KR20080080797A - Method and apparatus for securiting in packet switched domain - Google Patents
Method and apparatus for securiting in packet switched domain Download PDFInfo
- Publication number
- KR20080080797A KR20080080797A KR1020070020978A KR20070020978A KR20080080797A KR 20080080797 A KR20080080797 A KR 20080080797A KR 1020070020978 A KR1020070020978 A KR 1020070020978A KR 20070020978 A KR20070020978 A KR 20070020978A KR 20080080797 A KR20080080797 A KR 20080080797A
- Authority
- KR
- South Korea
- Prior art keywords
- ipsec
- processing unit
- ipsec processing
- packet
- header
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0485—Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/55—Prevention, detection or correction of errors
- H04L49/552—Prevention, detection or correction of errors by ensuring the integrity of packets received through redundant connections
Abstract
Description
도 1은 패킷 교환 도메인에서 SN 및 윈도우를 이용하여 IPSec 패킷을 수신하는 방식을 나타낸 도면,1 is a diagram illustrating a method of receiving an IPSec packet using an SN and a window in a packet switched domain;
도 2는 본 발명의 실시 예에 따른 IPSec의 이중화 장치를 나타낸 블록도,2 is a block diagram showing an IPSec duplication apparatus according to an embodiment of the present invention;
도 3은 도 2의 제1 및 제2 IPSec 처리부에서 SN을 생성하여 윈도우에 적용하는 방식을 나타낸 도면,3 is a diagram illustrating a method of generating and applying an SN to a window by the first and second IPSec processing units of FIG. 2;
도 4는 본 발명의 실시 예에 따른 IPSec의 이중화 방법을 나타낸 순서도.4 is a flowchart illustrating a duplication method of IPSec according to an embodiment of the present invention.
본 발명은 패킷 교환 도메인에서 보안방법 및 장치에 관한 것으로, 특히 패킷 교환 도메인에서 재생공격(reply attack)을 방지하기 위해 인터넷 프로토콜 보안 프로토콜(Internet Protocol Security Protocol : 이하 "IPsec")을 이용한 보안방법 및 장치에 관한 것이다.The present invention relates to a security method and apparatus in a packet switched domain, and more particularly, to a security method using an Internet Protocol Security Protocol ("IPsec") to prevent a reply attack in a packet switched domain. Relates to a device.
패킷 교환 도메인에서는 멀티미디어 서비스를 제공하기 위해, 프록시 호 세 션 제어 기능부(Proxy - Call Session Control Function : 이하 "P-CSCF")과 같은 네트워크 노드와 다수의 사용자 장비(User Equipment : 이하 "UE")간에 보안 연결(Security Connection)이 설정된다. 일반적으로 인터넷 프로토콜 멀티미디어 서브시스템(Internet Multimedia Subsystem : 이하 "IMS")은 패킷 교환 도메인에 대해 오버레이(Overlay)로 구성되며, 패킷 교환 도메인에 대한 낮은 종속성을 지닌다. 결과적으로 멀티미디어 서비스를 액세스하기 전에 UE와 P-CSCF간의 개별적인 보안 연결이 요구된다.In the packet switched domain, a network node such as a proxy-call session control function ("P-CSCF") and a plurality of user equipments ("UE") are provided to provide multimedia services. The security connection is established between them. In general, the Internet Multimedia Subsystem (“IMS”) is configured as an overlay to the packet switched domain and has a low dependency on the packet switched domain. As a result, a separate secure connection between the UE and the P-CSCF is required before accessing the multimedia service.
상기 요구되는 보안 연결에 따라 네트워크나 네트워크 통신의 패킷 처리 계층에서 IPSec를 사용하여 UE와 네트워크 노드간의 보안을 구현할 수 있다.Security between the UE and the network node may be implemented using IPSec at the packet processing layer of the network or network communication according to the required secure connection.
상기 IPSec는 인증 헤더(Authentication Header : 이하 "AH") 프로토콜과 캡슐 보안 페이로드(Encapsulating Security Payload : 이하 "ESP") 프로토콜을 포함한다. AH 프로토콜은 무결성과 데이터 소스 인증 및 재생 공격(Replay Attack)을 방지하기 위한 이중화를 지원한다. 여기서 재생공격이란 네트워크 상에서 침입자가 IPSec 패킷을 탈취하여 동일한 정보를 복사하고 UE 또는 네트워크 노드에 전달한함으로써 IPSec 처리 부담을 가중시켜 시스템을 다운시키려고 하는 공격을 말한다. AH 프로토콜은 침입자의 재생 공격을 방지하기 위한 다양한 방어책을 제공한다. 그리고 ESP 프로토콜은 데이터의 비밀성을 제공하는데, 암호화되어 있지만 인증되지 않은 데이터 스트림에 대한 공격을 막기 위해 상기 AH 프로토콜의 모든 기능을 포함한다.The IPSec includes an Authentication Header (AH) protocol and an Encapsulating Security Payload (ESP) protocol. The AH protocol supports integrity and redundancy to prevent data source authentication and replay attacks. Here, the replay attack refers to an attack in which an intruder attempts to bring down the system by increasing the burden of IPSec processing by taking an IPSec packet, copying the same information, and transmitting the same information to a UE or a network node. The AH protocol provides a variety of defenses against intruder replay attacks. The ESP protocol provides data confidentiality, which includes all the functionality of the AH protocol to prevent attacks on encrypted but unauthenticated data streams.
이하, 종래 UE와 P-CSCF간의 개별적인 보안 연결시, IPSec 이중화 처리를 이 용하여 가짜 또는 파괴성 데이터가 포함되어 있을 수 있는 재생 공격을 방지하지 위한 방식에 대하여 설명하기로 한다.Hereinafter, a method for preventing a replay attack that may include fake or destructive data by using IPSec duplication processing in a separate secure connection between the conventional UE and the P-CSCF will be described.
종래 UE 및 P-CSCF는 재생 공격을 방지하기 위해 IPSec를 처리하는 액티브 IPSec 처리부와, 액티브 IPSec 처리부가 작동되지 않는(Fail) 경우 IPSec를 처리하기 위한 백업 IPSec 처리부를 포함한다.Conventional UEs and P-CSCFs include an active IPSec processing unit for processing IPSec to prevent a replay attack, and a backup IPSec processing unit for processing IPSec when the active IPSec processing unit fails.
상기 백업 IPSec 처리부는 미리 IPSec 관련 상태백업(State Backup)을 수행하여, 액티브 IPSec 처리부가 작동되지 않는 경우 상기 미리 수행한 IPSec 관련 상태백업을 이용하여 액티브로 동작한다. 이때 액티브 IPSec 처리부에서는 UE와 P-CSCF간 IPSec 패킷 전달시 마다 동적 상태 정보(시퀀스 번호(Sequence Number : 이하 "SN"), 안티-재생 윈도우(이하 "윈도우") 정보 등)가 변경되므로, 장애(Failover)에 대응하기 위해 상기 변경된 동적 상태 정보가 지속적으로 백업 IPSec 처리부에 백업되어야 한다. 예를 들어 100만 가입자가 하나의 액티브 IPSec 처리부를 통하여 상태를 유지하고 있고 평균 4BHCA(시간당 호수, Busy Hour Call Attempts)의 호가 시도되는 경우, 초당 3만3천개의 메시지(100만 가입자 * 4 BHCA * 30 메시지 (호당 메시지) /3600 초 = 33,333메시지 / 초)가 발생된다. The backup IPSec processing unit performs IPSec-related state backup in advance, and when the active IPSec processing unit is not operated, the backup IPSec processing unit is active by using the previously performed IPSec-related state backup. At this time, the active IPSec processing unit changes the dynamic state information (sequence number (SN)), anti-playback window (hereinafter, "window") information every time the IPSec packet is transmitted between the UE and the P-CSCF. In order to cope with a failover, the changed dynamic state information should be continuously backed up to the backup IPSec processing unit. For example, if 1 million subscribers remain stateful through one active IPSec processing unit and an average of 4BHCA (Busy Hour Call Attempts) calls are attempted, 33,000 messages per million (1 million subscribers * 4 BHCA) * 30 messages (messages per call) / 3600 seconds = 33,333 messages / second) are generated.
그런데 이와 같은 매 메시지에 대해 동적 상태 정보를 백업하는 것은, 높은 빈도의 상태백업으로 인해 중앙처리장치 및 메모리와 같은 시스템 자원의 소모가 많아지며, 잦은 업데이트로 인한 지연이 발생되는 경우 오류 가능성이 높아진다는 문제점이 있었다.However, backing up dynamic state information for every such message can consume more system resources such as central processing unit and memory due to high frequency backups, and increase the probability of error if delays caused by frequent updates occur. Had a problem.
본 발명은 IPSec 이중화 처리시 동적 상태 정보의 업데이트를 수행하지 않고 이중화를 처리할 수 있는 보안 방법 및 장치를 제공한다.The present invention provides a security method and apparatus capable of processing redundancy without performing dynamic state information update during IPSec redundancy processing.
상기 본 발명에 따른 패킷 교환 도메인의 백업 상태인 제2 IPSec 처리부에서 수행되는 보안 방법은, 액티브 상태인 제1 인터넷 프로토콜 보안 프로토콜(Internet Protocol Security Protocol : 이하 "IPSec") 처리부의 장애 발생 여부를 판단하여 상기 장애가 발생한 경우, 백업 상태인 제2 IPSec 처리부를 액티브 상태로 천이한 후 장애 발생 횟수를 설정하는 과정과 상기 설정된 장애 발생 횟수에 미리 정해지는 소정 상수를 곱하여, 상기 제2 IPSec 처리부가 상기 액티브 상태로 전환한 후 최초로 사용하기 위한 시퀀스 번호를 생성하는 과정과 상기 제2 IPSec 처리부에서 상기 생성된 시퀀스 번호를 이용하여 헤더를 생성한 후, 상기 헤더를 포함하는 IPSec 패킷을 전송하는 과정을 포함한다. The security method performed by the second IPSec processing unit in the backup state of the packet switched domain according to the present invention may determine whether a failure of the first Internet Protocol Security Protocol (IPSec) processing unit in the active state occurs. When the failure occurs, the second IPSec processing unit transitions to the active state after setting the number of failure occurrences by multiplying a predetermined constant by the predetermined number of occurrences of the failure. Generating a sequence number for first use after switching to a state; generating a header by using the generated sequence number in the second IPSec processing unit, and then transmitting an IPSec packet including the header; .
또한 본 발명에 따른 패킷 교환 도메인의 보안 장치는 액티브 상태에서 시퀀스 번호를 이용하여 헤더를 생성한 후, 상기 헤더를 포함하는 인터넷 프로토콜 보안 프로토콜(Internet Protocol Security Protocol : 이하 "IPsec") 패킷을 전송하는 제1 IPSec 처리부와 백업 상태에서 상기 제1 IPSec 처리부의 장애 발생 여부를 판단하여 상기 장애가 발생한 경우, 상기 액티브 상태로 천이한 후 장애 발생 횟수를 설정하고, 상기 설정된 장애 발생 횟수에 미리 정해지는 소정 상수와 곱하여 최초로 사용하기 위한 시퀀스 번호를 생성하고, 상기 생성된 시퀀스 번호를 이용하여 상기 헤더를 생성한 후, 상기 헤더를 포함하는 상기 IPSec 패킷을 전송하는 제2 IPSec 처리부를 포함한다.In addition, the security apparatus of a packet switched domain according to the present invention generates a header using a sequence number in an active state, and then transmits an Internet Protocol Security Protocol (“IPsec”) packet including the header. In the backup state of the first IPSec processing unit and the backup state, the first IPSec processing unit determines whether or not the failure occurs, when the failure occurs, the number of failure occurrences after the transition to the active state, and a predetermined constant predetermined in advance to the set number of failures And a second IPSec processing unit for generating a sequence number for first use by multiplying with, generating the header using the generated sequence number, and then transmitting the IPSec packet including the header.
이하 첨부된 도면을 참조하여 본 발명의 바람직한 실시 예를 상세히 설명한다. 또한 본 발명을 설명함에 있어서, 관련된 공지기능 혹은 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단된 경우 그 상세한 설명은 생략한다. 그리고 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 이용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 한다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings. In describing the present invention, when it is determined that a detailed description of a related known function or configuration may unnecessarily obscure the subject matter of the present invention, the detailed description thereof will be omitted. Terms to be described later are terms defined in consideration of functions in the present invention, and may be changed according to intention or custom of a user or an operator. Therefore, the definition should be made based on the contents throughout the specification.
본 발명의 주요한 요지는 IPSec 이중화 처리시 동적 상태 정보를 업데이트하지 않고 이중화를 처리하는 것이다. 여기서 동적 상태 정보로는 SN과 안티-재생 윈도우(이하 "윈도우"라 칭함)가 있다.The main subject of the present invention is to handle redundancy without updating dynamic state information in IPSec redundancy processing. The dynamic state information includes an SN and an anti-playback window (hereinafter, referred to as a "window").
먼저, IPSec에서 재생 공격을 방지하기 위해 동적 상태 정보인 SN과 윈도우를 이용하여 UE 또는 네트워크 노드(예를 들어 P-CSCF)에서 IPSec 패킷을 수신하는 방식을 도 1을 참조하여 설명한다.First, a method of receiving an IPSec packet from a UE or a network node (for example, P-CSCF) using SN and a window, which is dynamic state information, in order to prevent a replay attack in IPSec, will be described with reference to FIG. 1.
도 1은 패킷 교환 도메인에서 SN 및 윈도우를 이용하여 IPSec 패킷을 수신하는 방식을 나타낸 도면이다. 도 1에서 수신장치는, UE가 IPSec 패킷을 전송하는 경우 P-CSCF이며, P-CSCF가 IPSec 패킷을 전송하는 경우 UE이다. 이에 따라 이하, 수신장치는 UE 혹은 P-CSCF가 되며, 전송장치는 P-CSCF 혹은 UE가 되는 것으로 설명할 것이다.1 is a diagram illustrating a method of receiving an IPSec packet using an SN and a window in a packet switched domain. In FIG. 1, the receiving apparatus is a P-CSCF when the UE transmits an IPSec packet, and a UE when the P-CSCF transmits an IPSec packet. Accordingly, hereinafter, the receiver will be described as a UE or a P-CSCF, and the transmitter will be a P-CSCF or a UE.
도 1에서 재생 공격을 방지하기 위한 윈도우(100)는 정상적으로 수신된 IPSec 패킷들의 SN들 중 가장 높은 SN과 고정된 윈도우 크기(W)로 정의된다. 상기 가장 높은 SN이 N인 경우 윈도우(100)는 [N-W+1] ~ [N]의 범위를 가진다. 상기 윈도우(100)는 고정된 윈도우 크기(W) 내에서 정상적으로 수신된 IPSec 패킷들과 미수신한 IPSec 패킷들을 각각 1과 0으로 나타내는 불 배열(Boolean Array)의 형태로 수신장치에서 관리된다. 수신장치는 상기 윈도우(100)를 설정한 후, 정상적으로 수신한 IPSec 패킷의 SN을 윈도우(100)의 불 배열 내에 표기함으로서, 정상 IPSec 패킷을 구별한다.In FIG. 1, a
수신한 IPSec 패킷의 SN이 윈도우(100)의 이전 패킷의 SN인 [N-W]보다 작거나 같은 경우 상기 수신한 IPSec 패킷은 폐기(Drop)된다. 수신한 IPSec 패킷의 SN이 윈도우(100) 내 즉, [N-W+1]부터 [N]일 경우 상기 수신한 IPSec 패킷의 SN은 불 배열에 표기된다. 이때 상기 수신한 IPSec 패킷의 SN이 이미 불 배열에 '1'로 표기되었을 경우 수신장치는 상기 수신한 IPSec 패킷이 재생 공격을 위한 것으로 판단하여 폐기한다. 그리고 수신장치는 수신한 IPSec 패킷의 SN이 [N+1]과 같거나 큰 경우, 상기 수신된 IPSec 패킷이 윈도우(100) 내에 포함될 수 있도록 윈도우(100)를 상기 수신한 IPSec 패킷의 SN까지 시프트(Shift)한다.If the SN of the received IPSec packet is less than or equal to [N-W] which is the SN of the previous packet of the
즉, 전송장치에서 SN을 생성하여 헤더를 생성한 후, 헤더가 포함된 IPSec 패킷을 수신장치에 전송하는 경우, 수신장치는 수신된 IPSec 패킷의 SN을 체크하여 이전에 수신한 기록이 있는지 판단한 후, 이전에 수신한 기록이 있는 경우 상기 수신한 IPSec 패킷들을 폐기함으로서 정상적인 패킷만을 수신한다.That is, after generating a header by generating a SN in the transmitting device and transmitting the IPSec packet including the header to the receiving device, the receiving device checks the SN of the received IPSec packet to determine whether there is a previously received record. If there is a record previously received, only the normal packet is received by discarding the received IPSec packets.
수신장치에서는 윈도우(100)에 포함되는 IPSec 패킷들에 대한 범위를 제한하고 있지 않으므로, 전송장치에서 SN 및 윈도우 정보를 이용하여 IPSec를 이중화 처리하여 IPSec 패킷을 안정적으로 전송할 수 있다.Since the receiving apparatus does not limit the range of the IPSec packets included in the
도 2는 본 발명의 실시 예에 따른 IPSec의 이중화 장치를 나타낸 블록도이다. 전송장치(210)는 제1 IPSec 처리부(211) 및 제2 IPSec 처리부(213)를 포함한다. 제1 IPSec 처리부(211)와 제2 IPSec 처리부(213) 중 하나의 IPSec 처리부는 패킷을 정상 전송할 수 있는 액티브 상태이며, 다른 하나의 IPSec 처리부는 액티브 상태인 IPSec 처리부에 장애가 발생하였을 경우 패킷을 전송하기 위해 준비하고 있는 백업 상태이다.2 is a block diagram illustrating an IPSec duplication apparatus according to an embodiment of the present invention. The
이하, 설명의 편의상 제1 IPSec 처리부(211)는 액티브 상태라 가정하고, 제2 IPSec 처리부(213)는 백업 상태라 가정하여 설명하기로 한다. 그리고 제2 IPSec 처리부(213)가 액티브 상태이고, 제1 IPSec 처리부(211)가 백업 상태인 경우는 각 IPSec 처리부에서 액티브 상태 및 백업 상태에 따라 동일한 동작을 수행하므로 상세한 설명을 생략하기로 한다.Hereinafter, for convenience of explanation, it is assumed that the first IPSec
상기 제1 IPSec 처리부(211)는 상기 제1 IPSec 처리부(211) 및 제2 IPSec 처리부(213)에서의 장애 발생 횟수에 따라 SN의 초기값을 생성한 후, 상기 생성된 SN의 초기값을 이용하여 헤더를 생성하고 상기 헤더를 포함하는 IPSec 패킷을 수신장치(250)에 전송한다. 이후 상기 최초의 SN으로부터 1씩 증가하는 SN을 가지는 IPSec 패킷들이 순차적으로 제1 IPSec 처리부(211)로부터 발생된다.The first
상기 제2 IPSec 처리부(213)는 상기 장애 발생 횟수를 설정한다. 상기 장애 발생 횟수는 상기 제1 IPSec 처리부(211) 및 상기 제2 IPSec 처리부(213)에서 발생된 장애의 전체 횟수로 설정된다.The second
그리고 제2 IPSec 처리부(213)는 액티브 상태인 제1 IPSec 처리부(211)에 장애가 발생하였는지를 판단한다. 일 예로서 제2 IPSec 처리부(213)는 소정의 요청 비트를 제1 IPSec 처리부(211)로 전송하고 상기 요청 비트에 대응하는 응답 비트가 수신되는지를 확인함으로써, 제1 IPSec 처리부(211)의 장애 발생 여부를 판단한다. 다른 실시예로서 제2 IPSec 처리부(213)는 제1 IPSec 처리부(211)의 상태를 감시하는 제어부(도시하지 않음)로부터 상기 제1 IPSec 처리부(211)의 장애에 대한 통보를 받는다.The second
상기 제2 IPSec 처리부(213)는 상기 제1 IPSec 처리부(211)의 장애 발생 여부 판단 결과에 따라 제1 IPSec 처리부(211)에 장애가 발생한 경우, 액티브 상태로 천이하여 동작한다. 상기 제2 IPSec 처리부(213)가 액티브 상태로 동작하는 경우 처음으로 전송할 IPsec 패킷을 위한 SN의 초기값을 생성한다. 이때 상기 SN의 초기값은 제1 IPSec 처리부(211)에서 전송 가능한 SN의 최대 값보다 큰 값으로 정해진다. 상기 SN의 초기값을 생성하는 방식은 아래에서 예를 들어 설명하기로 한다. The second
상기 제2 IPSec 처리부(211)는 상기 SN의 초기값을 이용하여 헤더를 생성한 후, 상기 헤더를 포함하는 IPSec 패킷을 수신장치(250)로 전송한다. 상기 IPSec 패킷을 전송받은 수신장치(250)는 상기 전송된 IPSec 패킷의 SN까지 윈도우를 시프트시킨 후, 상기 IPSec 패킷을 정상 수신한다. 이와 같이 윈도우를 시프트시킴으로써, 제2 IPSec 처리부(213)는 제1 IPSec 처리부(211)에서 최종적으로 전송한 SN을 알지 못하는 상태에서도, 이후 IPSec 패킷들이 수신장치(210)에 오류 없이 도달되도록 할 수 있다. 이후의 IPSec 패킷들은 상기 SN의 초기값으로부터 1씩 증가하는 SN들을 가지게 된다.The second
따라서 본 발명은 IPSec를 이중화 처리하여 침입자의 공격으로 인해 장애가 발생하여도 IPSec 자체의 암호화 및 무결성을 지속적으로 검사할 수 있다.Therefore, the present invention can continuously inspect the encryption and integrity of the IPSec itself even if a failure occurs due to an intruder attack by duplexing the IPSec.
이하, 도 3을 참고하여 상기 SN의 초기값을 생성하는 방식을 예를 들어 설명하기로 한다.Hereinafter, a method of generating the initial value of the SN will be described with reference to FIG. 3.
도 3은 도2의 제1 및 제2 IPSec 처리부에서 SN을 생성하여 윈도우에 적용하는 방식을 나타낸 도면이다.FIG. 3 is a diagram illustrating a method of generating and applying an SN to a window by the first and second IPSec processing units of FIG. 2.
먼저, T는 장애에 의해 IPSec 연결이 재설정되기 전까지 상기 IPSec 연결이 유지되는 최대 시간이며, X는 액티브 상태인 IPSec 처리부에 장애가 발생한 경우 이전 전송한 IPSec 패킷의 SN의 최대 값보다 큰 상수이며, X(n)은 전송장치(210)에서 n번의 장애가 발생한 경우 다음 전송하여야 할 IPSec 패킷의 SN이다. 그리고 Y는 IPSec 연결 단위로 수신 가능한 IPSec 패킷들의 최대 개수이며, Z는 윈도우의 최대 사용 가능한 SN이며, M은 최대 발생 가능한 장애의 횟수이다. 상기 파라미터들을 이용하여 [Y < X(1)*Z]가 되는 X(1)을 계산하고, [X(n)=X(1)*n] (n=T동안 발생한 장애의 횟수, n>=2) 및 [M=Z/X(1)]을 계산 할 수 있다.First, T is the maximum time that the IPSec connection is maintained until the IPSec connection is reset due to a failure, and X is a constant larger than the maximum value of the SN of the previously transmitted IPSec packet when a failure occurs in the active IPSec processing unit. (n) is the SN of the IPSec packet to be transmitted next when n failures have occurred in the
예를 들어 T=2hr이고, Y=300이라고 가정하는 경우, 먼저 X는 Y보다 크고 Z보다 작게 설정된다(Y < X < Z). 일 예로서 X=500으로 정의된다. 전송장치(210)에서 최초 장애가 발생하는 경우 상기 X를 X(1)로 지정하면 [X(1) > Y]이므로 [X(1)=500]으로 정의하며, [X(n)=500*n]으로 정의할 수 있다. 그리고 Z는 32 비트의 SN을 사용하는 경우 4G가 되므로 [M = 800] 전송장치(210)에서 최대 800만번까지의 장애를 구별할 수 있다. 이에 따라 전송장치(210)에서 장애 발생 시마다 새로 액티브 상태가 되는 IPSec 처리부에서 최초로 발생하는 IPSec 패킷의 SN을 500(=X)씩 증가시키면, 800만번의 장애까지 지원할 수 있다.For example, assuming that T = 2hr and Y = 300, first X is set larger than Y and smaller than Z (Y <X <Z). As an example, X = 500 is defined. When the first failure occurs in the
도 3에서 제1 IPSec 처리부(211)가 액티브 상태인 경우 제2 IPSec 처리부(213)는 제1 IPSec 처리부(211)에 장애가 발생하였는지 판단한다. 제1 IPSec 처리부(211)에서 시퀀스번호가 0 내지 25인 IPSec 패킷들을 전송한 후 첫 번째 장애(F1)가 발생한 경우, 제2 IPSec 처리부(213)는 액티브 상태가 되고 제1 IPSec(211)는 백업상태가 된다. 그러면 새로 액티브 상태가 된 제2 IPSec 처리부(213)는 상태 천이 후 최초로 발생한 IPSec 패킷의 SN을 500으로 설정하여 헤더를 생성한 후, 상기 헤더를 포함하는 IPSec 패킷을 수신장치(250)에 전송한다. In FIG. 3, when the first
그리고 제2 IPSec 처리부(213)가 액티브 상태인 경우 제2 IPSec 처리부(213)는 제1 IPSec 처리부(211)에 장애가 발생하였는지 판단한다. 제1 IPSec 처리부(211)에서 시퀀스번호가 500 내지 550인 IPSec 패킷들을 전송한 후 두 번째 장애(F2)가 발생한 경우, 제1 IPSec 처리부(211)는 액티브 상태가 되고 제2 IPSec(213)는 백업상태가 되며, 다시 액티브 상태가 된 제1 IPSec 처리부(211)는 상태 천이 후 최초로 발생한 IPSec 패킷의 SN을 1000(=F2*500)으로 설정하여 헤더를 생성한 후, 상기 헤더를 포함하는 IPSec 패킷을 수신장치(250)에 전송한다.When the second
상기와 같이 각 백업상태의 IPSec 처리부가 액티브 상태의 IPSec 처리부에 대한 동적 상태 정보를 지속적으로 감시하지 않으면서도, IPSec 처리부들 간에 상태 천이가 용이하게 수행된다.As described above, the state transition is easily performed between the IPSec processing units without continuously monitoring the dynamic state information of the active IPSec processing unit in each backup state.
도 4는 본 발명의 실시 예에 따른 IPSec의 이중화 방법을 나타낸 순서도이다. 여기서 제1 IPSec 처리부(211)는 액티브 상태이고, 제2 IPSec 처리부(213)는 백업 상태라 가정하여 설명하기로 한다.4 is a flowchart illustrating a duplexing method of IPSec according to an embodiment of the present invention. The first
도 4의 410 단계에서 제2 IPSec 처리부(213)는 이전 장애 발생 횟수를 1만큼 증가시켜 장애 발생 횟수를 설정한다. 430 단계에서 제2 IPSec 처리부(213)는 액티브 상태인 제1 IPSec 처리부(211)의 장애 발생 여부를 판단한다. 상기 403 단계에서 제1 IPSec 처리부(311)에 장애가 발생한 경우, 제2 IPSec 처리부(213)는 액티브 상태로 전환하기 위해 450 단계로 진행하고, 제1 IPSec 처리부(211)에 장애가 발생하지 않은 경우 430 단계로 복귀한다.In
상기 450 단계에서 제2 IPSec 처리부(213)는 액티브 상태로 천이한다. 470 단계에서 제2 IPSec 처리부(213)는 상기 설정된 장애 발생 횟수에 이전 전송 가능한 IPSec 패킷의 SN의 최대 값보다 크도록 미리 정해지는 상수를 곱하여, 상태 천이 후 최초로 사용할 SN을 생성한다. 그리고 490 단계에서 제2 IPSec 처리부(213)는 상기 생성된 SN을 이용하여 헤더를 생성 한 후, 상기 헤더를 포함하는 IPSec 패킷을 수신장치(250)에 전송한다.In
한편, 본 발명의 상세한 설명에서는 구체적인 실시 예에 관해 설명하였으나, 본 발명의 범위에서 벗어나지 않는 한도 내에서 여러 가지 변형이 가능함은 물론이다. 그러므로 본 발명의 범위는 설명된 실시 예에 국한되어 정해져서는 아니 되며 후술하는 특허청구의 범위뿐만 아니라 이 특허청구의 범위와 균등한 것들에 의해 정해져야 한다.Meanwhile, in the detailed description of the present invention, specific embodiments have been described, but various modifications may be made without departing from the scope of the present invention. Therefore, the scope of the present invention should not be limited to the described embodiments, but should be determined not only by the scope of the following claims, but also by the equivalents of the claims.
이상 설명한 바와 같이 본 발명은 패킷 교환 도메인에서 IPSec 이중화 처리 시 IPsec 처리부의 사용 자원을 줄이고, 동적 상태 정보의 잦은 업데이트로 인한 지연이 발생하지 않으면서 IPSec 처리부들 간의 상태 천이를 용이하게 처리할 수 있으므로, 상태 천이시의 오류 가능성을 줄일 수 있다.As described above, the present invention can reduce the resources used by the IPsec processing unit during the IPSec duplication processing in the packet switched domain, and can easily handle the state transition between the IPSec processing units without delay caused by frequent update of the dynamic state information. As a result, it is possible to reduce the possibility of error in the state transition.
Claims (6)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020070020978A KR20080080797A (en) | 2007-03-02 | 2007-03-02 | Method and apparatus for securiting in packet switched domain |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020070020978A KR20080080797A (en) | 2007-03-02 | 2007-03-02 | Method and apparatus for securiting in packet switched domain |
Publications (1)
Publication Number | Publication Date |
---|---|
KR20080080797A true KR20080080797A (en) | 2008-09-05 |
Family
ID=40020903
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020070020978A KR20080080797A (en) | 2007-03-02 | 2007-03-02 | Method and apparatus for securiting in packet switched domain |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR20080080797A (en) |
-
2007
- 2007-03-02 KR KR1020070020978A patent/KR20080080797A/en not_active Application Discontinuation
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10158584B2 (en) | Remote fault tolerance for managing alternative networks for high quality of service communications | |
US9374313B2 (en) | System and method to prevent endpoint device recovery flood in NGN | |
US9900291B2 (en) | Methods and apparatus for synchronizing decryption state with remote encryption state | |
US20070041327A1 (en) | Multicast heartbeat signaling | |
US8374079B2 (en) | Proxy server, communication system, communication method and program | |
US20080074994A1 (en) | Method for detecting radio link failure in wireless communications system and related apparatus | |
US20160080033A1 (en) | Physical unidirectional communication apparatus and method | |
US20110258682A1 (en) | Method, apparatus, and system for processing session context | |
US10469530B2 (en) | Communications methods, systems and apparatus for protecting against denial of service attacks | |
EP3262806B1 (en) | P-cscf recovery and reregistration | |
EP2733907B1 (en) | Method, local gateway, and system for local voice survivability | |
CN105813228B (en) | Communication means and relevant apparatus based on SIP over TCP/TLS | |
US8223630B2 (en) | System for monitoring operations of an ENUM system | |
US9049012B2 (en) | Secured cryptographic communication system | |
JP2007267151A (en) | Apparatus, method and program for detecting abnormal traffic | |
JP4645839B2 (en) | Security communication apparatus and sequence number management method | |
EP2815549B1 (en) | Method and apparatus for improved handling of ims node blacklisting | |
KR20080080797A (en) | Method and apparatus for securiting in packet switched domain | |
CN103795878A (en) | Protection method, device and system for voice-over-internet-protocol service | |
US20210352058A1 (en) | Connecting and resetting devices | |
EP2333997A1 (en) | Method of dispersity transmitting a piece of information | |
WO2007124645A1 (en) | A method system and communicating apparatus for realizing the management of sip signaling network | |
KR101151306B1 (en) | Method and switching apparatus to treat against suspected packet | |
WO2017107012A1 (en) | Communication device reset method and communication device | |
KR20130116402A (en) | Method and apparatus for processing traffic in internet protocol multimedia subsystem network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
WITN | Withdrawal due to no request for examination |