KR101068359B1 - 인터넷 키 교환 프로토콜 관리 시스템 및 방법, 그리고 이에 적용되는 장치 - Google Patents

인터넷 키 교환 프로토콜 관리 시스템 및 방법, 그리고 이에 적용되는 장치 Download PDF

Info

Publication number
KR101068359B1
KR101068359B1 KR1020090000880A KR20090000880A KR101068359B1 KR 101068359 B1 KR101068359 B1 KR 101068359B1 KR 1020090000880 A KR1020090000880 A KR 1020090000880A KR 20090000880 A KR20090000880 A KR 20090000880A KR 101068359 B1 KR101068359 B1 KR 101068359B1
Authority
KR
South Korea
Prior art keywords
client
key exchange
internet key
certificate
exchange protocol
Prior art date
Application number
KR1020090000880A
Other languages
English (en)
Other versions
KR20100081579A (ko
Inventor
김정한
김태형
엄영익
조진
김인혁
Original Assignee
성균관대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 성균관대학교산학협력단 filed Critical 성균관대학교산학협력단
Priority to KR1020090000880A priority Critical patent/KR101068359B1/ko
Publication of KR20100081579A publication Critical patent/KR20100081579A/ko
Application granted granted Critical
Publication of KR101068359B1 publication Critical patent/KR101068359B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates

Abstract

본 발명은 인터넷 키 교환 프로토콜 관리 시스템 및 방법, 그리고 이에 적용되는 장치를 개시한다. 본 발명에 따른 인터넷 키 교환 프로토콜 관리 시스템은, 도메인 내의 제 1 클라이언트, 제 1 클라이언트와 보안 터널을 형성하는 제 2 클라이언트 및 제 1 클라이언트로부터 상기 보안 터널의 형성을 위한 인증서 발급 요청에 응답하여 상응하는 라우팅 정보 및 보안요구 파라미터를 검색한 후, 검색 결과로 이루어지는 보안 정책을 기초로 인터넷 키 교환 프로토콜 설정 프로파일을 포함하는 인증서를 형성하여 제 1 클라이언트 및 제 2 클라이언트에 발급하기 위한 서비스 관리서버를 포함한다. 따라서, 본 발명은 다중 도메인인 경우에도 인증서 기반의 인터넷 키 교환 프로토콜 관리 기법을 통해 자동적으로 다중 도메인간의 보안요구 파라미터를 협상하여 보안 정책을 설정할 수 있다.
IPsec, IKE, 인터넷, 도메인

Description

인터넷 키 교환 프로토콜 관리 시스템 및 방법, 그리고 이에 적용되는 장치{SYSTEM AND METHOD FOR MANAGING INTERNET KEY EXCHANGE PROTOCOL, AND APPARATUS APPLIED TO THE SAME}
본 발명은 인터넷 키 교환 프로토콜 관리 시스템 및 방법, 그리고 이에 적용되는 장치에 관한 것으로, 더욱 상세하게는 암호 키를 유지하고 관리하는 기능을 제공하는 인터넷 키 교환 프로토콜이 보호 프로토콜의 종류에 따른 다양한 요구사항을 만족시키기 위해서 호환적이지만 다소 복잡한 방식으로 디자인됨에 따라, 보안 정책과 인터넷 키 교환 프로토콜의 옵션을 포함하는 다양한 파라미터들을 수동적으로 설정하여야 하는 등의 문제점을 보완하기 위한 새로운 방식의 인터넷 키 교환 프로토콜 관리 기법을 구현하는 인터넷 키 교환 프로토콜 관리 시스템 및 방법, 그리고 이에 적용되는 장치에 관한 것이다.
전 세계적으로 빠르게 확장되고 있는 네트워크는 각종 디지털 서비스 및 전 자상거래, 정보검색 서비스, 디지털 화상 서비스에 이르기까지 수많은 각종 네트워크 관련 통신 서비스가 보편화되어가고 있다. 이러한 보편화 추세는 각종 개인 정보유출 및 해킹사고의 급증을 야기하였고, 이에 따라 안전한 데이터의 송수신에 대한 많은 관심과 연구가 지속되어 왔다.
인터넷에서 보안 서비스를 제공하는 IPsec(Internet Protocol security)은 IP(Internet Protocol) 패킷에 대해 기밀성과 무결성 그리고 인증과 같은 보안 서비스를 제공하는 국제 표준 프로토콜이다. IPsec은 AH(Authentication Header)와 ESP(Encapsulating Security Payload), 그리고 인터넷 키 교환(IKE : Internet Key Exchange, 이하 '인터넷 키 교환' 이라 함) 프로토콜이라는 세부 프로토콜들로 구성되어 있으며 강력한 암호학적 알고리즘과 프로토콜을 이용하여 안전한 보안 서비스를 제공해주고 있다.
IPsec은 국제 표준화 기구인 IETF(Internet Engineering Task Force)에 의해 1995년 처음으로 발표되었다. 그러나, 이 표준에는 키 분배를 위한 표준이 제시되지 못하였으며 1998년 개정된 표준에서 현재의 AH와 ESP, 인터넷 키 교환 프로토콜로 이루어진 IPsec이 발표되었다.
IPsec의 AH와 ESP를 통해 제공되는 무결성과 기밀성은 송수신자가 같은 키를 공유한 후 공유된 키를 이용해 대칭키 암호 알고리즘, 또는 HMAC(Hash Message Authentication Code)와 같은 함수를 통해 제공된다. 이때 송수신자가 같은 키를 공유할 수 있도록 해주는 메커니즘이 인터넷 키 교환 프로토콜이다.
인터넷 키 교환 프로토콜은 공유키의 생성뿐만 아니라 생성된 키의 소멸과 재성성과 같은 키 관리 기능, IPsec에서 사용될 프로토콜 및 알고리즘의 협상 기능, 그리고 송수신 양단 간의 사용자 인증 기능 등을 동시에 제공하며, 인터넷 키 교환 프로토콜의 자동화된 메커니즘은 중앙 집중화된 키 분배나 수동 조작을 통한 키 분배의 제약을 극복하여 보다 손쉽고 폭넓은 응용을 가능하게 한다.
그러나 IPsec이 대표적인 보안 프로토콜로 자리를 잡은 오늘날까지 IPsec에 대한 크고 작은 문제점들은 끊임없이 제기되어 왔다. IPsec의 가장 큰 문제점으로는 전체적인 시스템의 복잡성에 있으며, 이러한 IPsec의 지나친 복잡성은 시스템의 구현은 물론 구현된 시스템의 상호 호환을 어렵게 할 뿐만 아니라, 구현과정에서 눈에 보이지 않는 보안상의 약점을 포함할 수 있다. 그 외에도 IPsec 시스템의 많은 선택사항(인터넷 키 교환 프로토콜의 4가지 인증모드, AH/ESP의 2가지 전송모드 등)들은 개발자나 사용자에게 혼란을 가져올 수 있으며, IPsec 자체는 물론 각 프로토콜의 목적과 응용분야, 설계의 타당성을 언급하는 표준문서의 부재는 이러한 혼란을 더욱 가중시키고 있다.
인터넷 키 교환 프로토콜과 관련되어서는 시스템의 복잡성과 함께 서비스 거부 공격(DoS: Denialof Service)에 취약하다는 문제점을 비롯해 보다 향상된 안전성의 보장이 중요한 해결과제로 지적되고 있다. 이러한 문제점을 해결하기 위해서는 인터넷 키 교환 프로토콜이 가지고 있는 대부분의 특징과 속성들을 유지하면서 프로토콜을 단순화하고 효율성과 안정성, 유연성을 증대시킬 수 있는 방안이 요구 된다.
따라서, 본 발명은 상기의 문제점들을 해결하기 위해 창출된 것으로, 본 발명의 목적은 암호 키를 유지하고 관리하는 기능을 제공하는 인터넷 키 교환 프로토콜이 보호 프로토콜의 종류에 따른 다양한 요구사항을 만족시키기 위해서 호환적이지만 다소 복잡한 방식으로 디자인됨에 따라, 보안 정책과 인터넷 키 교환 프로토콜의 옵션을 포함하는 다양한 파라미터들을 수동적으로 설정하여야 하는 등의 문제점을 보완하기 위한 새로운 방식의 인터넷 키 교환 프로토콜 관리 기법을 구현하는 인터넷 키 교환 프로토콜 관리 시스템 및 방법, 그리고 이에 적용되는 장치를 제공하는 데 있다.
상기 목적을 달성하기 위한 본 발명의 제 1 관점에 따른 인터넷 키 교환 프로토콜 관리 시스템은, 도메인 내의 제 1 클라이언트, 상기 제 1 클라이언트와 보안 터널을 형성하는 제 2 클라이언트 및 상기 제 1 클라이언트로부터 상기 보안 터널의 형성을 위한 인증서 발급 요청에 응답하여 상응하는 라우팅 정보 및 보안요구 파라미터를 검색한 후, 검색 결과로 이루어지는 보안 정책을 기초로 인터넷 키 교 환 프로토콜 설정 프로파일을 포함하는 인증서를 형성하여 상기 제 1 클라이언트 및 상기 제 2 클라이언트에 발급하기 위한 서비스 관리서버를 포함하는 것을 특징으로 한다.
바람직하게는, 상기 제 1 클라이언트는 상기 제 1 클라이언트와 상응하는 인터넷 키 교환 프로토콜 설정 프로파일을 파싱하여 설치한 후, 상기 제 2 클라이언트와의 접속을 통해 인터넷 키 교환에 대한 협상을 개시하는 것을 특징으로 한다.
바람직하게는, 상기 제 2 클라이언트는 상기 협상에 대한 요구 메시지를 수신하는 경우, 상기 제 2 클라이언트와 상응하는 인터넷 키 교환 프로토콜 설정 프로파일의 유효 여부를 판별하여 그 판별 결과를 상기 제 1 클라이언트에 메시지로 전달하는 것을 특징으로 한다.
바람직하게는, 상기 제 1 클라이언트 또는 상기 제 2 클라이언트는 상응하는 인터넷 키 교환 프로토콜 설정 프로파일이 유효하지 않은 경우, 상기 서비스 관리서버에 해당 인증서의 업 데이트를 요청하여 업 데이트되는 다른 인증서를 제공받는 것을 특징으로 한다.
바람직하게는, 상기 제 2 클라이언트는 상응하는 인터넷 키 교환 프로토콜 설정 프로파일의 버전이 상기 제 1 클라이언트보다 떨어지는 경우, 상기 서비스 관리서버에 접속하여 상기 다른 인증서를 제공받은 후 상기 제 1 클라이언트와의 인터넷 키 교환에 대한 협상을 지속하는 것을 특징으로 한다.
