KR100411436B1 - Method for distributing calculation of router in virtual private network - Google Patents

Method for distributing calculation of router in virtual private network Download PDF

Info

Publication number
KR100411436B1
KR100411436B1 KR10-2001-0081607A KR20010081607A KR100411436B1 KR 100411436 B1 KR100411436 B1 KR 100411436B1 KR 20010081607 A KR20010081607 A KR 20010081607A KR 100411436 B1 KR100411436 B1 KR 100411436B1
Authority
KR
South Korea
Prior art keywords
router
private network
virtual private
host
packet
Prior art date
Application number
KR10-2001-0081607A
Other languages
Korean (ko)
Other versions
KR20030051949A (en
Inventor
조동욱
Original Assignee
엘지전자 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 엘지전자 주식회사 filed Critical 엘지전자 주식회사
Priority to KR10-2001-0081607A priority Critical patent/KR100411436B1/en
Publication of KR20030051949A publication Critical patent/KR20030051949A/en
Application granted granted Critical
Publication of KR100411436B1 publication Critical patent/KR100411436B1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/58Association of routers
    • H04L45/586Association of routers of virtual routers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • H04L12/4675Dynamic sharing of VLAN information amongst network nodes

Abstract

본 발명은 가상 사설망에서 라우터의 계산을 분산시키는 방법에 관한 것이다. 그러므로, 본 발명은 가상 사설망에서 라우터의 계산을 줄이기 위해서 가상 사설망 터널이 생성된 후에 호스트들이 다른 라우터의 서브 네트의 호스트로 데이터를 전송하는 경우 라우터가 모든 암호학적 연산을 하는 대신에 호스트가 암호학적 연산을 수행하기 위해서 필요한 보안 조합을 라우터에서 호스트로 전송하고, 호스트는 그 보안 조합을 이용하여 가상 사설망 패킷을 생성하고, 그 데이터를 해당 라우터에 전송한다. 그리고, 본 발명은 가상 사설망에서 라우터가 호스트가 보내온 패킷에서 가상 사설망 터널을 통해 보낼 데이터만을 분리하여 가상 사설망 터널을 이용해서 전송한다.The present invention relates to a method for distributing router computation in a virtual private network. Therefore, in the present invention, in order to reduce the computation of routers in a virtual private network, if a host transmits data to a host of a subnet of another router after the virtual private network tunnel is created, the host is cryptographic instead of performing all cryptographic operations. The security combination necessary to perform the operation is transmitted from the router to the host, and the host generates the virtual private network packet using the security combination, and transmits the data to the router. In the virtual private network, the router separates only the data to be transmitted through the virtual private network tunnel from the packet sent by the host and transmits the data using the virtual private network tunnel.

따라서, 본 발명은 가상 사설망에서 가상 사설망의 터널링을 위해서 라우터가 수행해야할 계산을 호스트가 수행함으로써 라우터가 가상 사설망의 터널링을 위하여 필요로 하는 계산량을 감소시켜서 라우터의 성능 개선없이도 라우터의 처리 능력을 크게 감소시키지 않고 가상 사설망을 구축할 수 있는 발판을 마련할 수 있다.Therefore, in the present invention, the host performs calculations to be performed by the router for tunneling of the virtual private network in the virtual private network, thereby reducing the amount of computation required by the router for tunneling of the virtual private network, thereby greatly improving the throughput of the router without improving the performance of the router. It can provide a platform for building a virtual private network without reducing it.

Description

가상 사설망에서 라우터의 계산을 분산시키는 방법{Method for distributing calculation of router in virtual private network}Method for distributing calculation of router in virtual private network}

본 발명은 IPsec를 이용한 터널 모드(Tunnel Mode) 가상 가설망(virtual private network:이하 VPN라고 함)에서 라우터가 대량의 VPN 트래픽을 처리 가능하도록 하기 위한 방법에 관한 것으로, 특히 라우터가 VPN 터널링을 위해서 수행해야 하는 암호학적 연산을 호스트가 수행하게 함으로써 라우터의 계산을 호스트로 분산시키는 방법에 관한 것이다.The present invention relates to a method for enabling a router to handle a large amount of VPN traffic in a tunnel mode virtual private network (hereinafter referred to as a VPN) using IPsec. The present invention relates to a method for distributing router calculations to a host by causing a host to perform cryptographic operations.

통상적으로 터널 모드 VPN은 도 1에 도시된 것과 같이 라우터(10)와 라우터(20) 사이에 암호학적 알고리즘을 이용하여 VPN 터미널을 생성한다.Tunnel mode VPNs typically create VPN terminals using cryptographic algorithms between router 10 and router 20 as shown in FIG.

도 1을 참조하면, 이 VPN 터널을 이용하여 제1라우터(10)의 서브 네트(Subnet)에 속해 있는 호스트들(1~3)은 다른 라우터인 제2라우터(20)의 서브 네트에 속해 있는 호스트(n-2~n)와 데이터를 제3에게 노출없이 주고 받을 수 있다. 이러한 VPN 터널링을 수행하기 위해서는 키분배, 상호 인증, 암호화/복호화 등의 작업이 필요하며, 종래의 IPsec 터널 모드 VPN에서는 이러한 작업이 모두 라우터에서 이루어지고 있다.Referring to FIG. 1, using the VPN tunnel, hosts 1 to 3 belonging to the subnet of the first router 10 belong to the subnet of the second router 20 which is another router. Data can be exchanged with the hosts n-2 to n without being exposed to the third party. In order to perform such VPN tunneling, operations such as key distribution, mutual authentication, encryption / decryption, and the like are performed in the conventional IPsec tunnel mode VPN.

이와 같이, 종래 IPsec 터널 모드 VPN에서는 라우터의 서브 네트에 속해있는 호스트들은 아무런 암호학적 연산없이도 라우터가 생성한 VPN 터널을 이용할 수 있지만 라우터는 자신이 생성한 VPN 터널을 이용하는 모든 패킷들에 대한 암호학적 연산을 수행해야 한다.As such, in the conventional IPsec tunnel mode VPN, hosts belonging to the router's subnet can use the VPN tunnel generated by the router without any cryptographic operation, but the router encrypts all packets using the VPN tunnel created by the router. You must perform the operation.

종래 IPsec를 이용한 VPN 터널 생성은 보안 조합(Security Association:이하 SA라고 함)을 보호하기 위한 키분배 부분과 트래픽을 보호하기 위한 IPsec 정책 설정부분으로 크게 나누어지며, 도 2에 도시된 것과 같은 순서에 따라 이루어진다.Conventionally, VPN tunnel generation using IPsec is divided into a key distribution portion for protecting a security association (hereinafter referred to as SA) and an IPsec policy setting portion for protecting traffic. Is done according to.

도 2를 참조하면, (S1)~(S3) 절차를 이용하여 두 라우터(10, 20)간 인터넷 키 교환(Ineternet Key Exchange:IKE)의 SA를 설정한 후에 (S4), (S5) 절차를 이용하여 두 라우터(10, 20)간에 수행할 IPsec의 정책을 결정한다. 한번 IKE SA를 설정한 후에는 (S4), (S5) 과정만을 이용하여 IPsec 정책을 수행하여 VPN 터널을 만들 수도 있다. 이 과정에서 두 라우터(10, 20) 사이에 IPsec을 이용한 VPN 터널이 생성되고, 이를 이용하여 두 라우터(10, 20) 및 라우터의 서브 네트에 속하는 호스트들(1~n) 사이에 안전한 통신을 수행할 수 있다. 즉, 한 라우터의 서브 네트에 속한 호스트가 다른 라우터의 서브 네트에 속한 호스트가 전송하고자 하는 데이터를 아무런 변환없이 전송하면, 라우터가 그 데이터를 VPN에 맞도록 변경하고, 생성되어 있는 VPN 터널을 이용해서 상대편 라우터로 전송한다.Referring to FIG. 2, after the SA of the Internet Key Exchange (IKE) is set between the two routers 10 and 20 using the steps (S1) to (S3), the steps (S4) and (S5) are performed. The IPsec policy to be performed between the two routers 10 and 20 is determined. Once the IKE SA is set up, a VPN tunnel can be created by performing an IPsec policy using only the steps (S4) and (S5). In this process, a VPN tunnel using IPsec is created between the two routers 10 and 20, and secure communication is performed between the two routers 10 and 20 and hosts 1 to n belonging to the router's subnet. Can be done. That is, if a host belonging to one router's subnet sends data to be transferred by a host belonging to another router's subnet without any conversion, the router changes the data to fit the VPN and uses the created VPN tunnel. Send it to the other router.

이와 같이, 종래에는 키분배 및 인증을 위한 인증 헤더(authentication Header:이하 AH라고 함)와 암호화를 위한 암호 보완 페이로드(Encryption Security Payload:이하 ESP라고 함)의 생성 및 패킷을 수신한 후 AH를 적용하기 위한 패킷의 재조립등을 모두 라우터가 수행하였다.As described above, the AH is generated after receiving a packet and generating an authentication header (AH) for key distribution and authentication and an encryption security payload (ESP) for encryption. The router performed all the reassembly of packets to apply.

이처럼 종래 방법은 라우터가 키분배와 인증과 암호화/복호화를 위한 모든 암호학적 연산을 수행하므로 라우터가 처리할 수 있는 데이터의 양이 급격히 감소하는 문제점이 있다.As described above, since the router performs all cryptographic operations for key distribution, authentication, and encryption / decryption, there is a problem in that the amount of data that the router can process is drastically reduced.

515-UR515-UR 520-UR520-UR 525-UR525-UR 535-UR535-UR Cleartext(Mbps)Cleartext (Mbps) 170170 370370 370370 1,0001,000 3DES(Mbps)3DES (Mbps) 1111 2020 2020 100100

상기 표 1은 CISCO VPN 장비가 데이터를 처리하는 량을 비교하는 것으로서, 평문을 처리하는 경우와 암호문을 처리하는 경우의 처리 속도를 보여준다.Table 1 above compares the amount of data processed by the CISCO VPN device, and shows the processing speed in the case of the plain text processing and the cipher text processing.

표 1을 참조하면, CISCO VPN 장비가 암호문을 처리하는 경우 평문을 처리하는 경우보다 처리 능력이 1/10 이하로 감소됨을 볼 수 있다.Referring to Table 1, it can be seen that when the CISCO VPN device processes the cipher text, the processing power is reduced to 1/10 or less than when the plain text is processed.

이를 보완하기 위해서 종래 가상 사설망에서는 라우터에 고성능의 중앙처리장치(Central Processor Unit:이하 CPU라고 함)를 사용하거나 암호 연산을 위한 전용 CPU나 장치를 사용해야 한다.In order to compensate for this, the conventional virtual private network uses a high-performance central processor unit (hereinafter referred to as a CPU) in a router or a dedicated CPU or device for cryptographic operation.

또한, 종래 가상 사설망에서는 라우터가 AH를 적용하기 위한 패킷 재조립을 라우터가 수행해야 하므로 많은 메모리가 필요했다.In addition, in the conventional virtual private network, since the router must perform packet reassembly for the router to apply the AH, a lot of memory is required.

따라서 본 발명의 목적은 가상 사설망에서 라우터가 대용량의 VPN 트래픽을 처리 가능하도록 하는 방법을 제공하기 위한 것이다.Accordingly, an object of the present invention is to provide a method for enabling a router to handle a large amount of VPN traffic in a virtual private network.

본 발명의 다른 목적은 가상 사설망에서 라우터가 VPN 터널링을 위해서 수행해야 하는 암호학적 연산을 호스트가 수행하도록 하는 방법을 제공함에 있다.Another object of the present invention is to provide a method for allowing a host to perform cryptographic operations that a router must perform for VPN tunneling in a virtual private network.

본 발명의 또다른 목적은 가상 사설망에서 라우터의 계산을 호스트로 분산시켜 라우터의 효율을 높이는 방법을 제공함에 있다.Another object of the present invention is to provide a method of improving the efficiency of a router by distributing the calculation of a router to a host in a virtual private network.

이러한 목적들을 달성하기 위한 본 발명은 가상 사설망에서 라우터의 계산을 줄이기 위해서 VPN 터널이 생성된 후에 호스트들이 다른 라우터의 서브 네트의 호스트로 데이터를 전송하는 경우 라우터가 모든 암호학적 연산을 하는 대신에 호스트가 암호학적 연산을 수행하기 위해서 필요한 SA를 라우터에서 호스트로 전송하고, 호스트는 그 SA를 이용하여 VPN 패킷을 생성하고, 그 데이터를 해당 라우터에전송하는 것을 특징으로 한다.The present invention to achieve these objectives is to reduce the computation of routers in a virtual private network, in which case the hosts transmit data to hosts in another router's subnet after the VPN tunnel is created, instead of the router performing all cryptographic operations. Transmits the SA required for performing the cryptographic operation from the router to the host, and the host generates the VPN packet using the SA and transmits the data to the router.

그리고, 본 발명은 가상 사설망에서 라우터가 호스트가 보내온 패킷에서 VPN 터널을 통해 보낼 데이터만을 분리하여 VPN 터널을 이용해서 전송하는 것을 특징으로 한다.In addition, the present invention is characterized in that in the virtual private network, the router separates only the data to be transmitted through the VPN tunnel from the packet sent by the host and transmits the data using the VPN tunnel.

따라서, 본 발명은 호스트에서 목적지 주소 및 관련 정보를 라우터로 전송하는 과정과; 상기 라우터에서 상기 전송된 목적지 주소 및 관련 정보에 따른 SA를 상기 호스트로 전송하는 과정과; 상기 호스트에서 가상 사설망 터미널을 위한 패킷을 생성하여 상기 라우터로 전송하는 과정을 적어도 포함하는 것을 특징으로 한다.Accordingly, the present invention provides a method of transmitting a destination address and related information from a host to a router; Transmitting, by the router, an SA according to the transmitted destination address and related information to the host; And generating a packet for the virtual private network terminal at the host and transmitting the packet to the router.

그리고, 상기 가상 사설망 터미널을 위한 패킷은 상기 호스트에서 상기 라우터로 패킷을 전송하기 위한 정보를 적어도 포함하는 것을 특징으로 한다.The packet for the virtual private network terminal may include at least information for transmitting the packet from the host to the router.

또한, 본 발명은 라우터가 목적지 주소를 검사하고, 가상 사설망 패킷에 대한 인증과 복호화를 하기 위한 SA와 해당 패킷을 목적지 호스트로 전송하는 과정과; 상기 호스트에서 수신한 SA를 이용하여 수신한 패킷을 인증하고 복호하는 과정을 적어도 포함하는 것을 특징으로 한다.In addition, the present invention provides a process for a router to check a destination address, and transmit an SA and a corresponding packet to the destination host for authentication and decryption of the virtual private network packet; And authenticating and decoding the received packet by using the SA received by the host.

도 1은 가상 사설망의 터널 모드 구성도.1 is a tunnel mode configuration diagram of a virtual private network.

도 2는 가상 사설망의 터널 설정 과정을 나타내는 도면.2 is a diagram illustrating a tunnel setting process of a virtual private network.

도 3은 본 발명의 실시예에 따른 가상 사설망에서 나가는 패킷에 대한 처리 과정을 나타내는 도면.3 is a diagram illustrating a processing procedure for a packet leaving a virtual private network according to an embodiment of the present invention.

도 4는 본 발명의 실시예에 따른 가상 사설망에서 전송되는 패킷의 포맷을 나타내는 도면.4 is a diagram illustrating a format of a packet transmitted in a virtual private network according to an embodiment of the present invention.

도 5는 본 발명의 실시예에 따른 가상 사설망에서 들어오는 패킷에 대한 처리 과정을 나타내는 도면.5 is a diagram illustrating a processing procedure for an incoming packet in a virtual private network according to an embodiment of the present invention.

이하 본 발명을 첨부된 도면들을 참조하여 상세히 설명한다.Hereinafter, the present invention will be described in detail with reference to the accompanying drawings.

아울러, 본 발명은 VPN 터널을 생성한 후에 데이터 전송에 대해서 발생하는 관계로 이미 라우터들 사이에 VPN 터널이 생성되어 있다는 가정하에서 설명하도록 한다.In addition, the present invention will be described under the assumption that a VPN tunnel has already been created between routers since the VPN tunnel is generated for data transmission.

즉, 라우터들(10, 20)은 도 2에 도시된 것과 같은 과정(S1~S5)에 의해서 보안 정책 데이터베이스(Security Policy Database:이하 SPD라고 함), 보안 조합 데이터베이스(Security Association Database:이하 SAD라고 함)를 구축하고, 라우터(10)는 상대 라우터(20)로부터 전송된 데이터나 서브 네트내의 호스트에서 보낸 온 정보를 정해진 규칙에 의해서 처리함으로써 생성된 VPN 터널을 이용한다.That is, the routers 10 and 20 are referred to as a security policy database (hereinafter referred to as SPD) and a security association database (hereinafter referred to as SAD) by a process S1 to S5 as shown in FIG. The router 10 utilizes a VPN tunnel generated by processing data transmitted from the other router 20 or information transmitted from a host in the subnet according to a predetermined rule.

본 발명에 따른 VPN에서 라우터의 계산을 분산시키기 위해서는 들어오는 패킷과 나가는 패킷에 대한 처리가 각기 다르므로 이를 나누어서 설명한다.In order to distribute the calculation of the router in the VPN according to the present invention, since the processing for the incoming packet and the outgoing packet is different, it will be described separately.

먼저, 본 발명에 따른 VPN에서 나가는 패킷을 처리하는 방법은 다음과 같다.First, a method of processing an outgoing packet in a VPN according to the present invention is as follows.

도 3 및 도 4를 참조하면, 제(S11)과정에서 호스트(1)는 VPN 터널링을 수행하기를 원하는 목적지 주소를 라우터(10)에게 알려주기 위해 목적지 주소 및 관련 정보를 라우터(10)로 전송한다.3 and 4, in step S11, the host 1 transmits a destination address and related information to the router 10 in order to inform the router 10 of a destination address for which VPN tunneling is desired. do.

그러면, 제(S12)과정에서 라우터(10)는 SPD와 SAD를 검색하여 호스트(1)로부터 전송된 목적지 주소와 정책에 따른 SA를 검색하여 그 정보를 호스트(1)로 전송한다. 만일, 필요한 SA가 SAD에는 존재하지 않지만, SPD에 의해서 터널링이 필요한 경우에는 도 2에 도시된 것과 같은 과정을 수행하여 SA를 설정하고 그 값을 VPN 터널링을 수행하길 원하는 호스트(1)로 전송한다.Then, in the step S12, the router 10 searches for the SPD and the SAD, searches for the SA according to the destination address and the policy transmitted from the host 1, and transmits the information to the host 1. If the required SA does not exist in the SAD, but tunneling is required by the SPD, a process as shown in FIG. 2 is performed to set the SA and transmit the value to the host 1 that wants to perform VPN tunneling. .

그러면, 제(S13)과정에서 호스트(1)는 라우터(10)로부터 전송받은 SA를 이용하여 라우터(10)가 VPN 터널링을 위해서 생성해야될 VPN 패킷을 생성하고, 그 패킷을 라우터(10)로 전송한다.Then, in step S13, the host 1 generates a VPN packet to be generated by the router 10 for VPN tunneling using the SA received from the router 10, and sends the packet to the router 10. send.

도 4는 본 발명에 따른 VPN 패킷의 포맷으로서, 새로운 IP 헤더는 호스트에서 라우터로 패킷을 전송하기 위한 정보를 가지고 있다.4 is a format of a VPN packet according to the present invention, wherein a new IP header has information for transmitting the packet from the host to the router.

그러면, 라우터(10)는 호스트(1)가 자신에게 보내온 패킷에서 새로운 IP 헤더부분을 제외한 VPN 터널링을 위한 패킷을 전송한다.Then, the router 10 transmits the packet for VPN tunneling excluding the new IP header part from the packet sent by the host 1 to the host 10.

한편, 본 발명에 따른 VPN에서 라우터의 계산을 분산시키기 위해서 들어오는 패킷을 처리하는 방법은 다음과 같다.On the other hand, in the VPN according to the present invention to process the incoming packet in order to distribute the calculation of the router is as follows.

IPsec 터널 모드 VPN 터널을 통해서 들어오는 패킷에는 송신자와 수신자를 숨길 수 있도록 IP 헤더를 암호화하고 새로운 IP 헤더를 붙여서 전송을 수행한다. 이러한 경우 보통 외부의 IP 헤더의 수신 IP는 원래 IP 헤더의 호스트가 속해 있는 라우터를 가리키게 되어 있어 호스트가 속한 서브 네트의 라우터로 패킷이 전송된다. 따라서, VPN 터널을 통해서 패킷을 수신한 라우터는 수신한 패킷 내부의 암호화된 IP 헤더에서 원래의 목적지 주소를 확인한 후에야 패킷을 올바른 호스트에게 전송할 수 있다.IPsec Tunnel Mode The packets coming in through the VPN tunnel are encrypted with the IP header and hidden with a new IP header to hide the sender and receiver. In such a case, the receiving IP of the external IP header usually points to the router to which the host of the original IP header belongs, and the packet is transmitted to the router of the subnet to which the host belongs. Therefore, the router receiving the packet through the VPN tunnel can send the packet to the correct host only after confirming the original destination address in the encrypted IP header inside the received packet.

만일 VPN 터널을 통해서 외부 네트워크에서 수신된 전체 패킷에 대한 AH와 ESP에 대한 처리를 수행하는 경우 라우터가 모든 인증 및 복호화를 수행해야 한다. 또한, AH를 적용하는 경우 전체 패킷을 재조립한 후 인증을 수행해야 하므로 많은 메모리 공간이 필요하다.If the AH and ESP are processed for all packets received from the external network through the VPN tunnel, the router must perform all authentication and decryption. In addition, when AH is applied, a large memory space is required because authentication must be performed after reassembling the entire packet.

이러한 작업을 수행하는 대신 라우터(20)는 도 5에 도시된 것과 같이 제(S21)과정에서 AH뒤의 IP 헤더에 해당하는 부분까지만을 복호화하여 목적지 IP를 확인한다. 그리고, 제(S22)과정에서 라우터(20)는 VPN 패킷에 대한 인증과 복호화를 하기 위한 SA와 해당 패킷을 목적지 호스트(n)로 전송한다.Instead of performing this operation, the router 20 decrypts only the portion corresponding to the IP header behind the AH in step S21 to confirm the destination IP as shown in FIG. 5. In operation S22, the router 20 transmits the SA and the corresponding packet to the destination host n to authenticate and decrypt the VPN packet.

그러면, 호스트(n)는 수신한 SA를 이용하여 수신한 패킷을 인증하고 복호한다.The host n then authenticates and decrypts the received packet using the received SA.

상술한 바와 같이 본 발명은 VPN에서 VPN 터널링을 위해서 라우터가 수행해야할 계산을 호스트가 수행함으로써 라우터가 VPN 터널링을 위하여 필요로 하는 계산량을 감소시켜서 라우터의 성능 개선없이도 라우터의 처리 능력을 크게 감소시키지 않고 VPN을 구축할 수 있는 발판을 마련할 수 있다. 또한, 본 발명은 VPN에서 AH를 사용하는 경우 패킷들의 인증을 위해서 패킷의 재조립이 필요하고, 이에 따른 라우터의 메모리가 필요하게 되나 이러한 패킷 재조립을 호스트에서 수행함으로써 라우터의 메모리를 늘릴 필요가 없어 추가 비용없이도 VPN 터널링을 구현할 수 있는 이점이 있다.As described above, the present invention reduces the amount of computation required by the router for VPN tunneling by performing a calculation that the router must perform for VPN tunneling in a VPN, without significantly reducing the throughput of the router without improving the performance of the router. You can get a foothold in building a VPN. In addition, when the AH is used in a VPN, the present invention requires reassembly of packets for authentication of packets, and thus requires the memory of the router. However, the memory of the router needs to be increased by performing such packet reassembly on the host. There is no advantage in implementing VPN tunneling at no additional cost.

Claims (3)

가상 사설망에서 라우터의 계산을 분산시키는 방법에 있어서,In a method for distributing router computation in a virtual private network, 가상 사설망의 터널이 생성된 후에 호스트들이 다른 라우터의 서브 네트의 호스트로 데이터를 전송하는 경우 라우터가 모든 암호학적 연산을 수행하는 대신에 호스트가 암호학적 연산을 수행하기 위해서 필요한 보안 조합(Security Association)을 라우터에서 호스트로 전송하는 과정과;If the hosts send data to a host on another router's subnet after the tunnel in the virtual private network is created, the security association required for the host to perform the cryptographic operation instead of the router performing all the cryptographic operations. Transmitting from the router to the host; 호스트는 상기 보안 조합을 이용하여 가상 사설망의 패킷을 생성하고, 그 데이터를 해당 라우터에 전송하는 과정과;A host generating a packet of a virtual private network using the security combination, and transmitting the data to a corresponding router; 상기 라우터는 상기 호스트가 보내온 패킷에서 가상 사설망의 터널을 통해 보낼 데이터만을 분리하여 가상 사설망의 터널을 이용해서 전송하는 과정으로 이루어지는 것을 특징으로 하는 라우터의 계산을 분산시키는 방법.Wherein the router separates only the data to be sent through the tunnel of the virtual private network from the packet sent by the host and transmits the data using the tunnel of the virtual private network. 가상 사설망에서 라우터의 계산을 분산시키는 방법에 있어서,In a method for distributing router computation in a virtual private network, 호스트에서 목적지 주소 및 관련 정보를 라우터로 전송하는 과정과;Transmitting a destination address and related information from a host to a router; 상기 라우터에서 상기 전송된 목적지 주소 및 관련 정보에 따른 보안 조합을 상기 호스트로 전송하는 과정과;Transmitting, by the router, a security combination according to the transmitted destination address and related information to the host; 상기 호스트에서 가상 사설망 터미널을 위한 패킷을 생성하여 상기 라우터로 전송하는 과정을 적어도 포함하는 것을 특징으로 하는 라우터의 계산을 분산시키는방법.And generating at least one packet for a virtual private network terminal at the host and transmitting the packet to the router. 제2항에 있어서, 상기 가상 사설망 터미널을 위한 패킷은,The method of claim 2, wherein the packet for the virtual private network terminal, 상기 호스트에서 상기 라우터로 패킷을 전송하기 위한 정보를 적어도 포함하는 것을 특징으로 하는 방법.At least information for transmitting a packet from the host to the router.
KR10-2001-0081607A 2001-12-20 2001-12-20 Method for distributing calculation of router in virtual private network KR100411436B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2001-0081607A KR100411436B1 (en) 2001-12-20 2001-12-20 Method for distributing calculation of router in virtual private network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2001-0081607A KR100411436B1 (en) 2001-12-20 2001-12-20 Method for distributing calculation of router in virtual private network

Publications (2)

Publication Number Publication Date
KR20030051949A KR20030051949A (en) 2003-06-26
KR100411436B1 true KR100411436B1 (en) 2003-12-18

Family

ID=29576702

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2001-0081607A KR100411436B1 (en) 2001-12-20 2001-12-20 Method for distributing calculation of router in virtual private network

Country Status (1)

Country Link
KR (1) KR100411436B1 (en)

Also Published As

Publication number Publication date
KR20030051949A (en) 2003-06-26

Similar Documents

Publication Publication Date Title
US11283772B2 (en) Method and system for sending a message through a secure connection
US6976177B2 (en) Virtual private networks
US7028186B1 (en) Key management methods for wireless LANs
Oppliger Security at the Internet layer
US7496748B2 (en) Method for establishing a security association between two or more computers communicating via an interconnected computer network
US20070271606A1 (en) Apparatus and method for establishing a VPN tunnel between a wireless device and a LAN
EP1953954B1 (en) Encryption/decryption device for secure communications between a protected network and an unprotected network and associated methods
US20220263811A1 (en) Methods and Systems for Internet Key Exchange Re-Authentication Optimization
JP2010539839A (en) Security method in server-based mobile Internet protocol system
CN113746861B (en) Data transmission encryption and decryption method and encryption and decryption system based on national encryption technology
Cisco IPSec Tunnels
Cisco Introduction to IPSec
Cisco IPSec Tunnels
Cisco IPSec Tunnels
Cisco Configuring IPSec Network Security
KR100411436B1 (en) Method for distributing calculation of router in virtual private network
Cisco Introduction to Cisco IPsec Technology
Cisco Introduction to Cisco IPsec Technology
US20080059788A1 (en) Secure electronic communications pathway
Schwenk IP Security (IPSec)
Baltatu et al. IP security
LIOY Advanced Security Technologies in Networking 55 95 B. Jerman-Blažič et al.(Eds.) IOS Press, 2001

Legal Events

Date Code Title Description
A201 Request for examination
N231 Notification of change of applicant
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20111110

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20121115

Year of fee payment: 10

LAPS Lapse due to unpaid annual fee