KR101376171B1 - Ipsec vpn apparatus and communication method using the same - Google Patents

Ipsec vpn apparatus and communication method using the same Download PDF

Info

Publication number
KR101376171B1
KR101376171B1 KR1020120089683A KR20120089683A KR101376171B1 KR 101376171 B1 KR101376171 B1 KR 101376171B1 KR 1020120089683 A KR1020120089683 A KR 1020120089683A KR 20120089683 A KR20120089683 A KR 20120089683A KR 101376171 B1 KR101376171 B1 KR 101376171B1
Authority
KR
South Korea
Prior art keywords
packet
rtp
protocol
address
srtp
Prior art date
Application number
KR1020120089683A
Other languages
Korean (ko)
Inventor
고행석
박상현
이준호
이상이
윤장홍
박중길
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020120089683A priority Critical patent/KR101376171B1/en
Application granted granted Critical
Publication of KR101376171B1 publication Critical patent/KR101376171B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/18Protocol analysers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/256NAT traversal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Telephonic Communication Services (AREA)

Abstract

The present invention relates to an Internet protocol security virtual private network (IPSec VPN) apparatus having a voice over Internet protocol (VoIP) security communication function, and a communication method using the same. The Internet protocol security virtual private network apparatus includes a reception unit for receiving a packet from an internal network or an external network, an address conversion unit for changing an IP address and a port number of the packet received by the reception unit by using a network address conversion passing protocol, an identification unit for to which packet the packet received by the reception unit corresponds from an SIP (session initiation protocol) packet, an RTP (Real-Time Transport Protocol) packet, an IP (Internet Protocol) packet, an SRTP (Secure Real-Time Transport Protocol) packet, an ESP (Encapsulating Security Payload) packet, a packet processing unit for converting the packet according to a result identified by the identification unit, and a transmission unit for transmitting a packet converted by the packet processing unit to the external network or the internal network.

Description

인터넷 프로토콜 시큐리티 가상 사설망 장치 및 그를 이용하는 통신 방법{IPSec VPN APPARATUS AND COMMUNICATION METHOD USING THE SAME}Internet protocol security virtual private network device and communication method using the same {IPSec VPN APPARATUS AND COMMUNICATION METHOD USING THE SAME}

본 발명은 인터넷 프로토콜 시큐리티 가상 사설망 장치 및 그를 이용하는 통신 방법에 관한 것이다. 보다 상세하게는 보이스 오버 인터넷 프로토콜(VoIP) 보안 통화 기능을 가지는 인터넷 프로토콜 시큐리티 가상 사설망(IPSec VPN) 장치 및 그를 이용하는 통신 방법에 관한 것이다.The present invention relates to an Internet protocol security virtual private network device and a communication method using the same. More specifically, the present invention relates to an Internet Protocol Security Virtual Private Network (IPSec VPN) device having a Voice over Internet Protocol (VoIP) secure call function and a communication method using the same.

일반적으로, 원격지 간의 인터넷 프로토콜(Internet Protocol, 이하 "IP"라고도 함) 패킷을 보호하는 방법은 가상 사설망(virtual private network, 이하 "VPN"라고도 함) 장치를 이용하여 IP 패킷을 암호화 하는 방법이 있다. In general, a method of protecting Internet Protocol (IP) packets between remote locations is a method of encrypting IP packets using a virtual private network (hereinafter referred to as "VPN") device. .

특히, 인터넷 프로토콜 시큐리티 가상 사설망(Internet Protocol Security virtual private network, 이하 "IPSec VPN "라고도 함) 장치는 IP 패킷 레벨에서 데이터를 보호하는 방법을 사용하는 장치로, 내부망에 해당하는 근거리 통신망(Local Area Network, 이하 "LAN"라고도 함) 구간에서 발생된 IP 패킷을 외부망에 해당하는 원거리 통신망(Wide Area Network, 이하 "WAN"라고도 함) 구간으로 전송할 때 모든 IP 패킷을 암호화 하여 전송한다. In particular, the Internet Protocol Security virtual private network (hereinafter referred to as "IPSec VPN") device is a device that uses a method of protecting data at the IP packet level, and is a local area network corresponding to an internal network. When transmitting the IP packet generated in the network, hereinafter referred to as "LAN" section, to the telecommunication network section, which is also referred to as the "WAN" section, all IP packets are encrypted and transmitted.

보이스 오버 인터넷 프로토콜(Voice over Internet Protocol, 이하 "VoIP "라고도 함) 전화 통신 방법은 IP 네트워크를 이용하여 음성을 송수신하는 방법이다. VoIP 전화 통신 방법은 세션 개시 프로토콜(session initiation protocol, 이하 "SIP"라고도 함) 콜 시그널링 프로토콜에 의해 호가 연결된다. VoIP 전화 통신 방법은 실시간 프로토콜(Real-Time Transport Protocol, 이하 "RTP"라고도 함)을 통해 사용자의 음성을 전송하고, 시큐어 실시간 프로토콜(Secure Real-Time Transport Protocol, 이하 "SRTP"라고도 함)을 이용하여 보안 통화가 가능하다. Voice over Internet Protocol (hereinafter referred to as "VoIP") telephony is a method of transmitting and receiving voice using an IP network. In VoIP telephony communication, a call is connected by a session initiation protocol (also referred to as "SIP") call signaling protocol. The VoIP telephony method transmits the user's voice through a real-time transport protocol (also called "RTP") and uses the secure real-time transport protocol (also called "SRTP"). Your secure call is possible.

예를 들어, 지사와 본사 사이에 보안성 있는 데이터 통신과 전화 통화를 수행하기 위하여 IPSec VPN 장치와 보안 VoIP 전화기를 각각 사용한다. IPSec VPN 장치만으로 보안 VoIP 통신을 수행하기 위해서는 가상 사설망(VPN)을 포함한 전용망에서 기존 IPSec VPN 장치에 VoIP 전화를 연결해야 하고, 인터넷 프로토콜 사설 브랜치 교환기(IP-PBX)의 앞단에 IPSec VPN 장치를 추가로 구축해야 한다. 그러나, 이와 같은 방법은 IP-PBX가 있어야만 운용이 가능하므로, 인터넷 전화 서비스 업체를 이용하여 보안 통신을 할 수 없다. For example, IPSec VPN devices and secure VoIP phones are used to securely communicate data and make phone calls between the branch office and the main office. In order to perform secure VoIP communication with only the IPSec VPN device, the VoIP phone must be connected to an existing IPSec VPN device in a private network including a virtual private network (VPN), and an IPSec VPN device is added in front of the Internet Protocol private branch exchange (IP-PBX). It should be built with However, such a method can be operated only with an IP-PBX, and thus, secure communication cannot be performed using an Internet telephone service company.

따라서, 전용망뿐만 아니라 인터넷 전화 서비스 업체를 통하여 VoIP 전화 통신을 수행하기 위해서는 종래의 IPSec VPN 장치만으로 VoIP 보안 통신을 달성할 수 없으므로 별도의 장치가 필요한 실정이다. Therefore, in order to perform VoIP telephony communication not only through a private network but also through an internet telephony service provider, a separate device is required because VoIP security communication cannot be achieved using only a conventional IPSec VPN device.

본 발명의 목적은, 보이스 오버 인터넷 프로토콜(VoIP) 보안 통화 기능을 가지는 인터넷 프로토콜 시큐리티 가상 사설망(IPSec VPN) 장치 및 그를 이용하는 통신 방법을 제공하는 것이다.It is an object of the present invention to provide an Internet Protocol Security Virtual Private Network (IPSec VPN) device having a Voice over Internet Protocol (VoIP) secure call function and a communication method using the same.

상기 과제를 해결하기 위한 본 발명의 실시예에 따른, 인터넷 프로토콜 시큐리티 가상 사설망 장치는 Internet protocol security virtual private network device according to an embodiment of the present invention for solving the above problems

내부망 또는 외부망으로부터 패킷을 수신하는 수신부; 상기 수신부에서 수신한 패킷의 아이피 주소와 포트 번호를 네트워크 주소 변환 통과 프로토콜을 이용하여 변경하는 주소 변환부; 상기 수신부에서 수신한 패킷이 SIP((session initiation protocol) 패킷, RTP(Real-Time Transport Protocol) 패킷, IP(Internet Protocol) 패킷, SRTP(Secure Real-Time Transport Protocol) 패킷, ESP(Encapsulating Security Payload) 패킷 중 어떤 패킷에 해당하는지를 식별하는 식별부; 상기 식별부에서 식별한 결과에 따라 패킷을 변환하는 패킷 처리부; 및 상기 패킷 처리부에 의해 변환된 패킷을 외부망 또는 내부망으로 송신하는 송신부를 포함한다. A receiver which receives a packet from an internal network or an external network; An address translator for changing an IP address and a port number of the packet received by the receiver using a network address translation passthrough protocol; The packet received by the receiver is a Session Initiation Protocol (SIP) packet, a Real-Time Transport Protocol (RTP) packet, an Internet Protocol (IP) packet, a Secure Real-Time Transport Protocol (SRTP) packet, and an Encapsulating Security Payload (ESP) packet. An identification unit for identifying which of the packets corresponds to a packet, a packet processing unit for converting a packet according to the result identified by the identification unit, and a transmission unit for transmitting the packet converted by the packet processing unit to an external network or an internal network. .

상기 패킷 처리부는 상기 내부망에서 수신한 패킷이 SIP 패킷에 해당하는 경우, SIP 콜 시그널링 프로토콜을 이용하여 세션을 연결하여 키 공유를 위한 RTP 패킷을 전송하고, VoIP 보안 통화를 위한 키 공유가 완료되기 전까지 연결된 해당 VoIP 전화기로부터 상기 RTP 패킷이 도착하면 버퍼링을 수행하고, 키 공유가 완료되면 버퍼링된 RTP 패킷을 상기 송신부로 전달하는 것을 특징으로 한다. When the packet received from the internal network corresponds to a SIP packet, the packet processing unit connects a session using a SIP call signaling protocol to transmit an RTP packet for key sharing, and completes key sharing for a VoIP secured call. When the RTP packet arrives from the corresponding VoIP phone connected before, buffering is performed, and when the key sharing is completed, the buffered RTP packet is transmitted to the transmitter.

상기 RTP 패킷은 VoIP 보안 통화를 수행하는데 필요한 패킷으로, VoIP 전화기 식별 아이디, 인터넷 프로토콜 시큐리티 가상 사설망 장치의 식별 아이디, 난수값 중 적어도 하나의 키 공유 데이터를 포함하는 것을 특징으로 한다.The RTP packet is a packet required for conducting a VoIP secure call, and includes at least one key sharing data among a VoIP phone identification ID, an identification ID of an Internet protocol security virtual private network device, and a random value.

상기 패킷 처리부는 상기 내부망에서 수신한 패킷이 RTP 패킷에 해당하는 경우, 상기 RTP 패킷을 SRTP 패킷으로 변환하는 것을 특징으로 한다. The packet processing unit converts the RTP packet into an SRTP packet when the packet received from the internal network corresponds to an RTP packet.

상기 RTP 패킷을 SRTP 패킷으로 변환함에 있어서, 상기 SRTP 패킷의 페이로드를 특정 키 공유 과정에 의해 공유된 키를 이용하여 암호화하는 것을 특징으로 한다. In converting the RTP packet into an SRTP packet, the payload of the SRTP packet is encrypted using a key shared by a specific key sharing process.

상기 패킷 처리부는 상기 내부망에서 수신한 패킷이 IP 패킷에 해당하는 경우, 상기 IP 패킷을 IPsec 프로토콜을 이용하여 ESP 패킷으로 변환하는 것을 특징으로 한다. When the packet received from the internal network corresponds to an IP packet, the packet processing unit converts the IP packet into an ESP packet using an IPsec protocol.

상기 IP 패킷을 ESP 패킷으로 변환함에 있어서, ESP 패킷을 표준 키 관리 프로토콜에 의해 공유된 키를 이용하여 암호화하는 것을 특징으로 한다. In converting the IP packet into an ESP packet, the ESP packet is encrypted using a key shared by a standard key management protocol.

상기 패킷 처리부는 상기 외부망에서 수신한 패킷이 RTP 패킷에 해당하는 경우, 상기 RTP 패킷에서 키 공유를 위한 특정 데이터를 추출하고, 추출한 특정 데이터를 이용하여 VoIP 보안 통신을 위한 키 공유 절차를 수행하는 것을 특징으로 한다. When the packet received from the external network corresponds to an RTP packet, the packet processing unit extracts specific data for key sharing from the RTP packet and performs a key sharing procedure for VoIP secure communication using the extracted specific data. It is characterized by.

상기 패킷 처리부는 상기 외부망에서 수신한 패킷이 SRTP 패킷에 해당하는 경우, 상기 SRTP 패킷에서 암호화 되어 있는 페이로드를 복호화하여 SRTP 패킷을 RTP 패킷으로 변환하는 것을 특징으로 한다. When the packet received from the external network corresponds to an SRTP packet, the packet processing unit converts the SRTP packet into an RTP packet by decrypting the payload encrypted in the SRTP packet.

상기 패킷 처리부는 상기 외부망에서 수신한 패킷이 ESP 패킷에 해당하는 경우, 상기 ESP 패킷을 IPsec 프로토콜을 이용하여 IP 패킷으로 변환하는 것을 특징으로 한다. The packet processing unit converts the ESP packet into an IP packet using an IPsec protocol when the packet received from the external network corresponds to an ESP packet.

상기 과제를 해결하기 위한 본 발명의 다른 실시예에 따른, 인터넷 프로토콜 시큐리티 가상 사설망 장치를 이용하는 통신 방법은 According to another embodiment of the present invention for solving the above problems, a communication method using an Internet protocol security virtual private network device is

내부망 또는 외부망으로부터 패킷을 수신하는 단계; 수신한 패킷의 아이피 주소와 포트 번호를 네트워크 주소 변환 통과 프로토콜을 이용하여 변경하는 단계; 상기 아이피 주소와 포트 번호를 변경한 패킷이 SIP((session initiation protocol) 패킷, RTP(Real-Time Transport Protocol) 패킷, IP(Internet Protocol) 패킷, SRTP(Secure Real-Time Transport Protocol) 패킷, ESP(Encapsulating Security Payload) 패킷 중 어떤 패킷에 해당하는지를 식별하는 단계; 식별한 결과에 따라 패킷을 변환하는 단계; 및 변환된 패킷을 외부망 또는 내부망으로 송신하는 단계를 포함한다. Receiving a packet from an internal network or an external network; Changing an IP address and a port number of a received packet using a network address translation passthrough protocol; The packet in which the IP address and the port number are changed may be a session initiation protocol (SIP) packet, a real-time transport protocol (RTP) packet, an internet protocol (IP) packet, a secure real-time transport protocol (SRTP) packet, or an ESP ( Encapsulating Security Payload) identifying which of the packets corresponds to: converting the packet according to the result of the identification; and transmitting the converted packet to the external or internal network.

상기 변환하는 단계는 상기 아이피 주소와 포트 번호를 변경한 패킷이 상기 내부망에서 수신한 SIP 패킷에 해당하는 경우, SIP 콜 시그널링 프로토콜을 이용하여 세션을 연결하여 키 공유를 위한 RTP 패킷을 상기 외부망으로 전송하는 단계; VoIP 보안 통화를 위한 키 공유가 완료되기 전까지 연결된 해당 VoIP 전화기로부터 상기 RTP 패킷이 도착하면 버퍼링을 수행하는 단계; 및 키 공유가 완료되면 버퍼링된 RTP 패킷을 상기 외부망으로 전송하는 단계를 포함한다. The converting may include connecting a session using a SIP call signaling protocol to convert an RTP packet for key sharing when the packet having changed the IP address and port number corresponds to a SIP packet received from the internal network. Transmitting to; Buffering when the RTP packet arrives from the connected VoIP phone until key sharing for the VoIP secure call is completed; And when the key sharing is completed, transmitting the buffered RTP packet to the external network.

상기 변환하는 단계는 상기 아이피 주소와 포트 번호를 변경한 패킷이 상기 내부망에서 수신한 RTP 패킷에 해당하는 경우, 상기 RTP 패킷을 SRTP 패킷으로 변환하는 단계를 포함하고, 상기 SRTP 패킷의 페이로드를 특정 키 공유 과정에 의해 공유된 키를 이용하여 암호화하는 것을 특징으로 한다. The converting may include converting the RTP packet into an SRTP packet when the packet in which the IP address and the port number are changed corresponds to the RTP packet received from the internal network, and converts the payload of the SRTP packet. It encrypts using a key shared by a specific key sharing process.

상기 변환하는 단계는 상기 아이피 주소와 포트 번호를 변경한 패킷이 상기 내부망에서 수신한 IP 패킷에 해당하는 경우, 상기 IP 패킷을 IPsec 프로토콜을 이용하여 ESP 패킷으로 변환하는 것을 특징으로 한다. The converting may include converting the IP packet into an ESP packet using an IPsec protocol when the packet in which the IP address and the port number are changed corresponds to an IP packet received from the internal network.

상기 변환하는 단계는 상기 아이피 주소와 포트 번호를 변경한 패킷이 상기 외부망에서 수신한 RTP 패킷에 해당하는 경우, 상기 RTP 패킷에서 키 공유를 위한 특정 데이터를 추출하고, 추출한 특정 데이터를 이용하여 VoIP 보안 통신을 위한 키 공유 절차를 수행하는 것을 특징으로 한다. The converting may include extracting specific data for key sharing from the RTP packet when the packet in which the IP address and the port number have been changed corresponds to the RTP packet received from the external network, and using the extracted specific data. A key sharing procedure for secure communication is performed.

상기 변환하는 단계는 상기 아이피 주소와 포트 번호를 변경한 패킷이 상기 외부망에서 수신한 SRTP 패킷에 해당하는 경우, 상기 SRTP 패킷에서 암호화 되어 있는 페이로드를 복호화하여 SRTP 패킷을 RTP 패킷으로 변환하는 것을 특징으로 한다.The converting may include converting the SRTP packet into an RTP packet by decrypting the payload encrypted in the SRTP packet when the packet having the IP address and the port number changed corresponds to the SRTP packet received from the external network. It features.

상기 변환하는 단계는 상기 아이피 주소와 포트 번호를 변경한 패킷이 상기 외부망에서 수신한 ESP 패킷에 해당하는 경우, 상기 ESP 패킷을 IPsec 프로토콜을 이용하여 IP 패킷으로 변환하는 것을 특징으로 한다.The converting may include converting the ESP packet into an IP packet using an IPsec protocol when the packet in which the IP address and the port number are changed corresponds to an ESP packet received from the external network.

본 발명의 실시예에 따르면, 인터넷 프로토콜 시큐리티 가상 사설망 장치 및 그를 이용하는 통신 방법은 하나의 가상 사설망 장치 만으로 일반 VoIP 전화를 연결하여 암호 통신을 수행할 수 있다.According to an embodiment of the present invention, an internet protocol security virtual private network device and a communication method using the same can perform cryptographic communication by connecting a general VoIP phone with only one virtual private network device.

또한, 본 발명의 실시예에 따르면 인터넷 프로토콜 시큐리티 가상 사설망 장치 및 그를 이용하는 통신 방법은 일반 VoIP 전화를 이용하여 도청 및 감청을 방지하여 안전하고 신뢰할 수 있는 통신을 가능케 하며, IP 데이터 통신 또한 보호할 수 있다. In addition, according to an embodiment of the present invention, the Internet protocol security virtual private network device and a communication method using the same can prevent eavesdropping and eavesdropping by using a general VoIP phone, thereby enabling safe and reliable communication, and also protecting IP data communication. have.

도 1은 본 발명의 실시예에 따른 인터넷 프로토콜 시큐리티 가상 사설망 장치를 적용하는 통신 환경을 개략적으로 나타내는 구성도이다.
도 2는 본 발명의 실시예에 따른 인터넷 프로토콜 시큐리티 가상 사설망 장치를 나타내는 구성도이다.
도 3은 본 발명의 실시예에 따른 인터넷 프로토콜 시큐리티 가상 사설망 장치에서 패킷을 처리하는 과정을 설명하기 위한 참고도이다.
도 4는 본 발명의 실시예에 따른 인터넷 프로토콜 시큐리티 가상 사설망 장치를 이용하는 통신 방법을 나타내는 흐름도이다. 1 is a block diagram schematically illustrating a communication environment to which an Internet protocol security virtual private network device according to an embodiment of the present invention is applied.
2 is a block diagram showing an Internet protocol security virtual private network device according to an embodiment of the present invention.
3 is a reference diagram for explaining a process of processing a packet in an internet protocol security virtual private network device according to an embodiment of the present invention.
4 is a flowchart illustrating a communication method using an internet protocol security virtual private network device according to an embodiment of the present invention.

본 발명을 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다. 여기서, 반복되는 설명, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능, 및 구성에 대한 상세한 설명은 생략한다. 본 발명의 실시형태는 당 업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다. 따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.
The present invention will now be described in detail with reference to the accompanying drawings. Hereinafter, a repeated description, a known function that may obscure the gist of the present invention, and a detailed description of the configuration will be omitted. Embodiments of the present invention are provided to more fully describe the present invention to those skilled in the art. Accordingly, the shapes and sizes of the elements in the drawings and the like can be exaggerated for clarity.

이하에서는, 본 발명의 실시예에 따른 인터넷 프로토콜 시큐리티 가상 사설망 장치 및 그를 이용하는 통신 방법에 대하여 첨부한 도면을 참고로 하여 상세히 설명한다.Hereinafter, an Internet protocol security virtual private network device and a communication method using the same according to an embodiment of the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명의 실시예에 따른 인터넷 프로토콜 시큐리티 가상 사설망 장치를 적용하는 통신 환경을 개략적으로 나타내는 구성도이다. 1 is a block diagram schematically illustrating a communication environment to which an Internet protocol security virtual private network device according to an embodiment of the present invention is applied.

도 1을 참고하면, 본 발명의 실시예에 따른 인터넷 프로토콜 시큐리티 가상 사설망 장치(이하 "IPSec VPN 장치"라고 함)(100a, 100b)는 예를 들어, 본사(B)와 지사(A)에 각각 설치되어 운용된다.1, Internet protocol security virtual private network device (hereinafter referred to as "IPSec VPN device") (100a, 100b) according to an embodiment of the present invention, for example, head office (B) and branch office (A), respectively It is installed and operated.

IPSec VPN 장치(100a, 100b)에는 각각 PC(10a, 10b), VoIP 전화기(20a, 20b), FoIP 팩스(30a, 30b)가 연결된다. 또한, IPSec VPN 장치(100a, 100b)는 전용 네트워크 또는 인터넷(40)에 연결된다. 여기서, 인터넷(40)에는 인터넷 프로토콜 사설 브랜치 교환기(IP-PBX)(50)이 연결되어 있으며, 이를 통해 VoIP 전화기(20a, 20b)와 FoIP 팩스(30a, 30b)에서 생성된 세션 개시 프로토콜(session initiation protocol, 이하 "SIP"라고도 함) 패킷과 시큐어 실시간 프로토콜(Secure Real-Time Transport Protocol, 이하 "SRTP"라고도 함) 패킷을 이용하여 콜 연결과 과금을 수행한다. PCS 10a and 10b, VoIP phones 20a and 20b, and FoIP faxes 30a and 30b are connected to IPSec VPN devices 100a and 100b, respectively. In addition, IPSec VPN devices 100a and 100b are connected to a dedicated network or the Internet 40. Here, an Internet protocol private branch exchange (IP-PBX) 50 is connected to the Internet 40, and through this, a session initiation protocol generated by VoIP phones 20a and 20b and FoIP faxes 30a and 30b. Call connection and charging is performed using an initiation protocol (hereinafter referred to as "SIP") packet and a Secure Real-Time Transport Protocol (hereinafter referred to as "SRTP") packet.

이와 같은 통신 환경 내 위치하는 IPSec VPN 장치(100a, 100b)는 내부망(Local Area Network, 이하 "LAN"라고도 함) 구간에서 외부망(Wide Area Network, 이하 "WAN"라고도 함) 구간으로 패킷을 전송하는 방법과 WAN 구간에서 LAN 구간으로 패킷을 전송하는 방법을 이용하여 본사(B)와 지사(A) 간의 암호화된 패킷 통신을 수행한다.
IPSec VPN devices (100a, 100b) located in such a communication environment is a packet from the internal network (Local Area Network, also referred to as "LAN") section to the external network (Wide Area Network, also referred to as "WAN") section. Encrypted packet communication is performed between the head office B and the branch office A using a transmission method and a method of transmitting a packet from a WAN section to a LAN section.

다음, IPSec VPN 장치(100a, 100b)를 도 2를 참조하여 상세하게 설명한다. Next, the IPSec VPN devices 100a and 100b will be described in detail with reference to FIG.

도 2는 본 발명의 실시예에 따른 인터넷 프로토콜 시큐리티 가상 사설망 장치를 나타내는 구성도이다. 또한, 도 3은 본 발명의 실시예에 따른 인터넷 프로토콜 시큐리티 가상 사설망 장치에서 패킷을 처리하는 과정을 설명하기 위한 참고도이다. 2 is a block diagram showing an Internet protocol security virtual private network device according to an embodiment of the present invention. 3 is a reference diagram for explaining a process of processing a packet in an internet protocol security virtual private network device according to an embodiment of the present invention.

도 2를 참고하면, IPSec VPN 장치(100)는 수신부(110), 주소 변환부(120), 제1 식별부(130), 제1 패킷 처리부(140), 송신부(150), 제2 식별부(160) 및 제2 패킷 처리부(170)를 포함한다. Referring to FIG. 2, the IPSec VPN device 100 includes a receiver 110, an address translator 120, a first identifier 130, a first packet processor 140, a transmitter 150, and a second identifier. 160 and the second packet processing unit 170.

수신부(110)는 LAN 구간 또는 WAN 구간에서 패킷을 수신한다. The receiver 110 receives a packet in a LAN section or a WAN section.

주소 변환부(120)는 네트워크 주소 변환 통과(NAT-T) 프로토콜을 이용하여 LAN 구간 또는 WAN 구간에서 수신한 패킷의 IP 주소와 포트번호를 변경한다. 즉, 주소 변환부(120)는 LAN 구간에서 WAN 구간으로 전송되는 패킷과 WAN 구간에서 LAN 구간으로 전송되는 IP 패킷의 주소와 포트번호를 변경한다.The address translation unit 120 changes the IP address and the port number of the packet received in the LAN section or the WAN section using the network address translation pass-through (NAT-T) protocol. That is, the address conversion unit 120 changes the address and port number of the packet transmitted from the LAN section to the WAN section and the IP packet transmitted from the WAN section to the LAN section.

이와 같이, 본 발명의 실시예에 따른 IPSec VPN 장치(100)는 네트워크 주소 변환 통과(NAT-T) 기능을 포함하고 있으므로, 패킷이 전송되는 망에 대응하게 주소를 변경할 수 있다. As such, since the IPSec VPN device 100 according to the embodiment of the present invention includes a network address translation pass-through (NAT-T) function, the IPSec VPN device 100 may change an address corresponding to a network through which a packet is transmitted.

제1 식별부(130)는 이전에 설정된 규정을 통해 LAN 구간에서 입력된 패킷이 세션 개시 프로토콜(session initiation protocol, 이하 "SIP"라고도 함) 패킷 또는 실시간 프로토콜(Real-Time Transport Protocol, 이하 "RTP"라고도 함) 패킷 또는 IP 패킷에 해당하는지를 식별한다. The first identification unit 130 transmits a session initiation protocol (hereinafter referred to as a "SIP") packet or a real-time transport protocol (hereinafter referred to as "RTP") through a previously set rule. Identifies whether it corresponds to a packet or an IP packet.

제1 패킷 처리부(140)는 제1 식별부(130)의 식별 결과 즉, LAN 구간에서 입력된 패킷이 어떤 패킷에 해당하는지를 식별한 결과에 따라 패킷을 변환하고, 변환한 결과를 송신부(150)로 전달함으로써, 송신부(150)가 변환한 패킷을 WAN 구간으로 전송할 수 있게 한다. The first packet processor 140 converts a packet according to an identification result of the first identification unit 130, that is, a result of identifying which packet corresponds to a packet input in a LAN section, and transmits the converted result to the transmission unit 150. By transmitting to the transmission, the transmitter 150 can transmit the converted packet to the WAN interval.

이와 같이, 제1 패킷 처리부(140)는 제1 식별부(130)의 식별 결과에 따라 패킷을 변환하기 위하여, SIP 패킷 처리부(141), RTP 패킷 처리부(142) 및 IP 패킷 처리부(143)를 포함한다. In this way, the first packet processing unit 140 converts the SIP packet processing unit 141, the RTP packet processing unit 142, and the IP packet processing unit 143 to convert the packet according to the identification result of the first identification unit 130. Include.

SIP 패킷 처리부(141)는 LAN 구간에서 수신한 패킷이 SIP 패킷에 해당하는 경우, IP 주소와 포트번호가 변경된 SIP 패킷을 송신부(150)를 통해 WAN 구간으로 전송한다. 이때, SIP 패킷 처리부(141)는 SIP 콜 시그널링 프로토콜을 이용하여 세션을 연결하고, 키 공유를 위한 RTP 패킷을 전송한다. 여기서, RTP 패킷은 VoIP 보안 통화를 수행하는데 필요한 패킷으로, VoIP 전화기 식별 아이디(ID), IPSec VPN 장치 식별 아이디(ID), 난수값 등의 키공유 데이터를 포함한다. SIP 패킷 처리부(141)는 VoIP 보안 통화를 위한 키 공유가 완료되기 전까지 연결된 해당 VoIP 전화기로부터 RTP 패킷이 도착하면 버퍼링을 수행하고, 키 공유가 완료되면 버퍼링된 RTP 패킷을 송신부(150)로 전송한다. When the packet received in the LAN section corresponds to the SIP packet, the SIP packet processor 141 transmits the SIP packet whose IP address and port number are changed to the WAN section through the transmitter 150. At this time, the SIP packet processing unit 141 connects sessions using the SIP call signaling protocol and transmits an RTP packet for key sharing. Here, the RTP packet is a packet required for conducting a VoIP secure call and includes key sharing data such as a VoIP phone identification ID, an IPSec VPN device identification ID, and a random number. The SIP packet processing unit 141 performs buffering when the RTP packet arrives from the connected VoIP phone until the key sharing for the VoIP secure call is completed, and transmits the buffered RTP packet to the transmitting unit 150 when the key sharing is completed. .

RTP 패킷 처리부(142)는 LAN 구간에서 수신한 패킷이 RTP 패킷에 해당하는 경우, RTP 패킷을 SRTP 패킷으로 변환하고, SRTP 패킷을 송신부(150)를 통해 WAN 구간으로 전송한다. 이때, RTP 패킷 처리부(142)는 SRTP 패킷의 페이로드를 특정 키 공유 과정에 의해 공유된 키를 이용하여 암호화한다. If the packet received in the LAN section corresponds to the RTP packet, the RTP packet processing unit 142 converts the RTP packet into an SRTP packet and transmits the SRTP packet to the WAN section through the transmitter 150. At this time, the RTP packet processing unit 142 encrypts the payload of the SRTP packet using a key shared by a specific key sharing process.

IP 패킷 처리부(143)는 LAN 구간에서 수신한 패킷이 IP 패킷에 해당하는 경우, IP 패킷을 IPsec 프로토콜을 이용하여 ESP(Encapsulating Security Payload) 패킷으로 변환하고, ESP 패킷을 송신부(150)를 통해 WAN 구간으로 전송한다. 이때, IP 패킷 처리부(143)는 ESP 패킷을 표준 키 관리 프로토콜에 의해 공유된 키를 이용하여 암호화한다. When the packet received in the LAN section corresponds to an IP packet, the IP packet processing unit 143 converts the IP packet into an Encapsulating Security Payload (ESP) packet using the IPsec protocol, and converts the ESP packet into the WAN through the transmission unit 150. Transmit to section. At this time, the IP packet processing unit 143 encrypts the ESP packet using a key shared by a standard key management protocol.

송신부(150)는 제1 패킷 처리부(140) 또는 제2 패킷 처리부(170)에서 변환된 패킷을 LAN 구간 또는 WAN 구간으로 전송한다.
The transmitter 150 transmits the packet converted by the first packet processor 140 or the second packet processor 170 to the LAN section or the WAN section.

제2 식별부(160)는 이전에 설정된 규정을 통해 WAN 구간에서 수신한 패킷이 SIP 패킷 또는 RTP 패킷 또는 SRTP 패킷 또는 ESP 패킷에 해당하는지를 식별한다.The second identification unit 160 identifies whether the packet received in the WAN section corresponds to a SIP packet or an RTP packet or an SRTP packet or an ESP packet through a previously set rule.

제2 패킷 처리부(170)는 제2 식별부(160)의 식별 결과 즉, WAN 구간에서 수신한 패킷이 어떤 패킷에 해당하는지를 식별한 결과에 따라 패킷을 변환하고, 변환한 결과를 송신부(150)로 전달함으로써, 송신부(150)가 변환한 패킷을 LAN 구간으로 전송할 수 있게 한다.The second packet processing unit 170 converts the packet according to the identification result of the second identification unit 160, that is, the result of identifying which packet the packet received in the WAN section corresponds to, and transmits the converted result to the transmission unit 150. In this case, the transmitter 150 transmits the converted packet to the LAN section.

이와 같이, 제2 패킷 처리부(170)는 제2 식별부(160) 의 식별 결과에 따라 패킷을 변환하기 위하여, SIP 패킷 처리부(171), RTP 패킷 처리부(172), SRTP 패킷 처리부(173) 및 ESP 패킷 처리부(174)를 포함한다. As described above, the second packet processor 170 converts the packet according to the identification result of the second identifier 160, and includes the SIP packet processor 171, the RTP packet processor 172, the SRTP packet processor 173, and the like. ESP packet processing unit 174 is included.

SIP 패킷 처리부(171)는 WAN 구간에서 수신한 패킷이 SIP 패킷에 해당하는 경우, SIP 패킷의 IP 주소와 포트번호를 LAN 구간의 해당 VoIP 전화기의 IP 주소와 포트번호로 변경하고, IP 주소와 포트번호를 변경한 SIP 패킷을 송신부(150)를 통해 LAN 구간으로 전송한다. When the packet received in the WAN section corresponds to the SIP packet, the SIP packet processing unit 171 changes the IP address and port number of the SIP packet into the IP address and port number of the corresponding VoIP phone in the LAN section, and the IP address and port. The SIP packet with the changed number is transmitted to the LAN section through the transmitter 150.

RTP 패킷 처리부(172)는 WAN 구간에서 수신한 패킷이 RTP 패킷에 해당하는 경우, RTP 패킷에서 키 공유를 위한 특정 데이터를 추출하고, 추출한 특정 데이터를 이용하여 VoIP 보안 통신을 위한 키 공유 절차를 수행한다. If the packet received in the WAN section corresponds to the RTP packet, the RTP packet processing unit 172 extracts specific data for key sharing from the RTP packet and performs a key sharing procedure for VoIP secure communication using the extracted specific data. do.

SRTP 패킷 처리부(173)는 WAN 구간에서 수신한 패킷이 SRTP 패킷에 해당하는 경우, SRTP 패킷에서 암호화 되어 있는 페이로드를 복호화하여 SRTP 패킷을 RTP 패킷으로 변환한다. 다음, SRTP 패킷 처리부(173)는 RTP 패킷을 송신부(150)를 통해 LAN 구간으로 전송한다. If the packet received in the WAN section corresponds to an SRTP packet, the SRTP packet processing unit 173 decrypts the payload encrypted in the SRTP packet and converts the SRTP packet into an RTP packet. Next, the SRTP packet processor 173 transmits the RTP packet to the LAN section through the transmitter 150.

ESP 패킷 처리부(174)는 WAN 구간에서 수신한 패킷이 ESP 패킷에 해당하는 경우, ESP 패킷을 IPsec 프로토콜을 이용하여 IP 패킷으로 변환하고, IP 패킷을 송신부(150)를 통해 LAN 구간으로 전송한다.
When the packet received in the WAN section corresponds to the ESP packet, the ESP packet processing unit 174 converts the ESP packet into an IP packet using the IPsec protocol, and transmits the IP packet to the LAN section through the transmitter 150.

도 3을 참고하면, LAN 구간에서 SIP 패킷은 NAT-T 프로토콜에 의해 IP 주소와 포트번호가 변경된 SIP 패킷으로 변경되어 WAN 구간으로 전송된다. Referring to FIG. 3, a SIP packet in a LAN section is changed to a SIP packet in which an IP address and a port number are changed by a NAT-T protocol, and transmitted to a WAN section.

LAN 구간에서 RTP 패킷은 NAT-T 프로토콜에 의해 IP 주소와 포트번호가 변경되고, 암호화된 SRTP 패킷으로 변경되어 WAN 구간으로 전송된다. In the LAN section, the IP address and port number are changed by the NAT-T protocol, and the encrypted RTP packet is transmitted to the WAN section.

LAN 구간에서 IP 패킷은 NAT-T 프로토콜에 의해 IP 주소와 포트번호가 변경되고, 암호화된 ESP 패킷으로 변경되어 WAN 구간으로 전송된다.In the LAN section, the IP packet is changed to the IP address and port number by the NAT-T protocol, and is converted into an encrypted ESP packet and transmitted to the WAN section.

WAN 구간에서 SIP 패킷은 NAT-T 프로토콜에 의해 IP 주소와 포트번호가 변경된 SIP 패킷으로 변경되어 LAN 구간으로 전송된다.In the WAN section, the SIP packet is changed to the SIP packet whose IP address and port number are changed by the NAT-T protocol and transmitted to the LAN section.

WAN 구간에서 SRTP 패킷은 NAT-T 프로토콜에 의해 IP 주소와 포트번호가 변경되고, 복호화된 RTP 패킷으로 변경되어 LAN 구간으로 전송된다.In the WAN section, the SRTP packet is changed to the IP address and port number by the NAT-T protocol, and is changed to the decrypted RTP packet and transmitted to the LAN section.

WAN 구간에서 ESP 패킷은 NAT-T 프로토콜에 의해 IP 주소와 포트번호가 변경되고, IP 패킷으로 변경되어 LAN 구간으로 전송된다.
In the WAN section, the ESP packet is changed to the IP address and port number by the NAT-T protocol, and is changed to the IP packet and transmitted to the LAN section.

다음, 인터넷 프로토콜 시큐리티 가상 사설망 장치를 이용하는 통신 방법을 도 4를 참조하여 상세하게 설명한다.Next, a communication method using the Internet protocol security virtual private network device will be described in detail with reference to FIG.

도 4는 본 발명의 실시예에 따른 인터넷 프로토콜 시큐리티 가상 사설망 장치를 이용하는 통신 방법을 나타내는 흐름도이다. 4 is a flowchart illustrating a communication method using an internet protocol security virtual private network device according to an embodiment of the present invention.

도 4를 참고하면, IPSec VPN 장치(100)는 네트워크 주소 변환 통과(NAT-T) 프로토콜을 이용하여 LAN 구간에서 WAN 구간으로 전송되는 패킷과 WAN 구간에서 LAN 구간으로 전송되는 패킷의 IP 주소와 포트번호를 변경한다(S100). Referring to FIG. 4, the IPSec VPN device 100 uses a network address translation pass-through (NAT-T) protocol to transmit an IP address and a port of a packet transmitted from a LAN section to a WAN section and a packet transmitted from the WAN section to the LAN section. Change the number (S100).

IPSec VPN 장치(100)는 이전에 설정된 규정을 통해 LAN 구간 또는 WAN 구간에서 수신한 패킷이 어떤 패킷에 해당하는지를 식별한다(S200). 구체적으로, IPSec VPN 장치(100)는 LAN 구간에서 수신한 패킷이 SIP 패킷 또는 RTP 패킷 또는 IP 패킷에 해당하는지 식별하거나, WAN 구간에서 수신한 패킷이 SIP 패킷 또는 RTP 패킷 또는 SRTP 패킷 또는 ESP 패킷에 해당하는지를 식별한다.The IPSec VPN device 100 identifies which packet corresponds to a packet received in a LAN section or a WAN section through a previously set rule (S200). Specifically, the IPSec VPN device 100 identifies whether a packet received in a LAN section corresponds to a SIP packet or an RTP packet or an IP packet, or a packet received in a WAN section corresponds to a SIP packet or an RTP packet or an SRTP packet or an ESP packet. Identifies if applicable.

IPSec VPN 장치(100)는 S200단계에서 식별한 결과에 대응하는 처리과정을 이용하여 식별한 결과를 다른 패킷으로 변환하고, 변환한 결과를 LAN 구간 또는 WAN 구간으로 전송한다(S300).The IPSec VPN device 100 converts the identified result into another packet by using a process corresponding to the result identified in step S200, and transmits the converted result to a LAN section or a WAN section (S300).

구체적으로, IPSec VPN 장치(100)는 LAN 구간에서 수신한 패킷이 SIP 패킷에 해당하는 경우, IP 주소와 포트번호가 변경된 SIP 패킷을 WAN 구간으로 전송한다. In detail, when the packet received in the LAN section corresponds to the SIP packet, the IPSec VPN device 100 transmits the SIP packet whose IP address and port number are changed to the WAN section.

IPSec VPN 장치(100)는 LAN 구간에서 수신한 패킷이 RTP 패킷에 해당하는 경우, IP 주소와 포트번호가 변경된 RTP 패킷을 SRTP 패킷으로 변환하고, SRTP 패킷을 WAN 구간으로 전송한다. 이때, IPSec VPN 장치(100)는 SRTP 패킷의 페이로드를 특정 키 공유 과정에 의해 공유된 키를 이용하여 암호화한다. When the packet received in the LAN section corresponds to the RTP packet, the IPSec VPN device 100 converts the RTP packet having the changed IP address and port number into an SRTP packet, and transmits the SRTP packet to the WAN section. At this time, the IPSec VPN device 100 encrypts the payload of the SRTP packet using a key shared by a specific key sharing process.

IPSec VPN 장치(100)는 LAN 구간에서 수신한 패킷이 IP 패킷에 해당하는 경우, IP 주소와 포트번호가 변경된 IP 패킷을 IPsec 프로토콜을 이용하여 ESP 패킷으로 변경하고, ESP 패킷을 WAN 구간으로 전송한다.If the packet received in the LAN section corresponds to the IP packet, the IPSec VPN device 100 changes the IP packet having the IP address and port number changed to the ESP packet using the IPsec protocol, and transmits the ESP packet to the WAN section. .

IPSec VPN 장치(100)는 WAN 구간에서 수신한 패킷이 SIP 패킷에 해당하는 경우, LAN 구간의 해당 VoIP 전화기의 IP 주소와 포트번호로 변경하고, IP 주소와 포트번호를 변경한 SIP 패킷을 LAN 구간으로 전송한다. If the packet received in the WAN section corresponds to the SIP packet, the IPSec VPN device 100 changes the IP address and port number of the corresponding VoIP phone in the LAN section, and converts the SIP packet whose IP address and port number are changed into the LAN section. To send.

IPSec VPN 장치(100)는 WAN 구간에서 수신한 패킷이 RTP 패킷에 해당하는 경우, RTP 패킷에서 키 공유를 위한 특정 데이터를 추출하고, 추출한 특정 데이터를 이용하여 VoIP 보안 통신을 위한 키 공유 절차를 수행한다.If the packet received in the WAN section corresponds to the RTP packet, the IPSec VPN device 100 extracts specific data for key sharing from the RTP packet and performs a key sharing procedure for VoIP secure communication using the extracted specific data. do.

IPSec VPN 장치(100)는 WAN 구간에서 수신한 패킷이 SRTP 패킷에 해당하는 경우, SRTP 패킷에서 암호화 되어 있는 페이로드를 복호화하여 SRTP 패킷을 RTP 패킷으로 변환하고, RTP 패킷을 LAN 구간으로 전송한다. When the packet received in the WAN section corresponds to the SRTP packet, the IPSec VPN device 100 decrypts the payload encrypted in the SRTP packet, converts the SRTP packet into an RTP packet, and transmits the RTP packet to the LAN section.

IPSec VPN 장치(100)는 WAN 구간에서 수신한 패킷이 ESP 패킷에 해당하는 경우, ESP 패킷을 IPsec 프로토콜을 이용하여 IP 패킷으로 변환하고, IP 패킷을 LAN 구간으로 전송한다. When the packet received in the WAN section corresponds to the ESP packet, the IPSec VPN device 100 converts the ESP packet into an IP packet using the IPsec protocol and transmits the IP packet to the LAN section.

이와 같이, 본 발명은 하나의 가상 사설망 장치 만으로 일반 VoIP 전화를 연결하여 암호 통신을 수행할 수 있으며, 일반 VoIP 전화를 이용하여 도청 및 감청을 방지하여 안전하고 신뢰할 수 있는 통신을 가능케 하며, IP 데이터 통신 또한 보호할 수 있다.
As described above, the present invention can perform a cryptographic communication by connecting a general VoIP phone with only one virtual private network device, and by using a general VoIP phone to prevent eavesdropping and eavesdropping, enables secure and reliable communication, and IP data. Communication can also be protected.

이상에서와 같이 도면과 명세서에서 최적의 실시예가 개시되었다. 여기서 특정한 용어들이 사용되었으나, 이는 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의미 한정이나 특허청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것은 아니다. 그러므로, 본 기술 분야의 통상의 지식을 가진자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.As described above, an optimal embodiment has been disclosed in the drawings and specification. Although specific terms have been employed herein, they are used for purposes of illustration only and are not intended to limit the scope of the invention as defined in the claims or the claims. Therefore, those skilled in the art will appreciate that various modifications and equivalent embodiments are possible without departing from the scope of the present invention. Accordingly, the true scope of the present invention should be determined by the technical idea of the appended claims.

100, 100a, 100b; 인터넷 프로토콜 시큐리티 가상 사설망 장치
10a, 10b; PC
20a, 20b; VoIP 전화기
30a, 30b; FoIP 팩스
40; 인터넷
50; 인터넷 프로토콜 사설 브랜치 교환기
110; 수신부 120; 주소 변환부
130; 제1 식별부 140; 제1 패킷 처리부
141; SIP 패킷 처리부 142; RTP 패킷 처리부
143; IP 패킷 처리부 150; 송신부
160; 제2 식별부 170; 제2 패킷 처리부
171; SIP 패킷 처리부 172; RTP 패킷 처리부
173; SRTP 패킷 처리부 174; ESP 패킷 처리부100, 100a, 100b; Internet Protocol Security Virtual Private Network Device
10a, 10b; PC
20a, 20b; VoIP Phone
30a, 30b; FoIP fax
40; Internet
50; Internet Protocol Private Branch Exchange
110; A receiving unit 120; Address translator
130; A first identification unit 140; First packet processor
141; A SIP packet processor 142; RTP packet processing unit
143; An IP packet processor 150; Transmitter
160; Second identification unit 170; Second packet processing unit
171; A SIP packet processor 172; RTP packet processing unit
173; SRTP packet processor 174; ESP packet processing unit

Claims (17)

내부망 또는 외부망으로부터 패킷을 수신하는 수신부;
상기 수신부에서 수신한 패킷의 아이피 주소와 포트 번호를 네트워크 주소 변환 통과 프로토콜을 이용하여 변경하는 주소 변환부;
상기 수신부에서 수신한 패킷이 SIP((session initiation protocol) 패킷, RTP(Real-Time Transport Protocol) 패킷, IP(Internet Protocol) 패킷, SRTP(Secure Real-Time Transport Protocol) 패킷, ESP(Encapsulating Security Payload) 패킷 중 어떤 패킷에 해당하는지를 식별하는 식별부;
상기 식별부에서 식별한 결과에 따라 패킷을 변환하는 패킷 처리부; 및
상기 패킷 처리부에 의해 변환된 패킷을 외부망 또는 내부망으로 송신하는 송신부
를 포함하고,
상기 패킷 처리부는
상기 내부망에서 수신한 패킷이 SIP 패킷에 해당하는 경우, SIP 콜 시그널링 프로토콜을 이용하여 세션을 연결하여 키 공유를 위한 RTP 패킷을 전송하고, VoIP 보안 통화를 위한 키 공유가 완료되기 전까지 연결된 해당 VoIP 전화기로부터 상기 RTP 패킷이 도착하면 버퍼링을 수행하고, 키 공유가 완료되면 버퍼링된 RTP 패킷을 상기 송신부로 전달하는 것을 특징으로 하는 인터넷 프로토콜 시큐리티 가상 사설망 장치.A receiver which receives a packet from an internal network or an external network;
An address translator for changing an IP address and a port number of the packet received by the receiver using a network address translation passthrough protocol;
The packet received by the receiver is a Session Initiation Protocol (SIP) packet, a Real-Time Transport Protocol (RTP) packet, an Internet Protocol (IP) packet, a Secure Real-Time Transport Protocol (SRTP) packet, and an Encapsulating Security Payload (ESP) packet. An identification unit for identifying which of the packets corresponds to;
A packet processing unit converting a packet according to a result identified by the identification unit; And
A transmitter for transmitting the packet converted by the packet processor to an external network or an internal network
Lt; / RTI >
The packet processing unit
If the packet received from the internal network corresponds to a SIP packet, the session is connected using a SIP call signaling protocol to transmit an RTP packet for key sharing, and the corresponding VoIP connected until the key sharing for the VoIP secure call is completed. And buffering when the RTP packet arrives from a telephone, and forwarding the buffered RTP packet to the transmitting unit when the key sharing is completed. 삭제delete 청구항 1에 있어서,
상기 RTP 패킷은 VoIP 보안 통화를 수행하는데 필요한 패킷으로, VoIP 전화기 식별 아이디, 인터넷 프로토콜 시큐리티 가상 사설망 장치의 식별 아이디, 난수값 중 적어도 하나의 키 공유 데이터를 포함하는 것을 특징으로 하는 인터넷 프로토콜 시큐리티 가상 사설망 장치.The method according to claim 1,
The RTP packet is a packet required for conducting a VoIP secured call and includes at least one key shared data among a VoIP phone identification ID, an identification ID of an Internet protocol security virtual private network device, and a random number. Device. 청구항 1에 있어서,
상기 패킷 처리부는
상기 내부망에서 수신한 패킷이 RTP 패킷에 해당하는 경우, 상기 RTP 패킷을 SRTP 패킷으로 변환하는 것을 특징으로 하는 인터넷 프로토콜 시큐리티 가상 사설망 장치.The method according to claim 1,
The packet processing unit
And converting the RTP packet into an SRTP packet when the packet received from the internal network corresponds to an RTP packet. 청구항 4에 있어서,
상기 RTP 패킷을 SRTP 패킷으로 변환함에 있어서, 상기 SRTP 패킷의 페이로드를 특정 키 공유 과정에 의해 공유된 키를 이용하여 암호화하는 것을 특징으로 하는 인터넷 프로토콜 시큐리티 가상 사설망 장치.The method of claim 4,
And converting the RTP packet into an SRTP packet, encrypting the payload of the SRTP packet using a key shared by a specific key sharing process. 청구항 1에 있어서,
상기 패킷 처리부는
상기 내부망에서 수신한 패킷이 IP 패킷에 해당하는 경우, 상기 IP 패킷을 IPsec 프로토콜을 이용하여 ESP 패킷으로 변환하는 것을 특징으로 하는 인터넷 프로토콜 시큐리티 가상 사설망 장치.The method according to claim 1,
The packet processing unit
And converting the IP packet into an ESP packet using an IPsec protocol when the packet received from the internal network corresponds to an IP packet. 청구항 6에 있어서,
상기 IP 패킷을 ESP 패킷으로 변환함에 있어서,
ESP 패킷을 표준 키 관리 프로토콜에 의해 공유된 키를 이용하여 암호화하는 것을 특징으로 하는 인터넷 프로토콜 시큐리티 가상 사설망 장치.The method of claim 6,
In converting the IP packet into an ESP packet,
An Internet protocol security virtual private network device characterized by encrypting an ESP packet using a key shared by a standard key management protocol. 청구항 1에 있어서,
상기 패킷 처리부는
상기 외부망에서 수신한 패킷이 RTP 패킷에 해당하는 경우, 상기 RTP 패킷에서 키 공유를 위한 특정 데이터를 추출하고, 추출한 특정 데이터를 이용하여 VoIP 보안 통신을 위한 키 공유 절차를 수행하는 것을 특징으로 하는 인터넷 프로토콜 시큐리티 가상 사설망 장치.The method according to claim 1,
The packet processing unit
If the packet received from the external network corresponds to an RTP packet, the specific data for key sharing is extracted from the RTP packet, and a key sharing procedure for VoIP secure communication is performed using the extracted specific data. Internet Protocol Security Virtual Private Network Device. 청구항 1에 있어서,
상기 패킷 처리부는
상기 외부망에서 수신한 패킷이 SRTP 패킷에 해당하는 경우, 상기 SRTP 패킷에서 암호화 되어 있는 페이로드를 복호화하여 SRTP 패킷을 RTP 패킷으로 변환하는 것을 특징으로 하는 인터넷 프로토콜 시큐리티 가상 사설망 장치.The method according to claim 1,
The packet processing unit
And when the packet received from the external network corresponds to an SRTP packet, converting the SRTP packet into an RTP packet by decrypting an encrypted payload in the SRTP packet. 청구항 1에 있어서,
상기 패킷 처리부는
상기 외부망에서 수신한 패킷이 ESP 패킷에 해당하는 경우, 상기 ESP 패킷을 IPsec 프로토콜을 이용하여 IP 패킷으로 변환하는 것을 특징으로 하는 인터넷 프로토콜 시큐리티 가상 사설망 장치.The method according to claim 1,
The packet processing unit
And when the packet received from the external network corresponds to an ESP packet, converting the ESP packet into an IP packet using an IPsec protocol. 내부망 또는 외부망으로부터 패킷을 수신하는 단계;
수신한 패킷의 아이피 주소와 포트 번호를 네트워크 주소 변환 통과 프로토콜을 이용하여 변경하는 단계;
상기 아이피 주소와 포트 번호를 변경한 패킷이 SIP((session initiation protocol) 패킷, RTP(Real-Time Transport Protocol) 패킷, IP(Internet Protocol) 패킷, SRTP(Secure Real-Time Transport Protocol) 패킷, ESP(Encapsulating Security Payload) 패킷 중 어떤 패킷에 해당하는지를 식별하는 단계;
식별한 결과에 따라 패킷을 변환하는 단계; 및
변환된 패킷을 외부망 또는 내부망으로 송신하는 단계
를 포함하고,
상기 변환하는 단계는
상기 아이피 주소와 포트 번호를 변경한 패킷이 상기 내부망에서 수신한 SIP 패킷에 해당하는 경우,
SIP 콜 시그널링 프로토콜을 이용하여 세션을 연결하여 키 공유를 위한 RTP 패킷을 상기 외부망으로 전송하는 단계;
VoIP 보안 통화를 위한 키 공유가 완료되기 전까지 연결된 해당 VoIP 전화기로부터 상기 RTP 패킷이 도착하면 버퍼링을 수행하는 단계; 및
키 공유가 완료되면 버퍼링된 RTP 패킷을 상기 외부망으로 전송하는 단계
를 포함하는 통신 방법. Receiving a packet from an internal network or an external network;
Changing an IP address and a port number of a received packet using a network address translation passthrough protocol;
The packet in which the IP address and the port number are changed may be a session initiation protocol (SIP) packet, a real-time transport protocol (RTP) packet, an internet protocol (IP) packet, a secure real-time transport protocol (SRTP) packet, or an ESP ( Identifying which of the Encapsulating Security Payload) packets corresponds to;
Converting the packet according to the identified result; And
Transmitting the converted packet to an external network or an internal network
Lt; / RTI >
The converting step
If the packet having changed the IP address and port number corresponds to a SIP packet received from the internal network,
Connecting a session using a SIP call signaling protocol to transmit an RTP packet for key sharing to the external network;
Buffering when the RTP packet arrives from the connected VoIP phone until key sharing for the VoIP secure call is completed; And
Transmitting a buffered RTP packet to the external network when key sharing is completed
/ RTI > 삭제delete 청구항 11에 있어서,
상기 변환하는 단계는
상기 아이피 주소와 포트 번호를 변경한 패킷이 상기 내부망에서 수신한 RTP 패킷에 해당하는 경우,
상기 RTP 패킷을 SRTP 패킷으로 변환하는 단계를 포함하고,
상기 SRTP 패킷의 페이로드를 특정 키 공유 과정에 의해 공유된 키를 이용하여 암호화하는 것을 특징으로 하는 통신 방법. The method of claim 11,
The converting step
If the packet having changed the IP address and port number corresponds to the RTP packet received from the internal network,
Converting the RTP packet into an SRTP packet,
And encrypting the payload of the SRTP packet using a key shared by a specific key sharing process. 청구항 11에 있어서,
상기 변환하는 단계는
상기 아이피 주소와 포트 번호를 변경한 패킷이 상기 내부망에서 수신한 IP 패킷에 해당하는 경우, 상기 IP 패킷을 IPsec 프로토콜을 이용하여 ESP 패킷으로 변환하는 것을 특징으로 하는 통신 방법. The method of claim 11,
The converting step
And converting the IP address and the port number into an ESP packet using the IPsec protocol when the packet having the IP address and the port number corresponding to the IP packet received from the internal network. 청구항 11에 있어서,
상기 변환하는 단계는
상기 아이피 주소와 포트 번호를 변경한 패킷이 상기 외부망에서 수신한 RTP 패킷에 해당하는 경우, 상기 RTP 패킷에서 키 공유를 위한 특정 데이터를 추출하고, 추출한 특정 데이터를 이용하여 VoIP 보안 통신을 위한 키 공유 절차를 수행하는 것을 특징으로 하는 통신 방법.The method of claim 11,
The converting step
If the packet in which the IP address and the port number are changed corresponds to the RTP packet received from the external network, specific data for key sharing is extracted from the RTP packet, and a key for VoIP secure communication using the extracted specific data A communication method comprising performing a sharing procedure. 청구항 11에 있어서,
상기 변환하는 단계는
상기 아이피 주소와 포트 번호를 변경한 패킷이 상기 외부망에서 수신한 SRTP 패킷에 해당하는 경우, 상기 SRTP 패킷에서 암호화 되어 있는 페이로드를 복호화하여 SRTP 패킷을 RTP 패킷으로 변환하는 것을 특징으로 하는 통신 방법.The method of claim 11,
The converting step
When the packet having the IP address and the port number changed corresponds to an SRTP packet received from the external network, the SRTP packet is converted into an RTP packet by decrypting the payload encrypted in the SRTP packet. . 청구항 11에 있어서,
상기 변환하는 단계는
상기 아이피 주소와 포트 번호를 변경한 패킷이 상기 외부망에서 수신한 ESP 패킷에 해당하는 경우, 상기 ESP 패킷을 IPsec 프로토콜을 이용하여 IP 패킷으로 변환하는 것을 특징으로 하는 통신 방법.The method of claim 11,
The converting step
And converting the IP address and the port number into an IP packet using the IPsec protocol when the packet having changed the IP address and the port number corresponds to the ESP packet received from the external network.
KR1020120089683A 2012-08-16 2012-08-16 Ipsec vpn apparatus and communication method using the same KR101376171B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020120089683A KR101376171B1 (en) 2012-08-16 2012-08-16 Ipsec vpn apparatus and communication method using the same

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120089683A KR101376171B1 (en) 2012-08-16 2012-08-16 Ipsec vpn apparatus and communication method using the same

Publications (1)

Publication Number Publication Date
KR101376171B1 true KR101376171B1 (en) 2014-03-19

Family

ID=50649109

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120089683A KR101376171B1 (en) 2012-08-16 2012-08-16 Ipsec vpn apparatus and communication method using the same

Country Status (1)

Country Link
KR (1) KR101376171B1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108141435A (en) * 2015-08-27 2018-06-08 网络2.0 (2015) 有限公司 It is scrambled for the port of computer network
CN108924157A (en) * 2018-07-25 2018-11-30 杭州迪普科技股份有限公司 A kind of message forwarding method and device based on IPSec VPN

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040110032A (en) * 2003-06-20 2004-12-29 삼성전자주식회사 Sip server and method for conversation between sip terminal using it
KR20070027021A (en) * 2005-08-29 2007-03-09 주식회사 케이티 System and method for providing a roaming and security function for voip service over vowlan system
KR20090002390A (en) * 2007-06-28 2009-01-09 주식회사 케이티프리텔 Terminal unit for providing voip service between one private network and the other private network, interworking system and method thereof
JP2010239343A (en) * 2009-03-31 2010-10-21 Hitachi Software Eng Co Ltd Notification equipment, and protocol mutual conversion program for the same

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040110032A (en) * 2003-06-20 2004-12-29 삼성전자주식회사 Sip server and method for conversation between sip terminal using it
KR20070027021A (en) * 2005-08-29 2007-03-09 주식회사 케이티 System and method for providing a roaming and security function for voip service over vowlan system
KR20090002390A (en) * 2007-06-28 2009-01-09 주식회사 케이티프리텔 Terminal unit for providing voip service between one private network and the other private network, interworking system and method thereof
JP2010239343A (en) * 2009-03-31 2010-10-21 Hitachi Software Eng Co Ltd Notification equipment, and protocol mutual conversion program for the same

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108141435A (en) * 2015-08-27 2018-06-08 网络2.0 (2015) 有限公司 It is scrambled for the port of computer network
CN108924157A (en) * 2018-07-25 2018-11-30 杭州迪普科技股份有限公司 A kind of message forwarding method and device based on IPSec VPN
CN108924157B (en) * 2018-07-25 2021-04-27 杭州迪普科技股份有限公司 Message forwarding method and device based on IPSec VPN

Similar Documents

Publication Publication Date Title
EP1738508B1 (en) Method and apparatus for transporting encrypted media streams over a wide area network
US20090182668A1 (en) Method and apparatus to enable lawful intercept of encrypted traffic
US20060010321A1 (en) Network system, data transmission device, session monitor system and packet monitor transmission device
US20060212933A1 (en) Surveillance implementation in a voice over packet network
US9363034B2 (en) Method to encrypt information that is transferred between two communication units
CN105516062B (en) Method for realizing L2 TP over IPsec access
KR101297936B1 (en) Method for security communication between mobile terminals and apparatus for thereof
CN102202299A (en) Realization method of end-to-end voice encryption system based on 3G/B3G
CN110266725B (en) Password security isolation module and mobile office security system
CN102891848A (en) Method for carrying out encryption and decryption by using IPSec security association
JP2005504479A (en) Method for encrypting and decrypting communication data
US8181013B2 (en) Method, media gateway and system for transmitting content in call established via media gateway control protocol
KR101376171B1 (en) Ipsec vpn apparatus and communication method using the same
CN117459765B (en) Multimedia security protection method, device and system based on storage service
CN108966217B (en) Secret communication method, mobile terminal and secret gateway
US9241066B2 (en) Secure call analysis and screening of a secure connection
KR101457455B1 (en) Apparatus and method for data security in cloud networks
KR101784240B1 (en) Communication security method and system using a non-address network equipment
CN100450119C (en) Method for transferring cryptograph in IP video meeting system
US11362812B2 (en) Method of end to end securing of a communication
CN107864123A (en) A kind of network talkback machine safe transmission method and system
KR101227086B1 (en) Method and apparatus for data communication between physically separated networks
US20150230084A1 (en) Telecommunication system
KR101628094B1 (en) Security apparatus and method for permitting access thereof
JP2009088959A (en) Intercept system

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20161227

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20180102

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20181226

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20200129

Year of fee payment: 7