KR100480761B1 - 무선통신망의 보안시스템 및 보안방법 - Google Patents

무선통신망의 보안시스템 및 보안방법 Download PDF

Info

Publication number
KR100480761B1
KR100480761B1 KR10-2002-0082162A KR20020082162A KR100480761B1 KR 100480761 B1 KR100480761 B1 KR 100480761B1 KR 20020082162 A KR20020082162 A KR 20020082162A KR 100480761 B1 KR100480761 B1 KR 100480761B1
Authority
KR
South Korea
Prior art keywords
security
packet data
security association
data
association
Prior art date
Application number
KR10-2002-0082162A
Other languages
English (en)
Other versions
KR20040055477A (ko
Inventor
차진우
Original Assignee
엘지전자 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 엘지전자 주식회사 filed Critical 엘지전자 주식회사
Priority to KR10-2002-0082162A priority Critical patent/KR100480761B1/ko
Publication of KR20040055477A publication Critical patent/KR20040055477A/ko
Application granted granted Critical
Publication of KR100480761B1 publication Critical patent/KR100480761B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/047Key management, e.g. using generic bootstrapping architecture [GBA] without using a trusted network node as an anchor
    • H04W12/0471Key exchange
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W28/00Network traffic management; Network resource management
    • H04W28/02Traffic management, e.g. flow control or congestion control
    • H04W28/08Load balancing or load distribution
    • H04W28/09Management thereof
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/08Access point devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 패킷데이터의 보안 처리 시, 시스템의 부하를 감소시킬 수 있는 무선통신망의 보안시스템 및 보안방법에 관한 것이다.
종래 무선통신망의 보안시스템에서 패킷데이터를 보안처리(IPsec)하기 위해서는, 패킷데이터에 첨부된 암호화 및 복호화 설정의 식별을 위한 다수개의 선택자에 기초하여 보안결합 및 보안정책을 검색하고 그에 따른 보안처리를 수행하였기 때문에, 대량의 터널링과 세션을 통해 고속의 데이터서비스를 제공하는 경우, 보안결합 및 보안정책의 검색을 위한 메모리 용량이 증대될 수 있으며, 고속의 패킷데이터 트래픽에서 패킷마다 이들을 탐색하여야 하므로 데이터 처리속도가 저하된다는 문제점이 있다.
본 발명은 호 설정 시, 양단 간에 보안처리에 대한 협상이 수행되도록 하여 패킷데이터의 보안처리를 위한 제반정보를 미리 저장함으로써, 데이터가 본격적으로 송, 수신될 시 패킷데이터의 보안처리를 위한 검색과정을 간소화하여 시스템의 부담을 줄일 수 있을 뿐 아니라, 데이터 전송속도를 향상시킬 수 있다.

