KR20060062356A - 지지에스엔의 에스에스엘 프록시 처리 장치 및 그 방법 - Google Patents

지지에스엔의 에스에스엘 프록시 처리 장치 및 그 방법 Download PDF

Info

Publication number
KR20060062356A
KR20060062356A KR1020040101173A KR20040101173A KR20060062356A KR 20060062356 A KR20060062356 A KR 20060062356A KR 1020040101173 A KR1020040101173 A KR 1020040101173A KR 20040101173 A KR20040101173 A KR 20040101173A KR 20060062356 A KR20060062356 A KR 20060062356A
Authority
KR
South Korea
Prior art keywords
ssl
ggsn
server
terminal
apn
Prior art date
Application number
KR1020040101173A
Other languages
English (en)
Inventor
이상윤
Original Assignee
엘지노텔 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 엘지노텔 주식회사 filed Critical 엘지노텔 주식회사
Priority to KR1020040101173A priority Critical patent/KR20060062356A/ko
Publication of KR20060062356A publication Critical patent/KR20060062356A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/70Reducing energy consumption in communication networks in wireless communication networks

Abstract

본 발명은 GGSN의 SSL 프록시 처리 장치 및 그 방법을 제공하기 위한 것으로, 단말로부터 PDP 생성 요청을 받고, SSL 서버와 SSL 터널을 형성하며, SSL을 이용하여 패킷을 암호화하여 상기 SSL 서버로 전송하는 GGSN과; 상기 GGSN과 SSL 터널을 형성하여 연결되고, 상기 GGSN으로부터 수신한 패킷을 복호화하는 SSL 서버를 포함하여 구성함으로서, 단말에서 사용자 데이터를 암호화 할 필요 없이 GGSN에서 사용자 데이터를 암호화하여 단말의 이용자에게 보안 서비스를 제공할 수 있게 되는 것이다.

Description

지지에스엔의 에스에스엘 프록시 처리 장치 및 그 방법{Apparatus and method for processing of SSL proxy on GGSN}
도 1은 종래 SSL 클라이언트와 SSL 서버를 포함한 블록구성도이고,
도 2는 도 1에서 사용되는 스택을 보인 개념도이며,
도 3은 종래 SSL 클라이언트와 SSL 서버간의 암호화 방법을 보인 개념도이고,
도 4는 종래 SSL 클라이언트와 SSL 서버간의 어플리케이션 데이터 전송 방법을 보인 개념도이며,
도 5는 본 발명에 의한 GGSN의 SSL 프록시 처리 장치의 블록구성도이고,
도 6은 도 5에서 GGSN의 상세블록도이며,
도 7은 본 발명에 의한 GGSN의 SSL 프록시 처리 방법을 보인 흐름도이고,
도 8은 본 발명에 의한 GGSN에서의 제어 방법을 보인 흐름도이며,
도 9는 본 발명에 의한 GGSN에서의 사용자 트래픽 처리 방법을 보인 흐름도이다.
* 도면의 주요 부분에 대한 부호의 설명 *
10 : 단말 20 : SGSN
30 : GGSN 31 : 제어부
32 : APN DB 33 : SSL 구성 DB
35 : 인터페이스부 36 : 세션 테이블
37 ; SSL 구성 테이블 38 : 암호화 모듈
40 : SSL 서버 50 : 어플리케이션 서버
60 : 메일 서버
본 발명은 GGSN(Gateway General packet radio services Support Node)의 SSL(Secure Sockets Layer) 프록시(Proxy) 처리 장치 및 그 방법에 관한 것으로, 특히 단말에서 사용자 데이터를 암호화 할 필요 없이 GGSN에서 사용자 데이터를 암호화하여 단말의 이용자에게 보안 서비스를 제공하기에 적당하도록 한 GGSN의 SSL 프록시 처리 장치 및 그 방법에 관한 것이다.
일반적으로 SSL은 월드 와이드 웹 브라우저와 웹 서버 간에 데이터를 안전하게 주고받기 위한 업계 표준 프로토콜이다. 이러한 SSL은 인터넷 프로토콜(Internet protocol, IP)이 보안면에서 기밀성을 유지하지 못한다는 문제를 극복하기 위해 개발되었다. 현재 전세계에서 사용되는 인터넷 상거래시 요구되는 개인 정보와 크레디트카드 정보의 보안 유지에 가장 많이 사용되고 있는 프로토콜이다. 최종 사용자와 가맹점간의 지불 정보 보안에 관한 프로토콜이라고 할 수 있다.
SSL은 웹 제품뿐만 아니라 파일 전송 프로토콜(File Transfer Protocol, FTP) 등 다른 TCP/IP(Transmission Control Protocol/Internet Protocol, 전송 제어 프로토콜-인터넷 프로토콜) 어플리케이션에 적용할 수 있으며, 인증 암호화 기능이 있다. 인증은 웹 브라우저와 웹 서버 간에 서로 상대의 신원을 확인하는 기능이다. 예를 들면, 웹 브라우저를 사용하는 웹 서버를 사용한 가상 점포의 진위 여부를 조사할 수 있다. 암호화 기능을 사용하면 주고받는 데이터가 인터넷상에서 도청되는 위험성을 줄일 수 있다.
도 1은 종래 SSL 클라이언트와 SSL 서버를 포함한 블록구성도이다.
여기서 참조번호 1은 노트북 PC(Personal Computer)와 같은 SSL 클라이언트이고, 2는 상기 SSL 클라이언트(1)와 SSL 터널(Tunnel)로 연결된 SSL 서버(2)이며, 3은 상기 SSL 서버(2)와 연결된 어플리케이션 서버(Application Server)이고, 4는 상기 SSL 서버(2)와 연결된 메일 서버(Mail Server)이다.
그래서 기본적으로 PC와 같은 SSL 클라이언트(1)에는 익스플로러가 설치되어 있고, SSL 서비스를 지원하게 되어 있다. 즉 사용자가 회사 외부에 있을 때 SSL이 지원되는 익스플로러를 이용하여 회사 내부의 정보에 안전하게 접속 할 수 있다.
그리고 SSL 클라이언트(1)는 SSL 핸드세이킹(hand shaking)을 시작하는 주체로서, SSL 서버(2)와 암호화 알고리즘 및 세션 키를 구성하고, 이를 이용하여 SSL터널을 설정한다. 그리고 이 SSL 터널을 이용하여 사용자의 데이터를 안전하게 전달하게 된다.
도 2는 도 1에서 사용되는 스택을 보인 개념도이다.
이러한 스택은 물리 계층(Physical Layer), 네트워크 계층(Network Layer)의 IP(Internet Protocol), 전송 계층(Transport Layer)의 TCP(Transmission Control Protocol), 보상 소켓 계층(SSL)으로 이루어진다. 그리고 그 상위에 HTTP(HyperText Transfer Protocol, 하이퍼텍스트 전송프로토콜), 텔넷(Telnet), FTP 등의 어플리케이션이 있다.
그래서 SSL은 TCP 계층(Layer) 위에 올라가 상위 어플리케이션의 보안을 담당하게 되는데, 텔넷(Telnet) 이나 FTP 또는 웹과 같은 어플리케이션을 이용할 때에 도 2에서와 같은 스택(Stack)을 가지고 패킷이 전송되게 된다. 즉, SSL 아래 있는 TCP 부터 암호화 되기 때문에 인터넷에서 악의를 가진 사용자가 패킷을 캡쳐 하더라도 실제 내용은 파악할 수 없게 되는 것이다.
이러한 SSL을 이용하기 위해서는 먼저 핸드세이크 프로토콜(Handshake protocol)을 이용하여 암호 스펙(Cipher specification)을 주고받아야 한다.
SSL 클라이언트(1)와 SSL 서버(2)는 처음 통신을 시작할 때에 프로토콜 버전을 합의하고, 암호화 알고리즘을 고르며, 부가적으로 서로간의 인증을 합의한다.
또한 공유 비밀(Shared Secret)을 만들기 위해 공개키 암호화 기술을 이용한다.
이렇게 합의한 공유 비밀(Shared Secret)과 암호화 알고리즘을 이용하여 사용자 데이터를 암호화해서 SSL 클라이언트(1)가 전송하면, SSL 서버(2)는 SSL 터널을 이용해 전송받아 복호화 하여 패킷을 처리하게 된다.
도 3은 종래 SSL 클라이언트와 SSL 서버간의 암호화 방법을 보인 개념도이다.
그래서 먼저 SSL 클라이언트(1)가 ClientHello 메시지를 SSL 서버(2)로 보내면, SSL 서버(2)는 ServerHello 메시지로 응답을 해주어야 한다.
이때 프로토콜 버전과 세션 아이디(Session ID), 암호화 모음(Cipher suite), 압축 방법을 만든다.
Hello 메시지에 이어서 SSL 서버(2)는 만약 인증이 필요하다면 인증서를 전송한다.
그리고 서버 키 교환(Server Key exchange) 메시지도 전송한다.
만약 SSL 서버(2)가 인증이 되고, SSL 클라이언트(1)가 보낸 암호화 모음(Cipher suite)이 타당하다면, SSL 서버(2)는 SSL 클라이언트(1)로부터 인증서를 요구 할 수도 있다.
이런 절차가 완료된 후에 SSL 서버(2)는 server hello done 메시지를 보내게 되는데, 이는 hello-message 단계가 끝났다는 것을 의미한다.
그리고 나서 SSL 서버(2)는 SSL 클라이언트(1)의 메시지를 기다리게 된다.
SSL 클라이언트(1)가 certificate 메시지를 수신하게 되면, 인증서를 보내고 client key exchange 메시지를 전송한다.
이 때 들어가는 내용은 Client Hello와 Server Hello 사이에서 선택되었던 공개키 알고리즘에 의해서 채워지게 된다. 이 부분에서 SSL 클라이언트(1)는 암호 스펙 변경(Change cipher spec) 메시지를 SSL 서버(2)로 전송하는데, 바로 SSL 서버(2)와 협상된 알고리즘과 키(key)를 이용하여 finished 메시지를 암호화 하여 또한 전송한다.
이를 수신한 SSL 서버(2)는 마찬가지로 change cipher spec 메시지와 새롭게 암호화된 finished 메시지를 전송한다.
이 과정이 끝나면, SSL 클라이언트(1)와 SSL 서버(2)는 안전하게 어플리케이션 데이터(application data)를 주고받을 수 있게 된다.
도 4는 종래 SSL 클라이언트와 SSL 서버간의 어플리케이션 데이터 전송 방법을 보인 개념도이다.
그래서 SSL 클라이언트(1)와 SSL 서버(2)가 이전의 세션(session)이나 이미 존재하는 세션을 지속하기로 했을 때는 SSL 클라이언트(1)가 해당 세션 아이디(session ID)를 이용하여 client hello 메시지를 전송한다.
SSL 서버(2)는 수신된 session ID를 이용하여 체크하고, 해당 session ID가 발견되면 SSL 서버(2)는 동일한 session ID를 이용하여 server hello 메시지를 전달한다.
이 때 change cipher spec 메시지와 finished 메시지를 서로 주고 받는다.
이 과정이 끝나면 SSL 클라이언트(1)와 SSL 서버(2)는 어플리케이션 데이터를 주고 받을 수 있다.
이러한 핸드세이크(handshake) 과정을 거치게 되면 암호화하는데 필요한 알고리즘과 키 값이 공유되고, 이를 이용하여 데이터를 암호화하여 전송하기 때문에 안전한 통신을 할 수 있게 된다.
그러나 이와 같은 종래 기술은 다음과 같은 문제점이 있었다.
즉, SSL VPN(Virtual Private Network) 기능을 일반 라우터(Router)가 아닌 GGSN에 적용시킬 경우에는 일반 라우터에서 처리시 필요한 부분과 GGSN에 적용 시 필요한 부분이 서로 다르게 된다.
예를 들어 일반 라우터에서는 IP 기반으로 처리를 하지만, GGSN은 세션이 TEID(Tunnel Endpoint IDentifier, 터널 종단 식별자)라는 유니크(unique)한 값으로 구분이 되기 때문에, 이를 이용하여 처리를 해주어야 한다.
따라서 종래에는 이를 위한 기술이 구현되어 있지 않아 GGSN에서 SSL 프록시 처리를 수행할 수 없는 한계가 있었다.
이에 본 발명은 상기와 같은 종래의 제반 문제점을 해결하기 위해 제안된 것으로, 본 발명의 목적은 단말에서 사용자 데이터를 암호화 할 필요 없이 GGSN에서 사용자 데이터를 암호화하여 단말의 이용자에게 보안 서비스를 제공할 수 있는 GGSN의 SSL 프록시 처리 장치 및 그 방법을 제공하는데 있다.
상기와 같은 목적을 달성하기 위하여 본 발명의 일실시예에 의한 GGSN의 SSL 프록시 처리 장치는,
단말로부터 PDP 생성 요청을 받고, SSL 서버와 SSL 터널을 형성하며, SSL을 이용하여 패킷을 암호화하여 상기 SSL 서버로 전송하는 GGSN과; 상기 GGSN과 SSL 터널을 형성하여 연결되고, 상기 GGSN으로부터 수신한 패킷을 복호화하는 SSL 서버를 포함하여 이루어짐을 그 기술적 구성상의 특징으로 한다.
상기와 같은 목적을 달성하기 위하여 본 발명의 일실시예에 의한 GGSN의 SSL 프록시 처리 방법은,
GGSN에서 단말의 PDP 컨텍스트 생성요구를 수신하는 제 1 단계와; 상기 제 1 단계 후 GGSN에서 SSL 서버와 SSL 핸드세이크 협상을 수행하는 제 2 단계와; 상기 제 2 단계 후 상기 GGSN에서 단말로 PDP 컨텍스트 응답을 송신하는 제 3 단계와; 상기 제 3 단계 후 상기 단말로부터 사용자 데이터를 받은 상기 GGSN에서 SSL 터널을 통해 상기 SSL 서버로 사용자 데이터를 전송하는 제 4 단계를 포함하여 수행함을 그 기술적 구성상의 특징으로 한다.
이하, 상기와 같은 본 발명, GGSN의 SSL 프록시 처리 장치 및 그 방법의 기술적 사상에 따른 일실시예를 도면을 참조하여 설명하면 다음과 같다.
도 5는 본 발명에 의한 GGSN의 SSL 프록시 처리 장치의 블록구성도이고, 도 6은 도 5에서 GGSN의 상세블록도이다.
이에 도시된 바와 같이, 단말(10)로부터 PDP(Packet Data Protocol) 생성(Creation) 요청을 받고, SSL 서버(40)와 SSL 터널을 형성하며, SSL을 이용하여 패킷을 암호화하여 상기 SSL 서버(40)로 전송하는 GGSN(30)과; 상기 GGSN(30)과 SSL 터널을 형성하여 연결되고, 상기 GGSN(30)으로부터 수신한 패킷을 복호화하는 SSL 서버(40)를 포함하여 구성된다.
상기에서 GGSN의 SSL 프록시 처리 장치는, 상기 SSL 서버(40)와 연결된 어플리케이션 서버(50)와; 상기 SSL 서버(40)와 연결된 메일 서버(60)를 더욱 포함하여 구성된다.
상기에서 GGSN의 SSL 프록시 처리 장치는, 상기 GGSN(30)과 단말(10) 사이에 위치하여, 상기 단말(10)로부터 받은 PDP 생성 요청을 상기 GGSN(30)으로 전달하고, 상기 GGSN(30)으로부터 받은 PDP 생성 응답을 상기 단말(10)로 전송하는 SGSN(Serving General packet radio services Support Node)(20)을 더욱 포함하여 구성된다.
상기에서 GGSN(40)은, APN(Access Point Name) 데이터베이스(Database, DB)(32)와 SSL 구성 데이터베이스(SSL Configuration DB)(33)를 구비하고, 단말(10)로부터 받은 PDP 컨텍스트(Context) 관련 처리를 수행하고, SSL 협상(Negotiation)을 수행하는 제어부(31)와; 세션 테이블(Session Table)(36)과 SSL 구성 테이블(SSL Configuration Table)(37)과 암호화 모듈(38)을 구비하고, 상기 제어부(31)에 의해 세션이 설정되면, 사용자의 트래픽을 처리하는 인터페이스부(35)를 포함하여 구성된다.
또한 본 발명에 의한 GGSN의 SSL 프록시 처리 장치는, APN(Access Point Name) 데이터베이스(Database, DB)(32)와 SSL 구성 데이터베이스(SSL Configuration DB)(33)를 구비하고, 단말(10)로부터 받은 PDP 컨텍스트(Context) 관련 처리를 수행하고, SSL 협상(Negotiation)을 수행하는 제어부(31)와; 세션 테이블(Session Table)(36)과 SSL 구성 테이블(SSL Configuration Table)(37)과 암호화 모듈(38)을 구비하고, 상기 제어부(31)에 의해 세션이 설정되면, 사용자의 트래픽을 처리하는 인터페이스부(35)를 포함하여 구성된다.
도 7은 본 발명에 의한 GGSN의 SSL 프록시 처리 방법을 보인 흐름도이다.
이에 도시된 바와 같이, GGSN(30)에서 단말(10)의 PDP 컨텍스트 생성요구를 수신하는 제 1 단계(ST1, ST2)와; 상기 제 1 단계 후 GGSN(30)에서 SSL 서버(40)와 SSL 핸드세이크 협상(SSL Handshake Negotiation)을 수행하는 제 2 단계(ST3)와; 상기 제 2 단계 후 상기 GGSN(30)에서 단말(10)로 PDP 컨텍스트 응답을 송신하는 제 3 단계(ST4, ST5)와; 상기 제 3 단계 후 상기 단말(10)로부터 사용자 데이터를 받은 상기 GGSN(30)에서 SSL 터널을 통해 상기 SSL 서버(40)로 사용자 데이터를 전송하는 제 4 단계(ST6, ST7)를 포함하여 수행한다.
상기에서 제 2 단계는, 상기 GGSN(30)은 APN DB(32)를 검색하여 상기 단말(10)에서 수신된 APN이 SSL VPN을 지원하는 APN인지를 체크하여, 만약 해당 APN DB(32)에 SSL 구성 인덱스(SSL configuration index) 값이 존재하면 상기 GGSN(30)은 이를 SSL VPN을 지원하는 APN으로 판단하여 SSL 구성 DB(33)에서 SSL 구성 인덱스 값을 이용하여 찾은 SSL 설정 정보를 이용하여 상기 SSL 서버(40)와 SSL 핸드세이크 협상을 진행하고, 협상이 완료되면 세션 테이블(36)에 TEID와 SSL 구성 테이블 인덱스를 저장하고 SSL 구성 테이블(37)에는 협상 완료된 SSL 설정 정보를 저장하는 것을 포함하여 수행함을 특징으로 한다.
도 8은 본 발명에 의한 GGSN에서의 제어 방법을 보인 흐름도이다.
이에 도시된 바와 같이, PDP 컨텍스트 생성 요구(PDP Context create request) 메시지를 수신하면, GGSN(30)에서 해당 APN이 SSL을 지원하는지 판별하는 제 11 단계(ST11, ST12)와; 상기 제 11 단계에서 해당 APN이 SSL을 지원하면, SSL 핸드세이크 프로토콜을 작동시킨 다음 PDP 생성 응답(PDP Context Create response)을 단말(10)로 송신하고, TEID에 서비스 플래그를 셋팅(service flag setting)하고, 이를 SSL 구성 DB(33)에 저장하고, 세션 테이블(36)에는 TEID와 SSL 구성 테이블 인덱스를 저장하며, SSL 구성 테이블(37)에는 협상 완료된 SSL 설정 정보를 저장하는 제 12 단계(ST13 ~ ST16)와; 상기 제 11 단계에서 해당 APN이 SSL을 지원하지 않으면, 일반 호 처리를 수행하는 제 13 단계(ST17)를 포함하여 수행한다.
도 9는 본 발명에 의한 GGSN에서의 사용자 트래픽 처리 방법을 보인 흐름도이다.
이에 도시된 바와 같이, 사용자 패킷이 수신되면 TEID의 서비스 플래그를 체크하여 SSL VPN을 지원하는지 판별하는 제 21 단계(ST21, ST22)와; 상기 제 21 단계에서 수신된 사용자 패킷이 SSL VPN을 지원하면, SSL 구성 테이블 인덱스를 이용하여 해당 패킷에 대해 암호화 처리를 수행하고, 암호화된 패킷을 SSL 서버(40)로 전송하는 제 22 단계(ST23 ~ ST25)와; 상기 제 21 단계에서 수신된 사용자 패킷이 SSL VPN을 지원하지 않으면, 일반 패킷 처리를 수행하는 제 23 단계(ST26)를 포함하여 수행한다.
이와 같이 구성된 본 발명에 의한 GGSN의 SSL 프록시 처리 장치 및 그 방법의 동작을 첨부한 도면에 의거 상세히 설명하면 다음과 같다.
먼저 본 발명은 단말에서 사용자 데이터를 암호화 할 필요 없이 GGSN에서 사용자 데이터를 암호화하여 단말의 이용자에게 보안 서비스를 제공하고자 한 것이다.
그래서 GGSN(30)과 SSL 서버(40) 사이에 SSL 터널이 생성되도록 한다.
이를 위해 먼저 단말(10)이 PDP 생성(PDP creation)을 요청하면, GGSN(30)은 해당 APN이 SSL VPN 기능을 제공해야 하는지를 먼저 체크하여, SSL VPN 기능을 제공한다고 판단되면, SSL 핸드세이크 프로토콜을 이용하여 SSL 서버(40)와 협상을 맺는다. 이 과정이 끝나고 단말(10)에서 사용자 패킷이 GGSN(30)으로 전송되어 오면, GGSN(30)은 SSL을 이용하여 해당 패킷을 암호화 한 후에 SSL 서버(40)로 전송하게 되고, 이를 수신한 SSL 서버(40)가 이를 복호화 하여 전달하게 된다.
또한 GGSN(30)의 전체 구조는 크게 제어부(31)와 인터페이스부(35)로 나눈다.
제어부(31)는 PDP 컨텍스트(PDP Context) 관련 처리와 SSL 협상(SSL Negotiation) 역할을 하는 곳이고, 인터페이스부(35)는 세션이 설정된 다음 사용자의 트래픽을 처리하는 부분이다.
3GPP(3rd Generation Partnership Project)에서 세션을 만들기 위해서는 먼저 APN을 만들어야 한다.
그래서 SSL VPN 지원을 위해 ssl.apn.com 과 같은 APN을 생성한 후에 APN DB(32)에 SSL 구성 인덱스(SSL Configuration index)를 넣도록 한다.
그리고 이와 관련하여 해당 SSL 구성 인덱스를 갖는 SSL 구성 DB(33)를 구성하여, SSL 핸드세이크 협상을 위한 정보들을 저장한다.
세션 생성 절차와 SSL 핸드세이크 절차가 끝나게 되면, 인터페이스부(35)의 세션 테이블(36)에는 TEID정보와 SSL 구성 인덱스를 저장하고, 협상이 끝난 SSL 정보는 인터페이스부(35)의 SSL 구성 테이블(38)에 저장한다.
그리고 사용자 트래픽이 수신되면 인터페이스부(35)는 이 테이블에 따라 사용자 트래픽을 처리한다.
이를 도 7을 참조하여 상세히 설명하면 다음과 같다.
MS(단말)(10)에서 SGSN(20)을 거쳐 Create PDP context req 메시지가 수신되면(ST1, ST2), GGSN(30)은 APN DB(32)를 검색하여, MS(10)에서 수신된 APN이 SSL VPN을 지원하는 APN인지를 체크한다.
만약 해당 APN DB(32)에 SSL 구성 인덱스 값이 존재하면, GGSN(30)은 이를 SSL VPN을 지원하는 APN으로 판단하여 SSL 구성 DB(33)에서 SSL 구성 인덱스 값을 이용하여 찾은 SSL 설정 정보를 이용하여 SSL 서버(40)와 협상을 진행한다(ST3).
협상이 완료되면 앞서 언급했듯이 세션 테이블(36)에 TEID와 SSL 구성 테이블 인덱스를 저장하고, SSL 구성 테이블(37)에는 협상 완료된 SSL 설정 정보를 저장한다.
인터페이스부(35)에서는 이 테이블을 참고하여 사용자의 데이터를 처리하게 된다.
또한 GGSN(30)의 제어부(31)에서의 동작을 도 8을 참조하여 상세히 설명하면 다음과 같다.
도 7과 도 8의 차이점 중 하나는 TEID 에 서비스 플래그를 체크한다는 점이다.
그래서 PDP context response가 나가면 GGSN(30)은 세션에 대하여 유일한 값인 TEID를 가지게 되는데, 이 TEID를 생성할 때에 서비스 플래그(service flag) 값 을 두어 SSL VPN을 요구하는 호인 경우 플래그 값을 셋팅하여 TEID를 생성한다.
TEID는 32 bit로 구성되어 있는데, 만약 10bit를 여러 가지 서비스를 나타내기 위한 service flag로 사용한다 해도 22bit로 표현할 수 있는 가입자 수는 4,194,304가 된다.
이 정도 값은 한 장비에서 처리하는데 문제가 없을 만큼 큰 수이기 때문에 TEID 32bit 값을 쪼개어 서비스 플래그로 이용해도 장비의 가입자 용량에는 지장이 없다.
이렇게 서비스 플래그를 셋팅하여 세션 테이블(36)에 TEID와 SSL 구성 테이블 인덱스 값을 저장하게 되면, 실제 사용자의 패킷이 수신되었을 때 이 TEID를 보고 SSL VPN서비스 지원인 경우 인터페이스부(35)로 해당 패킷과 SSL 구성 테이블 인덱스 값을 같이 넘겨준다.
그러면 SSL 인터페이스부(35)는 SSL 구성 테이블 인덱스에서 값을 찾아 해당 하는 알고리즘을 이용하여 패킷을 암호화하게 된다. 그리고 이 패킷이 SSL 서버(40)로 전달된다.
또한 도 9를 참조하여, 이렇게 저장된 테이블이 어떻게 사용자의 트래픽을 처리하는지에 대해 인터페이스부(35)에서의 동작을 중심으로 설명하면 다음과 같다.
먼저 세션은 TEID에 의해서 유니크(unique) 하게 구분될 수 있다. 그리고 서비스 플래그를 사용하기 때문에 현재 수신된 트래픽이 SSL VPN 이 필요한지 아닌지를 인터페이스부(35)에서는 빠르게 판단할 수 있다.
그리고 SSL 처리를 SSL 인터페이스부(35)에서 별도로 처리하기 때문에 이를 하드웨어로 이용할 경우 일반 트래픽 처리에 부하를 주지 않고 사용자의 트래픽을 처리할 수 있다.
그래서 사용자의 데이터가 수신되면 서비스 플래그를 체크하여 SSL VPN 적용이 필요한지를 먼저 판단한다.
SSL VPN 적용이 결정되면 세션 테이블(36)에서 SSL 구성 테이블 인덱스를 찾아 사용자의 패킷과 함께 SSL 처리를 수행하도록 한다.
그래서 인터페이스부(35)에서는 SSL 구성 테이블 인덱스를 사용하여 테이블에서 관련 정보를 찾고, 이를 이용하여 암호화를 진행하고 암호화가 끝나면 이를 SSL 서버(40)로 전송한다.
GGSN(30)을 통하여 나가는 패킷은 이렇게 처리하고, 반대로 GGSN(30)으로 들어오는 패킷은 SSL인지 판단하여 SSL이면 SSL 인터페이스부(35)로 넘겨준다.
그러면 SSL 인터페이스부(35)에서는 일반 SSL 장비에서 처리하는 방식과 마찬가지로 복호화를 하고 그 후에 단말(10)의 IP를 체크하여 해당 단말로 복호화된 패킷을 넘겨준다.
이처럼 본 발명은 단말에서 사용자 데이터를 암호화 할 필요 없이 GGSN에서 사용자 데이터를 암호화하여 단말의 이용자에게 보안 서비스를 제공하게 되는 것이다.
이상에서 본 발명의 바람직한 실시예를 설명하였으나, 본 발명은 다양한 변화와 변경 및 균등물을 사용할 수 있다. 본 발명은 상기 실시예를 적절히 변형하여 동일하게 응용할 수 있음이 명확하다. 따라서 상기 기재 내용은 하기 특허청구범위의 한계에 의해 정해지는 본 발명의 범위를 한정하는 것이 아니다.
이상에서 살펴본 바와 같이, 본 발명에 의한 GGSN의 SSL 프록시 처리 장치 및 그 방법은 단말에서 사용자 데이터를 암호화 할 필요 없이 GGSN에서 사용자 데이터를 암호화하여 단말의 이용자에게 보안 서비스를 제공할 수 있는 효과가 있게 된다.
또한 본 발명은 GGSN에 SSL VPN 기능이 적용이 되면 암호화에 따른 단말의 처리 전력이 많이 드는 것을 줄일 수 있고, 단말에서 명백하게(transparent) 동작하기 때문에 어떤 소프트웨어 변경 없이 바로 이용할 수 있다는 장점이 있다. 그리고 단말 입장에서는 암호화된 통신을 제공하기 때문에 보안면에서도 유리하다.
또한 본 발명은 APN에 SSL VPN 서비스를 설정 할 수 있기 때문에 APN별 서비스 제공이 가능한 효과도 있게 된다.
또한 본 발명은 TEID에 서비스 플래그를 두어 검색하기 때문에 좀 더 빠른 처리가 가능하다.
또한 본 발명은 인터페이스부에서 SSL 처리를 별도로 수행하기 때문에 이의 하드웨어 적용이 용이한 장점도 있다.

