KR20040038168A - The method and system of internet security service by using packet marking - Google Patents

The method and system of internet security service by using packet marking Download PDF

Info

Publication number
KR20040038168A
KR20040038168A KR1020020067050A KR20020067050A KR20040038168A KR 20040038168 A KR20040038168 A KR 20040038168A KR 1020020067050 A KR1020020067050 A KR 1020020067050A KR 20020067050 A KR20020067050 A KR 20020067050A KR 20040038168 A KR20040038168 A KR 20040038168A
Authority
KR
South Korea
Prior art keywords
security
packet
security function
unit
marking
Prior art date
Application number
KR1020020067050A
Other languages
Korean (ko)
Inventor
이승민
김숙연
남택용
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020020067050A priority Critical patent/KR20040038168A/en
Publication of KR20040038168A publication Critical patent/KR20040038168A/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Abstract

PURPOSE: An Internet security service method using a packet marking function is provided to mark grades of customer packets, and to selectively pass through a security functional entity existing in an Internet service provider network, thereby supplying grade-based security services. CONSTITUTION: When a packet enters an Internet provider network, a security grade marker marks a security grade of the packet through a predetermined field(200). A decoder interprets the marked packet, and perceives the security grade(210). If the interpreted security grade is preset to correspond to an IDS(Invasion Detection System), the corresponding security grade is the IDS, and a security function is provided through the IDS(220). A decoder of a security functional entity and a security function supplier interpret the packet where the security function is carried out, and execute the security function corresponding to the preset security grade. Another security functional entity performs the security function.

Description

패킷 마킹을 이용한 인터넷 보안서비스 방법 및 시스템{The method and system of internet security service by using packet marking}Method and system of internet security service by using packet marking

본 발명은 네트웍 상에서의 보안 서비스 방법 및 그 시스템에 관한 것으로,더욱 상세하게는 인터넷 서비스 제공자의 망에서 패킷에 보안 등급을 마킹하여 등급별 보안서비스를 제공하는 패킷 마킹을 이용한 인터넷 사업자 망의 보안 서비스 방법 및 시스템에 관한 것이다.The present invention relates to a security service method and system therefor, and more particularly, to a security service method of an internet service provider network using a packet marking that provides a security service for each level by marking a security level on a packet in an internet service provider's network. And to the system.

컴퓨터 망의 확대 및 컴퓨터 이용의 증가, 특히 인터넷 이용자의 급격한 증가에 따라 보안문제가 중요하게 대두되고 있다. 종래에는 이러한 보안문제를 해결하기 위해 컴퓨터 시스템을 사용하려는 사용자의 사용요구를 제어하는 방법으로 시스템 자체의 보안을 하였다. 즉 단말시스템에서 시스템 사용에 대한 허용유무를 판단함으로써 안전한 시스템 관리를 도모하였다.With the expansion of computer networks and the increasing use of computers, especially the rapid increase of Internet users, security problems are emerging as an important issue. Conventionally, the system itself is secured by a method of controlling a user's use request for using a computer system to solve such a security problem. In other words, the system is designed for safe system management by determining the allowance for system use.

한편 인터넷 서비스 제공자에 의한 보안 서비스는 고객에게 보안 시스템을 임대하는 방법을 택하거나 고객의 보안 시스템을 이용하여 보안 서비스를 제공하고 있다. 따라서 서비스 제공자 측면에서는 고객이 원할 때마다 보안 시스템을 임대하거나 고객의 보안 시스템을 이용한 보안 서비스 제공은 고객의 증가와 향후 새로운 보안 시스템의 출현 시 신속한 대응과 효율적인 관리가 어려운 실정이다.On the other hand, the security service provided by the Internet service provider provides a security service using a security system lease to the customer or by using the customer's security system. Therefore, in the service provider side, it is difficult to promptly respond and efficiently manage when a customer wants to rent a security system or provide a security service using a customer's security system.

본 발명이 이루고자 하는 기술적 과제는 인터넷 상에서 패킷을 마킹함으로써 등급별 보안 서비스 방법 및 그 시스템을 제공하는 데 있다.An object of the present invention is to provide a class-specific security service method and system by marking a packet on the Internet.

즉 보안 서비스를 제공하는 인터넷 서비스 제공자 등에서 고객의 패킷에 대하여 등급을 마킹하여 인터넷 서비스 제공자 망에 존재하는 보안기능부(Security Functional Entity)를 선별적으로 통과함으로써 등급별 보안 서비스를 제공함을 목적으로 한다. 여기서 보안기능부(Security Functional Entity)는 보안 기능을 수행할 수 있는 개체를 의미한다.That is, an object of the present invention is to provide a security service for each grade by selectively passing a security functional entity existing in an internet service provider network by marking a grade on a packet of a customer at an internet service provider that provides a security service. Here, the security functional entity refers to an entity capable of performing a security function.

도 1은 본 발명에 따른 인터넷 사업자 망에서의 보안 서비스 시스템의 구성을 블록도로 도시한 것이다.1 is a block diagram illustrating a configuration of a security service system in an internet service provider network according to the present invention.

도 2는 도 1의 인터넷 사업자 망에서의 보안 서비스 시스템의 동작을 흐름도로 도시한 것이다.FIG. 2 is a flowchart illustrating an operation of a security service system in an internet operator network of FIG. 1.

도 3은 본 발명에 따른 인터넷 사업자 망에서의 보안 서비스 시스템의 다른 구성을 블록도로 도시한 것이다.3 is a block diagram illustrating another configuration of a security service system in an internet service provider network according to the present invention.

도 4는 본 발명에 따른 인터넷 사업자 망에서의 보안 서비스 시스템의 또 다른 구성을 블록도로 도시한 것이다.4 is a block diagram illustrating another configuration of a security service system in an internet service provider network according to the present invention.

도 5는 본 발명에 따른 인터넷 사업자 망에서의 보안 서비스 시스템의 보다 구체적인 일실시예의 구성을 블록도로 도시한 것이다.5 is a block diagram illustrating a configuration of a more specific embodiment of a security service system in an internet service provider network according to the present invention.

도 6은 IP 패킷의 일예를 도시한 것이다.6 shows an example of an IP packet.

상기 기술적 과제를 달성하기 위하여 본 발명에 따른 인터넷 사업자 망의 보안서비스 방법은 인터넷 사업자 망에서 패킷을 구성하는 필드의 소정 비트에 보안 등급을 마킹하는 단계; 및 상기 마킹된 패킷의 보안등급을 해석하여 상기 해석된 보안등급에 상응하는 보안기능을 제공하는 보안기능단계를 포함함을 특징으로 한다. 또한 상기 보안기능단계는 보안등급에 따라 보안을 적어도 두 가지 이상 순차적으로 수행함을 특징으로 한다. 또한 상기 보안기능단계는 상기 마킹된 패킷을 적어도 둘 이상 복사하는 단계; 상기 복사된 패킷 각각에 상응하는 보안기능을 병렬적으로 제공하는 단계; 및 상기 병렬적으로 보안기능이 수행된 패킷을 검사하여 하나의 패킷만을 내보내는 단계를 특징으로 한다.In order to achieve the above technical problem, the security service method of an internet service provider network includes: marking a security level on a predetermined bit of a field constituting a packet in an internet service provider network; And a security function step of interpreting a security level of the marked packet to provide a security function corresponding to the interpreted security level. In addition, the security function step is characterized by performing at least two or more security sequentially according to the security level. The security function may also include copying at least two of the marked packets; Providing a security function corresponding to each of the copied packets in parallel; And inspecting the packets in which the security function is performed in parallel and outputting only one packet.

그리고 상기 기재된 발명을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체을 제공한다.A computer readable recording medium having recorded thereon a program for executing the invention described above is provided.

상기 기술적 과제를 달성하기 위하여 본 발명에 따른 인터넷 보안 서비스 시스템은, 인터넷 서비스 사업자 망의 보안 서비스 제공 시스템에 있어서 패킷에 보안등급을 마킹하는 보안등급마킹부; 및 상기 마킹된 패킷의 보안등급에 따라 상응하는 보안기능을 제공하는 보안기능부를 포함함을 특징으로 한다.In order to achieve the above technical problem, the Internet security service system according to the present invention includes a security level marking unit for marking a security level on a packet in a security service providing system of an internet service provider network; And a security function unit that provides a corresponding security function according to the security level of the marked packet.

그리고 상기 보안기능부는 적어도 둘 이상이 서로 직렬로 연결됨을 특징으로 하고, 마킹된 패킷의 등급을 해석하는 디코더; 및 상기 디코더의 해석된 등급에 따라 상응하는 보안기능을 제공하는 보안기능제공부로 이루어짐을 특징으로 한다.And a decoder configured to interpret at least two or more serially connected to each other, the class of the marked packet; And a security function providing unit that provides a corresponding security function according to the analyzed grade of the decoder.

상기 패킷은 보안등급을 표시하는 적어도 하나 이상의 비트로 이루어진 패킷필드를 포함함을 특징으로 한다.The packet is characterized in that it comprises a packet field consisting of at least one or more bits indicating the security level.

상기 기술적 과제를 달성하기 위하여 본 발명에 따른 인터넷 보안 서비스 시스템은, 인터넷 서비스 사업자 망의 보안 서비스 제공 시스템에 있어서 패킷에 보안등급을 마킹하는 보안등급마킹부; 상기 보안등급마킹부의 마킹된 패킷을 동일한 것으로 적어도 둘 이상 생성하는 패킷복사부; 상기 패킷복사부에서 생성된 패킷 각각에 상응하는 보안기능을 제공하고, 적어도 둘이상이 병렬 또는 직병렬로 연결되는 보안기능부; 및 상기 병렬적으로 보안기능이 수행된 패킷을 검사하여 하나의 패킷만을 내보내는 패킷검사부를 포함함을 특징으로 한다.In order to achieve the above technical problem, the Internet security service system according to the present invention includes a security level marking unit for marking a security level on a packet in a security service providing system of an internet service provider network; A packet copying unit generating at least two marked packets of the security level marking unit as the same; A security function unit for providing a security function corresponding to each packet generated by the packet copy unit, and at least two or more connected in parallel or in parallel; And a packet inspecting unit for inspecting the packets in which the security function is performed in parallel and outputting only one packet.

상기 보안기능부는 마킹된 패킷의 등급을 해석하는 디코더; 및 상기 디코더의 해석된 등급에 따라 상응하는 보안기능을 제공하는 보안기능제공부로 이루어짐을 특징으로 하고, 상기 패킷은 보안등급을 표시하는 적어도 하나 이상의 비트로 이루어진 패킷필드를 포함한다.The security function unit is a decoder for interpreting the class of the marked packet; And a security function providing unit for providing a corresponding security function according to the interpreted level of the decoder, wherein the packet includes a packet field including at least one bit indicating a security level.

이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 들어 상세히 설명한다. 도 1은 본 발명에 따른 인터넷 사업자 망에서의 보안 서비스 시스템의 구성을 블록도로 도시한 것으로서, 보안등급 마킹부(110) 및 3개의 보안기능부(120, 130, 140)로 이루어져 있다. 상기 보안기능부(120, 130, 140) 각각은 디코더(122, 132, 142) 및 보안기능제공부(124, 124, 144)로 이루어진다.Hereinafter, with reference to the accompanying drawings will be described in detail a preferred embodiment of the present invention. 1 is a block diagram illustrating a configuration of a security service system in an internet service provider network according to the present invention, and includes a security rating marking unit 110 and three security function units 120, 130, and 140. Each of the security function units 120, 130, and 140 includes a decoder 122, 132, and 142 and a security function provider 124, 124, and 144.

상기 보안등급 마킹부(Grade Marker, 110)는 IP(Internet Protocol) 패킷(100)에 보안등급을 마킹(marking)한다. 상기 보안기능부(120, 130, 140)는마킹된 패킷(115)의 보안등급에 상응하는 보안기능을 제공하며, 각각은 서로 직렬로 연결되어 있다. 그리고 상기 디코더(122, 132, 142)는 마킹된 패킷의 등급을 해석한다. 상기 보안기능제공부(security functional entity, 124, 134, 144)는 상기 디코더(122, 132, 144)를 통해 해석된 등급에 상응하는 보안기능을 제공한다. 상기 보안기능제공부는 보안기능을 제공하는 개체이면 어느 것이나 사용할 수 있다. 예를 들면 정보시스템의 보안을 위협하는 침입 행위가 발생할 경우 이를 탐지하는 침입탐지 시스템(Invasion Detection System, 이하 IDS라 함), 인터넷에 IP(Internet Protocol)로 접속되어 있는 네트웍을 불법적인 침입으로부터 보호하기 위하여 게이트웨이에 설치되어 접속을 제한함으로써 보안을 어느 정도 확보하는 인터넷 침입차단시스템(Firewall), 컴퓨터 바이러스의 침입을 차단하는 항바이러스 시스템(Anti-virus system) 등이 될 수 있다.The security grade marking unit 110 marks the security level on the IP (Internet Protocol) packet 100. The security function unit 120, 130, 140 provides a security function corresponding to the security level of the marked packet 115, each is connected in series with each other. The decoders 122, 132, and 142 then interpret the class of the marked packets. The security functional entity (124, 134, 144) provides a security function corresponding to the level interpreted through the decoder (122, 132, 144). The security function providing unit may use any object that provides a security function. For example, the Invasion Detection System (IDS), which detects intrusions that threaten the security of information systems, and protects networks that are connected to the Internet by IP (Internet Protocol) from illegal intrusions In order to secure the security by installing a gateway to restrict the access to some extent (Firewall), it can be an anti-virus system (Anti-virus system) to block the intrusion of computer viruses.

도 2는 상기 도 1의 인터넷 사업자 망에서의 보안 서비스 시스템의 동작을 흐름도로 도시한 것으로서, 상기 보안 서비스 시스템의 동작을 설명하기로 한다. 먼저 패킷(110)이 인터넷 사업자 망으로 들어오면 보안등급마킹부(110)는 패킷의 소정 필드를 통해 보안등급을 마킹한다.(200단계) 그러면 디코더(122)는 마킹된 패킷(115)을 해석하여 보안등급을 파악한다.(210단계) 만약 해석된 보안등급을 IDS에 해당하도록 미리 설정하고 있었다면, 상응하는 보안등급은 IDS 이므로 상기 IDS를 통해 보안을 제공한다.(220단계) 그리고 그 다음 보안기능부(130)의 디코더(132) 및 보안기능 제공부(134)는 상기 보안 기능이 수행된 패킷을 해석하고 마찬가지로 미리 설정된 보안등급에 상응하는 보안기능을 수행한다. 마찬가지로하여 그 다음 보안기능부(140)에서도 보안기능을 수행한다. 즉 도 1에 예시된 보안등급 구조에서는 3단에 걸쳐 보안기능을 수행하게 된다.FIG. 2 is a flowchart illustrating the operation of the security service system in the Internet service provider network of FIG. 1, and the operation of the security service system will be described. First, when the packet 110 enters the internet provider network, the security level marking unit 110 marks the security level through a predetermined field of the packet (step 200). Then, the decoder 122 interprets the marked packet 115. If the analyzed security level is set in advance to correspond to the IDS, the corresponding security level is IDS. Therefore, the security level is provided through the IDS (step 220). The decoder 132 and the security function providing unit 134 of the function unit 130 interpret the packet on which the security function is performed and similarly perform a security function corresponding to a preset security level. Similarly, the next security function 140 performs a security function. That is, in the security level structure illustrated in FIG. 1, three levels of security functions are performed.

도 3은 본 발명에 따른 인터넷 사업자 망에서의 보안 서비스 시스템의 다른 구성을 블록도로 도시한 것으로서, 보안등급 마킹부(310), 패킷복사부(320), 3개의 보안기능부(330, 340, 350) 및 패킷검사부(360)로 이루어져 있다.3 is a block diagram showing another configuration of a security service system in an internet service provider network according to the present invention. The security level marking unit 310, the packet copy unit 320, and three security function units 330, 340, 350 and the packet inspecting unit 360.

상기 보안등급 마킹부(310)는 IP패킷에 보안등급을 마킹한다. 상기 패킷복사부(320)는 보안등급마킹부(310)의 마킹된 패킷을 동일한 것으로 세 개 복사한다. 상기 보안기능부(330, 340, 350) 각각은 마킹된 보안등급에 따라 그에 상응하는 보안기능을 수행하며, 디코더(332, 342, 352) 및 보안기능제공부(334, 344, 354)로 이루어진다. 상기 디코더(332, 342, 352) 및 보안기능제공부(334, 344, 354)는 도 1에 도시된 디코더 및 보안기능제공부와 마찬가지로 마킹된 패킷의 등급을 해석하고, 해석된 등급에 상응하는 보안기능을 제공한다. 다만, 보안기능부(330, 340, 350) 각각은 상호 의존성이 없을 경우에는 도 1과는 달리 병렬적으로 구성되어 있다. 따라서 디코더(332, 342, 352) 각각은 패킷복사부(320)로부터 복사된 패킷을 하나씩 받아 마킹된 패킷의 등급을 해석한다. 상기 디코더(332, 342, 352)로부터 해석된 보안등급에 따라 보안기능제공부(334, 344, 354)에서는 상응하는 보안기능을 수행하게 된다. 여기서 상기 보안기능제공부(334, 344, 354)는 서로 다른 보안기능을 수행하도록 설정되어 있으며, 상기 디코더(332, 342, 352)는 이를 기초로 패킷의 등급을 해석하게끔 그 기능이 설정되어 있다. 예를 들어 상기 패킷의 등급을 나타내는 필드가 3비트라고 가정하면, 첫 번째 디코더(332)는 등급필드의 첫 번째 비트만을 해석하고, 두 번째 디코더(342)는 두 번째 필드만을, 세 번째 디코더(352)는 세 번째 필드만을 해석하는 식으로 설정할 수 있다. 이는 실제로 구현하기에 따라 얼마든지 변형하여 사용가능하다.The security level marking unit 310 marks the security level on the IP packet. The packet copying unit 320 copies three marked packets of the security level marking unit 310 as the same. Each of the security function units 330, 340, 350 performs a security function corresponding to the marked security level, and includes a decoder 332, 342, 352, and a security function provider 334, 344, 354. . The decoders 332, 342, and 352 and the security function providing units 334, 344, and 354 interpret the class of the marked packet as in the decoder and the security function providing unit illustrated in FIG. 1, and correspond to the analyzed level. Provide security functions. However, each of the security function unit 330, 340, 350 is configured in parallel unlike in Figure 1 when there is no interdependence. Therefore, each of the decoders 332, 342, and 352 receives the packets copied from the packet copying unit 320 and analyzes the grade of the marked packets. The security function providing unit 334, 344, 354 performs the corresponding security function according to the security level interpreted by the decoders 332, 342, and 352. Here, the security function providing unit 334, 344, 354 is set to perform different security functions, and the decoder 332, 342, 352 is set to interpret the packet class based on the function. . For example, assuming that the field indicating the rank of the packet is 3 bits, the first decoder 332 interprets only the first bit of the rank field, and the second decoder 342 only uses the second field and the third decoder ( 352 may be set to interpret only the third field. It can be used as many variations as you actually implement.

상기 패킷검사부(360)는 상기 병렬적으로 보안기능이 수행된 패킷을 검사하여 하나의 패킷만을 내보낸다. 상기 패킷검사부는 여러 형태로 구현될 수 있는데, 예를 들어 상기 3개의 보안기능제공부(334, 344, 354)를 통해 보안기능이 수행된 패킷을 검사하여 동일성 유무를 확인하여 가장 처음 패킷만 전달시키고 나머지 패킷은 무시하는 기능을 수행할 수도 있다.The packet inspecting unit 360 inspects a packet in which the security function is performed in parallel and sends out only one packet. The packet inspecting unit may be implemented in various forms. For example, the packet inspecting unit checks whether a security function is performed through the three security function providing units 334, 344, and 354 to check whether there is an identicalness and deliver only the first packet. And ignore the remaining packets.

도 4는 본 발명에 따른 인터넷 사업자 망에서의 보안 서비스 시스템의 또 다른 구성을 블록도로 도시한 것으로서, IP 패킷에 보안등급을 마킹하는 보안등급 마킹부(410), 마킹된 패킷을 두 개로 복사하는 패킷복사부(420), 마킹된 보안등급에 따라 그에 상응하는 보안기능을 수행하는 3개의 보안기능부(430, 440, 450) 및 상기 병렬적으로 보안기능이 수행된 패킷을 검사하여 하나의 패킷만을 내보내는 패킷검사부(460)로 이루어져 있다.4 is a block diagram illustrating another configuration of a security service system in an internet service provider network according to the present invention. The security level marking unit 410 for marking a security level on an IP packet is copied to two marked packets. Packet copy unit 420, three security function units (430, 440, 450) to perform the corresponding security function according to the marked security level and the packet in which the security function is performed in parallel to one packet It consists of a packet inspection unit 460 for sending out.

상기 보안기능부(430, 440, 450) 각각은 디코더(432, 442, 452) 및 보안기능제공부(434, 444, 454)로 이루어진다. 상기 디코더(432, 442, 452) 및 보안기능제공부(434, 444, 454)는 도 3에 도시된 디코더 및 보안기능제공부와 마찬가지로 마킹된 패킷의 등급을 해석하고, 해석된 등급에 상응하는 보안기능을 제공한다. 여기서 보안기능부(430)와 보안기능부(440)는 직렬로 연결되어 있으며, 보안기능부(450)는 상기 보안기능부(430)과 병렬로 연결되어 있다. 따라서 상기디코더(432, 452) 각각은 패킷복사부(420)로부터 복사된 패킷을 하나씩 받아 마킹된 패킷의 등급을 해석한다.Each of the security function units 430, 440, 450 includes a decoder 432, 442, 452 and a security function provider 434, 444, 454. The decoders 432, 442, and 452 and the security function providing units 434, 444, and 454 interpret the class of the marked packet as in the decoder and the security function providing unit illustrated in FIG. 3, and correspond to the analyzed level. Provide security functions. Herein, the security function unit 430 and the security function unit 440 are connected in series, and the security function unit 450 is connected in parallel with the security function unit 430. Therefore, each of the decoders 432 and 452 receives one packet copied from the packet copying unit 420 and analyzes the grade of the marked packet.

상기 디코더(432, 442, 452)로부터 해석된 보안등급에 따라 보안기능제공부(434, 444, 454)는 상응하는 보안기능을 수행하게 된다. 여기서 상기 보안기능제공부(434, 444, 454)는 서로다른 보안기능을 수행하도록 설정되어 있으며, 상기 디코더(432, 442, 452)는 이를 기초로 패킷의 등급을 해석하게끔 그 기능이 설정되어 있다. 상기 직병렬적으로 보안기능이 수행된 패킷은 패킷검사부(460)에 입력되어 하나의 패킷만을 출력된다. 여기서 상기 패킷검사부(460)는 도 3에서와 마찬가지로 여러 형태로 구현될 수 있다.The security function providing unit 434, 444, 454 performs the corresponding security function according to the security level interpreted by the decoders 432, 442, 452. Here, the security function providing unit 434, 444, 454 is set to perform different security functions, and the decoder 432, 442, 452 is set to interpret the packet class based on this. . The packet in which the security function is performed in series and parallel is inputted to the packet inspecting unit 460 to output only one packet. The packet inspecting unit 460 may be implemented in various forms as in FIG. 3.

도 5는 본 발명에 따른 인터넷 사업자 망에서의 보안 서비스 시스템의 보다 구체적인 일실시예의 구성을 블록도로 도시한 것으로서, 크게 외부사이트 망(500), 인터넷 서비스 사업자망(550) 및 고객망(580)에서 동작된다. 상기 외부사이트 망(500)은 적어도 하나 이상의 호스트(510) 및 라우터(520)을 포함하며, 상기 인터넷 서비스 사업자 망(550)은 적어도 하나 이상의 라우터(530) 및 보안시스템(540)으로 이루어지고, 고객망(580)은 고객시스템(585)을 포함하며, 라우터 등을 포함한 망이 될 수도 있고 하나의 컴퓨터일 수도 있다.5 is a block diagram showing the configuration of a more specific embodiment of a security service system in an internet service provider network according to the present invention. The external site network 500, the Internet service provider network 550, and the customer network 580 are illustrated in FIG. Is operated on. The external site network 500 includes at least one host 510 and a router 520, and the internet service provider network 550 includes at least one router 530 and a security system 540. The customer network 580 includes a customer system 585 and may be a network including a router or the like or a computer.

상기 호스트(510)는 외부 사이트 망(500)을 통하여 인터넷 서비스 사업자망(550)을 경유하여 상기 고객 시스템(585)으로 패킷을 보내고자 원하는 패킷(515)을 생성한다. 상기 라우터(520)는 호스트 컴퓨터(510)의 패킷을 인터넷 서비스 사업자 망(550)의 라우터(530)로 전달한다.The host 510 generates a desired packet 515 to send a packet to the customer system 585 via the internet service provider network 550 via the external site network 500. The router 520 forwards the packet of the host computer 510 to the router 530 of the internet service provider network 550.

상기 인터넷 서비스 사업자 망(550)의 라우터(530)는 보안등급 마킹기능을 가지며, 고객인터넷 망(500)의 라우터(520)로부터 전달된 패킷(525)을 수신하여 보안등급을 마킹한다. 상기 보안시스템(540)은 상기 마킹된 패킷(535)을 해석하는 디코더기능과 해석된 보안등급에 따라 보안기능을 수행하는 보안기능제공기능을 가지며, 이에 따라 마킹된 패킷을 해석하고 보안기능을 수행한다.The router 530 of the internet service provider network 550 has a security level marking function, and receives the packet 525 transmitted from the router 520 of the customer internet network 500 to mark the security level. The security system 540 has a decoder function for interpreting the marked packet 535 and a security function providing function for performing a security function according to the interpreted security level. Accordingly, the security system 540 interprets the marked packet and performs a security function. do.

상기 도 5에 참조하여 그 동작을 설명하기로 한다. 고객망(580)에서의 고객시스템(585)은 인터넷 서비스 제공자와 사전에 보안 등급을 계약했다고 가정한다. 외부사이트(500)의 패킷이 인터넷 서비스 제공자 망을 경유하여 고객망(580)으로 진입한다고 했을 때, 인터넷 서비스 제공자 망(550)의 등급별 보안 서비스를 제공받기 위하여 외부 패킷은 인터넷 서비스 제공자 망(550)의 에지 라우터(530)에서 목적지 주소가 고객시스템(585)으로 향하는 패킷에 대하여 상기 라우터(530)에 포함되어 있는 보안등급마킹부(Security Grade Marker)에서 마킹하여 보안등급을 표시한다. 상기 보안등급마킹부는 도 6의 IP 패킷(601)의 서비스 타입 필드의 3 비트를 이용하여 최대 8개까지 보안 등급을 표시할 수 있다. 마킹된 패킷(535)은 경유하는 경로 상에 위치한 보안 시스템(540) 내에서 등급을 확인하여 해당 서비스를 제공받게 된다. 이 때, 보안 시스템(540)은 마킹된 패킷(535)으로부터 등급을 확인할 수 있는 디코더(Decoder) 기능 블록과 보안기능제공(Security Functional Entity) 기능 블록을 포함한다.The operation thereof will be described with reference to FIG. 5. It is assumed that the customer system 585 in the customer network 580 has contracted the security level in advance with the Internet service provider. When the packet of the external site 500 enters the customer network 580 via the Internet service provider network, the external packet is provided to the Internet service provider network 550 to receive the security service for each level of the Internet service provider network 550. In the router 530 of the edge), the security grade marker included in the router 530 is marked for the packet whose destination address is destined for the customer system 585 to indicate the security grade. The security level marking unit may display up to 8 security levels using 3 bits of the service type field of the IP packet 601 of FIG. 6. The marked packet 535 checks the grade in the security system 540 located on the route to receive the corresponding service. In this case, the security system 540 includes a decoder function block and a security functional entity function block capable of confirming a grade from the marked packet 535.

표 1은 상기 세 가지 보안 기능 블록에 대한 서비스를 구분한 것이며, 표 2는 이를 조합하여 8가지 보안 등급으로 표현한 것이다.Table 1 distinguishes services for the three security function blocks, and Table 2 expresses the eight security levels in combination.

보안기능부(Security Functional Entity)Security Functional Entity 구 분division 내 용Contents IDS(침입 탐지 시스템)Intrusion Detection System (IDS) I(1)I (1) misuse detectionmisuse detection I(2)I (2) anomaly + miuse detectionanomaly + miuse detection Firewall(침입 차단 시스템)Firewall F(1)F (1) 프로토콜 수준의 필터링Protocol level filtering F(2)F (2) 프로토콜+포트수준의 필터링Protocol + port level filtering Anti-virus system(항 바이러스 시스템)Anti-virus system A(1)A (1) 제공하지 않음Not provided A(2)A (2) 메일에 대한 바이러스 검색Virus scan for mail

표 2의 Service Type Field는 도 6의 IP 패킷의 Service Type Field(601)의 3 Bit를 표시한 것이며, 최대 8개의 등급으로 구분하였다. 따라서 도 5에서 고객 시스템(550)로 향하는 패킷이 표 2의 A 보안 등급으로 설정되어 있다면, IDS에서는 misuse detection 방법을 사용하며, Firewall에서는 프로토콜 수준의 필터링을 제공하며, Anti-virus system에서는 해당 서비스를 제공하지 않고 통과하게 된다.The Service Type Field of Table 2 indicates 3 bits of the Service Type Field 601 of the IP packet of FIG. 6 and is divided into a maximum of eight classes. Therefore, if the packet destined for the customer system 550 in FIG. 5 is set to A security level in Table 2, IDS uses a misuse detection method, Firewall provides protocol level filtering, and Anti-virus system provides corresponding service. Pass without providing.

등 급Rating Service Type FieldService Type Field IDSIDS FirewallFirewall Anti-virusAnti-virus AA 00 00 00 I(1)I (1) F(1)F (1) A(1)A (1) BB 00 00 1One I(1)I (1) F(1)F (1) A(2)A (2) CC 00 1One 00 I(1)I (1) F(2)F (2) A(1)A (1) DD 00 1One 1One I(1)I (1) F(2)F (2) A(2)A (2) EE 1One 00 00 I(2)I (2) F(1)F (1) A(1)A (1) FF 1One 00 1One I(2)I (2) F(1)F (1) A(2)A (2) GG 1One 1One 00 I(2)I (2) F(2)F (2) A(1)A (1) HH 1One 1One 1One I(2)I (2) F(2)F (2) A(2)A (2)

마찬가지로 고객 시스템(550)으로 향하는 패킷이 표 2의 H 보안 등급으로 설정되어 있다면, IDS에서는 anomaly 와 misuse detection 방법을 사용하며, Firewall에서는 프로토콜과 포트 수준의 필터링을 제공하며, Anti-virus system에서는 메일에 대한 바이러스 검색을 하게 된다.Similarly, if the packet destined for the customer's system 550 is set to the H security level in Table 2, IDS uses anomaly and misuse detection methods, Firewall provides protocol and port level filtering, and Anti-virus system provides mail. Virus scan for.

본 발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광 데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.The invention can also be embodied as computer readable code on a computer readable recording medium. The computer-readable recording medium includes all kinds of recording devices in which data that can be read by a computer system is stored. Examples of computer-readable recording media include ROM, RAM, CD-ROM, magnetic tape, floppy disk, optical data storage, and the like, and may also be implemented in the form of a carrier wave (for example, transmission over the Internet). Include. The computer readable recording medium can also be distributed over network coupled computer systems so that the computer readable code is stored and executed in a distributed fashion.

상술한 본 발명에 따르면, 본 발명은 등급별 보안 서비스를 제공 받기를 원하는 고객에 대하여, 고객 패킷에 대하여 마킹을 이용한 등급별 보안 서비스를 제공할 수 있다. 마킹된 패킷은 한 시스템 내에 다양한 보안 기능을 제공하는 기능 블록을 이용하여 보안 서비스를 제공하게 된다. 이러한 보안 서비스는 고객 측면에서 자신의 네트워크에서 보안 시스템에 의존하지 않고 자신이 원하는 보안 등급을 선택적으로 이용할 수 있을 뿐만 아니라, 서비스 제공자 측면에서는 시스템 내의 보안기능부(Security Functional Entity)의 구성에 따라 자동화되고 신속한 서비스 제공이 가능하다는 효과를 얻을 수 있다.According to the present invention described above, the present invention can provide a security service for each grade by using a marking on the customer packet to the customer who wants to receive the security service for each grade. Marked packets provide security services using functional blocks that provide various security functions within a system. These security services not only rely on the security system on their network, but on the customer side, they can selectively use the security level they want, and on the service provider side, they can be automated according to the configuration of the security functional entity in the system. It is possible to obtain the effect that the service can be provided promptly.

Claims (11)

인터넷 사업자 망에서 패킷을 구성하는 필드의 소정 비트에 보안 등급을 마킹하는 단계; 및Marking a security level on a predetermined bit of a field constituting a packet in an ISP network; And 상기 마킹된 패킷의 보안등급을 해석하여 상기 해석된 보안등급에 상응하는 보안기능을 제공하는 보안기능단계를 포함함을 특징으로 하는 패킷 마킹을 이용한 인터넷 사업자 망의 보안서비스 방법.And a security function step of interpreting a security level of the marked packet to provide a security function corresponding to the interpreted security level. 제1항에 있어서, 상기 보안기능단계는The method of claim 1, wherein the security function step 보안등급에 따라 보안을 적어도 두 가지 이상 순차적으로 수행함을 특징으로 하는 패킷 마킹을 이용한 인터넷 사업자 망의 보안서비스 방법.A security service method of an internet service provider network using packet marking, characterized in that at least two security steps are sequentially performed according to the security level. 제1항에 있어서, 상기 보안기능단계는The method of claim 1, wherein the security function step 상기 마킹된 패킷을 적어도 둘 이상 복사하는 단계;Copying at least two of the marked packets; 상기 복사된 패킷 각각에 상응하는 보안기능을 병렬적으로 제공하는 단계; 및Providing a security function corresponding to each of the copied packets in parallel; And 상기 병렬적으로 보안기능이 수행된 패킷을 검사하여 하나의 패킷만을 내보내는 단계를 포함함을 특징으로 하는 패킷 마킹을 이용한 인터넷 사업자 망의 보안서비스 방법.And inspecting the packets in which the security function has been performed in parallel and outputting only one packet. 제1항 내지 제3항 중 어느 한 항에 기재된 발명을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.A computer-readable recording medium having recorded thereon a program for executing the invention according to any one of claims 1 to 3. 인터넷 서비스 사업자 망의 보안 서비스 제공 시스템에 있어서,In the security service providing system of the Internet service provider network, 패킷에 보안등급을 마킹하는 보안등급마킹부; 및Security level marking unit for marking the security level on the packet; And 상기 마킹된 패킷의 보안등급에 따라 상응하는 보안기능을 제공하는 보안기능부를 포함함을 특징으로 하는 패킷 마킹을 이용한 인터넷 보안 서비스 시스템.Internet security service system using a packet marking, characterized in that it comprises a security function for providing a corresponding security function according to the security level of the marked packet. 제5항에 있어서, 상기 보안기능부는The method of claim 5, wherein the security function unit 적어도 둘 이상이 서로 직렬로 연결됨을 특징으로 하는 패킷 마킹을 이용한 인터넷 보안 서비스 시스템.Internet security service system using packet marking, characterized in that at least two are connected in series with each other. 제6항에 있어서, 상기 보안기능부는The method of claim 6, wherein the security function unit 마킹된 패킷의 등급을 해석하는 디코더; 및A decoder for interpreting the class of marked packets; And 상기 디코더의 해석된 등급에 따라 상응하는 보안기능을 제공하는 보안기능제공부로 이루어짐을 특징으로 하는 패킷 마킹을 이용한 인터넷 보안 서비스 시스템.Internet security service system using a packet marking, characterized in that consisting of a security function providing unit for providing a corresponding security function according to the interpreted class of the decoder. 제5항 내지 제7항 중 어느 한 항에 있어서, 상기 패킷은8. The method of any one of claims 5 to 7, wherein the packet is 보안등급을 표시하는 적어도 하나 이상의 비트로 이루어진 패킷필드를 포함함을 특징으로 하는 패킷 마킹을 이용한 인터넷 보안 서비스 시스템.Internet security service system using a packet marking, characterized in that it comprises a packet field consisting of at least one bit indicating the security level. 인터넷 서비스 사업자 망의 보안 서비스 제공 시스템에 있어서,In the security service providing system of the Internet service provider network, 패킷에 보안등급을 마킹하는 보안등급마킹부;Security level marking unit for marking the security level on the packet; 상기 보안등급마킹부의 마킹된 패킷을 동일한 것으로 적어도 둘 이상 생성하는 패킷복사부;A packet copying unit generating at least two marked packets of the security level marking unit as the same; 상기 패킷복사부에서 생성된 패킷 각각에 상응하는 보안기능을 제공하고, 적어도 둘이상이 병렬로 연결되는 보안기능부; 및A security function unit for providing a security function corresponding to each packet generated by the packet copy unit, and connecting at least two of them in parallel; And 상기 병렬적으로 보안기능이 수행된 패킷을 검사하여 하나의 패킷만을 내보내는 패킷검사부를 포함함을 특징으로 하는 패킷 마킹을 이용한 인터넷 보안 서비스 시스템.And a packet inspecting unit for inspecting the packets in which the security function has been performed in parallel and outputting only one packet. 제9항에 있어서, 상기 보안기능부는The method of claim 9, wherein the security function unit 상기 패킷복사부에서 생성된 패킷 각각에 상응하는 보안기능을 제공하고, 적어도 둘이상이 직병렬로 연결됨을 특징으로 하는 패킷 마킹을 이용한 인터넷 보안 서비스 시스템.Provides a security function corresponding to each packet generated by the packet copying unit, and at least two or more are connected in parallel parallel Internet security service system using a packet marking. 제9항 또는 제10항에 있어서, 상기 보안기능부는The method of claim 9 or 10, wherein the security function unit 마킹된 패킷의 등급을 해석하는 디코더; 및A decoder for interpreting the class of marked packets; And 상기 디코더의 해석된 등급에 따라 상응하는 보안기능을 제공하는 보안기능제공부로 이루어짐을 특징으로 하는 패킷 마킹을 이용한 인터넷 보안 서비스 시스템.Internet security service system using a packet marking, characterized in that consisting of a security function providing unit for providing a corresponding security function according to the interpreted class of the decoder.
KR1020020067050A 2002-10-31 2002-10-31 The method and system of internet security service by using packet marking KR20040038168A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020020067050A KR20040038168A (en) 2002-10-31 2002-10-31 The method and system of internet security service by using packet marking

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020020067050A KR20040038168A (en) 2002-10-31 2002-10-31 The method and system of internet security service by using packet marking

Publications (1)

Publication Number Publication Date
KR20040038168A true KR20040038168A (en) 2004-05-08

Family

ID=37336413

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020020067050A KR20040038168A (en) 2002-10-31 2002-10-31 The method and system of internet security service by using packet marking

Country Status (1)

Country Link
KR (1) KR20040038168A (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100748113B1 (en) * 2005-06-16 2007-08-09 김학병 Network device for preventing leakage of secret data and method thereof
WO2012164336A1 (en) * 2011-05-31 2012-12-06 Bce Inc. Distribution and processing of cyber threat intelligence data in a communications network
US8438629B2 (en) 2005-02-21 2013-05-07 Samsung Electronics Co., Ltd. Packet security method and apparatus
US8749805B2 (en) 2007-06-28 2014-06-10 Samsung Electronics Co., Ltd. Method and apparatus for allowing packet in network image forming apparatus includes setting user account information corresponding to plurality of network interfaces
WO2015175359A1 (en) * 2014-05-13 2015-11-19 Adtran, Inc. Detecting and disabling rogue access points in a network

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH09214556A (en) * 1995-11-30 1997-08-15 Toshiba Corp Packet transfer method, packet processor, packet ciphering method, packet decoding method and packet ciphering processing method
KR19980024526A (en) * 1996-09-24 1998-07-06 최승렬 Information Security System and Method for Tracking Information Leakage
US6098173A (en) * 1997-11-27 2000-08-01 Security-7 (Software) Ltd. Method and system for enforcing a communication security policy
JP2001077811A (en) * 1999-09-01 2001-03-23 Akuton Technology Kk Network interface card
KR20020016711A (en) * 2000-08-26 2002-03-06 박태규 Mandatory Object Access Control Method Using Multi-Level Security, and Computer Readable Recording Medium Having thereon Programmed Mandatory Object Access Control Method Using Multi-Level Security
KR20040028329A (en) * 2002-09-30 2004-04-03 주식회사 케이티 Method for supplying discriminative services in VPN

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH09214556A (en) * 1995-11-30 1997-08-15 Toshiba Corp Packet transfer method, packet processor, packet ciphering method, packet decoding method and packet ciphering processing method
KR19980024526A (en) * 1996-09-24 1998-07-06 최승렬 Information Security System and Method for Tracking Information Leakage
US6098173A (en) * 1997-11-27 2000-08-01 Security-7 (Software) Ltd. Method and system for enforcing a communication security policy
JP2001077811A (en) * 1999-09-01 2001-03-23 Akuton Technology Kk Network interface card
KR20020016711A (en) * 2000-08-26 2002-03-06 박태규 Mandatory Object Access Control Method Using Multi-Level Security, and Computer Readable Recording Medium Having thereon Programmed Mandatory Object Access Control Method Using Multi-Level Security
KR20040028329A (en) * 2002-09-30 2004-04-03 주식회사 케이티 Method for supplying discriminative services in VPN

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8438629B2 (en) 2005-02-21 2013-05-07 Samsung Electronics Co., Ltd. Packet security method and apparatus
KR100748113B1 (en) * 2005-06-16 2007-08-09 김학병 Network device for preventing leakage of secret data and method thereof
US8749805B2 (en) 2007-06-28 2014-06-10 Samsung Electronics Co., Ltd. Method and apparatus for allowing packet in network image forming apparatus includes setting user account information corresponding to plurality of network interfaces
WO2012164336A1 (en) * 2011-05-31 2012-12-06 Bce Inc. Distribution and processing of cyber threat intelligence data in a communications network
US9118702B2 (en) 2011-05-31 2015-08-25 Bce Inc. System and method for generating and refining cyber threat intelligence data
WO2015175359A1 (en) * 2014-05-13 2015-11-19 Adtran, Inc. Detecting and disabling rogue access points in a network
US9439131B2 (en) 2014-05-13 2016-09-06 Adtran, Inc. Detecting and disabling rogue access points in a network

Similar Documents

Publication Publication Date Title
CN109565500B (en) On-demand security architecture
US10554475B2 (en) Sandbox based internet isolation in an untrusted network
US10558798B2 (en) Sandbox based Internet isolation in a trusted network
US10129287B2 (en) Automatic detection and mitigation of security weaknesses with a self-configuring firewall
US8543710B2 (en) Method and system for controlling network access
US7475424B2 (en) System and method for on-demand dynamic control of security policies/rules by a client computing device
EP1949242B1 (en) Systems and methods for modifying network map attributes
US11323474B1 (en) System and method for determining endpoint compatibility with subnet prefix of all-ones for lateral propagation prevention of ransomware
US20070266158A1 (en) Security checking program for communication between networks
EP3057282B1 (en) Network flow control device, and security strategy configuration method and device thereof
US20080151887A1 (en) Method and Apparatus For Inter-Layer Binding Inspection
JP2005530223A (en) Methods for automatic configuration and updating of security policies
JP2009110270A (en) Malware detecting apparatus, monitoring apparatus, malware detecting program, and malware detecting method
US20130298220A1 (en) System and method for managing filtering information of attack traffic
JP2011029749A (en) Method and apparatus for dynamically controlling destination of transmission data in network communication
JP2019097133A (en) Communication monitoring system and communication monitoring method
CN108111536B (en) Application-level secure cross-domain communication method and system
CN114885332A (en) Traffic processing method and device, storage medium and electronic equipment
KR20040038168A (en) The method and system of internet security service by using packet marking
CN102217248B (en) Distributed packet flow checks and process
KR102184114B1 (en) Method and apparatus for providing network security service
US20090158386A1 (en) Method and apparatus for checking firewall policy
CN105376167A (en) Distributed packet stream inspection and processing
KR102094316B1 (en) Network Separation System Based on Account Switching
WO2024060779A1 (en) Data traffic access control methods and apparatus, electronic device and storage medium

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application