KR20060108987A - 신호처리를 간소화시킨 IPsec 통신시스템, 통신방법및 그 기록매체 - Google Patents

신호처리를 간소화시킨 IPsec 통신시스템, 통신방법및 그 기록매체 Download PDF

Info

Publication number
KR20060108987A
KR20060108987A KR1020050031178A KR20050031178A KR20060108987A KR 20060108987 A KR20060108987 A KR 20060108987A KR 1020050031178 A KR1020050031178 A KR 1020050031178A KR 20050031178 A KR20050031178 A KR 20050031178A KR 20060108987 A KR20060108987 A KR 20060108987A
Authority
KR
South Korea
Prior art keywords
private network
communication terminal
terminal
spi
security
Prior art date
Application number
KR1020050031178A
Other languages
English (en)
Other versions
KR100687415B1 (ko
Inventor
진성일
Original Assignee
주식회사 케이티프리텔
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티프리텔 filed Critical 주식회사 케이티프리텔
Priority to KR1020050031178A priority Critical patent/KR100687415B1/ko
Publication of KR20060108987A publication Critical patent/KR20060108987A/ko
Application granted granted Critical
Publication of KR100687415B1 publication Critical patent/KR100687415B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0485Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 IPsec 통신시스템, 통신방법 및 그 기록매체로서, 가상사설망에서 보안협상시 SA테이블을 참조하는 SPI 교환을 통하여 종래의 IKE 신호처리를 간소화시킨 IPsec 통신시스템, 통신방법 및 그 기록매체에 관한 것이다.
본 발명의 IPSec 통신시스템에 따르면, 미리 구축된 SA테이블에서 임의로 생성된 SPI 값을 포함하는 접속요청을 전송하고, 접속응답을 전송받아 IPSec에 의해 보안처리된 데이터를 송수신하는 단말; 단말로부터 공중망 접속을 수신받고 인증 여부를 판단하고 공중망 IP주소를 할당하는 공중망 인증서버; 전송받은 VPN망의 접속요청을 외부로 중개하고, 접속요청에 대하여 응답받은 접속응답을 단말로 중개 전송하고, 전송받은 SPI로 SA테이블을 참조하여 보안 프로토콜을 결정하고, 사설망 IP주소를 부여하는 VPN G/W서버; 전송받은 접속요청에 대하여 인증 허가 여부를 판단하여 접속응답을 전송하는 VPN 인증서버를 포함하여 구성된다.
본 발명에 따르면, 가상사설망에서의 IPSec 통신을 위한 송수신측의 프로토콜 결정시 SPI 교환을 통하여 양측에 구축된 SA테이블을 참조함으로써 복잡한 연산처리 및 통신절차 없이 IPSec 프로토콜의 정의 및 셋업처리를 수행한다.
VPN, 프로토콜, SA, 보안, IPSec, 통신, SPI, IKE, 게이트웨이

Description

신호처리를 간소화시킨 IPsec 통신시스템, 통신방법 및 그 기록매체{System, method and its recording media for processing IPsec with simplified process}
본 명세서에 첨부되는 다음의 도면들은 본 발명의 바람직한 실시예를 예시하는 것이며, 후술하는 발명의 상세한 설명과 함께 본 발명의 기술사상을 더욱 이해시키는 역할을 하는 것이므로, 본 발명은 그러한 도면에 기재된 사항에만 한정되어 해석되어서는 아니된다.
도 1은 종래 유선환경 IPSec 통신시스템의 IPSec 접속과정의 개략적 순서도.
도 2는 종래 이동환경 IPSec 통신시스템의 IPSec 접속과정의 개략적 순서도.
도 3은 본 발명의 제 1 실시예에 따른 유선환경 IPSec 통신시스템의 구성도.
도 4는 본 발명의 제 1 실시예에 따른 유선환경 가상사설망 게이트웨이서버의 간략한 내부 기능블록도.
도 5는 본 발명의 제 1 실시예에 따른 고정통신단말의 간략한 내부 기능블록도.
도 6은 본 발명의 제 2 실시예에 따른 이동환경 IPSec 통신시스템의 간략 구성도.
도 7은 본 발명의 제 1 실시예에 따른 유선환경 IPSec 통신방법의 전체적인 절차 흐름도.
도 8은 가상사설망 게이트웨이서버에서 수행되는 IPSec 통신방법의 절차 흐름도.
도 9는 고정통신단말에서 수행되는 IPSec 통신방법의 절차 흐름도.
도 10은 본 발명의 제 2 실시예에 따른 이동환경 IPSec 통신방법의 전체적인 절차 흐름도.
* 도면의 주요 부분에 대한 부호의 설명 *
1 : 통신시스템 2 : VPN G/W서버
3 : 고정통신단말 4 : 이동통신단말
5 : 공중망 인증서버 6 : VPN 인증서버
22, 32, 42 : SA테이블
본 발명은 가상사설망에서의 데이터 통신에 관한 것으로서, 더욱 상세하게는, 단말(terminal)과 가상사설망 게이트웨이에 각각 별도의 SA테이블(SA table)을 구축하여 IPsec 통신의 키분배과정(IKE)을 간소화시키는 방법에 관한 것이다.
IPSec(Internet protocol Security protocol)은 네트워크 통신의 패킷 처리 계층에서의 보안을 위해 개발된 프로토콜로서, 가상사설망(VPN: Virtual private network)을 통하여 송수신되는 데이터를 공중망 사용자들로부터 보호하기 위하여 이용되는 프로토콜이다.
IPSec을 사용하기 위해서는 통신단말이 VPN망을 통하여 사설IP 할당 및 인증 절차를 거친 후에 키분배과정(IKE : Internet key exchange)을 거친다. IKE는 IPsec에서 선택한 보안 프로토콜 및 암호화 알고리즘에 따라 결정된 암호화키를 생성하여 송,수신측 단말에 설정하는 것이다.
도 1은 종래의 유선 가상사설망에서의 IPSec 접속과정을 개략적으로 도시한 것이다.
인증 및 IP 할당단계(S100)에서는 고정통신단말(101)(데스크탑, 노트북 등)이 공중망 인증서버(102)로부터 인증을 통하여 IP를 할당받고 일반 공중망(인터넷) 네트워크에 접속한다.
IKE Phase1 단계(S110)에서는 가상사설망에 접속하고자 하는 고정통신단말(101)이 가상사설망 게이트웨이서버(이하, "VPN G/W서버"로 약칭한다)(103)에 접속하여 보안협상(SA : security association) 절차를 수행함으로써 인증키 관리와 모드, 암호화 알고리즘을 결정하는 ISAKMP(IPSec Key exchange and Management Protocol)를 시작한다. IKE Phase2 단계(S120)에서는 실제 사용자 통신(user traffic)에서의 터널(tunnel)설정을 위한 키교환 및 알고리즘을 바탕으로 IPSec의 보안협상(SA)을 완료한다. 이 단계에서는 고정통신단말(101)이 G/W서버(103)와 여러번의 통신절차를 거치며 데이터를 교환하게 되며, 수신받은 데이터를 해석하여 새로운 데이터를 생성하는 연산처리를 통하여 SA절차에 따라 보안협상을 완료한다.
전술한 단계(S110) 및 단계(S120)는 가상사설망에서 사설IP를 할당받기 전 또는 후에 보안을 위하여 요구되는 IPSec의 IKE 과정을 수행한다. 즉, 경우에 따라서 IKE과정(S110, S120)은 사설망 접속과정(S130, S140)이 처리된 후 진행되기도 한다. 이와 같은 IKE 과정은 매우 복잡한 단계와 많은 계산량을 요구하기에 네트워크상의 많은 단말에게 큰 부담을 주는 문제점이 있었다.
IPSec 접속요청단계(S130)에서는 VPN G/W서버(103)가 IPSec에 의하여 암호화처리된 VPN망 접속요청(access request)을 전송받고 VPN 인증서버(104)로 인증요청을 중개한다. IPSec 접속응답단계(S140)에서는 VPN 인증서버(104)로부터 인증결과를 응답받고 고정통신단말(101)의 사설망 IP를 할당한 후 그 인증결과 및 사설IP를 포함하는 접속응답을 고정통신단말(101)로 전송한다.
이후 통신단계(S150)에서는 송,수신측 고정통신단말(101) 사이에서 IPSec의 터널링 방식에 의하여 보안 처리된 데이터가 송,수신된다. 이 과정에서 고정통신단말(101)은 가상사설망상에서 송,수신되는 모든 데이터 패킷에 대하여 IPSec의 인증(authentication) 및 캡슐화(encapsulation)를 통해 암호화된 데이터로 통신한다.
도 2는 종래 가상사설망에서 이동환경 IPSec 접속과정을 개략적으로 도시한다.
이동환경 IPSec 접속과정에서는 이동통신단말(106)(휴대폰, PDA 등)이 전술한 도 1의 S100 내지 S150의 과정과 실질적으로 동일한 과정(도 2의 S200 내지 S250)을 무선 이동통신 환경에서 수행한다. 다만, 이동환경에서는 VPN G/W서버(13)가 홈에이전트(Home agent) 역할을 하게 되어, IPSec 접속요청단계(S230)에서는 VPN G/W서버(103)가 이동통신단말(106)로부터 IPSec에 의하여 암호화 처리된 VPN망 접속요청(access request)을 전송받고 직접 사용자 인증을 처리한다. 또한, 도 2에 도시한 이동환경에서도 IKE과정(S210, S220)은 사설망 접속과정(S230, S240)이 처리된 후 진행될 수 있다.
이와 같이, 도 2의 IKE 처리단계(S210 및 S220)에서 수행되는 절차는 컴퓨팅 파워가 상대적으로 떨어지는 이동통신단말(106)에 대해 여러 차례의 통신절차 및 데이터 연산처리능력을 요구하기 때문에 통신시간이 지연됨과 동시에 단말의 처리능력에 부담을 주는 문제점이 있었다.
본 발명은 전술한 문제점을 해결하기 위한 것으로서, IPSec 통신의 키분배 과정에서 네트워크와 단말이 부담하는 처리능력의 부담을 해소하고자 미리 정의된 SA테이블을 참조하는 방식에 의하여 기본적인 신호처리 절차를 간소화함으로써 소형 단말 및 이동환경에 적합한 IPSec 통신방식을 제공하는 것을 목적으로 한다.
