KR20040046633A - METHOD FOR SECURING PAEKETS IN IPv6 LAYER - Google Patents

METHOD FOR SECURING PAEKETS IN IPv6 LAYER Download PDF

Info

Publication number
KR20040046633A
KR20040046633A KR1020020074616A KR20020074616A KR20040046633A KR 20040046633 A KR20040046633 A KR 20040046633A KR 1020020074616 A KR1020020074616 A KR 1020020074616A KR 20020074616 A KR20020074616 A KR 20020074616A KR 20040046633 A KR20040046633 A KR 20040046633A
Authority
KR
South Korea
Prior art keywords
packet
ipv6
security
header
service
Prior art date
Application number
KR1020020074616A
Other languages
Korean (ko)
Other versions
KR100522090B1 (en
Inventor
박소희
나재훈
손승원
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR10-2002-0074616A priority Critical patent/KR100522090B1/en
Publication of KR20040046633A publication Critical patent/KR20040046633A/en
Application granted granted Critical
Publication of KR100522090B1 publication Critical patent/KR100522090B1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

PURPOSE: A method for protecting a packet in an IPv6 layer is provided to execute multiple security services according to each packet in an IPv6 layer that is independently realized without influencing on an application layer service program on a next generation Internet, thereby supplying an information protection function to all next generation Internet services. CONSTITUTION: A system generates an IPv6 header and an extension header of a packet to be transmitted, and determines whether to select security services according to each packet in reference to a security policy database and a security connection database. The system identifies whether a security service kind is an AH(Authentication Header) or an ESP(Encapsulating Security Payload), and processes an IPv6 packet according to each service kind. The system generates a transport header, and carries out the step of identifying the security service kind before an IPv6 packet fragmentation function. The system repeats the step of generating the IPv6 header and the extension header and the step of generating the transport header, and supplies multiple security services.

Description

IPv6 계층에서의 패킷 보호 방법{METHOD FOR SECURING PAEKETS IN IPv6 LAYER}Packet protection method in IPv6 layer {METHOD FOR SECURING PAEKETS IN IPv6 LAYER}

본 발명은 IPv6 계층에서의 패킷(packet) 보호 방법에 관한 것으로, 특히, 차세대 인터넷(Next Generation Internet)에서 다중의 보안 서비스 제공을 위하여 IP 계층(Internet Protocol layer)에서 패킷을 보호하는 방법에 관한 것이다.The present invention relates to a packet protection method in the IPv6 layer, and more particularly, to a method for protecting a packet in the IP layer (Internet Protocol layer) to provide multiple security services in the Next Generation Internet (Next Generation Internet). .

종래에는 응용 계층(applications layer)의 서비스별로 정보를 보호하는 방법들을 사용하여 인터넷 정보를 보호하였다.Conventionally, Internet information is protected by using methods for protecting information for each service of an application layer.

이와 같은 종래의 인터넷 정보보호 방법들은 인터넷 서비스별로 정보보호 방법이 존재하고, 정보보호를 인터넷 서비스에서 제공하기 위해서는 응용 계층 서비스 프로그램(applications layer service program)의 변경이 반드시 필요하다. 따라서, 사용자(user) 및 인터넷 서비스 제공자에게 많은 경제적 지출을 유발할 뿐만 아니라, 응용 계층 서비스별로 각각 독립적인 정보보호 방법이 필요하게 되며, 각 응용 계층 서비스 프로그램의 부가적인 변경이 필요하게 되는 문제점을 내포하고 있다. 더군다나 망이 확대되고 서비스가 다양화되는 차세대 인터넷에서는 이러한 문제점이 더 확대되어 나타난다.In the conventional Internet information protection methods, information protection methods exist for each Internet service, and in order to provide information protection in an Internet service, a change of an application layer service program is necessary. Therefore, it not only incurs a lot of economic expenditures for users and Internet service providers, but also requires an independent information protection method for each application layer service, and requires an additional change of each application layer service program. Doing. Furthermore, this problem is further magnified in the next generation Internet where the network is expanded and services are diversified.

본 발명은 상술한 결점을 해결하기 위하여 안출한 것으로, 차세대 인터넷에서 응용 계층 서비스 프로그램에 영향을 주지 아니하고 독립적인 구현 및 운용이 가능한 IPv6 계층에서 패킷별로 다중 보안 서비스를 실시할 수 있는 IPv6 계층에서의 패킷 보호 방법을 제공하는 데 그 목적이 있다.The present invention has been made to solve the above-mentioned shortcomings, and in the IPv6 layer that can perform multiple security services per packet in the IPv6 layer that can be independently implemented and operated without affecting the application layer service program in the next generation Internet. The purpose is to provide a packet protection method.

이와 같은 목적을 달성하기 위한 본 발명은, 보안 정책 데이터베이스 및 보안 연계 데이터베이스를 구비한 IPv6 계층에서의 패킷 보호 시스템에서 패킷 보호 방법에 있어서, 송신하고자 하는 패킷의 IPv6 헤더와 확장 헤더를 생성한 후 상기 보안 정책 데이터베이스 및 상기 보안 연계 데이터베이스를 참조하여 패킷별 보안 서비스의 선택 여부를 결정하는 제 1 단계; 상기 보안 서비스의 종류가 AH인지 ESP인지를 구분하여 각각 서비스의 종류에 따라 IPv6 패킷에 대한인캡슐레이션(encapsulation), 패딩, 암호화 처리, ICV 계산, 및 SN 값의 생성에 관한 처리를 수행하는 제 2 단계; 트랜스포트 헤더를 생성하여 IPv6 패킷 단편화 기능 전에 상기 제 2 단계를 수행하는 제 3 단계; 및 상기 제 1 단계 및 상기 제 3 단계를 반복 수행하여 다중의 보안 서비스를 제공하는 제 4 단계를 포함하는 것을 특징으로 한다.In order to achieve the above object, the present invention provides a packet protection method in a packet protection system in an IPv6 layer including a security policy database and a security association database, and after generating an IPv6 header and an extended header of a packet to be transmitted, A first step of determining whether to select a packet-specific security service by referring to a security policy database and the security association database; Distinguishing whether the type of the security service is AH or ESP, and performing processing related to encapsulation, padding, encryption, ICV calculation, and generation of SN values for IPv6 packets according to the type of service, respectively. Two steps; A third step of generating a transport header to perform the second step before the IPv6 packet fragmentation function; And a fourth step of repeatedly performing the first step and the third step to provide multiple security services.

보안 정책 데이터베이스 및 보안 연계 데이터베이스를 구비한 IPv6 계층에서의 패킷 보호 시스템에서 패킷 보호 방법에 있어서, 송신하고자 하는 패킷의 IPv6 헤더와 확장 헤더를 생성한 후 상기 보안 정책 데이터베이스 및 상기 보안 연계 데이터베이스를 참조하여 패킷별 보안 서비스의 선택 여부를 결정하는 제 1 단계; 상기 보안 서비스의 종류가 AH인지 ESP인지를 구분하여 각각 서비스의 종류에 따라 IPv6 패킷에 대한 인캡슐레이션, 패딩, 암호화 처리, ICV 계산, 및 SN 값의 생성에 관한 처리를 수행하는 제 2 단계; 터널 헤더를 생성하여 IPv6 패킷 단편화 기능 후에 상기 제 2 단계를 수행하고 IPv6 패킷 단편화 과정으로 전달하는 제 3 단계; 및 상기 제 1 단계 및 상기 제 3 단계를 반복 수행하여 다중의 보안 서비스를 제공하는 제 4 단계를 포함하는 것을 특징으로 한다.In a packet protection method in a packet protection system at an IPv6 layer having a security policy database and a security association database, after generating an IPv6 header and an extension header of a packet to be transmitted, the security policy database and the security association database will be referred to. A first step of determining whether to select a packet-based security service; A second step of classifying whether the type of security service is AH or ESP and performing encapsulation, padding, encryption processing, ICV calculation, and generation of SN values for IPv6 packets according to types of services; A third step of generating a tunnel header to perform the second step after the IPv6 packet fragmentation function and transferring to the IPv6 packet fragmentation process; And a fourth step of repeatedly performing the first step and the third step to provide multiple security services.

보안 정책 데이터베이스 및 보안 연계 데이터베이스를 구비한 IPv6 계층에서의 패킷 보호 시스템에서 패킷 보호 방법에 있어서, 상기 패킷 수신은 수신된 IPv6 패킷에 대한 재조합이 이루어지고 완성된 IPv6 패킷을 수신한 후 상기 보안 연계 데이터베이스를 참조하여 패킷별 보안 서비스의 선택 여부를 결정하는 제 1 단계; 패킷 헤더에 실려온 SN과 ICV 값을 검사하는 제 2 단계; 보안 서비스의 종류가 AH인지 ESP인지를 구분하여 각각 서비스의 종류에 따라 패킷의 복호화, 패딩 제거, 디캡슐레이션(decapsulation), 및 상기 보안 정책 데이터베이스를 참조하는 제 3 단계; 트랜스포트 헤더를 제거하고 IPv6 패킷 재조합 이후에 상기 제 3 단계를 수행하는 제 4 단계; 적용된 보안 서비스가 다중일 경우 상기 제 1 단계 내지 제 4 단계를 반복 수행하는 제 5 단계; 및 패킷을 다시 IPv6 헤더 제거 기능으로 전달하는 제 6 단계를 포함하는 것을 특징으로 한다.In a packet protection method in a packet protection system at an IPv6 layer having a security policy database and a security association database, the packet reception is performed after recombination of the received IPv6 packet and reception of the completed IPv6 packet. A first step of determining whether to select a packet-specific security service with reference to; A second step of examining SN and ICV values carried in the packet header; A third step of classifying whether the type of security service is AH or ESP and referring to the packet decryption, padding removal, decapsulation, and the security policy database according to the type of service, respectively; A fourth step of removing the transport header and performing the third step after IPv6 packet recombination; A fifth step of repeating the first to fourth steps when there are multiple applied security services; And a sixth step of delivering the packet back to the IPv6 header removal function.

보안 정책 데이터베이스 및 보안 연계 데이터베이스를 구비한 IPv6 계층에서의 패킷 보호 시스템에서 패킷 보호 방법에 있어서, 상기 패킷 수신은 수신된 IPv6 패킷에 대한 재조합이 이루어지고 완성된 IPv6 패킷을 수신한 후 상기 보안 연계 데이터베이스를 참조하여 패킷별 보안 서비스의 선택 여부를 결정하는 제 1 단계; 패킷 헤더에 실려온 SN과 ICV 값을 검사하는 제 2 단계; 보안 서비스의 종류가 AH인지 ESP인지를 구분하여 각각 서비스의 종류에 따라 패킷의 복호화, 패딩 제거, 디캡슐레이션, 및 상기 보안 정책 데이터베이스를 참조하는 제 3 단계; 터널 헤더를 제거하고 IPv6 패킷 재조합 이전에 상기 제 3 단계를 수행하는 제 4 단계; 적용된 보안 서비스가 다중일 경우 상기 제 1 단계 내지 제 4 단계를 반복 수행하는 제 5 단계; 및 패킷을 다시 IPv6 헤더 제거 기능으로 전달하는 제 6 단계를 포함하는 것을 특징으로 한다.In a packet protection method in a packet protection system at an IPv6 layer having a security policy database and a security association database, the packet reception is performed after recombination of the received IPv6 packet and reception of the completed IPv6 packet. A first step of determining whether to select a packet-specific security service with reference to; A second step of examining SN and ICV values carried in the packet header; A third step of classifying whether the type of security service is AH or ESP and referring to the packet decryption, padding removal, decapsulation, and the security policy database according to the type of service, respectively; A fourth step of removing the tunnel header and performing the third step prior to IPv6 packet recombination; A fifth step of repeating the first to fourth steps when there are multiple applied security services; And a sixth step of delivering the packet back to the IPv6 header removal function.

도 1은 본 발명에 따른 IPv6 계층에서의 패킷 보호를 위한 프로토콜 스택과 종래의 기술에 따른 프로토콜 스택과의 차이점을 나타낸 도면,1 is a diagram illustrating a difference between a protocol stack for packet protection in an IPv6 layer and a protocol stack according to the prior art according to the present invention;

도 2는 IPv6 패킷별 정보보호 서비스 제공을 위한 IPsecv6 기능이 추가된 IP 패킷의 구성도,2 is a block diagram of an IP packet to which the IPsecv6 function is added for providing information protection service for each IPv6 packet;

도 3은 IPv6 패킷별 정보보호 서비스 제공을 위한 출력 IP 패킷에 대한 처리 절차를 단계별로 나타낸 순서도,3 is a flowchart illustrating a processing procedure for an output IP packet for providing an information protection service for each IPv6 packet;

도 4는 정보보호 서비스가 제공된 입력 IPv6 패킷에 대한 처리 절차를 단계별로 나타낸 순서도.4 is a flowchart showing step by step a processing procedure for an input IPv6 packet provided with an information security service.

이하, 첨부된 도면을 참조하여 본 발명에 따른 실시예를 상세히 설명하면 다음과 같다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명에 따른 IPv6 계층에서의 패킷 보호를 위한 프로토콜 스택(protocol stack)과 종래의 기술에 따른 프로토콜 스택과의 차이점을 나타낸 도면이다.1 is a diagram illustrating a difference between a protocol stack for packet protection in the IPv6 layer and a protocol stack according to the prior art according to the present invention.

도 1a는 종래의 차세대 인터넷 시스템의 프로토콜 스택으로서, 상위 계층의 네트워크 응용 프로그램(network applications program)과 하위 네트워크 미디어가 위치한 물리 계층까지의 수직적인 연결을 보여준다.FIG. 1A is a protocol stack of a conventional next generation Internet system, and shows a vertical connection to an upper layer network applications program and a lower layer media layer.

도 1a에 있어서, 사용자의 응용 프로그램은 타 시스템과의 통신을 위해 시스템 커널(kernel)의 BSD 소켓과 INET 소켓 계층을 거쳐 네트워크 프로토콜별로 TCPv6(Transmission Control Protocol Version 6), UDPv6(User Datagram Protocol Version 6), ICMPv6(Internet Control Messages Protocol Version 6), 및 IGMPv6(Internet Group Multicasting Protocol Version 6) 프로토콜 처리 모듈을 거치고, 이들 모두 공통적으로 IPv6 계층을 지남으로써 차세대 인터넷의 기본적인 통신 단위인 IPv6 패킷이 만들어지게 된다.In FIG. 1A, a user's application program communicates with another system through a BSD socket and an INET socket layer of a system kernel, and transmits a control protocol version 6 (TCPv6) and a user datagram protocol version 6 (UDPv6) for each network protocol. ), Internet Control Messages Protocol Version 6 (ICMPv6), and Internet Group Multicasting Protocol Version 6 (IGMPv6) protocol processing modules, all of which cross the IPv6 layer to create IPv6 packets, the basic unit of communication for the next generation of the Internet. .

상기 IPv6 패킷은 데이터 링크 계층 프로토콜 특성에 따라 PPP(Point-to-Point Protocol), SLIP(Serial Line Interface Protocol), 및 이더넷(Ethernet) 등의 네트워크 디바이스 드라이버 계층을 지남에 따라 IPv6 패킷에 부가적인 네트워크 헤더를 추가한 후 인터넷으로 내보내게 된다.The IPv6 packet is an additional network to the IPv6 packet as it passes network device driver layers such as Point-to-Point Protocol (PPP), Serial Line Interface Protocol (SLIP), and Ethernet according to data link layer protocol characteristics. After adding the headers, they are exported to the Internet.

반면, 본 발명에 따른 다중 보안 서비스를 제공하는 IPv6 계층에서의 패킷 보호 방법에서는, 상기 응용 계층 서비스 프로그램에 영향을 주지 아니하고 독립적인 구현 및 운용이 가능한 IPv6 계층에서 패킷별로 정보보호 서비스를 제공하기 위하여 도 1b와 같이, IPv6 계층의 일부분에 IPsec 계층을 추가하였다.On the other hand, in the packet protection method in the IPv6 layer for providing multiple security services according to the present invention, in order to provide an information protection service for each packet in the IPv6 layer that can be independently implemented and operated without affecting the application layer service program As shown in FIG. 1B, an IPsec layer is added to a part of the IPv6 layer.

상기 IPsec 계층에서는 IPv6 계층을 통과하는 모든 패킷에 대한 보안 서비스의 적용 및 해제 기능을 가지고 있다. 하위 계층으로부터 수신되는 패킷은 보안 서비스를 해제하는 기능에 의해 처리된 후 기존의 IPv6 계층에서 필요한 처리를 하게 되고, 상위 계층으로부터 IPv6 계층으로부터 수신된 패킷은 보안 서비스를 적용하는 기능에 의해 패킷을 변경한 후 이를 데이터 링크 계층으로 전달하게 된다.The IPsec layer has a function of applying and releasing security services to all packets passing through the IPv6 layer. Packets received from the lower layer are processed by the function to release the security service, and then the necessary processing is performed in the existing IPv6 layer, and packets received from the IPv6 layer from the upper layer are changed by the function of applying the security service. It is then forwarded to the data link layer.

도 2는 IPv6 패킷별 정보보호 서비스 제공을 위한 IPsecv6 기능이 추가된 IP 패킷의 구성도이다.2 is a configuration diagram of an IP packet to which an IPsecv6 function is added for providing an IPv6 packet-based information protection service.

즉, 도 2a 내지 도 2f는 상기 IPsec 계층에서 적용하고자 하는 보안 서비스를 위한 패킷 변형에 대한 예시로, 서비스의 종류에 따라 AH(Authentication Header)와 ESP(Encapsulating Security Payload) 프로토콜로 나뉜다. AH 프로토콜은 IPv6 패킷에 대한 인증 서비스를 제공하고, ESP 프로토콜은 IPv6 패킷을 암호화하여 패킷의 내용에 대한 기밀성과 상위 데이터그램에 대한 인증 서비스를 모두 제공한다.That is, FIGS. 2A to 2F illustrate packet modification for a security service to be applied in the IPsec layer, and are divided into an authentication header (AH) and an encapsulating security payload (ESP) protocol according to the type of service. The AH protocol provides authentication services for IPv6 packets, and the ESP protocol encrypts IPv6 packets to provide both confidentiality of packet contents and authentication services for higher datagrams.

상기 두 프로토콜에는 IPv6 패킷에 대한 인증 서비스와 IPv6 상위 패이로드에 대한 기밀성 서비스 등의 기본 서비스만을 제공하기 위한 트랜스포트 모드가 있고, IPv6 헤더의 정보를 감추어 패킷의 발신지/수신지의 정보도 감추는 터널 모드가 있다.The two protocols have a transport mode for providing only basic services such as an authentication service for IPv6 packets and a confidentiality service for IPv6 upper payloads, and a tunnel that hides the source / destination information of the packet by hiding information in the IPv6 header. There is a mode.

또한, 상기 두 프로토콜은 모두 재전송 공격에 대한 감내 서비스를 위해 SN(Sequence Number) 값을 이용하며, 수신측에서 연속적으로 수신되는 패킷에 대한SN 값을 검사함으로써 재전송되는 패킷을 폐기하여 재전송 공격으로부터 안정적인 시스템을 유지할 수 있다.In addition, both protocols use a Sequence Number (SN) value for endurance service for retransmission attacks, and by retrieving the SN value for packets continuously received at the receiving end, discarding the retransmitted packets to be stable from retransmission attacks. Maintain the system.

상기와 같은 보안 서비스는 보안 정책 데이터베이스에 따라 다중으로 적용될 수 있다. 예컨대, 트랜스포트 AH 프로토콜, 트랜스포트 ESP 프로토콜, 터널 AH 프로토콜, 터널 ESP 프로토콜은 서로 조합을 이루어 보안 서비스를 제공할 수 있다. 다만, 같은 모드에서 AH와 ESP가 동시에 적용될 경우 보안상의 취약을 없애기 위해 ESP가 먼저 적용되고 나중에 AH가 적용되어야 한다.The security service as described above may be applied multiplely according to a security policy database. For example, the transport AH protocol, the transport ESP protocol, the tunnel AH protocol, and the tunnel ESP protocol may be combined with each other to provide a security service. However, if AH and ESP are applied simultaneously in the same mode, ESP should be applied first and AH applied later to eliminate security weakness.

따라서, 하나의 IP 패킷에는 15가지의 보안 서비스 적용이 가능한다. 예컨대, 트랜스포트 AH, 트랜스포트 ESP, 터널 AH, 터널 ESP, 트랜스포트 ESP+트랜스포트 AH, 터널 ESP+ 터널 AH, 트랜스포트 AH+터널 AH, 트랜스포트 AH+터널 ESP, 트랜스포트 AH+터널 ESP+터널 AH, 트랜스포트 ESP+터널 AH, 트랜스포트 ESP+터널 ESP, 트랜스포트 ESP+터널 ESP+터널 AH, 트랜스포트 ESP+트랜스포트 AH+터널 AH, 트랜스포트 ESP+트랜스포트 AH+터널 AH, 트랜스포트 ESP+트랜스포트 AH+터널 ESP, 트랜스포트 ESP+트랜스포트 AH+터널 ESP+터널 AH 등이 있다.Therefore, 15 security services can be applied to one IP packet. For example, transport AH, transport ESP, tunnel AH, tunnel ESP, transport ESP + transport AH, tunnel ESP + tunnel AH, transport AH + tunnel AH, transport AH + tunnel ESP, transport AH + tunnel ESP + tunnel AH, transport ESP + Tunnel AH, Transport ESP + Tunnel ESP, Transport ESP + Tunnel ESP + Tunnel AH, Transport ESP + Transport AH + Tunnel AH, Transport ESP + Transport AH + Tunnel AH, Transport ESP + Transport AH + Tunnel ESP, Transport ESP + Transport AH + Tunnel ESP + Tunnel AH.

참고로, 도 2a는 기존의 IPv6 헤더에 AH 트랜스포트 및 터널 모드 서비스가 추가된 패킷의 예를 보여주고, 도 2b는 기존의 IPv6 헤더에 ESP 트랜스포트 및 터널 모드 서비스가 추가된 예를 보여준다. 도 2c는 트랜스포트 모드에서 AH와 ESP 프로토콜이 동시에 적용되는 예와 터널 모드에서 AH와 ESP 프로토콜이 동시에 적용되는 예를 보여주고, 도 2d는 트랜스포트 모드의 AH와 ESP 프로토콜이 적용되고 또한 터널 모드의 AH와 ESP 프로토콜이 모두 적용되는 예를 보여준다. 도 2e는 AH 프로토콜 헤더의 구조를 보여주고, 도 2f는 ESP 프로토콜 헤더의 구조를 보여준다.For reference, FIG. 2A shows an example of a packet in which AH transport and tunnel mode services are added to an existing IPv6 header, and FIG. 2B shows an example in which ESP transport and tunnel mode services are added to an existing IPv6 header. 2c shows an example in which the AH and ESP protocols are simultaneously applied in the transport mode and an example in which the AH and ESP protocols are simultaneously applied in the tunnel mode, and FIG. 2d is a tunnel mode in which the AH and ESP protocols are applied in the transport mode. Shows an example where both AH and ESP protocols are applied. FIG. 2E shows the structure of the AH protocol header, and FIG. 2F shows the structure of the ESP protocol header.

여기서, 상기 AH 프로토콜의 헤더는 AH 헤더 다음에 나타날 헤더의 종류, 패이로드의 길이, 보안 연계 데이터베이스를 유일하게 식별하는 SPI(Security Parameter Index), 재전송 공격에 대한 감내성을 위한 SN(Sequence Number), 데이터 변조 여부 검증을 위한 인증 데이터 ICV(Integrity Check Value)로 구성된다.Herein, the header of the AH protocol includes a header type that appears after the AH header, a payload length, a security parameter index (SPI) that uniquely identifies a security association database, and a sequence number (SN) for tolerance to retransmission attacks. It consists of authentication data ICV (Integrity Check Value) for verification of data tampering.

