KR100875341B1 - 퍼블릭 네트워크를 이용한 가상 프라이비트 네트워크 생성방법 - Google Patents

퍼블릭 네트워크를 이용한 가상 프라이비트 네트워크 생성방법 Download PDF

Info

Publication number
KR100875341B1
KR100875341B1 KR1020047001345A KR20047001345A KR100875341B1 KR 100875341 B1 KR100875341 B1 KR 100875341B1 KR 1020047001345 A KR1020047001345 A KR 1020047001345A KR 20047001345 A KR20047001345 A KR 20047001345A KR 100875341 B1 KR100875341 B1 KR 100875341B1
Authority
KR
South Korea
Prior art keywords
unit
key
network
vpn
virtual private
Prior art date
Application number
KR1020047001345A
Other languages
English (en)
Other versions
KR20040021674A (ko
Inventor
다니엘 콜렛
Original Assignee
나그라비젼 에스에이
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=4565466&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=KR100875341(B1) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by 나그라비젼 에스에이 filed Critical 나그라비젼 에스에이
Publication of KR20040021674A publication Critical patent/KR20040021674A/ko
Application granted granted Critical
Publication of KR100875341B1 publication Critical patent/KR100875341B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/065Network architectures or network communication protocols for network security for supporting key management in a packet data network for group communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)
  • Telephonic Communication Services (AREA)
  • Small-Scale Networks (AREA)

Abstract

본 발명의 목적은 퍼블릭 네트워크를 통해 여러 컴퓨터나 멀티미디어 유닛들간에 데이터를 교환하면서도 이 데이터의 보안성을 보장하는 것이다.
이 목적은 퍼블릭 네트워크에 연결된 다수의 유닛들을 가지는 가상 프라이비트 네트워크(VPN)를 생성하고 이용하기 위한 방법에 의해 달성된다. 이때, 각각의 유닛은 고유 번호(UA)를 가지는 보안 수단을 포함하며, 이 방법은,
- 유닛 Un의 보안 수단에 의해, 고유 번호 UAn에 관련된 권리 Dn을 발생시키고,
- 한개 이상 유닛 Um의 보안 수단에 이 권리 Dn을 이송하며,
- 암호화 데이터 키 KS에 의해, 권리 Dn의 설명과 유닛 Un에 의해 전송되는 데이터를 암호화하고, 그리고
- 제 2 유닛 Um에 의해 암호화된 데이터를 수신하여, 이 데이터를 유닛 Um의 보안 수단에 제시하고, 권리 Dn이 존재하는 지를 확인하여, 존재할 경우, 암호화 데이터 키 KS에 의해 데이터를 해역하는
단계를 포함하는 것을 특징으로 한다.

