KR20070062340A - Dstm 통신망에서의 인증 시스템 및 그 방법 - Google Patents

Dstm 통신망에서의 인증 시스템 및 그 방법 Download PDF

Info

Publication number
KR20070062340A
KR20070062340A KR1020050122161A KR20050122161A KR20070062340A KR 20070062340 A KR20070062340 A KR 20070062340A KR 1020050122161 A KR1020050122161 A KR 1020050122161A KR 20050122161 A KR20050122161 A KR 20050122161A KR 20070062340 A KR20070062340 A KR 20070062340A
Authority
KR
South Korea
Prior art keywords
dstm
authentication
image file
node
server
Prior art date
Application number
KR1020050122161A
Other languages
English (en)
Other versions
KR100738535B1 (ko
Inventor
정수환
김영한
최재덕
권택정
김선기
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Priority to KR1020050122161A priority Critical patent/KR100738535B1/ko
Priority to US11/598,139 priority patent/US20070136601A1/en
Priority to CNA2006101637101A priority patent/CN1984146A/zh
Publication of KR20070062340A publication Critical patent/KR20070062340A/ko
Application granted granted Critical
Publication of KR100738535B1 publication Critical patent/KR100738535B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 IPv4 및 IPv6 주소 전환 기술인 DSTM(Dual Stack Transition Mechanism) 통신망에서 DSTM 서버의 인증을 통한 IPv4 주소 할당에 관한 것으로서, DSTM 통신망에 있는 DSTM 노드와 DSTM 서버간에 IPv4 주소 할당시 수행하는 인증 시스템 및 그 방법에 관한 것이다. 본 발명에 따르면, DSTM노드에서 IPv4주소 할당 요구시 DSTM 서버에서 DSTM 노드를 인증 한 후 IPv4 주소를 할당하기 때문에 DoS 공격을 통한 DSTM 서버의 IPv4 pool 주소 고갈 문제를 해결 할 수 있어 IPv4 및 IPv6 전환 과정에서 문제가 되었던 보안에 대한 해결책을 제시하고 있다.

Description

DSTM 통신망에서의 인증 시스템 및 그 방법{AUTHENTICATION SYSTEM IN DSTM COMMUNICATION NETWORK AND METHOD USING THE SAME}
도 1은 종래 기술에 따른 DSTM 통신망 내에서 DSTM 노드 (IPv6 노드) 공격자에 의해 DSTM 서버의 IPv4 주소 pool이 고갈되는 문제를 나타낸 도면.
도 2는 본 발명에 따른 DSTM 노드와 DSTM 서버 사이에서 Human Recognition 인증 방법을 나타낸 동작 플로우차트.
도 3은 본 발명에 따른 DSTM 서버에 존재하는 challenge DB의 필드 및 그 필드값을 보여주는 도면.
도 4는 본 발명에 따른 DSTM 서버에서 DSTM 노드에게 전송할 새로운 challenge data를 생성하는 과정을 나타낸 도면.
도 5는 본 발명에 따른 DHCPv6의 인증 옵션 메시지를 나타내고, algorithm 필드와 authentication-information 필드의 값의 일예를 나타낸 도면.
도 6은 본 발명에 따른 DSTM 노드에서 사용자의 입력 실시예를 나타낸 도면.
도 7은 본 발명에 따른 DSTM 서버에서 DSTM 노드에게 IPv4 주소를 할당하기 위해 수행되는 과정을 나타낸 도면.
도 8은 본 발명에 따른 Human Recognition 인증 방법을 수행하는 전체 시스 템의 실시예를 나타낸 도면.
본 발명은 IPv4 및 IPv6 주소 변환 기술에 관한 것으로서, 특히 DSTM(Dual Stack Transition Mechanism) 통신망에 있는 DSTM 노드와 DSTM 서버간에 IPv4 주소 할당시 DSTM 노드의 인증 시스템 및 그 방법에 관한 것이다.
현재 인터넷을 기반으로 하여 널리 보급되어 사용되고 있는 네트워크 프로토콜은 IP(Internet Protocol)라고 하는 인터넷 프로토콜이다. IP 프로토콜은 여러 차례의 설계 변경을 통하여 발전되어 왔으며, 현재 인터넷을 통하여 널리 사용되고 있는 버전은 IPv4(Internet Protocol, version 4)이다. IPv4는 비교적 간단하면서도 유연하게 설계되었다는 장점이 있는 반면, 사용 가능한 IP 주소의 부족, IP 패킷 라우팅 처리의 비효율성, IP 노드가 동작하도록 하는데 필요한 각종 설정 과정의 복잡성 등과 같은 단점들이 있다.
따라서 이러한 결점들을 보완하기 위해 'IPng (Internetworking Protocol, next generation)'라고 알려진 IPv6 (Internet Protocol, version 6)가 제안되었고 현재 표준이 되었다. 이로 인해 최근 IPv6를 지원하는 네트워크 장치의 수가 증가하였고, 이에 따라 IPv6 망이 크게 확산되고 있다. 그러나 아직 대부분의 네트워크 장치는 기존의 IPv4 망에서 사용되는 것이 대다수이다. 따라서 IPv6 망과 IPv4 망 간의 연동이 필요하고, 이를 위해서 IP 주소의 상호 변환이 필요하다. 즉, IPv6 망에 연결된 노드들과 IPv4 망에 연결된 노드들이 상호 연동되어 통신하기 위해서는 IPv6 주소와 IPv4 주소를 상호 변환하는 주소 변환기가 필요하다.
현재 IETF (Internet Engineering Task Force)에서 많은 변환기술이 표준화되고 있으며, 이 중에 DSTM (Dual Stack Transition Mechanism) 기술과 NAT-PT (Network Address Translation-Protocol Translation) 기술과 이 대두되고 있다. 본 발명은 상기 기술들 중 'DSTM'에 관한 것이다.
DSTM은 IPv6 망에 위치하는 단말들이 IPv4와 IPv6의 두 가지 프로토콜 스택을 구현하고 있어서, 이 단말이 IPv6 노드와 접속하는 경우에는 IPv6 스택을 이용하고, IPv4 노드와 접속하는 경우에는 IPv4-in-IPv6 터널링 메커니즘을 이용해 IPv4 스택을 이용해 통신할 수 있도록 하기 위한 구조다. DSTM은 DSTM 서버, TEP (Tunnel End Point), 그리고 DSTM 노드 (IPv6 노드)로 구성되며, DSTM 노드가 IPv4 망에 있는 IPv4 노드와 접속하고자 하는 경우에는 자신이 터널을 설정하고자 하는 TEP의 IPv6 주소와 또한 자신이 임시로 사용하기 위한 전역 IPv4 주소를 DSTM 서버로부터 할당받는다. 이 DSTM 서버는 현재 IETF v6ops 워킹그룹에서 DHCPv6 서버가 그 역할을 할 것으로 논의가 진행되고 있다.
도 1은 종래에 DSTM 노드가 IPv4 노드와의 통신을 위한 IPv4 주소를 획득하는 과정 및 DSTM 노드 공격자에 의해 DSTM서버의 IPv4주소 Pool이 고갈되는 문제점을 나타내는 도면이다.
도 1에 도시된 바와 같이, IPv4망에 있는 IPv4 Host(130)와의 통신을 원하는 DSTM 노드(111)는 IPv4 주소를 얻기 위해서 DSTM 서버(110)로 주소 할당 요청 메시지를 보낸다. 주소 할당 요청을 받은 DSTM 서버(110)는 자신이 가지고 있는 IPv4 pool 주소 중에 하나를 선택하여 DSTM 노드(111)에게 응답하게 된다. 상기 과정에서 DSTM 서버(110)는 IPv4 주소 할당 요청에 대해서 별도의 인증 방법을 제공하지 않는다. 이때, 별도의 인증 과정 없이 주소를 할당할 경우, DSTM 노드(111)를 DSTM 공격자라고 가정할 경우 DSTM 노드(111)는 IPv6 소스 주소를 스푸핑하여 IPv4 주소 할당 요청 메시지를 DSTM 서버(110)에게 전송한다.
DSTM 서버(110)는 IPv4 주소 할당 요청 메시지에 대한 응답으로서 IPv4 주소 할당 응답 메시지를 상기 DSTM 노드(111)에게 전송한다. DSTM 서버(110)는 해당 IPv6 주소에 대한 IPv4 주소를 할당하여 자신의 IPv4 주소 매핑 테이블(113)에 해당 정보를 기록하고, DSTM 도메인의 경계 라우터인 TEP (Tunnel End Point)(120)에게 해당 매핑 정보를 전달한다. TEP는 전달받은 매핑정보를 매핑 테이블(121)에 저장한다. 이 때, IPv4 주소 할당 요청 응답 메시지를 받는 노드는 실제로 존재하지 않거나 할당 요청 메시지를 생성하지 않는 노드이다. 공격자는 IPv6 소스 주소를 계속적으로 변화시키면서 위의 과정을 반복함으로써 DSTM 서버(110)가 갖고 있는 IPv4 주소를 고갈시킬 수 있다.
이를 해결하기 위해서 IETF산하의 V6ops 워킹그룹에서는 DSTM 서버의 역할을 DHCP (또는 DHCPv6) 서버가 수행하는 것으로 고려하기 때문에 DSTM 서버에서 노드의 인증 방법은 DHCP 인증 방법을 사용한다. DHCPv6 인증 방법도 DHCP 인증 방법과 같다.
DHCP에서 사용되는 인증 방법은 크게 세 가지로 분류된다. 먼저, 노드의 MAC 주소를 이용한 인증 방법이다. MAC 인증 방법은 DHCP 통신망에서 DHCP 서비스를 이용할 단말이 자신의 MAC 주소를 DHCP 서버에 등록한다. 이 등록 과정은 DHCP 통신망의 관리자에 의해서 이루어진다. 등록된 MAC 주소는 DHCP 단말이 IPv4 주소 할당 요청 메시지를 보낼 때 인증 값으로 사용된다. 두 번째는 Delayed 인증 방법이다. 이 방법은 DHCP 단말과 서버 사이에 공유된 패스워드와, DHCP 서버에서 IPv4 주소 할당 요청 메시지에 대한 응답으로 DHCP 노드에게 메시지를 보낼 때 메시지 안에 포함된 값을 해쉬 알고리즘을 사용하여 DHCP 단말이 인증 값을 생성해서 보내는 방법이다. 마지막으로 인증서를 사용한 인증 방법이 있다.
그러나 상기에서 언급한 기존의 방법들은 인증 방법을 통해 IPv4 pool 주소 고갈 문제에 대해서는 해결 방법이 될 수 있지만, 단말이 이동하는 모바일 환경이나 다른 통신망에서 통신을 하고자 할 때 상기 인증 방법들은 DHCP 서버와 비밀 정보들을 공유해야 하는 추가적인 절차가 필요하기 때문에 통신망에 적용하기에는 매우 비효율적인 방법이다.
따라서, IPv6 인프라 구축에 있어서 반드시 거쳐야 할 IPv6/IPv4 변환 기술에서 기존의 기술을 사용할 경우 나타날 수 있는 문제점을 해결할 새로운 인증 방법이 필요하다.
본 발명은 상기와 같은 문제점을 해결하기 위해 안출된 것으로서, 본 발명의 목적은, DSTM 통신망에서 DoS 공격을 통한 DSTM 서버의 IPv4 주소 pool 고갈 문제를 해결하고, 실제 통신망에 적용 가능할 수 있도록 하는 DSTM 통신망에서 DSTM 노드의 인증 시스템 및 그 방법을 방법을 제공함에 있다.
또한 본 발명의 다른 목적은, DHCP 서버 및 DSTM 서버와 같이 IPv4 할당 서비스를 제공하는 망에서의 노드 인증 시스템 및 그 방법을 제공함에 있다.
상기한 목적을 달성하기 위한 본 발명에 따른 DSTM 통신망에서의 인증방법의 일 측면에 따르면, DSTM서버가 인증시 사용될 적어도 하나 이상의 이미지 파일들과 상기 이미지 파일에 대한 인증값들을 데이터베이스에 저장하는 단계; DSTM 서버가 주소할당을 요청한 DSTM 노드로 이미지 파일을 전송하는 단계; 상기 DSTM 노드의 사용자가 상기 수신된 이미지 파일을 통해 파악될 수 있는 인증값을 입력하는 경우, 상기 DSTM 노드가 상기 입력된 인증값 및 상기 이미지 파일을 DSTM 서버로 전송하는 단계; 상기 DSTM 서버는 상기 데이터베이스에 저장된 인증값 및 이미지 파일을 상기 DSTM 노드로부터 수신된 인증값 및 이미지 파일과 비교하여 인증을 수행하는 단계를 포함할 수 있다.
상기 인증 수행후, 상기 DSTM 서버가 상기 DSTM 노드에게 IP주소를 할당하는 단계를 더 포함한다.
상기 이미지 파일은 사람이 인식 가능한 텍스트로 표현될 수 있다.
상기 인증값은 상기 이미지 파일의 텍스트 내의 빈자리에 해당하는 값이거 나, 특정 질문에 대한 응답값이다.
상기 데이터베이스는 상기 이미지 파일에 대한 유효 시간값과 이미지파일에 대한 체크섬(checksum)을 더 저장한다.
상기 DSTM서버에서 수신된 이미지 파일에 대한 체크섬을 계산하여 저장된 체크섬과 비교하는 단계를 더 포함한다.
한편, 본 발명에 따른 DSTM서버와 DSTM노드를 포함하는 DSTM 통신망의 인증 시스템의 일 측면에 따르면, 인증에 사용될 이미지 파일과 상기 이미지 파일을 통해 예상되는 인증값을 데이터베이스에 저장한 후, 상기 이미지 파일을 상기 DSTM노드로 전송한 후, 상기 DSTM노드로부터 수신되는 정보를 통해 DSTM노드의 인증을 수행하는 DSTM서버; 상기 DSTM서버로부터 수신된 이미지 파일에 대해서 사용자가 입력한 값을 상기 이미지 파일과 같이 상기 DSTM서버로 전송하는 DSTM 노드를 포함할 수 있다.
이하, 본 발명에 따른 바람직한 실시예를 첨부한 도면을 참조하여 상세하게 살펴보기로 하자. 이때, 본 발명에서 제시하는 인증 시스템 및 그 방법은 DSTM 노드를 인증하기 위해서 인증 요청에 대한 응답으로 시스템의 자동화된 기법 대신 사람이 인식할 수 있는 인증메시지에 대한 응답과정을 통해서 인증을 수행하는 시스템 및 방법이다.
도 2는 본 발명에 따른 DSTM 노드와 DSTM 서버 사이에서 Human Recognition 인증 방법을 나타낸 동작 플로우차트이고, 도 3은 본 발명에 따른 DSTM 서버에 존 재하는 challenge DB의 필드 및 그 필드값을 보여주는 도면이다.
발명의 구성에서 설명되는 challenge DB와 challenge data는 본 발명의 실시예에 사용되는 DB와 인증 메시지 데이터에 대한 명칭으로 사용되었다.
도 2에 도시된 바와 같이, DSTM 노드(202)는 IPv4 도메인의 노드와 통신하기 위해 필요한 IPv4 주소를 DSTM 서버(203)에게 요청한다(S201).
DSTM 서버(203)는 IP 할당 요청이 들어오면 도 3과 같이 challenge DB에서 임의의 데이터를 선택한 후 이를 DSTM 노드(202)에게 전송한다(S202).
전송받은 challenge data내에 포함된 정보에 알맞은 인증값을 사용자(201)가 입력하며 DSTM 노드(202)가 challenge data 응답 메시지를 DSTM 서버(203)로 전송한다(S203).
상기 challenge data 응답 메시지를 수신한 DSTM서버(203)는 수신 메시지와 challenge DB의 데이터와의 동일 여부를 판단한 후, IPv4주소에 대한 매핑 정보를 DSTM TEP(204)로 전송한다(S204).
이후 DSTM서버(203)는 DSTM 노드(202)에게 IPv4주소를 할당한다(S205).
도 3의 Challenge DB의 데이터는 challenge data (이미지 파일), expected response data(인증값), invalid time(유효 시간값), 그리고 challenge data에 대한 checksum 값으로 구성된다.
Challenge data는 DSTM 서버가 DSTM 노드에게 인증을 요청할 때 사용되는 값으로 사람이 인식할 수 있는 텍스트 문구가 나타난 이미지 파일이어야 한다. Expected response data는 DSTM 노드가 사용자로부터 입력을 받아 DSTM 서버에게 전송하는 인증값으로 사용되는 정보이고, invalid time은 challenge data가 중복으로 사용되는 것을 방지하기 위해 사용되는 값으로 임의의 challenge data가 선택되면 그 선택된 값의 invalid time은 86400초로 설정되고 DSTM 노드로부터 받은 challenge에 대한 응답이 정상적으로 이루어져서 인증이 성공하면 0초가 될 때까지 1초씩 감소된다. 물론 상기 86400초는 고정된 값이 아니라 관리자의 설정에 따라 다른 값으로 변경 가능하다. 또한 추가적인 challenge date가 부족할 경우, 도 4에서 설명하는 방법으로 추가 생성한다. 만약, 다른 DSTM 노드의 IPv4 할당 요청에 의해 사용될 challenge data의 invalid time 값이 0이 아닌 값이면 DSTM 서버는 invalid time 값이 0인 다른 임의의 challenge data를 선택해야 한다. 마지막으로 challenge data (이미지 파일)에 대한 checksum 값은 악의적인 노드가 DSTM 노드의 IPv4 할당 요청이 올 때마다 전송되는 challenge data의 패턴 인식을 할 수 없도록 하기 위하여 DSTM 서버에서는 전송할 challenge data에 대해서 이미지 변환을 한 후 계산된 checksum 값이다. 상기 이미지 변환은 이미지의 텍스트 문구를 사람이 인식할 수 있는 범위 내에서 파일의 비트 변환을 수행하는 것을 의미한다. 이렇게 함으로써 악의적인 노드는 동일한 문구의 이미지 파일이 전송되더라도 전송되는 데이터를 통한 패턴 인식이 불가능하다.
도 4는 DSTM 서버가 challenge DB에서 임의의 challenge data에 대해서 파일명 및 파일의 checksum 값을 변경하여 유일한 challenge data를 생성하는 과정을 보여주는 도면이다.
도 4에 도시된 바와 같이, 원본 challenge data는 임의의 파일명을 생성하고 파일의 비트 변환을 사람이 식별할 수 있는 문구를 유지할 수 있는 범위 내에서 수행한 후 checksum을 계산한다.
DSTM 서버는 새로 생성된 challenge data를 DB에 새로 등록 및 저장한다. DSTM 서버는 challenge data에 대한 응답을 DSTM 노드로부터 받은 후 challenge DB에서 invalid time, expected response data, 그리고 DSTM 노드로부터 받은 challeng data (이미지 파일)의 checksum 값을 계산하여 사용하여 DSTM 노드를 인증할 수 있다.
도 5는 도 2의 S206단계에 나오는 challenge data 메시지 전송시 사용되는 메시지 형태인 DHCPv6의 인증 옵션 메시지 형태이다. 본 발명에서는 RFC3315의 DHCPv6 인증 옵션 메시지를 그대로 사용하며, 본 명세서에서는 변경되는 부분에 대해서만 설명한다.
도 5에 도시되 바와 같이, algorithm 필드에는 본 발명에서 제시하는 Human Recognition (HR) 명이 포함되고 authentication-information 필드에는 상기에서 생성된 challenge data가 포함되어 DSTM 노드에게 인증 요청을 한다.
도 6은 DSTM 서버의 인용 요청에 대해서 DSTM 노드의 사용자가 직접 입력값을 입력하는 실시예에 대한 도면이다. 이후, DSTM 노드는 사용자로부터 받은 입력 값과 DSTM 서버로부터 받은 challenge data (이미지 파일)을 DSTM 서버에게 전송한다. DSTM 서버는 DSTM 노드로부터 인증 요청에 대한 응답을 받는다. DSTM 서버는 응답 메시지에서 DSTM 노드의 사용자로부터 받은 응답 문구를 자신의 challenge DB에서 동일한 값이 있는지 확인한다. 일치하는 값이 없으면 IPv4 할당 거부 메시지 를 보내고 일치하는 값이 있으면 IPv4 주소를 할당한다.
도 7은 DSTM 서버에서 DSTM 노드의 IPv4 주소 할당 요청에 대한 플로우를 나타낸다. DSTM 서버는 DSTM 노드로부터 수신한 메시지가 IPv4 할당 요청메시지인지 응답메시지인지를 판단한다(S101). IPv4할당 요청메시지로 판단될 경우, challenge DB에서 invalidtime 값이 0이상인지 검사한 후, invalidatime값이 0인 임의의 challenge data를 선택한다(S105, S106). 선택된 challenge data의 invalidtime 값을 86400초로 설정하고 DSTM 서버의 challeng DB에 저장한다(S107). 상기 invalidtime값은 관리자에 의해 임의로 설정된 값이며 시스템 상황이나 기타 환경에 따라 변경 가능하다. 저장 후 DSTM 서버는 생성된 challenge data를 DSTM 노드에게 전송한다(S108).
수신된 메시지가 응답메시지로 판단되면, DSTM 서버는 수신한 expected response data와 파일의 checksum을 계산한 후 DSTM 서버의 challenge DB에 동일한 값이 있는지 확인한다(S102). 확인후 동일한 challenge data의 invalidtime 값이 86400과 동일하면 IPv4를 할당하고 0초가 될 때까지 1초씩 감소시킨다(S104). 만약, invalidtime 값이 86400보다 작으면 중복된 인증 response 메시지를 수신한 경우이므로 IPv4 할당을 하지 않는다. DSTM 노드의 인증이 확인된 후의 과정은 기존의 방식과 동일하다.
도 8은 본 발명을 적용한 시스템에 대한 도면으로, DSTM 노드(801, 805,808)의 사용자들(800,804,807)이 IPv4주소를 할당 받기 위해 DSTM서버(810)가 전송한 Challenge data에 나타난 이미지에 대해 인증값을 입력하는 예를 나타내고 있다. challenge DB(811)에는 각각의 DSTM 노드(801,805,808)들에게 전송한 challenge data를 저장하고 있는 구성을 나타내고 있다. 사용자들(800, 804,807)이 challenge data의 이미지를 보고 인증값을 입력한다. 상기 경우에서는 school의 이미지에 대해서 sc□ool에 빈 공란값인 h를 입력하면 IPv4주소에 대한 할당인증이 이루어지게 된다. 물론, 상기 이미지에 대한 구성은 빈칸 채우기만이 아니라 질문 및 그에 대한 응답에 관한 이미지로 구성될 수 있다.
상기한 바와 같은 본 발명에 따른 DSTM 통신망에서 DSTM 서버의 인증을 통한 시스템 및 방법은, 첫째, 단말기의 MAC 주소, 패스워드, 인증서와 같이 사전에 미리 공유된 정보가 필요 없으며 단말기가 다른 도메인으로 이동할 경우 상기의 기존 인증방법과 같이 단말과 서버 간에 공유할 수 있는 새로운 정보를 얻는 과정이 on-line이든 off-line이든 추가 과정이 필요하지만 본 발명은 그러한 과정 없이 언제 어디서나 새로운 도메인에서 실시간으로 인증을 통한 IP 할당을 받을 수 있다.
둘째, 본 발명은 시스템의 자동화된 응답이 불가능하기 때문에 DoS 공격과 같은 IP 고갈 문제에 대해서 효과적으로 대응할 수 있다. 오직 사용자 (사람)만이 DSTM 서버의 요청에 대해 응답할 수 있기 때문에 시스템의 자동화된 기법으로 서버의 인증 요청에 응답할 수 없기 때문에 IP 고갈 문제에 효과적으로 대응할 수 있다.
셋째, IPv4/IPv6 변환 기술인 DSTM 환경을 고려하여 제시된 새로운 인증 메 커니즘으로 IP 주소 할당 문제의 해결책을 제시할 수 있는 것이다.

Claims (12)

  1. DSTM 통신망에서의 인증방법에 있어서,
    DSTM서버가 인증시 사용될 적어도 하나 이상의 이미지 파일들과 상기 이미지 파일에 대한 인증값들을 데이터베이스에 저장하는 단계;
    DSTM서버가 주소할당을 요청한 DSTM노드로 이미지 파일을 전송하는 단계;
    상기 DSTM노드의 사용자가 상기 수신된 이미지 파일을 통해 파악될 수 있는 인증값을 입력하는 경우, 상기 DSTM노드가 상기 입력된 인증값 및 상기 이미지 파일을 DSTM서버로 전송하는 단계;
    상기 DSTM서버는 상기 데이터베이스에 저장된 인증값 및 이미지 파일을 상기 DSTM 노드로부터 수신된 인증값 및 이미지 파일과 비교하여 인증을 수행하는 단계; 를 포함하는 DSTM통신망에서의 인증방법.
  2. 제 1항에 있어서,
    상기 인증 수행후, 상기 DSTM서버가 상기 DSTM노드에게 IP주소를 할당하는 단계를 더 포함하는 DSTM통신망에서의 인증방법.
  3. 제 1항에 있어서,
    상기 이미지 파일은 사람이 인식 가능한 텍스트로 표현되는 DSTM통신망에서의 인증방법.
  4. 제 3항에 있어서,
    상기 인증값은 상기 이미지 파일의 텍스트 내의 빈자리에 해당하는 값이거나, 특정 질문에 대한 응답값인 DSTM통신망에서의 인증방법.
  5. 제 1항에 있어서,
    상기 데이터베이스는 상기 이미지 파일에 대한 유효 시간값과 이미지파일에 대한 체크섬(checksum)을 더 저장하는 DSTM통신망에서의 인증방법.
  6. 제 5항에 있어서,
    상기 DSTM서버에서 수신된 이미지 파일에 대한 체크섬을 계산하여 저장된 체크섬과 비교하는 단계를 더 포함하는 DSTM통신망에서의 인증방법.
  7. DSTM서버와 DSTM노드를 포함하는 DSTM 통신망의 인증 시스템에 있어서
    인증에 사용될 이미지 파일과 상기 이미지 파일을 통해 예상되는 인증값을 데이터베이스에 저장한 후, 상기 이미지 파일을 상기 DSTM노드로 전송한 후, 상기 DSTM노드로부터 수신되는 정보를 통해 DSTM노드의 인증을 수행하는 DSTM서버;
    상기 DSTM서버로부터 수신된 이미지 파일에 대해서 사용자가 입력한 값을 상기 이미지 파일과 같이 상기 DSTM서버로 전송하는 DSTM 노드;를 포함하는 DSTM통신망의 인증 시스템.
  8. 제 8항에 있어서,
    상기 DSTM서버는 상기 DSTM노드에 대한 인증 후, 상기 DSTM 노드에게 IP주소를 할당하는 DSTM 통신망에서의 인증 시스템.
  9. 제 7항에 있어서,
    상기 이미지 파일은 사람이 인식 가능한 텍스트를 의미하는 DSTM통신망의 인증 시스템.
  10. 제 9항에 있어서,
    상기 인증값은 상기 이미지 파일의 텍스트 내의 빈자리에 해당하는 값이거 나, 특정 질문에 대한 응답값인 DSTM 통신망의 인증 시스템.
  11. 제 7항에 있어서,
    상기 데이터베이스는 상기 이미지 파일에 대한 유효 시간값과 이미지파일에 대한 체크섬(checksum)을 더 저장하는 DSTM통신망의 인증 시스템.
  12. 제 11항에 있어서,
    상기 DSTM 노드는 상기 DSTM 서버로부터 수신된 이미지 파일에 대한 체크섬을 계산하여 저장된 체크섬과 비교하는 DSTM통신망의 인증 시스템.
KR1020050122161A 2005-12-12 2005-12-12 Dstm 통신망에서의 인증 시스템 및 그 방법 KR100738535B1 (ko)

Priority Applications (3)

Application Number Priority Date Filing Date Title
KR1020050122161A KR100738535B1 (ko) 2005-12-12 2005-12-12 Dstm 통신망에서의 인증 시스템 및 그 방법
US11/598,139 US20070136601A1 (en) 2005-12-12 2006-11-13 Authentication system and method in DSTM communication network
CNA2006101637101A CN1984146A (zh) 2005-12-12 2006-11-30 Dstm通信网络中的验证***和方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020050122161A KR100738535B1 (ko) 2005-12-12 2005-12-12 Dstm 통신망에서의 인증 시스템 및 그 방법

Publications (2)

Publication Number Publication Date
KR20070062340A true KR20070062340A (ko) 2007-06-15
KR100738535B1 KR100738535B1 (ko) 2007-07-11

Family

ID=38140887

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050122161A KR100738535B1 (ko) 2005-12-12 2005-12-12 Dstm 통신망에서의 인증 시스템 및 그 방법

Country Status (3)

Country Link
US (1) US20070136601A1 (ko)
KR (1) KR100738535B1 (ko)
CN (1) CN1984146A (ko)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100757874B1 (ko) * 2006-02-18 2007-09-11 삼성전자주식회사 DSTM 환경의 IPv6-IPv4 네트워크에서의IPv6 패킷 위조 방지 방법 및 그 시스템
US8112532B2 (en) * 2009-06-23 2012-02-07 United States Cellular Corporation System and method for tearing down individual IP communication sessions in multiple IP stack devices
US20110107394A1 (en) * 2009-10-30 2011-05-05 Nathan Stanley Jenne Authentication methods and devices
JP5610400B2 (ja) * 2011-09-20 2014-10-22 株式会社Pfu ノード検出装置、ノード検出方法、及びプログラム
US8812689B2 (en) * 2012-02-17 2014-08-19 The Boeing Company System and method for rotating a gateway address
CN105337928B (zh) * 2014-06-24 2019-09-13 阿里巴巴集团控股有限公司 用户身份识别方法、安全保护问题生成方法及装置
JP6471451B2 (ja) * 2014-10-16 2019-02-20 株式会社リコー 伝送システム、通信制御装置、通信制御方法、通信方法、プログラム
US10303499B2 (en) 2017-01-05 2019-05-28 Portworx, Inc. Application aware graph driver
US10860536B2 (en) 2017-01-05 2020-12-08 Portworx, Inc. Graph driver layer management
US10235222B2 (en) 2017-01-05 2019-03-19 Portworx, Inc. Containerized application system graph driver

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6377691B1 (en) 1996-12-09 2002-04-23 Microsoft Corporation Challenge-response authentication and key exchange for a connectionless security protocol
KR100724351B1 (ko) * 2000-12-12 2007-06-04 엘지전자 주식회사 무선 통신기기를 이용한 사용자 인증 방법 및 장치
KR100693046B1 (ko) * 2004-12-20 2007-03-12 삼성전자주식회사 동적 주소를 할당하고 그 동적 주소를 이용하여라우팅하는 네트워크 시스템 및 그 방법

Also Published As

Publication number Publication date
CN1984146A (zh) 2007-06-20
KR100738535B1 (ko) 2007-07-11
US20070136601A1 (en) 2007-06-14

Similar Documents

Publication Publication Date Title
KR100738535B1 (ko) Dstm 통신망에서의 인증 시스템 및 그 방법
US11290420B2 (en) Dynamic VPN address allocation
US7623518B2 (en) Dynamic access control lists
US7542468B1 (en) Dynamic host configuration protocol with security
US6801528B2 (en) System and method for dynamic simultaneous connection to multiple service providers
US7313632B2 (en) Apparatus for converting internet protocal address, and communication method using the same
US8805977B2 (en) Method and system for address conflict resolution
EP2506613A2 (en) System and method for managing ipv6 address and access policy
US20030177236A1 (en) DDNS server, a DDNS client terminal and a DDNS system, and a web server terminal, its network system and an access control method
EP1876754A1 (en) Method system and server for implementing dhcp address security allocation
JP2003289340A (ja) 識別子問い合わせ方法、通信端末及びネットワークシステム
US7228131B2 (en) IPv6/IPv4 tunneling method
US7958220B2 (en) Apparatus, method and system for acquiring IPV6 address
JP2017034506A (ja) 通信システム
CN104468619A (zh) 一种实现双栈web认证的方法和认证网关
KR20090014625A (ko) 사설 네트워크를 갖는 네트워크에서의 인증 시스템 및 방법
KR100757874B1 (ko) DSTM 환경의 IPv6-IPv4 네트워크에서의IPv6 패킷 위조 방지 방법 및 그 시스템
KR101074063B1 (ko) 홈게이트웨이 시스템 및 그의 동적채널 구축방법
CN108696506B (zh) 在客户端和终端设备之间建立连接的方法、介质和***
KR100513296B1 (ko) 네트워크 접근제어를 위한 네트워크 관리장치와관리시스템 및 이를 이용한 네트워크 접근제어 방법
KR102307030B1 (ko) 패킷의 안전성 검증 기능을 구비한 사물인터넷 통신 시스템
KR100744083B1 (ko) 사용자 인증 기반의 접속 주소 할당 방법 및 장치
CN113595848B (zh) 一种通信隧道建立方法、装置、设备及存储介质
CN106027689B (zh) 一种通信方法和通信装置
JPH11298527A (ja) ネットワークアドレス変換方法及び装置並びにサーバ

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee