세계적으로 OpenIKEv2과 strongSwan, Openswan, IKEv2, Racoon, Racoon2와 같은 보안프로그람들이 망층가상전용망구축에 광범히 리용되고있다.
특징적인것은 우의 가상전용망구축프로그람들이 IKE와 IKEv2규약들을 모두 지원하지만 리용자들이 IKE규약을 가상전용망구축에 여전히 리용하고있으며 IKE보다 보안성능이 강화되게 설계된 IKEv2규약자체도 완전한 보안성능을 제공하지 못한다는것이다.
그러므로 IKE와 IKEv2규약의 보안성능을 개선하는것은 자료통신의 안전성을 담보하는데서 아주 중요하다.
첫째로 다른 기관과의 공동연구하에 콤퓨터보안USB열쇠장치를 결합한 개선된 IKE열쇠교환규약을 실현하여 IKE에서 제기되는 DoS공격과 SA, KE자료부들에 대한 중간자공격을 방지하였으며 전자증명서의 보관문제를 해결하여 신분인증에 대한 신뢰성을 높이였다.
둘째로 IKEv2규약을 리용할 때 망상에서 불순한 VPN보안관문(공격자)이 송신자의IKE_SA_INIT통보문에 대하여 쿠키응답을 위조하여 산생하는 불필요한 IKEv2파케트들의 범람과 IKEv2규약의 초기교환과정에 제기되는 제한된 DoS공격을 완전히 방지하기 위한 한가지방법을 설계하여 도입하였다.
인증정보를 반영하여 DoS공격방지와 접근조종을 우리 식으로 설계한 개선된 IKEv2규약의 우점은 다음과 같다.
① DoS공격방지
우리가 개선한 IKEv2규약은 불순한 VPN관문(공격자)이 송신자의IKE_SA_INIT통보문에 대하여 COOKIE응답을 위조하여 산생하는 불필요한 IKEv2파케트들의 범람과 IKEv2규약의 초기교환과정에 제기되는 DoS공격을 방지할수 있다.
② 정당한 VPN의뢰기들과 VPN관문의 보안원칙위반방지
정당한 VPN의뢰기(사용자)들이 보안원칙을 위반하고 자기 기대가 아닌 다른 기대(서로 다른 IP주소를 가진다.)에서 작업하거나 자기의 전자증명서까지 다른 사용자에게 빌려주어 그 사람이 그 증명서를 가지고 다른 기대에서 작업하는 현상을 방지할수 있다.
셋째로 각이한 환경의 IKEv2적용방식(보안관문들사이의 갱도방식, 말단들사이의 전송 및 갱도방식, 말단과 보안관문들사이의 갱도방식)에 쉽게 적용할수 있는 한개의 최적화된 자료통신망대면부를 설계하여 VPN리용에서 사용자들의 편리를 최대한 높인것이다.
넷째로 망기판감시기, iptables방화벽감시기를 리용하여 VPN통신외의 비법통신을 방지하도록 설계한것이다.
우리는 IKE와 IKEv2규약의 보안성능제고와 장치VPN을 실현하기 위한 연구사업을 계속 진행하며 앞으로 이 부문에서 해내외의 권위있는 연구단위들과의 공동연구를 보다 심화시키며 우수한 보안제품의 제작 및 판매를 활성화해나갈것이다.
