KR20070121323A - A method for ipsec supporting mechanism for nat-pt between ipv6 and ipv4 networks - Google Patents

A method for ipsec supporting mechanism for nat-pt between ipv6 and ipv4 networks Download PDF

Info

Publication number
KR20070121323A
KR20070121323A KR1020060056242A KR20060056242A KR20070121323A KR 20070121323 A KR20070121323 A KR 20070121323A KR 1020060056242 A KR1020060056242 A KR 1020060056242A KR 20060056242 A KR20060056242 A KR 20060056242A KR 20070121323 A KR20070121323 A KR 20070121323A
Authority
KR
South Korea
Prior art keywords
nat
header
ipsec
packet
checksum value
Prior art date
Application number
KR1020060056242A
Other languages
Korean (ko)
Inventor
홍충선
김정열
Original Assignee
경희대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 경희대학교 산학협력단 filed Critical 경희대학교 산학협력단
Priority to KR1020060056242A priority Critical patent/KR20070121323A/en
Publication of KR20070121323A publication Critical patent/KR20070121323A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2592Translation of Internet protocol [IP] addresses using tunnelling or encapsulation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0485Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/167Adaptation for transition between two IP versions, e.g. between IPv4 and IPv6
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

An IPSec(Protocol Security) supporting method in NAT-PT(Network Address Translation-Protocol Translation) for interlocking IPv6 and IPv4 networks is provided to maintain end-to-end security even though an IPv4 packet is translated into an IPv6 packet through NAT-PT and to function as security service provision technology when application services directly communicate through different networks. An IPSec supporting method in NAT-PT for interlocking IPv6 and IPv4 networks is composed of a first step for exchanging addresses before translation, through NAT-PT during an IKE(Internet Key Exchange) process; a second step for capsuling an IPSec packet by a UDP(User Datagram Protocol) packet; and a third step for correcting a checksum value of a TCP(Transmission Control Protocol) header on the basis of the received address.

Description

IPⅴ6 네트워크와 IPⅴ4 네트워크 연동을 위한 NAT-PT에서의 IPsec 지원 방법{A method for IPSec Supporting Mechanism for NAT-PT between IPv6 and IPv4 Networks}A method for IPSec Supporting Mechanism for NAT-PT between IPv6 and IPv4 Networks} in NAT-PT for interworking IPv6 and IPv4 networks

도 1은 NAT-PT의 동작 과정을 보여주는 도면이다. 1 is a view showing the operation of the NAT-PT.

도 2는 AH 프로토콜 헤더의 구조를 보여주는 도면이다. 2 is a diagram showing the structure of an AH protocol header.

도 3은 ESP 헤더의 구조를 보여주는 도면이다. 3 is a diagram illustrating the structure of an ESP header.

도 4는 IKE의 NAT-OA를 통한 NAT-PT Traversal 동작 과정을 보여주는 도면이다. 4 is a diagram illustrating a NAT-PT traversal operation process through NAT-OA of IKE.

도 5는 UDP 헤더로 캡슐화된 ESP 패킷을 보여주는 도면이다. 5 illustrates an ESP packet encapsulated in a UDP header.

도 6은 본 발명의 바람직한 일 실시예에 따른 NAT-PT에서 IPSec을 지원하는 방법의 전체적인 동작 과정을 보여주는 도면이다. 6 is a view showing the overall operation of the method for supporting IPSec in NAT-PT according to an embodiment of the present invention.

본 발명은 NAT-PT에서 IPSec을 사용하기 위한 방법에 관한 것으로서, 더욱 상세하게는 양단의 IPSec 노드가 IKE 협상과정을 통하여 변화되기 전의 주소를 획득하고, UDP로 IPSec 패킷을 캡슐화 하여 IPSec를 NAT-PT에서 사용하는 방법에 관 한 것이다. The present invention relates to a method for using IPSec in NAT-PT. More specifically, an IPSec node at both ends acquires an address before changing through an IKE negotiation process, and encapsulates an IPSec packet by UDP to NAT- IPSec. It is about the method used in PT.

IPv6 기반의 노드가 IPv4 기반의 노드로 패킷을 전송할 경우, DNS-ALG의 도움으로 IPv4 DNS서버로부터 목적지 IPv4 주소를 획득하고, 송신용 IPv4 주소를 NAT-PT address pool로부터 할당받은 후, NAT-PT에서 할당 받은 PREFIX로 IPv6주소를 구성하여 패킷을 전송한다. NAT-PT에 도착한 패킷은 address pool에서 할당한 IPv4 주소와 PREFIX를 제거한 IPv4 주소로 변환되고, TCP 헤더의 검사합을 갱신하여 패킷을 IPv4 노드에게 전송한다. When an IPv6-based node sends a packet to an IPv4-based node, it acquires a destination IPv4 address from an IPv4 DNS server with the help of DNS-ALG, receives an IPv4 address for transmission from a NAT-PT address pool, and then NAT-PT. Sends packet by configuring IPv6 address with PREFIX assigned by. When the packet arrives at NAT-PT, it is converted into the IPv4 address allocated from the address pool and the IPv4 address without PREFIX, and the packet is updated to the IPv4 node by updating the checksum of the TCP header.

TCP 헤더의 검사합 값을 계산할 때에는 의사 헤더(PseudoHeader), TCP 헤더, 응용계층으로부터 온 데이터의 세 부분을 포함한다. 의사 헤더에는 IP의 발신지 주소와 목적지 주소가 포함되어 있으므로 NAT-PT는 TCP 헤더의 검사합을 반드시 갱신해야만 한다. When calculating the checksum value of a TCP header, it includes three parts: a pseudo header, a TCP header, and data from an application layer. Since the pseudo-header contains the source and destination addresses of the IP, NAT-PT must update the checksum of the TCP header.

IPsec에서 보안 서비스 제공을 위한 프로토콜은 AH와 ESP가 있다. AH는 접근 제어(Access Control), 비 연결형 무결성(Connectionless Integrity), IP 데이터 그램에 대한 데이터 발신 인증(Data Origin Authentication) 등의 보안 서비스를 제공하며, 선택적으로 재전송 공격 방지(Anti-Replay) 서비스를 제공할 수 있다.Protocols for providing security services in IPsec include AH and ESP. AH provides security services such as Access Control, Connectionless Integrity, and Data Origin Authentication for IP datagrams, and optionally provides Anti-Replay services. Can provide.

도 2는 AH 프로토콜 헤더의 구조와 ICV(Integrity Check Value) 계산에 포함되는 부분을 나타내었다. AH는 IP 헤더 필드와 AH 헤더, 그리고 상위 계층의 프로토콜 헤더의 정보를 사용하여 ICV를 계산한 다음 Authentication Data 필드에 삽입한다. ICV 계산에는 HMAC(Keyed-Hashing for Message Authentication)과 MD5(Message Digest), 또는 SHA-1(Security Hash Algorithm) 알고리즘이 결합된 HMAC-MD5와 HMAC-SHA-1 알고리즘을 사용한다. ESP 헤더는 페이로드에 대해서 AH가 제공하는 서비스 외에 추가적으로 비밀성(Confidentiality) 서비스를 제공한다. Figure 2 shows the structure of the AH protocol header and the part included in the ICV (Integrity Check Value) calculation. The AH calculates the ICV using information from the IP header field, the AH header, and the upper layer protocol header, and inserts it into the Authentication Data field. ICV calculations use HMAC-MD5 and HMAC-SHA-1 algorithms that combine Keyed-Hashing for Message Authentication (HMAC) and Message Digest (MD5), or Security Hash Algorithm (SHA-1) algorithms. The ESP header provides additional confidentiality services in addition to the services provided by the AH for payload.

도 3은 ESP 프로토콜 헤더의 구조와 ICV 계산에 포함되는 부분을 나타내었다. ESP는 페이로드 필드부터 Next Header 필드까지 암호화하며, AH와는 달리 ICV 계산에 IP 헤더 필드를 사용하지 않고, ESP 헤더에 포함되는 필드만을 사용한다. ESP의 암호화 알고리즘에는CBC(Cipher Block Chaining) 모드의 3DES(triple Data Encryption Standard) 알고리즘을 사용한다. 3 shows the structure of the ESP protocol header and the parts included in the ICV calculation. The ESP encrypts from the payload field to the Next Header field. Unlike AH, the ESP does not use the IP header field for ICV calculation, and only uses the field included in the ESP header. The encryption algorithm of ESP uses a triple data encryption standard (3DES) algorithm of Cipher Block Chaining (CBC) mode.

NAT-PT에 IPsec을 적용하기 위해서 IKE 협상과정 중 HTI 메시지를 사용하는 방법이 제안된 바 있다. 이 알고리즘에서는 NAT-OA(NAT Original Address) 페이로드를 사용하지 않고 IKE(Internet Key Exchange) 협상 패킷이 NAT-PT로 전달되면, NAT-PT가 새롭게 정의된 HTI 메시지를 사용하여 Initiator에게만 Responder의 실제주소를 전달한다. 그 후 패킷의 송신 노드가 NAT-PT로부터 받은 수신 노드의 실제주소를 사용하여 NAT-PT에 의해 갱신되는 TCP 헤더의 검사합 값을 예측 계산함으로써 NAT-PT에 IPsec을 적용하는 방법을 제안 하였다. 그러나 이 알고리즘은 UDP 헤더로 ESP 패킷을 캡슐화하는 과정이 없으므로, NAT-PT에 의해 TCP 헤더의 검사합 값이 갱신되고, 수신측이 그 갱신된 TCP 헤더의 검사합 값으로 ICV를 계산하면 ICV에 차이가 생기게 된다. 따라서 패킷은 TCP 헤더의 검사합 값을 재 수정하기 전에 버려지게 된다. 또한, 패킷의 송신측이 TCP 헤더의 검사합 값을 미리 예측하여 계산하는 방법은 본 발명에서 제안하는 NAT-PT Traversal에서도 가능하며, 수신측에서 최종적으로 TCP 헤더의 검사합 값을 재 수정하는 과정이 수신측에서 진행되지 않고 송신측에서 처리될 뿐 큰 의미는 없다. In order to apply IPsec to NAT-PT, a method of using HTI message during IKE negotiation process has been proposed. In this algorithm, if an Internet Key Exchange (IKE) negotiation packet is forwarded to NAT-PT without using a NAT Original Address (NAT-OA) payload, NAT-PT uses the newly defined HTI message to send the Responder's actual message only to the initiator. Pass the address. Then, we proposed a method of applying IPsec to NAT-PT by predicting and calculating the checksum value of the TCP header updated by NAT-PT using the actual address of the receiving node received from NAT-PT. However, since this algorithm does not encapsulate ESP packets with UDP headers, the checksum value of the TCP header is updated by NAT-PT, and when the receiver calculates ICV with the checksum value of the updated TCP header, There will be a difference. Therefore, the packet is discarded before the modification of the checksum value of the TCP header. In addition, a method in which the sender of the packet predicts and calculates the checksum value of the TCP header in advance is also possible in the NAT-PT traversal proposed by the present invention. This processing is performed on the transmitting side rather than on the receiving side.

NAT-PT에 IPsec 적용시 문제점은 AH를 사용할 경우와 ESP를 사용할 경우, 두 가지로 나누어 생각해 볼 수 있다. The problem of applying IPsec to NAT-PT can be divided into two cases, using AH and using ESP.

도 2에서 보는 것과 같이 AH는 ICV 계산에 IP 헤더의 값과 TCP 필드의 값을 사용한다. 따라서 NAT-PT에 의해 IP 헤더의 출발지 주소와 목적지 주소가 변환되면 수신측은 ICV 검증과정에 변환된 IP 헤더의 출발지 주소와 목적지 주소를 사용하므로 계산된 ICV가 틀려지게 되고 패킷은 버려진다. 뿐만 아니라 NAT-PT에 의해 추가적으로 갱신된 TCP 헤더의 검사합 값도 수신측의 ICV 계산에 사용되므로 검증과정에서 계산된 ICV는 수신된 패킷의 ICV와 차이가 있다. As shown in Fig. 2, AH uses the value of the IP header and the value of the TCP field in the ICV calculation. Therefore, when the source address and destination address of the IP header are converted by NAT-PT, the receiving side uses the source address and destination address of the converted IP header in the ICV verification process, so the calculated ICV is wrong and the packet is discarded. In addition, since the checksum value of the TCP header additionally updated by NAT-PT is also used for the ICV calculation of the receiver, the ICV calculated during the verification process is different from the ICV of the received packet.

ESP 헤더는 도 3에서 보는 것과 같이 ICV 계산에 ESP 헤더에 포함되는 부분만을 사용하므로 AH처럼 IP 주소 변환에 의한 문제는 없다. 그러나 TCP 헤더의 검사합 값이 ESP 헤더에 포함되므로, AH와 마찬가지로 NAT-PT에 의해 갱신된 TCP 헤더의 검사합 값을 수신측의 ICV 검증과정에서 사용하게 되면 문제가 발생한다.As shown in FIG. 3, since the ESP header uses only a part included in the ESP header for ICV calculation, there is no problem due to IP address translation like AH. However, since the checksum value of the TCP header is included in the ESP header, a problem occurs when the checksum value of the TCP header updated by NAT-PT is used in the ICV verification process on the receiving side as in AH.

본 발명은 이러한 점을 감안하여 이루어진 것으로서, IPv6 네트워크와 IPv4 네트워크가 NAT-PT를 사용하여 통신을 할 경우 NAT-PT Traversal 방법과 IPsec ESP 패킷을 UDP 헤더로 캡슐화 하는 방법을 통해서 NAT-PT 상에 IPSec 보안 프로토콜을 지원하는 방법을 제공하는데 그 목적이 있다.The present invention has been made in view of this point, and when the IPv6 network and the IPv4 network communicate using NAT-PT, the NAT-PT traversal method and the method of encapsulating IPsec ESP packets into UDP headers are used on the NAT-PT. Its purpose is to provide a method that supports the IPSec security protocol.

이러한 목적을 달성하기 위한 본 발명은, NAT-PT는 NAT(Network Address Translation)를 기반으로 하는 기술이기 때문에 그 성질 또한 NAT와 크게 다르지 않다. 이에 본 발명에서는 NAT에서 사용되고 있는 NAT를 통과하기 위한 IKE 협상과 IPsec ESP 패킷을 UDP 헤더에 캡슐화 하는 기법 통하여 NAT-PT에 IPsec ESP 프로토콜을 적용하는 NAT-PT Traversal 방안을 제안 하였다. According to the present invention for achieving this purpose, since NAT-PT is a technology based on Network Address Translation (NAT), its properties are not significantly different from NAT. Accordingly, the present invention proposes a NAT-PT traversal scheme that applies the IPsec ESP protocol to NAT-PT through a scheme for encapsulating IKE negotiation and IPsec ESP packet in a UDP header used in NAT.

IKE 협상과정 중 NAT에서 사용되고 있는 Quick Mode의 NAT-OA(NAT Original Address) 페이로드를 이용하여 IPv6 기반의 노드와 IPv4 기반의 노드들은 IPsec에 사용된 실제의 주소를 서로 주고받을 수 있다. 따라서 각 노드들은 NAT-OA를 통해 획득한 실제 주소를 사용하여 TCP 헤더의 검사합 값을 재 수정할 수 있다. During the IKE negotiation process, IPv6-based nodes and IPv4-based nodes can exchange actual addresses used in IPsec using NAT-OA (NAT Original Address) payload of Quick Mode. Therefore, each node can modify the checksum value of the TCP header using the actual address obtained through NAT-OA.

도4 는 NAT-OA 페이로드를 사용하여 실제 주소를 주고받는 과정이다. Iaddr는 IPv6 노드의 실제 주소이고, Raddr은 IPv4 노드의 실제 주소, 그리고 NAT-PTPub는 NAT-PT에 의해 할당 받은 IPv6 노드의 IPv4 주소이다. 4 is a process of exchanging actual addresses using a NAT-OA payload. Iaddr is the real address of the IPv6 node, Raddr is the real address of the IPv4 node, and NAT-PTPub is the IPv4 address of the IPv6 node assigned by NAT-PT.

① Initiator (IPv6 nodes) ① Initiator (IPv6 nodes)

NAT-OA initiator = Iaddr = IPv6 node's original address NAT-OA initiator = Iaddr = IPv6 node's original address

NAT-OA responder = Raddr = PREFIX::IPv4 node's original address NAT-OA responder = Raddr = PREFIX :: IPv4 node's original address

② Responder (IPv4 nodes) ② Responder (IPv4 nodes)

NAT-OA initiator = NAT-PTPub = IPv6 node's assigned address by NAT-PT address pool NAT-OA initiator = NAT-PTPub = IPv6 node's assigned address by NAT-PT address pool

NAT-OA responder = Raddr = IPv4 node's original address NAT-OA responder = Raddr = IPv4 node's original address

NAT-PT가 ESP 헤더안쪽의 TCP 검사합 값을 갱신하지 못하도록 도 5와 같이 UDP 헤더로 ESP 패킷을 캡슐화한다. In order to prevent NAT-PT from updating the TCP checksum value inside the ESP header, the ESP packet is encapsulated in the UDP header as shown in FIG.

▶ UDP 헤더 캡슐화 하는 절차 ▶ Procedure for Encapsulating UDP Header

① ESP 캡슐화 ① ESP encapsulation

② UDP 헤더를 ESP 헤더 앞에 삽입 ② Insert UDP header before ESP header

UDP 헤더의 검사합 값을 0으로 설정하면 UDP헤더의 검사합 갱신 없이 NAT-PT를 통과 할 수 있다. (IPv4 노드만 해당) If the checksum value of the UDP header is set to 0, NAT-PT can be passed without updating the checksum of the UDP header. (IPv4 nodes only)

③ IP 헤더의 Total Length, Protocol, 그리고 Header Checksum 필드를 삽입된 UDP 헤더에 맞추어 수정 (IPv4 노드만 해당) ③ Modify the Total Length, Protocol, and Header Checksum fields of the IP header to match the inserted UDP header (only for IPv4 nodes).

▶ UDP 헤더 역 캡슐화 하는 절차 ▶ UDP Encapsulation Procedure

① UDP 헤더 제거 ① Remove UDP Header

② IP 헤더의Total Length, Protocol, 그리고 Header Checksum 필드를 기존의 IP 헤더 값으로 수정 (IPv4 노드만 해당) ② Modify the Total Length, Protocol, and Header Checksum fields of the IP header with the existing IP header values (IPv4 nodes only)

③ ESP 역 캡슐화 과정 ③ ESP reverse encapsulation process

따라서 ESP 헤더 안의 모든 필드는 어떠한 변경도 없이 NAT-PT를 통과할 수 있다. Therefore, all fields in the ESP header can pass through NAT-PT without any change.

검사합 값의 갱신 없이 NAT-PT를 통과한 TCP 헤더의 검사합은 ESP의 ICV 검증에는 문제가 없으나, 수신측에서 TCP 헤더의 검사합을 검증하는데 의사헤더를 참조하므로 여전히 문제가 남아있다. 이러한 문제를 해결하기 위해서 IKE 협상 과정에서 주고받은 실제 주소를 사용하여 TCP 헤더의 검사합 값을 재수정한다. The checksum of the TCP header passing through NAT-PT without updating the checksum value is not a problem for ICV verification of the ESP, but the problem remains because the receiver refers to the pseudo header to verify the checksum of the TCP header. To solve this problem, the checksum value of the TCP header is re-modified using the actual address exchanged during the IKE negotiation.

수정하는 과정은 다음과 같다. The modification process is as follows.

① 수신된 패킷의 TCP 헤더의 검사합 값으로부터 IP 헤더의 출발지 주소를 뺀다. ① Subtract the source address of the IP header from the checksum value of the TCP header of the received packet.

② TCP 헤더의 검사합 값에 NAT-OA를 통해서 획득한 실제 출발지 주소를 더한다. ② Add the actual source address obtained through NAT-OA to the checksum value of the TCP header.

③ 수신된 패킷의 TCP 헤더의 검사합 값으로부터 IP 헤더의 목적지 주소를 뺀다. ③ Subtract the destination address of the IP header from the checksum value of the TCP header of the received packet.

④ TCP 헤더의 검사합 값에 NAT-OA를 통해서 획득한 실제 목적지 주소를 더한다.(4) Add the actual destination address obtained through NAT-OA to the checksum value of the TCP header.

이상에서 설명한 바와 같이, 본 발명에 의하면 NAT-PT에서 IPSec 보안 프로토콜을 지원하는 방법이 제공된다. 보다 구체적으로는 본 발명을 통하여 NAT-PT를 통해 IPv4 패킷이 IPv6 패킷으로 변환되어도 End-to-End 보안이 가능해 진다는 효과가 있으며, 메신저, 전자 결재, 온라인 게임 등의 응용서비스가 IPv4와 IPv6 같은 서로 다른 네트워크상에서 직접 통신을 하는 경우, 보안 서비스 제공 기술로 활용할 수 있다. As described above, the present invention provides a method for supporting the IPSec security protocol in NAT-PT. More specifically, the present invention has an effect that end-to-end security is enabled even when an IPv4 packet is converted into an IPv6 packet through NAT-PT. Application services such as messenger, electronic payment, and online game are IPv4 and IPv6. When directly communicating over the same different network, it can be used as a security service providing technology.

Claims (4)

IKE(Internet Key Exchange) 협상과정에서 NAT-PT에 의해 변환되기 전의 주소를 교환하는 제 1단계;A first step of exchanging an address before being converted by NAT-PT in an Internet Key Exchange (IKE) negotiation process; UDP 패킷으로 IPSec 패킷을 캡슐화하는 제 2단계; 및 Encapsulating the IPSec packet into a UDP packet; And 제 1단계에서 받은 주소를 기반으로 TCP 헤더의 검사합(checksum) 값을 수정하는 3단계를 구비하는 IPSec 지원 방법.And a third step of modifying a checksum value of the TCP header based on the address received in the first step. 제 1항에 있어서, 상기 제 1단계에서The method of claim 1, wherein in the first step IKE 협상과정 중 NAT에서 사용되고 있는 Quick Mode의 NAT-OA(NAT Original Address) 페이로드를 이용하여 IPv6 기반의 노드와 IPv4 기반의 노드들이 IPsec에 사용된 실제의 주소를 서로 주고받는 IPSec 지원 방법. A method of supporting IPSec in which IPv6-based nodes and IPv4-based nodes exchange real addresses used in IPsec using the NAT-OA (NAT Original Address) payload of Quick Mode, which is used in NAT during IKE negotiation. 제 1항에 있어서, 상기 제 2단계에서The method of claim 1, wherein in the second step 송신측에서 NAT-PT가 ESP 헤더 안쪽의 TCP 검사합 값을 갱신하지 못하도록 UDP 헤더를 ESP 헤더 앞에 삽입하는 캡슐화하는 단계; 및Encapsulating a UDP header before the ESP header to prevent NAT-PT from updating the TCP checksum value inside the ESP header at the sender; And 수신측에서 UDP 헤더로 캡슈화된 ESP 패킷을 역 캡슐화하는 단계를 포함하는 IPSec 지원 방법.A method of supporting IPSec, comprising encapsulating, at a receiving end, an ESP packet captured with a UDP header. 제 1항에 있어서, 상기 제 3단계는The method of claim 1, wherein the third step ESP 패킷이 검사합 값의 갱신 없이 NAT-PT를 통과하면, 수신측에서 수신된 패킷의 TCP 헤더의 검사합 값으로부터 IP 헤더의 출발지 주소를 빼고, TCP 헤더의 검사합 값에 제 1단계의 NAT-OA를 통해서 획득한 실제 출발지 주소를 더하는 단계; 및If the ESP packet passes NAT-PT without updating the checksum value, the source side of the IP header is subtracted from the checksum value of the TCP header of the packet received at the receiving end, and the NAT of the first stage is added to the checksum value of the TCP header. Adding an actual starting address obtained through the OA; And 수신된 패킷의 TCP 헤더의 검사합 값으로부터 IP 헤더의 목적지 주소를 빼고, TCP 헤더의 검사합 값에 NAT-OA를 통해서 획득한 실제 목적지 주소를 더하여 TCP 헤더의 검사합(checksum) 값을 수정하는 단계를 포함하는 IPSec 지원 방법.Modifying the checksum value of the TCP header by subtracting the destination address of the IP header from the checksum value of the received packet's TCP header and adding the actual destination address obtained through NAT-OA to the checksum value of the TCP header. IPSec support method, including the steps.
KR1020060056242A 2006-06-22 2006-06-22 A method for ipsec supporting mechanism for nat-pt between ipv6 and ipv4 networks KR20070121323A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020060056242A KR20070121323A (en) 2006-06-22 2006-06-22 A method for ipsec supporting mechanism for nat-pt between ipv6 and ipv4 networks

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020060056242A KR20070121323A (en) 2006-06-22 2006-06-22 A method for ipsec supporting mechanism for nat-pt between ipv6 and ipv4 networks

Publications (1)

Publication Number Publication Date
KR20070121323A true KR20070121323A (en) 2007-12-27

Family

ID=39138735

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060056242A KR20070121323A (en) 2006-06-22 2006-06-22 A method for ipsec supporting mechanism for nat-pt between ipv6 and ipv4 networks

Country Status (1)

Country Link
KR (1) KR20070121323A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009123826A1 (en) 2008-04-04 2009-10-08 Microsoft Corporation Hardware interface for enabling direct access and security assessment sharing
WO2012018190A2 (en) * 2010-08-03 2012-02-09 주식회사 네이블커뮤니케이션즈 Traffic-based communication system and method

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009123826A1 (en) 2008-04-04 2009-10-08 Microsoft Corporation Hardware interface for enabling direct access and security assessment sharing
US8739289B2 (en) 2008-04-04 2014-05-27 Microsoft Corporation Hardware interface for enabling direct access and security assessment sharing
KR101495946B1 (en) * 2008-04-04 2015-02-25 마이크로소프트 코포레이션 Hardware interface for enabling direct access and security assessment sharing
EP2263171A4 (en) * 2008-04-04 2016-04-20 Microsoft Technology Licensing Llc Hardware interface for enabling direct access and security assessment sharing
WO2012018190A2 (en) * 2010-08-03 2012-02-09 주식회사 네이블커뮤니케이션즈 Traffic-based communication system and method
WO2012018190A3 (en) * 2010-08-03 2012-04-12 주식회사 네이블커뮤니케이션즈 Traffic-based communication system and method
KR101144912B1 (en) * 2010-08-03 2012-05-17 주식회사 네이블커뮤니케이션즈 Traffic aware communication system and method

Similar Documents

Publication Publication Date Title
JP3793083B2 (en) Method and apparatus for providing security by network address translation using tunneling and compensation
US9461875B2 (en) Method and system for dynamically obscuring addresses in IPv6
US20020042875A1 (en) Method and apparatus for end-to-end secure data communication
US20060253701A1 (en) Method for providing end-to-end security service in communication network using network address translation-protocol translation
CN1855924A (en) Method for network layer safety text going through address changing device
Schinazi Proxying UDP in HTTP
CN106302386A (en) A kind of method promoting IPv6 protocol data bag safety
Schwenk IP Security (IPSec)
KR20070121323A (en) A method for ipsec supporting mechanism for nat-pt between ipv6 and ipv4 networks
Phelan et al. DCCP-UDP: A Datagram Congestion Control Protocol UDP Encapsulation for NAT Traversal
Hirschler et al. Internet protocol security and power line communication
JP6075871B2 (en) Network system, communication control method, communication control apparatus, and communication control program
KR20030062106A (en) Method for receiving data packet from virtual private network and apparatus thereof
Jung et al. IPSec support in NAT-PT scenario for IPv6 transition
Schinazi RFC 9298: Proxying UDP in HTTP
Herrero et al. Network and Transport Layers
Crainicu Inside the IPsec Headers: AH (Authentication Header) and ESP (Encapsulating Security Payload)
Choong-Seon IPsec Support Mechanism between IPv6 Network and IPv4 Network Communication using NAT-PT
Kim et al. New mechanisms for end-to-end security using IPSec in NAT-based private networks
Demerjian et al. Network Security using E-DHCP over NAT/IPSEC.
Schmitt Host Identity Protocol Extensions for the Traversal of Network Address Translators
Phelan et al. RFC 6773: DCCP-UDP: A Datagram Congestion Control Protocol UDP Encapsulation for NAT Traversal
Phelan et al. DCCP-UDP: Datagram Congestion Control Protocol Encapsulation for NAT Traversal: DCCP-UDP
Cvrk et al. Secure Networking with NAT Traversal for Enhanced Mobility

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application