Description

무선통신망의 보안시스템 및 보안방법{Security System And Security Method For Radio Communication Network}
본 발명은 무선통신망의 보안시스템 및 보안방법에 관한 것으로서, 특히 패킷데이터의 보안 처리 시, 시스템의 부하를 감소시키는 무선통신망의 보안시스템 및 보안방법에 관한 것이다.
도 1은 무선통신망의 개략적인 구성도로서, GPRS(General Packet Radio Service)네트워크(7)와 인터넷(5) 간의 패킷교환상태를 나타내는 구성도이다. 도면에 도시된 바와 같이, GPRS네트워크(7)는 GPRS단말기(3)에 패킷데이터를 송수신하기 위한 SGSN(14)(Serving GPRS Support Node) 및 GGSN(12)(Gate GPRS Support Node) 등으로 구성된다. 그리고, 인터넷(5)은 복수의 인터넷단말기(1)로 구축된 사설망(4)과, 사설망(4)과 외부 인터넷망(5)의 연결을 위한 보안게이트웨이(10)를 포함한다.
GPRS네트워크(7)의 SGSN(14)은 GPRS단말기(3)의 무선상 위치를 추적하고 이를 등록하여 GPRS단말기(3)의 이동성을 관리하며, GGSN(12)으로부터 전송된 패킷을 라우팅하여 GPRS단말기(3)에 무선패킷을 전송한다. GGSN(12)은 외부패킷데이터망인 인터넷(5)과 GPRS네트워크(7)를 인터페이스하여 인터넷(5)과 GPRS네트워크(7) 사이의 패킷 교환이 가능하게 한다.
인터넷(5)의 보안게이트웨이(10)는 사설망(4)과 외부의 네트워크를 인터페이스하여 사설망(4) 내의 인터넷단말기(1)와 외부 네트워크간의 패킷데이터가 상호 교환될 수 있도록 한다.
GPRS단말기(3)에서 시작된 호는 GPRS네트워크(7)를 통해 SGSN(14)으로 연결되고 SGSN(14)은 GGSN(12)에 세션설정(PDP context 생성)을 요청하게 된다. GGSN(12)은 상대편 보안게이트웨이(10) 간에 PDP컨텍스트를 설정하고 터널종단점 식별자(Tunnelling Endpoint Identifier: 이하, TEID라 함.)를 할당하여 PDP컨텍스트를 구분한다. GGSN(12)이 PDP컨텍스트를 설정함으로써, GGSN(12)과 보안게이트웨이(10) 간에는 터널(16)이 생성되어 터널(16)을 통해 패킷데이터(18)가 상호교환될 수 있다.
여기서, GGSN(12)에 전달된 호에 아이피보안설정(IP security: 이하, IPsec라 함.)요청이 포함된 경우, GGSN(12)과 보안게이트웨이(10)는 IKE(Ineternet Key Exchange)협상을 하여 암호화 키를 교환한 후 패킷을 보안처리하여 송수신한다.
IPsec는 네트워크 계층에서의 보안을 위한 표준으로서, IP패킷 단위로 보안서비스를 제공하여 데이터를 송수신하는 두 호스트 간의 데이터 송수신 경로를 보호하기 위해 사용된다. IPsec은 AH(Authentication Header)와 ESP(Encapsulting Securit Payload)의 두가지 프로토콜을 사용하여 보안서비스를 제공한다. 여기서, AH는 주로 데이터의 근원인증을 제공하기 위해 사용되고 ESP는 AH가 제공하는 서비스 외에 추가적인 기밀성을 보장하기 위해 사용된다.
이러한 IPsec를 사용하는 호스트 상호 간에는, 암호화 알고리즘, 인증알고리즘, 사용되는 키 등 암호와/복호화 원칙에 대한 상호협약이 있어야 하는데, 이러한 상호간의 보안에 대한 협약을 보안협약(Security Association: 이하, SA라 함)이라 한다. 따라서, IPsec를 사용하기 위해서는 보안처리방법이 저장된 보안결합데이터베이스(Security Association Database: 이하, SADB라 함.)와 보안정책데이터베이스(Security Policy Database: 이하, SPDB라 함.)가 구비되어 있어야 한다.
상호간의 보안협약인 SA의 데이터 구성도는 도 2에 도시된 바와 같다. SA는 SA의 식별을 위한 선택자(22)와, 시퀀스번호카운터(24)와, 재연공격방지윈도우(26)와, AH인증알고리즘 및 키(28), ESP암호화알고리즘 및 키(30), SA의 지속시간(32), 경로MTU(34)를 포함한다. 여기서, 선택자(22)는 패킷을 암호화하거나 암호를 해독하기 위한 키로서, 소스IP주소 및 마스크와, 목적IP주소 및 마스크와, 소스포트번호와, 목적포트번호와, 보안프로토콜과, SPI(Security Parameter Index)를 포함한다. SPI는 동일한 수신점에 대하여 같은 IPsec를 사용하여 여러개의 SA가 설정되었을 경우 이를 구분하기 위한 32bit식별자이다.
이러한 IPsec가 적용된 경우 패킷데이터의 처리방법은 도 3및 도 4에 도시된 바와 같다.
도 3은 종래의 패킷보안 방법에 따라 IPsec처리를 하는 경우, 수신된 패킷에 대한 처리방법을 나타낸 흐름도이다. GGSN(12)으로 패킷데이터가 수신되면(S10), 패킷에 IPsec가 적용되었는지 여부를 판단한다(S12). IPsec의 적용여부는 IP패킷의 프로토콜번호 필드에 ESP(50번), AH(51번)이 포함되었는지 여부를 확인함으로서 판단할 수 있다. IPsec가 적용된 것으로 판단된 경우 선택자(22)에 기초하여 SADB에 해당 SA가 존재하는지 여부를 확인한다(S14). SADB에 해당 SA가 존재하지 아니하는 경우 패킷은 폐기되며(S22), 해당 SA가 검색된 경우 SA에 따라 IPsec처리하여 패킷데이터를 복호화한다(S16). 패킷이 해독되면 그 패킷에 대한 처리정책 정보를 SPDB에서 검색하여(S18), 검색결과에 따라 패킷을 통과시키거나 폐기 또는 적용시킨다(S20).
한편, 도 4는 종래의 패킷보안 방법에 따라 패킷을 IPsec처리하여 송신하는 과정을 나타낸 흐름도이다. 패킷데이터를 송신하고자 하는 경우, 먼저 SPDB를 검색하여 송신대상 패킷이 IPsec적용 대상인지 여부를 확인한다(S30). 확인결과 IPsec적용 대상 패킷인 경우, SPDB로부터의 검색결과에 기초하여 대상 패킷에 적용되어야 하는 SA를 SADB에서 검색한다(S32).
SADB에 해당되는 SA가 존재하는 지 여부를 판단하고(S34), 검색결과 해당 SA가 존재하지 아니하는 경우 적절한 SA를 생성하고(S40), 생성된 SA를 SPDB와 연결시켜 이후 동일한 SA를 사용하게 되는 경우 SA의 검색을 용이하게 한다(S42). 해당 SA가 존재하는 경우 SA에 따라 패킷을 IPsec처리하여(S36), 처리된 패킷을 전송한다(S38).
이상에서 살펴본 바와 같이, 종래의 보안 시스템을 통해 IPsec처리를 하기 위해서는 본래의 데이터 이외에 보안정책 및 보안결합(SA, SP)에 참조하기 위한 데이터인 선택자가 첨부되어야 한다.
이에 따라, 대량의 터널링과 세션을 통해 고속의 데이터서비스를 하고자 하는 경우, SADB/SPDB의 검색을 위한 메모리 용량이 증대될 수 있으며, 고속의 IPsec트래픽에서 패킷마다 이들 데이터베이스를 탐색하여야 하므로 데이터 처리속도가 저하된다는 문제점이 있다.
본 발명은 전술한 문제점을 해결하기 위해 안출된 것으로서, 패킷보안(IPsec) 처리 시, 시스템의 부하를 감소시킬 수 있는 무선통신망의 보안시스템 및 보안방법을 제공함에 그 목적이 있다.
전술한 목적을 달성하기 위한 본 발명에 따른 무선통신망의 보안방법은, 호 발생 시, 패킷데이터에 대한 보안이 요청되었는지 여부를 판단하는 단계와; 상기 보안요청이 존재하는 것으로 판단된 경우, 상기 패킷데이터에 적용되는 보안상태를 나타내는 보안결합을 확인하는 단계와; 상기 패킷데이터에 포함된 보안결합식별자 및 터널종단점식별자 중 적어도 어느 하나를 추출하여, 상기 각 각의 식별자와 상기 패킷데이터의 보안결합이 상호 대응 되도록 구성되는 보안처리테이블을 미리 저장하는 단계와; 외부로부터 패킷데이터가 입력되는 단계와; 입력된 상기 패킷데이터의 보안결합식별자 및 터널종단점식별자 중 어느 하나에 기초하여, 상기 보안처리테이블로부터 상기 패킷데이터에 대응되는 보안결합을 검색하는 단계와; 검색된 상기 보안결합에 따라, 상기 패킷데이터를 보안처리하는 단계를 포함하여 이루어진다.
여기서, 호 발생 시, 상기 패킷데이터에 적용되는 보안결합을 확인하는 단계는, 호 발생 시 수신되는 상기 터널종단점식별자를 통해 해당 PDP컨텍스트를 구분해 내는 단계와; 상기 PDP컨텍스를 통해 APN(Access Point Name)을 검색하는 단계와; 검색된 상기 APN에 따른 상기 보안결합을 판단하는 단계와; 상기 보안결합에 대한 데이터가 저장되어 있는지 여부를 확인하는 단계와; 상기 보안결합에 대한 데이터가 저장되어 있는 경우, 상기 패킷데이터에 포함된 보안결합식별자 및 터널종단점식별자 중 적어도 어느 하나와 상기 보안결합이 상호 대응되도록 구성되는 보안처리테이블을 미리 저장하는 단계를 포함하는 것이 바람직하다.
그리고, 상기 보안결합에 대한 데이터가 저장되어 있지 아니한 경우, 상기 패킷데이터를 교환하는 상대방 측 게이트웨이와 상기 보안결합을 협상하는 단계와; 협상결과 결정된 보안결합에 대한 보안결합데이터를 저장하는 단계를 더 포함하는 것이 더욱 바람직하다.
한편, 상기 보안처리테이블을 저장하는 단계는, 외부로 송신하고자 하는 패킷데이터에 대해 보안처리를 행하는 경우, 상기 터널종단점식별자와 상기 보안결합을 대응시켜 상기 보안처리테이블에 저장하고, 외부로부터 수신된 패킷데이터에 대해 보안처리를 행하는 경우, 상기 보안결합식별자와 상기 보안결합을 대응시켜 상기 보안처리테이블에 저장하는 것이 가능하다.
한편, 상기 목적은 본 발명의 다른 분야에 따르면, 무선통신망의 보안처리시스템에 있어서, 무선통신망접속을 위한 네트워크인터페이스와; 보안처리테이블을 저장하는 보안처리테이블저장부와; 상기 네트워크인터페이스를 통한 호 발생 시, 패킷데이터에 대한 보안이 요청되었는지 여부를 판단하고, 상기 보안요청이 존재하는 것으로 판단된 경우, 상기 패킷데이터에 적용되는 보안상태를 나타내는 보안결합과 상기 패킷데이터에 포함된 보안결합식별자 및 터널종단점식별자 중 적어도 어느 하나를 추출하여, 상기 각 각의 식별자와 상기 패킷데이터의 보안결합이 상호 대응되도록 구성되는 보안처리테이블을 상기 보안처리테이블저장부에 미리 저장하는 제어부를 포함하는 것을 특징으로 하는 무선통신망의 보안처리시스템에 의해 달성될 수도 있다.
이하에서는 첨부한 도면을 참조하여 본 발명의 바람직한 실시예에 따른 무선통신망의 보안시스템 및 보안방법에 대해서 상세하게 설명한다.
도 5는 본 발명에 따른 무선통신망의 보안시스템의 제어블럭도이다. 도면에 도시된 바와 같이, 본 보안시스템(50)은 GPRS네트워크(7) 접속을 위한 GPRS인터페이스(72)와, 인터넷(5) 접속을 위한 인터넷인터페이스(74)와, 각 인터페이스를 통해 송수신되는 패킷데이터를 처리하는 네트워크처리부(70)와, 각 인터페이스 및 네트워크처리부(70)를 통해 추출된 패킷데이터의 보안처리와 관련된 데이터가 저장되는 보안처리테이블저장부(64)와, SADB(60)와, SPDB(58)와, PDP컨텍스트저장부(62)와, 패킷의 IPsec처리를 위한 보안처리부(54)와, 이들을 제어하는 중앙처리장치인 CPU(52)를 포함한다.
GPRS인터페이스(72) 및 인터넷인터페이스(74)는 각 각의 패킷데이터 망 접속을 지원하여 GPRS네트워크(7) 및 인터넷(5)을 통한 패킷데이터의 송수신을 가능케 하며, GPRS네트워크(7)와 인터넷(5) 간의 데이터 상호교환이 이루어질 수 있도록 한다.
네트워크처리부(70)는 CPU(52)의 제어에 따라, 각 인터페이스를 통해 송수신되는 패킷데이터로부터 IP헤더정보 및 GTP헤더정보를 추출 및 삽입한다. 또한, 패킷데이터로부터 SPI와 TEID필드를 추출하고 추출된 SPI 및 TEID에 대응되는 SA를 보안처리부(54)로부터 제공받아 이들 인덱스를 보안처리데이블저장부에 저장한다.
보안처리부(54)는 IPsec를 위한 키를 생성하거나 랜덤수 등을 발생시켜 패킷데이터에 IPsec가 적용되도록 한다. 보안처리부(54)는 새로이 생성된 SA를 SADB(60)에 저장하는 한편 SA의 저장정보를 CPU(52)에 제공한다. 또한, 네트워크처리부(70)를 통해 제공되는 SPI , TEID 정보에 기초하여 IPsec가 적용된 패킷데이터의 SA를 검색하여 검색된 SA정보를 네트워크처리부(70)에 제공하는 한편, 검색된 SA에 따라 IPsec 패킷처리를 수행한다. 또한, 보안처리부(54)는 IKE처리부(56)를 더 포함하여, CPU(52)의 제어에 따라 상대 측 보안게이트웨이(10)와 IKE협상을 수행하여 양자간의 IPsec적용을 위한 SA를 협약할 수 있다.
IKE협상은 GPRS네트워크(7)의 SGSN(14)으로부터 호가 전달된 경우 수행될 수 있다. SGSN(14)으로부터 호가 전달되어 IPsec이 요청되면 보안처리부(54)는 CPU(52)의 제어에 따라, 호 전달시 함께 수신된 TEID정보에 기초하여 해당 PDP컨텍스트를 구분해 내고, PDP컨텍스트를 통해 APN(Access Point Name)을 확인하여 APN에 따른 IPsec관련 정보를 수집한다. 보안처리부(54)는 수집된 정보를 바탕으로 SADB(60)에 필요한 SA가 존재하는지 여부를 확인하고, SA가 존재하지 아니하는 경우, IKE처리부(56)를 통해 보안게이트웨이(10)와 SA협상을 진행한다. 네트워크처리부(70)는 협상결과 결정된 SA와 이에 해당되는 패킷데이터의 SPI 쌍을 저장하고, 패킷데이터의 송신처리의 경우 SA와 TEID 쌍를 저장한다.
여기서, APN이란 GPRS백본네트워크에서 GGSN(12)으로 하여금 패킷데이터 네트워크 및 추가적으로 제공되는 서비스를 식별할 수 있도록 하는 식별자이다. APN을 통해 상대편 보안게이트웨이(10)의 IP주소, 암호화 알고리즘, 인증 알고리즘, 공유키, 내부서브넷, 외부서브넷과 같은 IPsec을 수행하기 위한 기본 설정정보를 수집할 수 있다.
한편, TEID는 GSN(GGSN(12) 및 SGSB)과, RNC(Radio Network Controller)/BSC(Base Station Controller)/SGSN 사이에 GPRS터널링 프로토콜의 수행을 위해 사용되는 터널종단식별자로서, GTP-C, GTP-U프로토콜 수신시 터널종단을 식별하고 세션(PDP컨텍스트)를 식별할 수 있도록 한다.
이러한 구성에 의해, 본 발명에 따른 무선통신망의 보안시스템(50)은 호가 발생되어 IPsec요청이 오면 APN에 따른 정보를 바탕으로 SA를 검색하여, 패킷데이터 송신일 경우 해당 SA와 TEID를 저장하고, 패킷데이터 수신일 경우 해당 SA와 SPI를 테이블에 저장한다. 이에 따라 호 설정이 완료된 후 패킷데이터를 송수신 하는 경우, IPsec처리를 위해 미리 저장된 SA/TEID 및 SA/SPI 테이블을 통해 SA를 신속하게 검색할 수 있다.
즉, SA를 식별하기 위한 다수개의 선택자(22)를 사용하였던 종래기술에 반해, 본 발명은 호 설정시 IPsec를 수행하기 위한 기본 설정정보를 수집하여 SA의 검색을 용이하게 함으로써 IPsec처리를 위한 SA검색 시간을 현저히 감소시킬 수 있다.
도 6은 본 발명에 따른 무선통신망의 보안방법에 따른 호처리 흐름도이다. GPRS네트워크(7)의 SGSN(14)으로부터 호가 발생되면(S70), IPsec가 요청되었는지 여부를 확인한다(S72). IPsec가 요청된 경우, 해당 APN에 따른 IPsec 정보를 수집한다(S74). 여기서, 수집되는 정보에는 암호화 알고리즘, 인증알고리즘, 공유키 등이 포함되며, 이 정보를 바탕으로 SADB(60)에 해당 SA가 존재하는지 여부를 판단한다(S76).
해당 SA가 존재하지 아니하는 경우 IKE프로토콜을 이용하여 상대 측 보안게이트웨이(10)와 SA를 협상하여(S78), 생성된 SA를 SADB(60)에 업데이트시킨다(S80).
해당되는 SA가 존재하면, 패킷데이터 송신일 경우 해당 SA와 TEID를 저장하고, 패킷데이터 수신일 경우 해당 SA와 SPI를 테이블에 저장한다(S82). 호 설정이 완료되면 패킷데이터를 송수신할 수 있다(S84).
이와 같이, 본 발명은 무선통신망의 특성상 데이터의 송수신이 시작되기 위해서는 먼저 호설정이 필요하다는 점에 착안하여, 호 설정 시 IKE프로토콜 협상이 수행되도록 하는 한편, IPsec수행을 위한 제반정보를 미리 저장해 놓도록 하고 있다. 따라서, 데이터가 본격적으로 송/수신될 시 IPsec처리를 위한 검색과정이 상당부분 생략될 수 있으므로 시스템의 부담을 줄일 수 있을 뿐 아니라, 데이터 전송속도 향상에도 도움을 줄 수 있다.
호 설정 이후, 패킷데이터의 송수신과정을 도 7및 도 8을 참조하여 상세히 설멍한다.
도 7은 본 발명의 무선통신망의 보안방법에 따른 수신패킷의 처리 흐름도이다. 인터넷인터페이스(74)를 통해 패킷데이터가 수신되면(S110), IPsec가 적용된 패킷데이터인지 여부를 확인한다(S112). 여기서, IPsec의 적용여부는 패킷데이터의 프로토콜번호 필드에 ESP(50번), AH(51번)이 포함되었는지 여부를 확인함으로서 판단할 수 있다. IPsec가 적용된 것으로 판단된 경우, IPsec의 헤더내에 SPI값을 추출하여 보안처리테이블로부터 해당 SPI/SA를 검색함으로써 SA를 검색해 내고 SADB(60)에 해당 SA가 존재하는지 여부를 확인한다(S114)(S116).
SA가 검색되면 SA에 따라 IPsec가 처리되어 본래의 패킷데이터가 복호화 된다(S118). 복호화된 패킷데이터는 GPRS인터페이스(72)로 전달되어(S120), 본래의 IP에 따라 GPRS네트워크(7)를 통해 해당 단말기에 전송된다(S122).
한편, 수신된 패킷데이터의 SPI에 해당되는 SA가 검색되지 아니한 경우, 수신된 패킷은 폐기된다(S124).
도 8은 본 발명의 무선통신망의 보안방법에 따른 송신패킷의 처리 흐름도이다. 먼저 GPRS인터페이스(72)를 통해 송신해야 할 패킷데이터가 입력되면(S130), IPsec를 적용하여 처리해야 하는 패킷인지 여부를 판단한다(S132). 이러한 경우, 입력되는 패킷데이터의 TEID를 통해 세션정보(PDP컨텍스트)를 확인하여 입력된 패킷데이터가 IPsec 처리대상인지 여부를 판단할 수 있다.
송신해야할 패킷데이터가 IPsec가 적용 대상인 것으로 판단된 경우, 보안처리테이블을 통해, 수신된 패킷데이터의 TEID에 대응 되는 SA를 검색하여(S134), 해당 패킷에 대한 SA가 존재하는지 여부를 판단한다(S136).
SA가 검색되면 SA에 따라 송신하고자 하는 패킷데이터를 IPsec처리하여(S138), 인터넷인터페이스(74)로 패킷을 전달함으로써(S140), GPRS네트워크(7)로부터의 패킷데이터가 IPsec처리되어 인터넷(5)으로 전송될 수 있도록 한다(S142).
한편, 수신된 패킷데이터에 적절한 SA가 발견되지 아니하는 경우, 해당 패킷데이터는 폐기된다(S144).
이와 같이, 송신되는 패킷에 IPsec가 적용되는 경우에는 반드시 SA가 호 설정시 설정되거나, 이전 세션에 설정되었던 호가 존재한다. 따라서, 시스템에 입력된 IPsec 정책(SP)에 따라 개별세션을 어떠한 SA에 연결하는지를 기록하게 되면, 굳이 추가적으로 패킷별로 SPDB(58)를 적용할 필요가 없어진다. 즉, 본 발명에 따른 보안시스템(50)은 송신을 위해 입력된 패킷데이터의 TEID를 통해 세션정보를 구분함으로써, IPsec의 적용여부를 판단할 뿐 아니라, 호 설정시 저장된 TEID/SA테이블을 통해 SA를 용이하게 검색하여 적용시킬 수 있도록 하고 있다.
이상, 본 발명에 따른 실시예는 상술한 것에 한정되지 아니하고, 본 발명과 관련하여 통상의 지식을 가진자에게 자명한 범위 내에서 다양하게 변형하여 실시할 수 있다.
이상에서 설명한 바와 같은 본 발명의 무선통신망의 보안시스템 및 보안방법에 따르면, 호 설정 시 양단 간에 보안처리에 대한 협상이 수행되도록 하여 패킷데이터의 보안처리를 위한 제반정보를 미리 저장하도록 하고 있다.
이에 따라, 데이터가 본격적으로 송, 수신될 시 패킷데이터의 보안처리를 위한 검색과정을 간소화하여 시스템의 부담을 줄일 수 있을 뿐 아니라, 데이터 전송속도 향상에도 도움을 줄 수 있다.
도 1은 무선통신망의 개략적인 구성도,
도 2는 보안결합의 데이터 구성도,
도 3은 종래의 패킷 보안방법에 따른 수신패킷 처리흐름도,
도 4는 종래의 패킷 보안방법에 따른 송신패킷 처리 흐름도,
도 5는 본 발명에 따른 무선통신망의 보안시스템의 제어블럭도,
도 6은 본 발명에 따른 무선통신망의 보안방법에 따른 호처리 흐름도,
도 7은 본 발명에 따른 무선통신망의 보안방법에 따른 수신패킷 처리도,
도 8은 본 발명에 따른 무선통신망의 보안방법에 따른 송신패킷 처리 흐름도이다.
*** 도면의 주요 부분에 대한 부호의 설명 ***
1 : 인터넷단말기 3 : GPRS단말기
10 : 보안게이트웨이 12 : GGSN
14 : SGSN 20 : 보안결합(SA)
50 : 보안시스템 52 : CPU
54 : 보안처리부 56 : IKE처리부
58 : SPDB 60 : SADB
62 : PDP컨텍스트저장부 64 : 보안처리테이블저장부
70 : 네트워크처리부 72 : GPRS인터페이스
74 : 인터넷인터페이스

Claims (9)

  1. 무선통신망의 보안방법에 있어서,
    호 발생 시, 패킷데이터에 대한 보안이 요청되었는지 여부를 판단하는 단계와;
    상기 보안요청이 존재하는 것으로 판단된 경우, 상기 패킷데이터에 적용되는 보안상태를 나타내는 보안결합을 확인하는 단계와;
    상기 패킷데이터에 포함된 보안결합식별자 및 터널종단점식별자 중 적어도 어느 하나를 추출하여, 상기 각 각의 식별자와 상기 패킷데이터의 보안결합이 상호 대응되도록 구성되는 보안처리테이블을 미리 저장하는 단계와;
    외부로부터 패킷데이터가 입력되는 단계와;
    입력된 상기 패킷데이터의 보안결합식별자 및 터널종단점식별자 중 어느 하나에 기초하여, 상기 보안처리테이블로부터 상기 패킷데이터에 대응되는 보안결합을 검색하는 단계와;
    검색된 상기 보안결합에 따라, 상기 패킷데이터를 보안처리하는 단계를 포함하는 것을 특징으로 하는 무선통신망의 보안방법.
  2. 제 1 항에 있어서,
    호 발생 시, 상기 패킷데이터에 적용되는 보안결합을 확인하는 단계는,
    호 발생 시 수신되는 상기 터널종단점식별자를 통해 해당 PDP컨텍스트를 구분해 내는 단계와;
    상기 PDP컨텍스를 통해 APN(Access Point Name)을 검색하는 단계와;
    검색된 상기 APN에 따른 상기 보안결합을 판단하는 단계와;
    상기 보안결합에 대한 데이터가 저장되어 있는지 여부를 확인하는 단계와;
    상기 보안결합에 대한 데이터가 저장되어 있는 경우, 상기 패킷데이터에 포함된 보안결합식별자 및 터널종단점식별자 중 적어도 어느 하나와 상기 보안결합이 상호 대응되도록 구성되는 보안처리테이블을 미리 저장하는 단계를 포함하는 것을 특징으로 하는 무선통신망의 보안방법.
  3. 제 2 항에 있어서,
    상기 보안결합에 대한 데이터가 저장되어 있지 아니한 경우,
    상기 패킷데이터를 교환하는 상대방 측 게이트웨이와 상기 보안결합을 협상하는 단계와;
    협상결과 결정된 보안결합에 대한 보안결합데이터를 저장하는 단계를 더 포함하는 것을 특징으로 하는 무선통신망의 보안방법.
  4. 제 1 항에 있어서,
    상기 보안처리테이블을 저장하는 단계는,
    외부로 송신하고자 하는 패킷데이터에 대해 보안처리를 행하는 경우, 상기 터널종단점식별자와 상기 보안결합을 대응시켜 상기 보안처리테이블에 저장하는 것을 특징으로 하는 무선통신망의 보안방법.
  5. 제 1 항에 있어서,
    상기 보안처리테이블을 저장하는 단계는,
    외부로부터 수신된 패킷데이터에 대해 보안처리를 행하는 경우, 상기 보안결합식별자와 상기 보안결합을 대응시켜 상기 보안처리테이블에 저장하는 것을 특징으로 하는 무선통신망의 보안방법.
  6. 무선통신망의 보안처리시스템에 있어서,
    무선통신망접속을 위한 네트워크인터페이스와;
    보안처리테이블을 저장하는 보안처리테이블저장부와;
    상기 네트워크인터페이스를 통한 호 발생 시, 패킷데이터에 대한 보안이 요청되었는지 여부를 판단하고, 상기 보안요청이 존재하는 것으로 판단된 경우, 상기 패킷데이터에 적용되는 보안상태를 나타내는 보안결합과 상기 패킷데이터에 포함된 보안결합식별자 및 터널종단점식별자 중 적어도 어느 하나를 추출하여, 상기 각 각의 식별자와 상기 패킷데이터의 보안결합이 상호 대응되도록 구성되는 보안처리테이블을 상기 보안처리테이블저장부에 미리 저장하는 제어부를 포함하는 것을 특징으로 하는 무선통신망의 보안처리시스템.
  7. 제 6 항에 있어서,
    상기 제어부는,
    상기 네트워크인터페이스를 통해 입력된 상기 패킷데이터의 보안결합식별자 및 터널종단점식별자 중 어느 하나에 기초하여, 상기 보안처리테이블로부터 상기 패킷데이터에 대응되는 보안결합을 검색하여, 검색 된 상기 보안결합에 따라, 상기 패킷데이터를 보안처리하는 것을 특징으로 하는 무선통신망의 보안처리시스템.
  8. 제 6 항에 있어서,
    PDP컨텍스트가 저장되는 PDD컨텍스트저장부를 더 포함하고;
    상기 제어부는, 호 발생 시 수신되는 상기 터널종단점식별자를 통해 상기 PDP컨텍스트저장부로부터 해당 PDP컨텍스트를 구분해 내고, 상기 PDP컨텍스를 통해 APN(Access Point Name)을 검색하여, 검색된 상기 APN에 따른 상기 보안결합을 판단하는 것을 특징으로 하는 무선통신망의 보안시스템.
  9. 제 8 항에 있어서,
    상기 보안결합에 대한 데이터가 저장된 보안결합데이터베이스와;
    상기 패킷데이터의 보안정책 데이터가 저장된 보안정책데이터베이스와;
    상기 보안결합의 협상을 위한 IKE처리부를 더 포함하고;
    상기 제어부는, 호 발생시 판단된 상기 보안결합에 대응되는 상기 보안결합데이터가 상기 보안결합데이터베이스에 저장되어 있지 아니한 경우, 상기 패킷데이터를 교환하는 상대방 측 게이트웨이와 상기 IKE처리부를 통해 보안결합을 협상하여, 협상결과 결정된 보안결합에 대한 보안결합데이터를 상기 보안결합데이터베이스에 저장하는 것을 특징으로 하는 무선통신망의 보안시스템.
KR10-2002-0082162A 2002-12-21 2002-12-21 무선통신망의 보안시스템 및 보안방법 KR100480761B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2002-0082162A KR100480761B1 (ko) 2002-12-21 2002-12-21 무선통신망의 보안시스템 및 보안방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2002-0082162A KR100480761B1 (ko) 2002-12-21 2002-12-21 무선통신망의 보안시스템 및 보안방법

Publications (2)

Publication Number Publication Date
KR20040055477A KR20040055477A (ko) 2004-06-26
KR100480761B1 true KR100480761B1 (ko) 2005-04-07

Family

ID=37348150

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2002-0082162A KR100480761B1 (ko) 2002-12-21 2002-12-21 무선통신망의 보안시스템 및 보안방법

Country Status (1)

Country Link
KR (1) KR100480761B1 (ko)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100704677B1 (ko) * 2005-03-17 2007-04-06 한국전자통신연구원 무선 휴대 인터넷 시스템에서의 단말 보안 관련 파라미터협상 방법
KR20170001591U (ko) 2015-10-28 2017-05-10 정대식 소파

Also Published As

Publication number Publication date
KR20040055477A (ko) 2004-06-26

Similar Documents

Publication Publication Date Title
JP4707992B2 (ja) 暗号化通信システム
US6976177B2 (en) Virtual private networks
US6839338B1 (en) Method to provide dynamic internet protocol security policy service
JP3730480B2 (ja) ゲートウェイ装置
US7676838B2 (en) Secure communication methods and systems
US6163843A (en) Packet inspection device, mobile computer and packet transfer method in mobile computing with improved mobile computer authenticity check scheme
US7543332B2 (en) Method and system for securely scanning network traffic
US8446874B2 (en) Apparatus and method for filtering packet in a network system using mobile IP
US8826003B2 (en) Network node with network-attached stateless security offload device employing out-of-band processing
US7917939B2 (en) IPSec processing device, network system, and IPSec processing program
US20020161905A1 (en) IP security and mobile networking
JP4636401B2 (ja) IPSec処理装置
EP1374533B1 (en) Facilitating legal interception of ip connections
US20100268935A1 (en) Methods, systems, and computer readable media for maintaining flow affinity to internet protocol security (ipsec) sessions in a load-sharing security gateway
CN111385259B (zh) 一种数据传输方法、装置、相关设备及存储介质
JP2012010254A (ja) 通信装置、通信方法及び通信システム
US20130219171A1 (en) Network node with network-attached stateless security offload device employing in-band processing
KR100480761B1 (ko) 무선통신망의 보안시스템 및 보안방법
Cisco Configuring IPSec
KR20060062356A (ko) 지지에스엔의 에스에스엘 프록시 처리 장치 및 그 방법
WO2023141946A1 (en) Communication device and method therein for facilitating ike communications
KR20040100160A (ko) 무선통신망의 아이피보안시스템을 위한 호처리 방법
JP2022500889A (ja) データ通信ネットワークのセキュリティ方法
Ganiga et al. A Detailed Study of Transport Layer SCT Protocol and its Security Solutions

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130219

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20140218

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20150216

Year of fee payment: 11

LAPS Lapse due to unpaid annual fee