KR101584836B1 - 네트워크 보안 방법 및 장치 - Google Patents

네트워크 보안 방법 및 장치 Download PDF

Info

Publication number
KR101584836B1
KR101584836B1 KR1020117011405A KR20117011405A KR101584836B1 KR 101584836 B1 KR101584836 B1 KR 101584836B1 KR 1020117011405 A KR1020117011405 A KR 1020117011405A KR 20117011405 A KR20117011405 A KR 20117011405A KR 101584836 B1 KR101584836 B1 KR 101584836B1
Authority
KR
South Korea
Prior art keywords
frame
mpls
label
secure
label exchange
Prior art date
Application number
KR1020117011405A
Other languages
English (en)
Other versions
KR20110086093A (ko
Inventor
찰스 스미스
Original Assignee
알까뗄 루슨트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 알까뗄 루슨트 filed Critical 알까뗄 루슨트
Publication of KR20110086093A publication Critical patent/KR20110086093A/ko
Application granted granted Critical
Publication of KR101584836B1 publication Critical patent/KR101584836B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/50Routing or path finding of packets in data switching networks using label swapping, e.g. multi-protocol label switch [MPLS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

네트워크를 통해 전송하기 위한 MPLS 헤더 및 MPLS 페이로드를 포함하는 MPLS 프레임을 보안하는 방법이 개시된다. 본 방법은 소스로부터 상기 MPLS 프레임을 수신하는 단계 및 상기 MPLS 프레임이 보안 기준을 충족하는지 판단하는 단계를 포함한다. 만일 상기 MPLS 프레임이 상기 보안 기준을 충족하면, 상기 MPLS 페이로드가 보안되고 보안된 MPLS 프레임이 생성된다. 상기 보안된 MPLS 프레임은 상기 MPLS 헤더 및 상기 보안된 MPLS 페이로드를 포함한다. 그리고 나서 상기 보안된 MPLS 프레임이 전송된다.

Description

네트워크 보안 방법 및 장치{NETWORK SECURITY METHOD AND APPARATUS}
본 발명은 라벨 교환 네트워크(label switched network)에서 네트워크 보안을 제공하는 방법 및 장치에 관한 것이다. 본 발명은 멀티프로토콜 라벨 교환 네트워크(multiprotocol label switching(MPLS) networks)에 특별하게 적용될 수 있다.
오늘날 사업체, 정부 부처, 조직체, 개인과 같은 사회 단체들(society entities)은 하나 이상의 컴퓨터 네트워크(이를 테면, 인터넷)를 사용하여 그 자신들끼리 또는 다른 단체들과 자주 데이터를 전송한다. 전송된 데이터는 파일 전송, 이메일, 음성 및/또는 비디오 회의(video conferencing)와 같은 많은 목적들 중 어떤 것에 관한 것일 수 있다.
기술이 진화함에 따라, 상이한 형태의 컴퓨터 네트워크 및 상이한 네트워크 통신 프로토콜이 개발되고 구현되어 왔다. 거의 모든 컴퓨터 네트워크와 프로토콜디자인에서 존재하는 공통적이고 대단히 중요한 세 가지 고려사항은 속도(데이터 통신이 얼마나 빨리 수행될 수 있는지), 보안(전송되는 데이터를 어떻게 보안하는지), 및 필요로 하는 자원이다. 네트워크 보안과 연관된 오버헤드가 필요 자원, 처리 시간 그리고 속도에 직접 영향을 줄 수 있는 한 이러한 고려사항들은 대개 서로 상충한다.
라벨 교환 네트워크(특히 MPLS 네트워크)는 현재 사용중인 한 형태의 네트워크이다. MPLS 네트워크는 그 이름으로 알 수 있듯이 패킷을 교환하는 라벨을 사용하는 패킷 교환 네트워크이며 상이한 프로토콜(예를 들면, IP, ATM, SONET, Ethernet)의 네트워크 트래픽을 전송하는데 사용될 수 있다.
라벨 교환 네트워크에서 보안은 물리적인 링크의 암호화에 의해 또는 IP(인터넷 프로토콜) 또는 ATM (비동기 전송 모드) 터널 내 MPLS 데이터 프레임을 캡슐화함으로써 제공될 수 있다. 이러한 보안 접근법은 모두 비교적 상당한 자원 및 네트워크 오버헤드를 필요로 하며, 이로 인해 네트워크의 속도와 효율에 영향을 미친다.
일 양태에서, 본 발명은 네트워크를 통해 전송을 위한 MPLS 헤더 및 MPLS 페이로드를 포함하는 MPLS 프레임을 보안하는 방법을 제공하며, 상기 방법은 소스로부터 상기 MPLS 프레임을 수신하는 단계와, 상기 MPLS 프레임이 보안 기준을 충족하는지 판단하는 단계와, 만일 MPLS 프레임이 상기 보안 기준을 충족하면, 상기 MPLS 페이로드를 보안하고 상기 MPLS 헤더 상기 보안된 MPLS 페이로드를 포함하는 보안된 MPLS 프레임을 생성하는 단계와, 및 상기 보안된 MPLS 프레임을 전송하는 단계를 포함한다.
상기 보안 기준은 상기 MPLS 헤더 내 라벨의 라벨 값에 관련된 기준을 포함할 수 있다.
상기 보안 기준은 상기 MPLS 헤더 내 최상위 라벨의 라벨 값이 15보다 크다는 것을 포함할 수 있다.
상기 MPLS 페이로드는 단일키 암호화 방법(single key cryptography method)을 이용하여 보안될 수 있다.
네트워크를 통해 전송을 위한 소스로부터 수신되고 상기 보안 기준을 충족하는 또 다른 프레임은 단일키 암호화 방법을 이용하여 보안될 수 있으며, 상기 또 다른 프레임은 이들의 소스 또는 목적지에 관계없이 동일 키를 이용하여 보안된다.
상기 보안된 MPLS 프레임의 크기는 상기 네트워크의 MTU 크기와 대조하여 체크될 수 있으며, 만일 상기 보안된 MPLS 프레임이 상기 네트워크의 MTU 크기를 초과하면, 상기 보안된 MPLS 프레임은 폐기되고 에러 상태가 플래그된다.
상기 방법은 상기 MPLS 헤더 내 ToS 필드를 수정하여 상기 보안된 MPLS 프레임과 함께 전송하기 위해 수정된 MPLS 헤더를 생성하는 단계를 더 포함할 수 있다.
제2 양태에서, 본 발명은 MPLS 네트워크를 통한 트래픽을 보안하는 보안 디바이스를 제공하며, 상기 보안 디바이스는 제1 네트워크 디바이스로부터 프레임을 수신하고 프레임을 제2 네트워크 디바이스에 전송하도록 구성되며, 상기 보안 디바이스는 프레임을 수신하고 전송하는 입출력 인터페이스, 메모리, 및 보안 기준과 대조하여 수신된 프레임을 분석하고 상기 보안 기준을 충족하는 프레임을 보안하는 보안 엔진을 포함하며, 상기 보안 기준은 상기 프레임이 MPLS 프레임이라는 것을 포함하고, 만일 수신된 프레임이 상기 보안 기준을 충족하면, 상기 MPLS 프레임으로부터 MPLS 헤더와 MPLS 페이로드가 분석되고, 상기 MPLS 페이로드는 상기 보안 엔진에 의해 보안되어 보안된 MPLS 페이로드를 생성하고, 상기 MPLS 헤더 및 보안된 MPLS 페이로드는 조립되어 보안된 MPLS 프레임을 생성하며, 상기 보안된 MPLS 프레임은 상기 입출력 인터페이스에 전달되어 상기 제2 네트워크 디바이스에 전송된다.
상기 입출력 인터페이스는 프레임을 수신하는 적어도 하나의 입력 포트 및 프레임을 전송하는 적어도 하나의 출력 포트를 포함할 수 있다.
상기 입출력 인터페이스는 전용 제어 포트를 포함할 수 있다.
상기 보안 기준은 상기 MPLS 헤더 내 라벨의 라벨 값에 관련된 기준을 더 포함할 수 있다.
상기 보안 기준은 상기 MPLS 헤더 내 최상위 라벨의 라벨 값이 15보다 크다는 것을 더 포함할 수 있다.
상기 보안 엔진은 단일키 암호화 방법을 이용하여 상기 MPLS 페이로드를 보안할 수 있다.
상기 제2 네트워크 디바이스에 전송되기 전에, 상기 보안된 MPLS 프레임은 이더넷 헤더 및 이더넷 CRC를 포함하는 이더넷 프레임 내에서 캡슐화될 수 있다.
상기 이더넷 프레임의 크기는 상기 네트워크의 MTU 크기와 비교될 수 있으며, 만일 상기 이더넷 프레임의 크기가 상기 MTU 크기를 초과하면, 상기 이더넷 프레임은 폐기되고 에러 상태가 플래그된다.
만일 프레임이 상기 보안 기준을 충족하면, 상기 MPLS 헤더 내 ToS 필드가 수정되어 상기 보안된 MPLS 프레임과 함께 전송하기 위해 수정된 MPLS 헤더를 생성할 수 있다.
만일 수신된 프레임이 MPLS 프레임이 되는 상기 보안 기준을 충족하지 못하면, 상기 프레임은 상기 보안 엔진에 의해 처리되지 않는다.
만일 수신된 프레임이 MPLS 프레임이 되는 상기 보안 기준을 충족하고 상기 MPLS 헤더 내 최상위 라벨의 라벨 값이 15보다 작거나 같으면, 상기 수신된 프레임은 제어 평면 프레임으로서 처리될 수 있다.
제3 양태에서, 본 발명은 네트워크를 통해 전송을 위한 라벨 교환 프레임을 보안하는 방법을 제공하며, 상기 라벨 교환 프레임은 라벨 교환 프레임 헤더 및 라벨 교환 프레임 페이로드를 포함하며, 상기 방법은 소스로부터 상기 라벨 교환 프레임을 수신하는 단계와, 상기 라벨 교환 프레임이 보안 기준을 충족하는지 판단하는 단계와, 만일 라벨 교환 프레임이 상기 보안 기준을 충족하면, 상기 라벨 교환 프레임 페이로드를 보안하고 상기 라벨 교환 프레임 헤더 및 상기 보안된 라벨 교환 프레임 페이로드를 포함하는 보안된 라벨 교환 프레임 프레임을 생성하는 단계와, 상기 보안된 라벨 교환 프레임을 전송하는 단계를 포함한다.
상기 보안 기준은 라벨 교환 프레임 헤더 내 라벨의 라벨 값에 관련된 기준을 포함할 수 있다.
상기 라벨 교환 프레임 페이로드는 단일키 암호화 방법을 이용하여 보안될 수 있다.
제4 양태에서, 본 발명은 라벨 교환 네트워크를 통한 트래픽을 보안하는 보안 디바이스를 제공하며, 상기 보안 디바이스는 제1 네트워크 디바이스로부터 프레임을 수신하고 프레임을 제2 네트워크 디바이스에 전송하도록 구성되며, 상기 보안 디바이스는 입출력 인터페이스, 메모리, 및 보안 기준과 대조하여 수신된 프레임을 분석하고 상기 보안 기준을 충족하는 프레임을 보안하는 보안 엔진을 포함하며, 상기 보안 기준은 상기 프레임이 라벨 교환 프레임이라는 것을 포함하고, 만일 수신된 프레임이 상기 보안 기준을 충족하면, 상기 라벨 교환 프레임의 라벨 교환 프레임 헤더와 라벨 교환 프레임 페이로드가 분석되고, 상기 라벨 교환 프레임 페이로드는 상기 보안 엔진에 의해 보안되어 보안된 라벨 교환 프레임 페이로드를 생성하고, 상기 라벨 교환 프레임 헤더 및 보안된 라벨 교환 프레임페이로드는 조립되어 보안된 라벨 교환 프레임을 생성하며, 상기 보안된 라벨 교환 프레임은 상기 입출력 인터페이스에 전달되어 상기 제2 네트워크 디바이스에 전송된다.
상기 입출력 인터페이스는 프레임을 수신하는 적어도 하나의 입력 포트 및 프레임을 전송하는 적어도 하나의 출력 포트를 포함할 수 있다.
상기 보안 기준은 상기 라벨 교환 프레임 헤더 내 라벨의 라벨 값에 관련된 기준을 더 포함할 수 있다.
상기 보안 엔진은 단일키 암호화 방법을 이용하여 상기 라벨 교환 프레임 페이로드를 보안할 수 있다.
이제 본 발명의 실시예가 첨부 도면을 참조하여 기술될 것이다.
도 1은 본 발명의 실시예에 따른 보안 디바이스를 포함하는 네트워크의 토폴로지를 제공한다.
도 2는 본 발명의 실시예에 따른 보안 디바이스의 기능 블록도를 제공한다.
도 3은 도 1의 네트워크에서 소스로부터 목적지로의 패킷의 전송을 보여주는 도면이다.
도 4는 도 2에 도시된 보안 디바이스에서 수행되는 단계들을 개략적으로 도시하는 흐름도를 제공한다.
도 5는 제1 영역에 있는 고객 엔드포인트로부터 다른 영역에 있는 고객 엔드포인트로의 패킷의 전송을 도시한다.
도 6a는 도 2에 도시된 보안 디바이스에 의해 수정되기 전의 데이터 프레임을 나타낸다.
도 6b는 페이로드가 암호화된 데이터 프레임을 나타낸다.
도 6c는 페이로드가 복호화된 데이터 프레임을 나타낸다.
본 발명은 MPLS 네트워크 기술에 관련하여 기술될 것이다. MPLS 네트워크에 관한 상세한 정보는 국제 인터넷 기술 위원회(Internet Engineering Task Force: IETF)로부터 얻을 수 있다. 특히, IETF RFC 3031은 표준화된 MPLS 아키텍처를 기술하고 있으며 이는 본 명세서에서 참조문헌으로 인용된다.
또한, 대안의 전송 프로토콜이 본 발명과 함께 사용될 수 있으리라 인식될 지라도 본 발명은 MPLS 프레임의 전송을 위해 이더넷을 사용하는 것과 관련하여 기술될 것이다.
네트워크
도 1은 본 발명과 함께 사용하기에 적합한 네트워크(100)를 도시한다. 네트워크(100)는 MPLS 코어 네트워크(108)에 의해 상호 연결된 제1, 제2 및 제3 영역(102, 104 및 106)을 포함한다. 영역(102, 104 및 106)은, 예를 들면, 상이한 지리적 위치(예컨대, 시드니, 도쿄, 뉴욕)를 나타낼 수 있으며 MPLS 코어 네트워크(108)에 의해 상호 연결되어 있다. 각 영역(102 내지 106)은 다수의 구별되고 별개로 소유된/제어되는 네트워크를 포함할 수 있으며, 각 네트워크는 상이한 형태일 수 있다.
예시를 목적으로, 각각의 영역(102 내지 106)에는 (본 예에서는) 상이한 두 고객, 즉, 고객(A) 및 고객(B)가 존재하며, 두 고객은 MPLS 네트워크를 이용한다. 도면에는 (고객(A)을 위한) 고객 종단(customer edge: CE) 라우터(110, 112, 114) 및 (고객(B)을 위한) 고객 종단 라우터(116, 118 및 120)만이 도시되어 있지만, 각각의 CE 라우터(110 내지 120)는 (점선 화살표로 표시된) 고객의 근거리 네트워크(LAN)에 연결되어 있다는 것이 인식될 것이다. 전형적으로, CE 라우터는 고객의 건물에 배치될 것이며 고객의 LAN과 MPLS 코어 네트워크(108) 사이에서 인터페이스(예컨대, 이더넷)를 제공한다.
각각의 CE 라우터(110 내지 120)는 (각각의 영역(102, 104 및 106) 마다) 공급자 종단(provider edge: PE) 라우터(122, 124 및 126)를 경유하여 MPLS 코어 네트워크(108)에 연결된다. PE 라우터는 MPLS 코어 네트워크(108)의 공급자에 의해 제어되고 MPLS 코어 네트워크(108)로의 진입/퇴장 지점을 제공한다. PE 라우터는 전형적으로 상이한 네트워크 프로토콜(예를 들면, 프레임 릴레이, ATM, 이더넷)을 지원하는 다중 포트를 구비한다.
CE 라우터를 경유하여 고객으로부터 프레임을 수신하면, PE 라우터는 그 프레임에 적절한 MPLS 헤더를 생성하고 그 프레임에 MPLS 헤더를 부가한다. 그러므로, 고객으로부터 전송된 원래 프레임은 MPLS 페이로드가 된다.
MPLS 헤더는 하나 이상의 라벨들의 라벨 스택을 포함하며, 각각의 라벨은 20비트 라벨 값, 3비트 형태의 서비스(3-bit Type of service: ToS) 필드, 라벨이 스택의 바닥인지를 나타내는 1비트 플래그, 및 8비트의 수명 시간(time to live: TTL 필드)를 포함한다. MPLS 헤더 내 라벨은 MPLS 네트워크에서 트래픽을 처리하게 해준다.
일단 PE 라우터가 프레임에 MPLS 헤더를 부가하면, PE 라우터는 MPLS 프레임을 MPLS 네트워크에 전송한다. 중요한 것으로, PE 라우터로부터 MPLS 네트워크에 전송된 프레임 (및 MPLS 코어 네트워크(108)로부터 PE 라우터로 이동하는 프레임)은 전술한 바와 같이 보안 디바이스를 통해 이동한다.
PE 라우터(122 내지 126)는 또한 MPLS 코어 네트워크(108)를 통해 라벨 교환 경로(label switched paths: LSPs)를 설정하는 책임을 갖는다. LSP의 설정은 네트워크의 제어 평면(control plane)을 통해 성취된다. 이러한 설명 목적상, 네트워크의 제어 평면은 최종 사용자 데이터를 전송하는 트래픽이라기 보다는 네트워크 자체의 유지 기능 및 다른 관리적인 기능에 전적으로 사용된 네트워크 트래픽을 지칭하는데 사용된다. MPLS 네트워크 표준에 따라, LSP는 라벨 분배 프로토콜(label distribution protocol: LDP)을 사용하여 설정될 수 있으며 제어 기반일 수 있거나(즉, 데이터의 전송 이전에 설정될 수 있거나) 또는 데이터 기반일 수 있다(즉, 이전에 맵핑되지 않은 목적지를 향한 데이터가 수신되는 시간에 설정될 수 있다).
본 실시예에서, 각각의 PE 라우터(122 내지 126)는 보안 디바이스(128 내지 132)를 통해 MPLS 코어 네트워크(108)에 연결된다. 보안 스위치(128 내지 132)의 기능은 아래에서 상세히 설명된다.
MPLS 코어 네트워크(108)는 자체적으로 다수의 공급자(P) 라우터(134, 136 및 138)를 포함한다. 각각의 P 라우터는 전송 라우터로서, MPLS 코어 네트워크(108)에서 필요한 LSP를 설정하기 위하여 (예를 들면, 라벨 분배 프로토콜을 사용하여) 제어 평면 메시지를 수신하고 MPLS 헤더 및 설정된 LSP 내 라벨에 근거하여 MPLS 코어 네트워크(108) 내 데이터 패킷의 교환을 수행한다.
라벨링된 패킷이 P 라우터(134 내지 138)를 통해 수신될 때, P 라우터는 스택 내 최상위 라벨의 라벨 값을 읽고 이 값을 P 라우터에 의해 저장되고 보유된 라벨 정보 베이스(label information base: LIB)에서 찾는다. 각 라벨 값마다 LIB는 그 라벨을 가지고 있는 프레임이 어디에 전송(즉, 다음번 홉)되어야 할지 그리고 그 프레임을 전송하기 전에 라벨 스택에 대해 어떤 수정(예를 들면, 하나 이상의 새로운 라벨을 스택에 푸시(push)하거나, 최상위 라벨을 새로운 최상위 라벨로 대체하거나, 또는 라벨을 스택으로부터 팝(pop)하는 것)이 요구되는지에 관한 정보를 저장한다.
통상적인 것으로, 네트워크(100)는 신뢰 영역 및 비신뢰 영역(trusted and untrusted zone)으로 나눌 수 있다. CE 라우터(110 내지 112), CE 라우터(110 내지 122) 이외의 고객 네트워크, PE 라우터(122 내지 126), 및 보안 디바이스(128 내지 132)는 고객 또는 MPLS 공급자 또는 고객의 제어 범위 내에 있으며 그래서 신뢰가 있다. 한편, MPLS 코어 네트워크(108)의 P 라우터(134 내지 138)는 반드시 MPLS 공급자의 제어 또는 고객의 제어 범위 내에 있을 필요가 없으며 그래서 신뢰하지 않다고 간주된다. 그러므로, 각각의 PE 라우터(122 내지 126)는 신뢰 영역(PE 라우터 자체 및 연결된 CE 라우터)으로부터 비신뢰 영역(MPLS 코어 네트워크(108)) 까지의 링크를 제공한다.
보안 디바이스(Security devices)
이제 보안 디바이스(128 내지 132)의 기능이 보안 디바이스(128)의 기능 블록도를 도시하는 도 2를 참조하여 상세히 설명될 것이다.
도 2를 참조하면, 본 발명의 실시예에 따른 보안 디바이스(128)의 기능 블록도가 제공된다. 보안 디바이스(128)는 메모리(206), 보안 엔진(208), 및 입출력 인터페이스(204)에 연결된 데이터 처리 디바이스(202)를 포함한다.
데이터 처리 디바이스(202)는 마이크로프로세서, 마이크로컨트롤러, 프로그램가능 로직 디바이스 혹은 다른 적합한 디바이스, 또는 각기 데이터 처리 디바이스(202)의 기능들의 부분을 수행하는 그러한 다수의 디바이스일 수 있다. 데이터 처리 디바이스(202)의 동작을 제어하는 명령어 및 데이터는 메모리(206)에 저장되며, 이 메모리는 데이터 처리 디바이스(202)와 데이터 통신하거나, 또는 그의 일부를 구성한다. 전형적으로, 보안 디바이스(128)는 휘발성 메모리와 비휘발성 메모리를 각 형태의 메모리마다 하나보다 많이 포함할 것이며, 그러한 메모리는 총괄하여 메모리(206)로 표현된다. 메모리(206)는 또한 입출력 인터페이스(204)에서 수신되고 입출력 인터페이스(204)에 전송되는 인입 및 송출 프레임을 캐시하는데 사용될 수 있다.
입출력(I/O) 인터페이스(204)는 외부 디바이스(이를 테면, 예를 들어, PE 라우터, P 라우터, 및/또는 보안 디바이스(128)가 구성될 수 있는 컴퓨터)와 통신하게 해준다. 이 경우, I/O 인터페이스(204)는 제어 평면 프레임을 수신하는 제어 포트(210), 인입 프레임을 수신하는 입력 포트, 및 프레임을 전송하는 출력 포트를 포함한다. 물론, 다양하게 구성된 I/O 인터페이스가 가능하다.
보안 엔진(208)은 데이터 처리 디바이스(202)의 일부를 구성할 수 있거나 또는 도시된 바와 같이 스탠드 얼론 데이터 처리 디바이스일 수 있다. 보안 엔진(208)은 마이프로프로세서, 마이크로컨트롤러, 프로그램가능 로직 디바이스 또는 다른 적합한 디바이스일 수 있다. 보안 엔진(208)은 자체의 전용 메모리를 갖추고 있을 수 있고, 또는 메모리(206)를 이용할 수 있다. 이 실시예에서 보안 엔진은 기준 모듈(216) 및 암호화 모듈(218)을 포함한다. 또한, 기준 모듈(216)과 암호화 모듈(218) 중 하나 또는 둘다 보안 엔진(208)(또는, 실제로 데이터 처리 디바이스(202))과 통합될 수 있거나 또는 전용 처리 디바이스일 수 있다. 예를 들면, 기준 모듈(216)은 데이터 처리 디바이스(202)에서 하드웨어, 펌웨어, 또는 소프트웨어로서 구현될 수 있다.
도 1에 도시된 도면과 같이, 보안 디바이스(128)는 (P 라우터(134)를 매개로 하여) 신뢰 PE 라우터(122)와 비신뢰 MPLS 코어 네트워크(108) 사이에 설치된다. 모든 송출 트래픽(즉, 신뢰 PE 라우터(122)로부터 P 라우터(134)로 전송되는 트래픽) 및 모든 인입 트래픽(즉, 비신뢰 P 라우터(134)로부터 신뢰 PE 라우터(122)로 전달되는 트래픽)은 보안 디바이스(128)를 통과한다.
프레임이 전송을 위해 CE 라우터(110)로부터 MPLS 네트워크(108)를 통해 목적지 CE 라우터(112)로 전송될 때, 이 프레임은 PE 라우터(122)에 의해 수신되고 이 PE 라우터는 그 프레임에 MPLS 헤더를 부가하여 MPLS 프레임을 생성한다. 그래서 원 프레임은 MPLS 페이로드가 된다. 만일 필요로 하는 목적지로의 경로가 아직 설정되지 않았다면, PE 라우터(122)는 또한 그 경로를 설정하는데 필요한 행위를 수행할 것이다.
그런 다음, PE 라우터(122)는 프레임을 보안 디바이스(128)에 전송한다. 보안 디바이스(128)는 입력 포트(212)를 통해 프레임을 수신하고 데이터 처리 디바이스(202)는 그 프레임을 보안 엔진(208)에 전달하는 것을 제어한다. 보안 엔진(208)의 기준 모듈(216)은 프레임을 체크하여 프레임이 사전에 규정된 보안 기준을 충족하는지를 판단한다. 아래에서 더 설명되는 바와 같이, 어떠한 프레임이라도 사전에 규정된 보안 기준을 충족하지 못하는 경우, 보안 디바이스는 본질적으로 상관하지 않는다.
만일 프레임이 사전에 규정된 보안 기준을 충족하면(그 보안 기준의 일부는 프레임이 MPLS 프레임이라는 것이다), 보안 엔진(208)은 MPLS 프레임을 분석하여 MPLS 헤더 및 MPLS 페이로드로 분리한다. 분석된 헤더는 메모리(206)에 저장된다. 그 다음, MPLS 페이로드는 MPLS 페이로드를 안전하게 하는 암호화 엔진(218)에 전송된다. 그리고 보안 엔진(208)은 MPLS 헤더 및 (현재 보안된) MPLS 페이로드를 다시 조립하고, 그 결과 프레임을 MPLS 코어 네트워크(108)에 전달한다. 만일 기준 모듈(216)이 데이터 처리 디바이스(202)의 일부로서 구현되면, 데이터 처리 디바이스(202)에 의해서도 분석이 수행될 수 있다.
목적지에서 보안 디바이스(130)는 모든 프레임에 대해 유사성 체크를 수행한다. 만일 프레임이 보안 기준을 충족하면, 보안 디바이스(130)는 MPLS 프레임의 페이로드가 암호화되었다고 가정한다. 송출 프레임과 마찬가지로 보안 디바이스(130)는 MPLS 헤더와 MPLS 페이로드로 분리하고, MPLS 페이로드를 암호화 엔진에 전달하여 복호화되게 하고, MPLS 프레임을 재조립하며 그 프레임을 PE 라우터(124)에 전달한다.
만일 프레임이 보안 기준을 충족하지 못하면, 보안 디바이스(128)는 그 프레임이 암호화/복호화될 필요가 없는 프레임이라고 판단하고 MPLS 헤더 및 MPLS 페이로드로 분리하지 않고 또한 페이로드를 암호화/복호화하지 않고 프레임을 스위칭한다.
예를 들면, 하기 기술된 보안 기준은 비-MPLS 프레임(non MPLS frames) 및 제어 평면 트래픽에 관련되는 MPLS 프레임이 보안 기준을 충족하지 못할 것이고 그래서 더 이상의 처리없이 보안 디바이스에 의해 스위칭되도록 한 것이다. 이들 프레임을 과중한 처리없이 교환함으로써, 보안 디바이스 (및 네트워크 전체)의 성능에 미치는 영향이 최소한으로 유지된다.
MPLS 페이로드가 암호화/복호화되는지에 관계없이, 프레임을 다음번 홉(즉, P 라우터 또는 PE 라우터)에 전달하기 전에, 보안 디바이스는 이더넷 프레임의 소스 및 목적지 어드레스를 스위칭하고 이더넷 프레임의 체크섬 데이터를 다시 계산한다. 이로써 PE와 P 라우터 간의 끊김없는 통합(seamless integration)을 제공하게 된다. 필요하다면, 보안 디바이스는 또한 프레임의 생존(TTL) 필드를 줄일 것이며 만일 TTL이 제로이면 프레임을 폐기할 것이다.
도 3은 PE 라우터(122)로부터 보안 디바이스(128)에 의해 수신된 네트워크 트래픽을 나타낸다. 알 수 있는 것처럼, 인입 프레임들(302) 중 15보다 큰 라벨 값을 갖는 MPLS 형 프레임들(트래픽 플로우(304))만이 보안 디바이스(128)의 암호화 엔진(218)에 의해 처리된다. 15보다 작거나 같은 라벨 값을 갖는 MPLS 프레임(트래픽 플로우(310)) 및 비-MPLS 프레임(트래픽 플로우(312))은 모두 암호화 엔진(218)을 바이패스한다.
비-MPLS(non-MPLS) 프레임들 중 일부는 제어 평면에 관련할 수 있으며 보안 디바이스(128)에 의해 가로채일 수 있다(트래픽 플로우(314)). 이러한 프레임들은 보안 디바이스(128)에 의해 처리되고 폐기되거나 또는 처리되고 또 다른 목적지로 전송될 수 있다.
보안 기준(Security criteria)
전술한 바와 같이, 보안 디바이스에서 사용된 보안 기준은 보안 디바이스가 어느 프레임의 페이로드를 암호화할 것인지, 그리고 어느 프레임이 페이로드의 암호화없이 스위칭될 것인지를 판단한다. 이러한 기준은 물론 희망하는 대로 설정될 수 있지만, (이 실시예에서) 적절한 기준은 다음과 같다.
Figure 112011037421980-pct00001
프레임이 MPLS 이더넷 프레임일 것(즉, 프레임 이더타입(Ethertype)은 0x8847 또는 0x8848 이다), 및
Figure 112013094957473-pct00002
MPLS 헤더에서 최상위 라벨의 라벨 값이 15보다 클것(IETF 컨센서스에 따라, 라벨 값 0 내지 3이 할당되며 라벨 값 4 내지 15는 현재 IANA에 의해 할당예약되어 있다).
보안 기준을 이런 방식으로 설정함으로써, 보안 디바이스는 모든 비-MPLS 프레임들 및 네트워크 관리 및 유지를 다루는 모든 MPLS 프레임들에 완전히 무관하다. 어떠한 프레임이 보안 기준을 충족하지 못하는 경우, 보안 디바이스는 본질적으로 신뢰 포트와 비신뢰 포트 사이에서 레이어 2 이더넷 스위치로서 작용한다.
전술한 바와 같이, 만일 프레임이 보안 기준을 충족하면, MPLS 프레임의 MPLS 페이로드(즉, 고객에 의해 전송된 것으로서 원 프레임)는 보안을 위해 암호화 모듈(218)에 전송된다. 만일 프레임이 PE 라우터로부터 MPLS 네트워크에 송출되고 있다면, 암호화 모듈(218)은 MPLS 페이로드를 암호화한다. 만일 MPLS 페이로드가 MPLS 네트워크로부터 PE 라우터에 인입하고 있다면, MPLS 페이로드는 복호화된다.
페이로드를 암호화/복호화하는데 어떠한 형태(필요한 보안 레벨에 좌우한 특정한 유형)의 암호화라도 사용될 수 있지만, 트리플 DES(Triple DES: TDES)와 같은 단일키 암호화가 많은 응용예에 적합할 수 있다. 단일키 암호화 방법의 사용은 단지 하나의 공용 키가 네트워크 상의 모든 보안 디바이스들에 제공될 필요가 있다는 장점을 가지며, 따라서 네트워크 오버헤드를 최소화한다.
일단 MPLS 페이로드가 암호화/복호화되면, 보안 디바이스(128)는 수정된 MPLS 페이로드를 체크하여 결과적으로 그의 크기가 네트워크에 알맞은 최대 전송 단위(maximum transmittable unit: MTU)를 초과하지 않다는 것을 보장한다. 만일 수정된 MPLS 페이로드가 MTU를 초과하는 결과이면, 그 프레임은 폐기되고 제어 평면을 통해 에러가 플래그된다.
보안 디바이스가 신뢰 PE 라우터로부터 프레임을 수신되는(즉, 프레임이 MPLS 코어 네트워크(108)에서 보안 디바이스를 통해 전송되는) 경우, 보안 디바이스가 프레임을 다루는 알고리즘은 아래와 같이 의사 코드(psuedo code)로 기술될 수 있다.
Figure 112011037421980-pct00003
프레임이 P 라우터로부터 보안 디바이스에서 수신되는(즉, 프레임이 MPLS 코어 네트워크(108)를 통해 P 라우터로부터 보안 디바이스에서 수신되는) 경우, 보안 디바이스가 프레임을 다루는 알고리즘은 아래와 같이 의사 코드로 기술될 수 있다.
Figure 112011037421980-pct00004
도 4는 보안 디바이스(128)에서 수행되는 단계들(400)을 대략적으로 도시하는 흐름도를 제공한다.
단계(402)에서, 보안 디바이스(128)는 프레임을 수신하며, 단계(404 및 406)에서, 보안 디바이스(128)의 기준 모듈(216)은 프레임을 분석하여 이 프레임이 보안 기준을 충족하는지 판단한다.
만일 프레임이 보안 기준을 충족하면(즉, 단계(404)에서 체크된 바와 같은 MPLS 프레임이면서 단계(406)에서 체크된 바와 같이 15보다 큰 라벨 값을 갖는다면), 보안 디바이스(128)는 MPLS 헤더와 MPLS 페이로드를 분리한다(단계 408).
단계(410)에서, MPLS 페이로드는 암호화 모듈(218)에 전송되어 처리된다. 만일 프레임이 P 라우터로부터 수신되었다면, 암호화 모듈(218)은 MPLS 페이로드의 콘텐츠를 복호화하는 처리를 할 것이며, 만일 PE 라우터로부터 보안 디바이스(128)에서 수신되었다면, 암호화 모듈(218)은 MPLS 페이로드를 암호화 처리할 것이다 (그 프레임의 소스는 그 프레임이 수신된 포트로부터 판단될 것이다).
단계(412)에서, 보안 디바이스(128)는 필요하다면 MPLS 헤더의 후속 처리를 수행한다. 이것은, 예를 들면, MPLS TTL 필드를 업데이트하는 것 (및 그 패킷을 폐기하기/만일 TTL이 제로이면 에러 상태를 제어 평면에 플래그하기) 및 필요하다면 ToS 필드를 수정하는 것을 포함할 수 있다.
단계(414)에서, 보안 디바이스(128)는 (보안 엔진에 의해 처리된 것으로서 업데이트된 MPLS 헤더 및 MPLS 페이로드를 갖는) MPLS 프레임을 재조립한다.
단계(416)에서, MPLS 프레임은 업데이트된 이더넷 필드(소스, 목적지, CRC)를 갖는 새로운 이더넷 프레임으로 작성되며 단계(418)에서 프레임의 크기는 네트워크의 MTU 크기와 비교된다. 만일 프레임이 네트워크의 MTU 크기를 초과하면, 프레임은 폐기되며 제어 평면에 에러가 플래그된다(단계 420). 만일 프레임이 네트워크의 MTU 크기 내이면, 보안 디바이스(128)는 프레임을 전송한다(단계 422).
만일, 단계(406)에서, 프레임이 15보다 적거나 같은 라벨 값을 갖는 MPLS 프레임이라고 판단되면, 그 프레임은 제어 프레임으로서 플래그되어(단계 424) 보안 디바이스(128)에 의해 적절히 처리된다.
만일, 단계(404)에서, 프레임이 보안 기준을 총족하지 못하면, 프로세싱은 바로 단계(416)로 진행한다.
보안 디바이스들 간의 키 분배(Key distribution between security devices)
보안 디바이스들(128 내지 132) 간의 키 분배는 IP 보안 프로토콜(IP Security Protocol: IPSec)에 의해 규정된 바와 같은 기존의 IP 기반 독립 키 교환 방법(IP based Independent Key Exchange Methods)을 이용하여 성취될 수 있다.
키 교환 (및, 원하면, 다른 제어 평면 기능/트래픽)을 제공하기 위해, 본 실시예의 보안 디바이스는 보안된 제어 포트(210)를 갖추고 있다. 대안으로, 보안 디바이스들은 키 교환 (및 다른 제어 평면 기능/트래픽)을 실행하기 위하여 TCP/IP 포트를 규정한 특정 IP 프레임을 가로채기 하도록 구성될 수 있다. 또 다른 대안으로서, 예약된 MPLS 라벨 값(즉, 라벨 4 내지 16 중 하나)은 키 교환(또는, 다시 말하면 다른 제어 평면 트래픽)에 할당될 수 있으며 이를 근거로 보안 디바이스에 의해 가로챌 수 있다.
ToS 필드의 수정(Modification of ToS field)
보안 디바이스는 또한 MPLS 헤더 내 ToS 필드를 수정하도록 구성될 수 있다. 이것은 보안 디바이스가 제3자에 의해 소유/운영되는 경우 그리고 제3자가 PE 라우터의 소유자/컨트롤러에 의해 지정된 (및 MPLS 헤더에 기록된) 것과 상이한 특정 서비스 품질을 강화하기를 원하는 것이 적절할 수 있다.
전술한 바와 같이 보안 디바이스에 적절한 하드웨어가 구성되는 하나의 디바이스는 탈레스 데이터크립터(Thales Datacryptor)이다.
네트워크 트래픽의 일예(Example of network traffic)
도 5 및 도 6를 참조하면, 영역(102)에 있는 고객(A)의 엔드포인트(502)로부터 영역(104)에 있는 고객(A)의 엔드포인트(504)로의 패킷의 전송이 상세히 기술될 것이다. 이 설명은 필요한 부분만 약간 수정하여 MPLS 네트워크를 통해 진행하는 어떤 영역에 있는 어떤 엔드포인트로부터 다른 영역에 있는 엔드포인트로의 트래픽에 동등하게 적용될 것이다.
넓은 관점으로, 그리고 도 3에 예시된 것으로서, 이 경우에 패킷은 엔드포인트(502)로부터 CE 라우터(110), PE 라우터(122), 보안 스위치(128), MPLS 코어 네트워크(108)를 통해 보안 스위치(130), PE 라우터(124), CE 라우터(112), 엔드포인트(504)로 진행한다. MPLS 코어 네트워크(108) 내에서 트래픽의 경로는 설정된 LSP에 좌우될 것이지만 설명 목적상 P 라우터(134)로부터 P 라우터(136)로 설정될 것이다.
사전 규정된 보안 기준을 충족하는 프레임(Frames meeting pre-defined security criteria)
도 6a 내지 도 6c는 엔드포인트(502)로부터 엔드포인트(504)로 전송할 때 여러 지점에서 하이레벨 구성의 패킷을 제공한다.
엔드포인트(502)는 이더넷 프레임 내에 캡슐화되어 CE 라우터(110)에 전송되는 IP 프레임을 발생한다. 그런 다음, CE 라우터(110)는 그 프레임을 PE 라우터(122)에 전송한다.
도 6a는 PE 라우터(122)를 떠나가는 이더넷 프레임(500)을 도시한다. 알 수 있는 바와 같이, 이더넷 프레임은 이더넷 헤더(602), (PE 라우터(122)에 의해 이더넷 프레임에 추가된) MPLS 헤더(604), 페이로드(606)(즉, 엔드포인트(502)에 의해 전송되는 IP 패킷(들)에 관련되는 데이터), 및 순환 중복 체크(CRC) 필드(608)를 포함한다.
프레임(600)은 PE 라우터(122)로부터 보안 디바이스(128)에 전송된다.
도 6b는 보안 디바이스(128)에 의해 수신되고 처리된 이후의 프레임을 도시한다. 이 경우, 프레임은 기설정된 보안 기준을 충족했다고 가정한다(즉, 프레임은 이더넷 프레임이고 MPLS 헤더의 라벨 스택에 있는 최상위 레벨의 라벨 값은 15보다 크다).
프레임이 보안 기준을 충족할 때, 보안 디바이스(128)는 프레임(600)의 페이로드(604)를 암호화 모듈(218)에 전송하고, 이 암호화 모듈에서 페이로드가 암호화되어 보안된 페이로드(606')를 생성한다. 보안 디바이스(128)는 또한 이더넷 헤더(602)를 (필요하다면 이더넷 소스 어드레스 및 목적지 어드레스가 변경되도록) 수정하고, CRC(608)를 재계산하여 그 프레임에 이루어진 변경과 일치하는 새로운 CRC를 생성한다. 그런 다음, 프레임은 재조립되고 MPLS 코어 네트워크(108) 내 비신뢰 P 라우터(134)에 전송된다.
앞에서 주목한 바와 같이, 만일 그렇게 하도록 구성되어 있다면, 보안 디바이스(128)는 MPLS 헤더 내 ToS 필드도 역시 수정할 것이다.
그 다음, 프레임(600)은 MPLS 헤더(604) 내 데이터에 따라서 MPLS 코어 네트워크(108)를 지나서 (결국에는) 보안 디바이스(130)에 전송된다.
보안 디바이스(130)가 프레임(600)을 수신할 때, 보안 디바이스는 사전 규정된 보안 기준과 대조하여 프레임(600)을 테스트한다. 그 테스트를 통과하면, 보안 디바이스(130)는 프레임(606')의 페이로드를 암호화 모듈(218)에 전송하고, 이 암호화 모듈에서 프레임은 원래 페이로드(606)로 복호화된다. 또한, 보안 디바이스(130)는 요구대로 이더넷 헤더(602)를 수정하여 소스 및 목적지 어드레스를 변경하고 CRC(606)를 다시 계산한다. 그리고 나서 프레임(600)이 재조립되고, 네트워크 MTU를 초과하지 않음을 보장하도록 체크되고, 신뢰 PE 라우터(124)에 전송된다.
신뢰 PE 라우터는 MPLS 헤더(604)를 떼어내고 정상적인 이더넷 프레임 전송에 따라서 프레임(600)을 CE 라우터(112)에 전송한다(PE 라우터는 프레임(600)을 전송하는데 적절한 어드레스를 판단하기 위하여 복호화된 페이로드(606)를 액세스할 수 있다).
인식되는 바와 같이, 전체의 시간 프레임(600)이 비신뢰 라우터/스위치들 (즉, PE 라우터(122)와 PE 라우터(124) 사이에 있는 비신뢰 라우터/스위치들)에 의해 처리되는 경우, 프레임(600)의 전체 페이로드(606)가 암호화된다. 이와 같이, 프레임을 가로채는 제3자가 얻을 수 있는 유일한 정보는 이더넷 헤더(602), MPLS 헤더(604), 및 이더넷 CRC(608)에 존재하는 정보, 즉, 프레임의 소스를 PE 라우터(122)로서 그리고 프레임의 목적지를 PE 라우터(124)로서 판단하기에 충분한 정보이다. PE 라우터(122 및 124) 이외의 네트워크 토폴로지에 관한 모든 정보는 보안된 페이로드 내에서 암호화된 엔드포인트(502)에 의해 생성된 원래 IP 패킷(들) 내에 보유되며, 그러므로 제3자에게 액세스가 불가능하다.
또한, MPLS 헤더(604)를 암호화하지 않음으로써, 각 P 라우터는 요구대로 패킷을 전송하기 위하여 MPLS 헤더 정보를 쉽게 액세스할 수 있고(즉, P 라우터는 어떤 주어진 프레임에 필요한 행위를 판단하기 위해 어떠한 복호화/암호화도 수행할 필요가 없고), 따라서 효율적인 프레임 전송을 제공한다. 이것은, 예를 들면, 전송되는 각 프레임을 복호화하고 그런 다음 다시 암호화하는 네트워크에서 각 링크를 필요로 하는 물리적인 링크 암호화와는 대조를 이룬다.
전술한 본 발명의 실시예에서, 보안 디바이스(128 및 132)가 구별되는 하드웨어 구성요소로서 표현되고 기술되었지만, 물론 보안 디바이스(128 내지 132)의 기능을 기존의 디바이스에 포함시키는 것이 가능하였을 것이다. 예를 들면, 보안 디바이스(128 내지 132) 및 PE 라우터(122 내지 126)는 세 개의 복합 디바이스(즉, 단일 디바이스로 보안 스위치(128)와 결합된 PE 라우터(122), 단일 디바이스로 보안 스위치(130)와 결합된 PE 라우터(124), 및 단일 디바이스로 보안 스위치(132)와 결합된 PE 라우터(126))로서 제공될 수 있다.
본 명세서에 개시되고 규정된 본 발명은 언급된 또는 텍스트나 도면으로부터 명백한 개개의 특징들 중 둘 이상의 모든 대안의 조합에 이르기까지 확장된다는 것을 이해할 것이다. 이러한 상이한 모든 조합은 본 발명의 여러 가지 대안의 양태를 구성한다.

Claims (25)

  1. 네트워크를 통해 전송을 위한 라벨 교환 프레임(label switched frame)을 보안(secure)하는 방법으로서, 상기 라벨 교환 프레임은 라벨 교환 프레임 헤더 및 라벨 교환 프레임 페이로드를 포함하고, 상기 방법은,
    소스로부터 상기 라벨 교환 프레임을 수신하는 단계와,
    상기 라벨 교환 프레임이 보안 기준을 충족하는지 판단하는 단계와,
    만약 상기 라벨 교환 프레임이 상기 보안 기준을 충족하면, 상기 라벨 교환 프레임 헤더 및 상기 라벨 교환 프레임 페이로드를 분석하고, 상기 라벨 교환 프레임 페이로드를 보안하고 상기 라벨 교환 프레임 헤더 및 상기 보안된 라벨 교환 프레임 페이로드를 포함하는 보안된 라벨 교환 프레임을 생성하는 단계와,
    상기 보안된 라벨 교환 프레임을 전송하는 단계를 포함하는
    방법.
  2. 제 1 항에 있어서,
    상기 보안 기준은 상기 라벨 교환 프레임 헤더 내 라벨의 라벨 값에 관련된 기준을 포함하는
    방법.
  3. 제 1 항 또는 제 2 항에 있어서,
    상기 라벨 교환 프레임 페이로드는 단일키 암호화 방법을 이용하여 보안되는
    방법.
  4. 제 1 항 또는 제 2 항에 있어서,
    상기 라벨 교환 프레임은 MPLS 프레임이고 상기 라벨 교환 프레임 헤더는 MPLS 헤더인
    방법.
  5. 제 4 항에 있어서,
    상기 보안 기준은 상기 MPLS 헤더 내 최상위 라벨(top label)의 라벨 값이 15보다 크다는 것을 포함하는
    방법.
  6. 제 1 항 또는 제 2 항에 있어서,
    네트워크를 통한 전송을 위해 소스로부터 수신되고 상기 보안 기준을 충족하는 또 다른 프레임은 단일키 암호화 방법을 이용하여 보안되며, 상기 또 다른 프레임은 이들의 소스 또는 목적지에 관계없이 동일 키를 이용하여 보안되는
    방법.
  7. 제 4 항에 있어서,
    상기 보안된 MPLS 프레임의 크기는 상기 네트워크의 MTU 크기와 대조하여 체크되며, 만약 상기 보안된 MPLS 프레임이 상기 네트워크의 MTU 크기를 초과하면, 상기 보안된 MPLS 프레임은 폐기되고 에러 상태가 플래그되는
    방법.
  8. 라벨 교환 네트워크(label switched network)을 통한 트래픽을 보안하는 보안 디바이스로서, 상기 보안 디바이스는 제1 네트워크 디바이스로부터 프레임을 수신하고 프레임을 제2 네트워크 디바이스에 전송하며,
    상기 보안 디바이스는,
    입출력 인터페이스와,
    메모리와,
    수신된 프레임을 보안 기준과 대조하여 분석하고 상기 보안 기준을 충족하는 프레임을 보안하는 보안 엔진 - 상기 보안 기준은 상기 프레임이 라벨 교환 프레임이라는 것을 포함함 - 을 포함하며,
    만약 수신된 프레임이 상기 보안 기준을 충족하면,
    상기 라벨 교환 프레임의 라벨 교환 프레임 헤더 및 라벨 교환 프레임 페이로드가 분석되고,
    상기 라벨 교한 프레임 페이로드는 상기 보안 엔진에 의해 보안되어 보안된 라벨 교환 프레임 페이로드를 생성하고,
    상기 라벨 교환 프레임 헤더 및 보안된 라벨 교환 페이로드는 조립되어 보안된 라벨 교환 프레임을 생성하며,
    상기 보안된 라벨 교환 프레임은 상기 입출력 인터페이스에 전달되어 상기 제2 네트워크 디바이스에 전송되는
    보안 디바이스.
  9. 제 8 항에 있어서,
    상기 입출력 인터페이스는 프레임을 수신하는 적어도 하나의 입력 포트 및 프레임을 전송하는 적어도 하나의 출력 포트를 포함하는
    보안 디바이스.
  10. 제 8 항 또는 제 9 항에 있어서,
    상기 입출력 인터페이스는 전용 제어 포트를 포함하는
    보안 디바이스.
  11. 제 8 항 또는 제 9 항에 있어서,
    상기 보안 기준은 상기 라벨 교환 프레임 헤더 내 라벨의 라벨 값에 관련된 기준을 더 포함하는
    보안 디바이스.
  12. 제 8 항 또는 제 9 항에 있어서,
    상기 보안 엔진은 단일키 암호화 방법을 이용하여 상기 라벨 교환 프레임 페이로드를 보안하는
    보안 디바이스.
  13. 제 8 항 또는 제 9 항에 있어서,
    상기 라벨 교환 프레임은 MPLS 프레임이고 상기 라벨 교환 프레임 헤더는 MPLS 헤더인
    보안 디바이스.
  14. 제 13 항에 있어서,
    상기 보안 기준은 상기 MPLS 헤더 내 최상위 라벨(top label)의 라벨 값이 15보다 크다는 것을 포함하는
    보안 디바이스.
  15. 제 13 항에 있어서,
    상기 제2 네트워크 디바이스에 전송되기 전에, 상기 보안된 MPLS 프레임은 이더넷 헤더 및 이더넷 CRC를 포함하는 이더넷 프레임 내에 캡슐화되는
    보안 디바이스.
  16. 삭제
  17. 삭제
  18. 삭제
  19. 삭제
  20. 삭제
  21. 삭제
  22. 삭제
  23. 삭제
  24. 삭제
  25. 삭제
KR1020117011405A 2008-10-20 2008-10-20 네트워크 보안 방법 및 장치 KR101584836B1 (ko)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/AU2008/001550 WO2010045672A1 (en) 2008-10-20 2008-10-20 Network security method and apparatus

Publications (2)

Publication Number Publication Date
KR20110086093A KR20110086093A (ko) 2011-07-27
KR101584836B1 true KR101584836B1 (ko) 2016-01-12

Family

ID=42118841

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020117011405A KR101584836B1 (ko) 2008-10-20 2008-10-20 네트워크 보안 방법 및 장치

Country Status (5)

Country Link
EP (1) EP2338251B1 (ko)
JP (1) JP5319777B2 (ko)
KR (1) KR101584836B1 (ko)
CN (1) CN102187614A (ko)
WO (1) WO2010045672A1 (ko)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9769049B2 (en) * 2012-07-27 2017-09-19 Gigamon Inc. Monitoring virtualized network
WO2018162564A1 (en) 2017-03-08 2018-09-13 Abb Schweiz Ag Methods and devices for preserving relative timing and ordering of data packets in a network

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080075073A1 (en) * 2006-09-25 2008-03-27 Swartz Troy A Security encapsulation of ethernet frames
US20080137845A1 (en) * 2006-12-11 2008-06-12 Federal Network Systems Llc Data encryption over a plurality of mpls networks

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000315997A (ja) * 1999-04-30 2000-11-14 Toshiba Corp 暗号通信方法及びノード装置
JP2001007849A (ja) * 1999-06-18 2001-01-12 Toshiba Corp Mplsパケット処理方法及びmplsパケット処理装置
JP2007192844A (ja) * 2005-09-20 2007-08-02 Chaosware Inc 暗号化ラベルネットワーク

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080075073A1 (en) * 2006-09-25 2008-03-27 Swartz Troy A Security encapsulation of ethernet frames
US20080137845A1 (en) * 2006-12-11 2008-06-12 Federal Network Systems Llc Data encryption over a plurality of mpls networks

Also Published As

Publication number Publication date
JP5319777B2 (ja) 2013-10-16
KR20110086093A (ko) 2011-07-27
CN102187614A (zh) 2011-09-14
EP2338251A1 (en) 2011-06-29
WO2010045672A1 (en) 2010-04-29
EP2338251B1 (en) 2019-02-20
JP2012506170A (ja) 2012-03-08
EP2338251A4 (en) 2013-02-20

Similar Documents

Publication Publication Date Title
AU2013266624B2 (en) Multi-tunnel virtual private network
US8279864B2 (en) Policy based quality of service and encryption over MPLS networks
US9992310B2 (en) Multi-hop Wan MACsec over IP
US8537818B1 (en) Packet structure for mirrored traffic flow
US8370921B2 (en) Ensuring quality of service over VPN IPsec tunnels
US8037303B2 (en) System and method for providing secure multicasting across virtual private networks
US7877601B2 (en) Method and system for including security information with a packet
US20140359275A1 (en) Method And Apparatus Securing Traffic Over MPLS Networks
US8345700B2 (en) Embedding of MPLS labels in IP address fields
US20100135287A1 (en) Process for prioritized end-to-end secure data protection
US20110113236A1 (en) Methods, systems, and computer readable media for offloading internet protocol security (ipsec) processing using an ipsec proxy mechanism
US8582468B2 (en) System and method for providing packet proxy services across virtual private networks
US7239634B1 (en) Encryption mechanism in advanced packet switching system
US11949590B1 (en) Maintaining processing core affinity for fragmented packets in network devices
CN110011939B (zh) 一种支持量子密钥进行数据加密以太网交换机
US8332639B2 (en) Data encryption over a plurality of MPLS networks
KR100624691B1 (ko) 블록 암호화 데이터의 복호화 처리 장치 및 그 방법
KR101584836B1 (ko) 네트워크 보안 방법 및 장치
JP2004222010A (ja) ルータ装置
Hohendorf et al. Secure End-to-End Transport Over SCTP.
US8971330B2 (en) Quality of service and encryption over a plurality of MPLS networks
JP2001007849A (ja) Mplsパケット処理方法及びmplsパケット処理装置
Farkas et al. RFC 8964: Deterministic Networking (DetNet) Data Plane: MPLS
US20220150058A1 (en) Forwarding device, key management server device, communication system, forwarding method, and computer program product
Annoni et al. Security issues in the BRAHMS system

Legal Events

Date Code Title Description
AMND Amendment
A201 Request for examination
AMND Amendment
E902 Notification of reason for refusal
E601 Decision to refuse application
AMND Amendment
J201 Request for trial against refusal decision
B601 Maintenance of original decision after re-examination before a trial
J301 Trial decision

Free format text: TRIAL DECISION FOR APPEAL AGAINST DECISION TO DECLINE REFUSAL REQUESTED 20150224

Effective date: 20151123

S901 Examination by remand of revocation
GRNO Decision to grant (after opposition)
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee