KR20060044049A - 보안 라우터 시스템 및 그 시스템에 접속하는 사용자에대한 인증 방법 - Google Patents

보안 라우터 시스템 및 그 시스템에 접속하는 사용자에대한 인증 방법 Download PDF

Info

Publication number
KR20060044049A
KR20060044049A KR1020040091838A KR20040091838A KR20060044049A KR 20060044049 A KR20060044049 A KR 20060044049A KR 1020040091838 A KR1020040091838 A KR 1020040091838A KR 20040091838 A KR20040091838 A KR 20040091838A KR 20060044049 A KR20060044049 A KR 20060044049A
Authority
KR
South Korea
Prior art keywords
packet
user
network
unit
protocol
Prior art date
Application number
KR1020040091838A
Other languages
English (en)
Inventor
이상우
전용성
김영호
김정녀
장종수
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020040091838A priority Critical patent/KR20060044049A/ko
Priority to US11/220,887 priority patent/US20060101261A1/en
Publication of KR20060044049A publication Critical patent/KR20060044049A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

본 발명은 보안 라우터 시스템 및 그 시스템에 접속하는 사용자에 대한 인증 방법을 개시한다.
본 발명에 의하면, 네트워크 보안 기능을 제공하는 보안 라우터 시스템에 있어서, 패킷의 입출력을 담당하는 물리 링크 포트, 물리 링크 포트로 패킷을 송수신하고, MAC 프레임을 생성하는 물리 계층 정합부, 물리 계층 정합부를 통해 입력되는 패킷의 전송 경로를 설정하고, 라우팅 프로토콜을 처리하는 라우팅 처리부, 목적지 주소로 패킷을 전달하는 패킷 포워딩부, 입력되는 패킷을 패킷 분류 기준에 의하여 분류하고, 해당 패킷이 외부로부터의 공격에 해당하는 지를 판별하는 침입 탐지부 및 라우터로의 접속시 사용자의 적합 여부를 판별하는 사용자 인증부를 구비하는 네트워크 프로세서를 포함하여, 종래의 방화벽 또는 침입 탐지 시스템을 별도로 구축할 때보다 보안을 유지하면서도 네트워크를 구축하는 비용이 절감되는 장점이 있으며, 각 라우터마다 네트워크 보안 기능을 수행함으로서 유해 트래픽의 조기 차단이 가능하여 전체 네트워크의 신뢰성과 안전성이 향상되는 장점이 있다.

