WO2013183940A1 - Method for performing secured communication between terminals and an apparatus therefor - Google Patents

Method for performing secured communication between terminals and an apparatus therefor Download PDF

Info

Publication number
WO2013183940A1
WO2013183940A1 PCT/KR2013/004967 KR2013004967W WO2013183940A1 WO 2013183940 A1 WO2013183940 A1 WO 2013183940A1 KR 2013004967 W KR2013004967 W KR 2013004967W WO 2013183940 A1 WO2013183940 A1 WO 2013183940A1
Authority
WO
WIPO (PCT)
Prior art keywords
packet
key
terminal
session
blind
Prior art date
Application number
PCT/KR2013/004967
Other languages
French (fr)
Korean (ko)
Inventor
정윤찬
Original Assignee
가톨릭대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 가톨릭대학교 산학협력단 filed Critical 가톨릭대학교 산학협력단
Publication of WO2013183940A1 publication Critical patent/WO2013183940A1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]

Definitions

  • the present invention relates to a method and apparatus for secure communication between terminals, and more particularly, to a method and apparatus for secure communication between terminals that can provide secure voice and video communication services in a smart device in real time.
  • SIP Session Initiation Protocol
  • IP Internet Protocol
  • RTP Real Time Protocol
  • UDP User Datagram Protocol
  • Application Protocol Application Protocol
  • Recent network security technologies include confidentiality processing techniques that prevent transmission information from being leaked by third parties (ex, enemies or hackers), and man-in-middle attack (MIMA).
  • MIMA man-in-middle attack
  • Most of these technologies are being developed in the form of character-based information encryption technology. All of these confidentiality and authentication processing techniques are based on the generation, management, and exchange of secret keys. That is, it operates in a way that generates a secret key when a communication session is opened, so there is almost no time limit for generating, managing and exchanging a secret key.
  • RTP packets real-time voice and video information (multimedia service) are transmitted in the form of RTP packets.
  • an object of the present invention is to provide a method and apparatus for secure communication between terminals, which can safely transmit a packet stream.
  • the present invention relates to a method for secure communication between a second terminal and a second terminal, wherein the communication session is established by exchanging a primitive root ⁇ with a prime number q, which is a Diffie-Hellman key exchange variable.
  • Switching from a normal mode to a secure mode selecting a first session secret value for a communication session of the first terminal, and using a first session secret value, the prime number q and the primitive root ⁇ Generating and transmitting a session blind key to the second terminal, receiving a second session blind key for the communication session of the second terminal from the second terminal, and using the second session blind key Generating a symmetric packet key for the transport packet of the first terminal, generating a packet key stream using the symmetric packet key, and using the packet key stream And encrypting a transport packet and transmitting the encrypted packet to the second terminal.
  • a prime number q which is a Diffie-Hellman key exchange variable.
  • different packet key streams may be generated for each transport packet of the first terminal.
  • first session blind key (Y A ) and the second session blind key (Y B ) may be defined by the following equation.
  • X A represents the first session secret value selected by the first terminal
  • X B represents the second session secret value selected by the second terminal.
  • the generating of the symmetric packet key may include selecting a packet secret value X A, i for the transport packet P A, i (i th transport packet belonging to a communication session of the first terminal). And a packet blind key for the transport packet using the packet secret value. ) And the symmetric packet key for the transport packet using the second session blind key Y B May comprise a).
  • the generating of the packet key stream using the symmetric packet key may include encrypting the symmetric packet key K A, i by using an RC4 encryption algorithm. ) Can be created.
  • the encrypting of the transport packet using the packet key stream and transmitting the encrypted packet to the second terminal may include: a Real Time Protocol (RTP) header, the packet blind key (Y A, i ), and the packet key stream (KS).
  • RTP Real Time Protocol
  • Y A, i the packet blind key
  • KS the packet key stream
  • a, i) the transport packet (transport packet encrypted by encrypting the P a, i) by ( RTP packet including a) may be transmitted to the second terminal.
  • the second terminal uses the received packet blind key (Y A, i ) and the second session secret value (X B ) to provide the symmetric packet key ( ) And using the obtained symmetric packet key (K A, i ), the packet key stream ( ) And then the encrypted transport packet ( ) Is decrypted by using the obtained packet key stream (KS A, i ) and a plain text transmission packet ( ) Can be obtained.
  • the present invention provides a secure communication device installed in the first terminal for secure communication with the second terminal, the prime number q which is a Diffie-Hellman key exchange variable with the second terminal.
  • a mode switching unit for switching the primitive root ⁇ to switch the communication session from the normal mode to the secure mode, a session secret value selecting unit for selecting a first session secret value for the communication session of the first terminal, and the first session
  • a session blind key generator for generating a first session blind key using the secret value, the prime number q, and the primitive root ⁇ and transmitting the first session blind key to the second terminal, and a second session blind key for the communication session of the second terminal.
  • a symmetric packet for generating a symmetric packet key for the transport packet of the first terminal using the session blind key receiving unit received from the second terminal and the second session blind key.
  • a key generation unit, a packet key stream generation unit for generating a packet key stream using the symmetric packet key, and a packet encryption unit for encrypting the transmission packet using the packet key stream and transmitting the encrypted packet to the second terminal; Provides a secure communication device.
  • the packet key stream generator may generate different packet key streams for each transport packet of the first terminal.
  • the symmetric packet key generation unit may select a packet secret value X A, i for the transport packet P A, i (i-th transport packet belonging to the communication session of the first terminal), and select the packet secret value. Packet blind key for the transport packet using the ), And then using the second session blind key Y B , a symmetric packet key for the transport packet ( ) Can be created.
  • the packet key stream generation unit encrypts the symmetric packet key K A, i by using an RC4 encryption algorithm to perform the packet key stream ( ) Can be created.
  • the packet encryptor uses the Real Time Protocol (RTP) header, the packet blind key (Y A, i ), and the packet key stream (KS A, i ) to detect the transport packet (P A, i ).
  • RTP packet including a may be transmitted to the second terminal.
  • a request for switching from a normal mode communication session to a secure mode is possible for secure communication between terminals, and a voice or video packet stream to be transmitted is transmitted to a counterpart terminal. Encrypting via a packet key that only the user knows has the advantage of transmitting the packet stream securely.
  • FIG. 1 is a block diagram of a secure communication device installed in a terminal according to an embodiment of the present invention.
  • FIG. 2 is a conceptual diagram illustrating a packet transmission form in a normal mode operation according to the present invention.
  • FIG. 3 is a conceptual diagram illustrating a packet transmission form in a secure mode operation according to the present invention.
  • FIG. 4 is a flowchart illustrating a secure communication method between terminals using FIG. 1.
  • the present invention provides a secure communication method capable of ensuring the security and confidentiality of transport packets during multimedia communication (ex, voice and video communication) in a terminal such as a smartphone.
  • the transmitting side encrypts and transmits each packet transmitted using a different packet key during a session in a secure mode, and the receiving side decrypts using the same packet key to ensure confidentiality.
  • each terminal is provided with a secure communication device according to an embodiment of the present invention.
  • the secure communication device 100 may include a mode switch 110, a session secret value selector 120, a session blind key generator 130, a session blind key receiver 140, a symmetric packet key generator 150, The packet key stream generation unit 160, the packet encryption unit 170, and the packet decryption unit 180 are included.
  • the secure communication apparatus Since the secure communication apparatus is applied equally to the two terminals, the security operation in each terminal is performed in the same manner.
  • the first terminal performs secure communication with the second terminal. That is, the description will be made based on the secure communication device 100 installed in the first terminal.
  • the mode switching unit 110 secures a communication session in a normal mode by exchanging a prime number q and a primitive root ⁇ , which is a Diffie-Hellman key exchange variable. Switch to mode.
  • the session secret value selector 120 selects a first session secret value for a communication session of the first terminal.
  • the session blind key generation unit 130 generates a first session blind key using the first session secret value, the prime number q, and the primitive root ⁇ and transmits the generated first session blind key to the second terminal.
  • the session blind key receiver 140 receives a second session blind key for the communication session of the second terminal from the second terminal.
  • the symmetric packet key generation unit 150 uses the second session blind key and a first packet secret value generated differently for each transmission packet to transmit the packet to the transmission packet of the first terminal. Generate a symmetric packet key for.
  • the symmetric packet key generation unit 150 uses the second session blind key and the first session secret value generated at the start of the security mode. 2 Generate a symmetric packet key for the received packet arriving from the terminal.
  • the packet key stream generation unit 160 generates a packet key stream based on the symmetric packet key.
  • a different packet key stream is generated for each transport packet of the first terminal so as to be used for packet encryption.
  • different packet key streams can be used for decoding for each packet for each received packet.
  • the packet encryptor 170 encrypts the transport packet using the packet key stream and transmits the encrypted packet to the second terminal.
  • the packet decryption unit 180 decrypts the encrypted packet transmitted by the second terminal using a packet key stream to safely receive the encrypted packet.
  • FIG. 2 is a conceptual diagram illustrating a packet transmission form in a normal mode operation according to the present invention.
  • Device A and device B communicate in real time with voice or video information and correspond to the first and second terminals, respectively.
  • the apparatuses A and B 101 and 102 transmit bidirectional multimedia packet streams 103 and 104 to each other.
  • the packet types 105 and 106 forming the multimedia packet stream include an RTP header portion and a payload portion carrying multimedia contents.
  • FIG. 3 is a conceptual diagram illustrating a packet transmission form in a secure mode operation according to the present invention.
  • the apparatuses A and B 201 and 202 transmit the bidirectional multimedia packet streams 203 and 204 to each other.
  • the packet types 205 and 206 constituting the packet stream in FIG. 3 are different from those of the normal mode packet types 105 and 106 described with reference to FIG. 2.
  • the RTP header and the payload portion are transmitted in a form that is easy to be exposed to an enemy.
  • Y A, i and Y B, j have different values for each packet.
  • Y A, i represents a packet blind key for the i th transmission packet (P A, i ) transmitted by the device A
  • Y B, j indicates the j th transmission packet (P B, j ) transmitted by the device B.
  • P A, i denotes the payload portion of the i th packet transmitted by the device A, which is encrypted by the packet key stream K S A, i E KSA, i (P A, i ). to be.
  • the RC4 algorithm is used as the encryption algorithm corresponding to E.
  • the encryption algorithm is not necessarily limited thereto.
  • the packet blind keys Y A, i and Y B, j are exposed to the enemy, but the encrypted packet content portions, that is, E KSA, i (P A, i ) and E KSB, j (P B, i ) Is never exposed to the enemy, keeping the secure communication secure.
  • FIG. 4 is a flowchart illustrating a secure communication method between terminals using FIG. 1.
  • 5 to 6 are flowcharts corresponding to FIG. 4.
  • a method of securely communicating with the second terminal (device B; 502) by the first terminal (device A; 501) will be described in detail with reference to FIGS. 4 to 6.
  • the two terminals 501 and 502 conduct a two-way audio conversation with each other.
  • a session for a call is opened between two terminals 501 and 5020 according to the SIP protocol procedure assisted by the SIP server 503 as shown in Fig. 5 (S400). Known details are omitted here.
  • the RTP packet streams 504 and 505 correspond to a normal mode bidirectional audio transmission without security as shown in FIG.
  • the step S410 will be described in more detail with reference to FIG. 5 below and FIG. 6.
  • the first terminal 501 requests to switch the communication session from the normal mode to the secure mode through the mode switching unit 110 (S410). This request may use a separate button (physical button or touch button) provided in the first terminal 501.
  • the first terminal 501 transmits a security mode request message to the second terminal 502 to request the switch of the security mode.
  • the first terminal 501 needs to agree with the second terminal 502 a value ( ⁇ , q), which is a variable for Diffie-Hellman key exchange.
  • q is the prime in number theory
  • is the primitive root of this value.
  • the session secret value selecting unit 120 of the first terminal 501 selects a first session secret value X A for the communication session of the first terminal 501 (S420). Then, the session blind key generation unit 130 of the first terminal 501 uses the first session secret value X A and the prime number q and the primitive root ⁇ to respectively use the first session blind key Y A. It generates and transmits to the second terminal 502 (S430).
  • the first session blind key (Y A ) is Is defined as
  • the second terminal 502 likewise generates a second session blind key Y B in the same way.
  • the session blind key receiving unit 140 of the first terminal 501 receives a second session blind key Y B for the communication session of the second terminal 502 from the second terminal (S440).
  • the second session blind key (Y B ) is Is defined as Wherein, X B denotes a second session secret value selected from the second terminal 502 at step S440. So far, both terminals 501 and 502 have received session blind keys of each other.
  • the symmetric packet key generation unit 150 of the first terminal 501 generates a symmetric packet key for the transport packet of the first terminal 501 by using the second session blind key Y B ( S450).
  • This step S450 will be described in detail as follows.
  • a packet secret value X A, i for the transport packet P A, i (i-th transport packet belonging to the communication session of the first terminal) is selected (S450a). Then, the packet blind key for the transport packet P A, i using the packet secret value X A, i ( ) Is generated (S450b). Then, using the second session blind key (Y B ), a symmetric packet key for the transport packet ( ) Is generated (S450c).
  • the packet key stream generation unit 160 of the first terminal 501 generates a packet key stream using the symmetric packet keys K A, i (S460).
  • the symmetric packet key (K A, i ) is encrypted using an RC4 encryption algorithm so that the packet key stream ( ).
  • Steps S450 to S460 as described above correspond to a procedure necessary for configuring the RTP packet 511.
  • the packet key stream generation unit 160 of the first terminal 501 uses the packet key stream ( Encrypted transmission packet (P A, i ) encrypted using ) Is transmitted to the second terminal 502 (S470).
  • P A, i Encrypted transmission packet
  • S470 the packet key stream generation unit 160 of the first terminal 501 uses the packet key stream ( Encrypted transmission packet (P A, i ) encrypted using ) Is transmitted to the second terminal 502 (S470).
  • P A, i Encrypted transmission packet (P A, i ) encrypted using ) Is transmitted to the second terminal 502 (S470).
  • the first terminal 501 is a Real Time Protocol (RTP) header, the packet blind key (Y A, i ), and the encrypted transmission packet ( RTP packet 511 including a) is transmitted to the second terminal 502. That is, in step S470 , the RTP packet 511 including [RTP header + Y A, i + E KSA, i (P A, i )] is completed and transmitted to the second terminal 502.
  • RTP Real Time Protocol
  • the present invention transmits the packet blind key every time an encrypted packet is sent, so that the packet key used for the encryption at the receiving terminal can be easily derived later. Accordingly, it is possible to ensure that a very high level of confidentiality and authentication is never occurred when voice and video packets use the same packet key.
  • the second terminal 502 also completes the RTP packet 512 in the same manner as described above S450 ⁇ S470 and transmits to the first terminal 501 (S480).
  • the symmetric packet key K B, j is then encrypted using the RC4 encryption algorithm to ), And then the packet key stream ( Encrypted transmission packet (P B, j ) encrypted using ) Is transmitted to the first terminal 501 (S480).
  • the packet key stream Encrypted transmission packet (P B, j ) encrypted using ) Is transmitted to the first terminal 501 (S480).
  • different packet key streams are generated for each transport packet of the second terminal 502 to increase security. That is, in step S480, the second terminal 502 completes the RTP packet 512 including [RTP header + Y B, j + E KSB, j (P B, j )] to the first terminal 501. send.
  • the second terminal 502 first uses the received packet blind key (Y A, i ) and the second session secret value (X B ) for the symmetric packet key ( ) And, using the obtained symmetric packet key (K A, i ), the packet key stream ( ) Thereafter, the encrypted transport packet ( ) Is decrypted by using the obtained packet key stream (KS A, i ) and a plain text transmission packet ( )
  • the decoding algorithm also uses RC4 decoding.
  • the packet contents transmitted by the first terminal 501 can be easily decrypted by the second terminal 502. Since the present embodiment corresponds to bidirectional communication between two terminals, a process (S495) for decrypting the RTP packet 512 encrypted and transmitted from the second terminal 502 by the second terminal 502 may also be performed in the same principle as in S490. Have Therefore, detailed description thereof will be omitted.
  • MIMA man-in-middle-attack
  • the present invention allows a party to switch from a normal mode communication to a secure session in which a confidentiality and authentication is guaranteed, if the multimedia communication session is open, so that the session operation in the normal mode without security functions is performed. In the meantime, you can switch the session to secure mode whenever you need according to the user's intention.
  • both terminals are in real time generating and sharing a packet key in real time only in a secure mode session in which a different packet key is generated in real time for each voice and video packet, no server assistance is required for packet key generation.
  • the present invention does not require any server help to manage the packet key because both session parties share the packet key in real time. This need for server help means that even if a multimedia device such as a smart phone is connected anywhere in the world, multimedia can be easily transmitted through secure mode communication at any time while a normal mode communication session is held between the two devices. .
  • the smartphone When such a secure communication device of the present invention is mounted on a smartphone, the smartphone will be dualized into a smartphone with security capability and a smartphone without security capability. If a smartphone with a security mode function attempts to make a call in a secure mode with a smartphone that does not have a security mode function, the setting of the security mode will fail. It can increase the needs and contribute to the expansion of the industry.

Abstract

The present invention provides a method for performing secured communication between a first and a second terminal, which includes the steps of: exchanging a prime number q of a Diffie-Hellman key exchange parameter and primitive root α with the second terminal to convert a communication session from the general mode to the security mode; selecting a first session secret value for the communication session of the first terminal; generating a first session blind key transmitted to the second terminal by using the first session secret value, prime number q and primitive root α; receiving from the second terminal a second session blind key for the communication session of the second terminal; generating a symmetrical packet key for a transmission packet of the first terminal by using the second session blind key; generating a packet key stream by using the symmetrical packet key; and encrypting the transmission packet transmitted to the second terminal by using the packet key stream.

Description

단말기 간의 보안 통신 방법 및 그 장치Secure communication method between terminals and device
본 발명은 단말기 간의 보안 통신 방법 및 그 장치에 관한 것으로서, 보다 상세하게는 스마트 기기에서의 보안성 있는 음성 및 영상 통신 서비스를 실시간 제공할 수 있는 단말기 간의 보안 통신 방법 및 그 장치에 관한 것이다.The present invention relates to a method and apparatus for secure communication between terminals, and more particularly, to a method and apparatus for secure communication between terminals that can provide secure voice and video communication services in a smart device in real time.
현재 아이피(IP;Internet Protocol) 네트워크(ex, 인터넷)를 통한 음성 또는 동영상 서비스를 지원하기 위해서는 에스아이피(SIP, Session Initiation protocol)를 어플리케이션 프로토콜용으로 사용한다. 이는 통신요청자가 피통신자의 이름이나 이메일 주소만 알면, 피통신자를 찾아서 인터넷상에서 음성 또는 영상 통신을 할 수 있도록 세션을 열어주는 절차를 정립하는 역할을 한다.Currently, SIP (Session Initiation Protocol) is used for application protocol to support voice or video service through IP (Internet Protocol) network (ex, Internet). This establishes a procedure for opening a session for a caller to find the callee and perform voice or video communication on the Internet if the caller knows only the name or e-mail address of the callee.
또한 실시간 음성 및 영상 트래픽을 패킷으로 전송하기 위한 프로토콜로서 RTP(Real Time Protocol)가 사용되고 있다. RTP는 UDP(User Datagram Protocol)와 어플리케이션 프로토콜의 중간에 위치하여, 실시간 통신을 위한 요구사항을 관철하는 역할을 담당한다. 이러한 RTP를 이용하여 영상 통신을 제공하는 단말기 및 그 방법에 관한 배경 기술은 국내특허공개 제2010-0083388호에 개시된 바 있다.In addition, Real Time Protocol (RTP) is used as a protocol for transmitting real-time voice and video traffic in packets. RTP is located between User Datagram Protocol (UDP) and Application Protocol, and is responsible for meeting the requirements for real-time communication. Background art of a terminal and a method for providing video communication using the RTP has been disclosed in Korean Patent Publication No. 2010-0083388.
최근의 네트워크 보안 기술로는 제3자(ex, 적 또는 핵커)에 의해 전송 정보가 유출되지 않도록 하는 비밀성 처리 기술과, 중간 제3자 공격(MIMA;Man-In-Middle-Attack)을 당하지 않고 오직 상대방과 틀림없이 통신하고 있음을 확인시켜주는 인증 처리 기술이 있다. 이 기술들은 대부분 문자 위주의 정보 암호화 기술 형태로 발전 되고 있다. 이러한 비밀성 및 인증 처리 기술은 모두 비밀키의 생성, 관리, 교환 기술을 바탕으로 하고 있다. 즉 통신 세션이 열릴 때 비밀키를 생성해주는 방식으로 운영되고 있어 비밀키의 생성, 관리 및 교환을 위하여 시간적 제한을 거의 받지 않는다.Recent network security technologies include confidentiality processing techniques that prevent transmission information from being leaked by third parties (ex, enemies or hackers), and man-in-middle attack (MIMA). There is an authentication processing technology that only confirms that it is communicating with the other party. Most of these technologies are being developed in the form of character-based information encryption technology. All of these confidentiality and authentication processing techniques are based on the generation, management, and exchange of secret keys. That is, it operates in a way that generates a secret key when a communication session is opened, so there is almost no time limit for generating, managing and exchanging a secret key.
그러나 실시간 음성 및 영상 정보(멀티미디어 서비스)는 RTP 패킷의 형태로 전송된다. 실시간 멀티미디어 정보를 제3자가 중간에 알아내지 못하도록 하고 전송 중간에 개입하여 멀티미디어 전송 정보를 바꾸지 못하도록 하며 MIMA를 당하지 않도록 해주기 위해서는, RTP 패킷마다 서로 다른 비밀키의 생성, 관리 및 교환이 이루어지도록 하는 기술이 요구된다.However, real-time voice and video information (multimedia service) are transmitted in the form of RTP packets. A technology that generates, manages, and exchanges different secret keys for each RTP packet in order to prevent real-time multimedia information from being intercepted by third parties, intervene in the middle of transmission, to prevent the change of multimedia transmission information, and to prevent MIMA. Is required.
본 발명은, 단말기 간의 보안 통신을 위하여 상호 간에 일반 모드의 통신 세션에서 보안 모드로의 전환 요청이 가능하며, 전송하고자 하는 음성 또는 영상 패킷 스트림을 상대측 단말기만이 알 수 있는 패킷 키를 통해 암호화함에 따라 패킷 스트림을 안전하게 전송할 수 있는, 단말기 간의 보안 통신 방법 및 그 장치를 제공하는데 목적이 있다.According to the present invention, it is possible to request a switch from a normal communication session to a secure mode for secure communication between terminals, and to encrypt a voice or video packet stream to be transmitted using a packet key that only the other terminal can know. Accordingly, an object of the present invention is to provide a method and apparatus for secure communication between terminals, which can safely transmit a packet stream.
본 발명은, 제1 단말기가 제2 단말기와 단말기 간의 보안 통신을 하는 방법에 있어서, 상기 제2 단말기와 디피헬만(Diffie-Hellman) 키 교환 변수인 소수 q와 원시근 α를 교환하여 통신 세션을 일반 모드에서 보안 모드로 전환하는 단계와, 상기 제1 단말기의 통신 세션에 대한 제1 세션 비밀 값을 선택하는 단계와, 상기 제1 세션 비밀 값, 상기 소수 q와 원시근 α를 이용하여 제1 세션 블라인드 키를 생성하여 상기 제2 단말기로 전송하는 단계와, 상기 제2 단말기의 통신 세션에 대한 제2 세션 블라인드 키를 상기 제2 단말기로부터 수신하는 단계와, 상기 제2 세션 블라인드키를 이용하여 상기 제1 단말기의 전송 패킷에 대한 대칭 패킷 키를 생성하는 단계와, 상기 대칭 패킷 키를 이용하여 패킷 키 스트림을 생성하는 단계, 및 상기 패킷 키 스트림을 이용하여 상기 전송 패킷을 암호화하여 상기 제2 단말기로 전송하는 단계를 포함하는 단말기 간의 보안 통신 방법을 제공한다.The present invention relates to a method for secure communication between a second terminal and a second terminal, wherein the communication session is established by exchanging a primitive root α with a prime number q, which is a Diffie-Hellman key exchange variable. Switching from a normal mode to a secure mode, selecting a first session secret value for a communication session of the first terminal, and using a first session secret value, the prime number q and the primitive root α Generating and transmitting a session blind key to the second terminal, receiving a second session blind key for the communication session of the second terminal from the second terminal, and using the second session blind key Generating a symmetric packet key for the transport packet of the first terminal, generating a packet key stream using the symmetric packet key, and using the packet key stream And encrypting a transport packet and transmitting the encrypted packet to the second terminal.
여기서, 상기 패킷 키 스트림을 생성하는 단계는, 상기 제1 단말기의 전송 패킷별로 서로 다른 패킷 키 스트림을 생성할 수 있다.In the generating of the packet key stream, different packet key streams may be generated for each transport packet of the first terminal.
또한, 상기 제1 세션 블라인드 키(YA) 및 상기 제2 세션 블라인드 키(YB)는 아래의 수학식으로 정의될 수 있다.In addition, the first session blind key (Y A ) and the second session blind key (Y B ) may be defined by the following equation.
Figure PCTKR2013004967-appb-I000001
Figure PCTKR2013004967-appb-I000001
여기서, XA는 상기 제1 단말기에서 선택한 상기 제1 세션 비밀 값, XB는 상기 제2 단말기에서 선택한 제2 세션 비밀 값을 나타낸다. Here, X A represents the first session secret value selected by the first terminal, and X B represents the second session secret value selected by the second terminal.
그리고, 상기 대칭 패킷 키를 생성하는 단계는, 상기 전송 패킷(PA,i; 상기 제1 단말기의 통신 세션에 속하는 i번째 전송 패킷)에 대한 패킷 비밀 값(XA,i)을 선택하는 단계와, 상기 패킷 비밀 값을 이용하여 상기 전송 패킷에 대한 패킷 블라인드키(
Figure PCTKR2013004967-appb-I000002
)를 생성하는 단계, 및 상기 제2 세션 블라인드키(YB)를 이용하여 상기 전송 패킷에 대한 대칭 패킷 키(
Figure PCTKR2013004967-appb-I000003
)를 생성하는 단계를 포함할 수 있다.The generating of the symmetric packet key may include selecting a packet secret value X A, i for the transport packet P A, i (i th transport packet belonging to a communication session of the first terminal). And a packet blind key for the transport packet using the packet secret value.
Figure PCTKR2013004967-appb-I000002
) And the symmetric packet key for the transport packet using the second session blind key Y B
Figure PCTKR2013004967-appb-I000003
May comprise a).
또한, 상기 대칭 패킷 키를 이용하여 패킷 키 스트림을 생성하는 단계는, 상기 대칭 패킷 키(KA,i)를 RC4 암호화 알고리즘을 이용하여 암호화하여 상기 패킷 키 스트림(
Figure PCTKR2013004967-appb-I000004
)을 생성할 수 있다.The generating of the packet key stream using the symmetric packet key may include encrypting the symmetric packet key K A, i by using an RC4 encryption algorithm.
Figure PCTKR2013004967-appb-I000004
) Can be created.
여기서, 상기 패킷 키 스트림를 이용하여 상기 전송 패킷을 암호화하여 상기 제2 단말기로 전송하는 단계는, RTP(Real Time Protocol) 헤더, 상기 패킷 블라인드키(YA,i), 그리고 상기 패킷 키 스트림(KSA,i)을 이용하여 상기 전송 패킷(PA,i)을 암호화한 암호화 전송 패킷(
Figure PCTKR2013004967-appb-I000005
)을 포함하는 RTP 패킷을 상기 제2 단말기로 전송할 수 있다.The encrypting of the transport packet using the packet key stream and transmitting the encrypted packet to the second terminal may include: a Real Time Protocol (RTP) header, the packet blind key (Y A, i ), and the packet key stream (KS). a, i) the transport packet (transport packet encrypted by encrypting the P a, i) by (
Figure PCTKR2013004967-appb-I000005
RTP packet including a) may be transmitted to the second terminal.
또한, 상기 제2 단말기는, 상기 수신된 패킷 블라인드키(YA,i) 및 상기 제2 세션 비밀 값(XB)를 이용하여 상기 대칭 패킷 키(
Figure PCTKR2013004967-appb-I000006
)를 구하고, 상기 구하여진 대칭 패킷 키(KA,i)를 이용하여 상기 패킷 키 스트림(
Figure PCTKR2013004967-appb-I000007
)을 구한 다음, 상기 암호화된 전송 패킷(
Figure PCTKR2013004967-appb-I000008
)을 상기 구하여진 패킷 키 스트림(KSA,i)을 이용하여 복호화하여 평문 전송 패킷(
Figure PCTKR2013004967-appb-I000009
)을 구할 수 있다.Further, the second terminal uses the received packet blind key (Y A, i ) and the second session secret value (X B ) to provide the symmetric packet key (
Figure PCTKR2013004967-appb-I000006
) And using the obtained symmetric packet key (K A, i ), the packet key stream (
Figure PCTKR2013004967-appb-I000007
) And then the encrypted transport packet (
Figure PCTKR2013004967-appb-I000008
) Is decrypted by using the obtained packet key stream (KS A, i ) and a plain text transmission packet (
Figure PCTKR2013004967-appb-I000009
) Can be obtained.
그리고, 본 발명은 제1 단말기가 제2 단말기와 보안 통신을 하기 위해 상기 제1 단말기에 설치되는 보안 통신 장치에 있어서, 상기 제2 단말기와 디피헬만(Diffie-Hellman) 키 교환 변수인 소수 q와 원시근 α를 교환하여 통신 세션을 일반 모드에서 보안 모드로 전환하는 모드 전환부와, 상기 제1 단말기의 통신 세션에 대한 제1 세션 비밀 값을 선택하는 세션 비밀 값 선택부와, 상기 제1 세션 비밀 값, 상기 소수 q와 원시근 α를 이용하여 제1 세션 블라인드 키를 생성하여 상기 제2 단말기로 전송하는 세션 블라인드 키 생성부와, 상기 제2 단말기의 통신 세션에 대한 제2 세션 블라인드 키를 상기 제2 단말기로부터 수신하는 세션 블라인드 키 수신부와, 상기 제2 세션 블라인드키를 이용하여 상기 제1 단말기의 전송 패킷에 대한 대칭 패킷 키를 생성하는 대칭 패킷 키 생성부와, 상기 대칭 패킷 키를 이용하여 패킷 키 스트림을 생성하는 패킷 키 스트림 생성부, 및 상기 패킷 키 스트림을 이용하여 상기 전송 패킷을 암호화하여 상기 제2 단말기로 전송하는 패킷 암호화부를 포함하는 보안 통신 장치를 제공한다.In addition, the present invention provides a secure communication device installed in the first terminal for secure communication with the second terminal, the prime number q which is a Diffie-Hellman key exchange variable with the second terminal. A mode switching unit for switching the primitive root α to switch the communication session from the normal mode to the secure mode, a session secret value selecting unit for selecting a first session secret value for the communication session of the first terminal, and the first session A session blind key generator for generating a first session blind key using the secret value, the prime number q, and the primitive root α and transmitting the first session blind key to the second terminal, and a second session blind key for the communication session of the second terminal. A symmetric packet for generating a symmetric packet key for the transport packet of the first terminal using the session blind key receiving unit received from the second terminal and the second session blind key. A key generation unit, a packet key stream generation unit for generating a packet key stream using the symmetric packet key, and a packet encryption unit for encrypting the transmission packet using the packet key stream and transmitting the encrypted packet to the second terminal; Provides a secure communication device.
여기서, 상기 패킷 키 스트림 생성부는, 상기 제1 단말기의 전송 패킷별로 서로 다른 패킷 키 스트림을 생성할 수 있다.Here, the packet key stream generator may generate different packet key streams for each transport packet of the first terminal.
또한, 상기 대칭 패킷 키 생성부는, 상기 전송 패킷(PA,i; 상기 제1 단말기의 통신 세션에 속하는 i번째 전송 패킷)에 대한 패킷 비밀 값(XA,i)을 선택하고, 상기 패킷 비밀 값을 이용하여 상기 전송 패킷에 대한 패킷 블라인드키(
Figure PCTKR2013004967-appb-I000010
)를 생성한 다음, 상기 제2 세션 블라인드키(YB)를 이용하여 상기 전송 패킷에 대한 대칭 패킷 키(
Figure PCTKR2013004967-appb-I000011
)를 생성할 수 있다.The symmetric packet key generation unit may select a packet secret value X A, i for the transport packet P A, i (i-th transport packet belonging to the communication session of the first terminal), and select the packet secret value. Packet blind key for the transport packet using the
Figure PCTKR2013004967-appb-I000010
), And then using the second session blind key Y B , a symmetric packet key for the transport packet (
Figure PCTKR2013004967-appb-I000011
) Can be created.
여기서, 상기 패킷 키 스트림 생성부는, 상기 대칭 패킷 키(KA,i)를 RC4 암호화 알고리즘을 이용하여 암호화하여 상기 패킷 키 스트림(
Figure PCTKR2013004967-appb-I000012
)을 생성할 수 있다.Here, the packet key stream generation unit encrypts the symmetric packet key K A, i by using an RC4 encryption algorithm to perform the packet key stream (
Figure PCTKR2013004967-appb-I000012
) Can be created.
또한, 상기 패킷 암호화부는, RTP(Real Time Protocol) 헤더, 상기 패킷 블라인드키(YA,i), 그리고 상기 패킷 키 스트림(KSA,i)을 이용하여 상기 전송 패킷(PA,i)을 암호화한 암호화 전송 패킷(
Figure PCTKR2013004967-appb-I000013
)을 포함하는 RTP 패킷을 상기 제2 단말기로 전송할 수 있다.In addition, the packet encryptor uses the Real Time Protocol (RTP) header, the packet blind key (Y A, i ), and the packet key stream (KS A, i ) to detect the transport packet (P A, i ). Encrypted encrypted transport packet (
Figure PCTKR2013004967-appb-I000013
RTP packet including a) may be transmitted to the second terminal.
본 발명에 따른 단말기 간의 보안 통신 방법 및 그 장치에 따르면, 단말기 간의 보안 통신을 위하여 상호 간에 일반 모드의 통신 세션에서 보안 모드로의 전환 요청이 가능하며, 전송하고자 하는 음성 또는 영상 패킷 스트림을 상대측 단말기만이 알 수 있는 패킷 키를 통해 암호화함에 따라 패킷 스트림을 안전하게 전송할 수 있는 이점이 있다.According to the method and apparatus for secure communication between terminals according to the present invention, a request for switching from a normal mode communication session to a secure mode is possible for secure communication between terminals, and a voice or video packet stream to be transmitted is transmitted to a counterpart terminal. Encrypting via a packet key that only the user knows has the advantage of transmitting the packet stream securely.
도 1은 본 발명의 실시예에 따른 단말기 내에 설치되는 보안 통신 장치의 구성도이다.1 is a block diagram of a secure communication device installed in a terminal according to an embodiment of the present invention.
도 2는 본 발명에서 일반 모드 동작 시의 패킷 전송 형태를 나타내는 개념도이다. 2 is a conceptual diagram illustrating a packet transmission form in a normal mode operation according to the present invention.
도 3은 본 발명에서 보안 모드 동작 시의 패킷 전송 형태를 나타내는 개념도이다. 3 is a conceptual diagram illustrating a packet transmission form in a secure mode operation according to the present invention.
도 4는 도 1을 이용한 단말기 간의 보안 통신 방법의 흐름도이다. 4 is a flowchart illustrating a secure communication method between terminals using FIG. 1.
도 5 내지 도 6은 도 4에 대응되는 흐름도이다.5 to 6 are flowcharts corresponding to FIG. 4.
그러면 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다.DETAILED DESCRIPTION Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings so that those skilled in the art may easily implement the present invention.
본 발명은 스마트폰 등과 같은 단말기에서의 멀티미디어 통신(ex, 음성 및 영상 통신) 중에 전송 패킷들의 보안성 및 비밀성을 보장할 수 있는 보안 통신 방법을 제공한다. The present invention provides a secure communication method capable of ensuring the security and confidentiality of transport packets during multimedia communication (ex, voice and video communication) in a terminal such as a smartphone.
이러한 본 발명의 경우 송신측에서는 보안 모드의 세션 동안 전송되는 모든 패킷들에 각각 다른 패킷 키를 사용하여 암호화하여 전송하고, 수신측에서는 같은 패킷 키를 사용하여 복호화하여 비밀성을 보장하도록 한다. 이러한 보안 통신 방법을 위하여 각 단말기에는 본 발명의 실시예에 따른 보안 통신 장치가 설치된다.In the case of the present invention, the transmitting side encrypts and transmits each packet transmitted using a different packet key during a session in a secure mode, and the receiving side decrypts using the same packet key to ensure confidentiality. For such a secure communication method, each terminal is provided with a secure communication device according to an embodiment of the present invention.
도 1은 본 발명의 실시예에 따른 단말기 내에 설치되는 보안 통신 장치의 구성도이다. 상기 보안 통신 장치(100)는 모드 전환부(110), 세션 비밀 값 선택부(120), 세션 블라인드 키 생성부(130), 세션 블라인드 키 수신부(140), 대칭 패킷 키 생성부(150), 패킷 키 스트림 생성부(160), 패킷 암호화부(170), 패킷 복호화부(180)를 포함한다.1 is a block diagram of a secure communication device installed in a terminal according to an embodiment of the present invention. The secure communication device 100 may include a mode switch 110, a session secret value selector 120, a session blind key generator 130, a session blind key receiver 140, a symmetric packet key generator 150, The packet key stream generation unit 160, the packet encryption unit 170, and the packet decryption unit 180 are included.
이러한 보안 통신 장치는 두 단말기에 대해 동일하게 적용되므로 각 단말기에서의 보안 동작은 서로 동일한 방식으로 이루어진다. 이하에서는 설명의 편의를 위해 제1 단말기가 제2 단말기와 보안 통신을 수행하는 경우에 관하여 설명한다. 즉, 제1 단말기에 설치된 보안 통신 장치(100)를 기준으로 설명한다.Since the secure communication apparatus is applied equally to the two terminals, the security operation in each terminal is performed in the same manner. Hereinafter, for convenience of description, a case in which the first terminal performs secure communication with the second terminal will be described. That is, the description will be made based on the secure communication device 100 installed in the first terminal.
먼저, 상기 모드 전환부(110)는 상기 제2 단말기와 디피헬만(Diffie-Hellman) 키 교환 변수인 소수(Prime number) q와 원시근(Primitive root) α를 교환하여 통신 세션을 일반 모드에서 보안 모드로 전환한다.First, the mode switching unit 110 secures a communication session in a normal mode by exchanging a prime number q and a primitive root α, which is a Diffie-Hellman key exchange variable. Switch to mode.
상기 세션 비밀 값 선택부(120)는 상기 제1 단말기의 통신 세션에 대한 제1 세션 비밀 값을 선택한다. 상기 세션 블라인드 키 생성부(130)는 상기 제1 세션 비밀 값, 상기 소수 q와 원시근 α를 이용하여 제1 세션 블라인드 키를 생성하여 상기 제2 단말기로 전송한다.The session secret value selector 120 selects a first session secret value for a communication session of the first terminal. The session blind key generation unit 130 generates a first session blind key using the first session secret value, the prime number q, and the primitive root α and transmits the generated first session blind key to the second terminal.
상기 세션 블라인드 키 수신부(140)는 상기 제2 단말기의 통신 세션에 대한 제2 세션 블라인드 키를 상기 제2 단말기로부터 수신한다. 상기 대칭 패킷 키 생성부(150)는 제1 단말기가 전송할 송신 패킷 스트림의 경우에는 상기 제2 세션 블라인드 키 및 전송 패킷마다 다르게 생성한 제1 패킷 비밀 값을 이용하여 상기 제1 단말기의 전송 패킷에 대한 대칭 패킷 키를 생성한다.The session blind key receiver 140 receives a second session blind key for the communication session of the second terminal from the second terminal. In the case of a transmission packet stream to be transmitted by the first terminal, the symmetric packet key generation unit 150 uses the second session blind key and a first packet secret value generated differently for each transmission packet to transmit the packet to the transmission packet of the first terminal. Generate a symmetric packet key for.
또한, 대칭 패킷 키 생성부(150)는 제1 단말기가 수신할 수신 패킷 스트림의 경우에는, 상기 제2 세션 블라인드 키 및 보안 모드의 시작 시에 생성해 둔 제1 세션 비밀 값을 이용하여 상기 제2 단말기로부터 도착한 수신 패킷에 대한 대칭 패킷 키를 생성한다.In addition, in the case of a received packet stream to be received by the first terminal, the symmetric packet key generation unit 150 uses the second session blind key and the first session secret value generated at the start of the security mode. 2 Generate a symmetric packet key for the received packet arriving from the terminal.
상기 패킷 키 스트림 생성부(160)는 상기 대칭 패킷 키를 바탕으로 패킷 키 스트림을 생성한다. 여기서, 상기 제1 단말기의 전송 패킷별로 서로 다른 패킷 키 스트림을 생성하여 패킷 암호화에 사용될 수 있도록 한다. 마찬가지로 수신 패킷별로 패킷마다 서로 다른 패킷 키 스트림이 복호화에 사용될 수 있도록 한다.The packet key stream generation unit 160 generates a packet key stream based on the symmetric packet key. Here, a different packet key stream is generated for each transport packet of the first terminal so as to be used for packet encryption. Similarly, different packet key streams can be used for decoding for each packet for each received packet.
그리고, 상기 패킷 암호화부(170)는 상기 패킷 키 스트림을 이용하여 상기 전송 패킷을 암호화하여 상기 제2 단말기로 전송한다. 또한, 상기 패킷 복호화부(180)는 제2 단말기가 전송한 암호화된 패킷을 패킷 키 스트림을 이용하여 복호화하여 안전하게 수신한다.In addition, the packet encryptor 170 encrypts the transport packet using the packet key stream and transmits the encrypted packet to the second terminal. In addition, the packet decryption unit 180 decrypts the encrypted packet transmitted by the second terminal using a packet key stream to safely receive the encrypted packet.
도 2는 본 발명에서 일반 모드 동작 시의 패킷 전송 형태를 나타내는 개념도이다. 장치 A와 장치 B는 음성 또는 영상 정보를 실시간으로 양방향 통신하며 상기 제1 단말기와 제2 단말기에 각각 해당된다. 이러한 장치A,B(101,102)는 양방향 멀티미디어 패킷 스트림(103,104)을 서로 상대방에게 전송한다. 멀티미디어 패킷 스트림을 형성하는 패킷 형태(105,106)를 보면, RTP 헤더 부분과 멀티미디어 내용을 실은 페이로드(payload) 부분을 포함한다.2 is a conceptual diagram illustrating a packet transmission form in a normal mode operation according to the present invention. Device A and device B communicate in real time with voice or video information and correspond to the first and second terminals, respectively. The apparatuses A and B 101 and 102 transmit bidirectional multimedia packet streams 103 and 104 to each other. The packet types 105 and 106 forming the multimedia packet stream include an RTP header portion and a payload portion carrying multimedia contents.
도 3은 본 발명에서 보안 모드 동작 시의 패킷 전송 형태를 나타내는 개념도이다. 이러한 장치A,B(201,202)는 양방향 멀티미디어 패킷 스트림(203,204)을 서로 상대방에게 전송한다. 이때, 도 3에서 패킷 스트림을 구성하는 패킷 형태(205,206)는 도 2에서 설명한 일반 모드의 패킷 형태(105,106)와 다른 것을 확인할 수 있다.3 is a conceptual diagram illustrating a packet transmission form in a secure mode operation according to the present invention. The apparatuses A and B 201 and 202 transmit the bidirectional multimedia packet streams 203 and 204 to each other. In this case, it can be seen that the packet types 205 and 206 constituting the packet stream in FIG. 3 are different from those of the normal mode packet types 105 and 106 described with reference to FIG. 2.
앞서 도 2의 일반 모드 동작에 따른 패킷 형태(105,106)의 경우는 RTP 헤더 및 페이로드(payload) 부분이 적에게 노출되기 쉬운 형태로 전송된다. 그러나, 도 3의 보안 모드 동작에 따른 패킷 형태(205,206)의 경우는 RTP 헤더 이외에 YA,i(i=1,2,3, ...)나 YB,j(j=1,2,3,...)로 표현되는 패킷 블라인드 키를 각각 포함하고 있으며, 페이로드 부분은 EKSA,i(PA,i) 또는 EKSB,j(PB,i) 형태로 암호화되어 있어, 전송 패킷에 대한 비밀성이 보장되도록 한다.In the case of the packet types 105 and 106 according to the normal mode operation of FIG. 2, the RTP header and the payload portion are transmitted in a form that is easy to be exposed to an enemy. However, in the case of the packet types 205 and 206 according to the security mode operation of FIG. 3, in addition to the RTP header, Y A, i (i = 1,2,3, ...) or Y B, j (j = 1,2, Packet blind key represented by 3, ...), and the payload portion is encrypted in the form of E KSA, i (P A, i ) or E KSB, j (P B, i ), Ensure confidentiality of packets.
여기서, YA,i 및 YB,j 값은 패킷마다 서로 다른 값을 갖는다. YA,i는 장치 A에서 전송하는 i번째 전송 패킷(PA,i)에 대한 패킷 블라인드 키를 나타내고, YB,j는 장치 B에서 전송하는 j번째 전송 패킷(PB,j)에 대한 패킷 블라인드 키를 나타낸다. 즉, PA,i는 장치 A가 전송하는 i번째 패킷의 페이로드 부분을 나타내는데, 이 페이로드를 패킷 키 스트림(KSA,i)으로 암호화 처리한 것이 EKSA,i(PA,i)이다. Here, Y A, i and Y B, j have different values for each packet. Y A, i represents a packet blind key for the i th transmission packet (P A, i ) transmitted by the device A, and Y B, j indicates the j th transmission packet (P B, j ) transmitted by the device B. Represents a packet blind key. That is, P A, i denotes the payload portion of the i th packet transmitted by the device A, which is encrypted by the packet key stream K S A, i E KSA, i (P A, i ). to be.
본 발명의 실시예에서는 상기 E에 해당되는 암호화 알고리즘으로 RC4 알고리즘을 사용한다. 물론, 암호화 알고리즘이 반드시 이에 한정되는 것은 아니다.In an embodiment of the present invention, the RC4 algorithm is used as the encryption algorithm corresponding to E. Of course, the encryption algorithm is not necessarily limited thereto.
도 3에서 패킷 블라인드 키 YA,i 및 YB,j는 적에게 노출되어 있지만, 암호화된 패킷 내용 부분 즉, EKSA,i(PA,i)와 EKSB,j(PB,i)는 적에게 절대로 노출되지 않으므로 보안 통신을 안전하게 유지할 수 있다.In FIG. 3, the packet blind keys Y A, i and Y B, j are exposed to the enemy, but the encrypted packet content portions, that is, E KSA, i (P A, i ) and E KSB, j (P B, i ) Is never exposed to the enemy, keeping the secure communication secure.
도 4는 도 1을 이용한 단말기 간의 보안 통신 방법의 흐름도이다. 도 5 내지 도 6은 도 4에 대응되는 흐름도이다. 이하에서는 도 4 내지 도 6을 바탕으로 하여 제1 단말기(장치 A;501)가 제2 단말기(장치 B;502)와 보안 통신을 하는 방법에 관하여 상세히 설명한다. 설명의 편의를 위해 두 단말기(501,502)는 서로 양방향 오디오 대화를 수행하는 것으로 가정한다. 4 is a flowchart illustrating a secure communication method between terminals using FIG. 1. 5 to 6 are flowcharts corresponding to FIG. 4. Hereinafter, a method of securely communicating with the second terminal (device B; 502) by the first terminal (device A; 501) will be described in detail with reference to FIGS. 4 to 6. For convenience of explanation, it is assumed that the two terminals 501 and 502 conduct a two-way audio conversation with each other.
우선, 도 5와 같이 SIP 서버(503)의 도움을 받는 SIP 프로토콜 절차에 따라 두 단말기(501,5020 간에 통화를 위한 세션이 열리게 된다(S400). 이러한 SIP 프로토콜에 의한 통화 세션 연결 구성은 기존에 공지된 사항으로서 상세한 설명은 생략한다.First, a session for a call is opened between two terminals 501 and 5020 according to the SIP protocol procedure assisted by the SIP server 503 as shown in Fig. 5 (S400). Known details are omitted here.
통화 세션이 열리면 양방향 RTP 패킷 스트림(504,505)이 전송되면서 양방향 통화가 이루어진다. 이러한 RTP 패킷 스트림(504,505)의 경우 페이로드 내용을 RTP 패킷에 바로 탑재하기 때문에 도 2와 같이 보안성이 없는 일반 모드 양방향 오디오 전송에 해당된다.When the call session is opened, a two-way call is made with the two-way RTP packet streams 504 and 505 being transmitted. The RTP packet streams 504 and 505 correspond to a normal mode bidirectional audio transmission without security as shown in FIG.
이렇게 일반 모드로 세션이 동작하는 중에 제1 단말기(501)가 보안 모드의 세션으로 동작하기를 원하는 경우, 제1 단말기(501)는 상기 제2 단말기(502)와 디피헬만(Diffie-Hellman) 키 교환 변수인 소수 q와 원시근 α를 교환하여 통신 세션을 일반 모드에서 보안 모드로 전환한다(S410). 이러한 S410 단계는 상기 모드 전환부(110)를 통해 수행한다.When the first terminal 501 wants to operate the session in the secure mode while the session is operating in the normal mode, the first terminal 501 and the Diffie-Hellman key The communication session is switched from the normal mode to the secure mode by exchanging the prime variable q and the primitive root α (S410). This step S410 is performed through the mode switching unit 110.
상기 S410 단계에 관하여 도 5의 하단 및 도 6을 참조로 하여 보다 상세히 설명하면 다음과 같다. 상기 제1 단말기(501)는 그 모드 전환부(110)를 통해 통신 세션을 일반 모드에서 보안 모드로 전환할 것을 요청한다(S410). 이러한 요청은 제1 단말기(501)에 구비된 별도의 버튼(물리적 버튼 또는 터치 버튼)을 이용할 수 있다. 상기 보안 모드의 전환 요청을 위해 제1 단말기(501)는 제2 단말기(502) 측으로 보안 모드 요청 메시지를 전송한다. 이때, 제1 단말기(501)는 디피헬만(Diffie-Hellman) 키 교환을 위한 변수인 (α, q) 값을 제2 단말기(502)와 합의해야 한다. 여기서 q는 정수론에서 소수이고 α는 이 값의 원시근이다. 제1 단말기(501)와 제2 단말기(502) 사이에 (α, q) 값이 합의되면 두 단말기(501,502)는 서로 보안 모드 세션으로 동작하게 된다.The step S410 will be described in more detail with reference to FIG. 5 below and FIG. 6. The first terminal 501 requests to switch the communication session from the normal mode to the secure mode through the mode switching unit 110 (S410). This request may use a separate button (physical button or touch button) provided in the first terminal 501. The first terminal 501 transmits a security mode request message to the second terminal 502 to request the switch of the security mode. At this time, the first terminal 501 needs to agree with the second terminal 502 a value (α, q), which is a variable for Diffie-Hellman key exchange. Where q is the prime in number theory and α is the primitive root of this value. When the (α, q) values are agreed between the first terminal 501 and the second terminal 502, the two terminals 501 and 502 operate in a secure mode session with each other.
이후, 제1 단말기(501)의 세션 비밀 값 선택부(120)에서는 상기 제1 단말기(501)의 통신 세션에 대한 제1 세션 비밀 값(XA)을 선택한다(S420). 그러면 제1 단말기(501)의 세션 블라인드 키 생성부(130)에서는 상기 제1 세션 비밀 값(XA), 그리고 상기 소수 q와 원시근 α를 각각 이용하여 제1 세션 블라인드 키(YA)를 생성하여 상기 제2 단말기(502)로 전송한다(S430). 이때, 상기 제1 세션 블라인드 키(YA)는
Figure PCTKR2013004967-appb-I000014
로 정의된다.Thereafter, the session secret value selecting unit 120 of the first terminal 501 selects a first session secret value X A for the communication session of the first terminal 501 (S420). Then, the session blind key generation unit 130 of the first terminal 501 uses the first session secret value X A and the prime number q and the primitive root α to respectively use the first session blind key Y A. It generates and transmits to the second terminal 502 (S430). In this case, the first session blind key (Y A ) is
Figure PCTKR2013004967-appb-I000014
Is defined as
물론, 이와 마찬가지로 제2 단말기(502)에서 또한 동일한 방식으로 제2 세션 블라인드 키(YB)를 생성한다. 이에 따라, 상기 제1 단말기(501)의 세션 블라인드 키 수신부(140)에서는 상기 제2 단말기(502)의 통신 세션에 대한 제2 세션 블라인드 키(YB)를 상기 제2 단말기로부터 수신한다(S440). 여기서, 상기 제2 세션 블라인드 키(YB)는
Figure PCTKR2013004967-appb-I000015
로 정의된다. 여기서, XB는 상기 S440 단계 시에 제2 단말기(502)에서 선택한 제2 세션 비밀 값을 나타낸다. 지금까지 양측 단말기(501,502)는 서로 상대방의 세션 블라인드 키를 전달받은 상태이다.Of course, the second terminal 502 likewise generates a second session blind key Y B in the same way. Accordingly, the session blind key receiving unit 140 of the first terminal 501 receives a second session blind key Y B for the communication session of the second terminal 502 from the second terminal (S440). ). Here, the second session blind key (Y B ) is
Figure PCTKR2013004967-appb-I000015
Is defined as Wherein, X B denotes a second session secret value selected from the second terminal 502 at step S440. So far, both terminals 501 and 502 have received session blind keys of each other.
이후, 제1 단말기(501)의 대칭 패킷 키 생성부(150)에서는 상기 제2 세션 블라인드키(YB)를 이용하여 상기 제1 단말기(501)의 전송 패킷에 대한 대칭 패킷 키를 생성한다(S450). 이러한 S450 단계를 상세히 설명하면 다음과 같다.Thereafter, the symmetric packet key generation unit 150 of the first terminal 501 generates a symmetric packet key for the transport packet of the first terminal 501 by using the second session blind key Y B ( S450). This step S450 will be described in detail as follows.
우선, 상기 전송 패킷(PA,i; 상기 제1 단말기의 통신 세션에 속하는 i번째 전송 패킷)에 대한 패킷 비밀 값(XA,i)을 선택한다(S450a). 그리고, 상기 패킷 비밀 값(XA,i)을 이용하여 상기 전송 패킷(PA,i)에 대한 패킷 블라인드키(
Figure PCTKR2013004967-appb-I000016
)를 생성한다(S450b). 이후, 상기 제2 세션 블라인드키(YB)를 이용하여 상기 전송 패킷에 대한 대칭 패킷 키(
Figure PCTKR2013004967-appb-I000017
)를 생성한다(S450c).First, a packet secret value X A, i for the transport packet P A, i (i-th transport packet belonging to the communication session of the first terminal) is selected (S450a). Then, the packet blind key for the transport packet P A, i using the packet secret value X A, i (
Figure PCTKR2013004967-appb-I000016
) Is generated (S450b). Then, using the second session blind key (Y B ), a symmetric packet key for the transport packet (
Figure PCTKR2013004967-appb-I000017
) Is generated (S450c).
그러면, 제1 단말기(501)의 패킷 키 스트림 생성부(160)에서는 상기 대칭 패킷 키(KA,i)를 이용하여 패킷 키 스트림을 생성한다(S460). 예를 들어, 상기 대칭 패킷 키(KA,i)를 RC4 암호화 알고리즘을 이용하여 암호화하여 상기 패킷 키 스트림(
Figure PCTKR2013004967-appb-I000018
)을 생성한다. 이상과 같은 S450~S460 단계는 RTP 패킷(511)을 구성하기 위하여 필요한 절차에 해당된다.Then, the packet key stream generation unit 160 of the first terminal 501 generates a packet key stream using the symmetric packet keys K A, i (S460). For example, the symmetric packet key (K A, i ) is encrypted using an RC4 encryption algorithm so that the packet key stream (
Figure PCTKR2013004967-appb-I000018
). Steps S450 to S460 as described above correspond to a procedure necessary for configuring the RTP packet 511.
이후, 제1 단말기(501)의 패킷 키 스트림 생성부(160)에서는 상기 패킷 키 스트림(
Figure PCTKR2013004967-appb-I000019
)을 이용하여 상기 전송 패킷(PA,i)을 암호화한 암호화 전송 패킷(
Figure PCTKR2013004967-appb-I000020
)을 상기 제2 단말기(502)로 전송한다(S470). 여기서, 보안성을 높이기 위하여 상기 제1 단말기(501)의 전송 패킷별로 서로 다른 패킷 키 스트림을 생성하도록 한다.Thereafter, the packet key stream generation unit 160 of the first terminal 501 uses the packet key stream (
Figure PCTKR2013004967-appb-I000019
Encrypted transmission packet (P A, i ) encrypted using
Figure PCTKR2013004967-appb-I000020
) Is transmitted to the second terminal 502 (S470). Here, to increase security, different packet key streams are generated for each transport packet of the first terminal 501.
이러한 S470 단계에 따라, 제1 단말기(501)는 RTP(Real Time Protocol) 헤더, 상기 패킷 블라인드 키(YA,i), 그리고 상기 암호화 전송 패킷(
Figure PCTKR2013004967-appb-I000021
)을 포함하는 RTP 패킷(511)을 제2 단말기(502)로 전송한다. 즉, S470 단계는 [RTP 헤더 + YA,i + EKSA,i(PA,i)]로 구성된 RTP 패킷(511)을 완성하여 제2 단말기(502)로 전송한다. According to this step S470, the first terminal 501 is a Real Time Protocol (RTP) header, the packet blind key (Y A, i ), and the encrypted transmission packet (
Figure PCTKR2013004967-appb-I000021
RTP packet 511 including a) is transmitted to the second terminal 502. That is, in step S470 , the RTP packet 511 including [RTP header + Y A, i + E KSA, i (P A, i )] is completed and transmitted to the second terminal 502.
이러한 본 발명은 암호화된 패킷을 보낼 때마다 패킷 블라인드 키를 전송함에 따라 추후 수신 단말기 측에서 암호화에 사용한 패킷 키를 손쉽게 유도할 수 있도록 한다. 이에 따라, 음성 및 영상 패킷들이 동일한 패킷 키를 사용하는 경우가 절대로 발생하지 않도록 하여 매우 높은 수준의 비밀성과 인증을 보장할 수 있다.The present invention transmits the packet blind key every time an encrypted packet is sent, so that the packet key used for the encryption at the receiving terminal can be easily derived later. Accordingly, it is possible to ensure that a very high level of confidentiality and authentication is never occurred when voice and video packets use the same packet key.
물론, 상기 제2 단말기(502) 또한 상술한 S450~S470 단계와 같은 방법으로 RTP 패킷(512)을 완성하여 제1 단말기(501)로 전송한다(S480). Of course, the second terminal 502 also completes the RTP packet 512 in the same manner as described above S450 ~ S470 and transmits to the first terminal 501 (S480).
이를 위해, 제2 단말기(502)의 전송 패킷(PB,j; 상기 제2 단말기의 통신 세션에 속하는 j번째 전송 패킷)에 대한 패킷 비밀 값(XB,j)을 선택하는 과정과, 상기 선택된 패킷 비밀 값(XB,j)을 이용하여 전송 패킷(PB,j)에 대한 패킷 블라인드키(
Figure PCTKR2013004967-appb-I000022
)를 생성하는 과정, 그리고 제1 세션 블라인드키(YA)를 이용하여 전송 패킷(PB,j)에 대한 대칭 패킷 키(
Figure PCTKR2013004967-appb-I000023
)를 생성하는 과정을 포함한다. To this end, selecting the packet secret value (X B, j ) for the transport packet (P B, j ; j-th transport packet belonging to the communication session of the second terminal) of the second terminal 502, and Packet blind key for the transport packet P B, j using the selected packet secret value (X B, j ).
Figure PCTKR2013004967-appb-I000022
), And a symmetric packet key for the transport packet P B, j using the first session blind key Y A.
Figure PCTKR2013004967-appb-I000023
).
이어서, 대칭 패킷 키(KB,j)를 RC4 암호화 알고리즘을 이용하여 암호화하여 패킷 키 스트림(
Figure PCTKR2013004967-appb-I000024
)을 생성한 다음, 패킷 키 스트림(
Figure PCTKR2013004967-appb-I000025
)을 이용하여 전송 패킷(PB,j)을 암호화한 암호화 전송 패킷(
Figure PCTKR2013004967-appb-I000026
)을 상기 제1 단말기(501)로 전송하는 과정을 포함한다(S480). 여기서도 물론 보안성을 높이기 위하여 상기 제2 단말기(502)의 전송 패킷별로 서로 다른 패킷 키 스트림을 생성한다. 즉, S480 단계의 경우 제2 단말기(502)에서 [RTP 헤더 + YB,j + EKSB,j(PB,j)]로 구성된 RTP 패킷(512)을 완성하여 제1 단말기(501)로 전송한다.The symmetric packet key K B, j is then encrypted using the RC4 encryption algorithm to
Figure PCTKR2013004967-appb-I000024
), And then the packet key stream (
Figure PCTKR2013004967-appb-I000025
Encrypted transmission packet (P B, j ) encrypted using
Figure PCTKR2013004967-appb-I000026
) Is transmitted to the first terminal 501 (S480). Here, of course, different packet key streams are generated for each transport packet of the second terminal 502 to increase security. That is, in step S480, the second terminal 502 completes the RTP packet 512 including [RTP header + Y B, j + E KSB, j (P B, j )] to the first terminal 501. send.
한편, 상기 제1 단말기(501)로부터 암호화되어 전송된 RTP 패킷(511)을 상기 제2 단말기(502)에서 복호화하기 위한 과정(S490)을 설명하면 다음과 같다. 먼저, 상기 제2 단말기(502)는, 우선 상기 수신된 패킷 블라인드키(YA,i) 및 상기 제2 세션 비밀 값(XB)를 이용하여 상기 대칭 패킷 키(
Figure PCTKR2013004967-appb-I000027
)를 구한다. 그리고, 상기 구하여진 대칭 패킷 키(KA,i)을 이용하여 상기 패킷 키 스트림(
Figure PCTKR2013004967-appb-I000028
)을 구한다. 이후, 상기 암호화된 전송 패킷(
Figure PCTKR2013004967-appb-I000029
)을 상기 구하여진 패킷 키 스트림(KSA,i)을 이용하여 복호화하여 평문 전송 패킷(
Figure PCTKR2013004967-appb-I000030
)을 구한다. 여기서, 복호화 알고리즘 또한 RC4 복호화를 이용한다. Meanwhile, a process (S490) for decrypting the RTP packet 511 encrypted and transmitted from the first terminal 501 by the second terminal 502 will be described below. First, the second terminal 502 first uses the received packet blind key (Y A, i ) and the second session secret value (X B ) for the symmetric packet key (
Figure PCTKR2013004967-appb-I000027
) And, using the obtained symmetric packet key (K A, i ), the packet key stream (
Figure PCTKR2013004967-appb-I000028
) Thereafter, the encrypted transport packet (
Figure PCTKR2013004967-appb-I000029
) Is decrypted by using the obtained packet key stream (KS A, i ) and a plain text transmission packet (
Figure PCTKR2013004967-appb-I000030
) Here, the decoding algorithm also uses RC4 decoding.
이상과 같은 방법으로 제1 단말기(501)가 전송한 패킷 내용을 제2 단말기(502)에서 쉽게 해독할 수 있다. 본 실시예는 두 단말기 간의 양방향 통신에 해당되므로 제2 단말기(502)로부터 암호화되어 전송된 RTP 패킷(512)을 제2 단말기(502)에서 복호화하기 위한 과정(S495) 또한 앞서 S490과 동일한 원리를 가진다. 따라서, 이에 관한 상세한 설명은 생략한다.As described above, the packet contents transmitted by the first terminal 501 can be easily decrypted by the second terminal 502. Since the present embodiment corresponds to bidirectional communication between two terminals, a process (S495) for decrypting the RTP packet 512 encrypted and transmitted from the second terminal 502 by the second terminal 502 may also be performed in the same principle as in S490. Have Therefore, detailed description thereof will be omitted.
이상과 같은 본 발명에 따르면, 네트워크를 통해 음성이나 영상을 실시간 전송하는 통신 서비스에 있어서 적이 도청 및 해킹할 수 없도록 하는 비밀성과 (MIMA;Man-In-Middle-Attack)와 같은 적의 공격을 차단하는 인증을 제공할 수 있다. According to the present invention as described above, in a communication service that transmits voice or video over a network in real time, it prevents enemy attacks such as man-in-middle-attack (MIMA; Authentication can be provided.
다시 말해서, 본 발명은 멀티미디어 통신 세션이 열린 상태에서 어느 한쪽의 당사자가 원하면 일반 모드 통신에서 비밀성과 인증이 보장되는 보안 모드의 통신 세션으로 전환할 수 있도록 하여, 보안 기능이 없는 일반 모드의 세션 동작 중에 사용자의 의도에 따라 필요 시 언제든지 보안 모드로 세션을 전환할 수 있는 이점이 있다.In other words, the present invention allows a party to switch from a normal mode communication to a secure session in which a confidentiality and authentication is guaranteed, if the multimedia communication session is open, so that the session operation in the normal mode without security functions is performed. In the meantime, you can switch the session to secure mode whenever you need according to the user's intention.
또한, 보안 모드의 세션 동안 전송되는 모든 패킷들은 각각 다른 패킷 비밀키로 암호화되므로 음성 및 영상 패킷들이 서로 동일한 비밀키를 사용하는 경우가 절대로 발생하지 않아 매우 높은 수준의 비밀성과 인증을 보장할 수 있다. 즉, 음성이나 영상을 전송하는 패킷 단위마다 서로 다른 패킷 키를 사용하여 패킷 별로 암호화 및 복호화하기 때문에 보안성이 매우 높은 이점이 있다. In addition, since all packets transmitted during the secure mode session are encrypted with different packet secret keys, voice and video packets never use the same secret key, thereby ensuring a very high level of confidentiality and authentication. That is, since the packet is encrypted and decrypted for each packet by using different packet keys for each packet unit for transmitting audio or video, there is an advantage of high security.
더욱이, 본 발명에서는 음성 및 영상 패킷마다 서로 다른 패킷 키를 실시간으로 생성하는 보안 모드 세션을 진행 중인 양쪽 단말기에서만 실시간으로 패킷 키를 만들어 공유하므로, 패킷 키 생성에 어떠한 서버의 도움도 필요로 하지 않는 이점이 있다. 즉, 본 발명은 패킷 키를 실시간 바꾸어 가면서 세션 당사자 양쪽이 공유하기 때문에 패킷 키를 관리하기 위한 어떠한 서버의 도움도 전혀 필요로 하지 않는다. 이렇게 서버의 도움이 필요치 않다는 것은 스마트 폰과 같은 멀티미디어 장치가 세계 인터넷의 어디에 연결되어 있어도 두 장치 사이에 일반 모드 통신 세션이 열린 상태에서는 언제든지 손쉽게 보안 모드의 통신을 통해 멀티미디어의 전송이 가능함을 의미한다.Furthermore, in the present invention, since both terminals are in real time generating and sharing a packet key in real time only in a secure mode session in which a different packet key is generated in real time for each voice and video packet, no server assistance is required for packet key generation. There is an advantage. In other words, the present invention does not require any server help to manage the packet key because both session parties share the packet key in real time. This need for server help means that even if a multimedia device such as a smart phone is connected anywhere in the world, multimedia can be easily transmitted through secure mode communication at any time while a normal mode communication session is held between the two devices. .
이러한 본 발명의 보안 통신 장치가 스마트폰에 장착될 경우 스마트폰은 보안성 능력이 있는 스마트폰과 보안성 능력이 없는 스마트폰으로 이원화될 것이다. 만약, 보안 모드 기능이 있는 스마트폰이 보안 모드 기능이 없는 스마트폰과 보안 모드로 통화를 하려고 시도할 경우 보안 모드의 설정에 실패할 것이므로, 스마트폰 사용자들로 하여금 보안 모드 능력을 가진 스마트폰의 욕구를 증대시킬 수 있으며 해당 산업의 확장에도 기여할 수 있다.When such a secure communication device of the present invention is mounted on a smartphone, the smartphone will be dualized into a smartphone with security capability and a smartphone without security capability. If a smartphone with a security mode function attempts to make a call in a secure mode with a smartphone that does not have a security mode function, the setting of the security mode will fail. It can increase the needs and contribute to the expansion of the industry.
본 발명은 도면에 도시된 실시예를 참고로 설명되었으나 이는 예시적인 것에 불과하며, 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 다른 실시예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호 범위는 첨부된 특허청구범위의 기술적 사상에 의하여 정해져야 할 것이다.Although the present invention has been described with reference to the embodiments shown in the drawings, this is merely exemplary, and it will be understood by those skilled in the art that various modifications and equivalent other embodiments are possible. Therefore, the true technical protection scope of the present invention will be defined by the technical spirit of the appended claims.

Claims (14)

  1. 제1 단말기가 제2 단말기와 단말기 간의 보안 통신을 하는 방법에 있어서,In the method of the first terminal secure communication between the second terminal and the terminal,
    상기 제2 단말기와 디피헬만(Diffie-Hellman) 키 교환 변수인 소수 q와 원시근 α를 교환하여 통신 세션을 일반 모드에서 보안 모드로 전환하는 단계; Exchanging a communication session from a normal mode to a secure mode by exchanging a primitive root α with a prime number q, a Diffie-Hellman key exchange variable, with the second terminal;
    상기 제1 단말기의 통신 세션에 대한 제1 세션 비밀 값을 선택하는 단계;Selecting a first session secret value for the communication session of the first terminal;
    상기 제1 세션 비밀 값, 상기 소수 q와 원시근 α를 이용하여 제1 세션 블라인드 키를 생성하여 상기 제2 단말기로 전송하는 단계;Generating a first session blind key by using the first session secret value, the prime number q, and the primitive root α and transmitting the generated first blind key to the second terminal;
    상기 제2 단말기의 통신 세션에 대한 제2 세션 블라인드 키를 상기 제2 단말기로부터 수신하는 단계;Receiving from the second terminal a second session blind key for a communication session of the second terminal;
    상기 제2 세션 블라인드키를 이용하여 상기 제1 단말기의 전송 패킷에 대한 대칭 패킷 키를 생성하는 단계;Generating a symmetric packet key for a transport packet of the first terminal using the second session blind key;
    상기 대칭 패킷 키를 이용하여 패킷 키 스트림을 생성하는 단계; 및Generating a packet key stream using the symmetric packet key; And
    상기 패킷 키 스트림을 이용하여 상기 전송 패킷을 암호화하여 상기 제2 단말기로 전송하는 단계를 포함하는 단말기 간의 보안 통신 방법.Encrypting the transport packet using the packet key stream and transmitting the encrypted packet to the second terminal.
  2. 청구항 1에 있어서,The method according to claim 1,
    상기 패킷 키 스트림을 생성하는 단계는,Generating the packet key stream may include:
    상기 제1 단말기의 전송 패킷별로 서로 다른 패킷 키 스트림을 생성하는 단말기 간의 보안 통신 방법.The method for secure communication between terminals generating different packet key streams for each transport packet of the first terminal.
  3. 청구항 2에 있어서,The method according to claim 2,
    상기 제1 세션 블라인드 키(YA) 및 상기 제2 세션 블라인드 키(YB)는 아래의 수학식으로 정의되는 단말기 간의 보안 통신 방법:The first session blind key (Y A ) and the second session blind key (Y B ) is a secure communication method between terminals defined by the following equation:
    Figure PCTKR2013004967-appb-I000031
    Figure PCTKR2013004967-appb-I000031
    여기서, XA는 상기 제1 단말기에서 선택한 상기 제1 세션 비밀 값, XB는 상기 제2 단말기에서 선택한 제2 세션 비밀 값을 나타낸다. Here, X A represents the first session secret value selected by the first terminal, and X B represents the second session secret value selected by the second terminal.
  4. 청구항 3에 있어서,The method according to claim 3,
    상기 대칭 패킷 키를 생성하는 단계는,Generating the symmetric packet key,
    상기 전송 패킷(PA,i; 상기 제1 단말기의 통신 세션에 속하는 i번째 전송 패킷)에 대한 패킷 비밀 값(XA,i)을 선택하는 단계;Selecting a packet secret value (X A, i ) for the transport packet (P A, i ; an i-th transport packet belonging to a communication session of the first terminal);
    상기 패킷 비밀 값을 이용하여 상기 전송 패킷에 대한 패킷 블라인드키(
    Figure PCTKR2013004967-appb-I000032
    )를 생성하는 단계; 및    Packet blind key for the transport packet using the packet secret value (
    Figure PCTKR2013004967-appb-I000032
    Generating c); And
    상기 제2 세션 블라인드키(YB)를 이용하여 상기 전송 패킷에 대한 대칭 패킷 키(
    Figure PCTKR2013004967-appb-I000033
    )를 생성하는 단계를 포함하는 단말기 간의 보안 통신 방법.    A symmetric packet key for the transport packet using the second session blind key Y B (
    Figure PCTKR2013004967-appb-I000033
    Generating a).
  5. 청구항 4에 있어서,The method according to claim 4,
    상기 대칭 패킷 키를 이용하여 패킷 키 스트림을 생성하는 단계는,Generating a packet key stream using the symmetric packet key,
    상기 대칭 패킷 키(KA,i)를 RC4 암호화 알고리즘을 이용하여 암호화하여 상기 패킷 키 스트림(
    Figure PCTKR2013004967-appb-I000034
    )을 생성하는 단말기 간의 보안 통신 방법.    The symmetric packet key (K A, i ) is encrypted using an RC4 encryption algorithm so that the packet key stream (
    Figure PCTKR2013004967-appb-I000034
    Secure communication method between the terminals.
  6. 청구항 4 또는 청구항 5에 있어서,The method according to claim 4 or 5,
    상기 패킷 키 스트림를 이용하여 상기 전송 패킷을 암호화하여 상기 제2 단말기로 전송하는 단계는,Encrypting the transmission packet using the packet key stream and transmitting the encrypted packet to the second terminal;
    RTP(Real Time Protocol) 헤더, 상기 패킷 블라인드키(YA,i), 그리고 상기 패킷 키 스트림(KSA,i)을 이용하여 상기 전송 패킷(PA,i)을 암호화한 암호화 전송 패킷(
    Figure PCTKR2013004967-appb-I000035
    )을 포함하는 RTP 패킷을 상기 제2 단말기로 전송하는 단말기 간의 보안 통신 방법.    RTP (Real Time Protocol) header, the packet blind key (Y A, i), and the key stream packets encrypted transmission packet by encrypting the transport packet (P A, i) using the (KS A, i) (
    Figure PCTKR2013004967-appb-I000035
    Secure communication method between the terminals transmitting the RTP packet to the second terminal.
  7. 청구항 6에 있어서,The method according to claim 6,
    상기 제2 단말기는,The second terminal,
    상기 수신된 패킷 블라인드키(YA,i) 및 상기 제2 세션 비밀 값(XB)를 이용하여 상기 대칭 패킷 키(
    Figure PCTKR2013004967-appb-I000036
    )를 구하고,     Using the received packet blind key (Y A, i ) and the second session secret value (X B ) the symmetric packet key (
    Figure PCTKR2013004967-appb-I000036
    ),
    상기 구하여진 대칭 패킷 키(KA,i)를 이용하여 상기 패킷 키 스트림(
    Figure PCTKR2013004967-appb-I000037
    )을 구한 다음,     By using the obtained symmetric packet key (K A, i ), the packet key stream (
    Figure PCTKR2013004967-appb-I000037
    ), Then
    상기 암호화된 전송 패킷(
    Figure PCTKR2013004967-appb-I000038
    )을 상기 구하여진 패킷 키 스트림(KSA,i)을 이용하여 복호화하여 평문 전송 패킷(
    Figure PCTKR2013004967-appb-I000039
    )을 구하는 단말기 간의 보안 통신 방법.    The encrypted transport packet (
    Figure PCTKR2013004967-appb-I000038
    ) Is decrypted by using the obtained packet key stream (KS A, i ) and a plain text transmission packet (
    Figure PCTKR2013004967-appb-I000039
    Secure communication method between terminals.
  8. 제1 단말기가 제2 단말기와 보안 통신을 하기 위해 상기 제1 단말기에 설치되는 보안 통신 장치에 있어서,In the secure communication device is installed in the first terminal for secure communication with the second terminal, the first terminal,
    상기 제2 단말기와 디피헬만(Diffie-Hellman) 키 교환 변수인 소수 q와 원시근 α를 교환하여 통신 세션을 일반 모드에서 보안 모드로 전환하는 모드 전환부;A mode switching unit for switching a communication session from a normal mode to a secure mode by exchanging a prime number q and a primitive root α which is a Diffie-Hellman key exchange variable with the second terminal;
    상기 제1 단말기의 통신 세션에 대한 제1 세션 비밀 값을 선택하는 세션 비밀 값 선택부;A session secret value selecting unit selecting a first session secret value for the communication session of the first terminal;
    상기 제1 세션 비밀 값, 상기 소수 q와 원시근 α를 이용하여 제1 세션 블라인드 키를 생성하여 상기 제2 단말기로 전송하는 세션 블라인드 키 생성부;A session blind key generation unit configured to generate a first session blind key using the first session secret value, the prime number q, and the primitive root α and transmit the generated first blind key to the second terminal;
    상기 제2 단말기의 통신 세션에 대한 제2 세션 블라인드 키를 상기 제2 단말기로부터 수신하는 세션 블라인드 키 수신부;A session blind key receiving unit receiving a second session blind key for a communication session of the second terminal from the second terminal;
    상기 제2 세션 블라인드키를 이용하여 상기 제1 단말기의 전송 패킷에 대한 대칭 패킷 키를 생성하는 대칭 패킷 키 생성부;A symmetric packet key generation unit for generating a symmetric packet key for a transport packet of the first terminal using the second session blind key;
    상기 대칭 패킷 키를 이용하여 패킷 키 스트림을 생성하는 패킷 키 스트림 생성부; 및A packet key stream generator for generating a packet key stream using the symmetric packet key; And
    상기 패킷 키 스트림을 이용하여 상기 전송 패킷을 암호화하여 상기 제2 단말기로 전송하는 패킷 암호화부를 포함하는 보안 통신 장치.And a packet encryption unit to encrypt and transmit the transport packet to the second terminal using the packet key stream.
  9. 청구항 8에 있어서,The method according to claim 8,
    상기 패킷 키 스트림 생성부는,The packet key stream generation unit,
    상기 제1 단말기의 전송 패킷별로 서로 다른 패킷 키 스트림을 생성하는 보안 통신 장치.And a different packet key stream for each transport packet of the first terminal.
  10. 청구항 9에 있어서,The method according to claim 9,
    상기 제1 세션 블라인드 키(YA) 및 상기 제2 세션 블라인드 키(YB)는 아래의 수학식으로 정의되는 보안 통신 장치:The first session blind key (Y A ) and the second session blind key (Y B ) are secure communication devices defined by the following equation:
    Figure PCTKR2013004967-appb-I000040
    Figure PCTKR2013004967-appb-I000040
    여기서, XA는 상기 제1 단말기에서 선택한 상기 제1 세션 비밀 값, XB는 상기 제2 단말기에서 선택한 제2 세션 비밀 값을 나타낸다. Here, X A represents the first session secret value selected by the first terminal, and X B represents the second session secret value selected by the second terminal.
  11. 청구항 10에 있어서,The method according to claim 10,
    상기 대칭 패킷 키 생성부는,The symmetric packet key generation unit,
    상기 전송 패킷(PA,i; 상기 제1 단말기의 통신 세션에 속하는 i번째 전송 패킷)에 대한 패킷 비밀 값(XA,i)을 선택하고,Select a packet secret value (X A, i ) for the transport packet (P A, i ; i-th transport packet belonging to the communication session of the first terminal),
    상기 패킷 비밀 값을 이용하여 상기 전송 패킷에 대한 패킷 블라인드키(
    Figure PCTKR2013004967-appb-I000041
    )를 생성한 다음,    Packet blind key for the transport packet using the packet secret value (
    Figure PCTKR2013004967-appb-I000041
    ), Then
    상기 제2 세션 블라인드키(YB)를 이용하여 상기 전송 패킷에 대한 대칭 패킷 키(
    Figure PCTKR2013004967-appb-I000042
    )를 생성하는 보안 통신 장치.    A symmetric packet key for the transport packet using the second session blind key Y B (
    Figure PCTKR2013004967-appb-I000042
    Secure communication device.
  12. 청구항 11에 있어서,The method according to claim 11,
    상기 패킷 키 스트림 생성부는,The packet key stream generation unit,
    상기 대칭 패킷 키(KA,i)를 RC4 암호화 알고리즘을 이용하여 암호화하여 상기 패킷 키 스트림(
    Figure PCTKR2013004967-appb-I000043
    )을 생성하는 보안 통신 장치.    The symmetric packet key (K A, i ) is encrypted using an RC4 encryption algorithm so that the packet key stream (
    Figure PCTKR2013004967-appb-I000043
    Secure communication device.
  13. 청구항 11 또는 청구항 12에 있어서,The method according to claim 11 or 12,
    상기 패킷 암호화부는,The packet encryption unit,
    RTP(Real Time Protocol) 헤더, 상기 패킷 블라인드키(YA,i), 그리고 상기 패킷 키 스트림(KSA,i)을 이용하여 상기 전송 패킷(PA,i)을 암호화한 암호화 전송 패킷(
    Figure PCTKR2013004967-appb-I000044
    )을 포함하는 RTP 패킷을 상기 제2 단말기로 전송하는 보안 통신 장치.    RTP (Real Time Protocol) header, the packet blind key (Y A, i), and the key stream packets encrypted transmission packet by encrypting the transport packet (P A, i) using the (KS A, i) (
    Figure PCTKR2013004967-appb-I000044
    Secure communication device for transmitting the RTP packet to the second terminal.
  14. 청구항 13에 있어서,The method according to claim 13,
    상기 제2 단말기는,The second terminal,
    상기 수신된 패킷 블라인드키(YA,i) 및 상기 제2 세션 비밀 값(XB)를 이용하여 상기 대칭 패킷 키(
    Figure PCTKR2013004967-appb-I000045
    )를 구하고,     Using the received packet blind key (Y A, i ) and the second session secret value (X B ) the symmetric packet key (
    Figure PCTKR2013004967-appb-I000045
    ),
    상기 구하여진 대칭 패킷 키(KA,i)를 이용하여 상기 패킷 키 스트림(
    Figure PCTKR2013004967-appb-I000046
    )을 구한 다음,     By using the obtained symmetric packet key (K A, i ), the packet key stream (
    Figure PCTKR2013004967-appb-I000046
    ), Then
    상기 암호화된 전송 패킷(
    Figure PCTKR2013004967-appb-I000047
    )을 상기 구하여진 패킷 키 스트림(KSA,i)을 이용하여 복호화하여 평문 전송 패킷(
    Figure PCTKR2013004967-appb-I000048
    )을 구하는 보안 통신 장치.    The encrypted transport packet (
    Figure PCTKR2013004967-appb-I000047
    ) Is decrypted by using the obtained packet key stream (KS A, i ) and a plain text transmission packet (
    Figure PCTKR2013004967-appb-I000048
    Secure communication devices.
PCT/KR2013/004967 2012-06-08 2013-06-05 Method for performing secured communication between terminals and an apparatus therefor WO2013183940A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR10-2012-0061658 2012-06-08
KR1020120061658A KR101297936B1 (en) 2012-06-08 2012-06-08 Method for security communication between mobile terminals and apparatus for thereof

Publications (1)

Publication Number Publication Date
WO2013183940A1 true WO2013183940A1 (en) 2013-12-12

Family

ID=49220836

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/KR2013/004967 WO2013183940A1 (en) 2012-06-08 2013-06-05 Method for performing secured communication between terminals and an apparatus therefor

Country Status (2)

Country Link
KR (1) KR101297936B1 (en)
WO (1) WO2013183940A1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20150090817A (en) * 2014-01-29 2015-08-06 삼성전자주식회사 User terminal Device and Method for secured communication therof
WO2015115798A1 (en) * 2014-01-29 2015-08-06 Samsung Electronics Co., Ltd. User terminal device and secured communication method thereof
WO2017004470A1 (en) * 2015-06-30 2017-01-05 Visa International Service Association Mutual authentication of confidential communication

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101459237B1 (en) 2013-07-05 2014-11-12 가톨릭대학교 산학협력단 Method for security communication between mobile terminals and apparatus for thereof
KR101506564B1 (en) 2014-01-07 2015-03-31 한밭대학교 산학협력단 Method for generating parameter of public key infrastructure
KR101951201B1 (en) 2016-11-09 2019-02-25 주식회사 엔오디비즈웨어 Method for operating application performing security function and corresponding application
KR102101614B1 (en) 2019-01-22 2020-04-17 주식회사 엔오디비즈웨어 Method for operating application performing security function and corresponding application
KR102180691B1 (en) 2020-04-07 2020-11-19 주식회사 소버린월렛 Application stored on recording medium that perform security function, and electronic device

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010090797A (en) * 1998-10-23 2001-10-19 밀러 럿셀 비 Subscription portability for wireless systems
KR20090027287A (en) * 2007-09-12 2009-03-17 (주)왈도시스템 Satellite communication system for providing both voice service and data service and method for providing security function
KR20090065795A (en) * 2007-12-18 2009-06-23 숭실대학교산학협력단 A secure and efficient handover authentication scheme in fmipv6

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8001381B2 (en) * 2008-02-26 2011-08-16 Motorola Solutions, Inc. Method and system for mutual authentication of nodes in a wireless communication network

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010090797A (en) * 1998-10-23 2001-10-19 밀러 럿셀 비 Subscription portability for wireless systems
KR20090027287A (en) * 2007-09-12 2009-03-17 (주)왈도시스템 Satellite communication system for providing both voice service and data service and method for providing security function
KR20090065795A (en) * 2007-12-18 2009-06-23 숭실대학교산학협력단 A secure and efficient handover authentication scheme in fmipv6

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20150090817A (en) * 2014-01-29 2015-08-06 삼성전자주식회사 User terminal Device and Method for secured communication therof
WO2015115798A1 (en) * 2014-01-29 2015-08-06 Samsung Electronics Co., Ltd. User terminal device and secured communication method thereof
GB2545529A (en) * 2014-01-29 2017-06-21 Samsung Electronics Co Ltd User terminal device and secured communication method thereof
KR102092756B1 (en) 2014-01-29 2020-03-24 삼성전자주식회사 User terminal Device and Method for secured communication therof
WO2017004470A1 (en) * 2015-06-30 2017-01-05 Visa International Service Association Mutual authentication of confidential communication
US10708072B2 (en) 2015-06-30 2020-07-07 Visa International Service Association Mutual authentication of confidential communication
US10826712B2 (en) 2015-06-30 2020-11-03 Visa International Service Association Confidential authentication and provisioning
US11323276B2 (en) 2015-06-30 2022-05-03 Visa International Service Association Mutual authentication of confidential communication
US11757662B2 (en) 2015-06-30 2023-09-12 Visa International Service Association Confidential authentication and provisioning

Also Published As

Publication number Publication date
KR101297936B1 (en) 2013-08-19

Similar Documents

Publication Publication Date Title
WO2013183940A1 (en) Method for performing secured communication between terminals and an apparatus therefor
KR100852146B1 (en) System and method for lawful interception using trusted third parties in voip secure communications
US7114005B2 (en) Address hopping of packet-based communications
CN102202299A (en) Realization method of end-to-end voice encryption system based on 3G/B3G
US9363034B2 (en) Method to encrypt information that is transferred between two communication units
CA2548343A1 (en) Method and apparatus for transporting encrypted media streams over a wide area network
WO2009021441A1 (en) Transmitting and receiving method, apparatus and system for security policy of multicast session
CN110191052B (en) Cross-protocol network transmission method and system
CN111835997B (en) Cloud video conference system based on quantum key encryption and decryption method thereof
JPH06318939A (en) Cipher communication system
US20080109652A1 (en) Method, media gateway and system for transmitting content in call established via media gateway control protocol
US20080298593A1 (en) Gateway Shared Key
JP6456451B1 (en) COMMUNICATION DEVICE, COMMUNICATION METHOD, AND PROGRAM
CN113098872B (en) Encryption communication system and method based on quantum network and convergence gateway
Subashri et al. Real time implementation of Elliptic Curve Cryptography over a open source VoIP server
KR101376171B1 (en) Ipsec vpn apparatus and communication method using the same
MY134829A (en) Establishing a vpn connection
US20200351080A1 (en) Method of end to end securing of a communication
Yeun et al. Practical implementations for securing voip enabled mobile devices
KR101078226B1 (en) Gateway system for secure realtime transport protocol session transmission and redundancy providing method using the same
CN109861974A (en) A kind of Data Encryption Transmission device and method
JP2009088959A (en) Intercept system
JPS63155930A (en) Enciphered data communication system
WO2007066943A1 (en) The terminal equipment of speech secure communication service and method thereof
KR101459237B1 (en) Method for security communication between mobile terminals and apparatus for thereof

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 13800619

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 13800619

Country of ref document: EP

Kind code of ref document: A1