KR102128244B1 - Ssl/tls 기반의 네트워크 보안 장치 및 방법 - Google Patents

Ssl/tls 기반의 네트워크 보안 장치 및 방법 Download PDF

Info

Publication number
KR102128244B1
KR102128244B1 KR1020180054201A KR20180054201A KR102128244B1 KR 102128244 B1 KR102128244 B1 KR 102128244B1 KR 1020180054201 A KR1020180054201 A KR 1020180054201A KR 20180054201 A KR20180054201 A KR 20180054201A KR 102128244 B1 KR102128244 B1 KR 102128244B1
Authority
KR
South Korea
Prior art keywords
client
channel
communication
authentication
data
Prior art date
Application number
KR1020180054201A
Other languages
English (en)
Other versions
KR20190129478A (ko
Inventor
이옥연
이재훈
장찬국
위한샘
Original Assignee
국민대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 국민대학교산학협력단 filed Critical 국민대학교산학협력단
Priority to KR1020180054201A priority Critical patent/KR102128244B1/ko
Publication of KR20190129478A publication Critical patent/KR20190129478A/ko
Application granted granted Critical
Publication of KR102128244B1 publication Critical patent/KR102128244B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0877Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3273Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 SSL/TLS 기반의 네트워크 보안 장치 및 방법에 관한 것으로, 제1 통신 환경에 따라 채널 암호 수트(Cipher Suite) 집합에 있는 채널 암호 수트를 결정하여 클라이언트의 보안 능력을 설정하는 보안 능력 설정부, 상기 클라이언트에 서버 공개키를 제공하여 상기 클라이언트가 서버 인증을 수행하도록 하고 상기 서버 인증이 성공적으로 수행되면 상기 클라이언트로부터 클라이언트 공개키를 수신하여 상기 클라이언트에 대한 클라이언트 인증을 수행하여, 상호 인증 채널을 생성하는 통신 채널 인증부 및 상기 상호 인증 채널이 생성되면 제2 통신 환경에 따라 데이터 암호 수트 집합에 있는 데이터 암호 수트를 결정하여 상기 상호 인증 채널 상에 통신되는 데이터의 기밀성을 제공하는 암호화 통신 수행부를 포함한다.

Description

SSL/TLS 기반의 네트워크 보안 장치 및 방법{SSL/TLS BASED NETWORK SECURITY APPARATUS AND METHOD}
본 발명은 SSL/TLS 기반의 네트워크 보안 기술에 관한 것으로, 보다 상세하게는 국내 암호 알고리즘을 IoT 환경을 위한 SSL/TLS에 적용함으로써 보안성을 강화할 수 있는 SSL/TLS 기반의 네트워크 보안 장치 및 방법에 관한 것이다.
최근 IoT 시장과 산업제어 시스템, 국가기반 시설 등 다양한 분야에서 유/무선 통신을 활용한 통신 환경이 증가함에 따라 공중망에서의 데이터 노출에 대한 위협이 증가하고 있고, 이에 대응하여 안전한 통신환경 구축에 대한 필요성도 함께 증가하고 있다. 이에 대한 보안 대책으로 구간 암호화, SSL VPN 등의 암호 알고리즘을 이용한 통신보안 방법이 있지만, 국가기반시설 등 보안이 매우 중요한 곳에서는 쓰이기 어렵다는 문제점이 존재한다.
SSL(Secure Socket Layer)은 '보안 소켓 계층'이라는 뜻으로 인터넷을 통해 전달되는 정보 보안의 안전한 거래를 허용하기 위해 Netscape사에서 개발한 인터넷 통신 규약 프로토콜이며, TLS(Transport Layer Security)는 SSL 3.0을 기초로 해서 국제 인터넷 표준화 기구(Internet Engineering Task Force, IETF)가 만든 프로토콜이다. TLS는 SSL 3.0을 보다 안전하게 하고 프로토콜의 스펙을 더 정확하고 안정성 있게 하기 위한 목적으로 고안되었다.
한국등록특허 제10-0846868(2008.07.10)호
본 발명의 일 실시예는 IoT용 유무선 암호장치에 KCMVP 검증기준을 만족하는 국내 암호 알고리즘을 SSL/TLS에 적용함으로써 보안성을 강화할 수 있는 SSL/TLS 기반의 네트워크 보안 장치 및 방법을 제공하고자 한다.
본 발명의 일 실시예는 클라이언트와의 통신 환경에 맞춰 보안 강도를 자동으로 조절함으로써 데이터 기밀성 및 무결성, 난수발생, 메시지 인증, 키 설정, 전자서명을 제공할 수 있는 SSL/TLS 기반의 네트워크 보안 장치 및 방법을 제공하고자 한다.
본 발명의 일 실시예는 국내 암호 알고리즘을 적용함으로써 KCMVP 암호모듈을 활용하여 정보보호 제품 개발이 가능한 SSL/TLS 기반의 네트워크 보안 장치 및 방법을 제공하고자 한다.
실시예들 중에서, SSL/TLS (Secure Socket Layer/Transport Layer Security) 기반의 네트워크 보안 장치는 제1 통신 환경에 따라 채널 암호 수트(Cipher Suite) 집합에 있는 채널 암호 수트를 결정하여 클라이언트의 보안 능력을 설정하는 보안 능력 설정부, 상기 클라이언트에 서버 공개키를 제공하여 상기 클라이언트가 서버 인증을 수행하도록 하고 상기 서버 인증이 성공적으로 수행되면 상기 클라이언트로부터 클라이언트 공개키를 수신하여 상기 클라이언트에 대한 클라이언트 인증을 수행하여, 상호 인증 채널을 생성하는 통신 채널 인증부 및 상기 상호 인증 채널이 생성되면 제2 통신 환경에 따라 데이터 암호 수트 집합에 있는 데이터 암호 수트를 결정하여 상기 상호 인증 채널 상에 통신되는 데이터의 기밀성을 제공하는 암호화 통신 수행부를 포함한다.
상기 보안 능력 설정부는 상기 채널 암호 수트의 보안 강도를 상기 데이터 암호 수트의 보안 강도보다 더 강하게 설정할 수 있다.
상기 보안 능력 설정부는 상기 제1 통신 환경에 따라 키교환 알고리즘 및 MAC 알고리즘에 대해 KCMVP(Korea Cryptographic Module Validation Program) 검증필 암호모듈이 적용된 상기 채널 암호 수트를 결정할 수 있다.
상기 통신 채널 인증부는 상기 서버 인증이 성공적으로 수행된 경우 상기 클라이언트로부터 상기 서버 공개키를 이용하여 암호화된 사전 마스터 비밀(Pre-Master Secret)을 추가로 수신할 수 있다.
상기 암호화 통신 수행부는 상기 제2 통신 환경에 따라 암호 알고리즘에 대해 KCMVP 검증필 암호모듈이 적용된 상기 데이터 암호 수트를 결정할 수 있다.
상기 암호화 통신 수행부는 상기 제1 통신 환경 및 상기 제2 통신 환경을 모두 고려하여 상기 데이터 암호 수트를 결정할 수 있다.
상기 암호화 통신 수행부는 상기 제2 통신 환경에 상관없이 ARIA-128-CBC 및 SHA256으로 구성된 상기 데이터 암호 수트를 결정하여 상기 상호 인증 채널 상에 통신되는 데이터의 기밀성 및 무결성을 제공할 수 있다.
실시예들 중에서, SSL/TLS 기반의 네트워크 보안 방법은 제1 통신 환경에 따라 채널 암호 수트(Cipher Suite) 집합에 있는 채널 암호 수트를 결정하여 클라이언트의 보안 능력을 설정하는 단계, 상기 클라이언트에 서버 공개키를 제공하여 상기 클라이언트가 서버 인증을 수행하도록 하고 상기 서버 인증이 성공적으로 수행되면 상기 클라이언트로부터 클라이언트 공개키를 수신하여 상기 클라이언트에 대한 클라이언트 인증을 수행하여, 상호 인증 채널을 생성하는 단계 및 상기 상호 인증 채널이 생성되면 제2 통신 환경에 따라 데이터 암호 수트 집합에 있는 데이터 암호 수트를 결정하여 상기 상호 인증 채널 상에 통신되는 데이터의 기밀성을 제공하는 단계를 포함한다.
개시된 기술은 다음의 효과를 가질 수 있다. 다만, 특정 실시예가 다음의 효과를 전부 포함하여야 한다거나 다음의 효과만을 포함하여야 한다는 의미는 아니므로, 개시된 기술의 권리범위는 이에 의하여 제한되는 것으로 이해되어서는 아니 될 것이다.
본 발명의 일 실시예에 따른 IoT용 유무선 암호장치에 KCMVP 검증기준을 만족하는 SSL/TLS 기반의 네트워크 보안 장치 및 방법은 클라이언트와의 통신 환경에 맞춰 보안 강도를 자동으로 조절함으로써 데이터 기밀성 및 무결성, 난수발생, 메시지 인증, 키 설정, 전자서명을 제공할 수 있다.
본 발명의 일 실시예에 따른 SSL/TLS 기반의 네트워크 보안 장치 및 방법은 국내 암호 알고리즘을 적용함으로써 KCMVP 암호모듈을 활용하여 정보보호 제품 개발이 가능할 수 있다.
도 1은 본 발명의 일 실시예에 따른 SSL/TLS 기반의 네트워크 보안 시스템을 설명하는 도면이다.
도 2는 도 1에 있는 네트워크 보안 장치를 설명하는 블록도이다.
도 3은 도 1에 있는 네트워크 보안 장치에서 수행되는 네트워크 보안 과정을 설명하는 순서도이다.
도 4는 SSL/TLS의 핸드쉐이크 세부 4단계를 설명하는 도면이다.
도 5 내지 8은 핸드쉐이크 단계를 구성하는 각 단계를 설명하는 도면이다.
도 9는 도 1에 있는 네트워크 보안 장치에서 사용하는 암호 수트를 설명하는 예시도이다.
도 10은 도 1에 있는 네트워크 보안 장치에서 사용하는 데이터 암호 수트를 설명하는 예시도이다.
본 발명에 관한 설명은 구조적 내지 기능적 설명을 위한 실시예에 불과하므로, 본 발명의 권리범위는 본문에 설명된 실시예에 의하여 제한되는 것으로 해석되어서는 아니 된다. 즉, 실시예는 다양한 변경이 가능하고 여러 가지 형태를 가질 수 있으므로 본 발명의 권리범위는 기술적 사상을 실현할 수 있는 균등물들을 포함하는 것으로 이해되어야 한다. 또한, 본 발명에서 제시된 목적 또는 효과는 특정 실시예가 이를 전부 포함하여야 한다거나 그러한 효과만을 포함하여야 한다는 의미는 아니므로, 본 발명의 권리범위는 이에 의하여 제한되는 것으로 이해되어서는 아니 될 것이다.
한편, 본 출원에서 서술되는 용어의 의미는 다음과 같이 이해되어야 할 것이다.
"제1", "제2" 등의 용어는 하나의 구성요소를 다른 구성요소로부터 구별하기 위한 것으로, 이들 용어들에 의해 권리범위가 한정되어서는 아니 된다. 예를 들어, 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다.
어떤 구성요소가 다른 구성요소에 "연결되어"있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결될 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어"있다고 언급된 때에는 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다. 한편, 구성요소들 간의 관계를 설명하는 다른 표현들, 즉 "~사이에"와 "바로 ~사이에" 또는 "~에 이웃하는"과 "~에 직접 이웃하는" 등도 마찬가지로 해석되어야 한다.
단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한 복수의 표현을 포함하는 것으로 이해되어야 하고, "포함하다" 또는 "가지다" 등의 용어는 실시된 특징, 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 존재함을 지정하려는 것이며, 하나 또는 그 이상의 다른 특징이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
각 단계들에 있어 식별부호(예를 들어, a, b, c 등)는 설명의 편의를 위하여 사용되는 것으로 식별부호는 각 단계들의 순서를 설명하는 것이 아니며, 각 단계들은 문맥상 명백하게 특정 순서를 기재하지 않는 이상 명기된 순서와 다르게 일어날 수 있다. 즉, 각 단계들은 명기된 순서와 동일하게 일어날 수도 있고 실질적으로 동시에 수행될 수도 있으며 반대의 순서대로 수행될 수도 있다.
본 발명은 컴퓨터가 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현될 수 있고, 컴퓨터가 읽을 수 있는 기록 매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함한다. 컴퓨터가 읽을 수 있는 기록 매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피 디스크, 광 데이터 저장 장치, 플래시 메모리 등이 있다. 또한, 컴퓨터가 읽을 수 있는 기록 매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산 방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.
여기서 사용되는 모든 용어들은 다르게 정의되지 않는 한, 본 발명이 속하는 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가진다. 일반적으로 사용되는 사전에 정의되어 있는 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한 이상적이거나 과도하게 형식적인 의미를 지니는 것으로 해석될 수 없다.
SSL VPN은 SSL/TLS 표준보안 프로토콜을 활용한 가상사설망 제품으로써 안전한 통신환경을 제공해 주며, 네트워크 환경에서 식별가능한 개체에 대해 인증 및 식별을 수행함으로써 접근제어통제 기능도 함께 제공할 수 있다. SSL/TLS 표준보안 프로토콜은 네트워크 연결시 상대에 대한 신원을 확인하고 올바른 사용자 또는 개체임을 확인함으로써 통신 연결에 대한 신뢰성을 확보할 수 있다. SSL/TLS 표준보안 프로토콜은 정당하게 공유하고 있는 보안매체를 활용하여 키교환 및 키 일치과정을 거쳐 보안통신에 사용되는 키를 발급할 수 있다. SSL VPN은 이렇게 발급된 키를 사용하여 데이터의 기밀성 및 무결성, 난수발생, 메시지 인증, 키 설정, 전자서명을 제공할 수 있다.
SSL/TLS 표준보안 프로토콜에서 보안통신에 사용되는 키를 발급하는 과정은 SSL/TLS의 핸드쉐이크(Handshake) 단계로서 내부적으로 4개의 세부단계로 구성될 수 있다. 핸드쉐이크 단계는 클라이언트와 서버가 암호 통신에 사용할 알고리즘과 공유 키를 결정하고 인증서를 상호 교환하기 위한 과정에 해당할 수 있다. 여기에서, 공유 키를 결정하는 것은 암호 통신을 수행하기 위한 것이고, 인증서를 교환하는 것은 서로 상대를 인증하기 위한 것일 수 있다. 핸드쉐이크 단계는 다음의 도 4 내지 도 8과 함께 보다 자세히 설명한다.
도 4는 SSL/TLS의 핸드쉐이크 세부 4단계를 설명하는 도면이다.
도 4를 참조하면, SSL/TLS의 핸드쉐이크(Handshake) 단계는 내부적으로 4개의 세부단계로 구성될 수 있다. 핸드쉐이크 단계는 제1 단계(Phase I)에서 보안 능력을 설정하고, 제2 단계(Phase II)에서 서버 인증 및 키교환을 수행할 수 있다. 또한, 핸드쉐이크 단계는 제3 단계(Phase III)에서 클라이언트 인증 및 키교환을 수행하고, 제4 단계(Phase IV)에서 핸드쉐이크 프로토콜을 종료할 수 있다.
도 5 내지 8은 핸드쉐이크 단계를 구성하는 각 단계를 설명하는 도면이다.
도 5를 참조하면, 핸드쉐이크 제1 단계에서 클라이언트는 서버에게 ClientHello 메시지를 전송할 수 있고, 서버는 ClientHello 메시지에 대응하여 클라이언트에게 ServerHello 메시지를 전송할 수 있다. ClientHello 및 ServerHello 메시지는 세션 ID, 키교환 알고리즘, MAC 알고리즘, 암호 알고리즘 및 초기 random number 등을 포함할 수 있다.
보다 구체적으로, 클라이언트는 서버에게 사용가능한 버전 정보, 클라이언트 난수, 세션 ID, 사용가능한 암호 수트 목록, 사용가능한 압축 방법 목록 등을 포함하는 ClientHello 메시지를 전송할 수 있다. 서버는 클라이언트에게 사용하는 버전 정보, 서버 난수, 세션 ID, 사용하는 암호 수트, 사용하는 압축 방법 등을 포함하는 ServerHello 메시지를 전송할 수 있다.
도 6을 참조하면, 핸드쉐이크 제2 단계에서 서버는 클라이언트에게 Certificate, ServerKeyExchange, CertificateRequest 및 ServerHelloDone 메시지를 차례대로 전송할 수 있다. Certificate 메시지는 서버의 인증서를 포함할 수 있고, ServerKeyExchange 메시지는 서버의 공개키를 포함할 수 있다. CertificateRequest 메시지는 서버가 이해할 수 있는 인증서 타입 목록이나 인증기관 이름 목록을 포함할 수 있다. 서버의 인증서는 인증 기관에서 발급받은 것이며, 서버가 신뢰할 수 있음을 인증하기 위한 용도로 사용될 수 있다.
도 7을 참조하면, 핸드쉐이크 제3 단계에서 클라이언트는 서버에게 Certificate, ClientKeyExchange 및 CertificateVerify 메시지를 차례대로 전송할 수 있다. Certificate 메시지는 클라이언트의 인증서를 포함할 수 있고, ClientKeyExchange 메시지는 클라이언트의 공개키를 포함할 수 있다. CertificateVerify 메시지는 서버의 인증서를 검증한 결과를 포함할 수 있다.
보다 구체적으로, 클라이언트는 서버로부터 수신한 Certificate 메시지에서 서버의 인증서를 획득할 수 있고, 해당 인증서가 유효 기간이 만료된 것인지, 신뢰할 수 있는 인증 기관에서 발급된 것인지, 해당 서버에서 정식으로 발급된 인증서에 해당하는지 등을 확인함으로써 서버의 인증서를 검증할 수 있다. 예를 들어, 클라이언트는 자체적으로 보관하고 있는 신뢰할 수 있는 인증 기관의 공개키를 이용하여 서버의 인증서에 부가되어 있는 전자서명을 검증함으로써 인증서 검증을 수행할 수 있다. 클라이언트는 서버의 인증서가 신뢰할 수 있는 것으로 판단한 경우 서버에 CertificateVerify 메시지를 전송하여 알릴 수 있다.
도 8을 참조하면, 핸드쉐이크 제4 단계에서 클라이언트는 서버에게 ChangeCipherSpec 및 Finished 메시지를 차례로 전송할 수 있고, 서버는 이에 대한 응답으로 ChangeCipherSpec 및 Finished 메시지를 전송할 수 있다. ChangeCipherSpec 메시지는 암호화 방식이 변경되었으며 이후 전송되는 것들은 협상한 CipherSpec와 키값에 의해 암호/해시되어 전송됨을 알리는 메시지이고, Finished 메시지는 핸드쉐이크 과정이 끝났음을 알리는 메시지이다.
보다 구체적으로, 클라이언트는 서버에게 ChangeCipherSpec 메시지를 전송하여 클라이언트에서 허용될 수 있는 Cipherspec을 알릴 수 있고, 서버는 클라이언트가 전송한 Cipherspec에서 서버가 허용하는 Cipherspec을 ChangeCipherSpec 메시지에 포함시켜 클라이언트에 전송할 수 있다. 클라이언트 및 서버는 마지막으로 Finished 메시지를 전송하여 핸드쉐이크 과정이 끝났음을 알릴 수 있다.
도 1은 본 발명의 일 실시예에 따른 SSL/TLS 기반의 네트워크 보안 시스템을 설명하는 도면이다.
도 1을 참조하면, SSL/TLS 기반의 네트워크 보안 시스템(100)은 클라이언트(110), 네트워크 보안 장치(130) 및 데이터베이스(150)를 포함할 수 있다.
클라이언트(110)는 통신 채널을 통해 네트워크 보안 장치(130)와 통신을 수행하는 컴퓨팅 장치에 해당하고, 스마트폰, 노트북 또는 컴퓨터로 구현될 수 있으며, 반드시 이에 한정되지 않고, 태블릿 PC 등 다양한 디바이스로도 구현될 수 있다. 클라이언트(110)는 네트워크 보안 장치(130)와 네트워크를 통해 연결될 수 있고, 적어도 하나의 클라이언트(110)는 네트워크 보안 장치(130)와 동시에 연결될 수 있다.
네트워크 보안 장치(130)는 클라이언트(110)와의 통신을 위하여 데이터의 기밀성 및 무결성을 제공하는 통신 채널을 생성할 수 있는 컴퓨터 또는 프로그램에 해당하는 서버로 구현될 수 있다. 네트워크 보안 장치(130)는 클라이언트(110)와 블루투스, WiFi, LTE, Ethernet 등을 통해 무선으로 연결될 수 있고, 네트워크를 통해 클라이언트(110)와 데이터를 주고 받을 수 있다.
네트워크 보안 장치(130)는 데이터베이스(150)를 포함하여 구현될 수 있고, 데이터베이스(150)와 별도로 구현될 수 있다. 데이터베이스(150)와 별도로 구현된 경우 네트워크 보안 장치(130)는 데이터베이스(150)와 연결되어 데이터를 송수신할 수 있다.
데이터베이스(150)는 네트워크 보안 장치(130)가 클라이언트(110)와의 통신 채널을 생성하기 위해서 사용하는 다양한 정보들을 저장할 수 있다. 예를 들어, 데이터베이스(150)는 클라이언트(110) 및 네트워크 보안 장치(130) 간의 상호 인증을 위하여 서로 주고 받는 인증 데이터를 저장할 수 있고, 통신 보안을 위하여 사용하는 암호 알고리즘 및 설정 정보를 저장할 수 있으며, 반드시 이에 한정되지 않고, 클라이언트(110) 및 네트워크 보안 장치(130) 간의 통신 채널을 생성하는 과정에서 다양한 형태로 수집 또는 가공된 정보들을 저장할 수 있다.
데이터베이스(150)는 특정 범위에 속하는 정보들을 저장하는 적어도 하나의 독립된 서브-데이터베이스들로 구성될 수 있고, 적어도 하나의 독립된 서브-데이터베이스들이 하나로 통합된 통합 데이터베이스로 구성될 수 있다. 적어도 하나의 독립된 서브-데이터베이스들로 구성되는 경우에는 각각의 서브-데이터베이스들은 블루투스, WiFi, LTE 등을 통해 무선으로 연결될 수 있고, Ethernet 등의 유선 네트워크를 통해 상호 간의 데이터를 주고 받을 수 있다. 통합 데이터베이스로 구성되는 경우에는 각각의 서브-데이터베이스들을 하나로 통합하고 상호 간의 데이터 교환 및 제어 흐름을 관리하는 제어부를 포함할 수 있다.
도 2는 도 1에 있는 네트워크 보안 장치를 설명하는 블록도이다.
도 2를 참조하면, 네트워크 보안 장치(130)는 보안 능력 설정부(210), 통신 채널 인증부(230), 암호화 통신 수행부(250) 및 제어부(270)를 포함할 수 있다.
보안 능력 설정부(210)는 제1 통신 환경에 따라 채널 암호 수트(Cipher Suite) 집합에 있는 채널 암호 수트를 결정하여 클라이언트(110)의 보안 능력을 설정할 수 있다. 여기에서, 채널 암호 수트는 클라이언트(110)와 네트워크 보안 장치(130) 간의 상호 인증을 수행하는 과정에서 사용되는 키교환 알고리즘 및 MAC 알고리즘의 추천 세트에 해당할 수 있고, 채널 암호 수트 집합은 보안 능력 설정부(210)에서 선택 가능한 다양한 채널 암호 수트들을 모아 놓은 것에 해당할 수 있다.
제1 통신 환경은 클라이언트(110) 및 네트워크 보안 장치(130) 간의 무선 통신 품질에 영향을 줄 수 있는 외부 요소로서 무선 통신 채널과 직접 관련 있는 요소에 해당할 수 있고, 예를 들어, 클라이언트(110) 및 네트워크 보안 장치(130) 간의 거리, 무선 통신의 종류 및 통신 신호의 세기 등을 포함할 수 있다. 보안 능력 설정부(210)는 제1 통신 환경에 가장 적합한 채널 암호 수트를 결정하여 클라이언트(110)의 보안 능력을 설정할 수 있다. 다른 실시예에서, 보안 능력 설정부(210)는 제1 통신 환경에 상관없이 클라이언트(110)에서 요청하는 채널 암호 수트로 해당 클라이언트(110)의 보안 능력을 설정할 수 있다.
일 실시예에서, 보안 능력 설정부(210)는 채널 암호 수트의 보안 강도를 데이터 암호 수트의 보안 강도보다 더 강하게 설정할 수 있다. 보안 능력 설정부(210)는 클라이언트(110) 및 네트워크 보안 장치(130) 간의 통신 채널 생성 과정이 데이터 전송 과정보다 상대적으로 보안에 더 취약한 점을 고려하여 통신 채널 생성 과정에서 사용되는 채널 암호 수트의 보안 강도를 데이터 암호 수트의 보안 강도보다 더 강하게 설정할 수 있다. 보안 능력 설정부(210)는 보안 강도가 일정 수준 이상인 알고리즘으로만 구성된 채널 암호 수트들 중에서 어느 하나를 선택함으로써 암호 수트의 보안 강도를 설정할 수 있다.
일 실시예에서, 보안 능력 설정부(210)는 제1 통신 환경에 따라 키교환 알고리즘 및 MAC(Message Authentication Code) 알고리즘에 대해 KCMVP(Korea Cryptographic Module Validation Program) 검증필 암호모듈이 적용된 채널 암호 수트를 결정할 수 있다. 여기에서, KCMVP는 한국 암호모듈 검증제도에 해당하고 국가 및 공공기관에 도입되는 상용 보안제품에 대한 안전성을 확보하기 위해 국가정보원에 의해 시행되고 있다.
보안 능력 설정부(210)는 채널 암호 수트 집합에서 KCMVP 검증을 통과한 키교환 알고리즘 및 MAC 알고리즘을 포함하여 구성된 채널 암호 수트를 결정함으로써 클라이언트(110) 및 네트워크 보안 장치(130) 간의 통신 채널 생성에 있어서 보안 강도를 강화할 수 있다. 예를 들어, 보안 능력 설정부(210)는 KCMVP 검증필 암호모듈에서 제공하는 공개키 기반의 암호 알고리즘인 RSA 및 ECDSA 중 적어도 하나를 포함하여 구성된 암호 수트를 채널 암호 수트로서 결정할 수 있다.
통신 채널 인증부(230)는 클라이언트(110)에 서버 공개키를 제공하여 클라이언트(110)가 서버 인증을 수행하도록 하고 서버 인증이 성공적으로 수행되면 클라이언트(110)로부터 클라이언트 공개키를 수신하여 클라이언트(110)에 대한 클라이언트 인증을 수행하여, 상호 인증 채널을 생성할 수 있다. 여기에서, 서버는 네트워크 보안 장치(130)에 해당할 수 있다.
클라이언트(110)는 통신 채널 인증부(230)로부터 제공받은 서버 공개키와 서버 인증서를 이용하여 서버 인증을 수행할 수 있다. 보다 구체적으로, 클라이언트(110)는 서버 공개키와 서버 인증서가 신뢰할 수 있는 것인지 확인함으로써 서버 인증을 수행할 수 있다. 예를 들어, 클라이언트(110)는 신뢰할 수 있는 인증기관 목록을 자체적으로 보관할 수 있고, 통신 채널 인증부(230)로부터 제공받은 서버 공개키와 서버 인증서가 신뢰할 수 있는 인증기관에서 발행된 것인지, 유효 기간이 만료되지 않았는지 등을 확인하여 서버 인증을 수행할 수 있다.
클라이언트(110)에서의 서버 인증이 성공적으로 수행된 경우 통신 채널 인증부(230)는 클라이언트(110)로부터 클라이언트 공개키를 수신하여 클라이언트 인증을 수행할 수 있다. 보다 구체적으로, 통신 채널 인증부(230)는 클라이언트 공개키와 클라이언트 인증서가 신뢰할 수 있는 것인지 확인함으로써 클라이언트 인증을 수행할 수 있다.
일 실시예에서, 통신 채널 인증부(230)는 서버 인증이 성공적으로 수행된 경우 클라이언트(110)로부터 서버 공개키를 이용하여 암호화된 사전 마스터 비밀(Pre-Master Secret)을 추가로 수신할 수 있다. 여기에서, 사전 마스터 비밀(Pre-Master Secret)은 클라이언트(110)가 만든 난수에 해당할 수 있고, 마스터 비밀(Master Secret)을 생성하는데 사용될 수 있다. 예를 들어, 서버 및 클라이언트(110)는 사전 마스터 비밀, 클라이언트 난수 및 서버 난수를 이용하여 마스터 비밀을 각각 생성할 수 있다.
마스터 비밀(Master Secret)은 클라이언트(110)와 서버가 합의한 비밀값에 해당할 수 있고, 통신의 기밀성을 보장하는데 사용될 수 있다. 마스터 비밀은 클라이언트(110)와 서버 간의 통신 암호화에 사용되는 세션키를 생성하는데 사용될 수 있다. 예를 들어, 마스터 비밀은 대칭 암호키, 메시지 인증 코드키 및 대칭 암호 CBC 모드에서 이용하는 초기화 벡터를 생성하는데 사용될 수 있다.
클라이언트(110)는 임의의 사전 마스터 비밀을 생성할 수 있고 서버 공개키를 이용하여 사전 마스터 비밀을 암호화할 수 있다. 또한, 클라이언트(110)는 사전 마스터 비밀을 ClientKeyExchange 메시지에 포함시켜 네트워크 보안 장치(130)로 전송할 수 있다. 통신 채널 인증부(230)는 전송받은 정보를 복호화하여 사전 마스터 비밀을 획득할 수 있고, 사전 마스터 비밀을 이용하여 마스터 비밀을 생성할 수 있다.
암호화 통신 수행부(250)는 상호 인증 채널이 생성되면 제2 통신 환경에 따라 데이터 암호 수트 집합에 있는 데이터 암호 수트를 결정하여 상호 인증 채널 상에 통신되는 데이터의 기밀성을 제공할 수 있다. 클라이언트(110) 및 네트워크 보안 장치(130) 간의 상호 인증이 완료된 경우, 클라이언트(110)와 네트워크 보안 장치(130)는 동일한 세션키를 공유할 수 있고, 암호화 통신 수행부(250)는 세션키를 이용하여 데이터를 암호화하거나 또는 복호화할 수 있다.
여기에서, 데이터 암호 수트는 클라이언트(110)와 네트워크 보안 장치(130) 간의 데이터 전송 과정에서 사용되는 암호 알고리즘의 추천 세트에 해당할 수 있고, 데이터 암호 수트 집합은 암호화 통신 수행부(250)에서 선택 가능한 다양한 데이터 암호 수트들을 모아 놓은 것에 해당할 수 있다. 제2 통신 환경은 무선 통신 품질에 영향을 줄 수 있는 외부 요소로서 클라이언트(110)와 직접 관련 있는 요소에 해당할 수 있고, 예를 들어, 클라이언트(110)의 성능, 호환성 및 중요성 등을 포함할 수 있다.
암호화 통신 수행부(250)는 제2 통신 환경에 가장 적합한 데이터 암호 수트를 결정할 수 있고 데이터 암호 수트에 포함된 암호 알고리즘 및 세션키를 이용하여 데이터를 암호화하거나 또는 복호화함으로써 데이터의 기밀성을 제공할 수 있다. 다른 실시예에서, 암호화 통신 수행부(250)는 제2 통신 환경에 상관없이 클라이언트(110)에서 요청하는 데이터 암호 수트를 결정하여 상호 인증 채널 상에 통신되는 데이터의 기밀성을 제공할 수 있다.
일 실시예에서, 암호화 통신 수행부(250)는 제2 통신 환경에 따라 암호 알고리즘에 대해 KCMVP 검증필 암호모듈이 적용된 데이터 암호 수트를 결정할 수 있다. 암호화 통신 수행부(250)는 데이터 암호 수트 집합에서 KCMVP 검증을 통과한 암호 알고리즘을 포함하여 구성된 데이터 암호 수트를 결정함으로써 클라이언트(110) 및 네트워크 보안 장치(130) 간의 데이터 교환에 있어서 보안 강도를 강화할 수 있다. 예를 들어, 암호화 통신 수행부(250)는 KCMVP 검증필 암호모듈에서 제공하는 국내 암호 알고리즘인 ARIA, SEED, HiGHT 및 LEA 중 적어도 하나를 포함하여 구성된 암호 수트를 데이터 암호 수트로서 결정할 수 있다.
일 실시예에서, 암호화 통신 수행부(250)는 제1 통신 환경 및 제2 통신 환경을 모두 고려하여 데이터 암호 수트를 결정할 수 있다. 보다 구체적으로, 암호화 통신 수행부(250)는 클라이언트(110) 및 네트워크 보안 장치(130) 간의 거리, 무선 통신의 종류, 통신 신호의 세기, 클라이언트(110)의 성능, 호환성 및 중요성 중 적어도 하나를 고려하여 데이터 암호 수트를 결정함으로써 무선 통신의 보안 강도를 조절할 수 있다.
일 실시예에서, 암호화 통신 수행부(250)는 제1 통신 환경 및 제2 통신 환경 각각에 가중치를 부여하고 가중화된 제1 통신 환경 및 제2 통신 환경에 따라 데이터 암호 수트를 결정할 수 있다. 예를 들어, 암호화 통신 수행부(250)는 제1 통신 환경에 포함된 요소들에 2의 가중치를 부여하고, 제2 통신 환경에 포함된 요소들에 0.5의 가중치를 부여한 후, 각각의 요소들에 의해 결정되는 전체 통신 환경을 고려하여 데이터 통신에 요구되는 보안 강도를 결정할 수 있고, 해당 보안 강도를 충족하는 데이터 암호 수트를 결정할 수 있다.
일 실시예에서, 암호화 통신 수행부(250)는 제2 통신 환경에 상관없이 ARIA-128-CBC 및 SHA256으로 구성된 데이터 암호 수트를 결정하여 상호 인증 채널 상에 통신되는 데이터의 기밀성 및 무결성을 제공할 수 있다. 암호화 통신 수행부(250)는 클라이언트(110) 및 네트워크 보안 장치(130) 간의 상호 인증 채널이 생성된 후 제2 통신 환경을 고려하여 적절한 데이터 암호 수트를 결정할 수도 있지만, 제2 통신 환경을 고려하기 힘들거나 또는 불가능한 경우에 있어서 미리 결정된 데이터 암호 수트를 사용할 수 있다. 암호화 통신 수행부(250)는 128비트 키길이와 CBC 운영모드로 설정된 ARIA 및 해시함수인 SHA256으로 구성된 데이터 암호 수트를 기본 설정으로 제공하여 별도의 설정이 없더라도 보안 강도가 낮은 암호 알고리즘이 사용되지 않도록 할 수 있다.
제어부(270)는 네트워크 보안 장치(130)의 전체적인 동작을 제어하고, 보안 능력 설정부(210), 통신 채널 인증부(230) 및 암호화 통신 수행부(250) 간의 제어 흐름 또는 데이터 흐름을 관리할 수 있다.
도 3은 도 1에 있는 네트워크 보안 장치에서 수행되는 네트워크 보안 과정을 설명하는 순서도이다.
도 3을 참조하면, 네트워크 보안 장치(130)는 보안 능력 설정부(210)를 통해 제1 통신 환경에 따라 채널 암호 수트 집합에 있는 채널 암호 수트를 결정하여 클라이언트(110)의 보안 능력을 설정할 수 있다(단계 S310).
네트워크 보안 장치(130)는 통신 채널 인증부(230)를 통해 클라이언트(110)에 서버 공개키를 제공하여 클라이언트(110)가 서버 인증을 수행하도록 하고 서버 인증이 성공적으로 수행되면 클라이언트(110)로부터 클라이언트 공개키를 수신하여 클라이언트(110)에 대한 클라이언트 인증을 수행하여, 상호 인증 채널을 생성할 수 있다(단계 S330).
네트워크 보안 장치(130)는 암호화 통신 수행부(250)를 통해 상호 인증 채널이 생성되면 제2 통신 환경에 따라 데이터 암호 수트 집합에 있는 데이터 암호 수트를 결정하여 상호 인증 채널 상에 통신되는 데이터의 기밀성을 제공할 수 있다(단계 S350).
도 9는 도 1에 있는 네트워크 보안 장치에서 사용하는 암호 수트를 설명하는 예시도이다.
도 9를 참조하면, 네트워크 보안 장치(130)는 핸드쉐이크 과정에서 사용하는 키교환 알고리즘, MAC 알고리즘 및 암호 알고리즘, 전자서명 알고리즘 등을 부품과 같이 교환할 수 있다. 보다 구체적으로, 네트워크 보안 장치(130)는 사용하고 있던 암호 알고리즘에 결함이 발견된 경우 해당 암호 알고리즘을 다른 암호 알고리즘으로 교체하여 사용할 수 있다. 네트워크 보안 장치(130)는 핸드쉐이크 과정에서 사용하는 암호 기술들의 추천 세트를 암호 수트로 정의하여 사용할 수 있고, 도 9에서는 KCMVP 검증필 암호들로 구성된 암호 수트의 일 실시예가 표시되어 있다.
도 10은 도 1에 있는 네트워크 보안 장치에서 사용하는 데이터 암호 수트를 설명하는 예시도이다.
도 10을 참조하면, 네트워크 보안 장치(130)는 클라이언트(110)와의 상호 인증 채널이 생성된 후 데이터의 기밀성 및 무결성을 제공하기 위하여 블록 암호 알고리즘을 사용할 수 있다. 네트워크 보안 장치(130)는 블록 암호 알고리즘으로서 KCMVP 검증필 암호모듈에서 제공하는 국내 암호 알고리즘 ARIA, SEED, HiGHT, LEA를 사용할 수 있다. 특히, 네트워크 보안 장치(130)는 블록 암호 알고리즘 중 하나인 SEED에 대하여 SSL에서 제공하는 암호 알고리즘이 아닌, KCMVP 검증필 암호 모듈에서 제공하는 암호 알고리즘을 사용할 수 있다.
또한, 네트워크 보안 장치(130)는 핸드쉐이크의 모든 단계에서 사용되는 해시함수로서 KCMVP 검증필 암호모듈에서 제공하는 해시함수를 사용할 수 있다. 도 10에서, 네트워크 보안 장치(130)는 데이터 기밀성을 위해 블록암호 알고리즘으로서 ARIA, SEED, HiGHT 및 LEA 중 어느 하나를 사용할 수 있고, 운영모드로서 ECB, CBC 및 GCM 중 어느 하나를 사용할 수 있다. 네트워크 보안 장치(130)는 해시함수로서 SHA256를 사용할 수 있다.
상기에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
100: SSL/TLS 기반의 네트워크 보안 시스템
110: 클라이언트 130: 네트워크 보안 장치
150: 데이터베이스
210: 보안 능력 설정부 230: 통신 채널 인증부
250: 암호화 통신 수행부 270: 제어부

Claims (8)

  1. 장치 간의 무선 통신 품질에 영향을 주는 객관적 외부 요소로서 장치 간의 거리, 무선 통신의 종류 및 통신 신호의 세기를 포함하는 제1 통신 환경에 따라 채널 암호 수트(Cipher Suite) 집합에 있는 채널 암호 수트를 결정하여 클라이언트의 보안 능력을 설정하는 보안 능력 설정부;
    상기 클라이언트에 서버 공개키를 제공하여 상기 클라이언트가 서버 인증을 수행하도록 하고 상기 서버 인증이 성공적으로 수행되면 상기 클라이언트로부터 클라이언트 공개키를 수신하여 상기 클라이언트에 대한 클라이언트 인증을 수행하여, 상호 인증 채널을 생성하는 통신 채널 인증부; 및
    상기 상호 인증 채널이 생성되면 상기 무선 통신 품질에 영향을 주는 주관적 외부 요소로서 클라이언트의 성능, 호환성 및 중요성을 포함하는 제2 통신 환경과 상기 제1 통신 환경에 따라 데이터 암호 수트 집합에 있는 데이터 암호 수트를 결정하여 상기 상호 인증 채널 상에 통신되는 데이터의 기밀성을 제공하는 암호화 통신 수행부를 포함하되,
    상기 채널 암호 수트와 상기 데이터 암호 수트 각각은 반드시 KCMVP(Korea Cryptographic Module Validation Program) 검증필 암호모듈에서 제공하는 암호 알고리즘이 적용되고, 상기 채널 암호 수트의 보안 강도는 상기 데이터 암호 수트의 보안 강도보다 더 강하게 설정되는 것을 특징으로 하는 SSL/TLS (Secure Socket Layer/Transport Layer Security) 기반의 네트워크 보안 장치.
  2. 삭제
  3. 제 1항에 있어서, 상기 보안 능력 설정부는
    상기 제 1통신환경에 따라 키교환 알고리즘 및 MAC(Message Authentication Code) 알고리즘에 대해 상기 네트워크 보안 장치에 포함된 KCMVP(Korea Cryptographic Module Validation Program) 검증필 암호모듈에서 제공하는 암호 알고리즘이 적용된 상기 채널 암호 수트를 결정하는 것을 특징으로 하는 SSL/TLS 기반의 네트워크 보안 장치.
  4. 제1항에 있어서, 상기 통신 채널 인증부는
    상기 서버 인증이 성공적으로 수행된 경우 상기 클라이언트로부터 상기 서버 공개키를 이용하여 암호화된 사전 마스터 비밀(Pre-Master Secret)을 추가로 수신하는 것을 특징으로 하는 SSL/TLS 기반의 네트워크 보안 장치.
  5. 삭제
  6. 삭제
  7. 제 1항에 있어서, 상기 암호화 통신 수행부는
    상기 제2 통신 환경에 상관없이 상기 네트워크 보안 장치에 포함된 KCMVP 검증필 암호모듈에서 제공하는 암호 알고리즘인 ARIA-128-CBC 및 SHA256으로 구성된 상기 데이터 암호 수트를 결정하여 상기 상호 인증 채널 상에 통신되는 데이터의 기밀성 및 무결성을 제공하는 것을 특징으로 하는 SSL/TLS 기반의 네트워크 보안 장치.
  8. SSL/TLS(Secure Socket Layer/Transport Layer Security) 기반의 네트워크 보안 장치에서 수행되는 네트워크 보안 방법에 있어서,
    장치 간의 무선 통신 품질에 영향을 주는 객관적 외부 요소로서 장치 간의 거리, 무선 통신의 종류 및 통신 신호의 세기를 포함하는 제1 통신 환경에 따라 채널 암호 수트(Cipher Suite) 집합에 있는 채널 암호 수트를 결정하여 클라이언트의 보안 능력을 설정하는 단계;
    상기 클라이언트에 서버 공개키를 제공하여 상기 클라이언트가 서버 인증을 수행하도록 하고 상기 서버 인증이 성공적으로 수행되면 상기 클라이언트로부터 클라이언트 공개키를 수신하여 상기 클라이언트에 대한 클라이언트 인증을 수행하여, 상호 인증 채널을 생성하는 단계; 및
    상기 상호 인증 채널이 생성되면 상기 무선 통신 품질에 영향을 주는 주관적 외부 요소로서 클라이언트의 성능, 호환성 및 중요성을 포함하는 제2 통신 환경과 상기 제1 통신 환경에 따라 데이터 암호 수트 집합에 있는 데이터 암호 수트를 결정하여 상기 상호 인증 채널 상에 통신되는 데이터의 기밀성을 제공하는 단계를 포함하되,
    상기 채널 암호 수트와 상기 데이터 암호 수트 각각은 반드시 KCMVP(Korea Cryptographic Module Validation Program) 검증필 암호모듈에서 제공하는 암호 알고리즘이 적용되고, 상기 채널 암호 수트의 보안 강도는 상기 데이터 암호 수트의 보안 강도보다 더 강하게 설정되는 것을 특징으로 하는 SSL/TLS 기반의 네트워크 보안 방법.
KR1020180054201A 2018-05-11 2018-05-11 Ssl/tls 기반의 네트워크 보안 장치 및 방법 KR102128244B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180054201A KR102128244B1 (ko) 2018-05-11 2018-05-11 Ssl/tls 기반의 네트워크 보안 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180054201A KR102128244B1 (ko) 2018-05-11 2018-05-11 Ssl/tls 기반의 네트워크 보안 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20190129478A KR20190129478A (ko) 2019-11-20
KR102128244B1 true KR102128244B1 (ko) 2020-06-30

Family

ID=68729078

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180054201A KR102128244B1 (ko) 2018-05-11 2018-05-11 Ssl/tls 기반의 네트워크 보안 장치 및 방법

Country Status (1)

Country Link
KR (1) KR102128244B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102321934B1 (ko) 2021-07-05 2021-11-04 주식회사 두두아이티 보안성 향상을 위한 ssl 기반의 프록시 서버

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102423178B1 (ko) * 2020-11-24 2022-07-20 부산대학교 산학협력단 에이전트 기반의 암호모듈 연동 시스템 및 방법
CN113779619A (zh) * 2021-08-11 2021-12-10 深圳市证通云计算有限公司 一种基于国密算法的ceph分布式对象存储系统加解密方法
CN114679260B (zh) * 2021-12-20 2024-02-09 北京亿赛通科技发展有限责任公司 旁路审计兼容扩展主秘钥的加密数据方法、系统及终端

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1416665A2 (en) * 2002-10-31 2004-05-06 Matsushita Electric Industrial Co., Ltd. Communication device, communication system, and cryptographic algorithm selection method
KR100846868B1 (ko) 2005-01-17 2008-07-17 엘지전자 주식회사 Supl 기반의 위치정보 시스템에서의 tls 세션관리방법
US9935769B1 (en) * 2014-12-12 2018-04-03 Amazon Technologies, Inc. Resource-based cipher suite selection
US9888037B1 (en) * 2015-08-27 2018-02-06 Amazon Technologies, Inc. Cipher suite negotiation

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102321934B1 (ko) 2021-07-05 2021-11-04 주식회사 두두아이티 보안성 향상을 위한 ssl 기반의 프록시 서버

Also Published As

Publication number Publication date
KR20190129478A (ko) 2019-11-20

Similar Documents

Publication Publication Date Title
US11856104B2 (en) Methods for secure credential provisioning
US12021987B2 (en) Methods for secure cryptogram generation
CN106664206B (zh) 用于已认证的通信的高效方法
US8532620B2 (en) Trusted mobile device based security
US9490980B2 (en) Authentication and secured information exchange system, and method therefor
EP2792100B1 (en) Method and device for secure communications over a network using a hardware security engine
CA2446304C (en) Use and generation of a session key in a secure socket layer connection
KR102128244B1 (ko) Ssl/tls 기반의 네트워크 보안 장치 및 방법
US20140164764A1 (en) Assignment of digital signature and qualification for related services
WO2015158172A1 (zh) 一种用户身份识别卡
CN113411187B (zh) 身份认证方法和系统、存储介质及处理器
TW201537937A (zh) 統一身份認證平臺及認證方法
US20240187221A1 (en) Agile cryptographic deployment service
US11153288B2 (en) System and method for monitoring leakage of internal information by analyzing encrypted traffic
Kumar et al. A Security Pattern for the Transport Layer Security (TLS) Protocol

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant