KR20170105716A - 네트워크 라우팅 보안 장치 및 방법 - Google Patents
네트워크 라우팅 보안 장치 및 방법 Download PDFInfo
- Publication number
- KR20170105716A KR20170105716A KR1020160028625A KR20160028625A KR20170105716A KR 20170105716 A KR20170105716 A KR 20170105716A KR 1020160028625 A KR1020160028625 A KR 1020160028625A KR 20160028625 A KR20160028625 A KR 20160028625A KR 20170105716 A KR20170105716 A KR 20170105716A
- Authority
- KR
- South Korea
- Prior art keywords
- information
- peer
- node
- network
- time
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/104—Peer-to-peer [P2P] networks
- H04L67/1061—Peer-to-peer [P2P] networks using node-based peer discovery mechanisms
- H04L67/1065—Discovery involving distributed pre-established resource-based relationships among peers, e.g. based on distributed hash tables [DHT]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- H04L67/16—
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
네트워크 라우팅 보안 장치 및 방법이 개시된다. 본 발명의 일실시예에 따른 네트워크 라우팅 보안 장치는 피어를 노드에 참여시키기 위해 상기 피어의 공개키를 해시(HASH)한 값으로 상기 피어의 ID를 생성하는 ID 생성부; 코드 라우팅 기법(CHORD ROUTING SCHEME)을 이용하여 상기 피어가 필요한 정보를 보유한 다른 노드에 상기 정보를 요청하는 정보 요청부 및 상기 피어가 상기 정보를 제공 받지 못한 경우, 상기 다른 노드의 인접 노드에 상기 정보를 요청하는 정보 재요청부를 포함한다.
Description
본 발명은 DHT(Distributed Hash Table) 기반 P2P 오버레이 네트워크에서 악의적인 노드에 의해 라우팅을 방해하는 공격에 대응하기 위한 보안기술에 대한 것이다.
본 발명의 적용 대상은 분산형 및 구조적인(structured) P2P 네트워크이다. 분산형 P2P 시스템은 중앙 서버의 통제 없이 스스로 조직되는 오버레이 네트워크이다. 그리고 이 중 CAN, Chord, Pastry, Tapestry 와 같이 특정 그래프 구조를 가지는 오버레이 네트워크를 Structured P2P 네트워크이라 한다. Structured P2P 네트워크에선 한 피어가 컨텐츠의 위치를 알고 싶을 때, 정해진 수의 홉 내에서 그 컨텐츠를 소유한 피어의 위치 정보를 획득할 수 있도록 해주는 라우팅 알고리즘이 사용된다.
예를 들어, DHT(Distributed Hash Table)를 사용하는 Chord의 경우, m-bit 원형 가상 식별자 공간에 해시 함수로 얻어진 노드와 컨텐츠의 식별자를 배치한 후, 컨텐츠를 소유한 노드의 위치 정보를 분산 저장한다. 이 위치 정보를 알아내기 위해서 핑거 테이블(Finger Table)이라 불리는 라우팅 테이블이 사용되는데, 최대 O(logN)의 라우팅 메시지 전송 만으로 원하는 컨텐츠의 위치 정보를 획득할 수 있다.
DHT 기반 P2P 오버레이 네트워크에서 사용하는 라우팅 알고리즘에는 취약성이 존재하는데, 자신의 ID를 계속 변경하며 공격하는 노드, 라우팅 트래픽을 폭증시켜 공격하는 노드 등이 있다.
자신의 ID를 계속 변경하며 공격하는 노드는 공격대상의 라우팅 경로에 자신을 위치 시키기 위해 임의의 ID를 사용하는 공격 포함한다.
이 때, 자신의 ID를 계속 변경하며 공격하는 노드는 라우팅 정보 요청 받았을 때 거짓 정보 또는 거짓 라우팅 업데이트 정보를 제공한다.
라우팅 트래픽을 폭증시켜 공격하는 노드는 자신의 DHT기반 P2P 네트워크에 참여(join), 탈퇴(leave)반복하여 라우팅 테이블 업데이트를 위한 트래픽을 폭증시키는 공격이다.
DHT 기반 오버레이 네트워크는 그 특성상 새로운 노드가 참여하거나 빠져나가는 경우, 일부 피어들의 라우팅 테이블을 업데이트 해야 하며 이 과정에서 라우팅 테이블 업데이트 메시지들이 전송된다.
한편, 한국공개특허 제 10-2009-0061731 호의 "P2P 네트워크 상에서의 보안 그룹 생성 방법, 생성장치, 인증 방법, 인증 장치" 는 P2P 네트워크 상에서 콘텐츠나 데이터의 공유를 위하여 특정 단말들만 참여할 수 있는 보안 그룹을 생성하고 이 그룹에 참여하도록 허락된 특정 단말들을 인증하는 P2P 네트워크 상에서의 보안 그룹 생성 방법, 생성 장치, 인증 방법, 인증장치에 관하여 개시하고 있다.
그러나, 한국공개특허 제 10-2009-0061731 호는 이미 P2P 네트워크 상에 참여한 악의적인 노드에 따른 보안 위협을 방지하는 방법에 대해서는 침묵하고 있다.
본 발명은 DHT 기반의 오버레이 네트워크에서 악의적인 노드에 대한 보안위협을 방지하는 것을 목적으로 한다.
또한, 본 발명은 악의적인 노드에 대한 보안 위협으로부터 높은 성공률의 라우팅을 제공하는 것을 목적으로 한다.
또한, 본 발명은 향후 IoT 등 오버레이 네트워킹 기반의 서비스에서 안전한 서비스를 제공하는 것을 목적으로 한다.
상기한 목적을 달성하기 위한 본 발명의 일실시예에 따른 네트워크 라우팅 보안 장치는 피어를 노드에 참여시키기 위해 상기 피어의 공개키를 해시(HASH)한 값으로 상기 피어의 ID를 생성하는 ID 생성부; 코드 라우팅 기법(CHORD ROUTING SCHEME)을 이용하여 상기 피어가 필요한 정보를 보유한 다른 노드에 상기 정보를 요청하는 정보 요청부 및 상기 피어가 상기 정보를 제공 받지 못한 경우, 상기 다른 노드의 인접 노드에 상기 정보를 요청하는 정보 재요청부를 포함한다.
이 때, 상기 피어가 참여를 종료한 노드 및 상기 정보를 요청 받았던 노드에 대하여 새로운 피어의 참여 및 새로운 정보 요청에 대한 접근 시간 제한을 부여하는 접근 제어부를 더 포함할 수 있다.
이 때, 상기 정보 재요청부는 상기 피어가 상기 정보를 제공 받을 때까지, 상기 다른 노드로부터 가장한 인접한 노드 순으로 결정된 상기 인접 노드에 순차적으로 상기 정보에 대하여 요청할 수 있다.
이 때, 상기 정보 재요청부는 상기 피어가 상기 정보를 제공하지 못한 노드에 대한 정보를 평판 관리 서버에 전송할 수 있다.
이 때, 상기 평판 관리 서버는 수신한 정보에 기반하여 상기 피어가 상기 정보를 제공하지 못한 노드의 신뢰도 계산을 수행할 수 있다.
또한, 상기한 목적을 달성하기 위한 본 발명의 일실시예에 따른 네트워크 라우팅 보안 방법은 네트워크 라우팅 보안 장치를 이용하는 방법에 있어서, 피어를 노드에 참여시키기 위해 상기 피어의 공개키를 해시(HASH)한 값으로 상기 피어의 ID를 생성하는 단계; Chord 라우팅 방법을 이용하여 상기 피어가 필요한 정보를 보유한 다른 노드에 상기 정보를 요청하는 단계 및 상기 피어가 상기 정보를 제공 받지 못한 경우, 상기 다른 노드의 인접 노드에 상기 정보를 요청하는 단계를 포함한다.
이 때, 상기 인접 노드에 상기 상기 정보를 요청하는 단계 이후에 상기 피어가 참여를 종료한 노드 및 상기 정보를 요청 받았던 노드에 대하여 새로운 피어의 참여 및 새로운 정보 요청에 대한 접근 시간 제한을 부여하는 단계를 더 포함할 수 있다.
이 때, 상기 인접 노드에 상기 정보를 요청하는 단계는 상기 피어가 상기 정보를 제공 받을 때까지, 상기 다른 노드로부터 가장한 인접한 노드 순으로 결정된 상기 인접 노드에 순차적으로 상기 정보에 대하여 요청할 수 있다.
이 때, 상기 인접 노드에 상기 정보를 요청하는 단계는 상기 피어가 상기 정보를 제공하지 못한 노드에 대한 정보를 평판 관리 서버에 전송할 수 있다.
