Journal of KIISE:Information Networking (한국정보과학회논문지:정보통신)

Korean Institute of Information Scientists and Engineers (한국정보과학회)
권호 표지

Security Gateway Extension Mechanism for Session Recovery in Virtual Private Network

가상 사설망에서의 세션 복구 서비스를 위한 Security Gateway 확장 메커니즘

  • 김정범 (고려대학교 컴퓨터학과) ;
  • 이윤정 (고려대학교 컴퓨터학과) ;
  • 박남섭 (고려대학교 컴퓨터학과) ;
  • 김태윤 (고려대학교 컴퓨터학과)
  • Published : 2002.02.01
Download PDF
⟨ Previous Next ⟩

Abstract

The surge in use of networks has recently increased demands for cryptography. Cryptography, however, can cause various problems because of difficulty of key management. A lot of researchers have been concentrating on the key recovery technique to eliminate the reverse effect of using these kinds of security and to promote positive aspects of using it. They have suggested many key recovery techniques up to the present. we propose a mechanism as a solution, which are employed to reduce the time needed to reconnect SG and the host in Host-to-Gateway in VPNs supporting IPsec, in case they are disconnected. This new mechanism using KRFSH stores information at each session in advance so that users can recall the session information when needed to rebuild the tunnel between SG and the host in a VPN. As a result, the mechanism built into SG will solve the problems above in host-to-gateway VPNs using IPsec.

최근, 네트워크의 사용 증가에 따른 보안의 필요성이 대두되어 암호 사용이 급속히 확산되고 있다. 그러나, 암호는 본래 가지고 있는 키 관리의 어려움 때문에 여러 가지 문제가 발생할 수 있다. 이러한 암호의 사용이 야기하는 역기능을 해소하고 순기능을 지향하기 위해 키 복구에 대한 연구가 활발히 진행되고 있으며, 지금까지 많은 키 복구 기술들이 제시되어왔다. 본 논문에서는 IPSec(IP security)[2]로 구현된 Host-to-Gateway VPN(Virtual Private Network)[1] 환경 하에서 SG(Secrity Gateway)와 호스트 사이에 연결이 중단되었을 경우 이에 따른 연결 복구에서의 시간적 소모를 줄이기 위한 방안으로 키 복구 기술을 이용한 메커니즘을 제안한다. 제안한 KRFSH(Key Recovery Field Storage Header)를 기반으로 한 메커니즘은 VPN에서 SG와 호스트 사이의 터널 형성을 위한 세션 정보를 분실할 경우에 대해 세션 정보를 미리 저장해두고, 필요시 이전 연결 상태를 복구 할 수 있다. 제안한 키 복구 메커니즘은 기존 SG를 확장하여, IPSec 기반의 Host-to-Gateway VPN에서 세션 복구에 따른 시간적 지연을 해결한다.

Keywords

References

  1. Dave Kosiur, 'Building and Managing Virtual Private Networks?,' John Wiley & Sons, 1998
  2. Atkinson, R., 'Security Architecture for the Internet Protocol,' RFC 2401, NRL, November 1998
  3. Matt Blaze, 'Protocol Failure in the Escrowed Encryption Standard,' the 2nd ACM Conference on computer and Communications Security, pp. 59-67, 1994 https://doi.org/10.1145/191177.191193
  4. Yair Frankel and Moti Yung, 'Escrow Encryption System Visited : Attacks. Analysis and Designs,' Cryto'95. Springer-Verlag, Lecture Notes in Computer Science, LNCS 963, pp.223-235, 1995
  5. Ross Anderson and Micheal Roe, 'The GCHQ Protocol and its Problems,' Eurocrypt'97. Springer-Verlag, Lecture Notes in Computer Science, LNCS 1233, pp. 134-148, 1997
  6. Adi Shamir, 'Partial key escrow : A new approach to software key escrow,' Key Escrow conference, 1995
  7. S. J. Kim, I. S. Lee, M. Mambo and S. J. Park, 'On the Difficulty of Key Recovery System,' Proc. of ISW'99 Information Security Workshop, Springer-Verlag, 1999
  8. Brigit Pfizmann and Micheal Waidner, 'How to Break Fraud Detectable Key Recovery,' ACM Operationg Systems Review 32, 1998 https://doi.org/10.1145/280559.280563
  9. Adi Shamir, 'Partial key escrow : A new approach to software key escrow,' Key escrow conference, 1995
  10. D. Harkins, D. Carrel, 'The Internet Key Exchange (IKE),' RFC 2409, Cisco Systems, November 1998
  11. Tom Markham, Charles Williams, Key Recovery Header for IPSec, Draft Key Recovery Alliance Recommendation 2, April, 1998
  12. Atkinson, R., 'IP Authentication Header,' RFC 2402, NRL, November 1998
  13. Atkinson, R., 'IP Encapsulation Security Payload,' RFC 2406, NRL, November 1998
  14. Sabari Gupta, A Common Key Recovery Block Format: promoting Interoperability between dissimilar key recovery schemes, KRA white-paper, 1998
  15. Michael J.Markowitz and roge S.Schlafly, Key Recovery in SecretAgent Digital Signiture draft 5, June 11, 1997
  16. FreeS/WAN, http://www.freeswan.org/freeswan_trees/freeswan-1.8/doc/index.html
  17. Christoper B. McCubbin, Ali Aydin Seluck, Deepinder Sidhu, 'Initialization Vector Attack on the IPsec Protocol Sutie', IEEE, Baltmore, 2000 https://doi.org/10.1109/ENABL.2000.883723