KR20050058625A - 아이피 버전 식스 인터넷에서 인터넷 프로토콜 보안을이용한 가상사설망 서비스 장치 및 방법 - Google Patents

아이피 버전 식스 인터넷에서 인터넷 프로토콜 보안을이용한 가상사설망 서비스 장치 및 방법 Download PDF

Info

Publication number
KR20050058625A
KR20050058625A KR1020030090564A KR20030090564A KR20050058625A KR 20050058625 A KR20050058625 A KR 20050058625A KR 1020030090564 A KR1020030090564 A KR 1020030090564A KR 20030090564 A KR20030090564 A KR 20030090564A KR 20050058625 A KR20050058625 A KR 20050058625A
Authority
KR
South Korea
Prior art keywords
virtual private
private network
security
information
service
Prior art date
Application number
KR1020030090564A
Other languages
English (en)
Inventor
박원주
서동일
손승원
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020030090564A priority Critical patent/KR20050058625A/ko
Publication of KR20050058625A publication Critical patent/KR20050058625A/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 아이피 버전 식스(IPv6) 인터넷에서 인터넷 프로토콜 보안(IPsec)을 이용한 가상 사설망(VPN) 서비스 장치 및 방법에 관한 것으로, 상기 가상 사설망 서비스 방법은, (a) 가상 사설망 관리자가 터널의 프로파일 정보, 관리 정보, 및 연결 정보를 결정하고, 결정된 상기 정보를 가상 사설망 데이터 베이스 및 보안 정책 데이터 베이스에 저장하는 단계; (b) 패킷의 목적지 주소에 대응되는 가상 사설망 데이터 및 보안 정책을 참조하여 상기 보안 정책 데이터베이스를 조회하고, 상기 조회 결과를 근거로 하여 인터넷 프로토콜 보안(IPsec) 서비스를 가상 사설망 서비스에 적용할 것인지 여부를 판별하는 단계; (c) 상기 (b) 단계에서의 판별 결과, 상기 인터넷 프로토콜 보안서비스를 상기 가상 사설망 서비스에 적용하는 경우, 상기 보안 정책에 따른 암호 및 인증 알고리즘에 따라 보안 연계 협상 및 터널 설정을 수행하고, 상기 수행 결과를 상기 가상 사설망 데이터베이스에 저장하는 단계; 및 (d) 상기 보안 정책 및 상기 (c) 단계에서 협상된 상기 보안 연계 정보 및 상기 터널을 이용하여 가상 사설망에서 패킷을 전송하는 단계를 포함한다.

Description

아이피 버전 식스 인터넷에서 인터넷 프로토콜 보안을 이용한 가상사설망 서비스 장치 및 방법{Apparatus and method for providing virtual private network service using IP security protocol on IPv6 internet}
본 발명은 가상 사설망 서비스 장치 및 방법에 관한 것으로, 특히 IPv6 네트워크 상에서 가상 사설 망 서비스를 제공하기 위한 장치 및 방법에 관한 것이다.
종래의 IPv4(IP version 4) 인터넷에서의 가상 사설망(Virtual Private Network : VPN) 서비스는 제공하는 계층 및 방법에 따라서 PPTP(Point to Point Tunneling Protocol), L2TP(Layer 2 Tunnel Protocol), MPLS VPN(Multiprotocol Label Switching Virtual Private Network) 및 인터넷 프로토콜 보안(IP Security Protocol : IPSec) 등으로 구분되며, 각 프로토콜은 제공하는 서비스별로 가지고 있는 장단점에 따라다양한 시스템에서 적용되고 있다.
이 중에서 IPsec은 보안 서비스를 제공할 수 있는 프로토콜로서, 현재 다양한 운영체제 및 시스템에 구축되어 널리 활용되고 있다. IPsec은 기존의 IPv4 인터넷에서는 선택적인(optional) 서비스로 제한되어 사용되었지만, IPv6(IP version 6) 인터넷에서는 필수적인(mandatory) 서비스로 제공된다. 또한, IPv6은 기존의 IPv4 인터넷의 한계점을 해결하기 위하여 고안된 새로운 인터넷 프로토콜로서, 현재 표준화 작업 및 구현 방법과, IPv4에서 IPv6로의 전환 방법, 그리고 IPv6를 위한 응용 프로그램 등이 개발되고 있어, 그 실현이 가까운 현실로 다가오고 있다.
본 발명이 이루고자 하는 기술적 과제는, IPv6 인터넷에서 필수적으로 제공해야하는 IPsec을 활용한 가상사설망 서비스 장치 및 방법을 제공하는데 있다.
상기의 과제를 이루기 위하여 본 발명에 의한 아이피 버전 식스 인터넷에서 인터넷 프로토콜 보안을 이용한 가상사설망 서비스 장치는, 인터넷 프로토콜 보안(IPsec) 서비스에 필요한 보안 정책 정보를 저장하는 정책 데이터베이스; 상기 인터넷 프로토콜 보안 서비스에 필요한 보안연계 정보 및 가상 사설망 서비스에 필요한 터널 식별 정보, 터널 관리 정보, 터널 프로파일 정보, 및 가입자의 사용자 정보를 저장하는 가상사설망 데이터베이스; 인터넷 프로토콜 보안 서비스 및 상기 인터넷 프로토콜 보안 서비스를 이용한 가상 사설망 서비스를 수행하는 인터넷프로토콜보안엔진/가상사설망엔진; 상기 인터넷프로토콜보안엔진/가상사설망엔진을 제어하는 IPv6 스택; 상기 인터넷프로토콜보안엔진/가상사설망엔진에서 사용하는 키 및 보안 파라미터를 인터넷상에서 자동으로 교환해주는 키교환 엔진; 및 상기 키 및 SA(Security Association)을 관리하는 키관리 라이브러리를 포함하는 것을 특징으로 한다.
상기의 과제를 이루기 위하여 본 발명에 의한 아이피 버전 식스 인터넷에서 인터넷 프로토콜 보안을 이용한 가상사설망 서비스 방법은, (a) 가상 사설망 관리자가 터널의 프로파일 정보, 관리 정보, 및 연결 정보를 결정하고, 결정된 상기 정보를 가상 사설망 데이터 베이스 및 보안 정책 데이터 베이스에 저장하는 단계; (b) 패킷의 목적지 주소에 대응되는 가상 사설망 데이터 및 보안 정책을 참조하여 상기 보안 정책 데이터베이스를 조회하고, 상기 조회 결과를 근거로 하여 인터넷 프로토콜 보안(IPsec) 서비스를 가상 사설망 서비스에 적용할 것인지 여부를 판별하는 단계; (c) 상기 (b) 단계에서의 판별 결과, 상기 인터넷 프로토콜 보안서비스를 상기 가상 사설망 서비스에 적용하는 경우, 상기 보안 정책에 따른 암호 및 인증 알고리즘에 따라 보안 연계 협상 및 터널 설정을 수행하고, 상기 수행 결과를 상기 가상 사설망 데이터베이스에 저장하는 단계; 및 (d) 상기 보안 정책, 상기 보안 연계 협상 결과 및 상기 터널을 이용하여 가상 사설망에서 패킷을 전송하는 단계를 포함하는 것을 특징으로 한다.
이하에서, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예에 대하여 상세히 설명한다.
도 1은 본 발명의 바람직한 실시예에 따른 IPv6 인터넷에서 인터넷 프로토콜 보안(IPsec)을 이용한 가상사설망 장치(100)의 블록도이다.
도 1을 참조하면, 본 발명에 따른 가상사설망 장치(100)는 정책 데이터베이스(110), 가상사설망 데이터베이스(120), 키교환 엔진(130), 키관리 라이브러리(140), IPsec 엔진/VPN 엔진(160), 및 네트워크 인터페이스(170)를 포함한다.
정책 데이터베이스(110)에는 IPsec 적용에 필요한 보안 정책 정보가 저장된다. 가상사설망 데이터베이스(120)에는 IPSec에서 필요한 보안연계(Security Association : SA) 정보 및 가상 사설망 서비스에서 필요한 터널의 식별 정보, 터널의 관리 정보, 터널의 프로파일 정보, 및 가입자의 사용자 정보 등이 저장된다.
IPsec 엔진/VPN 엔진(160)은 IPsec에서 제공하는 터널 모드를 지원하며, 실제 인터넷 프로토콜 보안 서비스 및 IP-VPN 서비스를 수행한다. IPsec 엔진/VPN 엔진(160)은 프로토콜 묶음(suite)인 IPv6 스택의 제어에 의해 구동되며, 인터넷 프로토콜 보안 서비스를 수행하기 위해 키교환 엔진(130) 및 키관리 라이브러리(140)의 동작을 제어하고, 보안 정책 데이터를 유지하는 기능과, 가상 사설망 서비스를 제공하기 위해 가상사설망 데이터베이스(120)를 운용하는 기능을 수행한다.
즉, IPsec 엔진/VPN 엔진(160)은 IPv6 네트워크 상에서 가상 사설 망 서비스를 제공하기 위한 장치로서, IETF에서 인터넷 정보보호 서비스를 위해 표준화한 IPsec 프로토콜을 기반으로 하는 IPv6 네트워크, 또는 IPv4와 IPv6이 공존하는 듀얼 스택(dual stack)을 구비한 네트워크에서 가상 사설망 서비스를 제공하는 동작을 수행한다.
키교환 엔진(130)은 IPsec 엔진/VPN 엔진(160)에서 사용하는 키 및 보안 파라미터를 인터넷상에서 자동으로 교환해주는 동작을 수행하고, 키관리 라이브러리(140)는 키와 SA(Security Association)을 관리해주는 동작을 수행한다.
그리고, 네트워크 인터페이스(170)는 가상 사설망에 연결되어, 타 가상 사설망 장치간의 데이터 송수신을 수행한다.
이와 같은 가상 사설망 장치(100)에 의하면 IPv6 인터넷에서 IPsec을 적용하여 기존의 터널링 서비스를 기반으로 한 가상 사설망 서비스뿐만 아니라, 인터넷 정보 보호 서비스를 제공하는 가상 사설망 서비스를 모두 제어할 수 있다. 이 같은 가상 사설망 장치(100)의 구성은 가상사설망 관리자나 서비스 제공자에 의해 설정될 수 있으며, IPv6 네트워크는 물론, IPv4와 IPv6가 공존하는 듀얼 스택을 구비한 네트워크에서도 적용될 수 있다.
도 2는 도 1에 도시된 가상사설망 데이터베이스(120)의 구성을 보여주는 도면이다. 도 2를 참조하면, 본 발명에 따른 가상사설망 데이터베이스(120)는 크게 가상 사설망 정보 테이블(122)과 보안 연계 정보 테이블(124)로 구분된다. 그리고, 가상 사설망 정보 테이블(122)은 다시 터널 프로파일 정보 테이블(1222), 터널 관리 정보 테이블(1224), 및 사용자 정보 테이블(1226)로 구분된다.
터널 프로파일 정보 테이블(1222)은 가상 사설망의 기초 정보를 저장하는 테이블로서, 가상 사설망의 식별자인 VPN-ID, 가상 사설망의 시작 시간 정보, 유효 시간 정보, 및 상태 정보를 저장한다. 터널 관리 정보 테이블(1224)은 가상 사설망의 관리자 번호, 및 터널 관리에 필요한 암호 정보를 저장하고, 사용자 정보 테이블(1226)은 사용자의 호스트 정보와 가상사설망 정보의 집합으로 표현되어, 한 호스트가 여러 가상 사설망에 속해 있을 때 구분할 수 있도록 한다.
그리고, 보안 연계 정보 테이블(124)은 IPsec에서 적용에서 필요한 보안 연계 정보를 저장한다. 보안 연계 정보 테이블(124)에 저장되는 보안 연계 정보에는 IPsec 적용을 위한 보안 프로토콜, 프로토콜에 관련된 알고리즘, 알고리즘에서 활용할 키, 키의 길이, 초기 벡터 값, 보안 연계의 유효 시간, 보안 연계 대상의 목적지 정보, 및 SPI(Security Parameters Index) 정보가 포함된다.
이 같은 구성을 가지는 가상 사설망 데이터베이스(120)의 정보는 가상 사설망 관리자(101)에 의해 설정된다.
도 3은 본 발명의 바람직한 실시예에 따른 가상 사설망 장치가 적용된 보안 게이트웨이 및 호스트의 구성을 보여주는 도면으로, IPsec을 기반으로 하는 가상 사설망 장치를 탑재한 보안 게이트웨이 및 호스트의 구성이 도시되어 있다.
도 3을 참조하면, 피씨 라우터 A에 가상 사설망 장치를 탑재하고, IPv6 라우터 B의 안쪽에 IPsec을 지원하는 피씨 라우터 C가 접속하게 되면, 피씨 라우터 A와 C는 Tunnel ESP(The Encapsulating Security Payload)를 적용하여 VPN 서비스를 제공받을 수 있게 된다. 이 때, 피씨 라우터 A와 C는 각각 가상 사설망 데이터베이스(120a, 120c)를 유지하면서 자신의 안쪽에 위치한 호스트에게 가상 사설망 서비스를 제공할 수 있게 된다.
그리고, 호스트 D에 본 발명의 가상 사설망 장치를 탑재하게 되면, 피씨 라우터 C와 호스트 D는 또 다른 Tunnel ESP를 적용한 가상 사설망 터널을 생성할 수도 있다. 이를 위해 각 가상 사설망 장치는 IPsec 엔진/VPN 엔진(160) 외에, 가상 사설망을 적용하기 위한 가상 사설망 데이터베이스(120a-120d)를 유지하고, 필요한 정보를 협상해야한다. 가상 사설망 데이터베이스(120a-120d)에 저장되는 정보는 도 2에 도시된 가상 사설망 관리자(101)에 의해 설정된다.
도 4는 본 발명의 바람직한 실시예에 따른 IP-VPN 서비스 방법을 설명하기 위한 도면으로서, 도 4에는 도 3에 도시된 가상 사설망 장치들간의 IP-VPN 서비스 수행 절차가 도시되어 있다.
도 4를 참조하면, 먼저 제 1 가상 사설망 장치(VPN 장치 1)와 제 2 가상 사설망 장치(VPN 장치 2) 간의 정책협상이 초기화되어(화살표 0 참조), 정책협상이 수행되고(화살표 1 참조), 그 결과는 각각의 정책 데이터베이스(110a, 110c)에 저장된다(화살표 2 참조).