Claims (9)

  1. 단말로부터 PDP 생성 요청을 받고, SSL 서버와 SSL 터널을 형성하며, SSL을 이용하여 패킷을 암호화하여 상기 SSL 서버로 전송하는 GGSN과;
    상기 GGSN과 SSL 터널을 형성하여 연결되고, 상기 GGSN으로부터 수신한 패킷을 복호화하는 SSL 서버를 포함하여 구성된 것을 특징으로 하는 GGSN의 SSL 프록시 처리 장치.
  2. 제 1 항에 있어서, 상기 GGSN의 SSL 프록시 처리 장치는,
    상기 SSL 서버와 연결된 어플리케이션 서버와;
    상기 SSL 서버와 연결된 메일 서버를 더욱 포함하여 구성된 것을 특징으로 하는 GGSN의 SSL 프록시 처리 장치.
  3. 제 1 항에 있어서, 상기 GGSN의 SSL 프록시 처리 장치는,
    상기 GGSN과 단말 사이에 위치하여, 상기 단말로부터 받은 PDP 생성 요청을 상기 GGSN으로 전달하고, 상기 GGSN으로부터 받은 PDP 생성 응답을 상기 단말로 전송하는 SGSN를 더욱 포함하여 구성된 것을 특징으로 하는 GGSN의 SSL 프록시 처리 장치.
  4. 제 1 항 내지 제 3 항 중 어느 한 항에 있어서, 상기 GGSN은,
    APN DB와 SSL 구성 DB를 구비하고, 단말로부터 받은 PDP 컨텍스트 관련 처리를 수행하고, SSL 협상을 수행하는 제어부와;
    세션 테이블과 SSL 구성 테이블과 암호화 모듈을 구비하고, 상기 제어부에 의해 세션이 설정되면, 사용자의 트래픽을 처리하는 인터페이스부를 포함하여 구성된 것을 특징으로 하는 GGSN의 SSL 프록시 처리 장치.
  5. APN DB와 SSL 구성 DB를 구비하고, 단말로부터 받은 PDP 컨텍스트 관련 처리를 수행하고, SSL 협상을 수행하는 제어부와;
    세션 테이블과 SSL 구성 테이블과 암호화 모듈을 구비하고, 상기 제어부에 의해 세션이 설정되면, 사용자의 트래픽을 처리하는 인터페이스부를 포함하여 구성된 것을 특징으로 하는 GGSN의 SSL 프록시 처리 장치.
  6. GGSN에서 단말의 PDP 컨텍스트 생성요구를 수신하는 제 1 단계와;
    상기 제 1 단계 후 GGSN에서 SSL 서버와 SSL 핸드세이크 협상을 수행하는 제 2 단계와;
    상기 제 2 단계 후 상기 GGSN에서 단말로 PDP 컨텍스트 응답을 송신하는 제 3 단계와;
    상기 제 3 단계 후 상기 단말로부터 사용자 데이터를 받은 상기 GGSN에서 SSL 터널을 통해 상기 SSL 서버로 사용자 데이터를 전송하는 제 4 단계를 포함하여 수행하는 것을 특징으로 하는 GGSN의 SSL 프록시 처리 방법.
  7. 제 6 항에 있어서, 상기 제 2 단계는,
    상기 GGSN은 APN DB를 검색하여 상기 단말에서 수신된 APN이 SSL VPN을 지원하는 APN인지를 체크하여, 만약 해당 APN DB에 SSL 구성 인덱스 값이 존재하면 상기 GGSN은 이를 SSL VPN을 지원하는 APN으로 판단하여 SSL 구성 DB에서 SSL 구성 인덱스 값을 이용하여 찾은 SSL 설정 정보를 이용하여 상기 SSL 서버와 SSL 핸드세이크 협상을 진행하고, 협상이 완료되면 세션 테이블에 TEID와 SSL 구성 테이블 인덱스를 저장하고 SSL 구성 테이블에는 협상 완료된 SSL 설정 정보를 저장하는 것을 포함하여 수행함을 특징으로 하는 GGSN의 SSL 프록시 처리 방법.
  8. PDP 컨텍스트 생성 요구 메시지를 수신하면, GGSN에서 해당 APN이 SSL을 지원하는지 판별하는 제 11 단계와;
    상기 제 11 단계에서 해당 APN이 SSL을 지원하면, SSL 핸드세이크 프로토콜을 작동시킨 다음 PDP 생성 응답을 단말로 송신하고, TEID에 서비스 플래그를 셋팅하고, 이를 SSL 구성 DB에 저장하고, 세션 테이블에는 TEID와 SSL 구성 테이블 인덱스를 저장하며, SSL 구성 테이블에는 협상 완료된 SSL 설정 정보를 저장하는 제 12 단계와;
    상기 제 11 단계에서 해당 APN이 SSL을 지원하지 않으면, 일반 호 처리를 수행하는 제 13 단계를 포함하여 수행하는 것을 특징으로 하는 GGSN의 SSL 프록시 처리 방법.
  9. 사용자 패킷이 수신되면 TEID의 서비스 플래그를 체크하여 SSL VPN을 지원하는지 판별하는 제 21 단계와;
    상기 제 21 단계에서 수신된 사용자 패킷이 SSL VPN을 지원하면, SSL 구성 테이블 인덱스를 이용하여 해당 패킷에 대해 암호화 처리를 수행하고, 암호화된 패킷을 SSL 서버로 전송하는 제 22 단계와;
    상기 제 21 단계에서 수신된 사용자 패킷이 SSL VPN을 지원하지 않으면, 일반 패킷 처리를 수행하는 제 23 단계를 포함하여 수행하는 것을 특징으로 하는 GGSN의 SSL 프록시 처리 방법.
KR1020040101173A 2004-12-03 2004-12-03 지지에스엔의 에스에스엘 프록시 처리 장치 및 그 방법 KR20060062356A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020040101173A KR20060062356A (ko) 2004-12-03 2004-12-03 지지에스엔의 에스에스엘 프록시 처리 장치 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020040101173A KR20060062356A (ko) 2004-12-03 2004-12-03 지지에스엔의 에스에스엘 프록시 처리 장치 및 그 방법

Publications (1)

Publication Number Publication Date
KR20060062356A true KR20060062356A (ko) 2006-06-12

Family

ID=37158524

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020040101173A KR20060062356A (ko) 2004-12-03 2004-12-03 지지에스엔의 에스에스엘 프록시 처리 장치 및 그 방법

Country Status (1)

Country Link
KR (1) KR20060062356A (ko)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101038618B1 (ko) * 2008-11-04 2011-06-03 주식회사 케이티 이동단말로 선택적으로 공인 ip를 할당하는 방법 및 시스템
WO2011116342A3 (en) * 2010-03-19 2011-12-22 F5 Networks, Inc. Proxy ssl handoff via mid-stream renegotiation
KR101491697B1 (ko) * 2013-12-10 2015-02-11 주식회사 시큐아이 Ssl 가속 카드를 포함하는 보안 장치 및 그것의 동작 방법
US9742806B1 (en) 2006-03-23 2017-08-22 F5 Networks, Inc. Accessing SSL connection data by a third-party
KR101859339B1 (ko) * 2017-11-24 2018-06-27 (주)소만사 Mtd 환경의 네트워크 중계장치 및 중계방법
KR20190072907A (ko) * 2017-12-18 2019-06-26 부산대학교 산학협력단 웨어러블 디바이스 통신 지원 장치 및 방법
KR102321934B1 (ko) * 2021-07-05 2021-11-04 주식회사 두두아이티 보안성 향상을 위한 ssl 기반의 프록시 서버

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9742806B1 (en) 2006-03-23 2017-08-22 F5 Networks, Inc. Accessing SSL connection data by a third-party
KR101038618B1 (ko) * 2008-11-04 2011-06-03 주식회사 케이티 이동단말로 선택적으로 공인 ip를 할당하는 방법 및 시스템
US9178706B1 (en) 2010-03-19 2015-11-03 F5 Networks, Inc. Proxy SSL authentication in split SSL for client-side proxy agent resources with content insertion
US9100370B2 (en) 2010-03-19 2015-08-04 F5 Networks, Inc. Strong SSL proxy authentication with forced SSL renegotiation against a target server
US9166955B2 (en) 2010-03-19 2015-10-20 F5 Networks, Inc. Proxy SSL handoff via mid-stream renegotiation
US9172682B2 (en) 2010-03-19 2015-10-27 F5 Networks, Inc. Local authentication in proxy SSL tunnels using a client-side proxy agent
US9210131B2 (en) 2010-03-19 2015-12-08 F5 Networks, Inc. Aggressive rehandshakes on unknown session identifiers for split SSL
US9667601B2 (en) 2010-03-19 2017-05-30 F5 Networks, Inc. Proxy SSL handoff via mid-stream renegotiation
US9705852B2 (en) 2010-03-19 2017-07-11 F5 Networks, Inc. Proxy SSL authentication in split SSL for client-side proxy agent resources with content insertion
WO2011116342A3 (en) * 2010-03-19 2011-12-22 F5 Networks, Inc. Proxy ssl handoff via mid-stream renegotiation
KR101491697B1 (ko) * 2013-12-10 2015-02-11 주식회사 시큐아이 Ssl 가속 카드를 포함하는 보안 장치 및 그것의 동작 방법
KR101859339B1 (ko) * 2017-11-24 2018-06-27 (주)소만사 Mtd 환경의 네트워크 중계장치 및 중계방법
KR20190072907A (ko) * 2017-12-18 2019-06-26 부산대학교 산학협력단 웨어러블 디바이스 통신 지원 장치 및 방법
KR102321934B1 (ko) * 2021-07-05 2021-11-04 주식회사 두두아이티 보안성 향상을 위한 ssl 기반의 프록시 서버

Similar Documents

Publication Publication Date Title
JP4707992B2 (ja) 暗号化通信システム
JP3992579B2 (ja) 鍵交換代理ネットワークシステム
KR100431567B1 (ko) 프록시의 보안 통신에 관여하게 하는 방법, 암호화시스템, 컴퓨터 프로그램 제품
JP4245838B2 (ja) セキュアクライアントサーバトランザクションを管理するための方法及びシステム
US7900042B2 (en) Encrypted packet inspection
JP4898427B2 (ja) 通信ネットワーク内での相互認証の方法及びソフトウエアプログラム
Bonetto et al. Secure communication for smart IoT objects: Protocol stacks, use cases and practical examples
US9100370B2 (en) Strong SSL proxy authentication with forced SSL renegotiation against a target server
JP4755203B2 (ja) ホスト・アイデンティティ・プロトコルの方法および装置
US20040236965A1 (en) System for cryptographical authentication
WO2001037068A2 (en) Method and apparatus for providing secure communication in a network
US8788821B2 (en) Method and apparatus for securing communication between a mobile node and a network
KR100948604B1 (ko) 서버 기반 이동 인터넷 프로토콜 시스템에 있어서 보안방법
JP2012010254A (ja) 通信装置、通信方法及び通信システム
WO2009018510A1 (en) Systems and methods for implementing a mutating internet protocol security
KR20060062356A (ko) 지지에스엔의 에스에스엘 프록시 처리 장치 및 그 방법
JP4630296B2 (ja) ゲートウェイ装置および認証処理方法
Urien et al. Tandem smart cards: enforcing trust for TLS-based network services
EP3200420B1 (en) Providing communications security to an end-to-end communication connection
Korhonen et al. Mobile IPv6 security framework using transport layer security for communication between the mobile node and home agent
FR2901084A1 (fr) Une methode de protection de l'identite avec tls (transport layer security) ou avec une de ses versions
Grahn et al. Security of mobile and wireless networks
Ekström Securing a wireless local area network: using standard security techniques
Badra et al. TLS Tandem
JP2006050487A (ja) 初期情報設定方法、初期情報設定装置、通信装置および初期情報設定プログラム

Legal Events

Date Code Title Description
N231 Notification of change of applicant
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid