KR101447858B1 - IPSec 게이트웨이 장치, IPSec 게이트웨이의 패킷 전송 방법 및 네트워크 시스템 - Google Patents
IPSec 게이트웨이 장치, IPSec 게이트웨이의 패킷 전송 방법 및 네트워크 시스템 Download PDFInfo
- Publication number
- KR101447858B1 KR101447858B1 KR1020130078317A KR20130078317A KR101447858B1 KR 101447858 B1 KR101447858 B1 KR 101447858B1 KR 1020130078317 A KR1020130078317 A KR 1020130078317A KR 20130078317 A KR20130078317 A KR 20130078317A KR 101447858 B1 KR101447858 B1 KR 101447858B1
- Authority
- KR
- South Korea
- Prior art keywords
- packet
- information
- ipsec
- gateway
- header
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0485—Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
IPSec 게이트웨이(140) 장치는 단말(110) 또는 서버로부터 패킷을 수신하는 패킷 수신부(141), 수신한 패킷의 비암호화 영역을 분석하여, 게이트웨이 장치가 패킷 수신 전에 보유한 IPSec 세션 정보와 일치하는지 여부를 판단하는 비암호화 영역 분석부(142), 비암호화 영역이 IPSec 세션 정보와 일치하지 않는 경우 패킷의 암호화 영역을 복호하고, 복호된 정보가 IPSec 세션 정보의 암호화 키값과 일치하는지 여부를 판단하는 암호화 영역 분석부(143), 복호된 정보와 암호화 키값이 일치하는 경우, 비암호화 영역의 정보를 IPSec 세션 정보에 업데이트하는 IPSec 세션 정보 재설정부(144) 및 IPSec 세션 정보가 업데이트된 패킷을 전송하는 패킷 전송부(145)를 포함한다.
Description
이하 설명하는 기술은 IPSec 게이트웨이 장치, IPSec 게이트웨이의 패킷 전송 방법 및 이 IPSec 게이트웨이 장치를 사용하는 네트워크 시스템에 관한 것이다.
이동 통신 시스템이 유선 통신 시스템과 다른 점은, 단말들이 끊임없이 이동을 한다는 것이다. 따라서, 이동 통신 시스템은 단말의 이동성을 고려하여 시스템을 구축하고 서비스를 제공하여야 한다. 이동 통신 시스템은 기지국 사이의 다양한 핸드오버(handover) 기법을 통해 사용자에게 끊김 없는 서비스를 제공한다.
한편, 단말의 이동 또는 네트워크 장치에서 발생하는 오류 등으로 인하여 패킷의 내용이 변경되는 경우, 네트워크 시스템은 대부분 해당 패킷을 폐기하고, 새로운 패킷을 전송하도록 제어한다.
패킷의 오류 또는 패킷의 손실이 발생과 관련된 연구는 주로 패킷의 손실을 빠르게 검출하는 기법 또는 패킷의 오류 자체를 줄이기 위한 기술에 관한 것이다.
한국공개특허 제2011-0003796호는 이종망 사이의 핸드오버 시에도 초기 설정된 IPSec 보안 터널을 유지하는 기술을 개시하고 있고, 한국공개특허 제2010-0073041호는 네트워크 시스템에서 패킷 손실을 최소화하기 위한 시스템을 개시하고 있다.
그러나 종래 기술은 IPSec 게이트웨이에서 암호화되지 않은 영역의 정보가 변경되어 패킷이 수신되는 경우 해당 패킷을 즉시 폐기하였다. 따라서, 단말의 이동 또는 단말 상위의 NAT 장비의 재시작 등에 의해 오류가 발생하여 IPSec 게이트웨이와 IPSec 피어(Peer)의 암호화되지 않은 영역에 대한 정보가 불일치하는 경우에 복구할 수 있는 방법이 없었다. 종래 기술에 따른 네트워크 시스템은 패킷이 불일치 시간 동안 트래픽 전송이 중단되었고 IKE DPD(Dead Peer Detection) 절차에 의해서 일정 시간 경과 후 세션 삭제를 진행한다.
이하 설명하는 기술은 IPSec 게이트웨이와 IPSec 피어의 비암호화 영역의 정보가 일치하지 않는 경우에도 곧바로 패킷을 폐기하지 않고, 암호화 영역 정보를 분석하여 패킷 복구가 가능한 경우 패킷의 정보를 복구하는 기법을 제공하고자 한다.
이하 설명하는 기술의 해결과제는 이상에서 언급된 것들에 한정되지 않으며, 언급되지 아니한 다른 해결과제들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
상기 과제를 해결하기 위한 IPSec 게이트웨이 장치는 단말 또는 서버로부터 패킷을 수신하는 패킷 수신부, 수신한 패킷의 비암호화 영역을 분석하여, 게이트웨이 장치가 패킷 수신 전에 보유한 IPSec 세션 정보와 일치하는지 여부를 판단하는 비암호화 영역 분석부, 비암호화 영역이 IPSec 세션 정보와 일치하지 않는 경우 패킷의 암호화 영역을 복호하고, 복호된 정보가 IPSec 세션 정보의 암호화 키값과 일치하는지 여부를 판단하는 암호화 영역 분석부, 복호된 정보와 암호화 키값이 일치하는 경우, 비암호화 영역의 정보를 IPSec 세션 정보에 업데이트하는 IPSec 세션 정보 재설정부 및 IPSec 세션 정보가 업데이트된 패킷을 전송하는 패킷 전송부를 포함한다.
비암호화 영역은 i) 패킷의 아우터(outer) IP 헤더 또는 ii) 패킷의 아우터 IP 헤더 및 UDP 헤더일 수 있다.
암호화 영역 분석부는 IPSec SPI(Security Parameter Index) 값을 이용하여 IPSec 세션을 찾고, 찾은 IPSec 세션의 암호화키와 복호화된 정보를 비교한다.
IPSec 세션 정보 재설정부는 비암호화 영역에 IP 헤더만이 추가된 패킷인 경우, IP 헤더의 소스 IP 정보를 IPSec 세션 정보에 업데이트하고, 비암호화 영역에 IP 헤더 및 UDP 헤더가 추가된 경우, IP 헤더의 소스 IP 정보 및 UDP 헤더의 소스 포트 정보를 IPSec 세션 정보에 업데이트한다.
다른 측면에서 IPSec 게이트웨이의 패킷 전송 방법은 게이트웨이가 패킷을 수신하는 단계, 게이트웨이가 패킷 수신 전에 보유한 IPSec 세션 정보와 수신한 패킷의 비암호화 영역이 일치하는지 여부를 판단하는 단계, IPSec 세션 정보와 비암호화 영역이 일치하지 않는 경우, 게이트웨이가 수신한 패킷의 암호화 영역을 복호하는 단계, 게이트웨이가 복호한 암호화 영역과 IPSec 세션 정보의 암호화 키값이 일치하는지 여부를 판단하는 단계 및 복호한 암호화 영역과 암호화 키값이 일치하는 경우, 게이트웨이는 IPSec 세션 정보에 비암호화 영역의 정보를 업데이트하여 전송하는 단계를 포함한다.
업데이트하는 단계는 IPSec SPI(Security Parameter Index) 값을 이용하여 찾은 IPSec 세션 정보에 비암호화 영역의 정보를 업데이트한다.
업데이트하는 단계는 비암호화 영역에 IP 헤더만이 추가된 패킷인 경우, 게이트웨이가 IP 헤더의 소스 IP 정보를 IPSec 세션 정보에 업데이트하고, 비암호화 영역에 IP 헤더 및 UDP 헤더가 추가된 경우, 게이트웨이가 IP 헤더의 소스 IP 정보 및 UDP 헤더의 소스 포트 정보를 IPSec 세션 정보에 업데이트한다.
본 발명의 또 다른 측면에서 네트워크 시스템은 데이터 서비스를 요청하는 단말, 데이터 서비스를 제공하는 서비스 서버 및 단말과 IPSec 보안 터널링을 형성하고, 단말과 서비스 서버 사이에 패킷 전송을 제어하는 게이트웨이를 포함한다. 이때 게이트웨이는 단말 또는 서버가 전송하는 패킷의 비암호화 영역이 직접의 IPSec 세션 정보와 일치하지 않는 경우, 패킷의 암호화 영역을 복호화하고, 복호화된 정보가 IPSec 세션 정보의 암호화 키값과 일치하는 경우 비암호화 영역의 정보를 IPSec 세션 정보에 업데이트하여 패킷을 목적지에 전송한다.
이하 설명하는 기술은 네트워크 사이에 끊김 없는 서비스(seamless service)가 제공되지 못하는 상황이라도, IPSec 패킷을 수신한 게이트웨이가 동적으로 가입자 세션 테이블을 업데이트하여 연속적인 서비스가 가능하도록 한다. 이하 설명하는 기술은 패킷 유실 등의 단말과 IPSec 집선 장치에 비정상적인 상황이 발생하는 경우에도 서비스 연속성을 제공하여 효과적인 서비스가 가능하게 한다.
이하 설명하는 기술의 효과는 이상에서 언급된 것들에 한정되지 않으며, 언급되지 아니한 다른 효과들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
도 1은 IPSec 게이트웨이를 포함하는 네트워크 시스템의 구성을 도시한 블록도의 예이다.
도 2는 이동통신네트워크(LTE)를 통해 전송되는 패킷의 구성을 도시한 예이다.
도 3은 WLAN을 통해 전송되는 패킷의 구성을 도시한 예이다.
도 4는 IPSec 세션 정보를 업데이트하는 IPSec 게이트웨이 장치의 구성을 도시한 블록도의 예이다.
도 5는 IPSec 게이트웨이가 패킷을 분석하여, 복구할 수 있는 경우 재전송 요청 없이 패킷을 복구하여 전송하는 패킷전송방법에 대한 순서도의 예이다.
도 2는 이동통신네트워크(LTE)를 통해 전송되는 패킷의 구성을 도시한 예이다.
도 3은 WLAN을 통해 전송되는 패킷의 구성을 도시한 예이다.
도 4는 IPSec 세션 정보를 업데이트하는 IPSec 게이트웨이 장치의 구성을 도시한 블록도의 예이다.
도 5는 IPSec 게이트웨이가 패킷을 분석하여, 복구할 수 있는 경우 재전송 요청 없이 패킷을 복구하여 전송하는 패킷전송방법에 대한 순서도의 예이다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
제1, 제2, A, B 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 해당 구성요소들은 상기 용어들에 의해 한정되지는 않으며, 단지 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.
본 명세서에서 사용되는 용어에서 단수의 표현은 문맥상 명백하게 다르게 해석되지 않는 한 복수의 표현을 포함하는 것으로 이해되어야 하고, "포함한다" 등의 용어는 설시된 특징, 개수, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 존재함을 의미하는 것이지, 하나 또는 그 이상의 다른 특징들이나 개수, 단계 동작 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 배제하지 않는 것으로 이해되어야 한다.
도면에 대한 상세한 설명을 하기에 앞서, 본 명세서에서의 구성부들에 대한 구분은 각 구성부가 담당하는 주기능 별로 구분한 것에 불과함을 명확히 하고자 한다. 즉, 이하에서 설명할 2개 이상의 구성부가 하나의 구성부로 합쳐지거나 또는 하나의 구성부가 보다 세분화된 기능별로 2개 이상으로 분화되어 구비될 수도 있다. 그리고 이하에서 설명할 구성부 각각은 자신이 담당하는 주기능 이외에도 다른 구성부가 담당하는 기능 중 일부 또는 전부의 기능을 추가적으로 수행할 수도 있으며, 구성부 각각이 담당하는 주기능 중 일부 기능이 다른 구성부에 의해 전담되어 수행될 수도 있음은 물론이다. 따라서, 본 명세서를 통해 설명되는 각 구성부들의 존재 여부는 기능적으로 해석되어야 할 것이며, 이러한 이유로 본 발명의 IPSec 게이트웨이 장치(140)에 따른 구성부들의 구성은 본 발명의 목적을 달성할 수 있는 한도 내에서 도 4와는 상이해질 수 있음을 명확히 밝혀둔다.
또, 방법 또는 동작 방법을 수행함에 있어서, 상기 방법을 이루는 각 과정들은 문맥상 명백하게 특정 순서를 기재하지 않은 이상 명기된 순서와 다르게 일어날 수 있다. 즉, 각 과정들은 명기된 순서와 동일하게 일어날 수도 있고 실질적으로 동시에 수행될 수도 있으며 반대의 순서대로 수행될 수도 있다.
본 발명은 이동통신네트워크(3G/4G) 또는 WLAN을 통해 데이터 서비스 등을 받는 단말이 이동하거나, 접속 경로를 변경하거나 단말 상위의 NAT 장비의 재시작 등에 따라 IPSec 게이트웨이와 데이터를 주고 받는 IPSec 피어(단말, 서버 등) 사이에 암호화되지 않은 영역의 정보가 일치하지 않는 경우, 패킷을 복구하기 위한 방법 내지 장치에 관한 것이다.
단말의 이동 또는 접속 경로의 변경은 사용자가 데이터 서비스 등을 제공받는 네트워크 경로를 변경하거나, 접속 경로 중 하나가 제대로 동작하지 못하는 경우에 발생한다. 예컨대, 집이나 사무실에서는 비용이 저렴한 WiFi 네트워크를 통해 데이터 서비스를 제공받기 위하여, 사용자는 LTE 네트워크에서 WLAN으로 접속 경로를 변경할 수 있다. 또는 사용자가 WLAN에 접속할 수 없거나, WLAN 장치가 고장이 발생한 경우 사용자는 WLAN에서 LTE 네트워크로 접속 경로를 변경할 수도 있다.
이하에서는 도면을 참조하면서 IPSec 게이트웨이 장치(140), IPSec 게이트웨이(140)의 패킷 전송 방법 및 이 게이트웨이 장치(140)를 포함하는 네트워크 시스템(100)에 관하여 구체적으로 설명하겠다.
도 1은 IPSec 게이트웨이(140)를 포함하는 네트워크 시스템(100)의 구성을 도시한 블록도의 예이다.
단말(110)의 IPSec 이동성을 제공하는 네트워크 시스템(100)은 데이터 서비스를 요청하는 단말(110), 데이터 서비스를 제공하는 서비스 서버(150), 이동통신 AP 및 패킷 데이터 네트워크 게이트웨이(PGW,123)를 포함하는 이동통신 네트워크(120), 와이파이 AP(131)를 포함하는 WLAN(130), 단말(110)과 IPSec 보안 터널링을 형성하고, 단말(110)이 이동통신 네트워크(120) 또는 WLAN(130)을 통해 서비스 서버(150)에 접속하도록 제어하는 IPSec 게이트웨이(140)(140)를 포함한다.
서비스 서버(150)는 단말(110)에 콘텐츠 또는 서비스를 제공하는 서버이다. 서비스 서버(150)는 BYOD(Bring Your Own Device) 서비스와 같이 개인 단말을 통해 업무용 서비스를 제공하는 서버일 수도 있다. 도 1은 서비스 서버(150)가 방화벽을 갖는 특정한 시스템 내부에 위치하는 것으로 도시하였다.
단말(110)은 일반적인 모바일 단말, 스마트폰, 태블릿 PC, 노트북, 퍼스널 컴퓨터 등을 포함한다. 이동통신사업자가 제공하는 네트워크 또는 WiFi 네트워크에 접속할 수 있는 장치는 모두 본 발명의 단말(110)에 포함된다. 이동통신 네트워크(120)는 일반적으로 2G, 3G, LTE, LTE-Advanced 등을 이용하는 네트워크를 의미한다. 이하 설명의 편의를 위해 이동통신사업자가 제공하는 네트워크는 LTE(4G, 4G-Advanced)라고 전제한다.
이동통신 네트워크(120)는 기지국(eNB, 121), SGW(Serving Gateway, 122) 및 PGW(Packet Data Network Gateway)를 포함한다. WLAN(130)은 와이파이 AP(131)를 포함한다. 물론 각 네트워크는 다른 구성요소도 포함하지만, 도 1은 발명의 설명에 필요한 구성만을 예시적으로 도시한 것이다. 이동통신 네트워크(120) 및 WLAN(130)에 대한 구성 및 자세한 동작은 해당 분야의 통상의 지식을 가진 자에게 널리 알려진 것이므로, 자세한 설명은 생략한다.
도 1은 본 발명에 따른 하나의 실시예에 지나지 않는다. 본 발명의 IPSec 게이트웨이(140)는 도 1에 도시된 접속 경로 외에 다른 경로를 사용할 수도 있고, 도시하지 않았지만 단말(110)과 단말(110) 사이에 패킷을 전송하는 경우에도 적용이 가능하다.
본 발명은 패킷을 송수신하는 대상(단말과 서버, 단말과 단말 등)이 있고, IPSec 게이트웨이(140)가 패킷을 송수신하는 대상 중 적어도 하나와 IPSec 보안 터널링을 형성하는 경우에 적용 가능하다. 도 1에서 단말(110)은 LTE 네트워크(120)를 통해 서비스 서버(150)에 접속하는 경우 단말(110)은 이동통신 네트워크(120)를 경유하여 IPSec 게이트웨이(140)와 IPSec 터널링을 형성한다. 단말(110)이 WLAN(130)을 통해 서비스 서버(150)에 접속하는 경우 단말(110)은 WLAN(130)을 경유하여 IPSec 게이트웨이(140)와 IPSec 터널링을 형성한다. 서비스 서버(150)가 위치하는 시스템은 별도의 보안 프로토콜을 사용하는 것으로 가정한다.
IPSec 게이트웨이(140)는 IPSec 피어가 전송하는 패킷의 비암호화 영역이 IPSec 게이트웨이(140)에 형성된 IPSec 세션 정보와 일치하지 않는 경우, 수신한 패킷의 암호화 영역을 복호한다. IPSec 게이트웨이(140)는 복호한 암호화 영역이 IPSec 세션 정보와 일치하는 경우 수신한 패킷의 비암호화 영역이 적합하다고 판단하고, 현재 IPSec 세션 정보를 수신한 패킷의 비암호화 영역의 정보로 업데이트한다.
도 2는 이동통신네트워크(LTE)를 통해 전송되는 패킷의 구성을 도시한 예이다. 도 2(a)는 PGW가 공인 IP를 단말(110)에 할당한 경우이고, 도 2(b)는 PGW가 사설 IP를 단말(110)에 할당한 경우이다. 도 2(b)의 패킷은 아우터(outer) IP 헤더 안쪽에 별도의 UDP 헤더가 추가적으로 존재한다.
도 3은 WLAN을 통해 전송되는 패킷의 구성을 도시한 예이다. 도 3(a)는 와이파이 AP(131)가 공인 IP를 단말(110)에 할당한 경우이고, 도 2(b)는 와이피아 AP가 사설 IP를 단말(110)에 할당한 경우이다. 도 2(b)의 패킷은 아우터(outer) IP 헤더 안쪽에 별도의 UDP 헤더가 추가적으로 존재한다. 추가적은 UDP 헤더를 사용하는 이유는 NAT 장비에 의해 IP가 변조되는 상황이 발생할 수 있기 때문이다. IP가 변조되면 NAT에서 ESP 헤더에 대한 NAT 서비스가 불가능해진다.
도 2 및 도 3에서의 패킷 이동 및 패킷의 구성에 대한 자세한 설명은 생략하기로 한다. 도 2 및 도 3을 살펴보면, 패킷이 암호화 영역과 비암호화 영역으로 구분되는 것을 알 수 있다. 본 발명은 IPSec 게이트웨이(140)가 수신한 패킷의 비암호화 영역과 이미 형성된 IPSec 세션 정보가 일치하지 않는 경우, 패킷을 복구(업데이트)하는 방법 내지 장치를 제안한다.
이하 IPSec 게이트웨이(140) 장치를 설명하면서, 구체적으로 수신한 패킷의 비암호화 영역 중 어떤 정보가 IPSec 세션 정보에 반영되는지 설명하고자 한다.
도 4는 IPSec 세션 정보를 업데이트하는 IPSec 게이트웨이(140) 장치의 구성을 도시한 블록도의 예이다.
IPSec 게이트웨이(140) 장치는 단말(110) 또는 서버로부터 패킷을 수신하는 패킷 수신부(141), 수신한 패킷의 비암호화 영역을 분석하여, 게이트웨이 장치가 패킷 수신 전에 보유한 IPSec 세션 정보와 일치하는지 여부를 판단하는 비암호화 영역 분석부(142), 비암호화 영역이 IPSec 세션 정보와 일치하지 않는 경우 패킷의 암호화 영역을 복호하고, 복호된 정보가 IPSec 세션 정보의 암호화 키값과 일치하는지 여부를 판단하는 암호화 영역 분석부(143), 복호된 정보와 암호화 키값이 일치하는 경우, 비암호화 영역의 정보를 IPSec 세션 정보에 업데이트하는 IPSec 세션 정보 재설정부(144) 및 IPSec 세션 정보가 업데이트된 패킷을 전송하는 패킷 전송부(145)를 포함한다.
도 4는 패킷 수신부(141)가 PGW 또는 와이파이 AP(131)로부터 패킷을 수신한다고 도시하였으나, 이는 하나의 예에 불과하다. 데이터 서비스를 제공하는 서비스 서버(150)로부터 패킷을 수신할 수도 있다. 도 4는 단말(110)에서 생성한 패킷이 서비스 서버(150)로 전송되는 과정을 가정한 것이다.
비암호화 영역은 i) 패킷의 아우터(outer) IP 헤더 또는 ii) 패킷의 아우터 IP 헤더 및 UDP 헤더이다. 접속 경로 장치가 공인 IP를 사용하는 경우 아우터(outer) IP 헤더가 비암호화 영역이고, 접속 경로 장치가 사설 IP를 사용하는 경우 아우터 IP 헤더 및 UDP 헤더가 비암호화 영역이다.
비암호화 영역 분석부(142)는 i) 패킷의 아우터(outer) IP 헤더 또는 ii) 패킷의 아우터 IP 헤더 및 UDP 헤더를 분석하여, 현재 IPSec 피어 사이에(예컨대, 단말과 서비스 서버) 형성된 IPSec 세션의 정보를 비교한다. 아우터 IP 헤더의 정보는 소스 IP 및 목적 IP를 포함하고, UDP 헤더의 정보는 소스 포트 번호 및 목적 포트 번호를 포함한다.
비암호화 영역 분석부(142)가 수신한 패킷의 비암호화 영역의 정보와 IPSec 세션 정보가 불일치한다고 판단한 경우에 암호화 영역 분석부가 암호화 영역을 복호한다. 전술한 바와 같이 몇몇 원인에 의해 비암호화 영역만이 일치하지 않을 수도 있기 때문이다.
암호화 영역 분석부(143)는 IPSec SPI(Security Parameter Index) 값을 이용하여 IPSec 세션을 찾고, 찾은 IPSec 세션의 암호화키와 복호된 정보를 비교한다.
SPI는 IP 트래픽에 대한 IPSec 터널링을 사용하는 경우 헤더에 추가되는 태그(tag)이다. SPI는 서로 다른 암호화 규칙 및 알고리즘을 사용한 서로 다른 트래픽 스트림을 구분하는데 사용한다. 따라서 암호화 영역 분석부(143)는 수신한 패킷에 대한 SPI 값을 기준으로 수신한 패킷에 대응하는 IPSec 세션을 찾는다. 암호화 영역 분석부(143)는 찾은 IPSec 세션의 암호화 정보를 이용하여 수신한 패킷의 암호화 영역을 복호하고, 복호된 정보와 IPSec 세션의 정보가 일치하는지 판단한다.
암호화 영역 분석부(143)에서 복호된 정보와 IPSec 세션 정보가 일치한다고 판단하면, IPSec 세션 정보에 수신한 패킷의 비암호화 정보를 반영한다. 암호화 영역이 기존 IPSec 세션 정보와 일치한다면, 현재 수신한 패킷이 손실 없는 패킷을 확률이 매우 높다. 따라서 현재 수신한 패킷의 비암호화 정보를 IPSec 세션 정보에 반영하는 것이다.
IPSec 세션 정보 재설정부(144)는 비암호화 영역에 IP 헤더만이 추가된 패킷인 경우(즉, 접속 네트워크 장치가 공인 IP를 단말(110)에 할당한 경우), IP 헤더의 소스 IP 정보를 IPSec 세션 정보에 업데이트하고, 비암호화 영역에 IP 헤더 및 UDP 헤더가 추가된 경우(즉, 접속 네트워크 장치가 사설 IP를 단말(110)에 할당한 경우) IP 헤더의 소스 IP 정보 및 UDP 헤더의 소스 포트 정보를 IPSec 세션 정보에 업데이트한다.
이후 패킷 전송부(145)는 업데이트된 패킷을 목적지로 전송한다. 도 4는 목적지를 서비스 서버(150)라고 도시하였으나, 이는 하나의 예에 불과하다. 목적지는 단말(110)일 수도 있고, 제 3의 수신자일 수도 있다.
도 5는 IPSec 게이트웨이(140)가 패킷을 분석하여, 복구할 수 있는 경우 재전송 요청 없이 패킷을 복구하여 전송하는 패킷전송방법에 대한 순서도의 예이다.
IPSec 게이트웨이(140)는 단말(110) 또는 특정 서버로부터 패킷을 수신한다(901). IPSec 게이트웨이(140)는 수신한 패킷이 UDP 캡슐화(encapsulation)되었는지 여부를 판단한다(902). UDP 캡슐화된 패킷은 사설 IP를 사용하는 경우이고, UDP 캡슐화되지 않은 패킷은 공인 IP를 사용하는 경우이다. UDP 캡슐화되었는지 여부는 최종적으로 IPSec 세션의 정보에 업데이트되는 내용에만 차이를 가져온다.
IPSec 게이트웨이(140)가 UDP 캡슐화되었다고 판단하는 경로는 다음과 같다.
IPSec 게이트웨이(140)는 비암호와 영역의 정보가 기존 IPSec 세션 정보와 일치하는지 여부를 판단한다(903). 기존 IPSec 세션은 현재 IPSec 게이트웨이(140)를 경유하여 형성된 세션을 의미한다. 비암호와 영역의 정보가 기존 IPSec 세션 정보와 일치하는 경우, IPSec 게이트웨이(140)는 정상적으로 패킷을 처리한다(904).
비암호와 영역의 정보가 기존 IPSec 세션 정보와 일치하지 않는 경우, IPSec 게이트웨이(140)는 수신한 패킷의 ESP 헤더의 SPI 값이 기존(현재 설정된 IPSec 세션)에 할당된 값과 일치하는지 여부를 판단한다(905). SPI 값이 현재 설정된 IPSec 세션의 정보와 일치하지 않는다면, IPSec 게이트웨이(140)는 수신한 패킷을 폐기한다(908).
SPI 값이 현재 설정된 IPSec 세션의 정보와 일치한다면, IPSec 게이트웨이(140)는 수신한 패킷의 암호화 영역을 복호한다(906). IPSec 게이트웨이(140)는 SPI 값을 기준으로 찾은 IPSec 세션의 정보와 복호한 암호화 영역의 정보가 일치하는지 여부를 판단한다(907). IPSec 세션의 정보와 복호한 암호화 영역의 정보가 일치하지 않는다면 IPSec 게이트웨이(140)는 수신한 패킷을 폐기한다(908).
IPSec 세션의 정보와 복호한 암호화 영역의 정보가 일치한다면 IPSec 게이트웨이(140)는 비암호화 영역의 정보를 IPSec 세션 정보에 업데이트한다. 구체적으로 IPSec 세션의 정보와 복호한 암호화 영역의 정보가 일치하지 않는다면 IPSec 게이트웨이(140)는 IP 헤더의 소스 IP 정보 및 UDP 헤더의 소스 포트 정보를 IPSec 세션 정보에 업데이트한다(909). 이후 IPSec 게이트웨이(140)는 업데이트된 정보를 목적지에 전송한다(910).
IPSec 게이트웨이(140)가 UDP 캡슐화되지 않았다고 판단하는 경로는 다음과 같다.
IPSec 게이트웨이(140)는 비암호와 영역의 정보가 기존 IPSec 세션 정보와 일치하는지 여부를 판단한다(911). 기존 IPSec 세션은 현재 IPSec 게이트웨이(140)를 경유하여 형성된 세션을 의미한다. 비암호와 영역의 정보가 기존 IPSec 세션 정보와 일치하는 경우, IPSec 게이트웨이(140)는 정상적으로 패킷을 처리한다(912).
비암호와 영역의 정보가 기존 IPSec 세션 정보와 일치하지 않는 경우, IPSec 게이트웨이(140)는 수신한 패킷의 ESP 헤더의 SPI 값이 기존(현재 설정된 IPSec 세션)에 할당된 값과 일치하는지 여부를 판단한다(913). SPI 값이 현재 설정된 IPSec 세션의 정보와 일치하지 않는다면, IPSec 게이트웨이(140)는 수신한 패킷을 폐기한다(916).
SPI 값이 현재 설정된 IPSec 세션의 정보와 일치한다면, IPSec 게이트웨이(140)는 수신한 패킷의 암호화 영역을 복호한다(914). IPSec 게이트웨이(140)는 SPI 값을 기준으로 찾은 IPSec 세션의 정보와 복호한 암호화 영역의 정보가 일치하는지 여부를 판단한다(915). IPSec 세션의 정보와 복호한 암호화 영역의 정보가 일치하지 않는다면 IPSec 게이트웨이(140)는 수신한 패킷을 폐기한다(916).
IPSec 세션의 정보와 복호한 암호화 영역의 정보가 일치한다면 IPSec 게이트웨이(140)는 비암호화 영역의 정보를 IPSec 세션 정보에 업데이트한다. 구체적으로 IPSec 세션의 정보와 복호한 암호화 영역의 정보가 일치하지 않는다면 IPSec 게이트웨이(140)는 IP 헤더의 소스 IP 정보 및 UDP 헤더의 소스 포트 정보를 IPSec 세션 정보에 업데이트한다(917). 이후 IPSec 게이트웨이(140)는 업데이트된 정보를 목적지에 전송한다(918).
본 실시예 및 본 명세서에 첨부된 도면은 본 발명에 포함되는 기술적 사상의 일부를 명확하게 나타내고 있는 것에 불과하며, 본 발명의 명세서 및 도면에 포함된 기술적 사상의 범위 내에서 당업자가 용이하게 유추할 수 있는 변형 예와 구체적인 실시예는 모두 본 발명의 권리범위에 포함되는 것이 자명하다고 할 것이다.
100 : 네트워크 시스템 110 : 단말
120 : 이동통신 네트워크 121 : 기지국(eNB)
122 : SGW 123 : PGW
130 : WLAN 131 : 와이파이 AP
140 : IPSec 게이트웨이 141 : 패킷 수신부
142 : 비암호화 영역 분석부 143 : 암호화 영역 분석부
144 : IPSec 세션 정보 재설정부 145 : 패킷 전송부
150: 서비스 서버
120 : 이동통신 네트워크 121 : 기지국(eNB)
122 : SGW 123 : PGW
130 : WLAN 131 : 와이파이 AP
140 : IPSec 게이트웨이 141 : 패킷 수신부
142 : 비암호화 영역 분석부 143 : 암호화 영역 분석부
144 : IPSec 세션 정보 재설정부 145 : 패킷 전송부
150: 서비스 서버
Claims (10)
- 무선네트워크로 연결된 단말과 서버 사이에서 패킷 송수신을 제어하고, 상기 단말과 IPSec 보안 터널링을 형성하는 게이트웨이 장치에 있어서,
상기 단말 또는 상기 서버로부터 패킷을 수신하는 패킷 수신부;
상기 수신한 패킷의 비암호화 영역을 분석하여, 상기 게이트웨이 장치가 상기 패킷 수신 전에 보유한 IPSec 세션 정보와 일치하는지 여부를 판단하는 비암호화 영역 분석부;
상기 비암호화 영역이 상기 IPSec 세션 정보와 일치하지 않는 경우 패킷의 암호화 영역을 복호하고, 복호된 정보가 상기 IPSec 세션 정보의 암호화 키값과 일치하는지 여부를 판단하는 암호화 영역 분석부;
상기 복호된 정보와 상기 암호화 키값이 일치하는 경우, 상기 비암호화 영역의 정보를 상기 IPSec 세션 정보에 업데이트하는 IPSec 세션 정보 재설정부; 및
상기 IPSec 세션 정보가 업데이트된 패킷을 전송하는 패킷 전송부를 포함하는 IPSec 게이트웨이 장치. - 제1항에 있어서,
상기 비암호화 영역은 i) 상기 패킷의 아우터(outer) IP 헤더 또는 ii) 상기 패킷의 아우터 IP 헤더 및 UDP 헤더인 IPSec 게이트웨이 장치. - 제1항에 있어서,
상기 암호화 영역 분석부는 IPSec SPI(Security Parameter Index) 값을 이용하여 상기 IPSec 세션을 찾고, 찾은 IPSec 세션의 암호화키와 상기 복호된 정보를 비교하는 IPSec 게이트웨이 장치. - 제1항에 있어서,
상기 IPSec 세션 정보 재설정부는
상기 비암호화 영역에 IP 헤더만이 추가된 패킷인 경우, IP 헤더의 소스 IP 정보를 상기 IPSec 세션 정보에 업데이트하고,
상기 비암호화 영역에 IP 헤더 및 UDP 헤더가 추가된 경우, IP 헤더의 소스 IP 정보 및 UDP 헤더의 소스 포트 정보를 상기 IPSec 세션 정보에 업데이트 하는 IPSec 게이트웨이 장치. - 무선네트워크로 연결된 단말과 서버 사이에서 게이트웨이가 패킷 전송을 제어하는 방법에 있어서,
상기 게이트웨이가 패킷을 수신하는 단계;
상기 게이트웨이가 상기 패킷 수신 전에 보유한 IPSec 세션 정보와 상기 수신한 패킷의 비암호화 영역이 일치하는지 여부를 판단하는 단계;
상기 IPSec 세션 정보와 상기 비암호화 영역이 일치하지 않는 경우, 상기 게이트웨이가 수신한 패킷의 암호화 영역을 복호하는 단계;
상기 게이트웨이가 상기 복호한 암호화 영역과 상기 IPSec 세션 정보의 암호화 키값이 일치하는지 여부를 판단하는 단계; 및
상기 복호한 암호화 영역과 상기 암호화 키값이 일치하는 경우, 상기 게이트웨이는 상기 IPSec 세션 정보에 상기 비암호화 영역의 정보를 업데이트하는 단계를 포함하는 IPSec 게이트웨이의 패킷 전송 방법. - 제5항에 있어서,
상기 비암호화 영역은 i) 상기 패킷의 아우터(outer) IP 헤더 또는 ii) 상기 패킷의 아우터 IP 헤더 및 UDP 헤더인 IPSec 게이트웨이의 패킷 전송 방법. - 제5항에 있어서,
상기 업데이트하는 단계는
IPSec SPI(Security Parameter Index) 값을 이용하여 찾은 IPSec 세션 정보에 상기 비암호화 영역의 정보를 업데이트하는 IPSec 게이트웨이의 패킷 전송 방법. - 제5항에 있어서,
상기 업데이트하는 단계는
상기 비암호화 영역에 IP 헤더만이 추가된 패킷인 경우, 상기 게이트웨이가 IP 헤더의 소스 IP 정보를 상기 IPSec 세션 정보에 업데이트하고,
상기 비암호화 영역에 IP 헤더 및 UDP 헤더가 추가된 경우, 상기 게이트웨이가 IP 헤더의 소스 IP 정보 및 UDP 헤더의 소스 포트 정보를 상기 IPSec 세션 정보에 업데이트 하는 IPSec 게이트웨이의 패킷 전송 방법. - 제5항에 있어서,
상기 복호하는 단계 전에
상기 IPSec 세션 정보와 상기 비암호화 영역이 일치하지 않는 경우, 상기 게이트웨이가 상기 패킷의 ESP 헤더의 SPI 값이 기존에 할당된 값과 일치하는지 여부를 판단하는 단계; 및
상기 SPI 값과 상기 할당된 값이 일치하지 않는 경우, 상기 게이트웨이가 상기 패킷을 폐기하는 단계를 더 포함하는 IPSec 게이트웨이의 패킷 전송 방법. - 이동통신 네트워크와 WLAN 간에 이동성을 갖는 단말을 포함하는 네트워크 시스템에 있어서,
데이터 서비스를 요청하는 단말;
데이터 서비스를 제공하는 서비스 서버; 및
상기 단말과 IPSec 보안 터널링을 형성하고, 상기 단말과 상기 서비스 서버 사이에 패킷 전송을 제어하는 게이트웨이를 포함하되,
상기 게이트웨이는 상기 단말 또는 상기 서버가 전송하는 패킷의 비암호화 영역이 상기 게이트웨이가 이미 보유한 IPSec 세션 정보와 일치하지 않는 경우, 상기 패킷의 암호화 영역을 복호하고, 복호된 정보가 상기 IPSec 세션 정보의 암호화 키값과 일치하는 경우 상기 비암호화 영역의 정보를 상기 IPSec 세션 정보에 업데이트하여 패킷을 목적지에 전송하는 네트워크 시스템.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/KR2014/003700 WO2014185639A1 (ko) | 2013-05-15 | 2014-04-28 | IPSec 게이트웨이 장치, IPSec 게이트웨이의 패킷 전송 방법 및 네트워크 시스템 |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020130055237 | 2013-05-15 | ||
KR20130055237 | 2013-05-15 |
Publications (1)
Publication Number | Publication Date |
---|---|
KR101447858B1 true KR101447858B1 (ko) | 2014-10-07 |
Family
ID=51996747
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020130078317A KR101447858B1 (ko) | 2013-05-15 | 2013-07-04 | IPSec 게이트웨이 장치, IPSec 게이트웨이의 패킷 전송 방법 및 네트워크 시스템 |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101447858B1 (ko) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101628094B1 (ko) * | 2014-12-18 | 2016-06-08 | 주식회사 시큐아이 | 보안 장비 및 그것의 접근 허용 방법 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010081108A (ja) | 2008-09-24 | 2010-04-08 | Fuji Xerox Co Ltd | 通信中継装置、情報処理装置、プログラム、及び通信システム |
KR20100073041A (ko) * | 2008-12-22 | 2010-07-01 | 한국전자통신연구원 | 패킷 전송 네트워크에서의 단말의 이동성 제공 방법 및 패킷 전송 네트워크 시스템, 게이트웨이 스위치 |
KR20110092333A (ko) * | 2008-12-02 | 2011-08-17 | 알까뗄 루슨트 | Tr-069 오브젝트 관리를 위한 모듈 및 연관된 방법 |
KR20120097029A (ko) * | 2011-02-24 | 2012-09-03 | 한국인터넷진흥원 | 시그널링 암호화 환경을 고려한 sip기반 인터넷전화 침입방지 시스템 |
-
2013
- 2013-07-04 KR KR1020130078317A patent/KR101447858B1/ko active IP Right Grant
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010081108A (ja) | 2008-09-24 | 2010-04-08 | Fuji Xerox Co Ltd | 通信中継装置、情報処理装置、プログラム、及び通信システム |
KR20110092333A (ko) * | 2008-12-02 | 2011-08-17 | 알까뗄 루슨트 | Tr-069 오브젝트 관리를 위한 모듈 및 연관된 방법 |
KR20100073041A (ko) * | 2008-12-22 | 2010-07-01 | 한국전자통신연구원 | 패킷 전송 네트워크에서의 단말의 이동성 제공 방법 및 패킷 전송 네트워크 시스템, 게이트웨이 스위치 |
KR20120097029A (ko) * | 2011-02-24 | 2012-09-03 | 한국인터넷진흥원 | 시그널링 암호화 환경을 고려한 sip기반 인터넷전화 침입방지 시스템 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101628094B1 (ko) * | 2014-12-18 | 2016-06-08 | 주식회사 시큐아이 | 보안 장비 및 그것의 접근 허용 방법 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11743061B2 (en) | Ethernet type packet data unit session communications | |
US11818566B2 (en) | Unified authentication for integrated small cell and Wi-Fi networks | |
US11159361B2 (en) | Method and apparatus for providing notification of detected error conditions in a network | |
US10555171B2 (en) | WiFi protected access 2 (WPA2) pass-through virtualization partition | |
US10785683B2 (en) | Native fragmentation in WiFi protected access 2 (WPA2) pass-through virtualization protocol | |
US9027111B2 (en) | Relay node authentication method, apparatus, and system | |
US20200007507A1 (en) | Internet Protocol Security Tunnel Maintenance Method, Apparatus, and System | |
US20070105549A1 (en) | Mobile communication system using private network, relay node, and radio network controller | |
US8842830B2 (en) | Method and apparatus for sending a key on a wireless local area network | |
US20120182929A1 (en) | Method, apparatus, and system for data transmission | |
CN109906625B (zh) | 无线局域网上的安全链路层连接的方法 | |
IL271911B1 (en) | A method for transmitting information about end units and related products | |
CA2947371C (en) | Protecting wlcp message exchange between twag and ue | |
KR101480703B1 (ko) | LTE 네트워크와 WLAN 사이에 단말의 IPSec 이동성을 제공하는 네트워크 시스템 및 단말의 IPSec 이동성을 제공하는 패킷전송방법 | |
KR101447858B1 (ko) | IPSec 게이트웨이 장치, IPSec 게이트웨이의 패킷 전송 방법 및 네트워크 시스템 | |
US20230094458A1 (en) | Ipsec privacy protection | |
KR20150034147A (ko) | IPSec 프로토콜을 통해 서비스 정보를 제공하는 네트워크 시스템 및 IPSec 프로토콜을 통해 서비스 정보를 전송하는 방법 | |
KR101460106B1 (ko) | Byod 네트워크 시스템 및 기업서비스 네트워크에 대한 접속 방법 | |
Kumar et al. | Seamless and Secure Communication for 5G Subscribers in 5G-WLAN Heterogeneous Networks | |
WO2014185639A1 (ko) | IPSec 게이트웨이 장치, IPSec 게이트웨이의 패킷 전송 방법 및 네트워크 시스템 | |
Cano Baños et al. | Experimental Tests on SCTP over IPSec |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20170912 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20180910 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20190906 Year of fee payment: 6 |