[go: up one dir, main page]

KR100651715B1 - 차세대 인터넷에서 자동으로 주소를 생성하고 수락하는방법 및 이를 위한 데이터 구조 - Google Patents

차세대 인터넷에서 자동으로 주소를 생성하고 수락하는방법 및 이를 위한 데이터 구조 Download PDF

Info

Publication number
KR100651715B1
KR100651715B1 KR1020040079859A KR20040079859A KR100651715B1 KR 100651715 B1 KR100651715 B1 KR 100651715B1 KR 1020040079859 A KR1020040079859 A KR 1020040079859A KR 20040079859 A KR20040079859 A KR 20040079859A KR 100651715 B1 KR100651715 B1 KR 100651715B1
Authority
KR
South Korea
Prior art keywords
option
message
cga
field
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
KR1020040079859A
Other languages
English (en)
Other versions
KR20060030995A (ko
Inventor
박소희
나재훈
정교일
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020040079859A priority Critical patent/KR100651715B1/ko
Priority to US11/081,388 priority patent/US20060077908A1/en
Publication of KR20060030995A publication Critical patent/KR20060030995A/ko
Application granted granted Critical
Publication of KR100651715B1 publication Critical patent/KR100651715B1/ko
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5092Address allocation by self-assignment, e.g. picking addresses at random and testing if they are already in use
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/161Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/167Adaptation for transition between two IP versions, e.g. between IPv4 and IPv6

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명에 의한 차세대 인터넷에서 자동으로 주소를 생성하는 방법은 공개키와 개인키를 가지고 있는 송신자가 네트워크에 접속하는 경우에 공개키와 소정의 임시 파라미터를 기초로 CGA 주소와 CGA 옵션을 생성하는 단계; 상기 CGA 옵션을 검증하기 위한 서명 옵션을 생성하는 단계; 상기 네트워크로 보내는 메시지가 단방향 메시지인 경우 타임스탬프를 추가하고, 양방향 메시지인 경우에는 난수로 이루어지는 Nonce 옵션을 더 추가하는 단계; 및 상기 CGA옵션과 서명 옵션 및 타임스템프 와 논스 옵션을 ND 옵션 필드에 추가하여 ND 메시지를 형성한 후 상기 네트워크로 송신하는 단계;를 포함하는 것을 특징으로 하며, 차세대 인터넷에서 Zero Configuration 상태에서 개체가 네트워크에 접속했을 때 매뉴얼 키를 사용하지 않고 안전하게 주소를 생성할 수 있는 방법을 제공할 수 있고, 안전한 주소 생성뿐만 아니라 일반적인 IPv6 패킷의 인증 및 이동 노드의 위치 인증을 위해서도 이용될 수 있다.

Description

차세대 인터넷에서 자동으로 주소를 생성하고 수락하는 방법 및 이를 위한 데이터 구조{Method for generating and accepting address automatically in IPv6-based Internet and data structure thereof}
도 1은 본 발명이 적용되는 차세대 인터넷의 IPv6 계층에서 주소를 자동 생성하기 위한 기존 ICMPv6(Internet Control Message Protocol Version 6) 메시지 중 ND(Neighbor Discovery) 프로토콜 메시지 구성 예시도이다.
도 2는 IPv6(Internet Protocol Version 6)에서 안전한 자동 주소 생성을 위한 ND 보안 옵션이 추가된 ND 메시지 구성도이다.
도 3a는 IPv6에서의 추가된 ND 보안 옵션인 CGA 옵션의 패킷 구성도이다.
도 3b는 IPv6에서의 추가된 ND 보안 옵션인 서명 옵션의 패킷 구성도이다.
도 3c 및 3d는 IPv6에서의 추가된 ND 보안 옵션인 타임스탬프/논스 옵션의 패킷 구성도이다.
도 4a는 사전 설정 없이 네트워크에 처음 접속한 송신자가 안전하게 자신의 IPv6 주소를 자동 생성하여 송신하는 과정을 보여주는 흐름도이다.
도 4b는 도 4a의 과정에 따라 송신자가 보낸 메시지를 수신한 수신자가 자동 생성된 주소를 검증하고 수락하는 과정을 보여주는 흐름도이다.
본 발명은 차세대 인터넷(IPv6)에서 정보 보호 서비스를 제공함에 있어, 개체의 주소를 안전하게 생성하기 위하여 기존의 ICMPv6 메시지에 보안을 위한 추가적인 보안 옵션을 제공하여 자동으로 주소를 생성하는 방법 및 이를 위한 데이터 구조에 관한 것이다.
종래의 차세대 인터넷의 기본 설계 원칙은 호스트가 어떠한 사전 설정없이 로컬 링크 상에서 다른 호스트와 통신을 할 수 있는 Zero Configuration이 가능하도록 하는 것이다. 이러한 통신이 가능하도록 하는 시그널링 메시지를 보호하기 위해 일반적으로 IPsec AH(IP Security Protocol Authentication Header)를 사용하도록 하고 있다. 그러나, IPsec 기술은 미리 설정되어 있는 IPv6 주소에 대하여 보안성을 제공하므로 주소가 자동 설정되는 차세대 인터넷에 적용하기에는 부적절하다.
즉, IPv6 주소가 설정되어 있지 않는 Bootstrapping 상태에서 보안 협상을 교환하게 되면 IKE(Internet Key Exchange) 프로토콜로 인하여 Chicken-and-egg 문제가 발생하게 된다. 또한 Bootstrapping 문제로 인하여 오직 매뉴얼 키만을 사용할 수 있고 이는 실제 네트워크 환경에서 적용하는 것이 거의 불가능한 문제점이 있다.
본 발명이 이루고자 하는 기술적 과제는 상기의 문제점을 해결하기 위하여 차세대 인터넷 서비스에 대한 정보보호 서비스를 제공함에 있어, 네트워크에 처음 접속하는 호스트가 사전 설정 없이 안전하게 보안이 제공된 상태에서 주소를 생성할 수 있는 방법 및 이를 위한 데이터 구조를 제공하는데 있다.
상기의 기술적 과제를 이루기 위하여 본 발명에 의한 차세대 인터넷에서 자동으로 주소를 생성하기 위한 ND 메시지 데이터 구조는 차세대 인터넷 프로토콜의 ND(Neighbor Discovery) 프로토콜에 있어서, 공개키를 기초로 생성되는 CGA주소가 기록되는 CGA 옵션 필드; ND 메시지 전체를 송신자의 개인키로 서명하여 수신자가 인증할 수 있도록 그 결과가 기록되는 서명 필드; 및 상기 ND 메시지의 생성시간 혹은 소정의 난수로 기록되는 타임스탬프/논스(Nonce) 옵션 필드;를 포함하는 것을 특징으로 한다.
상기의 기술적 과제를 이루기 위하여 본 발명에 의한 차세대 인터넷에서 자동으로 주소를 생성하는 방법은 공개키와 개인키를 가지고 있는 송신자가 네트워크에 접속하는 방법에 있어서, 상기 공개키와 소정의 임시 파라미터를 기초로 CGA 주소와 CGA 옵션을 생성하는 단계; 상기 CGA 옵션을 검증하기 위한 서명 옵션을 생성하는 단계; 상기 네트워크로 보내는 메시지가 단방향 메시지인 경우 타임스탬프를 추가하고, 양방향 메시지인 경우에는 난수로 이루어지는 논스 옵션을 더 추가하는 단계; 및 상기 CGA 옵션 내지 논스 옵션 생성단계에서 생성된 옵션들을 ND 옵션 필드에 추가하여 ND 메시지를 형성한 후 상기 네트워크로 송신하는 단계를 포함하는 것을 특징으로 한다.
상기의 기술적 과제를 이루기 위하여 본 발명에 의한 차세대 인터넷에서 자 동으로 생성된 주소를 수락하는 방법은 타임스탬프/논스옵션, 서명옵션, CGA옵션이 부가된 IPv6 메시지를 수신한 후 송신자가 생성한 IPv6 주소를 수락하는 방법에 있어서, 타임스탬프를 검증하는 단계; 상기 검증이 성공하면 상기 메시지가 양방향성인지 확인하여 양방향 메시지이면 논스 옵션을 검증하고 단방향이면 서명 옵션을 검증하는 단계; 및 상기 논스옵션 및 서명 옵션 검증이 성공하면 CGA 옵션을 검증하여 CGA 주소 확인이 완료되면 상기 IPv6주소를 수락하는 단계를 포함하는 것을 특징으로 한다.
이하, 본 발명의 바람직한 실시예를 첨부한 도면을 참조하여 상세히 설명하기로 한다. 도 1을 참조하면, 기존의 차세대 인터넷 프로토콜 IPv6에서는 로컬 링크상에서의 통신을 위해 인접노드 탐색 프로토콜인 ND 프로토콜을 이용하여 디폴트 라우터 설정, IP 주소와 MAC 주소의 매핑 및 네트워크 프리픽스 정보를 획득한다. 이 정보를 이용하여 호스트는 자신이 속한 네트워크에 대한 정보를 획득하고, 통신을 하기 위한 준비를 한다. ND 메시지는 ICMPv6를 이용하며, 도 1은 ND 메시지의 포맷을 나타낸다. ND 메시지는 ND 메시지 특정 데이터(130)와 옵션 필드(140)로 구성되며, ICMPv6 헤더(120) 뒤에 존재한다. 이 메시지가 IPv6 계층으로 내려오면 패킷 맨 첫단에 IPv6 헤더(110)가 추가된다.
도 2는 기존의 ND 메시지에 본 발명에 의한 ND 보안 옵션이 추가된 메시지의 포맷을 나타낸다. 공개키를 이용하여 자신의 CGA 주소를 생성하는 CGA 옵션(210), 서명 옵션 이전에 존재하는 IPv6 메시지를 자신의 개인키로 서명하여 인증할 수 있도록 하는 서명 옵션(220) 및 재전송 감내 서비스를 위한 타임스탬프(Timestamp)나 논스(Nonce) 옵션(230)이 존재한다. 이 중 타임스탬프 및 논스 옵션은 송수신측 한쪽에서만 메시지를 보내는 단방향 메시지의 경우 타임스탬프 옵션을 사용하고, 양방향 메시지인 경우 타임스탬프 옵션과 더불어 논스 옵션을 보안 강도 증가를 위해 사용한다. 송신측에서 안전한 주소를 자동 생성하기 위해서 CGA 옵션(210)을 추가하면 이를 검증하기 위한 서명 옵션(220)이 반드시 추가하여야 하며, 또한 서명 옵션(220)이 추가된 경우 재전송 공격 감내를 위한 타임스탬프/논스 옵션(230)을 반드시 추가하여야 한다. 수신측에서 IPv6 메시지를 수신한 후 이 3가지 옵션이 모두 갖추어져 있지 않으면 메시지를 폐기하여야 한다.
도 3a 내지 도 3d는 본 발명에 따른 3가지 옵션의 메시지 포맷을 예시한 것이다.
도 3a의 CGA 옵션(210)은 기존의 보안 인프라가 존재하지 않는 환경 하에서 보안을 제공할 수 있는 옵션으로 ND 메시지의 송신자의 요구자 주소(Claimed address)의 소유권자임을 CGA 주소를 통해서 주장한다. 그러나, CGA 주소를 생성할 때 공개키를 이용하여야 하므로 모든 노드들은 자신의 CGA 주소를 생성하기 전에 공개키/개인키 쌍을 미리 보유하고 있어야 한다. 즉, 호스트가 네트워크에 처음 접속하기 전에 자신의 키를 가지고 있어야 한다.
송신자는 먼저 자신의 인터페이스 ID를 공개키와 소정의 임시 파라미터를 이용하여 일방향 해쉬 함수를 이용하여 해쉬한다. 128비트 IPv6 주소를 암호학적으로 생성하기 위해서 네트워크의 64비트 프리픽스에 먼저 생성해 놓은 해쉬값 중 64비트를 추출한 값을 연결한다. 송신자가 생성한 CGA 주소를 CGA 옵션(210)에 실어서 전송하면 수신자는 이 CGA 옵션을 이용하여 CGA 주소를 검증하게 된다.
CGA 옵션은 도 3a에서 보는 것과 같이 ND 옵션 중 CGA 옵션을 나타내는 타입(Type) 필드(311), 옵션 필드 전체 길이를 64비트 단위로 표시하는 길이(Length) 필드(312), 생성된 CGA 주소가 주소 중복 주소 검사 과정에서 충돌이 일어나는 지를 나타내는 충돌계수(Collision Count) 필드(313), CGA 주소 생성시 보안 강도를 증가시키기 위해 사용되는 128비트 난수인 모디파이어(Modifier) 필드(314), 송신자의 공개키인 키정보(Key Information) 필드(315), 패킷의 얼라이언트를 맞추기 위한 패딩(Padding) 필드(316)로 구성된다. 충돌계수(Collision Count) 필드(313)는 충돌이 일어날 때마다 1씩 증가되면 0,1,2 값을 가질 수 있다. 즉 3번의 충돌이 일어나면 패킷 처리를 중단하고 에러를 보고한다. 공개키는 1024비트에서 2048비트 사이의 값을 사용한다.
이 CGA 옵션은 재전송 공격 및 다른 보안 위협을 방어하기 위해 추가적인 보안 서비스를 서명 옵션(220)과 타임스탬프/논스 옵션(230)을 통해 제공한다.
도 3b는 서명 옵션(220)의 메시지 포맷을 예시한 것으로, 서명 옵션(220)은 모든 ND 메시지를 송신자의 개인키를 이용하여 메시지 서명함으로써 송신자를 인증하고 메시지의 무결성을 제공하는 옵션이다. 수신자는 송신자의 공개키를 CGA 옵션 내의 키정보(Key Information) 필드(315)를 통해 제공받는다.
서명 옵션(220)은 도 3b에서 보는 것과 같이 ND 옵션 중 서명 옵션을 나타내는 타입(Type) 필드(321), 옵션 필드 전체 길이를 64비트 단위로 표시하는 길이(Length) 필드(220), 패딩(Padding) 필드의 길이를 나타내는 패드 길이(Pad Length) 필드(323), 송신자의 공개키를 일방향 해쉬 함수로 해쉬한 값의 가장 왼쪽(leftmost) 128비트를 포함하고 있는 키 해쉬(Key Hash) 필드(324), 송신자의 개인키로 메시지를 서명한 값인 디지털 서명(Digital Signature) 필드(325), 패킷의 얼라이먼트를 맞추기 위한 패딩(Padding) 필드(326)로 구성된다.
송신자는 IPv6 헤더(110), ICMPv6 헤더(120), NDP 메시지 헤더 그리고, 서명 옵션 이전에 존재하는 NDP 옵션들을 자신의 개인키로 서명한 후 이 값을 서명 옵션(220) 내에 포함한 후 전송한다. 수신자는 CGA 옵션(210)을 통해 제공받은 공개키를 일방향 해쉬 함수로 해쉬한 값과 서명 옵션 내의 키 해쉬(Key Hash) 필드(324)를 통해 제공받은 값을 비교하여 공개키가 맞는지 검증한다. 검증이 완료되면 이를 이용하여 서명값을 검증하고 이를 통하여 송신자를 인증하고 메시지가 무결함을 확인한다. 서명 옵션(220)이 존재하는 경우 반드시 타임스탬프 옵션(230)이나 논스Nonce 옵션(230)을 추가하여야 한다.
도 3c는 타임스탬프(Timestamp) 옵션(230)의 메시지 포맷을 예시한 것이고, 도 3d는 논스(Nonce) 옵션(320)의 메시지 포맷을 예시한 것이다.
이 두 옵션은 재전송 공격의 감내 서비스를 위한 것으로 멀티캐스트 주소와 같이 단방향 메시지인 경우 아무런 사전 설정이 필요없는 타임스탬프 옵션을 사용하고, 요청-광고(Solicitation-Advertisement) 메시지와 같은 양방향 메시지는 논스 옵션을 사용한다. 물론 양방향 메시지의 경우 보안 강도를 증가시키기 위하여 논스 옵션과 함께 타임스탬프 옵션을 같이 사용하여야 하는데, 이 경우는 논스 옵션이 타임스탬프 옵션보다 먼저 와야 한다.
도 3c에서 보는 것과 같이 타임스탬프 옵션은 ND 옵션 중 타임스탬프 옵션을 나타내는 타입 필드(331), 옵션 필드 전체 길이를 64비트 단위로 표시하는 길이(Length) 필드(332), 메시지 생성 시간을 나타내는 타임스탬프(Timestamp) 필드(333)로 구성된다. 타임스탬프(333)는 64비트로 구성되며 초를 나타내는 48비트와 1/64k초를 나타내는 16비트로 이루어진다.
논스 옵션은 도 3d에서 보는 것과 같이 ND 옵션 중 논스 옵션을 나타내는 타입 필드(341), 옵션 필드 전체 길이를 64비트 단위로 표시하는 길이(Length) 필드(342)와 송신자에 의해 임의로 선택된 48비트 이상의 난수인 논스 필드(343)로 구성된다.
송신자는 모든 ND 메시지에 타임스탬프 옵션(도 3c)을 포함하고 요청-광고 메시지에는 논스 옵션(도 3d)을 포함하여 전송하여야 한다. 두 옵션 모두 포함될 경우에는 논스 옵션이 타임스탬프 옵션보다 먼저 위치한다. 수신자는 수신한 메시지에 서명 옵션이 포함되어 있으면 타임스탬프 옵션이나 논스 옵션이 있는지 확인하여야 하고, 이 두 옵션이 적절하게 존재하지 않으면 그 메시지는 폐기하여야 한다.
도 4a는 네트워크에 처음 접속하는 호스트가 어떠한 네트워크의 정보나 사전 설정 없이 안전하게 자신의 IPv6 주소를 자동 생성하는 방법의 흐름을 보여주는 흐름도이다. 먼저 호스트는 네트워크에 접속(S401)하기 전에 미리 자신의 공개키/개인키 쌍을 보유하고 있어야 한다. 그렇지 않으면, 안전한 주소 자동 생성을 위한 보안 서비스를 제공받을 수 없다(S411). 공개키/개인키 쌍을 미리 가지고 있다면 (S402), 자신의 공개키와 소정의 임시 파라미터를 이용하여 인터페이스 ID를 일방향 해쉬 함수로 해쉬한 값과 자신이 속한 네트워크 서브네트의 프리픽스 정보를 이용하여 CGA 주소를 생성한다(S403). 생성한 CGA 주소를 IPv6헤더내의 송신자 주소 필드에 추가하고 CGA 옵션(210) 내의 키정보(Key Information) 필드(315)에 자신의 공개키를 추가하여 CGA 옵션을 생성(S404)한 후, 이를 검증하는데 필요한 서명 옵션(220)을 생성(S406)한다. 서명은 송신자의 개인키를 이용하여 IPv6 헤더(110), ICMPv6 헤더(120), NDP 메시지의 헤더 및 서명 옵션(220) 이전의 ND 메시지 옵션을 일방향 해쉬 함수를 이용하여 해쉬(S405)한 값이다. 생성한 서명값과 공개키를 일방향 해쉬 함수로 서명한 후 leftmost 128비트를 추출한 값을 서명 옵션(20)에 포함한다(S406). 서명 옵션이 생성되면 메시지가 생성된 시간을 나타내는 타임스탬프 옵션(230)을 생성(S407)하고, 만약 생성된 메시지가 양방향 메시지(요청-광고 메시지)이면(S408) 임의로 선택한 48비트 이상의 난수인 논스 옵션(230)을 생성(S409)한 후 네트워크내의 수신자에게 메시지를 전송한다(S410).
도 4b는 수신자가 자동 생성된 주소를 검증하는 과정을 보여주는 흐름도이다. 수신자는 수신된 메시지(S421)가 보안이 적용된 메시지인지를 확인하고 먼저 타임스탬프 옵션(230)을 통해 타임스탬프를 검증한다(S422). 검증이 완료되면 이 메시지가 양방향 메시지인지 확인하고(S423) 양방향 메시지이면 논스 옵션을 확인한다(S424). 논스값을 통해 재전송 공격에 안전한 지를 검증하고 서명 옵션(220)을 확인한다. 메시지가 양방향 메시지가 아니라면 바로 서명 옵션을 확인한다. 타임스탬프나 논스 검증이 실패하면 패킷을 폐기하고 에러를 보고한다(S428). CGA 옵션 (210) 내의 키 정보(Key Information) 필드(315)에서 추출한 공개키를 일방향 해쉬한 값과 서명 옵션(220) 내의 키 해쉬(Key Hash) 필드(324) 값이 일치하는지 확인한다. 검증된 공개키를 통해 서명 옵션 내의 디지털 서명 값을 확인한다(S425). 서명 옵션의 검증이 완료되면 CGA 옵션에서 CGA 주소를 확인한다(S426). CGA 주소 확인이 완료되면 수신자는 송신자가 새로이 생성한 IPv6 주소를 수락한다(S427). 서명 검증이나 CGA 검증이 실패하면 패킷을 폐기하고 에러를 보고한다(S428).
본 발명에 의한 차세대 인터넷에서 자동으로 주소를 생성하는 방법과 자동으로 생성된 주소를 수락하는 방법은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현되는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 하드 디스크, 플로피 디스크, 플래쉬 메모리, 광 데이타 저장장치등이 있으며, 또한 캐리어 웨이브(예를들면 인터넷을 통한 전송)의 형태로 구현되는 것도 포함된다. 또한 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 통신망으로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 읽을 수 있는 코드로서 저장되고 실행될 수 있다. 또한 본 발명에 의한 폰트 롬 데이터구조도 컴퓨터로 읽을 수 있는 ROM, RAM, CD-ROM, 자기 테이프, 하드 디스크, 플로피 디스크, 플래쉬 메모리, 광 데이타 저장장치등과 같은 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현되는 것이 가능하다.
이상과 같이 본 발명은 양호한 실시예에 근거하여 설명하였지만, 이러한 실 시예는 이 발명을 제한하려는 것이 아니라 예시하려는 것으로, 본 발명이 속하는 기술분야의 숙련자라면 이 발명의 기술사상을 벗어남이 없이 위 실시예에 대한 다양한 변화나 변경 또는 조절이 가능함이 자명할 것이다. 그러므로, 이 발명의 보호범위는 첨부된 청구범위에 의해서만 한정될 것이며, 위와 같은 변화예나 변경예 또는 조절예를 모두 포함하는 것으로 해석되어야 할 것이다.
이상에서 설명한 바와 같이 본 발명에 의한 차세대 인터넷에서 자동으로 주소를 생성하는 방법 및 자동으로 생성된 주소를 수락하는 방법은 차세대 인터넷에서 Zero Configuration 상태에서 개체가 네트워크에 접속했을 때 매뉴얼 키를 사용하지 않고 안전하게 주소를 생성할 수 있는 방법을 제공하는데 그 목적이 있으며, 또한 이는 안전한 주소 생성뿐만 아니라 일반적인 IPv6 패킷의 인증 및 이동 노드의 위치 인증을 위해서도 이용될 수 있다.
즉 본 발명에 의한 차세대 인터넷에서 자동으로 주소를 생성하는 방법 및 자동으로 생성된 주소를 수락하는 방법은 차세대 인터넷에서 어떠한 네트워크 사전 설정 없이 처음 네트워크에 접속하는 개체가 암호화된 방법으로 자신의 CGA 주소를 생성할 수 있다. 이는 IPv6의 Zero Configuration 설계 원칙에 부합하는 방법으로 종래의 IPsec AH로 보호하는 방법의 경우 매뉴얼 키를 사용해야 하는 문제점을 해결하였으며, 또한 본 발명은 IPv6 주소를 안전하게 자동 생성할 뿐만 아니라, 추가된 보안 옵션의 적절한 사용으로 IPv6 일반 패킷의 인증, 메시지 무결성 및 이동 노드의 위치 인증에도 사용될 수 있다는 장점이 있다.

Claims (9)

  1. 공개키를 기초로 생성되는 CGA주소가 기록되는 CGA 옵션 필드;
    ND 메시지 전체를 송신자의 개인키로 서명하여 수신자가 인증할 수 있도록 그 결과가 기록되는 서명 필드; 및
    상기 ND 메시지의 생성시간 혹은 소정의 난수로 기록되는 타임스탬프/논스(Nonce) 옵션 필드;를 포함하는 것을 특징으로 하는 차세대 인터넷 프로토콜의 ND(Neighbor Discovery) 프로토콜에서의 ND 메시지 데이터 구조를 기록한 컴퓨터로 읽을 수 있는 기록매체.
  2. 제1항에 있어서, 상기 CGA 옵션 필드는
    CGA 옵션임을 지시하는 제1 타입 필드;
    상기 CGA 옵션 필드의 전체 길이를 나타내는 제1 길이 필드;
    생성된 CGA주소가 중복 주소 검증시 발생하는 충돌 횟수가 기록되는 충돌계수필드;
    CGA주소 생성시 사용되는 128비트 난수를 기록하는 모디파이어(modifier) 필드;
    송신자의 공개키를 기록하는 키정보 필드; 및
    패킷의 얼라인먼트 수정을 위한 데이터를 기록하는 제1 패딩 필드;를 포함하는 것을 특징으로 하는 차세대 인터넷 프로토콜의 ND(Neighbor Discovery) 프로토콜에서의 ND 메시지 데이터 구조를 기록한 컴퓨터로 읽을 수 있는 기록매체.
  3. 제1항에 있어서, 상기 서명 옵션 필드는
    서명 옵션임을 나타내는 제2 타입 필드;
    상기 서명 옵션 필드의 전체 길이를 나타내는 제2 길이 필드;
    패킷의 얼라인먼트 수정을 위한 데이터를 기록하는 제2 패딩 필드;
    상기 제2 패딩 필드의 길이를 나타내는 패드 길이 필드;
    송신자의 공개키를 일방향 해쉬 함수로 해쉬한 결과 값을 기록하는 키 해쉬 필드; 및
    송신자의 개인키로 메시지를 서명한 값을 기록하는 디지털 서명 필드;를 포함하는 것을 특징으로 하는 차세대 인터넷 프로토콜의 ND(Neighbor Discovery) 프로토콜에서의 ND 메시지 데이터 구조를 기록한 컴퓨터로 읽을 수 있는 기록매체.
  4. 제1항에 있어서, 상기 타임스탬프/논스(Nonce) 옵션 필드는
    타임스탬프 기능을 수행하는 경우에는 타임스탬프 옵션을 나타내는 제3 타입 필드;
    옵션 필드 전체의 길이를 표시하는 제3 길이 필드;
    매시지 생성시간을 나타내는 타임스탬프 필드;를 포함하며,
    논스 옵션 기능을 수행하는 경우에는 논스 옵션을 나타내는 제4 타입 필드;
    옵션 필드 전체의 길이를 표시하는 제4 길이 필드; 및
    송신자가 선택한 소정 비트수의 난수로 이루어지는 논스 필드;를 포함하는 것을 특징으로 하는 차세대 인터넷 프로토콜의 ND(Neighbor Discovery) 프로토콜에서의 ND 메시지 데이터 구조를 기록한 컴퓨터로 읽을 수 있는 기록매체.
  5. 공개키와 개인키를 가지고 있는 송신자가 네트워크에 접속하는 방법에 있어서,
    (a) 상기 공개키와 소정의 파라미터를 기초로 CGA 주소와 CGA 옵션을 생성하는 단계;
    (b) 상기 CGA 옵션을 검증하기 위한 서명 옵션을 생성하는 단계;
    (c) 상기 네트워크로 보내는 메시지가 단방향 메시지인 경우 타임스탬프를 추가하고, 양방향 메시지인 경우에는 난수로 이루어지는 논스 옵션을 더 추가하는 단계; 및
    (d) 상기 (a)단계 내지 (c)단계에서 생성된 옵션들을 ND 옵션 필드에 추가하여 ND 메시지를 형성한 후 상기 네트워크로 송신하는 단계;를 포함하는 것을 특징으로 하는 차세대 인터넷에서 자동으로 주소를 생성하는 방법.
  6. 제5항에 있어서, 상기 (a)단계는
    (a1) 송신하고자 하는 패킷의 IPv6헤더와 확장헤더를 생성하는 단계;
    (a2) 상기 송신자의 공개키로 인터페이스 아이디를 해쉬한 값을 기초로 CGA 주소를 생성하는 단계; 및
    (a3) 상기 CGA 주소를 CGA 옵션에 포함시키는 단계;를 포함하는 것을 특징으로 하는 차세대 인터넷에서 자동으로 주소를 생성하는 방법.
  7. 제5항에 있어서, 상기 (b)단계는
    (b1) 상기 송신자의 개인키로 IPv6헤더, ICMPv6 헤더, NDP 메시지 헤더 및 상기 서명 옵션 이전의 NDP 옵션들을 서명하는 단계; 및
    (b2) 상기 (b1)단계에서의 서명을 거친 NDP 메시지를 서명한 후 서명 옵션을 상기 NDP 메시지에 추가하는 단계;를 포함하는 것을 특징으로 하는 차세대 인터넷에서 자동으로 주소를 생성하는 방법.
  8. 타임스탬프/논스옵션, 서명옵션, CGA옵션이 부가된 IPv6 메시지를 수신한 후 송신자가 생성한 IPv6 주소를 수락하는 방법에 있어서,
    (a) 타임스탬프를 검증하는 단계;
    (b) 상기 검증이 성공하면 상기 메시지가 양방향성인지 확인하여 양방향 메시지이면 논스 옵션을 검증하고 단방향이면 서명 옵션을 검증하는 단계; 및
    (c) 상기 (b)단계 검증이 성공하면 CGA 옵션을 검증하여 CGA 주소 확인이 완료되면 상기 IPv6주소를 수락하는 단계;를 포함하는 것을 특징으로 하는 차세대 인터넷에서 자동으로 생성된 주소를 수락하는 방법.
  9. 제8항에 있어서, 상기 (c)단계는
    (c1) 상기 CGA 옵션내의 공개키를 추출하는 단계;
    (c2) 상기 공개키와 상기 서명 옵션내의 키 해쉬 필드 값이 일치 여부를 검증하는 단계;
    (c3) 상기 검증이 성공하면 상기 공개키를 기초로 상기 서명 옵션 내의 디지 털 서명값을 확인하는 단계; 및
    (c4) 상기 서명 옵션의 확인이 종료되면 CGA 옵션내의 CGA 주소를 확인한 후 상기 송신자가 생성한 IPv6 주소를 수락하는 단계; 를 포함하는 것을 특징으로 하는 차세대 인터넷에서 자동으로 생성된 주소를 수락하는 방법.
KR1020040079859A 2004-10-07 2004-10-07 차세대 인터넷에서 자동으로 주소를 생성하고 수락하는방법 및 이를 위한 데이터 구조 Expired - Fee Related KR100651715B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020040079859A KR100651715B1 (ko) 2004-10-07 2004-10-07 차세대 인터넷에서 자동으로 주소를 생성하고 수락하는방법 및 이를 위한 데이터 구조
US11/081,388 US20060077908A1 (en) 2004-10-07 2005-03-15 Method for generating and authenticating address automatically in IPv6-based internet and data structure thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020040079859A KR100651715B1 (ko) 2004-10-07 2004-10-07 차세대 인터넷에서 자동으로 주소를 생성하고 수락하는방법 및 이를 위한 데이터 구조

Publications (2)

Publication Number Publication Date
KR20060030995A KR20060030995A (ko) 2006-04-12
KR100651715B1 true KR100651715B1 (ko) 2006-12-01

Family

ID=36145202

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020040079859A Expired - Fee Related KR100651715B1 (ko) 2004-10-07 2004-10-07 차세대 인터넷에서 자동으로 주소를 생성하고 수락하는방법 및 이를 위한 데이터 구조

Country Status (2)

Country Link
US (1) US20060077908A1 (ko)
KR (1) KR100651715B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100917392B1 (ko) 2007-10-26 2009-09-17 경희대학교 산학협력단 IPv6 네트워크에서 인접 노드의 탐색 메시지를송수신하는 방법

Families Citing this family (37)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7500102B2 (en) * 2002-01-25 2009-03-03 Microsoft Corporation Method and apparatus for fragmenting and reassembling internet key exchange data packets
US7370197B2 (en) 2002-07-12 2008-05-06 Microsoft Corporation Method and system for authenticating messages
US7624264B2 (en) * 2003-03-27 2009-11-24 Microsoft Corporation Using time to determine a hash extension
US7610487B2 (en) * 2003-03-27 2009-10-27 Microsoft Corporation Human input security codes
US7409544B2 (en) * 2003-03-27 2008-08-05 Microsoft Corporation Methods and systems for authenticating messages
US8261062B2 (en) * 2003-03-27 2012-09-04 Microsoft Corporation Non-cryptographic addressing
US7500264B1 (en) * 2004-04-08 2009-03-03 Cisco Technology, Inc. Use of packet hashes to prevent TCP retransmit overwrite attacks
US7929689B2 (en) * 2004-06-30 2011-04-19 Microsoft Corporation Call signs
EP1758338B1 (fr) * 2005-08-25 2008-04-16 Alcatel Lucent Procédé et équipement de communication sécurisé pour le traitement des paquets de données selon le mécanisme SEND
GB0601913D0 (en) * 2006-01-31 2006-03-08 Ericsson Telefon Ab L M Packet re-direction in a communication network
US8086842B2 (en) * 2006-04-21 2011-12-27 Microsoft Corporation Peer-to-peer contact exchange
KR100856918B1 (ko) * 2006-11-02 2008-09-05 한국전자통신연구원 IPv6 기반 네트워크상에서의 IP 주소 인증 방법 및IPv6 기반 네트워크 시스템
CN102739677B (zh) * 2007-06-29 2015-09-09 华为技术有限公司 一种加密生成地址的配置方法、系统和装置
KR100925636B1 (ko) * 2007-12-04 2009-11-06 주식회사 케이티 응용 서비스 제공을 위한 비-피씨형 단말과 서버 간의 통신방법
RU2469492C2 (ru) * 2008-03-04 2012-12-10 Телефонактиеболагет Лм Эрикссон (Пабл) Делегирование ip адреса
CN101594230B (zh) * 2008-05-30 2012-06-27 华为技术有限公司 处理动态主机配置消息的方法、装置及系统
KR100953068B1 (ko) * 2008-07-17 2010-04-13 한양대학교 산학협력단 인터넷 환경에서 보안 이웃 탐색 방법
CN101640631B (zh) * 2008-07-28 2011-11-16 成都市华为赛门铁克科技有限公司 一种数据包处理的方法和装置
CN101404579B (zh) * 2008-10-31 2011-02-09 成都市华为赛门铁克科技有限公司 一种防止网络攻击的方法及装置
US8619995B2 (en) * 2009-01-28 2013-12-31 Qualcomm Incorporated Methods and apparatus related to address generation, communication and/or validation
US8050196B2 (en) * 2009-07-09 2011-11-01 Itt Manufacturing Enterprises, Inc. Method and apparatus for controlling packet transmissions within wireless networks to enhance network formation
US9066195B2 (en) * 2011-09-28 2015-06-23 Alcatel Lucent Method and apparatus for neighbor discovery
CN102137096A (zh) * 2011-01-13 2011-07-27 华为技术有限公司 数据传输的方法和设备
US9264404B1 (en) * 2012-08-15 2016-02-16 Marvell International Ltd. Encrypting data using time stamps
US9237129B2 (en) 2014-05-13 2016-01-12 Dell Software Inc. Method to enable deep packet inspection (DPI) in openflow-based software defined network (SDN)
US9537872B2 (en) * 2014-12-31 2017-01-03 Dell Software Inc. Secure neighbor discovery (SEND) using pre-shared key
US9998425B2 (en) 2015-01-27 2018-06-12 Sonicwall Inc. Dynamic bypass of TLS connections matching exclusion list in DPI-SSL in a NAT deployment
KR102510868B1 (ko) * 2016-07-07 2023-03-16 삼성에스디에스 주식회사 클라이언트 시스템 인증 방법, 클라이언트 장치 및 인증 서버
CN107171813A (zh) * 2017-07-25 2017-09-15 环球智达科技(北京)有限公司 建立连接的方法
CN109120611B (zh) * 2018-08-03 2021-07-06 下一代互联网重大应用技术(北京)工程研究中心有限公司 用于地址生成服务器的用户认证方法、设备、系统及介质
DE102019108095A1 (de) * 2019-03-28 2020-10-01 Infineon Technologies Ag Ausführen einer kryptografischen Operation
US20220006778A1 (en) * 2020-07-02 2022-01-06 Kaloom Inc. Computing device and method for generating a functional ipv6 address of a pod
CN112040268B (zh) * 2020-08-11 2023-03-24 福建天泉教育科技有限公司 支持自定义drm的视频播放方法、存储介质
US11165748B1 (en) * 2020-10-13 2021-11-02 Cisco Technology, Inc. Network security from host and network impersonation
CN113285934B (zh) * 2021-05-14 2023-04-28 鼎铉商用密码测评技术(深圳)有限公司 基于数字签名的服务器密码机客户端ip检测方法及装置
CN113612864B (zh) * 2021-07-16 2023-09-26 济南浪潮数据技术有限公司 一种生成IPv6地址的方法、系统、设备及介质
CN115174520B (zh) * 2022-06-09 2023-06-23 郑州信大捷安信息技术股份有限公司 一种网络地址信息隐藏方法及系统

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7061936B2 (en) * 2000-03-03 2006-06-13 Ntt Docomo, Inc. Method and apparatus for packet transmission with header compression
US7533141B2 (en) * 2003-01-24 2009-05-12 Sun Microsystems, Inc. System and method for unique naming of resources in networked environments
GB0312681D0 (en) * 2003-06-03 2003-07-09 Ericsson Telefon Ab L M IP mobility

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100917392B1 (ko) 2007-10-26 2009-09-17 경희대학교 산학협력단 IPv6 네트워크에서 인접 노드의 탐색 메시지를송수신하는 방법

Also Published As

Publication number Publication date
US20060077908A1 (en) 2006-04-13
KR20060030995A (ko) 2006-04-12

Similar Documents

Publication Publication Date Title
KR100651715B1 (ko) 차세대 인터넷에서 자동으로 주소를 생성하고 수락하는방법 및 이를 위한 데이터 구조
US8098823B2 (en) Multi-key cryptographically generated address
CN101160924B (zh) 在通信系统中分发证书的方法
EP2346205B1 (en) A method and device for preventing network attack
US8285990B2 (en) Method and system for authentication confirmation using extensible authentication protocol
US7366170B2 (en) Communication connection method, authentication method, server computer, client computer and program
KR101378647B1 (ko) Ieee 802.15.4 네트워크에서의 보안 설정 가능한 맥프레임 제공 방법 및 장치
US8418242B2 (en) Method, system, and device for negotiating SA on IPv6 network
CN101667916A (zh) 一种基于分离映射网络使用数字证书验证用户身份的方法
CN113904809B (zh) 一种通信方法、装置、电子设备及存储介质
CN103067337B (zh) 一种身份联合的方法、IdP、SP及系统
CN102231725B (zh) 一种动态主机配置协议报文的认证方法、设备及系统
JP4129216B2 (ja) グループ判定装置
FI112315B (fi) Integriteetin suojausmenetelmä radioverkkosignalointia varten
CN114614984B (zh) 一种基于国密算法的时间敏感网络安全通信方法
CN101299668A (zh) 一种通信的建立方法、系统和装置
WO2020224341A1 (zh) 一种tls加密流量识别方法及装置
CN105207778A (zh) 一种在接入网关设备上实现包身份标识及数字签名的方法
US20110055571A1 (en) Method and system for preventing lower-layer level attacks in a network
CN101394395B (zh) 一种认证方法和系统、及装置
KR100856918B1 (ko) IPv6 기반 네트워크상에서의 IP 주소 인증 방법 및IPv6 기반 네트워크 시스템
US8275987B2 (en) Method for transmission of DHCP messages
CN116569516A (zh) 防止移动终端的认证序列号泄露的方法
CN116743453A (zh) 一种DHCPv6安全认证方法
CN116208369A (zh) IPv6中防网关欺骗的传输方法及装置

Legal Events

Date Code Title Description
A201 Request for examination
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20041007

PA0201 Request for examination
PG1501 Laying open of application
E902 Notification of reason for refusal
PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20060424

Patent event code: PE09021S01D

E701 Decision to grant or registration of patent right
PE0701 Decision of registration

Patent event code: PE07011S01D

Comment text: Decision to Grant Registration

Patent event date: 20061027

GRNT Written decision to grant
PR0701 Registration of establishment

Comment text: Registration of Establishment

Patent event date: 20061123

Patent event code: PR07011E01D

PR1002 Payment of registration fee

Payment date: 20061124

End annual number: 3

Start annual number: 1

PG1601 Publication of registration
PR1001 Payment of annual fee

Payment date: 20091207

Start annual number: 4

End annual number: 4

FPAY Annual fee payment

Payment date: 20091228

Year of fee payment: 6

PR1001 Payment of annual fee

Payment date: 20091228

Start annual number: 5

End annual number: 6

LAPS Lapse due to unpaid annual fee
PC1903 Unpaid annual fee