KR101141919B1 - High performance network equipment with a fuction of multi-decryption in ssl/tls sessions' traffic and data processing method of the same - Google Patents

High performance network equipment with a fuction of multi-decryption in ssl/tls sessions' traffic and data processing method of the same Download PDF

Info

Publication number
KR101141919B1
KR101141919B1 KR1020100104638A KR20100104638A KR101141919B1 KR 101141919 B1 KR101141919 B1 KR 101141919B1 KR 1020100104638 A KR1020100104638 A KR 1020100104638A KR 20100104638 A KR20100104638 A KR 20100104638A KR 101141919 B1 KR101141919 B1 KR 101141919B1
Authority
KR
South Korea
Prior art keywords
packet
data
decryption
session
unit
Prior art date
Application number
KR1020100104638A
Other languages
Korean (ko)
Other versions
KR20120043364A (en
Inventor
진용식
윤아람
Original Assignee
주식회사 윈스테크넷
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 윈스테크넷 filed Critical 주식회사 윈스테크넷
Priority to KR1020100104638A priority Critical patent/KR101141919B1/en
Publication of KR20120043364A publication Critical patent/KR20120043364A/en
Application granted granted Critical
Publication of KR101141919B1 publication Critical patent/KR101141919B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

PURPOSE: A high performance network apparatus with a multi dencoding configuration in SSL(Secure Sockets Layer)/TLS(Transport Layer Security) traffic and a method for processing data in a high performance network are provided to process high performance and high capacity network data by performing the multi encoding of decoded traffic in the SSL session. CONSTITUTION: A decoded data management unit(50) processes data transmitted from a decoder(40). A packet detection unit(60) inspects a packet for decoded packet data in the decoded data management unit. The packet detection unit transmits a signal of a normal packet to a detected packet processing unit. The packet detection unit transmits a packet drop signal, which drops a corresponding packet determined as a packet in hacking traffic or attack traffic, to the detected packet processing unit. The detected packet processing unit receives a normal packet signal or a packet drop signal transmitted from the packet detection unit. A writer(14) processes a corresponding normal packet in the detected packet processing unit. The detected packet processing unit drops the corresponding packet when the packet drop signal drop is received.

Description

에스에스엘/티엘에스 트래픽의 다중 복호화 구성에 따른 고성능 네트워크장비 및 고성능 네트워크 데이터 처리방법{HIGH PERFORMANCE NETWORK EQUIPMENT WITH A FUCTION OF MULTI-DECRYPTION IN SSL/TLS SESSIONS' TRAFFIC AND DATA PROCESSING METHOD OF THE SAME}TECHNICAL FIELD [0001] The present invention relates to a high-performance network equipment and a high-performance network data processing method using a multi-decryption configuration of a DSL /

본 발명은 Transparent 모드에서 동작하는 네트워크 장비에서 흐르는 트래픽을 분석하여, Server와 Client 간의 SSL/TLS 세션에 대한 복호화를 처리하기 위한 세션 관리 기법 및 SSL/TLS 세션에 대한 복호화 기법 기술이다.
The present invention relates to a session management technique and a decryption technique for an SSL / TLS session for analyzing traffic flowing in a network device operating in a transparent mode and for decrypting an SSL / TLS session between a server and a client.

기존의 SSL/TLS 복호화 방식은 네트워크 중간에 Proxy방식으로 적용되어, 사용자와 서버간에 암호화 통신을 Proxy 방식으로 세션을 제한하는 방식으로, Proxy 서버에서는 서버의 개인키 (Private Key)를 가지고 있어, 사용자 <-> Proxy에서는 복호화, Proxy <-> 서버간에는 다시 암호화하여 관리하는 방식을 사용하는 것으로, 해당 세션이 정상적인지 판단하는 방식으로 네트워크 기술에 이용되고 있다.The existing SSL / TLS decryption method is applied to the middle of the network as a Proxy method, and the session is restricted by the Proxy method in the encrypted communication between the user and the server. In the Proxy server, the server has the private key of the server, <-> Proxy uses a method of decrypting and re-encrypting between Proxy <-> servers, and it is used in network technology as a method of determining whether the session is normal.

즉 종래의 SSL/TLS 복호화 방식에 대한 기술로, 도 9에서와 같이, 전체 패킷 정보를 단일의 구성으로 복호화한 후, 이에 따른 패킷의 안정성 검사 과정을 수행하게 된다. 그리고 해킹 등과 같은 불량한 데이터에 대해서는 Drop 함으로써, 서버와 클라이언트 사이의 데이터에 대한 보안이 이루어지도록 하는 것이다.In other words, with the description of the conventional SSL / TLS decoding method, as shown in FIG. 9, the entire packet information is decoded into a single configuration, and then a process of checking the stability of the packet is performed. And, by dropping bad data such as hacking, the security between the server and the client is secured.

그러나 종래의 Proxy 방식을 사용함에 있어서는, 송수신되는 모든 세션에 대한 네트워크 패킷을 암/복호화 과정을 거치게 됨으로 인하여, 고용량의 네트워크 정보를 모두 처리하는 과정에서, 고속, 고용량의 데이터로 인하여 네트워크 속도가 현저하게 떨어지는 단점이 발생하여, 데이터의 송수신에 속도저하가 발생할 우려가 있는 것이다. 또한 이러한 네트워크 시스템에서도 고용량으로 인하여 과부하가 발생한다는 단점이 있는 것이다. 이처럼 네트워크 시스템의 과부하로 인하여, 네트워크 데이터의 송수신 처리에 문제가 발생하게 되면 네트워크 통신이 원활하지 못하게 되는 것이다.
However, in using the conventional Proxy method, since the network packets for all the transmitted and received sessions are subjected to the encryption / decryption process, in the process of processing all the high-capacity network information, the network speed becomes remarkable due to the high- There is a possibility that the transmission / reception of data may be slowed down. In addition, there is a disadvantage that overload occurs due to high capacity even in such a network system. If a trouble occurs in the transmission and reception of the network data due to the overload of the network system, the network communication is not smooth.

상기와 같은 문제점을 해소하기 위한 본 발명은 암호화된 SSL/ TLS 세션에 대한 트래픽 복호화 과정을 다중으로 이루어지도록 함으로써, 사용하는 암호화 알고리즘에 종속적으로 다르긴 하나 고성능 네트워크 장비에서도 원활한 데이터 송수신이 이루어지도록 하는 것으로, SSL/TLS 세션 분석 및 관리, 암호화 기법에 관련된 네트워크 처리 성능이 우수하도록 하는 목적이 있다.In order to solve the above-described problems, the present invention provides a method of decrypting traffic for an encrypted SSL / TLS session in a multiplexed manner, so that data transmission and reception can be performed smoothly even in high- , SSL / TLS session analysis and management, and encryption techniques.

즉 본 발명에 따른 고성능 네트워크 장비에서 패킷 데이터의 작업처리를 위해 다중으로 복호화 처리 작업이 이루어지도록 하는 것으로, 이처럼 다중 복호화 과정으로 상당한 부하 없이 안정적으로 고용량, 고성능의 네트워크 데이터를 처리하도록 하는 것이다.That is, in the high-performance network equipment according to the present invention, a multi-decryption processing job is performed for processing the packet data. In this way, the multi-decryption process can stably process high-capacity and high-performance network data without a significant load.

아울러 본 발명에 따른 고성능 네트워크 장비에서는, Session 분석 과정과, 다중 복호화 과정이 분리되도록 하여, 패킷의 Read와 Write 처리 시까지의 부하를 줄이도록 함으로써, 고성능 네크워크 장비의 성능을 보장하면서도 복호화 및 복호화된 패킷의 분석작업을 원활히 수행할 수 있도록 하는 목적이 있는 것이다.
In addition, in the high-performance network equipment according to the present invention, the session analysis process and the multiple decoding process are separated so as to reduce the load until the read and write operations of the packet are performed, thereby ensuring the performance of the high- To be able to perform the analysis work of the present invention smoothly.

상기와 같은 목적을 달성하기 위한 본 발명은, 클라이언트(11)와 서버(12) 사이에 연결되어 에스에스엘/티엘에스(SSL/TLS) 규약이 적용된 네트워크장비에 있어서, 송수신되는 패킷 데이터로부터 에스에스엘/티엘에스 트래픽의 복호화를 위한 정보를 추출하고, 복수의 세션복호화처리부로 분산되어 다중으로 복호화처리가 이루어지도록 하며 복호화된 패킷의 검사를 수행하는 패킷처리부가 구비되는 것을 특징으로 하는 에스에스엘/티엘에스 트래픽의 다중 복호화 구성에 따른 고성능 네트워크장비가 제공된다.According to an aspect of the present invention, there is provided a network device connected between a client (11) and a server (12) to which an SSL / TLS protocol is applied, And a packet processing unit for extracting information for decrypting the T / L traffic and distributing the decoded information to a plurality of session decryption processing units, and for performing a decryption process on the decrypted packets and for checking the decrypted packets. High-performance network equipment is provided according to the multiple decoding configuration of LS traffic.

