KR20030051949A - 가상 사설망에서 라우터의 계산을 분산시키는 방법 - Google Patents

가상 사설망에서 라우터의 계산을 분산시키는 방법 Download PDF

Info

Publication number
KR20030051949A
KR20030051949A KR1020010081607A KR20010081607A KR20030051949A KR 20030051949 A KR20030051949 A KR 20030051949A KR 1020010081607 A KR1020010081607 A KR 1020010081607A KR 20010081607 A KR20010081607 A KR 20010081607A KR 20030051949 A KR20030051949 A KR 20030051949A
Authority
KR
South Korea
Prior art keywords
router
host
packet
vpn
private network
Prior art date
Application number
KR1020010081607A
Other languages
English (en)
Other versions
KR100411436B1 (ko
Inventor
조동욱
Original Assignee
엘지전자 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 엘지전자 주식회사 filed Critical 엘지전자 주식회사
Priority to KR10-2001-0081607A priority Critical patent/KR100411436B1/ko
Publication of KR20030051949A publication Critical patent/KR20030051949A/ko
Application granted granted Critical
Publication of KR100411436B1 publication Critical patent/KR100411436B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/58Association of routers
    • H04L45/586Association of routers of virtual routers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • H04L12/4675Dynamic sharing of VLAN information amongst network nodes

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 가상 사설망에서 라우터의 계산을 분산시키는 방법에 관한 것이다. 그러므로, 본 발명은 가상 사설망에서 라우터의 계산을 줄이기 위해서 가상 사설망 터널이 생성된 후에 호스트들이 다른 라우터의 서브 네트의 호스트로 데이터를 전송하는 경우 라우터가 모든 암호학적 연산을 하는 대신에 호스트가 암호학적 연산을 수행하기 위해서 필요한 보안 조합을 라우터에서 호스트로 전송하고, 호스트는 그 보안 조합을 이용하여 가상 사설망 패킷을 생성하고, 그 데이터를 해당 라우터에 전송한다. 그리고, 본 발명은 가상 사설망에서 라우터가 호스트가 보내온 패킷에서 가상 사설망 터널을 통해 보낼 데이터만을 분리하여 가상 사설망 터널을 이용해서 전송한다.
따라서, 본 발명은 가상 사설망에서 가상 사설망의 터널링을 위해서 라우터가 수행해야할 계산을 호스트가 수행함으로써 라우터가 가상 사설망의 터널링을 위하여 필요로 하는 계산량을 감소시켜서 라우터의 성능 개선없이도 라우터의 처리 능력을 크게 감소시키지 않고 가상 사설망을 구축할 수 있는 발판을 마련할 수 있다.

Description

가상 사설망에서 라우터의 계산을 분산시키는 방법{Method for distributing calculation of router in virtual private network}
본 발명은 IPsec를 이용한 터널 모드(Tunnel Mode) 가상 가설망(virtual private network:이하 VPN라고 함)에서 라우터가 대량의 VPN 트래픽을 처리 가능하도록 하기 위한 방법에 관한 것으로, 특히 라우터가 VPN 터널링을 위해서 수행해야 하는 암호학적 연산을 호스트가 수행하게 함으로써 라우터의 계산을 호스트로 분산시키는 방법에 관한 것이다.
통상적으로 터널 모드 VPN은 도 1에 도시된 것과 같이 라우터(10)와 라우터(20) 사이에 암호학적 알고리즘을 이용하여 VPN 터미널을 생성한다.
도 1을 참조하면, 이 VPN 터널을 이용하여 제1라우터(10)의 서브 네트(Subnet)에 속해 있는 호스트들(1~3)은 다른 라우터인 제2라우터(20)의 서브 네트에 속해 있는 호스트(n-2~n)와 데이터를 제3에게 노출없이 주고 받을 수 있다. 이러한 VPN 터널링을 수행하기 위해서는 키분배, 상호 인증, 암호화/복호화 등의 작업이 필요하며, 종래의 IPsec 터널 모드 VPN에서는 이러한 작업이 모두 라우터에서 이루어지고 있다.
이와 같이, 종래 IPsec 터널 모드 VPN에서는 라우터의 서브 네트에 속해있는 호스트들은 아무런 암호학적 연산없이도 라우터가 생성한 VPN 터널을 이용할 수 있지만 라우터는 자신이 생성한 VPN 터널을 이용하는 모든 패킷들에 대한 암호학적 연산을 수행해야 한다.
종래 IPsec를 이용한 VPN 터널 생성은 보안 조합(Security Association:이하 SA라고 함)을 보호하기 위한 키분배 부분과 트래픽을 보호하기 위한 IPsec 정책 설정부분으로 크게 나누어지며, 도 2에 도시된 것과 같은 순서에 따라 이루어진다.
도 2를 참조하면, (S1)~(S3) 절차를 이용하여 두 라우터(10, 20)간 인터넷 키 교환(Ineternet Key Exchange:IKE)의 SA를 설정한 후에 (S4), (S5) 절차를 이용하여 두 라우터(10, 20)간에 수행할 IPsec의 정책을 결정한다. 한번 IKE SA를 설정한 후에는 (S4), (S5) 과정만을 이용하여 IPsec 정책을 수행하여 VPN 터널을 만들 수도 있다. 이 과정에서 두 라우터(10, 20) 사이에 IPsec을 이용한 VPN 터널이 생성되고, 이를 이용하여 두 라우터(10, 20) 및 라우터의 서브 네트에 속하는 호스트들(1~n) 사이에 안전한 통신을 수행할 수 있다. 즉, 한 라우터의 서브 네트에 속한 호스트가 다른 라우터의 서브 네트에 속한 호스트가 전송하고자 하는 데이터를 아무런 변환없이 전송하면, 라우터가 그 데이터를 VPN에 맞도록 변경하고, 생성되어 있는 VPN 터널을 이용해서 상대편 라우터로 전송한다.
이와 같이, 종래에는 키분배 및 인증을 위한 인증 헤더(authentication Header:이하 AH라고 함)와 암호화를 위한 암호 보완 페이로드(Encryption Security Payload:이하 ESP라고 함)의 생성 및 패킷을 수신한 후 AH를 적용하기 위한 패킷의 재조립등을 모두 라우터가 수행하였다.
이처럼 종래 방법은 라우터가 키분배와 인증과 암호화/복호화를 위한 모든 암호학적 연산을 수행하므로 라우터가 처리할 수 있는 데이터의 양이 급격히 감소하는 문제점이 있다.
515-UR 520-UR 525-UR 535-UR
Cleartext(Mbps) 170 370 370 1,000
3DES(Mbps) 11 20 20 100