Description

보안 라우터 시스템 및 그 시스템에 접속하는 사용자에 대한 인증 방법{ Security router system and method for authentication of the user who connects the system}
도 1은 본 발명의 일실시예에 따른 네트워크 보안 기능을 제공하는 라우터 시스템의 구성을 블록으로 도시한 것이다.
도 2는 본 발명에 따른 다른 실시예에 따른 네트워크 보안 기능을 제공하는 라우터 시스템의 구성을 블록으로 도시한 것이다.
도 3은 본 발명에 따른 네트워크 프로세서 내부의 구성도를 블록으로 도시한 것이다.
도 4는 본 발명에 따른 침입 탐지부의 바람직한 일예의 구성을 블록으로 도시한 것이다.
도 5는 본 발명에 따른 사용자 인증부의 사용자 인증 과정의 흐름을 도시한 것이다.
본 발명은 네트워크에 관한 것으로서, 네트워크에 사용되는 보안 라우터 시 스템 및 그 시스템에 접속하는 사용자에 대한 인증 방법에 대한 것이다.
일반적으로 라우터는 동일한 전송 프로토콜을 사용하는 분리된 네트워크를 연결하는 장치로서, 네트워크 계층 간을 서로 연결하고, 라우팅 테이블을 관리하여, 라우터의 입력 포트로 입력된 패킷을 수신 주소로 포워딩 하는 장치이다.
기존의 라우터에 관한 연구 및 발명은 라우팅 속도를 높이기 위한 고속 라우터 시스템에 관한 것으로 대표적인 구조로는 분산형 라우터 구조를 들 수 있다.
한편, 네트워크 보안 서비스는 보안 전문 업체들이 침입 탐지 시스템, 방화벽, 안티 바이러스등의 보안 제품을 활용하여 각 기업망에 대하여 제공하여 왔다. 그러나, 네트워크 상에서 유해 트래픽 등의 폭주로 인한 네트워크 전체의 마비 등으로 인하여, 라우터 자체에서 네트워크 보안 기능을 수용하는 요구가 증대되고 있으나 아직까지 그 요구를 적절하게 만족하지 못하고 있는 문제가 있다.
본 발명이 이루고자 하는 기술적인 과제는, 상기의 문제점들을 해결하기 위해, 네트워크 보안 기능을 제공하는 보안 라우터 시스템과 그 라우터 시스템에 접속하는 사용자에 대한 인증 방법을 제공하는데 있다.
상기 기술적 과제를 해결하기 위한 본 발명에 의한, 보안 라우터 시스템은, 네트워크 보안 기능을 제공하는 보안 라우터 시스템에 있어서, 패킷의 입출력을 담당하는 물리 링크 포트; 상기 물리 링크 포트로 패킷을 송수신하고, MAC(Media Access Control) 프레임을 생성하는 물리 계층 정합부; 및 상기 물리 계층 정합부 를 통해 입력되는 패킷의 전송 경로를 설정하고, 라우팅 프로토콜을 처리하는 라우팅 처리부, 목적지 주소로 패킷을 전달하는 패킷 포워딩부, 입력되는 패킷을 패킷 분류 기준에 의하여 분류하고, 해당 패킷이 외부로부터의 공격에 해당하는 지를 판별하는 침입 탐지부 및 라우터로의 접속시 사용자의 적합 여부를 판별하는 사용자 인증부를 구비하는 네트워크 프로세서;를 포함하는 것을 특징으로 한다.
이 시스템은 사용자 인증 기능 및 가상 사설망 지원을 포함하는 기능들을 위한 암호 연산을 고속으로 연산하는 암호 처리 프로세서;를 더 포함하는 것이 바람직하며, 소정 프로토콜에 따라 외부 네트워크와의 안전한 통신 채널을 생성하는 가상 사설망 기능을 제공하기 위한 가상 사설망 처리 프로세서;를 더 포함하는 것이 바람직하다.
상기 다른 기술적 과제를 해결하기 위한 본 발명에 의한, 보안 라우터 시스템에 접속하는 사용자에 대한 인증 방법은, 소정의 알고리즘에 따라 암호를 생성하는 프로그램이 동작하는 클라이언트를 사용하여 소정의 통신망을 통해 상기 보안 라우터 시스템에 접속하는 사용자로부터 아이디와 패스워드를 입력받는 단계; 상기 입력받은 사용자 아이디와 패스워드를 입력으로 하여 상기 사용자의 클라이언트에서 동작하는 알고리즘과 실질적으로 동일한 알고리즘에 따라 암호문을 생성하는 단계; 상기 사용자가 입력하는 아이디와 패스워드를 동시에 입력으로 받은 상기 클라이언트에서 생성된 사용자에 대한 암호문을 전송받는 단계; 상기 생성한 암호문과 전송받은 암호문을 비교하는 단계; 및 비교 결과 암호문들이 실질적으로 동일한 경우 사용자 인증을 하고 사용 권한 부여를 하는 단계;를 포함하는 것을 특징으로 한 다.
이하에서 첨부된 도면을 참조하여 본 발명의 바람직한 일 실시예를 상세히 설명한다.
도 1은 본 발명의 일실시예에 따른 네트워크 보안 기능을 제공하는 라우터 시스템의 구성을 블록으로 도시한 것이다.
이 시스템은 패킷의 입출력을 담당하는 복수의 물리 링크 포트(100), 물리 링크 포트(100)로 패킷을 송수신하고, MAC(Media Access Control) 프레임을 생성하는 물리 계층 정합부(110), 물리 계층 정합부(110)를 통해 입력되는 패킷의 전송 경로를 설정하고, 라우팅 프로토콜을 처리하는 라우팅 처리부, 목적지 주소로 패킷을 전달하는 패킷 포워딩부, 입력되는 패킷을 패킷 분류 기준에 의하여 분류하고, 해당 패킷이 외부로부터의 공격에 해당하는 지를 판별하는 침입 탐지부 및 라우터로의 접속시 사용자의 적합 여부를 판별하는 사용자 인증부를 구비하는 네트워크 프로세서(120)를 포함한다.
그리고 이 시스템은 사용자 인증 기능 및 가상 사설망 지원을 포함하는 기능들을 위한 암호 연산을 고속으로 연산하는 암호 처리 프로세서(130)를 더 포함하며, 소정 프로토콜에 따라 외부 네트워크와의 안전한 통신 채널을 생성하는 가상 사설망 기능을 제공하기 위한 가상 사설망 처리 프로세서(140)를 더 포함한다.
패킷이 물리 링크 포트(100)를 통해 입력되면 물리 계층 정합부(110)에서 MAC(Media Access Control) 프레임이 생성된다.
가상 사설망 처리 프로세서(140)는 하드웨어 기반으로 소정 프로토콜에 따라 외부 네트워크와의 안전한 통신 채널을 생성하는 가상 사설망 기능을 제공한다.
가상 사설망 처리 프로세서(140)가 없는 경우 물리 계층 정합부(110)와 네트워크 프로세서(120)는 바로 패킷을 주고 받을 것이나, 가상 사설망 처리 프로세서(140)가 있는 경우에는 가상 사설망 기능에 따른 처리가 된 패킷이 가상 사설망 처리 프로세서(140)를 거쳐서 물리 계층 정합부(110)와 네트워크 프로세서(120) 사이에서 전송된다.
암호 처리 프로세서(130)는 사용자 인증 기능 및 가상 사설망 지원을 포함하는 기능들을 위한 암호 연산을 고속으로 연산한다.
암호 처리 프로세서(130)는 네트워크 프로세서와 QDR(Quad Data Rate) 인터페이스를 사용하여 연결되는 것이 바람직하다.
네트워크 프로세서의 인터페이스로는 SPI(System Packet Interface)와 PCI(Peripheral Component Interconnect), QDR 등이 존재하는 데, 암호 처리 프로세서(130)와 네트워크 프로세서(120)간의 암호 처리를 위한 대용량의 데이터를 짧은 시간 내에 빠르게 송/수신하기 위하여서는 QDR 인터페이스를 이용하는 것이 가장 효율적이기 때문이다.
도 2는 본 발명에 따른 다른 실시예에 따른 네트워크 보안 기능을 제공하는 라우터 시스템의 구성을 블록으로 도시한 것이다.
이 시스템은 패킷의 입출력을 담당하는 복수의 물리 링크 포트(100), 물리 링크 포트(100)로 패킷을 송수신하고, MAC(Media Access Control) 프레임을 생성하는 물리 계층 정합부(110), 물리 계층 정합부(110)를 통해 입력되는 패킷의 전송 경로를 설정하고, 라우팅 프로토콜을 처리하는 라우팅 처리부, 목적지 주소로 패킷을 전달하는 패킷 포워딩부, 입력되는 패킷을 패킷 분류 기준에 의하여 분류하고, 해당 패킷이 외부로부터의 공격에 해당하는 지를 판별하는 침입 탐지부 및 라우터로의 접속시 사용자의 적합 여부를 판별하는 사용자 인증부를 구비하는 네트워크 프로세서(220)를 포함한다.
그리고 이 시스템은 사용자 인증 기능 및 가상 사설망 지원을 포함하는 기능들을 위한 암호 연산을 고속으로 연산하는 암호 처리 프로세서(130)를 더 포함한다.
도 1의 구성과 도 2의 구성을 비교하면 도 1에 표시된 가상 사설망 처리 프로세서(140)가 없다는 차이점이 있다. 도 1에서는 가상 사설망 처리 프로세서가 하드웨어적인 구성으로 포함된 것을 나타낸 것이며, 도 2에서는 네트워크 프로세서(220)가 가상 사설망 처리 프로세서의 기능을 포함하여 가상 사설망 처리 프로세서는 소프트웨어적으로 구성되는 차이점이 있다.
가상 사설망 처리 프로세서가 하드웨어적으로 구현된 경우 일반적인 부품들에 비하여 그 가격이 비싸다. 따라서, 보급형의 저가의 제품을 만드는 경우에는 하드웨어로 구성된 가상 사설망 프로세서를 사용하여 보안 라우터 시스템을 구성하는 것이 어렵다. 그러므로, 도 2와 같은 구성을 가지게 되는 보안 라우터 시스템에서는 도 1의 구성에서의 네트워크 프로세서의 기능에 추가적으로 외부 네트워크와의 안전한 통신 채널을 형성하는 가상 사설망 기능이 부가된다.
이때에 네트워크 프로세서(220)가 가상 사설망 기능을 제공하는 것은 IPsec(IP security protocol) 프로토콜에 따른 것임이 바람직하다.
IPsec는 안전에 취약한 인터넷에서 안전한 통신을 실현하는 통신 규약. 인터넷상에 전용 회선과 같이 이용 가능한 가상적인 전용 회선을 구축하여 데이터를 도청당하는 등의 행위를 방지하기 위한 통신 규약이다.
도 1 또는 도 2와 같이 시스템의 가격을 고려하여 보안 라우터 시스템을 구성할 때, 가상 사설망 처리 프로세서의 유무가 가장 중요한 요소이다.
시스템을 복수로 구성하게 되면, 제작 단가가 올라가게 되므로 이를 방지하기 위하여서, 본 발명을 이용하여 물리 계층 기능을 하는 장치와 하드웨어 기반의 가상 사설망 장치 그리고 네트워크 프로세서를 가지는 장치를 분리하여 구성하면, 장비의 재활용 효율을 높일 수 있다.
다시 말해서, 네트워크 프로세서와 주변 메모리 로직 및 제어 장치들을 하나의 도터 보드로 구성하고, 가상 사설망 처리 프로세서를 하나의 도터 보드로 구성하고, 암호 처리 프로세서를 하나의 도터 보드로 구성하고, 물리 링크 및 물리 계층 정합부를 하나의 도터 보드로 구성하여, 라우터 시스템의 성능 및 가격을 고려하여 각 도터 보드의 정합으로 하나의 보안 라우터 시스템을 구성할 수 있다.
도 3은 본 발명에 따른 네트워크 프로세서 내부의 구성을 블록으로 도시한 것이다.
네트워크 프로세서는 하드웨어적으로 제어 프로세서(300)와 마이크로 엔진(310)으로 구성된다.
제어 프로세서(300)는 일반적인 제어 CPU(예로서, Strong ARM 또는 Xscale) 로서 네트워크 프로세서의 초기 설정 과정 및 관리를 담당하는 프로세서이며, 마이크로 엔진(310)은 네트워크 프로세서 내부의 패킷 포워딩 처리를 위한 다수개의 CPU를 의미한다. 이때에 CPU는 필요에 따라 32비트 혹은 그 이상의 기능을 구비할 수 있다.
라우팅 처리부(320)와 사용자 인증부(330)는 제어 프로세서(300) 상에 탑재되는 소프트웨어 모듈이며, 침입 탐지부(340)와 소프트웨어 기반의 가상 사설망 모듈(350)은 제어프로세서(300) 및 마이크로 엔진(310)에 걸쳐서 존재하는 모듈이며, 패킷 포워딩부(360)는 마이크로 엔진(360)에 존재하는 소프트웨어 모듈이다.
각 기능부 혹은 모듈의 기능에 대해서는 네트워크 프로세서에 대한 혹은 가상 사설망 처리 프로세서에 대한 내용에 이미 설명되어 있으므로 별도의 기술은 생략한다.
이때에 침입 탐지부(340)는, 물리계층 접합부(110)로부터 패킷을 전달받아서 링크 레벨 프로토콜에 적합한 패킷 구조로 변환하고, TCP(Transmission Control Protocol) 및 UDP(User Datagram Protocol)를 포함하는 상위 프로토콜로 변환하는 패킷 수신 모듈(400), 패킷 수신 모듈(400)로부터 전달받은 패킷 전체에 대하여 조사하여야 할 대상을 검색하며, 패킷을 전달하기 전에 상이한 프로토콜을 따르는 패킷을 정규화하는 전처리 모듈(410), 전처리 모듈(410)에서 정규화한 패킷을 수신하여 패킷의 세부 필드에 대한 검사를 하는 탐지 모듈(420) 및 탐지 모듈(420)의 패킷 검사 결과 유해 패킷이 있으면 경고를 출력하는 경고 출력 모듈(430)을 포함하는 것이 바람직하다.
이와 같은 침입 탐지부(340)의 바람직한 내부 구조는 도 4에 도시되어 있다.
도 4에서 도시된 바와 같이 패킷 수신 모듈(400)은 마이크로 엔진의 패킷 포워딩부(360)와 연관이 되기 때문에 마이크로 엔진(310)에 구현된다.
그리고 네트워크 프로세서의 사용자 인증부(330)는 소정의 통신망을 통해 접속한 사용자가 입력하는 아이디와 패스워드를 입력으로 하여 소정의 방법에 따라 암호문을 생성하는 암호 생성부, 상기 사용자가 접속하기 위해 입력한 상기 아이디와 패스워드를 입력으로 하여 상기 암호생성부가 사용하는 방법에 따라 상기 사용자의 클라이언트에서 암호화되어 전송되는 암호화된 키 값을 수신하는 암호키 수신부 및 상기 암호 생성부가 생성한 암호문과 상기 암호키 수신부가 수신한 키 값을 비교하여 실질적으로 동일한 경우 정당한 사용자이며 사용 권한을 부여하는 최종 인증부를 포함하는 것이 바람직하다(사용자 인증부에 대한 내부 구조는 별도로 도시하지 않음).
도 5는 이와 같은 본 발명에 따른 사용자 인증부의 사용자 인증의 흐름을 도시한 것이다. 도면에서 Eu 혹은 Er은 암호화를 의미한다.
사용자의 클라이언트 시스템에 본 발명에 따라 사용자 인증을 할 수 있는 사용자 인증 클라이언트 모듈 프로그램을 설치한다(500 단계). 이는 시스템 관리자 혹은 사용자가 직접할 수도 있고, 혹은 네트워크를 통해 필요한 데이터를 내려받아서 설치할 수도 있다. 이 프로그램은 사용자의 아이디와 패스워드를 입력으로 하여 소정의 알고리즘에 따라 암호를 생성하는 기능을 포함한다. 이때에 필요에 따라서는 패스워드만을 입력으로 하여 암호를 생성할 수도 있다.
이와 같은 아이디와 패스워드는 미리 사용자가 본 발명에 따른 라우터 시스템에 등록하여 혹은 별도의 등록 절차를 거쳐서 설정될 필요가 있다. 그리고 이 등록된 아이디와 패스워드는 라우터 시스템이 인출하여 필요시에 사용될 수 있는 상태이다.
사용자가 예를 들면 텔넷을 지원하는 프로그램을 이용해서 클라이언트로부터 본 발명에 따른 네트워크 보안 기능을 제공하는 보안 라우터 시스템에 접속한다(510 단계).
이때에 사용자 클라이언트 모듈 프로그램은 사용자가 본 발명에 따른 보안 라우터 시스템에 접속하는 것을 감지하고 있어야 한다. 이는 위의 예에서 텔넷을 통해 접속할 때에 자동적으로 혹은 사용자의 선택에 의해 동작될 수 있다.
사용자가 본 발명에 따른 보안 라우터 시스템에 접속하기 위해 사용자 아이디와 패스워드를 입력하면(520 단계), 이는 보안 라우터 시스템으로 전달되어 사용자 인증부(330)에 전달되어 클라이언트에서 동작하는 프로그램과 동일한 알고리즘을 사용하여 사용자 아이디와 패스워드를 입력으로 하는 암호문 Er(Key)가 계산된다(530 단계). 이 경우 패스워드만을 입력으로 하여 암호문을 계산할 수도 있다.
