KR20050064093A - 패킷 보호 기능을 구비한 차세대 인터넷 시스템 및 패킷보호 방법 - Google Patents

패킷 보호 기능을 구비한 차세대 인터넷 시스템 및 패킷보호 방법 Download PDF

Info

Publication number
KR20050064093A
KR20050064093A KR1020030095370A KR20030095370A KR20050064093A KR 20050064093 A KR20050064093 A KR 20050064093A KR 1020030095370 A KR1020030095370 A KR 1020030095370A KR 20030095370 A KR20030095370 A KR 20030095370A KR 20050064093 A KR20050064093 A KR 20050064093A
Authority
KR
South Korea
Prior art keywords
packet
security
service
security service
mode
Prior art date
Application number
KR1020030095370A
Other languages
English (en)
Inventor
박소희
나재훈
남택용
손승원
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020030095370A priority Critical patent/KR20050064093A/ko
Publication of KR20050064093A publication Critical patent/KR20050064093A/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

패킷 보호 기능을 구비한 차세대 인터넷 시스템 및 패킷 보호 방법이 개시된다. 보안서비스확인부는 보안정책 데이터베이스와 보안연계 데이터베이스를 검색하여 인터넷을 통해 전송할 패킷에 보안서비스가 선택되어 있는지를 검사하고, 보안서비스가 선택된 경우 보안 연계 데이터베이스의 보안서비스의 종류 및 모드를 파악한다. AH서비스부는 패킷 수신지에서 인증 데이터를 계산한 후 원래의 값과 비교할 수 있도록 인증 데이터를 계산하고, 재전송 공격을 방지할 수 있도록 SN 값을 생성하여 AH 내에 삽입한다. ESP서비스부는 패킷에 대한 인캡슐레이션을 수행한 후 데이터의 길이를 블록 암호화 알고리즘에 적용할 수 있도록 패딩하고 패킷 암호화를 수행하며, 패킷 암호화가 완료된 후 패킷 수신지에서 인증 데이터를 계산한 후 원래의 값과 비교할 수 있도록 인증 데이터를 계산하고, 재전송 공격을 방지할 수 있도록 SN 값을 생성하여 ESP 헤더 내에 삽입한다. 본 발명에 따르면, 상위 응용 계층으로부터 발생된 메시지가 차세대 인터넷을 통해 전달될 수 있는 IPv6 패킷의 형태로 변형되는 과정에서 정보보호 서비스를 선택적으로 제공할 수 있다.

Description

패킷 보호 기능을 구비한 차세대 인터넷 시스템 및 패킷 보호 방법{Next generation Internet system having a function of packet protection and method of the same}
본 발명은 패킷 보호 방법에 관한 것으로, 보다 상세하게는, 차세대 인터넷에서 보안 서비스 제공을 위하여 IPv6 계층에 통합된 형태의 패킷 보호 기능 제공을 위한 IPsecv6(Internet Protocol Security version 6) 패킷 보호 기능을 구비한 차세대 인터넷 시스템 및 패킷 보호 방법에 관한 것이다.
종래의 인터넷 정보보호 기술들은 응용 계층의 서비스별로 정보보호를 수행하는 방법들을 사용한다. 종래의 인터넷 정보보호 기술들은 인터넷 서비스별로 정보보호 방법이 존재하므로, 정보보호를 인터넷 서비스에서 제공하기 위해서는 응용 계층 서비스 프로그램의 변경이 반드시 요구된다. 따라서, 종래의 인터넷 정보보호 기술들은 사용자 및 인터넷 서비스 제공자에게 많은 경제적 지출을 유발하는 문제점을 가지고 있으며, 망이 확대되고 서비스의 다양화되는 차세대 인터넷에서는 이러한 문제점이 보다 크게 나타난다.
본 발명이 이루고자 하는 기술적 과제는 차세대 인터넷에서 응용 계층 서비스 프로그램에 영향을 주지 아니하고 독립적인 구현 및 운용이 가능한 IPv6 계층에서 패킷별로 보안 서비스를 제공할 수 있고, IPv6계층에 통합된 형태로 구현함으로써 보안 서비스의 성능을 향상시킬 수 있는 패킷 보호 기능을 구비한 차세대 인터넷 시스템 및 패킷 보호 방법을 제공하는 데 있다.
본 발명이 이루고자 하는 다른 기술적 과제는 차세대 인터넷에서 응용 계층 서비스 프로그램에 영향을 주지 아니하고 독립적인 구현 및 운용이 가능한 IPv6 계층에서 패킷별로 보안 서비스를 제공할 수 있고, IPv6계층에 통합된 형태로 구현함으로써 보안 서비스의 성능을 향상시킬 수 있는 패킷 보호 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공하는 데 있다.
상기의 기술적 과제를 달성하기 위한, 본 발명에 따른 패킷 보호 기능을 구비한 차세대 인터넷 시스템의 일 실시예는, 보안정책 데이터베이스와 보안연계 데이터베이스를 검색하여 인터넷을 통해 전송할 패킷에 보안서비스가 선택되어 있는지를 검사하고, 보안서비스가 선택된 경우 보안 연계 데이터베이스의 보안서비스의 종류 및 모드를 파악하는 보안서비스확인부; 패킷 수신지에서 인증 데이터를 계산한 후 원래의 값과 비교할 수 있도록 인증 데이터(Integrity Check Value : ICV)를 계산하고, 재전송 공격을 방지할 수 있도록 SN(Sequence Number) 값을 생성하여 AH(Authentication Header) 내에 삽입하는 AH서비스부; 및 패킷에 대한 인캡슐레이션(encapsulation)을 수행한 후 데이터의 길이를 블록 암호화 알고리즘에 적용할 수 있도록 패딩하고 패킷 암호화를 수행하며, 패킷 암호화가 완료된 후 패킷 수신지에서 인증 데이터를 계산한 후 원래의 값과 비교할 수 있도록 인증 데이터를 계산하고, 재전송 공격을 방지할 수 있도록 SN 값을 생성하여 ESP(Encapsulating Security Payload) 헤더 내에 삽입하는 ESP서비스부;를 구비한다.
상기의 기술적 과제를 달성하기 위한, 본 발명에 따른 패킷 보호 기능을 구비한 차세대 인터넷 시스템의 다른 실시예는, 보안연계 데이터베이스를 검색하여 인터넷을 통해 수신된 패킷에 대해 보안 서비스가 선택되었는지를 검사하고, 보안연계 데이터베이스의 보안서비스의 종류 및 모드를 파악하며, 수신된 패킷의 내용을 이용하여 인증데이터를 생성한 후 AH 또는 ESP 헤더 내의 ICV 값과 비교하는 보안서비스확인부; 보안정책 데이터베이스를 참조하여 현재 수신된 패킷이 보안정책에 맞게 처리되었는지를 검사하는 AH서비스부; 및 상기 수신된 패킷을 복호화하고, 블록 암호 알고리즘 처리를 위해 부가하였던 패딩를 제거한 후 패킷에 대한 디캡슐레이션(decapsulation)을 수행하며, 암호화된 패킷의 복호화과정을 통해 암호화 이전의 패킷으로 재생한 후 보안정책 데이터베이스를 참조하여 현재 수신된 패킷이 보안 정책에 맞게 처리되었는지를 검사하는 ESP서비스부;를 구비한다.
상기의 다른 기술적 과제를 달성하기 위한, 본 발명에 따른 패킷 보호 방법의 일 실시예는, 송신하고자 하는 패킷의 IPv6 헤더와 확장 헤더를 생성한 후 보안정책 데이터베이스 및 보안연계 데이터베이스를 참조하여 패킷별 보안서비스의 선택여부를 결정하는 단계; 상기 선택된 보안서비스의 종류를 확인하는 단계; 및 상기 보안서비스의 종류가 AH(Authentication Header) 서비스이면 제1보안서비스적용과정을 수행하고, ESP(Encapsulating Security Payload) 서비스이면 제2보안서비스적용과정을 수행하는 단계;를 포함하며, 상기 제1보안서비스적용과정은, 패킷 수신지에서 인증 데이터를 계산한 후 원래의 값과 비교할 수 있도록 인증 데이터(Integrity Check Value : ICV)를 계산하는 단계; 및 재전송 공격을 방지할 수 있도록 SN 값을 생성하여 AH(Authentication Header) 내에 삽입하는 단계;를 포함하고, 상기 제2보안서비스적용과정은, 패킷에 대한 인캡슐레이션(encapsulation)을 수행한 후 데이터의 길이를 블록 암호화 알고리즘에 적용할 수 있도록 패딩하는 단계; 패킷 암호화를 수행하고, 패킷 수신지에서 인증 데이터를 계산한 후 원래의 값과 비교할 수 있도록 인증 데이터를 계산하는 단계; 및 재전송 공격을 방지할 수 있도록 SN 값을 생성하여 ESP(Encapsulating Security Payload) 헤더 내에 삽입하는 단계;를 포함한다.
상기의 다른 기술적 과제를 달성하기 위한, 본 발명에 따른 패킷 보호 방법의 다른 실시예는, 인터넷을 통해 수신된 IPv6 패킷에 대해 보안연계 데이터베이스를 참조하여 패킷별 보안서비스의 선택여부를 결정하는 단계; 상기 수신된 패킷의 헤더에 포함되어 있는 SN 값을 기초로 재전송공격에 대한 가능성을 파악하고, 상기 수신된 패킷의 내용을 이용하여 인증데이터를 생성한 후 상기 패킷의 헤더에 포함되어 있는 인증 데이터 값과 비교하는 단계; 상기 패킷에 대해 적용된 보안서비스의 종류를 파악하는 단계; 상기 보안서비스의 종류가 AH(Authentication Header) 서비스이면 제1보안서비스해제과정을 수행하고, ESP(Encapsulating Security Payload) 서비스이면 제2보안서비스해제과정을 수행하는 단계;를 포함하며, 상기 제1보안서비스해제과정은 보안정책 데이터베이스를 참조하여 상기 수신된 패킷이 보안정책에 맞게 처리되었는지를 검사하는 단계를 포함하고, 상기 제2보안서비스해제과정은, 상기 수신된 패킷을 복호화하는 단계; 블록암호 알고리즘 처리를 위해 부가되었던 패딩을 제거하는 단계; 패딩이 제거된 패킷에 대한 디캡슐레이션을 수행하는 단계; 및 상기 보안정책 데이터베이스를 참조하여 상기 수신된 패킷이 보안정책에 맞게 처리되었는지를 검사하는 단계;를 포함한다.
이에 의해, 상위 응용 계층으로부터 발생된 메시지가 차세대 인터넷을 통해 전달될 수 있는 IPv6 패킷의 형태로 변형되는 과정에서 정보보호 서비스를 선택적으로 제공할 수 있다.
이하에서 첨부된 도면들을 참조하여 본 발명에 따른 보안 서비스를 제공하는 IPv6 계층에 통합된 형태의 패킷 보호 기능을 구비한 차세대 인터넷 시스템 및 패킷 보호 방법을 상세하게 설명한다.
도 1a 및 도 1b는 각각 종래의 차세대 인터넷 시스템의 프로토콜 스택과 본 발명에 따른 패킷 보호 방법이 적용되는 차세대 인터넷 시스템의 프로토콜 스택을 도시한 도면이다.
도 1a를 참조하면, 사용자의 응용 프로그램은 타 시스템과의 통신을 위해 시스템 커널의 BSD와 INET 소켓 계층을 거쳐 네트워크 프로토콜별로 TCPv6(Transmission Control Protocol Version 6), UDPv6(User Datagram Protocol Version 6), ICMPv6(Internet Control Messages Protocol Version 6) 및 IGMPv6(Internet Group Multicasting Protocol Version 6) 프로토콜 처리 모듈을 거치고, IPv6 계층을 지남으로써 차세대 인터넷의 기본적인 통신 단위인 IPv6 패킷을 생성한다. 이와 같이 생성된 IPv6 패킷은 데이터 링크 계층 프로토콜 특성에 따라 PPP(Point-to-Point Protocol), SLIP(Serial Line Interface Protocol), Ethernet 등의 네트워크 디바이스 드라이버 계층을 지남에 따라 IPv6 패킷에 부가적인 네트워크 헤더를 추가한 후 인터넷으로 전송된다.
도 1b를 참조하면, 본 발명에 따른 패킷 보호 방법이 적용되는 차세대 인터넷 시스템의 프로토콜 스택은 응용 계층 서비스 프로그램에 영향을 주지 아니하고 독립적인 구현 및 운용이 가능한 IPv6 계층에서 패킷별로 정보보호 서비스를 제공하기 위하여 IPv6 계층에 통합된 형태로 IPsec 계층이 추가된다. 추가된 IPsec 계층에서는 IPv6 계층을 통과하는 모든 패킷에 대한 보안 서비스의 적용 및 해제 기능을 수행한다. 하위 계층으로부터 수신되는 패킷은 보안 서비스를 해제하는 기능에 의해 처리된 후 기존의 IPv6 계층에서 필요한 처리가 수행되며, 상위 계층으로부터 수신되는 패킷은 보안 서비스를 적용하는 기능에 의해 변경된 후 데이터 링크 계층으로 전달된다.
도 2는 본 발명에 따른 패킷 보호 기능을 구비한 차세대 인터넷 시스템의 상세한 구성을 도시한 블록도이다.
도 2를 참조하면, 본 발명에 따른 패킷 보호 기능을 구비한 차세대 인터넷 시스템은 응용모듈(210), 전송모듈(220), 인터넷모듈(230), 네트워크접속모듈(240), 및 보안모듈(250)로 구성된다.
응용모듈(210)은 사용자와의 인터페이스 수단을 제공하며, IPv6 주소를 가진 시스템으로 임의의 정보를 인터넷을 통해 전송하기 위한 소켓을 생성한다. 응용모듈(210)은 소켓계층에서 통신을 위한 소켓을 생성하고 INET6 소켓을 생성한 후 생성된 소켓을 통해 데이터를 전송모듈(220)로 내려보낸다. 또한, INET6 소켓과 통신 소켓을 통해 전송모듈(220)로부터 TCP 헤더가 제거된 패킷을 전달받는다.
전송모듈(220)은 TCPv6 계층에 해당하며, TCP 헤더를 상위 응용 계층으로부터 내려온 데이터에 부가한 후 인터넷모듈(230)로 내려보낸다. 또한, 전송모듈(220)은 인터넷모듈(230)로부터 전달받은 IPv6 헤더가 제거된 패킷에서 TCP 헤더를 제거한 후 INET6 소켓과 통신 소켓을 통해 응용모듈(210)로 제공한다.
인터넷모듈(230)은 IPv6 계층에 해당하며, 전송모듈(220)로부터 내려온 데이터에 IP 헤더를 부가하여 IPv6 패킷을 조립하고 확장 헤더를 추가한다. 또한, 인터넷모듈(230)은 네트워크접속모듈(240)로부터 전달받은 IPv6 패킷에서 IPv6 헤더를 제거한 후 전송모듈(220)로 제공한다. 나아가, 인터넷모듈(230)은 인터넷으로 전송될 패킷을 단편화하거나 인터넷으로부터 수신된 단편화된 패킷을 하나의 패킷으로 조립한다.
네트워크접속모듈(240)은 인터넷모듈(230)로부터 전달받은 데이터에 물리계층의 전송로 특성에 따른 데이터 링크 헤더가 부가된 프레임을 생성한 후 이를 인터넷으로 전송한다. 또한, 네트워크접속모듈(240)은 인터넷으로부터 수신된 프레임에서 데이터 링크 헤더를 제거한 후 이를 인터넷모듈(230)로 전달한다.
보안모듈(250)은 패킷의 송신시에는 보안서비스를 적용하고 패킷의 수신시에는 보안서비스를 해제한다. 보안모듈(250)은 인터넷모듈(230)과 네트워크접속모듈(240) 사이에서 동작한다. 보안모듈(250)은 보안서비스확인부(252), AH서비스부(254), 및 ESP서비스부(256)로 구성된다.
먼저, 패킷의 송신시 보안모듈(250)의 동작을 설명한다.
보안서비스확인부(252)는 보안 정책 데이터베이스와 보안 연계 데이터베이스를 검색하여 보안 서비스가 선택되어 있는지를 검사하고, 보안 서비스가 선택된 경우 보안연계 데이터베이스의 보안 서비스의 종류(즉, AH 서비스 및 ESP 서비스)를 파악한다. 아울러, 보안 서비스의 모드가 트랜스포트 모드일 경우에는 IPv6 패킷에 대한 단편화를 수행하기 전에 보안 서비스를 적용하고, 터널 모드일 경우에는 IPv6 패킷에 대한 단편화를 수행한 후에 보안 서비스를 적용한다. 터널 모드일 경우 필요하다면 추가적인 IPv6 패킷 단편화를 수행한다.
AH서비스부(254)는 패킷 수신지에서 인증 데이터를 계산한 후 원래의 값과 비교할 수 있도록 인증 데이터(Integrity Check Value : ICV)를 계산하고, 재전송 공격을 방지할 수 있도록 SN 값을 생성하여 AH 헤더 내에 삽입한다. 또한, AH서비스부(254)는 트랜스포트 또는 터널 헤더를 IPv6 패킷에 부가한 후 패킷 단편화 과정을 거쳐 IP 헤더 내의 Payload Length를 변경한 후 네트워크접속모듈(240)로 전달한다.
ESP서비스부(256)는 패킷에 대한 인캡슐레이션(encapsulation)을 수행한 후 데이터의 길이를 블록 암호화 알고리즘에 적용할 수 있도록 패딩하고 패킷 암호화를 수행한다. 또한, ESP서비스부(256)는 패킷 암호화가 완료된 후 패킷 수신지에서 인증 데이터를 계산한 후 원래의 값과 비교할 수 있도록 ICV를 계산하고, 재전송 공격을 방지할 수 있도록 SN 값을 생성하여 ESP 헤더 내에 삽입한다. 그리고, ESP서비스부(256)는 트랜스포트 또는 터널 헤더를 IPv6 패킷에 부가한 후 패킷 단편화 과정을 거쳐 IP 헤더 내의 Payload Length를 변경한 후 네트워크접속모듈(240)로 전달한다.
다음으로, 패킷의 수신시 보안모듈(250)의 동작을 설명한다.
보안서비스확인부(252)는 보안 연계 데이터베이스를 검색하여 수신된 패킷에 대해 보안 서비스가 선택되었는지를 검사한다. 보안서비스확인부(252)는 보안 연계 데이터 베이스의 보안 서비스의 종류를 파악하고, 패킷 재전송 공격에 대한 가능성을 파악하기 위하여 SN 값을 검사한다. 다음으로, 보안서비스확인부(252)는 수신된 패킷의 내용을 이용하여 인증데이터를 생성한 후 AH 또는 ESP 헤더 내의 ICV 값과 비교하는 과정을 수행한다. 보안 서비스가 선택된 경우에 수신된 IP 패킷의 보안 서비스의 모드가 터널 모드이면 패킷 재조합 과정을 거치기 전에 보안 서비스 해제가 수행되고, 트랜스포트 모드이면 패킷 재조합 이후에 보안 서비스 해제가 수행된다.
AH서비스부(254)는 보안 정책 데이터베이스를 참조하여 현재 수신된 패킷이 보안 정책에 맞게 처리되었는지를 검사한 후 인터넷모듈(230)로 패킷을 올려보낸다. ESP서비스부(256)는 수신된 패킷을 복호화하고, 블록 암호 알고리즘 처리를 위해 부가하였던 패딩을 제거한 후 패킷에 대한 디캡슐레이션(decapsulation)을 수행한다. ESP서비스부(256)는 암호화된 패킷의 복호화과정을 통해 암호화 이전의 패킷으로 재생한 후 보안정책 데이터베이스를 참조하여 현재 수신된 패킷이 보안 정책에 맞게 처리되었는지를 검사한 후 인터넷모듈(230)로 패킷을 올려보낸다.
도 3a 내지 도 3f는 각각 보안서비스의 모드별로 보안서비스의 적용전과 적용후의 패킷 변형상태를 도시한 도면이다. 도 3a에는 종래의 IPv6 헤더에 AH 트랜스포트 및 터널 모드 서비스가 추가된 패킷이 도시되어 있고, 도 3b에는 종래의 IPv6 헤더에 ESP 트랜스포트 및 터널 모드 서비스가 추가된 패킷이 도시되어 있다. 또한, 도 3c에는 트랜스포트 모드에서 AH와 ESP 프로토콜이 동시에 적용된 패킷과 터널 모드에서 AH와 ESP 프로토콜이 동시에 적용된 패킷이 도시되어 있고, 도 3d에는 트랜스포트 모드의 AH와 ESP 프로토콜이 적용된 패킷 및 터널 모드의 AH와 ESP 프로토콜이 모두 적용된 패킷이 도시되어 있다. 또한, 도 3e 및 도 3f에는 각각 AH 프로토콜 헤더 및 ESP 프로토콜 헤더의 구조가 도시되어 있다.
IPsec 계층에서 적용되는 보안 서비스는 서비스의 종류에 따라 AH(Authentication Header)와 ESP(Encapsulating Security Payload) 프로토콜로 나뉜다. AH 프로토콜은 IPv6 패킷에 대한 인증 서비스를 제공하고, ESP 프로토콜은 IPv6 패킷을 암호화하여 패킷의 내용에 대한 기밀성과 상위 데이터그램에 대한 인증 서비스를 모두 제공한다.
이러한 프로토콜들은 트랜스포트 모드 및 터널 모드를 갖는다. 트랜스포트 모드는 IPv6 패킷에 대한 인증 서비스와 IPv6 상위 페이로드에 대한 기밀성 서비스 등의 기본 서비스만을 제공하기 위한 모드이고, 터널 모드는 IPv6 헤더의 정보를 감추어 패킷의 발신지/수신지의 정보도 감추는 모드이다. 상기의 두가지 프로토콜은 모두 SN 값을 이용하여 재전송 공격에 대처한다. 즉, 수신측에서 연속적으로 수신되는 패킷에 대한 SN값을 검사함으로써 재전송되는 패킷을 폐기하여 재전송 공격으로부터 안정적인 시스템을 유지한다.
상기와 같은 보안 서비스는 데이터베이스에 기록되어 있는 보안 정책에 따라 다중으로 적용될 수 있다. 예컨대, 트랜스포트 AH 프로토콜, 트랜스포트 ESP 프로토콜, 터널 AH 프로토콜, 터널 ESP 프로토콜은 서로 조합을 이루어 제공될 수 있다. 다만, 같은 모드에서 AH와 ESP가 동시에 적용될 경우 보안상의 취약을 없애기 위해 ESP가 먼저 적용되고 나중에 AH가 적용되어야 한다.
따라서, 하나의 IP 패킷에는 15가지의 보안 서비스(즉, 트랜스포트 AH, 트랜스포트 ESP, 터널 AH, 터널 ESP, 트랜스포트 ESP+트랜스포트 AH, 터널 ESP+ 터널 AH, 트랜스포트 AH+터널 AH, 트랜스포트 AH+터널 ESP, 트랜스포트 AH+터널 ESP+터널 AH, 트랜스포트 ESP+터널 AH, 트랜스포트 ESP+터널 ESP, 트랜스포트 ESP+터널 ESP+터널 AH, 트랜스포트 ESP+트랜스포트 AH+터널 AH, 트랜스포트 ESP+트랜스포트 AH+터널 AH, 트랜스포트 ESP+트랜스포트 AH+터널 ESP, 트랜스포트 ESP+트랜스포트 AH+터널 ESP+터널 AH)의 적용이 가능하다.
AH 프로토콜의 헤더는 AH 헤더 다음에 나타날 헤더의 종류, 페이로드의 길이, 보안 연계 데이터베이스를 유일하게 식별하는 SPI(Security Parameter Index), 재전송 공격에 대처하기 위한 SN(Sequence Number), 데이터 변조 여부 검증을 위한 인증 데이터 ICV(Integrity Check Value)로 구성된다. 또한, ESP 프로토콜 헤더는 보안 연계 데이터베이스를 식별하는 SPI, 재전송 공격에 대한 감내성을 위한 SN, 상위 계층으로부터 내려온 페이로드 데이터, 블록 암호 알고리즘에 의한 암호화 처리를 위한 패딩, 패딩 길이, ESP 헤더 다음에 나타날 헤더의 종류, 인증 데이터 ICV로 구성된다.
도 4는 본 발명에 따른 차세대 인터넷 시스템에서 전송되는 패킷에 보안서비스를 적용하는 과정을 도시한 흐름도이다.
도 4를 참조하면, 응용모듈(210)은 소켓계층에서 통신을 위한 소켓을 생성하고 INET6 소켓을 생성한 후 생성된 소켓을 통해 데이터를 전송모듈(220)로 내려보낸다(S400). 전송모듈(220)은 응용모듈(210)로부터 입력된 데이터에 TCP 헤더를 부가한 후 인터넷모듈(230)로 내려보낸다(S405). 인터넷모듈(230)은 전송모듈(220)로부터 내려온 데이터에 IP 헤더를 부가하여 IPv6 패킷을 조립하고 확장 헤더를 추가한다(S410).
보안모듈(250)은 보안 정책 데이터베이스와 보안 연계 데이터베이스를 검색하여(S415), 보안 서비스가 선택되어 있는지를 검사한다(S420). 만약, 보안 서비스가 선택되어 있지 않으면, 인터넷모듈(230)은 패킷에 대한 단편화를 수행한 후 네트워크접속모듈(240)로 전달한다(S425). 네트워크접속모듈(240)은 물리계층의 전송로 특성에 따른 데이터 링크 헤더가 부가된 프레임을 생성한 후 이를 인터넷으로 전송한다(S430). 만약, 보안 서비스가 선택되어 있으면, 보안서비스확인부(252)는 보안 연계 데이터베이스의 보안 서비스의 종류(즉, AH 서비스 및 ESP 서비스) 및 모드(즉, 트랜스포트 모드 및 터널 모드)를 파악한다(S435).
보안 서비스의 모드가 터널 모드이면(S440), 보안 서비스의 적용전에 IPv6 패킷에 대한 단편화를 수행한다(S445). 터널 모드일 경우 필요하다면 추가적인 IPv6 패킷 단편화를 수행한다. ESP 서비스가 선택된 경우에(S450), ESP서비스부(256)는 패킷에 대한 인캡슐레이션(encapsulation)을 수행한 후 데이터의 길이를 블록 암호화 알고리즘에 적용할 수 있도록 패딩하고 패킷 암호화를 수행한다(S455). 또한, ESP서비스부(256)는 패킷 암호화가 완료된 후 패킷 수신지에서 인증 데이터를 계산한 후 원래의 값과 비교할 수 있도록 인증 데이터(ICV: Integrity Check Value)를 계산하고, 재전송 공격을 방지할 수 있도록 SN 값을 생성하여 ESP 헤더 내에 삽입한다(S460). 이와 달리, AH 서비스가 선택된 경우에 AH서비스부(254)는 패킷 암호화과정을 수행하지 않고 곧바로 S460단계를 수행한다. AH서비스부(254) 또는 ESP서비스부(256)는 터널 헤더를 IPv6 패킷에 부가한 후 네트워크접속모듈(240)로 전달한다(S465).
보안 서비스의 모드가 트랜스포트 모드이면(S440), 패킷에 대한 단편화를 수행하지 않고 S450단계 내지 S460단계를 수행한다. 아울러, AH서비스부(254) 또는 ESP서비스부(256)는 트랜스포트 헤더를 IPv6 패킷에 부가한 후(S465) IPv6 패킷을 인터넷모듈(230)로 전달한다. 인터넷모듈(230)은 패킷 단편화 과정을 수행하고 IP 헤더 내의 Payload Length를 변경한 후 네트워크접속모듈(240)로 전달한다(S425). 네트워크접속모듈(240)은 S430단계를 수행하여 전달받은 데이터를 인터넷으로 전송한다.
도 5는 본 발명에 따른 차세대 인터넷 시스템에서 수신된 패킷에 대한 보안서비스 해제과정을 도시한 흐름도이다.
도 5를 참조하면, 네트워크접속모듈(240)은 차세대 인터넷으로부터 수신된 프레임에서 데이터 링크 헤더를 제거한 후 이를 인터넷모듈(230)로 올려보낸다(S500). 인터넷모듈(230)은 수신된 IPv6 패킷을 재조합하여 단편화된 패킷을 하나의 패킷으로 조립한다(S505). 보안모듈(250)은 조립된 IPv6 패킷을 기초로 보안 연계 데이터베이스를 검색하여 보안 서비스가 선택되어 있는지를 검사한다(S510).
만약, 보안 서비스가 선택되어 있지 않으면(S515), 인터넷모듈(230)은 패킷으로부터 IPv6 헤더를 제거한 후 전송모듈(220)로 전달한다(S520). 전송모듈(220)은 전달받은 패킷으로부터 TCP 헤더를 제거한 후 INET6 소켓과 통신 소켓을 통해 응용모듈(210)로 전송한다(S525). 만약, 보안 서비스가 선택되어 있으면(S515), 보안서비스확인부(252)는 보안 연계 데이터베이스의 보안 서비스의 종류(즉, AH 서비스 및 ESP 서비스) 및 모드(즉, 트랜스포트 모드 및 터널 모드)를 파악한다(S530).
보안 서비스의 모드가 트랜스포트 모드이면(S535), 보안 서비스의 해제전에 IPv6 패킷에 대한 재조합을 수행한다(S540). 다음으로, 보안모듈(250)은 패킷 재전송 공격에 대한 가능성을 파악하기 위하여 SN 값을 검사한다(S545). 또한, 보안모듈(250)은 수신된 패킷의 내용을 이용하여 인증데이터를 생성한 후 AH 또는 ESP 헤더 내의 ICV 값과 비교하는 과정을 수행한다(S550).
한편, 보안모듈(250)은 보안 연계 데이터 베이스의 보안 서비스의 종류를 파악한다(S555). ESP 서비스가 선택된 경우에 ESP서비스부(256)는 패킷을 복호화하고 블록 암호 알고리즘 처리를 위해 부가하였던 패딩을 제거한 후 패킷에 대한 디캡슐레이션(decapsulation)을 수행한다(S560). 또한, ESP서비스부(256)는 패킷 복호화가 완료된 후 보안 정책 데이터베이스를 참조하여 현재 수신된 패킷이 보안 정책에 맞게 처리되었는지를 검사한다(S565). 이와 달리, AH 서비스가 선택된 경우에 AH서비스부(254)는 패킷 복호화과정을 수행하지 않고 곧바로 S565단계를 수행한다.
보안 서비스의 모드가 터널 모드이면 패킷에 대한 재조합을 수행하지 않고 S545단계 내지 S565단계를 수행한다. 또한, AH서비스부(254) 또는 ESP서비스부(256)는 터널 헤더 또는 트랜스포트 헤더를 제거하고(S570), 보안서비스 모드가 터널 모드이면 패킷을 재조합하여 인터넷모듈(230)로 전달한다(S575). 인터넷모듈(230) 및 전송모듈(220)은 각각 S520단계 및 S525단계를 수행한다.
본 발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 하드디스크, 플로피디스크, 플래쉬 메모리, 광데이터 저장장치 등이 있으며, 또한 캐리어웨이브(예를 들면 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터로 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드로서 저장되고 실행될 수 있다.
이상에서는 본 발명의 바람직한 실시예에 대해 도시하고 설명하였으나, 본 발명은 상술한 특정의 바람직한 실시예에 한정되지 아니하며, 청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 당해 발명이 속하는 기술분야에서 통상의 지식을 가진 자라면 누구든지 다양한 변형 실시가 가능한 것은 물론이고, 그와 같은 변경은 청구범위 기재의 범위 내에 있게 된다.
본 발명에 따른 패킷 보호 기능을 구비한 차세대 인터넷 시스템 및 패킷 보호 방법에 의하면, 상위 응용 계층으로부터 발생된 메시지가 차세대 인터넷을 통해 전달될 수 있는 IPv6 패킷의 형태로 변형되는 과정에서 정보보호 서비스를 선택적으로 제공할 수 있고, 상위 계층 서비스 프로그램의 변경 없이 모든 차세대 인터넷 서비스에 정보보호 기능을 제공할 수 있는 효과가 있다. 또한, 정보보호 서비스가 필요하지 않은 일반 IPv6 패킷에 대한 처리도 가능할 뿐만 아니라, 기존의 차세대 인터넷 사용자들은 인터넷 서비스 사용에 있어서 아무런 변화를 느끼지 못하게 된다. 나아가, 종래의 IPv4 계층의 패킷 보호 방법에 비해 차세대 인터넷인 IPv6 계층의 패킷에 보안 서비스가 적용될 수 있으며, IPv6 계층에 통합된 형태로 제공되기 때문에 보안 서비스의 성능이 향상되는 장점이 있다.
도 1a 및 도 1b는 각각 종래의 차세대 인터넷 시스템의 프로토콜 스택과 본 발명에 따른 패킷 보호 방법이 적용되는 차세대 인터넷 시스템의 프로토콜 스택을 도시한 도면,
도 2는 본 발명에 따른 패킷 보호 방법이 적용되는 차세대 인터넷 시스템의 상세한 구성을 도시한 블록도,
도 3a 내지 도 3f는 각각 보안서비스의 모드별로 보안서비스의 적용전과 적용후의 IPv6패킷의 변형상태를 도시한 도면,
도 4는 본 발명에 따른 패킷 보호 방법의 보안서비스 적용과정을 도시한 흐름도, 그리고,
도 5는 본 발명에 따른 패킷 보호 방법의 보안서비스 해제과정을 도시한 흐름도이다.

Claims (11)

  1. 보안정책 데이터베이스와 보안연계 데이터베이스를 검색하여 인터넷을 통해 전송할 패킷에 보안서비스가 선택되어 있는지를 검사하고, 보안서비스가 선택된 경우 보안연계 데이터베이스의 보안서비스의 종류 및 모드를 파악하는 보안서비스확인부;
    패킷 수신지에서 인증 데이터를 계산한 후 원래의 값과 비교할 수 있도록 인증 데이터(Integrity Check Value : ICV)를 계산하고, 재전송 공격을 방지할 수 있도록 SN(Sequence Number) 값을 생성하여 AH(Authentication Header) 내에 삽입하는 AH서비스부; 및
    패킷에 대한 인캡슐레이션(encapsulation)을 수행한 후 데이터의 길이를 블록 암호화 알고리즘에 적용할 수 있도록 패딩하고 패킷 암호화를 수행하며, 패킷 암호화가 완료된 후 패킷 수신지에서 인증 데이터를 계산한 후 원래의 값과 비교할 수 있도록 인증 데이터를 계산하고, 재전송 공격을 방지할 수 있도록 SN 값을 생성하여 ESP(Encapsulating Security Payload) 헤더 내에 삽입하는 ESP서비스부;를 포함하는 것을 특징으로 하는 패킷 보호 기능을 구비한 차세대 인터넷 시스템.
  2. 제 1항에 있어서,
    상기 AH서비스부 또는 ESP서비스부는 상기 보안서비스의 모드에 따라 트랜스포트 또는 터널 헤더를 IPv6 패킷에 부가하여 출력하는 것을 특징으로 하는 패킷 보호 기능을 구비한 차세대 인터넷 시스템.
  3. 제 1항에 있어서,
    상기 보안서비스의 모드가 트랜스포트 모드일 경우에는 IPv6 패킷에 대한 단편화를 수행하기 전에 보안서비스를 적용하고, 터널 모드일 경우에는 IPv6 패킷에 대한 단편화를 수행한 후에 보안서비스를 적용하는 것을 특징으로 하는 패킷 보호 기능을 구비한 차세대 인터넷 시스템.
  4. 보안연계 데이터베이스를 검색하여 인터넷을 통해 수신된 패킷에 대해 보안 서비스가 선택되었는지를 검사하고, 보안연계 데이터베이스의 보안서비스의 종류 및 모드를 파악하며, 수신된 패킷의 내용을 이용하여 인증데이터를 생성한 후 AH 또는 ESP 헤더 내의 ICV 값과 비교하는 보안서비스확인부;
    보안정책 데이터베이스를 참조하여 현재 수신된 패킷이 보안정책에 맞게 처리되었는지를 검사하는 AH서비스부; 및
    상기 수신된 패킷을 복호화하고, 블록 암호 알고리즘 처리를 위해 부가하였던 패딩를 제거한 후 패킷에 대한 디캡슐레이션(decapsulation)을 수행하며, 암호화된 패킷의 복호화과정을 통해 암호화 이전의 패킷으로 재생한 후 보안정책 데이터베이스를 참조하여 현재 수신된 패킷이 보안 정책에 맞게 처리되었는지를 검사하는 ESP서비스부;를 포함하는 것을 특징으로 하는 패킷 보호 기능을 구비한 차세대 인터넷 시스템.
  5. 제 4항에 있어서,
    상기 보안서비스확인부는 패킷 재전송 공격에 대한 가능성을 파악하기 위하여 SN 값을 검사하는 것을 특징으로 하는 패킷 보호 기능을 구비한 차세대 인터넷 시스템.
  6. 제 4항에 있어서,
    상기 수신된 IP 패킷의 보안 서비스의 모드가 터널 모드이면 패킷 재조합 과정을 거치기 전에 보안 서비스 해제가 수행되고, 트랜스포트 모드이면 패킷 재조합 이후에 보안 서비스 해제가 수행되는 것을 특징으로 하는 패킷 보호 기능을 구비한 차세대 인터넷 시스템.
  7. 송신하고자 하는 패킷의 IPv6 헤더와 확장 헤더를 생성한 후 보안정책 데이터베이스 및 보안연계 데이터베이스를 참조하여 패킷별 보안서비스의 선택여부를 결정하는 단계;
    상기 선택된 보안서비스의 종류를 확인하는 단계; 및
    상기 보안서비스의 종류가 AH(Authentication Header) 서비스이면 제1보안서비스적용과정을 수행하고, ESP(Encapsulating Security Payload) 서비스이면 제2보안서비스적용과정을 수행하는 단계;를 포함하며,
    상기 제1보안서비스적용과정은,
    패킷 수신지에서 인증 데이터를 계산한 후 원래의 값과 비교할 수 있도록 인증 데이터(Integrity Check Value : ICV)를 계산하는 단계; 및
    재전송 공격을 방지할 수 있도록 SN 값을 생성하여 AH(Authentication Header) 내에 삽입하는 단계;를 포함하고,
    상기 제2보안서비스적용과정은,
    패킷에 대한 인캡슐레이션(encapsulation)을 수행한 후 데이터의 길이를 블록 암호화 알고리즘에 적용할 수 있도록 패딩하는 단계;
    패킷 암호화를 수행하고, 패킷 수신지에서 인증 데이터를 계산한 후 원래의 값과 비교할 수 있도록 인증 데이터를 계산하는 단계; 및
    재전송 공격을 방지할 수 있도록 SN 값을 생성하여 ESP(Encapsulating Security Payload) 헤더 내에 삽입하는 단계;를 포함하는 것을 특징으로 하는 차세대 인터넷 시스템에서의 패킷 보호 방법.
  8. 제 7항에 있어서,
    상기 선택된 보안서비스의 모드를 확인하는 단계; 및
    상기 보안서비스의 모드에 따라 트랜스포트 또는 터널 헤더를 IPv6 패킷에 부가하여 출력하는 단계;를 더 포함하는 것을 특징으로 하는 차세대 인터넷 시스템에서의 패킷 보호 방법.
  9. 제 7항에 있어서,
    상기 선택된 보안서비스의 모드를 확인하는 단계를 더 포함하며,
    상기 보안서비스의 모드가 트랜스포트 모드일 경우에는 IPv6 패킷에 대한 단편화를 수행하기 전에 보안서비스를 적용하고, 터널 모드일 경우에는 IPv6 패킷에 대한 단편화를 수행한 후에 보안서비스를 적용하는 것을 특징으로 하는 차세대 인터넷 시스템에서의 패킷 보호 방법.
  10. 인터넷을 통해 수신된 IPv6 패킷에 대해 보안연계 데이터베이스를 참조하여 패킷별 보안서비스의 선택여부를 결정하는 단계;
    상기 수신된 패킷의 헤더에 포함되어 있는 SN 값을 기초로 재전송공격에 대한 가능성을 파악하고, 상기 수신된 패킷의 내용을 이용하여 인증데이터를 생성한 후 상기 패킷의 헤더에 포함되어 있는 인증 데이터 값과 비교하는 단계;
    상기 패킷에 대해 적용된 보안서비스의 종류를 파악하는 단계;
    상기 보안서비스의 종류가 AH(Authentication Header) 서비스이면 제1보안서비스해제과정을 수행하고, ESP(Encapsulating Security Payload) 서비스이면 제2보안서비스해제과정을 수행하는 단계;를 포함하며,
    상기 제1보안서비스해제과정은 보안정책 데이터베이스를 참조하여 상기 수신된 패킷이 보안정책에 맞게 처리되었는지를 검사하는 단계를 포함하고,
    상기 제2보안서비스해제과정은,
    상기 수신된 패킷을 복호화하는 단계;
    블록암호 알고리즘 처리를 위해 부가되었던 패딩을 제거하는 단계;
    패딩이 제거된 패킷에 대한 디캡슐레이션을 수행하는 단계; 및
    상기 보안정책 데이터베이스를 참조하여 상기 수신된 패킷이 보안정책에 맞게 처리되었는지를 검사하는 단계;를 포함하는 것을 특징으로 하는 차세대 인터넷 시스템에서의 패킷 보호 방법.
  11. 제 10항에 있어서,
    상기 패킷에 대해 적용된 보안서비스의 모드를 파악하는 단계를 더 포함하며,
    상기 수신된 IP 패킷의 보안 서비스의 모드가 터널 모드이면 패킷 재조합 이전에 보안서비스해제가 수행되고, 트랜스포트 모드이면 패킷 재조합 이후에 보안 서비스 해제가 수행되는 것을 특징으로 하는 차세대 인터넷 시스템에서의 패킷 보호 방법.
KR1020030095370A 2003-12-23 2003-12-23 패킷 보호 기능을 구비한 차세대 인터넷 시스템 및 패킷보호 방법 KR20050064093A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020030095370A KR20050064093A (ko) 2003-12-23 2003-12-23 패킷 보호 기능을 구비한 차세대 인터넷 시스템 및 패킷보호 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020030095370A KR20050064093A (ko) 2003-12-23 2003-12-23 패킷 보호 기능을 구비한 차세대 인터넷 시스템 및 패킷보호 방법

Publications (1)

Publication Number Publication Date
KR20050064093A true KR20050064093A (ko) 2005-06-29

Family

ID=37255739

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020030095370A KR20050064093A (ko) 2003-12-23 2003-12-23 패킷 보호 기능을 구비한 차세대 인터넷 시스템 및 패킷보호 방법

Country Status (1)

Country Link
KR (1) KR20050064093A (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008085388A1 (en) * 2006-12-27 2008-07-17 Cipheroptics, Inc. Fragmenting security encapsulated ethernet frames
KR101362043B1 (ko) * 2012-05-10 2014-02-12 (주)네오위즈게임즈 온라인 서비스의 암호화 통합 제어 방법 및 장치
KR101378647B1 (ko) * 2007-09-28 2014-04-01 삼성전자주식회사 Ieee 802.15.4 네트워크에서의 보안 설정 가능한 맥프레임 제공 방법 및 장치
CN113992343A (zh) * 2021-09-10 2022-01-28 深圳开源互联网安全技术有限公司 一种实现IPsec网络安全协议的装置和方法

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008085388A1 (en) * 2006-12-27 2008-07-17 Cipheroptics, Inc. Fragmenting security encapsulated ethernet frames
KR101378647B1 (ko) * 2007-09-28 2014-04-01 삼성전자주식회사 Ieee 802.15.4 네트워크에서의 보안 설정 가능한 맥프레임 제공 방법 및 장치
KR101362043B1 (ko) * 2012-05-10 2014-02-12 (주)네오위즈게임즈 온라인 서비스의 암호화 통합 제어 방법 및 장치
CN113992343A (zh) * 2021-09-10 2022-01-28 深圳开源互联网安全技术有限公司 一种实现IPsec网络安全协议的装置和方法
CN113992343B (zh) * 2021-09-10 2022-11-18 深圳开源互联网安全技术有限公司 一种实现IPsec网络安全协议的装置、方法、电子设备和存储介质

Similar Documents

Publication Publication Date Title
US6061454A (en) System, method, and computer program for communicating a key recovery block to enable third party monitoring without modification to the intended receiver
Kent IP encapsulating security payload (ESP)
Karn et al. The esp des-cbc transform
US8984268B2 (en) Encrypted record transmission
US7669234B2 (en) Data processing hash algorithm and policy management
EP1427162B1 (en) Security processor mirroring
US7434045B1 (en) Method and apparatus for indexing an inbound security association database
US20070116285A1 (en) Method and system for secure packet communication
US9369550B2 (en) Protocol for layer two multiple network links tunnelling
EP1580958A1 (en) Internet protocol tunnelling using templates
US20060227773A1 (en) Authenticity of communications traffic
US10044841B2 (en) Methods and systems for creating protocol header for embedded layer two packets
GB2424556A (en) Packet fragment deciphering with cipher state storage
JP2004295891A (ja) パケットペイロードを認証する方法
EP2122969A1 (en) Securing ip traffic
KR100415554B1 (ko) 정보 보호 인터넷 프로토콜 패킷의 송수신 방법
CN114844729B (zh) 一种网络信息隐藏方法及系统
WO2020072682A1 (en) Securing mpls network traffic
CN115242561B (zh) IPSec传输模式超限包后分片处理方法、设备及介质
US20030051135A1 (en) Protecting data in a network attached storage device
CN112600802B (zh) 一种SRv6加密报文、SRv6报文的加解密方法及装置
CN115333859B (zh) 一种基于芯片方案的IPsec协议报文加密及解密方法
KR20050064093A (ko) 패킷 보호 기능을 구비한 차세대 인터넷 시스템 및 패킷보호 방법
KR100522090B1 (ko) IPv6 계층에서의 패킷 보호 방법
KR100449809B1 (ko) 다중 보안 서비스를 제공하는 개선된 아이피 계층에서의패킷 보호 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application