전술한 바와 같은 목적을 달성하기 위한 본 발명의 제 1실시예에 따른 IPSec 통신시스템에 따르면, 가상사설망에서 IPSec 보안협상을 통하여 결정된 보안 프로토콜에 근거하여 단말간 또는 단말과 호스트간에 터널링 통신을 실행시키는 가상사설망 통신시스템에 있어서, IPsec 통신을 위한 보안모드, 데이터의 암호화와 무결성을 보장하는 다수의 보안 파라미터 인덱스(이하, "SPI"로 약칭한다)로 이루어진 보안협상 테이블(이하, "SA테이블"로 약칭한다)이 메모리에 수납되어 있고, 유선 공중망을 통해 특정 가상사설망(VPN)에 접속한 후, 다른 단말이나 호스트와의 터널 링 통신을 요청하는 고정통신단말과; 상기 SPI와 실질적으로 동일한 SPI로 이루어진 SA테이블이 메모리에 수납되어 있고, 상기 고정통신단말의 VPN 접속 요청과 함께 전송되는 임의의 SPI 파라미터에 근거하여 내부의 SA테이블을 조회함으로써 터널링 통신시에 사용할 보안모드, 암호화 알고리즘/키, 무결성 알고리즘/키와 같은 보안 프로토콜을 결정하는 가상사설망 게이트웨이서버를 포함하는 것을 특징으로 한다.
바람직하게, 본 발명의 제 1실시예에 따른 IPSec 통신시스템의 통신방법에 따르면, 가상사설망에서 게이트웨이서버를 경유하여 단말간 또는 단말과 호스트간에 유선 터널링 통신을 수행하는 방법으로서, (1) 접속을 요청하는 고정통신단말과 가상사설망 게이트웨이서버의 내부 메모리에, 터널링 통신시에 사용할 보안 프로토콜을 결정하기 위한 다수의 SPI들을 포함하는 SA테이블을 구축하는 단계; (2) 상기 고정통신단말에 대해 공중망 IP주소를 할당하는 단계; (3) 상기 게이트웨이서버가 상기 고정통신단말로부터 인증정보와 SPI 파라미터를 포함하는 VPN 접속 요청을 접수하는 단계; (4) 상기 인증정보를 VPN 인증서버에 전달하는 단계; (5) 상기 VPN 인증서버로부터 인증 결과를 전송받고, 상기 접수된 SPI 파라미터에 근거하여 내부의 SA테이블을 참조함으로써 터널링 통신시에 사용할 보안 프로토콜을 결정하는 단계; (6) 상기 고정통신단말에 대해 사설망 IP주소를 할당하고, 이를 인증 결과와 함께 상기 고정통신단말에 전송하는 단계; 및 (7) 상기 고정통신단말로부터 상기 (6)에서 결정한 보안 프로토콜에 따른 데이터 패킷을 전송받고, 이를 가상사설망을 경유하여 중개하는 단계를 포함하는 것을 특징으로 한다.
바람직하게, 본 발명의 제 1실시예에 따른 IPSec 통신시스템의 통신방법이 기록된 기록매체에 따르면, 가상사설망을 경유하여 단말간 또는 단말과 호스트간에 터널링 통신을 중개하는 장치에 저장되어 아래의 절차를 수행하는 컴퓨터로 판독 가능한 프로그램이 기록되어 있는 기록매체로서, 상기 장치는, 터널링 통신시에 사용할 보안 프로토콜을 결정하기 위한 다수의 SPI들을 수납하고 있는 SA테이블을 메모리에 구축하고 있으며, 상기 프로그램은 상기 장치에 로딩되어 실행되며, 접속을 요청하는 고정통신단말로부터 전송되는 인증정보를 가상사설망 내의 인증서버에 전달하는 절차와; 상기 고정통신단말로부터 전송된 임의의 SPI를 이용하여 상기 SA테이블을 조회함으로써 터널링 통신을 위해 사용할 보안 프로토콜을 결정하는 절차와; 상기 고정통신단말에 대해 사설망 IP주소를 할당하는 절차와; 상기 인증서버로부터 전달되는 인증결과와 상기 사설망 IP주소를 포함하는 접속 응답을 상기 고정통신단말에 전송하는 절차; 및 상기 결정된 보안 프로토콜을 적용한 데이터 패킷을 단말간 또는 단말과 호스트간에 중개하는 절차를 수행하는 것을 특징으로 한다.
이하, 이상과 같은 구성요소 들을 포함하여 이루어진 본 발명의 바람직한 실시예에 대하여 첨부 도면을 통하여 보다 구체적으로 살펴본다.
실시예 1
<가설사설망 시스템>
본 발명에 따른 실시예 1은 고정통신단말이 가상사설망에 접속하여 IPsec 통신 절차를 수행하는 것에 의해 단말간 또는 단말과 호스트간에 터널링 통신을 완성하는 유선 네트워크 시스템 및 방법에 관한 것이다.
도 3은 본 발명의 제 1 실시예에 따른 유선 환경의 IPSec 통신시스템(1)의 구성을 도시한다.
본 실시예에 따른 유선 환경의 IPSec 통신시스템(1)은 VPN G/W서버(2), 고정통신단말(3), 공중망 인증서버(5) 및 VPN 인증서버(5)를 포함하여 구성된다.
상기 고정통신단말(3)은 위치가 고정된 고정형 통신단말로서, 예를 들면, 유선 네트워크 케이블을 통하여 접속되는 데스크탑, 노트북 등을 포함한다. 상기 고정통신단말(3)은 전원이 켜짐과 동시에 공중망 인증서버(5)에 접속하고(①), 네트워크 인증 허가를 받아서 공중망 IP주소를 할당받는다(②). 예를 들어, 공중망 인증서버(5)는 인터넷 서비스를 제공하는 통신사 서버에 해당한다.
고정통신단말(3)이 공중망 네트워크에 접속되고 난 후, 특정 가상사설망(VPN망)에 접속을 위해서는 별도의 인증절차를 거쳐야 한다. VPN망은 물리적으로 공유망 네트워크를 공유하지만, 사설망 사용자간의 내부통신에 있어서는 별도의 보안 프로토콜(IPSec)을 이용하여 보안된 송수신 데이터 패킷으로 통신한다.
이 과정에서 고정통신단말(3)은 VPN망에서의 데이터 통신을 위하여 전제되는 과정으로서 전술한 종래기술과 같이 IPSec 프로토콜의 정의를 위한 IKE과정이 요구되나, 본 발명에서는 복잡한 IKE과정을 SPI(Security parameter index)값의 교환을 통하여 간소화한다. 그 과정은 다음과 같다.
본 발명에서는 IPSec 프로토콜의 정의 및 키 결정을 수행하는 보안협상(SA)을 위하여 고정통신단말(3) 및 VPN G/W서버(2) 각각에 SPI에 의하여 참조되는 SA테이블(22, 32)을 미리 구축하고 있다. 특히, 고정통신단말(3)측에 구축되는 SA테이 블(22)은 종래와 같이 고정통신단말(도 1의 101)이 IKE 과정을 통하여 보안협상 절차에 따르는 알고리즘 및 키교환 절차를 수행하고 그에 따른 연산처리를 할 필요가 없도록 한다.
상기 VPN G/W서버(2)는 특정 VPN망에 접속하고자 하는 고정통신단말(3)로부터 그 내부의 SA테이블(32)에서 임의로 생성된 SPI값을 포함하는 접속요청을 수신한다(③,④). 이 과정은 고정통신단말(3)이 특정 VPN망상의 호스트 서버 또는 단말로 접속하기 위하여 대응하는 VPN G/W서버(2)로 접속을 시도하는 것이다. VPN 인증서버(5)는 게이트웨이서버(2)를 통해 중개 전송된 인증요청을 수신하고(⑤), 사용자정보(아이디, 비밀번호)를 추출하여 정당한 VPN망 사용자 인지를 인증한 후 다시 그 인증결과를 VPN G/W서버(2)로 전송한다(⑥). 인증허가일 경우, VPN G/W서버(2)는 단말로부터 전송받은 SPI값으로 내부의 SA테이블(22)을 참조하여 IPSec 프로토콜 방식을 결정한다(⑦). 아래 표 1은 본 발명에서 제시하는 SA테이블(22, 32)의 구조를 개념적으로 예시한다.
SA테이블 SPI : ciphering method/key Integrity method/key nonce Protocol .....
아래 표 2는 전술한 표 1에 의거하여 실제로 구축되는 SA테이블(22, 32)을 예시하는 것으로서 반드시 이에 한정하는 것은 아니다.
