KR100449809B1 - 다중 보안 서비스를 제공하는 개선된 아이피 계층에서의패킷 보호 방법 - Google Patents

다중 보안 서비스를 제공하는 개선된 아이피 계층에서의패킷 보호 방법 Download PDF

Info

Publication number
KR100449809B1
KR100449809B1 KR10-2001-0085777A KR20010085777A KR100449809B1 KR 100449809 B1 KR100449809 B1 KR 100449809B1 KR 20010085777 A KR20010085777 A KR 20010085777A KR 100449809 B1 KR100449809 B1 KR 100449809B1
Authority
KR
South Korea
Prior art keywords
packet
layer
security
service
header
Prior art date
Application number
KR10-2001-0085777A
Other languages
English (en)
Other versions
KR20030055715A (ko
Inventor
박소희
나재훈
손승원
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR10-2001-0085777A priority Critical patent/KR100449809B1/ko
Publication of KR20030055715A publication Critical patent/KR20030055715A/ko
Application granted granted Critical
Publication of KR100449809B1 publication Critical patent/KR100449809B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0485Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2212/00Encapsulation of packets

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 다중 보안 서비스를 제공하는 개선된 IP 계층에서의 패킷 보호 방법에 관한 것이다.
본 발명은 송신하고자 하는 패킷의 IP 헤더를 생성한 후 보안 정책 데이터베이스 및 보안 연계 데이터 베이스를 참조하여 패킷 별 보안 서비스의 선택 여부를 결정하는 단계와; 보안 서비스의 종류가 AH인지 ESP인지를 구분하여 각각 서비스의 종류에 따라 패킷에 대한 인캡슐레이션, 패딩, 암호화 처리, ICV 계산 및 SN 값의 생성에 관한 처리를 수행하는 단계와; 터널링/트랜스포트 헤더를 생성하여 IP 패킷 단편화 기능으로 전달하는 단계; 및 다중의 보안 서비스를 제공하기 위해 상기 3개의 단계를 반복 수행하는 단계로 이루어지며, 상기 4단계의 단계를 IP 계층에서 IP 헤더를 생성하고 IP 헤더가 구성된 IP 패킷을 단편화하기 전에 수행하고,
이에 따라서, 상위 계층 서비스 프로그램의 변경 없이 모든 인터넷 서비스에 정보보호 기능을 제공할 수 있고, 종래의 IP 계층의 패킷 보호 방법에 비해 한 개 이상의 보안 서비스가 적용될 수 있는 장점이 있다.

Description

다중 보안 서비스를 제공하는 개선된 아이피 계층에서의 패킷 보호 방법 { IMPROVED METHOD FOR SECURING PACKETS PROVIDING MULTI-SECURITY SERVICES IN IP LAYER }
본 발명은 인터넷에서 다중의 보안 서비스를 제공하기 위한 방법에 관한 것이며, 보다 상세히는 상위 응용 계층 서비스 프로그램의 변경 없이, 또한 서비스의 종류 및 유형에 상관없이 다중의 정보보호 서비스를 제공하는 개선된 IP 계층에서의 패킷 보호 방법에 관한 것이다.
종래의 인터넷 정보보호 기술은 응용 계층의 서비스 별로 정보보호를 수행하는 방법들이 사용되었다.
그러나, 상기와 같은 종래의 인터넷 정보보호 방법들은 인터넷 서비스별로 정보보호 방법이 존재하고, 정보보호를 인터넷 서비스에서 제공하기 위해서는 응용 계층 서비스 프로그램의 변경이 반드시 필요하기 때문에, 사용자 및 인터넷 서비스 제공자에게 많은 경제적 지출을 유발할 뿐만 아니라, 응용 계층 서비스별로 각각 독립적인 정보보호 방법이 필요하게 되며, 각 응용 계층 서비스 프로그램의 부가적인 변경이 필요하게 되는 문제점을 내포하고 있다.
따라서, 본 발명은 상술한 종래의 문제점을 극복하기 위한 것으로서, 본 발명의 목적은 종래의 인터넷 정보보호 기술에서 사용하던 응용 계층의 서비스 별로 정보보호를 수행하는 방법들을 대신하여, 응용 계층 서비스 프로그램에 영향을 주지 아니하고 독립적인 구현 및 운용이 가능한 IP 계층에서 패킷 별로 다중의 정보보호 서비스를 제공할 수 있는 다중 보안 서비스를 제공하는 개선된 IP 계층에서의패킷 보호 방법을 제공하는데 그 목적이 있다.
상기 본 발명의 목적을 달성하기 위한 다중 보안 서비스를 제공하는 개선된 IP 계층에서의 패킷 보호 방법은, 송신하고자 하는 패킷의 IP 헤더를 생성한 후 보안 정책 데이터베이스 및 보안 연계 데이터 베이스를 참조하여 패킷 별 보안 서비스의 선택 여부를 결정하는 단계와; 보안 서비스의 종류가 AH인지 ESP인지를 구분하여 각각 서비스의 종류에 따라 패킷에 대한 인캡슐레이션(encapsulation), 패딩, 암호화 처리, ICV 계산 및 SN 값의 생성에 관한 처리를 수행하는 단계와; 터널링/트랜스포트 헤더를 생성하여 IP 패킷 단편화 기능으로 전달하는 단계; 및 다중의 보안 서비스를 제공하기 위해 상기 3개의 단계를 반복 수행하는 단계로 이루어지며, 상기 4단계의 단계를 IP 계층에서 IP 헤더를 생성하고 IP 헤더가 구성된 IP 패킷을 단편화하기 전에 수행하는 것을 특징으로 한다.
도 1은 본 발명이 적용되는 인터넷의 IP 계층에서 패킷 보호를 위한 프로토콜 스택과 기존의 프로토콜 스택과의 차이점을 보여주는 구성도,
도 2는 IP 패킷별 정보보호 서비스 제공을 위한 IPsec기능이 추가된 IP 패킷의 구성도,
도 3은 패킷별 정보보호 제공을 위한 출력 IP 패킷에 대한 처리 절차 순서도,
도 4는 정보보호 서비스가 제공된 입력 IP 패킷에 대한 처리 절차 순서도,
도 5는 인터넷의 게이트웨이 시스템에서 정보보호 서비스 제공에 대한 처리 절차 순서도이다.
이하, 본 발명에 따른 다중 보안 서비스를 제공하는 개선된 IP 계층에서의 패킷 보호 방법을 첨부한 도면을 참조하여 상세히 설명하기로 한다.
도 1a과 도 1b를 참조하면, 도 1a는 기존의 인터넷 시스템의 프로토콜 스택으로서, 상위 계층의 네트워크 응용 프로그램과 하위 네트워크 미디어가 위치한 물리 계층까지의 수직적인 연결을 보여준다.
도 1a에 있어서, 사용자의 응용 프로그램은 타 시스템과의 통신을 위해 시스템 커널의 BSD와 INET 소켓 계층을 거쳐 네트워크 프로토콜별로 TCP(Transmission Control Protocol), UDP(User Datagram Protocol), ICMP(Internet Control Messages Protocol), 및 IGMP(Internet Group Multicasting Protocol) 프로토콜 처리 모듈을 거치고, 이들 모두 공통적으로 IP 계층을 지남으로써 인터넷의 기본적인 통신 단위인 IP 패킷이 만들어지게 된다.
상기 IP 패킷은 데이터 링크 계층 프로토콜 특성에 따라 PPP(Point-to-Point Protocol), SLIP(Serial Line Interface Protocol), Ethernet등의 네트워크 디바이스 드라이버 계층을 지남에 따라 IP 패킷에 부가적인 네트워크 헤더를 추가한 후 인터넷으로 내보내게 된다.
반면에, 본 발명에 따른 다중 보안 서비스를 제공하는 개선된 IP 계층에서의 패킷 보호 방법에서는, 상기 응용 계층 서비스 프로그램에 영향을 주지 아니하고 독립적인 구현 및 운용이 가능한 IP 계층에서 패킷 별로 정보보호 서비스를 제공하기 위하여 도 1b에 도시된 바와 같이, IP 계층의 일부분에 IPsec 계층을 추가하였다.
상기 IPsec 계층에서는 IP 계층을 통과하는 모든 패킷에 대한 정보보호 서비스의 적용 및 해제 기능을 가지고 있다. 또한, 하위 계층으로부터 수신되는 패킷은 정보보호 서비스를 해제하는 기능에 의해 처리된 후 기존의 IP 계층에서 필요한 처리를 하게 되고, IP 계층으로부터 수신된 패킷은 정보보호 서비스를 적용하는 기능에 의해 패킷을 변경한 후 이를 데이터 링크 계층으로 전달하게 된다.
도 2a 내지 도 2f는 상기 IPsec 계층에서 적용하고자 하는 정보보호 서비스를 위한 패킷 변형에 대한 예시도로서, 서비스의 종류에 따라 AH(Authentication Header)와 ESP(Encapsulating Security Payload) 프로토콜로 나뉜다.
상기 AH 프로토콜은 IP 헤더에 대한 인증 서비스를 제공하고, ESP프로토콜은 IP 패킷을 암호화하여 패킷의 내용에 대한 기밀성과 IP 헤더에 대한 인증 서비스를 모두 제공한다.
상기 두 프로토콜에는 IP 헤더에 대한 인증 서비스와 IP 패킷에 대한 기밀성 서비스 등의 기본 서비스만을 제공하기 위한 트랜스포트 모드가 있고, 패킷의 발신지 정보를 감추기 위한 기능을 추가한 터널 모드가 있다.
또한, 상기 두 프로토콜은 모두 재전송 공격에 대한 감내 서비스를 위해 SN(Sequence Number) 값을 이용하며, 수신측에서 연속적으로 수신되는 패킷에 대한 SN 값을 검사함으로써 재전송되는 패킷을 폐기하여 재전송 공격으로부터 안정적인 시스템을 유지할 수 있다.
상기와 같은 보안 서비스는 보안 정책 데이터베이스에 따라 다중으로 적용될 수 있다. 예컨대, 트랜스포트 AH 프로토콜, 트랜스포트 ESP 프로토콜, 터널 AH 프로토콜, 터널 ESP 프로토콜은 서로 조합을 이루어 보안 서비스를 제공할 수 있다.
다만, 같은 모드에서 즉 트랜스포트 모드에서 AH와 ESP 프로토콜이 동시에 적용될 경우 보안상의 취약을 없애기 위해 ESP가 먼저 적용되고 AH가 뒤에 적용되어야 한다. 이는 터널 모드에서도 동일하게 적용된다.
따라서, 하나의 IP 패킷에는 15가지의 보안 서비스 적용이 가능하다(예컨대,트랜스포트 AH, 트랜스포트 ESP, 터널 AH, 터널 ESP, 트랜스포트 ESP + 트랜스포트 AH, 터널 ESP + 터널 AH, 트랜스포트 AH + 터널 AH, 트랜스포트 AH + 터널 ESP, 트랜스포트 AH + 터널 ESP + 터널 AH, 트랜스포트 ESP + 터널 AH, 트랜스포트 ESP + 터널 ESP, 트랜스포트 ESP + 터널 ESP + 터널 AH, 트랜스포트 ESP + 트랜스포트 AH + 터널 AH, 트랜스포트 ESP + 트랜스포트 AH + 터널 ESP, 트랜스포트 ESP + 트랜스포트 AH + 터널 ESP + 터널 AH).
참고로, 도 2a는 기존의 IPv4 헤더에 AH 트랜스포트 및 터널링 모드 서비스가 추가된 패킷의 예를 보여주고, 도 2b는 기존의 IPv4 헤더에 ESP 트랜스포트 및 터널링 모드 서비스가 추가된 예를 보여준다. 도 2c는 트랜스포트 모드에서 AH와 ESP 프로토콜이 동시에 적용되는 예와 터널 모드에서 AH와 ESP 프로토콜이 동시에 적용되는 예를 보여주고, 도 2d는 트랜스포트 모드의 AH와 ESP 프로토콜이 적용되고 또한 터널 모드의 AH와 ESP 프로토콜이 모두 적용되는 예를 보여준다. 도 2e는 AH 프로토콜 헤더의 구조를 보여주고, 2f는 ESP 프로토콜 헤더의 구조를 보여준다.
여기서, 상기 AH 프로토콜의 헤더는 AH 헤더 다음에 나타날 헤더의 종류, 패이로드의 길이, 보안 연계 데이터베이스를 검색하는 필요한 SPI(Security Parameter Index), 재전송 공격에 대한 감내성을 위한 SN(Sequence Number), AH 프로토콜의 핵심인 인증데이터로 구성된다.
상기 ESP 프로토콜의 헤더는 보안 연계 데이터베이스를 검색하는 필요한 SPI(Security Parameter Index), 재전송 공격에 대한 감내성을 위한 SN(SequenceNumber), 상위 계층으로부터 내려온 패이로드 데이터, 블록 암호 알고리즘에 의한 암호화 처리를 위한 패드, 패드 길이, ESP 헤더 다음에 나타날 헤더의 종류, 인증데이터로 구성된다.
도 3을 참조하면, 인터넷 호스트 시스템의 패킷 송신 기능은 다음과 같이 수행된다.
상위 응용 프로그램에서 임의의 정보를 인터넷을 통해 내보낼 경우 소켓 계층에서 통신을 위한 소켓을 생성하고, INET 소켓을 생성한 후 이 소켓을 통해 응용 계층의 데이터를 TCP 계층으로 내려보낸다(S100,S102).
상기 TCP 계층에서는 TCP 헤더를 상위 응용 계층으로부터 내려온 메시지에 부가한 후 IP 계층으로 내려보낸다(S103).
상기 IP 계층에서는 TCP 계층으로부터 내려온 데이터에 IP 헤더를 부가하여 IP 패킷을 조립한다(S104,S105).
상기 IP 계층의 패킷이 조립된 후 보안 정책 데이터베이스와 보안 연계 데이터베이스를 검색하여 보안 서비스가 선택되어 있는지를 검사한 후(S106,S107), 보안 서비스가 선택되지 않았을 경우에는 IP 패킷 단편화 과정을 거쳐 데이터링크 계층으로 내려보내고(S108), 데이터 링크 계층에서는 물리계층의 전송로 특성에 따른 데이터 링크 헤더를 부가한 프레임을 생성한 후 이를 인터넷으로 전송한다(S110).
반면에, 보안 서비스가 선택된 경우는 보안 연계 데이터베이스의 보안 서비스의 종류를 파악한다.
상기 보안 서비스가 트랜스포트 모드일 경우에는 기존 IP 패킷의 단편화가 일어나기 전에 보안 서비스를 적용하고(S112), 터널 모드일 경우에는 기존 IP 패킷의 단편화가 일어난 후에 보안 서비스를 적용한다(S114). 터널 모드일 경우 필요하다면 추가적인 IP 패킷 단편화를 수행한다.
AH 서비스가 선택되었을 경우는 패킷 수신지에서 인증 데이터를 계산한 후 원래의 값과 비교할 수 있도록 인증데이터(ICV: Integrity Check Value)를 계산하고, 재전송 공격을 방지할 수 있도록 SN 값을 생성하여 AH 헤더 내에 넣은 후, 트랜스포트 또는 터널 헤더를 IP 패킷에 부가한 후 패킷 단편화 과정을 거쳐 IP 헤더의 체크섬(Checksum)을 계산한 후 데이터링크 계층으로 내려보내고, 데이터 링크 계층에서는 물리계층의 전송로 특성에 따른 데이터 링크 헤더를 부가한 프레임을 생성한 후 이를 인터넷으로 전송한다(S116∼S130).
ESP 서비스가 선택된 경우는 패킷에 대한 인캡슐레이션(encapsulation)을 수행한 후 데이터의 길이를 블록 암호화 알고리즘에 적용한 수 있도록 패딩을 한 후 패킷 암호화를 수행한다. 패킷 암호화가 완료된 후 패킷 수신지에서 인증 데이터를 계산한 후 원래의 값과 비교할 수 있도록 인증데이터(ICV: Integrity Check Value)를 계산하고, 재전송 공격을 방지할 수 있도록 SN 값을 생성하여 ESP 헤더 내에 넣은 후 트랜스포트 또는 터널 헤더를 IP 패킷에 부가한 후 패킷 단편화 과정을 거쳐 IP 헤더의 체크섬(Checksum)을 계산한 후 데이터링크 계층으로 내려보내고, 데이터 링크 계층에서는 물리계층의 전송로 특성에 따른 데이터 링크 헤더를 부가한 프레임을 생성한 후 이를 인터넷으로 전송한다(S132∼S142).
하나의 보안 서비스 적용이 끝나고 추가적인 보안 서비스 제공이 필요하다면 위의 과정을 반복 수행한다(S144).
도 4를 참조하면, 인터넷 호스트 시스템의 패킷 수신 기능은 다음과 같이 수행된다.
인터넷으로부터 프레임을 송신한 후 데이터 링크 계층에서 데이터 링크 헤더를 제거한 후 이를 IP 계층으로 올려보낸다(S200). 수신된 IP 패킷은 IP 계층의 패킷 재조합 과정을 통해 단편화된 패킷을 하나의 패킷으로 조립한 후 IP 계층 패킷 수신 기능에게 전달한다(S202). 조립된 IP 패킷은 보안 연계 데이터베이스를 검색하여 보안 서비스가 선택되어 있는지를 검사한 후 보안 서비스가 선택되지 않았을 경우에는 IP 헤더를 제거한 후 TCP 계층으로 올려보내고, TCP 계층에서는 TCP 헤더를 제거한 후 INET 소켓과 통신 소켓을 통해 상위 응용 계층으로 전송한다(S203∼S216).
반면에 보안 서비스가 선택된 경우는 수신된 IP 패킷의 보안 서비스가 터널 모드이면 패킷 재조합 과정을 거치기 전에 보안 연계 데이터베이스를 검색하여 보안 서비스가 해제를 처리하고, 트랜스포트 모드이면 패킷 재조합 이후에 보안 서비스 해제를 처리한다(S218,S220).
먼저, 패킷 재전송 공격에 대한 가능성을 파악하기 위하여 SN 값을 검사하고, 수신된 패킷의 내용을 이용하여 인증데이터를 생성한 후 AH 또는 ESP 헤더 내의 ICV 값과 비교하는 과정을 수행한다(S222∼S228).
상기 SN 값과 ICV 값의 검사가 성공적으로 완료된 경우 보안 연계 데이터베이스의 보안 서비스의 종류를 파악한다(S230,S232).
AH 서비스가 선택된 경우 보안 정책 데이터베이스를 참조하여 현재 수신된 패킷이 보안 정책에 맞게 처리되었는지를 검사하고 IP 헤더를 제거한 후 TCP 계층으로 올려보내고, TCP 계층에서는 TCP 헤더를 제거한 후 INET 소켓과 통신 소켓을 통해 상위 응용 계층으로 전송한다(S234∼S240).
ESP 서비스가 선택된 경우는 패킷을 복호화하고, 블록 암호 알고리즘 처리를 위해 부가하였던 패드를 제거한 후 패킷에 대한 디캡슐레이션(decapsulation)을 수행한다(S242∼S236).
이와 같이, 암호화된 패킷의 복호화 과정을 통해 암호화 이전의 패킷으로 재생한 후 보안 정책 데이터베이스를 참조하여 현재 수신된 패킷이 보안 정책에 맞게 처리되었는지를 검사한 후 IP 헤더를 제거한 후 TCP 계층으로 올려보내고, TCP 계층에서는 TCP 헤더를 제거한 후 INET 소켓과 통신 소켓을 통해 상위 응용 계층으로 전송한다. 적용된 보안 서비스가 다중일 경우에는 위의 과정을 반복한다(S254).
도 5a와 도 5b를 참조하면, 인터넷의 게이트웨이 시스템에서 패킷을 포워딩하는 기능은 다음과 같이 수행된다.
인터넷 게이트웨이에서 프레임을 수신한 경우 도 5a에 도시된 바와 같이, 수신된 프레임을 데이터 링크 계층에서 데이터 링크 헤더를 제거한 후 이를 IP 계층으로 올려보낸다(S300).
IP 포워드(forward) 기능에서 보안 정책 데이터베이스와 보안 연계 데이터베이스를 검색하여 보안 서비스가 선택되어 있는지를 검사한 후(S302∼S304), 보안 서비스가 선택되지 않았을 경우에는 라우팅 정보를 이용하여 IP 헤더의 값을 바꾼 후 데이터 링크 계층으로 내려보낸다(S306,S308). 데이터 링크 계층에서는 물리계층의 전송로 특성에 따른 데이터 링크 헤더를 부가한 프레임을 생성한 후 이를 인터넷으로 전송한다.
반면에 보안 서비스가 선택된 경우 보안 서비스의 형태가 터널 모드인지 트랜스포트 모드인지를 판단한다(S310,S312).
트랜스포트 모드인 경우는 이 패킷의 사용자가 루트가 아닌 경우는 패킷을 폐기하고, 루트인 경우는 보안 연계의 종단인지 아닌지를 판단한다(S314,S316).
만약, 보안 연계의 종단인 경우는 도 5b에 도시된 바와 같이, 재전송 공격에 대한 가능성을 파악하기 위하여 SN 값을 검사하고, 수신된 패킷의 내용을 이용하여 인증데이터를 생성한 후 AH 또는 ESP 헤더 내의 ICV 값과 비교하는 과정을 수행한다(S400∼S404).
상기 SN 값과 ICV 값의 검사가 성공적으로 완료된 경우 보안 연계 데이터베이스의 보안 서비스의 종류를 파악한다(S406).
AH 서비스가 선택된 경우는 AH 터널 또는 트랜스포트 헤더를 제거한 후 데이터 링크 계층으로 내려보낸다. 데이터 링크 계층에서는 물리계층의 전송로 특성에 따른 데이터 링크 헤더를 부가한 프레임을 생성한 후 이를 인터넷으로 전송한다(S408∼S412).
ESP 서비스가 선택된 경우는 패킷을 복호화하고, 블록 암호 알고리즘 처리를 위해 부가하였던 패드를 제거한 후 패킷에 대한 디캡슐레이션(decapsulation)을 수행한다(S414∼S418).
이와 같이 암호화된 패킷의 복호화 과정을 통해 암호화 이전의 패킷으로 재생한 후 IP 포워드(forward) 기능에서 라우팅 정보를 이용하여 IP 헤더의 값을 바꾼 후 데이터 링크 계층으로 내려보낸다. 데이터 링크 계층에서는 물리계층의 전송로 특성에 따른 데이터 링크 헤더를 부가한 프레임을 생성한 후 이를 인터넷으로 전송한다.
만약, 상기 보안 연계의 종단인지 아닌지를 판단한 결과, 보안 연계의 종단이 아니거나 또는 터널 모드인 경우는 도 5a에 도시된 바와 같이, 보안 서비스의 종류를 파악한다(S318).
AH 서비스가 선택되었을 경우는 패킷 수신지에서 인증 데이터를 계산한 후 원래의 값과 비교할 수 있도록 인증데이터(ICV: Integrity Check Value)를 계산하고, 재전송 공격을 방지할 수 있도록 SN 값을 생성하여 AH 헤더 내에 넣은 후 트랜스포트 또는 터널 헤더를 IP 패킷에 부가한 후 IP 포워드(forward) 기능에서 라우팅 정보를 이용하여 IP 헤더의 값을 바꾼 후 데이터 링크 계층으로내려보낸다(S320∼S324).
데이터 링크 계층에서는 물리계층의 전송로 특성에 따른 데이터 링크 헤더를 부가한 프레임을 생성한 후 이를 인터넷으로 전송한다.
ESP 서비스가 선택된 경우는 패킷에 대한 인캡슐레이션(encapsulation)을 수행한 후 데이터의 길이를 블록 암호화 알고리즘에 적용한 수 있도록 패딩을 한 후 패킷 암호화를 수행한다(S326∼S330).
패킷 암호화가 완료된 후 패킷 수신지에서 인증 데이터를 계산한 후 원래의 값과 비교할 수 있도록 인증데이터(ICV: Integrity Check Value)를 계산하고, 재전송 공격을 방지할 수 있도록 SN 값을 생성하여 ESP 헤더 내에 넣은 후 트랜스포트 또는 터널 헤더를 IP 패킷에 부가한 후 IP 포워드(forward) 기능에서 라우팅 정보를 이용하여 IP 헤더의 값을 바꾼 후 데이터 링크 계층으로 내려보낸다(S320∼S324).
데이터 링크 계층에서는 물리계층의 전송로 특성에 따른 데이터 링크 헤더를 부가한 프레임을 생성한 후 이를 인터넷으로 전송한다.
상술한 바와 같이 본 발명에 따른 다중 보안 서비스를 제공하는 개선된 IP 계층에서의 패킷 보호 방법은 상위 응용 계층으로부터 발생된 메시지가 인터넷을 통해 전달될 수 있는IP 패킷의 형태로 변형되는 과정에서 정보보호 서비스를 선택적으로 제공할 수 있고 다중의 보안 서비스를 제공할 수 있기 때문에, 상위 계층서비스 프로그램의 변경 없이 모든 인터넷 서비스에 정보보호 기능을 제공할 수 있는 효과가 있으며, 정보보호 서비스가 필요하지 않은 일반 IP 패킷에 대한 처리도 가능할 뿐만 아니라, 기존의 인터넷 사용자들은 인터넷 서비스 사용에 있어서 아무런 변화를 느끼지 못하게 되고, 종래의 IP 계층의 패킷 보호 방법에 비해 한 개 이상의 보안 서비스가 적용될 수 있는 장점이 있다.
이상에서 설명한 것은 본 발명에 따른 다중 보안 서비스를 제공하는 개선된 IP 계층에서의 패킷 보호 방법을 실시하기 위한 하나의 실시예에 불과한 것으로서, 본 발명은 상기한 실시예에 한정되지 않고, 이하의 특허청구의 범위에서 청구하는 본 발명의 요지를 벗어남이 없이 당해 발명이 속하는 분야에서 통상의 지식을 가진 자라면 누구든지 다양한 변경 실시가 가능한 범위까지 본 발명의 기술적 정신이 있다고 할 것이다.

Claims (3)

  1. 삭제
  2. 삭제
  3. IP 계층에서의 정보보호 서비스가 적용된 패킷이 인터넷의 여러 노드를 통과하는 과정의 패킷 포워딩 방법에 있어서,
    게이트웨이 노드의 IP 포워드 기능을 수행하는 중 보안 정책 데이터베이스 및 보안 연계 데이터 베이스를 참조하여 패킷별 보안 서비스의 선택 여부를 결정하는 단계와;
    보안 서비스의 종류가 터널 모드인지 아닌지를 구분하는 단계와;
    터널 모드가 아닌 경우 패킷 사용자의 권한을 검사하는 단계와;
    터널 모드가 아니면서 사용자의 권한이 루트 권한을 가진 경우 보안 연계의종단 점인지를 판단하는 단계와;
    종단점인 경우 패킷 헤더에 실려온 SN과 ICV 값을 검사하는 단계와;
    보안 서비스의 종류가 AH인지 ESP인지를 구분하여 각각 서비스의 종류에 따라 패킷의 복호화, 패드 제거, 디캡슐레이션(decapsulation) 및 보안 정책 데이터베이스를 참조하는 단계와;
    터널링/트랜스포트 헤더를 제거한 후 패킷을 다시 IP 포워드 기능으로 전달하는 단계와;
    종단점이 아닌 경우 보안 서비스의 종류가 AH인지 ESP인지를 구분하여 각각 서비스의 종류에 따라 패킷에 대한 인캡슐레이션(encapsulation), 패딩, 암호화 처리, ICV 계산 및 SN 값의 생성에 관한 처리를 수행하는 단계; 및
    터널링/트랜스포트 헤더를 부가한 패킷을 IP 포워드 기능으로 전달하는 단계
    로 이루어지며, 상기 9개의 단계를 IP 계층에서 IP 패킷 포워딩이 수행되기 전에 수행한 후 패킷 포워딩을 수행하도록 된 것을 특징으로 하는 다중 보안 서비스를 제공하는 개선된 IP 계층에서의 패킷 보호 방법.
KR10-2001-0085777A 2001-12-27 2001-12-27 다중 보안 서비스를 제공하는 개선된 아이피 계층에서의패킷 보호 방법 KR100449809B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2001-0085777A KR100449809B1 (ko) 2001-12-27 2001-12-27 다중 보안 서비스를 제공하는 개선된 아이피 계층에서의패킷 보호 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2001-0085777A KR100449809B1 (ko) 2001-12-27 2001-12-27 다중 보안 서비스를 제공하는 개선된 아이피 계층에서의패킷 보호 방법

Publications (2)

Publication Number Publication Date
KR20030055715A KR20030055715A (ko) 2003-07-04
KR100449809B1 true KR100449809B1 (ko) 2004-09-22

Family

ID=32213973

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2001-0085777A KR100449809B1 (ko) 2001-12-27 2001-12-27 다중 보안 서비스를 제공하는 개선된 아이피 계층에서의패킷 보호 방법

Country Status (1)

Country Link
KR (1) KR100449809B1 (ko)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100470915B1 (ko) * 2001-12-28 2005-03-08 한국전자통신연구원 Ip계층에서의 패킷 보안을 위한 인터넷 정보보호시스템의 제어 방법
KR100479345B1 (ko) * 2003-05-06 2005-03-31 한국전자통신연구원 네트워크 보안과 관리장치 및 방법
KR200483212Y1 (ko) 2014-06-17 2017-04-17 주식회사 어소시에이츠 엘작 중앙 분리대
CN116319105B (zh) * 2023-05-22 2023-08-15 北京中鼎昊硕科技有限责任公司 一种基于多路安全隧道的高可靠数据传输管理系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5983350A (en) * 1996-09-18 1999-11-09 Secure Computing Corporation Secure firewall supporting different levels of authentication based on address or encryption status
JP2001136198A (ja) * 1999-11-04 2001-05-18 Nippon Telegr & Teleph Corp <Ntt> ネットワーク間通信方法およびサーバ装置並びにネットワーク間通信システム
KR20010098513A (ko) * 2000-04-12 2001-11-08 모리시타 요이찌 시큐리티 통신방법, 통신시스템 및 그 장치
JP2001313679A (ja) * 2000-03-03 2001-11-09 Nexland Inc ローカルipアドレス及び変換不能ポート・アドレスを使用するローカル・エリア・ネットワーク対応ネットワーク・アドレス変換ゲートウェイ

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5983350A (en) * 1996-09-18 1999-11-09 Secure Computing Corporation Secure firewall supporting different levels of authentication based on address or encryption status
JP2001136198A (ja) * 1999-11-04 2001-05-18 Nippon Telegr & Teleph Corp <Ntt> ネットワーク間通信方法およびサーバ装置並びにネットワーク間通信システム
JP2001313679A (ja) * 2000-03-03 2001-11-09 Nexland Inc ローカルipアドレス及び変換不能ポート・アドレスを使用するローカル・エリア・ネットワーク対応ネットワーク・アドレス変換ゲートウェイ
KR20010098513A (ko) * 2000-04-12 2001-11-08 모리시타 요이찌 시큐리티 통신방법, 통신시스템 및 그 장치

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
리눅스상에서의 IPSec 구현에 관한 연구 *

Also Published As

Publication number Publication date
KR20030055715A (ko) 2003-07-04

Similar Documents

Publication Publication Date Title
US6438612B1 (en) Method and arrangement for secure tunneling of data between virtual routers
US7587591B2 (en) Secure transport of multicast traffic
EP0464562B1 (en) Method and apparatus for decryption of an information packet having a format subject to modification
US5161193A (en) Pipelined cryptography processor and method for its use in communication networks
US7948921B1 (en) Automatic network optimization
US5235644A (en) Probabilistic cryptographic processing method
US7143282B2 (en) Communication control scheme using proxy device and security protocol in combination
US8775790B2 (en) System and method for providing secure network communications
US5099517A (en) Frame status encoding for communication networks
US9369550B2 (en) Protocol for layer two multiple network links tunnelling
US7434045B1 (en) Method and apparatus for indexing an inbound security association database
US7000120B1 (en) Scheme for determining transport level information in the presence of IP security encryption
US10044841B2 (en) Methods and systems for creating protocol header for embedded layer two packets
JP2007135035A (ja) 通信装置及びパケット処理方法
CN114050921B (zh) 一种fpga实现的基于udp的高速加密数据传输系统
KR100415554B1 (ko) 정보 보호 인터넷 프로토콜 패킷의 송수신 방법
CN110752921A (zh) 一种通信链路安全加固方法
US20040158706A1 (en) System, method, and device for facilitating multi-path cryptographic communication
CN114050920A (zh) 一种基于fpga的透明网络加密系统实现方法
CN112600802B (zh) 一种SRv6加密报文、SRv6报文的加解密方法及装置
KR100449809B1 (ko) 다중 보안 서비스를 제공하는 개선된 아이피 계층에서의패킷 보호 방법
US7962741B1 (en) Systems and methods for processing packets for encryption and decryption
EP1024640B1 (en) Method of encoding status information
KR100522090B1 (ko) IPv6 계층에서의 패킷 보호 방법
KR20050064093A (ko) 패킷 보호 기능을 구비한 차세대 인터넷 시스템 및 패킷보호 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20080905

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee