KR20110119972A - Sip 기반 인터넷 전화 서비스 보안 시스템 및 그 방법 - Google Patents
Sip 기반 인터넷 전화 서비스 보안 시스템 및 그 방법 Download PDFInfo
- Publication number
- KR20110119972A KR20110119972A KR1020100039426A KR20100039426A KR20110119972A KR 20110119972 A KR20110119972 A KR 20110119972A KR 1020100039426 A KR1020100039426 A KR 1020100039426A KR 20100039426 A KR20100039426 A KR 20100039426A KR 20110119972 A KR20110119972 A KR 20110119972A
- Authority
- KR
- South Korea
- Prior art keywords
- terminal
- sip
- security
- proxy server
- calling terminal
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1101—Session protocols
- H04L65/1104—Session initiation protocol [SIP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/1045—Proxies, e.g. for session initiation protocol [SIP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1069—Session establishment or de-establishment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/60—Network streaming of media packets
- H04L65/65—Network streaming protocols, e.g. real-time transport protocol [RTP] or real-time control protocol [RTCP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Multimedia (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Telephonic Communication Services (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
본 발명은 SIP 기반 인터넷 전화 서비스 보안 시스템에 있어서, 상대방 착신 단말기와의 연결을 위해 연결 요청신호와 미디어 트래픽 인증과 암호화를 위한 마스터키를 포함한 INVITE 메시지를 전송하는 발신 단말기; 및 상기 발신 단말기와 상기 착신 단말기 사이에 구비되어, 상기 발신 단말기로부터 전송받은 연결 요청신호와 미디어 트래픽 인증과 암호화를 위한 마스터키를 포함한 INVITE 메시지를 상기 착신 단말기에 전송하여, 상기 발신 단말기와 상기 착신 단말기간의 상호 통화 연결을 시도하는 SIP 프록시 서버;를 구비하며, 통화 연결된 상기 발신 단말기 및 상기 착신 단말기간에 통화내용 암호화 프로토콜 보안이 설정되는 것을 특징으로 하는 SIP 기반 인터넷 전화 서비스 보안 시스템을 제공한다.
또한, 본 발명은 상기 SIP 기반 인터넷 전화 서비스 보안방법에 있어서, 발신 단말기가 SIP 프록시 서버에 상대방 착신 단말기와의 연결을 요청하는 단계; 상기 SIP 프록시 서버는 상기 착신 단말기와 연결을 요청하는 상기 발신 단말기로부터 연결 요청신호와 미디어 트래픽 인증과 암호화를 위한 마스터키를 포함한 INVITE 메시지를 전송받아 상기 착신 단말기에 전송하여 상기 발신 단말기와 상기 착신 단말기와의 상호 통화 연결을 시도하는 단계; 및 통화 연결된 상기 발신 단말기 및 상기 착신 단말기간에 통화내용 암호화 프로토콜 보안이 설정되는 단계;를 포함하는 것을 특징으로 하는 SIP 기반 인터넷 전화 서비스 보안방법을 제공한다.
또한, 본 발명은 상기 SIP 기반 인터넷 전화 서비스 보안방법에 있어서, 발신 단말기가 SIP 프록시 서버에 상대방 착신 단말기와의 연결을 요청하는 단계; 상기 SIP 프록시 서버는 상기 착신 단말기와 연결을 요청하는 상기 발신 단말기로부터 연결 요청신호와 미디어 트래픽 인증과 암호화를 위한 마스터키를 포함한 INVITE 메시지를 전송받아 상기 착신 단말기에 전송하여 상기 발신 단말기와 상기 착신 단말기와의 상호 통화 연결을 시도하는 단계; 및 통화 연결된 상기 발신 단말기 및 상기 착신 단말기간에 통화내용 암호화 프로토콜 보안이 설정되는 단계;를 포함하는 것을 특징으로 하는 SIP 기반 인터넷 전화 서비스 보안방법을 제공한다.
Description
본 발명은 SIP 기반 인터넷 전화 서비스 보안 시스템 및 그 방법에 관한 것으로, 상호 통화 중인 상기 발신 단말기 및 상대방 착신 단말기간에 통화내용 암호화 프로토콜 보안(SRTP)이 설정됨으로써 SIP 기반 인터넷 전화 서비스 보안 시스템 및 그 방법에 관한 것이다.
현재 컨버젼스는 IT서비스시장에서 하나의 트랜드이다. 이러한 트랜드는 지속될 것으로 많은 사람들이 전망하고 있다. 인터넷 전화 서비스는 세계적으로 가장 융합적인 서비스이다. 인터넷 전화 서비스는 소리와 비디오통신(AVI)을 위한 IP 인프라가 구축된 곳에서 상용된다. 인터넷 전화는 지난 세기의 PSTN의 자리를 넘겨받고 있다. 수많은 프로토콜이 인터넷 전화 서비스를 제공하기 위해 채택되었다.
이런 과정에서 논의된 프로토콜은 call-signaling 프로토콜이 있는데 이중 가장 인기 있는 것은 H.322과 접속 설정 프로토콜(SIP)이다. Call setup이후 모든 장치는 AV 패킷을 전송하기 위해 실시간 프로토콜(RTP)라 불리는 표준을 사용한다.
세션 기술 프로토콜(SDP)은 Multimedia session을 말하는데, 오디오, 비디오, 화이트보드, 팩스, 모뎀, 기타 미디어 스트림이 될 수 있다. 원본데이터 인증, 무결성(integrity), 기밀성(confidentiality) 같은 보안서비스는 이런 단계에서 요구된다.
인터넷을 통한 통신에서 사람들의 관심은 통신상 도청으로부터의 보호이다. 이런 보안에 대한 관심에 따라 실시간 프로토콜은 보안 실시간 프로토콜(SRTP)로 개선 발전되었다. 보안 실시간 프로토콜은 암호화(encryption, 인증과 장치간의 전송에 있어서 AV 패킷의 무결성을 제공하는 것이다. 보안 실시간 프로토콜은 마스터키로부터 암호화키를 생성하고 call setup 동안에(전화통화중에) 교환한다. 그러나 보안 실시간 프로토콜은 어떤 키관리 프로토콜도 포함하지 않는다 그래서 종래에는 멀티미디어 통신을 위한 보안 설명서(RFC4568)는 IETP에 보안 실시간 프로토콜을 위한 키관리 프로토콜을 제안했다.
멀티미디어 통신을 위한 보안 설명서는 일반적인 미디어 전송의 암호 파라미터에서 새로운 세션 기술 프로토콜 특성과 일부 보안 실시간 프로토콜에 대해 제시하고 있다. 그러나 마스터키는 암호화되지 않고 전송되므로 속임수 공격에 노출되는 문제점이 있었다.
따라서, 본 발명은 종래에 제기된 문제점을 해결하기 위한 것으로, 상호 통화 중인 상기 발신 단말기 및 상대방 착신 단말기간에 통화내용 암호화 프로토콜이 설정됨으로써, 보안을 강화시키는 SIP 기반 인터넷 전화 서비스 보안 시스템 및 그 방법을 제공함에 있다.
본 발명의 다른 목적은, 통화내용 암호화 프로토콜의 키 관리 프로토콜로 실시간 전송 프로토콜, 세션 기술 프로토콜을 제공함으로써, 보안을 강화시키는 SIP 기반 인터넷 전화 서비스 보안 시스템 및 그 방법을 제공한다.
본 발명의 다른 목적은, 실시간 전송 프로토콜 및 세션 기술 프로토콜로 RFC4568 분석하고, 마스터키 암호화 인증에서 공개키를 사용하여 마스터키를 보호하는 새로운 보안 구조를 제안함으로써, 보안을 강화시키는 SIP 기반 인터넷 전화 서비스 보안 시스템 및 그 방법을 제공한다.
상기의 목적을 달성하기 위한 본 발명은 SIP 기반 인터넷 전화 서비스 보안 시스템에 있어서, 상대방 착신 단말기와의 연결을 위해 연결 요청신호와 미디어 트래픽 인증과 암호화를 위한 마스터키를 포함한 INVITE 메시지를 전송하는 발신 단말기; 및 상기 발신 단말기로부터 전송받은 연결 요청신호와 미디어 트래픽 인증과 암호화를 위한 마스터키를 포함한 INVITE 메시지를 상기 착신 단말기에 전송하여, 상기 발신 단말기와 상기 착신 단말기간의 상호 통화 연결을 시도하는 SIP 프록시 서버;를 구비하며, 통화 연결된 상기 발신 단말기 및 상기 착신 단말기간에 통화내용 암호화 프로토콜 보안(SRTP)이 설정되는 것을 특징으로 하는 SIP 기반 인터넷 전화 서비스 보안 시스템을 제공하는데 그 목적이 있다.
또한, 상기 착신 단말기는 상기 SIP 프록시 서버로부터 전송받은 미디어 트래픽 인증과 암호화를 위한 마스터키를 포함한 상기 INVITE 메시지를 공개키를 사용하여 인증할 수 있다.
또한, 상기 발신 단말기, 상기 SIP 프록시 서버 및 상기 착신 단말기 사이에는 패킷 분석기가 더 포함될 수 있다.
상기의 목적을 달성하기 위한 본 발명은 SIP 기반 인터넷 전화 서비스 보안방법에 있어서, 발신 단말기가 SIP 프록시 서버에 상대방 착신 단말기와의 연결을 요청하는 단계; 상기 SIP 프록시 서버는 상기 착신 단말기와 연결을 요청하는 상기 발신 단말기로부터 연결 요청신호와 미디어 트래픽 인증과 암호화를 위한 마스터키를 포함한 INVITE 메시지를 전송받아 상기 착신 단말기에 전송하여 상기 발신 단말기와 상기 착신 단말기와의 상호 통화 연결을 시도하는 단계; 및 통화 연결된 상기 발신 단말기 및 상기 착신 단말기간에 통화내용 암호화 프로토콜 보안(SRTP)이 설정되는 단계;를 포함하는 것을 특징으로 하는 SIP 기반 인터넷 전화 서비스 보안방법을 제공하는데 그 목적이 있다.
또한, 발신 단말기가 SIP 프록시 서버에 상대방 착신 단말기와의 연결을 요청하는 단계 이후에, 상기 발신 단말기와 상기 SIP 프록시 서버 간에 보안 메커니즘이 실행되는 단계가 포함될 수 있다.
그리고 상기 발신 단말기와 상기 SIP 프록시 서버 간에 보안 메커니즘이 실행되는 단계 이후에, 상기 발신 단말기와 상기 SIP 프록시 서버에 각각 엔티티가 생성되는 단계가 포함될 수 있다.
그리고 상기 발신 단말기와 상기 SIP 프록시 서버에 각각 엔티티가 생성되는 단계에서, 상기 엔티티는 TLS를 이용한 보안 전송 계층에 생성될 수 있다.
또한, 통화 연결된 상기 발신 단말기 및 상기 착신 단말기간에 통화내용 암호화 프로토콜 보안이 설정되는 단계에서, 상기 발신 단말기와 상기 SIP 프록시 서버는 RFC4568에 정의된 기능에 따라 마스터키를 교환이 이루어질 수 있다.
그리고 상기 RFC4568는 암호화 특성을 설정할 수 있다.
그리고 상기 RFC4568는 마스터키에 관한 정책을 포함할 수 있다.
그리고 상기 마스터키에 관한 정책은 마스터키의 암호화를 인증하기 위해 착신 단말기의 공개키를 사용할 수 있다.
또한, 상기 발신 단말기 및 상대방 착신 단말기간에 통화내용 암호화 프로토콜이 설정되는 단계에서, 상기 통화내용 암호화 프로토콜은 실시간 전송 프로토콜 미디어 보안 서비스를 제공할 수 있다.
그리고 통화내용 암호화 프로토콜은 실시간 전송 프로토콜 미디어 보안 서비스를 제공하는 단계에서, 상기 암호화 프로토콜은 세션 기술 프로토콜 미디어에 실시간 전송 프로토콜 미디어 보안 서비스 제공을 알릴 수 있다.
한편, 상기 발신 단말기와 상기 착신 단말기는 인터넷 전화를 이용할 수 있도록 해주는 IP폰을 포함할 수 있다.
또한, 상기 발신 단말기, 상기 SIP 프록시 서버 및 상기 착신 단말기 사이에는 패킷 분석기가 더 포함될 수 있다.
이상에서, 본 발명은 SIP 기반 인터넷 전화 서비스 보안방법에 관한 것으로, 상호 통화 중인 상기 발신 단말기 및 상대방 착신 단말기간에 통화내용 암호화 프로토콜 보안(SRTP)이 설정되는 단계를 포함함으로써, 보안을 강화시키는 SIP 기반 인터넷 전화 서비스 보안 시스템 및 그 방법을 제공하는 효과가 있다.
또한, 통화내용 암호화 프로토콜의 키 관리 프로토콜로 실시간 전송 프로토콜, 세션 기술 프로토콜을 제공하여 실시간 전송 프로토콜(RTP) 및 세션 기술 프로토콜(SDP)로 RFC4568 분석하고 마스터키 암호화 인증에서 공개키를 사용함으로써, 마스터키를 보호하는 새로운 보안 구조를 제안하여 보안을 강화시키는 SIP 기반 인터넷 전화 서비스 보안 시스템 및 그 방법을 제공하는 효과가 있다.
도 1은 본 발명의 실시예에 따른 SIP 기반 인터넷 전화 서비스 보안 시스템에 대한 구조를 보여주는 도면이다.
도 2는 본 발명의 실시예에 따른 SIP 기반 인터넷 전화 서비스 보안방법에 대한 순서를 보여주는 도면이다.
도 3은 본 발명의 실시예에 따른 SIP 기반 인터넷 전화 서비스 보안방법에 대한 흐름을 보여주는 도면이다.
도 2는 본 발명의 실시예에 따른 SIP 기반 인터넷 전화 서비스 보안방법에 대한 순서를 보여주는 도면이다.
도 3은 본 발명의 실시예에 따른 SIP 기반 인터넷 전화 서비스 보안방법에 대한 흐름을 보여주는 도면이다.
본 발명에 따른 SIP 기반 인터넷 전화 서비스 보안 시스템 및 그 방법에 대한 기술적 구성을 비롯한 작용효과에 관한 사항은 본 발명의 바람직한 실시예가 도시된 도면을 참조하여 아래의 상세한 설명에 의해서 명확하게 이해될 것이다.
도 1 내지 도 3을 참조하여 본 발명의 실시예에 따른 IP 기반 인터넷 전화 서비스 보안 시스템 및 방법에 대하여 상세히 설명한다.
도 1은 본 발명의 실시예에 따른 SIP 기반 인터넷 전화 서비스 보안 시스템에 대한 구조를 보여주는 도면이고, 도 2는 본 발명의 실시예에 따른 SIP 기반 인터넷 전화 서비스 보안방법에 대한 흐름을 보여주는 도면이고, 도 3은 본 발명의 실시예에 따른 SIP 기반 인터넷 전화 서비스 보안방법에 대한 순서를 보여주는 도면이다.
SIP
기반 인터넷 전화 서비스 보안 시스템
도 1을 참조하여 설명하면, 본 발명의 실시예에 따른 SIP 기반 인터넷 전화 보안 서비스 시스템(100)은 SIP 기반 인터넷 전화 서비스 보안 시스템(100)에 있어서, 상대방 착신 단말기(130)와의 연결을 위해 연결 요청신호와 미디어 트래픽 인증과 암호화를 위한 마스터키를 포함한 INVITE 메시지를 전송하는 발신 단말기(110), 및 상기 발신 단말기(110)와 상기 착신 단말기(130) 사이에 구비되어, 상기 발신 단말기(110)로부터 전송받은 연결 요청신호와 미디어 트래픽 인증과 암호화를 위한 마스터키를 포함한 INVITE 메시지를 상기 착신 단말기(130)에 전송하여, 상기 발신 단말기(110)와 상기 착신 단말기(120)간의 상호 통화 연결을 시도하는 SIP 프록시 서버(120)로 구비될 수 있다. 이때, 상기 발신 단말기(110) 및 상기 착신 단말기(130)간 통화 연결시 통화내용 암호화 프로토콜 보안(SRTP)이 설정되는 것을 특징으로 하는 보안 시스템으로 이루어질 수 있다. 상기 통화내용 암호화 프로토콜 보안이 설정되는 방법에 대해서는 이후 자세하게 설명하기로 한다.
여기서, 상기 발신 단말기(110)와 상기 착신 단말기(130)는 인터넷망에 연결된 개인용 컴퓨터나 개인정보단말(PDA) 등에 인터넷 전화 기능이 탑재된 소프트 폰 또는 IP폰과 같은 하드폰을 들 수 있다. 이때, 상기 IP폰은 무선랜 사용이 가능한 핫스팟(hot spot) 지역에서 유무선 인프라를 이용해 음성전화는 물론 멀티미디어 데이터통신을 사용할 수 있는 차세대 단말기를 말한다. 즉, 휴대폰에 무선랜을 결합해 이동전화 1 대로 길거리에서 인터넷과 무선랜, 이동전화 등을 이용할 수 있다. 또한, 상기 발신 단말기(110)와 상기 착신 단말기(130)에는 일반적으로 음성 통화 기능 및 비디오 코덱 디코딩 기능 그리고 이미지, 음원파일(MP3)을 재생할 수 있는 기능이 갖추어져 있다고 가정한다.
그리고 상기 SIP 프록시 서버(120)는 패킷 네트워크상에서 통신 단말기의 식별 및 상호간의 멀티미디어 통신 세션을 생성, 삭제, 변경 위한 절차를 명시한 시그널링 프로토콜의 구성요소로, 상기 발신 단말기(110)에서 요청하는 세션을 수락하고 상기 착신 단말기(130)의 주소 정보를 레지스트리 서버에 질의하는 기능을 하는 서버를 말한다. 즉, 상기 SIP 프록시 서버(120)는 인터넷 망을 통해 상기 발신 단말기(110)와 연결되고, 상기 발신 단말기(110)와 상기 착신 단말기(130) 사이에서 신호 처리 역할을 수행한다.
또한, 상기 SIP 프록시 서버(120)는 시그널링 프로토콜을 이용하여 연결을 시도하는 상기 발신 단말기(110)에 대하여 시그널링 프로토콜에 따라 등록과 호 처리 과정을 수행하는 역할을 한다.
그리고 상기 SIP 프록시 서버(120)는 상기 발신 단말기(110)로부터 연결 요청신호와 미디어 트래픽 인증과 암호화를 위한 마스터키를 포함한 INVITE 메시지나연결 해지요청(BYE) 등의 메시지를 받으면 상기 착신 단말기(130)가 인터넷망 또는 전화망에 연결되어 있는 경우 직접 상기 착신 단말기(130)에게 전달하거나 상기 착신 단말기(130)로부터의 응답을 받아 상기 발신 단말기(110)로 전달하여 상기 발신 단말기(110)와 상기 착신 단말기(130)의 상호 통화를 연결시키거나 해지시킬 수 있다.
그리고 상기 발신 단말기(110), 상기 SIP 프록시 서버(120) 및 상기 착신 단말기(130) 사이에는 패킷 분석기(123)가 더 포함될 수 있다.
SIP
기반 인터넷 전화 서비스 보안 방법
도 2 내지 도 3을 참조하여 설명하면, 본 발명의 실시예에 따른 SIP 기반 인터넷 전화 서비스 보안 방법은 앞서 설명한 도 1과 같은 구성으로 이루어진 SIP 기반 인터넷 전화 보안 서비스 시스템(100)을 이용하여 보안을 강화시키는 방법으로 이하 중복되는 설명은 생략한다.
먼저, 상기 발신 단말기(110)가 SIP 프록시 서버(120)에 상대방 착신 단말기(130)와의 연결을 요청하는 단계가 이루어진다.(S100) 이때, 상기 발신 단말기(110)는 상대방 착신 단말기(130)와 연결을 요청하는 상기 발신 단말기(110)로부터 연결 요청신호와 미디어 트래픽 인증과 암호화를 위한 마스터키를 포함한 INVITE 메시지를 전송한다.
이때, 상기 발신 단말기(110)와 상기 SIP 프록시 서버(120) 간에 보안 메커니즘이 실행될 수 있다. 상기 보안 메커니즘이란, 보안 기능을 소프트웨어나 하드웨어상에 구현하기 위한 논리 또는 알고리즘을 말한다.
그리고 이때, 상기 발신 단말기(110)와 상기 SIP 프록시 서버(120)에 각각 엔티티가 생성될 수 있다. 상기 엔티티란, 정보의 단위로서 본 발명에서는 TLS를 이용한 보안 전송 계층에 생성된다. 상기 TLS는 인터넷상에서 통신하고 있는 애플리케이션과 그 사용자들 간에 프라이버시를 지키기 위한 프로토콜이다. TLS는 서버와 클라이언트가 통신할 때, 어떠한 메시지에 대해서도 제3자가 엿듣거나 또는 손을 댈 수 없도록 안전하게 지켜주는 역할을 한다. 즉, 상기 발신 단말기(110)는 상기 발신자 정보와 상기 SIP 프록시 서버(120)는 정보는 보안성이 좋은 보안 전송 계층에 생성될 수 있다.
다음으로 상기 SIP 프록시 서버는 상기 착신 단말기와 연결을 요청하는 상기 발신 단말기로부터 연결 요청신호와 미디어 트래픽 인증과 암호화를 위한 마스터키를 포함한 INVITE 메시지를 전송받아 상대방 착신 단말기(130)에 전송하여 상호 통화 연결을 시도할 수 있다.(S110)
이때, 상기 INVITE 메시지는 상기 착신 단말과의 연결하기 위한 연결 요청 메시지로 본 발명에서는 미디어 트래픽 인증과 암호화를 위한 마스터키를 포함하고 있다.
다음으로, 통화 연결된 상기 발신 단말기(110) 및 상기 착신 단말기(130)간에 통화내용 암호화 프로토콜 보안이 설정될 수 있다.(S130) 이 단계 전에, 상기 착신 단말기(130)는 상기 SIP 프록시 서버(120)에 상기 발신 단말기(110)와의 통화 연결요청 수락을 위한 '200 OK' 메시지를 보내고 상기 SIP 프록시 서버(120)는 ''200 OK' 메시지를 상기 발신 단말기(110)로 보낸다.(S120)
이와 동시에 상기 발신 단말기(110)와 상기 착신 단말기(130)는 상기 SIP 프록시 서버(120)는 RFC4568에 정의된 기능에 따라 마스터키를 교환이 이루어지게 된다. 이때, 상기 RFC4568는 암호화 특성을 설정할 수 있다. 상기 RFC4568는 'crypto'라 불리는 암호화 특성을 설정하게 된다, 상기 crypto 암호화 특성은 유니캐스트 미디어 전송이나 싱글메시지 또는 브로드캐스트에서 보안을 위한 암호화키나 다른 파라미터들을 기술하며, 다음과 같은 형식을 따른다.
a = crypto:<tag><crypto-suite><key-params>[<session-params>]
여기서, Tag는 개개의 crypto 특성을 구분하는 식별자로서 사용하기 위한 정수이며, Crypto-Suite 필드는 질의에 대한 전송을 위한 암호화 인증 알고리즘을 나타내는 식별자이다. 그리고 Key Params 필드는 질의에 대해 crypto-suite을 위한 하나이상의 키세트를 제공한다. Session Parameters는 특정 전송에 특정되고, 일반적인 문자의 문자열을 정의하는 보안 설명 프레임워크에서는 선택사항이다.
그리고 상기 RFC4568는 마스터키에 관한 'inline' 정책을 포함하고 있다. 즉, 상기 RFC4568는 마스터키의 암호화 인증을 위해 착신 단말기(130)의 공개키를 사용하며, 다음과 같은 'inline' 키 형식으로 변환한다.
"inline: "<E(PKr, keysalt)>["?quot;lifetime]["?quot;MKI":"length]
E(k,m): encryption of m with the key k.
여기서, 파라미터의 첫 번째 필드는 마스터 salt에 따른 암호화된 마스터키이다. 마스터 salt는 마스터 키에 연속되어있고 64를 단위로 인코딩되었다. 그리고 착신 단말기(130)의 공개키(PKr)을 사용하여 암호화된다. 적용된 공개키 암호화 알고리즘은 사용된 인증에 따라 정의된다.
또한, 상기 통화내용 암호화 프로토콜 보안은 실시간 전송 프로토콜(RTP) 미디어 보안 서비스를 제공하고 상기 세션 기술 프로토콜(SDP) 미디어에 상기 실시간 전송 프로토콜 미디어 보안 서비스 사용을 알려 상기 RFC4568를 분석함으로써 이루어질 수 있다. 이때, 실시간 전송 프로토콜 미디어는 실시간의 전송채널을 통하여 멀티미디어 데이터를 보내는 일을 스트리밍이라고 하는데, 이를 위하여 전송과정에 있는 채널의 여러 장치들과 단말기와의 통신을 위한 규약을 나타내는 미디어이다. 또한, 상기 세션 기술 프로토콜 미디어는 인터넷상에서 음성 및 영상 등의 미디어 데이터 전송을 위해 end to end간 세션을 설정하기 위한 프로토콜인 SIP 프록시 서버(120)에 세션정보를 기술하기 위해 사용되는 포멧을 나타내는 미디어이다.
마지막으로, 상기 발신 단말기(110)와 상기 착신 단말기(130)간의 연결 해지가 이루어질 수 있다.(S140) 이때, 상기 발신 단말기(110)와 상기 착신 단말기(130)의 연결 해지는, 상기 발신 단말기(110)가 상기 SIP 프록시 서버(120)에 해지요청(BYE) 메시지를 전송하고 이를 상기 SIP 프록시 서버(120)는 상기 착신 단말기(130)에 해지요청(BYE) 메시지 전송함으로써 이루어진다.
이처럼, 본 발명은 SIP 기반 인터넷 전화 서비스 보안방법에 관한 것으로, 상호 통화 중인 상기 발신 단말기(110) 및 상대방 착신 단말기(130)간에 통화내용 암호화 프로토콜 보안이 설정되는 단계를 포함함으로써, 보안을 강화시킬 수 있다.
또한, 통화내용 암호화 프로토콜의 키 관리 프로토콜로 실시간 전송 프로토콜 미디어 , 세션 기술 프로토콜 미디어를 제공하여 실시간 전송 프로토콜 및 세션 기술 프로토콜로 RFC4568 분석하고 마스터키 암호화 인증에서 공개키를 사용함으로써, 마스터키를 보호하는 새로운 보안 구조를 제안할 수 있다.
이상에서 설명한 본 발명의 바람직한 실시예에 대하여 상세하게 설명하였지만 당해 기술분야에서 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 수 있을 것이다.
따라서, 본 발명의 권리 범위는 개시된 실시예에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변경 및 개량 형태 또는 본 발명의 권리 범위에 속하는 것으로 보아야 할 것이다.
100 : SIP 기반 인터넷 전화 서비스 보안 시스템
110 : 발신 단말기 120 : SIP 프록시 서버
130 : 착신 단말기
110 : 발신 단말기 120 : SIP 프록시 서버
130 : 착신 단말기
Claims (13)
- SIP 기반 인터넷 전화 서비스 보안 시스템에 있어서,
상대방 착신 단말기와의 연결을 위해 연결 요청신호와 미디어 트래픽 인증과 암호화를 위한 마스터키를 포함한 INVITE 메시지를 전송하는 발신 단말기; 및
상기 발신 단말기와 상기 착신 단말기 사이에 구비되어, 상기 발신 단말기로부터 전송받은 연결 요청신호와 미디어 트래픽 인증과 암호화를 위한 마스터키를 포함한 INVITE 메시지를 상기 착신 단말기에 전송하여, 상기 발신 단말기와 상기 착신 단말기간의 상호 통화 연결을 시도하는 SIP 프록시 서버;를 구비하며,
통화 연결된 상기 발신 단말기 및 상기 착신 단말기간에 통화내용 암호화 프로토콜 보안(STRP)이 설정되는 것을 특징으로 하는 SIP 기반 인터넷 전화 서비스 보안 시스템.
- 제 1 항에 있어서,
상기 착신 단말기는 상기 SIP 프록시 서버로부터 전송받은 미디어 트래픽 인증과 암호화를 위한 마스터키를 포함한 상기 INVITE 메시지를 공개키를 사용하여 인증하는 것을 특징으로 하는 SIP 기반 인터넷 전화 서비스 보안 시스템.
- 제 1 항에 있어서,
상기 발신 단말기, 상기 SIP 프록시 서버 및 상기 착신 단말기 사이에는 패킷 분석기가 더 포함되는 것을 특징으로 하는 IP 기반 인터넷 서비스 보안방법
- SIP 기반 인터넷 전화 서비스 보안 시스템을 이용하는 보안 방법에 있어서,
발신 단말기가 SIP 프록시 서버에 상대방 착신 단말기와의 연결을 요청하는 단계;
상기 SIP 프록시 서버는 상기 착신 단말기와 연결을 요청하는 상기 발신 단말기로부터 연결 요청신호와 미디어 트래픽 인증과 암호화를 위한 마스터키를 포함한 INVITE 메시지를 전송받아 상기 착신 단말기에 전송하여 상기 발신 단말기와 상기 착신 단말기와의 상호 통화 연결을 시도하는 단계; 및
통화 연결된 상기 발신 단말기 및 상기 착신 단말기간에 통화내용 암호화 프로토콜 보안(SRTP)이 설정되는 단계;
를 포함하는 것을 특징으로 하는 SIP 기반 인터넷 전화 서비스 보안방법.
- 제 4항에 있어서,
발신 단말기가 SIP 프록시 서버에 상대방 착신 단말기와의 연결을 요청하는 단계 이후에,
상기 발신 단말기와 상기 SIP 프록시 서버 간에 보안 메커니즘이 실행되는 단계가 포함되는 것을 특징으로 하는 SIP 기반 인터넷 전화 서비스 보안방법.
- 제 5항에 있어서,
상기 발신 단말기와 상기 SIP 프록시 서버 간에 보안 메커니즘이 실행되는 단계 이후에,
상기 발신 단말기와 상기 SIP 프록시 서버에 각각 엔티티가 생성되는 단계가 포함되는 것을 특징으로 하는 SIP 기반 인터넷 전화 서비스 보안방법.
- 제 6항에 있어서,
상기 발신 단말기와 상기 SIP 프록시 서버에 각각 엔티티가 생성되는 단계에서,
상기 엔티티는 TLS를 이용한 보안 전송 계층에 생성되는 것을 특징으로 하는 SIP 기반 인터넷 전화 서비스 보안방법.
- 제 4항에 있어서,
통화 연결된 상기 발신 단말기 및 상기 착신 단말기간에 통화내용 암호화 프로토콜 보안이 설정되는 단계에서,
상기 발신 단말기와 상기 착신 단말기는 상기 SIP 프록시 서버를 통해 RFC4568에 정의된 기능에 따라 마스터키 교환이 이루어지는 것을 특징으로 하는 SIP 기반 인터넷 전화 서비스 보안방법.
- 제 8항에 있어서,
상기 RFC4568는 암호화 특성을 설정 및 마스터키에 관한 정책을 포함하는 것을 특징으로 하는 SIP 기반 인터넷 전화 서비스 보안방법.
- 제 9항에 있어서,
상기 마스터키에 관한 정책은 마스터키의 암호화를 인증하기 위해 착신 단말기의 공개키를 사용하는 것을 특징으로 하는 SIP 기반 인터넷 전화 서비스 보안방법.
- 제 4항에 있어서,
상기 통화내용 암호화 프로토콜은 실시간 전송 프로토콜(RTP) 미디어 보안 서비스를 제공하는 것을 특징으로 하는 SIP 기반 인터넷 전화 서비스 보안방법.
- 제 11항에 있어서,
상기 통화내용 암호화 프로토콜은 세션 기술 프로토콜(SDP) 미디어에 실시간 전송 프로토콜 미디어 보안 서비스 제공을 알리는 것을 특징으로 하는 SIP 기반 인터넷 전화 서비스 보안방법.
- 제 4항에 있어서,
상기 발신 단말기와 상기 착신 단말기는 인터넷 전화를 이용할 수 있도록 해주는 IP폰을 포함하는 것을 특징으로 하는 IP 기반 인터넷 서비스 보안방법.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020100039426A KR101121230B1 (ko) | 2010-04-28 | 2010-04-28 | Sip 기반 인터넷 전화 서비스 보안 시스템 및 그 방법 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020100039426A KR101121230B1 (ko) | 2010-04-28 | 2010-04-28 | Sip 기반 인터넷 전화 서비스 보안 시스템 및 그 방법 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20110119972A true KR20110119972A (ko) | 2011-11-03 |
KR101121230B1 KR101121230B1 (ko) | 2012-06-12 |
Family
ID=45391262
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020100039426A KR101121230B1 (ko) | 2010-04-28 | 2010-04-28 | Sip 기반 인터넷 전화 서비스 보안 시스템 및 그 방법 |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101121230B1 (ko) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2619082C1 (ru) * | 2016-05-05 | 2017-05-11 | Общество с ограниченной ответственностью "КьюЛабс" | Способ соединения абонентов при встречных вызовах и устройство для его осуществления |
KR20170077588A (ko) * | 2015-12-28 | 2017-07-06 | 주식회사 케이티 | 비화 통화 서비스를 제공하는 서버 및 단말 |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101798101B1 (ko) * | 2015-07-07 | 2017-11-16 | 주식회사 케이티 | 안전 통화 제공 방법, 보안 계정을 이용한 불법 앱의 설치 및 실행을 방지하는 방법, 단말 및 컴퓨터 프로그램 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
GB2404117B (en) * | 2003-07-17 | 2005-11-30 | Motorola Inc | Cellular communication system messaging |
KR101397633B1 (ko) * | 2007-12-05 | 2014-05-22 | 주식회사 케이티 | 아이엠에스 기반 인스턴트 메시지 서비스 제공 시스템 및방법 |
KR20090066062A (ko) * | 2007-12-18 | 2009-06-23 | 한국전자통신연구원 | Sip기반 인터넷 전화 서비스 시스템 및 방법 |
-
2010
- 2010-04-28 KR KR1020100039426A patent/KR101121230B1/ko not_active IP Right Cessation
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20170077588A (ko) * | 2015-12-28 | 2017-07-06 | 주식회사 케이티 | 비화 통화 서비스를 제공하는 서버 및 단말 |
RU2619082C1 (ru) * | 2016-05-05 | 2017-05-11 | Общество с ограниченной ответственностью "КьюЛабс" | Способ соединения абонентов при встречных вызовах и устройство для его осуществления |
Also Published As
Publication number | Publication date |
---|---|
KR101121230B1 (ko) | 2012-06-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4710267B2 (ja) | ネットワークシステム、データ中継装置、セッションモニタシステム、およびパケットモニタ中継装置 | |
KR101367038B1 (ko) | 키 교환 시스템 및 시스템 조작 방법 | |
US7464267B2 (en) | System and method for secure transmission of RTP packets | |
CN101379802B (zh) | 在媒体服务器和用户设备之间以加密方式传输媒体数据的方法和装置 | |
Westerlund et al. | Options for securing RTP sessions | |
Wang et al. | A dependable privacy protection for end-to-end VoIP via Elliptic-Curve Diffie-Hellman and dynamic key changes | |
WO2017215443A1 (zh) | 报文传输方法、装置及系统 | |
WO2007048301A1 (fr) | Procede de cryptage pour service mgn | |
Wing et al. | Requirements and analysis of media security management protocols | |
KR101121230B1 (ko) | Sip 기반 인터넷 전화 서비스 보안 시스템 및 그 방법 | |
WO2011131051A1 (zh) | 一种安全通信协商方法和装置 | |
WO2009094813A1 (fr) | Procédé et appareil de négociation de paramètres de sécurité pour sécuriser le flux multimédia | |
KR101210938B1 (ko) | 암호 통신 방법 및 이를 이용한 암호 통신 시스템 | |
CN113114644B (zh) | 一种基于sip架构的多级跨域对称密钥管理系统 | |
CN1889425A (zh) | 实现h.323网络节点间安全呼叫的方法及系统 | |
Jahanirad et al. | Security measures for VoIP application: A state of the art review | |
Floroiu et al. | A comparative analysis of the security aspects of the multimedia key exchange protocols | |
US20100002885A1 (en) | Efficient multiparty key exchange | |
KR101094631B1 (ko) | 비디오뱅킹 서비스 시스템 및 그 방법 | |
Zhao et al. | Secure voice over internet protocol based on combined secret key method | |
WO2009094814A1 (fr) | Procédé de génération de paramètres de sécurité pour sécuriser un flux multimédia et appareil associé | |
KR101269828B1 (ko) | 무선통신 서비스를 위한 보안 통화 방법 | |
Zhao et al. | A Proxy-Based Server Irrelevant Security Mechanism for VoIP | |
CN115051857A (zh) | 一种全域量子安全的音视频通信方法 | |
Gao | Security in VoIP-Current situation and necessary development |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
AMND | Amendment | ||
E601 | Decision to refuse application | ||
AMND | Amendment | ||
X701 | Decision to grant (after re-examination) | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20150416 Year of fee payment: 4 |
|
LAPS | Lapse due to unpaid annual fee |