상기 ESP 프로토콜 헤더는 보안 연계 데이터베이스를 식별하는 SPI, 재전송 공격에 대한 감내성을 위한 SN, 상위 계층으로부터 내려온 패이로드 데이터, 블록 암호 알고리즘에 의한 암호화 처리를 위한 패딩, 패딩 길이, ESP 헤더 다음에 나타날 헤더의 종류, 인증 데이터 ICV로 구성된다.The ESP protocol header appears after the SPI identifying the security association database, the SN for tolerability of retransmission attacks, the payload data from the upper layer, the padding for encryption processing by the block cipher algorithm, the padding length, and the ESP header. It consists of a header type and authentication data ICV.

도 3은 IPv6 패킷별 정보보호 서비스 제공을 위한 출력 IP 패킷에 대한 처리 절차를 단계별로 나타낸 순서도로, 차세대 인터넷 호스트/게이트웨이 시스템의 패킷 송신 기능은 다음과 같이 수행된다.3 is a flowchart illustrating a processing procedure for an output IP packet for providing an IPv6 packet information protection service step by step. The packet transmission function of a next generation Internet host / gateway system is performed as follows.

상위 응용 프로그램에서 IPv6 주소를 가진 시스템으로 임의의 정보를 인터넷을 통해 내보낼 경우 소켓 계층에서 통신을 위한 소켓을 생성하고, INET6 소켓을 생성한 후 이 소켓을 통해 응용 계층의 데이터를 TCPv6 계층으로 내려보낸다.When sending arbitrary information from the parent application to a system with an IPv6 address over the Internet, create a socket for communication at the socket layer, create an INET6 socket, and send the data from the application layer to the TCPv6 layer through this socket. .

상기 TCPv6 계층에서는 TCP 헤더를 상위 응용 계층으로부터 내려온 메시지에 부가한 후 IPv6 계층으로 내려보낸다.In the TCPv6 layer, the TCP header is added to the message from the upper application layer and then sent down to the IPv6 layer.

상기 IPv6 계층에서는 TCPv6 계층으로부터 내려온 데이터에 IP 헤더를 부가하여 IPv6 패킷을 조립하고, 확장 헤더도 추가한다.The IPv6 layer assembles an IPv6 packet by adding an IP header to data descended from the TCPv6 layer, and adds an extension header.

상기 IPv6계층의 패킷이 조립된 후 보안 정책 데이터베이스와 보안 연계 데이터베이스를 검색하여 보안 서비스가 선택되어 있는지를 검사한 후, 보안 서비스가 선택되지 않았을 경우에는 데이터링크 계층으로 내려보내고, 데이터링크 계층에서는 물리 계층의 전송로 특성에 따른 데이터 링크 헤더를 부가한 프레임을 생성한 후 이를 인터넷에 전송한다.After the packets of the IPv6 layer are assembled, the security policy database and the security association database are searched to check whether a security service is selected, and when the security service is not selected, the packet is sent down to the data link layer. After generating a frame with a data link header according to the transmission path characteristics of the layer, the frame is transmitted to the Internet.

반면, 보안 서비스가 선택된 경우는 보안 연계 데이터베이스의 보안 서비스의 종류를 파악한다.On the other hand, when the security service is selected, the type of security service of the security association database is identified.

상기 보안 서비스가 트랜스포트 모드일 경우에는 기존 IPv6 패킷의 단편화가 일어나기 전에 보안 서비스를 적용하고, 터널 모드일 경우에는 기존 IPv6 패킷의 단편화가 일어난 후에 보안 서비스를 적용한다. 터널 모드일 경우 필요하다면 추가적인 IPv6 패킷 단편화를 수행한다.If the security service is in the transport mode, the security service is applied before fragmentation of the existing IPv6 packet occurs, and in the tunnel mode, the security service is applied after the fragmentation of the existing IPv6 packet occurs. In tunnel mode, additional IPv6 packet fragmentation is performed if necessary.

AH 서비스가 선택되었을 경우는 패킷 수신지에서 인증 데이터를 계산한 후 원래의 값과 비교할 수 있도록 인증 데이터(ICV: Integrity Check Value)를 계산하고, 재전송 공격을 방지할 수 있도록 SN 값을 생성하여 AH 헤더 내에 넣은 후, 트랜스포트 또는 터널 헤더를 IPv6 패킷에 부가한 후 패킷 단편화 과정을 거쳐 IP 헤더 내의 페이로드 길이(Payload Length)를 변경한 후 데이터링크 계층으로 내려보내고, 데이터링크 계층에서는 물리 계층의 전송로 특성에 따라 데이터링크 헤더를 부가한 프레임을 생성한 후 이를 인터넷으로 전송한다.If AH service is selected, authentication data (ICV: Integrity Check Value) is calculated to compare the original value with the authentication data at the packet destination, and SN value is generated by generating SN value to prevent retransmission attack. After adding the transport or tunnel header to the IPv6 packet, the packet fragmentation process is used to change the payload length in the IP header and then send it down to the data link layer. According to the characteristics of the transmission path, a frame added with a data link header is generated and transmitted to the Internet.

ESP 서비스가 선택된 경우는 패킷에 대한 인캡슐레이션(encapsulation)을 수행한 후 데이터의 길이를 블록 암호화 알고리즘에 적용할 수 있도록 패딩을 한 후 패킷 암호화를 수행한다. 패킷 암호화가 완료된 후 패킷 수신지에서 인증 데이터를계산한 후 원래의 값과 비교할 수 있도록 인증 데이터(ICV: Integrity Check Value)를 계산하고, 재전송 공격을 방지할 수 있도록 SN 값을 생성하여 ESP 헤더 내에 넣은 후, 트랜스포트 또는 터널 헤더를 IPv6 패킷에 부가한 후 패킷 단편화 과정을 거쳐 IP 헤더 내의 페이로드 길이(Payload Length)를 변경한 후 데이터링크 계층으로 내려보내고, 데이터링크 계층에서는 물리 계층의 전송로 특성에 따라 데이터링크 헤더를 부가한 프레임을 생성한 후 이를 인터넷으로 전송한다.When the ESP service is selected, after encapsulation of the packet is performed, padding is performed after padding so that the length of data can be applied to the block encryption algorithm. After packet encryption is completed, the authentication data (ICV: Integrity Check Value) is calculated to calculate the authentication data at the packet destination and compared with the original value, and the SN value is generated within the ESP header to prevent retransmission attacks. After adding the transport or tunnel header to the IPv6 packet, the packet fragmentation process changes the payload length in the IP header and sends it down to the data link layer. According to the characteristics, a frame added with a data link header is generated and transmitted to the Internet.

하나의 보안 서비스 적용이 끝나고 추가적인 보안 서비스 제공이 필요하다면 위의 과정을 반복 수행한다.If one security service is applied and additional security service is needed, repeat the above process.

도 4는 정보보호 서비스가 제공된 입력 IPv6 패킷에 대한 처리 절차를 단계별로 나타낸 순서도로, 차세대 인터넷 호스트/게이트웨이 시스템의 패킷 수신 기능은 다음과 같이 수행된다.4 is a flowchart illustrating a step-by-step procedure for processing an input IPv6 packet provided with an information protection service. The packet reception function of the next generation Internet host / gateway system is performed as follows.

차세대 인터넷으로부터 프레임을 송신한 후 데이터 링크 계층에서 데이터 링크 헤더를 제거한 후 이를 IPv6 계층으로 올려보낸다. 수신된 IPv6 패킷은 IPv6 계층의 패킷 재조합 과정을 통해 단편화된 패킷을 하나의 패킷으로 조립한 후 IPv6 계층 패킷 수신 기능에 전달한다. 조립된 IPv6 패킷은 보안 연계 데이터베이스를 검색하여 보안 서비스가 선택되어 있는지를 검사한 후 보안 서비스가 선택되지 않았을 경우에는 IPv6 헤더를 제거한 후 TCPv6 계층으로 올려보내고, TCPv6 계층에서는 TCP 헤더를 제거한 후 INET6 소켓과 통신 소켓을 통해 상위 응용 계층으로 전송한다.After transmitting a frame from the next-generation Internet, the data link header is removed from the data link layer and then sent to the IPv6 layer. The received IPv6 packet is assembled through a packet recombination process of the IPv6 layer into a packet and then delivered to the IPv6 layer packet reception function. The assembled IPv6 packet searches the security association database to check if the security service is selected, and if the security service is not selected, removes the IPv6 header and then uploads it to the TCPv6 layer.In the TCPv6 layer, the INET6 socket To the upper application layer through the communication socket.

반면, 보안 서비스가 선택된 경우는 수신된 IP 패킷의 보안 서비스가 터널모드이면 패킷 재조합 과정을 거치기 전에 보안 연계 데이터베이스를 검색하여 보안 서비스 해제를 처리하고, 트랜스포트 모드이면 패킷 재조합 이후에 보안 서비스 해제를 처리한다.On the other hand, if the security service is selected, if the security service of the received IP packet is in tunnel mode, the security association database is searched before the packet recombination process is processed, and if it is transport mode, the security service is released after packet recombination. Process.

먼저, 보안 연계 데이터 베이스의 보안 서비스의 종류를 파악하고, 패킷 재전송 공격에 대한 가능성을 파악하기 위하여 SN 값을 검사한다. 수신된 패킷의 내용을 이용하여 인증데이터를 생성한 후 AH 또는 ESP 헤더 내의 ICV 값과 비교하는 과정을 수행한다.First, the SN value is checked to identify the type of security service in the security association database, and the possibility of packet retransmission attack. The authentication data is generated using the contents of the received packet and then compared with the ICV value in the AH or ESP header.

AH 서비스가 선택된 경우 보안 정책 데이터베이스를 참조하여 현재 수신된 패킷이 보안 정책에 맞게 처리되었는지를 검사하고 IPv6 헤더를 제거한 후 TCPv6 계층으로 올려보내고, TCPv6 계층에서는 TCP 헤더를 제거한 후 INET6 소켓과 통신 소켓을 통해 상위 응용 계층으로 전송한다.If AH service is selected, it checks the security policy database to check whether the currently received packet was processed according to the security policy, removes the IPv6 header and uploads it to the TCPv6 layer, removes the TCP header at the TCPv6 layer, and then opens the INET6 socket and communication socket. Through the upper application layer.

ESP 서비스가 선택된 경우는 패킷을 복호화하고, 블록 암호 알고리즘 처리를 위해 부가하였던 패딩를 제거한 후 패킷에 대한 디캡슐레이션(decapsulation)을 수행한다.When the ESP service is selected, the packet is decrypted, the padding added for the block cipher algorithm processing is removed, and the packet is decapsulated.

이와 같이, 암호화된 패킷의 복호화 과정을 통해 암호화 이전의 패킷으로 재생한 후 보안 정책 데이터베이스를 참조하여 현재 수신된 패킷이 보안 정책에 맞게 처리되었는지를 검사한 후 IPv6 헤더를 제거하고 TCPv6 계층으로 올려보내고, TCP 계층에서는 TCP 헤더를 제거한 후 INET6 소켓과 통신 소켓을 통해 상위 응용 계층으로 전송한다.As such, after decrypting the encrypted packet, the packet is played back before the encryption. After checking that the currently received packet is processed according to the security policy, the IPv6 header is removed and sent to the TCPv6 layer. In the TCP layer, the TCP header is removed and transmitted to the upper application layer through INET6 socket and communication socket.

적용된 보안 서비스가 다중일 경우에는 위의 과정을 반복한다.If multiple security services are applied, repeat the above process.

상술한 바와 같이 본 발명은 상위 응용 계층으로부터 발생된 메시지가 차세대 인터넷을 통해 전달될 수 있는 IPv6 패킷의 형태로 변형되는 과정에서 정보보호 서비스를 선택적으로 제공할 수 있고 다중의 보안 서비스를 제공할 수 있다. 따라서, 상위 계층 서비스 프로그램의 변경 없이 모든 차세대 인터넷 서비스에 정보보호 기능을 제공할 수 있는 효과가 있다. 또한, 정보보호 서비스가 필요하지 않은 일반 IPv6 패킷에 대한 처리도 가능할 뿐만 아니라, 기존의 차세대 인터넷 사용자들은 인터넷 서비스 사용에 있어서 아무런 변화를 느끼지 못하게 되고, 종래의 IPv4 계층의 패킷 보호 방법에 비해 차세대 인터넷인 IPv6 계층의 패킷에 한 개 이상의 보안 서비스가 적용될 수 있는 장점이 있다.As described above, the present invention can selectively provide an information security service in the process of transforming a message generated from a higher application layer into an IPv6 packet that can be transmitted through the next generation Internet, and can provide multiple security services. have. Therefore, it is possible to provide an information protection function to all next-generation Internet services without changing the upper layer service program. In addition, it is possible not only to process general IPv6 packet which does not need information protection service, but also existing next-generation Internet users do not feel any change in the use of Internet service, and compared to conventional IPv4 layer packet protection method, next-generation Internet One or more security services can be applied to packets of an IPv6 layer.

Claims (6)

보안 정책 데이터베이스 및 보안 연계 데이터베이스를 구비한 IPv6 계층에서의 패킷 보호 시스템에서 패킷 보호 방법에 있어서,A packet protection method in a packet protection system at an IPv6 layer having a security policy database and a security association database, 송신하고자 하는 패킷의 IPv6 헤더와 확장 헤더를 생성한 후 상기 보안 정책 데이터베이스 및 상기 보안 연계 데이터베이스를 참조하여 패킷별 보안 서비스의 선택 여부를 결정하는 제 1 단계;A first step of generating an IPv6 header and an extended header of a packet to be transmitted and determining whether to select a packet-specific security service by referring to the security policy database and the security association database; 상기 보안 서비스의 종류가 AH인지 ESP인지를 구분하여 각각 서비스의 종류에 따라 IPv6 패킷에 대한 처리를 수행하는 제 2 단계;A second step of classifying whether the type of security service is AH or ESP and processing IPv6 packets according to types of services; 트랜스포트 헤더를 생성하여 IPv6 패킷 단편화 기능 전에 상기 제 2 단계를 수행하는 제 3 단계; 및A third step of generating a transport header to perform the second step before the IPv6 packet fragmentation function; And 상기 제 1 단계 및 상기 제 3 단계를 반복 수행하여 다중의 보안 서비스를 제공하는 제 4 단계를 포함하는 IPv6 계층에서의 송신 패킷 보호 방법.And a fourth step of repeating the first step and the third step to provide multiple security services. 보안 정책 데이터베이스 및 보안 연계 데이터베이스를 구비한 IPv6 계층에서의 패킷 보호 시스템에서 패킷 보호 방법에 있어서,A packet protection method in a packet protection system at an IPv6 layer having a security policy database and a security association database, 송신하고자 하는 패킷의 IPv6 헤더와 확장 헤더를 생성한 후 상기 보안 정책 데이터베이스 및 상기 보안 연계 데이터베이스를 참조하여 패킷별 보안 서비스의 선택 여부를 결정하는 제 1 단계;A first step of generating an IPv6 header and an extended header of a packet to be transmitted and determining whether to select a packet-specific security service by referring to the security policy database and the security association database; 상기 보안 서비스의 종류가 AH인지 ESP인지를 구분하여 각각 서비스의 종류에 따라 IPv6 패킷에 대한 처리를 수행하는 제 2 단계;A second step of classifying whether the type of security service is AH or ESP and processing IPv6 packets according to types of services; 터널 헤더를 생성하여 IPv6 패킷 단편화 기능 후에 상기 제 2 단계를 수행하고 IPv6 패킷 단편화 과정으로 전달하는 제 3 단계; 및A third step of generating a tunnel header to perform the second step after the IPv6 packet fragmentation function and transferring to the IPv6 packet fragmentation process; And 상기 제 1 단계 및 상기 제 3 단계를 반복 수행하여 다중의 보안 서비스를 제공하는 제 4 단계를 포함하는 IPv6 계층에서의 송신 패킷 보호 방법.And a fourth step of repeating the first step and the third step to provide multiple security services. 제 1 항 내지 제 2 항 중에 적어도 어느 한 항에 있어서, 상기 제 2 단계는 상기 보안 서비스의 종류가 AH인지 ESP인지를 구분하여 각각 서비스의 종류에 따라 IPv6 패킷에 대한 인캡슐레이션, 패딩, 암호화 처리, ICV 계산, 및 SN 값의 생성에 관한 처리를 수행하는 것을 특징으로 하는 IPv6 계층에서의 송신 패킷 보호 방법.The method of claim 1, wherein the second step distinguishes whether the type of security service is AH or ESP, and encapsulates, pads, and encrypts an IPv6 packet according to the type of service. A process for protecting transmission packets in an IPv6 layer, characterized by performing processing relating to processing, ICV calculation, and generation of SN values. 보안 정책 데이터베이스 및 보안 연계 데이터베이스를 구비한 IPv6 계층에서의 패킷 보호 시스템에서 패킷 보호 방법에 있어서,A packet protection method in a packet protection system at an IPv6 layer having a security policy database and a security association database, 상기 패킷 수신은 수신된 IPv6 패킷에 대한 재조합이 이루어지고 완성된 IPv6 패킷을 수신한 후 상기 보안 연계 데이터베이스를 참조하여 패킷별 보안 서비스의 선택 여부를 결정하는 제 1 단계;Receiving the packet is a first step of recombining the received IPv6 packet, and after receiving the completed IPv6 packet to determine whether to select a security service for each packet by referring to the security association database; 패킷 헤더에 실려온 SN과 ICV 값을 검사하는 제 2 단계;A second step of examining SN and ICV values carried in the packet header; 보안 서비스의 종류가 AH인지 ESP인지를 구분하여 각각 서비스의 종류에 따라 참조하는 제 3 단계;A third step of identifying whether the type of security service is AH or ESP and referring to each type of service; 트랜스포트 헤더를 제거하고 IPv6 패킷 재조합 이후에 상기 제 3 단계를 수행하는 제 4 단계;A fourth step of removing the transport header and performing the third step after IPv6 packet recombination; 적용된 보안 서비스가 다중일 경우 상기 제 1 단계 내지 제 4 단계를 반복 수행하는 제 5 단계; 및A fifth step of repeating the first to fourth steps when there are multiple applied security services; And 패킷을 다시 IPv6 헤더 제거 기능으로 전달하는 제 6 단계를 포함하는 IPv6 계층에서의 수신 패킷 보호 방법.And a sixth step of forwarding the packet back to the IPv6 header removal function. 보안 정책 데이터베이스 및 보안 연계 데이터베이스를 구비한 IPv6 계층에서의 패킷 보호 시스템에서 패킷 보호 방법에 있어서,A packet protection method in a packet protection system at an IPv6 layer having a security policy database and a security association database, 상기 패킷 수신은 수신된 IPv6 패킷에 대한 재조합이 이루어지고 완성된 IPv6 패킷을 수신한 후 상기 보안 연계 데이터베이스를 참조하여 패킷별 보안 서비스의 선택 여부를 결정하는 제 1 단계;Receiving the packet is a first step of recombining the received IPv6 packet, and after receiving the completed IPv6 packet to determine whether to select a security service for each packet by referring to the security association database; 패킷 헤더에 실려온 SN과 ICV 값을 검사하는 제 2 단계;A second step of examining SN and ICV values carried in the packet header; 보안 서비스의 종류가 AH인지 ESP인지를 구분하여 각각 서비스의 종류에 따라 참조하는 제 3 단계;A third step of identifying whether the type of security service is AH or ESP and referring to each type of service; 터널 헤더를 제거하고 IPv6 패킷 재조합 이전에 상기 제 3 단계를 수행하는 제 4 단계;A fourth step of removing the tunnel header and performing the third step prior to IPv6 packet recombination; 적용된 보안 서비스가 다중일 경우 상기 제 1 단계 내지 제 4 단계를 반복 수행하는 제 5 단계; 및A fifth step of repeating the first to fourth steps when there are multiple applied security services; And 패킷을 다시 IPv6 헤더 제거 기능으로 전달하는 제 6 단계를 포함하는 IPv6 계층에서의 수신 패킷 보호 방법.And a sixth step of forwarding the packet back to the IPv6 header removal function. 제 4 항 내지 제 5 항 중에 적어도 어느 한 항에 있어서, 상기 제 3 단계는 보안 서비스의 종류가 AH인지 ESP인지를 구분하여 각각 서비스의 종류에 따라 패킷의 복호화, 패딩 제거, 디캡슐레이션, 및 상기 보안 정책 데이터베이스를 참조하는 것을 특징으로 하는 IPv6 계층에서의 수신 패킷 보호 방법.The method of claim 4, wherein the third step is to distinguish whether the type of security service is AH or ESP, and to decode, remove padding, decapsulation, and packet according to the type of service, respectively. Receiving packet protection method in the IPv6 layer, characterized in that referring to the security policy database.
KR10-2002-0074616A 2002-11-28 2002-11-28 METHOD FOR SECURING PAEKETS IN IPv6 LAYER KR100522090B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2002-0074616A KR100522090B1 (en) 2002-11-28 2002-11-28 METHOD FOR SECURING PAEKETS IN IPv6 LAYER

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2002-0074616A KR100522090B1 (en) 2002-11-28 2002-11-28 METHOD FOR SECURING PAEKETS IN IPv6 LAYER

Publications (2)

Publication Number Publication Date
KR20040046633A true KR20040046633A (en) 2004-06-05
KR100522090B1 KR100522090B1 (en) 2005-10-18

Family

ID=37342157

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2002-0074616A KR100522090B1 (en) 2002-11-28 2002-11-28 METHOD FOR SECURING PAEKETS IN IPv6 LAYER

Country Status (1)

Country Link
KR (1) KR100522090B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100759819B1 (en) * 2006-05-26 2007-09-18 한국전자통신연구원 Apparatus and method for inspecting extension header of ipv6 packet

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101323852B1 (en) 2007-07-12 2013-10-31 삼성전자주식회사 Virtual Firewall system and the control method for using based on commonness security policy

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100759819B1 (en) * 2006-05-26 2007-09-18 한국전자통신연구원 Apparatus and method for inspecting extension header of ipv6 packet

Also Published As

Publication number Publication date
KR100522090B1 (en) 2005-10-18

Similar Documents

Publication Publication Date Title
US8379638B2 (en) Security encapsulation of ethernet frames
US8984268B2 (en) Encrypted record transmission
US6438612B1 (en) Method and arrangement for secure tunneling of data between virtual routers
US9294506B2 (en) Method and apparatus for security encapsulating IP datagrams
US9369550B2 (en) Protocol for layer two multiple network links tunnelling
US7215667B1 (en) System and method for communicating IPSec tunnel packets with compressed inner headers
US10044841B2 (en) Methods and systems for creating protocol header for embedded layer two packets
US20070214502A1 (en) Technique for processing data packets in a communication network
WO1998032065A2 (en) Improved network security device
JP4107213B2 (en) Packet judgment device
US20080162922A1 (en) Fragmenting security encapsulated ethernet frames
CN112600802B (en) SRv6 encrypted message and SRv6 message encryption and decryption methods and devices
CN108933763B (en) Data message sending method, network equipment, control equipment and network system
KR100415554B1 (en) Method for transmitting and receiving of security provision IP packet in IP Layer
JP2004535704A (en) Condition access method and system for IP service
WO2016165277A1 (en) Ipsec diversion implementing method and apparatus
US7962741B1 (en) Systems and methods for processing packets for encryption and decryption
US7680115B2 (en) Internet protocol based encryptor/decryptor bypass device
KR100522090B1 (en) METHOD FOR SECURING PAEKETS IN IPv6 LAYER
KR100449809B1 (en) Improved method for securing packets providing multi-security services in ip layer
CN100512278C (en) A method for embedding IPSEC in IP protocol stack
KR20050064093A (en) Next generation internet system having a function of packet protection and method of the same
CN118540159A (en) IPSEC-based multi-session design system and operation method
JP2000004226A (en) Communication data concealing system
CN116471345A (en) Data communication method, device, equipment and medium

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20120928

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20130923

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20140926

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20150925

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20170927

Year of fee payment: 13

FPAY Annual fee payment

Payment date: 20181001

Year of fee payment: 14