[논문]네트워크 공격 방지를 지원하는 DHCP의 설계 및 구현에 관한 연구

유권정; 김은기

doi:10.6109/jkiice.2016.20.4.747

네트워크 공격 방지를 지원하는 DHCP의 설계 및 구현에 관한 연구
Design and Implementation of DHCP Supporting Network Attack Prevention 원문보기

한국정보통신학회논문지 = Journal of the Korea Institute of Information and Communication Engineering, v.20 no.4, 2016년, pp.747 - 754

유권정 (Department of Information and Communication Engineering, Hanbat National University) , 김은기 (Department of Information and Communication Engineering, Hanbat National University)

초록
AI-Helper

DHCP(Dynamic Host Configuration Protocol)는 IP 주소 관리의 효율성과 편의를 위한 프로토콜이다. DHCP는 네트워크 내 개별 호스트에게 TCP/IP 통신을 실행하기 위해 필요한 IP 주소 및 구성 정보를 자동적으로 할당해준다. 하지만 기존의 DHCP는 서버와 클라이언트 간 상호 인증 체계가 없기 때문에 DHCP spoofing, release 공격과 같은 네트워크 공격에 취약하다. 이러한 문제점을 해결하기 위해 본 논문에서는 다음과 같은 기능을 지원하는 DHCP 프로토콜을 설계하였다. 먼저, ECDH(Elliptic Curve Diffie-Hellman)를 이용하여 세션 키를 생성하고 ECDSA(Elliptic Curve Digital Signature Algorithm)를 사용하여 전자서명을 함으로써 서버와 클라이언트 간 상호 인증을 수행한다. 그리고 메시지에 HMAC(Hash-based Message Authentication Code)을 추가하여 메시지의 무결성을 보장한다. 또한 Nonce를 사용하여 재전송공격을 방지한다. 결과적으로 수신자는 인증되지 않은 호스트로부터 수신한 메시지를 폐기함으로써 네트워크 공격을 막을 수 있다.

Abstract ▼ AI-Helper

DHCP(Dynamic Host Configuration Protocol) is a protocol for efficiency and convenience of the IP address management. DHCP automatically assigns an IP address and configuration information needed to run the TCP/IP communication to individual host in the network. However, existing DHCP is vulnerable for network attack such as DHCP spoofing, release attack because there is no mutual authentication systems between server and client. To solve this problem, we have designed a new DHCP protocol supporting the following features: First, ECDH(Elliptic Curve Diffie-Hellman) is used to create session key and ECDSA(Elliptic Curve Digital Signature Algorithm) is used for mutual authentication between server and client. Also this protocol ensures integrity of message by adding a HMAC(Hash-based Message Authentication Code) on the message. And replay attacks can be prevented by using a Nonce. As a result, The receiver can prevent the network attack by discarding the received message from unauthorized host.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

기존의 DHCP는 클라이언트와 서버 간 상호 인증을 하지 않으므로 DHCP 해제 공격(release attack), 악성 DHCP 공격(rogue DHCP attack), 재전송 공격(replay attack), DHCP 스푸핑 공격(spoofing attack) 등 네트워크 공격에 노출되어 있다[5]. 본 논문에서는 DHCP를 안전하게 이용하기 위해서 기존의 DHCP 메시지에 인증 기능을 지원하는 옵션을 추가하였다.
본 논문에서는 네트워크 공격을 방지하기 위해 DHCP 임대 과정에서 서버와 클라이언트의 상호 인증을 수행하고, 메시지의 무결성을 보장하는 DHCP 메시지 옵션을 제안하였다.

가설 설정

7이다. 또한 서버가 제공하는 기본 게이트웨이 주소는 192.168.0.1로 가정한다. 기존의 DHCP에 DHCP 스푸핑 공격을 했을 때 전송되는 패킷들은 다음 그림 12와 같다.

제안 방법

공격자는 수신한 DHCPREQUEST 메시지를 통해 클라이언트와 통신 할 서버를 확인하고 거짓 DHCPACK 메시지를 생성한다. 이 때 DHCPACK의 옵션 중 기본 게이트웨이 주소를 자신의 IP 주소로 설정하여 클라이언트에게 전송한다.
기존의 DHCP 인증 방식 중 사용자 ID 기반 인증 보안 방식은 HMAC-MD5 알고리즘을 사용하지만[9] 본 논문에서는 제안하는 DHCP는 ECDH를 사용함으로써 더욱 안전한 상호 인증 기능을 제공한다.
클라이언트가 정상적으로 IP 주소의 사용을 마치는 경우에는 세션 키를 이용하여 만든 HMAC을 메시지의 인증 정보 필드에 포함하여 DHCPRELEASE 메시지를 서버에게 전송한다. 또는 임대 받은 주소가 이미 사용중이면 생성한 HMAC을 메시지의 인증 정보 필드에 포함하여 서버에게 DHCPDECLINE 메시지를 전송한다. 클라이언트는 DHCPDECLINE 또는 DHCPRELEASE 메시지를 전송한 뒤 세션 키를 삭제하고 IP 주소 임대 과정을 완료한다.
본 논문에서는 2장에서 제시된 보안 알고리즘들을 지원할 수 있도록 하며, 이를 위하여 그림 5와 같은 DHCP 메시지 옵션 구조를 추가하였다.
본 논문에서는 ECDH(Elliptic Curve Diffie-Hellman)를 이용하여 세션 키를 생성하고 ECDSA(Elliptic Curve Digital Signature Algorithm)를 이용하여 전자서명을 수행함으로써 상호 인증을 한다. 그리고 HMAC(Hashbased Message Authentication Code)을 이용하여 데이터의 무결성을 보장한다[6-8].
HMAC은 사용자의 비밀 키와 메시지를 해시 함수에 입력하여 해시 코드로, 메시지의 무결성을 보장하는데 사용된다[12,16,17]. 본 논문에서는 ECDH를 이용하여 생성한 세션 키를 해시함수의 비밀 키로 사용한다.
본 논문이 제안하는 DHCP에 DHCP 스푸핑 공격을 했을 때 클라이언트는 수신한 DHCPACK 메시지에 있는 전자서명에 포함 된 서버의 공개키를 이용하여 올바른 서버인지 검증 할 수 있다. 올바른 서버일 경우에 클라이언트는 자신의 기본 게이트웨이 주소를 서버가 제공하는 게이트웨이 주소로 설정한다.
수신자는 수신한 메시지와 자신의 세션 키를 이용하여 HMAC을 생성하고 메시지에 있는 HMAC과 비교하여 메시지의 무결성을 검증한다. 그림 4는 HMAC 함수를 이용하여 HMAC을 검증하는 과정을 나타낸다.
클라이언트가 DHCPACK 메시지를 수신하면 클라이언트와 서버가 서로의 공개키를 알게 됨으로써 서버와 클라이언트는 수신한 상대방의 공개키와 자신의 개인키를 ECDH 키 알고리즘으로 계산하여 서로만 아는 세션 키를 생성할 수 있다. 이를 이용하여 클라이언트는 상대가 올바른 서버임을 검증 한 후 서버로부터 임대 받은 주소를 검사한다. 임대 받은 주소가 사용 중이지 않으면 나머지 IP 주소 임대 과정을 완료한다.

이론/모형

본 논문에서는 ECDH(Elliptic Curve Diffie-Hellman)를 이용하여 세션 키를 생성하고 ECDSA(Elliptic Curve Digital Signature Algorithm)를 이용하여 전자서명을 수행함으로써 상호 인증을 한다. 그리고 HMAC(Hashbased Message Authentication Code)을 이용하여 데이터의 무결성을 보장한다[6-8].

성능/효과

이 방안은 공격자의 DHCPACK 메시지가 서버의 DCHPACK 메시지보다 클라이언트에게 먼저 도착했을 경우에 공격을 막을 수 없다. 하지만 본 연구에서 제안한 DHCP는 클라이언트가 서버로부터 IP 주소를 임대 받을 때 두 호스트 간 상호 인증을 수행하므로 수신되는 메시지의 순서에 상관없이 인증 되지 않은 호스트의 메시지는 폐기하여 DHCP 스푸핑 공격을 막아낼 수 있다. 또한 메시지 옵션에 Nonce를 추가하여 재전송 공격을 막아낼 수 있을 뿐만 아니라 두 호스트간의 상호 인증을 수행함으로써 DHCP 해제공격(release attack), 악성 DHCP 공격(rogue DHCP attack) 등을 막아낼 수 있을 것으로 예상된다.

후속연구

하지만 본 연구에서 제안한 DHCP는 클라이언트가 서버로부터 IP 주소를 임대 받을 때 두 호스트 간 상호 인증을 수행하므로 수신되는 메시지의 순서에 상관없이 인증 되지 않은 호스트의 메시지는 폐기하여 DHCP 스푸핑 공격을 막아낼 수 있다. 또한 메시지 옵션에 Nonce를 추가하여 재전송 공격을 막아낼 수 있을 뿐만 아니라 두 호스트간의 상호 인증을 수행함으로써 DHCP 해제공격(release attack), 악성 DHCP 공격(rogue DHCP attack) 등을 막아낼 수 있을 것으로 예상된다.
추후에는 본 논문의 결과를 이용하여 DHCP 및 관련 프로토콜의 공격 방지에 관한 추가적인 연구를 수행할 예정이다.

질의응답

핵심어	질문	논문에서 추출한 답변
	기존의 DHCP는 어떤 문제점이 있는가?	기존의 DHCP는 클라이언트와 서버 간 상호 인증을 하지 않으므로 DHCP 해제 공격(release attack), 악성 DHCP 공격(rogue DHCP attack), 재전송 공격(replay attack), DHCP 스푸핑 공격(spoofing attack) 등 네트워크 공격에 노출되어 있다[5]. 본 논문에서는 DHCP를 안전하게 이용하기 위해서 기존의 DHCP 메시지에 인증 기능을 지원하는 옵션을 추가하였다.
	DHCP란 무엇인가?	DHCP(Dynamic Host Configuration Protocol)는 표준 TCP/IP 호스트 설정 프로토콜로, 하나의 클라이언트만을 포함하는 홈 네트워크부터 회사 수준의 인터 네트워크에 이르기까지 모든 부문에서 사용된다[1-4].
	DHCPREQUEST 메시지의 인증 정보 필드는 무엇으로 구성되는가?	DHCPOFFER 메시지를 수신한 클라이언트는 DHCPREQUEST 메시지를 서버에게 전송한다[2,7]. 이때 메시지의 인증 정보 필드는 서버가 선택한 알고리즘을 이용하여 생성한 ECDH 공개키로 구성된다. 서버가 DHCPREQUEST 메시지를 수신하면 DHCPACK 또는 DHCPNAK 메시지로 응답한다[2,7].

참고문헌 (19)

Charles M. Kozierok, TCP / IP Complete Guide, Uiwang:acorn publishing Co., 2007.
IETF Std. RFC 2131, Dynamic Host Configuration Protocol, IETF, R. Droms, March 1997.
Behrouz A. Forouzan, TCP/IP Protocol Suite, Fourth Edition. New York, NY: McGRAW HILL INTERNATIONAL EDITION, 2010.
Won-jong Kang, Jung-jae Yoon, and Chan Koh, "Effective IP Address Management on Ethernet Environment," The Korean Society for Industrial and Applied Mathematics, vol. 7, no. 2, pp113-125, Dec. 2003
IETF. Privacy considerations for DHCP, draft-ietf-dhcdhcp-privacy-00 [Internet]. Available: https://datatracker.ietf.org/doc/draft-ietf-dhc-dhcp-privacy/00/.
IETF Std. RFC 2132, DHCP Options and BOOTP Vendor Extensions, IETF, S. Alexander, R. Droms, March 1997.
IETF Std. RFC 3118, Authentication for DHCP messages, IETF, R. Droms, W. Arbaugh, June 2001.
Moon-Gi Kim, Da-Hye Jeong Jae-Won Lee, Kwon-Jeong Yoo, Eun-Gi Kim, "A Study on the DHCP Supporting Network Attack Prevention," in The 2015 Fall Conference of the KIPs, Jeju, pp. 1-3, 2015.
IETF Std. RFC 3118, Authentication for DHCP Messages, IETF, R. Droms, Editor, W. Arbaugh, Editor, June 2001.
Carlisle Adams and Steve Lloyd, Effective way for security PKI, Seoul, Infobook, 2003.
Seok-ho Kim, "Comparison and analysis on efficiency of scalar multiplication for Elliptic Curve Cryptosystem," M. S. dissertation, Korea Maritime and Ocean University graduate school, Busan, 2003.
Yeong-ja Kim, "Design and implementation of a security messenger system using elliptic curve cryptosystem," M. S. dissertation, Chung-Ang University Information graduate school, Seoul, 2004.
IETF Std. RFC 6979, Deterministic Usage of the Digital Signature Algorithm (DSA) and Elliptic Curve Digital Signature Algorithm (ECDSA), IETF, T. Pornin, August 2013.
Song-hwan Lim, "The efficiency analysis of ECDSA using improved element algorithm," M. S. dissertation, Dongguk University Graduate School of International Affairs & Information, Seoul, 2000.
IETF Std. RFC 4050, Using the Elliptic Curve Signature Algorithm (ECDSA) for XML Digital Signatures, IETF, S. Blake-Wilson, G. Karlinger, T. Kobayashi, Y. Wang, April 2005.
IETF Std. RFC 2104, HMAC: Keyed-Hashing for Message Authentication, IETF, H. Krawczyk, M. Bellare, R. Canetti, February 1997.
Seong-Gyu Sin, "An HMAC Algorithm for Digital Signature," M. S. dissertation, Catholic Kwandong Graduate School of Education, Gangwon-do, 2003.
Kyung-Sik Kim, "A scheme for improving DHCP and adapting wireless LAN to POSCO," M. S. dissertation, postech, Gyeongsangbuk-do, 2002.
IETF Std. RFC6704, Forcerenew Nonce Authentication, IETF, D. Miles, W. Dec, J. Bristow, R. Maglione, August 2012.

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증

네트워크 공격 방지를 지원하는 DHCP의 설계 및 구현에 관한 연구
Design and Implementation of DHCP Supporting Network Attack Prevention 원문보기

초록
AI-Helper

Abstract ▼ AI-Helper

주제어

AI 본문요약
AI-Helper

문제 정의

가설 설정

제안 방법

이론/모형

성능/효과

후속연구

질의응답

참고문헌 (19)

이 논문을 인용한 문헌

저자의 다른 논문 :

관련 콘텐츠

원문 보기

원문 URL 링크

오픈액세스(OA) 유형

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

연합인증

네트워크 공격 방지를 지원하는 DHCP의 설계 및 구현에 관한 연구 Design and Implementation of DHCP Supporting Network Attack Prevention 원문보기

초록 용어보기논문에서 용어와 풀이말을 자동 추출한 결과로, 시범 서비스 중입니다. AI-Helper

Abstract ▼ AI-Helper

주제어

AI 본문요약 엑셀 다운로드 AI-Helper

문제 정의

가설 설정

제안 방법

이론/모형

성능/효과

후속연구

질의응답

참고문헌 (19)

이 논문을 인용한 문헌

저자의 다른 논문 :

유권정 (2) 김은기 (18)

관련 콘텐츠

원문 보기

원문 URL 링크

오픈액세스(OA) 유형

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

네트워크 공격 방지를 지원하는 DHCP의 설계 및 구현에 관한 연구
Design and Implementation of DHCP Supporting Network Attack Prevention 원문보기

초록
AI-Helper

AI 본문요약
AI-Helper