[논문]보안 기능을 지원하는 TELNET 프로토콜의 설계 및 구현

성정기; 서혜인; 김은기

doi:10.6109/jkiice.2016.20.4.769

보안 기능을 지원하는 TELNET 프로토콜의 설계 및 구현
Design and implementation of TELNET protocol supporting security functionalities 원문보기

한국정보통신학회논문지 = Journal of the Korea Institute of Information and Communication Engineering, v.20 no.4, 2016년, pp.769 - 776

성정기 (Department of Information and Communication Engineering, Hanbat National University) , 서혜인 (Department of Information and Communication Engineering, Hanbat National University) , 김은기 (Department of Information and Communication Engineering, Hanbat National University)

초록
AI-Helper

TELNET은 보안을 고려하지 않고 설계된 프로토콜이므로 네트워크 공격에 매우 취약하다. 이 문제를 해결하기 위한 방법으로 SSL/TLS와 SSH가 사용된다. 하지만 이 방법들은 추가적인 보안 프로토콜이 필요하고, 또한 기존의 TELNET과의 하위 호환성을 갖지 않는다. 본 논문에서는 내부적으로 보안 기능을 지원하여 기존의 TELNET과의 하위 호환성을 가지는 STELNET(Secured Telnet)을 제안하였다. STELNET은 옵션 협상을 통해 기존 TELNET과의 하위 호환성을 지원한다. STELNET에서 클라이언트는 ECDSA로 생성된 인증서와 전자서명으로 서버를 인증한다. 서버가 인증되면 두 호스트는 ECDH 알고리즘으로 세션 키를 생성하고, 이 세션 키를 사용하여 데이터를 AES로 암호화하며 SHA-256으로 HMAC을 생성한다. 이후 암호화된 데이터와 HMAC을 전송한다. 결과적으로 기존 TELNET과 하위 호환성을 가지는 STELNET은 중간자 공격을 방어하고 전송되는 데이터의 기밀성과 무결성을 보장하는 보안 기능을 지원한다.

Abstract ▼ AI-Helper

TELNET is vulnerable to network attack because it was designed without considering security. SSL/TLS and SSH are used to solve this problem. However it needs additional secure protocol and has no backward compatibility with existing TELNET in this way. In this paper, we have suggested STELNET(Secured Telnet) which supports security functionalities internally so that has a backward compatibility. STELNET supports a backward compatibility with existing TELNET through option negotiation. On STELNET, A client authenticates server by a certificate or digital signature generated by using ECDSA. After server is authenticated, two hosts generate a session key by ECDH algorithm. And then by using the key, they encrypt data with AES and generate HMAC by using SHA-256. After then they transmit encrypted data and generated HMAC. In conclusion, STELNET which has a backward compatibility with existing TELNET defends MITM(Man-In-The-Middle) attack and supports security functionalities ensuring confidentiality and integrity of transmitted data.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

본 논문은 기존의 TELNET에 옵션을 추가하여 프로토콜 자체에서 보안기능을 지원하는 STELNET 프로토콜을 제안하였다.
이 문제를 해결하기 위해 TELNET에 SSL/TLS와 같은 별도의 보안 프로토콜을 추가하여 사용하거나[3] 원격 접속 외의 파일 전송, 포트 포워딩 등의 다양한 기능이 포함되어 있는 범용적인 보안 프로토콜인 SSH[4]를 사용하여 원격지 컴퓨터에 접속할 수 있으나, 이 방법들은 보안 기능을 위해 별도의 보안 프로토콜을 추가적으로 사용해야한다. 위와 같은 점을 보완하기 위해 본 논문에서는 추가적인 보안 프로토콜 없이 보안 기능을 지원하는 STELNET(Secured Telnet)을 제안하였다. STELNET은 기존의 TELNET에 서버 인증 및 데이터 암호화의 보안 기능이 추가된 프로토콜로, 네트워크 공격에 취약한 기존 프로토콜과 달리 서버와 클라이언트 간의 신뢰성 있는 통신을 가능하게 한다.

제안 방법

STELNET은 옵션 협상과 서브 옵션 협상을 통해 사용할 보안 알고리즘을 결정하고, ECDSA의 공개키를 사용하여 클라이언트가 서버를 인증하도록 설계하였다. 또한 ECDH 알고리즘을 통해 세션마다 새로운 키를 안전하게 생성하고, 이 키를 사용하여 암호 키와 HMAC키를 생성한다.
생성된 세션 키를 사용하여 암호 키, HMAC 키가 생성된다. 두 호스트는 공유한 세션 키와 서로의 랜덤 값을 이용하여 KDF(Key Derivation Function)[17]을 통해 암호 키를, SHA-256 모듈로 HMAC 키를 생성한다.
STELNET은 옵션 협상과 서브 옵션 협상을 통해 사용할 보안 알고리즘을 결정하고, ECDSA의 공개키를 사용하여 클라이언트가 서버를 인증하도록 설계하였다. 또한 ECDH 알고리즘을 통해 세션마다 새로운 키를 안전하게 생성하고, 이 키를 사용하여 암호 키와 HMAC키를 생성한다. 이후 전송되는 데이터가 암호화됨으로써 데이터의 기밀성이 보장되는 것을 동작 검증에서 확인하였다.
STELNET은 TELNET의 보안 취약점을 해결하기 위해 인증서 또는 전자서명을 이용한 서버 인증 과정을 가짐으로써 중간자 공격을 방어하며, 전송되는 데이터의 암호화와 HMAC으로 기밀성과 무결성을 보장한다. 또한 TELNET의 옵션으로 동작하여 이전 버전 규격과 호환성을 갖도록 설계되었다[12].
그림 1에 나타난 것처럼 기존의 TELNET에 SSL/ TLS를 추가한 형태와 SSH의 프로토콜 계층 구조는 별도의 프로토콜로 인해 추가적인 계층이 따른다. 본 논문에서 제안한 STELNET은 추가적인 프로토콜 없이 내부적으로 보안 기능을 지원하도록 설계되어 계층적 오버헤드가 적은 장점을 갖는다.
옵션에 대한 세부 설정이 필요한 경우에는 서브 옵션 협상을 수행한다[14]. 옵션 협상 과정 중 STELNET의 사용이 결정되면 알고리즘 협상, 서버 인증, 키 교환 및 키 검증으로 구성된 서브 옵션 협상을 수행한다. 본 논문에서 제안한 STELNET의 기본 동작은 그림 5와 같다.
STELNET이 전송하는 모든 데이터는 암호화되기 때문에 스니핑(Sniffing) 공격[18]에 의해서 패킷이 노출되더라도 데이터의 기밀성이 보장된다. 이를 검증하기 위해 TELNET 클라이언트와 STELNET 클라이언트가 동일한 STELNET 서버에 로그온 시 전송되는 패킷을 서버에서 Wireshark 프로그램으로 캡처한다. 그림 13은 TELNET 클라이언트가 서버로 전송되는 패킷을 나타낸다.
또한 ECDH 알고리즘을 통해 세션마다 새로운 키를 안전하게 생성하고, 이 키를 사용하여 암호 키와 HMAC키를 생성한다. 이후 전송되는 데이터가 암호화됨으로써 데이터의 기밀성이 보장되는 것을 동작 검증에서 확인하였다. 또한 HMAC을 생성하여 전송함으로써 데이터의 위변조 검증이 가능하다.

대상 데이터

암호화 해시 함수는 역상과 제 2역상, 충돌 저항성을 만족해야 하며 대표적인 알고리즘으로 SHA-1(Secure Hash Algorithm-1), SHA-2가 있다[9, 10]. 수식 1은 RFC2104에 나와 있는 HMAC의 정의이다[10, 11].

성능/효과

결론적으로 STELNET은 신뢰하는 서버와의 접속을 지원하며 호스트가 전송하는 데이터의 기밀성과 무결성을 보장한다. 또한 STELNET은 추가적인 보안 프로토콜 없이 기존 TELNET의 옵션으로 동작하여 이전 버전 규격과 호환성(Backward Compatibility)을 가진다는 장점이 있다.
본 논문에서 제안한 STELNET은 기존 규격 버전과 호환성을 가지므로 기존의 TELNET 클라이언트에서 STELNET 서버로 접속이 가능하다. 그림 13과 같이 기 존의 TELNET 클라이언트가 전송하는 모든 데이터를 아스키 코드(ASCII Code)로 확인할 수 있다.

질의응답

핵심어	질문	논문에서 추출한 답변
	TELNET이란 무엇인가?	TELNET은 원격접속을 위해 사용되는 프로토콜이다. HTTP(Hypertext Transfer Protocol), FTP(File Transfer Protocol)와 같이 원격지 컴퓨터의 특정 파일을 요구하는 것과 달리 TELNET은 로그온 후 원격지 호스트에 있는 프로그램이나 데이터를 이용할 수 있다.
	TELNET의 보안 문제를 해결하기 위해 사용되는 SSL/TLS와 SSH의 문제점은 무엇인가?	이 문제를 해결하기 위한 방법으로 SSL/TLS와 SSH가 사용된다. 하지만 이 방법들은 추가적인 보안 프로토콜이 필요하고, 또한 기존의 TELNET과의 하위 호환성을 갖지 않는다. 본 논문에서는 내부적으로 보안 기능을 지원하여 기존의 TELNET과의 하위 호환성을 가지는 STELNET(Secured Telnet)을 제안하였다.
	암호화 해시 함수의 대표적인 알고리즘에는 무엇이 있는가?	HMAC(keyed-Hash Message Authentication Code)은 비밀 키와 암호화 해시 함수를 사용하여 출력되는 고정된 크기의 전자지문이며 메시지의 무결성 검증과 인증을 위해 사용된다. 암호화 해시 함수는 역상과 제 2역상, 충돌 저항성을 만족해야 하며 대표적인 알고리즘으로 SHA-1(Secure Hash Algorithm-1), SHA-2가 있다[9, 10]. 수식 1은 RFC2104에 나와 있는 HMAC의 정의이다[10, 11].

참고문헌 (18)

Margaret Rouse. Telnet definition from The Tech Dictionary and IT Encyclopedia WhatIs.com site [Internet]. Available: http://sear chnetworking.techtarget.com/definition/Telnet
Behrouz A. Forouzan, TCP/IP Protocol Suite, 4th ed. New York, NY: McGraw Hill, ch. 20, pp.624, 2010.
IETF Std. RFC 2941, Telnet Authentication Option, IETF, J. Altman. 2000.
IETF Std. RFC 4251, The Secure Shell (SSH) Protocol Archi tecture, IETF, T. Ylonen. 2006.
Seok-Ho Kim, "Comparison and analysis on efficiency of sca lar multiplication for Elliptic Curve Cryptosystem," M.S. dissertation, Korea Maritime and Ocean University, Busan, 2003.
SECG Std. SEC 1, SEC 1: Elliptic Curve Cryptography Version 2.0, SECG, Certicom Research, 2009.
Jae-Won Ahn, Beom-Jin Choi, Sung-Jin Ok, Jung-Ha Kang, Jae-Young Kim, Eun-Gi Kim, "Design and implementation of file transfer protocol supporting security functionalities," Journal of the Korea Academia-Industrial cooperation Society, vol.15, no.5, pp.3086-3092, May. 2014.

원문보기 상세보기
FIPS Std. FIPS PUB 197, Adveanced Encryption Standard (AES), FIPS, NIST, 2001.
Wikipedia, The Free Encyclopedia. Cryptography hash function from Wikipedia.org site [Internet]. Available: http://en.wikipedia.org/wiki/Cryptographic_hash_function
Seung-peom Park, Jae-won Ahn, Eun-gi Kim, "Design and Implementation of Secure Vehicle Communication Protocols for WAVE Communication Systems," Journal of the Korea Institute of Information and Communication Engineering, vol.19, no.4, pp.841-847, Apr. 2015.

원문보기 상세보기
IETF Std. RFC 2104, HMAC: Keyed-Hashing for Message Authentication, IETF, H. Krawczyk, M. Bellare, R. Canetti, 1997.
Jeong-Ki Seong, Hye-In Seo, Jae-Won Ahn, Seung-Peom Park, Eun-Gi Kim, "A study on the TELNET protocol supporting security functionalities," in Proceeding of the 2015 Fall Conference of the KIPs, Jeju, pp. 1-3, 2015.
IETF Std. RFC 854, Telnet Protocol Specification, IETF, J. Postel, J. Reynolds, 1983.
IETF Std. RFC 855, Telnet Option Specifications, IETF, J. Postel, J. Reynolds, 1983.
NIST Special Publication 800-57, Recommendation for Key Management, NIST, Gaithersburg, MD, 2012.
Wikipedia, the free encyclopedia. Certificate authority from Wikipedia.org site [Internet]. Available: http://en.wikipedia.org/wiki/Certificate_authority
IETF Std. RFC 6234, US Secure Hash Algorithms(SHA and SHA-based HMAC and HKDF), IETF, D. Eastlake 3rd, Huawei, T. Hansen, 2011.
TechiWarehouse. IP spoofing and sniffing from Techiwarehouse.com site [Internet]. Available: http://techiwarehouse.com/engine/423a5281/IP-Spoofing-and-Sniffing

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증