KR101093066B1 - Packet Security Method and Apparatus Thereof - Google Patents
Packet Security Method and Apparatus Thereof Download PDFInfo
- Publication number
- KR101093066B1 KR101093066B1 KR1020050108639A KR20050108639A KR101093066B1 KR 101093066 B1 KR101093066 B1 KR 101093066B1 KR 1020050108639 A KR1020050108639 A KR 1020050108639A KR 20050108639 A KR20050108639 A KR 20050108639A KR 101093066 B1 KR101093066 B1 KR 101093066B1
- Authority
- KR
- South Korea
- Prior art keywords
- packet
- security
- security level
- determined
- algorithm
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0457—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply dynamic encryption, e.g. stream encryption
Abstract
패킷 보안방법 및 그 장치가 개시된다. 본 발명에 따른 패킷 보안방법은, 전송대상 패킷의 특성을 검출하는 단계, 검출된 특성에 따라 상기 패킷의 보안레벨을 결정하는 단계, 및 결정된 보안레벨에 따라 보안패킷을 생성하는 단계를 통해 구현된다. 여기서 패킷의 특성은 상기 패킷의 목적지 주소, 상기 패킷을 보내는 디바이스, 상기 패킷의 전송 프로토콜, 상기 패킷 사이즈, 상기 패킷의 어플리케이션, 및 상기 패킷의 지정 보안레벨 중 적어도 하나가 될 수 있을 것이다. 본 발명에 따르면, 종래 디바이스 단위로 적용되던 보안기능을 전송되는 패킷의 특성에 따라 적응적으로 적용함으로써 보안 기능 적용에 유연성을 부여할 수 있으며, 이에 의해 자원의 효율적 이용이 가능하게 되는 장점이 있다.A packet security method and apparatus are disclosed. The packet security method according to the present invention is implemented by detecting a characteristic of a transmission target packet, determining a security level of the packet according to the detected characteristic, and generating a security packet according to the determined security level. . The characteristic of the packet may be at least one of a destination address of the packet, a device for sending the packet, a transmission protocol of the packet, the packet size, an application of the packet, and a specified security level of the packet. According to the present invention, by applying the security function applied to the conventional device unit adaptively according to the characteristics of the transmitted packet, it is possible to give flexibility to the security function application, thereby enabling the efficient use of resources. .
네트워크, 보안방법, 패킷특성, 보안레벨, 패킷 보안, 패킷 전송 Network, security method, packet characteristics, security level, packet security, packet transmission
Description
도 1은 본 발명에 따른 패킷 보안장치가 적용되는 홈디바이스들 및 홈서버를 포함하는 홈네트워크 시스템의 일 예를 나타내는 도면,1 is a diagram illustrating an example of a home network system including home devices and a home server to which a packet security apparatus according to the present invention is applied;
도 2는 본 발명에 따른 패킷 보안장치의 개략적인 구성을 나타내는 블록도, 및2 is a block diagram showing a schematic configuration of a packet security apparatus according to the present invention; and
도 3은 본 발명에 따른 패킷 보안방법를 나타내는 절차흐름도이다.3 is a flowchart illustrating a packet security method according to the present invention.
본 발명은 패킷 보안방법 및 그 장치에 관한 것으로, 더욱 상세하게는 패킷특성에 따라 보안레벨을 조절하는 패킷 보안방법 및 그 장치에 관한 것이다. The present invention relates to a packet security method and apparatus, and more particularly, to a packet security method and apparatus for adjusting the security level according to the packet characteristics.
인터넷과 같이 공개된 네트워크를 이용하는데 있어서의 커다란 문제점은 외부로부터 시스템에 칩입하거나 제3자인 척하고 불법으로 접속하는 것과 같은 보안 문제이다. A major problem with using open networks such as the Internet is security issues such as invading systems from outside or pretending to be third parties and illegally accessing them.
이러한, 인터넷 보안 문제의 해결을 위해 IPSec(Internet Protocol Security) 및 SSL(Secure Socket Layer) 등이 대표적으로 사용되고 있다.In order to solve such an Internet security problem, IPSec (Internet Protocol Security) and SSL (Secure Socket Layer) are typically used.
IPSec는 IP계층에서 인증 및 암호화를 위한 인터넷 표준의 확장으로 양 디바 이스 사이의 안전한 통신을 위해 데이터 암호화를 제공한다. IPSec로 통신하는 양 디바이스는 먼저 IKE(Internet Key Exchange)를 통해 키와 인증·암호 알고리즘을 연계하는 보안연계(Security Association)를 수행하여 그 정보를 공유한 후, 그 정보에 따라 전송되는 데이터에 보안 기능(security function)을 적용하여 전송한다.IPSec is an extension of the Internet standard for authentication and encryption at the IP layer, providing data encryption for secure communication between both devices. Both devices that communicate with IPSec first perform a Security Association that links keys with authentication and encryption algorithms through IKE (Internet Key Exchange), share the information, and then secure the data transmitted according to the information. Send by applying a security function.
SSL은 표현(Presentation)계층에서 양 디바이스 사이의 안전한 통신을 위해 데이터 암호화를 제공하며, 핸드쉐이크(Handshake) 프로토콜을 통해 양 디바이스 간에 사용할 키와 알고리즘을 정한 후 그 값을 양 디바이스간의 통신에 사용한다.SSL provides data encryption for secure communication between both devices at the presentation layer.The handshake protocol determines the key and algorithm to be used between the devices and then uses the value for communication between the devices. .
이러한 종래의 보안 기술에 의하면, 전송되는 패킷의 특성에 상관없이 하나의 디바이스에 하나의 키와 알고리즘만이 적용되고, 보안 연계 과정에서 정해진 정적인 하나의 보안 기능만이 적용되게 된다.According to the conventional security technology, only one key and algorithm are applied to one device regardless of the characteristics of the transmitted packet, and only one static security function determined in the security association process is applied.
따라서, 전송되는 패킷의 유형 및 특성을 고려하지 않고 미리 정해진 하나의 키와 알고리즘 및 보안 기능만이 일괄적으로 적용됨으로써, 요구되는 보안 수준이 낮은 경우에도 과도한 보안 기능이 적용되어 자원 사용 면에서 비효율이 초래될 수 있고, 반대로 보다 높은 보안 수준이 요구되는 경우에는 이를 충분히 지원하지 못하는 문제점이 있다.Therefore, only one predetermined key, algorithm, and security function are applied in a batch without considering the type and characteristics of transmitted packets, so that even when the required security level is low, excessive security functions are applied, resulting in inefficient resource usage. This may be caused, on the contrary, if a higher level of security is required, there is a problem in that it is not sufficiently supported.
따라서, 본 발명의 목적은, 패킷특성에 따라 보안레벨을 조절하는 패킷 보안방법 및 그 장치를 제공함에 있다.Accordingly, an object of the present invention is to provide a packet security method and apparatus for adjusting the security level according to packet characteristics.
상기 목적을 달성하기 위한 본 발명에 따른 패킷 보안방법은, 전송대상 패킷 의 특성을 검출하는 단계, 상기 검출된 특성에 따라 상기 패킷의 보안레벨을 결정하는 단계, 및 상기 결정된 보안레벨에 따라 보안패킷을 생성하는 단계를 포함한다.Packet security method according to the present invention for achieving the above object, detecting the characteristics of the packet to be transmitted, determining the security level of the packet according to the detected characteristics, and the security packet according to the determined security level Generating a step.
바람직하게는, 상기 패킷의 특성은 상기 패킷의 목적지 주소, 상기 패킷을 보내는 디바이스, 상기 패킷의 전송 프로토콜, 상기 패킷 사이즈, 상기 패킷의 어플리케이션, 및 상기 패킷의 지정 보안레벨 중 적어도 하나인 것을 특징으로 한다.Preferably, the characteristic of the packet is at least one of a destination address of the packet, a device sending the packet, a transmission protocol of the packet, the packet size, an application of the packet, and a specified security level of the packet. do.
또한, 상기 검출된 패킷의 특성이 복수개인 경우에, 각 특성에 따라 상기 패킷의 보안레벨을 단계적으로 결정하는 것을 특징으로 한다.In addition, when there are a plurality of characteristics of the detected packet, it is characterized by determining the security level of the packet in accordance with each characteristic step by step.
또한, 상기 결정된 보안레벨에 따라 상기 패킷을 암호화하는 데 사용되는 알고리즘을 결정하는 단계를 더 포함한다.The method may further include determining an algorithm used to encrypt the packet according to the determined security level.
또한, 상기 결정된 알고리즘이 상기 패킷의 목적지 디바이스에 적합하지 않은 경우에, 상기 패킷의 목적지 디바이스에 적합한 새로운 알고리즘을 셋업하는 단계를 더 포함하는 것을 특징으로 한다.And if the determined algorithm is not suitable for the destination device of the packet, setting up a new algorithm suitable for the destination device of the packet.
또한, 상기 결정된 보안레벨에 대응되는 알고리즘이 보안도구 데이터베이스에 존재하지 않는 경우에 상기 결정된 보안레벨에 적용 가능한 대체 알고리즘을 결정하는 단계를 더 포함한다.The method may further include determining an alternative algorithm applicable to the determined security level when an algorithm corresponding to the determined security level does not exist in the security tool database.
또한, 상기 결정된 보안레벨에 대응되는 알고리즘이 보안도구 데이터베이스에 존재하지 않는 경우에, 상기 결정된 보안레벨에 대응되는 알고리즘을 셋업하는 단계를 더 포함한다.The method may further include setting up an algorithm corresponding to the determined security level when the algorithm corresponding to the determined security level does not exist in the security tool database.
또한, 상기 패킷의 보안레벨은, 미리 설정된 보안정책이 있을 시 그것에 따 라 결정되는 단계를 더 포함하는 것을 특징으로 한다.In addition, the security level of the packet, characterized in that it further comprises the step of determining according to the preset security policy, if there is.
또한, 상기 보안레벨은 조정가능한 것을 특징으로 한다.In addition, the security level is characterized in that adjustable.
한편, 본 발명에 따른 패킷 보안장치는, 전송대상 패킷의 특성을 검출하는 패킷특성 검출부, 상기 검출된 특성에 따라 상기 패킷의 보안레벨을 결정하는 보안레벨 결정부, 및 상기 결정된 보안레벨에 따라 상기 보안패킷을 생성하는 보안패킷 생성부를 포함한다.On the other hand, the packet security apparatus according to the present invention, a packet characteristic detection unit for detecting the characteristics of the packet to be transmitted, a security level determination unit for determining the security level of the packet in accordance with the detected characteristics, and according to the determined security level It includes a security packet generation unit for generating a security packet.
바람직하게는, 상기 패킷의 특성은 상기 패킷의 목적지 주소, 상기 패킷을 보내는 디바이스 및 디바이스가 속한 카테고리, 상기 패킷의 전송 프로토콜, 상기 패킷 사이즈, 상기 패킷의 어플리케이션, 및 상기 패킷의 지정 보안레벨 중 적어도 하나인 것을 특징으로 한다.Preferably, the characteristic of the packet is at least one of a destination address of the packet, a device sending the packet and a category to which the device belongs, a transmission protocol of the packet, the packet size, an application of the packet, and a specified security level of the packet. It is characterized by one.
또한, 상기 보안레벨 결정부는 상기 검출된 패킷의 특성이 복수개인 경우에, 각 특성에 따라 상기 패킷의 보안레벨을 단계적으로 결정하는 것을 특징으로 한다.The security level determining unit may determine the security level of the packet step by step according to each characteristic when there are a plurality of characteristics of the detected packet.
또한, 상기 보안패킷 생성부는 상기 결정된 보안레벨에 따라 상기 패킷을 암호화하는 데 사용되는 알고리즘을 결정하는 것을 특징으로 한다.The security packet generator may determine an algorithm used to encrypt the packet according to the determined security level.
또한, 상기 보안패킷 생성부는 상기 결정된 알고리즘이 상기 패킷의 목적지 디바이스에 적합하지 않은 경우에, 상기 패킷의 목적지 디바이스에 적합한 새로운 알고리즘을 셋업하는 것을 특징으로 한다.The security packet generation unit may set up a new algorithm suitable for the destination device of the packet when the determined algorithm is not suitable for the destination device of the packet.
또한, 상기 보안패킷 생성부는 상기 결정된 보안레벨에 대응되는 알고리즘이 보안도구 데이터베이스에 존재하지 않는 경우에 상기 결정된 보안레벨에 적용 가능한 대체 알고리즘을 결정하는 것을 특징으로 한다.The security packet generation unit may determine an alternative algorithm applicable to the determined security level when the algorithm corresponding to the determined security level does not exist in the security tool database.
또한, 상기 보안패킷 생성부는 상기 결정된 보안레벨에 대응되는 알고리즘이 보안도구 데이터베이스에 존재하지 않는 경우에, 상기 결정된 보안레벨에 대응되는 알고리즘을 셋업하는 것을 특징으로 한다.The security packet generator may set up an algorithm corresponding to the determined security level when an algorithm corresponding to the determined security level does not exist in the security tool database.
또한, 상기 패킷의 보안레벨은, 미리 설정된 보안정책이 있을시 그것에 따라 결정되는 것을 특징으로 한다.In addition, the security level of the packet is characterized in that it is determined according to the preset security policy.
또한, 상기 보안레벨은 조정가능한 것을 특징으로 한다.In addition, the security level is characterized in that adjustable.
이하에서는 도면을 참조하여 본 발명을 보다 상세하게 설명한다.Hereinafter, with reference to the drawings will be described the present invention in more detail.
본 발명에 따른 보안통신장치는 인터넷과 같이 공개된 네트워크 상에서 데이터를 송수신해야하는 디바이스들에 적용되어, 각 디바이스들에서 전송되는 패킷들에 보안기능을 적용할 수 있다. 이하, 설명의 편의를 위해 홈 네트워크 시스템에 구축된 홈 디바이스들 및 홈서버에 본 발명에 따른 보안통신장치가 적용된 예에 대해서 설명하기로 한다.The secure communication apparatus according to the present invention can be applied to devices that need to transmit and receive data on a public network such as the Internet, so that a security function can be applied to packets transmitted from each device. For convenience of description, an example in which the secure communication apparatus according to the present invention is applied to home devices and a home server built in a home network system will be described.
도 1은 본 발명에 따른 패킷 보안장치가 적용되는 홈디바이스들 및 홈서버를 포함하는 홈네트워크 시스템의 일 예를 나타내는 도면이다. 도 1을 참조하면, 홈 네트워크 시스템은 디지털 기기로써 인터넷으로 작동가능한 노트북(20), 냉장고(30), 오디오(40)와 같은 홈디바이스들과 상기 홈디바이스들을 관리/제어하는 홈서버(10)로 구성되어 있으며, 홈디바이스들을 식별할 수 있도록 각 홈디바이스들에 할당된 IP (Internet Protocol)주소, 디바이스 카테고리, 디바이스 ID 등에 대한 정보가 홈서버(10)에 등록된다. 1 is a diagram illustrating an example of a home network system including home devices and a home server to which a packet security apparatus according to the present invention is applied. Referring to FIG. 1, a home network system is a digital device, and a home server such as a
본 도면에서는 설명의 편의상 노트북(20), 냉장고(30), 오디오(40) 만이 홈 서버(10)에 연결되어 있는 것으로 도시하였으나, 퍼스널 컴퓨터, 팩스, 스캐너, 프린터 등과 같은 정보계 디바이스, TV, 셋탑박스, DVD, VCR, 캠코더, 가정용 게임기 등과 같은 A/V 디바이스, 커피메이커, 전기밥솥, 세탁기, 전자레인지, 카메라 등과 같은 생활가전 디바이스, 및 리모콘, 인터폰, 센서, 라이트 등과 같은 더미 디바이스 등이 홈서버(10)에 연결되어 등록될 수 있음은 물론이다.In the figure, for convenience of description, only the
상기와 같은 홈디바이스들(20, 30, 40) 및 홈서버(10)로 구성된 홈네트워크 에 대한 신뢰성을 제공하기 위해서는 홈디바이스들(20, 30, 40)에 대한 인증이 필요하고, 홈디바이스들(20, 30, 40) 및 홈서버(10) 상호 간에 전송되는 데이터들에 대한 암호화 등 보안 기능의 적용이 요청된다. 이러한 보안 기능의 수행을 위한 본 발명에 따른 보안통신장치는 홈디바이스들(20, 30, 40) 및 홈서버(10)에 각각 구비될 수 있다.In order to provide reliability for a home network composed of the
도 2는 본 발명에 따른 패킷 보안장치의 개략적인 구성을 나타내는 블록도이다. 도 2를 참조하면, 본 발명에 따른 패킷 보안장치(100)는 제1 송신부(110), 패킷특성 검출부(130), 보안레벨 결정부(150), 보안패킷 생성부(170), 제2 송신부(190), 보안정책 테이블(120), 및 보안도구 데이터 베이스(140)를 포함한다.2 is a block diagram showing a schematic configuration of a packet security apparatus according to the present invention. Referring to FIG. 2, the
제1 송신부(110)는 외부 디바이스로부터 전송된 패킷을 수신한다. 본 발명을 실시함에 있어서는, 패킷에는 해당 패킷의 특성정보가 포함되어야 하며, 이러한 특성정보는 패킷의 목적지 주소(예를 들면, IP주소), 패킷의 전송 프로토콜, 패킷 사이즈, 패킷이 사용되는 어플리케이션, 패킷에 대해 기설정된 지정 보안레벨, 패킷에 대한 추천 보안레벨, 패킷이 사용되는 디바이스 카테고리, 및 패킷 카테고리 등 이 될 수 있을 것이다.The
한편, 제1 송신부(110)는 수신한 패킷을 패킷특성 검출부(130)에 전송하며, 패킷특성 검출부(130)는 전송받은 패킷에 포함된 정보로부터 해당 패킷의 특성을 검출한다. 패킷특성 검출부(130)에 의해서 검출된 패킷특성은 보안레벨 결정부(150)로 전송된다. Meanwhile, the
이에 보안레벨 결정부(150)는 패킷특성 검출부(130)로부터 전송받은 패킷특성으로부터 해당 패킷에 대한 보안정도를 의미하는 보안레벨을 결정한다. 보안레벨 결정부(150)가 해당 패킷의 특성으로부터 보안레벨을 결정함에 있어서는, 패킷보안장치(100)가 저장하고 있는 보안정책 테이블(120)을 이용한다.Accordingly, the security level determiner 150 determines a security level indicating a security level for the packet from the packet characteristics received from the
하기의 <표 1>에서는 본 발명에 따른 패킷보안장치가 저장하고 있는 보안정책 테이블의 일예를 나타내었다.Table 1 below shows an example of a security policy table stored in the packet security apparatus according to the present invention.
사이즈packet
size
프로토콜send
protocol
카테고리packet
category
레벨security
level
165.132.49.5
165.132.49.5
컴퓨터
computer
thres2thres1 <<
thres2
165.132.49.25
165.132.49.25
냉장고
Refrigerator
thres2thres1 <<
thres2
예를 들어, 패킷의 수신지 IP주소가 165.132.49.5이고, 디바이스 카테고리가 컴퓨터이며, 사용된 애플리케이션이 워드프로세서(word processor)이고, 메시지 사이즈가 thres2 보다 작으며, 사용된 전송 프로토콜이 IEEE1394이고, 패킷의 카테고리가 엔터테인먼트이면 보안레벨 결정부(150)는 보안레벨을 3으로 결정한다. 이처럼 검출된 패킷의 특성정보가 복수개인 경우에, 각 특성에 따라 패킷의 보안레벨을 결정은 단계적으로 이루어지게 된다. For example, the packet's destination IP address is 165.132.49.5, the device category is computer, the application used is a word processor, the message size is smaller than thres2, the transport protocol used is IEEE1394, If the category of the packet is entertainment, the security
즉, 보안레벨 결정부(150)는 패킷특성 검출부(130)로부터 전송받은 패킷특성 및 보안정책 테이블(120)를 통해 해당 패킷에 대한 보안레벨을 결정한다. 만약, 패킷특성 정보 중에 해당 패킷에 대해 기설정된 지정 보안레벨에 대한 정보가 있다면, 그에 따라 보안레벨이 결정될 수도 있을 것이다.That is, the security
보안레벨 결정부(150)는 해당 패킷에 대해 결정된 보안레벨에 대한 정보를 보안패킷 생성부(170)로 전송한다. 이에 보안패킷 생성부(170)는 보안레벨 결정부(150)로부터의 해당 패킷의 보안레벨에 따라 보안패킷을 생성하게 된다.The
좀 더 상세히 설명하면, 먼저 보안패킷 생성부(170)는 보안레벨 결정부(150)에서 결정된 보안레벨에 따라 보안기능 맵핑테이블을 참조하여 패킷에 적용할 보안기능을 결정한다.In more detail, first, the
보안기능 맵핑테이블은 하기 <표 2>와 같이 보안레벨에 따라 패킷에 적용할 보안기능 및 보안 알고리즘과 키 사이즈를 맵핑시켜 저장한다.The security function mapping table maps and stores the security functions, security algorithms, and key sizes to be applied to packets according to security levels as shown in Table 2 below.
1
One
User Auth.
User Auth.
4
Signature / Encryption
예를 들어, 보안레벨 결정부(150)에서 결정된 보안레벨이 3인 경우에 보안패킷 생성부(170)는 Block Cipher(AES) 알고리즘을 사용하여 패킷을 암호화(Encryption)할 것을 결정하고, 결정된 보안기능에 따라 패킷에 적용할 알고리즘이나 키와 같은 보안도구(Security Material)를 보안도구 데이터베이스(140)에서 찾아서 패킷에 적용함으로써 보안기능이 적용된 패킷을 생성한다.For example, when the security level determined by the
만약, 결정된 보안레벨에 대응되는 알고리즘이 보안기능 맵핑 테이블에 존재하지 않는 다면, 보안패킷 생성부(170)는 결정된 보안레벨에 적용 가능한 대체 알고리즘을 결정할 수 있다. 이 경우 대체 알고리즘을 결정함에 있어서는, 해당 보안레벨보다 한단계 높거나, 한단계 낮은 보안레벨에 대응되는 알고리즘으로 결정할 수도 있을 것이다. 또는 이러한 경우에 보안패킷 생성부(170)는 보안레벨 결정부(150)에서 결정된 보안레벨에 가장 근접한 알고리즘으로 결정하고, 보안도구 데이터베이스(140)에서 이를 찾아서 패킷에 적용함으로써 보안기능이 적용된 패킷을 생성할 수도 있을 것이다.If an algorithm corresponding to the determined security level does not exist in the security function mapping table, the
이하, 표 3을 참조하여 보안레벨에서 가장 근접한 알고리즘을 찾는 방법에 대해서 설명한다.Hereinafter, a method of finding the closest algorithm at the security level will be described with reference to Table 3.
2
2
표 3과 같이 IP주소가 165.132.49.25인 홈디바이스로 전송해야할 패킷에 대해 적용할 알고리즘이 정해져 있지 않으며, IP주소 165.132.49.25에 가장 근접한 IP주소인 165.132.49.4에 적용되는 알고리즘 DES를 적용할 수 있다. As shown in Table 3, the algorithm to be applied to the packet to be sent to the home device with the IP address 165.132.49.25 is not determined, and the algorithm DES applied to the 165.132.49.4 IP address closest to the IP address 165.132.49.25 can be applied. have.
또한, 보안기능 맵핑테이블상에서 특정 보안레벨에 대응되는 알고리즘이 보안도구 데이터베이스(140)에 존재하지 않는다면, 보안패킷 생성부는 해당 보안레벨에 대응되는 알고리즘으로 셋업할 수도 있을 것이다. 즉, 해당 패킷에 적용할 보안도구인 알고리즘 등을 보안도구 데이터베이스(140)내에서 찾지 못하면, 보안패킷 생성부(170)는 종래 방법에 의한 보안연계 프로세스를 시작하여 보안도구를 설정하고, 설정된 보안도구에 따라 패킷에 보안기능을 적용하게 된다.In addition, if an algorithm corresponding to a specific security level in the security function mapping table does not exist in the
아울러, 보안패킷 생성부(170)는 결정된 알고리즘이 패킷의 목적지 디바이스가 사용할 수 없는 알고리즘이거나, 목적지 디바이스에 해당 알고리즘을 사용하기 위해 필요한 메모리, CPU등과 같은 자원이 충분하지 않은 경우처럼, 결정된 알고리즘이 패킷의 목적이 디바이스에 적합하지 않은 경우에, 패킷의 목적지 디바이스에 적합한 새로운 알고리즘을 셋업할 수도 있을 것이다.In addition, the security
이 경우 새로운 알고리즘을 셋업함에 있어서, 패킷의 목적지 디바이스에 저장되어 있는 보안도구인 알고리즘을 셋업할 수도 있을 것이다. 예를 들어, 목적지 디바이스가 센서 등 저자원 디바이스인 경우에는 기존에 있던 보안도구를 적용하도록 구현할 수 있을 것이다.In this case, in setting up a new algorithm, one may set up an algorithm, which is a security tool stored in the packet's destination device. For example, if the destination device is a low-power device such as a sensor, it may be implemented to apply an existing security tool.
한편, 보안패킷 생성부(170)는 생성된 보안패킷을 제2 송신부(190)에 전송하며, 제2 송신부(190)는 보안패킷 생성부(170)로부터의 보안패킷을 목적지 디바이스에 전송하게 된다.Meanwhile, the
도 3은 본 발명에 따른 패킷 보안방법를 나타내는 절차흐름도이다.3 is a flowchart illustrating a packet security method according to the present invention.
도 2 및 도 3을 참조하여, 본 발명에 따른 패킷 보안방법을 설명하면, 먼저, 패킷 보안장치(100)는 외부 디바이스로부터의 패킷이 수신되었는지 여부를 확인한다. 한편, 본 발명을 실시함에 있어서 패킷 보안장치(100)는 외부 디바이스로부터의 패킷에 대한 보안을 수행할 수 있을 뿐만 아니라, 패킷 보안장치(100) 내부의 패킷에 대한 보안을 수행할 수도 있을 것이다.2 and 3, a packet security method according to the present invention will be described. First, the
외부 디바이스로 패킷 송신을 할 경우(S200)(또는 패킷 보안장치(100)내의 패킷에 대한 보안의 수행의 필요가 있는 경우), 패킷특성 검출부(130)는 해당 패킷의 특성을 검출한다(S205). 검출된 패킷특성으로부터 보안레벨을 결정함에 있어서, 보안레벨 결정부(150)는 우선 해당 패킷에 대한 지정 보안레벨이 존재하는 지를 확인한다(S210). 발명을 실시함에 있어서, 지정 보안레벨에 대한 정보는 보안 플래그(security sensitivity flag)의 형태로 해당 패킷에 포함되어 있을 수도 있을 것이다.When packet transmission is performed to an external device (S200) (or when it is necessary to perform security on a packet in the packet security device 100), the packet
지정 보안레벨이 존재하는 경우에 보안레벨 결정부(150)는 패킷에 지정된 해당 보안레벨로 보안레벨을 결정하고(S215), 지정 보안레벨이 존재하지 않는 경우에 보안레벨 결정부(150)는 패킷특성 검출부(130)에서 검출된 패킷의 특성정보 및 보안정책 테이블(120)을 이용하여, 해당 패킷에 대한 보안레벨을 결정한다(S220). If the specified security level exists, the security
그 다음, 보안패킷 생성부(170)는 보안레벨 결정부(150)에서 결정된 보안레벨에 따라 보안에 사용될 알고리즘 등의 보안도구를 결정하고(S225), 결정된 알고리즘에 해당하는 도구들이 보안도구 데이터 베이스(140)에 존재하는 지 여부를 확인한다(S230). Next, the security
결정된 알고리즘에 해당하는 도구들이 보안도구 데이터 베이스(140)에 존재하지 않는 경우에는 대체 알고리즘을 결정하고(S235), 결정된 알고리즘이 보안도구 데이터 베이스(140)에 존재하는 경우 및 대체 알고리즘을 결정한 경우에는 결정된 알고리즘이 목적지 디바이스에 적용가능한지 여부를 확인한다(S240).If tools corresponding to the determined algorithm do not exist in the
보안패킷 생성부(170)는 결정된 알고리즘이 목적지 디바이스에 적용가능하지 않은 경우에 새로운 알고리즘을 셋업하게 된다(S245).The security
결정된 알고리즘이 목적지 디바이스에서 적용가능한 경우 및 새로운 알고리즘을 셋업한 경우에, 보안패킷 생성부(170)는 해당 알고리즘 등의 보안도구를 이용하여 보안패킷을 생성하고(S250), 생성된 보안패킷을 제2 송신부(190)를 통해 목적지 디바이스로 전송한다(S255).When the determined algorithm is applicable to the destination device and when a new algorithm is set up, the
이상 설명한 바와 같이, 본 발명에 따르면, 종래 디바이스 단위로 적용되던 보안기능을 전송되는 패킷의 특성에 따라 적응적으로 적용함으로써 보안 기능 적용에 유연성을 부여할 수 있으며, 이에 의해 자원의 효율적 이용이 가능하게 되는 장점이 있다.As described above, according to the present invention, by applying the security function applied to the conventional device unit adaptively according to the characteristics of the transmitted packet, it is possible to give flexibility to the security function application, thereby enabling efficient use of resources. There is an advantage to doing that.
또한, 전송되는 데이터 패킷에 대한 보안레벨 결정, 보안기능 선택 및 보안기능 적용이 애플리케이션의 밑단에서 자동적으로 이루어지므로, 사용자의 측면에서 개입을 최소화하면서 보다 편리하게 전송되는 데이터 패킷에 보안기능을 적용할 수 있는 장점이 있다.In addition, since security level determination, security function selection, and security function application are automatically performed at the bottom of the application, it is possible to apply security functions to data packets that are transmitted more conveniently with minimal intervention from the user's perspective. There are advantages to it.
또한, 이상에서는 본 발명의 바람직한 실시예 및 응용예에 대하여 도시하고 설명하였지만, 본 발명은 상술한 특정의 실시예 및 응용예에 한정되지 아니하며, 청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 당해 발명이 속하는 기술 분야에서 통상의 지식을 가진자에 의해 다양한 변형실시가 가능한 것은 물론이고, 이러한 변형실시들은 본 발명의 기술적 사상이나 전망으로부터 개별적으로 이해되어져서는 안될 것이다.In addition, while the above has been shown and described with respect to preferred embodiments and applications of the present invention, the present invention is not limited to the specific embodiments and applications described above, without departing from the gist of the invention claimed in the claims Various modifications can be made by those skilled in the art to which the present invention pertains, and these modifications should not be individually understood from the technical spirit or the prospect of the present invention.
Claims (18)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US11/356,138 US8438629B2 (en) | 2005-02-21 | 2006-02-17 | Packet security method and apparatus |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR20050014173 | 2005-02-21 | ||
KR1020050014173 | 2005-02-21 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20060093265A KR20060093265A (en) | 2006-08-24 |
KR101093066B1 true KR101093066B1 (en) | 2011-12-13 |
Family
ID=37601452
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020050108639A KR101093066B1 (en) | 2005-02-21 | 2005-11-14 | Packet Security Method and Apparatus Thereof |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101093066B1 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20160081295A (en) * | 2014-12-31 | 2016-07-08 | 한국조폐공사 | A Processing Method of Secured Message Capable of High Speed Transmitting Large Data in e-ID Card |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8749805B2 (en) | 2007-06-28 | 2014-06-10 | Samsung Electronics Co., Ltd. | Method and apparatus for allowing packet in network image forming apparatus includes setting user account information corresponding to plurality of network interfaces |
KR101489244B1 (en) | 2007-12-24 | 2015-02-04 | 삼성전자 주식회사 | System and method for controlling program execution based on virtual machine monitor |
KR101613572B1 (en) * | 2014-12-03 | 2016-04-29 | 조선대학교산학협력단 | Variable encryption algorithm management apparatus and method based on the security environment changes |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040128553A1 (en) * | 2002-12-31 | 2004-07-01 | Buer Mark L. | Security association updates in a packet load-balanced system |
-
2005
- 2005-11-14 KR KR1020050108639A patent/KR101093066B1/en not_active IP Right Cessation
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040128553A1 (en) * | 2002-12-31 | 2004-07-01 | Buer Mark L. | Security association updates in a packet load-balanced system |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20160081295A (en) * | 2014-12-31 | 2016-07-08 | 한국조폐공사 | A Processing Method of Secured Message Capable of High Speed Transmitting Large Data in e-ID Card |
KR101638706B1 (en) * | 2014-12-31 | 2016-07-13 | 한국조폐공사 | A Processing Method of Secured Message Capable of High Speed Transmitting Large Data in e-ID Card |
Also Published As
Publication number | Publication date |
---|---|
KR20060093265A (en) | 2006-08-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8438629B2 (en) | Packet security method and apparatus | |
USRE49876E1 (en) | Secure configuration of a headless networking device | |
US8078874B2 (en) | Method and apparatus for transmitting data using authentication | |
US7774594B2 (en) | Method and system for providing strong security in insecure networks | |
US7644265B2 (en) | Content transmitting device, content receiving device and content transmitting method | |
JP4102290B2 (en) | Information processing device | |
EP4014425B1 (en) | Secure publish-subscribe communication methods and apparatus | |
US8762722B2 (en) | Secure information distribution between nodes (network devices) | |
US20060265735A1 (en) | Content transmission apparatus, content reception apparatus, content transmission method and content reception method | |
KR20060112252A (en) | Content transmitting apparatus | |
JP2019017102A (en) | Internet of things device | |
KR20050117543A (en) | Information processing device, information processing method, and computer program | |
KR100631199B1 (en) | System and method for setting a device by a remote controller | |
KR20050075676A (en) | Contents transmitting apparatus, contents receiving apparatus, and contents transfering method | |
WO2023207975A1 (en) | Data transmission method and apparatus, and electronic device | |
KR101093066B1 (en) | Packet Security Method and Apparatus Thereof | |
WO2020237880A1 (en) | Data exchange method based on asymmetric encryption technology, sending terminal and computer readable storage medium | |
CN104135471A (en) | Anti-hijack communication method of DNS (Domain Name System) | |
JP2008054348A (en) | Information processing apparatus | |
GB2411801A (en) | Establishing secure connections in ad-hoc wireless networks in blind trust situations | |
JP6056970B2 (en) | Information processing apparatus, terminal, information processing system, and information processing method | |
WO2018172776A1 (en) | Secure transfer of data between internet of things devices | |
KR20040097717A (en) | Method and system for transporting session key | |
GB2560895A (en) | Secure transfer of data between internet of things devices | |
US20230239138A1 (en) | Enhanced secure cryptographic communication system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
LAPS | Lapse due to unpaid annual fee |