KR100744536B1 - Dhcp 메시지 인증 방법 - Google Patents

Dhcp 메시지 인증 방법 Download PDF

Info

Publication number
KR100744536B1
KR100744536B1 KR1020050013509A KR20050013509A KR100744536B1 KR 100744536 B1 KR100744536 B1 KR 100744536B1 KR 1020050013509 A KR1020050013509 A KR 1020050013509A KR 20050013509 A KR20050013509 A KR 20050013509A KR 100744536 B1 KR100744536 B1 KR 100744536B1
Authority
KR
South Korea
Prior art keywords
dhcp
message
client
dhcp client
hmac
Prior art date
Application number
KR1020050013509A
Other languages
English (en)
Other versions
KR20060067069A (ko
Inventor
주홍일
김도우
이윤경
박지혜
한종욱
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Publication of KR20060067069A publication Critical patent/KR20060067069A/ko
Application granted granted Critical
Publication of KR100744536B1 publication Critical patent/KR100744536B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/5014Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3273Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

본 발명은 DHCP 메시지 인증 방법에 관한 것으로, DHCP 서버와 상기 DHCP 서버로부터 DHCP 클라이언트 발급용 비밀키를 전송받아 저장하고 있는 DHCP 클라이언트에서 DHCP 메시지 인증 방법에 있어서, (a) DHCP 클라이언트로부터 IP 주소 할당을 요구하는 DHCP DISCOVER 메시지를 전송받는 단계; (b) DHCP 서버에서 발생한 난수와 확인용 비밀키를 이용하여 제1세션키를 생성하고, 제1세션키를 이용하여 DHCP DISCOVER 메시지에 대응하여 자신들의 유효 IP 주소목록 중에서 선택한 한 개의 IP 주소를 포함하는 DHCP OFFER 메시지에 대한 HMAC 값을 생성하며, 생성된 HMAC 값과 상기 난수를 DHCP OFFER 메시지와 함께 DHCP 클라이언트에게 전송하는 단계; (c) DHCP 클라이언트에서 선택된 하나의 IP 주소를 포함한 DHCP REQUEST 메시지에 대한 HMAC 값과 난수를 DHCP REQUEST 메시지와 함께 전송받는 단계; (d) 제1세션키와 난수를 이용하여 생성된 제2세션키로 DHCP REQUEST 메시지에 대한 HMAC 값을 생성하는 단계; 및 (e) 상기 (c)단계에서 전송받은 DHCP REQUEST 메시지에 대한 HMAC 값과 상기 (d)단계에서 생성된 DHCP REQUEST 메시지에 대한 HMAC 값이 일치하는 경우에 상기 DHCP 클라이언트를 인증하는 단계;로 구성된다. 따라서, 위장한 DHCP 서버 또는 위장한 DHCP 클라이언트로 인한 공격으로부터 피해를 막을 수 있고 동시에 리플레이 공격에 대한 피해도 막을 수 있다.

Description

DHCP 메시지 인증 방법{Method for DHCP message authentication}
도 1은 종래의 DHCP 메시지 인증 절차를 통함이 없이 DHCP 메시지를 전송하는 방법에 대한 흐름도이다.
도 2는 DHCP 서버에서 DHCP 클라이언트로 키를 발급하는 방법에 대한 흐름도이다.
도 3a와 도 3b는 본 발명의 일실시예에 따른 DHCP 메시지 인증 절차를 통하여 DHCP 메시지를 전송하는 방법에 대한 흐름도이다.
본 발명은 DHCP 메시지 인증 방법에 관한 것으로, 더욱 상세하게는 DHCP 메시지 인증 방법에서 사용한 프로텍팅 서버와 같은 추가적인 시스템의 설치가 필요 없이도 DHCP 클라이언트와 DHCP 서버간의 상호인증이 가능하도록 하는 DHCP 메시지 인증 방법에 관한 것이다.
DHCP(Dynamic Host Configuration Protocol)란 호스트의 IP 주소와 많은 TCP(Transmission control protocol)/IP(Internet Protocol)의 기본 설정을 사용자가 직접 입력할 필요 없이, DHCP 서버가 IP 주소, 서브넷 마스크, 게이트웨이 (gateway), DNS(domain name system) 등의 정보를 자동으로 제공해주는 프로토콜이다. DHCP를 통하여 사용자가 각 컴퓨터에 직접 IP 주소를 비롯한 TCP/IP설정을 입력하지 않아도 되고, 잘못된 IP 주소 지정으로 인한 오류도 방지하며, DNS 서버와 Wins(Windows Internet Naming Service) 서버의 주소를 포함한 네트워크 주요 구성 정보가 바뀌어도 클라이언트를 위한 추가 작업이 불필요하게 된다. 또한, 네트워크 관리자는 많은 클라이언트가 존재하는 네트워크 구성에서 효율적으로 IP 주소 관리가 가능하게 된다.
DHCP의 동작 원리는 DHCP 클라이언트가 시스템이 시작됨과 동시에 DHCP 서버를 찾는 메시지를 네트워크에 발송하여 IP 주소 할당을 요청하게 되며, DHCP 서버는 이러한 클라이언트의 요청에 응답하여 자신의 DHCP 데이터베이스에서 IP 주소를 할당해 준다.
상기에서 설명한, DHCP 서버가 IP 주소 할당을 요청하는 모든 클라이언트들에게 IP 주소를 할당하게 되거나, IP 주소를 요청한 클라이언트가 IP 할당을 제공해주는 모든 DHCP 서버로부터 IP 주소를 할당 받게 된다면, 위장한 DHCP 서버나 위장한 DHCP 클라이언트에 의한 공격이 가능하고, 이로 인해 결국은 잘못 설정된 IP 주소로 데이터 정보를 전달하게 되는 보안상의 문제점이 있다. 이에 대하여는 도 1을 통하여 살펴보기로 한다.
도 1은 종래의 DHCP 메시지 인증 절차를 통함이 없이 DHCP 메시지를 전송하는 방법에 대한 흐름도이다. 도 1을 참조하면, DHCP 서버(120)와 DHCP 클라이언트(100) 사이의 IP 주소 할당을 위해 전송되는 기본 메시지들의 흐름을 나타낸다.
먼저, DHCP 클라이언트(100)가 다수개의 DHCP 서버(120)로 IP 주소 할당을 요구하는 DHCPDISCOVER 메시지를 전송한다(S100).
다음으로, DHCPDISCOVER 메시지를 수신한 다수개의 DHCP 서버(120)는 이러한 DHCP 클라이언트(100)의 요청에 응답하여 각각 자신의 DHCP 데이터베이스에서 IP 주소를 할당하는 DHCPOFFER 메시지를 전송한다(S110). 여기에서, DHCPOFFER 메시지에는 DHCP 서버(120)가 DHCP 클라이언트(100)에게 할당 가능한 IP 주소를 포함하고 있으며, DHCPDISCOVER 메시지를 수신한 모든 DHCP 서버(120)는 DHCPOFFER 메시지로 DHCP 클라이언트(100)에게 응답한다.
다음으로, 단계S100에서 DHCPDISCOVER 메시지를 전송한 DHCP 클라이언트(100)는 단계S110에서 다수개의 DHCP 서버(120)로부터 각각 DHCPOFFER 메시지를 수신하게 되는데, 다수개의 DHCP 서버(120)중 어느 하나의 DHCP 서버(120)를 선택하고, 선택된 어느 하나의 DHCP 서버(120)로 단계S110에서 수신한 IP 주소를 DHCPREQUEST 메시지에 포함하여 전송한다(S120).
다음으로, 단계S120에서 DHCPREQUEST 메시지를 수신한 선택된 DHCP 서버(120)는 DHCPREQUEST 메시지에 포함된 IP 주소가 이미 할당된 경우이면, DHCP 클라이언트(100)에게 IP 주소 할당이 불가능하다는 의미의 DHCPNAK 메시지를 전송한다(S130). 한편, 단계S120에서 DHCPREQUEST 메시지를 수신한 선택된 DHCP 서버(120)는 자신의 주소와 일치하면 IP 주소 할당이 가능하다는 의미의 DHCPACK 메시지를 DHCP 클라이언트(100)에게 전송한다(S135).
다음으로, 단계S130에서 DHCPNAK 메시지를 수신한 DHCP 클라이언트(100)는 단계S100으로 복귀하여 처음부터 다시 동작을 수행하게 된다(S140). 한편, 단계S135에서 DHCPACK 메시지를 수신한 DHCP 클라이언트(100)는 사용 가능한 IP 주소를 할당받아 이를 사용하게 된다(S145).
나아가, DHCP 클라이언트(100)에서는 단계S145에서 할당받아 사용하는 IP 주소에 문제가 있을 경우 DHCP 서버(120)에게 DHCPDECLINE 메시지를 송신하고 단계S100으로 복귀하여 처음부터 다시 동작을 수행하게 된다.
다음으로, DHCP 클라이언트(100)는 IP 주소 임대 기간이 종료되거나 종료되기 전이라도 더 이상 IP 주소를 사용하지 않을 경우에, DHCPRELEASE 메시지를 단계S120에서 선택된 DHCP 서버(120)로 전송하여 할당된 IP 주소를 반환할 것이라는 것을 알리게 된다(S150).
다음으로, 단계S150에서 DHCPRELEASE 메시지를 수신한 DHCP 서버(120)는 DHCP 클라이언트(100)에 할당해준 IP 주소를 회수한다(S160).
상기에서 살펴본 바와 같이, 도 1에서는 DHCP 클라이언트(100)와 DHCP 서버(120) 사이의 IP 주소 할당 과정에서 DHCP 서버(120)는 어떠한 인증 절차도 없이 도 요청하는 모든 DHCP 클라이언트(100)들에게 자신의 할당 가능한 IP 주소를 할당해 주게 되고, IP 주소를 할당 받은 DHCP 클라이언트(100)들도 어떠한 인증 절차 없이 IP 주소를 할당해주는 DHCP 서버(120)로부터 IP 주소를 할당 받게 된다. 이럴 경우, 위장한 DHCP 서버(120) 또는 위장한 DHCP 클라이언트(100)에 의한 공격으로 인한 데이터 손실이 발생할 수 있는 보안상의 문제점을 가지고 있다.
이에 따라, DHCP 메시지 인증 기술이 사용되고 있는데, 이와 관련된 종래 기 술로는 DHCP 메시지에 포함되는 DHCP 클라이언트의 하드웨어 주소를 분석해서 네트워크 접속을 제공할 것인지 판단하여 그 판단 결과를 DHCP 서버에게 제공하는 프로텍팅(Protecting) 서버를 추가적으로 구비하여 인증 받지 않은 사용자의 인터넷 및 네트워크 접속 방지 시스템을 제공하는 기술이 있다. 그러나, 이와 같은 종래기술은 프로텍팅 서버라는 추가적인 장비가 필요하고, DHCP 서버와 DHCP 클라이언트의 하드웨어 주소가 노출되어 공격자로부터 쉽게 공격을 받을 수 있다는 문제점을 가지고 있다. 그리고, DHCP 서버가 DHCP 클라이언트를 인증할 뿐, DHCP 클라이언트가 DHCP 서버를 인증하지 않는 단방향 인증이라는 점에서 DHCP 클라이언트가 DHCP 서버를 인증하지 못할 경우는 위장한 DHCP 서버에 대해서 쉽게 공격을 받을 수 밖에 없다는 문제점을 가지고 있다.
또 다른 DHCP 메시지 인증 기술로는 해쉬 함수(Hash function)를 사용해 DHCP 메시지 전체에 대한 해쉬값을 DHCP 메시지에 추가하여 해쉬값의 확인으로 DHCP 서버나 DHCP 클라이언트를 인증하는 기술이 있다. 그러나 종래의 DHCP 메시지 인증 기술은 DHCP 서버나 DHCP 클라이언트가 하나가 아닌 복수의 DHCP 서버들 또는 DHCP 클라이언트들과 통신을 해야 되기 때문에 키 관리에 있어서 문제점을 갖고 있으며, 리플레이 공격에 대비하는 추가적인 방법이 포함되어야 하는 문제점을 가지고 있다.
상술한 문제점을 해결하기 위하여 본 발명은 DHCP 서버가 IP 주소 할당을 요구하는 DHCP 클라이언트들에게 IP 주소를 할당함에 있어서, 인증 과정을 거친 후 인증에 성공한 클라이언트에게만 IP 주소를 할당 해 주고, DHCP 클라이언트도 자신이 등록된 DHCP 서버로부터만 IP 주소를 할당 받을 수 있는 DHCP 서버와 DHCP 클라이언트간의 DHCP 메시지 인증 방법을 제공한다.
그리고, 본 발명은 DHCP 메시지 인증에서 단순히 DHCP 클라이언트의 하드웨어 주소만으로 DHCP 서버가 DHCP 클라이언트만 인증하는 단방향 인증이 아닌, DHCP 메시지 전체에 대한 HMAC 알고리즘을 사용해서 HMAC 값을 계산하고 확인함에 의해서 보다 강력하게 DHCP 서버와 DHCP 클라이언트 사이의 상호 인증이 가능한 DHCP 메시지 인증 방법을 제공한다.
또한, 본 발명은 DHCP 메시지 인증에 있어서 보다 효과적인 키관리 방법과 리플레이 공격에 대해 추가적인 파라미터 설정 없이 인증 과정에서 리플레이 공격에 대한 검증이 동시에 가능한 저렴한 비용으로 보다 강력한 보안성을 가지는 DHCP 서버와 DHCP 클라이언트간의 DHCP 메시지 인증 방법을 제공한다.
상기 기술적 과제를 해결하기 위한 본 발명의 DHCP 메시지 인증을 위한 키 분배 방법은, (a) DHCP 서버의 하드웨어 주소를 이용하여 마스터키를 생성하는 단계; (b) 상기 마스터키와 DHCP 클라이언트의 하드웨어 주소를 이용하여 상기 DHCP 서버와 상기 DHCP 클라이언트간 DHCP 메시지의 인증을 수행할 때 사용할 DHCP 클라이언트 발급용 비밀키를 생성하는 단계; 및 (c) 상기 DHCP 클라이언트 발급용 비밀키를 상기 DHCP 클라이언트에 전송하는 단계;를 포함하는 것을 특징으로 가진다.
상기 기술적 과제를 해결하기 위한 본 발명의 DHCP 메시지 인증 방법은, DHCP 서버와 상기 DHCP 서버로부터 DHCP 클라이언트 발급용 비밀키를 전송받아 저장하고 있는 DHCP 클라이언트에서 DHCP 메시지를 인증하는 방법에 있어서, (a) 상기 DHCP 클라이언트로부터 IP 주소 할당을 요구하는 DHCPDISCOVER 메시지를 전송받는 단계; (b) 상기 DHCP 서버에서 발생한 난수와 확인용 비밀키를 이용하여 제1세션키를 생성하고, 상기 제1세션키를 이용하여 상기 DHCPDISCOVER 메시지에 대응하여 자신들의 유효 IP 주소목록 중에서 선택한 한 개의 IP 주소를 포함하는 DHCPOFFER 메시지에 대한 HMAC(Hash-based Message Authentication Codes) 값을 생성하며, 상기 DHCPOFFER 메시지에 대한 HMAC 값과 상기 난수를 상기 DHCP OFFER 메시지와 함께 상기 DHCP 클라이언트에게 전송하는 단계; (c) 상기 DHCP 클라이언트에서 선택된 하나의 IP 주소를 포함한 DHCPREQUEST 메시지에 대한 HMAC 값과 상기 난수를 상기 DHCPREQUEST 메시지와 함께 전송받는 단계; (d) 상기 제1세션키와 상기 난수를 이용하여 생성된 제2세션키로 상기 DHCPREQUEST 메시지에 대한 HMAC 값을 생성하는 단계; 및 (e) 상기 (c)단계에서 전송받은 DHCPREQUEST 메시지에 대한 HMAC 값과 상기 (d)단계에서 생성된 상기 DHCPREQUEST 메시지에 대한 HMAC 값이 일치하는 경우에 상기 DHCP 클라이언트를 인증하는 단계;를 포함하는 것을 특징으로 가진다.
이하, 첨부된 도면을 참조하여 본 발명의 실시예에 대하여 상세히 설명하기로 한다.
도 2는 DHCP 서버에서 DHCP 클라이언트로 키를 발급하는 방법에 대한 흐름도이다. 도 2를 참조하면, DHCP(Dynamic Host Configuration Protocol) 서버가 DHCP 클라이언트를 등록시킬 때 필요로 하는 DHCP 클라이언트 발급용 비밀키를 생성하는 순서와 관련된 것이다.
먼저, DHCP 서버는 다음 수학식1에서 보는 바와 같이 DHCP 서버 자신의 하드웨어 주소(Server_id)와 임의의 시드값(seed)을 입력으로 하여 마스터키(Masterkey)를 생성한다(S200).
마스터키 = H ( Server_id , seed )
단계S200에서 생성된 마스터키(Masterkey)는 DHCP 서버만 가지고 있으며 이는 DHCP 서버 하드웨어 주소(Server_id)를 입력으로 해서 생성된 HMAC(Keyed-Hashing for Message Authentication Code) 값이므로 DHCP 서버(220)의 고유한 마스터키가 된다.
다음으로, 단계S200에서 DHCP 서버의 마스터키가 생성되면, DHCP 서버는 다음 수학식2에서 보는 바와 같이 등록하고자 하는 DHCP 클라이언트의 하드웨어 주소(Client_id)와 DHCP 서버의 마스터키를 입력으로 하여 DHCP 클라이언트 발급용 비밀키를 생성한다(S220).
DHCP 클라이언트 발급용 비밀키 = H ( Client_id , 마스터키 )
여기에서, 단계S220에서 생성된 DHCP 클라이언트 발급용 비밀키는 DHCP 클라이언트의 하드웨어 주소(Client_id)와 DHCP 서버의 마스터키를 입력으로 해서 생성된 HMAC 값이다.
다음으로, DHCP 서버는 단계S220에서 생성된 DHCP 클라이언트 발급용 비밀키를 DHCP 클라이언트에게 발급한다(S240).
여기에서, DHCP 클라이언트 발급용 비밀키는 DHCP 클라이언트와 DHCP 서버가 공유하는 키이지만, DHCP 서버는 DHCP 클라이언트에게만 비밀키를 가지도록 한다. 즉, DHCP 서버는 단계S220에서 생성된 DHCP 클라이언트 발급용 비밀키를 갖고 있지 않고, DHCP 클라이언트가 DHCP 서버에 접속을 시도할 때 DHCP 클라이언트 발급용 비밀키에 대한 확인용 비밀키를 재생성하여 사용하게 된다. 그러므로, DHCP 서버에서 다수개의 DHCP 클라이언트에 대한 각각의 비밀키를 관리해야 되는 키관리 문제점을 해결할 수 있게 된다.
도 3a 내지 도 3b는 본 발명의 일실시예에 따른 DHCP 메시지 인증 절차를 통하여 DHCP 메시지를 전송하는 방법에 대한 흐름도이다. 도 3a 내지 도 3b를 참조하면, DHCP 클라이언트(300)가 DHCP 서버(320)에 IP 주소 할당을 요구하고 DHCP 서버(320)가 DHCP 클라이언트(300)에게 IP 주소를 할당하는 방법에 있어서, 인증 기능이 추가된 DHCP 서버(320)와 DHCP 클라이언트(300)가 상호인증이 이루어져야만 IP 주소 할당이 이루어지는 것을 나타낸다.
먼저, DHCP 클라이언트(300)가 인증 옵션을 포함하여 IP 주소 할당을 요구하는 DHCPDISCOVER 메시지를 DHCP 서버(320)에 전송하게 된다(S300). 여기에서, DHCPDISCOVER 메시지에는 DHCP 클라이언트(300)의 하드웨어 주소(Client_id)가 포함되어 있다.
다음으로, DHCP 서버(320)는 다음 수학식3에서 보는 바와 같이 DHCPDISCOVER 메시지에 포함된 DHCP 클라이언트(300)의 하드웨어 주소(Client_id)와 DHCP 서버(320)만 가지고 있는 마스터키(Masterkey)를 이용해 도 2에서 살펴본 바와 같이 DHCP 클라이언트(300)에게 사전에 발급해준 DHCP 클라이언트 발급용 비밀키를 확인하기 위한 확인용 비밀키를 재생성한다(S311).
확인용 비밀키 = H( Client_id , 마스터키 )
다음으로, DHCP 서버(320)는 제 1 세션키 생성을 위하여 난수를 생성한다(S312). 단계S312에서 생성되는 난수는 다음 수학식4에서 보는 바와 같이 DHCP 클라이언트(300)가 DHCP 서버(320)에 접속한 접속시간과 클라이언트(300)의 하드웨어 주소(Client_id)를 이용하여 생성된다. 상기에서 살펴본 바와 같이 DHCP 클라이언트(300)의 하드웨어 주소(Client_id)는 DHCPDISCOVER 메시지에 포함되어 있다.
난수 = H ( Cient_id , 접속시간 )
다음으로, DHCP 서버(320)는 다음 수학식5에서 보는 바와 같이 단계S311과 단계S312에서 생성된 확인용 비밀키와 난수를 이용하여 제 1 세션키를 생성한다(S313).
제 1 세션키 = H ( 난수, 확인용 비밀키 )
다음으로, DHCP 서버(320)는 다음 수학식6에서 보는 바와 같이 단계S313에서 생성된 제 1 세션키와 DHCPDISCOVER 메시지에 대한 응답 메시지인 DHCPOFFER 메시 지를 이용해 제 1 HMAC 값을 생성한다(S314). 여기에서, DHCPOFFER 메시지에는 DHCP 서버(320)가 DHCP 클라이언트(300)에게 할당 가능한 IP 주소를 포함하고 있으며, DHCPDISCOVER 메시지를 수신한 모든 DHCP 서버(320)는 DHCPOFFER 메시지로 DHCP 클라이언트(300)에게 응답한다.
제 1 HMAC 값 = H ( DHCPOFFER , 제 1 세션키 )
다음으로, DHCP 서버(320)는 단계S314에서 생성된 제 1 HMAC 값과 단계S312에서 생성된 난수를 DHCPOFFER 메시지에 포함하여 DHCP 클라이언트(300)에게 전송한다(S315). 여기에서, HMAC(Keyed-Hashing for Message Authentication Code)은 메시지의 무결성과 함께 메시지의 출처(the source of message) 인증을 위해 사용되는 인증 메커니즘으로, 암호학적 해쉬 함수와 대칭키로 구성되며, 사용되는 해쉬 함수에 따라 HMAC-MD5, HMAC-SHA1 등이 사용될 수 있다.
다음으로, DHCPOFFER 메시지를 수신한 DHCP 클라이언트(300)는 다음 수학식7에서 보는 바와 같이 DHCPOFFER 메시지에 포함된 난수와 도 2에서 살펴본 바와 같이 서버(320)에 등록할 때 DHCP 서버(320)로부터 발급받은 DHCP 클라이언트 발급용 비밀키를 이용해 제 2 세션키를 생성한다(S321).
제 2 세션키 = H ( 난수 , DHCP 클라이언트 발급용 비밀키 )
다음으로, DHCP 클라이언트(300)는 다음 수학식8에서 보는 바와 같이 단계S321에서 생성된 제 2 세션키와 단계S315에서 수신한 DHCPOFFER 메시지를 이용하여 제 2 HMAC 값을 생성한다(S322).
제 2 HMAC 값 = H ( DHCPOFFER , 제 2 세션키 )
다음으로, DHCP 클라이언트(300)는 단계S315에서 전송받은 제 1 HMAC 값과 단계S322에서 생성된 제 2 HMAC 값을 비교하여 상호인증을 수행한다(S323). 여기에서, 단계S315에서 수신한 제 1 HMAC 값과 단계S322에서 생성된 제 2 HMAC 값이 일치한다면, DHCP 클라이언트(300)는 DHCP 서버(320)가 자신과 동일한 비밀키를 가지고 있는 것으로 판단하여 DHCP 서버(320)를 인증하게 된다. 한편, 단계S315에서 수신한 제 1 HMAC 값과 단계S322에서 생성된 제 2 HMAC 값이 일치하지 않는다면, 단계S300으로 복귀하여 처음부터 다시 동작을 수행하게 된다.
다음으로, DHCP 클라이언트(300)는 다음 수학식9에서 보는 바와 같이 단계S321에서 생성한 제 2 세션키와 단계S315에서 수신한 난수를 이용하여 제 3 세션키를 생성한다(S324).
제 3 세션키 = H ( 난수 , 제 2 세션키 )
다음으로, DHCP 클라이언트(300)는 다음 수학식10에서 보는 바와 같이 단계S324에서 생성된 제 3 세션키와 DHCPREQUEST 메시지에 대한 제 3 HMAC 값을 생성한다(S325). 여기에서 DHCPREQUEST 메시지는 DHCP 클라이언트(300)에서 선택된 어느 하나의 DHCP 서버(320)로 단계S315에서 수신한 IP 주소를 포함하는 메시지이다.
제 3 HMAC 값 = H ( DHCPREQUEST , 제 3 세션키 )
다음으로, DHCP 클라이언트(300)는 난수와 단계S325에서 생성된 제 3 HMAC 값을 DHCPREQUEST 메시지에 포함하여 DHCP 서버(320)에게 전송한다(S326).
여기에서, 단계S324 내지 단계S326까지는 단계S315에서 수신한 DHCPOFFER 메시지에 대한 응답으로 DHCPREQUEST 메시지를 보내는 과정을 살펴본 것이다.
다음으로, 단계S326에서 DHCPREQUEST 메시지를 수신한 DHCP 서버(320)는 다음 수학식11에서 보는 바와 같이 DHCPREQUEST 메시지에 포함된 난수와 단계S313에서 생성된 제 1 세션키를 이용하여 제 4 세션키를 생성한다(S331).
제 4 세션키 = H ( 난수 , 제 1 세션키 )
다음으로, DHCP 서버(320)는 다음 수학식12에서 보는 바와 같이 단계S331에서 생성된 제 4 세션키와 단계S326에서 수신한 DHCPREQUEST 메시지를 이용하여 제 4 HMAC 값을 생성한다(S332).
제 4 HMAC 값 = H ( DHCPREQUEST , 제 4 세션키 )
다음으로, DHCP 서버(320)는 단계S326에서 수신한 제 3 HMAC 값과 단계S332에서 생성된 제 4 HMAC 값을 비교하여 상호인증을 수행한다(S333). 여기에서, 단계S326에서 수신한 제 3 HMAC 값과 단계S332에서 생성된 제 4 HMAC 값이 일치한다면, DHCP 서버(320)는 DHCP 클라이언트(300)가 자신과 동일한 비밀키를 가지고 있는 것으로 판단하여 DHCP 클라이언트(300)를 인증하게 된다. 한편, 단계S326에서 수신한 제 3 HMAC 값과 단계S332에서 생성된 제 4 HMAC 값이 일치하지 않는다면, 단계S300으로 복귀하여 처음부터 다시 동작을 수행하게 된다.
다음으로, DHCP 서버(320)는 다음 수학식13에서 보는 바와 같이 단계S331에서 생성한 제 4 세션키와 단계S326에서 수신한 난수를 이용하여 제 5 세션키를 생성한다(S334).
제 5 세션키 = H ( 난수 , 제 4 세션키 )
다음으로, DHCP 서버(320)는 다음 수학식14에서 보는 바와 같이 단계S334에서 생성된 제 5 세션키와 DHCPACK 메시지에 대한 제 5 HMAC 값을 생성한다(S335).
제 5 HMAC 값 = H ( DHCPACK , 제 5 세션키 )
다음으로, DHCP 서버(320)는 난수와 단계S335에서 생성된 제 5 HMAC 값을 DHCPACK 메시지에 포함하여 DHCP 클라이언트(300)에게 전송한다(S336).
여기에서, 단계S334 내지 단계S336까지는 단계S326에서 수신한 DHCPREQUEST 메시지에 대한 응답으로 DHCPACK 메시지를 보내는 과정을 살펴본 것이다. DHCPACK 메시지는 단계S326에서 DHCPREQUEST 메시지를 수신한 DHCP 서버(320)가 IP 주소 할당이 가능하다는 의미로 보내는 것이다.
한편, DHCPREQUEST 메시지를 수신한 DHCP 서버(320)는 DHCPREQUEST 메시지에 포함된 IP 주소가 이미 할당된 경우이면, DHCP 클라이언트(300)에게 IP 주소 할당이 불가능하다는 의미의 DHCPNAK 메시지를 전송하게 된다. DHCPNAK 메시지를 수신 한 DHCP 클라이언트(300)에서는 단계S300으로 복귀하여 처음부터 다시 동작을 수행하게 된다.
다음으로, DHCPACK 메시지를 수신한 DHCP 클라이언트(300)는 다음 수학식15에서 보는 바와 같이 DHCPACK 메시지에 포함된 난수와 단계S324에서 생성한 제 3 세션키를 이용하여 제 6 세션키를 생성한다(S341).
제 6 세션키 = H ( 난수 , 제 3 세션키 )
다음으로, DHCP 클라이언트(300)는 다음 수학식16에서 보는 바와 같이 단계S341에서 생성된 제 6 세션키와 단계S336에서 수신한 DHCPACK 메시지를 이용하여 제 6 HMAC 값을 생성한다(S342).
제 6 HMAC 값 = H ( DHCPACK , 제 6 세션키 )
다음으로, DHCP 클라이언트(300)는 단계S336에서 전송받은 제 5 HMAC 값과 단계S342에서 생성된 제 6 HMAC 값을 비교하여 상호인증을 수행한다(S343). 여기에서, 단계S336에서 수신한 제 5 HMAC 값과 단계S342에서 생성된 제 6 HMAC 값이 일치한다면, DHCP 클라이언트(300)는 DHCP 서버(320)가 자신과 동일한 비밀키를 가지고 있는 것으로 판단하여 DHCP 서버(320)를 인증하게 된다.
인증에 성공한 DHCP 클라이언트(300)는 자신이 등록한 DHCP 서버(320)가 할당해 준 IP 주소를 사용하게 된다. 나아가, DHCP 클라이언트(300)에서는 단계S336에서 할당받아 사용하는 IP 주소에 문제가 있을 경우 DHCP 서버(320)에게 DHCPDECLINE 메시지를 송신하고 단계S300으로 복귀하여 처음부터 다시 동작을 수행하게 된다.
또한, DHCP 클라이언트(300)는 IP 주소 임대 기간이 종료하기 전이라도 더 이상 할당받은 IP 주소를 사용하지 않는다면 할당된 IP 주소의 반환을 요청하게 된다. 이하에서는, 할당된 IP 주소의 반환하는 과정에 대하여 살펴보면 아래와 같다. DHCP 클라이언트(300)는 다음 수학식17에서 보는 바와 같이 단계S341에서 생성한 제 6 세션키와 단계S336에서 수신한 난수를 이용하여 제 7 세션키를 생성한다(S344).
제 7 세션키 = H ( 난수 , 제 6 세션키 )
다음으로, DHCP 크라이언트(300)는 다음 수학식18에서 보는 바와 같이 단계S344에서 생성된 제 7 세션키와 DHCPRELEASE 메시지에 대한 제 7 HMAC 값을 생성한다(S345).
제 7 HMAC 값 = H ( DHCPRELEASE , 제 7 세션키 )
다음으로, DHCP 클라이언트(300)는 난수와 단계S345에서 생성된 제 7 HMAC 값을 DHCPRELEASE 메시지에 포함하여 DHCP 서버(320)에게 전송한다(S346).
다음으로, 단계S346에서 DHCPRELEASE 메시지를 수신한 DHCP 서버(320)는 다음 수학식19에서 보는 바와 같이 DHCPRELEASE 메시지에 포함된 난수와 단계S334에서 생성된 제 5 세션키를 이용하여 제 8 세션키를 생성한다(S351).
제 8 세션키 = H ( 난수 , 제 5 세션키 )
다음으로, DHCP 서버(320)는 다음 수학식20에서 보는 바와 같이 단계S351에서 생성된 제 8 세션키와 단계S346에서 수신한 DHCPRELEASE 메시지를 이용하여 제 8 HMAC 값을 생성한다(S352).
제 8 HMAC 값 = H ( DHCPRELEASE , 제 8 세션키 )
다음으로, DHCP 서버(320)는 단계S346에서 수신한 제 7 HMAC 값과 단계S352에서 생성된 제 8 HMAC 값을 비교하여 상호인증을 수행한다(S333). 여기에서, 단계S346에서 수신한 제 7 HMAC 값과 단계S352에서 생성된 제 8 HMAC 값이 일치한다면, DHCP 서버(320)는 DHCP 클라이언트(300)가 자신과 동일한 비밀키를 가지고 있는 것으로 판단하여 DHCP 클라이언트(300)를 인증하게 된다.
인증에 성공한 DHCP 서버(320)는 DHCP 클라이언트(300)에 할당한 IP 주소를 회수한다.
상기에서 설명한 것을 살펴보면, DHCP 서버(320)와 DHCP 클라이언트(300)는 매번 통신마다 서로 다른 세션키를 사용해서 DHCP 메시지에 대한 HMAC 값을 계산하고 비교하여 매번 인증을 수행하게 된다. 이는 처음 등록 당시에 서로 공유한 비밀키를 직접 사용하지 않고, 매번 통신마다 서로 다른 세션키를 생성하여 이를 통해 동일한 비밀키를 가지고 있다는 사실을 확인하는 것으로 인증을 수행하고자 하는 것이다.
또한, 세션키 생성에 있어서도 이전 단계에서 사용한 세션키와 연속성을 가짐으로 해서 보안성을 높임과 동시에 리플레이 공격에 대한 대비책도 해결할 수 있게 된다.
본 발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD_ROM, 자기테이프, 플로피디스크 및 광데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드로 저장되고 실행될 수 있다.
이상에서와 같이 도면과 명세서에서 최적 실시예가 개시되었다. 여기서 특정한 용어들이 사용되었으나, 이는 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의미한정이나 특허청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것은 아니다. 그러므로 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호 범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.
상기에서 상세하게 살펴본 본 발명에 의하면, DHCP 메시지를 인증함에 있어 서 DHCP 서버와 DHCP 클라이언트 사이에 통신하는 모든 각각의 메시지에 대한 인증이 이루어지므로 위장한 DHCP 서버나 위장한 DHCP 클라이언트로부터 보안 위협을 해결할 수 있다는 효과가 있다.
또한, 리플레이 공격에 대한 추가적인 파라미터 없이 인증과 동시에 리플레이 공격에 대한 보안 위협도 해결할 수 있다는 효과가 있다.
또한, 종래의 DHCP 메시지 인증 기술에서 사용한 프로텍팅 서버의 추가 없이도 인증이 가능하며, DHCP 서버가 DHCP 클라이언트만 인증하는 단방향 인증이 아닌 DHCP 클라이언트와 DHCP 서버 간의 상호인증이 가능하다는 효과가 있다.
또한, DHCP 서버가 발급해준 모든 DHCP 클라이언트와 공유하는 비밀키를 관리할 필요 없이 DHCP 서버는 자신의 고유한 마스터키만 가지고 있으면서 DHCP 클라이언트가 접속을 시도할 때만 비밀키를 재생성해서 사용하므로 별도의 DHCP 서버의 키관리가 필요 없다는 효과가 있다.
또한, DHCP 메시지 인증 방법은 일반적인 네트워크 관리 시스템에 적용 가능함은 물론, 홈네트워크 시스템에서 홈게이트웨이 또는 홈서버에 DHCP 기능을 추가할 경우, IP 주소 기반으로 동작하는 홈디바이스들에 대해서는 추가적인 디바이스 인증 프로그램을 수행할 필요 없이, DHCP에 의한 네트워크 접속 과정에서 디바이스 인증 기능까지 해결할 수 있다는 효과가 있다.

Claims (19)

  1. (a) DHCP 서버는 상기 DHCP 서버의 하드웨어 주소를 이용하여 마스터키를 생성하는 단계;
    (b) 상기 DHCP 서버는 상기 마스터키와 DHCP 클라이언트의 하드웨어 주소를 이용하여 상기 DHCP 서버와 상기 DHCP 클라이언트간 DHCP 메시지 인증을 수행할 때 사용할 DHCP 클라이언트 발급용 비밀키를 생성하는단계,
    (c) 상기 DHCP 서버는 상기 DHCP 클라이언트 발급용 비밀키를 상기 DHCP 클라이언트에 전송하는 단계;를 포함하는 것을 특징으로 하는 DHCP 메시지 인증을 위한 키 분배 방법.
  2. 제 1 항에 있어서,
    상기 마스터키는 상기 DHCP 서버의 하드웨어 주소와 임의의 시드값을 입력으로 하여 HMAC 알고리즘을 통해 생성된 HMAC값인 것을 특징으로 하는 DHCP 메시지 인증을 위한 키 분배 방법.
  3. 제 1 항에 있어서,
    상기 DHCP 클라이언트 발급용 비밀키는 상기 마스터키와 DHCP 클라이언트의 하드웨어 주소를 입력으로 하여 HMAC 알고리즘을 통해 생성된 HMAC값인 것을 특징으로 하는 DHCP 메시지 인증을 위한 키 분배 방법.
  4. 제 1 항에 있어서,
    상기 DHCP 클라이언트 발급용 비밀키는 상기 DHCP 서버에서 상기 DHCP 클라이언트에 전송되어 상기 DHCP 클라이언트만 상기 DHCP 클라이언트 발급용 비밀키를 저장하고 있고,
    상기 DHCP 서버는 상기 DHCP 클라이언트 발급용 비밀키를 저장하고 있지 않는 것을 특징으로 하는 DHCP 메시지 인증을 위한 키 분배 방법.
  5. 제 4 항에 있어서,
    상기 DHCP 서버는 상기 DHCP 클라이언트로부터 IP 주소 할당 요구 메시지인 DHCPDISCOVER 메시지에 포함되어 있는 상기 DHCP 클라이언트의 하드웨어 주소를 전송받고,
    상기 전송받은 상기 DHCP 클라이언트의 하드웨어 주소와 상기 마스터키를 이용하여 확인용 비밀키를 생성하는 것을 특징으로 하는 DHCP 메시지 인증을 위한 키 분배 방법.
  6. 제 5 항에 있어서,
    상기 확인용 비밀키는 상기 마스터키와 DHCP 클라이언트의 하드웨어 주소를 입력으로 하여 HMAC 알고리즘을 통해 생성된 HMAC값인 것을 특징으로 하는 DHCP 메시지 인증을 위한 키 분배 방법.
  7. DHCP 서버와 상기 DHCP 서버로부터 DHCP 클라이언트 발급용 비밀키를 전송받아 저장하고 있는 DHCP 클라이언트에서 DHCP 메시지를 인증하는 방법에 있어서,
    (a) 상기 DHCP 서버는 상기 DHCP 클라이언트로부터 IP 주소 할당을 요구하는 DHCPDISCOVER 메시지를 전송받는 단계;
    (b) 상기 DHCP 서버는 상기 DHCP 서버에서 발생한 난수와 확인용 비밀키를 이용하여 제1세션키를 생성하고, 상기 제1세션키를 이용하여 상기 DHCPDISCOVER 메시지에 대응하여 자신들의 유효 IP 주소목록 중에서 선택한 한 개의 IP 주소를 포함하는 DHCPOFFER 메시지에 대한 HMAC(Hash-based Message Authentication Codes) 값을 생성하며, 상기 DHCPOFFER 메시지에 대한 HMAC 값과 상기 난수를 상기 DHCP OFFER 메시지와 함께 상기 DHCP 클라이언트에게 전송하는 단계;
    (c) 상기 DHCP 서버는 상기 DHCP 클라이언트에서 선택된 하나의 IP 주소를 포함한 DHCPREQUEST 메시지에 대한 HMAC 값과 상기 난수를 상기 DHCPREQUEST 메시지와 함께 전송받는 단계;
    (d) 상기 DHCP 서버는 상기 제1세션키와 상기 난수를 이용하여 생성된 제4세션키로 상기 DHCPREQUEST 메시지에 대한 HMAC 값을 생성하는 단계; 및
    (e) 상기 DHCP 서버는 상기 (c)단계에서 전송받은 DHCPREQUEST 메시지에 대한 HMAC 값과 상기 (d)단계에서 생성된 상기 DHCPREQUEST 메시지를에 대한 HMAC 값이 일치하는 경우에 상기 DHCP 클라이언트를 인증하는 단계;를 포함하는 것을 특징으로 하는 DHCP 메시지 인증 방법.
  8. 제 7 항에 있어서, 상기 (c)단계는,
    (c-1) 상기 DHCPOFFER 메시지에 대한 HMAC 값과 상기 난수를 상기 DHCPOFFER 메시지와 함께 전송 받은 상기 DHCP 클라이언트는 상기 DHCP 서버로부터 전송받은 난수와 발급받은 DHCP 클라이언트 발급용 비밀키를 입력으로 하여 HMAC 알고리즘을 통해 제2세션키를 생성하고, 생성된 제2세션키로 상기 DHCP OFFER 메시지에 대한 HMAC 값을 생성하는 단계;
    (c-2) 상기 DHCP 클라이언트는 상기 (b)단계에서 전송받은 상기 DHCPOFFER 메시지에 대한 HMAC 값과 상기 (c-1)단계에서 생성된 상기 DHCPOFFER 메시지에 대한 HMAC 값이 일치하는 경우에 상기 DHCP 서버를 인증하는 단계;
    (c-3) 상기 DHCP 클라이언트는 상기 제2세션키와 상기 난수를 이용하여 제3세션키를 생성하고, 상기 제3세션키를 이용하여 상기 DHCPREQUEST 메시지에 대한 HMAC 값을 생성하는 단계; 및
    (c-4) 상기 DHCP 서버는 상기 DHCP 클라이언트로부터 상기 (c-3)단계에서 생성된 DHCPREQUEST 메시지에 대한 HMAC 값과 상기 난수를 상기 DHCPREQUEST 메시지와 함께 전송받는 단계;로 이루어지는 것을 특징으로 하는 DHCP 메시지 인증 방법.
  9. 제 8 항에 있어서,
    (f) 상기 (e)단계에서 상기 DHCP 클라이언트의 인증이 성공한 경우에 상기 DHCP 서버는 상기 제4세션키와 상기 난수를 이용하여 제5세션키를 생성하고, 상기 제5세션키를 이용하여 IP 주소 할당이 가능하다는 DHCPACK 메시지에 대한 HMAC 값을 생성하며, 상기 DHCPACK 메시지에 대한 HMAC 값과 상기 난수를 상기 DHCPACK 메시지와 함께 상기 DHCP 클라이언트에 전송하는 단계;를 더 포함하는 것을 특징으로 하는 DHCP 메시지 인증 방법.
  10. 제 9 항에 있어서,
    (g) 상기 (f)단계에서 상기 DHCPACK 메시지에 대한 HMAC 값과 상기 난수를 상기 DHCPACK 메시지와 함께 전송받은 상기 DHCP 클라이언트는 상기 제3세션키와 상기 난수를 이용하여 제6세션키를 생성하고, 상기 제6세션키를 이용하여 상기 DHCPACK 메시지에 대한 HMAC 값을 생성하는 단계; 및
    (h) 상기 DHCP 클라이언트는 상기 (f)단계에서 전송받은 상기 DHCPACK 메시지에 대한 HMAC 값과 상기 (g)단계에서 생성된 상기 DHCPACK 메시지에 대한 HMAC 값이 일치하는 경우에 상기 DHCP 서버를 인증하는 단계;를 더 포함하는 것을 특징으로 하는 DHCP 메시지 인증 방법.
  11. 제 8 항에 있어서,
    상기 (c-1)단계에서 생성된 상기 DHCPOFFER 메시지에 대한 HMAC 값은 상기 제2세션키와 상기 DHCPOFFER 메시지를 입력으로 하여 HMAC 알고리즘을 통해 생성된 것을 특징으로 하는 DHCP 메시지 인증 방법.
  12. 제 8 항에 있어서,
    상기 (c-3)단계에서 생성된 상기 DHCPREQUEST 메시지에 대한 HMAC 값은 상기 제3세션키와 상기 DHCPREQUEST 메시지를 입력으로 하여 HMAC 알고리즘을 통해 생성된 것을 특징으로 하는 DHCP 메시지 인증 방법.
  13. 제 8 항에 있어서,
    (f') 상기 (e)단계에서 상기 DHCP 클라이언트의 인증이 실패한 경우에 상기 DHCP 서버는 IP 주소 할당이 불가능하다는 DHCPNAK 메시지를 상기 DHCP 클라이언트에 전송하는 단계;를 더 포함하는 것을 특징으로 하는 DHCP 메시지 인증 방법.
  14. 제 13 항에 있어서,
    상기 DHCPNAK 메시지를 상기 DHCP 클라이언트에 전송하는 경우에 상기 (a)단계부터 반복하여 수행하는 것을 특징으로 하는 DHCP 메시지 인증 방법.
  15. 제 7 항에 있어서,
    상기 확인용 비밀키는 상기 DHCPDISCOVER 메시지에 포함되어 있는 DHCP 클라이언트의 하드웨어 주소와 상기 DHCP 서버에 저장되어 있는 마스터키를 입력으로 하여 HMAC 알고리즘을 통해 생성된 HMAC값인 것을 특징으로 하는 DHCP 메시지 인증 방법.
  16. 제 7 항에 있어서,
    상기 제1세션키는 상기 확인용 비밀키와 상기 난수를 입력으로 하여 HMAC 알고리즘을 통해 생성된 HMAC값인 것을 특징으로 하는 DHCP 메시지 인증 방법.
  17. 제 7 항에 있어서,
    상기 난수는 상기 DHCPDISCOVER 메시지에 포함되어 있는 상기 DHCP 클라이언트의 하드웨어 주소와 상기 DHCP 클라이언트가 상기 DHCP 서버에 접속한 접속 시간을 입력으로 하여 HMAC 알고리즘을 통해 생성된 HMAC값인 것을 특징으로 하는 DHCP 메시지 인증 방법.
  18. 제 7 항에 있어서,
    상기 (b)단계에서 DHCPOFFER 메시지에 대한 HMAC 값은 상기 DHCPOFFER 메시지와 상기 제1세션키를 입력으로 하여 HMAC 알고리즘을 통해 생성된 것을 특징으로 하는 DHCP 메시지 인증 방법.
  19. 제 7 항에 있어서,
    상기 (d)단계에서 생성된 DHCPREQUEST 메시지에 대한 HMAC 값은 상기 DHCPREQUEST 메시지와 상기 제4세션키를 입력으로 하여 HMAC 알고리즘을 통해 생성된 것을 특징으로 하는 DHCP 메시지 인증 방법.
KR1020050013509A 2004-12-14 2005-02-18 Dhcp 메시지 인증 방법 KR100744536B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20040105426 2004-12-14
KR1020040105426 2004-12-14

Publications (2)

Publication Number Publication Date
KR20060067069A KR20060067069A (ko) 2006-06-19
KR100744536B1 true KR100744536B1 (ko) 2007-08-01

Family

ID=37161690

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050013509A KR100744536B1 (ko) 2004-12-14 2005-02-18 Dhcp 메시지 인증 방법

Country Status (1)

Country Link
KR (1) KR100744536B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190132087A (ko) 2018-05-18 2019-11-27 한화테크윈 주식회사 네트워크 보안 시스템 및 그 동작 방법

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100811354B1 (ko) * 2001-10-26 2008-03-07 엘지전자 주식회사 오유아이(oui)를 이용한 디에치시피(dhcp) 서버의클라이언트 관리방법
KR100901279B1 (ko) * 2007-03-12 2009-06-08 강남구 챕 챌린지 메시지를 이용한 네트워크 액세스 인증 방법 및시스템.
CN105721496A (zh) * 2016-03-31 2016-06-29 中国人民解放军国防科学技术大学 一种轻量级地址自动分配协议安全认证方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050005154A1 (en) 2003-07-03 2005-01-06 Andrew Danforth Method to block unauthorized access to TFTP server configuration files
US20050089052A1 (en) 2000-01-31 2005-04-28 3E Technologies International, Inc. Broadband communications access device
KR20060040805A (ko) * 2004-11-05 2006-05-11 에스케이 텔레콤주식회사 와이브로 시스템에서의 호처리방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050089052A1 (en) 2000-01-31 2005-04-28 3E Technologies International, Inc. Broadband communications access device
US20050005154A1 (en) 2003-07-03 2005-01-06 Andrew Danforth Method to block unauthorized access to TFTP server configuration files
KR20060040805A (ko) * 2004-11-05 2006-05-11 에스케이 텔레콤주식회사 와이브로 시스템에서의 호처리방법

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
RFC 2246, IETF(Internet Engineering Task Force), 1999.01.
RFC 3118, IETF(Internet Engineering Task Force), 2001.06.

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190132087A (ko) 2018-05-18 2019-11-27 한화테크윈 주식회사 네트워크 보안 시스템 및 그 동작 방법
US11201910B2 (en) 2018-05-18 2021-12-14 Hanwha Techwin Co., Ltd. Network security system and method for operating same

Also Published As

Publication number Publication date
KR20060067069A (ko) 2006-06-19

Similar Documents

Publication Publication Date Title
CA2578186C (en) System and method for access control
US7792993B1 (en) Apparatus and methods for allocating addresses in a network
US6754716B1 (en) Restricting communication between network devices on a common network
US8336087B2 (en) Robust digest authentication method
US7940761B2 (en) Communication connection method, authentication method, server computer, client computer and program
RU2005138105A (ru) Способ и система для осуществления защищенного обеспечения клиентского устройства
US20060195610A1 (en) Security Enhanced Methods And System For IP Address Allocation
EP2779594A2 (en) Systems and methods for pre-signing of dnssec enabled zones into record sets
US7134140B2 (en) Token-based authentication for network connection
WO2000010286B1 (en) Internet authentication technology
CN110417929A (zh) 通过在区块链网络上运行dhcp服务器提供的高可用性dhcp服务
WO2009035829A1 (en) Improved dynamic host configuration protocol
CN101232375A (zh) 单点登录***、信息终端设备、单点登记服务器及方法
JP2001211180A (ja) クライアント認証機能付きdhcpサーバ、及びその認証方法
WO2019134234A1 (zh) 防刷登录的方法、装置、终端设备及存储介质
CN101296081A (zh) 认证、认证后分配ip地址的方法、***、接入实体和装置
US20110078784A1 (en) Vpn system and method of controlling operation of same
CN109842626B (zh) 分配安全区域访问凭证的方法和装置
KR100744536B1 (ko) Dhcp 메시지 인증 방법
JP2022528711A (ja) 分散台帳に関連付けられた宛先アドレッシング
CN100349433C (zh) 为用户终端分配接入地址的方法
US7916733B2 (en) Data communication apparatus, data communication method, program, and storage medium
Komori et al. The secure DHCP system with user authentication
CN102457482B (zh) 一种认证方法、装置和***
KR100856918B1 (ko) IPv6 기반 네트워크상에서의 IP 주소 인증 방법 및IPv6 기반 네트워크 시스템

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
G170 Re-publication after modification of scope of protection [patent]
FPAY Annual fee payment

Payment date: 20100701

Year of fee payment: 4

LAPS Lapse due to unpaid annual fee