사용자가 클라이언트의 화면을 통해 아이디와 패스워드가 입력되어 라우터로 전송됨과 동시에 클라이언트에 설치되었던 사용자 인증 클라이언트 모듈 프로그램은 그 아이디와 패스워드를 혹은 패스워드를 입력으로 하여 소정의 알고리즘에 따라 암호문 Eu(Key)를 계산하여 라우터로 전송한다(530 단계). 이때에 암호문을 계산한 후에 그 결과를 아이디와 패스워드와 함께 라우터로 전송할 수도 있다.
암호문 계산에 사용되는 암호화 알고리즘은 기존에 개발된 혹은 상용화된 알고리즘을 그대로 사용할 수 있으며, 어떤 제한이 있지 않다.
라우터의 사용자 인증부(330)는 전송받은 Eu(Key) 값과 계산된 Er(Key) 값을 비교하여(540 단계), 그 값이 서로 실질적으로 일치하면 인증이 성공한 것이며, 사용 권한을 부여한다(550 단계). 사용 권한은 일반적인 사용자에 대한 권한도 가능하며, 시스템 관리자로서의 권한을 부여하는 것도 가능하다. 이는 모두 미리 등록된 사용자 정보에 따라 결정될 수 있다.
만일 비교한 결과 암호화된 값들이 일치하지 않으면 이는 사용자 인증이 실패한 것이며(560 단계), 그에 따른 후속 처리 예를 들어 사용자가 접속한 텔넷을 해제할 수 있다.
상기와 같은 과정을 통해 본 발명에 따른 라우터 시스템은 미리 등록된 사용자인가를 인증하여 정당한 권한이 있는 사용자에게만 시스템에 접속하는 것을 허용하게 된다.
본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 본 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 상기의 설명에 포함된 예들은 본 발명에 대한 이해를 위해 도입된 것이며, 이 예들은 본 발명의 사상과 범위를 한정하지 않는다.상기의 예들 외에도 본 발명에 따른 다양한 실시 태양이 가능하다는 것은, 본 발명이 속한 기술 분야에 통상의 지식을 가진 사람에게는 자명할 것이다. 본 발명의 범 위는 전술한 설명이 아니라 청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.
또한 본 발명에 따른 상기의 각 단계는 일반적인 프로그래밍 기법을 이용하여 소프트웨어적으로 또는 하드웨어적으로 다양하게 구현할 수 있다는 것은 이 분야에 통상의 기술을 가진 자라면 용이하게 알 수 있는 것이다.
그리고 본 발명의 일부 단계들은, 또한, 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, CD-RW, 자기 테이프, 플로피디스크, HDD, 광 디스크, 광자기 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드로 저장되고 실행될 수 있다.
본 발명에 의하면, 네트워크 보안 기능을 제공하는 보안 라우터 시스템에 있어서, 패킷의 입출력을 담당하는 물리 링크 포트, 물리 링크 포트로 패킷을 송수신하고, MAC 프레임을 생성하는 물리 계층 정합부, 물리 계층 정합부를 통해 입력되는 패킷의 전송 경로를 설정하고, 라우팅 프로토콜을 처리하는 라우팅 처리부, 목적지 주소로 패킷을 전달하는 패킷 포워딩부, 입력되는 패킷을 패킷 분류 기준에 의하여 분류하고, 해당 패킷이 외부로부터의 공격에 해당하는 지를 판별하는 침입 탐지부 및 라우터로의 접속시 사용자의 적합 여부를 판별하는 사용자 인증부를 구비하는 네트워크 프로세서를 포함하여, 종래의 방화벽 또는 침입 탐지 시스템을 별도로 구축할 때보다 보안을 유지하면서도 네트워크를 구축하는 비용이 절감되는 장점이 있으며, 각 라우터마다 네트워크 보안 기능을 수행함으로서 유해 트래픽의 조기 차단이 가능하여 전체 네트워크의 신뢰성과 안전성이 향상되는 장점이 있다.

Claims (8)

  1. 네트워크 보안 기능을 제공하는 보안 라우터 시스템에 있어서,
    패킷의 입출력을 담당하는 물리 링크 포트;
    상기 물리 링크 포트로 패킷을 송수신하고, MAC(Media Access Control) 프레임을 생성하는 물리 계층 정합부; 및
    상기 물리 계층 정합부를 통해 입력되는 패킷의 전송 경로를 설정하고, 라우팅 프로토콜을 처리하는 라우팅 처리부, 목적지 주소로 패킷을 전달하는 패킷 포워딩부, 입력되는 패킷을 패킷 분류 기준에 의하여 분류하고, 해당 패킷이 외부로부터의 공격에 해당하는 지를 판별하는 침입 탐지부 및 라우터로의 접속시 사용자의 적합 여부를 판별하는 사용자 인증부를 구비하는 네트워크 프로세서;를 포함하는 것을 특징으로 하는 보안 라우터 시스템.
  2. 제1항에 있어서,
    사용자 인증 기능 및 가상 사설망 지원을 포함하는 기능들을 위한 암호 연산을 고속으로 연산하는 암호 처리 프로세서;를 더 포함하는 것을 특징으로 하는 보안 라우터 시스템.
  3. 제2항에 있어서,
    상기 암호 처리 프로세서는 상기 네트워크 프로세서와 QDR(Quad Data Rate) 인터페이스로 연결되는 것을 특징으로 하는 보안 라우터 시스템.
  4. 제1항 또는 제2항에 있어서,
    소정 프로토콜에 따라 외부 네트워크와의 안전한 통신 채널을 생성하는 가상 사설망 기능을 제공하기 위한 가상 사설망 처리 프로세서;를 더 포함하는 것을 특징으로 하는 보안 라우터 시스템.
  5. 제4항에 있어서,
    상기 가상 사설망 처리 프로세서의 가상 사설망 기능을 제공하는 것은 IPsec(IP security protocol) 프로토콜에 따른 것임을 특징으로 하는 보안 라우터 시스템.
  6. 제1항에 있어서,
    상기 네트워크 프로세서의 상기 침입 탐지부는,
    상기 물리계층 접합부로부터 패킷을 전달받아서 링크 레벨 프로토콜에 적합한 패킷 구조로 변환하고, TCP(Transmission Control Protocol) 및 UDP(User Datagram Protocol)를 포함하는 상위 프로토콜로 변환하는 패킷 수신 모듈;
    상기 패킷 수신 모듈로부터 전달받은 패킷 전체에 대하여 조사하여야 할 대상을 검색하며, 패킷을 전달하기 전에 상이한 프로토콜을 따르는 패킷을 정규화하는 전처리 모듈;
    상기 전처리 모듈에서 정규화한 패킷을 수신하여 패킷의 세부 필드에 대한 검사를 하는 탐지 모듈; 및
    상기 탐지 모듈의 패킷 검사 결과 유해 패킷이 있으면 경고를 출력하는 경고 출력 모듈;을 포함하는 것을 특징으로 하는 보안 라우터 시스템.
  7. 제1항에 있어서,
    상기 네트워크 프로세서의 사용자 인증부는,
    소정의 통신망을 통해 접속한 사용자가 입력하는 아이디와 패스워드를 입력으로 하여 소정의 방법에 따라 암호문을 생성하는 암호 생성부;
    상기 사용자가 접속하기 위해 입력한 상기 아이디와 패스워드를 입력으로 하여 상기 암호생성부가 사용하는 방법에 따라 상기 사용자의 클라이언트에서 암호화되어 전송되는 암호화된 키 값을 수신하는 암호키 수신부; 및
    상기 암호 생성부가 생성한 암호문과 상기 암호키 수신부가 수신한 키 값을 비교하여 실질적으로 동일한 경우 정당한 사용자이며 사용 권한을 부여하는 최종 인증부;를 포함하는 것을 특징으로 하는 보안 라우터 시스템.
  8. 네트워크 보안 기능을 제공하는 보안 라우터 시스템에 접속하는 사용자에 대한 인증을 하는 방법에 있어서,
    소정의 알고리즘에 따라 암호를 생성하는 프로그램이 동작하는 클라이언트를 사용하여 소정의 통신망을 통해 상기 보안 라우터 시스템에 접속하는 사용자로부터 아이디와 패스워드를 입력받는 단계;
    상기 입력받은 사용자 아이디와 패스워드를 입력으로 하여 상기 사용자의 클라이언트에서 동작하는 알고리즘과 실질적으로 동일한 알고리즘에 따라 암호문을 생성하는 단계;
    상기 사용자가 입력하는 아이디와 패스워드를 동시에 입력으로 받은 상기 클라이언트에서 생성된 사용자에 대한 암호문을 전송받는 단계;
    상기 생성한 암호문과 전송받은 암호문을 비교하는 단계; 및
    비교 결과 암호문들이 실질적으로 동일한 경우 사용자 인증을 하고 사용 권한 부여를 하는 단계;를 포함하는 것을 특징으로 하는 보안 라우터 시스템에 접속하는 사용자에 대한 인증 방법.
KR1020040091838A 2004-11-11 2004-11-11 보안 라우터 시스템 및 그 시스템에 접속하는 사용자에대한 인증 방법 KR20060044049A (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020040091838A KR20060044049A (ko) 2004-11-11 2004-11-11 보안 라우터 시스템 및 그 시스템에 접속하는 사용자에대한 인증 방법
US11/220,887 US20060101261A1 (en) 2004-11-11 2005-09-07 Security router system and method of authenticating user who connects to the system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020040091838A KR20060044049A (ko) 2004-11-11 2004-11-11 보안 라우터 시스템 및 그 시스템에 접속하는 사용자에대한 인증 방법

Publications (1)

Publication Number Publication Date
KR20060044049A true KR20060044049A (ko) 2006-05-16

Family

ID=36317718

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020040091838A KR20060044049A (ko) 2004-11-11 2004-11-11 보안 라우터 시스템 및 그 시스템에 접속하는 사용자에대한 인증 방법

Country Status (2)

Country Link
US (1) US20060101261A1 (ko)
KR (1) KR20060044049A (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100924310B1 (ko) * 2009-02-06 2009-10-29 오픈스택 주식회사 공격 패킷 차단 장치와 공격 패킷 차단 기능을 갖는 멀티미디어 통화 장치 및 라우터
KR101440154B1 (ko) * 2007-09-11 2014-09-12 주식회사 엘지씨엔에스 네트워크 보안시스템의 사용자 인증 장치 및 방법

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8645568B2 (en) * 2007-11-16 2014-02-04 Equinix, Inc. Various methods and apparatuses for a route server
US9253174B1 (en) 2013-02-28 2016-02-02 Google Inc. Providing a second factor authorization
US20180198717A1 (en) * 2014-08-21 2018-07-12 Zte Corporation (China) A smart flow classification method/system for network and service function chaining
CN105743843A (zh) * 2014-12-08 2016-07-06 华为技术有限公司 一种防止报文攻击的处理方法及装置
EP3281377B1 (en) * 2015-04-10 2020-09-09 Telefonaktiebolaget LM Ericsson (publ) Methods and devices for access control of data flows in software defined networking system
US11259180B2 (en) * 2015-06-04 2022-02-22 Vm-Robot, Inc. Routing systems and methods
US10873857B2 (en) 2018-05-31 2020-12-22 At&T Intellectual Property I, L.P. Dynamic wireless link security
CN114785536B (zh) * 2022-02-28 2024-08-06 新华三信息安全技术有限公司 一种报文处理方法及装置
CN115883443A (zh) * 2022-12-22 2023-03-31 中国人民解放军战略支援部队信息工程大学 网络时间同步报文安全传输路由的确定方法及装置

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7213068B1 (en) * 1999-11-12 2007-05-01 Lucent Technologies Inc. Policy management system
US20030070074A1 (en) * 2000-03-17 2003-04-10 Avner Geller Method and system for authentication
WO2003096612A1 (fr) * 2002-05-09 2003-11-20 Niigata Seimitsu Co., Ltd. Dispositif, procede et systeme de cryptage
KR100502068B1 (ko) * 2003-09-29 2005-07-25 한국전자통신연구원 네트워크 노드의 보안 엔진 관리 장치 및 방법
US7519986B2 (en) * 2003-10-01 2009-04-14 Tara Chand Singhal Method and apparatus for network security using a router based authentication system
US20050114627A1 (en) * 2003-11-26 2005-05-26 Jacek Budny Co-processing

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101440154B1 (ko) * 2007-09-11 2014-09-12 주식회사 엘지씨엔에스 네트워크 보안시스템의 사용자 인증 장치 및 방법
KR100924310B1 (ko) * 2009-02-06 2009-10-29 오픈스택 주식회사 공격 패킷 차단 장치와 공격 패킷 차단 기능을 갖는 멀티미디어 통화 장치 및 라우터

Also Published As

Publication number Publication date
US20060101261A1 (en) 2006-05-11

Similar Documents

Publication Publication Date Title
US10505900B2 (en) Data leak protection in upper layer protocols
US7552323B2 (en) System, apparatuses, methods, and computer-readable media using identification data in packet communications
US8146145B2 (en) Method and apparatus for enabling enhanced control of traffic propagation through a network firewall
US8806572B2 (en) Authentication via monitoring
US7313618B2 (en) Network architecture using firewalls
US20090288158A1 (en) Intelligent firewall
EP4236206B1 (en) Actively monitoring encrypted traffic by inspecting logs
US20060101261A1 (en) Security router system and method of authenticating user who connects to the system
CA2506418C (en) Systems and apparatuses using identification data in network communication
JP5869552B2 (ja) 方法を実行するデバイスを介してアクセス可能なデータまたはサービスに対するアクセスのセキュリティを保護する方法、およびそれに対応するデバイス
WO2010011921A2 (en) Http authentication and authorization management
EP2311218B1 (en) Http authentication and authorization management
CN115603932A (zh) 一种访问控制方法、访问控制系统及相关设备
US8656462B2 (en) HTTP authentication and authorization management
WO2023279782A1 (zh) 一种访问控制方法、访问控制系统及相关设备
CN110492994B (zh) 一种可信网络接入方法和系统
RU2163745C2 (ru) Система защиты виртуального канала корпоративной сети с аутентифицирующим маршрутизатором, построенной на каналах и средствах коммутации сети связи общего пользования
US20240223534A1 (en) Stateless cloud authentication for security services
Tian et al. Network Security and Privacy Architecture
Shashi et al. To Detect and Isolate Zombie Attack in Cloud Computing
CN118300899A (zh) 授权通信方法、装置、计算机设备及存储介质
Simões Novos Paradigmas de Controlo de Acesso a Máquinas na Internet

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
J201 Request for trial against refusal decision
AMND Amendment
E801 Decision on dismissal of amendment
B601 Maintenance of original decision after re-examination before a trial
J301 Trial decision

Free format text: TRIAL DECISION FOR APPEAL AGAINST DECISION TO DECLINE REFUSAL REQUESTED 20061124

Effective date: 20071130