KR101189673B1 - Gateway system for ipsec session transmission and redundancy providing method thereof - Google Patents
Gateway system for ipsec session transmission and redundancy providing method thereof Download PDFInfo
- Publication number
- KR101189673B1 KR101189673B1 KR1020120065163A KR20120065163A KR101189673B1 KR 101189673 B1 KR101189673 B1 KR 101189673B1 KR 1020120065163 A KR1020120065163 A KR 1020120065163A KR 20120065163 A KR20120065163 A KR 20120065163A KR 101189673 B1 KR101189673 B1 KR 101189673B1
- Authority
- KR
- South Korea
- Prior art keywords
- ppu
- active
- ipsec
- redundancy
- information
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0654—Management of faults, events, alarms or notifications using network fault recovery
- H04L41/0659—Management of faults, events, alarms or notifications using network fault recovery by isolating or reconfiguring faulty entities
- H04L41/0661—Management of faults, events, alarms or notifications using network fault recovery by isolating or reconfiguring faulty entities by reconfiguring faulty entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0813—Configuration setting characterised by the conditions triggering a change of settings
- H04L41/082—Configuration setting characterised by the conditions triggering a change of settings the condition being updates or upgrades of network functionality
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0485—Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
Abstract
Description
본 명세서는 IPSec 세션 중계를 위한 게이트웨이 시스템 및 그의 리던던시 제공 방법에 관한 것으로, 더욱 상세히는 리던던시 패킷 처리 유닛(PPU)에서 미리 설정된 주기로 복수의 액티브 패킷 처리 유닛으로부터 전달되는 IPSec 정보를 수신하고, 상기 복수의 액티브 패킷 처리 유닛 중 어느 하나(또는, 적어도 하나)의 액티브 패킷 처리 유닛에 장애가 발생할 때, 상기 리던던시 패킷 처리 유닛에서 상기 장애가 발생한 액티브 패킷 처리 유닛과 관련하여 가장 최근에 수신된 IPSec 정보의 아웃바운드의 SA 인덱스를 기준으로 상기 수신된 IPSec 정보의 아웃바운드의 마지막 시퀀스 번호를 미리 설정된 값만큼 증가시켜 시퀀스 정보를 업데이트하고, 상기 업데이트된 시퀀스 정보를 근거로 상기 리던던시 패킷 처리 유닛이 바로 액티브 패킷 처리 유닛으로 동작하여, 연속적인 서비스를 제공할 수 있는 IPSec 세션 중계를 위한 게이트웨이 시스템 및 그의 리던던시 제공 방법에 관한 것이다.
The present specification relates to a gateway system for IPSec session relay and a method of providing redundancy thereof, and more particularly, to receive IPSec information transmitted from a plurality of active packet processing units at a predetermined period in a redundant packet processing unit (PPU), When a failure occurs in any one (or at least one) active packet processing unit of the active packet processing unit, the redundancy packet processing unit outbound the most recently received IPSec information with respect to the failed active packet processing unit. Update the sequence information by increasing the last sequence number of the outbound of the received IPSec information by a preset value based on the SA index of the second index; and based on the updated sequence information, the redundancy packet processing unit is an active packet processing unit. To operate , Gateway system for the IPSec session relay that can provide continuous service and relates to a method of providing redundancy.
일반적으로, IPSec(Internet Protocol Security Protocol : 인터넷 보안 프로토콜)은, 네트워크나 네트워크 통신의 패킷 처리 계층에서의 보안을 위한 프로토콜로서, 가상 사설망(Virtual Private Network : VPN)을 통하여 송수신되는 데이터를 공중망 사용자들로부터 보호하기 위해 이용되는 프로토콜이다.In general, the Internet Protocol Security Protocol (IPSec) is a protocol for security at a packet processing layer of a network or network communication, and transmits and receives data transmitted and received through a virtual private network (VPN) to public network users. The protocol used to protect against
또한, 이러한 상기 IPSec은, 데이터 송신자의 인증을 허용하는 인증 헤더(Authentication Header : AH)와, 송신자의 인증 및 데이터 암호화를 함께 지원하는 보안 페이로드 캡슐화(Encapsulation Security Payload : ESP, 이하 'ESP'라 함) 등 두 종류의 보안 서비스를 제공한다. 이때, 상기 각 서비스에 관련된 정보는, IP 패킷 헤더 뒤에 별도의 헤더로 삽입된다.In addition, the IPSec is referred to as an Authentication Header (AH) that allows authentication of a data sender, and an Encapsulation Security Payload (ESP) which supports both the sender's authentication and data encryption. It provides two types of security services. At this time, the information related to each service is inserted as a separate header after the IP packet header.
상기 ESP 패킷 형태의 IPSec 세션 중계를 위한 게이트웨이 시스템은, 복수의 액티브(active) 패킷 처리 유닛(Packet Processing Unit : PPU, 이하 'PPU'라 함)을 포함하며, 재전송 방지(Anti-replay)를 위해서 하나의 리던던시(redundancy) 패킷 처리 유닛을 구비한다.The gateway system for IPSec session relay in the form of an ESP packet includes a plurality of active packet processing units (PPUs, hereinafter referred to as PPUs), for anti-replay. One redundancy packet processing unit is provided.
이러한, 상기 하나의 리던던시 PPU는, 상기 재전송 방지를 위해서, 상기 복수의 액티브 PPU로부터 실시간으로 전달되는 임의의 패킷과 관련된 정보를 실시간으로 수신 및 처리하기 위해서 대용량의 저장 공간을 확보해야하며, 상기 복수의 액티브 PPU와의 부하 증가에 따른 처리 속도를 개선해야하는 문제점이 있다.In order to prevent the retransmission, the one redundancy PPU must secure a large storage space in order to receive and process information related to any packet transmitted from the plurality of active PPUs in real time. There is a problem that the processing speed according to the load increase with the active PPU of the need to be improved.
또한, 상기 하나의 리던던시 PPU는, 상기 복수의 액티브 PPU와 상기 하나의 리던던시 PPU 간에 상기 패킷과 관련된 정보를 주기적으로 송/수신하는 경우, 임의의 액티브 PPU에서 장애 발생 시, 장애가 발생한 시간 동안 패킷과 관련된 정보를 수신하지 못함에 따라 동기화가 이루어지지 않아, 연속적인 서비스를 제공할 수 없는 문제점이 있다.
Further, when one redundant PPU periodically transmits / receives information related to the packet between the plurality of active PPUs and the one redundancy PPU, when a failure occurs in any active PPU, the one redundant PPU and There is a problem in that synchronization cannot be performed because the related information is not received, and thus a continuous service cannot be provided.
본 명세서의 목적은, 복수의 액티브 PPU로부터 주기적으로 전송되는 IPSec 정보를 근거로 아웃바운드의 마지막 시퀀스 번호에 미리 설정된 수를 더하여 새로운 시퀀스 번호로 시퀀스 정보를 업데이트하는 IPSec 세션 중계를 위한 게이트웨이 시스템 및 그의 리던던시 제공 방법을 제공하는 데 있다.An object of the present specification is a gateway system for IPSec session relay that updates sequence information with a new sequence number by adding a preset number to the last sequence number of outbound based on IPSec information periodically transmitted from a plurality of active PPUs, and It is to provide a method of providing redundancy.
본 명세서의 다른 목적은, 데이터 서비스망에서 단말 장치 또는 데이터 집중화 장비와 연동하여 IPSec을 사용하는 암호화된 데이터 송수신을 통해 사용자 데이터에 대한 보안 기능을 제공하는 중에 IPSec을 처리하는 임의의 액티브 PPU에 장애 발생 시, 장애가 발생한 액티브 PPU와 관련된 IPSec 정보를 근거로 시퀀스 정보를 업데이트하고, 상기 업데이트된 시퀀스 정보를 근거로 상기 리던던시 PPU를 통해 연속적인 서비스를 제공하는 IPSec 세션 중계를 위한 게이트웨이 시스템 및 그의 리던던시 제공 방법을 제공하는 데 있다.
Another object of the present specification is to troubleshoot any active PPU processing IPSec while providing a security function for user data through encrypted data transmission and reception using IPSec in connection with a terminal device or a data centralization equipment in a data service network. Upon occurrence, a gateway system for relaying an IPSec session for providing continuous service through the redundancy PPU based on IPSec information related to a failed active PPU and providing a redundancy service and redundancy thereof based on the updated sequence information To provide a way.
본 명세서의 실시예에 따른 IPSec 세션 중계를 위한 게이트웨이 시스템은, 임의의 통신 연결된 단말기와 정보를 송수신하는 IPSec 세션 중계를 위한 게이트웨이 시스템에 있어서, 미리 설정된 주기마다 각각의 IPSec 정보를 전송하는 복수의 액티브 PPU(Packet Processing Unit); 및 상기 복수의 액티브 PPU로부터 각각 전송되는 IPSec 정보를 수신하고, 상기 복수의 액티브 PPU 중 어느 하나의 액티브 PPU에서 장애가 발생할 때, 상기 장애가 발생한 액티브 PPU와 관련한 최신의 IPSec 정보에 포함된 아웃바운드의 SA 인덱스를 근거로 상기 최신의 IPSec 정보에 포함된 아웃바운드의 마지막 시퀀스 번호에 통신 환경을 기반으로 연산된 수치를 기준으로 결정된 수를 더하여 시퀀스 정보를 업데이트하고, 상기 장애가 발생한 액티브 PPU와 관련된 상기 업데이트된 시퀀스 정보를 근거로 상기 장애가 발생한 액티브 PPU를 대신하여 액티브 PPU의 기능을 수행하는 리던던시 PPU;를 포함할 수 있다.In the gateway system for IPSec session relay according to an embodiment of the present disclosure, in the gateway system for IPSec session relay that transmits and receives information to and from any communication-connected terminal, a plurality of actives transmitting respective IPSec information at predetermined intervals Packet Processing Unit (PPU); And receiving outgoing IPSec information from the plurality of active PPUs, and when a failure occurs in any one of the plurality of active PPUs, an outbound SA included in the latest IPSec information associated with the failed active PPU. Update the sequence information by adding a number determined based on a numerical value calculated based on a communication environment to the last sequence number of the outbound included in the latest IPSec information based on an index, and updating the sequence information associated with the failed active PPU. And a redundancy PPU performing a function of an active PPU instead of the failed active PPU based on sequence information.
본 명세서와 관련된 일 예로서, 상기 미리 설정된 주기는, 300K 세션 전송 시, 1초일 수 있다.As an example related to the present specification, the preset period may be 1 second when transmitting a 300K session.
본 명세서와 관련된 일 예로서, 상기 IPSec 정보는, 아웃바운드의 SA 인덱스 및, 아웃바운드의 마지막 시퀀스 번호를 포함할 수 있다.As an example related to the present specification, the IPSec information may include an outbound SA index and a last sequence number of outbound.
본 명세서와 관련된 일 예로서, 상기 통신 환경을 기반으로 연산된 수치를 기준으로 결정된 수는, 재전송 방지(Anti-replay) 기능에 의한 패킷의 폐기(drop)를 방지하기 위해서, 세션당 최대 트래픽, 패킷의 최소 길이 및, 상기 미리 설정된 주기를 근거로 산출되며, 상기 액티브 PPU에서 사용되는 시퀀스 번호보다 더 큰 값일 수 있다.As an example related to the present specification, the number determined based on a value calculated based on the communication environment may include a maximum traffic per session, in order to prevent dropping of a packet by an anti-replay function. It is calculated based on the minimum length of the packet and the predetermined period, and may be greater than the sequence number used in the active PPU.
본 명세서의 실시예에 따른 IPSec 세션 중계를 위한 게이트웨이 시스템의 리던던시 제공 방법은, 임의의 통신 연결된 단말기와 정보를 송수신하는 IPSec 세션 중계를 위한 게이트웨이 시스템의 리던던시 제공 방법에 있어서, 임의의 리던던시 PPU를 통해, 미리 설정된 주기마다 복수의 액티브 PPU로부터 각각 전송되는 IPSec 정보를 수신하는 단계; 상기 리던던시 PPU를 통해, 상기 복수의 액티브 PPU의 장애 여부를 확인하는 단계; 상기 리던던시 PPU를 통해, 상기 확인 결과, 상기 복수의 액티브 PPU 중 어느 하나의 액티브 PPU에서 장애가 발생할 때, 상기 장애가 발생한 액티브 PPU와 관련한 최신의 IPSec 정보에 포함된 아웃바운드의 SA 인덱스를 근거로 상기 최신의 IPSec 정보에 포함된 아웃바운드의 마지막 시퀀스 번호에 통신 환경을 기반으로 연산된 수치를 기준으로 결정된 수를 더하여 시퀀스 정보를 업데이트하는 단계; 및 상기 리던던시 PPU를 통해, 상기 장애가 발생한 액티브 PPU와 관련된 상기 업데이트된 시퀀스 정보를 근거로 상기 장애가 발생한 액티브 PPU를 대신하여 액티브 PPU의 기능을 수행하는 단계;를 포함할 수 있다.
In the method of providing redundancy of the gateway system for IPSec session relay according to the embodiment of the present specification, in the method of providing redundancy of the gateway system for IPSec session relay, which transmits and receives information to and from any communication-connected terminal, Receiving IPSec information transmitted from the plurality of active PPUs at predetermined intervals, respectively; Checking, via the redundancy PPU, whether the plurality of active PPUs have failed; Through the redundancy PPU, when the failure occurs in any one of the plurality of active PPUs, the latest result is determined based on the outbound SA index included in the latest IPSec information related to the failed active PPU. Updating the sequence information by adding the number determined based on the numerical value calculated based on the communication environment to the last sequence number of the outbound included in the IPSec information of the; And performing a function of an active PPU on behalf of the failed active PPU based on the updated sequence information related to the failed active PPU through the redundancy PPU.
본 명세서의 실시예에 따른 IPSec 세션 중계를 위한 게이트웨이 시스템 및 그의 리던던시 제공 방법은, 복수의 액티브 PPU 중 어느 하나의 액티브 PPU에서 장애 발생 시, 상기 장애가 발생한 액티브 PPU로부터 전송된 최신의 IPSec 정보를 근거로 아웃바운드의 마지막 시퀀스 번호에 통신 환경을 기반으로 연산된 수치를 기준으로 결정된 수를 더하여 새로운 시퀀스 번호로 시퀀스 정보를 업데이트하고, 상기 업데이트된 시퀀스 정보를 근거로 상기 리던던시 PPU를 통해 연속적인 서비스를 제공함으로써, 재전송 방지 기능에 의해 연속적인 서비스가 중단되는 것을 방지하고, 상기 게이트웨이 시스템의 운영 효율을 향상시키며, 하나의 리던던시 PPU를 통해서도 안정적인 서비스 운영을 제공할 수 있다.
A gateway system for IPSec session relay and a method of providing redundancy thereof according to an embodiment of the present specification are based on the latest IPSec information transmitted from an active PPU having a failure when a failure occurs in any one of a plurality of active PPUs. The sequence information is updated with a new sequence number by adding the number determined based on the calculated value based on the communication environment to the last sequence number of the outbound, and a continuous service is performed through the redundancy PPU based on the updated sequence information. By providing a retransmission prevention function, it is possible to prevent continuous service interruption, improve the operational efficiency of the gateway system, and provide stable service operation through a single redundant PPU.
도 1은 본 명세서의 실시예에 따른 게이트웨이 시스템이 포함된 데이터 처리 시스템의 구성을 나타낸 블록도이다.
도 2는 본 명세서의 일 실시예에 따른 게이트웨이 시스템의 구성을 나타낸 블록도이다.
도 3은 본 명세서의 일 실시예에 따른 ESP 헤더의 포맷을 나타낸 도이다.
도 4는 본 명세서의 일 실시예에 따른 IPSec 세션 중계를 위한 게이트웨이 시스템의 리던던시 제공 방법을 나타낸 흐름도이다.1 is a block diagram illustrating a configuration of a data processing system including a gateway system according to an exemplary embodiment of the present specification.
2 is a block diagram illustrating a configuration of a gateway system according to an embodiment of the present specification.
3 is a diagram illustrating a format of an ESP header according to an embodiment of the present specification.
4 is a flowchart illustrating a method of providing redundancy of a gateway system for IPSec session relay according to an embodiment of the present specification.
본 명세서에서 사용되는 기술적 용어는 단지 특정한 실시 예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아님을 유의해야 한다. 또한, 본 명세서에서 사용되는 기술적 용어는 본 명세서에서 특별히 다른 의미로 정의되지 않는 한, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 의미로 해석되어야 하며, 과도하게 포괄적인 의미로 해석되거나, 과도하게 축소된 의미로 해석되지 않아야 한다. 또한, 본 명세서에서 사용되는 기술적인 용어가 본 발명의 사상을 정확하게 표현하지 못하는 잘못된 기술적 용어일 때에는, 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 올바르게 이해할 수 있는 기술적 용어로 대체되어 이해되어야 할 것이다. 또한, 본 발명에서 사용되는 일반적인 용어는 사전에 정의되어 있는 바에 따라, 또는 전후 문맥상에 따라 해석되어야 하며, 과도하게 축소된 의미로 해석되지 않아야 한다.It is to be noted that the technical terms used herein are merely used to describe particular embodiments, and are not intended to limit the present invention. It is also to be understood that the technical terms used herein are to be interpreted in a sense generally understood by a person skilled in the art to which the present invention belongs, Should not be construed to mean, or be interpreted in an excessively reduced sense. In addition, when the technical terms used herein are incorrect technical terms that do not accurately express the spirit of the present invention, they should be replaced with technical terms that can be understood correctly by those skilled in the art. will be. In addition, the general terms used in the present invention should be interpreted according to a predefined or prior context, and should not be construed as being excessively reduced.
또한, 본 명세서에서 사용되는 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "구성된다" 또는 "포함한다" 등의 용어는 명세서상에 기재된 여러 구성 요소들, 또는 여러 단계를 반드시 모두 포함하는 것으로 해석되지 않아야 하며, 그 중 일부 구성 요소들 또는 일부 단계들은 포함되지 않을 수도 있고, 또는 추가적인 구성 요소 또는 단계들을 더 포함할 수 있는 것으로 해석되어야 한다.Also, the singular forms "as used herein include plural referents unless the context clearly dictates otherwise. In the present application, the term "comprising" or "comprising" or the like should not be construed as necessarily including the various elements or steps described in the specification, Or may be further comprised of additional components or steps.
또한, 본 명세서에서 사용되는 제1, 제2 등과 같이 서수를 포함하는 용어는 다양한 구성 요소들을 설명하는데 사용될 수 있지만, 상기 구성 요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성 요소를 다른 구성 요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성 요소는 제2 구성 요소로 명명될 수 있고, 유사하게 제2 구성 요소도 제1 구성 요소로 명명될 수 있다.Furthermore, terms including ordinals such as first, second, etc. used in this specification can be used to describe various elements, but the elements should not be limited by the terms. The terms are used only for the purpose of distinguishing one component from another. For example, without departing from the scope of the present invention, the first component may be referred to as a second component, and similarly, the second component may also be referred to as a first component.
이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 실시 예를 상세히 설명하되, 도면 부호에 관계없이 동일하거나 유사한 구성 요소는 동일한 참조 번호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings, wherein like reference numerals refer to like or similar elements throughout the several views, and redundant description thereof will be omitted.
또한, 본 발명을 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다. 또한, 첨부된 도면은 본 발명의 사상을 쉽게 이해할 수 있도록 하기 위한 것일 뿐, 첨부된 도면에 의해 본 발명의 사상이 제한되는 것으로 해석되어서는 아니 됨을 유의해야 한다.In the following description, well-known functions or constructions are not described in detail since they would obscure the invention in unnecessary detail. It is to be noted that the accompanying drawings are only for the purpose of facilitating understanding of the present invention, and should not be construed as limiting the scope of the present invention with reference to the accompanying drawings.
도 1은 본 명세서의 실시예에 따른 게이트웨이 시스템이 포함된 데이터 처리 시스템의 구성을 나타낸 블록도이다.1 is a block diagram illustrating a configuration of a data processing system including a gateway system according to an exemplary embodiment of the present specification.
도 1에 도시한 바와 같이, 데이터 처리 시스템(10)은, 서비스 네트워크(100), 운용 관리 네트워크(200), AAA 네트워크(300) 및, 게이트웨이 시스템(400)으로 구성된다. 도 1에 도시된 데이터 처리 시스템(10)의 구성 요소 모두가 필수 구성 요소인 것은 아니며, 도 1에 도시된 구성 요소보다 많은 구성 요소에 의해 데이터 처리 시스템(10)이 구현될 수도 있고, 그보다 적은 구성 요소에 의해서도 데이터 처리 시스템(10)이 구현될 수도 있다. 여기서, 상기 데이터 처리 시스템(10)은, ATCA(Advanced Telecom Computing Architecture) 표준 규격의 시스템일 수 있다.As shown in FIG. 1, the
상기 서비스 네트워크(100)는, IP 네트워크, IKE(Internet Key Exchange) 또는 IPSec(IP security protocol) 네트워크 등과 같이 다양한 네트워크(또는, 이동 노드)에 대한 서비스 기능을 제공한다.The
상기 운용 관리 네트워크(200)는, 임의의 통신망, 상기 통신망을 통해 처리되는 데이터(또는, 정보) 및, 상기 통신망과 연결된 구성 요소들에 대한 운용 및 관리 기능을 제공한다.The
상기 AAA(Authentication, Authorization, Accounting) 네트워크(300)는, 네트워크 서비스의 인증, 권한 검증 및, 과금과 관련된 기능을 제공한다.The AAA (Authentication, Authorization, Accounting)
상기 게이트웨이 시스템(또는, SPG(Security Packet Gateway) 시스템)(400)은, 상기 서비스 네트워크(100), 상기 운용 관리 네트워크(200) 및, 상기 AAA 네트워크(300)와 연동(또는, 정합)한다.The gateway system (or security packet gateway system) 400 interworks with (or matches with) the
즉, 상기 게이트웨이 시스템(400)은, 상기 게이트웨이 시스템(400)에 포함된 임의의 PPU(Packet Processing Unit)를 통해 상기 서비스 네트워크(100)와 정합하고, 상기 게이트웨이 시스템(400)에 포함된 임의의 MCU(Main Control Unit)를 통해 상기 운용 관리 네트워크(200) 또는 상기 AAA 네트워크(300)와 각각 정합한다. 이때, 상기 MCU는, 단일 인터페이스를 통해 상기 운용 관리 네트워크(200) 또는 상기 AAA 네트워크(300)와 각각 정합하며, 두 개의 네트워크가 분리되어 있는 경우, 각각의 네트워크를 VLAN(Virtual LAN)을 통해 논리적으로 분리한다.That is, the
또한, 상기 게이트웨이 시스템(400)은, 3GPP(3rd Generation Partnership Project) 또는 LTE(Long Term Evolution) 네트워크 상에서 WLAN(Wireless LAN) 서비스를 위한 PDG(Packet Data Gateway) 시스템 또는 ePDG(enhanced Packet Data Gateway) 시스템, 3GPP 또는 LTE 네트워크 상에서 암호화 게이트웨이 역할을 수행하는 SEG 시스템 또는 SeGW(Security Gateway) 시스템, 3GPP2 네트워크 상에서 WLAN 서비스를 위한 PDIF(Packet Data Interworking Function) 시스템 및, 일반 대용량 IKE 또는 IPSec 기반 보안 게이트웨이 등에 적용할 수 있다.In addition, the
또한, 상기 게이트웨이 시스템(400)은, 인바운드(inbound) 또는 아웃바운드(outbound) 상태에서의 패킷에 대한 보안 기능(예를 들어, 암호화, 복호화 등 포함)을 수행한다.In addition, the
또한, 상기 게이트웨이 시스템(400)은, 터널 모드(tunnel mode) ESP(Encapsulating Security Protocol/Payload) 또는 전송 모드(transport mode) ESP 또는, UDP 캡슐화된(encapsulated) ESP 패킷 형식을 지원한다. 여기서, 상기 터널 모드 ESP는, 사용자의 데이터 및 IP 헤더 모두를 암호화하며, 암호화 정보를 포함한 ESP 헤더 및 송수신 노드 간의 IP 정보를 포함한 IP 헤더를 추가한다. 또한, UDP 캡슐화된 ESP 터널 모드 패킷인 경우에는, NAT(Network Address Translation) 장비에서의 포트 정보 변환을 위한 UDP 헤더 정보를 추가한다. 또한, 상기 전송 모드 ESP는, IP 헤더를 제외한 사용자의 데이터를 암호화하며, 암호화 정보를 포함한 ESP 헤더를 추가한다. 또한, UDP 캡슐화된 ESP 전송 모드 패킷인 경우에는, NAT 장비에서의 포트 정보 변환을 위한 UDP 헤더 정보를 추가한다.In addition, the
또한, 암호화를 위해서 상기 게이트웨이 시스템(400)에 추가되는 ESP 헤더는, 도 3에 도시한 바와 같은 형식을 갖는다. 여기서, 상기 ESP(또는, 상기 ESP 헤더)는, 패킷의 암호화 서비스를 제공하며, 연결된 상대 단말에 따라 서로 다른 암호화 알고리즘을 제공한다.In addition, the ESP header added to the
상기 도 3에 나타낸 바와 같이, 상기 보안 파라미터 인덱스(Security Parametes Index : SPI)는, 일반적으로 32 비트이며, 송신측의 보안 연계(Security Association : SA)를 식별하기 위해서 소스 IP 주소와 함께 사용되는 임의의 값(또는, 목적지 IP 주소와 ESP를 조합하여 임의의 패킷(또는, 데이터그램)에 대한 보안 연계를 식별하게 해주는 값)이다. 또한, 상기 시퀀스 번호(Sequence Nember : SN)는, 일반적으로 32 비트이며, SA가 설정될 때 송수신측(또는, 송수신측 단말)에서 모두 0으로 설정되며, 재전송 방지 공격(replay attack)을 보호하기 위해서 매 패킷을 전송할 때마다 송신측에 의해 그 값이 1씩 증가한다. 또한, 수신측에서는, 상기 시퀀스 번호를 검사하여 재전송 방지 서비스가 성립한다. 이때, 상기 시퀀스 번호는, 모든 보안 연계를 유지하기 위해서 일정하게 증가하는 카운터 값일 수 있다. 또한, 상기 페이로드 데이터(Payload Data)는, 가변적인 길이를 가지며, 넥스트 헤더 필드(Next Header Field)에서 지정한 상위 계층의 데이터가 기록되는 필드이다. 또한, 상기 패딩(Padding)은, 0 내지 255 옥텍트(octet)의 길이를 가지며, 암호화된 비트가 사용된 알고리즘의 블록 사이즈를 배수가 되도록 만들기 위해서 사용하는 가변 길이 필드이다. 또한, 상기 패딩 길이(Pad Length)는, 상기 패딩에서 사용된 패딩 데이터의 길이를 나타낸다. 또한, 상기 넥스트 헤더(Next Header)는, 일반적으로 8 비트이며, 상기 페이로드 데이터 필드에 포함된 데이터의 형식(또는, 타입)을 식별하기 위한 필드로서, IANA(Internet Assigned Number Authority)에서 지정한 값을 사용한다. 또한, 상기 인증 데이터(Authentication Data)는, ICV(integrity Check Value)로 구성된 가변 길이 데이터 필드이다. As shown in FIG. 3, the Security Parameter Index (SPI) is generally 32 bits, which is used together with the source IP address to identify the security association (SA) of the sender. (Or a combination of the destination IP address and the ESP to identify a security association for any packet (or datagram)). In addition, the sequence number (SN) is generally 32 bits, and is set to 0 at both the transmitting and receiving side (or the transmitting and receiving terminal) when SA is set, and to prevent a replay attack. For each packet transmission, the value is increased by one by the sender. The receiving side checks the sequence number and establishes a retransmission prevention service. In this case, the sequence number may be a counter value that is constantly increasing to maintain all security associations. The payload data has a variable length and is a field in which data of a higher layer designated by a next header field is recorded. In addition, the padding is a variable length field having a length of 0 to 255 octets and used to make the block size of an algorithm in which encrypted bits are used multiples. In addition, the pad length indicates the length of padding data used in the padding. In addition, the next header is generally 8 bits and is a field for identifying the format (or type) of data included in the payload data field, and is a value designated by an Internet Assigned Number Authority (IANA). Use In addition, the authentication data is a variable length data field composed of an integrity check value (ICV).
또한, 상기 게이트웨이 시스템(400)은, IPSec 패킷에 대한 불법적인 재전송 공격에 대한 차단(또는, 방지)을 위해서 슬라이딩 윈도(sliding window)를 이용한 재전송 방지(Anti-replay) 기능을 제공한다.In addition, the
또한, 상기 게이트웨이 시스템(400)은, IPSec 세션별로 슬라이딩 윈도를 제공하며, 슬라이딩 윈도의 슬롯 수는 일반적으로 32개이다. 이때, 상기 게이트웨이 시스템(400)은, 수신 패킷의 시퀀스(또는, 시퀀스 번호)가 미리 저장된 시퀀스보다 큰 경우에는 수신 패킷의 시퀀스와 신규 패킷의 시퀀스의 차이만큼 윈도를 이동하고, 윈도 내의 마지막 슬롯을 마크한 후, 수신 패킷의 시퀀스를 저장한다. 또한, 상기 게이트웨이 시스템(400)은, 상기 수신 패킷의 시퀀스가 상기 미리 저장된 시퀀스보다 작고 윈도 범위를 벗어난 경우, 수신한 패킷을 폐기(또는, 패킷 드랍(packet drop))한다. 또한, 상기 게이트웨이 시스템(400)은, 상기 수신 패킷의 시퀀스가 상기 미리 저장된 시퀀스보다 작고 윈도 범위를 벗어나지 않은 경우, 해당 시퀀스의 슬롯이 마크되어 있는 패킷이면 재전송 공격용 패킷으로 판단하여 수신한 패킷을 폐기하고, 해당 시퀀스의 슬롯이 마크되어 있지 않은 패킷이면 슬롯을 파크하고 복호화(decryption) 기능을 수행한다.In addition, the
또한, 상기 게이트웨이 시스템(400)은, 도 2에 도시한 바와 같이, 복수의 MCU(410), 복수의 FHU(420), 복수의 HDD(430), 복수의 PPU(440)로 구성된다. 도 2에 도시된 게이트웨이 시스템(400)의 구성 요소 모두가 필수 구성 요소인 것은 아니며, 도 2에 도시된 구성 요소보다 많은 구성 요소에 의해 게이트웨이 시스템(400)이 구현될 수도 있고, 그보다 적은 구성 요소에 의해서도 게이트웨이 시스템(400)이 구현될 수도 있다.In addition, as shown in FIG. 2, the
상기 MCU(Main Control Unit)(410)는, 복수로 구성되며, 상기 게이트웨이 시스템(400)의 전반적인 기능을 제어한다.The MCU (Main Control Unit) 410 is configured in plurality, and controls the overall functions of the
또한, 상기 MCU(410)는, 상기 복수의 PPU(440)와 연동한다.In addition, the
또한, 상기 MCU(410)는, 상기 운용 관리 네트워크(200) 또는 상기 AAA 네트워크(300)와 각각 정합한다.In addition, the
상기 FHU(Fabric Hub Unit)(420)는, 복수로 구성되며, 상기 복수의 MCU(410)와 각각 연동한다.The fabric hub unit (FHU) 420 is configured in plural and interworked with the plurality of
상기 HDD(Hard Disk Drive)(430)는, 복수로 구성되며, 상기 복수의 MCU(410)와 각각 연동한다.The hard disk drive (HDD) 430 is configured in plural and interworks with the plurality of
상기 PPU(Packet Processing Unit)(440)는, 복수로 구성되며, 상기 복수의 MCU(410)와 상기 서비스 네트워크(100)와 연동한다.The PPU (Packet Processing Unit) 440 is configured in plural and interworks with the plurality of
또한, 상기 PPU(440)는, 복수의 액티브 PPU(441)와, 하나 이상의 리던던시 PPU(442)로 구성된다.The PPU 440 also includes a plurality of
상기 복수의 액티브 PPU(441) 각각은, 복수의 SA 및, 상기 복수의 SA를 저장하기 위한 SA 데이터베이스(SA database)를 포함한다.Each of the plurality of
또한, 상기 복수의 액티브 PPU(441)는, 송/수신(또는, 인바운드/아웃바운드)되는 다양한 정보/패킷/SA 등을 관리 및 저장한다.In addition, the plurality of
또한, 상기 복수의 액티브 PPU(441)는, 미리 설정된 주기마다(또는, 미리 설정된 시간 간격마다) 각각의 액티브 PPU(441)의 IPSec 정보를 상기 FHU(420)에 포함된 패브릭 인터페이스(Fabric Interface)를 통해 상기 리던던시 PPU(442)로 전송(또는, 전달)한다. 이때, 상기 IPSec 정보는, 아웃바운드의 SA 인덱스(또는, 내부 SA 인덱스(Internal SA Index)), 아웃바운드의 마지막 시퀀스 번호(Last Sequence Number), 인바운드의 시퀀스 번호 및, 인바운드의 시퀀스 마스크 등을 포함한다.The plurality of
또한, 상기 액티브 PPU(441)의 패킷 전송 주기는, 상기 액티브 PPU(441) 당 300K 세션 전송 시 대략 1초이다.In addition, the packet transmission period of the
또한, 상기 복수의 액티브 PPU(441) 중 어느 하나의 액티브 PPU(441)에서 장애가 발생한 경우, 상기 PPU(440)는, 상기 장애가 발생한 액티브 PPU(441)를 대신하여 상기 리던던시 PPU(442)를 통해 상기 장애가 발생한 액티브 PPU(441)의 기능/역할을 수행한다.In addition, when a failure occurs in any of the
상기 리던던시 PPU(442)는, 상기 복수의 액티브 PPU(441)로부터 각각 전송되는 상기 IPSec 정보를 수신한다.The redundancy PPU 442 receives the IPSec information transmitted from the plurality of
또한, 상기 리던던시 PPU(442)는, 상기 복수의 액티브 PPU(441)와 각각 관련된 복수의 SA(예를 들어, 상기 수신된 IPSec 정보 등 포함) 및, 상기 복수의 SA를 저장하기 위한 복수의 SA 데이터베이스를 포함한다. 즉, 상기 리던던시 PPU(442)는, 상기 복수의 액티브 PPU(441)에 각각 대응하는 복수의 SA 데이터베이스를 포함한다.The redundancy PPU 442 may also include a plurality of SAs (eg, the received IPSec information, etc.) associated with the plurality of
또한, 상기 리던던시 PPU(442)는, 상기 복수의 액티브 PPU(441) 중 어느 하나의 액티브 PPU(441)에서 장애가 발생할 때, 상기 장애가 발생한 액티브 PPU(441)와 관련하여 가장 최근에 수신된 IPSec 정보(또는, 상기 장애가 발생한 액티브 PPU(441)와 관련된 최신의 IPSec 정보)를 근거로 시퀀스 정보를 업데이트한다.In addition, the redundancy PPU 442, when a failure occurs in any one of the plurality of
즉, 상기 리던던시 PPU(442)는, 상기 복수의 액티브 PPU(441) 중 어느 하나의 액티브 PPU(441)에서 장애가 발생할 때, 상기 장애가 발생한 액티브 PPU(441)와 관련한 최신의 IPSec 정보에 포함된 상기 아웃바운드의 SA 인덱스를 근거로 상기 장애가 발생한 액티브 PPU(441)와 관련한 최신의 IPSec 정보에 포함된 상기 아웃바운드의 마지막 시퀀스 번호에 미리 설정된 숫자(또는, 번호)를 더하여 새로운 시퀀스 번호를 생성(또는, 시퀀스 정보를 업데이트)한다. 여기서, 상기 미리 설정된 숫자(또는, 통신 환경을 기반으로 연산된 수치를 기준으로 결정된 수)는, 세션당 최대 트래픽과 패킷의 최소 길이와 상기 미리 설정된 주기를 근거로 산출된 숫자이며, 장애가 발생한 액티브 PPU를 대신하여 상기 리던던시 PPU가 해당 기능을 수행할 때, 시퀀스 번호를 0부터 시작함에 따라 재전송 방지 기능에 의해 세션의 연속적인 서비스 기능이 제한되는 것을 방지하기 위해서, 설계자의 설계에 따라 설정되는 숫자이다. 여기서, 1초 동안 하나의 액티브 PPU(441)를 통해 전송될 수 있는 패킷은, 세션당 최대 트래픽(또는, 대역 서비스)(예를 들어, 500Mbps)과 패킷의 최소 길이(예를 들어, 64Byte)를 근거로 산출될 수 있다. 즉, 상기 1초 동안 하나의 액티브 PPU(441)를 통해 전송될 수 있는 패킷은, 976,526개(예를 들어, 500,000,000 / (64*8) = 976,526)이다. 또한, 상기 리던던시 PPU(442)가, 상기 미리 설정된 주기인 3초 간격으로 상기 복수의 액티브 PPU(441)로부터 전달되는 상기 IPSec 정보를 수신할 경우, 상기 복수의 액티브 PPU(441) 중 어느 하나의 액티브 PPU(441)의 장애 발생에 의해 상기 미리 설정된 주기인 3초 동안의 IPSec 정보가 유실될 수 있다. 따라서, 상기 리던던시 PPU(442)는, 시퀀스 번호가 상기 액티브 PPU(441)에서의 시퀀스 번호보다 커야 연속적인 서비스가 가능하며, 상기 미리 설정된 주기 동안 유실될 수 있는 IPSec 정보를 고려하여, 상기 통신 환경을 기반으로 연산된 수치를 기준으로 결정된 수를 설정할 수 있다. 즉, 상기 리던던시 PPU(442)는, 상기 미리 설정된 주기로 상기 IPSec 정보를 수신할 경우, 3초 후 최대 패킷을 계산한 2,929,686(예를 들어, 상기 1초 동안 하나의 액티브 PPU를 통해 전송될 수 있는 패킷 수(976,526) * 3초)보다 큰 8,388,608을 상기 통신 환경을 기반으로 연산된 수치를 기준으로 결정된 수로 설정할 수 있다.That is, the redundancy PPU 442, when a failure occurs in any of the
이와 같이, 상기 통신 환경을 기반으로 연산된 수치를 기준으로 결정된 수는, 통신 환경에 따라 상기 액티브 PPU(441)를 통해 사용되는 시퀀스 번호보다 더 큰 숫자로 설정한다.As such, the number determined based on the numerical value calculated based on the communication environment is set to a larger number than the sequence number used through the
예를 들어, 상기 리던던시 PPU(442)는, 상기 액티브 PPU(441)가 3개이고 각각의 액티브 PPU(441)가 300K 세션의 IPSec 정보(또는, IPSec 세션 정보)를 전송하는 경우, 총 900K 세션의 IPSec 세션 정보를 수신하고, 상기 수신된 900K 세션의 IPSec 세션 정보를 업데이트한다.For example, when the redundancy PPU 442 has three
또한, 상기 리던던시 PPU(442)는, 상기 장애가 발생한 액티브 PPU(441)와 관련하여 상기 업데이트된 시퀀스 정보를 근거로 상기 장애가 발생한 액티브 PPU(441)를 대신하여 액티브 PPU의 기능(또는, 역할)을 수행한다.In addition, the redundancy PPU 442 performs the function (or role) of the active PPU on behalf of the failed
또한, 상기 실시예에서는, 상기 리던던시 PPU(442)가 상기 복수의 액티브 PPU(441) 중에서 어느 하나의 액티브 PPU(441)에 장애가 발생할 때, 상기 장애가 발생한 액티브 PPU(441)와 관련된 IPSec 정보를 근거로 시퀀스 정보를 업데이트한 후, 상기 업데이트된 시퀀스 정보를 근거로 액티브 PPU의 기능을 수행하는 구성에 대해서 설명하고 있으나, 이에 한정되지 않으며, 상기 리던던시 PPU(442)는, 상기 복수의 액티브 PPU(441)로부터 상기 미리 설정된 주기로 각각 전송되는 IPSec 정보를 근거로 시퀀스 정보를 업데이트하고, 상기 복수의 액티브 PPU(441) 중에서 어느 하나의 액티브 PPU(441)에 장애가 발생할 때, 상기 장애가 발생한 액티브 PPU(441)와 관련한 상기 업데이트된 시퀀스 정보를 근거로 액티브 PPU의 기능을 수행하도록 구성할 수도 있다.Further, in the above embodiment, when the redundancy PPU 442 fails in any one of the plurality of
또한, 상기 리던던시 PPU(442)에 의해, 상기 복수의 액티브 PPU(441)로부터 전달되는 상기 IPSec 정보에 대한 업데이트가 정상적으로 수행되지 않은 경우, 상기 복수의 액티브 PPU(441) 중 어느 하나의 액티브 PPU(441)에서 장애가 발생하더라도, 패킷을 수신하는 임의의 단말의 재전송 방지 기능에 의해 정상적인 서비스가 이루어지지 않을 수 있다.In addition, when the update of the IPSec information transmitted from the plurality of
또한, 상기 실시예에서는, 상기 리던던시 PPU(442)가 하나인 경우를 예로 들어 설명하고 있으나, 이에 한정되지 않으며, 상기 리던던시 PPU(442)는 복수로 구성되고, 상기 복수의 리던던시 PPU(442) 각각이, 상기 기재된 리던던시 PPU(442)의 기능을 각각 수행하도록 구성할 수도 있다.In the above embodiment, the case where the redundant PPU 442 is one is described as an example, but the present invention is not limited thereto. The redundant PPU 442 may be configured in plural, and each of the plurality of redundant PPUs 442 may be used. This may be configured to perform the functions of the redundancy PPU 442 described above, respectively.
이와 같이, 복수의 액티브 PPU 중 어느 하나의 액티브 PPU에서 장애 발생 시, 상기 장애가 발생한 액티브 PPU로부터 전송된 최신의 IPSec 정보를 근거로 아웃바운드의 마지막 시퀀스 번호에 통신 환경을 기반으로 연산된 수치를 기준으로 결정된 수를 더하여 새로운 시퀀스 번호로 시퀀스 정보를 업데이트하고, 상기 업데이트된 시퀀스 정보를 근거로 상기 리던던시 PPU를 통해 연속적인 서비스를 제공할 수 있다.As such, when a failure occurs in any one of the plurality of active PPUs, based on the latest IPSec information transmitted from the failed active PPU, the last sequence number of the outbound is calculated based on the communication environment. The sequence information may be updated with a new sequence number by adding the determined number, and a continuous service may be provided through the redundancy PPU based on the updated sequence information.
이하에서는, 본 명세서에 따른 IPSec 세션 중계를 위한 게이트웨이 시스템의 리던던시 제공 방법을 도 1 내지 도 4를 참조하여 상세히 설명한다.Hereinafter, a method of providing redundancy of a gateway system for IPSec session relay according to the present disclosure will be described in detail with reference to FIGS. 1 to 4.
도 4는 본 명세서의 일 실시예에 따른 IPSec 세션 중계를 위한 게이트웨이 시스템의 리던던시 제공 방법을 나타낸 흐름도이다.4 is a flowchart illustrating a method of providing redundancy of a gateway system for IPSec session relay according to an embodiment of the present specification.
먼저, 복수의 PPU(440)에 포함된 복수의 액티브 PPU(441)는, 미리 설정된 주기마다(또는, 미리 설정된 시간 간격마다) 각각의 액티브 PPU(441)의 IPSec 정보를 상기 복수의 PPU(440)에 포함된 리던던시 PPU(442)에 전송한다. 이때, 상기 IPSec 정보는, 아웃바운드의 SA 인덱스(또는, 내부 SA 인덱스) 및, 아웃바운드의 마지막 시퀀스 번호를 포함한다.First, the plurality of
일 예로, 3개의 액티브 PPU(441)는, 액티브 PPU(441)당 300K 세션 전송 시 미리 설정된 3초 주기로 상기 3개의 액티브 PPU(441)에 각각 대응하는 FHU(420)에 각각 포함된 패브릭 인터페이스를 통해, 각각의 액티브 PPU(441)의 IPSec 정보(예를 들어, 아웃바운드의 SA 인덱스 및, 아웃바운드의 마지막 시퀀스 번호 등 포함)를 상기 리던던시 PPU(442)에 전송한다(S410).For example, the three
이후, 상기 리던던시 PPU(442)는, 상기 복수의 액티브 PPU(441)로부터 상기 미리 설정된 주기마다 각각 전송되는 상기 IPSec 정보를 수신한다.Thereafter, the redundancy PPU 442 receives the IPSec information transmitted from each of the plurality of
또한, 상기 리던던시 PPU(442)는, 상기 복수의 액티브 PPU(441)의 장애 발생 여부를 확인한다(S420).In addition, the redundancy PPU 442 checks whether or not the plurality of
상기 확인 결과, 상기 리던던시 PPU(442)는, 상기 복수의 액티브 PPU(441) 중 어느 하나의 액티브 PPU(441)에서 장애가 발생한 경우, 상기 장애 발생 직전 상기 장애가 발생한 액티브 PPU(441)로부터 최근에 전송된 IPSec 정보(또는, 상기 장애가 발생한 액티브 PPU(441)와 관련된 최신의 IPSec 정보)를 근거로 시퀀스 정보를 업데이트한다.As a result of the check, the redundancy PPU 442 is recently transmitted from the failed
즉, 상기 리던던시 PPU(442)는, 상기 복수의 액티브 PPU(441) 중 어느 하나의 액티브 PPU(441)에서 장애가 발생할 때, 상기 장애가 발생한 액티브 PPU(441)로부터 전송된 최신의 IPSec 정보에 포함된 상기 아웃바운드의 SA 인덱스를 근거로(또는, 기준으로) 상기 장애가 발생한 액티브 PPU(441)와 관련된 최신의 IPSec 정보에 포함된 상기 아웃바운드의 마지막 시퀀스 번호에 통신 환경을 기반으로 연산된 수치를 기준으로 결정된 수(또는, 미리 설정된 숫자/번호)를 더하여 새로운 시퀀스 번호를 생성한다(또는, 시퀀스 정보를 업데이트한다). 여기서, 상기 통신 환경을 기반으로 연산된 수치를 기준으로 결정된 수는, 세션당 최대 트래픽과 패킷의 최소 길이와 상기 미리 설정된 주기를 근거로 산출된 숫자이며, 재전송 방지 기능에 의해 세션의 연속적인 서비스 기능이 제한되는 것을 방지하기 위해서, 설계자의 설계에 따라 설정되는 번호이다.That is, the redundancy PPU 442 is included in the latest IPSec information transmitted from the failed
일 예로, 상기 리던던시 PPU(442)는, 상기 복수의 액티브 PPU(441) 중 제1 액티브 PPU(441)에서 장애가 발생할 때, 상기 제1 액티브 PPU(441)로부터 가장 최근에 전송된 IPSec 정보에 포함된 상기 아웃바운드의 SA 인덱스를 근거로 상기 아웃바운드의 마지막 시퀀스 번호(예를 들어, 100)에 상기 통신 환경을 기반으로 연산된 수치를 기준으로 결정된 수(예를 들어, 8,388,608)를 더하여 상기 시퀀스 정보를 업데이트(예를 들어, 8,388,708)한다. 여기서, 1초 동안 하나의 액티브 PPU(441)를 통해 전송될 수 있는 패킷은, 세션당 최대 트래픽(또는, 대역 서비스)(예를 들어, 500Mbps)의 성능과 패킷의 최소 길이(예를 들어, 64Byte)를 근거로 976,526개의 패킷(예를 들어, 500,000,000/(64*8)=976,526)이다. 이때, 상기 리던던시 PPU(442)에서는, 시퀀스 번호가 상기 액티브 PPU(441)에서의 시퀀스 번호보다 커야 연속적인 서비스가 가능하다. 따라서, 상기 통신 환경을 기반으로 연산된 수치를 기준으로 결정된 수는, 상기 리던던시 PPU(442)에서 상기 IPSec 정보를 3초 주기로 수신할 때, 상기 IPSec 정보 수신 시 3초 후 최대 패킷을 계산한 2,929,686(예를 들어, 976,526개 * 3초)보다 큰 8,388,608(=223)을 상기 수신된 마지막 시퀀스 번호에 더하여 시퀀스 정보를 업데이트할 수 있다(S430).For example, the redundancy PPU 442 is included in the IPSec information most recently transmitted from the first
이후, 상기 리던던시 PPU(442)는, 상기 장애가 발생한 액티브 PPU(441)와 관련하여 상기 업데이트된 시퀀스 정보를 근거로 상기 장애가 발생한 액티브 PPU(441)를 대신하여 바로 액티브 PPU의 기능(또는, 역할)을 수행한다(S440).Thereafter, the redundancy PPU 442 directly functions (or serves) the active PPU on behalf of the failed
이와 같이, 상기 리던던시 PPU(442)는, 상기 복수의 액티브 PPU(441) 중 어느 하나의 액티브 PPU(441)에서 장애가 발생할 경우, 시퀀스 번호를 0부터 시작함에 따라 상기 재전송 방지 기능에 의해 패킷 드랍이 발생하여 세션의 연속적인 서비스 기능이 제한되는 것을 방지하기 위해서, 상기 장애가 발생한 액티브 PPU(441)와 관련된 최신의 IPSec 정보(또는, 상기 장애가 발생한 액티브 PPU(441)로부터 가장 최근에 전송된 IPSec 정보)에 포함된 상기 아웃바운드의 마지막 시퀀스 번호에 상기 통신 환경을 기반으로 연산된 수치를 기준으로 결정된 수(또는, 미리 설정된 숫자)를 더하여 새로운 시퀀스 번호를 생성(또는, 시퀀스 번호를 업데이트)하여, 상기 액티브 PPU(441)의 장애 발생 시에도, 상기 생성된 시퀀스 번호를 통해 세션의 연속적인 서비스 기능을 제공할 수 있다.As described above, when a failure occurs in any of the
본 명세서의 실시예는 앞서 설명한 바와 같이, 복수의 액티브 PPU 중 어느 하나의 액티브 PPU에서 장애 발생 시, 상기 장애가 발생한 액티브 PPU로부터 전송된 최신의 IPSec 정보를 근거로 아웃바운드의 마지막 시퀀스 번호에 통신 환경을 기반으로 연산된 수치를 기준으로 결정된 수를 더하여 새로운 시퀀스 번호로 시퀀스 정보를 업데이트하고, 상기 업데이트된 시퀀스 정보를 근거로 상기 리던던시 PPU를 통해 연속적인 서비스를 제공하여, 재전송 방지 기능에 의해 연속적인 서비스가 중단되는 것을 방지하고, 상기 게이트웨이 시스템의 운영 효율을 향상시키며, 하나의 리던던시 PPU를 통해서도 안정적인 서비스 운영을 제공할 수 있다.
As described above, according to the embodiment of the present disclosure, when a failure occurs in one active PPU among a plurality of active PPUs, the communication environment is assigned to the last sequence number of the outbound based on the latest IPSec information transmitted from the failed active PPU. The sequence information is updated with a new sequence number by adding the number determined based on the calculated numerical value, and the continuous service is provided through the redundancy PPU based on the updated sequence information. It is possible to prevent the service from being interrupted, improve the operation efficiency of the gateway system, and provide stable service operation through a single redundant PPU.
전술한 내용은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
The present invention may be embodied in many other specific forms without departing from the spirit or essential characteristics thereof. Therefore, the embodiments disclosed in the present invention are intended to illustrate rather than limit the scope of the present invention, and the scope of the technical idea of the present invention is not limited by these embodiments. The scope of protection of the present invention should be construed according to the following claims, and all technical ideas falling within the scope of the same shall be construed as falling within the scope of the present invention.
10: 데이터 처리 시스템 100: 서비스 네트워크
200: 운용 관리 네트워크 300: AAA 네트워크
400: 게이트웨이 시스템 410: MCU
420: FHU 430: HDD
440: PPU 441: 액티브 PPU
442: 리던던시 PPU10: data processing system 100: service network
200: operation management network 300: AAA network
400: gateway system 410: MCU
420: FHU 430: HDD
440: PPU 441: Active PPU
442: Redundancy PPU
Claims (8)
미리 설정된 주기마다 각각의 IPSec 정보를 전송하는 복수의 액티브 PPU(Packet Processing Unit); 및
상기 복수의 액티브 PPU로부터 각각 전송되는 IPSec 정보를 수신하고, 상기 복수의 액티브 PPU 중 어느 하나의 액티브 PPU에서 장애가 발생할 때, 상기 장애가 발생한 액티브 PPU와 관련한 최신의 IPSec 정보에 포함된 아웃바운드의 SA 인덱스를 근거로 상기 최신의 IPSec 정보에 포함된 아웃바운드의 마지막 시퀀스 번호에 통신 환경을 기반으로 연산된 수치를 기준으로 결정된 수를 더하여 시퀀스 정보를 업데이트하고, 상기 장애가 발생한 액티브 PPU와 관련된 상기 업데이트된 시퀀스 정보를 근거로 상기 장애가 발생한 액티브 PPU를 대신하여 액티브 PPU의 기능을 수행하는 리던던시 PPU;를 포함하는 것을 특징으로 하는 IPSec 세션 중계를 위한 게이트웨이 시스템.
In the gateway system for relaying IPSec session for transmitting and receiving information with a terminal connected to any communication,
A plurality of active packet processing units (PPUs) for transmitting respective IPSec information at predetermined intervals; And
Outbound SA index included in the latest IPSec information related to the active PPU which has failed when receiving IPSec information transmitted from the plurality of active PPUs, and failure occurs in any one of the plurality of active PPUs. Updating the sequence information by adding the number determined based on a numerical value calculated based on a communication environment to the last sequence number of the outbound included in the latest IPSec information, and updating the sequence information associated with the failed active PPU. And a redundant PPU performing a function of an active PPU on behalf of the failed active PPU based on the information.
상기 미리 설정된 주기는,
300K 세션 전송 시, 1초인 것을 특징으로 하는 IPSec 세션 중계를 위한 게이트웨이 시스템.
The method according to claim 1,
The preset period is,
Gateway system for IPSec session relay, characterized in that 1 second when transmitting 300K session.
상기 IPSec 정보는,
아웃바운드의 SA 인덱스 및, 아웃바운드의 마지막 시퀀스 번호를 포함하는 것을 특징으로 하는 IPSec 세션 중계를 위한 게이트웨이 시스템.
The method according to claim 1,
The IPSec information is,
Gateway system for IPSec session relay, comprising the SA index of the outbound, and the last sequence number of the outbound.
상기 통신 환경을 기반으로 연산된 수치를 기준으로 결정된 수는,
재전송 방지(Anti-replay) 기능에 의한 패킷의 폐기(drop)를 방지하기 위해서, 세션당 최대 트래픽, 패킷의 최소 길이 및, 상기 미리 설정된 주기를 근거로 산출되며, 상기 액티브 PPU에서 사용되는 시퀀스 번호보다 더 큰 값인 것을 특징으로 하는 IPSec 세션 중계를 위한 게이트웨이 시스템.
The method according to claim 1,
The number determined based on the value calculated based on the communication environment,
In order to prevent dropping of the packet by the anti-replay function, a sequence number calculated based on the maximum traffic per session, the minimum length of the packet, and the predetermined period, and used in the active PPU. Gateway system for IPSec session relay, characterized in that the larger value.
임의의 리던던시 PPU를 통해, 미리 설정된 주기마다 복수의 액티브 PPU로부터 각각 전송되는 IPSec 정보를 수신하는 단계;
상기 리던던시 PPU를 통해, 상기 복수의 액티브 PPU의 장애 여부를 확인하는 단계;
상기 리던던시 PPU를 통해, 상기 확인 결과, 상기 복수의 액티브 PPU 중 어느 하나의 액티브 PPU에서 장애가 발생할 때, 상기 장애가 발생한 액티브 PPU와 관련한 최신의 IPSec 정보에 포함된 아웃바운드의 SA 인덱스를 근거로 상기 최신의 IPSec 정보에 포함된 아웃바운드의 마지막 시퀀스 번호에 통신 환경을 기반으로 연산된 수치를 기준으로 결정된 수를 더하여 시퀀스 정보를 업데이트하는 단계; 및
상기 리던던시 PPU를 통해, 상기 장애가 발생한 액티브 PPU와 관련된 상기 업데이트된 시퀀스 정보를 근거로 상기 장애가 발생한 액티브 PPU를 대신하여 액티브 PPU의 기능을 수행하는 단계;를 포함하는 것을 특징으로 하는 IPSec 세션 중계를 위한 게이트웨이 시스템의 리던던시 제공 방법.
A method of providing redundancy of a gateway system for relaying IPSec sessions for transmitting and receiving information with an arbitrary communication connected terminal,
Receiving, via any redundancy PPU, IPSec information transmitted from the plurality of active PPUs at predetermined intervals, respectively;
Checking, via the redundancy PPU, whether the plurality of active PPUs have failed;
Through the redundancy PPU, when the failure occurs in any one of the plurality of active PPUs, the latest result is determined based on the outbound SA index included in the latest IPSec information related to the failed active PPU. Updating the sequence information by adding the number determined based on the numerical value calculated based on the communication environment to the last sequence number of the outbound included in the IPSec information of the; And
Performing the function of an active PPU on behalf of the failed active PPU on the basis of the updated sequence information related to the failed active PPU through the redundancy PPU; How to provide redundancy for gateway systems.
상기 미리 설정된 주기는,
300K 세션 전송 시, 1초인 것을 특징으로 하는 IPSec 세션 중계를 위한 게이트웨이 시스템의 리던던시 제공 방법.
The method according to claim 5,
The preset period is,
Redundancy providing method of the gateway system for IPSec session relay, characterized in that 1 second when transmitting 300K session.
상기 IPSec 정보는,
아웃바운드의 SA 인덱스 및, 아웃바운드의 마지막 시퀀스 번호를 포함하는 것을 특징으로 하는 IPSec 세션 중계를 위한 게이트웨이 시스템의 리던던시 제공 방법.
The method according to claim 5,
The IPSec information is,
A method for providing redundancy of a gateway system for IPSec session relay, comprising an outbound SA index and an outbound last sequence number.
상기 통신 환경을 기반으로 연산된 수치를 기준으로 결정된 수는,
재전송 방지 기능에 의한 패킷의 폐기를 방지하기 위해서, 세션당 최대 트래픽, 패킷의 최소 길이 및, 상기 미리 설정된 주기를 근거로 산출되며, 상기 액티브 PPU에서 사용되는 시퀀스 번호보다 더 큰 값인 것을 특징으로 하는 IPSec 세션 중계를 위한 게이트웨이 시스템의 리던던시 제공 방법.
The method according to claim 5,
The number determined based on the value calculated based on the communication environment,
In order to prevent discarding of the packet by the retransmission prevention function, it is calculated based on the maximum traffic per session, the minimum length of the packet, and the predetermined period, and is larger than the sequence number used in the active PPU. A method for providing redundancy of a gateway system for relaying IPSec sessions.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020120065163A KR101189673B1 (en) | 2012-06-18 | 2012-06-18 | Gateway system for ipsec session transmission and redundancy providing method thereof |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020120065163A KR101189673B1 (en) | 2012-06-18 | 2012-06-18 | Gateway system for ipsec session transmission and redundancy providing method thereof |
Publications (1)
Publication Number | Publication Date |
---|---|
KR101189673B1 true KR101189673B1 (en) | 2012-10-10 |
Family
ID=47287733
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020120065163A KR101189673B1 (en) | 2012-06-18 | 2012-06-18 | Gateway system for ipsec session transmission and redundancy providing method thereof |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101189673B1 (en) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2014185638A1 (en) * | 2013-05-15 | 2014-11-20 | 주식회사 엔텔스 | Network system for providing ipsec mobility of terminal between lte network and wlan and packet transmission method for providing ipsec mobility of terminal |
KR101480703B1 (en) * | 2013-05-15 | 2015-01-09 | (주)엔텔스 | NETWORK SYSTEM FOR PROVIDING TERMINAL WITH IPSec MOBILITY BETWEEN LET NETWORK AND WLAN AND PACKET TRANSMITTING METHOD FOR PROVIDING TERMINAL WITH IPSec MOBILITY |
KR101575578B1 (en) | 2013-07-04 | 2015-12-08 | (주)엔텔스 | NETWORK SYSTEM FOR PROVIDING ADDITIONAL SERVICE INFORMATION USING IPSec SECURITY TUNNELING AND TRANSMITTING METHOD OF ADDITIONAL SERVICE INFORMATION USING IPSec SECURITY TUNNELING |
US9455959B1 (en) | 2013-05-31 | 2016-09-27 | Parallel Wireless, Inc. | Method of connecting security gateway to mesh network |
US10959275B2 (en) | 2017-01-06 | 2021-03-23 | Parallel Wireless, Inc. | X2 brokering with aggregation optimization |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100687415B1 (en) | 2005-04-14 | 2007-02-26 | 주식회사 케이티프리텔 | System, method and its recording media for processing IPsec with simplified process |
KR100839941B1 (en) | 2007-01-08 | 2008-06-20 | 성균관대학교산학협력단 | Abnormal ipsec packet control system using ipsec configuration and session data, and method thereof |
-
2012
- 2012-06-18 KR KR1020120065163A patent/KR101189673B1/en active IP Right Grant
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100687415B1 (en) | 2005-04-14 | 2007-02-26 | 주식회사 케이티프리텔 | System, method and its recording media for processing IPsec with simplified process |
KR100839941B1 (en) | 2007-01-08 | 2008-06-20 | 성균관대학교산학협력단 | Abnormal ipsec packet control system using ipsec configuration and session data, and method thereof |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2014185638A1 (en) * | 2013-05-15 | 2014-11-20 | 주식회사 엔텔스 | Network system for providing ipsec mobility of terminal between lte network and wlan and packet transmission method for providing ipsec mobility of terminal |
KR101480703B1 (en) * | 2013-05-15 | 2015-01-09 | (주)엔텔스 | NETWORK SYSTEM FOR PROVIDING TERMINAL WITH IPSec MOBILITY BETWEEN LET NETWORK AND WLAN AND PACKET TRANSMITTING METHOD FOR PROVIDING TERMINAL WITH IPSec MOBILITY |
US9455959B1 (en) | 2013-05-31 | 2016-09-27 | Parallel Wireless, Inc. | Method of connecting security gateway to mesh network |
KR101575578B1 (en) | 2013-07-04 | 2015-12-08 | (주)엔텔스 | NETWORK SYSTEM FOR PROVIDING ADDITIONAL SERVICE INFORMATION USING IPSec SECURITY TUNNELING AND TRANSMITTING METHOD OF ADDITIONAL SERVICE INFORMATION USING IPSec SECURITY TUNNELING |
US10959275B2 (en) | 2017-01-06 | 2021-03-23 | Parallel Wireless, Inc. | X2 brokering with aggregation optimization |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9838362B2 (en) | Method and system for sending a message through a secure connection | |
EP2777217B1 (en) | Protocol for layer two multiple network links tunnelling | |
CN105376737B (en) | Machine-to-machine cellular communication security | |
US9832175B2 (en) | Group member recovery techniques | |
US11637815B1 (en) | Systems and methods for encrypting data in transit | |
KR101189673B1 (en) | Gateway system for ipsec session transmission and redundancy providing method thereof | |
US11418434B2 (en) | Securing MPLS network traffic | |
Liyanage et al. | Secured VPN models for LTE backhaul networks | |
Dhall et al. | Implementation of IPSec protocol | |
Moreira et al. | Security mechanisms to protect IEEE 1588 synchronization: State of the art and trends | |
EP2988540A1 (en) | Machine-to-machine cellular communication security and integrity | |
US20050063381A1 (en) | Hardware acceleration for unified IPSec and L2TP with IPSec processing in a device that integrates wired and wireless LAN, L2 and L3 switching functionality | |
CN115733683A (en) | Method for realizing Ethernet link self-organizing encryption tunnel by adopting quantum key distribution | |
JP2023531034A (en) | Service transmission method, device, network equipment and storage medium | |
EP2988538A1 (en) | Machine-to-machine cellular communication security for authentication and key agreement using ggsn | |
CN111866865A (en) | Data transmission method, wireless private network establishment method and system | |
JP6075871B2 (en) | Network system, communication control method, communication control apparatus, and communication control program | |
US11750581B1 (en) | Secure communication network | |
EP3821645B1 (en) | Technique for providing reliable wireless communication | |
Lázaro Arrotegui et al. | MACsec Layer 2 Security in HSR Rings in Substation Automation Systems | |
Sokol et al. | Cryptographic protocols' performance and network layer security of RSMAD | |
CN115834090A (en) | Communication method and device | |
WEERASINGHE | SECURE TUNNELS IN 4G LTE NETWORKS | |
Cano et al. | Experimental Tests on SCTP over IPSec | |
Cano Baños et al. | Experimental Tests on SCTP over IPSec |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
A302 | Request for accelerated examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20151006 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20161005 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20171012 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20191004 Year of fee payment: 8 |