• 정보보호학회논문지
• /
• 제14권5호
• /
• pp.11-21
• /
• 2004

Client-to-Gateway 형태의 IPSec-VPN 시스템에서 IPSec-VPN 클라이언트에 대한 사용자 접근 제어를 위해서는 통상 ID/Password 검증 방식 또는 IPSec-VPN 클라이언트가 인증되면, 묵시적으로 IPSec-VPN 게이트웨이가 IPSec-VPN 클라이언트에 대한 사용자 접근 제어가 수행된 것으로 간주하는 묵시적 사용자 접근제어 방식이 있다. 그러나 ID/Password 검증방식은 ID/Password 정보의 전송 방법이 용이하지 않고, 묵시적 사용자 접근제어 방식은 보안상 취약점이 있기 때문에 보다 효과적인 사용자 접근제어 방안이 필요하다. 본 논문에서는 Client-to-Gateway 형태의 IPSec-VPN 시스템에서의 효과적인 사용자 접근제어 방안으로써, 속성 인증서를 이용한 사용자 접근제어 방안을 제안하고, 사용자 접근제어 엔진을 설계, 구현하였다. 본 논문에서 제안한 IPSec-VPN을 위한 사용자 접근제어 방안은 기존의 IPSec-VPN 시스템에 구현이 용이하고, 다른 IPSec-VPN 시스템과의 상호 호환성이 보장되는 장점을 가지고 있다. 또한 본 논문에서 설계, 구현한 사용자 접근제어 엔진은 속성 인증서를 이용한 임의적 접근제어, 역할기반 접근제어 뿐만 아니라, SSO(Single Sign-On) 기능을 제공할 수 있다.

• 인터넷정보학회논문지
• /
• 제14권5호
• /
• pp.11-26
• /
• 2013

무선 인터넷에서 IPSec의 사용은 제한이 많다. MIPv4 IPSec 경로는 동적 무선링크를 포함하지 못한다. 즉 무선 인터넷의 IPSec은 Host-to-Host 경로 전체를 보호할 수 없다. 또한 무선 환경은 고정경로가 유지될 시간을 줄이지만 IPSec SA 합의를 위한 IKE의 지연시간은 상대적으로 길고, IPSec PKI 보안의 인증서 관리는 수행부담이 크다. 이는 무선 인터넷에서 IPSec 사용은 매우 불리하다는 의미이다. 본 논문은 무선링크까지 보호하는 Host-to-Host Transport Mode를 제공하면서 성능이 우수한 WP-IBE 보호방식을 적용하여 무선 인터넷에 유리한 Mobile IPSec을 구축하는 것이 목표이다. 이를 위해 Mobile IPSec은 무선링크를 포함하는 동적경로에 대한 라우팅이 필요하다. FA (Foreign Agent) Forwarding 방안은 동적으로 변경되는 경로를 FA가 확장하는 라우팅 방안이다. FA Forwarding을 위한 FA IPSec SA는 Source Routing 기반 Bind Update를 통해서 동적경로 변경 정보로 갱신된다. IPSec의 수행성능을 높이기 위해 효율적이고 강력한 차세대 Identity Based Weil Pairing (WP) Bilinear Elliptic Curve Cryptography인 WP IBE 방식을 적용했다. 본 논문은 WP-IBE방식의 6개 암호 관련 알고리즘을 Mobile IPSec에 적용하는 변형 프로토콜을 제안하였다. 특별히 이 알고리즘을 ESP Datagram 구성에 적용하는 프로토콜에 집중하였다.

• 한국통신학회논문지
• /
• 제35권9B호
• /
• pp.1342-1349
• /
• 2010

군용 환경에서 동적으로 변화하는 PT (Plain Text) 네트워크들이 Black (Blk) 네트워크를 통하여 서로 보안성있는 통신을 하기 위해서는 Blk 네트워크를 형성하는 완전 그물형 IPSec 터널이 필요하다. 이동성과 보안성이 요구되는 Blk 네트워크에서 IPSec 터널과 보안 방안, 즉 SPD (Security Policy Database)를 동적으로 재구성하는 것은 어려운 과제이다. 본 논문에서는 기존의 IPSec 터널 터널 모드 기술과 IPSec 비밀 키 관리 기술을 바탕으로 하여 군 네트워크에서 요구하는 이동성과 보안성 능력을 제공하기 위해서 구비해야 할 기술인 DMIDP(Dynamic Multicast-based IPSec Discovery Protocol) 기술과 관련된 핵심 기술을 체계적으로 제안한다. 또 제안된 DMIDP 기법에서 나타날 이동성 및 보안성과 관련된 성능에 영향을 미치는 주요 변수와 이들의 운영 방법을 도출하고 제안된 변수 상태에서의 DMIDP 운영 효율성을 분석한다.

• 한국멀티미디어학회:학술대회논문집
• /
• 한국멀티미디어학회 2001년도 추계학술발표논문집
• /
• pp.864-868
• /
• 2001

인터넷의 활용이 급속하게 증가하여 인터넷에서의 정보보호에 대한 필요성이 대두되면서 표준화된 인터넷 정보보호 프로토콜인 IPsec이 등장하게 되었다. 이러한 IPsec은 현재 여러 가지 플랫폼에서 구현되고 있으며 이러한 구현은 일반적으로 IP 계층에 통합하는 방법, BITS, BITW 중 하나의 방법론을 선택하고 있다. 본 논문에서는 IPsec 구현 방법론을 간단히 살펴보고 이들의 장단점을 분석하여 이 중 가장 효율저이라 생각되는 IP 계층에 IPsec을 통합하는 방법을 선택하여 구현하였다. 이에 본 논문은 공개된 운영체제인 리눅스 커널 상에서 IPsec을 구현하기 위해 리눅스 커널의 IP 계층 및 소켓 버퍼 구조를 분석하고 정보보호 정책(SPDB)과 SADB와 연동되는 IPsec 엔진을 IP 계층에 통합하여 구현하는 방법을 제안한다.

• 디지털융복합연구
• /
• 제12권8호
• /
• pp.243-248
• /
• 2014

IPSec은 네트워크상에서 안전한 통신환경을 제공하기 위해 사용하는 보안 프로토콜로, 헤더 인증(Authentication Header)과 데이터와 송신자를 인증하는 Encapsulating Security Payload (ESP) 서비스를 제공하며, 이에 대한 기본적인 개념과, IPSec의 종류를 알아보고 활용되는 방법에 대해서 조사하였다. IPSec 프로토콜이 악용되었을 때의 문제점과 그에 대한 대응책을 알아보고 IPSec을 통한 DDoS 공격에 대한 해결방법을 제시하여 IPSec 프로토콜 사용을 통한 안전한 통신환경을 구축하고자 한다.

• 한국정보과학회논문지:정보통신
• /
• 제31권2호
• /
• pp.207-216
• /
• 2004

IPsec은 네트워크 계층에서 정보보호 서비스를 제공하기 위한 프로토콜이다. 현재 IPsec을 기반으로 하는 인터넷 패킷 보호 보증 플랫폼들이 다양한 환경에서 구현되고 있다. 그러나 현재까지 IPsec을 기반으로 하는 시스템에 대한 보안성을 평가하는 기술이나 연구는 미약한 실정이다. 따라서 본 논문에서는 IPsec을 기반으로 하는 인터넷 패킷 보호 보증 플랫폼(ISCAP: Internet Secure Connectivity Assurance Platform)의 보안성을 평가하기 위한 보안성 평가 시스템을 설계 및 구현하였다. 본 평가 시스템은 ISCAP의 보안성을 평가하여 보안 취약점을 도출하는 것에 더하여, IPsec을 기반으로 하는 시스템 개발 시 디버깅 도구로도 활용될 수 있을 것이다.

• 한국통신학회논문지
• /
• 제26권11C호
• /
• pp.102-112
• /
• 2001

본 논문에서는 IPsec을 리눅스에서 구현하여 IP 계층에서 AH, ESP 프로토콜 사용시 노드간 성능을 측정하여 네트웍에서의 처리 성능에 영향을 미치는 인자에 대하여 분석을 하였다 IPsec에서 사용하는 AH와 ESP는 인증 데이터의 계산, 비교, 암호화에 의해서 IP프로토롤의 전송성능에 영향을 준다. 이에 AH, ESP 프로토콜에 대하여 응용 프로토롤(FTP, Telnet, SMTP)을 이용해 전송 데이터량을 증가시키며 Non IPsec과 IPsec의 처리성능을 평가하여 보았다. 성능평가 결과 전송패킷의 크기와 터널링에 사용되는 암호, 인증 함수. 호스트의 CPU속도, IPsec 구현방식이 전송성능에 영향을 주는 인자로 나타났으며, 대용량의 트래픽에서는 Non IPsec에 비하여 10 여배 이상의 전송지연이 발생하여 IPsec 전송에는 적합하지 않았다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2007년도 추계학술발표대회
• /
• pp.1246-1249
• /
• 2007

IP(Internet Protocol)프로토콜에 기밀성과 무결성을 지원해 주기 위해 IPSec(IP Security) 프로토콜이 등장하였다. 이러한 IPSec 프로토콜은 안전한 통신채널을 만들기 위해 IKE(Internet Key Exchange) 프로토콜을 사용하고 있지만, IKE 프로토콜에서 이루어지는 협약단계의 복잡성 문제로 인하여 IPSec 프로토콜을 사용 할 수 없는 상황이 생기고 있다. 본 논문은 이러한 상황을 해결하기 위해 협약단계를 간소화 시킨 P-IPSec(이하 Premade IPSec)프로토콜을 제시한다. P-IPSec 프로토콜은 사전정보의 협약단계의 어려움을 줄이기 위해 IPSec 세션 설정에 참여하는 호스트들이 협상을 해야 하는 사전정보를 목적지 호스트에서 결정, 전송하는 방식을 사용하고 있다. P-IPSec 프로토콜은 사전정보 협상과 배포의 복잡성 문제로 인하여 IPSec 통신을 하지 못하는 호스트들에게 IPSec 통신을 할 수 있는 수단을 제공해 준다.

• 정보보호학회논문지
• /
• 제16권4호
• /
• pp.127-138
• /
• 2006

IPv6 네트워크에서는 기본 보안 메커니즘인 IPSec 메커니즘을 사용함으로써, 통신 양자 간에 전송되는 데이터에 대한 무결성 및 기밀성을 보장하고, 데이터와 통신 주체에 대한 인증을 실시할 수 있다. 그러나 IPSec 메커니즘을 악용하여 대량의 비정상 트래픽(세션설정 단계 또는 통신 단계의 비정상 IPSec 트래픽)을 전송하였을 경우, IPSec 메커니즘 자체에서 해당 패킷을 차단하는 데 한계가 있다. 본 논문에서는 IPv6 네트워크 환경에서 IPSec 메커니즘의 ESP 확장헤더에 의해 암호화된 패킷의 비정상 여부를 복호화 없이 IPSec 세션테이블과 설정테이블을 이용하여 탐지함으로써, 성능향상을 가질 수 있는 효과적인 보안 시스템에 대한 설계 내용을 보이고자 한다. 또한 설계는 단계적 대응 메커니즘를 기반으로 한다.

• 한국정보보호학회:학술대회논문집
• /
• 한국정보보호학회 2001년도 종합학술발표회논문집
• /
• pp.228-231
• /
• 2001

인터넷의 활용이 급속하게 증가하여 인터넷에서의 정보보호에 대한 필요성이 대두되면서 표준화된 인터넷 정보보호 프로토콜인 IPsec이 등장하게 되었다. 이러한 IPsec은 현재 여러 가지 플랫폼에서 구현되고 있으며, 이러한 구현은 일반적으로 IP 계층에 통합하는 방법, BITS, BITW 중 하나의 방법론을 선택하고 있다. BITW는 outboard crypto processor를 사용하여 물리적인 인터페이스 카드 내에 IPsec을 구현하는 방법으로 효율성이 문제가 되므로 본 논문에서는 IP 계층에 통합하는 방법과 BITS 방법을 중심으로 장단점을 분석한다. 이에 본 논문은 리눅스 커널 상에서 IPsec을 구현하기 위해 리눅스 커널 모듈을 분석하고 가장 효율적이라 생각되는 IP 계층에 통합된 IPsec을 구현하는 방법을 제안한다.