KR20230121428A - 데이터 중심 네트워킹 환경에서 bgp 보안을 위한 라우팅 정보 인증 방법 및 시스템 - Google Patents
데이터 중심 네트워킹 환경에서 bgp 보안을 위한 라우팅 정보 인증 방법 및 시스템 Download PDFInfo
- Publication number
- KR20230121428A KR20230121428A KR1020220018293A KR20220018293A KR20230121428A KR 20230121428 A KR20230121428 A KR 20230121428A KR 1020220018293 A KR1020220018293 A KR 1020220018293A KR 20220018293 A KR20220018293 A KR 20220018293A KR 20230121428 A KR20230121428 A KR 20230121428A
- Authority
- KR
- South Korea
- Prior art keywords
- bgp
- ndn
- server
- routing information
- router
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 57
- 230000006855 networking Effects 0.000 title claims abstract description 9
- 230000004044 response Effects 0.000 claims abstract description 13
- 101000875302 Solanum tuberosum Cysteine protease inhibitor 2 Proteins 0.000 claims description 14
- 101000588025 Solanum tuberosum Serine protease inhibitor 8 Proteins 0.000 claims description 8
- 238000012545 processing Methods 0.000 claims description 7
- 238000010586 diagram Methods 0.000 description 23
- 230000008569 process Effects 0.000 description 12
- 238000005516 engineering process Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 6
- 238000004891 communication Methods 0.000 description 5
- 230000001902 propagating effect Effects 0.000 description 5
- 230000008901 benefit Effects 0.000 description 4
- 239000000284 extract Substances 0.000 description 3
- 230000002093 peripheral effect Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 239000002360 explosive Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000001151 other effect Effects 0.000 description 1
- 230000010076 replication Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/54—Organization of routing tables
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/30—Types of network names
- H04L2101/35—Types of network names containing special prefixes
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
본 개시는 데이터 중심 네트워킹 환경에서 BGP 보안을 위한 라우팅 정보 등록 방법에 관한 것으로, 제 1 AS 키를 생성하고 생성된 제 1 AS 키를 NDN 서버로 전송하고, 상기 제 1 AS 키에 대응하는 제 1 AS 인증서를 상기 NDN 서버로부터 수신하고, 상기 제 1 AS 인증서를 설치하고 제 2 AS 키를 생성하고, 생성된 상기 제 2 AS 키를 상기 NDN 서버로 전송하고, 상기 제 2 AS 키에 대응하는 제 2 AS 인증서를 상기 NDN 서버로부터 수신하고, 사인 인터레스트를 상기 NDN 서버에 요청하고, 사인 인터레스트 요청을 상기 NDN 서버로부터 수신하고, 암호화된 net-name을 포함하는 응답 데이터를 상기 NDN 서버로 전송하는 것을 요지로 한다.
Description
본 개시는 라우팅 정보 인증 방법 및 시스템에 관한 것으로서, 구체적으로 데이터 중심 네트워킹 환경에서 BGP 보안을 위한 라우팅 정보 인증 방법 및 시스템에 관한 기술이다.
ICT의 폭발적인 발전으로 오늘날의 인터넷은 다양한 형태의 활용 환경으로 진화하고 있다. 1970년대에 등장한 TCP/IP 기술에 기반을 둔 현재의 인터넷 구조는 서비스 위치 종속성 때문에 폭증하는 데이터를 처리하기에는 한계가 있다. 이러한 문제점을 해결하기 위해서, 인터넷이 단순한 데이터 서비스에 그치지 않고 최적의 정보처리를 하면서도 보안, 검색 편의성을 높여주는 차세대 인터넷 기술인 데이터 중심 네트워킹 (Data Centric Networking, 이하 DCN)이 제시되었다. DCN은 데이터에 고유한 이름을 부여하고 보안(데이터 생산자의 서명)을 적용하여 데이터를 원하는 소비자가 부여된 이름 그대로 단순하게 데이터를 검색하고 안전하게 자동으로 데이터를 전달받을 수 있도록 한다.
DCN 환경에서, 특정 도메인 네트워크(Autonomous System, 이하 AS)가 위치한 데이터 생산자는 데이터에 부여한 데이터 이름과 그 도메인 네트워크가 소유한 네트워크 네임 프레픽스(Network Name Prefix)를 한 쌍으로 묶어서 NDNS에 등록한다. 네트워크 네임 프레픽스는 BGPv4의 NLRI와 동일하며 목적지 네트워크를 표현하기 위해 사용되기 때문에 데이터 소비자는 데이터에 붙여진 이름을 사용하여 네트워크 네임 프레픽스를 NDNS로부터 검색한 후 데이터 네임과 네트워크 네임 프레픽스를 한 쌍으로 묶어 데이터 요청 메시지를 발생시켜 DCN 네트워크에 원하는 데이터를 요청한다. DCN 네트워크는 데이터 요청 메시지의 네트워크 네임 프레픽스를 사용하여 다음 도메인 네트워크를 결정하면서 패킷 라우팅을 수행한다. 목적지 도메인 네트워크에 도착한 데이터 요청 메시지는 더 이상 네트워크 네임 프레픽스를 이용하지 않고 대신 데이터 네임을 사용하여 동일 도메인 네트워크에 위치한 목적지 노드까지 전달하게 된다.
따라서, 데이터 요청 메지지가 목적지 도메인 네트워크에 도달하기 위해서 도메인 네트워크 간 라우팅 정보로 사용된 네트워크 네임 프레픽스가 다른 모든 도메인 네트워크에 사전에 전파되어 있어야 한다.
DCN은 기본적으로 패킷 라우팅과 포워딩에 위한 추상적 개념을 가지고 있기 때문에 데이터 네임과 네트워크 네임 프레픽스에 대한 라우팅 정보를 필연적으로 사전에 습득해야 패킷 전달이 가능하다. 먼저, 데이터 네임 프레픽스에 대한 라우팅 정보는 이름 데이터 링크 상태 라우팅 프로토콜(Named-data Link State Routing Protocol, 이하 NLSR)과 같은 인트라 도메인 라우팅 프로토콜인을 통해 동일 도메인 네트워크 내부로 전파된다. NLSR은 NDN 기반의 인터레스트 패킷, 데이터 패킷 형식을 사용하여 이름 기반의 라우팅 정보를 도메인 네트워크 내부에 전파한다. 도메인 네트워크 간 라우팅 정보를 교환하기 위해서는 인터 도메인 라우팅 프로토콜이 필요하다.
IP 인터넷의 인터 도메인 라우팅 프로토콜로는 BGPv4와 S-BGP가 대표적으로 사용되고 있다. BGPv4(Border Gateway Protocol)는 독립적으로 운용되는 대규모 네트워크(AS) 간에 라우팅 정보(IP Address Block)를 교환하기 위해 주로 사용되는 IP 기반의 라우팅 프로토콜이다. BGPv4는 물리적인 라우터 간에 라우팅 정보를 교환하는 것이 아니라 AS 간에 라우팅 정보를 교환하는 것으로 설계되었기 때문에 지금의 인터넷을 각각 고유한 AS 번호가 부여된 AS들을 자의적으로 연결된 AS 집합으로 토폴로지를 구성한다고 가정하는 라우팅 프로토콜이다. 사실상 BGPv4가 인터 도메인 라우팅 프로토콜의 표준으로 자리매김하고 있긴 하지만 보안 기능을 자체적으로 가지고 있지 않아 보안성과 관련한 많은 문제를 야기하고 있는 것도 현실이다.
NDN에 내재된 보안 기술, 예를 들어 비 대칭키를 활용한 서명을 이용하면, 업데이트의 인터레스트 패킷, 데이터 패킷에 대한 신뢰성만 인접 라우터들 사이에서 검증함으로써 기존 BGPv4/S-BGP의 단점을 극복할 수 있다. 하지만 여전히 네트워크 네임 프레픽스를 NDN 서버에 등록할 때, 등록을 시도하는 도메인 네트워크가 합법적인 소유자인지를 검증할 수 있는 방법은 제공 못하고 있다.
이러한 배경에서 도메인 네트워크 간 라우팅 정보를 DCN 기반의 네트워킹 환경에서 교환할 때 기존 기술들은 다음과 같은 문제점들이 있었다.
첫째, DCN은 물리 전송 프로토콜(Ethernet Unicast/Multicast, UDP Unicast/Multicast, TCP, WebSocket)을 지원할 수 있는 하나의 논리 인터페이스를 제공하여 DCN 패킷을 교환한다. 하지만 기존 BGPv4/S-BGP는 TCP/IP와 IPSec을 기반으로 동작하는 프로토콜로써 DCN 환경에서 지원하는 다양한 물리 전송 프로토콜로 구성된 DCN 네트워크 환경에서는 사용할 수 없는 문제가 있다.
둘째, 도메인 네트워크(AS)가 소유한 네트워크 네임 프레픽스를 NDN 서버에 등록할 때, NDN 서버는 등록을 시도하는 네트워크 네임 프레픽스의 합법적인 소유자가 등록을 시도하는지 판단하지 못하는 문제가 있다.
셋째, 인접 라우터로부터 라우팅 정보(BGP 업데이트 메시지)를 수신한 라우터는 합법적인 소유자로부터 최초 라우팅 정보가 출발했는지 판단하지 못하는 문제점이 있었다.
본 개시의 목적은 다양한 물리 링크로 구성된 DCN 네트워크 환경에서 공개키-비밀키 쌍을 이용하여 합법적인 소유자가 도메인 간 라우팅 정보를 NDNS에 등록하고 권한이 부여된 소유자만 라우팅 정보를 도메인 네트워크 간에 분배할 수 있는 BGP 보안 구조를 제공하는 것을 그 목적으로 한다.
본 개시의 목적은 다양한 전송 프로토콜로 구성된 DCN 네트워킹 환경에서 BGP 보안 지원 방법을 제공하는 것을 그 목적으로 한다.
본 개시의 목적은 공개키-비밀키 쌍을 이용하여 암호화된 네트워크 네임 프레픽스를 권한을 가진 소유자가 NDN 서버에 합법적으로 등록하는 방법을 제공하는 것을 그 목적으로 한다.
본 개시의 목적은 공개키-비밀키 쌍을 이용하여 수신된 라우팅 정보가 합법적인 소유권을 가진 BGP 라우터로부터 발생되었는지 검증하는 방법을 제공하는 것을 그 목적으로 한다.
본 개시의 다른 목적 및 장점들은 하기의 설명에 의해서 이해될 수 있으며, 본 개시의 실시예에 의해 보다 분명하게 알게 될 것이다. 또한, 본 개시의 목적 및 장점들은 특허청구범위에 나타낸 수단 및 그 조합에 의해 실현될 수 있음을 쉽게 알 수 있을 것이다.
본 개시의 일 실시예에 따른, 라우팅 정보 등록 방법은, 제 1 AS 키를 생성하고 생성된 제 1 AS 키를 NDN 서버로 전송하는 단계; 상기 제 1 AS 키에 대응하는 제 1 AS 인증서를 상기 NDN 서버로부터 수신하는 단계; 상기 제 1 AS 인증서를 설치하고 제 2 AS 키를 생성하는 단계; 생성된 상기 제 2 AS 키를 상기 NDN 서버로 전송하는 단계; 상기 제 2 AS 키에 대응하는 제 2 AS 인증서를 상기 NDN 서버로부터 수신하는 단계; 사인 인터레스트를 상기 NDN 서버에 요청하는 단계; 사인 인터레스트 요청을 상기 NDN 서버로부터 수신하는 단계; 및 암호화된 net-name을 포함하는 응답 데이터를 상기 NDN 서버로 전송하는 단계를 포함한다.
본 개시의 일 실시예에 따른, 라우팅 정보 등록 방법은, 상기 제 1 AS 키는 인접 관계에 있는 라우터 사이에서 NDN 인터레스트 패킷과 데이터 패킷을 서명하고 검증하는데 사용한다.
본 개시의 일 실시예에 따른, 라우팅 정보 등록 방법은, 상기 제 2 AS 키는 BGP 라우터가 네트워크 네임 프레픽스를 암호화할 때 사용한다.
본 개시의 일 실시예에 따른, 라우팅 정보 등록 방법은, 상기 사인 인터레스트를 상기 NDN 서버에 요청하는 단계는 PKI-2를 이용하여 사인 인터레스트를 상기 NDN 서버에 요청하는 단계를 더 포함한다.
본 개시의 일 실시예에 따른, 라우팅 정보 등록 방법은, 상기 사인 인터레스트 요청을 상기 NDN 서버로부터 수신하는 단계는, NDN 서버키를 이용하여 사인 인터레스트 요청을 상기 NDN 서버로부터 수신하는 단계를 더 포함한다.
본 개시의 일 실시예에 따른, 라우팅 정보 등록 방법은, 상기 암호화된 net-name을 포함하는 응답 데이터를 상기 NDN 서버로 전송하는 단계는 상기 AS 상위 BGP 라우터의 비밀키로 net-name을 암호화하는 단계를 더 포함한다.
본 개시의 일 실시예에 따른, 라우팅 정보 등록 방법은, 제 1 BGP 키를 생성하고 생성된 상기 제 1 BGP 키를 AS 상위 BGP 라우터로 전송하는 단계; 제 1 BGP 인증서를 AS 상위 BGP 라우터로부터 수신하는 단계; 수신된 상기 제 1 BGP 인증서를 설치하는 단계; 제 2 BGP 키를 생성하고 생성된 상기 제 2 BGP 키를 상기 AS 상위 BGP 라우터로 전송하는 단계; 제 2 BGP 인증서를 상기 AS 상위 BGP 라우터로부터 수신하는 단계; 수신된 상기 제 2 BGP 인증서를 설치하는 단계; NDN 서버에 사인 인터레스트를 요청하는 단계; 상기 NDN 서버로부터 사인 인터레스트를 수신하는 단계; 및 암호화된 net-name을 포함하는 응답 데이터를 상기 NDN 서버로 전송하는 단계를 포함한다.
본 개시의 일 실시예에 따른, 라우팅 정보 등록 방법은, 상기 제 1 BGP 키는 PKI-2 서명을 위한 것이다.
본 개시의 일 실시예에 따른, 라우팅 정보 등록 방법은, 상기 제 2 BGP 키는 네트워크 이름을 위하고 PKI-1 서명을 위한 것이다.
본 개시의 일 실시예에 따른, 라우팅 정보 등록 방법은, 상기 AS 상위 BGP 라우터와 BGP 라우터는 상위 관계와 하위 관계를 형성한다.
본 개시의 일 실시예에 따른, 라우팅 정보 등록 방법은, 상기 NDN 서버와 상기 AS 상위 BGP 라우터는 상위 관계와 하위 관계를 형성한다.
본 개시의 일 실시예에 따른, 라우팅 정보 등록 방법은, 상기 암호화된 net-name을 포함하는 응답 데이터를 상기 NDN 서버로 전송하는 단계는 BGP 라우터의 비밀키로 net-name을 암호화하는 단계를 더 포함한다.
본 개시의 일 실시예에 따른, 라우팅 정보 전파 방법은, 업데이트 메시지를 제 1 BGP 라우터로부터 수신하는 단계; 오리진 라우터의 속성으로부터 상기 오리진 라우터의 네임을 추출하는 단계; 사인 인터레스트를 NDN 서버에 요청하는 단계; 인증서 데이터를 상기 NDN 서버로부터 수신하는 단계; 암호화된 NLRI 속성을 복호화하고 NLRI로부터 네트워크 네임을 획득하는 단계; AS-PATH 속성으로부터 오리진 AS 번호를 획득하는 단계; 사인 인터레스트를 상기 NDN 서버에 요청하는 단계; AS 번호와 데이터를 상기 NDN 서버로부터 수신하는 단계; 상기 AS 번호와 상기 오리진 AS 번호를 비교하는 단계; 넷 네임을 다음 경로 속성과 함께 추가하는 단계를 포함한다.
본 개시의 일 실시예에 따른, 라우팅 정보 전파 방법은, 상기 업데이트 메시지는 AS-PATH, 오리진 라우터 및 넷 네임을 포함하는 암호화된 NLRI를 포함한다.
본 개시의 일 실시예에 따른, 라우팅 정보 전파 방법은, 상기 오리진 라우터는 타입 코드, 길이, 변수 값을 포함한다.
본 개시의 일 실시예에 따른, 라우팅 정보 전파 방법은, 상기 제 1 BGP 라우터는 상기 오리진 라우터를 인식하고, 인식 결과를 처리하고, 상기 오리진 라우터를 다른 BGP 라우터에게 전달한다.
본 개시의 일 실시예에 따른, 라우팅 정보 전파 방법은, 상기 제 1 BGP 라우터는 특정 네임 프레픽스에 대한 소유권을 포함하고, 상기 업데이트 메시지를 생성한다.
본 개시의 일 실시예에 따른, 라우팅 정보 전파 방법은, AS-PATH 속성으로부터 오리진 AS 번호를 획득하는 단계는 상기 AS-PATH 속성으로부터 첫번째 AS 번호를 추출하여 획득한다.
본 개시의 일 실시예에 따른, 라우팅 정보 전파 방법은, 상기 AS 번호와 오리진 AS 번호를 비교하는 단계는 상기 AS 번호와 AS-PATH에서 추출한 첫번째 AS 번호가 같은지 확인한다.
본 개시의 일 실시예에 따른, 라우팅 정보 전파 방법은, AS 번호가 동일하면, NEXT-HOP에 해당하는 방향으로 네트워크 네임 프레픽스를 RIB에 등록하는 단계를 더 포함한다.
본 개시의 일 실시예에 따르면, 네트워크 네임 프레픽스에 대한 정당한 소유권자만 BGP 라우팅에 참여해서 라우팅 정보를 비밀키를 이용하여 암호화함으로써 DCN 네트워크에 Network Name Prefix를 직접 노출시키지 않는 장점이 있다.
본 개시의 일 실시예에 따르면, IP만 지원하는 기존 BGPv4/Secure-BGP 대비 다양한 하부 네트워크 링크(Ethernet, IP, TCP, UDP, WebSocket)를 지원하고, NDN의 기본 기능을 변경없이 그대로 사용할 수 있고 보안을 위해 공개키 정보를 UPDATE 패킷에서 직접 운반하는 기존 S-BGP에 비해 패킷 처리에 필요한 CPU 및 메모리 사용량 최소화할 수 있는 장점이 있다.
본 개시에서 얻을 수 있는 효과는 이상에서 언급한 효과들로 제한되지 않으며, 언급하지 않은 또 다른 효과들은 아래의 기재로부터 본 개시가 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
도 1은 본 개시의 일 실시예에 따른, S-BGP의 증명 속성을 도시한 도면이다.
도 2는 본 개시의 일 실시예에 따른, 특정 도메인 네트워크가 소유한 네트워크 네임 프레픽스를 원격 NDNS 클러스트에 위치한 노드까지 전파되는 과정을 도시한 도면이다.
도 3은 본 개시의 일 실시 예에 따른, NDNS 클러스터 내부 네트워크 구조를 도시한 도면이다.
도 4는 본 개시의 일 실시 예에 따른, NDS가 AS 상위 BGP 라우터의 공개키 인증서와 개별 BGP 라우터의 공개키 인증서를 저장하기 위해 필요한 테이블 스키마 정보를 도시한 도면이다.
도 5는 본 개시의 일 실시 예에 따른, NDNS 가 네트워크 네임 프레픽스를 저장하기 위한 테이블 구성을 도시한 도면이다.
도 6은 본 개시의 일 실시 예에 따른, 네 단계로 구성된 PKI 트러스트 모델을 도시한 도면이다.
도 7은 본 개시의 일 실시 예에 따른, AS 상위 BGP 라우터가 두 개의 공개키-비밀키 쌍을 생성해서 자신의 AS 번호와 네트워크 네임 프레픽스를 NDN 서버에 등록하는 과정을 도시한 도면이다.
도 8은 본 개시의 일 실시예에 따른, BGP 라우터가 두 개의 공개키-비밀키 쌍을 생성하고, AS 상위 BGP 라우터로부터 공개키 인증서를 발급받는 과정을 도시한 도면이다.
도 9는 본 개시의 일 실시 예에 따른, 특정 네트워크 네임 프레픽스에 대한 소유권을 가진 라우터가 인접 라우터에게 업데이트 메시지를 생성해서 라우팅 정보를 DCN 네트워크에 전파하는 과정을 도시한 도면이다.
도 10는 본 개시의 일 실시예에 따른, 오리진 라우터의 속성을 설명한 것을 도시한 도면이다.
도 11은 본 개시의 일 실시예에 따른, BGP 라우터의 구성도를 도시한 도면이다.
도 2는 본 개시의 일 실시예에 따른, 특정 도메인 네트워크가 소유한 네트워크 네임 프레픽스를 원격 NDNS 클러스트에 위치한 노드까지 전파되는 과정을 도시한 도면이다.
도 3은 본 개시의 일 실시 예에 따른, NDNS 클러스터 내부 네트워크 구조를 도시한 도면이다.
도 4는 본 개시의 일 실시 예에 따른, NDS가 AS 상위 BGP 라우터의 공개키 인증서와 개별 BGP 라우터의 공개키 인증서를 저장하기 위해 필요한 테이블 스키마 정보를 도시한 도면이다.
도 5는 본 개시의 일 실시 예에 따른, NDNS 가 네트워크 네임 프레픽스를 저장하기 위한 테이블 구성을 도시한 도면이다.
도 6은 본 개시의 일 실시 예에 따른, 네 단계로 구성된 PKI 트러스트 모델을 도시한 도면이다.
도 7은 본 개시의 일 실시 예에 따른, AS 상위 BGP 라우터가 두 개의 공개키-비밀키 쌍을 생성해서 자신의 AS 번호와 네트워크 네임 프레픽스를 NDN 서버에 등록하는 과정을 도시한 도면이다.
도 8은 본 개시의 일 실시예에 따른, BGP 라우터가 두 개의 공개키-비밀키 쌍을 생성하고, AS 상위 BGP 라우터로부터 공개키 인증서를 발급받는 과정을 도시한 도면이다.
도 9는 본 개시의 일 실시 예에 따른, 특정 네트워크 네임 프레픽스에 대한 소유권을 가진 라우터가 인접 라우터에게 업데이트 메시지를 생성해서 라우팅 정보를 DCN 네트워크에 전파하는 과정을 도시한 도면이다.
도 10는 본 개시의 일 실시예에 따른, 오리진 라우터의 속성을 설명한 것을 도시한 도면이다.
도 11은 본 개시의 일 실시예에 따른, BGP 라우터의 구성도를 도시한 도면이다.
이하에서는 첨부한 도면을 참고로 하여 본 개시의 실시 예에 대하여 본 개시가 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나, 본 개시는 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시 예에 한정되지 않는다.
본 개시의 실시 예를 설명함에 있어서 공지 구성 또는 기능에 대한 구체적인 설명이 본 개시의 요지를 흐릴 수 있다고 판단되는 경우에는 그에 대한 상세한 설명은 생략한다. 그리고, 도면에서 본 개시에 대한 설명과 관계없는 부분은 생략하였으며, 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.
본 개시에 있어서, 서로 구별되는 구성요소들은 각각의 특징을 명확하게 설명하기 위함이며, 구성요소들이 반드시 분리되는 것을 의미하지는 않는다. 즉, 복수의 구성요소가 통합되어 하나의 하드웨어 또는 소프트웨어 단위로 이루어질 수도 있고, 하나의 구성요소가 분산되어 복수의 하드웨어 또는 소프트웨어 단위로 이루어질 수도 있다. 따라서, 별도로 언급하지 않더라도 이와 같이 통합된 또는 분산된 실시 예도 본 개시의 범위에 포함된다.
본 개시에 있어서, 다양한 실시 예에서 설명하는 구성요소들이 반드시 필수적인 구성요소들을 의미하는 것은 아니며, 일부는 선택적인 구성요소일 수 있다. 따라서, 일 실시 예에서 설명하는 구성요소들의 부분집합으로 구성되는 실시 예도 본 개시의 범위에 포함된다. 또한, 다양한 실시 예에서 설명하는 구성요소들에 추가적으로 다른 구성요소를 포함하는 실시 예도 본 개시의 범위에 포함된다.
본 개시에 있어서, 다양한 실시 예에서 설명하는 구성요소들이 반드시 필수적인 구성요소들을 의미하는 것은 아니며, 일부는 선택적인 구성요소일 수 있다. 따라서, 일 실시 예에서 설명하는 구성요소들의 부분집합으로 구성되는 실시 예도 본 개시의 범위에 포함된다. 또한, 다양한 실시 예에서 설명하는 구성요소들에 추가적으로 다른 구성요소를 포함하는 실시 예도 본 개시의 범위에 포함된다.
본 개시에 있어서, 제1, 제2 등의 용어는 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용되며, 특별히 언급되지 않는 한 구성요소들 간의 순서 또는 중요도 등을 한정하지 않는다. 따라서, 본 개시의 범위 내에서 일 실시 예에서의 제1 구성요소는 다른 실시 예에서 제2 구성요소라고 칭할 수도 있고, 마찬가지로 일 실시예에서의 제2 구성요소를 다른 실시예에서 제1 구성요소라고 칭할 수도 있다.
본 개시의 어떤 구성요소가 다른 구성요소에 “연결되어” 있다거나 “접속되어” 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있으나, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성 요소가 다른 구성 요소에 “직접 연결되어” 있다거나, “직접 접속되어” 있다고 언급된 때에는, 중간에 다른 구성 요소가 존재하지 않는 것으로 이해되어야 할 것이다.
또한, 본 개시에 있어서 본 개시의 실시예를 도시한 일 도면이 다른 도면과 양자 택일의 실시예에 해당하지 않는 한 각 도면에 대한 설명은 서로 다른 도면에 적용될 수 있다.
이하, 도면을 참조하여 본 개시에 대하여 더욱 상세하게 설명할 것이다.
도 1은 본 개시의 일 실시예에 따른, S-BGP의 증명 속성을 도시한 도면이다.
도 1을 참조하면, S-BGP는 BGPv4의 보안 취약성을 해결하기 위해 제시되었다. 인접 라우터들 사이에 연결된 TCP/IP에 IPsec을 추가하여 데이터 무결성 및 릴레이 공격으로부터 라우터를 보호하게 했으며 PKI를 활용하여 보다 강화된 방법으로 BGP 스피커를 상호 식별할 수 있게 하였으며 또한 AS 및 주소 블록의 소유자를 식별하기 위해서 PKI를 사용하였다. 이를 위하여 S-BGP는 도 1 과 같이 Attestation Attribute를 추가하였다.
그러나, S-BGP가 Attestation Attribute를 UPDATE에 추가함으로써 패킷 크기가 커지는 문제가 있다. 또한 기존 BGPv4와 S-BGP는 TCP/IP 환경만 지원하기 때문에 Ethernet, UDP/IP 그리고 WebSocket 등을 추가로 지원하는 DCN 네트워크 환경에서는 사용할 수 없다.
본 발명은 상기 기술적 과제를 해결하기 위해 다음을 제안한다.
단일 Trust Anchor와 다수의 하위 CA(Certificate Authority)로 구성된 NDN 네트워크 구성하는 방법을 제안한다.
하나 이상의 AS를 관리하는 NDN 서버가 비대칭 알고리즘을 사용하여 공개키-비밀키 쌍 생성하는 방법을 제안한다.
단일 AS를 대표하는 BGP 대표 라우터를 선정하여 AS가 사용할 공개키-비밀키 쌍 생성하는 방법을 제안한다.
AS 용 공개키에 대한 인증서를 NDN 서버로부터 발급받는 방법을 제안한다.
개별 BGP 라우터의 공개키-비밀키 쌍 생성하는 방법을 제안한다.
AS 대표 라우터로부터 BGP 공개키에 대한 인증서를 발급받는 방법을 제안한다.
개별 BGP 라우터가 자신의 공개키 인증서를 NDNS에 등록하는 방법을 제안한다.
권한이 부여된 AS와 BGP 라우터가 각각 자신의 비밀키를 사용하여 Network Name를 암호화한 후 NDNS에 등록하는 방법을 제안한다.
권한이 부여된 개별 BGP 라우터가 라우팅 정보(Network Name Prefix)를 암호화하여 NDN 네트워크에 분배하는 방법을 제안한다.
수신한 라우팅 정보를 복호화를 통한 검증하는 방법을 제안한다.
검증된 라우팅 정보를 RIB와 기록하고 인접 도메인 네트워크에 전파하는 방법을 제안한다.
이를 수행하는 Secure-BGP 장치의 구조를 제안한다.
도 2는 본 개시의 일 실시예에 따른, 특정 도메인 네트워크가 소유한 네트워크 네임 프레픽스를 원격 NDNS 클러스트에 위치한 노드까지 전파되는 과정을 도시한 도면이다.
도 2를 참조하면, NDN 라우터와 같이 이름 기반의 라우팅과 포워딩을 수행하는 네트워크 장치에서 동작하는 애플리케이션 수준의 라우팅 프로토콜인 BGP 라우팅 프로토콜이 구동되며, 이러한 라우터를 BGP 라우터라고 한다.
도 2의 DCN 네트워크는 세 개의 NDNS 클러스터로 구성되어 있으며, 각 NDNS 클러스터는 하나 이상의 NDNS 서버와 다수의 AS로 구성된다.
규모가 큰 AS(AS300)는 2개 이상의 NDNS 서버와 연결될 수 있다. 동일 클러스터r 내에서 BGP 라우터들이 자신과 연결된 NDNS에 공개키 인증서와 네트워크 네임 프레픽스로 구성된 네트워크 정보를 등록하면 이 정보들은 다른 모든 NDNS와 동기화 프로토콜을 통해 공유되어야 한다. 이를 위해, 하나의 NDNS는 다른 모든 NDNS와 풀 메쉬(Full Mesh) 연결을 맺어야 한다. 하지만, Full Mesh 연결은 NDNS가 늘어날수록 N(N-1)/2 만큼의 인접관계를 구성해야 하기 때문에 시스템 자원(프로세서, 메모리, 대역폭)등을 많이 사용해야 하는 부담을 가중시킨다.
이 풀 메쉬 제약 조건은 NDNS들은 인접관계를 맺고 있는 이웃 라우터들과 동기화 프로토콜, 예를 들어, PSync을 사용하여 네트워크 정보를 교환하면 해결될 수 있다.
도 2는 본 개시의 일 실시예에 따른, 특정 도메인 네트워크가 소유한 네트워크 네임 프레픽스를 원격 NDNS 클러스트에 위치한 노드까지 전파되는 과정을 도시한 도면이다.
도 2에 도시한 바와 같이, 특정 도메인 네트워크(AS100)가 소유한 Network Name Prefix(예, /AS100/network/name/prefix)를 원격 NDNS Cluster에 위치한 AS600까지 전파되는 과정을 보여주고 있다.
AS100에 위치한 BGP 라우터는 자신이 소유하고 있는 Network Name Prefix를 자신의 비밀키를 이용하여 암호화한 후 UPDATE 메시지의 NLRI Attribute에 담아 인접관계가 맺어진 다른 AS의 BGP 라우터로 전달한다.
도 3은 본 개시의 일 실시 예에 따른, NDNS 클러스터 내부 네트워크 구조를 도시한 도면이다.
도 3을 참조하면, 하나의 NDNS Cluster 내부 네트워크 구조이며, 세 개의 AS와 하나의 NDNS 서버가 연결된 형태의 네트워크 토폴로지를 구성하고 있다.
동일 AS 내부에 위치한 BGP 라우터들은 iBGP를 통해서 연결되며 AS 간 연결은 eBGP를 통해서 연결된다.
AS 외부 연결을 담당하는 BGP 라우터들은 반드시 인접 BGP 라우터와 논리적인 인터페이스(NDN의 Face)로 직접 연결되어 있어야 한다. 모든 BGP 라우터들은 이웃 라우터들과 인접 관계(NDN의 Face 통해서)를 사전에 구성하고 있어야 BGP 메시지들을 교환할 수 있다. iBGP로 연결된 동일 AS 내부에 위치하는 BGP 라우터들은 라우팅 정보를 담고 있는 UPDATE 메시지를 동기화 프로토콜을 이용하여 서로 공유한다.
AS를 대표하는 BGP 라우터, 예를 들어, AS 상위 BGP 라우터를 선정하여 AS가 소유하고 있는 Network Name Prefix를 AS 번호와 함께 NDNS에 미리 등록한다. 도 3에서 BGP-O1, BGP-T2, BGP-D1이 AS를 대표하는 BGP 라우터들이다.
NDNS는 BGP 라우터들이 생성한 공개키 인증서를 저장하는 기능과 네트워크 네임 프레픽스를 저장하는 기능을 제공한다. 또한 라우팅 정보(업데이트 메시지)를 수신한 BGP 라우터가 소유권이 있는 AS로부터 처음 라우팅 정보를 발생시켰는지 확인할 수 있는 방법도 함께 제공한다.
도 4는 본 개시의 일 실시 예에 따른, NDS가 AS 상위 BGP 라우터의 공개키 인증서와 개별 BGP 라우터의 공개키 인증서를 저장하기 위해 필요한 테이블 스키마 정보를 도시한 도면이다.
도 4를 참조하면, 개별 BGP 라우터들은 공개키-비밀키를 생성하면 반드시 상위 CA인 AS 상위 BGP 라우터로부터 공개키 인증서를 발급받아 NDNS에 등록해야 한다. AS 상위 BGP 라우터는 공개키 인증서를 AS 번호를 함께 등록하지만 개별 BGP 라우터는 공개키 인증서와 BGP 라우터의 이름이 함께 등록된다.
도 5는 본 개시의 일 실시 예에 따른, NDNS 가 네트워크 네임 프레픽스를 저장하기 위한 테이블 구성을 도시한 도면이다.
도 5를 참조하면, BGP 라우터는 등록을 원하는 네트워크 네임 프레픽스를 자신의 비밀키로 암호화를 수행한 후 NDN 서버에 전달한다. 등록 요청을 받은 NDN 서버는 인증서 테이블에서 적당한 BGP 라우터의 공개키 인증서를 찾아 복호화를 수행한 후 네트워크 네임 프레픽스를 도 5의 테이블에 저장한다.
이후, 암호화된 라우팅 정보(NLRI)를 수신한 BGP 라우터는 복호화에 필요한 공개키 인증서를 가지고 있지 않는 경우에 NDN 서버에 요청하여 공개키 인증서를 먼저 확보한 후 NLRI를 복호화 하여 라우팅 설정을 완료하고 확보된 공개키 인증서를 BGP 라우터 내부에 저장하여 차후 업데이트 복호화에 사용한다.
도 6은 본 개시의 일 실시 예에 따른, 네 단계로 구성된 PKI 트러스트 모델을 도시한 도면이다.
본 발명은 AS 간 교환되는 라우팅 정보(Network Name Prefix)의 신뢰성을 보장하기 위해 공개키 기반 구조(PKI)를 사용한다. PKI와 같이 계층적 구조 암호화 시스템을 구성하기 위해 도 6과 같이 네 단계로 구성된 PKI Trust Model을 제안한다.
트러스트 앵커(Trust Anchor)는 루트 인증서 앵커(Root Certificate Anchor, 이하 Root CA)로써 모든 NDN 서버가 생성한 공개키에 대한 인증서를 발급하는 기능을 담당한다.
NDN 서버 CA는 자신의 비밀키를 이용하여 AS 상위 BGP 라우터가 생성한 공개키에 대한 인증서를 발급한다.
마지막으로 개별 BGP 라우터는 공개키-비밀키를 생성한 후 자신의 공개키에 대한 인증서를 AS 상위 BGP 라우터로부터 발급받으면 네 단계의 인증 절차가 완료된다.
본 발명에서는 AS 상위 BGP 라우터와 BGP 라우터는 각각 두 개의 공개키-비밀키 쌍을 생성한다. 첫번째 키(PKI-1)는 BGP 라우터가 네트워크 네임 프레픽스를 암호화할 때 사용하며 두번째 키(PKI-2)는 인접 관계에 있는 라우터 사이에서 NDN 인터레스트 / 데이터 패킷을 서명하고 검증할 때 사용된다.
도 7은 본 개시의 일 실시 예에 따른, AS 상위 BGP 라우터가 두 개의 공개키-비밀키 쌍을 생성해서 자신의 AS 번호와 네트워크 네임 프레픽스를 NDN 서버에 등록하는 과정을 도시한 도면이다.
도 7을 참조하면, 이때, Network Name Prefix는 반드시 AS Tier BGP Router의 비밀키를 사용하여 암호화를 수행해서 악의적인 해킹으로부터 네트워크 네임 프레픽스를 보호해야 한다.
AS 상위 BGP 라우터(200)와 NDN 서버(300)는 데이터를 송수신한다.
먼저, NDN 서버(300)는 루트 키를 생성하고 루트 키에 대한 인증서를 생성하고, 루트 인증서를 설치한다(S710).
NDN 서버(300)는 NDN 서버 키를 생성하고 NDN 서버키에 대한 인증서를 생성하고, NDN 서버 인증서를 설치한다(S715).
AS 상위 BGP 라우터(200)는 PKI-2 서명을 위한 제 1 AS 키를 생성한다(S720).
AS 상위 BGP 라우터(200)는 제 1 AS 키를 NDN 서버(300)로 전송한다(S725).
NDN 서버(300)는 제 1 AS 키에 대한 제 1 인증서를 생성한다(S730).
NDN 서버(300)는 제 1 인증서를 AS 상위 BGP 라우터(200)로 전송한다(S735).
AS 상위 BGP 라우터(200)는 제 1 인증서를 설치한다(S740).
AS 상위 BGP 라우터(200)는 PKI-1 네트워크 네임을 위한 제 2 AS 키를 생성한다(S745).
AS 상위 BGP 라우터(200)는 제 2 AS 키를 NDN 서버(300)로 전송한다(S750).
NDN 서버(300)는 제 2 AS 키에 대한 제 2 인증서를 생성한다(S755).
NDN 서버(300)는 제 2 인증서를 AS 상위 BGP 라우터(200)로 전송한다(S760).
AS 상위 BGP 라우터(200)는 PKI-2를 이용하여 NDN 서버(300)에게 사인 인터레스트를 요청한다(S765).
NDN 서버(300)는 메모리에 인증서를 저장한다(S770). 여기서, 인증서는 제 1 인증서, 제 2 인증서를 포함한다.
AS 상위 BGP 라우터(200)는 응답 데이터를 NDN 서버(300)로부터 수신한다(S775).
AS 상위 BGP 라우터(200)는 PKI-2를 이용하여 NDN 서버(300)에게 사인 인터레스트를 요청한다(S780).
NDN 서버(300)는 PKI-2를 이용하여 AS 상위 BGP 라우터(200)에게 사인 인터레스트를 요청한다(S785).
AS 상위 BGP 라우터(200)는 암호화된 net-name을 포함하는 응답 데이터를 NDN 서버(300)로 전송한다(S790).
NDN 서버(300)는 PKI-1를 이용하여 net-name을 복호화하고, AS 번호, net-name을 저장한다(S795).
도 8은 본 개시의 일 실시예에 따른, BGP 라우터가 두 개의 공개키-비밀키 쌍을 생성하고, AS 상위 BGP 라우터로부터 공개키 인증서를 발급받는 과정을 도시한 도면이다.
도 8을 참조하면, AS 상위 BGP 라우터(200)와 마찬가지로 BGP 라우터(100)도 네트워크 네임 프레픽스를 NDN 서버(300)에 등록할 때는 반드시 자신의 비밀키로 암호화를 수행한 후 NDN 서버(300)에 등록을 요청한다.
BGP 라우터(100)는 PKI-2 서명을 위한 제 1 BGP 키를 생성한다(S810).
BGP 라우터(100)는 제 1 BGP 키를 AS 상위 BGP 라우터(200)로 전송한다(S815).
AS 상위 BGP 라우터(200)는 제 1 BGP 키를 위한 제 1 BGP 인증서를 생성한다(S820).
AS 상위 BGP 라우터(200)는 제 1 BGP 인증서를 BGP 라우터(100)로 전송한다(S825).
BGP 라우터(100)는 PKI-2 서명을 위한 제 1 BGP 인증서를 설치한다(S830).
BGP 라우터(100)는 네트워크 이름을 위한 PKI-1 서명을 위한 제 2 BGP 키를 생성한다(S835).
BGP 라우터(100)는 제 2 BGP 키를 AS 상위 BGP 라우터(200)로 전송한다(S840).
AS 상위 BGP 라우터(200)는 제 2 BGP 키를 위한 제 2 BGP 인증서를 생성한다(S845).
AS 상위 BGP 라우터(200)는 제 2 BGP 인증서를 BGP 라우터(100)로 전송한다(S850).
BGP 라우터(100)는 PKI-1 서명을 위한 제 2 BGP 인증서를 설치한다(S855).
BGP 라우터(100)는 PKI-2를 이용하여 NDN 서버(300)에게 사인 인터레스트를 요청한다(S860).
NDN 서버(300)는 메모리에 인증서를 저장한다(S865). 여기서, 인증서는 제 1 BGP 인증서, 제 2 BGP 인증서를 포함한다.
BGP 라우터(100)는 응답 데이터를 NDN 서버(300)로부터 수신한다(S870).
BGP 라우터(100)는 PKI-2를 이용하여 NDN 서버(300)에게 사인 인터레스트를 요청한다(S875).
NDN 서버(300)는 PKI-2를 이용하여 BGP 라우터(100)에게 사인 인터레스트를 요청한다(S880). BGP 라우터 네임을 요청한다.
BGP 라우터(100)는 암호화된 net-name을 포함하는 응답 데이터를 NDN 서버(300)로 전송한다(S885).
NDN 서버(300)는 BGP의 PKI-1을 이용하여 net-name을 복호화하고 BGP 라우터 네임, net-name을 저장한다(S890).
도 9는 본 개시의 일 실시 예에 따른, 특정 네트워크 네임 프레픽스에 대한 소유권을 가진 라우터가 인접 라우터에게 업데이트 메시지를 생성해서 라우팅 정보를 DCN 네트워크에 전파하는 과정을 도시한 도면이다.
도 9를 참조하면, 라우팅 정보를 수신한 BGP 라우터가 암호화된 NLRI를 복호화 하기 위해 필요한 공개키 인증서를 NDNS에 요청할 때 사용되는 모든 요청 메시지는 보내는 BGP 라우터의 비밀키를 사용하여 서명을 받드시 추가(Signed Interest)해야 한다. 다음에서 수신된 라우팅 정보를 처리하는 절차를 설명한다.
BGP 라우터 A(110), BGP 라우터 B(120), NDN 서버(300)들은 상호 데이터를 송수신한다.
BGP 라우터 A(110)는 업데이트 메시지를 생성한다(S910).
구체적으로, BGP 라우터 A(110)는 자신이 소유한 네트워크 네임 프레픽스를 암호화하여 업데이트 메시지를 생성한다. 여기서, 업데이트 메시지는 AS-PATH, NEXT-HOP, ORIGIN-ROUTER, NLRI Attribute들로 구성된다.
BGP 라우터 A(110)는 업데이트 메시지를 BGP 라우터 B(120)로 전송한다(S915).
BGP 라우터 B(120)는 오리진 라우터의 속성으로부터 오리진 라우터의 네임을 추출한다(S920).
구체적으로, BGP 라우터 B(120)는 오리진 라우터의 속성에서 처음 업데이트 메시지를 발생시킨 BGP 라우터 A(110)의 이름을 추출한다.
BGP 라우터 B(120)는 NDN 서버(300)에게 사인 인터레스트를 요청한다(S925).
NDN 서버(300)는 메모리에서 인증서 룩업을 실행한다(S930).
BGP 라우터 B(120)는 인증 데이터를 NDN 서버(300)로부터 수신한다(S935).
구체적으로, 추출된 BGP 라우터 이름으로 등록된 공개키 인증서를 NDN 서버(300)로부터 수신한다.
BGP 라우터 B(120)는 암호화된 NLRI 속성을 복호화하고 NLRI로부터 네트워크 네임을 획득한다(S940).
구체적으로 BGP 라우터 B(120)는 공개키를 이용하여 암호화된 네트워크 네임 프레픽스를 복호화한다.
BGP 라우터 B(120)는 AS-PATH 속성으로부터 오리진-AS를 획득한다(S945).
구체적으로, BGP 라우터 B(120)는 AS-PATH 속성에서 첫번째 AS 번호를 추출한다.
BGP 라우터 B(120)는 사인 인터레스트를 NDN 서버(300)에게 요청한다(S950).
구체적으로, BGP 라우터 B(120)는 추출된 AS 번호가 복호화된 네트워크 네임 프레픽스를 합법적인 소유주인지 확인하기 위해 NDN 서버(300)에 질의를 수행한다. 질의에 포함되는 네트워크 네임 프레픽스는 BGP 라우터 B(120)의 비밀키로 암호화를 수행해야 한다.
NDN 서버(300)는 BGP 라우터 B(120)의 인증서를 이용하여 net-name을 복호화한다(S955).
구체적으로, NDN 서버(300)는 질의를 요청한 BGP 라우터의 이름에 해당하는 공개키 인증서를 이용하여 복호화를 진행한다.
NDN 서버(300)는 net-name으로 AS 번호를 룩업한다(S960).
구체적으로, NDN 서버(300)는 정상적인 복호화 후 추출된 네트워크 네임 프레픽스에 해당하는 AS 번호를 테이블에서 검색하여 데이터 메시지에 담아서 응답한다.
BGP 라우터 B(120)는 AS 번호와 데이터를 NDN 서버(300)로부터 수신한다(S965).
BGP 라우터 B(120)는 AS 번호와 오리지널 AS를 비교한다(S970).
구체적으로, BGP 라우터 B(120)는 NDN 서버(300)로부터 응답 받은 AS 번호와 AS-PATH에서 추출한 첫번째 AS 번호가 같은 지 확인한다.
BGP 라우터 B(120)는 net name을 다음 경로 속성과 함께 추가한다(S975).
구체적으로, BGP 라우터 B(120)는 AS 번호가 동일하면 NEXT-HOP에 해당하는 방향으로 네트워크 네임 프레픽스를 RIB에 등록한다.
도 10은 본 개시의 일 실시예에 따른, 오리진 라우터의 속성을 설명한 것을 도시한 도면이다.
DCN 환경에서 동작하는 BGP 라우터는 이 오리진-라우터를 반드시 인식하고 적절히 처리를 해야 하며 이웃 라우터에게 전달해야 한다.
도 10에 도시한 바와 같이, 오리진 라우터는 타입 코드, 길이, 변수 값을 포함한다.
오리진 라우터에서 Optional bit(O)는 Not set, Transitive bit(T)는 Set, Partial bit(P)는 Not set, Extended-Length bit (E)는 Not set이 될 수 있다.
도 11은 본 개시의 일 실시예에 따른, BGP 라우터의 구성도를 도시한 도면이다.
BGP 라우터의 일 실시 예는 디바이스(1600)가 될 수 있다. 도 11을 참조하면, 디바이스(1600)는 메모리(1602), 프로세서(1603), 송수신부(1604) 및 주변 장치(1601)를 포함할 수 있다. 또한, 일 예로, 디바이스(1600)는 다른 구성을 더 포함할 수 있으며, 상술한 실시예로 한정되지 않는다.
보다 상세하게는, 도 11의 디바이스(1600)는 BGP 라우터, AS 상위 BGP 라우터 등과 같은 예시적인 하드웨어/소프트웨어 아키텍처일 수 있다. 이때, 일 예로, 메모리(1602)는 비이동식 메모리 또는 이동식 메모리일 수 있다. 또한, 일 예로, 주변 장치(1601)는 디스플레이, GPS 또는 다른 주변기기들을 포함할 수 있으며, 상술한 실시예로 한정되지 않는다.
또한, 일 예로, 상술한 디바이스(1600)는 상기 송수신부(1604)와 같이 통신 회로를 포함할 수 있으며, 이에 기초하여 외부 디바이스와 통신을 수행할 수 있다.
또한, 일 예로, 프로세서(1603)는 범용 프로세서, DSP(digital signal processor), DSP 코어, 제어기, 마이크로제어기, ASIC들(Application Specific Integrated Circuits), FPGA(Field Programmable Gate Array) 회로들, 임의의 다른 유형의 IC(integrated circuit) 및 상태 머신과 관련되는 하나 이상의 마이크로프로세서 중 적어도 하나 이상일 수 있다. 즉, 상술한 디바이스(1600)를 제어하기 위한 제어 역할을 수행하는 하드웨어적/소프트웨어적 구성일 수 있다.
이때, 프로세서(1603)는 BGP 라우터, AS 상위 BGP 라우터의 다양한 필수 기능들을 수행하기 위해 메모리(1602)에 저장된 컴퓨터 실행가능한 명령어들을 실행할 수 있다. 일 예로, 프로세서(1603)는 신호 코딩, 데이터 처리, 전력 제어, 입출력 처리 및 통신 동작 중 적어도 어느 하나를 제어할 수 있다. 또한, 프로세서(1603)는 물리 계층, MAC 계층, 어플리케이션 계층들을 제어할 수 있다. 또한, 일 예로, 프로세서(1603)는 액세스 계층 및/또는 어플리케이션 계층 등에서 인증 및 보안 절차를 수행할 수 있으며, 상술한 실시예로 한정되지 않는다.
일 예로, 프로세서(1603)는 송수신부(1604)를 통해 다른 장치들과 통신을 수행할 수 있다. 일 예로, 프로세서(1603)는 컴퓨터 실행가능한 명령어들의 실행을 통해 3차원 모델 복제 장치가 네트워크를 통해 다른 장치들과 통신을 수행하게 제어할 수 있다. 즉, 본 발명에서 수행되는 통신이 제어될 수 있다. 일 예로, 송수신부(1604)는 안테나를 통해 RF 신호를 전송할 수 있으며, 다양한 통신망에 기초하여 신호를 전송할 수 있다.
또한, 일 예로, 안테나 기술로서 MIMO 기술, 빔포밍 등이 적용될 수 있으며, 상술한 실시예로 한정되지 않는다. 또한, 송수신부(1604)를 통해 송수신한 신호는 변조 및 복조되어 프로세서(1603)에 의해 제어될 수 있으며, 상술한 실시 예로 한정되지 않는다.
본 개시의 다양한 실시 예는 모든 가능한 조합을 나열한 것이 아니고 본 개시의 대표적인 양상을 설명하기 위한 것이며, 다양한 실시 예에서 설명하는 사항들은 독립적으로 적용되거나 또는 둘 이상의 조합으로 적용될 수도 있다.
또한, 본 개시의 다양한 실시 예는 하드웨어, 펌웨어(firmware), 소프트웨어, 또는 그들의 결합 등에 의해 구현될 수 있다. 하드웨어에 의한 구현의 경우, 하나 또는 그 이상의 ASICs(Application Specific Integrated Circuits), DSPs(Digital Signal Processors), DSPDs(Digital Signal Processing Devices), PLDs(Programmable Logic Devices), FPGAs(Field Programmable Gate Arrays), 범용 프로세서(general processor), 컨트롤러, 마이크로 컨트롤러, 마이크로 프로세서 등에 의해 구현될 수 있다. 예를 들어, 종단 혹은 엣지에서 사용될 수 있는 비 일시적 컴퓨터 판독가능한 매체에 저장된 프로그램의 형식이나, 에지 혹은 클라우드에서 사용될 수 있는 비 일시적 컴퓨터 판독 가능한 매체에 저장된 프로그램의 형식으로도 구현될 수 있음은 자명하다. 또한, 다양한 하드웨어 및 소프트웨어의 결합으로도 구현될 수 있다.
본 개시의 범위는 다양한 실시 예의 방법에 따른 동작이 장치 또는 컴퓨터 상에서 실행되도록 하는 소프트웨어 또는 머신-실행 가능한 명령들(예를 들어, 운영체제, 애플리케이션, 펌웨어(firmware), 프로그램 등), 및 이러한 소프트웨어 또는 명령 등이 저장되어 장치 또는 컴퓨터 상에서 실행 가능한 비-일시적 컴퓨터-판독가능 매체(non-transitory computer-readable medium)를 포함한다.
이상에서 설명한 본 개시는, 본 개시가 속하는 기술분야에서 통상의 지식을 가진 자에게 있어 본 개시의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하므로, 본 개시의 범위는 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니다.
Claims (20)
- 데이터 중심 네트워킹 환경에서 AS 상위 BGP 라우터가 수행하는 BGP 보안을 위한 라우팅 정보 등록 방법에서,
제 1 AS 키를 생성하고 생성된 제 1 AS 키를 NDN 서버로 전송하는 단계;
상기 제 1 AS 키에 대응하는 제 1 AS 인증서를 상기 NDN 서버로부터 수신하는 단계;
상기 제 1 AS 인증서를 설치하고 제 2 AS 키를 생성하는 단계;
생성된 상기 제 2 AS 키를 상기 NDN 서버로 전송하는 단계;
상기 제 2 AS 키에 대응하는 제 2 AS 인증서를 상기 NDN 서버로부터 수신하는 단계;
사인 인터레스트를 상기 NDN 서버에 요청하는 단계;
사인 인터레스트 요청을 상기 NDN 서버로부터 수신하는 단계; 및
암호화된 net-name을 포함하는 응답 데이터를 상기 NDN 서버로 전송하는 단계를 포함하는,
라우팅 정보 등록 방법.
- 제 1 항에 있어서,
상기 제 1 AS 키는 인접 관계에 있는 라우터 사이에서 NDN 인터레스트 패킷과 데이터 패킷을 서명하고 검증하는데 사용하는,
라우팅 정보 등록 방법.
- 제 1 항에 있어서,
상기 제 2 AS 키는 BGP 라우터가 네트워크 네임 프레픽스를 암호화할 때 사용하는,
라우팅 정보 등록 방법.
- 제 1 항에 있어서,
상기 사인 인터레스트를 상기 NDN 서버에 요청하는 단계는
PKI-2를 이용하여 사인 인터레스트를 상기 NDN 서버에 요청하는 단계를 더 포함하는,
라우팅 정보 등록 방법.
- 제 1 항에 있어서,
상기 사인 인터레스트 요청을 상기 NDN 서버로부터 수신하는 단계는,
NDN 서버키를 이용하여 사인 인터레스트 요청을 상기 NDN 서버로부터 수신하는 단계를 더 포함하는,
라우팅 정보 등록 방법.
- 제 1 항에 있어서,
상기 암호화된 net-name을 포함하는 응답 데이터를 상기 NDN 서버로 전송하는 단계는
상기 AS 상위 BGP 라우터의 비밀키로 net-name을 암호화하는 단계를 더 포함하는,
라우팅 정보 등록 방법.
- 데이터 중심 네트워킹 환경에서 BGP 라우터가 수행하는 BGP 보안을 위한 라우팅 정보 등록 방법에서,
제 1 BGP 키를 생성하고 생성된 상기 제 1 BGP 키를 AS 상위 BGP 라우터로 전송하는 단계;
제 1 BGP 인증서를 AS 상위 BGP 라우터로부터 수신하는 단계;
수신된 상기 제 1 BGP 인증서를 설치하는 단계;
제 2 BGP 키를 생성하고 생성된 상기 제 2 BGP 키를 상기 AS 상위 BGP 라우터로 전송하는 단계;
제 2 BGP 인증서를 상기 AS 상위 BGP 라우터로부터 수신하는 단계;
수신된 상기 제 2 BGP 인증서를 설치하는 단계;
NDN 서버에 사인 인터레스트를 요청하는 단계;
상기 NDN 서버로부터 사인 인터레스트를 수신하는 단계; 및
암호화된 net-name을 포함하는 응답 데이터를 상기 NDN 서버로 전송하는 단계를 포함하는
라우팅 정보 등록 방법.
- 제 7 항에 있어서,
상기 제 1 BGP 키는 PKI-2 서명을 위한,
라우팅 정보 등록 방법.
- 제 7 항에 있어서,
상기 제 2 BGP 키는 네트워크 이름을 위하고 PKI-1 서명을 위한,
라우팅 정보 등록 방법.
- 제 7 항에 있어서,
상기 AS 상위 BGP 라우터와 BGP 라우터는 상위 관계와 하위 관계를 형성하는,
라우팅 정보 등록 방법.
- 제 7 항에 있어서,
상기 NDN 서버와 상기 AS 상위 BGP 라우터는 상위 관계와 하위 관계를 형성하는,
라우팅 정보 등록 방법.
- 제 7 항에 있어서,
상기 암호화된 net-name을 포함하는 응답 데이터를 상기 NDN 서버로 전송하는 단계는
BGP 라우터의 비밀키로 net-name을 암호화하는 단계를 더 포함하는,
라우팅 정보 등록 방법.
- 데이터 중심 네트워킹 환경에서 BGP 보안을 위한 라우팅 정보 전파 방법에서,
업데이트 메시지를 제 1 BGP 라우터로부터 수신하는 단계;
오리진 라우터의 속성으로부터 상기 오리진 라우터의 네임을 추출하는 단계;
사인 인터레스트를 NDN 서버에 요청하는 단계;
인증서 데이터를 상기 NDN 서버로부터 수신하는 단계;
암호화된 NLRI 속성을 복호화하고 NLRI로부터 네트워크 네임을 획득하는 단계;
AS-PATH 속성으로부터 오리진 AS 번호를 획득하는 단계;
사인 인터레스트를 상기 NDN 서버에 요청하는 단계;
AS 번호와 데이터를 상기 NDN 서버로부터 수신하는 단계;
상기 AS 번호와 상기 오리진 AS 번호를 비교하는 단계;
넷 네임을 다음 경로 속성과 함께 추가하는 단계를 포함하는,
라우팅 정보 전파 방법.
- 제 13 항에 있어서,
상기 업데이트 메시지는 AS-PATH, 오리진 라우터 및 넷 네임을 포함하는 암호화된 NLRI를 포함하는,
라우팅 정보 전파 방법.
- 제 13 항에 있어서,
상기 오리진 라우터는 타입 코드, 길이, 변수 값을 포함하는
라우팅 정보 전파 방법.
- 제 13 항에 있어서,
상기 제 1 BGP 라우터는
상기 오리진 라우터를 인식하고,
인식 결과를 처리하고,
상기 오리진 라우터를 다른 BGP 라우터에게 전달하는
라우팅 정보 전파 방법.
- 제 13 항에 있어서,
상기 제 1 BGP 라우터는
특정 네임 프레픽스에 대한 소유권을 포함하고,
상기 업데이트 메시지를 생성하는,
라우팅 정보 전파 방법.
- 제 13 항에 있어서,
AS-PATH 속성으로부터 오리진 AS 번호를 획득하는 단계는
상기 AS-PATH 속성으로부터 첫번째 AS 번호를 추출하여 획득하는 단계;
라우팅 정보 전파 방법.
- 제 13 항에 있어서,
상기 AS 번호와 오리진 AS 번호를 비교하는 단계는
상기 AS 번호와 AS-PATH에서 추출한 첫번째 AS 번호가 같은지 확인하는 단계를 더 포함하는,
라우팅 정보 전파 방법.
- 제 19 항에 있어서,
AS 번호가 동일하면, NEXT-HOP에 해당하는 방향으로 네트워크 네임 프레픽스를 RIB에 등록하는 단계를 더 포함하는,
라우팅 정보 전파 방법.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020220018293A KR20230121428A (ko) | 2022-02-11 | 2022-02-11 | 데이터 중심 네트워킹 환경에서 bgp 보안을 위한 라우팅 정보 인증 방법 및 시스템 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020220018293A KR20230121428A (ko) | 2022-02-11 | 2022-02-11 | 데이터 중심 네트워킹 환경에서 bgp 보안을 위한 라우팅 정보 인증 방법 및 시스템 |
Publications (1)
Publication Number | Publication Date |
---|---|
KR20230121428A true KR20230121428A (ko) | 2023-08-18 |
Family
ID=87801771
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020220018293A KR20230121428A (ko) | 2022-02-11 | 2022-02-11 | 데이터 중심 네트워킹 환경에서 bgp 보안을 위한 라우팅 정보 인증 방법 및 시스템 |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR20230121428A (ko) |
-
2022
- 2022-02-11 KR KR1020220018293A patent/KR20230121428A/ko unknown
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11902445B2 (en) | System and method for enabling secure service-based communications via 5G proxies | |
EP3092837B1 (en) | Secure ad hoc group in an information-centric network | |
US10938554B2 (en) | Managing private key access in multiple nodes | |
Chuat et al. | The Complete Guide to SCION | |
US11303431B2 (en) | Method and system for performing SSL handshake | |
JP4962117B2 (ja) | 暗号通信処理方法及び暗号通信処理装置 | |
WO2022100356A1 (zh) | 身份认证系统、方法、装置、设备及计算机可读存储介质 | |
US11546305B2 (en) | Methods and systems for secure DNS routing | |
US20200213215A1 (en) | Access device blockchain network systems and methods | |
JP5012173B2 (ja) | 暗号通信処理方法及び暗号通信処理装置 | |
US10158610B2 (en) | Secure application communication system | |
US11582193B2 (en) | System and method for securely interconnecting branch networks to enterprise network through TSPS | |
JP2008098990A (ja) | アドレス管理システム、アドレス管理方法およびプログラム | |
WO2016134631A1 (zh) | 一种OpenFlow报文的处理方法及网元 | |
US12015721B1 (en) | System and method for dynamic retrieval of certificates with remote lifecycle management | |
WO2016202397A1 (en) | Dns based pki system | |
US20230077053A1 (en) | Authentication using a decentralized and/or hybrid dencentralized secure crypographic key storage method | |
KR20230121428A (ko) | 데이터 중심 네트워킹 환경에서 bgp 보안을 위한 라우팅 정보 인증 방법 및 시스템 | |
Pimentel et al. | OCP: A protocol for secure communication in federated content networks | |
KR20150060050A (ko) | 네트워크 장치 및 네트워크 장치의 터널 형성 방법 | |
Tsumak | Securing BGP using blockchain technology | |
Li et al. | DIIA: Blockchain‐Based Decentralized Infrastructure for Internet Accountability | |
Lam et al. | Design, implementation, and performance evaluation of identity‐based cryptography in ONOS | |
Kozlovičs et al. | Quantum Key Distribution as a Service and Its Injection into TLS | |
Huda et al. | A Proposed Cryptography Key Management in Software-Defined Networking (SDN) |