KR100839941B1 - IPSec 설정정보와 세션정보를 이용한 비정상IPSec 트래픽 제어 시스템 및 그 제어 방법 - Google Patents

IPSec 설정정보와 세션정보를 이용한 비정상IPSec 트래픽 제어 시스템 및 그 제어 방법 Download PDF

Info

Publication number
KR100839941B1
KR100839941B1 KR1020070002005A KR20070002005A KR100839941B1 KR 100839941 B1 KR100839941 B1 KR 100839941B1 KR 1020070002005 A KR1020070002005 A KR 1020070002005A KR 20070002005 A KR20070002005 A KR 20070002005A KR 100839941 B1 KR100839941 B1 KR 100839941B1
Authority
KR
South Korea
Prior art keywords
ipsec
information
packet
session
unit
Prior art date
Application number
KR1020070002005A
Other languages
English (en)
Inventor
엄영익
김가을
고광선
경계현
강성구
강용혁
조현진
장현수
정용우
최현우
Original Assignee
성균관대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 성균관대학교산학협력단 filed Critical 성균관대학교산학협력단
Priority to KR1020070002005A priority Critical patent/KR100839941B1/ko
Priority to US11/707,575 priority patent/US8336093B2/en
Application granted granted Critical
Publication of KR100839941B1 publication Critical patent/KR100839941B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

ESP 확장헤더에 의해 암호화된 패킷의 비정상 여부를 복호화없이 IPSec 세션테이블과 설정테이블을 이용하여 탐지함으로써 유해한 패킷을 차단하는 IPSec 설정정보와 세션정보를 이용한 비정상 IPSec 트래픽 제어 시스템 및 그 제어 방법에 관한 것으로, IPSec 패킷을 수신하여 IPSec설정단계패킷과 IPSec통신단계패킷으로 구분하고 트래픽 제어에 이용될 각각의 정보를 추출하는 확장헤더처리수단, 추출된 정보를 수신하여 상기 IPSec 패킷의 통과여부를 판단하는 IPSec설정단계패킷확인수단 및 IPSec통신단계패킷확인수단, 상기 IPSec설정단계패킷확인수단 또는 상기 IPSec통신단계패킷확인수단에서 판단되는 결과에 따라 상기 IPSec 패킷을 통과 또는 차단시키는 제어수단을 포함하는 구성을 마련한다.
상기와 같은 IPSec 설정정보와 세션정보를 이용한 비정상 IPSec 트래픽 제어 시스템 및 그 제어 방법을 이용하는 것에 의해, 비정상적인 IPSec 패킷들에 대해 이들의 복호화와 암호화 과정 없이 IPSec 설정테이블과 세션테이블을 이용하여 차단함으로써 시스템의 성능저하 없이 IPSec 패킷을 처리할 수 있다.
IPSec 패킷, IPSec 설정 단계 패킷, IPSec 통신 단계 패킷, IPSec 세션 테이블, IPSec 설정 테이블

Description

IPSec 설정정보와 세션정보를 이용한 비정상 IPSec 트래픽 제어 시스템 및 그 제어 방법{Abnormal IPSec Packet Control System Using IPSec Configuration and Session Data, and Method Thereof}
도 1은 종래의 유해 패킷 차단 기술을 설명하는 블록도,
도 2는 본 발명의 일실시예에 따른 IPSec 설정정보와 세션정보를 이용한 비정상 IPSec 트래픽 제어 시스템을 도시한 블록도,
도 3은 본 발명의 일실시예에 따른 IPSec 세션정보 테이블을 도시한 도면,
도 4는 본 발명의 일실시예에 따른 IPSec 설정정보 테이블을 도시한 도면,
도 5는 본 발명의 일실시예에 따른 IPSec 설정정보와 세션정보를 이용한 비정상 IPSec 트래픽 제어 방법을 설명하는 흐름도,
도 6은 본 발명의 일실시예에 따른 IPSec설정단계패킷확인수단의 판단단계를 설명하는 도면,
도 7은 본 발명의 일실시예에 따른 IPSec통신단계패킷확인수단의 판단단계를 설명하는 도면.
* 도면의 주요 부분에 대한 부호의 설명 *
10: 확장헤더처리수단 20: IPSec설정단계패킷확인수단
21: IPSec 설정DB부 30: IPSec통신단계패킷확인수단
31: IPSec 세션DB부 40: 제어수단
본 발명은 IPSec(Internet Protocol Security) 설정정보와 세션정보를 이용한 비정상 IPSec 트래픽 제어 시스템 및 그 제어 방법에 관한 것으로, 특히 ESP(Encapsulating Security Payload) 확장헤더에 의해 암호화된 패킷의 비정상 여부를 복호화없이 IPSec 설정정보 테이블과 IPSec 설정정보 테이블을 이용하여 탐지함으로써 유해한 패킷을 차단하는 IPSec 설정정보와 세션정보를 이용한 비정상 IPSec 트래픽 제어 시스템 및 그 제어 방법에 관한 것이다.
일반적으로 IPSec은 네트워크 통신 중 네트워크 레이어에서의 보안을 위한 표준 프로토콜로서, 인터넷 상에서 VPN(Viertual Private Network)을 구현하는데 사용될 수 있도록 IETF(Internet Engineering Task Force)에서 개발되었다. IPSec는 전송되는 데이터에 대한 무결성 및 기밀성을 보장하고, 데이터와 통신 주체에 대한 인증을 지원한다. 그러나, IPSec를 악용하여 대량의 비정상적인 세션 설정 요청 메시지를 전송하거나 IPSec 보안이 적용된 패킷에 비정상적인 데이터를 포함하여 전송하는 등의 유해한 패킷이 전송되기도 하므로, 이에 대처할 수 있는 보안 기술을 필요로 한다. 그 예로, 방화벽(Firewall), 침입탐지시스템(IDS: Intrusion Detection System), 침입방지시스템(IPS: Intrusion Prevention System) 또는 유해 패킷 제어시스템 등이 있으며, 패킷필터링규칙을 이용하여 패킷을 제어한다.
도 1은 종래의 유해 패킷 차단 기술을 설명하는 블록도로서, 도 1에서 도시한 바와 같이 종래의 패킷필터링규칙을 이용하는 기술에 있어서는 인터넷상에서 발생하는 유해한 패킷을 차단할 목적으로 패킷필터링규칙(2)을 설정하고, 해당 규칙과의 일치 여부에 따라 패킷(1)을 차단(3) 또는 통과(4)시킨다. 참고로, (5)는 네트워크관리자이며, (6)은 패킷필터링규칙생성모듈로서 이에 대한 구체적 설시는 생략한다.
특히, IPv6 네트워크에서 비정상 IPSec 트래픽을 차단하기 위한 종래의 기술은 크게 2가지로 분류할 수 있다. 첫째는 IP 헤더정보 기반 보안 시스템으로, 종래의 IPv4 네트워크에서 사용되던 방식이며 IP 헤더정보와 상위계층 정보를 이용하여 오용행위 또는 비정상행위를 탐지하여 대응하는 기법이다. 둘째는 키분배 기반 보안 시스템으로, IPSec 세션설정 및 통신을 담당하는 호스트 또는 보안 게이트웨이와 보안 시스템 간의 IPSec 통신에 사용되는 키를 공유하여 해당 공격을 대응하는 기법이다.
IP 헤더정보 기반 보안 시스템의 경우에는 암호화된 IPSec 트래픽 자체를 처리하지 못하거나 처리하더라도 IP 헤더정보와 상위계층 정보만으로 비정상 IPSec 트래픽을 탐지한다. 또한, 키분배 기반 보안 시스템의 경우에는 ESP 확장 헤더가 적용된 암호화된 데이터를 공유한 키로 복호화하여 탐지하고 대응한다.
이와 같이 패킷 제어 기술의 일례가 대한민국 특허 공개공보 제2002- 00515996호(2002.06.2928 공개, 분산 컴퓨팅 환경에서의 보안 정책 시스템 및 그 방법)에 개시되어 있다.
상기 대한민국 특허 공개공보 제2002-00515996호에 개시된 기술은 정책 정보를 저장하는 SPDB를 커널 메모리와 애플리케이션 메모리에 분할하여 시스템 효율성을 증가시킨 보안 정책 시스템 및 그 방법에 관한 것으로, 애플리케이션 영역 및 커널 영역으로 나누어져 있는 분산 컴퓨팅 환경에서의 보안 정책 시스템에 있어서, 상기 애플리케이션 영역은, 상기 애플리케이션 영역과 상기 커널 영역간의 통신 채널의 읽기 영역에서 상기 커널의 정책 요청을 쓰면서, 블록 상태로 대기하고, 이에 대한 응답으로 새로운 정책 협상 및 SA(Security Association) 협상을 요구하거나 EAM(Existence Assuraance Message)을 커널에 리턴하는 정책 리스너; 상기 정책 리스너에 의하여 정책 요청이 있으면, IPsec(IP security) 엔진 등의 정책 집행 시스템 또는 IKE(Internet Key Exchange) 등의 키 관련 시스템을 위한 정책 자원을 포함하여 방어벽 또는 패킷 필터링 모듈을 위한 패킷 제어 관련 보안 정책 정보를 저장하는 애플리케이션 SPDB(Security Policy DataBase); 및 상기 정책 리스너에 의하여 새로운 정책이나 SA가 협상되면, 이에 해당하는 정책 필드값들을 수집하고, 새로운 SA의 보안 정책에 관련한 정보들을 상기 커널로 전송하는 정책 어댑터;를 포함하고, 상기 커널 영역은, 상기 애플리케이션 SPDB에서 사용하는 필드들을 제외한 커널에서 사용하는 필드들을 저장하고, 상기 정책 어댑터에 의하여 전송된 새로운 SA의 보안 정책에 관련한 정보들을 저장하는 selDB; 및 요청에 해당하는 보안 정책을 상기 selDB로부터 읽어 들여, 이를 적용 및 집행하는 PEP(Policy Enforcement Point);를 포함하는 구성으로 이루어져 있다고 기재되어 있다. 즉, 상기 공보 제2002-00515996호에 개시된 기술에서는 보안 정책을 사용하는 모든 보안 시스템에서 보안 정책 데이터베이스를 애플리케이션은 물론 커널에도 이를 매핑함으로써, 정책 적용 단계의 지연을 최소화하여 시스템 효율성을 증가시키고 성능 향상을 가져 오는 분산 컴퓨팅 환경에서의 보안 정책 시스템 및 그 방법에 대해 기재되어 있다.
또, 패킷 제어 기술의 다른 예가 대한민국 특허 등록공보 제0470915호(2005.01.31 등록, IP계층에서의 패킷 보안을 위한 인터넷 정보보호 시스템의 제어 방법)에 개시되어 있다.
상기 대한민국 특허 등록공보 제0470915호에 개시된 기술은 인터넷에서 정보보호 서비스 제공하고 제어하며 또한 관리하고 평가하기 위하여 IP 계층에서 패킷 보호 기능 제공을 위한 IP계층에서의 패킷 보안을 위한 인터넷 정보보호 시스템의 제어 방법에 관한 것으로, 송신하고자 하는 패킷의 IP 헤더를 생성한 후, 보안 기반 규칙 데이터베이스 및 보안 연계 데이터베이스를 참조하여 패킷 별 보안 서비스의 선택 여부를 결정하는 제 1 단계와, 상기 보안 기반 규칙 데이터베이스 및 상기 보안 연계 데이터베이스가 존재하지 않을 경우, 수신자 측의 보안 기반 규칙 제어 서버와의 협상을 통하여 보안 기반 규칙을 설정하는 제 2 단계와, 상기 설정된 보안 기반 규칙을 기반으로 하여 보안 연계를 상기 수신자 측의 키 교환 서버와 협상하는 제 3 단계와, 상기 협상된 보안 연계를 키 관리 서버에 저장하는 제 4 단계 와, 상기 보안 연계와 관련된 보안 기반 규칙을 링크시키는 제 5 단계와, 상기 링크된 보안 기반 규칙과 보안 연계를 이용하고 IPsec를 적용하여 상기 패킷을 송신하는 제 6 단계로 이루어진다고 기재되어 있다. 상기 공보 제0470915호에 개시된 기술에서는 상위 응용 계층으로부터 발생된 메시지가 인터넷을 통해 전달될 수 있는 IP 패킷의 형태로 변형되는 과정에서 정보 보호 서비스를 선택적으로 제공할 수 있고, 다중의 보안 서비스를 제공할 수 있으며, 상위 계층 서비스 프로그램의 변경 없이 모든 인터넷 서비스에 정보보호 기능을 제공할 수 있는 IP계층에서의 패킷 보안을 위한 인터넷 정보보호 시스템의 제어 방법에 대해 기재되어 있다.
그러나, 종래의 패킷필터링규칙을 이용하는 기술의 경우에는 IPSec 통신 단계 패킷의 경우에 해당 패킷의 내용이 암호화되어 있기 때문에 패킷의 유해 유무를 알 수 없어 유해한 패킷에 대한 패킷필터링규칙 설정 자체가 어렵다는 문제가 있었다.
또, 종래의 헤더정보 기반 보안 시스템의 경우에는 IP 헤더정보와 상위계층 정보만으로 공격을 탐지하므로 분산서비스거부공격과 같이 여러 호스트에서 하나의 목표 호스트로 대량의 트래픽을 발생시키는 공격이 이루어지면 정상적인 호스트의 트래픽까지 탐지되어 차단될 수 있는 문제가 있었다.
또, 종래의 키분배 기반 보안 시스템의 경우에는 IPSec 통신상의 호스트들과 키를 공유함으로써 패킷필터링규칙 설정은 가능하지만, 모든 패킷에 대한 복호화 및 암호화 과정이 필요하기 때문에 시스템의 성능이 저하되는 문제가 있었다. 추가 적으로, 키를 분배하기 위해 추가적인 IPSec 통신을 연결하거나 키값을 직접 복사해주어야 하고, IPSec 종단간 보안이 깨지게 된다. 뿐만 아니라, 추가적인 IPSec 통신을 연결할 경우 보안 시스템에서 다른 키로 복호화 및 암호화하는 과정을 수행해야 하기 때문에 처리 시간이 늘어난다.
본 발명의 목적은 상술한 바와 같은 문제점을 해결하기 위한 것으로서, IPSec 설정정보 테이블과 IPSec 세션정보 테이블을 이용하여 정상적인 IPSec 설정 및 통신 단계 패킷의 정보를 저장한 후, 비정상적인 IPSec 설정 및 통신 단계 패킷이 전달되었을 때 차단하는 IPSec 설정정보와 세션정보를 이용한 비정상 IPSec 트래픽 제어 시스템 및 그 제어 방법을 제공하는 것이다.
본 발명의 다른 목적은 IPSec 패킷의 ESP 확장헤더에 의해 암호화된 패킷의 비정상 여부를 사전에 확인함으로써 성능향상을 가질 수 있는 IPSec 설정정보와 세션정보를 이용한 비정상 IPSec 트래픽 제어 시스템 및 그 제어 방법을 제공하는 것이다.
본 발명의 다른 목적은 현재의 침임탐지시스템 또는 유해 패킷 제어시스템이 암호화된 IPSec 패킷을 처리하지 못하는 문제점을 해결하고 IPSec 패킷을 처리하기 위해 키를 교환하는 방법의 부하를 줄임으로써 침입방지시스템 및 유해한 패킷 제어시스템 개발 분야에 적용/응용 가능하며 비정상적인 IPSec통신단계패킷뿐만 아니라 비정상적인 IPSec설정단계패킷까지 효과적으로 제어할 수 있는 IPSec 설정정보와 세션정보를 이용한 비정상 IPSec 트래픽 제어 시스템 및 그 제어 방법을 제공하 는 것이다.
상기 목적을 달성하기 위해 본 발명에 따른 IPSec 설정정보와 세션정보를 이용한 비정상 IPSec 트래픽 제어 시스템은 IPSec(Internet Protocol Security) 통신상의 트래픽(Traffic)을 제어하는 시스템에 있어서, IPSec 패킷(Packet)을 수신하여 IPSec설정단계패킷과 IPSec통신단계패킷으로 구분하고 트래픽 제어에 이용될 각각의 정보를 추출하는 확장헤더처리수단, IPSec 설정정보를 관리하는 IPSec 설정DB부를 구비하고 상기 IPSec설정단계패킷에서 추출된 정보를 수신하여 상기 IPSec 설정DB부에 저장된 정보와 비교하고 상기 IPSec 패킷의 통과여부를 판단하는 IPSec설정단계패킷확인수단, IPSec 세션정보를 관리하는 IPSec 세션DB부를 구비하고 상기 IPSec 통신단계패킷에서 추출된 정보를 수신하여 상기 IPSec 세션DB부에 저장된 정보와 비교하고 상기 IPSec 패킷의 통과여부를 판단하는 IPSec통신단계패킷확인수단, 상기 IPSec설정단계패킷확인수단 또는 상기 IPSec통신단계패킷확인수단에서 판단되는 결과에 따라 상기 IPSec 패킷을 통과 또는 차단시키는 제어수단을 포함하는 것을 특징으로 한다.
또, 본 발명에 따른 IPSec 설정정보와 세션정보를 이용한 비정상 IPSec 트래픽 제어 시스템에 있어서, 상기 확장헤더처리수단은 상기 IPSec 패킷을 확장헤더부와 네트워크계층헤더부로 분류하여 처리하는 것을 특징으로 한다.
또, 본 발명에 따른 IPSec 설정정보와 세션정보를 이용한 비정상 IPSec 트래픽 제어 시스템에 있어서, 상기 확장헤더처리수단은 상기 확장헤더부에서 상기 IPSec통신단계패킷을 분류하고, 상기 IPSec통신단계패킷확인수단에서 사용할 정보를 상기 IPSec통신단계패킷의 ESP(Encapsulating Security Payload) 확장헤더부에서 추출하는 것을 특징으로 한다.
또, 본 발명에 따른 IPSec 설정정보와 세션정보를 이용한 비정상 IPSec 트래픽 제어 시스템에 있어서, 상기 ESP 확장헤더부가 존재하지 않는 경우, 상기 확장헤더처리수단이 상기 네트워크계층헤더부에서 상기 IPSec설정단계패킷을 분류하고, 상기 IPSec설정단계패킷확인수단에서 사용할 정보를 상기 IPSec설정단계패킷의 ISAKMP(Internet Security Association & Key Management Protocol)에서 추출하는 것을 특징으로 한다.
또, 본 발명에 따른 IPSec 설정정보와 세션정보를 이용한 비정상 IPSec 트래픽 제어 시스템에 있어서, 상기 IPSec설정단계패킷확인수단은 상기 ISAKMP에서 추출된 정보가 상기 IPSec 설정DB부에 저장되어 있고 IPSec 설정규칙에 준수하는 것으로 판단되는 경우, 상기 IPSec 설정DB부에 저장된 정보를 상기 ISAKMP에서 추출된 정보로 갱신하고 상기 제어수단으로 패킷통과정보를 반환하는 것을 특징으로 한다.
또, 본 발명에 따른 IPSec 설정정보와 세션정보를 이용한 비정상 IPSec 트래픽 제어 시스템에 있어서, 상기 IPSec설정단계패킷확인수단은 상기 ISAKMP에서 추출된 정보가 상기 IPSec 설정DB부에 저장되어 있고 IPSec 설정규칙에 준수하지 않는 것으로 판단되는 경우, 상기 제어수단으로 패킷차단정보를 반환하는 것을 특징으로 한다.
또, 본 발명에 따른 IPSec 설정정보와 세션정보를 이용한 비정상 IPSec 트래픽 제어 시스템에 있어서, 상기 IPSec설정단계패킷확인수단은 상기 ISAKMP에서 추출된 정보가 상기 IPSec 설정DB부에 저장되어 있지 않고 상기 IPSec설정단계패킷이 IPSec 설정초기모드가 아닌 것으로 판단되는 경우, 상기 제어수단으로 패킷차단정보를 반환하는 것을 특징으로 한다.
또, 본 발명에 따른 IPSec 설정정보와 세션정보를 이용한 비정상 IPSec 트래픽 제어 시스템에 있어서, 상기 IPSec설정단계패킷확인수단은 상기 ISAKMP에서 추출된 정보가 상기 IPSec 설정DB부에 저장되어 있지 않고 상기 IPSec설정단계패킷이 IPSec 설정초기모드인 것으로 판단되는 경우, 상기 IPSec 설정DB부에 상기 IPSec 설정정보 테이블을 생성하고 상기 제어수단으로 패킷통과정보를 반환하는 것을 특징으로 한다.
또, 본 발명에 따른 IPSec 설정정보와 세션정보를 이용한 비정상 IPSec 트래픽 제어 시스템에 있어서, 상기 IPSec 설정정보는 상기 IPSec설정단계패킷의 IP 헤더부에 존재하는 출발지/도착지 IP 주소 정보, 상기 ISAKMP에 존재하는 통신모드(Exchange Type) 정보, 상기 IPSec설정단계패킷이 전달된 횟수 정보 중 어느 하나를 포함하는 것을 특징으로 한다.
또, 본 발명에 따른 IPSec 설정정보와 세션정보를 이용한 비정상 IPSec 트래픽 제어 시스템에 있어서, 상기 IPSec통신단계패킷확인수단은 상기 ESP 확장헤더부에서 추출된 정보가 상기 IPSec 세션DB부에 저장되어 있는 것으로 판단되는 경우, 상기 IPSec 세션DB부에 저장된 정보를 상기 ESP 확장헤더부에서 추출된 정보로 갱 신하고 상기 제어수단으로 패킷통과정보를 반환하는 것을 특징으로 한다.
또, 본 발명에 따른 IPSec 설정정보와 세션정보를 이용한 비정상 IPSec 트래픽 제어 시스템에 있어서, 상기 IPSec통신단계패킷확인수단은 상기 ESP 확장헤더부에서 추출된 정보가 상기 IPSec 세션DB부에 저장되어 있지 않고 첫번째 IPSec 통신단계패킷이 아니거나 첫번째 IPSec 통신단계패킷이되 상기 IPSec설정단계패킷확인수단을 이용하여 IPSec 설정단계의 수행이 완료되지 않은 것으로 판단되는 경우, 상기 제어수단으로 패킷차단정보를 반환하는 것을 특징으로 한다.
또, 본 발명에 따른 IPSec 설정정보와 세션정보를 이용한 비정상 IPSec 트래픽 제어 시스템에 있어서, 상기 IPSec통신단계패킷확인수단은 상기 ESP 확장헤더부에서 추출된 정보가 상기 IPSec 세션DB부에 저장되어 있지 않고 첫번째 IPSec 통신단계패킷이며 상기 IPSec설정단계패킷확인수단을 이용하여 IPSec 설정단계의 수행이 완료된 것으로 판단되는 경우, 상기 IPSec 세션DB부에 상기 IPSec 세션정보 테이블을 생성하고 상기 제어수단으로 패킷통과정보를 반환하는 것을 특징으로 한다.
또, 본 발명에 따른 IPSec 설정정보와 세션정보를 이용한 비정상 IPSec 트래픽 제어 시스템에 있어서, 상기 IPSec 세션정보는 상기 IPSec 패킷의 IP 헤더부와 상기 ESP 확장헤더부에 존재하는 출발지/도착지 IP 주소 정보, SPI(Security Parameter Index) 정보, 시퀀스 넘버(Sequence Number) 정보 중 어느 하나를 포함하는 것을 특징으로 한다.
또, 상기 목적을 달성하기 위해 본 발명에 따른 IPSec 설정정보와 세션정보를 이용한 비정상 IPSec 트래픽 제어 방법은 IPSec 패킷을 수신하여 제어에 이용될 정보를 추출하는 확장헤더처리수단, IPSec 설정정보를 관리하는 IPSec 설정DB부를 구비하고 상기 IPSec 패킷의 통과여부를 판단하는 IPSec설정단계패킷확인수단, IPSec 세션정보를 관리하는 IPSec 세션DB부를 구비하고 상기 IPSec 패킷의 통과여부를 판단하는 IPSec통신단계패킷확인수단, 상기 IPSec 패킷을 통과 또는 차단시키는 제어수단을 포함하는 IPSec 트래픽 제어 시스템으로 IPSec 통신상의 트래픽을 제어하는 방법에 있어서, 상기 확장헤더처리수단이 IPSec 패킷을 수신하는 단계, 상기 확장헤더처리수단이 상기 IPSec 패킷을 확장헤더부와 네트워크계층헤더부로 분류하는 단계, 상기 확장헤더처리수단이 상기 확장헤더부에 ESP 확장헤더부가 존재하는지의 여부를 판단하는 단계, 상기 판단하는 단계에서 상기 ESP 확장헤더부가 존재하지 않는다고 판단되는 경우 상기 확장헤더처리수단이 상기 네트워크계층헤더부에서 정보를 추출하여 상기 IPSec설정단계패킷확인수단으로 전송하는 단계, 상기 판단하는 단계에서 상기 ESP 확장헤더부가 존재한다고 판단되는 경우 상기 확장헤더처리수단이 상기 확장헤더부에서 정보를 추출하여 상기 IPSec통신단계패킷확인수단으로 전송하는 단계, 상기 IPSec설정단계패킷확인수단이 상기 네트워크계층헤더부에서 추출된 정보를 수신하여 상기 IPSec 설정DB부에 저장된 IPSec 설정정보와 비교하고 상기 IPSec 패킷의 통과여부를 판단하는 단계, 상기 IPSec통신단계패킷확인수단이 상기 확장헤더부에서 추출된 정보를 수신하여 상기 IPSec 세션DB부에 저장된 IPSec 세션정보와 비교하고 상기 IPSec 패킷의 통과여부를 판단하는 단계, 상기 제어수단이 상기 IPSec설정단계패킷확인수단 또는 상기 IPSec통신단계패킷확인수단에서 판단되는 결과에 따라 상기 IPSec 패킷을 통과 또는 차단시키는 단계를 포함하는 것을 특징으로 한다.
또, 본 발명에 따른 IPSec 설정정보와 세션정보를 이용한 비정상 IPSec 트래픽 제어 방법에 있어서, 상기 IPSec설정단계패킷확인수단으로 전송하는 단계는 상기 확장헤더처리수단이 상기 네트워크계층헤더부에서 상기 IPSec설정단계패킷을 분류하는 단계, 상기 IPSec설정단계패킷확인수단에서 사용할 정보를 상기 IPSec설정단계패킷의 ISAKMP에서 추출하는 단계, 추출된 정보를 상기 IPSec설정단계패킷확인수단으로 전송하는 단계를 포함하는 것을 특징으로 한다.
또, 본 발명에 따른 IPSec 설정정보와 세션정보를 이용한 비정상 IPSec 트래픽 제어 방법에 있어서, 상기 IPSec통신단계패킷확인수단으로 전송하는 단계는 상기 확장헤더처리수단이 상기 확장헤더부에서 상기 IPSec통신단계패킷을 분류하는 단계, 상기 IPSec통신단계패킷확인수단에서 사용할 정보를 상기 IPSec설정단계패킷의 상기 ESP 확장헤더부에서 추출하는 단계, 추출된 정보를 상기 IPSec통신단계패킷확인수단으로 전송하는 단계를 포함하는 것을 특징으로 한다.
또, 본 발명에 따른 IPSec 설정정보와 세션정보를 이용한 비정상 IPSec 트래픽 제어 방법에 있어서, 상기 IPSec설정단계패킷확인수단이 판단하는 단계는 상기 IPSec설정단계패킷확인수단이 상기 ISAKMP에서 추출된 정보를 수신하는 단계, 상기 ISAKMP에서 추출된 정보가 상기 IPSec 설정DB부에 저장되어 있는지 여부를 판단하는 단계, 저장되어 있다면 상기 ISAKMP에서 추출된 정보가 IPSec 설정규칙에 준수하는지 여부를 판단하는 단계, 저장되어 있지 않다면 상기 IPSec설정단계패킷이 IPSec 설정초기모드인지 여부를 판단하는 단계를 포함하는 것을 특징으로 한다.
또, 본 발명에 따른 IPSec 설정정보와 세션정보를 이용한 비정상 IPSec 트래픽 제어 방법에 있어서, 상기 IPSec설정단계패킷확인수단은 상기 ISAKMP에서 추출된 정보가 상기 IPSec 설정DB부에 저장되어 있고 IPSec 설정규칙에 준수하는 것으로 판단되는 경우, 상기 IPSec 설정DB부에 저장된 정보를 상기 ISAKMP에서 추출된 정보로 갱신하고 상기 제어수단으로 패킷통과정보를 반환하는 것을 특징으로 한다.
또, 본 발명에 따른 IPSec 설정정보와 세션정보를 이용한 비정상 IPSec 트래픽 제어 방법에 있어서, 상기 IPSec설정단계패킷확인수단은 상기 ISAKMP에서 추출된 정보가 상기 IPSec 설정DB부에 저장되어 있고 IPSec 설정규칙에 준수하지 않는 것으로 판단되는 경우, 상기 제어수단으로 패킷차단정보를 반환하는 것을 특징으로 한다.
또, 본 발명에 따른 IPSec 설정정보와 세션정보를 이용한 비정상 IPSec 트래픽 제어 방법에 있어서, 상기 IPSec설정단계패킷확인수단은 상기 ISAKMP에서 추출된 정보가 상기 IPSec 설정DB부에 저장되어 있지 않고 상기 IPSec설정단계패킷이 IPSec 설정초기모드가 아닌 것으로 판단되는 경우, 상기 제어수단으로 패킷차단정보를 반환하는 것을 특징으로 한다.
또, 본 발명에 따른 IPSec 설정정보와 세션정보를 이용한 비정상 IPSec 트래픽 제어 방법에 있어서, 상기 IPSec설정단계패킷확인수단은 상기 ISAKMP에서 추출된 정보가 상기 IPSec 설정DB부에 저장되어 있지 않고 상기 IPSec설정단계패킷이 IPSec 설정초기모드인 것으로 판단되는 경우, 상기 IPSec 설정DB부에 상기 IPSec 설정정보 테이블을 생성하고 상기 제어수단으로 패킷통과정보를 반환하는 것을 특 징으로 한다.
또, 본 발명에 따른 IPSec 설정정보와 세션정보를 이용한 비정상 IPSec 트래픽 제어 방법에 있어서, 상기 IPSec 설정정보는 상기 IPSec설정단계패킷의 IP 헤더부에 존재하는 출발지/도착지 IP 주소 정보, 상기 ISAKMP에 존재하는 통신모드 정보, 상기 IPSec설정단계패킷이 전달된 횟수 정보 중 어느 하나를 포함하는 것을 특징으로 한다.
또, 본 발명에 따른 IPSec 설정정보와 세션정보를 이용한 비정상 IPSec 트래픽 제어 방법에 있어서, 상기 IPSec통신단계패킷확인수단이 판단하는 단계는 상기 IPSec통신단계패킷확인수단이 상기 확장헤더부에서 추출된 정보를 수신하는 단계, 상기 확장헤더부에서 추출된 정보가 상기 IPSec 세션DB부에 저장되어 있는지 여부를 판단하는 단계, 저장되어 있지 않다면 상기 확장헤더부에서 추출된 정보가 첫번째 IPSec 통신단계패킷인지 여부를 판단하는 단계, 첫번째 IPSec 통신단계패킷이라면 상기 IPSec설정단계패킷확인수단을 이용하여 IPSec 설정단계의 수행이 완료되었는지 여부를 판단하는 단계를 포함하는 것을 특징으로 한다.
또, 본 발명에 따른 IPSec 설정정보와 세션정보를 이용한 비정상 IPSec 트래픽 제어 방법에 있어서, 상기 IPSec통신단계패킷확인수단은 상기 ESP 확장헤더부에서 추출된 정보가 상기 IPSec 세션DB부에 저장되어 있는 것으로 판단되는 경우, 상기 IPSec 세션DB부에 저장된 정보를 상기 ESP 확장헤더부에서 추출된 정보로 갱신하고 상기 제어수단으로 패킷통과정보를 반환하는 것을 특징으로 한다.
또, 본 발명에 따른 IPSec 설정정보와 세션정보를 이용한 비정상 IPSec 트래 픽 제어 방법에 있어서, 상기 IPSec통신단계패킷확인수단은 상기 ESP 확장헤더부에서 추출된 정보가 상기 IPSec 세션DB부에 저장되어 있지 않고 첫번째 IPSec 통신단계패킷이 아니거나 첫번째 IPSec 통신단계패킷이되 상기 IPSec설정단계패킷확인수단을 이용하여 IPSec 설정단계의 수행이 완료되지 않은 것으로 판단되는 경우, 상기 제어수단으로 패킷차단정보를 반환하는 것을 특징으로 한다.
또, 본 발명에 따른 IPSec 설정정보와 세션정보를 이용한 비정상 IPSec 트래픽 제어 방법에 있어서, 상기 IPSec통신단계패킷확인수단은 상기 ESP 확장헤더부에서 추출된 정보가 상기 IPSec 세션DB부에 저장되어 있지 않고 첫번째 IPSec 통신단계패킷이며 상기 IPSec설정단계패킷확인수단을 이용하여 IPSec 설정단계의 수행이 완료된 것으로 판단되는 경우, 상기 IPSec 세션DB부에 상기 IPSec 세션정보 테이블을 생성하고 상기 제어수단으로 패킷통과정보를 반환하는 것을 특징으로 한다.
또, 본 발명에 따른 IPSec 설정정보와 세션정보를 이용한 비정상 IPSec 트래픽 제어 방법에 있어서, 상기 IPSec 세션정보는 상기 IPSec 패킷의 IP 헤더부와 상기 ESP 확장헤더부에 존재하는 출발지/도착지 IP 주소 정보, SPI 정보, 시퀀스 넘버 정보 중 어느 하나를 포함하는 것을 특징으로 한다.
본 발명은 ESP 헤더가 적용된 IPSec 기술을 이용하여 비밀 통신의 수행 시에 정상적인 IPSec설정단계패킷이 전달되면 IPSec 설정정보 테이블에 저장하고, 비정상적인 IPSec설정단계패킷이 전달되면 IPSec 설정정보 테이블과 IPSec 설정 단계 패킷 규칙을 참조하여 차단하고, 초기의 IPSec통신단계패킷이 전달되면 IPSec 설정 정보 테이블을 참조하여 정상적인 IPSec통신단계패킷인지 확인하고 IPSec 세션정보 테이블을 생성한 후, 비정상적인 IPSec통신단계패킷이 전달되면 이 IPSec 세션정보 테이블을 참조하여 차단시키는 방법에 관한 것이다.
이하, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있을 정도로 상세히 설명하기 위하여, 본 발명의 가장 바람직한 실시 예를 첨부한 도면을 참조하여 상세하게 설명한다. 또한, 본 발명을 설명하는데 있어서 동일 부분은 동일 부호를 붙이고, 그 반복 설명은 생략한다.
본 발명에 따른 IPSec 설정정보와 세션정보를 이용한 비정상 IPSec 트래픽 제어 시스템에 대해 도 2 내지 도 4에 따라 설명한다.
도 2는 본 발명의 일실시예에 따른 IPSec 설정정보와 세션정보를 이용한 비정상 IPSec 트래픽 제어 시스템을 도시한 블록도이다.
도 2에서 도시한 바와 같이, 본 발명에 따른 IPSec 설정정보와 세션정보를 이용한 비정상 IPSec 트래픽 제어 시스템(100)은 IPSec 패킷(Packet)을 수신하여 IPSec설정단계패킷과 IPSec통신단계패킷으로 구분하고 트래픽 제어에 이용될 각각의 정보를 추출하는 확장헤더처리수단(10), IPSec설정단계패킷에서 추출된 정보를 수신하여 확장헤더처리수단(10)으로 수신된 IPSec 패킷의 통과여부를 판단하는 IPSec설정단계패킷확인수단(20), IPSec 통신단계패킷에서 추출된 정보를 수신하여 확장헤더처리수단(10)으로 수신된 IPSec 패킷의 통과여부를 판단하는 IPSec통신단 계패킷확인수단(30), IPSec설정단계패킷확인수단(20) 또는 IPSec통신단계패킷확인수단(30)에서 판단되는 결과에 따라 확장헤더처리수단(10)으로 수신된 IPSec 패킷을 통과 또는 차단시키는 제어수단(40)을 구비한다.
도 2에 도시된 IPSec설정단계패킷확인수단(20)은 IPSec 세션설정정보(이하 '설정정보'라 한다)를 관리하는 IPSec 설정DB부(21)를 구비하고, IPSec설정단계패킷에서 추출된 정보를 IPSec 설정DB부(21)에 저장된 정보와 비교하여 패킷의 통과여부를 판단한다. 또, IPSec통신단계패킷확인수단(30) 역시 IPSec 세션정보를 관리하는 IPSec 세션DB부(31)를 구비하고, IPSec 통신단계패킷에서 추출된 정보를 IPSec 세션DB부(31)에 저장된 정보와 비교하여 패킷의 통과여부를 판단한다.
본 발명에서 이용되는 IPSec설정단계패킷과 IPSec통신단계패킷은 각각 세션설정 단계와 통신 단계에서의 패킷을 말한다. 세션설정 단계와 통신 단계는 IPSec 통신에서 공격이 많이 발생할 수 있는 두 시점으로서, 본 분야에서 통상으로 사용되는 공지 기술이므로 구체적 설시는 생략한다.
또, 확장헤더처리수단(10)은 IPSec 패킷을 확장헤더부와 네트워크계층헤더부로 분류하여 처리하는데, 확장헤더부에서 IPSec통신단계패킷을 분류하고, 네트워크계층헤더부에서 IPSec설정단계패킷을 분류한다. 이는 ESP 확장헤더부의 존재 여부에 따라 분류한다.
분류된 IPSec통신단계패킷은 IPSec통신단계패킷확인수단(30)에 이용된다. 즉, 확장헤더처리수단(10)이 IPSec통신단계패킷확인수단(30)에서 사용할 정보를 IPSec통신단계패킷의 ESP 확장헤더부에서 추출한다. 반면, 분류된 IPSec설정단계패 킷은 IPSec설정단계패킷확인수단(20)에 이용되는 이는 ESP 확장헤더부가 존재하지 않는 경우이다. 즉, ESP 확장헤더부가 존재하지 않는 경우, 확장헤더처리수단(10)이 IPSec설정단계패킷확인수단(20)에서 사용할 정보를 IPSec설정단계패킷의 ISAKMP(Internet Security Association & Key Management Protocol)에서 추출한다.
도 3은 본 발명의 일실시예에 따른 IPSec 세션정보 테이블을 도시한 도면이다.
IPSec 세션DB부(31)에는 IPSec 세션정보가 저장되어 있으며, 도 3에서 도시한 바와 같이 테이블의 형태로 저장된다. IPSec 세션DB부(31)는 보안 시스템에서 비정상 IPSec 트래픽을 차단하기 위해 IPSec 세션정보를 관리하며, 정상 IPSec 세션이 공격으로 탐지되지 않도록 하고, IPSec 기술을 악용한 트래픽에 대응하기 위해 사용된다. IPSec 세션정보는 IPSec 패킷의 IP 헤더부와 ESP 확장헤더부에 존재하는 출발지/도착지 IP 주소 정보, SPI(Security Parameter Index) 정보, 시퀀스 넘버(Sequence Number) 정보를 이용하여 생성 및 갱신되고, 관리자가 직접 삭제한다.
도 4는 본 발명의 일실시예에 따른 IPSec 설정정보 테이블을 도시한 도면이다.
IPSec 설정DB부(21)에는 IPSec 설정정보가 저장되어 있으며, 이는 도 4에서 도시한 바와 같이 테이블의 형태로 저장된다. IPSec 설정DB부(21)는 IPSec 세션DB 부(31)의 신뢰도를 높이기 위한 용도로 사용하기 위하여 IPSec 세션설정정보를 관리한다. IPSec 설정정보는 IPSec 설정단계패킷의 IP 헤더부에 존재하는 출발지/도착지 IP 주소 정보, 상위 프로토콜의 ISAKMP에 존재하는 통신모드(Exchange Type) 정보, IPSec 설정단계패킷이 전달된 횟수 정보를 이용하여 생성 및 갱신되고, 보안 정책에 의해 설정된 타임아웃을 초과하는 경우에 삭제된다. IPSec 설정DB부(21)에서 정상적으로 설정단계를 완료한 세션만이 IPSec 세션DB부(31)에 추가되기 때문에 IPSec 세션DB부(31)의 신뢰도를 높일 수 있다.
다음에 본 발명에 따른 IPSec 설정정보와 세션정보를 이용한 비정상 IPSec 트래픽 제어 방법에 대해 도 5 내지 도 7에 따라 설명한다.
도 5는 본 발명의 일실시예에 따른 IPSec 설정정보와 세션정보를 이용한 비정상 IPSec 트래픽 제어 방법을 설명하는 흐름도이다.
도 5에서 도시한 바와 같이, 먼저 확장헤더처리수단(10)이 IPSec 패킷을 수신한다(ST1000). 다음으로, 확장헤더처리수단(10)이 IPSec 패킷을 확장헤더부와 네트워크계층헤더부로 분류하고(ST2000), 확장헤더처리수단(10)이 확장헤더부에 ESP 확장헤더부가 존재하는지의 여부를 판단한다(ST3000). ST3000 단계에서 ESP 확장헤더부가 존재하지 않는다고 판단되는 경우에는 확장헤더처리수단(10)이 네트워크계층헤더부에서 정보를 추출하여 IPSec설정단계패킷확인수단(20)으로 전송한다(ST4000). ST4000 단계를 구체적으로 설명하면 다음과 같다. 우선, 확장헤더처리수단(10)이 네트워크계층헤더부에서 UDP 프로토콜을 확인하고 UDP 프로토콜의 포트 번호 500번(ISAKMP 프로토콜)을 확인하여 IPSec설정단계패킷을 분류한다. 다음으로, IPSec설정단계패킷확인수단(20)에서 사용할 정보를 IPSec설정단계패킷의 ISAKMP에서 추출하고, 추출된 정보를 IPSec설정단계패킷확인수단(20)으로 전송한다.
반면, ST3000 단계에서 ESP 확장헤더부가 존재한다고 판단되는 경우에는 확장헤더처리수단(10)이 확장헤더부에서 정보를 추출하여 IPSec통신단계패킷확인수단(30)으로 전송한다(ST5000). 하나의 패킷 안에는 확장헤더부가 여러 개 존재할 수 있기 때문에 IPSec통신단계패킷을 분류하기 위해 반복적으로 확장헤더부를 확인한다. ST5000 단계를 구체적으로 설명하면 다음과 같다. 우선, 확장헤더처리수단(10)이 확장헤더부에서 IPSec통신단계패킷을 분류한다. 다음으로, IPSec통신단계패킷확인수단(30)에서 사용할 정보를 IPSec설정단계패킷의 ESP 확장헤더부에서 추출하고, 추출된 정보를 IPSec통신단계패킷확인수단(30)으로 전송한다.
IPSec설정단계패킷확인수단(20)은 네트워크계층헤더부에서 추출된 정보를 수신하여 IPSec 설정DB부(21)에 저장된 IPSec 설정정보와 비교하고 IPSec 패킷의 통과여부를 판단한다(ST6000). IPSec통신단계패킷확인수단(30) 역시 확장헤더부에서 추출된 정보를 수신하여 IPSec 세션DB부(31)에 저장된 IPSec 세션정보와 비교하고 IPSec 패킷의 통과여부를 판단한다(ST7000). ST7000 단계는 ST6000 단계가 끝난 트래픽에 대해서만 수행된다.
마지막으로, IPSec설정단계패킷확인수단(20)와 IPSec통신단계패킷확인수단(30)에서의 판단이 완료되면 판단 결과가 제어수단(40)으로 전송되고, 제어수 단(40)은 판단 결과에 따라 IPSec 패킷을 통과 또는 차단시킨다(ST8000).
도 6은 본 발명의 일실시예에 따른 IPSec설정단계패킷확인수단의 판단단계를 설명하는 도면이다.
IPSec설정단계패킷확인수단(20)으로 전달된 ISAKMP에서 추출된 정보는 IPSec 설정DB부(21)에서의 IPSec 설정정보 테이블의 생성 및 비정상적인 IPSec설정단계패킷의 판별시에 필요한 정보로써, 이 정보를 이용하여 생성된 IPSec 설정정보 테이블은 2가지 용도로 사용된다. 첫번째로 IPSec통신단계패킷확인수단(30)에서 IPSec 설정정보 테이블을 생성할 때 IPSec 설정단계의 수행이 무사히 완료되었는지의 여부를 확인하기 위해 참조되는 용도로 사용되고, 두번째로 비정상적인 IPSec설정단계 패킷을 차단하기 위해 사용된다. 비정상적인 IPSec설정단계패킷을 차단하기 위해서 각각의 IPSec 설정단계에 따른 규칙을 각각의 IKE 방법에 따라 생성한다.
도 6에서 도시한 바와 같이, ST6000 단계의 구체적인 설명은 다음과 같다. 우선, IPSec설정단계패킷확인수단(20)이 ISAKMP에서 추출된 정보를 수신하고(ST6100), ISAKMP에서 추출된 정보가 IPSec 설정DB부(21)에 저장되어 있는지 여부를 판단한다(ST6200). ST6200 단계에서 저장되어 있다고 판단되면 IPSec설정단계패킷확인수단(20)은 ISAKMP에서 추출된 정보가 IPSec 설정규칙에 준수하는지 여부를 판단한다(ST6300). ST6300 단계에서 IPSec 설정규칙에 준수하는 것으로 판단되면 IPSec설정단계패킷확인수단(20)은 IPSec 설정DB부(21)에 저장된 정보를 ISAKMP에서 추출된 정보로 갱신하고(ST6310), 제어수단(40)으로 패킷통과정보를 반환한 다(ST6500). 그러나, ST6300 단계에서 IPSec 설정규칙에 준수하지 않는 것으로 판단되면, IPSec설정단계패킷확인수단(20)은 제어수단(40)으로 패킷차단정보를 반환한다(ST6600).
반면, ST6200 단계에서 저장되어 있지 않다고 판단되면 IPSec설정단계패킷확인수단(20)은 IPSec설정단계패킷이 IPSec 설정초기모드인지 여부를 다시 판단한다(ST6400). ST4000 단계에서 IPSec설정단계패킷이 IPSec 설정초기모드가 아닌 것으로 판단되면 IPSec설정단계패킷확인수단(20)은 제어수단(40)으로 패킷차단정보를 반환한다(ST6600). 그러나, IPSec설정단계패킷이 IPSec 설정초기모드인 것으로 판단되면, IPSec설정단계패킷확인수단(20)은 IPSec 설정단계패킷의 IP 헤더부에 존재하는 출발지/도착지 IP 주소 정보, 상위 프로토콜의 ISAKMP에 존재하는 통신모드(Exchange Type) 정보, IPSec 설정단계패킷이 전달된 횟수 정보를 이용하여 IPSec 설정DB부(21)에 IPSec 설정정보 테이블을 생성하고(ST6410), 제어수단(40)으로 패킷통과정보를 반환한다(ST6500).
도 7은 본 발명의 일실시예에 따른 IPSec통신단계패킷확인수단의 판단단계를 설명하는 도면이다.
IPSec통신단계패킷확인수단(30)으로 전달된 확장헤더부에서 추출된 정보는 IPSec 세션DB부(31)에서의 IPSec 세션정보 테이블의 생성 및 비정상적인 IPSec 통신단계패킷의 판별시에 필요한 정보이다.
도 7에서 도시한 바와 같이, ST7000 단계의 구체적인 설명은 다음과 같다.
우선, IPSec통신단계패킷확인수단(30)이 확장헤더부에서 추출된 정보를 수신하고(ST7100), 확장헤더부에서 추출된 정보가 IPSec 세션DB부(31)에 저장되어 있는지 여부를 판단한다(ST7200). ST7200 단계에서 ESP 확장헤더부에서 추출된 정보가 IPSec 세션DB부(31)에 저장되어 있는 것으로 판단되면, IPSec통신단계패킷확인수단(30)은 IPSec 세션DB부(31)에 저장된 정보를 ESP 확장헤더부에서 추출된 정보로 갱신하고(ST7210) 제어수단(40)으로 패킷통과정보를 반환한다(ST7500).
반면, ST7200 단계에서 저장되어 있지 않은 것으로 판단되면 IPSec통신단계패킷확인수단(30)은 확장헤더부에서 추출된 정보가 첫번째 IPSec 통신단계패킷인지 여부를 다시 판단한다(ST7300). ST7300 단계에서 첫번째 IPSec 통신단계패킷이라고 판단되면 IPSec설정단계패킷확인수단(20)을 이용하여 IPSec 설정단계의 수행이 완료되었는지 여부를 판단한다(ST7400). ST7400 단계에서 IPSec설정단계패킷확인수단(20)을 이용하여 IPSec 설정단계의 수행이 완료된 것으로 판단되면, IPSec통신단계패킷확인수단(30)은 IPSec 패킷의 IP 헤더부와 ESP 확장헤더부에 존재하는 출발지/도착지 IP 주소 정보, SPI 정보, 시퀀스 넘버 정보를 이용하여 IPSec 세션DB부(31)에 IPSec 세션정보 테이블을 생성하고(ST7410), 제어수단(40)으로 패킷통과정보를 반환한다(ST7500). 그러나, ST7400 단계에서 IPSec설정단계패킷확인수단(20)을 이용하여 IPSec 설정단계의 수행이 완료되지 않았거나, ST7300 단계에서 첫번째 IPSec 통신단계패킷이 아닌 것으로 판단되면, IPSec통신단계패킷확인수단(30)은 제어수단(40)으로 패킷차단정보를 반환한다(ST7600).
향후 IPv4 프로토콜을 대체할 IPv6 프로토콜에서 기본으로 제공되는 보안 메커니즘인 IPSec에 대한 관심이 높아지고 있으며, 많은 기업에서 다양한 기술이 적용된 시스템을 연구, 개발 중에 있으므로 본 발명은 시장성이 매우 높다고 볼 수 있다. 또, 침입방지시스템(IPS) 및 유해한 네트워크트래픽 제어시스템, 방화벽(Firewall) 개발 분야에도 적용 및 응용이 가능하다.
이상, 본 발명자에 의해서 이루어진 발명을 상기 실시 예에 따라 구체적으로 설명하였지만, 본 발명은 상기 실시 예에 한정되는 것은 아니고, 그 요지를 이탈하지 않는 범위에서 여러 가지로 변경 가능한 것은 물론이다.
상술한 바와 같이, 본 발명에 따른 IPSec 설정정보와 세션정보를 이용한 비정상 IPSec 트래픽 제어 시스템 및 그 제어 방법에 의하면, 정상적인 IPSec 패킷들에 대해 이들의 복호화와 암호화 과정 없이 IPSec 설정정보 테이블과 IPSec 세션정보 테이블을 이용하여 차단함으로써 시스템의 성능저하 없이 IPSec 패킷을 처리할 수 있다는 효과가 얻어진다.
또, 본 발명에 따른 IPSec 설정정보와 세션정보를 이용한 비정상 IPSec 트래픽 제어 시스템 및 그 제어 방법에 의하면, IPSec 패킷의 ESP 확장헤더에 의해 암호화된 패킷의 비정상 여부를 사전에 확인함으로써 성능향상을 가질 수 있다는 효과도 얻어진다.
또, 본 발명에 따른 IPSec 설정정보와 세션정보를 이용한 비정상 IPSec 트래 픽 제어 시스템 및 그 제어 방법에 의하면, 종래의 침입탐지시스템 또는 유해 패킷 제어 시스템이 비정상적인 IPSec 통신 패킷을 처리할 수 없는 문제점을 해결하고 IPSec 통신 패킷을 처리하기 위해 키를 교환하는 방법의 부하를 줄임으로써 성능 저하를 줄일 수 있다는 효과도 얻어진다.
또, 본 발명에 따른 IPSec 설정정보와 세션정보를 이용한 비정상 IPSec 트래픽 제어 시스템 및 그 제어 방법에 의하면, IPSec설정단계패킷확인수단을 통하여 IPSec 세션정보 테이블을 생성하고 갱신하도록 하며, 이것은 IPSec 설정단계가 끝난 트래픽만을 통과시키기 때문에 IPSec 세션정보 테이블의 신뢰도를 높일 수 있다는 효과도 얻어진다.

Claims (27)

  1. IPSec(Internet Protocol Security) 통신상의 트래픽(Traffic)을 제어하는 시스템에 있어서,
    IPSec 패킷(Packet)을 수신하여 IPSec설정단계패킷과 IPSec통신단계패킷으로 구분하고 트래픽 제어에 이용될 각각의 정보를 추출하는 확장헤더처리수단,
    IPSec 설정정보를 관리하는 IPSec 설정DB부를 구비하고 상기 IPSec설정단계패킷에서 추출된 정보를 수신하여 상기 IPSec 설정DB부에 저장된 정보와 비교하고 상기 IPSec 패킷의 통과여부를 판단하는 IPSec설정단계패킷확인수단,
    IPSec 세션정보를 관리하는 IPSec 세션DB부를 구비하고 상기 IPSec 통신단계패킷에서 추출된 정보를 수신하여 상기 IPSec 세션DB부에 저장된 정보와 비교하고 상기 IPSec 패킷의 통과여부를 판단하는 IPSec통신단계패킷확인수단,
    상기 IPSec설정단계패킷확인수단 또는 상기 IPSec통신단계패킷확인수단에서 판단되는 결과에 따라 상기 IPSec 패킷을 통과 또는 차단시키는 제어수단을 포함하는 것을 특징으로 하는 IPSec 설정정보와 세션정보를 이용한 비정상 IPSec 트래픽 제어 시스템.
  2. 제 1항에 있어서,
    상기 확장헤더처리수단은 상기 IPSec 패킷을 확장헤더부와 네트워크계층헤더부로 분류하여 처리하는 것을 특징으로 하는 IPSec 설정정보와 세션정보를 이용한 비정상 IPSec 트래픽 제어 시스템.
  3. 제 2항에 있어서,
    상기 확장헤더처리수단은 상기 확장헤더부에서 상기 IPSec통신단계패킷을 분류하고, 상기 IPSec통신단계패킷확인수단에서 사용할 정보를 상기 IPSec통신단계패킷의 ESP(Encapsulating Security Payload) 확장헤더부에서 추출하는 것을 특징으로 하는 IPSec 설정정보와 세션정보를 이용한 비정상 IPSec 트래픽 제어 시스템.
  4. 제 3항에 있어서,
    상기 ESP 확장헤더부가 존재하지 않는 경우, 상기 확장헤더처리수단이 상기 네트워크계층헤더부에서 상기 IPSec설정단계패킷을 분류하고, 상기 IPSec설정단계패킷확인수단에서 사용할 정보를 상기 IPSec설정단계패킷의 ISAKMP(Internet Security Association & Key Management Protocol)에서 추출하는 것을 특징으로 하는 IPSec 설정정보와 세션정보를 이용한 비정상 IPSec 트래픽 제어 시스템.
  5. 제 4항에 있어서,
    상기 IPSec설정단계패킷확인수단은 상기 ISAKMP에서 추출된 정보가 상기 IPSec 설정DB부에 저장되어 있고 IPSec 설정규칙에 준수하는 것으로 판단되는 경우, 상기 IPSec 설정DB부에 저장된 정보를 상기 ISAKMP에서 추출된 정보로 갱신하고 상기 제어수단으로 패킷통과정보를 반환하는 것을 특징으로 하는 IPSec 설정정 보와 세션정보를 이용한 비정상 IPSec 트래픽 제어 시스템.
  6. 제 4항에 있어서,
    상기 IPSec설정단계패킷확인수단은 상기 ISAKMP에서 추출된 정보가 상기 IPSec 설정DB부에 저장되어 있고 IPSec 설정규칙에 준수하지 않는 것으로 판단되는 경우, 상기 제어수단으로 패킷차단정보를 반환하는 것을 특징으로 하는 IPSec 설정정보와 세션정보를 이용한 비정상 IPSec 트래픽 제어 시스템.
  7. 제 4항에 있어서,
    상기 IPSec설정단계패킷확인수단은 상기 ISAKMP에서 추출된 정보가 상기 IPSec 설정DB부에 저장되어 있지 않고 상기 IPSec설정단계패킷이 IPSec 설정초기모드가 아닌 것으로 판단되는 경우, 상기 제어수단으로 패킷차단정보를 반환하는 것을 특징으로 하는 IPSec 설정정보와 세션정보를 이용한 비정상 IPSec 트래픽 제어 시스템.
  8. 제 4항에 있어서,
    상기 IPSec설정단계패킷확인수단은 상기 ISAKMP에서 추출된 정보가 상기 IPSec 설정DB부에 저장되어 있지 않고 상기 IPSec설정단계패킷이 IPSec 설정초기모드인 것으로 판단되는 경우, 상기 IPSec 설정DB부에 상기 IPSec 설정정보 테이블을 생성하고 상기 제어수단으로 패킷통과정보를 반환하는 것을 특징으로 하는 IPSec 설정정보와 세션정보를 이용한 비정상 IPSec 트래픽 제어 시스템.
  9. 제 5항 내지 제 8항 중 어느 한 항에 있어서,
    상기 IPSec 설정정보는 상기 IPSec설정단계패킷의 IP 헤더부에 존재하는 출발지/도착지 IP 주소 정보, 상기 ISAKMP에 존재하는 통신모드(Exchange Type) 정보, 상기 IPSec설정단계패킷이 전달된 횟수 정보 중 어느 하나를 포함하는 것을 특징으로 하는 IPSec 설정정보와 세션정보를 이용한 비정상 IPSec 트래픽 제어 시스템.
  10. 제 9항에 있어서,
    상기 IPSec통신단계패킷확인수단은 상기 ESP 확장헤더부에서 추출된 정보가 상기 IPSec 세션DB부에 저장되어 있는 것으로 판단되는 경우, 상기 IPSec 세션DB부에 저장된 정보를 상기 ESP 확장헤더부에서 추출된 정보로 갱신하고 상기 제어수단으로 패킷통과정보를 반환하는 것을 특징으로 하는 IPSec 설정정보와 세션정보를 이용한 비정상 IPSec 트래픽 제어 시스템.
  11. 제 9항에 있어서,
    상기 IPSec통신단계패킷확인수단은 상기 ESP 확장헤더부에서 추출된 정보가 상기 IPSec 세션DB부에 저장되어 있지 않고 첫번째 IPSec 통신단계패킷이 아니거나 첫번째 IPSec 통신단계패킷이되 상기 IPSec설정단계패킷확인수단을 이용하여 IPSec 설정단계의 수행이 완료되지 않은 것으로 판단되는 경우, 상기 제어수단으로 패킷차단정보를 반환하는 것을 특징으로 하는 IPSec 설정정보와 세션정보를 이용한 비정상 IPSec 트래픽 제어 시스템.
  12. 제 9항에 있어서,
    상기 IPSec통신단계패킷확인수단은 상기 ESP 확장헤더부에서 추출된 정보가 상기 IPSec 세션DB부에 저장되어 있지 않고 첫번째 IPSec 통신단계패킷이며 상기 IPSec설정단계패킷확인수단을 이용하여 IPSec 설정단계의 수행이 완료된 것으로 판단되는 경우, 상기 IPSec 세션DB부에 상기 IPSec 세션정보 테이블을 생성하고 상기 제어수단으로 패킷통과정보를 반환하는 것을 특징으로 하는 IPSec 설정정보와 세션정보를 이용한 비정상 IPSec 트래픽 제어 시스템.
  13. 제 12항에 있어서,
    상기 IPSec 세션정보는 상기 IPSec 패킷의 IP 헤더부와 상기 ESP 확장헤더부에 존재하는 출발지/도착지 IP 주소 정보, SPI(Security Parameter Index) 정보, 시퀀스 넘버(Sequence Number) 정보 중 어느 하나를 포함하는 것을 특징으로 하는 IPSec 설정정보와 세션정보를 이용한 비정상 IPSec 트래픽 제어 시스템.
  14. IPSec 패킷을 수신하여 제어에 이용될 정보를 추출하는 확장헤더처리수단, IPSec 설정정보를 관리하는 IPSec 설정DB부를 구비하고 상기 IPSec 패킷의 통과여 부를 판단하는 IPSec설정단계패킷확인수단, IPSec 세션정보를 관리하는 IPSec 세션DB부를 구비하고 상기 IPSec 패킷의 통과여부를 판단하는 IPSec통신단계패킷확인수단, 상기 IPSec 패킷을 통과 또는 차단시키는 제어수단을 포함하는 IPSec 트래픽 제어 시스템으로 IPSec 통신상의 트래픽을 제어하는 방법에 있어서,
    상기 확장헤더처리수단이 IPSec 패킷을 수신하는 단계,
    상기 확장헤더처리수단이 상기 IPSec 패킷을 확장헤더부와 네트워크계층헤더부로 분류하는 단계,
    상기 확장헤더처리수단이 상기 확장헤더부에 ESP 확장헤더부가 존재하는지의 여부를 판단하는 단계,
    상기 판단하는 단계에서 상기 ESP 확장헤더부가 존재하지 않는다고 판단되는 경우 상기 확장헤더처리수단이 상기 네트워크계층헤더부에서 정보를 추출하여 상기 IPSec설정단계패킷확인수단으로 전송하는 단계,
    상기 판단하는 단계에서 상기 ESP 확장헤더부가 존재한다고 판단되는 경우 상기 확장헤더처리수단이 상기 확장헤더부에서 정보를 추출하여 상기 IPSec통신단계패킷확인수단으로 전송하는 단계,
    상기 IPSec설정단계패킷확인수단이 상기 네트워크계층헤더부에서 추출된 정보를 수신하여 상기 IPSec 설정DB부에 저장된 IPSec 설정정보와 비교하고 상기 IPSec 패킷의 통과여부를 판단하는 단계,
    상기 IPSec통신단계패킷확인수단이 상기 확장헤더부에서 추출된 정보를 수신하여 상기 IPSec 세션DB부에 저장된 IPSec 세션정보와 비교하고 상기 IPSec 패킷의 통과여부를 판단하는 단계,
    상기 제어수단이 상기 IPSec설정단계패킷확인수단 또는 상기 IPSec통신단계패킷확인수단에서 판단되는 결과에 따라 상기 IPSec 패킷을 통과 또는 차단시키는 단계를 포함하는 것을 특징으로 하는 IPSec 설정정보와 세션정보를 이용한 비정상 IPSec 트래픽 제어 방법.
  15. 제 14항에 있어서,
    상기 IPSec설정단계패킷확인수단으로 전송하는 단계는
    상기 확장헤더처리수단이 상기 네트워크계층헤더부에서 상기 IPSec설정단계패킷을 분류하는 단계,
    상기 IPSec설정단계패킷확인수단에서 사용할 정보를 상기 IPSec설정단계패킷의 ISAKMP에서 추출하는 단계,
    추출된 정보를 상기 IPSec설정단계패킷확인수단으로 전송하는 단계를 포함하는 것을 특징으로 하는 IPSec 설정정보와 세션정보를 이용한 비정상 IPSec 트래픽 제어 방법.
  16. 제 15항에 있어서,
    상기 IPSec통신단계패킷확인수단으로 전송하는 단계는
    상기 확장헤더처리수단이 상기 확장헤더부에서 상기 IPSec통신단계패킷을 분류하는 단계,
    상기 IPSec통신단계패킷확인수단에서 사용할 정보를 상기 IPSec설정단계패킷의 상기 ESP 확장헤더부에서 추출하는 단계,
    추출된 정보를 상기 IPSec통신단계패킷확인수단으로 전송하는 단계를 포함하는 것을 특징으로 하는 IPSec 설정정보와 세션정보를 이용한 비정상 IPSec 트래픽 제어 방법.
  17. 제 16항에 있어서,
    상기 IPSec설정단계패킷확인수단이 판단하는 단계는
    상기 IPSec설정단계패킷확인수단이 상기 ISAKMP에서 추출된 정보를 수신하는 단계,
    상기 ISAKMP에서 추출된 정보가 상기 IPSec 설정DB부에 저장되어 있는지 여부를 판단하는 단계,
    저장되어 있다면 상기 ISAKMP에서 추출된 정보가 IPSec 설정규칙에 준수하는지 여부를 판단하는 단계,
    저장되어 있지 않다면 상기 IPSec설정단계패킷이 IPSec 설정초기모드인지 여부를 판단하는 단계를 포함하는 것을 특징으로 하는 IPSec 설정정보와 세션정보를 이용한 비정상 IPSec 트래픽 제어 방법.
  18. 제 17항에 있어서,
    상기 IPSec설정단계패킷확인수단은 상기 ISAKMP에서 추출된 정보가 상기 IPSec 설정DB부에 저장되어 있고 IPSec 설정규칙에 준수하는 것으로 판단되는 경우, 상기 IPSec 설정DB부에 저장된 정보를 상기 ISAKMP에서 추출된 정보로 갱신하고 상기 제어수단으로 패킷통과정보를 반환하는 것을 특징으로 하는 IPSec 설정정보와 세션정보를 이용한 비정상 IPSec 트래픽 제어 방법.
  19. 제 17항에 있어서,
    상기 IPSec설정단계패킷확인수단은 상기 ISAKMP에서 추출된 정보가 상기 IPSec 설정DB부에 저장되어 있고 IPSec 설정규칙에 준수하지 않는 것으로 판단되는 경우, 상기 제어수단으로 패킷차단정보를 반환하는 것을 특징으로 하는 IPSec 설정정보와 세션정보를 이용한 비정상 IPSec 트래픽 제어 방법.
  20. 제 17항에 있어서,
    상기 IPSec설정단계패킷확인수단은 상기 ISAKMP에서 추출된 정보가 상기 IPSec 설정DB부에 저장되어 있지 않고 상기 IPSec설정단계패킷이 IPSec 설정초기모드가 아닌 것으로 판단되는 경우, 상기 제어수단으로 패킷차단정보를 반환하는 것을 특징으로 하는 IPSec 설정정보와 세션정보를 이용한 비정상 IPSec 트래픽 제어 방법.
  21. 제 17항에 있어서,
    상기 IPSec설정단계패킷확인수단은 상기 ISAKMP에서 추출된 정보가 상기 IPSec 설정DB부에 저장되어 있지 않고 상기 IPSec설정단계패킷이 IPSec 설정초기모드인 것으로 판단되는 경우, 상기 IPSec 설정DB부에 상기 IPSec 설정정보 테이블을 생성하고 상기 제어수단으로 패킷통과정보를 반환하는 것을 특징으로 하는 IPSec 설정정보와 세션정보를 이용한 비정상 IPSec 트래픽 제어 방법.
  22. 제 17항 내지 제 21항 중 어느 한 항에 있어서,
    상기 IPSec 설정정보는 상기 IPSec설정단계패킷의 IP 헤더부에 존재하는 출발지/도착지 IP 주소 정보, 상기 ISAKMP에 존재하는 통신모드 정보, 상기 IPSec설정단계패킷이 전달된 횟수 정보 중 어느 하나를 포함하는 것을 특징으로 하는 IPSec 설정정보와 세션정보를 이용한 비정상 IPSec 트래픽 제어 방법.
  23. 제 22항에 있어서,
    상기 IPSec통신단계패킷확인수단이 판단하는 단계는
    상기 IPSec통신단계패킷확인수단이 상기 확장헤더부에서 추출된 정보를 수신하는 단계,
    상기 확장헤더부에서 추출된 정보가 상기 IPSec 세션DB부에 저장되어 있는지 여부를 판단하는 단계,
    저장되어 있지 않다면 상기 확장헤더부에서 추출된 정보가 첫번째 IPSec 통신단계패킷인지 여부를 판단하는 단계,
    첫번째 IPSec 통신단계패킷이라면 상기 IPSec설정단계패킷확인수단을 이용하 여 IPSec 설정단계의 수행이 완료되었는지 여부를 판단하는 단계를 포함하는 것을 특징으로 하는 IPSec 설정정보와 세션정보를 이용한 비정상 IPSec 트래픽 제어 방법.
  24. 제 23항에 있어서,
    상기 IPSec통신단계패킷확인수단은 상기 ESP 확장헤더부에서 추출된 정보가 상기 IPSec 세션DB부에 저장되어 있는 것으로 판단되는 경우, 상기 IPSec 세션DB부에 저장된 정보를 상기 ESP 확장헤더부에서 추출된 정보로 갱신하고 상기 제어수단으로 패킷통과정보를 반환하는 것을 특징으로 하는 IPSec 설정정보와 세션정보를 이용한 비정상 IPSec 트래픽 제어 방법.
  25. 제 23항에 있어서,
    상기 IPSec통신단계패킷확인수단은 상기 ESP 확장헤더부에서 추출된 정보가 상기 IPSec 세션DB부에 저장되어 있지 않고 첫번째 IPSec 통신단계패킷이 아니거나 첫번째 IPSec 통신단계패킷이되 상기 IPSec설정단계패킷확인수단을 이용하여 IPSec 설정단계의 수행이 완료되지 않은 것으로 판단되는 경우, 상기 제어수단으로 패킷차단정보를 반환하는 것을 특징으로 하는 IPSec 설정정보와 세션정보를 이용한 비정상 IPSec 트래픽 제어 방법.
  26. 제 23항에 있어서,
    상기 IPSec통신단계패킷확인수단은 상기 ESP 확장헤더부에서 추출된 정보가 상기 IPSec 세션DB부에 저장되어 있지 않고 첫번째 IPSec 통신단계패킷이며 상기 IPSec설정단계패킷확인수단을 이용하여 IPSec 설정단계의 수행이 완료된 것으로 판단되는 경우, 상기 IPSec 세션DB부에 상기 IPSec 세션정보 테이블을 생성하고 상기 제어수단으로 패킷통과정보를 반환하는 것을 특징으로 하는 IPSec 설정정보와 세션정보를 이용한 비정상 IPSec 트래픽 제어 방법.
  27. 제 26항에 있어서,
    상기 IPSec 세션정보는 상기 IPSec 패킷의 IP 헤더부와 상기 ESP 확장헤더부에 존재하는 출발지/도착지 IP 주소 정보, SPI 정보, 시퀀스 넘버 정보 중 어느 하나를 포함하는 것을 특징으로 하는 IPSec 설정정보와 세션정보를 이용한 비정상 IPSec 트래픽 제어 방법.
KR1020070002005A 2007-01-08 2007-01-08 IPSec 설정정보와 세션정보를 이용한 비정상IPSec 트래픽 제어 시스템 및 그 제어 방법 KR100839941B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020070002005A KR100839941B1 (ko) 2007-01-08 2007-01-08 IPSec 설정정보와 세션정보를 이용한 비정상IPSec 트래픽 제어 시스템 및 그 제어 방법
US11/707,575 US8336093B2 (en) 2007-01-08 2007-02-16 Abnormal IPSec packet control system using IPSec configuration and session data, and method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070002005A KR100839941B1 (ko) 2007-01-08 2007-01-08 IPSec 설정정보와 세션정보를 이용한 비정상IPSec 트래픽 제어 시스템 및 그 제어 방법

Publications (1)

Publication Number Publication Date
KR100839941B1 true KR100839941B1 (ko) 2008-06-20

Family

ID=39595446

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070002005A KR100839941B1 (ko) 2007-01-08 2007-01-08 IPSec 설정정보와 세션정보를 이용한 비정상IPSec 트래픽 제어 시스템 및 그 제어 방법

Country Status (2)

Country Link
US (1) US8336093B2 (ko)
KR (1) KR100839941B1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101099083B1 (ko) 2006-03-13 2011-12-26 (주)닥터소프트 네트워크 자원 관리 시스템 및 그 관리 방법
KR101189673B1 (ko) 2012-06-18 2012-10-10 주식회사 에스엠이씨 인터넷 보안 프로토콜 세션 중계를 위한 게이트웨이 시스템 및 그의 리던던시 제공 방법
CN112882989A (zh) * 2021-02-04 2021-06-01 无锡沐创集成电路设计有限公司 协议处理系统和协议数据处理方法

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100639969B1 (ko) * 2004-12-02 2006-11-01 한국전자통신연구원 이상 트래픽 제어 장치 및 그 제어 방법
US8402538B2 (en) * 2008-12-03 2013-03-19 Electronics And Telecommunications Research Institute Method and system for detecting and responding to harmful traffic
CN103095511A (zh) * 2011-10-28 2013-05-08 华为技术有限公司 一种在IPsec机制下的网络测试方法,装置及系统
CN102882789B (zh) * 2012-09-17 2016-03-30 华为技术有限公司 一种数据报文处理方法、系统及设备
CN104618211A (zh) * 2014-12-31 2015-05-13 杭州华三通信技术有限公司 一种基于隧道的报文处理方法和总部网关设备
US10051000B2 (en) * 2015-07-28 2018-08-14 Citrix Systems, Inc. Efficient use of IPsec tunnels in multi-path environment
CN110121853A (zh) * 2016-12-19 2019-08-13 华为技术有限公司 用于测量信道状态信息的网络节点及客户端设备

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000072707A (ko) * 2000-09-20 2000-12-05 홍기융 실시간 침입탐지 및 해킹 자동 차단 방법
KR20020088728A (ko) * 2001-05-21 2002-11-29 한국전자통신연구원 정보 보호 인터넷 프로토콜 패킷의 송수신 방법

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6356951B1 (en) * 1999-03-01 2002-03-12 Sun Microsystems, Inc. System for parsing a packet for conformity with a predetermined protocol using mask and comparison values included in a parsing instruction
KR20020051599A (ko) 2000-12-23 2002-06-29 오길록 분산 컴퓨팅 환경에서의 보안 정책 시스템 및 그 방법
US7107464B2 (en) * 2001-07-10 2006-09-12 Telecom Italia S.P.A. Virtual private network mechanism incorporating security association processor
KR100470915B1 (ko) 2001-12-28 2005-03-08 한국전자통신연구원 Ip계층에서의 패킷 보안을 위한 인터넷 정보보호시스템의 제어 방법
TWI225999B (en) * 2003-08-22 2005-01-01 Ind Tech Res Inst A method for searching Peer-based security policy database
US20070180227A1 (en) * 2005-03-01 2007-08-02 Matsushita Electric Works, Ltd. Decryption apparatus for use in encrypted communications

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000072707A (ko) * 2000-09-20 2000-12-05 홍기융 실시간 침입탐지 및 해킹 자동 차단 방법
KR20020088728A (ko) * 2001-05-21 2002-11-29 한국전자통신연구원 정보 보호 인터넷 프로토콜 패킷의 송수신 방법

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101099083B1 (ko) 2006-03-13 2011-12-26 (주)닥터소프트 네트워크 자원 관리 시스템 및 그 관리 방법
KR101189673B1 (ko) 2012-06-18 2012-10-10 주식회사 에스엠이씨 인터넷 보안 프로토콜 세션 중계를 위한 게이트웨이 시스템 및 그의 리던던시 제공 방법
CN112882989A (zh) * 2021-02-04 2021-06-01 无锡沐创集成电路设计有限公司 协议处理系统和协议数据处理方法
CN112882989B (zh) * 2021-02-04 2024-04-02 无锡沐创集成电路设计有限公司 协议处理系统和协议数据处理方法

Also Published As

Publication number Publication date
US20080168551A1 (en) 2008-07-10
US8336093B2 (en) 2012-12-18

Similar Documents

Publication Publication Date Title
KR100839941B1 (ko) IPSec 설정정보와 세션정보를 이용한 비정상IPSec 트래픽 제어 시스템 및 그 제어 방법
US7188365B2 (en) Method and system for securely scanning network traffic
TWI362859B (ko)
US7051365B1 (en) Method and apparatus for a distributed firewall
CN102347870B (zh) 一种流量安全检测方法、设备和系统
US7346770B2 (en) Method and apparatus for traversing a translation device with a security protocol
US8327437B2 (en) Securing network traffic by distributing policies in a hierarchy over secure tunnels
US6185680B1 (en) Packet authentication and packet encryption/decryption scheme for security gateway
US8082574B2 (en) Enforcing security groups in network of data processors
US20050108531A1 (en) Method of negotiating security parameters and authenticating users interconnected to a network
CN110752921A (zh) 一种通信链路安全加固方法
US8046820B2 (en) Transporting keys between security protocols
US20080222693A1 (en) Multiple security groups with common keys on distributed networks
EP3131269B1 (en) Method and device for conducting ah authentication on ipsec packet which has gone through nat traversal
KR100450774B1 (ko) NAT 기능을 갖는 사설망에서 IPSec을 이용한종단과 종단 간의 private 정보 전송 방법 및 이를이용한 보안 서비스 방법
JP2001111612A (ja) 情報漏洩防止方法およびシステム並びに情報漏洩防止プログラムを記録した記録媒体
JP2005065004A (ja) 暗号化通信データ検査方法、暗号化通信データ検査装置及び暗号化通信データ検査プログラム
KR20110087972A (ko) 세션 테이블을 이용한 비정상 트래픽의 차단 방법
US20240195795A1 (en) Computer-implemented methods and systems for establishing and/or controlling network connectivity
JP3962050B2 (ja) パケット暗号化方法及びパケット復号化方法
WO2023199189A1 (en) Methods and systems for implementing secure communication channels between systems over a network
WO2008021159A2 (en) Enforcing security groups in network of data processors
KR20090032072A (ko) 중계장치

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130409

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20140519

Year of fee payment: 7

LAPS Lapse due to unpaid annual fee