<313620C0CCC0B1C1A42D494B457632B8A620C1F6BFF8C7CFB4C BFA1BCADC0C720C5B020BAB9B1B820BCB3B0E82E687770>

Size: px

Start display at page:

Download "<313620C0CCC0B1C1A42D494B457632B8A620C1F6BFF8C7CFB4C BFA1BCADC0C720C5B020BAB9B1B820BCB3B0E82E687770>"

창숙 구
4 years ago
Views:

1 한국산학기술학회논문지 Vol. 11, No. 4, pp , 2010 이윤정 1, 김철수 1, 이봉규 1* 1 제주대학교전산통계학과 IPSec Key Recovery for IKEv2 Yoon-Jung Rhee 1, Chul Soo Kim 1 and Bongkyu Lee 1* 1 Dept. of Computer Science and Statistics, Jeju National University 요약본 IPSec은인터넷의네트워크계층에서 IP 메시지에대하여, 암호화서비스와인증서비스를제공하는보안프로토콜이다. 본논문은모바일환경에서요구되어지는 IPSec 에서의키복구를위하여 IKEv2에적용할수있는키복구수행메커니즘을제시한다. 이는 IPSec과 IKEv2에서호환성을유지할수있으며, 기존의메커니즘보다안전하며, 네트워크오버헤드를줄일수있으며, 키위탁기관이나권위기관에종속되지않고키복구결정을할수있는메커니즘이다. Abstract IPSec is the security protocol that do encryption and authentication service to IP messages on network layer of the internet. This paper presents the key recovery mechanism that is applied to IKEv2 of IPSec for mobile communication environments. It results to have compatibility with IPSec and IKEv2, reduce network overhead, and perform key recovery without depending on key escrew agencies or authorized party. Key Words : IPSec, Key Recovery, IKEv2 1. 서론 오늘날암호의사용은정보의누출및오용을방지하고상대의신원확인을가능하게함으로써온라인상에서의전자상거래나전자계약을가능하게하는등많은장점을가지고있다. 그러나암호는본래가지고있는키관리의어려움으로인해키의분실이나손실로인해사용자가자신의키 ( 또는암호문 ) 에접근할수없는경우가생기거나, 국가가범죄수사등의적법한이유로키에접근해야할필요가있을때, 또는암호가오용됨으로써발생할수있는잠재적인위협등의문제점이나타난다 [6]. 이러한점을해결하기위해제시된방안은키복구기반방식이다. 키복구 (Key recovery) 는합법적단체가기기오류또는악의적인공격에서비롯되는키와관련된데이터의손실또는파괴로부터키를복구함으로써암호화된데이터로부터원래데이터를복구할수있도록하 는시스템이다. 키복구는각특성에따라키위탁방식, 캡슐화방식, TTP 기반의방식으로나눌수있다 [7,11]. IPSec은인터넷의네트워크계층에서 IP 메시지에대하여암호화서비스와인증서비스를제공하는보안프로토콜이다 [1-5]. IPSec에서의키복구의필요성은다음과같다. 세션중두통신주체중한쪽이세션키를분실했을경우와국가기관과같은권위기관이과거의 IPSec 패킷을복호화하기위하여해당세션의세션키가필요한경우등이다. IPSec의키복구연구는다음과같다. RHP[8] 는신뢰할수있는제 3자 (TTP) 를구성하여키복구를할수있는알고리즘이다. KRA[9][10] 은 IETF 인터넷프로토콜에서키복구를할수있는헤더구조를제안하고있다. RHP 은키위탁방식을, KRA은연구는캡슐메커니즘에기초한다. PS-KR[13][14] 는 IPSec에서키복구를지원하는프로토콜로서 RHP과 KRA를병합하는방법을제안하고있다. PS-KR는공개키기반캡슐메커니즘으로서, IKEv1 이논문은 2008 년도제주대학교학술연구지원사업에의하여연구되었음. * 교신저자 : 이봉규 (bklee@jejunu.ac.kr) 접수일 10년 03월 10일수정일 10년 04월 12일게재확정일 10년 04월 09일 1260

2 을이용하고키위탁과 TTP 방식을기반으로하여, 인터넷프로토콜들에상호운용성을유지하면서도, 통신당사자들의안전성을높일수있는방안을제안하고있다. 여기서는 IKEv1를사용하는데, 이는현재의무선통신환경에서요구되는이동성및멀티홈확장등의필요성을충족시키지못하는문제점을안고있다. IETF 워킹그룹에서는이를보완하기위하여 IKEv2 [12] 제안하였다. 본논문에서는 IKEv2에적용하여모바일환경에서요구되는 IPSec 키복구메커니즘을제시한다. 다음절에서는본연구에서관련프로토콜로서 IPSec 과 IKE를살펴보고, 본논문에서제안하고있는메커니즘과의비교분석을위하여 RHP와 KRA, PS-KR를살펴본다. IKEv2 [12] 의첫번째와두번째메시지교환에서는상대방인증과세번째와네번째메시지교환을암호화하기위한 IKE-SA를생성한다. 이후 IKE-SA로보호되는세번째와네번째메시지교환에서는 IPSec에서사용할 IPSec-SA와세션키가 IKE-SA 보호아래안전하게협상된다. [ 그림 1] IKEv2 메시지교환과정 2. 관련연구 2.1 IPSec과 IKEv2 IPSec의중요한두가지프로토콜로는, 인증과무결성보호기능을제공하는 AH(Authentication Header) [3,5] 와, IP의데이터부분에대한선택적인인증과암호화기능을제공하는 ESP(Encapsulating Security Payload) [4,6] 가있다. IPSec은보안프로토콜을두단계로이분화한다. 첫번째단계에서는두통신주체가 AH나 ESP 프로토콜에서사용할세션키와여러가지보안파라미터들 (SA: Security Association) 를협상하는데 IKE는이를자동으로수행하여주는자동키관리프로토콜이다. 두번째단계에서는첫번째단계에서협상되었던 SA의여러알고리즘과세션키를통하여 AH나 ESP 프로토콜을실행하여기밀성과무결성상대방인증이적용된 IP 패킷을만들어전송한다. IKEv2 는모바일통신환경을고려하고좀더높은안전성을위하여 IETF 워킹그룹에서기존의 IKEv1을대체하기위하여제시한표준이다. IKEv1와 IKEv2. 의차이점은다음과같다. 키교환과정이간소화되었다 : v1에서는키교환에필요한메시지수가최소 6번에서 9번이필요했다. 그러나 v2에서는최소 4번이면가능하게되었다. v1에서는 RFC가아닌 Draft로되어있던기능들 (NAT Traversal, DPD, XAuth 등 ) 이 v2에서는 RFC에포함되었다. v2에는 IKE 협상과정에서 DoS 공격에대한방어를위한메카니즘이포함되었다. 2.2 RHP(Royal Holloway Protocol) 프로토콜 RHP[8] 는안전하고신뢰할수있는제 3자 (Trusted Third Party : TTP) 를갖기위한구조를제안하고있다. 구조는하나의교환메시지를갖는비-상호작용메커니즘에기초하며, Diffie-Hellman 이론을사용한다. RHP 시스템은송신된메시지를사용자의개인수신키를사용하여복호화한다. RHP 프로토콜단점으로는키협상과키복구가혼합되어있다는것이다. 이것은그프로토콜이단지한단계만으로이루어졌기때문에, ISAKMP의보안프로토콜들안에서이방법들을통합하기어렵게한다. KRF가단지한번만전송된다는것도또다른단점이다. 사실, 이점은한세션이길어질수있고 KEA가시작을놓칠수있기때문에, 결정적인단점이될수있다. 2.3 KRA (Key Recovery Alliance) The KRA[9][10] (Key Recovery Alliance) 시스템은 TTP(Trusted Third Party) 의공개키로세션키를암호화하는방법을제안하고있다. KRH(Key Recovery Header) 는네트워크를통해키복구정보를담고있는 KRF(Key Recovery Field) 를전송시키는방법을제안하기위하여설계되었는데, 이는키복구를시도하는개체에의하여도청될수있다. KRH는 ESP SA에관한키생성정보를운반한다. 따라서 KRH는 ESP SA와함께사용된다. 그러나, KRH가 IP 패킷데이터의일부분인 IPSec 헤더안에서전송된다면대역폭을저하시키게된다. 또한 TTP 공개키에의하여세션키가암호화되기때문에, 키가노출된다면시스템이붕괴되기때문에안전하지않다. 그림 2는 KRH를포함하는경우의 IP 패킷을보여주고있다. 1261

3 한국산학기술학회논문지제 11 권제 4 호, 2010 IP Header KRH ESP Payload (a) ESP header를포함할때의 IP 패킷 IP Header AH KRH ESP Payload (b) AH header를포함할때의 IP 패킷 [ 그림 2] KRH를포함하는 IP 패킷 Next Header Length Reserved Security Parameter Index (SPI) Encrypted Time Stamp KRF Length Key Recovery Field (KRF), variable length Validation Field type Validation Field Length Validation Field Value, variable length [ 그림 4] PS-KR의 KRH 형식 2.4 PS-KR PS-KR [13][14] 은키위탁과캡슐화메커니즘에바탕을두고있으며, RHP와 KRA 시스템의장점들을결합시키는 IPSec 에서의키복구메커니즘이다. 이는 RHP의상호운용성을유지하면서도, RHP보다안전성을향상시키며, 인터넷프로토콜인 IPSec 내에포함되도록하고있다. 더나은안전성을얻기위하여, 사용자들 TTP의공개키가아니라, 통신하는두사용자사이의 Diffie-Hellman 키교환으로분배된공용키를갖는세션키나사용자의공개키로암호화한다. IKE의 ISAKMP에서는키복구정보협상을, IPSec에서는 KRF의키복구정보를전송시킬수있게하고있다 키복구정보 KRF를위한 SA IKE의 ISAKMP에서는키복구에대한보안협상 (SA) 이일어난다. [ 그림 3] PS-KR의키위탁알고리즘 KRF 데이터전송 IPSec 의두번째단계인 AH나 ESP가진행되는동안, KRF는 KRA와같은방식으로암호화된메시지와함께전송된다. KRH는 ESP 보안협상을위한키복구정보를담게된다. 세션키가위탁관리되지않기때문에 KRF를전송해야한다. KRF를 IP 패킷을일부분인 IPSec 안에서 KRF를전송한다. 그림. 4는 PS-KR의 KRH 형식이다. 3. IKEv2 를위한키복구메커니즘 본절에서는 IKEv2를지원하는 IPSec에서의키복구를제안한다. PS-KR은 IKEv1를사용하여 SA 협상을하는데, 이는현재의무선통신환경에서요구되는이동성및멀티홈확장등의필요성을충족시키지못한다. IPSec을모바일통신에서사용하기위해서는새롭게표준으로제안된 IKEv2를만족해야한다. 우리는키복구를위한 SA 협상을 IKEv2에서적용할수있는메커니즘을제안한다. 키복구정보가들어있는 KRF. 의전송은 KRA의 KRF 데이터전송메커니즘을수정보안할것이다. 3.1 IKEv2 에서의키복구정보를위한 SA IKEv2는일반적으로 4개의메시지교환으로세션키와그에필요한 SA 협상이모두이루어진다. 서비스거부공격방지를위해서는추가로 2개의메시지교환이필요하다. 일반적인 4개의메시지교환을사용하여키복구 SA를협상과정을보인다. 본절에서는기존의 IKEv2 에서이루어지고있는 SA 과정에대한부연설명은제외하기로한다. 따라서키복구를위해서본논문에서추가적으로제안하고있는부분에대해서만기술하고자한다. 그림 5는키복구를위해서사용될세션키- 암호화키 K-kry를도출해내기위해수정된 IKEv2 SA 에서의메시지의흐름을나타내고, 이흐름은 IKE 요청자 (Alice : initiatior) 와 IKE 응답자 (Bob : responder) 사이에서발생한다. 1번째와 2번째메시지교환은수정없이이루어진다. 3 번째메시지에서 Alice는세션키-암호화키도출을위한 Diffie-Hellman 키교환을위해개인값 x를선정하고 과타임스탬프 TS 를기존의메시지에추가하 여전송한다. 4번째메시지에서 Bob은 Diffie-Hellman 개인값 y를 선정하고 를 Alice 에게보낸다. IKEv2. 의메 시지교환이종료된후, Alice와 Bob은다음의방법으로동일한세션키-암호화키 K-kry를각각생성한다. 1262

4 [ 그림 5] 세션키 - 암호화키교환을위한제안된 IKEv2 SA 과정 (1) 여기서 TS는타임스탬프이며, f2 함수는 와 TS를이용한해시함수이다. 이해시함수와 K-kry를적용할세션키-암호화암호고리즘은 3번째와 4번째의 IPSec-SA인 child 안에서동시에협상된다. Alice는세션키 SK를세션키암호화키인 K-Kry로암호화하여암호화된세션키 E{SK}K-kry 를생성한다. Alice 는앞으로일어날지모를세션키의복구를위하여, 본인의키위탁기관인 TTP-Alice 에게세션키-암호화키 K-kry 의재료인 x, TS, child, g, p 를전송하여위탁하는데, x, TS, child 는 TTP-Alice의공개키로암호화한후안 전한형태로 전송된 다. 같은이유와방법으로 Bob 도자신의키위탁기관 TTP-Bob 에게, g, p 를전송하여위탁한다. 3.2 KRH에서의암호화된세션키전송 IKEv2에서의 SA과정이완성되면, 본격적으로 IPSec 의두알고리즘 AH와 ESP를적용하여 IP 패킷의안전한전송이시작된다. 이때암호화된세션키 E{SK}K-kry 는 KRH의 KRF 필드에포함되며, KRH는 IPSec이적용된 IP 패킷이전송되는중간중간에정기적으로 Alice에게서 Bob에게전송된다. 본논문에서제안하고있는 KRH 형식은그림 6과같다. PS-KR 와의차이점은 TS를암호화한필드가없다는점이다. 이로서 KRH 의길이가짧아지기때문에전송중의오버헤드를줄일수있다. Next Header Length Reserved Security Parameter Index (SPI) Key Recovery Field (KRF), KRF Length variable length Validation Field type Validation Field Length Validation Field Value, variable length [ 그림 6] 제안하는 KRH 형식 3.3 키복구과정 IPSec의세션키복구가필요한경우는다양하다. 우선 IPSec 통신하는두주체인 Alice와 Bob이통신중에세션키를잃어버렸을경우, 본인들이갖고있는 K-Kry를통하여 KRH 의 KRF 필드의암호화된세션키 E{SK}K-kry 를복호화하여세션키 SK를복구할수있다. (2) 또다른키복구가요구되는경우는다음과같다. 시간이지난후 Alice와 Bob이해당세션의세션키 SK, K-kry 나그와관련된정보를갖고있지않은상태에서기타의다른권위있는기관이해당 IPSec 패킷을복호화하기위하여세션키를요구할때이다. 이때권위기관 (AP) 는 Alice와 Bob으로부터의동의하에 TTP-Alice로부터는 (x, TS, child, g, p) 를, TTP-Bob로부터는 (y, TS, child, g, p) 를전송받는다. Alice나 Bob은해당세션의 KRH를 AP에게제공하게되며, 그로부터다음의연산으로세션키 SK를도출하여키복구를완성할수있다. 1263

5 한국산학기술학회논문지제 11 권제 4 호, 2010 (3) (4) 그림 7 은 AP 의키복구과정을나타낸다. 각각의키위탁기관인 TTP로부터 seedkey를전송받아야세션키복구가가능하다. 통신주체한쪽이라도동의하지않는다면권위기관은임의로키복구를할수없게되기때문에 IPSec 사용주체들의안전성이높아진다. 표 1는기존의키복구연구들과제안된메커니즘을비교한다. [ 표 1] 메커니즘비교 [ 그림 7] AP 의키복구과정 4. 메커니즘분석및비교평가 이절에서는본논문에서제안하는메커니즘을분석하고기존의프로토콜들과비교한다. 본논문에서제안하고있는스킴은위탁메커니즘에기반하며, 모바일통신환경을위한 IPSec키복구메커니즘을제공한다. 앞서의연구인 PS-KR은 IKEv1에서적용가능한키복구메커니즘으로 IKEv2에는적용할수없는단점이있었다. 그에비해제안하는키복구메커니즘은기존의 IKEv2에추가적인메시지교환없이키복구를위한 SA 를부여할수있다. Alice와 Bob이각자의 TTP에게전송하는메시지는서로의통신상대에게전송하는메시지교환이아니기때문에 IKEv2의진행에는영향을주지않는다. IPSec 세션이유지되는동안, 암호화된메시지와함께암호화된세션키인 E{SK}K-kry 가 KRH의 KRF에포함되어보내진다. 세션키자체가위탁되지않기때문에, E{SK}K-kry 를포함하고있는 KRF는반드시보내져야한다. 그러므로 KRF는허용되는대역폭범위내에서여러번전송될수있다. 모든 IP 패킷에 KRH를포함하여보내는메커니즘인 KRA 보다오버헤드를줄일수있다. IPSec 통신주체 Alice와 Bob은키복구를하기위하여가지고있는세션키-암호화키 K-kry 로 KRH에포함되어있는암호화된세션키를복호화할수있다. 두주체모두가 K-kry 를분실했을경우에는각각의 TTP로부터 K-kry 를구성할수있는 seedkey 정보를전송받아세션키를다시복구할수있다. 국가기관과같은권위기관이해당세션키의키복구를필요로하는경우, 권위기관은통신주체인 Alice와 Bob 모두의동의를받아야하며, 특성 RHP KRA PS-KR 제안된메커니즘 IPSec과의호환성 X O O O IKEv2 호환성 X X X O 안전성 X O 네트워크오버헤드 O O 감소 키복구에서의통신주체권리 X X O 5. 결론 본논문은 IKEv2를지원하는 IPSec에서의키복구를제안하였다. 무선통신환경에서요구되는이동성및멀티홈확장등의필요성을충족시키기위하여 IPSec을모바일통신에서사용하기위해서는새롭게표준으로제안된 IKEv2에서적용할수있는메커니즘을제안하였다. IKEv2에추가적인메시지교환없이약간의연산을추가하여 IPSec을위한키복구가가능하도록하였다. 결과적으로 IPSec과 IKEv2에서호환성을유지할수있으며, 기존의메커니즘보다안전하며, 네트워크오버헤드를줄일수있으며, 키위탁기관이나권위기관에종속되지않고키복구결정을할수있는메커니즘이다. 향후, IKEv2 에서의프로토타입을구현하여본메커니즘의안정성검증을위한연구가진행되어야할것이다. 참고문헌 [1] The Internet Key Exchange (IKE) (RFC 2409) [2] Internet Security Association and Key Management Protocol (ISAKMP) (RFC 2408) [3] The Oakley Key Determination Protocol (RFC 2412) [4] IP Authentication Header (AH) (RFC 2402) 1264

[5] IP Encapsulating Security Payload (ESP) (RFC 2406) [6] NIST, "Escrow Encryption Standard (EES)", Federal Information Processing Standard Pubilication (FIPS PUB) 185, 1994. [7] H. Abelson, R.

Schneirer, "The Risks of Key Recovery, Key Escrow, and Trusted Third-Party Encryption",Technical report, 1997. Available from http://www.crypto.com/key-study. [8] N. Jefferies, C. Mitchell, and M.

1029, Springer-Verlag, 1995. [9] T. Markham and C. Williams, "Key Recovery Header for IPSEC", Computers & Security, 19, 2000, Elsevier Science. [10] D. Balenson and T.

6 [5] IP Encapsulating Security Payload (ESP) (RFC 2406) [6] NIST, "Escrow Encryption Standard (EES)", Federal Information Processing Standard Pubilication (FIPS PUB) 185, [7] H. Abelson, R. Anderson, S. Bellovin, J. Benaloh, M. Blaze, W. Diffie, J. Gilmore, P.Neumann, R. Rivest, J. Schiller, and B. Schneirer, "The Risks of Key Recovery, Key Escrow, and Trusted Third-Party Encryption",Technical report, Available from [8] N. Jefferies, C. Mitchell, and M. Walker, "A Proposed Architecture for Trusted Third Party Services", in Cryptography: Policy and Algorithms, Proceedings: International Conference BrisAne, Lecture Notes In Computer Science, LNCS 1029, Springer-Verlag, [9] T. Markham and C. Williams, "Key Recovery Header for IPSEC", Computers & Security, 19, 2000, Elsevier Science. [10] D. Balenson and T. Markham, "ISAKMP Key Recovery Extensions", Computers & Security, 19, 2000, Elsevier Science. [11] Su Rui-dan, Che Xiang-quan,Fu Shao-feng, Li Long-hai, Zhou Li-hua, Protocol-Based Hidden Key Recovery: IBE Approach and IPSec Case, International Conference on Networks Security, Wireless Communications and Trusted Computing p [12] Internet Key Exchange Protocol (IKEv2) (RFC4306) [13] 이윤정, IETF 표준인터넷프로토콜과호환되는 TTP 기반키복구, 한국콘텐츠학회논문지 6권 6호, pp , [14] Y.J.Rhee,T.Y.Kim, Practical Solutions to Key Recovery Based on PKI in IP Security, SAFECOMP 2002, LNCS 2434, pp , 이윤정 (Yoon-Jung Rhee) [ 정회원 ] < 관심분야 > 유무선네트워크보안 1998 년 8 월 : 숙명여자대학교컴퓨터학과 ( 이학석사 ) 2002 년 8 월 : 고려대학교대학원컴퓨터과학과 ( 이학박사 ) 2004 년 9 월 ~ 현재 : 제주대학교전산통계학과교수 김철수 (Chul Soo Kim) [ 정회원 ] < 관심분야 > 데이터마이닝, 전산통계, 퍼지응용, 1982 년 2 월 : 연세대학교대학원수학과 ( 이학석사 ) 1988 년 8 월 : 연새대학교대학원수학과 ( 이학박사 ) 2003 년 3 월 ~ 2005 년 5 월 : 제주대학교전산원장 1989 년 4 월 ~ 현재 : 제주대학교전산통계학과교수 이봉규 (Lee, Bongkyu) [ 정회원 ] 1995 년 2 월 : 서울대학교컴퓨터공학과박사 1996 년 2 월 ~ 현재 : 제주대학교자연과학대학전산통계학과교수 < 관심분야 > 영상처리, SoC 1265

A Study on the efficient mutual authentication mechanism using the agent server

A Study on the efficient mutual authentication mechanism using the agent server 15 장 : 키관리 Jeon Youngho dean83g@gmail.com 2009.05.29 Contents 대칭키분배 커버로스 대칭키합의 공개키배분 대칭키분배 크기가큰메시지를암호화할때효율적이지만, 사전에당사자끼리비밀키를공유해야함. N 명이통신시 N(N-1) 개의키필요 => N 2 문제라고함. 키의개수뿐만아니라, 키의배분도문제임. 따라서, 비밀키를배분하고관리하는방법이있어야함.