• 정보보호학회논문지
• /
• 제14권5호
• /
• pp.11-21
• /
• 2004

Client-to-Gateway 형태의 IPSec-VPN 시스템에서 IPSec-VPN 클라이언트에 대한 사용자 접근 제어를 위해서는 통상 ID/Password 검증 방식 또는 IPSec-VPN 클라이언트가 인증되면, 묵시적으로 IPSec-VPN 게이트웨이가 IPSec-VPN 클라이언트에 대한 사용자 접근 제어가 수행된 것으로 간주하는 묵시적 사용자 접근제어 방식이 있다. 그러나 ID/Password 검증방식은 ID/Password 정보의 전송 방법이 용이하지 않고, 묵시적 사용자 접근제어 방식은 보안상 취약점이 있기 때문에 보다 효과적인 사용자 접근제어 방안이 필요하다. 본 논문에서는 Client-to-Gateway 형태의 IPSec-VPN 시스템에서의 효과적인 사용자 접근제어 방안으로써, 속성 인증서를 이용한 사용자 접근제어 방안을 제안하고, 사용자 접근제어 엔진을 설계, 구현하였다. 본 논문에서 제안한 IPSec-VPN을 위한 사용자 접근제어 방안은 기존의 IPSec-VPN 시스템에 구현이 용이하고, 다른 IPSec-VPN 시스템과의 상호 호환성이 보장되는 장점을 가지고 있다. 또한 본 논문에서 설계, 구현한 사용자 접근제어 엔진은 속성 인증서를 이용한 임의적 접근제어, 역할기반 접근제어 뿐만 아니라, SSO(Single Sign-On) 기능을 제공할 수 있다.

• 인터넷정보학회논문지
• /
• 제14권5호
• /
• pp.11-26
• /
• 2013

무선 인터넷에서 IPSec의 사용은 제한이 많다. MIPv4 IPSec 경로는 동적 무선링크를 포함하지 못한다. 즉 무선 인터넷의 IPSec은 Host-to-Host 경로 전체를 보호할 수 없다. 또한 무선 환경은 고정경로가 유지될 시간을 줄이지만 IPSec SA 합의를 위한 IKE의 지연시간은 상대적으로 길고, IPSec PKI 보안의 인증서 관리는 수행부담이 크다. 이는 무선 인터넷에서 IPSec 사용은 매우 불리하다는 의미이다. 본 논문은 무선링크까지 보호하는 Host-to-Host Transport Mode를 제공하면서 성능이 우수한 WP-IBE 보호방식을 적용하여 무선 인터넷에 유리한 Mobile IPSec을 구축하는 것이 목표이다. 이를 위해 Mobile IPSec은 무선링크를 포함하는 동적경로에 대한 라우팅이 필요하다. FA (Foreign Agent) Forwarding 방안은 동적으로 변경되는 경로를 FA가 확장하는 라우팅 방안이다. FA Forwarding을 위한 FA IPSec SA는 Source Routing 기반 Bind Update를 통해서 동적경로 변경 정보로 갱신된다. IPSec의 수행성능을 높이기 위해 효율적이고 강력한 차세대 Identity Based Weil Pairing (WP) Bilinear Elliptic Curve Cryptography인 WP IBE 방식을 적용했다. 본 논문은 WP-IBE방식의 6개 암호 관련 알고리즘을 Mobile IPSec에 적용하는 변형 프로토콜을 제안하였다. 특별히 이 알고리즘을 ESP Datagram 구성에 적용하는 프로토콜에 집중하였다.

• 정보보호학회논문지
• /
• 제12권5호
• /
• pp.27-35
• /
• 2002

본 논문에서는 우리가 개발한 IPsec 시스템의 효율성을 위해 인터넷 키교환 서버를 중심으로 모듈간 연동 구조와 이 에 따른 수행 절차를 다룬다. 개발한 IPsec 시스템은 IP기반 단대단 보안을 위해 IPsec 엔진을 중심으로 키관리, SADB, SPDB 모듈이 통합된 구조로 되어 있다. 따라서 각 모듈간의 효율적인 연동구조는 시스템의 전체 효율에 매우 큰 영향을 줄 수 있다. 특히, 우리의 IPsec 시스템에서 IPsec 엔진은 커널과의 통합방식으로 구현되었기 때문에 SPDB 와 SADB의 구현 위치에 따른 조회의 효율성을 위해 여러 고려사항들이 필요하다. 우리는 위 문제를 풀기위해 IKE 서버에 의해 생성된 SPI를 사용한다. 최종적으로 우리는 SPDB 엔트리와 SADB 엔트리 조회의 최적화 방법에 기인한 모듈간 연동구조를 제안한다.

• 대한전기학회:학술대회논문집
• /
• 대한전기학회 2004년도 학술대회 논문집 정보 및 제어부문
• /
• pp.123-125
• /
• 2004

The importance for Internet security has being increased and the Internet Protocol Security (IPSec) standard, which incorporates cryptographic algorithms, has been developed as one solution to this problem. IPSec provides security services in IP-Layer using IP Authentication Header (AH) and IP Encapsulation Security Payload (ESP). In this paper, we propose IPSec cryptographic processor design based AMBA architecture. Our design which is comprised Rijndael cryptographic algorithm and HAMC-SHA-1 authentication algorithm supports the cryptographic requirements of IP AH, IP ESP, and any combination of these two protocols. Also, our IPSec cryptographic processor operates as AMBA AHB Slave. We designed IPSec cryptographic processor using Xilinx ISE 5.2i and VHDL, and implemented our design using Xilinx's FPGA Vertex XCV600E.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2004년도 가을 학술발표논문집 Vol.31 No.2 (1)
• /
• pp.406-408
• /
• 2004

인터넷 보안에 대한 중요성이 나날이 증가하고 있으며. 이러한 인터넷 보안 문제의 해결책으로 개발된 IPSec은 IP 계층에서 보안서비스를 제공하기 위하여 AH와 ESP를 사용하여 보안연계(Security Association) 서비스를 제공한다. 본 논문에서는 32-bit 데이터 베이스를 이용하여 새로운 AES로 채택된 Rijndael 암호 알고리즘과 HMAC-SHA-1 인증 알고리즘을 통합시킨 IPSec 암호 프로세서를 구현하였다. Xilinx ISE 5.2i를 사용하여 VHDL로 설계하였고, ModelSim으로 시뮬레이션 검증을 수행하였으며, Xilinx사의 Vertex XCV1000E로 구현하였다. 본 논문에서 구현한 IPSec 암호 프로세서는 WLAN이나 VPN, Firewall등에 응용될 수 있을 것이다.

• 한국정보과학회논문지:정보통신
• /
• 제30권5호
• /
• pp.604-613
• /
• 2003

RFC2766에 정의된 NAT-PT(Network Address Translation-Protocol Translation)는 IPv6 디바이스들이 IPv4 디바이스들과 서로 통신할 수 있도록 제공된 IPv4/IPv6 변환 메커니즘이다. 그러나 NAT-PT는 IPSec의 주요 목적인 종단간 보안을 제공하기 못하는 제약을 가지고 있으므로 기밀성, 인증, 무결성과 같은 보안 서비스를 제공하지 못한다. 이 논문에서는 IPSec 보안 서비스를 제공하기 위한 SNAT-PT(Secure NAT-PT)와 이를 기반으로 동작하는 보안 호스트 구조를 제안한다. 그리고 제안된 구조에서 종단간 IPSec 프로토콜이 동작함을 보이기 위하여 더미(dummy) IP헤더를 이용한 터널링 기법을 제시한다.

• 한국인터넷방송통신학회논문지
• /
• 제15권5호
• /
• pp.147-154
• /
• 2015

위성통신망은 방송과 마찬가지로 지구국만 갖추고 있다면 누구나 수신이 가능한 특성을 가져 반드시 보안이 요구되는 내용이 있다면 암호화를 행해 주어야 한다. 본 논문에서는 위성통신망 IPsec VPN에서 전송모드 AH 보안헤더를 추가하여 인증데이터 부분에 인증알고리즘 MD-5와 SHA-256을 적용하여 BER과 Error rate 및 Throughput을 분석하였다. 먼저 일반 IP 패킷을 생성하여 IPsec 전송모드 AH 보안헤더를 추가하여 내부 인증 데이터를 SHA-256 및 MD-5알고리즘을 적용하여 구성하였다. 채널코더는 Rate Compatible Punctured Turbo Codes를 적용하였고, 패킷 재전송 기법은 Hybrid-ARQ Type-II와 Type-III을 사용하였다. 변조방식은 BPSK를 적용하였고, 무선채널은 마르코프 채널 (Rician 80%, Rayleigh 20%와 Rician 90%, Rayleigh 10%)로 위성채널 상태에 따라 인증알고리즘이 에러율과 Throughput에 어떤 영향을 미치는지 분석하였다.

• 한국멀티미디어학회:학술대회논문집
• /
• 한국멀티미디어학회 2002년도 춘계학술발표논문집(하)
• /
• pp.920-925
• /
• 2002

급속히 고갈되어가는 IPv4의 주소 부족 문제를 해결하기 위하여, 차세대 인터넷 프로토콜 (IP)인 IPv6가 제안되었고 실용화 단계까지 진행되고 있다. IPv6에서의 요구 사항 중의 하나인 IPSec은 IPv4의 취약한 보안 기능을 강화하는 것이다. 현재 IPSec에서 반드시 구현되어야 할 암호화 알고리즘으로 MD5, SHA1, 3DES와 더불어 최근 표준안으로 채택된 AES(Rijndael)을 요구하고 있다. IPv6의 고속 수행을 위하여는 IPSec이 하드웨어로 구현될 필요성이 있으므로, 본 논문에서는 IPv6용 IPSec 칩에 탑재할 AES 하드웨어 모듈을 구현하였다. 제안된 하드웨어 모듈은 효율적인 알고리즘의 수행과 구현을 위하여, 암호화/복호화 단계가 동일한 구조로 동작하도록 설계하였으며, 가변적인 128, 196,256 비트의 키에 대하여 같은 로직을 사용하도록 설계하였다.

• 정보보호학회지
• /
• 제13권5호
• /
• pp.24-30
• /
• 2003

인터넷을 비롯한 대부분의 패킷스위칭 네트워크는 IP(Internet Protocol)을 기반으로 하고 있다. 그러나, IP는 기본적으로 보안에 취약하게 설계되어 보안이 필요한 통신에 사용하는데는 어려움이 있다. IPSec(IP Security)은 IP 트래픽에 대한 이러한 보안문제를 극복하기 위해 생겨났으며, 방화벽과 결합된 형태로 가장 널리 쓰이고 있는 VPN(Virtual Private Network) 제품의 하나이다. 그러나 IPSec의 문제점이 대두되고, Web-based Service가 영역을 넓혀가면서 기존의 웹보안프로토콜인 SSL이 VPN의 새로운 형식으로 나타나고 있다. 본 고에서는 IPSec VPN과 SSL VPN의 차이점의 분석하여 정리하고자 한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2002년도 춘계학술발표논문집 (하)
• /
• pp.813-816
• /
• 2002

현재 인터넷은 IPv4(Internetworking Protocol, version 4)를 사용하고 있다. 하지만 데이터 통신은 1970년대에 IPv4가 나온 이래에 발전을 거듭하여 왔다. IPv4는 빠르게 발전하는 인터넷에의 요구를 수용하기 위해 IPv6가 제안되었고 현재 표준이 되었다. IPv6에서는 암호화와 인증옵션들은 패킷의 신뢰성과 무결성을 등을 제공한다. 인터넷에서의 정보보호는 인터넷을 구성하는 여러 계층에서 이루어 질 수 있지만, IPsec에서는 AH(Authentication Header)프로토콜과 IPsec ESP(Encapsulating Security Payload)프로토콜 두 가지의 암호 프로토콜이 사용되지만 AH에서는 HMAC를 이용한 HMAC-MD5나 HMAC-SHA-1 중 하나를 반드시 기본 인증 알고리즘으로 지원하여야 한다. 본 논문에서는 MD5를 이용한 HMAC-MD5를 기준으로 설계하였으며, Iterative Architecture과 Full loop unrolling Architecture의 두 가지 구조를 설계하였다.