KR100669240B1

KR100669240B1 - 평가규칙표기언어를 이용한 ＩＰｖ6 네트워크 계층의보안성 평가 시스템 및 방법

Info

Publication number: KR100669240B1
Application number: KR1020040102496A
Authority: KR
Inventors: 권혁찬; 나재훈; 정교일
Original assignee: 한국전자통신연구원
Priority date: 2004-12-07
Filing date: 2004-12-07
Publication date: 2007-01-15
Also published as: KR20060063347A

Abstract

본 발명은 평가규칙표기언어를 이용한 IPv6 네트워크 계층의 보안성 평가 시스템 및 방법에 관한 것으로서, 사용자 인터페이스를 이용하여 평가규칙표기언어의 문법에 맞게 보안성 평가규칙을 기술할 수 있도록 지원하며, 평가실행 요구명령을 발생시키고, 평가결과를 조회하고, 평가규칙처리 모듈을 이용하여 상기 평가실행 요구명령에 대응하여 평가규칙을 해석하고, 평가대상 시스템의 패킷 수집기로부터 패킷을 수집하여 분석 및 가공하며, 평가결과를 출력시키며, DBMS에 상기 평가결과를 저장하며, 평가결과 조회요구에 대응하여 해당 데이터를 사용자 인터페이스로 전달하여, 평가대상 시스템의 보안 위협요소를 도출함으로 더욱 안전성을 보장하는 시스템을 개발할 수 있는 많은 장점을 제공할 수 있다.

평가규칙표기언어, IPv6, 보안, 평가

Description

평가규칙표기언어를 이용한 ＩＰｖ6 네트워크 계층의 보안성 평가 시스템 및 방법{SECURITY EVALUATION SYSTEM AND METHOD FOR IPv6 NETWORK LAYER BY USING EVALUATION RULE DESCRIPTION LANGUAGE}

도 1은 본 발명에 따른 평가규칙표기언어를 이용한 보안평가 시스템의 전체적인 구성도,

도 2는 본 발명에 따른 평가규칙표기언어의 문법을 나타낸 도면,

도 3은 본 발명에 따른 평가대상 시스템에 탑재되는 패킷 수집기의 수행과정을 나타낸 흐름도,

도 4는 본 발명에 따른 보안평가 시스템의 데이터베이스 구조도,

도 5는 본 발명에 따른 평가규칙표기언어의 수행 과정 예,

도 6은 본 발명에 따른 평가규칙표기언어를 이용하여 작성된 ‘비연결형 무결성’ 평가 규칙,

도 7은 본 발명에 따른 보안평가 시스템의 화면 구성도이다.

<도면의 주요 부분에 대한 부호의 설명>

101 : 규칙 편집기 102 : 평가 수행기

103 : 평가결과 조회기 104 : 환경 설정기

105 : 규칙 해석기 106 : 규칙 실행기

107 : 패킷 수집 유닛 108 : 패킷 보고 유닛

109 : 패킷 가공 유닛 110 : 패킷 전송 유닛

111 : IPsec 처리 유닛 112 : 취약점 보고 유닛

113 : 네트워크 매핑 유닛 114 : 평가 규칙 DB

115 : 패킷 정보 DB 116 : 평가결과 DB

117 : 패킷 수집기

본 발명은 IPv6 네트워크 계층의 보안성 평가 시스템 및 방법에 관한 것으로, 더욱 상세하게는 IPv6 네트워크에서 정보보호 서비스를 제공하기 위해 IPsec 엔진을 탑재한 보안 호스트 및 게이트웨이의 보안성을 평가하는 평가규칙표기언어를 이용한 IPv6 네트워크 계층의 보안성 평가 시스템 및 방법에 관한 것이다.

현재 IPv6 상의 일부 플랫폼에서 IPsec을 구현 중에 있으나, 아직까지 IPsec 기반의 보안 호스트에 대한 보안성을 평가하기 위한 자동화된 도구는 제안되지 않은 상태이다. 보안 호스트에 대한 보안 취약성 분석 툴로서, AXENT의 NetRecon, Cisco의 Cisco Scanner, 그리고 LANguard network&port scanner 등이 있으나, 이러 한 툴들은 단지 호스트나 네트워크에 대한 스캐닝 기능만을 제공하며, 실제 IPsec 보안 서비스를 제공하는 특정 호스트에 대한 보안성을 평가하는 기능은 제공해 주지 못하고 있는 실정이다.

따라서, IPv6 기반 보안 호스트에 대한 보안평가 방법론 등에 관한 연구도 현재 전무하다고 볼 수 있다.

이에, 이러한 분야에 대한 연구를 활성화된다면, 안전성을 고려한 IPv6 기반의 보안 호스트를 개발하는데 많은 도움을 줄 수 있을 것이며, 개발된 보안 호스트에 대한 신뢰성 측정에도 활용이 가능할 것이다.

따라서, 본 발명의 목적은 상기한 종래 기술의 문제점을 해결하기 위해 이루어진 것으로서, 본 발명의 목적은 IPv6 기반 정보보호 호스트의 보안성을 평가하기 위한 평가규칙표기언어를 제공함과 아울러, 평가규칙표기언어를 이용하여 정의할 수 있는 환경을 제공하며, 평가규칙표기언어 해석기술, 보안 호스트에서 패킷 보호 기능을 제공하기 위해 생성되거나 전송 받는 패킷 정보를 습득하는 일, 습득한 패킷을 가공 및 재전송하기 위한 기술, 각 패킷에 대한 정보를 관리하기 위한 DB 기술 등이 포함된 관련 기술을 포함하는 평가규칙표기언어를 이용한 IPv6 네트워크 계층의 보안성 평가 시스템 및 방법을 제공하는데 있다.

상기와 같은 목적을 달성하기 위한 본 발명의 평가규칙표기언어를 이용한 IPv6 네트워크 계층의 보안성 평가 시스템은,

평가규칙표기언어의 문법에 맞게 보안성 평가규칙을 기술할 수 있도록 지원하며, 평가실행 요구명령을 발생시키고, 평가결과를 조회하는 사용자 인터페이스;

상기 평가실행 요구명령에 대응하여 평가규칙을 해석하고, 평가대상 시스템의 패킷 수집기로부터 패킷을 수집하여 분석 및 가공하며, 평가결과를 출력시키는 평가규칙처리 모듈; 및

상기 평가결과를 저장하며, 평가결과 조회요구에 대응하여 해당 데이터를 사용자 인터페이스로 전달하는 DBMS(DataBase Management System)

를 포함하여 이루어진 것을 특징으로 한다.

한편, 본 발명의 평가규칙표기언어를 이용한 IPv6 네트워크 계층의 보안성 평가 방법은,

a. DBMS로부터 기존에 작성된 평가규칙을 호출하거나, 평가규칙표기언어를 이용하여 보안평가 규칙을 작성하여 사용자 인터페이스를 통해 실행시키는 단계;

b. 실행을 요구받은 평가 규칙의 문법을 검사하는 단계;

c. 평가규칙처리 모듈을 통해 요구된 평가 규칙을 실행하여, 평가대상 시스템의 패킷 수집기로부터 전달된 패킷을 통해 보안성을 평가하는 단계; 및

d. 평가규칙처리 모듈을 이용하여 평가 결과를 DBMS에 저장하고 사용자 인터페이스로 디스플레이하는 단계

를 포함하여 이루어진 것을 특징으로 한다.

이하, 본 발명의 평가규칙표기언어를 이용한 IPv6 네트워크 계층의 보안성 평가 시스템 및 방법에 대하여 첨부된 도면을 참조하여 상세히 설명하기로 한다.

도 1은 본 발명에서 구성되는 평가규칙표기언어를 이용한 보안평가 시스템의 전체적인 구성도이다. 도 1을 참조하면, 본 발명을 수행하기 위한 시스템은, 크게 관리자와, 평가 시스템간의 인터페이스를 위한 사용자 인터페이스(User Interface)와, 평가규칙을 처리하는 평가규칙처리 모듈과, 평가를 위한 각종 데이터를 저장하기 위한 DBMS(DataBase Management System), 그리고 패킷 수집기를 탑재시킨 평가대상 시스템으로 구성되어 진다.

상기 사용자 인터페이스는, 규칙 편집기(101), 평가 수행기(102), 평가결과 조회기(103), 환경 설정기(104)로 이루어져 있다.

상기 규칙 편집기(101)는 관리자가 평가규칙표기언어의 문법에 맞게 보안성 평가를 위한 규칙을 기술할 수 있도록 지원하는 기능을 수행한다. 또한, 상기 규칙 편집기(101)는 기존에 저장된 규칙을 불러 올 수도 있다.

상기 평가 수행기(102)는 규칙의 편집이 완료되면 평가규칙을 실행할 것을 평가 GUI를 통해 요구하면, 이 요구명령을 받아 평가규칙처리 모듈을 호출하는 기능을 수행한다.

상기 평가결과 조회기(103)는 관리자의 요구에 대응하여 DBMS에 저장된 평가 결과를 조회하는 기능을 수행하게 된다.

상기 환경 설정기(104)는 관리자에게 평가시스템의 각종 환경을 셋팅할 수 있도록 지원하는 기능을 수행한다. 예를 들면 패킷 수집기 코드의 탑재 방법, DBMS의 이름 및 패스 설정 등에 대한 설정을 하게 된다.

상기 평가규칙처리 모듈은 요구받은 평가규칙을 해석하고 처리하는 기능을 수행하는데, 규칙 해석기(105), 규칙 실행기(106), 패킷 수집 유닛(107), 패킷 분석 유닛(108), 패킷 가공 유닛(109), 패킷 전송 유닛(110), IPsec 처리 유닛(111), 취약점 보고 유닛(112) 및 네트워크 매핑 유닛(113)으로 구성되어 있다.

상기 규칙 해석기(105)는 관리자가 정의한 규칙이 문법에 맞는지 검사(parsing)하고, 문법에 맞다면 이 규칙을 토큰으로 분리하여 규칙 실행기(106)로 전달한다. 한편, 문법에 맞지 않는다면 문법 에러 메시지를 발생하여 사용자 인터페이스(User Interface)로 보낸다.

상기 규칙 실행기(106)는 토큰으로 분리되어 전달된 규칙을 실행하는 부분이다. 규칙 실행기(106)는 규칙실행 과정에서 필요에 따라 7개의 실행 유닛을 적절히 호출하여 수행한다. 7개의 실행 유닛을 설명하면 다음과 같다.

상기 패킷 수집 유닛(107)은 실시간으로 패킷을 수집하는 유닛이다. 보안 호스트의 패킷을 수신하기 위해 평가 대상인 보안 호스트에 패킷 스니핑(sniffing) 기능을 갖는 패킷 수집기(117)를 심어 놓는다. 이 패킷 수집기(117)는 자신이 탑재된 보안 호스트에서 송수신되는 패킷 중 패킷 수집 유닛에서 요구한 조건에 맞는 패킷만을 패킷 수집 유닛(107)으로 실시간으로 전달하여 주게 된다. 패킷 수집 유닛(107)은 전달받은 패킷을 규칙 실행기(106)로 전달한다.

상기 패킷 분석 유닛(108)은 실시간으로 수집한 패킷을 분석하는 유닛이다. 수집한 패킷의 의미를 분석하여 이를 규칙 실행기(106)에게 알린다. 패킷 분석 유닛(108)은 전달받은 패킷이 정상적으로 IPsec 처리가 되었는지 검사하거나 패킷을 가공하기 위한 패킷의 정보를 추출하기 위해 사용되는 기능이다.

상기 패킷 가공 유닛(109)은 보안성 평가를 위해 수집한 패킷을 주어진 규칙에 따라 가공하는 유닛이다. 패킷의 특정 필드의 값을 변경하는 등의 작업을 처리하며, IPsec 처리가 필요한 부분이 있다면 IPsec 처리 유닛(111)의 도움을 받는다.

상기 패킷 전송 유닛(110)은 임의로 가공된 패킷을 평가 대상 보안 호스트에 전송하는 기능을 갖는다. 임의로 패킷을 전송하기 위해 raw socket을 사용한다. 규칙에 따라 패킷 전송 유닛(110)에 의해 전송된 패킷에 대해 평가대상 시스템이 반응을 보이는지의 여부는 패킷 수집 유닛(107)과 패킷 분석 유닛(108)에서 담당하게 된다.

상기 IPsec 처리 유닛(111)은 패킷을 가공하는 경우 IPsec 처리를 요하는 부분이 있는 경우 IPsec 처리 유닛(111)이 이를 처리한다. 또는 패킷 분석 과정에서 IPsec 규격에 맞게 구성된 패킷인지를 분석하기 위해서도 IPsec 처리 유닛(111)이 사용된다. IPsec 처리 유닛(111)은 IPsec 처리를 위해 암복호화 기능과 해쉬함수 처리 기능을 갖는다.

상기 취약점 보고 유닛(112)은 평가 결과를 DB에 저장하는 기능을 담당한다.

상기 DBMS는 평가 규칙 DB(114), 패킷 정보 DB(115), 평가결과 DB(116)로 이루어져 있다.

상기 평가 규칙 DB(116)는 평가에 대한 규칙을 저장하는 DB이다.

상기 패킷 정보 DB(115)는 패킷 수집기(117)로부터 전송 받은 각종 프로토콜 데이터를 저장하는 DB로서 각 프로토콜 별로 테이블을 생성하고 저장한다.

상기 평가결과 DB(116)는 평가규칙이 수행된 결과를 저장하는 DB로서 평가규칙처리 모듈의 규칙 실행기(106)에 의해 데이터가 저장된다. 저장된 데이터는 사용자 인터페이스(User Interface)의 평가결과 조회기(103)에 의해 보안 관리자에게 전달된다.

상기와 같이 구성된 시스템을 이용한 평가 수행 절차는 크게 다음과 같은 단계로 이루어진다.

제 1 단계 : 보안 관리자가 평가규칙표기언어를 이용하여 보안평가 규칙을 작성하거나, 보안 관리자가 기존에 작성된 평가 규칙을 불러온 후, 필요하다면 평가 규칙을 편집한 후, 평가 규칙의 실행을 요구하는 단계.

제 2 단계 : 평가규칙처리 모듈이 요구받은 평가 규칙의 문법을 검사하는 파싱 단계.

제 3 단계 : 평가규칙처리 모듈의 규칙 실행기가 7개의 실행 유닛(107∼113) 과 DBMS(114∼116)를 이용하여 요구된 평가 규칙을 실행하는 단계.

또한, 이 단계에서 평가를 수행하기 위해 평가대상 시스템에서 송수신되는 패킷을 실시간으로 평가서버로 전달해 주는 패킷 수집기(117)와 협력한다.

제 4 단계 : 규칙 실행기의 취약점 보고 유닛(112)을 이용하여 평가 결과를 DB에 저장하고 관리자에서 디스플레이 하는 단계 평가 결과를 DB에 저장하고 관리자에서 디스플레이하는 단계.

그러면, 상기와 같은 구성을 가지는 본 발명의 평가규칙표기언어를 이용한 IPv6 네트워크 계층의 보안성 평가 방법에 대해 도 2 내지 도 7을 참조하여 설명하기로 한다.

도 2는 평가규칙표기언어의 문법이다. 각 구문을 설명하면 다음과 같다.

RULE NAME 구문(201) : 규칙의 이름 정의.

DESCRIPTION 구문(202) : 규칙에 대한 설명.

START_EVALUATION 구문(203) : 평가의 시작을 알리는 구문.

END_EVALUATION 구문(204) : 평가의 끝을 알리는 구문.

IF 구문(205) : IF 조건 구문.

LOOP 구문(206) : 반복문 정의 구문.

PRINT 구문(207) : 메시지를 GUI로 디스플레이 하는 부분.

CAPTURE 구문(208) : 실시간으로 패킷을 수집하여 정의된 DB 또는 파일에 저장하기 위한 구문.

CAPTURE 구문의 동작은 query에 정의된 target system의 주소에 탑재된 패킷 수집기로 해당 명령을 전송하고 그 결과를 수신하여 저장하는 방법으로 동작하게 된다. CAPTURE 구문의 query에는 또한 수집할 패킷의 조건을 기술할 수 있다. query문에서 사용 가능한 현재 정의된 keyword는 다음과 같다.

- ip_packet : IP packet 만을 수집

- ip6 proto protocol : IP 헤더의 nexthdr 값이 protocol인 packet 만을 수집

- ip6 protochain protocol : IP 헤더 chain 중에 protocol에 해당하는 packet 만을 수집

- source_ip source_address : source IP가 source_address와 일치하는 packet 만을 수집

- dest_ip destination_address : destination IP가 destination_address와 일치하는 packet 만을 수집

- icmp_type type : ICMP 패킷 타입이 type과 일치하는 패킷만 수집

SAVE 구문(209) : DB에 저장된 패킷 중 조건에 맞는 패킷을 파일로 저장하기 위한 구문. 저장된 파일은 패킷 가공 및 전송에 사용될 수 있다.

SEND 구문(210) : filename에 저장된 패킷을 target 시스템으로 전송하기 위한 구문.

EDIT_PACKET 구문(211) : fromfile에 저장된 패킷을 edit_option에 정의된 대로 가공하여 tofile로 저장하기 위한 구문.

CHECK_PACKET 구문(212) : 패킷의 의미를 분석하기 위한 구문이다.

전달받은 패킷이 정상적으로 IPsec 처리가 되었는지 검사하거나 패킷을 가공하기 위한 패킷의 정보를 추출하기 위해 사용되는 구문이다.

IPSEC_PROC(213) IPsec 처리를 하기 위한 구문이다. fromfile에 있는 패킷에 대해 ipsec_option에 정의된 대로 IPsec처리하여 tofile로 저장하기 위한 구문이다. ipsec_option에는 다음과 같은 keyword가 정의되어있다.

- RECAL_ICV sa : 미리 정의된 SA를 이용하여 ICV 값을 재계산한다.

- DECRYPT sa : 미리 정의된 SA를 이용하여 암호화된 패킷을 해독한다.

- ENCRYPT sa : 미리 정의된 SA를 이용하여 패킷을 암호화 한다.

여기서, sa값은 관리자가 임의로 설정해 놓은 값을 사용한다.

CHECK_FILE(214) 구문 : filename에 해당하는 파일에 데이터가 저장되어 있는지 여부를 체크한다.

BREAK(215) 구문 : loop을 빠져 나가기 위한 구문.

DELAY(216) 구문 : time ms(mili-second)시간 동안 동작을 정지한다.

COMMENT(217)구문 : // 또는 /* 와 */ 을 사용하여 주석을 단다.

도 3은 평가 대상 서버에 탑재된 패킷 수집기의 수행 과정을 도식화한 것이다. 패킷 수집기는 평가규칙처리 모듈의 규칙 실행기의 패킷 수집 유닛과의 통신을 통해 작업을 수행한다. 도 3의 각 단계는 다음과 같다.

먼저, 패킷 수집 유닛이 패킷 수집기에 접속을 요청하면(S1), 이에 패킷 수집기가 패킷 수집 유닛의 접속요청을 허용하게 된다(S2).

이후, 패킷 수집 유닛(107)은 패킷 수집기에게 패킷 수집을 시작하라는 START 명령(START, option)을 송신한다(S3). 이에 패킷 수집기에서는 START 명령에 대응하여 수집할 패킷을 선별하기 위한 option 값을 함께 전송 받아 명령 처리를 수행한다. 상기 START 명령에 대한 option 값은 다음과 같이 정의된다.

- START prot -s src-ip -d dest-ip : 패킷 수집을 시작하라는 명령이며 옵션으로 프로토콜(prot)과 패킷의 발신지(src), 패킷의 목적지(dest) IP 주소를 지정할 수 있다. 옵션이 있는 경우 옵션에서 지정한 조건에 맞는 패킷만 수집한다.

한편, 패킷 수집기(117)는 상기 명령 처리에 따라 option에 명시된 조건에 맞는 패킷을 수집한다(S4). 이어서, 패킷 수집기(117)은 수집한 패킷을 실시간으로 패킷 수집 유닛(107)으로 송신한다(S5). 상기 단계 S4 및 단계 S5는 패킷 수집 유닛으로부터 다른 명령이 있을 때까지 계속 반복 수행하게 된다.

이 때, 패킷 수집 유닛으로부터 패킷 수집을 중단하라는 STOP 명령을 송신할 경우에(S6), 상기 STOP 명령을 수신한 패킷 수집기가 패킷 수집을 종료하고 평가시스템과의 접속을 해지한다(S7). 마지막으로 패킷 중단 명령 수행을 완료하였음을 패킷 수집 유닛에 통보하게 된다.

패킷 수집 유닛이 패킷 수집기에게 전송할 수 있는 그 밖의 명령어로 HALT와 RESUME 명령이 있으며 각각의 의미는 다음과 같다.

- HALT : 패킷 캡쳐링을 일시 중지하라는 명령.

- RESUME : 패킷 캡쳐링을 계속하라는 명령.

도 4는 보안성 평가를 위한 데이터베이스의 구조를 보여준다. DBMS는 도 1에서 볼 수 있듯이 평가 규칙 DB(114), 패킷 정보 DB(115), 평가결과 DB(116)로 구성된다.

평가 규칙 DB(116)는 평가에 대한 규칙을 저장하는 DB이다. 도 4a에서 그 구조를 볼 수 있다.

패킷 정보 DB(115)는 패킷 수집기로부터 전송 받은 각종 프로토콜 데이터를 저장하는 DB로서 각 프로토콜 별로 테이블을 생성하고 저장한다. 자동으로 생성되는 테이블은 Ethernet, ARP, IP, AH, ESP, TCP, UDP, ICMP, ISAKMP 이며 이 중 AH, ESP, ISAKMP에 대한 테이블의 구조를 도 4b에서 볼 수 있다.

평가결과 DB(116)는 평가규칙이 수행된 결과를 저장하는 DB로서 평가규칙처리 모듈의 규칙 실행기(106)에 의해 데이터가 저장된다. 저장된 데이터는 사용자 인터페이스(User Interface)의 평가결과 조회기(103)에 의해 보안 관리자에게 전달된다. 도 4c에서 그 구조를 볼 수 있다.

도 5는 본 발명에 따른 평가규칙표기언어의 수행 과정을 나타낸 흐름도이다. 도 5를 참조하면, 각 단계를 요약하면 다음과 같다.

먼저, 관리자에 의해 평가대상 시스템의 평가를 수행하기 위해서, 관리자는 사용자 인터페이스의 규칙 편집기를 통해 DBMS의 평가 규칙 DB로부터 평가를 위한 규칙을 가져온다(S10). 이 때, 필요할 경우 규칙 편집기로 가져온 평가규칙을 수정편집한다(S11).

이어서, 평가규칙이 수정편집이 이루어지면, 평가규칙에 따라 평가를 수행 할 것을 평가 수행기로 요청하게 된다(S12). 이에 평가 수행기에서는 상기 평가수행요청 명령을 평가규칙처리 모듈로 전달하게 된다(S13).

이에 평가규칙처리 모듈의 규칙 해석기에서는 보안평가규칙언어로 정의된 평가규칙의 문법을 검사하게 된다(S14). 상기 규칙 해석기에 의해 평가규칙의 문법 검사가 성공적으로 마쳐진 경우, 규칙 해석기는 평가 규칙을 토큰 형태로 분리하여 규칙 실행기로 전달한다(S15).

이에 규칙 실행기에서는 패킷 수집 유닛으로 평가규칙에 따라 필요한 패킷을 수집할 것을 요청하게 된다(S16). 이 때, 패킷수집을 위한 조건을 함께 전달한다. 이에 상기한 도 3에서와 같은 패킷 수집 유닛과 패킷 수집기 간의 통신을 통해 패킷 수집 유닛으로 패킷을 전달받게 된다(S17).

이에 패킷 수집 유닛은 전달받은 패킷을 규칙 실행기로 전달하면(S18), 이에 규칙 실행기에서는 패킷 가공 유닛으로 평가규칙에 따른 해당 패킷의 가공을 요청하게 된다. 이 때, 가공을 요하는 패킷과 가공옵션을 함께 전달한다(S19).

이 때, 패킷 가공 시 IPsec적용이 필요한 경우 IPsec 적용을 요청하고 그에 대한 응답을 수신하게 된다. 여기서, 응답시에는 IPsec을 적용한 패킷을 반환한다(S20).

이와 같이, 가공이 완료된 패킷을 패킷 가공 유닛으로부터 규칙 실행기로 반환하게 된다(S21).

이에 규칙 실행기에서 패킷 전송 유닛으로 평가규칙에 따라 가공한 패킷을 평가대상 시스템으로 송신할 것을 요청하게 된다. 이 때, 전송할 패킷과 관련 옵션을 함께 전달한다(S22).

이어서, 패킷 전송 유닛은 요구받은 패킷을 평가대상 시스템으로 전송하게 된다(S23).

한편, 패킷 분석을 수행하고자 할 경우에는, 상기한 단계 S16 내지 단계 S18를 반복하여 수행하고, 이어서 규칙 실행기에서 패킷 분석 유닛으로 수집한 패킷의 분석을 요청하게 된다(S24). 이 때, 분석할 패킷과 옵션을 함께 전송한다. 상기 분석의 결과는 패킷 분석 유닛에서 규칙 실행기로 전달되게 되고, 이에 규칙 실행기에서는 패킷분석 결과를 토대로 취약점에 대한 판단을 내려 그 결과를 취약점 보고 유닛으로 전달한다(S25). 이어서, 취약점 보고 유닛은 DBMS의 평가 결과 DB로 평과결과를 전달하고, 이에 평과 결과 DB에서는 평가결과를 저장하게 된다(S26).

한편, 관리자에 의해 평가결과에 대한 조회 요청이 있을 경우에 사용자 인터페이스의 평가결과 조회기로 해당 데이터를 전송하게 된다(S27). 이에 관리자가 평가대상 시스템의 보안 안전성 여부를 확인할 수 있다.

도 6은 본 발명에 따른 평가규칙표기언어를 이용하여 작성된 ‘비연결형 무결성’ 평가 규칙을 나타낸 것이고, 도 7은 본 발명에 따른 보안평가 시스템의 화 면 구성도이다.

본 발명은, 인터넷에서 정보보호 서비스를 제공하기 위하여 IPsec 서비스를 제공하는 인터넷 호스트 또는 게이트웨이 개발 시, 개발하는 시스템의 보안 수준을 높여, 보다 안전한 시스템을 구현하기 위하여 인터넷 호스트의 안전성을 평가하기 위한 시스템의 하부구조 등에 이용된다.

이상에서 몇 가지 실시예를 들어 본 발명을 더욱 상세하게 설명하였으나, 본 발명은 반드시 이러한 실시예로 국한되는 것이 아니고 본 발명의 기술사상을 벗어나지 않는 범위 내에서 다양하게 변형실시될 수 있다.

상술한 바와 같이, 본 발명에 의한 평가규칙표기언어를 이용한 IPv6 네트워크 계층의 보안성 평가 시스템 및 방법은, IPv6 기반의 네트워크에서 정보보호 서비스를 제공하기 위하여 IPsec 서비스를 제공하는 보안 호스트의 보안성을 평가하기 위한 보안평가규칙표기언어를 설계하고 이를 기초로 보안성 평가를 수행하기 위한 시스템을 제안함으로써, 평가대상 시스템의 보안 위협요소를 도출함으로 더욱 안전성을 보장하는 시스템을 개발할 수 있는 많은 장점을 제공할 수 있는 효과가 있다. 본 발명은 안전성을 고려한 IPv6 기반의 보안 호스트를 개발하는데 많은 도움을 줄 수 있을 것이며, 개발된 보안 호스트에 대한 신뢰성도 측정하기 위해서도 활용이 가능할 것이다.

Claims

평가규칙표기언어의 문법에 맞게 보안성 평가규칙을 기술할 수 있도록 지원하며, 평가실행 요구명령을 발생시키고, 평가결과를 조회하는 사용자 인터페이스;

상기 사용자 인터페이스로부터 전달된 규칙이 문법에 맞는지 검사하고, 상기 규칙을 토큰으로 분리하는 규칙 해석기, 상기 토큰으로 분리되어 전달된 규칙을 실행하며, 규칙실행 과정에서 필요한 하기하는 모듈군에서 특정 모듈을 호출하는 규칙 실행기 및 상기 규칙 실행기에서의 호출요청에 대응하여 패킷을 수집 및 가공하여 분석하고, 분석에 따른 평가결과를 출력시키는 모듈군을 포함하여 구성되고, 상기 평가실행 요구명령에 대응하여 평가규칙을 해석하고, 평가대상 시스템의 패킷 수집기로부터 패킷을 수집하여 분석 및 가공하며, 평가결과를 출력시키는 평가규칙처리 모듈; 및

상기 평가결과를 저장하며, 평가결과 조회요구에 대응하여 해당 데이터를 사용자 인터페이스로 전달하는 DBMS(DataBase Management System)를 포함하고,

상기 모듈군은,

패킷 수집기가 탑재된 평가대상 시스템에서 송수신되는 패킷 중 조건에 맞는 패킷을 수신하여 규칙 실행기로 전달하는 패킷 수집 유닛;

상기 패킷 수집기로부터 전달된 패킷이 정상적으로 IPsec 처리가 되었는지 검사하거나 패킷을 가공하기 위한 패킷의 정보를 추출하는 패킷 분석 유닛;

보안성 평가를 위해 수집한 패킷을 주어진 규칙에 따라 가공하는 패킷 가공 유닛;

상기 가공된 패킷을 평가대상 시스템으로 전송하는 패킷 전송 유닛;

상기 패킷 가공 유닛에서 패킷 가공시, IPsec 처리를 요하는 부분이 있는 경우에 암복호화 및 해쉬함수 처리를 수행하는 IPsec 처리 유닛; 및

상기 평가결과를 DBMS로 전달하는 취약점 보고 유닛

으로 이루어진 것을 특징으로 하는 평가규칙표기언어를 이용한 IPv6 네트워크 계층의 보안성 평가 시스템.
제 1 항에 있어서, 상기 사용자 인터페이스는,

관리자에게 평가규칙표기언어의 문법에 맞게 보안성 평가를 위한 규칙을 기술할 수 있도록 지원하는 규칙 편집기;

규칙의 편집이 완료되면 상기 평가실행 요구명령에 대응하여 평가규칙처리 모듈을 호출하는 평가 수행기; 및

상기 평가결과 조회요구에 대응하여 DBMS에 저장된 평가결과를 조회하는 평가결과 조회기

를 포함하는 것을 특징으로 하는 평가규칙표기언어를 이용한 IPv6 네트워크 계층의 보안성 평가 시스템.
제 2 항에 있어서, 상기 사용자 인터페이스에는,

패킷 수집기 코드의 탑재 방법, DBMS의 이름 및 패스 설정을 포함한 평가조건을 셋팅할 수 있도록 지원하는 환경 설정기를 더 포함하여 이루어진 것을 특징으로 하는 평가규칙표기언어를 이용한 IPv6 네트워크 계층의 보안성 평가 시스템.
삭제
삭제
제 1 항에 있어서, 상기 DBMS는,

평가규칙을 저장하는 평가 규칙 DB;

패킷 수집기로부터 전송 받은 각종 프로토콜 데이터를 저장하며, 각 프로토콜 별로 테이블을 생성하고 저장하는 패킷 정보 DB; 및

평가규칙이 수행된 결과를 저장하는 평가결과 DB

로 이루어진 것을 특징으로 하는 평가규칙표기언어를 이용한 IPv6 네트워크 계층의 보안성 평가 시스템.
사용자 인터페이스, 평가규칙처리 모듈, DBMS(DataBase Management System) 및 평가대상 시스템으로 이루어진 시스템을 이용한 평가규칙표기언어를 이용한 IPv6 네트워크 계층의 보안성 평가 방법에 있어서,

a. DBMS로부터 기존에 작성된 평가규칙을 호출하거나, 평가규칙표기언어를 이용하여 보안평가 규칙을 작성하여 사용자 인터페이스를 통해 실행시키는 단계;

b. 실행을 요구받은 평가 규칙의 문법을 검사하는 단계; 및

c. 평가규칙처리 모듈을 통해 요구된 평가 규칙을 실행하여, 평가대상 시스템의 패킷 수집기로부터 실시간 수집되어 전달된 패킷을 통해 보안성을 평가하는 단계를 포함하고,

상기 c. 단계는,

c-1. 상기 문법 검사에 따른 평가 규칙을 토큰 형태로 분리하여 규칙 실행기로 전달하는 단계;

c-2. 상기 규칙 실행기에서 패킷 수집 유닛으로 평가규칙에 따라 필요한 패킷을 수집할 것을 요청하는 단계;

c-3. 상기 패킷 수집 유닛과 패킷 수집기 간의 통신을 통해 패킷을 수집하는 단계;

c-4. 상기 수집된 패킷에 대해 규칙 실행기에서 패킷 가공 유닛으로 평가규칙에 따른 해당 패킷의 가공을 요청하는 단계;

c-5. 상기 패킷 가공 유닛에서 패킷에 대해 가공을 수행하고, 가공이 완료된 패킷을 패킷 규칙 실행기로 반환하는 단계;

c-6. 상기 규칙 실행기에서 패킷 전송 유닛으로 평가규칙에 따라 가공한 패킷을 평가대상 시스템으로 송신할 것을 요청하는 단계;

c-7. 상기 패킷 전송 유닛에서 평가대상 시스템으로 요구받은 패킷을 전송하는 단계;

c-8. 상기 c-2 내지 c-4 단계를 반복하여 수행하고, 규칙 실행기에서 패킷 분석 유닛으로 수집한 패킷의 분석을 요청하는 단계;

c-9. 상기 패킷 분석 유닛에서 분석을 수행하고, 분석에 따른 결과를 규칙 실행기로 전달하는 단계;

c-10. 상기 규칙 실행기에서 패킷분석 결과를 토대로 취약점에 대한 판단을 수행하고, 그 결과를 취약점 보고 유닛으로 전달하는 단계;

c-11. 상기 취약점 보고 유닛은 DBMS의 평가 결과 DB로 평과결과를 전달하는 단계; 및

c-12. 평과 결과 DB에 평가결과를 저장하는 단계

로 이루어진 것을 특징으로 하는 평가규칙표기언어를 이용한 IPv6 네트워크 계층의 보안성 평가 방법.
제 7 항에 있어서, 상기 방법은,

d. 평가규칙처리 모듈을 이용하여 평가 결과를 DBMS에 저장하고 사용자 인터페이스로 디스플레이하는 단계를 더 포함하는 것을 특징으로 하는 평가규칙표기언어를 이용한 IPv6 네트워크 계층의 보안성 평가 방법.
제 7 항에 있어서, 상기 a. 단계는,

DBMS의 평가 규칙 DB로부터 사용자 인터페이스의 규칙 편집기로 평가규칙을 불러오는 단계;

상기 규칙 편집기를 이용하여 평가규칙을 수정 편집하는 단계;

상기 수정 편집된 평가규칙에 따라 평가 수행기로 평가수행을 요청하는 단계; 및

상기 평가 수행기에서 평가수행 요청명령을 평가규칙처리 모듈로 전달하는 단계

로 이루어진 것을 특징으로 하는 평가규칙표기언어를 이용한 IPv6 네트워크 계층의 보안성 평가 방법.
삭제
제 7 항에 있어서, 상기 패킷 가공 시,

IPsec적용이 필요할 경우에 IPsec 처리 유닛으로 IPsec 적용을 요청하는 단계; 및

상기 요청에 대해 IPsec을 적용한 패킷을 반환한 응답을 패킷 가공 유닛으로 전달하는 단계

를 더 진행하는 것을 특징으로 하는 평가규칙표기언어를 이용한 IPv6 네트워크 계층의 보안성 평가 방법.
제 7 항에 있어서, 상기 패킷을 수집하는 단계는,

패킷 수집 유닛에서 패킷 수집기로 접속을 요청하는 단계;

패킷 수집기에서 패킷 수집 유닛의 접속요청을 허용하는 단계;

패킷 수집 유닛에서 패킷 수집기로 패킷 수집을 시작하라는 START 명령을 송신하는 단계;

상기 패킷 수집기에서 명령 처리에 따라 조건에 맞는 패킷을 수집하는 단계;

패킷 수집기에서 수집한 패킷을 실시간으로 패킷 수집 유닛으로 송신하는 단계;

패킷 수집 유닛으로부터 패킷 수집을 중단하라는 STOP 명령을 송신하는 단계;

상기 STOP 명령을 수신한 패킷 수집기가 패킷 수집을 종료하고, 평가시스템과의 접속을 해지하는 단계; 및

패킷 중단 명령 수행을 완료하였음을 패킷 수집 유닛에 통보하는 단계

로 이루어진 것을 특징으로 하는 평가규칙표기언어를 이용한 IPv6 네트워크 계층의 보안성 평가 방법.
제 12 항에 있어서, 상기 패킷 수집기는,

START 명령에 대응하여 수집할 패킷을 선별하기 위한 option 값을 함께 전송 받아 명령 처리를 수행하는 것을 특징으로 하는 평가규칙표기언어를 이용한 IPv6 네트워크 계층의 보안성 평가 방법.
제 13 항에 있어서, 상기 START 명령에 대한 option 값은,

프로토콜, 패킷의 발신지 및 패킷의 목적지 IP 주소를 포함하는 것을 특징으로 하는 평가규칙표기언어를 이용한 IPv6 네트워크 계층의 보안성 평가 방법.