또한 본 발명은, 클라이언트(11)와 서버(12) 사이에 연결되어 에스에스엘/티엘에스(SSL/TLS) 규약이 적용된 네트워크장비에 있어서, 리더(13)와 라이터(14)에 의해 송수신되는 패킷으로부터 에스에스엘/티엘에스 트래픽의 복호화를 위한 정보를 추출하는 복호화추출부(20)와, 상기 복호화추출부(20)로부터 데이터를 전송받고, 에스에스엘/티엘에스의 세션정보를 관리하는 세션관리부(30)와, 상기 세션관리부(30)로부터 데이터를 전송받고, 해당 세션정보를 이용하여 전송받은 데이터를 복호화하는 세션복호화처리부(41)가 다중으로 구성된 복호화부(40)와, 상기 복호화부(40)로부터 데이터를 전송받고, 정상 복호화데이터를 처리하는 복호화데이터관리부(50)와, 상기 복호화데이터관리부(50)로부터 복호화된 패킷 정보를 수신받아 패킷검사를 수행하는 패킷탐지부(60)가 포함되어 구비되는 것을 특징으로 하는 에스에스엘/티엘에스 트래픽의 다중 복호화 구성에 따른 고성능 네트워크장비가 제공된다.
The present invention also provides a network device connected between a client 11 and a server 12 to which an SSL / TLS protocol is applied. The network device includes a reader 13 and a writer 14, And a session management unit for receiving the data from the decryption / extraction unit 20 and managing the session information of the ESL / TLS traffic from the decryption / And a session decryption processing unit 41 for receiving data from the session management unit 30 and decrypting the received data using the session information. The decryption unit 40 And a packet detector 60 for receiving the packet information decoded from the decoded data manager 50 and performing packet inspection. The packet detector 60 receives the decoded data from the decoded data manager 50, The high-performance network equipment according to the multiple decoding configuration of the ESL / TS traffic is provided.

이에 상기 복호화부(40)는, 상기 세션관리부(30)로부터 데이터를 수신받아, 다중으로 구성된 복수의 세션복호화처리부(41)로 복호화처리를 위한 데이터를 분산하여 전송하도록 하는 복호화다중분산부(42)와, 상기 복호화다중분산부(42)로부터 개별 분산되어 전송되는 데이터의 복호화 처리를 수행하는 복수 개의 세션복호화처리부(41)와, 복수 개의 세션복호화처리부(41)로부터 복호화된 정보데이터를 수신받아 복호화데이터관리부(50)로 전송하는 복호화수집부(43)가 포함되어 구비될 수 있다.
The decryption unit 40 receives the data from the session management unit 30 and distributes data for decryption processing to a plurality of session decryption processing units 41 that are configured in a multiplex manner so as to transmit the decrypted data to the decryption / A plurality of session decryption processing units 41 for decrypting the data distributed separately from the decryption and distribution unit 42 and a plurality of session decryption processing units 41 for receiving the decrypted information data And a decryption unit 43 for decrypting the decrypted data to the decrypted data management unit 50.

그리고 본 발명은, 클라이언트와 서버 사이에 연결되어 에스에스엘/티엘에스(SSL/TLS) 규약이 적용된 네트워크장비에서의 처리방법에 있어서, 송수신되는 패킷 데이터로부터 에스에스엘/티엘에스 트래픽의 복호화를 위한 정보를 추출하고, 복수의 세션복호화처리부로 분산되어 다중으로 복호화처리가 이루어지도록 하며 복호화된 패킷의 검사를 수행하도록 구비되는 것을 특징으로 하는 에스에스엘/티엘에스 트래픽의 다중 복호화 구성에 따른 고성능 네트워크 데이터 처리방법이 제공된다.
The present invention also provides a method for processing in a network equipment connected between a client and a server and to which an SSL / TLS protocol is applied, the method comprising the steps of: receiving information for decoding an AS / And decodes the decoded packet so that the decoded data is distributed to a plurality of the session decode processing units, and performs the decoding of the decoded packet. The high-performance network data processing according to the multiple decoding configuration of the ESL / Method is provided.

또한 본 발명은, 클라이언트(11)와 서버(12) 사이에 연결되어 에스에스엘/티엘에스(SSL/TLS) 규약이 적용된 네트워크장비에서의 처리방법에 있어서, 리더(13)와 라이터(14)에 의해 송수신되는 패킷에 대해, 복호화추출부(20)에서 에스에스엘/티엘에스의 복호화를 위한 정보를 추출하는 복호화정보추출단계(S01); 상기 복호화추출부(20)로부터 데이터를 전송받은 세션관리부(30)에서, 에스에스엘/티엘에스의 세션정보가 올바른지 여부를 판별하고 관리하는 세션관리단계(S02); 상기 세션관리부(30)로부터 데이터를 전송받은 복호화부(40)에서 다중으로 구성된 세션복호화처리부(41)로 데이터를 분산하여 복호화처리하는 세션복호화단계(S03); 상기 복호화부(40)로부터 데이터를 전송받은 복호화데이터관리부(50)에서 전송받은 데이터 중에서 정상 복호화데이터를 판별하여 패킷탐지부(60)로 전송되도록 하는 복호화데이터관리단계(S04); 상기 복호화데이터관리부(50)로부터 복호화된 패킷 정보를 수신받은 패킷탐지부(60)에서 해당 데이터에 대한 패킷검사를 수행하는 패킷수행단계(S05)가 포함되어 구비되는 것을 특징으로 하는 에스에스엘/티엘에스 트래픽의 다중 복호화 구성에 따른 고성능 네트워크 데이터 처리방법이 제공된다.

이에 더하여 본 발명은, 클라이언트(11)와 서버(12) 사이에 연결되어 에스에스엘/티엘에스(SSL/TLS) 규약이 적용된 네트워크장비가 구비되어지되, 리더(13)와 라이터(14)에 의해 송수신되는 패킷으로부터 에스에스엘/티엘에스 트래픽의 복호화를 위한 정보를 추출하는 복호화추출부(20)와, 상기 복호화추출부(20)로부터 데이터를 전송받고, 에스에스엘/티엘에스의 세션정보를 관리하는 세션관리부(30)와, 상기 세션관리부(30)로부터 데이터를 전송받고, 해당 세션정보를 이용하여 전송받은 데이터를 복호화하는 세션복호화처리부(41)가 다중으로 구성된 복호화부(40)가 포함되어 구비된 네트워크장비에 있어서, 상기 복호화부(40)로부터 데이터를 전송받고, 정상 복호화데이터를 처리하는 복호화데이터관리부(50)와, 상기 복호화데이터관리부(50)로부터 복호화된 패킷 정보를 수신받아 패킷검사를 수행하여, 정상 패킷의 경우에는 정상패킷의 신호를 탐지패킷처리부(17)로 전송하거나, 해킹 트래픽 또는 공격 트래픽의 패킷으로 판별될 경우에는 해당 패킷을 Drop 하도록 하는 패킷 드롭 신호를 탐지패킷처리부(17)로 전송하도록 구비되는 패킷탐지부(60)와, 상기 패킷탐지부(60)로부터 전송된 정상패킷의 신호 또는 패킷 드롭 신호를 수신받고, 정상패킷의 신호를 수신받은 경우에는 해당 정상 패킷을 라이터(14)에서 처리하도록 하고, 패킷 드롭 신호를 수신받은 경우에는 해당 패킷을 드롭(Drop)하도록 구비되는 탐지패킷처리부(17)가 더 포함되어 구비되어, 송수신되는 패킷 데이터로부터 에스에스엘/티엘에스 트래픽의 복호화를 위한 정보를 추출하고, 복수의 세션복호화처리부로 분산되어 다중으로 복호화처리가 이루어지도록 하며 복호화된 패킷의 검사를 수행하며, 해킹 트래픽 또는 공격 트래픽으로 판별될 경우에는 해당 패킷을 Drop 하도록 구비되는 것을 특징으로 하는 에스에스엘/티엘에스 트래픽의 다중 복호화 구성에 따른 고성능 네트워크장비가 제공된다.

또한 본 발명은, 상기 복호화부(40)는, 상기 세션관리부(30)로부터 데이터를 수신받아, 다중으로 구성된 복수의 세션복호화처리부(41)로 복호화처리를 위한 데이터를 분산하여 전송하도록 하는 복호화다중분산부(42)와, 상기 복호화다중분산부(42)로부터 개별 분산되어 전송되는 데이터의 복호화 처리를 수행하는 복수 개의 세션복호화처리부(41)와, 복수 개의 세션복호화처리부(41)로부터 복호화된 정보데이터를 수신받아 복호화데이터관리부(50)로 전송하는 복호화수집부(43)가 포함되어 구비되는 것을 특징으로 하는 에스에스엘/티엘에스 트래픽의 다중 복호화 구성에 따른 고성능 네트워크장비가 제공된다.

나아가 본 발명은, 클라이언트(11)와 서버(12) 사이에 연결되어 에스에스엘/티엘에스(SSL/TLS) 규약이 적용된 네트워크장비에서의 처리방법에 있어서, 리더(13)와 라이터(14)에 의해 송수신되는 패킷에 대해, 복호화추출부(20)에서 에스에스엘/티엘에스의 복호화를 위한 정보를 추출하는 복호화정보추출단계(S01); 상기 복호화추출부(20)로부터 데이터를 전송받은 세션관리부(30)에서, 에스에스엘/티엘에스의 세션정보가 올바른지 여부를 판별하고 관리하는 세션관리단계(S02); 상기 세션관리부(30)로부터 데이터를 전송받은 복호화부(40)에서 다중으로 구성된 세션복호화처리부(41)로 데이터를 분산하여 복호화처리하는 세션복호화단계(S03); 상기 복호화부(40)로부터 데이터를 전송받은 복호화데이터관리부(50)에서 전송받은 데이터 중에서 정상 복호화데이터를 판별하여 패킷탐지부(60)로 전송되도록 하는 복호화데이터관리단계(S04); 상기 복호화데이터관리부(50)로부터 복호화된 패킷 정보를 수신받은 패킷탐지부(60)에서 해당 데이터에 대한 패킷검사를 수행하는 패킷수행단계(S05)가 포함되어 구비되고, 상기 패킷수행단계(S05)에서, 상기 복호화데이터관리부(50)로부터 복호화된 패킷 정보를 수신받은 패킷탐지부(60)에서 패킷검사를 수행하여, 정상 패킷의 경우에는 정상패킷의 신호를 탐지패킷처리부(17)로 전송하거나, 해킹 트래픽 또는 공격 트래픽의 패킷으로 판별될 경우에는 해당 패킷을 Drop 하도록 하는 패킷 드롭 신호를 탐지패킷처리부(17)로 전송하도록 구비되며, 상기 패킷탐지부(60)로부터 전송된 정상패킷의 신호 또는 패킷 드롭 신호를 수신받은 탐지패킷처리부(17)에서, 정상패킷의 신호를 수신받은 경우에는 해당 정상 패킷을 라이터(14)에서 처리하도록 하고, 패킷 드롭 신호를 수신받은 경우에는 해당 패킷을 드롭(Drop)하도록 구비되고, 송수신되는 패킷 데이터로부터 에스에스엘/티엘에스 트래픽의 복호화를 위한 정보를 추출하고, 복수의 세션복호화처리부로 분산되어 다중으로 복호화처리가 이루어지도록 하며 복호화된 패킷의 검사를 수행하며, 해킹 트래픽 또는 공격 트래픽으로 판별될 경우에는 해당 패킷을 Drop 하도록 구비되는 것을 특징으로 하는 에스에스엘/티엘에스 트래픽의 다중 복호화 구성에 따른 고성능 네트워크 데이터 처리방법이 제공된다.
The present invention also provides a method of processing in a network device connected between a client 11 and a server 12 and to which an SSL / TLS protocol is applied, wherein the reader 13 and the writer 14 A decoding information extracting step (S01) of extracting information for decoding the ASL / TLS from the decoding extracting unit (20) with respect to the packet transmitted / received by the decoding / extracting unit (20); A session management step (S02) of judging and managing whether or not the session information of the ESL / TLS is correct in the session management unit (30) having received the data from the decryption / extraction unit (20); A session decoding step (S03) of distributing and decoding data to a session decryption processing unit (41) multiplexed by a decryption unit (40) which has received data from the session management unit (30); A decoded data management step (S04) for discriminating normal decoded data from the data received from the decoded data management unit (50) having received the data from the decryption unit (40) and transmitting the decoded data to the packet detection unit (60); (S05) for performing a packet check on the data in the packet detector (60) which has received the decoded packet information from the decoded data manager (50) A high-performance network data processing method according to a multiple decoding configuration of LS traffic is provided.

In addition, the present invention includes a network device connected between the client 11 and the server 12 to which the SSL / TLS protocol is applied, and the reader 13 and the lighter 14 A decryption / extraction unit 20 for extracting information for decrypting the ESL / TLS traffic from packets to be transmitted and received, and a decryption unit 20 for receiving data from the decryption and extraction unit 20 and managing session information of the ESL / And a session decryption processing unit 41 for receiving data from the session management unit 30 and decrypting the received data using the session information are included in the decryption unit 40 (50) for receiving data from the decryption unit (40) and for processing normal decryption data, a decryption unit for decrypting the decrypted data from the decrypted data management unit And transmits a signal of a normal packet to the detection packet processing unit 17 in the case of a normal packet or a packet drop to drop the packet when it is determined that the packet is a hacking traffic or an attack traffic packet (60) for receiving a signal or a packet drop signal of a normal packet transmitted from the packet detector (60) and receiving a signal of a normal packet transmitted from the packet detector The detection packet processing unit 17 is provided to process the corresponding normal packet in the rewriter 14 and to drop the packet when receiving the packet drop signal, And extracts information for decoding of the ESL / TFL traffic from a plurality of session decryption processing units, And decrypts the decrypted packet. When it is determined that the packet is hacking traffic or attack traffic, the packet is dropped, and the high performance network equipment according to the multiple decoding configuration of the ESL / TLS traffic is provided .

The present invention is characterized in that the decryption unit 40 receives data from the session management unit 30 and distributes data for decryption processing to a plurality of session decryption processing units 41 constituted in multiple, A plurality of session decryption processing units 41 for decrypting the data distributed separately from the decryption and distribution unit 42 and a plurality of session decryption processing units 41 for decrypting the data decrypted from the plurality of session decryption processing units 41, And a decryption unit 43 for receiving the data and transmitting the decrypted data to the decryption data management unit 50. The high-performance network equipment according to the multi-decryption configuration of the ESL / TLS traffic is provided.

Further, the present invention provides a method of processing in a network device connected between a client 11 and a server 12 to which an SSL / TLS protocol is applied, wherein the reader 13 and the writer 14 A decoding information extracting step (S01) of extracting information for decoding the ASL / TLS from the decoding extracting unit (20) with respect to the packet transmitted / received by the decoding / extracting unit (20); A session management step (S02) of judging and managing whether or not the session information of the ESL / TLS is correct in the session management unit (30) having received the data from the decryption / extraction unit (20); A session decoding step (S03) of distributing and decoding data to a session decryption processing unit (41) multiplexed by a decryption unit (40) which has received data from the session management unit (30); A decoded data management step (S04) for discriminating normal decoded data from the data received from the decoded data management unit (50) having received the data from the decryption unit (40) and transmitting the decoded data to the packet detection unit (60); (S05) for performing a packet inspection of the data by the packet detector (60), which has received the decoded packet information from the decoded data management unit (50), and the step (S05) The packet detector 60 receiving the packet information decoded from the decoded data management unit 50 performs packet inspection to transmit a signal of a normal packet to the detection packet processor 17 in the case of a normal packet, A packet drop signal for dropping the packet when it is determined that the packet is a packet of hacking traffic or attack traffic, to the detection packet processing unit 17, and a signal or packet of a normal packet transmitted from the packet detection unit 60 Upon receiving the signal of the normal packet, the detection packet processing unit 17 receiving the drop signal processes the corresponding normal packet in the rewriter 14, And extracts the information for decoding the ESL / TLS traffic from the packet data to be transmitted and received. The packet data is distributed and multiplexed into a plurality of session decryption processing units And the packet is dropped when it is determined that the packet is a hacking traffic or an attack traffic. The high-performance network data processing method according to the multi-decoding configuration of the ESL / / RTI &gt;

상기와 같이 구성되는 본 발명은 암호화된 SSL/ TLS 세션에 대한 트래픽 복호화 과정을 다중으로 이루어지도록 함으로써, 고용량, 고성능의 네트워크 데이터를 처리하도록 하는 탁월한 효과가 있다.The present invention configured as described above has an excellent effect of processing high-capacity, high-performance network data by multiplexing traffic decryption processes for an encrypted SSL / TLS session.

그리고 본 발명에 따른 고성능 네트워크 장비에서 패킷 데이터의 작업처리를 위해 다중으로 되어 복호화 처리 작업이 이루어지도록 하기 때문에, 이러한 다중 복호화 과정으로 상당한 부하 없이 안정적으로 고용량, 고성능의 네트워크 데이터를 처리하도록 하는 것이다.In the high-performance network equipment according to the present invention, the packet data is multiplexed and processed for decoding, so that the high-capacity and high-performance network data can be stably handled without a heavy load in the multi-decoding process.

나아가 본 발명에 따른 고성능 네트워크 장비에서, Session 분석 과정과, 다중 복호화 과정이 분리되도록 하여, 패킷의 Read와 Write 처리 시까지의 부하를 줄이도록 함으로써, 고성능 네크워크 장비의 성능을 보장하면서도 복호화 및 복호화된 패킷의 분석작업을 안정적으로 수행하게 되는 것이다.
Further, in the high-performance network equipment according to the present invention, the session analysis process and the multiple decoding process are separated, and the load from the time of read and write of the packet is reduced, thereby ensuring the performance of the high-performance network equipment, And the analysis work of the system can be performed stably.

도 1은 본 발명에 따른 고성능 네트워크 장비가 적용된 네트워크의 간략 구성도.
도 2는 본 발명에 따른 고성능 네트워크 장비가 적용된 네트워크의 구성도.
도 3은 본 발명에 따른 고성능 네트워크 장비의 간략 흐름 구성도.
도 4는 본 발명에 따른 고성능 네트워크 장비에서의 패킷 흐름 예시도.
도 5는 본 발명에 따른 고성능 네트워크 장비의 전체 흐름 구성도.
도 6은 본 발명에 따른 고성능 네트워크 장비에서의 상세 패킷 흐름 예시도.
도 7은 본 발명에 따른 고성능 네트워크 장비의 네트워크의 구성도.
도 8은 본 발명에 따른 고성능 네트워크 장비의 네트워크의 처리 순서도.
도 9는 종래 기술에 따른 패킷 흐름도.1 is a schematic diagram of a network to which a high-performance network equipment according to the present invention is applied;
2 is a block diagram of a network to which high-performance network equipment according to the present invention is applied.
3 is a simplified flow diagram of a high performance network equipment in accordance with the present invention;
Figure 4 is an illustration of packet flow in high performance network equipment in accordance with the present invention;
FIG. 5 is an overall flow configuration diagram of a high performance network equipment according to the present invention; FIG.
FIG. 6 is an exemplary packet flow diagram in a high performance network device according to the present invention; FIG.
7 is a block diagram of a network of high performance network equipment according to the present invention.
Figure 8 is a flow chart of a process for a network of high performance network equipment in accordance with the present invention;
9 is a packet flow diagram according to the prior art;

이하 첨부되는 도면을 참조하여 상세히 설명한다.
Hereinafter, the present invention will be described in detail with reference to the accompanying drawings.

즉 본 발명에 따른 에스에스엘/티엘에스(SSL/TLS, HTTPS 기술 적용)의 다중 복호화 구성에 따른 고성능 네트워크 장비(10, HIGH PERFORMANCE NETWORK EQUIPMENT)는 도 1 내지 도 7 등에 도시된 바와 같이, 클라이언트(CLIENT)와 서버(SERVER) 사이에 연결되어 에스에스엘/티엘에스(SSL/TLS) 규약이 적용된 네트워크장비에 관한 것이다.That is, the high performance network equipment (10, HIGH PERFORMANCE NETWORK EQUIPMENT) according to the multiple decoding configuration of the ESL / TLS according to the present invention (SSL / TLS, HTTPS technology application) CLIENT) and a server (SERVER) to which the SSL / TLS protocol is applied.

특히 이러한 본 발명에 따른 고성능 네트워크 장비(10)가 구성됨으로써, 송수신되는 패킷 데이터로부터 에스에스엘/티엘에스(SSL/TLS) 트래픽의 복호화를 위한 정보를 추출하고, 복수의 세션복호화처리부(A SESSION DECRYPT WORKER)로 분산되어 다중으로 복호화처리가 이루어지도록 하며 복호화된 패킷의 검사를 수행하도록 구비되는 에스에스엘/티엘에스(SSL/TLS) 트래픽의 다중 복호화 구성(A FUCTION OF MULTI-DECRYPTION)에 따른 고성능 네트워크 데이터 처리방법(HIGH PERFORMANCE NETWORK DATA PROCESSING METHOD)이 제공되는 것이다.In particular, the high-performance network equipment 10 according to the present invention is configured to extract information for decoding the SSL / TLS traffic from the packet data transmitted and received, and provides a plurality of session decryption processing units (A SESSION DECRYPT (SSL / TLS) traffic, which is distributed to a plurality of networks and distributed to a plurality of networks and decrypted by a network, and which performs a check of decrypted packets, according to an A FUCTION OF MULTI-DECRYPTION scheme. A data processing method (high performance network data processing method) is provided.

그리고 이를 위해 송수신되는 패킷 데이터로부터 에스에스엘/티엘에스(SSL/TLS) 트래픽의 복호화를 위한 정보를 추출하고, 복수의 세션복호화처리부(A SESSION DECRYPT WORKER)로 분산되어 다중으로 복호화처리가 이루어지도록 하며 복호화된 패킷의 검사를 수행하는 패킷처리부(PACKET DISSECT)가 구비된 에스에스엘/티엘에스(SSL/TLS) 트래픽의 다중 복호화 구성(A FUCTION OF MULTI-DECRYPTION)에 따른 고성능 네트워크장비(HIGH PERFORMANCE NETWORK EQUIPMENT)가 제공되는 것이다.To this end, information for decoding the SSL / TLS traffic is extracted from the packet data transmitted and received, and decoded by a plurality of session decryption processing units (A SESSION DECRYPT WORKER) (HIGH PERFORMANCE NETWORK EQUIPMENT) according to A FUCTION OF MULTI-DECRYPTION of the SSL / TLS traffic having a packet processing unit (PACKET DISSECT) for performing inspection of decoded packets. Is provided.

특히 본 발명에 따른 고성능 네트워크 장비 및 데이터 처리방법(HIGH PERFORMANCE NETWORK EQUIPMENT AND DATA PROCESSING METHOD)은, Transparent 모드에서 동작하는 고성능 네트워크 장비에서 SSL(Secure Socket Layer)/TLS(Transport Layer Security) 복호화 처리의 부하를 최소한으로 보장하기 위해 구현한 것이 주요 특징인 것이다.
In particular, the high performance network equipment and data processing method according to the present invention is a high performance network equipment and a data processing method (High Performance Network Equipment and Data Processing Method) according to the present invention. In a high performance network equipment operating in a transparent mode, In order to guarantee the minimum level of reliability.

이러한 본 발명에서의 구성으로 '~부', '~엔진', '~engine', 또는 '~모듈', '~worker' 등으로 명명된 부재들은 데이터 처리를 위한 물리적인 부품구성, 처리장치의 구성, 논리적 처리의 구성, 프로세서의 구성, 제어흐름의 구성 등, 특정한 기능이나 동작을 처리하는 하나의 단위를 의미하는 것으로, 이에 하드웨어적 구성, 소프트웨어적 구성 또는 하드웨어적 구성과 소프트웨어적 구성이 결합되는 구성 등, 다양한 상태의 구성으로 마련되어 실시될 수도 있으며, 어느 한 형태에 제한되어 해석되는 것은 아니며, 이는 일반적인 전자정보통신 관련 분야의 일반적인 기술사항 내에서 적용되어 운영되고 실시될 수 있는 구성인 것임을 알 수 있다.
In the configuration of the present invention, members named '~', 'engine', 'engine', '~ module', '~ worker', etc. constitute physical parts for data processing, Means a unit for processing a specific function or operation, such as a configuration, a logical processing configuration, a processor configuration, and a control flow configuration, and a hardware configuration, a software configuration, or a hardware configuration and a software configuration are combined The present invention is not limited to any particular form and can be applied and operated within the general technical information field of a general electronic information communication field. Able to know.

이와 같은 본 발명에 따른 고성능 네트워크 장비(10) 및 프로세싱의 구성을 상세히 살펴보면 다음과 같다.
The high-performance network equipment 10 and the configuration of the processing according to the present invention will now be described in detail.

이러한 본 발명에 따른 고성능 네트워크 장비(10)로써 에스에스엘/티엘에스(SSL/TLS) 트래픽의 다중 복호화 처리 구성은, 클라이언트(11, CLIENT)와 서버(12, SERVER) 사이에 연결되어 에스에스엘/티엘에스(SSL/TLS) 규약이 적용된 네트워크장비로써, NIC 등과 같이 네트워크 장비로써 마련될 수 있을 것이다.The multi-decryption processing configuration of the SSL / TLS traffic with the high performance network equipment 10 according to the present invention is connected between the client 11 and the server 12 so that the AS / It can be provided as network equipment such as NIC as a network equipment to which the SSL / TLS protocol is applied.

이에 네트워크의 클라이언트(11, CLIENT) 또는 서버(12, SERVER)로부터 데이터를 송수신받도록 구성되는 것으로, 이처럼 리더(13, READER)와 라이터(14, WRITER)에 의해 송수신되는 패킷으로부터 에스에스엘/티엘에스(SSL/TLS) 트래픽의 복호화를 위한 정보를 추출하는 복호화추출부(20, SSL/TLS SESSION ANALYSIS & SEED ABSTRACT)가 구성될 수 있을 것이다.And receives data from the client 11 or CLIENT of the network or the server 12 or SERVER so as to receive data from the packet transmitted and received by the reader 13 and the writer 14 WRITER, (SSL / TLS SESSION ANALYSIS & SEED ABSTRACT) for extracting information for decoding the SSL / TLS traffic.

그리고 리더(13)와 라이터(14)에 의해 송수신되는 패킷에 대해, 복호화추출부(20)에서 에스에스엘/티엘에스의 복호화를 위한 정보를 추출하는 복호화정보추출단계(S01)가 수행될 것이다.The decryption information extraction step S01 for extracting the information for decoding the ESL / TLS from the decryption and extraction unit 20 will be performed on the packets transmitted and received by the reader 13 and the writer 14. [

즉 복호화추출부(20)에서는 SSL/TLS Handshake Flow 및 Application Data Flow에 대해 판단하여 Handshake Flow가 수행될 것이고, Handshake Flow 수행 이후, 세션에 대한 복호화를 위해 사용되는 Seed값들을 추출 및 보관하며, Handshake Flow 종료단계에 이르면 세션관리부(30)로 메시지를 보낸다. 또한 Application Data 는 바로 세션관리부(30)로 전달하도록 마련될 수도 있을 것이다.
That is, the decryption / extraction unit 20 determines the SSL / TLS handshake flow and the application data flow to perform the handshake flow. After the handshake flow is performed, the decryption / extraction unit 20 extracts and stores Seed values used for decryption of the session, Upon reaching the flow ending step, the message is sent to the session management unit 30. In addition, the application data may be directly provided to the session management unit 30.

다음으로 상기 복호화추출부(20, SSL/TLS SESSION ANALYSIS & SEED ABSTRACT)로부터 데이터를 전송받고, 에스에스엘/티엘에스(SSL/TLS)의 세션정보를 관리하는 세션관리부(30, SSL/TLS SESSION MANAGER)가 마련될 것이다.Next, a session management unit 30 for receiving data from the decryption / extraction unit 20 and managing session information of the SSL / TLS, and an SSL / TLS session manager Will be provided.

이에 상기 복호화추출부(20)로부터 데이터를 전송받은 세션관리부(30)에서, 에스에스엘/티엘에스의 세션정보가 올바른지 여부를 판별하고 관리하는 세션관리단계(S02)가 수행될 것이다.A session management step S02 for judging whether the session information of the MS / TS is correct and managing the session information is performed in the session management unit 30 that has received the data from the decryption /

즉 복호화추출부(20)에서 전달되는 복호화 Key 생성 메시지에 대해 무결성 검사 및 Key 생성을 실시하도록 마련될 수 있으며, 복호화추출부(20)에서의 Application Data 전달시 복호화부(40) 측으로 복호화 메시지 및 Session 정보를 전달하도록 구성될 수 있을 것이다.
In other words, it may be configured to perform an integrity check and a key generation on a decryption key generation message transmitted from the decryption / extraction unit 20. In case of transmitting application data in the decryption / extraction unit 20, a decryption message and a decryption key may be transmitted to the decryption unit 40 Session information. &Lt; / RTI &gt;

그리고 상기 세션관리부(30, SSL/TLS SESSION MANAGER)로부터 데이터를 전송받고, 해당 세션정보를 이용하여 전송받은 데이터를 복호화하는 세션복호화처리부(41, A SESSION DECRYPT WORKER)가 다중으로 구성된 복호화부(40, SESSION DECRYPT ENGINE)가 구성될 수 있을 것이다. 특히 이러한 복호화부(40)에서는 복호화가 다중으로 이루어질 수 있도록 복수의 세부 복호화 처리부재가 마련되는 것으로, 동시에 많은 데이터에 대한 복호화 처리가 가능하여, 전체 패킷 데이터의 처리가 수행되는 탁월한 장점이 있는 것이다.And a session decryption processing unit 41 for receiving data from the session management unit 30 and decrypting the received data using the session information, , SESSION DECRYPT ENGINE) can be constructed. Particularly, the decoding unit 40 has an excellent merit that a plurality of detailed decoding processing members are provided so that decoding can be performed in multiple, and decoding processing can be performed for a large number of data at the same time, and processing of the entire packet data is performed .

이를 위한 복호화부(40)에서는, 상기 세션관리부(30)로부터 데이터를 수신받아, 다중으로 구성된 복수의 세션복호화처리부(41)로 복호화처리를 위한 데이터를 분산하여 전송하도록 하는 복호화다중분산부(42)와, 상기 복호화다중분산부(42)로부터 개별 분산되어 전송되는 데이터의 복호화 처리를 수행하는 복수 개의 세션복호화처리부(41)와, 그리고 복수 개의 세션복호화처리부(41)로부터 복호화된 정보데이터를 수신받아 복호화데이터관리부(50)로 전송하는 복호화수집부(43)가 더 포함되어 구비될 수도 있을 것이다.The decryption unit 40 receives the data from the session management unit 30 and distributes data for decryption processing to a plurality of session decryption processing units 41 that are configured in a multiplex manner. A plurality of session decryption processing units 41 for decrypting data distributed separately from the decryption policing unit 42 and a plurality of session decryption processing units 41 for decrypting the decrypted data, And transmits the decoded data to the decoded data management unit 50. [

따라서 상기 세션관리부(30)로부터 데이터를 전송받은 복호화부(40)에서 다중으로 구성된 세션복호화처리부(41)로 데이터를 분산하여 복호화처리하는 세션복호화단계(S03)가 수행될 것이다.Accordingly, a session decryption step (S03) for decrypting data by distributing data to the session decryption processing unit 41 configured in the decryption unit 40, which has received the data from the session management unit 30, will be performed.

이에 복수의 세션복호화처리부(41)에 알맞게 데이터를 분산하여 처리할 수 있도록 복호화다중분산부(42)가 마련될 수 있어 데이터의 처리가 효율적으로 이루어질 수 있도록 하고, 아울러 복수의 세션복호화처리부(41) 들에서 다중 복호화처리된 데이터들이 복호화수집부(43)에 의하여 수집된 후 이후 처리과정을 수행하게 됨으로써, 데이터의 안정성을 확보하게 될 수 있을 것이다.The decryption multiplex distributing unit 42 can be provided to distribute and process the data corresponding to the plurality of session decryption processing units 41 so that data can be efficiently processed and a plurality of session decryption processing units 41 ) Are collected by the decryption and collection unit 43 and are then processed, thereby ensuring the stability of the data.

이처럼 복호화부(40)에서는 복수의 세션복호화처리부(41)로 분산하여 다중 복호화 처리를 하는 것으로, 할당받은 세션 정보 (복호화 Key 및 Application Data)를 이용하여 복호화를 실시하고, 이후 데이터를 복호화데이터관리부(50) 및 패킷탐지부(60)로 그 결과 데이터를 전달하도록 마련될 수 있을 것이다.
In the decryption unit 40, the session decryption processing unit 41 performs decryption by using the allocated session information (decryption key and application data) by performing multi-decryption processing. Then, the decryption unit 40 decrypts the decrypted data, And transmit the resultant data to the packet detector 50 and the packet detector 60, respectively.

또한 상기 복호화부(40, SESSION DECRYPT ENGINE)로부터 데이터를 전송받고, 정상 복호화데이터를 처리하는 복호화데이터관리부(50, DECRYPTED PACKET MANAGER)가 마련될 수 있을 것이다.Also, a decoded data manager 50 (DECRYPTED PACKET MANAGER) for receiving data from the decoding unit 40 (SESSION DECRYPT ENGINE) and processing normal decoded data may be provided.

이에 상기 복호화부(40)로부터 데이터를 전송받은 복호화데이터관리부(50)에서 전송받은 데이터 중에서 정상 복호화데이터를 판별하여 패킷탐지부(60)로 전송되도록 하는 복호화데이터관리단계(S04)가 수행될 것이다.A decoded data management step S04 is performed to discriminate the normal decoded data from the data received from the decoded data management unit 50 that has received the data from the decryption unit 40 and to transmit the decoded data to the packet detection unit 60 .

즉 복호화부(40)에서 전달받은 복호화 Data 를 패킷탐지부(60)에게 전달하도록 마련될 것이다.
That is, the decryption unit 40 may be provided to transmit the decrypted data to the packet detection unit 60.

다음으로 상기 복호화데이터관리부(50, DECRYPTED PACKET MANAGER)로부터 복호화된 패킷 정보를 수신받아 패킷검사를 수행하는 패킷탐지부(60, PACKET DISSECT)가 마련될 것이다.Next, a packet detector (PACKET DISSECT) 60 for receiving the packet information decoded from the decoded data manager (DECRYPTED PACKET MANAGER) 50 and performing packet inspection will be provided.

그리하여 상기 복호화데이터관리부(50)로부터 복호화된 패킷 정보를 수신받은 패킷탐지부(60)에서 해당 데이터에 대한 패킷검사를 수행하는 패킷수행단계(S05)가 수행될 것이다.In step S05, the packet detector 60, which receives the decoded packet information from the decoded data manager 50, performs a packet check on the corresponding data.

즉 복호화부(40)의 복수의 세션복호화처리부(41)를 통하여 다중 복호화 처리된 패킷 데이터에 대해 네크워크 장비의 패킷탐지부(60)에서 패킷의 분석을 실시하도록 마련되는 것이다.That is, the packet detection unit 60 of the network equipment performs packet analysis on the packet data subjected to the multiple decoding processing through the plurality of session decryption processing units 41 of the decoding unit 40.

이처럼 본 발명에 따른 에스에스엘/티엘에스(SSL/TLS)의 다중 복호화 구성에 따른 고성능 네트워크 장비 및 이에 의한 다중 복호화 데이터 처리방법을 통하여, 복호화의 성능이 향상되도록 하는 것으로, 이를 위해서 복호화부(40)의 복수의 세션복호화처리부(41)(Session Decrypt Worker)를 여러 개 생성하여 할당되도록 하여 다중 복호화처리가 가능하도록 함으로써, 네트워크 패킷 처리 성능이 손쉽게 향상되도록 마련될 수 있는 것이다.
즉 이러한 패킷수행단계(S05)에 있어서, 상기 복호화데이터관리부(50)로부터 복호화된 패킷 정보를 수신받은 패킷탐지부(60)에서 패킷검사를 수행하여, 정상 패킷의 경우에는 정상패킷의 신호를 탐지패킷처리부(17)로 전송하거나, 해킹 트래픽 또는 공격 트래픽의 패킷으로 판별될 경우에는 해당 패킷을 Drop 하도록 하는 패킷 드롭 신호를 탐지패킷처리부(17)로 전송하도록 구비되고, 상기 패킷탐지부(60)로부터 전송된 정상패킷의 신호 또는 패킷 드롭 신호를 수신받은 탐지패킷처리부(17)에서, 정상패킷의 신호를 수신받은 경우에는 해당 정상 패킷을 라이터(14)에서 처리하도록 하고, 패킷 드롭 신호를 수신받은 경우에는 해당 패킷을 드롭(Drop)하도록 구비되는 것이다.
따라서 본 발명에 의하면, 송수신되는 패킷 데이터로부터 에스에스엘/티엘에스 트래픽의 복호화를 위한 정보를 추출하고(mirroring 등의 기술적용), 복수의 세션복호화처리부로 분산되어 다중으로 복호화처리가 이루어지도록 하며 복호화된 패킷의 검사를 수행하며, 해킹 트래픽 또는 공격 트래픽으로 판별될 경우에는 해당 패킷을 Drop 하도록 구비되는 것이다.
As described above, the performance of the decoding is improved through the high-performance network equipment according to the multiple decoding configuration of the SSL / TLS according to the present invention and the multi-decryption data processing method using the same. The plurality of session decryption processors 41 (Session Decrypt Worker) of the plurality of session decryption processors 41 may be generated and allocated to be multiplexed and decoded, thereby facilitating network packet processing performance.
That is, in this packet execution step S05, the packet detector 60, which has received the decoded packet information from the decoded data management unit 50, performs packet inspection and detects a signal of a normal packet in the case of a normal packet To the packet processing unit 17 or to send a packet drop signal for dropping the packet to the detection packet processing unit 17 when the packet is determined as a packet of hacking traffic or attack traffic, When receiving a signal of a normal packet in the detection packet processing unit 17 which has received a signal of a normal packet or a packet drop signal transmitted from the receiver 14, the normal packet is processed by the rewriter 14, The packet is dropped.
Therefore, according to the present invention, it is possible to extract information for decoding the ASL / TLS traffic from packet data to be transmitted and received (applying a technique such as mirroring), and distribute and multiplex the data in a plurality of session decoding processing sections, When the packet is determined to be hacking traffic or attack traffic, the packet is dropped.

이와 같이 마련되는 본 발명에 따른 에스에스엘/티엘에스(SSL/TLS)의 다중 복호화 구성에 따른 고성능 네트워크 장비(10) 및 이를 이용한 고성능 네트워크 데이터 처리과정에 대해 상세히 살펴보기로 한다.The high-performance network equipment 10 according to the multiple decoding configuration of the SSL / TLS according to the present invention and the high-performance network data processing using the same will be described in detail.

즉 도 6 등에 도시된 바와 같이, 클라이언트(11) 또는 서버(12) 등으로부터 데이터가 송수신되고, 송수신되는 데이터는 리더(13, READER) 및 라이터(14, WRITER) 등에 의해 READ, WRITE 처리될 것이다. 그리고 송수신되는 SSL/TLS의 데이터는 본 발명에 따른 고성능 네트워크 장비(10)를 통하여 세션에 대한 처리 및 복호화 과정을 거친 후, 해당 패킷에 대한 검사 과정이 수행될 것이다.6 and the like, data is transmitted and received from the client 11 or the server 12, and data to be transmitted and received is subjected to READ and WRITE processing by the reader 13, the reader 14, and the writer 14 (WRITER) . The data of the SSL / TLS to be transmitted and received will be processed and decoded through the high-performance network equipment 10 according to the present invention, and then an inspection process for the corresponding packet will be performed.

이에 처음 NIC에서 읽어 들인 패킷이 HTTPS(SSL/TLS) 패킷인지 여부의 검증 과정을 수행하게 될 것이다. 이러한 HTTPS(SSL/TLS) 패킷 일 경우, HTTPS 버퍼에 패킷을 저장하게 될 것이다.Therefore, it will perform a process of verifying whether the packet read from the first NIC is an HTTPS (SSL / TLS) packet. For these HTTPS (SSL / TLS) packets, the packets will be stored in the HTTPS buffer.

그리고 HTTPS 복호화 엔진에서 해당 세션이 이전에 존재한 세션인지 검증과정을 수행하게 된다. 이에 해당 세션이 존재 하나, 세션 타임이 만료 되었을 경우, 해당 세션을 초기화(도 6의 (4-1) 부분)하게 될 것이다.Then, the HTTPS decryption engine performs a verification process to determine whether the session is a previously existing session. If the session exists, but the session time has expired, the session will be initialized (part (4-1) of FIG. 6).

그리고 세션이 없을 경우(도 6의 (8-1) 부분), 신규 세션 Key를 생성, 해당 세션 key Decoding(초기 세션 복호화)과정을 수행하게 되는 것으로, 복호화 처리는 복호화부(40)의 복수로 형성되는 세션복호화처리부(41)에 의해 다중 복호화 처리가 될 것이다.In the absence of a session (part (8-1) of FIG. 6), a new session key is generated and a session key decoding (initial session decryption) process is performed. The session decryption processing unit 41 will be subjected to the multiple decryption processing.

이에 세션이 기존에 존재할 경우(도 6의 (8-2) 부분), 데이터 Decoding 엔진을 통하여, 데이터를 복호화 과정이 수행될 것이다.If a session exists ((8-2) portion of FIG. 6), the data decoding process will be performed through the data decoding engine.

그리고 세션은 존재하나, 복호화 과정에서 정상적이지 않은 패킷일 경우, 해당 세션을 종료하게 될 것이다(도 6의 (9-2) 부분).If there is a session but the packet is not normal in the decoding process, the session will be terminated (part (9-2) of FIG. 6).

다음으로 복호화 엔진((도 6의 (11) 부분), 즉 복호화부(40)에 전달되는 복호화 Key 생성 메시지에 대해 무결성 검사 및 Key 생성을 실시하며, 패킷 전달 시, 복호화부(40)에게 복호화 메시지 및 Session 정보를 전달한다. 그리하여 복호화부(40)의 복수 구성인 세션복호화처리부(41)에 의하여 다중 복호화 과정이 진행될 것이다. 이처럼 복호화된 패킷에서 할당받은 세션 정보(복호화 Key 및 Application Data)결과를 버퍼에 저장한다(도 6의 (12) 부분).Next, integrity check and key generation are performed on the decryption key generation message transmitted to the decryption engine (part (11) of FIG. 6), i.e., the decryption unit 40, and the decryption unit 40 decrypts The session decryption processing unit 41 of the decryption unit 40. The session information (decryption key and application data) allocated in the decrypted packet ((12) portion of FIG. 6).

특히 복호화 엔진인 복호화부(40)에서는 빠른 세션 처리를 하기 위해, 멀티 엔진으로 하여 복수 개의 세션복호화처리부(41)가 마련되도록 하여 이를 사용하여, 여러 세션을 분리 처리하도록 함으로써, 동시에 많은 데이터를 처리할 수 있도록 하는 것이다.In particular, in the decryption unit 40, which is a decryption engine, a plurality of session decryption processing units 41 are provided as a multi-engine in order to perform fast session processing, To be able to do so.

그리고 해당 세션 데이터를 덤프해서 확인할 경우(도 6의 (13) 부분), 도 6에서와 같이 복호화된 패킷을 세션버퍼에 연결하여 데이터 덤프과정을 수행할 수 있을 것이다.When the session data is dumped and confirmed (part (13) of FIG. 6), the data dump process may be performed by connecting the decrypted packet to the session buffer as shown in FIG.

또한 복호화가 완료된 패킷은 탐지 엔진인 패킷탐지부(60)를 통하여, 해킹 트래픽 또는 공격 트래픽인지 여부를 판별하게 될 것으로, 해킹 트래픽 또는 공격 트래픽으로 판별될 경우에는, 해당 패킷을 Drop 하도록 처리하게 되도록 패킷탐지부(60)에서 탐지패킷처리부(17)로 패킷 드롭(Drop)의 처리신호를 전송하게 되고, 이에 탐지패킷처리부(17)에서는 버퍼의 해당 패킷을 드롭(drop) 처리하게 될 것이다(도 6의 (16) 부분).The decrypted packet is used to determine whether the packet is a hacking traffic or an attack traffic through the packet detection unit 60, which is a detection engine. When it is determined that the packet is a hacking traffic or an attacking traffic, The packet detection unit 60 transmits a processing signal of dropping a packet to the detection packet processing unit 17 and the detection packet processing unit 17 will drop the corresponding packet of the buffer 6, part (16)).

그리고 정상 트래픽으로 판별될 경우에는, 패킷탐지부(60)에서 정상 패킷의 신호를 탐지패킷처리부(17)로 전송하게 되고, 이에 탐지패킷처리부(17)에서 해당 패킷을 다음 처리과정으로 하여 수행될 수 있도록 처리하게 되는 것이다.
When the packet is determined to be normal traffic, the packet detector 60 transmits a signal of the normal packet to the detection packet processor 17, and the detection packet processor 17 performs the packet in the next process So that it will be processed.

이상으로 본 발명의 실시예에 대하여 상세히 설명하였으나, 이는 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있도록 일실시예를 기재한 것이므로, 상기 실시예의 기재에 의하여 본 발명의 기술적 사상이 제한적으로 해석되어서는 아니 된다.
While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed exemplary embodiments. The technical idea of the present invention should not be construed as being limited.

10 : 고성능 네트워크 장비
11 : 클라이언트 12 : 서버
13 : 리더 14 : 라이터
20 : 복호화추출부 30 : 세션관리부
40 : 복호화부 41 : 세션복호화처리부
42 : 복호화다중분산부 43 : 복호화수집부
50 : 복호화데이터관리부
60 : 패킷탐지부10: High Performance Network Equipment
11: Client 12: Server
13: Reader 14: Lighter
20: Decryption extraction unit 30: Session management unit
40: Decryption unit 41: Session decryption processing unit
42: Decoding Multiplex Distributor 43: Decoding Collector
50: decoded data management unit
60: packet detection unit

Claims (5)

클라이언트(11)와 서버(12) 사이에 연결되어 에스에스엘/티엘에스(SSL/TLS) 규약이 적용된 네트워크장비가 구비되어지되,
리더(13)와 라이터(14)에 의해 송수신되는 패킷으로부터 에스에스엘/티엘에스 트래픽의 복호화를 위한 정보를 추출하는 복호화추출부(20)와,
상기 복호화추출부(20)로부터 데이터를 전송받고, 에스에스엘/티엘에스의 세션정보를 관리하는 세션관리부(30)와,
상기 세션관리부(30)로부터 데이터를 전송받고, 에스에스엘/티엘에스의 세션정보를 이용하여 전송받은 데이터를 복호화하는 세션복호화처리부(41)가 다중으로 구성된 복호화부(40)가 포함되어 구비된 네트워크장비에 있어서,
상기 복호화부(40)로부터 데이터를 전송받고, 정상 복호화데이터를 처리하는 복호화데이터관리부(50)와,
상기 복호화데이터관리부(50)로부터 복호화된 패킷 정보를 수신받아 패킷검사를 수행하여, 정상 패킷의 경우에는 정상패킷의 신호를 탐지패킷처리부(17)로 전송하거나, 해킹 트래픽 또는 공격 트래픽의 패킷으로 판별될 경우에는 해당 패킷을 Drop 하도록 하는 패킷 드롭 신호를 탐지패킷처리부(17)로 전송하도록 구비되는 패킷탐지부(60)와,
상기 패킷탐지부(60)로부터 전송된 정상패킷의 신호 또는 패킷 드롭 신호를 수신받고, 정상패킷의 신호를 수신받은 경우에는 해당 정상 패킷을 라이터(14)에서 처리하도록 하고, 패킷 드롭 신호를 수신받은 경우에는 해당 패킷을 드롭(Drop)하도록 구비되는 탐지패킷처리부(17)가 더 포함되어 구비되어,
송수신되는 패킷 데이터로부터 에스에스엘/티엘에스 트래픽의 복호화를 위한 정보를 추출하고, 복수의 세션복호화처리부로 분산되어 다중으로 복호화처리가 이루어지도록 하며 복호화된 패킷의 검사를 수행하며, 해킹 트래픽 또는 공격 트래픽으로 판별될 경우에는 해당 패킷을 Drop 하도록 구비되는 것을 특징으로 하는 에스에스엘/티엘에스 트래픽의 다중 복호화 구성에 따른 고성능 네트워크장비.
A network device connected between the client 11 and the server 12 and adapted to the SSL / TLS protocol is provided,
A decoding and extracting unit 20 for extracting information for decoding the ASL / TLS traffic from the packet transmitted and received by the reader 13 and the writer 14,
A session management unit 30 for receiving data from the decryption / extraction unit 20 and managing session information of the MS / TS,
A session decryption processing unit 41 that receives data from the session management unit 30 and decrypts the received data using the session information of the ESL / In equipment,
A decoded data management unit 50 that receives data from the decryption unit 40 and processes normal decoded data,
Receives the decoded packet information from the decoded data management unit 50 and performs packet inspection. In the case of a normal packet, it transmits a normal packet signal to the detection packet processing unit 17 or discriminates it as a packet of a hacking traffic or an attack traffic A packet detector 60 for detecting a packet drop signal to drop a packet to the detection packet processor 17,
Upon receipt of a normal packet signal or a packet drop signal transmitted from the packet detector 60 and receiving a normal packet signal, the normal packet is processed by the rewriter 14, A detection packet processing unit 17 provided to drop the packet,
Extracts information for decoding the ESL / TLS traffic from the packet data to be transmitted and received, inspects the decoded packet so as to be distributed and multiplexed into a plurality of session decryption processing units, performs hacking traffic or attack traffic And the packet is dropped when it is determined that the packet has been received. The high-performance network equipment according to the multiple decoding configuration of the ESL / TLS traffic.
삭제delete 제 1항에 있어서,
상기 복호화부(40)는,
상기 세션관리부(30)로부터 데이터를 수신받아, 다중으로 구성된 복수의 세션복호화처리부(41)로 복호화처리를 위한 데이터를 분산하여 전송하도록 하는 복호화다중분산부(42)와,
상기 복호화다중분산부(42)로부터 개별 분산되어 전송되는 데이터의 복호화 처리를 수행하는 복수 개의 세션복호화처리부(41)와,
복수 개의 세션복호화처리부(41)로부터 복호화된 정보데이터를 수신받아 복호화데이터관리부(50)로 전송하는 복호화수집부(43)가 포함되어 구비되는 것을 특징으로 하는 에스에스엘/티엘에스 트래픽의 다중 복호화 구성에 따른 고성능 네트워크장비.
The method according to claim 1,
The decoding unit (40)
A decryption multiplexing distribution unit 42 for receiving data from the session management unit 30 and distributing data for decryption processing to a plurality of session decryption processing units 41 configured in multiple,
A plurality of session decryption processing units 41 for decrypting the data distributed and distributed separately from the decryption and distribution unit 42,
And a decryption unit (43) for receiving the decrypted information data from the plurality of session decryption processing units (41) and transmitting the decrypted information data to the decryption data management unit (50) High-performance network equipment according to.
삭제delete 클라이언트(11)와 서버(12) 사이에 연결되어 에스에스엘/티엘에스(SSL/TLS) 규약이 적용된 네트워크장비에서의 처리방법에 있어서,
리더(13)와 라이터(14)에 의해 송수신되는 패킷에 대해, 복호화추출부(20)에서 에스에스엘/티엘에스의 복호화를 위한 정보를 추출하는 복호화정보추출단계(S01);
상기 복호화추출부(20)로부터 데이터를 전송받은 세션관리부(30)에서, 에스에스엘/티엘에스의 세션정보가 올바른지 여부를 판별하고 관리하는 세션관리단계(S02);
상기 세션관리부(30)로부터 데이터를 전송받은 복호화부(40)에서 다중으로 구성된 세션복호화처리부(41)로 데이터를 분산하여 복호화처리하는 세션복호화단계(S03);
상기 복호화부(40)로부터 데이터를 전송받은 복호화데이터관리부(50)에서 전송받은 데이터 중에서 정상 복호화데이터를 판별하여 패킷탐지부(60)로 전송되도록 하는 복호화데이터관리단계(S04);
상기 복호화데이터관리부(50)로부터 복호화된 패킷 정보를 수신받은 패킷탐지부(60)에서 해당 데이터에 대한 패킷검사를 수행하는 패킷수행단계(S05)가 포함되어 구비되고,
상기 패킷수행단계(S05)에서, 상기 복호화데이터관리부(50)로부터 복호화된 패킷 정보를 수신받은 패킷탐지부(60)에서 패킷검사를 수행하여, 정상 패킷의 경우에는 정상패킷의 신호를 탐지패킷처리부(17)로 전송하거나, 해킹 트래픽 또는 공격 트래픽의 패킷으로 판별될 경우에는 해당 패킷을 Drop 하도록 하는 패킷 드롭 신호를 탐지패킷처리부(17)로 전송하도록 구비되며,
상기 패킷탐지부(60)로부터 전송된 정상패킷의 신호 또는 패킷 드롭 신호를 수신받은 탐지패킷처리부(17)에서, 정상패킷의 신호를 수신받은 경우에는 해당 정상 패킷을 라이터(14)에서 처리하도록 하고, 패킷 드롭 신호를 수신받은 경우에는 해당 패킷을 드롭(Drop)하도록 구비되고,
송수신되는 패킷 데이터로부터 에스에스엘/티엘에스 트래픽의 복호화를 위한 정보를 추출하고, 복수의 세션복호화처리부로 분산되어 다중으로 복호화처리가 이루어지도록 하며 복호화된 패킷의 검사를 수행하며, 해킹 트래픽 또는 공격 트래픽으로 판별될 경우에는 해당 패킷을 Drop 하도록 구비되는 것을 특징으로 하는 에스에스엘/티엘에스 트래픽의 다중 복호화 구성에 따른 고성능 네트워크 데이터 처리방법.
A method for processing in a network equipment connected between a client (11) and a server (12) to which an SSL / TLS protocol is applied,
A decoding information extracting step (S01) for extracting information for decoding of the S / L / TS from the decoding extraction unit (20) with respect to the packets transmitted and received by the reader (13) and the writer (14);
A session management step (S02) of judging and managing whether or not the session information of the ESL / TLS is correct in the session management unit (30) having received the data from the decryption / extraction unit (20);
A session decoding step (S03) of distributing and decoding data to a session decryption processing unit (41) multiplexed by a decryption unit (40) which has received data from the session management unit (30);
A decoded data management step (S04) for discriminating normal decoded data from the data received from the decoded data management unit (50) having received the data from the decryption unit (40) and transmitting the decoded data to the packet detection unit (60);
(S05) for performing packet inspection on the data by the packet detector (60), which has received the decoded packet information from the decoded data management unit (50)
In the packet execution step S05, the packet detector 60, which has received the decoded packet information from the decoded data management unit 50, performs packet inspection, and in the case of a normal packet, To the detection packet processing unit 17 when the packet is determined to be a packet of a hacking traffic or attack traffic, and to drop the packet drop signal to the detection packet processing unit 17,
Upon receipt of the normal packet signal or the packet drop signal transmitted from the packet detector 60, the detection packet processor 17 processes the corresponding normal packet in the rewriter 14 , And drops the packet if the packet drop signal is received,
Extracts information for decoding the ESL / TLS traffic from the packet data to be transmitted and received, inspects the decoded packet so as to be distributed and multiplexed into a plurality of session decryption processing units, performs hacking traffic or attack traffic And the packet is dropped when it is determined that the packet is a packet.
KR1020100104638A 2010-10-26 2010-10-26 High performance network equipment with a fuction of multi-decryption in ssl/tls sessions' traffic and data processing method of the same KR101141919B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020100104638A KR101141919B1 (en) 2010-10-26 2010-10-26 High performance network equipment with a fuction of multi-decryption in ssl/tls sessions' traffic and data processing method of the same

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100104638A KR101141919B1 (en) 2010-10-26 2010-10-26 High performance network equipment with a fuction of multi-decryption in ssl/tls sessions' traffic and data processing method of the same

Publications (2)

Publication Number Publication Date
KR20120043364A KR20120043364A (en) 2012-05-04
KR101141919B1 true KR101141919B1 (en) 2012-05-07

Family

ID=46271419

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100104638A KR101141919B1 (en) 2010-10-26 2010-10-26 High performance network equipment with a fuction of multi-decryption in ssl/tls sessions' traffic and data processing method of the same

Country Status (1)

Country Link
KR (1) KR101141919B1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20200089943A (en) 2019-01-18 2020-07-28 주식회사 윈스 Method and apparatus for classifying ssl/tls service packet
KR102502475B1 (en) 2022-11-15 2023-02-23 주식회사 시큐어링크 Device and method of determining malicious packet in encrypted traffic based on artificial intelligence

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10375112B2 (en) 2014-11-19 2019-08-06 At&T Intellectual Property I, L.P. Method and apparatus for decryption of encrypted SSL data from packet traces
KR101971995B1 (en) * 2017-08-29 2019-04-24 주식회사 수산아이앤티 Method for decryping secure sockets layer for security

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060130201A (en) * 2004-03-02 2006-12-18 어드밴스드 마이크로 디바이시즈, 인코포레이티드 Two parallel engines for high speed transmit ipsec processing
KR20070005073A (en) * 2005-07-05 2007-01-10 한국전자통신연구원 Apparatus and method for high-speed distributing encryption and deencryption with multi-session

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060130201A (en) * 2004-03-02 2006-12-18 어드밴스드 마이크로 디바이시즈, 인코포레이티드 Two parallel engines for high speed transmit ipsec processing
KR20070005073A (en) * 2005-07-05 2007-01-10 한국전자통신연구원 Apparatus and method for high-speed distributing encryption and deencryption with multi-session

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
제목: SSL 가속 기술의 분류와 제품 비교, 저자: 최승복 & 임채훈, 발행처: 퓨처시스템 암호체계센터 - Technical Report, 발행일: 2001년 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20200089943A (en) 2019-01-18 2020-07-28 주식회사 윈스 Method and apparatus for classifying ssl/tls service packet
KR102502475B1 (en) 2022-11-15 2023-02-23 주식회사 시큐어링크 Device and method of determining malicious packet in encrypted traffic based on artificial intelligence

Also Published As

Publication number Publication date
KR20120043364A (en) 2012-05-04

Similar Documents

Publication Publication Date Title
EP3603001B1 (en) Hardware-accelerated payload filtering in secure communication
EP3691217B1 (en) Web traffic logging system and method for detecting web hacking in real time
EP2974144B1 (en) System and method for extracting and preserving metadata for analyzing network communications
US8799641B1 (en) Secure proxying using network intermediaries
CN107077432B (en) HTTPS request enrichment
KR101141919B1 (en) High performance network equipment with a fuction of multi-decryption in ssl/tls sessions&#39; traffic and data processing method of the same
US20110314275A1 (en) Managing encryption keys
US9626522B1 (en) Method and apparatus for the network steganographic assessment of a test subject
US8010787B2 (en) Communication device, communication log transmitting method suitable for communication device, and communication system
CN112804215A (en) Video acquisition safety processing system and method based on zero trust mechanism
CN113515766A (en) File transmission method and device
JP6391823B2 (en) RDP data collection apparatus and method
Yang et al. Deep learning approach for detecting malicious activities over encrypted secure channels
CN113872956A (en) Method and system for inspecting IPSEC VPN transmission content
KR20140091221A (en) Security apparatus for decrypting data encrypted according to the web security protocol and operating method thereof
CN113315678A (en) Encrypted TCP (Transmission control protocol) traffic acquisition method and device
US7920705B1 (en) System and method for convert channel detection
KR102147917B1 (en) Method and apparatus for classifying ssl/tls service packet
KR101996044B1 (en) ICAP protocol extension method for providing network forensic service of encrypted traffic, network forensic device supporting it and web proxy
CN114679265B (en) Flow acquisition method, device, electronic equipment and storage medium
US20160112488A1 (en) Providing Information of Data Streams
KR101457455B1 (en) Apparatus and method for data security in cloud networks
CN110995730B (en) Data transmission method and device, proxy server and proxy server cluster
CN109788249B (en) Video monitoring control method based on industrial internet operating system
KR101919762B1 (en) An encrypted traffic management apparatus and method for decrypting encrypted traffics

Legal Events

Date Code Title Description
A201 Request for examination
N231 Notification of change of applicant
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160525

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20170323

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20180425

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20190425

Year of fee payment: 8