이 때, 상기 평판 관리 서버는 수신한 정보에 기반하여 상기 피어가 상기 정보를 제공하지 못한 노드의 신뢰도 계산을 수행할 수 있다.
본 발명은 DHT 기반의 오버레이 네트워크에서 악의적인 노드에 대한 보안위협을 방지할 수 있다.
또한, 본 발명은 악의적인 노드에 대한 보안 위협으로부터 높은 성공률의 라우팅을 제공할 수 있다.
또한, 본 발명은 향후 IoT 등 오버레이 네트워킹 기반의 서비스에서 안전한 서비스를 제공할 수 있다.
도 1은 본 발명의 일실시예에 따른 네트워크 라우팅 보안 장치를 나타낸 블록도이다.
도 2는 본 발명의 일실시예에 따른 네트워크 라우팅 보안 방법을 나타낸 동작 흐름도이다.
도 3은 도 2에 도시된 필요한 정보 재요청 단계를 세부적으로 나타낸 동작 흐름도이다.
도 4는 본 발명의 일실시예에 따른 ID가 생성된 피어를 노드에 참여시키는 과정을 나타낸 도면이다.
도 5는 본 발명의 일실시예에 따른 정보 재요청 과정을 나타낸 도면이다.
도 6은 본 발명의 일실시예에 따른 노드의 접근 시간 제한을 나타낸 도면이다.
도 7은 본 발명의 일실시예에 따른 컴퓨터 시스템을 나타낸 블록도이다.
도 2는 본 발명의 일실시예에 따른 네트워크 라우팅 보안 방법을 나타낸 동작 흐름도이다.
도 3은 도 2에 도시된 필요한 정보 재요청 단계를 세부적으로 나타낸 동작 흐름도이다.
도 4는 본 발명의 일실시예에 따른 ID가 생성된 피어를 노드에 참여시키는 과정을 나타낸 도면이다.
도 5는 본 발명의 일실시예에 따른 정보 재요청 과정을 나타낸 도면이다.
도 6은 본 발명의 일실시예에 따른 노드의 접근 시간 제한을 나타낸 도면이다.
도 7은 본 발명의 일실시예에 따른 컴퓨터 시스템을 나타낸 블록도이다.
본 발명을 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다. 여기서, 반복되는 설명, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능, 및 구성에 대한 상세한 설명은 생략한다. 본 발명의 실시형태는 당 업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다. 따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.
이하, 본 발명에 따른 바람직한 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.
도 1은 본 발명의 일실시예에 따른 네트워크 라우팅 보안 장치를 나타낸 블록도이다.
도 1을 참조하면, 본 발명의 일실시예에 따른 네트워크 라우팅 보안 장치는 ID 생성부(110), 정보 요청부(120), 정보 재요청부(130), 접근 제어부(140) 및 평판 관리 서버(150)를 포함한다.
ID 생성부(110)는 피어의 ID를 생성할 수 있다.
피어의 ID는 피어의 공개키를 해시(HASH) 한 값으로 생성될 수 있다.
해시는 특정 해시 함수를 이용하여 해시 키에 대한 해시를 생성하는 기법일 수 있다.
여기서 피어는 해시 키이고 ID는 해시 일 수 있다.
이 때, ID 생성부(110)는 피어의 ID가 주기적으로 변경되는 것을 제한할 수 있다.
이 때, ID 생성부(110)는 피어의 ID가 공격 용도로 사용되는 것을 제한할 수 있다.
이 때, ID 생성부(110)는 문제 발생시 추적 가능하도록 ID를 생성할 수 있다.
이 때, 피어의 ID는 오버레이 네트워크에 참여하여 노드에 위치하기 위해서 이용될 수 있다.
즉, 노드의 위치는 피어의 ID에 기반하여 결정될 수 있다.
이 때, 오버레이 네트워크는 기존의 네트워크 위에 별도의 노드들(nodes)과 논리적 링크들(logical links)을 구성하여 이루어진 가상 네트워크일 수 있다.
즉, 오버레이 네트워크는 각 링크가 네트워크 내에서 많은 물리적인 링크를 통하지만 물리적인 링크를 고려하여 구성되지는 않는다.
예를 들어, P2P(PEER-TO-PEER) 네트워크는 오버레이 네트워크라고 할 수 있다.
정보 요청부(120)는 코드 라우팅 기법(CHORD ROUTING SCHEME)을 이용하여 피어가 필요로 하는 정보를 보유한 다른 노드에 요청할 수 있다.
코드 라우팅 기법은 피어가 필요로 하는 정보를 피어가 위치한 노드에 존재하는 핑거 테이블에 기반하여 다른 노드에 정보를 요청할 수 있다.
핑거 테이블은 노드들과 각 노드들이 보유한 정보를 포함한 테이블일 수 있다.
이 때, 핑거 테이블은 모든 노드들에 개별적으로 존재할 수 있다.
코드 라우팅 기법을 이용하여 피어가 필요한 정보를 제공받는 예시를 아래에서 설명한다.
예를 들어, 1번 노드의 피어가 1번 키를 찾기 위하여, 자신의 핑거 테이블을 조회한 결과에 기반하여 2번 노드에 정보를 요청할 수 있다.
이 때, 2번 노드는 1번 키를 보유하고 있는지 확인하고, 1번 키가 존재하지 않는 경우 자신의 핑거 테이블을 조회한 결과에 기반하여 3번 노드를 결정할 수 있다.
마지막으로, 3번 노드는 1번 키를 보유하고 있는지 확인하고, 1번 키기 존재하는 경우 1번 키를 정보 요청 피어가 위치한 1번 노드에 1번 키를 전송할 수 있다.
여기서, 노드가 악의적인 피어에게 공격 당한 경우, 악의적인 피어는 핑거 테이블을 임의로 수정하여 거짓 정보를 제공할 수 있다.
정보 재요청부(130)는 피어가 필요한 정보를 제공 받았는지 여부를 확인할 수 있다.
이 때, 정보 재요청부(130)는 피어가 다른 노드로부터 필요한 정보 제공을 실패한 경우, 요청을 받은 다른 노드의 가장 인접한 인접 노드에 정보를 재요청 할 수 있다.
이 때, 정보 재요청부(130)는 상기 다른 노드와 가장 인접한 노드를 인접 노드로 결정할 수 있다.
이 때, 정보 재요청부(130)는 인접 노드에 코드 라우팅 기법을 이용하여 정보를 요청할 수 있다.
이 때, 정보 재요청부(130)는 피어가 필요한 정보를 제공 받았는지 여부를 확인할 수 있다.
이 때, 정보 재요청부(130)는 피어가 필요한 정보 제공을 실패한 경우, 새로운 인접 노드를 결정하고, 필요한 정보를 요청할 수 있다.
일련의 과정으로, 정보 재요청부(130)는 피어가 정보를 제공 받을 때까지 처음 정보를 요청 받은 상기 다른 노드에서 가장 인접한 노드 순으로 순차적으로 상기 정보를 요청할 수 있다.
이 때, 정보 재요청부(130)는 피어가 필요한 정보 제공을 성공한 경우, 필요한 정보 제공을 실패한 노드들에 대한 정보를 수집할 수 있다.
이 때, 정보 재요청부(130)는 상기 실패한 노드들의 정보를 평판 관리 서버(150)로 전송할 수 있다.
평판 관리 서버(150)는 상기 실패한 노드들의 정보에 기반하여 신뢰도를 계산할 수 있다.
이 때, 신뢰도 계산 방법은 일반적으로 알려진 신뢰도 계산 방법을 이용할 수 있다.
접근 제어부(140)는 피어가 참여한 노드 및 정보 요청을 받았던 모든 노드들에 대한 접근 시간 제한을 부여할 수 있다.
이 때, 접근 제어부(140)는 접근 시간 제한을 부여하는 것으로 특정 피어가 노드에 주기적인 참여 및 탈퇴를 이용하여 발생하는 트래픽을 방지할 수 있다.
이 때, 접근 시간 제한을 부여 받은 노드는 특정 시간 동안 피어의 참여 및 정보 제공 요청을 무시할 수 있다.
도 2는 본 발명의 일실시예에 따른 네트워크 라우팅 보안 방법을 나타낸 동작 흐름도이다.
도 2를 참조하면, 본 발명의 일실시 예에 따른 네트워크 라우팅 보안 방법은 먼저 피어의 ID를 생성할 수 있다(S210)
즉, 단계(S210)는 네트워크 노드에 참여하려는 피어의 ID를 생성할 수 있다.
피어의 ID는 피어의 공개키를 해시(HASH) 한 값으로 생성될 수 있다.
해시는 특정 해시 함수를 이용하여 해시 키에 대한 해시를 생성하는 기법일 수 있다.
여기서 피어는 해시 키이고 ID는 해시 일 수 있다.
이 때, 단계(S210)는 피어의 ID가 주기적으로 변경되는 것을 제한할 수 있다.
이 때, 단계(S210)는 피어의 ID가 공격 용도로 사용되는 것을 제한할 수 있다.
이 때, 단계(S210)는 문제 발생시 추적 가능하도록 ID를 생성할 수 있다.
이 때, 피어의 ID는 오버레이 네트워크에 참여하여 노드에 위치하기 위해서 이용될 수 있다.
이 때, 오버레이 네트워크는 기존의 네트워크 위에 별도의 노드들(nodes)과 논리적 링크들(logical links)을 구성하여 이루어진 가상 네트워크일 수 있다.
즉, 오버레이 네트워크는 각 링크가 네트워크 내에서 많은 물리적인 링크를 통하지만 물리적인 링크를 고려하여 구성되지는 않는다.
예를 들어, P2P(PEER-TO-PEER) 네트워크는 오버레이 네트워크라고 할 수 있다.
또한, 네트워크 라우팅 보안 방법은 피어의 노드를 참여시킬 수 있다(S220).
즉, 단계(S220)는 피어의 ID에 기반하여 네트워크 상의 노드의 위치를 결정할 수 있다.
이 때, 단계(S220)는 결정된 노드에 피어를 참여시킬 수 있다.
또한, 네트워크 라우팅 방법은 필요한 정보를 요청할 수 있다(S230).
즉, 단계(S230)는 요청부(120)는 코드 라우팅 기법(CHORD ROUTING SCHEME)을 이용하여 피어가 필요로 하는 정보를 보유한 다른 노드에 요청할 수 있다.
코드 라우팅 기법은 피어가 필요로 하는 정보를 피어가 위치한 노드에 존재하는 핑거 테이블에 기반하여 다른 노드에 정보를 요청할 수 있다.
핑거 테이블은 노드들과 각 노드들이 보유한 정보를 포함한 테이블일 수 있다.
이 때, 핑거 테이블은 모든 노드들에 개별적으로 존재할 수 있다.
코드 라우팅 기법을 이용하여 피어가 필요한 정보를 제공받는 예시를 아래에서 설명한다.
예를 들어, 1번 노드의 피어가 1번 키를 찾기 위하여, 자신의 핑거 테이블을 조회한 결과에 기반하여 2번 노드에 정보를 요청할 수 있다.
이 때, 2번 노드는 1번 키를 보유하고 있는지 확인하고, 1번 키가 존재하지 않는 경우 자신의 핑거 테이블을 조회한 결과에 기반하여 3번 노드를 결정할 수 있다.
마지막으로, 3번 노드는 1번 키를 보유하고 있는지 확인하고, 1번 키기 존재하는 경우 1번 키를 정보 요청 피어가 위치한 1번 노드에 1번 키를 전송할 수 있다.
여기서, 노드가 악의적인 피어에게 공격 당한 경우, 악의적인 피어는 핑거 테이블을 임의로 수정하여 거짓 정보를 제공할 수 있다.
또한, 네트워크 라우팅 보안 방법은 피어가 필요한 정보를 제공 받았는지 여부를 확인할 수 있다(S240).
즉, 단계(S240)는 피어가 다른 노드로부터 필요한 정보 제공을 실패한 경우, 요청을 받은 다른 노드의 가장 인접한 인접 노드에 정보를 재요청 할 수 있다(S250).
단계(S250)는 먼저 인접 노드를 결정할 수 있다(S251).
이 때, 단계(S251)는 상기 다른 노드와 가장 인접한 노드를 인접 노드로 결정할 수 있다
또한, 단계(S250)는 필요한 정보를 요청할 수 있다(S252).
즉, 단계(S252)는 인접 노드에 코드 라우팅 기법을 이용하여 정보를 요청할 수 있다.
또한, 단계(S250)는 피어가 필요한 정보를 제공 받았는지 여부를 확인할 수 있다(S253).
즉, 단계(S253)는 피어가 필요한 정보 제공을 실패한 경우, 새로운 인접 노드를 결정하고, 필요한 정보를 요청할 수 있다.
일련의 과정으로, 단계(S253)는 피어가 정보를 제공 받을 때까지 처음 정보를 요청 받은 상기 다른 노드에서 가장 인접한 노드 순으로 인접 노드를 결정하고(S251), 순차적으로 상기 정보를 요청할 수 있다(S252).
이 때, 단계(S253)는 피어가 필요한 정보 제공을 성공한 경우, 필요한 정보 제공을 실패한 노드들에 대한 정보를 수집할 수 있다(S254).
즉, 단계(S254)는 상기 실패한 노드들의 정보를 평판 관리 서버(150)로 전송할 수 있다.
또한, 단계(S250)는 신뢰도를 계산할 수 있다(S255)
즉, 단계(S255)는 상기 실패한 노드들의 정보에 기반하여 신뢰도를 계산할 수 있다.
이 때, 신뢰도 계산 방법은 일반적으로 알려진 신뢰도 계산 방법을 이용할 수 있다.
또한, 네트워크 라우팅 보안 방법은 접근 시간 제한을 부여할 수 있다(S260).
즉, 단계(S260)는 피어가 참여한 노드 및 정보 요청을 받았던 모든 노드들에 대한 접근 시간 제한을 부여할 수 있다.
이 때, 단계(S260)는 접근 시간 제한을 부여하는 것으로 특정 피어가 노드에 주기적인 참여 및 탈퇴를 이용하여 발생하는 트래픽을 방지할 수 있다.
이 때, 접근 시간 제한을 부여 받은 노드는 특정 시간 동안 피어의 참여 및 정보 제공 요청을 무시할 수 있다.
도 3은 도 2에 도시된 필요한 정보 재요청 단계를 세부적으로 나타낸 동작 흐름도이다.
도 3을 참조하면, 단계(S250)는 먼저 인접 노드를 결정할 수 있다(S251).
이 때, 단계(S251)는 상기 다른 노드와 가장 인접한 노드를 인접 노드로 결정할 수 있다
또한, 단계(S250)는 필요한 정보를 요청할 수 있다(S252).
즉, 단계(S252)는 인접 노드에 코드 라우팅 기법을 이용하여 정보를 요청할 수 있다.
또한, 단계(S250)는 피어가 필요한 정보를 제공 받았는지 여부를 확인할 수 있다(S253).
즉, 단계(S253)는 피어가 필요한 정보 제공을 실패한 경우, 새로운 인접 노드를 결정하고, 필요한 정보를 요청할 수 있다.
일련의 과정으로, 단계(S253)는 피어가 정보를 제공 받을 때까지 처음 정보를 요청 받은 상기 다른 노드에서 가장 인접한 노드 순으로 인접 노드를 결정하고(S251), 순차적으로 상기 정보를 요청할 수 있다(S252).
이 때, 단계(S253)는 피어가 필요한 정보 제공을 성공한 경우, 필요한 정보 제공을 실패한 노드들에 대한 정보를 수집할 수 있다(S254).
즉, 단계(S254)는 상기 실패한 노드들의 정보를 평판 관리 서버(150)로 전송할 수 있다.
또한, 단계(S250)는 신뢰도를 계산할 수 있다(S255)
즉, 단계(S255)는 상기 실패한 노드들의 정보에 기반하여 신뢰도를 계산할 수 있다.
이 때, 신뢰도 계산 방법은 일반적으로 알려진 신뢰도 계산 방법을 이용할 수 있다.
도 4는 본 발명의 일실시예에 따른 ID가 생성된 피어를 노드에 참여시키는 과정을 나타낸 도면이다.
도 4를 참조하면 기존의 네트워크 위에 별도의 노드들(nodes)과 논리적 링크들(logical links)을 구성하여 오버레이 네트워크가 이루어진 것을 볼 수 있다.
이 때, 오버레이 네트워크는 각 링크가 네트워크 내에서 많은 물리적인 링크를 통하지만 물리적인 링크를 고려하여 구성되지는 않는다.
예를 들어, P2P(PEER-TO-PEER) 네트워크는 오버레이 네트워크라고 할 수 있다.
피어의 ID는 피어의 공개키를 해시(HASH) 한 값으로 생성될 수 있다.
즉, 피어 A는 공개키를 이용하여 해시한 값으로 PeerID_A가 생성된 것을 볼 수 있다.
해시는 특정 해시 함수를 이용하여 해시 키에 대한 해시를 생성하는 기법일 수 있다.
여기서 피어는 해시 키이고 ID는 해시 일 수 있다.
피어의 ID는 생성되어 저장될 수 있다.
따라서, 피어의 ID는 주기적인 변경이 제한될 수 있다.
이 때, 피어의 ID는 공격 용도의 사용이 제한될 수 있다.
이 때, 피어의 ID는 오버레이 네트워크에 참여하여 노드에 위치하기 위해서 이용될 수 있다.
즉, 노드의 위치는 피어의 ID에 기반하여 결정될 수 있다.
따라서, 피어 A는 피어 ID인 PeerID_A를 이용하여 오버레이 네트워크 상의 노드에 참여할 수 있다.
도 5는 본 발명의 일실시예에 따른 정보 재요청 과정을 나타낸 도면이다.
도 5를 참조하면, 오버레이 네트워크 상에 피어 A 가 필요한 정보를 요청하는 것을 볼 수 있다.
1.
노드에 정보 요청
피어 A는 코드 라우팅 기법을 이용하여 다른 노드에 필요한 정보(1번 키)를 요청하는 것을 볼 수 있다.
2.
잘못된 노드에 요청
노드는 악의적인 피어에 의해 핑거 테이블이 수정되어 필요한 정보를 보유한 노드가 아닌 잘못된 노드에 정보를 요청하는 것으로, 정보 제공이 실패하는 것을 볼 수 있다.
3.
인접 노드에 정보 요청
따라서, 최초 정보를 요청 받은 노드에서 특정 시간이 지나도 정보를 제공 받지 못한 경우, 피어 A는 처음 정보를 요청한 노드에서 가장 인접한 노드에 정보를 요청할 수 있다.
4.
정보 제공
인접 노드가 정상적일 경우 핑거 테이블을 조회하여 1번 키가 존재하는 노드에 요청하여 필요한 정보인 1번 키를 피어가 제공 받는 것을 볼 수 있다.
5.
노드 신뢰도 계산
정보 제공을 실패했던 최초 정보를 요청 받은 노드에 대한 정보를 수집하여 평판 관리 서버(150)로 전송할 수 있다.
이 때, 평판 관리 서버는 일반적으로 알려진 신뢰도 계산 방법을 이용하여 노드의 신뢰도를 계산할 수 있다.
도 6은 본 발명의 일실시예에 따른 노드의 접근 시간 제한을 나타낸 도면이다.
도 6을 참조하면, 오버레이 네트워크 상의 피어의 참여 및 탈퇴가 반복되고, 피어가 노드들에 정보를 요청하는 것을 볼 수 있다.
그러나, 본 발명에 따라 피어가 참여 했던 노드는 특정 시간 동안 접근 시간 제한이 부여될 수 있다.
또한, 피어가 정보를 요청했던 노드들은 모두 특정 시간 동안 접근 시간 제한이 부여될 수 있다.
따라서, 노드에 접근 시간 제한을 부여하는 것으로 특정 피어가 노드에 주기적인 참여 및 탈퇴를 이용하여 발생하는 트래픽을 방지할 수 있다.
이 때, 접근 시간 제한을 부여 받은 노드는 특정 시간 동안 피어의 참여 및 정보 제공 요청을 무시하는 것을 볼 수 있다.
도 7은 본 발명의 일실시예에 따른 컴퓨터 시스템을 나타낸 블록도이다.
도 7을 참조하면, 본 발명의 실시예는 컴퓨터로 읽을 수 있는 기록매체와 같은 컴퓨터 시스템(1100)에서 구현될 수 있다. 도 7에 도시된 바와 같이, 컴퓨터 시스템(1100)은 버스(1120)를 통하여 서로 통신하는 하나 이상의 프로세서(1110), 메모리(1130), 사용자 입력 장치(1140), 사용자 출력 장치(1150) 및 스토리지(1160)를 포함할 수 있다. 또한, 컴퓨터 시스템(1100)은 네트워크(1180)에 연결되는 네트워크 인터페이스(1170)를 더 포함할 수 있다. 프로세서(1110)는 중앙 처리 장치 또는 메모리(1130)나 스토리지(1160)에 저장된 프로세싱 인스트럭션들을 실행하는 반도체 장치일 수 있다. 메모리(1130) 및 스토리지(1160)는 다양한 형태의 휘발성 또는 비휘발성 저장 매체일 수 있다. 예를 들어, 메모리는 ROM(1131)이나 RAM(1132)을 포함할 수 있다.
110: ID 생성부
120: 정보 요청부
130: 정보 재요청부 140: 접근 제어부
150: 평판 관리 서버 1100: 컴퓨터 시스템
1110: 프로세서 1120: 버스
1130: 메모리 1131: 롬
1132: 램 1140: 사용자 입력 장치
1150: 사용자 출력 장치 1160: 스토리지
1170: 네트워크 인터페이스 1180: 네트워크
130: 정보 재요청부 140: 접근 제어부
150: 평판 관리 서버 1100: 컴퓨터 시스템
1110: 프로세서 1120: 버스
1130: 메모리 1131: 롬
1132: 램 1140: 사용자 입력 장치
1150: 사용자 출력 장치 1160: 스토리지
1170: 네트워크 인터페이스 1180: 네트워크
Claims (1)
- 피어를 노드에 참여시키기 위해 상기 피어의 공개키를 해시(HASH)한 값으로 상기 피어의 ID를 생성하는 ID 생성부;
코드 라우팅 기법(CHORD ROUTING SCHEME)을 이용하여 상기 피어가 필요한 정보를 보유한 다른 노드에 상기 정보를 요청하는 정보 요청부; 및
상기 피어가 상기 정보를 제공 받지 못한 경우, 상기 다른 노드의 인접 노드에 상기 정보를 요청하는 정보 재요청부;
를 포함하는 것을 특징으로 하는 네트워크 라우팅 보안 장치.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020160028625A KR20170105716A (ko) | 2016-03-10 | 2016-03-10 | 네트워크 라우팅 보안 장치 및 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020160028625A KR20170105716A (ko) | 2016-03-10 | 2016-03-10 | 네트워크 라우팅 보안 장치 및 방법 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR20170105716A true KR20170105716A (ko) | 2017-09-20 |
Family
ID=60033705
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020160028625A KR20170105716A (ko) | 2016-03-10 | 2016-03-10 | 네트워크 라우팅 보안 장치 및 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR20170105716A (ko) |
-
2016
- 2016-03-10 KR KR1020160028625A patent/KR20170105716A/ko unknown
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2380324B1 (en) | Secure node identifier assignment in a distributed hash table for peer-to-peer networks | |
| US7849303B2 (en) | Peer-to-peer network information storage | |
| Tran et al. | Optimal sybil-resilient node admission control | |
| US8041942B2 (en) | Robust peer-to-peer networks and methods of use thereof | |
| US8365301B2 (en) | Peer-to-peer network communication | |
| Yu et al. | Sybilguard: defending against sybil attacks via social networks | |
| Evans et al. | R5n: Randomized recursive routing for restricted-route networks | |
| AU2018422776B2 (en) | Sybil-resistant identity generation | |
| EP1694027B1 (en) | Peer-to-peer network information | |
| Mahmoud et al. | Privacy-preserving fine-grained data retrieval schemes for mobile social networks | |
| Rana et al. | Privacy-preserving key agreement protocol for fog computing supported internet of things environment | |
| Pradhan et al. | Blockchain based security framework for P2P filesharing system | |
| Zhou et al. | Mercury: Fast Transaction Broadcast in High Performance Blockchain Systems | |
| Gu et al. | Dual attribute-based auditing scheme for fog computing-based data dynamic storage with distributed collaborative verification | |
| Halgamuge | Latency estimation of blockchain-based distributed access control for cyber infrastructure in the iot environment | |
| Wang | Attacks against peer-to-peer networks and countermeasures | |
| KR20170105716A (ko) | 네트워크 라우팅 보안 장치 및 방법 | |
| Ismail et al. | P2p routing table poisoning: A quorum-based sanitizing approach | |
| Kos et al. | U-Sphere: Strengthening scalable flat-name routing for decentralized networks | |
| Neupane | Efficient and Secured Data Lookup Protocol Using Public-Key and Digital Signature Authentication in RC-Based Hierarchical Structured P2P Network | |
| Panchenko et al. | GuardedGossip: secure and anonymous node discovery in untrustworthy networks | |
| Verma et al. | Survey of various trust based QoS-aware routing protocol in MANET | |
| Venkadeshan et al. | Tmv: Trust-matrix-value based neighbor peer selection for secure query forwarding in P2P networks | |
| Caballero‐Gil et al. | Self‐organizing life cycle management of mobile ad hoc networks | |
| Kalaivani et al. | Efficient botnet detection based on reputation model and content auditing in P2P networks |