KR20100071884A - VoIP보안 통신을 위한 이기종망 연동 방법 및 시스템 - Google Patents
VoIP보안 통신을 위한 이기종망 연동 방법 및 시스템 Download PDFInfo
- Publication number
- KR20100071884A KR20100071884A KR1020090033721A KR20090033721A KR20100071884A KR 20100071884 A KR20100071884 A KR 20100071884A KR 1020090033721 A KR1020090033721 A KR 1020090033721A KR 20090033721 A KR20090033721 A KR 20090033721A KR 20100071884 A KR20100071884 A KR 20100071884A
- Authority
- KR
- South Korea
- Prior art keywords
- voip
- communication
- relay device
- terminal
- secure communication
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
본 발명은 VoIP 보안 통신을 위한 이기종망 연동 방법 및 시스템에 관한 것으로서, 더욱 상세하게는 다양한 이기종망간에도 VoIP 보안 통신을 제공하기 위한 VoIP 보안 통신을 위한 이기종망 연동 방법 및 시스템에 관한 것이다.
본 발명의 실시예에 따른 VoIP 보안 통신을 위한 이기종망 연동 시스템은, 송신 단말과 접속되며, 상기 송신 단말의 VoIP 보안 통신 지원 여부에 따라 선택적으로 보안 통신 협상을 수행하는 제 1중계 장치, 및 상기 송신 단말과 VoIP 통신을 수행하는 수신 단말과 접속되며, 상기 수신 단말의 상기 VoIP 보안 통신 지원 여부에 따라 선택적으로 보안 협상을 수행하는 제 2중계 장치를 포함한다.
VoIP, 이기종망, 보안 통신, 보안 협상
Description
본 발명은 VoIP 보안 통신을 위한 이기종망 연동 방법 및 시스템에 관한 것으로서, 더욱 상세하게는 다양한 이기종망간에도 VoIP 보안 통신을 제공하기 위한 VoIP 보안 통신을 위한 이기종망 연동 방법 및 시스템에 관한 것이다.
VoIP(Voice over Internet Protocol) 통신 서비스는 기존 인터넷 망을 이용하여 음성 통화 서비스를 제공하는 기술을 말하며 저렴한 통화료와 IP 망 기반의 다양한 부가서비스가 적용 가능하여 현재 크게 각광받고 있는 기술이다. 이러한 장점으로 인해 향후 대부분의 유선 전화를 대체할 수 있기 때문에 인터넷 사업자 및 방송/통신 서비스 사업자들이 큰 관심을 보이고 있다.
VoIP 통화는 호 제어신호와 음성 미디어 패킷을 통하여 통화를 수행하는데, 호 제어신호는 통화의 개시, 종료, 통화정보전송 등에 사용되고 음성 미디어 패킷은 실제 음성신호를 전달한다. 현재, 다양한 호 제어신호 표준이 제시되고 있으나 확장성과 활용의 용이성에 대한 장점으로 SIP(Session Initiation Protocol) 프로토콜이 가장 선호되고 있다.
그러나, VoIP 통신 서비스는 기존 IP망 기반의 위협과 함께 SIP 프로토콜 사용으로 인한 신규 위협을 가지고 있다. 현재 알려진 VoIP 서비스 위협은 도청(Eavesdropping), 서비스 거부 공격(Denial of Service), 서비스 오용 공격(Service Misuse), 세션가로체기(Session Hijacking), VoIP 스팸 등이 있는데, 특히, 도청공격은 누구나 접근할 수 있는 IP망을 이용하는 VoIP 통신 서비스의 특성상 가장 주요한 위협으로 부상되고 있으며, 공공기관, 군사시설 등 주요 정보를 다루는 기관에 적용되기 위해 가장 시급히 해결되어야 할 문제로 보고 있다.
도청으로부터 통화 및 개인정보를 보호하기 위한 보안통신에 대한 연구는 표준 등을 통해 활발하게 진행되고 있다. 그러나 다양한 이기종망과 연동시 하위 호환성(Backward Compatability) 및 연동에 대한 연구는 현재 미흡한 실정이다.
따라서, 단말이 이기종망 단말이거나 비보안 VoIP 단말인 경우에도 VoIP 보안 통신을 수행할 수 있는 방안이 요구되고 있다.
본 발명이 이루고자 하는 기술적 과제는, VoIP 통신 서비스에서 적용되고 있는 보안통신을 위한 기술을 분석하고, 이를 이기종망에 연동하기 위한 VoIP 보안 통신을 위한 이기종망 연동 방법 및 시스템을 제공하는 것이다.
본 발명의 목적은 이상에서 언급한 목적으로 제한되지 않으며, 언급되지 않은 또 다른 목적들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
상술한 목적을 달성하기 위한 본 발명의 실시예에 따른 VoIP 보안 통신을 위한 이기종망 연동 방법은, 송신 단말 및 수신 단말간에 송수신되는 보안 협상을 위한 메시지를 통해 VoIP 보안 통신이 지원되는 통신 구간을 판단하는 단계, 상기 판단된 통신 구간에 대하여 보안 협상을 수행하는 단계, 및 상기 보안 협상에 따라 보안 통신을 수행하는 단계를 포함한다.
상술한 목적을 달성하기 위한 본 발명의 실시예에 따른 VoIP 보안 통신을 위한 이기종망 연동 시스템은, 송신 단말과 접속되며, 상기 송신 단말의 VoIP 보안 통신 지원 여부에 따라 선택적으로 보안 통신 협상을 수행하는 제 1중계 장치, 및 상기 송신 단말과 VoIP 통신을 수행하는 수신 단말과 접속되며, 상기 수신 단말의 상기 VoIP 보안 통신 지원 여부에 따라 선택적으로 보안 협상을 수행하는 제 2중계 장치를 포함한다.
기타 실시예들의 구체적인 사항들은 상세한 설명 및 도면들에 포함되어 있다.
후술하게 될 본 발명의 실시예에 따르면, PSTN, 핸드폰망 등의 이기종망은 각각 고유의 보안통신 방법을 가지고 있으므로, 이기종 망과 연동시 상대적으로 취약한 VoIP 통신망을 암복호를 위한 중계 장치를 이용하여 보호할 수 있는 효과가 있다.
또한, 본 발명의 실시예에 따르면, PSTN, 핸드폰 망등 다양한 이기종망 연동시 VoIP서비스를 보호할 수 있다.
본 발명의 효과들은 이상에서 언급한 효과들로 제한되지 않으며, 언급되지 않은 또 다른 효과들은 청구범위의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.
이하, 본 발명의 실시예들에 의하여 VoIP 보안 통신을 위한 이기종망 연동 방법 및 시스템을 설명하기 위한 블록도 또는 처리 흐름도에 대한 도면들을 참고하여 본 발명에 대해 설명하도록 한다. 이 때, 처리 흐름도 도면들의 각 블록과 흐름도 도면들의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수 있음을 이해할 수 있을 것이다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 흐름도 블록(들)에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 흐름도 블록(들)에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 흐름도 블록(들)에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.
또한, 각 블록은 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실행예들에서는 블록들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.
도 1은 본 발명의 실시예에 따른 VoIP 보안 통신을 위한 이기종망 연동 시스템이 도시된 블록도이다.
도시된 바와 같이, 본 발명의 실시예에 따른 VoIP 보안 통신을 위한 이기종망 연동 시스템(200)은, 제 1단말(110)과 접속되는 제 1중계 장치(210) 및 제 2단말(120)과 접속되는 제 2중계 장치(220)를 포함할 수 있으며, 제 1중계 장치(210) 및 제 2중계 장치(220)는 VoIP 통신망에 포함될 수 있다.
이하, 본 발명의 실시예에서는 제 1단말(110)이 송신 단말이고, 제 2단말(120)이 수신 단말인 경우를 예를 들어 설명하기로 하며, 그 반대의 경우도 가능하다. 또한, 제 1단말(110) 및 제 2단말(120)이 각각 송신 단말 및 수신 단말인 경우, 제 1단말(110)과 제 1중계 장치(210) 사이의 통신 구간을 "송신 구간", 제 1중계 장치(210)와 제 2중계 장치(220) 사이의 통신 구간을 "중계 구간", 제 2중계 장치(220)와 제 2단말(120) 사이의 통신 구간을 "수신 구간"이라 칭하기로 하며, 중계 구간은 IP망을 이용한 VoIP 통신이 가능한 경우를 예를 들어 설명하기로 한다. 그리고, 본 발명의 실시예에서 "이기종망"이란, VoIP 망과 연동되는 이동 통신망, PSTN망 및 보안 통신을 지원하지 않는 VoIP망 등을 의미하는 경우를 예를 들어 설 명하기로 한다.
제 1중계 장치(210)는 제 1단말(110)과 접속되며, 제 1단말(110)의 VoIP 보안 통신 지원 여부에 따라 선택적으로 보안 통신 협상을 수행할 수 있다. 예를 들어, 제 1단말(110)이 VoIP 비보안 단말이거나 이기종망(예를 들어, PSTN)인 경우에는 VoIP 보안 통신을 지원하지 않게 된다. 이때, 제 1중계 장치(210)는 제 1단말(110)로부터의 메시지를 단순히 다음 홉으로 포워딩하는 것이 아니라 상대 단말과의 보안 통신 협상을 수행할 수 있게 된다. 다시 말해서, 제 1중계 장치(210)는 단순히 메시지를 다음 홉으로 포워딩하는 프록시 서버의 역할이 아닌 보안 통신 협상을 위하여 능동적으로 보안 통신 협상을 위한 메시지를 발생시키고 미디어 트래픽을 암복호화할 수 있는 것이다.
제 2중계 장치(220)는 제 2단말(120)과 접속되며, 제 2단말(120)의 VoIP 보안 통신 지원 여부에 따라 선택적으로 보안 통신 협상을 수행할 수 있다. 예를 들어, 제 2단말(120)이 VoIP 비보안 단말이거나 이기종망(예를 들어, PSTN)인 경우에는 VoIP 보안 통신을 지원하지 않게 된다. 이때, 제 2중계 장치(220)는 메시지를 단순히 다음 홉으로 포워딩하는 것이 아니라 상대 단말과의 보안 통신 협상을 수행할 수 있게 된다. 다시 말해서, 제 2중계 장치(220)는 단순히 메시지를 다음 홉으로 포워딩하는 프록시 서버의 역할이 아닌 보안 통신 협상을 위하여 능동적으로 보안 통신 협상을 위한 메시지를 발생시키고 미디어 트래픽을 암복호화할 수 있는 것이다.
이와 같은 제 1중계 장치(210) 및 제 2중계 장치(220)는 제 1단말(110) 및 제 2단말(120) 간에 VoIP 보안 통신을 위해 주고 받는 메시지를 통해 보안 통신 구간(예를 들어, 송신 구간, 중계 구간 및 수신 구간 등)을 판단하고, 판단된 보안 통신 구간에 따라 선택적으로 보안 통신 협상을 수행할 수 있게 된다.
즉, 핸드폰망과 PSTN망과 같은 이기종망의 경우, 현재 SIP 프로토콜 및 이에 따른 보안 통신을 사용하지 않고, 각기 고유의 통신 프로토콜 및 보안 기술을 적용하고 있기 때문에 VoIP 보안 통신과 연동이 어렵다. 이러한 환경에서 상대적으로 보안이 취약한 VoIP 통신 보호를 위해서는 핸드폰, PSTN망과 연동 기능을 제공하는 SSW, SGW/MGW에서 보안 통신 연동을 제공해야 하는데, 제 1중계 장치(210) 및 제 2중계 장치(220)에서 이러한 기능을 제공하는 것이다.
이때, VoIP 보안 통신은 호 제어신호와 음성 미디어 패킷을 통해 통화를 수행하는 VoIP 통신 서비스의 특성상 호 제어신호에 대한 보안 기술과 음성 미디어 패킷에 대한 보안 기술이 필요로 하게 된다.
호 제어 메시지에 대한 보안 기술은 IPSec(IP Security), TLS(Transport Layer Security), S/MIME(Secure Multi-Purpose Internet Mail Extensions) 및 DTLS(Datagram TLS) 등이 포함될 수 있으며, 계층별로 적용되는 보안 기술은 도 2와 같이, 계층별 특징에 따라 다양한 보안 기술이 있으며, 서비스의 특징에 따라 중복 적용될 수도 있다.
IPSec은 IP 패킷에 대한 다양한 보안 서비스를 제공하는 보안 프로토콜로서, TCP/UDP와 무관하게 IP 계층에서 동작한다. 특히, SIP VPN 시나리오 및 관리적 측면에서 IPSec은 유용할 수 있으나 IPSec과 키관리 프로토콜은 구현하기가 비교적 어렵고 지나치게 무거우며 패킷의 오버헤드를 크게 발생시킨다는 단점이 있다.
TLS는 SSL(Secure Session Layer)을 IETF(Internet Engineering Task Force)에서 표준화 한 기술로서, TCP상에서 응용프로토콜에 대한 암호화와 무결성을 제공하는 서버와 클라이언트 모델의 보안프로토콜이다. IETF에서는 SIP 시그널 보호를 위해 TLS 권고하고 있다.
S/MIME은 주로 전자우편등에 사용되는 응용계층 보안 프로토콜이다. MIME이라 불리는 IETF표준은 전자 메시지가 어떻게 구성될지를 설명하고 있는데 S/MIME을 통해 암호화 정보와 디지털 인증서가 구성되는지 표현하고 있다. 표준에서는 S/MIME은 UDP단편화 문제 때문에 TCP에서 S/MIME사용을 권장하고 있다.
TLS 보안기법은 TCP 프로토콜에서 동작하므로 UDP를 사용이 필요할때 보안적용이 어려운 점이 있다. DTLS는 UDP 프로토콜상에서 보안을 제공하는 프로토콜로서 기본적인 동작은 TLS와 거의 동일하다. 특히 미디어 보안에도 적용될 수 있으며 현재 기존 미디어 보안과 병행할 수 있는 시나리오가 활발하게 논의되고 있다.
음성 미디어 패킷에 대한 보안 기술로는 SRTP(Secure RTP)가 포함될 수 있으며, SRTP는 RTP, RTCP를 위한 암호, 인증 기능을 제공하는 IETF 표준 프로토콜이며, VoIP 통신 서비스에서는 음성 미디어 패킷 보호를 위해 사용된다. SRTP는 별도의 키 관리 방법이 다루어지지 않기 때문에 키 관리 기술에 대해서는 MIKEY(Multimedia Internet KEYing) 등이 논의되고 있다.
본 발명의 실시예에서 제 1단말(110) 및 제 2단말(120)이 보안 통신을 지원하지 않는다는 것은 전술한 바와 같은 호 제어신호 및 음성 미디어 패킷에 대한 보 안 기술을 지원하지 않거나 제 1단말(110) 및 제 2단말(120)이 이기종망에 접속되는 경우로 이해될 수 있다.
이때, 본 발명의 실시예에서 VoIP망과 이기종망간의 연동시 보안 통신 구간은 OPTIONS 메시지를 이용하여 판단하게 되며, 그 과정을 살펴보면 다음과 같다.
현재 홉에서는 현재 서버 또는 단말이 보안 통신 능력을 담은 OPTIONS 메시지를 다음 홉으로 전송하게 되고, 다음 홉으로부터 전송된 OPTIONS 메시지에 대한 응답 메시지를 수신하게 되며, 수신된 응답 메시지에 따라 보안 통신 협상을 수행하여 그 결과에 따른 보안 통신 방법으로 보안 통신을 수행하게 된다.
다음 홉으로부터 수신되는 응답 메시지는 보안 통신을 지원한다는 494 메시지와 494 메시지 이외의 메시지를 포함할 수 있으며, 494 메시지 이외의 메시지를 표준에서는 488 메시지라 정의하고 있으나, 상용 서비스에서는 200OK 또는 기타 에러 메시지를 포함할 수 있다.
또한, 보안 협상을 위하여 OPTIONS 메시지에 Security-Client 필드, Security-Server 필드 및 Security-Verify 필드와 같은 3가지 필드를 추가적으로 정의하고 있다.
Security-Client 필드는 Request시 추가되는 필드로 Client의 보안 능력을 보여주고, Security-Server 필드는 494 응답시 추가되는 필드로 server의 보안능력을 보여주며, Security-Verify 필드는 Request시 추가되는 필드로client/server의 보안능력 검증을 위한 필드로 이해될 수 있다. 이때, Security-Client 필드는 송신 단말에 해당하는 필드, Security-Server 필드는 수신 단말에 해당하는 필드라 이해 될 수 있다.
도 3 내지 5는 본 발명의 실시예에 따른 보안 통신 협상 수행시 송수신되는 메시지가 도시된 개략도이다.
현재 홉에서 다음 홉으로 전송되는 OPTIONS 메시지는 도 3과 같이, 현재 홉에서 지원하는 보안 통신 방법들이 Security-Client 필드를 사용하여 정의되어 있으며, 다음 홉으로부터 수신되는 응답 메시지는 도 4와 같이, Security-Server 필드를 사용하여 지원하는 보안 통신 방법 및 선호하는 보안 통신 방법이 정의되어 있으며, 선호하는 보안 통신 방법은 우선 순위를 나타내는 q값으로 결정될 수 있다.
현재 홉에서는 다음 홉으로부터 응답 메시지를 수신하게 되면, 도 5와 같은 검증 메시지를 전송하고, 그 응답 메시지를 수신함으로써 보안 통신 방법을 확인하게 된다.
제 1중계 장치(210) 및 제 2중계 장치(220)는 전술한 바와 같은 송수신하는 메시지를 통해서 보안 통신 구간을 판단할 수 있는 것이다.
예를 들어, 제 1중계 장치(210)는 제 1단말(110)로부터 OPTIONS 메시지가 아닌 일반 통화 요청(INVITE) 메시지가 수신되는 경우 제 1단말(110)이 비보안 VoIP 단말이거나 이기종망인 것으로 판단하여 능동적으로 보안 협상을 위한 OPTIONS 메시지를 생성하여 다음 홉으로 전송하게 되고, 제 2중계 장치(220)는 제 2단말(120)로 전송된 OPTIONS 메시지에 대한 응답 메시지로 494 메시지 이외의 메시지가 수신되는 경우 제 2단말(120)이 비보안 VoIP 단말이거나 이기종망인 것으로 판단할 수 있는 것이다.
따라서, 제 1중계 장치(210) 및 제 2중계 장치(220)는 전술한 메시지들을 통해 송신 구간, 중계 구간 및 수신 구간 중 보안 통신이 가능한 구간을 판단할 수 있는 것이다. 물론, 본 발명의 실시예에서는 제 1단말(110)이 송신 단말이고, 제 2단말(120)이 수신 단말이기 때문에 제 1중계 장치(210)가 능동적으로 OPTIONS 메시지를 생성하여 다음 홉으로 전송하고, 제 2중계 장치(220)가 능동적으로 OPTIONS 메시지에 대한 응답 메시지를 생성하여 전송하는 경우를 예를 들어 설명하고 있으나, 제 1단말(110) 및 제 2단말(120)의 역할이 바뀐 경우, 즉 제 2단말(120)이 송신 단말이고, 제 1단말(110)이 수신 단말인 경우에는 제 1중계 장치(210) 및 제 2중계 장치(220)의 역할도 바뀔 수 있다.
이하, 도 6 내지 도 9에서는 제 1중계 장치(210) 및 제 2중계 장치(220)에서 의해 판단된 보안 통신 구간별로 보안 통신을 수행하는 방법을 상세하게 살펴보기로 한다. 또한, 도 6 내지 도 9에서 호 제어신호 보안 기술로는 TLS, 음성 미디어 패킷 보안 기술로는 SRTP를 사용하는 경우를 예를 들어 설명하기로 한다.
도 6은 본 발명의 실시예에 따른 종단간 VoIP 보안 통신 과정이 도시된 흐름도이다. 이때, 도 6은 송신 구간, 중계 구간 및 수신 구간이 모두 보안 통신이 가능한 경우로 이해될 수 있으며, 실제로 보안 통신을 지원하는 VoIP 단말과 VoIP 단말간의 통신에 해당한다.
도시된 바와 같이, 송신 구간, 중계 구간 및 수신 구간에서는 모두 OPTIONS 메시지에 따른 494 메시지를 응답으로 수신하였고, 호 제어신호 보안 기술로는 TLS, 음성 미디어 패킷 보안 기술로는 SRTP, 키 교환으로는 MIKEY가 사용된 것을 알 수 있다. 물론, 도 6에서 사용된 보안 기술 및 키 교환은 본 발명의 이해를 돕기 위한 일 예에 불과한 것으로, 다양한 보안 기술 및 키 교환 기술이 사용될 수 있음은 자명하다 할 수 있다.
도 6에서는 제 1단말(110) 및 제 2단말(120)이 VoIP 보안 통신을 지원하기 때문에 제 1중계 장치(210) 및 제 2중계 장치(220)는 메시지를 포워딩하는 프록시 서버의 역할을 수행할 수 있으며, 프록시 서버로 대체될 수도 있다.
도 7은 본 발명의 실시예에 따라 수신 단말이 보안 통신 기술을 지원하지 않는 경우의 보안 통신 과정이 도시된 흐름도이다. 이때, 도 7은 제 2단말(121)이 비보안 VoIP 단말이거나 이기종망(예를 들어, PSTN망)인 경우로 이해될 수 있으며, 도 7에서는 PSTN망인 경우를 예를 들어 설명하기로 한다.
도시된 바와 같이, 제 2단말(121)은 VoIP 보안 통신을 지원하지 않기 때문에 제 2단말(121)의 이전 홉, 즉 제 2중계 장치(120)에서는 제 2단말(121)로 전송된 OPTIONS 메시지에 대한 응답으로 494 메시지가 아닌 488 메시지나 200OK 또는 기타 에러 응답을 수신하게 된다. 또한, 제 1중계 장치(210) 및 제 2중계 장치(220)는 프록시 서버(230)을 통해 연결될 수 있다.
이와 같이, 제 2단말(121)로부터 494 메시지 이외의 메시지를 수신하는 경우, 보안 통신 구간은 제 2중계 장치(120)까지인 것으로 판단하게 되고, 제 1단말(111)과 제 2 중계 장치(120) 사이, 즉 송신 구간 및 중계 구간에서 보안 통신을 수행할 수 있게 된다. 또한, 도 7에서 빗금친 부분인 수신 구간은 PSTN 통신망에 해당하는 경우의 일 예이며, 제 2중계 장치(220)는 494 메시지 이외의 메시인 200OK 또는 488 메시지를 응답받게 되며, 보안 통신 구간은 제 2중계 장치(220)까지로 판단되어 제 2중계 장치(220)에서 복호화하여 전송하거나 복호화 후 프로토콜을 변환하는 통화 연동을 수행할 수 있다.
도 8은 본 발명의 실시예에 따라 송신 단말이 보안 통신 기술을 지원하지 않는 경우의 보안 통신 과정이 도시된 흐름도이다. 이때, 도 8은 제 1단말(111)이 비보안 VoIP 단말이거나 이기종망(예를 들어, PSTN망)인 경우로 이해될 수 있다. 또한, 도 8은 송신 단말, 즉 제 1단말(111)이 일반 통화 요청(INVITE)라도 중계 구간 및 수신 구간에서 보안 통신을 지원한다면 보안 통신을 수행하는 경우로 이해될 수 있다. 이때, 제 1중계 장치(110)는 일반 통화 요청 메시지를 단순히 다음 홉으로 포워딩하는 프록시 서버의 역할을 수행하는 것이 아니라 능동적으로 보안 통신 구간 확인을 위한 OPTIONS 메시지를 생성하고, 미디어 트래픽을 암복호할 수 있다.
보안 통신 연동 기능을 제공하기 위해서는 보안 통신 협상을 위한 OPTIONS 메시지를 처리/생성/파싱하는 능력과 보안 통신 구간에 따라 미디어 패킷을 암/복호화하는 기능이 필요하게 된다. 즉, SIP 프로토콜에서는 미디어 패킷은 프록시 서버를 경유하지 않기 때문에 이기종망간 연동을 위해서는 연동될 망 사이에 게이트웨이 또는 SBC(Session Border Controller) 등이 위치하여 보안 통신 협상 및 암복호화를 수행하는데, 본 발명의 실시예에서는 제 1중계 장치(210)가 이러한 기능을 수행하게 된다.
도시된 바와 같이, 제 1중계 장치(110)는 제 1단말(111)로부터 OPTIONS 메시 지가 아닌 일반적인 통화 요청 메시지인 INVITE 메시지가 전송되는 경우, INVITE 메시지를 단순히 전달하는 것이 아니라 능동적으로 보안 통신 구간을 확인하기 위한 OPTIONS 메시지를 발생할 수 있게 된다. 또한, 제 1중계 장치(210) 및 제 2중계 장치(220)는 프록시 서버(230)를 통해 연결될 수 있다.
도 9는 본 발명의 실시예에 따라 송신 단말과 수신 단말이 보안 통신을 지원하지 않는 경우의 보안 통신 과정이 도시된 흐름도이다. 이때, 도 9에서는 제 1단말(111) 및 제 2단말(121)이 모두 비보안 VoIP 단말이거나 이기종망(예를 들어, PSTN망)인 경우로 이해될 수 있으며, 대부분의 국제 전화에서 사용하는 방식의 일 예이다. 또한, 도 9은 송신 단말 및 수신 단말, 즉 제 1단말(111) 및 제 2단말(121)이 일반 통화만 가능한 경우에도 중계 구간에서 보안 통신을 지원한다면 보안 통신을 수행하는 경우로 이해될 수 있다.
도시된 바와 같이, 제 1중계 장치(110)는 제 1단말(111)로부터 OPTIONS 메시지가 아닌 일반 통화 요청 메시지인 INVITE 메시지가 전송되면, 능동적으로 보안 통신 구간을 확인하기 위한 OPTIONS 메시지를 발생하게 된다.
이때, 제 2중계 장치(120)는 제 2단말(121)로부터 OPTIONS 메시지에 대한 응답으로 494 메시지 이외의 메시지를 수신하게 되면, 보안 통신 구간은 중계 구간인 것으로 판단하게 되고, 제 1중계 장치(110) 및 제 2중계 장치(120) 간에 보안 통신을 수행할 수 있게 된다. 또한, 제 1중계 장치(210) 및 제 2중계 장치(220)는 프록시 서버(230)를 통해 연결될 수 있다.
위의 4가지 보안 통신 방법에 대하여 보안통신 연동을 검증하기 위하여 TLS, S/MIME 시그널 암호화 방법과 SRTP 미디어 보안 방법, 그리고 키교환으로 MIKEY를 구현하여 실험 하였고 보안통신을 지원하지 않는 실제 상용망과 보안통신을 지원하는 테스트망에 적용하여 보안통신연동이 잘 이루어짐을 확인하였다. 특히 보안통신 연동 시스템을 구현하여 적용함으로서 보안을 지원하지 않는 상용시스템과도 보안통신이 연동됨을 확인하였다.
이상 첨부된 도면을 참조하여 본 발명의 실시예를 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다.
도 1은 본 발명의 실시예에 따른 VoIP 보안 통신을 위한 이기종망 연동 시스템이 도시된 블록도이다.
도 2는 본 발명의 실시예에 따른 계층별 적용 보안 기술이 도시된 블록도이다.
도 3 내지 도 5는 본 발명의 실시예에 따른 보안 통신 협상을 위한 메시지의 필드가 도시된 개략도이다.
도 6은 본 발명의 실시예에 따른 종단간 VoIP 보안 통신 과정이 도시된 흐름도이다.
도 7은 본 발명의 실시예에 따른 수신 단말이 VoIP 보안 통신을 지원하지 않는 경우의 보안 통신 과정이 도시된 흐름도이다.
도 8은 본 발명의 실시예에 따른 송신 단말이 VoIP 보안 통신을 지원하지 않는 경우의 보안 통신 과정이 도시된 흐름도이다.
도 9는 본 발명의 실시예에 따른 송신 단말 및 수신 단말이 VoIP 보안 통신을 지원하지 않는 경우의 보안 통신 과정이 도시된 흐름도이다.
<도면의 주요 부분에 대한 설명>
110: 제 1단말 120: 제 2단말
210: 제 1중계 장치 220: 제 2중계 장치
Claims (14)
- 송신 단말 및 수신 단말간에 송수신되는 보안 협상을 위한 메시지를 통해 VoIP 보안 통신이 지원되는 통신 구간을 판단하는 단계;상기 판단된 통신 구간에 대하여 보안 협상을 수행하는 단계; 및상기 보안 협상에 따라 보안 통신을 수행하는 단계를 포함하는 VoIP 보안 통신을 위한 이기종망 연동 방법.
- 제 1 항에 있어서,상기 통신 구간은, 상기 송신 단말과 VoIP 통신망 사이의 구간인 송신 구간, 상기 수신 단말과 상기 VoIP 통신망 사이의 구간인 수신 구간 및 상기 송신 구간과 상기 수신 구간 사이의 중계 구간으로 나뉘어지는 VoIP 보안 통신을 위한 이기종망 연동 방법.
- 제 2 항에 있어서,상기 VoIP 통신망은 상기 송신 단말 및 상기 수신 단말과 각각 연결되는 중계 장치를 포함하는 VoIP 보안 통신을 위한 이기종망 연동 방법.
- 제 3 항에 있어서,상기 송신 단말 및 상기 수신 단말에 각각 연결되는 중계 장치가 상기 송신 단말 및 상기 수신 단말이 상기 VoIP 보안 통신을 지원하는 경우, 상기 보안 협상을 위한 메시지를 다음 홉으로 포워딩하는 단계를 더 포함하는 VoIP 보안 통신을 위한 이기종망 연동 방법.
- 제 3 항에 있어서,상기 통신 구간을 판단하는 단계는, 상기 송신 단말과 상기 VoIP 통신망 사이에 연결되는 중계 장치가 상기 송신 단말로부터 송신되는 메시지를 통해 상기 송신 구간에서의 VoIP 보안 통신 지원 여부를 판단하는 단계를 포함하는 VoIP 보안 통신을 위한 이기종망 연동 방법.
- 제 3 항에 있어서,상기 보안 협상을 수행하는 단계는, 상기 송신 단말과 상기 VoIP 통신망 사이에 연결된 중계 장치가 상기 송신 단말로부터 일반 통화 요청을 위한 메시지가 수신되는 경우, 상기 보안 협상을 위한 메시지를 능동적으로 생성하여 송신하는 단계를 포함하는 VoIP 보안 통신을 위한 이기종망 연동 방법.
- 제 3 항에 있어서,상기 통신 구간을 판단하는 단계는, 상기 수신 단말과 상기 VoIP 통신망 사이에 연결되는 중계 장치가 상기 수신 단말로부터 송신되는 메시지를 통해 상기 수신 구간에서의 VoIP 보안 통신 지원 여부를 판단하는 단계를 포함하는 VoIP 보안 통신을 위한 이기종망 연동 방법.
- 제 7 항에 있어서,상기 보안 협상을 수행하는 단계는, 상기 수신 단말과 상기 VoIP 통신망 사이에 연결된 중계 장치가 상기 수신 단말로부터 상기 VoIP 보안 협상을 위한 메시지가 수신되지 않는 경우, 상기 보안 협상을 위한 응답 메시지를 능동적으로 생성하여 송신하는 단계를 포함하는 VoIP 보안 통신을 위한 이기종망 연동 방법.
- 송신 단말과 접속되며, 상기 송신 단말의 VoIP 보안 통신 지원 여부에 따라 선택적으로 보안 통신 협상을 수행하는 제 1중계 장치; 및상기 송신 단말과 VoIP 통신을 수행하는 수신 단말과 접속되며, 상기 수신 단말의 상기 VoIP 보안 통신 지원 여부에 따라 선택적으로 보안 협상을 수행하는 제 2중계 장치를 포함하는 VoIP 보안 통신을 위한 이기종망 연동 시스템.
- 제 9 항에 있어서,상기 송신 단말 및 상기 수신 단말이 상기 VoIP 보안 통신을 지원하는 경우, 상기 제 1중계 장치 및 상기 제 2중계 장치는 각 단말에서 송신되는 메시지를 다음 홉으로 포워딩하는 VoIP 보안 통신을 위한 이기종망 연동 시스템.
- 제 9 항에 있어서,상기 제 1중계 장치 및 상기 제 2중계 장치는, 상기 송신 단말 및 상기 수신 단말 사이에 송수신되는 보안 협상을 위한 메시지를 통해 상기 VoIP 보안 통신이 가능한 통신 구간을 판단하는 VoIP 보안 통신을 위한 이기종망 연동 시스템.
- 제 11 항에 있어서,상기 제 1중계 장치 및 상기 제 2중계 장치는 VoIP 통신망에 포함되며,상기 통신 구간은, 상기 송신 단말과 상기 제 1중계 장치 사이의 송신 구간, 상기 제 1중계 장치와 상기 제 2중계 장치 사이의 중계 구간 및 상기 제 2중계 장치와 상기 수신 단말 사이의 수신 구간을 포함하는 VoIP 보안 통신을 위한 이기종망 연동 시스템.
- 제 12 항에 있어서,상기 제 1중계 장치는, 상기 송신 단말로부터 일반 통화 요청 메시지가 수신되는 경우 상기 송신 구간에서 상기 VoIP 보안 통신이 불가능한 것으로 판단하고, 상기 보안 협상을 위한 메시지를 능동적으로 생성하여 다음 홉으로 송신하는 VoIP 보안 통신을 위한 이기종망 연동 시스템.
- 제 12 항에 있어서,상기 제 2중계 장치는, 상기 수신 단말로부터 상기 보안 협상을 위한 응답 메시지가 수신되지 않는 경우 상기 수신 구간에서 상기 VoIP 보안 통신이 불가능한 것으로 판단하고, 상기 보안 협상을 위한 응답 메시지를 능동적으로 생성하여 다음 홉으로 송신하는 VoIP 보안 통신을 위한 이기종망 연동 시스템.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR20080130307 | 2008-12-19 | ||
KR1020080130307 | 2008-12-19 |
Publications (1)
Publication Number | Publication Date |
---|---|
KR20100071884A true KR20100071884A (ko) | 2010-06-29 |
Family
ID=42369295
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020090033721A KR20100071884A (ko) | 2008-12-19 | 2009-04-17 | VoIP보안 통신을 위한 이기종망 연동 방법 및 시스템 |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR20100071884A (ko) |
-
2009
- 2009-04-17 KR KR1020090033721A patent/KR20100071884A/ko not_active Application Discontinuation
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP2992696B1 (en) | Data encryption protocols for mobile satellite communications | |
US20090182668A1 (en) | Method and apparatus to enable lawful intercept of encrypted traffic | |
US8477941B1 (en) | Maintaining secure communication while transitioning networks | |
US20110302408A1 (en) | Secure Communication Systems, Methods, and Devices | |
Westerlund et al. | Options for securing RTP sessions | |
CN103748908A (zh) | 在使用端到端加密的通信系统中基于策略路由的合法截取 | |
US20090070586A1 (en) | Method, Device and Computer Program Product for the Encoded Transmission of Media Data Between the Media Server and the Subscriber Terminal | |
Fernandez et al. | Security patterns for voice over ip networks | |
CN101222320B (zh) | 一种媒体流安全上下文协商的方法、系统和装置 | |
Wing et al. | Requirements and analysis of media security management protocols | |
US20100095361A1 (en) | Signaling security for IP multimedia services | |
US8924722B2 (en) | Apparatus, method, system and program for secure communication | |
Li et al. | VoIP secure session assistance and call monitoring via building security gateway | |
Diab et al. | VPN analysis and new perspective for securing voice over VPN networks | |
Bou Diab et al. | Critical vpn security analysis and new approach for securing voip communications over vpn networks | |
KR20100071884A (ko) | VoIP보안 통신을 위한 이기종망 연동 방법 및 시스템 | |
Yeun et al. | Practical implementations for securing voip enabled mobile devices | |
Floroiu et al. | A comparative analysis of the security aspects of the multimedia key exchange protocols | |
Kim et al. | VoIP secure communication protocol satisfying backward compatibility | |
US20240097903A1 (en) | Ipcon mcdata session establishment method | |
Chavhan et al. | Multiple design patterns for voice over IP security | |
Detken et al. | VoIP Security regarding the Open Source Software Asterisk | |
Carrara | Security for IP multimedia applications over heterogeneous networks | |
Lamba et al. | Security traits of VoIP | |
Hoogesteger | Securing mobile VoIP privacy with tunnels |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E601 | Decision to refuse application |