KR100651719B1

KR100651719B1 - 투명성을 보장하는 전송 계층에서의 보안 제공 방법 및 그장치

Info

Publication number: KR100651719B1
Application number: KR1020040089167A
Authority: KR
Inventors: 김건우; 임선희; 이상수; 김기현; 김정녀; 장종수
Original assignee: 한국전자통신연구원
Priority date: 2004-11-04
Filing date: 2004-11-04
Publication date: 2006-12-06
Also published as: KR20060040001A; US7571309B2; US20060095758A1

Abstract

본 발명에 의한 투명성을 보장하는 전송 계층에서의 보안 제공 방법 및 그 장치는, 어플리케이션 프로그램으로부터 데이터 패킷을 수신한 후 상기 데이터 패킷에 해당하는 키 정보를 검색하는 단계; 상기 검색이 실패하면, 어플리케이션 계층에 상주하는 키 교환 모듈에 새로운 키를 협상할 것을 요청하고 대기하는 단계; 및 상기 키 교환 모듈이 새롭게 협상된 키 정보를 커널에 저장하면, 이를 기반으로 암호 및 복호를 수행하는 단계;를 포함하는 것을 특징으로 하며 커널 내의 전송 계층에서 데이터 패킷에 대한 암호/복호를 수행함으로써 어플리케이션 프로그램에 보안 투명성을 제공하고, 용이한 확장성과 효율적으로 제어할 수 있는 구조를 제공한다.

전송 계층 보안, 전송계층보안(Transport Layer Security), 커널(kernel), Secure Socket Layer(SSL), 투명성(Transparency)

Description

투명성을 보장하는 전송 계층에서의 보안 제공 방법 및 그 장치{Method for providing security mechanism guaranteeing transparency at transport layer and apparatus thereof}

도 1은 전송 계층에서 데이터를 보호하기 위한 암호/복호 모듈과 키 교환 모듈의 개요와 구성을 보여주는 도면이다.

도 2는 본 발명에 의한 투명성을 보장하는 전송계층에서의 보안 제공 방법의 흐름에 따라 실제 사용자 데이터 패킷을 전송할 때, 데이터와 제어 흐름을 보여 주는 흐름도이다.

도 3은 본 발명에 의한 투명성을 보장하는 전송계층에서의 보안 제공 장치의 블록도이다.

도 4는 전송 계층에서 보안을 제공하는데 있어서 투명성을 제공하기 위해 각 모듈의 동작 방식과 과정을 보여주는 도면이다.

도 5는 투명성을 보장하는 전송 계층 보안 메커니즘에서의 각 모듈간 연동 방식을 보여 주는 도면이다.

본 발명 전송 계층에서의 보안 제공 방법 및 그 장치에 관한 것으로, 보다 상세하게는 모든 종류의 데이터 송신/수신을 수행하는 커널 내 전송 계층에서 암호/복호를 수행함으로써 어플리케이션 프로그램에 보안 투명성을 제공하고 이를 효율적으로 제어하기 위한 투명성을 보장하는 전송 계층 보안 방법 및 그 장치에 관한 것이다.

일반적으로 전송 계층을 보호하기 위해서 SSL(Secure Socket Layer) 프로토콜을 사용하며, 웹 브라우저와 같은 어플리케이션 프로그램에 개별적으로 구현되어 적용되고 있다. 즉, 서버와 클라이언트로 구성된 네트워크 환경에서 각 노드에 설치된 SSL 서버와 SSL 클라이언트는 openSSL 라이브러리를 통해서 어플리케이션 계층과 전송 계층의 사이에서 암호 및 복호와 키 협상을 수행함으로써, 서버와 클라이언트 간 안전한 통신 채널을 보장한다. 이러한 SSL 프로토콜을 일반화시켜 표준화시킨 전송 계층 보안(Transport Layer Security) 프로토콜 버전 1.0이 현재 개발되어 적용되고 있다.

하지만, 웹 기반 어플리케이션 외의 다른 어플리케이션 프로그램들이 전송 계층 기반 네트워크 보안 서비스를 제공하기 위해서는 별도의 라이브러리를 구축해야 하기 때문에, 기존 프로그램을 모두 수정해야 하는 문제가 발생할 뿐 아니라 이를 제어하기에도 상당한 어려움이 발생한다.

따라서, 모든 어플리케이션 프로그램들에 공통 기능과 경로를 제공하는 전송 계층에서 전송 계층 보안 프로토콜을 운용함으로써, 기존 어플리케이션 프로그램은 별도의 수정 없이 안전한 통신 채널을 구축할 뿐 아니라, 완전한 보안 투명성을 보 장하며 커널 레벨에서 이를 효과적으로 제어할 수 있다.

종래 전송 계층에서의 보안 제공 메커니즘을 살펴보면, 암호/복호 모듈(111)과 키 교환 모듈(112)은 어플리케이션 계층과 전송 계층의 중간에서 동작하는 소켓 인터페이스 상에서 운용되어 지고 있다.

이러한 과정을 보면 다음과 같다.

1) 관리자는 보안 서비스를 사용하고자 하는 어플리케이션을 수정해서 openSSL 라이브러리를 사용하는 소켓 인터페이스를 구현한 네트워크를 제공한다.

2) 해당 어플리케이션 프로그램이 사용자 데이터 패킷을 전송하면 소켓 인터페이스 상의 전송 계층 보안 모듈에서 패킷을 검사한다.

3) 키 교환 모듈은 목적 노드의 키 교환 모듈과 패킷을 교환해서 새로운 키 정보를 협상하고 저장한다.

4) 저장된 키 정보를 기반으로 실질적인 암호화를 수행한 후 전송한다.

그러나 상기의 방법은 모든 어플리케이션 프로그램들이 해당하는 소켓 인터페이스로 별도로 구현해야 하는 문제가 발생한다.

지금까지의 논의를 도 1을 참조하여 정리하면, 전송 계층의 보안을 제공하는 모듈은 각 어플리케이션 프로그램(110)이 별도의 소켓 인터페이스를 구현해야 하기 때문에 투명성과 확장성 등 많은 문제를 노출하고 있으며, 성능 저하를 초래할 수 있는 문제점이 있다.

본 발명이 이루고자 하는 기술적 과제는 상기의 문제점을 해결하기 위하여 고안된 것으로써, 네트워크 스택 상의 전송 계층에서 보안 서비스를 제공하여 어플리케이션 프로그램에 보안 투명성을 제공하고 이를 효과적으로 제어하는 방법 및 장치를 제공하는데 있다.

상기의 기술적 과제를 이루기 위하여 본 발명에 의한 투명성을 보장하는 전송 계층에서의 보안 방법은, 어플리케이션 프로그램으로부터 데이터 패킷을 수신한 후 상기 데이터 패킷에 해당하는 키 정보를 키 정보 데이터베이스에서 검색하는 단계; 상기 검색 결과에 따라 어플리케이션 계층에 상주하는 키 교환 모듈에 새로운 키를 협상할 것을 요청할 것인지 결정하는 단계; 및 협상할 것으로 결정한 결과 상기 키 교환 모듈이 새롭게 협상된 키 정보를 커널에 저장하면, 이를 기초로 암호 및 복호를 수행하는 단계;를 포함하는 것을 특징으로 한다.

상기의 기술적 과제를 이루기 위하여 본 발명에 의한 투명성을 보장하는 전송 계층에서의 보안 장치는 어플리케이션 프로그램으로부터 TCP/UDP 프로토콜로 전송되는 데이터 패킷을 수신하고 그에 해당하는 키(key) 정보를 키 데이터베이스에 검색을 요청하여 그 결과를 수신하는 키정보검색부; 상기 검색결과 상응하는 키 정보가 없으면 새로운 키를 요청하고 암호/복호 프로세스를 대기상태로 결정하는 키 요청 결정부; 및 상기 키 요청 결정부가 출력하는 키 정보를 기초로 상기 데이터 패킷을 암호/복호 처리하여 출력하는 암호/복호화부;를 포함하는 것을 특징으로 한다.

이하 첨부된 도면을 참조하면서 본 발명의 바람직한 일 실시예를 상세히 설 명하도록 한다.

도 2는 본 발명에 의한 투명성을 보장하는 전송계층에서의 보안 제공 방법의 흐름에 따라 실제 사용자 데이터 패킷을 전송할 때, 데이터와 제어 흐름을 보여 주는 도면이고, 도 3은 본 발명에 의한 투명성을 보장하는 전송계층에서의 보안 제공 장치의 블록도이다. 도 4는 전송 계층에서 보안을 제공하는데 있어서 투명성을 제공하기 위해 각 모듈의 동작 방식과 과정을 보여주는 도면이다.

이하 첨부된 도면을 참조하면 본 발명의 바람직한 일 실시예를 상세히 설명하도록 한다. 먼저 도 2를 참조하면서 본 발명에 의한 전송계층에서의 보안 제공 방법의 일 실시예를 설명한다. 어플리케이션 프로그램이 데이터 패킷을 전송하면(210), 커널의 전송 계층에서 해당하는 키 정보를 검색한다(220). 검색한 결과 해당 키 정보가 있는지가 판단된다(230). 그 결과 이미 협상된 키 정보가 있으면 이를 기반으로 패킷을 암호화하여 전송(240)하면 되고, 없으면 어플리케이션 레벨에서 구동하는 키 교환 모듈에 새로운 키를 협상할 것을 요청하고 이를 대기한다(250). 키 교환 모듈은 보안 정책 데이터베이스의 정보를 토대로 키 협상을 수행하고(260), 협상된 정보를 커널의 키 정보 데이터베이스(290)에 저장(270)하면 이를 기반으로 암호 과정을 수행하여 전송한다(240).

도 4는 전송 계층에서 동작하는 암호 및 복호 모듈이 어플리케이션 계층의 키 교환 모듈(430)이 정책(420)과의 연동을 통해서 실시간 암호/복호 보안 서비스를 제공하는 구성을 보여준다.

즉 전송계층의 암호/복호 모듈(440)은 어플리케이션 영역에 존재하는 어플리 케이션 프로그램(410)으로부터 암호화할 평문을 수신하여 키교환모듈(430)로부터 수신하는 키 정보로 암호화하여 최종적으로 암호문을 생성하여 하위 계층인 네트워크 계층으로 송신함으로써 전송계층에서 암호 및 복호가 이루어지게 된다.

이제 도 5를 참조하면서 보다 상세한 구성 및 연동 방식을 살펴보도록 한다. 전송 계층 암호/복호 모듈(560)은 TCP/UDP 프로토콜(570)의 상단에 위치하며, 송신할 경우에는 평문을 암호화하여 암호화 된 패킷을 TCP/UDP(570)에 제공하고, 수신할 경우에는 TCP/UDP(570)로부터 암호문을 제공받아 복호를 수행한 후 평문을 어플리케이션 프로그램(510)에 전송한다. 어플리케이션 레벨의 키 교환 모듈(530)과는 Character Device(550)를 사용하여 데이터를 전송하고, 상호 동기화를 수행한다.

도 3을 참조하면서 본 발명에 의한 투명성을 보장하는 전송계층에서의 보안 제공 장치의 일 실시예를 설명하도록 한다.

키정보검색부(310)는 어플리케이션 계층에서 동작하는 어플리케이션 프로그램이 송신하는 데이터 패킷을 수신한다. 키정보검색부(310)은 이 데이터 패킷에 상응하는 키 정보를 키 데이터베이스(330)에서 검색하여 해당 키 정보가 있는지를 판단한다. 그 결과 이미 협상된 키 정보가 있으면 암호/복호부(340)는 이를 기반으로 패킷을 암호화하여 전송하게 되지만, 없으면 새로운 키를 업데이트할 필요가 발생한다. 이러한 경우, 즉 새로운 키가 필요한 경우에 키요청결정부(320)는 키 교환 모듈부(321)에 새로운 키를 협상할 것을 요청하고 그 결과를 기다린다. 키 교환 모듈부(321)는 보안 정책 데이터베이스(280)의 정보를 토대로 키 협상을 수행하고, 협상된 정보를 키정보저장부(322)로 전달하면, 키정보저장부(322)는 다시 키 정보 데이터베이스(330)에 저장하게 된다.

암호/복호부(340)는 이렇게 협상에 의하여 새롭게 저장된 키정보를 기초로 암호 및 복호를 수행하게 된다. 즉 전송계층의 암호/복호부(340)은 어플리케이션 영역에 존재하는 어플리케이션 프로그램(310)으로부터 암호화할 평문을 수신하여 키데이터베이스(330)로부터 수신하는 키 정보로 암호화하여 최종적으로 암호문을 생성하여 하위 계층인 네트워크 계층으로 송신함으로써 전송계층에서 암호 및 복호가 이루어지게 된다.

본 발명에 의한 투명성을 보장하는 전송 계층 보안 방법은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현되는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 하드 디스크, 플로피 디스크, 플래쉬 메모리, 광 데이타 저장장치등이 있으며, 또한 캐리어 웨이브(예를들면 인터넷을 통한 전송)의 형태로 구현되는 것도 포함된다. 또한 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 통신망으로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 읽을 수 있는 코드로서 저장되고 실행될 수 있다. 또한 본 발명에 의한 폰트 롬 데이터구조도 컴퓨터로 읽을 수 있는 ROM, RAM, CD-ROM, 자기 테이프, 하드 디스크, 플로피 디스크, 플래쉬 메모리, 광 데이타 저장장치등과 같은 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현되는 것이 가능하다.

이상과 같이 본 발명은 양호한 실시예에 근거하여 설명하였지만, 이러한 실 시예는 이 발명을 제한하려는 것이 아니라 예시하려는 것으로, 본 발명이 속하는 기술분야의 숙련자라면 이 발명의 기술사상을 벗어남이 없이 위 실시예에 대한 다양한 변화나 변경 또는 조절이 가능함이 자명할 것이다. 그러므로, 이 발명의 보호범위는 첨부된 청구범위에 의해서만 한정될 것이며, 위와 같은 변화예나 변경예 또는 조절예를 모두 포함하는 것으로 해석되어야 할 것이다.

상기에서 설명한 바와 같이, 본 발명에 의한 투명성을 보장하는 전송 계층 보안 방법 및 그 장치는 모든 어플리케이션의 개별 소스 코드를 수정하지 않고 용이하게 전송 계층 기반 보안 메커니즘을 적용할 수 있어 투명성을 제공한다.

또한 전송 계층 보안을 이용해서 안전한 통신을 구축하고자 하는 두 네트워크 노드 간 일관성 있는 보안 정책을 설정하여 반영할 수 있는 보안 인프라를 제공할 수 있으며 이를 통한 실시간 키 협상 프로토콜을 제공한다.

그리고, 다양한 어플리케이션 패킷에 대해서 서로 다른 보안 제어 메커니즘을 제공할 수 있고, 용이한 보안 정책 수정을 가능하게 한다.

마지막으로, 커널 레벨에서 암호/복호를 수행함으로써, 어플리케이션 별로 암호/복호를 수행하는 것보다 처리 속도를 향상시켜 성능 저하를 줄일 수 있다.

Claims

(a) 어플리케이션 프로그램으로부터 데이터 패킷을 수신한 후 상기 데이터 패킷에 해당하는 키 정보를 키 정보 데이터베이스에서 검색하는 단계;

(b) 상기 검색 결과에 따라 어플리케이션 계층에 상주하는 키 교환 모듈에 새로운 키를 협상할 것을 요청할 것인지 결정하는 단계; 및

(c) 협상할 것으로 결정하면 상기 키 교환 모듈이 상대 노드와 상응하는 키 정보를 교환하고 협상한 후, 상기 협상된 키 정보를 상기 커널에 저장하고 대기중인 요청 프로세스를 구동하며, 상기 저장된 키 정보를 기초로 상기 데이터 패킷을 암호화하여 전송하는 단계;를 포함하는 것을 특징으로 하는 투명성을 보장하는 전송 계층에서의 보안 제공 방법.
제1항에 있어서, 상기 (a)단계는

상기 데이터 패킷이 소켓 인터페이스로부터 TCP/UDP 프로토콜로 전송될 때 상기 데이터 패킷을 검사하여 키 정보를 검색하는 단계;를 포함하는 것을 특징으로 하는 투명성을 보장하는 전송 계층에서의 보안 제공 방법.
제1항에 있어서, 상기 (b)단계는

상기 패킷에 대한 키 정보 검색 결과가 긍정적이면, 검색된 키 정보를 기초로 상기 패킷을 암호화하고, 부정적이면, 상기 키 교환 모듈로 키 협상을 요청하는 단계;를 포함하는 것을 특징으로 하는 투명성을 보장하는 전송 계층에서의 보안 제공 방법.
삭제
어플리케이션 프로그램으로부터 TCP/UDP 프로토콜로 전송되는 데이터 패킷을 수신하고 그에 해당하는 키(key) 정보를 키 데이터베이스에 검색을 요청하여 키 정보의 존부를 판단하는 키정보검색부;

상기 판단 결과 상응하는 키 정보가 없으면 새로운 키를 요청하고 암호/복호 프로세스를 대기상태로 결정하는 키 요청 결정부; 및

상기 키 요청 결정부가 출력하는 키 정보를 기초로 상기 데이터 패킷을 암호/복호 처리하여 출력하는 암호/복호화부;를 포함하는 것을 특징으로 하는 투명성을 보장하는 전송계층에서의 보안 제공 장치.
제5항에 있어서, 상기 키 요청 결정부는

상기 요청이 있을 경우 상대방 노드로 키 정보를 교환하고 협상하는 키교환모듈부; 및

상기 협상 결과 상대방 노드로부터 수신되는 새로운 키 정보를 상기 키 데이터베이스에 저장한 후 상기 대기중인 프로세스를 구동하는 키정보저장부;를 포함하 는 것을 특징으로 하는 투명성을 보장하는 전송계층에서의 보안 제공 장치.