KR100852146B1 - 제 3 신뢰기관을 이용한 VoIP 보안 통신에서의 감청시스템 및 감청 방법 - Google Patents

제 3 신뢰기관을 이용한 VoIP 보안 통신에서의 감청시스템 및 감청 방법 Download PDF

Info

Publication number
KR100852146B1
KR100852146B1 KR1020070119164A KR20070119164A KR100852146B1 KR 100852146 B1 KR100852146 B1 KR 100852146B1 KR 1020070119164 A KR1020070119164 A KR 1020070119164A KR 20070119164 A KR20070119164 A KR 20070119164A KR 100852146 B1 KR100852146 B1 KR 100852146B1
Authority
KR
South Korea
Prior art keywords
voip
key
master key
processing system
recovery processing
Prior art date
Application number
KR1020070119164A
Other languages
English (en)
Inventor
윤석웅
김중만
원용근
원유재
정현철
Original Assignee
한국정보보호진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국정보보호진흥원 filed Critical 한국정보보호진흥원
Priority to KR1020070119164A priority Critical patent/KR100852146B1/ko
Priority to US12/181,543 priority patent/US20100002880A1/en
Application granted granted Critical
Publication of KR100852146B1 publication Critical patent/KR100852146B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage

Abstract

본 발명은 제 3 신뢰기관을 이용한 VoIP 보안 통신에서의 감청 시스템 및 감청 방법에 관한 것이다. 본 발명에 의하면, VoIP 송신단말은 제 3 신뢰기관으로부터 수신한 마스터키를 이용하여 보안 패킷을 생성한 후 VoIP 수신단말과 통화한다. 키 복구처리 시스템으로부터 감청 명령을 받은 수집 장치는 상기 보안 패킷을 수집하여 키 복구처리 시스템으로 전송하고, 키 복구처리 시스템은 제 3 신뢰기관으로부터 수신한 마스터키를 이용하여 상기 보안 패킷을 복호화한 후 감청 요청자에게 제공하거나 또는 제 3 신뢰기관으로부터 수신한 마스터키 및 상기 보안 패킷을 감청 요청자에게 제공해 준다. 이를 통해, VoIP 보안 통신 환경에서 완전한 감청을 제공할 수 있고, 제 3 신뢰기관에서 관리하는 마스터키가 매 통화시 변경되므로 완전 순방향 비밀성(Perfect Forward Secrecy)을 보장할 수 있다.
Figure R1020070119164
감청시스템, 제 3 신뢰기관, VoIP, 보안 통신

Description

제 3 신뢰기관을 이용한 VoIP 보안 통신에서의 감청 시스템 및 감청 방법 {System and Method for Lawful Interception Using Trusted Third Parties in VoIP Secure Communications}
본 발명은 제 3 신뢰기관을 이용한 VoIP 보안 통신에서의 감청 시스템 및 감청 방법에 관한 것이다. 본 발명에 의하면, VoIP 송신단말은 제 3 신뢰기관으로부터 수신한 마스터키를 이용하여 보안 패킷을 생성한 후 VoIP 수신단말과 통화한다. 키 복구처리 시스템으로부터 감청 명령을 받은 수집 장치는 상기 보안 패킷을 수집하여 키 복구처리 시스템으로 전송하고, 키 복구처리 시스템은 제 3 신뢰기관으로부터 수신한 마스터키를 이용하여 상기 보안 패킷을 복호화한 후 감청 요청자에게 제공하거나 또는 제 3 신뢰기관으로부터 수신한 마스터키 및 상기 보안 패킷을 감청 요청자에게 제공해 준다.. 이를 통해, VoIP 보안 통신 환경에서 완전한 감청을 제공할 수 있고, 제 3 신뢰기관에서 관리하는 마스터키가 매 통화시 변경되므로 완전 순방향 비밀성(Perfect Forward Secrecy)을 보장할 수 있다.
현재, 공중 전화망(Public Switched Telephone Network; PSTN)에서 가입자들간의 통화 내용을 감청하는 방법은 널리 사용되고 있다. 또한, IP(Internet Protocol)를 사용하여 음성 정보를 전달하기 위한 VoIP(Voice over Internet Protocol)가 널리 사용됨에 따라, VoIP 망에서의 감청 방법도 제안되고 있다.
한편, 제 3 신뢰기관(Trusted Third Party; TTP)은 사용자 인증 및 키 관리 등에서 사용자들로부터 신뢰를 얻고 중재, 인증, 증명, 관리 등을 수행하는 기관을 일컫는 것으로, VoIP 망에서의 보안 통신을 위해 암호키의 관리를 수행하는 제 3 신뢰기관이 사용되기도 한다.
종래의 VoIP 망에서의 감청 방법은 VoIP에서의 일반 통화에 대한 감청 방법에 관한 것으로, 상기와 같이 제 3 신뢰기관을 이용한 보안 통화에서 제 3 신뢰기관을 이용하여 감청을 수행하기 위한 기술은 개시되어 있지 않다.
본 발명은 전술한 바와 같은 문제점을 해결하기 위하여 안출된 것으로, 본 발명에서는, VoIP 송신단말이 제 3 신뢰기관으로부터 수신한 마스터키를 이용하여 보안 패킷을 생성한 후 VoIP 수신단말과 통화하는 동안, 키 복구처리 시스템으로부터 감청 명령을 받은 수집 장치가 상기 보안 패킷을 수집하여 키 복구처리 시스템으로 전송하고, 키 복구처리 시스템이 제 3 신뢰기관으로부터 수신한 마스터키를 이용하여 상기 보안 패킷을 복호화한 후 감청 요청자에게 제공하거나 또는 제 3 신뢰기관으로부터 수신한 마스터키 및 상기 보안 패킷을 감청 요청자에게 제공하는 제 3 신뢰기관을 이용한 VoIP 보안 통신에서의 감청 시스템 및 감청 방법을 제공하는 것을 목적으로 한다.
본 발명은 제 3 신뢰기관을 이용한 VoIP 보안 통신에서의 감청 시스템에 관한 것이다. 상기 시스템은 제 3 신뢰기관을 이용한 VoIP 송신단말 및 VoIP 수신단말 간의 보안 통신을 감청하기 위한 시스템으로서, 상기 VoIP 송신단말로부터 수신한 마스터키 요청에 따라 마스터키를 생성하여 상기 VoIP 송신단말로 전송하고, 상기 마스터키를 이용하여 생성한 세션키를 키 복구처리 시스템으로 전송하는 제 3 신뢰기관; 감청 요청자로부터의 감청 요청을 받아 수집장치로 감청 명령을 하고, 상기 수집장치로부터 보안 패킷을 수신하고 상기 제 3 신뢰기관으로부터 상기 세션 키를 수신하며, 상기 세션키를 이용하여 상기 보안 패킷을 복호화하여 상기 감청 요청자에게 복호화된 패킷을 제공하는 키 복구처리 시스템; 및 상기 키 복구처리 시스템으로부터 수신한 감청 명령에 따라 상기 VoIP 송신단말과 상기 VoIP 수신단말간에 송수신되는 보안 패킷을 수집하고, 수집한 보안 패킷을 상기 키 복구처리 시스템으로 전송하는 수집장치를 포함한다.
또한, 본 발명은 제 3 신뢰기관을 이용하여 VoIP 보안 통신에서 감청하는 방법에 관한 것이다. 상기 방법은 제 3 신뢰기관을 이용한 VoIP 송신단말 및 VoIP 수신단말 간의 보안 통신을 감청하기 위한 방법으로서, 키 복구처리 시스템이 감청 요청자로부터의 감청 요청에 따라 수집장치에 감청 명령을 하는 단계(a); 상기 제 3 신뢰기관이 상기 VoIP 송신단말로부터의 마스터키 요청에 따라 마스터키를 생성하여 상기 VoIP 송신단말로 전송하는 단계(b); 상기 VoIP 송신단말 및 VoIP 수신단말간에 상기 마스터키를 교환하는 단계(c); 상기 제 3 신뢰기관, 상기 VoIP 송신단말 및 상기 VoIP 수신단말 각각에서 상기 마스터키를 이용하여 세션키를 생성한 후 보안 통신을 수행하는 단계(d); 상기 수집장치가 상기 VoIP 송신단말 및 VoIP 수신단말간에 송수신되는 보안 패킷을 수집하여 상기 키 복구처리 시스템으로 전송하는 단계(e); 상기 키 복구처리 시스템이 상기 제 3 신뢰기관으로부터 수신한 세션키를 이용하여 상기 보안 패킷을 복호화하는 단계(f); 및 상기 키 복구처리 시스템이 복호화된 패킷을 상기 감청 요청자에게 제공하는 단계(g)를 포함한다.
본 발명에 의하면, VoIP 송신단말은 제 3 신뢰기관으로부터 수신한 마스터키를 이용하여 보안 패킷을 생성한 후 VoIP 수신단말과 통화한다. 키 복구처리 시스템으로부터 감청 명령을 받은 수집 장치는 상기 보안 패킷을 수집하여 키 복구처리 시스템으로 전송하고, 키 복구처리 시스템은 제 3 신뢰기관으로부터 수신한 마스터키를 이용하여 상기 보안 패킷을 복호화한 후 감청 요청자에게 제공하거나 또는 제 3 신뢰기관으로부터 수신한 마스터키 및 상기 보안 패킷을 감청 요청자에게 제공해 준다. 이를 통해, VoIP 보안 통신 환경에서 완전한 감청을 제공할 수 있고, 제 3 신뢰기관에서 관리하는 마스터키가 매 통화시 변경되므로 완전 순방향 비밀성(Perfect Forward Secrecy)을 보장할 수 있다.
이하에서는, 도면을 참조하여 본 발명의 실시예를 구체적으로 설명한다. 그러나, 본 발명이 하기의 실시예에 의하여 제한되는 것은 아니다.
도 1은 본 발명에 따른 제 3 신뢰기관을 이용한 VoIP 보안 통신에서의 감청 시스템의 구성을 도시한 도면이다.
본 발명에 따른 감청 시스템은 제 3 신뢰기관(10), VoIP 송신단말(20), 수집장치(30), VoIP 수신단말(40) 및 키 복구처리 시스템(50)을 포함한다.
제 3 신뢰기관(10)은 VoIP 단말간의 보안 통신을 위해 암호키의 관리를 수행하는 기관이다.
일 실시예에 따르면, 제 3 신뢰기관(10)이 VoIP 송신단말(20)로부터 VoIP 수신단말(40)과의 보안 통신을 위해 필요한 암호키의 일종인 마스터키(Traffic Generation Key; TGK)를 요청 받으면, 마스터키를 생성하여 VoIP 송신단말(20)로 전송한다. 또한, 제 3 신뢰기관(10)은 키 복구처리 시스템(50)으로도 상기 마스터키를 전송하여, 키 복구처리 시스템(50)이 후술하는 바와 같이 보안 패킷을 복호화할 수 있도록 한다.
다른 방법으로는, 제 3 신뢰기관(10)이 VoIP 송신단말(20)로부터 VoIP 수신단말(40)과의 보안 통신을 위해 필요한 암호키의 일종인 마스터키를 요청 받으면, 마스터키를 생성하여 VoIP 송신단말(20)로 전송한다. 그 후, 제 3 신뢰기관(10)은 상기 마스터키로부터 세션키를 생성하고, 상기 세션키를 키 복구처리 시스템(50)으로 전송할 수도 있다. 이 때, 세션키는 VoIP 송신단말(20)과 수신단말(40)간의 음성 패킷을 실제로 암호화하는데 사용되는 암호키이다.
도 2는 본 발명의 일 실시예에 따른 제 3 신뢰기관의 상세 구성을 도시한 도면으로, 구체적으로는, 제 3 신뢰기관(10)은 제어부(11), 암호키 생성부(12), 저장부(13) 및 전송부(14)를 포함한다.
암호키 생성부(12)는 VoIP 송신단말(20)로부터의 암호키 요청이 있으면, 제어부(11)의 제어에 따라 마스터키를 생성하고, 상기 마스터키로부터 세션키를 생성한다.
저장부(13)는 제어부(11)의 제어에 따라 암호키 생성부(12)에 의해 생성된 마스터키 및 세션키를 저장한다.
전송부(14)는 제어부(11)의 제어에 따라 마스터키 및 세션키를 각각 VoIP 송신단말(20) 및 키 복구처리 시스템(50)으로 전송한다.
제어부(11)는 제 3 신뢰기관(10)을 구성하는 각 구성요소들의 제어를 담당하며, 필요에 따라 키 복구 요청 기록 관리 및 감사 관리 등의 부가적인 기능을 수행할 수도 있다.
수집장치(30)는 키 복구처리 시스템(50)으로부터 수신한 감청 명령에 따라 감청의 대상이 되는 VoIP 송신단말(20)과 VoIP 수신단말(40)간에 송수신되는 보안 패킷을 수집하고, 수집한 보안 패킷을 키 복구처리 시스템(50)으로 전송한다.
키 복구처리 시스템(50)은 감청 요청자(60)로부터 감청 요청을 받아 수집장치(30)로 감청 명령을 한다. 또한, 키 복구처리 시스템(50)은 수집장치(30)로부터 보안 패킷을 수신하고 제 3 신뢰기관(10)으로부터 마스터키 또는 세션키를 수신한 후, 상기 마스터키 또는 세션키를 이용하여 상기 보안 패킷을 복호화하여 감청 요청자(60)에게 제공한다. 다른 방법으로는, 키 복구처리 시스템(50)은 제 3 신뢰기관(10)으로부터 수신한 마스터키 또는 세션키 및 상기 보안 패킷을 함께 감청 요청자(60)에게 제공하여, 감청 요청자(60)가 보안 패킷을 복호화하도록 할 수도 있다.
도 3은 본 발명의 일 실시예에 따른 키 복구처리 시스템의 상세 구성을 도시한 도면으로, 구체적으로는, 키 복구처리 시스템(50)은 제어부(51), 복호부(52), 저장부(53) 및 전송부(54)를 포함한다.
복호부(52)는 제 3 신뢰기관(10)으로부터 수신한 마스터키 또는 세션키를 이용하여 수집장치(30)로부터 수신한 보안 패킷을 복호화한다.
저장부(53)는 제어부(51)의 제어에 따라 VoIP 송신단말(20)과 VoIP 수신단말(40)간의 통화 정보, 예를 들어 송수신단말의 ID, 송수신단말의 IP/Port, 통화개시시간, 통화종료시간 등과 같은 정보를 저장한다. 이 때, 통화 정보는 복호부(52)에서 복호화된 패킷으로부터 추출된다.
전송부(54)는 수집장치(30)로부터 보안 패킷을 수신하고 제 3 신뢰기관(10)으로부터 마스터키 또는 세션키를 수신하며 감청 요청자(60)에게 복호화된 패킷을 전송한다.
제어부(51)는 키 복구처리 시스템(50)을 구성하는 각 구성요소들의 제어를 담당하며, 필요에 따라 키 복구 요청 기록 관리 및 감사 관리 등의 부가적인 기능을 수행할 수도 있다.
이하, 도 4 및 도 5를 참조하여 본 발명에 따른 제 3 신뢰기관을 이용한 VoIP 보안 통신에서의 감청 방법을 설명한다.
도 4는 본 발명의 일 실시예에 따라 제 3 신뢰기관을 이용하여 VoIP 보안 통신에서 감청하는 과정을 도시한 흐름도이다.
우선, 감청 요청자(60)가 키 복구처리 시스템(50)으로 감청 대상 단말 정보, 예를 들어 송수신단말의 ID, 송수신단말의 IP/Port 정보를 제공하며 감청 요청을 하면(S10), 키 복구처리 시스템(50)은 수집장치(30)로 상기 감청 대상 단말 정보를 전송하며 감청 명령을 한다(S11).
한편, VoIP 송신단말(20)이 VoIP 수신단말(40)과의 보안 통신을 위해 제 3 신뢰기관(10)으로 마스터키를 요청하면(S12), 제 3 신뢰기관(10)은 마스터키를 생성하여 VoIP 송신단말(20)로 전송한다(S13).
이 후, VoIP 송신단말(20)이 VoIP 수신단말(40)과의 보안 통신 개시를 위해 VoIP 수신단말(40)로 상기 마스터키를 포함하는 INVITE 메시지를 전송하면(S14), VoIP 수신단말(40)이 VoIP 송신단말(20)로 응답 메시지를 전송한 후(S15), VoIP 송신단말(20)과 VoIP 수신단말(40)간의 보안 통신이 이루어진다(S16).
이처럼, VoIP 송신단말(20)과 VoIP 수신단말(40)간의 보안 통화가 이루어지는 동안, 수집장치(30)는 감청 대상인 VoIP 송신단말(20)과 VoIP 수신단말(40)간에 송수신되는 보안 패킷을 수집하고(S17), 수집한 보안 패킷을 키 복구처리 시스템(50)으로 전송한다(S18).
이 후, 키 복구처리 시스템(50)은 제 3 신뢰기관(10)으로부터 마스터키를 수신하고(S19), 상기 마스터키를 이용하여 수집장치(30)로부터 수신한 보안 패킷을 실시간으로 복호화한 후(S20), 복호화된 패킷을 감청 요청자(60)에게 제공한다(S21).
다른 방법으로는, 상기 단계 S19 이후에, 키 복구처리 시스템(50)이 제 3 신뢰기관(10)으로부터 수신한 마스터키 및 수집장치(30)로부터 수신한 보안 패킷을 함께 감청 요청자(60)에게 제공함으로써(미도시), 감청 요청자(60)가 직접 보안 패킷을 복호화하도록 할 수도 있다.
도 5는 본 발명의 다른 실시예에 따라 제 3 신뢰기관을 이용하여 VoIP 보안 통신에서 감청하는 과정을 도시한 흐름도이다.
우선, 감청 요청자(60)가 키 복구처리 시스템(50)으로 감청 대상 단말 정보, 예를 들어 송수신단말의 ID, 송수신단말의 IP/Port 정보를 제공하며 감청 요청을 하면(S30), 키 복구처리 시스템(50)은 수집장치(30)로 상기 감청 대상 단말 정보를 전송하며 감청 명령을 한다(S31).
한편, VoIP 송신단말(20)이 VoIP 수신단말(40)과의 보안 통신을 위해 제 3 신뢰기관(10)으로 마스터키를 요청하면(S32), 제 3 신뢰기관(10)은 마스터키를 생성하여 VoIP 송신단말(20)로 전송한다(S33).
이 후, VoIP 송신단말(20)이 VoIP 수신단말(40)과의 보안 통신 개시를 위해 VoIP 수신단말(40)로 상기 마스터키를 포함하는 INVITE 메시지를 전송하면(S34), VoIP 수신단말(40)이 VoIP 송신단말(20)로 응답 메시지를 전송한다(S35).
이 후, 제 3 신뢰기관(10), VoIP 송신단말(20) 및 VoIP 수신단말(40) 각각에서는 상기 마스터키로부터 세션키를 생성한 후(S36), VoIP 송신단말(20)과 VoIP 수신단말(40)간의 보안 통신이 이루어진다(S37).
이처럼, VoIP 송신단말(20)과 VoIP 수신단말(40)간의 보안 통화가 이루어지는 동안, 수집장치(30)는 감청 대상인 VoIP 송신단말(20)과 VoIP 수신단말(40)간에 송수신되는 보안 패킷을 수집하고(S38), 수집한 보안 패킷을 키 복구처리 시스템(50)으로 전송한다(S39).
이 후, 키 복구처리 시스템(50)은 제 3 신뢰기관(10)으로부터 세션키를 수신하고(S40), 상기 세션키를 이용하여 수집장치(30)로부터 수신한 보안 패킷을 실시간으로 복호화한 후(S41), 복호화된 패킷을 감청 요청자(60)에게 제공한다(S42).
다른 방법으로는, 상기 단계 S40 이후에, 키 복구처리 시스템(50)이 제 3 신뢰기관(10)으로부터 수신한 세션키 및 수집장치(30)로부터 수신한 보안 패킷을 함께 감청 요청자(60)에게 제공함으로써(미도시), 감청 요청자(60)가 직접 보안 패킷을 복호화하도록 할 수도 있다.
본 발명에 따른 실시예는 상술한 것으로 한정되지 않고, 본 발명과 관련하여 통상의 지식을 가진 자에게 자명한 범위 내에서 여러 가지의 대안, 수정 및 변경하여 실시할 수 있다.
본 발명에 의하면, VoIP 송신단말은 제 3 신뢰기관으로부터 수신한 마스터키를 이용하여 보안 패킷을 생성한 후 VoIP 수신단말과 통화한다. 키 복구처리 시스템으로부터 감청 명령을 받은 수집 장치는 상기 보안 패킷을 수집하여 키 복구처리 시스템으로 전송하고, 키 복구처리 시스템은 제 3 신뢰기관으로부터 수신한 마스터키를 이용하여 상기 보안 패킷을 복호화한 후 감청 요청자에게 제공하거나 또는 제 3 신뢰기관으로부터 수신한 마스터키 및 상기 보안 패킷을 감청 요청자에게 제공해 준다.. 이를 통해, VoIP 보안 통신 환경에서 완전한 감청을 제공할 수 있고, 제 3 신뢰기관에서 관리하는 마스터키가 매 통화시 변경되므로 완전 순방향 비밀성(Perfect Forward Secrecy)을 보장할 수 있다.
도 1은 본 발명에 따른 제 3 신뢰기관을 이용한 VoIP 보안 통신에서의 감청 시스템의 구성을 도시한 도면.
도 2는 본 발명의 일 실시예에 따른 제 3 신뢰기관의 상세 구성을 도시한 도면.
도 3은 본 발명의 일 실시예에 따른 키 복구처리 시스템의 상세 구성을 도시한 도면.
도 4는 본 발명의 일 실시예에 따라 제 3 신뢰기관을 이용하여 VoIP 보안 통신에서 감청하는 과정을 도시한 흐름도.
도 5는 본 발명의 다른 실시예에 따라 제 3 신뢰기관을 이용하여 VoIP 보안 통신에서 감청하는 과정을 도시한 흐름도.

Claims (13)

  1. 제 3 신뢰기관을 이용한 VoIP 송신단말 및 VoIP 수신단말 간의 보안 통신을 감청하기 위한 시스템으로서,
    상기 VoIP 송신단말로부터 마스터키 요청을 수신하여 마스터키를 생성하고, 생성한 마스터키를 상기 VoIP 송신단말 및 키 복구처리 시스템으로 전송하는 제 3 신뢰기관;
    감청 요청자로부터의 감청 요청을 받아 수집장치로 감청 명령을 하고, 상기 수집장치로부터 보안 패킷을 수신하고 상기 제 3 신뢰기관으로부터 상기 마스터키를 수신하며, 상기 마스터키를 이용하여 상기 보안 패킷을 복호화하여 상기 감청 요청자에게 복호화된 패킷을 제공하거나 상기 마스터키 및 상기 보안 패킷을 상기 감청 요청자에게 제공하는 키 복구처리 시스템; 및
    상기 키 복구처리 시스템으로부터 수신한 감청 명령에 따라 상기 VoIP 송신단말과 상기 VoIP 수신단말간에 송수신되는 보안 패킷을 수집하고, 수집한 보안 패킷을 상기 키 복구처리 시스템으로 전송하는 수집장치를 포함하는 것을 특징으로 하는 감청 시스템.
  2. 제 1 항에 있어서,
    상기 제 3 신뢰기관은,
    상기 마스터키를 이용하여 세션키를 생성하고, 상기 세션키를 키복구처리 시스템으로 전송하는 기능을 추가적으로 수행하고,
    상기 키 복구처리 시스템은,
    감청 요청자로부터의 감청 요청을 받아 수집장치로 감청 명령을 하고, 상기 수집장치로부터 보안 패킷을 수신하고 상기 제 3 신뢰기관으로부터 상기 세션키를 수신하며, 상기 세션키를 이용하여 상기 보안 패킷을 복호화하여 상기 감청 요청자에게 복호화된 패킷을 제공하거나 상기 세션키 및 상기 보안 패킷을 상기 감청 요청자에게 제공하는 것을 특징으로 하는 감청 시스템.
  3. 제 2 항에 있어서,
    상기 제 3 신뢰기관은,
    상기 VoIP 송신단말로부터의 마스터키 요청에 따라 마스터키를 생성하고, 상기 마스터키를 이용하여 세션키를 생성하는 암호키 생성부;
    상기 암호키 생성부에 의해 생성된 상기 마스터키 및 상기 세션키를 저장하는 저장부;
    상기 마스터키를 상기 VoIP 송신단말로 전송하고, 상기 세션키를 상기 키 복구처리 시스템으로 전송하는 전송부; 및
    상기 제 3 신뢰기관을 구성하는 각 구성요소들의 제어를 담당하는 제어부를 포함하는 것을 특징으로 하는 감청 시스템.
  4. 제 3 항에 있어서,
    상기 제어부는 키 복구 요청 기록 관리 및 감사 관리 기능을 추가적으로 수행하는 것을 특징으로 하는 감청 시스템.
  5. 제 1 항 또는 제 2 항에 있어서,
    상기 키 복구처리 시스템은,
    상기 제 3 신뢰기관으로부터 수신한 마스터키 또는 세션키를 이용하여 상기 수집장치로부터 수신한 보안 패킷을 복호화하는 복호부;
    상기 복호부에 의해 복호화된 패킷으로부터 추출된 상기 VoIP 송신단말과 상기 VoIP 수신단말간의 통화 정보를 저장하는 저장부;
    상기 수집장치로부터 보안 패킷을 수신하고, 상기 제 3 신뢰기관으로부터 마스터키 또는 세션키를 수신하며, 감청 요청자에게 상기 복호화된 패킷을 전송하는 전송부; 및
    상기 키 복구처리 시스템을 구성하는 각 구성요소들의 제어를 담당하는 제어부를 포함하는 것을 특징으로 하는 감청 시스템.
  6. 제 5 항에 있어서,
    상기 통화 정보는 VoIP 송신단말 및 수신단말의 ID, VoIP 송신단말 및 수신단말의 IP/Port, 통화개시시간 및 통화종료시간 정보를 포함하는 것을 특징으로 하는 감청 시스템.
  7. 제 5 항에 있어서,
    상기 제어부는 키 복구 요청 기록 관리 및 감사 관리 기능을 추가적으로 수행하는 것을 특징으로 하는 감청 시스템.
  8. 제 3 신뢰기관을 이용한 VoIP 송신단말 및 VoIP 수신단말 간의 보안 통신을 감청하기 위한 방법으로서,
    키 복구처리 시스템이 감청 요청자로부터의 감청 요청에 따라 수집장치에 감청 명령을 하는 단계(a);
    상기 제 3 신뢰기관이 상기 VoIP 송신단말로부터의 마스터키 요청을 수신하여 마스터키를 생성하고 생성한 마스터키를 상기 VoIP 송신단말로 전송하는 단계(b);
    상기 VoIP 송신단말 및 VoIP 수신단말간에 상기 마스터키를 교환하고 보안 통신을 수행하는 단계(c);
    상기 수집장치가 상기 VoIP 송신단말 및 VoIP 수신단말간에 송수신되는 보안 패킷을 수집하여 상기 키 복구처리 시스템으로 전송하는 단계(d); 및
    상기 키 복구처리 시스템이 상기 제 3 신뢰기관으로부터 마스터키를 수신하고 수신한 마스터키를 이용하여 상기 보안 패킷을 복호화하여 상기 감청 요청자에게 복호화된 패킷을 제공하는 단계(e)를 포함하는 것을 특징으로 하는 감청 방법.
  9. 제 8 항에 있어서,
    상기 단계(c)는,
    상기 VoIP 송신단말 및 VoIP 수신단말간에 상기 마스터키를 교환하는 단계(c1); 및
    상기 제 3 신뢰기관, 상기 VoIP 송신단말 및 상기 VoIP 수신단말 각각에서 상기 마스터키를 이용하여 세션키를 생성한 후 보안 통신을 수행하는 단계(c2)를 포함하며,
    상기 단계(e)는,
    상기 키 복구처리 시스템이 상기 제 3 신뢰기관으로부터 상기 세션키를 수신하고 상기 세션키를 이용하여 상기 보안 패킷을 복호화하여 상기 감청 요청자에게 복호화된 패킷을 제공하는 것을 특징으로 하는 감청 방법.
  10. 제 8 항 또는 제 9 항에 있어서,
    상기 단계(c)에서 상기 VoIP 송신단말 및 상기 VoIP 수신단말간의 마스터키의 교환은,
    상기 VoIP 송신단말이 상기 VoIP 수신단말로 상기 마스터키를 포함하는 INVITE 메시지를 전송하는 단계; 및
    상기 VoIP 수신단말이 상기 VoIP 송신단말로 상기 INVITE 메시지에 대한응답 메시지를 전송하는 단계를 포함하는 것을 특징으로 하는 감청 방법.
  11. 제 8 항에 있어서,
    상기 단계(e)는,
    상기 키 복구처리 시스템이 상기 제 3 신뢰기관으로부터 마스터키를 수신하고 수신한 마스터키 및 상기 수집장치로부터 수신한 보안 패킷을 상기 감청 요청자에게 제공하는 것을 특징으로 하는 감청 방법.
  12. 제 9 항에 있어서,
    상기 단계(e)는,
    상기 키 복구처리 시스템이 상기 제 3 신뢰기관으로부터 세션키를 수신하고 수신한 세션키 및 상기 수집장치로부터 수신한 보안 패킷을 상기 감청 요청자에게 제공하는 것을 특징으로 하는 감청 방법.
  13. 제 11 항 또는 제 12 항에 있어서,
    상기 단계(c)에서 상기 VoIP 송신단말 및 상기 VoIP 수신단말간의 마스터키의 교환은,
    상기 VoIP 송신단말이 상기 VoIP 수신단말로 상기 마스터키를 포함하는 INVITE 메시지를 전송하는 단계; 및
    상기 VoIP 수신단말이 상기 VoIP 송신단말로 상기 INVITE 메시지에 대한응답 메시지를 전송하는 단계를 포함하는 것을 특징으로 하는 감청 방법.
KR1020070119164A 2007-11-21 2007-11-21 제 3 신뢰기관을 이용한 VoIP 보안 통신에서의 감청시스템 및 감청 방법 KR100852146B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020070119164A KR100852146B1 (ko) 2007-11-21 2007-11-21 제 3 신뢰기관을 이용한 VoIP 보안 통신에서의 감청시스템 및 감청 방법
US12/181,543 US20100002880A1 (en) 2007-11-21 2008-07-29 SYSTEM AND METHOD FOR LAWFUL INTERCEPTION USING TRUSTED THIRD PARTIES IN SECURE VoIP COMMUNICATIONS

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070119164A KR100852146B1 (ko) 2007-11-21 2007-11-21 제 3 신뢰기관을 이용한 VoIP 보안 통신에서의 감청시스템 및 감청 방법

Publications (1)

Publication Number Publication Date
KR100852146B1 true KR100852146B1 (ko) 2008-08-13

Family

ID=39881740

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070119164A KR100852146B1 (ko) 2007-11-21 2007-11-21 제 3 신뢰기관을 이용한 VoIP 보안 통신에서의 감청시스템 및 감청 방법

Country Status (2)

Country Link
US (1) US20100002880A1 (ko)
KR (1) KR100852146B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101289888B1 (ko) 2009-12-15 2013-07-24 한국전자통신연구원 감청 방법 및 이를 수행하는 단말
US11153287B2 (en) 2015-07-06 2021-10-19 Samsung Electronics Co., Ltd Method, apparatus, and system for monitoring encrypted communication session

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7975140B2 (en) * 2005-04-08 2011-07-05 Nortel Networks Limited Key negotiation and management for third party access to a secure communication session
US8549101B2 (en) * 2009-06-16 2013-10-01 Oracle International Corporation Portable embedded local server for write-through cache
US8868707B2 (en) * 2009-06-16 2014-10-21 Oracle International Corporation Adaptive write-back and write-through caching for off-line data
CN103152748B (zh) 2011-12-07 2015-11-25 华为技术有限公司 通信监听方法、基站和终端
GB201202058D0 (en) 2012-02-07 2012-03-21 Ericsson Telefon Ab L M Lawful interception of encrypted communications
CN103546442B (zh) * 2012-07-17 2018-10-23 中兴通讯股份有限公司 浏览器的通讯监听方法及装置
US9948628B2 (en) * 2013-02-07 2018-04-17 Nokia Technologies Oy Method for enabling lawful interception by providing security information
US9438568B2 (en) * 2013-08-02 2016-09-06 Zeva Incorporated System and method for email and file decryption without direct access to required decryption key
WO2016119900A1 (en) * 2015-01-30 2016-08-04 Nec Europe Ltd. Method and system for managing encrypted data of devices
US9742813B2 (en) * 2015-11-24 2017-08-22 Adobe Systems Incorporated Detecting potential legal decryption of historical data
US9894109B2 (en) 2016-01-22 2018-02-13 Cisco Technology, Inc. Lawful intercept in an internet protocol-based telephony system
RU2681334C2 (ru) * 2017-05-23 2019-03-06 Закрытое акционерное общество "Позитив Текнолоджиз" Система и способ идентификации информационных активов
JP6456451B1 (ja) * 2017-09-25 2019-01-23 エヌ・ティ・ティ・コミュニケーションズ株式会社 通信装置、通信方法、及びプログラム
US11695772B1 (en) * 2022-05-03 2023-07-04 Capital One Services, Llc System and method for enabling multiple auxiliary use of an access token of a user by another entity to facilitate an action of the user

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1452000A2 (en) 2001-12-07 2004-09-01 Telefonaktiebolaget LM Ericsson (publ) Lawful interception of end-to-end encrypted data traffic

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6754834B2 (en) * 2001-11-23 2004-06-22 Nokia Corporation Technique for generating correlation number for use in lawful interception of telecommunications traffic
US7092493B2 (en) * 2003-10-01 2006-08-15 Santera Systems, Inc. Methods and systems for providing lawful intercept of a media stream in a media gateway
US7730521B1 (en) * 2004-09-23 2010-06-01 Juniper Networks, Inc. Authentication device initiated lawful intercept of network traffic
US7657011B1 (en) * 2006-03-16 2010-02-02 Juniper Networks, Inc. Lawful intercept trigger support within service provider networks
US9456009B2 (en) * 2007-08-03 2016-09-27 Centurylink Intellectual Property Llc Method and apparatus for securely transmitting lawfully intercepted VOIP data

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1452000A2 (en) 2001-12-07 2004-09-01 Telefonaktiebolaget LM Ericsson (publ) Lawful interception of end-to-end encrypted data traffic

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
보안이 적용된 VOIP시스템의 합법적 감청을 위한 미디어 키 분배 기법(한국통신학회논문지, 2006.8)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101289888B1 (ko) 2009-12-15 2013-07-24 한국전자통신연구원 감청 방법 및 이를 수행하는 단말
US11153287B2 (en) 2015-07-06 2021-10-19 Samsung Electronics Co., Ltd Method, apparatus, and system for monitoring encrypted communication session

Also Published As

Publication number Publication date
US20100002880A1 (en) 2010-01-07

Similar Documents

Publication Publication Date Title
KR100852146B1 (ko) 제 3 신뢰기관을 이용한 VoIP 보안 통신에서의 감청시스템 및 감청 방법
US7424615B1 (en) Mutually authenticated secure key exchange (MASKE)
US9167422B2 (en) Method for ensuring media stream security in IP multimedia sub-system
US7769176B2 (en) Systems and methods for a secure recording environment
WO2010064666A1 (ja) 鍵配布システム
KR100862050B1 (ko) VoIP 보안 통신을 제공하는 사용자 에이전트 및 이를이용한 보안 통신 제공 방법
US7848524B2 (en) Systems and methods for a secure recording environment
US7853800B2 (en) Systems and methods for a secure recording environment
CA2360781A1 (en) Key management for telephone calls to protect signaling and call packets between cta's
CN104219041A (zh) 一种适用于移动互联网的数据传输加密方法
KR101297936B1 (ko) 단말기 간의 보안 통신 방법 및 그 장치
CN102202299A (zh) 一种基于3g/b3g的端到端语音加密系统的实现方法
US8693686B2 (en) Secure telephone devices, systems and methods
US20110135093A1 (en) Secure telephone devices, systems and methods
CN101202630A (zh) 在tr069综合终端管理平台加解密的方法和系统
CN105429962A (zh) 一种通用的面向加密数据的中间网络服务构建方法与体系
US20080109652A1 (en) Method, media gateway and system for transmitting content in call established via media gateway control protocol
KR101210938B1 (ko) 암호 통신 방법 및 이를 이용한 암호 통신 시스템
CN112019553B (zh) 一种基于ibe/ibbe数据共享方法
Bilien Key Agreement for secure Voice over IP
CN101729535B (zh) 一种媒体点播业务的实现方法
GB2376392A (en) Legal interception of encrypted IP traffic
CN201663659U (zh) 条件接收系统前端和用户管理系统
KR100458954B1 (ko) 데이터 암호화 전송 방법
Jain “Sec-KeyD” an efficient key distribution protocol for critical infrastructures

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20120713

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20130614

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20140813

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20150720

Year of fee payment: 8

LAPS Lapse due to unpaid annual fee