KR20080080797A - Method and apparatus for securiting in packet switched domain - Google Patents

Method and apparatus for securiting in packet switched domain Download PDF

Info

Publication number
KR20080080797A
KR20080080797A KR1020070020978A KR20070020978A KR20080080797A KR 20080080797 A KR20080080797 A KR 20080080797A KR 1020070020978 A KR1020070020978 A KR 1020070020978A KR 20070020978 A KR20070020978 A KR 20070020978A KR 20080080797 A KR20080080797 A KR 20080080797A
Authority
KR
South Korea
Prior art keywords
ipsec
processing unit
ipsec processing
packet
header
Prior art date
Application number
KR1020070020978A
Other languages
Korean (ko)
Inventor
이준서
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Priority to KR1020070020978A priority Critical patent/KR20080080797A/en
Publication of KR20080080797A publication Critical patent/KR20080080797A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0485Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/55Prevention, detection or correction of errors
    • H04L49/552Prevention, detection or correction of errors by ensuring the integrity of packets received through redundant connections

Abstract

A security method and an apparatus of a packet switched domain are provided to reduce the possibility of an error in a state transition between IPSec(Internet Protocol Security Protocol) processing units by easily processing the state transition without generating a delay due to frequent updating of dynamic state information. A second IPSec processing unit sets an error occurrence number(410). The second IPSec processing unit determines whether or not the first IPSec processing unit in an active state has an error(430). If the first IPSec processing unit has an error, the second IPSec processing unit transitions to an active state(450). The second IPSec processing unit generates an SN to be first used after state transition by multiplying a predetermined constant to be larger than an SN of a previously transmittable IPSec packet to the pre-set error occurrence number(470). The second IPSec processing unit generates a header by using the generated SN, and transmits an IPSec packet including the header to an IPSec packet receiving device(490).

Description

패킷 교환 도메인의 보안 방법 및 장치{METHOD AND APPARATUS FOR SECURITING IN PACKET SWITCHED DOMAIN}METHOD AND APPARATUS FOR SECURITING IN PACKET SWITCHED DOMAIN}

도 1은 패킷 교환 도메인에서 SN 및 윈도우를 이용하여 IPSec 패킷을 수신하는 방식을 나타낸 도면,1 is a diagram illustrating a method of receiving an IPSec packet using an SN and a window in a packet switched domain;

도 2는 본 발명의 실시 예에 따른 IPSec의 이중화 장치를 나타낸 블록도,2 is a block diagram showing an IPSec duplication apparatus according to an embodiment of the present invention;

도 3은 도 2의 제1 및 제2 IPSec 처리부에서 SN을 생성하여 윈도우에 적용하는 방식을 나타낸 도면,3 is a diagram illustrating a method of generating and applying an SN to a window by the first and second IPSec processing units of FIG. 2;

도 4는 본 발명의 실시 예에 따른 IPSec의 이중화 방법을 나타낸 순서도.4 is a flowchart illustrating a duplication method of IPSec according to an embodiment of the present invention.

본 발명은 패킷 교환 도메인에서 보안방법 및 장치에 관한 것으로, 특히 패킷 교환 도메인에서 재생공격(reply attack)을 방지하기 위해 인터넷 프로토콜 보안 프로토콜(Internet Protocol Security Protocol : 이하 "IPsec")을 이용한 보안방법 및 장치에 관한 것이다.The present invention relates to a security method and apparatus in a packet switched domain, and more particularly, to a security method using an Internet Protocol Security Protocol ("IPsec") to prevent a reply attack in a packet switched domain. Relates to a device.

패킷 교환 도메인에서는 멀티미디어 서비스를 제공하기 위해, 프록시 호 세 션 제어 기능부(Proxy - Call Session Control Function : 이하 "P-CSCF")과 같은 네트워크 노드와 다수의 사용자 장비(User Equipment : 이하 "UE")간에 보안 연결(Security Connection)이 설정된다. 일반적으로 인터넷 프로토콜 멀티미디어 서브시스템(Internet Multimedia Subsystem : 이하 "IMS")은 패킷 교환 도메인에 대해 오버레이(Overlay)로 구성되며, 패킷 교환 도메인에 대한 낮은 종속성을 지닌다. 결과적으로 멀티미디어 서비스를 액세스하기 전에 UE와 P-CSCF간의 개별적인 보안 연결이 요구된다.In the packet switched domain, a network node such as a proxy-call session control function ("P-CSCF") and a plurality of user equipments ("UE") are provided to provide multimedia services. The security connection is established between them. In general, the Internet Multimedia Subsystem (“IMS”) is configured as an overlay to the packet switched domain and has a low dependency on the packet switched domain. As a result, a separate secure connection between the UE and the P-CSCF is required before accessing the multimedia service.

상기 요구되는 보안 연결에 따라 네트워크나 네트워크 통신의 패킷 처리 계층에서 IPSec를 사용하여 UE와 네트워크 노드간의 보안을 구현할 수 있다.Security between the UE and the network node may be implemented using IPSec at the packet processing layer of the network or network communication according to the required secure connection.

상기 IPSec는 인증 헤더(Authentication Header : 이하 "AH") 프로토콜과 캡슐 보안 페이로드(Encapsulating Security Payload : 이하 "ESP") 프로토콜을 포함한다. AH 프로토콜은 무결성과 데이터 소스 인증 및 재생 공격(Replay Attack)을 방지하기 위한 이중화를 지원한다. 여기서 재생공격이란 네트워크 상에서 침입자가 IPSec 패킷을 탈취하여 동일한 정보를 복사하고 UE 또는 네트워크 노드에 전달한함으로써 IPSec 처리 부담을 가중시켜 시스템을 다운시키려고 하는 공격을 말한다. AH 프로토콜은 침입자의 재생 공격을 방지하기 위한 다양한 방어책을 제공한다. 그리고 ESP 프로토콜은 데이터의 비밀성을 제공하는데, 암호화되어 있지만 인증되지 않은 데이터 스트림에 대한 공격을 막기 위해 상기 AH 프로토콜의 모든 기능을 포함한다.The IPSec includes an Authentication Header (AH) protocol and an Encapsulating Security Payload (ESP) protocol. The AH protocol supports integrity and redundancy to prevent data source authentication and replay attacks. Here, the replay attack refers to an attack in which an intruder attempts to bring down the system by increasing the burden of IPSec processing by taking an IPSec packet, copying the same information, and transmitting the same information to a UE or a network node. The AH protocol provides a variety of defenses against intruder replay attacks. The ESP protocol provides data confidentiality, which includes all the functionality of the AH protocol to prevent attacks on encrypted but unauthenticated data streams.

이하, 종래 UE와 P-CSCF간의 개별적인 보안 연결시, IPSec 이중화 처리를 이 용하여 가짜 또는 파괴성 데이터가 포함되어 있을 수 있는 재생 공격을 방지하지 위한 방식에 대하여 설명하기로 한다.Hereinafter, a method for preventing a replay attack that may include fake or destructive data by using IPSec duplication processing in a separate secure connection between the conventional UE and the P-CSCF will be described.

종래 UE 및 P-CSCF는 재생 공격을 방지하기 위해 IPSec를 처리하는 액티브 IPSec 처리부와, 액티브 IPSec 처리부가 작동되지 않는(Fail) 경우 IPSec를 처리하기 위한 백업 IPSec 처리부를 포함한다.Conventional UEs and P-CSCFs include an active IPSec processing unit for processing IPSec to prevent a replay attack, and a backup IPSec processing unit for processing IPSec when the active IPSec processing unit fails.

상기 백업 IPSec 처리부는 미리 IPSec 관련 상태백업(State Backup)을 수행하여, 액티브 IPSec 처리부가 작동되지 않는 경우 상기 미리 수행한 IPSec 관련 상태백업을 이용하여 액티브로 동작한다. 이때 액티브 IPSec 처리부에서는 UE와 P-CSCF간 IPSec 패킷 전달시 마다 동적 상태 정보(시퀀스 번호(Sequence Number : 이하 "SN"), 안티-재생 윈도우(이하 "윈도우") 정보 등)가 변경되므로, 장애(Failover)에 대응하기 위해 상기 변경된 동적 상태 정보가 지속적으로 백업 IPSec 처리부에 백업되어야 한다. 예를 들어 100만 가입자가 하나의 액티브 IPSec 처리부를 통하여 상태를 유지하고 있고 평균 4BHCA(시간당 호수, Busy Hour Call Attempts)의 호가 시도되는 경우, 초당 3만3천개의 메시지(100만 가입자 * 4 BHCA * 30 메시지 (호당 메시지) /3600 초 = 33,333메시지 / 초)가 발생된다. The backup IPSec processing unit performs IPSec-related state backup in advance, and when the active IPSec processing unit is not operated, the backup IPSec processing unit is active by using the previously performed IPSec-related state backup. At this time, the active IPSec processing unit changes the dynamic state information (sequence number (SN)), anti-playback window (hereinafter, "window") information every time the IPSec packet is transmitted between the UE and the P-CSCF. In order to cope with a failover, the changed dynamic state information should be continuously backed up to the backup IPSec processing unit. For example, if 1 million subscribers remain stateful through one active IPSec processing unit and an average of 4BHCA (Busy Hour Call Attempts) calls are attempted, 33,000 messages per million (1 million subscribers * 4 BHCA) * 30 messages (messages per call) / 3600 seconds = 33,333 messages / second) are generated.

그런데 이와 같은 매 메시지에 대해 동적 상태 정보를 백업하는 것은, 높은 빈도의 상태백업으로 인해 중앙처리장치 및 메모리와 같은 시스템 자원의 소모가 많아지며, 잦은 업데이트로 인한 지연이 발생되는 경우 오류 가능성이 높아진다는 문제점이 있었다.However, backing up dynamic state information for every such message can consume more system resources such as central processing unit and memory due to high frequency backups, and increase the probability of error if delays caused by frequent updates occur. Had a problem.

본 발명은 IPSec 이중화 처리시 동적 상태 정보의 업데이트를 수행하지 않고 이중화를 처리할 수 있는 보안 방법 및 장치를 제공한다.The present invention provides a security method and apparatus capable of processing redundancy without performing dynamic state information update during IPSec redundancy processing.

상기 본 발명에 따른 패킷 교환 도메인의 백업 상태인 제2 IPSec 처리부에서 수행되는 보안 방법은, 액티브 상태인 제1 인터넷 프로토콜 보안 프로토콜(Internet Protocol Security Protocol : 이하 "IPSec") 처리부의 장애 발생 여부를 판단하여 상기 장애가 발생한 경우, 백업 상태인 제2 IPSec 처리부를 액티브 상태로 천이한 후 장애 발생 횟수를 설정하는 과정과 상기 설정된 장애 발생 횟수에 미리 정해지는 소정 상수를 곱하여, 상기 제2 IPSec 처리부가 상기 액티브 상태로 전환한 후 최초로 사용하기 위한 시퀀스 번호를 생성하는 과정과 상기 제2 IPSec 처리부에서 상기 생성된 시퀀스 번호를 이용하여 헤더를 생성한 후, 상기 헤더를 포함하는 IPSec 패킷을 전송하는 과정을 포함한다. The security method performed by the second IPSec processing unit in the backup state of the packet switched domain according to the present invention may determine whether a failure of the first Internet Protocol Security Protocol (IPSec) processing unit in the active state occurs. When the failure occurs, the second IPSec processing unit transitions to the active state after setting the number of failure occurrences by multiplying a predetermined constant by the predetermined number of occurrences of the failure. Generating a sequence number for first use after switching to a state; generating a header by using the generated sequence number in the second IPSec processing unit, and then transmitting an IPSec packet including the header; .

또한 본 발명에 따른 패킷 교환 도메인의 보안 장치는 액티브 상태에서 시퀀스 번호를 이용하여 헤더를 생성한 후, 상기 헤더를 포함하는 인터넷 프로토콜 보안 프로토콜(Internet Protocol Security Protocol : 이하 "IPsec") 패킷을 전송하는 제1 IPSec 처리부와 백업 상태에서 상기 제1 IPSec 처리부의 장애 발생 여부를 판단하여 상기 장애가 발생한 경우, 상기 액티브 상태로 천이한 후 장애 발생 횟수를 설정하고, 상기 설정된 장애 발생 횟수에 미리 정해지는 소정 상수와 곱하여 최초로 사용하기 위한 시퀀스 번호를 생성하고, 상기 생성된 시퀀스 번호를 이용하여 상기 헤더를 생성한 후, 상기 헤더를 포함하는 상기 IPSec 패킷을 전송하는 제2 IPSec 처리부를 포함한다.In addition, the security apparatus of a packet switched domain according to the present invention generates a header using a sequence number in an active state, and then transmits an Internet Protocol Security Protocol (“IPsec”) packet including the header. In the backup state of the first IPSec processing unit and the backup state, the first IPSec processing unit determines whether or not the failure occurs, when the failure occurs, the number of failure occurrences after the transition to the active state, and a predetermined constant predetermined in advance to the set number of failures And a second IPSec processing unit for generating a sequence number for first use by multiplying with, generating the header using the generated sequence number, and then transmitting the IPSec packet including the header.

이하 첨부된 도면을 참조하여 본 발명의 바람직한 실시 예를 상세히 설명한다. 또한 본 발명을 설명함에 있어서, 관련된 공지기능 혹은 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단된 경우 그 상세한 설명은 생략한다. 그리고 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 이용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 한다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings. In describing the present invention, when it is determined that a detailed description of a related known function or configuration may unnecessarily obscure the subject matter of the present invention, the detailed description thereof will be omitted. Terms to be described later are terms defined in consideration of functions in the present invention, and may be changed according to intention or custom of a user or an operator. Therefore, the definition should be made based on the contents throughout the specification.

본 발명의 주요한 요지는 IPSec 이중화 처리시 동적 상태 정보를 업데이트하지 않고 이중화를 처리하는 것이다. 여기서 동적 상태 정보로는 SN과 안티-재생 윈도우(이하 "윈도우"라 칭함)가 있다.The main subject of the present invention is to handle redundancy without updating dynamic state information in IPSec redundancy processing. The dynamic state information includes an SN and an anti-playback window (hereinafter, referred to as a "window").

먼저, IPSec에서 재생 공격을 방지하기 위해 동적 상태 정보인 SN과 윈도우를 이용하여 UE 또는 네트워크 노드(예를 들어 P-CSCF)에서 IPSec 패킷을 수신하는 방식을 도 1을 참조하여 설명한다.First, a method of receiving an IPSec packet from a UE or a network node (for example, P-CSCF) using SN and a window, which is dynamic state information, in order to prevent a replay attack in IPSec, will be described with reference to FIG. 1.

도 1은 패킷 교환 도메인에서 SN 및 윈도우를 이용하여 IPSec 패킷을 수신하는 방식을 나타낸 도면이다. 도 1에서 수신장치는, UE가 IPSec 패킷을 전송하는 경우 P-CSCF이며, P-CSCF가 IPSec 패킷을 전송하는 경우 UE이다. 이에 따라 이하, 수신장치는 UE 혹은 P-CSCF가 되며, 전송장치는 P-CSCF 혹은 UE가 되는 것으로 설명할 것이다.1 is a diagram illustrating a method of receiving an IPSec packet using an SN and a window in a packet switched domain. In FIG. 1, the receiving apparatus is a P-CSCF when the UE transmits an IPSec packet, and a UE when the P-CSCF transmits an IPSec packet. Accordingly, hereinafter, the receiver will be described as a UE or a P-CSCF, and the transmitter will be a P-CSCF or a UE.

도 1에서 재생 공격을 방지하기 위한 윈도우(100)는 정상적으로 수신된 IPSec 패킷들의 SN들 중 가장 높은 SN과 고정된 윈도우 크기(W)로 정의된다. 상기 가장 높은 SN이 N인 경우 윈도우(100)는 [N-W+1] ~ [N]의 범위를 가진다. 상기 윈도우(100)는 고정된 윈도우 크기(W) 내에서 정상적으로 수신된 IPSec 패킷들과 미수신한 IPSec 패킷들을 각각 1과 0으로 나타내는 불 배열(Boolean Array)의 형태로 수신장치에서 관리된다. 수신장치는 상기 윈도우(100)를 설정한 후, 정상적으로 수신한 IPSec 패킷의 SN을 윈도우(100)의 불 배열 내에 표기함으로서, 정상 IPSec 패킷을 구별한다.In FIG. 1, a window 100 for preventing a replay attack is defined as the highest SN and a fixed window size W among SNs of normally received IPSec packets. If the highest SN is N, the window 100 has a range of [N-W + 1] to [N]. The window 100 is managed by the receiving apparatus in the form of a Boolean array representing 1s and 0s of normally received IPSec packets and unreceived IPSec packets within a fixed window size (W). After setting the window 100, the receiving apparatus distinguishes the normal IPSec packet by marking the SN of the normally received IPSec packet within the disposition of the window 100.

수신한 IPSec 패킷의 SN이 윈도우(100)의 이전 패킷의 SN인 [N-W]보다 작거나 같은 경우 상기 수신한 IPSec 패킷은 폐기(Drop)된다. 수신한 IPSec 패킷의 SN이 윈도우(100) 내 즉, [N-W+1]부터 [N]일 경우 상기 수신한 IPSec 패킷의 SN은 불 배열에 표기된다. 이때 상기 수신한 IPSec 패킷의 SN이 이미 불 배열에 '1'로 표기되었을 경우 수신장치는 상기 수신한 IPSec 패킷이 재생 공격을 위한 것으로 판단하여 폐기한다. 그리고 수신장치는 수신한 IPSec 패킷의 SN이 [N+1]과 같거나 큰 경우, 상기 수신된 IPSec 패킷이 윈도우(100) 내에 포함될 수 있도록 윈도우(100)를 상기 수신한 IPSec 패킷의 SN까지 시프트(Shift)한다.If the SN of the received IPSec packet is less than or equal to [N-W] which is the SN of the previous packet of the window 100, the received IPSec packet is dropped. When the SN of the received IPSec packet is in the window 100, that is, from [N-W + 1] to [N], the SN of the received IPSec packet is indicated in a Boolean array. At this time, if the SN of the received IPSec packet is already marked as '1' in the array, the receiver determines that the received IPSec packet is for a replay attack and discards it. If the SN of the received IPSec packet is equal to or larger than [N + 1], the receiving apparatus shifts the window 100 to the SN of the received IPSec packet so that the received IPSec packet can be included in the window 100. (Shift)

즉, 전송장치에서 SN을 생성하여 헤더를 생성한 후, 헤더가 포함된 IPSec 패킷을 수신장치에 전송하는 경우, 수신장치는 수신된 IPSec 패킷의 SN을 체크하여 이전에 수신한 기록이 있는지 판단한 후, 이전에 수신한 기록이 있는 경우 상기 수신한 IPSec 패킷들을 폐기함으로서 정상적인 패킷만을 수신한다.That is, after generating a header by generating a SN in the transmitting device and transmitting the IPSec packet including the header to the receiving device, the receiving device checks the SN of the received IPSec packet to determine whether there is a previously received record. If there is a record previously received, only the normal packet is received by discarding the received IPSec packets.

수신장치에서는 윈도우(100)에 포함되는 IPSec 패킷들에 대한 범위를 제한하고 있지 않으므로, 전송장치에서 SN 및 윈도우 정보를 이용하여 IPSec를 이중화 처리하여 IPSec 패킷을 안정적으로 전송할 수 있다.Since the receiving apparatus does not limit the range of the IPSec packets included in the window 100, the transmitting apparatus can stably transmit the IPSec packets by duplexing the IPSec using the SN and the window information.

도 2는 본 발명의 실시 예에 따른 IPSec의 이중화 장치를 나타낸 블록도이다. 전송장치(210)는 제1 IPSec 처리부(211) 및 제2 IPSec 처리부(213)를 포함한다. 제1 IPSec 처리부(211)와 제2 IPSec 처리부(213) 중 하나의 IPSec 처리부는 패킷을 정상 전송할 수 있는 액티브 상태이며, 다른 하나의 IPSec 처리부는 액티브 상태인 IPSec 처리부에 장애가 발생하였을 경우 패킷을 전송하기 위해 준비하고 있는 백업 상태이다.2 is a block diagram illustrating an IPSec duplication apparatus according to an embodiment of the present invention. The transmitter 210 includes a first IPSec processor 211 and a second IPSec processor 213. One of the first IPSec processing unit 211 and the second IPSec processing unit 213 is an active state capable of normally transmitting a packet, and the other IPSec processing unit transmits a packet when a failure occurs in the active IPSec processing unit. The backup state is being prepared for.

이하, 설명의 편의상 제1 IPSec 처리부(211)는 액티브 상태라 가정하고, 제2 IPSec 처리부(213)는 백업 상태라 가정하여 설명하기로 한다. 그리고 제2 IPSec 처리부(213)가 액티브 상태이고, 제1 IPSec 처리부(211)가 백업 상태인 경우는 각 IPSec 처리부에서 액티브 상태 및 백업 상태에 따라 동일한 동작을 수행하므로 상세한 설명을 생략하기로 한다.Hereinafter, for convenience of explanation, it is assumed that the first IPSec processing unit 211 is in an active state, and the second IPSec processing unit 213 is assumed to be in a backup state. When the second IPSec processing unit 213 is in an active state and the first IPSec processing unit 211 is in a backup state, detailed descriptions thereof will be omitted since the same operation is performed in each of the IPSec processing units according to the active state and the backup state.

상기 제1 IPSec 처리부(211)는 상기 제1 IPSec 처리부(211) 및 제2 IPSec 처리부(213)에서의 장애 발생 횟수에 따라 SN의 초기값을 생성한 후, 상기 생성된 SN의 초기값을 이용하여 헤더를 생성하고 상기 헤더를 포함하는 IPSec 패킷을 수신장치(250)에 전송한다. 이후 상기 최초의 SN으로부터 1씩 증가하는 SN을 가지는 IPSec 패킷들이 순차적으로 제1 IPSec 처리부(211)로부터 발생된다.The first IPSec processing unit 211 generates an initial value of SN according to the number of occurrences of failures in the first IPSec processing unit 211 and the second IPSec processing unit 213, and then uses the initial value of the generated SN. Generates a header and transmits the IPSec packet including the header to the receiver 250. Thereafter, IPSec packets having SNs increased by one from the first SN are sequentially generated from the first IPSec processing unit 211.

상기 제2 IPSec 처리부(213)는 상기 장애 발생 횟수를 설정한다. 상기 장애 발생 횟수는 상기 제1 IPSec 처리부(211) 및 상기 제2 IPSec 처리부(213)에서 발생된 장애의 전체 횟수로 설정된다.The second IPSec processing unit 213 sets the frequency of occurrence of the failure. The number of occurrences of the failure is set to the total number of failures generated by the first IPSec processing unit 211 and the second IPSec processing unit 213.

그리고 제2 IPSec 처리부(213)는 액티브 상태인 제1 IPSec 처리부(211)에 장애가 발생하였는지를 판단한다. 일 예로서 제2 IPSec 처리부(213)는 소정의 요청 비트를 제1 IPSec 처리부(211)로 전송하고 상기 요청 비트에 대응하는 응답 비트가 수신되는지를 확인함으로써, 제1 IPSec 처리부(211)의 장애 발생 여부를 판단한다. 다른 실시예로서 제2 IPSec 처리부(213)는 제1 IPSec 처리부(211)의 상태를 감시하는 제어부(도시하지 않음)로부터 상기 제1 IPSec 처리부(211)의 장애에 대한 통보를 받는다.The second IPSec processing unit 213 determines whether a failure occurs in the first IPSec processing unit 211 in an active state. As an example, the second IPSec processing unit 213 may transmit a predetermined request bit to the first IPSec processing unit 211 and check whether a response bit corresponding to the request bit is received, thereby causing a failure of the first IPSec processing unit 211. Determine whether or not it occurred. In another embodiment, the second IPSec processing unit 213 receives a notification of a failure of the first IPSec processing unit 211 from a controller (not shown) that monitors the state of the first IPSec processing unit 211.

상기 제2 IPSec 처리부(213)는 상기 제1 IPSec 처리부(211)의 장애 발생 여부 판단 결과에 따라 제1 IPSec 처리부(211)에 장애가 발생한 경우, 액티브 상태로 천이하여 동작한다. 상기 제2 IPSec 처리부(213)가 액티브 상태로 동작하는 경우 처음으로 전송할 IPsec 패킷을 위한 SN의 초기값을 생성한다. 이때 상기 SN의 초기값은 제1 IPSec 처리부(211)에서 전송 가능한 SN의 최대 값보다 큰 값으로 정해진다. 상기 SN의 초기값을 생성하는 방식은 아래에서 예를 들어 설명하기로 한다. The second IPSec processing unit 213 transitions to an active state when a failure occurs in the first IPSec processing unit 211 according to a determination result of the failure of the first IPSec processing unit 211. When the second IPSec processing unit 213 operates in an active state, it generates an initial value of SN for an IPsec packet to be transmitted for the first time. At this time, the initial value of the SN is set to a value larger than the maximum value of the SN transmittable by the first IPSec processing unit 211. A method of generating the initial value of SN will be described below with an example.

상기 제2 IPSec 처리부(211)는 상기 SN의 초기값을 이용하여 헤더를 생성한 후, 상기 헤더를 포함하는 IPSec 패킷을 수신장치(250)로 전송한다. 상기 IPSec 패킷을 전송받은 수신장치(250)는 상기 전송된 IPSec 패킷의 SN까지 윈도우를 시프트시킨 후, 상기 IPSec 패킷을 정상 수신한다. 이와 같이 윈도우를 시프트시킴으로써, 제2 IPSec 처리부(213)는 제1 IPSec 처리부(211)에서 최종적으로 전송한 SN을 알지 못하는 상태에서도, 이후 IPSec 패킷들이 수신장치(210)에 오류 없이 도달되도록 할 수 있다. 이후의 IPSec 패킷들은 상기 SN의 초기값으로부터 1씩 증가하는 SN들을 가지게 된다.The second IPSec processing unit 211 generates a header using the initial value of the SN, and then transmits an IPSec packet including the header to the receiving device 250. The receiving device 250 receiving the IPSec packet shifts the window to the SN of the transmitted IPSec packet, and then normally receives the IPSec packet. By shifting the window as described above, the second IPSec processing unit 213 may allow the IPSec packets to reach the receiving device 210 without error even after not knowing the SN finally transmitted by the first IPSec processing unit 211. have. Subsequent IPSec packets have SNs that increment by one from the initial value of the SN.

따라서 본 발명은 IPSec를 이중화 처리하여 침입자의 공격으로 인해 장애가 발생하여도 IPSec 자체의 암호화 및 무결성을 지속적으로 검사할 수 있다.Therefore, the present invention can continuously inspect the encryption and integrity of the IPSec itself even if a failure occurs due to an intruder attack by duplexing the IPSec.

이하, 도 3을 참고하여 상기 SN의 초기값을 생성하는 방식을 예를 들어 설명하기로 한다.Hereinafter, a method of generating the initial value of the SN will be described with reference to FIG. 3.

도 3은 도2의 제1 및 제2 IPSec 처리부에서 SN을 생성하여 윈도우에 적용하는 방식을 나타낸 도면이다.FIG. 3 is a diagram illustrating a method of generating and applying an SN to a window by the first and second IPSec processing units of FIG. 2.

먼저, T는 장애에 의해 IPSec 연결이 재설정되기 전까지 상기 IPSec 연결이 유지되는 최대 시간이며, X는 액티브 상태인 IPSec 처리부에 장애가 발생한 경우 이전 전송한 IPSec 패킷의 SN의 최대 값보다 큰 상수이며, X(n)은 전송장치(210)에서 n번의 장애가 발생한 경우 다음 전송하여야 할 IPSec 패킷의 SN이다. 그리고 Y는 IPSec 연결 단위로 수신 가능한 IPSec 패킷들의 최대 개수이며, Z는 윈도우의 최대 사용 가능한 SN이며, M은 최대 발생 가능한 장애의 횟수이다. 상기 파라미터들을 이용하여 [Y < X(1)*Z]가 되는 X(1)을 계산하고, [X(n)=X(1)*n] (n=T동안 발생한 장애의 횟수, n>=2) 및 [M=Z/X(1)]을 계산 할 수 있다.First, T is the maximum time that the IPSec connection is maintained until the IPSec connection is reset due to a failure, and X is a constant larger than the maximum value of the SN of the previously transmitted IPSec packet when a failure occurs in the active IPSec processing unit. (n) is the SN of the IPSec packet to be transmitted next when n failures have occurred in the transmitter 210. And Y is the maximum number of IPSec packets that can be received in the IPSec connection unit, Z is the maximum available SN of the window, M is the maximum number of possible failures. Using these parameters, calculate X (1) such that [Y <X (1) * Z], and [X (n) = X (1) * n] (n = number of failures occurring during T = n> = 2) and [M = Z / X (1)].

예를 들어 T=2hr이고, Y=300이라고 가정하는 경우, 먼저 X는 Y보다 크고 Z보다 작게 설정된다(Y < X < Z). 일 예로서 X=500으로 정의된다. 전송장치(210)에서 최초 장애가 발생하는 경우 상기 X를 X(1)로 지정하면 [X(1) > Y]이므로 [X(1)=500]으로 정의하며, [X(n)=500*n]으로 정의할 수 있다. 그리고 Z는 32 비트의 SN을 사용하는 경우 4G가 되므로 [M = 800] 전송장치(210)에서 최대 800만번까지의 장애를 구별할 수 있다. 이에 따라 전송장치(210)에서 장애 발생 시마다 새로 액티브 상태가 되는 IPSec 처리부에서 최초로 발생하는 IPSec 패킷의 SN을 500(=X)씩 증가시키면, 800만번의 장애까지 지원할 수 있다.For example, assuming that T = 2hr and Y = 300, first X is set larger than Y and smaller than Z (Y <X <Z). As an example, X = 500 is defined. When the first failure occurs in the transmitter 210, if X is designated as X (1), it is defined as [X (1) = Y], so [X (1) = 500] and [X (n) = 500 * n]. And since Z becomes 4G when using a 32-bit SN, [M = 800] can distinguish up to 8 million failures in the transmitter 210. Accordingly, when the transmission device 210 increases the SN of the first IPSec packet generated by the IPSec processing unit, which is newly activated each time, by 500 (= X), up to 8 million failures can be supported.

도 3에서 제1 IPSec 처리부(211)가 액티브 상태인 경우 제2 IPSec 처리부(213)는 제1 IPSec 처리부(211)에 장애가 발생하였는지 판단한다. 제1 IPSec 처리부(211)에서 시퀀스번호가 0 내지 25인 IPSec 패킷들을 전송한 후 첫 번째 장애(F1)가 발생한 경우, 제2 IPSec 처리부(213)는 액티브 상태가 되고 제1 IPSec(211)는 백업상태가 된다. 그러면 새로 액티브 상태가 된 제2 IPSec 처리부(213)는 상태 천이 후 최초로 발생한 IPSec 패킷의 SN을 500으로 설정하여 헤더를 생성한 후, 상기 헤더를 포함하는 IPSec 패킷을 수신장치(250)에 전송한다. In FIG. 3, when the first IPSec processing unit 211 is in an active state, the second IPSec processing unit 213 determines whether a failure occurs in the first IPSec processing unit 211. When the first failure F1 occurs after transmitting the IPSec packets having sequence numbers 0 to 25 in the first IPSec processing unit 211, the second IPSec processing unit 213 becomes an active state and the first IPSec 211 is activated. It will be in backup state. Then, the newly activated second IPSec processing unit 213 generates a header by setting the SN of the first IPSec packet generated after the state transition to 500, and then transmits the IPSec packet including the header to the receiver 250. .

그리고 제2 IPSec 처리부(213)가 액티브 상태인 경우 제2 IPSec 처리부(213)는 제1 IPSec 처리부(211)에 장애가 발생하였는지 판단한다. 제1 IPSec 처리부(211)에서 시퀀스번호가 500 내지 550인 IPSec 패킷들을 전송한 후 두 번째 장애(F2)가 발생한 경우, 제1 IPSec 처리부(211)는 액티브 상태가 되고 제2 IPSec(213)는 백업상태가 되며, 다시 액티브 상태가 된 제1 IPSec 처리부(211)는 상태 천이 후 최초로 발생한 IPSec 패킷의 SN을 1000(=F2*500)으로 설정하여 헤더를 생성한 후, 상기 헤더를 포함하는 IPSec 패킷을 수신장치(250)에 전송한다.When the second IPSec processing unit 213 is in an active state, the second IPSec processing unit 213 determines whether a failure occurs in the first IPSec processing unit 211. When a second failure (F2) occurs after transmitting the IPSec packets having sequence numbers 500 to 550 in the first IPSec processing unit 211, the first IPSec processing unit 211 becomes an active state and the second IPSec 213 is activated. The first IPSec processing unit 211, which becomes a backup state and becomes active again, sets the SN of the first IPSec packet generated after the state transition to 1000 (= F2 * 500), generates a header, and then includes the IPSec including the header. The packet is transmitted to the receiver 250.

상기와 같이 각 백업상태의 IPSec 처리부가 액티브 상태의 IPSec 처리부에 대한 동적 상태 정보를 지속적으로 감시하지 않으면서도, IPSec 처리부들 간에 상태 천이가 용이하게 수행된다.As described above, the state transition is easily performed between the IPSec processing units without continuously monitoring the dynamic state information of the active IPSec processing unit in each backup state.

도 4는 본 발명의 실시 예에 따른 IPSec의 이중화 방법을 나타낸 순서도이다. 여기서 제1 IPSec 처리부(211)는 액티브 상태이고, 제2 IPSec 처리부(213)는 백업 상태라 가정하여 설명하기로 한다.4 is a flowchart illustrating a duplexing method of IPSec according to an embodiment of the present invention. The first IPSec processing unit 211 is an active state, and the second IPSec processing unit 213 is assumed to be a backup state.

도 4의 410 단계에서 제2 IPSec 처리부(213)는 이전 장애 발생 횟수를 1만큼 증가시켜 장애 발생 횟수를 설정한다. 430 단계에서 제2 IPSec 처리부(213)는 액티브 상태인 제1 IPSec 처리부(211)의 장애 발생 여부를 판단한다. 상기 403 단계에서 제1 IPSec 처리부(311)에 장애가 발생한 경우, 제2 IPSec 처리부(213)는 액티브 상태로 전환하기 위해 450 단계로 진행하고, 제1 IPSec 처리부(211)에 장애가 발생하지 않은 경우 430 단계로 복귀한다.In step 410 of FIG. 4, the second IPSec processing unit 213 sets the number of failures by increasing the number of previous failures by one. In operation 430, the second IPSec processing unit 213 determines whether a failure of the first IPSec processing unit 211 in an active state occurs. If a failure occurs in the first IPSec processing unit 311 in step 403, the second IPSec processing unit 213 proceeds to step 450 to switch to the active state, and if the failure occurs in the first IPSec processing unit 211 430 Return to step

상기 450 단계에서 제2 IPSec 처리부(213)는 액티브 상태로 천이한다. 470 단계에서 제2 IPSec 처리부(213)는 상기 설정된 장애 발생 횟수에 이전 전송 가능한 IPSec 패킷의 SN의 최대 값보다 크도록 미리 정해지는 상수를 곱하여, 상태 천이 후 최초로 사용할 SN을 생성한다. 그리고 490 단계에서 제2 IPSec 처리부(213)는 상기 생성된 SN을 이용하여 헤더를 생성 한 후, 상기 헤더를 포함하는 IPSec 패킷을 수신장치(250)에 전송한다.In step 450, the second IPSec processing unit 213 transitions to the active state. In step 470, the second IPSec processing unit 213 multiplies the set number of occurrences of the failure by a predetermined constant that is greater than a maximum value of the SN of the previously transmittable IPSec packet to generate an SN to be used first after the state transition. In operation 490, the second IPSec processing unit 213 generates a header using the generated SN, and then transmits an IPSec packet including the header to the receiver 250.

한편, 본 발명의 상세한 설명에서는 구체적인 실시 예에 관해 설명하였으나, 본 발명의 범위에서 벗어나지 않는 한도 내에서 여러 가지 변형이 가능함은 물론이다. 그러므로 본 발명의 범위는 설명된 실시 예에 국한되어 정해져서는 아니 되며 후술하는 특허청구의 범위뿐만 아니라 이 특허청구의 범위와 균등한 것들에 의해 정해져야 한다.Meanwhile, in the detailed description of the present invention, specific embodiments have been described, but various modifications may be made without departing from the scope of the present invention. Therefore, the scope of the present invention should not be limited to the described embodiments, but should be determined not only by the scope of the following claims, but also by the equivalents of the claims.

이상 설명한 바와 같이 본 발명은 패킷 교환 도메인에서 IPSec 이중화 처리 시 IPsec 처리부의 사용 자원을 줄이고, 동적 상태 정보의 잦은 업데이트로 인한 지연이 발생하지 않으면서 IPSec 처리부들 간의 상태 천이를 용이하게 처리할 수 있으므로, 상태 천이시의 오류 가능성을 줄일 수 있다.As described above, the present invention can reduce the resources used by the IPsec processing unit during the IPSec duplication processing in the packet switched domain, and can easily handle the state transition between the IPSec processing units without delay caused by frequent update of the dynamic state information. As a result, it is possible to reduce the possibility of error in the state transition.

Claims (6)

패킷 교환 도메인의 보안 방법에 있어서,In the security method of a packet switched domain, 액티브 상태인 제1 인터넷 프로토콜 보안 프로토콜(IPsec) 처리부의 장애 발생 여부를 판단하여 상기 장애가 발생한 경우, 백업 상태인 제2 IPSec 처리부를 액티브 상태로 천이한 후 장애 발생 횟수를 설정하는 과정;Determining whether a failure occurs in the active IPsec processing unit in an active state, and when the failure occurs, transitioning the second IPSec processing unit in a backup state to an active state and setting the number of failures; 상기 설정된 장애 발생 횟수에 미리 정해지는 소정 상수를 곱하여, 상기 제2 IPSec 처리부가 상기 액티브 상태로 전환한 후 최초로 사용하기 위한 시퀀스 번호를 생성하는 과정; 및Generating a sequence number for first use after the second IPSec processing unit switches to the active state by multiplying the set number of failures by a predetermined constant; And 상기 제2 IPSec 처리부에서 상기 생성된 시퀀스 번호를 이용하여 헤더를 생성한 후, 상기 헤더를 포함하는 IPSec 패킷을 전송하는 과정을 포함하는 보안 방법.And generating, by the second IPSec processing unit, a header using the generated sequence number, and then transmitting an IPSec packet including the header. 제 1 항에 있어서, The method of claim 1, 상기 상수는,The constant is 상기 제1 IPSec 처리부에서 소정 시간 동안 전송 가능한 IPSec 패킷의 시퀀스 번호의 최대 값보다 크도록 정해지는 보안 방법.The first IPSec processing unit is a security method that is determined to be greater than the maximum value of the sequence number of the IPSec packet that can be transmitted for a predetermined time. 제 2 항에 있어서, The method of claim 2, 상기 소정 시간은,The predetermined time is, 상기 제1 IPSec 처리부에서 IPSec 연결이 유지되는 최대 시간으로 정해지는 보안 방법.The security method is determined by the maximum time that the IPSec connection is maintained by the first IPSec processing unit. 패킷 교환 도메인의 보안 장치에 있어서,In the security device of a packet switched domain, 액티브 상태에서 시퀀스 번호를 이용하여 헤더를 생성한 후, 상기 헤더를 포함하는 인터넷 프로토콜 보안 프로토콜(IPsec) 패킷을 전송하는 제1 IPSec 처리부; 및A first IPSec processor for generating a header using a sequence number in an active state and transmitting an Internet Protocol Security Protocol (IPsec) packet including the header; And 백업 상태에서 상기 제1 IPSec 처리부의 장애 발생 여부를 판단하여 상기 장애가 발생한 경우, 상기 액티브 상태로 천이한 후 장애 발생 횟수를 설정하고, 상기 설정된 장애 발생 횟수에 미리 정해지는 소정 상수와 곱하여 최초로 사용하기 위한 시퀀스 번호를 생성하고, 상기 생성된 시퀀스 번호를 이용하여 상기 헤더를 생성한 후, 상기 헤더를 포함하는 상기 IPSec 패킷을 전송하는 제2 IPSec 처리부를 포함하는 보안 장치. In the backup state, it is determined whether a failure occurs in the first IPSec processing unit, and when the failure occurs, the number of failure occurrences is set after transitioning to the active state, and multiplied by a predetermined constant predetermined for the first occurrence of failure. And a second IPSec processing unit for generating a sequence number for generating the header, and generating the header using the generated sequence number and transmitting the IPSec packet including the header. 제 4 항에 있어서,The method of claim 4, wherein 상기 제2 IPSec 처리부에서In the second IPSec processing unit 상기 상수는,The constant is 상기 제1 IPSec 처리부에서 소정 시간 동안 전송 가능한 상기 IPSec 패킷의 시퀀스 번호의 최대 값보다 크도록 정해지는 보안 장치.The security device is determined to be greater than the maximum value of the sequence number of the IPSec packet that can be transmitted for a predetermined time in the first IPSec processing unit. 제 5 항에 있어서,The method of claim 5, wherein 상기 소정 시간은,The predetermined time is, 상기 제1 IPSec 처리부에서 IPSec 연결이 유지되는 최대 시간으로 정해지는 보안 장치.The security device is determined as the maximum time that the IPSec connection is maintained by the first IPSec processing unit.
KR1020070020978A 2007-03-02 2007-03-02 Method and apparatus for securiting in packet switched domain KR20080080797A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020070020978A KR20080080797A (en) 2007-03-02 2007-03-02 Method and apparatus for securiting in packet switched domain

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070020978A KR20080080797A (en) 2007-03-02 2007-03-02 Method and apparatus for securiting in packet switched domain

Publications (1)

Publication Number Publication Date
KR20080080797A true KR20080080797A (en) 2008-09-05

Family

ID=40020903

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070020978A KR20080080797A (en) 2007-03-02 2007-03-02 Method and apparatus for securiting in packet switched domain

Country Status (1)

Country Link
KR (1) KR20080080797A (en)

Similar Documents

Publication Publication Date Title
US10158584B2 (en) Remote fault tolerance for managing alternative networks for high quality of service communications
US9374313B2 (en) System and method to prevent endpoint device recovery flood in NGN
US9900291B2 (en) Methods and apparatus for synchronizing decryption state with remote encryption state
US20070041327A1 (en) Multicast heartbeat signaling
US8374079B2 (en) Proxy server, communication system, communication method and program
US20080074994A1 (en) Method for detecting radio link failure in wireless communications system and related apparatus
US20160080033A1 (en) Physical unidirectional communication apparatus and method
US20110258682A1 (en) Method, apparatus, and system for processing session context
US10469530B2 (en) Communications methods, systems and apparatus for protecting against denial of service attacks
EP3262806B1 (en) P-cscf recovery and reregistration
EP2733907B1 (en) Method, local gateway, and system for local voice survivability
CN105813228B (en) Communication means and relevant apparatus based on SIP over TCP/TLS
US8223630B2 (en) System for monitoring operations of an ENUM system
US9049012B2 (en) Secured cryptographic communication system
JP2007267151A (en) Apparatus, method and program for detecting abnormal traffic
JP4645839B2 (en) Security communication apparatus and sequence number management method
EP2815549B1 (en) Method and apparatus for improved handling of ims node blacklisting
KR20080080797A (en) Method and apparatus for securiting in packet switched domain
CN103795878A (en) Protection method, device and system for voice-over-internet-protocol service
US20210352058A1 (en) Connecting and resetting devices
EP2333997A1 (en) Method of dispersity transmitting a piece of information
WO2007124645A1 (en) A method system and communicating apparatus for realizing the management of sip signaling network
KR101151306B1 (en) Method and switching apparatus to treat against suspected packet
WO2017107012A1 (en) Communication device reset method and communication device
KR20130116402A (en) Method and apparatus for processing traffic in internet protocol multimedia subsystem network

Legal Events

Date Code Title Description
WITN Withdrawal due to no request for examination