바람직하게는, 상기 인터넷 키 교환 프로토콜 설정 프로파일은 상기 제 1 클 라이언트 및 상기 제 2 클라이언트의 IP 주소, 상기 보호 채널의 형성에 요구되는 프로토콜, 인증된 공유 키에 대한 암호화 알고리즘 및 SA(Security Association) 라이프 타임을 포함하는 정보인 것을 특징으로 한다.
바람직하게는, 상기 서비스 관리서버는 상기 제 1 클라이언트 및 상기 제 2 클라이언트에 각각 상응하는 인증서의 확장자 필드에 해당 인터넷 키 교환 프로토콜 설정 프로파일을 저장한 후, 상기 인증서를 발급하는 것을 특징으로 한다.
바람직하게는, 상기 서비스 관리서버는 상기 각 인증서의 확장자 필드 중 객체대체 이름(Subject alternative name)에 상응하는 인터넷 키 교환 프로토콜 설정 프로파일을 저장하는 것을 특징으로 한다.
또한, 상기 목적을 달성하기 위한 본 발명의 제 2 관점에 따른 인터넷 키 교환 프로토콜 관리 방법은, 제 1 클라이언트로부터 제 2 클라이언트와의 보안 채널을 형성하기 위한 인증서 발급 요청을 수신하는 인터넷 키 교환 프로토콜 초기화 실행 단계, 상기 발급 요청에 응답하여 기 구비된 데이터베이스를 토대로 상응하는 라우팅 정보 및 보안요구 파라미터를 검색하는 정보검색 단계 및 검색 결과로 인한 보안 정책을 기초로 인터넷 키 교환 프로토콜 설정 프로파일을 포함하는 인증서를 형성하여 상기 제 1 클라이언트 및 상기 제 2 클라이언트에 발급하는 인증서 발급 단계를 포함하는 것을 특징으로 한다.
바람직하게는, 상기 인터넷 키 교환 프로토콜 관리 방법은 상기 제 1 클라이언트 및 상기 제 2 클라이언트 간의 인터넷 키 교환에 대한 협상이 개시된 후 상기 제 1 클라이언트에 상응하는 인증서 또는 상기 제 2 클라이언트에 상응하는 인증서에 대한 업 데이트 요청이 있는 경우, 해당 인증서를 재발급하기 위한 인증서 재발급 단계를 더 포함하는 것을 특징으로 한다.
또한, 상기 목적을 달성하기 위한 본 발명의 제 3 관점에 따른 인터넷 키 교환 프로토콜 관리 시스템은, 제 1 도메인 내의 제 1 클라이언트, 제 2 도메인 내에 위치하여 상기 제 1 클라이언트와 보안 터널을 형성하는 제 2 클라이언트, 상기 제 1 클라이언트로부터 상기 보안 터널의 형성을 위한 인증서 발급 요청에 응답하여 상응하는 라우팅 정보 및 보안요구 파라미터를 기 구비된 데이터베이스를 토대로 검색한 후, 상기 라우팅 정보를 통해 상기 제 2 클라이언트와 상응하는 제 2 서비스 관리서버에 접속하여 상기 제 2 도메인에 대한 보안요구 파라미터를 제공받아 상기 보안 터널의 형성을 위한 보안 정책을 이루기 위한 제 1 서비스 관리서버를 포함하고, 상기 제 1 서비스 관리서버는 상기 보안 정책을 상기 제 2 서비스 관리서버와 공유하여 제 1 인터넷 키 교환 프로토콜 설정 프로파일을 포함하는 제 1 인증서를 상기 제 1 클라이언트에 발급하며, 상기 제 2 서비스 관리서버는 상기 보안 정책을 토대로 제 2 인터넷 키 교환 프로토콜 설정 프로파일을 포함하는 제 2 인증서를 상기 제 2 클라이언트에 발급하는 것을 특징으로 한다.
바람직하게는, 상기 인터넷 키 교환 프로토콜 관리 시스템은 상기 제 1 도메인 및 상기 제 2 도메인 간의 연결을 위한 적어도 하나 이상의 라우터를 더 포함하는 것을 특징으로 한다.
바람직하게는, 상기 제 1 클라이언트는 상기 제 1 인터넷 키 교환 프로토콜 설정 프로파일을 파싱하여 설치한 후, 상기 제 2 클라이언트와의 접속을 통해 인터넷 키 교환에 대한 협상을 개시하는 것을 특징으로 한다.
바람직하게는, 상기 제 2 클라이언트는 상기 협상에 대한 요구 메시지를 수신하는 경우, 상기 제 1 인터넷 키 교환 프로토콜 설정 프로파일 및 상기 제 2 인터넷 키 교환 프로토콜 설정 프로파일을 비교한 결과에 따라 그 유효 여부를 상기 제 1 클라이언트에 전달하는 것을 특징으로 한다.
바람직하게는, 상기 제 1 클라이언트 및 상기 제 2 클라이언트 중 어느 하나는 상기 제 1 인터넷 키 교환 프로토콜 설정 프로파일 및 상기 제 2 인터넷 키 교환 프로토콜 설정 프로파일 중 어느 하나가 유효하지 않을 경우, 유효하지 않은 프로파일에 상응하는 인증서의 업 데이트를 상기 제 1 서비스 관리서버 또는 상기 제 2 서비스 관리서버에 요청하여 다른 인증서를 제공받는 것을 특징으로 한다.
또한, 상기 목적을 달성하기 위한 본 발명의 제 4 관점에 따른 제 1 도메인 내의 제 1 클라이언트 및 제 2 도메인 내의 제 2 클라이언트 간의 인터넷 키 교환 프로토콜 관리 시스템은, 제 1 서비스 관리서버가 상기 제 1 클라이언트로부터 상기 제 2 클라이언트와의 보안 채널을 형성하기 위한 인증서 발급 요청을 수신하는 인터넷 키 교환 프로토콜 초기화 실행 단계, 상기 발급 요청에 응답하여 기 구비된 데이터베이스를 토대로 상응하는 라우팅 정보 및 보안요구 파라미터를 검색하는 정보검색 단계, 상기 라우팅 정보를 통해 상기 제 2 클라이언트와 상응하는 제 2 서 비스 관리서버와 접속하여 상기 제 2 도메인에 대한 보안요구 파라미터를 제공받아 상기 보안 채널의 형성을 위한 보안 정책을 이루는 보안정책 형성 단계, 상기 보안 정책을 상기 제 2 서비스 관리서버와 공유하여 제 1 인터넷 키 교환 프로토콜 설정 프로파일을 포함하는 제 1 인증서를 형성하고, 상기 제 2 서비스 관리서버가 상기 보안 정책을 기초로 제 2 인터넷 키 교환 프로토콜 설정 프로파일을 포함하는 제 2 인증서를 형성하는 인증서 형성 단계 및 상기 제 1 서비스 관리서버가 상기 제 1 인증서를 상기 제 1 클라이언트에 발급하고, 상기 제 2 서비스 관리서버가 상기 제 2 인증서를 상기 제 2 클라이언트에 발급하는 인증서 발급 단계를 포함하는 것을 특징으로 한다.
바람직하게는, 상기 인터넷 키 교환 프로토콜 관리 방법은, 상기 제 1 클라이언트 및 상기 제 2 클라이언트 간의 인터넷 키 교환에 대한 협상이 개시된 후, 상기 제 1 인터넷 키 교환 프로토콜 설정 프로파일 및 상기 제 2 인터넷 키 교환 프로토콜 설정 프로파일 간의 버전 불일치로 인한 상기 제 1 인증서 또는 상기 제 2 인증서의 업 데이트 요청에 응답하여 다른 인증서를 발급하기 위한 인증서 재발급 단계를 더 포함하는 것을 특징으로 한다.
또한, 상기 목적을 달성하기 위한 본 발명의 제 5 관점에 따른 서비스 관리서버는, 도메인 상의 라우팅 정보 및 보안요구 파라미터를 기 구비하는 데이터베이스부, 클라이언트들 중 어느 하나의 보안 터널 형성을 위한 인증서 발급 요청에 응답하여 상응하는 상기 라우팅 정보 및 상기 보안요구 파라미터를 검색한 후, 검색 결과에 기초하는 보안 정책을 토대로 인터넷 키 교환 프로토콜 설정 프로파일을 포함하는 인증서를 형성하여 상기 도메인 상의 클라이언트에 발급하기 위한 제어모듈부, 상기 보안 터널을 이루는 채널을 제공하기 위한 인터페이스부 및 상기 채널을 제공하여 상기 도메인 상의 경로를 유지하기 위한 네트워크 관리 프로토콜부를 포함하는 것을 특징으로 한다.
바람직하게는, 상기 제어모듈부는 상기 클라이언트들 중 상기 보안 터널을 형성하기 위한 어느 하나가 외부 도메인에 위치하는 경우, 상기 외부 도메인에 상응하는 다른 서비스 관리서버와 라우팅 접속하여 상기 보안 정책을 이루기 위한 협상을 실행하는 것을 특징으로 한다.
바람직하게는, 상기 제어모듈부는 상기 클라이언트들 중 어느 하나가 상기 인터넷 키 교환 프로토콜 설정 프로파일이 유효하지 않음에 따라 상기 인증서의 업 데이트를 요청하는 경우, 업 데이트되는 다른 인증서를 발급하는 것을 특징으로 한다.
그리고, 상기 목적을 달성하기 위한 본 발명의 제 6 관점에 따른 인터넷 키 교환 프로토콜 협상지원 모듈은, 클라이언트들 간의 보안 채널을 형성하기 위한 인증서 발급을 요청하는 인증요청부, 상기 요청에 대한 응답으로 상응하는 라우팅 정보 및 보안요구 파라미터를 검색한 후, 검색결과를 기초로 인터넷 키 교환 프로토콜 설정 프로파일을 포함하여 발급되는 인증서를 수신하는 인증수신부, 상기 클라이언트들 중 상응하는 제 1 클라이언트에 상기 인터넷 키 교환 프로토콜 설정 프로 파일을 파싱하여 설치하기 위한 프로파일 설치부 및 상기 클라이언트들 중 상기 보안 채널을 이루는 제 2 클라이언트와 접속하여 인터넷 키 교환에 대한 협상을 개시하기 위한 프로파일 버전관리부를 포함하는 것을 특징으로 한다.
바람직하게는, 상기 프로파일 버전관리부는 상기 제 2 클라이언트에 발급된 인터넷 키 교환 프로토콜 설정 프로파일의 버전보다 떨어지는 경우, 업 데이트되는 인터넷 키 교환 프로토콜 설정 프로파일의 발급을 요청하는 것을 특징으로 한다.
따라서, 본 발명에서는 암호 키를 유지하고 관리하는 기능을 제공하는 인터넷 키 교환 프로토콜이 보호 프로토콜의 종류에 따른 다양한 요구사항을 만족시키기 위해서 호환적이지만 다소 복잡한 방식으로 디자인됨에 따라, 보안 정책과 인터넷 키 교환 프로토콜의 옵션을 포함하는 다양한 파라미터들을 수동적으로 설정하여야 하는 등의 문제점을 보완하기 위한 새로운 방식의 인터넷 키 교환 프로토콜 관리 기법을 구현함에 따라, 다중 도메인인 경우에도 인증서 기반의 인터넷 키 교환 프로토콜 관리 기법을 통해 자동적으로 다중 도메인간의 보안요구 파라미터를 협상하여 보안 정책을 설정하고, 설정한 보안 정책에 대한 인터넷 키 교환 프로토콜의 설정을 위한 프로파일을 용이하게 해당 클라이언트에 전달하여 중앙집중적인 클라이언트 관리를 이룰 수 있는 이점이 있다.
이하, 첨부도면들을 참조하여 본 발명에 따른 인터넷 키 교환 프로토콜 관리 시스템의 바람직한 실시예를 보다 상세히 설명하면 다음과 같다.
도 1은 본 발명의 일실시 예에 따른 인터넷 키 교환 프로토콜 관리 시스템의 구성도이다. 도 1에 단지 예로써 나타낸 바와 같이, 인터넷 키 교환 프로토콜 관리 시스템은 단일 도메인 내에 제 1 클라이언트(100) 및 제 2 클라이언트(200)가 존재하는 경우를 나타낸다.
이러한 인터넷 키 교환 프로토콜 관리 시스템은 제 1 클라이언트(100), 제 1 클라이언트(100)와 보안 터널을 형성하는 제 2 클라이언트(200), 및 제 1 클라이언트(100)의 보안 터널의 형성을 위한 인증서 발급 요청에 응답함에 따라, 이에 상응하는 라우팅 정보 및 보안요구 파라미터를 검색한 후 검색 결과로 이루어지는 보안 정책을 기초로 하여 인터넷 키 교환 프로토콜의 바람직한 동작을 위해 정확히 설정되어야 하는 인터넷 키 교환 프로토콜 설정 프로파일(IKE Configuration Profile)을 포함하는 인증서를 형성하고, 이렇게 형성한 인증서를 제 1 클라이언트(100) 및 제 2 클라이언트(200)에 발급하기 위한 서비스 관리서버(300)를 포함한다.
여기서, 제 1 클라이언트(100)에 발급되는 인증서는 제 1 클라이언트(100)와 상응하는 인터넷 키 교환 프로토콜 설정 프로파일을 포함하는 제 1 인증서이고, 제 2 클라이언트(200)에 발급되는 인증서는 제 2 클라이언트(200)와 상응하는 인터넷 키 교환 프로토콜 설정 프로파일을 포함하는 제 2 인증서인 것이 바람직하다.
또한, 제 1 클라이언트(100)는 서비스 관리서버(300)로부터 인증서에 포함되는 인터넷 프로토콜 설정 프로파일을 제공받은 후, 파싱하여 클라이언트 내부에 설치하고 이후로 제 2 클라이언트(200)와 접속하여 인터넷 키 교환에 대한 협상을 개시한다.
이후로, 제 1 클라이언트(100) 및 제 2 클라이언트(200)는 인터넷 키 교환 협상을 하는 과정 중에 상호 간 인터넷 프로토콜 설정 프로파일이 매칭되지 않는 경우, 각 클라이언트의 인터넷 프로토콜 설정 프로파일에 대한 버전을 상호 비교한 후 버전이 떨어지는 클라이언트가 자신의 인터넷 프로토콜 설정 프로파일에 대한 업 데이트를 서비스 관리서버(300)에 요청한다.
이에, 서비스 관리서버(300)는 해당하는 인터넷 프로토콜 설정 프로파일을 업 데이트하여 인증서에 실어 재발급한다.
도 2는 도 1에 도시된 인터넷 키 교환 프로토콜 관리 시스템상의 인터넷 키 교환 프로토콜의 동작을 나타내는 표이다. 도 2에 단지 예로써 도시된 바와 같이, 인터넷 키 교환 프로토콜은 통합 프로토콜로써 인터넷 보호연합(SA)과 키 관리 프로토콜(ISAKMP)과 OAKLEY, 그리고 SKEME에 의해 생성된다. 게다가, 인터넷 키 교환 프로토콜은 ISAKMP 프로토콜에 의해 정의된 프레임 워크 위에 생성되고, OAKLEY 프로토콜의 암호 키 교환 모드 및 SKEME 프로토콜의 키 갱신 및 공유 기법을 사용한다.
또한, 인터넷 키 교환 프로토콜은 디피-헬만의 키 교환 프로토콜을 사용하여 비밀 키가 얻어지는 곳으로부터 공유 보안값을 설정한다. 이는 통신하는 파티간의 상호 인증, DoS 공격방지, 다른 보안 데이터 협상을 위해 이용된다. 인터넷 키 교환 프로토콜은 두 단계로 이루어져 있다. 첫번째 단계는 두번째 단계의 협상을 보호하기 위한 보안 채널을 생성하기 위해 ISAKMP SA를 수립하고, 디피-헬만 키 교환 프로토콜을 이용하여 상응하는 암호 키를 생성한다. 두번째 단계에서는 양쪽의 피어들 간의 통신을 보호하기 위해, IPsec SA와 암호 키들의 협상을 수행한다.
이러한 각 단계의 동작을 위해서는 인터넷 키 교환 프로토콜에 대한 설정 프로파일이 정확하게 설정되어야만 한다. 이러한 인터넷 키 교환 프로토콜 설정 프로파일로는 제 1 클라이언트(100) 및 제 2 클라이언트(200)의 IP 주소, 보호 채널의 형성에 요구되는 프로토콜, 인증된 공유 키에 대한 암호화 알고리즘 및 SA 라이프 타임을 포함하는 정보이다.
도 3은 도 2에 나타내는 인터넷 키 교환 프로토콜의 설정정보인 인터넷 키 교환 프로토콜 설정 프로파일을 예시하는 표이다. 도 3에 단지 예로써 나타낸 바와 같이, 인터넷 키 교환 프로토콜 설정 프로파일은 다양한 파라미터들을 가지고 있다. 인터넷 키 교환 프로토콜에 대한 협상은 모든 인터넷 키 교환 프로토콜 설정 프로파일이 상대방 파티의 것과 정확하게 매칭이 되어야만 적합하게 이루어진다. 이에 따라, 단순한 인터넷 키 교환 프로토콜 구현에서는 수동으로 이루어지는 경우가 많고 네트워크 관리자도 이에 부담을 느끼게 된다. 이에 대해 본 발명은 보다 효율적으로 네트워크 관리자에게 수동 구현으로 인한 부담감을 최소화하기 위함이 다.
도 4는 도 1에 도시된 인터넷 키 교환 프로토콜 관리 시스템에서 적용되는 보안요구 파라미터를 설명하기 위한 도면이다. 도 4에 단지 예로써 도시된 바와 같이, 네트워크에서 데이터 흐름을 보호하기 위해 접근 제어와 보안 종작을 위한 안전한 터널의 보안 정책이 생성된다. 보안 정책을 설정하는 것은 보안요구 파라미터와 네트워크 위상에 의해 규제된다. 각 네트워크 장치는 데이터를 다루기 위한 각기다른 보안 정책을 가진다. 데이터 경로 상의 각 장치들의 모든 보안요구 파라미터를 만족하는 보안 정책은 보안 터널의 적절한 보안 정책이라 할 수 있다.
이러한 보안요구 파라미터는 소스로부터 목적지까지 어떻게 데이터 흐름을 관리할 것인가를 말하며, 관리자의 의지를 나타내고 고급 레벨의 언어로 기술된다.
또한, 보안 정책은 어떻게 네트워크 장치 혹은 전체 도메인이 데이터의 특별한 흐름을 다룰 것인지에 대한 것으로, 저 레벨에서의 네트워크 장치를 위한 직접적인 조작 명령을 의미한다.
보안요구 파라미터는 다음과 같은 종류가 있다.
1. 접근제어 요구 파라미터(ACR) : 신뢰된 트래픽만 접근을 허용하는 접근 제어를 수행하며, 이는 항상 게이트웨이와 관련이 있다.
2. 보안 복구 파라미터(SCR) : 전송이 교차하는 특정 지역세어 협상된 트래픽을 방지하기 위한 보안 기능을 요청한다.
3. 컨텐츠 접근 요구 파라미터(CAR) : 몇몇 네트워크 노드들은 특정한 트래 픽의 컨텐츠에 접근이 필요할 수 있지만, 이를 교차하기 위해 암호화된 터널이 설정되어 있다면 트래픽의 컨텐츠를 볼 수 없다.
4. 보안 연합 요구 파라미터(SAR) : 보안 연합(SA)은 특정 보안 연산을 수행하기 위해 형성되었으며, 다른 노드들과 SA를 설정하고자 하는 또는 설정하지 않고자 하는 노드들이 있을 수 있다.
도 4는 end-to-end 환경에서 보안 정책을 생성하기 위한 일례이며, 이러한 모든 보안요구 파라미터를 충족하기 위해, 아래의 도 5에 도시된 바와 같이 이어지는 터널들이 설정된다.
도 5는 도 1에 도시된 인터넷 키 교환 프로토콜 관리 시스템에서 적용되는 보안 정책을 나타내는 도면이다. 도 5에 단지 예로써 도시된 바와 같이, 1로부터 4까지와 4로부터 5까지는 두 개의 암호화된 터널이 존재하며, 1부터 3, 3부터 4까지는 두 개의 인증 터널이 존재한다. 이에, 도 5에 도시된 보안 정책은 충돌되거나 오버랩되지 않으며, 상기 도 4에 도시된 SCR, CAR, SAR과 같은 보안요구 파라미터를 충족한다.
한편, 서비스 관리서버(300)는 제 1 클라이언트(100) 및 제 2 클라이언트(200)에 각각 상응하는 인증서의 확장자 필드에 해당하는 인터넷 키 교환 프로토콜 설정 프로파일을 저장한 후, 각 인증서를 각 클라이언트로 발급하여 해당하는 각각의 인터넷 키 교환 프로토콜 설정 프로파일도 함께 전달한다.
여기서의 인증서는 X.500 시리즈의 일부분인 X.509를 기반의 인증서를 일례 로 들 수 있다. 이러한 인증서는 사용자의 공유 키를 소지하며 인증된 CA로부터 개인 키로 서명된다. X.509 인증서 구조는 IPsec을 비롯한 다양한 상황에서 사용되어진다.
또한, 인증서의 확장자들은 세개의 카테고리로 분류된다(키와 정책 정보, 객체와 발행자 속성, 인증서 경로제약). 객체 카테고리는 인터넷 키 교환 설정 프로파일에 적합하며, 이러한 확장자는 인증서 객체를 위해 대체할 수 있는 이름, 형태 등을 지원하며, 인증서 객체에 대한 추가적인 정보를 나른다.
인증서와 함께 인터넷 키 교환 설정 프로토콜 프로파일을 나르고 배포하기 위하여, 확장자 필드를 사용하게 된다. 이러한 확장자 필드로는 객체 대체 이름, 발급자 대체이름, 객체 디렉토리 속성 등이 포함되며, 객체 대체 이름은 하나 또는 그 이상의 대체할 수 있는 이름으로 표현할 수 있는 다양한 형태로 디자인된다.
아울러, 인터넷 키 교환 설정 프로토콜 프로파일은 ASN.1에 의해 디자인 되며 객체 대체 이름에 저장된다. 상기 ASN.1은 인터넷을 포함하는 애플리케이션의 확장 영역에서 교환되는 메시지를 추상적으로 기술하기 위한 언어이다.
도 6은 도 1에 도시된 인터넷 키 교환 프로토콜 관리 시스템의 동작과정을 나타내는 순서도이다. 도 6에 단지 예로써 도시된 바와 같이, 인터넷 키 교환 프로토콜 관리 방법은 서비스 관리서버(300)가 제 1 클라이언트(100)로부터 제 1 클라이언트(100) 및 제 2 클라이언트(200) 간의 보안 채널을 형성하기 위한 인증서 발급 요청을 수신하는 것으로 진행된다(S100).
이후로, 서비스 관리서버(300)는 기 구비중인 데이터베이스를 토대로 하여 상기 발급 요청에 상응하는 라우팅 정보 및 보안요구 파라미터를 검색한 후(S102 및 S104), 검색된 결과를 기초로 하여 보안 정책을 형성하고 형성한 보안 정책에 따라 제 1 클라이언트(100)와 상응하는 인터넷 키 교환 프로토콜 설정 프로파일을 포함하는 제 1 인증서를 형성하여 제 1 클라이언트(100)로 발급한다(S106 및 S108).
이와 함께, 상기 보안 정책에 따라 제 2 클라이언트(200)와 상응하는 인터넷 키 교환 프로토콜 설정 프로파일을 포함하는 제 2 인증서를 형성하여 제 2 클라이언트(200)로 발급한다(S110).
이후로, 제 1 클라이언트(100)는 제 1 클라이언트(100)와 상응하는 인터넷 키 교환 프로토콜 설정 프로파일을 파싱하여 설치한 후, 제 2 클라이언트(200)와의 접속을 통해 인터넷 키 교환에 대한 협상을 개시한다(S112).
도 7은 본 발명의 다른 실시 예에 따른 인터넷 키 교환 프로토콜 관리 시스템의 구성도이다. 도 7에 단지 예로써 도시된 바와 같이, 인터넷 키 교환 프로토콜 관리 시스템은 제 1 도메인 내의 제 1 클라이언트(400), 제 2 도메인 내에 위치하여 제 1 클라이언트(400)와 보안 터널을 형성하는 제 2 클라이언트(600), 제 1 클라이언트(400)로부터 제 1 클라이언트(400) 및 제 2 클라이언트(600) 간의 보안 터널의 형성을 위한 인증서 발급 요청에 응답하여 상응하는 라우팅 정보 및 보안요구 파라미터를 기 구비된 데이터베이스를 토대로 검색한 후, 검색한 라우팅 정보를 통 해 제 2 클라이언트(600)와 연결된 라우팅 경로를 파악하여 파악한 경로상의 제 2 클라이언트(600)와 상응하는 제 2 서비스 관리서버(700)와 접속하여 연동하기 위한 제 1 서비스 관리서버(500)를 포함한다.
제 1 서비스 관리서버(500)는 제 2 서비스 관리서버(700)와 접속한 후 제 2 도메인에 대한 보안요구 파라미터를 제공받아 상기의 보안 터널의 형성을 위한 보안 정책을 이룬 후, 형성한 보안 정책을 제 2 서비스 관리서버(700)와 공유하게 된다.
이후로, 제 1 서비스 관리서버(500)는 제 2 서비스 관리서버(700)와 공유한 보안 정책을 토대로 제 1 인터넷 키 교환 프로토콜 설정 프로파일을 포함하는 제 1 인증서를 형성한 후, 제 1 클라이언트(400)에 발급한다.
또한, 제 2 서비스 관리서버(700)도 제 1 서비스 관리서버(500)와 공유한 보안 정책을 토대로 제 2 인터넷 키 교환 프로토콜 설정 프로파일을 포함하는 제 2 인증서를 형성한 후, 제 2 클라이언트(600)에 발급한다.
더 나아가, 인터넷 키 교환 프로토콜 관리 시스템은 제 1 도메인 및 제 2 도메인 간의 연결을 위한 적어도 하나 이상의 라우터를 더 포함한다.
여기서, 제 1 클라이언트(400)는 제 1 인터넷 키 교환 프로토콜 설정 프로파일을 파싱하여 설치한 후, 제 2 클라이언트(600)와의 접속을 통해 인터넷 키 교환에 대한 협상을 개시한다.
이러한 과정에서 제 1 클라이언트(400)로부터의 협상 메시지를 수신하는 제 2 클라이언트(600)가 제 1 인터넷 키 교환 프로토콜 설정 프로파일 및 제 2 인터넷 키 교환 프로토콜 설정 프로파일 간을 비교하고, 비교 결과에 따라 각 프로파일 간의 유효 여부를 판별한다. 프로파일이 유효하다는 것은 제 1 인터넷 키 교환 프로토콜 설정 프로파일 및 제 2 인터넷 키 교환 프로토콜 설정 프로파일 간의 버전 우위여부로 결정될 수 있으며, 버전이 떨어지는 프로파일은 서비스 관리서버로부터 다시 발급받아야 하는 대상이 된다.
도 8은 도 7에 도시된 인터넷 키 교환 프로토콜 관리 시스템의 동작과정을 나타내는 순서도이다. 도 8에 단지 예로써 도시된 바와 같이, 인터넷 키 교환 프로토콜 관리 방법은 제 1 도메인의 제 1 서비스 관리서버(500)가 제 1 클라이언트(400)로부터 제 1 클라이언트(400) 및 제 2 클라이언트(600) 간의 보안 채널을 형성하기 위한 인증서 발급 요청을 수신하는 것으로 진행된다(S200).
이후로, 제 1 서비스 관리서버(500)는 기 구비중인 데이터베이스를 토대로 하여 상기 발급 요청에 상응하는 라우팅 정보를 검색한 후(S202), 검색한 라우팅 정보를 통해 제 2 도메인 상의 제 2 클라이언트(600)와 상응하는 제 2 서비스 관리서버(700)와 접속한다.
이를 통해 제 2 서비스 관리서버(700)로부터 제 2 도메인에 대한 보안요구 파라미터를 제공받아 제 1 클라이언트(400) 및 제 2 클라이언트(600) 간의 보안 채널을 형성하기 위한 보안 정책을 이룬다(S204 내지 S210).
이후로, 제 1 서비스 관리서버(500)는 상기 단계에서 형성한 보안 정책을 제 2 서비스 관리서버(700)와 공유 설정하기 위한 메시지를 제 2 서비스 관리서버(700)로 전달하고(S212), 이에 제 2 서비스 관리서버(700)가 보안 정책의 공유 적정여부를 판별하여 응답 메시지를 제 1 서비스 관리서버(500)로 전달한다(S216).
이에, 제 1 서비스 관리서버(500)는 보안 정책을 기초로 제 1 인터넷 키 교환 프로토콜 설정 프로파일을 포함하는 제 1 인증서를 형성하여 제 1 클라이언트(400)로 발급하고(S218), 제 2 서비스 관리서버(700)는 보안 정책을 기초로 제 2 인터넷 키 교환 프로토콜 설정 프로파일을 포함하는 제 2 인증서를 형성하여 제 2 클라이언트(600)로 발급한다(S220).
이후로, 제 1 클라이언트(400)는 제 1 인터넷 키 교환 프로토콜 설정 프로파일을 파싱하여 설치한 후, 제 2 클라이언트(600)와 접속하여 인터넷 키 교환을 위한 과정을 실행하게 된다(S222).
도 9는 도 1 또는 도 7에 도시된 인터넷 키 교환 프로토콜 관리 시스템에서의 서비스 관리서버(800)의 구성도이다. 도 9에 단지 예로써 도시된 바와 같이, 서비스 관리서버(800)는 도메인 상의 라우팅 정보 및 보안요구 파라미터를 기 구비하는 데이터베이스부(810), 클라이언트들 중 어느 하나의 보안 터널 형성을 위한 인증서 발급 요청에 응답하여 상응하는 라우팅 정보 및 보안요구 파라미터를 검색한 후, 검색 결과에 기초하는 보안 정책을 토대로 인터넷 키 교환 프로토콜 설정 프로파일을 포함하는 인증서를 형성하여 도메인 상의 클라이언트에 발급하기 위한 제어모듈부(820), 보안 터널을 이루는 채널을 제공하기 위한 인터페이스부(830) 및 채 널을 제공하여 도메인 상의 경로를 유지하기 위한 네트워크 관리 프로토콜부(840)를 포함한다.
여기서, 제어모듈부(820)는 클라이언트들 중에서 보안 터널을 형성하기 위한 상대방 클라이언트가 외부 도메인에 위치하는 경우, 외부 도메인에 상응하는 다른 서비스 관리서버와 라우팅 접속하여 보안 정책을 확립하기 위한 협상을 실행한다.
더 나아가, 인터넷 키 교환 프로토콜 관리 시스템에서의 클라이언트가 포함되는 인터넷 키 교환 프로토콜 협상지원 모듈은 상대방 파티와 보안 채널을 형성하기 위한 인증서 발급을 해당 서비스 관리서버에 요청하는 인증 요청부, 인증 요청에 대해 응답하는 서비스 관리서버가 상응하는 라우팅 정보 및 보안요구 파라미터를 검색한 후, 검색한 결과를 기초로 인터넷 키 교환 프로토콜 설정 프로파일을 포함하여 발급하는 인증서를 수신하는 인증 수신부, 수신한 인증서에 포함되는 인터넷 키 교환 프로토콜 설정 프로파일을 파싱하여 내부 설치하기 위한 프로파일 설치부, 및 상대 파티인 다른 클라이언트와 접속하여 인터넷 키 교환을 위한 협상을 개시하는 프로파일 버전관리부를 포함한다.
상기에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
또한, 본 발명은 암호 키를 유지하고 관리하는 기능을 제공하는 인터넷 키 교환 프로토콜이 보호 프로토콜의 종류에 따른 다양한 요구사항을 만족시키기 위해서 호환적이지만 다소 복잡한 방식으로 디자인됨에 따라, 보안 정책과 인터넷 키 교환 프로토콜의 옵션을 포함하는 다양한 파라미터들을 수동적으로 설정하여야 하는 등의 문제점을 보완하기 위한 새로운 방식의 인터넷 키 교환 프로토콜 관리 기법을 구현하기 위한 것임에 따라, 시판 또는 영업의 가능성이 충분할 뿐만 아니라 현실적으로 명백하게 실시할 수 있는 정도이므로 산업상 이용가능성이 있는 발명이다.
도 1은 본 발명의 일실시 예에 따른 인터넷 키 교환 프로토콜 관리 시스템의 구성도,
도 2는 도 1에 도시된 인터넷 키 교환 프로토콜 관리 시스템상의 인터넷 키 교환 프로토콜의 동작을 나타내는 표,
도 3은 도 2에 나타내는 인터넷 키 교환 프로토콜의 설정정보인 인터넷 키 교환 프로토콜 설정 프로파일을 예시하는 표,
도 4는 도 1에 도시된 인터넷 키 교환 프로토콜 관리 시스템에서 적용되는 보안요구 파라미터 및 보안 정책을 설명하기 위한 도면,
도 5는 도 1에 도시된 인터넷 키 교환 프로토콜 관리 시스템에서 적용되는 인증서 구조를 나타내는 도면,
도 6은 도 1에 도시된 인터넷 키 교환 프로토콜 관리 시스템의 동작과정을 나타내는 순서도,
도 7은 본 발명의 다른 실시 예에 따른 인터넷 키 교환 프로토콜 관리 시스템의 구성도,
도 8은 도 7에 도시된 인터넷 키 교환 프로토콜 관리 시스템의 동작과정을 나타내는 순서도, 및
도 9는 도 1 또는 도 7에 도시된 인터넷 키 교환 프로토콜 관리 시스템에서의 서비스 관리서버의 구성도이다.
< 도면의 주요 부분에 대한 부호의 설명 >
100, 400 : 제 1 클라이언트 200, 600 : 제 2 클라이언트
300, 800 : 서비스 관리서버 500 : 제 1 서비스 관리서버
700 : 제 2 서비스 관리서버 810 : 데이터베이스부
820 : 제어모듈부 830 : 인터페이스부
840 : 네트워크 관리 프로토콜부

Claims (22)

  1. 도메인 내의 제 1 클라이언트;
    상기 제 1 클라이언트와 보안 터널을 형성하는 제 2 클라이언트; 및
    상기 제 1 클라이언트로부터 상기 보안 터널의 형성을 위한 인증서 발급 요청에 응답하여 상응하는 라우팅 정보 및 보안요구 파라미터를 검색한 후, 검색 결과로 이루어지는 보안 정책을 기초로 인터넷 키 교환 프로토콜 설정 프로파일을 포함하는 인증서를 형성하여 상기 제 1 클라이언트 및 상기 제 2 클라이언트에 발급하기 위한 서비스 관리서버를 포함하는 것을 특징으로 하는 인터넷 키 교환 프로토콜 관리 시스템.
  2. 제 1 항에 있어서, 상기 제 1 클라이언트는
    상기 제 1 클라이언트와 상응하는 인터넷 키 교환 프로토콜 설정 프로파일을 파싱하여 설치한 후, 상기 제 2 클라이언트와의 접속을 통해 인터넷 키 교환에 대한 협상을 개시하는 것을 특징으로 하는 인터넷 키 교환 프로토콜 관리 시스템.
  3. 제 2 항에 있어서, 상기 제 2 클라이언트는
    상기 협상에 대한 요구 메시지를 수신하는 경우, 상기 제 2 클라이언트와 상응하는 인터넷 키 교환 프로토콜 설정 프로파일의 유효 여부를 판별하여 그 판별 결과를 상기 제 1 클라이언트에 메시지로 전달하는 것을 특징으로 하는 인터넷 키 교환 프로토콜 관리 시스템.
  4. 제 3 항에 있어서, 상기 제 1 클라이언트 또는 상기 제 2 클라이언트는
    상응하는 인터넷 키 교환 프로토콜 설정 프로파일이 유효하지 않은 경우, 상기 서비스 관리서버에 해당 인증서의 업 데이트를 요청하여 업 데이트되는 다른 인증서를 제공받는 것을 특징으로 하는 인터넷 키 교환 프로토콜 관리 시스템.
  5. 제 4 항에 있어서, 상기 제 2 클라이언트는
    상응하는 인터넷 키 교환 프로토콜 설정 프로파일의 버전이 상기 제 1 클라이언트보다 떨어지는 경우, 상기 서비스 관리서버에 접속하여 상기 다른 인증서를 제공받은 후 상기 제 1 클라이언트와의 인터넷 키 교환에 대한 협상을 지속하는 것을 특징으로 하는 인터넷 키 교환 프로토콜 관리 시스템.
  6. 제 1 항에 있어서, 상기 인터넷 키 교환 프로토콜 설정 프로파일은
    상기 제 1 클라이언트 및 상기 제 2 클라이언트의 IP 주소, 상기 보안 터널의 형성에 요구되는 프로토콜, 인증된 공유 키에 대한 암호화 알고리즘 및 SA(Security Association) 라이프 타임을 포함하는 정보인 것을 특징으로 하는 인터넷 키 교환 프로토콜 관리 시스템.
  7. 제 1 항에 있어서, 상기 서비스 관리서버는
    상기 제 1 클라이언트 및 상기 제 2 클라이언트에 각각 상응하는 인증서의 확장자 필드에 해당 인터넷 키 교환 프로토콜 설정 프로파일을 저장한 후, 상기 각 인증서를 발급하는 것을 특징으로 하는 인터넷 키 교환 프로토콜 관리 시스템.
  8. 제 7 항에 있어서, 상기 서비스 관리서버는
    상기 각 인증서의 확장자 필드 중 객체대체 이름(Subject alternative name)에 상응하는 인터넷 키 교환 프로토콜 설정 프로파일을 저장하는 것을 특징으로 하는 인터넷 키 교환 프로토콜 관리 시스템.
  9. 제 1 클라이언트로부터 제 2 클라이언트와의 보안 채널을 형성하기 위한 인증서 발급 요청을 수신하는 인터넷 키 교환 프로토콜 초기화 실행 단계;
    상기 발급 요청에 응답하여 기 구비된 데이터베이스를 토대로 상응하는 라우팅 정보 및 보안요구 파라미터를 검색하는 정보검색 단계; 및
    검색 결과로 인한 보안 정책을 기초로 인터넷 키 교환 프로토콜 설정 프로파일을 포함하는 인증서를 형성하여 상기 제 1 클라이언트 및 상기 제 2 클라이언트에 발급하는 인증서 발급 단계를 포함하는 것을 특징으로 하는 인터넷 키 교환 프로토콜 관리 방법.
  10. 제 9 항에 있어서, 상기 인터넷 키 교환 프로토콜 관리 방법은
    상기 제 1 클라이언트 및 상기 제 2 클라이언트 간의 인터넷 키 교환에 대한 협상이 개시된 후 상기 제 1 클라이언트에 상응하는 인증서 또는 상기 제 2 클라이언트에 상응하는 인증서에 대한 업 데이트 요청이 있는 경우, 해당 인증서를 재발급하기 위한 인증서 재발급 단계를 더 포함하는 것을 특징으로 하는 인터넷 키 교환 프로토콜 관리 방법.
  11. 제 1 도메인 내의 제 1 클라이언트;
    제 2 도메인 내에 위치하여 상기 제 1 클라이언트와 보안 터널을 형성하는 제 2 클라이언트;
    상기 제 1 클라이언트로부터 상기 보안 터널의 형성을 위한 인증서 발급 요청에 응답하여 상응하는 라우팅 정보 및 보안요구 파라미터를 기 구비된 데이터베이스를 토대로 검색한 후, 상기 라우팅 정보를 통해 상기 제 2 클라이언트와 상응하는 제 2 서비스 관리서버에 접속하여 상기 제 2 도메인에 대한 보안요구 파라미터를 제공받아 상기 보안 터널의 형성과 연관된 보안 정책을 구성하는 제 1 서비스 관리서버를 포함하고,
    상기 제 1 서비스 관리서버는,
    상기 보안 정책을 상기 제 2 서비스 관리서버와 공유하여 제 1 인터넷 키 교환 프로토콜 설정 프로파일을 포함하는 제 1 인증서를 상기 제 1 클라이언트에 발급하며,
    상기 제 2 서비스 관리서버는,
    상기 보안 정책을 토대로 제 2 인터넷 키 교환 프로토콜 설정 프로파일을 포함하는 제 2 인증서를 상기 제 2 클라이언트에 발급하는 것을 특징으로 하는 인터넷 키 교환 프로토콜 관리 시스템.
  12. 제 11 항에 있어서, 상기 인터넷 키 교환 프로토콜 관리 시스템은
    상기 제 1 도메인 및 상기 제 2 도메인 간의 연결을 위한 적어도 하나 이상의 라우터를 더 포함하는 것을 특징으로 하는 인터넷 키 교환 프로토콜 관리 시스템.
  13. 제 11 항 또는 제 12 항에 있어서, 상기 제 1 클라이언트는
    상기 제 1 인터넷 키 교환 프로토콜 설정 프로파일을 파싱하여 설치한 후, 상기 제 2 클라이언트와의 접속을 통해 인터넷 키 교환에 대한 협상을 개시하는 것을 특징으로 하는 인터넷 키 교환 프로토콜 관리 시스템.
  14. 제 13 항에 있어서, 상기 제 2 클라이언트는
    상기 협상에 대한 요구 메시지를 수신하는 경우, 상기 제 1 인터넷 키 교환 프로토콜 설정 프로파일 및 상기 제 2 인터넷 키 교환 프로토콜 설정 프로파일을 비교한 결과에 따라 그 유효 여부를 상기 제 1 클라이언트에 전달하는 것을 특징으로 하는 인터넷 키 교환 프로토콜 관리 시스템.
  15. 제 14 항에 있어서, 상기 제 1 클라이언트 및 상기 제 2 클라이언트 중 어느 하나는
    상기 제 1 인터넷 키 교환 프로토콜 설정 프로파일 및 상기 제 2 인터넷 키 교환 프로토콜 설정 프로파일 중 어느 하나가 유효하지 않을 경우, 유효하지 않은 프로파일에 상응하는 인증서의 업 데이트를 상기 제 1 서비스 관리서버 또는 상기 제 2 서비스 관리서버에 요청하여 다른 인증서를 제공받는 것을 특징으로 하는 인터넷 키 교환 프로토콜 관리 시스템.
  16. 제 1 도메인 내의 제 1 클라이언트 및 제 2 도메인 내의 제 2 클라이언트 간의 인터넷 키 교환 프로토콜 관리 방법에 있어서,
    제 1 서비스 관리서버가 상기 제 1 클라이언트로부터 상기 제 2 클라이언트와의 보안 채널을 형성하기 위한 인증서 발급 요청을 수신하는 인터넷 키 교환 프로토콜 초기화 실행 단계;
    상기 발급 요청에 응답하여 기 구비된 데이터베이스를 토대로 상응하는 라우팅 정보 및 보안요구 파라미터를 검색하는 정보검색 단계;
    상기 라우팅 정보를 통해 상기 제 2 클라이언트와 상응하는 제 2 서비스 관리서버와 접속하여 상기 제 2 도메인에 대한 보안요구 파라미터를 제공받아 상기 보안 채널의 형성을 위한 보안정책 형성 단계;
    상기 보안 정책을 상기 제 2 서비스 관리서버와 공유하여 제 1 인터넷 키 교환 프로토콜 설정 프로파일을 포함하는 제 1 인증서를 형성하고, 상기 제 2 서비스 관리서버가 상기 보안 정책을 기초로 제 2 인터넷 키 교환 프로토콜 설정 프로파일을 포함하는 제 2 인증서를 형성하는 인증서 형성 단계; 및
    상기 제 1 서비스 관리서버가 상기 제 1 인증서를 상기 제 1 클라이언트에 발급하고, 상기 제 2 서비스 관리서버가 상기 제 2 인증서를 상기 제 2 클라이언트에 발급하는 인증서 발급 단계를 포함하는 것을 특징으로 하는 인터넷 키 교환 프로토콜 관리 방법.
  17. 제 16 항에 있어서, 상기 인터넷 키 교환 프로토콜 관리 방법은,
    상기 제 1 클라이언트 및 상기 제 2 클라이언트 간의 인터넷 키 교환에 대한 협상이 개시된 후, 상기 제 1 인터넷 키 교환 프로토콜 설정 프로파일 및 상기 제 2 인터넷 키 교환 프로토콜 설정 프로파일 간의 버전 불일치로 인한 상기 제 1 인증서 또는 상기 제 2 인증서의 업 데이트 요청에 응답하여 다른 인증서를 발급하기 위한 인증서 재발급 단계를 더 포함하는 것을 특징으로 하는 인터넷 키 교환 프로토콜 관리 방법.
  18. 삭제
  19. 삭제
  20. 삭제
  21. 클라이언트들 간의 보안 채널을 형성하기 위한 인증서 발급을 요청하는 인증요청부;
    상기 요청에 대한 응답으로 상응하는 라우팅 정보 및 보안요구 파라미터를 검색한 후, 검색결과를 기초로 인터넷 키 교환 프로토콜 설정 프로파일을 포함하여 발급되는 인증서를 수신하는 인증수신부;
    상기 클라이언트들 중 상응하는 제 1 클라이언트에 상기 인터넷 키 교환 프로토콜 설정 프로파일을 파싱하여 설치하기 위한 프로파일 설치부; 및
    상기 클라이언트들 중 상기 보안 채널을 이루는 제 2 클라이언트와 접속하여 인터넷 키 교환에 대한 협상을 개시하기 위한 프로파일 버전관리부를 포함하는 것을 특징으로 하는 인터넷 키 교환 프로토콜 협상지원 모듈.
  22. 제 21 항에 있어서, 상기 프로파일 버전관리부는
    상기 제 2 클라이언트에 발급된 인터넷 키 교환 프로토콜 설정 프로파일의 버전보다 떨어지는 경우, 업 데이트되는 인터넷 키 교환 프로토콜 설정 프로파일의 발급을 요청하는 것을 특징으로 하는 인터넷 키 교환 프로토콜 협상지원 모듈.
KR1020090000880A 2009-01-06 2009-01-06 인터넷 키 교환 프로토콜 관리 시스템 및 방법, 그리고 이에 적용되는 장치 KR101068359B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020090000880A KR101068359B1 (ko) 2009-01-06 2009-01-06 인터넷 키 교환 프로토콜 관리 시스템 및 방법, 그리고 이에 적용되는 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090000880A KR101068359B1 (ko) 2009-01-06 2009-01-06 인터넷 키 교환 프로토콜 관리 시스템 및 방법, 그리고 이에 적용되는 장치

Publications (2)

Publication Number Publication Date
KR20100081579A KR20100081579A (ko) 2010-07-15
KR101068359B1 true KR101068359B1 (ko) 2011-09-28

Family

ID=42641965

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090000880A KR101068359B1 (ko) 2009-01-06 2009-01-06 인터넷 키 교환 프로토콜 관리 시스템 및 방법, 그리고 이에 적용되는 장치

Country Status (1)

Country Link
KR (1) KR101068359B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11943209B2 (en) 2018-11-15 2024-03-26 Huawei Technologies Co., Ltd. Rekeying a security association SA

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002300155A (ja) 2001-03-30 2002-10-11 Tokyo Electric Power Co Inc:The 相互認証方法及び相互認証システム
JP2006270431A (ja) 2005-03-23 2006-10-05 Ntt Communications Kk 呼制御装置、端末、これらのプログラム、及び通信チャネル確立方法
KR20070010536A (ko) * 2005-07-19 2007-01-24 에스케이 텔레콤주식회사 모바일을 이용한 원격 권한인증 시스템 및 방법
KR20080050290A (ko) * 2006-12-01 2008-06-05 한국전자통신연구원 서버 기반 이동 인터넷 프로토콜 버전 6 시스템에서의 보안방법

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002300155A (ja) 2001-03-30 2002-10-11 Tokyo Electric Power Co Inc:The 相互認証方法及び相互認証システム
JP2006270431A (ja) 2005-03-23 2006-10-05 Ntt Communications Kk 呼制御装置、端末、これらのプログラム、及び通信チャネル確立方法
KR20070010536A (ko) * 2005-07-19 2007-01-24 에스케이 텔레콤주식회사 모바일을 이용한 원격 권한인증 시스템 및 방법
KR20080050290A (ko) * 2006-12-01 2008-06-05 한국전자통신연구원 서버 기반 이동 인터넷 프로토콜 버전 6 시스템에서의 보안방법

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11943209B2 (en) 2018-11-15 2024-03-26 Huawei Technologies Co., Ltd. Rekeying a security association SA

Also Published As

Publication number Publication date
KR20100081579A (ko) 2010-07-15

Similar Documents

Publication Publication Date Title
US9673988B2 (en) Systems and methods for certifying devices to communicate securely
US9654453B2 (en) Symmetric key distribution framework for the Internet
US8312532B2 (en) Connection supporting apparatus
US8887296B2 (en) Method and system for object-based multi-level security in a service oriented architecture
US10680830B2 (en) Systems and methods for certifying devices to communicate securely
US20050132229A1 (en) Virtual private network based on root-trust module computing platforms
JP2008160851A (ja) クライアントの地理的位置を使用して保護スイートを決定するネットワークで実施される方法
KR20060044494A (ko) 인증 서버와 연동되는 네트워크 관리 시스템 및 네트워크관리 서버
KR101068359B1 (ko) 인터넷 키 교환 프로토콜 관리 시스템 및 방법, 그리고 이에 적용되는 장치
JP2011054182A (ja) ディジタルバトンを使用するシステムおよび方法、メッセージを認証するためのファイアウォール、装置、および、コンピュータ読み取り可能な媒体
JP2008199497A (ja) ゲートウェイ装置および認証処理方法
CN114245332A (zh) 一种物联网设备的dtls连接建立方法及系统
CN114553414B (zh) 基于https服务的内网穿透方法及系统
Zhao et al. Neoman: Negotiation management method for ike protocol based on x. 509

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20140617

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20150703

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee