[go: up one dir, main page]

KR20080040256A - IP address authentication method and IP6-based network system in IP6-based network - Google Patents

IP address authentication method and IP6-based network system in IP6-based network Download PDF

Info

Publication number
KR20080040256A
KR20080040256A KR1020060107958A KR20060107958A KR20080040256A KR 20080040256 A KR20080040256 A KR 20080040256A KR 1020060107958 A KR1020060107958 A KR 1020060107958A KR 20060107958 A KR20060107958 A KR 20060107958A KR 20080040256 A KR20080040256 A KR 20080040256A
Authority
KR
South Korea
Prior art keywords
address
attribute certificate
message
ndp
certificate
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
KR1020060107958A
Other languages
Korean (ko)
Other versions
KR100856918B1 (en
Inventor
안개일
김지홍
나재훈
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020060107958A priority Critical patent/KR100856918B1/en
Publication of KR20080040256A publication Critical patent/KR20080040256A/en
Application granted granted Critical
Publication of KR100856918B1 publication Critical patent/KR100856918B1/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 IPv6 기반 네트워크상에서의 IP 주소 인증 방법 및 IPv6 기반 네트워크 시스템에 관한 것으로, IPv6 유무선 로컬 네트워크상에서 NDP 메시지의 출발지 IP 주소를 인증할 수 있도록 함으로써 IP 자동 구성을 방해하는 공격 및 NDP에 대한 서비스 거부 공격을 효과적으로 방어하기 위하여, 각 호스트 노드가 엑세스 라우터로 자신의 IP 주소에 대한 속성 인증서 발급을 요청하여, MAC 주소에 대한 공개키 인증서 기반의 속성 인증서를 발급받고, NDP 통신시 NDP 메시지에 상기 속성 인증서를 포함시켜, 해당 메시지의 출발지 IP 주소를 인증하며, NDP 메시지의 수신시 상기 속성 인증서를 통하여 출발지 IP 주소의 위조 여부를 판별하는 것이다.The present invention relates to an IP address authentication method and an IPv6-based network system in an IPv6-based network. The present invention provides a service for an attack and an NDP that prevents automatic IP configuration by enabling authentication of a source IP address of an NDP message on an IPv6 wired / wireless local network. In order to effectively defend against the denial of attack, each host node requests the issuance of an attribute certificate for its IP address from the access router, and is issued an attribute certificate based on the public key certificate for the MAC address. By including the attribute certificate, to authenticate the source IP address of the message, and to determine whether the source IP address forgery through the attribute certificate when receiving the NDP message.

Description

IPv6 기반 네트워크상에서의 IP 주소 인증 방법 및 IPv6 기반 네트워크 시스템{Method for IP address authentication in IPv6 network, and IPv6 network system}Method for IP address authentication in IPv6 network and IPv6 network system

도 1은 본 발명이 적용된 IPv6 기반 네트워크 시스템의 구성도,1 is a configuration diagram of an IPv6-based network system to which the present invention is applied;

도 2는 본 발명에 의하여 확장된 NDP(Neighbor Discovery Protocol) 메시지 포맷도,2 is a neighbor discovery protocol (NDP) message format extended according to the present invention;

도 3은 본 발명에 따른 IPv6 기반 네트워크상에서의 IP 주소 인증 방법에 있어서, 호스트 노드에서의 IP 주소 인증을 위한 동작 흐름도,3 is an operation flowchart for IP address authentication in a host node in the IP address authentication method on an IPv6-based network according to the present invention;

도 4는 본 발명에 따른 IPv6 기반 네트워크 상에서의 IP 주소 인증 방법에 있어서, 엑세스 라우터에서의 IP 주소 인증을 위한 동작 흐름도, 그리고4 is an operation flowchart for IP address authentication in an access router in an IP address authentication method on an IPv6-based network according to the present invention;

도 5는 본 발명에 따른 IPv6 기반 네트워크 상에서의 IP 주소 인증 방법에 있어서, 엑세스 라우터 및 호스트 노드에서의 가짜 출발지 IP 주소를 갖는 NDP 메시지를 탐지하는 과정을 보인 동작 흐름도이다.FIG. 5 is a flowchart illustrating a process of detecting an NDP message having a fake source IP address in an access router and a host node in an IP address authentication method in an IPv6-based network according to the present invention.

* 도면의 주요 부분에 대한 설명 *Description of the main parts of the drawing

101: 외부 네트워크101: external network

102: IPv6 유/무선 로컬 네트워크102: IPv6 wired / wireless local network

103: 엑세스 라우터(access router)103: access router

104: 속성 인증서 발급 현황 DB104: Property Certificate Issuance Status DB

105: 호스트 노드105: host node

본 발명은 IPv6(Internet Protocol version 6) 기반 네트워크상에서의 보안 기술에 관한 것으로, 특히 이웃 발견 프로토콜(Neighbor Discovery Protocol, 이하 NDP라 함)의 취약점을 보호하기 위한 IPv6 기반 네트워크상에서의 IP 주소 인증 방법 및 IPv6 기반 네트워크 시스템에 관한 것이다.The present invention relates to a security technology on an IPv6 (Internet Protocol version 6) -based network, and more particularly to an IP address authentication method on an IPv6-based network for protecting a vulnerability of a neighbor discovery protocol (hereinafter referred to as NDP). An IPv6-based network system.

IPv6의 표준화는 IETF의 IPng(IP new generation) working group와 NGTrans(Next Generation Transition) working group, MIPv6(Mobile IPv6) working group을 비롯하여 분야별로 다수의 working group이 구성되어 IPv6 기술은 물론 IPv4 망에서 IPv6 망으로의 자연스러운 전환(transition), 모바일 IP, 보안 및 서비스 등 여러 분야에 대한 표준화가 진행되고 있다. The standardization of IPv6 consists of IETF's IP new (IPng) working group, NGTrans (Next Generation Transition) working group, and MIPv6 (Mobile IPv6) working group. Standardization is underway in many areas, including the natural transition to the network, mobile IP, security and services.

그 중에서 NDP는 IPv6 네트워크상의 호스트 노드가 이웃하는 호스트 노드와 라우터를 발견하기 위한 목적으로 제안되었다. 상기 NDP는 기존 IPv4에서 제공하는 주소 변환 기능과 네트워크 진단 기능뿐만 아니라, IP 자동 구성이라는 새로운 기능도 제공하고 있다. IP 자동 구성은 로컬 네트워크상의 호스트 노드가 다른 호스트 노드와 통신할 때 기본적으로 요구되는 파라미터 (예, IPv6 주소, 디폴트 게이 트웨이 등)를 사전 설정 없이 스스로 자동 구성할 수 있도록 하는 기능이다.Among them, NDP has been proposed for the purpose of discovering neighboring host nodes and routers by host nodes on an IPv6 network. The NDP provides a new function of IP autoconfiguration as well as the address translation function and network diagnosis function provided by IPv4. IP autoconfiguration is a feature that allows host nodes on the local network to self-configure themselves without any preset parameters (e.g. IPv6 addresses, default gateways, etc.) that are required by default when communicating with other host nodes.

이러한 NDP는 IPv6 네트워크 서비스를 제공할 때 없어서는 안 될 매우 중요한 기본 프로토콜 중의 하나이지만, 보안에 매우 취약하다는 문제점을 가지고 있다. Such NDP is one of the essential protocols that are indispensable when providing IPv6 network services, but has a problem of being very vulnerable to security.

예를 들어 설명하면, 상기 NDP에 따르면 IP 주소를 자동 구성하는 호스트 노드 A는 임시 IP 주소 A를 생성한 후, 상기 생성된 임시 IP 주소 A가 다른 호스트 노드에 의해 사용되고 있는 주소인지를 확인하기 위하여 임시 IP 주소 A를 포함하는 NDP 메시지를 다른 호스트 노드들에게 브로드캐스팅(broadcasting)하는 주소충돌시험을 한다. 이때 공격 노드가 출발지 IP 주소가 A로 된 가짜 NDP 메시지를 응답하는 경우, 상기 호스트 노드 A는 IP 주소를 구성할 수 없게 된다.For example, according to the NDP, the host node A which automatically configures an IP address generates a temporary IP address A, and then checks whether the generated temporary IP address A is an address being used by another host node. An address conflict test is performed by broadcasting an NDP message containing a temporary IP address A to other host nodes. At this time, when the attacking node responds to the fake NDP message with the source IP address A, the host node A cannot configure the IP address.

뿐만 아니라, 공격 노드는 IPv6 로컬 네트워크상의 정상 호스트 노드들에 대한 NDP 서비스를 무력화시키기 위하여 엑세스 라우터에 대한 서비스 거부 공격을 수행할 수 있다. 이때 공격 노드는 자신의 IP 주소가 노출되는 것을 막기 위하여 일반적으로 NDP 메시지의 출발지 IP 주소를 속인다.In addition, the attacking node may perform a denial of service attack on the access router to disable the NDP service for normal host nodes on the IPv6 local network. At this time, the attacking node generally deceives the source IP address of the NDP message to prevent its IP address from being exposed.

출발지 IP 주소를 속이는 공격을 탐지하기 위한 종래의 기술로써 유입 필터링(Ingress filtering), ARP(Address Resolution Protocol) 테이블 검사 등이 있다. 이러한 종래 기술은 사전에 정상 호스트 노드의 IP 주소와 입력 인터페이스 또는 IP 주소와 MAC 주소 간의 매핑 정보를 구축하고 있어야만 한다. Conventional techniques for detecting an attack deceiving a source IP address include ingress filtering and ARP (Address Resolution Protocol) table inspection. This prior art has to build up the mapping information between the IP address and input interface or IP address and MAC address of a normal host node in advance.

그러나, NDP의 IP 자동 구성을 방해하는 공격은 새로운 IP 주소를 구성하려는, 즉 부트스트랩(bootstrap) 네트워크 환경에서 실행되기 때문에, IP 주소가 이 미 할당된 네트워크에 적용되는 상기의 종래 기술로는 NDP를 보호하기가 어렵다.However, since the attack that interferes with NDP's automatic IP configuration is implemented in a bootstrap network environment, which attempts to construct a new IP address, the above-mentioned prior art in which the IP address is applied to a network that is already assigned is NDP. It is difficult to protect.

이에 IP를 위조하는 IP 자동 구성 방해 공격 및 서비스 거부 공격으로부터 NDP를 보호하기 위한 여러 방법이 제안되었는데, 그 예로써, CGA(Cryptographically Generated Address) 기반의 IP 주소 소유권 증명 기술이 있다.Therefore, various methods for protecting NDP from IP auto-configuration interruption attacks and denial-of-service attacks that forge IP are proposed. For example, CGA (Cryptographically Generated Address) based IP address proof of ownership technology.

상기 CGA 기반의 IP 주소 소유권 증명 기술에 의하면, 호스트 노드가 먼저 비밀키(Private Key)와 공개키(Public Key)를 생성한 후, 그 공개키로부터 해쉬 함수를 계산하여 IP 주소를 생성하고, NDP 송신 호스트 노드는 NDP 메시지에 IP 주소와 함께 공개키를 추가한다. 이에 상기의 NDP 메시지를 수신한 NDP 수신 호스트 노드는 수신된 NDP 메시지에 포함된 공개키로부터 해쉬 함수를 계산하여 생성된 IP 주소가 NDP 메시지의 출발지 IP 주소와 같은 지를 검사함으로써 NDP 메시지의 출발지 IP 주소의 위조 여부를 확인한다.According to the CGA-based IP address proof of ownership technology, the host node first generates a private key and a public key, then calculates a hash function from the public key to generate an IP address, and the NDP. The sending host node adds the public key with the IP address to the NDP message. Therefore, the NDP receiving host node receiving the NDP message calculates a hash function from the public key included in the received NDP message and checks whether the generated IP address is the same as the source IP address of the NDP message. Check for forgery.

상술한 CGA 기반의 IP 주소 소유권 증명 기술은 정상 호스트 노드가 생성한 합법적인 IP 주소를 공격 노드가 도용하는 것을 방지할 수 있다. 그러나, 공격 노드는 자신의 공개키와 비밀키를 무제한으로 생성하는 것이 가능하기 때문에 엄청난 양의 공격용 IP 주소를 생성할 수 있다. 이렇게 공격 노드가 이러한 많은 양의 공격용 IP 주소를 사용하여 IP 자동 구성 방해 공격 및 NDP 에 대한 서비스 거부 공격을 실행하는 경우에서는 상기 CGA 기반의 IP 주소 소유권 증명 기술만으로는 그 공격을 효과적으로 방지할 수 없다.The CGA-based IP address ownership verification technique described above can prevent an attacking node from stealing a legitimate IP address generated by a normal host node. However, an attacking node can generate an unlimited number of attacking IP addresses because it can generate an unlimited number of public and private keys. In this case, when the attack node executes the IP auto-configuration interruption attack and the denial of service attack on the NDP by using such a large amount of attack IP addresses, the CGA-based IP address proofing technology alone cannot effectively prevent the attack.

본 발명은 상술한 종래의 문제점을 해결하기 위하여 제안된 것으로서, 그 목적은, IPv6 유무선 로컬 네트워크상에서 NDP 메시지의 출발지 IP 주소를 인증할 수 있도록 함으로써 IP 자동 구성을 방해하는 공격 및 NDP에 대한 서비스 거부 공격을 효과적으로 방어할 수 있는 IPv6 기반 네트워크상에서의 IP 주소 인증 방법 및 IPv6 기반 네트워크 시스템을 제공하는 것이다.SUMMARY OF THE INVENTION The present invention has been proposed to solve the above-mentioned conventional problems, and an object thereof is to allow authentication of a source IP address of an NDP message on an IPv6 wired or wireless local network, thereby denying service to NDP and an attack that prevents IP autoconfiguration. It is to provide an IP address authentication method and an IPv6-based network system on an IPv6-based network that can effectively defend against an attack.

상기와 같은 본 발명의 목적을 달성하기 위하여, 본 발명은 이웃 발견 프로토콜(NDP: Neighbor Discovery Protocol) 통신을 수행하는 엑세스 라우터 및 다수의 호스트 노드를 포함하는 IPv6 기반 네트워크상에서의 IP 주소 인증 방법에 있어서, NDP 통신을 수행하는 호스트 노드가In order to achieve the above object of the present invention, the present invention provides an IP address authentication method in an IPv6-based network including an access router and a plurality of host nodes that perform Neighbor Discovery Protocol (NDP) communication. , The host node that performs NDP communication

엑세스 라우터로 자신의 IP 주소에 대한 속성 인증서 발급을 요청하는 단계;Requesting to issue an attribute certificate for its IP address to the access router;

상기 요청에 의해 엑세스 라우터로부터 속성 인증서가 발급되면, 해당 속성 인증서를 포함한 NDP 메시지를 생성하는 단계; 및Generating an NDP message including the attribute certificate when the attribute certificate is issued from the access router by the request; And

상기 생성된 NDP 메시지를 목적지로 송신하는 단계를 포함하는 것을 특징으로 한다.And transmitting the generated NDP message to a destination.

상기 목적을 달성하기 위한 다른 구성 수단으로서, 본 발명은 이웃 발견 프로토콜(NDP: Neighbor Discovery Protocol) 통신을 수행하는 엑세스 라우터 및 다수의 호스트 노드를 포함하는 IPv6 기반 네트워크상에서의 IP 주소 인증 방법에 있 어서, 상기 엑세스 라우터가As another configuration means for achieving the above object, the present invention is directed to an IP address authentication method in an IPv6-based network including an access router and a plurality of host nodes performing Neighbor Discovery Protocol (NDP) communication. The access router

호스트 노드로부터 호스트 노드의 IP 주소에 대한 속성 인증서 발급 요청을 수신하는 단계;Receiving a request for issuing an attribute certificate for an IP address of the host node from the host node;

상기 속성 인증서 발급이 요청된 IP 주소에 대하여 그전에 발급된 속성 인증서의 개수와 사전에 설정된 임계값을 비교하는 단계; 및Comparing the number of previously issued property certificates with a preset threshold value for the IP address for which the property certificate issuance is requested; And

상기 IP 주소에 대하여 발급된 속성 인증서의 개수가 임계값보다 작으면 속성 인증서를 발급하여 해당 호스트 노드로 전송하는 단계를 포함하는 것을 특징으로 한다.If the number of attribute certificates issued for the IP address is less than the threshold value, issuing an attribute certificate and transmitting to the corresponding host node.

더하여, 본 발명은 상기 목적을 구현하기 위한 또 다른 구성 수단으로서, 이웃 발견 프로토콜(NDP: Neighbor Discovery Protocol) 통신을 수행하는 엑세스 라우터 및 다수의 호스트 노드를 포함하는 IPv6 기반 네트워크상에서의 IP 주소 인증 방법에 있어서, NDP 통신을 수행하는 엑세스 라우터 및 호스트 노드가In addition, the present invention is another configuration means for realizing the above object, IP address authentication method on an IPv6-based network including a plurality of host nodes and an access router for performing Neighbor Discovery Protocol (NDP) communication In this case, the access router and the host node performing NDP communication

NDP 메시지를 수신하는 단계;Receiving an NDP message;

상기 수신된 NDP 메시지에서 속성 인증서를 분리하여 검증하는 단계;Separating and verifying an attribute certificate from the received NDP message;

상기 속성 인증서의 검증이 성공하면, 해당 속성 인증서에 기록된 IP 주소가 수신된 NDP 메시지의 출발지 IP 주소와 일치하는 지를 비교하는 단계;If the verification of the attribute certificate is successful, comparing the IP address recorded in the attribute certificate with the source IP address of the received NDP message;

상기 비교 결과, 속성 인증서에 기록된 IP 주소가 상기 분리된 출발지 IP 주소와 일치하면, 수신된 NDP 메시지를 정상 NDP 메시지로 판단하는 단계; 및As a result of the comparison, if the IP address recorded in the attribute certificate matches the separated source IP address, determining the received NDP message as a normal NDP message; And

상기 비교 결과, 속성 인증서에 기록된 IP 주소가 상기 분리된 출발지 IP 주소와 일치하지 않으며, 수신된 NPD 메시지를 위조 IP 주소를 포함하는 공격 메시지 로 판단하는 단계를 포함하는 것을 특징으로 한다.As a result of the comparison, the IP address recorded in the attribute certificate does not match the separated source IP address, and the received NPD message is characterized in that it comprises a step of determining the attack message including a forged IP address.

더하여, 본 발명은 상기 목적을 구현하기 위한 구성 수단으로서, In addition, the present invention provides a construction means for achieving the above object,

호스트 노드의 MAC 주소에 대한 공개키 인증서(Public-key Certificate)를 기반으로 하여 각 호스트 노드들의 IP 주소에 대한 속성 인증서를 발급하는 엑세스 라우터; An access router for issuing an attribute certificate for an IP address of each host node based on a public-key certificate for the MAC address of the host node;

상기 엑세스 라우터가 발급하는 속성 인증서의 정보를 저장하는 속성 인증서 발급 현황 DB; 및An attribute certificate issuance status DB for storing information of an attribute certificate issued by the access router; And

상기 엑세스 라우터에서 발급된 속성 인증서(Attribute Certificate) 와 디지털 서명 (Digital Signature)을 기반으로 하여 NDP 통신을 수행하면서 NDP의 출발지 IP를 인증하는 호스트 노드를 포함하는 IPv6 기반 네트워크 시스템을 제공한다.The present invention provides an IPv6-based network system including a host node that authenticates a source IP of an NDP while performing NDP communication based on an attribute certificate and a digital signature issued by the access router.

이하 첨부된 도면을 참조하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있는 바람직한 실시 예를 상세히 설명한다. 다만, 본 발명의 바람직한 실시 예에 대한 동작 원리를 상세하게 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략한다. Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings. However, in describing in detail the operating principle of the preferred embodiment of the present invention, if it is determined that the detailed description of the related known function or configuration may unnecessarily obscure the subject matter of the present invention, the detailed description thereof will be omitted.

또한, 도면 전체에 걸쳐 유사한 기능 및 작용을 하는 부분에 대해서는 동일한 도면 부호를 사용한다.In addition, the same reference numerals are used for parts having similar functions and functions throughout the drawings.

도 1은 본 발명이 적용된 IPv6 기반 네트워크 시스템의 기본 구성을 나타낸 도면이다. 1 is a diagram illustrating a basic configuration of an IPv6-based network system to which the present invention is applied.

도 1을 참조하면 IPv6 기반 네트워크 시스템은, MAC 주소에 대한 디바이스 공개키 인증서(Public-key Certificate, 이하 PKC라 함)를 기반으로 하여 호스트 노드(105)들에게 NDP 메시지를 통하여 속성 인증서를 발급하는 엑세스 라우터(103)와, 상기 엑세스 라우터(103)가 발급하는 속성 인증서의 정보를 저장하는 속성 인증서 발급 현황 DB(104)와, 상기 엑세스 라우터(103)로부터 발급된 속성 인증서(Attribute Certificate) 와 디지털 서명 (Digital Signature)을 기반으로 하여 NDP의 출발지 IP를 인증하는 호스트 노드(105)들을 포함한다.Referring to FIG. 1, an IPv6-based network system issues an attribute certificate to host nodes 105 through an NDP message based on a device public-key certificate (hereinafter referred to as PKC) for a MAC address. The access router 103, the attribute certificate issuance status DB 104 which stores the information of the attribute certificate issued by the access router 103, the attribute certificate issued from the access router 103 and the digital Host nodes 105 that authenticate the source IP of the NDP based on the signature (Digital Signature).

상기 도 1에 도시된 바와 같이, 본 발명은 NDP를 수행하고 있는 엑세스 라우터(103)와 호스트 노드(105)로 구성된 IPv6 유무선 로컬 네트워크(102)상에 적용된다. 이때 호스트 노드(105)는 초기에 CA(Certificate Authority) 서버(도시생략)로부터 자신의 MAC 주소에 대한 PKC를 발급받는다. 이때 발급된 PKC는 디바이스의 MAC 주소에 대한 것으로서 IP 주소와는 무관하기 때문에 이동 환경에서도 식별자 정보로서 지속적으로 사용될 수 있다.As shown in FIG. 1, the present invention is applied to an IPv6 wired / wireless local network 102 composed of an access router 103 and a host node 105 performing NDP. At this time, the host node 105 is initially issued a PKC for its MAC address from a certificate authority server (not shown). At this time, since the issued PKC is for the MAC address of the device and is not related to the IP address, it may be continuously used as identifier information even in a mobile environment.

그리고, 상기 호스트 노드(105)는 NDP을 통해 IP 주소를 자동 구성하고자 하는 경우 구성하고자 하는 IP 주소에 대한 속성 인증서를 상기 엑세스 라우터(103)로부터 발급받는다. 속성 인증서의 발급을 요구받은 엑세스 라우터(103)는 상기 속성 인증서 발급 현황 DB(104)에 저장되어 있는 속성 인증서 발급 정보를 기초로 하여 속성 인증서 발급 여부를 결정한다. 바람직하게, 상기 엑세스 라우터(103)는 속 성 인증서 발급을 요구한 호스트 노드(105)로부터 전달된 PKC 및 디지털 서명 및 해당 호스트 노드(105)가 발급받아 사용하고 있는 속성 인증서 개수를 고려하여 속성 인증서 발급 여부를 결정한다. 즉, PKC 및 디지털 서명이 검증되고, 해당 호스트 노드(105)가 사용하고 있는 속성 인증서 개수가 사전에 설정된 임계값 이내인 경우, 해당 IP 주소에 대한 속성 인증서를 발급한다. 이때, 상기 속성 인증서 발급 현황 DB(104)는 출발지 IP 주소별로 발급한 속성 인증서의 정보들을 저장한다.When the host node 105 wants to automatically configure an IP address through an NDP, the host node 105 receives an attribute certificate for the IP address to be configured from the access router 103. The access router 103 which is requested to issue the attribute certificate determines whether to issue the attribute certificate based on the attribute certificate issue information stored in the attribute certificate issue status DB 104. Preferably, the access router 103 considers the PKC and digital signature transmitted from the host node 105 requesting issuance of the attribute certificate, and the attribute certificate in consideration of the number of attribute certificates issued and used by the corresponding host node 105. Determine whether to issue. That is, when the PKC and the digital signature are verified and the number of attribute certificates used by the corresponding host node 105 is within a preset threshold, an attribute certificate for the corresponding IP address is issued. At this time, the attribute certificate issuance status DB 104 stores the information of the attribute certificate issued for each source IP address.

이후 상기 호스트 노드(105)는 IPv6 기반 네트워크(102)상에 존재하는 다른 호스트 노드들로 NDP 메시지를 송신할 때 상기와 같이 엑세스 라우터(103)로부터 발급받은 IP 주소에 대한 속성 인증서를 사용하고, NDP 메시지를 수신한 호스트 노드들은. 상기 속성 인증서를 통해 해당 NDP 메시지가 정상적인 메시지인지 공격 메시지인지를 판단한다.Then, the host node 105 uses the attribute certificate for the IP address issued from the access router 103 as described above when transmitting the NDP message to other host nodes existing on the IPv6-based network 102. Host nodes that receive NDP messages. The attribute certificate determines whether the corresponding NDP message is a normal message or an attack message.

상기 엑세스 라우터(103)와 호스트 노드(105) 들간의 속성 인증서 발급 및 속성 인증서를 이용한 IP 주소의 인증은 NDP 메시지를 기반으로 이루어지며, 이러한 속성 인증서를 기반으로 한 IP 주소 인증을 가능하도록 하기 위하여 본 발명에서는 기존의 NDP 메시지 포맷을 확장한다. 상기에서 속성 인증서는 X.509에서 표준으로 정의되어 있는 것으로서, 사용자의 권한, 임무, 지위 등 사용자의 속성을 정의한다.Issuance of an attribute certificate and authentication of an IP address using the attribute certificate between the access router 103 and the host node 105 are performed based on an NDP message, and to enable IP address authentication based on the attribute certificate. The present invention extends the existing NDP message format. In the above, the attribute certificate is defined as a standard in X.509 and defines the user's attributes such as the user's authority, duties, and status.

도 2는 본 발명을 적용하기 위하여 확장된 NDP 메시지의 구조를 나타낸 도면이다. 기본적으로 NDP 메시지는 IPv6 헤더와, ICMPv6 헤더와, NDP 메시지 상세 데 이터와, NDP 메시지 옵션으로 이루어진다. 본 발명에서는 IP 주소 인증을 위하여, 상술한 구조에 더하여, 속성 인증서(Attribute Certificate)를 기술하는 옵션(202)과, 공개키 인증서(Pulic-Key Certificate)를 기술하는 옵션(203)과, 디지털 서명(Digital Signature)이 기록되는 옵션(204) 필드를 더 포함한다. 속성 인증서를 기술하는 옵션(202)은 IPv6 라우터가 요구받은 IP 주소에 대한 속성 인증서를 IPv6 호스트 노드에게 보낼 때 사용한다. 속성 인증서는 X.509에서 표준으로 정되어 있으며, 사용자의 권한, 임무, 지위 등 사용자의 속성(attribute)을 정의하고 있다. IPv6 호스트 노드의 IP 주소 및 공개키는 속성 인증서의 속성 필드에 기록된다. 2 is a diagram illustrating a structure of an NDP message extended to apply the present invention. Basically, NDP message consists of IPv6 header, ICMPv6 header, NDP message detail data and NDP message option. In the present invention, for the IP address authentication, in addition to the above-described structure, an option 202 for describing an attribute certificate, an option 203 for describing a public-key certificate, and a digital signature It further includes an option 204 field in which (Digital Signature) is recorded. Option 202 describing the attribute certificate is used by the IPv6 router to send an attribute certificate for the requested IP address to the IPv6 host node. Attribute certificates are standard in X.509 and define the user's attributes, such as the user's privileges, duties, and status. The IP address and public key of the IPv6 host node are recorded in the attribute field of the attribute certificate.

공개키 인증서 옵션(203)은 IPv6 호스트 및 IPv6 엑세스 라우터가 자신의 신분을 증명하기 위하여 사용된다. 마지막으로 디지털 서명 옵션은 NDP 메시지를 송신하는 IPv6 호스트 노드 및 엑세스 라우터의 공개키 및 NDP 메시지의 시그니처를 포함하고 있으며, 그 전송하는 메시지가 자신이 보낸 메시지라는 것을 증명하기 위해 사용된다. NDP 메시지를 송신하는 IPv6 노드는 자신의 개인키를 사용하여 시그니처를 생성하고, 그 메시지를 수신하는 노드는 그 메시지를 송신한 노드의 공개키를 사용하여 그 시그니처를 검증한다.Public key certificate option 203 is used by an IPv6 host and an IPv6 access router to prove its identity. Finally, the digital signature option contains the signature of the NDP message and the public key of the IPv6 host node and access router that sends the NDP message, and is used to prove that the message it sends is a message it sent. The IPv6 node sending the NDP message generates a signature using its private key, and the node receiving the message verifies the signature using the public key of the node that sent the message.

다음으로 IPv6 기반 네트워크 시스템에서 이루어지는 본 발명에 의한 IP 주소 인증 방법을 도 3 내지 도 5의 흐름도를 참조하여 설명한다.Next, an IP address authentication method according to the present invention performed in an IPv6-based network system will be described with reference to the flowcharts of FIGS. 3 to 5.

도 3은 본 발명에 따른 IP 주소 인증 방법의 바람직한 실시 예를 나타낸 흐름도이다. 상기 도 3에 도시된 흐름도는 IPv6 기반 네트워크상에 존재하는 호스트 노드(105)들의 NDP 메시지 송신 처리와 관련된다.3 is a flowchart illustrating a preferred embodiment of the IP address authentication method according to the present invention. 3 is related to the NDP message transmission process of the host nodes 105 present on the IPv6-based network.

도 3을 참조하면, IP 주소 자동 구성을 위하여 NDP 메시지를 송신하려는 호스트 노드는, 먼저 자신의 IP 주소를 인증하는 속성 인증서가 존재하는 지를 검사한다(301).Referring to FIG. 3, a host node that attempts to send an NDP message for automatic IP address configuration first checks whether there is an attribute certificate for authenticating its IP address (301).

상기 단계 301에서의 검사 결과, 자신의 IP 주소에 대한 속성 인증서가 이미 존재하면, 그 속성 인증서와, 디지털 서명을 NDP 메시지에 포함된 NDP 메시지를 생성하여 송신한다(306). 상기 송신되는 NDP 메시지는 도 2와 같은 포맷으로 이루어진다. 즉, IPv6 헤더와 ICMPv6 헤더와 해당 호스트 노드에서 송신하고자 하는 메시지와 관련된 상세 데이터와, NDP 메시지의 옵션들과 함께, 속성 인증서, 디지털 서명이 포함되어 있다.As a result of the check in step 301, if the attribute certificate for its own IP address already exists, the attribute certificate and the digital signature are generated and transmitted (306) with the NDP message included in the NDP message. The transmitted NDP message has a format as shown in FIG. 2. That is, an attribute certificate and a digital signature are included with the IPv6 header, the ICMPv6 header, detailed data related to the message to be transmitted by the corresponding host node, and options of the NDP message.

상기 단계 301에서의 검사 결과, 자신의 IP 주소에 대한 속성 인증서가 존재하지 않는 경우, 상기 호스트 노드는 자신의 IP 주소에 대한 속성 인증서 발급을 요청하는 메시지를 엑세스 라우터로 송신하고, 그에 대한 응답으로 엑세스 라우터로부터 발급된 속성 인증서를 수신하는데, 이러한 속성 인증서의 발급을 위하여 해당 호스트 노드는 NDP에서 규정된 메시지중 호스트 노드가 동일 링크에 연결된 엑세스 라우터를 파악하고자 할 때 사용하는 RS(Router Solicitation) 메시지 및 RA(Router Advertisement) 메시지를 이용한다.As a result of the check in step 301, if there is no attribute certificate for its IP address, the host node transmits a message requesting issuance of the attribute certificate for its IP address to the access router, and in response thereto. Receives an attribute certificate issued from an access router. To issue such an attribute certificate, the host node uses an RS (Router Solicitation) message that is used by the host node to determine which access router is connected to the same link. And a Router Advertisement (RA) message.

즉, 도 3에 도시된 바와 같이, 단계 302에서 자신의 공개키, 상기 공개키에 대한 인증서(PKC), 그리고 디지털 서명을 포함하는 RS 메시지에 생성하고, 단계 303에서 속성 인증서를 요구하기 위하여 상기 생성된 RS 메시지를 엑세스 라우터에 게 송신한다.That is, as shown in FIG. 3, in step 302 an RS message including its public key, a certificate for the public key (PKC), and a digital signature is generated, and in step 303 the property certificate is requested to request the attribute certificate. Send the generated RS message to the access router.

상기 RS 메시지를 수신한 엑세스 라우터는 RS 메시지에 포함된 PKC 및 디지털 서명을 검증하여, 속성 인증서를 발급하는데, 상기 엑세스 라우터의 속성 인증서 발급 과정은 다음에 도 4의 설명에서 더 구체적으로 설명한다.Upon receiving the RS message, the access router verifies the PKC and digital signature included in the RS message and issues an attribute certificate. The process of issuing an attribute certificate of the access router will be described in more detail with reference to FIG. 4.

상기 RS 메시지의 송신후 호스트 노드는 단계 304에서 해당 IP 주소에 대한 속성인증서와 엑세스 라우터의 디지털 서명을 포함하는 RA(Router Advertisement) 메시지를 엑세스 라우터로부터 수신한다. After transmitting the RS message, in step 304, the host node receives a Router Advertisement (RA) message including an attribute certificate for the corresponding IP address and a digital signature of the access router from the access router.

그리고 단계 305에서, 수신된 RA 메시지의 무결성을 검사하기 위하여, 수신된 RA 메시지에 포함된 디지털 서명을 IPv6 엑세스 라우터의 공개키를 사용하여 검증한다. IPv6 호스트 노드는 IPv6 엑세스 라우터의 공개키에 대한 신뢰성을 확인하기 위하여 CA 서버를 통하여 IPv6 엑세스 라우터의 PKC를 검증할 수 있다. In step 305, to verify the integrity of the received RA message, the digital signature included in the received RA message is verified using the public key of the IPv6 access router. The IPv6 host node may verify the PKC of the IPv6 access router through the CA server to verify the authenticity of the public key of the IPv6 access router.

상기에서 디지털 서명이 검증되면, 수신된 RA 메시지에 포함된 속성 인증서를 자신의 IP 주소에 대한 속성 인증서로 저장하고, 이후 단계 306과 같이 상기 발급받은 속성인증서와 자신의 디지털 서명을 송신하려는 NDP 메시지에 추가한 후, 그 NDP 메시지를 목적지로 송신한다(306).When the digital signature is verified, the NDP message which stores the attribute certificate included in the received RA message as an attribute certificate for its IP address, and then transmits the issued attribute certificate and its digital signature as shown in step 306. After adding to, the NDP message is sent to the destination (306).

상기에 의하여, IPv6 기반의 네트워크상에 존재하는 호스트 노드들은, IP 주소 자동 구성을 위하여 NDP 메시지를 송신할 경우, 상기 NDP 메시지의 출발지 IP 주소를 속성 인증서를 통해 인증할 수 있게 되며, 해당 NDP 메시지를 수신한 호스트 노드는 속성 인증서를 통해 수신된 NDP 메시지가 정상적인 메시지인지 공격 메시지인지를 판별할 수 있다.By the above, when the host nodes existing on the IPv6-based network transmits an NDP message for automatic IP address configuration, it is possible to authenticate the source IP address of the NDP message through an attribute certificate. Receiving the host node may determine whether the NDP message received through the attribute certificate is a normal message or an attack message.

도 4는 본 발명에 따른 IPv6 기반 네트워크상에서의 IP 주소 인증 방법에 있어서, 상기 IP 주소를 인증하기 위한 속성 인증서를 발급하는 과정에 대한 바람직한 실시 예를 나타낸 흐름도이다. 더 구체적으로 상기 도 4의 흐름도는 IPv6 기반 네트워크상에 존재하는 엑세스 라우터를 통해 이루어진다.4 is a flowchart illustrating a process of issuing an attribute certificate for authenticating the IP address in the IP address authentication method on an IPv6-based network according to the present invention. More specifically, the flowchart of FIG. 4 is performed through an access router existing on an IPv6-based network.

도 4를 참조하면, IPv6 기반 네트워크상에서 외부 네트워크와 IPv6 기반 네트워크 간의 데이터 통신을 지원하는 엑세스 라우터는, IPv6 기반 네트워크상에 존재하는 소정의 호스트 노드로부터 속성인증서를 요구하는 RS 메시지를 수신하면(401), 상기 수신된 RS 메시지에서 출발지 IP 주소와, 공개키, PKC 및 디지털 서명을 분리한다(402).Referring to FIG. 4, when an access router supporting data communication between an external network and an IPv6-based network in an IPv6-based network receives an RS message requesting an attribute certificate from a predetermined host node existing on the IPv6-based network (401) In step 402, a source IP address, a public key, a PKC, and a digital signature are separated from the received RS message.

그리고 상기 분리된 디지털 서명 및 PKC를 검증하여 상기 RS 메시지의 무결성을 확인한다(403). 그리고 상기 단계 403에서 분리한 디지털 서명 또는 PKC에 대한 검증을 수행한다. 이때, 이 실패하면, 해당 RS 메시지를 공격 메시지 등과 같은 비정상적인 메시지로 판단할 수 있다. 따라서, 디지털 서명 및 PKC에 대한 검증이 실패하면, 속성 인증서 발급의 거부 및 거부 사유를 포함하는 응답 메시지(RA 메시지)를 해당 호스트 노드로 송신한다(407).The separated digital signature and PKC are verified to verify the integrity of the RS message (403). The digital signature or PKC separated in step 403 is performed. In this case, if this fails, the RS message may be determined as an abnormal message such as an attack message. Therefore, if verification of the digital signature and PKC fails, a response message (RA message) including the reason for rejection and rejection of issuance of the attribute certificate is transmitted to the corresponding host node (407).

더하여, 상기 엑세스 라우터는 디지털 서명과 PKC의 검증이 성공한 경우, 해당 RS 메시지를 검증된 메시지로 판단하여 속성 인증서의 발급 절차를 수행하는데, 이에 앞서서 출발지 IP 주소에 대하여 발급되어 있는 속성 인증서의 개수를 상기 속성 인증서 발급 현황 DB에서 확인하여 사전에 설정된 임계값보다 작은지를 비교한다(404).In addition, when the digital signature and PKC verification are successful, the access router judges the RS message as a verified message and performs the issuance procedure of the attribute certificate. Prior to this, the number of the attribute certificates issued for the source IP address is determined. In operation 404, the attribute certificate issuance status DB is checked and compared to determine whether it is smaller than a preset threshold.

상기 비교 단계(404)에서 현재 해당 출발지 IP 주소에 대하여 발급된 속성 인증서의 개수가 관리자에 의해 설정된 임계값보다 크거나 같으면, 속성 인증서 발급을 거부하고 해당 호스트 노드로 거부 사유를 포함하는 RA 메시지를 송신한다(407).If the number of attribute certificates currently issued for the corresponding source IP address in the comparing step 404 is greater than or equal to the threshold set by the administrator, the RA message is rejected and the host node includes a reason for rejection to the corresponding host node. Transmit (407).

상기 비교 단계(404)에서 이미 발급된 속성 인증서의 개수가 임계값보다 작으면, 속성 인증서를 발급하고, 발급한 속성 인증서와 자신의 디지털 서명을 포함하는 RA 메시지를 생성하여 해당 호스트 노드로 송신한다(405).If the number of attribute certificates already issued in the comparison step 404 is smaller than the threshold value, the attribute certificate is issued, and an RA message including the issued attribute certificate and its digital signature is generated and transmitted to the corresponding host node. (405).

그리고 나서 상기 단계405에서 발급한 속성 인증서의 정보를 속성 인증서 발급 현황 DB에 추가한다(406). Then, the information on the attribute certificate issued in step 405 is added to the attribute certificate issuance status DB (406).

상기에 의하면, IPv6 기반 네트워크상의 어떠한 호스트 노드라도 임계값보다 많은 수의 IP 주소 및 속성 인증서를 가질 수 없으며, 공격 노드가 보유할 수 있는 IP 주소도 한정된다. 따라서 공격 노드는 IP 자동 구성 방해 공격을 실행하기가 어렵고 또한 NDP에 대한 서비스 거부 공격 시 자신의 IP 주소가 노출되는 것을 피할 수 없다. 더 구체적으로 설명하면, 공격 노드가 보유할 수 있는 IP 주소의 수가 임계값 이하의 제안된 수로 한정되기 때문에, 만약 어떤 노드가 NDP에 대한 서비스 거부 공격을 하는 경우, 그 공격 메시지들의 출발지 IP 주소는 상기 공격 노드가 보유하고 있는 몇 개의 IP 주소중 하나일 것이며, 따라서, 서비스 거부 공격을 받는 노드는 공격 메시지를 생성하는 IP가 어느 것인지를 확인할 수 있다. 다른 방법으로, 공격 노드가 인위적인 가짜 IP 주소를 생성하여 공격할 수 도 있으나, 이 경우, 공격을 받는 노드는 속성 인증서에 기록된 IP 주소와 메시지의 가짜 출발지 IP 주소가 서로 일치할 수 없으므로, 공격 메시지를 삭제 처리할 수 있다.According to the above, no host node on an IPv6-based network can have more IP addresses and attribute certificates than the threshold, and the IP addresses that an attacking node can hold are also limited. Therefore, it is difficult for an attacking node to execute an IP auto-disruption attack and inevitably expose its IP address in a denial of service attack against NDP. More specifically, since the number of IP addresses that an attacking node can hold is limited to the proposed number below the threshold, if a node is making a denial of service attack on an NDP, the source IP address of those attacking messages is It may be one of several IP addresses possessed by the attacking node, and thus, a node subjected to a denial of service attack may determine which IP generates the attack message. Alternatively, the attacking node may attack by generating an artificial fake IP address, but in this case, the attacking node cannot attack because the IP address recorded in the attribute certificate cannot match the fake source IP address in the message. You can delete the message.

도 5는 본 발명에 의한 IPv6 기반 네트워크상에서의 IP 주소 인증 방법에 있어서, 호스트 노드(105) 및 엑세스 라우터(103)에서의 가짜 출발지 IP 주소를 갖는 NDP 메시지를 탐지하는 과정을 도시한 흐름도이다.FIG. 5 is a flowchart illustrating a process of detecting an NDP message having a fake source IP address at the host node 105 and the access router 103 in the IP address authentication method on an IPv6-based network according to the present invention.

도 5를 참조하면, IPv6 기반 네트워크상에 존재하는 호스트 노드 또는 엑세스 라우터는, 상기 도 3과 같은 과정을 통해 전송된 NDP 메시지를 수신하면(501), 먼저 수신된 NDP 메시지에서 출발지 IP 주소, 속성 인증서, 및 디지털 서명을 분리한다(502). 그리고 상기 속성 인증서에 포함된 NDP 송신자의 공개키를 사용하여 디지털 서명을 검증하고, 또한 그 속성 인증서를 발급한 IPv6 엑세스 라우터의 공개키를 사용하여 속성 인증서를 검증한다(503).Referring to FIG. 5, when a host node or an access router existing on an IPv6-based network receives an NDP message transmitted through the process as shown in FIG. 3 (501), a source IP address, an attribute, and the like are first received from the received NDP message. The certificate and the digital signature are separated (502). The digital signature is verified using the public key of the NDP sender included in the attribute certificate, and the attribute certificate is verified using the public key of the IPv6 access router that issued the attribute certificate (503).

상기 단계(503)에서 디지털 서명 및 속성 인증서의 검증이 실패하면, 위조 IP 주소를 포함하는 공격 NDP 메시지로 판단하여 수신된 NDP 메시지를 폐기한다(506).If the verification of the digital signature and attribute certificate fails in step 503, it is determined as an attack NDP message including a forged IP address and the received NDP message is discarded (506).

반대로, 상기 단계(503)에서, 디지털 서명 및 속성 인증서의 검증이 성공하면, 수신된 NDP 메시지의 출발지 IP 주소가 상기 속성 인증서에 기록된 IP 주소와 일치하는 지를 확인한다(504).Conversely, in step 503, if the digital signature and verification of the attribute certificate succeed, it is checked if the source IP address of the received NDP message matches the IP address recorded in the attribute certificate (504).

상기 확인 결과, 출발지 IP 주소가 속성인증서에 기록된 IP 주소와 일치하지 않으면, 수신한 NDP 메시지를 위조 IP 주소를 포함하는 공격 NDP 메시지로 판단하여 폐기한다(506).As a result of the check, if the source IP address does not match the IP address recorded in the attribute certificate, the received NDP message is determined to be an attack NDP message including a forged IP address and discarded (506).

그러나 상기 확인 결과, 출발지 IP 주소가 속성인증서에 기록된 IP 주소와 일치한 경우, 수신한 NDP 메시지를 정상 NDP 메시지로 판단하여, 정상적인 NDP 서비스를 수행한다(505).However, as a result of the check, if the source IP address matches the IP address recorded in the attribute certificate, the received NDP message is determined as a normal NDP message, and normal NDP service is performed (505).

이상의 과정에 의하면, NDP 메시지의 출발지 IP 주소가 속성 인증서에 기록되어있고 또한 속성 인증서를 위조 및 변조하는 것은 원천적으로 불가능하기 때문에, NDP 메시지를 수신하는 호스트 노드 및 엑세스 라우터에서 NDP 메시지의 출발지 IP 주소에 대한 IP 주소 속임 공격을 쉽게 탐지할 수 있다.According to the above process, since the source IP address of the NDP message is recorded in the attribute certificate, and it is inherently impossible to forge and forge the attribute certificate, the source IP address of the NDP message at the host node and the access router receiving the NDP message. Easily detect IP address spoofing attacks against

이상에서 설명한 본 발명은 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니고, 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하다는 것이 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 당업자에게 있어 명백할 것이다. The present invention described above is not limited to the above-described embodiments and the accompanying drawings, and various substitutions, modifications, and changes are possible in the technical field of the present invention without departing from the technical spirit of the present invention. It will be apparent to those skilled in the art.

이상으로 살펴본 바와 같이, 본 발명은 엑세스 라우터에서 발급하는 속성인증서 기반의 NDP 통신을 제공하기 때문에, 위조 IP 주소를 이용한 IP 자동 구성 방해 공격을 원천적으로 방지할 수 있고, 또한 NDP에 대한 서비스 거부 공격을 실행하는 공격 노드의 IP 속임 공격을 쉽게 탐지할 수 있는 효과가 있다.As described above, since the present invention provides the NDP communication based on the attribute certificate issued by the access router, it is possible to prevent the IP auto-configuration interruption attack using the forged IP address at the source, and also denial of service attack on the NDP. There is an effect that can easily detect the IP cheating attack of the attacking node running the.

Claims (18)

이웃 발견 프로토콜(NDP: Neighbor Discovery Protocol) 통신을 수행하는 엑세스 라우터 및 다수의 호스트 노드를 포함하는 IPv6 기반 네트워크상에서의 IP 주소 인증 방법에 있어서, NDP 통신을 수행하는 호스트 노드가In the IP address authentication method on an IPv6-based network including an access router and NDC (Neighbor Discovery Protocol) communication and a plurality of host nodes, the host node performing the NDP communication 엑세스 라우터로 자신의 IP 주소에 대한 속성 인증서 발급을 요청하는 단계;Requesting to issue an attribute certificate for its IP address to the access router; 상기 요청에 의해 엑세스 라우터로부터 속성 인증서가 발급되면, 해당 속성 인증서를 포함한 NDP 메시지를 생성하는 단계; 및Generating an NDP message including the attribute certificate when the attribute certificate is issued from the access router by the request; And 상기 생성된 NDP 메시지를 목적지로 송신하는 단계를 포함하는 것을 특징으로 하는 IPv6 기반 네트워크상에서의 IP 주소 인증 방법.And transmitting the generated NDP message to a destination. 제1항에 있어서, 상기 속성 인증서 발급을 요청하는 단계는The method of claim 1, wherein the requesting for issuance of the attribute certificate is performed. 상기 호스트 노드가 자신의 공개키와, 공개키 인증서와, 자신의 디지털 서명을 포함하는 RS(Router Solicitation) 메시지를 생성하여 엑세스 라우터로 송신하는 단계임을 특징으로 하는 IPv6 기반 네트워크상에서의 IP 주소 인증 방법.And generating, by the host node, an RS (Router Solicitation) message including its public key, its public key certificate, and its digital signature, and sending it to an access router. . 제2항에 있어서, The method of claim 2, 상기 공개키 인증서는 해당 호스트 노드가 사전에 자신의 MAC 주소에 대하여 CA(Certificate Authority) 서버로부터 발급받은 것임을 특징으로 하는 IPv6 기반 네트워크상에서의 IP 주소 인증 방법.The public key certificate is an IP address authentication method on an IPv6-based network, characterized in that the host node has been previously issued from a CA (Certificate Authority) server for its MAC address. 제3항에 있어서, The method of claim 3, 상기 속성 인증서는, 호스트 노드별로 그 발급 개수가 제한되는 것임을 특징으로 하는 IPv6 기반 네트워크상에서의 IP 주소 인증 방법.The attribute certificate is an IP address authentication method on an IPv6-based network, characterized in that the number of issuance is limited for each host node. 제4항에 있어서, 상기 NDP 메시지를 생성하는 단계는,The method of claim 4, wherein generating the NDP message comprises: 해당 NDP 메시지에 디지털 서명을 더 포함시키는 것을 특징으로 하는 IPv6 기반 네트워크상에서의 IP 주소 인증 방법.IP address authentication method on an IPv6-based network, characterized in that the NDP message further comprises a digital signature. 제4항에 있어서, 상기 호스트 노드가The method of claim 4, wherein the host node is NDP 메시지를 수신하는 단계;Receiving an NDP message; 상기 수신된 NDP 메시지에서 속성 인증서를 분리하여 검증하는 단계;Separating and verifying an attribute certificate from the received NDP message; 상기 속성 인증서의 검증이 성공하면, 해당 속성 인증서에 기록된 IP 주소가 수신된 NDP 메시지의 출발지 IP 주소와 일치하는 지를 비교하는 단계;If the verification of the attribute certificate is successful, comparing the IP address recorded in the attribute certificate with the source IP address of the received NDP message; 상기 비교 결과, 속성 인증서에 기록된 IP 주소가 상기 분리된 출발지 IP 주소와 일치하면, 수신된 NDP 메시지를 정상 NDP 메시지로 판단하는 단계; 및As a result of the comparison, if the IP address recorded in the attribute certificate matches the separated source IP address, determining the received NDP message as a normal NDP message; And 상기 비교 결과, 속성 인증서에 기록된 IP 주소가 상기 분리된 출발지 IP 주소와 일치하지 않으며, 수신된 NPD 메시지를 위조 IP 주소를 포함하는 공격 메시지로 판단하는 단계를 포함하는 것을 특징으로 하는 IPv6 기반 네트워크상에서의 IP 주소 인증 방법.As a result of the comparison, wherein the IP address recorded in the attribute certificate does not match the separated source IP address; and determining the received NPD message as an attack message including a forged IP address. To authenticate IP addresses on the web. 제5항에 있어서, The method of claim 5, 상기 호스트 노드가 상기 분리된 속성 인증서에 기록된 IP 주소가 수신된 NDP 메시지의 출발지 IP 주소와 일치하는 지를 비교하기 전에, 수신된 NDP 메시지에서 디지털 서명을 분리하여 검증하는 단계를 더 포함하고,Separating and verifying the digital signature in the received NDP message before the host node compares whether the IP address recorded in the separated attribute certificate matches the source IP address of the received NDP message; 상기 디지털 서명의 검증이 실패하면, 공격 메시지로 판단하도록 하고, 디지털 서명의 검증이 성공한 경우, 속성 인증서의 IP 주소와 NDP 메시지의 출발지 IP 주소를 비교하는 단계를 수행하도록 하는 것을 특징으로 하는 IPv6 기반 네트워크상에서의 IP 주소 인증 방법.If the verification of the digital signature fails, it is determined to be an attack message, and if the verification of the digital signature succeeds, the step of comparing the IP address of the attribute certificate with the source IP address of the NDP message is performed. How to authenticate an IP address on a network. 제1항에 있어서, The method of claim 1, 상기 NDP 메시지는, 속성 인증서를 기록하는 옵션 필드와, 공개키 인증서를 기록하는 옵션 필드와, 디지털 서명을 기록하는 옵션 필드 중에서 하나 이상을 포함하는 것을 특징으로 하는 IPv6 기반 네트워크상에서의 IP 주소 인증 방법.The NDP message includes at least one of an option field for recording an attribute certificate, an option field for recording a public key certificate, and an option field for recording a digital signature. . 이웃 발견 프로토콜(NDP: Neighbor Discovery Protocol) 통신을 수행하는 엑세스 라우터 및 다수의 호스트 노드를 포함하는 IPv6 기반 네트워크상에서의 IP 주소 인증 방법에 있어서, 상기 엑세스 라우터가In the IP address authentication method on an IPv6-based network including a plurality of host nodes and an access router performing Neighbor Discovery Protocol (NDP) communication, the access router is 호스트 노드로부터 호스트 노드의 IP 주소에 대한 속성 인증서 발급 요청을 수신하는 단계;Receiving a request for issuing an attribute certificate for an IP address of the host node from the host node; 상기 속성 인증서 발급이 요청된 IP 주소에 대하여 그전에 발급된 속성 인증서의 개수와 사전에 설정된 임계값을 비교하는 단계; 및Comparing the number of previously issued property certificates with a preset threshold value for the IP address for which the property certificate issuance is requested; And 상기 IP 주소에 대하여 발급된 속성 인증서의 개수가 임계값보다 작으면 속성 인증서를 발급하여 해당 호스트 노드로 전송하는 단계를 포함하는 것을 특징으로 하는 IPv6 기반 네트워크상에서의 IP 주소 인증 방법.If the number of attribute certificates issued for the IP address is less than the threshold value, issuing an attribute certificate and transmitting to the corresponding host node, IP address authentication method on an IPv6-based network. 제9항에 있어서, 상기 속성 인증서 발급 요청을 수신하는 단계는The method of claim 9, wherein the receiving of the attribute certificate issuance request 호스트 노드로부터 출발지 IP 주소와, 호스트 노드의 공개키, 상기 공개키에 대한 인증서 및 디지털 서명을 포함하는 RS(Router Advertisement) 메시지를 수신하는 단계인 것을 특징으로 하는 IPv6 기반 네트워크상에서의 IP 주소 인증 방법.Receiving a source IP address, a host node's public key, a certificate and a digital signature for the public key from the host node, the IP address authentication method on an IPv6-based network, characterized in that . 제10항에 있어서,The method of claim 10, 상기 수신된 RS 메시지에 포함된 공개키 인증서 및 디지털 서명을 검증하여, 검증이 성공하면 상기 요청된 IP 주소에 대하여 그전에 발급된 속성 인증서의 개수와 임계값을 비교하도록 하는 단계를 더 포함하는 것을 특징으로 하는 IPv6 기반 네트워크상에서의 IP 주소 인증 방법.Verifying the public key certificate and the digital signature included in the received RS message, and if the verification succeeds, comparing the threshold number and the threshold number of previously issued attribute certificates with respect to the requested IP address. IP address authentication method on an IPv6-based network. 제11항에 있어서,The method of claim 11, 상기 공개키 인증서 및 디지털 서명의 검증이 실패하거나, 속성인증서 발급이 요청된 IP 주소에 대하여 이전에 발급된 속성 인증서의 개수가 임계값보다 크거 나 같은 경우, 속성 인증서 발급 거부 및 거부 사유를 해당 호스트 노드로 전송하는 단계를 더 포함하는 것을 특징으로 하는 IPv6 기반 네트워크상에서의 IP 주소 인증 방법.If the verification of the public key certificate and digital signature fails or the number of previously issued attribute certificates for the IP address for which the issuance of the attribute certificate is requested is greater than or equal to the threshold value, the reason for rejecting and rejecting the issuance of the attribute certificate is determined. IP address authentication method on an IPv6-based network, characterized in that it further comprises transmitting to a node. 제11항에 있어서,The method of claim 11, 상기 속성 인증서를 발급하여 해당 호스트 노드로 전송하는 단계는,Issuing the attribute certificate and transmitting to the corresponding host node, 속성 인증서를 포함하는 RA(Router Advertisement) 메시지를 해당 호스트 노드로 전송하는 단계인 것을 특징으로 하는 IPv6 기반 네트워크상에서의 IP 주소 인증 방법.A method for authenticating an IP address in an IPv6-based network, comprising transmitting a Router Advertisement (RA) message including an attribute certificate to a corresponding host node. 제13항에 있어서, The method of claim 13, 상기 속성 인증서를 발급하여 해당 호스트 노드로 전송하는 단계는,Issuing the attribute certificate and transmitting to the corresponding host node, 디지털 서명을 더 포함하는 RA 메시지를 송신하는 단계인 것을 특징으로 하는 IPv6 기반 네트워크상에서의 IP 주소 인증 방법.Transmitting the RA message further including a digital signature. 제11항에 있어서,The method of claim 11, 상기 발급된 속성 인증서의 정보를 저장하는 단계를 더 포함하는 것을 특징으로 하는 IPv6 기반 네트워크상에서의 IP 주소 인증 방법.And storing the information of the issued attribute certificate. 이웃 발견 프로토콜(NDP: Neighbor Discovery Protocol) 통신을 수행하는 엑 세스 라우터 및 다수의 호스트 노드를 포함하는 IPv6 기반 네트워크상에서의 IP 주소 인증 방법에 있어서, NDP 통신을 수행하는 엑세스 라우터 및 호스트 노드가In an IP address authentication method in an IPv6-based network including an access router and NDC (Neighbor Discovery Protocol) communication and a plurality of host nodes, the access router and host node performing NDP communication NDP 메시지를 수신하는 단계;Receiving an NDP message; 상기 수신된 NDP 메시지에서 속성 인증서를 분리하여 검증하는 단계;Separating and verifying an attribute certificate from the received NDP message; 상기 속성 인증서의 검증이 성공하면, 해당 속성 인증서에 기록된 IP 주소가 수신된 NDP 메시지의 출발지 IP 주소와 일치하는 지를 비교하는 단계;If the verification of the attribute certificate is successful, comparing the IP address recorded in the attribute certificate with the source IP address of the received NDP message; 상기 비교 결과, 속성 인증서에 기록된 IP 주소가 상기 분리된 출발지 IP 주소와 일치하면, 수신된 NDP 메시지를 정상 NDP 메시지로 판단하는 단계; 및As a result of the comparison, if the IP address recorded in the attribute certificate matches the separated source IP address, determining the received NDP message as a normal NDP message; And 상기 비교 결과, 속성 인증서에 기록된 IP 주소가 상기 분리된 출발지 IP 주소와 일치하지 않으며, 수신된 NPD 메시지를 위조 IP 주소를 포함하는 공격 메시지로 판단하는 단계를 포함하는 것을 특징으로 하는 IPv6 기반 네트워크상에서의 IP 주소 인증 방법.As a result of the comparison, wherein the IP address recorded in the attribute certificate does not match the separated source IP address; and determining the received NPD message as an attack message including a forged IP address. To authenticate IP addresses on the web. 제16항에 있어서, The method of claim 16, 상기 엑세스 라우터 및 호스트 노드가 상기 분리된 속성 인증서에 기록된 IP 주소가 수신된 NDP 메시지의 출발지 IP 주소와 일치하는 지를 비교하기 전에, 수신된 NDP 메시지에서 디지털 서명을 분리하여 검증하는 단계를 더 포함하고,Separating and verifying the digital signature in the received NDP message before the access router and host node compare whether the IP address recorded in the separated attribute certificate matches the source IP address of the received NDP message. and, 상기 디지털 서명의 검증이 실패하면, 공격 메시지로 판단하도록 하고, 디지털 서명의 검증이 성공한 경우, 속성 인증서의 IP 주소와 NDP 메시지의 출발지 IP 주소를 비교하는 단계를 수행하도록 하는 것을 특징으로 하는 IPv6 기반 네트워크 상에서의 IP 주소 인증 방법.If the verification of the digital signature fails, it is determined to be an attack message, and if the verification of the digital signature succeeds, the step of comparing the IP address of the attribute certificate with the source IP address of the NDP message is performed. How to authenticate an IP address on a network. 호스트노드의 MAC 주소에 대한 공개키 인증서(Public-key Certificate)를 기반으로 하여 각 호스트 노드들의 IP 주소에 대한 속성 인증서를 발급하는 엑세스 라우터;An access router for issuing attribute certificates for IP addresses of respective host nodes based on a public-key certificate for the host node's MAC address; 상기 엑세스 라우터가 발급하는 속성 인증서의 정보를 저장하는 속성 인증서 발급 현황 DB; 및An attribute certificate issuance status DB for storing information of an attribute certificate issued by the access router; And 상기 엑세스 라우터에서 발급된 속성 인증서(Attribute Certificate) 와 디지털 서명 (Digital Signature)을 기반으로 하여 NDP 통신을 수행하면서 NDP의 출발지 IP를 인증하는 호스트 노드를 포함하는 IPv6 기반 네트워크 시스템.An IPv6-based network system including a host node that authenticates the source IP of the NDP while performing NDP communication based on an Attribute Certificate and a Digital Signature issued by the access router.
KR1020060107958A 2006-11-02 2006-11-02 IP address authentication method and IP6-based network system in IP6-based network Expired - Fee Related KR100856918B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020060107958A KR100856918B1 (en) 2006-11-02 2006-11-02 IP address authentication method and IP6-based network system in IP6-based network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020060107958A KR100856918B1 (en) 2006-11-02 2006-11-02 IP address authentication method and IP6-based network system in IP6-based network

Publications (2)

Publication Number Publication Date
KR20080040256A true KR20080040256A (en) 2008-05-08
KR100856918B1 KR100856918B1 (en) 2008-09-05

Family

ID=39647957

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060107958A Expired - Fee Related KR100856918B1 (en) 2006-11-02 2006-11-02 IP address authentication method and IP6-based network system in IP6-based network

Country Status (1)

Country Link
KR (1) KR100856918B1 (en)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010003326A1 (en) * 2008-07-10 2010-01-14 华为技术有限公司 A method for protecting the proxy neighbor discovery, and a system and related apparatus thereof
WO2010039569A3 (en) * 2008-09-30 2010-10-21 Qualcomm Incorporated Third party validation of internet protocol addresses
US8548467B2 (en) 2008-09-12 2013-10-01 Qualcomm Incorporated Ticket-based configuration parameters validation
US8862872B2 (en) 2008-09-12 2014-10-14 Qualcomm Incorporated Ticket-based spectrum authorization and access control
CN112601229A (en) * 2019-10-01 2021-04-02 阿自倍尔株式会社 Apparatus and method for detecting illegal
CN116032594A (en) * 2022-12-23 2023-04-28 赛尔网络有限公司 Method, device, equipment and medium for judging IPv6 network real source address verification

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100304112B1 (en) * 1998-11-06 2001-09-24 이계철 Authentication method using enhanced capability
JP4280536B2 (en) 2002-05-09 2009-06-17 キヤノン株式会社 Public key generation apparatus, method, and public key certificate issuing method
JP4397675B2 (en) 2003-11-12 2010-01-13 株式会社日立製作所 Computer system
JP3911697B2 (en) 2004-02-26 2007-05-09 日本電信電話株式会社 Network connection device, network connection method, network connection program, and storage medium storing the program
KR100651715B1 (en) * 2004-10-07 2006-12-01 한국전자통신연구원 How to automatically generate and accept addresses in next generation internet and data structure for them

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010003326A1 (en) * 2008-07-10 2010-01-14 华为技术有限公司 A method for protecting the proxy neighbor discovery, and a system and related apparatus thereof
US8548467B2 (en) 2008-09-12 2013-10-01 Qualcomm Incorporated Ticket-based configuration parameters validation
US8862872B2 (en) 2008-09-12 2014-10-14 Qualcomm Incorporated Ticket-based spectrum authorization and access control
US8913995B2 (en) 2008-09-12 2014-12-16 Qualcomm Incorporated Ticket-based configuration parameters validation
WO2010039569A3 (en) * 2008-09-30 2010-10-21 Qualcomm Incorporated Third party validation of internet protocol addresses
US9148335B2 (en) 2008-09-30 2015-09-29 Qualcomm Incorporated Third party validation of internet protocol addresses
CN112601229A (en) * 2019-10-01 2021-04-02 阿自倍尔株式会社 Apparatus and method for detecting illegal
CN112601229B (en) * 2019-10-01 2023-12-05 阿自倍尔株式会社 Detecting illegal devices and methods of detecting illegal devices
CN116032594A (en) * 2022-12-23 2023-04-28 赛尔网络有限公司 Method, device, equipment and medium for judging IPv6 network real source address verification

Also Published As

Publication number Publication date
KR100856918B1 (en) 2008-09-05

Similar Documents

Publication Publication Date Title
US8068414B2 (en) Arrangement for tracking IP address usage based on authenticated link identifier
US8239549B2 (en) Dynamic host configuration protocol
Ahmed et al. IPv6 neighbor discovery protocol specifications, threats and countermeasures: a survey
AlSa'deh et al. Secure neighbor discovery: Review, challenges, perspectives, and recommendations
Hoffman et al. The DNS-based authentication of named entities (DANE) transport layer security (TLS) protocol: TLSA
US8806565B2 (en) Secure network location awareness
CN101690082B (en) Secure neighbor discovery routers for host node defense against rogue routers
US9602485B2 (en) Network, network node with privacy preserving source attribution and admission control and device implemented method therfor
KR100651715B1 (en) How to automatically generate and accept addresses in next generation internet and data structure for them
EP2259542B1 (en) Method, apparatus and system for processing dynamic host configuration protocol message
CN103067337B (en) Identity federation method, identity federation intrusion detection & prevention system (IdP), identity federation service provider (SP) and identity federation system
WO2015174100A1 (en) Packet transfer device, packet transfer system, and packet transfer method
KR100856918B1 (en) IP address authentication method and IP6-based network system in IP6-based network
Srinath et al. Detection and Prevention of ARP spoofing using Centralized Server
Beck et al. Monitoring the neighbor discovery protocol
Younes Securing ARP and DHCP for mitigating link layer attacks
Ahmed et al. Secure neighbor discovery (SeND): Attacks and challenges
CN110401646B (en) Method and device for detecting CGA parameters in IPv6 secure neighbor discovery transition environment
Tajdini et al. IPv6 Common Security Vulnerabilities and Tools: Overview of IPv6 with Respect to Online Games
JP4768547B2 (en) Authentication system for communication devices
JP2007258986A (en) Communication apparatus, communication method, and communication program
He et al. Network-layer accountability protocols: a survey
Rafiee et al. DNS update extension to IPv6 secure addressing
Tajdini et al. IPv6 Common Security Vulnerabilities and Tools: Overview of IPv6 with Respect to Online Games
WO2006083369A2 (en) Apparatus and method for traversing gateway device using a plurality of batons

Legal Events

Date Code Title Description
A201 Request for examination
PA0109 Patent application

St.27 status event code: A-0-1-A10-A12-nap-PA0109

PA0201 Request for examination

St.27 status event code: A-1-2-D10-D11-exm-PA0201

D13-X000 Search requested

St.27 status event code: A-1-2-D10-D13-srh-X000

D14-X000 Search report completed

St.27 status event code: A-1-2-D10-D14-srh-X000

E902 Notification of reason for refusal
PE0902 Notice of grounds for rejection

St.27 status event code: A-1-2-D10-D21-exm-PE0902

P11-X000 Amendment of application requested

St.27 status event code: A-2-2-P10-P11-nap-X000

P13-X000 Application amended

St.27 status event code: A-2-2-P10-P13-nap-X000

E90F Notification of reason for final refusal
PE0902 Notice of grounds for rejection

St.27 status event code: A-1-2-D10-D21-exm-PE0902

P11-X000 Amendment of application requested

St.27 status event code: A-2-2-P10-P11-nap-X000

P13-X000 Application amended

St.27 status event code: A-2-2-P10-P13-nap-X000

PG1501 Laying open of application

St.27 status event code: A-1-1-Q10-Q12-nap-PG1501

E701 Decision to grant or registration of patent right
PE0701 Decision of registration

St.27 status event code: A-1-2-D10-D22-exm-PE0701

GRNT Written decision to grant
PR0701 Registration of establishment

St.27 status event code: A-2-4-F10-F11-exm-PR0701

PR1002 Payment of registration fee

St.27 status event code: A-2-2-U10-U11-oth-PR1002

Fee payment year number: 1

PG1601 Publication of registration

St.27 status event code: A-4-4-Q10-Q13-nap-PG1601

PN2301 Change of applicant

St.27 status event code: A-5-5-R10-R13-asn-PN2301

St.27 status event code: A-5-5-R10-R11-asn-PN2301

LAPS Lapse due to unpaid annual fee
PC1903 Unpaid annual fee

St.27 status event code: A-4-4-U10-U13-oth-PC1903

Not in force date: 20110830

Payment event data comment text: Termination Category : DEFAULT_OF_REGISTRATION_FEE

PC1903 Unpaid annual fee

St.27 status event code: N-4-6-H10-H13-oth-PC1903

Ip right cessation event data comment text: Termination Category : DEFAULT_OF_REGISTRATION_FEE

Not in force date: 20110830

PN2301 Change of applicant

St.27 status event code: A-5-5-R10-R13-asn-PN2301

St.27 status event code: A-5-5-R10-R11-asn-PN2301

P22-X000 Classification modified

St.27 status event code: A-4-4-P10-P22-nap-X000

P22-X000 Classification modified

St.27 status event code: A-4-4-P10-P22-nap-X000