KR20040028329A - Method for supplying discriminative services in VPN - Google Patents

Method for supplying discriminative services in VPN Download PDF

Info

Publication number
KR20040028329A
KR20040028329A KR1020020059481A KR20020059481A KR20040028329A KR 20040028329 A KR20040028329 A KR 20040028329A KR 1020020059481 A KR1020020059481 A KR 1020020059481A KR 20020059481 A KR20020059481 A KR 20020059481A KR 20040028329 A KR20040028329 A KR 20040028329A
Authority
KR
South Korea
Prior art keywords
gateway
payload
service
client
private network
Prior art date
Application number
KR1020020059481A
Other languages
Korean (ko)
Inventor
임형묵
이경근
김이한
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020020059481A priority Critical patent/KR20040028329A/en
Publication of KR20040028329A publication Critical patent/KR20040028329A/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0485Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/22Traffic shaping
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/23Bit dropping

Abstract

PURPOSE: A method for processing a VPN(Virtual Private Network) service supplying a differentiated service is provided to negotiate attributes related to service ranks as well as key and authentication algorithm, and to extract service rank values to set the extracted service rank values in a DSCP(Differential Service Code Point) field of an IP header. CONSTITUTION: When IKE(Internet Key Exchange) SA(Security Association) negotiation and key generation functions are carried out to form a tunnel between a client and a gateway or between VPN gateways, a system forms a tunnel through reciprocal authentication, SA negotiation, and key regeneration procedures(S200-S204). If the tunnel is generated by an SA setup, the system extracts values related to service ranks during the SA negotiation procedure, and sets the extracted values in a DSCP field of an IP header(S205). The system measures resources of an inputted packet according to the set DSCP field values, shapes or droops the packet, and transmits the packet to a destination(S206-S208).

Description

차별화 서비스를 제공하는 가상 사설망 서비스 처리 방법 {Method for supplying discriminative services in VPN}How to handle virtual private network services that provide differentiated services {Method for supplying discriminative services in VPN}

본 발명은 가상 사설망(VPN : Virtual Private Network) 서비스 처리 방법에 관한 것으로서, 특히, IPSec 가상 사설망 사용자에게 서비스 등급에 따라 차별화된 서비스를 제공할 수 있는 가상 사설망 서비스 처리 방법에 관한 것이다.The present invention relates to a virtual private network (VPN) service processing method, and more particularly, to a virtual private network service processing method capable of providing differentiated services according to service grades to IPSec virtual private network users.

일반적으로, 가상 사설망에서는 IPSec 프로토콜을 사용하여 보안 서비스를 많이 제공하고 있다. 이러한 IPSec 프로토콜은 IP 보안 구조, 인터넷 키 교환(IKE : Internet Key Exchange), IP 인증 헤더(AH : Authentication Header) 및 IP 요약 보안 페이로드(ESP : Encapsulation Security Payload) 등으로 구성되는데, AH와 ESP 프로토콜은 인증, 무결성 및 비밀성 서비스를 제공한다.In general, virtual private networks use the IPSec protocol to provide many security services. The IPSec protocol consists of IP security structure, Internet Key Exchange (IKE), Authentication Header (AH) and IP Encapsulation Security Payload (ESP). Provides authentication, integrity and confidentiality services.

이러한 보호 메커니즘의 구성(AH, ESP)은 전송자와 수신자간에 키, 인증 알고리즘, 암호 알고리즘 및 이러한 알고리즘에 필요한 부가적인 파라미터 집합들에 대한 협의가 필요하다. 여기서, 키, 인증 알고리즘 등은 이들 각각을 보호 속성이라 하며, 이러한 보호 속성들의 집합을 보호 연관(SA : Security Association)이라 한다. 이하, 보호 연관을 SA라 칭한다.The construction of these protection mechanisms (AH, ESP) requires negotiation between the sender and the receiver about the keys, authentication algorithms, cryptographic algorithms and additional parameter sets required for these algorithms. Here, keys, authentication algorithms, etc., each of them is called a protection attribute, and such a set of protection attributes is called a security association (SA). Hereinafter, the protection association is called SA.

현재, SA를 협의할 때 서비스 등급에 대한 속성이 없으므로, IPSec 가상 사설망은 모든 패킷을 동일하게 전달하는 베스트 에포트(Best Effort) 서비스만을 제공하여 가입자 서비스 등급에 따른 차별화 서비스에 대한 요구 사항을 보장하지 못하고 있다.Currently, there is no attribute of service class when negotiating SA, so IPSec virtual private network only provides Best Effort service that delivers all packets equally to guarantee the requirement for differentiated service according to subscriber service class. I can't.

따라서, 가입자에게 IPSec 데이터가 가입자 서비스 등급에 따라 차별화 서비스를 보장할 수 있는 가상 사설망 서비스가 절실히 요청되고 있는 실정이다.Therefore, a virtual private network service is urgently required for subscribers to guarantee differentiated services according to subscriber service grades of IPSec data.

본 발명은 종래의 문제점을 해결하기 위하여 안출된 것으로, IPSec 가상 사설망 서비스를 제공받은 가입자에게 QoS(Quality of Service)를 보장하고, 차별화된 서비스를 제공하기 위하여 IKE 및 IPSec SA 협의시, 키 및 인증 알고리즘뿐만 아니라 서비스 등급에 관련된 속성도 협의하며, 서비스 등급값을 추출하여 IP 헤더의 DSCP 필드에 설정하여 전달함으로써, IPSec 가상 사설망 가입자에게 차별화 서비스를 제공하는 것을 목적으로 한다.SUMMARY OF THE INVENTION The present invention has been made to solve the problems of the prior art, and guarantees the Quality of Service (QoS) to subscribers provided with IPSec virtual private network service, and provides a differentiated service when discussing IKE and IPSec SA. It discusses not only algorithms but also attributes related to service class, and aims to provide differentiated services to IPSec virtual private network subscribers by extracting service class values and setting them in the DSCP field of the IP header.

도 1은 본 발명이 적용되는 가상 사설망의 구성도이고,1 is a configuration diagram of a virtual private network to which the present invention is applied;

도 2는 본 발명의 일 실시예에 따른 가상 사설망에서의 전체적인 서비스 처리 동작의 개요를 나타낸 흐름도이고,2 is a flowchart illustrating an overall service processing operation in a virtual private network according to an embodiment of the present invention;

도 3은 본 발명의 일 실시예에 따른 가상 사설망 서비스 처리를 위하여 메인 모드에 따라 클라이언트/게이트웨이와 게이트웨이 간에 IKE SA 협상, 키 생성 및 상호 인증하는 과정을 보다 상세히 보여 주는 흐름도이고,3 is a flowchart illustrating a process of IKE SA negotiation, key generation, and mutual authentication between a client / gateway and a gateway according to a main mode for processing a virtual private network service according to an embodiment of the present invention;

도 4는 본 발명에 적용되는 메인 모드 SA 메시지의 구조도이고,4 is a structural diagram of a main mode SA message according to the present invention;

도 5는 본 발명의 일 실시예에 따른 가상 사설망 서비스 처리를 위하여 메인 모드 또는 어그레시브 모드를 사용하여 SA 협상 및 키 교환을 통하여 IKE 키를 생성하면, 퀵 모드를 사용하여 IPSec 보안 서비스를 위한 사항을 협상하고 키를 재생성하는 과정을 나타낸 흐름도이고,5 is a diagram illustrating an IPSec security service using a quick mode when an IKE key is generated through SA negotiation and key exchange using a main mode or an aggressive mode for processing a virtual private network service according to an embodiment of the present invention. Is a flow chart showing the process of negotiating and regenerating keys,

도 6은 본 발명에 적용되는 퀵 모드 SA 메시지의 구조도이다.6 is a structural diagram of a quick mode SA message applied to the present invention.

본 발명에 따르면, IPSec를 탑재하지 아니한 클라이언트, IPSec를 탑재한 클라이언트, 가상 사설망(VPN : Virtual Private Network) 게이트웨이 및 인트라넷 서버를 포함하여 구성된 가상 사설망 서비스 처리 방법에 있어서, 상기 가상 사설망 게이트웨이간 또는 상기 IPSec를 탑재한 클라이언트와 상기 게이트웨이간 IPSec 터널을 형성하기 위하여 인터넷 키 교환(IKE : Internet Key Exchange) 보호 연관(SA : Security Association) 협상 및 키 생성이 이루어지면, 상기 클라이언트와 게이트웨이간 또는 상기 게이트웨이와 게이트웨이간 상호 인증 및 IPSec SA 협상과 키 재생성을 통하여 터널을 형성시키는 단계; 상기 SA 설정이 이루어져 터널이 생성되면, 상기 SA 협상 과정에서 서비스 등급과 관련된 값을 추출하여 IP 헤더의 DSCP(DiffServ. Code Point) 필드에 설정하는 단계; 및 상기 입력된 패킷이 소비하는 자원을 측정하여 트래픽 쉐이핑(Shaping) 또는 드라핑(Drooping)함으로써, 패킷을 목적지까지 전달하는 단계; 를 포함하는 것을 특징으로 하는 차별화된 서비스를 제공하는 가상 사설망 서비스 처리 방법을 제공한다.According to the present invention, a virtual private network service processing method comprising a client not equipped with IPSec, a client equipped with IPSec, a virtual private network (VPN) gateway, and an intranet server, wherein the virtual private network gateways or the When the IKE (Internet Key Exchange) protection association (SA) negotiation and key generation are performed to form an IPSec tunnel between the client and the gateway equipped with IPSec, the client and the gateway or the gateway Establishing a tunnel through mutual authentication between gateways and IPSec SA negotiation and key regeneration; When the SA is configured and the tunnel is generated, extracting a value related to a service level during the SA negotiation and setting the value in a DiffServ. Code Point (DSCP) field of an IP header; Measuring the resources consumed by the input packet and shaping or dropping the traffic, thereby delivering the packet to a destination; It provides a virtual private network service processing method for providing a differentiated service comprising a.

이하, 첨부된 도면을 참조하여 본 발명의 일 실시예에 따른 차별화 서비스를 제공하는 가상 사설망 서비스 처리 방법에 대하여 설명한다. 후술하는 발명의 상세한 설명을 통하여 본 발명의 장점 또는 특징이 보다 명확하게 이해될 수 있을 것이며, 발명의 설명에 있어서 본 발명의 요지와 직접 관련되지 아니한 공지 기술에 대한 상세한 설명은 생략하도록 한다.Hereinafter, a virtual private network service processing method for providing a differentiated service according to an embodiment of the present invention will be described with reference to the accompanying drawings. Advantages or features of the present invention will be more clearly understood through the following detailed description, and detailed descriptions of well-known techniques not directly related to the gist of the present invention will be omitted in the description of the present invention.

도 1은 본 발명이 적용되는 가상 사설망의 구성도이다.1 is a configuration diagram of a virtual private network to which the present invention is applied.

도 1에 도시된 바와 같이, 본 발명에 적용되는 가상 사설망은 IPSec 소프트웨어를 탑재하지 아니한 클라이언트(111)가 가상 사설망 게이트웨이(113)와 상대방의 가상 사설망 게이트웨이(114) 간에 터널 모드(Tunnel Mode)로 터널을 생성하여 인트라 넷(115)에 접근하거나, IPSec 소프트웨어를 탑재한 클라이언트(112)와 상기 가상 사설망 게이트웨이(114) 간에 트랜스포트 모드(Transport Mode)로 터널을 생성하여 상기 인트라 넷(115)에 접근함으로써, 가상 사설망 서비스를 제공하게 된다.As shown in FIG. 1, in the virtual private network applied to the present invention, a client 111 without IPSec software is installed in a tunnel mode between the virtual private network gateway 113 and the counterpart's virtual private network gateway 114. Create a tunnel to access the intranet 115, or create a tunnel in the transport mode between the client 112 equipped with IPSec software and the virtual private network gateway 114 in the intranet 115. By accessing it, it provides a virtual private network service.

도 2는 본 발명의 일 실시예에 따른 가상 사설망에서의 전체적인 서비스 처리 동작의 개요를 나타낸 흐름도로서, 이를 상세히 설명하면, 다음과 같다.2 is a flowchart illustrating an overall service processing operation in a virtual private network according to an embodiment of the present invention, which will be described in detail as follows.

먼저, 스텝 S200에서, IPSec 가상 사설망에서 차별화 서비스를 제공받기 위하여 IKE의 메인 모드(Main Mode)를 이용하여 클라이언트/게이트웨이(112, 113)가 상대방 게이트웨이(114)에게 암호화 알고리즘, 해쉬 알고리즘, 인증 방법, 디피헬만(Diffie - Hellman)의 키 분배에 대한 정보 및 가입자의 서비스 등급 정보 등을 보내면, 상기 상대방 게이트웨이(114)는 제시한 정보 중에서 필요한 것을 선택하고, 선택된 SA를 상기 클라이언트/게이트웨이(112, 113)에게 보냄으로써, 상기 클라이언트/게이트웨이(112, 113)와 상대방 게이트웨이(114) 간에 IKE SA 협상을 시작한다.First, in step S200, in order to provide a differentiated service in the IPSec virtual private network, the client / gateways 112 and 113 use the main mode of IKE to send an encryption algorithm, a hash algorithm, and an authentication method to the counterpart gateway 114. When the Diffie-Hellman sends information on key distribution and subscriber's service class information, the counterpart gateway 114 selects the necessary information from the presented information and selects the selected SA from the client / gateway 112. 113, to initiate IKE SA negotiation between the client / gateway 112, 113 and the other gateway 114.

이어서, 스텝 S201에서, 상기 IKE SA 협상이 이루어지면, 상기 클라이언트/게이트웨이(112, 113)와 상대방 게이트웨이(114)는 디피헬만의 공개값과 무작위 수인 난수를 서로 송수신함으로써, 서로의 키를 생성한 후, 스텝 S202에서, 상기 클라이언트/게이트웨이(112, 113)와 상대방 게이트웨이(114)의 키가 생성되면, ID 값과 서명한 값을 서로 송수신함으로써, 상호 인증을 수행한다.Subsequently, in step S201, when the IKE SA negotiation is made, the client / gateways 112 and 113 and the counterpart gateway 114 transmit and receive each other's public value and a random number which is a random number, thereby generating a key to each other. Then, in step S202, when the keys of the client / gateways 112 and 113 and the counterpart gateway 114 are generated, mutual authentication is performed by transmitting and receiving the ID value and the signed value to each other.

그리고, 스텝 S203에서, 상기 클라이언트/게이트웨이(112, 113)와 상대방 게이트웨이(114) 간에 상호 인증이 되면, IKE의 퀵 모드(Quick Mode)를 이용하여 상기 클라이언트/게이트웨이(112, 113)와 상대방 게이트웨이(114) 간에 IPSec SA 협상 및 키를 재생성한 후, 스텝 S204에서, 터널을 생성한다.In step S203, when mutual authentication is performed between the client / gateway 112 and 113 and the counterpart gateway 114, the client / gateway 112 and 113 and the counterpart gateway are connected using a quick mode of IKE. After regenerating the IPSec SA negotiation and key between 114, in step S204, a tunnel is created.

이어서, 스텝 S205에서, 차별화 서비스를 제공하기 위하여 SA 협상 과정에서 추출한 가입자의 서비스 등급값을 적절한 DSCP(Diff. Serv Code Point) 필드에 설정하고, 스텝 S206에서, 들어오는 트래픽을 감시하여 적절한지 여부를 감시한다.Subsequently, in step S205, the service class value of the subscriber extracted in the SA negotiation process is set in an appropriate Diff.Serv Code Point (DSCP) field in order to provide a differentiation service, and in step S206, the incoming traffic is monitored to determine whether it is appropriate. Watch.

이때, 플로우 레이트(Flow Rate)와 버스트 사이즈(Burst Size)를 측정하여 입력되는 패킷이 소비하는 자원을 가지고 있는지를 비교하여 트래픽 프로파일에 따라 스트림을 보내기 위하여 버스트(Burst) 데이터를 포함하고 있느지 여부를 판단한다.At this time, the flow rate and burst size are measured to compare whether the input packet has resources consumed and whether or not the burst data is included in order to send the stream according to the traffic profile. Judge.

상기 스텝 S206에서의 판단 결과, 버스트 데이터를 포함하고 있으면, 스텝 S207에서, 처리 속도를 느리게 하는 쉐이핑(Shaping) 기능을 수행하거나, 플로우가 설정된 레이트나 한계값을 넘어설 때, 상기 게이트웨이(113)에서 플로우 중 하나 이상의 패킷을 버리는 드라핑(Droppiong) 기능을 수행한 후, 스텝 S208에서, IPSec 패킷을 상기 상대방 게이트웨이(114)에게 전송함으로써, 가상 사설망 가입자에게 차별화 서비스를 제공한다.As a result of the determination in step S206, when the burst data is included, the gateway 113 performs a shaping function to slow down the processing speed in step S207, or when the flow exceeds a set rate or threshold value. After performing a dropping function of discarding one or more packets of the flow in step S208, an IPSec packet is transmitted to the counterpart gateway 114 to provide a differentiated service to the virtual private network subscriber.

한편, 상기 스텝 S206에서의 판단 결과, 버스트 데이터를 포함하고 있지 아니하면, 상기 스텝 S208로 진행한다.On the other hand, if the burst data is not included as a result of the determination in step S206, the flow proceeds to step S208.

도 3은 본 발명의 일 실시예에 따른 가상 사설망 서비스 처리를 위하여 메인 모드에 따라 클라이언트/게이트웨이(112, 113)와 게이트웨이(114) 간에 IKE SA 협상, 키 생성 및 상호 인증하는 과정을 보다 상세히 보여 주는 흐름도로서, 이를 설명하면, 다음과 같다.Figure 3 shows in more detail the process of IKE SA negotiation, key generation and mutual authentication between the client / gateway (112, 113) and the gateway 114 in the main mode for processing the virtual private network service according to an embodiment of the present invention Note is a flow chart, which will be described below.

먼저, 스텝 S300에서, IKE SA 협상, 키 생성 및 상호 인증을 수행하기 위하여, 상기 클라이언트/게이트웨이(112, 113)와 상대방 게이트웨이(114) 간에 6 개의 메시지(3 개의 요청/응답 쌍)를 주고 받는다.First, in step S300, six messages (three request / response pairs) are exchanged between the client / gateway 112 and 113 and the counterpart gateway 114 in order to perform IKE SA negotiation, key generation, and mutual authentication. .

이어서, 스텝 S301에서, 상기 6 개의 메시지 중 첫 번째 쌍을 이용하는 바, 통신을 시작하는 상기 클라이언트/게이트웨이(114)는 암호화 알고리즘, 해쉬 알고리즘, 인증 방법 및 디피헬만의 키 분배에 대한 정보 및 가입자의 서비스 등급 정보 등을 보내면, 상기 상대방 게이트웨이(114)는 입력받은 정보 중에서 적절한 것을 선택하고, 선택된 SA를 상기 클라이언트/게이트웨이(112, 113)에게 전송한다.Subsequently, in step S301, using the first pair of the six messages, the client / gateway 114 initiating communication is informed about the encryption algorithm, the hash algorithm, the authentication method, and the Diffelman's key distribution and the subscriber's information. When the service grade information is sent, the counterpart gateway 114 selects an appropriate one from the received information and transmits the selected SA to the client / gateways 112 and 113.

한편, 상기 SA 메시지는 IETF(Internet Engineering Task Force)에서 제정한 표준 문서인 RFC(Request For Comments) 2409 규격을 따르고, 본 발명에 따른 차별화된 서비스를 제공하기 위하여 SA 메시지의 변환 페이로드의 예약 필드에 가입자 서비스 등급값을 IP 헤더의 DSCP 필드에 설정하여 사용한다.Meanwhile, the SA message conforms to the Request For Comments (RFC) 2409 standard, which is a standard document established by the Internet Engineering Task Force (IETF), and is a reserved field of the conversion payload of the SA message in order to provide a differentiated service according to the present invention. The subscriber service class value is set in the DSCP field of the IP header.

그리고, 스텝 S302 및 스텝 S303에서, 상기 6 개의 메시지 중 두 번째 쌍을 이용하는 바, 상기 클라이언트/게이트웨이(112, 113)와 상대방 게이트웨이(114)는 디피헬만의 공개값과 무작위 수인 난수를 생성하여 서로 송수신한다.In step S302 and step S303, the second pair of the six messages is used, and the client / gateways 112 and 113 and the counterpart gateway 114 generate a random number which is a Diffhelman's public value and a random number to each other. Send and receive

마지막으로, 스텝 S304 및 스텝 S305에서, 상기 6 개의 메시지 중 세 번째 쌍을 이용하는 바, 상기 클라이언트/게이트웨이(112, 113)와 상대방 게이트웨이(114)는 ID 값과 서명한 값을 서로 송수신함으로써, 상호 인증 기능을 수행한다.Finally, in step S304 and step S305, using the third pair of the six messages, the client / gateway 112 and 113 and the counterpart gateway 114 transmit and receive an ID value and a signed value to each other. Perform the authentication function.

한편, 본 실시예에서는 설명의 편의를 위하여 메인 모드인 경우만을 설명했지만, 메인 모드의 동일 SA 메시지 형식을 따르는 어그레시브 모드(Aggressive Mode)에서도 적용된다.In the present embodiment, only the case of the main mode is described for convenience of description, but the present invention is also applied to an aggressive mode following the same SA message format of the main mode.

도 4는 본 발명에 적용되는 메인 모드 SA 메시지의 구조도이다.4 is a structural diagram of a main mode SA message applied to the present invention.

도 4에 도시된 바와 같이, 본 발명의 일 실시예에 따른 SA 메시지는 메인 모드의 ISKAMP 헤더, 보안 연관 페이로드, 제안 페이로드 및 변환 페이로드로 이루어져 있다.As shown in FIG. 4, an SA message according to an embodiment of the present invention includes an ISKAMP header, a security association payload, a proposed payload, and a transform payload in a main mode.

상기 보안 연관 페이로드는 제안한 보안 연관에 관련된 SA 페이로드의 길이, 협의가 행하여지는 DOI(Domain Of Interpretation)를 식별하는 해석 도메인 및 협상이 행하여지는 상황을 지정하는 DOI 특정 필드인 상황 필드가 있다.The security association payload includes a length of the SA payload related to the proposed security association, an interpretation domain identifying a domain of interpretation (DOI) to be negotiated, and a situation field which is a DOI specific field specifying a situation in which negotiation is to be performed.

상기 제안 페이로드는 제안에 관련하는 공통 페이로드 헤더 길이, 현 페이로드에 대한 제안 번호를 식별하는 제안 넘버, 현 협의에 대한 프로토콜의 식별자를 지정하는 Proto_ISAKMP, 프로토콜 ID에 의하여 정의되는 SPI(Security Parameter Index) 길이, 제안에 대한 변환의 개수를 지정하는 넘버 변환 및 송신 실체의 SPI가 있다.The proposal payload may include a common payload header length related to the proposal, a proposal number identifying a proposal number for the current payload, Proto_ISAKMP specifying an identifier of a protocol for the current negotiation, and a security parameter defined by a protocol ID. Index) length, number conversion that specifies the number of transforms for the proposal, and the SPI of the sending entity.

상기 변환 페이로드는 현 페이로드에 대한 변환 번호를 식별하는 변환 넘버, 현 제안 중 프로토콜에 대한 변환 식별자를 지정하는 변환 ID, 예약 필드 중 본 발명에 따른 차별화 서비스를 위하여 제안하는 가입자 서비스 등급인 DSCP 및 변환 ID 필드에서 주어진 변환에 대하여 정의되는 보안 연관 속성을 포함한다.The conversion payload is a conversion number for identifying a conversion number for a current payload, a conversion ID for designating a conversion identifier for a protocol among current proposals, and a DSCP which is a subscriber service class proposed for a differentiated service according to the present invention among reservation fields. And a security association attribute defined for the given transformation in the transformation ID field.

도 5는 본 발명의 일 실시예에 따른 가상 사설망 서비스 처리를 위하여 메인 모드 또는 어그레시브 모드를 사용하여 SA 협상 및 키 교환을 통하여 IKE 키를 생성하면, 퀵 모드를 사용하여 IPSec 보안 서비스를 위한 사항을 협상하고 키를 재생성하는 과정을 나타낸 흐름도이다.5 is a diagram illustrating an IPSec security service using a quick mode when an IKE key is generated through SA negotiation and key exchange using a main mode or an aggressive mode for processing a virtual private network service according to an embodiment of the present invention. A flowchart illustrating the process of negotiating and regenerating keys.

한편, IPSec SA 협상 및 키 재생성을 수행하기 위하여 상기 클라이언트/게이트웨이(112, 113)와 상대방 게이트웨이(114)는 3 개의 메시지를 주고받는다.Meanwhile, in order to perform IPSec SA negotiation and key regeneration, the client / gateways 112 and 113 and the counterpart gateway 114 exchange three messages.

먼저, 스텝 S310에서, 상기 클라이언트/게이트웨이(112, 113)는 자신의 ID, 키, 난수, 제안한 SA 및 해쉬값을 상기 상대방 게이트웨이(114)에게 전송하고, 스텝 S311에서, 상기 상대방 게이트웨이(114)는 확인을 위하여 상기 클라이언트/게이트웨이(112, 113)가 보낸 난수의 퀵 모드 해쉬값을 구하고, 자신의 난수를 만들어 선택된 SA와 키값을 상기 클라이언트/게이트웨이(112, 113)에게 전송한다. 이때, 상기 SA 메시지는 암호화 알고리즘, 해쉬 알고리즘, 인증 방법, 디피헬만의 키 분배에 대한 정보 및 본 발명에서 정의하는 가입자의 서비스 등급 정보 등을 포함한다.First, in step S310, the client / gateway 112, 113 transmits its ID, key, random number, proposed SA and hash value to the counterpart gateway 114, and in step S311, the counterpart gateway 114 Obtains the quick mode hash value of the random number sent by the client / gateway 112 and 113, generates its own random number, and transmits the selected SA and key value to the client / gateway 112 and 113. In this case, the SA message includes an encryption algorithm, a hash algorithm, an authentication method, information on the Diffelmann key distribution, and service class information of the subscriber defined in the present invention.

이어서, 스텝 S312에서, 상기 클라이언트/게이트웨이(112, 113)는 두 난수의 퀵 모드의 해쉬값을 상기 상대방 게이트웨이(114)에게 전송한다. 이에 따라 상기 클라이언트/게이트웨이(112, 113)와 상대방 게이트웨이(114)는 두 난수값을 모두 알게 되고, 두개의 난수 및 SPI를 키 관리 프로토콜인 ISAKMP(Internet Security Association and Key Management Protocol) 헤더에 포함시켜 보낸 프로토콜 값과 결합한 해쉬값을 상기 도 3에서 설명한 IKE 키를 이용하여 각자 수행함으로써, SA를 설정한다. 한편, 상기 SA 메시지는 IETF에서 제정한 표준 문서인 RFC 2409 규격을 따르고, 본 발명에 따른 차별화 서비스를 제공하기 위하여 SA 메시지의 변환 페이로드의 예약 필드에 가입자 서비스 등급값을 IP 헤더의 DSCP 필드에 설정하여 사용한다.Subsequently, in step S312, the client / gateways 112 and 113 transmit a hash value of two random numbers in the quick mode to the counterpart gateway 114. Accordingly, the client / gateway 112 and 113 and the counterpart gateway 114 know both random values, and include the two random numbers and the SPI in the Internet Security Association and Key Management Protocol (ISAKMP) header, which is a key management protocol. SA is set by performing a hash value combined with the protocol value sent using the IKE key described with reference to FIG. 3. Meanwhile, the SA message complies with the RFC 2409 standard, which is a standard document established by the IETF, and in order to provide a differentiated service according to the present invention, the subscriber service class value is added to the DSCP field of the IP header in the reserved field of the conversion payload of the SA message. Set and use.

도 6은 본 발명에 적용되는 퀵 모드 SA 메시지의 구조도이다.6 is a structural diagram of a quick mode SA message applied to the present invention.

도 6에 도시된 바와 같이, 본 발명의 일 실시예에 따른 SA 메시지는 퀵 모드의 ISAKMP 헤더, 해쉬 페이로드, 보안 연관 페이로드, 제안 페이로드, 변환 페이로드 및 암호 비트로 이루어져 있다.As shown in FIG. 6, an SA message according to an embodiment of the present invention includes an ISAKMP header, a hash payload, a security association payload, a proposed payload, a transform payload, and an encryption bit in a quick mode.

상기 해쉬 페이로드는 ISAKMP 메시지 상태에 해쉬 루틴을 적용한 결과의 데이터인 해쉬 데이터와 페이로드 길이 필드가 있다.The hash payload includes hash data and payload length fields, which are data obtained by applying a hash routine to an ISAKMP message state.

상기 보안 연관 페이로드는 제안한 보안 연관에 관련된 SA 페이로드의 길이, 협상이 행하여지는 DOI를 식별하는 해석 도메인 및 협상이 행하여지는 상황을 지정하는 DOI 특정 필드인 상황 필드가 있다.The security association payload includes a situation field which is a length of an SA payload related to the proposed security association, an interpretation domain identifying a DOI to be negotiated, and a DOI specific field specifying a situation to be negotiated.

상기 제안 페이로드는 제안에 관련하는 공통 페이로드 헤더 길이, 현 페이로드에 대한 제안 번호를 식별하는 제안 넘버, 현 협상에 대한 프로토콜의 식별자를 지정하는 Proto_ISAKMP, 프로토콜 ID에 의하여 정의되는 SPI 길이, 제안에 대한 변환의 개수를 지정하는 넘버 변환 및 송신 실체의 SPI가 있다.The proposal payload includes a common payload header length related to the proposal, a proposal number identifying a proposal number for the current payload, Proto_ISAKMP specifying an identifier of a protocol for the current negotiation, an SPI length defined by a protocol ID, and a proposal. There is a number transformation and SPI of the transmitting entity that specifies the number of transformations for.

상기 변환 페이로드는 현 페이로드에 대한 변환 번호를 식별하는 변환 넘버, 현 제안 중 프로토콜에 대한 변환 식별자를 지정하는 변환 ID, 예약 필드 중 본 발명에 따른 차별화 서비스를 위하여 제안한 가입자 서비스 등급인 DSCP 및 변환 ID 필드에서 주어진 변환에 대하여 정의되는 보안 연관 속성을 포함한다.The conversion payload may include a conversion number for identifying a conversion number for the current payload, a conversion ID for designating a conversion identifier for a protocol in the current proposal, a DSCP which is a subscriber service class proposed for a differentiated service according to the present invention among reservation fields; Contains the security association attribute defined for the given transformation in the Translation ID field.

그 밖에 전송자 실체에 의하여 생성된 랜덤 데이터, 전송자 ID 및 수신자 ID로 퀵 모드 SA 메시지를 구성한다.In addition, a quick mode SA message is composed of random data, sender ID, and receiver ID generated by the sender entity.

이상 설명한 바와 같이 본 발명에 따르면, SA 협의시, 키 및 인증 알고리즘뿐만 아니라 서비스 등급에 관련된 속성도 협의하여, IP 헤더의 DSCP 필드에 가입자 서비스 등급값을 설정하는 방법을 적용한 가상 사설망 서비스 처리 방법을 제공함으로써, 가입자에게 서비스 등급에 따라 차별화 서비스를 제공할 수 있는 효과가 있다.As described above, according to the present invention, a method for processing a virtual private network service applying a method of setting a subscriber service class value in a DSCP field of an IP header by negotiating not only key and authentication algorithm but also attributes related to service class is discussed. By providing the subscriber, there is an effect that can provide a differentiated service according to the service level.

Claims (7)

IPSec를 탑재한 클라이언트, IPSec를 탑재하지 아니한 클라이언트, 가상 사설망(VPN : Virtual Private Network) 게이트웨이 및 인트라넷 서버를 포함하여 구성된 가상 사설망 서비스 처리 방법에 있어서,In the virtual private network service processing method comprising a client with IPSec, a client without IPSec, a virtual private network (VPN) gateway and an intranet server, 상기 가상 사설망 게이트웨이간 또는 상기 IPSec를 탑재한 클라이언트와 상기 게이트웨이간 IPSec 터널을 형성하기 위하여 인터넷 키 교환(IKE : Internet Key Exchange) 보호 연관(SA : Security Association) 협상 및 키 생성이 이루어지면, 상기 클라이언트와 게이트웨이간 또는 상기 게이트웨이와 게이트웨이간 상호 인증 및 IPSec SA 협상과 키 재생성을 통하여 터널을 형성시키는 제 1 단계;When the KEY (International Key Exchange) protection association (SA) negotiation and key generation are performed to form an IPSec tunnel between the virtual private network gateway or the client equipped with the IPSec and the gateway, the client A first step of establishing a tunnel between the gateway and the gateway or the gateway and the gateway through mutual authentication and IPSec SA negotiation and key regeneration; 상기 SA 설정이 이루어져 터널이 생성되면, 상기 SA 협상 과정에서 서비스 등급과 관련된 값을 추출하여 IP 헤더의 DSCP(DiffServ. Code Point) 필드에 설정하는 제 2 단계; 및A second step of, when the SA is configured and the tunnel is generated, extracting a value related to a service level in the SA negotiation process and setting the value in a DiffServ. Code Point (DSCP) field of an IP header; And 상기 설정된 DSCP 필드값에 따라 상기 입력된 패킷이 소비하는 자원을 측정하여 트래픽 쉐이핑(Shaping) 또는 드라핑(Drooping)함으로써, 패킷을 목적지까지 전달하는 제 3 단계;A third step of delivering a packet to a destination by shaping or dropping the traffic consumed by the input packet according to the set DSCP field value; 를 포함하는 것을 특징으로 하는 차별화된 서비스를 제공하는 가상 사설망 서비스 처리 방법.Virtual private network service processing method for providing a differentiated service comprising a. 제 1 항에 있어서,The method of claim 1, 상기 제 1 단계는,The first step is, 상기 가상 사설망 게이트웨이간 또는 IPSec를 탑재한 클라이언트와 상기 게이트웨이간 IPSec 터널을 형성하기 위하여 IKE SA 협상 및 키 생성이 이루어질 때, 상기 클라이언트 또는 게이트웨이가 가입자의 서비스 등급 정보를 상대방 게이트웨이에게 전송하는 서브 단계; 및A sub-step of transmitting, by the client or gateway, the subscriber's service class information to the counterpart gateway when IKE SA negotiation and key generation are performed to form an IPSec tunnel between the virtual private network gateway or the client equipped with IPSec and the gateway; And 상기 가입자의 서비스 등급 정보를 전송받은 게이트웨이는 전송받은 정보 중에서 해당하는 정보를 선택하고, 선택된 SA를 상기 클라이언트/게이트웨이에게 전송하는 서브 단계;Receiving, by the gateway, the service grade information of the subscriber, selecting corresponding information from the received information, and transmitting the selected SA to the client / gateway; 를 포함하는 것을 특징으로 하는 차별화된 서비스를 제공하는 가상 사설망 서비스 처리 방법.Virtual private network service processing method for providing a differentiated service comprising a. 제 1 항 또는 제 2 항에 있어서,The method according to claim 1 or 2, 상기 IKE SA 메시지는,The IKE SA message is 제안한 보안 연관에 관련된 SA 페이로드의 길이, 협의가 행하여지는 DOI(Domain Of Interpretation)를 식별하는 해석 도메인 및 협상이 행하여지는 상황을 지정하는 DOI 특정 필드인 상황 필드를 포함하는 보안 연관 페이로드;A security association payload including a length of an SA payload related to the proposed security association, an interpretation domain identifying a domain of interpretation (DOI) to be negotiated, and a situation field, which is a DOI specific field specifying a situation in which negotiation is to be made; 제안에 관련하는 공통 페이로드 헤더 길이, 현 페이로드에 대한 제안 번호를 식별하는 제안 넘버, 현 협의에 대한 프로토콜의 식별자를 지정하는 Proto_ISAKMP, 프로토콜 ID에 의하여 정의되는 SPI(Security Parameter Index) 길이, 제안에 대한 변환의 개수를 지정하는 넘버 변환 및 송신 실체의 SPI를 포함하는 제안 페이로드; 및Common payload header length associated with the proposal, proposal number identifying the proposal number for the current payload, Proto_ISAKMP specifying the protocol identifier for the current agreement, security parameter index (SPI) length defined by the protocol ID, proposal A proposed payload comprising a number conversion and an SPI of a transmitting entity that specifies the number of transforms for the transmission entity; And 현 페이로드에 대한 변환 번호를 식별하는 변환 넘버, 현 제안 중 프로토콜에 대한 변환 식별자를 지정하는 변환 ID, 예약 필드 중 가입자 서비스 등급인 DSCP 및 변환 ID 필드에서 주어진 변환에 대하여 정의되는 보안 연관 속성을 포함하는 변환 페이로드;The security association attribute defined for the translation given in the translation number identifying the translation number for the current payload, the translation ID specifying the translation identifier for the protocol in the current proposal, the DSCP, the subscriber service class of the reservation field, and the translation ID field. A transform payload comprising; 를 포함하는 것을 특징으로 하는 차별화된 서비스를 제공하는 가상 사설망 서비스 처리 방법.Virtual private network service processing method for providing a differentiated service comprising a. 제 1 항에 있어서,The method of claim 1, 상기 제 1 단계는,The first step is, 상기 클라이언트와 게이트웨이간 또는 상기 게이트웨이와 게이트웨이간 상호 인증 및 IPSec SA 협의가 이루어질 때, 상기 클라이언트/게이트웨이가 가입자의 서비스 등급 정보를 포함한 SA 메시지를 상대방 게이트웨이에게 보내면, 상기 상대방 게이트웨이는 확인을 위하여 상기 클라이언트/게이트웨이가 보낸 난수의 퀵 모드(Quick Mode) 해쉬값을 구하고 자신의 난수를 생성하여 선택된 SA 및 키 값을 상기 클라이언트/게이트웨이에게 전송하는 것을 특징으로 하는 차별화된 서비스를 제공하는 가상 사설망 서비스 처리 방법.When mutual authentication and IPSec SA negotiation are performed between the client and the gateway or between the gateway and the gateway, when the client / gateway sends an SA message including the service class information of the subscriber to the counterpart gateway, the counterpart gateway checks the client for confirmation. A virtual private network service processing method for providing a differentiated service, comprising: obtaining a quick mode hash value of a random number sent by a gateway, generating a random number of its own, and transmitting a selected SA and key value to the client / gateway . 제 1 항 또는 제 4 항에 있어서,The method according to claim 1 or 4, 상기 IPSec SA 메시지는,The IPSec SA message is, ISAKMP 메시지 상태에 해쉬 루틴을 적용한 결과의 데이터인 해쉬 데이터 및 페이로드 길이 필드를 포함하는 해쉬 페이로드;A hash payload including a hash data and a payload length field that is data of a result of applying a hash routine to an ISAKMP message state; 제안한 보안 연관에 관련된 SA 페이로드의 길이, 협상이 행하여지는 DOI를 식별하는 해석 도메인 및 협상이 행하여지는 상황을 지정하는 DOI 특정 필드인 상황 필드를 포함하는 보안 연관 페이로드;A security association payload comprising a length of an SA payload related to the proposed security association, an interpretation domain identifying a DOI to be negotiated, and a situation field which is a DOI specific field specifying a situation to be negotiated; 제안에 관련하는 공통 페이로드 헤더 길이, 현 페이로드에 대한 제안 번호를 식별하는 제안 넘버, 현 협상에 대한 프로토콜의 식별자를 지정하는 Proto_ISAKMP, 프로토콜 ID에 의하여 정의되는 SPI 길이, 제안에 대한 변환의 개수를 지정하는 넘버 변환 및 송신 실체의 SPI 필드를 포함하는 제안 페이로드; 및Common payload header length associated with the proposal, proposal number identifying the proposal number for the current payload, Proto_ISAKMP specifying the identifier of the protocol for the current negotiation, SPI length defined by the protocol ID, number of translations for the proposal A suggestion payload comprising an SPI field of a number translation and transmission entity specifying a; And 현 페이로드에 대한 변환 번호를 식별하는 변환 넘버, 현 제안 중 프로토콜에 대한 변환 식별자를 지정하는 변환 ID, 예약 필드 중 가입자 서비스 등급인 DSCP 및 변환 ID 필드에서 주어진 변환에 대하여 정의하는 보안 연관 속성을 포함하는 변환 페이로드;The security number attribute that defines the translation number that identifies the translation number for the current payload, the translation ID that specifies the translation identifier for the protocol in the current proposal, the DSCP, the subscriber service class of the reserved fields, and the translation given for the translation ID field. A transform payload comprising; 를 포함하는 것을 특징으로 하는 차별화된 서비스를 제공하는 가상 사설망 서비스 처리 방법.Virtual private network service processing method for providing a differentiated service comprising a. 제 1 항에 있어서,The method of claim 1, 상기 제 2 단계는,The second step, IKE SA 및 IPSec SA 협상 과정에서 암호화 알고리즘, 해쉬 알고리즘, 인증 방법, 디피헬만(Diffie - Hellman)의 키 분배에 대한 정보 및 가입자 서비스 등급 정보 중 서비스 등급과 관련된 값을 추출하여 IP 헤더의 DSCP 필드에 설정하여 패킷을 전송하는 것을 특징으로 하는 차별화된 서비스를 제공하는 가상 사설망 서비스 처리 방법.During the IKE SA and IPSec SA negotiations, the service class information is extracted from the encryption algorithm, hash algorithm, authentication method, Diffie-Hellman's key distribution information, and subscriber service class information. Virtual private network service processing method for providing a differentiated service, characterized in that by setting and transmitting the packet. 제 1 항에 있어서,The method of claim 1, 상기 제 3 단계는,The third step, 입력 트래픽인 플로우 레이트(Flow Rate) 및 버스트 사이즈(Burst Size)를 측정하여 입력 패킷이 소비하는 자원을 가지고 있는지를 판단하는 서브 단계;A sub-step of determining whether an input packet has resources consumed by measuring a flow rate and a burst size, which are input traffics; 상기 판단 결과, 트래픽 프로파일에 따라 스트림을 보내기 위하여 버스트 데이터를 포함하고 있을 때, 처리 속도를 느리게 하는 쉐이핑을 수행하는 서브 단계; 및A sub-step of shaping to slow down the processing speed when the burst data is included to send a stream according to the traffic profile as a result of the determination; And 상기 판단 결과, 플로우가 설정된 레이트 또는 한계값을 초과하면, 플로우에서 하나 이상의 패킷을 버리는 드라핑 기능을 수행하는 서브 단계;Performing a dropping function of discarding one or more packets in the flow when the flow exceeds the set rate or threshold as a result of the determination; 를 포함하는 것을 특징으로 하는 차별화된 서비스를 제공하는 가상 사설망 서비스 처리 방법.Virtual private network service processing method for providing a differentiated service comprising a.
KR1020020059481A 2002-09-30 2002-09-30 Method for supplying discriminative services in VPN KR20040028329A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020020059481A KR20040028329A (en) 2002-09-30 2002-09-30 Method for supplying discriminative services in VPN

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020020059481A KR20040028329A (en) 2002-09-30 2002-09-30 Method for supplying discriminative services in VPN

Publications (1)

Publication Number Publication Date
KR20040028329A true KR20040028329A (en) 2004-04-03

Family

ID=37330545

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020020059481A KR20040028329A (en) 2002-09-30 2002-09-30 Method for supplying discriminative services in VPN

Country Status (1)

Country Link
KR (1) KR20040028329A (en)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040038168A (en) * 2002-10-31 2004-05-08 한국전자통신연구원 The method and system of internet security service by using packet marking
KR100814400B1 (en) * 2006-01-12 2008-03-18 삼성전자주식회사 apparatus and method of security communication in IPv4/IPv6 coordination network system
KR101308089B1 (en) * 2011-12-29 2013-09-12 주식회사 시큐아이 Ipsec vpn system and method for supporing high availability
KR101329968B1 (en) * 2011-12-29 2013-11-13 주식회사 시큐아이 Method and system for determining security policy among ipsec vpn devices
KR20200091692A (en) * 2019-01-23 2020-07-31 주식회사 케이티 Virtual private network survice failure recovery method and system thereof
CN114374564A (en) * 2022-01-21 2022-04-19 黄兴 Internal gateway routing link safety management system and method

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040038168A (en) * 2002-10-31 2004-05-08 한국전자통신연구원 The method and system of internet security service by using packet marking
KR100814400B1 (en) * 2006-01-12 2008-03-18 삼성전자주식회사 apparatus and method of security communication in IPv4/IPv6 coordination network system
US8266428B2 (en) 2006-01-12 2012-09-11 Samsung Electronics Co., Ltd. Secure communication system and method of IPv4/IPv6 integrated network system
KR101308089B1 (en) * 2011-12-29 2013-09-12 주식회사 시큐아이 Ipsec vpn system and method for supporing high availability
KR101329968B1 (en) * 2011-12-29 2013-11-13 주식회사 시큐아이 Method and system for determining security policy among ipsec vpn devices
KR20200091692A (en) * 2019-01-23 2020-07-31 주식회사 케이티 Virtual private network survice failure recovery method and system thereof
CN114374564A (en) * 2022-01-21 2022-04-19 黄兴 Internal gateway routing link safety management system and method
CN114374564B (en) * 2022-01-21 2024-03-15 天翼安全科技有限公司 Internal gateway routing link security management system and method

Similar Documents

Publication Publication Date Title
EP1334600B1 (en) Securing voice over ip traffic
US6965992B1 (en) Method and system for network security capable of doing stronger encryption with authorized devices
EP1705855B1 (en) Method and System for establishing a Peer-to-peer communications channel
US7346770B2 (en) Method and apparatus for traversing a translation device with a security protocol
US20010009025A1 (en) Virtual private networks
EP1374533B1 (en) Facilitating legal interception of ip connections
US7222234B2 (en) Method for key agreement for a cryptographic secure point—to—multipoint connection
WO2009082889A1 (en) A method for internet key exchange negotiation and device, system thereof
CN106169952B (en) A kind of authentication method that internet Key Management Protocol is negotiated again and device
JP2008199324A (en) Communication control charging system, communication control charging method, and communication control charging program
US20090031395A1 (en) Security system for wireless networks
US20220263811A1 (en) Methods and Systems for Internet Key Exchange Re-Authentication Optimization
US20080133915A1 (en) Communication apparatus and communication method
WO2009038260A1 (en) Security method of mobile internet protocol based server
CN105635076B (en) A kind of media transmission method and equipment
KR20040028329A (en) Method for supplying discriminative services in VPN
CN108900584B (en) Data transmission method and system for content distribution network
JPH09312642A (en) Data communication system
JP2008199497A (en) Gateway device and authentication processing method
Cisco Tunneling Protocols
CN110351308B (en) Virtual private network communication method and virtual private network device
WO2002043427A1 (en) Ipsec connections for mobile wireless terminals
Cisco Tunneling Protocols
CN113746861A (en) Data transmission encryption and decryption method and encryption and decryption system based on state encryption technology
Praptodiyono et al. Performance Analysis of Internet Key Exchange Algorithms on IPsec Security Association Initiation

Legal Events

Date Code Title Description
WITN Withdrawal due to no request for examination