The Journal of Korean Institute of Communications and Information Sciences (한국통신학회논문지)

The Korean Institute of Commucations and Information Sciences (한국통신학회)
권호 표지

Prevention Scheme of DDoS Attack in Mobile WiMAX Networks Using Shared Authentication Information

Mobile WiMAX 네트워크에서 공유 인증 정보를 이용한 분산 서비스 거부 공격 방어

  • 김영욱 (서울대학교 전기컴퓨터공학부, 뉴미디어통신공동연구소) ;
  • 박세웅 (서울대학교 전기컴퓨터공학부, 뉴미디어통신공동연구소)
  • Published : 2009.02.28
Download PDF
⟨ Previous Next ⟩

Abstract

Message Authentication Code (MAC) assures integrity of messages. In Mobile WiMAX, 128-bit Cipher-based MAC (CMAC) is calculated for management messages but only the least significant half is actually used truncating the most significant 64 bits. Naming these unused most significant 64bits Shared Authentication Information (SAI), we suggest that SAI can be applied to protect the network from DDoS attack which exploits idle mode vulnerabilities. Since SAI is the unused half of CMAC, it is as secure as 64bits of CMAC and no additional calculations are needed to obtain it. Moreover, SAI doesn't have to be exchanged through air interface and shared only among MS, BS, and ASN Gateway. With these good properties, SAI can efficiently reduce the overheads of BS and ASN GW under the DDoS attack.

메시지 인증 코드 (Message Authentication Code, MAC)는 메시지의 변조를 확인하기 위하여 사용되고 Mobile WiMAX 네트워크에서는 관리 메시지 (management message)의 인증을 위하여 Cipher-based 메시지 인증 코드 (Cipher-based MAC, CMAC)를 사용한다. 이 때 계산된 CMAC값 128 비트 중 하위 64 비트만을 사용하고 상위 64 비트 값은 잘라내어 사용하지 않는다. 본 연구에서는 이렇게 사용되지 않는 CMAC의 상위 64 비트를 공유 인증 정보 (Shared Authentication Information, SAI)라 하고 Mobile WiMAX 네트워크에서 유휴 모드 (idle mode) 상의 보안 취약점을 이용한 분산 서비스 거부 공격을 방어하는 수단으로 사용한다. 공유 인증 정보는 CMAC 값 중 사용되지 않는 64 비트를 사용하는 것이기 때문에 CMAC 값과 같은 보안성을 제공하며 CMAC 값을 계산하는 과정에서 얻을 수 있기 때문에 추가적인 계산이 필요 없다. 또한 사용하기 전까지 무선 구간에서 전송되지 않아 노출될 염려가 없으며 CMAC 키를 아는 기지국, 접근 서비스망 게이트웨이 (Access Service Network Gateway, ASN GW), 무선 단말 사이에서만 공유되기 때문에 안전하다. 이런 특성들로 인하여 공유 인증 정보는 분산 서비스 거부 공격 시에 기지국과 접근 서비스망 게이트웨이의 부하를 줄임으로써 효율적으로 분산 서비스 거부 공격을 방어할 수 있다.

Keywords

References

  1. J. Bellardo, S. Savage, '802.11 Denial-of-Service Attacks: Real Vulnerabilities and Practi cal Solutions,' Usenix 2003, June 2005
  2. V. Gupta, S. Krishnamurthy, and M. Falouts os, 'Denial-of-Service Attacks at the MAC Layers in Wireless Ad Hoc Networks,' MILCOM 2002, October 2002
  3. M. Zhang, Y. Fang, 'Security Analysis and Enhancements of 3GPP Authentication and Key Agreement Protocol,' IEEE Trans. on WIRELESS COMMUNICATIONS Vol. 4 N o. 2, pp. 734-742, March 2005 https://doi.org/10.1109/TWC.2004.842941
  4. W. Liang, W. Wang, 'Quantitative Study of Authentication and QoS in wireless IP networks,' INFOCOM 2005, March 2005
  6. J. H. Song, R. Poovendran, J. Lee, and T. I wata, 'The AES-CMAC Algorithm,' RFC 4493, June 2006
  8. 'WiMAX End-to-End Network Systems Architecture - Stage 3: Detailed Protocols and Procedures' WiMAX Forum, August 2006
  9. 'Standard for Local and Metropolitan area networks- Part16: Air Interface for Fixed and Mobile Broadband Wireless Access Systems,' IEEE Std 802.16e-2005, February 2006
  10. 'Standard for Local and Metropolitan area networks- Part 16: Air Interface for Fixed Broadband Wireless Access Systems,' IEEE std 802.16-2004, October 2004
  11. M. Dworkin, 'Recommendation for Block C ipher Modes of Operation: The CMAC Mod e for Authentication,' NIST Special Publication 800-38B, May 2005
  12. J. Arkko, H. Harverinen, 'Extensible Authen tication Protocol Method for 3rd Generation Authentication and Key Agreement(EAP-AKA),' IETF RFC 4187, January 2006
  13. Y. Kim, H. Lim, and S. Bahk, 'SAI:Shared Authentication Information for Preventing DDoS attacks in Mobile WiMAX Networks,' CCNC 2008, January 2008