KR100522090B1 - IPv6 계층에서의 패킷 보호 방법 - Google Patents

IPv6 계층에서의 패킷 보호 방법 Download PDF

Info

Publication number
KR100522090B1
KR100522090B1 KR10-2002-0074616A KR20020074616A KR100522090B1 KR 100522090 B1 KR100522090 B1 KR 100522090B1 KR 20020074616 A KR20020074616 A KR 20020074616A KR 100522090 B1 KR100522090 B1 KR 100522090B1
Authority
KR
South Korea
Prior art keywords
packet
ipv6
security
security service
layer
Prior art date
Application number
KR10-2002-0074616A
Other languages
English (en)
Other versions
KR20040046633A (ko
Inventor
박소희
나재훈
손승원
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR10-2002-0074616A priority Critical patent/KR100522090B1/ko
Publication of KR20040046633A publication Critical patent/KR20040046633A/ko
Application granted granted Critical
Publication of KR100522090B1 publication Critical patent/KR100522090B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 차세대 인터넷(Next Generation Internet)에서 다중의 보안 서비스 제공을 위하여 IP 계층(Internet Protocol layer)에서 패킷을 보호하는 방법에 관한 것이다. 본 발명은 상위 응용 계층으로부터 발생된 메시지가 차세대 인터넷을 통해 전달될 수 있는 IPv6 패킷의 형태로 변형되는 과정에서 정보보호 서비스를 선택적으로 제공할 수 있고 다중의 보안 서비스를 제공할 수 있다. 따라서, 상위 계층 서비스 프로그램의 변경 없이 모든 차세대 인터넷 서비스에 정보보호 기능을 제공할 수 있는 효과가 있다. 또한, 정보보호 서비스가 필요하지 않은 일반 IPv6 패킷에 대한 처리도 가능할 뿐만 아니라, 기존의 차세대 인터넷 사용자들은 인터넷 서비스 사용에 있어서 아무런 변화를 느끼지 못하게 되고, 종래의 IPv4 계층의 패킷 보호 방법에 비해 차세대 인터넷인 IPv6 계층의 패킷에 한 개 이상의 보안 서비스가 적용될 수 있는 장점이 있다.

Description

IPv6 계층에서의 패킷 보호 방법{METHOD FOR SECURING PAEKETS IN IPv6 LAYER}
본 발명은 IPv6 계층에서의 패킷(packet) 보호 방법에 관한 것으로, 특히, 차세대 인터넷(Next Generation Internet)에서 다중의 보안 서비스 제공을 위하여 IP 계층(Internet Protocol layer)에서 패킷을 보호하는 방법에 관한 것이다.
종래에는 응용 계층(applications layer)의 서비스별로 정보를 보호하는 방법들을 사용하여 인터넷 정보를 보호하였다.
이와 같은 종래의 인터넷 정보보호 방법들은 인터넷 서비스별로 정보보호 방법이 존재하고, 정보보호를 인터넷 서비스에서 제공하기 위해서는 응용 계층 서비스 프로그램(applications layer service program)의 변경이 반드시 필요하다. 따라서, 사용자(user) 및 인터넷 서비스 제공자에게 많은 경제적 지출을 유발할 뿐만 아니라, 응용 계층 서비스별로 각각 독립적인 정보보호 방법이 필요하게 되며, 각 응용 계층 서비스 프로그램의 부가적인 변경이 필요하게 되는 문제점을 내포하고 있다. 더군다나 망이 확대되고 서비스가 다양화되는 차세대 인터넷에서는 이러한 문제점이 더 확대되어 나타난다.
본 발명은 상술한 결점을 해결하기 위하여 안출한 것으로, 차세대 인터넷에서 응용 계층 서비스 프로그램에 영향을 주지 아니하고 독립적인 구현 및 운용이 가능한 IPv6 계층에서 패킷별로 다중 보안 서비스를 실시할 수 있는 IPv6 계층에서의 패킷 보호 방법을 제공하는 데 그 목적이 있다.
이와 같은 목적을 달성하기 위한 본 발명의 일 관점은, 보안 정책 데이터베이스 및 보안 연계 데이터베이스를 구비한 IPv6 계층에서의 패킷 보호 시스템에서 송신하고자 하는 패킷 보호 방법에 있어서, 상기 패킷의 IPv6 헤더와 확장 헤더를 생성한 후, 상기 보안 정책 데이터베이스와 상기 보안 연계 데이터베이스를 검색하여 보안 서비스의 선택 여부를 결정하는 제 1 단계와, 상기 보안 서비스가 선택될 경우, 상기 보안 서비스의 종류를 파악하여 AH인지 ESP인지를 구분하여 각 보안 서비스의 종류에 따라 IPv6 패킷에 대한 처리를 수행하는 제 2 단계와, 상기 보안 서비스의 종류가 트랜스포트 모드일 경우, 상기 트랜스 포트 헤더를 생성하여 IPv6 패킷 단편화가 일어나기 전에 보안 서비스를 적용하는 제 3 단계와, 상기 제 1 단계에서 제 3 단계까지를 반복 수행하여 다중의 보안 서비스를 제공하는 제 4 단계를 포함하는 것을 특징으로 한다.
또한, 상술한 목적을 달성하기 위한 본 발명의 다른 관점은 보안 정책 데이터베이스 및 보안 연계 데이터베이스를 구비한 IPv6 계층에서의 패킷 보호 시스템에서 송신하고자 하는 패킷 보호 방법에 있어서, 상기 패킷의 IPv6 헤더와 확장 헤더를 생성한 후, 상기 보안 정책 데이터베이스와 상기 보안 연계 데이터베이스를 검색하여 보안 서비스의 선택 여부를 결정하는 제 1 단계와, 상기 보안 서비스가 선택될 경우, 상기 보안 서비스의 종류를 파악하여 AH인지 ESP인지를 구분하여 각 보안 서비스의 종류에 따라 IPv6 패킷에 대한 처리를 수행하는 제 2 단계와, 상기 보안 서비스의 종류가 터널 모드일 경우, 상기 터널 헤더를 생성하여 IPv6 패킷 단편화가 일어난 후에 보안 서비스를 적용하는 제 3 단계와, 상기 제 1 단계에서 제 3 단계까지를 반복 수행하여 다중의 보안 서비스를 제공하는 제 4 단계를 포함하는 것을 특징으로 한다. 또한, 상술한 목적을 달성하기 위한 본 발명의 또 다른 관점은 보안 정책 데이터베이스 및 보안 연계 데이터베이스를 구비한 IPv6 계층에서의 패킷 보호 시스템에서 수신되는 패킷 보호 방법에 있어서, 상기 수신된 IPv6 패킷의 재조합 과정을 거쳐 단편화된 패킷을 하나의 패킷으로 조립한 후, 상기 보안 연계 데이터베이스를 검색하여 패킷별 보안 서비스의 선택 여부를 결정하는 제 1 단계와, 상기 수신된 패킷 재전송을 파악하기 위한 SN 값을 검사하고, 상기 수신된 패킷 내용을 이용하여 인증데이터를 생성한 후, 상기 보안 서비스내의 ICV 값과 비교하는 제 2 단계와, 상기 보안 서비스가 선택될 경우, 상기 보안 서비스의 종류가 AH인지 ESP인지를 파악하여 IPv6 패킷에 대한 처리를 수행하며, 상기 수신된 패킷의 보안 서비스 모드가 트랜스포트 모드일 경우, 상기 트랜스포트 헤더를 제거하고 패킷 재조합 이후에 보안 서비스 해제를 처리하는 제 3 단계와, 상기 보안 서비스가 다중일 경우, 상기 제 1 단계 내지 제 4 단계를 반복 수행하는 제 5 단계와, 상기 패킷을 다시 IPv6 헤더 제거 기능으로 전달하는 제 6 단계를 포함하는 것을 특징으로 한다. 또한, 상술한 목적을 달성하기 위한 본 발명의 또 다른 관점은 보안 정책 데이터베이스 및 보안 연계 데이터베이스를 구비한 IPv6 계층에서의 패킷 보호 시스템에서 수신되는 패킷 보호 방법에 있어서, 상기 수신된 IPv6 패킷의 재조합 과정을 거쳐 단편화된 패킷을 하나의 패킷으로 조립한 후, 상기 보안 연계 데이터베이스를 검색하여 패킷별 보안 서비스의 선택 여부를 결정하는 제 1 단계와, 상기 수신된 패킷 재전송을 파악하기 위한 SN 값을 검사하고, 상기 수신된 패킷 내용을 이용하여 인증데이터를 생성한 후, 상기 보안 서비스내의 ICV 값과 비교하는 제 2 단계와, 상기 보안 서비스가 선택될 경우, 상기 보안 서비스의 종류가 AH인지 ESP인지를 파악하여 IPv6 패킷에 대한 처리를 수행하며, 상기 수신된 패킷의 보안 서비스 모드가 터널 모드일 경우, 상기 터널 헤더를 제거하고 패킷 재조합 이전에 보안 서비스 해제를 처리하는 제 3 단계와, 상기 보안 서비스가 다중일 경우, 상기 제 1 단계 내지 제 4 단계를 반복 수행하는 제 5 단계와, 상기 패킷을 다시 IPv6 헤더 제거 기능으로 전달하는 제 6 단계를 포함하는 것을 특징으로 한다.
삭제
삭제
이하, 첨부된 도면을 참조하여 본 발명에 따른 실시예를 상세히 설명하면 다음과 같다.
도 1은 본 발명에 따른 IPv6 계층에서의 패킷 보호를 위한 프로토콜 스택(protocol stack)과 종래의 기술에 따른 프로토콜 스택과의 차이점을 나타낸 도면이다.
도 1a는 종래의 차세대 인터넷 시스템의 프로토콜 스택으로서, 상위 계층의 네트워크 응용 프로그램(network applications program)과 하위 네트워크 미디어가 위치한 물리 계층까지의 수직적인 연결을 보여준다.
도 1a에 있어서, 사용자의 응용 프로그램은 타 시스템과의 통신을 위해 시스템 커널(kernel)의 BSD 소켓과 INET 소켓 계층을 거쳐 네트워크 프로토콜별로 TCPv6(Transmission Control Protocol Version 6), UDPv6(User Datagram Protocol Version 6), ICMPv6(Internet Control Messages Protocol Version 6), 및 IGMPv6(Internet Group Multicasting Protocol Version 6) 프로토콜 처리 모듈을 거치고, 이들 모두 공통적으로 IPv6 계층을 지남으로써 차세대 인터넷의 기본적인 통신 단위인 IPv6 패킷이 만들어지게 된다.
상기 IPv6 패킷은 데이터 링크 계층 프로토콜 특성에 따라 PPP(Point-to-Point Protocol), SLIP(Serial Line Interface Protocol), 및 이더넷(Ethernet) 등의 네트워크 디바이스 드라이버 계층을 지남에 따라 IPv6 패킷에 부가적인 네트워크 헤더를 추가한 후 인터넷으로 내보내게 된다.
반면, 본 발명에 따른 다중 보안 서비스를 제공하는 IPv6 계층에서의 패킷 보호 방법에서는, 상기 응용 계층 서비스 프로그램에 영향을 주지 아니하고 독립적인 구현 및 운용이 가능한 IPv6 계층에서 패킷별로 정보보호 서비스를 제공하기 위하여 도 1b와 같이, IPv6 계층의 일부분에 IPsec 계층을 추가하였다.
상기 IPsec 계층에서는 IPv6 계층을 통과하는 모든 패킷에 대한 보안 서비스의 적용 및 해제 기능을 가지고 있다. 하위 계층으로부터 수신되는 패킷은 보안 서비스를 해제하는 기능에 의해 처리된 후 기존의 IPv6 계층에서 필요한 처리를 하게 되고, 상위 계층으로부터 IPv6 계층으로부터 수신된 패킷은 보안 서비스를 적용하는 기능에 의해 패킷을 변경한 후 이를 데이터 링크 계층으로 전달하게 된다.
도 2는 IPv6 패킷별 정보보호 서비스 제공을 위한 IPsecv6 기능이 추가된 IP 패킷의 구성도이다.
즉, 도 2a 내지 도 2f는 상기 IPsec 계층에서 적용하고자 하는 보안 서비스를 위한 패킷 변형에 대한 예시로, 서비스의 종류에 따라 AH(Authentication Header)와 ESP(Encapsulating Security Payload) 프로토콜로 나뉜다. AH 프로토콜은 IPv6 패킷에 대한 인증 서비스를 제공하고, ESP 프로토콜은 IPv6 패킷을 암호화하여 패킷의 내용에 대한 기밀성과 상위 데이터그램에 대한 인증 서비스를 모두 제공한다.
상기 두 프로토콜에는 IPv6 패킷에 대한 인증 서비스와 IPv6 상위 패이로드에 대한 기밀성 서비스 등의 기본 서비스만을 제공하기 위한 트랜스포트 모드가 있고, IPv6 헤더의 정보를 감추어 패킷의 발신지/수신지의 정보도 감추는 터널 모드가 있다.
또한, 상기 두 프로토콜은 모두 재전송 공격에 대한 감내 서비스를 위해 SN(Sequence Number) 값을 이용하며, 수신측에서 연속적으로 수신되는 패킷에 대한 SN 값을 검사함으로써 재전송되는 패킷을 폐기하여 재전송 공격으로부터 안정적인 시스템을 유지할 수 있다.
상기와 같은 보안 서비스는 보안 정책 데이터베이스에 따라 다중으로 적용될 수 있다. 예컨대, 트랜스포트 AH 프로토콜, 트랜스포트 ESP 프로토콜, 터널 AH 프로토콜, 터널 ESP 프로토콜은 서로 조합을 이루어 보안 서비스를 제공할 수 있다. 다만, 같은 모드에서 AH와 ESP가 동시에 적용될 경우 보안상의 취약을 없애기 위해 ESP가 먼저 적용되고 나중에 AH가 적용되어야 한다.
따라서, 하나의 IP 패킷에는 15가지의 보안 서비스 적용이 가능한다. 예컨대, 트랜스포트 AH, 트랜스포트 ESP, 터널 AH, 터널 ESP, 트랜스포트 ESP+트랜스포트 AH, 터널 ESP+ 터널 AH, 트랜스포트 AH+터널 AH, 트랜스포트 AH+터널 ESP, 트랜스포트 AH+터널 ESP+터널 AH, 트랜스포트 ESP+터널 AH, 트랜스포트 ESP+터널 ESP, 트랜스포트 ESP+터널 ESP+터널 AH, 트랜스포트 ESP+트랜스포트 AH+터널 AH, 트랜스포트 ESP+트랜스포트 AH+터널 AH, 트랜스포트 ESP+트랜스포트 AH+터널 ESP, 트랜스포트 ESP+트랜스포트 AH+터널 ESP+터널 AH 등이 있다.
참고로, 도 2a는 기존의 IPv6 헤더에 AH 트랜스포트 및 터널 모드 서비스가 추가된 패킷의 예를 보여주고, 도 2b는 기존의 IPv6 헤더에 ESP 트랜스포트 및 터널 모드 서비스가 추가된 예를 보여준다. 도 2c는 트랜스포트 모드에서 AH와 ESP 프로토콜이 동시에 적용되는 예와 터널 모드에서 AH와 ESP 프로토콜이 동시에 적용되는 예를 보여주고, 도 2d는 트랜스포트 모드의 AH와 ESP 프로토콜이 적용되고 또한 터널 모드의 AH와 ESP 프로토콜이 모두 적용되는 예를 보여준다. 도 2e는 AH 프로토콜 헤더의 구조를 보여주고, 도 2f는 ESP 프로토콜 헤더의 구조를 보여준다.
여기서, 상기 AH 프로토콜의 헤더는 AH 헤더 다음에 나타날 헤더의 종류, 패이로드의 길이, 보안 연계 데이터베이스를 유일하게 식별하는 SPI(Security Parameter Index), 재전송 공격에 대한 감내성을 위한 SN(Sequence Number), 데이터 변조 여부 검증을 위한 인증 데이터 ICV(Integrity Check Value)로 구성된다.
상기 ESP 프로토콜 헤더는 보안 연계 데이터베이스를 식별하는 SPI, 재전송 공격에 대한 감내성을 위한 SN, 상위 계층으로부터 내려온 패이로드 데이터, 블록 암호 알고리즘에 의한 암호화 처리를 위한 패딩, 패딩 길이, ESP 헤더 다음에 나타날 헤더의 종류, 인증 데이터 ICV로 구성된다.
도 3은 IPv6 패킷별 정보보호 서비스 제공을 위한 출력 IP 패킷에 대한 처리 절차를 단계별로 나타낸 순서도로, 차세대 인터넷 호스트/게이트웨이 시스템의 패킷 송신 기능은 다음과 같이 수행된다.
상위 응용 프로그램에서 IPv6 주소를 가진 시스템으로 임의의 정보를 인터넷을 통해 내보낼 경우 소켓 계층에서 통신을 위한 소켓을 생성하고, INET6 소켓을 생성한 후 이 소켓을 통해 응용 계층의 데이터를 TCPv6 계층으로 내려보낸다.
상기 TCPv6 계층에서는 TCP 헤더를 상위 응용 계층으로부터 내려온 메시지에 부가한 후 IPv6 계층으로 내려보낸다.
상기 IPv6 계층에서는 TCPv6 계층으로부터 내려온 데이터에 IP 헤더를 부가하여 IPv6 패킷을 조립하고, 확장 헤더도 추가한다.
상기 IPv6계층의 패킷이 조립된 후 보안 정책 데이터베이스와 보안 연계 데이터베이스를 검색하여 보안 서비스가 선택되어 있는지를 검사한 후, 보안 서비스가 선택되지 않았을 경우에는 데이터링크 계층으로 내려보내고, 데이터링크 계층에서는 물리 계층의 전송로 특성에 따른 데이터 링크 헤더를 부가한 프레임을 생성한 후 이를 인터넷에 전송한다.
반면, 보안 서비스가 선택된 경우는 보안 연계 데이터베이스의 보안 서비스의 종류를 파악한다.
상기 보안 서비스가 트랜스포트 모드일 경우에는 기존 IPv6 패킷의 단편화가 일어나기 전에 보안 서비스를 적용하고, 터널 모드일 경우에는 기존 IPv6 패킷의 단편화가 일어난 후에 보안 서비스를 적용한다. 터널 모드일 경우 필요하다면 추가적인 IPv6 패킷 단편화를 수행한다.
AH 서비스가 선택되었을 경우는 패킷 수신지에서 인증 데이터를 계산한 후 원래의 값과 비교할 수 있도록 인증 데이터(ICV: Integrity Check Value)를 계산하고, 재전송 공격을 방지할 수 있도록 SN 값을 생성하여 AH 헤더 내에 넣은 후, 트랜스포트 또는 터널 헤더를 IPv6 패킷에 부가한 후 패킷 단편화 과정을 거쳐 IP 헤더 내의 페이로드 길이(Payload Length)를 변경한 후 데이터링크 계층으로 내려보내고, 데이터링크 계층에서는 물리 계층의 전송로 특성에 따라 데이터링크 헤더를 부가한 프레임을 생성한 후 이를 인터넷으로 전송한다.
ESP 서비스가 선택된 경우는 패킷에 대한 인캡슐레이션(encapsulation)을 수행한 후 데이터의 길이를 블록 암호화 알고리즘에 적용할 수 있도록 패딩을 한 후 패킷 암호화를 수행한다. 패킷 암호화가 완료된 후 패킷 수신지에서 인증 데이터를 계산한 후 원래의 값과 비교할 수 있도록 인증 데이터(ICV: Integrity Check Value)를 계산하고, 재전송 공격을 방지할 수 있도록 SN 값을 생성하여 ESP 헤더 내에 넣은 후, 트랜스포트 또는 터널 헤더를 IPv6 패킷에 부가한 후 패킷 단편화 과정을 거쳐 IP 헤더 내의 페이로드 길이(Payload Length)를 변경한 후 데이터링크 계층으로 내려보내고, 데이터링크 계층에서는 물리 계층의 전송로 특성에 따라 데이터링크 헤더를 부가한 프레임을 생성한 후 이를 인터넷으로 전송한다.
하나의 보안 서비스 적용이 끝나고 추가적인 보안 서비스 제공이 필요하다면 위의 과정을 반복 수행한다.
도 4는 정보보호 서비스가 제공된 입력 IPv6 패킷에 대한 처리 절차를 단계별로 나타낸 순서도로, 차세대 인터넷 호스트/게이트웨이 시스템의 패킷 수신 기능은 다음과 같이 수행된다.
차세대 인터넷으로부터 프레임을 송신한 후 데이터 링크 계층에서 데이터 링크 헤더를 제거한 후 이를 IPv6 계층으로 올려보낸다. 수신된 IPv6 패킷은 IPv6 계층의 패킷 재조합 과정을 통해 단편화된 패킷을 하나의 패킷으로 조립한 후 IPv6 계층 패킷 수신 기능에 전달한다. 조립된 IPv6 패킷은 보안 연계 데이터베이스를 검색하여 보안 서비스가 선택되어 있는지를 검사한 후 보안 서비스가 선택되지 않았을 경우에는 IPv6 헤더를 제거한 후 TCPv6 계층으로 올려보내고, TCPv6 계층에서는 TCP 헤더를 제거한 후 INET6 소켓과 통신 소켓을 통해 상위 응용 계층으로 전송한다.
반면, 보안 서비스가 선택된 경우는 수신된 IP 패킷의 보안 서비스가 터널 모드이면 패킷 재조합 과정을 거치기 전에 보안 연계 데이터베이스를 검색하여 보안 서비스 해제를 처리하고, 트랜스포트 모드이면 패킷 재조합 이후에 보안 서비스 해제를 처리한다.
먼저, 보안 연계 데이터 베이스의 보안 서비스의 종류를 파악하고, 패킷 재전송 공격에 대한 가능성을 파악하기 위하여 SN 값을 검사한다. 수신된 패킷의 내용을 이용하여 인증데이터를 생성한 후 AH 또는 ESP 헤더 내의 ICV 값과 비교하는 과정을 수행한다.
AH 서비스가 선택된 경우 보안 정책 데이터베이스를 참조하여 현재 수신된 패킷이 보안 정책에 맞게 처리되었는지를 검사하고 IPv6 헤더를 제거한 후 TCPv6 계층으로 올려보내고, TCPv6 계층에서는 TCP 헤더를 제거한 후 INET6 소켓과 통신 소켓을 통해 상위 응용 계층으로 전송한다.
ESP 서비스가 선택된 경우는 패킷을 복호화하고, 블록 암호 알고리즘 처리를 위해 부가하였던 패딩를 제거한 후 패킷에 대한 디캡슐레이션(decapsulation)을 수행한다.
이와 같이, 암호화된 패킷의 복호화 과정을 통해 암호화 이전의 패킷으로 재생한 후 보안 정책 데이터베이스를 참조하여 현재 수신된 패킷이 보안 정책에 맞게 처리되었는지를 검사한 후 IPv6 헤더를 제거하고 TCPv6 계층으로 올려보내고, TCP 계층에서는 TCP 헤더를 제거한 후 INET6 소켓과 통신 소켓을 통해 상위 응용 계층으로 전송한다.
적용된 보안 서비스가 다중일 경우에는 위의 과정을 반복한다.
상술한 바와 같이 본 발명은 상위 응용 계층으로부터 발생된 메시지가 차세대 인터넷을 통해 전달될 수 있는 IPv6 패킷의 형태로 변형되는 과정에서 정보보호 서비스를 선택적으로 제공할 수 있고 다중의 보안 서비스를 제공할 수 있다. 따라서, 상위 계층 서비스 프로그램의 변경 없이 모든 차세대 인터넷 서비스에 정보보호 기능을 제공할 수 있는 효과가 있다. 또한, 정보보호 서비스가 필요하지 않은 일반 IPv6 패킷에 대한 처리도 가능할 뿐만 아니라, 기존의 차세대 인터넷 사용자들은 인터넷 서비스 사용에 있어서 아무런 변화를 느끼지 못하게 되고, 종래의 IPv4 계층의 패킷 보호 방법에 비해 차세대 인터넷인 IPv6 계층의 패킷에 한 개 이상의 보안 서비스가 적용될 수 있는 장점이 있다.
도 1은 본 발명에 따른 IPv6 계층에서의 패킷 보호를 위한 프로토콜 스택과 종래의 기술에 따른 프로토콜 스택과의 차이점을 나타낸 도면,
도 2는 IPv6 패킷별 정보보호 서비스 제공을 위한 IPsecv6 기능이 추가된 IP 패킷의 구성도,
도 3은 IPv6 패킷별 정보보호 서비스 제공을 위한 출력 IP 패킷에 대한 처리 절차를 단계별로 나타낸 순서도,
도 4는 정보보호 서비스가 제공된 입력 IPv6 패킷에 대한 처리 절차를 단계별로 나타낸 순서도.

Claims (6)

  1. 보안 정책 데이터베이스 및 보안 연계 데이터베이스를 구비한 IPv6 계층에서의 패킷 보호 시스템에서 송신하고자 하는 패킷 보호 방법에 있어서,
    상기 패킷의 IPv6 헤더와 확장 헤더를 생성한 후, 상기 보안 정책 데이터베이스와 상기 보안 연계 데이터베이스를 검색하여 보안 서비스의 선택 여부를 결정하는 제 1 단계와,
    상기 보안 서비스가 선택될 경우, 상기 보안 서비스의 종류를 파악하여 AH인지 ESP인지를 구분하여 각 보안 서비스의 종류에 따라 IPv6 패킷에 대한 처리를 수행하는 제 2 단계와,
    상기 보안 서비스의 종류가 트랜스포트 모드일 경우, 상기 트랜스 포트 헤더를 생성하여 IPv6 패킷 단편화가 일어나기 전에 보안 서비스를 적용하는 제 3 단계와,
    상기 제 1 단계에서 제 3 단계까지를 반복 수행하여 다중의 보안 서비스를 제공하는 제 4 단계
    를 포함하는 IPv6 계층에서의 송신 패킷 보호 방법.
  2. 보안 정책 데이터베이스 및 보안 연계 데이터베이스를 구비한 IPv6 계층에서의 패킷 보호 시스템에서 송신하고자 하는 패킷 보호 방법에 있어서,
    상기 패킷의 IPv6 헤더와 확장 헤더를 생성한 후, 상기 보안 정책 데이터베이스와 상기 보안 연계 데이터베이스를 검색하여 보안 서비스의 선택 여부를 결정하는 제 1 단계와,
    상기 보안 서비스가 선택될 경우, 상기 보안 서비스의 종류를 파악하여 AH인지 ESP인지를 구분하여 각 보안 서비스의 종류에 따라 IPv6 패킷에 대한 처리를 수행하는 제 2 단계와,
    상기 보안 서비스의 종류가 터널 모드일 경우, 상기 터널 헤더를 생성하여 IPv6 패킷 단편화가 일어난 후에 보안 서비스를 적용하는 제 3 단계와,
    상기 제 1 단계에서 제 3 단계까지를 반복 수행하여 다중의 보안 서비스를 제공하는 제 4 단계
    를 포함하는 IPv6 계층에서의 송신 패킷 보호 방법.
  3. 제 1 항 또는 제 2 항에 있어서,
    상기 제 2 단계에서의 IPv6 패킷에 대한 처리는, 상기 IPv6 패킷에 대한 인캡슐레이션, 패딩, 암호화 처리, ICV 계산, 및 SN 값의 생성에 관한 처리를 수행하는 것을 특징으로 하는 IPv6 계층에서의 송신 패킷 보호 방법.
  4. 보안 정책 데이터베이스 및 보안 연계 데이터베이스를 구비한 IPv6 계층에서의 패킷 보호 시스템에서 수신되는 패킷 보호 방법에 있어서,
    상기 수신된 IPv6 패킷의 재조합 과정을 거쳐 단편화된 패킷을 하나의 패킷으로 조립한 후, 상기 보안 연계 데이터베이스를 검색하여 패킷별 보안 서비스의 선택 여부를 결정하는 제 1 단계와,
    상기 수신된 패킷 재전송을 파악하기 위한 SN 값을 검사하고, 상기 수신된 패킷 내용을 이용하여 인증데이터를 생성한 후, 상기 보안 서비스내의 ICV 값과 비교하는 제 2 단계와,
    상기 보안 서비스가 선택될 경우, 상기 보안 서비스의 종류가 AH인지 ESP인지를 파악하여 IPv6 패킷에 대한 처리를 수행하며, 상기 수신된 패킷의 보안 서비스 모드가 트랜스포트 모드일 경우, 상기 트랜스포트 헤더를 제거하고 패킷 재조합 이후에 보안 서비스 해제를 처리하는 제 3 단계와,
    상기 보안 서비스가 다중일 경우, 상기 제 1 단계 내지 제 4 단계를 반복 수행하는 제 5 단계와,
    상기 패킷을 다시 IPv6 헤더 제거 기능으로 전달하는 제 6 단계
    를 포함하는 IPv6 계층에서의 수신 패킷 보호 방법.
  5. 보안 정책 데이터베이스 및 보안 연계 데이터베이스를 구비한 IPv6 계층에서의 패킷 보호 시스템에서 수신되는 패킷 보호 방법에 있어서,
    상기 수신된 IPv6 패킷의 재조합 과정을 거쳐 단편화된 패킷을 하나의 패킷으로 조립한 후, 상기 보안 연계 데이터베이스를 검색하여 패킷별 보안 서비스의 선택 여부를 결정하는 제 1 단계와,
    상기 수신된 패킷 재전송을 파악하기 위한 SN 값을 검사하고, 상기 수신된 패킷 내용을 이용하여 인증데이터를 생성한 후, 상기 보안 서비스내의 ICV 값과 비교하는 제 2 단계와,
    상기 보안 서비스가 선택될 경우, 상기 보안 서비스의 종류가 AH인지 ESP인지를 파악하여 IPv6 패킷에 대한 처리를 수행하며, 상기 수신된 패킷의 보안 서비스 모드가 터널 모드일 경우, 상기 터널 헤더를 제거하고 패킷 재조합 이전에 보안 서비스 해제를 처리하는 제 3 단계와,
    상기 보안 서비스가 다중일 경우, 상기 제 1 단계 내지 제 4 단계를 반복 수행하는 제 5 단계와,
    상기 패킷을 다시 IPv6 헤더 제거 기능으로 전달하는 제 6 단계
    를 포함하는 IPv6 계층에서의 수신 패킷 보호 방법.
  6. 제 4 항 또는 제 5 항에 있어서,
    상기 제 3 단계에서의 IPv6 패킷에 대한 처리는, 상기 수신된 IPv6 패킷에 대한 복호화, 패딩 제거, 디캡슐레이션, 및 상기 보안 정책 데이터베이스 검색인 것을 특징으로 하는 IPv6 계층에서의 수신 패킷 보호 방법.
KR10-2002-0074616A 2002-11-28 2002-11-28 IPv6 계층에서의 패킷 보호 방법 KR100522090B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2002-0074616A KR100522090B1 (ko) 2002-11-28 2002-11-28 IPv6 계층에서의 패킷 보호 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2002-0074616A KR100522090B1 (ko) 2002-11-28 2002-11-28 IPv6 계층에서의 패킷 보호 방법

Publications (2)

Publication Number Publication Date
KR20040046633A KR20040046633A (ko) 2004-06-05
KR100522090B1 true KR100522090B1 (ko) 2005-10-18

Family

ID=37342157

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2002-0074616A KR100522090B1 (ko) 2002-11-28 2002-11-28 IPv6 계층에서의 패킷 보호 방법

Country Status (1)

Country Link
KR (1) KR100522090B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101323852B1 (ko) 2007-07-12 2013-10-31 삼성전자주식회사 공용 보안 정책을 기반으로 하는 가상 방화벽 시스템 및 그제어방법

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100759819B1 (ko) * 2006-05-26 2007-09-18 한국전자통신연구원 IPv6 패킷의 확장헤더를 검사하는 장치 및 방법

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101323852B1 (ko) 2007-07-12 2013-10-31 삼성전자주식회사 공용 보안 정책을 기반으로 하는 가상 방화벽 시스템 및 그제어방법

Also Published As

Publication number Publication date
KR20040046633A (ko) 2004-06-05

Similar Documents

Publication Publication Date Title
US8379638B2 (en) Security encapsulation of ethernet frames
US6816462B1 (en) System and method to determine connectivity of a VPN secure tunnel
US7143282B2 (en) Communication control scheme using proxy device and security protocol in combination
US7215667B1 (en) System and method for communicating IPSec tunnel packets with compressed inner headers
US6438612B1 (en) Method and arrangement for secure tunneling of data between virtual routers
US9369550B2 (en) Protocol for layer two multiple network links tunnelling
US8127349B2 (en) Point-to-multi-point/non-broadcasting multi-access VPN tunnels
US9294506B2 (en) Method and apparatus for security encapsulating IP datagrams
US7434045B1 (en) Method and apparatus for indexing an inbound security association database
US20070214502A1 (en) Technique for processing data packets in a communication network
US10044841B2 (en) Methods and systems for creating protocol header for embedded layer two packets
US9445384B2 (en) Mobile device to generate multiple maximum transfer units and data transfer method
CN112600802B (zh) 一种SRv6加密报文、SRv6报文的加解密方法及装置
KR100415554B1 (ko) 정보 보호 인터넷 프로토콜 패킷의 송수신 방법
CN108933763B (zh) 一种数据报文发送方法、网络设备、控制设备及网络系统
CN115174520B (zh) 一种网络地址信息隐藏方法及系统
WO2016165277A1 (zh) 一种实现IPsec分流的方法和装置
US7962741B1 (en) Systems and methods for processing packets for encryption and decryption
KR100522090B1 (ko) IPv6 계층에서의 패킷 보호 방법
CN117254926A (zh) 一种二层网络包的报文机密性处理方法
KR100449809B1 (ko) 다중 보안 서비스를 제공하는 개선된 아이피 계층에서의패킷 보호 방법
CN100592265C (zh) 路由分组通信量来确保通信安全的方法、系统和计算机系统
KR20050064093A (ko) 패킷 보호 기능을 구비한 차세대 인터넷 시스템 및 패킷보호 방법
CN100512278C (zh) 一种把ipsec嵌入到ip协议栈的方法
CN116471345B (zh) 一种数据通信方法、装置、设备及介质

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20120928

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20130923

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20140926

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20150925

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20170927

Year of fee payment: 13

FPAY Annual fee payment

Payment date: 20181001

Year of fee payment: 14