Description

퍼블릭 네트워크를 이용한 가상 프라이비트 네트워크 생성 방법{METHOD OF CREATING A VIRTUAL PRIVATE NETWORK USING A PUBLIC NETWORK}
본 발명은 통신 네트워크 도메인에 관한 것으로서, 특히 퍼블릭 네트워크 내에 프라이비트 네트워크를 생성하는 방법에 관한 것이다.
이 네트워크들은 "가상 프라이비트 네트워크(VPN; Virtual Private Network)라 알려져 있다.
보안 연결 생성을 위한 키들(keys)의 교환 프로토콜을 이용하여 퍼블릭 네트워크 상의 두 점 사이에 보안 연결이 구축될 것이라는 점은 잘 알려져 있다. 이러한 프로토콜은 SSL로 표현되며, 대칭 세션 암호화 키의 규정을 위한 한쌍의 키, 즉, 퍼블릭 키와 프라이비트 키에 바탕한 데이터 교환을 기반으로 한다. 데이터는 이 세션 키에 의해 코드화되며, 세션 키는 이 거래용으로만 사용된다.
이 기능은 두 대화자간에서만 발전될 수 있으며 따라서 여러 사용자에 대한 네트워크 형성을 불허한다. 실제로, 연결할 컴퓨터와 동일한 양의 대화 개체를 가질 필요가 있다.
인터넷처럼 동일한 퍼블릭 네트워크에 연결되어 있으나 멀리 떨어진 여러 지점들을 링크시키고자 할 때, 이러한 네트워크를 생성할 필요성이 존재한다.
이러한 필요성은 교환된 데이터의 실질적인 보호와 함께 진행된다. 왜냐하면 인터넷에 연결할 때 보안성이 보장되지 않기 때문이다.
이러한 방식으로 인해, 해결되지 않은 문제점들이 존재한다. 즉, 데이터의 보안성을 보장하면서 퍼블릭 네트워크를 통해 여러 컴퓨터나 멀티미디어 개체들을 링크하는 방법이 아직 해결되지 않고 있다.
이 목적은 퍼블릭 네트워크에 연결된 다수의 유닛들을 가지는 가상 프라이비트 네트워크(VPN)를 생성하고 이용하기 위한 방법에 의해 달성된다. 이때, 각각의 유닛은 고유 번호(UA)를 가지는 보안 수단을 포함하며, 이 방법은,
- 유닛 Un의 보안 수단에 의해, 고유 번호 UAn에 관련된 권리 Dn을 발생시키고,
- 한개 이상 유닛 Um의 보안 수단에 이 권리 Dn을 이송하며,
- 암호화 데이터 키 KS에 의해, 권리 Dn의 설명과 유닛 Un에 의해 전송되는 데이터를 암호화하고, 그리고
- 제 2 유닛 Um에 의해 암호화된 데이터를 수신하여, 이 데이터를 유닛 Um의 보안 수단에 제시하고, 권리 Dn이 존재하는 지를 확인하여, 존재할 경우, 암호화 데이터 키 KS에 의해 데이터를 해역하는
단계를 포함하는 것을 특징으로 한다.
유닛 U2가 유닛 U1과 통신하고자 할 경우, 유닛 U2는 식별자로 권리 D1을 이용하여 동일한 동작을 실행하며, 유닛 U1은 이 권리를 내포하기 때문에 데이터를 수신할 수 있다.
유닛 U1이 권리 D1을 제 3 유닛 U3에 전달할 때, 동일한 원리가 유닛 U1과 유닛 U3 간에 적용되며, 유닛 U2와 유닛 U3 사이에도 적용된다. 이는 유닛 U1에 의해 개시된 권리 D1을 이용하여 데이터의 해역을 승인하게 한다.
따라서, 관리자가 유닛 U1이 자발적 네트워크가 생성되었음을 알 수 있고, 유닛 U1이 제 1 권리를 생성하였음을 알 수 있다.
우리는 이 유닛들을 두 범주로 나눌 수 있다. 즉, 유닛 U1과 같은 발생 유닛과, 유닛 U2와 U3같은 참여 유닛으로 나눌 수 있다.
유닛 U3의 데이터 해역을 불허하면서 유닛 U2가 유닛 U1과 통신하고자 할 경우, 유닛 U2가 또한 발생 유닛이 되어 유닛 U1에 D2 권리를 전달한다는 점에 주목하여야 한다. 유닛 U1과 U2간에 제 2 가상 네트워크가 생성된다.
실제로, 이 보안 수단이 여러 형태로 제시될 수 있다. 암호화/해역 메커니즘에 고도의 보안성을 보장하기 위해, 보안 키같은 암호화 엔진 및 데이터를 내포한 전용 마이크로프로세서가 사용된다.
이 마이크로프로세서들은 플러그-인 SIM이나 ISO 7816-2 포맷을 가진 마이크로칩 카드의 형태로 공급된다.
발명의 첫 번째 실시예에 따르면, 유닛들의 네트워크 카드가, 가령 GSM 전화와 같은 방식으로, 기언급한 마이크로칩 카드를 포함한다. 데이터는 네트워크 카드 상에서 직접 처리되고 작업이 명료한 방식으로 행하여진다.
데이터 발급 시에, 유닛 U2의 사용자는 암호화가 행하여져야할 네트워크를 선택하기만 하면 될 것이다. 실제로, 유닛 U2가 여러 네트워크의 일부분일 수 있고 따라서 선택이 이루어질 수 있다.
권리 D1을 또다른 유닛에 전달하는 것은 상당한 주의를 필요로하는 동작이다. 실제로, 이 권리가 U1에 의해 요망되는 유닛에게로만 로딩되는 것을 보장할 필요가 있다. 이때문에, 아래와 같은 여러 해법이 존재한다.
- 유닛 U1은 유닛 U2의 퍼블릭 키에 대한 액세스를 획득하여, 권리 D1을 해역하고 이를 유닛 U2에 전달한다. 이 권리 D1은 프라이비트 키 덕택에 유닛 U2에 의해서만 해역될 수 있다. 유닛 U2의 프라이비트 키를 소지하지 않은 다른 유닛들은 권리 D1을 해역할 수 없다.
- 보안 수단의 초기설정 프로토콜은 패스워드 입력을 요구한다. 권리 D1의 발생 시에, 유닛 U1은 암호화된 형태 하에서 이 권리에 관련된 패스워드를 입력할 것을 사용자에게 요청한다. 이 권리 D1이 유닛 U2에 전달되고, U2의 사용자가 이 권리를 보안 수단에 로딩하고자 할 때 보안 수단은 패스워드 입력을 요청한다. 모든 보안 모듈에 내포된 비밀 키 덕분에, 패스워드는 권리 D1에 내포된 패스워드와 함께 제어되며, 이 권리는 패스워드가 동일할 경우에만 로딩된다. 패스워드는 U1과 U2 사이에서 전화같은 다른 수단에 의해 전송된다. 본 해법의 한가지 변형은 다량의 필링 데이터(filling data)와 혼합하여 권리 D1을 전송하는 과정을 포함한다. 그후 패스워드는 이 여분의 데이터 내에서 권리 D1을 추출하기 위한 어드레싱 키로 사용된다.
- 간단하고 효과적인 수단이 플라피디스크같은 탈착식 베이스 상에 권리 D1 을 로딩시킬 것이고, 이를 U2에 전달할 것이다.
- 보안 수단의 호스트 장치는 제 2 보안 수단을 위치시킬 수 있는 제 2 위치를 처분한다. 이송은 매우 제한된 환경에서 한 수단으로부터 다른 수단에게로 이루어진다.
권리 D1이 U2와는 다른 유닛으로 로딩되는 것을 방지하기 위해, 권리 D1을 발생시켜서 권리 D1을 U2의 고유 번호(즉, UA2)에 관련시키는 것이 가능하다. 따라서 이 권리 D1은 (유닛 U2에 대한) 고유 번호 UA2에 관련되어, 유닛 U2에 전달된다. 다른 보안 수단(Un)이 이 권리를 로딩하려 시도할 경우, 그 고유 번호 UAn이 권리 D1에 관련된 고유 번호에 해당하는 지를 제어하기 위해 확인 과정이 이루어진다.
여러 다른 거래 중 사용되는 키들이 중요한 역할을 한다. 상기 데이터의 키 암호화를 위해, 여러 변형들이 사용될 수 있다.
제 1 실시예에 따르면, 보안 수단은 모든 보안 수단에 공통인 비밀 키(secret key)를 포함한다. 이 키는 비대칭형(RSA)일 수도 있고, 대칭형(DES, CAST, IDEA)일 수도 있다.
두 번째 변형에 따르면, 유닛 U1의 보안 수단이 암호화/해역 키 K1을 발생시키고, 이는 서비스 키 K0에 의해 암호화되어, 권리 D1과 함께 전달된다. 이는 상술한 방식에 따라 이루어진다. 이 방식으로, 가상 네트워크만큼 많은 수의 서로 다른 키들이 존재할 것이다. 따라서 세 개의 네트워크에 참가하는 한개의 유닛은 세가지의 암호화 키를 저장할 것이다.
발명의 보다 정교한 형태에서, 유닛 U1이, 그 네트워크의 일부분인 U2없이, U3로 데이터를 전송하고자 할 수 있다(이 정보를 읽어들 수 있다).
이는 U1이 권리 D1을 발생시킬 때 네트워크 인덱스가 추가되기 때문이다. 이 인덱스는 가령 U1에 의해 생성된 네트워크의 수를 256개로 제한하고자 할 경우 일부 비트에 대해 유지될 수 있다. 유닛 U2 측에서, 유닛 U2가 U1에 의해 개시되는 여러 네트워크에 참여할 경우, 권리 D1을 복제하지 않고 네트워크의 인덱스만을 복제할 것이다.
이 권리를 유닛 U2에 전송하는 단계 이후, 보안 수단은 이 권리 및 인덱스의 확인 과정을 진행한다. 이 데이터들이 크립토-프로세서에 저장되며 사용자에 의해 수정될 수 없다는 사실을 기억하여야 한다.
이 방식에 따르면, 생성된 여러 다른 네트워크들을 유닛 U1이 관리하는 것이 보다 쉬워질 것이다.
발명은 권리들의 중앙 관리 시스템으로 확장되기도 한다. 모든 유닛들이 관리 센터에 링크된다. 한 유닛이 네트워크 R1의 생성을 요구할 경우, 유닛은 이 요청을 관리 센터에 전달한다.
관리 센터는 이 유닛이 이 동작을 행하도록 승인받았는 지를 확인하고, 긍정적인 경우에, 권리 D1을 유닛 U1에 전달한다. 네트워크 R1에 공통인 키 K1과 함께 전달한다.
유닛 U2가 이 네트워크에 참여하고자 할 경우, 유닛 U1은 상술한 방식에 따라 이 권리 D1을, 또는 이 권리 D1의 일부분을 유닛 U2에 전송한다. 이 권리로, 유 닛 U2는 키 K1과 권리 D1을 함께 수신하기 위해 관리 센터에 액세스할 수 있다.
유닛 U1으로부터 유닛 U2로 이송되는 권리 D1의 일부분에 대하여 살펴보면, 이는 권리 D1이 관리 센터에 의해 유닛 U2로 전체적으로 전송되는 사실에 기인한다. 네트워크 R1이 생성될 때, 유닛 U1이 비밀번호를 권리 D1에 관한 것으로 간주한다. 권리 D1을 나타내는 이 비밀번호는 유닛 U2에 전송되어, 유닛 U2가 이 비밀번호를 관리 센터에 제시한다.
관리 센터는 비밀번호를 확인하고, 정확할 경우, 권리 D1이 유닛 U2에게로 전송된다.
관리 센터를 이용할 때의 주관심점은 이러한 네트워크의 동적 관리에 있다. 실제로, 네트워크 일부분의 노출 문제점이 언제라도 발생할 수 있다. 더욱이, 보안성 수준을 높이기 위해 암호화 키를 자주 변경해야 한다.
이 기능들은 주어진 네트워크에 대한 키 변경에 협조할 수 있는 관리 센터를 통해 가능하다. 모든 유닛을 관리 센터에 링크하는 보호형 연결 덕택에, 이 네트워크의 모든 유닛들에게 새 키가 전송된다. 이 종류의 데이터는 각 유닛의 고유 번호를 수신인으로 암호화하여 전송된다. 따라서, 업데이트된 키의 전송을 중단시킴으로서 그룹의 일부분을 철수시킬 수 있다. 관리 센터는 우측부의 중단 명령을 전달함으로서 일부분을 전송할 수 있다.
도 1은 관리 센터가 없는 한가지 고유 레벨의 네트워크 도면.
도 2는 관리 센터가 없는 여러 가지 레벨의 네트워크 도면.
도 3은 관리 센터가 있는 네트워크의 도면.
도 1은 5개의 식별된 유닛 UN1-UN5를 도시한다. 각각의 유닛은 권리 발생 및 관리의 책임을 지닌 크립토-프로세서(crypto-processor)가 존재하는 보안 수단을 포함한다.
선호되는 실시예에 따르면, 유닛 UN1은 권리 D1을 발생시켜 UN2와 UN4에 전달한다.
마찬가지로, 유닛 UN5는 권리 D5를 발생시켜서 UN2와 UN3에 전달한다.
이때, 우리는 UN1, UN2, UN4로 구성되는 제 1 네트워크와, UN2, UN3, UN5로 구성되는 제 2 네트워크를 가진다. 유닛 UN2는 두 권리를 처리하기 때문에 작업하고자하는 네트워크를 선택하여야 한다.
데이터가 서로 다른 유닛들 사이에서 교환되기 때문에, 두가지 동작 방식이 존재한다. 첫 번째 실시예에 따르면, 여러 다른 유닛들 사이에서 이송된 모든 콘텐트들을 암호화시키기 위해 보안 수단에 내장된(또는 권리와 함께 발생된) 비밀 키가 사용된다. 또다른 방식은 세션 키를 이용하는 것이다.
이 임의적인 세션 키 KS는 송신 유닛에 의해 발생되고, 데이터 암호화에 사용된다. 신속한 동작을 위해, 이 키는 대칭 형태이다. 송신 유닛은 데이터의 해역에 필요한 권리의 설명(description) 및 이 세션 키 KS로 구성되는 제어 데이터 블록을 가진다. 이 제어 데이터 블록은 유닛에 대한 공통 서비스 키에 의해, 또는 권리 D와 함께 발생된 키에 의해 암호화된다.
수신 시에, 제어 블록은 데이터 처리 이전에 보안 수단에 의해 처리된다. 이 수단은 제어 블록을 해역할 것이고 필요한 권리가 이 유닛에 존재하는 지를 확인한다. 긍정적인 경우에, 세션 키 KS가 데이터에 제공되어 해역을 행하게 한다.
도 2는 유닛 UN1이 두 네트워크 D1a, D1b를 생성하기 위해 두 권리를 발생시키는 한가지 변형을 설명한다. 제 1 네트워크가 UN1, UN2, UN3 사이에 생성되고, 제 2 네트워크가 UN1, UN4, UN5 사이에 생성된다.
이 변형은 데이터를 해역할 수 있는 유닛을 선택하는 기밀 데이터 보급에 큰 유연성을 제공한다. 실제로, 송신 네트워크가 퍼블릭 네트워크임에 따라, 한 유닛으로부터 다른 유닛에게로 연결이 이루어졌을 때 권리를 가지는 모든 유닛에 데이터가 액세스할 수 있다고 간주된다.
도 3은 관리 센터 MC를 갖춘 상기 변형을 도시한다. 유닛 UN1은 MC 센터로부터, 그리고 암호화 키 k1으로부터 권리 D1을 필요로한다. 관리 센터 MC는 데이터베이스에서 네트워크 R1의 생성을 레코딩한다. 이 네트워크에 참여하기 위해, 유닛 UN2도 이 권리 D1을 수신할 수 있어야 한다. 이때문에, 사용되는 방법이 상술한 방법일 수도 있고, 또는 관리 센터로부터의 지원을 수신할 수 있다. 실제로, 특정 프로토콜에 따르면, 유닛 UN1이 R1 네트워크를 생성하고자 하는 유닛의 방향을 전달할 수 있다. 관리 센터 MC가 포함하는 보안화된 통신 덕택에 관리 센터 MC는 권리 D1을 모든 관련 유닛에게 암호화/해역 키 k1과 함께 이송할 것이다. 마찬가지 방식으로, 유닛 UN3가 네트워크 R3를 생성하고자할 경우, 유닛 UN3를 권리 D3에 관련된 네트워크 R3 에 할당할 것을 관리 센터에 요청한다.
주어진 네트워크에 참여하는 모든 유닛들을 아는 것은 암호화 키의 규칙적 변경을 위해 중요하다. 센터 MC는 동일한 키를 너무 오래 사용하여 공격받는 것을 방지하기 위해 규칙적 주기(또는 의사-임의 주기)로 유닛들의 키를 변경할 수 있다.
키의 변경은 일부 네트워크 참여자를 제거하는 데도 유용하다. 발생 유닛 UN1은 유닛 UNn이 네트워크 R1의 일원이 아님을 관리 센터 MC에 알리고, 관리 센터는 새 키의 전달을 중단한다. 대안으로, 또는 보완사항으로서, 이 유닛에 중단 명령을 보낼 수 있다.
이 키 K1이 대칭형일 수도 있고 비대칭형일 수도 있다. 두 번째 경우에, 각각의 유닛은 두개의 퍼블릭 키와 프라이비트 키를 가지며 암호화되거나 해역될 때, 둘 중 한개의 키가 사용될 것이다.
데이터 송신 시, 이들은 임의적으로 발생되는 세션 키에 의해 일반적으로 암호화된다. 이 키는 다른 유닛에 전송되기 전에 키 K1에 의해 암호화된다.
발명의 또다른 실시예에 따르면, 유닛 UN은 페이 텔레비전 디코더이고, 보안 수단은 스마트 카드로 구성된다. 이 디코더들은 전자 메시지용 데이터를 수신하고 전송하는 데도 사용될 수 있다. 이러한 디코더를 컴퓨터에 연결하여 한편으로 고속 네트워크와의 인터페이스로 이용할 수 있고 다른 한편으로 거래의 보안성을 이용할 수 있다.
한가지 특정 실시예에 따르면, 권리 D는 유효성 필드를 포함한다. 따라서, 이 권리를 수신하는 각각의 유닛이 유효성 주기를 가진다. 각각의 데이터 교환에 현재 날짜가 추가된다(상기 제어 블록 참고). 이 제어 블록이 암호화되는 것이 리마인드된다.
보안 수단은 권리 D의 유효성과 제어 블록에 내포된 날짜간의 일치여부를 확인한다. 날짜를 벗어날 경우, 데이터 해역이 실행되지 않는다. 선택된 방법에 따르면, 마스터 유닛이 함께 하던 관리 센터와 함께 하는 지에 상관없이, 이 권리의 관리자가 관련 유닛에 대한 유효성을 갱신하고자 할 경우를 대비하여, 이 데드라인 전에 유효성을 갱신하는 것을 예측할 수 있다. 이 갱신은 권리 설명 및 새 유효성과 함께 관련 유닛들에게 제어 메시지를 전송함으로서 이행된다. 유효성을 벗어나면, 권리는 다시 연장될 수 없고, 상술한 바와 같이 권리에 대한 새로운 송신 과정이 필요하다.

Claims (12)

  1. 퍼블릭 네트워크에 연결된 다수의 유닛을 가진 가상 프라이비트 네트워크(VPN)를 생성 및 이용하는 방법으로서, 이때, 각각의 유닛은 한개 이상의 고유 번호 UA를 가지는 보안 수단을 포함하고, 상기 가상 프라이비트 네트워크는 고유 번호 UAn에 관련된 권리 Dn을 발생시키는 제 1 유닛과, 한개 이상의 제 2 유닛을 포함하며, 상기 제 2 유닛의 보안 수단은 상기 제 1 유닛으로부터 권리 Dn을 수신하며, 상기 방법은,
    - 제 1 유닛 Un에 의해 전송되는 데이터와, 상기 데이터의 해역에 필요한 권리 Dn의 설명(description)을 암호화 데이터 키 KS에 의해 암호화하는 단계,
    - 상기 암호화 데이터 키 KS와, 상기 데이터의 해역에 필요한 권리의 설명을 포함하는 제어 데이터 블록을 생성 및 암호화하는 단계,
    - 암호화된 데이터와 상기 권리 Dn의 설명을 상기 제 2 유닛 Um이 수신하고, 상기 제어 데이터 블록을 상기 제 2 유닛 Um이 수신하는 단계,
    - 암호화된 제어 데이터 블록을 상기 제 2 유닛 Um의 보안 수단에 제시하여, 상기 제 2 유닛의 보안 수단 내에 권리 Dn이 존재하는 지를 확인하는 단계, 그리고,
    - 권리 Dn이 존재할 경우, 암호화 데이터 키 KS를 이용하여 암호화된 데이터를 해역하는 단계
    를 포함하는 것을 특징으로 하는 가상 프라이비트 네트워크(VPN) 생성 및 이용 방법.
  2. 제 1 항에 있어서, 상기 권리 Dn이 제 2 유닛 Um의 식별자에 관련되며, 권리 Dn이 상기 제 2 유닛을 위한 것인지를 상기 제 2 유닛의 보안 수단이 확인하는 것을 특징으로 하는 가상 프라이비트 네트워크(VPN) 생성 및 이용 방법.
  3. 제 1 항 또는 2 항에 있어서, 네트워크 인덱스 Ra가 제 1 유닛 Un에 의해 권리 Dn과 관련되고, 제 2 유닛 Um의 관련 및 가입이 권리 Dn과 인덱스 Ra의 기준 하에 실행되는 것을 특징으로 하는 가상 프라이비트 네트워크(VPN) 생성 및 이용 방법.
  4. 제 1 항 또는 2 항에 있어서, 상기 암호화 데이터 키 KS는 대칭이고 임의적으로 발생되며, 이때, 이 키는 제 1 키 Kn에 의해 암호화되고 이 암호화 데이터 키 KS가 제 2 유닛 Um에 전송되는 것을 특징으로 하는 가상 프라이비트 네트워크(VPN) 생성 및 이용 방법.
  5. 제 1 항 또는 2 항에 있어서, 암호화 데이터 키 KS가 보안 수단 세트에 공통인 제 1 키 Kn인 것을 특징으로 하는 가상 프라이비트 네트워크(VPN) 생성 및 이용 방법.
  6. 제 1 항 또는 2 항에 있어서, 제 1 키 Kn은 권리 Dn과 함께 발생되고, 참여 유닛들에게 공통인 보안 서비스 키 K0을 이용하여 제 1 키 Kn이 참여 유닛들에게 전송되는 것을 특징으로 하는 가상 프라이비트 네트워크(VPN) 생성 및 이용 방법.
  7. 제 1 항 또는 2 항에 있어서, 권리 Dn이 유효성 필드를 가지며, 상기 방법은,
    - 제 1 유닛 Un이 암호화된 형태의 현재 날짜의 표시사항을 권리 Dn의 설명에 추가하는 단계, 그리고
    - 제 2 유닛 Um이 이 표시사항을 수신하여, 날짜가 권리 Dn의 유효성 범위 내에 있는 지를 제 2 유닛 Um의 보안 수단이 확인하는 단계
    를 추가로 포함하는 것을 특징으로 하는 가상 프라이비트 네트워크(VPN) 생성 및 이용 방법.
  8. 퍼블릭 네트워크를 통해 관리 센터 MC에 연결되는 다수의 유닛들을 포함하는 가상 프라이비트 네트워크(VPN)를 생성 및 이용하는 방법으로서, 이때, 각각의 유닛은 한개 이상의 고유 번호 UA를 가진 보안 수단을 포함하고, 상기 가상 프라이비트 네트워크는,
    - 제 1 유닛 Un을 통해 관리 센터 MC에 네트워크 Rn의 생성을 요청하는 동작,
    - 네트워크 Rn을 나타내는 키 Kn과 권리 Dn을 관리 센터 MC에서 제 1 유닛 Un에 전송하는 동작,
    - 네트워크 Rn의 일부분으로 제 2 유닛 Um의 등록을 관리 센터 MC에서 요청하는 동작,
    - 제 2 유닛 Um에 권리 Dn과 키 Kn을 전송하는 동작
    에 의해 생성되며, 상기 방법은,
    - 제 1 유닛 Un에 의해 전송되는 데이터와, 상기 데이터의 해역에 필요한 권리 Dn의 설명(description)을 암호화 데이터 키 KS에 의해 암호화하는 단계,
    - 상기 암호화 데이터 키 KS와, 상기 데이터의 해역에 필요한 권리의 설명을 포함하는 제어 데이터 블록을 생성 및 암호화하는 단계,
    - 암호화된 데이터와 상기 권리 Dn의 설명을 상기 제 2 유닛 Um이 수신하고, 암호화된 제어 데이터 블록을 상기 제 2 유닛 Um이 수신하는 단계,
    - 암호화된 제어 데이터 블록을 제 2 유닛 Um의 보안 수단에 제시하여, 제 2 유닛의 보안 수단 내에 권리 Dn이 존재하는 지를 확인하는 단계, 그리고,
    - 권리 Dn이 존재할 경우, 암호화 데이터 키 KS를 이용하여 암호화된 데이터를 해역하는 단계
    를 포함하는 것을 특징으로 하는 가상 프라이비트 네트워크(VPN) 생성 및 이용 방법.
  9. 제 8 항에 있어서, 암호화 데이터 키 KS가 대칭형이고 임의적으로 발생되며, 이때, 이 키는 제 1 키 Kn에 의해 암호화되고 이 암호화된 키 KS가 제 2 유닛 Um에 전송되는 것을 특징으로 하는 가상 프라이비트 네트워크(VPN) 생성 및 이용 방법.
  10. 제 8 항 또는 9 항에 있어서, 제 2 유닛 Um의 등록을 요청하는 동작은,
    - 제 1 유닛 Un이 권리 Dn을 표시하는 일부분을 전송하는 동작,
    - 제 2 유닛 Um이 관리 센터에 권리 Dn의 상기 일부분을 제시하는 동작, 그리고
    - 이 일부분이 권리 Dn에 해당하는 지를 관리 센터 MC에서 확인하고, 해당할 경우, 권리 Dn과 키 Kn을 제 2 유닛 Um에 전송하는 동작
    을 포함하는 것을 특징으로 하는 가상 프라이비트 네트워크(VPN) 생성 및 이용 방법.
  11. 제 8 항에 있어서, 제 2 유닛 Um의 등록을 요청하는 동작은,
    - 제 2 유닛 Um이 관리 센터 MC에 제 2 유닛 Um의 식별자를 전송하는 동작, 그리고
    - 관리 센터 MC가 권리 Dn과 키 Kn을 제 2 유닛 Um에 전송하는 동작
    을 포함하는 것을 특징으로 하는 가상 프라이비트 네트워크(VPN) 생성 및 이용 방법.
  12. 제 8 항 또는 9 항에 있어서, 관리 센터 MC는 새 키 Kn'을 동일 네트워크 Rn의 구성 개체들에게 의사-임의적 주기(pseudo-random interval)로 전달하는 것을 특징으로 하는 가상 프라이비트 네트워크(VPN) 생성 및 이용 방법.
KR1020047001345A 2001-07-30 2002-07-22 퍼블릭 네트워크를 이용한 가상 프라이비트 네트워크 생성방법 KR100875341B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CH14242001 2001-07-30
CH1424/01 2001-07-30
PCT/IB2002/003052 WO2003013063A1 (fr) 2001-07-30 2002-07-22 Methode pour creer un reseau virtuel prive utilisant un reseau public

Publications (2)

Publication Number Publication Date
KR20040021674A KR20040021674A (ko) 2004-03-10
KR100875341B1 true KR100875341B1 (ko) 2008-12-22

Family

ID=4565466

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020047001345A KR100875341B1 (ko) 2001-07-30 2002-07-22 퍼블릭 네트워크를 이용한 가상 프라이비트 네트워크 생성방법

Country Status (15)

Country Link
US (1) US7251825B2 (ko)
EP (1) EP1413088B2 (ko)
JP (1) JP4437310B2 (ko)
KR (1) KR100875341B1 (ko)
CN (1) CN1285195C (ko)
AR (1) AR034922A1 (ko)
AT (1) ATE497660T1 (ko)
BR (1) BRPI0211618B1 (ko)
CA (1) CA2455857C (ko)
DE (1) DE60239101D1 (ko)
ES (1) ES2360197T5 (ko)
MX (1) MXPA04000907A (ko)
MY (1) MY130422A (ko)
TW (1) TW566024B (ko)
WO (1) WO2003013063A1 (ko)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7177429B2 (en) 2000-12-07 2007-02-13 Blue Spike, Inc. System and methods for permitting open access to data objects and for securing data within the data objects
US7664264B2 (en) 1999-03-24 2010-02-16 Blue Spike, Inc. Utilizing data reduction in steganographic and cryptographic systems
US7475246B1 (en) 1999-08-04 2009-01-06 Blue Spike, Inc. Secure personal content server
US7287275B2 (en) 2002-04-17 2007-10-23 Moskowitz Scott A Methods, systems and devices for packet watermarking and efficient provisioning of bandwidth
US7398550B2 (en) * 2003-06-18 2008-07-08 Microsoft Corporation Enhanced shared secret provisioning protocol
GB0321335D0 (en) * 2003-09-11 2003-10-15 Rogers Paul J Method and apparatus for use in security
CA2655455A1 (en) 2008-02-25 2009-08-25 Globecomm Systems, Inc. Virtual iptv-vod system with remote satellite reception of satellite delivered vod content and method of providing same
JP6265857B2 (ja) * 2014-07-25 2018-01-24 日本航空電子工業株式会社 コネクタ及びコネクタ組立体
CN110933063B (zh) * 2019-11-25 2022-02-18 中国联合网络通信集团有限公司 数据加密方法、数据解密方法及设备

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2448825A1 (fr) 1979-02-06 1980-09-05 Telediffusion Fse Systeme de transmission d'information entre un centre d'emission et des postes recepteurs, ce systeme etant muni d'un moyen de controle de l'acces a l'information transmise
US4484027A (en) 1981-11-19 1984-11-20 Communications Satellite Corporation Security system for SSTV encryption
US7036019B1 (en) * 1994-04-01 2006-04-25 Intarsia Software Llc Method for controlling database copyrights
JPH07271865A (ja) * 1994-04-01 1995-10-20 Mitsubishi Corp データベース著作権管理方法
US5588060A (en) * 1994-06-10 1996-12-24 Sun Microsystems, Inc. Method and apparatus for a key-management scheme for internet protocols
US5764918A (en) * 1995-01-23 1998-06-09 Poulter; Vernon C. Communications node for transmitting data files over telephone networks
US5684800A (en) * 1995-11-15 1997-11-04 Cabletron Systems, Inc. Method for establishing restricted broadcast groups in a switched network
JP3688830B2 (ja) 1995-11-30 2005-08-31 株式会社東芝 パケット転送方法及びパケット処理装置
JPH10178421A (ja) 1996-10-18 1998-06-30 Toshiba Corp パケット処理装置、移動計算機装置、パケット転送方法及びパケット処理方法
US5937067A (en) 1996-11-12 1999-08-10 Scientific-Atlanta, Inc. Apparatus and method for local encryption control of a global transport data stream
US6073125A (en) 1997-06-26 2000-06-06 Pitney Bowes Inc. Token key distribution system controlled acceptance mail payment and evidencing system
EP1048157B1 (en) 1998-01-14 2004-05-06 Irdeto Access B.V. Method for transferring data from a head-end to a number of receivers
US6253326B1 (en) 1998-05-29 2001-06-26 Palm, Inc. Method and system for secure communications
JP2000115159A (ja) * 1998-09-30 2000-04-21 Nec Corp 著作物保護システムおよびその著作物保護方法
EP1045585A1 (en) 1999-04-13 2000-10-18 CANAL+ Société Anonyme Method of and apparatus for providing secure communication of digital data between devices
GB2352370B (en) 1999-07-21 2003-09-03 Int Computers Ltd Migration from in-clear to encrypted working over a communications link
US6643701B1 (en) 1999-11-17 2003-11-04 Sun Microsystems, Inc. Method and apparatus for providing secure communication with a relay in a network
US7336790B1 (en) 1999-12-10 2008-02-26 Sun Microsystems Inc. Decoupling access control from key management in a network
JP4581200B2 (ja) * 2000-08-31 2010-11-17 ソニー株式会社 個人認証システム、個人認証方法、および情報処理装置、並びにプログラム提供媒体
US6978021B1 (en) * 2000-09-18 2005-12-20 Navteq North America, Llc Encryption method for distribution of data
US6938155B2 (en) * 2001-05-24 2005-08-30 International Business Machines Corporation System and method for multiple virtual private network authentication schemes

Also Published As

Publication number Publication date
BRPI0211618B1 (pt) 2016-05-24
MY130422A (en) 2007-06-29
WO2003013063A1 (fr) 2003-02-13
AR034922A1 (es) 2004-03-24
ES2360197T5 (es) 2016-05-19
BR0211618A (pt) 2004-08-24
ES2360197T3 (es) 2011-06-01
EP1413088A1 (fr) 2004-04-28
CN1285195C (zh) 2006-11-15
JP4437310B2 (ja) 2010-03-24
KR20040021674A (ko) 2004-03-10
EP1413088B2 (fr) 2016-03-23
US20030021422A1 (en) 2003-01-30
CN1547826A (zh) 2004-11-17
EP1413088B1 (fr) 2011-02-02
DE60239101D1 (de) 2011-03-17
CA2455857C (en) 2012-01-10
JP2004537764A (ja) 2004-12-16
ATE497660T1 (de) 2011-02-15
TW566024B (en) 2003-12-11
MXPA04000907A (es) 2004-03-26
CA2455857A1 (en) 2003-02-13
US7251825B2 (en) 2007-07-31

Similar Documents

Publication Publication Date Title
US7688975B2 (en) Method and apparatus for dynamic generation of symmetric encryption keys and exchange of dynamic symmetric key infrastructure
CN1820482B (zh) 产生并管理局域网的方法
US7975312B2 (en) Token passing technique for media playback devices
US7200230B2 (en) System and method for controlling and enforcing access rights to encrypted media
US6915434B1 (en) Electronic data storage apparatus with key management function and electronic data storage method
US10554393B2 (en) Universal secure messaging for cryptographic modules
US8694783B2 (en) Lightweight secure authentication channel
US20100017599A1 (en) Secure digital content management using mutating identifiers
CN101094062B (zh) 利用存储卡实现数字内容安全分发和使用的方法
CN103891196A (zh) 安全数据交换方法及实施该方法的通信设备和系统
KR100875341B1 (ko) 퍼블릭 네트워크를 이용한 가상 프라이비트 네트워크 생성방법
US20010009583A1 (en) Secret key registration method, secret key register, secret key issuing method, cryptographic communication method and cryptographic communication system
JPH09294120A (ja) 暗号化された共有データのアクセス制御方法及びシステム
JP2005086428A (ja) 認証を得て暗号通信を行う方法、認証システムおよび方法
JP2021118406A (ja) ユーザ認証方法、ユーザ認証方式
KR20200091112A (ko) 블록체인 기술을 이용한 정보 공유 방법
CN100369405C (zh) 认证收据
JPS60203036A (ja) 秘密通信方式
JP2007043750A (ja) 認証を得て暗号通信を行う方法、認証システムおよび方法
JP4626001B2 (ja) 暗号化通信システム及び暗号化通信方法
Jones User functions for the generation and distribution of encipherment keys
JP2003263414A (ja) 認証処理方法及び認証処理装置
WO2023043793A1 (en) System and method of creating symmetric keys using elliptic curve cryptography

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20121206

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20131205

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20141204

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20151203

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20161201

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20171208

Year of fee payment: 10

LAPS Lapse due to unpaid annual fee