KR101189673B1 - Gateway system for ipsec session transmission and redundancy providing method thereof - Google Patents

Gateway system for ipsec session transmission and redundancy providing method thereof Download PDF

Info

Publication number
KR101189673B1
KR101189673B1 KR1020120065163A KR20120065163A KR101189673B1 KR 101189673 B1 KR101189673 B1 KR 101189673B1 KR 1020120065163 A KR1020120065163 A KR 1020120065163A KR 20120065163 A KR20120065163 A KR 20120065163A KR 101189673 B1 KR101189673 B1 KR 101189673B1
Authority
KR
South Korea
Prior art keywords
ppu
active
ipsec
redundancy
information
Prior art date
Application number
KR1020120065163A
Other languages
Korean (ko)
Inventor
황인철
이완철
이경태
최은종
Original Assignee
주식회사 에스엠이씨
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 에스엠이씨 filed Critical 주식회사 에스엠이씨
Priority to KR1020120065163A priority Critical patent/KR101189673B1/en
Application granted granted Critical
Publication of KR101189673B1 publication Critical patent/KR101189673B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0654Management of faults, events, alarms or notifications using network fault recovery
    • H04L41/0659Management of faults, events, alarms or notifications using network fault recovery by isolating or reconfiguring faulty entities
    • H04L41/0661Management of faults, events, alarms or notifications using network fault recovery by isolating or reconfiguring faulty entities by reconfiguring faulty entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0813Configuration setting characterised by the conditions triggering a change of settings
    • H04L41/082Configuration setting characterised by the conditions triggering a change of settings the condition being updates or upgrades of network functionality
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0485Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up

Abstract

PURPOSE: A gateway system and a redundancy supplying method thereof are provided to prevent a continuous service from being stopped by a retransmission preventing function. CONSTITUTION: A redundancy PPU(Packet Processing Unit)(442) receives IPSec information from a plurality of active PPUs(441). The number of redundancy PPUs is added to a final sequence number of an outbound included in IPSec information when there is an error in one active PPU. The redundancy PPU performs an active PPU function based on the updated sequence information related to the active PPU. [Reference numerals] (441) Active PPU; (442) Redundancy PPU

Description

인터넷 보안 프로토콜 세션 중계를 위한 게이트웨이 시스템 및 그의 리던던시 제공 방법{Gateway system for IPSec session transmission and redundancy providing method thereof}Gateway system for Internet security protocol session relay and its redundancy providing method

본 명세서는 IPSec 세션 중계를 위한 게이트웨이 시스템 및 그의 리던던시 제공 방법에 관한 것으로, 더욱 상세히는 리던던시 패킷 처리 유닛(PPU)에서 미리 설정된 주기로 복수의 액티브 패킷 처리 유닛으로부터 전달되는 IPSec 정보를 수신하고, 상기 복수의 액티브 패킷 처리 유닛 중 어느 하나(또는, 적어도 하나)의 액티브 패킷 처리 유닛에 장애가 발생할 때, 상기 리던던시 패킷 처리 유닛에서 상기 장애가 발생한 액티브 패킷 처리 유닛과 관련하여 가장 최근에 수신된 IPSec 정보의 아웃바운드의 SA 인덱스를 기준으로 상기 수신된 IPSec 정보의 아웃바운드의 마지막 시퀀스 번호를 미리 설정된 값만큼 증가시켜 시퀀스 정보를 업데이트하고, 상기 업데이트된 시퀀스 정보를 근거로 상기 리던던시 패킷 처리 유닛이 바로 액티브 패킷 처리 유닛으로 동작하여, 연속적인 서비스를 제공할 수 있는 IPSec 세션 중계를 위한 게이트웨이 시스템 및 그의 리던던시 제공 방법에 관한 것이다.
The present specification relates to a gateway system for IPSec session relay and a method of providing redundancy thereof, and more particularly, to receive IPSec information transmitted from a plurality of active packet processing units at a predetermined period in a redundant packet processing unit (PPU), When a failure occurs in any one (or at least one) active packet processing unit of the active packet processing unit, the redundancy packet processing unit outbound the most recently received IPSec information with respect to the failed active packet processing unit. Update the sequence information by increasing the last sequence number of the outbound of the received IPSec information by a preset value based on the SA index of the second index; and based on the updated sequence information, the redundancy packet processing unit is an active packet processing unit. To operate , Gateway system for the IPSec session relay that can provide continuous service and relates to a method of providing redundancy.

일반적으로, IPSec(Internet Protocol Security Protocol : 인터넷 보안 프로토콜)은, 네트워크나 네트워크 통신의 패킷 처리 계층에서의 보안을 위한 프로토콜로서, 가상 사설망(Virtual Private Network : VPN)을 통하여 송수신되는 데이터를 공중망 사용자들로부터 보호하기 위해 이용되는 프로토콜이다.In general, the Internet Protocol Security Protocol (IPSec) is a protocol for security at a packet processing layer of a network or network communication, and transmits and receives data transmitted and received through a virtual private network (VPN) to public network users. The protocol used to protect against

또한, 이러한 상기 IPSec은, 데이터 송신자의 인증을 허용하는 인증 헤더(Authentication Header : AH)와, 송신자의 인증 및 데이터 암호화를 함께 지원하는 보안 페이로드 캡슐화(Encapsulation Security Payload : ESP, 이하 'ESP'라 함) 등 두 종류의 보안 서비스를 제공한다. 이때, 상기 각 서비스에 관련된 정보는, IP 패킷 헤더 뒤에 별도의 헤더로 삽입된다.In addition, the IPSec is referred to as an Authentication Header (AH) that allows authentication of a data sender, and an Encapsulation Security Payload (ESP) which supports both the sender's authentication and data encryption. It provides two types of security services. At this time, the information related to each service is inserted as a separate header after the IP packet header.

상기 ESP 패킷 형태의 IPSec 세션 중계를 위한 게이트웨이 시스템은, 복수의 액티브(active) 패킷 처리 유닛(Packet Processing Unit : PPU, 이하 'PPU'라 함)을 포함하며, 재전송 방지(Anti-replay)를 위해서 하나의 리던던시(redundancy) 패킷 처리 유닛을 구비한다.The gateway system for IPSec session relay in the form of an ESP packet includes a plurality of active packet processing units (PPUs, hereinafter referred to as PPUs), for anti-replay. One redundancy packet processing unit is provided.

이러한, 상기 하나의 리던던시 PPU는, 상기 재전송 방지를 위해서, 상기 복수의 액티브 PPU로부터 실시간으로 전달되는 임의의 패킷과 관련된 정보를 실시간으로 수신 및 처리하기 위해서 대용량의 저장 공간을 확보해야하며, 상기 복수의 액티브 PPU와의 부하 증가에 따른 처리 속도를 개선해야하는 문제점이 있다.In order to prevent the retransmission, the one redundancy PPU must secure a large storage space in order to receive and process information related to any packet transmitted from the plurality of active PPUs in real time. There is a problem that the processing speed according to the load increase with the active PPU of the need to be improved.

또한, 상기 하나의 리던던시 PPU는, 상기 복수의 액티브 PPU와 상기 하나의 리던던시 PPU 간에 상기 패킷과 관련된 정보를 주기적으로 송/수신하는 경우, 임의의 액티브 PPU에서 장애 발생 시, 장애가 발생한 시간 동안 패킷과 관련된 정보를 수신하지 못함에 따라 동기화가 이루어지지 않아, 연속적인 서비스를 제공할 수 없는 문제점이 있다.
Further, when one redundant PPU periodically transmits / receives information related to the packet between the plurality of active PPUs and the one redundancy PPU, when a failure occurs in any active PPU, the one redundant PPU and There is a problem in that synchronization cannot be performed because the related information is not received, and thus a continuous service cannot be provided.

한국 특허 출원 번호 제10-2005-0031178호Korean Patent Application No. 10-2005-0031178

본 명세서의 목적은, 복수의 액티브 PPU로부터 주기적으로 전송되는 IPSec 정보를 근거로 아웃바운드의 마지막 시퀀스 번호에 미리 설정된 수를 더하여 새로운 시퀀스 번호로 시퀀스 정보를 업데이트하는 IPSec 세션 중계를 위한 게이트웨이 시스템 및 그의 리던던시 제공 방법을 제공하는 데 있다.An object of the present specification is a gateway system for IPSec session relay that updates sequence information with a new sequence number by adding a preset number to the last sequence number of outbound based on IPSec information periodically transmitted from a plurality of active PPUs, and It is to provide a method of providing redundancy.

본 명세서의 다른 목적은, 데이터 서비스망에서 단말 장치 또는 데이터 집중화 장비와 연동하여 IPSec을 사용하는 암호화된 데이터 송수신을 통해 사용자 데이터에 대한 보안 기능을 제공하는 중에 IPSec을 처리하는 임의의 액티브 PPU에 장애 발생 시, 장애가 발생한 액티브 PPU와 관련된 IPSec 정보를 근거로 시퀀스 정보를 업데이트하고, 상기 업데이트된 시퀀스 정보를 근거로 상기 리던던시 PPU를 통해 연속적인 서비스를 제공하는 IPSec 세션 중계를 위한 게이트웨이 시스템 및 그의 리던던시 제공 방법을 제공하는 데 있다.
Another object of the present specification is to troubleshoot any active PPU processing IPSec while providing a security function for user data through encrypted data transmission and reception using IPSec in connection with a terminal device or a data centralization equipment in a data service network. Upon occurrence, a gateway system for relaying an IPSec session for providing continuous service through the redundancy PPU based on IPSec information related to a failed active PPU and providing a redundancy service and redundancy thereof based on the updated sequence information To provide a way.

본 명세서의 실시예에 따른 IPSec 세션 중계를 위한 게이트웨이 시스템은, 임의의 통신 연결된 단말기와 정보를 송수신하는 IPSec 세션 중계를 위한 게이트웨이 시스템에 있어서, 미리 설정된 주기마다 각각의 IPSec 정보를 전송하는 복수의 액티브 PPU(Packet Processing Unit); 및 상기 복수의 액티브 PPU로부터 각각 전송되는 IPSec 정보를 수신하고, 상기 복수의 액티브 PPU 중 어느 하나의 액티브 PPU에서 장애가 발생할 때, 상기 장애가 발생한 액티브 PPU와 관련한 최신의 IPSec 정보에 포함된 아웃바운드의 SA 인덱스를 근거로 상기 최신의 IPSec 정보에 포함된 아웃바운드의 마지막 시퀀스 번호에 통신 환경을 기반으로 연산된 수치를 기준으로 결정된 수를 더하여 시퀀스 정보를 업데이트하고, 상기 장애가 발생한 액티브 PPU와 관련된 상기 업데이트된 시퀀스 정보를 근거로 상기 장애가 발생한 액티브 PPU를 대신하여 액티브 PPU의 기능을 수행하는 리던던시 PPU;를 포함할 수 있다.In the gateway system for IPSec session relay according to an embodiment of the present disclosure, in the gateway system for IPSec session relay that transmits and receives information to and from any communication-connected terminal, a plurality of actives transmitting respective IPSec information at predetermined intervals Packet Processing Unit (PPU); And receiving outgoing IPSec information from the plurality of active PPUs, and when a failure occurs in any one of the plurality of active PPUs, an outbound SA included in the latest IPSec information associated with the failed active PPU. Update the sequence information by adding a number determined based on a numerical value calculated based on a communication environment to the last sequence number of the outbound included in the latest IPSec information based on an index, and updating the sequence information associated with the failed active PPU. And a redundancy PPU performing a function of an active PPU instead of the failed active PPU based on sequence information.

본 명세서와 관련된 일 예로서, 상기 미리 설정된 주기는, 300K 세션 전송 시, 1초일 수 있다.As an example related to the present specification, the preset period may be 1 second when transmitting a 300K session.

본 명세서와 관련된 일 예로서, 상기 IPSec 정보는, 아웃바운드의 SA 인덱스 및, 아웃바운드의 마지막 시퀀스 번호를 포함할 수 있다.As an example related to the present specification, the IPSec information may include an outbound SA index and a last sequence number of outbound.

본 명세서와 관련된 일 예로서, 상기 통신 환경을 기반으로 연산된 수치를 기준으로 결정된 수는, 재전송 방지(Anti-replay) 기능에 의한 패킷의 폐기(drop)를 방지하기 위해서, 세션당 최대 트래픽, 패킷의 최소 길이 및, 상기 미리 설정된 주기를 근거로 산출되며, 상기 액티브 PPU에서 사용되는 시퀀스 번호보다 더 큰 값일 수 있다.As an example related to the present specification, the number determined based on a value calculated based on the communication environment may include a maximum traffic per session, in order to prevent dropping of a packet by an anti-replay function. It is calculated based on the minimum length of the packet and the predetermined period, and may be greater than the sequence number used in the active PPU.

본 명세서의 실시예에 따른 IPSec 세션 중계를 위한 게이트웨이 시스템의 리던던시 제공 방법은, 임의의 통신 연결된 단말기와 정보를 송수신하는 IPSec 세션 중계를 위한 게이트웨이 시스템의 리던던시 제공 방법에 있어서, 임의의 리던던시 PPU를 통해, 미리 설정된 주기마다 복수의 액티브 PPU로부터 각각 전송되는 IPSec 정보를 수신하는 단계; 상기 리던던시 PPU를 통해, 상기 복수의 액티브 PPU의 장애 여부를 확인하는 단계; 상기 리던던시 PPU를 통해, 상기 확인 결과, 상기 복수의 액티브 PPU 중 어느 하나의 액티브 PPU에서 장애가 발생할 때, 상기 장애가 발생한 액티브 PPU와 관련한 최신의 IPSec 정보에 포함된 아웃바운드의 SA 인덱스를 근거로 상기 최신의 IPSec 정보에 포함된 아웃바운드의 마지막 시퀀스 번호에 통신 환경을 기반으로 연산된 수치를 기준으로 결정된 수를 더하여 시퀀스 정보를 업데이트하는 단계; 및 상기 리던던시 PPU를 통해, 상기 장애가 발생한 액티브 PPU와 관련된 상기 업데이트된 시퀀스 정보를 근거로 상기 장애가 발생한 액티브 PPU를 대신하여 액티브 PPU의 기능을 수행하는 단계;를 포함할 수 있다.
In the method of providing redundancy of the gateway system for IPSec session relay according to the embodiment of the present specification, in the method of providing redundancy of the gateway system for IPSec session relay, which transmits and receives information to and from any communication-connected terminal, Receiving IPSec information transmitted from the plurality of active PPUs at predetermined intervals, respectively; Checking, via the redundancy PPU, whether the plurality of active PPUs have failed; Through the redundancy PPU, when the failure occurs in any one of the plurality of active PPUs, the latest result is determined based on the outbound SA index included in the latest IPSec information related to the failed active PPU. Updating the sequence information by adding the number determined based on the numerical value calculated based on the communication environment to the last sequence number of the outbound included in the IPSec information of the; And performing a function of an active PPU on behalf of the failed active PPU based on the updated sequence information related to the failed active PPU through the redundancy PPU.

본 명세서의 실시예에 따른 IPSec 세션 중계를 위한 게이트웨이 시스템 및 그의 리던던시 제공 방법은, 복수의 액티브 PPU 중 어느 하나의 액티브 PPU에서 장애 발생 시, 상기 장애가 발생한 액티브 PPU로부터 전송된 최신의 IPSec 정보를 근거로 아웃바운드의 마지막 시퀀스 번호에 통신 환경을 기반으로 연산된 수치를 기준으로 결정된 수를 더하여 새로운 시퀀스 번호로 시퀀스 정보를 업데이트하고, 상기 업데이트된 시퀀스 정보를 근거로 상기 리던던시 PPU를 통해 연속적인 서비스를 제공함으로써, 재전송 방지 기능에 의해 연속적인 서비스가 중단되는 것을 방지하고, 상기 게이트웨이 시스템의 운영 효율을 향상시키며, 하나의 리던던시 PPU를 통해서도 안정적인 서비스 운영을 제공할 수 있다.
A gateway system for IPSec session relay and a method of providing redundancy thereof according to an embodiment of the present specification are based on the latest IPSec information transmitted from an active PPU having a failure when a failure occurs in any one of a plurality of active PPUs. The sequence information is updated with a new sequence number by adding the number determined based on the calculated value based on the communication environment to the last sequence number of the outbound, and a continuous service is performed through the redundancy PPU based on the updated sequence information. By providing a retransmission prevention function, it is possible to prevent continuous service interruption, improve the operational efficiency of the gateway system, and provide stable service operation through a single redundant PPU.

도 1은 본 명세서의 실시예에 따른 게이트웨이 시스템이 포함된 데이터 처리 시스템의 구성을 나타낸 블록도이다.
도 2는 본 명세서의 일 실시예에 따른 게이트웨이 시스템의 구성을 나타낸 블록도이다.
도 3은 본 명세서의 일 실시예에 따른 ESP 헤더의 포맷을 나타낸 도이다.
도 4는 본 명세서의 일 실시예에 따른 IPSec 세션 중계를 위한 게이트웨이 시스템의 리던던시 제공 방법을 나타낸 흐름도이다.1 is a block diagram illustrating a configuration of a data processing system including a gateway system according to an exemplary embodiment of the present specification.
2 is a block diagram illustrating a configuration of a gateway system according to an embodiment of the present specification.
3 is a diagram illustrating a format of an ESP header according to an embodiment of the present specification.
4 is a flowchart illustrating a method of providing redundancy of a gateway system for IPSec session relay according to an embodiment of the present specification.

본 명세서에서 사용되는 기술적 용어는 단지 특정한 실시 예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아님을 유의해야 한다. 또한, 본 명세서에서 사용되는 기술적 용어는 본 명세서에서 특별히 다른 의미로 정의되지 않는 한, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 의미로 해석되어야 하며, 과도하게 포괄적인 의미로 해석되거나, 과도하게 축소된 의미로 해석되지 않아야 한다. 또한, 본 명세서에서 사용되는 기술적인 용어가 본 발명의 사상을 정확하게 표현하지 못하는 잘못된 기술적 용어일 때에는, 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 올바르게 이해할 수 있는 기술적 용어로 대체되어 이해되어야 할 것이다. 또한, 본 발명에서 사용되는 일반적인 용어는 사전에 정의되어 있는 바에 따라, 또는 전후 문맥상에 따라 해석되어야 하며, 과도하게 축소된 의미로 해석되지 않아야 한다.It is to be noted that the technical terms used herein are merely used to describe particular embodiments, and are not intended to limit the present invention. It is also to be understood that the technical terms used herein are to be interpreted in a sense generally understood by a person skilled in the art to which the present invention belongs, Should not be construed to mean, or be interpreted in an excessively reduced sense. In addition, when the technical terms used herein are incorrect technical terms that do not accurately express the spirit of the present invention, they should be replaced with technical terms that can be understood correctly by those skilled in the art. will be. In addition, the general terms used in the present invention should be interpreted according to a predefined or prior context, and should not be construed as being excessively reduced.

또한, 본 명세서에서 사용되는 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "구성된다" 또는 "포함한다" 등의 용어는 명세서상에 기재된 여러 구성 요소들, 또는 여러 단계를 반드시 모두 포함하는 것으로 해석되지 않아야 하며, 그 중 일부 구성 요소들 또는 일부 단계들은 포함되지 않을 수도 있고, 또는 추가적인 구성 요소 또는 단계들을 더 포함할 수 있는 것으로 해석되어야 한다.Also, the singular forms "as used herein include plural referents unless the context clearly dictates otherwise. In the present application, the term "comprising" or "comprising" or the like should not be construed as necessarily including the various elements or steps described in the specification, Or may be further comprised of additional components or steps.

또한, 본 명세서에서 사용되는 제1, 제2 등과 같이 서수를 포함하는 용어는 다양한 구성 요소들을 설명하는데 사용될 수 있지만, 상기 구성 요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성 요소를 다른 구성 요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성 요소는 제2 구성 요소로 명명될 수 있고, 유사하게 제2 구성 요소도 제1 구성 요소로 명명될 수 있다.Furthermore, terms including ordinals such as first, second, etc. used in this specification can be used to describe various elements, but the elements should not be limited by the terms. The terms are used only for the purpose of distinguishing one component from another. For example, without departing from the scope of the present invention, the first component may be referred to as a second component, and similarly, the second component may also be referred to as a first component.

이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 실시 예를 상세히 설명하되, 도면 부호에 관계없이 동일하거나 유사한 구성 요소는 동일한 참조 번호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings, wherein like reference numerals refer to like or similar elements throughout the several views, and redundant description thereof will be omitted.

또한, 본 발명을 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다. 또한, 첨부된 도면은 본 발명의 사상을 쉽게 이해할 수 있도록 하기 위한 것일 뿐, 첨부된 도면에 의해 본 발명의 사상이 제한되는 것으로 해석되어서는 아니 됨을 유의해야 한다.In the following description, well-known functions or constructions are not described in detail since they would obscure the invention in unnecessary detail. It is to be noted that the accompanying drawings are only for the purpose of facilitating understanding of the present invention, and should not be construed as limiting the scope of the present invention with reference to the accompanying drawings.

도 1은 본 명세서의 실시예에 따른 게이트웨이 시스템이 포함된 데이터 처리 시스템의 구성을 나타낸 블록도이다.1 is a block diagram illustrating a configuration of a data processing system including a gateway system according to an exemplary embodiment of the present specification.

도 1에 도시한 바와 같이, 데이터 처리 시스템(10)은, 서비스 네트워크(100), 운용 관리 네트워크(200), AAA 네트워크(300) 및, 게이트웨이 시스템(400)으로 구성된다. 도 1에 도시된 데이터 처리 시스템(10)의 구성 요소 모두가 필수 구성 요소인 것은 아니며, 도 1에 도시된 구성 요소보다 많은 구성 요소에 의해 데이터 처리 시스템(10)이 구현될 수도 있고, 그보다 적은 구성 요소에 의해서도 데이터 처리 시스템(10)이 구현될 수도 있다. 여기서, 상기 데이터 처리 시스템(10)은, ATCA(Advanced Telecom Computing Architecture) 표준 규격의 시스템일 수 있다.As shown in FIG. 1, the data processing system 10 includes a service network 100, an operation management network 200, an AAA network 300, and a gateway system 400. Not all components of the data processing system 10 shown in FIG. 1 are essential components, and the data processing system 10 may be implemented by more components than those shown in FIG. The data processing system 10 may also be implemented by components. Here, the data processing system 10 may be a system of the Advanced Telecom Computing Architecture (ATCA) standard.

상기 서비스 네트워크(100)는, IP 네트워크, IKE(Internet Key Exchange) 또는 IPSec(IP security protocol) 네트워크 등과 같이 다양한 네트워크(또는, 이동 노드)에 대한 서비스 기능을 제공한다.The service network 100 provides service functions for various networks (or mobile nodes), such as an IP network, an Internet Key Exchange (IKE), or an IP security protocol (IPSec) network.

상기 운용 관리 네트워크(200)는, 임의의 통신망, 상기 통신망을 통해 처리되는 데이터(또는, 정보) 및, 상기 통신망과 연결된 구성 요소들에 대한 운용 및 관리 기능을 제공한다.The operation management network 200 provides an operation and management function for any communication network, data (or information) processed through the communication network, and components connected to the communication network.

상기 AAA(Authentication, Authorization, Accounting) 네트워크(300)는, 네트워크 서비스의 인증, 권한 검증 및, 과금과 관련된 기능을 제공한다.The AAA (Authentication, Authorization, Accounting) network 300 provides functions related to authentication, authorization verification, and charging of network services.

상기 게이트웨이 시스템(또는, SPG(Security Packet Gateway) 시스템)(400)은, 상기 서비스 네트워크(100), 상기 운용 관리 네트워크(200) 및, 상기 AAA 네트워크(300)와 연동(또는, 정합)한다.The gateway system (or security packet gateway system) 400 interworks with (or matches with) the service network 100, the operation management network 200, and the AAA network 300.

즉, 상기 게이트웨이 시스템(400)은, 상기 게이트웨이 시스템(400)에 포함된 임의의 PPU(Packet Processing Unit)를 통해 상기 서비스 네트워크(100)와 정합하고, 상기 게이트웨이 시스템(400)에 포함된 임의의 MCU(Main Control Unit)를 통해 상기 운용 관리 네트워크(200) 또는 상기 AAA 네트워크(300)와 각각 정합한다. 이때, 상기 MCU는, 단일 인터페이스를 통해 상기 운용 관리 네트워크(200) 또는 상기 AAA 네트워크(300)와 각각 정합하며, 두 개의 네트워크가 분리되어 있는 경우, 각각의 네트워크를 VLAN(Virtual LAN)을 통해 논리적으로 분리한다.That is, the gateway system 400 matches the service network 100 through any packet processing unit (PPU) included in the gateway system 400, and any gateway included in the gateway system 400. Match with the operation management network 200 or the AAA network 300 through a MCU (Main Control Unit). In this case, the MCU is matched with the operation management network 200 or the AAA network 300 through a single interface, respectively, if the two networks are separated, each logical network through a VLAN (Virtual LAN) To separate.

또한, 상기 게이트웨이 시스템(400)은, 3GPP(3rd Generation Partnership Project) 또는 LTE(Long Term Evolution) 네트워크 상에서 WLAN(Wireless LAN) 서비스를 위한 PDG(Packet Data Gateway) 시스템 또는 ePDG(enhanced Packet Data Gateway) 시스템, 3GPP 또는 LTE 네트워크 상에서 암호화 게이트웨이 역할을 수행하는 SEG 시스템 또는 SeGW(Security Gateway) 시스템, 3GPP2 네트워크 상에서 WLAN 서비스를 위한 PDIF(Packet Data Interworking Function) 시스템 및, 일반 대용량 IKE 또는 IPSec 기반 보안 게이트웨이 등에 적용할 수 있다.In addition, the gateway system 400 may be a packet data gateway (PDG) system or an enhanced packet data gateway (ePDG) system for a wireless LAN (WLAN) service on a 3rd generation partnership project (3GPP) or long term evolution (LTE) network. SEG system or SeGW (Security Gateway) system that acts as a cryptographic gateway on 3GPP or LTE network, Packet Data Interworking Function (PDIF) system for WLAN service on 3GPP2 network, and general high-capacity IKE or IPSec-based security gateway Can be.

또한, 상기 게이트웨이 시스템(400)은, 인바운드(inbound) 또는 아웃바운드(outbound) 상태에서의 패킷에 대한 보안 기능(예를 들어, 암호화, 복호화 등 포함)을 수행한다.In addition, the gateway system 400 performs a security function (for example, encryption, decryption, etc.) for the packet in the inbound or outbound state.

또한, 상기 게이트웨이 시스템(400)은, 터널 모드(tunnel mode) ESP(Encapsulating Security Protocol/Payload) 또는 전송 모드(transport mode) ESP 또는, UDP 캡슐화된(encapsulated) ESP 패킷 형식을 지원한다. 여기서, 상기 터널 모드 ESP는, 사용자의 데이터 및 IP 헤더 모두를 암호화하며, 암호화 정보를 포함한 ESP 헤더 및 송수신 노드 간의 IP 정보를 포함한 IP 헤더를 추가한다. 또한, UDP 캡슐화된 ESP 터널 모드 패킷인 경우에는, NAT(Network Address Translation) 장비에서의 포트 정보 변환을 위한 UDP 헤더 정보를 추가한다. 또한, 상기 전송 모드 ESP는, IP 헤더를 제외한 사용자의 데이터를 암호화하며, 암호화 정보를 포함한 ESP 헤더를 추가한다. 또한, UDP 캡슐화된 ESP 전송 모드 패킷인 경우에는, NAT 장비에서의 포트 정보 변환을 위한 UDP 헤더 정보를 추가한다.In addition, the gateway system 400 supports a tunnel mode Encapsulating Security Protocol / Payload (ESP) or a transport mode ESP or a UDP encapsulated ESP packet format. Here, the tunnel mode ESP encrypts both the user's data and the IP header, and adds the ESP header including the encryption information and the IP header including the IP information between the transmitting and receiving nodes. In addition, in case of UDP encapsulated ESP tunnel mode packet, UDP header information for port information conversion in a NAT (Network Address Translation) device is added. In addition, the transmission mode ESP encrypts user data except for the IP header, and adds an ESP header including encryption information. In the case of the UDP encapsulated ESP transmission mode packet, UDP header information for port information conversion in the NAT device is added.

또한, 암호화를 위해서 상기 게이트웨이 시스템(400)에 추가되는 ESP 헤더는, 도 3에 도시한 바와 같은 형식을 갖는다. 여기서, 상기 ESP(또는, 상기 ESP 헤더)는, 패킷의 암호화 서비스를 제공하며, 연결된 상대 단말에 따라 서로 다른 암호화 알고리즘을 제공한다.In addition, the ESP header added to the gateway system 400 for encryption has a format as shown in FIG. Here, the ESP (or the ESP header) provides an encryption service of a packet and provides different encryption algorithms according to connected counterpart terminals.

상기 도 3에 나타낸 바와 같이, 상기 보안 파라미터 인덱스(Security Parametes Index : SPI)는, 일반적으로 32 비트이며, 송신측의 보안 연계(Security Association : SA)를 식별하기 위해서 소스 IP 주소와 함께 사용되는 임의의 값(또는, 목적지 IP 주소와 ESP를 조합하여 임의의 패킷(또는, 데이터그램)에 대한 보안 연계를 식별하게 해주는 값)이다. 또한, 상기 시퀀스 번호(Sequence Nember : SN)는, 일반적으로 32 비트이며, SA가 설정될 때 송수신측(또는, 송수신측 단말)에서 모두 0으로 설정되며, 재전송 방지 공격(replay attack)을 보호하기 위해서 매 패킷을 전송할 때마다 송신측에 의해 그 값이 1씩 증가한다. 또한, 수신측에서는, 상기 시퀀스 번호를 검사하여 재전송 방지 서비스가 성립한다. 이때, 상기 시퀀스 번호는, 모든 보안 연계를 유지하기 위해서 일정하게 증가하는 카운터 값일 수 있다. 또한, 상기 페이로드 데이터(Payload Data)는, 가변적인 길이를 가지며, 넥스트 헤더 필드(Next Header Field)에서 지정한 상위 계층의 데이터가 기록되는 필드이다. 또한, 상기 패딩(Padding)은, 0 내지 255 옥텍트(octet)의 길이를 가지며, 암호화된 비트가 사용된 알고리즘의 블록 사이즈를 배수가 되도록 만들기 위해서 사용하는 가변 길이 필드이다. 또한, 상기 패딩 길이(Pad Length)는, 상기 패딩에서 사용된 패딩 데이터의 길이를 나타낸다. 또한, 상기 넥스트 헤더(Next Header)는, 일반적으로 8 비트이며, 상기 페이로드 데이터 필드에 포함된 데이터의 형식(또는, 타입)을 식별하기 위한 필드로서, IANA(Internet Assigned Number Authority)에서 지정한 값을 사용한다. 또한, 상기 인증 데이터(Authentication Data)는, ICV(integrity Check Value)로 구성된 가변 길이 데이터 필드이다. As shown in FIG. 3, the Security Parameter Index (SPI) is generally 32 bits, which is used together with the source IP address to identify the security association (SA) of the sender. (Or a combination of the destination IP address and the ESP to identify a security association for any packet (or datagram)). In addition, the sequence number (SN) is generally 32 bits, and is set to 0 at both the transmitting and receiving side (or the transmitting and receiving terminal) when SA is set, and to prevent a replay attack. For each packet transmission, the value is increased by one by the sender. The receiving side checks the sequence number and establishes a retransmission prevention service. In this case, the sequence number may be a counter value that is constantly increasing to maintain all security associations. The payload data has a variable length and is a field in which data of a higher layer designated by a next header field is recorded. In addition, the padding is a variable length field having a length of 0 to 255 octets and used to make the block size of an algorithm in which encrypted bits are used multiples. In addition, the pad length indicates the length of padding data used in the padding. In addition, the next header is generally 8 bits and is a field for identifying the format (or type) of data included in the payload data field, and is a value designated by an Internet Assigned Number Authority (IANA). Use In addition, the authentication data is a variable length data field composed of an integrity check value (ICV).

또한, 상기 게이트웨이 시스템(400)은, IPSec 패킷에 대한 불법적인 재전송 공격에 대한 차단(또는, 방지)을 위해서 슬라이딩 윈도(sliding window)를 이용한 재전송 방지(Anti-replay) 기능을 제공한다.In addition, the gateway system 400 provides an anti-replay function using a sliding window to block (or prevent) an illegal retransmission attack on an IPSec packet.

또한, 상기 게이트웨이 시스템(400)은, IPSec 세션별로 슬라이딩 윈도를 제공하며, 슬라이딩 윈도의 슬롯 수는 일반적으로 32개이다. 이때, 상기 게이트웨이 시스템(400)은, 수신 패킷의 시퀀스(또는, 시퀀스 번호)가 미리 저장된 시퀀스보다 큰 경우에는 수신 패킷의 시퀀스와 신규 패킷의 시퀀스의 차이만큼 윈도를 이동하고, 윈도 내의 마지막 슬롯을 마크한 후, 수신 패킷의 시퀀스를 저장한다. 또한, 상기 게이트웨이 시스템(400)은, 상기 수신 패킷의 시퀀스가 상기 미리 저장된 시퀀스보다 작고 윈도 범위를 벗어난 경우, 수신한 패킷을 폐기(또는, 패킷 드랍(packet drop))한다. 또한, 상기 게이트웨이 시스템(400)은, 상기 수신 패킷의 시퀀스가 상기 미리 저장된 시퀀스보다 작고 윈도 범위를 벗어나지 않은 경우, 해당 시퀀스의 슬롯이 마크되어 있는 패킷이면 재전송 공격용 패킷으로 판단하여 수신한 패킷을 폐기하고, 해당 시퀀스의 슬롯이 마크되어 있지 않은 패킷이면 슬롯을 파크하고 복호화(decryption) 기능을 수행한다.In addition, the gateway system 400 provides a sliding window for each IPSec session, and the number of slots of the sliding window is generally 32. At this time, if the sequence (or sequence number) of the received packet is larger than the previously stored sequence, the gateway system 400 moves the window by the difference between the sequence of the received packet and the sequence of the new packet, and moves the last slot in the window. After marking, the sequence of received packets is stored. In addition, the gateway system 400 discards (or packet drops) the received packet when the sequence of the received packet is smaller than the previously stored sequence and is out of the window range. In addition, if the sequence of the received packet is smaller than the previously stored sequence and is out of the window range, the gateway system 400 discards the received packet by determining that the packet is a retransmission attack packet if the slot of the sequence is marked. If a slot of the sequence is not marked, the slot is parked and a decryption function is performed.

또한, 상기 게이트웨이 시스템(400)은, 도 2에 도시한 바와 같이, 복수의 MCU(410), 복수의 FHU(420), 복수의 HDD(430), 복수의 PPU(440)로 구성된다. 도 2에 도시된 게이트웨이 시스템(400)의 구성 요소 모두가 필수 구성 요소인 것은 아니며, 도 2에 도시된 구성 요소보다 많은 구성 요소에 의해 게이트웨이 시스템(400)이 구현될 수도 있고, 그보다 적은 구성 요소에 의해서도 게이트웨이 시스템(400)이 구현될 수도 있다.In addition, as shown in FIG. 2, the gateway system 400 includes a plurality of MCUs 410, a plurality of FHUs 420, a plurality of HDDs 430, and a plurality of PPUs 440. Not all components of the gateway system 400 shown in FIG. 2 are required components, and the gateway system 400 may be implemented by more components than those shown in FIG. 2, and fewer components. Gateway system 400 may also be implemented by.

상기 MCU(Main Control Unit)(410)는, 복수로 구성되며, 상기 게이트웨이 시스템(400)의 전반적인 기능을 제어한다.The MCU (Main Control Unit) 410 is configured in plurality, and controls the overall functions of the gateway system 400.

또한, 상기 MCU(410)는, 상기 복수의 PPU(440)와 연동한다.In addition, the MCU 410 interworks with the plurality of PPUs 440.

또한, 상기 MCU(410)는, 상기 운용 관리 네트워크(200) 또는 상기 AAA 네트워크(300)와 각각 정합한다.In addition, the MCU 410 is matched with the operation management network 200 or the AAA network 300, respectively.

상기 FHU(Fabric Hub Unit)(420)는, 복수로 구성되며, 상기 복수의 MCU(410)와 각각 연동한다.The fabric hub unit (FHU) 420 is configured in plural and interworked with the plurality of MCUs 410, respectively.

상기 HDD(Hard Disk Drive)(430)는, 복수로 구성되며, 상기 복수의 MCU(410)와 각각 연동한다.The hard disk drive (HDD) 430 is configured in plural and interworks with the plurality of MCUs 410, respectively.

상기 PPU(Packet Processing Unit)(440)는, 복수로 구성되며, 상기 복수의 MCU(410)와 상기 서비스 네트워크(100)와 연동한다.The PPU (Packet Processing Unit) 440 is configured in plural and interworks with the plurality of MCUs 410 and the service network 100.

또한, 상기 PPU(440)는, 복수의 액티브 PPU(441)와, 하나 이상의 리던던시 PPU(442)로 구성된다.The PPU 440 also includes a plurality of active PPUs 441 and one or more redundancy PPUs 442.

상기 복수의 액티브 PPU(441) 각각은, 복수의 SA 및, 상기 복수의 SA를 저장하기 위한 SA 데이터베이스(SA database)를 포함한다.Each of the plurality of active PPUs 441 includes a plurality of SAs and an SA database for storing the plurality of SAs.

또한, 상기 복수의 액티브 PPU(441)는, 송/수신(또는, 인바운드/아웃바운드)되는 다양한 정보/패킷/SA 등을 관리 및 저장한다.In addition, the plurality of active PPUs 441 manages and stores various information / packets / SAs which are transmitted / received (or inbound / outbound).

또한, 상기 복수의 액티브 PPU(441)는, 미리 설정된 주기마다(또는, 미리 설정된 시간 간격마다) 각각의 액티브 PPU(441)의 IPSec 정보를 상기 FHU(420)에 포함된 패브릭 인터페이스(Fabric Interface)를 통해 상기 리던던시 PPU(442)로 전송(또는, 전달)한다. 이때, 상기 IPSec 정보는, 아웃바운드의 SA 인덱스(또는, 내부 SA 인덱스(Internal SA Index)), 아웃바운드의 마지막 시퀀스 번호(Last Sequence Number), 인바운드의 시퀀스 번호 및, 인바운드의 시퀀스 마스크 등을 포함한다.The plurality of active PPUs 441 may also include IPSec information of each active PPU 441 in the FHU 420 at predetermined intervals (or at predetermined time intervals). Through the transmission (or transfer) to the redundancy PPU 442 through. In this case, the IPSec information includes an outbound SA index (or an internal SA index), an outbound last sequence number, an inbound sequence number, an inbound sequence mask, and the like. do.

또한, 상기 액티브 PPU(441)의 패킷 전송 주기는, 상기 액티브 PPU(441) 당 300K 세션 전송 시 대략 1초이다.In addition, the packet transmission period of the active PPU 441 is approximately 1 second when transmitting 300K sessions per active PPU 441.

또한, 상기 복수의 액티브 PPU(441) 중 어느 하나의 액티브 PPU(441)에서 장애가 발생한 경우, 상기 PPU(440)는, 상기 장애가 발생한 액티브 PPU(441)를 대신하여 상기 리던던시 PPU(442)를 통해 상기 장애가 발생한 액티브 PPU(441)의 기능/역할을 수행한다.In addition, when a failure occurs in any of the active PPUs 441 of the plurality of active PPUs 441, the PPU 440 replaces the failed active PPU 441 through the redundancy PPU 442. Function / role of the failed active PPU 441 is performed.

상기 리던던시 PPU(442)는, 상기 복수의 액티브 PPU(441)로부터 각각 전송되는 상기 IPSec 정보를 수신한다.The redundancy PPU 442 receives the IPSec information transmitted from the plurality of active PPUs 441, respectively.

또한, 상기 리던던시 PPU(442)는, 상기 복수의 액티브 PPU(441)와 각각 관련된 복수의 SA(예를 들어, 상기 수신된 IPSec 정보 등 포함) 및, 상기 복수의 SA를 저장하기 위한 복수의 SA 데이터베이스를 포함한다. 즉, 상기 리던던시 PPU(442)는, 상기 복수의 액티브 PPU(441)에 각각 대응하는 복수의 SA 데이터베이스를 포함한다.The redundancy PPU 442 may also include a plurality of SAs (eg, the received IPSec information, etc.) associated with the plurality of active PPUs 441, and a plurality of SAs for storing the plurality of SAs. Include a database. That is, the redundancy PPU 442 includes a plurality of SA databases respectively corresponding to the plurality of active PPUs 441.

또한, 상기 리던던시 PPU(442)는, 상기 복수의 액티브 PPU(441) 중 어느 하나의 액티브 PPU(441)에서 장애가 발생할 때, 상기 장애가 발생한 액티브 PPU(441)와 관련하여 가장 최근에 수신된 IPSec 정보(또는, 상기 장애가 발생한 액티브 PPU(441)와 관련된 최신의 IPSec 정보)를 근거로 시퀀스 정보를 업데이트한다.In addition, the redundancy PPU 442, when a failure occurs in any one of the plurality of active PPU 441, the IPSec information most recently received with respect to the active PPU 441 has failed. The sequence information is updated based on the latest IPSec information associated with the failed active PPU 441.

즉, 상기 리던던시 PPU(442)는, 상기 복수의 액티브 PPU(441) 중 어느 하나의 액티브 PPU(441)에서 장애가 발생할 때, 상기 장애가 발생한 액티브 PPU(441)와 관련한 최신의 IPSec 정보에 포함된 상기 아웃바운드의 SA 인덱스를 근거로 상기 장애가 발생한 액티브 PPU(441)와 관련한 최신의 IPSec 정보에 포함된 상기 아웃바운드의 마지막 시퀀스 번호에 미리 설정된 숫자(또는, 번호)를 더하여 새로운 시퀀스 번호를 생성(또는, 시퀀스 정보를 업데이트)한다. 여기서, 상기 미리 설정된 숫자(또는, 통신 환경을 기반으로 연산된 수치를 기준으로 결정된 수)는, 세션당 최대 트래픽과 패킷의 최소 길이와 상기 미리 설정된 주기를 근거로 산출된 숫자이며, 장애가 발생한 액티브 PPU를 대신하여 상기 리던던시 PPU가 해당 기능을 수행할 때, 시퀀스 번호를 0부터 시작함에 따라 재전송 방지 기능에 의해 세션의 연속적인 서비스 기능이 제한되는 것을 방지하기 위해서, 설계자의 설계에 따라 설정되는 숫자이다. 여기서, 1초 동안 하나의 액티브 PPU(441)를 통해 전송될 수 있는 패킷은, 세션당 최대 트래픽(또는, 대역 서비스)(예를 들어, 500Mbps)과 패킷의 최소 길이(예를 들어, 64Byte)를 근거로 산출될 수 있다. 즉, 상기 1초 동안 하나의 액티브 PPU(441)를 통해 전송될 수 있는 패킷은, 976,526개(예를 들어, 500,000,000 / (64*8) = 976,526)이다. 또한, 상기 리던던시 PPU(442)가, 상기 미리 설정된 주기인 3초 간격으로 상기 복수의 액티브 PPU(441)로부터 전달되는 상기 IPSec 정보를 수신할 경우, 상기 복수의 액티브 PPU(441) 중 어느 하나의 액티브 PPU(441)의 장애 발생에 의해 상기 미리 설정된 주기인 3초 동안의 IPSec 정보가 유실될 수 있다. 따라서, 상기 리던던시 PPU(442)는, 시퀀스 번호가 상기 액티브 PPU(441)에서의 시퀀스 번호보다 커야 연속적인 서비스가 가능하며, 상기 미리 설정된 주기 동안 유실될 수 있는 IPSec 정보를 고려하여, 상기 통신 환경을 기반으로 연산된 수치를 기준으로 결정된 수를 설정할 수 있다. 즉, 상기 리던던시 PPU(442)는, 상기 미리 설정된 주기로 상기 IPSec 정보를 수신할 경우, 3초 후 최대 패킷을 계산한 2,929,686(예를 들어, 상기 1초 동안 하나의 액티브 PPU를 통해 전송될 수 있는 패킷 수(976,526) * 3초)보다 큰 8,388,608을 상기 통신 환경을 기반으로 연산된 수치를 기준으로 결정된 수로 설정할 수 있다.That is, the redundancy PPU 442, when a failure occurs in any of the active PPU 441 of the plurality of active PPU 441, the redundancy PPU 442 is included in the latest IPSec information associated with the failed active PPU 441 Generate a new sequence number by adding a preset number (or number) to the last sequence number of the outbound included in the latest IPSec information related to the failed active PPU 441 based on the outbound SA index. , Update sequence information). Here, the predetermined number (or the number determined based on the value calculated based on the communication environment) is a number calculated based on the maximum traffic and the minimum length of the packet and the predetermined period, and the active failure occurs. When the redundancy PPU performs the function on behalf of the PPU, a number set according to the designer's design to prevent the continuous service function of the session from being limited by the retransmission prevention function by starting the sequence number from 0. to be. Here, a packet that can be transmitted through one active PPU 441 for 1 second is the maximum traffic (or band service) per session (eg 500 Mbps) and the minimum length of the packet (eg 64 bytes). It can be calculated based on. That is, 976,526 packets (eg, 500,000,000 / (64 * 8) = 976,526) that can be transmitted through one active PPU 441 during the one second. In addition, when the redundancy PPU 442 receives the IPSec information transmitted from the plurality of active PPUs 441 at intervals of three seconds, which is the preset period, one of the plurality of active PPUs 441. Due to a failure of the active PPU 441, IPSec information for 3 seconds, which is the predetermined period, may be lost. Accordingly, the redundancy PPU 442 is capable of continuous service when the sequence number is larger than the sequence number in the active PPU 441, and in consideration of IPSec information that may be lost during the predetermined period, the communication environment. The number determined based on the calculated value can be set. That is, when the redundancy PPU 442 receives the IPSec information in the preset period, 2,929,686 (for example, the first packet may be transmitted through one active PPU during the 1 second) after calculating the maximum packet after 3 seconds. 8,388,608 larger than the number of packets (976,526 * 3 seconds) may be set to a number determined based on a numerical value calculated based on the communication environment.

이와 같이, 상기 통신 환경을 기반으로 연산된 수치를 기준으로 결정된 수는, 통신 환경에 따라 상기 액티브 PPU(441)를 통해 사용되는 시퀀스 번호보다 더 큰 숫자로 설정한다.As such, the number determined based on the numerical value calculated based on the communication environment is set to a larger number than the sequence number used through the active PPU 441 according to the communication environment.

예를 들어, 상기 리던던시 PPU(442)는, 상기 액티브 PPU(441)가 3개이고 각각의 액티브 PPU(441)가 300K 세션의 IPSec 정보(또는, IPSec 세션 정보)를 전송하는 경우, 총 900K 세션의 IPSec 세션 정보를 수신하고, 상기 수신된 900K 세션의 IPSec 세션 정보를 업데이트한다.For example, when the redundancy PPU 442 has three active PPUs 441 and each active PPU 441 transmits IPSec information (or IPSec session information) of 300K sessions, a total of 900K sessions is generated. Receive IPSec session information, and update IPSec session information of the received 900K session.

또한, 상기 리던던시 PPU(442)는, 상기 장애가 발생한 액티브 PPU(441)와 관련하여 상기 업데이트된 시퀀스 정보를 근거로 상기 장애가 발생한 액티브 PPU(441)를 대신하여 액티브 PPU의 기능(또는, 역할)을 수행한다.In addition, the redundancy PPU 442 performs the function (or role) of the active PPU on behalf of the failed active PPU 441 based on the updated sequence information with respect to the failed active PPU 441. To perform.

또한, 상기 실시예에서는, 상기 리던던시 PPU(442)가 상기 복수의 액티브 PPU(441) 중에서 어느 하나의 액티브 PPU(441)에 장애가 발생할 때, 상기 장애가 발생한 액티브 PPU(441)와 관련된 IPSec 정보를 근거로 시퀀스 정보를 업데이트한 후, 상기 업데이트된 시퀀스 정보를 근거로 액티브 PPU의 기능을 수행하는 구성에 대해서 설명하고 있으나, 이에 한정되지 않으며, 상기 리던던시 PPU(442)는, 상기 복수의 액티브 PPU(441)로부터 상기 미리 설정된 주기로 각각 전송되는 IPSec 정보를 근거로 시퀀스 정보를 업데이트하고, 상기 복수의 액티브 PPU(441) 중에서 어느 하나의 액티브 PPU(441)에 장애가 발생할 때, 상기 장애가 발생한 액티브 PPU(441)와 관련한 상기 업데이트된 시퀀스 정보를 근거로 액티브 PPU의 기능을 수행하도록 구성할 수도 있다.Further, in the above embodiment, when the redundancy PPU 442 fails in any one of the plurality of active PPUs 441, based on IPSec information related to the active PPU 441 in which the failure occurs. Although a configuration for performing a function of an active PPU based on the updated sequence information after updating the sequence information is described, the present invention is not limited thereto. The redundancy PPU 442 may include the plurality of active PPUs 441. The sequence information is updated based on the IPSec information transmitted at each of the predetermined periods, and when a failure occurs in any one of the plurality of active PPUs 441, the active PPU 441 having the failure occurs. It may be configured to perform a function of an active PPU based on the updated sequence information related to the.

또한, 상기 리던던시 PPU(442)에 의해, 상기 복수의 액티브 PPU(441)로부터 전달되는 상기 IPSec 정보에 대한 업데이트가 정상적으로 수행되지 않은 경우, 상기 복수의 액티브 PPU(441) 중 어느 하나의 액티브 PPU(441)에서 장애가 발생하더라도, 패킷을 수신하는 임의의 단말의 재전송 방지 기능에 의해 정상적인 서비스가 이루어지지 않을 수 있다.In addition, when the update of the IPSec information transmitted from the plurality of active PPUs 441 is not normally performed by the redundancy PPU 442, any one of the plurality of active PPUs 441 may be configured. Even if a failure occurs in 441, the normal service may not be performed by the retransmission prevention function of any terminal receiving the packet.

또한, 상기 실시예에서는, 상기 리던던시 PPU(442)가 하나인 경우를 예로 들어 설명하고 있으나, 이에 한정되지 않으며, 상기 리던던시 PPU(442)는 복수로 구성되고, 상기 복수의 리던던시 PPU(442) 각각이, 상기 기재된 리던던시 PPU(442)의 기능을 각각 수행하도록 구성할 수도 있다.In the above embodiment, the case where the redundant PPU 442 is one is described as an example, but the present invention is not limited thereto. The redundant PPU 442 may be configured in plural, and each of the plurality of redundant PPUs 442 may be used. This may be configured to perform the functions of the redundancy PPU 442 described above, respectively.

이와 같이, 복수의 액티브 PPU 중 어느 하나의 액티브 PPU에서 장애 발생 시, 상기 장애가 발생한 액티브 PPU로부터 전송된 최신의 IPSec 정보를 근거로 아웃바운드의 마지막 시퀀스 번호에 통신 환경을 기반으로 연산된 수치를 기준으로 결정된 수를 더하여 새로운 시퀀스 번호로 시퀀스 정보를 업데이트하고, 상기 업데이트된 시퀀스 정보를 근거로 상기 리던던시 PPU를 통해 연속적인 서비스를 제공할 수 있다.As such, when a failure occurs in any one of the plurality of active PPUs, based on the latest IPSec information transmitted from the failed active PPU, the last sequence number of the outbound is calculated based on the communication environment. The sequence information may be updated with a new sequence number by adding the determined number, and a continuous service may be provided through the redundancy PPU based on the updated sequence information.

이하에서는, 본 명세서에 따른 IPSec 세션 중계를 위한 게이트웨이 시스템의 리던던시 제공 방법을 도 1 내지 도 4를 참조하여 상세히 설명한다.Hereinafter, a method of providing redundancy of a gateway system for IPSec session relay according to the present disclosure will be described in detail with reference to FIGS. 1 to 4.

도 4는 본 명세서의 일 실시예에 따른 IPSec 세션 중계를 위한 게이트웨이 시스템의 리던던시 제공 방법을 나타낸 흐름도이다.4 is a flowchart illustrating a method of providing redundancy of a gateway system for IPSec session relay according to an embodiment of the present specification.

먼저, 복수의 PPU(440)에 포함된 복수의 액티브 PPU(441)는, 미리 설정된 주기마다(또는, 미리 설정된 시간 간격마다) 각각의 액티브 PPU(441)의 IPSec 정보를 상기 복수의 PPU(440)에 포함된 리던던시 PPU(442)에 전송한다. 이때, 상기 IPSec 정보는, 아웃바운드의 SA 인덱스(또는, 내부 SA 인덱스) 및, 아웃바운드의 마지막 시퀀스 번호를 포함한다.First, the plurality of active PPUs 441 included in the plurality of PPUs 440 may generate IPSec information of each active PPU 441 at predetermined intervals (or at predetermined time intervals). ) Is transmitted to the redundancy PPU 442 included in. In this case, the IPSec information includes the outbound SA index (or the internal SA index) and the last sequence number of the outbound.

일 예로, 3개의 액티브 PPU(441)는, 액티브 PPU(441)당 300K 세션 전송 시 미리 설정된 3초 주기로 상기 3개의 액티브 PPU(441)에 각각 대응하는 FHU(420)에 각각 포함된 패브릭 인터페이스를 통해, 각각의 액티브 PPU(441)의 IPSec 정보(예를 들어, 아웃바운드의 SA 인덱스 및, 아웃바운드의 마지막 시퀀스 번호 등 포함)를 상기 리던던시 PPU(442)에 전송한다(S410).For example, the three active PPUs 441 may each fabricate a fabric interface included in each of the FHUs 420 corresponding to the three active PPUs 441 at a preset three second period when 300K sessions are transmitted per active PPU 441. Through this, IPSec information (eg, outbound SA index, outbound last sequence number, etc.) of each active PPU 441 is transmitted to the redundancy PPU 442 (S410).

이후, 상기 리던던시 PPU(442)는, 상기 복수의 액티브 PPU(441)로부터 상기 미리 설정된 주기마다 각각 전송되는 상기 IPSec 정보를 수신한다.Thereafter, the redundancy PPU 442 receives the IPSec information transmitted from each of the plurality of active PPUs 441 every predetermined period.

또한, 상기 리던던시 PPU(442)는, 상기 복수의 액티브 PPU(441)의 장애 발생 여부를 확인한다(S420).In addition, the redundancy PPU 442 checks whether or not the plurality of active PPUs 441 has failed (S420).

상기 확인 결과, 상기 리던던시 PPU(442)는, 상기 복수의 액티브 PPU(441) 중 어느 하나의 액티브 PPU(441)에서 장애가 발생한 경우, 상기 장애 발생 직전 상기 장애가 발생한 액티브 PPU(441)로부터 최근에 전송된 IPSec 정보(또는, 상기 장애가 발생한 액티브 PPU(441)와 관련된 최신의 IPSec 정보)를 근거로 시퀀스 정보를 업데이트한다.As a result of the check, the redundancy PPU 442 is recently transmitted from the failed active PPU 441 immediately before the failure when a failure occurs in any one of the plurality of active PPUs 441. The sequence information is updated based on the received IPSec information (or the latest IPSec information related to the failed active PPU 441).

즉, 상기 리던던시 PPU(442)는, 상기 복수의 액티브 PPU(441) 중 어느 하나의 액티브 PPU(441)에서 장애가 발생할 때, 상기 장애가 발생한 액티브 PPU(441)로부터 전송된 최신의 IPSec 정보에 포함된 상기 아웃바운드의 SA 인덱스를 근거로(또는, 기준으로) 상기 장애가 발생한 액티브 PPU(441)와 관련된 최신의 IPSec 정보에 포함된 상기 아웃바운드의 마지막 시퀀스 번호에 통신 환경을 기반으로 연산된 수치를 기준으로 결정된 수(또는, 미리 설정된 숫자/번호)를 더하여 새로운 시퀀스 번호를 생성한다(또는, 시퀀스 정보를 업데이트한다). 여기서, 상기 통신 환경을 기반으로 연산된 수치를 기준으로 결정된 수는, 세션당 최대 트래픽과 패킷의 최소 길이와 상기 미리 설정된 주기를 근거로 산출된 숫자이며, 재전송 방지 기능에 의해 세션의 연속적인 서비스 기능이 제한되는 것을 방지하기 위해서, 설계자의 설계에 따라 설정되는 번호이다.That is, the redundancy PPU 442 is included in the latest IPSec information transmitted from the failed active PPU 441 when a failure occurs in any one of the plurality of active PPUs 441. Based on the SA index of the outbound (or as a reference) based on the numerical value calculated based on the communication environment to the last sequence number of the outbound included in the latest IPSec information associated with the failed active PPU 441 A new sequence number is generated by adding the determined number (or preset number / number) (or updating the sequence information). The number determined based on the numerical value calculated based on the communication environment is a number calculated based on the maximum traffic per session, the minimum length of the packet, and the predetermined period, and the continuous service of the session by the retransmission prevention function. The number is set according to the designer's design to prevent the function from being limited.

일 예로, 상기 리던던시 PPU(442)는, 상기 복수의 액티브 PPU(441) 중 제1 액티브 PPU(441)에서 장애가 발생할 때, 상기 제1 액티브 PPU(441)로부터 가장 최근에 전송된 IPSec 정보에 포함된 상기 아웃바운드의 SA 인덱스를 근거로 상기 아웃바운드의 마지막 시퀀스 번호(예를 들어, 100)에 상기 통신 환경을 기반으로 연산된 수치를 기준으로 결정된 수(예를 들어, 8,388,608)를 더하여 상기 시퀀스 정보를 업데이트(예를 들어, 8,388,708)한다. 여기서, 1초 동안 하나의 액티브 PPU(441)를 통해 전송될 수 있는 패킷은, 세션당 최대 트래픽(또는, 대역 서비스)(예를 들어, 500Mbps)의 성능과 패킷의 최소 길이(예를 들어, 64Byte)를 근거로 976,526개의 패킷(예를 들어, 500,000,000/(64*8)=976,526)이다. 이때, 상기 리던던시 PPU(442)에서는, 시퀀스 번호가 상기 액티브 PPU(441)에서의 시퀀스 번호보다 커야 연속적인 서비스가 가능하다. 따라서, 상기 통신 환경을 기반으로 연산된 수치를 기준으로 결정된 수는, 상기 리던던시 PPU(442)에서 상기 IPSec 정보를 3초 주기로 수신할 때, 상기 IPSec 정보 수신 시 3초 후 최대 패킷을 계산한 2,929,686(예를 들어, 976,526개 * 3초)보다 큰 8,388,608(=223)을 상기 수신된 마지막 시퀀스 번호에 더하여 시퀀스 정보를 업데이트할 수 있다(S430).For example, the redundancy PPU 442 is included in the IPSec information most recently transmitted from the first active PPU 441 when a failure occurs in the first active PPU 441 of the plurality of active PPUs 441. The sequence number based on a numerical value calculated based on the communication environment (eg, 8,388,608) by adding the last sequence number (eg, 100) of the outbound based on the SA index of the outbound. Update the information (e.g., 8,388,708). Here, a packet that can be transmitted through one active PPU 441 for one second may be characterized by the performance of the maximum traffic per session (or band service) (eg 500 Mbps) and the minimum length of the packet (eg 64 bytes), based on 976,526 packets (for example, 500,000,000 / (64 * 8) = 976,526). At this time, in the redundancy PPU 442, the sequence number must be larger than the sequence number in the active PPU 441 to enable continuous service. Accordingly, the number determined based on the numerical value calculated based on the communication environment is 2,929,686 when the redundancy PPU 442 receives the IPSec information every 3 seconds, and calculates the maximum packet after 3 seconds when the IPSec information is received. The sequence information may be updated by adding 8,388,608 (= 2 23 ) larger than (eg, 976,526 * 3 seconds) to the received last sequence number (S430).

이후, 상기 리던던시 PPU(442)는, 상기 장애가 발생한 액티브 PPU(441)와 관련하여 상기 업데이트된 시퀀스 정보를 근거로 상기 장애가 발생한 액티브 PPU(441)를 대신하여 바로 액티브 PPU의 기능(또는, 역할)을 수행한다(S440).Thereafter, the redundancy PPU 442 directly functions (or serves) the active PPU on behalf of the failed active PPU 441 based on the updated sequence information with respect to the failed active PPU 441. Perform (S440).

이와 같이, 상기 리던던시 PPU(442)는, 상기 복수의 액티브 PPU(441) 중 어느 하나의 액티브 PPU(441)에서 장애가 발생할 경우, 시퀀스 번호를 0부터 시작함에 따라 상기 재전송 방지 기능에 의해 패킷 드랍이 발생하여 세션의 연속적인 서비스 기능이 제한되는 것을 방지하기 위해서, 상기 장애가 발생한 액티브 PPU(441)와 관련된 최신의 IPSec 정보(또는, 상기 장애가 발생한 액티브 PPU(441)로부터 가장 최근에 전송된 IPSec 정보)에 포함된 상기 아웃바운드의 마지막 시퀀스 번호에 상기 통신 환경을 기반으로 연산된 수치를 기준으로 결정된 수(또는, 미리 설정된 숫자)를 더하여 새로운 시퀀스 번호를 생성(또는, 시퀀스 번호를 업데이트)하여, 상기 액티브 PPU(441)의 장애 발생 시에도, 상기 생성된 시퀀스 번호를 통해 세션의 연속적인 서비스 기능을 제공할 수 있다.As described above, when a failure occurs in any of the active PPUs 441 of the plurality of active PPUs 441, the redundancy PPU 442 starts the sequence number from 0 to prevent packet drop by the retransmission prevention function. Latest IPSec information associated with the failed active PPU 441 (or the most recently transmitted IPSec information from the failed active PPU 441) in order to prevent the continuous service function of the session from occurring. Generating a new sequence number (or updating the sequence number) by adding a number (or a preset number) determined based on a numerical value calculated based on the communication environment to the last sequence number of the outbound included in the; Even when the active PPU 441 fails, the generated sequence number may provide a continuous service function of the session.

본 명세서의 실시예는 앞서 설명한 바와 같이, 복수의 액티브 PPU 중 어느 하나의 액티브 PPU에서 장애 발생 시, 상기 장애가 발생한 액티브 PPU로부터 전송된 최신의 IPSec 정보를 근거로 아웃바운드의 마지막 시퀀스 번호에 통신 환경을 기반으로 연산된 수치를 기준으로 결정된 수를 더하여 새로운 시퀀스 번호로 시퀀스 정보를 업데이트하고, 상기 업데이트된 시퀀스 정보를 근거로 상기 리던던시 PPU를 통해 연속적인 서비스를 제공하여, 재전송 방지 기능에 의해 연속적인 서비스가 중단되는 것을 방지하고, 상기 게이트웨이 시스템의 운영 효율을 향상시키며, 하나의 리던던시 PPU를 통해서도 안정적인 서비스 운영을 제공할 수 있다.
As described above, according to the embodiment of the present disclosure, when a failure occurs in one active PPU among a plurality of active PPUs, the communication environment is assigned to the last sequence number of the outbound based on the latest IPSec information transmitted from the failed active PPU. The sequence information is updated with a new sequence number by adding the number determined based on the calculated numerical value, and the continuous service is provided through the redundancy PPU based on the updated sequence information. It is possible to prevent the service from being interrupted, improve the operation efficiency of the gateway system, and provide stable service operation through a single redundant PPU.

전술한 내용은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
The present invention may be embodied in many other specific forms without departing from the spirit or essential characteristics thereof. Therefore, the embodiments disclosed in the present invention are intended to illustrate rather than limit the scope of the present invention, and the scope of the technical idea of the present invention is not limited by these embodiments. The scope of protection of the present invention should be construed according to the following claims, and all technical ideas falling within the scope of the same shall be construed as falling within the scope of the present invention.

10: 데이터 처리 시스템 100: 서비스 네트워크
200: 운용 관리 네트워크 300: AAA 네트워크
400: 게이트웨이 시스템 410: MCU
420: FHU 430: HDD
440: PPU 441: 액티브 PPU
442: 리던던시 PPU10: data processing system 100: service network
200: operation management network 300: AAA network
400: gateway system 410: MCU
420: FHU 430: HDD
440: PPU 441: Active PPU
442: Redundancy PPU

Claims (8)

임의의 통신 연결된 단말기와 정보를 송수신하는 IPSec 세션 중계를 위한 게이트웨이 시스템에 있어서,
미리 설정된 주기마다 각각의 IPSec 정보를 전송하는 복수의 액티브 PPU(Packet Processing Unit); 및
상기 복수의 액티브 PPU로부터 각각 전송되는 IPSec 정보를 수신하고, 상기 복수의 액티브 PPU 중 어느 하나의 액티브 PPU에서 장애가 발생할 때, 상기 장애가 발생한 액티브 PPU와 관련한 최신의 IPSec 정보에 포함된 아웃바운드의 SA 인덱스를 근거로 상기 최신의 IPSec 정보에 포함된 아웃바운드의 마지막 시퀀스 번호에 통신 환경을 기반으로 연산된 수치를 기준으로 결정된 수를 더하여 시퀀스 정보를 업데이트하고, 상기 장애가 발생한 액티브 PPU와 관련된 상기 업데이트된 시퀀스 정보를 근거로 상기 장애가 발생한 액티브 PPU를 대신하여 액티브 PPU의 기능을 수행하는 리던던시 PPU;를 포함하는 것을 특징으로 하는 IPSec 세션 중계를 위한 게이트웨이 시스템.
In the gateway system for relaying IPSec session for transmitting and receiving information with a terminal connected to any communication,
A plurality of active packet processing units (PPUs) for transmitting respective IPSec information at predetermined intervals; And
Outbound SA index included in the latest IPSec information related to the active PPU which has failed when receiving IPSec information transmitted from the plurality of active PPUs, and failure occurs in any one of the plurality of active PPUs. Updating the sequence information by adding the number determined based on a numerical value calculated based on a communication environment to the last sequence number of the outbound included in the latest IPSec information, and updating the sequence information associated with the failed active PPU. And a redundant PPU performing a function of an active PPU on behalf of the failed active PPU based on the information.
청구항 1에 있어서,
상기 미리 설정된 주기는,
300K 세션 전송 시, 1초인 것을 특징으로 하는 IPSec 세션 중계를 위한 게이트웨이 시스템.
The method according to claim 1,
The preset period is,
Gateway system for IPSec session relay, characterized in that 1 second when transmitting 300K session.
청구항 1에 있어서,
상기 IPSec 정보는,
아웃바운드의 SA 인덱스 및, 아웃바운드의 마지막 시퀀스 번호를 포함하는 것을 특징으로 하는 IPSec 세션 중계를 위한 게이트웨이 시스템.
The method according to claim 1,
The IPSec information is,
Gateway system for IPSec session relay, comprising the SA index of the outbound, and the last sequence number of the outbound.
청구항 1에 있어서,
상기 통신 환경을 기반으로 연산된 수치를 기준으로 결정된 수는,
재전송 방지(Anti-replay) 기능에 의한 패킷의 폐기(drop)를 방지하기 위해서, 세션당 최대 트래픽, 패킷의 최소 길이 및, 상기 미리 설정된 주기를 근거로 산출되며, 상기 액티브 PPU에서 사용되는 시퀀스 번호보다 더 큰 값인 것을 특징으로 하는 IPSec 세션 중계를 위한 게이트웨이 시스템.
The method according to claim 1,
The number determined based on the value calculated based on the communication environment,
In order to prevent dropping of the packet by the anti-replay function, a sequence number calculated based on the maximum traffic per session, the minimum length of the packet, and the predetermined period, and used in the active PPU. Gateway system for IPSec session relay, characterized in that the larger value.
임의의 통신 연결된 단말기와 정보를 송수신하는 IPSec 세션 중계를 위한 게이트웨이 시스템의 리던던시 제공 방법에 있어서,
임의의 리던던시 PPU를 통해, 미리 설정된 주기마다 복수의 액티브 PPU로부터 각각 전송되는 IPSec 정보를 수신하는 단계;
상기 리던던시 PPU를 통해, 상기 복수의 액티브 PPU의 장애 여부를 확인하는 단계;
상기 리던던시 PPU를 통해, 상기 확인 결과, 상기 복수의 액티브 PPU 중 어느 하나의 액티브 PPU에서 장애가 발생할 때, 상기 장애가 발생한 액티브 PPU와 관련한 최신의 IPSec 정보에 포함된 아웃바운드의 SA 인덱스를 근거로 상기 최신의 IPSec 정보에 포함된 아웃바운드의 마지막 시퀀스 번호에 통신 환경을 기반으로 연산된 수치를 기준으로 결정된 수를 더하여 시퀀스 정보를 업데이트하는 단계; 및
상기 리던던시 PPU를 통해, 상기 장애가 발생한 액티브 PPU와 관련된 상기 업데이트된 시퀀스 정보를 근거로 상기 장애가 발생한 액티브 PPU를 대신하여 액티브 PPU의 기능을 수행하는 단계;를 포함하는 것을 특징으로 하는 IPSec 세션 중계를 위한 게이트웨이 시스템의 리던던시 제공 방법.
A method of providing redundancy of a gateway system for relaying IPSec sessions for transmitting and receiving information with an arbitrary communication connected terminal,
Receiving, via any redundancy PPU, IPSec information transmitted from the plurality of active PPUs at predetermined intervals, respectively;
Checking, via the redundancy PPU, whether the plurality of active PPUs have failed;
Through the redundancy PPU, when the failure occurs in any one of the plurality of active PPUs, the latest result is determined based on the outbound SA index included in the latest IPSec information related to the failed active PPU. Updating the sequence information by adding the number determined based on the numerical value calculated based on the communication environment to the last sequence number of the outbound included in the IPSec information of the; And
Performing the function of an active PPU on behalf of the failed active PPU on the basis of the updated sequence information related to the failed active PPU through the redundancy PPU; How to provide redundancy for gateway systems.
청구항 5에 있어서,
상기 미리 설정된 주기는,
300K 세션 전송 시, 1초인 것을 특징으로 하는 IPSec 세션 중계를 위한 게이트웨이 시스템의 리던던시 제공 방법.
The method according to claim 5,
The preset period is,
Redundancy providing method of the gateway system for IPSec session relay, characterized in that 1 second when transmitting 300K session.
청구항 5에 있어서,
상기 IPSec 정보는,
아웃바운드의 SA 인덱스 및, 아웃바운드의 마지막 시퀀스 번호를 포함하는 것을 특징으로 하는 IPSec 세션 중계를 위한 게이트웨이 시스템의 리던던시 제공 방법.
The method according to claim 5,
The IPSec information is,
A method for providing redundancy of a gateway system for IPSec session relay, comprising an outbound SA index and an outbound last sequence number.
청구항 5에 있어서,
상기 통신 환경을 기반으로 연산된 수치를 기준으로 결정된 수는,
재전송 방지 기능에 의한 패킷의 폐기를 방지하기 위해서, 세션당 최대 트래픽, 패킷의 최소 길이 및, 상기 미리 설정된 주기를 근거로 산출되며, 상기 액티브 PPU에서 사용되는 시퀀스 번호보다 더 큰 값인 것을 특징으로 하는 IPSec 세션 중계를 위한 게이트웨이 시스템의 리던던시 제공 방법.
The method according to claim 5,
The number determined based on the value calculated based on the communication environment,
In order to prevent discarding of the packet by the retransmission prevention function, it is calculated based on the maximum traffic per session, the minimum length of the packet, and the predetermined period, and is larger than the sequence number used in the active PPU. A method for providing redundancy of a gateway system for relaying IPSec sessions.
KR1020120065163A 2012-06-18 2012-06-18 Gateway system for ipsec session transmission and redundancy providing method thereof KR101189673B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020120065163A KR101189673B1 (en) 2012-06-18 2012-06-18 Gateway system for ipsec session transmission and redundancy providing method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120065163A KR101189673B1 (en) 2012-06-18 2012-06-18 Gateway system for ipsec session transmission and redundancy providing method thereof

Publications (1)

Publication Number Publication Date
KR101189673B1 true KR101189673B1 (en) 2012-10-10

Family

ID=47287733

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120065163A KR101189673B1 (en) 2012-06-18 2012-06-18 Gateway system for ipsec session transmission and redundancy providing method thereof

Country Status (1)

Country Link
KR (1) KR101189673B1 (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014185638A1 (en) * 2013-05-15 2014-11-20 주식회사 엔텔스 Network system for providing ipsec mobility of terminal between lte network and wlan and packet transmission method for providing ipsec mobility of terminal
KR101480703B1 (en) * 2013-05-15 2015-01-09 (주)엔텔스 NETWORK SYSTEM FOR PROVIDING TERMINAL WITH IPSec MOBILITY BETWEEN LET NETWORK AND WLAN AND PACKET TRANSMITTING METHOD FOR PROVIDING TERMINAL WITH IPSec MOBILITY
KR101575578B1 (en) 2013-07-04 2015-12-08 (주)엔텔스 NETWORK SYSTEM FOR PROVIDING ADDITIONAL SERVICE INFORMATION USING IPSec SECURITY TUNNELING AND TRANSMITTING METHOD OF ADDITIONAL SERVICE INFORMATION USING IPSec SECURITY TUNNELING
US9455959B1 (en) 2013-05-31 2016-09-27 Parallel Wireless, Inc. Method of connecting security gateway to mesh network
US10959275B2 (en) 2017-01-06 2021-03-23 Parallel Wireless, Inc. X2 brokering with aggregation optimization

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100687415B1 (en) 2005-04-14 2007-02-26 주식회사 케이티프리텔 System, method and its recording media for processing IPsec with simplified process
KR100839941B1 (en) 2007-01-08 2008-06-20 성균관대학교산학협력단 Abnormal ipsec packet control system using ipsec configuration and session data, and method thereof

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100687415B1 (en) 2005-04-14 2007-02-26 주식회사 케이티프리텔 System, method and its recording media for processing IPsec with simplified process
KR100839941B1 (en) 2007-01-08 2008-06-20 성균관대학교산학협력단 Abnormal ipsec packet control system using ipsec configuration and session data, and method thereof

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014185638A1 (en) * 2013-05-15 2014-11-20 주식회사 엔텔스 Network system for providing ipsec mobility of terminal between lte network and wlan and packet transmission method for providing ipsec mobility of terminal
KR101480703B1 (en) * 2013-05-15 2015-01-09 (주)엔텔스 NETWORK SYSTEM FOR PROVIDING TERMINAL WITH IPSec MOBILITY BETWEEN LET NETWORK AND WLAN AND PACKET TRANSMITTING METHOD FOR PROVIDING TERMINAL WITH IPSec MOBILITY
US9455959B1 (en) 2013-05-31 2016-09-27 Parallel Wireless, Inc. Method of connecting security gateway to mesh network
KR101575578B1 (en) 2013-07-04 2015-12-08 (주)엔텔스 NETWORK SYSTEM FOR PROVIDING ADDITIONAL SERVICE INFORMATION USING IPSec SECURITY TUNNELING AND TRANSMITTING METHOD OF ADDITIONAL SERVICE INFORMATION USING IPSec SECURITY TUNNELING
US10959275B2 (en) 2017-01-06 2021-03-23 Parallel Wireless, Inc. X2 brokering with aggregation optimization

Similar Documents

Publication Publication Date Title
US9838362B2 (en) Method and system for sending a message through a secure connection
EP2777217B1 (en) Protocol for layer two multiple network links tunnelling
CN105376737B (en) Machine-to-machine cellular communication security
US9832175B2 (en) Group member recovery techniques
US11637815B1 (en) Systems and methods for encrypting data in transit
KR101189673B1 (en) Gateway system for ipsec session transmission and redundancy providing method thereof
US11418434B2 (en) Securing MPLS network traffic
Liyanage et al. Secured VPN models for LTE backhaul networks
Dhall et al. Implementation of IPSec protocol
Moreira et al. Security mechanisms to protect IEEE 1588 synchronization: State of the art and trends
EP2988540A1 (en) Machine-to-machine cellular communication security and integrity
US20050063381A1 (en) Hardware acceleration for unified IPSec and L2TP with IPSec processing in a device that integrates wired and wireless LAN, L2 and L3 switching functionality
CN115733683A (en) Method for realizing Ethernet link self-organizing encryption tunnel by adopting quantum key distribution
JP2023531034A (en) Service transmission method, device, network equipment and storage medium
EP2988538A1 (en) Machine-to-machine cellular communication security for authentication and key agreement using ggsn
CN111866865A (en) Data transmission method, wireless private network establishment method and system
JP6075871B2 (en) Network system, communication control method, communication control apparatus, and communication control program
US11750581B1 (en) Secure communication network
EP3821645B1 (en) Technique for providing reliable wireless communication
Lázaro Arrotegui et al. MACsec Layer 2 Security in HSR Rings in Substation Automation Systems
Sokol et al. Cryptographic protocols' performance and network layer security of RSMAD
CN115834090A (en) Communication method and device
WEERASINGHE SECURE TUNNELS IN 4G LTE NETWORKS
Cano et al. Experimental Tests on SCTP over IPSec
Cano Baños et al. Experimental Tests on SCTP over IPSec

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20151006

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20161005

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20171012

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20191004

Year of fee payment: 8