KR101269761B1 - Key control devices, secure terminals and communication apparatus suitable for session key generation and security control in secure and mobile IP networks - Google Patents

Key control devices, secure terminals and communication apparatus suitable for session key generation and security control in secure and mobile IP networks Download PDF

Info

Publication number
KR101269761B1
KR101269761B1 KR1020110011127A KR20110011127A KR101269761B1 KR 101269761 B1 KR101269761 B1 KR 101269761B1 KR 1020110011127 A KR1020110011127 A KR 1020110011127A KR 20110011127 A KR20110011127 A KR 20110011127A KR 101269761 B1 KR101269761 B1 KR 101269761B1
Authority
KR
South Korea
Prior art keywords
key
group
requester
session
blind
Prior art date
Application number
KR1020110011127A
Other languages
Korean (ko)
Other versions
KR20120090611A (en
Inventor
정윤찬
Original Assignee
가톨릭대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 가톨릭대학교 산학협력단 filed Critical 가톨릭대학교 산학협력단
Priority to KR1020110011127A priority Critical patent/KR101269761B1/en
Publication of KR20120090611A publication Critical patent/KR20120090611A/en
Application granted granted Critical
Publication of KR101269761B1 publication Critical patent/KR101269761B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • H04L9/0833Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
    • H04L9/0836Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key using tree structure or hierarchical structure
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms

Abstract

본 발명은 일대일 통신 또는 그룹 통신에서 특정 세션마다 사용하는 세션 키 및 세션그룹 키 값을 안전하게 온라인에서 실시간으로 생성하는 키 생성 기술과 보안관제를 위하여 일대일 통신이나 그룹통신에서 사용자가 생성하여 사용하는 키 값을 보안 통제 담당 부서 자격으로 안전하게, 온라인상에서, 실시간으로 알아내도록 구성된 보안성 있는 이동 IP 통신망에서 세션 키 생성과 보안 관제에 적합한 키 제어기, 보안 단말기 및 보안 통신장치에 관한 것이다.The present invention provides a key generation technology for safely and onlinely generating a session key and a session group key value used for each specific session in one-to-one communication or group communication and a key generated and used by a user in one-to-one communication or group communication for security control. The present invention relates to a key controller, a security terminal, and a secure communication device suitable for session key generation and security control in a secure mobile IP communication network configured to obtain a value safely, online, and in real time as a security control department.

Description

보안성 있는 이동 아이피 통신망에서 세션 키 생성과 보안 관제에 적합한 키 제어기, 단말기 및 통신장치{Key control devices, secure terminals and communication apparatus suitable for session key generation and security control in secure and mobile IP networks}Key control devices, secure terminals and communication apparatus suitable for session key generation and security control in secure and mobile IP networks}

본 발명은 일대일 통신 또는 그룹 통신에서 특정 세션마다 사용하는 세션 키 및 세션그룹 키 값을 안전하게 온라인에서 실시간으로 생성하는 키 생성 기술과 보안관제(Security Control)를 위하여 일대일 통신이나 그룹통신에서 사용자가 생성하여 사용하는 키 값을 보안 통제 담당 부서 자격으로 안전하게, 온라인에서, 실시간으로 알아내도록 구성된 보안성 있는 이동 IP 통신망에서 세션 키 생성과 보안 관제에 적합한 키 제어기, 단말기 및 보안 통신장치에 관한 것이다.The present invention provides a key generation technology for securely generating the session key and the session group key value used for each specific session in one-to-one communication or group communication in real time online and for security control. The present invention relates to a key controller, a terminal, and a secure communication device suitable for session key generation and security control in a secure mobile IP communication network configured to securely obtain, on-line, and real-time key values to be used as a security control department.

통화를 원하는 두 사람 또는 그룹이 그때 그때 세션마다 어떤 키를 사용하여 통화내용을 암호화할 것인가 하는 문제를 해결하는 기술은 상용의 IPSec에서도 사용하고 있는 키 교환 기술의 바탕은 디피헬만(Diffie Hellman) 기반 키 교환기법이다. The technology that solves the problem of using which key to encrypt a call by two people or a group who wants to call at that time is based on Diffie Hellman which is used in commercial IPSec. It is a key exchange technique.

디피헬만 기반 키 교환기법은 글로벌 파라메터인 g와 p가 공개적으로 주어진 상태에서 개인은 자신의 개인키 K를 가지고 있다고 하면, 자신의 블라인드 키(Blind Key)인 BK(K)를 식 gK mod p 의 관계에서 구한 후에, 이 블라인드키를 상대방에게 보내준다. Diffie Hellman based key exchange method is a global parameter of g and p that if they openly in a given state individuals have their own private key K, expression of a BK (K) his blind key (Blind Key) g K mod p After obtaining from the relationship, send the blind key to the other party.

즉, K를 노출시키지 않고 블라인드키 BK(K)를 노출시키면서도 충분히 세션 키를 만들 수 있는 기술이다. 쌍방간에 상대방의 블라인드 키를 맞교환함으로서 공통의 세션 키를 생성할 수 있다. 만약 개인키 Ki를 갖고 있는 사용자 Ui와 개인키 Kj를 갖고 있는 사용자 Uj가 보안 통신을 하려고 하는 경우, 서로 자신의 블라인드키를 상대방에게 보내지만, 수학적으로 In other words, it is a technique that can sufficiently create a session key while exposing blind key BK (K) without exposing K. A common session key can be generated by exchanging the blind key of the counterpart between both parties. If a user Ui having a private key Ki and a user Uj having a private key Kj try to communicate securely, they send their blind keys to each other, but mathematically

(gKj mod p)Ki mod p = (gKi mod p)Kj mod p = 세션 키 (g Kj mod p) Ki mod p = (g Ki mod p) Kj mod p = session key

와 같은 관계가 성립하기 때문에 결과적으로 블라인드 키만 온라인 상태에 노출시키면서 세션 키 값을 안전하게 실시간으로 생성하여 사용할 수 있다는 기술이다. 또 그룹 통신을 위해서는 세션그룹 키가 필요한데, 디피헬만 기반 키 교환 기법을 그룹에 적용시키려면 키 트리(Tree) 기술이 추가로 요구된다. As a result of this relationship, we can safely generate and use the session key value in real time while exposing only the blind key online. In addition, session group key is required for group communication, and additional key tree technology is required to apply Diffelmann-based key exchange scheme to a group.

키 트리는 키 트리 잎과 노드로 구성되며, 잎은 트리 내에서 사용자의 위치를 구분하고, 노드는 그룹 키를 만들기 위한 중간 과정의 중간 키 값을 의미한다. The key tree is composed of key tree leaves and nodes. The leaf distinguishes a user's position in the tree, and a node represents an intermediate key value in an intermediate process for generating a group key.

그룹이 8명인 경우 노드는 1차, 2차, 3차 및 정점 노드로 이루어진다. 그룹 키를 생성하려면 어떤 키 트리 잎에서 시작하여 정점 노드에 이르는 길, 즉 직접 경로 상의 키 값이 계산되어야 한다. If there are eight groups, the nodes consist of primary, secondary, tertiary and vertex nodes. To generate a group key, the key value on the direct path must be computed, starting from a key tree leaf and leading to the vertex node.

그러기 위해서는 디피헬만 기반 키 교환기법에 입각하여 1차, 2차, 3차 대응노드의 블라인드 키 값이 필요하다. 결국 이들 블라인드키 값을 온라인 상에서 안전하게 얻을 수가 있으므로 세션그룹 키도 안전하게 얻을 수가 있는 기본 기술을 배경기술로 한다. To do this, blind key values of primary, secondary, and tertiary counterpart nodes are required based on the Diffelmann-based key exchange technique. As a result, since the blind key values can be safely obtained online, the basic technique of safely obtaining the session group key is set as the background art.

본 발명이 해결하려는 과제는 특수상황에 속하는 군, 경찰, 소방, 긴급 재난 구조 부서 등에서 이동 IP 네트워크를 운영할 가능성이 높으며, 필요시 보안관제 관계자는 항상 통신을 합법적으로 감청할 수 있고, 당사자외의 타인들은 절대로 도청할 수 없게 하는 보안성을 구비한 이동 IP 네트워크를 제공하는데 있다.The problem to be solved by the present invention is likely to operate a mobile IP network in the military, police, firefighting, emergency disaster rescue departments, etc. belonging to a special situation, security personnel can always legally intercept communication if necessary, The goal is to provide a mobile IP network with security that makes it impossible for others to eavesdrop.

본 발명이 해결하려는 또 다른 과제는 이동 IP 네트워크 사용자들에게 보안성 있는 통신 서비스를 제공하기 위하여 사전에 개인키 값이 사용자에게 부여되는데 통신에 필요한 세션 키를 만드는 과정에서 상기 개인키 값이 외부에 노출될 염려가 전혀 없어야 하며, 보안 관제 입장에서 일대일 보안 통신이나 그룹 보안 통신이 이루어질 때, 실시간으로 이들이 사용하는 세션 키 및 세션그룹 키를 알아내어 철저한 보안관제를 이룰 수 있도록 하는데 있다.Another problem to be solved by the present invention is that the private key value is given to the user in advance in order to provide a secure communication service to mobile IP network users. There should be no fear of exposure, and when one-to-one security communication or group security communication is made from the security control point of view, the session key and session group key used in real time can be found out to achieve thorough security control.

본 발명의 과제 해결 수단은 디피헬만 기반 키 교환기법을 기본으로 하고, 먼저 통화를 요청하는 사용자가가 피요청자에게 요청자의 개인키를 감춘 요청자 블라인드키를 보내고, 피요청자는 이에 대한 응답으로 피요청자의 개인키를 감춘 피요청자 블라인드키를 요청자에게 보내주어 양쪽이 동일한 세션 키를 생성할 수 있도록 구성하고, 통화요청자와 피요청자의 ID(식별번호) 만을 실시간으로 통보받아서 사전에 보관 중인 통화요청자와 피요청자의 개인키를 찾아서 이들의 블라인드키를 계산하여 이들이 원격(보안단말기)에서 생성한 세션 키와 동일한 키 값을 실시간으로 알아내도록 구성된 키 제어기, 보안 단말기 및 보안 통신장치를 구현하는데 있다.The problem solving means of the present invention is based on the Diffelmann based key exchange technique, the user requesting a call first sends the requester blind key concealing the requester's private key to the requester, the requestor in response Send the blind key hidden to the requestor so that both parties can generate the same session key, and only the call requester and the requestor's ID (identification number) are notified in real time. The present invention provides a key controller, a security terminal, and a secure communication device configured to find a private key of a requestor, calculate their blind key, and find out the same key value as a session key generated remotely (secure terminal) in real time.

본 발명의 또 다른 과제 해결 수단은 통화가 시작될 때마다 실시간으로, 온라인으로, 안전한 방법으로 블라인드 키 교환기법에 입각하여 세션그룹 키를 생성하여 여러 명이 함께 그룹 통신하는 내용을 암호화할 수 있도록 하는 기술적 구성을 보안 단말기에 내장하고, 그룹 통신을 위해 생성된 세션그룹 키를 직접 받지 않고도 실시간으로, 온라인으로 그룹통신에 참여하는 액티브 사용자(Active User) 그룹 멤버들의 ID(식별번호) 정보만 받아서 이들이 사용할 세션그룹 키를 계산하고, 그룹 통신을 보안관제할 수 있도록 구성된 보안성 있는 이동 IP 통신망에서 세션 키 생성과 보안 관제에 적합한 키 제어기, 보안 단말기 및 보안 통신장치를 구현하는데 있다.Another problem solving means of the present invention is to generate a session group key based on a blind key exchange technique in real time, online, and securely every time a call is initiated so that the contents can be encrypted by group communication with several people. Built-in configuration in the security terminal, and receive only the ID (identification number) information of active user group members participating in group communication online in real time, without receiving session group key generated for group communication directly The present invention provides a key controller, a secure terminal, and a secure communication device suitable for session key generation and security control in a secure mobile IP communication network configured to calculate a session group key and securely control group communication.

본 발명의 또 다른 과제 해결 수단은 디피헬만 기반 키 교환 기법을 기본으로 하고, 통화를 요청하는 사용자가 피요청자에게 전송하는 통화요청자의 개인키를 감춘 요청자 블라인드키와, 피요청자는 이에 대한 응답으로 통화요청자에게 전송하는 피요청자의 개인키를 감춘 피요청자 블라인드키와, 통화요청자와 피요청자는 각각 상대방의 블라인드키를 받아 생성되는 세션 키 및 통화요청자와 피요청자의 ID 만을 실시간으로 통보받아서 사전에 보관 중인 통화요청자와 피요청자의 개인키를 찾아서 이들의 블라인드키를 계산하여 이들이 원격(보안단말기)에서 생성한 세션 키와 동일한 키 값을 실시간으로 알아내는 수단을 구비한 이동 IP 통신망에서 세션 키 생성과 보안 관제에 적합한 키 제어기를 구현하는데 있다.Another problem solving means of the present invention is based on the Diffelmann-based key exchange scheme, the requester blind key concealed the private key of the call requester that the user requesting the call to the requester, and the requestor in response The requester blind key, which hides the requester's private key, which is sent to the call requester, and the callee and the requestor are notified in real time only of the session key and ID of the call requester and the requestor. Session key generation in mobile IP network that finds private key of call requester and requestee and calculates blind key of them and finds the same key value in real time with session key generated remotely (secure terminal) And key controller suitable for security control.

본 발명의 또 다른 과제 해결 수단은 키 제어기와 연동하기 위하여 사용자 개인키를 구비하며, 일대일 또는 그룹 통신 내용을 암호화하기 위하여 블라인드 키 교환 기법에 입각하여 세션 키를 생성하는 수단을 구비한 보안 단말기를 구현하는데 있다.Another object of the present invention is to provide a security terminal having a user private key for interworking with a key controller, and a means for generating a session key based on a blind key exchange technique for encrypting one-to-one or group communication contents. To implement.

본 발명의 또 다른 과제 해결 수단은 디피헬만 기반 키 교환기법을 기본으로 하고, 통화를 요청하는 사용자가 피요청자에게 전송하는 요청자의 개인키를 감춘 요청자 블라인드키와, 피요청자는 이에 대한 응답으로 요청자에게 전송하는 피요청자의 개인키를 감춘 피요청자 블라인드키와, 통화요청자와 피요청자는 각각 상대방의 블라인드키를 받아 생성되는 세션 키와, 통화요청자와 피요청자의 ID 만을 실시간으로 통보받아서 사전에 보관 중인 통화요청자와 피요청자의 개인키를 찾아서 이들의 블라인드키를 계산하여 이들이 원격에서 생성한 세션 키와 동일한 키 값을 실시간으로 알아내는 수단 및 사용자 개인키를 구비하며, 일대일 또는 그룹 통신 내용을 암호화하기 위하여 블라인드 키 교환기법에 입각하여 세션 키를 생성하는 보안 단말기를 구비한 보안 통신장치를 구현하는데 있다.Another problem solving means of the present invention is based on the Diffelmann-based key exchange technique, the requester blind key concealed the requester's private key that the user requesting the call to the requester, and the requestor in response to the requester The requester blind key, which hides the requester's private key, which is sent to the callee, and the callee and the requester are notified in real time by receiving only the session key generated by receiving the other party's blind key, and the call requester and the requestor's ID. It finds the private key of the call requester and the called party and calculates the blind key of the call requester and the requester, and has a means to find out the same key value as the remotely generated session key in real time and the user private key. In order to achieve this, we construct a secure terminal that generates a session key based on the blind key exchange technique. It is to implement a secure communication device.

본 발명의 또 다른 과제 해결 수단은 TM의 주관으로 트리 정점의 세션그룹 키를 생성하는 즉시 바로 TM은 그룹 ID(식별번호)와 액티브 사용자 그룹 멤버 정보를 키 제어기에게 보내주어, 이 정보를 받은 키 제어기는 그룹 참여자 각각의 개인키를 데이터베이스로 보관하고 있으므로 관련 개인키를 찾아서 키 트리에서 최하위 계층인 TM 노드로 부터 정점 노드에 이르는 TM 직접경로 상에 있는 1차 대응노드의 블라인드키를 계산하여 디피헬만 기반 키 교환기법에 따라 TM 직접 경로 상의 2차 노드에 대한 키 값을 계산하는 수단으로 구성된 이동 IP 통신망에서 세션 키 생성과 보안 관제에 적합한 키 제어기 및 키 제어기를 구비한 보안성 있는 이동 IP 통신망에서 세션 키 생성과 보안 관제에 적합한 키 제어기, 보안 단말기 및 보안 통신장치를 구현하는데 있다.Another problem solving means of the present invention is that the TM sends the group ID (identification number) and the active user group member information to the key controller immediately after generating the session group key of the tree vertex by the control of the TM. Since the controller keeps the private key of each group participant in the database, it finds the relevant private key and calculates the blind key of the primary correspondent node on the TM direct path from the lowest level TM node to the vertex node in the key tree. Secure mobile IP network with key controller and key controller suitable for session key generation and security control in mobile IP network composed of means for calculating key value for secondary node on TM direct path according to Hellman-based key exchange technique To implement a key controller, a secure terminal, and a secure communication device suitable for session key generation and security control.

본 발명은 특수상황의 군용 네트워크, 국가 재난 방지 네트워크, 경찰 치안 네트워크, 건설 현장 네트워크 등 이용 범위가 광범위하며, 지역적으로 분포된 이동형의 사용자에게 보안 단말기를 지급하여 보안성 있는 통신을 제공할 수 있고, 기관에서 주로 사용하는 보안 단말기의 통화는 보안 담당부서에서 합법적으로 암호화된 보안 통화를 도청할 수 있으며, 보안 통화 기록을 추적 관리하는 보안관제가 이룰 수 있는 유리한 효과가 있다. The present invention has a wide range of use, such as military network, national disaster prevention network, police police network, construction site network in a special situation, and can provide secure communication by paying security terminals to users of a geographically distributed mobile type. For example, a call of a security terminal mainly used by an institution may be intercepted by a security department to intercept a legally encrypted secure call, and may have an advantageous effect that a security control tracks and manages a secure call record.

본 발명의 또 다른 효과는 보안성 있는 통신을 구성하기 위하여 사용자 개개인에게 한번 지급된 개인키들이 온라인상에서 노출되는 일이 벌어지지 않으면서 보안통신을 할 수 있고, 보안 담당 부서에서는 보안 관제까지 할 수 있으며, 그룹 통화를 원하는 멤버들은 세션그룹 키를 실시간으로 안전하게 얻을 수가 있고, 키 제어기도 어떤 그룹이 통화할 때 사용하는 암호화 키인 세션그룹 키를 실시간으로 안전하게 생성할 수 있으므로 이동 IP 네트워크 사용자들에게 보안통신 서비스가 가능해지고 보안 담당부서에게는 보안관제 및 통제가 가능하도록 하는데 있다.Another effect of the present invention can be secure communication without the exposure of the private keys once paid to each user in order to form a secure communication online, and the security department can even security control In addition, the members who want to make a group call can securely obtain the session group key in real time, and the key controller can securely generate the session group key, which is an encryption key used by any group, in real time. It is to enable communication service and security control and control to security department.

도 1은 키 제어기(KCD)와 보안 단말기의 보안성 있는 통신 운영 형태를 도시한 것이다.
도 2는 보안성 있는 일대일 통신용 세션 키 생성 절차와 키 제어기의 세션 키 보안관제 절차를 도시한 것이다.
도 3은 그룹간의 멀티케스트 통신에 필요한 세션그룹 키 생성에 필요한 키 트리 구조를 도시한 것이다.
도 4는 그룹간의 멀티케스트 통신에 필요한 세션그룹 키 생성 절차와 키 제어기의 세션 키 확보 절차를 도시한 것이다.
도 5는 그룹간의 멀티케스트 통신에 필요한 세션그룹 키 생성 방법와 키 제어기의 세션그룹 키 확보 방법을 도시한 것이다.
<도면부호에 대한 간단한 설명>
110; 블랙 네트워크 111; 레드 네트워크
112; 무선 Ad hoc 네트워크 113; 키 제어기
114; 무선 Ad hoc 노드
120; p1JoinRequest 메시지 121; p1JoinReply 메시지
122; 세션 키(Ui 측) 123; 세션 키(Uj 측)
124; p1JoinConfirm 메시지 125; p4JoinReport 메시지
126; 세션 키
140; TM 141; p1JoinRequest 메시지
142; p1JoinReply 메시지 143; p1BlindRequest 메시지
144; p31BlindDist 메시지 145; p32BlindDist 메시지
146; p33BlindDist 메시지 147; p4Report 메시지
150; p1JoinRequest 메시지 151; p2JoinReply 메시지
152; p1BlindRequest 메시지 153; p31BlindDist 메시지
154; p32BlindDist 메시지 155; p33BlindDist 메시지
156; p4Report 메시지1 illustrates a secure communication operation form between a key controller (KCD) and a security terminal.
2 illustrates a secure one-to-one communication session key generation procedure and a key controller session key security control procedure.
3 illustrates a key tree structure required for generating a session group key for multicast communication between groups.
4 illustrates a session group key generation procedure and a key controller session key acquisition procedure required for multicast communication between groups.
5 illustrates a method for generating a session group key for multicast communication between groups and a method for securing a session group key of a key controller.
<Brief Description of Drawings>
110; Black network 111; Red network
112; Wireless ad hoc network 113; Key controller
114; Wireless ad hoc node
120; p1JoinRequest message 121; p1JoinReply message
122; Session key (Ui side) 123; Session key (Uj side)
124; p1 JoinConfirm message 125; p4JoinReport message
126; Session key
140; TM 141; p1JoinRequest message
142; p1JoinReply message 143; p1BlindRequest message
144; p31BlindDist message 145; p32BlindDist message
146; p33BlindDist message 147; p4Report message
150; p1JoinRequest message 151; p2JoinReply message
152; p1BlindRequest message 153; p31BlindDist message
154; p32BlindDist message 155; p33BlindDist message
156; p4Report message

본 발명의 실시를 위한 구체적인 내용에 대하여 살펴본다. 본 발명의 적용분야 및 기술분야를 살펴보면, 상황에 따라 이동하는 특성을 지닌 군용 네트워크, 국가 재난 방지 네트워크, 경찰 치안 네트워크, 건설 현장 네트워크 등은 모두 앞으로 IP(Internet Protocol) 기술을 사용하는 기관 전용의 이동 IP 네트워크로 발전해 갈 것이다. Hereinafter, the present invention will be described in detail. Looking at the application fields and technical fields of the present invention, military networks, national disaster prevention network, police police network, construction site network, etc., all moving according to the situation are all dedicated to institutions using IP (Internet Protocol) technology in the future. It will evolve into a mobile IP network.

이동 IP 네트워크를 통한 통신 서비스의 특징은 지역적으로 분포된 이동형의 사용자에게 보안 단말기를 지급하여 보안성 있는 통신을 제공해 주는 것이다. 그 뿐 아니라, 기관에서 전용으로 사용하는 이 보안 단말기의 통화는 보안 담당부서에서 암호화된 보안 통화를 합법적으로 도청할 수 있고, 보안 통화 기록을 추적 관리하는 보안관제가 이루어져야 한다. 그렇지만 보안성 있는 통신을 위하여 사용자 개개인에게 한번 지급된 개인키는 온라인상에서 절대로 노출되는 일이 발생하지 않아야 한다. 이 조건에서 보안통신을 할 수 있어야 하고, 보안 담당 부서 또한 개인 사용자에게 지급한 개인키의 리스트를 가지고 있지만, 키들이 온라인상에서 노출되는 일이 없이 보안 관제를 할 수 있어야 한다.The characteristic of communication service through mobile IP network is to provide secure communication by paying security terminals to mobile users of geographically distributed type. In addition, the call of this secure terminal used exclusively by the agency should be able to legally eavesdrop on the encrypted secure call by the security department, and security control should be made to track and manage the secure call record. Nevertheless, private keys, once issued to each user for secure communication, should never be exposed online. In this condition, it should be able to communicate securely, and the security department should also have a list of private keys paid to individual users, but they should be able to control security without the keys being exposed online.

보안 통신 서비스 종류는 양자간 통화인 일대일 통신서비스와 그룹의 멤버들이 여럿이 함께 통신하는 멀티케스트 그룹통신을 모두 제공할 수 있어야 한다.The secure communication service type should be able to provide both one-to-one communication service, which is a bilateral call, and multicast group communication, in which several members communicate together.

본 발명의 기술 분야는 일대일 통신은 물론 그룹 통신에서 특정 세션마다 사용하는 세션 키 및 세션그룹 키 값을 안전하게, 온라인에서, 실시간으로 생성하는 키 생성 기술과 보안관제(Security Control)를 위하여 일대일 통신이나 그룹통신에서 사용자가 생성하여 사용하는 키 값을 보안 통제 담당 부서 자격으로 안전하게, 온라인에서, 실시간으로 알아내도록 구성된 보안성 있는 이동 IP 통신망에서 세션 키 생성과 보안 관제에 적합한 키 제어기, 보안 단말기 및 보안 통신장치에 관한 것이다. 본 발명에 따른 구체적인 실시 예를 살펴본다.The technical field of the present invention is one-to-one communication as well as one-to-one communication for security control (Key Control technology) and key generation technology for generating secure, online, and real-time session keys and session group key values used for specific sessions in group communication. Key controller, security terminal, and security suitable for session key generation and security control in a secure mobile IP network configured to securely, online and in real time, identify key values generated and used by users in group communication as a security control department. It relates to a communication device. A specific embodiment according to the present invention will be described.

<실시 예><Examples>

본 발명에 따른 구체적인 실시 예를 도면에 기초하여 살펴본다. 이하는 도 1에 관한 구체적인 설명이다. 도 1은 키 제어기(KCD), 보안 단말기 및 이를 이용한 보안성 있는 통신장치의 운영 형태를 설명한 것이다. 본 발명을 설명하기 위하여 먼저 이동 IP 네트워크의 적용범위를 명확히 할 필요가 있다. 상용 인터넷 망이 아니면서 네트워크 자체의 움직임이 있는 망을 '이동 IP 네트워크'라 한다. DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS A preferred embodiment of the present invention will now be described with reference to the drawings. The following is a detailed description of FIG. 1. 1 illustrates an operation mode of a key controller (KCD), a security terminal, and a secure communication device using the same. In order to explain the present invention, it is first necessary to clarify the scope of application of a mobile IP network. A network with a movement of the network itself, rather than a commercial Internet network, is called a 'mobile IP network'.

특히, 본 발명의 용이한 이해를 위하여, 향후 앞선 국가의 특수상황(군용 네트워크, 국가 재난 방지 네트워크, 경찰 치안 네트워크, 건설 현장 네트워크 등)에서 사용하려고 하는 특수상황 전용의 네트워크를 보면 이동 IP 네트워크의 특징이 잘 나타나므로 상기 특수상황 전용 네트워크의 예를 통하여 본 발명을 설명하기로 한다. In particular, for the sake of easy understanding of the present invention, a network dedicated to a special situation which is intended to be used in a future state special situation (military network, national disaster prevention network, police security network, construction site network, etc.) Since the characteristics are well represented, the present invention will be described through an example of the special situation dedicated network.

이동 IP 네트워크는 세 부분으로 나누어 볼 수 있는데, 첫째 상용 인터넷을 터널로 이용하는 VPN(Virtual Private Network) 형태의 블랙네트워크와, 둘째 특수상황에서 임의집단의 이동에 따라 움직일 수 있는 임의집단 전용의 전술 네트워크 형태의 레드네트워크, 셋째 통신 노드가 단말기를 겸하는 무선 Ad hoc 네트워크로 이루어진다. The mobile IP network can be divided into three parts: first, a black network in the form of a VPN (Virtual Private Network) using a commercial Internet as a tunnel, and second, a tactical network dedicated to an arbitrary group that can move as the random group moves in a special situation. Red network of the form, the third communication node is composed of a wireless Ad hoc network that also serves as a terminal.

이동 IP 네트워크를 이용하는 사용자에게 보안성 있는 통신 서비스를 제공하기 위해서는 통신 내용을 암호화하여 전송하여야 한다. 그러기 위해서는 각각의 사용자에게 암호화에 필요한 개인키(Key)를 먼저 배당하여야 한다. In order to provide a secure communication service to a user using a mobile IP network, the communication content must be encrypted and transmitted. To do this, each user must be assigned a private key for encryption.

즉, 사용자 단말기에는 개인키가 부여된다. 그리고 키 제어기(113), 즉 KCD(Key Control Device)는 사용자단말기들에 부여된 개인키의 전체 정보를 보유하고 있다. That is, a private key is assigned to the user terminal. The key controller 113, that is, the KCD (Key Control Device), holds the entire information of the private keys assigned to the user terminals.

본 발명에 따른 보안성 있는 통신장치에서 제공하는 서비스의 종류는 두 가지로 분류될 수 있는데, 하나는 양자 통신(Unicast, 본 발명에서 '일대일 통신'이라 한다)이고, 다른 하나는 멀티케스트(Multicast) 그룹 통신(이하 '멀티케스트 통신' 또는 '그룹통신'이라 한다)이다. There are two types of services provided by the secure communication device according to the present invention. One is quantum communication (Unicast, referred to as 'one-to-one communication' in the present invention), and the other is multicast. ) Group communication (hereinafter referred to as 'multicast communication' or 'group communication').

예를 들어, 사용자 Ui와 Uj간에는 일대일 통신이 이루어지고, 사용자 그룹 U1, U2, U3, ..., U7, U8 간에는 그룹 통신이 이루어진다. 그러므로 결과적으로 키 제어기는 각 사용자에게 부여된 개인키 정보 리스트를 가지고 있고, 또 그룹 멤버 구성 리스트, 즉, 어떤 그룹이 어떤 멤버로 구성되었는가를 나타내는 리스트를 보유하고 있다. For example, one-to-one communication is performed between user Ui and Uj, and group communication is performed between user groups U1, U2, U3, ..., U7, and U8. Thus, as a result, the key controller has a list of private key information assigned to each user, and also has a group member configuration list, that is, a list indicating which group is composed of which members.

반면에, 보안 단말기는 자신에게 부여된 개인키 정보와 자신이 어떤 멀티케스트 그룹에 속하는가를 나타내는 그룹 ID(식별 번호)를 가지고 있다.On the other hand, the security terminal has a group ID (identification number) indicating which private key information is given to it and which multicast group it belongs to.

이동 IP 네트워크의 운영에서 가장 필요한 것은 보안성이지만, 보안 관제성 (Security control)도 동시에 만족하여야 한다. 왜냐 하면 이동 IP 네트워크는 군, 경찰, 소방, 긴급 재난 구조부서 등에서 운영할 가능성이 가장 높으며, 필요시 보안관제 관계자는 항상 통신을 합법적으로 감청할 수 있어야 한다. 어떻게 보면 보안성과 보안관제성은 서로 모순되는 것처럼 보인다. Security is most necessary in the operation of mobile IP networks, but security control must be satisfied at the same time. This is because mobile IP networks are most likely to be operated by the military, police, firefighting and emergency disaster relief departments, and security control personnel should be able to legitimately intercept communications when necessary. In some ways, security and security seem to contradict each other.

그러므로 이 2가지 성격 즉, 사용자 입장에서는 보안성 있는 통신을 제공할 수 있도록 하고, 보안 당국 입장에서는 필요시 항상 사용자의 통신을 감청할 수 있도록 하는 것이 본 발명이 해결하고자 하는 핵심 기술적 구성이다.Therefore, these two characteristics, that is, to provide a secure communication from the user's point of view, and to the security authority to be able to intercept the user's communication at any time is a key technical configuration to be solved by the present invention.

이하는 도 2에 관한 설명이다. 도 2는 보안성 있는 일대일 통신용 세션 키 생성 절차와 키 제어기의 세션 키 보안관제 절차에 관한 것이다. 하나의 일대일 통화가 시작되는 시점에 통화의 암호화에 사용할 키 값(이하 '세션(Session) 키'라고 한다)을 얻는 방법과 만들어진 세션 키 값을 키 제어기에게 보고하는 기술적 구성에 대하여 기술한다. The following is a description of FIG. 2. 2 is a session key generation procedure for secure one-to-one communication and session key security control procedure of the key controller. It describes a method of obtaining a key value (hereinafter referred to as a 'session key') for encrypting a call at the beginning of one-to-one call and a technical configuration for reporting the generated session key value to a key controller.

본 발명의 기술적 구성의 핵심은 통화하려는 두 사용자 단말기(Ui와 Uj)와 관제를 하는 키 제어기 외에는 아무도 세션 키를 알아낼 수 없어야 한다는 점이다.The key point of the technical configuration of the present invention is that no one except the key controller controlling the two user terminals Ui and Uj to call can find out the session key.

이 기술은 기본적으로 디피헬만(Diffie-Hellman) 기반 키 교환기법에 기초를 두고 있다. 먼저, 통화를 요청하는 Uj가 피요청자인 Ui에게 p1JoinRequest 메시지(120)를 보낸다. 이 메시지에는 Uj의 개인키 Kj에 대한 블라인드키(Blind Key)인 BK(Kj)를 포함하고 있다. This technology is basically based on Diffie-Hellman-based key exchange. First, a Uj requesting a call sends a p1JoinRequest message 120 to Ui, the requester. This message contains BK (Kj), which is a blind key to Uj's private key Kj.

BK(Kj) = gKj mod p 의 관계가 성립하는데, 의미는 'Kj 정보를 숨겨놓은 키'라는 뜻이다. 또 g와 p 값은 디피헬만 기반 키 교환 기법에서 정의한 글로벌 파라메터이며, 양쪽이 사전에 이 값들을 모두 알고 있다.The relationship BK (Kj) = g Kj mod p holds, meaning 'key that hides Kj information'. The g and p values are global parameters defined by the Diffelmann-based key exchange scheme, both of which know in advance.

상기 gKj mod p 는 gKj 값을 p 값으로 나눈 값의 나머지 값을 의미한다. G Kj mod p is g Kj The remainder of the value divided by the p value.

BK(Kj)를 받은 Ui는 자신만이 보유하고 있는 개인키 Ki를 이용하여 블라인드키 BK(Ki)를 만들고, 이를 p1JoinReply 메시지(121)에 실어서 Uj에게 보내준다.Ui who has received BK (Kj) creates a blind key BK (Ki) using his private key Ki and sends it to Uj by putting it in p1JoinReply message 121.

그러면 서로 상대방의 블라인드 키를 통보 받은 상태이다. Then you are notified of each other's blind key.

그러면 Ui는 Ki ○ BK(Kj) = (BK(Kj))Ki mod p = (gKj mod p)Ki mod p(122) 를 계산하여 세션 키 Kij를 구하고,Ui then calculates Ki ○ BK (Kj) = (BK (Kj)) Ki mod p = (g Kj mod p) Ki mod p (122) to find the session key Kij,

Uj는 Kj ○ BK(Ki) = (BK(Ki))Kj mod p = (gKi mod p)Kj mod p(123) 를 계산하여 세션 키 Kji를 구한다. Uj calculates Kj B BK (Ki) = (BK (Ki)) Kj mod p = (g Ki mod p) Kj mod p (123) to obtain the session key Kji.

결국, 식 (gKj mod p)Ki mod p 와 식 (gKi mod p)Kj mod p 는 동일한 값이 되어 Kij = Kji의 관계가 성립하기 때문에 Ui와 Uj는 통화의 암호화에 사용할 세션 키 값을 온라인 상태에서 실시간으로 안전하게 공유할 수 있게 된다. After all, the equation (g Kj mod p) Ki mod p and the expression (g Ki mod p) Kj mod p have the same value and Kij = Kji, so Ui and Uj specify the session key value to use to encrypt the currency. Share online securely in real time.

물론, 이 과정에서 상대방을 확인하는 인증 절차를 추가하는 것이 바람직하나, 인증절차는 통상적으로 널리 사용되고 있는 것이므로 본 발명에서는 구체적인 기재를 생략한다. Of course, it is preferable to add an authentication procedure for confirming the other party in this process, but since the authentication procedure is generally widely used, detailed descriptions are omitted in the present invention.

그 다음 남은 절차는 키 제어기가 보안 관제를 할 수 있도록 구성해주는 일이다. Ui는 p4JoinReport 메시지(125)를 키 제어기에게 보내준다. 이 메시지는 오직 Ui와 Uj의 ID 정보만 포함하고 있다. The next step is to configure the key controller for security control. Ui sends a p4JoinReport message 125 to the key controller. This message only contains ID information of Ui and Uj.

상기 p4JoinReport 메시지를 받은 키 제어기는 자신이 보유하고 있는 개인키 리스트에서 Ui와 Uj의 개인키인 Ki와 Kj를 찾은 후에, Ki와 Kj 를 이용하여 After receiving the p4JoinReport message, the key controller finds Ki and Kj, which are private keys of Ui and Uj, from the list of private keys owned by him and then uses Ki and Kj.

Kij = (gKj mod p)Ki mod p 식에 대입 계산하여 Kij = (g Kj mod p) Evaluate using the Ki mod p equation

세션 키 Kij를 구할 수 있다. 이 때 키 제어기는 Ui와 Uj가 Kij를 만든 시간과 Kij 정보를 기록하게 된다. You can get the session key Kij. At this time, the key controller records the time and Kij information that U i and U j make K ij .

이 기록 정보는 실시간 감청 즉, 보안 관제에 이용할 수 있고, 개인키를 사용한 기록을 관리할 수 있기 때문에 보안 담당 부서에서 사용할 중요한 정보가 된다.This record information can be used for real-time monitoring, that is, security control, and it is important information for the security department because it can manage the record using the private key.

이하는 도 3에 관한 설명이다. 도 3은 그룹간의 멀티케스트 통신에 필요한 세션그룹 키 생성에 필요한 키 트리 구조를 설명한 도면이다. 키 제어기는 어떤 그룹이 어떤 멤버로 구성되었는가를 나타내는 리스트를 보유하고 있다. 반면에, 보안 단말기는 자신이 어떤 멀티케스트 그룹에 속하는가를 나타내는 그룹 ID(식별 번호)를 가지고 있다. 도 3은 특정 그룹 8 명이 그룹 통신에 참여하는 경우의 키 제어기에서 관리하는 그룹 멤버 리스트이다. The following is a description of FIG. 3. 3 is a diagram illustrating a key tree structure required for generating a session group key for multicast communication between groups. The key controller maintains a list of which groups are made up of which members. On the other hand, the security terminal has a group ID (identification number) indicating which multicast group it belongs to. 3 is a group member list managed by a key controller when eight specific groups participate in group communication.

그룹 멤버 리스트는 멤버 개인에게 부여된 개인키와 함께 키 트리(Tree)로 관리하고 있다. 도 3에서와 같이 U1, U2, U3, ... , U8 까지 8명이 키 트리 잎에 해당하고, 트리의 각 노드는 고유번호와 위치정보를 갖는다. 노드는 1차, 2차, 3차, 정점노드로 구분되고, 또 1차, 2차, 3차 대응노드로 위치가 구분되며, 어떤 키 트리 잎에서 시작하여 정점노드에 이르는 길을 '직접경로'라고 한다. 키 트리의 특징은 모든 노드들이 동일한 숫자의 자식을 갖는다. 이것을 트리 정도(Degree)로 표현하는데, 도 3은 트리 정도가 2인 경우이다. The group member list is managed in a key tree along with the private key given to the individual member. As shown in FIG. 3, eight persons U 1 , U 2 , U 3 ,..., U 8 correspond to a key tree leaf, and each node of the tree has a unique number and location information. Nodes are classified into primary, secondary, tertiary, and vertex nodes, and nodes are divided into primary, secondary, and tertiary corresponding nodes, and the path from the key tree leaf to the vertex node is called a 'direct path'. ' The characteristic of the key tree is that all nodes have the same number of children. This is expressed as a tree degree, and FIG. 3 shows a case where the tree degree is two.

사용자 입장에서 키 트리를 이용하는 방법을 설명하면, 자기 자신으로부터 정점 노드에 이르는 직접경로 상에 있는 노드들의 키 값들만 계산하게 된다. 키 트리의 정점 노드에 해당하는 키 K1 -8 가 그룹 키 KG가 되며, 모든 그룹 멤버가 각각 자기 자신으로부터 정점 노드에서 만나기 때문에 K1 -8을 공유하게 되는 것이다. In the case of using the key tree from the user's point of view, only the key values of nodes in the direct path from themselves to the vertex node are calculated. And the key K 1 -8 group key K G corresponding to the apex node of the key tree, which will be meeting in the apex node because all the group members, each from his own share of K 1 -8.

예를 들어, 사용자 U4는 K4는 사전에 보유하고 있으며, 직접경로 상에 있는 노드의 1차, 2차, 3차 대응노드의 블라인드 키를 받은 후에 K34, K1 -4, K1 -8을 계산할 수 있게 된다. 결국 K1 -8이 KG가 된다. For example, user U 4 holds K 4 in advance, and receives K 34 , K 1 -4 , K 1 after receiving the blind key of the node's primary, secondary, and tertiary counterparts. You can calculate -8 . Eventually K 1 -8 becomes K G.

반면에, 키 제어기는 키 트리 전체를 보유하며, 결국 이 특정 그룹이 공통의 세션 키로 사용할 K1 -8 (KG)을 확보하게 된다.On the other hand, the key controller holds the entire key tree, which eventually gives K 1 -8 (K G ) that this particular group will use as a common session key.

이하는 도 4에 관한 설명이다. 도 4는 멀티케스트 그룹이 통화암호화에 사용할 세션그룹 키를 얻는 방법과 이 세션그룹 키를 키 제어기로 보고하는 절차에 관한 것이다. The following is a description of FIG. 4. 4 is a method for obtaining a session group key for use in call encryption by a multicast group and a procedure for reporting the session group key to a key controller.

참고로, 여기서도 앞서와 같은 이유로 사용자 인증에 관한 절차에 대한 기재는 생략한다. 그룹 키도 역시 통화가 시작되는 시점에 생성되어서 통화가 끝날 때까지 사용하는 세션 키이기 때문에 멤버 중 세션 키를 만드는 책임자가 하나 정해져야 한다. 그래서 통화를 요청하는 사용자에게는 이 세션그룹 키를 만드는 일에 있어서 TM(Transaction Manager, 140) 자격이 부여된다. For reference, the description of the procedure for user authentication will be omitted here as well. The group key is also the session key that is generated at the beginning of the call and used until the end of the call. Thus, the user requesting a call is granted TM (Transaction Manager, 140) qualification in creating this session group key.

먼저, U8이 그룹 통화를 요청했다고 가정한다. 그러면 U8이 TM 자격으로 자기 그룹 멤버들에게 p1JoinRequest 메시지(141)를 멀티케스트 한다. 상기 p1JoinRequest 메시지를 받은 그룹 멤버들은 각각 TM에게 자신이 그룹통화에 참여 가능한지를 알려주는 p2JoinReply 메시지를 보낸다. First, suppose that U8 requested a group call. U8 then multicasts the p1JoinRequest message 141 to its group members with TM status. Each group member who receives the p1JoinRequest message sends a p2JoinReply message to the TM indicating whether he or she can join the group call.

상기 p2JoinReply 메시지를 받은 TM은 그룹 멤버 중 누가 그룹 통신에 참여 가능하고, 누가 참여 불가 상태인가를 구분하여 액티브 사용자 트리(Active User Tree)를 만들어 이를 p1BlindRequest 메시지에 실어서 그룹 멤버들에게 멀티케스트 한다. Upon receiving the p2JoinReply message, the TM distinguishes who can participate in group communication and who cannot participate, and creates an active user tree and puts it in a p1BlindRequest message to multicast to the group members.

상기 p1BlindRequest 메시지를 받은 그룹 내의 액티브 멤버들은 각각 1차 노드의 블라인드키를 만들어 p31BlindDist 메시지에 싣고 멀티케스트 한다. 상기 p31BlindDist 메시지를 받은 그룹내의 액티브(Active) 멤버들은 트리의 직접경로 상에 있는 2차 노드에 해당하는 블라인드 키를 만들어 이를 p32BlindDist 메시지에 싣고 멀티케스트 한다. 상기 p32BlindDist 메시지를 받은 액티브 멤버들은 또 한 계층 위의 3차 노드에 해당하는 블라인드 키를 만들어 이를 p33BlindDist 메시지에 실어서 멀티케스트 한다. The active members in the group receiving the p1BlindRequest message make a blind key of the primary node and put them in the p31BlindDist message to multicast. Active members in the group receiving the p31BlindDist message generate a blind key corresponding to the secondary node on the direct path of the tree, and load the multicast key in the p32BlindDist message. The active members receiving the p32BlindDist message also multiply by creating a blind key corresponding to the tertiary node in the hierarchy and putting it in the p33BlindDist message.

이 과정을 통하여 액티브 그룹 멤버들은 각각 직접 경로 상의 2차 노드, 3차 노드 및 정점 노드에 대한 키 값을 계산할 수 있으며, 마지막으로 계산한 정점 노드의 키 값이 세션그룹 키가 된다. Through this process, the active group members can calculate the key values for the secondary node, the tertiary node, and the vertex node on the direct path, respectively, and the last calculated key value of the vertex node becomes the session group key.

세션그룹 키를 생성한 상황보고는 TM 만이 키 제어기에게 하도록 구성되어 있다. 이를 위해서 TM은 p4Report 메시지를 키 제어기에게 보낸다. 상기 p4Report 메시지에는 액티브 사용자 트리(Active User Tree) 잎 정보만 포함하고 있다. 왜냐하면 키 제어기는 이 그룹 멤버들의 개인키를 이미 가지고 있으므로 그룹 통신에 누가 실제로 참여하는지를 알면 세션 TM이 주도하여 만든 것과 동일한 세션그룹 키를 키 제어기 자체적으로 만들 수가 있다. 그렇기 때문에 키 제어기의 중요 역할인 보안관제와 보안통화 관리가 효과적으로 이루어질 수가 있다. The status report that generated the session group key is configured so that the TM is the only key controller. To do this, the TM sends a p4Report message to the key controller. The p4Report message includes only active user tree leaf information. Because the key controller already has the private keys of these group members, knowing who actually participates in the group communication can create the same session group key as the session controller initiated by the key controller itself. Therefore, security control and security call management, which are important roles of the key controller, can be effectively performed.

이하는 도 5에 관한 설명이다. 도 5는 특정 그룹에서 U8이 그룹 통화를 시도하는 경우에, U4와 U5가 그룹 통화에 결석하는 경우에 어떻게 그룹 키가 생성되는가를 구체적으로 도시한 것이다. U8이 TM 자격이 되어 자기 그룹 멤버들에게 p1JoinRequest 메시지(150)를 멀티케스트 한다. 상기 p1JoinRequest 메시지를 받은 그룹 멤버들은 각각 TM에게 p2JoinReply 메시지(151)를 보낸다. The following is a description of FIG. 5. 5 specifically illustrates how a group key is generated when U4 and U5 are absent from a group call when U8 attempts a group call in a specific group. U8 becomes TM qualified to multicast p1JoinRequest message 150 to its group members. The group members who have received the p1JoinRequest message send a p2JoinReply message 151 to the TM.

상기 p2JoinReply 메시지를 받은 TM은 그룹 멤버 중 참여가능과 참여 불가 상태를 구분하여 그룹통신 참여자 리스트[U1, U2, U3, x, x, U6, U7, U8]을 만들어 이를 p1BlindRequest 메시지(152)에 실어서 그룹 멤버들에게 멀티케스트한다. 상기 p1BlindRequest 메시지를 받은 그룹내의 Active 멤버들은 U1은 BK(K1), U2는 BK(K2), U3은 BK(K3), U6은 BK(K6), U7은 BK(K7), U8은 BK(K8)를 만들어 각각 p31BlindDist 메시지(153)에 싣고 멀티케스트 한다. The TM receiving the p2JoinReply message creates a group communication participant list [U1, U2, U3, x, x, U6, U7, U8] by dividing the availability and inability to participate among the group members and implements it in the p1BlindRequest message 152. Go ahead and multicast to the group members. Active members in the group that received the p1BlindRequest message were U1 for BK (K1), U2 for BK (K2), U3 for BK (K3), U6 for BK (K6), U7 for BK (K7), U8 for BK (K8 ) Are loaded into p31BlindDist message 153 and multicasted.

p31BlindDist 메시지를 받은 그룹내의 Active 멤버인 U1 또는 U2 는 BK(K12)를, U7 또는 U8은 BK(K78)을 각각 만들고, 이를 p32BlindDist 메시지(153)에 싣고 멀티케스트 한다. The active member U1 or U2 in the group receiving the p31BlindDist message creates BK (K12) and U7 or U8 creates BK (K78), respectively, and puts it in the p32BlindDist message 153 and multicasts it.

p32BlindDist 메시지를 받은 액티브 멤버들은 U1, U2 및 U3 중 하나는 BK(K1-3)을 만들고, U6, U7 및 U8 중 하나는 BK(K6-8)을 각각 만들며, 이를 p33BlindDist 메시지에 실어서 멀티케스트 한다. Active members that receive the p32BlindDist message create BK (K1-3), one of U1, U2, and U3, and one of U6, U7, and U8, BK (K6-8), respectively, and multicast to the p33BlindDist message. do.

그리고, U3이 세션그룹 키를 생성하는 예를 살펴보면, p32BlindDist 메시지 수신 후에 얻은 BK(K12)을 이용하여 먼저 K3 ○ BK(K12)를 계산하여 K1-3을 계산한다. 그 다음 p33BlindDist 메시지 수신 후에 얻은 BK(K6-8)을 이용하여 K1-3 ○ BK(K6-8)를 계산하여 K1-8을 생성하게 된다. 이렇게 생성된 K1-8은 U3이 사용할 세션그룹 키 KG가 된다. 이런 방식으로 나머지 그룹 멤버들도 각각 세션그룹 키 KG를 생성한다.In the example in which U3 generates a session group key, first, K3 B BK (K12) is calculated using BK (K12) obtained after receiving a p32BlindDist message to calculate K1-3. Next, K1-3 ○ BK (K6-8) is calculated using BK (K6-8) obtained after receiving the p33BlindDist message to generate K1-8. The generated K1-8 becomes the session group key K G for U3. In this way, the remaining group members also generate a session group key K G.

TM의 주관으로 트리 정점 노드의 세션그룹 키를 생성하는 즉시 바로 TM은 그룹 ID와 액티브 사용자 그룹 멤버 정보[U1, U2, U3, x, x, U6, U7, U8]를 p4Report 메시지(156)에 실어서 키 제어기에게 보내준다. Immediately after generating the session group key of the tree vertex node under the control of the TM, the TM sends the group ID and active user group member information [U1, U2, U3, x, x, U6, U7, U8] to the p4Report message (156). Load it and send it to the key controller.

이 정보를 받은 키 제어기는 그룹 참여자 각각의 개인키를 보관하고 있으므로 관련 개인키를 찾아서 키 트리에서 최하위 계층인 TM 노드로부터 정점 노드에 이르는 TM 직접경로 상에 있는 1차 대응노드의 블라인드키를 계산하여 디피헬만 기반 키 교환기법에 따라 TM 직접 경로 상의 2차 노드에 대한 키 값을 계산하고, 2차 대응노드에 대한 블라인드 키 값을 계산 한 후에 이를 이용하여 디피헬만 방식에 따라 TM 직접 경로 상의 3차 노드에 대한 키 값을 계산한다.The key controller receiving this information keeps the private key of each group participant, so finds the relevant private key and calculates the blind key of the primary correspondent node on the TM direct path from the lowest level TM node to the vertex node in the key tree. Compute the key value for the secondary node on the TM direct path according to the Diffiemann-based key exchange scheme, calculate the blind key value for the secondary counterpart node, and then use it to calculate the value of the 3 Compute the key value for the secondary node.

마지막으로, 이 3차 대응노드에 대한 블라인드 키 값을 계산한 후에 이를 이용하여 디피헬만 기반 키 교환기법에 따라 정점 노드에 대한 키 값을 계산하여, TM을 주축으로 한 액티브 사용자 그룹 멤버들이 생성한 것과 동일한 세션그룹 키를 키 제어기가 계산하도록 구성되어 있다. Finally, after calculating the blind key value for this tertiary counter node, the key value for the vertex node is calculated using the Diffelmann-based key exchange method, which is created by active user group members based on TM. The key controller is configured to calculate the same session group key.

이처럼 키 제어기는 그룹 멤버들이 했던 것과 동일한 방법으로 세션그룹 키 KG를 생성한 후에 이를 저장하고 실시간 보안 관제나 보안 관리에 이용한다. In this way, the key controller generates the session group key K G in the same way as the group members did, stores it, and uses it for real-time security control or security management.

이상에서 살펴본 바와 같이 모든 사용자단말기들의 개인키는 온라인상에서 노출되는 일이 벌어지지 않는다. 그래서 그룹통화를 원하는 멤버들은 세션그룹 키를 실시간으로 안전하게 얻을 수가 있고, 또 키 제어기도 임의의 어떤 그룹이 통화할 때 사용하는 암호화 키인 세션그룹 키를 실시간으로 안전하게 얻을 수가 있어 보안관제에 이용할 수가 있게 된다. 본 발명에서의 보안관제란 합법적으로 암호화된 보안통화를 도청할 수 있고 보안통화 기록을 추적 관리하는 기능 및 수단을 구비함을 의미한다.As described above, private keys of all user terminals are not exposed online. Therefore, the members who want to call the group can get the session group key in real time safely, and the key controller can securely obtain the session group key, which is the encryption key used when any group calls, in real time. do. Security control in the present invention means having a function and means for intercepting a legally encrypted security call and tracking and managing the security call record.

앞서 기술한 구성으로부터 키 제어기, 보안 단말기 및 키 제어기와 보안 단말기를 이용한 보안 통신장치를 요약한다. From the above-described configuration, a key controller, a secure terminal, and a secure communication device using the key controller and the secure terminal are summarized.

먼저, 키 제어기가 가지는 기술적 구성을 살펴본다. First, the technical configuration of the key controller will be described.

키 제어기는 디피헬만 기반 키 교환 기법을 기본으로 하고, 통화요청자와 피요청자의 ID 만을 실시간으로 통화요청자로부터 통보받고, 사전에 보관 중인 통화요청자와 피요청자의 개인키를 찾아서 피요청자 블라인드키를 계산 생성하고, 통화요청자의 개인키와 피요청자 블라인드키를 가지고 이들이 통화요청자와 피요청자 보안단말기에서 생성한 세션 키와 동일한 키 값을 실시간으로 알아내는 수단을 구비하고 있다.The key controller is based on the Diffelmann based key exchange technique, receives only the caller's and the requester's IDs in real time, and calculates the requester's blind key by finding the private key of the caller and the requester in advance. And means for retrieving in real time the same key value as the session key generated by the call requester and the requestee security terminal with the call requester's private key and requestee blind key.

상기 키 제어기는 일대일 통신을 위해 생성된 세션 키를 통화요청자와 피요청자 단말기로부터 직접 받지 않고도 실시간으로, 온라인으로 통화요청자와 피요청자 ID 정보만 받아서 이들이 사용할 세션 키를 계산하고 일대일 통신을 보안관제할 수 있는 수단을 구비한다.The key controller receives only the call requester and the requester ID information online in real time without receiving the session key generated for the one-to-one communication directly from the call requester and the requestee terminal, calculates the session key to be used, and secures one-to-one communication. It is provided with a means capable of.

상기 키 제어기의 그룹별 멤버 리스트에는 키 트리 잎 전체(그룹 멤버 모두)의 개인키를 포함하고 있으며, 사용자 개인키 리스트를 보유하고 보안관제를 수행하는 수단을 구비하고 있다.The member list for each group of the key controller includes a private key of the entire key tree leaf (all group members), and has means for holding a user private key list and performing security control.

또한, 키 제어기는 그룹 통신을 위해 통화요청자와 피요청자 단말기에서 생성된 세션그룹 키를 직접 받지 않고, 실시간으로, 온라인으로 그룹통신에 참여하는 액티브 사용자 그룹 멤버들의 ID(식별번호) 정보만 받아서 이들이 사용할 세션그룹 키를 계산 생성하여 그룹 통신을 보안관제할 수 있는 수단을 구비하고 있다. In addition, the key controller does not directly receive the session group key generated by the call requester and the requestee terminal for the group communication, and receives only the ID (identification number) information of the active user group members participating in the group communication online in real time. It is provided with a means to securely control group communication by calculating and generating a session group key to be used.

상기 키 제어기는 통화요청자와 피요청자의 ID(식별번호) 만을 실시간으로 통보 받아서 사전에 보관 중인 통화요청자와 피요청자의 개인키를 찾아서 이들의 블라인드키를 계산 생성하여 이들이 원격(통화요청자와 피요청자 단말기)에서 생성한 세션 키와 동일한 키를 실시간으로 알아내는 수단을 구비하고 있다.The key controller receives only the call requester and the requestee's ID (identification number) in real time, finds the call requester and the requester's private keys in advance, calculates their blind keys, and generates them. Means for finding out in real time the same key as the session key generated by the terminal).

상기 트리의 각 노드는 고유번호와 위치정보를 가지며, 모든 노드들이 동일한 숫자의 자식을 가지도록 구성되어 있다.Each node of the tree has a unique number and location information, and is configured such that all nodes have children of the same number.

상기 키 제어기는 p4JoinReport 메시지를 Ui로부터 받고, 자신이 보유하고 있는 개인키 리스트에서 Ui와 Uj의 개인키인 Ki와 Kj를 찾은 후에, 개인키인 Ki와 Kj를 식 (gKj mod p)Ki mod p 에 대입 계산하여 세션 키 Kij를 구하는 수단을 구비하고 있다.The key controller receives the p4JoinReport message from Ui, finds Ki and Kj, the private keys of Ui and Uj, in the list of private keys it owns, and then expresses the private keys Ki and Kj (g Kj mod p) Ki mod A means for calculating the substitution key in p to obtain the session key Kij is provided.

상기 키 제어기는 세션 키 Kij를 구할 때, Ui와 Uj가 Kij를 만든 시간과 Kij 정보를 메모리에 기록 저장하도록 구성되어 있다. When the key controller obtains the session key Kij, the key controller is configured to record and store, in memory, the time and Kij information that U i and U j make K ij .

다음은 보안 단말기에 대하여 살펴본다.Next, the security terminal will be described.

보안 단말기는 키 제어기와 연동하기 위하여 사용자 개인키를 구비하며, 일대일 또는 그룹 통신 내용을 암호화하기 위하여 블라인드 키 교환기법에 입각하여 세션 키를 생성하는 수단을 구비하고 있다.The security terminal includes a user private key for interworking with a key controller, and means for generating a session key based on a blind key exchange technique for encrypting one-to-one or group communication contents.

상기 보안단말기는 자신이 어떤 멀티케스트 그룹에 속하는가를 나타내는 그룹 ID(식별 번호)를 구비하고, 상기 세션 키는 디피헬만 기반 키 교환기법에 바탕을 두고, 통화를 요청하는 사용자가 피요청자에게 요청자의 개인키를 감춘 요청자 블라인드키를 보내고, 피요청자는 이에 대한 응답으로 피요청자의 개인키를 감춘 피요청자 블라인드키를 요청자에게 보내주어 양쪽이 동일한 세션 키를 생성하는 수단을 구비하고 있다. The security terminal has a group ID (identification number) indicating which multicast group it belongs to, and the session key is based on the Diffiehlmann-based key exchange technique. Sending the requester blind key concealing the private key, the requester has a means for sending the requester blind key concealing the requester's private key to the requester to generate the same session key.

상기 보안 단말기는 통화가 시작될 때마다 온라인상에서 실시간으로, 안전하게 수행되는 블라인드 키 교환기법에 입각하여 세션그룹 키를 생성한 후에 한번 만들어진 세션그룹 키를 다음 그룹 통화 시에 재사용하도록 구성되고, 상기 보안 단말기는 멤버 개개인 자신의 키 트리 잎에서 시작하여 정점 노드에 이르는 직접경로 상에 있는 트리 노드에 해당하는 키들만 계산 생성하는 수단을 구비하고 있다.The secure terminal is configured to reuse a session group key generated once after generating a session group key based on a blind key exchange technique that is performed securely online in real time whenever a call is started in the next group call. Has a means for calculating and generating only the keys corresponding to the tree nodes on the direct path from each member's own key tree leaf to the vertex node.

상기 보안 단말기는 통화를 요청하는 통화요청자에게 현 통화기간 동안만 유효한 TM(Transaction Manager) 자격이 부여하고, TM은 자기 그룹 멤버들에게 그룹통신요구 메시지를 멀티케스트 하며, 이 메시지를 받은 그룹 멤버들은 각각 TM에게 그룹통신참여 가능 여부를 알려주는 응답 메시지를 보낸다.The security terminal grants a call requester requesting a call to a TM, which is valid only for the current call period, and the TM multicasts a group communication request message to its group members. Each of them sends a response message indicating whether group communication is possible.

이 메시지를 받은 TM은 그룹 멤버 중에서 그룹 통신에 참여가능자만을 가지고 액티브 사용자 그룹을 만들며, 이 액티브 사용자 그룹 정보인 키 트리 잎 정보를 블라인드키 요청 메시지에 실어 그룹 멤버들에게 멀티케스트 한다.Upon receiving this message, the TM creates an active user group with only those who can participate in group communication, and multicasts the group members by putting key tree leaf information, which is the active user group information, in the blind key request message.

이 블라인드키 요청 메시지를 받은 액티브 사용자 그룹 멤버들은 각각 키 트리에서 최하위 계층인 자신 노드로 부터 정점 노드에 이르는 직접경로 상에 있는 노드에 해당하는 블라인드 키 값들을 트리의 최하단 계층인 1차 노드부터 시작하여 계층단계별로 순차적으로 멀티케스트 하도록 구성되어 있다.Active user group members who receive this blind key request message start the blind key values corresponding to the node in the direct path from their lowest node in the key tree to the vertex node, starting with the primary node, the lowest layer in the tree. It is configured to sequentially multicast by hierarchical steps.

상기 보안 단말기는 액티브 사용자 그룹 멤버 개개인의 키 트리에서 최하위 계층인 1차 대응노드의 블라인드 키를 알 수 있으므로 디피헬만 기반 키 교환기법에 따라 직접 경로 상의 바로 위 계층, 즉 2차 노드에 대한 블라인드 키 값을 계산 생성하며, 이 2차 대응노드에 대한 블라인드 키 값을 받았기 때문에 이를 이용하여 상기 키 교환기법에 따라 직접 경로 상의 하나 더 위 계층인 3차 노드에 대한 블라인드 키를 계산 생성하고, 마지막으로 이 3차 대응노드에 대한 블라인드 키 값을 받았기 때문에 이를 이용하여 상기 키 교환기법에 따라 정점 노드에 대한 블라인드 키 값을 계산 생성하여 이를 세션그룹 키로 사용하도록 구성되어 있다.Since the security terminal can know the blind key of the primary correspondent node, which is the lowest layer in the key tree of each active user group member, the blind key for the second layer on the direct path, that is, the secondary node, according to the Diffeemann-based key exchange scheme. Calculates and generates a blind key value for the secondary correspondent node, and uses it to calculate and generate a blind key for the third node, which is one higher layer on the direct path, according to the key exchange technique. Since the blind key value for the third correspondence node is received, the blind key value for the vertex node is calculated and generated according to the key exchange method, and used as the session group key.

상기 보안 단말기는 무선 또는 유선으로 구성될 수 있다.The security terminal may be configured wirelessly or wired.

키 제어기와 보안 단말기를 이용한 보안 통신장치를 요약한다. A secure communication device using a key controller and a security terminal is summarized.

상기 보안 통신장치는 디피헬만 기반 키 교환기법을 기본으로 하고, 통화를 요청하는 사용자가 피요청자에게 전송하는 통화요청자의 개인키를 감춘 요청자 블라인드키와, 피요청자는 이에 대한 응답으로 통화요청자에게 전송하는 피요청자의 개인키를 감춘 피요청자 블라인드키와, 통화요청자와 피요청자는 각각 상대방의 블라인드키를 받아 생성되는 세션 키와, 통화요청자와 피요청자의 ID 만을 실시간으로 통보받아서 사전에 보관 중인 통화요청자와 피요청자의 개인키를 찾아서 이들의 블라인드키를 계산하여 이들이 원격에서 생성한 세션 키와 동일한 키 값을 실시간으로 알아내는 수단 및 사용자 개인키를 구비하며, 일대일 또는 그룹 통신 내용을 암호화하기 위하여 블라인드 키 교환 기법에 입각하여 세션 키를 생성하는 수단을 구비하고 있다.The secure communication device is based on the Diffeemann-based key exchange technique, the requester blind key concealing the private key of the call requester sent to the requester by the user requesting the call, and the requester is transmitted to the call requester in response thereto. The caller blind key, which hides the requestor's private key, and the call requester and the requestor are notified in real time only of the session key generated by receiving the blind key of the other party, and the call requester and the requestor's ID in real time. In order to find the requester and the requester's private key, calculate their blind key and find out the same key value as the remotely generated session key in real time, and user private key, and to encrypt one-to-one or group communication contents. Means for generating session keys based on blind key exchange .

상기 보안 통신장치는 일대일 통신을 위해 생성된 세션 키를 통화요청자와 피요청자 단말기로부터 직접 받지 않고도 실시간으로, 온라인으로 통화요청자와 피요청자 ID 정보만 받아서 이들이 사용할 세션 키를 생성하는 수단을 구비한다.The secure communication apparatus includes means for receiving only the call requester and the requestee ID information online in real time without receiving the session key generated for the one-to-one communication directly from the call requester and the requestee terminal, and generating a session key for use thereof.

상기 보안 통신장치는 p4JoinReport 메시지를 Ui로부터 받고, 자신이 보유하고 있는 개인키 리스트에서 Ui와 Uj의 개인키인 Ki와 Kj를 찾은 후에, 개인키인 Ki와 Kj를 식 (gKj mod p)Ki mod p 에 대입 계산하여 구하는 수단을 구비하고 있다. The secure communication device receives the p4JoinReport message from Ui, finds the private keys Ki and Kj of Ui and Uj in the list of private keys it owns, and then expresses the private keys Ki and Kj Ki (g Kj mod p) Ki. It has a means to calculate by substituting mod p.

또한, 상기 보안 통신장치는 그룹 통신을 위해 통화요청자와 피요청자 단말기에서 생성된 세션그룹 키를 직접 받지 않고, 온라인 상에서 실시간으로 그룹통신에 참여하는 액티브 사용자 그룹 멤버들의 ID(식별번호) 정보만 받아서 이들이 사용할 세션그룹 키를 계산 생성하여 그룹 통신을 보안관제하는 수단을 구비한다.In addition, the secure communication device does not directly receive the session group key generated by the call requester and the requestee terminal for group communication, and receives only ID (identification number) information of active user group members participating in the group communication in real time online. And means for calculating and generating session group keys for use by them to securely control group communication.

상기 보안 통신장치는 통화요청자와 피요청자의 ID(식별번호) 만을 실시간으로 통보 받아서 사전에 보관 중인 통화요청자와 피요청자의 개인키를 찾아서 이들의 블라인드키를 계산 생성하여 이들이 원격(통화요청자와 피요청자 단말기)에서 생성한 세션 키와 동일한 키를 실시간으로 알아내는 수단을 구비한다.The secure communication device receives only the ID (identification number) of the call requester and the requestor in real time, finds the call requester and the requester's private keys in advance, calculates blind keys thereof, and generates and generates them. Means for finding out in real time the same key as the session key generated by the requester terminal).

상기 보안 통신장치는 액티브 사용자 그룹 멤버 개개인의 키 트리에서 최하위 계층인 1차 대응노드의 블라인드 키를 알 수 있으므로 디피헬만 기반 키 교환기법에 따라 직접 경로 상의 바로 위 계층, 즉 2차 노드에 대한 키 값을 계산 생성하며, 이 2차 대응노드에 대한 블라인드 키 값을 받았기 때문에 이를 이용하여 상기 키 교환기법에 따라 직접 경로 상의 하나 더 위 계층인 3차 노드에 대한 키를 계산 생성하고, 마지막으로 이 3차 대응노드에 대한 블라인드 키 값을 받았기 때문에 이를 이용하여 상기 키 교환기법에 따라 정점 노드에 대한 키 값을 계산 생성하여 이를 세션그룹 키로 사용하는 수단을 구비하고 있다.Since the secure communication device can know the blind key of the primary correspondent node, which is the lowest layer in the key tree of each active user group member, the key for the second layer on the direct path, that is, the secondary node, is based on the Diffiehlmann-based key exchange scheme. Calculates and generates a value, and since it receives the blind key value for this secondary corresponding node, it is used to calculate and generate the key for the third node, which is one higher layer on the direct path, according to the key exchange technique. Since the blind key value for the third correspondent node is received, the key value for the vertex node is calculated and used according to the key exchange method, and the means is used as the session group key.

상기 보안 통신장치는 멤버 개개인 자신의 키 트리 잎에서 시작하여 정점 노드에 이르는 직접경로 상에 있는 트리 노드에 해당하는 키들만 계산 생성하는 수단을 구비한다.The secure communication device has means for calculating and generating only the keys corresponding to the tree nodes on the direct path from each member's own key tree leaf to the vertex node.

상기 보안 통신장치는 통화가 시작될 때마다 실시간으로, 온라인으로, 안전한 방법으로 블라인드 키 교환기법에 입각하여 세션그룹 키를 생성하여 사용한 후, 한번 생성된 세션그룹 키를 다음 그룹 통화 시에 재사용하도록 구성되어 있다. The secure communication device is configured to generate and use a session group key based on a blind key exchange technique in real time, online, and securely every time a call is started, and then reuse the generated session group key in the next group call. It is.

본 발명은 일대일 통신 또는 그룹 통신에서 특정 세션마다 사용하는 세션 키 및 세션그룹 키 값을 안전하게 온라인에서 실시간으로 생성하는 키 생성 기술과 보안관제(Security Control)를 위하여 일대일 통신이나 그룹통신에서 사용자가 생성하여 사용하는 키 값을 보안 통제 담당 부서 자격으로 안전하게, 온라인에서, 실시간으로 알아내도록 구성된 보안성 있는 이동 IP 통신망에서 세션 키 생성과 보안 관제에 적합한 키 제어기, 보안 단말기 및 보안 통신장치를 제공할 수 있으므로 산업상 이용가능성이 매우 높다.The present invention provides a key generation technology for securely generating the session key and the session group key value used for each specific session in one-to-one communication or group communication in real time online and for security control. Can provide key controller, secure terminal and secure communication device suitable for session key generation and security control in secure mobile IP communication network configured to securely find the key value to be used as security control department safely, online and in real time. Therefore, the industrial availability is very high.

Claims (21)

키 제어기에 있어서,
디피헬만 기반 키 교환기법을 바탕으로, 통화를 요청하는 통화요청자가 피요청자에게 전송하는 정보인 통화요청자의 개인키를 감춘 통화요청자 블라인드키;
통화요청자에 대한 응답으로 피요청자가 통화요청자에게 전송하는 정보인 피요청자의 개인키를 감춘 피요청자 블라인드키;
통화요청자와 피요청자는 각각 상대방의 블라인드키를 받아서 생성되는 세션 키; 및
통화요청자와 피요청자의 ID 만을 실시간으로 통보받아서 사전에 보관 중인 통화요청자와 피요청자의 개인키를 찾아서 이들의 블라인드키를 계산하여 통화요청자와 피요청자 단말기에서 생성한 세션 키와 동일한 키 값을 실시간으로 알아내는 수단을 구비하되,
상기 키 제어기는 그룹 멤버 리스트를 보유하고, 멤버 개인에게 부여된 개인키와 함께 키트리를 가지며, 키트리는 노드를 가지고, 각 노드는 고유번호와 위치정보를 가지며, 모든 노드들이 동일한 숫자의 자식을 가지도록 구성하고, 그룹 통신을 위해 통화요청자와 피요청자 단말기에서 생성된 세션그룹 키를 직접 받지 않고, 실시간으로 온라인으로 그룹통신에 참여하는 액티브 사용자 그룹 멤버들의 ID 정보만 받아서 이들이 사용할 세션그룹 키를 생성하여 그룹 통신을 보안관제하는 수단을 구비한 이동 IP 통신망에서 세션 키 생성과 보안 관제에 사용되는 키 제어기.In the key controller,
A call requester blind key concealing a call requester's private key, which is information transmitted by a call requester requesting a call to the requestee based on a Diffelman based key exchange technique;
Requested blind key that hides the requester's private key, which is information transmitted by the requestor to the call requester in response to the call requester;
The call requester and the requestor each have a session key generated by receiving a blind key of the other party; And
Only the caller and the requester's ID are notified in real time, finds the caller and the requester's private keys in advance and calculates the blind keys of the caller and the requester. With means to find out,
The key controller holds a list of group members, has Kitley with a private key assigned to the individual member, Kitley has nodes, each node has a unique number and location information, and all nodes have the same number of children. It generates the session group key to be used by receiving only the ID information of active user group members participating in group communication online in real time without receiving the session group key generated from call requester and requestee terminal directly for group communication. And a key controller used for session key generation and security control in a mobile IP communication network having means for securely controlling group communication. 삭제delete 삭제delete 삭제delete 삭제delete 삭제delete 청구항 1에 있어서,
상기 키 제어기는 p4JoinReport 메시지를 Ui로부터 받고, 자신이 보유하고 있는 개인키 리스트에서 Ui와 Uj의 개인키인 Ki와 Kj를 찾은 후에, 개인키인 Ki와 Kj를 식 (gKj mod p)Ki mod p 에 대입 계산하여 세션 키 Kij를 구함을 특징으로 하는 키 제어기.The method according to claim 1,
The key controller receives the p4JoinReport message from Ui, finds Ki and Kj, the private keys of Ui and Uj, in the list of private keys it owns, and then expresses the private keys Ki and Kj (g Kj mod p) Ki mod A key controller characterized by obtaining the session key Kij by assigning to p. 청구항 7에 있어서,
상기 키 제어기는 세션 키 Kij를 구할 때, Ui와 Uj가 Kij를 만든 시간과 Kij 정보를 메모리에 기록 저장함을 특징으로 하는 키 제어기. The method of claim 7,
When the key controller obtains the session key Kij, the key controller records and stores the time and Kij information in which the U i and U j make K ij in a memory. 단말기에 있어서,
키 제어기와 연동하는 사용자 개인키를 구비하며,
일대일 또는 그룹 통신 내용을 암호화하기 위하여 디피헬만 기반 키 교환기법에 바탕을 두고, 통화를 요청하는 사용자가 피요청자에게 통화요청자의 개인키를 감춘 요청자 블라인드키를 보내고, 피요청자는 이에 대한 응답으로 피요청자의 개인키를 감춘 피요청자 블라인드키를 통화요청자에게 보내주어 양쪽이 동일한 세션 키를 생성하고,
그룹 통신일 경우에 자신이 어떤 멀티케스트 그룹에 속하는가를 나타내는 그룹 ID 를 구비하며,
그룹 통신일 경우에 그룹 멤버 개개인 자신의 키 트리 잎에서 시작하여 정점 노드에 이르는 직접경로 상에 있는 트리 노드에 해당하는 키들만 계산 생성하도록 구성된 단말기.In the terminal,
It has a user private key linked with the key controller,
Based on the Diffelmann-based key exchange technique to encrypt one-to-one or group communication content, the user requesting the call sends the requestor blind key, which hides the requester's private key, in response. Send the blind key, which hides the requester's private key, to the call requester to generate the same session key.
In the case of group communication, it has a group ID indicating which multicast group it belongs to.
In the case of group communication, the terminal is configured to calculate and generate only the keys corresponding to the tree nodes on the direct path of each group member starting from their own key tree leaf to the vertex node. 삭제delete 삭제delete 청구항 9에 있어서,
상기 단말기는 통화가 시작될 때마다 온라인 상에서 실시간으로, 안전하게 블라인드 키 교환기법에 입각하여 세션그룹 키를 생성하여 사용하고, 한번 생성한 세션그룹 키를 다음 그룹 통화 시에 재사용하도록 구성됨을 특징으로 하는 단말기.The method according to claim 9,
The terminal is configured to generate and use a session group key based on a blind key exchange technique in real time and online whenever a call is started, and reuse the generated session group key in the next group call. . 삭제delete 제 12항에 있어서,
상기 단말기는 통화요청자에게 현 통화기간 동안만 유효한 TM 자격이 부여되고, TM은 자기 그룹 멤버들에게 그룹통신요구 메시지를 멀티케스팅하며, 상기 메시지를 받은 그룹 멤버들은 각각 TM에게 그룹통신참여 가능여부를 알려주는 응답 메시지를 보내고, 상기 메시지를 받은 TM은 그룹 멤버 중에서 그룹 통신에 참여가능자만으로 액티브 사용자 그룹을 만들며, 상기 액티브 사용자 그룹 정보인 키 트리 잎 정보를 블라인드키 요청 메시지에 실어 그룹 멤버들에게 멀티케스트 하고, 상기 블라인드키 요청 메시지를 받은 액티브 사용자 그룹 멤버들은 각각 키 트리에서 최하위 계층인 자신 노드로부터 정점 노드에 이르는 직접경로 상에 있는 노드에 해당하는 블라인드 키 값들을 트리의 가장 아래 계층인 1차 노드부터 시작하여 계층단계별로 순차적으로 멀티케스트 하도록 구성된 단말기.13. The method of claim 12,
The terminal is given a TM qualification valid only during the current call period to the call requester, TM multicasts the group communication request message to its group members, and each group member who receives the message is able to participate in the group communication to the TM. The TM sends an informing response message, and the TM receives an active user group using only those who can participate in group communication, and adds key tree leaf information, which is the active user group information, to a group of group members by using a blind key request message. The active user group members that receive the blind key request message each receive blind key values corresponding to nodes on the direct path from their lowest node in the key tree to the vertex node. Starting with the nodes and sequentially Tea terminal configured to cast. 제 12항에 있어서,
상기 단말기는 액티브 사용자 그룹 멤버 개개인의 키 트리에서 최하위 계층인 1차 대응노드의 블라인드 키를 알 수 있으므로 디피헬만 기반 키 교환 기법에 따라 직접 경로 상의 바로 위 계층인 2차 노드에 대한 블라인드 키 값을 계산 생성하며, 이 2차 대응노드에 대한 블라인드 키 값을 받았기 때문에 이를 이용하여 상기 키 교환기법에 따라 직접 경로 상의 하나 더 위 계층인 3차 노드에 대한 블라인드 키를 계산 생성하고, 마지막으로 이 3차 대응노드에 대한 블라인드 키 값을 받았기 때문에 이를 이용하여 상기 키 교환기법에 따라 정점 노드에 대한 블라인드 키 값을 계산 생성하여 이를 세션그룹 키로 사용함을 특징으로 하는 단말기.13. The method of claim 12,
Since the terminal can know the blind key of the primary correspondent node, which is the lowest layer in the key tree of each active user group member, the terminal determines the blind key value for the secondary node, which is the upper layer on the direct path, according to the Diffelmann-based key exchange scheme. Since we have received the blind key value for this secondary corresponding node, we use it to calculate and generate the blind key for the tertiary node, which is one higher layer on the direct path, according to the key exchange technique. Since the blind key value is received for the corresponding corresponding node, the terminal calculates and generates a blind key value for the vertex node according to the key exchange method using the same as the session group key. 삭제delete 키 제어기와 단말기를 구비한 보안 통신장치에 있어서,
디피헬만 기반 키 교환 기법을 기본으로 하고, 통화를 요청하는 사용자가 피요청자에게 전송하는 통화요청자의 개인키를 감춘 요청자 블라인드키;
피요청자는 이에 대한 응답으로 통화요청자에게 전송하는 피요청자의 개인키를 감춘 피요청자 블라인드키;
통화요청자와 피요청자는 각각 상대방의 블라인드키를 받아 생성되는 세션 키;
통화요청자와 피요청자의 ID 만을 실시간으로 통보받아서 사전에 보관 중인 통화요청자와 피요청자의 개인키를 찾아서 이들의 블라인드키를 계산하여 이들이 통화요청자와 피요청자 단말기에서 생성한 세션 키와 동일한 키 값을 실시간으로 알아내는 수단;
사용자 개인키를 구비하며, 일대일 또는 그룹 통신 내용을 암호화하기 위하여 블라인드 키 교환 기법에 입각하여 세션 키를 생성하는 수단;
그룹 통신을 위해 통화요청자와 피요청자 단말기에서 생성된 세션그룹 키를 직접 받지 않고, 온라인상에서 실시간으로 그룹통신에 참여하는 액티브 사용자 그룹 멤버들의 ID 정보만 받아서 이들이 사용할 세션그룹 키를 계산 생성하여 그룹 통신을 보안관제하는 수단; 및
보안관제를 위하여 통화요청자와 피요청자의 ID 만을 실시간으로 통보받아서 사전에 보관 중인 통화요청자와 피요청자의 개인키를 찾아서 이들의 블라인드키를 계산 생성하여 이들이 통화요청자와 피요청자 단말기에서 생성한 세션 키와 동일한 키를 실시간으로 알아내는 수단을 구비한 보안 통신장치.In a secure communication device having a key controller and a terminal,
A requester blind key based on the Diffelman based key exchange technique and concealing the private key of the call requester which the user requesting the call transmits to the requester;
The respondent may include a requester blind key that hides the requestor's private key, which is sent to the caller in response;
The call requester and the requestor each have a session key generated by receiving a blind key of the other party;
Only the caller and the requester's ID are notified in real time, finds the caller and the requester's private keys in advance and calculates their blind keys so that they have the same key value as the session key generated by the caller and the requester's terminal. Means for finding out in real time;
Means for generating a session key based on a blind key exchange scheme for encrypting one-to-one or group communication content with a user private key;
Instead of receiving the session group key generated by the call requester and the requestee terminal directly for group communication, it receives the ID information of the active user group members who participate in the group communication online in real time and calculates and generates the session group key for use. Means for security control; And
For security control, only the call requester and the requestee's ID are notified in real time, finds the call requester and the requester's private keys in advance, calculates their blind keys, and generates the session keys. And a means for finding out the same key in real time. 삭제delete 청구항 17에 있어서,
상기 세션 키는 p4JoinReport 메시지를 Ui로부터 받고, 자신이 보유하고 있는 개인키 리스트에서 Ui와 Uj의 개인키인 Ki와 Kj를 찾은 후에, 개인키인 Ki와 Kj를 식 (gKj mod p)Ki mod p 에 대입 계산하여 구함을 특징으로 하는 보안 통신장치.18. The method of claim 17,
The session key receives the p4JoinReport message from Ui, finds the private keys Ki and Kj of Ui and Uj in the list of private keys it owns, and then expresses the private keys Ki and Kj (g Kj mod p) Ki mod Secure communication device characterized in that obtained by substituting for p. 삭제delete 삭제delete
KR1020110011127A 2011-02-08 2011-02-08 Key control devices, secure terminals and communication apparatus suitable for session key generation and security control in secure and mobile IP networks KR101269761B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020110011127A KR101269761B1 (en) 2011-02-08 2011-02-08 Key control devices, secure terminals and communication apparatus suitable for session key generation and security control in secure and mobile IP networks

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110011127A KR101269761B1 (en) 2011-02-08 2011-02-08 Key control devices, secure terminals and communication apparatus suitable for session key generation and security control in secure and mobile IP networks

Publications (2)

Publication Number Publication Date
KR20120090611A KR20120090611A (en) 2012-08-17
KR101269761B1 true KR101269761B1 (en) 2013-06-04

Family

ID=46883643

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110011127A KR101269761B1 (en) 2011-02-08 2011-02-08 Key control devices, secure terminals and communication apparatus suitable for session key generation and security control in secure and mobile IP networks

Country Status (1)

Country Link
KR (1) KR101269761B1 (en)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6151395A (en) 1997-12-04 2000-11-21 Cisco Technology, Inc. System and method for regenerating secret keys in diffie-hellman communication sessions
JP2001268069A (en) 2000-03-22 2001-09-28 Advanced Mobile Telecommunications Security Technology Research Lab Co Ltd Key escrow system

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6151395A (en) 1997-12-04 2000-11-21 Cisco Technology, Inc. System and method for regenerating secret keys in diffie-hellman communication sessions
US6483921B1 (en) 1997-12-04 2002-11-19 Cisco Technology, Inc. Method and apparatus for regenerating secret keys in Diffie-Hellman communication sessions
JP2001268069A (en) 2000-03-22 2001-09-28 Advanced Mobile Telecommunications Security Technology Research Lab Co Ltd Key escrow system

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
"이동성과 보안성 있는 멀티케스트 통신을 위한 군용 그룹 키 관리", 한국통신학회논문지 제35권 제6호(네트워크 및 서비스), 2010.6 *

Also Published As

Publication number Publication date
KR20120090611A (en) 2012-08-17

Similar Documents

Publication Publication Date Title
CN103534975B (en) The security association for key management is found according to public-key cryptography
CN104486307B (en) A kind of fraction key management method based on homomorphic cryptography
CN101635710B (en) Pre-shared-key-based method for controlling secure access to networks and system thereof
CN110034940A (en) Between communicating mobile devices in 3GPP LTE close to discovery, certification and link establishment
Luong et al. Applications of economic and pricing models for wireless network security: A survey
WO2005101727A1 (en) Communication device, communication system, and authentication method
CN105721433B (en) A kind of access control method of online social network user private data
US11792186B2 (en) Secure peer-to-peer based communication sessions via network operating system in secure data network
Kumar et al. Design of peer-to-peer protocol with sensible and secure IoT communication for future internet architecture
CN103763094A (en) Intelligent electric meter system safety monitoring information processing method
CN109274492A (en) From the close coupling privacy sharing method of safety
CN101908961A (en) Multi-party secret handshaking method in short key environment
CN105978918A (en) Bilinear identity authentication method suitable for wireless body area network communication access
Scalavino et al. An opportunistic authority evaluation scheme for data security in crisis management scenarios
Peng et al. A privacy-preserving crowdsensing system with muti-blockchain
KR101269761B1 (en) Key control devices, secure terminals and communication apparatus suitable for session key generation and security control in secure and mobile IP networks
JP2009087044A (en) Communication terminal device and community management device
CN107979466A (en) The safe Enhancement Method of iSCSI protocol based on Diffie-Hellman agreements
JP4371629B2 (en) Group encryption communication method, authentication method, computer and program
Zhang et al. Collusion-resistant query anonymization for location-based services
Bakar et al. Trust formation based on subjective logic and pgp web-of-trust for information sharing in mobile ad hoc networks
KR20130027941A (en) Cyber security event information management device, and cyber security event information management method
Rivero‐García et al. Using blockchain in the follow‐up of emergency situations related to events
Tanada et al. Proposal for secure group communication using encryption technology
Lehane et al. Ad hoc key management infrastructure

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20161014

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20170512

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20180508

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20190502

Year of fee payment: 7