KR101231483B1 - 보안 패킷 송신을 위한 암호화 방법과 네트워크에서의 패킷처리 방법 - Google Patents

Abstract

네트워크의 엔드포인트들(120, 140) 간에 패킷을 보안 송신하기 위한 방법이 제공된다. 일 측면에서, 현존하는 홉 바이 홉 보안 관련성을 사용하여 단부간 키를 확립하는 방법이 제공된다. 제 2 측면에서, 패킷 p를 암호화하기 위해 패킷 특정 암호화 키 PEK가 사용되는 방법이 제공된다. 키 PEK의 서명은 두 개의 노드에 의해 공유되는 무결성 키를 사용하여 두 개의 노드의 각각에서 독립적으로 계산된다. 서명은 패킷 p와 관련하여 두 개의 노드 중의 하나로부터 다른 노드로 송신된다. 수신 노드는 그 서명을 사용하여 그 패킷 p가 PEK를 소유하는 개체에 의해 생성되었는지를 검증한다.

Description

보안 패킷 송신을 위한 암호화 방법과 네트워크에서의 패킷 처리 방법{ENCRYPTION METHOD FOR SECURE PACKET TRANSMISSION}

본 발명은 무선 시스템에서의 보안 및 인증에 관한 것으로, 특히 패킷 데이터를 송신하고 수신하는 무선 시스템에 관한 것이다.

3세대 및 그 이상의 무선 시스템과 같은 현재의 무선 시스템은 초당 수 백 및 수천 킬로미터의 전송 레이트로 패킷 데이터를 송신하고 수신하도록 적응되고 있다. 예시를 통해, 도 1은 "유니버셜 모바일 텔레커뮤니케이션 시스템"에 대한 "UMTS"로 지칭되는 3세대 무선 시스템의 하나의 타입의 고레벨 아키텍처를 나타낸다. 도시된 바와 같이, 모바일 사용자 터미널(10)은 기지국(20)과 공중 인터페이스를 통해 통신한다. 기지국은 또한 본 명세서에서 "노드 B"로 지칭될 수도 있다. 기지국(20)은 귀로 네트워크(backhaul network)(30)와 통신하며, 이 네트워크는 무선 네트워크 제어기(RNC)(40), 인증 센터(AuC)(50), 모바일 스위칭 센터(MSC)(60),및 도시된 바와 같이 SGSN 및 GGSN의 기능을 조합하는 엘리먼트(70)를 포함한다.

RNC는 RNC에 접속된 기지국 세트를 제어한다. 그 기능은 무선 리소스를 관 리하는 것이다. 가령, 그것은 호출의 셋업 및 해체(tear-down)와, 음성 및 데이터 트래픽의 처리를 제어한다. 또한, 그것은 셀들간의 하드 핸드오프 및 소프트 핸드오프를 관리한다.

AuC는 네트워크에 로그온할려는 자가 누구인지를 인증한다. 특히, AuC는 입력 사용자 터미널에 위치된 SIM 카드를 인증한다. 각각의 가입자에 대해, 가입자와 AuC 간에는 고유의 비밀키가 공유된다. AuC는 입력 가입자에게 공유키로 해쉬되거나 암호화될 랜덤 수(random number)를 전송함으로써 입력 가입자에 신청하고, 그 결과는 AuC에 리턴된다. 리턴된 결과가 동일한 동작으로부터의 AuC 자체의 결과와 매칭되면, 사용자는 네트워크에 가입될 것이다. AuC와 사용자 간에 공유되는 비밀 정보는 또한 암호화 키 CK를 생성하는 데 사용되며, 이 암호화 키는 사용자 및 기지국이 공중을 통해 서로 통신할 때 보안을 제공한다.

이와 관련하여 주목할 것은 다른 표준, 가령 소정의 북미 CDMA 표준에 의하면 사용자 터미널로서 동작하는 셀룰러 전화기는 SIM 카드를 포함하지 않는다는 것이다. 대신에, 제조자에 의해 셀룰러 전화기 하드웨어 내에 전자 일련 번호(ESN)가 삽입된다. 또한, 무선 캐리어는 모바일 식별 번호(MIN)에 의해 셀룰러 전화기를 식별할 수 있다. ESN 및 MIN은 식별을 위해 함께 사용될 수 있으며, 인증 및 보안 절차에서 사용될 수 있다. 또한 주목할 것은 3GPP2에 대한 북미 표준을 포함하는 소정의 표준에 의하면 AuC의 기능과 유사한 기능이 "AAA 서버"로 지칭되는 네트워크 엘리먼트에 의해 수행될 수 있으며, 여기서, "AAA"는 인증, 허가 및 회계보고를 나타낸다.

도 1을 다시 참조하면, MSC는 무엇보다도 서비스 영역 내에서 로밍하고 있는 사용자에 대한 회선 교환 호출 및 이동성 관리를 지원하는 전화 교환기이다. 데이터는 유선 네트워크로부터 MSC로 디지털 인코딩 형태로 직접 전달될 수 있다. 도면에 도시된 바와 같이, MSC는 공중 교환 전화 네트워크(PSTN)에 접속한다. AuC는 MSC를 통해 간접적으로 동작하여 인증 기능을 수행한다.

SGSN("서빙 GPRS 지원 노드")는 서빙 영역 내의 사용자의 터미널의 위치를 트랙킹하고, 빌링 및 보안 기능을 지원하며, RNC를 향해 다운링크 패킷을 터널링하며(tunnel), RNC로부터 업링크 패킷을 디터널링(detunnel)한다. 패킷의 터널링 및 디터널링은 GPRS 터널링 프로토콜(GTP)에 따라 수행되며, 무엇보다도 이 프로토콜은 모바일 사용자가 이동중에 인터넷 접속을 유지할 수 있게 한다.

GGSN("게이트웨이 GPRS 지원 노드")은 외부 패킷 데이터 네트워크와 관련하여 IP 라우터로서 기능한다. 도면에 도시되는 바와 같이, GGSN은 "IP 네트워크"에 접속한다. GGSN은 또한 보안 및 빌링 기능을 지원한다. GTP에 따라, GGSN은 외부 패킷 네트워크 상에서 이송되는 통상의 IP 패킷과 UMTS 코어 네트워크 내에서 터널링되는 GTP 패킷 간의 변환을 수행한다. 외부 패킷 네트워크에 대해, 그것은 비록 이동중일 지라도 사용자를 통해 GGSN에 고정된 것처럼 보인다.

이와 관련하여 주목할 것은 소정의 북미 CDMA 표준과 같은 다른 표준에 의하면 RNC가 SGSN 대신에 PDSN에 접속되어 있다는 것이다. 다시 PDSN은 홈 에이전트(HA)에 접속되어 있다. 또한, PDSN과 RNC 간에서 기지국으로의 통신을 위해 사용되는 터널링 프로토콜은 GTP를 포함하지 않는다. 가령, IEEE 802.16 기반 WiMAX 시스템과 같은 다른 시스템 및 표준은 액세스 게이트웨이(AGW)에 접속된 기지국으로 구성되는 상이한 계층을 사용한다. 전체적으로, 세부사항은 상이하더라도 기능은 유사하다.

기지국은 통상적으로 노출된 위치에 존재하며, 따라서 물리적 침입에 대해 비교적 보안성이 떨어진다. 한편, RNC, MSC, SGSN 및 GGSN은 통상적으로 중앙 오피스(central offices)에 위치하며, 여기서 민감한 네트워크 정보가 도청, 탬퍼링(tampering), 사보타즈(sabotage) 및 도난으로부터 보호될 수 있다.

따라서, 보안 관련 기능의 교환은 물리적으로 안전한 네트워크 엘리먼트의 교환으로 한정되는 반면, 기지국은 암호화된 메시지를 해독하지 않고도 오직 암호화된 데이터를 포워딩하도록만 동작한다. 물리적으로 안전한 네트워크 엘리먼트가 동일한 방식으로 안전한 네트워크에 의해 상호접속되어 있다고 가정되기 때문에, 일반적으로 네트워크 엘리먼트들 간에 보안 터널링을 부가적으로 셋업하기 위한 필수 요건이 존재하지 않는다.

개선된 다양한 아키텍처들이 제안되며, 이 아키텍처는 소정의 네트워크 엘리먼트에서 노출을 보다 더 크게 하며 물리적 보안성을 저하시킬 수 있다. 가령, BSR(기지국 라우터)와 같은 플랫 IP 아키텍처는 RNC, SGSN 및 GGSN의 대부분의 기능을 기지국 내로 통합한다. (다른 버전의 SRR 아키텍처는 UMTS 아키텍처보다는 SAE/LTE 아키텍처와 관련된다. 이러한 제 2 타입의 BSR에서, eNB, MME 및 UPE는 기지국 내로 통합된다. 제각기의 선행 약자는 "enhanced Node B", "Mobility Management Entity" 및 "User Plane Entity"를 나타낸다.)

따라서, 도 2는 가령, BSR(90)과 무선 통신 상태에 있는 모바일 사용자(80)를 도시하며, 이 BSR은 다시 AuC(100), SIP 서버(110), IP 네트워크 및 PSTN을 포함하는 귀로 네트워크에 접속된다. 도시된 바와 같이, IP 네트워크는 BSR을 AuC 및 SIP 서버에 접속한다. SIP("세션 개시 프로토콜")는 VoIP 뿐만 아니라 여러 종류의 매체를 포함한 다른 타입의 대화형 사용자 세션에 대한 인터넷 시그널링 프로토콜이다. 도면에서, SIP 서버 블럭은 VoIP 등에 대한 모든 지원 기능을 나타내는 것을 의미한다.

BSR 및 유사한 아키텍처에서, 암호화 및 다른 보안 관련 기능, 및 평탄한 키 및 다른 정보가 물리적으로 노출된 위치에 배치될 수 있다. 또한, BSR은 도청 및 탬퍼링에 대해 공격받기 쉬운 공중 IP 네트워크를 통해 외부 접속을 수행할 수 있다. 그러한 노출의 증가로 인해, 악의의 행위에 대한 새로운 보안을 위한 필요성이 존재한다.

그러나, 귀로 네트워크의 물리적 보호가 보장되지 않기 때문에, 적어도 부분적으로는 그러한 새로운 보안에 대해 논리적으로 기반을 형성하는 것이 바람직하다. 한편, 새로운 논리 기반의 보안은 가령 일부의 무선 표준과의 호환성 부족으로 인해 또는 무선 표준에 일치되는 동안 인터넷 표준과의 호환성 부족으로 인해 반대에 직면할 수도 있다.

따라서, 특히 필요로 하는 것은 단부간에, 가령 무선 사용자 터미널과 IP 네트워크의 노드 간에 또는 IP 네트워크를 통해 접속된 두개의 무선 사용자 터미널 간에서의 악의의 공격에 대한 효과적인 보안을 위한 것이며, 또한 이러한 보안은 기존의 IP 표준에 대한 커다란 변경없이도 구현될 수 있다.

본 출원인은 이러한 보안 방법을 개발했다. 따라서, 본 발명은 링크로 상호 접속된 노드들의 네트워크 내의 두 개의 엔드포인트 노드 A 및 B 간에서 패킷 p를 송신하는 것을 포함한다.

본 발명의 제 1 실시예에 의하면, 현존하는 홉 바이 홉 보안 관련성(extant hop-by-hop security associations)을 사용하여 단부간 키(end-to-end key)가 확립된다. 이와 관련하여 정보를 "단부간"에 송신하는 것은 임의의 쌍의 네트워크 개체 간에 전송하는 것을 의미하며, 여기에는 한 타입의 네트워크 또는 프로토콜에서 다른 타입의 네트워크 또는 프로토콜로의 전이, 한 가입자 네트워크에서 다른 가입자 네트워크로의 전이, 또는 한 서비스 제공자에서 다른 서비스 제공자로의 전이가 존재하거나, 또는 사용자 터미널이 배치되거나 또는 메시지에 대한 임의의 다른 종류의 엔드포인트가 존재한다.

가령, 노드 A는 노드 B와의 단부간 키 패킷 암호화 키(PEK)를 확립한다. 이 키를 확립하기 위해 필요한 정보가 현존하는 홉 바이 홉 보안 관련성을 사용하여 노드 A와 B 사이에서 안전하게 이송된다. 키 PEK는 패킷에 특정적이다. 패킷 p는 키 PEK로 암호화되어 노드 A로부터 노드 B로 송신된다.

특정의 실시예에서, 키 PEK는 노드 A에서 생성되어 네트워크를 통해 노드 B로 송신된다.

다른 특정의 실시예에서, 노드 A는 노드 B와의 세션을 확립한다. "세션"이라는 것은 시작 및 종료점을 갖는 시간 기간 동안 개개의 IP 어드레스를 갖는 개체들 간의 데이터 패킷의 교환을 위한 상호간의 합의를 의미한다. 노드 A 및 B는 모두 적어도 하나의 세션 키 SEK를 획득한다. 가령, 노드 A는 세션 키 SEK를 생성하고 이를 노드 B에 송신할 수 있다. 다음에, 노드 A 및 B는 각각 적어도 세션 키 SEK로부터 그리고 패킷 p의 고유 특성으로부터 알려진 알고리즘을 사용하여 패킷 특정 암호화 키 PEK를 독립적으로 생성한다. 세션 키는 현존하는 홉 바이 홉 보안 관련성을 사용하여 노드 A로부터 노드 B로 안전하게 송신된다.

노드 A로부터 노드 B로의 네트워크 경로의 적어도 하나의 홉(hop)은 무결성 키를 공유하는 한 쌍의 노드들 간에서 발생할 수 있다. 가령, 노드 A는 서빙 기지국 송수신기 노드와 무결성 키를 공유하는 무선 사용자 터미널일 수 있다. 유사하게도, 노드 B는 서빙 기지국 송수신기 노드와 무결성 키를 공유하는 무선 사용자 터미널일 수 있다. "기지국 송수신기 노드"는 기지국, 노드 B, 기지국 송수신기, BSR, 또는 유사한 기능을 갖는 무선 네트워크의 임의의 다른 엘리먼트를 의미한다.

본 발명의 제 2 실시예는 패킷 p를 암호화하는 데 패킷 특정 암호화 키 PEK가 사용되는 방법을 포함한다. 키 PEK의 서명은 두 개의 노드의 각각에서 두 개의 노드에 의해 공유되는 무결성 키를 사용하여 독립적으로 계산된다. 서명은 패킷 p와 관련하여 두 개의 노드 중의 하나로부터 다른 노드로 송신된다. 수신 노드는 이 서명을 사용하여 패킷 p를 검증한다.

이와 관련하여, 패킷을 검증한다는 것은 패킷의 생성자가 PEK를 소유한다는 것을 검증하는 것을 의미한다. 주목할 것은 패킷의 검증은 전적으로 그 패킷이 가령 탬퍼링과 같은 허가받지 않은 변경을 갖지 않을 것을 보장하는 것이 아니라는 것이다.

특정 실시예에서, 무결성 키를 공유하는 노드는 그 키를 제공하는 무선 사용자 터미널 및 기지국 송수신기 노드이다.

특정 실시예에서, 패킷 p는 제 1 무선 사용자 노드 A로부터 네트워크를 통해 제 2 무선 사용자 노드 B로 송신된다. 패킷을 제공하는 사용자 노드 A 및 기지국 송수신기 노드는 키 PEK의 서명을 사용하여 패킷 p의 진본을 검증하며 패킷을 제공하는 사용자 노드 B 및 기지국 송수신기 노드에 대해 마찬가지의 검증을 수행한다.

도 1은 종래 기술의 UMTS 시스템의 고레벨 블럭도이다.

도 2는 BSR을 사용하는 무선 시스템의 고레벨 블럭도이다.

도 3은 IP 네트워크를 통해 다수의 홉을 경유하여 서로 통신하는 BSR을 통해 서로 접속되어 있는 두 개의 모바일 사용자 터미널의 고레벨 블럭도이다.

도 4는 사용자가 세션을 개시하며 세션 코드를 타겟 사용자에게 배포하는 실시예의 절차의 플로우챠트이다.

도 5는 개시 사용자가 패킷을 타겟 사용자에 송신하는 실시예의 절차의 플로우챠트이다.

도 6은 타겟 사용자 및 BSR이 개시 사용자에 의해 송신된 패킷을 인증하는 실시예의 절차의 플로우챠트이다.

도 7은 전술한 소정의 방법과 관련하여 사용될 수 있는 패킷 포맷의 개략적 도면이다.

예시의 목적을 위해, 본 출원인은 본 발명의 방법이 UMTS 네트워크의 문맥에 적용된다는 것을 기술한다. 그러나, 주목할 것은 기술될 방법은 매우 일반적인 것이라는 것이다. 가령, 본 발명의 방법은 GSM과 UMTS 표준이 두 개의 유일한 예인 표준의 광범위 중의 임의의 하나에 일치하는 무선 서비스의 문맥에 적용될 수 있다. 또한, 액세스 기술이 유선 뿐만 아니라 무선인 문맥에서도 본 방법이 적용될 수 있다. 또한, 본 방법은 가령 종래의 무선 서비스 뿐만 아니라 애플리케이션 레벨 서비스 가령 VoIP를 포함하는 다양한 종류의 서비스의 문맥에서도 적용될 수도 있다. 또한, 본 방법이 제공하는 보안 개선점은 하드웨어 개체로서의 액세스 터미널들 간의 보안과 관련될 수 있거나, 사용자들 간, 즉 서비스에 대한 가입자로서 식별되는 사용자들 간의 보안과 관련되는 동일한 효과를 가질 수도 있다.

전술한 바와 같이, UMTS 네트워크에서의 인증 센터(AuC)는 그 네트워크에 대해 서명을 시도하는 가입자의 터미널에 배치되는 SIM 카드를 인증한다. 인증 절차는 가입자와 AuC 간에 공유되는 비밀 키에 의존한다. 특히, "루트 키"로 지칭되는 정적 키(static key)는 가입자의 SIM 카드 내에 저장되며, 또한 무선 네트워크 내에 저장된다. 전형적인 UMTS 네트워크에서, 루트 키는 AuC 내에 저장되지만, 홈 위치 레지스터(HLR)와 같은 다른 네트워크 엘리먼트에 저장될 수도 있다. 사용자 터미널 및 네트워크 각각은 루트 키로부터 암호화 키 CK 뿐만 아니라 무결성 키 IK를 국부적으로 생성한다. 주목할 것은 GSM, TDMA 및 CDMA와 같은 다양한 무선 표준이 인증 및 보안을 위한 유사한 절차를 기술한다는 것이다.

도 3에 도시된 바와 같은 예시적인 시나리오에서, 사용자 터미널(120)은 BSR과의 공중을 통한 통신을 통해 가령 전술한 바와 같이 네트워크에 대해 자체적으로 인증을 수행한다. 터미널(120)은 사용자 터미널(140)과의 세션을 확립하며, 이 터미널(14)은 BSR(150)에 의해 서비스를 제공받는다. 세션이 확립되는 절차는 전형적으로 잘 알려진 표준에 따라 수행될 것이며, 따라서 본 명세서에서 세부적으로 기술될 필요는 없다. 그러한 표준의 예는 광대역 무선 문맥에서 3GPP 및 3GPP2 표준 뿐만 아니라 IEEE 802.16 WiMax 표준이다.

도면에서, BSR이 서로 통신하는 IP 네트워크는 세 개의 서버(161, 162, 163)로 표현된다. 도면은 순수하게 교시 목적이며 IP 네트워크 내의 노드 또는 서버의 개수, 또는 사용자 또는 BSR의 개수 등에 대해 제한하는 것으로서 이해되어서는 안된다.

사용자 터미널(120) 및 BSR(130) 간의 통신은 암호화에 의해 효과적으로 보호된다. 전술된 바와 같이, 가령 UMTS 시스템에서, 통신은 전형적으로 암호화 키 CK와의 암호화와 다른 키 IK를 사용하여 보호되어 사용자 터미널과 BSR 간에 교환된 메시지의 무결성을 보장한다. 무선 사용자 터미널 및 BSR로 구성되는 다른 노드는 마찬가지로 그 자신의 암호화 키 및 무결성 키를 가질 것이다. 따라서, 터미 널(120)과 BSR(130) 간의 링크는 도면에서 키(171)에 의해 보호되는 것으로 도시되며, 이 키(171)는 보다 일반적으로 키의 벡터(a vector of keys)일 수 있다. 마찬가지로, 터미널(140)과 BSR(150) 간의 링크는 키(172)에 의해 보호된다.

BSR(130) 및 BSR(150)이 통신하는 IP 네트워크 또는 다른 네트워크는 암호화를 사용하여 송신되는 메시지를 보호할 수 있다. 가령, 그러한 목적을 위한 암호화의 사용을 기술하는 다양한 IETF 표준이 존재한다. 가령, IETF 표준에서 기술되는 IPSec (인터넷 보안) 아키텍처는 패킷 페이로드 내의 데이터를 암호화하기 위한 인캡슐레이팅 보안 페이로드(ESP)와 같은 프로토콜을 포함한다.

전형적으로, 각각의 홉은 상이한 암호화 키에 의해 보호될 것이다. 따라서, 일 예를 통해, 도 3은 키(173-176) 중의 제각기의 키에 의해 보호되는 IP 네트워크의 각각의 링크를 나타낸다.

일반적으로 전술한 홉 바이 홉 보안 방법을 사용하는 것은 가령 도 3의 사용자 터미널(120)과 터미널(140)과 같은 네트워크 노드들 간의 통신을 위해 효과적일 것이다. 이제 다른 보안 방법이 기술될 것이며, 이 방법은 네트워크에서 노출된 지점에서 도청 및 탬퍼링에 대한 개선된 보호를 제공한다.

도 4에 기술된 절차와 관련하여, "사용자 A"로 표시된 개시 사용자는 "사용자 B"로 표시된 타겟 사용자와의 세션을 확립하고자 한다. 특히, 개시 및 타겟 노드들은 네트워크 내의 임의의 노드일 수 있으며, 무선 사용자 터미널 등으로 제한되지는 않는다. 블럭 180에서, 세션은 잘 알려진 방법에 따라 확립된다. 블럭 190에서, 사용자 A와 "BSR-A"로 표시되는 그 서빙 BSR 간에 암호화 키 CK_A,BSR-A과 무결성 키 IK_A,BSR-A가 확립된다. 주목할 것은 이러한 절차는 BSR 문맥에서 예시 목적으로만 기술되며 제한용으로 기술되지 않으며, 다양한 종류의 통신 네트워크에서 유용한 애플리케이션을 찾을 것이라는 것이다.

세션 키 SEK가 생성되어 블럭 200에서 표시되는 바와 같이 사용자 A와 BSR-A간에서 교환된다. 특히 세션 키는 두 개 이상의 키의 벡터일 수 있다. 가령, 키들의 벡터는 세션을 암호화하기 위한 하나 이상의 키와, 패킷을 인증하기 위한 하나 이상의 다른 키를 포함할 수 있다. 간략화를 위해, 단일의 세션 키 SEK를 지칭하지만, 명심할 것은 사실상 두 개 이상의 키의 벡터가 사용될 수 있다는 것이다.

세션 키 SEK는 전형적으로 사용자 A에 의해 생성되어 사용자 A와 BSR-A 간에 확립된 암호화 키의 보호 하에 BSR-A로 송신된다. 그러나, 다른 배열이 가능하다. 가령, BSR-A가 그 키를 생성하여 그것을 사용자 A에 송신할 수 있거나, 또는 제 3 자가 그 키를 사용자 A 및 BSR-A에 배포하거나, 또는 사용자 A 및 BSR-A가 각각 사전 배열된 알고리즘 및 공유 데이터 조각을 사용하여 그 키를 국부적으로 계산할 수도 있다. 어떠한 경우에도, 세션 키를 생성하기 위한 알고리즘은 널리 알려져 있으며, 본 명세서에서 상세하게 기술될 필요는 없다. 가령, 3GPP 및 3GPP2 표준에는 적당한 알고리즘이 기술된다. 하나의 특정 예는 3GPP2 표준에서 기술되는 개선된 암호화 알고리즘(ECA)에 의해 제공된다.

도 4의 블럭 210 및 220에서 표시되는 바와 같이, 세션 키는 홉 바이 홉 암 호화의 보호 하에 BSR-B 및 사용자 B에 포워딩된다. 즉, 세션 키가 그 홉의 엔드포인트들 간에서의 보안 관련성에 따라 제공되는 암호화 키에 의해 각각의 홉 상에서 보호된다. 결과적으로, 세션 키는 도 3의 노드(161-163)의 각각과 같은 각각의 중간 노드에서 해독될 수 있으며, 현재의 노드와 다음의 노드 간의 보안 관련성에 따라 재암호화될 수도 있다. 최종 홉의 경과시, BSR-B로부터 사용자 B로의 세션 키는 전형적으로 사용자 B가 그 네트워크에 대해 자체적으로 인증할 때 확립된 암호화 키를 사용하여 암호화될 것이다.

도 5를 참조하면, 블럭 230에서 사용자 A는 사용자 B로 송신될 패킷을 생성한다. 송신될 그 각각의 패킷에 대해, 사용자 A는 그 패킷 자체에 특정된 패킷 암호화 키 PEK를 계산한다. 가령, 키 PEK는 세션 키 및 패킷의 고유 특성을 포함하는 입력으로부터 계산될 수 있다. 사용될 패킷의 다른 특성은 시퀀스 번호 또는 동기화된 카운터 값이다. 따라서, 가령 키 PEK가 카운터 값과 세션 키 사이에서 가령 XOR과 같은 논리 동작을 수행하여 생성될 수 있다. 다수의 세션 키가 존재하는 경우, 하나의 세션 키는 특히 키 PEK를 생성하는 데 사용될 것으로 표시될 수 있다. 알 수 있는 바와 같이, 각각의 패킷에 대한 키 PEK는 BSR-A, BSR-B 및 사용자 B에서 국부적으로 계산될 것이다.

도 5의 블럭 240에서 표시되는 바와 같이, 사용자 A는

로 표시되는 키 PEK의 서명을 계산한다. 물론, 다른 입력, 가령 랜덤 번호, 암호화 동기 파라미터, 가입자 프로파일 ID (SPID) 등과 같은 입력이 서명 계산에 포함될 수도 있다. 특히, 전적으로 비밀은 아니지만 시간에 의존하는 파라미터들이 포 함될 수 있다.

블럭 250에서 표시된 바와 같이, 사용자 A는 대응하는 패킷과 관련하여 서명을 BSR-A에 송신한다. 이 서명은 패킷에, 가령 헤더의 일부로서 부착될 수 있다. 대안으로서, 서명은 가령 제어 채널에서 대역 외부 송신으로 송신될 수 있다. 블럭 260에 표시된 바와 같이, BSR-A는

의 국부적 계산을 독립적으로 수행한다.

주목되는 바와 같이,

는 관련된 두 개의 노드들 간에서 공유되는 무결성 키를 사용하여 계산될 수 있으며, 상기 무결성 키는 본 실시예의 경우 사용자 A와 BSR-A 간에 공유되는 무결성 키이다. 서명

는 전형적으로 PEK보다 짧을 것이다. 가령, 그것은 암호화 압축 또는 해쉬 기능의 결과일 수 있다. 그러한 기능은 다른 양, 가령 PEK의 지식을 적법하게 공유하는 개체들에게 알려진 랜덤 논스(random nonces) 및 카운터 값과 함께 입력으로서 PEK를 가질 수 있다. 그러한 기능은 당해 기술분야에서 널리 알려져 있으며 본 명세서에서 기술될 필요는 없다. 이 문맥에서 유용한 기능의 일 예는 보안 해쉬 기능 1 (SHA-1)이며, 이는 IETF의 HMAC 표준에서 사용된다.

와 같은 서명의 목적은 소정의 링크를 통해 패킷의 송신자가 패킷을 소유하고 있을 뿐만 아니라 키 PEK와 그 서명을 생성하는 데 사용되는 키를 소유하고 있다는 것을 검증하는 것이다. 물론, 보다 큰 블럭의 데이터, 가령 패킷 페이로드의 서명을 계산할 수 있을 것이다. 그러나, PEK 서명이 효과적인데, 그 이유는 그 서명이 사용자 터미널 및 BSR에서 계산 리소스에 대한 요구를 크게 감소시키지 않으면서 효과적인 패킷 검증을 제공하기 때문이다.

전술한 일예의 네트워크에서, 소정의 링크는 사용자 A로부터 BSR-A로의 링크일 수 있거나, 도시된 바와 같이 BSR-B로부터 사용자 B로의 링크일 수 있다. 이러한 링크들이 공중을 통하고 있기 때문에, 이들 링크들은 특히 하나의 세션에 위조 패킷이 주입되거나, 가령 변경된 이후에 그 세션 내로 구 패킷(old packet)이 주입되는 공격들에 대해 공격받기 쉽다. PEK가 송신되지 않기 때문에, 공격자에 의해 인터셉터될 수는 없다. 대신에, 공격자는 그것을 계산할 필요는 있지만 이것은 단지 세션 코드가 다른 정보와 함께 인터셉트되는 다른 경우에만 가능하다. 따라서, 인터로핑 패킷(interloping packet)은 링크의 수신 단에서 검출되고 제거될 수 있다. 따라서, 블럭 270에서 표시된 바와 같이, BSR-A는

의 국부 계산 값이 사용자 A로부터 수신된 값과 매칭되는 경우에만 그 패킷을 진본으로 받아들일 것이다. 만약 그 패킷이 받아들여지면, BSR-A는 블럭 280에 표시된 바와 같이, 그 패킷을 네트워크를 경유하여 BSR-B로 포워딩한다. 네트워크를 통해 그 패킷에 의해 취해진 경로 상의 인접 노드들의 각각의 쌍은 고유의 암호화 키를 공유할 수 있다. 따라서, 패킷은 각각의 홉 후에 해독될 수 있으며 다음의 홉 이전에 새로운 키로 재암호화될 수 있다.

전형적으로, 패킷의 내용은 모든 중간 노드드에게는 액세스불가능할 것인데, 그 이유는 그것이 키 PEK를 사용하여 사용자 A에 의해 암호화될 것이기 때문이다. 즉, 키 PEK가 네트워크를 통해 (직접 또는 PEK를 생성하기 위한 SEK와 같은 입력을 배포함으로써) 배포되더라도, PEK의 지식은 중간 노드에게는 부인될 수 있다. 가령, 보안 IPSec 터널은 BSR-A 및 BSR-B 간에 확립될 수 있거나, BSR-A 및 BSR-B는 중앙 보안 서버를 공유할 수 있다. 그러한 수단 또는 유사한 수단에 의해, 보안 키 배포가 용이하게 달성된다. 물론, IPSec 터널 등은 세션의 모든 패킷의 보안 송신을 위해 사용될 수 있다. 그러나, 그러한 암호화 프로토콜의 사용은 중간 노드의 계산 리소스에 대해 허용불가능한 부담을 줄 수 있다. 그러한 부담은 키 배포를 위해 단지 세션 마다 한번 씩 만 IPSec를 사용하여 방지된다.

전술한 바와 같은 중앙 보안 서버 또는 IPSec 터널의 사용은 현존하는 홉 바이 홉 보안 관련성을 사용하는 키 배포의 일 예이다. 이와 관련하여 주목할 것은 키 배포가 완료된 이후, 중앙 보안 서버는 적절한 세션에 속하는 루틴 패킷과 관련될 필요가 없다는 것이다. 따라서, 주앙 보안 서버의 제한된 사용만이 행해진다.

도 6에 도시된 단계들의 시퀀스는 블럭 290에서 시작하여 BSR-B가 패킷을 수신한다. 패킷은 전형적으로 BSR-B와 선행하는 노드가 공유하는 암호화 키로 암호화된 채로 도달할 것이다. 따라서, 블럭 300에 표시된 바와 같이, BSR-B는 그 암호화 키와 관련하여 패킷을 해독한다.

블럭 300에서 또한 표시된 바와 같이, BSR-B는

의 국부적 계산을 독립적으로 수행한다. 전형적으로, 이러한 계산은

의 계산과 유사할 것이다. 그러나, BSR-B와 사용자 B간의 무결성 키는 BSR-A와 사용자 A간의 무결성 키 대신에, 입력으로서 사용될 것이다.

블럭 310에서, BSR-B는 사용자 B와 공유하는 암호화 키를 사용하여 패킷을 재암호화하며 이를 사용자 B로 포워딩한다. 블럭 320에 표시된 바와 같이, BSR-B는 서명

을 참조하여 전술한 바와 같은 대역 내부 또는 대역 외부 송신을 통해 패킷과 관련하여

을 사용자 B에 송신한다. 블럭 330에서, BSR-B는 패킷을 해독하고

의 독립적인 국부적 계산을 수행한다. 만약 국부적으로 계산된 값이 BSR-B에 의해 송신된 값과 매칭된다면, 그 패킷은 검증된 것으로, 즉 PEK의 소유권을 갖는 개체에 의해 생성된 것으로 검증된 패킷으로서 받아들일 것이다.

주목되는 바와 같이, 각각의 패킷에 대한 PEK는 제 1 홉의 시작 및 종료 노드에서 그리고 최종 홉의 시작 및 종료 노드에서 국부적으로 계산될 수 있다. 세션 키는 PEK를 계산하기 위한 입력으로서 사용된다. 세션 키는 현존하는 홉 바이 홉 보안 관련성을 사용하여 암호화된 형태로 네트워크를 통해 송신된다.

그러나, 다른 예에서, 세션 키는 선택적인 것이며, PEK는 홉 바이 홉 암호화를 사용하여 네트워크를 통해 포워딩된다. 가령, 사용자 A(개시 노드의 일 예로서)는 패킷 또는 적어도 패킷 페이로드를 PEK를 사용하여 암호화한다. 사용자 A는 (제 1 홉의 종료 노드의 예로서) BSR-A와 공유하는 암호화 키를 사용하여 PEK를 암호화하며, BSR-A와 공유하는 무결성 키를 사용하여 PEK를 서명한다. 암호화된 PEK와 그 서명은 서명

을 참조하여 전술한 패킷과 관련하여 사용자 A로부터 BSR-A로 송신된다.

도 7을 참조하면, 가령 패킷(400)은 IP 헤더(410), 페이로드(420), PEK 필드(430)를 포함한다. 페이로드(420)는 PEK를 사용하여 단부간으로 암호화된다.

PEK는 패킷과 더불어 홉 바이 홉 암호화를 사용하여 BSR-A로부터 BSR-B로 네트워크를 통해 송신된다. 따라서, PEK는 각각의 중간 노드에서 해독되고 재암호화될 수 있지만, 중간 노드에서는 패킷의 해독을 갖지 않는다. 전형적인 패킷에서, 필드(420) 내의 페이로드는 그 길이가 1500바이트일 수 있는 반면, 필드(430)의 암호화된 PEK는 그 길이가 128비트일 수 있다. 따라서, 분명한 것은 PEK만을 해독하고 재암호화하게 되면 계산 리소스가 상당히 절약될 수 있다는 것이다.

도 7의 예에서, PEK 필드(430)의 내용은 제 1 홉, 즉 사용자 A로부터 BSR-A로의 홉 상에서 암호화 키 CK_A,BSR-A를 사용하여 암호화된다. BSR-A로부터 BSR-B로의 경로의 각각의 홉 상에서, 필드(430)의 내용은 가령, 적절한 IPSec 키를 사용하여 암호화된다. 따라서, 그러한 두 개 이상의 홉이 존재하면, IPSec 관련성의 체인이 사용되어 PEK가 보호된다.

BSR-B에서, PEK는 BSR-B와 사용자 B가 공유하는 암호화 키 CK_B,BSR-B를 사용하여 암호화되며, BSR-B 와 사용자 B가 공유하는 무결성 키를 사용하여 서명된다. 암호화된 PEK는 필드(430)에서 BSR-B에서 사용자 B로 송신되며, PEK 서명은 패킷과 관련하여 BSR-B로부터 사용자 B로 송신된다.

SEK가 네트워크를 통해 포워딩된다면, 그 포워딩은 이용가능한 다양한 기법들 중의 임의의 기법에 의해 수행될 수 있다. 그러한 일 기법에 의하면, 새로운 세션의 제 1 트래픽 패킷은 적절한 PEK로 암호화된 적어도 그 페이로드와 함께 송신된다. 사용자 A가 그 패킷을 BSR-A에 송신할 때, 그 패킷은 사용자 A와 BSR-A가 공유하는 암호화 키에 의해 암호화되는 바와 같이 SEK를 부착하게 된다. BSR-A는 SEK를 해독하고 그것을 현존하는 보안 관련성을 사용하여 BSR-B에 배포한다. BSR-B가 그 패킷을 사용자 B에 송신할 때, 그 패킷은 사용자 B와 BSR-B가 공유하는 암호화 키에 의해 암호화되는 바와 같이 SEK를 부착하게 된다.

다양한 대안의 기법에 의하면, SEK는 적절한 프로토콜을 사용하여 호출 셋업 동안 배포된다. 가령, SEK는 VoIP 호출, 또는 가령 IMS(IP 멀티미디어 서브시스템)에 기반한 서비스를 셋업하기 위한 SIP(세션 개시 프로토콜) 메시지와 더불어 배포될 수 있다.

Claims (13)

1. 제 1 엔드포인트로부터 제 2 엔드포인트로 네트워크를 통한 패킷의 보안 송신을 위한 단부간 키(end-to-end key)를 확립하는 단계와,

   상기 제 1 엔드포인트로부터 상기 제 2 엔드포인트로 상기 패킷을 송신하는 단계를 포함하며,

   상기 단부간 키를 확립하는 단계는 두 개 이상의 홉 바이 홉 보안 관련성(hop-by-hop security association)의 보호하에 상기 제 1 엔드포인트로부터 상기 제 2 엔드포인트로 상기 네트워크를 통해 상기 단부간 키에 대한 셋업 정보를 송신하는 단계를 포함하는

   방법.
2. 제 1 항에 있어서,

   상기 단부간 키는 패킷 특정 암호화 키이며,

   상기 단부간 키를 확립하는 단계는 상기 패킷 특정 암호화 키가 세션 암호화 키 및 패킷 특정 정보로부터 계산될 수 있도록 상기 제 1 엔드포인트로부터 상기 제 2 엔드포인트로 상기 세션 암호화 키를 송신하는 단계를 포함하는

   방법.
3. 제 1 항에 있어서,

   상기 단부간 키를 확립하는 단계는 상기 네트워크를 통해 트래픽 패킷의 부분으로서의 정보를 송신하는 단계를 포함하는

   방법.
4. 제 1 항에 있어서,

   상기 단부간 키는 패킷 특정 암호화 키이며,

   상기 방법은,

   상기 제 1 엔드포인트와 상기 제 2 엔드포인트의 중간에 위치한 네트워크의 노드와 공유되는 무결성 키를 사용하여 상기 패킷 특정 암호화 키의 서명을 계산하는 단계와,

   상기 중간 노드를 경유하여 상기 제 1 엔드포인트로부터 상기 제 2 엔드포인트로 상기 패킷을 송신하는 단계와,

   상기 송신된 패킷과 관련하여 상기 중간 노드에 상기 서명을 송신하는 단계를 더 포함하는

   방법.
5. 네트워크의 노드에서 수행되는 방법으로서,

   네트워크의 선행 노드(a prior node)로부터 세션 암호화 키를 상기 선행 노드와의 보안 관련성의 보호하에 수신하는 단계 -상기 세션 암호화 키는 수신 노드로부터 적어도 2 홉 떨어진 생성 노드(originating node)로부터 단부간 경로(end-to-end)를 통해 포워딩됨- 와,

   패킷 특정 암호화 키로 암호화되는 페이로드 부분을 갖는 포워딩되는 패킷을 상기 선행 노드로부터 수신하는 단계 -상기 패킷은 상기 생성 노드로부터 상기 단부간 경로를 통해 포워딩됨- 와,

   상기 세션 암호화 키와 상기 포워딩되는 패킷에 대한 특정 정보를 포함하는 입력으로부터 상기 패킷 특정 암호화 키를 국부적으로 계산하는 단계를 포함하는

   네트워크의 노드에서 수행되는 방법.
6. 제 5 항에 있어서,

   상기 국부적으로 계산된 패킷 특정 암호화 키를 사용하여 상기 패킷을 해독하는 단계를 더 포함하는

   네트워크의 노드에서 수행되는 방법.
7. 제 5 항에 있어서,

   상기 네트워크의 상기 선행 노드와는 다른 노드와 공유되는 무결성 키를 사용하여 상기 패킷 특정 암호화 키의 서명을 국부적으로 계산하는 단계를 더 포함하는

   네트워크의 노드에서 수행되는 방법.
8. 제 7 항에 있어서,

   상기 무결성 키는 상기 선행 노드와 공유되며,

   상기 방법은,

   상기 국부적으로 계산된 패킷 특정 암호화 키 서명과 상기 패킷과 관련하여 수신된 패킷 특정 암호화 키 서명을 비교하여 상기 패킷을 검증하는 단계를 더 포함하는 네트워크의 노드에서 수행되는 방법.
9. 제 7 항에 있어서,

   상기 무결성 키는 상기 네트워크의 후행 노드와 공유되며,

   상기 방법은,

   상기 후행 노드로 상기 패킷을 포워딩하는 단계와,

   상기 국부적으로 계산된 패킷 특정 암호화 키 서명을 상기 패킷과 관련된 상기 후행 노드로 송신하여 상기 후행 노드로 포워딩된 상기 패킷을 검증하는 단계를 더 포함하는

   네트워크의 노드에서 수행되는 방법.
10. 삭제
11. 삭제
12. 삭제
13. 삭제

Images