KR100860406B1 - 인터넷 프로토콜 보안 기반의 정적 터널링 방법 및 장치 - Google Patents

인터넷 프로토콜 보안 기반의 정적 터널링 방법 및 장치 Download PDF

Info

Publication number
KR100860406B1
KR100860406B1 KR1020060122530A KR20060122530A KR100860406B1 KR 100860406 B1 KR100860406 B1 KR 100860406B1 KR 1020060122530 A KR1020060122530 A KR 1020060122530A KR 20060122530 A KR20060122530 A KR 20060122530A KR 100860406 B1 KR100860406 B1 KR 100860406B1
Authority
KR
South Korea
Prior art keywords
packet
authentication
tunneling
ipv4
header
Prior art date
Application number
KR1020060122530A
Other languages
English (en)
Other versions
KR20080051448A (ko
Inventor
이상도
김형준
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020060122530A priority Critical patent/KR100860406B1/ko
Publication of KR20080051448A publication Critical patent/KR20080051448A/ko
Application granted granted Critical
Publication of KR100860406B1 publication Critical patent/KR100860406B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/251Translation of Internet protocol [IP] addresses between different IP versions

Abstract

본 발명은, 인터넷 프로토콜 버전 6(IPv6) 및 인터넷 프로토콜 버전(IPv4) 망이 혼재되고, 다수의 라우터를 포함하는 인터넷 서비스 망에서 상기 라우터가 인터넷 프로토콜 보안(IPsec) 기반으로 정적 터널링을 위한 방법 및 장치에 관한 것으로서, 상기 라우터에서 임의의 호스트로부터 IPv6 인터페이스를 통해 패킷을 수신하면, 수신된 패킷의 헤더 영역에 목적지 주소 및 인증 헤더를 추가하여 인증 터널링 패킷을 생성하여 자신의 IPv4 인터페이스를 통해 상기 목적지 주소로 전송하는 아웃 바운딩 패킷 처리 과정을 수행하고, 다른 송신 호스트로부터 상기 IPv4 인터페이스를 통해 인증 터널링 패킷을 수신하면, 수신된 인증 터널링 패킷에 추가된 인증 헤더를 삭제하여 원래의 패킷으로 복원한 후 자신의 IPv6 인터페이스를 통해 자신과 연결된 호스트로 전달하는 인 바운딩 패킷 처리 과정 수행함으로써, 기존의 보안 위험성 문제를 해결하여 보다 안전하게 정적 터널링을 수행할 수 있다.
IPsec, IPv6-in-IPv4 정적 터널링, 호스트, 라우터, IPv6 인터페이스, IPv4 인터페이스, IP 변환부, 인증(AH, ESP) 헤더

Description

인터넷 프로토콜 보안 기반의 정적 터널링 방법 및 장치{CONFIGURED TUNNELING METHOD AND APPARATUS BASED ON IPsec}
도 1은 일반적인 정적 터널링 방법을 적용한 망 구성 및 패킷의 구조를 도시한 구성도,
도 2는 본 발명의 실시예에 따른 인터넷 프로토콜 보안(IPsec) 기반의 정적 터널링을 위한 인터넷 서비스 망 구성 및 패킷의 구조를 도시한 구성도,
도 3은 본 발명의 실시예에 따른 인터넷 프로토콜 보안(IPsec)을 적용한 패킷 구조를 보다 구체적으로 도시한 구성도,
도 4는 본 발명의 실시예에 따른 인터넷 프로토콜 보안(IPsec) 지원 아웃 바운딩 패킷 처리 모듈을 도시한 구성도,
도 5는 본 발명의 실시예에 따른 인터넷 프로토콜 보안(IPsec) 지원 인 바운딩 패킷 처리 모듈을 도시한 구성도,
도 6은 본 발명의 실시예에 따라 인터넷 프로토콜 보안(IPsec) 기반의 정적 터널링을 위한 아웃 바운딩 패킷 처리 절차를 도시한 흐름도,
도 7은 본 발명의 실시예에 따라 인터넷 프로토콜 보안(IPsec) 기반의 정적 터널링을 위한 인 바운딩 패킷 처리 절차를 도시한 흐름도.
본 발명은 IPv6/IPv4 변환을 위한 정적 터널링 방법 및 장치에 관한 것으로서, 특히 인터넷 프로토콜 보안(IPsec)을 기반으로 하는 정적 터널링 방법 및 장치에 관한 것이다.
IPv6는 IPv4에 비해 큰 주소공간을 가지고 있기 때문에 유비쿼터스 네트워크를 구축하는 데 있어 필수라 할 수 있다. 그러나 전세계적으로 복잡하고 광대하게 퍼져있는 IPv4 인터넷을 한순간에 바꾸는 것은 거의 불가능하므로 커다란 혼란을 야기할 수 있다. 때문에 향후 얼마간은 IPv4 주소와 IPv6 주소가 공존할 것이므로 상기 두 가지 주소를 변환해주는 기술이 필수적이다. 이에 따라 지금까지 IPv4에서 IPv6로의 자연스러운 이전을 지원해주는 IPv6 전환 메커니즘에 대한 많은 연구가 이뤄졌다. 그러나 IPv6 네트워크로의 이전을 위해서는 IPv6가 IPv4와 자연스럽게 호환(변환)되지는 않으며, 현재 수천만 개의 호스트가 IPv4 방식으로만 동작중이고, IPv4를 한꺼번에 IPv6로 전환할 수 없다는 제약이 있다. 이러한 제약사항을 고려할 때, 당분간은 IPv4와 IPv6가 공존할 것이다.
현재, IPv4/IPv6 전환 기술은 다양하게 개발되고 있으며, 향후 구축될 IPv6 네트워크는 IPv4/IPv6 듀얼(dual) 네트워크, 혹은 IPv6 전용(native) 네트워크 형태로 구성될 수 있으며, 네트워크의 형태에 따라 적용방법은 서로 다르다.
기본적인 전환 메커니즘으로는 IPv4/IPv6 듀얼스택(Dual-Stack)과 IPv6-in- IPv4 터널링 기술이 있는데, IPv4/IPv6 듀얼스택 기술은 IPv6 단말이 IPv4 단말과 호환성을 유지하는 가장 쉬운 방법이며, IPv6-in-IPv4 터널링 기술은 터널링은 기존의 IPv4 인프라를 활용해 IPv6 트래픽을 전송하는 방법이다.
상기 IPv6-in-IPv4 터널링 기술에서 IPv6/IPv4 단말과 라우터는 IPv6 데이터그램을 IPv4 패킷에 캡슐화해 IPv4 네트워크를 통해 터널링할 수 있으며, 크게 설정 터널링(Configured Tunneling) 방식과 자동 터널링(Automatic Tunneling) 방식으로 구분된다. 이중 설정 터널링 방식은 두 라우터 간(혹은 호스트 간)의 IPv4 주소를 통해 수동으로 정적 터널을 설정하는 방식이다. 이러한 정적 터널링을 설정은 첨부된 1에 도시된 바와 같으며, 이러한 IPv4 라우팅을 이용한 정적 기반의 IPv6-in-IPv4 터널링 기법(RFC 4213)을 민간 국제 표준기관인 IETF(Internet Engineering Task Force)의 IPv6 v6ops 워킹그룹에서 표준화를 완료한 상태이다.
그러나 최근 IETF 소프트와이어(Softwire)워킹그룹을 중심으로 정적 기반의 IPv6-in-IPv4 터널링 방식에 관한 보안 문제점에 대한 이슈들이 제기되고 있으며, 이를 해결하기 위한 방법들이 활발히 논의되고 있는 상태이다. 따라서 이러한 정적 터널링 방식을 이용하여 안전한 통신을 위한 보안 기술이 필요하게 되었다.
따라서 본 발명의 목적은 인터넷 서비스 시 안전한 통신을 위해 인터넷 프로토콜 보안(IPsec)을 기반으로 하는 정적 터널링 방법 및 장치를 제공함에 있다.
상기 이러한 본 발명의 목적들을 달성하기 위한 방법은, 인터넷 프로토콜 버전 6(IPv6) 및 인터넷 프로토콜 버전(IPv4) 망이 혼재되고, 다수의 라우터를 포함하는 인터넷 서비스 망에서 상기 라우터가 인터넷 프로토콜 보안(IPsec) 기반으로 정적 터널링을 하기 위한 방법으로서, 임의의 호스트로부터 IPv6 인터페이스를 통해 패킷을 수신하는 과정과, 수신된 패킷의 헤더 영역에 목적지 주소 및 인증 헤더를 추가하여 인증 터널링 패킷을 생성하여 자신의 IPv4 인터페이스를 통해 상기 목적지 주소로 전송하는 아웃 바운딩 패킷 처리를 수행하는 과정과, 다른 송신 호스트로부터 상기 IPv4 인터페이스를 통해 인증 터널링 패킷을 수신하면, 수신된 인증 터널링 패킷에 추가된 인증 헤더를 삭제하여 원래의 패킷으로 복원한 후 자신의 IPv6 인터페이스를 통해 자신과 연결된 호스트로 전달하는 인 바운딩 패킷 처리를 수행하는 과정을 포함하는 것을 특징으로 한다.
상기 본 발명의 목적들을 달성하기 위한 다른 방법은, 인터넷 프로토콜 버전 6(IPv6) 및 인터넷 프로토콜 버전(IPv4) 망이 혼재되고, 다수의 라우터를 포함하는 인터넷 서비스 망에서 상기 라우터들이 인터넷 프로토콜 보안(IPsec) 기반으로 정적 터널링을 하기 위한 방법으로서, 제1 라우터에서, 임의의 제1 호스트로부터 IPv6 인터페이스를 통해 패킷을 수신하는 과정과, 상기 수신된 패킷의 헤더 영역에 목적지 주소 및 인증 헤더를 삽입하여 인증 터널링 패킷을 생성하는 과정과, 자신의 IPv4 인터페이스를 통해 상기 목적지 주소로 상기 생성된 인증 터널링 패킷을 전송하는 과정을 포함하는 아웃 바운딩 패킷 처리를 수행하며, 상기 목적지 주소의 제2 라우터에서, IPv4 인터페이스로 상기 인증 터널링 패킷을 수신하는 과정과, 상기 수신된 인증 터널링 패킷에 삽입된 상기 인증 헤더 및 상기 목적지 주소를 제거하여 원래의 패킷으로 복원하는 과정과, 상기 복원된 패킷을 자신의 IPv6 인터페이스를 통해 자신과 연결된 제2 호스트로 전달하는 과정을 포함하는 인 바운딩 패킷 처리를 수행함을 특징으로 한다.
상기 본 발명의 목적들을 달성하기 위한 장치는, 인터넷 프로토콜 버전 6(IPv6) 및 인터넷 프로토콜 버전(IPv4) 망이 혼재된 인터넷 서비스 망에서 인터넷 프로토콜 보안(IPsec) 기반으로 정적 터널링을 하기 위한 장치로서, 임의의 호스트로부터 IPv6 망을 통해 수신된 패킷을 IPv6 인터페이스를 통해 내부로 전달하고, 상대 호스트로부터 IPv4 망을 통해 수신된 패킷을 IPv4 인터페이스를 통해 내부로 전달하는 인터페이스부와, 상기 인터페이스부에서 IPv6 인터페이스를 처리하는 IPv6 스택과, IPv4 인터페이스를 처리하는 IPv4 스택을 갖는 듀얼스택과, 상기 IPv6 인터페이스를 통해 전달된 패킷에 목적지 주소 및 인증 헤더를 삽입하여 인증 터미널 패킷을 생성하고, 상기 IPv4 인터페이스를 통해 전달된 패킷을 원래의 패킷으로 복원하는 인터넷 프로토콜 변환부를 포함하는 것을 특징으로 한다.
이하, 본 발명의 바람직한 실시 예를 첨부한 도면을 참조하여 상세히 설명한다. 우선 각 도면의 구성 요소들에 참조 부호를 부가함에 있어서, 동일한 구성 요소들에 한해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 부호를 가지도록 하고 있음에 유의해야 한다. 그리고 본 발명을 설명함에 있어, 관련된 공지 기능 혹은 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다.
본 발명의 실시예에서는 IPv4 망 및 IPv6 망이 혼재되어 있는 인터넷 서비스 망에서 IPsec을 기반으로 하는 정적 터널링(Static Tunnelling) 방식을 적용하여 IPv4/IPv6 변환을 수행하도록 한다. 그리고 IPsec을 기반으로 하는 정적 터널링 방식은 크게 트랜스포트 모드(Transport Mode)와, 터널링 모드(Tunneling Mode)로 구분되는데, 본 발명의 실시예에서는 정적 터널링 메커니즘을 보호하기 위해 터널링 모드 방식을 적용한다. 또한, IPsec을 적용하기 위한 터널링 대상으로 라우터 대 라우터, 사이트 대 라우터/라우터 대 사이트 및 호스트 대 호스트 터널링 방식이 있는데, 본 발명의 실시예서는 터널링 방식이 활용되는 환경이 라우터 간에 이루어지므로 라우터 대 라우터 간의 IPsec을 이용한 터널링 방식으로 정적 터널링 장치를 구현하도록 한다.
그러면 상기 정적 터널링 장치를 통해 정적 터널링을 수행하기 위한 인터넷 서비스 망 구성 및 패킷 구조에 대해 첨부된 도면을 참조하여 구체적으로 설명하기로 한다.
도 2는 본 발명의 실시예에 따른 인터넷 프로토콜 보안(IPsec) 기반의 정적 터널링을 위한 인터넷 서비스 망 구성 및 패킷의 구조를 도시한 구성도이다.
상기 도 2를 참조하면, 상기 인터넷 서비스 망은 IPv6 망과 IPv4 망이 혼재된 상태이며, 제1 호스트(Host A)(110a)와 제2 호스트(Host B)(110b)간 송/수신되는 패킷을 상대 서브넷으로 전달하기 위해 각 서브넷에 다수의 라우터(120a, 120b) 를 포함한다. 상기 라우터(120a, 120b) 간에 IPv6-in-IPv4 터널이 형성된다.
상기 라우터(120 : 120a, 120b)는 IPsec을 기반으로 정적 터널링을 수행하며, 이러한 정적 터널링 위해 호스트(110)에서 수신된 패킷의 헤더를 변경한다. 이러한 패킷 헤더의 변경에 대해서는 상기 도 1 및 첨부된 도 2에 도시된 바와 같다.
예를 들어 상기 제1 호스트(110a)에서 상기 제2 호스트(110b)로 전송되는 패킷(210)은 제1 라우터(120a)로 도착하여 헤더가 변경되어 우선 터널링 패킷으로 변환되고, 변환된 터널링 패킷에 인증 헤더가 추가되어 인증 터널링 패킷(220)으로 변환된다. 상기 인증 터널링 패킷(220)은 상기 제2 라우터(120b)에서 상기 패킷(210)으로 복원되어 상기 제2 호스트(110b)로 전달된다. 이러한 패킷(210) 및 인증 터널링 패킷(230)의 구성은 상기 도 1 및 첨부된 도 3에 도시된 바와 같다.
상기 도 2 및 도 3을 참조하면, 상기 패킷(210)은 데이터(페이로드(Payload))와 IPv6 헤더로 구성되며, 여기서 상기 IPv6 헤더에는 소스(SRC : Source) 필드에 상기 제1 호스트(110a)의 주소인 '3ffe:2e01:1:5::2/64'와, 목적지(DST : Destination) 필드에 상기 제2 호스트(110b)의 주소인 '3ffe:2e01:1:6::2/64'가 설정된다.
상기 터널링 패킷(220)은 상기 패킷(210)의 헤더 영역에 IPv4 헤더가 삽입되어 생성된다.
상기 인증 터널링 패킷(230)은 상기 터널링 패킷(220) 내의 헤더 영역에 인증 헤더(AH 또는 ESP 헤더)가 추가 삽입되며, 헤더 영역은 IPv4 헤더 및 인증 헤더로 구성되고, 데이터 영역은 IPv6 헤더 및 페이로드(Payload)로 구성된다. 여기서 상기 IPv4 헤더 정보는 SRC 필드는 129.254.112.11이, DST 필드는 129.254.112.12로 설정된다.
상기 라우터(120)는 IPv4/IPv6 듀얼 스택 노드로서, 양쪽 프로토콜을 모두 지원하므로 IPv4 주소 및 IPv6 주소로 모두 설정할 수 있다.
또한, 상기 라우터(120)는 IPsec 기반의 정적 터널링을 지원하기 위한 모듈을 포함한다. 여기서 상기 정적 터널링을 지원하기 위한 모듈은 크게 아웃 바운드 및 인 바운드로 구분되어 패킷을 처리한다. 이러한 아웃 바운딩 및 인 바운딩 패킷 처리 기능에 따른 라우터 구성에 대해서는 첨부된 도 4 및 도 5에 도시된 바와 같다.
상기 도 4 및 도 5를 참조하면, 상기 라우터(120)는 사용자 영역(User Space) 및 커널 영역(Kernel Space)으로 구분되며, 상기 커널 영역에는 망 인터페이스(Network Interface)(121), 듀얼 스택(122), IP 변환부(SIT : Simple Internet Transition) 모듈(123)이 포함되며, 상기 사용자 영역에는 사용자 영역에서 커널 영역의 SIT 모듈에 명령어을 전달하기 위한 인터페이스인 SIT CLI(Command Line Interface)(124)가 포함된다.
상기 듀얼 스택(122)은 IPv6 스택(122a)과 IPv4 스택(122b)으로 구분될 수 있다.
상기 IP 변환부(123)는 IPsec 기반의 정적 터널링을 지원하기 위한 리눅스에 구현된 모듈로서, 상기 도 1에 도시된 바와 같은 sit1 인터페이스를 의미하며, 수신되는 패킷에 따라 상기 아웃 바운딩 또는 인 바운딩 패킷 처리를 통해 상기 수신 된 패킷의 헤더를 변경함으로써 IPv6/IPv4 변환을 수행한다. 즉, 상기 IP 변환부(123)는 IPv6 인터페이스를 통해 제1 호스트(110a)로부터의 패킷(210)을 수신하면 상기 아웃 바운딩 패킷 처리를 거쳐 인증 터널링 패킷(230)을 생성하고, IPv4 인터페이스를 통해 상기 생성된 인증 터널링 패킷(230)을 전달한다. 그리고 상기 IP 변환부(123)는 IPv4 인터페이스를 통해 인증 터널링 패킷(230)이 수신되면 상기 인 바운딩 패킷 처리를 거쳐 인증 터널링 패킷(230)을 원래의 패킷(210)으로 복원하고, IPv6 인터페이스를 통해 상기 제2 호스트(110b)로 복원된 패킷을 전달한다.
그러면 이와 같이 구성된 라우터에서의 상기 아웃 바운딩 패킷 처리 및 상기 인 바운딩 패킷 처리 기능에 따른 IPv6-in-IPv4 정적 터널링 방법에 대해 첨부된 도면을 참조하여 구체적으로 설명하기로 한다. 여기서 상기 아웃 바운딩 패킷 처리 및 인 바운딩 패킷 처리를 수행하는 라우터는 듀얼 스택으로 이루어져 수신되는 패킷의 전달 망의 IP 버전에 따라 해당 패킷 처리 기능을 수행할 수 있으므로 상기 도 1의 제1 라우터(120a) 및 제2 라우터(120b) 모두 상기 두 패킷 처리 기능을 수행할 수 있다. 그러나 이하, 본 발명의 실시예에서는 상기 도 2에 도시된 바와 같이 상기 아웃 바운딩 패킷 처리는 상기 제1 라우터(120a)에서 처리하고, 상기 인 바운딩 패킷 처리는 상기 제2 라우터(120a)에서 처리하는 것으로 예를 들어 설명하기로 한다.
도 6은 본 발명의 실시예에 따라 인터넷 프로토콜 보안(IPsec) 기반의 정적 터널링을 위한 아웃 바운딩 패킷 처리 절차를 도시한 흐름도이고, 도 7은 본 발명 의 실시예에 따라 인터넷 프로토콜 보안(IPsec) 기반의 정적 터널링을 위한 인 바운딩 패킷 처리 절차를 도시한 흐름도이다.
상기 도 1 및 도 6을 참조하면, 401단계에서 상기 제1 라우터(120a)는 패킷을 수신하면, 402단계에서 상기 제1 호스트(110a)로부터 IPv6 망을 통해 수신된 패킷인지, 상대 노드로부터 IPv4 망을 통해 수신된 패킷인지를 확인한다. 이때, 상기 IPv6 망을 통해 수신된 패킷(210)을 수신하면, 403단계로 진행하여 상기 제1 라우터(120a)는 아웃 바운딩 패킷 처리를 수행하고, 그렇지 않고 IPv4 망을 통해 수신된 경우 410단계에서 인 바운딩 패킷 처리를 수행한다.
403단계에서 상기 제1 라우터(120a)는 망 인터페이스(121)를 통해 패킷을 내부로 전달(IPv6 routing)한다. 이때, 전달되는 패킷의 인터페이스는 IPv6 인터페이스(eth1)이다. 이렇게 내부로 전달된 패킷은 상기 제1 라우터(120a)의 IPv6 스택(122a)에 의해 라우팅 방식을 이용하여 가상 인터페이스인 sit1으로 전송된다. 여기서 상기 sit1 인터페이스는 정적 터널링 방식을 처리하기 위해서 리눅스에 구현된 모듈 즉, 라우터 내에 포함된 IP 변환부(SIT module)(123)에 해당된다. 이에 따라 상기 제1 라우터(120a)의 IP 변환부(123)는 미리 설정된 IPv4 터널링 목적지 주소 즉, 상기 제2 라우터(120b)의 IPv4 인터페이스 주소를 이용하여 IPv6-in-IPv4 터널링 패킷(220)을 생성한다. 이에 따라 상기 전달된 패킷(210)은 헤더 영역에 상기 제2 라우터(120b)의 IPv4 인터페이스 주소에 대한 IPv4 헤더가 추가되어 터널링 패킷(220)으로 변환된다.
이후, 404단계에서 상기 제1 라우터(120a)의 IP 변환부(123)는 상기 생성된 터널링 패킷(220)에 리눅스에 구현된 보안 모듈(IPsec module)(125) 내의 미리 설정된 보안 테이블을 이용하여 IPsec 인증(Authentication 이하, AH라 칭함) 헤더(Header)를 생성한다. 여기서 상기 미리 설정된 보안 테이블은 보안 연계(SA : Security Association), 보안 정책 데이터베이스(SPD : Security Policy Database) 테이블 등을 포함한다.
그런 다음 405단계에서 상기 제1 라우터(120a)의 IP 변환부(123)는 기존의 정적 터널링을 통해 형성된 IPv6-in-IPv4로 터널링된 상기 터널링 패킷(220)의 IPv4 헤더와 IPv6 헤더 사이에 AH 헤더를 삽입하고, IPv4의 프로토콜 필드 값을 IPv6 타입(41 타입)에서 인증(AH) 타입(51 타입)으로 변경하여 인증 터널링 패킷(230)을 생성한다. 이때, 상기 제1 라우터(120a)는 상기 인증 터널링 패킷(230)에 삽입된 인증 헤더의 인증 데이터(Authentication Data) 필드의 값을 이미 분배된 공유 키(Preshared Key) 값을 이용하여 채운다.
406단계에서 상기 제1 라우터(120a)는 최종적으로 생성된 IPv4-AH-IPv6-DATA 형식의 상기 인증 터널링 패킷(230)을 자신의 IPv4 인터페이스(eth0)를 통해 상기 제2 라우터(120a)의 IPv4 인터페이스로 전송한 후 동작을 종료한다.
한편, 상기 도 1 및 도 7을 참조하면, 501단계에서 상기 제2 라우터(120b)는 패킷을 수신하면, 502단계에서 상기 제1 호스트(110a)로부터 IPv4 망을 통해 수신된 패킷인지, 제2 호스트(110b)로부터 IPv4 망을 통해 수신된 패킷인지를 확인한다. 이때, IPv4 망을 통해 수신된 패킷인 경우 503단계에서 인 바운딩 패킷 처리를 수행하고, 그렇지 않고 상기 IPv6 망을 통해 수신된 패킷이면, 510단계로 진행하여 아웃 바운딩 패킷 처리를 수행한다.
망 인터페이스(121)를 통해 패킷이 내부로 전달되면, 503단계에서 상기 제2 라우터(120b)는 수신된 패킷이 AH 타입(51 타입)인지를 확인하여 AH 타입이 아닌 경우 동작을 종료하고, AH 타입이면 상기 패킷이 인증 터널링 패킷(230)이므로 504단계를 수행한다.
504단계에서 상기 제2 라우터(120b)는 IPv4 스택(122b)에서 AH 헤더를 처리하기 위한 프로토콜 핸들러를 호출한다. 이에 따라 505단계에서 상기 제2 라우터(120b)는 상기 프로토콜 핸들러를 통해 데이터의 변경 여부를 확인한다. 이때, 상기 프로토콜 핸들러는 수신된 인증 터널링 패킷(230) 내의 AH 헤더의 정보인 보안 매개 변수 인덱스(SPI : Security Parameter Index), 시퀀스 번호(Sequence Number)를 SA, SPD 테이블 등의 미리 설정된 보안 테이블을 이용하여 확인하고, 인증 데이터 필드 값을 미리 분배된 키 값을 이용하여 데이터의 변경 여부를 확인한다.
상기 505단계에서 확인한 결과 이상이 있으면 동작을 종료하고, 반면, 상기 데이터 변경이 없는 경우 506단계에서 상기 제2 라우터(120b)는 IPv4 스택(122b)에서 상기 프로토콜 핸들러를 통해 상기 인증 터널링 패킷(230)에서 AH 헤더를 제거한다. 이에 따라 상기 인증 터널링 패킷(230)은 터널링 패킷(220)으로 복원된다.
그런 다음 507단계에서 상기 제2 라우터(120b)는 상기 터널링 패킷(220)을 내부 IP 변환부(123)로 전달되고, 상기 IP 변환부(123)에서 상기 터널링 패킷(220) 내의 외부 IPv4 헤더를 삭제하여 원래의 패킷(210)으로 복원한다. 이후 508단계에서 상기 제2 라우터(120b)의 IP 변환부(123)는 상기 복원된 패킷(210)을 자신의 IPv6 인터페이스를 통해 IPv6 망에 연결된 제2 호스트(110b)로 전달한 후 동작을 종료한다.
이와 같은 상기 도 6 및 도 7의 아웃 바운딩 패킷 처리 및 인 바운딩 패킷 처리 절차를 통해 IPsec 기반의 정적 터널링을 수행함으로써, IPv6의 제1 호스트(110a)에서 전송되는 IPv6 패킷을 IPv6의 제2 호스트(110b)로 보안을 유지하면서 전달할 수 있다.
한편, 본 발명의 상세한 설명에서는 구체적인 실시 예에 관하여 설명하였으나, 본 발명의 범위에서 벗어나지 않는 한도 내에서 여러 가지 변형이 가능함은 물론이다. 그러므로 본 발명의 범위는 설명된 실시 예에 국한되어 정해져서는 안되며 후술하는 발명청구의 범위뿐만 아니라 이 발명청구의 범위와 균등한 것들에 의해 정해져야 한다.
상술한 바와 같이 본 발명은 IPsec 기반이 정적 터널링을 수행함으로써 기존의 IPv6 및 IPv4 간 터널링을 수행함에 따른 보안성 문제를 해결할 수 있으며, 외부 공격으로부터 패킷을 보다 안전하게 전달할 수 있는 효과가 있다.

Claims (14)

  1. 인터넷 프로토콜 버전 6(IPv6) 및 인터넷 프로토콜 버전(IPv4) 망이 혼재되고, 다수의 라우터를 포함하는 인터넷 서비스 망에서 상기 라우터가 인터넷 프로토콜 보안(IPsec) 기반으로 정적 터널링을 하기 위한 방법에 있어서,
    임의의 호스트로부터 IPv6 인터페이스를 통해 패킷을 수신하면, 수신된 패킷의 헤더 영역에 목적지 주소 및 인증 헤더를 추가하여 인증 터널링 패킷을 생성하는 과정과,
    상기 생성된 인증 터널링 패킷을 자신의 IPv4 인터페이스를 통해 상대 라우터로 전송하여 상기 상대 라우터로 하여금 IPv6 인터페이스를 통해 상기 목적지 주소의 호스트로 전송하도록 하는 아웃 바운딩 패킷 처리를 수행하는 과정과,
    다른 송신 호스트와 상기 IPv6 인터페이스를 통해 수신된 패킷을 목적지 주소 및 인증 헤더를 추가하여 생성한 인증 터널링 패킷을 상대 라우터로부터 IPv4 인터페이스를 통해 수신하면, 수신된 인증 터널링 패킷에서 인증 헤더를 삭제하여 원래의 패킷으로 복원하는 과정과,
    복원된 패킷을 자신의 IPv6 인터페이스를 통해 자신과 연결된 호스트로 전달하는 인 바운딩 패킷 처리를 수행하는 과정을 포함하는 것을 특징으로 하는 인터넷 프로토콜 보안(IPsec) 기반의 정적 터널링 방법.
  2. 인터넷 프로토콜 버전 6(IPv6) 및 인터넷 프로토콜 버전(IPv4) 망이 혼재되고, 다수의 라우터를 포함하는 인터넷 서비스 망에서 상기 라우터들이 인터넷 프로토콜 보안(IPsec) 기반으로 정적 터널링을 하기 위한 방법에 있어서,
    제1 라우터에서, 임의의 제1 호스트로부터 IPv6 인터페이스를 통해 패킷을 수신하는 과정과,
    상기 수신된 패킷의 헤더 영역에 목적지 주소 및 인증 헤더를 삽입하여 인증 터널링 패킷을 생성하는 과정과,
    자신의 IPv4 인터페이스를 통해 상기 목적지 주소로 상기 생성된 인증 터널링 패킷을 전송하는 과정을 포함하는 아웃 바운딩 패킷 처리를 수행하며,
    상기 목적지 주소의 제2 라우터에서, IPv4 인터페이스로 상기 인증 터널링 패킷을 수신하는 과정과,
    상기 수신된 인증 터널링 패킷에 삽입된 상기 인증 헤더 및 상기 목적지 주소를 제거하여 원래의 패킷으로 복원하는 과정과,
    상기 복원된 패킷을 자신의 IPv6 인터페이스를 통해 자신과 연결된 제2 호스트로 전달하는 과정을 포함하는 인 바운딩 패킷 처리를 수행함을 특징으로 하는 인터넷 프로토콜 보안(IPsec) 기반의 정적 터널링 방법.
  3. 제2항에 있어서, 상기 인증 터널링 패킷을 생성하는 과정은,
    상기 수신된 패킷에 상기 목적지 주소에 해당하는 IPv4 헤더를 삽입하여 터널링 패킷을 생성하는 단계와,
    상기 인터넷 프로토콜 보안(IPsec)을 기반으로 인증 헤더를 생성하는 단계와,
    상기 터널링 패킷의 헤더 영역에 상기 생성된 인증 헤더를 삽입하는 단계와,
    상기 IPv4에 대한 프로토콜 필드 값을 인증 타입으로 변경하는 단계와,
    상기 삽입된 인증 헤더의 인증 데이터 필드 값을 미리 분배된 키 값을 이용하여 설정하는 단계를 포함하는 것을 특징으로 하는 인터넷 프로토콜 보안(IPsec) 기반의 정적 터널링 방법.
  4. 제3항에 있어서,
    상기 인증 헤더를 생성하는 단계는 미리 설정된 보안 테이블을 이용하여 상기 인터넷 프로토콜 보안(IPsec) 기반의 상기 인증 헤더를 생성함을 특징으로 하는 인터넷 프로토콜 보안(IPsec) 기반의 정적 터널링 방법.
  5. 제3항에 있어서,
    상기 수신된 패킷은 내부 가상 인터페이스를 통해 내부 인터넷 프로토콜 변환 모듈로 전달되어 상기 인터넷 프로토콜 변환 모듈에서 IPv4 인터페이스를 위한 상기 인증 터널링 패킷으로 변환됨을 특징으로 하는 인터넷 프로토콜 보안(IPsec) 기반의 정적 터널링 방법.
  6. 제2항에 있어서, 상기 원래의 패킷으로 복원하는 과정은,
    상기 인증 터널링 패킷에 삽입된 상기 인증 헤더를 처리하기 위한 프로토콜 핸들러를 호출하는 단계와,
    상기 프로토콜 핸들러를 통해 상기 인증 헤더의 정보를 미리 설정된 보안 테이블을 이용하여 확인하는 단계와,
    상기 인증 헤더의 인증 데이터 필드 값을 미리 분배된 키 값을 이용하여 데이터 변경 여부를 확인하는 단계와,
    상기 확인 결과 이상이 없는 경우 상기 인증 터널링 패킷에서 상기 인증 헤더를 제거하는 단계와,
    상기 인증 헤더가 삭제된 터널링 패킷에서 상기 목적지 주소에 해당하는 IPv4 헤더를 제거하는 단계를 포함하는 것을 특징으로 하는 인터넷 프로토콜 보안(IPsec) 기반의 정적 터널링 방법.
  7. 인터넷 프로토콜 버전 6(IPv6) 및 인터넷 프로토콜 버전(IPv4) 망이 혼재된 인터넷 서비스 망에서 인터넷 프로토콜 보안(IPsec) 기반으로 정적 터널링을 하기 위한 장치에 있어서,
    임의의 호스트로부터 수신된 패킷을 IPv6 인터페이스를 통해 내부로 전달하고, 상대 호스트로부터 IPv6 인터페이스를 통해 수신된 패킷을 변환하여 생성한 인증 터미널 패킷을 IPv4 인터페이스를 통해 상대 라우터로부터 수신하면, 수신된 인증 터미널 패킷을 IPv4 인터페이스를 통해 내부로 전달하는 인터페이스부와,
    상기 인터페이스부에 연결되어 상기 IPv6 인터페이스를 통해 수신되는 패킷을 가상 인터페이스를 통해 전송하는 IPv6 스택과, 상기 IPv4 인터페이스를 통해 수신되는 인증 터미널 패킷에서 인증 헤더를 제거하는 IPv4 스택을 갖는 듀얼스택과,
    상기 가상 인터페이스를 통해 상기 IPv6 스택에서 수신한 패킷에 목적지 주소 및 인증 헤더를 삽입하여 인증 터미널 패킷을 생성하고, 상기 IPv4 스택에서 수신한 패킷을 원래의 패킷으로 복원하는 인터넷 프로토콜 변환부를 포함하며,
    상기 인터페이스부는 IPv4 인터페이스를 통해 상대 라우터로 상기 생성된 인증 터미널 패킷을 전송하는 것을 특징으로 하는 인터넷 프로토콜 보안(IPsec) 기반의 정적 터널링 장치.
  8. 삭제
  9. 제7항에 있어서,
    상기 IPv4 스택은 상기 IPv4 인터페이스를 통해 수신되는 상기 인증 터미널 패킷에서 인증 헤더를 삭제하고, 상기 인증 헤더가 삭제된 터널링 패킷을 상기 인터넷 프로토콜 변환부로 전송함을 특징으로 인터넷 프로토콜 보안(IPsec) 기반의 정적 터널링 장치.
  10. 제9항에 있어서,
    상기 IPv4 스택은 호출한 프로토콜 핸들러를 통해 상기 인증 헤더의 정보를 미리 설정된 보안 테이블을 이용하여 확인하고, 인증 데이터 필드 값을 미리 분배된 키 값을 이용하여 데이터의 변경 여부를 확인한 후 이상이 없는 경우 상기 인증 헤더를 삭제함을 특징으로 하는 인터넷 프로토콜 보안(IPsec) 기반의 정적 터널링 장치.
  11. 제7항에 있어서,
    상기 인터넷 프로토콜 변환부는, 상기 IPv4 스택으로부터 수신된 상기 인증 헤더가 삭제된 터널링 패킷에서 상기 목적지 주소에 해당하는 IPv4 헤더를 제거하여 상기 원래의 패킷을 복원함을 특징으로 하는 인터넷 프로토콜 보안(IPsec) 기반의 정적 터널링 장치.
  12. 제7항에 있어서,
    상기 인터넷 프로토콜 변환부는, 미리 설정된 보안 테이블을 이용하여 인터넷 프로토콜 보안(IPsec)을 기반의 상기 인증 헤더를 생성하는 인터넷 프로토콜 보안(IPsec) 모듈을 포함하는 것을 특징으로 하는 인터넷 프로토콜 보안(IPsec) 기반의 정적 터널링 장치.
  13. 제12항에 있어서,
    상기 인터넷 프로토콜 변환부는, 상기 수신된 패킷에 상기 목적지 주소에 해당하는 IPv4 헤더를 삽입하여 터널링 패킷을 생성하고, 상기 생성된 인증 헤더를 상기 터널링 패킷의 헤더 영역에 삽입하여 상기 인증 터널링 패킷을 생성함을 특징으로 하는 인터넷 프로토콜 보안(IPsec) 기반의 정적 터널링 장치.
  14. 제13항에 있어서,
    상기 인터넷 프로토콜 변환부는, 상기 인증 터널링 패킷에 포함된 IPv4의 프로토콜 필드 값을 인증 타입으로 변경하고, 삽입된 상기 인증 헤더의 인증 데이터 필드 값을 미리 분배된 키 값을 이용하여 설정함을 특징으로 하는 인터넷 프로토콜 보안(IPsec) 기반의 정적 터널링 장치.
KR1020060122530A 2006-12-05 2006-12-05 인터넷 프로토콜 보안 기반의 정적 터널링 방법 및 장치 KR100860406B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020060122530A KR100860406B1 (ko) 2006-12-05 2006-12-05 인터넷 프로토콜 보안 기반의 정적 터널링 방법 및 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020060122530A KR100860406B1 (ko) 2006-12-05 2006-12-05 인터넷 프로토콜 보안 기반의 정적 터널링 방법 및 장치

Publications (2)

Publication Number Publication Date
KR20080051448A KR20080051448A (ko) 2008-06-11
KR100860406B1 true KR100860406B1 (ko) 2008-09-26

Family

ID=39806441

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060122530A KR100860406B1 (ko) 2006-12-05 2006-12-05 인터넷 프로토콜 보안 기반의 정적 터널링 방법 및 장치

Country Status (1)

Country Link
KR (1) KR100860406B1 (ko)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050030288A (ko) * 2003-09-25 2005-03-30 삼성전자주식회사 Ip 패킷의 버전을 변환하는 장치 및 방법
KR20050074998A (ko) * 2002-11-13 2005-07-19 톰슨 라이센싱 에스.에이. 네트워크 주소 변환 메카니즘을 통한 6to4 터널링프로토콜을 지원하기 위한 방법 및 장치
KR100656483B1 (ko) 2006-02-09 2006-12-11 삼성전자주식회사 IPv4-IPv6 네트워크에서의 보안 장치 및 방법
KR20070043574A (ko) * 2005-10-21 2007-04-25 삼성전자주식회사 아이피 터널링 경로 상의 터널 시그널링을 수행하는 방법및 장치

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050074998A (ko) * 2002-11-13 2005-07-19 톰슨 라이센싱 에스.에이. 네트워크 주소 변환 메카니즘을 통한 6to4 터널링프로토콜을 지원하기 위한 방법 및 장치
KR20050030288A (ko) * 2003-09-25 2005-03-30 삼성전자주식회사 Ip 패킷의 버전을 변환하는 장치 및 방법
KR20070043574A (ko) * 2005-10-21 2007-04-25 삼성전자주식회사 아이피 터널링 경로 상의 터널 시그널링을 수행하는 방법및 장치
KR100656483B1 (ko) 2006-02-09 2006-12-11 삼성전자주식회사 IPv4-IPv6 네트워크에서의 보안 장치 및 방법

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
"IPv6 전환 환경에서의 보안기술 분석",전자통신동향분석, 제21권제5호, 2006.10.*

Also Published As

Publication number Publication date
KR20080051448A (ko) 2008-06-11

Similar Documents

Publication Publication Date Title
JP4527721B2 (ja) トンネリングを用いたリモートlanのコネクティビティを改善するための装置及び方法
ES2369132T3 (es) Mantenimiento de conversión de direcciones para datos de comunicación.
JP3494610B2 (ja) Tcp終端機能付きipルータ装置および媒体
US8559449B2 (en) Systems and methods for providing a VPN solution
EP2230822B1 (en) Establishing a connection traversing a network address translation gateway
US6501767B1 (en) Mobile IP communication scheme for supporting mobile computer move over different address spaces
EP1683020B1 (en) Virtual private network with pseudo server
KR100679882B1 (ko) 사설 네트워크와 로밍 모바일 단말 사이의 통신
JP4087848B2 (ja) モバイルネットワークをセキュリティベースのvpnと統合するシステム及び方法
US8250643B2 (en) Communication device, communication system, communication method, and program
US8798060B1 (en) Converting between tunneling protocols
KR20020079979A (ko) 로컬 ip 어드레스 및 변환불능 포트 어드레스를사용하는 구내 통신망에 대한 네트워크 어드레스 변환게이트웨이
KR20080026628A (ko) 네트워크 어드레스 변환기 및/또는 방화벽 뒤에 자리한 서버와의 전송-레벨 접속을 설정하기 위한 시스템, 단말, 방법 및 컴퓨터 프로그램 생성물
JP2007208855A (ja) パケット通信システム
CN101156420A (zh) 防止来自网络地址端口转换器所服务的客户机的重复源
EP1700430B1 (en) Method and system for maintaining a secure tunnel in a packet-based communication system
US8037302B2 (en) Method and system for ensuring secure forwarding of messages
Bi et al. IPv4/IPv6 transition technologies and univer6 architecture
CN101222412B (zh) 网络地址转换穿越方法和系统
Ahmed et al. Security threats for IPv6 transition strategies: A review
KR100860406B1 (ko) 인터넷 프로토콜 보안 기반의 정적 터널링 방법 및 장치
WO2016078235A1 (zh) 基于PNAT向IPv6过渡的网络转换实现方法、装置
CN114424599B (zh) 用于传输基于会话的包的方法和系统
Žagar et al. Testing the tools for IPv6 traffic tunneling
Joseph et al. Performance Analysis of (AIMM-I46) Addressing, Inter-mobility and Interoperability Management Architecture between IPv4 and IPv6 Networks

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee