KR102113223B1 - Secure data communication method and system - Google Patents

Secure data communication method and system Download PDF

Info

Publication number
KR102113223B1
KR102113223B1 KR1020170165162A KR20170165162A KR102113223B1 KR 102113223 B1 KR102113223 B1 KR 102113223B1 KR 1020170165162 A KR1020170165162 A KR 1020170165162A KR 20170165162 A KR20170165162 A KR 20170165162A KR 102113223 B1 KR102113223 B1 KR 102113223B1
Authority
KR
South Korea
Prior art keywords
communication protocol
client
communication
execution code
server
Prior art date
Application number
KR1020170165162A
Other languages
Korean (ko)
Other versions
KR20190065714A (en
Inventor
하영빈
Original Assignee
주식회사 에버스핀
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 에버스핀 filed Critical 주식회사 에버스핀
Priority to KR1020170165162A priority Critical patent/KR102113223B1/en
Publication of KR20190065714A publication Critical patent/KR20190065714A/en
Application granted granted Critical
Publication of KR102113223B1 publication Critical patent/KR102113223B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 키교환 프로토콜을 이용한 불특정 다수의 보안 통신에 있어서 보안을 향상시키는 기술에 관한 것으로서, 보안통신 요청 시점을 판단하고 통신규약 실행코드가 클라이언트에 동적 할당되어 보안통신이 진행되는 것을 특징이 있다.The present invention relates to a technique for improving security in an unspecified number of secure communication using a key exchange protocol, and it is characterized in that the secure communication proceeds by determining the time of the secure communication request and dynamically executing the communication protocol execution code to the client. .

Description

보안통신방법 및 시스템{Secure data communication method and system}Secure communication method and system

본 발명은 키교환 프로토콜을 이용한 불특정 다수의 보안 통신에 있어서 보안을 향상시키는 기술에 관한 것이다.The present invention relates to a technique for improving security in an unspecified number of secure communication using a key exchange protocol.

인터넷과 같은 공공 정보통신망을 이용하여 중요한 정보를 송수신 하고자 할 때 제3자에 의한 침해 공격으로부터 보호하기 위하여 종단간 암호화는 필수적이다. End-to-end encryption is essential to protect against intrusion attacks by third parties when attempting to transmit and receive important information using a public information communication network such as the Internet.

이러한 암호화 통신을 위한 여러가지 프로토콜 규약이 개발되어 있지만 크게 두가지로 분류해볼 수 있다.Various protocol protocols have been developed for such encrypted communication, but can be broadly classified into two types.

먼저, 사전에 암복호화용 공유키를 통신 당사자 간에 공유한 후 암호화 통신을 하는 경우이다. 이 경우 공유키에 대한 보안관리를 철저하게 하는 한 제3자에 의한 정보침해 우려는 낮다고 할 수 있지만 불특정 다수와 통신을 해야 하는 환경이라면 현실적으로 적용하기 쉽지 않은 방식이다.First, it is a case where the encryption / decryption shared key is shared between communication parties before performing encryption communication. In this case, as long as the security management of the shared key is thorough, it may be said that there is a low risk of information infringement by a third party, but it is not easy to apply in an environment where communication with an unspecified number of people is required.

다음으로, 통신 초기에 암복호화를 위한 공유키를 교환하는 방식이다. 이 경우 사전에 공유키를 통신 당사자 간 교환할 필요가 없어 불특정 다수를 서비스할 수 있고, SSL, TLS 등의 공개 프로토콜이 널리 사용되고 있고, 비공개 프로토콜을 기반으로 하는 종단간 암호화 솔루션도 일부 사용되고 있다. Next, it is a method of exchanging a shared key for encryption / decryption in the early stage of communication. In this case, there is no need to exchange the shared key between communication parties in advance, so it is possible to service an unspecified number of people, public protocols such as SSL and TLS are widely used, and some end-to-end encryption solutions based on private protocols are also used.

하지만 이러한 방식은 제3자가 통신 초기부터 개입하여 정보를 침해하는 MITM(man-in-the-middle) 공격이 가능하며, 이를 위한 툴도 어렵지 않게 구할 수 있는 상황이다.However, this method is capable of man-in-the-middle (MITM) attacks in which a third party intervenes from the beginning of communication and infringes information, and tools for this are not difficult to obtain.

이와 같이, 종단간의 정보를 암호화하는 종래 기술은 단순히 key를 교환하는 방식이며 통신이 탈취 될때 마다 고정된 key값 과 data가 노출되고, key 교환 방식이 client 내부코드에 고정되어 있기 때문에 시간 조건이 무한하다면 언젠가는 해킹될 수밖에 없는 근본적 한계가 있다.As described above, the conventional technique of encrypting end-to-end information is simply a method of exchanging keys, and a fixed key value and data are exposed whenever communication is stolen, and the time condition is infinite because the key exchange method is fixed to the client's internal code. If it does, there is a fundamental limitation that it must be hacked someday.

공개특허 제2017-0129910호(동적 암호화 방법, 단말기 및 서버)는 단말기 내로 하드-코딩된(hard-coded) 키가 불법 복제되는 것을 방지하기 위해, 단말기의 키들 및 서명들이 C 언어와 같은 원시 데이터를 통해 발생되고, 관련된 인터페이스가 키들 및 서명들에 액세스하기 위해 동적인 원시 라이브러리에 의해 제공되도록 하는바, 이는 하드 코딩된 통신 규약을 전제로 키의 불법 복제를 방지하기 위하여 원시데이터와 원시 라이브러리를 통해 키 인덱스 및 서명 인덱스-기반 액세스 방식을 제안하는 것으로서 종래의 해킹 지연 방식에 해당된다. Publication No. 2017-0129910 (dynamic encryption method, terminal and server) prevents the hard-coded key from being illegally copied into the terminal, so that the keys and signatures of the terminal are raw data such as C language. And allows the associated interface to be provided by a dynamic native library to access keys and signatures, which uses the raw data and native library to prevent illegal copying of the key, assuming a hard-coded communication protocol. Through the proposed key index and signature index-based access method, it corresponds to the conventional hacking delay method.

본 발명은 상술한 문제점을 해결하기 위한 것으로서, 실시간으로 변하는 Dynamic 기반의 키 교환방식을 매번 할당함으로써 해킹시도를 원천 차단하는 보안통신방법 및 시스템을 제공한다.The present invention is to solve the above-mentioned problems, and provides a secure communication method and system for blocking hacking attempts by allocating a dynamic-based key exchange method that changes in real time every time.

본 발명은 네트워크상에서 서버와 클라이언트 간에 키교환 방식으로 송수신 데이터를 암복호화하는 보안통신방법에 있어서, 서버에 보안통신 요청이 인식되는 단계; 서버에서 클라이언트와의 키교환을 위한 통신 규약을 결정하는 단계; 상기 결정된 통신 규약이 구현된 실행코드를 클라이언트에 배정하는 단계; 및 상기 배정된 실행코드 실행에 따라 서버와 클라이언트 간에 키교환을 수행하여 보안통신을 진행하는 단계;를 포함하여, 보안통신 요청 시점에 통신규약 실행코드가 클라이언트에 동적 할당되어 보안통신이 진행되는 것을 특징으로 하는 보안통신방법을 제공한다.The present invention provides a secure communication method for encrypting and decrypting data transmitted and received by a key exchange method between a server and a client on a network, the method comprising: recognizing a secure communication request to the server; Determining a communication protocol for key exchange with a client at a server; Assigning execution code implementing the determined communication protocol to a client; And performing a secure communication by performing a key exchange between the server and the client according to the execution of the assigned execution code. Including, at the time of the secure communication request, the communication protocol execution code is dynamically allocated to the client, and the secure communication proceeds. It provides a secure communication method characterized by.

본 발명의 일 특징에 의하면, 상기 통신규약 배정단계에서, 서버는 클라이언트에 송신된 통신규약 실행코드 중 일부를 클라이언트에 암호화하여 저장하여 통신규약 실행코드를 분산 저장하고, 상기 분산 저장된 통신규약 실행코드 중에서 클라이언트에 저장된 일부의 통신규약 실행코드를 제외하여 통신규약을 배정할 수 있다.According to an aspect of the present invention, in the communication protocol assignment step, the server encrypts and stores a part of the communication protocol execution code transmitted to the client to store the communication protocol execution code in a distributed manner, and the distributed communication protocol execution code Among them, communication protocols can be assigned by excluding some of the communication protocol execution codes stored in the client.

본 발명의 다른 특징에 의하면, 네트워크상에서 서버와 클라이언트 간에 키교환 방식으로 송수신 데이터를 암복호화하는 보안통신시스템에 있어서, 통신규약 실행코드를 생성하는 코드생성부; 보안통신 요청 여부를 판단하는 송신판단부; 클라이언트와의 키교환을 위한 통신 규약을 결정하는 통신규약 결정부; 상기 결정된 통신 규약이 구현된 실행코드를 클라이언트에 배정하는 코드배정부; 및 상기 배정된 실행코드 실행에 따라 서버와 클라이언트 간에 키교환을 수행하여 보안통신을 진행하는 통신처리부;를 포함하여, 보안통신 요청 시점에 통신규약 실행코드가 클라이언트에 동적 할당되어 보안통신이 진행되는 것을 특징으로 하는 보안통신시스템을 제공한다.According to another aspect of the present invention, a secure communication system for encrypting and decrypting data transmitted and received by a key exchange method between a server and a client on a network, comprising: a code generation unit generating communication protocol execution code; A transmission determination unit determining whether to request secure communication; A communication protocol determination unit for determining a communication protocol for key exchange with a client; A code allocation unit for allocating the execution code implementing the determined communication protocol to a client; And a communication processing unit for performing secure communication by performing key exchange between the server and the client according to the execution of the assigned execution code. Including, the communication protocol execution code is dynamically assigned to the client at the time of the secure communication request, and secure communication proceeds. It provides a secure communication system characterized in that.

이때, 상기 코드배정부는, 클라이언트에 송신된 통신규약 실행코드 중 일부를 클라이언트에 암호화하여 저장함으로써 통신규약 실행코드를 분산 저장하고, 상기 통신규약 결정부는 상기 분산 저장된 통신규약 중에서 클라이언트에 저장된 일부의 통신규약를 제외하여 배정할 통신규약을 결정할 수 있다.At this time, the code assignment unit stores the communication protocol execution code by encrypting and storing part of the communication protocol execution code transmitted to the client, and the communication protocol determination unit communicates a part of the communication protocol stored in the client among the stored communication protocols. The communication protocol to be assigned can be determined by excluding the protocol.

본 발명에서 제시하는 보안통신방법은 키교환을 위한 규약이 미리 정해져 있지 않기에 제3자가 통신 초기부터 개입한다고 하더라도 어떤 공유키가 교환되는지 알 수가 없다. 따라서 기존의 방법들이 MITM 공격에 취약한 반면 본 발명이 제시하는 방법 및 시스템은 MITM 공격에도 안전하여 통신 정보를 안전하게 보호할 수 있다.In the secure communication method proposed in the present invention, since a protocol for key exchange is not pre-determined, it is impossible to know which shared key is exchanged even if a third party intervenes from the beginning of communication. Therefore, while the existing methods are vulnerable to MITM attacks, the method and system proposed by the present invention are safe even for MITM attacks, so that communication information can be safely protected.

도 1은 본 발명에 따른 보안통신방법의 처리 흐름도이다.
도 2는 본 발명에 따른 보안통신시스템의 구성 블록도이다.1 is a process flow diagram of a secure communication method according to the present invention.
2 is a block diagram of a secure communication system according to the present invention.

본 발명은 네트워크상에서 서버와 클라이언트 간에 키교환 방식으로 송수신 데이터를 암복호화하는 보안통신방법 및 시스템에 있어서, 키교환을 위한 과정(통신 규약)을 미리 예측할 수 없는 동적 할당방식을 특징으로 한다.The present invention features a dynamic allocation method in which a process (communication protocol) for key exchange cannot be predicted in advance in a secure communication method and system for encrypting / decrypting data transmitted and received by a key exchange method between a server and a client on a network.

서버는 요청 인식시 클라이언트에 다이나믹 암호화 모듈(통신규약 실행코드)를 제공하여 이전의 실행코드를 지속적으로 갱신하는바, 보안통신 요청 시점에 통신규약 실행코드가 클라이언트에 동적 할당되어 보안통신이 진행된다.When the request is recognized, the server continuously updates the previous execution code by providing a dynamic encryption module (communication protocol execution code) to the client. At the time of the secure communication request, the communication protocol execution code is dynamically assigned to the client to perform secure communication. .

도 1은 본 발명에 따른 보안통신방법의 처리 흐름도로서, 요청인식단계(s10), 통신규약 결정단계(s20), 통신규약 배정단계(s30) 및 통신진행단계(s40)를 포함한다.1 is a process flow diagram of a secure communication method according to the present invention, and includes a request recognition step (s10), a communication protocol decision step (s20), a communication protocol assignment step (s30), and a communication progress step (s40).

요청인식단계(s10)는 본 발명에 따른 암호화모듈 동적 할당 작업의 개시 시점을 결정하는 단계로서, 다양한 조건 충족여부를 판단함으로써 보안통신 요청여부를 판단한다. The request recognition step (s10) is a step of determining the start point of the dynamic assignment operation of the encryption module according to the present invention, and determines whether or not secure communication is requested by determining whether various conditions are satisfied.

구체적으로는, 클라이언트가 서버에 접속하면 무조건 보안통신 요청으로 인식하여 동적할당 작업을 진행하며, 통신규약 실행코드 할당 후 소정의 설정된 유효시간 경과를 판단하여 주기적 요청을 통해 인식할 수 있다.Specifically, when the client connects to the server, it is unconditionally recognized as a secure communication request, and dynamic assignment is performed. After allocating the execution code of the communication protocol, it is possible to determine the lapse of a predetermined effective time and recognize it through a periodic request.

또한 해킹시도나 보안상의 무결성이 손상되는 경우나, 배정된 통신규약과 다른 키교환 통신이 이루어지는 경우와 같이 소정의 이상 상황이나 조건이 감지되면 서버는 보안통신 요청으로 인식하여 통신규약 실행코드를 배정하는 절차를 진행할 수 있다.In addition, if a certain abnormal condition or condition is detected, such as a hacking attempt or a loss of security integrity, or a key exchange communication different from the assigned communication protocol, the server recognizes it as a secure communication request and assigns the communication protocol execution code. Can proceed.

즉, 상기 요청인식단계(s10)는 클라이언트에 배정된 실행코드의 유효성을 판단하여 필요시(요청으로 인식시) 암호화모듈 동적 할당 작업 개시 시점을 결정한다는바, 소정의 시간 경과를 판단하여 통신규약이 무효화되면 새로운 보안통신 요청으로 인식하여 다음 단계를 수행하도록 하거나, 보안관련 소정의 이상 상황이나 조건이 감지되면 지정된 이벤트 또는 감사기록을 발생할 수 있다.That is, in the request recognition step (s10), the validity of the execution code assigned to the client is determined, and when necessary (when recognized as a request), the start time of dynamic assignment of the encryption module is determined. If this is invalidated, it can be recognized as a new secure communication request to perform the next step, or when a predetermined abnormal situation or condition related to security is detected, a designated event or audit record may be generated.

통신규약 결정단계(s20)는 서버에서 클라이언트와의 키교환을 위한 통신 규약을 결정하는 단계로서, 서버는 사전에 생성되어 저장된 통신규약 중에서 소정의 규칙에 의하거나 랜덤한 방식으로 선택할 수 있는바, 이때 저장된 통신규약은 무한대에 가까운 경우의 수로 구현될 수 있다.The communication protocol determination step (s20) is a step of determining a communication protocol for key exchange with a client in the server, and the server can select a predetermined rule or a random method from among the previously generated and stored communication protocols. In this case, the stored communication protocol may be implemented in a number of cases close to infinity.

또한 클라이언트 요청시 통신규약을 실시간으로 자동생성하는 것도 가능하다.It is also possible to automatically generate communication protocols in real time upon client request.

통신규약 배정단계(s30)는 상기 단계에서 결정된 통신 규약이 구현된 실행코드를 클라이언트에 배정하는 단계로서, 서버는 통신규약 실행코드를 클라이언트에 할당하고 통신규약 실행코드의 검사, 갱신, 저장 또는 실행의 제어를 수행한다.The communication protocol assignment step (s30) is a step of assigning the execution code implementing the communication protocol determined in the step to the client, and the server assigns the communication protocol execution code to the client and checks, updates, stores or executes the communication protocol execution code. Performs control of.

즉, 서버는 상기 실행코드의 생성 및 할당뿐만 아니라, 통신규약 실행코드에 대한 클라이언트의 정상발행 여부 확인을 위해 공개키 기반의 서명값을 포함할 수 있다.That is, the server may include the signature value based on the public key to check whether the execution of the client for the communication protocol execution code is normal, as well as the generation and allocation of the execution code.

본 발명의 다른 특징에 의하면, 통신규약 실행코드는 서버와 클라이언트에 분산 저장될 수 있는바, 통신속도 향상을 위해 일부 공통적으로 사용되는 코드 등이 클라이언트에 암호화되어 저장될 수 있다.According to another feature of the present invention, since the communication protocol execution code can be distributedly stored in the server and the client, some commonly used codes and the like may be encrypted and stored in the client to improve communication speed.

즉, 배정되는 통신규약 실행코드의 일부를 클라이언트에 암호화하여 저장하도록 제어하여 통신규약 실행코드를 분산 저장할 수 있다.That is, a part of the assigned communication protocol execution code may be controlled to be encrypted and stored in the client, and the communication protocol execution code may be distributedly stored.

이 경우, 서버는 상기 분산 저장된 통신규약 실행코드 중에서 클라이언트에 저장된 일부의 통신규약 실행코드를 제외하여 실행코드를 배정하게 된다.In this case, the server allocates the execution code by excluding some of the communication protocol execution codes stored in the client from among the distributed and stored communication protocol execution codes.

통신진행단계(s40)는 상기 배정된 실행코드 실행에 따라 서버와 클라이언트 간에 키교환을 수행하여 보안통신을 진행하는 단계로서, 할당된 통신 규약을 통해 암복호화를 위한 공유키를 서버와 클라이언트간 교환하여 암호화 통신을 진행한다.The communication proceeding step (s40) is a step of performing secure communication by performing key exchange between the server and the client according to the execution of the assigned execution code, and exchanging the shared key for encryption / decryption between the server and the client through the assigned communication protocol. To perform encrypted communication.

도 2는 본 발명에 따른 보안통신시스템의 구성블록도로서, 네트워크상에서 서버와 클라이언트 간에 키교환 방식으로 송수신 데이터를 암복호화하는 보안통신시스템에 있어서, 코드생성부(10), 송신판단부(20), 통신규약 결정부(30), 코드배정부(40) 및 통신처리부(50)를 포함한다.2 is a block diagram of a security communication system according to the present invention, in a secure communication system for encrypting and decrypting data transmitted and received by a key exchange method between a server and a client on a network, a code generation unit 10 and a transmission determination unit 20 ), A communication protocol determining unit 30, a code assignment unit 40, and a communication processing unit 50.

코드생성부(10)는 통신규약 실행코드를 생성하는 바, 사전에 또는 클라이언트 요청시에 통신규약 실행코드를 생성한다.The code generation unit 10 generates communication protocol execution codes, and generates communication protocol execution codes in advance or upon a client request.

송신판단부(20)는 보안통신 요청 여부를 판단하여 암호화 모듈 동적 할당의 개시시점을 판단하는바, 클라이언트가 서버에 접속하거나, 통신규약 실행코드의 유효시간 경과여부를 판단하거나, 소정의 이상 상황이나 조건을 감지하여 요청으로 인식할 수 있다.The transmission determination unit 20 determines whether to start the dynamic allocation of the encryption module by determining whether to request a secure communication, so that the client connects to the server, determines whether the execution time of the communication protocol execution code has elapsed, or a predetermined abnormal situation. Or, it can detect the condition and recognize it as a request.

즉, 송신판단부(20)는 클라이언트에 배정된 실행코드의 유효성을 판단하여 이후의 동적할당작업의 개시 시점 결정하는바, 소정의 시간 경과를 판단하여 통신규약이 무효화되면 새로운 보안통신 요청으로 인식하여 다음 단계를 수행하도록 하거나, 보안관련 소정의 이상 상황이나 조건이 감지되면 지정된 이벤트 또는 감사기록을 발생할 수 있다.That is, the transmission determination unit 20 determines the validity of the execution code assigned to the client and determines the starting point of the subsequent dynamic allocation operation. When a predetermined time elapses, the communication protocol is invalidated and recognized as a new secure communication request. To perform the next step, or when a predetermined security-related abnormal condition or condition is detected, a specified event or audit record may be generated.

통신규약 결정부(30)는 클라이언트와의 키교환을 위한 통신 규약을 결정하는바, 상기 코드 생성부에서 생성한 통신규약 중에서 송신할 통신규약을 선택한다.The communication protocol determination unit 30 determines a communication protocol for key exchange with a client, and selects a communication protocol to be transmitted from among the communication protocols generated by the code generation unit.

코드배정부(40)는 상기 결정된 통신 규약이 구현된 실행코드를 클라이언트에 배정하는 바, 통신규약 실행코드를 클라이언트에 할당하고 통신규약 실행코드의 검사, 갱신, 저장 또는 실행의 제어를 수행한다.The code assignment unit 40 assigns the execution code implementing the determined communication protocol to the client, and assigns the communication protocol execution code to the client, and performs inspection, update, storage, or control of the execution of the communication protocol execution code.

이때, 클라이언트가 상기 실행코드의 정상발행 여부를 확인할 수 있도록 공개키 기반의 서명값을 포함시킬 수 있으며, 클라이언트에 송신된 통신규약 실행코드 중 일부를 클라이언트에 암호화하여 저장하여 통신규약 실행코드를 분산 저장할 수 있다.At this time, the public key-based signature value may be included so that the client can confirm whether the execution code is normally issued, and some of the communication protocol execution codes transmitted to the client are encrypted and stored in the client to distribute the communication protocol execution codes. Can be saved.

본 발명에 따르면 통신규약 실행코드는 서버와 클라이언트에 분산 저장도 가능한바, 이 경우 상기 분산 저장된 통신규약 실행코드 중에서 클라이언트에 저장된 일부의 통신규약 실행코드를 제외하여 통신규약을 배정한다.According to the present invention, the communication protocol execution code can be distributedly stored in the server and the client. In this case, the communication protocol is assigned by excluding some of the communication protocol execution codes stored in the client from among the distributed communication protocol execution codes.

통신처리부(50)는 상기 배정된 실행코드 실행에 따라 서버와 클라이언트 간에 키교환을 수행하여 보안통신을 진행하는바, 동적으로 할당된 통신규약 실행코드에 의해 키교환이 이루어지는 특징이 있다.The communication processing unit 50 performs secure communication by performing key exchange between the server and the client according to the execution of the assigned execution code, and has a feature in that the key exchange is performed by the dynamically allocated communication protocol execution code.

본 발명에 따른 보안통신시스템은 보안통신 요청 시점에 통신규약 실행코드가 클라이언트에 동적 할당되어 보안통신이 진행된다.In the secure communication system according to the present invention, the communication protocol execution code is dynamically allocated to the client at the time of the secure communication request, and secure communication is performed.

10 : 코드생성부 20 : 송신판단부
30 : 통신규약 결정부 40 : 코드배정부
50 : 통신처리부10: code generation unit 20: transmission determination unit
30: Communication protocol decision unit 40: Code allocation
50: communication processing unit

Claims (16)

네트워크상에서 서버와 클라이언트 간에 키교환 방식으로 송수신 데이터를 암복호화하는 보안통신방법에 있어서,
클라이언트가 서버에 접속하면 동적 할당 보안통신 요청이 인식되는 단계;
서버에서 클라이언트와의 키교환을 위한 통신 규약을 결정하는 단계;
상기 결정된 통신 규약이 구현된 실행코드를 클라이언트에 배정하는 단계; 및
상기 배정된 실행코드 실행에 따라 서버와 클라이언트 간에 키교환을 수행하여 보안통신을 진행하는 단계;를 포함하여,
상기 요청인식단계는, 통신 규약 실행코드 할당 후 소정의 시간 경과를 판단하여 통신규약이 무효화되거나 보안관련 소정의 이상 상황이나 조건이 감지되면 새로운 동적 할당 보안통신 요청으로 인식하여 다음 단계를 수행하도록 하고,
상기 통신 규약 결정 단계에서, 서버는 사전에 생성되어 저장된 통신규약 중에서 선택하거나, 클라이언트 요청시 통신 규약을 실시간으로 생성하여,
보안통신 요청 시점에 통신규약 실행코드가 클라이언트에 동적 할당되어 보안통신이 진행되는 것을 특징으로 하는 보안통신방법.

In a secure communication method for encrypting and decrypting data transmitted and received by a key exchange method between a server and a client on a network,
When the client accesses the server, the dynamic allocation secure communication request is recognized;
Determining a communication protocol for key exchange with a client at a server;
Assigning execution code implementing the determined communication protocol to a client; And
Including the step of performing a secure communication by performing a key exchange between the server and the client according to the execution of the assigned execution code; including,
In the request recognition step, a predetermined time has elapsed after allocating the communication protocol execution code, and when a communication protocol is invalidated or a security-related predetermined abnormal condition or condition is detected, it is recognized as a new dynamic allocation security communication request to perform the next step. ,
In the communication protocol determination step, the server selects among previously generated and stored communication protocols, or generates a communication protocol in real time when a client requests ,
A secure communication method characterized in that secure communication proceeds by dynamically assigning the communication protocol execution code to the client at the time of the secure communication request.

삭제delete 삭제delete 삭제delete 제1항에 있어서,
상기 요청인식단계는, 보안관련 소정의 이상 상황이나 조건이 감지되면 지정된 이벤트 또는 감사기록을 발생하는 보안통신방법.According to claim 1,
The request recognition step, a security communication method that generates a specified event or audit record when a predetermined security-related abnormal condition or condition is detected. 제1항에 있어서,
상기 통신규약 배정단계에서, 서버는 클라이언트에 배정되는 통신규약 실행코드 중 일부를 클라이언트에 암호화하여 저장하여 통신규약 실행코드를 분산 저장하는 보안통신 방법.According to claim 1,
In the communication protocol assignment step, the server encrypts and stores part of the communication protocol execution code assigned to the client, and stores the communication protocol execution code in a distributed manner. 제6항에 있어서,
상기 통신규약 배정단계에서, 서버는 상기 분산 저장된 통신규약 실행코드 중에서 클라이언트에 저장된 일부의 통신규약 실행코드를 제외하여 실행코드를 배정하는 보안통신방법.The method of claim 6,
In the communication protocol assignment step, the server secures the execution code by allocating the execution code by excluding some of the communication protocol execution codes stored in the client from among the stored and stored communication protocol execution codes. 제1항에 있어서,
상기 통신규약 배정단계에서, 서버는 클라이언트에서 실행코드의 유효성을 확인할 수 있는 공개키 기반의 서명값을 포함하는 보안통신방법.According to claim 1,
In the communication protocol assignment step, the server includes a public key-based signature value that can verify the validity of the execution code in the client. 네트워크상에서 서버와 클라이언트 간에 키교환 방식으로 송수신 데이터를 암복호화하는 보안통신시스템에 있어서,
서버에서 통신규약 실행코드를 생성하는 코드생성부;
클라이언트가 서버에 접속하면 동적 할당 보안통신 요청으로 인식하는 송신판단부;
상기 코드생성부에서 사전에 또는 클라이언트 요청시에 실시간으로 생성한 통신규약을 선택하는 통신규약 결정부;
상기 결정된 통신 규약이 구현된 실행코드를 클라이언트에 배정하는 코드배정부; 및
상기 배정된 실행코드 실행에 따라 서버와 클라이언트 간에 키교환을 수행하여 보안통신을 진행하는 통신처리부;를 포함하고,
상기 송신판단부는 통신 규약 실행코드 할당 후 소정의 시간 경과를 판단하여 통신규약이 무효화되거나 보안관련 소정의 이상 상황이나 조건이 감지되면 새로운 동적 할당 보안통신 요청으로 인식하여 다음 단계를 수행하도록 하여
보안통신 요청 시점에 통신규약 실행코드가 클라이언트에 동적 할당되어 보안통신이 진행되는 것을 특징으로 하는 보안통신시스템.
In a secure communication system for encrypting and decrypting data transmitted and received by a key exchange method between a server and a client on a network,
A code generator for generating communication protocol execution code in a server ;
When the client connects to the server, the transmission determination unit recognizes the dynamic allocation security communication request;
A communication protocol determination unit which selects a communication protocol generated in real time in advance or at a client request by the code generation unit;
A code allocation unit for allocating the execution code implementing the determined communication protocol to a client; And
Includes a communication processing unit for performing a secure communication by performing a key exchange between the server and the client according to the execution of the assigned execution code;
The transmitting and determining unit determines a predetermined time elapsed after allocating the communication protocol execution code, and when a communication protocol is invalidated or a security-related predetermined abnormal condition or condition is detected, it is recognized as a new dynamic allocation secure communication request to perform the next step.
A secure communication system characterized in that secure communication proceeds by dynamically assigning the communication protocol execution code to the client at the time of the secure communication request.
삭제delete 삭제delete 삭제delete 제9항에 있어서,
상기 송신판단부는, 보안관련 소정의 이상 상황이나 조건이 감지되면 지정된 이벤트 또는 감사기록을 발생하는 보안통신시스템.The method of claim 9,
The transmission determination unit, a security communication system that generates a specified event or audit record when a predetermined security-related abnormal condition or condition is detected. 제9항에 있어서,
상기 코드배정부는, 클라이언트에 배정되는 통신규약 실행코드 중 일부를 클라이언트에 암호화하여 저장하여 통신규약 실행코드를 분산 저장하는 보안통신시스템.The method of claim 9,
The code assignment unit is a secure communication system that stores a portion of the communication protocol execution code assigned to the client by encrypting and storing the communication protocol execution code. 제14항에 있어서,
상기 코드 배정부는 상기 분산 저장된 통신규약 실행코드 중에서 클라이언트에 저장된 일부의 통신규약 실행코드를 제외하여 실행코드를 배정하는 보안통신시스템.The method of claim 14,
The code assignment unit is a secure communication system for allocating the execution code by excluding some of the communication protocol execution codes stored in the client among the distributed stored communication protocol execution codes. 제9항에 있어서,
상기 코드배정부는 클라이언트가 상기 실행코드의 정상발행 여부를 확인하도록 공개키 기반의 서명값을 포함하는 보안통신시스템.







The method of claim 9,
The code assignment system includes a signature value based on a public key so that the client checks whether the execution code is normally issued.







KR1020170165162A 2017-12-04 2017-12-04 Secure data communication method and system KR102113223B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170165162A KR102113223B1 (en) 2017-12-04 2017-12-04 Secure data communication method and system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170165162A KR102113223B1 (en) 2017-12-04 2017-12-04 Secure data communication method and system

Publications (2)

Publication Number Publication Date
KR20190065714A KR20190065714A (en) 2019-06-12
KR102113223B1 true KR102113223B1 (en) 2020-05-21

Family

ID=66846015

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170165162A KR102113223B1 (en) 2017-12-04 2017-12-04 Secure data communication method and system

Country Status (1)

Country Link
KR (1) KR102113223B1 (en)

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101417927B1 (en) * 2011-12-29 2014-07-11 주식회사 시큐아이 Method and device for performing encrypted communication with load balancing in ipsec vpn
KR101443161B1 (en) * 2012-11-30 2014-09-22 한국전자통신연구원 Method for provisioning profile of embedded universal integrated circuit card using capability information and mobile terminal thereof

Also Published As

Publication number Publication date
KR20190065714A (en) 2019-06-12

Similar Documents

Publication Publication Date Title
RU2756048C2 (en) Addressing trusted execution environment using encryption key
US20220191012A1 (en) Methods For Splitting and Recovering Key, Program Product, Storage Medium, and System
US7526654B2 (en) Method and system for detecting a secure state of a computer system
US10423774B1 (en) System and method for establishing secure communication channels between virtual machines
US8196186B2 (en) Security architecture for peer-to-peer storage system
US10333930B2 (en) System and method for transparent multi-factor authentication and security posture checking
CN112671779B (en) DoH server-based domain name query method, device, equipment and medium
Nguyen et al. Cloud-based secure logger for medical devices
US11329835B2 (en) Apparatus and method for authenticating IoT device based on PUF using white-box cryptography
EP3552131B1 (en) Password security
US10178088B2 (en) System and method for managing offline and online password based authentication
CN113572791B (en) Video Internet of things big data encryption service method, system and device
KR20200104084A (en) APPARATUS AND METHOD FOR AUTHENTICATING IoT DEVICE BASED ON PUF
CN106992978B (en) Network security management method and server
CN112769789B (en) Encryption communication method and system
CN110492989B (en) Private key processing method, access method, and medium and device corresponding to method
CN105100030B (en) Access control method, system and device
KR102113223B1 (en) Secure data communication method and system
CN112422292B (en) Network security protection method, system, equipment and storage medium
KR20150089696A (en) Integrity Verification System and the method based on Access Control and Priority Level
CN114626050A (en) Authentication method, device, equipment and medium
JP5376663B2 (en) TRANSMITTING DEVICE, RECEIVING DEVICE, AND MANAGEMENT SERVER FOR ENCRYPTED DATA DISTRIBUTION, TRANSMITTING PROGRAM, RECEIVING PROGRAM, AND MANAGING PROGRAM FOR ENCRYPTED DATA DISTRIBUTION, ENCRYPTED DATA DISTRIBUTION SYSTEM, AND ENCRYPTED DATA DISTRIBUTION METHOD
KR20170111809A (en) Bidirectional authentication method using security token based on symmetric key
KR20210152295A (en) Apparatus and method for mutual authentication based on physical unclonable function
CN113556365B (en) Authentication result data transmission system, method and device

Legal Events

Date Code Title Description
A201 Request for examination
N231 Notification of change of applicant
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right