| 1 |
1
보안 운용 체제에서의 신뢰 채널 제공 장치에 있어서, 송신 측면에서: 송신측 사용자로부터 제공된 통신 요청에 따른 데이터가 패킷 전송 요청일 경우, 신뢰 채널 적용 여부를 판단하여 신뢰 채널이 적용되면, 신뢰 채널 헤더를 구성하고, 상기 패킷의 특정 부분을 암호화하며, 인증 정보를 상기 신뢰 채널 헤더에 저장하여 네트워크를 통해 송신하는 신뢰 채널 서브 시스템; 상기 신뢰 채널 적용 여부에 대한 사용자 MAC 정보를 제공하는 MAC 모듈; 상기 신뢰 채널 적용 여부에 대한 신뢰 채널 적용 호스트 주소와 패킷 암호화 및 인증 데이터 생성에 필요한 암호, 인증키를 제공하는 커널 메모리; 수신 측면에서: 상기 네트워크를 통해 수신된 패킷을 복호화하기 전에 신뢰 채널 헤더 부분의 인증 데이터를 검색하고, 상기 인증 데이터가 유효하면, 상기 암호화된 패킷을 복호화한 후, 상기 신뢰 채널 수행에 대한 처리가 끝나면, 상위 레벨의 입력 처리 부분으로 전달하는 루틴을 이용해 상기 패킷을 상위 레벨로 전달하여 수신측 사용자에게 전달하는 신뢰 채널 서브 시스템; 상기 신뢰 채널 서브 시스템에 의해 암호화된 패킷에 대해 인증 검사와 복호화에 필요한 인증 및 암호 키를 제공하는 커널 메모리를 포함하는 것을 특징으로 하는 강제적 접근 제어가 적용된 보안 운용 체제에서의 신뢰 채널 제공 장치
|
| 2 |
2
제 1 항에 있어서, 상기 패킷의 특정 부분을 암호화하기 위한 신뢰 채널 적용의 기준은 패킷 목적지 주소가 신뢰 채널이 적용된 호스트일 경우와, 통신을 요청하는 사용자가 보안 등급을 가질 경우로 구분하는 것을 특징으로 하는 강제적 접근 제어가 적용된 보안 운용 체제에서의 신뢰 채널 제공 장치
|
| 3 |
3
제 1 항에 있어서, 상기 신뢰 채널 헤더를 구성할 경우, 상기 헤더는 새롭게 생성되는 것으로, 상기 새롭게 생성되는 헤더는 암호화된 데이터의 무 결성을 보장하기 위해 인증 데이터 영역, 복호화를 제대로 하기 위해서 초기 벡터 영역, 올바른 상위 프로토콜 처리를 위해서 다음 프로토콜 헤더 영역, 헤더 길이를 검사하기 위해서 헤더 길이 영역, 암호화에 사용된 패딩 길이를 알기 위해서 패딩 길이 영역, 사용자의 강제적 보안 등급을 전달하기 위해서 보안 등급 및 카테고리 영역을 갖는 것을 특징으로 하는 강제적 접근 제어가 적용된 보안 운용 체제에서의 신뢰 채널 제공 장치
|
| 4 |
4
제 3 항에 있어서, 상기 새롭게 생성된 헤더가 추가되더라도 네트워크 서비스를 방해하지 않는 것을 특징으로 하는 강제적 접근 제어가 적용된 보안 운용 체제에서의 신뢰 채널 제공 장치
|
| 5 |
5
제 1 항 또는 제 3 항에 있어서, 상기 패킷의 기밀성을 위해 IP 헤더, 인증 데이터, 초기 벡터를 제외한 모든 부분을 암호화 영역으로 하는 것을 특징으로 하는 강제적 접근 제어가 적용된 보안 운용 체제에서의 신뢰 채널 제공 장치
|
| 6 |
6
송/수신측 신뢰 채널 서브 시스템 및 MAC 모듈을 구비하는 보안 운용 체제에서의 신뢰 채널 제공 방법에 있어서, 송신측 사용자에 의해 통신 요청에 따른 데이터가 제공될 경우, 상기 송신측 신뢰 채널 서브 시스템은 제공된 데이터가 패킷 전송 요청에 해당되면, 인터넷 프로토콜(IP) 계층의 패킷 출력 루틴을 수행하고, 신뢰 채널 적용 여부를 알기 위해 상기 송신측 MAC 모듈과 커널 메모리를 검색하여 신뢰 채널 적용 여부를 체크하는 제1 체크 단계; 상기 제1 체크 단계에서 신뢰 채널이 적용될 경우, 상기 송신측 신뢰 채널 서브 시스템은 적용되는 시점에서 발생되는 정보 및 사용자의 보안 정보(class, category)를 저장하는 신뢰채널의 헤더를 구성하는 단계; 상기 신뢰채널 헤더를 구성한 후, 상기 구성된 신뢰채널 헤더에서 암호화된 패킷에 대한 인증 데이터 및 암호화에 필요한 초기 벡터를 제외한 나머지 모두를 암호화한 후, 상기 패킷의 무 결성을 위해 인증 정보를 생성하고 상기 생성된 인증 정보를 신뢰 채널 헤더에 저장하는 단계; 상기 송신측 신뢰 채널 서브 시스템의 처리가 끝난 후, 인터넷 프로토콜 패킷에 대한 체크 섬(checksum) 처리 및 단편화 처리를 하고 네트워크를 통해 하위 레벨의 출력 루틴으로 패킷을 수신측 신뢰 채널 서브 시스템에 제공하는 단계; 상기 네트워크를 통해 수신된 패킷에 대해 상기 수신측 인터넷 프로토콜 입력 처리에서 상기 패킷에 대해 재조립 처리, 체크 섬 처리를 맞춘 후, 수신측 신뢰 채널 서브 시스템에서 상기 암호화된 패킷을 복호화하기 위해 신뢰 채널 적용 여부를 패킷 헤더의 신뢰 채널 적용 필드를 통해 판단하는 제1 판단 단계; 상기 제1 판단 단계에서 수신된 패킷이 신뢰 채널이 적용될 경우, 상기 패킷을 복호화하기 전에 신뢰 채널 헤더 부분의 인증 데이터를 검색하고, 상기 인증 데이터가 유효하면, 해당 패킷을 복호화하고, 유효하지 않을 경우 해당 패킷을 버리는 단계; 상기 해당 패킷을 복호화한 후, 상위 레벨의 입력 처리 부분으로 전달하는 루틴을 이용해 상기 패킷을 상위 레벨로 전달하여 수신측 사용자에게 전달하는 단계를 포함하는 것을 특징으로 하는 강제적 접근 제어가 적용된 보안 운용 체제에서의 신뢰 채널 제공 방법
|
| 7 |
7
제 6 항에 있어서, 상기 신뢰 채널 적용 여부를 결정하기 위해 상기 패킷의 입출력이 패킷 입력인지, 아니면, 패킷 출력인지를 체크하는 제2 체크 단계; 상기 제2 체크 단계에서 패킷 입력일 경우, IP 헤더 필드 중 다음 프로토콜이 무엇인지를 나타내는 필드가 신뢰 채널 헤더를 나타내는지를 검사하는 제1 검사 단계; 상기 제1 검사 단계에서 필드가 신뢰 채널 헤더를 나타내면, 신뢰 채널을 적용하는 단계; 상기 제2 체크 단계에서 패킷 출력일 경우, 통신 요청의 주체가 보안 등급을 가지고 있고, 목적지 주소가 신뢰채널을 사용하는 시스템일 경우 신뢰 채널을 적용하는 단계를 더 포함하는 것을 특징으로 하는 강제적 접근 제어가 적용된 보안 운용 체제에서의 신뢰 채널 제공 방법
|
| 8 |
8
제 7 항에 있어서, 상기 제1 검사 단계에서 필드가 신뢰 채널 헤더를 나타내지 않으면, 신뢰 채널을 적용하지 않는 것을 특징으로 하는 강제적 접근 제어가 적용된 보안 운용 체제에서의 신뢰 채널 제공 방법
|
| 9 |
9
제 7 항에 있어서, 상기 신뢰채널이 적용될 경우, 처리할 패킷의 헤더 중 다음 프로토콜을 나타내는 필드에 신뢰채널 헤더로 표시하여 수신 측에서 신뢰채널이 적용된 패킷인지 아닌지를 알 수 있는 것을 특징으로 하는 강제적 접근 제어가 적용된 보안 운용 체제에서의 신뢰 채널 제공 방법
|
| 10 |
10
제 6 항에 있어서, 상기 신뢰 채널 헤더 구성은 암호화한 데이터에 대한 인증 정보를 가지는 128-bit 인증 데이터 필드(Authentication data)와, 상기 암호화 알고리즘의 암호학적 동기화 데이터로 사용되는 64-bit 초기 벡터 필드(Initial Vector)와, 인터넷 프로토콜의 상위 프로토콜을 나타내는 8-bit 다음 헤더 필드(Next_hdr)와, 신뢰채널 헤더의 바이트 단위 길이를 표시하는 4-bit 신뢰채널 헤더의 길이 필드(TCHLEN)와, 암호화하기 위해 사용된 패딩의 바이트 단위 길이를 표시하는 4-bit 패딩 길이 필드(PLEN)와, 통신을 요청한 사용자의 강제적 접근제어 정보를 표시하는 16-bit MAC class 필드(MAC class)와, 64-bit category 필드(MAC category)로 구성되어 있는 것을 특징으로 하는 강제적 접근 제어가 적용된 보안 운용 체제에서의 신뢰 채널 제공 방법
|
| 11 |
10
제 6 항에 있어서, 상기 신뢰 채널 헤더 구성은 암호화한 데이터에 대한 인증 정보를 가지는 128-bit 인증 데이터 필드(Authentication data)와, 상기 암호화 알고리즘의 암호학적 동기화 데이터로 사용되는 64-bit 초기 벡터 필드(Initial Vector)와, 인터넷 프로토콜의 상위 프로토콜을 나타내는 8-bit 다음 헤더 필드(Next_hdr)와, 신뢰채널 헤더의 바이트 단위 길이를 표시하는 4-bit 신뢰채널 헤더의 길이 필드(TCHLEN)와, 암호화하기 위해 사용된 패딩의 바이트 단위 길이를 표시하는 4-bit 패딩 길이 필드(PLEN)와, 통신을 요청한 사용자의 강제적 접근제어 정보를 표시하는 16-bit MAC class 필드(MAC class)와, 64-bit category 필드(MAC category)로 구성되어 있는 것을 특징으로 하는 강제적 접근 제어가 적용된 보안 운용 체제에서의 신뢰 채널 제공 방법
|
