두 단계 인증 기법을 이용한 IPTV 접속망에서 IGMP 플러딩 공격 감내 기법

Abstract

멀티캐스트 기반의 IPTV 접속망에서는 사용자 측 STB(Set Top Box)에 대한 인증 시스템이 필요하다. 사용자는 일반적으로 IGMP(Internet Group Management Protocol) 메시지를 이용하여 현재 시청 중인 IPTV 채널에 대한 변경을 요청한다. 사용할 수 있는 유저 인증 시스템 중 패킷 수준 인증 기법은 IGMP 메시지 인증에 가장 적합하다고 할 수 있다. 하지만 각 패킷에 대한 암호학적 인증을 적용한 패킷 수준 인증 과정은 IGMP 플러딩 공격 상황 하에서 말단 라우터에 큰 부담을 줄 수 있다. 이 공격은 인증 노드의 시스템 자원을 소모시켜 인증 노드가 더 이상 정상적인 사용자의 IGMP 요청을 받아들일 수 없는 상태에 이르게 한다.본 논문에서는 IGMP 메시지를 이용한 플러딩 공격을 감내할 수 있는 두 단계 인증 기법을 제안한다. 두 단계 인증 기법의 첫 번째 단계로, 약한 인증을 이용하여 적은 오버헤드로 대량의 공격 패킷을 폐기한다. 두 번째 단계로, 기존의 패킷 수준 인증 기법을 적용하여 각 패킷의 정상 유무를 최종적으로 확인한 후 인증 서비스를 통과 시킨다. 또한 리눅스 커널 모듈로 제안한 인증 시스템을 구현하여 패킷 손실률과 패킷 지연 시간을 측정하였다. 제안한 시스템은 플러딩 공격 상황 하에서, 기존의 패킷 수준 인증 기법에 비해 적은 패킷 손실률과 빠른 패킷 지연 시간을 제공함을 보였다.

User authentication is an essential security service in IPTV access networks, where users generally send IGMP (Internet Group Management Protocol) message to request IPTV channels. Among various user authentication methods, packet-level authentication is most suitable for IGMP. However, the packet-level authentication process adopting cryptographic verification for each packet may be a big burden under IGMP flooding attack, so that the authentication node will be hard to serve the legitimate user’s IGMP request. In this thesis, we propose a two-level authentication scheme to mitigate flooding attacks. We devise a weak authentication mechanism which can filter out a large amount of attack packets with low computation overhead before applying the traditional strong packet-level authentication. We implement our proposed mechanism in the Linux kernel and measure the packet drop ratio and packet delay in a test environment. Our proposed scheme provides low packet drop ratio and fast packet delay under flooding attacks compared to traditional user authentication mechanisms.