상기 표 1은 CISCO VPN 장비가 데이터를 처리하는 량을 비교하는 것으로서, 평문을 처리하는 경우와 암호문을 처리하는 경우의 처리 속도를 보여준다.
표 1을 참조하면, CISCO VPN 장비가 암호문을 처리하는 경우 평문을 처리하는 경우보다 처리 능력이 1/10 이하로 감소됨을 볼 수 있다.
이를 보완하기 위해서 종래 가상 사설망에서는 라우터에 고성능의 중앙처리장치(Central Processor Unit:이하 CPU라고 함)를 사용하거나 암호 연산을 위한 전용 CPU나 장치를 사용해야 한다.
또한, 종래 가상 사설망에서는 라우터가 AH를 적용하기 위한 패킷 재조립을 라우터가 수행해야 하므로 많은 메모리가 필요했다.
따라서 본 발명의 목적은 가상 사설망에서 라우터가 대용량의 VPN 트래픽을 처리 가능하도록 하는 방법을 제공하기 위한 것이다.
본 발명의 다른 목적은 가상 사설망에서 라우터가 VPN 터널링을 위해서 수행해야 하는 암호학적 연산을 호스트가 수행하도록 하는 방법을 제공함에 있다.
본 발명의 또다른 목적은 가상 사설망에서 라우터의 계산을 호스트로 분산시켜 라우터의 효율을 높이는 방법을 제공함에 있다.
이러한 목적들을 달성하기 위한 본 발명은 가상 사설망에서 라우터의 계산을 줄이기 위해서 VPN 터널이 생성된 후에 호스트들이 다른 라우터의 서브 네트의 호스트로 데이터를 전송하는 경우 라우터가 모든 암호학적 연산을 하는 대신에 호스트가 암호학적 연산을 수행하기 위해서 필요한 SA를 라우터에서 호스트로 전송하고, 호스트는 그 SA를 이용하여 VPN 패킷을 생성하고, 그 데이터를 해당 라우터에전송하는 것을 특징으로 한다.
그리고, 본 발명은 가상 사설망에서 라우터가 호스트가 보내온 패킷에서 VPN 터널을 통해 보낼 데이터만을 분리하여 VPN 터널을 이용해서 전송하는 것을 특징으로 한다.
따라서, 본 발명은 호스트에서 목적지 주소 및 관련 정보를 라우터로 전송하는 과정과; 상기 라우터에서 상기 전송된 목적지 주소 및 관련 정보에 따른 SA를 상기 호스트로 전송하는 과정과; 상기 호스트에서 가상 사설망 터미널을 위한 패킷을 생성하여 상기 라우터로 전송하는 과정을 적어도 포함하는 것을 특징으로 한다.
그리고, 상기 가상 사설망 터미널을 위한 패킷은 상기 호스트에서 상기 라우터로 패킷을 전송하기 위한 정보를 적어도 포함하는 것을 특징으로 한다.
또한, 본 발명은 라우터가 목적지 주소를 검사하고, 가상 사설망 패킷에 대한 인증과 복호화를 하기 위한 SA와 해당 패킷을 목적지 호스트로 전송하는 과정과; 상기 호스트에서 수신한 SA를 이용하여 수신한 패킷을 인증하고 복호하는 과정을 적어도 포함하는 것을 특징으로 한다.
도 1은 가상 사설망의 터널 모드 구성도.
도 2는 가상 사설망의 터널 설정 과정을 나타내는 도면.
도 3은 본 발명의 실시예에 따른 가상 사설망에서 나가는 패킷에 대한 처리 과정을 나타내는 도면.
도 4는 본 발명의 실시예에 따른 가상 사설망에서 전송되는 패킷의 포맷을 나타내는 도면.
도 5는 본 발명의 실시예에 따른 가상 사설망에서 들어오는 패킷에 대한 처리 과정을 나타내는 도면.
이하 본 발명을 첨부된 도면들을 참조하여 상세히 설명한다.
아울러, 본 발명은 VPN 터널을 생성한 후에 데이터 전송에 대해서 발생하는 관계로 이미 라우터들 사이에 VPN 터널이 생성되어 있다는 가정하에서 설명하도록 한다.
즉, 라우터들(10, 20)은 도 2에 도시된 것과 같은 과정(S1~S5)에 의해서 보안 정책 데이터베이스(Security Policy Database:이하 SPD라고 함), 보안 조합 데이터베이스(Security Association Database:이하 SAD라고 함)를 구축하고, 라우터(10)는 상대 라우터(20)로부터 전송된 데이터나 서브 네트내의 호스트에서 보낸 온 정보를 정해진 규칙에 의해서 처리함으로써 생성된 VPN 터널을 이용한다.
