KR100450774B1 - NAT 기능을 갖는 사설망에서 IPSec을 이용한종단과 종단 간의 private 정보 전송 방법 및 이를이용한 보안 서비스 방법 - Google Patents

NAT 기능을 갖는 사설망에서 IPSec을 이용한종단과 종단 간의 private 정보 전송 방법 및 이를이용한 보안 서비스 방법 Download PDF

Info

Publication number
KR100450774B1
KR100450774B1 KR10-2002-0074104A KR20020074104A KR100450774B1 KR 100450774 B1 KR100450774 B1 KR 100450774B1 KR 20020074104 A KR20020074104 A KR 20020074104A KR 100450774 B1 KR100450774 B1 KR 100450774B1
Authority
KR
South Korea
Prior art keywords
nat
address
packet
source
function
Prior art date
Application number
KR10-2002-0074104A
Other languages
English (en)
Other versions
KR20040046260A (ko
Inventor
송광석
김정식
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR10-2002-0074104A priority Critical patent/KR100450774B1/ko
Publication of KR20040046260A publication Critical patent/KR20040046260A/ko
Application granted granted Critical
Publication of KR100450774B1 publication Critical patent/KR100450774B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

본 발명은 NAT 기능을 갖는 사설망에서 IPSec을 이용한 종단과 종단 간의 pirvate 정보 전송 방법 및 이를 이용한 보안 서비스 방법에 관한 것으로, private 정보전송 방법은 ISAKMP에 의해 사용되는 페이로드 필드 중 Notify 메시지 타입필드영역에 NAT사용여부 정보 및 소스IP주소를 추가하여 NAT-Notification 메시지를 생성하는 단계; ISAKMP에 의하여 SA가 설정된후 NAT-Notification 메시지를 송신하는 단계; 그 메시지를 수신하여 주소변환하는 단계; 주소변환된 메시지를 수신하여 NAT 사용여부와 private 소스IP주소 존재를 분석하는 단계; 및 NAT 사용 정보와 private 소스IP주소를 SAD에 저장하는 단계를 포함함을 특징으로 하고, 그를 이용한 보안서비스 방법은 private 정보전송단계; 및 데이터패킷전송단계를 포함하며, 그 데이터 패킷전송단계는 ISAKMP에 의하여 SA가 설정된후 AH/ESP 패킷을 생성하여 전송하는 단계; NAT에서 AH/ESP 패킷 주소변환단계; 그 패킷을 수신하여 SAD에서 NAT기능 사용여부를 조사하는 단계; NAT기능이 사용된 패킷이면 SAD의 소스IP주소로 수신패킷의 소스IP주소를 대체한 후 인증 및 복호화하는 단계; 및 그렇지 않은 경우 바로 인증 및 복호화하는 단계를 포함하여 이루어진다.
본 발명에 의하면, NAT 기능에 의하여 패킷내용이 변하더라도, 종단 대 종단간 패킷 통신시 별도의 부가비용 없이 IPSec 기능을 통한 보안기능이 가능하다.

Description

NAT 기능을 갖는 사설망에서 IPSec을 이용한 종단과 종단 간의 private 정보 전송 방법 및 이를 이용한 보안 서비스 방법{Method for end-to-end private information transmition using IPSec in NAT-based private network and security service using its method}
본 발명은 인터넷 망에서의 보안서비스에 관한 것으로, 더욱 상세하게는 NAT 기능을 갖는 사설망 환경에서 IPSec을 이용한 종단과 종단 간의 private 정보를 전송하는 방법 및 이를 이용한 보안 서비스 방법에 관한 것이다.
인터넷 어드레스의 부족으로 인하여 사설망(private network)과 외부 인터넷망 사이에 어드레스(address) 변환 기능을 두어 어드레스의 확장을 꾀하고 있다. 즉 NAT(network address translation:이하 NAT라 함)는 사내 LAN에서 사용되는 전용 주소(private address)를 인터넷에 사용되는 범용 주소(global address)로 변환하는 기능으로서, 이러한 어드레스 변환 기능(NAT)은 사설망과 외부 인터넷망 사이의 경계에 위치하여 외부적으로는 하나의 IP 어드레스를 대표하며 동시에 사설망 내에는 다수의 IP어드레스를 할당하여 외부망으로의 출입되는 패킷에 대하여 어드레스 변환을 수행한다. 이는 결과적으로 인터넷망의 어드레스를 확장하는 효과를 가져오므로써 현재의 인터넷 어드레스 부족 현상을 해결하는 유력한 방법이 되고있다. 그러나 이러한 환경에서는 취약한 인터넷의 보안을 위해 고안된 다양한 보안 기능의 적용이 매우 어렵다.
특히 많이 활용되고있는 종단 대 종단간의 보안 서비스를 위한 IPSec(IP Security protocol:이하 IPSec라 함) 프로토콜의 경우, NAT 기능에 의해 패킷이 전송되는 중간에 패킷 내용이 변경되므로써 사용이 불가능하다. 상기 IPSec은 안전에 취약한 인터넷에서 안전한 통신을 실현하는 통신 규약으로서, 인터넷상에 전용 회선과 같이 이용 가능한 가상적인 전용 회선을 구축하여 데이터를 도청 당하는 등의 행위를 방지하기 위한 통신 규약이다. 이 통신 규약은 사용자 측 단말기에 탑재할 수 있으며, 인터넷을 거쳐 특정 클라이언트와 서버만이 IPSec으로 데이터를 주고받을 수 있다. 암호화나 인증 방식은 규정되어 있지 않으나 이들 방식을 통지하기 위한 틀을 제공하고 있는데, 이 틀을 SA(Security Association:이하 SA라 함)라 한다. SA 정보는 SA 데이터베이스(SAD)에 보존해 두고 있으며 몇 개의 SA가 등록되어 있다. 그리고 IPSec은 본질적으로 데이터 송신자의 인증을 허용하는 인증 헤더(AH)와 송신자의 인증 및 데이터 암호화를 함께 지원하는 ESP(Encapsulating Security Payload:이하 ESP라 함) 등 두 종류의 보안 서비스를 제공한다. 이러한 각 서비스에 관련된 명확한 정보는 IP 패킷 헤더의 뒤를 잇는 헤더 속의 패킷에 삽입된다. 이를 위해 별개의 키 프로토콜들이 선택될 수 있다.
한편 NAT 기능을 갖는 망에서는 보통 종단 대 종단 간의 IPSec 기능이 불가능하나 이를 해결하기 위한 몇 가지 방안들이 제시되었으며 이 가운데 가상사설통신망(Virtual Private Network:VPN) 개념을 활용하여 Linux상에 NAT를 구현하므로써 IPSec 기능을 지원할 수 있도록 한 경우가 있다. 그러나 이는 종단 대 종단 간의 IPSec을 지원하기에는 완전하지 않다. 즉 IPSec의 여러가지 모드(mode) 가운데 ESP의 턴널 모드만을 지원할 수밖에 없기 때문이다.
본 발명이 이루고자 하는 기술적 과제는 기존의 IPSec 프로토콜의 변경 없이도 적용이 가능한 방법을 위하여 SA 설정 단계에서 initiator에 관한 정보를 사전에 전달하기 위해, NAT 기능을 갖는 망에서 IPSec을 이용한 종단과 종단 간의 private 정보 전송 방법을 제공하는 것이다.
본 발명이 이루고자 하는 다른 기술적 과제는 NAT 기능을 갖는 망에서도 종단 대 종단 간의 IPSec 프로토콜을 별도의 비용없이 활용할 수 있으며 수신 패킷에 대한 무결성과 기밀성 검증이 가능하도록 하기 위해, 상기 private 정보전송 방법을 이용하여 NAT 기능을 갖는 사설망 환경에서 IPSec을 이용한 종단과 종단 간의보안 서비스 방법을 제공하는 것이다.
도 1은 NAT-Notification 페이로드 포맷(payload format)을 도시한 것이다.
도 2는 NAT-used 플래그와 소스 IP주소 정보가 추가된 SAD를 도시한 것이다.
도 3은 네트워크 주소 변환(NAT) 기능을 갖는 망에서 IPSec을 이용한 종단과 종단 간의 private 정보를 전송하는 방법을 흐름도로 도시한 것이다.
도 4는 데이터 패킷 전송 과정을 흐름도로 도시한 것이다.
도 5는 수신패킷의 검증과정을 흐름도로 도시한 것이다.
상기 기술적 과제를 달성하기 위하여 본 발명에 따른 NAT 기능을 갖는 망에서 IPSec을 이용한 종단과 종단 간의 private 정보 전송 방법은, 네트워크 주소 변환(NAT) 기능을 갖는 망에서 IPSec을 이용한 종단과 종단 간의 private 정보를 전송하는 방법에 있어서, ISAKMP에 의해 사용되는 페이로드 필드 가운데 notification 메시지 타입과 notification 데이터 필드를 구별하기 위해 사용되는 Notify 메시지 타입 필드 영역에 NAT 기능 사용여부를 알리는 정보 및 소스 IP 주소를 추가하여 NAT-notification 메시지를 생성하는 단계; ISAKMP에 의하여 SA가 설정된 이후 상기 NAT-notification 메시지를 송신하는 단계; 상기 NAT-notification 메시지를 수신하여 주소를 변환하는 단계; 상기 주소변환된 NAT-notification 메시지를 수신하여 NAT 사용여부 정보와 private source IP 주소 존재를 분석하는 단계; 및 상기 NAT 사용여부 정보와 private source IP 주소를 SAD에 저장하는 단계를 포함함을 특징으로 한다.
상기 다른 기술적 과제를 달성하기 위하여 본 발명에 따른 NAT 기능을 갖는 망에서 IPSec을 이용한 종단과 종단 간의 보안 서비스 방법은, private 정보를 전송하는 단계; 및 데이터 패킷을 전송하는 단계를 포함함을 특징으로 한다. 상기 private 정보 전송단계는 ISAKMP에 의해 사용되는 페이로드 필드 가운데 notification 메시지 타입과 notification 데이터 필드를 구별하기 위해 사용되는 Notify 메시지 타입 필드 영역에 NAT 기능 사용여부를 알리는 정보 및 소스 IP 주소를 추가하여 NAT-notification 메시지를 생성하는 단계; ISAKMP에 의하여 SA가 설정된 이후 상기 NAT-notification 메시지를 송신하는 단계; 상기 NAT-notification 메시지 수신하여 주소를 변환하는 단계; 상기 주소변환된 NAT-notification 메시지를 수신하여 NAT 사용여부 정보와 private 소스 IP 주소 존재를 분석하는 단계; 및 상기 NAT 사용여부 정보와 private 소스 IP 주소를 SA 데이터베이스에 저장하는 단계를 포함하여 이루어진다. 상기 데이터 패킷을 전송하는 단계는 ISAKMP에 의하여 SA가 설정된 이후 AH/ESP 패킷을 생성하여 전송하는 단계; NAT에서 상기 AH/ESP 패킷을 수신하여 주소를 변환하는 단계; 상기 주소변환된 AH/ESP 패킷을 수신하여 인증 및 복호화를 수행하기 전에 SA 데이터베이스에서 NAT 기능이 사용되었는지를 나타내는 정보를 조사하는 단계; 수신 패킷이 NAT를 거쳐 온 패킷일 경우에는 SA 데이터베이스에 있는 소스 IP 주소로 수신 패킷의 소스 IP 주소를 대체한 후 인증 및 복호화하는 NAT패킷대체단계; 및 수신 패킷이 NAT를 거쳐 온 패킷이 아닐 경우에는 상기 대체 없이 인증 및 복호화하는 단계를 포함하여 이루어진다.
상기 NAT패킷대체 단계는 수신 패킷이 NAT를 거쳐 온 패킷일 경우에는 SA 데이터베이스에 있는 소스 IP 주소로 수신 패킷의 소스 IP 주소를 대체하는 단계; 수신 패킷에 대하여 소정의 인증과정을 거쳐 ICV를 생성하는 단계; 및 상기 생성된 ICV와 송신측에서 보낸 ICV를 비교하여 같으면 패킷을 받아들여 복호화하고 다르면 수신된 패킷을 버리는 단계를 포함하여 이루어짐을 특징으로 한다.
그리고 상기 기재된 발명을 컴퓨터에서 실행시키기 위한 프로그램을 기록한컴퓨터로 읽을 수 있는 기록매체을 제공한다.
이하, 첨부된 도면을 참조하여 본 발명을 상세히 설명한다. 본 발명은 NAT 기능을 갖는 망에서 사설망 내의 호스트와 외부망의 호스트간에 통신을 할 경우 종단 대 종단 간의 IPSec 기능이 가능하도록 두 가지 주요 기능을 제안하였다.
첫째, SA(Security Association) 설정시에 ISAKMP(Internet Security Association and Key Management protocol:이하 ISAKMP라 함)에 사용되는 페이로드(payload)에 사용유예(reserve)된 타입(tpye)을 이용하여 새로이 NAT-Notification 페이로드를 규정하였다. 둘째, SAD(Security Association Database)에 NAT 사용 여부를 알리는 플래그(flag)와 private 소스 주소(source address) 필드를 추가로 규정하였다.
상기 ISAKMP은 통신 당사자가 서로 인증해서 암호 키를 교환하기 위한 통신 규약으로서, IPSec의 일부이다. 구체적으로는 어떠한 인증 알고리즘, 암호화 기술, 암호 키 교환 규약을 사용할 것인지 등의 보안 수단을 상대방에게 알리기 위한 메시지 형식이다. 사용자 데이터그램 프로토콜(UDP) 패킷 형태로 송수신되며, 머리부라는 이용자 ID를 주고받음으로써 제3자에 의한 서비스 거부(DoS)를 방지하는 규약이다. IPSec의 표준 키 교환 방식(IKE:internet key exchange)의 일부로 규정되어 있지만 TLS(transport layer security) 등 IPSec 이외의 암호화 기술을 선택, 사용해도 지장이 없도록 되어 있다.
도 1은 NAT-Notification 페이로드 포맷(payload format)을 도시한 것으로서, 이는 ISAKMP에 의해 사용되는 기존의 페이로드 필드 가운데 notification 메시지 타입과 notification 데이터 필드를 구별하기 위해 사용되는 Notify 메시지 타입 필드의 영역에 NAT 기능에 대한 사용 여부를 알리는 기능(100)과 소스 IP 주소(source IP address, 110)를 추가하였다. 이러한 NAT-Notification 페이로드는 ISAKMP에 의하여 SA가 설정된 이후에 송신자측(initiator)로부터 수신자측(responder)으로 안전하게 보내진다.
도 2는 NAT-used 플래그(200)와 소스 IP 주소(210) 항이 추가된 SAD(Security Association Database)를 나타내고 있다. Responder에서는 수신한 페이로드로부터 얻은 정보를 SAD내에 추가된 NAT-used 플래그(200)와 소스 IP 주소(210)를 채우게 된다.
도 3은 네트워크 주소 변환(NAT) 기능을 갖는 망에서 IPSec을 이용한 종단과 종단 간의 private 정보를 전송하는 방법을 흐름도로 도시한 것으로서, 상기한 initiator가 responder에게 NAT-notification 페이로드를 포함하는 private 정보를 보내는 과정을 나타낸다. Responder에서는 initiator로부터 보내온 NAT-notification 페이로드를 분석하고 이를 SAD에 저장한다. 이로서 앞으로 initiator로부터 수신되는 모든 패킷은 SAD에 저장된 파라미터(parameter)에 따라 검증 절차를 받게 된다. 이를 도 3을 참조하여 보다 상세히 설명하기로 한다.
먼저 initiator에서는 보안서비스 요구가 들어오면(300단계), SAD를 검색하여(305단계) SA가 존재하는지 체크한다.(310단계) 만일 SA가 없으면 SA를 생성하고(315단계), SA가 있으면 바로 ISAKMP에 의해 사용되는 페이로드 필드 가운데 notification 메시지 타입과 notification 데이터 필드를 구별하기 위해 사용되는 Notify 메시지 타입 필드 영역에 NAT 기능 사용여부를 알리는 정보 및 소스 IP 주소를 추가하여 NAT-notification 메시지를 생성한다.(320단계)
NAT에서는 상기 NAT-notification 메시지를 수신하여(325단계), 포트변환테이블을 검색하여(330단계) 상기 입력패킷데이터 엔트리(entry)가 존재하는지 체크한다.(335단계) 존재하지 않으면 새로운 엔트리를 생성하고(340단계) 존재하면 바로 주소를 변환하여(345단계) 패킷을 내보낸다.(350단계)
responder는 상기 주소변환된 NAT-notification 메시지를 수신하여(355단계) NAT 사용여부 정보와 private source IP 주소 존재를 분석하고(360단계), SAD를 검색한다.(365단계) 그리고 나서 SAD에 상기 NAT 사용여부 정보와 private source IP 주소가 없으면 이를 SAD에 저장한다.(370단계)
도 4와 도 5는 상기 제안한 두가지 기능을 바탕으로 NAT 기능을 갖는 망에서 private 망 내의 호스트와 외부망의 호스트간에 종단 대 종단간 통신시에 IPSec 기능이 가능함을 보여준다.
도 4는 데이터 패킷 전송 과정을 흐름도로 도시한 것이다. 먼저 initiator에서는 보안서비스 요청이 들어오면(400단계), SAD를 검색하여(405단계) SA가 존재하는지 체크한다.(410단계) SA가 존재하지 않으면 인증/암호 알고리즘을 사용하여 인증/암호화 작업을 수행하고(415단계), SA가 존재하면 바로 ISAKMP에 의거하여 AH/ESP패킷을 생성하여 송신한다.(420단계)
NAT 에서는 상기 AH/ESP 패킷을 수신하여(425단계), SPI 변환테이블을 검색하여(430단계) 패킷 엔트리가 존재하는지 체크한다.(435단계) 상기 SPI는 임의의32비트 값으로 목적지 IP주소와 보안 프로토콜과 함께 데이터그램의 SA를 식별한다. 엔트리가 존재하지 않으면 새로운 엔트리를 생성하고(440단계) 존재하면 바로 패킷의 주소를 변경하여(445단계), 패킷을 해당 responder에게 보낸다.(450단계)
Responder에서는 AH/ESP 패킷을 수신하여(455단계), 기존의 인증 및 복호화를 수행하기 전에 기 설정된 SAD 가운데 NAT-used 플래그를 조사하여(460단계) 수신 패킷이 NAT 기능을 사용한 것인지 체크한다.(465단계) 만일 수신 패킷이 NAT를 거쳐 온 패킷일 경우 SAD에 있는 소스 IP 주소로 수신 패킷의 소스 IP 주소를 대체한다.(470단계) 만일 수신 패킷이 NAT를 거쳐 온 패킷이 아닌 경우에는 바로 인증 알고리즘을 적용하여(475단계) ICV(Internet Check Value)를 비교하여 복호화한다.(480단계)
도 5는 수신패킷의 검증과정을 흐름도로 도시한 것으로서, 도 4의 responder에서의 과정을 보다 상세히 설명하고 있다. responder가 패킷을 수신하면(500단계), SAD를 검색하여(510단계) NAT기능을 사용한 것인지 체크한다.(515단계) NAT를 거쳐 온 패킷이면 private 소스 IP 주소를 소스 IP 주소로 대체하고(520단계), 수신 패킷에 대하여 사전에 약속된 인증 알고리즘에 따라 ICV를 생성한다.(525단계) 그리고 나서 SICV(Source ICV)와 DICV(Destination ICV)가 같은지 체크하여(530단계) 같으면 패킷을 받아들이고(535단계) 다르면 패킷을 버린다.(540단계) 상기 SICV는 약속된 알고리즘에 따라 패킷을 송신하는 측에서 보낸다. 따라서 만일 수신 패킷이 누군가에 의해 다른 곳으로부터 왔다면 송신측에서 보낸 SICV와 새로이 생성한 ICV가 다르게 된다. 이로써 수신된 패킷은 도 5에 보이는 바와 같이 비록NAT를 거쳐 주소가 변환되었다 하여도 SA 설정시에 받은 private 정보를 이용하여 수신 패킷의 IP 주소와 인증 데이터를 복원 및 대체하므로써 검증 절차를 통과 할 수 있게 된다.
본 발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광 데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.
이상에서 설명한 본 발명은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 있어 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하므로, 전술한 예 및 도면에 한정하는 것은 아니다.
상술한 본 발명에 따르면, 본 발명은 NAT기능이 있는 망에서 비록 패킷이 NAT 기능에 의하여 원래의 패킷 내용이 변하더라도, 사설망 내의 호스트와 외부망의 호스트간에 종단 대 종단간 패킷 통신시에도 별도의 부가비용이나 희생없이 IPSec 기능을 통한 보안 기능을 활용할 수 있게 한다.

Claims (3)

  1. 네트워크 주소 변환(NAT) 기능을 갖는 망에서 IPSec을 이용한 종단과 종단 간의 private 정보를 전송하는 방법에 있어서,
    ISAKMP에 의해 사용되는 페이로드 필드 가운데 notification 메시지 타입과 notification 데이터 필드를 구별하기 위해 사용되는 Notify 메시지 타입 필드 영역에 NAT 기능 사용여부를 알리는 정보 및 소스 IP 주소를 추가하여 NAT-notification 메시지를 생성하는 단계;
    ISAKMP에 의하여 SA가 설정된 이후 상기 NAT-notification 메시지를 송신하는 단계;
    상기 NAT-notification 메시지를 수신하여 주소를 변환하는 단계;
    상기 주소변환된 NAT-notification 메시지를 수신하여 NAT 사용여부 정보와 private source IP 주소 존재를 분석하는 단계; 및
    상기 NAT 사용여부 정보와 private source IP 주소를 SAD에 저장하는 단계를 포함함을 특징으로 하는 네트워크 주소 변환(NAT) 기능을 갖는 망에서 IPSec을 이용한 종단과 종단 간의 private 정보 전송 방법.
  2. 네트워크 주소 변환(NAT) 기능을 갖는 망에서 IPSec을 이용한 종단과 종단 간의 보안 서비스 방법에 있어서,
    private 정보를 전송하는 단계; 및
    데이터 패킷을 전송하는 단계를 포함함을 특징으로 하고,
    상기 private 정보 전송단계는
    ISAKMP에 의해 사용되는 페이로드 필드 가운데 notification 메시지 타입과 notification 데이터 필드를 구별하기 위해 사용되는 Notify 메시지 타입 필드 영역에 NAT 기능 사용여부를 알리는 정보 및 소스 IP 주소를 추가하여 NAT-notification 메시지를 생성하는 단계;
    ISAKMP에 의하여 SA가 설정된 이후 상기 NAT-notification 메시지를 송신하는 단계;
    상기 NAT-notification 메시지 수신하여 주소를 변환하는 단계;
    상기 주소변환된 NAT-notification 메시지를 수신하여 NAT 사용여부 정보와 private 소스 IP 주소 존재를 분석하는 단계; 및
    상기 NAT 사용여부 정보와 private 소스 IP 주소를 SA 데이터베이스에 저장하는 단계를 포함하여 이루어지고,
    상기 데이터 패킷을 전송하는 단계는
    ISAKMP에 의하여 SA가 설정된 이후 AH/ESP 패킷을 생성하여 전송하는 단계;
    NAT에서 상기 AH/ESP 패킷을 수신하여 주소를 변환하는 단계;
    상기 주소변환된 AH/ESP 패킷을 수신하여 인증 및 복호화를 수행하기 전에 SA 데이터베이스에서 NAT 기능이 사용되었는지를 나타내는 정보를 조사하는 단계;
    수신 패킷이 NAT를 거쳐 온 패킷일 경우에는 SA 데이터베이스에 있는 소스 IP 주소로 수신 패킷의 소스 IP 주소를 대체한 후 인증 및 복호화하는 NAT패킷대체단계; 및
    수신 패킷이 NAT를 거쳐 온 패킷이 아닐 경우에는 상기 대체 없이 인증 및 복호화하는 단계를 포함하여 이루어지는, NAT 기능을 갖는 망에서 IPSec을 이용한 종단과 종단 간의 보안 서비스 방법.
  3. 제2항에 있어서, 상기 NAT패킷대체 단계는
    수신 패킷이 NAT를 거쳐 온 패킷일 경우에는 SA 데이터베이스에 있는 소스 IP 주소로 수신 패킷의 소스 IP 주소를 대체하는 단계;
    수신 패킷에 대하여 소정의 인증과정을 거쳐 ICV를 생성하는 단계; 및
    상기 생성된 ICV와 송신측에서 보낸 ICV를 비교하여 같으면 패킷을 받아들여 복호화하고 다르면 수신된 패킷을 버리는 단계를 포함하여 이루어짐을 특징으로 하는 NAT 기능을 갖는 망에서 IPSec을 이용한 종단과 종단 간의 보안 서비스 방법.
KR10-2002-0074104A 2002-11-26 2002-11-26 NAT 기능을 갖는 사설망에서 IPSec을 이용한종단과 종단 간의 private 정보 전송 방법 및 이를이용한 보안 서비스 방법 KR100450774B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2002-0074104A KR100450774B1 (ko) 2002-11-26 2002-11-26 NAT 기능을 갖는 사설망에서 IPSec을 이용한종단과 종단 간의 private 정보 전송 방법 및 이를이용한 보안 서비스 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2002-0074104A KR100450774B1 (ko) 2002-11-26 2002-11-26 NAT 기능을 갖는 사설망에서 IPSec을 이용한종단과 종단 간의 private 정보 전송 방법 및 이를이용한 보안 서비스 방법

Publications (2)

Publication Number Publication Date
KR20040046260A KR20040046260A (ko) 2004-06-05
KR100450774B1 true KR100450774B1 (ko) 2004-10-01

Family

ID=37341845

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2002-0074104A KR100450774B1 (ko) 2002-11-26 2002-11-26 NAT 기능을 갖는 사설망에서 IPSec을 이용한종단과 종단 간의 private 정보 전송 방법 및 이를이용한 보안 서비스 방법

Country Status (1)

Country Link
KR (1) KR100450774B1 (ko)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101124634B1 (ko) * 2008-11-26 2012-03-19 (주)대성정보기술 임베디드 운영 체제에 기반한 네트워크 통합 관리 게이트웨이
CN102202108A (zh) * 2011-06-15 2011-09-28 中兴通讯股份有限公司 实现ipsec在ah模式下nat穿越的方法、设备及系统
WO2013063791A1 (en) * 2011-11-04 2013-05-10 Qualcomm Atheros, Inc. Nat/firewall accelerator

Also Published As

Publication number Publication date
KR20040046260A (ko) 2004-06-05

Similar Documents

Publication Publication Date Title
JP3457645B2 (ja) ネットワーク・アドレス変換とプロトコル変換が存在する場合のパケット認証の方法
US9838362B2 (en) Method and system for sending a message through a secure connection
US7346770B2 (en) Method and apparatus for traversing a translation device with a security protocol
US7386881B2 (en) Method for mapping security associations to clients operating behind a network address translation device
US8364772B1 (en) System, device and method for dynamically securing instant messages
US6101543A (en) Pseudo network adapter for frame capture, encapsulation and encryption
US7003662B2 (en) System and method for dynamically determining CRL locations and access methods
US7039713B1 (en) System and method of user authentication for network communication through a policy agent
US7171685B2 (en) Standard format specification for automatically configuring IP security tunnels
US20060182103A1 (en) System and method for routing network messages
US20140181967A1 (en) Providing-replay protection in systems using group security associations
US20070011448A1 (en) Using non 5-tuple information with IPSec
CN105516062B (zh) 一种实现L2TP over IPsec接入的方法
KR100839941B1 (ko) IPSec 설정정보와 세션정보를 이용한 비정상IPSec 트래픽 제어 시스템 및 그 제어 방법
US9473466B2 (en) System and method for internet protocol security processing
US20040268123A1 (en) Security for protocol traversal
US20150381387A1 (en) System and Method for Facilitating Communication between Multiple Networks
EP1836559B1 (en) Apparatus and method for traversing gateway device using a plurality of batons
KR100450774B1 (ko) NAT 기능을 갖는 사설망에서 IPSec을 이용한종단과 종단 간의 private 정보 전송 방법 및 이를이용한 보안 서비스 방법
US20080222693A1 (en) Multiple security groups with common keys on distributed networks
US20080059788A1 (en) Secure electronic communications pathway
EP3131269B1 (en) Method and device for conducting ah authentication on ipsec packet which has gone through nat traversal
US20240097903A1 (en) Ipcon mcdata session establishment method
JP2006033350A (ja) 代理セキュアルータ装置及びプログラム
JP2007295273A (ja) メールサーバ装置

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20090901

Year of fee payment: 6

LAPS Lapse due to unpaid annual fee