KR100544182B1 - Ip 보안에서의 슬라이딩 윈도우의 관리방법 및 장치 - Google Patents

Ip 보안에서의 슬라이딩 윈도우의 관리방법 및 장치 Download PDF

Info

Publication number
KR100544182B1
KR100544182B1 KR1020030015192A KR20030015192A KR100544182B1 KR 100544182 B1 KR100544182 B1 KR 100544182B1 KR 1020030015192 A KR1020030015192 A KR 1020030015192A KR 20030015192 A KR20030015192 A KR 20030015192A KR 100544182 B1 KR100544182 B1 KR 100544182B1
Authority
KR
South Korea
Prior art keywords
sliding window
serial number
packet
received
size
Prior art date
Application number
KR1020030015192A
Other languages
English (en)
Other versions
KR20040080287A (ko
Inventor
김영섭
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Priority to KR1020030015192A priority Critical patent/KR100544182B1/ko
Priority to US10/782,855 priority patent/US20040202110A1/en
Publication of KR20040080287A publication Critical patent/KR20040080287A/ko
Application granted granted Critical
Publication of KR100544182B1 publication Critical patent/KR100544182B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/27Evaluation or update of window size, e.g. using information derived from acknowledged [ACK] packets
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 IP(Internet Protocol) 레이어(layer)에 적용되는 네트워크 보안에 관한 것으로, 구체적으로는 IP 보안 알고리즘에서 사용되는 슬라이딩 윈도우(sliding window)의 관리 방법 및 장치에 관한 것이다. 본 발명의 슬라이딩 윈도우 관리방법은 (a) 수신된 IP 패킷의 전달 또는 폐기여부를 판단하는데 사용되는 슬라이딩 윈도우가 full 인가를 판단하는 단계; 및 (b) 상기 슬라이딩 윈도우가 full이 되었을 때, 상기 슬라이딩 윈도우에 저장된 일련번호에 상기 슬라이딩 윈도우의 크기값을 더하여 상기 슬라이딩 윈도우에 저장된 일련번호를 갱신하는 단계를 포함한다. 본 발명은, 수신되는 IP 패킷의 일련번호에 관계없이 정적으로, 슬라이딩 윈도우를 윈도우의 크기만큼 또는 특정한 값만큼 미리 갱신함으로써, 수신한 IP 패킷의 일련번호를 체크하여 미리 설정된 범위를 벗어나면, 수신한 IP 패킷을 폐기함으로서 보다 안전하게 IP 패킷을 수신하여 전달할 수 있는 효과가 있다.

Description

IP 보안에서의 슬라이딩 윈도우의 관리방법 및 장치 {Sliding window management method and apparatus in IPsec}
도 1은 IP 인증 헤더(AH)의 포맷이다.
도 2는 IP 인캡슐레이팅 보안 페이로드(ESP)의 포맷이다.
도 3은 슬라이딩 윈도우를 갱신하는 것을 설명하기 위한 도면이다.
도 4는 본 발명에서의 슬라이딩 윈도우를 갱신하는 것을 설명하기 위한 도면이다.
도 5는 본 발명의 슬라이딩 윈도우의 정적 갱신방법의 플로우차트이다.
도 6은 본 발명의 슬라이딩 윈도우 갱신장치의 블록도이다.
본 발명은 IP(Internet Protocol) 레이어(layer)에 적용되는 네트워크 보안에 관한 것으로, 구체적으로는 IP 보안 알고리즘에서 사용되는 슬라이딩 윈도우(sliding window)의 관리 방법 및 장치에 관한 것이다.
네트워크 레벨에서의 트랜잭션(transaction) 보안표준으로 IPSec(Internet Protocol Security)이 있는데, 이는 IP 계층간의 IP 패킷의 송신 및 수신에 대한 안전성을 제공하기 위한 것으로, 상위 계층으로부터 전달되는 모든 데이터에 대해 보안 서비스를 제공한다. IPsec은 RFC 2402에 기술되어 있는 IP 인증 헤더(IP Authentication Header : AH)와 RFC 2406에 기술되어 있는 IP 인캡슐레이팅 보안 페이로드(IP Encapsulating Security Payload : ESP)를 사용한다.
도 1은 IP 인증 헤더(AH)의 포맷이다.
IP 인증헤더(AH)는 수신한 데이터가 올바른 발신지 주소(source address)로 부터 전송된 것인가를 인증하고, 데이터의 무결성(integrity)을 보장하기 위하여 사용된다. 이를 위해 MD5 나 SHA-1 같은 해쉬 알고리즘을 사용한다. 그리고 IP 패킷 각각에 대해서 무결성을 확인하고, AH 에 일련번호(Sequence Number : SN)(110)를 부여하여 재전송공격(replay attack)을 방지한다. 즉, IP 패킷의 IP 헤더 뒤에 AH를 추가함으로써 인증을 수행한다.
도 2는 IP 인캡슐레이팅 보안 페이로드(ESP)의 포맷이다.
IP 인캡슐레이팅 보안 페이로드(ESP)는 IP 네트워크에 대한 비밀성과 무결성을 제공한다. 즉, IP 패킷을 암호화하여 전송시의 비밀성을 보장한다. 비밀성을 보장하기 위한 암호화를 수행하기 위해 DES, 3DES와 같은 여러가지 암호화 알고리즘이 사용된다. ESP 역시 전송된 IP 패킷의 발신지 주소를 인증하고 재전송 공격(replay attack)을 방지할 수 있다. 도 2를 참조하여 알 수 있듯이, ESP에도 일련번호 정보(210)가 저장되어 있다.
이들 IP 인증 헤더(AH)와 IP 인캡슐레이팅 보안 페이로드(ESP)에서 슬라이딩 윈도우를 사용한다. 이 슬라이딩 윈도우는 임의의 공격자로부터의 재전송 공격(replay attack)을 방지하기 위한 것이다.
슬라이딩 윈도우의 관리는 다음과 같이 3 단계에 의해서 수행된다.
(1) IP 패킷을 수신하여, 수신한 IP 패킷에 포함되어 있는 일련번호(SN)를 읽고, 읽은 일련번호가 슬라이딩 윈도우의 가장 좌측값과 가장 우측값 사이에 있는 값인가를 확인하여, 그 사이에 해당하지 않는 일련번호를 가진 IP 패킷은 폐기한다. 이를 안티 리플레이 서비스(anti-replay service)라고 한다.
(2) 확인된 일련번호를 기초로 하여, 송신자(sender)의 발신지 주소(source address) 등의 정보가 맞는가를 확인한다. 즉, 어떤 공격자가 아닌 올바른 송신자에서 보낸 IP 패킷인가를 확인한다.
(3) 수신한 IP 패킷의 일련번호를 가지고, 이 일련번호가 저장되는 슬라이딩 윈도우를 갱신(update)한다. 슬라이딩 윈도우를 갱신하는 과정은 다음과 같다.
도 3은 슬라이딩 윈도우를 갱신하는 것을 설명하기 위한 도면이다.
만일 슬라이딩 윈도우의 크기가 32이고, 32개의 IP 패킷이 수신되었다면, 슬라이딩 윈도우의 맨 왼쪽에 저장되어 있는 일련번호(310)는 1, 맨 오른쪽에 저장되어 있는 일련번호(320)는 32가 된다. 이때 다른 IP 패킷을 또 수신하면, 슬라이딩 윈도우의 크기만큼인 32개의 IP 패킷이 이미 수신되었으므로, 슬라이딩 윈도우가 full 이 된다. 따라서, 수신한 IP 패킷에 포함되어 있는 일련번호를 참조하여 슬라이딩 윈도우를 갱신하여야 한다.
즉, 33번째로 수신되는 IP 패킷에 포함되어 있는 일련번호를 슬라이딩 윈도우에 저장하는데, 이때 어떤 공격자가 매우 큰 일련번호를 갖는 IP 패킷을 전송하 면, 슬라이딩 윈도우가 이 값으로 갱신되므로, 그 다음부터는 올바른 IP 패킷을 수신하더라도 그 IP 패킷에 포함되어 있는 일련번호가, 슬라이딩 윈도우에 저장된 일련번호보다 작기 때문에 수신된 IP 패킷을 폐기하게 된다.
다시 말하면, 현재 슬라이딩 윈도우의 맨 왼쪽에 저장되어 있는 일련번호(310)가 1, 맨 오른쪽에 저장되어 있는 일련번호(320)가 32 이고, 32개의 IP 패킷을 이미 수신하여 슬라이딩 윈도우가 full이 된 경우, 어떤 공격자가 전송한 IP 패킷의 일련번호가 100이라고 하면, 슬라이딩 윈도우는, 맨 왼쪽 위치(330)에 69가, 맨 오른쪽 위치(340)에 100이 저장된다. 따라서, 일련번호가 33 에서 68 인 IP 패킷은 수신하더라도 폐기된다. 그러므로, 현재 사용되고 있는 슬라이딩 윈도우의 관리방법은 재전송 공격에 대해서는 방어할 수 있으나, 네트워크를 공격하고자 하는 어떤 공격자가 큰 일련번호를 갖는 IP 패킷을 전송하여 IP 네트워크를 공격하는 것에 대해서는 취약하다는 문제점이 있다.
본 발명이 이루고자 하는 기술적 과제는, IP 패킷을 수신하여 무결성을 확인하고, 재전송 공격을 방지하며 메모리를 효율적으로 사용하는 슬라이딩 윈도우 관리방법 및 장치를 제공하는데 있다.
상기의 과제를 이루기 위하여 본 발명에 의한 슬라이딩 윈도우 관리방법은, (a) 수신된 IP 패킷의 전달 또는 폐기여부를 판단하는데 사용되는 슬라이딩 윈도우가 full 인가를 판단하는 단계; 및 (b) 상기 슬라이딩 윈도우가 full이 되었을 때, 상기 슬라이딩 윈도우에 저장된 일련번호에 상기 슬라이딩 윈도우의 크기값을 더하여 상기 슬라이딩 윈도우에 저장된 일련번호를 갱신하는 단계를 포함한다.
상기의 과제를 이루기 위하여 본 발명에 의한 슬라이딩 윈도우 관리방법은, (a) 수신된 IP 패킷의 전달 또는 폐기여부를 판단하는데 사용되는 슬라이딩 윈도우가 full 인가를 판단하는 단계; 및 (b) 상기 슬라이딩 윈도우가 full이 되었을 때, 상기 슬라이딩 윈도우에 저장된 일련번호에 소정의 상수만큼을 더하여 상기 슬라이딩 윈도우에 저장된 일련번호를 갱신하는 단계를 포함한다.
상기의 과제를 이루기 위하여 본 발명에 의한 슬라이딩 윈도우 관리방법은, (a) 슬라이딩 윈도우의 크기 및 일련번호정보를 설정하는 단계; (b) IP 패킷을 수신하여, 상기 IP 패킷에 포함되어 있는 일련번호를 읽는 단계; (c) 상기 일련번호가 상기 설정한 일련번호 범위내의 값인지를 판단하는 단계; (d) 상기 판단결과, 만일, 상기 수신한 IP 패킷의 일련번호가 상기 설정한 일련번호 범위내의 값이면 수신한 IP 패킷을 다음 계층인 TCP 계층에 전달하고, 그렇지 않으면 수신한 IP 패킷을 폐기하는 단계; (e) 상기 슬라이딩 윈도우가 full 인가를 판단하는 단계; 및 (f) 상기 판단결과, 상기 슬라이딩 윈도우가 full 이면 상기 슬라이딩 윈도우를 갱신하는 단계를 포함한다.
상기의 과제를 이루기 위하여 본 발명에 의한 슬라이딩 윈도우 관리장치는, IP 패킷을 수신하여 IP 패킷 헤더에 포함되어 있는 일련번호(SN)를 읽는 일련번호 정보 독출부; 슬라이딩 윈도우 정보를 저장하는 메모리; 및 상기 일련번호 정보 독출부에서 읽은 일련번호와 상기 메모리에 저장된 슬라이딩 윈도우의 일련번호를 비 교하여 읽은 일련번호가 상기 메모리에 저장된 슬라이딩 윈도우의 일련번호 범위내의 값이면, 상기 수신한 IP 패킷을 다음 레이어에 전송하고, 그렇지 않으면 폐기하며, 상기 슬라이딩 윈도우가 full 인가를 판단하여 full 인 경우에는 슬라이딩 윈도우를 갱신하는 비교부를 포함한다.
상기한 과제를 이루기 위하여 본 발명에서는, 상기 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공한다.
이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 일실시예를 상세히 설명한다.
도 4는 본 발명에서의 슬라이딩 윈도우를 갱신하는 것을 설명하기 위한 도면이다.
도 4를 참조하여, 슬라이딩 윈도우가 full 이 되었을 경우에 슬라이딩 윈도우를 갱신하는 두가지 방법을 설명한다.
첫번째 방법으로는, 슬라이딩 윈도우가 full이 되었을 때, 정적으로(static) 슬라이딩 윈도우를 갱신한다. 예를 들어, 도 4와 같이 슬라이딩 윈도우의 좌측값이 1(410), 우측값이 32(420)이고, 슬라이딩 윈도우가 full이 된 경우에, 슬라이딩 윈도우의 크기만큼 정적으로 일련번호를 증가시킨다. 즉, 다음에 수신되는 IP 패킷의 일련번호에 관계없이 슬라이딩 윈도우의 크기인 32만큼을 증가시킨다. 따라서, 슬라이딩 윈도우의 좌측값은 33(430)으로, 우측값은 64(440)로 슬라이딩 윈도우를 갱신한다.
두번째 방법은, 슬라이딩 윈도우의 일련번호를 증가시킬 때 슬라이딩 윈도우 의 크기가 아닌, 특정한 크기로 정적으로 증가시키는 방법이 있다. 예를 들어, 슬라이딩 윈도우의 크기가 32이고, 슬라이딩 윈도우의 좌측값이 1이고, 우측값이 32이면서 슬라이딩 윈도우가 full이 되어 슬라이딩 윈도우를 갱신할 때, 임의의 크기만큼 슬라이딩 윈도우에 저장된 일련번호를 갱신한다. 즉, 슬라이딩 윈도우에 저장된 일련번호를 m 만큼 증가시킨다면, 슬라이딩 윈도우의 맨 좌측값은 33-m 으로 설정되고, 맨 우측값은 33+m 으로 설정된다.
도 5는 본 발명의 슬라이딩 윈도우의 정적 갱신방법의 플로우차트이다.
슬라이딩 윈도우를 초기화한다(S510). 초기화시에 슬라이딩 윈도우의 가장 좌측값은 0으로, 가장 우측값은 슬라이딩 윈도우의 크기 - 1로 설정하고, 슬라이딩 윈도우의 크기를 n이라고 설정한다. 상술한 두번째 방법을 사용하는 경우에는 슬라이딩 윈도우의 일련번호를 증가시키고자 하는 값을 m으로 설정하는 과정이 추가된다.
IP 패킷을 수신하여 일련번호를 읽는다(S520). 읽은 일련번호가 슬라이딩 윈도우에 저장되어 있는 일련번호 범위내의 값인지를 판단한다(S530). 만일, 수신한 IP 패킷의 일련번호가 슬라이딩 윈도우에 저장되어 있는 일련번호 범위내의 값이면 수신한 IP 패킷을 TCP 계층과 같은 다음 계층으로 전달하고(S540), 그렇지 않으면 수신한 IP 패킷을 폐기한다(S550). 다음으로 슬라이딩 윈도우가 full 인가를 판단하여(S560), full 이면 슬라이딩 윈도우를 상술한 두가지 방법중 하나의 방법을 선택하여 갱신하고(S570), 그렇지 않으면 다음 IP 패킷을 수신하여 일련번호를 확인하는 단계로 되돌아간다. 슬라이딩 윈도우를 갱신한 후에 IP 패킷이 계속 수신되는 가를 판단하여(S580), 계속 수신되면 상술한 일련번호를 읽는 단계(S520)로 되돌아가서 상술한 윈도우 갱신단계까지를 다시 수행하고, IP 패킷이 더이상 수신되지 않으면 종료한다. 상술한 일련번호는 AH나 ESP 에서만 사용되는 것이 아니라, 보안에 관련된 여러가지 알고리즘에서 사용될 수 있다.
도 6은 본 발명의 슬라이딩 윈도우 갱신장치의 블록도이다.
본 발명의 슬라이딩 윈도우 갱신장치는 일련번호 정보 독출부(610), 슬라이딩 윈도우(620) 및 비교부(630)를 포함한다.
일련번호 정보 독출부(610)는 IP 패킷을 수신하여 IP 패킷 헤더에 포함되어 있는 일련번호(SN)를 읽는다. 슬라이딩 윈도우(620)는 일종의 메모리로써, 수신한 IP 패킷을 필터링하기 위한 일련번호 정보를 저장한다.
비교부(630)는 일련번호 정보 독출부(610)에서 읽은 일련번호(SN)와 슬라이딩 윈도우(620)에 저장된 일련번호를 비교하여, 읽은 일련번호(SN)가 슬라이딩 윈도우(620)에 저장된 일련번호의 범위내의 값이면, 수신한 IP 패킷을 다음 네트워크 계층으로 전송하고, 그렇지 않으면 폐기한다. 그리고, 비교부(630)는 슬라이딩 윈도우가 full 인가를 판단하여 full 인 경우에는 슬라이딩 윈도우를 갱신한다. 슬라이딩 윈도우를 갱신하는 것은 도 5를 참조하여 설명한 바와 같이, 슬라이딩 윈도우의 크기만큼 정적으로 갱신할 수도 있고, 특정한 크기만큼 갱신할 수도 있다.
본 발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광 데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.
이제까지 본 발명에 대하여 그 바람직한 실시예들을 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.
이상에서 설명한 바와 같이, 본 발명에 따른 슬라이딩 윈도우 관리방법 및 장치는 다음과 같은 효과를 제공한다.
첫째, 슬라이딩 윈도우가 full이 된 경우에, 다음에 수신되는 IP 패킷의 일련번호에 관계없이, 슬라이딩 윈도우를 윈도우의 크기만큼 미리 갱신함으로써, 보다 안전하게 IP 패킷을 수신하여 전달할 수 있다.
둘째, 슬라이딩 윈도우의 크기를 증가시킬 때 특정한 크기로 정적으로 증가시킴으로써, 효율적으로 메모리를 관리할 수 있다.

Claims (12)

  1. 삭제
  2. 삭제
  3. (a) 슬라이딩 윈도우의 크기 및 일련번호정보를 설정하는 단계;
    (b) IP 패킷을 수신하여, 상기 IP 패킷에 포함되어 있는 일련번호를 읽는 단계;
    (c) 상기 일련번호가 상기 설정한 일련번호 범위내의 값인지를 판단하는 단계;
    (d) 상기 판단결과, 만일, 상기 수신한 IP 패킷의 일련번호가 상기 설정한 일련번호 범위내의 값이면 수신한 IP 패킷을 다음 네트워크 계층으로 전달하고, 그렇지 않으면 수신한 IP 패킷을 폐기하는 단계;
    (e) 상기 슬라이딩 윈도우가 full 인가를 판단하는 단계; 및
    (f) 상기 판단결과, 상기 슬라이딩 윈도우가 full 이면 상기 슬라이딩 윈도우를 갱신하는 단계를 포함하는 것을 특징으로 하는 슬라이딩 윈도우 관리방법.
  4. 제3항에 있어서, 상기 (a) 단계는
    상기 슬라이딩 윈도우의 가장 좌측에 저장된 일련번호는 0으로, 가장 우측에 저장된 일련번호는 1로 설정하고, 상기 슬라이딩 윈도우의 크기를 n으로 설정하는 것을 특징으로 하는 슬라이딩 윈도우 관리방법.
  5. 제4항에 있어서, 상기 (f) 단계는
    상기 슬라이딩 윈도우가 full이 되었을 때, 상기 슬라이딩 윈도우에 저장된 일련번호에 상기 설정한 슬라이딩 윈도우의 크기만큼을 더하여 상기 슬라이딩 윈도우를 갱신하는 것을 특징으로 하는 슬라이딩 윈도우 관리방법.
  6. 제3항에 있어서, 상기 (a) 단계는
    상기 슬라이딩 윈도우의 가장 좌측에 저장된 일련번호는 0으로, 가장 우측에 저장된 일련번호는 1로 설정하고, 상기 슬라이딩 윈도우의 크기를 n으로 설정하고, 상기 슬라이딩 윈도우의 일련번호를 증가시키고자 하는 크기를 m으로 설정하는 것을 특징으로 하는 슬라이딩 윈도우 관리방법.
  7. 제6항에 있어서, 상기 (f) 단계는
    상기 슬라이딩 윈도우가 full이 되었을 때, 상기 설정한 m 값을 상기 슬라이딩 윈도우에 저장된 일련번호에 더하여 갱신하는 것을 특징으로 하는 슬라이딩 윈도우 관리방법.
  8. 삭제
  9. 삭제
  10. 삭제
  11. 삭제
  12. (a) 슬라이딩 윈도우의 크기 및 일련번호정보를 설정하는 단계;
    (b) IP 패킷을 수신하여, 상기 IP 패킷에 포함되어 있는 일련번호를 읽는 단 계;
    (c) 상기 일련번호가 상기 설정한 일련번호 범위내의 값인지를 판단하는 단계;
    (d) 상기 판단결과, 만일, 상기 수신한 IP 패킷의 일련번호가 상기 설정한 일련번호 범위내의 값이면 수신한 IP 패킷을 다음 네트워크 계층으로 전달하고, 그렇지 않으면 수신한 IP 패킷을 폐기하는 단계;
    (e) 상기 슬라이딩 윈도우가 full 인가를 판단하는 단계; 및
    (f) 상기 판단결과, 상기 슬라이딩 윈도우가 full 이면 상기 슬라이딩 윈도우를 갱신하는 단계를 포함하는 것을 특징으로 하는 슬라이딩 윈도우 관리방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
KR1020030015192A 2003-03-11 2003-03-11 Ip 보안에서의 슬라이딩 윈도우의 관리방법 및 장치 KR100544182B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020030015192A KR100544182B1 (ko) 2003-03-11 2003-03-11 Ip 보안에서의 슬라이딩 윈도우의 관리방법 및 장치
US10/782,855 US20040202110A1 (en) 2003-03-11 2004-02-23 Method and apparatus for managing sliding window in IP security

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020030015192A KR100544182B1 (ko) 2003-03-11 2003-03-11 Ip 보안에서의 슬라이딩 윈도우의 관리방법 및 장치

Publications (2)

Publication Number Publication Date
KR20040080287A KR20040080287A (ko) 2004-09-18
KR100544182B1 true KR100544182B1 (ko) 2006-01-23

Family

ID=33128919

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020030015192A KR100544182B1 (ko) 2003-03-11 2003-03-11 Ip 보안에서의 슬라이딩 윈도우의 관리방법 및 장치

Country Status (2)

Country Link
US (1) US20040202110A1 (ko)
KR (1) KR100544182B1 (ko)

Families Citing this family (41)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100479376C (zh) * 2005-06-27 2009-04-15 华为技术有限公司 一种识别重放管理消息的方法
US8095774B1 (en) 2007-07-05 2012-01-10 Silver Peak Systems, Inc. Pre-fetching data into a memory
US8370583B2 (en) 2005-08-12 2013-02-05 Silver Peak Systems, Inc. Network memory architecture for providing data based on local accessibility
US8171238B1 (en) 2007-07-05 2012-05-01 Silver Peak Systems, Inc. Identification of data stored in memory
US8392684B2 (en) 2005-08-12 2013-03-05 Silver Peak Systems, Inc. Data encryption in a network memory architecture for providing data based on local accessibility
US8929402B1 (en) 2005-09-29 2015-01-06 Silver Peak Systems, Inc. Systems and methods for compressing packet data by predicting subsequent data
US8811431B2 (en) 2008-11-20 2014-08-19 Silver Peak Systems, Inc. Systems and methods for compressing packet data
US8489562B1 (en) 2007-11-30 2013-07-16 Silver Peak Systems, Inc. Deferred data storage
US7804773B2 (en) * 2005-10-25 2010-09-28 At&T Intellectual Property I, L.P. System and method of managing data flow in a network
US20070115812A1 (en) * 2005-11-22 2007-05-24 Silver Peak Systems, Inc. Sequence numbers for multiple quality of service levels
KR100772394B1 (ko) * 2006-02-09 2007-11-01 삼성전자주식회사 IPSec에서의 재전송 방지 윈도우 갱신 방법 및 장치
CN100403736C (zh) * 2006-03-14 2008-07-16 杭州华三通信技术有限公司 多单元发送时的报文序列号检测方法及装置
FR2901436B1 (fr) * 2006-05-19 2008-07-04 Airbus France Sas Dispositif de reception de messages, en particulier dans le cadre d'echanges securises de donnees, aeronef et procede associes
US8755381B2 (en) 2006-08-02 2014-06-17 Silver Peak Systems, Inc. Data matching using flow based packet data storage
US8885632B2 (en) 2006-08-02 2014-11-11 Silver Peak Systems, Inc. Communications scheduler
US8065726B2 (en) * 2007-05-14 2011-11-22 Intel Corporation Scalable anti-replay windowing
US8307115B1 (en) 2007-11-30 2012-11-06 Silver Peak Systems, Inc. Network memory mirroring
US8442052B1 (en) 2008-02-20 2013-05-14 Silver Peak Systems, Inc. Forward packet recovery
TWI353153B (en) * 2008-02-21 2011-11-21 Ind Tech Res Inst Method for receiving data and communication device
US7953120B2 (en) * 2008-03-31 2011-05-31 International Business Machines Corporation Efficient synchronization of a sliding buffer window to prevent packet re-injection in an internet protocol (IP) network
US10164861B2 (en) 2015-12-28 2018-12-25 Silver Peak Systems, Inc. Dynamic monitoring and visualization for network health characteristics
US10805840B2 (en) 2008-07-03 2020-10-13 Silver Peak Systems, Inc. Data transmission via a virtual wide area network overlay
US8743683B1 (en) 2008-07-03 2014-06-03 Silver Peak Systems, Inc. Quality of service using multiple flows
US9717021B2 (en) 2008-07-03 2017-07-25 Silver Peak Systems, Inc. Virtual network overlay
KR101530095B1 (ko) * 2009-04-16 2015-06-19 네이버 주식회사 슬라이딩 윈도우를 이용한 클라이언트 인증 방법 및 시스템
US8474034B2 (en) * 2011-04-19 2013-06-25 Futurewei Technologies, Inc. Method and apparatus for fast check and update of anti-replay window without bit-shifting in internet protocol security
US9130991B2 (en) 2011-10-14 2015-09-08 Silver Peak Systems, Inc. Processing data packets in performance enhancing proxy (PEP) environment
US9626224B2 (en) 2011-11-03 2017-04-18 Silver Peak Systems, Inc. Optimizing available computing resources within a virtual environment
US20130142114A1 (en) * 2011-12-05 2013-06-06 Qualcomm Incorporated Enhancement of Replay Protection in Wireless Communication Systems
US9948496B1 (en) 2014-07-30 2018-04-17 Silver Peak Systems, Inc. Determining a transit appliance for data traffic to a software service
US9875344B1 (en) 2014-09-05 2018-01-23 Silver Peak Systems, Inc. Dynamic monitoring and authorization of an optimization device
US9690928B2 (en) 2014-10-25 2017-06-27 Mcafee, Inc. Computing platform security methods and apparatus
US10073972B2 (en) 2014-10-25 2018-09-11 Mcafee, Llc Computing platform security methods and apparatus
US10432484B2 (en) 2016-06-13 2019-10-01 Silver Peak Systems, Inc. Aggregating select network traffic statistics
US9967056B1 (en) 2016-08-19 2018-05-08 Silver Peak Systems, Inc. Forward packet recovery with constrained overhead
US10771394B2 (en) 2017-02-06 2020-09-08 Silver Peak Systems, Inc. Multi-level learning for classifying traffic flows on a first packet from DNS data
US11044202B2 (en) 2017-02-06 2021-06-22 Silver Peak Systems, Inc. Multi-level learning for predicting and classifying traffic flows from first packet data
US10257082B2 (en) 2017-02-06 2019-04-09 Silver Peak Systems, Inc. Multi-level learning for classifying traffic flows
US10892978B2 (en) 2017-02-06 2021-01-12 Silver Peak Systems, Inc. Multi-level learning for classifying traffic flows from first packet data
US11212210B2 (en) 2017-09-21 2021-12-28 Silver Peak Systems, Inc. Selective route exporting using source type
US10637721B2 (en) 2018-03-12 2020-04-28 Silver Peak Systems, Inc. Detecting path break conditions while minimizing network overhead

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR19990041652A (ko) * 1997-11-24 1999-06-15 유기범 프로세서간 통신 윈도우 개설 방법
JPH11177618A (ja) * 1997-12-16 1999-07-02 Chokosoku Network Computer Gijutsu Kenkyusho:Kk 輻輳制御方法
JPH11355283A (ja) * 1998-06-05 1999-12-24 Nippon Telegr & Teleph Corp <Ntt> パケット廃棄制御方法および該方法を実現するためのノード
JP2000124950A (ja) * 1998-10-12 2000-04-28 Nec Corp 送受信パラメータ設定方法および送受信パラメータ設定装置
JP2001016213A (ja) * 1999-06-28 2001-01-19 Nec Corp Atmサービス品質監視装置およびトラフィック量監視回路
KR20030076743A (ko) * 2002-03-21 2003-09-29 엘지전자 주식회사 선택적 흐름제어를 통한 데이터 신뢰성 보장장치 및 방법

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5764625A (en) * 1995-11-13 1998-06-09 International Business Machines Corp. Optimal flow control window size design in high-speed networks
SE516280C2 (sv) * 2000-04-06 2001-12-10 Ericsson Telefon Ab L M Förfarande och anordning för signalövervakning som baseras på ett glidande fönster
US6882634B2 (en) * 2000-04-07 2005-04-19 Broadcom Corporation Method for selecting frame encoding parameters to improve transmission performance in a frame-based communications network
US7161978B2 (en) * 2001-08-29 2007-01-09 Texas Instruments Incorporated Transmit and receive window synchronization
US7237262B2 (en) * 2002-07-09 2007-06-26 Itt Manufacturing Enterprises, Inc. System and method for anti-replay processing of a data packet
US7406082B2 (en) * 2002-09-30 2008-07-29 Lucent Technologies Inc. Sequence number schemes for acceptance/rejection of duplicated packets in a packet-based data network

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR19990041652A (ko) * 1997-11-24 1999-06-15 유기범 프로세서간 통신 윈도우 개설 방법
JPH11177618A (ja) * 1997-12-16 1999-07-02 Chokosoku Network Computer Gijutsu Kenkyusho:Kk 輻輳制御方法
JPH11355283A (ja) * 1998-06-05 1999-12-24 Nippon Telegr & Teleph Corp <Ntt> パケット廃棄制御方法および該方法を実現するためのノード
JP2000124950A (ja) * 1998-10-12 2000-04-28 Nec Corp 送受信パラメータ設定方法および送受信パラメータ設定装置
JP2001016213A (ja) * 1999-06-28 2001-01-19 Nec Corp Atmサービス品質監視装置およびトラフィック量監視回路
KR20030076743A (ko) * 2002-03-21 2003-09-29 엘지전자 주식회사 선택적 흐름제어를 통한 데이터 신뢰성 보장장치 및 방법

Also Published As

Publication number Publication date
US20040202110A1 (en) 2004-10-14
KR20040080287A (ko) 2004-09-18

Similar Documents

Publication Publication Date Title
KR100544182B1 (ko) Ip 보안에서의 슬라이딩 윈도우의 관리방법 및 장치
US9438592B1 (en) System and method for providing unified transport and security protocols
EP2095603B1 (en) Methods and apparatus for delivering control messages during a malicious attack in one or more packet networks
EP1934789B1 (en) Strong anti-replay protection for ip traffic
US10298595B2 (en) Methods and apparatus for security over fibre channel
CN1833403B (zh) 通信系统、通信装置、通信方法
EP1547337B1 (en) Watermarking at the packet level
US8990573B2 (en) System and method for using variable security tag location in network communications
US7356587B2 (en) Automatically detecting malicious computer network reconnaissance by updating state codes in a histogram
US20060077908A1 (en) Method for generating and authenticating address automatically in IPv6-based internet and data structure thereof
US20140181967A1 (en) Providing-replay protection in systems using group security associations
US7139679B1 (en) Method and apparatus for cryptographic protection from denial of service attacks
US8510831B2 (en) System and method for protecting network resources from denial of service attacks
EP4016936A1 (en) Method, device, and system for secure communications over a network
KR20110087972A (ko) 세션 테이블을 이용한 비정상 트래픽의 차단 방법
KR102421722B1 (ko) 네트워크 정보 보호 방법 및 장치
US12015719B1 (en) Apparatus, systems, and methods relying on non-flashable circuitry for improving security on public or private networks
JP2005065004A (ja) 暗号化通信データ検査方法、暗号化通信データ検査装置及び暗号化通信データ検査プログラム
KR101627281B1 (ko) 사설 dns 시스템 및 그 운영 방법
Allix Covert channels analysis in TCP/IP networks
CN113872865A (zh) 报文数据分流方法、装置、计算机设备和存储介质
Jeon et al. Verifier-based home network security mechanism

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20081224

Year of fee payment: 4

LAPS Lapse due to unpaid annual fee