본 발명에 따른 VPN에서 라우터의 계산을 분산시키기 위해서는 들어오는 패킷과 나가는 패킷에 대한 처리가 각기 다르므로 이를 나누어서 설명한다.
먼저, 본 발명에 따른 VPN에서 나가는 패킷을 처리하는 방법은 다음과 같다.
도 3 및 도 4를 참조하면, 제(S11)과정에서 호스트(1)는 VPN 터널링을 수행하기를 원하는 목적지 주소를 라우터(10)에게 알려주기 위해 목적지 주소 및 관련 정보를 라우터(10)로 전송한다.
그러면, 제(S12)과정에서 라우터(10)는 SPD와 SAD를 검색하여 호스트(1)로부터 전송된 목적지 주소와 정책에 따른 SA를 검색하여 그 정보를 호스트(1)로 전송한다. 만일, 필요한 SA가 SAD에는 존재하지 않지만, SPD에 의해서 터널링이 필요한 경우에는 도 2에 도시된 것과 같은 과정을 수행하여 SA를 설정하고 그 값을 VPN 터널링을 수행하길 원하는 호스트(1)로 전송한다.
그러면, 제(S13)과정에서 호스트(1)는 라우터(10)로부터 전송받은 SA를 이용하여 라우터(10)가 VPN 터널링을 위해서 생성해야될 VPN 패킷을 생성하고, 그 패킷을 라우터(10)로 전송한다.
도 4는 본 발명에 따른 VPN 패킷의 포맷으로서, 새로운 IP 헤더는 호스트에서 라우터로 패킷을 전송하기 위한 정보를 가지고 있다.
그러면, 라우터(10)는 호스트(1)가 자신에게 보내온 패킷에서 새로운 IP 헤더부분을 제외한 VPN 터널링을 위한 패킷을 전송한다.
한편, 본 발명에 따른 VPN에서 라우터의 계산을 분산시키기 위해서 들어오는 패킷을 처리하는 방법은 다음과 같다.
IPsec 터널 모드 VPN 터널을 통해서 들어오는 패킷에는 송신자와 수신자를 숨길 수 있도록 IP 헤더를 암호화하고 새로운 IP 헤더를 붙여서 전송을 수행한다. 이러한 경우 보통 외부의 IP 헤더의 수신 IP는 원래 IP 헤더의 호스트가 속해 있는 라우터를 가리키게 되어 있어 호스트가 속한 서브 네트의 라우터로 패킷이 전송된다. 따라서, VPN 터널을 통해서 패킷을 수신한 라우터는 수신한 패킷 내부의 암호화된 IP 헤더에서 원래의 목적지 주소를 확인한 후에야 패킷을 올바른 호스트에게 전송할 수 있다.
만일 VPN 터널을 통해서 외부 네트워크에서 수신된 전체 패킷에 대한 AH와 ESP에 대한 처리를 수행하는 경우 라우터가 모든 인증 및 복호화를 수행해야 한다. 또한, AH를 적용하는 경우 전체 패킷을 재조립한 후 인증을 수행해야 하므로 많은 메모리 공간이 필요하다.
이러한 작업을 수행하는 대신 라우터(20)는 도 5에 도시된 것과 같이 제(S21)과정에서 AH뒤의 IP 헤더에 해당하는 부분까지만을 복호화하여 목적지 IP를 확인한다. 그리고, 제(S22)과정에서 라우터(20)는 VPN 패킷에 대한 인증과 복호화를 하기 위한 SA와 해당 패킷을 목적지 호스트(n)로 전송한다.
그러면, 호스트(n)는 수신한 SA를 이용하여 수신한 패킷을 인증하고 복호한다.
상술한 바와 같이 본 발명은 VPN에서 VPN 터널링을 위해서 라우터가 수행해야할 계산을 호스트가 수행함으로써 라우터가 VPN 터널링을 위하여 필요로 하는 계산량을 감소시켜서 라우터의 성능 개선없이도 라우터의 처리 능력을 크게 감소시키지 않고 VPN을 구축할 수 있는 발판을 마련할 수 있다. 또한, 본 발명은 VPN에서 AH를 사용하는 경우 패킷들의 인증을 위해서 패킷의 재조립이 필요하고, 이에 따른 라우터의 메모리가 필요하게 되나 이러한 패킷 재조립을 호스트에서 수행함으로써 라우터의 메모리를 늘릴 필요가 없어 추가 비용없이도 VPN 터널링을 구현할 수 있는 이점이 있다.

Claims (3)

  1. 가상 사설망에서 라우터의 계산을 분산시키는 방법에 있어서,
    가상 사설망의 터널이 생성된 후에 호스트들이 다른 라우터의 서브 네트의 호스트로 데이터를 전송하는 경우 라우터가 모든 암호학적 연산을 수행하는 대신에 호스트가 암호학적 연산을 수행하기 위해서 필요한 보안 조합(Security Association)을 라우터에서 호스트로 전송하는 과정과;
    호스트는 상기 보안 조합을 이용하여 가상 사설망의 패킷을 생성하고, 그 데이터를 해당 라우터에 전송하는 과정과;
    상기 라우터는 상기 호스트가 보내온 패킷에서 가상 사설망의 터널을 통해 보낼 데이터만을 분리하여 가상 사설망의 터널을 이용해서 전송하는 과정으로 이루어지는 것을 특징으로 하는 라우터의 계산을 분산시키는 방법.
  2. 가상 사설망에서 라우터의 계산을 분산시키는 방법에 있어서,
    호스트에서 목적지 주소 및 관련 정보를 라우터로 전송하는 과정과;
    상기 라우터에서 상기 전송된 목적지 주소 및 관련 정보에 따른 보안 조합을 상기 호스트로 전송하는 과정과;
    상기 호스트에서 가상 사설망 터미널을 위한 패킷을 생성하여 상기 라우터로 전송하는 과정을 적어도 포함하는 것을 특징으로 하는 라우터의 계산을 분산시키는방법.
  3. 제2항에 있어서, 상기 가상 사설망 터미널을 위한 패킷은,
    상기 호스트에서 상기 라우터로 패킷을 전송하기 위한 정보를 적어도 포함하는 것을 특징으로 하는 방법.
KR10-2001-0081607A 2001-12-20 2001-12-20 가상 사설망에서 라우터의 계산을 분산시키는 방법 KR100411436B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2001-0081607A KR100411436B1 (ko) 2001-12-20 2001-12-20 가상 사설망에서 라우터의 계산을 분산시키는 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2001-0081607A KR100411436B1 (ko) 2001-12-20 2001-12-20 가상 사설망에서 라우터의 계산을 분산시키는 방법

Publications (2)

Publication Number Publication Date
KR20030051949A true KR20030051949A (ko) 2003-06-26
KR100411436B1 KR100411436B1 (ko) 2003-12-18

Family

ID=29576702

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2001-0081607A KR100411436B1 (ko) 2001-12-20 2001-12-20 가상 사설망에서 라우터의 계산을 분산시키는 방법

Country Status (1)

Country Link
KR (1) KR100411436B1 (ko)

Also Published As

Publication number Publication date
KR100411436B1 (ko) 2003-12-18

Similar Documents

Publication Publication Date Title
US11283772B2 (en) Method and system for sending a message through a secure connection
US7231664B2 (en) System and method for transmitting and receiving secure data in a virtual private group
US20070271606A1 (en) Apparatus and method for establishing a VPN tunnel between a wireless device and a LAN
US7496748B2 (en) Method for establishing a security association between two or more computers communicating via an interconnected computer network
AU2007261003B2 (en) Method and apparatus for encrypted communications using IPsec keys
EP1953954B1 (en) Encryption/decryption device for secure communications between a protected network and an unprotected network and associated methods
US20220263811A1 (en) Methods and Systems for Internet Key Exchange Re-Authentication Optimization
JP2010539839A (ja) サーバ基盤移動インターネットプロトコルシステムにおけるセキュリティ方法
CN113746861B (zh) 基于国密技术的数据传输加密、解密方法及加解密系统
Cisco IPSec Tunnels
Cisco Introduction to IPSec
Cisco IPSec Tunnels
Cisco IPSec Tunnels
Cisco Configuring IPSec Network Security
KR100411436B1 (ko) 가상 사설망에서 라우터의 계산을 분산시키는 방법
US20080059788A1 (en) Secure electronic communications pathway
Baltatu et al. IP security
LIOY Advanced Security Technologies in Networking 55 95 B. Jerman-Blažič et al.(Eds.) IOS Press, 2001
Xhemajli Implementing Virtual Privat Network in Small to Medium Sized Enterprises

Legal Events

Date Code Title Description
A201 Request for examination
N231 Notification of change of applicant
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20111110

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20121115

Year of fee payment: 10

LAPS Lapse due to unpaid annual fee