현재 무선 네트워크 환경에서 많이 사용되고 있는 PDA의 스토리지 장치의 한계를 극복하기 위해 iSCSI를 이용한 원격 스토리지 시스템이 필요하며, 계속 급증하고 있는 무선 환경에서의 보안 문제를 해결하기 위해 IPSec 적용이 필요하다. 본 논문 에서는 PDA 상에서 원격 스토리지 시스템을 사용하기 위한 iSCSI와 보안을 위한 IPSec를 각각 설계, 구현하고 실제 환경에서의 실험을 통해 성능을 알아본다.
급속히 고갈되어가는 IPv4의 주소 부족 문제를 해결하기 위하여, 차세대 인터넷 프로토콜 (IP)인 IPv6가 제안되었고 실용화 단계까지 진행되고 있다. IPv6에서의 요구 사항 중의 하나인 IPSec은 IPv4의 취약한 보안 기능을 강화하는 것이다. 현재 IPSec에서 반드시 구현되어야 할 암호화 알고리즘으로 MD5, SHA1, 3DES와 더불어 최근 표준안으로 채택된 AES(Rijndael)을 요구하고 있다. IPv6의 고속 수행을 위하여는 IPSec이 하드웨어로 구현될 필요성이 있으므로, 본 논문에서는 IPv6용 IPSec 칩에 탑재할 AES 하드웨어 모듈을 구현하였다. 제안된 하드웨어 모듈은 효율적인 알고리즘의 수행과 구현을 위하여, 암호화/복호화 단계가 동일한 구조로 동작하도록 설계하였으며, 가변적인 128, 196,256 비트의 키에 대하여 같은 로직을 사용하도록 설계하였다.
IPSEC (Internet Protocol Security) is a network layer security protocol that is designed to support secure TCP/IP environment over the Internet considering flexibility, scalability, and interoperability. IPSEC primarily supports security among hosts rather than users unlike the other security protocols. Recently, IPSEC is emphasized as one of the important security infrastructures in the NGI (Next Generation Internet). It also has suitable features to implement VPN (Virtual Private Network) efficiently and its application areas are expected to grow rapidly. In this paper, the basic concepts and related standard documents of IPSEC will be introduced.
IPsec은 차세대 IP 프로토콜인 IPv6에서 필수 구현 사항이며, 네트워크 계층에 적용되어 보안 서비스를 제공하며, 모든 인터넷 서비스를 대상으로 일관된 보안 서비스 제공이 가능하다는 특징을 지닌 국제 표준 프로토콜이다 이러한 IPsec 시스템에서 키 분배 및 관리를 위해 사용되고 있는 IKE 프로토콜은 시스템의 복잡성 문제와 함께 DoS 공격에 취약하다는 문제점이 발견되어 이를 해결하고자 IPsec WG에서 개선 작업 중에 있다. 본 논문에서는 기존 IKE 프로토콜(IKEvl)의 문제점과 IPsec WG에서 개선 작업중인 IKEv2와 JFK 두가지 후보안의 분석된 내용을 정리하였으며, 분석 정리된 내용들이 기존 IKE 프로토콜에 적용시 보안기능 관점에서 고려해야할 사항들을 정리하였다.
FreeS/WAN[l] 은 LINUX 상에서 네트워크 보안 프로토콜표준인 IPSEC을 구현한 공개 S/W이다. 현재 LINUX Project로 수행되고 있으며 1.91 version 까지 나와 있다. 라우터와 라우터간에 IPSEC을 사용하여 통신함으로써 access control, connectionless integrity, data origin authentication, protection against replays, confidentiality의 서비스를 보장받을 수 있고, 또한 이러한 서비스들은 IP 계층에서 제공되기 때문에 IP 계층뿐만 아니라 그 이상의 계층에 대한 보호를 제공한다. [2] 본 논문에서는 LINUX router에 FreeS/WAN IPSEC을 설치하여 Security Gateway를 구성하고, 이 Security Gateway를 통해 전형적인 가상사설망을 구성할 수 있음을 보였다. 양단의 Security Gateway에 설치되어진 FreeS/WAN으로 VPN connection을 설정하고, 인증방법으로 RSA authentication key를 setup 하였다. IPSEC을 통하여 암호화되어진 데이터로 양단의 Gateway 구간에서 보안통신이 이루어짐을 알아본다.
IPsec 기술은 양단간 보안은 물론, 모드, 암호 프로토콜, 다양한 암호화 알고리즘들의 조합을 통해서 다양하고 계층적인 보안 서비스를 제공한다. VPN 서비스가 제공되는 가장 일반적인 유형은 원격 접속자의 공동 인트라넷에 대한 접근을 허용하는 것이다. 하지만 NAT(Network Address Translation) 기술이 호텔과 같이 원격 접속자가 주로 사용하는 곳은 물론 홈 게이트웨이와 같은 네트워크 장치에 널리 사용되고 있어 IPsec 을 통한 양단간 통합 보안 서비스를 제공하는데 치명적인 장애가 발생한다. 따라서 본 논문에서는 IPsec 기술을 NAT 상의 네트워크에 적용할 때 발생하는 문제점과 기존의 해결 방안에 대해서 언급하고 이들의 장 단점을 분석한다. 또한 효율적으로 IPsec 기술을 NAT 네트워크 상에 적용할 수 있는 새로운 연동 방안을 제시함으로써 네트워크 구조에 독립적인 보안 서비스를 제공하고자 한다.
본 고에서는 현재 가장 주목받는 IP 기반의 VPN 기술인 IPSec과 BGP/MPLS, 그리고 최근에 제안된 프로토콜인 SMPLS와 BGP/IPSec에 대하여 각각의 특징 및 장단점을 비교하고 IP VPN프로토콜의 연구동향 및 발전방향에 대하여 분석한다. 보안성(Security)에 강점을 갖는 IPSec과 확장성(Scalability)의 장점을 지닌 BGP/MPLS는 VPN의 구축 시에 반대로 각각 확장성과 보안성의 단점을 갖는다. 이에 대하여, BGP/IPSec은 IPSec에 확장성을 추가하여 VPN 구성을 효율적으로 하도록 했으며, SMPLS는 MPLS 페이로드에 대하여 암호화 및 인증이 가능하도록 하였다. VPN 사업자들이 서비스를 준비중이거나 시작한 IPSec과 BGP/MPLS 기술은 각각의 장단점 때문에 다른 기술과 융합하거나 계속하여 발전 될 것이 예상되며, 이는 VPN 기술의 확장성과 보안성을 강화하는 방향으로 진행될 것이다.
IETF에서 IP 계층을 위한 보안 구조인 IPSsec[1]을 발표한 이래 오픈소스인 리눅스용 IPSec 구현물들이 많이 개발되어왔다. 이러한 구현 프로그램들은 커널 컴파일과 같은 어려운 점과 사용자가 자신의 키를 잃어버린 경우 자신의 데이터에 접속할 수 없는 이유 때문에 IPsec 구현물들의 확장성에 많은 문제가 있었다. 이에 본 논문은 이러한 점을 해결하고자 Ethertap이라는 설정 하나로 커널 컴파일 없이 IPSec을 이용할 수 있도록 하고 또한 사용자가 자신의 키를 백업할 수 있도록 리눅스용 IPSec을 설계 및 구현하였다.
군용 네트워크에서는 이동성과 보안성을 지원하기 위하여 네트워크의 물리적 구성 형태와 상관없이 IPSec ESP 터널들이 Full mesh 형태로 IPSec 장치들을 연결하고 있으며 이 장치들 간에는 멀티케스트 통신이 필요하다. IPSec 장치들은 변화하는 IPSec 터널들을 지원하기 위하여 멀티케스트 그룹키를 동적으로 갱신시킬 수 있어야 한다. 또 특정한 그룹을 형성하는 전술 단말 측면에서도 그룹 구성원 간에 보안성 있는 멀티케스트 통신을 제공해 주어야 한다. 이러한 단말 그룹 구성원의 이동성을 지원하기 위해서는 멀티케스트 그룹 키가 동적으로 갱신되어야만 한다. 본 논문에서는 기존의 Diffie-Hellman (DH) 키 교환 방식 기술과 키 Tree 기술을 활용하여 동적인 상황변화에 따라 보안성 있게 그룹 키를 관리할 수 있도록 하는 방법을 제시한다. 제시하는 동적인 Tree 기반 키관리의 장점은 변화가 심한 그룹 구성원이 서로 상대방으로부터 주기적으로 상황 정보를 받도록 하여 변화하는 상황에 맞추어 효과적으로 그룹 키를 갱신할 수 있다는 점이다.
IPSec은 공용 네트워크 상에서 암호화와 인증, 무결성을 제공하기 위해 사용되는 프로토콜이다. IPSec에서는 전송되는 패킷에 암호화와 인증, 무결성을 추가해 전달하기 위해 ESP 프로토콜을 사용한다. ESP는 패킷 암호화를 위해 DES-CBC 알고리즘을 이용하는데 이 모드에서는 ESP 데이타를 암호화하기 위한 초기 값으로 IV(Initialization Vector)가 사용된다. 이 값은 수신 측의 패킷 복호화를 위해 공개적으로 전달되므로 중간에 공격자에 의해 공격당할 위험이 많다. IV의 값이 조금이라도 변경되면 ESP 의 모든 데이타의 복호화가 이루어지지 않고 상위 레벨의 정보가 변경되는 등 심각한 문제가 발생한다. 이것은 보안을 목적으로 하는 IPSec에서는 치명적인 약점이 될 수 있다. 따라서 본 논문에서는 IV를 안전하게 전송하기 위한 새로운 알고리즘을 제시한다. 이 방법은 DES-ECB 알고리즘을 이용하여 IV 값을 암호화하여 IV 공격을 방어하고 메시지 인증 함수를 추가 적용하여 ESP 전체 데이타의 무결성 체크도 가능하게 한다. 제안된 알고리즘으로 IV와 데이타에 대한 공격을 방어하고 안전한 전송을 보장한다.
본 웹사이트에 게시된 이메일 주소가 전자우편 수집 프로그램이나
그 밖의 기술적 장치를 이용하여 무단으로 수집되는 것을 거부하며,
이를 위반시 정보통신망법에 의해 형사 처벌됨을 유념하시기 바랍니다.
[게시일 2004년 10월 1일]
이용약관
제 1 장 총칙
제 1 조 (목적)
이 이용약관은 KoreaScience 홈페이지(이하 “당 사이트”)에서 제공하는 인터넷 서비스(이하 '서비스')의 가입조건 및 이용에 관한 제반 사항과 기타 필요한 사항을 구체적으로 규정함을 목적으로 합니다.
제 2 조 (용어의 정의)
① "이용자"라 함은 당 사이트에 접속하여 이 약관에 따라 당 사이트가 제공하는 서비스를 받는 회원 및 비회원을
말합니다.
② "회원"이라 함은 서비스를 이용하기 위하여 당 사이트에 개인정보를 제공하여 아이디(ID)와 비밀번호를 부여
받은 자를 말합니다.
③ "회원 아이디(ID)"라 함은 회원의 식별 및 서비스 이용을 위하여 자신이 선정한 문자 및 숫자의 조합을
말합니다.
④ "비밀번호(패스워드)"라 함은 회원이 자신의 비밀보호를 위하여 선정한 문자 및 숫자의 조합을 말합니다.
제 3 조 (이용약관의 효력 및 변경)
① 이 약관은 당 사이트에 게시하거나 기타의 방법으로 회원에게 공지함으로써 효력이 발생합니다.
② 당 사이트는 이 약관을 개정할 경우에 적용일자 및 개정사유를 명시하여 현행 약관과 함께 당 사이트의
초기화면에 그 적용일자 7일 이전부터 적용일자 전일까지 공지합니다. 다만, 회원에게 불리하게 약관내용을
변경하는 경우에는 최소한 30일 이상의 사전 유예기간을 두고 공지합니다. 이 경우 당 사이트는 개정 전
내용과 개정 후 내용을 명확하게 비교하여 이용자가 알기 쉽도록 표시합니다.
제 4 조(약관 외 준칙)
① 이 약관은 당 사이트가 제공하는 서비스에 관한 이용안내와 함께 적용됩니다.
② 이 약관에 명시되지 아니한 사항은 관계법령의 규정이 적용됩니다.
제 2 장 이용계약의 체결
제 5 조 (이용계약의 성립 등)
① 이용계약은 이용고객이 당 사이트가 정한 약관에 「동의합니다」를 선택하고, 당 사이트가 정한
온라인신청양식을 작성하여 서비스 이용을 신청한 후, 당 사이트가 이를 승낙함으로써 성립합니다.
② 제1항의 승낙은 당 사이트가 제공하는 과학기술정보검색, 맞춤정보, 서지정보 등 다른 서비스의 이용승낙을
포함합니다.
제 6 조 (회원가입)
서비스를 이용하고자 하는 고객은 당 사이트에서 정한 회원가입양식에 개인정보를 기재하여 가입을 하여야 합니다.
제 7 조 (개인정보의 보호 및 사용)
당 사이트는 관계법령이 정하는 바에 따라 회원 등록정보를 포함한 회원의 개인정보를 보호하기 위해 노력합니다. 회원 개인정보의 보호 및 사용에 대해서는 관련법령 및 당 사이트의 개인정보 보호정책이 적용됩니다.
제 8 조 (이용 신청의 승낙과 제한)
① 당 사이트는 제6조의 규정에 의한 이용신청고객에 대하여 서비스 이용을 승낙합니다.
② 당 사이트는 아래사항에 해당하는 경우에 대해서 승낙하지 아니 합니다.
- 이용계약 신청서의 내용을 허위로 기재한 경우
- 기타 규정한 제반사항을 위반하며 신청하는 경우
제 9 조 (회원 ID 부여 및 변경 등)
① 당 사이트는 이용고객에 대하여 약관에 정하는 바에 따라 자신이 선정한 회원 ID를 부여합니다.
② 회원 ID는 원칙적으로 변경이 불가하며 부득이한 사유로 인하여 변경 하고자 하는 경우에는 해당 ID를
해지하고 재가입해야 합니다.
③ 기타 회원 개인정보 관리 및 변경 등에 관한 사항은 서비스별 안내에 정하는 바에 의합니다.
제 3 장 계약 당사자의 의무
제 10 조 (KISTI의 의무)
① 당 사이트는 이용고객이 희망한 서비스 제공 개시일에 특별한 사정이 없는 한 서비스를 이용할 수 있도록
하여야 합니다.
② 당 사이트는 개인정보 보호를 위해 보안시스템을 구축하며 개인정보 보호정책을 공시하고 준수합니다.
③ 당 사이트는 회원으로부터 제기되는 의견이나 불만이 정당하다고 객관적으로 인정될 경우에는 적절한 절차를
거쳐 즉시 처리하여야 합니다. 다만, 즉시 처리가 곤란한 경우는 회원에게 그 사유와 처리일정을 통보하여야
합니다.
제 11 조 (회원의 의무)
① 이용자는 회원가입 신청 또는 회원정보 변경 시 실명으로 모든 사항을 사실에 근거하여 작성하여야 하며,
허위 또는 타인의 정보를 등록할 경우 일체의 권리를 주장할 수 없습니다.
② 당 사이트가 관계법령 및 개인정보 보호정책에 의거하여 그 책임을 지는 경우를 제외하고 회원에게 부여된
ID의 비밀번호 관리소홀, 부정사용에 의하여 발생하는 모든 결과에 대한 책임은 회원에게 있습니다.
③ 회원은 당 사이트 및 제 3자의 지적 재산권을 침해해서는 안 됩니다.
제 4 장 서비스의 이용
제 12 조 (서비스 이용 시간)
① 서비스 이용은 당 사이트의 업무상 또는 기술상 특별한 지장이 없는 한 연중무휴, 1일 24시간 운영을
원칙으로 합니다. 단, 당 사이트는 시스템 정기점검, 증설 및 교체를 위해 당 사이트가 정한 날이나 시간에
서비스를 일시 중단할 수 있으며, 예정되어 있는 작업으로 인한 서비스 일시중단은 당 사이트 홈페이지를
통해 사전에 공지합니다.
② 당 사이트는 서비스를 특정범위로 분할하여 각 범위별로 이용가능시간을 별도로 지정할 수 있습니다. 다만
이 경우 그 내용을 공지합니다.
제 13 조 (홈페이지 저작권)
① NDSL에서 제공하는 모든 저작물의 저작권은 원저작자에게 있으며, KISTI는 복제/배포/전송권을 확보하고
있습니다.
② NDSL에서 제공하는 콘텐츠를 상업적 및 기타 영리목적으로 복제/배포/전송할 경우 사전에 KISTI의 허락을
받아야 합니다.
③ NDSL에서 제공하는 콘텐츠를 보도, 비평, 교육, 연구 등을 위하여 정당한 범위 안에서 공정한 관행에
합치되게 인용할 수 있습니다.
④ NDSL에서 제공하는 콘텐츠를 무단 복제, 전송, 배포 기타 저작권법에 위반되는 방법으로 이용할 경우
저작권법 제136조에 따라 5년 이하의 징역 또는 5천만 원 이하의 벌금에 처해질 수 있습니다.
제 14 조 (유료서비스)
① 당 사이트 및 협력기관이 정한 유료서비스(원문복사 등)는 별도로 정해진 바에 따르며, 변경사항은 시행 전에
당 사이트 홈페이지를 통하여 회원에게 공지합니다.
② 유료서비스를 이용하려는 회원은 정해진 요금체계에 따라 요금을 납부해야 합니다.
제 5 장 계약 해지 및 이용 제한
제 15 조 (계약 해지)
회원이 이용계약을 해지하고자 하는 때에는 [가입해지] 메뉴를 이용해 직접 해지해야 합니다.
제 16 조 (서비스 이용제한)
① 당 사이트는 회원이 서비스 이용내용에 있어서 본 약관 제 11조 내용을 위반하거나, 다음 각 호에 해당하는
경우 서비스 이용을 제한할 수 있습니다.
- 2년 이상 서비스를 이용한 적이 없는 경우
- 기타 정상적인 서비스 운영에 방해가 될 경우
② 상기 이용제한 규정에 따라 서비스를 이용하는 회원에게 서비스 이용에 대하여 별도 공지 없이 서비스 이용의
일시정지, 이용계약 해지 할 수 있습니다.
제 17 조 (전자우편주소 수집 금지)
회원은 전자우편주소 추출기 등을 이용하여 전자우편주소를 수집 또는 제3자에게 제공할 수 없습니다.
제 6 장 손해배상 및 기타사항
제 18 조 (손해배상)
당 사이트는 무료로 제공되는 서비스와 관련하여 회원에게 어떠한 손해가 발생하더라도 당 사이트가 고의 또는 과실로 인한 손해발생을 제외하고는 이에 대하여 책임을 부담하지 아니합니다.
제 19 조 (관할 법원)
서비스 이용으로 발생한 분쟁에 대해 소송이 제기되는 경우 민사 소송법상의 관할 법원에 제기합니다.
[부 칙]
1. (시행일) 이 약관은 2016년 9월 5일부터 적용되며, 종전 약관은 본 약관으로 대체되며, 개정된 약관의 적용일 이전 가입자도 개정된 약관의 적용을 받습니다.