SPI ciphering method ciphering key (16byte값) Integrity method Integrity key(4byte) Protocol
1 DES 0xa045349b81454fa045349b81454f2c4e MD5 0xabcdef12 AH
2 3DES 0xb045349b81454fa045349b81454f2c42 HMAC MD5 0xab34ef12 ESP
... .... ......
255 3DES 0xc045349b81454fa045349b81454f2c45 MD5 0x12cdef12 ESP
256 3DES 0x6045349b81454fa045349b81454f2c47 MD5 0xffcdef12 ESP
전술한 표 2의 경우, SA테이블(22, 32)은 256개의 인덱스를 갖는 것으로 예시하였으며, "ciphering method"은 각종 암호화/복호화(encryption/decryption) 알고리즘과 그 암호화키를 뜻하고, "integrity method/key"는 데이터의 무결성을 보장하기 위한 해싱 알고리즘(MD5 또는 HMAC)과 해시키를 뜻한다. 또한, "Protocol"은 적용되는 보안 프로토콜이 인증헤더(AH : Authentication Header) 터널모드(tunnel mode)인지 아니면 캡슐 보안 페이로드(ESP : Encapsulation Security Payload) 모드인지를 정의한다.
VPN G/W서버(2)는 고정통신단말(3)에 대하여 VPN망의 사설IP를 할당하고 인증결과와 함께 접속응답을 구성하여 고정통신단말(3)의 접속요청에 대한 응답을 전송한다(⑧). 이후 고정통신단말(3)은 가상사설망 내의 호스트 또는 타 단말과 사전에 정의된 IPSec의 보안협상(SA)에 의거하여 IP-in-IP 터널링 및 보안 패킷 데이터 형식으로 데이터를 통신한다(⑨).
<가상사설망 게이트웨이서버>
도 4는 본 실시예에 따른 VPN G/W서버(2)의 내부 기능블록도를 도시하고 있다.
본 실시예에 따른 VPN G/W서버(2)는 제어부(21), SA테이블(22), 데이터통신부(23), 인증처리부(24), 프로토콜 결정부(25) 및 사설IP 관리부(26)를 포함한다.
상기 제어부(21)는 고정통신단말(3)로부터 VPN망 접속 요청을 전송받고, 이에 대한 접속 응답을 전송할 수 있도록 상기 각 구성요소들(22, 23, 24, 25, 26)을 제어한다. 특히, 상기 제어부(21)는 고정통신단말(3)로부터 전송된 SPI에 근거하여 상기 SA테이블(22)을 참조함으로써 상기 고정통신단말과의 통신에 사용될 암호화 알고리즘, 암호화키, 데이터 무결성 알고리즘, 무결성키 및 보안 프로토콜을 결정한다. 또한, 제어부(21)는 인증된 고정통신단말(21)에 대해 사설 IP를 할당한다.
상기 데이터 통신부(23)는 VPN G/W서버(2)가 고정통신단말(3) 또는 인증서버(6)와 데이터 통신이 가능하도록 지원한다.
상기 인증처리부(24)는 상기 VPN 인증서버(6)로 인증 요청을 전송하고, 처리결과로서 인증 응답을 전송받기 위한 기능 모듈이다.
그 인증응답이 허가일 경우, 정당한 VPN망 사용자이기 때문에 제어부(21)는 접속요청정보로부터 SPI를 추출하여 프로토콜 결정부(25)로 보내고, 프로토콜 결정부(25)는 SPI로 SA테이블(22)을 조회하여 IPSec의 알고리즘, 각종 키 및 보안모드를 결정한다. 그리고 사설IP 관리부(26)는 고정통신단말(3)에 사설IP를 할당한다. 제어부는(21)는 인증결과 및 사설IP로 접속응답을 구성하여 데이터 통신부(23)를 통하여 고정통신단말(3)로 전송한다.
<고정통신단말>
도 5는 본 실시예에 따른 고정형 고정통신단말(3)의 내부 기능 블록도를 도시한다.
고정통신단말(3)은 제어부(31), SA테이블(32) 및 데이터 통신부(33)를 포함한다.
상기 SA테이블(32)은 상기 표 1 및 표 2와 같이 IPsec 프로토콜을 실행하기 위해 필요한 SPI값을 저장한다. 상기 데이터 통신부(33)는 IPsec 프로토콜을 실행하고, 사설망 인증을 위해 필요한 데이터를 송,수신하기 위한 기능 모듈이다.
상기 제어부(31)는 고정통신단말의 사용자로부터 입력된 사용자 인증정보(예를 들어, 아이디, 비밀번호)와 상기 SA테이블(32)로부터 추출된 SPI값에 근거하여 VPN망 접속 요청정보를 생성하고, 이 접속 요청 정보를 상기 데이터 통신부(33)를 통해 상기 VPN G/W 서버(2)로 전송한다. 또한, VPN G/W 서버(2)로부터 전송된 VPN망 접속응답에 근거하여 사설 IP를 설정하고, 터널링을 위해 사용할 IPSec의 알고리즘, 키, 보안모드를 셋팅한다.
<IPsec 통신 절차>
도 7은 본 발명의 제 1 실시예에 따른 IPSec 통신 절차에 대한 전체적인 흐름도를 도시한다.
SA테이블 구축단계(S11)에서는 VPN G/W서버(2) 및 고정통신단말(3) 각각에 전술한 표 1 및 표 2와 같은 SA테이블(22, 32)을 그 내부 메모리에 저장한다. SA테이블(22, 32)에는 보안모드, 암호화 알고리즘, 데이터 무결성 알고리즘, 각종 키 등을 결정하기 위한 SPI 파라미터들이 저장된다.
공중망 인증 및 IP 할당단계(S12)에서는 고정통신단말(3)이 공중망 네트워크에 접속하여 공중망 인증서버(5)로부터 네트워크 접속 인증 및 공중망 IP주소를 부여 받는다.
VPN망 접속단계(S13)에서는 고정통신단말(3)이 사용자로부터 입력된 사용자 인증정보와 SA테이블(32)로부터 임의로 추출한 SPI값을 포함하는 접속요청을 VPN G/W서버(2)로 전송하고, G/W서버(2)는 VPN 인증서버(5)로 그 인증요청을 중개 전송한다. 즉, VPN 인증서버(5)는 고정통신단말(3)의 VPN망에 대한 사용자인증의 허가 여부를 판단하여 VPN G/W서버(2)로 인증결과를 응답한다.
IPSec 통신방식 설정 및 접속응답 중개 전송단계(S14)에서는 G/W 서버(2)가 VPN 인증서버(5)로부터 인증 결과를 전송받고, 허가일 경우 상기 단계(S13)에서 전송받은 SPI값에 근거하여 SA테이블(22)을 참조함으로써 IPSec 통신방식(보안모드, 암호화 및 무결성 알고리즘, 각종 키)을 결정한다. 그리고 고정통신단말(3)에 사설IP를 부여한 후 인증 결과와 함께 접속응답(인증결과+사설IP)을 전송한다.
IPSec 보안 데이터 통신단계(S15)에서는 단말이 가상사설망 내의 호스트 또는 다른 단말과 상기 결정된 IPSec 보안 방식에 따라 보안 데이터 패킷으로 터널링 통신한다.
이하에서는 도 8을 참조하여 상술한 IPsec 통신 절차를 VPN G/W서버(2) 입장에서 보다 상세하게 설명한다.
SA테이블 구축단계(S211)에서는 VPN G/W서버(2)에 예를 들어, 표 2와 같은 SA테이블(22)을 저장한다.
접속요청 수신단계(S212)에서는 고정통신단말(3)로부터 사용자 인증정보와 SPI값을 포함하는 접속요청을 전송받는다.
인증처리 중개단계(S213)에서는 상기 접속요청에서 사용자 인증정보를 추출하여 VPN 인증서버(6)로 전송하고, 그 응답으로서 인증결과를 전송받는다.
이때, 해당 사용자가 정당 사용자로 인증되면, 단말로부터 전송된 SPI값에 근거하여 SA테이블(22)을 조회함으로써 VPN망을 경유하는 터널링 통신에 사용할 IPSec의 보안모드(예를 들어, AH 모드, ESP 모드), 각종 알고리즘(예를 들어, DES, 3DES, MD5, HMAC) 및 각종 키(예를 들어, 암호화키, 해시 함수)를 결정한다.(S214) 그리고 고정통신단말(3)이 사용할 사설IP 주소를 할당한다.(S215)
이렇게 결정된 인증 결과, 보안 프로토콜 및 사설 IP주소는 접속응답으로 고정통신단말(3)에 전송된다. 반면에, 상기에서 해당 사용자가 정당 사용자로 인증되지 않으면, 인증의 불허를 접속 응답으로 고정통신단말(3)에 통보한다.(S216)
이하에서는 도 9를 참조하여 상술한 IPsec 통신 절차를 고정통신단말(3) 입장에서 보다 상세하게 설명한다.
SA테이블 구축단계(S311)에서는 고정통신단말(3)에 표 1 또는 표 2에서와 같은 SA테이블(22)을 저장한다.
공중망 인증 및 IP 할당단계(S312)에서는 고정통신단말(3)이 공중망 인증서버(5)로 공중망 접속요청을 전송하여 공중망 IP를 할당받는다.
접속요청 전송단계(S312)에서는 사용자로부터 사용자인증정보(아이디, 비밀번호)를 입력받고, SA테이블(32)로부터 임의로 생성된 SPI값과 함께 VPN망 접속요청을 전송한다.
접속응답 수신 및 IPSec 보안통신단계(S314)에서는 VPN G/W서버(2)로부터 접속응답을 전송받고, VPN망 인증이 허가일 경우 단계(S313)에서의 SPI값에 의하여 참조되는 SA테이블(32)의 보안모드, 알고리즘, 키에 의하여 IPSec 보안통신을 수행한다.
실시예 2
본 실시예는 가상사설망에 접속하여 사설 IP를 할당받는 주체가 자유롭게 이동이 가능한 이동통신단말이라는 점을 제외하고는 상기 실시예 1과 동일하다. 다만, 통신의 주체가 고정통신단말이 아닌 이동통신단말로 변화됨에 따라 가설사설망 게이트웨이서버는 게이트웨이 기능 뿐만 아니라 인증 기능까지 함께 갖게 된다.
따라서, 본 실시예에 있어서는 상기 실시예 1을 참조하는 것에 의해 공통적인 절차와 구성에 대한 상세한 설명은 생략한다.
도 6은 본 발명의 제 2 실시예에 따른 이동환경의 IPSec 통신시스템(1)의 구성을 도시하고 있다.
본 실시예에 따른 IPSec 통신시스템(1)은 VPN G/W서버(2), 이동통신단말(4) 및 공중망 인증서버(5)를 포함한다.
상기 이동통신단말(4)은 이동 환경에서 데이터 통신이 가능한 모바일폰(예를 들어, CDMA폰, WCDMA폰, CDMA-2000폰, GSM폰 등), PDA, 무선 모뎀을 장착한 노트북, 무선 통신이 가능한 휴대형 PC 등을 모두 포함한다.
상기 공중망 인증서버(5)는 상기 실시예 1에서의 공중망 인증서버(5)와 실질적으로 동일하다.
또한, 상기 VPN G/W서버(2)는 무선인터넷을 이용하는 이동환경에서의 네트워크 서비스를 위한 HA(HA : home agent)로서 VPN망의 인증 및 게이트웨이 역할을 모두 수행한다. 즉, 본 실시예의 G/W 서버(2)는 상기 실시예 1의 VPN G/W서버(2)와 VPN 인증서버(6)의 기능을 함께 수행한다.
상기 이동통신단말(4)과 상기 VPN G/W서버(2)의 내부 메모리에는 상기 표 1 또는 표 2와 같은 SA테이블(22, 32)이 각각 구축되어 있다.
또한, 상기 VPN G/W서버(2)의 구성은 도 4에 도시된 구성과 동일하며, 실시예 1과는 달리 인증 처리부(24)에서 직접 사용자 인증처리를 수행한다. 상기 이동통신단말(4)의 구성 역시 도 5에 도시된 구성과 동일하다. 다만, 데이터 통신부(33)가 상기 실시예 1과는 달리 무선 네트워크를 통해 데이터를 송,수신하는 점에서 상이하다.
도 10은 본 발명의 제 2 실시예에 따른 IPSec 통신 절차에 대한 전체적인 흐름도를 도시한다.
SA테이블 구축단계(S21)에서는 VPN G/W서버(2) 및 이동통신단말(4) 각각에 전술한 표 2와 같은 SA테이블(22, 42)을 그 내부 메모리에 저장한다. SA테이블(22, 42)에는 SPI에 의하여 참조되는 보안모드, 암호화 알고리즘, 데이터 무결성 알고리즘, 각종 키 등이 저장된다.
공중망 인증 및 IP 할당단계(S22)에서는 이동통신단말(4)이 공중망 네트워크에 접속하여 공중망 인증서버(5)로부터 네트워크 접속 인증 및 공중망 IP주소를 부여 받는다.
공중망 인증 및 IP 할당을 마친 이동통신단말(4)은 단말기 고유번호(즉, 이동통신번호)와 SA테이블(42)로부터 임의로 추출한 SPI값을 포함하는 접속요청을 VPN G/W서버(2)로 전송하고, G/W서버(2)의 인증 처리부(24)는 이동통신단말(4)의 VPN망에 대한 사용자 인증의 허가 여부를 판단한다.
인증결과, 정당 사용자로 판단되는 경우 상기 SPI값에 근거하여 SA테이블(22)을 참조함으로써 IPSec 통신방식(보안모드, 암호화 및 무결성 알고리즘, 각종 키)을 결정한다. 그리고 이동통신단말(4)에 사설IP(모바일 IP)를 부여한 후 인증 결과와 함께 접속응답(인증결과+모바일IP)을 전송한다.(S23)
그 후, 이동통신단말(4)은 가상사설망 내의 호스트 또는 다른 단말과 상기 결정된 IPSec 보안 방식에 따라 보안 데이터 패킷으로 터널링 통신한다.(S24)
전술한 본 발명의 제 1 실시예 및 제 2 실시예를 종합해 보면, 본 발명에서는 종래기술의 IKE 과정과 같이 복잡한 키 분배를 위한 연산처리 및 통신절차(도 1의 S110, S120 및 도 2의 S210, S220)를 수행하지 않고, SPI값의 교환을 통하여 통신단말(3, 4) 및 VPN G/W서버(2)에 구축된 SA테이블(22, 32, 42)을 참조하여 양단에 프로토콜을 셋업시킨다.
이 SPI를 통한 SA테이블(22, 32, 42)의 참조는 보안 프로토콜을 선택하고, 암호화 알고리즘을 결정하며, 또 암호화키를 결정함으로써 IP계층에서 보안 서비스를 제공할 수 있도록 한다. 따라서, 사설망 사용자들은 공중망을 통하여 통신하지만 송수신 데이터는 IPSec에 의하여 통신되기에 데이터의 기밀성(confidentiality), 무결성(integrity), 인증성(authentication), 접근성(accessibility)이 완벽하게 보호될 수 있다.
상술한 바와 같이, 본 발명에 따른 신호처리를 간소화시킨 IPsec 통신시스템, 통신방법 및 그 기록매체의 실시예가 구성된다. 본 발명은 비록 한정된 실시예와 도면에 의해 설명되었으나, 본 발명은 이것에 의해 한정되지 않으며 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에 의해 본 발명의 기술사상과 아래에 기재될 특허청구범위의 균등범위 내에서 다양한 수정 및 변형이 가능함은 물론이다.
본 발명에 따른 신호처리를 간소화시킨 IPsec 통신시스템, 통신방법 및 그 기록매체는, 가상사설망에서의 IPSec 통신을 위한 송수신측의 프로토콜 결정시 SPI 교환을 통하여 양측에 구축된 SA테이블을 참조함으로써 복잡한 연산처리 및 통신절차 없이 IPSec 프로토콜의 정의 및 셋업 처리를 단축시키는 효과가 있다.

Claims (25)

  1. 가상사설망에서 IPSec 보안협상을 통하여 결정된 보안 프로토콜에 근거하여 단말간 또는 단말과 호스트간에 터널링 통신을 실행시키는 가상사설망 통신시스템에 있어서,
    IPsec 통신을 위한 보안모드, 데이터의 암호화와 무결성을 보장하는 다수의 보안 파라미터 인덱스(이하, "SPI"로 약칭한다)로 이루어진 보안협상 테이블(이하, "SA테이블"로 약칭한다)이 메모리에 수납되어 있고, 유선 공중망을 통해 특정 가상사설망(VPN)에 접속한 후, 다른 단말이나 호스트와의 터널링 통신을 요청하는 고정통신단말과;
    상기 SPI와 실질적으로 동일한 SPI로 이루어진 SA테이블이 메모리에 수납되어 있고, 상기 고정통신단말의 VPN 접속 요청과 함께 전송되는 임의의 SPI 파라미터에 근거하여 내부의 SA테이블을 조회함으로써 터널링 통신시에 사용할 보안모드, 암호화 알고리즘/키, 무결성 알고리즘/키와 같은 보안 프로토콜을 결정하는 가상사설망 게이트웨이서버를 포함하는 것을 특징으로 하는 가상사설망 통신시스템.
  2. 제 1 항에 있어서,
    상기 VPN 접속 요청에는 인증정보와 더불어 SA테이블로부터 임의로 추출한 SPI 파라미터가 포함되어 있는 것을 특징으로 하는 가상사설망 통신 시스템.
  3. 제 2 항에 있어서,
    상기 게이트웨이서버로부터 전달되는 인증정보에 근거하여 VPN망에 접속한 고정통신단말을 인증하는 인증 서버를 더 포함하는 것을 특징으로 하는 가상사설망 통신시스템.
  4. 제 2 항에 있어서,
    상기 SA테이블에는 보안모드, 암호화 알고리즘/키, 데이터 무결성 알고리즘/키와 같은 보안 파라미터들이 기록되어 있는 것을 특징으로 하는 가상사설망 통신시스템.
  5. 가상사설망에서 IPSec 보안협상을 통하여 결정된 보안 프로토콜에 근거하여 단말간 또는 단말과 호스트간에 터널링 통신을 실행시키는 가상사설망 통신시스템에 있어서,
    IPsec 통신을 위한 보안모드, 데이터의 암호화와 무결성을 보장하는 다수의 SPI들로 이루어진 SA테이블이 메모리에 수납되어 있고, 무선 네트워크를 경유하여 특정 가상사설망(VPN)에 접속하여 다른 단말이나 호스트와의 무선 터널링 통신을 요청하는 이동통신단말과;
    상기 SPI와 실질적으로 동일한 SPI로 이루어진 SA테이블이 메모리에 수납되어 있고, 상기 이동통신단말의 VPN 접속 요청과 함께 전송되는 임의의 SPI 파라미터에 근거하여 상기의 내부 SA테이블을 조회함으로써 무선 터널링 통신시에 사용할 보안모드, 암호화 알고리즘/키, 무결성 알고리즘/키와 같은 보안 프로토콜을 결정하는 홈 에이전트(Home Agent)를 포함하는 것을 특징으로 하는 가상사설망 통신시스템.
  6. 제 5 항에 있어서,
    상기 VPN 접속 요청에는 인증정보와 더불어 SA테이블로부터 임의로 추출한 SPI 파라미터가 포함되어 있는 것을 특징으로 하는 가상사설망 통신 시스템.
  7. 제 6 항에 있어서,
    상기 인증정보가 단말기 고유번호인 것을 특징으로 하는 가상사설망 통신 시스템.
  8. 제 7 항에 있어서,
    상기 홈 에이전트는 상기 인증정보에 근거하여 VPN망에 접속한 이동통신단말의 권한을 인증하기 위한 수단을 포함하는 것을 특징으로 하는 가상사설망 통신시스템.
  9. 제 5 항에 있어서,
    상기 SA테이블에는 보안모드, 암호화 알고리즘/키, 데이터 무결성 알고리즘/키와 같은 보안 파라미터들이 기록되어 있는 것을 특징으로 하는 가상사설망 통신 시스템.
  10. 가상사설망에서 게이트웨이서버를 경유하여 단말간 또는 단말과 호스트간에 유선 터널링 통신을 수행하는 방법으로서,
    (1) 접속을 요청하는 고정통신단말과 가상사설망 게이트웨이서버의 내부 메모리에, 터널링 통신시에 사용할 보안 프로토콜을 결정하기 위한 다수의 SPI들을 포함하는 SA테이블을 구축하는 단계;
    (2) 상기 고정통신단말에 대해 공중망 IP주소를 할당하는 단계;
    (3) 상기 게이트웨이서버가 상기 고정통신단말로부터 인증정보와 SPI 파라미터를 포함하는 VPN 접속 요청을 접수하는 단계;
    (4) 상기 인증정보를 VPN 인증서버에 전달하는 단계;
    (5) 상기 VPN 인증서버로부터 인증 결과를 전송받고, 상기 접수된 SPI 파라미터에 근거하여 내부의 SA테이블을 참조함으로써 터널링 통신시에 사용할 보안 프로토콜을 결정하는 단계;
    (6) 상기 고정통신단말에 대해 사설망 IP주소를 할당하고, 이를 인증 결과와 함께 상기 고정통신단말에 전송하는 단계; 및
    (7) 상기 고정통신단말로부터 상기 (6)에서 결정한 보안 프로토콜에 따른 데이터 패킷을 전송받고, 이를 가상사설망을 경유하여 중개하는 단계를 포함하는 것을 특징으로 하는 통신방법.
  11. 가상사설망에서 홈 에이전트를 경유하여 단말간 또는 단말과 호스트간에 무선 터널링 통신을 수행하는 방법으로서,
    (1) 접속을 요청하는 이동통신단말과 상기 홈 에이전트의 내부 메모리에 터널링 통신시에 사용할 보안 프로토콜을 결정하기 위한 다수의 SPI들을 포함하는 SA테이블을 구축하는 단계;
    (2) 상기 이동통신단말에 대해 공중망 IP주소를 할당하는 단계;
    (3) 상기 홈 에이전트가 상기 이동통신단말로부터 인증정보와 SPI 파라미터를 포함하는 VPN 접속 요청을 접수하는 단계;
    (4) 상기 인증정보에 근거하여 상기 이동통신단말을 인증하는 단계;
    (5) 상기 접수된 SPI 파라미터에 근거하여 내부의 SA테이블을 참조함으로써 터널링 통신시에 사용할 보안 프로토콜을 결정하는 단계;
    (6) 상기 이동통신단말에 대해 사설망 IP주소를 할당하고, 이를 인증 결과와 함께 상기 이동통신단말에 전송하는 단계; 및
    (7) 상기 이동통신단말로부터 상기 (5)에서 결정한 보안 프로토콜이 적용된 보안 데이터 패킷을 전송받고, 이를 가상사설망을 경유하여 중개하는 단계를 포함하는 것을 특징으로 하는 통신방법.
  12. 제 10 항 또는 제 11 항에 있어서,
    상기 SA테이블에는 보안모드, 암호화 알고리즘/키, 무결성 알고리즘/키를 결정하기 위한 파라미터들이 수납되어 있는 것을 특징으로 하는 통신방법.
  13. 가상사설망을 경유하여 단말간 또는 단말과 호스트간에 터널링 통신을 중개하는 장치에 있어서, 이 장치는
    상기 터널링 통신시에 사용할 보안 프로토콜을 결정하기 위한 다수의 SPI들을 수납하고 있는 SA테이블과;
    접속을 요청하는 고정통신단말로부터 전송되는 인증정보를 가상사설망내의 인증서버에 전달하는 수단과;
    상기 고정통신단말로부터 전송된 임의의 SPI를 이용하여 상기 SA테이블을 조회함으로써 터널링 통신을 위해 사용할 보안 프로토콜을 결정하는 수단과;
    상기 고정통신단말에 대해 사설망 IP주소를 할당하는 수단과;
    상기 인증서버로부터 전달되는 인증결과와 상기 사설망 IP주소를 포함하는 접속 응답을 상기 고정통신단말에 전송하는 수단; 및
    상기 결정된 보안 프로토콜을 적용한 데이터 패킷을 단말간 또는 단말과 호스트간에 중개하는 수단을 포함하는 것을 특징으로 하는 장치.
  14. 가상사설망을 경유하여 단말간 또는 단말과 호스트간에 터널링 통신을 중개하는 장치에 있어서, 이 장치는
    상기 터널링 통신시에 사용할 보안 프로토콜을 결정하기 위한 다수의 SPI들을 수납하고 있는 SA테이블과;
    접속을 요청하는 이동통신단말로부터 전송되는 인증정보에 근거하여 해당 이 동통신단말을 인증하는 수단과;
    상기 이동통신단말로부터 전송된 임의의 SPI를 이용하여 상기 SA테이블을 조회함으로써 터널링 통신을 위해 사용할 보안 프로토콜을 결정하는 수단과;
    상기 이동통신단말에 대해 사설망 IP주소를 할당하는 수단과;
    상기 인증결과와 상기 사설망 IP주소를 포함하는 접속 응답을 상기 이동통신단말에 전송하는 수단; 및
    상기 결정된 보안 프로토콜을 적용한 데이터 패킷을 단말간 또는 단말과 호스트간에 중개하는 수단을 포함하는 것을 특징으로 하는 장치.
  15. 제 13 항 또는 제 14 항에 있어서,
    상기 SA테이블에는 보안모드, 암호화 알고리즘/키, 무결성 알고리즘/키를 결정하기 위한 파라미터들이 수납되어 있는 것을 특징으로 하는 장치.
  16. 가상사설망에 접속하여 다른 단말 또는 호스트와 터널링 통신을 수행하는 고정통신단말로서, 이 단말은
    상기 터널링 통신시에 사용할 보안 프로토콜을 결정하기 위한 다수의 SPI들을 수납하고 있는 SA테이블과;
    상기 SA테이블로부터 임의의 SPI 파라미터를 추출하는 수단과;
    접속 요청과 더불어 상기 추출된 SPI를 상기 가설 사설망의 게이트웨이서버에 전송하는 수단과;
    상기 게이트웨이서버로부터 전송되는 사설망 IP를 설정하는 수단; 및
    상기 추출된 SPI가 정의하는 보안 프로토콜에 근거하여 가상사설망을 통해 전송할 데이터 패킷을 생성하는 수단을 포함하는 것을 특징으로 하는 고정통신단말.
  17. 제 16 항에 있어서,
    상기 SA테이블에는 보안모드, 암호화 알고리즘/키, 무결성 알고리즘/키를 결정하기 위한 파라미터들이 수납되어 있는 것을 특징으로 하는 고정통신단말.
  18. 가상사설망에 접속하여 다른 단말 또는 호스트와 터널링 통신을 수행하는 이동통신단말로서, 이 단말은
    상기 터널링 통신시에 사용할 보안 프로토콜을 결정하기 위한 다수의 SPI들을 수납하고 있는 SA테이블과;
    상기 SA테이블로부터 임의의 SPI 파라미터를 추출하는 수단과;
    접속 요청과 더불어 상기 추출된 SPI를 상기 가설 사설망의 홈 에이전트(Home Agent)에 전송하는 수단과;
    상기 홈 에이전트로부터 전송되는 사설망 IP를 설정하는 수단; 및
    상기 추출된 SPI가 정의하는 보안 프로토콜에 근거하여 가상사설망을 통해 전송할 데이터 패킷을 생성하는 수단을 포함하는 것을 특징으로 하는 이동통신단말.
  19. 제 18 항에 있어서,
    상기 SA테이블에는 보안모드, 암호화 알고리즘/키, 무결성 알고리즘/키를 결정하기 위한 파라미터들이 수납되어 있는 것을 특징으로 하는 이동통신단말.
  20. 가상사설망을 경유하여 단말간 또는 단말과 호스트간에 터널링 통신을 중개하는 장치에 저장되어 아래의 절차를 수행하는 컴퓨터로 판독 가능한 프로그램이 기록되어 있는 기록매체로서,
    상기 장치는, 터널링 통신시에 사용할 보안 프로토콜을 결정하기 위한 다수의 SPI들을 수납하고 있는 SA테이블을 메모리에 구축하고 있으며,
    상기 프로그램은 상기 장치에 로딩되어 실행되며,
    접속을 요청하는 고정통신단말로부터 전송되는 인증정보를 가상사설망내의 인증서버에 전달하는 절차와;
    상기 고정통신단말로부터 전송된 임의의 SPI를 이용하여 상기 SA테이블을 조회함으로써 터널링 통신을 위해 사용할 보안 프로토콜을 결정하는 절차와;
    상기 고정통신단말에 대해 사설망 IP주소를 할당하는 절차와;
    상기 인증서버로부터 전달되는 인증결과와 상기 사설망 IP주소를 포함하는 접속 응답을 상기 고정통신단말에 전송하는 절차; 및
    상기 결정된 보안 프로토콜을 적용한 데이터 패킷을 단말간 또는 단말과 호스트간에 중개하는 절차를 수행하는 것을 특징으로 하는 기록매체.
  21. 가상사설망을 경유하여 단말간 또는 단말과 호스트간에 터널링 통신을 중개하는 장치에 저장되어 아래의 절차를 수행하는 컴퓨터로 판독 가능한 프로그램이 기록되어 있는 기록매체로서,
    상기 장치는, 터널링 통신시에 사용할 보안 프로토콜을 결정하기 위한 다수의 SPI들을 수납하고 있는 SA테이블을 메모리에 구축하고 있으며,
    상기 프로그램은 상기 장치에 로딩되어 실행되며,
    접속을 요청하는 이동통신단말로부터 전송되는 인증정보에 근거하여 해당 이동통신단말을 인증하는 절차와;
    상기 이동통신단말로부터 전송된 임의의 SPI를 이용하여 상기 SA테이블을 조회함으로써 터널링 통신을 위해 사용할 보안 프로토콜을 결정하는 절차와;
    상기 이동통신단말에 대해 사설망 IP주소를 할당하는 절차와;
    상기 인증결과와 상기 사설망 IP주소를 포함하는 접속 응답을 상기 이동통신단말에 전송하는 절차; 및
    상기 결정된 보안 프로토콜을 적용한 데이터 패킷을 단말간 또는 단말과 호스트간에 중개하는 절차를 수행하는 것을 특징으로 하는 기록매체.
  22. 제 20 항 또는 제 21 항에 있어서,
    상기 SA테이블에는 보안모드, 암호화 알고리즘/키, 무결성 알고리즘/키를 결정하기 위한 파라미터들이 수납되어 있는 것을 특징으로 하는 기록매체.
  23. 가상사설망에 접속하여 다른 단말 또는 호스트와 터널링 통신을 수행하는 고정통신단말에 저장되어 아래의 절차를 수행하는 컴퓨터로 판독 가능한 프로그램이 기록되어 있는 기록매체로서,
    상기 고정통신단말은, 터널링 통신시에 사용할 보안 프로토콜을 결정하기 위한 다수의 SPI들을 수납하고 있는 SA테이블을 메모리에 구축하고 있으며,
    상기 프로그램은 상기 고정통신단말에 로딩되어 실행되며,
    상기 SA테이블로부터 임의의 SPI 파라미터를 추출하는 절차와;
    사용자로부터 입력되는 인증정보와 상기 추출된 SPI를 상기 가설 사설망의 게이트웨이서버에 접속 요청과 함께 전송하는 절차와;
    상기 게이트웨이서버에 의해 할당되는 사설망 IP를 이용하여 상기 고정통신단말을 셋팅하는 절차; 및
    상기 추출된 SPI가 정의하는 보안 프로토콜에 근거하여 가상사설망을 통해 전송할 데이터 패킷을 생성하고, 이를 가설 사설망을 통해 전송하는 절차를 수행하는 것을 특징으로 하는 기록매체.
  24. 가상사설망에 접속하여 다른 단말 또는 호스트와 터널링 통신을 수행하는 이동통신단말에 저장되어 아래의 절차를 수행하는 컴퓨터로 판독 가능한 프로그램이 기록되어 있는 기록매체로서,
    상기 이동통신단말은, 터널링 통신시에 사용할 보안 프로토콜을 결정하기 위 한 다수의 SPI들을 수납하고 있는 SA테이블을 메모리에 구축하고 있으며,
    상기 프로그램은 상기 이동통신단말에 로딩되어 실행되며,
    상기 SA테이블로부터 임의의 SPI 파라미터를 추출하는 절차와;
    접속 요청과 더불어 상기 추출된 SPI를 상기 가설 사설망의 홈 에이전트(Home Agent)에 전송하는 절차와;
    상기 홈 에이전트에 의해 할당되는 사설망 IP를 이용하여 상기 이동통신단말을 셋팅 하는 절차; 및
    상기 추출된 SPI가 정의하는 보안 프로토콜에 근거하여 가상사설망을 통해 전송할 데이터 패킷을 생성하고, 이를 상기 가설사설망을 통해 전송하는 절차를 수행하는 것을 특징으로 하는 기록매체.
  25. 제 23 항 또는 제 24 항에 있어서,
    상기 SA테이블에는 보안모드, 암호화 알고리즘/키, 무결성 알고리즘/키를 결정하기 위한 파라미터들이 수납되어 있는 것을 특징으로 하는 기록매체.
KR1020050031178A 2005-04-14 2005-04-14 신호처리를 간소화시킨 IPsec 통신시스템, 통신방법및 그 기록매체 KR100687415B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020050031178A KR100687415B1 (ko) 2005-04-14 2005-04-14 신호처리를 간소화시킨 IPsec 통신시스템, 통신방법및 그 기록매체

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020050031178A KR100687415B1 (ko) 2005-04-14 2005-04-14 신호처리를 간소화시킨 IPsec 통신시스템, 통신방법및 그 기록매체

Publications (2)

Publication Number Publication Date
KR20060108987A true KR20060108987A (ko) 2006-10-19
KR100687415B1 KR100687415B1 (ko) 2007-02-26

Family

ID=37615414

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050031178A KR100687415B1 (ko) 2005-04-14 2005-04-14 신호처리를 간소화시킨 IPsec 통신시스템, 통신방법및 그 기록매체

Country Status (1)

Country Link
KR (1) KR100687415B1 (ko)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008085388A1 (en) * 2006-12-27 2008-07-17 Cipheroptics, Inc. Fragmenting security encapsulated ethernet frames
KR101329968B1 (ko) * 2011-12-29 2013-11-13 주식회사 시큐아이 IPSec VPN 장치들 사이의 보안 정책을 결정하기 위한 방법 및 시스템
KR101417927B1 (ko) * 2011-12-29 2014-07-11 주식회사 시큐아이 IPSec VPN에서 로드 분산을 통해 암호화 통신을 수행하기 위한 방법 및 장치
CN112688954A (zh) * 2020-12-28 2021-04-20 上海创能国瑞数据系统有限公司 一种敏感数据传输的保护方法
CN113473470A (zh) * 2021-06-30 2021-10-01 广东纬德信息科技股份有限公司 基于5g的充电桩组网通信系统及双向通信方法
CN113747434A (zh) * 2021-10-15 2021-12-03 湖南麒麟信安科技股份有限公司 一种基于IPSec的移动通信安全通信方法及装置
CN114826640A (zh) * 2021-12-15 2022-07-29 广西电网有限责任公司电力科学研究院 一种审查IPSec VPN传输内容的方法及系统

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101189673B1 (ko) 2012-06-18 2012-10-10 주식회사 에스엠이씨 인터넷 보안 프로토콜 세션 중계를 위한 게이트웨이 시스템 및 그의 리던던시 제공 방법
KR20160086148A (ko) 2015-01-09 2016-07-19 주식회사 케이티 공중망을 이용한 가상 사설망 서비스를 제공하는 무선 vpn 단말의 인증 방법 및 이를 위한 시스템
CN108989342B (zh) * 2018-08-23 2021-02-05 新华三信息安全技术有限公司 一种数据传输的方法及装置
KR102059150B1 (ko) * 2019-05-02 2019-12-24 주식회사 스텔스솔루션 IPsec 가상 사설 네트워크 시스템

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000324104A (ja) * 1999-05-10 2000-11-24 Matsushita Electric Works Ltd バーチャル通信ネットワークにおけるセキュリティーポリシー設定方法、セキュリティーポリシーマネージャ及びこれを用いたバーチャル通信ネットワークシステム
JP3597756B2 (ja) * 2000-06-09 2004-12-08 日本電信電話株式会社 ネットワークアドレス変換装置およびvpnクライアント多重化システム
JP4201466B2 (ja) * 2000-07-26 2008-12-24 富士通株式会社 モバイルipネットワークにおけるvpnシステム及びvpnの設定方法
JP2003018156A (ja) * 2001-06-28 2003-01-17 Mitsubishi Electric Corp Vpn運用管理装置
KR20030050550A (ko) * 2001-12-19 2003-06-25 엘지전자 주식회사 패킷데이터서비스 네트워크의 심플 아이피 가상 사설망서비스 방법

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008085388A1 (en) * 2006-12-27 2008-07-17 Cipheroptics, Inc. Fragmenting security encapsulated ethernet frames
KR101329968B1 (ko) * 2011-12-29 2013-11-13 주식회사 시큐아이 IPSec VPN 장치들 사이의 보안 정책을 결정하기 위한 방법 및 시스템
KR101417927B1 (ko) * 2011-12-29 2014-07-11 주식회사 시큐아이 IPSec VPN에서 로드 분산을 통해 암호화 통신을 수행하기 위한 방법 및 장치
CN112688954A (zh) * 2020-12-28 2021-04-20 上海创能国瑞数据系统有限公司 一种敏感数据传输的保护方法
CN112688954B (zh) * 2020-12-28 2022-08-05 上海创能国瑞数据系统有限公司 一种敏感数据传输的保护方法
CN113473470A (zh) * 2021-06-30 2021-10-01 广东纬德信息科技股份有限公司 基于5g的充电桩组网通信系统及双向通信方法
CN113747434A (zh) * 2021-10-15 2021-12-03 湖南麒麟信安科技股份有限公司 一种基于IPSec的移动通信安全通信方法及装置
CN113747434B (zh) * 2021-10-15 2023-08-01 湖南麒麟信安科技股份有限公司 一种基于IPSec的移动通信安全通信方法及装置
CN114826640A (zh) * 2021-12-15 2022-07-29 广西电网有限责任公司电力科学研究院 一种审查IPSec VPN传输内容的方法及系统

Also Published As

Publication number Publication date
KR100687415B1 (ko) 2007-02-26

Similar Documents

Publication Publication Date Title
KR100687415B1 (ko) 신호처리를 간소화시킨 IPsec 통신시스템, 통신방법및 그 기록매체
US11038846B2 (en) Internet protocol security tunnel maintenance method, apparatus, and system
JP4707992B2 (ja) 暗号化通信システム
CN109150688B (zh) IPSec VPN数据传输方法及装置
US8312064B1 (en) Method and apparatus for securing documents using a position dependent file system
US7702901B2 (en) Secure communications between internet and remote client
US7028337B2 (en) Method of virtual private network communication in security gateway apparatus and security gateway apparatus using the same
JP3992579B2 (ja) 鍵交換代理ネットワークシステム
JP2020080530A (ja) データ処理方法、装置、端末及びアクセスポイントコンピュータ
WO2004034645A1 (ja) Wlan相互接続における識別情報の保護方法
EP2767029B1 (en) Secure communication
EP2262164A1 (en) Secure data transfer
WO2004107646A1 (en) System and method for application-level virtual private network
JP2006109449A (ja) 認証された無線局に暗号化キーを無線で提供するアクセスポイント
JP4245972B2 (ja) 無線通信方法、無線通信装置、通信制御プログラム、通信制御装置、鍵管理プログラム、無線lanシステム、および記録媒体
JPH11205388A (ja) パケットフィルタ装置、認証サーバ、パケットフィルタリング方法及び記憶媒体
WO2023083170A1 (zh) 密钥生成方法、装置、终端设备及服务器
US20150249639A1 (en) Method and devices for registering a client to a server
US20240146728A1 (en) Access control method, access control system, and related device
JP2003087289A (ja) 無線データ通信の中継機能を有する電子機器
CN115001686A (zh) 一种全域量子安全设备及系统
CN114301967B (zh) 窄带物联网控制方法、装置及设备
JP2011054182A (ja) ディジタルバトンを使用するシステムおよび方法、メッセージを認証するためのファイアウォール、装置、および、コンピュータ読み取り可能な媒体
Cisco Configuring the Integrated Service Adapter / Module
KR20040088137A (ko) 전송 암호화키 값 생성방법과 이를 적용한 상호인증보안방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130205

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20140205

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20150205

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20160203

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20170203

Year of fee payment: 11