KR101837064B1 - Apparatus and method for secure communication - Google Patents
Apparatus and method for secure communication Download PDFInfo
- Publication number
- KR101837064B1 KR101837064B1 KR1020160061988A KR20160061988A KR101837064B1 KR 101837064 B1 KR101837064 B1 KR 101837064B1 KR 1020160061988 A KR1020160061988 A KR 1020160061988A KR 20160061988 A KR20160061988 A KR 20160061988A KR 101837064 B1 KR101837064 B1 KR 101837064B1
- Authority
- KR
- South Korea
- Prior art keywords
- packet
- secure
- remote
- communication
- communication device
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
Abstract
보안 통신 장치 및 방법이 개시된다. 본 발명에 따른 보안 통신 장치는, 보안 통신 장치에 설치된 로컬 응용 프로그램이 전송하는 제1 통신 패킷이 루프백 어댑터로 전송되도록, 라우팅 테이블을 수정하는 라우팅 테이블 수정부, 상기 루프백 어댑터가 수신한 상기 제1 통신 패킷을 암호화 및 캡슐화하여 제1 보안 패킷을 생성하는 보안 패킷 생성부, 그리고 생성된 상기 제1 보안 패킷을 상기 로컬 응용 프로그램에 상응하는 원격 응용 프로그램이 설치된 원격 보안 통신 장치로 전송하는 패킷 송수신부를 포함한다. A secure communication apparatus and method are disclosed. The security communication apparatus according to the present invention includes a routing table correcting unit for correcting a routing table so that a first communication packet transmitted by a local application installed in a secure communication device is transmitted to a loopback adapter, A security packet generating unit for generating a first security packet by encrypting and encapsulating a communication packet, and a packet transmission / reception unit for transmitting the generated security packet to a remote secure communication device installed with a remote application corresponding to the local application program .
Description
본 발명은 보안 통신 기술에 관한 것으로, 특히 응용 프로그램의 수정 없이 상호 인증 및 데이터 보호를 위한 안전한 통신 채널을 제공하는 기술에 관한 것이다. The present invention relates to a secure communication technology, and more particularly, to a technique for providing a secure communication channel for mutual authentication and data protection without modification of an application program.
응용 프로그램이 상호 인증 및 데이터 보호 등의 보안 기능을 지원하지 않는 경우, 주로 응용 프로그램간 통신을 안전하게 보호하기 위하여 가상사설망(VPN)을 사용한다. If an application does not support security features such as mutual authentication and data protection, it uses a virtual private network (VPN) to secure communication between applications.
여기서, 가상사설망은 인터넷 망을 전용선처럼 사용할 수 있도록 특수 통신체계와 암호화 기법을 제공하는 서비스로, 기업 본사와 지사 또는 지사 간에 전용망을 설치한 것과 같은 효과를 거둘 수 있으며, 기존 사설망의 고비용 부담을 해소하기 위해 사용된다. Here, the virtual private network is a service that provides a special communication system and encryption technique so that the Internet network can be used as a private line, and it has the same effect as installing a private network between a corporate head office and a branch office or a branch office. Used to resolve.
종래의 가상사설망을 이용하기 위해서는 공중망 네트워크 상에서 가상사설망의 시작점과 끝점에 VPN 장비가 설치되어야 하며, 사용자는 VPN 장비가 설치된 장소에서만 안전한 통신을 할 수 있다. 이로 인하여 흩어져 설치된 여러 대의 기기와 안전한 통신 수행하기 위해서는 여러 대의 VPN 장비를 설치해야 한다. 따라서, VPN 장비 설치 시 비용적 측면 및 공간적 측면에서 많은 어려움이 있다. In order to use the conventional virtual private network, a VPN device must be installed at the start and end points of a virtual private network on a public network, and users can communicate securely only in a place where a VPN device is installed. For this reason, it is necessary to install several VPN devices in order to perform secure communication with a plurality of devices scattered and installed. Therefore, there are many difficulties in terms of cost and space when installing a VPN device.
이러한 문제를 해결하기 위해서 대한민국 공개 특허 10-2010-0033698(가상사설망 서비스방법 및 그 시스템)는 사용자 단말이 가상사설망으로 접속하고자 하는 경우, 사용자 단말에 가상사설망 소프트웨어를 설치하여, 소프트웨어와 VPN 장비 간의 안전한 통신 채널을 응용 프로그램이 이용할 수 있도록 하는 방법을 제공한다. 이를 통하여 상기 종래 기술은 VPN 장비의 설치 장소 및 설치 비용의 문제를 해결한다. In order to solve such a problem, Korean Patent Laid-Open No. 10-2010-0033698 (Virtual Private Network Service method and system thereof) discloses a method of installing virtual private network software in a user terminal when a user terminal wants to connect to a virtual private network, Provides a way to make secure communication channels available to applications. The conventional technique solves the problem of installation place and installation cost of the VPN equipment.
그러나, 상기 종래 기술은 특정 사이트에 접속하는 사용자를 대상으로 가상사설망 서비스를 제공하는 것으로 그 기능이 한정된다. 즉, 단말과 단말 사이의 안전한 통신을 하기 위해서는 상기 종래 기술을 적용할 수 없는 문제가 발생한다. However, the above-described prior art provides a virtual private network service for users accessing a specific site, and its functions are limited. That is, in order to perform secure communication between the terminal and the terminal, the conventional technique can not be applied.
따라서, 단말과 단말 사이에 안전한 통신 채널을 형성하여, 응용 프로그램의 수정 없이 안전한 통신을 제공할 수 있도록 하는 기술의 개발이 필요하다. Therefore, it is necessary to develop a technique for forming a secure communication channel between the terminal and the terminal so as to provide secure communication without modifying the application program.
본 발명의 목적은 응용 프로그램을 수정하지 않아도 별도의 보안 통신 장치를 이용하여, 응용 프로그램 간 안전한 통신을 수행할 수 있도록 하는 보안 채널을 제공하는 것이다. An object of the present invention is to provide a secure channel that enables secure communication between application programs using a separate secure communication device without modifying the application program.
또한, 본 발명의 목적은 안전한 통신 채널인 보안 채널을 이용하여 응용 프로그램이 송신하는 패킷을 상대 보안 통신 장치로 전송할 수 있도록 하는 것이다. It is also an object of the present invention to enable a packet transmitted by an application program to be transmitted to a counterpart secure communication device using a secure channel, which is a secure communication channel.
또한, 본 발명의 목적은 단말과 정해진 사이트 간의 통신에서만 보안 채널을 제공하는 것이 아니라, 보안 통신 장치가 설치된 단말 또는 사이트간 일대일, 일대다, 다대다 연결을 지원하여 안전한 통신을 수행할 수 있도록 하는 것이다. It is also an object of the present invention to provide a security communication system capable of performing secure communication by supporting a one-to-one, one-to-many, and many-to-many connection between a terminal or a site in which a secure communication device is installed, will be.
상기한 목적을 달성하기 위한 본 발명에 따른 보안 통신 장치는 보안 통신 장치에 설치된 로컬 응용 프로그램이 전송하는 제1 통신 패킷이 루프백 어댑터로 전송되도록, 라우팅 테이블을 수정하는 라우팅 테이블 수정부, 상기 루프백 어댑터가 수신한 상기 제1 통신 패킷을 암호화 및 캡슐화하여 제1 보안 패킷을 생성하는 보안 패킷 생성부, 그리고 생성된 상기 제1 보안 패킷을 상기 로컬 응용 프로그램에 상응하는 원격 응용 프로그램이 설치된 원격 보안 통신 장치로 전송하는 패킷 송수신부를 포함한다. According to an aspect of the present invention, there is provided a secure communication apparatus including a routing table modifying unit configured to modify a routing table so that a first communication packet transmitted by a local application program installed in a secure communication apparatus is transmitted to a loopback adapter, A security packet generator for generating a first security packet by encrypting and encapsulating the first communication packet received by the remote security communication device and transmitting the generated first security packet to a remote security communication device And a packet transmission / reception unit.
이때, 상기 원격 보안 통신 장치와 상호 인증 과정을 수행하고, 상기 상호 인증 성공 시, 상기 원격 보안 통신 장치와 통신을 수행하기 위한 보안 채널을 형성하는 보안 채널 형성부를 더 포함할 수 있다. The secure communication apparatus may further include a secure channel forming unit for performing a mutual authentication process with the remote secure communication apparatus and forming a secure channel for performing communication with the remote secure communication apparatus upon successful mutual authentication.
이때, 상기 패킷 송수신부는, 상기 보안 채널을 통하여 상기 원격 보안 통신 장치로 상기 제1 보안 패킷을 전송할 수 있다. At this time, the packet transmitting / receiving unit may transmit the first security packet to the remote secure communication apparatus through the secure channel.
이때, 상기 보안 채널 형성부는, TLS 갱신 프로토콜 및 TLS 재협상 프로토콜 중 적어도 어느 하나를 기반으로, 상기 보안 채널을 주기적으로 갱신할 수 있다. At this time, the secure channel forming unit may periodically update the secure channel based on at least one of a TLS update protocol and a TLS renegotiation protocol.
이때, 상기 보안 패킷 생성부는, 상기 루프백 어댑터가 수신한 상기 제1 통신 패킷이, 보안 통신의 대상이 되는 응용 프로그램에 상응하는 패킷인지 여부를 판단하고, 상기 보안 통신이 대상이 되는 응용 프로그램에 상응하는 패킷인 경우 상기 제1 보안 패킷을 생성할 수 있다. Here, the secure packet generation unit may determine whether the first communication packet received by the loopback adapter is a packet corresponding to an application program to be securely communicated, The first secure packet can be generated.
이때, 상기 라우팅 테이블 수정부는, 상기 원격 보안 통신 장치의 IP 주소로 향하는 상기 제1 통신 패킷이, 상기 루프백 어댑터로 전송되도록 상기 라우팅 테이블을 수정할 수 있다. At this time, the routing table modification unit may modify the routing table so that the first communication packet directed to the IP address of the remote secure communication device is transmitted to the loopback adapter.
이때, 상기 보안 패킷 생성부는, 암호화된 상기 제1 통신 패킷을 페이로드로 사용하고, 새로운 헤더를 생성하며, 상기 페이로드 및 상기 헤더를 이용하여 제1 메시지 인증 코드를 생성하고, 상기 헤더, 상기 페이로드 및 상기 제1 메시지 인증 코드를 캡슐화하여 상기 제1 보안 패킷을 생성할 수 있다. At this time, the secure packet generation unit uses the encrypted first communication packet as a payload, generates a new header, generates a first message authentication code using the payload and the header, Payload and the first message authentication code to generate the first secure packet.
이때, 상기 패킷 송수신부가, 상기 원격 보안 통신 장치로부터 암호화 및 캡슐화된 제2 보안 패킷을 수신하면, 상기 제2 보안 패킷을 캡슐 해제하고, 복호화하여 제2 통신 패킷을 획득하며, 상기 제2 통신 패킷에 상응하는 응용 프로그램으로 상기 제2 통신 패킷을 전송하는 보안 패킷 복원부를 더 포함할 수 있다. At this time, when the packet transmission / reception unit receives the second security packet encrypted and encapsulated from the remote secure communication device, the packet transmission / reception unit decapsulates and decrypts the second security packet to acquire the second communication packet, And transmitting the second communication packet to an application program corresponding to the second communication packet.
이때, 상기 보안 패킷 복원부는, 캡슐 해제된 상기 제2 보안 패킷의 헤더를 분리하고, 상기 제2 보안 패킷에 상응하는 페이로드를 복호화하여 상기 제2 통신 패킷을 획득할 수 있다. At this time, the secure packet restoring unit can separate the header of the decapsulated second security packet and obtain the second communication packet by decoding the payload corresponding to the second secure packet.
이때, 상기 보안 패킷 복원부는, 상기 제2 보안 패킷을 캡슐 해제하여 획득한 상기 제2 보안 패킷에 상응하는 제2 메시지 인증 코드를 이용하여 메시지 인증 코드 검증을 수행하고, 상기 메시지 인증 코드 검증에 성공한 경우, 상기 제2 보안 패킷을 복호화하여 상기 제2 통신 패킷을 획득할 수 있다. At this time, the secure packet restoring unit performs a message authentication code verification using a second message authentication code corresponding to the second security packet obtained by decapsulating the second security packet, , The second secure packet may be decrypted to obtain the second communication packet.
또한, 본 발명의 일실시예에 따른 보안 통신 장치에 의해 수행되는 보안 통신 방법은 상기 보안 통신 장치에 설치된 로컬 응용 프로그램이 전송하는 제1 통신 패킷이 루프백 어댑터로 전송되도록, 라우팅 테이블을 수정하는 단계, 상기 루프백 어댑터가 수신한 상기 제1 통신 패킷을 암호화 및 캡슐화하여 제1 보안 패킷을 생성하는 단계, 그리고 생성된 상기 제1 보안 패킷을 상기 로컬 응용 프로그램에 상응하는 원격 응용 프로그램이 설치된 원격 보안 통신 장치로 전송하는 단계를 포함한다. Also, the secure communication method performed by the secure communication device according to an embodiment of the present invention includes the steps of modifying the routing table so that the first communication packet transmitted by the local application installed in the secure communication device is transmitted to the loopback adapter Encrypting and encapsulating the first communication packet received by the loopback adapter to generate a first security packet, and transmitting the generated first security packet to a remote secure communication with a remote application corresponding to the local application To the device.
이때, 상기 원격 보안 통신 장치와 상호 인증 과정을 수행하는 단계, 그리고 상기 상호 인증 과정 수행 후, 상기 원격 보안 통신 장치와 통신을 수행하기 위한 보안 채널을 형성하는 단계를 더 포함할 수 있다. The method may further include performing a mutual authentication process with the remote secure communication device, and forming a secure channel for performing communication with the remote secure communication device after performing the mutual authentication process.
이때, 상기 제1 보안 패킷을 상기 원격 보안 통신 장치로 전송하는 단계는, 상기 보안 채널을 통하여 상기 원격 보안 통신 장치로 상기 제1 보안 패킷을 전송할 수 있다. Wherein transmitting the first secure packet to the remote secure communications device may transmit the first secure packet to the remote secure communications device via the secure channel.
이때, TLS 갱신 프로토콜 및 TLS 재협상 프로토콜 중 적어도 어느 하나를 기반으로, 상기 보안 채널을 주기적으로 갱신하는 단계를 더 포함할 수 있다. The method may further include periodically updating the secure channel based on at least one of a TLS update protocol and a TLS renegotiation protocol.
이때, 상기 제1 보안 패킷을 생성하는 단계는, 상기 루프백 어댑터가 수신한 상기 제1 통신 패킷이, 보안 통신의 대상이 되는 응용 프로그램에 상응하는 패킷인지 여부를 판단하고, 상기 보안 통신이 대상이 되는 응용 프로그램에 상응하는 패킷인 경우 상기 제1 보안 패킷을 생성할 수 있다. The step of generating the first security packet may include determining whether the first communication packet received by the loopback adapter is a packet corresponding to an application program to be subjected to secure communication, The first secure packet may be generated when the packet is a packet corresponding to an application program.
이때, 상기 라우팅 테이블을 수정하는 단계는, 상기 원격 보안 통신 장치의 IP 주소로 향하는 상기 제1 통신 패킷이, 상기 루프백 어댑터로 전송되도록 상기 라우팅 테이블을 수정할 수 있다. At this time, modifying the routing table may modify the routing table such that the first communication packet directed to the IP address of the remote secure communication device is sent to the loopback adapter.
이때, 상기 제1 보안 패킷을 생성하는 단계는, 암호화된 상기 제1 통신 패킷을 페이로드로 사용하고, 새로운 헤더를 생성하는 단계, 상기 페이로드 및 상기 헤더를 이용하여 제1 메시지 인증 코드를 생성하는 단계, 그리고 상기 헤더, 상기 페이로드 및 상기 제1 메시지 인증 코드를 캡슐화하여 상기 제1 보안 패킷을 생성하는 단계를 포함할 수 있다. The generating of the first security packet may include generating the new header using the encrypted first communication packet as a payload, generating a first message authentication code using the payload and the header, And encapsulating the header, the payload, and the first message authentication code to generate the first secure packet.
이때, 상기 원격 보안 통신 장치로부터 암호화 및 캡슐화된 제2 보안 패킷을 수신하는 단계, 상기 제2 보안 패킷을 캡슐 해제하고, 복호화하여 제2 통신 패킷을 획득하는 단계, 그리고 상기 제2 통신 패킷에 상응하는 응용 프로그램으로, 상기 제2 통신 패킷을 전송하는 단계를 더 포함할 수 있다. Receiving a second secure packet encrypted and encapsulated from the remote secure communications device; decapsulating and decrypting the second secure packet to obtain a second communications packet; And transmitting the second communication packet to the application program.
이때, 상기 제2 통신 패킷을 획득하는 단계는, 캡슐 해제된 상기 제2 보안 패킷의 헤더를 분리하고, 상기 제2 보안 패킷에 상응하는 페이로드를 복호화하여 상기 제2 통신 패킷을 획득할 수 있다. At this time, the step of acquiring the second communication packet can separate the header of the decapsulated second security packet and decrypt the payload corresponding to the second security packet to acquire the second communication packet .
이때, 상기 제2 보안 패킷을 캡슐 해제하여 획득한 상기 제2 보안 패킷에 상응하는 제2 메시지 인증 코드를 이용하여 메시지 인증 코드 검증을 수행하는 단계를 더 포함하고, 상기 메시지 인증 코드 검증에 성공한 경우, 상기 제2 보안 패킷을 복호화하여 상기 제2 통신 패킷을 획득하는 단계를 수행할 수 있다. The method may further include performing message authentication code verification using a second message authentication code corresponding to the second security packet obtained by decapsulating the second security packet. When the message authentication code verification is successful And decrypting the second secure packet to obtain the second communication packet.
본 발명에 따르면, 응용 프로그램을 수정하지 않아도 별도의 보안 통신 장치를 이용하여, 응용 프로그램 간 안전한 통신을 수행할 수 있도록 하는 보안 채널을 제공할 수 있다. According to the present invention, it is possible to provide a secure channel for performing secure communication between application programs by using a separate secure communication device without modifying the application program.
또한 본 발명에 따르면, 안전한 통신 채널인 보안 채널을 이용하여 응용 프로그램이 송신하는 패킷을 상대 보안 통신 장치로 전송할 수 있다. Also, according to the present invention, a packet transmitted by an application program can be transmitted to a counterpart secure communication device using a secure channel, which is a secure communication channel.
또한 본 발명에 따르면, 단말과 정해진 사이트 간의 통신에서만 보안 채널을 제공하는 것이 아니라, 보안 통신 장치가 설치된 단말 또는 사이트간 일대일, 일대다, 다대다 연결을 지원하여 안전한 통신을 수행하도록 할 수 있다. Also, according to the present invention, not only a secure channel is provided only in a communication between a terminal and a predetermined site, but a one-to-one, one-to-many, and many-to-many connection between a terminal or a site in which a secure communication device is installed can be supported to perform secure communication.
도 1은 본 발명의 일실시예에 따른 보안 통신 장치가 적용되는 환경을 개략적으로 나타낸 도면이다.
도 2는 본 발명의 일실시예에 따른 보안 통신 장치의 구성을 나타낸 블록도이다.
도 3은 본 발명의 일실시예에 따른 보안 통신 장치의 보안 채널 형성 과정을 설명하기 위한 순서도이다.
도 4는 본 발명의 일실시예에 따른 단말의 각 구성에 상응하는 IP 주소를 나타낸 예시도이다.
도 5는 본 발명의 일실시예에 따른 보안 통신 장치의 보안 패킷 생성 및 전송 과정을 설명하기 위한 순서도이다.
도 6은 본 발명의 일실시예에 따른 단말에서 처리되는 패킷을 설명하기 위한 예시도이다.
도 7은 본 발명의 일실시예 따른 보안 통신 장치의 보안 패킷 수신 과정을 설명하기 위한 순서도이다.
도 8은 본 발명의 일실시예에 따른 보안 통신 장치의 연결 구조를 설명하기 위한 도면이다.
도 9는 본 발명의 일실시예에 따른 보안 통신 장치간 통신이 수행되는 과정을 설명하기 위한 도면이다.
도 10은 본 발명의 일실시예에 따른 보안 통신 장치의 구성을 나타낸 구성도이다.
도 11은 본 발명의 일실시예에 따른 컴퓨터 시스템을 나타낸 블록도이다.1 is a diagram schematically illustrating an environment to which a secure communication apparatus according to an embodiment of the present invention is applied.
2 is a block diagram illustrating a configuration of a secure communication apparatus according to an embodiment of the present invention.
3 is a flowchart illustrating a process of forming a secure channel in a secure communication apparatus according to an exemplary embodiment of the present invention.
4 is an exemplary view showing IP addresses corresponding to respective configurations of a terminal according to an embodiment of the present invention.
5 is a flowchart illustrating a security packet generation and transmission process of a secure communication apparatus according to an exemplary embodiment of the present invention.
FIG. 6 is an exemplary diagram for explaining packets to be processed in a terminal according to an embodiment of the present invention. FIG.
FIG. 7 is a flowchart illustrating a security packet reception procedure of a secure communication apparatus according to an embodiment of the present invention.
8 is a view for explaining a connection structure of a secure communication apparatus according to an embodiment of the present invention.
9 is a diagram for explaining a process of performing communication between secure communication devices according to an embodiment of the present invention.
FIG. 10 is a configuration diagram illustrating a configuration of a secure communication apparatus according to an embodiment of the present invention.
11 is a block diagram illustrating a computer system in accordance with an embodiment of the present invention.
본 발명을 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다. 여기서, 반복되는 설명, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능, 및 구성에 대한 상세한 설명은 생략한다. 본 발명의 실시형태는 당 업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다. 따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.The present invention will now be described in detail with reference to the accompanying drawings. Hereinafter, a repeated description, a known function that may obscure the gist of the present invention, and a detailed description of the configuration will be omitted. Embodiments of the present invention are provided to more fully describe the present invention to those skilled in the art. Accordingly, the shapes and sizes of the elements in the drawings and the like can be exaggerated for clarity.
이하, 본 발명에 따른 바람직한 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.Hereinafter, preferred embodiments according to the present invention will be described in detail with reference to the accompanying drawings.
도 1은 본 발명의 일실시예에 따른 보안 통신 장치가 적용되는 환경을 개략적으로 나타낸 도면이다. 1 is a diagram schematically illustrating an environment to which a secure communication apparatus according to an embodiment of the present invention is applied.
도 1에 도시한 바와 같이, 로컬 단말(10)에는 로컬 보안 통신 장치(20)가 설치되어 있고, 원격 단말(30)에는 원격 보안 통신 장치(40)가 설치되어 있다. 그리고 로컬 단말(10) 및 원격 단말(30)에는 각각 로컬 응용 프로그램(15) 및 원격 응용 프로그램(35)이 설치되어 있다. 1, a local
여기서, 로컬 응용 프로그램(15)과 원격 응용 프로그램(35)은 보안 기능이 구비되지 않은 응용 프로그램일 수 있다. 그리고 로컬 단말(10) 및 원격 단말(30)에는 하나 이상의 응용 프로그램(15, 35)이 설치되어 있을 수 있다. Here, the local application program 15 and the remote application program 35 may be application programs without security functions. The
그리고 로컬 단말(10)은 패킷을 전송하는 로컬 응용 프로그램(15)이 설치된 단말을 의미하고, 원격 단말(30)은 로컬 응용 프로그램(15)으로부터 패킷을 수신하는 단말을 의미한다. The
설명의 편의상 로컬 단말(10)과 원격 단말(30)로 구분하여 설명하였으나, 로컬 단말(10)과 원격 단말(30)은 실질적으로 동일하게 구현될 수 있으며, 원격 단말(30)도 로컬 단말(10)로 패킷을 전송할 수 있고, 로컬 단말(10)도 원격 단말(30)로부터 패킷을 수신할 수 있다. The
또한, 로컬 보안 통신 장치(20) 및 원격 보안 통신 장치(40)가 각각 로컬 단말(10) 및 원격 단말(30)에 설치되는 것으로 설명하였으나 이에 한정하지 않고, 로컬 보안 통신 장치(200 및 원격 보안 통신 장치(40)는 각가 로컬 서버 및 원격 서버에 설치될 수도 있다. Although the local
이하에서는 도 2를 통하여 본 발명의 일실시예에 따른 보안 통신 장치의 구성에 대하여 더욱 자세하게 설명한다. Hereinafter, a configuration of a secure communication apparatus according to an embodiment of the present invention will be described in detail with reference to FIG.
도 2는 본 발명의 일실시예에 따른 보안 통신 장치의 구성을 나타낸 블록도이다. 2 is a block diagram illustrating a configuration of a secure communication apparatus according to an embodiment of the present invention.
도 2에 도시한 바와 같이, 보안 통신 장치(200)는 라우팅 테이블 수정부(210), 보안 채널 형성부(220), 보안 패킷 생성부(230), 패킷 송수신부(240) 및 보안 패킷 복원부(250)를 포함한다. 2, the
먼저, 라우팅 테이블 수정부(210)는 보안 통신 장치(200)에 설치된 응용 프로그램이 전송하는 제1 통신 패킷이 루프백 어댑터로 전송되도록 라우팅 테이블을 수정한다. 이때, 라우팅 테이블 수정부(210)는 원격 보안 통신 장치의 IP 주소로 향하는 제1 통신 패킷이, 루프백 어댑터로 전송되도록 라우팅 테이블을 수정할 수 있다. First, the
다음으로 보안 채널 형성부(220)는 원격 보안 통신 장치와의 상호 인증 과정을 수행한다. 그리고 보안 채널 형성부(220)는 상호 인증 성공 시, 원격 보안 통신 장치와 통신을 수행하기 위한 보안 채널을 형성한다. Next, the secure
여기서, 보안 채널 형성부(220)는 상호 인증 과정으로 전송 계층 보안(Transport Layer Security) 프로토콜 또는 그와 유사한 다양한 상호인증 프로토콜을 사용할 수 있다. 또한, 보안 채널 형성부(220)는 보안 채널을 TLS 갱신 프로토콜 및 TLS 재협상 프로토콜 중 적어도 어느 하나를 기반으로 주기적으로 갱신할 수 있다. Here, the secure
그리고 보안 패킷 생성부(230)는 루프백 어댑터가 수신한 제1 통신 패킷을 암호화 및 캡슐화하여 제1 보안 패킷을 생성한다. The
이때, 보안 패킷 생성부(230)는 루프백 어댑터가 수신한 제1 통신 패킷이 보안 통신의 대상이 되는 응용 프로그램에 상응하는 패킷인지 여부를 판단하고, 제1 통신 패킷이 보안 통신의 대상이 되는 응용 프로그램에 상응하는 패킷인 것으로 판단된 경우 제1 보안 패킷을 생성할 수 있다. At this time, the secure
또한 보안 패킷 생성부(230)는 암호화된 제1 통신 패킷을 페이로드로 사용하고, 새로운 헤더를 생성하며, 페이로드 및 새로 생성된 헤더를 이용하여 제1 메시지 인증 코드를 생성한다. 그리고 보안 패킷 생성부(230)는 헤더, 페이로드 및 제1 메시지 인증 코드를 캡슐화하여 제1 보안 패킷을 생성할 수 있다. In addition, the secure
다음으로 패킷 송수신부(240)는 생성된 제1 보안 패킷을 로컬 응용 프로그램에 상응하는 원격 응용 프로그램이 설치된 원격 보안 통신 장치로 전송한다. 이때, 패킷 송수신부(240)는 보안 채널을 이용하여 제1 보안 패킷을 원격 보안 통신 장치로 전송할 수 있다. Next, the packet transmission /
또한, 패킷 송수신부(240)는 원격 보안 통신 장치로부터 암호화 및 캡슐화된 제2 보안 패킷을 수신한다. In addition, the packet transmission /
마지막으로, 보안 패킷 복원부(250)는 수신된 제2 보안 패킷을 캡슐 해제하고, 복호화하여 통신 패킷을 획득한다. 그리고 통신 패킷에 상응하는 응용 프로그램으로 통신 패킷을 전송한다. Finally, the secure
이때, 보안 패킷 복원부(250)는 캡슐 해제된 제2 보안 패킷의 헤더를 분리하고, 제2 보안 패킷에 상응하는 페이로드를 복호화하여 통신 패킷을 획득할 수 있다. At this time, the secure
또한 보안 패킷 복원부(250)는 제2 보안 패킷을 캡슐 해제하여 획득한 제2 보안 패킷에 상응하는 제2 메시지 인증 코드를 이용하여 메시지 인증 코드 검증을 수행할 수 있다. 그리고 보안 패킷 복원부(250)는 메시지 인증 코드 검증에 성공한 경우, 제2 보안 패킷을 복호화하여 통신 패킷을 획득할 수 있다. In addition, the secure
이하에서는 도 3 내지 도 7을 통하여 본 발명의 일실시예에 따른 보안 통신 장치에 의해 수행되는 보안 통신 방법에 대하여 더욱 상세하게 설명한다. Hereinafter, a secure communication method performed by the secure communication apparatus according to an embodiment of the present invention will be described in detail with reference to FIG. 3 through FIG.
설명의 편의상, 보안 통신 장치(200)가 보안 채널을 형성하는 과정, 보안 패킷을 생성하여 전송하는 과정, 보안 패킷을 수신하는 과정의 세 과정을 수행하는 것으로 나누어 설명하였다. For convenience of explanation, the
도 3은 본 발명의 일실시예에 따른 보안 통신 장치의 보안 채널 형성 과정을 설명하기 위한 순서도이다. 3 is a flowchart illustrating a process of forming a secure channel in a secure communication apparatus according to an exemplary embodiment of the present invention.
먼저, 보안 통신 장치(200)는 루프백 어댑터를 활성화한다(S310). First, the
보안 통신 장치(200)는 루프백(loopback) 어댑터를 사용하기 위하여, 루프백 어댑터를 활성화하고, 루프백 어댑터에 IP 주소를 할당한다. The
그리고 보안 통신 장치(200)는 라우팅 테이블을 수정한다(S320).Then, the
보안 통신 장치(200)는 특정 목적지로 향하는 패킷을 루프백 어댑터로 향하도록 하기 위하여, 네트워크 라우팅 정보를 수정한다. 여기서 특정 목적지는 원격 보안 통신 장치 및 원격 보안 통신 장치에 설치된 원격 응용 프로그램 중 적어도 어느 하나를 의미할 수 있다. The
이때, 보안 통신 장치(200)는 보안 통신 장치(200)를 사용하는 로컬 응용 프로그램의 목록을 저장할 수 있으며, 로컬 응용 프로그램의 목록으로부터 로컬 응용 프로그램별 통신의 대상이 되는 원격 응용 프로그램 정보를 추출할 수 있다. At this time, the
그리고 보안 통신 장치(200)는 추출된 원격 응용 프로그램 정보를 이용하여, 로컬 응용 프로그램에 상응하는 원격 응용 프로그램의 IP주소를 기반으로 라우팅 테이블을 수정한다. 즉, 보안 통신 장치(200)는 원격 응용 프로그램의 IP주소로 향하는 패킷이 루프백 어댑터로 향하도록 로컬 단말의 라우팅 테이블 정보를 수정한다. The
도 4는 본 발명의 일실시예에 따른 단말의 각 구성에 상응하는 IP 주소를 나타낸 예시도이다. 4 is an exemplary view showing IP addresses corresponding to respective configurations of a terminal according to an embodiment of the present invention.
도 4에 도시한 바와 같이, 로컬 단말(400)에는 로컬 응용 프로그램(410)이 설치되어 있고, 로컬 단말(400)은 로컬 보안 통신 장치(420)를 구비하며, 네트워크 인터페이스(430) 및 루프백 인터페이스(440)를 포함한다. 그리고 로컬 응용 프로그램(410)은 네트워크 인터페이스(430)를 사용하고, 로컬 보안 통신 장치(420)는 네트워크 인터페이스(430) 및 루프백 인터페이스(440)를 사용할 수 있다. 4, a
마찬가지로 원격 단말(500)에는 원격 응용 프로그램이 설치되어 있으며, 원격 단말(500)은 원격 보안 통신 장치(520)를 구비하고, 네트워크 인터페이스(530) 및 루프백 인터페이스(540)를 포함한다. 또한, 원격 응용 프로그램(510)은 네트워크 인터페이스(530)를 사용하고, 원격 보안 통신 장치(520)는 네트워크 인터페이스(530) 및 루프백 인터페이스(540)를 사용할 수 있다. Likewise, a
이때, 로컬 단말(400)의 네트워크 인터페이스(430) 및 루프백 인터페이스(440)와 원격 단말(500)의 네트워크 인터페이스(530) 및 루프백 인터페이스(540)는 서로 상이한 IP주소를 가진다. The
예를 들어, 도 4에 도시한 바와 같이 로컬 단말(400)의 네트워크 인터페이스(430)의 IP주소는 35.25.10.10이고, 루프백 인터페이스(440)의 IP주소는 172.40.0.10일 수 있다. 그리고 원격 단말(500)의 네트워크 인터페이스(530)의 IP주소는 10.100.1.10이고, 루프백 인터페이스(540)의 IP주소는 172.50.0.10일 수 있다. For example, as shown in FIG. 4, the IP address of the
이때, 로컬 응용 프로그램(410)에 상응하는 패킷이 10.100.1.10을 향하는 경우, 로컬 단말(400)에 설치된 로컬 보안 통신 장치(420)는 10.100.1.10으로 향하는 패킷을 루프백 인터페이스(440)로 향하도록 라우팅 테이블을 수정한다. 즉, 로컬 보안 통신 장치(420)는 10.100.1.10으로 향하는 패킷이 172.40.0.10으로 향할 수 있도록 라우팅 테이블을 수정할 수 있다. At this time, when the packet corresponding to the
다시 도 3에 다하여 설명하면, 보안 통신 장치(200)는 호스트 방화벽 규칙을 추가한다(S330).Referring back to FIG. 3, the
보안 통신 장치(200)는 로컬 응용 프로그램에 대한 직접 접근을 차단하기 위하여, 호스트 방화벽의 규칙을 수정한다. 보안 통신 장치(200)는 호스트 방화벽의 규칙을 수정함으로써 외부 프로그램이 임의로 보안 통신 장치를 사용하는 로컬 응용프로그램에 접근할 수 없도록 제한할 수 있다. The
보안 통신 장치(200)는 로컬 응용 프로그램의 목록을 추출하고, 추출된 로컬 응용 프로그램의 목록을 기반으로 로컬 단말의 운영체제에서 제공하는 호스트 방화벽에 새로운 규칙을 추가할 수 있다. 이때, 보안 통신 장치(200)는 로컬 응용 프로그램이 사용하는 수신용 TCP 포트에 보안 통신 장치(200)만이 접근할 수 있도록 접근을 허용하는 방화벽 규칙을 추가할 수 있다. The
여기서, 호스트 방화벽은 리눅스 운영체제의 경우 아이피테이블스(iptables)가 사용될 수 있고, 윈도우 운용체제인 경우 윈도우 방화벽이 사용될 수 있다. Here, the host firewall can use iptables for the Linux operating system and Windows firewall for the Windows operating system.
또한, 보안 통신 장치(200)는 보안 채널을 생성한다(S340). In addition, the
보안 통신 장치(200)는 보안 통신 장치(200)와 원격 보안 통신 장치간 안전한 통신 경로인 보안 채널을 생성한다. 여기서, 원격 보안 통신 장치는 원격 응용 프로그램이 설치된 보안 통신 장치를 의미하며, 보안 통신 장치(200)는 원격 응용 프로그램의 정보를 기반으로 보안 통신 장치(200)와 원격 보안 통신 장치간 보안 채널을 생성할 수 있다. The secure communication device (200) creates a secure channel which is a secure communication path between the secure communication device (200) and the remote secure communication device. Here, the remote secure communication device refers to a secure communication device in which a remote application program is installed, and the
그리고 보안 통신 장치(200)는 생성된 보안 채널을 주기적으로 갱신한다(S350). The
보안 통신 장치(200)는 보안 통신 장치(200)의 동작이 종료되는 순간까지 보안 채널을 주기적으로 갱신한다. 이때, 보안 통신 장치(200)가 상호 인증 과정으로 전송 계층 보안(TLS)을 사용하는 경우, 보안 통신 장치(200)는 매 시간 주기마다 TLS 갱신(resuming) 프로토콜을 사용하여 보안 채널을 갱신할 수 있다. The
또한, 보안 통신 장치(200)는 기 설정된 횟수 이상의 통신 메시지 교환 이후에는, TLS 재협상(renegotiation) 프로토콜을 사용하여 보안 채널을 갱신할 수도 있다. In addition, the
도 5는 본 발명의 일실시예에 따른 보안 통신 장치의 보안 패킷 생성 및 전송 과정을 설명하기 위한 순서도이다. 5 is a flowchart illustrating a security packet generation and transmission process of a secure communication apparatus according to an exemplary embodiment of the present invention.
먼저, 보안 통신 장치(200)는 제1 통신 패킷을 수신한다(S510).First, the
보안 통신 장치(200)는 로컬 응용 프로그램이 원격 응용 프로그램으로 전송하고자 하는 제1 통신 패킷을 루프백 어댑터로부터 수신한다. 이때, 제1 통신 패킷은 수정된 라우팅 테이블에 의하여 루프백 어댑터로 전달된 것이다. The
그리고 보안 통신 장치(200)는 수신된 제1 통신 패킷이 보안 통신의 대상인지 여부를 판단한다(S520). Then, the
보안 통신 장치(200)는 루프백 어댑터를 지속적으로 모니터링하며, 루프백 어댑터로 전달된 제1 통신 패킷을 확인하여, 제1 통신 패킷에 상응하는 로컬 응용 프로그램이 보안 통신의 대상이 되는지 여부를 판단한다. 그리고 로컬 응용 프로그램이 보안 통신의 대상인지 여부를 이용하여 보안 통신 장치(200)는 제1 통신 패킷이 보안 통신의 대상인지 여부를 판단한다. The
이때, 제1 통신 패킷이 보안 통신의 대상이 아닌 것으로 판단된 경우, 보안 통신 장치(200)는 제1 통신 패킷을 전송한다(S530). At this time, if it is determined that the first communication packet is not the object of the secure communication, the
반면, 제1 통신 패킷이 보안 통신의 대상인 것으로 판단된 경우, 보안 통신 장치(200)는 제1 보안 패킷을 생성한다(S540).On the other hand, if it is determined that the first communication packet is the subject of the secure communication, the
보안 통신 장치(200)는 원격 보안 통신 장치와 공유된 암호키를 이용하여 제1 통신 패킷을 암호화한다. 이때, 보안 통신 장치(200)는 ARIA, AES, LEA 등의 비밀키 알고리즘 및 RSA, DSA 등의 공개키 알고리즘 중 적어도 어느 하나를 이용하여 제1 통신 패킷을 암호화할 수 있다. The secure communication device (200) encrypts the first communication packet using a cryptographic key shared with the remote secure communication device. At this time, the
그리고 보안 통신 장치(200)는 암호화된 제1 통신 패킷을 새로운 페이로드(Payload)로 사용하고, 새로운 헤더를 생성한다. 또한, 보안 통신 장치(200)는 페이로드 및 새로 생성된 헤더를 이용하여 제1 메시지 인증 코드를 생성한다. Then, the
이때, 보안 통신 장치(200)는 비밀키 알고리즘을 사용하는 경우, HMAC을 사용하여 제1 메시지 인증 코드를 생성할 수 있다. 또한, 보안 통신 장치(200)가 공개키 알고리즘을 사용하는 경우 전자서명을 통하여 제1 메시지 인증 코드를 생성할 수도 있다. At this time, if the
그리고 보안 통신 장치(200)는 헤더, 페이로드 및 제1 메시지 인증 코드를 병합하고, 캡슐화하여 제1 보안 패킷을 생성한다. The
마지막으로 보안 통신 장치(200)는 원격 단말의 원격 보안 통신 장치로 제1 보안 패킷을 전송한다(S550). Finally, the
도 6은 본 발명의 일실시예에 따른 단말에서 처리되는 패킷을 설명하기 위한 예시도이다. FIG. 6 is an exemplary diagram for explaining packets to be processed in a terminal according to an embodiment of the present invention. FIG.
도 6에 도시한 바와 같이, 로컬 단말의 로컬 응용 프로그램이 전송한 제1 통신 패킷은 헤더 및 페이로드로 구성된다. 제1 통신 패킷은 로컬 단말의 IP주소(35.25.10.10)를 가지고, 목적지 주소로 원격 단말의 IP주소(10.100.1.10)을 가진다. 로컬 보안 통신 장치가 루프백 어댑터를 통해서 취득한 패킷 역시 최초 패킷 주소인 제1 통신 패킷과 동일한 주소를 가진다. As shown in Fig. 6, the first communication packet transmitted by the local application program of the local terminal is composed of a header and a payload. The first communication packet has the IP address (35.25.10.10) of the local terminal and the IP address (10.100.1.10) of the remote terminal as the destination address. The packet acquired by the local secure communication device through the loopback adapter also has the same address as the first communication packet which is the initial packet address.
그리고 제1 통신 패킷은 로컬 단말에 설치된 보안 통신 장치(200)의 보안 패킷 생성부에 의해 암호화된다. 이때, 보안 패킷 생성부는 제1 통신 패킷을 새로운 페이로드(암호화된 패킷)으로 생성하고, 새로운 헤더 및 메시지 인증 코드를 생성한다. 또한, 보안 패킷 생성부는 헤더, 페이로드 및 메시지 인증 코드를 캡슐화하여 제1 보안 패킷을 생성하고, 생성된 제1 보안 패킷을 원격 단말의 원격 보안 통신 장치로 전송한다. The first communication packet is encrypted by the secure packet generation unit of the
제1 보안 패킷의 출발지 주소는 로컬 단말에 설치된 로컬 보안 통신 장치의 IP주소(172.40.0.10)이고, 목적지 주소는 원격 단말에 설치된 원격 보안 통신 장치의 IP주소(172.50.0.10)이다. The source address of the first security packet is the IP address (172.40.0.10) of the local secure communication device installed in the local terminal and the destination address is the IP address (172.50.0.10) of the remote secure communication device installed in the remote terminal.
이후 원격 보안 통신 장치의 보안 패킷 복원부에서 캡슐화를 해제한 패킷은 최초 패킷인 제1 통신 패킷과 동일한 출발지 주소(35.25.10.10) 및 목적지 주소(10.100.1.10)을 지닌다. The packet that has been decapsulated in the secure packet restoration unit of the remote secure communication apparatus has the same source address (35.25.10.10) and destination address (10.100.1.10) as the first communication packet as the first packet.
설명의 편의상, 로컬 보안 통신 장치(200)가 제1 보안 패킷을 생성하여 원격 보안 통신 장치로 전송하는 것으로 설명하였으나 이에 한정하지 않고, 제1 보안 패킷을 수신한 원격 보안 통신 장치도 로컬 보안 통신 장치(200)로 보안 패킷을 생성하여 전송할 수 있다. For convenience of explanation, it has been described that the local
도 7은 본 발명의 일실시예 따른 보안 통신 장치의 보안 패킷 수신 과정을 설명하기 위한 순서도이다. FIG. 7 is a flowchart illustrating a security packet reception procedure of a secure communication apparatus according to an embodiment of the present invention.
도 7과 같이, 보안 통신 장치(200)는 보안 채널을 통해 제2 보안 패킷을 수신한다(S710).As shown in FIG. 7, the
설명의 편의상 도 7에서의 보안 통신 장치(200)는 원격 단말에 설치된 원격 보안 통신 장치를 의미하는 것으로 설명하였으나, 원격 보안 통신 장치로부터 보안 패킷을 수신한 로컬 보안 통신 장치를 의미할 수도 있다. For convenience of description, the
다음으로 보안 통신 장치(200)는 제2 메시지 인증 코드 검증을 수행한다(S720).Next, the
보안 통신 장치(200)는 캡슐화된 제2 보안 패킷의 페이로드를 이용하여 로컬 보안 통신 장치와 공유된 암호화 키를 이용하여 인증값을 생성한다. 그리고 보안 통신 장치(200)는 캡슐화된 제2 보안 패킷의 말단에 위치한 제2 메시지 인증 코드와 생성된 인증값이 일치하는지 여부를 검사한다. The
그리고 보안 통신 장치(200)는 메시지 인증 코드 검증에 성공하였는지 여부를 판단하고(S730), 판단 결과 검증에 실패한 경우 보안 패킷 수신 과정을 종료한다. 이때, 보안 통신 장치(200)는 수신된 제2 보안 패킷을 폐기하고, 패킷 수신 과정을 종료할 수 있다. Then, the
반면, 메시지 인증 코드 검증에 성공한 경우, 보안 통신 장치(200)는 수신된 제2 보안 패킷을 복호화한다(S740). On the other hand, if the message authentication code is successfully verified, the
보안 통신 장치(200)는 캡슐화된 제2 보안 패킷의 페이로드를 공유된 암호키로 복호화하여 제2 통신 패킷을 획득한다. The
그리고 보안 통신 장치(200)는 획득한 제2 통신 패킷을 응용 프로그램으로 전송한다(S750). Then, the
즉, 보안 통신 장치(200)가 원격 보안 통신 장치인 경우, 획득한 제2 통신 패킷은 원래의 목적지인 원격 응용 프로그램으로 전달된다. That is, if the
이와 같이, 본 발명의 일실시예에 따른 보안 통신 장치는 로컬 응용 프로그램 원격 응용 프로그램 자체와 해당 응용 프로그램들의 설정값을 수정하지 않고도, 로컬 응용 프로그램과 원격 응용 프로그램간 안전한 통신을 수행할 수 있도록 지원할 수 있다. Thus, the secure communication device according to the embodiment of the present invention can support secure communication between the local application program and the remote application program without modifying the setting value of the local application program remote application itself and the corresponding application programs .
도 8은 본 발명의 일실시예에 따른 보안 통신 장치의 연결 구조를 설명하기 위한 도면이다. 8 is a view for explaining a connection structure of a secure communication apparatus according to an embodiment of the present invention.
도 8에 도시한 바와 같이, 보안 통신 장치(800)는 일대일, 일대다, 다대다 등 다양한 형태의 보안 채널(700)을 형성할 수 있다. 그리고 각각의 보안 통신 장치(800_1, 800_3, 800_5)는 상대 보안 통신 장치(800_2, 800_4, 800_6)에 대하여, 로컬 보안 통신 장치의 역할 및 원격 보안 통신 장치의 역할을 번갈아가며 통신을 수행할 수 있다. As shown in FIG. 8, the
도 9는 본 발명의 일실시예에 따른 보안 통신 장치간 통신이 수행되는 과정을 설명하기 위한 도면이다. 9 is a diagram for explaining a process of performing communication between secure communication devices according to an embodiment of the present invention.
도 9와 같이, 로컬 단말(900)에는 로컬 응용 프로그램 및 로컬 보안 통신 장치가 설치되어 있고, 원격 단말(1000)에는 원격 응용 프로그램 및 원격 보안 통신 장치가 설치되어 있다. 또한, 로컬 단말(900) 및 원격 단말(1000)은 네트워크 카드 및 루프백 어댑터를 구비한다. 9, a local application program and a local secure communication device are installed in the
로컬 단말(900)의 루프백 어댑터는 로컬 응용 프로그램이 전송하고자 하는 패킷을 네트워크 카드로부터 수신하여 로컬 보안 통신 장치로 전송한다. 그리고 로컬 보안 통신 장치는 로컬 단말(900)과 원격 단말(1000)간의 안전한 통신 채널인 보안 채널을 통하여 수신된 패킷을 원격 단말(1000)로 전송한다. The loopback adapter of the
이때, 로컬 보안 통신 장치는 패킷의 암호화 및 캡슐화를 수행하여 원격 단말(1000)로 전송할 수 있다. 또한, 패킷을 수신한 원격 단말(1000)의 원격 보안 장치는 수신된 패킷의 캡슐을 해제하고 복호화하여, 패킷의 목적지에 상응하는 원격 응용 프로그램으로 전송한다. At this time, the local secure communication device can encrypt and encapsulate the packet and transmit it to the
설명의 편의상 로컬 단말(900)의 로컬 보안 통신 장치가 패킷을 전송하고, 원격 단말(1000)의 원격 보안 통신 장치가 패킷을 수신하는 것으로 설명하였으나 이에 한정하지 않고, 원격 보안 통신 장치가 패킷을 전송하고, 로컬 보안 통신 장치가 패킷을 수신할 수도 있다. The remote secure communication apparatus of the
도 10은 본 발명의 일실시예에 따른 보안 통신 장치의 구성을 나타낸 구성도이다. FIG. 10 is a configuration diagram illustrating a configuration of a secure communication apparatus according to an embodiment of the present invention.
도 10에 도시한 바와 같이, 보안 통신 장치는 어댑터 관리부, 패킷 선별부, 패킷 캡슐화부, 패킷 전송부, 서비스 관리부, 보안 채널 관리부, 패킷 수신부, 패킷 복원부, 경로 관리부 및 응용 보호부를 포함할 수 있다. 10, the secure communication apparatus may include an adapter management unit, a packet selection unit, a packet encapsulation unit, a packet transmission unit, a service management unit, a secure channel management unit, a packet reception unit, a packet restoration unit, a path management unit, have.
먼저, 어댑터 관리부는 보안 통신 장치가 설치된 단말의 루프백 어댑터를 활성화하여, 보안 통신 장치가 루프백 어댑터를 사용할 수 있도록 한다. 그리고 어댑터 관리부는 루프백 어댑터를 관리하고, 루프백 어댑터에 별도의 IP주소를 할당한다. First, the adapter manager activates the loopback adapter of the terminal in which the secure communication device is installed, so that the secure communication device can use the loopback adapter. The adapter manager manages the loopback adapter and assigns a separate IP address to the loopback adapter.
다음으로 패킷 선별부는 루프백 어댑터를 지속적으로 모니터링하고, 루프백 어댑터를 통해 수신되는 패킷 중에서 사전에 정의된 응용 프로그램에 해당하는 패킷을 선정한다. Next, the packet selector continuously monitors the loopback adapter and selects packets corresponding to the predefined application among the packets received through the loopback adapter.
패킷 캡슐화부는 선정된 패킷을 암호화 및 캡슐화하여 보안 패킷을 생성한다. 이때, 패킷 캡슐화부는 보안 패킷 헤더, 새로운 페이로드 및 메시지 인증 코드를 병합하여 보안 패킷을 생성한다. 또한, 패킷 캡슐화부는 보안 패킷의 목적지를 원격 단말의 원격 보안 통신 장치로 설정한다. The packet encapsulating unit encrypts and encapsulates the selected packet to generate a secure packet. At this time, the packet encapsulator merges the secure packet header, the new payload, and the message authentication code to generate a secure packet. In addition, the packet encapsulator sets the destination of the secure packet to the remote secure communication device of the remote terminal.
그리고 패킷 전송부는 보안 패킷을 상대 단말인 원격 단말의 원격 보안 통신 장치로 전송한다. 이때, 패킷 캡슐화부 및 패킷 전송부는 각각 도 2에 도시한 보안 패킷 생성부(230) 및 패킷 송수신부(240)와 실질적으로 동일하게 구현될 수 있다. The packet transmission unit transmits the security packet to the remote secure communication device of the remote terminal, which is the remote terminal. At this time, the packet encapsulating unit and the packet transmitting unit may be implemented substantially the same as the secure
서비스 관리부는 보안 통신 장치를 사용하는 응용 프로그램(로컬 응용 프로그램)의 목록 및 각 응용 프로그램이 연결하고자 하는 상대 목록(원격 응용프로그램)을 관리한다. The service management unit manages a list of application programs (local application programs) using the secure communication device and a relative list (remote application program) which each application program wants to connect.
보안 채널 관리부는 보안 통신 장치의 동작이 종료될 때까지 주기적으로 보안 채널을 갱신한다. 보안 통신 장치가 상호 인증 과정으로 전송 계층 보안(TLS)을 사용하는 경우, 보안 채널 관리부는 매 시간 주기마다 TLS 갱신 프로토콜을 사용하고, 일정 회수의 통신 메시지 교환 이후에는 TLS 재협상 프로토콜을 사용할 수 있다. 여기서 보안 채널 관리부는 도 2의 보안 채널 형성부(220)와 실질적으로 동일한 기능을 수행할 수 있다. The secure channel management unit periodically updates the secure channel until the operation of the secure communication device is terminated. If the secure communication device uses Transport Layer Security (TLS) in the mutual authentication process, the secure channel management unit may use the TLS renewal protocol every time period, and use the TLS renegotiation protocol after a certain number of communication message exchanges. Here, the secure channel management unit may perform substantially the same function as the secure
그리고 패킷 수신부는 원격 보안통신 장치로부터 보안 패킷을 수신하고, 패킷 복원부는 보안 패킷의 캡슐을 해제하고, 암호화된 페이로드를 복호화한다. 여기서 패킷 수신부는 도 2의 패킷 송수신부(240) 및 보안 패킷 복원부(250)에 상응하는 동작을 수행할 수 있다. The packet receiving unit receives the security packet from the remote secure communication device, and the packet restoring unit decapsulates the security packet and decrypts the encrypted payload. Here, the packet receiving unit may perform operations corresponding to the packet transmitting / receiving
경로 관리부는 로컬 보안 통신 장치를 이용하는 로컬 응용 프로그램의 목록과 각 로컬 응용 프로그램별로 통신하는 원격 응용 프로그램의 목록을 추출한다. 그리고 경로 관리부는 원격 응용 프로그램의 목록에 상응하는 특정 목적지로 향하는 패킷을 루프백 어댑터로 전달될 수 있도록 네트워크 라우팅 경로를 수정한다. 이때, 경로 관리부는 도 2에 도시된 보안 통신 장치의 라우팅 테이블 수정부(210)와 실질적으로 동일한 기능을 수행할 수 있다. The path manager extracts a list of local applications using the local secure communication device and a list of remote applications that communicate with each local application. The path manager then modifies the network routing path so that packets destined for a particular destination corresponding to the list of remote applications can be forwarded to the loopback adapter. At this time, the path management unit may perform substantially the same function as the routing
다음으로 응용 보호부는 단말에 설치된 응용 프로그램에 대한 임의 접근을 차단한다. 즉, 응용 보호부는 보안 통신 장치를 사용하는 응용 프로그램이 수신 대기하고 있는 포트에 대하여, 보안 통신 장치를 제외한 다른 통신 접근 시도를 차단한다. Next, the application protection unit blocks arbitrary access to the application program installed in the terminal. That is, the application protection unit blocks a communication access attempt other than the secure communication device to a port on which the application program using the secure communication device is listening.
도 11은 본 발명의 일실시예에 따른 컴퓨터 시스템을 나타낸 블록도이다.11 is a block diagram illustrating a computer system in accordance with an embodiment of the present invention.
도 11을 참조하면, 본 발명의 실시예는 컴퓨터로 읽을 수 있는 기록매체와 같은 컴퓨터 시스템(1100)에서 구현될 수 있다. 도 11에 도시된 바와 같이, 컴퓨터 시스템(1100)은 버스(1120)를 통하여 서로 통신하는 하나 이상의 프로세서(1110), 메모리(1130), 사용자 입력 장치(1140), 사용자 출력 장치(1150) 및 스토리지(1160)를 포함할 수 있다. 또한, 컴퓨터 시스템(1100)은 네트워크(1180)에 연결되는 네트워크 인터페이스(1170)를 더 포함할 수 있다. 프로세서(1110)는 중앙 처리 장치 또는 메모리(1130)나 스토리지(1160)에 저장된 프로세싱 인스트럭션들을 실행하는 반도체 장치일 수 있다. 메모리(1130) 및 스토리지(1160)는 다양한 형태의 휘발성 또는 비휘발성 저장 매체일 수 있다. 예를 들어, 메모리는 ROM(1131)이나 RAM(1132)을 포함할 수 있다.Referring to FIG. 11, embodiments of the present invention may be implemented in a
따라서, 본 발명의 실시예는 컴퓨터로 구현된 방법이나 컴퓨터에서 실행 가능한 명령어들이 기록된 비일시적인 컴퓨터에서 읽을 수 있는 매체로 구현될 수 있다. 컴퓨터에서 읽을 수 있는 명령어들이 프로세서에 의해서 수행될 때, 컴퓨터에서 읽을 수 있는 명령어들은 본 발명의 적어도 한 가지 태양에 따른 방법을 수행할 수 있다.Thus, embodiments of the invention may be embodied in a computer-implemented method or in a non-volatile computer readable medium having recorded thereon instructions executable by the computer. When computer readable instructions are executed by a processor, the instructions readable by the computer are capable of performing the method according to at least one aspect of the present invention.
이상에서와 같이 본 발명에 따른 보안 통신 장치 및 방법은 상기한 바와 같이 설명된 실시예들의 구성과 방법이 한정되게 적용될 수 있는 것이 아니라, 상기 실시예들은 다양한 변형이 이루어질 수 있도록 각 실시예들의 전부 또는 일부가 선택적으로 조합되어 구성될 수도 있다. As described above, the security communication apparatus and method according to the present invention are not limited to the configuration and method of the embodiments described above, but the embodiments can be applied to all of the embodiments Or some of them may be selectively combined.
10: 로컬 단말 15: 로컬 응용 프로그램
20: 로컬 보안 통신 장치 30: 원격 단말
35: 원격 응용 프로그램 40: 원격 보안 통신 장치
200: 보안 통신 장치 210: 라우팅 테이블 수정부
220: 보안 채널 형성부 230: 보안 패킷 생성부
240: 패킷 송수신부 250: 보안 패킷 복원부
400: 로컬 단말 410: 로컬 운용 프로그램
420: 로컬 보안 통신 장치 430, 530: 네트워크 인터페이스
440, 540: 루프백 인터페이스 500: 원격 단말
510: 원격 응용 프로그램 520: 원격 보안 통신 장치
700: 보안 채널 800: 단말
900: 로컬 단말 1000: 원격 단말
1100: 컴퓨터 시스템 1110: 프로세서
1120: 버스 1130: 메모리
1131: 롬 1132: 램
1140: 사용자 입력 장치 1150: 사용자 출력 장치
1160: 스토리지 1170: 네트워크 인터페이스
1180: 네트워크10: Local terminal 15: Local application
20: local secure communication device 30: remote terminal
35: remote application 40: remote secure communication device
200: Secure communication device 210: Routing table modifier
220: secure channel forming unit 230: secure packet generating unit
240: Packet transmission / reception unit 250:
400: Local terminal 410: Local operation program
420: Local
440, 540: Loopback interface 500: Remote terminal
510: remote application 520: remote secure communication device
700: secure channel 800: terminal
900: Local terminal 1000: Remote terminal
1100: Computer system 1110: Processor
1120: bus 1130: memory
1131: ROM 1132: RAM
1140: User input device 1150: User output device
1160: Storage 1170: Network Interface
1180: Network
Claims (20)
상기 루프백 어댑터가 수신한 상기 제1 통신 패킷을 암호화 및 캡슐화하고, 목적지를 상기 원격 보안 통신 장치로 설정하여, 제1 보안 패킷을 생성하는 보안 패킷 생성부, 그리고
상기 원격 단말의 원격 보안 통신 장치와 형성된 보안 채널을 통하여, 상기 제1 보안 패킷을 상기 원격 보안 통신 장치로 전송하는 패킷 송수신부
를 포함하며,
상기 제1 보안 패킷은,
암호화된 상기 제1 통신 패킷이 페이로드로 설정된 것을 특징으로 하는 보안 통신 장치. A routing table modifying unit for modifying the routing table so that a first communication packet to be transmitted to a remote application installed in the remote terminal is transmitted to the loopback adapter of the local terminal,
A security packet generator for encrypting and encapsulating the first communication packet received by the loopback adapter, setting a destination to the remote secure communication device and generating a first security packet, and
A packet transmission / reception unit for transmitting the first security packet to the remote secure communication device through a secure channel formed with the remote secure communication device of the remote terminal,
/ RTI >
Wherein the first secure packet comprises:
And the encrypted first communication packet is set as a payload.
상기 원격 보안 통신 장치와 상호 인증 과정을 수행하고, 상기 상호 인증 성공 시, 상기 원격 보안 통신 장치와 통신을 수행하기 위한 상기 보안 채널을 형성하는 보안 채널 형성부를 더 포함하는 보안 통신 장치. The method according to claim 1,
Further comprising a secure channel forming unit for performing a mutual authentication process with the remote secure communication device and forming the secure channel for performing communication with the remote secure communication device upon successful mutual authentication.
상기 보안 채널 형성부는,
TLS 갱신 프로토콜 및 TLS 재협상 프로토콜 중 적어도 어느 하나를 기반으로, 상기 보안 채널을 주기적으로 갱신하는 보안 통신 장치. 3. The method of claim 2,
The secure channel forming unit,
Wherein the secure channel is periodically updated based on at least one of a TLS update protocol and a TLS renegotiation protocol.
상기 보안 패킷 생성부는,
상기 루프백 어댑터가 수신한 상기 제1 통신 패킷이, 보안 통신의 대상이 되는 응용 프로그램에 상응하는 패킷인지 여부를 판단하고, 상기 보안 통신이 대상이 되는 응용 프로그램에 상응하는 패킷인 경우 상기 제1 보안 패킷을 생성하는 보안 통신 장치. The method according to claim 1,
Wherein the secure packet generation unit comprises:
Determines whether the first communication packet received by the loopback adapter is a packet corresponding to an application program to be subjected to secure communication, and if the packet is a packet corresponding to an application program to be subjected to the secure communication, A secure communications device that generates packets.
상기 라우팅 테이블 수정부는,
상기 원격 보안 통신 장치의 IP 주소로 향하는 상기 제1 통신 패킷이, 상기 로컬 단말의 상기 루프백 어댑터로 전송되도록 상기 라우팅 테이블을 수정하는 보안 통신 장치. The method according to claim 1,
The routing table modification unit may include:
And modify the routing table such that the first communication packet destined for an IP address of the remote secure communication device is sent to the loopback adapter of the local terminal.
상기 보안 패킷 생성부는,
암호화된 상기 제1 통신 패킷을 페이로드로 사용하고, 새로운 헤더를 생성하며, 상기 페이로드 및 상기 헤더를 이용하여 제1 메시지 인증 코드를 생성하고, 상기 헤더, 상기 페이로드 및 상기 제1 메시지 인증 코드를 캡슐화하여 상기 제1 보안 패킷을 생성하는 보안 통신 장치. The method according to claim 1,
Wherein the secure packet generation unit comprises:
Using the encrypted first communication packet as a payload, generating a new header, generating a first message authentication code using the payload and the header, and transmitting the header, the payload and the first message authentication And encapsulating the code to generate the first secure packet.
상기 패킷 송수신부가, 상기 원격 보안 통신 장치로부터 암호화 및 캡슐화된 제2 보안 패킷을 수신하면,
상기 제2 보안 패킷을 캡슐 해제하고, 복호화하여 제2 통신 패킷을 획득하며, 상기 제2 통신 패킷에 상응하는 응용 프로그램으로 상기 제2 통신 패킷을 전송하는 보안 패킷 복원부를 더 포함하는 보안 통신 장치. The method according to claim 1,
When the packet transmitting and receiving unit receives the second secure packet encrypted and encapsulated from the remote secure communication apparatus,
Further comprising a secure packet restoration unit for decapsulating and decrypting the second security packet to obtain a second communication packet and transmitting the second communication packet to an application program corresponding to the second communication packet.
상기 보안 패킷 복원부는,
캡슐 해제된 상기 제2 보안 패킷의 헤더를 분리하고, 상기 제2 보안 패킷에 상응하는 페이로드를 복호화하여 상기 제2 통신 패킷을 획득하는 보안 통신 장치. 9. The method of claim 8,
Wherein the secure packet restoration unit comprises:
Separates the header of the decapsulated second security packet, and decrypts the payload corresponding to the second secured packet to obtain the second communication packet.
상기 보안 패킷 복원부는,
상기 제2 보안 패킷을 캡슐 해제하여 획득한 상기 제2 보안 패킷에 상응하는 제2 메시지 인증 코드를 이용하여 메시지 인증 코드 검증을 수행하고, 상기 메시지 인증 코드 검증에 성공한 경우, 상기 제2 보안 패킷을 복호화하여 상기 제2 통신 패킷을 획득하는 보안 통신 장치. 10. The method of claim 9,
Wherein the secure packet restoration unit comprises:
Performing message authentication code verification using a second message authentication code corresponding to the second security packet obtained by decapsulating the second security packet, and when the message authentication code is successfully verified, Decrypts the second communication packet to obtain the second communication packet.
상기 로컬 단말에 설치된 로컬 응용 프로그램이 원격 단말에 설치된 원격 응용 프로그램으로 전송하고자 하는 제1 통신 패킷이 상기 로컬 단말의 루프백 어댑터로 전송되도록, 라우팅 테이블을 수정하는 단계,
상기 루프백 어댑터가 수신한 상기 제1 통신 패킷을 암호화 및 캡슐화하고, 목적지를 상기 원격 보안 통신 장치로 설정하여, 제1 보안 패킷을 생성하는 단계, 그리고
상기 원격 단말의 원격 보안 통신 장치와 형성된 보안 채널을 통하여, 상기 제1 보안 패킷을 상기 원격 보안 통신 장치로 전송하는 단계
를 포함하며,
상기 제1 보안 패킷은,
암호화된 상기 제1 통신 패킷이 페이로드로 설정된 것을 특징으로 하는 보안 통신 방법. A secure communication method performed by a secure communication device of a local terminal,
Modifying a routing table such that a first communication packet to be transmitted to a remote application installed in the remote terminal is transmitted to a loopback adapter of the local terminal,
Encrypting and encapsulating the first communication packet received by the loopback adapter, establishing a destination to the remote secure communication device to generate a first security packet, and
Transmitting the first secure packet to the remote secure communication device through a secure channel formed with the remote secure communication device of the remote terminal
/ RTI >
Wherein the first secure packet comprises:
And the encrypted first communication packet is set as a payload.
상기 원격 보안 통신 장치와 상호 인증 과정을 수행하는 단계, 그리고
상기 상호 인증 과정 수행 후, 상기 원격 보안 통신 장치와 통신을 수행하기 위한 보안 채널을 형성하는 단계
를 더 포함하는 보안 통신 방법. 12. The method of claim 11,
Performing mutual authentication with the remote secure communication device, and
After performing the mutual authentication process, forming a secure channel for performing communication with the remote secure communication device
Further comprising:
TLS 갱신 프로토콜 및 TLS 재협상 프로토콜 중 적어도 어느 하나를 기반으로, 상기 보안 채널을 주기적으로 갱신하는 단계를 더 포함하는 보안 통신 방법. 13. The method of claim 12,
Further comprising periodically updating the secure channel based on at least one of a TLS update protocol and a TLS renegotiation protocol.
상기 제1 보안 패킷을 생성하는 단계는,
상기 루프백 어댑터가 수신한 상기 제1 통신 패킷이, 보안 통신의 대상이 되는 응용 프로그램에 상응하는 패킷인지 여부를 판단하고, 상기 보안 통신이 대상이 되는 응용 프로그램에 상응하는 패킷인 경우 상기 제1 보안 패킷을 생성하는 보안 통신 방법. 12. The method of claim 11,
Wherein generating the first secure packet comprises:
Determines whether the first communication packet received by the loopback adapter is a packet corresponding to an application program to be subjected to secure communication, and if the packet is a packet corresponding to an application program to be subjected to the secure communication, A secure communication method of generating a packet.
상기 라우팅 테이블을 수정하는 단계는,
상기 원격 보안 통신 장치의 IP 주소로 향하는 상기 제1 통신 패킷이, 상기 로컬 단말의 상기 루프백 어댑터로 전송되도록 상기 라우팅 테이블을 수정하는 보안 통신 방법. 12. The method of claim 11,
Wherein the step of modifying the routing table comprises:
Wherein the first communication packet directed to an IP address of the remote secure communication device is modified to be sent to the loopback adapter of the local terminal.
상기 제1 보안 패킷을 생성하는 단계는,
암호화된 상기 제1 통신 패킷을 페이로드로 사용하고, 새로운 헤더를 생성하는 단계,
상기 페이로드 및 상기 헤더를 이용하여 제1 메시지 인증 코드를 생성하는 단계, 그리고
상기 헤더, 상기 페이로드 및 상기 제1 메시지 인증 코드를 캡슐화하여 상기 제1 보안 패킷을 생성하는 단계를 포함하는 보안 통신 방법. 12. The method of claim 11,
Wherein generating the first secure packet comprises:
Using the encrypted first communication packet as a payload and generating a new header,
Generating a first message authentication code using the payload and the header, and
Encapsulating the header, the payload and the first message authentication code to generate the first secure packet.
상기 원격 보안 통신 장치로부터 암호화 및 캡슐화된 제2 보안 패킷을 수신하는 단계,
상기 제2 보안 패킷을 캡슐 해제하고, 복호화하여 제2 통신 패킷을 획득하는 단계, 그리고
상기 제2 통신 패킷에 상응하는 응용 프로그램으로, 상기 제2 통신 패킷을 전송하는 단계를 더 포함하는 보안 통신 방법. 12. The method of claim 11,
Receiving a second secure packet encrypted and encapsulated from the remote secure communications device,
Encapsulating and decrypting the second security packet to obtain a second communication packet, and
And sending the second communication packet to an application corresponding to the second communication packet.
상기 제2 통신 패킷을 획득하는 단계는,
캡슐 해제된 상기 제2 보안 패킷의 헤더를 분리하고, 상기 제2 보안 패킷에 상응하는 페이로드를 복호화하여 상기 제2 통신 패킷을 획득하는 보안 통신 방법. 19. The method of claim 18,
Wherein the obtaining of the second communication packet comprises:
Separating the header of the decapsulated second security packet and decrypting the payload corresponding to the second secure packet to obtain the second communication packet.
상기 제2 보안 패킷을 캡슐 해제하여 획득한 상기 제2 보안 패킷에 상응하는 제2 메시지 인증 코드를 이용하여 메시지 인증 코드 검증을 수행하는 단계를 더 포함하고,
상기 메시지 인증 코드 검증에 성공한 경우, 상기 제2 보안 패킷을 복호화하여 상기 제2 통신 패킷을 획득하는 단계를 수행하는 것을 특징으로 하는 보안 통신 방법. 20. The method of claim 19,
Further comprising performing a message authentication code verification using a second message authentication code corresponding to the second security packet obtained by decapsulating the second security packet,
And if the verification of the message authentication code is successful, decrypting the second security packet to acquire the second communication packet.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020160061988A KR101837064B1 (en) | 2016-05-20 | 2016-05-20 | Apparatus and method for secure communication |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020160061988A KR101837064B1 (en) | 2016-05-20 | 2016-05-20 | Apparatus and method for secure communication |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20170130961A KR20170130961A (en) | 2017-11-29 |
KR101837064B1 true KR101837064B1 (en) | 2018-03-12 |
Family
ID=60812378
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020160061988A KR101837064B1 (en) | 2016-05-20 | 2016-05-20 | Apparatus and method for secure communication |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101837064B1 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102309044B1 (en) * | 2017-12-01 | 2021-10-05 | 삼성에스디에스 주식회사 | Apparatus and method for establishing secure channel in message processing system |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2013176983A1 (en) | 2012-05-22 | 2013-11-28 | Harris Corporation | Multi-tunnel virtual private network |
-
2016
- 2016-05-20 KR KR1020160061988A patent/KR101837064B1/en active IP Right Grant
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2013176983A1 (en) | 2012-05-22 | 2013-11-28 | Harris Corporation | Multi-tunnel virtual private network |
Also Published As
Publication number | Publication date |
---|---|
KR20170130961A (en) | 2017-11-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11316677B2 (en) | Quantum key distribution node apparatus and method for quantum key distribution thereof | |
CN107018134B (en) | Power distribution terminal safety access platform and implementation method thereof | |
US8713305B2 (en) | Packet transmission method, apparatus, and network system | |
JP4407452B2 (en) | Server, VPN client, VPN system, and software | |
JP4081724B1 (en) | Client terminal, relay server, communication system, and communication method | |
WO2017185692A1 (en) | Key distribution and authentication method, apparatus and system | |
WO2017185999A1 (en) | Method, apparatus and system for encryption key distribution and authentication | |
US20180139191A1 (en) | Method, Device, and System for Processing VXLAN Packet | |
US20170126623A1 (en) | Protected Subnet Interconnect | |
US20190199722A1 (en) | Systems and methods for networked computing | |
KR20130096320A (en) | Switch equipment and data processing method for supporting link layer security transmission | |
US9473466B2 (en) | System and method for internet protocol security processing | |
CN111787025B (en) | Encryption and decryption processing method, device and system and data protection gateway | |
KR20180130203A (en) | APPARATUS FOR AUTHENTICATING IoT DEVICE AND METHOD FOR USING THE SAME | |
Farinacci et al. | Locator/ID separation protocol (LISP) data-plane confidentiality | |
US10015208B2 (en) | Single proxies in secure communication using service function chaining | |
CN108924157B (en) | Message forwarding method and device based on IPSec VPN | |
CN112887187B (en) | Method, system, device, equipment and medium for establishing communication between equipment | |
CN114143050A (en) | Video data encryption system | |
JP2020537428A (en) | Equipment and methods for data transmission | |
US20220029974A1 (en) | Establishing an encrypted communications channel without prior knowledge of the encryption key | |
KR101837064B1 (en) | Apparatus and method for secure communication | |
KR101457455B1 (en) | Apparatus and method for data security in cloud networks | |
JP2023042903A (en) | Communication apparatus, communication method and communication system | |
JP2008066882A (en) | Encryption key distribution apparatus, and encryption key distribution method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |