KR102304584B1 - 데이터 플레인 가속화 기술과 하드웨어 암호화 처리 장치를 이용한 초고속 암호 통신 시스템 및 그 방법 - Google Patents

데이터 플레인 가속화 기술과 하드웨어 암호화 처리 장치를 이용한 초고속 암호 통신 시스템 및 그 방법 Download PDF

Info

Publication number
KR102304584B1
KR102304584B1 KR1020190086170A KR20190086170A KR102304584B1 KR 102304584 B1 KR102304584 B1 KR 102304584B1 KR 1020190086170 A KR1020190086170 A KR 1020190086170A KR 20190086170 A KR20190086170 A KR 20190086170A KR 102304584 B1 KR102304584 B1 KR 102304584B1
Authority
KR
South Korea
Prior art keywords
packet
processing unit
internet protocol
security
protocol security
Prior art date
Application number
KR1020190086170A
Other languages
English (en)
Other versions
KR20200075723A (ko
Inventor
오희국
류승호
Original Assignee
한양대학교 에리카산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한양대학교 에리카산학협력단 filed Critical 한양대학교 에리카산학협력단
Publication of KR20200075723A publication Critical patent/KR20200075723A/ko
Application granted granted Critical
Publication of KR102304584B1 publication Critical patent/KR102304584B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0485Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/18Multiprotocol handlers, e.g. single devices capable of handling multiple protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/12Details relating to cryptographic hardware or logic circuitry
    • H04L2209/125Parallelization or pipelining, e.g. for accelerating processing of cryptographic operations

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

데이터 플레인 가속화 기술과 하드웨어 암호화 처리 장치를 이용한 초고속 암호 통신 시스템 및 그 방법이 개시된다. 본 발명의 일 실시예에 따른 초고속 암호 통신 시스템은 수신되는 네트워크 패킷을 처리하는 패킷 처리부; 상기 패킷 처리부와 하드웨어적으로 연결되고, 상기 처리된 네트워크 패킷에 대한 인터넷 프로토콜 보안(IPsec)을 수행하는 보안 처리부; 및 상기 보안 처리부에 의해 인터넷 프로토콜 보안이 수행된 네트워크 패킷 또는 상기 패킷 처리부에 의해 처리된 네트워크 패킷을 커널을 바이패스하여 사용자 공간 애플리케이션으로 전달하는 가속화부를 포함한다.

Description

데이터 플레인 가속화 기술과 하드웨어 암호화 처리 장치를 이용한 초고속 암호 통신 시스템 및 그 방법 {HIGH-SPEED CRYPTOGRAPHIC COMMUNICATION SYSTEM AND METHOD USING DATA PLANE ACCELERATION TECHNOLOGY AND HARDWARE ENCRYPTION PROCESSING DEVICE}
본 발명은 초고속 암호 통신 기술에 관한 것으로서, 보다 구체적으로 데이터 플레인 가속화(DPA; Data Plane Acceleration)를 사용한 초고속 네트워크 환경에서 IPsec(IP security protocol)을 적용함으로써, 패킷 처리 속도와 보안성을 향상시킬 수 있는 초고속 암호 통신 시스템 및 그 방법에 관한 것이다.
현대에는 급증하고 있는 온라인 거래와 다양한 인터넷 서비스의 확대로 인하여 인터넷을 통해 많은 사람이 쉽게 정보를 주고받을 수 있다. 이처럼 인터넷의 사용자와 서비스가 증가하면 이를 노리는 바이러스 또는 해킹과 같은 사이버 테러로 인해 개인의 사생활 정보 유출은 물론 국가적 안보까지 위협받을 수 있다. 또한, 네트워크 통신의 증가로 인해 많은 양의 데이터를 빠르게 처리할 수 있는 통신 기술의 필요성도 커진다.
그러나, 현대 네트워크 환경에서 안전하면서 고속의 데이터 통신을 제공하기는 매우 어려운 문제다. 이는 네트워크 환경에서 안전을 위해 보안 기능을 강화할수록 각 패킷을 처리하는데 필요한 작업량 또한 함께 증가하기 때문이다.
현재 인터넷 보안의 주류를 이루는 것은 VPN(Virtual Private Network), 방화벽(Firewall)과 침입 탐지 시스템(Intrusion Detection System) 등이 있다. 이 중 VPN은 적절한 암호기술을 이용하여서 한 조직의 내부 사용자들이 인터넷(공중망)을 통해 내부 혹은 외부와 서로 안전하게 통신할 수 있는 채널을 형성해 주며 보안에 필요한 접근제어 기능 또한 제공해 준다. VPN에 사용된 터널링 프로토콜로는 PPTP, L2TP, IPsec 등이 있는데, 현재 가장 많이 쓰이는 IPsec은 강력하고 유연한 보안 환경을 제공할 수 있어 업계 표준으로 지정되었으며 최신 VPN 보안 장비는 이를 기본적으로 지원해야 한다.
그러나 VPN은 전용선과는 달리 기업이 직접 제어하기 어려운 공중망에 기반을 두고 있으므로 QoS(서비스 품질) 보장이 중요하며, IPsec을 사용할 경우에 암호화에 따른 전체 네트워크 성능의 저하 및 유지 비용의 상승 등에 대한 적절한 해결책이 필요하다. IPsec은 기본적으로 패킷 보호를 위한 암호화 및 키분배 문제로 원래 데이터의 크기보다 더 큰 패킷을 보내야 하며, 상호 인증을 위한 추가적인 통신 절차로 인해 처리량이 상당히 증가하기 때문이다.
최근 많은 서버/네트워크 장비의 인터페이스 처리속도가 10Gbps를 넘어가면서 네트워크 장비의 인터페이스에 연결되는 서버 NIC 또한 10Gbps급 장비로 교체되기 시작하였다. 고성능의 패킷 처리를 위해서는 좀 더 효과적인 패킷 처리 기능이 요구된다. 그러나 기존의 전통적인 OS에서 제공하는 패킷 처리 방식의 구조적 한계로 인해 패킷 처리 속도의 제약이 발생한다.
일반적으로 기존 인터럽트 기반의 패킷 처리 방식은 1bit의 처리(송/수신)를 위하여 1Hz의 CPU cycle 이 요구되는 것으로 알려져 있다. 예를 들어, 5Gbps의 패킷 처리를 위하여는 2.5GHz의 CPU core 2개가 요구되는 셈이다. 이러한 한계를 극복하기 위해 여러 기술이 제안되었지만, 근본적으로 여전히 높은 지연시간과 패킷처리에 많은 CPU 사용률을 요구한다.
이 외에도 컨텍스트 스위칭 오버헤드, CPU 캐시율 저하(MMU에 대한 성능 저하), 커널 공간과 사용자 공간 사이의 중복된 메모리 복사, 커널 네트워크 스택처리에서 공유 자원에서 사용하는 lock 구조 등의 문제점이 커널에 산재하고 있다. 이처럼 많은 병목점들로 인해 커널은 NIC가 지원하는 속도만큼 빠른 패킷 처리가 불가능한 상태이다.
설계와 구현, 수정 및 업데이트의 용이성으로 인해 대부분의 보안 모듈은 소프트웨어로 만들어지고 사용된다. IPsec 또한 마찬가지로 이렇게 구현되어 제공되는 오픈소스 프로그램(FreeS/WAN, Openswan, strongSwan 등)이 많이 있다. 그러나 문제는 이 프로그램들이 운영체제에 의존적인 형태로 구현되어 있다는 점이다. 그래서 운영체제에 의한 병목현상에 영향을 받을 수 밖에 없고, 컴퓨팅 자원을 온전히 통신 처리에 활용하기 어렵다. 일반적으로 범용 서버에서 가상사설망 기능을 구현하기 위해 IPSec을 소프트웨어로 구현하는 경우 CPU 연산능력의 약 95%가 사용된다고 알려져 있다. 이러한 문제 때문에 고속 처리가 필요한 몇몇 네트워크 장비 혹은 컴퓨팅 파워가 낮거나 운영체제가 없는 임베디드 장비에 IPsec 전체 혹은 일부 처리를 담당하는 하드웨어 장치를 사용하기도 한다.
본 발명의 실시예들은, 데이터 플레인 가속화(DPA)를 사용한 초고속 네트워크 환경에서 IPsec을 적용함으로써, 패킷 처리 속도와 보안성을 향상시킬 수 있는 초고속 암호 통신 시스템 및 그 방법을 제공한다.
본 발명의 일 실시예에 따른 초고속 암호 통신 시스템은 수신되는 네트워크 패킷을 처리하는 패킷 처리부; 상기 패킷 처리부와 하드웨어적으로 연결되고, 상기 처리된 네트워크 패킷에 대한 인터넷 프로토콜 보안(IPsec)을 수행하는 보안 처리부; 및 상기 보안 처리부에 의해 인터넷 프로토콜 보안이 수행된 네트워크 패킷 또는 상기 패킷 처리부에 의해 처리된 네트워크 패킷을 커널을 바이패스하여 사용자 공간 애플리케이션으로 전달하는 가속화부를 포함한다.
상기 보안 처리부는 상기 패킷 처리부에 의해 처리된 네트워크 패킷의 헤더를 분석하여 인터넷 프로토콜 보안의 수행 여부를 판단하고, 인터넷 프로토콜 보안의 수행이 필요한 것으로 판단되면 상기 처리된 네트워크 패킷에 대한 인터넷 프로토콜 보안을 수행할 수 있다.
상기 보안 처리부는 상기 패킷 처리부와 하드웨어적으로 직접 연결되거나 시스템 온 칩(SOC) 형태로 상기 패킷 처리부 내부에 장착된 형태를 가질 수 있다.
본 발명의 일 실시예에 따른 초고속 암호 통신 방법은 네트워크 인터페이스 제어기(NIC)에서 수신되는 네트워크 패킷을 처리하는 단계; 상기 네트워크 인터페이스 제어기와 하드웨어적으로 연결되는 인터넷 프로토콜 보안 처리기(IPsec)에서 상기 처리된 네트워크 패킷에 대한 인터넷 프로토콜 보안을 수행하는 단계; 및 상기 인터넷 프로토콜 보안이 수행된 네트워크 패킷 또는 상기 처리된 네트워크 패킷을 커널을 바이패스하여 사용자 공간 애플리케이션으로 전달하는 단계를 포함한다.
상기 인터넷 프로토콜 보안을 수행하는 단계는 상기 처리된 네트워크 패킷의 헤더를 분석하여 인터넷 프로토콜 보안의 수행 여부를 판단하고, 인터넷 프로토콜 보안의 수행이 필요한 것으로 판단되면 상기 처리된 네트워크 패킷에 대한 인터넷 프로토콜 보안을 수행할 수 있다.
상기 인터넷 프로토콜 보안을 수행하는 단계는 상기 네트워크 인터페이스 제어기와 하드웨어적으로 직접 연결되거나 시스템 온 칩(SOC) 형태로 상기 네트워크 인터페이스 제어기 내부에 장착된 형태를 가지는 상기 인터넷 프로토콜 보안 처리기에서 수행할 수 있다.
본 발명의 실시예들에 따르면, 데이터 플레인 가속화를 사용한 초고속 네트워크 환경에서 IPsec을 적용함으로써, 패킷 처리 속도와 보안성을 향상시킬 수 있다.
본 발명의 실시예들에 따르면, 기존의 한가지 해결책만 제시하던 기술들을 효율적으로 활용하여 고속 보안 통신 처리 시스템을 구성함으로써, 해킹의 위험없이 서버의 네트워크 처리 속도를 올릴 수 있다.
이러한 본 발명은 라우터, 서버 등 고속 네트워크 데이터 처리 장치, 서버용 컴퓨터 및 단순 데이터 전달용 허브가 아닌 패킷 처리를 위해 컴퓨팅이 필요한 초고속 통신 장비들 전반에 적용할 수 있다.
도 1은 본 발명의 실시예에 따른 시스템 모델과 기존 시스템 모델을 비교한 일 예시도를 나타낸 것이다.
도 2는 도 1에 도시된 본 발명의 시스템에서의 일 실시예 동작 흐름도를 나타낸 것이다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나, 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다.
본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며, 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 및/또는 "포함하는(comprising)"은 언급된 구성요소, 단계, 동작 및/또는 소자는 하나 이상의 다른 구성요소, 단계, 동작 및/또는 소자의 존재 또는 추가를 배제하지 않는다.
다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있을 것이다. 또한, 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다.
이하, 첨부한 도면들을 참조하여, 본 발명의 바람직한 실시예들을 보다 상세하게 설명하고자 한다. 도면 상의 동일한 구성요소에 대해서는 동일한 참조 부호를 사용하고 동일한 구성요소에 대해서 중복된 설명은 생략한다.
고품질 콘텐츠의 발달로 대용량의 데이터 처리를 요구하는 작업이 많아졌다. 하드웨어가 발달하면서 물리적으로 속도 향상을 위한 발판은 갖추어 졌지만, 이를 다루는 소프트웨어의 병목으로 인해 전체 처리 속도의 저하가 발생하고 있다. 병목 해결을 위해 데이터 플레인 가속화(DPA; Data Plane Acceleration) 기술을 개발하여 사용하고 있지만 해당 기술은 속도 향상에만 신경 쓰고 보안적인 측면에 대한 고려가 부족하다. 따라서, 악의적인 의도를 가진 제3자가 쉽게 데이터를 가로채거나 수정하는 등의 공격을 수행할 수 있는 가능성이 높다.
본 발명의 실시예들은, DPA를 사용한 초고속 네트워크 환경에서 IPsec(IP security protocol)을 적용함으로써, 패킷 처리 속도와 보안성을 향상시키는 것을 그 요지로 한다.
도 1은 본 발명의 실시예에 따른 시스템 모델과 기존 시스템 모델을 비교한 일 예시도를 나타낸 것이다.
도 1에 도시된 바와 같이, DPA가 적용되지 않은 기존의 방법은 IPsec가 커널 공간에 구성되고, NIC에 수신된 패킷 데이터를 커널에서 처리하여 사용자 응용 애플리케이션으로 전달하며, DPA가 적용된 기존 방법은 DPA 기술 예를 들어, 인텔의 DPDK이 적용된 소프트웨어 단에서 IPsec을 처리하기 때문에 패킷 처리 속도가 떨어질 수 있다.
반면 본 발명의 모델은 DPA를 적용하여 패킷 처리 속도를 끌어올리고, IPsec을 적용하여 보안성을 올리도록 한다. 그러나 IPsec을 적용하는 단계에서 기존의 오픈소스 프로그램을 이용한 소프트웨어 단에서의 처리를 피하고 IPsec 처리에 최적화된 하드웨어를 NIC(Network Interface Controller/Card)에 직접 연결하거나 시스템 온 칩(SOC) 형태로 NIC 내부에 장착된 형태를 사용한다.
이를 통해 기존 운영체제에서는 최종 처리된 즉, 암호화가 되어있지 않은 일반 패킷을 처리하는 것과 같은 속도로 고속 네트워크 환경을 구성할 수 있다.
본 발명에서 DPA는 인텔의 DPDK를 사용할 수 있지만, 이로 한정하지 않으며, 사용 가능한 모든 DPA를 사용할 수 있다. 여기서, DPDK는 지원하는 NIC가 없으면 동작하지 않는 기술이지만, 해당 인텔 칩셋을 장착한 NIC를 사용하면 최적화된 프로그램 코드를 제공하여 NIC의 최고 속도에 근접하게 동작할 수 있는 환경을 조성해준다.
DPDK는 EAL이란 추상환경을 통해 NIC에 수신된 패킷 데이터를 커널에서 처리 하지 않고 바이패스(bypass) 하도록 하여 사용자 응용 애플리케이션 수준으로 바로 전달해 주게 된다. 이런 동작을 통해 운영체제의 병목을 피할 수 있다.
또한, 본 발명은 해당 코드를 일부 수정하여 NIC와 IPsec 처리 하드웨어간의 통신이 가능하도록 구현할 수 있으며, 이렇게 구현함으로써 최소한의 수정을 통해 기존의 도구들을 활용하여 시스템을 구성할 수 있다.
즉, 본 발명의 실시예에 따른 초고속 암호 통신 시스템은 하드웨어 NIC에 대응하는 패킷 처리부, 하드웨어 IPsec에 대응하는 보안 처리부 및 DPDK에 대응하는 가속화부를 포함한다.
패킷 처리부는 수신되는 네트워크 패킷을 처리하여 보안 처리부로 제공한다.
보안 처리부는 패킷 처리부에 의해 처리된 네트워크 패킷의 헤더를 분석하여 IPsec 패킷 처리 여부를 판단하고, IPsec 패킷 처리가 필요한 경우 IPsec 패킷 처리를 수행하며 IPsec 패킷 처리가 필요하지 않은 경우 IPsec 패킷 처리를 수행하지 않는다.
가속화부는 보안 처리부에 의해 IPsec 패킷 처리가 수행된 패킷 또는 IPsec 패킷 처리가 수행되지 않은 패킷을 커널을 바이패스하여 사용자 공간 애플리케이션으로 전달함으로써, 사용자 공간 애플리케이션 처리를 수행한다.
도 2는 도 1에 도시된 본 발명의 시스템에서의 일 실시예 동작 흐름도를 나타낸 것이다.
도 2를 참조하면, 본 발명의 실시예에 따른 초고속 암호 통신 방법은 NIC에서 네트워크 패킷을 수신하고, 수신된 네트워크 패킷을 NIC에서 처리한다(S210, S220).
단계 S220에 의해 네트워크 패킷이 처리되면, 처리된 네트워크 패킷의 헤더를 통해 해당 네트워크 패킷에 대하여 IPsec 처리가 필요한지 판단한다(S230).
단계 S230이 판단 결과, IPsec 처리가 필요한 것으로 판단되면, NIC에서 드라이버 IPC를 통하여 IPsec 하드웨어로 처리된 네트워크 패킷을 전달하고, IPsec 하드웨어에서 네트워크 패킷에 대하여 IPsec 처리를 수행한다(S240, S250).
단계 S250에 의해 IPsec 처리된 네트워크 패킷을 UIO 드라이버를 통하여 커널을 바이패스하여 DPDK로 전달함으로써, 유저 공간 애플리케이션에서 네트워크 패킷을 처리한다(S260, S270).
반면, 단계 S230에서 IPsec 처리가 불필요한 것으로 판단되면 바로 DPDK의 UIO로 구현된 EAL을 통해 커널을 바이패스하여 유저 공간 애플리케이션으로 패킷 데이터를 넘겨준다(S260, S270).
이와 같이, 본 발명의 실시예들들은 데이터 플레인 가속화를 사용한 초고속 네트워크 환경에서 IPsec을 적용함으로써, 패킷 처리 속도와 보안성을 향상시킬 수 있으며, 구체적으로 IPsec 처리에 최적화된 하드웨어를 NIC에 직접 연결하거나 시스템 온 칩(SOC) 형태로 NIC 내부에 장착된 형태를 사용함으로써, 해킹의 위험없이 서버의 네트워크 처리 속도를 올릴 수 있다.
비록, 도 2의 방법에서 그 설명이 생략되었더라도, 도 2의 방법은 상기 도 1에서 설명한 내용을 모두 포함할 수 있으며, 이러한 사항은 본 발명의 기술 분야에 종사하는 당업자에게 있어서 자명하다.
이상에서 설명된 시스템 또는 장치는 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어 구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시예들에서 설명된 시스템, 장치 및 구성요소는, 예를 들어, 프로세서, 컨트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPA(field programmable array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적 컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 애플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 컨트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.
소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로(collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상 장치(virtual equipment), 컴퓨터 저장 매체 또는 장치, 또는 수송되는 신호 파(signal wave)에 영구적으로, 또는 일시적으로 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨터 시스템 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.
이상과 같이 실시예들이 비록 한정된 실시예와 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.
그러므로, 다른 구현들, 다른 실시예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.

Claims (6)

  1. 수신되는 네트워크 패킷을 처리하는 패킷 처리부;
    하드웨어로 구현되어 상기 패킷 처리부와 하드웨어적으로 연결되고, 상기 처리된 네트워크 패킷에 대한 인터넷 프로토콜 보안(IPsec)을 수행하는 보안 처리부; 및
    상기 보안 처리부에 의해 인터넷 프로토콜 보안이 수행된 네트워크 패킷 또는 상기 패킷 처리부에 의해 처리된 네트워크 패킷이 커널을 바이패스하여 수신되면, 상기 커널을 바이패스하여 수신된 네트워크 패킷을 사용자 공간 애플리케이션으로 전달함으로써, 사용자 공간 애플리케이션 처리를 수행하는 가속화부
    를 포함하며,
    상기 보안 처리부는
    상기 패킷 처리부에 의해 처리된 네트워크 패킷의 헤더를 분석하여 인터넷 프로토콜 보안의 수행 여부를 판단하고, 인터넷 프로토콜 보안의 수행이 필요한 것으로 판단되면 상기 처리된 네트워크 패킷에 대한 인터넷 프로토콜 보안을 수행한 후 상기 커널을 바이패스하여 상기 가속화부로 제공하며, 인터넷 프로토콜 보안의 수행이 필요하지 않은 것으로 판단되면 상기 패킷 처리부에 의해 처리된 네트워크 패킷을 상기 커널을 바이패스하여 상기 가속화부로 제공하며,
    상기 보안 처리부는
    상기 패킷 처리부와 하드웨어적으로 직접 연결되거나 시스템 온 칩(SOC) 형태로 상기 패킷 처리부 내부에 장착된 형태를 가지는 초고속 암호 통신 시스템.
  2. 삭제
  3. 삭제
  4. 네트워크 인터페이스 제어기(NIC)에서 수신되는 네트워크 패킷을 처리하는 단계;
    하드웨어로 구현되어 상기 네트워크 인터페이스 제어기와 하드웨어적으로 연결되는 인터넷 프로토콜 보안 처리기(IPsec)에서 상기 처리된 네트워크 패킷에 대한 인터넷 프로토콜 보안을 수행하는 단계; 및
    상기 인터넷 프로토콜 보안이 수행된 네트워크 패킷 또는 상기 처리된 네트워크 패킷이 커널을 바이패스하여 수신되면, 상기 커널을 바이패스하여 수신된 네트워크 패킷을 사용자 공간 애플리케이션으로 전달함으로써, 사용자 공간 애플리케이션 처리를 수행하는 단계
    를 포함하며,
    상기 인터넷 프로토콜 보안을 수행하는 단계는
    패킷 처리부에 의해 처리된 네트워크 패킷의 헤더를 분석하여 인터넷 프로토콜 보안의 수행 여부를 판단하고, 인터넷 프로토콜 보안의 수행이 필요한 것으로 판단되면 상기 처리된 네트워크 패킷에 대한 인터넷 프로토콜 보안을 수행한 후 상기 커널을 바이패스하여 가속화부로 제공하며, 인터넷 프로토콜 보안의 수행이 필요하지 않은 것으로 판단되면 상기 패킷 처리부에 의해 처리된 네트워크 패킷을 상기 커널을 바이패스하여 상기 가속화부로 제공하며,
    상기 인터넷 프로토콜 보안을 수행하는 단계는
    상기 패킷 처리부와 하드웨어적으로 직접 연결되거나 시스템 온 칩(SOC) 형태로 상기 패킷 처리부 내부에 장착된 형태를 가지는 상기 인터넷 프로토콜 보안 처리기에서 수행하는 초고속 암호 통신 방법.
  5. 삭제
  6. 삭제
KR1020190086170A 2018-12-18 2019-07-17 데이터 플레인 가속화 기술과 하드웨어 암호화 처리 장치를 이용한 초고속 암호 통신 시스템 및 그 방법 KR102304584B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020180164435 2018-12-18
KR20180164435 2018-12-18

Publications (2)

Publication Number Publication Date
KR20200075723A KR20200075723A (ko) 2020-06-26
KR102304584B1 true KR102304584B1 (ko) 2021-09-24

Family

ID=71136752

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190086170A KR102304584B1 (ko) 2018-12-18 2019-07-17 데이터 플레인 가속화 기술과 하드웨어 암호화 처리 장치를 이용한 초고속 암호 통신 시스템 및 그 방법

Country Status (1)

Country Link
KR (1) KR102304584B1 (ko)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012510126A (ja) * 2008-11-26 2012-04-26 マイクロソフト コーポレーション リモートデスクトッププロトコルのためのハードウェアアクセラレーション

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100628320B1 (ko) * 2004-12-09 2006-09-27 한국전자통신연구원 VPN IPsec 가속 장치
KR101553317B1 (ko) * 2013-11-19 2015-09-16 주식회사 시큐아이 패킷 처리 방법 및 장치

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012510126A (ja) * 2008-11-26 2012-04-26 マイクロソフト コーポレーション リモートデスクトッププロトコルのためのハードウェアアクセラレーション

Also Published As

Publication number Publication date
KR20200075723A (ko) 2020-06-26

Similar Documents

Publication Publication Date Title
KR102041584B1 (ko) 가상화 환경에서 네트워크 트래픽을 해독하기 위한 시스템 및 방법
US11431681B2 (en) Application aware TCP performance tuning on hardware accelerated TCP proxy services
US20120117610A1 (en) Runtime adaptable security processor
US20160171102A1 (en) Runtime adaptable search processor
US20070234412A1 (en) Using a proxy for endpoint access control
US20040165588A1 (en) Distributed network security system and a hardware processor therefor
US10542039B2 (en) Security against side-channel attack in real-time virtualized networks
CA3169613C (en) Proxy service through hardware acceleration using an io device
US20220103349A1 (en) Resource sharing for trusted execution environments
He et al. Masq: Rdma for virtual private cloud
US20020116644A1 (en) Adapter card for wirespeed security treatment of communications traffic
Simpson et al. Securing {RDMA} for {High-Performance} Datacenter Storage Systems
Xing et al. Bedrock: Programmable Network Support for Secure {RDMA} Systems
US10250595B2 (en) Embedded trusted network security perimeter in computing systems based on ARM processors
US9306908B2 (en) Anti-malware system, method of processing packet in the same, and computing device
CN111541658B (zh) 一种pcie防火墙
Will et al. Trusted inter-process communication using hardware enclaves
KR102304584B1 (ko) 데이터 플레인 가속화 기술과 하드웨어 암호화 처리 장치를 이용한 초고속 암호 통신 시스템 및 그 방법
Li et al. Bifrost: Analysis and Optimization of Network {I/O} Tax in Confidential Virtual Machines
KR102078744B1 (ko) 멀티 코어 프로세서 및 범용 네트워크 컨트롤러 하이브리드 구조의 네트워크 인터페이스 카드
Mastorakis et al. ISA-based trusted network functions and server applications in the untrusted cloud
US11736413B2 (en) Programmable virtual network interface controller (VNIC)
Dong et al. A cache based countermeasure against ddos attacks in xen
Misono et al. Distributed Denial of Service Attack Prevention at Source Machines
Lin et al. TNC-compatible NAC System implemented on Network Processor

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant