KR101594846B1 - Variable encryption based network security device and operating method thereof - Google Patents
Variable encryption based network security device and operating method thereof Download PDFInfo
- Publication number
- KR101594846B1 KR101594846B1 KR1020140172073A KR20140172073A KR101594846B1 KR 101594846 B1 KR101594846 B1 KR 101594846B1 KR 1020140172073 A KR1020140172073 A KR 1020140172073A KR 20140172073 A KR20140172073 A KR 20140172073A KR 101594846 B1 KR101594846 B1 KR 101594846B1
- Authority
- KR
- South Korea
- Prior art keywords
- information
- encryption
- data
- encryption scheme
- predetermined number
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/12—Transmitting and receiving encryption devices synchronised or initially set up in a particular manner
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Abstract
Description
본 발명의 실시예들은 사물인터넷 시스템(Internet of Thing)과 같이, 다양한 단말들이 서로 네트워크로 연결되어 있는 환경에서 보안을 강화시키기 위한 보안 기술들과 관련된다.Embodiments of the present invention relate to security technologies for enhancing security in environments where various terminals are connected to each other like a network, such as Internet of Thing.
최근, 무선 인터넷 또는 이동통신 등과 같은 다양한 네트워크 환경이 구축됨에 따라, 사용자가 네트워크 통신이 가능한 단말을 이용하여 어디에서든지 인터넷에 접속할 수 있게 되었다.2. Description of the Related Art [0002] Recently, various network environments such as a wireless Internet or a mobile communication have been established, so that a user can access the Internet anywhere using a terminal capable of network communication.
이러한 네트워크 환경 구축에 힘입어 최근에는 일상에 존재하는 다양한 사물들이 서로 네트워크로 연결되어, 정보를 공유할 수 있도록 하는 사물인터넷(Internet of Thing) 시스템이 도입되고 있다.Recently, with the construction of such a network environment, an Internet of Thing system has been introduced to allow a variety of objects in daily life to be connected to one another and to share information.
이러한 사물인터넷 시스템에서는 네트워크를 통해서 단말 간에 다양한 정보를 주고받는다는 점에서, 정보 보안의 필요성이 아주 중요하다.In this kind of internet system, the necessity of information security is very important in that various information is exchanged between terminals through a network.
보통, 정보 보안을 위한 방식으로는 전송측이 수신측으로 데이터를 전달할 때, 해당 데이터에 대해 미리 공유하고 있는 데이터 암호화 방식에 따라 암호화를 수행한 후 수신측으로 전달하면, 수신측이 암호화된 데이터를 복호화하는 방식이 일반적이다.Generally, in a method for information security, when a transmitting side transmits data to a receiving side, the transmitting side performs encryption according to a data encryption method previously shared with the corresponding data, and then transmits the encrypted data to the receiving side. When the receiving side decrypts the encrypted data .
관련하여, 사물인터넷 시스템과 같이, 다양한 단말들이 서로 네트워크로 연결되어 있는 환경에서도 미리 공유된 데이터 암호화 방식에 따라 데이터를 암호화하여 송수신하는 보안 환경을 구축함으로써, 보안성을 강화시킬 수 있다.In this regard, security can be enhanced by constructing a security environment in which data is encrypted and transmitted / received according to a pre-shared data encryption scheme even in an environment where various terminals are connected to each other, such as the object Internet system.
하지만, 미리 공유된 암호화 방식에 따라 데이터를 암호화하여 송수신하는 환경에서는 해당 암호화 방식이 타인에게 노출될 경우, 보안에 문제가 발생할 수 있다는 점에서, 사물인터넷 시스템과 같이, 다양한 단말들이 서로 네트워크로 연결되어 있는 환경에서 단순히 하나의 암호화 방식에 따라 데이터 암호화를 수행하는 것은 보안상 여러가지 취약점을 가질 수 있다.However, in an environment of transmitting and receiving data by encrypting data according to a pre-shared encryption method, there is a problem in security when the encryption method is exposed to others. Therefore, In an environment where encryption is performed in a simple manner, data encryption according to one encryption method may have various security vulnerabilities.
따라서, 사물인터넷 시스템과 같이, 다양한 단말들이 서로 네트워크로 연결되어 있는 환경에서 단순히 하나의 암호화 방식에 따라 각 단말들 간에 데이터 교환이 수행되도록 하는 것이 아니라, 해당 네트워크에서 발생하는 보안 환경의 변화에 기초하여 각 단말들이 데이터 교환시에 사용하는 암호화 방식을 적응적으로 가변할 수 있도록 하는 보안 기술을 도임함으로써, 보안성을 강화시킬 수 있는 기법에 대한 연구가 필요하다.Therefore, in a situation where various terminals are connected to each other through a network, as in the object Internet system, instead of simply performing data exchange between terminals according to a single encryption method, a change in the security environment It is necessary to study a technique for enhancing security by introducing a security technique that allows each terminal to adaptively change the encryption scheme used in data exchange.
본 발명의 일실시예에 따른 가변 암호화 기반의 네트워크 보안 장치 및 그 동작 방법은 특정 주기 간격으로, 소정의 암호화 방식 정보를 구성하고, 해당 암호화 방식 정보들 간의 보안 수준에 따라서, 가장 높은 보안 수준을 갖는 암호화 방식 정보를 네트워크로 연결되어 있는 복수의 단말들의 데이터 송수신에 사용될 암호화 방식 후보로 선택해 둔 후 상기 복수의 단말들 사이에서 데이터 송수신시에 데이터 암복호화 실패와 같은 보안상 문제가 발생하는 경우, 상기 복수의 단말들이 현재 사용하고 있는 암호화 방식을 상기 암호화 방식 후보로 선택된 암호화 방식으로 변경해줌으로써, 네트워크의 보안을 강화시킬 수 있도록 한다.A network security apparatus based on a variable encryption and an operation method thereof according to an embodiment of the present invention configure predetermined encryption scheme information at a specific periodic interval and set the highest security level according to the security level between the encryption scheme information When a security problem such as a data encryption / decryption failure occurs at the time of data transmission / reception among the plurality of terminals after selecting cipher system information having a plurality of terminals as a cipher system candidate to be used for data transmission / reception of a plurality of terminals connected to the network, The security of the network can be enhanced by changing the encryption scheme currently used by the plurality of terminals to the encryption scheme selected as the encryption scheme candidate.
본 발명의 일실시예에 따른 가변 암호화 기반의 네트워크 보안 장치는 데이터의 암호화와 연관된 복수의 스크램블링 방식들이 저장되어 있는 데이터베이스, 선정된 제1 주기 간격으로, 상기 복수의 스크램블링 방식들 중에서 적어도 하나의 스크램블링 방식을 랜덤하게 선택하고, 데이터에 대해 상기 적어도 하나의 스크램블링 방식이 순차적으로 적용되도록 하는 암호화와 연관된 암호화 방식 정보를 구성하는 암호화 구성부, 상기 선정된 제1 주기 간격으로 상기 암호화 방식 정보가 구성됨으로써, 상기 암호화 방식 정보가 선정된 개수만큼 생성되면, 상기 선정된 개수의 암호화 방식 정보들을 네트워크로 서로 연결되어 있는 복수의 단말들 중 랜덤하게 선택된 제1 단말로 전송하는 정보 전송부, 상기 제1 단말로부터 상기 선정된 개수의 암호화 방식 정보들 각각을 기초로 데이터를 암호화하였을 경우에 대한 보안 수준 정보를 수신하는 보안 수준 수신부, 상기 보안 수준 정보를 참조하여 상기 선정된 개수의 암호화 방식 정보들 각각에 대한 보안 수준 중에서 가장 높은 보안 수준을 갖는 제1 암호화 방식 정보를 상기 복수의 단말들 간의 데이터 송수신을 위한 암호화 방식 후보로 선택한 후 상기 암호화 방식 후보로 선택된 상기 제1 암호화 방식 정보를 메모리에 저장하는 후보 선택부 및 상기 복수의 단말들 사이에서 데이터 송수신이 수행되는 도중, 데이터 암복호화 실패와 연관된 보안 이벤트가 선정된 기간 이내에서 선정된 횟수 이상 발생하는 경우, 상기 복수의 단말들에 대해, 상기 제1 암호화 방식 정보를 전송함으로써, 상기 복수의 단말들이 상기 제1 암호화 방식 정보를 기초로 데이터를 암복호화하여 송수신하도록 제어하는 암호화 방식 업데이트부를 포함한다.A network security apparatus based on a variable encryption scheme according to an embodiment of the present invention includes a database storing a plurality of scrambling schemes associated with encryption of data, at least one scrambling scheme among the plurality of scrambling schemes at a predetermined first period interval, An encryption unit configured to randomly select a scheme and configure encryption scheme information associated with encryption to cause the at least one scrambling scheme to be sequentially applied to data, An information transmission unit for transmitting the predetermined number of pieces of the cipher system information to a randomly selected first terminal among a plurality of terminals connected to each other in a network when the predetermined number of cipher system information is generated, Lt; RTI ID = 0.0 > A security level receiving unit for receiving security level information for a case where data is encrypted based on each of the plurality of bits, A candidate selection unit for selecting the first cipher system information as a cipher system candidate for data transmission and reception between the plurality of terminals and storing the first cipher system information selected as the cipher system candidate in a memory, When a security event associated with a data encryption / decryption failure occurs more than a predetermined number of times within a predetermined period during data transmission / reception, the first encryption method information is transmitted to the plurality of terminals, The terminals transmit the data based on the first encryption scheme information It includes encryption method for controlling transmission and reception to be expensive to update parts.
또한, 본 발명의 일실시예에 따른 가변 암호화 기반의 네트워크 보안 장치의 동작 방법은 데이터의 암호화와 연관된 복수의 스크램블링 방식들이 저장되어 있는 데이터베이스를 유지하는 단계, 선정된 제1 주기 간격으로, 상기 복수의 스크램블링 방식들 중에서 적어도 하나의 스크램블링 방식을 랜덤하게 선택하고, 데이터에 대해 상기 적어도 하나의 스크램블링 방식이 순차적으로 적용되도록 하는 암호화와 연관된 암호화 방식 정보를 구성하는 단계, 상기 선정된 제1 주기 간격으로 상기 암호화 방식 정보가 구성됨으로써, 상기 암호화 방식 정보가 선정된 개수만큼 생성되면, 상기 선정된 개수의 암호화 방식 정보들을 네트워크로 서로 연결되어 있는 복수의 단말들 중 랜덤하게 선택된 제1 단말로 전송하는 단계, 상기 제1 단말로부터 상기 선정된 개수의 암호화 방식 정보들 각각을 기초로 데이터를 암호화하였을 경우에 대한 보안 수준 정보를 수신하는 단계, 상기 보안 수준 정보를 참조하여 상기 선정된 개수의 암호화 방식 정보들 각각에 대한 보안 수준 중에서 가장 높은 보안 수준을 갖는 제1 암호화 방식 정보를 상기 복수의 단말들 간의 데이터 송수신을 위한 암호화 방식 후보로 선택한 후 상기 암호화 방식 후보로 선택된 상기 제1 암호화 방식 정보를 메모리에 저장하는 단계 및 상기 복수의 단말들 사이에서 데이터 송수신이 수행되는 도중, 데이터 암복호화 실패와 연관된 보안 이벤트가 선정된 기간 이내에서 선정된 횟수 이상 발생하는 경우, 상기 복수의 단말들에 대해, 상기 제1 암호화 방식 정보를 전송함으로써, 상기 복수의 단말들이 상기 제1 암호화 방식 정보를 기초로 데이터를 암복호화하여 송수신하도록 제어하는 단계를 포함한다.Also, a method of operating a variable-encryption-based network security apparatus according to an exemplary embodiment of the present invention includes: maintaining a database storing a plurality of scrambling schemes associated with encryption of data; Randomly selecting at least one scrambling scheme from the scrambling schemes of the at least one scrambling scheme and configuring encryption scheme information associated with the encryption to sequentially apply the at least one scrambling scheme to the data, When the predetermined number of the cipher system information is generated by configuring the cipher system information, transmitting the predetermined number of cipher system information to a randomly selected first terminal among a plurality of terminals connected to each other through a network From the first terminal, The method comprising the steps of: receiving security level information for encrypting data based on each of the plurality of encryption mode information, encrypting the encryption level information with the highest security level among the security levels for each of the predetermined number of encryption mode information Selecting the first cipher system information having the level of the first cipher system information as a cipher system candidate for data transmission and reception between the plurality of terminals and storing the first cipher system information selected as the cipher system candidate in the memory, When a security event associated with a data encryption / decryption failure occurs more than a predetermined number of times within a predetermined period during data transmission / reception in a plurality of terminals, the first encryption method information is transmitted to the plurality of terminals, Based on the first encryption scheme information, Granulation to include the step of controlling to transmit and receive.
본 발명의 일실시예에 따른 가변 암호화 기반의 네트워크 보안 장치 및 그 동작 방법은 특정 주기 간격으로, 소정의 암호화 방식 정보를 구성하고, 해당 암호화 방식 정보들 간의 보안 수준에 따라서, 가장 높은 보안 수준을 갖는 암호화 방식 정보를 네트워크로 연결되어 있는 복수의 단말들의 데이터 송수신에 사용될 암호화 방식 후보로 선택해 둔 후 상기 복수의 단말들 사이에서 데이터 송수신시에 데이터 암복호화 실패와 같은 보안상 문제가 발생하는 경우, 상기 복수의 단말들이 현재 사용하고 있는 암호화 방식을 상기 암호화 방식 후보로 선택된 암호화 방식으로 변경해줌으로써, 네트워크의 보안을 강화시킬 수 있다.A network security apparatus based on a variable encryption and an operation method thereof according to an embodiment of the present invention configure predetermined encryption scheme information at a specific periodic interval and set the highest security level according to the security level between the encryption scheme information When a security problem such as a data encryption / decryption failure occurs at the time of data transmission / reception among the plurality of terminals after selecting cipher system information having a plurality of terminals as a cipher system candidate to be used for data transmission / reception of a plurality of terminals connected to the network, The security of the network can be enhanced by changing the cipher system currently used by the plurality of terminals to the cipher system selected as the cipher system candidate.
도 1은 본 발명의 일실시예에 따른 네트워크 시스템을 개략적으로 도시한 시스템 개념도이다.
도 2는 네트워크로 연결되어 있는 복수의 단말들이 데이터의 헤더(header) 구조를 기초로 보안 이벤트를 발생시키는 과정을 설명하기 위한 데이터 헤더 구조의 일례를 도시한 도면이다.
도 3은 본 발명의 일실시예에 따른 가변 암호화 기반의 네트워크 보안 장치의 구조를 도시한 도면이다.
도 4는 본 발명의 일실시예에 따른 가변 암호화 기반의 네트워크 보안 장치의 동작 방법을 도시한 순서도이다.1 is a system conceptual diagram schematically showing a network system according to an embodiment of the present invention.
2 is a diagram illustrating an example of a data header structure for explaining a process of generating a security event based on a header structure of data by a plurality of terminals connected to a network.
3 is a diagram illustrating a structure of a variable-encryption-based network security apparatus according to an exemplary embodiment of the present invention.
4 is a flowchart illustrating an operation method of a variable-encryption-based network security apparatus according to an exemplary embodiment of the present invention.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였다. While the invention is susceptible to various modifications and alternative forms, specific embodiments thereof are shown by way of example in the drawings and will herein be described in detail. It should be understood, however, that the invention is not intended to be limited to the particular embodiments, but includes all modifications, equivalents, and alternatives falling within the spirit and scope of the invention. Like reference numerals are used for like elements in describing each drawing.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다. It is to be understood that when an element is referred to as being "connected" or "connected" to another element, it may be directly connected or connected to the other element, . On the other hand, when an element is referred to as being "directly connected" or "directly connected" to another element, it should be understood that there are no other elements in between.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.The terminology used in this application is used only to describe a specific embodiment and is not intended to limit the invention. The singular expressions include plural expressions unless the context clearly dictates otherwise. In the present application, the terms "comprises" or "having" and the like are used to specify that there is a feature, a number, a step, an operation, an element, a component or a combination thereof described in the specification, But do not preclude the presence or addition of one or more other features, integers, steps, operations, elements, components, or combinations thereof.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.Unless defined otherwise, all terms used herein, including technical or scientific terms, have the same meaning as commonly understood by one of ordinary skill in the art to which this invention belongs. Terms such as those defined in commonly used dictionaries are to be interpreted as having a meaning consistent with the contextual meaning of the related art and are to be interpreted as either ideal or overly formal in the sense of the present application Do not.
이하에서, 본 발명에 따른 실시예들을 첨부된 도면을 참조하여 상세하게 설명한다.Hereinafter, embodiments according to the present invention will be described in detail with reference to the accompanying drawings.
도 1은 본 발명의 일실시예에 따른 네트워크 시스템을 개략적으로 도시한 시스템 개념도이다.1 is a system conceptual diagram schematically showing a network system according to an embodiment of the present invention.
도 1을 참조하면, 상기 네트워크 시스템은 가변 암호화 기반의 네트워크 보안 장치(110) 및 복수의 단말들(121, 122, 123, 124, 125)로 구성될 수 있다.Referring to FIG. 1, the network system may include a variable-encryption-based
이때, 복수의 단말들(121, 122, 123, 124, 125)은 네트워크로 서로 연결되어 데이터를 주고받을 수 있고, 가변 암호화 기반의 네트워크 보안 장치(110)는 복수의 단말들(121, 122, 123, 124, 125) 각각과 네트워크로 연결되어 복수의 단말들(121, 122, 123, 124, 125) 각각과 데이터를 주고받을 수 있다.In this case, the plurality of
먼저, 가변 암호화 기반의 네트워크 보안 장치(110)에는 데이터의 암호화와 연관된 복수의 스크램블링(scrambling) 방식들이 저장되어 있는 데이터베이스가 포함되어 있을 수 있다.First, the
여기서, 스크램블링 방식이란 평문 데이터의 암호화를 위해서 사용되는 데이터 변경 방식을 의미하는 것으로, 보통 치환(transposition), 대치(substitution), 산술(algebraic) 등의 방식이 존재한다.Here, the scrambling method refers to a data changing method used for encrypting plaintext data, and there are usually methods such as transposition, substitution, and algebraic.
예컨대, 평문 데이터 '1010'에 대해서 두 번째 비트와 세 번째 비트를 치환하는 방식으로 데이터 스크램블링을 수행한다고 하면, 해당 평문 데이터는 '1101'이라는 암호화 데이터로 변경될 수 있다.For example, if data scrambling is performed by replacing the second bit and the third bit with the plaintext data '1010', the plaintext data may be changed to encrypted data '1101'.
이와 관련하여, 상기 데이터베이스에는 하기의 표 1과 같은 형태로 상기 복수의 스크램블링 방식들이 저장되어 있을 수 있다.
In this regard, the plurality of scrambling schemes may be stored in the database as shown in Table 1 below.
이러한 상황 하에서, 가변 암호화 기반의 네트워크 보안 장치(110)는 선정된(predetermined) 제1 주기 간격으로, 상기 복수의 스크램블링 방식들 중에서 적어도 하나의 스크램블링 방식을 랜덤하게 선택하고, 데이터에 대해 상기 적어도 하나의 스크램블링 방식이 순차적으로 적용되도록 하는 암호화와 연관된 암호화 방식 정보를 구성할 수 있다.Under such circumstances, the variable-encryption-based
예컨대, 상기 선정된 제1 주기를 '24시간'이라고 가정하면, 가변 암호화 기반의 네트워크 보안 장치(110)는 '24시간' 간격으로, 상기 표 1과 같은 데이터베이스 상에 저장되어 있는 복수의 스크램블링 방식들 중에서 적어도 하나의 스크램블링 방식을 랜덤하게 선택하고, 소정의 데이터에 대해 상기 적어도 하나의 스크램블링 방식이 순차적으로 적용되도록 하는 암호화와 연관된 암호화 방식 정보를 구성할 수 있다.For example, assuming that the selected first period is '24 hours', the
관련하여, 가변 암호화 기반의 네트워크 보안 장치(110)는 첫 번째 주기에서 '치환', '대치'를 선택한 후 소정의 데이터에 대해 '치환', '대치'가 순차적으로 적용되도록 하는 암호화와 연관된 '암호화 방식 정보 1'을 구성할 수 있고, 두 번째 주기에서 '대치', '산술', '치환'을 선택한 후 소정의 데이터에 대해 '대치', '산술', '치환'이 순차적으로 적용되도록 하는 암호화와 연관된 '암호화 방식 정보 2'를 구성할 수 있으며, 이러한 방식으로, '24시간'마다, 상기 복수의 스크램블링 방식들 중에서 적어도 하나의 스크램블링 방식을 랜덤하게 선택하고, 소정의 데이터에 대해 상기 적어도 하나의 스크램블링 방식이 순차적으로 적용되도록 하는 암호화와 연관된 암호화 방식 정보를 구성할 수 있다.The
이렇게, 상기 선정된 제1 주기 간격으로 상기 암호화 방식 정보가 구성됨으로써, 상기 암호화 방식 정보가 선정된 개수만큼 생성되면, 가변 암호화 기반의 네트워크 보안 장치(110)는 상기 선정된 개수의 암호화 방식 정보들을 네트워크로 서로 연결되어 있는 복수의 단말들(121, 122, 123, 124, 125) 중 랜덤하게 선택된 제1 단말로 전송할 수 있다.When the predetermined number of pieces of the cipher system information is generated by configuring the cipher system information at the predetermined first period intervals, the variable-cipher
예컨대, 상기 선정된 개수가 '2개'라고 가정하고, 상기 선정된 제1 주기 간격으로 상기 암호화 방식 정보가 구성됨으로써, 소정의 데이터에 대해 '치환', '대치'가 순차적으로 적용되도록 하는 암호화와 연관된 '암호화 방식 정보 1'과 소정의 데이터에 대해 '대치', '산술', '치환'이 순차적으로 적용되도록 하는 암호화와 연관된 '암호화 방식 정보 2'가 생성되면, 2개의 암호화 방식 정보가 구성되었기 때문에 가변 암호화 기반의 네트워크 보안 장치(110)는 복수의 단말들(121, 122, 123, 124, 125) 중 랜덤하게 선택된 제1 단말로 상기 '암호화 방식 정보 1'과 상기 '암호화 방식 정보 2'를 전송할 수 있다.For example, it is assumed that the predetermined number is '2', and the encryption scheme information is configured at the selected first period interval, thereby encrypting the encrypted data so that 'substitution' and 'substitution' 'Encryption method information 2' associated with 'encryption method information 1' associated with encryption and 'encryption', 'arithmetic', and 'substitution' are sequentially generated for predetermined data, The
이하에서는 상기 제1 단말을 복수의 단말들 중(121, 122, 123, 124, 125)에서 도면부호 122에 해당되는 단말임을 가정하여 설명하기로 한다.Hereinafter, it is assumed that the first terminal is a terminal corresponding to a
가변 암호화 기반의 네트워크 보안 장치(110)로부터 제1 단말(122)로 상기 선정된 개수의 암호화 방식 정보들이 전송되면, 제1 단말(122)은 상기 선정된 개수의 암호화 방식 정보들 각각을 기초로 데이터를 암호화하였을 경우에 대한 차분 공격 분석(Differential Cryptanalysis)을 수행하여 상기 선정된 개수의 암호화 방식 정보들 각각에 대한 전파 비율(Propagation Ratio)을 연산한 후 상기 선정된 개수의 암호화 방식 정보들 각각에 대한 전파 비율이 낮을수록 높은 보안 수준이 할당되도록 상기 선정된 개수의 암호화 방식 정보들 각각에 대한 보안 수준 정보를 구성할 수 있다.When the predetermined number of pieces of cipher system information is transmitted from the
여기서, 차분 공격 분석은 암호의 안전성을 평가하는 분석 방법으로, 연속된 라운드의 최대 차분 특성 확률(Differential Characteristic Probability)을 고려하고, 마지막 라운드의 키를 추측하여 키의 전수 조사량 보다 적은 계산량으로 키를 복구하는 분석 방법이다. 차분 공격 분석에서는 특정 암호화 방식에 대한 안정성을 표현하기 위한 결과 값으로 전파 비율을 연산할 수 있고, 해당 전파 비율이 낮을수록 안정된 암호화 방식으로 판단할 수 있다.Here, the differential attack analysis is an analysis method for evaluating the security of the cryptosystem. Considering the differential characteristic probabilities of successive rounds, the key of the last round is estimated, It is an analysis method to recover. In the differential attack analysis, the propagation ratio can be calculated as a result value for expressing the stability of the specific cipher system, and the lower the propagation ratio, the more stable the cipher system can be determined.
따라서, 제1 단말(122)은 가변 암호화 기반의 네트워크 보안 장치(110)로부터 상기 선정된 개수의 암호화 방식 정보들이 수신되면, 상기 선정된 개수의 암호화 방식 정보들 각각을 기초로 데이터를 암호화하였을 경우에 대한 차분 공격 분석을 수행하여 상기 선정된 개수의 암호화 방식 정보들 각각에 대한 전파 비율을 연산한 후 상기 선정된 개수의 암호화 방식 정보들 각각에 대한 전파 비율이 낮을수록 높은 보안 수준이 할당되도록 상기 선정된 개수의 암호화 방식 정보들 각각에 대한 보안 수준 정보를 구성할 수 있다.Accordingly, when the
예컨대, 제1 단말(122)로 '암호화 방식 정보 1'과 '암호화 방식 정보 2'가 수신되었다면, 제1 단말(122)은 '암호화 방식 정보 1'과 '암호화 방식 정보 2'에 따라 데이터를 암호화했을 경우에 대한 차분 공격 분석을 수행한 후 '암호화 방식 정보 1'에 대한 '전파 비율 1'을 연산하고, '암호화 방식 정보 2'에 대한 '전파 비율 2'를 연산할 수 있다.For example, if 'cipher system information 1' and 'cipher system information 2' are received by the
이때, '전파 비율 1'과 '전파 비율 2' 중에서 '전파 비율 2'가 '전파 비율 1'보다 작은 값을 갖는다면, 제1 단말(122)은 '암호화 방식 정보 2'의 보안 수준을 높은 보안 수준으로 할당하고, '암호화 방식 정보 1'의 보안 수준을 낮은 보안 수준으로 할당하는 형태로 '암호화 방식 정보 1'과 '암호화 방식 정보 2'에 대한 보안 수준 정보를 구성할 수 있다.At this time, if the 'propagation ratio 2' among 'propagation ratio 1' and 'propagation ratio 2' has a value smaller than 'propagation ratio 1', the
이때, 본 발명의 다른 실시예에 따르면, 제1 단말(122)은 가변 암호화 기반의 네트워크 보안 장치(110)로부터 상기 선정된 개수의 암호화 방식 정보들이 수신되면, 상기 차분 공격 분석을 수행하는 것이 아니라, 상기 선정된 개수의 암호화 방식 정보들 각각을 기초로 데이터를 암호화하였을 경우에 대한 선형 공격 분석(Linear Cryptanalysis)을 수행하여 상기 선정된 개수의 암호화 방식 정보들 각각에 대한 바이어스(bias)를 연산한 후 상기 선정된 개수의 암호화 방식 정보들 각각에 대한 바이어스가 낮을수록 높은 보안 수준이 할당되도록 상기 선정된 개수의 암호화 방식 정보들 각각에 대한 보안 수준 정보를 구성할 수도 있다.In this case, according to another embodiment of the present invention, when the predetermined number of encryption scheme information is received from the
여기서, 선형 공격 분석은 암호의 안전성을 평가하는 분석 방법으로, 연속된 라운드의 최대 선형 특성 확률(Linear Characteristic Probability)을 고려하여 키의 정보를 복구하는 분석 방법이다. 선형 공격 분석에서는 특정 암호화 방식에 대한 안정성을 표현하기 위한 결과 값으로 바이어스를 연산할 수 있고, 해당 바이어스가 낮을수록 안정된 암호화 방식으로 판단할 수 있다.Here, linear attack analysis is an analysis method for evaluating the security of cryptography, and it is an analysis method for recovering key information by considering the linear characteristic probability of continuous rounds. In the linear attack analysis, the bias can be calculated as a result value for expressing the stability of the specific cipher system, and the lower the corresponding bias, the more stable the cipher system can be judged.
따라서, 제1 단말(122)은 가변 암호화 기반의 네트워크 보안 장치(110)로부터 상기 선정된 개수의 암호화 방식 정보들이 수신되면, 상기 선정된 개수의 암호화 방식 정보들 각각을 기초로 데이터를 암호화하였을 경우에 대한 선형 공격 분석을 수행하여 상기 선정된 개수의 암호화 방식 정보들 각각에 대한 바이어스를 연산한 후 상기 선정된 개수의 암호화 방식 정보들 각각에 대한 바이어스가 낮을수록 높은 보안 수준이 할당되도록 상기 선정된 개수의 암호화 방식 정보들 각각에 대한 보안 수준 정보를 구성할 수 있다.Accordingly, when the
이렇게, 제1 단말(122)이 상기 선정된 개수의 암호화 방식 정보들 각각에 대한 보안 수준 정보를 구성을 완료하면, 가변 암호화 기반의 네트워크 보안 장치(110)는 제1 단말(122)로부터 상기 보안 수준 정보를 수신할 수 있다.When the
그러고 나서, 가변 암호화 기반의 네트워크 보안 장치(110)는 상기 보안 수준 정보를 참조하여 상기 선정된 개수의 암호화 방식 정보들 각각에 대한 보안 수준 중에서 가장 높은 보안 수준을 갖는 제1 암호화 방식 정보를 복수의 단말들(121, 122, 123, 124, 125) 간의 데이터 송수신을 위한 암호화 방식 후보로 선택한 후 상기 암호화 방식 후보로 선택된 상기 제1 암호화 방식 정보를 메모리에 저장할 수 있다.Then, the
그 이후, 가변 암호화 기반의 네트워크 보안 장치(110)는 복수의 단말들(121, 122, 123, 124, 125) 사이에서 데이터 송수신이 수행되는 도중, 데이터 암복호화 실패와 연관된 보안 이벤트가 선정된 기간 이내에서 선정된 횟수 이상 발생하는지 여부를 판단할 수 있다.Thereafter, the
관련하여, 복수의 단말들(121, 122, 123, 124)은 어느 하나의 단말로부터 암호화된 데이터가 수신되면, 상기 암호화된 데이터를 복호화한 후 복호화된 데이터를 파싱하여 상기 복호화된 데이터에 포함되어 있는 데이터 헤더(header) 구조를 파악하고, 상기 데이터 헤더 구조와 메모리 상에 기 저장되어 있는 상기 복호화된 데이터의 데이터 교환을 위한 통신 프로토콜 표준 따른 헤더 구조 정보를 비교하여 상기 데이터 헤더 구조가 상기 헤더 구조 정보에 매칭되지 않는 것으로 판단되면, 상기 보안 이벤트를 발생시킬 수 있다.When encrypted data is received from any one of the terminals, the plurality of
예컨대, 복수의 단말들(121, 122, 123, 124, 125) 중 단말 1(121)이 단말 2(122)에 대해 IP 기반 데이터를 암호화해서 전송한 경우, 단말 2(122)는 상기 암호화된 데이터를 복호한 후 복호화된 데이터를 파싱해서 상기 복호화된 데이터에 포함되어 있는 데이터 헤더 구조를 파악할 수 있다.For example, when the
이때, 데이터는 스크램블링되어 암호화되더라도, 해당 데이터의 헤더 구조에 포함되어 있는 각 데이터의 타입이나 비트 수 등은 변경되지 않기 때문에, 단말 2(122)는 상기 복호화된 데이터에 포함되어 있는 데이터 헤더 구조와 도 2에 도시되어 있는 예와 같은 IP 기반 데이터에 대한 통신 프로토콜 표준에 따른 헤더 구조 정보를 비교하여 상기 데이터 헤더 구조가 상기 헤더 구조 정보에 매칭되지 않는 것으로 판단되면, 상기 보안 이벤트를 발생시킬 수 있다.At this time, even if the data is scrambled and encrypted, the type and the number of bits of each data included in the header structure of the data are not changed. Therefore, the terminal 2 122 may store the data header structure included in the decoded data The header structure information according to the communication protocol standard for IP-based data such as the example shown in FIG. 2 is compared, and if the data header structure is determined not to match the header structure information, the security event may be generated .
즉, 상기 복호화된 데이터에 포함되어 있는 데이터 헤더 구조에서는 도 2에 도시되어 있는 예와 같이, IP 버전 4의 경우, 처음 4비트는 이진수로 '0100' 그 다음 4비트는 헤더길이에 따라 5에서 15까지의 값을 갖는 등 위치별로 표준에 규정된 값을 가질 뿐만 아니라, 헤더에 포함된 정보의 체크섬을 계산했을 때 'Header Checksum'에 저장된 값과 일치해야 하지만, 이러한 구조 정보가 도 2에 도시되어 있는 통신 프로토콜 표준에 따른 헤더 구조 정보에 매칭되지 않는다면, 단말 1(121)이 전송한 데이터는 정상적으로 암호화되지 않은 데이터라고 볼 수 있으므로, 단말 2(122)는 데이터 암복호화 실패와 연관된 상기 보안 이벤트를 발생시킬 수 있다.That is, in the data header structure included in the decoded data, as in the example shown in FIG. 2, in the case of
이러한 방식으로, 복수의 단말들(121, 122, 123, 124, 125)은 서로 데이터 교환시에 수신된 데이터의 헤더 구조를 기초로 데이터 암복호화가 정상적으로 수행되었는지 여부를 판단한 후 데이터 암복호화가 정상적으로 수행되지 않은 것으로 판단되면, 상기 보안 이벤트를 발생시킬 수 있다.In this manner, the plurality of
이렇게, 복수의 단말들(121, 122, 123, 124, 125)이 상기 보안 이벤트를 발생시키면, 가변 암호화 기반의 네트워크 보안 장치(110)는 복수의 단말들(121, 122, 123, 124, 125) 사이에서 데이터 송수신이 수행되는 도중, 데이터 암복호화 실패와 연관된 보안 이벤트가 선정된 기간 이내에서 선정된 횟수 이상 발생하는지 여부를 판단할 수 있다.When the plurality of
만약, 복수의 단말들(121, 122, 123, 124, 125) 사이에서 데이터 송수신이 수행되는 도중, 데이터 암복호화 실패와 연관된 보안 이벤트가 선정된 기간 이내에서 선정된 횟수 이상 발생하는 것으로 판단되면, 가변 암호화 기반의 네트워크 보안 장치(110)는 복수의 단말(121, 122, 123, 124, 125)들에 대해, 상기 제1 암호화 방식 정보를 전송함으로써, 복수의 단말들(121, 122, 123, 124, 125)이 상기 제1 암호화 방식 정보를 기초로 데이터를 암복호화하여 송수신하도록 제어할 수 있다.If it is determined that a security event associated with a data encryption / decryption failure occurs more than a predetermined number of times within a predetermined period during data transmission / reception between a plurality of
예컨대, 가변 암호화 기반의 네트워크 보안 장치(110)에서 소정의 데이터에 대해 '대치', '산술', '치환'이 순차적으로 적용되도록 하는 암호화와 연관된 '암호화 방식 정보 2'가 상기 제1 암호화 방식 정보로 결정되어 메모리에 저장되어 있는 상태에서 복수의 단말들(121, 122, 123, 124, 125)이 '치환', '산술'이라는 스크램블링 방식이 순차적으로 적용되는 암호화 방식에 따라 데이터를 송수신하는 도중 상기 선정된 기간 이내에서 데이터 암복호화 실패와 연관된 보안 이벤트를 상기 선정된 횟수 이상 발생시키는 경우, 가변 암호화 기반의 네트워크 보안 장치(110)는 상기 '암호화 방식 정보 2'를 복수의 단말들(121, 122, 123, 124, 125)로 전송함으로써, 복수의 단말들(121, 122, 123, 124, 125)이 '치환', '산술'이라는 스크램블링 방식이 순차적으로 적용되는 암호화 방식이 아닌, 상기 '암호화 방식 정보 2'에 따른 '대치', '산술', '치환'이 순차적으로 적용되는 암호화 방식을 기초로 데이터를 암복호화하여 송수신하도록 제어할 수 있다.For example, in the
이를 통해, 복수의 단말들(121, 122, 123, 124, 125)은 기존의 '치환', '산술'이라는 스크램블링 방식이 순차적으로 적용되는 암호화 방식을 통해서 데이터를 송수신하는 것이 아니라, '대치', '산술', '치환'이 순차적으로 적용되는 암호화 방식을 통해서 데이터를 송수신할 수 있다.Accordingly, the plurality of
이때, 본 발명의 일실시예에 따르면, 가변 암호화 기반의 네트워크 보안 장치(110)는 상기 제1 암호화 방식 정보가 상기 암호화 방식 후보로 선택된 이후에도 상기 선정된 제1 주기 간격으로, 상기 복수의 스크램블링 방식들 중에서 적어도 하나의 스크램블링 방식을 랜덤하게 선택하고, 소정의 데이터에 대해 상기 적어도 하나의 스크램블링 방식이 순차적으로 적용되도록 하는 암호화와 연관된 암호화 방식 정보를 구성하는 과정을 계속 수행할 수 있다.In this case, according to an embodiment of the present invention, the
이를 통해, 가변 암호화 기반의 네트워크 보안 장치(110)는 상기 제1 암호화 방식 정보가 상기 암호화 방식 후보로 선택된 이후 상기 선정된 제1 주기 간격으로 상기 암호화 방식 정보가 신규로 구성됨으로써, 상기 신규로 구성된 암호화 방식 정보가 상기 제1 암호화 방식 정보를 포함하여 상기 선정된 개수만큼 생성되면, 상기 제1 암호화 방식 정보를 포함하는 상기 선정된 개수의 신규 암호화 방식 정보들을 복수의 단말들(121, 122, 123, 124, 125) 중 랜덤하게 재선택된 제2 단말로 전송할 수 있다.Accordingly, the
그리고, 가변 암호화 기반의 네트워크 보안 장치(110)는 상기 제2 단말로부터 상기 선정된 개수의 신규 암호화 방식 정보들 각각을 기초로 데이터를 암호화하였을 경우에 대한 신규 보안 수준 정보를 수신할 수 있고, 상기 신규 보안 수준 정보를 참조하여 상기 선정된 개수의 신규 암호화 방식 정보들 각각에 대한 보안 수준 중에서 가장 높은 보안 수준을 갖는 제2 암호화 방식 정보를 복수의 단말들(121, 122, 123, 124, 125) 간의 데이터 송수신을 위한 암호화 방식 후보로 재선택한 후 상기 암호화 방식 후보로 재선택된 상기 제2 암호화 방식 정보를 메모리에 저장할 수 있다.The
이때, 복수의 단말들(121, 122, 123, 124, 125) 사이에서 데이터 송수신이 수행되는 도중, 데이터 암복호화 실패와 연관된 상기 보안 이벤트가 상기 선정된 기간 이내에서 상기 선정된 횟수 이상 발생하는 경우, 가변 암호화 기반의 네트워크 보안 장치(110)는 복수의 단말들(121, 122, 123, 124, 125)에 대해, 상기 제2 암호화 방식 정보를 전송함으로써, 복수의 단말들(121, 122, 123, 124, 125)이 상기 제2 암호화 방식 정보를 기초로 데이터를 암복호화하여 송수신하도록 제어할 수 있다.At this time, during the data transmission / reception between the plurality of
즉, 가변 암호화 기반의 네트워크 보안 장치(110)는 상기 선정된 제1 주기 간격으로, 암호화 방식 정보를 계속 구성하되, 상기 암호화 방식 정보가 상기 선정된 개수만큼 생성되면, 상기 선정된 개수의 암호화 방식 정보들에 대한 보안 수준 정보를 비교하여 특정 암호화 방식 정보를 복수의 단말들(121, 122, 123, 124, 125) 간의 데이터 송수신을 위한 암호화 방식 후보로 선택하는 과정을 수행하고, 상기 암호화 방식 정보가 상기 선정된 제1 주기 간격으로 계속 구성됨으로써, 새로운 암호화 방식 정보가 생성되면, 기존의 암호화 방식 후보로 선택된 암호화 방식 정보와 새로운 암호화 방식 정보의 총 합계가 상기 선정된 개수에 해당되면, 다시 해당 암호화 방식 정보들에 대한 보안 수준 정보를 비교하여 특정 암호화 방식 정보를 복수의 단말들(121, 122, 123, 124, 125) 간의 데이터 송수신을 위한 암호화 방식 후보로 재선택하는 과정을 반복 수행할 수 있다.That is, the
이를 통해서, 가변 암호화 기반의 네트워크 보안 장치(110)는 복수의 단말들(121, 122, 123, 124, 125) 간의 데이터 송수신을 위한 암호화 방식 후보를 특정 주기 간격으로 계속 갱신할 수 있다.Accordingly, the
이렇게, 가변 암호화 기반의 네트워크 보안 장치(110)는 복수의 단말들(121, 122, 123, 124, 125) 간의 데이터 송수신을 위한 암호화 방식 후보를 특정 주기 간격으로 계속 갱신해 놓으면서, 복수의 단말들(121, 122, 123, 124, 125) 사이에서 데이터 암복호화 실패와 연관된 보안 이벤트가 특정 시간 이내에서 특정 횟수 이상 발생한 것으로 판단되면, 복수의 단말들(121, 122, 123, 124, 125)이 현재 데이터 송수신에 사용하고 있는 암호화 방식에 문제가 있는 것으로 판단하고, 특정 주기 간격으로 갱신해서 메모리 상에 저장하고 있는 암호화 방식 후보를 복수의 단말들(121, 122, 123, 124, 125)로 전달함으로써, 복수의 단말들(121, 122, 123, 124, 125)이 새로운 암호화 방식에 따라 데이터를 송수신하도록 제어하여 보안을 강화시킬 수 있다.In this way, the
이때, 본 발명의 일실시예에 따르면, 가변 암호화 기반의 네트워크 보안 장치(110)는 선정된 제2 주기 간격으로, 상기 데이터베이스에 저장되어 있는 상기 복수의 스크램블링 방식들 중에서 랜덤하게 선택된 적어도 하나의 제1 스크램블링 방식을 삭제하고, 적어도 하나의 신규 스크램블링 방식을 생성하여 상기 데이터베이스에 저장할 수 있다.At this time, according to an embodiment of the present invention, the
이를 통해, 가변 암호화 기반의 네트워크 보안 장치(110)는 상기 선정된 제1 주기 간격으로 상기 암호화 방식 정보를 구성하는 것과는 별도로, 상기 선정된 제2 주기 간격으로 상기 데이터베이스 자체를 갱신함으로써, 상기 선정된 제1 주기 간격으로 생성되는 상기 암호화 방식 정보의 생성 시나리오를 다양화할 수 있어, 더욱 보안성을 강화시킬 수 있다.Accordingly, the
도 3은 본 발명의 일실시예에 따른 가변 암호화 기반의 네트워크 보안 장치의 구조를 도시한 도면이다.3 is a diagram illustrating a structure of a variable-encryption-based network security apparatus according to an exemplary embodiment of the present invention.
데이터베이스(311)에는 데이터의 암호화와 연관된 복수의 스크램블링 방식들이 저장되어 있다.The
암호화 구성부(312)는 선정된 제1 주기 간격으로, 상기 복수의 스크램블링 방식들 중에서 적어도 하나의 스크램블링 방식을 랜덤하게 선택하고, 데이터에 대해 상기 적어도 하나의 스크램블링 방식이 순차적으로 적용되도록 하는 암호화와 연관된 암호화 방식 정보를 구성한다.The
정보 전송부(313)는 상기 선정된 제1 주기 간격으로 상기 암호화 방식 정보가 구성됨으로써, 상기 암호화 방식 정보가 선정된 개수만큼 생성되면, 상기 선정된 개수의 암호화 방식 정보들을 네트워크로 서로 연결되어 있는 복수의 단말들(321, 322, 323) 중 랜덤하게 선택된 제1 단말로 전송한다.When the predetermined number of pieces of the cipher system information is generated by configuring the cipher system information at the selected first period intervals, the
보안 수준 수신부(314)는 상기 제1 단말로부터 상기 선정된 개수의 암호화 방식 정보들 각각을 기초로 데이터를 암호화하였을 경우에 대한 보안 수준 정보를 수신한다.The security
이때, 본 발명의 일실시예에 따르면, 상기 제1 단말은 상기 선정된 개수의 암호화 방식 정보들 각각을 기초로 데이터를 암호화하였을 경우에 대한 차분 공격 분석을 수행하여 상기 선정된 개수의 암호화 방식 정보들 각각에 대한 전파 비율을 연산한 후 상기 선정된 개수의 암호화 방식 정보들 각각에 대한 전파 비율이 낮을수록 높은 보안 수준이 할당되도록 상기 보안 수준 정보를 구성할 수 있다.In this case, according to an embodiment of the present invention, the first terminal performs a differential attack analysis for encrypting data based on each of the predetermined number of pieces of cipher system information, The security level information may be configured such that a higher security level is assigned to each of the predetermined number of encryption scheme information as the propagation ratio is lower.
또한, 본 발명의 다른 일실시예에 따르면, 상기 제1 단말은 상기 선정된 개수의 암호화 방식 정보들 각각을 기초로 데이터를 암호화하였을 경우에 대한 선형 공격 분석을 수행하여 상기 선정된 개수의 암호화 방식 정보들 각각에 대한 바이어스를 연산한 후 상기 선정된 개수의 암호화 방식 정보들 각각에 대한 바이어스가 낮을수록 높은 보안 수준이 할당되도록 상기 보안 수준 정보를 구성할 수 있다.According to another embodiment of the present invention, the first terminal performs a linear attack analysis on data encryption based on each of the predetermined number of encryption scheme information, The security level information may be configured such that a higher security level is allocated as the bias for each of the predetermined number of encryption scheme information is lower.
후보 선택부(315)는 상기 보안 수준 정보를 참조하여 상기 선정된 개수의 암호화 방식 정보들 각각에 대한 보안 수준 중에서 가장 높은 보안 수준을 갖는 제1 암호화 방식 정보를 복수의 단말들(321, 322, 323) 간의 데이터 송수신을 위한 암호화 방식 후보로 선택한 후 상기 암호화 방식 후보로 선택된 상기 제1 암호화 방식 정보를 메모리에 저장한다.The
암호화 방식 업데이트부(316)는 복수의 단말들(321, 322, 323) 사이에서 데이터 송수신이 수행되는 도중, 데이터 암복호화 실패와 연관된 보안 이벤트가 선정된 기간 이내에서 선정된 횟수 이상 발생하는 경우, 복수의 단말들(321, 322, 323)에 대해, 상기 제1 암호화 방식 정보를 전송함으로써, 복수의 단말들(321, 322, 323)이 상기 제1 암호화 방식 정보를 기초로 데이터를 암복호화하여 송수신하도록 제어한다.When a security event associated with a data encryption / decryption failure occurs more than a predetermined number of times within a predetermined period during data transmission / reception between a plurality of
이때, 본 발명의 일실시예에 따르면, 복수의 단말들(321, 322, 323)은 어느 하나의 단말로부터 암호화된 데이터가 수신되면, 상기 암호화된 데이터를 복호화한 후 복호화된 데이터를 파싱하여 상기 복호화된 데이터에 포함되어 있는 데이터 헤더 구조를 파악하고, 상기 데이터 헤더 구조와 메모리 상에 기 저장되어 있는 상기 복호화된 데이터의 데이터 교환을 위한 통신 프로토콜 표준 따른 헤더 구조 정보를 비교하여 상기 데이터 헤더 구조가 상기 헤더 구조 정보에 매칭되지 않는 것으로 판단되면, 상기 보안 이벤트를 발생시킬 수 있다.In this case, according to an embodiment of the present invention, when the encrypted data is received from any one of the terminals, the plurality of
본 발명의 일실시예에 따르면, 정보 전송부(313)는 상기 제1 암호화 방식 정보가 상기 암호화 방식 후보로 선택된 이후 상기 선정된 제1 주기 간격으로 상기 암호화 방식 정보가 신규로 구성됨으로써, 상기 신규로 구성된 암호화 방식 정보가 상기 제1 암호화 방식 정보를 포함하여 상기 선정된 개수만큼 생성되면, 상기 제1 암호화 방식 정보를 포함하는 상기 선정된 개수의 신규 암호화 방식 정보들을 복수의 단말들(321, 322, 323) 중 랜덤하게 재선택된 제2 단말로 전송할 수 있다.According to an embodiment of the present invention, the
이때, 보안 수준 수신부(314)는 상기 제2 단말로부터 상기 선정된 개수의 신규 암호화 방식 정보들 각각을 기초로 데이터를 암호화하였을 경우에 대한 신규 보안 수준 정보를 수신할 수 있고, 후보 선택부(315)는 상기 신규 보안 수준 정보를 참조하여 상기 선정된 개수의 신규 암호화 방식 정보들 각각에 대한 보안 수준 중에서 가장 높은 보안 수준을 갖는 제2 암호화 방식 정보를 복수의 단말들(321, 322, 323) 간의 데이터 송수신을 위한 암호화 방식 후보로 재선택한 후 상기 암호화 방식 후보로 재선택된 상기 제2 암호화 방식 정보를 메모리에 저장할 수 있다.At this time, the security
그리고, 암호화 방식 업데이트부(316)는 복수의 단말들(321, 322, 323) 사이에서 데이터 송수신이 수행되는 도중, 데이터 암복호화 실패와 연관된 상기 보안 이벤트가 상기 선정된 기간 이내에서 상기 선정된 횟수 이상 발생하는 경우, 복수의 단말들(321, 322, 323)에 대해, 상기 제2 암호화 방식 정보를 전송함으로써, 복수의 단말들(321, 322, 323)이 상기 제2 암호화 방식 정보를 기초로 데이터를 암복호화하여 송수신하도록 제어할 수 있다.The encryption
본 발명의 일실시예에 따르면, 가변 암호화 기반의 네트워크 보안 장치(310)는 선정된 제2 주기 간격으로, 데이터베이스(311)에 저장되어 있는 상기 복수의 스크램블링 방식들 중에서 랜덤하게 선택된 적어도 하나의 제1 스크램블링 방식을 삭제하고, 적어도 하나의 신규 스크램블링 방식을 생성하여 데이터베이스(311)에 저장하는 데이터베이스 갱신부(317)를 더 포함할 수 있다.According to an embodiment of the present invention, the variable-encryption-based
이상, 도 3을 참조하여 본 발명의 일실시예에 따른 가변 암호화 기반의 네트워크 보안 장치(310)의 구조에 대해 설명하였다. 여기서, 본 발명의 일실시예에 따른 가변 암호화 기반의 네트워크 보안 장치(310)는 도 1과 도 2를 이용하여 설명한 가변 암호화 기반의 네트워크 보안 장치(110)와 대응될 수 있으므로, 이에 대한 보다 상세한 설명은 생략하기로 한다.The structure of the
도 4는 본 발명의 일실시예에 따른 가변 암호화 기반의 네트워크 보안 장치의 동작 방법을 도시한 순서도이다.4 is a flowchart illustrating an operation method of a variable-encryption-based network security apparatus according to an exemplary embodiment of the present invention.
단계(S410)에서는 데이터의 암호화와 연관된 복수의 스크램블링 방식들이 저장되어 있는 데이터베이스를 유지한다.In step S410, a database is stored in which a plurality of scrambling schemes associated with encryption of data are stored.
단계(S420)에서는 선정된 제1 주기 간격으로, 상기 복수의 스크램블링 방식들 중에서 적어도 하나의 스크램블링 방식을 랜덤하게 선택하고, 데이터에 대해 상기 적어도 하나의 스크램블링 방식이 순차적으로 적용되도록 하는 암호화와 연관된 암호화 방식 정보를 구성한다.In step S420, at least one scrambling scheme among the plurality of scrambling schemes is randomly selected at a predetermined first periodic interval, and encryption associated with encryption to sequentially apply the at least one scrambling scheme to the data Configure method information.
단계(S430)에서는 상기 선정된 제1 주기 간격으로 상기 암호화 방식 정보가 구성됨으로써, 상기 암호화 방식 정보가 선정된 개수만큼 생성되면, 상기 선정된 개수의 암호화 방식 정보들을 네트워크로 서로 연결되어 있는 복수의 단말들 중 랜덤하게 선택된 제1 단말로 전송한다.In step S430, the cipher system information is configured at the predetermined first period intervals. When the predetermined number of cipher system information is generated, the predetermined number of cipher system information is transmitted to a plurality of To the randomly selected first terminal among the terminals.
단계(S440)에서는 상기 제1 단말로부터 상기 선정된 개수의 암호화 방식 정보들 각각을 기초로 데이터를 암호화하였을 경우에 대한 보안 수준 정보를 수신한다.In step S440, the first terminal receives the security level information for encrypting the data based on each of the predetermined number of encryption method information.
이때, 본 발명의 일실시예에 따르면, 상기 제1 단말은 상기 선정된 개수의 암호화 방식 정보들 각각을 기초로 데이터를 암호화하였을 경우에 대한 차분 공격 분석을 수행하여 상기 선정된 개수의 암호화 방식 정보들 각각에 대한 전파 비율을 연산한 후 상기 선정된 개수의 암호화 방식 정보들 각각에 대한 전파 비율이 낮을수록 높은 보안 수준이 할당되도록 상기 보안 수준 정보를 구성할 수 있다.In this case, according to an embodiment of the present invention, the first terminal performs a differential attack analysis for encrypting data based on each of the predetermined number of pieces of cipher system information, The security level information may be configured such that a higher security level is assigned to each of the predetermined number of encryption scheme information as the propagation ratio is lower.
또한, 본 발명의 다른 일실시예에 따르면, 상기 제1 단말은 상기 선정된 개수의 암호화 방식 정보들 각각을 기초로 데이터를 암호화하였을 경우에 대한 선형 공격 분석을 수행하여 상기 선정된 개수의 암호화 방식 정보들 각각에 대한 바이어스를 연산한 후 상기 선정된 개수의 암호화 방식 정보들 각각에 대한 바이어스가 낮을수록 높은 보안 수준이 할당되도록 상기 보안 수준 정보를 구성할 수 있다.According to another embodiment of the present invention, the first terminal performs a linear attack analysis on data encryption based on each of the predetermined number of encryption scheme information, The security level information may be configured such that a higher security level is allocated as the bias for each of the predetermined number of encryption scheme information is lower.
단계(S450)에서는 상기 보안 수준 정보를 참조하여 상기 선정된 개수의 암호화 방식 정보들 각각에 대한 보안 수준 중에서 가장 높은 보안 수준을 갖는 제1 암호화 방식 정보를 상기 복수의 단말들 간의 데이터 송수신을 위한 암호화 방식 후보로 선택한 후 상기 암호화 방식 후보로 선택된 상기 제1 암호화 방식 정보를 메모리에 저장한다.In step S450, the first cryptographic scheme information having the highest security level among the security levels for each of the predetermined number of cryptographic scheme information is referenced to the security level information, and the first cryptographic scheme information having the highest security level is encrypted Method candidates, and stores the first encryption scheme information selected as the encryption scheme candidate in the memory.
단계(S460)에서는 상기 복수의 단말들 사이에서 데이터 송수신이 수행되는 도중, 데이터 암복호화 실패와 연관된 보안 이벤트가 선정된 기간 이내에서 선정된 횟수 이상 발생하는 경우, 상기 복수의 단말들에 대해, 상기 제1 암호화 방식 정보를 전송함으로써, 상기 복수의 단말들이 상기 제1 암호화 방식 정보를 기초로 데이터를 암복호화하여 송수신하도록 제어한다.In a case where a security event associated with a data encryption / decryption failure occurs more than a predetermined number of times within a predetermined period during data transmission / reception between the plurality of terminals, in step S460, By transmitting the first encryption scheme information, the plurality of terminals perform encryption / decryption of data based on the first encryption scheme information to perform transmission / reception.
이때, 본 발명의 일실시예에 따르면, 상기 복수의 단말들은 어느 하나의 단말로부터 암호화된 데이터가 수신되면, 상기 암호화된 데이터를 복호화한 후 복호화된 데이터를 파싱하여 상기 복호화된 데이터에 포함되어 있는 데이터 헤더 구조를 파악하고, 상기 데이터 헤더 구조와 메모리 상에 기 저장되어 있는 상기 복호화된 데이터의 데이터 교환을 위한 통신 프로토콜 표준 따른 헤더 구조 정보를 비교하여 상기 데이터 헤더 구조가 상기 헤더 구조 정보에 매칭되지 않는 것으로 판단되면, 상기 보안 이벤트를 발생시킬 수 있다.In this case, according to an embodiment of the present invention, when the encrypted data is received from one of the terminals, the plurality of terminals decrypt the encrypted data and then parse the decrypted data, The data header structure is compared with header structure information according to a communication protocol standard for exchanging data of the decoded data stored in the memory with the data header structure so that the data header structure is not matched with the header structure information It may generate the security event.
본 발명의 일실시예에 따르면, 상기 가변 암호화 기반의 네트워크 보안 장치의 동작 방법은 상기 제1 암호화 방식 정보가 상기 암호화 방식 후보로 선택된 이후 상기 선정된 제1 주기 간격으로 상기 암호화 방식 정보가 신규로 구성됨으로써, 상기 신규로 구성된 암호화 방식 정보가 상기 제1 암호화 방식 정보를 포함하여 상기 선정된 개수만큼 생성되면, 상기 제1 암호화 방식 정보를 포함하는 상기 선정된 개수의 신규 암호화 방식 정보들을 상기 복수의 단말들 중 랜덤하게 재선택된 제2 단말로 전송하는 단계, 상기 제2 단말로부터 상기 선정된 개수의 신규 암호화 방식 정보들 각각을 기초로 데이터를 암호화하였을 경우에 대한 신규 보안 수준 정보를 수신하는 단계, 상기 신규 보안 수준 정보를 참조하여 상기 선정된 개수의 신규 암호화 방식 정보들 각각에 대한 보안 수준 중에서 가장 높은 보안 수준을 갖는 제2 암호화 방식 정보를 상기 복수의 단말들 간의 데이터 송수신을 위한 암호화 방식 후보로 재선택한 후 상기 암호화 방식 후보로 재선택된 상기 제2 암호화 방식 정보를 메모리에 저장하는 단계 및 상기 복수의 단말들 사이에서 데이터 송수신이 수행되는 도중, 데이터 암복호화 실패와 연관된 상기 보안 이벤트가 상기 선정된 기간 이내에서 상기 선정된 횟수 이상 발생하는 경우, 상기 복수의 단말들에 대해, 상기 제2 암호화 방식 정보를 전송함으로써, 상기 복수의 단말들이 상기 제2 암호화 방식 정보를 기초로 데이터를 암복호화하여 송수신하도록 제어하는 단계를 더 포함할 수 있다.According to an embodiment of the present invention, the method of operating the variable-encryption-based network security apparatus further includes a step of, after the first encryption scheme information is selected as the encryption scheme candidate, When the new cipher system information including the first cipher system information is generated by the predetermined number, the predetermined number of new cipher system information including the first cipher system information is transmitted to the plurality of Receiving new security level information for a case where data is encrypted based on each of the predetermined number of new encryption scheme information from the second terminal, Referring to the new security level information, the predetermined number of new encryption scheme information And reselects the second encryption scheme information having the highest security level among the security levels for each of the plurality of terminals as the encryption scheme candidate for data transmission and reception between the plurality of terminals, And when the security event associated with the data encryption decryption failure occurs more than the predetermined number of times within the predetermined period during data transmission / reception among the plurality of terminals, And transmitting the second cipher system information to the plurality of terminals to perform encryption / decryption of data based on the second cipher system information to transmit / receive the data.
또한, 본 발명의 일실시예에 따르면, 상기 가변 암호화 기반의 네트워크 보안 장치의 동작 방법은 선정된 제2 주기 간격으로, 상기 데이터베이스에 저장되어 있는 상기 복수의 스크램블링 방식들 중에서 랜덤하게 선택된 적어도 하나의 제1 스크램블링 방식을 삭제하고, 적어도 하나의 신규 스크램블링 방식을 생성하여 상기 데이터베이스에 저장하는 단계를 더 포함할 수 있다.According to another aspect of the present invention, there is provided a method for operating a network security apparatus based on a variable encryption scheme, the network security apparatus comprising: at least one randomly selected one of the plurality of scrambling schemes stored in the database, The method may further include deleting the first scrambling scheme and generating at least one new scrambling scheme and storing the generated new scrambling scheme in the database.
이상, 도 4를 참조하여 본 발명의 일실시예에 따른 가변 암호화 기반의 네트워크 보안 장치의 동작 방법에 대해 설명하였다. 여기서, 본 발명의 일실시예에 따른 가변 암호화 기반의 네트워크 보안 장치의 동작 방법은 도 1 내지 도 3을 이용하여 설명한 가변 암호화 기반의 네트워크 보안 장치(110, 310)의 동작에 대한 구성과 대응될 수 있으므로, 이에 대한 보다 상세한 설명은 생략하기로 한다.The operation of the variable-encryption-based network security apparatus according to an embodiment of the present invention has been described above with reference to FIG. Here, the operation method of the network security apparatus based on the variable encryption according to the embodiment of the present invention corresponds to the configuration of operations of the
본 발명의 일실시예에 따른 가변 암호화 기반의 네트워크 보안 장치의 동작 방법은 컴퓨터와의 결합을 통해 실행시키기 위한 저장매체에 저장된 컴퓨터 프로그램으로 구현될 수 있다.The method for operating the network security device based on the variable encryption according to an embodiment of the present invention may be implemented by a computer program stored in a storage medium for execution through a combination with a computer.
또한, 본 발명의 일실시예에 따른 가변 암호화 기반의 네트워크 보안 장치의 동작 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.In addition, the operation method of the variable security-based network security apparatus according to an exemplary embodiment of the present invention may be implemented in the form of a program command that can be executed through various computer means and recorded in a computer-readable medium. The computer-readable medium may include program instructions, data files, data structures, and the like, alone or in combination. The program instructions recorded on the medium may be those specially designed and configured for the present invention or may be available to those skilled in the art of computer software. Examples of computer-readable media include magnetic media such as hard disks, floppy disks and magnetic tape; optical media such as CD-ROMs and DVDs; magnetic media such as floppy disks; Magneto-optical media, and hardware devices specifically configured to store and execute program instructions such as ROM, RAM, flash memory, and the like. Examples of program instructions include machine language code such as those produced by a compiler, as well as high-level language code that can be executed by a computer using an interpreter or the like. The hardware devices described above may be configured to operate as one or more software modules to perform the operations of the present invention, and vice versa.
이상과 같이 본 발명에서는 구체적인 구성 요소 등과 같은 특정 사항들과 한정된 실시예 및 도면에 의해 설명되었으나 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상적인 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다. As described above, the present invention has been described with reference to particular embodiments, such as specific elements, and specific embodiments and drawings. However, it should be understood that the present invention is not limited to the above- And various modifications and changes may be made thereto by those skilled in the art to which the present invention pertains.
따라서, 본 발명의 사상은 설명된 실시예에 국한되어 정해져서는 아니되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등하거나 등가적 변형이 있는 모든 것들은 본 발명 사상의 범주에 속한다고 할 것이다.Accordingly, the spirit of the present invention should not be construed as being limited to the embodiments described, and all of the equivalents or equivalents of the claims, as well as the following claims, belong to the scope of the present invention .
110: 가변 암호화 기반의 네트워크 보안 장치
121, 122, 123, 124, 125: 복수의 단말들
310: 가변 암호화 기반의 네트워크 보안 장치
311: 데이터베이스 312: 암호화 구성부
313: 정보 전송부 314: 보안 수준 수신부
315: 후보 선택부 316: 암호화 방식 업데이트부
317: 데이터베이스 갱신부
321, 322, 323: 복수의 단말들110: Network security device based on variable encryption
121, 122, 123, 124, 125: a plurality of terminals
310: Network security device based on variable encryption
311: Database 312: Encryption component
313: Information transferring unit 314: Security level receiving unit
315: candidate selection unit 316: encryption method update unit
317:
321, 322 and 323:
Claims (14)
선정된(predetermined) 제1 주기 간격으로, 상기 복수의 스크램블링 방식들 중에서 적어도 하나의 스크램블링 방식을 랜덤하게 선택하고, 데이터에 대해 상기 적어도 하나의 스크램블링 방식이 순차적으로 적용되도록 하는 암호화와 연관된 암호화 방식 정보를 구성하는 암호화 구성부;
상기 선정된 제1 주기 간격으로 상기 암호화 방식 정보가 구성됨으로써, 상기 암호화 방식 정보가 선정된 개수만큼 생성되면, 상기 선정된 개수의 암호화 방식 정보들을 네트워크로 서로 연결되어 있는 복수의 단말들 중 랜덤하게 선택된 제1 단말로 전송하는 정보 전송부;
상기 제1 단말로부터 상기 선정된 개수의 암호화 방식 정보들 각각을 기초로 데이터를 암호화하였을 경우에 대한 보안 수준 정보를 수신하는 보안 수준 수신부;
상기 보안 수준 정보를 참조하여 상기 선정된 개수의 암호화 방식 정보들 각각에 대한 보안 수준 중에서 가장 높은 보안 수준을 갖는 제1 암호화 방식 정보를 상기 복수의 단말들 간의 데이터 송수신을 위한 암호화 방식 후보로 선택한 후 상기 암호화 방식 후보로 선택된 상기 제1 암호화 방식 정보를 메모리에 저장하는 후보 선택부; 및
상기 복수의 단말들 사이에서 데이터 송수신이 수행되는 도중, 데이터 암복호화 실패와 연관된 보안 이벤트가 선정된 기간 이내에서 선정된 횟수 이상 발생하는 경우, 상기 복수의 단말들에 대해, 상기 제1 암호화 방식 정보를 전송함으로써, 상기 복수의 단말들이 상기 제1 암호화 방식 정보를 기초로 데이터를 암복호화하여 송수신하도록 제어하는 암호화 방식 업데이트부
를 포함하는 가변 암호화 기반의 네트워크 보안 장치.A database in which a plurality of scrambling schemes associated with encryption of data are stored;
At least one scrambling scheme among the plurality of scrambling schemes is randomly selected at a predetermined first periodic interval and encryption scheme information associated with encryption for sequentially applying the at least one scrambling scheme to data, An encryption unit configured to configure the encryption unit;
Wherein when the predetermined number of the encryption scheme information is generated by the encryption scheme information at the selected first period interval, the predetermined number of encryption scheme information is randomly generated among a plurality of terminals connected to each other in the network An information transmission unit transmitting the selected information to the selected first terminal;
A security level receiver for receiving security level information about a case where data is encrypted based on each of the predetermined number of encryption scheme information from the first terminal;
The first encryption scheme information having the highest security level among the security levels for each of the predetermined number of encryption scheme information is selected as an encryption scheme candidate for data transmission / reception between the plurality of terminals with reference to the security level information A candidate selector for storing the first encryption scheme information selected as the encryption scheme candidate in a memory; And
When a security event associated with a data encryption / decryption failure occurs more than a predetermined number of times within a predetermined period during data transmission / reception between the plurality of terminals, the first encryption method information The encryption method update unit for controlling the plurality of terminals to encrypt and decrypt data based on the first encryption scheme information to transmit and receive the data,
The network security device comprising:
상기 정보 전송부는
상기 제1 암호화 방식 정보가 상기 암호화 방식 후보로 선택된 이후 상기 선정된 제1 주기 간격으로 상기 암호화 방식 정보가 신규로 구성됨으로써, 상기 신규로 구성된 암호화 방식 정보가 상기 제1 암호화 방식 정보를 포함하여 상기 선정된 개수만큼 생성되면, 상기 제1 암호화 방식 정보를 포함하는 상기 선정된 개수의 신규 암호화 방식 정보들을 상기 복수의 단말들 중 랜덤하게 재선택된 제2 단말로 전송하고,
상기 보안 수준 수신부는
상기 제2 단말로부터 상기 선정된 개수의 신규 암호화 방식 정보들 각각을 기초로 데이터를 암호화하였을 경우에 대한 신규 보안 수준 정보를 수신하며,
상기 후보 선택부는
상기 신규 보안 수준 정보를 참조하여 상기 선정된 개수의 신규 암호화 방식 정보들 각각에 대한 보안 수준 중에서 가장 높은 보안 수준을 갖는 제2 암호화 방식 정보를 상기 복수의 단말들 간의 데이터 송수신을 위한 암호화 방식 후보로 재선택한 후 상기 암호화 방식 후보로 재선택된 상기 제2 암호화 방식 정보를 메모리에 저장하며,
상기 암호화 방식 업데이트부는
상기 복수의 단말들 사이에서 데이터 송수신이 수행되는 도중, 데이터 암복호화 실패와 연관된 상기 보안 이벤트가 상기 선정된 기간 이내에서 상기 선정된 횟수 이상 발생하는 경우, 상기 복수의 단말들에 대해, 상기 제2 암호화 방식 정보를 전송함으로써, 상기 복수의 단말들이 상기 제2 암호화 방식 정보를 기초로 데이터를 암복호화하여 송수신하도록 제어하는 가변 암호화 기반의 네트워크 보안 장치.The method according to claim 1,
The information transmission unit
The encryption scheme information is newly configured at the selected first period interval after the first encryption scheme information is selected as the encryption scheme candidate, so that the newly configured encryption scheme information includes the first encryption scheme information, Transmitting the predetermined number of new encryption scheme information including the first encryption scheme information to a randomly reselected second terminal among the plurality of terminals,
The security level receiver
Receiving new security level information for a case where data is encrypted based on each of the predetermined number of new encryption scheme information from the second terminal,
The candidate selector
Referring to the new security level information, second encryption scheme information having the highest security level among the security levels for each of the predetermined number of new encryption scheme information is transmitted as an encryption scheme candidate for data transmission / reception between the plurality of terminals Storing the second encryption scheme information reselected as the encryption scheme candidate in the memory after reselecting,
The encryption method update unit
When a security event associated with a data encryption / decryption failure occurs more than the predetermined number of times within the predetermined period during data transmission / reception between the plurality of terminals, Based on the first encryption scheme information, the encryption scheme information, and controls the plurality of users to encrypt and decrypt data based on the second encryption scheme information to transmit and receive the encrypted data.
선정된 제2 주기 간격으로, 상기 데이터베이스에 저장되어 있는 상기 복수의 스크램블링 방식들 중에서 랜덤하게 선택된 적어도 하나의 제1 스크램블링 방식을 삭제하고, 적어도 하나의 신규 스크램블링 방식을 생성하여 상기 데이터베이스에 저장하는 데이터베이스 갱신부
를 더 포함하는 가변 암호화 기반의 네트워크 보안 장치.The method according to claim 1,
At least one first scrambling scheme randomly selected from among the plurality of scrambling schemes stored in the database at a predetermined second periodic interval and generating at least one new scrambling scheme and storing the generated at least one new scrambling scheme in the database Updating unit
The network security device further comprising:
상기 제1 단말은
상기 선정된 개수의 암호화 방식 정보들 각각을 기초로 데이터를 암호화하였을 경우에 대한 차분 공격 분석(Differential Cryptanalysis)을 수행하여 상기 선정된 개수의 암호화 방식 정보들 각각에 대한 전파 비율(Propagation Ratio)을 연산한 후 상기 선정된 개수의 암호화 방식 정보들 각각에 대한 전파 비율이 낮을수록 높은 보안 수준이 할당되도록 상기 보안 수준 정보를 구성하는 가변 암호화 기반의 네트워크 보안 장치.The method according to claim 1,
The first terminal
A differential cryptanalysis is performed for data encryption based on each of the predetermined number of cipher system information, and a propagation ratio for each of the predetermined number of cipher system information is computed And configures the security level information so that a higher security level is allocated to each of the predetermined number of encryption scheme information as the propagation ratio is lower.
상기 제1 단말은
상기 선정된 개수의 암호화 방식 정보들 각각을 기초로 데이터를 암호화하였을 경우에 대한 선형 공격 분석(Linear Cryptanalysis)을 수행하여 상기 선정된 개수의 암호화 방식 정보들 각각에 대한 바이어스(bias)를 연산한 후 상기 선정된 개수의 암호화 방식 정보들 각각에 대한 바이어스가 낮을수록 높은 보안 수준이 할당되도록 상기 보안 수준 정보를 구성하는 가변 암호화 기반의 네트워크 보안 장치.The method according to claim 1,
The first terminal
A linear attack analysis (Linear Cryptanalysis) is performed for data encryption based on each of the predetermined number of cipher system information, a bias for each of the predetermined number of cipher system information is calculated And configures the security level information so that a higher security level is assigned as the bias for each of the predetermined number of encryption scheme information is lower.
상기 복수의 단말들은
어느 하나의 단말로부터 암호화된 데이터가 수신되면, 상기 암호화된 데이터를 복호화한 후 복호화된 데이터를 파싱하여 상기 복호화된 데이터에 포함되어 있는 데이터 헤더(header) 구조를 파악하고, 상기 데이터 헤더 구조와 메모리 상에 기 저장되어 있는 상기 복호화된 데이터의 데이터 교환을 위한 통신 프로토콜 표준 따른 헤더 구조 정보를 비교하여 상기 데이터 헤더 구조가 상기 헤더 구조 정보에 매칭되지 않는 것으로 판단되면, 상기 보안 이벤트를 발생시키는 가변 암호화 기반의 네트워크 보안 장치.The method according to claim 1,
The plurality of terminals
When the encrypted data is received from any one of the terminals, the decrypted data is parsed and the decrypted data is parsed to grasp the data header structure included in the decrypted data, The data structure of the data structure is compared with header structure information according to a communication protocol standard for exchanging data of the decoded data previously stored in the header structure information, and if the data structure is not matched with the header structure information, Based network security device.
선정된(predetermined) 제1 주기 간격으로, 상기 복수의 스크램블링 방식들 중에서 적어도 하나의 스크램블링 방식을 랜덤하게 선택하고, 데이터에 대해 상기 적어도 하나의 스크램블링 방식이 순차적으로 적용되도록 하는 암호화와 연관된 암호화 방식 정보를 구성하는 단계;
상기 선정된 제1 주기 간격으로 상기 암호화 방식 정보가 구성됨으로써, 상기 암호화 방식 정보가 선정된 개수만큼 생성되면, 상기 선정된 개수의 암호화 방식 정보들을 네트워크로 서로 연결되어 있는 복수의 단말들 중 랜덤하게 선택된 제1 단말로 전송하는 단계;
상기 제1 단말로부터 상기 선정된 개수의 암호화 방식 정보들 각각을 기초로 데이터를 암호화하였을 경우에 대한 보안 수준 정보를 수신하는 단계;
상기 보안 수준 정보를 참조하여 상기 선정된 개수의 암호화 방식 정보들 각각에 대한 보안 수준 중에서 가장 높은 보안 수준을 갖는 제1 암호화 방식 정보를 상기 복수의 단말들 간의 데이터 송수신을 위한 암호화 방식 후보로 선택한 후 상기 암호화 방식 후보로 선택된 상기 제1 암호화 방식 정보를 메모리에 저장하는 단계; 및
상기 복수의 단말들 사이에서 데이터 송수신이 수행되는 도중, 데이터 암복호화 실패와 연관된 보안 이벤트가 선정된 기간 이내에서 선정된 횟수 이상 발생하는 경우, 상기 복수의 단말들에 대해, 상기 제1 암호화 방식 정보를 전송함으로써, 상기 복수의 단말들이 상기 제1 암호화 방식 정보를 기초로 데이터를 암복호화하여 송수신하도록 제어하는 단계
를 포함하는 가변 암호화 기반의 네트워크 보안 장치의 동작 방법.Maintaining a database in which a plurality of scrambling schemes associated with encryption of data are stored;
At least one scrambling scheme among the plurality of scrambling schemes is randomly selected at a predetermined first periodic interval and encryption scheme information associated with encryption for sequentially applying the at least one scrambling scheme to data, ≪ / RTI >
Wherein when the predetermined number of the encryption scheme information is generated by the encryption scheme information at the selected first period interval, the predetermined number of encryption scheme information is randomly generated among a plurality of terminals connected to each other in the network To a selected first terminal;
Receiving security level information for a case where data is encrypted based on each of the predetermined number of pieces of cipher system information from the first terminal;
The first encryption scheme information having the highest security level among the security levels for each of the predetermined number of encryption scheme information is selected as an encryption scheme candidate for data transmission / reception between the plurality of terminals with reference to the security level information Storing the first encryption scheme information selected as the encryption scheme candidate in a memory; And
When a security event associated with a data encryption / decryption failure occurs more than a predetermined number of times within a predetermined period during data transmission / reception between the plurality of terminals, the first encryption method information And controlling the plurality of terminals to encrypt and decrypt data based on the first encryption scheme information to transmit and receive the data
Wherein the network security device is a network security device.
상기 제1 암호화 방식 정보가 상기 암호화 방식 후보로 선택된 이후 상기 선정된 제1 주기 간격으로 상기 암호화 방식 정보가 신규로 구성됨으로써, 상기 신규로 구성된 암호화 방식 정보가 상기 제1 암호화 방식 정보를 포함하여 상기 선정된 개수만큼 생성되면, 상기 제1 암호화 방식 정보를 포함하는 상기 선정된 개수의 신규 암호화 방식 정보들을 상기 복수의 단말들 중 랜덤하게 재선택된 제2 단말로 전송하는 단계;
상기 제2 단말로부터 상기 선정된 개수의 신규 암호화 방식 정보들 각각을 기초로 데이터를 암호화하였을 경우에 대한 신규 보안 수준 정보를 수신하는 단계;
상기 신규 보안 수준 정보를 참조하여 상기 선정된 개수의 신규 암호화 방식 정보들 각각에 대한 보안 수준 중에서 가장 높은 보안 수준을 갖는 제2 암호화 방식 정보를 상기 복수의 단말들 간의 데이터 송수신을 위한 암호화 방식 후보로 재선택한 후 상기 암호화 방식 후보로 재선택된 상기 제2 암호화 방식 정보를 메모리에 저장하는 단계; 및
상기 복수의 단말들 사이에서 데이터 송수신이 수행되는 도중, 데이터 암복호화 실패와 연관된 상기 보안 이벤트가 상기 선정된 기간 이내에서 상기 선정된 횟수 이상 발생하는 경우, 상기 복수의 단말들에 대해, 상기 제2 암호화 방식 정보를 전송함으로써, 상기 복수의 단말들이 상기 제2 암호화 방식 정보를 기초로 데이터를 암복호화하여 송수신하도록 제어하는 단계
를 더 포함하는 가변 암호화 기반의 네트워크 보안 장치의 동작 방법.8. The method of claim 7,
The encryption scheme information is newly configured at the selected first period interval after the first encryption scheme information is selected as the encryption scheme candidate, so that the newly configured encryption scheme information includes the first encryption scheme information, Transmitting the predetermined number of new cipher system information including the first cipher system information to a randomly reselected second terminal among the plurality of terminals when the predetermined number of cipher systems are generated;
Receiving new security level information for a case where data is encrypted based on each of the predetermined number of new encryption scheme information from the second terminal;
Referring to the new security level information, second encryption scheme information having the highest security level among the security levels for each of the predetermined number of new encryption scheme information is transmitted as an encryption scheme candidate for data transmission / reception between the plurality of terminals Storing the second encryption scheme information reselected as the encryption scheme candidate in the memory after reselecting the second encryption scheme information; And
When a security event associated with a data encryption / decryption failure occurs more than the predetermined number of times within the predetermined period during data transmission / reception between the plurality of terminals, And controlling the plurality of terminals to transmit / receive data based on the second encryption scheme information by encrypting and decrypting the data by transmitting the encryption scheme information
Further comprising the steps of:
선정된 제2 주기 간격으로, 상기 데이터베이스에 저장되어 있는 상기 복수의 스크램블링 방식들 중에서 랜덤하게 선택된 적어도 하나의 제1 스크램블링 방식을 삭제하고, 적어도 하나의 신규 스크램블링 방식을 생성하여 상기 데이터베이스에 저장하는 단계
를 더 포함하는 가변 암호화 기반의 네트워크 보안 장치의 동작 방법.8. The method of claim 7,
Removing at least one first scrambling scheme randomly selected from the plurality of scrambling schemes stored in the database at a predetermined second periodic interval and generating at least one new scrambling scheme and storing the generated at least one new scrambling scheme in the database
Further comprising the steps of:
상기 제1 단말은
상기 선정된 개수의 암호화 방식 정보들 각각을 기초로 데이터를 암호화하였을 경우에 대한 차분 공격 분석(Differential Cryptanalysis)을 수행하여 상기 선정된 개수의 암호화 방식 정보들 각각에 대한 전파 비율(Propagation Ratio)을 연산한 후 상기 선정된 개수의 암호화 방식 정보들 각각에 대한 전파 비율이 낮을수록 높은 보안 수준이 할당되도록 상기 보안 수준 정보를 구성하는 가변 암호화 기반의 네트워크 보안 장치의 동작 방법.8. The method of claim 7,
The first terminal
A differential cryptanalysis is performed for data encryption based on each of the predetermined number of cipher system information, and a propagation ratio for each of the predetermined number of cipher system information is computed And configuring the security level information so that a higher security level is allocated to each of the predetermined number of encryption scheme information as the propagation ratio is lower.
상기 제1 단말은
상기 선정된 개수의 암호화 방식 정보들 각각을 기초로 데이터를 암호화하였을 경우에 대한 선형 공격 분석(Linear Cryptanalysis)을 수행하여 상기 선정된 개수의 암호화 방식 정보들 각각에 대한 바이어스(bias)를 연산한 후 상기 선정된 개수의 암호화 방식 정보들 각각에 대한 바이어스가 낮을수록 높은 보안 수준이 할당되도록 상기 보안 수준 정보를 구성하는 가변 암호화 기반의 네트워크 보안 장치의 동작 방법.8. The method of claim 7,
The first terminal
A linear attack analysis (Linear Cryptanalysis) is performed for data encryption based on each of the predetermined number of cipher system information, a bias for each of the predetermined number of cipher system information is calculated And configuring the security level information so that a higher security level is allocated as the bias for each of the predetermined number of encryption scheme information is lower.
상기 복수의 단말들은
어느 하나의 단말로부터 암호화된 데이터가 수신되면, 상기 암호화된 데이터를 복호화한 후 복호화된 데이터를 파싱하여 상기 복호화된 데이터에 포함되어 있는 데이터 헤더(header) 구조를 파악하고, 상기 데이터 헤더 구조와 메모리 상에 기 저장되어 있는 상기 복호화된 데이터의 데이터 교환을 위한 통신 프로토콜 표준 따른 헤더 구조 정보를 비교하여 상기 데이터 헤더 구조가 상기 헤더 구조 정보에 매칭되지 않는 것으로 판단되면, 상기 보안 이벤트를 발생시키는 가변 암호화 기반의 네트워크 보안 장치의 동작 방법.8. The method of claim 7,
The plurality of terminals
When the encrypted data is received from any one of the terminals, the decrypted data is parsed and the decrypted data is parsed to grasp the data header structure included in the decrypted data, The data structure of the data structure is compared with header structure information according to a communication protocol standard for exchanging data of the decoded data previously stored in the header structure information, and if the data structure is not matched with the header structure information, Based network security device.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020140172073A KR101594846B1 (en) | 2014-12-03 | 2014-12-03 | Variable encryption based network security device and operating method thereof |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020140172073A KR101594846B1 (en) | 2014-12-03 | 2014-12-03 | Variable encryption based network security device and operating method thereof |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR101594846B1 true KR101594846B1 (en) | 2016-02-22 |
Family
ID=55445537
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020140172073A KR101594846B1 (en) | 2014-12-03 | 2014-12-03 | Variable encryption based network security device and operating method thereof |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR101594846B1 (en) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000134193A (en) * | 1998-10-29 | 2000-05-12 | Fujitsu Ltd | Security buildup method and system |
| KR20010100326A (en) * | 2000-04-21 | 2001-11-14 | 최각진 | Encrytion and Decrytion Key Distribution Method of Secure Communication System |
-
2014
- 2014-12-03 KR KR1020140172073A patent/KR101594846B1/en active IP Right Grant
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000134193A (en) * | 1998-10-29 | 2000-05-12 | Fujitsu Ltd | Security buildup method and system |
| KR20010100326A (en) * | 2000-04-21 | 2001-11-14 | 최각진 | Encrytion and Decrytion Key Distribution Method of Secure Communication System |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3453135B1 (en) | System and method for encryption and decryption based on quantum key distribution | |
| JP2016513825A (en) | Safety communication method and apparatus | |
| EP1865653B1 (en) | Data processing apparatus | |
| US11662924B2 (en) | Methods and systems for secure command, control, and communications | |
| EP3451574B1 (en) | Data receiving device, data transmission system, and key generating device | |
| JP6367376B2 (en) | Chaos-based synchronization for secure network communication | |
| JP2008154019A (en) | Method and system of managing shared information | |
| EP1865652A1 (en) | Data processing apparatus | |
| CN106067871B (en) | Method and system for securing data transmitted in a network | |
| KR101834504B1 (en) | Apparatus and method for encrypting and decrypting | |
| JP2014530554A (en) | Group secret management by group members | |
| CN105208028A (en) | Data transmission method and related device and equipment | |
| EP2082520B1 (en) | Key update method and apparatus thereof | |
| EP3022864B1 (en) | Apparatus and method for key update for use in a block cipher algorithm | |
| CN109923829B (en) | Agreement on secret values | |
| JP2015133573A (en) | Encryption data communication device, encryption data communication method, program, and recording medium | |
| KR101594846B1 (en) | Variable encryption based network security device and operating method thereof | |
| KR101494510B1 (en) | Apparatus and method for managing group key, recording medium thereof | |
| KR101146510B1 (en) | System for encrypting synchronization database and method therefor | |
| CN101496340B (en) | Method for establishing a secret key between two nodes in a communication network | |
| CN115004559A (en) | Polarity encoding based on data privacy protection | |
| KR101613572B1 (en) | Variable encryption algorithm management apparatus and method based on the security environment changes | |
| Nagao et al. | Expanding Weak-key Space of RC4 | |
| KR102626974B1 (en) | Method and system for protecting secret key of white box cryptography | |
| Li et al. | Key establishment via common state information in networked control systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20181217 Year of fee payment: 4 |
|
| FPAY | Annual fee payment |
Payment date: 20200103 Year of fee payment: 5 |