KR20090038467A - 통신 네트워크에서 터널 데이터 패킷 각 레벨의 에러를 보고하는 장치 및 방법 - Google Patents

통신 네트워크에서 터널 데이터 패킷 각 레벨의 에러를 보고하는 장치 및 방법 Download PDF

Info

Publication number
KR20090038467A
KR20090038467A KR1020097003782A KR20097003782A KR20090038467A KR 20090038467 A KR20090038467 A KR 20090038467A KR 1020097003782 A KR1020097003782 A KR 1020097003782A KR 20097003782 A KR20097003782 A KR 20097003782A KR 20090038467 A KR20090038467 A KR 20090038467A
Authority
KR
South Korea
Prior art keywords
error
packet
level
terminal device
types
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
KR1020097003782A
Other languages
English (en)
Other versions
KR101342423B1 (ko
Inventor
칭산 장
송위 마
런씽 얀
하이보 웬
판시앙 빈
Original Assignee
알까뗄 루슨트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 알까뗄 루슨트 filed Critical 알까뗄 루슨트
Publication of KR20090038467A publication Critical patent/KR20090038467A/ko
Application granted granted Critical
Publication of KR101342423B1 publication Critical patent/KR101342423B1/ko
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 통신 네트워크에서 IPSec(Internet Protocols Security) 프로토콜 패밀리에 기초하여 데이터 패킷의 에러들을 보고하고 대응하여 분석하기 위한 방법 및 단말 인터페이스 장비들을 제공한다. 구체적으로, ICMP(Internet Control Message Protocol) 보안 실패 메시지 내의 예약(reserved) 필드는 실패 터널 데이터 패킷의 제 2 레벨 에러 유형을 나타내기 위해 사용된다. 본 발명에 의해 제공된 기술적 해결법의 사용으로, 원천지 단말 인터페이스 장비에 데이터 패킷에 존재하는 에러의 정확한 위치 그리고 실패 터널 데이터 패킷의 에러 유형에 대한 상세한 보고를 실현할 수 있다.
원격통신 네트워크, IPSec 프로토콜 패밀리, 보안 단말 디바이스, 터널 패킷, 전송층, ICMP 보안 실패 메시지

Description

통신 네트워크에서 터널 데이터 패킷 각 레벨의 에러를 보고하는 장치 및 방법{AN APPARATUS AND A METHOD FOR REPORTING THE ERROR OF EACH LEVEL OF THE TUNNEL DATA PACKET IN A COMMUNICATION NETWORK}
본 발명은 원격통신 네트워크에 관한 것이며, 특히, 원격통신 네트워크, 특히 IP 네트워크에서, IPSec(Internet Protocols Security) 프로토콜 패밀리에 기초하여 패킷들의 에러들을 보고하고 파싱(parsing)하는 단말 디바이스들(termination devices) 및 방법에 관한 것이다.
IPSec 프로토콜 패밀리는 IP층에서 광범위하게 사용되는 네트워크 보안 액세스 프로토콜들의 세트이다. IKE(Internet Key Exchange) 프로토콜을 사용함으로써, IPSec 프로토콜은 협상을 통한 특정 보안 통신을 위해 두 개의 단말 디바이스들 사이에서 전용 보안 통신 터널을 확립한다. 그 후에, 상기 특정 보안 통신에 속하는 IP 패킷들은 터널의 끝에서 두 개의 단말 디바이스들 사이에 전송된다. 간결하게, 보안 통신 터널을 통한 통신을 위해서 IPSec 프로토콜에 기초한 IP 패킷은, 달리 명시되지 않는 한, 터널 패킷으로서 지칭될 것이다.
특히, 원천지(source) 통신 터널이 확립된 후에, 특정 통신에 속하는 IP 패킷을 전달하기 전에, 보안 단말 디바이스, 즉 IP 패킷의 원천지 어드레스의 대응하 는 호스트(host)가 대응하는 단말 디바이스는:
1. 터널 패킷의 원천지 어드레스 및 목적지(destination) 어드레스와 같은 관련 정보에 따라, IP 패킷이 특정 보안 통신, 즉 IPSec 프로토콜 패밀리에 기초한 보안 통신에 속하는 지를 판정해야 한다.
2. IP 패킷이 특정 보안 통신에 속하면, 특정 보안 통신에 대응하는 암호화 알고리즘(encryption algorithm) 및 암호화 키를 포함하는 SA(Security Association)를 사용함으로써 IP 패킷에 대해 암호화, 인캡슐레이션(encapsulation) 등을 수행해야 한다. 이어서, IP 패킷은 터널 패킷이 된다.
3. 터널 패킷은 상기 특정 보안 통신에 대응하는 보안 통신 터널을 통해 인터넷에 연결되고, 목적지 단말 디바이스, 즉 IP 패킷의 원천지 어드레스의 대응하는 호스트가 속하는 단말 디바이스에 도착한다.
터널 패킷의 수신 후에, 목적지 단말 디바이스는, 대응하는 SA에 따라, 패킷에 대해 해독 등을 수행하고, 패킷의 목적지 어드레스에 대응하여 호스트에 해독된 패킷을 전달한다.
실제로, 터널 패킷은 핵 어택(hack attack), 시스템 자체의 에러, 암호 및 해독 알고리즘 불일치 등과 같은 이유들로 에러들을 가질 수 있다. 에러들은 아래와 같이 6가지 범주들에 속할 것이다.
(1) 잘못된 SPI(security policy indication);
(2) 검증(verification) 실패
(3) 디캡슐레이션(decapsulation) 실패
(4) 해독(decryption) 실패
(5) 검증 필요
(6) 인증(authorization) 필요
에러들을 진단하고 제거하는데 편리하도록, 목적지 단말 디바이스가 터널 패킷에서 에러(들)를 발견할 때, 원천지 단말 디바이스에 대응하는 에러(들)를 보고하는 것이 필요하다. 에러 보고에 따라, 원천지 단말 디바이스는 그것이 전달하는 패킷에서 에러들을 인식하고, 그것들을 제거하도록 시도할 수 있다.
종래 기술에서, 터널 패킷의 에러들은 ICMP(Internet Control Message Protocol) 보안 실패 메시지를 통해 원천지 단말 디바이스에 목적지 단말 디바이스에 의해 보고된다. 하지만, 기존의 ICMP 보안 실패 메시지는 많은 단점들을 갖는데, 즉 원천지 단말 디바이스에 보고된 에러 유형의 입도(granularity)는 IPSec 프로토콜 패밀리에 의해 제공되는 보안 액세스 입도를 넘을 정도로 크다(아주 세부화되지는 않음). 그래서, 터널 패킷이 에러들을 접하게 되면, 기존의 에러 보고 방식들에 기초하여, 목적지 단말 디바이스가 ICMP 보안 실패 메시지를 전달한 후에, 원천지 단말 디바이스는 터널 패킷의 개략적 에러 유형만을 알 수 있고, 정확하게 에러를 확인하는 것은 불가능하다.
그러므로, 사람들은, 목적지 단말 디바이스가 정확하게 터널 패킷의 에러들을 보고하게 하여, 보다 정확하고 편리하게 원천지 단말 디바이스가 에러를 확인하고 진단하도록 하는, 최적화된 에러 보고 해결법을 필요로 한다.
본 발명은 종래 기술에서의 상술한 문제점들을 해소하도록 제안된다. IPSec 프로토콜 패밀리에 의해 제공되는 네트워크 보안 액세스의 최소 입도에 따라, 기존의 6 종류들의 대략적 에러들이 추가로 나눠진다. 그리고, 나눠진 에러는 그것의 부모 에러(parent error)와 함께 원천지 단말 디바이스에 보고된다.
본 발명의 제 1 양태에 따라, 원격통신 네트워크의 단말 디바이스(예컨대, 터널 서버)에서, IPSec 프로토콜 패밀리에 기초하여 패킷의 에러들을 보고하는 방법이 제공되고, 상기 방법은 원천지 단말 디바이스로부터 패킷을 수신하는 단계; 패킷이 에러를 갖는 지를 판정하는 단계; 패킷이 에러를 가지고 있으면, 패킷 내 에러의 각 레벨로 에러 유형들을 표시하는 에러 표시 메시지를 생성하는 단계; 상기 원천지 단말 디바이스에 에러 표시 메시지를 전달하는 단계를 포함한다. 각각의 레벨에서의 상기 에러 유형들은 제 1 레벨에서의 에러 유형들 및 제 2 레벨에서의 에러 유형들을 포함하고, 여기에서, 제 2 에러 레벨에서의 에러 유형들은 제 1 에러 레벨에서의 각 에러 유형의 하나 이상의 서브-에러-유형(sub-error-type)을 포함한다.
본 발명의 제 2 양태에 따라, IPSec 프로토콜 패밀리에 기초하여 패킷의 에러들을 보고하기 위한 원격통신 네트워크의 단말 디바이스가 제공되고, 상기 단말 디바이스는 인터넷을 통해 원천지 단말 디바이스에 의해 전달된 패킷을 수신하는 수신 수단; 패킷이 에러를 갖는 지를 판정하는 판정 수단; 패킷이 에러를 가지고 있으면, 패킷 내 에러의 각 레벨로 에러 유형들을 표시하는 에러 표시 메시지를 생성하는 생성 수단; 상기 원천지 단말 디바이스에 에러 표시 메시지를 전달하기 위한 전달 수단을 포함한다. 각각의 레벨에서의 상기 에러 유형들은 제 1 레벨에서의 에러 유형들 및 제 2 레벨에서의 에러 유형들을 포함하고, 여기에서, 제 2 에러 레벨에서의 에러 유형들은 제 1 에러 레벨에서의 각 에러 유형의 하나 이상의 서브-에러-유형을 포함한다.
본 발명의 제 3 양태에 따라, 원격통신 네트워크의 단말 디바이스(즉, 터널 서버)에서, IPSec 프로토콜 패밀리에 기초하여 에러 표시 메시지를 파싱하기 위한 방법이 제공되고, 상기 방법은 이 단말 디바이스에 의해 원격 단말 디바이스에 전달된 패킷 내 에러의 각 레벨로 에러 유형들을 표시하는 에러 표시 메시지를 수신하는 단계; 에러 표시 메시지로부터 상기 패킷 내 에러의 각 레벨로 에러 유형들을 추출하기 위해 분석하는 단계를 포함한다.
본 발명의 제 4 양태에 따라, IPSec 프로토콜 패밀리에 기초하여 에러 표시 메시지를 파싱하기 위한 원격통신 네트워크의 단말 디바이스가 제공되고, 상기 단말 디바이스는 이 단말 디바이스에 의해 상기 원격 단말 디바이스에 전달된 패킷 내 각 에러 레벨로 에러 유형들을 표시하는 에러 표시 메시지를 수신하는 수신 수단; 에러 표시 메시지로부터 상기 패킷 내 에러의 각 레벨로 에러 유형들을 추출하기 위해 분석하는 분석 수단을 포함한다.
본 발명에 의해 제공되는 단말 디바이스들 및 대응하는 방법들로, 상세히 터널 패킷의 에러를 보고하는 것이 가능해진다. 그래서, 원천지 단말 디바이스는 에러를 진단하고 제거하기 위해서, 터널 패킷의 에러 유형들을 확인할 수 있다.
본 발명의 다른 특징들 및 이점들은 첨부된 도면들을 참조하여, 비제한적인예시적인 실시예들의 이하 설명에서 나타난다.
도 1은 보안 통신 터널을 통해 보안 통신을 위한 IPSec 프로토콜 패밀리에 기초하여 네트워크의 구조를 도시하는 도면.
도 2는 RFC2521 표준으로 정의된 ICMP 보안 실패 메시지의 포맷을 도시하는 도면.
도 3은 본 발명의 한 실시예에 따른, 원격통신 네트워크의 단말 디바이스에서, IPSec 프로토콜 패밀리에 기초하여 패킷의 에러들을 보고하기 위한 방법의 흐름도.
도 4는 본 발명의 한 실시예에 따른, IPSec 프로토콜 패밀리에 기초하여 패킷의 에러들을 보고하기 위한 원격통신 네트워크 내 터널 서버의 블록도.
도 5는 본 발명의 한 실시예에 따른, 터널 패킷의 에러를 구체적으로 보고하기 위한 ICMP 보안 실패 메시지의 포맷을 도시하는 도면.
도 6은 본 발명의 한 실시예에 따른, 원격통신 네트워크의 단말 디바이스에서, IPSec 프로토콜 패밀리에 기초하여 에러 표시 메시지를 파싱하기 위한 방법의 흐름도.
도 7은 본 발명의 한 실시예에 따른, IPSec 프로토콜 패밀리에 기초하여 에러 표시 메시지를 파싱하기 위한 원격통신 네트워크의 터널 서버의 블록도.
본 발명에 따라, 단말 디바이스들과 호스트들 사이에는 두 종류의 관계가 존 재한다.
경우Ⅰ. 단말 디바이스들은 호스트들로부터 분리되고, 터널 서버들로서 보안 통신 터널들의 두 끝들(ends)에서 작동한다. 이 때에, 터널 서버는 도 1에 도시된 바와 같이, 하나 이상의 호스트들의 보안 통신을 제어할 수 있다.
경우 II. 단말 디바이스들은 보안 통신 제어 수단으로서 동작하는 호스트들로 통합된다.
이 경우, 단말 디바이스들은 주로, 그것이 속하는 호스트의 보안 통신을 책임진다. 필요에 따라, 단말 디바이스는 호스트에 의해 네트워크 카드에 전달된 IP 패킷들 및 네트워크 카드에 의해 수신된 IP 패킷들, 특히 터널 패킷들에 대한 관련된 처리를 수행한다.
도 1은 보안 통신 터널을 통한 보안 통신을 위해 IPSec 프로토콜 패밀리에 기초한 네트워크의 구조를 도시한다. 상기 네트워크는 상술한 경우Ⅰ에서 단말 디바이스들에 대응하는 터널 서버들(1,2), 및 이들 두 개의 터널 서버들의 제어하의 복수의 호스트들을 포함하고, 그것들 중 호스트(a,b)만이 간략히 도 1에 도시된다. 호스트들(a,b)은 도 1에 도시된 두 개의 터널 서버들 사이의 보안 통신 터널을 통해, 인터넷에서 IPSec 프로토콜 패밀리에 기초하여 특정한 보안 통신을 수행한다.
일단 호스트들(a,b) 사이의 특정한 보안 통신을 위한 보안 통신 터널이 확립되면, 호스트들(a,b)은 보안 통신을 시작할 수 있다.
- 호스트(a)는 호스트(b)에 IP 패킷을 전달한다. 명백히, 이 패킷은 특정한 보안 통신에 속하고, IPSec 프로토콜 패밀리에 기초하여 처리될 필요가 있고, 이어 서, 터널 패킷으로서 인터넷에 연결된다.
- 호스트(a)에 의해 전달된 IP 패킷은 도 1에서 도시된 터널 서버(1)에 도달한다. IP 패킷의 "목적지 어드레스-원천지 어드레스"에 따라, 터널 서버(1)는 패킷이 호스트(a)와 호스트(b) 사이의 특정한 보안 통신에 속한다고 결정할 수 있다. 그러므로, 터널 서버(1)는 대응하는 SA에 기초하여 패킷에 대해 암호화, 인캡슐레이션 등과 같은 처리들을 수행한다. 이어서, IP 패킷은 보안으로 인터넷에 연결될 수 있는 터널 패킷이 된다. 이 터널 패킷에 대해, 터널 서버(1)는 원천지 단말 디바이스이다.
- 목적지 호스트, 즉 호스트(b)가 터널 서버(2)의 제어 하에 있으므로, 터널 패킷은 호스트(a)와 호스트(b) 사이의 특정 보안 통신에 속하는 터널 서버(1 및 2) 사이의 보안 통신 터널을 통해 터널 서버(2)에 도달한다. 이 터널 패킷을 위해, 터널 서버(2)는 목적지 단말 디바이스이다.
- 본 발명에 의해 제공된 기술적인 해결법에 기초하여, 터널 서버(2)가 터널 서버(1)로부터 상기 터널 패킷을 수신한 후에, 그것은 패킷이 에러를 갖는 지를 판정하고, 에러 표시 메시지, 예컨대 ICMP 보안 실패 메시지로 패킷 내 에러를 상기 보안 통신 터널을 통해 터널 서버(1)에 구체적으로 보고한다.
상술한 경우Ⅱ에서 단말 디바이스에 대해, 도 1에 도시된 터널 서버(1)와 터널 서버(2)가 호스트들의 보안 통신을 제어하도록 각각 호스트(a)와 호스트(b)에 위치된다는 것을 쉽게 이해할 수 있다. IPSec에 기초한 보안 통신이 필요한 다른 호스트들은 또한 그들 자신의 단말 디바이스들을 갖도록 구성될 것이다. 여기서, 패킷에 수행된 프로세스는 경우 I의 것과 동일하여 더 상세히 기재할 필요가 없다. 간략성을 위해, 이하의 설명은 경우Ⅰ에 주로 초점을 맞춘다.
종래 기술과는 달리, 본 발명에 의해 제공되는 터널 패킷 내 에러를 보고하는 방법은 기존의 ICMP 보안 실패 메시지를 다소 개선한다. 도 2는 IPSec 프로토콜 패밀리에 기초하여 터널 패킷 내 에러를 보고하기 위한 RFC2521 표준으로 정의된 ICMP 보안 실패 메시지의 포맷을 도시한다.
상기 도면으로부터, 기존의 ICMP 보안 실패 메시지가 아래와 같은 6개의 필드들을 구성한다는 것을 볼 수 있다.
- 메시지가 ICMP 보안 실패 메시지인 것을 나타내는, 그 값으로서 40을 취하는 유형.
- 터널 패킷의 에러 유형을 나타내는 코드. 앞에서 언급한 바와 같이, 기존의 ICMP 보안 실패 메시지는 단지 에러 보고를 위한 코드 필드만을 사용하고, 그 에러들은 잘 나눠지지 않고, 에러 유형의 입도는 매우 크다. 여기에서, 코드 필드에 의해 취해진 값들 및 대응하는 에러 유형들(즉, 제 1 레벨에서의 에러 유형들)은 다음과 같다: 0: 잘못된 SPI(security policy indication); 1: 검증 실패; 2: 디캡슐레이션 실패; 3: 해독 실패; 4: 검증 필요; 5: 인증 필요. 명백히, 원천지 단말 디바이스로부터의 기존 ICMP 보안 메시지가 목적지 단말 디바이스에 도착할 때, 원천지 단말 디바이스는 위의 6개 유형들로 설명된 정도까지만 터널 패킷 내의 에러를 확인할 수 있다.
- 검사 합계(checksum), ICMP 보안 실패 메시지의 검사 합계
- 예약(reserved), 기존의 CIMP 보안 실패 메시지에서, 이 필드는 '0'으로 설정된다.
- 포인터(pointer), SPI의 ICMP 보안 실패 메시지에 대응하는 터널 패킷의 IP 헤더에서의 오프셋 위치. SPI가 존재하지 않으면, 이 필드는 '0'으로 설정되어야 한다.
- ICMP 보안 실패 메시지에 대응하는 터널 패킷의 IP 헤더 및 제 1의 64 비트 페이로드(payload)
터널 패킷의 에러 표시 메시지로서 상술한 ICMP 보안 실패 메시지를 사용함으로써, 터널 패킷 내 에러의 보고 입도(report granularity)는 제한되고, 원천지 단말 디바이스는 에러의 정확한 유형을 정확히 확인할 수 없다. 그리고, 이것은 사람들이 상기 문제점을 해소하는데 바람직하지 않다.
도 3은, 본 발명의 한 실시예에 따라, 원격통신 네트워크의 단말 디바이스에서, IPSec 프로토콜 패밀리에 기초하여 패킷의 에러들을 보고하는 방법의 흐름도이다. 상기 방법에 대해 도 1 및 도 5와 함께 도 3을 참조하여 이하에서 설명된다. 여기에서, 도 5는 본 발명의 한 실시예에 따라, 터널 패킷의 에러를 간명하게 보고하기 위한 ICMP 보안 실패 메시지의 포맷을 도시한다. 상기 방법은 스텝 S101로 시작한다.
스텝 S101에서, 터널 서버(2)는 호스트(a)와 호스트(b) 사이의 특정한 보안 통신을 위해 터널 서버(2)로부터 터널 패킷을 수신한다. 이 터널 패킷은 약간의 에러들을 가질 수 있고, 상기 방법은 스텝 S102로 진입한다.
스텝 S102에서, 수신된 패킷은 그것 내에 임의의 에러가 존재하는 지를 판정하기 위해서 테스트된다. 예를 들어, 그 값으로서 5를 취하는 코드 필드에 대응하는 제 1 레벨에서의 유형 에러에 대해, 본 발명은 도 5에 도시된 ICMP 보안 실패 메시지에서 서브코드(Subcode) 필드(기존의 ICMP 보안 실패 메시지에서 예약 필드에 속함)로 표기되는, 제 1 레벨에서의 이 에러 유형에 대해 6 서브-에러-유형을 정의한다(즉, 제 2 레벨에서의 에러 유형들은 제 1 레벨에서의 이 에러 유형에 종속함). 이 실시예에서, 기존의 ICMP 보안 실패 메시지에서 예약 필드가 총 16 비트들을 갖는 동안, 서브코드 필드는 8 비트들을 가지므로, 남은 8 비트들은 '0'으로 설정될 수 있다.
코드 필드가 값을 '5'로 취할 때, 즉 제 1 레벨에서의 에러 유형이 '인증 필요'이면, 서브코드 필드에 의해 취해질 수 있는 값들 및 그것들의 의미는 아래와 같다:
0: 시스템이 서브-에러-유형을 인식하지 못했다;
1: 명칭이 인증되지 않았다;
2: 데이터 감도 레벨(data sensitivity level)이 인증되지 않았다;
3: 전송층(transmission layer)이 인증되지 않았다;
4: 원천지 포트가 인증되지 않았다;
5: 목적지 포트가 인증되지 않았다.
서브코드 필드가 1 내지 5로서 그 값을 취할 때, 그것은 제 1 레벨에서의 에러 유형인 "인증 필요"의 5개의 서브-에러-유형들에 대응한다는 것을 쉽게 이해할 것이다. ICMP 보안 실패 메시지를 수신하면, 터널 서버(1)는 터널 서버(1)에 의해 터널 서버(2)로 전달된 터널 패킷 내 에러의 정확한 에러 유형을 확인할 수 있다.
특히, 본 발명은 서브코드 필드에 의해 또한 취해질 수 있는 값 '0'을 정의한다. 이것은 기존의 RFC2521 표준에서, 예약 필드가 '0'의 16 비트들로 구성되기 때문이고, 터널 서버(2)가 이 기존의 표준에 따라 터널 패킷 내 에러를 보고할 때, 즉 제 2 레벨에서 에러 유형들을 보고하지 않을 때, 터널 서버(1)에 전달된 ICMP 보안 실패 메시지의 코드 필드는 제 1 레벨에서의 에러 유형들을 나타내고, 반면에, 도 5에 도시된 예약 필드와 서브코드 필드 모두는 '0'의 8 비트들이다. 그래서, 이 ICMP 보안 실패 메시지는 기존의 RFC2521 표준에 기초한 메시지의 것과 동일한 포맷을 갖게 되어, 기존 표준과 호환가능하다.
메시지가 터널 서버(1)에 도달할 때, 터널 서버(1)는 메시지에 따라 아래와 같이 정보를 얻을 수 있다: 이 ICMP 보안 실패 메시지에 대응하는 터널 패킷이 그 값으로서 5, 즉 '인증 필요'를 취하는 코드 필드에 대응하는 에러를 갖는다. 제 2 레벨에서의 구체적인 에러 레벨은 여전히 알려지지 않는다.
본 발명에서, 패킷 내 에러의 제 2 레벨에서 에러 유형을 나타내기 위해 ICMP 보안 실패 메시지에 사용되는 필드가 상술한 바와 같이 '서브코드'필드로 제한되지 않음을 이해해야 한다. 게다가, 그것은 도 2에 도시된 바와 같이 기존의 ICMP 보안 실패 메시지에서 '예약' 필드에 제한되지도 않는다. 실제에서, ICMP 보안 실패 메시지 내의 임의의 적절한 필드는 필요에 따라 상술한 기능을 실현하기 위해 선택될 수 있다.
특히, 코드 필드의 값이 '5'인 상황에서, 목적지 단말 디바이스로서 작동하는 터널 서버(2)는 ICMP 보안 실패 메시지 내의 서브코드 필드에 값들을 다음 과정들로 할당하는 방식을 결정한다.
Ⅰ. 터널 서버(2)가 터널 패킷의 에러 유형을 보고하기 위해 기존의 표준으로 상기 해결법을 채택하면, RFC2521의 정의에 따라, 상기 방법은 에러를 갖는 터널 패킷에 대해 ICMP 보안 실패 메시지를 생성하기 위해서 S103으로 진행한다. 여기에서, 메시지의 서브코드 필드는 그 값으로서 '0'을 취한다.
Ⅱ. 터널 서버(1)로부터 터널 패킷에 대한 정확한 디캡슐레이션을 수행한 후에, 터널 서버(2)는 디캡슐레이트된 IP 패킷의 페이로드에서의 명칭이 SA에서의 선택기와 일치하는 지를 판정한다. 아니오이면, 상기 방법은 스텝 S103으로 진입하고, ICMP 보안 실패 메시지는 그 패킷에 대해 생성된다. 여기에서, 서브코드 필드는 그 값으로서 '1'을 취한다.
여기에서, 패킷 인캡슐레이션을 위해 두 개의 프로토콜들, 즉 AH와 ESP가 존재한다. AH 프로토콜에 기초하여 인캡슐레이트된 터널 패킷에 대해, 디캡슐레이션 전에, 패킷의 페이로드는 암호 없는 평이한 텍스트이다. 디캡슐레이션 후에, 패킷의 데이터 완전성(data integrality)을 체크하는 것이 충분하다. ESP 프로토콜에 기초하여 인캡슐레이트된 터널 패킷에 대해, 디캡슐레이션 전에, 패킷의 페이로드는 암호 텍스트(cipher text)이다. 그래서, 디캡슐레이션 후에, 데이터 완전성을 체크하는 외에도, 패킷의 페이로드를 해독하는 것이 또한 필요하다.
Ⅲ. 터널 서버(1)로부터 터널 패킷을 정확하게 디캡슐레이트한 후에, 터널 서버(2)는 IP 패킷의 페이로드의 데이터 감도 레벨이 SA에서 선택기와 일치하는 지를 판정한다. 아니오이면, 상기 방법은 스텝 S103으로 진입하고, ICMP 보안 실패 메시지가 상기 패킷에 대해 생성된다. 여기에서, 서브코드 필드는 그 값으로서 '2'를 취한다.
Ⅳ. 터널 서버(1)로부터 터널 패킷을 정확하게 디캡슐레이트한 후에, 터널 서버(2)는 IP 패킷의 페이로드의 전송층 프로토콜이 SA에서 선택기와 일치하는 지를 판정한다. 아니오이면, 상기 상법은 스텝 S103으로 진입하고, ICMP 보안 실패 메시지가 상기 패킷에 대해 생성된다. 여기에서, 서브코드 필드는 그 값으로서 '3'을 취한다.
Ⅴ. 터널 서버(1)로부터 터널 패킷을 정확하게 디캡슐레이트한 후에, 터널 서버(2)는 IP 패킷의 페이로드의 원천지 포트가 SA에서 선택기와 일치하는 지를 판정한다. 아니오이면, 상기 방법은 스텝 S103으로 진입하고, ICMP 보안 실패 메시지가 상기 패킷에 대해 생성된다. 여기에서, 서브코드 필드는 그 값으로서 '4'를 취한다.
Ⅵ. 터널 서버(1)로부터 터널 패킷을 정확하게 디캡슐레이트한 후에, 터널 서버(2)는 IP 패킷의 페이로드의 목적지 포트가 SA에서 선택기와 일치하는 지를 판정한다. 아니오이면, 상기 방법은 스텝 S103으로 진입하고, ICMP 보안 실패 메시지가 상기 패킷에 대해 생성된다. 여기에서, 서브코드 필드는 그 값으로서 '5'를 취한다.
스텝 S103에서 에러를 갖는 터널 패킷에 대한 ICMP 보안 실패 메시지를 생성 한 후에, 상기 방법은 스텝 S104로 간다. 스텝 S104에서, 터널 서버(2)는 ICMP 보안 실패 메시지를 터널 서버(1)에 전달한다. ICMP 보안 실패 메시지의 표시에 기초하여, 터널 서버(1)는 이전에 전송된 터널 패킷의 구체적 에러 유형을 인식하는 것이다.
도 4는 본 발명의 한 실시예에 따라, IPSec 프로토콜 패밀리에 기초하여 패킷의 에러들을 보고하는 원격통신 네트워크에서의 터널 서버의 블록도이다. 이하에서는, 도 1 및 도 5와 연계하여 도 4를 참조하여 설명된다. 도 1의 원천지 단말 디바이스로서 동작하는 터널 서버(2)는 수신 수단(101), 판정 수단(102), 생성 수단(103), 및 전달 수단(104)을 포함한다.
호스트(a)와 호스트(b) 사이의 특정한 보안 통신을 위한 원천지 단말 디바이스(터널 서버(1))로부터의 터널 패킷이 도달할 때, 그것은 수신 수단(101)에 의해 수신된다. 이 터널 패킷은 약간의 에러들을 가질 수 있고, 수신 수단(101)에 의해 판정 수단(102)으로 전달될 것이다.
이어서, 수신된 패킷은 임의의 에러가 존재하는 지를 판정하기 위해 판정 수단(102)에 의해 테스트된다. 예를 들어, 그 값으로서 5를 취하는 코드 필드에 대응하는 제 1 레벨에서의 유형 에러에 대해, 본 발명은 제 1 레벨에서의 이 에러 유형에 대해 6개의 서브-에러-유형을 정의하고, 즉 제 2 레벨에서의 에러 유형들은 도 5에 되된 ICMP 보안 실패 메시지에서 서브코드 필드(기존의 ICMP 보안 실패 메시지에서 예약 필드에 속함)로써 표기되는, 제 1 레벨에서의 이 에러 유형에 종속한다. 이 실시예에서, 기존의 ICMP 보안 실패 메시지 내의 예약 필드가 총 16 비트들을 갖는 반면, 서브코드 필드는 8 비트들을 가지므로, 남은 8 비트들은 여전히 '0'으로 설정될 수 있다.
코드 필드가 '5'로서 값을 취할 때, 즉 제 1 레벨에서의 에러 유형이 "인증 필요"일 때, 서브코드 필드 및 그것의 의미에 의해 취해질 수 있는 값들은 다음과 같다: 0: 시스템이 서브-에러-유형을 인식하지 못했다; 1: 명칭이 인증되지 않았다; 2: 데이터 감도 레벨이 인증되지 않았다; 3: 전송층이 인증되지 않았다; 4: 원천지 포트가 인증되지 않았다; 5: 목적지 포트가 인증되지 않았다.
서브코드 필드가 1 내지 5로서 값을 취할 때, 그것이 제 1 레벨에서의 에러 유형인 "인증 필요"의 5개의 서브-에러-유형들에 대응한다는 것을 쉽게 이해할 것이다. ICMP 보안 실패 메시지를 수신하면, 터널 서버(1)는 터널 서버(1)에 의해 터널 서버(2)로 전달된 터널 패킷에서 에러의 정확한 에러 유형을 확인할 수 있다.
특히, 본 발명은 서브코드 필드에 의해 취해질 수 있는 값 '0'을 정의한다. 이것은 기존의 RFC2521 표준에서, 예약 필드가 '0'의 16 비트들로 구성되기 때문이고, 터널 서버(2)가 기존의 표준에 따라 터널 패킷에서의 에러를 보고할 때, 즉 제 2 레벨에서의 에러 유형들을 보고하지 않을 때, 전달 수단(104)에 의해 터널 서버(1)에 전달된 ICMP 보안 실패 메시지의 코드 필드는 또한, 제 1 레벨에서의 에러 유형들을 나타내는 반면에, 도 5에 도시된 예약 필드 및 서브코드 필드 둘 모두는 '0'의 8 비트들로 된다. 그래서, 이 ICMP 보안 실패 메시지는 기존의 RFC2521 표준에 기초하여 이 메시지의 포맷과 동일한 포맷을 가지며, 그 자체는 기존의 표준과 호환가능하다.
메시지가 터널 서버(1)에 도달할 때, 터널 서버(1)는 메시지에 따라 아래와 같이 정보를 얻을 수 있다: 이 ICMP 보안 실패 메시지에 대응하는 터널 패킷은 그 값으로서 5, 즉 '인증 필요'를 취하는 코드 필드에 대응하는 에러를 갖는다. 제 2 레벨에서의 구체적 에러 레벨은 여전히 알려지지 않는다.
본 발명에서, 패킷 내 에러의 제 2 레벨에서의 에러 유형을 표시하기 위해 ICMP 보안 실패 메시지에 사용되는 필드가 상술한 바와 같이 '서브코드' 필드에 제한되지 않음을 이해해야 한다. 게다가, 그것은 도 2에 도시된 바와 같이 기존의 ICMP 보안 실패 메시지에서의 '예약 필드'에 제한되지 않는다. 실제에서, ICMP 보안 실패 메시지에서의 임의의 적절한 필드는 필요에 따라 상술한 기능을 실현하기 위해 선택될 수 있다.
특히, 코드 필드의 값이 '5'인 상황에 대해, 목적지 단말 디바이스로서 동작하는 터널 서버(2)는 ICMP 보안 실패 메시지에서의 서브코드 필드에 대한 값들을 아래와 같은 과정들로 할당하는 방식을 결정한다.
Ⅰ. 터널 서버(2)가 터널 패킷의 에러 유형을 보고하기 위해 기존 표준에서 해결법을 채택하면, RFC2521에서의 정의에 따라, 생성 수단(103)은 에러를 갖는 터널 패킷에 대해 ICMP 보안 실패 메시지를 생성한다. 여기에서, 메시지의 서브코드 필드는 그 값으로서 '0'을 취한다.
Ⅱ. 터널 서버(1)로부터 터널 패킷에 대한 정확한 디캡슐레이션을 수행한 후에, 판정 수단(102)은 디캡슐레이트된 IP 패킷의 페이로드에서의 명칭이 SA에서 선택기와 일치하는 지를 판정한다. 아니오이면, 생성 수단(103)은 에러를 갖는 터널 패킷에 대해 ICMP 보안 실패 메시지를 생성한다. 여기에서, 서브코드 필드는 그 값으로서 '1'을 취한다.
여기에서, 패킷 인캡슐레이션을 위해 두 개의 프로토콜들, 즉 AH 및 ESP가 존재한다. AH 프로토콜에 기초하여 인캡슐레이트된 터널 패킷에 대해, 디캡슐레이션 전에, 패킷의 페이로드는 암호 없는 평이한 텍스트이다. 디캡슐레이션 후에, 패킷의 데이터 완전성(data integrality)을 체크하는 것이 충분하다. ESP 프로토콜에 기초하여 인캡슐레이트된 터널 패킷에 대해, 디캡슐레이션 전에, 패킷의 페이로드는 암호 텍스트이다. 그래서, 디캡슐레이션 후에, 데이터 완전성을 체크하는 외에도, 패킷의 페이로드를 해독하는 것이 또한 필요하다.
Ⅲ. 터널 서버(1)로부터 터널 패킷을 정확하게 디캡슐레이트한 후에, 판정 수단(102)은 IP 패킷의 페이로드의 데이터 감도 레벨이 SA에서 선택기와 일치하는 지를 판정한다. 아니오이면, 생성 수단(103)은 에러를 갖는 터널 패킷에 대해 ICMP 보안 실패 메시지를 생성한다. 여기에서, 서브코드 필드는 그 값으로서 '2'를 취한다.
Ⅳ. 터널 서버(1)로부터 터널 패킷을 정확하게 디캡슐레이트한 후에, 터널 서버(2)는 IP 패킷의 페이로드에서의 전송층 프로토콜이 SA에서 선택기와 일치하는 지를 판정한다. 아니오이면, 생성 수단(103)은 에러를 갖는 터널 패킷에 대해 ICMP 보안 실패 메시지를 생성한다. 여기에서, 서브코드 필드는 그 값으로서 '3'을 취한다.
Ⅴ. 터널 서버(1)로부터 터널 패킷을 정확하게 디캡슐레이트한 후에, 터널 서버(2)는 IP 패킷의 페이로드에서의 원천지 포트가 SA에서 선택기와 일치하는 지를 판정한다. 아니오이면, 생성 수단(103)은 에러를 갖는 터널 패킷에 대해 ICMP 보안 실패 메시지를 생성한다. 여기에서, 서브코드 필드는 그 값으로서 '4'를 취한다.
Ⅵ. 터널 서버(1)로부터 터널 패킷을 정확하게 디캡슐레이트한 후에, 터널 서버(2)는 IP 패킷의 페이로드에서의 목적지 포트가 SA에서 선택기와 일치하는 지를 판정한다. 아니오이면, 생성 수단(103)은 에러를 갖는 터널 패킷에 대해 ICMP 보안 실패 메시지를 생성한다. 여기에서, 서브코드 필드는 그 값으로서 '5'를 취한다.
에러를 갖는 터널 패킷에 대해 ICMP 보안 실패 메시지를 생성한 후에, 생성 수단(103)은 전달 수단(104)에 메시지를 전달한다. 이어서, 전달 수단(104)은 ICMP 보안 실패 메시지를 터널 서버(1)에 전달한다. ICMP 보안 실패 메시지의 표기에 기초하여, 터널 서버(1)는 이전에 전달된 터널 패킷의 명확한 에러 유형을 인식한다.
목적지 단말 서버로서 동작하는 터널 서버(2)가 터널 서버(1)로부터의 수신된 에러 표시 메시지(예컨대, ICMP 보안 실패 메시지)에 따라, 정확하게 에러를 갖는 터널 패킷의 각 레벨에서의 에러 유형들을 확인하도록 하기 위해, 본 발명은 원격통신 네트워크의 단말 디바이스에서, IPSec 프로토콜 패밀리에 기초하여 에러 표시 메시지를 파싱하는 방법을 제공한다.
도 6은 원격통신 네트워크의 단말 디바이스에서, 본 발명의 한 실시예에 따라, IPSec 프로토콜 패밀리에 기초하여 에러 표시 메시지를 파싱하는 방법의 흐름 도이다. 상기 방법은 도 1 및 도 5와 연계하여 도 6을 참조하여 설명된다. 상기 방법은 스텝 S201로 시작한다.
스텝 S201에서, 터널 서버(1)는 보안 통신 터널을 통해 터널 서버(2)에 의해 전송된 에러 표시 메시지(예컨대, ICMP 보안 실패 메시지)를 수신한다. 일반성을 유지하며, ICMP 보안 실패 메시지의 코드 필드가 그 값으로서 '5'를 취하고, 서브코드 필드가 '1'을 취한하고 가정하자. ICMP 보안 실패 메시지가 수신된 후에, 상기 방법은 스텝 S202로 진입한다.
스텝 S202에서, 터널 서버(1)는 터널 패킷의 각 에러 레벨에서의 에러 유형들을 표시하는 에러 표시 메시지로부터, 각 레벨에서의 에러 유형들을 나타내는 에러 정보를 얻는다. 특히, 이 실시예에서, 터널 서버(1)는 터널 서버(2)로부터의 ICMP 보안 실패 메시지의 코드 필드 및 서브코드 필드로부터, 제 1 레벨에서의 에러 유형을 나타내는 에러 정보 '5' 및 제 2 레벨에서의 에러 유형을 나타내는 에러 정보 '1'을 각각 얻는다. 이어서, 상기 방법은 스텝 S203으로 진입한다.
스텝 S203에서, 스텝 S202에서 얻어진 에러 정보와, 에러 정보 및 구체적 에러 유형들의 매핑을 포함하는 로컬 저장 에러 리스트(local stored error list)를 비교함으로써, 터널 서버(1)는 에러를 갖는 상기 터널 패킷의 각 레벨에서의 에러 유형들을 결정한다. 특히, 그것은 아래의 방식으로 행해질 수 있다.
- 에러 리스트의 코드 필드 부분과 코드 필드에서 얻어진 '5'를 비교함으로써, 상기 터널 패킷 내 에러의 제 1 레벨에서의 에러 유형이 '인증 필요'임이 결정될 수 있다.
- 에러 리스트의 서브코드 필드 부분과 서브코드 필드에서 얻어진 '1'을 비교함으로써(상술한 바와 같이 코드 필드로부터 얻어진 에러 정보 '5'가 또한 그것과 연계하여 사용될 수 있음), 제 2 레벨에서의 에러 유형이 "디캡슐레이트된 IP 패킷의 페이로드에서의 명칭이 SA에서 선택기와 일치하지 않음"임이 결정될 수 있다.
도 7은 본 발명의 한 실시예에 따라, IPSec 프로토콜 패밀리에 기초하여 에러 표시 메시지를 파싱하기 위한 원격통신 네트워크의 터널 서버의 블록도이다. 터널 서버(예컨대, 도 1에 도시된 터널 서버(1))는 도 7을 참조하여 그리고 도 1 및 도 5와 연계하여 설명된다. 터널 서버는 수신 수단(201) 및 분석 수단(202)을 포함하고, 분석 수단(202)은 획득 수단(obtaining means:2021) 및 판정 수단(2022)을 더 포함한다.
보안 통신 터널을 통해 터널 서버(2)에 의해 전달된 에러 표시 메시지(예컨대, ICMP 보안 실패 메시지)가 터널 서버(1)에 도달할 때, 그것은 수신 수단(201)에 의해 수신된다. 일반성을 유지하며, ICMP 보안 실패 메시지의 코드 필드가 그 값으로서 '5'를 취하고, 그것의 서브코드 필드가 '1'을 취한다고 가정하자. ICMP 보안 실패 메시지가 수신된 후에, 수신 수단(201)은 그것을 획득 수단(2021)에 전달한다.
이어서, 획득 수단(2021)은 터널 패킷의 각 레벨에서의 에러 유형을 표시하는 에러 표시 메시지로부터, 각 레벨에서의 에러 유형들을 나타내는 에러 정보를 얻는다. 특히, 이 실시예에서, 터널 서버(1)는 터널 서버(2)로부터의 ICMP 보안 실 패 메시지의 코드 필드 및 서브코드 필드로부터, 제 1 레벨에서의 에러 유형을 대표하는 에러 정보 '5' 및 제 2 레벨에서의 에러 유형을 대표하는 에러 정보 '1'을 각각 얻는다. 얻어진 에러 정보는 판정 수단(2022)에 전달된다.
에러 정보와 구체적 에러 유형들의 매핑을 포함하는 로컬 저장 에러 리스트와 획득 수단(2021)에 의해 얻어진 에러 정보를 비교함으로써, 판정 수단(2022)은 에러를 갖는 상기 터널 패킷의 각 레벨에서의 에러 유형들을 결정한다. 에러 리스트를 저장하기 위해, 터널 서버는 간략화를 위해 도면에 도시되지 않은, 저장 수단으로 구성될 필요가 있다. 구체적으로, 이 판정 처리는 아래의 방식으로 행해질 수 있다:
- 에러 리스트의 코드 필드 부분과 코드 필드에서 얻어진 '5'를 비교함으로써, 판정 수단(2022)은 상기 터널 패킷 내 에러의 제 1 레벨에서의 에러 유형이 "인증 필요"임을 결정할 수 있다.
- 에러 리스트의 서브코드 필드 부분과 서브코드 필드에서 얻어진 '1'(상술한 바와 같이 코드 필드로부터 얻어진 에러 정보 '5'는 그것과 연계하여 사용될 수 있음)을 비교함으로써, 판정 수단(2022)은 제 2 레벨에서의 에러 유형이 '디캡슐레이트된 IP 패킷의 페이로드에서의 명칭이 SA에서 선택기와 일치하지 않음'임을 결정할 수 있다.
그러므로, 본 발명에 의해 제공되는 해결법은 세부적으로 에러를 갖는 터널 패킷에 대해 에러 유형들을 보고하는 것을 가능하게 한다. 그리고, 원천지 단말 디바이스는 에러를 제거하기 위해서, 터널 패킷의 에러 유형들을 확인할 수 있다.
터널 서버(1)와 터널 서버(2)가 대칭이고, 터널 서버(2)의 제어 하에서의 호스트(b)가 터널 서버들(1,2) 사이의 보안 통신 터널을 통해, 호스트(b)에 대해 보안 통신에 속하는 IP 패킷을 전달할 필요가 있을 때, 터널 서버(2)가 원천지 단말 디바이스가 되고, 터널 서버(1)가 목적지 단말 디바이스가 된다는 것을 이해해야 한다. 터널 서버(1)는 패킷이 에러를 갖는 지를 판정하고, 에러를 갖는 터널 패킷에 대해 에러 표시 메시지를 생성하고, 터널 서버(2)에 보고하는 것이 필요하다. 즉, 단말 디바이스는 ICMP 보안 실패 메시지를 전달하고, 이러한 종류의 메시지들을 파싱할 수 있어야 한다.
위에서는, 에러를 갖는 터널 패킷의 제 1 레벨에서의 에러 유형이 '인증 필요'인 상황에 대해 주로 설명하였다. 제 1 레벨에서의 다른 에러 유형들은 나눠지지 않거나, 또는 실시 상의 필요에 따라 나눠질 수 있다. 본 발명의 실시예들이 위에서 설명되었지만, 다양한 변경들이 첨부된 청구범위의 범위 및 사상에서 벗어남이 없이 행해질 수 있음을 기술분야의 당업자들은 이해해야 한다.

Claims (14)

  1. 원격통신 네트워크의 단말 디바이스(termination device)에서, IPSec(Internet Protocols Security) 프로토콜 패밀리에 기초하여 패킷의 에러들을 보고하기 위한 방법에 있어서,
    a. 원천지(source) 단말 디바이스로부터 패킷을 수신하는 단계;
    b. 상기 패킷이 에러를 갖는 지를 판정하는 단계;
    c. 상기 패킷이 에러를 가지면, 상기 패킷 내 상기 에러의 각 레벨에서의 에러 유형들을 표시하는 에러 표시 메시지를 생성하는 단계;
    d. 상기 원천지 단말 디바이스에 상기 에러 표시 메시지를 전송하는 단계를 포함하는, 패킷 에러 보고 방법.
  2. 제 1 항에 있어서, 각 레벨에서의 상기 에러 유형들은 제 1 레벨에서의 에러 유형들 및 상기 제 2 에러 레벨에서의 에러 유형들을 포함하고,
    상기 제 1 레벨에서의 상기 에러 유형들은: 잘못된 SPI(security policy indication), 검증(verification) 실패, 디캡슐레이션(decapsulation) 실패, 해독(decryption) 실패, 검증 필요, 인증(authorization) 필요를 포함하고,
    상기 제 2 레벨에서의 상기 에러 유형들은: 상기 제 1 에러 레벨에서의 각 에러 유형의 하나 이상의 서브-에러-유형(sub-error-type)을 포함하는 것을 특징으로 하는, 패킷 에러 보고 방법.
  3. 제 1 항 또는 제 2 항에 있어서, 상기 에러 표시 메시지는 ICMP(Internet Control Message Protocol) 보안 실패 메시지인 것을 특징으로 하는, 패킷 에러 보고 방법.
  4. 제 3 항에 있어서, 단계 c는:
    ICMP 보안 실패 메시지에서의 예약(reserved) 필드의 일부 또는 전체 예약 필드로 상기 패킷 내 상기 에러의 상기 제 2 레벨에서의 상기 에러 유형을 나타내는 단계를 더 포함하는 것을 특징으로 하는, 패킷 에러 보고 방법.
  5. IPSec 프로토콜 패밀리에 기초하여 터널 패킷의 에러들을 보고하기 위한, 원격통신 네트워크의 단말 디바이스에 있어서:
    인터넷을 통해 원천지 단말 디바이스로부터 패킷을 수신하기 위한 수신 수단;
    상기 패킷이 에러를 갖는 지를 판정하기 위한 판정 수단;
    상기 패킷이 에러를 가지면, 상기 패킷 내 에러의 각 레벨에서의 상기 에러 유형을 표시하는 에러 표시 메시지를 생성하기 위한 생성 수단; 및
    상기 원천지 단말 디바이스에 상기 에러 표시 메시지를 전송하기 위한 전송 수단을 포함하는, 단말 디바이스.
  6. 제 5 항에 있어서, 각 레벨에서의 상기 에러 유형들은 상기 제 1 레벨에서의 에러 유형들 및 상기 제 2 에러 레벨에서의 에러 유형들을 포함하고,
    상기 제 1 레벨에서의 상기 에러 유형들은: 잘못된 SPI, 검증 실패, 디캡슐레이션 실패, 해독 실패, 검증 필요, 인증 필요를 포함하고,
    상기 제 2 레벨에서의 상기 에러 유형들은: 상기 제 1 에러 레벨에서의 각 에러 유형의 하나 이상의 서브-에러-유형을 포함하는 것을 특징으로 하는, 단말 디바이스.
  7. 제 5 항 또는 제 6 항에 있어서, 상기 에러 표시 메시지는 ICMP 보안 실패 메시지인 것을 특징으로 하는, 단말 디바이스.
  8. 제 7 항에 있어서, 상기 패킷 내 상기 에러의 상기 제 2 레벨에서의 상기 에러 유형은 ICMP 보안 실패 메시지에서의 예약 필드의 일부 또는 전체 예약 필드로 나타내지는 것을 특징으로 하는, 단말 디바이스.
  9. 원격통신 네트워크의 단말 디바이스에서, IPSec 프로토콜 패밀리에 기초하여 에러 표시 메시지를 파싱(parsing)하기 위한 방법에 있어서,
    d. 원격 단말 디바이스로부터 상기 에러 표시 메시지를 수신하는 단계로서, 상기 에러 표시 메시지는 상기 단말 디바이스에 의해 상기 원격 단말 디바이스에 전송되는 패킷 내 에러의 각 레벨에서의 에러 유형들을 표시하는, 상기 수신 단계;
    e. 상기 패킷 내 에러의 각 레벨에서의 상기 에러 유형들을 상기 에러 표시 메시지로부터 추출하기 위해 분석하는 단계를 포함하는, 에러 표시 메시지 파싱 방법.
  10. 제 9 항에 있어서, 상기 단계 e는:
    각 레벨에서의 상기 에러 유형들을 나타내는 에러 정보를 상기 에러 표시 메시지로부터 얻는 단계;
    상기 에러 정보와 로컬 저장 에러 리스트(local stored error list)를 비교함으로써 터널 패킷 내 에러의 각 레벨에서의 상기 에러 유형들을 결정하는 단계를 더 포함하는 것을 특징으로 하는, 에러 표시 메시지 파싱 방법.
  11. 제 9 항 또는 제 10 항에 있어서, 상기 에러 표시 메시지는 ICMP 보안 실패 메시지인 것을 특징으로 하는, 에러 표시 메시지 파싱 방법.
  12. IPSec 프로토콜 패밀리에 기초하여 에러 표시 메시지를 파싱하기 위한 원격통신 네트워크의 단말 디바이스에 있어서,
    원격 단말 디바이스로부터 상기 에러 표시 메시지를 수신하기 위한 수신 수단으로서, 상기 에러 표시 메시지는 상기 단말 디바이스에 의해 상기 원격 단말 디바이스에 전송되는 패킷 내 에러의 각 레벨에서의 에러 유형들을 표시하는, 상기 수신 수단; 및
    상기 패킷 내 에러의 각 레벨에서의 상기 에러 유형들을 상기 에러 표시 메시지로부터 추출하기 위해 분석하는 분석 수단을 포함하는, 단말 디바이스.
  13. 제 12 항에 있어서, 상기 분석 수단은:
    각 레벨에서의 상기 에러 유형들을 나타내는 에러 정보를 상기 에러 표시 메시지로부터 얻기 위한 획득 수단; 및
    상기 에러 정보와 로컬 저장 에러 리스트를 비교함으로써, 터널 패킷 내 에러의 각 레벨에서의 상기 에러 유형들을 결정하기 위한 판정 수단을 포함하는 것을 특징으로 하는, 단말 디바이스.
  14. 제 12 항 또는 제 13 항에 있어서, 상기 에러 표시 메시지는 ICMP 보안 실패 메시지인 것을 특징으로 하는, 단말 디바이스.
KR1020097003782A 2006-07-24 2007-07-03 통신 네트워크에서 터널 데이터 패킷의 각각의 레벨의 에러를 보고하는 장치 및 방법 Expired - Fee Related KR101342423B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN200610029317A CN101115055B (zh) 2006-07-24 2006-07-24 通信网络中报告隧道数据包中各级错误的装置及方法
CN200610029317.3 2006-07-24

Publications (2)

Publication Number Publication Date
KR20090038467A true KR20090038467A (ko) 2009-04-20
KR101342423B1 KR101342423B1 (ko) 2013-12-17

Family

ID=38996863

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020097003782A Expired - Fee Related KR101342423B1 (ko) 2006-07-24 2007-07-03 통신 네트워크에서 터널 데이터 패킷의 각각의 레벨의 에러를 보고하는 장치 및 방법

Country Status (5)

Country Link
US (1) US8086908B2 (ko)
EP (1) EP2048849A4 (ko)
KR (1) KR101342423B1 (ko)
CN (1) CN101115055B (ko)
WO (1) WO2008014666A1 (ko)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106385305A (zh) * 2016-09-12 2017-02-08 四川海博智能科技有限责任公司 电力线载波通信方法
US11283733B2 (en) 2018-10-02 2022-03-22 Arista Networks, Inc. Proxy ports for network device functionality
US12238076B2 (en) * 2018-10-02 2025-02-25 Arista Networks, Inc. In-line encryption of network data
US11418434B2 (en) 2018-10-02 2022-08-16 Arista Networks, Inc. Securing MPLS network traffic
CN112543425B (zh) * 2019-09-20 2022-04-29 华为技术有限公司 通信方法及装置

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH04361440A (ja) * 1991-06-10 1992-12-15 Nec Commun Syst Ltd 障害メッセージ処理制御方式
US7061899B2 (en) * 2001-05-01 2006-06-13 Hewlett-Packard Development Company, L.P. Method and apparatus for providing network security
US6816455B2 (en) * 2001-05-09 2004-11-09 Telecom Italia S.P.A. Dynamic packet filter utilizing session tracking
US8161539B2 (en) * 2002-04-19 2012-04-17 International Business Machines Corporation IPSec network adapter verifier
KR20030097208A (ko) * 2002-06-20 2003-12-31 주식회사 케이티 차세대 망에서 망요소의 장애 보고방법
KR100489689B1 (ko) * 2003-02-14 2005-05-17 삼성전자주식회사 망 관리 시스템의 에러 정보 제공 방법 및 그 장치
CN1319330C (zh) * 2003-08-19 2007-05-30 华为技术有限公司 一种错误信息发送方法
JP4361440B2 (ja) 2004-08-04 2009-11-11 本田技研工業株式会社 センサ配設構造
US7315963B2 (en) * 2004-08-10 2008-01-01 International Business Machines Corporation System and method for detecting errors in a network
US7424666B2 (en) * 2005-09-26 2008-09-09 Intel Corporation Method and apparatus to detect/manage faults in a system

Also Published As

Publication number Publication date
US20090204850A1 (en) 2009-08-13
KR101342423B1 (ko) 2013-12-17
CN101115055A (zh) 2008-01-30
US8086908B2 (en) 2011-12-27
WO2008014666A1 (fr) 2008-02-07
EP2048849A1 (en) 2009-04-15
CN101115055B (zh) 2010-05-12
EP2048849A4 (en) 2014-07-09

Similar Documents

Publication Publication Date Title
US5086469A (en) Encryption with selective disclosure of protocol identifiers
US6233687B1 (en) Method and apparatus for providing configuration information in a network
EP0464564B1 (en) Generic encryption technique for communication networks
US5235644A (en) Probabilistic cryptographic processing method
US5594869A (en) Method and apparatus for end-to-end encryption of a data packet in a computer network
FI105739B (fi) Verkkoon kytkettävä laite ja menetelmä sen asennusta ja konfigurointia varten
US5161193A (en) Pipelined cryptography processor and method for its use in communication networks
US5099517A (en) Frame status encoding for communication networks
US8274401B2 (en) Secure data transfer in a communication system including portable meters
CN109495503B (zh) 一种ssl vpn认证方法、客户端、服务器及网关
Rajagopal et al. Fibre channel over tcp/ip (fcip)
US20140237327A1 (en) Method, apparatus and system for testing network under ipsec mechanism
KR101342423B1 (ko) 통신 네트워크에서 터널 데이터 패킷의 각각의 레벨의 에러를 보고하는 장치 및 방법
Atkinson RFC1826: IP Authentication Header
CN113162885B (zh) 一种工业控制系统的安全防护方法及装置
EP1024640B1 (en) Method of encoding status information
US20210409385A1 (en) Method and apparatus for authenticating a device or user
CN110198202B (zh) 一种afdx总线消息数据源的校验方法及装置
CN113746807A (zh) 一种区块链节点支持国密算法通信检测方法
CN108419241B (zh) 确定伪基站的方法、装置及终端设备
US20030223587A1 (en) Classified communication system which classifies the signal between interfaces and supports a media transport encoding scheme for a direct current balanced stream simultaneously
KR20110087972A (ko) 세션 테이블을 이용한 비정상 트래픽의 차단 방법
EP0464566B1 (en) Abort processing in pipelined communication
CN118944953A (zh) 一种基于私有网络协议的加密数据传输方法与系统
KR101315471B1 (ko) 전송데이터 생성장치 및 그 방법

Legal Events

Date Code Title Description
PA0105 International application

Patent event date: 20090224

Patent event code: PA01051R01D

Comment text: International Patent Application

PG1501 Laying open of application
A201 Request for examination
PA0201 Request for examination

Patent event code: PA02012R01D

Patent event date: 20120229

Comment text: Request for Examination of Application

E902 Notification of reason for refusal
PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20130612

Patent event code: PE09021S01D

E701 Decision to grant or registration of patent right
PE0701 Decision of registration

Patent event code: PE07011S01D

Comment text: Decision to Grant Registration

Patent event date: 20131128

GRNT Written decision to grant
PR0701 Registration of establishment

Comment text: Registration of Establishment

Patent event date: 20131211

Patent event code: PR07011E01D

PR1002 Payment of registration fee

Payment date: 20131212

End annual number: 3

Start annual number: 1

PG1601 Publication of registration
FPAY Annual fee payment

Payment date: 20161205

Year of fee payment: 4

PR1001 Payment of annual fee

Payment date: 20161205

Start annual number: 4

End annual number: 4

FPAY Annual fee payment

Payment date: 20171201

Year of fee payment: 5

PR1001 Payment of annual fee

Payment date: 20171201

Start annual number: 5

End annual number: 5

FPAY Annual fee payment

Payment date: 20181115

Year of fee payment: 6

PR1001 Payment of annual fee

Payment date: 20181115

Start annual number: 6

End annual number: 6

PC1903 Unpaid annual fee

Termination category: Default of registration fee

Termination date: 20200922