강화된 IKE 보안 협상: 컴퓨터 보안 USB 키를 활용한 접근

📝 원문 정보

• Title: Improved IKE Key Exchange Protocol Combined with Computer Security USB Key Device
• ArXiv ID: 1604.08814
• 발행일: 2016-05-02
• 저자: Pak Myong-Suk, Jo Hyon-Chol, Jang Chung-Hyok

📝 초록 (Abstract)

이 논문에서는 네트워크 계층 가상 사설망(VPN) 프로그램인 "strongSwan"과 "Openswan"에서 사용되는 IKE와 IKEv2의 취약점을 해결하기 위해 컴퓨터 보안 USB 키 장치를 활용한 강화된 IKE 1단계 보안 협상 과정을 제시한다. 특히, DoS 공격 및 MITM 공격에 대한 방어력을 높이기 위한 방법론을 설명하며, 이를 통해 네트워크 통신의 신뢰성을 향상시키는 것을 목표로 한다.

💡 논문 핵심 해설 (Deep Analysis)

본 논문은 기존 IKE와 IKEv2 프로토콜에서 발생하는 다양한 보안 문제를 해결하기 위해 컴퓨터 보안 USB 키 장치를 활용한 강화된 IKE 1단계 보안 협상 과정을 제시하고 있다. 이는 특히 DoS 공격 및 MITM 공격에 대한 방어력을 높이는 것을 목표로 하고 있으며, 이를 통해 네트워크 통신의 신뢰성을 크게 향상시키고자 한다.

1단계 보안 협상 과정 개선

IKE와 IKEv2는 널리 사용되는 인터넷 키 교환 프로토콜들이다. 이들은 SA(Security Association) 및 KE(Key Exchange) 페이로드를 통해 두 노드 간의 안전한 연결을 설정한다. 그러나 이러한 프로토콜은 DoS 공격과 MITM 공격에 취약하다는 문제점이 있다.

• DoS 공격: IKEv2와 달리, IKE는 위조된 소스 IP 주소를 가진 다수의 공격 모드 IKE 요청을 받으면 DH(Diffie-Hellman) 계산 과정에서 DoS 공격에 노출될 수 있다. 이로 인해 네트워크 리소스가 고갈되어 정상적인 트래픽 처리가 불가능하게 된다.
• MITM 공격: IKE/IKEv2는 SA 및 KE 페이로드를 대상으로 한 MITM 공격에 취약하다. 특히, 전자 인증서의 관리 문제로 인해 사용자의 인증 기능이 손실될 수 있으며, 이로 인해 네트워크 통신 신뢰성이 저하된다.

컴퓨터 보안 USB 키 장치 활용

본 논문에서는 이러한 취약점을 해결하기 위해 컴퓨터 보안 USB 키 장치를 제시한다. 이 장치는 CPU, NAND 메모리, 전력 단위, USB 커넥터로 구성되며, 특히 NAND 메모리는 관리 지역, 가상 CD 지역, 사용자 지역으로 나뉘어 있다.

• 관리 지역: 개인 키 저장 지역, 암호화 알고리즘 지역, 전자 인증서 저장 지역으로 구분된다. 여기에는 보안 프로그램이나 암호화 알고리즘에 사용될 수 있는 키가 저장되며, 장치의 고유성을 나타내는 시리얼 번호도 포함되어 있다.
• 가상 CD 지역: 독자 가능하며, 주로 소프트웨어 업데이트나 중요한 정보를 저장하는 데 활용된다.
• 사용자 지역: 읽기/쓰기가 가능한 영역으로, 사용자가 직접 데이터를 관리할 수 있는 공간이다.

개선된 IKE 1단계 보안 협상 과정

본 논문에서 제시한 강화된 IKE 1단계 보안 협상 과정은 다음과 같다:

1. UMi 페이로드 생성 및 전송: 초기화자는 컴퓨터 보안 USB 키 장치에서 시리얼 번호를 가져와 UMi 페이로드를 생성하고, 이 페이로드는 암호화 키 “key1"을 사용하여 암호화된 후 응답자에게 전송된다. 만약 초기화자가 시리얼 번호를 가져올 수 없는 경우, 협상 과정은 중단된다.
2. 응답자의 인증 및 DoS 공격 방어: 응답자는 컴퓨터 보안 USB 키 장치를 통해 합법적인 사용자임을 확인하고, DoS 공격이 발생하지 않았음을 판단하면 다음 단계로 진행한다. 이 과정에서 응답자가 보유한 컴퓨터 보안 USB 키 장치가 없으면 협상에 참여할 수 없다.
3. UMr 페이로드 생성 및 전송: 응답자는 UMr 페이로드를 생성하고, 자신의 컴퓨터 보안 USB 키 장치에 저장된 전자 인증을 사용하여 서명을 생성한 후, 암호화 키(장치 시리얼 번호)로 CERT와 SIG_R 페이로드를 암호화하여 초기화자에게 전송한다.
4. 초기화자의 신원 확인: 초기화자는 응답자의 신원을 확인하기 위해 암호화된 UMr, CERT, SIG_R 페이로드를 복호화하고, 자신의 컴퓨터 보안 USB 키 장치에 저장된 전자 인증을 사용하여 서명을 생성한 후, 암호화 키(장치 시리얼 번호)로 CERT와 SIG_I 페이로드를 암호화하여 응답자에게 전송한다.
5. 응답자의 신원 확인: 마지막으로 응답자는 초기화자의 신원을 확인하기 위해 암호화된 CERT 및 SIG_I 페이로드를 복호화한다.

이러한 과정은 기존 IKE 프로토콜의 취약점을 해결하고, 네트워크 통신의 보안성을 크게 강화하는 데 기여한다. 특히, 컴퓨터 보안 USB 키 장치는 개인 키와 전자 인증서를 안전하게 저장하고 관리할 수 있는 공간을 제공하여 사용자의 신원 확인 및 데이터 암호화 과정에서 중요한 역할을 수행한다.

결론

본 논문은 기존 IKE 프로토콜의 취약점을 해결하기 위해 컴퓨터 보안 USB 키 장치를 활용한 강화된 IKE 1단계 보안 협상 과정을 제시하고 있다. 이를 통해 DoS 공격 및 MITM 공격에 대한 방어력을 높이고, 네트워크 통신의 신뢰성을 크게 향상시키는 것이 가능하다. 이러한 접근법은 특히 기업이나 민감한 정보를 다루는 조직에서 더욱 중요하게 작용할 수 있으며, 앞으로의 연구에서는 이와 같은 보안 장치의 실제 적용 사례 및 효과에 대한 추가적인 분석이 필요할 것으로 보인다.

📄 논문 본문 발췌 (Excerpt)

📸 추가 이미지 갤러리

Reference