KR20060064973A - VPN IPsec 가속 장치 - Google Patents

VPN IPsec 가속 장치 Download PDF

Info

Publication number
KR20060064973A
KR20060064973A KR1020040103671A KR20040103671A KR20060064973A KR 20060064973 A KR20060064973 A KR 20060064973A KR 1020040103671 A KR1020040103671 A KR 1020040103671A KR 20040103671 A KR20040103671 A KR 20040103671A KR 20060064973 A KR20060064973 A KR 20060064973A
Authority
KR
South Korea
Prior art keywords
security
ipsec
network
processor
vpn
Prior art date
Application number
KR1020040103671A
Other languages
English (en)
Other versions
KR100628320B1 (ko
Inventor
김기현
이상수
김건우
김정녀
장종수
손승원
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020040103671A priority Critical patent/KR100628320B1/ko
Publication of KR20060064973A publication Critical patent/KR20060064973A/ko
Application granted granted Critical
Publication of KR100628320B1 publication Critical patent/KR100628320B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0485Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명에 의한 VPN IPsec 가속장치는 네트워크 보안노드가 송/수신하거나 포워딩하는 패킷의 보안관련 정보를 처리하는 보안프로세서; 상기 네트워크 보안노드의 네트워크 프로세서와 통신을 수행하고 소정의 IPsec 관련 데이터를 상기 보안프로세서로 전달하는 제1인터페이스부; 및 상기 보안프로세서의 상기 IPsec 관련 데이터 처리 결과를 상기 네트워크 보안노드의 미디어 억세스 제어부(MAC)로 송신하는 제2인터페이스부;를 포함하는 것을 특징으로 하며, VPN IPsec 가속장치를 적용함으로써 기존 네트워크에서 사용되고 있는 고속의 라이터 또는 게이트웨이의 회로를 많이 수정하지 아니하고도 고속의 VPN IPsec 의 보안 서비스를 제공하는 네트워크 장비로 변경이 가능하다.

Description

VPN IPsec 가속 장치{Apparatus for accelerating VPN IPsec}
도 1은 VPN IPsec 가속장치의 기능을 개념적으로 보인 도면이다.
도 2는 본 발명에 의한 VPN IPsec 가속 장치의 블록도이다.
도 3은 본 발명에 의한 VPN IPsec 가속 장치의 제1응용예를 보여주는 도면이다.
도 4a 내지 도 4b는 도 3의 제1응용예에서 네트워크 보안노드와 가속장치의 구체적 연동을 보여주는 도면이다.
도 5는 VPN IPsec 가속 장치의 제2응용예를 보여주는 도면이다.
도 6은 도 5의 제2응용예에서 네트워크 보안노드와 가속장치의 구체적 연동을 보여주는 도면이다.
본 발명은 네트워크 보안노드에 부가되어 VPN IPsec 관련 데이터를 고속으로 처리하기 위한 장치에 관한 것으로서, 보다 자세하게는 보안 라우터 또는 보안 게이트웨이, 보안 네트워크 관리 시스템, 보안 단말기를 포함하는 네트워크 보안노드가 송/수신하거나 포워딩하는 패킷에 대해서 VPN IPsec의 보안 프로토콜을 보다 고 속으로 처리하며, 기존 네트워크 시스템인 라우터 또는 게이트웨이에 쉽게 접목할 수 있는 가속장치에 관한 것이다.
초고속 인터넷에서 신뢰채널 제공 기술을 위해서는 많은 연구가 이루어져 왔다. 대표적인 방법으로 VPN 기술이 있으며, 이의 구현에서 IPsec을 구현하는 것이중요하다. 또한 이 기술이 망에 존재하는 고속의 라우터 또는 게이터웨이에서 데이터 흐름의 장애를 주지 않으면서 구현되기 위해서는 고속의 보안 프로세서의 사용은 필수적으로 요구되고 있다.
이를 충족하기 위하여는 기존의 라우터 또는 게이트웨이의 재설계가 필요하게 되어 경제적인 측면에서 불리하게 되어, 보다 경제성있는 방안이 필요하게 되었다.
본 발명이 이루고자 하는 기술적 과제는 상기의 필요성의 해결하기 위하여 안출된 것으로서, 기존 네트워크에서 사용되고 있는 VPN IPsec의 보안 프로토콜을 보다 고속으로 처리하며, 기존 네트워크 시스템인 라우터 또는 게이트웨이에 최소한의 회로적 수정을 가하면서 필요한 기능을 수행할 수 있는 가속 장치를 제공하는데 있다.
상기의 기술적 과제를 이루기 위하여 본 발명에 의한 VPN IPsec 가속장치는 네트워크 보안노드가 송/수신하거나 포워딩하는 패킷의 보안관련 정보를 처리하는 보안프로세서; 상기 네트워크 보안노드의 네트워크 프로세서와 통신을 수행하고 소 정의 IPsec 관련 데이터를 상기 보안프로세서로 전달하는 제1인터페이스부; 및 상기 보안프로세서의 상기 IPsec 관련 데이터 처리 결과를 상기 네트워크 보안노드의 미디어 억세스 제어부(MAC)로 송신하는 제2인터페이스부;를 포함하는 것을 특징으로 한다.
이하 첨부된 도면을 참조하면서 본 발명의 바람직한 일 실시예를 상세히 설명하도록 한다. 본 발명에 의한 가속장치를 고속의 보안 프로세서를 이용하여 구현함으로써, 기존의 고속 라우터 또는 게이트웨이에 최소한의 회로적인 변경을 가하여 구성할 수 있는 실시예를 첨부된 도면을 참조하여 상세히 설명한다.
고속의 라우터 또는 게이트웨이에 VPN IPsec을 구현하기 위해서는 무엇보다 기존 데이터 비트 스트림의 처리 속도에 방해되면 안 된다. 그래서 고속의 VPN IPsec 지원을 위해서 보안 프로세서를 이용한 H/W로 구현하는 것은 기본이며, 보안 프로세서의 연결 또한 전체적인 데이터 비트 흐름에 방해가 되지 않도록 In-Line 구조로 설계되어야 한다. 또한 데이터 연결 프로토콜도 SPI4-2가 지원되어야 한다. 도 1에서는 VPN IPsec의 구조를 나타낸 것이며, 구현할 경우 H/W 구현 부분과 S/W 구현 부분으로 나누어지며, IPsec엔진 모듈은 VPN IPsec 가속 도틀(daughter) 보드로 구현되었다.
IPsec 엔진 블록(140)은 고속 IPsec 처리와 In-Line 모드 처리를 위해서 H/W로 구현되어 VPN 가속 보드(VAB) 형태로 동작하며, Control Processor(또는 Network Processor)와 MAC 칩 사이에 위치한다.
인터넷 키 교환 블록(120)은 어플리케이션 영역에서S/W 형태로 동작하며, 사 용자의 요청을 받아 IPsec 엔진 블록에서 사용될 SA를 협상한다. 이 때, 협상의 기반 정보로 사용될 IPsec 보안 정책은 관리자(110)가 설정한 파일을 참조하고, IPsec을 적용하기 전에 미리 SA를 협상해서 커널의 SA 관리 블록에 전달해야 한다.
S/W 커널 영역에 존재하는 SA관리 블록은, 인터넷 키 교환 블록(130)에 의해서 협상된 SA를 저장하고 관리하는 기능을 제공하며, IPsec 엔진 블록과 인터넷 키 교환 블록간 인터페이스 역할을 담당한다.
도 2는 본 발명에 의한 VPN IPsec 가속장치의 블록도를 나타낸 것이다. 먼저 보안프로세서부(230)는 후술하겠지만 네트워크 보안노드의 노드 프로세서와 MAC제어부간의 데이터를 수신하여 보안관련 프로세싱을 하는 기능부로서, Cavium사의 CN2560 프로세서를 사용하는 것이 바람직하다. 한편 제1연결부(210)와 제2연결부(240)는 보안프로세서부와 SIP4-2 인터페이스와 PCI/PCI-X 인터페이스로 연결되고, 궁극적으로 메인보드와 연결된다. 상기 제1연결부와 제2연결부는 메인보드와 접속수단을 제공하게 된다. 메인 보드는 MAC 또는 NP(Network Processor)가 장착된 보드를 의미하는 것으로, 기 개발된 라우터나 게이터웨이에서 MAC 또는 NP가 탑재된 보드를 말한다. 한편 선택부(250)는 후술하겠지만 보안 프로세서부(230)의 기능을 이용하지 않는 경우에는 제1연결부와 제2연결부만 연결하는 바이패스 기능을 수행한다. 그리고 메모리부(220)는 보안프로세서부(230)의 동작에 필요한 메모리를 지원하며, 확장가능하다.
이제 본 발명에 의한 가속장치와 네트워크 보안노드의 메인 보드와의 연결을 살펴본다. 각각의 SPI4-2 인터페이스는 각각 하나의 커넥터와 연결되며, PCI/PCI-X 신호들과 전원은 두 개의 커넥터에 나누어 분배되어 메인 보드와 연결한다. 파워(미도시)는 메인 보드에서 공급되는 전원과 보안 프로세서(230) 및 VPN IPsec 가속 장치에서 필요로 하는 전원에 따라 구성된다. Cavium사의 CN2560보안 프로세서를 이용할 경우 메인보드에서 5V와 3.3V를 공급 받아서 1V, 2.5V, 별도의 3.3V를 생성한다.
도 3은 본 발명에 의한 VPN IPsec 가속 장치의 제1응용예를 보여주는 도면이다. 본 발명에 의한 VPN IPsec 가속장치(320)와 연결될 네트워크 보안노드의 메인보드는 네트워크 프로세서(311)와 MAC 제어부(312)간에 보안 관련 통신을 수행하고 있다. 여기에 도틀 보드로서 본 발명에 의한 VPN IPsec 가속장치가 장착되는데 그 블럭도가 330에 표현되어 있다. 가속장치(320)의 제1연결부와 제2연결부는 각각 SPI4-2&PCI(312,323)로 표현되어 있다. 가속장치(320)가 장착됨으로써 네트워크 프로세서(311)는 제1연결부(321)와 연결되고, MAC제어부(312)는 제2연결부(333)와 연결되게 된다. 이를 보다 알기 쉽게 도시한 것이 도 4a 와 도 4b이다.
도 4a 내지 도 4b는 도 3의 제1응용예에서 네트워크 보안노드와 가속장치의 구체적 연동을 보여주는 도면이다. 도 4a는 선택부(250)를 활용하여 바이패스 시키는 경우를 보여준다. 즉 네트워크 보안노드의 메인보드(410)의 네트워크 프로세서를 연결하는 컨넥트(411)와 제1연결부(420)을 연결하고 제1연결부(420)와 제2연결부(422)를 상호 접속시킨 후, 제2연결부(422)와 메인보드의 MAC 제어부와 접속하기 위한 컨넥터(412)와 연결시킨다. 결과적으로 VPN IPsec 가속 기능을 사용하지 않는 경우에는 두개의 SPI4-2 & PCI/PCI-X 신호들을 단지 연결만 하는 Null 도틀 보드의 기능을 수행함으로써, MAC 제어부와 NP프로세서 사이의 데이터 패킷 흐름을 연결하게 된다
도 4b는 VPN IPsec 가속 장치(430)를 메인보드(410)와 정합시킴으로써 In-Line 모드로 동작하고, VPN IPsec을 지원하는 시스템이 되는 것을 보여준다. 이 경우에는 제1연결부(431)와 제2연결부(432)는 메인보드 뿐 아니라 보안 프로세서부(432)와도 연결되게 된다. 물론 이 경우에도 보안 프로세서의 By-Pass Mode를 이용하면 VPN IPsec 기능을 사용하지 않으면서 데이터 패킷을 MAC제어부에서 네트워크 프로세서부로 전달이 가능하다.
도 5는 VPN IPsec 가속 장치의 제2응용예를 보여주는 도면이고, 도 6은 도 5의 제2응용예에서 네트워크 보안노드와 가속장치의 구체적 연동을 보여주는 도면이다.
도 5에서는 기 개발된 라우터 또는 게이트웨이와 같은 네트워크 보안노드(510)가 SPI Switch(511)를 이용할 경우, 본 발명에 의한 VPN IPsec 가속장치(520)를 적용하여 이루어지는 시스템(530)을 보여주는 도면이다. 그 구체적인 구성 모습이 도 6인데, 이 때 메인보드(610)내 SPI switch(511)의 유용한 SPI 인터페이스 포트를 이용하여 두 개의 연결 커넥터(611,612)를 만들고 VPN IPsec 가속 장치(630)의 제1연결부(630)와 제2연결부(632)에 각각 연결됨으로써, 보안 프로세서부(633)의 보안기능 처리를 활용할 수 있게 된다.
이상에서 설명한 바와 같이, 본 발명에 의한 VPN IPsec 가속장치를 적용함으 로써 기존 네트워크에서 사용되고 있는 고속의 라이터 또는 게이트웨이의 회로를 많이 수정하지 아니하고도 고속의 VPN IPsec 의 보안 서비스를 제공하는 네트워크 장비로 변경이 가능하다.

Claims (4)

  1. 네트워크 보안노드가 송/수신하거나 포워딩하는 패킷의 보안관련 정보를 처리하는 보안프로세서;
    상기 네트워크 보안노드의 네트워크 프로세서와 통신을 수행하고 소정의 IPsec 관련 데이터를 상기 보안프로세서로 전달하는 제1인터페이스부; 및
    상기 보안프로세서의 상기 IPsec 관련 데이터 처리 결과를 상기 네트워크 보안노드의 미디어 억세스 제어부(MAC)로 송신하는 제2인터페이스부;를 포함하는 것을 특징으로 하는 VPN IPsec 가속장치.
  2. 제1항에 있어서, 상기 제1내지 제2인터페이스부는
    SPI4-2 혹은 PCI 인터페이스 방식으로 연결되는 것을 특징으로 하는 VPN IPsec 가속장치.
  3. 제1항에 있어서, 상기 VPN IPsec 가속장치는
    상기 제1인터페이스부와 제2인터페이스부를 직접 연결하고, 이 경우 상기 제1내지 제2인터페이스부와 보안프로세서간의 연결은 차단하는 스위치부;를 더 포함 하는 것을 특징으로 하는 VPN IPsec 가속장치.
  4. 제1항에 있어서, 상기 VPN IPsec 가속장치는
    상기 네트워크 보안노드로부터 전원과 클럭을 공급받는 것을 특징으로 하는 VPN IPsec 가속장치.
KR1020040103671A 2004-12-09 2004-12-09 VPN IPsec 가속 장치 KR100628320B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020040103671A KR100628320B1 (ko) 2004-12-09 2004-12-09 VPN IPsec 가속 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020040103671A KR100628320B1 (ko) 2004-12-09 2004-12-09 VPN IPsec 가속 장치

Publications (2)

Publication Number Publication Date
KR20060064973A true KR20060064973A (ko) 2006-06-14
KR100628320B1 KR100628320B1 (ko) 2006-09-27

Family

ID=37160323

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020040103671A KR100628320B1 (ko) 2004-12-09 2004-12-09 VPN IPsec 가속 장치

Country Status (1)

Country Link
KR (1) KR100628320B1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100946697B1 (ko) * 2006-11-13 2010-03-12 한국전자통신연구원 소형 패킷 데이터를 고속으로 암호화할 수 있는 IPsec암호화 장치 및 방법
US8732494B2 (en) 2007-07-03 2014-05-20 Canon Kabushiki Kaisha Data processing apparatus and method for selectively powering on a processing unit based on a correct port number in the encrypted data packet
KR20200075723A (ko) * 2018-12-18 2020-06-26 한양대학교 에리카산학협력단 데이터 플레인 가속화 기술과 하드웨어 암호화 처리 장치를 이용한 초고속 암호 통신 시스템 및 그 방법

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100946697B1 (ko) * 2006-11-13 2010-03-12 한국전자통신연구원 소형 패킷 데이터를 고속으로 암호화할 수 있는 IPsec암호화 장치 및 방법
US8732494B2 (en) 2007-07-03 2014-05-20 Canon Kabushiki Kaisha Data processing apparatus and method for selectively powering on a processing unit based on a correct port number in the encrypted data packet
KR20200075723A (ko) * 2018-12-18 2020-06-26 한양대학교 에리카산학협력단 데이터 플레인 가속화 기술과 하드웨어 암호화 처리 장치를 이용한 초고속 암호 통신 시스템 및 그 방법

Also Published As

Publication number Publication date
KR100628320B1 (ko) 2006-09-27

Similar Documents

Publication Publication Date Title
EP1427164B1 (en) Tagging mechanism for data path security processing
US7136904B2 (en) Wireless cable replacement for computer peripherals using a master adapter
US7117280B2 (en) Network based intra-system communications architecture
CN101517979B (zh) 通过https连接的安全隧道
US7320071B1 (en) Secure universal serial bus
US9258305B2 (en) Authentication method, transfer apparatus, and authentication server
US20070168499A1 (en) Configurable Modular Networking System and Method Thereof
JP2007529808A (ja) 集積回路及び通信サービスマッピング方法
US20070011727A1 (en) Embedded communication terminal
US20030182440A1 (en) Network processor with high-speed transceiver
US11895027B2 (en) Methods and systems for service distribution using data path state replication and intermediate device mapping
CN100592711C (zh) 用于包交换控制的集成电路和方法
US20030231649A1 (en) Dual purpose method and apparatus for performing network interface and security transactions
JP2004304696A (ja) 暗号通信装置
KR100628320B1 (ko) VPN IPsec 가속 장치
US20090080419A1 (en) Providing consistent manageability interface to a management controller for local and remote connections
US20060101185A1 (en) Connecting peer endpoints
SE526933C2 (sv) Applikationsgränssnitt samt en anordning och en metod för anslutning av ett applikationsdelsystem med ett kommunikationsdelsystem
KR100467646B1 (ko) 광대역 케이블/디에스엘 라우터 기능을 수행하는 관리스위치
TWI713328B (zh) 橋接器及網路的管理方法
CN105721453A (zh) 一种网络隔离系统和网络录像机
US10078615B1 (en) Ethernet controller with integrated multi-media payload de-framer and mapper
JP4683120B2 (ja) 電子機器および通信方法
US7400621B2 (en) Technique for achieving connectivity between telecommunication stations
CN116405235A (zh) 用于承载操作和叠加操作的双向加密/解密设备

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20120910

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20130829

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20140827

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20150915

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20160905

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20170918

Year of fee payment: 12

FPAY Annual fee payment

Payment date: 20180917

Year of fee payment: 13

FPAY Annual fee payment

Payment date: 20190917

Year of fee payment: 14