KR101717665B1 - 프로토콜 변환 장치 및 이의 동작 방법 - Google Patents

프로토콜 변환 장치 및 이의 동작 방법 Download PDF

Info

Publication number
KR101717665B1
KR101717665B1 KR1020160060178A KR20160060178A KR101717665B1 KR 101717665 B1 KR101717665 B1 KR 101717665B1 KR 1020160060178 A KR1020160060178 A KR 1020160060178A KR 20160060178 A KR20160060178 A KR 20160060178A KR 101717665 B1 KR101717665 B1 KR 101717665B1
Authority
KR
South Korea
Prior art keywords
data area
secure data
mapping rule
encryption key
protocol
Prior art date
Application number
KR1020160060178A
Other languages
English (en)
Inventor
손태식
이석준
Original Assignee
아주대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 아주대학교산학협력단 filed Critical 아주대학교산학협력단
Priority to KR1020160060178A priority Critical patent/KR101717665B1/ko
Application granted granted Critical
Publication of KR101717665B1 publication Critical patent/KR101717665B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/08Protocols for interworking; Protocol conversion
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/02Standardisation; Integration
    • H04L41/0226Mapping or translating multiple network management protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Communication Control (AREA)
  • Computer And Data Communications (AREA)

Abstract

프로토콜 변환 장치는 매핑 룰(mapping rule)을 암호화하여 저장하는 보안 데이터 영역, 상기 보안 데이터 영역에 접근하여 상기 매핑 룰을 획득하고, 획득한 상기 매핑 룰을 복호화하여 제공하는 보안 데이터 영역 관리모듈 및 상기 보안 데이터 영역 관리모듈에 의해 제공된 매핑 룰을 수신하고, 수신된 매핑 룰을 이용하여 제1프로토콜(protocol) 패킷의 페이로드(payload)를 제2프로토콜 패킷의 페이로드로 매핑하는 프로토콜 변환모듈을 포함한다.

Description

프로토콜 변환 장치 및 이의 동작 방법{PROTOCOL CONVERSION DEVICE AND OPERATING METHOD THEREOF}
본 발명의 기술적 사상은 프로토콜 변환 장치 및 이의 동작 방법에 관한 것으로, 보다 상세하게는, 별도의 보안 데이터 영역에 암호화되어 저장된 매핑 룰(mapping rule)을 이용하여 제1프로토콜 패킷의 페이로드를 제2프로토콜 패킷의 페이로드로 매핑하여 프로토콜을 변환할 수 있는 프로토콜 변환 장치 및 이의 동작 방법에 관한 것이다.
다양한 서비스를 제공하는 시스템이 늘어나면서 다양한 네트워크들에 대한 통합적인 관리가 요구되고 있다. 특히, 이종 프로토콜의 네트워크들을 서로 연결하기 위해서 네트워크 사이에서 프로토콜을 변환하는 프로토콜 변환 게이트웨이(gateway)가 사용된다.
하지만, 프로토콜 변환 게이트웨이는 이종 프로토콜 간에 통신이 가능하도록 하는 것을 목표로 제작되기 때문에 각 프로토콜에 대해서는 높은 보안성을 제공하더라도 프로토콜 변환 과정에서는 그 보안성에 한계를 가진다.
본 발명의 기술적 사상에 따른 프로토콜 변환 장치 및 이의 동작 방법이 이루고자 하는 기술적 과제는, 별도의 보안 데이터 영역에 암호화되어 저장된 매핑 룰(mapping rule)을 이용하여 제1프로토콜 패킷의 페이로드를 제2프로토콜 패킷의 페이로드로 매핑하여 프로토콜을 변환할 수 있는 프로토콜 변환 장치 및 이의 동작 방법을 제공하는 것이다.
본 발명의 기술적 사상에 의한 일 양태에 따른 프로토콜 변환 장치는 매핑 룰(mapping rule)을 암호화하여 저장하는 보안 데이터 영역, 상기 보안 데이터 영역에 접근하여 상기 매핑 룰을 획득하고, 획득한 상기 매핑 룰을 복호화하여 제공하는 보안 데이터 영역 관리모듈 및 상기 보안 데이터 영역 관리모듈에 의해 제공된 매핑 룰을 수신하고, 수신된 매핑 룰을 이용하여 제1프로토콜(protocol) 패킷의 페이로드(payload)를 제2프로토콜 패킷의 페이로드로 매핑하는 프로토콜 변환모듈을 포함한다.
일부 실시예에서, 상기 프로토콜 변환 장치는 상기 보안 데이터 영역 관리모듈이 상기 매핑 룰을 복호화하기 위해 사용하는 보안 데이터 영역 암호화키를 저장하는 보안 데이터 영역 암호화키 저장부를 더 포함할 수 있다.
일부 실시예에서, 상기 보안 데이터 영역 암호화키 저장부는 하드웨어 기반 암호화(hardware based encryption)되어 구성될 수 있다.
일부 실시예에서, 상기 프로토콜 변환 장치는 제1네트워크로부터 상기 제1프로토콜 패킷을 수신하고, 수신된 제1프로토콜 패킷을 처리하여 상기 프로토콜 변환모듈로 전달하는 제1네트워크 통신모듈을 더 포함할 수 있다.
일부 실시예에서, 상기 프로토콜 변환 장치는 상기 프로토콜 변환모듈에 의해 상기 제2프로토콜 패킷의 페이로드로 매핑된 메시지(message)를 수신하고, 수신된 메시지를 처리하여 상기 제2프로토콜 패킷을 생성하여 제2네트워크로 전달하는 제2네트워크 통신모듈을 더 포함할 수 있다.
일부 실시예에서, 상기 보안 데이터 영역은 상기 제1네트워크 통신모듈에서 상기 제1프로토콜 패킷을 복호화하거나, 상기 제2네트워크 통신모듈에서 상기 제2프로토콜 패킷을 암호화하기 위한 사전 공유 암호화키를 상기 보안 데이터 영역 암호화키로 암호화하여 저장할 수 있다.
일부 실시예에서, 상기 보안 데이터 영역은 상기 제1네트워크 통신모듈에서 상기 제1프로토콜 패킷을 인증하기 위한 사전 공유 인증키를 상기 보안 데이터 영역 암호화키로 암호화하여 저장할 수 있다.
일부 실시예에서, 상기 프로토콜 변환 장치는 보안 설정 입력모듈로부터 입력된 매핑 룰 갱신 설정을 검증하는 매핑 룰 검증기를 더 포함할 수 있다.
일부 실시예에서, 상기 보안 데이터 영역 관리모듈은 상기 매핑 룰 검증기에 의해 검증된 매핑 룰 갱신 설정에 따른 매핑 룰을 상기 보안 데이터 영역 암호화키로 암호화하고, 암호화된 매핑 룰로 상기 보안 데이터 영역에 저장된 매핑 룰을 갱신할 수 있다.
일부 실시예에서, 상기 보안 데이터 영역 관리모듈은 상기 매핑 룰 갱신 설정을 입력한 관리자를 인증하는 관리자 인증기를 포함할 수 있다.
일부 실시예에서, 상기 보안 데이터 영역 관리모듈은, 상기 보안 설정 입력모듈로부터 입력된 사전 공유 암호화키 또는 사전 공유 인증키를 상기 보안 데이터 영역 암호화키로 암호화하고, 암호화된 사전 공유 암호화키 또는 암호화된 사전 공유 인증키로 상기 보안 데이터 영역에 저장된 사전 공유 암호화키 또는 사전 공유 인증키를 갱신할 수 있다.
일부 실시예에서, 상기 보안 데이터 영역에 저장된 상기 매핑 룰은, 상기 프로토콜 변환 장치 내에서 상기 보안 데이터 영역 관리 모듈을 통해서만 접근 가능할 수 있다
본 발명의 기술적 사상에 의한 일 양태에 따른 프로토콜 변환 장치의 동작 방법은 보안 데이터 영역에 암호화되어 저장된 매핑 룰(mapping rule)에 접근하여 상기 매핑 룰을 획득하는 단계, 획득한 상기 매핑 룰을 보안 데이터 영역 암호화키로 복호화하는 단계 및 복호화된 매핑 룰을 수신하고, 수신된 매핑 룰을 이용하여 제1프로토콜(protocol) 패킷의 페이로드(payload)를 제2프로토콜 패킷의 페이로드로 매핑하는 단계를 포함할 수 있다.
일부 실시예에서, 상기 프로토콜 변환 장치의 동작 방법은 보안 설정 입력모듈로부터 입력된 매핑 룰 갱신 설정에 따라, 상기 매핑 룰 갱신 설정을 입력한 관리자를 인증하는 단계를 더 포함할 수 있다.
일부 실시예에서, 상기 프로토콜 변환 장치의 동작 방법은 입력된 상기 매핑 룰 갱신 설정을 검증하는 단계를 더 포함할 수 있다.
일부 실시예에서, 상기 프로토콜 변환 장치의 동작 방법은 검증된 매핑 룰 갱신 설정에 따른 매핑 룰을 상기 보안 데이터 영역 암호화키로 암호화하고, 암호화된 매핑 룰로 상기 보안 데이터 영역에 저장된 매핑 룰을 갱신하는 단계를 더 포함할 수 있다.
본 발명의 기술적 사상에 의한 방법과 장치는, 별도의 보안 데이터 영역에 암호화되어 저장된 매핑 룰(mapping rule)을 이용하여 제1프로토콜 패킷의 페이로드를 제2프로토콜 패킷의 페이로드로 매핑함으로써 프로토콜 변환 과정에서 높은 보안성을 가질 수 있는 효과가 있다.
본 발명의 상세한 설명에서 인용되는 도면을 보다 충분히 이해하기 위하여 각 도면의 간단한 설명이 제공된다.
도 1은 본 발명의 일 실시 예에 따른 프로토콜 변환 시스템의 블록도이다.
도 2와 도 3은 도 1의 프로토콜 변환 시스템의 동작 방법의 플로우차트이다.
도 4는 도 1의 프로토콜 변환 시스템의 프로토콜 변환 과정을 설명하기 위한 도면이다.
도 5는 도 1의 프로토콜 변환 시스템의 보안 설정을 갱신하는 방법의 플로우차트이다.
본 발명의 기술적 사상은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 이를 상세히 설명하고자 한다. 그러나, 이는 본 발명의 기술적 사상을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 기술적 사상의 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
본 발명의 기술적 사상을 설명함에 있어서, 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다. 또한, 본 명세서의 설명 과정에서 이용되는 숫자(예를 들어, 제1, 제2 등)는 하나의 구성요소를 다른 구성요소와 구분하기 위한 식별기호에 불과하다.
또한, 본 명세서에서, 일 구성요소가 다른 구성요소와 "연결된다" 거나 "접속된다" 등으로 언급된 때에는, 상기 일 구성요소가 상기 다른 구성요소와 직접 연결되거나 또는 직접 접속될 수도 있지만, 특별히 반대되는 기재가 존재하지 않는 이상, 중간에 또 다른 구성요소를 매개하여 연결되거나 또는 접속될 수도 있다고 이해되어야 할 것이다.
또한, 본 명세서에 기재된 "~부(유닛)", "~기", "~자", "~모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.
그리고 본 명세서에서의 구성부들에 대한 구분은 각 구성부가 담당하는 주기능 별로 구분한 것에 불과함을 명확히 하고자 한다. 즉, 이하에서 설명할 2개 이상의 구성부가 하나의 구성부로 합쳐지거나 또는 하나의 구성부가 보다 세분화된 기능별로 2개 이상으로 분화되어 구비될 수도 있다. 그리고 이하에서 설명할 구성부 각각은 자신이 담당하는 주기능 이외에도 다른 구성부가 담당하는 기능 중 일부 또는 전부의 기능을 추가적으로 수행할 수도 있으며, 구성부 각각이 담당하는 주기능 중 일부 기능이 다른 구성부에 의해 전담되어 수행될 수도 있음은 물론이다.
이하, 본 발명의 기술적 사상에 따른 실시예들을 차례로 상세히 설명한다.
도 1은 본 발명의 일 실시 예에 따른 프로토콜 변환 시스템의 블록도이다.
도 1을 참조하면, 프로토콜 변환 시스템(10)은 제1네트워크(100), 제2네트워크(200), 프로토콜 변환 장치(300), 및 보안 설정 입력모듈(400)을 포함할 수 있다.
제1네트워크(100)와 제2네트워크(200)는 서로 다른 프로토콜의 네트워크로 구성된다. 실시 예에 따라, 제1네트워크(100)와 제2네트워크(200) 각각은 이더넷(ethernet) 프로토콜, PROFIBUS(Process Field Bus) 프로토콜, CAN(Controller Area Network) 프로토콜, 모드버스(MODBUS) 프로토콜, DNP3(Distributed Network Protocol 3) 등 다양한 형태로 구현될 수 있으며, 이에 한정되지 않는다.
프로토콜 변환 장치(300)는 제1네트워크(100)와 제2네트워크(200) 간에 서로 주고 받는 패킷의 프로토콜을 변환할 수 있다.
프로토콜 변환 장치(300)는 보안 데이터 영역(310), 보안 데이터 영역 관리모듈(320), 매핑 룰 검증기(330), 보안 데이터 영역 암호화키 저장부(340), 제1네트워크 통신모듈(350), 프로토콜 변환모듈(355), 및 제2네트워크 통신모듈(360)을 포함할 수 있다.
보안 데이터 영역(310)은 프로토콜 변환 장치(300) 내에서 패킷의 프로토콜 변환 경로와 분리되어, 암호화된 정보들이 저장되는 영역이다.
보안 데이터 영역(310)에는 매핑 룰 저장부(312)와 암호화키/인증키 저장부(314)가 포함된다.
매핑 룰 저장부(312)는 제1네트워크(100)의 제1프로토콜 패킷의 페이로드(payload)를 제2네트워크(200)의 제2프로토콜 패킷의 페이로드로 매핑하는 데 사용되는 매핑 룰을 암호화된 상태로 저장할 수 있다.
암호화키/인증키 저장부(314)는 제1네트워크(100), 제2네트워크(200), 및 프로토콜 변환 장치(300) 간에 미리 공유된 사전 공유(pre shared) 암호화키와 사전 공유 인증키를 암호화된 상태로 저장할 수 있다.
실시 예에 따라, 매핑 룰, 사전 공유 암호화키, 사전 공유 인증키는 보안 데이터 영역 암호화키 저장부(340)에 저장된 보안 데이터 영역 암호화키에 의해 암호화된 상태로 보안 데이터 영역(310)에 저장될 수 있다.
보안 데이터 영역 관리모듈(320)은 보안 데이터 영역에 저장되는 매핑 룰, 사전 공유 암호화키, 사전 공유 인증키로의 접근 및 갱신 등을 관리할 수 있다.
보안 데이터 영역 관리모듈(320)은 매핑 룰 관리기(322), 암호화키/인증키 관리기(324), 및 관리자 인증기(326)을 포함할 수 있다.
매핑 룰 관리기(322)는 보안 데이터 영역(310)의 매핑 룰 저장부(312)에 저장되는 매핑 룰로의 접근 및 갱신 등을 관리하며, 암호화키/인증키 관리기(324)는 매핑 룰 저장부(312)에 저장되는 사전 공유 암호화키와 사전 공유 인증키로의 접근 및 갱신 등을 관리할 수 있다.
관리자 인증기(326)는 보안 설정 입력모듈(400)로부터 보안 설정 변경을 위한 새로운 보안 설정이 입력된 경우, 입력 주체가 보안 설정을 변경할 수 있는 권한을 가진 관리자인지 여부를 인증할 수 있다.
실시 예에 따라, 관리자 인증기(326)는 새로운 보안 설정이 입력된 경우, 입력 주체에게 비밀번호 입력 등의 인증 정보 입력을 추가적으로 요청할 수 있다.
매핑 룰 검증기(330)는 보안 설정 입력모듈(400)로부터 매핑 룰 변경을 위한 새로운 보안 설정이 입력된 경우, 입력된 매핑 룰에 오류가 없는지 여부를 검증할 수 있다.
보안 데이터 영역 암호화키 저장부(340)는 보안 데이터 영역(310)을 암호화하기 위한 보안 데이터 영역 암호화키를 저장할 수 있다.
실시 예에 따라, 보안 데이터 영역 암호화키 저장부(340)는 하드웨어 기반 암호화(hardware based encryption)되어 구성될 수 있다. 예컨대, 보안 데이터 영역 암호화키 저장부(340)는 TPM(Trusted Platform Module)으로 구성될 수도 있다.
제1네트워크 통신모듈(350)은 제1네트워크(100)로부터 전송된 제1프로토콜 패킷을 수신하고, 수신된 제1프로토콜 패킷을 처리하여 프로토콜 변환모듈(355)로 전달할 수 있다.
제1네트워크 통신모듈(350)은 패킷 송수신기(351), 패킷 포맷 관리기(352), 암/복호화기(353), 인증/검증기(354), 및 메시지 처리기(355)를 포함할 수 있다.
패킷 송수신기(351)는 제1네트워크 통신모듈(350)과 제1네트워크(100) 간에 제1프로토콜 패킷을 송수신하는 기능을 수행한다.
패킷 포맷 관리기(352)는 제1네트워크(100)로부터 전송된 제1프로토콜 패킷을 프로토콜 변환 장치(300) 내에서 처리할 수 있는 형태로 포맷 변경하거나, 프로토콜 변환 장치(300) 내에서 처리된 메시지를 제1네트워크(100)로 전송할 수 있는 제1프로토콜 패킷 형태로 포맷 변경할 수 있다.
암/복호화기(353)는 제1네트워크 통신모듈(350)에서 송수신 되는 제1프로토콜 패킷의 암호화 또는 복호화를 수행할 수 있다.
인증/검증기(354)는 제1네트워크 통신모듈(350)이 수신한 제1프로토콜 패킷을 인증하거나, 제1네트워크 통신모듈(350)로부터 제1프로토콜 패킷을 송신하기 이전에 패킷의 오류를 검증할 수 있다.
메시지 처리기(355)는 프로토콜 변환모듈(355)의 메시지 매핑 작업을 위해 메시지(예컨대, 제1프로토콜 패킷의 페이로드(payload) 부분)를 분석하여 특정 정보를 나타내는 단위를 분석 및 분할하거나, 프로토콜 변환모듈(355)의 매핑 작업이 완료된 메시지를 제1프로토콜 패킷의 페이로드 형태로 결합할 수 있다.
제2네트워크 통신모듈(360)은 제1네트워크 통신모듈(350)과 대칭되는 구조를 가지며, 패킷 송수신기(361), 패킷 포맷 관리기(362), 암/복호화기(363), 인증/검증기(364), 및 메시지 처리기(365) 각각은 제1네트워크 통신모듈(350)의 패킷 송수신기(351), 패킷 포맷 관리기(352), 암/복호화기(353), 인증/검증기(354), 및 메시지 처리기(355) 각각과 실질적으로 동일한 기능을 수행할 수 있다.
프로토콜 변환 시스템(10)의 구체적인 동작 방법은 도 2 내지 도 5를 참조하여 상세히 설명된다.
도 2와 도 3은 도 1의 프로토콜 변환 시스템의 동작 방법의 플로우차트이다. 도 4는 도 1의 프로토콜 변환 시스템의 프로토콜 변환 과정을 설명하기 위한 도면이다.
도 1과 도 2를 참조하면, 제1네트워크(100)로부터 제1프로토콜 패킷이 전송되면(S10), 제1네트워크 통신모듈(350)의 패킷 송수신기(351)는 전송된 제1프로토콜 패킷을 수신할 수 있다.
제1네트워크 통신모듈(350)의 암/복호화기(353)는 수신된 제1프로토콜 패킷의 복호화를 위하여 사전 공유 암호화키를 보안 데이터 영역 관리모듈(320)로 요청할 수 있다(S12).
보안 데이터 영역 관리모듈(320)은 보안 데이터 영역(310)으로 사전 공유 암호화키를 요청할 수 있다(S14).
보안 데이터 영역(310)은 보안 데이터 영역 관리모듈(320)의 요청에 따라, 사전 공유 암호화키를 보안 데이터 영역 관리모듈(320)로 전송할 수 있다.(S16).
보안 데이터 영역(310)으로부터 수신된 사전 공유 암호화키는 암호화되어 있으며, 보안 데이터 영역 관리모듈(320)은 보안 데이터 영역 암호화키 저장부(340)에 저장된 보안 데이터 영역 암호화키를 이용하여 암호화된 사전 공유 암호화키를 복호화할 수 있다(S18).
보안 데이터 영역 관리모듈(320)이 복호화된 사전 공유 암호화키를 제1네트워크 통신모듈(350)의 암/복호화기(353)로 전송하면(S20), 암/복호화기(353)는 복호화된 사전 공유 암호화키를 이용하여 제1프로토콜 패킷을 복호화할 수 있다(S22).
제1네트워크 통신모듈(350)이 보안 데이터 영역 관리모듈(320)로 사전 공유 인증키를 요청하고(S24), 보안 데이터 영역 관리모듈(320)은 보안 데이터 영역(310)으로 사전 공유 인증키를 요청할 수 있다(S26).
보안 데이터 영역 관리모듈(320)은 보안 데이터 영역(310)으로부터 전송된 암호화된 사전 공유 인증키를 수신하고(S28), 보안 데이터 영역 암호화키 저장부(340)에 저장된 보안 데이터 영역 암호화키를 이용하여 암호화된 사전 공유 인증키를 복호화할 수 있다(S30).
보안 데이터 영역 관리모듈(320)은 복호화된 사전 공유 인증키를 제1네트워크 통신모듈(350)로 전송하며(S32), 제1네트워크 통신모듈(350)의 인증/검증기(354)는 복호화된 사전 공유 인증키를 이용하여 제1프로토콜 패킷을 인증할 수 있다(S34).
제1네트워크 통신모듈(350)의 패킷 포맷 관리기(352)는 제1프로토콜 패킷을 프로토콜 변환 장치(300)에서 사용 가능한 형태로 분할할 수 있다(S36).
도 4를 참조하면, 실시 예에 따라, 패킷 포맷 관리기(352)는 제1프로토콜 패킷의 헤더(헤더#1)와 페이로드(페이로드#1)를 분할할 수 있다.
도 2로 돌아와서, 제1네트워크 통신모듈(350)의 메시지 처리기(355)는 분할된 페이로드(페이로드#1)를 분석하여 프로토콜 변환모듈(355)이 매핑 작업을 수행할 수 있도록 분석 및 처리하여(S38), 프로토콜 변환모듈(355)로 전송할 수 있다(S40).
도 4를 참조하면, 실시 예에 따라, 메시지 처리기(355)는 페이로드(페이로드#1) 내의 정보 단위(INFO A, INFO B, INFO C)를 분석하고, 분석된 정보 단위에 따라 페이로드를 분할할 수 있다.
도 1과 도 3을 참조하면, 프로토콜 변환모듈(355)은 매핑 작업 수행에 필요한 매핑 룰을 보안 데이터 영역 관리모듈(320)로 요청할 수 있다(S42).
보안 데이터 영역 관리모듈(320)은 매핑 룰을 보안 데이터 영역(310)으로 요청하고(S44), 보안 데이터 영역(310)으로부터 전송된 매핑 룰을 수신할 수 있다(S46).
보안 데이터 영역(310)으로부터 수신된 매핑 룰은 암호화되어 있으며, 보안 데이터 영역 관리모듈(320)은 보안 데이터 영역 암호화키 저장부(340)에 저장된 보안 데이터 영역 암호화키를 이용하여 암호화된 매핑 룰을 복호화할 수 있다(S48).
보안 데이터 영역 관리모듈(320)은 복호화된 매핑 룰을 프로토콜 변환모듈(355)로 전송하며(S50), 프로토콜 변환모듈(355)는 복호화된 매핑 룰을 이용하여 제1프로토콜 패킷의 페이로드를 제2프로토콜 패킷의 페이로드에 매핑할 수 있다(S52).
도 4를 참조하면, 제1프로토콜 패킷의 페이로드(페이로드 #1)의 정보 단위(INFO A, INFO B, INFO C)는 매핑 룰에 따라 그 순서와 크기 중의 적어도 어느 하나가 변경되어 제2프로토콜 패킷의 페이로드(페이로드 #2)로 매핑될 수 있다.
도 3으로 돌아와서, 프로토콜 변환모듈(355)는 매핑된 메시지(예컨대, 도 4의 INFO A, INFO B, INFO C)를 제2네트워크 통신모듈(360)의 메시지 처리기(365)로 전송하며(S54), 메시지 처리기(365)는 수신된 메시지(예컨대, 도 4의 INFO A, INFO B, INFO C)를 분석하여 제2프로토콜 패킷의 페이로드(페이로드 #2) 형태로 결합 처리할 수 있다(S56).
제2네트워크 통신모듈(360)의 패킷 포맷 관리기(362)는 S56 단계에서 결합 처리된 제2프로토콜 패킷의 페이로드(페이로드 #2)에 헤더(헤더 #2)를 생성함으로써 제2네트워크(200)에서 처리될 수 있는 제2프로토콜 패킷을 생성할 수 있다(S58).
제2네트워크 통신모듈(360)의 인증/검증기(364)는 생성된 패킷에 오류가 없는지 여부를 검증할 수 있다(S60).
제2네트워크 통신모듈(360)의 암/복호화기(363)는 수신된 제2프로토콜 패킷의 암호화를 위하여 사전 공유 암호화키를 보안 데이터 영역 관리모듈(320)로 요청할 수 있다(S62).
보안 데이터 영역 관리모듈(320)은 보안 데이터 영역(310)으로 사전 공유 암호화키를 요청할 수 있다(S64).
보안 데이터 영역(310)은 보안 데이터 영역 관리모듈(320)의 요청에 따라, 사전 공유 암호화키를 보안 데이터 영역 관리모듈(320)로 전송할 수 있다(S66).
보안 데이터 영역(310)으로부터 수신된 사전 공유 암호화키는 암호화되어 있으며, 보안 데이터 영역 관리모듈(320)은 보안 데이터 영역 암호화키 저장부(340)에 저장된 보안 데이터 영역 암호화키를 이용하여 수신된 사전 공유 암호화키를 복호화할 수 있다(S68).
보안 데이터 영역 관리모듈(320)이 복호화된 사전 공유 암호화키를 제2네트워크 통신모듈(360)의 암/복호화기(363)로 전송하면(S70), 암/복호화기(363)는 복호화된 사전 공유 암호화키를 이용하여 제2프로토콜 패킷을 암호화할 수 있다(S72).
제2네트워크 통신모듈(360)의 패킷 송수신기(361)는 암호화된 제2프로토콜 패킷을 제2네트워크(200)로 전송할 수 있다(S74).
이상에서는 설명의 편의를 위하여, 제1네트워크(100)의 제1프로토콜 패킷이 프로토콜 변환 장치(300)에서 제2프로토콜 패킷으로 변환되어 제2네트워크(200)로 전송되는 경우를 설명하지만, 실시 예에 따라 제2네트워크(200)의 제2프로토콜 패킷이 프로토콜 변환 장치(300)에서 제1프로토콜 패킷으로 변환되어 제1네트워크(100)로 전송될 수도 있다.
도 5는 도 1의 프로토콜 변환 시스템의 보안 설정을 갱신하는 방법의 플로우차트이다.
도 1과 도 5를 참조하면, 보안 설정 입력모듈(400)은 보안 데이터 영역 관리모듈(320)로 보안 설정을 입력할 수 있다(S80).
실시 예에 따라, 상기 보안 설정은 보안 데이터 영역(310)에 저장된 매핑 룰을 갱신하기 위한 매핑 룰 갱신 설정, 사전 공유 암호화키를 갱신하기 위한 사전 공유 암호화키 갱신 설정, 또는 사전 공유 인증키를 갱신하기 위한 사전 공유 인증키 갱신 설정일 수 있다.
보안 데이터 영역 관리모듈(320)은 보안 설정이 입력됨에 따라, 보안 설정을 입력한 입력 주체가 보안 설정을 변경할 수 있는 권한을 가진 관리자인지 여부를 인증할 수 있다(S82).
보안 데이터 영역 관리모듈(320)은 보안 설정 자체를 추가적으로 검증할 수 있다(S84).
실시 예에 따라, 보안 데이터 영역 관리모듈(320)은 입력된 보안 설정이 매핑 룰 갱신에 관한 설정인 경우, 매핑 룰 검증기(330)를 통하여 입력된 매핑 룰에 오류가 없는지 여부를 검증할 수 있다(S84).
보안 데이터 영역 관리모듈(320)은 관리자 인증, 보안 설정의 검증이 완료된 경우, 보안 설정을 암호화할 수 있다(S86).
실시 예에 따라, 보안 데이터 영역 관리모듈(320)은 보안 설정에 따른 매핑 룰, 사전 공유 암호키, 또는 사전 공유 인증키를 보안 데이터 영역 암호화키 저장부(340)에 저장된 보안 데이터 영역 암호화키로 암호화할 수 있다.
보안 데이터 영역 관리 모듈(320)은 암호화된 보안 설정에 따라, 보안 데이터 영역(320)에 저장되어 있던 매핑 룰, 사전 공유 암호키, 또는 사전 공유 인증키를 갱신할 수 있다(S88).
도 1 내지 도 5를 참조하면, 보안 데이터 영역(320)에 암호화되어 저장된 매핑 룰, 사전 공유 암호화키, 사전 공유 인증키는, 프로토콜 변환 장치(300) 내에서 보안 데이터 영역 관리 모듈(320)을 통해서만 접근 또는 갱신 가능하기 때문에 보안성이 크게 향상될 수 있다.
이상, 본 발명의 기술적 사상을 다양한 실시예들을 들어 상세하게 설명하였으나, 본 발명의 기술적 사상은 상기 실시예들에 한정되지 않고, 본 발명의 기술적 사상의 범위 내에서 당 분야에서 통상의 지식을 가진 자에 의하여 여러가지 변형 및 변경이 가능하다.
10 : 프로토콜 변환 시스템
100, 200 : 네트워크
300 : 프로토콜 변환 장치
310 : 보안 데이터 영역
320 : 보안 데이터 영역 관리모듈
330 : 매핑 룰 검증기
340 : 보안 데이터 영역 암호화키 저장부
350, 360 : 네트워크 통신모듈
400 : 보안 설정 입력모듈

Claims (16)

  1. 매핑 룰(mapping rule)을 보안 데이터 영역 암호화키로 암호화하여 저장하는 보안 데이터 영역;
    상기 보안 데이터 영역에 접근하여 상기 매핑 룰을 획득하고, 획득한 상기 매핑 룰을 복호화하여 제공하는 보안 데이터 영역 관리모듈; 및
    상기 보안 데이터 영역 관리모듈에 의해 제공된 매핑 룰을 수신하고, 수신된 매핑 룰을 이용하여 제1프로토콜(protocol) 패킷의 페이로드(payload)를 제2프로토콜 패킷의 페이로드로 매핑하는 프로토콜 변환모듈을 포함하고,
    상기 보안 데이터 영역 관리모듈은,
    매핑 룰 갱신 설정에 따른 매핑 룰을 상기 보안 데이터 영역 암호화키로 암호화하고, 암호화된 매핑 룰로 상기 보안 데이터 영역에 저장된 매핑 룰을 갱신하는, 프로토콜 변환 장치.
  2. 제1항에 있어서,
    상기 프로토콜 변환 장치는,
    상기 보안 데이터 영역 암호화키를 저장하는 보안 데이터 영역 암호화키 저장부를 더 포함하는, 프로토콜 변환 장치.
  3. 제2항에 있어서,
    상기 보안 데이터 영역 암호화키 저장부는,
    하드웨어 기반 암호화(hardware based encryption)되어 구성되는, 프로토콜 변환 장치.
  4. 제3항에 있어서,
    상기 프로토콜 변환 장치는,
    제1네트워크로부터 상기 제1프로토콜 패킷을 수신하고, 수신된 제1프로토콜 패킷을 처리하여 상기 프로토콜 변환모듈로 전달하는 제1네트워크 통신모듈을 더 포함하는, 프로토콜 변환 장치.
  5. 제4항에 있어서,
    상기 프로토콜 변환 장치는,
    상기 프로토콜 변환모듈에 의해 상기 제2프로토콜 패킷의 페이로드로 매핑된 메시지(message)를 수신하고, 수신된 메시지를 처리하여 상기 제2프로토콜 패킷을 생성하여 제2네트워크로 전달하는 제2네트워크 통신모듈을 더 포함하는, 프로토콜 변환 장치.
  6. 제5항에 있어서,
    상기 보안 데이터 영역은,
    상기 제1네트워크 통신모듈에서 상기 제1프로토콜 패킷을 복호화하거나, 상기 제2네트워크 통신모듈에서 상기 제2프로토콜 패킷을 암호화하기 위한 사전 공유 암호화키를 상기 보안 데이터 영역 암호화키로 암호화하여 저장하는, 프로토콜 변환 장치.
  7. 제6항에 있어서,
    상기 보안 데이터 영역은,
    상기 제1네트워크 통신모듈에서 상기 제1프로토콜 패킷을 인증하기 위한 사전 공유 인증키를 상기 보안 데이터 영역 암호화키로 암호화하여 저장하는, 프로토콜 변환 장치.
  8. 제7항에 있어서,
    상기 프로토콜 변환 장치는,
    보안 설정 입력모듈로부터 입력된 상기 매핑 룰 갱신 설정을 검증하는 매핑 룰 검증기를 더 포함하는, 프로토콜 변환 장치.
  9. 삭제
  10. 제8항에 있어서,
    상기 보안 데이터 영역 관리모듈은,
    상기 매핑 룰 갱신 설정을 입력한 관리자를 인증하는 관리자 인증기를 포함하는, 프로토콜 변환 장치.
  11. 제10항에 있어서,
    상기 보안 데이터 영역 관리모듈은,
    상기 보안 설정 입력모듈로부터 입력된 사전 공유 암호화키 또는 사전 공유 인증키를 상기 보안 데이터 영역 암호화키로 암호화하고, 암호화된 사전 공유 암호화키 또는 암호화된 사전 공유 인증키로 상기 보안 데이터 영역에 저장된 사전 공유 암호화키 또는 사전 공유 인증키를 갱신하는, 프로토콜 변환 장치.
  12. 제1항에 있어서,
    상기 보안 데이터 영역에 저장된 상기 매핑 룰은, 상기 프로토콜 변환 장치 내에서 상기 보안 데이터 영역 관리 모듈을 통해서만 접근 가능한, 프로토콜 변환 장치.
  13. 보안 데이터 영역에 암호화되어 저장된 매핑 룰(mapping rule)에 접근하여 상기 매핑 룰을 획득하는 단계;
    획득한 상기 매핑 룰을 보안 데이터 영역 암호화키로 복호화하는 단계;
    복호화된 매핑 룰을 수신하고, 수신된 매핑 룰을 이용하여 제1프로토콜(protocol) 패킷의 페이로드(payload)를 제2프로토콜 패킷의 페이로드로 매핑하는 단계; 및
    매핑 룰 갱신 설정에 따른 매핑 룰을 상기 보안 데이터 영역 암호화키로 암호화하고, 암호화된 매핑 룰로 상기 보안 데이터 영역에 저장된 매핑 룰을 갱신하는 단계를 포함하는, 프로토콜 변환 장치의 동작 방법.
  14. 제13항에 있어서,
    보안 설정 입력모듈로부터 입력된 상기 매핑 룰 갱신 설정에 따라, 상기 매핑 룰 갱신 설정을 입력한 관리자를 인증하는 단계를 더 포함하는, 프로토콜 변환 장치의 동작 방법.
  15. 제14항에 있어서,
    입력된 상기 매핑 룰 갱신 설정을 검증하는 단계를 더 포함하는, 프로토콜 변환 장치의 동작 방법.
  16. 삭제
KR1020160060178A 2016-05-17 2016-05-17 프로토콜 변환 장치 및 이의 동작 방법 KR101717665B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160060178A KR101717665B1 (ko) 2016-05-17 2016-05-17 프로토콜 변환 장치 및 이의 동작 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160060178A KR101717665B1 (ko) 2016-05-17 2016-05-17 프로토콜 변환 장치 및 이의 동작 방법

Publications (1)

Publication Number Publication Date
KR101717665B1 true KR101717665B1 (ko) 2017-03-17

Family

ID=58502218

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160060178A KR101717665B1 (ko) 2016-05-17 2016-05-17 프로토콜 변환 장치 및 이의 동작 방법

Country Status (1)

Country Link
KR (1) KR101717665B1 (ko)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20120016482A (ko) * 2010-08-16 2012-02-24 소프트캠프(주) 보안영역 데이터의 반출 제어시스템과 그 제어방법
JP2013506324A (ja) * 2009-09-25 2013-02-21 ゼットティーイー コーポレイション インターワーキング機能エンティティ及びそのプロトコルマッピング方法
KR20140105681A (ko) * 2013-02-22 2014-09-02 삼성전자주식회사 보안 모드에서 데이터 암호화 장치 및 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013506324A (ja) * 2009-09-25 2013-02-21 ゼットティーイー コーポレイション インターワーキング機能エンティティ及びそのプロトコルマッピング方法
KR20120016482A (ko) * 2010-08-16 2012-02-24 소프트캠프(주) 보안영역 데이터의 반출 제어시스템과 그 제어방법
KR20140105681A (ko) * 2013-02-22 2014-09-02 삼성전자주식회사 보안 모드에서 데이터 암호화 장치 및 방법

Similar Documents

Publication Publication Date Title
US10771262B2 (en) Providing forward secrecy in a terminating SSL/TLS connection proxy using ephemeral Diffie-Hellman key exchange
US11271730B2 (en) Systems and methods for deployment, management and use of dynamic cipher key systems
US11075752B2 (en) Network authentication method, and related device and system
US9847882B2 (en) Multiple factor authentication in an identity certificate service
US8130961B2 (en) Method and system for client-server mutual authentication using event-based OTP
RU2718689C2 (ru) Управление конфиденциальной связью
US8291231B2 (en) Common key setting method, relay apparatus, and program
US7992193B2 (en) Method and apparatus to secure AAA protocol messages
US6839841B1 (en) Self-generation of certificates using secure microprocessor in a device for transferring digital information
US9491174B2 (en) System and method for authenticating a user
US20130145447A1 (en) Cloud-based data backup and sync with secure local storage of access keys
US11044082B2 (en) Authenticating secure channel establishment messages based on shared-secret
JP2009510978A (ja) 制約された暗号キー
EP3948592A1 (en) Digital rights management authorization token pairing
US7266705B2 (en) Secure transmission of data within a distributed computer system
CN108809633B (zh) 一种身份认证的方法、装置及系统
WO2022100356A1 (zh) 身份认证系统、方法、装置、设备及计算机可读存储介质
WO2018202109A1 (zh) 一种证书请求消息发送方法、接收方法和装置
US11968302B1 (en) Method and system for pre-shared key (PSK) based secure communications with domain name system (DNS) authenticator
US20240113885A1 (en) Hub-based token generation and endpoint selection for secure channel establishment
EP3216163B1 (en) Providing forward secrecy in a terminating ssl/tls connection proxy using ephemeral diffie-hellman key exchange
WO2016134631A1 (zh) 一种OpenFlow报文的处理方法及网元
US9774630B1 (en) Administration of multiple network system with a single trust module
KR101717665B1 (ko) 프로토콜 변환 장치 및 이의 동작 방법
US12015721B1 (en) System and method for dynamic retrieval of certificates with remote lifecycle management

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20191223

Year of fee payment: 4