이어서, 임의의 가상 사설망 사용자(사용자 1)가 제 1 가상 사설망 장치에 접속하게 되면(화살표 3 참조), 제 1 가상 사설망 장치는 정책을 조회하여(화살표 4 참조) 제 2 가상 사설망 장치에게 VPN 초기화를 요구한다(화살표 5 참조). 제 2 가상 사설망 장치는 제 1 가상 사설망 장치로부터 입력된 VPN 초기화 요구에 응답해서 VPN 초기화를 수행한다(화살표 6 참조). 이 때, 수행된 VPN 초기화 결과는 각각의 가상 사설망 데이터베이스(120a, 120c)에 저장된다(화살표 7 참조).
그리고, 두 가상 사설망 장치들간의 양방향 보안 연계 협상이 수행되고(화살표 8 참조), 보안 연계 협상의 결과는 각각의 가상 사설망 데이터베이스(120a, 120c)에 저장된다(화살표 9 참조). 그리고 나서, 사용자 패킷이 송수신되고(화살표 10 참조), 두 가상 사설망 장치들에서는 터널링 헤더 및 IPsec이 처리된다(화살표 11 참조). 그리고, 두 가상 사설망 장치들은 VPN 처리 결과 얻어진 가상 사설망 터널을 통해서 데이터를 전송하게 된다(화살표 12 참조).
계속해서, 제 1 사용자(사용자 1)로부터 가상 사설망 터널 삭제 요구가 발생되면(화살표 13 참조), 제 1 가상 사설망 장치는 제 2 가상 사설망 장치에게 가상 사설망 터널을 삭제할 것을 요구한다(화살표 14 참조). 제 2 가상 사설망 장치는 상기 터널 삭제 요구에 응답해서 해당 터널을 가상 사설망 데이터베이스(120c)에서 삭제하고(화살표 15 참조), 제 1 가상 사설망 장치에게 가상 사설망 터널 삭제 응답을 보낸다(화살표 16 참조). 제 1 가상 사설망 장치는 제 2 가상 사설망 장치로부터 입력된 가상 사설망 터널 삭제 응답을 받아들여 해당 가상 사설망 터널이 삭제되었음을 확인하고(화살표 17 참조), 자신의 가상 사설망 데이터베이스(120a)에서 해당 가상 사설망 터널을 삭제한다(화살표 18 참조).
앞에서 설명한 바와 같이, 사용자가 임의의 사이트에 접속하여 새로운 가상 사설망 사용자가 추가되면, 먼저 가상 사설망 협상이 이루어지고, 실제적인 데이터 교환이 수행된다. 이 때 가상 사설망 장치들 사이에서 수행되는 패킷 교환 절차를 살펴보면 다음과 같다.
도 5는 본 발명의 바람직한 실시예에 따른 IPsec을 이용한 IPv6 스택에서의 가상 사설망 서비스 방법을 보여주는 흐름도로서, IPsec 엔진/VPN 엔진(160)에 의해 수행되는 동작을 보여준다.
도 5를 참조하면, 먼저 사용자가 접속되면(1610 단계), 가상 사설망 관리자가 터널의 프로파일 정보, 관리 정보, 및 연결 정보를 결정하고, 결정된 정보를 가상 사설망 데이터 베이스(120) 및 보안 정책 데이터 베이스(110)에 각각 저장한다.
이어서, 패킷의 목적지 주소에 대응되는 가상 사설망 데이터와 보안 정책을 참조하여 정책 데이터베이스(110)를 조회하고, 조회 결과를 근거로 하여 인터넷 프로토콜 보안(IPsec) 서비스를 이용한 가상 사설망 서비스를 적용할 것인지 여부를 판별한다(1620 단계).
1620 단계에서의 판별 결과, IPsec을 이용한 가상 사설망 서비스를 적용하는 경우, 가상 사설망 서비스를 제공하기 위해 가상 사설망 관리자는 먼저 가상 사설망을 초기화한다(1630 단계). 그리고, 보안 정책에 따른 암호 및 인증 알고리즘에 따라서 보안 연계 협상을 수행하고, 터널을 설정한다(1640 단계). 그리고 나서, 그 수행 결과를 가상 사설망 데이터베이스(120)에 저장한다.
이어서, 1640 단계에서 협상된 보안 연계 정보와, 보안 정책에 따라 IPsec을 적용하여 설정된 터널을 통해 패킷을 전송하게 된다(1650 단계). 그리고, 패킷 전송이 모두 수행되고 나면 가상 사설망의 설정이 해지되고(1660 단계), 1630 및 1640 단계에서 설정된 정보를 가상 사설망 데이터베이스(120)로부터 삭제한다(1660 단계).
한편, 1620 단계에서의 판별 결과, IPsec을 이용한 가상 사설망 서비스를 적용하지 않는 경우, 가상 사설망을 사용하지 않고 데이터 송수신을 수행한다(1670 단계).
앞에서 설명한 바와 같이, IPv6은 기존의 IPv4 주소 체계로서는 대처하기 어려운 무선 인터넷, 정보가전 등의 신규 IP 주소 할당 문제를 해결할 수 있는 프로토콜로서 대두되고 있다.
본 발명에서는 이와 같이 IPv6에 인터넷 정보보호 서비스의 필수사항으로 제정된 IPsec 프로토콜을 기반으로 하여 IPv6 네트워크에서 가상 사설망 서비스를 제공하게 된다. 이는, IP 계층에서 정보보호 서비스를 제공하기 때문에 특정한 응용 서비스에 국한되지 않고 IP 계층을 지나는 모든 패킷에 정보보호 서비스를 제공하게 된다. 이와 같은 가상 사설망 서비스는 IPv6 인터넷 환경 뿐만 아니라, IPv4와 IPv6이 공존하는 듀얼 스택 시스템의 IPv6 스택에도 활용할 수 있기 때문에, 그 적용 시스템 범위가 매우 넓은 특징을 가진다.
본 발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드로 저장되고 실행될 수 있다.
이상에서와 같이 도면과 명세서에서 최적 실시예가 개시되었다. 여기서 특정한 용어들이 사용되었으나, 이는 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의미한정이나 특허청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것은 아니다. 그러므로 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호 범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.
이상에 설명한 바와 같이, 본 발명에 의한 아이피 버전 식스 인터넷에서 인터넷 프로토콜 보안을 이용한 가상사설망 서비스 장치 및 방법에 의하면, IP 계층에서 정보보호 서비스를 제공함으로써, 특정한 응용 서비스에 국한되지 않고 IP 계층을 지나는 모든 패킷에 대해 정보보호 서비스를 제공할 수 있다. 그리고, 가상사설망 서비스를 IPv6 인터넷에 적용함으로써 전용선의 비용을 절감시킬 수 있다.
도 1은 본 발명의 바람직한 실시예에 따른 IPv6 인터넷에서 인터넷 프로토콜 보안(IPsec)을 이용한 가상사설망(VPN) 장치의 블록도이다.
도 2는 도 1에 도시된 가상사설망 데이터베이스의 구성을 보여주는 도면이다.
도 3은 본 발명의 바람직한 실시예에 따른 가상사설망 장치가 적용된 보안 게이트웨이 및 호스트의 구성을 보여주는 도면이다.
도 4는 본 발명의 바람직한 실시예에 따른 IP-VPN 서비스 방법을 설명하기 위한 도면이다.
도 5는 본 발명의 바람직한 실시예에 따른 IPsec을 이용한 IPv6 스택에서의 가상사설망 서비스 방법을 보여주는 흐름도이다.
< 도면의 주요 부분에 대한 부호의 설명 >
100 : 가상사설망 장치 110 : 정책 데이터베이스
120 : 가상사설망 데이터베이스 130 : 키교환 엔진
140 : 키관리 라이브러리 160 : IPsec 엔진/VPN 엔진
170 : 네트워크 인터페이스

Claims (6)

  1. 인터넷 프로토콜 보안(IPsec) 서비스에 필요한 보안 정책 정보를 저장하는 정책 데이터베이스;
    상기 인터넷 프로토콜 보안 서비스에 필요한 보안연계 정보 및 가상 사설망 서비스에 필요한 터널 식별 정보, 터널 관리 정보, 터널 프로파일 정보, 및 가입자의 사용자 정보를 저장하는 가상사설망 데이터베이스;
    인터넷 프로토콜 보안 서비스 및 상기 인터넷 프로토콜 보안 서비스를 이용한 가상 사설망 서비스를 수행하는 인터넷프로토콜보안엔진/가상사설망엔진;
    상기 인터넷프로토콜보안엔진/가상사설망엔진을 제어하는 IPv6 스택;
    상기 인터넷프로토콜보안엔진/가상사설망엔진에서 사용하는 키 및 보안 파라미터를 인터넷상에서 자동으로 교환해주는 키교환 엔진; 및
    상기 키 및 SA(Security Association)을 관리하는 키관리 라이브러리를 포함하는 것을 특징으로 하는 아이피 버전 식스 인터넷에서 인터넷 프로토콜 보안을 이용한 가상사설망 서비스 장치.
  2. 제 1 항에 있어서,
    상기 가상사설망 서비스 장치는, 상기 가상사설망 서비스 장치와 연결된 타 가상 사설망 장치와의 데이터 송수신을 수행하는 네트워크 인터페이스를 더 포함하는 것을 특징으로 하는 아이피 버전 식스 인터넷에서 인터넷 프로토콜 보안을 이용한 가상사설망 서비스 장치.
  3. 제 1 항에 있어서,
    상기 인터넷프로토콜보안엔진/가상사설망엔진은, 상기 키교환 엔진 및 상기 키관리 라이브러리의 동작을 제어하고, 상기 보안 정책 정보를 유지하는 기능과, 상기 가상사설망 데이터베이스를 운용하는 기능을 수행하는 것을 특징으로 하는 아이피 버전 식스 인터넷에서 인터넷 프로토콜 보안을 이용한 가상사설망 서비스 장치.
  4. 제 1 항에 있어서,
    상기 인터넷프로토콜보안엔진/가상사설망엔진은 IPv6 네트워크, 또는 IPv4 및 IPv6이 공존하는 듀얼 스택이 구비된 네트워크에서 가상 사설망 서비스를 제공하는 것을 특징으로 하는 아이피 버전 식스 인터넷에서 인터넷 프로토콜 보안을 이용한 가상사설망 서비스 장치.
  5. 제 1 항에 있어서, 상기 가상사설망 데이터베이스는
    상기 가상 사설망의 식별자 정보, 상기 가상 사설망의 시작 시간 정보, 유효 시간 정보, 및 상태 정보를 저장하는 터널 프로파일 정보 테이블;
    상기 가상 사설망의 관리자 번호 및 터널 관리에 필요한 암호 정보를 저장하는 터널 관리 정보 테이블;
    사용자의 호스트 정보 및 가상 사설망 정보의 집합으로 표현되어, 한 호스트가 여러 가상 사설망에 속해 있을 때 구분할 수 있도록 하는 사용자 정보 테이블; 및
    상기 인터넷 프로토콜 보안 서비스에 필요한 상기 보안 연계 정보를 저장하는 보안 연계 정보 테이블을 포함하는 것을 특징으로 하는 아이피 버전 식스 인터넷에서 인터넷 프로토콜 보안을 이용한 가상사설망 서비스 장치.
  6. (a) 가상 사설망 관리자가 터널의 프로파일 정보, 관리 정보, 및 연결 정보를 결정하고, 결정된 상기 정보를 가상 사설망 데이터 베이스 및 보안 정책 데이터 베이스에 저장하는 단계;
    (b) 패킷의 목적지 주소에 대응되는 가상 사설망 데이터 및 보안 정책을 참조하여 상기 보안 정책 데이터베이스를 조회하고, 상기 조회 결과를 근거로 하여 인터넷 프로토콜 보안(IPsec) 서비스를 가상 사설망 서비스에 적용할 것인지 여부를 판별하는 단계;
    (c) 상기 (b) 단계에서의 판별 결과, 상기 인터넷 프로토콜 보안서비스를 상기 가상 사설망 서비스에 적용하는 경우, 상기 보안 정책에 따른 암호 및 인증 알고리즘에 따라 보안 연계 협상 및 터널 설정을 수행하고, 상기 수행 결과를 상기 가상 사설망 데이터베이스에 저장하는 단계; 및
    (d) 상기 보안 정책, 상기 보안 연계 협상 결과 및 상기 터널을 이용하여 가상 사설망에서 패킷을 전송하는 단계를 포함하는 것을 특징으로 하는 아이피 버전 식스 인터넷에서 인터넷 프로토콜 보안을 이용한 가상사설망 서비스 방법.
KR1020030090564A 2003-12-12 2003-12-12 아이피 버전 식스 인터넷에서 인터넷 프로토콜 보안을이용한 가상사설망 서비스 장치 및 방법 KR20050058625A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020030090564A KR20050058625A (ko) 2003-12-12 2003-12-12 아이피 버전 식스 인터넷에서 인터넷 프로토콜 보안을이용한 가상사설망 서비스 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020030090564A KR20050058625A (ko) 2003-12-12 2003-12-12 아이피 버전 식스 인터넷에서 인터넷 프로토콜 보안을이용한 가상사설망 서비스 장치 및 방법

Publications (1)

Publication Number Publication Date
KR20050058625A true KR20050058625A (ko) 2005-06-17

Family

ID=37251957

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020030090564A KR20050058625A (ko) 2003-12-12 2003-12-12 아이피 버전 식스 인터넷에서 인터넷 프로토콜 보안을이용한 가상사설망 서비스 장치 및 방법

Country Status (1)

Country Link
KR (1) KR20050058625A (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100814400B1 (ko) * 2006-01-12 2008-03-18 삼성전자주식회사 IPv4/IPv6 통합 네트워크 시스템의 보안 통신방법 및 그 장치
KR100940525B1 (ko) * 2007-11-21 2010-02-10 한국전자통신연구원 소켓 레벨 가상 사설망 통신 장치 및 방법
KR101218698B1 (ko) * 2006-02-03 2013-01-04 주식회사 엘지씨엔에스 복수의 ip 버전을 지원하는 네트워크 보안솔루션구현방법
KR101329968B1 (ko) * 2011-12-29 2013-11-13 주식회사 시큐아이 IPSec VPN 장치들 사이의 보안 정책을 결정하기 위한 방법 및 시스템

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100814400B1 (ko) * 2006-01-12 2008-03-18 삼성전자주식회사 IPv4/IPv6 통합 네트워크 시스템의 보안 통신방법 및 그 장치
US8266428B2 (en) 2006-01-12 2012-09-11 Samsung Electronics Co., Ltd. Secure communication system and method of IPv4/IPv6 integrated network system
KR101218698B1 (ko) * 2006-02-03 2013-01-04 주식회사 엘지씨엔에스 복수의 ip 버전을 지원하는 네트워크 보안솔루션구현방법
KR100940525B1 (ko) * 2007-11-21 2010-02-10 한국전자통신연구원 소켓 레벨 가상 사설망 통신 장치 및 방법
US8011004B2 (en) 2007-11-21 2011-08-30 Electronics And Telecommunications Research Institute Apparatus and method for VPN communication in socket-level
KR101329968B1 (ko) * 2011-12-29 2013-11-13 주식회사 시큐아이 IPSec VPN 장치들 사이의 보안 정책을 결정하기 위한 방법 및 시스템

Similar Documents

Publication Publication Date Title
US7366784B2 (en) System and method for providing and using a VLAN-aware storage device
US11038846B2 (en) Internet protocol security tunnel maintenance method, apparatus, and system
JP4382328B2 (ja) セキュアストレージシステム
KR100416541B1 (ko) 홈게이트웨이와 홈포탈서버를 이용한 홈네트워크 접근방법 및 그 장치
US7346770B2 (en) Method and apparatus for traversing a translation device with a security protocol
US7162630B2 (en) Systems and methods for implementing host-based security in a computer network
US7562213B1 (en) Approaches for applying service policies to encrypted packets
US7107614B1 (en) System and method for network address translation integration with IP security
US6438612B1 (en) Method and arrangement for secure tunneling of data between virtual routers
JP6884818B2 (ja) Vxlan実装方法、ネットワークデバイス、および通信システム
US20030105830A1 (en) Scalable network media access controller and methods
US8364948B2 (en) System and method for supporting secured communication by an aliased cluster
JP4634349B2 (ja) IPSec処理装置、ネットワークシステム、及びIPSec処理プログラム
CN107404470A (zh) 接入控制方法及装置
US7783035B2 (en) Systems and methods for implementing host-based security in a computer network
JP2000332825A (ja) 移動通信方法、移動計算機装置、計算機管理装置及び暗号化通信装置
EP1328105B1 (en) Method for sending a packet from a first IPsec client to a second IPsec client through a L2TP tunnel
WO2006095438A1 (ja) アクセス制御方法、アクセス制御システムおよびパケット通信装置
US20050265366A1 (en) Virtual private network system, communication terminal, and remote access communication method therefor
US7428594B2 (en) File server system
KR20050058625A (ko) 아이피 버전 식스 인터넷에서 인터넷 프로토콜 보안을이용한 가상사설망 서비스 장치 및 방법
JP3779914B2 (ja) ゲートウェイ装置及び該装置を用いたアクセス方法
JP2019216371A (ja) ネットワーク制御装置、ユーザ端末、通信システム、ネットワーク制御方法およびネットワーク制御プログラム
KR100447681B1 (ko) 아이피섹을 이용한 통합 키관리 방법 및 이를 위한 기록매체
JP4312650B2 (ja) アクセスネットワークシステム及び方法

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application