KR20160063902A - Security communication method and apparatus - Google Patents

Security communication method and apparatus Download PDF

Info

Publication number
KR20160063902A
KR20160063902A KR1020140167780A KR20140167780A KR20160063902A KR 20160063902 A KR20160063902 A KR 20160063902A KR 1020140167780 A KR1020140167780 A KR 1020140167780A KR 20140167780 A KR20140167780 A KR 20140167780A KR 20160063902 A KR20160063902 A KR 20160063902A
Authority
KR
South Korea
Prior art keywords
security
data
encryption
level
tunnel
Prior art date
Application number
KR1020140167780A
Other languages
Korean (ko)
Inventor
박용길
이재한
김인기
김상재
이강원
Original Assignee
에스케이텔레콤 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 에스케이텔레콤 주식회사 filed Critical 에스케이텔레콤 주식회사
Priority to KR1020140167780A priority Critical patent/KR20160063902A/en
Publication of KR20160063902A publication Critical patent/KR20160063902A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communication
    • H04L9/12Transmitting and receiving encryption devices synchronised or initially set up in a particular manner
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Abstract

The present invention relates to a secure communication method and an apparatus thereof to minimize performance degradation due to encryption while satisfying security requirements by changing an encryption level in accordance with a security level of data. In transmitting and receiving data using a security tunneling technology, the secure communication method of the present invention can minimize degradation of transmission efficiency while satisfying the security requirements by changing the encryption level in accordance with the security level of the data, i. e., by generating multiple security tunnels with different encryption levels, and transmitting the data through the security tunnel of the security level of the data to be transmitted.

Description

암호 통신 방법 및 장치 {Security communication method and apparatus}[0001] DESCRIPTION [0002] Security communication method and apparatus [
본 발명은 보안 터널링 기술을 이용하여 데이터를 송수신하는 암호 통신 방법 및 장치에 관한 것으로서, 더욱 상세하게는 데이터의 보안 등급에 따라서 암호화 수준을 가변 함으로써 보안 요구 사항을 만족시키면서 암호화에 따른 성능 저하를 최소화하기 위한 암호 통신 방법 및 장치에 관한 것이다.The present invention relates to a cryptographic communication method and apparatus for transmitting and receiving data using a secure tunneling technique, and more particularly, to a cryptographic communication method and apparatus for minimizing performance degradation due to encryption while satisfying security requirements by varying an encryption level according to a data security level And more particularly, to a method and apparatus for encrypted communication.
인터넷과 네트워크 인프라가 급성장하면서, 각 기업체나 조직의 비즈니스 영역도 오프라인에서 온라인 환경으로 급속히 이전하고 있으며, 이에 따라서, 특정 건물뿐만 아니라, 본사와 다수의 지사뿐만 아니라 국내 지사와 국외 지사에 배치된 수많은 전산 자원 간의 네트워크 연결이 필요하게 되었다.With the rapid growth of the Internet and network infrastructure, the business area of each company or organization is rapidly moving from offline to online environment. Therefore, not only a specific building, but also a large number of domestic and foreign branches Network connections between computing resources have become necessary.
이러한 환경 변화에서 본사-지사 및 해외-국내 간의 연결 시 필연적으로 발생하는 비용 문제와 보안 문제를 동시에 해결할 수 있는 기술로 가상 사설망(VPN: Virtual Private Network)이 등장하였다.In this environment change, Virtual Private Network (VPN) has emerged as a technology that solves the cost problems and security problems that necessarily arise in connection between headquarter - branch office and overseas - domestic.
VPN은 인터넷과 같은 공중망(Public Network)을 이용하여 사설 전용망(Private Network)의 효과를 얻을 수 있는 기술로, 주요 기술로 통신의 시작 지점에서 목표 지점까지 가상 터널을 생성하는 터널링 기술과, 생성된 터널을 안전하게 관리하기 위한 암호화/인증 및 키 관리 기술로 구성될 수 있으며, 이에 대한 표준화 기술로 예를 들어, IPsec(Internet Protocol Security), SSL(Secure Socket Layer) 등이 있다. VPN is a technology that can obtain the effect of a private network by using a public network such as the Internet. The VPN is a tunneling technique for generating a virtual tunnel from a communication start point to a target point as a main technique, And an encryption / authentication and key management technology for securely managing a tunnel. Standardization techniques include Internet Protocol Security (IPsec) and Secure Socket Layer (SSL), for example.
이때, 암호화 알고리즘은, 공지된 다양한 암호화 기술을 이용할 수 있는데, 예를 들어, DES(Data Encryption Standard), 3DES, RC4, AES(Advanced Encryption Standard), SEED 등이 이용된다.For example, DES (Data Encryption Standard), 3DES, RC4, AES (Advanced Encryption Standard), SEED, and the like are used as the encryption algorithm at this time.
일반적으로 데이터를 암호화하여 전송할 때, 데이터 종류에 관계 없이 동일한 암호화 처리가 수행된다. 예를 들어, 가전제품, 모바일 장비, 웨어러블 컴퓨터등 다양한 디바이스를 연결하는 사물 인터넷에 있어서, 게이트웨이 장비는 접속된 디바이스들로부터 송신되는 데이터에 대해 그 종류에 관계없이 동일하게 암호화 처리를 수행한다.Generally, when encrypting and transmitting data, the same encryption process is performed regardless of the data type. For example, in a thing Internet connecting a variety of devices such as household appliances, mobile equipment, and wearable computers, a gateway device performs encryption processing on data transmitted from connected devices in the same manner regardless of the type thereof.
따라서, 종래의 암호 통신에서는, 보안 등급이 가장 높은 데이터를 기준으로 설정된 단일의 키를 사용하여 모든 데이터를 암호화하기 때문에, 보안 등급이 낮은 데이터의 불필요한 암호화 연산 처리로 인한 자원 낭비를 초래하고, 전송 효율을 떨어트린다는 문제점이 있다.Therefore, in the conventional cryptographic communication, since all the data are encrypted using a single key set on the basis of the data having the highest security level, waste of resources due to unnecessary cryptographic operation processing of data having a low security level is caused, There is a problem that efficiency is lowered.
한국공개특허 제10-2008-0075725호, 2008년 08월 19일 공개 (명칭: 와이브로 무선 인터넷 보안을 위한 다중모드 보안 장치)Korean Patent Laid-Open No. 10-2008-0075725, published on August 19, 2008 (name: multi-mode security device for WiBro wireless Internet security)
본 발명은 종래의 문제를 해결하기 위하여 제안된 것으로서, 데이터의 보안 등급에 따라서 암호화 수준을 가변 함으로써 보안 요구 사항을 만족시키면서 암호화에 따른 성능 저하를 최소화하기 위한 암호 통신 방법 및 장치를 제공하고자 한다.SUMMARY OF THE INVENTION The present invention has been proposed in order to solve the conventional problems, and it is an object of the present invention to provide a cryptographic communication method and apparatus for minimizing performance degradation due to encryption while satisfying security requirements by varying the encryption level according to the security level of data.
특히, 본 발명은 보안 터널링 기술을 이용하여 데이터를 송수신하는데 있어서, 암호화 수준이 다른 복수의 보안 터널을 생성하고, 송신할 데이터의 보안 등급에 대응하는 암호화 수준의 보안 터널을 통해서 데이터를 전송하도록 함으로써, 데이터별로 보안 요구 수준을 만족시키면서 전송 효율의 저하를 최소화할 수 있는 암호 통신 방법 및 장치를 제공하고자 한다.In particular, in transmitting and receiving data using a secure tunneling technique, a plurality of secure tunnels having different encryption levels are generated, and data is transmitted through a secure tunnel having an encryption level corresponding to a security level of data to be transmitted And to provide a method and apparatus for cryptographic communication that can minimize the deterioration of transmission efficiency while satisfying the level of security requirement for each data.
본 발명의 상술한 과제의 해결수단으로서, 서로 다른 암호화 수준을 갖는 복수의 보안 터널을 생성하는 단계; 송신할 데이터가 발생하면, 상기 데이터의 암호화 수준을 나타내는 보안 등급을 확인하는 단계; 확인된 보안 등급에 따라서, 상기 복수의 보안 터널 중 하나를 선택하는 단계; 및 선택된 보안 터널을 통해서 상기 데이터를 암호화하여 송신하는 단계를 포함하는 암호 통신 방법을 제공한다.As a solution to the above-mentioned problems of the present invention, there is provided a method for encrypting a plurality of secure tunnels, the method comprising: generating a plurality of secure tunnels having different encryption levels; Confirming a security level indicating an encryption level of the data when data to be transmitted is generated; Selecting one of the plurality of secure tunnels according to the identified security class; And encrypting and transmitting the data through the selected secure tunnel.
상기 암호 통신 방법은, 상기 데이터를 송신 또는 수신하는 기기의 컴퓨팅 자원 사용률을 확인하는 단계; 및 상기 컴퓨팅 자원 사용율에 따라서 상기 선택된 보안 터널을, 다른 암호화 수준의 보안 터널로 변경하는 단계를 더 포함할 수 있다. 이때, 더하여, 상기 컴퓨팅 자원 사용률을 확인하는 단계는, 보안 제어 장치로부터 상기 컴퓨팅 자원 사용율에 대한 정보를 수신하는 단계를 포함할 수 있다.The encrypted communication method includes: checking a computing resource usage rate of a device that transmits or receives the data; And changing the selected secure tunnel to a secure tunnel having a different encryption level according to the computing resource utilization rate. At this time, in addition, the checking of the computing resource utilization rate may include receiving information on the computing resource utilization rate from the security control device.
더하여, 상기 암호 통신 방법은, 상기 복수의 보안 터널을 생성하는 단계 이전에, 기 설정된 보안 정책에 근거하여, 데이터의 보안 등급과 보안 터널의 매핑 관계를 설정하는 단계를 더 포함할 수 있다. 여기서, 상기 설정하는 단계도, 보안 제어 장치로부터 상기 보안 정책 또는 상기 매핑 관계에 대한 정보를 수신하는 단계를 포함할 수 있다.In addition, the cryptographic communication method may further include setting a mapping relationship between the security level of the data and the secure tunnel based on the predetermined security policy before the step of creating the plurality of secure tunnels. Here, the setting step may also include receiving information on the security policy or the mapping relationship from the security control device.
더하여, 본 발명은 상술한 과제의 다른 해결 수단으로서, 송신할 데이터가 발생하면, 상기 데이터의 암호화 수준을 나타내는 보안 등급 및 상기 보안 등급에 매핑된 보안 터널을 선택하는 데이터 전처리부; 및 서로 다른 암호화 수준을 갖는 복수의 보안 터널을 생성하고, 상기 데이터 전처리부에서 선택된 보안 터널을 통해서 상기 데이터를 암호화하여 전송하는 데이터 송신부를 포함하는 암호 통신 장치를 제공한다.In addition, the present invention provides, as another solution to the above-mentioned problems, a data pre-processing unit for selecting a security level indicating an encryption level of the data and a security tunnel mapped to the security level when data to be transmitted is generated; And a data transmission unit for generating a plurality of security tunnels having different encryption levels and encrypting the data through the security tunnel selected by the data preprocessing unit and transmitting the encrypted data.
상기 데이터 전처리부는 상기 데이터를 송신 또는 수신하는 기기의 컴퓨팅 자원 사용율을 더 확인하고, 상기 컴퓨팅 자원 사용율에 따라서, 상기 선택한 보안 터널을, 다른 암호화 수준의 보안 터널로 변경할 수 있다.The data preprocessing unit further verifies the computing resource usage rate of the device transmitting or receiving the data and may change the selected security tunnel to a security tunnel having a different encryption level according to the computing resource usage rate.
더하여, 본 발명에 따른 암호 통신 장치는, 보안 제어 장치로부터 수신되는 보안 정책에 근거하여, 데이터의 보안 등급과 보안 터널의 매핑 정보를 관리하는 보안 정책 관리부를 더 포함할 수 있다.In addition, the cryptographic communication apparatus according to the present invention may further include a security policy management unit that manages data security level and mapping information of the secure tunnel based on a security policy received from the security control apparatus.
본 발명은 VPN 등과 같이 터널링 기술을 이용하여 데이터를 송수신하는데 있어서, 암호화 수준이 다른 복수의 보안 터널을 생성하고, 송신할 데이터의 보안 등급에 대응하는 암호화 수준의 보안 터널을 통해서 데이터를 전송하도록 함으로써, 데이터별로 암호화 수준을 가변하여 보안 요구 사항을 만족시키고, 더하여 전송 효율의 저하를 최소화할 수 있다.In the present invention, in transmitting and receiving data using a tunneling technology such as VPN, a plurality of security tunnels having different encryption levels are generated, and data is transmitted through a security tunnel having an encryption level corresponding to the security level of data to be transmitted , The encryption level can be varied for each data to satisfy the security requirements, and additionally, the deterioration of the transmission efficiency can be minimized.
더하여, 본 발명은 데이터를 송신 또는 수신하는 기기의 컴퓨팅 자원 사용율에 따라서, 상기 데이터 보안 등급에 따라서 선택된 보안 터널을 다른 암호화 수준의 보안 터널로 변경함으로써, 컴퓨팅 자원 사용율이 높은 경우 암호화 수준을 낮춰 시스템 안정성을 높이면서 일정 성능을 유지할 수 있다.In addition, according to the present invention, the security tunnel selected according to the data security level is changed into a security tunnel having a different encryption level according to the computing resource usage rate of the device transmitting or receiving data, It can maintain constant performance while improving stability.
또한, 본 발명은 보안 정책의 변경에 따라서, 상기 데이터 보안 등급과 상기 보안 터널 간의 매핑 관계를 동적으로 변경할 수 있다.In addition, the present invention can dynamically change the mapping relationship between the data security class and the secure tunnel according to a change of the security policy.
도 1은 본 발명에 따른 암호 통신이 적용되는 네트워크 구성을 나타낸 블럭도이다.
도 2는 본 발명에 따른 암호 통신 장치 및 보안 제어 장치의 상세 연결 구조를 나타낸 블럭도이다.
도 3은 본 발명에 따른 암호 통신 장치의 구성을 나타낸 블럭도이다.
도 4 내지 도 6은 본 발명에 따른 암호 통신 방법의 순서도이다.
도 7은 본 발명에 따른 암호 통신 처리 과정의 일 예를 나타낸 모식도이다.
1 is a block diagram showing a network configuration to which an encrypted communication according to the present invention is applied.
2 is a block diagram showing a detailed connection structure of an encryption communication apparatus and a security control apparatus according to the present invention.
3 is a block diagram showing a configuration of an encrypted communication apparatus according to the present invention.
4 to 6 are flowcharts of a cryptographic communication method according to the present invention.
7 is a schematic diagram illustrating an example of a cryptographic communication process according to the present invention.
이하 본 발명의 바람직한 실시 예를 첨부한 도면을 참조하여 상세히 설명한다. 다만, 하기의 설명 및 첨부된 도면에서 본 발명의 요지를 흐릴 수 있는 공지 기능 또는 구성에 대한 상세한 설명은 생략한다. 또한, 도면 전체에 걸쳐 동일한 구성 요소들은 가능한 한 동일한 도면 부호로 나타내고 있음에 유의하여야 한다.Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings. In the following description and the accompanying drawings, detailed description of well-known functions or constructions that may obscure the subject matter of the present invention will be omitted. It should be noted that the same constituent elements are denoted by the same reference numerals as possible throughout the drawings.
이하에서 설명되는 본 명세서 및 청구범위에 사용된 용어나 단어는 통상적이거나 사전적인 의미로 한정해서 해석되어서는 아니 되며, 발명자는 그 자신의 발명을 가장 최선의 방법으로 설명하기 위한 용어의 개념으로 적절하게 정의할 수 있다는 원칙에 입각하여 본 발명의 기술적 사상에 부합하는 의미와 개념으로 해석되어야만 한다. 따라서 본 명세서에 기재된 실시 예와 도면에 도시된 구성은 본 발명의 가장 바람직한 일 실시 예에 불과할 뿐이고, 본 발명의 기술적 사상을 모두 대변하는 것은 아니므로, 본 출원시점에 있어서 이들을 대체할 수 있는 다양한 균등물과 변형 예들이 있을 수 있음을 이해하여야 한다.The terms and words used in the present specification and claims should not be construed to be limited to ordinary or dictionary meanings and the inventor is not limited to the concept of terminology for describing his or her invention in the best way. It should be interpreted as meaning and concept consistent with the technical idea of the present invention. Therefore, the embodiments described in the present specification and the configurations shown in the drawings are merely the most preferred embodiments of the present invention, and not all of the technical ideas of the present invention are described. Therefore, It is to be understood that equivalents and modifications are possible.
또한, 제1, 제2 등과 같이 서수를 포함하는 용어는 다양한 구성요소들을 설명하기 위해 사용하는 것으로, 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용될 뿐, 상기 구성요소들을 한정하기 위해 사용되지 않는다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제2 구성요소는 제1 구성요소로 명명될 수 있고, 유사하게 제1 구성요소도 제2 구성요소로 명명될 수 있다.Also, terms including ordinal numbers such as first, second, etc. are used to describe various elements, and are used only for the purpose of distinguishing one element from another, Not used. For example, without departing from the scope of the present invention, the second component may be referred to as a first component, and similarly, the first component may also be referred to as a second component.
더하여, 어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급할 경우, 이는 논리적 또는 물리적으로 연결되거나, 접속될 수 있음을 의미한다. 다시 말해, 구성요소가 다른 구성요소에 직접적으로 연결되거나 접속되어 있을 수 있지만, 중간에 다른 구성요소가 존재할 수도 있으며, 간접적으로 연결되거나 접속될 수도 있다고 이해되어야 할 것이다.In addition, when referring to an element as being "connected" or "connected" to another element, it means that it can be connected or connected logically or physically. In other words, it is to be understood that although an element may be directly connected or connected to another element, there may be other elements in between, or indirectly connected or connected.
또한, 본 명세서에서 사용한 용어는 단지 특정한 실시 예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 또한, 본 명세서에서 기술되는 "포함 한다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.Also, the terminology used herein is for the purpose of describing particular embodiments only and is not intended to be limiting of the invention. The singular expressions include plural expressions unless the context clearly dictates otherwise. It is also to be understood that the terms such as " comprising "or" having ", as used herein, are intended to specify the presence of stated features, integers, It should be understood that the foregoing does not preclude the presence or addition of other features, numbers, steps, operations, elements, parts, or combinations thereof.
본 발명에 따른 암호 통신 기술은, 통신망을 통해 연결되어 데이터를 송수신하는 기기, 예를 들어, 단말과 서버, 단말과 단말 간의 통신에 적용될 수 있는 것으로서, 도 1에 본 발명에 따른 암호 통신이 적용되는 네트워크 구성의 일 예를 나타낸다.The cryptographic communication technology according to the present invention can be applied to communication between a device connected to a communication network and transmitting / receiving data, for example, a terminal, a server, and a terminal, The network configuration shown in FIG.
도 1에 도시한 실시 예에서, 본 발명에 따른 암호 통신 기술은, 통신망(30)을 통해서 연결된 단말(10)과 서버(20) 간의 보안 통신을 위해 적용된다. 이때, 데이터를 송신 또는 수신하는 기기, 즉, 단말(10) 및 서버(20)는 각각 본 발명에 따른 암호 통신 장치(100)를 구비하여, 상기 암호 통신 장치(100)를 통해서 상호 통신을 수행할 수 있다. 그리고, 상기 단말(10) 및 서버(20)에 구비된 암호 통신 장치(100)는 상기 통신망(30)을 통해서 보안 제어 장치(200)와 연동할 수 있다.In the embodiment shown in FIG. 1, the cryptographic communication technology according to the present invention is applied for secure communication between the terminal 10 and the server 20 connected through the communication network 30. In this case, the device for transmitting or receiving data, that is, the terminal 10 and the server 20 are each provided with the cryptographic communication apparatus 100 according to the present invention and perform mutual communication through the cryptographic communication apparatus 100 can do. The cryptographic communication apparatus 100 provided in the terminal 10 and the server 20 can operate in cooperation with the security control apparatus 200 through the communication network 30. [
여기서, 통신망(30)은, 적어도 하나의 유무선 통신망이 연결되어 이루어진 것으로서, 특히, 유선 인터넷, 무선 인터넷, 이동통신망, Wi-Fi 망 등의 유무선 공중망을 적어도 하나 포함할 수 있다.The communication network 30 is connected to at least one wired / wireless communication network. In particular, the communication network 30 may include at least one wire / wireless public network such as a wired Internet, a wireless Internet, a mobile communication network, and a Wi-Fi network.
상기 단말(10) 및 서버(20)에 구비된 암호 통신 장치(100)는 SoC(System on Chip)이나 임베디드 시스템(Embedded System)과 같은 하드웨어 장치로 구현될 수 도 있고, 컴퓨터 프로그램으로 구현되어, 단말(10) 및 서버(20)의 저장 수단에 기록된 후, 상기 단말(10) 및 서버(20)의 프로세서에 의해서 실행될 수 있다. 이때, 상기 컴퓨터 프로그램(프로그램, 소프트웨어, 소프트웨어 어플리케이션, 스크립트 혹은 코드로도 알려져 있음)은 컴파일 되거나 해석된 언어나 선험적 혹은 절차적 언어를 포함하는 프로그래밍 언어의 어떠한 형태로도 작성될 수 있으며, 독립형 프로그램이나 모듈, 컴포넌트, 서브루틴 혹은 컴퓨터 환경에서 사용하기에 적합한 다른 유닛을 포함하여 어떠한 형태로도 전개될 수 있다. 또한, 컴퓨터 프로그램은 파일 시스템의 파일에 반드시 대응하는 것은 아니다. 프로그램은 요청된 프로그램에 제공되는 단일 파일 내에, 혹은 다중의 상호 작용하는 파일(예컨대, 하나 이상의 모듈, 하위 프로그램 혹은 코드의 일부를 저장하는 파일) 내에, 혹은 다른 프로그램이나 데이터를 보유하는 파일의 일부(예컨대, 마크업 언어 문서 내에 저장되는 하나 이상의 스크립트) 내에 저장될 수 있다. The cryptographic communication apparatus 100 provided in the terminal 10 and the server 20 may be implemented as a hardware device such as a SoC (System on Chip) or an Embedded System, And may be executed by the processor of the terminal 10 and the server 20 after being recorded in the storage means of the terminal 10 and the server 20. [ At this time, the computer program (also known as program, software, software application, script or code) may be written in any form of programming language including compiled or interpreted language, a priori or procedural language, Or any other type of unit, module, component, subroutine, or other unit suitable for use in a computer environment. Also, the computer program does not necessarily correspond to the file of the file system. The program may be stored in a single file provided to the requested program, or in multiple interactive files (e.g., a file storing one or more modules, subprograms, or portions of code) (E.g., one or more scripts stored in a markup language document).
이렇게 구현된 암호 통신 장치(100)는 다른 기기에 구비된 다른 암호 통신 장치와 연동하여, 상기 단말(10)과 서버(20) 간에 서로 다른 암호화 수준을 갖는 복수의 보안 터널을 생성한 후, 송신할 데이터가 발생하면, 상기 데이터의 암호화 수준을 나타내는 보안 등급을 확인하고, 확인된 보안 등급에 따라서, 상기 복수의 보안 터널 중 하나를 선택하여 상기 데이터를 암호화하여 송신하는 기능을 수행한다.The cryptographic communication apparatus 100 implemented in this manner generates a plurality of secure tunnels having different encryption levels between the terminal 10 and the server 20 in cooperation with other cryptographic communication apparatuses provided in other apparatuses, A security level indicating an encryption level of the data is checked and a function of selecting one of the plurality of security tunnels according to the identified security level and encrypting and transmitting the data is performed.
도 2는 본 발명에 따른 암호 통신 장치 및 보안 제어 장치의 상세 연결 구조를 나타낸 도면이다. 도 2에서 상기 암호 통신 장치(100)를 제1,2 암호 통신 장치(101, 102)로 구분하여 도시한다. 여기서, 제1,2 암호 통신 장치(101, 102)는 단순히 상호 데이터를 송수신하는 두 기기, 예를 들어, 단말(10)과 서버(20)에 구비된 암호 통신 장치를 구분하기 위한 것일뿐, 그 기능을 동일하다.2 is a diagram illustrating a detailed connection structure of an encryption communication apparatus and a security control apparatus according to the present invention. 2, the cryptographic communication apparatus 100 is divided into first and second cryptographic communication apparatuses 101 and 102. FIG. Here, the first and second cryptographic communication apparatuses 101 and 102 are merely for distinguishing between two apparatuses for transmitting and receiving mutual data, for example, a cryptographic communication apparatus provided in the terminal 10 and the server 20, Its function is the same.
도 2를 참조하면, 암호 통신을 수행하여야 할 두 기기에 각각 탑재된 제1,2 암호 통신 장치(101, 102)는 상기 두 기기를 연결하는 복수의 보안 터널을 생성한다. 여기서, 보안 터널의 생성은, IPsec와 같은 공지된 프로토콜에 따라서 이루어질 수 있다. 이때, 복수의 보안 터널은, 서로 다른 암호화 수준을 갖는 것으로서, 예를 들어, 암호화 알고리즘, 키 길이, 암호화 운용 모드 중 적어도 하나가 다르게 설정될 수 있다.Referring to FIG. 2, the first and second cryptographic communication devices 101 and 102, which are installed in two devices to be cryptographically communicated, create a plurality of security tunnels connecting the two devices. Here, the creation of the secure tunnel may be performed according to a known protocol such as IPsec. At this time, the plurality of secure tunnels have different encryption levels. For example, at least one of the encryption algorithm, the key length, and the encryption operation mode may be set differently.
예를 들어, 본 발명에 따른 암호 통신에 있어서, 암호화 알고리즘으로 AES(Advanced Encryption Standard)이 적용될 수 있다.For example, in the encrypted communication according to the present invention, AES (Advanced Encryption Standard) may be applied as an encryption algorithm.
상기 AES는 종래의 DES(Data Encryption Standard) 알고리즘을 대신하기 위하여 미국표준기술연구소(NIST: National Institute of Standards and Technology)에서 제안된 대칭키 방식의 암호화 알고리즘으로서, 128, 192, 256 비트의 크기를 가질 수 있는 키 값을 가지고 128 비트 입력에 대해서 SubBytes, ShiftRows, MixColumns, AddRoundKey 등 4개의 기본 연산을 반복 수행하여, 데이터를 암호화한다. 또한, AES는 입력된 데이터를 128 비트(16 바이트) 단위의 블록으로 암호화할 때, 블록 간을 연관시키는 암호화 운용 모드로, ECB(Electric Code Book) 모드, CBC(Cipher Block Chaining) 모드, CFB(Cipher Feedback) 모드, OFB(Output Feedback) 모드 및 CTR(Counter) 모드 등 총 5 가지의 동작모드를 선택할 수 있다.The AES is a symmetric key encryption algorithm proposed by the National Institute of Standards and Technology (NIST) in place of the conventional DES (Data Encryption Standard) algorithm, and has a size of 128, 192, and 256 bits And performs four basic operations such as SubBytes, ShiftRows, MixColumns, and AddRoundKey for a 128-bit input with a key value that can be held, thereby encrypting the data. AES is an encryption operation mode for associating blocks when input data is encrypted in a 128-bit (16-byte) block. The AES is an electric code book (ECB) mode, a cipher block chaining (CBC) Cipher Feedback mode, OFB (Output Feedback) mode and CTR (Counter) mode.
이러한 AES 알고리즘은 키 길이 및 암호화 운용 모드에 따라서 보안 수준이 달라질 수 있다. The security level of such an AES algorithm may vary depending on the key length and the encryption operation mode.
따라서, 본 발명의 일 실시 예에서, 제1,2 암호 통신 장치(101, 102)는 AES-128-CBC, AES-192-CBC, AES-256-CBC의 세 가지 암호화 방식이 각각 적용된 세 개의 보안 터널을 생성한다. 여기서, AES-128-CBC는 128 비트의 키 및 CBC 모드로 암호화되는 AES 알고리즘을 의미하며, AES-192-CBC는 192 비트의 키 및 CBC 모드로 운용되는 AES 알고리즘을 의미하며, AES-256-CBC는 256 비트의 키 및 CBC 모드로 운용되는 AES 알고리즘을 의미한다. 본 실시 예에서는 키 길이를 달리하여 보안 터널의 암호화 수준을 달리한 것으로, 키 길이에 비례하여 암호화 수준이 높다. 그러나, 이는 실시 예에 불과하며, 운용 모드, 암호화 알고리즘을 다르게 설정할 수도 있다. 예를 들어, 데이터의 무결성이 요구되는 경우, CBC 모드를 적용하면서, 데이터의 기밀성 제공이 요구되는 데이터의 경우, CTR 모드를 적용할 수 있다.Therefore, in an embodiment of the present invention, the first and second cryptographic communication apparatuses 101 and 102 are provided with three encryption methods, AES-128-CBC, AES-192-CBC and AES- Create a secure tunnel. The AES-128-CBC means a 128-bit key and the AES algorithm which is encrypted in the CBC mode. The AES-192-CBC means a 192-bit key and the AES algorithm operated in the CBC mode. CBC means 256 bit key and AES algorithm operated in CBC mode. In this embodiment, the encryption level of the security tunnel is different by varying the key length, and the encryption level is high in proportion to the key length. However, this is an embodiment only, and the operation mode and the encryption algorithm may be set differently. For example, when the integrity of data is required, the CTR mode can be applied to data for which confidentiality of data is required while applying the CBC mode.
이에 제1,2 암호 통신 장치(101, 102)는, 송신할 데이터의 보안 등급에 따라서, AES-128-CBC, AES-192-CBC, AES-256-CBC 중 어느 한 방식의 보안 터널을 선택하여 상기 데이터를 전송할 수 있다. 예를 들어, 높은 보안 등급을 갖는 데이터인 경우, AES-256-CBC의 보안 터널을 통해 전송하고, 보안 등급이 낮은 데이터의 경우 AES-128-CBC의 보안 터널을 통해 전송할 수 있다. 여기서, 보안 터널을 통해 전송한다는 의미는, 해당 보안 터널에 설정된 암호화 파라미터(암호화 알고리즘, 키값, 암호화 운용 모드 등)를 적용하여 데이터를 암호화하는 과정을 포함한다. The first and second cryptographic communication apparatuses 101 and 102 select one of the AES-128-CBC, AES-192-CBC and AES-256-CBC security tunnels according to the security level of data to be transmitted And transmit the data. For example, data having a high security level may be transmitted through a secure tunnel of AES-256-CBC, and data having a low security level may be transmitted through a secure tunnel of AES-128-CBC. Here, the transmission through the secure tunnel includes a process of encrypting data by applying encryption parameters (encryption algorithm, key value, encryption operation mode, etc.) set in the corresponding secure tunnel.
아울러, 상기 제1,2 암호 통신 장치(101, 102)는 보안 제어 장치(200)와 연동하여 상기 데이터 전송 시 이용할 보안 터널을 변경할 수 있다.  In addition, the first and second cryptographic communication devices 101 and 102 may change the security tunnel to be used in the data transmission in conjunction with the security control device 200. [
상기, 보안 제어 장치(200)는 제1,2 암호 통신 장치(101, 102)가 탑재된 기기, 예를 들어, 단말(10) 및 서버(20)의 컴퓨팅 자원 사용율을 모니터링하고, 모니터링된 컴퓨팅 자원 사용율에 대한 정보를 상기 제1,2 암호 통신 장치(101, 102)로 제공한다. 이에 상기 제1,2 암호 통신 장치(101, 102)는 컴퓨팅 자원 사용율을 확인하여 기 설정된 임계치 이상인 경우, 상기 데이터의 보안 등급에 따라 선택한 보안 터널을 보다 낮은 암호화 수준의 보안 터널로 변경할 수 있다. 이에, 데이터를 송신 또는 수신하는 기기, 즉 단말(10) 또는 서버(20)의 컴퓨팅 자원 사용율이 높아 시스템 과부하상태인 경우, 앞서 AES-256-CBC의 보안 터널을 통해 전송하던 데이터를 그보다 암호화 수준이 낮은 AES-192-CBC의 보안 터널을 통해 전송할 수 있다. 이렇게 컴퓨팅 자원 사용율이 높은 경우, 암호화 수준을 낮춤으로써, 암호화 처리에 따른 연산량을 줄이고, 이를 통해 전송 성능의 저하를 최소화할 수 있다.The security control apparatus 200 monitors the usage rate of computing resources of the devices, for example, the terminal 10 and the server 20, on which the first and second cryptographic communication apparatuses 101 and 102 are mounted, And provides information on the resource utilization rate to the first and second cryptographic communication devices (101, 102). The first and second cryptographic communication devices 101 and 102 may check the usage rate of the computing resources and change the security tunnel selected according to the security level of the data to a security tunnel having a lower encryption level when the usage rate is higher than a predetermined threshold. Accordingly, in a system overload state due to a high utilization rate of computing resources of the device transmitting or receiving data, that is, the terminal 10 or the server 20, the data transmitted through the security tunnel of the AES-256- Can be transmitted through the secure tunnel of the lower AES-192-CBC. When the computing resource utilization rate is high, by lowering the encryption level, it is possible to reduce the computation amount due to the encryption processing, thereby minimizing the degradation of the transmission performance.
또한, 상기 보안 제어 장치(200)는 기 설정된 보안 정책에 근거하여, 데이터의 보안 등급과 보안 터널의 매핑 정보를 관리하며, 이를 제1,2 암호 통신 장치(101, 102)로 제공한다. 이에, 상기 제1,2 암호 통신 장치(101, 102)는, 보안 제어 장치(200)로부터의 수신된 정보에 따라서, 상기 데이터의 보안 등급과 보안 터널의 매핑 정보를 변경할 수 있다. 여기서, 보안 등급은, 데이터의 종류 별로 구분되어 설정될 수 있다.Also, the security control device 200 manages the security level of the data and the mapping information of the secure tunnel based on the preset security policy, and provides it to the first and second cryptographic communication devices 101 and 102. The first and second cryptographic communication apparatuses 101 and 102 can change the security level of the data and the mapping information of the secure tunnel according to information received from the security control apparatus 200. [ Here, the security level can be set separately for each type of data.
도 3은 본 발명에 따른 암호 통신 장치(100)의 구성을 나타낸 블럭도로서, 이를 참조하면, 암호 통신 장치(100)는, 데이터 전처리부(110)와, 데이터 송신부(120)와, 보안 정책 관리부(130)를 포함할 수 있다.3 is a block diagram showing the configuration of an encryption communication apparatus 100 according to the present invention. The encryption communication apparatus 100 includes a data preprocessing unit 110, a data transmission unit 120, a security policy And may include a management unit 130.
상기 데이터 전처리부(110)는, 상기 데이터의 보안 등급에 맞는 암호화 수준의 보안 터널을 선택하기 위한 구성으로서, 송신할 데이터를 입력 받아, 상기 데이터의 종류에 대응하는 보안 등급을 확인하고, 확인된 보안 등급에 대응하는 암호화 수준의 보안 터널을 통해 전송되도록 데이터 전처리를 수행한다. 구체적으로, 상기 데이터 전처리부(110)는 상기 확인된 보안 등급에 대응하여 전송될 보안 터널을 나타내는 포워드 마크(Forward mark)를 상기 데이터에 부가할 수 있다.The data preprocessing unit 110 receives the data to be transmitted and confirms the security level corresponding to the type of the data, And performs data preprocessing so as to be transmitted through a security tunnel having an encryption level corresponding to the security level. Specifically, the data preprocessing unit 110 may add a forward mark indicating a security tunnel to be transmitted to the data in accordance with the identified security level.
그리고, 데이터 송신부(120)는 서로 다른 암호화 수준을 갖는 복수의 보안 터널을 생성하고, 상기 데이터 전처리부에서 선택된 보안 터널을 통해서 상기 데이터를 전송하기 위한 구성이다. 예를 들어, 상기 데이터 송신부(120)는 포워딩 마크 별로 대응하는 보안 터널을 매핑한 라우팅 테이블을 구비하고, 상기 라우팅 테이블을 통해 상기 데이터 전처리부(110)로부터 전달된 데이터에 부가된 포워드 마크에 대응하는 보안 터널을 확인하고, 해당 보안 터널을 통해 암호화 전송을 수행한다.The data transmission unit 120 generates a plurality of security tunnels having different encryption levels and transmits the data through the security tunnel selected by the data preprocessing unit. For example, the data transmission unit 120 may include a routing table mapping a corresponding security tunnel for each forwarding mark, and may correspond to a forwarding mark added to data transferred from the data preprocessing unit 110 through the routing table , And performs encryption transmission through the corresponding security tunnel.
더하여, 상기 데이터 전처리부(110)는 암호 통신을 수행하는 기기(단말(10) 및 서버(20))의 컴퓨팅 자원 사용율을 더 확인하여, 상기 컴퓨팅 자원 사용율이 기 설정된 임계치 이상이면, 상기 데이터의 보안 등급에 따라서 선택한 보안 터널을, 현재 선택된 보안 터널 보다 낮은 암호화 수준의 보안 터널로 변경할 수 있다. 즉, 기기의 컴퓨팅 자원 사용율을 더 고려하여, 컴퓨팅 자원 사용율이 기 설정된 임계치 이상인 경우, 상기 보안 등급에 대응하는 보안 터널보다 낮은 수준의 보안 터널의 포워딩 마크를 해당 데이터에 부가할 수 있다. 여기서, 임계치는, 기기의 시스템 과부하를 고려하여 설정될 수 있다.In addition, the data preprocessing unit 110 further checks the usage rate of the computing resources of the devices (the terminal 10 and the server 20) performing the cryptographic communication, and if the computing resource utilization rate is greater than or equal to a predetermined threshold value, The security tunnel selected according to the security level can be changed to a security tunnel having a lower encryption level than the currently selected security tunnel. That is, when the computing resource usage rate is greater than or equal to a predetermined threshold value, a forwarding mark of a security tunnel lower in level than the security tunnel corresponding to the security level may be added to the corresponding data. Here, the threshold value may be set in consideration of the system overload of the apparatus.
마지막으로, 상기 보안 정책 관리부(130)는 상기 데이터 전처리부(110)에서 보안 터널의 선택 시에 기준이되는 데이터의 보안 등급과 보안 터널의 매핑 정보를 관리하기 위한 구성으로서, 도 1 및 도 2에 도시한 보안 제어 장치(200)로부터 보안 정책을 수신하고, 수신된 보안 정책에 근거하여 데이터의 보안 등급과 보안 터널의 매핑 정보를 설정한다. 아울러, 보안 정책이 변경된 경우, 상기 보안 정책 관리부(130)는 기 설정된 매핑 정보를 상기 변경된 보안 정책에 따라서 변경할 수 있다.Lastly, the security policy management unit 130 is configured to manage the security level of the data and the mapping information of the secure tunnel at the time of selecting the security tunnel in the data preprocessing unit 110, Receives the security policy from the security control apparatus 200 shown in FIG. 4A, and sets the security level of the data and the mapping information of the secure tunnel based on the received security policy. In addition, when the security policy is changed, the security policy management unit 130 may change predetermined mapping information according to the changed security policy.
다음으로, 상술한 바와 같이 구성된 암호 통신 장치(100)에 의해 수행되는 암호 통신 과정을 도 4 내지 도 7을 참조하여 구체적으로 설명한다. 여기서, 도 4 내지 도 6은 본 발명에 따른 암호 통신 방법의 순서도이고, 도 7은 본 발명에 따른 암호 통신 처리 과정의 일 예를 나타낸 모식도이다.Next, an encrypted communication process performed by the encrypted communication device 100 configured as described above will be described in detail with reference to Figs. 4 to 7. Fig. 4 to 6 are flowcharts of an encryption communication method according to the present invention, and FIG. 7 is a schematic diagram illustrating an example of an encryption communication processing procedure according to the present invention.
기본적으로, 본 발명에 따른 암호 통신 장치(100)는, 도 4에 도시된 바와 같이 동작할 수 있다.Basically, the encrypted communication apparatus 100 according to the present invention can operate as shown in FIG.
즉, 상기 암호 통신 장치(100)는 통신하고자 하는 상대 장치와의 사이에 암호화 전송을 위한 보안 터널을 생성하되, 서로 다른 암호화 수준을 갖는 복수의 보안 터널을 생성한다(S110). 상기 보안 터널은 IPsec와 같은 프로토콜에 기반하여 생성될 수 있는 것으로서, 그 구체적인 방법은 기존에 알려져 있으므로 여기에서는 그 설명을 생략한다. 이때 복수의 보안 터널은, 암호화 알고리즘, 키 길이, 암호화 운용 모드 등의 암호화 파라미터 중 하나 이상을 달리함으로써, 서로 다른 암호화 수준을 가질 수 있다. 예를 들어, 본 발명의 일 실시 예에서는, AES 알고리즘 중 키 길이를 128비트, 192비트, 256 비트로 변경하여 암호화 수준을 구분하거나, AES 알고리즘의 블록 암호화 운용 모드를 다르게 설정하여, 암호화 수준을 구분할 수 있다. 여기서, 하나의 암호화 알고리즘만을 예로 들었으나, 복수의 터널의 암호화 수준을 달리하기 위하여, 다른 암호화 알고리즘을 더 사용할 수 있다.That is, the cryptographic communication apparatus 100 generates a plurality of secure tunnels having different encryption levels, while creating a secure tunnel for encrypted transmission between the cryptographic communication apparatus 100 and a counterpart device to which communication is to be performed (S110). The security tunnel can be created based on a protocol such as IPsec, and a specific method thereof is known in the prior art and will not be described here. The plurality of secure tunnels may have different encryption levels by changing one or more of encryption parameters such as an encryption algorithm, a key length, and an encryption operation mode. For example, in an embodiment of the present invention, the encryption level is divided by changing the key length to 128 bits, 192 bits, or 256 bits in the AES algorithm, or the block encryption operation mode of the AES algorithm is set differently, . Here, although only one encryption algorithm is used as an example, another encryption algorithm may be further used to change the encryption levels of a plurality of tunnels.
더하여, 상기 암호 통신 장치(100)는 상기 생성된 복수의 보안 터널과 데이터의 보안 등급 간의 매핑 관계를 설정한다(S120). 이는 보안 제어 장치(200)로부터 전송된 보안 정책에 따라서 이루어질 수 있다. 여기서, 보안 정책은, 데이터 종류 별로 요구되는 보안 수준을 나타내는 보안 등급, 보안 등급 별로 요구되는 보안 수준에 대응하는 보안 터널 간의 관계를 정의한 것이다. 예를 들어, 보안 정책에서는, 메타 데이터를 다른 데이터에 비하여 낮은 보안 등급으로 설정할 수 있고, 또한, 검침 데이터를 문자 데이터보다 높은 보안 등급으로 설정할 수 있다. 또한, 보안 정책은, 이미지 데이터와 텍스트 데이터를 구분하여 보안 등급을 설정할 수 도 있다. In addition, the cryptographic communication apparatus 100 sets a mapping relation between the generated security tunnels and the security level of the data (S120). This can be done according to the security policy transmitted from the security control apparatus 200. [ Here, the security policy defines a security level indicating a security level required for each data type, and a relationship between security tunnels corresponding to a security level required for each security level. For example, in the security policy, the metadata can be set to a lower security level as compared with other data, and the metering data can be set to a security level higher than that of the character data. In addition, the security policy can also set a security level by distinguishing image data from text data.
그리고, 암호 통신 장치(100)는, 상대 장치로 송신할 데이터가 발생하면(S130), 상기 데이터의 암호화 수준을 나타내는 보안 등급을 확인하고(S140), 확인된 보안 등급에 따라서, 상기 복수의 보안 터널 중 하나를 선택한다(S150). 도 7은 상술한 S130 내지 S150 단계의 수행 과정의 일 예를 도식화하여 나타낸 도면이다. 본 발명의 일 실시 에서는, 도 7에 도시된 바와 같이, 데이터의 보안 등급 및 보안 터널 간의 매핑을 위하여, 데이터 종류별로 부여되는 포워딩 마크(71a)와, 라우팅 테이블(72a)과, 보안 터널(72b)을 매핑하여 관리할 수 있다. 그리고, 암호 통신 장치(100)의 데이터 전처리부(110)는, 부호 71에 표시된 바와 같이, 송신할 데이터(packet1, packet2, packet3)가 발생하면, 상기 각 데이터의 보안 등급을 확인하고, 보안 등급에 대응하는 보안 터널의 라우팅 테이블에 대한 식별 정보를 포워딩 마크(71a)로서, 상기 데이터(packet1, packet2, packet3)에 부가한다. 이렇게 포워딩 마크(71a)이 부가된 데이터(packet1, packet2, packet3)는 데이터 송신부(120)로 전달되며, 데이터 송신부(120)는 부호 72로 표시된 바와 같이, 입력된 데이터에 부가된 포워딩 마크(71a)를 확인하여, 포워딩 마크(71a)에 대응하는 라우팅 테이블(72a)를 확인하고, 해당 라우팅 테이블(72a)에 정의된 보안 터널(72b)를 통해 상기 데이터를 암호화하여 전송한다.When the data to be transmitted to the partner device occurs (S130), the encryption communication device 100 confirms the security level indicating the encryption level of the data (S140), and according to the checked security level, One of the tunnels is selected (S150). FIG. 7 is a diagram illustrating an exemplary process of performing steps S130 through S150 described above. 7, a forwarding mark 71a assigned to each data type, a routing table 72a, and a security tunnel 72b are provided for mapping between the security level of data and security tunnels, as shown in FIG. ) Can be managed and managed. The data preprocessing unit 110 of the cryptographic communication apparatus 100 checks the security level of each data when the data to be transmitted (packet1, packet2, packet3) occurs as indicated by reference numeral 71, To the data (packet1, packet2, packet3) as the forwarding mark 71a. The data (packet1, packet2, packet3) to which the forwarding mark 71a is added is transmitted to the data transmitting unit 120. The data transmitting unit 120 transmits the forwarding mark 71a Confirms the routing table 72a corresponding to the forwarding mark 71a and encrypts and transmits the data through the security tunnel 72b defined in the routing table 72a.
상술한 과정 S130 단계 내지 S150 단계는 데이터 전송이 종료되기 전까지, 송신할 데이터가 발생시마다 수행되어, 데이터별로 서로 다른 암호화 수준으로 데이터를 암호화할 수 있다.The above-described steps S130 through S150 are performed every time data to be transmitted is transmitted until data transmission is completed, and data can be encrypted with different encryption levels for each data.
도 4에 도시된 바와 같이, 데이터의 보안 등급에 대응하는 암호화 수준의 보안 터널을 통해서 데이터를 전송하는 동안, 본 발명에 따른 암호 통신 장치(100)는 도 5의 과정을 더 수행하여, 컴퓨팅 자원 사용율에 따라서 상기 보안 등급의 데이터의 암호화 수준을 변경할 수 있다.4, during transmission of data through a secure tunnel having an encryption level corresponding to the security level of data, the cryptographic communication apparatus 100 according to the present invention further performs the process of FIG. 5, The encryption level of the data of the security level can be changed according to the usage rate.
구체적으로, 도 5를 참조하면, 본 발명에 따른 암호 통신 장치(100)는 암호화 통신을 수행하는 기기, 즉, 단말(10) 또는 서버(20)의 컴퓨팅 자원 사용율을 확인한다(S210). 이는 상기 암호 통신 장치(100)는 보안 제어 장치(200)로부터 상기 보안 제어 장치(200)에 의해 모니터링된 단말(10) 또는 서버(20)의 컴퓨팅 자원 사용율에 대한 정보를 수신하는 형태로 이루어질 수 있다.5, the cryptographic communication apparatus 100 according to the present invention checks the usage rate of a computing resource of a device performing encryption communication, that is, the terminal 10 or the server 20 at step S210. The cryptographic communication apparatus 100 may be configured to receive information on the computing resource utilization rate of the terminal 10 or the server 20 monitored by the security control apparatus 200 from the security control apparatus 200 have.
그리고, 암호 통신 장치(100)는 상기 컴퓨팅 자원 사용율에 따라서 현재 선택된 보안 터널을, 다른 암호화 수준의 보안 터널로 변경할 수 있다.구체적으로, 암호 통신 장치(100)는 상기 확인한 컴퓨팅 자원 사용률을 기 설정된 임계치와 비교한다(S220). 예를 들어, 상기 임계치는 컴퓨팅 시스템의 과부하 상태를 기준으로 설정될 수 있다.The cryptographic communication apparatus 100 may change the currently selected security tunnel to a secure tunnel having a different encryption level according to the computing resource usage rate. Specifically, the cryptographic communication apparatus 100 sets Is compared with a threshold value (S220). For example, the threshold may be set based on an overload condition of the computing system.
비교 결과, 상기 컴퓨팅 자원 사용율이 기 설정된 임계치 이상이면, 컴퓨팅 시스템이 과부하 상태이거나, 과부하 상태로 될 가능성이 있는 것으로 판단하여, 현재 선택된 보안 터널 보다 낮은 암호화 수준의 보안 터널로 변경한다(S230). 이는 현재 송신할 데이터의 보안 등급에 대응하는 포워딩 마크를 그 보다 낮은 수준의 보안 등급에 대응하는 포워딩 마크로 변경함에 의해 이루어질 수 있다. As a result of the comparison, if the computing resource usage rate is greater than or equal to a predetermined threshold value, the computing system determines that there is an overload state or an overload state, and changes the security tunnel to a security tunnel having a lower encryption level than the currently selected security tunnel. This can be done by changing the forwarding mark corresponding to the security level of the data to be transmitted at present to a forwarding mark corresponding to the lower security level.
반대로, 상기 컴퓨팅 자원 사용율이 기 설정된 임계치 이상이 아니면, 암호 통신 장치(100)는 상기 현재 송신할 데이터의 보안 등급에 따라 선택된 보안 터널을 그대로 유지한다(S240).In contrast, when the computing resource utilization rate is not equal to or greater than the predetermined threshold value, the cryptographic communication apparatus 100 maintains the selected security tunnel according to the security level of the currently transmitted data (S240).
여기서는, 시스템 과부하 시 낮은 암호화 수준의 보안 터널로 변경하는 것에 대해서만 설명하였으나, 이와 달리, 본 발명은 암호화 처리에 요구되는 연산량을 고려하여 임계치를 설정하고, 컴퓨팅 자원 사용율이 임계치보다 낮은 경우, 현재 선택된 보안 터널보다 높은 암호화 수준의 보안 터널로 변경하도록 할 수도 있다. 또한, 본 발명은 복수의 임계치를 설정하고, 상기 컴퓨팅 자원 사용율과 임계치들의 비교 결과에 따라서, 상기 선택된 보안 터널을 더 낮은 암호화 수준의 보안 터널 또는 더 높은 암호화 수준의 보안 터널로 변경할 수 도 있다.In this case, only a change to a security tunnel having a low encryption level upon system overloading has been described. However, the present invention sets a threshold considering the amount of computation required for encryption processing, and if the computing resource utilization rate is lower than the threshold, You may want to change to a secure tunnel with a higher encryption level than the secure tunnel. The present invention may also set a plurality of thresholds and change the selected secure tunnel to a lower-security tunnel or a higher-encryption-level secure tunnel, depending on the result of comparison of the computing resource utilization and thresholds.
상술한 과정은 데이터 전송이 종료되기 전까지 반복하여 이루어질 수 있다(S250).The above-described process may be repeated until data transmission is terminated (S250).
이상에서 설명한 S210 단계 내지 S250 단계는, 도 2의 S140 단계 이후에 수행될 수 있다.The above-described steps S210 to S250 may be performed after step S140 in FIG.
따라서, 본 발명에 따른 암호 통신 장치(100)는 컴퓨팅 자원 사용율이 임계치 이상이 되면, 송신할 데이터의 보안 등급에 따라 선택된 보안 터널 보다 낮은 암호화 수준의 보안 터널을 통해 데이터를 전송하다가, 컴퓨팅 자원 사용율이 임계치 이하로 낮아지면, 다시 송신할 데이터의 보안 등급에 따라 선택된 보안 터널을 통해서 데이터를 전송하게 된다.Therefore, when the computing resource usage rate exceeds a threshold value, the cryptographic communication apparatus 100 according to the present invention transmits data through a secure tunnel having a lower encryption level than the security tunnel selected according to the security level of data to be transmitted, Is lower than the threshold value, the data is transmitted through the selected security tunnel according to the security level of the data to be transmitted again.
그 결과, 컴퓨팅 자원 사용율이 높은 시스템 과부하 상태 혹은 그에 근접한 상태인 동안은 보다 낮은 암호화 수준으로 암호 통신을 수행함으로써, 암호화 처리에 따른 시스템 부하 증가를 경감시키고, 컴퓨팅 자원 사용율이 충분히 낮아지면 다시 데이터의 보안 등급에 따른 암호화 수준으로 암호 통신을 수행함으로써 효율적인 데이터 전송이 가능하게 된다.As a result, it is possible to reduce the increase of the system load due to the encryption processing by performing the encrypted communication at a lower encryption level while the system is overloaded or close to the system where the utilization rate of the computing resource is high, Efficient data transmission is possible by performing encrypted communication at an encryption level according to the security level.
더하여, 본 발명에 따른 암호 통신 장치(100)는 보안 정책에 따라서, 데이터의 보안 등급에 매핑되는 암호화 수준을 동적으로 변경할 수 있다.In addition, the cryptographic communication apparatus 100 according to the present invention can dynamically change the encryption level mapped to the security level of the data according to the security policy.
이를 위하여, 상기 암호 통신 장치(100)는 보안 제어 장치(200)로부터 전송된 보안 정책을 수신하고, 수신된 보안 정책에 근거하여, 데이터 종류별 보안 등급과 보안 터널의 매핑 정보를 동적으로 변경 설정할 수 있다.To this end, the cryptographic communication apparatus 100 receives the security policy transmitted from the security control apparatus 200, and dynamically changes the mapping information of the security tunnel and the security level for each data type based on the received security policy have.
이를 위하여, 보안 제어 장치(200)는 보안 정책에 기반한 데이터와 보안 터널의 매핑 관계 정보를 관리하고 있으며(S310), 보안 정책이 변경될 경우(S320), 변경된 보안 정책에 따라서, 상기 데이터와 보안 터널의 매핑 관계를 변경하고(S330), 변경된 보안 정책에 따른 데이터와 보안 터널의 매핑 관계 정보를 상기 암호 통신 장치(100)로 전송하여(S340), 상기 암호 통신 장치(100)가 변경된 보안 정책에 따른 데이터와 보안 터널의 매핑 관계 정보를 설정하도록 할 수 있다.For this, the security control apparatus 200 manages the mapping relationship information between the data based on the security policy and the security tunnel (S310), and when the security policy is changed (S320) The mapping relationship of the tunnel is changed in step S330 and the mapping relationship information of the security tunnel and the data according to the changed security policy is transmitted to the cryptographic communication apparatus 100 in step S340. And the mapping information of the security tunnel can be set.
이에 따르면, 서비스 제공자의 운영 방침에 따라서 변경되는 보안 정책에 따라서 암호 통신 장치(100)에서 적용하는 데이터와 보안 터널의 매핑 관계를 동적으로 변경할 수 있게 된다.According to this, it is possible to dynamically change the mapping relationship between the data and the security tunnel applied by the cryptographic communication apparatus 100 according to the security policy changed according to the operation policy of the service provider.
본 발명에 따른 암호 통신 방법은 다양한 컴퓨터 수단을 통하여 판독 가능한 소프트웨어 형태로 구현되어 컴퓨터로 판독 가능한 기록매체에 기록될 수 있다. 여기서, 기록매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 기록매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 예컨대 기록매체는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(Magnetic Media), CD-ROM(Compact Disk Read Only Memory), DVD(Digital Video Disk)와 같은 광 기록 매체(Optical Media), 플롭티컬 디스크(Floptical Disk)와 같은 자기-광 매체(Magneto-Optical Media), 및 롬(ROM), 램(RAM, Random Access Memory), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치를 포함한다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함할 수 있다. 이러한 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.The cryptographic communication method according to the present invention can be implemented in the form of software readable by various computer means and recorded in a computer-readable recording medium. Here, the recording medium may include program commands, data files, data structures, and the like, alone or in combination. Program instructions to be recorded on a recording medium may be those specially designed and constructed for the present invention or may be available to those skilled in the art of computer software. For example, the recording medium may be an optical recording medium such as a magnetic medium such as a hard disk, a floppy disk and a magnetic tape, a compact disk read only memory (CD-ROM), a digital video disk (DVD) Includes a hardware device that is specially configured to store and execute program instructions such as a magneto-optical medium such as a floppy disk and a ROM, a random access memory (RAM), a flash memory, do. Examples of program instructions may include machine language code such as those generated by a compiler, as well as high-level language code that may be executed by a computer using an interpreter or the like. Such a hardware device may be configured to operate as one or more software modules to perform the operations of the present invention, and vice versa.
이상과 같이, 본 명세서와 도면에는 본 발명의 바람직한 실시 예에 대하여 개시하였으나, 여기에 개시된 실시 예외에도 본 발명의 기술적 사상에 바탕을 둔 다른 변형 예들이 실시 가능하다는 것은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 자명한 것이다. 또한, 본 명세서와 도면에서 특정 용어들이 사용되었으나, 이는 단지 본 발명의 기술 내용을 쉽게 설명하고 발명의 이해를 돕기 위한 일반적인 의미에서 사용된 것이지, 본 발명의 범위를 한정하고자 하는 것은 아니다.While the present invention has been described in connection with what is presently considered to be practical exemplary embodiments, it is to be understood that the invention is not limited to the disclosed embodiments, but, on the contrary, It will be apparent to those skilled in the art. Furthermore, although specific terms are used in this specification and the drawings, they are used in a generic sense only to facilitate the description of the invention and to facilitate understanding of the invention, and are not intended to limit the scope of the invention.
비록 본 명세서와 도면에서는 예시적인 장치 구성을 기술하고 있지만, 본 명세서에서 설명하는 기능적인 동작과 주제의 구현물들은 다른 유형의 디지털 전자 회로로 구현되거나, 본 명세서에서 개시하는 구조 및 그 구조적인 등가물들을 포함하는 컴퓨터 소프트웨어, 펌웨어 혹은 하드웨어로 구현되거나, 이들 중 하나 이상의 결합으로 구현 가능하다. 본 명세서에서 설명하는 주제의 구현물들은 하나 이상의 컴퓨터 프로그램 제품, 다시 말해 본 발명에 따른 장치의 동작을 제어하기 위하여 혹은 이것에 의한 실행을 위하여 유형의 프로그램 저장매체 상에 인코딩된 컴퓨터 프로그램 명령에 관한 하나 이상의 모듈로서 구현될 수 있다. 컴퓨터로 판독 가능한 매체는 기계로 판독 가능한 저장 장치, 기계로 판독 가능한 저장 기판, 메모리 장치, 기계로 판독 가능한 전파형 신호에 영향을 미치는 물질의 조성물 혹은 이들 중 하나 이상의 조합일 수 있다.Although the present specification and drawings describe exemplary device configurations, the functional operations and subject matter implementations described herein may be embodied in other types of digital electronic circuitry, or alternatively, of the structures disclosed herein and their structural equivalents May be embodied in computer software, firmware, or hardware, including, or in combination with, one or more of the foregoing. Implementations of the subject matter described herein may be embodied in one or more computer program products, i. E. One for computer program instructions encoded on a program storage medium of the type for < RTI ID = 0.0 & And can be implemented as a module as described above. The computer-readable medium can be a machine-readable storage device, a machine-readable storage substrate, a memory device, a composition of matter that affects the machine readable propagation type signal, or a combination of one or more of the foregoing.
본 명세서는 다수의 특정한 구현물의 세부사항들을 포함하지만, 이들은 어떠한 발명이나 청구 가능한 것의 범위에 대해서도 제한적인 것으로서 이해되어서는 안되며, 오히려 특정한 발명의 특정한 실시형태에 특유할 수 있는 특징들에 대한 설명으로서 이해되어야 한다. 개별적인 실시형태의 문맥에서 본 명세서에 기술된 특정한 특징들은 단일 실시형태에서 조합하여 구현될 수도 있다. 반대로, 단일 실시형태의 문맥에서 기술한 다양한 특징들 역시 개별적으로 혹은 어떠한 적절한 하위 조합으로도 복수의 실시형태에서 구현 가능하다. 나아가, 특징들이 특정한 조합으로 동작하고 초기에 그와 같이 청구된 바와 같이 묘사될 수 있지만, 청구된 조합으로부터의 하나 이상의 특징들은 일부 경우에 그 조합으로부터 배제될 수 있으며, 그 청구된 조합은 하위 조합이나 하위 조합의 변형물로 변경될 수 있다.While the specification contains a number of specific implementation details, it should be understood that they are not to be construed as limitations on the scope of any invention or claim, but rather on the description of features that may be specific to a particular embodiment of a particular invention Should be understood. Certain features described herein in the context of separate embodiments may be implemented in combination in a single embodiment. Conversely, various features described in the context of a single embodiment may also be implemented in multiple embodiments, either individually or in any suitable subcombination. Further, although the features may operate in a particular combination and may be initially described as so claimed, one or more features from the claimed combination may in some cases be excluded from the combination, Or a variant of a subcombination.
마찬가지로, 특정한 순서로 도면에서 동작들을 묘사하고 있지만, 이는 바람직한 결과를 얻기 위하여 도시된 그 특정한 순서나 순차적인 순서대로 그러한 동작들을 수행하여야 한다거나 모든 도시된 동작들이 수행되어야 하는 것으로 이해되어서는 안 된다. 특정한 경우, 멀티태스킹과 병렬 프로세싱이 유리할 수 있다. 또한, 상술한 실시형태의 다양한 시스템 컴포넌트의 분리는 그러한 분리를 모든 실시형태에서 요구하는 것으로 이해되어서는 안되며, 설명한 프로그램 컴포넌트와 시스템들은 일반적으로 단일의 소프트웨어 제품으로 함께 통합되거나 다중 소프트웨어 제품에 패키징될 수 있다는 점을 이해하여야 한다.Likewise, although the operations are depicted in the drawings in a particular order, it should be understood that such operations must be performed in that particular order or sequential order shown to achieve the desired result, or that all illustrated operations should be performed. In certain cases, multitasking and parallel processing may be advantageous. Also, the separation of the various system components of the above-described embodiments should not be understood as requiring such separation in all embodiments, and the described program components and systems will generally be integrated together into a single software product or packaged into multiple software products It should be understood.
본 명세서에서 설명한 주제의 특정한 실시형태를 설명하였다. 기타의 실시형태들은 이하의 청구항의 범위 내에 속한다. 예컨대, 청구항에서 인용된 동작들은 상이한 순서로 수행되면서도 여전히 바람직한 결과를 성취할 수 있다. 일 예로서, 첨부도면에 도시한 프로세스는 바람직한 결과를 얻기 위하여 반드시 그 특정한 도시된 순서나 순차적인 순서를 요구하지 않는다. 특정한 구현예에서, 멀티태스킹과 병렬 프로세싱이 유리할 수 있다.Certain embodiments of the subject matter described herein have been described. Other embodiments are within the scope of the following claims. For example, the operations recited in the claims may be performed in a different order and still achieve desirable results. By way of example, the process illustrated in the accompanying drawings does not necessarily require that particular illustrated or sequential order to obtain the desired results. In certain implementations, multitasking and parallel processing may be advantageous.
본 기술한 설명은 본 발명의 최상의 모드를 제시하고 있으며, 본 발명을 설명하기 위하여, 그리고 당업자가 본 발명을 제작 및 이용할 수 있도록 하기 위한 예를 제공하고 있다. 이렇게 작성된 명세서는 그 제시된 구체적인 용어에 본 발명을 제한하는 것이 아니다. 따라서, 상술한 예를 참조하여 본 발명을 상세하게 설명하였지만, 당업자라면 본 발명의 범위를 벗어나지 않으면서도 본 예들에 대한 개조, 변경 및 변형을 가할 수 있다.The description sets forth the best mode of the invention, and is provided to illustrate the invention and to enable those skilled in the art to make and use the invention. The written description is not intended to limit the invention to the specific terminology presented. Thus, while the present invention has been described in detail with reference to the above examples, those skilled in the art will be able to make adaptations, modifications, and variations on these examples without departing from the scope of the present invention.
따라서 본 발명의 범위는 설명된 실시 예에 의하여 정할 것이 아니고 특허청구범위에 의해 정하여져야 한다.Therefore, the scope of the present invention should not be limited by the described embodiments but should be defined by the claims.
본 발명은 VPN 등과 같이 터널링 기술을 이용하여 데이터를 송수신하는데 있어서, 암호화 수준이 다른 복수의 보안 터널을 생성하고, 송신할 데이터의 보안 등급에 대응하는 암호화 수준의 보안 터널을 통해서 데이터를 전송하도록 함으로써, 데이터의 보안 등급에 따라서 암호화 수준을 가변하여 보안 요구 사항을 만족시키고, 더하여 전송 효율의 저하를 최소화할 수 있다.In the present invention, in transmitting and receiving data using a tunneling technology such as VPN, a plurality of security tunnels having different encryption levels are generated, and data is transmitted through a security tunnel having an encryption level corresponding to the security level of data to be transmitted , It is possible to vary the encryption level according to the security level of the data to satisfy the security requirement, and additionally, the deterioration of the transmission efficiency can be minimized.
더하여, 본 발명은 암호 통신을 수행하는 기기의 컴퓨팅 자원 사용율에 따라서, 상기 데이터 보안 등급에 따라서 선택된 보안 터널을 다른 암호화 수준의 보안 터널로 변경함으로써, 컴퓨팅 자원 사용율이 높은 경우 암호화 수준을 낮춤으로써 시스템 안정성을 높이면서 일정 성능을 유지할 수 있다.In addition, according to the present invention, a security tunnel selected according to the data security level is changed to a security tunnel having a different encryption level according to a computing resource usage rate of a device performing encryption communication, It can maintain constant performance while improving stability.
또한, 본 발명은 보안 정책의 변경에 따라서, 상기 데이터 보안 등급과 상기 보안 터널 간의 매핑 관계를 동적으로 변경할 수 있다.In addition, the present invention can dynamically change the mapping relationship between the data security class and the secure tunnel according to a change of the security policy.
10: 단말 20: 서버
30: 통신망 100, 101. 102: 암호 통신 장치
110: 데이터 전처리부 120: 데이터 송신부
130: 보안 정책 관리부 200: 보안 제어 장치
10: terminal 20: server
30: communication network 100, 101. 102: encrypted communication device
110: Data preprocessing unit 120: Data transmission unit
130: security policy management unit 200: security control device

Claims (9)

  1. 서로 다른 암호화 수준을 갖는 복수의 보안 터널을 생성하는 단계;
    송신할 데이터가 발생하면, 상기 데이터의 암호화 수준을 나타내는 보안 등급을 확인하는 단계;
    확인된 보안 등급에 따라서, 상기 복수의 보안 터널 중 하나를 선택하는 단계; 및
    선택된 보안 터널을 통해서 상기 데이터를 암호화하여 송신하는 단계를 포함하는 암호 통신 방법.
    Creating a plurality of secure tunnels having different encryption levels;
    Confirming a security level indicating an encryption level of the data when data to be transmitted is generated;
    Selecting one of the plurality of secure tunnels according to the identified security class; And
    And encrypting and transmitting the data through the selected secure tunnel.
  2. 제1항에 있어서,
    상기 데이터를 송신 또는 수신하는 기기의 컴퓨팅 자원 사용률을 확인하는 단계;
    상기 컴퓨팅 자원 사용율에 따라서 상기 선택된 보안 터널을, 다른 암호화 수준의 보안 터널로 변경하는 단계를 더 포함하는 것을 특징으로 하는 암호 통신 방법.
    The method according to claim 1,
    Confirming a computing resource usage rate of a device transmitting or receiving the data;
    Further comprising changing the selected secure tunnel to a secure tunnel having a different encryption level according to the computing resource utilization rate.
  3. 제1항에 있어서,
    상기 복수의 보안 터널을 생성하는 단계 이전에, 기 설정된 보안 정책에 근거하여, 데이터의 보안 등급과 보안 터널의 매핑 관계를 설정하는 단계를 더 포함하는 것을 특징으로 하는 암호 통신 방법.
    The method according to claim 1,
    Further comprising setting a mapping relationship between the security level of the data and the secure tunnel based on the predetermined security policy before the step of creating the plurality of secure tunnels.
  4. 제3항에 있어서, 상기 설정하는 단계는
    보안 제어 장치로부터 상기 보안 정책 또는 상기 데이터의 보안 등급과 보안 터널의 매핑 관계에 대한 정보를 수신하는 단계를 포함하는 것을 특징으로 하는 암호 통신 방법.
    4. The method of claim 3, wherein the setting comprises:
    And receiving information on a mapping relationship between the security policy or the security level of the data and the secure tunnel from the security control device.
  5. 제1항에 있어서, 상기 복수의 보안 터널은
    암호화 알고리즘, 키 길이, 암호화 운용 모드 중 적어도 하나가 다르게 설정되는 것을 특징으로 하는 암호 통신 방법.
    The method of claim 1, wherein the plurality of secure tunnels
    Wherein at least one of an encryption algorithm, a key length, and an encryption operation mode is set differently.
  6. 송신할 데이터가 발생하면, 상기 데이터의 암호화 수준을 나타내는 보안 등급 및 상기 보안 등급에 매핑된 보안 터널을 선택하는 데이터 전처리부; 및
    서로 다른 암호화 수준을 갖는 복수의 보안 터널을 생성하고, 상기 데이터 전처리부에서 선택된 보안 터널을 통해서 상기 데이터를 전송하는 데이터 송신부를 포함하는 암호 통신 장치.
    A data pre-processing unit for selecting a security level indicating an encryption level of the data and a security tunnel mapped to the security level when data to be transmitted is generated; And
    And a data transmission unit for generating a plurality of security tunnels having different encryption levels and transmitting the data through a security tunnel selected by the data preprocessing unit.
  7. 제6항에 있어서, 상기 데이터 전처리부는
    상기 데이터를 송신 또는 수신하는 기기의 컴퓨팅 자원 사용율을 더 확인하여, 상기 컴퓨팅 자원 사용율에 따라서, 상기 선택한 보안 터널을, 다른 암호화 수준의 보안 터널로 변경하는 것을 특징으로 하는 암호 통신 장치.
    7. The apparatus of claim 6, wherein the data preprocessing unit
    Further checking a usage rate of a computing resource of a device transmitting or receiving the data, and changing the selected security tunnel to a security tunnel having a different encryption level according to the computing resource usage rate.
  8. 제6항에 있어서,
    보안 제어 장치로부터 수신되는 보안 정책에 근거하여, 데이터의 보안 등급과 보안 터널의 매핑 정보를 관리하는 보안 정책 관리부를 더 포함하는 것을 특징으로 하는 암호 통신 장치.
    The method according to claim 6,
    Further comprising a security policy management unit for managing security level of data and mapping information of a security tunnel based on a security policy received from the security control device.
  9. 제6항에 있어서, 상기 데이터 송신부는
    암호화 알고리즘, 키 길이, 암호화 운용 모드 중 적어도 하나가 다르게 설정하여 암호화 수준이 다른 복수의 보안 터널을 생성하는 것을 특징으로 하는 암호 통신 장치.
    7. The apparatus of claim 6, wherein the data transmitter
    Wherein at least one of the encryption algorithm, the key length, and the encryption operation mode is set differently to generate a plurality of secure tunnels having different encryption levels.
KR1020140167780A 2014-11-27 2014-11-27 Security communication method and apparatus KR20160063902A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020140167780A KR20160063902A (en) 2014-11-27 2014-11-27 Security communication method and apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140167780A KR20160063902A (en) 2014-11-27 2014-11-27 Security communication method and apparatus

Publications (1)

Publication Number Publication Date
KR20160063902A true KR20160063902A (en) 2016-06-07

Family

ID=56192961

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140167780A KR20160063902A (en) 2014-11-27 2014-11-27 Security communication method and apparatus

Country Status (1)

Country Link
KR (1) KR20160063902A (en)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20080075725A (en) 2007-02-13 2008-08-19 금오공과대학교 산학협력단 Apparatus for multi mode security for wibro wireless internet system

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20080075725A (en) 2007-02-13 2008-08-19 금오공과대학교 산학협력단 Apparatus for multi mode security for wibro wireless internet system

Similar Documents

Publication Publication Date Title
US10764261B2 (en) System and method for enabling a scalable public-key infrastructure on a smart grid network
US20210007176A1 (en) Wireless connection establishing methods and wireless connection establishing apparatuses
CN106209739A (en) Cloud storage method and system
US9306734B2 (en) Communication device, key generating device, and computer readable medium
US9509510B2 (en) Communication device, communication method, and computer program product
CN104539439A (en) Data transmission method and terminal
KR20140141715A (en) Method and apparatus for accelerating connections in a cloud network
CN105659560A (en) Secure communications using adaptive data compression
EP2919498A1 (en) Method, device and system for message processing
US10749667B2 (en) System and method for providing satellite GTP acceleration for secure cellular backhaul over satellite
US9602476B2 (en) Method of selectively applying data encryption function
CN109309650B (en) Data processing method, terminal equipment and network equipment
CN110620762A (en) RDMA (remote direct memory Access) -based data transmission method, network card, server and medium
RU2666326C2 (en) Device and method for encryption and transfer of data
CN107872315B (en) Data processing method and intelligent terminal
CN104217171B (en) A kind of password cracking method, Apparatus and system
CN104618355A (en) Safe data storage and transmission method
CN102624741A (en) TLV (Threshold Limit Value) based data transmission method and system thereof
US8516240B1 (en) WAN secured VDI traffic for WAN optimization without required user configuration
KR20160063902A (en) Security communication method and apparatus
US20190014089A1 (en) Data Security Protection Method and Apparatus
Mushtaque et al. A hybrid approach and implementation of a new encryption algorithm for data security in cloud computing
CN105516070A (en) Authentication credential replacing method and authentication credential replacing device
CN104462994A (en) Data encryption and decryption operation method
CN108322303A (en) A kind of data transmission method

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application