고속 네트워크에 있어서 침입에 대해 타겟을 보호하는 방법 및 모듈에 관한 것이다. 본 발명은 또한 컴퓨터 상에서 컴퓨터 프로그램이 실행되는 경우 이러한 방법을 수행하는데 적합한 프로그램 코딩 수단을 갖는 컴퓨터 판독 가능한 매체 상에 저장된 상기 컴퓨터 프로그램 및 상기 컴퓨터 판독 가능한 매체를 갖는 컴퓨터 프로그램 제품에 관한 것이다. 또한, 본 발명은 고속 네트워크에 있어서의 요구를 취급하는 방법에 관한 것이다.The present invention relates to the field of protecting a target against intrusion in a high speed network, and more particularly, to a method and a module for protecting a target against intrusion in a high speed network. The invention also relates to a computer program product having said computer program and said computer readable medium stored on a computer readable medium having program coding means suitable for carrying out such a method when the computer program is executed on a computer. The present invention also relates to a method for handling a request in a high speed network.

고속 네트워크에서 데이터 교환은 TCP/IP 또는 인피니밴드(InfiniBand)와 같은 표준화된 프로토콜에 근거하여 수행된다. 이러한 네트워크 내의 노드 간의 통신은 수반되는 네트워크 노드 간의 정확한 데이터 전송을 추구하는 소위 핸드셰이크 프로토콜(handshake protocol)에 의해 개시된다. 이러한 방식으로, 네트워크 내의 특정 노드, 즉 소위 개시자는 이하 타겟으로서 표시되는, 다른 노드에 의해 제공된 서비스를 이용하도록 인에이블된다. 따라서, 개시자는, 그 개시자에 의해 요구된 서비스를 제공하는 타겟으로 요구를 전송한다. Data exchange in high speed networks is performed based on standardized protocols such as TCP / IP or InfiniBand. Communication between nodes in such a network is initiated by a so-called handshake protocol that seeks for the correct data transfer between the involved network nodes. In this way, certain nodes in the network, the so-called initiators, are enabled to use the services provided by other nodes, hereinafter referred to as targets. Thus, the initiator sends a request to a target that provides a service requested by the initiator.

서비스 부정 침입과 같은 네트워크 내의 침입은 침입자에 의한 명백한 시도에 의해 서비스의 합법적인 이용자가 그 서비스를 이용하지 못하게 하는 것으로 특징지워진다. 이것은 잘못된 어드레스 또는 소스 ID를 이용하고, 자원을 필요로 하는 다수의 요구를 전송하여 네트워크 내에 타겟이 넘치게 함(플로딩(flooding))으로써, 서버가 의미 있는 작업을 수행하는 것을 방지함으로써 성취된다.Intrusions in a network, such as service tampering, are characterized by the intentional attempt by an intruder to prevent the legitimate user of a service from using that service. This is accomplished by using the wrong address or source ID and sending multiple requests that require resources to flood the target within the network (flooding), thereby preventing the server from performing meaningful work.

서비스 부정 침입은 네트워크를 이용하는 다수의 구조에 대해 현저한 시간 및 금전 손실을 초래한다.Denial of service attacks result in significant time and money loss for many of the structures using the network.

알려진 방법은 특정 파라미터를 포함하는 개시자 메시지, 제 1 질의 메시지, 상기 파라미터를 포함하는 질의에 대한 응답, 및 최종 메시지를 포함하는 4중 방식 핸드셰이크 프로토콜을 이용한다. 그러나, 이 해결책은 핸드셰이크 메시지의 사전 규정된 시퀀스에 의존하는 프로토콜에 대해 플로딩 침입을 효과적으로 방지하지 못한다.Known methods use a four-way handshake protocol that includes an initiator message that includes a specific parameter, a first query message, a response to the query that includes the parameter, and a final message. However, this solution does not effectively prevent floating intrusion for protocols that rely on a predefined sequence of handshake messages.

발명의 개요Summary of the Invention

본 발명의 목적은 종래 기술에서 알려진 단점을 극복하는 고속 네트워크에 있어서 침입에 대해 타겟을 보호하는 방법을 제공하는 것이다. 보다 구체적으로, 본 발명의 목적은 네트워크에 있어서 침입에 대해 타겟을 보호하는 고속 네트워크에 있어서의 요구를 취급함에 따라, 그 네트워크 내의 제한되지 않은 모든 서비스 의 이용 가능성을 추구하는 방법을 제공하는 것이다.It is an object of the present invention to provide a method of protecting a target against intrusion in a high speed network which overcomes the disadvantages known in the prior art. More specifically, it is an object of the present invention to provide a method for pursuing the availability of all unrestricted services in a network as it handles the needs of a high-speed network that protects the target against intrusion in the network.

이들 목적은 청구항 1의 특징을 갖는 고속 네트워크에 있어서 침입에 대해 보호하는 방법, 청구항 9의 특징을 갖는 고속 네트워크에 있어서 침입에 대해 보호하는 모듈, 청구항 16에 따른 고속 네트워크에 있어서 요구를 취급하는 방법을 제안함으로써 성취된다. These objects are a method for protecting against intrusion in a high speed network having the features of claim 1, a module for protecting against intrusion in a high speed network having the features of claim 9, and a method for handling a request in a high speed network according to claim 16. Is achieved by proposing.

본 발명에 따르면, 고속 네트워크에 있어서 침입에 대해 타겟을 보호하는 방법으로서, 네트워크 내의 특정 노드에 연관된 소스 ID에 의해 식별된 개시자로부터 요구를 수신한 후에 질의를 발생시키는 단계와, 질의를 소스 ID에 의해 식별된 노드에 전송하는 단계와, 이후, 질의에 대한 응답이 수신된 경우, 응답을 평가하는 단계와, 적절한 응답이 수신된 경우, 타겟으로부터 개시자로 추가 메시지, 예를 들면, 수신 준비 메시지를 전송함으로써 개시자 및 타겟 사이의 통신을 인에이블링하는 단계를 포함하는 방법이 제안된다.According to the present invention, there is provided a method for protecting a target against intrusion in a high speed network, the method comprising: generating a query after receiving a request from an initiator identified by a source ID associated with a particular node in the network; Transmitting to the node identified by the message, and thereafter, if a response to the query is received, evaluating the response, and if an appropriate response is received, from the target to the initiator with an additional message, for example a reception ready message. A method is proposed that includes enabling communication between an initiator and a target by sending.

본 발명에 의해, 부정한 소스 ID를 이용하여 개시자로부터 타겟으로 전송된 다중 요구에 의해 야기되는 네트워크 내의 서비스 부정 침입을 방지하는 것이 가능하다.With the present invention, it is possible to prevent fraudulent service intrusion in the network caused by multiple requests sent from the initiator to the target using an invalid source ID.

바람직한 실시예에 따르면, 본 발명에 따른 방법은 3중 방식 핸드셰이크 프로토콜(handshake protocol)로 내장된다.According to a preferred embodiment, the method according to the invention is built in a three way handshake protocol.

유용하게, 상기 질의를 발생시키고 상기 응답을 평가하는 단계는 개별적인 모듈로 수행된다. 이러한 개별적인 모듈은 논리 칩, PLD 또는 FPGA와 같은 하드웨어 모듈로 내장될 수 있어, 높은 처리 속도를 초래한다.Advantageously, generating the query and evaluating the response are performed in separate modules. These individual modules can be embedded into hardware modules such as logic chips, PLDs or FPGAs, resulting in high throughput.

바람직하게, 개시자로 전송된 질의는 소스 ID 및 타겟과 연관된 파라미터를 포함한다. 이러한 질의는 본 발명에 따른 방법의 신뢰도를 더 증가시키기 위해 암호화될 수 있다.Preferably, the query sent to the initiator includes a parameter associated with the source ID and the target. Such a query can be encrypted to further increase the reliability of the method according to the invention.

바람직한 실시예에 따르면, 본 발명에 따른 방법은, 개시자 관련 정보를 테이블에 입력하는 단계를 더 포함한다. 따라서, 특정 개시자 및 타겟 사이의 접속의 수, 또는 이와 달리, 요구자의 수를 관측하는 것이 가능하다. 관측된 접속의 수 및 요구자의 수가 사전 결정된 값을 초과하자마다, 특정 개시자에 의한 타겟의 플로딩을 방지하기 위해 더 이상의 접속이 확립되지 않는다.According to a preferred embodiment, the method further comprises the step of inputting initiator related information into a table. Thus, it is possible to observe the number of connections between a particular initiator and a target, or alternatively the number of claimants. Each time the number of observed connections and the number of requesters exceeds a predetermined value, no more connections are established to prevent the target from floating by the particular initiator.

유용하게, 네트워크는 고속 및 우수한 성능을 제공하는 인피니밴드(InfiniBand) 네트워크이다.Advantageously, the network is an InfiniBand network that provides high speed and good performance.

또한, 본 발명은 요구에 의해 트리거된 질의를 발생시키는 수단과, 이러한 질의에 대한 응답을 평가하는 수단을 포함하는 고속 네트워크에 있어서 침입에 대해 타겟을 보호하는 모듈을 커버한다.The invention also covers a module that protects the target against intrusion in a high speed network comprising means for generating a query triggered by a request and means for evaluating a response to such a query.

바람직하게, 이러한 모듈은 논리 칩, PLD 또는 FPGA와 같은 하드웨어 모듈로 내장된다. 이러한 하드웨어 모듈은 네트워크 어댑터 하우징, 또는 이와 달리 개별적인 하우징으로 내장된다.Preferably, such modules are embedded into hardware modules such as logic chips, PLDs or FPGAs. Such hardware modules are embedded in a network adapter housing, or alternatively in a separate housing.

다른 실시예에 따르면, 모듈은 바람직하게 개별적인 프로세서 상에서 실행되는 소프트웨어 모듈로 내장된다.According to another embodiment, the module is preferably embedded in a software module running on a separate processor.

본 발명은 컴퓨터 상에서 컴퓨터 프로그램이 실행되는 경우 본 발명에 따른 방법을 수행하는데 적합한 프로그램 코딩 수단을 갖는 컴퓨터 판독 가능한 매체 상 에 저장된 상기 컴퓨터 프로그램 및 상기 컴퓨터 판독 가능한 매체를 갖는 컴퓨터 프로그램 제품을 또한 커버한다.The invention also covers a computer program product having said computer program and said computer readable medium stored on a computer readable medium having program coding means suitable for carrying out the method according to the invention when the computer program is executed on a computer. .

또한, 본 발명은 공통 핸드셰이크 프로토콜(common handshake protocol)을 이용하여, 타겟에서 고속 네트워크에 있어서의 요구를 취급하는 방법으로서, 상기 타겟의 부하가 사전 결정된 임계값을 초과하자마자, 청구항 1 내지 청구항 8 중 어느 한 항에 따른 방법에 의해 상기 공통 핸드셰이크 프로토콜이 보정되는 방법을 커버한다.The present invention also provides a method of handling a request in a high speed network at a target using a common handshake protocol, wherein as soon as the load of the target exceeds a predetermined threshold, claims 1 to 8 A method according to any one of the above covers how the common handshake protocol is corrected.

요구 플로딩에 대한 보호는 높은 이용 시점에서만 필요로 하므로, 공통 핸드셰이크 프로토콜, 전형적으로 3중 방식 핸드셰이크 프로토콜은 낮은 이용 시점에서 이용될 수 있다. 본 발명에 따른 핸드셰이크 프로토콜은 2개의 부가적인 단계를 도입하며 높은 이용 시점에서 이용된다.Since protection against demand floating is only needed at high points of use, a common handshake protocol, typically a three-way handshake protocol, can be used at low points of use. The handshake protocol according to the present invention introduces two additional steps and is used at high points of use.

또한 본 발명의 특징 및 실시예는 상세한 설명 및 첨부 도면으로부터 명백해질 것이다.Further features and embodiments of the present invention will become apparent from the detailed description and the accompanying drawings.

전술한 특징 및 이후 기술된 특징은, 본 발명의 범위로부터 벗어나지 않고, 특정된 결합 뿐만 아니라 다른 결합에서도 이용될 수 있음이 이해될 것이다.It is to be understood that the foregoing and subsequent features may be used in other combinations as well as in the specified combinations without departing from the scope of the invention.

본 발명은 예시로서 도면에 개략적으로 도시되며 이후 도면을 참조하여 상세하게 설명된다. 이하의 설명은 본 발명의 범위에 대해 제한하는 것은 아니며 단지 본 발명의 바람직한 실시예를 예시한 것이다.The invention is schematically illustrated in the drawings by way of example and will now be described in detail with reference to the drawings. The following description is not intended to limit the scope of the present invention but merely illustrates a preferred embodiment of the present invention.

본 발명의 다른 측면 및 장점은 상세한 설명을 고찰하고 첨부 도면을 참조하여 명백해질 것이다.Other aspects and advantages of the present invention will become apparent upon review of the detailed description and with reference to the accompanying drawings.

도 1은 서비스 부정 침입에 대한 가능한 시나리오를 도시한다.1 illustrates a possible scenario for a service breach.

도 2는 3중 방식 핸드셰이크 프로토콜을 설명하는 도면이다.2 is a diagram illustrating a three-way handshake protocol.

도 3은 TCP 네트워크에 있어서의 4중 방식 핸드셰이크 프로토콜을 설명하는 도면이다.3 is a diagram illustrating a four-way handshake protocol in a TCP network.

도 4는 인피니밴드 네트워크에 있어서의 4중 방식 핸드셰이크 프로토콜을 설명하는 도면이다.4 is a diagram illustrating a four-way handshake protocol in an Infiniband network.

도 5는 본 발명에 따른 인피니밴드 네트워크에 있어서의 5중 방식 핸드셰이크 프로토콜을 설명하는 도면이다.5 is a diagram illustrating a five-way handshake protocol in an Infiniband network according to the present invention.

도 6은 본 발명에 따른 네트워크 환경에서 있어서의 모듈을 개략적으로 도시하는 블로도이다.6 is a block diagram schematically showing a module in a network environment according to the present invention.

도 7은 도 8에 대한 명칭을 포함하며, 본 발명에 따른 네트워크에 있어서의 요구를 취급하는 것을 설명하는 도면이다.FIG. 7 includes the name for FIG. 8 and illustrates the handling of requests in the network according to the present invention.

도 8은 본 발명에 따른 방법을 예시하는 플로우차트이다.8 is a flowchart illustrating a method according to the present invention.

서비스 부정 침입에 대한 가능한 시나리오가 도 1에 도시되어 있다. 승인된 개시자(12)의 소스 ID를 이용하는 침입자(10)는 페브릭(16)을 통해 타겟(14)으로 요구를 전송한다. 본 발명에 따르면, 이러한 요구는 타겟 내의 메인 CPU(20)의 자원이 소모되지 않고 타겟의 플로딩이 방지되는 것을 보장하도록 하드웨어 네트워킹 모듈(18) 내에서 평가된다.A possible scenario for a breach of service is shown in FIG. 1. The intruder 10 using the source ID of the authorized initiator 12 sends a request to the target 14 via the fabric 16. In accordance with the present invention, this requirement is evaluated within the hardware networking module 18 to ensure that resources of the main CPU 20 in the target are not consumed and that the target's floating is prevented.

도 2를 참조하면, 3중 방식 핸드셰이크 프로토콜이 도시되어 있다. 소스 ID에 의해 규정된 개시자는 목적지 ID에 식별된 타겟으로 요구 메시지를 전송한다. 타겟은 타겟 파라미터를 포함하는 수신 준비 메시지를 반송한다. 접속을 확립하기 위해 개시자는 개시자 파라미터를 포함하는 수신 준비 메시지를 송신한다.Referring to Fig. 2, a three way handshake protocol is shown. The initiator specified by the source ID sends a request message to the target identified in the destination ID. The target returns a ready to receive message containing the target parameters. In order to establish a connection, the initiator sends a ready to receive message including initiator parameters.

3중 방식 핸드셰이크 프로토콜을 이용하여 위조 어드레스를 이용하는 침입자는 개시자의 식별이 수행되기 이전에 타겟이 자원을 할당하기 때문에 타겟을 접속 요구로 플로딩할 수 없다.Using a three-way handshake protocol, an attacker using a fake address cannot float the target into a connection request because the target allocates resources before the initiator's identification is performed.

도 3을 참조하면, TCP 네트워크에 있어서의 4중 방식 핸드셰이크 프로토콜이 도시되어 있다. 개시자로부터 요구를 수신한 후에 타겟은 자원을 할당하는 개시자에 질의를 전송한다. 개시자는 개시자 파라미터를 포함하는 수신 준비 메시지와 함께 질의에 대한 응답을 송신한다. 타겟은 응답을 평가하며 유효한 응답인 경우, 수신 준비 메시지를 반송하여 접속을 확립한다. 따라서, 자원 할당은 개시자의 식별 이후에 수행된다.Referring to Figure 3, a four-way handshake protocol in a TCP network is shown. After receiving the request from the initiator, the target sends a query to the initiator that allocates the resource. The initiator sends a response to the query with a ready to receive message including initiator parameters. The target evaluates the response and, if it is a valid response, returns a ready to receive message to establish a connection. Thus, resource allocation is performed after identification of the initiator.

그러나, 도 4에 도시한 바와 같이, 4중 방식 핸드셰이크 프로토콜은 상위층 프로토콜에 대해 투과적이지 않은 I→T 및 T→I의 비투과 시퀀스 변화가 야기되므로, 인피니밴드 네트워크에 있어 요구 플로딩 침입 문제를 해결하지 못한다. I→T 및 T→I 메시지가 상위층 접속 확립 파라미터 및 QPN을 포함하므로, 이러한 접근법은 인피니밴드 네트워크에 대해서는 동작 가능하지 않다. 문제는 전송이 허용될 때를 타겟이 알지 못한다는 점이다. 또한, 이러한 접근법은 한정된 수의 가능한 큐 쌍의 수와 관련하여 문제를 해결하지 못한다.However, as shown in Fig. 4, the four-way handshake protocol causes a non-transparent sequence change of I → T and T → I that is not transparent to the higher layer protocol, thus requiring a required floating intrusion problem in the Infiniband network. Does not solve. Since the I → T and T → I messages contain higher layer connection establishment parameters and QPNs, this approach is not operable for Infiniband networks. The problem is that the target does not know when the transmission is allowed. In addition, this approach does not solve the problem with a limited number of possible queue pairs.

도 5를 참조하면, 본 발명에 따른 5중 방식 핸드셰이크 프로토콜이 3중 방식 핸드셰이크 프로토콜에 내장되어 있다. 소스 ID에 의해 식별된 개시자로부터 요구를 수신한 후에, 타겟은, 바람직하게, 타겟과 연관된 하드웨어 모듈이, 소스 ID에 의해 식별된 노드에 대해 일관적인 데이터를 포함하지 않는 소스 ID로부터 도출된 질의를 생성한다. 따라서, 위조 어드레스를 이용하는 침입자는 이러한 질의를 수신하지 않으므로, 질의에 대해 응답할 수 없다. 유효한 소스 ID가 이용되는 경우, 타겟은 질의에 응답한다. 이러한 응답은 타겟에 의해 평가된다. 응답이 부합하는 경우, 접속이 확립된다.5, the 5-way handshake protocol according to the present invention is embedded in the 3-way handshake protocol. After receiving a request from the initiator identified by the source ID, the target is preferably a query derived from a source ID for which the hardware module associated with the target does not contain consistent data for the node identified by the source ID. Create Thus, an attacker using a fake address does not receive this query and therefore cannot respond to the query. If a valid source ID is used, the target responds to the query. This response is evaluated by the target. If the response matches, the connection is established.

질의 생성 및 응답 체크는 타겟의 소프트웨어를 수반하지 않고 수행된다. 타겟 내에서 질의 및 응답 간에 일관적인 데이터가 저장되어서는 안 된다. 또한, 이 접근법은 통상적인 상황에서 호환 가능한 백워드 및 상위 레벨 프로토콜에 대해 투명하다. Query generation and response checking are performed without involving the target's software. Consistent data between queries and responses should not be stored within the target. In addition, this approach is transparent for compatible backward and higher level protocols in typical situations.

도 6을 참조하면, 출력 메시지가 송신되기 전에 그 출력 메시지를 포함하는 전송 버퍼(32)에 접속 HW 어시스트 모듈(30)이 접속된다. 전송자(34)는 수신 버퍼(36)에 저장되는 모든 인입 메시지를 판독한다. 모듈(30)은 제어 로직(38)에 접속되어 "메시지 전송" 및 "메시지 드롭(drop)" 동작을 트리거하고 "부가적인 고 부하 정보", 예를 들면, 소스 어드레스 또는 도착 레이트를 갖는 접속 요구의 도착을 시그널링한다. 개시자 관련 데이터를 구비하는 테이블을 포함하는 부하 검출 모듈(40)은 "정상 동작", "고 부하", "검증된 개시자로부터의 모든 접속 요구의 드 롭"을 접속 HW 어시스트 모듈에 시그널링한다.Referring to Fig. 6, before the output message is transmitted, the connection HW assist module 30 is connected to the transmission buffer 32 containing the output message. The sender 34 reads all incoming messages stored in the receive buffer 36. The module 30 is connected to the control logic 38 to trigger "message transfer" and "message drop" operations and connect request with "additional high load information", eg source address or arrival rate. Signals the arrival of. Load detection module 40 comprising a table with initiator related data signals "normal operation", "high load", "drop of all connection requests from verified initiator" to connection HW assist module. .

제안된 5중 방식 핸드셰이크 프로토콜은 타겟의 플로딩을 방지하는 효과적인 해결책이다. 요구 플로딩에 대한 보호가 높은 이용 시점에서만 필요로 하므로, 3중 방식 핸드셰이크 프로토콜은 낮은 이용 시점에서 이용될 수 있다. 5중 방식 핸드셰이크 프로토콜은 2개의 부가적인 메시지, 즉 질의 또는 도전의 각각 메시지, 및 도전 응답 메시지를 도입한다.The proposed five-way handshake protocol is an effective solution to prevent the floating of the target. Since protection against demand floating is only needed at high points of use, the three-way handshake protocol can be used at low points of use. The five-way handshake protocol introduces two additional messages, one for each query or challenge, and one for challenge response.

도 7을 참조하면, 소스 ID를 이용하는 개시자가 요구 R을 접속을 확립하는 타겟으로 전송한다. 타겟은 스위치 네트워크를 통해 R에 포함된 소스 ID에 의해 식별된 엔티티(entity)에 송신되는 질의 Q=f(...)를 생성한다. Q를 수신하는 엔티티만이 타겟으로 반송되는 응답 A를 생성할 수 있다. 스위치 네트워크는 Q에 포함된 목적지 ID에 근거하여 타겟으로 A를 운반한다. A의 생성자가 q(A,...)에 의해 Q를 알 수 있으면, 타겟은 유효하다. 바람직한 실시예에서 Q=f(소스 ID, 키,...)이고 valid=q(A, 소스 ID, 키,...)이다.Referring to Fig. 7, the initiator using the source ID sends a request R to a target establishing a connection. The target generates a query Q = f (...) that is sent over the switch network to the entity identified by the source ID included in R. Only the entity that receives Q can generate a response A that is returned to the target. The switch network carries A to the target based on the destination ID included in Q. If the constructor of A can know Q by q (A, ...) then the target is valid. In the preferred embodiment Q = f (source ID, key, ...) and valid = q (A, source ID, key, ...).

f의 결과는 "키"(평문 암호화 침입, 자유롭게 선택 가능한 평문), 예를 들면, 규칙적으로 변경된 키의 용도를 알지 않고도 임의의 개시자에 의해 예측하는 것이 어려워야 한다. 키 생성은 임의의 개시자에 의해, 예를 들어, 키를 생성하는 물리적 잡음의 이용에 의해 예측 가능해서는 안 된다. 또한, 상이한 개시자는 입력 파라미터로서, 예를 들어, 인피니밴드 LID, GID, GUID의 이용에 의해 상이한 키를 초래해야 한다. 타겟은 개시자에 의해 응답 A가 Q에 부합하는 어드레스를 전송하였는지를, A 및 "키"에 근거하여 결정한다.The result of f should be difficult to predict by any initiator without knowing the "key" (plaintext encryption intrusion, freely selectable plaintext), e.g. the use of regularly changed keys. Key generation should not be predictable by any initiator, for example by the use of physical noise to generate a key. In addition, different initiators must result in different keys as input parameters, for example by the use of Infiniband LID, GID, GUID. The target determines, based on A and the "key", whether the response A has sent an address corresponding to Q by the initiator.

다른 구현 예로서, 질의 메시지는 응답에 대해 이용될 인피니밴드 파라미터를 포함하는 인피니밴드 리다이렉션(redirection) 메시지(GetResp(ClassPortInfo))일 수 있다. 응답은 질의 메시지(GetResp(ClassPortInfo))에 지정된 파라미터를 제외하고 원래의 파라미터 세트를 갖는 반복된 접속 확립 메시지(인피니밴드 REQ)이다. 리다이렉션에 대해 가능한 모든 파라미터는 질의 메시지를 형성하도록 이용될 수 있다.As another implementation example, the query message may be an Infiniband redirection message (GetResp (ClassPortInfo)) that includes an Infiniband parameter to be used for the response. The response is a repeated connection establishment message (Infiniband REQ) with the original parameter set except for the parameters specified in the query message GetResp (ClassPortInfo). All possible parameters for redirection can be used to form a query message.

도 8을 참조하면, 보호될 타겟과 연관된 모듈은 인입 메시지를 대기한다(단계 50). 메시지를 수신하면, 단계 52에서 상기 메시지의 헤더가 분석된다. 수신된 메시지가 접속에 대한 요구인 경우(단계 54), 단계 56에서 질의가 생성되고, 수신된 소스 ID에 의해 식별된 노드로 전송된다(단계 58).Referring to FIG. 8, the module associated with the target to be protected waits for an incoming message (step 50). Upon receipt of the message, the header of the message is analyzed in step 52. If the received message is a request for a connection (step 54), a query is generated in step 56 and sent to the node identified by the received source ID (step 58).

수신된 메시지가 응답인 경우(단계 60), 이러한 응답은 단계 62에서 평가된다. 응답이 유효한 경우, 메시지는 타겟으로 전송된다(단계 64). 그렇지 않은 경우, 메시지는 드롭된다(단계 66).If the received message is a response (step 60), this response is evaluated in step 62. If the response is valid, the message is sent to the target (step 64). Otherwise, the message is dropped (step 66).

수신된 메시지가 요구도 아니고 응답도 아닌 경우(단계 68), 메시지는 타겟으로 전송된다(단계 70).If the received message is neither a request nor a response (step 68), the message is sent to the target (step 70).

Claims (16)

고속 네트워크에 있어서 침입에 대해 타겟을 보호하는 방법으로서,As a method of protecting a target against intrusion in a high speed network, 상기 네트워크 내의 특정 노드에 연관된 소스ID에 의해 식별된 개시자로부터 요구를 수신한 후에, 질의를 발생시키는 단계와, After receiving a request from an initiator identified by a source ID associated with a particular node in the network, generating a query; 상기 질의를 상기 소스ID에 의해 식별된 노드에 전송하는 단계와, Sending the query to the node identified by the source ID; 상기 질의에 대한 응답이 수신된 경우, 상기 응답을 평가하는 단계와, When a response to the query is received, evaluating the response; 적절한 응답이 수신된 경우, 상기 타겟으로부터 상기 개시자로 추가 메시지를 전송함으로써 상기 개시자와 상기 타겟 사이의 통신을 인에이블링(enabling)하는 단계Enabling communication between the initiator and the target by sending an additional message from the target to the initiator when an appropriate response is received. 를 포함하는 타겟을 보호하는 방법.How to protect the target comprising a. 제 1 항에 있어서,The method of claim 1, 상기 방법은 3중 방식 핸드셰이크 프로토콜(handshake protocol)로 내장되는 타겟을 보호하는 방법.The method is a method for protecting a target embedded in a three-way handshake protocol. 제 2 항에 있어서,The method of claim 2, 상기 질의를 발생시키고 상기 응답을 평가하는 단계는 개별적인 모듈로 수행 되는 타겟을 보호하는 방법.Generating the query and evaluating the response is performed in a separate module. 제 3 항에 있어서,The method of claim 3, wherein 상기 개별적인 모듈은 하드웨어 모듈로 내장되는 타겟을 보호하는 방법.Said individual module protecting a target embedded as a hardware module. 제 1 항에 있어서,The method of claim 1, 상기 질의는 상기 소스ID 및 상기 타겟과 연관된 파라미터를 포함하는 타겟을 보호하는 방법. The query includes a parameter associated with the source ID and the target. 제 1 항에 있어서,The method of claim 1, 상기 질의를 암호화하는 단계를 더 포함하는 타겟을 보호하는 방법.Encrypting the query further comprising: encrypting the query. 제 1 항에 있어서,The method of claim 1, 개시자 관련 정보를 테이블에 입력하는 단계를 더 포함하는 타겟을 보호하는 방법.And entering the initiator related information into the table. 제 1 항에 있어서,The method of claim 1, 상기 네트워크는 인피니밴드(InfiniBand) 네트워크인 타겟을 보호하는 방법.And wherein said network is an InfiniBand network. 고속 네트워크에 있어서 침입에 대해 타겟을 보호하는 모듈로서,A module that protects a target against intrusion in a high speed network. 요구에 의해 트리거된 질의를 발생시키는 수단과,Means for generating a query triggered by the request, 이러한 질의에 대한 응답을 평가하는 수단Means for evaluating responses to these queries 을 포함하는 타겟을 보호하는 모듈.Module to protect the target comprising a. 제 9 항에 있어서,The method of claim 9, 상기 모듈은 하드웨어 모듈에 내장되는 타겟을 보호하는 모듈.The module protects a target embedded in a hardware module. 제 10 항 있어서,The method of claim 10, 상기 모듈은 네트워크 어댑터 하우징(network adapter housing)에 통합되는 타겟을 보호하는 모듈.The module protecting a target integrated into a network adapter housing. 제 10 항에 있어서,The method of claim 10, 상기 모듈은 개별적인 하우징에 통합되는 타겟을 보호하는 모듈.The module protects the target integrated in a separate housing. 제 10 항에 있어서,The method of claim 10, 상기 모듈은 소프트웨어 모듈에 내장되는 타겟을 보호하는 모듈.Said module protecting a target embedded in a software module. 컴퓨터 상에서 컴퓨터 프로그램이 실행되는 경우 청구항 제 1 항 내지 청구항 제 8 항 중 어느 한 항에 따른 방법을 수행하는데 적합한 프로그램 코딩 수단을 갖는 컴퓨터 판독 가능한 매체 상에 저장된 상기 컴퓨터 프로그램 및 상기 컴퓨터 판독 가능한 매체를 갖는 컴퓨터 프로그램 제품.The computer program and the computer readable medium stored on a computer readable medium having program coding means suitable for carrying out the method according to any one of claims 1 to 8 when the computer program is executed on a computer. Having a computer program product. 컴퓨터 상에서 컴퓨터 프로그램이 실행되는 경우 청구항 제 1 항 내지 청구항 제 8 항 중 어느 한 항에 따른 방법을 수행하는데 적합한 프로그램 코딩 수단을 갖는 컴퓨터 프로그램.A computer program having program coding means suitable for carrying out the method according to any one of claims 1 to 8 when the computer program is executed on a computer. 공통 핸드셰이크 프로토콜(common handshake protocol)을 이용하여, 타겟에서 고속 네트워크에 있어서의 요구를 취급하는 방법으로서,As a method of handling a request in a high speed network at a target by using a common handshake protocol, 상기 타겟의 부하가 사전 결정된 임계값을 초과하자마자, 청구항 제 1 항 내지 청구항 제 8 항 중 어느 한 항에 따른 방법에 의해 상기 공통 핸드셰이크 프로토콜이 보정되는 타겟에서 고속 네트워크에 있어서의 요구를 취급하는 방법.As soon as the load of the target exceeds a predetermined threshold, the target in which the common handshake protocol is to be corrected by the method according to any one of claims 1 to 8 is handled. Way.
KR1020067025183A 2004-06-04 2005-04-07 Method for protecting against attacks in a high-speed network KR20070018101A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020067025183A KR20070018101A (en) 2004-06-04 2005-04-07 Method for protecting against attacks in a high-speed network

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
EP04102532.1 2004-06-04
KR1020067025183A KR20070018101A (en) 2004-06-04 2005-04-07 Method for protecting against attacks in a high-speed network

Publications (1)

Publication Number Publication Date
KR20070018101A true KR20070018101A (en) 2007-02-13

Family

ID=43651649

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020067025183A KR20070018101A (en) 2004-06-04 2005-04-07 Method for protecting against attacks in a high-speed network

Country Status (1)

Country Link
KR (1) KR20070018101A (en)

Similar Documents

Publication Publication Date Title
US7254133B2 (en) Prevention of denial of service attacks
US6915426B1 (en) System and method for enabling authentication at different authentication strength-performance levels
US6842860B1 (en) System and method for selectively authenticating data
US6976168B1 (en) System and method for adaptive cryptographically synchronized authentication
US6845449B1 (en) System and method for fast nested message authentication codes and error correction codes
JP2007089147A (en) Method for authentication
US10700865B1 (en) System and method for granting secure access to computing services hidden in trusted computing environments to an unsecure requestor
Tawalbeh et al. Lightweight crypto and security
US10841840B2 (en) Processing packets in a computer system
Caimi et al. Security in many-core SoCs leveraged by opaque secure zones
US10491570B2 (en) Method for transmitting data, method for receiving data, corresponding devices and programs
Darwish et al. A model to authenticate requests for online banking transactions
Alani IoT lotto: Utilizing IoT devices in brute-force attacks
EP4333360A1 (en) Securing network communications using dynamically and locally generated secret keys
EP1845468B1 (en) Method, computer network system and gate for identifying and controlling unsolicited traffic
US20080289004A1 (en) Method and Module for Protecting Against Attacks in a High-Speed Network
KR20070018101A (en) Method for protecting against attacks in a high-speed network
Silva et al. Confidentiality and Authenticity in a Platform Based on Network-on-Chip
Kumar et al. Comparative Analysis of Security Techniques in Internet of Things
US9942196B2 (en) Canonical network isolator component
Rhbech et al. An optimized and intelligent security-based message queuing protocol S-MQTT applied to medical IOT COVID-19 DATA monitoring platforms
WO2007138876A1 (en) Communication node authentication system and method, and communication node authentication program
Sharma Mobile Agent-Based Authentication: A Model for User Authentication in a Distributed System
Anand et al. Enhancing Security for IoT Devices using Software Defined Networking (SDN)
Elzein et al. Analyzing the challenges of security threats and personal information in mobile cloud computing infrastructure

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
NORF Unpaid initial registration fee