KR20190046502A

KR20190046502A - IPv6 주소를 할당/관리하는 장치 및 그 방법

Info

Publication number: KR20190046502A
Application number: KR1020170140384A
Authority: KR
Inventors: 조용환; 신동군
Original assignee: 성균관대학교산학협력단
Priority date: 2017-10-26
Filing date: 2017-10-26
Publication date: 2019-05-07

Abstract

본 발명은 IPv6 주소를 할당/관리하는 장치 및 그 방법에 관한 것이다. 구체적으로, 관리자가 허용한 매체 액세스 제어(MAC: Medium Access Control)을 가진 노드가 IP를 요청하였을 때 지정된 프리픽스(prefix)를 IP에 담아 할당하는 단계, 허용되지 않은 IP를 사용하는 노드의 차단을 위해 라우터 디스커버리(RD: Router Discovery), 이웃 디스커버리(ND: Neighbor Discovery) 패킷을 이용하여 해당 네트워크 대역의 사용중인 IP를 수집하는 단계, 라우터 광고(RA: Router Advertisement) 패킷을 이용하여 지속적인 포지셔닝(Poisoning)으로 비관리 IP를 사용하는 노드를 차단하는 단계를 포함한다.

Description

IPv6 주소를 할당/관리하는 장치 및 그 방법{METHOD AND APPARATUS FOR CONTROLLING IPV6 ADDRESS}

본 발명은 IPv6(Internet Protocol version 6) 주소를 할당/관리하는 네트워크 시스템 및 그 방법에 관한 것이다.

IPv6은 32비트 주소길이를 가지는 IPv4(Internet Protocol version 4) 프로토콜을 4배 확장한 차세대 주소 체계로서, 128비트의 주소 길이를 사용하여 무한대에 이르는 주소를 생성할 수 있다. 하지만, IPv4주소형식에 비해 길고 복잡한 형태를 가지고 있고, 동적 호스트 구성 프로토콜(DHCP: Dynamic Host Configuration Protocol) 서버 없이도 스스로 IP(Internet Protocol) 생성/사용이 가능한 Stateless 방식 지원으로 기업 트워크 환경의 관리자가 많은 수의 노드를 관리하기엔 어려움이 따른다.

본 발명에서는 IPv6(Internet Protocol version 6) 주소를 할당/관리하는 네트워크 시스템 및 그 방법을 제안한다.

본 발명의 일 양상은, 관리자가 허용한 매체 액세스 제어(MAC: Medium Access Control)을 가진 노드가 IP를 요청하였을 때 지정된 프리픽스(prefix)를 IP에 담아 할당하는 단계, 허용되지 않은 IP를 사용하는 노드의 차단을 위해 라우터 디스커버리(RD: Router Discovery), 이웃 디스커버리(ND: Neighbor Discovery) 패킷을 이용하여 해당 네트워크 대역의 사용중인 IP를 수집하는 단계, 라우터 광고(RA: Router Advertisement) 패킷을 이용하여 지속적인 포지셔닝(Poisoning)으로 비관리 IP를 사용하는 노드를 차단하는 단계를 포함한다.

본 발명에 따르면, 본 발명에서의 IPv6 관리 시스템은 노드가 IP요청시 대역별로 네트워크 관리자가 설정한 prefix문자열을 IP에 넣고 할당하여, 길고 복잡한 형식을 가지고 있는 IPv6의 단점을 보완한다.

또한, 본 발명에 따른 IPv6 관리 시스템은 해당 시스템이 할당한 IP를 사용하지 않는 노드들은 포지셔닝(Poisoning)을 사용한 차단을 통하여 외부와의 통신을 차단하여 정보유출과 보안성 향상에 도움을 준다.

또한, 본 발명에 따른 IPv6 관리 시스템은 네트워크의 물리적인 구성 변경 없이도 IPv6 관리 시스템을 이용 가능하다.

또한, 본 발명에 따른 IPv6 관리 시스템은 게이트웨이 설정을 변경하지 않아도 된다.

또한, 본 발명에 따른 IPv6 관리 시스템은 네트워크 관리자가 IPv6 주소를 보고 해당 노드가 어떤 위치에 존재하는 노드인지 쉽게 유추가 가능하다.

또한, 본 발명에 따른 IPv6 관리 시스템은 관리자가 알 지 못하는 노드는 외부망 인터넷을 사용하지 못하도록 차단할 수 있다.

또한, 본 발명에 따른 IPv6 관리 시스템은 노드가 IP 요청시 대역별로 네트워크 관리자가 설정한 prefix문자열을 IP에 넣고 할당하여, 길고 복잡한 형식을 가지고 있는 IPv6의 단점을 보완할 수 있다.

또한, 본 발명에 따른 IPv6 관리 시스템은 해당 시스템이 할당한 IP를 사용하지 않는 노드들은 Poisoning을 사용한 차단을 통하여 외부와의 통신을 막을 수 있다.

또한, 본 발명에 따른 IPv6 관리 시스템은 관리자가 IPv4 환경을 사용했을 때보다도 쉽게 IP 대역 인지가 가능하다.

또한, 본 발명에 따른 IPv6 관리 시스템은 관리자가 알지 못하는 IP를 사용하는 노드가 외부와 통신하는 것을 방지함으로써, 정보유출 방지 및 보안성 향상시킬 수 있다.

도 1은 본 발명의 일 실시예에 따른 네트워크 구성도를 예시한다.
도 2는 본 발명의 일 실시예에 따른 노드가 먼저 패킷을 전송했을 때의 흐름도를 예시한다.
도 3은 본 발명의 일 실시예에 따른 같은 네트워크 대역 상에 노드 정보를 수집하여 차단을 진행하는 흐름도를 예시한다.

이하, 본 발명에 따른 바람직한 실시 형태를 첨부된 도면을 참조하여 상세하게 설명한다. 첨부된 도면과 함께 이하에 개시될 상세한 설명은 본 발명의 예시적인 실시형태를 설명하고자 하는 것이며, 본 발명이 실시될 수 있는 유일한 실시형태를 나타내고자 하는 것이 아니다. 이하의 상세한 설명은 본 발명의 완전한 이해를 제공하기 위해서 구체적 세부사항을 포함한다. 그러나, 당업자는 본 발명이 이러한 구체적 세부사항 없이도 실시될 수 있음을 안다.

몇몇 경우, 본 발명의 개념이 모호해지는 것을 피하기 위하여 공지의 구조 및 장치는 생략되거나, 각 구조 및 장치의 핵심기능을 중심으로 한 블록도 형식으로 도시될 수 있다.

이하의 설명에서 사용되는 특정 용어들은 본 발명의 이해를 돕기 위해서 제공된 것이며, 이러한 특정 용어의 사용은 본 발명의 기술적 사상을 벗어나지 않는 범위에서 다른 형태로 변경될 수 있다.

도 1은 본 발명의 일 실시예에 따른 네트워크 구성도를 예시한다.

본 발명의 일 실시예에 따른 네트워크는 라우터, 네트워크 스위치, DHCP 할당/차단 모듈(장치)(혹은 DHCP 할당/차단 모듈이 탑재된 임베디드 시스템 장치), 그리고 하나 이상의 노드를 포함한다.

도 2는 본 발명의 일 실시예에 따른 노드가 먼저 패킷을 전송했을 때의 흐름도를 예시한다.

- IP 할당 시나리오

1. DHCP 할당/차단 모듈이 올라가있는 임베디드 시스템 장비는 노드와 같은 네트워크 내부에 위치한다.

2. 해당 모듈에는 인터페이스 대역별로 관리자가 알 수 있는 프리픽스(Prefix)가 설정되어 있어야 한다.

3. IPv6를 사용하는 노드가 인터넷을 사용하기 위해 DHCPv6 과정을 통하여 IP를 할당 요청한다.

4. 할당 시스템은 인터페이스 대역에 따라 설정되어있는 문자열을 IPv6 패킷에 넣어 할당한다. (64 서브넷 마스트(subnetmask) 일 경우 3, 4번째 필드에 문자열을 넣을 수 있다.)

도 3은 본 발명의 일 실시예에 따른 같은 네트워크 대역 상에 노드 정보를 수집하여 차단을 진행하는 흐름도를 예시한다.

- 차단 시나리오

2. 관리자가 허용한 적이 없는 외부 노드를 내부망에 위치시키고 IP를 사용자가 임의로 Static하게 설정하여 외부와 통신을 시도한다.

3. 본 관리장비는 주기적으로 ND(Neighbor Discovery)를 전송하여, 해당 네트워크 대역에 있는 노드를 탐지한다. 혹은 IP를 무단으로 사용하고 있는 사용자가 RD(Router Discovery), ND(Neighbor Discovery) 패킷을 발생시키면 해당 노드를 탐지한다.

4. 본 관리장비가 할당한 적이 없는 IP를 사용하고 있는 노드에 RA(Router Discovery)패킷을 주기적으로 보내 외부와 연결되어있는 게이트웨이(Gateway) MAC을 본 관리장비의 MAC으로 포지셔닝(Poisoning)하여 차단한다.

이상에서 설명된 실시예들은 본 발명의 구성요소들과 특징들이 소정 형태로 결합된 것들이다. 각 구성요소 또는 특징은 별도의 명시적 언급이 없는 한 선택적인 것으로 고려되어야 한다. 각 구성요소 또는 특징은 다른 구성요소나 특징과 결합되지 않은 형태로 실시될 수 있다. 또한, 일부 구성요소들 및/또는 특징들을 결합하여 본 발명의 실시예를 구성하는 것도 가능하다. 본 발명의 실시예들에서 설명되는 동작들의 순서는 변경될 수 있다. 어느 실시예의 일부 구성이나 특징은 다른 실시예에 포함될 수 있고, 또는 다른 실시예의 대응하는 구성 또는 특징과 교체될 수 있다. 특허청구범위에서 명시적인 인용 관계가 있지 않은 청구항들을 결합하여 실시예를 구성하거나 출원 후의 보정에 의해 새로운 청구항으로 포함시킬 수 있음은 자명하다.

본 발명에 따른 실시예는 다양한 수단, 예를 들어, 하드웨어, 펌웨어(Firmware), 소프트웨어 또는 그것들의 결합 등에 의해 구현될 수 있다. 하드웨어에 의한 구현의 경우, 본 발명의 일 실시예는 하나 또는 그 이상의 ASICs(application specific integrated circuits), DSPs(digital signal processors), DSPDs(digital signal processing devices), PLDs(programmable logic devices), FPGAs(field programmable gate arrays), 프로세서, 콘트롤러, 마이크로 콘트롤러, 마이크로 프로세서 등에 의해 구현될 수 있다.

펌웨어나 소프트웨어에 의한 구현의 경우, 본 발명의 일 실시예는 이상에서 설명된 기능 또는 동작들을 수행하는 모듈, 절차, 함수 등의 형태로 구현될 수 있다. 소프트웨어 코드는 메모리에 저장되어 프로세서에 의해 구동될 수 있다. 상기 메모리는 상기 프로세서 내부 또는 외부에 위치하여, 이미 공지된 다양한 수단에 의해 상기 프로세서와 데이터를 주고 받을 수 있다.

본 발명은 본 발명의 필수적 특징을 벗어나지 않는 범위에서 다른 특정한 형태로 구체화될 수 있음은 당업자에게 자명하다. 따라서, 상술한 상세한 설명은 모든 면에서 제한적으로 해석되어서는 아니 되고 예시적인 것으로 고려되어야 한다. 본 발명의 범위는 첨부된 청구항의 합리적 해석에 의해 결정되어야 하고, 본 발명의 등가적 범위 내에서의 모든 변경은 본 발명의 범위에 포함된다.

Claims

IPv6(Internet Protocol version 6) 주소를 할당/관리하는 방법에 있어서,
관리자가 허용한 매체 액세스 제어(MAC: Medium Access Control)을 가진 노드가 IP를 요청하였을 때 지정된 프리픽스(prefix)를 IP에 담아 할당하는 단계;
허용되지 않은 IP를 사용하는 노드의 차단을 위해 라우터 디스커버리(RD: Router Discovery), 이웃 디스커버리(ND: Neighbor Discovery) 패킷을 이용하여 해당 네트워크 대역의 사용중인 IP를 수집하는 단계; 및
라우터 광고(RA: Router Advertisement) 패킷을 이용하여 지속적인 포지셔닝(Poisoning)으로 비관리 IP를 사용하는 노드를 차단하는 단계를 포함하는 IPv6 주소 할당/관리 방법.