KR20030062106A - Method for receiving data packet from virtual private network and apparatus thereof - Google Patents
Method for receiving data packet from virtual private network and apparatus thereof Download PDFInfo
- Publication number
- KR20030062106A KR20030062106A KR1020020002530A KR20020002530A KR20030062106A KR 20030062106 A KR20030062106 A KR 20030062106A KR 1020020002530 A KR1020020002530 A KR 1020020002530A KR 20020002530 A KR20020002530 A KR 20020002530A KR 20030062106 A KR20030062106 A KR 20030062106A
- Authority
- KR
- South Korea
- Prior art keywords
- data packet
- virtual private
- private network
- network address
- address translation
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/256—NAT traversal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
본 발명은 보안 프로토콜을 이용하는 네트워크 어드레스 변환(NAT) 기반의 가상사설망 환경에서 데이터 패킷을 수신하는 방법 및 장치에 관한 것이다.The present invention relates to a method and apparatus for receiving a data packet in a network address translation (NAT) based virtual private network environment using a security protocol.
현재 사용되고 있는 IPv4(Internet Protocol vesion 4)에서는 32비트만을 어드레스공간으로 할당하고 있어서, 폭발적인 TCP/IP(Transmission Control Protocol/Internet Protocol)네트워킹의 증가와 이에 따른 TCP/IP네트워크상의 모든 호스트들에 할당된 고유 어드레스 체계의 지속적인 할당으로 인하여 가용한 IP 어드레스 공간은 빠르게 고갈되고 있어, 실제 가용한 TCP/IP 어드레스는 조만간 다 소모될 것으로 전망된다.Currently, Internet Protocol vesion 4 (IPv4) allocates only 32 bits to the address space, which has led to an explosive increase in Transmission Control Protocol / Internet Protocol (TCP / IP) networking and thus to all hosts on a TCP / IP network. Due to the constant allocation of unique addressing schemes, the available IP address space is quickly depleted, and the available TCP / IP addresses are expected to be exhausted soon.
글로벌 인터넷으로의 연결을 위해서는 고유의 어드레스가 요구되기 때문에 이러한 문제점들은 새로운 대형 네트워크의 신규 연결에 있어서 심각한 문제로 인식되고 있다.Since unique addresses are required to connect to the global Internet, these problems are perceived as serious problems for new connections in new large networks.
IPng(IP:next generation)로 불리우는 IPv6(IP version 6)에서는 어드레스공간을 위해서 128비트를 할당하고 있어, IPv6가 실용화되면 어드레스공간에 대한 문제가 해소될 것으로 예상되지만, 신 표준안의 선택 과정에 이르기까지는 적지 않은 기간이 걸릴 것으로 예상되고 있다.IP version 6 (IPng), called IP (next generation), allocates 128 bits for the address space. It is expected to take some time.
이러한 문제를 해결하기 위한 방법 중의 하나로 네트워크 어드레스 변환(Network Address Translation: NAT)이 부각되고 있다.Network address translation (NAT) is emerging as one of the ways to solve this problem.
네트워크 어드레스 변환(NAT)은 IETF(Internet Engineering Task Force)에서 제시된 사설망과 공인망의 경계 라우터에서 동작하는 것으로, 사설 IP 어드레스를 사용하는 다수의 로컬 호스트의 사설 어드레스를 공인망의 호스트와 통신하는 중간에 공인 IP 어드레스로 바꾸어 주는 역할을 한다. 네트워크 어드레스 변환(NAT)를 사용함으로 인해 하나의 공인 IP 어드레스에 도 3에 도시된 바와 같은 다양한 가상 사설망 어드레스를 할당할 수 있어 한정된 IP 어드레스를 공유하여 IP 어드레스 부족을 해결하고 인터넷 접속 비용을 줄일 수 있게 된다.Network Address Translation (NAT) operates on the border routers of private networks and public networks as presented by the Internet Engineering Task Force (IETF). It converts to a public IP address. By using Network Address Translation (NAT), a single public IP address can be assigned various virtual private network addresses as shown in FIG. 3 to share a limited IP address, thereby solving IP address shortages and reducing Internet connection costs. Will be.
네트워크 어드레스 변환(NAT)은 세가지 형태가 있는데 제일 간단한 형태로하나의 사설 어드레스마다 공인 어드레스를 할당하는 정적 네트워크 어드레스 변환(Static NAT)이 있고, 사설 어드레스보다 적은 공인 어드레스를 가지고 일정한 기간동안만 사용을 허락하는 동적 네트워크 어드레스 변환(Dynamic NAT)이 있으며, 마지막으로 단지 하나의 공인 어드레스만 존재하고 TCP/UDP(Transmission Control Protocol/User Datagram Protocol) 포트 번호를 통해서 네트워크 어드레스 변환(NAT) 라우터에 유입되는 패킷을 구별하는 네트워크 어드레스 포트 변환(Network Address Port Translation: NAPT)이 있다.There are three types of network address translation (NAT). The simplest is static network address translation (Static NAT), which assigns a public address for each private address, and uses it for a period of time with fewer public addresses than private addresses. There is dynamic network address translation (Dynamic NAT) that allows, and finally there is only one public address and packets entering the network address translation (NAT) router through the Transmission Control Protocol / User Datagram Protocol (TCP / UDP) port number. There is a Network Address Port Translation (NAPT).
이렇게 네트워크 어드레스 변환(NAT)을 이용하면 인터넷의 공인 IP 어드레스를 절약할 수 있고, 인터넷이란 공공망과 연결되는 사용자들의 고유한 사설망을 침입자들로부터 보호할 수 있다는 장점이 있다.By using network address translation (NAT), the public IP address of the Internet can be saved, and the Internet has the advantage of protecting the private network of users connected to the public network from intruders.
그러나, 보안을 위해서 IPsec(Internet Protocol Security)를 사용하면서 네트워크 어드레스 변환(NAT)을 사용하는 경우 많은 문제점이 발생하게 된다.However, many problems arise when using Network Address Translation (NAT) while using Internet Protocol Security (IPsec) for security.
IPsec는 단대단 IP 계층 보안 프로토콜을 제공하기 위한 개방 구조의 프레임워크로서 IP의 취약점을 보안하기 위한 보안 기능을 제공한다. 이러한 보안 프로토콜은 IPv4에서는 옵션으로 IPv6에서는 필수로 되어 있다.IPsec is an open framework for providing end-to-end IP layer security protocols and provides security features to protect vulnerabilities in IP. This security protocol is optional in IPv4 and mandatory in IPv6.
표준안으로 채택되어 있는 IPsec의 주요 구성요소로는 MD5(Message Digest 5)와 같은 메세지 압축 알고리즘에 의해서 각각의 데이터그램에 근거하여 IP 데이터그램의 인증과 무결성 확인(integrity checking)을 위한 인증헤더(Authentication Header: AH), 암호화를 통한 데이터의 기밀성을 위한 보안 페이로드의 캡슐화(Encapsulation Security Payload), 통신의 배경을 설립하고그 통신에 대한 몇가지 보안상황을 정의하기 위한 보호연관(Security Association: SA) 등이 있다.The main components of IPsec adopted as the standard are authentication headers for authentication and integrity checking of IP datagrams based on each datagram by a message compression algorithm such as Message Digest 5 (MD5). Header: AH), Encapsulation Security Payload for confidentiality of data through encryption, Security Association (SA) to establish the background of communication and to define some security conditions for that communication. There is this.
상기와 같은 IPsec는 TCP, UDP와 같은 트랜스포트층 프로토콜이나, HTTP(Hypertext Transfer Protocol), FTP(File Transfer Protocol)과 같은 어플리케이션층 프로토콜과 상호 연계없이 독립성을 유지하고 이러한 특성 때문에 널리 이용되고 있다.Such IPsec is widely used because of its characteristics and maintains its independence without interworking with transport layer protocols such as TCP and UDP, and application layer protocols such as HTTP (Hypertext Transfer Protocol) and FTP (File Transfer Protocol).
도 1은 IPsec의 인증헤더(AH)를 사용하는 패킷의 포맷을 나타낸 것이고, 도 2는 인증헤더(AH)의 포맷을 나타낸 것이다.FIG. 1 shows the format of a packet using the authentication header AH of IPsec, and FIG. 2 shows the format of the authentication header AH.
도 1에서 인증헤더(AH)의 인증영역은 TTL(Time To Live)과 같은 전송 중에 변하기 쉬운 부분을 제외한 IP 헤더(110), 인증 데이터(Authentication Data) 필드를 제외한 인증헤더(AH)(120) 및 TCP 헤더(130) 및 사용자 데이터(140)까지이다.In FIG. 1, the authentication area of the authentication header (AH) includes an IP header 110 except for a variable part during transmission such as TTL (Time To Live), an authentication header (AH) 120 except for an authentication data field. And up to TCP header 130 and user data 140.
도 2에서 Next Header 필드(211)는 인증헤더 뒤에 있는 헤더의 형태 식별자를 나타내고, Length 필드(212)는 인증헤더 필드의 길이를 나타내고, Security Parameter Index(SPI) 필드(214)는 수신측에서 데이터를 해독하는데 사용할 특정 보호연관(Security Association: SA)을 구분하기 위한 식별자를 나타내고, Sequence Number 필드(215)는 따라오는 데이터 세그먼트의 번호를 나타내고, Reserved 필드(213)는 아직 표준안이 확정되지 않은 부분이고, Authentication Data 필드(216)는 인증 영역의 데이터를 MD5와 같은 인증 알고리즘을 통하여 얻은 결과값인 ICV(Integrity Check Value)를 포함하는 인증 데이터를 나타내는 부분이다.In FIG. 2, the Next Header field 211 indicates the type identifier of the header behind the authentication header, the Length field 212 indicates the length of the authentication header field, and the Security Parameter Index (SPI) field 214 indicates data at the receiving side. Indicates an identifier for identifying a specific Security Association (SA) to be used for decryption, the Sequence Number field 215 indicates the number of the following data segment, and the Reserved field 213 has not yet been determined. The Authentication Data field 216 is a portion representing authentication data including an ICV (Integrity Check Value) which is a result obtained by using an authentication algorithm such as MD5.
이렇게 인증 헤더의 ICV를 산출하기 위해서는 IP 헤더 내의 IP 어드레스와 TCP 헤더 내의 TCP 포트 번호를 이용하기 때문에 데이터 패킷의 전송 과정 중에 IP 어드레스와 TCP 포트 번호가 변화하는 경우에는 인증 헤더(AH) 내에 저장되어 있는 ICV값의 변화가 일어나서 수신단에서는 상기 패킷을 불법적인 공격으로 인해 손실된 패킷으로 간주하여 폐기하여 버리게 된다.In order to calculate the ICV of the authentication header, the IP address in the IP header and the TCP port number in the TCP header are used. Therefore, when the IP address and the TCP port number change during the transmission of the data packet, they are stored in the authentication header (AH). The ICV value changes so that the receiving end discards the packet as a packet lost due to an illegal attack.
따라서, IPsec의 보안 프로토콜을 이용하면서 동시에 IP 어드레스 또는 IP 어드레스 및 TCP 포트 번호를 변경하는 네트워크 어드레스 변환(NAT) 라우터를 이용하는 경우에는 보안 프로토콜과 네트워크 어드레스 변환(NAT)의 동작이 서로 충돌되어 전송된 패킷이 모두 버려지는 문제점이 있었다.Therefore, when using a network address translation (NAT) router that changes IP address or IP address and TCP port number while using the security protocol of IPsec, the operation of the security protocol and network address translation (NAT) collide with each other. There was a problem that all the packets are discarded.
IPsec의 보안 프로토콜과 네트워크 어드레스 변환(NAT)의 동작과의 충돌 문제를 해결하기 위해서 보안 페이로드 캡슐화(ESP)의 경우에는 여러 연구가 발표되고 있으나, 인증헤더(AH)에 대한 연구는 아직 미미한 실정이다.In order to solve the conflict between IPsec security protocol and the operation of network address translation (NAT), various studies have been published in the case of security payload encapsulation (ESP), but the study of authentication header (AH) is still insignificant. to be.
상기와 같은 문제점을 해결하기 위해 본 발명에서는 인증헤더(AH)를 사용하는 보안 프로토콜과 네트워크 어드레스 변환(NAT) 동작이 서로 충돌하지 않고 데이터를 전송하는 방법을 제공하는 것을 목적으로 한다.In order to solve the above problems, an object of the present invention is to provide a method for transmitting data without collision between a security protocol using an authentication header (AH) and a network address translation (NAT) operation.
또한, 상기와 같은 문제점을 해결하기 위해본 발명에서는 인증헤더(AH)를 사용하는 보안 프로토콜과 네트워크 어드레스 변환(NAT) 동작이 서로 충돌하지 않고 데이터를 전송할 수 있는 장치를 제공하는 것을 목적으로 한다.Another object of the present invention is to provide an apparatus capable of transmitting data without conflicting between a security protocol using an authentication header (AH) and a network address translation (NAT) operation.
또한, 상기와 같은 문제점을 해결하기 위해 본 발명에서는 상기의 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공하는 것을 목적으로 한다.Another object of the present invention is to provide a computer-readable recording medium having recorded thereon a program for realizing the above method.
도 1은 IPsec의 인증헤더(AH)를 사용하는 패킷의 포맷을 도시한 도면1 is a diagram illustrating a format of a packet using an authentication header (AH) of IPsec.
도 2는 인증헤더(AH)의 포맷을 도시한 도면2 illustrates the format of an authentication header AH.
도 3은 네트워크 어드레스 변환(NAT)에서의 가상 사설망의 주소 형태를 도시한 도면3 is a diagram illustrating an address form of a virtual private network in network address translation (NAT).
도 4는 본 발명에서의 데이터 수신 장치를 도시한 블록선도4 is a block diagram showing a data receiving apparatus according to the present invention;
도 5는 본 발명에서의 데이터 수신 방법을 도시한 흐름도5 is a flowchart illustrating a data receiving method according to the present invention.
도 6은 통지 페이로드(Notification Payload)의 포맷을 도시한 도면6 illustrates a format of a notification payload.
상기한 목적을 달성하기 위해 본 발명은 보안 프로토콜을 이용하는 네트워크 어드레스 변환(NAT) 기반의 가상사설망 환경에서 데이터 패킷을 수신하는 방법에 있어서, (a) 수신된 데이터 패킷이 네트워크 어드레스 변환을 사용하였는지 여부를 판단하는 단계; (b) 상기 데이터 패킷이 네트워크 어드레스 변환을 한 경우 상기 데이터 패킷에 기록된 어드레스 정보를 상기 가상사설망의 어드레스 정보로 변환하는 단계; (c) 상기 데이터 패킷이 네트워크 어드레스 변환을 한 경우 상기 가상사설망의 어드레스 정보를 이용하여 인증작업을 수행하고, 상기 데이터 패킷이 네트워크 어드레스 변환을 하지 않은 경우 상기 데이터 패킷에 기록된 어드레스 정보를 이용하여 인증작업을 수행하는 단계; 및 (d) 상기 인증한 결과 유효한 패킷으로 인정되면 상기 데이터 패킷을 수락하고, 유효하지 않은 패킷으로 인정되면 상기 데이터 패킷을 폐기하는 단계;를 포함하는 것을 특징으로 하는 가상사설망으로부터 데이터 패킷을 수신하는 방법을 제공한다.In order to achieve the above object, the present invention provides a method for receiving a data packet in a network address translation (NAT) based virtual private network environment using a security protocol, comprising: (a) whether the received data packet uses network address translation; Determining; converting address information recorded in the data packet into address information of the virtual private network when the data packet performs network address translation; (c) if the data packet has a network address translation, authentication is performed using the address information of the virtual private network; and if the data packet has not been network address translation, the address information recorded in the data packet is used. Performing an authentication operation; And (d) accepting the data packet if it is recognized as a valid packet as a result of the authentication, and discarding the data packet if it is recognized as an invalid packet. Provide a method.
상기한 목적을 달성하기 위해 본 발명은 보안 프로토콜을 이용하는 네트워크 어드레스 변환 기반의 가상사설망 환경에서 데이터 패킷을 수신하는 장치에 있어서, 공인 어드레스 정보와 가상사설망에서 사용되는 가상사설망 어드레스 정보를 서로 맵핑한 정보를 저장하는 가상사설망 어드레스 데이터 저장부; 수신된 데이터 패킷의 발신지 어드레스를 상기 가상사설망 어드레스 데이터 저장부에 저장되어 있는 정보를 이용하여 가상사설망 어드레스로 변환하는 어드레스 변환부; 상기 수신된 데이터 패킷이 네트워크 어드레스 변환을 사용하였으면 어드레스 변환부에서 변환된 어드레스를 이용하여 인증작업을 수행하고, 상기 수신된 데이터 패킷이 네트워크 어드레스 변환을 사용하지 않은 경우에는 상기 수신된 데이터 패킷에 기록되어 있는 공인 어드레스 정보를 이용하여 인증작업을 수행하는 인증부;를 포함하는 것을 특징으로 하는 가상사설망으로부터 데이터 패킷을 수신하는 장치를 제공한다.In order to achieve the above object, the present invention provides a device for receiving a data packet in a network address translation-based virtual private network environment using a security protocol, the information mapping the public address information and the virtual private network address information used in the virtual private network to each other Virtual private network address data storage unit for storing the; An address conversion unit for converting a source address of the received data packet into a virtual private network address using information stored in the virtual private network address data storage unit; If the received data packet uses network address translation, an authentication operation is performed by using the address converted by the address translator. If the received data packet does not use network address translation, the data packet is written to the received data packet. It provides an apparatus for receiving a data packet from a virtual private network comprising a; authentication unit for performing an authentication operation using the public address information.
상기한 목적을 달성하기 위해 본 발명은 상기한 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공한다.In order to achieve the above object, the present invention provides a computer readable recording medium having recorded thereon a program for realizing the above method.
상기한 목적을 달성하기 위해 본 발명은 보호연관을 성립하기 위하여 전송되는 통지 페이로드에 있어서, 전송되는 데이터 패킷이 네트워크 어드레스 변환을 이용하는지 여부를 나타내는 네트워크 어드레스 변환 표시 필드를 포함하는 것을 특징으로 하는 보호연관을 성립하기 위한 통지 페이로드 및 상기 페이로드를 를 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공한다.In order to achieve the above object, the present invention is characterized in that the notification payload transmitted to establish a protection association includes a network address translation indication field indicating whether the transmitted data packet uses network address translation. A notification payload for establishing a protection association and a computer readable recording medium recording the payload are provided.
이하 도면을 참조하여 본 발명을 상세히 설명한다.Hereinafter, the present invention will be described in detail with reference to the accompanying drawings.
도 4는 본 발명에서의 데이터 수신 장치를 나타낸 블록선도이다.4 is a block diagram showing a data receiving apparatus according to the present invention.
본 발명의 데이터 수신 장치는 가상 사설망 어드레스 데이터 저장부(401), 어드레스 변환부(402), 인증부(403) 및 보호연관 데이터 저장부(404)를 포함하여 구성된다.The data receiving apparatus of the present invention includes a virtual private network address data storage unit 401, an address conversion unit 402, an authentication unit 403, and a protection association data storage unit 404.
보호연관 데이터 저장부(404)는 보호 연관(Security Association: SA)에 필요한 데이터를 저장한다. IPsec의 보안 프로토콜을 사용하기 위해서는 보안을 위해서 수신단과 송신단간에 키, 인증 알고리즘, 키 교환방법, 키 교환주기, 암호 알고리즘 및 이러한 알고리즘에 필요한 부가적인 파라미터 집합들에 대한 합의가 필요한데, 이러한 것들 각각을 보호 속성이라고 하면 이러한 보호 속성들의 집합을 보호연관(SA)이라고 한다.The protection association data store 404 stores data necessary for a security association (SA). To use the IPsec security protocol, security requires agreement between the receiving end and the sending end for keys, authentication algorithms, key exchange methods, key exchange cycles, cryptographic algorithms, and additional parameter sets required for these algorithms. Speaking of protection attributes, this set of protection attributes is called protection association (SA).
이러한 보호연관을 수행하기 위해서는 송신단과 수신단 양 호스트간에 ISAKMP(Internet Security Association Key Management Protocol)에 정의된 다양한 종류의 메시지가 교환된다. 이러한 메시지에 기록된 보호속성들은 보호연관 데이터 저장부(404)에 저장된다.In order to perform this protection association, various types of messages defined in the Internet Security Association Key Management Protocol (ISAKMP) are exchanged between the sending host and the receiving host. The protection attributes recorded in this message are stored in the protection association data storage unit 404.
본 발명에서는 ISAKMP(Internet Security Association Key Management Protocol)에 정의된 메시지 중 통지 페이로드(Notification Payload) 메시지에 네트워크 어드레스 변환(NAT)이 사용되는지를 나타내는 메시지를 삽입하여 그 뒤의 패킷이 네트워크 어드레스 변환(NAT)을 사용하는지 여부를 나타내는 것을 특징으로 한다.In the present invention, a message indicating whether network address translation (NAT) is used is inserted into a notification payload message among messages defined in the Internet Security Association Key Management Protocol (ISAKMP), and subsequent packets are converted into network address translation ( NAT) or not.
또한, 본 발명에서는 상기 ISAKMP(Internet Security Association Key Management Protocol)에 정의된 메시지 중 통지 페이로드(Notification Payload) 메시지에 가상 사설망의 주소 정보를 기록한 것을 특징으로 한다.In addition, the present invention is characterized in that the address information of the virtual private network is recorded in a notification payload message among the messages defined in the ISAKMP (Internet Security Association Key Management Protocol).
도 6은 통지 페이로드(Notification Payload)의 포맷을 도시한 도면이다.6 is a diagram illustrating a format of a notification payload.
도 6에서 Next Payload(601) 필드는 다음에 올 패킷의 IP 헤더를 나타내는 필드이고, Payload Length(603) 필드는 다음에 올 패킷의 길이를 나타내는 필드이며, Protocol-ID(605) 필드는 전송 프로토콜의 종류를 나타내는 필드이다.In FIG. 6, the Next Payload 601 field is a field indicating an IP header of a next packet, a Payload Length 603 field is a field indicating a length of a next packet, and a Protocol-ID 605 field is a transport protocol. This field indicates the type of.
또한, Domain Of Interpretation(DOI)(604) 필드는 인터넷 키 변화가 일어나는 도메인을 나타내는 필드이고, Notify Message Type(607) 필드는 다음에 올 패킷의 타입을 나타내는 필드이며, Security Parameter Index(SPI)(608) 필드는 수신단과의 사이에 성립된 보호연관에 관한 식별자를 나타내는 필드이고, Notification Data(609) 필드는 인증을 위한 데이터를 나타내는 필드이고, RESERVED(602, 606) 필드는 아직 표준안이 만들어지지 않은 필드를 나타낸다.In addition, the Domain Of Interpretation (DOI) 604 field is a field indicating a domain in which an Internet key change occurs, and the Notify Message Type (607) field is a field indicating a type of a next packet, and a Security Parameter Index (SPI) ( 608) field is a field indicating an identifier relating to a protection association established with a receiving end, a Notification Data (609) field is a field representing data for authentication, and a RESERVED (602, 606) field has not yet been drafted. Field not.
본 발명에서는 상기한 통지 페이로드의 각 필드 중 Notify Message Type 필드(607)에 다음에 올 데이터들이 네트워크 어드레스 변환(NAT)을 이용하는지를 나타내는 필드를 삽입하여 네트워크 어드레스 변환(NAT)을 이용하는지 여부를 수신단에서 알게 하고, Notification Data 필드(609)에 가상 사설망에 위치한 송신단의 호스트의 가상 사설망 주소에 대한 정보를 기록하여 수신단에서 가상 사설망의 주소를 알 수 있게 한다.In the present invention, whether or not to use network address translation (NAT) by inserting a field indicating whether next data uses network address translation (NAT) in the Notify Message Type field 607 of each field of the notification payload described above. The receiving end is informed, and the information on the virtual private network address of the host of the transmitting end located in the virtual private network is recorded in the notification data field 609 so that the receiving end can know the address of the virtual private network.
상기한 통지 페이로드는 보호연관의 성립 중에 또는 보호연관의 성립 후에 전송되는 것이 가능하다.The notification payload described above may be transmitted during the establishment of the protection association or after the establishment of the protection association.
상기한 데이터들은 수신단의 보호연관 데이터 저장부(404) 및 가상사설망 어드레스 데이터 저장부(401)에 저장되며 상기 데이터들은 컴퓨터가 읽을 수 있는 코드로 구현이 되며. 상기 코드를 저장하는 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피 디스크, 광데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.The data are stored in the protection-associated data storage unit 404 and the virtual private network address data storage unit 401 of the receiving end, and the data are implemented as computer readable codes. The computer readable recording medium storing the code includes all kinds of recording devices in which data that can be read by a computer system is stored. Examples of computer-readable recording media include ROM, RAM, CD-ROM, magnetic tape, floppy disk, optical data storage, and the like, and may also be implemented in the form of a carrier wave (for example, transmission over the Internet). Include. The computer readable recording medium can also be distributed over network coupled computer systems so that the computer readable code is stored and executed in a distributed fashion.
이렇게 보호연관 데이터 저장부(404)에는 보호연관을 성립하면서 송수신된 보호연관에 필요한 데이터와 보호연관을 성립하면서 또는 보호연관을 성립한 후에 전송된 통지 페이로드의 각 필드의 데이터가 저장되며, 보호연관을 성립하면서 또는 보호연관을 성립한 후에 전송된 가상 사설망의 주소 정보는 가상 사설망 어드레스 데이터 저장부(401)에 저장된다.In this way, the protection association data storage unit 404 stores the data necessary for the protection association transmitted and received while establishing the protection association and the data of each field of the notification payload transmitted after establishing the protection association or after establishing the protection association. The address information of the virtual private network transmitted while establishing the association or after establishing the protection association is stored in the virtual private network address data storage 401.
인증부(403)는 데이터 패킷이 수신되기 시작하면 상기 데이터 패킷이 네트워크 어드레스 변환(NAT)을 이용하였는지 여부를 보호연관 데이터 저장부(404)에 저장된 네트워크 어드레스 변환(NAT)을 이용하였는지 여부를 나타내는 데이터를 참조하여 판단한다.When the data packet starts to be received, the authentication unit 403 indicates whether the data packet uses network address translation (NAT) or not, using whether network address translation (NAT) stored in the protection association data storage unit 404 is used. Judging by referencing the data.
네트워크 어드레스 변환(NAT)을 이용하지 않은 경우에는 수신된 데이터만을 이용하여 인증 알고리즘을 사용하여 통합 인증값인 ICV(Integrity Check value)를 계산하여 수신된 데이터 패킷에 기록된 ICV와 비교하여 인증을 행하고, 네트워크 어드레스 변환(NAT)을 이용한 경우에는 어드레스 변환부(402)로부터 송신단의 공인 어드레스를 가상 사설망의 어드레스로 변환한 값을 수신된 데이터 패킷의 어드레스 필드에 기록된 값에 대치하여 놓고 인증 알고리즘을 이용하여 ICV를 계산한다.If network address translation (NAT) is not used, authentication is performed using only the received data to calculate the ICV (Integrity Check value), which is an integrated authentication value, and compared with the ICV recorded in the received data packet. When the network address translation (NAT) is used, the authentication algorithm is replaced by replacing the value obtained by converting the public address of the transmitter from the address conversion unit 402 to the address of the virtual private network to the value recorded in the address field of the received data packet. Calculate the ICV.
이때, 인증 알고리즘은 일반적으로 MD5를 이용하며, 수신단과 송신단 사이에 보호연관(SA)을 성립하면서 별도의 합의가 있는 경우에는 합의된 인증 알고리즘을이용하여 인증 작업을 수행하는 것도 가능하다.At this time, the authentication algorithm generally uses MD5, and if there is a separate agreement while establishing a protection association (SA) between the receiving end and the transmitting end, it is also possible to perform authentication work using the agreed authentication algorithm.
어드레스 변환부(402)는 수신된 데이터를 받아 데이터 패킷에 기록되어 있는 IP 어드레스와 포트번호 등의 어드레스 정보를 가상 사설망 어드레스 데이터 저장부(401)에 저장되어 있는 가상 사설망 어드레스 정보로 변환하고, 인증부(403)으로부터 요청이 있는 경우 상기 변환된 어드레스 정보를 인증부에 알려준다.The address conversion unit 402 receives the received data and converts address information such as an IP address and a port number recorded in the data packet into virtual private network address information stored in the virtual private network address data storage unit 401, and authenticates the authentication. Upon request from the unit 403, the converted address information is informed to the authentication unit.
도 5는 본 발명에서의 데이터 수신 방법을 도시한 흐름도이다.5 is a flowchart illustrating a data receiving method according to the present invention.
IPsec의 보안 프로토콜을 이용하기 위해서는 먼저 수신단과 송신단 사이에 보호연관(Security Association: SA)을 성립해야 한다(501). 상기 보호연관 성립과정 중에는 통지 페이로드(Notification Payload)를 수신하는 과정도 포함된다. 상기 통지 페이로드의 전송은 보호연관의 성립과정 또는 보호연관의 성립 후 모두 가능하지만, 본 실시예에서는 보호연관의 성립과정에 통지 페이로드도 전송되는 것으로 한다.In order to use the IPsec security protocol, a security association (SA) must first be established between the receiving end and the transmitting end (501). The protection association establishment process includes receiving a notification payload. The notification payload may be transmitted after the establishment of the protection association or after the establishment of the protection association. In this embodiment, the notification payload is also transmitted during the establishment of the protection association.
통지 페이로드를 수신하면 보호연관 데이터 저장부(404)에는 다음에 올 데이터 패킷이 네트워크 어드레스 변환(NAT)을 이용하는지 여부가 저장되며, 가상 사설망 어드레스 데이터 저장부(401)에는 송신단의 가상 사설망 어드레스 정보가 저장된다.Upon receiving the notification payload, the protection-associated data storage unit 404 stores whether the next data packet uses network address translation (NAT), and the virtual private network address data storage unit 401 stores the virtual private network address of the transmitting end. The information is stored.
데이터 패킷이 수신되면(502), 인증부(403)는 네트워크 어드레스 변환(NAT)이 이용되었는지를 확인하고(503), 네트워크 어드레스 변환(NAT)이 이용된 경우에는 인증부(403)는 어드레스 변환부(402)로부터 수신된 데이터 패킷에 기록된 공인 IP 어드레스 및 포트 번호를 가상 사설망의 IP 어드레스 및 포트번호를 받아 이를공인 IP 어드레스 및 포트 번호를 대체(504)하여 기록한 뒤 MD5와 같은 인증 알고리즘을 이용하여 ICV를 계산한다(505).When the data packet is received (502), the authentication unit 403 confirms whether network address translation (NAT) is used (503), and if network address translation (NAT) is used, the authentication unit 403 converts the address. The public IP address and port number recorded in the data packet received from the unit 402 are obtained by replacing the public IP address and port number with the public IP address and port number (504) and recording an authentication algorithm such as MD5. The ICV is calculated using the 505.
한편, 수신된 데이터 패킷이 네트워크 어드레스 변환(NAT)을 이용하지 않은 경우에는 어드레스 정보를 변환하지 않고 공인 어드레스 정보를 이용하여 인증작업을 수행하여 ICV를 계산한다(505).On the other hand, if the received data packet does not use network address translation (NAT), the ICV is calculated by performing authentication operation using the public address information without converting the address information (505).
계산된 ICV가 데이터 패킷에 기록되어 있는 ICV값과 일치하는지를 비교하여(506) 일치하는 경우에는 수신된 데이터 패킷을 수락하고(507), 일치하지 않는 경우에는 수신된 데이터 패킷을 폐기한다(508).The calculated ICV is compared with the ICV value recorded in the data packet (506), and if it matches, the received data packet is accepted (507). If it does not match, the received data packet is discarded (508). .
본 발명의 상기 방법은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피 디스크, 광데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.The method of the present invention can also be embodied as computer readable code on a computer readable recording medium. The computer-readable recording medium includes all kinds of recording devices in which data that can be read by a computer system is stored. Examples of computer-readable recording media include ROM, RAM, CD-ROM, magnetic tape, floppy disk, optical data storage, and the like, and may also be implemented in the form of a carrier wave (for example, transmission over the Internet). Include. The computer readable recording medium can also be distributed over network coupled computer systems so that the computer readable code is stored and executed in a distributed fashion.
상기한 바와 같이 본 발명의 가상 사설망으로부터 데이터 패킷을 수신하는 장치 및 방법에 따르면 네트워크 어드레스 변환(NAT)을 이용하면서도 IPsec의 보안프로토콜이 인증헤더(AH)를 사용할 수 있는 장점이 있다.As described above, according to the apparatus and method for receiving a data packet from the virtual private network of the present invention, an IPsec security protocol can use an authentication header (AH) while using network address translation (NAT).
Claims (15)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020020002530A KR20030062106A (en) | 2002-01-16 | 2002-01-16 | Method for receiving data packet from virtual private network and apparatus thereof |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020020002530A KR20030062106A (en) | 2002-01-16 | 2002-01-16 | Method for receiving data packet from virtual private network and apparatus thereof |
Publications (1)
Publication Number | Publication Date |
---|---|
KR20030062106A true KR20030062106A (en) | 2003-07-23 |
Family
ID=32218248
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020020002530A KR20030062106A (en) | 2002-01-16 | 2002-01-16 | Method for receiving data packet from virtual private network and apparatus thereof |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR20030062106A (en) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102202108A (en) * | 2011-06-15 | 2011-09-28 | 中兴通讯股份有限公司 | Method, device and system for realizing NAT (network address translation) traverse of IPSEC (Internet protocol security) in AH (authentication header) mode |
KR20130025933A (en) * | 2013-02-04 | 2013-03-12 | 유디비 주식회사 | System, apparatus and method for multimedia medical data diagnosis using persnal health record |
CN104980405A (en) * | 2014-04-10 | 2015-10-14 | 中兴通讯股份有限公司 | Method and device for performing authentication header (AH) authentication on NAT (Network Address Translation)-traversal IPSEC (Internet Protocol Security) message |
KR101628094B1 (en) * | 2014-12-18 | 2016-06-08 | 주식회사 시큐아이 | Security apparatus and method for permitting access thereof |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH10247946A (en) * | 1997-03-03 | 1998-09-14 | Nippon Telegr & Teleph Corp <Ntt> | Network connection system, method and name server |
KR19990006261A (en) * | 1997-06-12 | 1999-01-25 | 알렌 알. 마이클 | Virtual Private Network Architecture |
JP2000134252A (en) * | 1998-10-22 | 2000-05-12 | Yasufumi Mase | Data rewrite method for address conversion table |
KR20010087322A (en) * | 2000-03-03 | 2001-09-15 | 추후제출 | Network address translation gateway for local area networks using local ip addresses and non-translatable port addresses |
-
2002
- 2002-01-16 KR KR1020020002530A patent/KR20030062106A/en active IP Right Grant
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH10247946A (en) * | 1997-03-03 | 1998-09-14 | Nippon Telegr & Teleph Corp <Ntt> | Network connection system, method and name server |
KR19990006261A (en) * | 1997-06-12 | 1999-01-25 | 알렌 알. 마이클 | Virtual Private Network Architecture |
JP2000134252A (en) * | 1998-10-22 | 2000-05-12 | Yasufumi Mase | Data rewrite method for address conversion table |
KR20010087322A (en) * | 2000-03-03 | 2001-09-15 | 추후제출 | Network address translation gateway for local area networks using local ip addresses and non-translatable port addresses |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102202108A (en) * | 2011-06-15 | 2011-09-28 | 中兴通讯股份有限公司 | Method, device and system for realizing NAT (network address translation) traverse of IPSEC (Internet protocol security) in AH (authentication header) mode |
WO2012171379A1 (en) * | 2011-06-15 | 2012-12-20 | 中兴通讯股份有限公司 | Method, device and system for nat traversal of ipsec in ah mode |
KR20130025933A (en) * | 2013-02-04 | 2013-03-12 | 유디비 주식회사 | System, apparatus and method for multimedia medical data diagnosis using persnal health record |
CN104980405A (en) * | 2014-04-10 | 2015-10-14 | 中兴通讯股份有限公司 | Method and device for performing authentication header (AH) authentication on NAT (Network Address Translation)-traversal IPSEC (Internet Protocol Security) message |
KR101628094B1 (en) * | 2014-12-18 | 2016-06-08 | 주식회사 시큐아이 | Security apparatus and method for permitting access thereof |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9667594B2 (en) | Maintaining network address translations | |
US6353891B1 (en) | Control channel security for realm specific internet protocol | |
US6795917B1 (en) | Method for packet authentication in the presence of network address translations and protocol conversions | |
US20060253701A1 (en) | Method for providing end-to-end security service in communication network using network address translation-protocol translation | |
KR100814400B1 (en) | apparatus and method of security communication in IPv4/IPv6 coordination network system | |
JP2009111437A (en) | Network system | |
KR100479261B1 (en) | Data transmitting method on network address translation and apparatus therefor | |
Tuexen et al. | UDP encapsulation of Stream Control Transmission Protocol (SCTP) packets for end-host to end-host communication | |
KR20030062106A (en) | Method for receiving data packet from virtual private network and apparatus thereof | |
Bittau et al. | TCP-ENO: Encryption negotiation option | |
KR100450774B1 (en) | Method for end-to-end private information transmition using IPSec in NAT-based private network and security service using its method | |
Handley et al. | Internet Engineering Task Force (IETF) A. Bittau Request for Comments: 8547 Google Category: Experimental D. Giffin | |
JP2006033350A (en) | Proxy secure router apparatus and program | |
Tuexen et al. | RFC 6951: UDP Encapsulation of Stream Control Transmission Protocol (SCTP) Packets for End-Host to End-Host Communication |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E701 | Decision to grant or registration of patent right | ||
NORF | Unpaid initial registration fee |