KR101653956B1 - 암호화된 트래픽을 모니터링하는 방법 및 장치 - Google Patents

암호화된 트래픽을 모니터링하는 방법 및 장치 Download PDF

Info

Publication number
KR101653956B1
KR101653956B1 KR1020150190158A KR20150190158A KR101653956B1 KR 101653956 B1 KR101653956 B1 KR 101653956B1 KR 1020150190158 A KR1020150190158 A KR 1020150190158A KR 20150190158 A KR20150190158 A KR 20150190158A KR 101653956 B1 KR101653956 B1 KR 101653956B1
Authority
KR
South Korea
Prior art keywords
packet
destination
network device
algorithm
source
Prior art date
Application number
KR1020150190158A
Other languages
English (en)
Inventor
백정운
장동호
이경헌
Original Assignee
주식회사 파이오링크
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 파이오링크 filed Critical 주식회사 파이오링크
Priority to KR1020150190158A priority Critical patent/KR101653956B1/ko
Application granted granted Critical
Publication of KR101653956B1 publication Critical patent/KR101653956B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/04Masking or blinding

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 암호화된 패킷을 출발지에서 목적지로 전송할 때, 발생하는 네트워크 장치의 퍼포먼스 손실을 최소화하는 네트워크 장치에서 암호화된 트래픽을 모니터링하는 방법 및 이에 대한 네트워크 장치를 제안한다. 이를 위해 본 발명은 네트워크 장치에서 트래픽을 모니터링하는 방법에 관한 것으로서, (a) 패킷이 수신되면, 네트워크 장치는, i) 패킷을 저장하고, ii) 획득된 키 블록을 참조하여 패킷을 복호화한 후 패킷을 검사하는 단계 및 (b) 패킷의 검사 결과가 정상이라고 판단되었음이 감지되면, 네트워크 장치는, 저장된 패킷을 목적지로 포워딩하는 단계를 포함한다.

Description

암호화된 트래픽을 모니터링하는 방법 및 장치{METHOD FOR MONITORING ENCODED TRAFFIC AND APPARATUS USING THE SAME}
본 발명은 트래픽 모니터링 방법 및 장치에 관한 것으로, 더욱 상세하게는, 암호화된 패킷의 검사 효율과 속도를 증가시키는 네트워크 장치에서 암호화된 트래픽을 모니터링하는 방법 및 장치에 관한 것이다.
통상적으로, 네트워크 장치의 트래픽은 네트워크 장치에 연결되는 단말기 간 세션의 수가 증가하거나, 각 세션에서 송수신되는 패킷의 수가 증가함에 따라 증가한다. 그러나, 세션이나 패킷 증가가 아닌, 단말기 사이의 암호화 통신에 의해서도 트래픽 증가와 동일 또는 유사한 과부하를 네트워크 장치에 가할 수 있다.
현재 가장 많이 사용되는 SSL(Secure Sockets Layer) 프로토콜이나 TLS(Transport Layer Security) 프로토콜의 경우, 패킷을 전송하는 출발지에서 목적지로 전송할 때, 출발지와 목적지 사이에서 패킷을 전달하는 네트워크 장치는 패킷 검사를 위해 암호화된 패킷을 복호화할 필요가 있다. 이는 도 1을 참조하여 설명하도록 한다.
도 1을 참조하면, 송신자 단말기(1)가 암호화된 패킷을 전송하면, 이를 종래의 네트워크 장치의 포워딩 모듈(3a)에서 수신하여 복호화 모듈(3b)로 전달하고, 복호화 모듈(3b)은 암호화된 패킷을 복호화하여 검사 모듈(3c)로 제공한다. 검사 모듈(3c)은 패킷에 포함되는 데이터를 검사하여 패킷에 바이러스, 말웨어를 비롯, 비정상적인 네트워크 트래픽을 유발하는 악성 코드를 필터링할 수 있다. 필터링된 데이터는 암호화 모듈(3d)에서 재차 암호화되어 포워딩 모듈(3a)로 전달되고, 포워딩 모듈(3a)은 재차 암호화된 패킷을 목적지로 전달할 수 있다.
여기서, 종래의 네트워크 장치는 암호화된 패킷을 재 암호화는 과정을 수행하여야 하고, 복호화된 패킷을 재차 암호화하는 과정에서, 프로세싱 자원을 낭비하는 경향이 있다. 프로세서를 싱글 코어에서 멀티 코어로 증가시키거나, 또는 싱글 코어의 처리 속도를 증가시킨다 하더라도, 네트워크 장치로 유입되는 패킷이 암호화되어 있다면, 복호화 후, 데이터를 검사하는 과정에 의해 네트워크 장치의 퍼포먼스(Performence)를 크게 낮출 우려가 있음은 자명하다.
이에 대해, 한국공개특허 제1999-0088222호는 패킷 트래픽을 감소시키기 위해, 복수의 데이터 수신기가 암호화된 패킷을 수신 후, 자신에게 속한 목적지와 관련성이 있는가를 판단하고, 판단결과, 자신이 전달해야 할 목적지와 관련이 없는 경우, 타 데이터 수신기로 데이터를 전달하지 않고 폐기하는 데이터 전송 시스템을 제안한 바 있다. 그러나, 한국공개특허 제1999-0088222호는 암호화된 패킷의 내용을 파악하기 위해 복호화해야 하는 점에서는 이전과 다를 바 없고, 자신에게 할당된 패킷인 경우, 복호화된 패킷을 재차 암호화해야 한다는 점에서는 이전과 다를 바가 없다. 결국, 한국공개특허 제1999-0088222 또한 패킷을 "복호화 - 암호화"하여야 하는 점에서는 다를 바 없는 것이다.
현재, 보안 네트워크에 적용되는 SSL 또는 TLS 프로토콜에서 네트워크 장치에 유발하는 트래픽 중 암호화된 패킷을 복호화 후, 복호화된 패킷에 대한 데이터 검사가 종료된 후, 데이터를 재차 암호화하는 과정이 네트워크 장치의 퍼포먼스 저하와 관련하여 하나의 이슈가 되고 있는 바, 한국공개특허 제1999-0088222호의 데이터 전송 시스템은 암호화된 패킷의 처리에 소요되는 손실을 해결하는데 부족함이 있을 수 있다.
본 발명의 목적은 네트워크 장치로 유입되는 패킷의 복호화 및 암호화에 소요되는 시간과 퍼포먼스 손실을 최소화하는 네트워크 장치에서 암호화된 트래픽을 모니터링하는 방법 및 장치를 제공함에 있다.
본 발명의 다른 목적은 패킷의 출발지와 목적지 사이의 핸드쉐이크 과정을 중개하면서 키 교환 알고리즘 중 공유되지 않는 비밀키를 이용하는 알고리즘이 있음이 감지되면, 상기 공유되지 않는 비밀키를 이용하는 알고리즘을 목적지로 전달되지 않도록 마스킹하여 암호화된 트래픽을 모니터링하는 방법 및 장치를 제공함에 있다.
본 발명의 일 태양에 따르면, 네트워크 장치에서 트래픽을 모니터링하는 방법에 있어서, (a) 패킷이 수신되면, 네트워크 장치는, i) 상기 패킷을 저장하고, ii) 획득된 키 블록을 참조하여 상기 패킷을 복호화한 후 상기 패킷을 검사하는 단계 및 (b) 상기 패킷의 검사 결과가 정상이라고 판단되었음이 감지되면, 상기 네트워크 장치는, 상기 저장된 패킷을 목적지로 포워딩하는 단계를 포함하는 방법이 제공된다.
본 발명의 다른 태양에 따르면, (a) 네트워크 장치는, 수신되는 패킷의 출발지와 목적지 사이의 핸드쉐이크(Handshake) 과정을 중개하면서, 상기 출발지와 상기 목적지 사이에 교환되는 키 교환 알고리즘 목록을 획득하는 단계; 및 (b) 상기 키 교환 알고리즘 중 공유되지 않는 비밀키를 이용하는 알고리즘이 있는지 판단하고, 상기 공유되지 않는 비밀키를 이용하는 알고리즘을 상기 목적지로 전달되지 않도록 마스킹하는 단계;를 포함하는 것을 특징으로 하는 방법이 제공된다.
본 발명의 또 다른 태양에 따르면, 트래픽을 모니터링하는 네트워크 장치에 있어서, 패킷을 수신하는 통신부; 및 상기 패킷을 저장 후, i) 획득된 키 블록을 참조하여 상기 패킷을 복호화한 후 상기 패킷을 검사하고, ii) 상기 패킷의 검사 결과가 정상이라고 판단되었음이 감지되면, 상기 통신부로 하여금 상기 저장된 패킷을 목적지로 포워딩하도록 지원하는 프로세서;를 포함하는 장치가 제공된다.
본 발명의 또 다른 태양에 따르면, 트래픽을 모니터링하는 네트워크 장치에 있어서, 수신되는 패킷의 출발지와 목적지 사이의 핸드쉐이크(Handshake) 과정을 중개하면서, 상기 출발지와 상기 목적지 사이에 교환되는 키 교환 알고리즘 목록을 획득하는 통신부, 및 상기 키 교환 알고리즘 중 공유되지 않는 비밀키를 이용하는 알고리즘이 있는지 판단하고, 상기 공유되지 않는 비밀키를 이용하는 알고리즘을 상기 목적지로 전달되지 않도록 마스킹하는 프로세서;를 포함하는 것을 특징으로 하는 장치가 제공된다.
본 발명에 따르면, 네트워크 장치에서 트래픽을 모니터링함에 있어서, 네트워크 장치로 유입되는 패킷의 복호화 및 암호화에 소요되는 시간과 퍼포먼스 손실을 최소화할 수 있다.
또한, 본 발명에 따르면, 트래픽을 모니터링함에 있어서, 패킷의 출발지와 목적지 사이의 핸드쉐이크 과정을 중개하면서 RSA 키 교환 알고리즘과 같이 공유 가능한 키 블록을 추출하여, 트래픽에 대한 모니터링이 원활하게 이루어지도록 할 수 있다.
또한, 본 발명에 따르면, 트래픽을 모니터링함에 있어서, 패킷의 출발지와 목적지 사이의 핸드쉐이크 과정을 중개하면서 DH 키 교환 알고리즘과 같이 공유되지 않는 비밀키를 이용하는 알고리즘이 있음이 감지되면, 상기 공유되지 않는 비밀키를 이용하는 알고리즘을 목적지로 전달되지 않도록 마스킹하여, 트래픽에 대한 모니터링이 원활하게 이루어지도록 할 수 있다.
도 1은 종래의 네트워크 장치의 일 예에 따른 개념도를 도시한다.
도 2는 본 발명의 일 실시예에 따른 네트워크 장치 및 네트워크 장치에서 트래픽을 모니터링하는 방법에 대한 개념도를 도시한다.
도 3은 본 발명의 일 실시예에 따른 마스킹 과정에 대한 참조도면을 도시한다.
도 4는 본 발명의 실시예에 따른 네트워크 장치에서 암호화 알고리즘을 마스킹하는 방법에 대한 개념도를 도시한다.
본 명세서에서 언급되는 출발지와 목적지는 출발지 단말기 또는 목적지 단말기를 의미할 수 있다.
또한, 단말기는 서버, 컴퓨터, 휴대단말기(예를 들어 스마트폰)와 같은 "컴퓨팅 장치"를 지칭할 수 있다.
즉, 출발지는 패킷을 전송하는 서버, 컴퓨터 및 스마트폰과 같은 장치를 의미하고, 목적지는 패킷을 수신하는 서버, 컴퓨터 및 스마트폰과 같은 장치를 의미할 수 있다. 목적지와 출발지는 패킷을 전송하는지, 패킷을 수신하는지에 따라 결정되는 것인 바, 특정 장치를 지칭하는 대신, "출발지"와 "목적지"로 나누어 설명하도록 한다.
본 명세서에서 언급되는 네트워크 장치는 스위치, 라우터 및 공유기와 같은 장비가 해당할 수 있으며, 이 외에도, 통신부(NIC : Network Interface Card) 및 프로세서를 구비하는 장치라면, 본 명세서에서 언급되는 네트워크 장치라 할 수 있다.
이하, 도면을 참조하여 본 발명을 상세히 설명하도록 한다.
도 2는 본 발명의 일 실시예에 따른 네트워크 장치 및 네트워크 장치에서 트래픽을 모니터링하는 방법에 대한 개념도를 도시한다.
도 2를 참조하면, 실시예에 따른 네트워크 장치(100)는 통신부(110) 및 프로세서(120)를 포함하여 구성될 수 있다.
통신부(110)는 이더넷 커넥터(예를 들어, RJ-45) 및 네트워크 인터페이스 카드(NIC : Network Interface Card)를 포함할 수 있으며, 이더넷 커넥터를 통해 출발지에서 전송되는 패킷을 프로세서(120)로 전달하거나 또는 프로세서(120)에서 외부 네트워크로 전달할 패킷을 이더넷 커넥터를 통해 외부 네트워크로 전달할 수 있다.
프로세서(120)는 싱글 코어 또는 멀티 코어로 구성될 수 있으며, 내부에 메모리가 내장되거나 또는 외장 메모리와 연결되어 네트워크 제어 프로그램 또는 네트워크 모니터링 프로그램을 구동할 수 있다.
또한, 프로세서(120)는 네트워크 제어 프로그램을 구동하여 통신부(110)를 통해 유입되는 패킷을 복호화한 후, 아래의 각 호에 따른 제어를 수행할 수 있다.
1) 보안 정책(Security) 정책에 따라 복호화된 패킷이 바이러스, 말웨어, 스파이웨어와 관련되어 있지 않은가를 판단한다.
2) 보안 정책에 따라 마스킹(Masking) 처리되어야 할 데이터가 패킷에 존재하는 경우, 패킷에서 해당 데이터를 마스킹 처리하여 목적지로 전달할 수 있다.
3) 보안 정책을 만족하는 패킷은 별도의 암호화 과정을 거치는 대신, 보안 정책을 만족하면, 유입된 네트워크 패킷을 그대로 목적지로 포워딩(Forwarding)할 수 있다.
4) 3)의 경우, 출발지에서 목적지로 향하는 패킷의 데이터가 마스킹 되면, 마스킹된 패킷의 데이터값 변동을 감안하여, 데이터값에 대한 새로운 해쉬 값을 생성하여 패킷을 조작할 수 있다.
5) 연결 정책에 따라 출발지와 목적지가 특정 암호화 프로토콜을 이용하지 않도록 마스킹할 수 있다.
이하, 각 항목을 상세히 살펴보도록 한다.
먼저, 항목 1)에 언급된 보안 정책(Security Polish)은 비정상 패킷에 대한 것으로, 패킷에 목적지를 공격하기 위한 기능이 포함되는 경우를 의미할 수 있다.
이 경우, 실시예에 따른 네트워크 장치(100)는 비정상 패킷을 차단하거나, 폐기할 수 있다.
구체적으로, 패킷의 검사 결과가 비정상이라고 판단되었음이 감지되면, 네트워크 장치(100)는, 해당 세션을 상기 패킷의 출발지와 목적지로 나누고, 키 블록을 사용하여 암호화된 세션 종료 패킷을 양측으로 전송할 수 있다.
다른 예로서, 상기 패킷의 검사 결과가 비정상이라고 판단되었음이 감지되고, 세션 종료 패킷이 컨텐츠를 포함하지 않는 경우, 네트워크 장치(100)는, 패킷에 대한 암호화 없이 TCP 세션 종료 패킷(가령, RST 또는 FIN)을 전송할 수도 있다.
또 다른 예로서, 네트워크 장치(100)가 inline에 존재할 때, 패킷의 검사 결과가 비정상이라고 판단되었음이 감지되면, '404 Not Found' 와 같이 애플리케이션에 특화된 차단 패킷을 삽입할 수도 있다.
한편, 상기에서 살펴본 항목 2)에 언급된 보안 정책은 출발지에서 목적지로 향하는 패킷에 불요한 데이터가 포함된 경우를 의미할 수 있다. 예를 들어, 금융 거래 시, 불필요한 개인 정보가 패킷에 포함되는 경우 또는 데이터 포맷에 맞지 않는 데이터가 포함된 패킷은 삭제되는 대신, 해당 데이터를 마스킹 처리한 후, 목적지로 포워딩(Forwarding)될 수 있다.
항목 3)은 본 발명의 주요 특징 중 하나로서, 보안 정책을 만족하는 패킷은 별도의 암호화 과정 없이 그대로 목적지로 포워딩됨을 의미한다.
이를 위해, 네트워크 장치(100)로 유입된 패킷은 프로세서(120)와 연결되는 메모리(130)나, 프로세서(120) 내부에 마련되는 메모리에 버퍼링 되었다가, 목적지로 포워딩될 수 있다. 이에 따라, 기존의 네트워크 장치가 "복호화 - "데이터 검사" - "암호화" - "포워딩"의 순서에 따라 패킷을 처리하던 것을, "복호화" - "데이터 검사" - "포워딩"의 순서에 따라 패킷을 처리토록 함으로써, 패킷 암호화에 소요되는 시간을 대폭 감소시킬 수 있다.
본 발명은 패킷의 암호화와 복호화에 소요되는 시간 중 절반 가까이 감소시켜, 네트워크 장치(100)의 퍼포먼스를 증가시키지 않고도, 암호화된 패킷 처리에 소요되는 시간을 대폭 감소시킬 수 있다.
항목 4)는 출발지에서 목적지로 향하는 패킷의 데이터가 마스킹될 때, 마스킹된 패킷의 데이터 검증 값 변동을 해결하기 위한 것이다. 이는 도 3을 함께 참조하여 설명하도록 한다.
도 3을 참조하면, 도 3의 (a)는 실시예에 따른 네트워크 장치(100)로 유입되는 암호화 패킷을 나타낸다. 유입된 패킷에 불필요한 정보(예를 들어, 개인 정보나 데이터 포맷에 맞지 않는 데이터)가 포함되어 있고, 프로세서(120)가 도 3의 (b)에 도시된 바와 같이, 해당 정보를 마스킹 하였다면, 도 3의 (a)에 대한 해쉬 값(Hash 1)과 도 3의 (b)에 대한 해쉬 값(Hash 2)은 동일하지 않다. 그 이유는 도 3의 (a)에 도시된 패킷의 데이터에 대해 해쉬 값(Hash 1)이 산출되는데 따른 것으로, 도 3의 (b)에서 마스킹(Masking) 처리된 데이터의 해쉬 값(Hash 2)은 마스킹 처리되지 않은 해쉬 값(Hash 1)과 동일하지 않다. 출발지와 목적지 사이에 핸드쉐이킹(Handshaking) 과정이 수행될 때, 출발지와 목적지의 단말기는 상대편에게 전송한 패킷의 위변조를 방지하기 위해, 각 패킷에 해쉬 값(예를 들어, Hash 1, Hash 2)을 부가하는데, 부가된 해쉬 값(Hash 1, Hash 2)이 상이하다면, 출발지와 목적지의 패킷 송수신은 올바로 진행되지 않을 수 있다. 이를 방지하기 위해, 도 3의 (b)에 도시된 바와 같이, 네트워크 장치(100)에서 패킷 데이터를 마스킹 처리하는 경우, 마스킹 처리된 후의 해쉬 값을 조작할 필요가 있는 것이다. 도 3의 (c)는 마스킹된 데이터(Masked data)에 대해 새로운 해쉬 값(Hash 3)을 생성하고, 생성된 해쉬 값(Hash 3)을 패킷에 부가하는 일 예를 도시한다.
5)의 항목은 출발지와 목적지가 핸드쉐이킹할 때, 키 블록 추출이 곤란한 특정 프로토콜의 사용을 제한하는 것을 나타낸다.
출발지와 목적지가 상호 핸드쉐이킹을 수행할 때, 출발지는 목적지로, 가용한 암호화 알고리즘이나 프로토콜을 통보하고, 마찬가지로, 목적지는 출발지로 가용한 암호화 알고리즘이나 프로토콜을 통보함으로써, 보안 통신이 시작된다.
이때, 실시예에 따른 네트워크 장치(100)는 출발지와 목적지 사이의 핸드쉐이킹 과정을 중개하면서, 출발지와 목적지 사이의 키 블록을 획득하고, 획득한 키 블록(Key block)을 이용하여 패킷을 암호화하는데 요구되는 암호화 값 및 메시지 인증코드(MAC : Message Authentication Code)을 획득할 수 있다.
암호화 값은 네트워크 장치(100)로 수신된 패킷의 암호화 및 복호화를 위해 요구되고, 메시지 인증코드(MAC)는 패킷의 무결성 인증을 위한 키(Key)로서 출발지에서 목적지로 패킷이 전송될 때, 전송되는 패킷의 무결성 인증 값을 생성하기 위한 키를 의미한다.
전술한 도 3의 (a) 내지 (c)에서 마스킹 작업에 의해 메시지 인증 코드를 변경해야 할 필요가 있음을 언급한 바 있으며, 메시지 인증 코드의 변경을 위해서는 키 블록에 포함되는 암호화 값, 및 MAC 값이 필요함을 언급한 바 있다. 그런데, 디피-헬만(Diffie-Hellman) 알고리즘 또는 이와 유사하게 공개되지 않는 개인키를 이용하는 기타 알고리즘을 통해 출발지와 목적지가 보안 통신을 수행하는 경우, 출발지와 목적지가 공유되지 않는 비밀키를 구비하므로, 네트워크 장치(100)가 핸드쉐이크 과정에 개입한다 하더라도, 패킷의 암호화 복호화 및 메시지 인증코드 변경을 위한 개입이 곤란할 수 있다. 이에 대해, 실시예에 따른 네트워크 장치(100)는 키 블록 추출이 곤란한 암호화 알고리즘의 사용을 제한할 수 있으며, 키 블록 추출이 곤란한 암호화 알고리즘의 사용을 제한하기 위해, 핸드쉐이킹 과정에서 특정 알고리즘 목록을 마스킹 처리할 수 있다. 이는 도 4를 함께 참조하여 설명하도록 한다.
도 4를 참조하면, 출발지에 마련되는 암호화 알고리즘은 A1, A2, A3 및 A5이 존재하고, 목적지에 마련되는 암호화 알고리즘은 A3, A4, A5, A10 등이 존재하고 있음을 볼 수 있다.
핸드쉐이킹 과정에서 출발지와 목적지는 상대방에게 자신이 가용한 암호화 알고리즘의 목록을 주고 받을 수 있다. 통상 SSL 통신 프로토콜에서 사이퍼 수트 (Cipher_suites)를 교환하는 것을 지칭한다.
즉, 출발지와 목적지가 상호 교환하는 사이퍼 수트에서 디피-헬만 알고리즘, 또는 상호 공유되지 않는 개인키를 비밀키로 구비하는 기타 암호화 알고리즘의 목록을 마스킹 처리하여 상대방에게 제공함으로써, 디피-헬만 알고리즘 또는 이와 유사한 기타 알고리즘이 출발지와 목적지 사이에 이용되지 않도록 할 수 있다.
예를 들어, 네트워크 장치(100)는 출발지에서 목적지로 향하는 사이퍼 수트에서 디피-헬만 알고리즘을 마스킹 처리하고, 이때, 사이퍼 수트를 포함하는 패킷의 메시지 인증 코드를 변경하며, 마찬가지로, 목적지에서 출발지로 향하는 사이퍼 수트에 대해서도 동일한 작업을 진행할 수 있다. 이에 따라, 출발지는 목적지가 디피-헬만 암호화 알고리즘을 사용하지 못하는 것으로 판단하게 되고, 마찬가지로, 목적지는 출발지가 디피-헬만 알고리즘을 사용하지 못하는 것으로 판단한다. 이에 다라, 출발지와 목적지 사이에 디피-헬만 알고리즘이 사용되지 않는다.
도 4에서, 암호화 알고리즘(A5)이 디피-헬만 알고리즘이라면, 네트워크 장치(100)는 알고리즘(A5)을 마스킹 처리할 수 있다. 이 경우, 네트워크 장치(100)는 출발지의 사이퍼 수트에서 암호화 알고리즘(A5)이 제거된 목록(A1, A2, A3)을 목적지로 전달하고, 목적지의 사이퍼 수트에서는 암호화 알고리즘(A5)이 제거된 목록(A3, A4, A10)을 출발지로 전달할 수 있다. 이에 따라, 가령, 출발지와 목적지가 공유하는 암호화 알고리즘으로서, 암호화 알고리즘(A3)이 선택되고, 출발지와 목적지는 암호화 알고리즘(A3)을 이용하여 보안 통신을 수행하게 된다.
한편, 프로세서(120)는 모니터링 프로그램 및 제어 프로그램을 구동하여 출발지에서 목적지로 전송되는 패킷을 포워딩하거나, 복호화하거나 또는 데이터 검사를 수행할 수 있다.
이들 모니터링 프로그램이나 제어 프로그램은 네트워크 장치(100) 내에서 하드웨어로 구현되거나 또는 프로그램으로 구현될 수 있다. 프로그램으로 구현되는 경우, 메모리(130)에 프로그램 모듈이 저장되고, 프로세서(120)가 메모리(130)에 저장된 프로그램 모듈을 구동하여 통신부(110)를 출입하는 패킷을 포워딩하거나, 복호화하거나 또는 데이터 검사를 수행할 수 있다.
반대로 하드웨어로 구현되는 경우, 도 2에 도시된 포워딩 모듈(121), 복호화 모듈(122) 및 검사 모듈(123)은 프로세서(120)에 형성되거나, 또는 프로세서(120) 주변에 마련되는 하드웨어 로직일 수 있다. 하드웨어로 구현되는 경우 프로세서(120)가 메모리(130)에서 프로그램 모듈을 구동하는 방식 대비 더 빠른 처리 속도를 기대할 수 있다.
바람직하게는, 프로세서(120)는 포워딩 모듈(121), 복호화 모듈(122) 및 검사 모듈(123)을 포함하여 구성될 수 있는데, 포워딩 모듈(121)은 통신부(110)를 통해 패킷이 유입되면, 유입된 패킷을 메모리(130)에 버퍼링하고, 복호화 모듈(122)로 전송한다. 또한, 검사 모듈(123)을 통해 해당 패킷에 아무 문제가 없다는 제어신호(FW)가 전달되면, 메모리(130)에 버퍼링해둔 패킷을 통신부(110)를 통해 목적지로 전달할 수 있다.
여기서, 본 발명의 가장 큰 특징으로, 복호화한 패킷을 재차 암호화하지 않고, 메모리(130)에 버퍼링해둔 패킷을 그대로 목적지로 포워딩한다는데 있다.
통상적인 네트워크 장치는 통신부를 통해 유입된 패킷을 재차 암호화하여 새롭게 패킷을 형성하는 과정이 발생하는 반면, 본 발명에 따른 네트워크 장치(100)는 새롭게 패킷을 형성하는 과정이 생략되고, 메모리(130)에 버퍼링된 패킷을 그대로 목적지로 포워딩한다는데 있다. 패킷을 포워딩함에 따라, 패킷을 새롭게 형성하는데 프로세서(120)의 자원이 소요되지 않음은 물론, 패킷을 형성하는데 시간을 소모하지 않으므로, 동일한 프로세서를 이용하였을 때, 암호화된 패킷처리에 소요되는 시간과 자원을 대폭 감소시킬 수 있다.
복호화 모듈(122)은 포워딩 모듈(121)로부터 암호화된 패킷을 제공받고, 이를 복호화할 수 있다.
출발지와 목적지가 최초 핸드쉐이킹을 수행할 때, 실시예에 따른 프로세서(120)는 출발지와 목적지 사이에 협의된 암호화 알고리즘과 키 블록을 획득할 수 있다.
출발지와 목적지 사이에 암호화 알고리즘이 협의되었고, 네트워크 장치(100)가 이를 인지하였으며, 항목 5)를 통해 설명한 바와 같이, 출발지와 목적지가 각자 비밀키를 구비하는 알고리즘을 배제하였다면, 복호화 모듈(122)은 암호화된 패킷에 대해 복호화 알고리즘을 적용하여 암호화 패킷을 복호화할 수 있다. 암호화된 패킷이 복호화되면, 이를 검사 모듈(123)로 제공하고, 검사 모듈(123)은 패킷의 이상 여부, 바이러스, 말웨어와 같은 비정상 프로그램 코드인지의 여부, 및 불요 정보(예를 들어, 개인정보)가 포함되어 있는가를 판단할 수 있다. 판단결과, 검사 대상 패킷에 문제가 없는 경우, 검사 모듈(123)은 포워딩 모듈(121)로 제어신호(FW)를 전송하고, 포워딩 모듈(121)은 제어신호(FW)에 응답하여 메모리(130)에 버퍼링된 암호화된 패킷을 통신부(110)로 전송하며, 통신부(110)는 포워딩 모듈(121)에서 전송된 암호화된 패킷을 목적지로 전달하게 된다.
여기서, 메모리(130)는 휘발성 메모리 및 비 휘발성 메모리를 총칭한 것으로, 프로그램 모듈이 프로세서(120)에서 구동하는 방식인 경우, 참조부호 "121", "122", "123"에 따른 프로그램이 저장되는 비 휘발성 메모리와, 프로세서(120)에서 참조부호 "121", 122", 123"의 구동을 위해 필요로 하는 임시 저장공간을 제공하는 휘발성 메모리를 통칭한다.
또한, 이상 설명된 본 발명에 따른 실시예들은 다양한 컴퓨터 구성요소를 통하여 수행될 수 있는 프로그램 명령어의 형태로 구현되어 컴퓨터 판독 가능한 기록 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능한 기록 매체는 프로그램 명령어, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 컴퓨터 판독 가능한 기록 매체에 기록되는 프로그램 명령어는 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 분야의 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능한 기록 매체의 예에는, 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM, DVD와 같은 광기록 매체, 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 ROM, RAM, 플래시 메모리 등과 같은 프로그램 명령어를 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령어의 예에는, 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드도 포함된다. 상기 하드웨어 장치는 본 발명에 따른 처리를 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
이상에서 본 발명이 구체적인 구성요소 등과 같은 특정 사항들과 한정된 실시예 및 도면에 의해 설명되었으나, 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐, 본 발명이 상기 실시예들에 한정되는 것은 아니며, 본 발명이 속하는 기술분야에서 통상적인 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형을 꾀할 수 있다.
따라서, 본 발명의 사상은 상기 설명된 실시예에 국한되어 정해져서는 아니 되며, 후술하는 특허청구범위뿐만 아니라 이 특허청구범위와 균등하게 또는 등가적으로 변형된 모든 것들은 본 발명의 사상의 범주에 속한다고 할 것이다.
100 : 네트워크 장치 110 : 통신부
120 : 프로세서 121 : 포워딩 모듈
122 : 복호화 모듈 123 : 검사 모듈

Claims (26)

  1. 네트워크 장치에서 암호화된 트래픽을 모니터링하는 방법에 있어서,
    상기 방법은,
    (a) 패킷이 수신되면, 네트워크 장치는, i) 상기 패킷을 저장하고, ii) 획득된 키 블록을 참조하여 상기 패킷을 복호화하는 단계;
    (a1) 상기 복호화된 패킷을 검사하는 단계; 및
    (b) 상기 패킷의 검사 결과가 정상이라고 판단되었음이 감지되면, 상기 네트워크 장치는, 상기 저장된 패킷을 목적지로 포워딩하는 단계;를 포함하며,
    상기 네트워크 장치는, 상기 검사된 패킷에 대하여 암호화를 별도로 수행하지 않으면서도 상기 목적지로 포워딩되는 패킷이 암호화된 상태가 되도록 관리하는 것을 특징으로 하며,
    상기 (a) 단계 이전에, 상기 네트워크 장치는, 상기 패킷의 출발지와 목적지 사이의 핸드쉐이크(Handshake) 과정을 중개하면서 키 블록(Key block)을 획득하는 것을 특징으로 하고,
    상기 (a) 단계에서,
    상기 네트워크 장치는, 상기 패킷의 출발지와 목적지 사이에서 중개되는 핸드쉐이킹 과정에서 상기 패킷의 전송자와 수신자가 상호 주고받는 사이퍼 수트(Cipher suit)를 참조하여 상기 키 블록을 획득하는 것을 특징으로 하는 방법.
  2. 삭제
  3. 삭제
  4. 삭제
  5. 제1항에 있어서,
    상기 (b) 단계에서,
    상기 패킷의 검사 결과가 비정상이라고 판단되었음이 감지되면, 상기 네트워크 장치는, 해당 세션을 상기 패킷의 출발지와 목적지로 나누고, 상기 키 블록을 사용하여 암호화된 세션 종료 패킷을 양측으로 전송하는 것을 특징으로 하는 방법.
  6. 제1항에 있어서,
    상기 (b) 단계에서,
    상기 패킷의 검사 결과가 비정상이라고 판단되었음이 감지되고, 세션 종료 패킷이 컨텐츠를 포함하지 않는 경우, 상기 네트워크 장치는, 상기 패킷에 대한 암호화 없이 TCP 세션 종료 패킷을 전송하는 것을 특징으로 하는 방법.
  7. 제1항에 있어서,
    상기 네트워크 장치가 inline에 존재할 때, 상기 패킷의 검사 결과가 비정상이라고 판단되었음이 감지되면, 소정의 애플리케이션에 특화된 차단 패킷을 삽입하는 것을 특징으로 하는 방법.
  8. 네트워크 장치에서 암호화된 트래픽을 모니터링하는 방법에 있어서,
    상기 방법은,
    (a) 네트워크 장치는, 수신되는 패킷의 출발지와 목적지 사이의 핸드쉐이크(Handshake) 과정을 중개하면서, 상기 출발지와 상기 목적지 사이에 교환되는 키 교환 알고리즘 목록을 획득하는 단계; 및
    (b) 상기 키 교환 알고리즘 중 공유되지 않는 비밀키를 이용하는 알고리즘이 있는지 판단하고, 상기 공유되지 않는 비밀키를 이용하는 알고리즘을 상기 목적지로 전달되지 않도록 마스킹하는 단계;를 포함하며,
    보안 정책에 따라 마스킹 처리되어야 할 데이터가 패킷에 존재하는 경우, 상기 네트워크 장치는, 상기 패킷에서 해당 데이터를 마스킹 처리하여 상기 목적지로 전달함에 있어서, 상기 마스킹된 데이터값의 변동을 감안하여 상기 데이터 값에 대한 새로운 해쉬 값을 생성하여 상기 패킷을 조작하는 것을 특징으로 하는 방법.
  9. 삭제
  10. 제8항에 있어서,
    상기 네트워크 장치는, 상기 수신된 패킷에 보안(Security) 정책을 적용하여 비정상 패킷인가를 판단하고, 판단 결과에 따라 상기 비정상 패킷을 차단 또는 변경하는 단계;를 더 포함하는 것을 특징으로 하는 방법.
  11. 제8항에 있어서,
    상기 비밀키를 이용하는 알고리즘은,
    DH(Diffie Hellman) 알고리즘인 것을 특징으로 하는 방법.
  12. 제8항에 있어서,
    상기 패킷의 출발지와 목적지 사이에서 상기 키 교환 알고리즘 중 공유되지 않는 비밀키를 이용하는 알고리즘을 제외한 특정 알고리즘이 선택되면, 상기 특정 알고리즘을 사용하여 상기 패킷을 검사하는 단계;를 더 포함하는 방법.
  13. 제12항에 있어서,
    상기 패킷의 검사 결과가 정상이라고 판단되었음이 감지되면, 상기 네트워크 장치는, 저장된 상기 패킷을 상기 목적지로 포워딩하는 단계;를 더 포함하는 방법.
  14. 암호화된 트래픽을 모니터링하는 네트워크 장치에 있어서,
    상기 네트워크 장치는,
    패킷을 수신하는 통신부; 및
    상기 패킷을 저장 후, i) 획득된 키 블록을 참조하여 상기 패킷을 복호화하고, ii) 상기 복호화된 패킷을 검사하며, iii) 상기 패킷의 검사 결과가 정상이라고 판단되었음이 감지되면, 상기 통신부로 하여금 상기 저장된 패킷을 목적지로 포워딩하도록 지원하는 프로세서;를 포함하며,
    상기 프로세서는,
    상기 검사된 패킷에 대하여 암호화를 별도로 수행하지 않으면서도 상기 목적지로 포워딩되는 패킷이 암호화된 상태가 되도록 관리하는 것을 특징으로 하고,
    상기 프로세서는,
    상기 패킷의 출발지와 목적지 사이의 핸드쉐이크(Handshake) 과정을 중개하면서 키 블록(Key block)을 획득하는 것을 특징으로 하며,
    상기 프로세서는,
    상기 패킷의 출발지와 목적지 사이에서 중개되는 핸드쉐이킹 과정에서 상기 패킷의 전송자와 수신자가 상호 주고받는 사이퍼 수트(Cipher suit)를 참조하여 상기 키 블록을 획득하는 것을 특징으로 하는 장치.
  15. 삭제
  16. 삭제
  17. 삭제
  18. 제14항에 있어서,
    상기 프로세서는,
    상기 패킷의 검사 결과가 비정상이라고 판단되었음이 감지되면, 해당 세션을 상기 패킷의 출발지와 목적지로 나누고, 상기 키 블록을 사용하여 암호화된 세션 종료 패킷을 양측으로 전송하는 것을 특징으로 하는 장치.
  19. 제14항에 있어서,
    상기 프로세서는,
    상기 패킷의 검사 결과가 비정상이라고 판단되었음이 감지되고, 세션 종료 패킷이 컨텐츠를 포함하지 않는 경우, 상기 패킷에 대한 암호화 없이 TCP 세션 종료 패킷을 전송하는 것을 특징으로 하는 장치.
  20. 제14항에 있어서,
    상기 프로세서는,
    상기 프로세서를 포함하는 네트워크 장치가 inline에 존재할 때, 상기 패킷의 검사 결과가 비정상이라고 판단되었음이 감지되면, 소정의 애플리케이션에 특화된 차단 패킷을 삽입하는 것을 특징으로 하는 장치.
  21. 암호화된 트래픽을 모니터링하는 네트워크 장치에 있어서,
    상기 네트워크 장치는,
    수신되는 패킷의 출발지와 목적지 사이의 핸드쉐이크(Handshake) 과정을 중개하면서, 상기 출발지와 상기 목적지 사이에 교환되는 키 교환 알고리즘 목록을 획득하는 통신부, 및
    상기 키 교환 알고리즘 중 공유되지 않는 비밀키를 이용하는 알고리즘이 있는지 판단하고, 상기 공유되지 않는 비밀키를 이용하는 알고리즘을 상기 목적지로 전달되지 않도록 마스킹하는 프로세서;를 포함하며,
    보안 정책에 따라 마스킹 처리되어야 할 데이터가 패킷에 존재하는 경우, 상기 패킷에서 해당 데이터를 마스킹 처리하여 상기 목적지로 전달함에 있어서, 상기 마스킹된 데이터값의 변동을 감안하여 상기 데이터 값에 대한 새로운 해쉬 값을 생성하여 상기 패킷을 조작하는 것을 특징으로 하는 장치.
  22. 삭제
  23. 제21항에 있어서,
    상기 프로세서는,
    상기 수신된 패킷이 비정상 패킷인 경우, 상기 비정상 패킷을 차단 또는 변경하는 것을 특징으로 하는 장치.
  24. 제21항에 있어서,
    상기 비밀키를 이용하는 알고리즘은,
    DH(Diffie Hellman) 알고리즘인 것을 특징으로 하는 장치.
  25. 제21항에 있어서,
    상기 패킷의 출발지와 목적지 사이에서 상기 키 교환 알고리즘 중 공유되지 않는 비밀키를 이용하는 알고리즘을 제외한 특정 알고리즘이 선택되면, 상기 프로세서는, 상기 특정 알고리즘을 사용하여 상기 패킷을 검사하는 것을 특징으로 하는 장치.
  26. 제25항에 있어서,
    상기 패킷의 검사 결과가 정상이라고 판단되었음이 감지되면, 상기 통신부는, 저장된 상기 패킷을 상기 목적지로 포워딩하는 것을 특징으로 하는 장치.
KR1020150190158A 2015-12-30 2015-12-30 암호화된 트래픽을 모니터링하는 방법 및 장치 KR101653956B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150190158A KR101653956B1 (ko) 2015-12-30 2015-12-30 암호화된 트래픽을 모니터링하는 방법 및 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150190158A KR101653956B1 (ko) 2015-12-30 2015-12-30 암호화된 트래픽을 모니터링하는 방법 및 장치

Publications (1)

Publication Number Publication Date
KR101653956B1 true KR101653956B1 (ko) 2016-09-05

Family

ID=56939069

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150190158A KR101653956B1 (ko) 2015-12-30 2015-12-30 암호화된 트래픽을 모니터링하는 방법 및 장치

Country Status (1)

Country Link
KR (1) KR101653956B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20240083996A (ko) 2022-12-06 2024-06-13 주식회사 윈스 다중 컨테이너 기반 암호화 패킷 복호화를 통한 탐지 및 차단 시스템 및 방법

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001237818A (ja) * 2000-02-22 2001-08-31 Nec Corp プロキシ暗号通信システム及び方法並びにプログラムを記録した記録媒体
JP2005228028A (ja) * 2004-02-13 2005-08-25 Hitachi Ltd コンテンツ転送制御装置、コンテンツ配信装置およびコンテンツ受信装置
US20080112332A1 (en) * 2006-11-10 2008-05-15 Pepper Gerald R Distributed Packet Group Identification For Network Testing
JP2012100206A (ja) * 2010-11-05 2012-05-24 Nec Corp 暗号通信中継システム、暗号通信中継方法および暗号通信中継用プログラム

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001237818A (ja) * 2000-02-22 2001-08-31 Nec Corp プロキシ暗号通信システム及び方法並びにプログラムを記録した記録媒体
JP2005228028A (ja) * 2004-02-13 2005-08-25 Hitachi Ltd コンテンツ転送制御装置、コンテンツ配信装置およびコンテンツ受信装置
US20080112332A1 (en) * 2006-11-10 2008-05-15 Pepper Gerald R Distributed Packet Group Identification For Network Testing
JP2012100206A (ja) * 2010-11-05 2012-05-24 Nec Corp 暗号通信中継システム、暗号通信中継方法および暗号通信中継用プログラム

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20240083996A (ko) 2022-12-06 2024-06-13 주식회사 윈스 다중 컨테이너 기반 암호화 패킷 복호화를 통한 탐지 및 차단 시스템 및 방법

Similar Documents

Publication Publication Date Title
US11792169B2 (en) Cloud storage using encryption gateway with certificate authority identification
US9197616B2 (en) Out-of-band session key information exchange
JP2023116573A (ja) クライアント-クラウドまたはリモートサーバーの安全なデータまたはファイル・オブジェクト暗号化ゲートウェイ
CN109150688B (zh) IPSec VPN数据传输方法及装置
US9294506B2 (en) Method and apparatus for security encapsulating IP datagrams
JP5640226B2 (ja) 第1ドメインのクライアントと第2ドメインのサーバとの間でセキュアな通信チャネルを確立するための装置、方法およびプログラム
CN110999248A (zh) 使用片上系统(SoC)体系结构的安全通信加速
EP3613195B1 (en) Cloud storage using encryption gateway with certificate authority identification
WO2010104632A2 (en) Offloading cryptographic protection processing
US10291600B2 (en) Synchronizing secure session keys
CN106487802B (zh) 基于DPD协议的IPSec SA的异常探测方法及装置
CN107864129B (zh) 一种保证网络数据安全的方法和装置
US9185130B2 (en) Transmission apparatus, reception apparatus, communication system, transmission method, and reception method
WO2016047115A1 (ja) 解析システム、解析装置、解析方法、及び、解析プログラムが記録された記憶媒体
WO2017221979A1 (ja) 処理制御装置、処理制御方法、及び、処理制御プログラムが記録された記録媒体
US20180124025A1 (en) Providing visibility into encrypted traffic without requiring access to the private key
US20160105401A1 (en) System and method for internet protocol security processing
US20150188699A1 (en) Method and apparatus for establishing secure session between client and server
CN107276996A (zh) 一种日志文件的传输方法及系统
WO2016165277A1 (zh) 一种实现IPsec分流的方法和装置
US20160366191A1 (en) Single Proxies in Secure Communication Using Service Function Chaining
WO2016047111A1 (ja) 解析システム、解析装置、解析方法、及び、解析プログラムが記録された記憶媒体
KR101653956B1 (ko) 암호화된 트래픽을 모니터링하는 방법 및 장치
KR101971995B1 (ko) 보안을 위한 보안 소켓 계층 복호화 방법
JP4933286B2 (ja) 暗号化パケット通信システム

Legal Events

Date Code Title Description
AMND Amendment
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant