KR100848541B1 - 이동 아이피 버전 6에서 재전송 공격을 방지하기 위한 방법 - Google Patents

이동 아이피 버전 6에서 재전송 공격을 방지하기 위한 방법 Download PDF

Info

Publication number
KR100848541B1
KR100848541B1 KR1020050040343A KR20050040343A KR100848541B1 KR 100848541 B1 KR100848541 B1 KR 100848541B1 KR 1020050040343 A KR1020050040343 A KR 1020050040343A KR 20050040343 A KR20050040343 A KR 20050040343A KR 100848541 B1 KR100848541 B1 KR 100848541B1
Authority
KR
South Korea
Prior art keywords
binding
address
care
mobile host
entry
Prior art date
Application number
KR1020050040343A
Other languages
English (en)
Other versions
KR20060117798A (ko
Inventor
서경주
윤순영
김용석
권영훈
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Priority to KR1020050040343A priority Critical patent/KR100848541B1/ko
Priority to US11/433,680 priority patent/US7764949B2/en
Publication of KR20060117798A publication Critical patent/KR20060117798A/ko
Application granted granted Critical
Publication of KR100848541B1 publication Critical patent/KR100848541B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/126Anti-theft arrangements, e.g. protection against subscriber identity module [SIM] cloning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/08Mobility data transfer
    • H04W8/14Mobility data transfer between corresponding nodes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

이동 IPv6 환경 하에서 핸드오프(Hand Off) 시 발생하는 재전송 공격을 방지하기 위한 방법은, 이동 호스트가 핸드 오프하여 생성된 새로운 의탁 주소(Care of Address)를 상대 노드(Correspondent Node)에게 전송하여 새로운 바인딩 엔트리(Binding Entry)를 생성하는 과정과, 상기 상대노드에 상기 이동 호스트 또는 공격자로부터 바인딩(Binding) 요청이 있는 경우, 상기 상대 노드의 바인딩 캐시(Binding Cache)에 포함되어 있는 바인딩 엔트리(Binding Entry) 중, 상기 바인딩 갱신 요청에 포함된 홈주소(Home Address) 및 의탁주소와 동일한 값을 갖는 바인딩 엔트리가 존재하는지 확인하는 과정과, 상기 동일한 값을 갖는 바인딩 엔트리가 존재할 경우, 상기 바인딩 엔트리의 사용 판단 필드값을 확인하는 과정과, 상기 바인딩 엔트리의 사용 판단 필드값이 1인 경우, 상기 이동 호스트로 새로운 인증을 시작할 것을 지시하는 메시지를 전송하는 과정을 포함하여, 공격자로부터 재전송 공격을 방지할 수 있는 이점이 있다.
이동호스트, 이동아이피(mobile IP), 재전송 공격(replay attack)

Description

이동 아이피 버전 6에서 재전송 공격을 방지하기 위한 방법{METHOD FOR PREVENTTING REPLAY ATTACK IN MOBILE IPV6}
도 1은 종래기술에 따른 재전송 공격 절차를 도시하는 도면,
도 2는 종래기술에 따른 상대 노드의 바인딩 캐쉬(Cache)의 구조를 도시하는 도면,
도 3은 본 발명의 실시 예에 따른 재전송 공격을 방지하기 위한 절차를 도시하는 도면,
도 4는 본 발명의 실시 예에 따른 재전송 공격을 방지하기 위한 이동 호스트의 동작절차를 도시하는 도면,
도 5는 본 발명의 실시 예에 따른 재전송 공격을 방지하기 위한 상대 노드의 동작절차를 도시하는 도면,
도 6a는 본 발명의 실시 예에 따른 재전송 공격을 방지하기 위해 사용되는 바인딩 캐쉬(Cache)의 구조를 도시하는 도면, 및
도 6b는 본 발명의 실시 예에 따른 인증 재시작 지시 메시지의 구조를 도시하는 도면.
본 발명은 이동 IPv6(mobile IPv6)환경을 사용하는 통신시스템에서 재전송 공격(replay attack)을 방지하기 위한 방법에 관한 것으로서, 특히 상기 통신시스템에서 이동호스트('이동 노드'라고도 칭함 : Mobile Node)가 상대 노드(Correspondent Node)와 통신을 위해서 실시하는 바인딩 갱신 과정에서 발생하는 재전송 공격을 방지하기 위한 방법에 관한 것이다.
최근 인터넷의 급속한 보급, 무선 통신기술의 발달, 그리고 휴대형 컴퓨터, PDA(Personal Digital Assistant) 등 이동단말의 성능 향상으로 무선 인터넷 사용자가 증가하고 있다. 따라서, 무선 인터넷 환경 하에서 수시로 그 위치를 이동하는 이동 단말인 상기 이동 호스트에 대해 고품질의 통신 서비스를 제공하기 위한 다양한 방법이 제시되어 왔다.
상기 고품질의 통신 서비스를 제공하기 위한 방법 중, 상기 이동 호스트가 IP 주소를 변경하지 않고 다른 네트워크의 인터넷 접속점을 통해서도 인터넷 접속이 가능하도록 하는 이동 IP기술이 대두되고 있다. 상기 이동 IP는 버전에 따라 이동 IPv4와 이동 IPv6로 구분되는데, 최근에는 상기 이동 IPv4를 확장한 상기 이동 IPv6 기술이 발전하고 있다.
상기 이동 IPv6는, 상기 이동호스트가 외부네트워크로 이동하는 경우 상기 외부네트워크에서 임시주소인 의탁 주소(Care of Address : 이하 CoA라 칭함)를 생성한다. 상기 생성된 CoA를 상기 이동호스트의 홈주소(Home Address)와 함께 바인딩(Binding)하여 상기 홈에이전트(Home Agent)와 상기 상대노드에 등록한다. 이후, 상기 상대노드와 통신하게 한다. 여기서, 상기 바인딩은, 상기 이동호스트가 외부 네트워크로 이동하였을 경우, 상기 이동호스트의 홈에이전트와 상대노드에 등록하는 정보로서, 임시로 구성된 CoA와 원래의 주소인 홈주소를 대응시키는 동작을 의미한다.
상술한 바와 같이 상기 이동 호스트가 이동 IPv6환경하에서 핸드오프(Hand off)하는 경우, 상기 이동 호스트의 이전 위치 정보, 즉 이전 의탁주소(Care of Address : 이하 CoA라 칭함)가 공격자(attacker)에 노출되어 재전송 공격(replay attack)을 당할 수 있다.
도 1은 종래기술에 따른 재전송 공격 절차를 도시하고 있다.
상기 도 1을 참조하면, 이동 호스트는 상대 노드와 통신을 위하여 상기 상대 노드에 바인딩 갱신(Binding Update)을 수행한다(101). 상기 바인딩 갱신 시, 상기 이동 호스트는 상기 이동 호스트의 의탁주소(이하, CoA1이라 칭함)를 상기 상대노드의 바인딩 캐시(Binding Cache)에 등록한다. 즉, 새로운 바인딩 엔트리(Binding Entry)를 생성한다.
이후, 상기 이동 호스트가 새로운 위치로 이동하여, 상기 이동 IPv6의 주소자기구성(Address auto-configuration) 방식을 이용하여 새로운 의탁 주소(이하, CoA2라 칭함)생성한다(103).
상기 새로운 의탁주소(CoA2)를 생성한 후, 상기 이동 호스트는 상기 상대노드와 통신을 유지하기 위해 상기 새로운 의탁주소를 전송하여 새로운 바인딩 엔트리(Binding Entry)를 생성한다(105). 여기서, 상기 바인딩 엔트리는, 도 2에 도시된 바와 같이 상기 이동 호스트의 원래 주소인 홈주소(HoA : Home Address)(201), 상기 이동 호스트의 임시 주소인 의탁 주소(CoA : Care of Address)(203), 바인딩의 유효시간을 나타내는 유효시간(life time)(205), 해당 바인딩 갱신 메시지의 번호 중 최대 순서 번호(Maximum Sequence Number)(207)로 구성된다.
이때, 상기 공격자가 상기 이동호스트의 이전 위치에서 상기 이동호스트의 CoA1(이전 의탁 주소)과 홈주소를 이용하여 상기 상대노드에 재전송 공격을 시도할 수 있다(107).
즉, 상기 공격자가 상기 이동호스트의 CoA1과 홈주소를 이용하여 상기 상대 노드로 바인딩 갱신 요청을 하는 경우, 상기 상대 노드는 상기 상대 노드에서 상기 이동 호스트의 이전 바인딩 인증 관리 키를 생성하는데 사용되었던 난수(nonce)가 사용가능(Valid)한지 확인한다(109). 만일, 상기 난수가 사용가능하면, 상기 공격자는 상기 이동 호스트의 상기 CoA1과 홈주소를 이용하여 바인딩 인증 관리 키를 획득할 수 있다. 즉, 상기 이동 호스트와 상대 노드는 상기 공격자로부터 재전송 공격을 당한다.
상술한 바와 같이 상기 공격자가 상기 이동호스트의 CoA1과 홈주소를 이용하여 공격할 때, 상기 바인딩 인증 관리 키 생성을 위해 사용된 난수가 아직 유효하면, 공격자의 재전송 공격이 가능하므로 이를 막는 방법의 도입이 필요하다.
따라서, 본 발명의 목적은 이동 IPv6환경에서 공격자의 재전송 공격을 방지 하기 위한 방법을 제공함에 있다.
본 발명의 다른 목적은 이동 IPv6환경에서 바인딩 갱신 제어 과정의 개선과 데이터 구조의 개선을 통하여 공격자의 재전송 공격을 방지하기 위한 방법을 제공함에 있다.
상기 목적들을 달성하기 위한 본 발명의 제 1견지에 따르면, 이동 IPv6 환경 하에서 재전송 공격(replay attack)을 방지하기 위한 상대 노드의 동작 방법은, 이동 호스트의 바인딩 유효시간(Binding life time)이 0이고, 상기 이동 호스트의 이전 바인딩 관리 키 생성을 위해 사용되었던 난수(nonce)가 사용가능한 경우, 상기 이동 호스트의 바인딩 엔트리(Binding entry)의 사용 판단(Used) 필드를 소정 값으로 설정하는 과정과, 상기 이동 호스트 또는 공격자로부터 바인딩 갱신 요청이 있는 경우, 상기 바인딩 캐시(Binding Cache)에 포함되어 있는 바인딩 엔트리 중, 상기 바인딩 갱신 요청에 포함된 홈주소(Home Adderss) 및 의탁주소(Care of Address)와 동일한 홈주소와 의탁 주소를 갖는 상기 바인딩 엔트리를 검색하는 과정과, 상기 동일한 바인딩 엔트리가 존재할 경우, 상기 바인딩 엔트리의 사용 판단 필드값을 확인하는 과정과, 상기 바인딩 엔트리의 사용 판단 필드값이 1인 경우, 재전송 공격이 우려되어 상기 이동 호스트로 새로운 인증을 시작할 것을 지시하는 메시지를 전송하는 과정을 포함하는 것을 특징으로 한다.
본 발명의 제 2견지에 따르면, 이동 IPv6 환경 하에서 재전송 공격을 방지하기 위한 이동 호스트의 동작 방법은, 상기 이동호스트가 핸드오프를 수행하여 의탁주소(Care of Adderss)를 생성하고, 상기 생성된 의탁주소를 상대 노드로 바인딩 갱신하는 과정과, 상기 상대노드로부터 인증 시작 지시 메시지를 수신할 경우, 새로이 인증을 시작하는 과정을 포함하는 것을 특징으로 한다.
본 발명의 제 3견지에 따르면, 이동 IPv6 환경 하에서 재전송 공격을 방지하기 위한 방법은, 이동 호스트가 핸드 오프하여 생성된 새로운 의탁 주소(Care of Address)를 상대 노드(Correspondent Node)에게 전송하여 새로운 바인딩 엔트리(Binding Entry)를 생성하는 과정과, 상기 상대노드에 상기 이동 호스트 또는 공격자로부터 바인딩(Binding) 요청이 있는 경우, 상기 상대 노드의 바인딩 캐시(Binding Cache)에 포함되어 있는 바인딩 엔트리(Binding Entry) 중, 상기 바인딩 갱신 요청에 포함된 홈주소(Home Address) 및 의탁주소와 동일한 값을 갖는 바인딩 엔트리가 존재하는지 확인하는 과정과, 상기 동일한 값을 갖는 바인딩 엔트리가 존재할 경우, 상기 바인딩 엔트리의 사용 판단 필드값을 확인하는 과정과, 상기 바인딩 엔트리의 사용 판단 필드값이 1인 경우, 상기 이동 호스트로 새로운 인증을 시작할 것을 지시하는 메시지를 전송하는 과정을 포함하는 것을 특징으로 한다.
이하 본 발명의 바람직한 실시 예를 첨부된 도면을 참조하여 상세히 설명한다. 그리고, 본 발명을 설명함에 있어서, 관련된 공지기능 혹은 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단된 경우 그 상세한 설명은 생략한다.
이하 본 발명은 이동 IPv6(Mobile IPv6)환경 하에서 공격자의 재전송 공격(replay attack)을 방지하기 위한 기술에 대해 설명할 것이다. 다시 말해, 이동 호스트('이동 노드'라고도 칭함 : Mobile Node)가 이동하는 경우, 공격자(attacker)가 상기 이동 호스트의 홈주소(Home Address)와 이동하기 전 의탁주소(Care of Address : 이하 CoA1이라 칭함)를 이용하여 공격하는 재전송 공격을 방지하기 위한 기술에 대해 설명할 것이다. 이하 설명에서 상기 재전송 공격은, 공격자가 네트워크 데이터를 도청하였다가 필요 시, 상기 네트워크 데이터를 다시 사용하는 공격 방법으로 본 발명에서는 상기 공격자가 상기 이동 호스트의 CoA1과 홈주소를 이용하여 불법으로 바인딩 갱신을 시도하는 것으로 가정하여 설명한다.
도 3은 본 발명의 실시 예에 따른 재전송 공격을 방지하기 위한 절차를 도시하고 있다.
상기 도 3을 참조하면, 상기 이동 호스트는 상대 노드(Correspondent Node)와 통신을 위하여 상기 상대 노드에 바인딩 갱신(Binding Update)을 수행한다(301). 상기 바인딩 갱신 시, 상기 이동 호스트는 상기 이동 호스트가 속한 네트워크의 의탁주소(이하, CoA1이라 칭함)를 상기 상대노드의 바인딩 캐시(Binding Cache)에 등록한다.
이후, 상기 이동 호스트가 새로운 위치로 이동하면, 상기 이동 호스트는 상기 이동 IPv6의 주소자기구성(Address auto-configuration) 방식을 이용하여 새로운 의탁 주소(이하, CoA2라 칭함)를 생성한다(303).
상기 새로운 의탁주소(CoA2)를 생성한 후, 상기 이동 호스트는 상기 상대노드와 통신을 유지하기 위해 상기 새로운 의탁주소를 상기 상대노드로 전송하여 새로운 바인딩 엔트리(Binding Entry)를 생성한다(305). 여기서, 상기 바인딩 엔트리는, 도 6a에 도시된 바와 같이 상기 이동 호스트의 원래 주소인 홈주소(HoA : Home Address)(601), 상기 이동 호스트의 임시주소인 의탁 주소(CoA : Care of Address)(603), 바인딩의 유효시간을 나타내는 유효시간(life time)(605), 해당 바인딩 갱신 메시지의 번호를 나타내는 최대 순서 번호(Maximum Sequence Number)(607) 및 본 발명에 따라 바인딩 엔트리의 사용 유무를 나타내는 사용 판단(Used)필드(609)로 구성된다. 상기 사용 판단 필드(609)는, 상기 유효시간(605)이 0이되고, 바인딩 인증 관리 키생성을 위해 사용된 난수가 아직 유효한 경우, 1로 설정하여 상기 바인딩 엔트리가 사용되었음을 나타낸다.
이때, 공격자가 상기 이동호스트의 이전 위치에서 상기 이동호스트의 CoA1과 홈주소를 이용하여 상기 상대노드에 재전송 공격을 시도하는 경우(307), 즉, 상기 공격자가 상기 CoA1과 홈주소를 이용하여 상기 상대노드로 바인딩을 요청하면, 상기 상대노드는 바인딩 캐쉬(Binding Cache)에 상기 홈주소에 해당하는 바인딩 엔트리가 있는지 확인한다.
상기 홈주소에 해당하는 바인딩 엔트리가 존재하면, 상기 상대 노드는 해당 바인딩 엔트리의 의탁 주소가 상기 CoA1과 동일한지 확인한다. 이후, 상기 공격자의 바인딩 갱신 요청에 포함된 홈주소 및 CoA1과 동일한 바인딩 엔트리가 존재하면, 상기 상대 노드는 상기 바인딩 엔트리의 사용 판단 필드(609)의 값이 1인지 확인한다(309).
만일, 상기 사용 판단 필드(609)의 값이 1이면, 즉, 상기 바인딩 엔트리가 기존에 사용된 것으로 인식한다. 따라서, 상기 바인딩 엔트리가 상기 공격자로부터 재전송 공격을 받을 가능성이 있으므로 상기 이동 호스트에 인증과정을 다시 시행하라는 지시 메시지를 전송한다(311). 여기서, 상기 이동 호스트의 인증 과정을 다시 시행할 것을 지시하는 메시지는, 도 6b에 도시된 바와 같이 모빌리티 헤더(Mobility Header) 뒤에 오는 IPv6헤더의 타입을 나타내는 패이로드 프로토(Payload Proto)필드(621), 8비트의 부호를 표시안하는 정수(8bit unsigned integer)로서 상기 모빌리티 헤더(Mobility Header)의 길이를 나타내는 헤더 길이(Header Len)필드(623), 상기 모빌리티 메시지(Mobility Message)를 구분하는데 사용되는 MH 타입(Mobility Header Type)(625)필드, 및 8비트 필드로 다음 사용자들을 위해서 예약된 영역으로 사용되는 Reserved 필드(627, 633), 16비트의 부호를 표시 안하는 정수(16bit unsigned integer)로서 상기 모빌리티 헤더(Mobility Header)의 에러 발생을 확인하기 위한 체크섬(Checksum)필드(629)로 구성된다. 또한 본 발명에서 새로이 인증 과정을 시작할 것을 지시하기 위해, 상기 MH타입(625)필드를 10으로 설정하고 상태(Status)필드(631)를 추가한다. 상기 상태필드(631)는 8비트의 부호를 표시 안하는 정수(8bit unsigned integer)로서 공격 가능성에 대한 정보를 알려주는데 사용된다. 예를 들어, 상기 상태필드(631)가 3으로 설정되면, 재전송 공격 가능성이 있으므로 바인딩 갱신을 요청한다. 즉, 새로운 난수를 생성하여 새로이 인증과정을 수행할 것을 지시한다.
도 4는 본 발명의 실시 예에 따른 재전송 공격을 방지하기 위한 이동 호스트 의 동작절차를 도시하고 있다.
상기 도 4를 참조하면, 상기 이동 호스트가 401단계에서 상대 노드와 통신을 위하여 상기 상대 노드에 바인딩 갱신을 수행한다. 상기 바인딩 갱신 시, 상기 이동 호스트가 속한 네트워크의 의탁주소(이하, CoA1이라 칭함)를 상기 상대노드의 바인딩 캐시(Binding Cache)에 등록한다.
만일, 상기 이동호스트가 다른 위치로 이동하면, 상기 이동호스트는 403단계로 진행하여 이동 IPv6의 주소자기구성(Address auto-configuration) 방식을 이용하여 새로운 의탁 주소(이하, CoA2라 칭함)를 생성한다. 이후, 상기 이동호스트는 405단계로 진행하여 상기 CoA2를 상기 상대 노드에 전송한다. 여기서, 상기 CoA2를 수신받은 상기 상대 노드는 새로운 바인딩 엔트리를 생성한다. 또한, 상기 상대 노드는 상기 기존 의탁 주소에 의해 생성된 바인딩 엔트리가 재전송 공격을 받을 위험이 있으므로 상기 기존 의탁 주소에 의해 생성된 바인딩 엔트리가 사용되었음을 표시한다.
이후, 상기 이동 호스트는 407단계로 진행하여, 상기 상대 노드로부터 인증 시작 지시 메시지가 수신되는지 확인한다. 여기서 상기 인증 시작 지시 메시지는, 공격자로부터 재전송 공격이 우려되므로 새로이 인증을 시작하라는 지시 메시지이다.
만일, 상기 인증 시작 지시 메시지가 수신되지 않으면, 상기 이동 호스트는 411단계로 진행하여 현재 사용되는 바인딩 엔트리를 유지하며, 상기 이동 호스트는 본 알고리즘을 종료한다.
한편, 상기 상대 노드로부터 인증 시작 지시 메시지를 수신하면, 상기 이동 호스트는 409단계로 진행하여 새로이 상기 이동 호스트의 인증을 수행한 후, 상기 이동 호스트는 본 알고리즘을 종료한다.
도 5는 본 발명의 실시 예에 따른 재전송 공격을 방지하기 위한 상대 노드의 동작절차를 도시하고 있다.
상기 도 5를 참조하면, 상기 상대 노드는 501단계에서 이동 호스트의 바인딩 유효시간(life time)이 다 지나 0의 값을 갖으며, 상기 이동호스트의 이전 바인딩 관리 키 생성을 위해 사용되었던 난수(nonce)가 사용가능(Valid)한지 확인한다. 상기 두 가지 조건(유효시간 = 0, 난수 사용가능)을 만족하지 못하면, 상기 상대 노드는 507단계로 진행하여, 상기 유효시간이 0이 아니고, 상기 난수가 사용가능한지 확인한다.
만일, 상기 유효시간이 0이 아니고, 상기 난수가 사용가능하면, 상기 상대 노드는 509단계로 진행하여 현재 바인딩 엔트리를 유지한다. 한편, 상기 난수가 사용 불가능하면, 상기 상대 노드는 본 알고리즘을 종료한다.
상기 유효시간이 0이고 상기 난수가 사용 가능하다는 조건을 만족하면, 상기 상대 노드는 503단계로 진행하여 바인딩 엔트리가 사용되었는지 유무를 판단하는 사용 판단(Used)필드(609)를 1로 설정한다.
이후, 상기 상대노드는 505단계로 진행하여 상기 이동 호스트 또는 공격자로부터 바인딩 갱신 요청이 있는지 확인한다. 만일, 상기 이동 호스트 또는 공격자로부터 바인딩 갱신 요청이 없으면, 상기 상대 노드는 상기 509단계로 진행하여 현재 바인딩 엔트리를 유지하며, 상기 상대 노드는 본 알고리즘을 종료한다.
한편, 상기 이동 호스트 또는 공격자로부터 바인딩 갱신 요청이 있으면, 상기 상대 노드는 511단계로 진행하여 상기 상대 노드의 바인딩 캐시에 존재하는 바인딩 엔트리 중 상기 바인딩 갱신 요청에 포함된 홈주소 및 의탁 주소와 동일한 홈주소와 의탁주소를 갖는 바인딩 엔트리가 있는지 확인한다.
만일, 상기 바인딩 갱신 요청에 포함된 홈주소 및 의탁 주소와 동일한 홈주소와 의탁 주소를 갖는 바인딩 엔트리가 존재하지 않으면, 상기 상대노드는 517단계로 진행하여 상기 바인딩 갱신 요청에 포함된 홈주소와 의탁주소에 따라 새로운 바인딩 엔트리를 생성한다.
한편, 상기 바인딩 갱신 요청에 포함된 홈주소 및 의탁 주소와 동일한 홈주소와 의탁 주소를 갖는 바인딩 엔트리가 존재하면, 상기 상대노드는 513단계로 진행하여 상기 일치하는 바인딩 엔트리의 사용 판단(Used)필드(609)가 1인지 확인한다. 상기 바인딩 엔트리의 사용 판단 필드(609)가 1이 아니면, 즉 0이면, 상기 상대노드는 상기 517단계로 진행하여 상기 바인딩 갱신 요청에 포함된 홈주소와 의탁주소에 따라 새로운 바인딩 엔트리를 생성한 후, 상기 상대 노드는 본 알고리즘을 종료한다.
만일, 상기 사용 판단 필드(609)가 1이면, 상기 상대노드는 515단계로 진행하여 이동 호스트에게 공격자의 재전송 공격 가능성이 있으므로 새로이 인증을 시작하도록 지시하는 메시지를 전송한다. 이후, 상기 상대노드는 본 알고리즘을 종료한다.
한편 본 발명의 상세한 설명에서는 구체적인 실시 예에 관해 설명하였으나, 본 발명의 범위에서 벗어나지 않는 한도 내에서 여러 가지 변형이 가능함은 물론이다. 그러므로 본 발명의 범위는 설명된 실시 예에 국한되어 정해져서는 아니 되며 후술하는 특허청구의 범위뿐만 아니라 이 특허청구의 범위와 균등한 것들에 의해 정해져야 한다.
상술한 바와 같이, 이동 IPv6(Mobile IPv6) 환경 하에서 핸드 오프시 공격자가 이동 호스트의 홈주소(Home Address)와 이동하기 전 의탁주소(Care of Address )를 이용하여 상기 재전송 공격하는 것을 사용 판단(Used)필드를 바인딩 캐시에 추가하여 한번 사용된 바인딩 엔트리로부터 바이딩 요청이 있는 경우, 상기 이동 호스트에 새로이 인증을 시도하라는 지시 메시지를 전송하여 상기 공격자로부터 재전송 공격을 방지할 수 있는 이점이 있다.

Claims (20)

  1. 이동 IPv6 환경 하에서 재전송 공격(replay attack)을 방지하기 위한 상대 노드의 동작 방법에 있어서,
    이동 호스트의 바인딩 유효시간(Binding life time)이 0이고, 상기 이동 호스트의 바인딩 관리 키 생성을 위해 사용한 난수(nonce)가 사용가능한 경우, 상기 이동 호스트의 바인딩 엔트리(Binding entry)가 사용되었음을 나타내도록 상기 바인딩 엔트리의 사용 판단(Used)필드를 설정하는 과정과,
    바인딩 갱신 요청 신호가 수신되는 경우, 바인딩 캐시(Binding Cache)에 포함된 바인딩 엔트리들 중 상기 바인딩 갱신 요청 신호에 포함된 홈주소(Home Address) 및 의탁주소(Care of Address)와 동일한 홈주소와 의탁 주소를 포함하는 바인딩 엔트리를 검색하는 과정과,
    상기 동일한 홈주소와 의탁 주소를 포함하는 바인딩 엔트리가 존재할 경우, 상기 바인딩 엔트리의 사용 판단 필드를 확인하는 과정과,
    상기 사용 판단 필드의 설정 값에 따라 바인딩 엔트리가 이전에 사용된 경우, 상기 이동 호스트로 인증 지시 메시지를 전송하는 과정을 포함하는 것을 특징으로 하는 방법.
  2. 제 1항에 있어서,
    상기 동일한 홈주소와 의탁 주소를 포함하는 바인딩 엔트리가 존재하지 않는 경우, 상기 바인딩 갱신 요청 신호에 따른 바인딩 엔트리를 생성하는 과정을 더 포함하는 것을 특징으로 하는 방법.
  3. 제 1항에 있어서,
    상기 사용 판단 필드의 설정 값에 따라 바인딩 엔트리가 이전에 사용되지 않은 경우, 상기 바인딩 갱신 요청 신호에 따른 바인딩 엔트리를 생성하는 과정을 더 포함하는 것을 특징으로 하는 방법.
  4. 제 1항에 있어서,
    상기 사용 판단(Used)필드는, 상기 사용 판단 필드를 포함하는 바인딩 엔트리에서 홈주소와 의탁주소가 사용되었는지를 나타내는 필드인 것을 특징으로 하는 방법.
  5. 제 1항에 있어서,
    상기 인증 지시 메시지는, 재전송 공격 가능성이 있으므로 새로이 인증을 시작할 것을 지시하는 상태(Status)필드를 포함하는 것을 특징으로 하는 방법.
  6. 제 5항에 있어서,
    상기 상태 필드는, 상기 재전송 공격 가능성에 대한 정보를 포함하는 것을 특징으로 하는 방법.
  7. 삭제
  8. 이동 IPv6 환경 하에서 재전송 공격을 방지하기 위한 방법에 있어서,
    이동 호스트는 핸드 오프하여 생성한 의탁 주소(Care of Address)를 상대 노드(Correspondent Node)에게 전송하는 과정과,
    상기 상대 노드는 상기 이동 호스트로부터 제공받은 상기 의탁 주소를 이용하여 바인딩 엔트리(Binding Entry)를 생성하는 과정과,
    상기 상대노드는 바인딩(Binding) 요청 신호가 수신되면 바인딩 캐시(Binding Cache)에 포함된 바인딩 엔트리(Binding Entry)들 중 상기 바인딩 갱신 요청 신호에 포함된 홈주소(Home Address) 및 의탁주소와 동일한 홈주소와 의탁주소를 포함하는 바인딩 엔트리가 존재하는지 확인하는 과정과,
    상기 동일한 홈주소와 의탁주소를 포함하는 바인딩 엔트리가 존재할 경우, 상기 상대 노드는 상기 바인딩 엔트리의 사용 판단 필드값을 확인하는 과정과,
    상기 사용 판단 필드의 설정 값에 따라 바인딩 엔트리가 이전에 사용된 경우, 상기 상대 노드는 상기 이동 호스트로 인증 지시 메시지를 전송하는 과정을 포함하는 것을 특징으로 하는 방법.
  9. 제 8항에 있어서,
    상기 동일한 홈주소와 의탁주소를 포함하는 바인딩 엔트리가 존재하지 않는 경우, 상기 상대노드는 상기 바인딩 갱신 요청에 포함된 홈주소와 의탁주소에 따라 바인딩 엔트리를 생성하는 과정을 더 포함하는 것을 특징으로 하는 방법.
  10. 제 8항에 있어서,
    상기 사용 판단(Used)필드는, 상기 사용 판단 필드를 포함하는 바인딩 엔트리에서 홈주소와 의탁주소가 사용되었는지를 확인하는 필드인 것을 특징으로 하는 방법.
  11. 제 8항에 있어서,
    상기 인증 지시 메시지는, 재전송 공격 가능성이 있으므로 새로이 인증을 시작할 것을 지시하는 상태(Status)필드를 포함하는 것을 특징으로 하는 방법.
  12. 제 11항에 있어서,
    상기 상태 필드는, 상기 재전송 공격 가능성에 대한 정보를 포함하는 것을 특징으로 하는 방법.
  13. 이동 인터넷 통신 시스템에서 재전송 공격(replay attack)을 방지하기 위한 상대 노드의 동작 방법에 있어서,
    이동 호스트의 바인딩 유효시간(Binding life time)이 0이고, 상기 이동 호스트의 바인딩 관리 키 생성을 위해 사용한 난수(nonce)가 사용가능한 경우, 상기 이동 호스트의 바인딩 엔트리(Binding entry)가 사용되었음을 나타내도록 상기 바인딩 엔트리의 사용 판단(Used)필드를 설정하는 과정과,
    바인딩 갱신 요청 신호가 수신되는 경우, 바인딩 캐시(Binding Cache)에 포함된 바인딩 엔트리들 중 상기 바인딩 갱신 요청 신호에 포함된 홈주소(Home Address) 및 의탁주소(Care of Address)와 동일한 홈주소와 의탁 주소를 포함하는 바인딩 엔트리를 검색하는 과정과,
    상기 동일한 홈주소와 의탁 주소를 포함하는 바인딩 엔트리가 존재할 경우, 상기 바인딩 엔트리의 사용 판단 필드를 확인하는 과정과,
    상기 사용 판단 필드의 설정 값에 따라 바인딩 엔트리가 이전에 사용된 경우, 상기 이동 호스트로 인증 지시 메시지를 전송하는 과정을 포함하는 것을 특징으로 하는 방법.
  14. 제 13항에 있어서,
    상기 동일한 홈주소와 의탁 주소를 포함하는 바인딩 엔트리가 존재하지 않는 경우, 상기 바인딩 갱신 요청 신호에 따른 바인딩 엔트리를 생성하는 과정을 더 포함하는 것을 특징으로 하는 방법.
  15. 제 13항에 있어서,
    상기 사용 판단 필드의 설정 값에 따라 바인딩 엔트리가 이전에 사용되지 않은 경우, 상기 바인딩 갱신 요청 신호에 따른 바인딩 엔트리를 생성하는 과정을 더 포함하는 것을 특징으로 하는 방법.
  16. 제 13항에 있어서,
    상기 인증 지시 메시지는, 재전송 공격 가능성이 있으므로 새로이 인증을 시작할 것을 지시하는 상태(Status)필드를 포함하는 것을 특징으로 하는 방법.
  17. 삭제
  18. 이동 인터넷 시스템에서 재전송 공격을 방지하기 위한 방법에 있어서,
    이동 호스트는 핸드 오프하여 생성한 의탁 주소(Care of Address)를 상대 노드(Correspondent Node)에게 전송하는 과정과,
    상기 상대 노드는 상기 이동 호스트로부터 제공받은 상기 의탁 주소를 이용하여 바인딩 엔트리(Binding Entry)를 생성하는 과정과,
    상기 상대노드는 바인딩(Binding) 요청 신호가 수신되면 바인딩 캐시(Binding Cache)에 포함된 바인딩 엔트리(Binding Entry)들 중 상기 바인딩 갱신 요청 신호에 포함된 홈주소(Home Address) 및 의탁주소와 동일한 홈주소와 의탁주소를 포함하는 바인딩 엔트리가 존재하는지 확인하는 과정과,
    상기 동일한 홈주소와 의탁주소를 포함하는 바인딩 엔트리가 존재할 경우, 상기 상대 노드는 상기 바인딩 엔트리의 사용 판단 필드값을 확인하는 과정과,
    상기 사용 판단 필드의 설정 값에 따라 바인딩 엔트리가 이전에 사용된 경우, 상기 상대 노드는 상기 이동 호스트로 인증 지시 메시지를 전송하는 과정을 포함하는 것을 특징으로 하는 방법.
  19. 제 18항에 있어서,
    상기 사용 판단(Used)필드는, 상기 사용 판단 필드를 포함하는 바인딩 엔트리에서 홈주소와 의탁주소가 사용되었는지를 확인하는 필드인 것을 특징으로 하는 방법.
  20. 제 18항에 있어서,
    상기 인증 지시 메시지는, 재전송 공격 가능성이 있으므로 새로이 인증을 시작할 것을 지시하는 상태 필드를 포함하는 것을 특징으로 하는 방법.
KR1020050040343A 2005-05-13 2005-05-13 이동 아이피 버전 6에서 재전송 공격을 방지하기 위한 방법 KR100848541B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020050040343A KR100848541B1 (ko) 2005-05-13 2005-05-13 이동 아이피 버전 6에서 재전송 공격을 방지하기 위한 방법
US11/433,680 US7764949B2 (en) 2005-05-13 2006-05-12 Method of preventing replay attack in mobile IPv6

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020050040343A KR100848541B1 (ko) 2005-05-13 2005-05-13 이동 아이피 버전 6에서 재전송 공격을 방지하기 위한 방법

Publications (2)

Publication Number Publication Date
KR20060117798A KR20060117798A (ko) 2006-11-17
KR100848541B1 true KR100848541B1 (ko) 2008-07-25

Family

ID=37420709

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050040343A KR100848541B1 (ko) 2005-05-13 2005-05-13 이동 아이피 버전 6에서 재전송 공격을 방지하기 위한 방법

Country Status (2)

Country Link
US (1) US7764949B2 (ko)
KR (1) KR100848541B1 (ko)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8145908B1 (en) 2004-10-29 2012-03-27 Akamai Technologies, Inc. Web content defacement protection system
US20100296481A1 (en) * 2006-10-20 2010-11-25 Panasonic Corporation Methods in mixed network- and host-based mobility management
US7937747B2 (en) * 2007-03-27 2011-05-03 Panasonic Corporation Privacy protection for mobile internet protocol sessions
KR100917601B1 (ko) * 2007-07-03 2009-09-17 한국전자통신연구원 인증 재전송 공격 방지 방법 및 인증 시스템
US8392709B1 (en) 2009-04-28 2013-03-05 Adobe Systems Incorporated System and method for a single request—single response protocol with mutual replay attack protection
KR101048510B1 (ko) * 2009-05-06 2011-07-11 부산대학교 산학협력단 지그비 무선 통신 프로토콜상에서의 보안성 강화 방법 및 장치
US8509244B2 (en) * 2009-08-14 2013-08-13 Telefonaktiebolaget L M Ericsson (Publ) Method and apparatus for providing host node awareness for multiple NAT64 environments
US8509185B2 (en) 2010-02-26 2013-08-13 Telefonaktiebolaget Lm Ericsson Enabling IPV6 mobility with NAT64
US8504722B2 (en) 2010-06-14 2013-08-06 Telefonaktiebolaget Lm Ericsson Enhancing DS-lite with private IPV4 reachability
US9171162B2 (en) 2011-03-29 2015-10-27 Microsoft Technology Licensing, Llc Random file request for software attestation
CN103179460B (zh) * 2013-03-05 2016-06-01 福建凯米网络科技有限公司 移动终端对数字视听终端绑定方法、绑定控制方法及***
US9531704B2 (en) 2013-06-25 2016-12-27 Google Inc. Efficient network layer for IPv6 protocol
US9191209B2 (en) 2013-06-25 2015-11-17 Google Inc. Efficient communication for devices of a home network
WO2015161521A1 (zh) * 2014-04-26 2015-10-29 华为技术有限公司 一种建立通信方法、设备及***
CN110161873B (zh) * 2019-06-12 2022-11-18 东屋世安物联科技(江苏)股份有限公司 一种智能家居传感器低功耗数据安全传输的方法和***

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010022410A (ko) * 1997-08-01 2001-03-15 밀러 럿셀 비 무선통신에서의 재사용 침입 방지 시스템 및 방법
KR20030018266A (ko) * 2001-08-27 2003-03-06 한국전자통신연구원 이동 아이피 망에서 챌린지를 이용한 메시지 재사용에의한 공격방지 방법
KR20030038915A (ko) * 2001-11-07 2003-05-17 삼성전자주식회사 무선 통신시스템에서 이동 단말기와 홈에이전트간의인증을 위한 방법
US20040236937A1 (en) 2003-05-20 2004-11-25 Nokia Corporation Providing privacy to nodes using mobile IPv6 with route optimization
US20050079869A1 (en) 2003-10-13 2005-04-14 Nortel Networks Limited Mobile node authentication

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5148479A (en) * 1991-03-20 1992-09-15 International Business Machines Corp. Authentication protocols in communication networks
JP3641128B2 (ja) * 1998-02-20 2005-04-20 株式会社東芝 移動計算機装置、移動計算機管理装置、移動計算機管理方法及び通信制御方法
US6769000B1 (en) * 1999-09-08 2004-07-27 Nortel Networks Limited Unified directory services architecture for an IP mobility architecture framework
US6353891B1 (en) * 2000-03-20 2002-03-05 3Com Corporation Control channel security for realm specific internet protocol
US6992995B2 (en) * 2000-04-17 2006-01-31 Telcordia Technologies, Inc. Telecommunication enhanced mobile IP architecture for intra-domain mobility
US6954790B2 (en) * 2000-12-05 2005-10-11 Interactive People Unplugged Ab Network-based mobile workgroup system
US7116668B2 (en) * 2001-10-09 2006-10-03 Telefunaktiebolaget Lm Ericsson (Publ) Method for time stamp-based replay protection and PDSN synchronization at a PCF
US7561553B2 (en) * 2002-02-27 2009-07-14 Motorola, Inc. Method and apparatus for providing IP mobility for mobile networks and detachable mobile network nodes
CN1666190B (zh) * 2002-06-28 2010-04-28 诺基亚有限公司 向归属代理注册移动节点的归属地址的方法
AU2003240171A1 (en) * 2002-07-15 2004-02-02 Nokia Corporation An ipv6 address ownership authentification based on zero-knowledge identification protocols or based on one time password
US6865184B2 (en) * 2003-03-10 2005-03-08 Cisco Technology, Inc. Arrangement for traversing an IPv4 network by IPv6 mobile nodes
US7545766B1 (en) * 2003-05-16 2009-06-09 Nortel Networks Limited Method for mobile node-foreign agent challenge optimization

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010022410A (ko) * 1997-08-01 2001-03-15 밀러 럿셀 비 무선통신에서의 재사용 침입 방지 시스템 및 방법
KR20030018266A (ko) * 2001-08-27 2003-03-06 한국전자통신연구원 이동 아이피 망에서 챌린지를 이용한 메시지 재사용에의한 공격방지 방법
KR20030038915A (ko) * 2001-11-07 2003-05-17 삼성전자주식회사 무선 통신시스템에서 이동 단말기와 홈에이전트간의인증을 위한 방법
US20040236937A1 (en) 2003-05-20 2004-11-25 Nokia Corporation Providing privacy to nodes using mobile IPv6 with route optimization
US20050079869A1 (en) 2003-10-13 2005-04-14 Nortel Networks Limited Mobile node authentication

Also Published As

Publication number Publication date
KR20060117798A (ko) 2006-11-17
US7764949B2 (en) 2010-07-27
US20060259969A1 (en) 2006-11-16

Similar Documents

Publication Publication Date Title
KR100848541B1 (ko) 이동 아이피 버전 6에서 재전송 공격을 방지하기 위한 방법
AU2010200993B2 (en) Methods and apparatus for the utilization of core based nodes for state transfer
US7656840B2 (en) Method of reducing denial-of-service attacks and a system as well as an access router therefor
US8413243B2 (en) Method and apparatus for use in a communications network
EP1841260A2 (en) Wireless terminal and authentication device
US7130286B2 (en) System and method for resource authorizations during handovers
US20030220107A1 (en) Key updates in a mobile wireless system
JP2002520708A (ja) テレコミュニケーションネットワークにおける認証
US20100208706A1 (en) Network node and mobile terminal
KR100965676B1 (ko) 프락시 모바일 아이피를 지원하는 이동통신 시스템에서 이동 노드의 핸드오프 방법 및 시스템
EP2151142B1 (en) Methods and apparatus for sending data packets to and from mobile nodes
CN103906162A (zh) 独立于介质的预验证改进的框架
US8151325B1 (en) Optimizing device authentication by discovering internet protocol version authorizations
US20090239534A1 (en) Apparatus and a system for registering profile information of a terminal
JPWO2008087999A1 (ja) 通信方法、通信システム、移動通信装置及び相手先通信装置
KR101588646B1 (ko) 무선통신시스템의 인증 방법 및 시스템
KR100519915B1 (ko) 동기식 이동 통신망에서의 패킷 데이터 서빙 노드간의핸드오프 방법
US20090185525A1 (en) Network system, data transmitting/receiving method and data transmission/reception program
US20080240041A1 (en) Method and system of reducing handover time in mobile IP network
KR20090075351A (ko) 이동 아이피 네트워크의 핸드오버 인증 방법 및 시스템
KR20060117808A (ko) 모바일 인터넷 프로토콜 기반의 네트워크에서 반사 공격방지 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130627

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20140627

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20150629

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20160629

Year of fee payment: 9

LAPS Lapse due to unpaid annual fee