KR102321934B1 - 보안성 향상을 위한 ssl 기반의 프록시 서버 - Google Patents

보안성 향상을 위한 ssl 기반의 프록시 서버 Download PDF

Info

Publication number
KR102321934B1
KR102321934B1 KR1020210087875A KR20210087875A KR102321934B1 KR 102321934 B1 KR102321934 B1 KR 102321934B1 KR 1020210087875 A KR1020210087875 A KR 1020210087875A KR 20210087875 A KR20210087875 A KR 20210087875A KR 102321934 B1 KR102321934 B1 KR 102321934B1
Authority
KR
South Korea
Prior art keywords
server
client
ssl
private key
pseudo
Prior art date
Application number
KR1020210087875A
Other languages
English (en)
Other versions
KR102321934B9 (ko
Inventor
박영선
남수만
Original Assignee
주식회사 두두아이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 두두아이티 filed Critical 주식회사 두두아이티
Priority to KR1020210087875A priority Critical patent/KR102321934B1/ko
Application granted granted Critical
Publication of KR102321934B1 publication Critical patent/KR102321934B1/ko
Publication of KR102321934B9 publication Critical patent/KR102321934B9/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/065Encryption by serially and continuously modifying data stream elements, e.g. stream cipher systems, RC4, SEAL or A5/3
    • H04L9/0656Pseudorandom key sequence combined element-for-element with data sequence, e.g. one-time-pad [OTP] or Vernam's cipher
    • H04L9/0662Pseudorandom key sequence combined element-for-element with data sequence, e.g. one-time-pad [OTP] or Vernam's cipher with particular pseudorandom sequence generator
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0827Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving distinctive intermediate devices or communication paths
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage

Abstract

복수의 클라이언트와 복수의 서버 사이의 데이터 통신을 중계하는 프록시 서버가 제공된다. 상기 프록시 서버는 제1 서버로의 제1 접속 요청을 전송하는 클라이언트의 제1 개인키를 저장하고, 상기 제1 개인키에 기반하여 복호화된 평문 데이터를 메시지 교환부로 전달하는 SSL(secure socket layer) 서버, 각각의 서버에 대해 서로 다른 난수를 생성하여 전달하고, 상기 생성된 난수에 기반하여 상기 각각의 서버에 대응하는 대칭키를 생성하여 저장하는 SSL 클라이언트 및 상기 SSL 서버 또는 상기 SSL 클라이언트로부터 수신되는 평문 데이터에 기반하여 매칭되는 보안 정책을 결정하고, 상기 결정된 보안 정책에 따라 평문 데이터의 전달 여부를 결정하는 메시지 교환부를 포함할 수 있다.

Description

보안성 향상을 위한 SSL 기반의 프록시 서버{PROXY SERVER BASED ON SECURE SOCKET LAYER FOR IMPROVED SECURITY}
이하의 설명은 보안성 향성을 위한 SSL 기반의 프록시 서버에 관한 것이다. 보다 구체적으로, 클라이언트에 대한 개인키를 저장 및 관리하는 SSL 서버와 서버에 대한 개인키를 저장 및 관리하는 SSL 클라이언트를 이용하여 보안성이 향상된 HTTP(hypertext transfer protocol) 통신을 지원하는 프록시 서버에 관한 것이다.
보안에 대한 필요성으로, HTTP 보다는 HTTPS(hypertext transfer protocol secure socket)의 사용이 권고되고 있다. 구체적으로, HTTPS는 기존의 HTTP에 보안 요소가 추가된 프로토콜이며, 서버와 사용자 단말기 사이의 통신 내용을 암호화하여 통신이 이루어지게 한다. HTTPS는 SSL/TLS(secure sockets layer/transport layer security) 프로토콜을 사용하여 암호화를 수행한다.
그러나, 암호화된 패킷은 서버에 연결된 보안 서버의 침입 탐지 기능을 어렵게 할 수 있다. 일반적으로 네트워크 망에서 내부 시스템으로 들어오는 트래픽에는 네트워크 망을 위협하는 여러 공격들이 존재하며, 이러한 공격들을 차단하여 양호한 네트워크 망을 구성하기 위해 보안 서버가 이용된다. 보안 서버는 패킷을 서버로 전달하거나, 드랍시키기 위해 패킷을 분석하는 과정을 수반한다. 그러나, 보안 서버가 암호화된 패킷을 수신하는 경우, 패킷의 유해성 여부를 판단하는데 어려움이 존재할 수 있다.
대한민국 등록특허 제10-2128244호 대한민국 등록특허 제10-2147917호
적어도 하나의 실시 예에 따르면, 접속을 요청하는 클라이언트의 개인키와 접속 대상이 되는 서버의 개인키를 분리하여 데이터 통신을 지원하는 프록시 서버가 제공된다. 상기 프록시 서버를 통해 웹 서버의 노출을 막고, 웹 공격, 부정 로그인, 웹 사이트 위변조 등과 같은 공격 대상 패킷으로부터 클라이언트와 서버의 보안성을 향상시킬 수 있다.
일 측면에 따르면, 복수의 클라이언트와 복수의 서버 사이의 데이터 통신을 중계하는 프록시 서버가 제공된다. 상기 프록시 서버는 제1 서버로의 제1 접속 요청을 전송하는 클라이언트의 제1 개인키를 저장하고, 상기 제1 개인키에 기반하여 복호화된 평문 데이터를 메시지 교환부로 전달하는 SSL(secure socket layer) 서버, 각각의 서버에 대해 서로 다른 난수를 생성하여 전달하고, 상기 생성된 난수에 기반하여 상기 각각의 서버에 대응하는 대칭키를 생성하여 저장하는 SSL 클라이언트 및 상기 SSL 서버 또는 상기 SSL 클라이언트로부터 수신되는 평문 데이터에 기반하여 매칭되는 보안 정책을 결정하고, 상기 결정된 보안 정책에 따라 평문 데이터의 전달 여부를 결정하는 메시지 교환부를 포함할 수 있다.
일 실시 예에 따르면, 상기 SSL 클라이언트는 상기 제1 개인키에 기반하여 복호화된 평문 데이터를 상기 메시지 교환부로부터 수신하고, 수신된 평문 데이터를 상기 제1 서버에 대응하는 제2 개인키를 이용하여 암호화하고, 상기 제1 접속 요청에 대한 암호문 데이터를 상기 제1 서버로 전달할 수 있다.
다른 일 실시 예에 따르면, 상기 SSL 클라이언트는 상기 제1 서버로부터 상기 제1 접속 요청에 상응하는 응답 메시지(response message)를 수신하고, 상기 응답 메시지를 상기 제2 개인키에 기반하여 복호화하고, 복호화된 평문 데이터를 상기 메시지 교환부로 전달할 수 있다.
또 다른 일 실시 예에 따르면, 상기 SSL 서버는 상기 메시지 교환부로부터 결정된 보안 정책에 따라 상기 응답 메시지를 상기 클라이언트의 제1 개인키에 기반하여 암호화하고, 상기 응답 메시지에 대한 암호문 데이터를 상기 클라이언트로 전달할 수 있다.
또 다른 일 실시 예에 따르면, 상기 메시지 교환부는 상기 제1 접속 요청에 포함되는 클라이언트의 IP(internet protocol) 정보와 상기 제1 접속 요청의 소정 비트열에 대한 체크섬 연산의 결과에 기반하여, 상기 클라이언트에 적용되는 보안 정책을 결정할 수 있다.
또 다른 일 실시 예에 따르면, 상기 SSL 클라이언트는 서버 정보를 이용하여 수도-랜덤(Pseudo-random) 함수 집합에 포함되는 복수의 수도-랜덤 함수 각각에 대해 서버 고유 인덱스를 부여하고, 상기 서버 고유 인덱스가 부여된 수도-랜덤 함수 집합 Funcpr을 상기 각각의 서버로 전송하고, 상기 클라이언트로부터 수신된 제1 접속 요청 내의 미리 약속된 비트열에 기반하여 제1 서버 고유 인덱스를 계산하고, 상기 계산된 제1 서버 고유 인덱스에 대응하는 제1 수도-랜덤 함수와 분배된 난수에 기반하여 상기 제1 서버에 대응하는 제2 개인키를 생성할 수 있다.
또 다른 일 실시 예에 따르면, 상기 SSL 클라이언트는 상기 수도-랜덤 함수 집합 Funcpr에 포함되는 수도-랜덤 함수 fn(n는 1 이상 정수) 각각과 서버에 따라 정의되는 서버 고유 인덱스 ku를 일 대 일 매핑하고, 수학식 1에 기초하여 상기 제1 서버 고유 인덱스 k1u를 계산하고, 상기 수학식 1은 k1 u=
Figure 112021077275702-pat00001
이고, 상기 pi는 상기 제1 접속 요청에 포함되는 미리 약속된 비트열 중 i 번째 비트를 나타내고, 상기 N는 수도-랜덤 함수 집합에 포함되는 수도-랜덤 함수의 개수일 수 있다.
도 1은 일 실시 예에 따른 프록시 서버의 동작을 설명하는 블록도이다.
도 2는 일 실시 예에 따른 SSL 서버가 클라이언트의 개인키를 저장하는 과정을 설명하는 흐름도이다.
도 3은 일 실시 예에 따른 SSL 클라이언트가 서버의 개인키를 생성 및 저장하는 과정을 설명하는 흐름도이다.
도 4는 다른 일 실시 예에 따른 SSL 클라이언트가 각각의 서버에 대한 서버 고유 인덱스를 부여하는 과정을 설명하는 예시도이다.
도 5는 다른 일 실시 예에 따른 SSL 클라이언트가 서버 고유 인덱스를 이용하여 서버에 대한 개인키를 생성하는 과정을 설명하는 흐름도이다.
실시 예들에 대한 특정한 구조적 또는 기능적 설명들은 단지 예시를 위한 목적으로 개시된 것으로서, 다양한 형태로 변경되어 실시될 수 있다. 따라서, 실시 예들은 특정한 개시형태로 한정되는 것이 아니며, 본 명세서의 범위는 기술적 사상에 포함되는 변경, 균등물, 또는 대체물을 포함한다.
제1 또는 제2 등의 용어를 다양한 구성요소들을 설명하는데 사용될 수 있지만, 이런 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 해석되어야 한다. 예를 들어, 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소는 제1 구성요소로도 명명될 수 있다.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다.
단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 명세서에서, "포함하다" 또는 "가지다" 등의 용어는 기재된 특징, 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 존재함으로 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 해당 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가진다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 갖는 것으로 해석되어야 하며, 본 명세서에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하, 실시예들을 첨부된 도면들을 참조하여 상세하게 설명한다. 첨부 도면을 참조하여 설명함에 있어, 도면 부호에 관계없이 동일한 구성 요소는 동일한 참조 부호를 부여하고, 이에 대한 중복되는 설명은 생략하기로 한다.
도 1은 일 실시 예에 따른 프록시 서버의 동작을 설명하는 블록도이다. 도 1을 참조하면, 복수의 클라이언트(111, 112, 113)와 복수의 서버(131, 132, 133) 사이의 데이터 통신을 중계하는 프록시 서버(120)가 도시된다. 프록시 서버(120)는 SSL 서버(121), 제1 메모리(122), 메시지 교환부(123), 제2 메모리(124), SSL 클라이언트(125) 및 제3 메모리(126)를 포함할 수 있다.
SSL 서버(121)는 제1 서버(131)로의 제1 접속 요청을 전송하는 제1 클라이언트(111)의 제1 개인키를 제1 메모리(122)에 저장 및 관리할 수 있다. 구체적으로, 제1 메모리(122)에는 SSL 서버(121)와의 인증 및 세션키 발급 절차가 완료된 복수의 클라이언트의 개인키가 저장될 수 있다. SSL 서버(121)는 제1 개인키에 기반하여 복호화된 평문 데이터를 메시지 교환부(123)로 전달할 수 있다. SSL 서버(121)와 메시지 교환부(123) 사이의 내부 통신 과정에서는 평문 데이터가 이용된다.
메시지 교환부(123)는 SSL 서버(121) 또는 SSL 클라이언트(125)로부터 수신되는 평문 데이터에 기반하여 각각의 서버 또는 클라이언트에 매칭되는 보안 정책을 결정할 수 있다. 또한, 메시지 교환부(123)는 결정된 보안 정책에 따라 평문 데이터의 전달 여부를 결정할 수 있다.
일 실시 예로서, 메시지 교환부(123)는 제1 클라이언트(111)로부터 전송된 제1 접속 요청에 포함되는 제1 클라이언트(111)의 IP(internet protocol) 정보와 제1 접속 요청의 비트열에 대한 체크섬 연산의 결과에 기반하여 제1 클라이언트(111)에 적용되는 보안 정책을 결정할 수 있다. 구체적으로, 메시지 교환부(123)는 클라이언트의 IP 정보에 따라 접근이 허용되는 화이트 리스트를 제2 메모리(124)로부터 수신할 수 있다. 또한, 메시지 교환부(123)는 악의적인 공격으로 해석되는 스트링 패턴에 대한 블랙 리스트를 제2 메모리(124)로부터 수신할 수 있다. 메시지 교환부(123)는 평문 메시지로 복호화된 제1 접속 요청에 대한 스트링 패턴을 분석함으로써 제1 클라이언트에 대해 적용될 보안 정책을 결정할 수 있다. 메시지 교환부(123)에서 수행되는 체크섬 연산 과정은 기술 분야의 당업자에게는 자명한 사항이므로 자세한 설명은 생략한다.
메시지 교환부(123)는 인바운드 보안을 위해 복수의 클라이언트로부터 전달되는 HTTPS 패킷 데이터를 검증할 수 있다. 또한, 메시지 교환부(123)는 아웃바운드 보안을 위해 복수의 서버로부터 특정 클라이언트로 전달되는 HTTPS 패킷 데이터를 검증할 수 있다. 각각의 패킷에 대한 검증이 실패한 경우, 메시지 교환부(123)는 해당 패킷을 제거할 수 있다.
SSL 클라이언트(125)는 각각의 서버(131, 132, 133)에 대해 서로 다른 난수를 생성하여 전달할 수 있다. 또한, SSL 클라이언트(125)는 생성된 난수에 기반하여 각각의 서버에 대응하는 개인키를 생성하여 제3 메모리(126)에 저장 및 관리할 수 있다. 구체적으로, 제3 메모리(126)는 서로 다른 난수에 기반하여 각각의 서버와 매칭되어 생성된 복수의 개인키가 저장될 수 있다.
일 실시 예에 따르면, SSL 클라이언트(125)는 복호화된 평문 데이터를 메시지 교환부(123)로부터 수신할 수 있다. 상기 평문 데이터는 SSL 서버(121)에 의해 제1 메모리(122)로부터 획득된 제1 개인키를 이용하여 복호화된 평문 데이터를 나타낸다. SSL 클라이언트(125)는 수신된 평문 데이터를 제1 서버(131)에 대응하는 제2 개인키를 이용하여 암호화할 수 있다. 상기 제2 개인키는 SSL 클라이언트(125)에 연결되는 제3 메모리(126)로부터 획득될 수 있다. SSL 클라이언트(125)는 제1 접속 요청에 대한 암호문 데이터를 제1 서버(131)로 전달할 수 있다.
SSL 클라이언트(125)는 제1 서버(131)로부터 제1 접속 요청에 상응하는 응답 메시지를 수신할 수 있다. SSL 클라이언트(125)는 상기 응답 메시지를 제2 개인키에 기반하여 복호화하고, 복호화된 평문 데이터를 메시지 교환부(123)로 전달할 수 있다.
본 실시 예에 따른 프록시 서버(120)는 SSL 서버(121)와 SSL 클라이언트(125)를 연결하는 메시지 교환부(123)의 통신 과정에서 평문 데이터가 전달되도록 하여 HTTPS 패킷 내에 포함되는 악성 스트링 패킷에 대한 보안 정책이 적용될 수 있도록 보안성을 더욱 강화하는 효과를 기대할 수 있다.
SSL 서버(121)는 메시지 교환부로부터 제1 접속 요청에 대해 결정된 보안 정책을 수신할 수 있다. 보안 정책에 의해 메시지 전달이 가능한 경우, 제1 접속 요청에 대한 응답 메시지를 제1 클라이언트(111)의 제1 개인키에 기반하여 암호화할 수 있다. SSL 서버(121)는 상기 응답 메시지에 대한 암호문 데이터를 제1 클라이언트(111)로 전달할 수 있다.
이하에서는, 추가적인 도면과 함께 SSL 서버(121)와 SSL 클라이언트(125)가 클라이언트 및 서버 각각에 대한 개인키를 생성 및 저장하는 과정에 대한 상세한 설명이 기재된다.
도 2는 일 실시 예에 따른 SSL 서버가 클라이언트의 개인키를 저장하는 과정을 설명하는 흐름도이다. 도 2를 참조하면, 제1 클라이언트(210)와 SSL 서버(220)가 수행하는 제1 클라이언트(210)에 대한 개인키 발급 과정이 설명된다. 단계(S231)에서 제1 클라이언트(210)는 "Client Hello" 메시지를 포함하는 제1 접속 요청을 SSL 서버(220)로 전송할 수 있다. 제1 접속 요청에는 제1 클라이언트(210)에 대한 식별자, 제1 클라이언트(210)가 지원하는 암호화 방식 및 제1 클라이언트(210)가 생성한 랜덤 데이터가 포함될 수 있다.
단계(S232)에서 SSL 서버(220)는 "Server Hello" 메시지를 포함하는 제1 접속 요청에 대한 응답 메시지와 인증서를 제1 클라이언트(210)에게 전송할 수 있다. 상기 응답 메시지 내에는 SSL 서버(220)에서 생성된 랜덤 데이터가 포함될 수 있다.
단계(S233)에서 제1 클라이언트(210)는 SSL 서버(220)로부터 수신된 인증서를 검증할 수 있다. 구체적으로, 제1 클라이언트(210)는 수신된 인증서가 미리 약속된 브라우저에 등록된 인증서 리스트에 존재하는지를 검증할 수 있다. 상기 등록된 인증서 리스트 내에 수신된 인증서가 존재하는 경우, 제1 클라이언트(210)는 미리 약속된 브라우저로부터 수신되는 공개키를 통해 상기 인증서를 복호화할 수 있다. 상기 인증서의 복호화가 성공된 경우, 제1 클라이언트(210)는 서버로부터 수신된 인증서에 대한 검증을 완료할 수 있다.
단계(S234)에서 제1 클라이언트(210)는 SSL 서버(210)에서 생성된 랜덤 데이터 및 제1 클라이언트(210)가 생성한 랜덤 데이터를 조합하고, 조합된 데이터를 해쉬함수에 입력하는 방식으로 제1 개인키를 생성할 수 있다. 제1 클라이언트(210)는 생성된 제1 개인키를 SSL 서버(220)로 전송할 수 있다.
단계(S235)에서 SSL 서버(220)는 제1 클라이언트가 생성한 제1 개인키를 저장 및 관리할 수 있다. SSL 서버(220)는 저장된 제1 개인키를 이용하여 제1 클라이언트와의 데이터 통신 과정에서의 데이터를 복호화 및 암호화하며, 복호화된 평문 데이터를 메시지 교환부에 전달함으로써, 평문 데이터를 통한 스트링 패턴 분석이 가능하도록 메시지 교환부를 지원한다.
도 3은 일 실시 예에 따른 SSL 클라이언트가 서버의 개인키를 생성 및 저장하는 과정을 설명하는 흐름도이다. 도 3을 참조하면, SSL 클라이언트(310)와 제1 서버(320)가 수행하는 제1 서버(320)에 대한 개인키 발급 과정이 설명된다. 단계(S331)에서 SSL 클라이언트(310)는 제1 서버에 대응하는 제1 난수를 생성할 수 있다. SSL 클라이언트(310)는 각각의 서버에 대응하는 서로 다른 난수를 생성할 수 있다. 이를 테면, SSL 클라이언트(310)에 등록된 서버의 개수가 N(N은 자연수)라면, SSL 클라이언트(310)는 N 개의 난수를 생성하여 각각의 서버에 전달할 수 있다.
단계(S332)에서 SSL 클라이언트(310)는 생성된 제1 난수를 제1 서버(320)로 전달할 수 있다.
단계(S333)에서 SSL 클라이언트(310)는 미리 약속된 암호화 방식에 따라 제1 난수에 기반하여 제1 서버(320)에 대응하는 제2 개인키를 생성하고 저장할 수 있다. 마찬가지로, 단계(S334)에서 제1 서버(320)는 수신된 제1 난수에 기반하여 제2 개인키를 생성하고 저장할 수 있다. SSL 클라이언트(310)와 제1 서버(320)가 약속된 암호화 방식에 따라 개인키를 생성하는 과정에서 대한 예시는 이하의 도면을 통해서 추가적으로 설명된다.
도 4는 다른 일 실시 예에 따른 SSL 클라이언트가 각각의 서버에 대한 서버 고유 인덱스를 부여하는 과정을 설명하는 예시도이다. 도 4를 참조하면, SSL 클라이언트에 연결된 메모리 장치 내에서는 수도-랜덤 함수 집합 Funcpr에 포함되는 각각의 수도-랜덤 함수 fn의 서버 고유 인덱스가 룩 업 테이블(400) 형태로 저장될 수 있다.
예시적으로, SSL 클라이언트가 세 개의 서버(서버 u, 서버 t, 서버 v)와 연결된 경우가 존재할 수 있다. 또한, SSL 클라이언트가 데이터 통신 과정에서 암호화를 위해 이용하는 수도-랜덤 함수의 개수가 여섯 개 있는 경우에 대해 설명한다. 수도-랜덤 함수의 개수나 단말의 개수는 이해를 돕기 위한 예시적 설명일 뿐, 다른 실시 예를 제한하거나 한정하는 것으로 해석되어서는 안 될 것이다.
이 경우에, SSL 클라이언트는 서버 u에 대해 수도-랜덤 함수 집합 Funcpr={f1, f2, f3, f4, f5, f6}에 포함되는 여섯 개의 수도-랜덤 함수에 대한 서버 고유 인덱스를 6->1->2->3->4->5의 순서로 임의적으로 배분할 수 있다. 보다 구체적으로, 서버 u에 대한 서버 고유 인덱스는 k1 u=6, k2 u=1, k3 u=2, k4 u=3, k5 u=4, k6 u=5로 정의될 수 있다. 위와 같은 원리로, SSL 클라이언트는 서버 t에 대해 여섯 개의 수도-랜덤 함수에 대한 서버 고유 인덱스의 배열을 2->3->4->5->6->1로 배분할 수 있다. 이 경우에, 서버 t에 대한 서버 고유 인덱스는 k1 t=2, k2 t=3, k3 t=4, k4 t=5, k5 t=6, k6 t=1로 정의될 수 있다. 또한, SSL 클라이언트는 서버 v에 대해 여섯 개의 수도-랜덤 함수에 대한 서버 고유 인덱스의 배열을 3->4->5->6->1->2로 배분할 수 있다. 이 경우에, 서버 v에 대한 서버 고유 인덱스는 k1 v=3, k2 v=4, k3 v=5, k4 v=6, k5 v=1, k6 v=2로 정의될 수 있다.
SSL 클라이언트는 수도-랜덤 함수 집합 Funcpr에 포함되는 수도-랜덤 함수 fn(n는 1 이상 정수) 각각과 서버에 따라 정의되는 서버 고유 인덱스 ku를 일 대 일 매핑할 수 있다.
일 실시 예에 따르면, SSL 클라이언트는 서버 u의 식별 정보에 기반하여 기준 번호를 생성할 수 있다. 예시적으로, 식별 정보는 서버 u에 대응하는 고정 IP 정보일 수 있다. SSL 클라이언트는 식별 정보에 대한 미리 지정된 연산을 수행함으로써, 서버 고유 인덱스의 범위(예. 1 이상 6 히아의 정수) 내에 존재하는 기준 번호를 생성한다. SSL 클라이언트는 기준 번호에 해당하는 순번에 대해서 서버 고유 인덱스의 범위 내에 존재하는 가장 큰 인덱스를 부여할 수 있다. 예시적으로, 서버 u의 기준 번호가 1로 결정된 경우, SSL 클라이언트는 k1 u=6으로 결정할 수 있다. 또한, SSL 클라이언트는 가장 큰 인덱스에 대응하는 순번 6에 대해서는 서버 u의 기준 번호 1이 서버 고유 인덱스 k6 u=1로서 부여될 수 있다.
이어서, SSL 클라이언트는 기준 번호에 대응하는 서버 고유 인덱스를 제외하고, 나머지 서버 고유 인덱스들의 순번 (k2 u, k3 u, k4 u, k5 u, k6 u)과 해당하는 서버 고유 인덱스 (2, 3, 4, 5, 1)를 소정 횟수만큼 교환하는 방식으로 임의적인 서버 고유 인덱스 부여를 진행한다. 구체적으로, 첫 번째 교환의 경우에 (k2 u, k3 u)가 결정된 경우라면, 기준 번호에 대응하는 서버 고유 인덱스를 제외한 나머지 서버 고유 인덱스들의 순번 (k2 u, k3 u, k4 u, k5 u, k6 u)과 해당 순번 각각에 대응하는 서버 고유 인덱스는 (3, 2, 4, 5, 1)이 되고, 전체 서버 고유 인덱스는 (6, 3, 2, 4, 5, 1)이 된다. 위와 같은 방식으로 SSL 클라이언트는 미리 지정된 횟수만큼의 서버 고유 인덱스들의 순번과 해당하는 인덱스 번호를 교환하여 랜덤화를 진행한다.
본 실시 예에 따른 SSL 클라이언트는 수도-랜덤 함수 집합 내에서 특정한 수도-랜덤 함수를 선택하기 위한 인덱스를 각각의 서버마다 서로 다르게 설정할 수 있다. 서버 고유 인덱스를 랜덤화하는 과정에서 이용되는 기준 번호가 서버 각각의 식별 정보(예. IP 정보)로부터 계산되기에 각각의 서버에 상응하는 서버 고유 인덱스 배열의 임의성이 강화돨 수 있다. 위와 같은 방법에 따라, 데이터 통신 과정에서 네트워크 내에 존재하는 다른 서버에 의해 수도-랜덤 함수 집합이 노출되는 경우에도, 서로 다른 서버 고유 인덱스를 가지고 통신하는 나머지 서버들의 보안성을 보장하는 효과를 기대할 수 있다.
도 5는 다른 일 실시 예에 따른 SSL 클라이언트가 서버 고유 인덱스를 이용하여 서버에 대한 개인키를 생성하는 과정을 설명하는 흐름도이다. 도 5를 참조하면, SSL 클라이언트가 서버 고유 인덱스를 이용하여 서버에 대한 개인키를 생성하는 방법(500)은 수신된 제1 접속 요청의 미리 약속된 비트열을 이용하여 제1 서버 고유 인덱스를 계산하는 단계(S510), 제1 서버 고유 인덱스를 이용하여 제1 수도-랜덤 함수를 선택하는 단계(S520) 및 제1 수도-랜덤 함수에 서버의 식별 정보를 입력하여 개인키를 생성하는 단계(S530)를 포함할 수 있다.
단계(S510)에서 SSL 클라이언트는 클라이언트로부터 수신된 제1 서버에 대한 제1 접속 요청의 미리 약속된 비트열을 이용하여 제1 서버 고유 인덱스를 계산할 수 있다. 보다 구체적으로, SSL 클라이언트는 수학식 1에 기초하여 제1 서버 고유 인덱스 k1 u를 계산할 수 있다.
Figure 112021077275702-pat00002
상기 수학식 1에서, pi는 상기 제1 접속 요청에 포함되는 포함되는 미리 약속된 비트열 중 i 번째 비트를 나타내고, 상기 N는 수도-랜덤 함수 집합에 포함되는 수도-랜덤 함수의 개수를 나타낼 수 있다. n은 1 이상의 정수를 나타낸다. 구체적으로, SSL 클라이언트는 제1 접속 요청에 상응하는 HTTPS 데이터 패킷 내에서 약속된 비트열들의 비트 값의 합을 수도-랜덤 함수 집합에 포함되는 수도-랜덤 함수의 개수로 나눈 나머지를 이용하여 제1 서버 고유 인덱스 k1 u를 계산할 수 있다. 예외적으로, 나머지가 0 인 경우에는 SSL 클라이언트는 k1 u를 N으로 결정할 수 있다. 일 실시 예로서, SSL 클라이언트는 계산된 제1 서버 고유 인덱스를 제1 서버에 대한 제1 난수로서 제1 서버에 전달할 수 있다.
단계(S520)에서 SSL 클라이언트는 상기 수도-랜덤 함수 집합 Funcpr 내에서 상기 제1 서버 고유 인덱스 k1 u에 매핑된 제1 수도-랜덤 함수를 선택할 수 있다.
단계(S530)에서 SSL 클라이언트는 제1 수도-랜덤 함수에 서버의 식별 정보를 입력하여 개인키를 생성할 수 있다. 위와 같은 방식으로, SSL 클라이언트는 각각의 서버들이 동일한 암호화 방식을 따르는 경우에도, 서로 다른 난수(예. 서버 고유 인덱스)를 통해 다른 개인키를 생성하여 임의성을 높인 보안을 시스템에 제공할 수 있다.
이상에서 설명된 실시예들은 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어 구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시예들에서 설명된 장치, 방법 및 구성요소는, 예를 들어, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPGA(field programmable gate array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적 컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 애플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 콘트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.
소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로(collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상 장치(virtual equipment), 컴퓨터 저장 매체 또는 장치, 또는 전송되는 신호 파(signal wave)에 영구적으로, 또는 일시적으로 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨터 시스템 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.
실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 컴퓨터 판독 가능 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
이상과 같이 실시예들이 비록 한정된 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기를 기초로 다양한 기술적 수정 및 변형을 적용할 수 있다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.

Claims (5)

  1. 복수의 클라이언트와 복수의 서버 사이의 데이터 통신을 중계하는 프록시 서버에 있어서,
    제1 서버로의 제1 접속 요청을 전송하는 클라이언트의 제1 개인키를 저장하고, 상기 제1 개인키에 기반하여 복호화된 평문 데이터를 메시지 교환부로 전달하는 SSL(secure socket layer) 서버;
    각각의 서버에 대해 서로 다른 난수를 생성하여 전달하고, 상기 생성된 난수에 기반하여 상기 각각의 서버에 대응하는 개인키를 생성하여 저장하는 SSL 클라이언트; 및
    상기 SSL 서버 또는 상기 SSL 클라이언트로부터 수신되는 평문 데이터에 기반하여 매칭되는 보안 정책을 결정하고, 상기 결정된 보안 정책에 따라 평문 데이터의 전달 여부를 결정하는 메시지 교환부
    을 포함하고,
    상기 SSL 클라이언트는,
    상기 제1 개인키에 기반하여 복호화된 평문 데이터를 상기 메시지 교환부로부터 수신하고, 수신된 평문 데이터를 상기 제1 서버에 대응하는 제2 개인키를 이용하여 암호화하고, 상기 제1 접속 요청에 대한 암호문 데이터를 상기 제1 서버로 전달하는 프록시 서버.
  2. 제1항에 있어서,
    상기 SSL 클라이언트는,
    상기 제1 서버로부터 상기 제1 접속 요청에 상응하는 응답 메시지(response message)를 수신하고, 상기 응답 메시지를 상기 제2 개인키에 기반하여 복호화하고, 복호화된 평문 데이터를 상기 메시지 교환부로 전달하고,
    상기 SSL 서버는,
    상기 메시지 교환부로부터 결정된 보안 정책에 따라 상기 응답 메시지를 상기 클라이언트의 제1 개인키에 기반하여 암호화하고, 상기 응답 메시지에 대한 암호문 데이터를 상기 클라이언트로 전달하는 프록시 서버.
  3. 제2항에 있어서,
    상기 메시지 교환부는,
    상기 제1 접속 요청에 포함되는 클라이언트의 IP(internet protocol) 정보와 상기 제1 접속 요청의 소정 비트열에 대한 체크섬 연산의 결과에 기반하여, 상기 클라이언트에 적용되는 보안 정책을 결정하는 프록시 서버.
  4. 제1항에 있어서,
    상기 SSL 클라이언트는,
    서버 정보를 이용하여 수도-랜덤(Pseudo-random) 함수 집합에 포함되는 복수의 수도-랜덤 함수 각각에 대해 서버 고유 인덱스를 부여하고,
    상기 서버 고유 인덱스가 부여된 수도-랜덤 함수 집합 Funcpr을 상기 각각의 서버로 전송하고,
    상기 클라이언트로부터 수신된 제1 접속 요청 내의 미리 약속된 비트열에 기반하여 제1 서버 고유 인덱스를 계산하고,
    상기 계산된 제1 서버 고유 인덱스에 대응하는 제1 수도-랜덤 함수와 분배된 난수에 기반하여 상기 제1 서버에 대응하는 제2 개인키를 생성하는 프록시 서버.
  5. 제4항에 있어서,
    상기 SSL 클라이언트는,
    상기 수도-랜덤 함수 집합 Funcpr에 포함되는 수도-랜덤 함수 fn(n는 1 이상 정수) 각각과 서버에 따라 정의되는 서버 고유 인덱스 ku를 일 대 일 매핑하고,
    수학식 1에 기초하여 상기 제1 서버 고유 인덱스 k1 u를 계산하고, 상기 수학식 1은,
    k1 u=
    Figure 112021077275702-pat00003

    이고,
    상기 pi는 상기 제1 접속 요청에 포함되는 미리 약속된 비트열 중 i 번째 비트를 나타내고, 상기 N는 수도-랜덤 함수 집합에 포함되는 수도-랜덤 함수의 개수인 프록시 서버.
KR1020210087875A 2021-07-05 2021-07-05 보안성 향상을 위한 ssl 기반의 프록시 서버 KR102321934B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020210087875A KR102321934B1 (ko) 2021-07-05 2021-07-05 보안성 향상을 위한 ssl 기반의 프록시 서버

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210087875A KR102321934B1 (ko) 2021-07-05 2021-07-05 보안성 향상을 위한 ssl 기반의 프록시 서버

Publications (2)

Publication Number Publication Date
KR102321934B1 true KR102321934B1 (ko) 2021-11-04
KR102321934B9 KR102321934B9 (ko) 2022-01-17

Family

ID=78521621

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210087875A KR102321934B1 (ko) 2021-07-05 2021-07-05 보안성 향상을 위한 ssl 기반의 프록시 서버

Country Status (1)

Country Link
KR (1) KR102321934B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114389809A (zh) * 2022-02-18 2022-04-22 山西清网信息技术有限公司 一种加密https协议的信息化网络安全防护方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060062356A (ko) * 2004-12-03 2006-06-12 엘지노텔 주식회사 지지에스엔의 에스에스엘 프록시 처리 장치 및 그 방법
KR20180002832A (ko) * 2015-05-08 2018-01-08 사이트릭스 시스템스, 인크. 보안 소켓 계층 통신의 보안을 향상시키기 위한 시스템 및 방법
KR101859339B1 (ko) * 2017-11-24 2018-06-27 (주)소만사 Mtd 환경의 네트워크 중계장치 및 중계방법
KR102128244B1 (ko) 2018-05-11 2020-06-30 국민대학교산학협력단 Ssl/tls 기반의 네트워크 보안 장치 및 방법
KR102147917B1 (ko) 2019-01-18 2020-08-25 주식회사 윈스 Ssl/tls 서비스 패킷 분류 방법 및 장치

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060062356A (ko) * 2004-12-03 2006-06-12 엘지노텔 주식회사 지지에스엔의 에스에스엘 프록시 처리 장치 및 그 방법
KR20180002832A (ko) * 2015-05-08 2018-01-08 사이트릭스 시스템스, 인크. 보안 소켓 계층 통신의 보안을 향상시키기 위한 시스템 및 방법
KR101859339B1 (ko) * 2017-11-24 2018-06-27 (주)소만사 Mtd 환경의 네트워크 중계장치 및 중계방법
KR102128244B1 (ko) 2018-05-11 2020-06-30 국민대학교산학협력단 Ssl/tls 기반의 네트워크 보안 장치 및 방법
KR102147917B1 (ko) 2019-01-18 2020-08-25 주식회사 윈스 Ssl/tls 서비스 패킷 분류 방법 및 장치

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114389809A (zh) * 2022-02-18 2022-04-22 山西清网信息技术有限公司 一种加密https协议的信息化网络安全防护方法
CN114389809B (zh) * 2022-02-18 2024-05-03 山西清网信息技术有限公司 一种加密https协议的信息化网络安全防护方法

Also Published As

Publication number Publication date
KR102321934B9 (ko) 2022-01-17

Similar Documents

Publication Publication Date Title
US11757662B2 (en) Confidential authentication and provisioning
CN109088889B (zh) 一种ssl加解密方法、系统及计算机可读存储介质
US10652015B2 (en) Confidential communication management
JP7205031B2 (ja) 鍵管理のシステム及び方法
US9917829B1 (en) Method and apparatus for providing a conditional single sign on
CN110326267B (zh) 具有替代数字证书的网络安全系统、方法及存储介质
US7992193B2 (en) Method and apparatus to secure AAA protocol messages
US9021552B2 (en) User authentication for intermediate representational state transfer (REST) client via certificate authority
WO2017045552A1 (zh) 一种在ssl或tls通信中加载数字证书的方法和装置
JP2023501449A (ja) エフェメラル鍵を用いたトランスポート層セキュリティにおける前方秘匿性
US11153074B1 (en) Trust framework against systematic cryptographic
CA2662166A1 (en) Method and system for establishing real-time authenticated and secured communications channels in a public network
US10277406B1 (en) Authentication process for issuing sequence of short-lived digital certificates
Munivel et al. New authentication scheme to secure against the phishing attack in the mobile cloud computing
CN103716280B (zh) 数据传输方法、服务器及系统
WO2016112580A1 (zh) 业务处理方法及装置
Junghanns et al. Engineering of secure multi-cloud storage
KR102321934B1 (ko) 보안성 향상을 위한 ssl 기반의 프록시 서버
US20130283363A1 (en) Secure data transfer over an arbitrary public or private transport
US10764065B2 (en) Admissions control of a device
Zubair et al. A hybrid algorithm-based optimization protocol to ensure data security in the cloud
Jesudoss et al. Enhanced certificate-based authentication for distributed environment
KR20210059545A (ko) 인증서 투명성 시스템
Haque Web server vulnerability analysis in the context of transport layer security (tls)
Bolannavar Privacy-Preserving Public Auditing using TPA for Secure Cloud Storage

Legal Events

Date Code Title Description
GRNT Written decision to grant
G170 Publication of correction