KR100470915B1 - Ip계층에서의 패킷 보안을 위한 인터넷 정보보호시스템의 제어 방법 - Google Patents

Ip계층에서의 패킷 보안을 위한 인터넷 정보보호시스템의 제어 방법 Download PDF

Info

Publication number
KR100470915B1
KR100470915B1 KR10-2001-0086983A KR20010086983A KR100470915B1 KR 100470915 B1 KR100470915 B1 KR 100470915B1 KR 20010086983 A KR20010086983 A KR 20010086983A KR 100470915 B1 KR100470915 B1 KR 100470915B1
Authority
KR
South Korea
Prior art keywords
security
packet
block
database
based rule
Prior art date
Application number
KR10-2001-0086983A
Other languages
English (en)
Other versions
KR20030056700A (ko
Inventor
박소희
정지훈
이형규
김건우
조수형
박원주
나재훈
손승원
박치항
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR10-2001-0086983A priority Critical patent/KR100470915B1/ko
Priority to US10/188,110 priority patent/US20030126466A1/en
Publication of KR20030056700A publication Critical patent/KR20030056700A/ko
Application granted granted Critical
Publication of KR100470915B1 publication Critical patent/KR100470915B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Abstract

본 발명은 인터넷에서 IP 계층에서 패킷 보호 기능 제공을 위한 IPsec 기술의 구현 방법에 관한 것이다. 본 발명의 IP 계층에서의 패킷 보호를 위한 송신자 측의 인터넷 정보 보안 시스템의 제어 방법은, 보안 기반 규칙 데이터베이스 및 보안 연계 데이터베이스를 참조하여 패킷 별 보안 서비스의 선택 여부를 결정하는 단계와, 보안 기반 규칙 데이터베이스 및 보안 연계 데이터베이스의 보안 기반 규칙을 기반으로 하여 보안 연계를 수신자 측의 키 교환 서버와 협상하며, 협상된 보안 연계를 키 관리 서버에 저장하는 단계와, 보안 연계와 관련된 보안 기반 규칙을 링크시키며, 링크된 보안 기반 규칙과 보안 연계를 이용하여 패킷을 송신하는 단계를 포함한다. 또한, 본 발명의 IP 계층에서의 패킷 보호를 위한 수신자 측의 인터넷 정보 보안 시스템의 제어 방법은, 패킷을 수신한 후 보안 연계 데이터 베이스를 참조하여 패킷 별 보안 서비스의 선택 여부를 결정하는 단계와, 상기 참조한 보안 연계 데이터베이스를 이용하여 패킷에 적용된 정보 보호 서비스를 해제하는 단계와, 적용된 정보 보호 서비스가 수신자 측의 보안기반 규칙과 일치하는지를 확인하는 단계를 포함한다. 본 발명에 의하면 IP 계층에서 패킷별로 정보보호 서비스를 제공하므로, 응용 계층 프로그램의 변경 없이 모든 인터넷 서비스에서의 정보보호가 가능해진다.

Description

IP계층에서의 패킷 보안을 위한 인터넷 정보보호 시스템의 제어 방법{METHOD FOR CONTROLLING INTERNET INFORMATION SECURITY SYSTEM IN IP PACKET LEVEL}
본 발명은 인터넷에서 정보보호 서비스 제공하고 제어하며 또한 관리하고 평가하기 위하여 IP 계층에서 패킷 보호 기능 제공을 위한 IPsec(IP Security Protocol) 기술의 구현 방법 및 이를 실현시키기 위한 프로그램의 구성에 관한 것이다.
종래의 인터넷 정보보호 기술은 응용 계층의 서비스 별로 정보보호를 수행하는 방법들이 사용되었다. 이 방법들은 응용 계층의 각 서비스별로 사용자 정보보호를 위한 방법들을 만들고, 고안된 방법들은 응용 계층의 서비스 프로그램에서 직접적으로 호출하여 사용하는 형태로 구성되어 있다. 이러한 종래의 인터넷 정보보호 방법들은 인터넷 서비스별로 정보보호 방법이 존재하고, 정보보호를 인터넷 서비스에서 제공하기 위해서는 응용 계층 서비스 프로그램의 변경이 반드시 필요하다는 것을 의미한다. 따라서 사용자 및 인터넷 서비스 제공자에게 많은 경제적 지출은 유발할 뿐만 아니라 응용 계층 서비스별로 각각 독립적인 정보보호 방법이 필요하게 되며 각 응용 계층 서비스 프로그램의 부가적인 변경이 필요하게 되는 문제점을 내포하고 있었다.
본 발명은 상기한 종래 기술의 문제점을 해결하기 위한 것으로서, 종래의 인터넷 정보보호 기술에서 사용하던 응용 계층의 서비스 별로 정보보호를 수행하는 방법들을 대신하여, 응용 계층 서비스 프로그램에 영향을 주지 아니하고 독립적인 구현 및 운용이 가능한 IP 계층에서 패킷별로 다중의 정보보호 서비스를 제공하고 제어하며 또한 관리하고 평가할 수 있도록 수단을 제공하는데 그 목적이 있다.
본 발명에서 사용한 IPsec 기술은 IP 계층에서 패킷별로 정보보호 서비스를 제공하므로, 응용 계층 서비스에 프로그램에 영향을 주지 아니하고 독립적인 구현 및 운용이 가능하다. 또한 응용 계층 프로그램의 변경 없이 모든 인터넷 서비스에서의 정보보호가 가능해지며, 정보보호 서비스가 필요하지 않은 일반 IP 패킷에 대한 처리도 가능할 뿐만 아니라, 기존의 인터넷 사용자들은 인터넷 서비스 사용에 있어서 아무런 변화를 느끼지 못하게 된다. 더구나 기존의 IP 계층의 패킷 보호 방법에 비해 제어하는 블록을 통해 한 개 이상의 보안 서비스가 적용될 수 있다.
상기 목적을 달성하기 위하여, 본 발명은 IP 계층에서의 패킷 보호를 위한 송신자 측의 인터넷 정보 보안 시스템의 제어 방법에 있어서, 송신하고자 하는 패킷의 IP 헤더를 생성한 후, 보안 기반 규칙 데이터베이스 및 보안 연계 데이터베이스를 참조하여 패킷 별 보안 서비스의 선택 여부를 결정하는 제 1 단계와, 상기 보안 기반 규칙 데이터베이스 및 상기 보안 연계 데이터베이스가 존재하지 않을 경우, 수신자 측의 보안 기반 규칙 제어 서버와의 협상을 통하여 보안 기반 규칙을 설정하는 제 2 단계와, 상기 설정된 보안 기반 규칙을 기반으로 하여 보안 연계를 상기 수신자 측의 키 교환 서버와 협상하는 제 3 단계와, 상기 협상된 보안 연계를 키 관리 서버에 저장하는 제 4 단계와, 상기 보안 연계와 관련된 보안 기반 규칙을 링크시키는 제 5 단계와, 상기 링크된 보안 기반 규칙과 보안 연계를 이용하고 IPsec(IP Security Protocol)을 적용하여 상기 패킷을 송신하는 제 6 단계를 포함한다.
또한, 본 발명은 IP 계층에서의 패킷 보호를 위한 수신자 측의 인터넷 정보 보안 시스템의 제어 방법에 있어서, 수신된 패킷에 대한 재 조합이 이루어지고, 상기 재 조합된 패킷을 수신한 후, 보안 연계 데이터 베이스를 참조하여 패킷 별 보안 서비스의 선택 여부를 결정하는 제 7 단계와, 상기 참조한 보안 연계 데이터베이스를 이용하여 상기 패킷에 적용된 정보 보호 서비스를 해제하는 제 8 단계와, 상기 적용된 정보 보호 서비스가 상기 수신자 측의 보안기반 규칙과 일치하는지를 확인하기 위하여 보안 기반 규칙 제어 서버를 조회하는 제 9 단계를 포함한다.
이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 일시 예를 상세히 설명한다.
도 1은 본 발명에 따른 방법이 적용되는 인터넷 정보 보호 시스템의 구성을 나타내고 있다.
본 발명에 따른 정보 보호 제어 시스템(100)은, 크게 IP 보안 연결 호스트 시스템(ISHS)(110)과 IP보안 연결 게이트웨이 시스템(ISGS)(120), IP 보안 연결 제어 시스템(ISCS)(130)으로 나누어진다. IP 패킷이 IP 보안 연결 호스트 시스템(110)에서 송수신되며 이는 IP보안 연결 게이트웨이 시스템(120)을 통해 다른 시스템으로 포워드된다. 송수신되는 IP 패킷에 적용되는 정보보호 서비스를 제어하는 IP 보안 연결 제어 시스템(130)은 보안 기반 규칙 제어 블럭(SPCB)(132)과 보안 관리 블록(ISMB)(133), 보안 평가 블록(ISEB)(131)으로 구성된다. 이 블록들은 각각 다른 시스템을 구성하여도 무방하다. 인터넷 정보보호 제어 시스템(100)은 IPsec이 적용되는 라우터(140), 방화벽(150), VPN 서버(160)와도 연동이 가능하며, 공개키 기반 시스템에서 제공하는 CA와 연동을 통하여 공개키 인증에 관한 정보도 교환 가능하다.
도 2a 내지 2c는 인터넷 정보보호 제어 시스템(100)의 서브 시스템인 IP 보안 연결 호스트 시스템(110), IP 보안 연결 게이트웨이 시스템(120) 및 IP 보안 연결 제어 시스템(130)의 구성 블록을 나타낸 것이다.
도 2a의 IP 보안 연결 호스트 시스템(110)은 보안 호스트 블록(SHB)(111), 인터넷 키 관리 블록(IKMB)(112), 인터넷 키 교환 블록(IKEB)(113), 보안 기반 규칙 제어 블록의 클라이언트(114), 인터넷 보안 관리 블록의 에이전트(115), 보안 기반 규칙 데이터베이스(SPD)(116), 보안 연계 데이터베이스(SAD)(117)로 구성된다.
도 2b의 IP 보안 연결 게이트웨이 시스템(120)은 IP 보안 연결 호스트(110)와 구성이 동일하나, 보안 호스트 블록(SHB)(111) 대신 보안 게이트웨이 블록(SGB)(121)이 존재한다.
도 2c의 보안 기반 규칙 제어 서브시스템(130)은 보안 기반 규칙 제어 블록(SPCB)(133), 인터넷 보안관리 블록의 매니져(132)와 인터넷 보안 평가 블록(133), 보안 기반 규칙 데이터베이스(134)로 구성된다.
IP 보안 연결 호스트 시스템(110)과 IP 보안 게이트웨이 서브시스템(120)은 호스트에서 송수신되거나 게이트웨이에서 포워딩되는 IP 패킷에 데이터의 기밀성, 무결성, 접근 제어, 발신지 인증, 선택적인 재현공격 방지 서비스 등의 정보보호 서비스를 제공하며, IP 보안 연결 게이트웨이 시스템(120)은 라우터(140), 방화벽(150), VPN 서버(160)등과도 연동한다. 인터넷 상에서 완벽한 정보보호 서비스 제공 및 각 호스트 및 게이트웨이와 같은 인터넷 장비들을 제어/감시하는 IP 보안 연결 제어 시스템(130)은 각 시스템의 구성 요소를 통합적으로 제어하는 역할을 하며 호스트와 호스트, 호스트와 게이트웨이, 게이트웨이와 게이트웨이간의 비밀 통신을 연결하기 위하여 종단간의 비밀 통신 기반 규칙 설정 및 정보 교환을 수행한다. 또한, 구성 요소의 보안상 취약점 분석과 감사 이벤트 처리, 시스템 및 IP 데이터의 모니터링을 통하여 보안상 문제점을 찾아내고 이를 운용자에게 보고함으로써 보안 관리자가 문제점을 해결할 수 있다.
도 3a는 패킷별 정보보호 제공 및 제어를 위한 출력 IP 패킷에 대한 처리 절차를 나타내는 도이고, 도 3b는 정보보호 서비스가 제공된 입력 IP 패킷에 대한 처리 절차를 나타내는 도이다.
도 3a에 도시된 아웃바운드(Outbound) 패킷 처리는 보안 기반 규칙에 따라 두 가지 모드, 즉 터널 모드와 트랜스포트 모드로 수행된다. 터널 모드는 IP 보안 연결 게이트웨이 시스템(120)이 IP 패킷에 대한 보안 처리에 참여함으로써 이루어진다. 트랜스포트 모드에서는 IP 보안 연결 호스트 시스템(110)만이 IP 패킷에 대한 보안 처리를 수행하며 IP 보안 연결 게이트웨이 시스템(120)은 IP 패킷의 전송도 담당한다.
도 3a에 도시된 아웃바운드 패킷 처리 과정을 좀 더 자세히 설명하면 다음과 같다. 먼저, IP 보안 연결 호스트 시스템(110)이 IP 보안 연결 제어 시스템(130)에게 IP 보안 기반 규칙의 조회를 요청한다(단계 301). 이 요청에 응답하여, IP 보안 연결 제어 시스템(130)은 IP 보안 기반 규칙을 적용하여 보안 취약성을 분석하여 그 결과를 IP 보안 연결 호스트 시스템(110)에 전송한다(단계 302). 다음으로 IP 보안 연결 호스트 시스템(110)은 키 교환 메시지를 생성하고, 출력 IP 패킷에 보안 처리를 하고(단계 303), 생성된 키 교환 메시지와 보안 처리된 IP 패킷을 IP 보안 연결 게이트웨이 시스템(120)에 전송한다(단계 304). 키 교환 메시지와 보안 처리된 IP 패킷을 수신한 IP 보안 연결 게이트웨이 시스템(120)은 IP 보안 연결 제어 시스템(130)에 IP 보안 기반 규칙의 조회를 요청하고(단계 305), 이 요청에 응답하여 IP 보안 연결 제어 시스템(130)은 IP 보안 기반 규칙을 적용하여 보안 취약성을 분석하여 그 결과를 IP 보안 연결 게이트웨이 시스템(120)에 전송한다(단계 306). 다음으로 IP 보안 연결 게이트웨이 시스템(120)은 키 교환 메시지를 생성하고, 출력 IP 패킷에 보안 처리를 하고(단계 307), 생성된 키 교환 메시지와 보안 처리된 IP 패킷을 목적지에 전송한다(단계 308).
도 3b에 도시된 인바운드(Inbound) 패킷 처리는 아웃바운드 패킷 처리와 차이점을 지닌다. 보안 처리된 IP 패킷을 받으면 먼저 IP 보안 패킷에 대한 처리를 수행한 후, 관련 보안 기반 규칙이 적절히 적용되었는가에 대해 검사하게 된다. 단, 두 가지 모드는 아웃바운드 패킷 처리와 동일하게 수행된다. 위의 처리 절차에서 통합 관리 모니터링 및 보안 취약성 분석이 이루어진다.
도 3b에 도시된 인바운드 패킷 처리 과정을 좀 더 자세히 설명하면 다음과 같다. 먼저, IP 보안 연결 게이트웨이 시스템(120)은 키 교환 메시지와 보안 처리된 IP 패킷을 수신하여(단계 311), 수신한 IP 패킷의 처리된 보안 규칙 정보를 얻는다(단계 312). 다음으로 IP 보안 연결 게이트웨이 시스템(120)은 IP 보안 연결 제어 시스템(130)에게 IP 보안 기반 규칙의 조회를 요청한다(단계 313). 이 요청에 응답하여, IP 보안 연결 제어 시스템(130)은 수신된 IP 패킷에 적용된 보안 기반 규칙의 적정성을 검사하고 보안 취약성을 분석하여 그 결과를 IP 보안 연결 게이트웨이 시스템(120)에 전송한다(단계 314). 다음으로 IP 보안 연결 게이트웨이 시스템(120)은 수신된 키 교환 메시지와 IP 패킷을 IP 보안 연결 호스트 시스템(110)에 전송한다(단계 315). 키 교환 메시지와 IP 패킷을 수신한 IP 보안 연결 호스트 시스템(110)은 수신한 IP 패킷의 처리된 보안 규칙 정보를 얻고(단계 316), IP 보안 연결 제어 시스템(130)에 IP 보안 기반 규칙의 조회를 요청하며(단계 317), 이 요청에 응답하여 IP 보안 연결 제어 시스템(130)은 수신된 IP 패킷에 적용된 보안 기반 규칙의 적정성을 검사하고 보안 취약성을 분석하여 그 결과를 IP 보안 연결 호스트 시스템(110)에 전송한다(단계 318).
도 4는 본 발명에 따른 인터넷 정보 보호 시스템의 제어를 위한 전체의 절차를 나타낸 것이다. 도 4에서, 각 블록을 나타내는 이름(SHGB, SPCB, ...)에 첨부된 숫자(1, 2)는 현재 수행중인 통신의 상대방인 시작자와 응답자 각각 나타낸다(예, SHGB1과 SHGB2). 그리고 블록의 이름 중에서 SHGB는 IP 보안 연결 호스트 시스템(110)의 보안 호스트 블록(SHB)(111) 또는 IP 보안 연결 게이트웨이 시스템(120)의 보안 게이트웨이 블록(SGB)(121) 중의 하나를 나타낸다.
도 4에 도시된 바와 같이, 제 1 사용자(시작자) 측은 송신하고자 하는 패킷의 IP 헤더를 생성한 후 보안기반규칙 데이터베이스(SPD) 및 보안 연계 데이터베이스(SA)를 참조하여 패킷별 보안 서비스의 선택 여부를 결정한다. 보안기반규칙 데이터베이스(SPD) 및 보안 연계 데이터베이스(SA)가 존재하지 않을 경우는 제 2 사용자(응답자) 측의 보안 기반 규칙 제어 블록(SPCB2)과의 보안기반규칙을 협상을 통해 설정하며, 협상된 보안기반 규칙을 기반으로 하여 보안 연계를 제 2 사용자 측의 키 교환 서버(IKMB2)와 협상한다. 제 2 사용자 측이 설정된 보안 연계 데이터베이스(SA)를 키 관리 서버(IKMB2)에 저장하며 동시에 보안 연계(SA)와 관련된 보안기반 규칙(SPD)을 링크시킨다. 제 1 사용자 측이 설정된 보안기반규칙(SPD)과 보안 연계(SA)를 가지고 IPsec을 적용하여 데이터를 송신하면, 제 2 사용자 측은 정보보호 서비스가 적용된 패킷을 수신하여 수신된 패킷에 대한 재 조합이 이루어지고 완성된 IP 패킷을 수신한 후 보안 연계 데이터 베이스(SPD)를 참조하여 패킷별 보안 서비스의 선택 여부를 결정한다. 참조한 보안 연계 데이터베이스(SA)를 이용하여 패킷의 IPsec을 해제하고 적용된 정보보호 서비스가 보안기반 규칙과 일치하는지 보안기반규칙 제어 서버(SPCB1)를 조회한다. 보안 연계 데이터베이스의 수명이 만료되었을 때 키 관리 서버(IKMB1)가 이를 키 교환 서버(IKEB1)에 새로운 보안 연계 데이터베이스(SA)의 생성을 요구하여 새로운 보안 연계 데이터베이스(SA)를 협상하고 저장하여 키를 삭제하고 갱신한다. 각 단계별로 보안 관리 매니저와 에이전트가 시스템 블록의 데이터베이스 및 패킷을 모니터링하며 비정상적인 이벤트가 일어났을 때 이를 보안관리 서버에 알려준다. 오프라인으로 각 블록을 공격하여 보안 서비스에 대한 평가 및 보안 취약성을 분석한다.
도 5a 내지 5f는 본 발명에 따른 인터넷 정보보호 시스템의 제어를 위한 각 블록의 기능 수행 절차를 나타낸 것이다.
도 5a는 IP 보안 연결 호스트 시스템(110)의 보안 호스트 블록(111)의 기능을 나타낸 것으로, 여기서 보안 호스트 블록(111)은 SHGB로 표현된다. 보안 호스트 블록(SHGB)은 데이터의 보안처리를 위해 보안 기반 규칙 제어 블록(SPCB), 인터넷 키 관리 블록(IKMB) 및 통신상대편의 보안 호스트 블록(SHGB)와 동작하며 보안 호스트 블록(SHGB)의 동작 절차는 아웃바운드(Outbound) 메시지 처리와 인바운드(Inbound) 메시지 처리로 나누어진다.
아웃바운드 메시지 처리는 다음과 같이 수행된다. 먼저 제 1 사용자 측은 전송하려는 데이터의 보안 처리를 위해 보안 기반 규칙 제어 블록(SPCB1)에게 보안 정책 데이터베이스(SPD)의 해당 보안기반규칙에 대한 조회 요구를 한다. 조회가 완료되면 보안기반규칙에 따라 전송하려는 데이터에 대한 보안 처리가 수행된다.
인바운드 메시지의 처리는 다음과 같이 수행된다. 제 2 사용자 측은 보안 처리된 데이터를 복구하기 위해 먼저 인터넷 키 관리 블록(IKMB2)에게 해당 보안 연계성 데이터베이스(SA)에 대한 조회 요구를 수행한다. 조회가 완료되면 해당 보안 연계(SA)에 따른 보안처리데이터의 복구가 수행된다. 보안처리 데이터의 복구 후, 적용된 보안기반규칙이 적정한가에 대한 검사를 수행하기 위해 보안 호스트 블록(SHGB2)은 보안 정책 데이터베이스(SPD) 엔트리에 대한 조회를 요구한다.
도 5b는 IP 보안 연결 게이트웨이 시스템(110)의 보안 게이트웨이 블록(121)의 기능을 나타낸 것으로, 여기서 보안 게이트웨이 블록(121)은 SHGB로 표현된다. 도 5b에 도시된 보안 게이트웨이 블록(121)의 기능 수행은 터널 모드로 동작한다. 보안 게이트웨이 블록(SHGB)은 데이터의 보안처리를 위해 보안 기반 규칙 제어 블록(SPCB), 인터넷 키 관리 블록(IKMB) 및 통신상대편의 보안 게이트웨이 블록(SHGB)과 동작하며, 보안 게이트웨이 블록(SHGB)의 동작 절차는 다음과 같다.
아웃바운드 메시지 처리는 다음과 같이 수행된다. 제 1 사용자 측은 먼저 전송하려는 데이터의 보안 처리를 위해 보안 기반 규칙 제어 블록(SPCB1)에게 보안 정책 데이터베이스(SPD)의 해당 보안기반규칙에 대한 조회 요구를 한다. 조회가 완료되면 보안기반규칙에 따라 전송하려는 데이터에 대한 보안 처리가 수행된다.
인바운드 메시지의 처리는 다음과 같이 수행된다. 제 2 사용자 측은 보안 처리된 데이터를 복구하기 위해 먼저 인터넷 키 관리 블록(IKMB2)에게 해당 보안 연관 데이터베이스(SA)에 대한 조회 요구를 수행한다. 조회가 완료되면 해당 보안 연관(SA)에 따른 보안 처리 데이터의 복구가 수행된다. 보안 처리 데이터의 복구 후, 적용된 보안기반규칙이 적정한가에 대한 검사를 수행하기 위해 보안 게이트웨이 블록(SHGB2)은 보안 정책 데이터베이스(SPD) 엔트리에 대한 조회를 요구한다.
도 5c는 IP 보안 연결 호스트 시스템(110) 또는 IP 보안 연결 게이트웨이 시스템(120)의 인터넷 키 관리 블록(112)에서 수행되는 키 관리 기능을 나타낸 것으로, 여기서 인터넷 키 관리 블록(112)은 IKMB로 표현된다. 인터넷 키 관리 블록(IKMB)은 인터넷 키 교환 블록(IKEB)에 의해 생성된 키와 보안 연계(SA)에 대한 관리를 수행한다. 인터넷 키 관리 블록(IKMB)은 관리하고 있는 보안 연계(SA)와 키에 대한 조회요구 및 보안 정책 데이터베이스(SPD)와의 연결성을 위해 보안 기반 규칙 제어 블록(SPCB), 인터넷 키 교환 블록(IKEB) 및 보안 호스트 블록 또는 보안 게이트웨이 블록(SHGB)과 동작한다. 인터넷 키 관리 블록(IKMB)의 동작절차는 다음과 같다.
아웃바운드 메시지 처리는 다음과 같이 수행된다. 제 1 사용자 측의 보안 기반 규칙 제어 블록(SPCB1)이 보안 호스트 블록 또는 보안 게이트웨이 블록(SHGB1)의 보안기반규칙 조회의 결과로써 해당보안기반규칙과 상응하는 보안 연계(SA)를 리턴하기 위해 보안 연계(SA)에 대한 조회요구를 보내오면, 인터넷 키 관리 블록(IKMB1)은 해당 보안 연계(SA)를 가지고 응답하게 된다. 또한, 인터넷 키 관리 블록(IKMB1)은 인터넷 키 교환 블록(IKEB1)의 협상으로 생성된 보안 연계(SA)를 관리하며, 따라서 인터넷 키 교환 블록(IKEB1)이 보안 연계(SA)를 생성할 때마다 해당 보안 연계(SA)의 저장요구를 받으며 보안 연계(SA)의 저장에 대한 완료결과를 응답하게 된다. 해당 보안 연계(SA)를 저장할 때, 보안 기반 규칙 제어 블록(SPCB1)에 대해 설정된 보안 연계(SA)와 해당 보안 정책 데이터베이스(SPD) 엔트리와의 연결 요구를 보낸다.
인바운드 메시지 처리는 다음과 같이 수행된다. 제 2 사용자측은 보안 호스트 블록 또는 보안 게이트웨이 블록(SHGB2)이 전송 받은 보안처리 메시지를 복구하기 위해 해당 보안 연계(SA)에 대한 조회요구를 보내오면, 인터넷 키 관리 블록(IKMB2)은 해당 보안 연계(SA)로써 응답하게 된다. 마찬가지로 인터넷 키 관리 블록(IKMB2)은 협상으로 생성된 보안 연계(SA)를 관리하며, 따라서 인터넷 키 교환 블록(IKEB2)이 보안 연계(SA)를 생성할 때마다 해당 보안 연계(SA)의 저장요구를 받으며 보안 연계(SA)의 저장에 대한 완료결과를 응답하게 된다.
도 5d는 IP 보안 연결 호스트 시스템(110) 또는 IP 보안 연결 게이트웨이 시스템(120)의 인터넷 키 교환 블록(113)에서 수행되는 자동 키 협상 기능을 나타낸 것으로, 여기서 인터넷 키 교환 블록(113)은 IKEB로 표현된다. 인터넷 키 교환 블록(IKEB)은 IP 패킷에 대한 보안 서비스를 제공하기 위한 보안 연계(SA)와 키의 협상을 수행하게 된다. 보안 연계(SA)와 키의 협상은 인터넷 키 교환 블록(IKEB)에서 제공하게 되는 모드별로 여러 가지 인증 방법이 사용될 수 있다. 인터넷 키 교환 블록(IKEB)은 보안 기반 규칙과 연계된 보안 연계(SA) 및 키의 협상을 위해 보안 기반 규칙 제어 블록(SPCB), 인터넷 키 관리 블록(IKMB) 및 통신 상대편의 인터넷 키 교환 블록(IKEB)과 동작한다.
보안 기반 규칙 제어 블록(SPCB)이 보안 호스트 블록 또는 보안 게이트웨이 블록(SHGB)의 보안 정책 데이터베이스(SPD) 엔트리 조회요구에 응답하기 위해서는 해당 보안 정책 데이터베이스(SPD) 엔트리와 그에 따른 보안 연계(SA)가 존재해야 한다. 따라서 해당 보안 연계(SA)가 존재하지 않을 경우는 보안 기반 규칙 제어 블록(SPCB)의 요청에 의해 인터넷 키 교환 블록(IKEB)이 보안 연계(SA) 협상을 위해 활성화되어야 한다. 제 1 사용자 측의 인터넷 키 교환 블록(IKEB1)이 활성화되면 보안 연계(SA)를 협상하기 위해 보안 연계(SA) 설정요구를 보내 제 2 사용자 측의 인터넷 키 교환 블록(IKEB2)을 활성화시킨다. 따라서 통신 양단의 인터넷 키 교환 블록(IKEB) 간에 보안 연계(SA)가 협상 및 설정되고, 또한, 설정된 보안 연계(SA) 저장을 위해 인터넷 키 교환 블록(IKEB1)은 인터넷 키 관리 블록(IKMB)에 보안 연계(SA) 저장요구를 보낸다.
도 5e는 IP 보안 연결 제어 시스템(130)의 보안 기반 규칙 제어 블록(133)에서 수행되는 보안 기반 규칙 설정 기능을 나타낸 것으로, 여기서 보안 기반 규칙 제어 블록(133)은 SPCB로 표현된다. 보안 기반 규칙 제어 블록(SPCB)은 보안 기반 규칙의 설정과 해제를 위해 보안 호스트 블록 또는 보안 게이트웨이 블록(SHGB), 인터넷 키 관리 블록(IKMB), 인터넷 키 교환 블록(IKEB) 및 통신 상대편의 보안 기반 규칙 제어 블록(SPCB)과 동작한다. 그리고, 보안 관리 블록(ISMB)과 통신하여 보안 기반 규칙의 설정을 변경한다. 해당 보안 정책 데이터베이스(SPD) 엔트리가 있을 경우, 보안 호스트 블록 또는 보안 게이트웨이 블록(SHGB)이 보안 기반 규칙 제어 블록(SPCB)에게 보안 정책 데이터베이스(SPD)의 조회를 요구하면, 보안 기반 규칙 제어 블록(SPCB)은 인터넷 키 관리 블록(IKMB)에게 보안 연계(SA)의 조회를 요구한다. 인터넷 키 관리 블록(IKMB)으로부터 보안 연계(SA)를 받아서 보안 호스트 블록 또는 보안 게이트웨이 블록(SHGB)에게 보안 정책 데이터베이스(SPD)와 보안 연계(SA)의 엔트리를 보내준다. 해당 보안 정책 데이터베이스(SPD) 엔트리가 없을 경우, 보안 호스트 블록 또는 보안 게이트웨이 블록(SHGB)이 보안 정책 데이터베이스(SPD)의 조회를 요구하면, 보안 기반 규칙 제어 블록(SPCB)은 보안 정책 데이터베이스(SPD)의 엔트리 설정해서 응답한다. 만약 해당 보안 연계(SA)가 없을 경우에는 인터넷 키 교환 블록(IKEB)에게 보안 연계(SA)의 설정을 요구하여 보안 연계(SA)를 받는다. 인터넷 키 관리 블록(IKMB)이 보안 정책 데이터베이스(SPD) 링크를 요구하면, 보안 기반 규칙 제어 블록(SPCB)은 보안 정책 데이터베이스(SPD) 링크를 응답한다. 그리고, 보안 호스트 블록 또는 보안 게이트웨이 블록(SHGB)에게 보안 정책 데이터베이스(SPD)와 보안 연계(SA)를 보내준다.
인바운드 메시지에 대해, 적정 보안 정책 데이터베이스(SPD) 엔트리가 적용되었는가를 확인하기 위해 보안 호스트 블록 또는 보안 게이트웨이 블록(SHGB)에게 보안 정책 데이터베이스(SPD)의 적정성 검사를 요구하고 응답을 받는다. 보안 관리 블록(ISMB)이 해제를 요구하면 보안 기반 규칙 제어 블록(SPCB)은 설정된 보안 정책 데이터베이스(SPD)를 해제한다. 보안 기반 규칙 제어 블록(SPCB)는 보안 정책 데이터베이스(SPD)를 해제한 후에, 인터넷 키 관리 블록(IKMB)에게 보안 연계(SA)의 해제를 요구하고, 인터넷 키 관리 블록(IKMB)은 해당 보안 연계(SA)와 키를 폐기한다. 그리고, 보안 관리 블록(ISMB)에게 보안 정책 데이터베이스(SPD)가 해제되었음을 알려준다.
도 5f는 IP 보안 연결 제어 시스템(130)의 보안 관리 블록(132)에 의해 수행되는 통합 관리 모니터링 기능을 나타낸 것으로, 여기서 보안 관리 블록(132)은 ISMB로 표현된다. 통합 관리 모니터링 기능은 보안 관리 블록(ISMB)에 의한 각 기능 블록에 대한 모니터링 요구와 응답 절차로 이루어진다. 보안 관리 블록(ISMB)은 Trap을 이용하여 생성되고 해제되는 보안 연계(SA)에 대하여 모니터링하고, 보안 호스트 블록 또는 보안 게이트웨이 블록(SHGB)의 IP 패킷을 모니터링한다. 그리고, 보안 평가 블록(ISEB)으로부터 변경된 설정이나 평가와 보안 취약성을 통보 받는다. 또한, 보안 기반 규칙 제어 블록(SPCB)의 정책(policy)을 보여주고 보안설정을 하며 인터넷 키 관리 블록(IKMB)의 설정을 요구하고 응답을 받는다.
마지막으로, 보안 취약성 분석 기능은 IP 보안 연결 제어 시스템(130)의 보안 평가 블록(ISEB)에 의해 수행된다. 보안 평가 블록(ISEB)은 각 기능 블록의 보안 취약성을 분석하기 위해 관련 모니터링 요구를 수행한다. 보안 평가 블록(ISEB)은 각 기능 블록에 대한 취약성 모니터링 요구와 응답 절차를 수행하며, 실시간으로 보안 호스트 블록 또는 보안 게이트웨이 블록(SHGB), 보안 기반 규칙 제어 블록(SPCB), 인터넷 키 관리 블록(IKMB), 인터넷 키 교환 블록(IKEB), 보안 관리 블록(ISMB)의 보안상 취약점 및 잘못된 설정을 모니터링하면서 분석하여 네트워크 전체의 보안성을 종합 평가한다. 또한, 보안 평가 블록(ISEB)은 네트워크의 사용량이 적은 시간에 네트워크 정보를 수집하여 보안 관리 블록(ISMB)에 보고하며, 보안 관리 블록(ISMB)은 통계량을 처리한다. 보안 평가 블록(ISEB)은 수집된 정보를 분석 결과를 보안상 문제점들로 인해 일어날 수 있는 공격 시나리오를 예측한다.
상기한 바와 같이, 본 발명은 상위 응용 계층으로부터 발생된 메시지가 인터넷을 통해 전달될 수 있는 IP 패킷의 형태로 변형되는 과정에서 정보 보호 서비스를 선택적으로 제공할 수 있고, 다중의 보안 서비스를 제공할 수 있으며, 상위 계층 서비스 프로그램의 변경 없이 모든 인터넷 서비스에 정보보호 기능을 제공할 수 있는 효과가 있다. 또한 시스템을 통합적으로 제어하여 완벽한 정보보호 서비스를 각 호스트 및 게이트웨이와 같은 인터넷 장비들에게 제공할 수 있으며 구성 요소의 보안상 취약점 분석과 감사 이벤트 처리, 시스템 및 IP 데이터의 모니터링을 통하여 보안상 문제점을 찾아내고 이를 운용자에게 보고함으로써 보안 관리자가 문제점을 해결할 수 있다.
도 1은 본 발명에 따른 IP 계층에서의 패킷 보안 서비스를 제공, 제어, 관리 및 평가하기 위한 인터넷 정보 보안 시스템의 구성을 나타내는 블록 도이고,
도 2a는 도 1에 도시된 인터넷 정보 보안 시스템의 IP 보안 연결 호스트 시스템의 구성을 나타내는 블록 도이고,
도 2b는 도 1에 도시된 인터넷 정보 보안 시스템의 IP 보안 게이트웨이 시스템의 구성을 나타내는 블록 도이고,
도 2c는 도 1에 도시된 인터넷 정보 보안 시스템의 IP 보안 연결 제어 시스템의 구성을 나타내는 블록 도이고,
도 3a는 본 발명에 따른 송신자 측의 IP 계층에서의 패킷 보안 서비스의 절차를 나타내는 도이고,
도 3b는 본 발명에 따른 수신자 측의 IP 계층에서의 패킷 보안 서비스의 절차를 나타내는 도이고,
도 4는 본 발명에 따른 IP 계층에서의 패킷 보안 서비스의 전체적인 절차를 나타내는 도이고,
도 5a는 본 발명에 따른 IP 보안 연결 호스트 시스템의 보안 호스트 블록의 기능을 나타내는 도이고,
도 5b는 본 발명에 따른 IP 보안 연결 호스트 시스템의 보안 게이트웨이 블록의 기능을 나타내는 도이고,
도 5c는 본 발명에 따른 IP 보안 연결 호스트 시스템 또는 IP 보안 연결 게이트웨이 시스템의 인터넷 키 관리 블록의 기능을 나타내는 도이고,
도 5d는 본 발명에 따른 IP 보안 연결 호스트 시스템 또는 IP 보안 연결 게이트웨이 시스템의 인터넷 키 교환 블록의 기능을 나타내는 도이고,
도 5e는 본 발명에 따른 IP 보안 연결 제어 시스템의 보안 기반 규칙 제어 블록의 기능을 나타내는 도이고,
도 5f는 본 발명에 따른 IP 보안 연결 제어 시스템의 보안 관리 블록의 기능을 나타내는 도이다.
<도면의 주요부분에 대한 부호의 설명>
100 : 인터넷 정보 보안 시스템
110 : IP 보안 연결 호스트 시스템
120 : IP 보안 연결 게이트웨이 시스템
130 : IP 보안 연결 제어 시스템

Claims (5)

  1. IP 계층에서의 패킷 보호를 위한 송신자 측의 인터넷 정보 보안 시스템의 제어 방법에 있어서,
    송신하고자 하는 패킷의 IP 헤더를 생성한 후, 보안 기반 규칙 데이터베이스 및 보안 연계 데이터베이스를 참조하여 패킷 별 보안 서비스의 선택 여부를 결정하는 제 1 단계와,
    상기 보안 기반 규칙 데이터베이스 및 상기 보안 연계 데이터베이스가 존재하지 않을 경우, 수신자 측의 보안 기반 규칙 제어 서버와의 협상을 통하여 보안 기반 규칙을 설정하는 제 2 단계와,
    상기 설정된 보안 기반 규칙을 기반으로 하여 보안 연계를 상기 수신자 측의 키 교환 서버와 협상하는 제 3 단계와,
    상기 협상된 보안 연계를 키 관리 서버에 저장하는 제 4 단계와,
    상기 보안 연계와 관련된 보안 기반 규칙을 링크시키는 제 5 단계와,
    상기 링크된 보안 기반 규칙과 보안 연계를 이용하고 IPsec(IP Security Protocol)을 적용하여 상기 패킷을 송신하는 제 6 단계를 포함하는 것을 특징으로 하는 인터넷 정보 보안 시스템의 제어 방법.
  2. IP 계층에서의 패킷 보호를 위한 수신자 측의 인터넷 정보 보안 시스템의 제어 방법에 있어서,
    수신된 패킷에 대한 재 조합이 이루어지고, 상기 재 조합된 패킷을 수신한 후, 보안 연계 데이터 베이스를 참조하여 패킷 별 보안 서비스의 선택 여부를 결정하는 제 7 단계와,
    상기 참조한 보안 연계 데이터베이스를 이용하여 상기 패킷에 적용된 정보 보호 서비스를 해제하는 제 8 단계와,
    상기 적용된 정보 보호 서비스가 상기 수신자 측의 보안기반 규칙과 일치하는지를 확인하기 위하여 보안 기반 규칙 제어 서버를 조회하는 제 9 단계를 포함하는 것을 특징으로 하는 인터넷 정보 보안 시스템의 제어 방법.
  3. 제 1 항 또는 제 2 항에 있어서,
    상기 보안 연계 데이터베이스의 수명이 만료되었을 경우,
    키 관리 서버가 이를 키 교환 서버에 새로운 보안 연계 데이터베이스의 생성을 요구하여, 상기 새로운 보안 연계 데이터베이스를 협상하고 저장하며, 키를 삭제하고 갱신하는 제 10 단계를 더 포함하는 것을 특징으로 하는 인터넷 정보 보안 시스템의 제어 방법.
  4. 제 1 항 또는 제 2 항에 있어서,
    인터넷 상의 완벽한 정보보호 서비스 제공 및 구성요소를 통합적으로 제어하기 위하여, 상기 각 단계 별로 보안 관리 매니저와 에이전트가 상기 인터넷 정보 보안 시스템의 각 기능 블록 및 상기 패킷을 모니터링하는 제 11 단계와,
    상기 모니터링의 결과, 비정상적인 이벤트가 일어났을 때 이를 보안 관리 서버에 알려주는 제 12 단계를 더 포함하는 것을 특징으로 하는 인터넷 정보 보안 시스템의 제어 방법.
  5. 제 1 항 또는 제 2 항에 있어서,
    상기 인터넷 정보 보안 시스템의 각 기능 블록의 보안상 취약점 분석을 위하여, 오프라인으로 상기 각 기능 블록을 공격하여 보안 서비스에 대한 평가를 하는 제 13 단계를 더 포함하는 것을 특징으로 하는 인터넷 정보 보안 시스템의 제어 방법.
KR10-2001-0086983A 2001-12-28 2001-12-28 Ip계층에서의 패킷 보안을 위한 인터넷 정보보호시스템의 제어 방법 KR100470915B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR10-2001-0086983A KR100470915B1 (ko) 2001-12-28 2001-12-28 Ip계층에서의 패킷 보안을 위한 인터넷 정보보호시스템의 제어 방법
US10/188,110 US20030126466A1 (en) 2001-12-28 2002-07-03 Method for controlling an internet information security system in an IP packet level

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2001-0086983A KR100470915B1 (ko) 2001-12-28 2001-12-28 Ip계층에서의 패킷 보안을 위한 인터넷 정보보호시스템의 제어 방법

Publications (2)

Publication Number Publication Date
KR20030056700A KR20030056700A (ko) 2003-07-04
KR100470915B1 true KR100470915B1 (ko) 2005-03-08

Family

ID=19717796

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2001-0086983A KR100470915B1 (ko) 2001-12-28 2001-12-28 Ip계층에서의 패킷 보안을 위한 인터넷 정보보호시스템의 제어 방법

Country Status (2)

Country Link
US (1) US20030126466A1 (ko)
KR (1) KR100470915B1 (ko)

Families Citing this family (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4159328B2 (ja) * 2002-09-11 2008-10-01 Necインフロンティア株式会社 ネットワーク、IPsec設定サーバ装置、IPsec処理装置及びそれらに用いるIPsec設定方法
KR100484488B1 (ko) * 2002-10-31 2005-04-20 한국전자통신연구원 분산된 보안자원을 포함하는 인터넷 서비스 사업자망의보안서비스 방법 및 시스템
US7350077B2 (en) * 2002-11-26 2008-03-25 Cisco Technology, Inc. 802.11 using a compressed reassociation exchange to facilitate fast handoff
JP3831364B2 (ja) * 2003-08-21 2006-10-11 株式会社東芝 通信システム、同通信システムにおけるセキュリティポリシーの配布方法
US7350233B1 (en) * 2003-09-12 2008-03-25 Nortel Networks Limited Fast re-establishment of communications for virtual private network devices
FI20031361A0 (fi) * 2003-09-22 2003-09-22 Nokia Corp IPSec-turva-assosiaatioiden kaukohallinta
US7305706B2 (en) * 2004-01-15 2007-12-04 Cisco Technology, Inc. Establishing a virtual private network for a road warrior
KR100617316B1 (ko) * 2004-11-22 2006-08-30 한국전자통신연구원 IXDP2400에서의 IPSec 프로토콜 처리 엔진 장치 및 그 처리 방법
KR100669240B1 (ko) * 2004-12-07 2007-01-15 한국전자통신연구원 평가규칙표기언어를 이용한 IPv6 네트워크 계층의보안성 평가 시스템 및 방법
US8392707B2 (en) * 2005-09-07 2013-03-05 Bally Gaming, Inc. Gaming network
US8118677B2 (en) 2005-09-07 2012-02-21 Bally Gaming International, Inc. Device identification
US20080220879A1 (en) * 2005-09-07 2008-09-11 Bally Gaming, Inc. Trusted Cabinet Identification Method
US8544098B2 (en) * 2005-09-22 2013-09-24 Alcatel Lucent Security vulnerability information aggregation
US8438643B2 (en) * 2005-09-22 2013-05-07 Alcatel Lucent Information system service-level security risk analysis
US8095984B2 (en) * 2005-09-22 2012-01-10 Alcatel Lucent Systems and methods of associating security vulnerabilities and assets
US7984130B2 (en) * 2006-07-14 2011-07-19 Cellco Partnership Multimedia next generation network architecture for IP services delivery based on network and user policy
KR100839941B1 (ko) 2007-01-08 2008-06-20 성균관대학교산학협력단 IPSec 설정정보와 세션정보를 이용한 비정상IPSec 트래픽 제어 시스템 및 그 제어 방법
US20150082390A1 (en) * 2013-09-08 2015-03-19 Yona Flink Method and a system for secure login to a computer, computer network, and computer website using biometrics and a mobile computing wireless electronic communication device
CN104320332A (zh) * 2014-11-13 2015-01-28 济南华汉电气科技有限公司 多协议工业通信安全网关及应用该网关的通信方法
CN105072025B (zh) * 2015-08-05 2018-03-13 北京科技大学 针对现代工业控制系统网络通信的安全防护网关及系统
CN105897711A (zh) * 2016-04-07 2016-08-24 周文奇 一种将工业控制系统与管理网络进行隔离的系统
US11316667B1 (en) * 2019-06-25 2022-04-26 Juniper Networks, Inc. Key exchange using pre-generated key pairs
US11924112B2 (en) * 2021-03-30 2024-03-05 Cisco Technology, Inc. Real-time data transaction configuration of network devices

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010071528A (ko) * 1998-06-19 2001-07-28 추후제출 필터 코드를 이용하여 아이피 보안 정책 관리를 수행하기위한 방법 및 장치
KR20010090297A (ko) * 2000-03-24 2001-10-18 강상훈 보안 정책 시스템
KR20020088728A (ko) * 2001-05-21 2002-11-29 한국전자통신연구원 정보 보호 인터넷 프로토콜 패킷의 송수신 방법
KR20030055716A (ko) * 2001-12-27 2003-07-04 한국전자통신연구원 아이피섹을 이용한 통합 키관리 방법 및 이를 위한 기록매체
KR20030055715A (ko) * 2001-12-27 2003-07-04 한국전자통신연구원 다중 보안 서비스를 제공하는 개선된 아이피 계층에서의패킷 보호 방법

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0903026B1 (de) * 1996-06-05 2000-12-13 Siemens Aktiengesellschaft Verfahren zur Aushandlung einer Sicherheitspolitik zwischen einer ersten Computereinheit und einer zweiten Computereinheit
US6253337B1 (en) * 1998-07-21 2001-06-26 Raytheon Company Information security analysis system
JP2000295274A (ja) * 1999-04-05 2000-10-20 Nec Corp パケット交換装置
JP3668047B2 (ja) * 1999-05-20 2005-07-06 株式会社東芝 移動通信方法、移動計算機装置及び暗号化通信装置
US7013296B1 (en) * 1999-06-08 2006-03-14 The Trustees Of Columbia University In The City Of New York Using electronic security value units to control access to a resource
US6539483B1 (en) * 2000-01-12 2003-03-25 International Business Machines Corporation System and method for generation VPN network policies
US6772348B1 (en) * 2000-04-27 2004-08-03 Microsoft Corporation Method and system for retrieving security information for secured transmission of network communication streams
US7028332B1 (en) * 2000-06-13 2006-04-11 Intel Corporation Method and apparatus for preventing packet retransmissions during IPsec security association establishment
US6986061B1 (en) * 2000-11-20 2006-01-10 International Business Machines Corporation Integrated system for network layer security and fine-grained identity-based access control
US20020083344A1 (en) * 2000-12-21 2002-06-27 Vairavan Kannan P. Integrated intelligent inter/intra networking device
US6931529B2 (en) * 2001-01-05 2005-08-16 International Business Machines Corporation Establishing consistent, end-to-end protection for a user datagram
US6938155B2 (en) * 2001-05-24 2005-08-30 International Business Machines Corporation System and method for multiple virtual private network authentication schemes
US6928553B2 (en) * 2001-09-18 2005-08-09 Aastra Technologies Limited Providing internet protocol (IP) security
US20040123139A1 (en) * 2002-12-18 2004-06-24 At&T Corp. System having filtering/monitoring of secure connections

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010071528A (ko) * 1998-06-19 2001-07-28 추후제출 필터 코드를 이용하여 아이피 보안 정책 관리를 수행하기위한 방법 및 장치
KR20010090297A (ko) * 2000-03-24 2001-10-18 강상훈 보안 정책 시스템
KR20020088728A (ko) * 2001-05-21 2002-11-29 한국전자통신연구원 정보 보호 인터넷 프로토콜 패킷의 송수신 방법
KR20030055716A (ko) * 2001-12-27 2003-07-04 한국전자통신연구원 아이피섹을 이용한 통합 키관리 방법 및 이를 위한 기록매체
KR20030055715A (ko) * 2001-12-27 2003-07-04 한국전자통신연구원 다중 보안 서비스를 제공하는 개선된 아이피 계층에서의패킷 보호 방법

Also Published As

Publication number Publication date
KR20030056700A (ko) 2003-07-04
US20030126466A1 (en) 2003-07-03

Similar Documents

Publication Publication Date Title
KR100470915B1 (ko) Ip계층에서의 패킷 보안을 위한 인터넷 정보보호시스템의 제어 방법
Fajardo et al. Diameter base protocol
EP2241058B1 (en) Method for configuring acls on network device based on flow information
US8879415B2 (en) Method and system for annotating network flow information
CN102347870B (zh) 一种流量安全检测方法、设备和系统
US8230480B2 (en) Method and apparatus for network security based on device security status
US8239520B2 (en) Network service operational status monitoring
US8341724B1 (en) Blocking unidentified encrypted communication sessions
US6915436B1 (en) System and method to verify availability of a back-up secure tunnel
US7680925B2 (en) Method and system for testing provisioned services in a network
JP2008505400A (ja) 高度化されたネットワーククライアントのセキュリティに関係するアプリケーションのためのシステムおよび方法
US20050268332A1 (en) Extensions to filter on IPv6 header
US20130254310A1 (en) Delegated network management system and method of using the same
Oniga et al. Analysis, design and implementation of secure LoRaWAN sensor networks
US20040103314A1 (en) System and method for network intrusion prevention
US20060200547A1 (en) Methods, devices, systems and computer program products for providing secure communications between managed devices in firewall protected areas and networks segregated therefrom
US20220086691A1 (en) User Data Traffic Handling
JP2011508550A (ja) セキュリティ実施ポイントへのセキュリティ・アソシエーション情報の選択的ロードのための方法、装置、およびコンピュータ・プログラム
Yang et al. Service and network management middleware for cooperative information systems through policies and mobile agents
US8055746B2 (en) Method and system for improved management of a communication network by extending the simple network management protocol
US7237263B1 (en) Remote management of properties, such as properties for establishing a virtual private network
EP1757061B1 (en) Extensions to filter on ipv6 header
Chris What’s Not So Simple about SNMP?
Bibbs et al. Comparison of SNMP Versions 1, 2 and 3
KR20220090049A (ko) 인터넷 서비스에서의 정보보호를 위한 시스템 및 기능

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20090102

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee