[go: up one dir, main page]

KR100415554B1 - 정보 보호 인터넷 프로토콜 패킷의 송수신 방법 - Google Patents

정보 보호 인터넷 프로토콜 패킷의 송수신 방법 Download PDF

Info

Publication number
KR100415554B1
KR100415554B1 KR10-2001-0027614A KR20010027614A KR100415554B1 KR 100415554 B1 KR100415554 B1 KR 100415554B1 KR 20010027614 A KR20010027614 A KR 20010027614A KR 100415554 B1 KR100415554 B1 KR 100415554B1
Authority
KR
South Korea
Prior art keywords
packet
header
security
information protection
service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
KR10-2001-0027614A
Other languages
English (en)
Other versions
KR20020088728A (ko
Inventor
정지훈
박소희
이종태
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR10-2001-0027614A priority Critical patent/KR100415554B1/ko
Publication of KR20020088728A publication Critical patent/KR20020088728A/ko
Application granted granted Critical
Publication of KR100415554B1 publication Critical patent/KR100415554B1/ko
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/40Flow control; Congestion control using split connections
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/90Buffering arrangements
    • H04L49/9042Separate storage for different parts of the packet, e.g. header and payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

1. 청구범위에 기재된 발명이 속하는 기술분야
본 발명은 정보 보호 인터넷 프로토콜 패킷의 송수신 방법 및 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것임.
2. 발명이 해결하고자 하는 기술적 과제
본 발명은, 응용 계층 서비스에 프로그램에 영향을 주지 아니하고 독립적인 구현 및 운용이 가능한 IP 계층에서 패킷별로 정보 보호 서비스를 제공할 수 있도록 한 정보 보호 인터넷 프로토콜 패킷의 송수신 방법 및 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공함에 그 목적이 있음.
3. 발명의 해결방법의 요지
본 발명은, 정보 보호 인터넷 프로토콜(Internet Protocol :IP) 패킷의 전송 장치에 적용되는 정보 보호 인터넷 프로토콜 패킷의 송신 방법에 있어서, 패킷의 IP 헤더를 생성한 후 보안 정책 데이터베이스 및 보안 연계 데이터 베이스를 참조하여 패킷별로 보안 서비스의 선택 여부를 결정하는 제 1 단계; 상기 제 1 단계에서 선택된 보안 서비스가 AH(Authentication Header)일 경우, 패킷에 대한 인증 데이터(Integrity Check Value, ICV) 계산 및 SN(Sequence Number) 값의 생성을 수행하고, 터널 헤더 또는 트랜스포트 헤더를 생성하여 IP 패킷 단편화 및 IP 헤더의 체크 합을 계산 후에, 데이터 링크 헤더를 부가한 정보 보호 IP 패킷을 전송하는 제 2 단계; 및 상기 제 1 단계에서 선택된 보안 서비스가 ESP(Encapsulating Security Payload)일 경우, 패킷에 대한 인캡슐레이션(encapsulation), 패딩 및 암호화 처리를 수행후에 인증 데이터(Integrity Check Value, ICV) 값 계산 및 SN(Sequence Number)값의 생성을 수행하고, 터널 헤더 또는 트랜스포트 헤더를 생성하여 IP 패킷 단편화 및 IP 헤더의 체크 합을 계산 후에, 데이터 링크 헤더를 부가한 정보 보호 IP 패킷을 전송하는 제 3 단계를 포함한다.
4. 발명의 중요한 용도
본 발명은 인터넷에서 IP 계층을 통한 정보 보호 서비스 등에 이용됨.

Description

정보 보호 인터넷 프로토콜 패킷의 송수신 방법{Method for transmitting and receiving of security provision IP packet in IP Layer}
본 발명은 정보 보호 인터넷 프로토콜(Internet Protocol: IP) 패킷의 송수신 방법에 관한 것으로, 보다 상세하게는 응용 계층 서비스 프로그램에 영향을 주지 않으면서 인터넷 프로토콜 계층에서 패킷별로 보안 패킷을 생성 및 전송하기 위한 정보 보호 인터넷 프로토콜 패킷의 송수신 방법 및 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것이다.
종래의 인터넷을 통한 정보 보호 기술은 응용 계층의 서비스 별로 정보 보호를 수행하는 방법들이 사용되었다. 이 방법들은 응용 계층의 각 서비스별로 사용자 정보 보호를 위한 방법들을 만들고, 응용 계층의 서비스 프로그램에서 직접적으로 호출하여 사용하는 형태로 구성되어 있는데, 이를 도 1에 제시된 도면을 통해 자세히 살펴본다.
도 1은 종래의 인터넷 시스템의 프로토콜 스택 구조도이다.
도 1에 도시된 바와 같이, 상기 프로토콜 스택의 구조는 상위 계층의 네트워크 응용 프로그램과 하위 네트워크 미디어가 위치한 물리 계층까지의 수직적인 연결을 보여준다. 사용자의 응용 프로그램은 타 시스템과의 통신을 위해 시스템 커널의 BSD(Berkeley Software Distribution) 소켓 계층(10)과 INET(InterNET) 소켓 계층(11)을 거쳐 네트워크 프로토콜별로 트랜스미션 제어 프로토콜(Transmission Control Protocol: 이하 "TCP"라고 약칭한다) (12), 사용자 데이터그램 프로토콜(User Datagram Protocol: 이하"UDP"라고 약칭한다)(13), 인터넷 제어 메시지 프로토콜(Internet Control Messages Protocol: 이하 "ICMP"라고 약칭한다) 및 인터넷 그룹 멀티케스팅 프로토콜(Internet Group Multicasting Protocol: 이하 "IGMP"라 약칭한다)을 거치고, 공통적으로 IP 계층(16)을 지남으로써 인터넷의 기본적인 통신 단위인 IP 패킷이 만들어지게 된다.
상기 IP 패킷은 데이터 링크 계층 프로토콜 특성에 따라 점-대-점 프로토콜(Point-to-Point Protocol:이하"PPP"라고 약칭한다), 시리얼 라인 인터페이스 프로토콜(Serial Line Interface Protocol: 이하 "SLIP"라고 약칭한다) 및 이더넷(Ethernet)등의 네트워크 디바이스 드라이버 계층을 지남에 따라 IP 패킷에 부가적인 네트워크 헤더를 추가한 후 인터넷으로 내보내게 된다.
이러한 종래의 인터넷 정보 보호 방법들은 인터넷 서비스별로 정보 보호 방법이 존재하고, 정보 보호를 인터넷 서비스에서 제공하기 위해서는 응용 계층 서비스 프로그램의 변경이 반드시 필요하다는 것을 의미한다. 따라서, 사용자 및 인터넷 서비스 제공자에게 많은 경제적 지출은 유발할 뿐만 아니라 응용 계층 서비스별로 각각 독립적인 정보 보호 방법이 필요하게 되며 각 응용 계층 서비스 프로그램의 부가적인 변경이 필요하게 되는 문제점을 내포하고 있었다.
이에 본 발명은, 상기와 같은 종래의 문제점을 해결하기 위해 제안된 것으로, 응용 계층 서비스에 프로그램에 영향을 주지 아니하고 독립적인 구현 및 운용이 가능한 IP 계층에서 패킷 별로 정보 보호 서비스를 제공할 수 있도록 한 정보 보호 인터넷 프로토콜 패킷의 송수신 방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공함에 그 목적이 있다.
도 1은 종래의 인터넷 시스템의 프로토콜 스택 구조도.
도 2는 본 발명이 적용되는 정보 보호 인터넷 프로토콜 패킷을 위한 프로토콜 스택 구조도.
도 3a 및 도 3b는 도 2에 도시된 프로토콜 스택 구조에서 생성된 정보 보호 IP 패킷의 일실시예 구조도.
도 4a는 도 3a에 도시된 AH 프로토콜 헤더의 상세 구조도.
도 4b는 도 3b에 도시된 ESP 프로토콜 헤더의 상세 구조도.
도 5는 본 발명이 적용되는 정보 보호 인터넷 프로토콜 패킷의 송수신 방법에 대한 일실시예 구성도.
도 6은 본 발명에 따른 정보 보호 인터넷 프로토콜 패킷의 송수신 방법에 대한 일실시예 흐름도.
도 7은 도 6에 도시된 전송 호스트 단말이 생성된 정보 보호 인터넷 프로토콜 패킷을 인터넷으로 전송하는 절차(H1)의 일실시예 상세 흐름도.
도 8a 및 도 8b는 도 6에 도시된 게이트웨이가 정보 보호 인터넷 프로토콜패킷을 수신 호스트 단말로 포워딩하는 절차(H2)의 일실시예 상세 흐름도.
도 9는 도 6에 도시된 수신 호스트 단말이 정보 보호 인터넷 프로토콜 패킷을 수신하는 절차(H3)의 일실시예 상세 흐름도.
상기와 같은 목적을 달성하기 위한 본 발명은, 정보 보호 인터넷 프로토콜(Internet Protocol: IP) 패킷의 전송 장치에 적용되는 정보 보호 인터넷 프로토콜 패킷의 송신 방법에 있어서, 패킷의 IP 헤더를 생성한 후 보안 정책 데이터베이스 및 보안 연계 데이터 베이스를 참조하여 패킷별로 보안 서비스의 선택 여부를 결정하는 제 1 단계; 상기 제 1 단계에서 선택된 보안 서비스가 AH(Authentication Header)일 경우, 패킷에 대한 인증 데이터(Integrity Check Value, ICV) 계산 및 SN(Sequence Number) 값의 생성을 수행하고, 터널 헤더 또는 트랜스포트 헤더를 생성하여 IP 패킷 단편화 및 IP 헤더의 체크 합을 계산 후에, 데이터 링크 헤더를 부가한 정보 보호 IP 패킷을 전송하는 제 2 단계; 및 상기 제 1 단계에서 선택된 보안 서비스가 ESP(Encapsulating Security Payload)일 경우, 패킷에 대한 인캡슐레이션(encapsulation), 패딩 및 암호화 처리를 수행후에 인증 데이터(ICV) 값 계산 및 SN(Sequence Number)값의 생성을 수행하고, 터널 헤더 또는 트랜스포트 헤더를 생성하여 IP 패킷 단편화 및 IP 헤더의 체크 합을 계산 후에, 데이터 링크 헤더를 부가한 정보 보호 IP 패킷을 전송하는 제 3 단계를 포함하는 것을 특징으로 한다.
또한, 본 발명은, 정보 보호 인터넷 프로토콜(Internet Protocol : IP) 패킷의 포워딩 장치에 적용되는 정보 보호 인터넷 프로토콜 패킷의 포워딩 방법에 있어서, 수신된 정보 보호 패킷을 통해 보안 정책 데이터 베이스 및 보안 연계 데이터 베이스를 참조하여 패킷별 보안 서비스의 선택 여부를 결정하는 제 1 단계; 상기 제 1 단계에서, 패킷별 보안 서비스가 선택되면 보안 서비스의 종류가 터널 모드인지를 판단하는 제 2 단계; 상기 제 2 단계의 판단 결과, 터널 모드일 경우 서비스의 종류가 AH(Authentication Header) 인지 ESP(Encapsulating Security Payload)인지를 구분하여 각각 서비스의 종류에 따라 패킷에 대한 인캡슐레이션(encapsulation), 패딩, 암호화 처리, 인증 데이터(Integrity Check Value, ICV) 계산 및 SN(Sequence Number) 값의 생성에 관한 처리를 수행하고, 터널 헤더 또는 트랜스포트 헤더를 부가한 패킷을 정보 보호 IP 패킷을 포워딩하는 제 3 단계; 상기 제 2 단계의 판단 결과, 터널 모드가 아닌 경우 패킷 사용자의 권한이 루트 권한을 가지는지 판단하는 제 4 단계; 상기 제 4 단계의 판단 결과, 사용자의 권한이 루트 권한을 가지지 못할 경우 패킷을 폐기하는 제 5 단계; 상기 제 4 단계의 판단 결과, 사용자의 권한이 루트 권한을 가진 경우 보안 연계의 종단 점인지를 판단하는 제 6 단계; 상기 제 6 단계의 판단 결과, 보안 연계의 종단점인 경우 패킷 헤더에 실려온 SN 값과 인증 데이터(Integrity Check Value, ICV)값을 검사하고, 보안 서비스의 종류가 AH(Authentication Header)인지 ESP(Encapsulating Security Payload)인지를 구분하여 각각 서비스의 종류에 따라 패킷의 복호화, 패드 제거, 디캡슐레이션(decapsulation) 및 보안 정책 데이터베이스를 참조하고, 터널 헤더 또는 트랜스포트 헤더를 제거한 후 정보 보호 IP 패킷을 포워딩하는 제 7 단계; 및 상기 제 6 단계에서 판단 결과, 보안 연계의 종단점이 아닌 경우 보안 서비스의 종류가 AH(Authentication Header)인지 ESP(Encapsulating Security Payload)인지를 구분하여 각각 서비스의 종류에 따라 패킷에 대한 인캡슐레이션(encapsulation), 패딩, 암호화 처리, 인증 데이터(Integrity Check Value, ICV) 계산 및 SN(Sequence Number) 값의 생성에 관한 처리를 수행하고, 터널 헤더 또는 트랜스포트 헤더를 부가한 정보 보호 IP 패킷을 포워딩하는 제 8 단계를 포함하는 것을 특징으로 한다.
또한, 본 발명은, 정보 보호 인터넷 프로토콜(Internet Protocol : IP) 패킷의 수신 장치에 적용되는 정보 보호 인터넷 프로토콜 패킷의 수신 방법에 있어서, 패킷에 대한 재조합으로 완성된 IP 패킷을 수신한 후 보안 연계 데이터 베이스를 참조하여 패킷별 보안 서비스의 선택 여부를 결정하는 제 1 단계; 상기 보안 서비스가 선택될 경우, 패킷 헤더에 실려온 SN 값과 인증 데이터(Integrity Check Value, ICV)값을 검사하고 보안 서비스가 AH(Authentication Header)인지 ESP(Encapsulating Security Payload)인지를 판단하는 제 2 단계; 상기 제 2 단계의 판단 결과, 보안 서비스의 종류가 AH(Authentication Header)일 경우 보안 정책 데이터 베이스를 참조하여 현재 수신된 정보 보호 패킷의 처리를 검사하고, 터널 헤더 또는 트랜스포트 헤더를 제거한 후, 다시 IP 헤더 제거하여 정보 보호 IP 패킷을 수신하는 제 3 단계; 및 상기 제 2 단계의 판단 결과, 보안 서비스의 종류가 ESP일 경우, 패킷의 복호화, 패드 제거, 디캡슐레이션(decapsulation)을 수행후에 보안 정책 데이터 베이스를 참조하여 현재 수신된 정보 보호 패킷의 처리를 검사하고, 터널 헤더 또는 트랜스포트 헤더를 제거한 후, 다시 IP 헤더 제거하여 정보 보호 IP 패킷을 수신하는 제 4 단계를 포함하는 것을 특징으로 한다.
또한, 본 발명은 정보 보호 인터넷 프로토콜(Internet Protocol :IP) 패킷을 인터넷을 통해 송수신하기 위한 네트워크 시스템에 적용되는 정보 보호 인터넷 프로토콜 패킷의 송수신 방법에 있어서, 전송측 단말 장치가 송신하고자 하는 패킷의 IP(Internet Protocol)헤더를 생성한 후 패킷별 보안 서비스의 선택 여부를 결정하고, 각각 보안 서비스의 종류에 따라 생성된 정보 보호 IP 패킷을 프레임 단위로 전송하는 제 1 단계; 상기 제 1 단계에서 전송된 정보 보호 IP 패킷을 인터넷의 게이트웨이가 선택된 패킷별 보안 서비스 종류에 따라 패킷의 복호화, 패드 제거, 디캡슐레이션(decapsulation) 및 보안 정책 데이터베이스를 참조하는 터널 헤더 또는 트랜스포트 헤더를 생성한 정보 보호 IP 패킷을 수신측 단말 장치로 포워딩하는 제 2 단계; 및 상기 수신측 단말 장치가 포워딩된 정보 보호 IP 패킷에서 결정된 패킷별 보안 서비스 선택 여부 및 종류에 따라 IP 패킷의 복호화, 패드 제거, 디캡슐레이션(decapsulation) 및 보안 정책 데이터베이스를 참조하여 터널 헤더 또는 트랜스포트 헤더를 제거한 후 패킷을 다시 IP 헤더를 제거하여 정보 보호 IP 패킷을 수신하는 제 3 단계를 포함하는 것을 특징으로 한다.
한편, 본 발명의 목적을 달성하기 위해, 정보 보호 인터넷 프로토콜(Internet Protocol :IP) 패킷을 전송하기 위해 프로세서를 구비한 단말 장치에, 패킷의 IP 헤더를 생성한 후 보안 정책 데이터베이스 및 보안 연계 데이터 베이스를 참조하여 패킷별로 보안 서비스의 선택 여부를 결정하는 제 1 기능; 상기 제 1 기능에서 선택된 보안 서비스가 AH(Authentication Header)가 선택된 경우, 패킷에 대한 인증 데이터 계산 및 SN 값의 생성을 수행하고, 터널 헤더 또는 트랜스포트 헤더를 생성하여 IP 패킷 단편화 및 IP 헤더의 체크 합을 계산 후에, 데이터 링크 헤더를 부가한 정보 보호 패킷을 전송하는 제 2 기능; 상기 제 1 기능에서 보안 서비스가 ESP(Encapsulating Security Payload)가 선택된 경우, 패킷에 대한 인캡슐레이션(encapsulation), 패딩 및 암호화 처리를 수행후에 인증 데이터(Integrity Check Value, ICV) 값 계산 및 SN(Sequence Number)값의 생성을 수행하고, 터널 헤더 또는 트랜스포트 헤더를 생성하여 IP 패킷 단편화 및 IP 헤더의 체크 합을 계산 후에, 데이터 링크 헤더를 부가한 정보 보호 패킷을 전송하는 제 3 기능; 및 상기 패킷별로 보안 서비스가 선택되지 않을 경우, 터널 헤더 또는 트랜스포트 헤더를 생성하여 IP 패킷 단편화 및 IP 헤더의 체크 합을 계산 후에, 데이터 링크 헤더를 부가한 프레임 단위로 정보 보호 패킷을 전송하는 제 4 기능을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공하는 것을 특징으로 한다.
또한, 본 발명은, 정보 보호 인터넷 프로토콜(Internet Protocol : IP) 패킷을 포워딩하기 위해 프로세서를 구비한 게이트웨이 장치에, 수신된 정보 보호 패킷을 통해 보안 정책 데이터 베이스 및 보안 연계 데이터 베이스를 참조하여 패킷별 보안 서비스의 선택 여부를 결정하는 제 1 기능; 상기 제 1 기능에서, 패킷별 보안 서비스가 선택되면 보안 서비스의 종류가 터널 모드인지를 판단하는 제 2 기능; 상기 제 2 기능의 판단 결과, 터널 모드일 경우 서비스의 종류가 AH(Authentication Header)인지 ESP(Encapsulating Security Payload)인지를 구분하여 각각 서비스의 종류에 따라 패킷에 대한 인캡슐레이션(encapsulation), 패딩, 암호화 처리, 인증 데이터(Integrity Check Value, ICV) 계산 및 SN 값의 생성에 관한 처리를 수행하고, 터널 헤더 또는 트랜스포트 헤더를 부가한 패킷을 정보 보호 패킷을 포워딩하는 제 3 기능; 상기 제 2 기능의 판단 결과, 터널 모드가 아닌 경우 패킷 사용자의 권한이 루트 권한을 가지는지 판단하는 제 4 기능; 상기 제 4 기능의 판단 결과, 사용자의 권한이 루트 권한을 가지지 못할 경우 패킷을 폐기하는 제 5 기능; 상기 제 4 기능의 판단 결과, 사용자의 권한이 루트 권한을 가진 경우 보안 연계의 종단 점인지를 판단하는 제 6 기능; 상기 제 6 기능의 판단 결과, 보안 연계의 종단점인 경우 패킷 헤더에 실려온 SN 값과 인증 데이터(Integrity Check Value, ICV) 값을 검사하고, 보안 서비스의 종류가 AH인지 ESP인지를 구분하여 각각 서비스의 종류에 따라 패킷의 복호화, 패드 제거, 디캡슐레이션(decapsulation) 및 보안 정책 데이터베이스를 참조하고, 터널 헤더 또는 트랜스포트 헤더를 제거한 후 정보 보호 패킷을 포워딩하는 제 7 기능; 및 상기 제 6 기능에서 판단 결과, 보안 연계의 종단점이 아닌 경우 보안 서비스의 종류가 AH(Authentication Header) 인지 ESP(Encapsulating Security Payload)인지를 구분하여 각각 서비스의 종류에 따라 패킷에 대한 인캡슐레이션(encapsulation), 패딩, 암호화 처리, 인증 데이터(Integrity Check Value, ICV) 계산 및 SN 값의 생성에 관한 처리를 수행하고, 터널 헤더 또는 트랜스포트 헤더를 부가한 정보 보호 패킷을 포워딩하는 제 8 기능을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공함을 특징으로 한다.
또한, 본 발명은, 정보 보호 인터넷 프로토콜(Internet Protocol :IP) 패킷을 수신하기 위해 프로세서를 구비한 단말 장치에, 패킷에 대한 재조합으로 완성된 IP 패킷을 수신한 후 보안 연계 데이터 베이스를 참조하여 패킷별 보안 서비스의 선택 여부를 결정하는 제 1 기능; 상기 보안 서비스가 선택될 경우, 패킷 헤더에 실려온 SN 값과 인증 데이터(Integrity Check Value, ICV)값을 검사하고 보안 서비스가 AH(Authentication Header)인지 ESP(Encapsulating Security Payload)인지를 판단하는 제 2 기능; 상기 제 2 기능의 판단 결과, 보안 서비스의 종류가 AH(Authentication Header)일 경우 보안 정책 데이터 베이스를 참조하여 현재 수신된 정보 보호 패킷의 처리를 검사하고, 터널 헤더 또는 트랜스포트 헤더를 제거한 후, 다시 IP 헤더 제거하여 IP 계층에서 정보 보호 패킷을 수신하는 제 3 기능; 상기 제 2 기능의 판단 결과, 보안 서비스의 종류가 ESP일 경우, 패킷의 복호화, 패드 제거, 디캡슐레이션(decapsulation)을 수행후에 보안 정책 데이터 베이스를 참조하여 현재 수신된 정보 보호 패킷의 처리를 검사하고, 터널 헤더 또는 트랜스포트 헤더를 제거한 후, 다시 IP 헤더 제거하여 IP 계층에서 정보 보호 패킷을 수신하는 제 4 기능; 및 상기 보안 서비스가 선택되지 않을 경우 수신된 패킷의 IP 헤더 및 TCP 헤더를 제거한 후, INET 소켓과 통신 소켓을 통해 패킷을 수신하는 제 5 기능을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공함을 특징으로 한다.
또한, 본 발명은, 정보 보호 인터넷 프로토콜(Internet Protocol : IP) 패킷의 송수신 하기 위해 프로세서를 구비한 네트워크 시스템에, 송신측 단말 장치가 송신하고자 하는 패킷의 IP 헤더를 생성한 후 패킷별 보안 서비스의 선택 여부를 결정하고, 각각 보안 서비스의 종류에 따라 생성된 정보 보호 IP 패킷을 인터넷으로 전송하는 제 1 기능; 상기 제 1 기능에서 전송된 정보 보호 IP 패킷을 인터넷의 게이트웨이가 선택된 패킷별 보안 서비스 종류에 따라 패킷의 복호화, 패드 제거, 디캡슐레이션(decapsulation) 및 보안 정책 데이터베이스를 참조하는 터널 헤더 또는 트랜스포트 헤더를 생성한 정보 보호 IP 패킷을 수신측 단말 장치로 포워딩하는 제 2 기능; 및 상기 제 2 기능에서 포워딩된 정보 보호 IP 패킷을 수신한 수신측 단말 장치가 결정된 패킷별 보안 서비스 선택 여부 및 종류에 따라 IP 패킷의 복호화, 패드 제거, 디캡슐레이션(decapsulation) 및 보안 정책 데이터 베이스를 참조하여 터널 헤더 또는 트랜스포트 헤더를 제거한 후 패킷을 다시 IP 헤더를 제거하여 정보 보호 패킷을 수신하는 제 3 기능을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공함을 특징으로 한다.
여기서 상술된 목적, 특징들 및 장점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해 질 것이다. 이하 첨부된 도면을 참조하여 본 발명에 따른 바람직한 일실시예를 상세히 설명한다.
도 2는 본 발명이 적용되는 정보 보호 인터넷 프로토콜 패킷을 위한 프로토콜 스택 구조도이다.
도 2에 도시된 바와 같이, 인터넷의 IP 계층에서 정보 보호 IP 패킷을 위한 프로토콜 스택 구조는, 응용 계층 서비스 프로그램에 영향을 주지 아니하고 독립적인 구현 및 운용이 가능한 IP 계층에서 패킷별로 정보 보호 서비스를 위하여 IP 계층(26)의 일부분에 IPsec 계층(27)을 추가하였다.
즉, 사용자의 응용 프로그램은 타 시스템과의 통신을 위해 시스템 커널의 BSD 소켓 계층(20)과 INET 소켓 계층(21)을 거쳐 네트워크 프로토콜별로 TCP(22), UDP(23), ICMP(24) 및 IGMP(25)를 거치고, 공통적으로 IP 계층(26)을 지남으로써 인터넷의 기본적인 통신 단위인 IP 패킷이 만들어지는데, 상기 IPsec 계층(27)에서는 IP 계층(26)을 통과하는 모든 패킷에 대한 정보 보호 서비스의 적용 및 해제 기능을 가지고 있으며, 하위 계층으로부터 수신되는 패킷은 정보 보호 서비스를 해제하는 기능에 의해 처리된 후 기존의 IP 계층(26)으로 전달되고, IP 계층(26)으로부터 수신된 패킷은 정보 보호 서비스를 적용하는 기능에 의해 패킷을 변경한 후 이를 데이터 링크 계층인 PPP(28), SLIP(29) 및 이더넷(30)등을 지남에 따라 정보 보호 IP 패킷에 부가적인 네트워크 헤더를 추가한 후 인터넷으로 내보내게 된다.
도 3a 및 도 3b는 도 2에 도시된 프로토콜 스택 구조에서 IP 계층에서 생성된 정보 보호 IP 패킷의 일실시예 구조도이다.
도 3a는 IPsec 계층에서 적용하고자 하는 정보 보호 IP 패킷에서 IP 헤더에 대한 인증 서비스를 제공하기 위한 AH(Authentication Header)프로토콜을 포함하는 구조로서, IP 헤더에 대한 인증 서비스와 IP 패킷에 대한 기밀성 서비스 등의 기본 서비스만을 제공하기 위한 트랜스포트 모드가 있고, 패킷의 발신지 정보를 감추기 위한 기능을 추가한 터널 모드가 있다. 또한, 상기 AH 프로토콜은 모두 재전송 공격에 대한 감내 서비스를 위해 시퀀스 넘버(Sequence Number : 이하 "SN" 이라 약칭한다)값을 이용한다. 따라서, 수신측에서 연속적으로 수신되는 패킷에 대한 SN값을 검사함으로써 재전송되는 패킷을 폐기하여 재전송 공격으로부터 안정적인 시스템을 유지할 수 있다.
도 3b는 IPsec 계층에서 적용하고자 하는 정보 보호 IP 패킷에서 IP 헤더에 대한 인증 서비스를 제공하기 위한 ESP(Encapsulating Security Payload) 프로토콜을 포함하는 구조로서, 상기 ESP 프로토콜은 IP 헤더에 대한 인증 서비스와 IP 패킷에 대한 기밀성 서비스 등의 기본 서비스만을 제공하기 위한 트랜스포트 모드가 있고, 패킷의 발신지 정보를 감추기 위한 기능을 추가한 터널 모드가 있다. 또한, 상기 ESP 프로토콜은 모두 재전송 공격에 대한 감내 서비스를 위해 SN(Sequence Number)값을 이용한다. 따라서, 수신측에서 연속적으로 수신되는 패킷에 대한 SN 값을 검사함으로써 재전송되는 패킷을 폐기하여 재전송 공격으로부터 안정적인 시스템을 유지할 수 있다.
도 4a는 도 3a에 도시된 AH 프로토콜 헤더의 상세 구조도이다.
도 4a에 도시된 바와 같이, AH 프로토콜 헤더의 구조는 AH 프로토콜 다음에 나타날 헤더의 종류, 페이 로드의 길이, 보안 연계 데이터베이스를 검색하는데 필요한 SPI(Security Parameter Index : 이하 " 보안 파라미터 인덱스"라 한다), 재전송 공격에 대한 감내성을 위한 SN, AH 프로토콜의 핵심인 인증 데이터로 구성된다.
도 4b는 도 3b에 도시된 ESP 프로토콜 헤더의 상세 구조도이다.
도 4b에 도시된 바와 같이, 상기 ESP 프로토콜 헤더는 보안 연계 데이터베이스를 검색하는 필요한 보안 파라미터 인덱스, 재전송 공격에 대한 감내성을 위한SN(Sequence Number), 상위 계층으로부터 내려온 페이 로드 데이터, 블록 암호 알고리즘에 의한 암호화 처리를 위한 패딩, 패드 길이, ESP 헤더 다음에 나타날 헤더의 종류, 인증 데이터로 구성된다.
도 5는 본 발명이 적용되는 인터넷의 IP 계층에서 생성된 정보 보호 IP 패킷의 송수신 시스템의 일실시예 구성도이다.
도 5에 도시된 바와 같이, 상기 시스템은 송신 호스트 단말(510), 게이트웨이(520) 및 수신 호스트 단말(530)을 포함한다. 그리고, 상기 게이트웨이(520)는 인터넷(530)을 통해 포워딩을 수행한다.
상기 송신 호스트 단말(510)은 응용 계층으로부터 수신한 패킷을 암호화 및 인증 정보를 추가하여 생성된 정보 보호 IP 패킷을 데이터 링크 계층을 통해 인터넷(530)으로 전송한다.
상기 게이트웨이(520)는 인터넷(530)을 매개로 송신 호스트 단말(510)과 수신 호스트 단말(540)간의 경로에 위치하고, 송신 호스트 단말(510)로부터 전송되는 정보 보호 IP 패킷을 수신 호스트 단말(540)로 포워딩 한다.
수신 호스트 단말(540)은 게이트웨이(520)로부터 포워딩되어 전송되는 정보 보호 패킷을 수신하여 복호화 및 인증 정보 검증을 수행한다.
도 6은 본 발명에 따른 인터넷의 IP 계층에서 생성된 정보 보호 IP 패킷의 송수신 방법의 일실시예의 흐름도이다.
도 6에 도시된 바와 같이, 먼저, 송신 호스트 단말(510)은 응용 계층으로부터 패킷을 수신하고(601), 이 수신된 패킷에 암호화 및 인증 정보를 추가한 정보보호 패킷을 생성한다(602).
즉, 보안 서비스를 선택한 AH 프로토콜 헤더에 대해서는 패킷 수신지에서 인증 데이터를 계산한 후, 패킷 단편화 과정을 거친 정보 보호 패킷을 생성하고, ESP 프로토콜 헤더에 대해서는 패킷에 대한 인캡슐레이션(encapsulation) 및 패딩을 한 후 암호화를 수행하고, 이 암호화된 패킷에 인증 정보를 추가한 정보 보호 패킷을 생성한다.
그 후, 상기와 같이 생성된 정보 보호 패킷은 데이터 링크 헤더가 부가되어 프레임 단위로 인터넷(530)을 통해 게이트웨이(520)로 전송된다(603).
이때, 전송된 프레임 단위의 정보 보호 패킷은 인터넷(530)의 게이트웨이(520)에서 수신되고, 이 게이트웨이(520)는 수신된 정보 보호 패킷에서 데이터 링크 헤더를 제거하고 포워딩을 수행한다(604,605).
즉, 데이터 링크 헤더가 제거된 정보 보호 패킷이 보안 서비스가 선택 되었을 경우 AH 프로토콜 헤더 및 ESP 프로토콜 헤더에 따라 패킷 암호화 및 복호화를 수행하고, 재차 데이터 링크 헤더를 부가한 프레임 단위인 정보 보호 패킷을 인터넷(530)으로 전송한다(606). 그러면, 인터넷(530)의 게이트웨이(520)의 포워딩 동작으로 정보 보호 패킷이 수신 호스트 단말(540)으로 전송한다.
그러면 수신 호스트 단말(540)에서는 인터넷(530)의 게이트웨이(520)에서 포워딩된 정보 보호 패킷을 수신하여, 이 정보 보호 패킷에서 데이터 링크 헤더를 삭제하고(607), 이 삭제된 정보 보호 패킷을 보안 서비스의 선택 여부에 따라 인증 데이터 검사를 수행하고, 프로토콜 헤더의 종류에 따라 즉, AH 프로토콜 헤더 및 ESP 프로토콜 헤더에 따라 복호화 및 인증 정보를 확인한다(608). 그 후, 수신된 데이터를 수신 호스트 단말(540)의 상위에 있는 응용 계층으로 전송한다(609).
도 7은 도 6에 도시된 호스트 단말이 생성된 정보 보호 IP 패킷을 인터넷으로 전송하는 절차(H1)의 일실시예 상세 흐름도이다.
도 7에 도시된 바와 같이, 상위 응용 프로그램에서 임의의 정보를 인터넷(530)을 통해 내보낼 경우, 먼저 소켓 계층에서 통신을 위한 소켓을 생성하고(701), INET 소켓을 생성한 후(702), 이 INET 소켓(702)을 통해 응용 계층의 데이터를 TCP 계층으로 내려보낸다. 그러면, 상기 TCP 계층에서는 TCP 헤더를 상위 응용 계층으로부터 내려온 메시지에 부가한 후 IP 계층으로 내려보낸다(703). 이때, IP 계층에서는 TCP 계층으로부터 내려온 데이터에 IP 헤더를 부가하여 IP 패킷을 조립한다(704,705).
상기와 같이, IP 계층의 패킷이 조립된 후, 보안 정책 데이터베이스와 보안 연계 데이터베이스를 검색하여 보안 서비스가 선택되었는지를 판단한다(706).
상기 과정(706)에서 판단한 결과, 보안 서비스가 선택되지 않았을 경우에는 IP 패킷에 생성된 터널 헤더 또는 트랜지포트 헤더를 부가하고(713), IP 패킷 단편화 과정(714)을 거쳐 IP 헤더의 체크 합(Checksum)을 계산한 후(715) 데이터 링크 계층으로 IP 패킷을 내려보내고, 데이터 링크 계층에서는 물리 계층의 전송로 특성에 따른 데이터 링크 헤더를 부가한 프레임 단위의 데이터를 인터넷으로 전송한다(716).
한편, 상기 과정(706)에서 판단한 결과, 보안 서비스가 선택된 경우는 보안연계 데이터베이스의 보안 서비스의 종류 즉, AH 서비스인지 ESP 서비스인지를 판단한다(707). 상기 과정(707)에서 판단한 결과, AH 서비스가 선택되었을 경우는 패킷 수신지에서 인증 데이터를 계산한 후 원래의 값과 비교할 수 있도록 ICV( Integrity Check Value : 이하 "인증 데이터 값"으로 약칭한다)를 계산한다(711). 그리고, 재전송 공격을 방지할 수 있도록 SN 값을 생성하여 AH 헤더 내에 넣은 후 트랜스 포트 또는 터널 헤더를 IP 패킷에 부가한 후(712,713), 패킷 단편화 과정을 거쳐 IP 헤더의 체크 합(Checksum)을 계산한 후 데이터 링크 계층으로 내려보내고(714,715), 데이터 링크 계층에서는 물리 계층의 전송로 특성에 따른 데이터 링크 헤더를 부가한 프레임을 생성한 후 이를 인터넷으로 전송한다(716).
한편, 상기 과정(707)에서 판단한 결과, ESP 서비스가 선택된 경우는 패킷에 대한 인캡슐레이션(encapsulation)을 수행한 후 데이터의 길이를 블록 암호화 알고리즘에 적용할 수 있도록 패딩을 한 후 패킷 암호화를 수행한다(708,709,710). 그리고, 상기 패킷 암호화가 완료된 후, 패킷 수신지에서 인증 데이터를 계산한 후 원래의 값과 비교할 수 있도록 인증 데이터 값을 계산하고(711), 재전송 공격을 방지할 수 있도록 SN 값을 생성하여 ESP 헤더 내에 넣은 후 트랜스 포트 또는 터널 헤더를 IP 패킷에 부가한 후(712,713), 패킷 단편화 과정을 거쳐 IP 헤더의 체크 합(Checksum)을 계산한 후 데이터 링크 계층으로 내려보내고(714,715), 데이터 링크 계층에서는 물리 계층의 전송로 특성에 따른 데이터 링크 헤더를 부가한 프레임을 생성한 후 이를 인터넷으로 전송한다(716).
도 8a 및 도 8b는 도 6에 도시된 인터넷의 게이트웨이가 정보 보호 IP 패킷을 포워딩하는 절차(H2)의 일실시예 상세 흐름도이다.
도 8a 및 도 8b에 도시된 바와 같이, 상기 인터넷(530)의 게이트웨이(520)에서 정보 보호 IP 패킷을 포함한 프레임을 수신한 경우, 수신된 프레임을 데이터 링크 계층에서 데이터 링크 헤더를 제거한 후 이를 IP 계층으로 올려보낸다(800). 그러면, 이 IP 계층으로 올라온 프레임은 IP 포워딩을 수행하여 보안 정책 데이터베이스와 보안 연계 데이터베이스를 검색한다(801,802). 이때, 검색한 결과, 보안 서비스가 선택되는지를 판단하는데(803), 상기 과정(803)에서 판단한 결과, 보안 서비스가 선택되지 않았을 경우에는 라우팅 정보를 이용하여 IP 헤더의 값을 바꾼 후 데이터 링크 계층으로 내려보낸다. 그러면, 이 데이터 링크 계층에서는 물리 계층의 전송로 특성에 따른 데이터 링크 헤더를 부가한 프레임을 생성한 후 이를 인터넷으로 전송한다(822,823).
한편, 상기 과정(803)에서 판단한 결과, 보안 서비스가 선택된 경우에는 보안 서비스의 형태가 터널 모드인지를 판단한다(804). 상기 과정(804)에서 판단한 결과, 보안 서비스의 형태가 터널 모드일 경우에는 보안 서비스의 종류를 파악하는 과정(807)으로 진행한다.
상기 과정(804)에서 판단한 결과, 보안 서비스의 형태가 터널 모드가 아닐경우, 즉 트랜스포트 모드일 경우에는 패킷의 사용자가 루트인지 여부를 판단하는데(805), 이때, 판단한 결과 패킷의 사용자가 루트가 아닌 경우는 패킷을 폐기하고(814), 루트인 경우에는 보안 연계의 종단인지 아닌지를 판단하는 과정(806)으로 진행한다. 이때, 보안 연계의 종단이 아닐 경우에는 보안 서비스의종류를 파악하는 과정(807)으로 진행한다.
따라서, 상기 과정(807)에서 보안 서비스의 종류가 AH 서비스일 경우에는 패킷 수신지에서 인증 데이터를 계산한 후 원래의 값과 비교할 수 있도록 인증 데이터 값을 계산하고(811), 재전송 공격을 방지할 수 있도록 SN 값을 생성하여 AH 헤더내에 넣은 후 트랜스 포트 또는 터널 헤더를 IP 패킷에 부가한다(812,813). 그리고, IP 포워딩을 통해 라우팅 정보를 이용하여 IP 헤더의 값을 바꾼 후 데이터 링크 계층으로 내려보낸다(822). 따라서, 데이터 링크 계층에서는 물리 계층의 전송로 특성에 따른 데이터 링크 헤더를 부가한 프레임을 생성한 후 이를 인터넷으로 전송한다(823).
한편, 상기 과정(807)에서 보안 서비스의 종류가 ESP 서비스일 경우는 패킷에 대한 인캡슐레이션(encapsulation)을 수행한 후 데이터의 길이를 블록 암호화 알고리즘에 적용한 수 있도록 패딩을 한 후 패킷 암호화를 수행한다(808,809,810). 그리고, 상기 패킷 암호화가 완료된 후, 패킷 수신지에서 인증 데이터를 계산한 후 원래의 값과 비교할 수 있도록 인증 데이터 값을 계산하고(811), 재전송 공격을 방지할 수 있도록 SN 값을 생성하여 ESP 헤더 내에 넣은 후(812), 트랜스포트 헤더 또는 터널 헤더를 IP 패킷에 부가한 후 IP 포워딩을 통해 라우팅 정보를 이용하여 IP 헤더의 값을 바꾼 후 데이터 링크 계층으로 내려보낸다(813,822). 데이터 링크 계층에서는 물리 계층의 전송로 특성에 따른 데이터 링크 헤더를 부가한 프레임을 생성한 후 이를 인터넷으로 전송한다(823).
한편, 상기 과정(806)에서 판단한 결과, 보안 연계의 종단인 경우는 재전송공격에 대한 가능성을 파악하기 위하여 SN 값을 검사하고(815), 수신된 패킷의 내용을 이용하여 인증 데이터를 생성한 후, AH 또는 ESP 헤더 내의 ICV 값과 비교하는 과정을 수행한다(816). 이때, SN 값과 인증 데이터(ICV) 값의 검사가 성공적으로 완료된 경우 보안 연계 데이터베이스의 보안 서비스 종류를 판단한다(817).
상기 과정(817)에서 판단한 결과, AH 서비스가 선택된 경우는 터널 헤더 또는 트랜스포트 헤더를 제거한 후 데이터 링크 계층으로 내려보낸다(111). 그러면, 데이터 링크 계층에서는 물리 계층의 전송로 특성에 따른 데이터 링크 헤더를 부가한 프레임을 생성한 후 이를 인터넷으로 전송한다(822,823).
상기 과정(817)에서 판단한 결과, ESP 서비스가 선택된 경우는 패킷을 복호화하고(818), 블록 암호 알고리즘 처리를 위해 부가하였던 패드를 제거한 후 패킷에 대한 디캡슐레이션(decapsulation)을 수행한다(818,819,820). 즉, 이와 같이 암호화 된 패킷의 복호화 과정을 통해 암호화 이전의 패킷으로 재생한 후 IP 포워딩에서 라우팅 정보를 이용하여 IP 헤더의 값을 바꾼 후 데이터 링크 계층으로 내려보낸다(821). 그러면, 데이터 링크 계층에서는 물리 계층의 전송로 특성에 따른 데이터 링크 헤더를 부가한 프레임을 생성한 후 이를 인터넷으로 전송한다(822,823).
도 9는 도 6에 도시된 수신 호스트 단말이 정보 보호 IP 패킷을 수신하는 절차(H3)의 일실시예 상세 흐름도이다.
즉, 상기 수신 호스트 단말(540)이 인터넷(530)의 게이트웨이(520)를 통해 프레임을 수신한 후, 데이터 링크 계층에서 데이터 링크 헤더를 제거한 후 이를 IP계층으로 올려보낸다(900). 그러면, 상기 IP 계층에서는 패킷 재조합 과정을 통해 단편화 된 패킷을 하나의 패킷으로 재 조합한 후 IP 계층에서 IP 패킷을 수신한다(901,902). 이때, 수신된 IP 패킷은 보안 연계 데이터베이스를 검색하고(903), 그 검색 결과로 보안 서비스가 선택되어 있는지를 판단한다(904).
상기 과정(904)에서 판단한 결과, 보안 서비스가 선택되지 않았을 경우에는 IP 헤더를 제거한 후 TCP 계층으로 올려보내고(913), TCP 계층에서는 TCP 헤더를 제거한 후(914), INET 소켓과 통신 소켓을 통해 상위 응용 계층으로 전송한다(915,916).
상기 과정(904)에서 판단한 결과, 보안 서비스가 선택된 경우는 재전송 공격에 대한 가능성을 파악하기 위하여 SN 값을 검사하고(905), 수신된 패킷의 내용을 이용하여 인증 데이터를 생성하여 AH 헤더 또는 ESP 헤더 내의 인증 데이터 값과 비교하는 과정을 수행한다(906). 이때, 상기 SN 값과 ICV 값의 검사가 완료되면, 보안 연계 데이터베이스의 보안 서비스의 종류를 파악 즉, 보안 서비스가 AH 서비스인지 ESP 서비스인지를 판단한다(907).
상기 과정(907)에서 판단한 결과, AH 서비스가 선택된 경우 보안 정책 데이터베이스를 참조하여 터널 헤더 및 트랜스포트 헤더를 제거하고, 현재 수신된 패킷이 보안 정책에 맞게 처리되었는지를 검사하여 IP 헤더를 제거한 후(911,912,913), TCP 계층으로 올려보내 TCP 헤더를 제거한다(914). 그리고, INET 소켓과 통신 소켓의 생성을 통해 상위 응용 계층으로 전송한다(915,916).
한편, 상기 과정(907)에서 판단한 결과, ESP 서비스가 선택된 경우는 패킷을 복호화하고(908), 블록 암호 알고리즘 처리를 위해 부가하였던 패드를 제거한 후 패킷에 대한 디캡슐레이션(decapsulation)을 수행한다(909,910). 그리고, 암호화된 패킷의 복호화 과정을 통해 암호화 이전의 패킷으로 재생한 후(911), 보안 정책 데이터베이스를 참조하여 터널 헤더 및 트랜스포트 헤더를 제거하고 현재 수신된 패킷이 보안 정책에 맞게 처리되었는지를 검사하여 IP 헤더를 제거한 후(912,913), TCP 계층으로 올려보내 TCP 헤더를 제거한다(914). 그리고, INET 소켓과 통신 소켓을 통해 상위 응용 계층으로 전송한다(915,916).
상술한 바와 같은 본 발명의 방법은 프로그램으로 구현되어 컴퓨터로 읽을 수 있는 기록매체(씨디롬, 램, 롬, 플로피 디스크, 하드디스크, 광자기 디스크 등)에 저장될 수 있다.
이상에서 설명한 본 발명은 진술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니고, 본 발명의 기술적 사상을 벗어나지 않는 범위내에서 여러가지 치환, 변형 및 변경이 가능하다는 것이 본 발명이 속하는 기술분야에서 통상의 지식을 가진자에게 있어 명백할 것이다.
상기와 같은 본 발명은, 상위 응용 계층으로부터 발생된 메시지가 인터넷을 통해 전달될 수 있는 IP 패킷의 형태로 변형되는 과정에서 정보 보호 서비스를 선택적으로 제공하여 상위 계층 서비스 프로그램의 변경 없이 모든 인터넷 서비스에 정보 보호 기능을 제공할 수 있는 효과가 있다.

Claims (21)

  1. 정보 보호 인터넷 프로토콜(Internet Protocol :IP) 패킷의 전송 장치에 적용되는 정보 보호 인터넷 프로토콜(IP) 패킷의 송신 방법에 있어서,
    패킷의 IP 헤더를 생성한 후 보안 정책 데이터베이스 및 보안 연계 데이터 베이스를 참조하여 패킷별로 보안 서비스의 선택 여부를 결정하는 제 1 단계;
    상기 제 1 단계에서 선택된 보안 서비스가 AH(Authentication Header)일 경우, 패킷에 대한 인증 데이터(Integrity Check Value, ICV) 계산 및 SN(Sequence Number) 값의 생성을 수행하고, 터널 헤더 또는 트랜스포트 헤더를 생성하여 IP 패킷 단편화 및 IP 헤더의 체크 합을 계산 후에, 데이터 링크 헤더를 부가한 정보 보호 IP 패킷을 전송하는 제 2 단계; 및
    상기 제 1 단계에서 선택된 보안 서비스가 ESP(Encapsulating Security Payload)일 경우, 패킷에 대한 인캡슐레이션(encapsulation), 패딩 및 암호화 처리를 수행후에 인증 데이터(Integrity Check Value, ICV) 값 계산 및 SN(Sequence Number)값의 생성을 수행하고, 터널 헤더 또는 트랜스포트 헤더를 생성하여 IP 패킷 단편화 및 IP 헤더의 체크 합을 계산 후에, 데이터 링크 헤더를 부가한 정보 보호 IP 패킷을 전송하는 제 3 단계
    를 포함하는 정보 보호 인터넷 프로토콜 패킷의 송신 방법.
  2. 제 1 항에 있어서,
    상기 패킷별로 보안 서비스가 선택되지 않을 경우, 터널 헤더 또는 트랜스포트 헤더를 생성하여 IP 패킷 단편화 및 IP 헤더의 체크 합을 계산 후에, 데이터 링크 헤더를 부가한 프레임 단위로 정보 보호 IP 패킷을 전송하는 제 4 단계
    를 더 포함하는 정보 보호 인터넷 프로토콜 패킷의 송신 방법.
  3. 제 1 항에 있어서,
    상기 제 1 단계는,
    임의의 정보를 전송하기 위한 소켓 계층에서 통신을 위한 소켓을 생성하는
    제 5 단계;
    생성된 INET(InterNET) 소켓을 통해 임의의 정보에 TCP(Transmission Control Protocol)헤더를 부가하는 제 6 단계;
    상기 TCP(Transmission Control Protocol) 헤더가 부가된 데이터에 IP 헤더를 부가하여 IP 패킷을 조립하는 제 7 단계; 및
    보안 정책 데이터베이스 및 보안 연계 데이터베이스를 검색하여 보안 서비스가 선택 여부를 결정하는 제 8 단계
    를 포함하는 정보 보호 인터넷 프로토콜 패킷의 송신 방법.
  4. 제 1 항에 있어서,
    상기 제 2 단계는,
    보안 서비스가 AH(Authentication Header)가 선택되면, 패킷 수신지에서 인증 데이터를 계산한 후, 원래의 값과 비교할 수 있도록 인증 데이터 값을 계산하는 제 5 단계;
    재전송 공격의 방지를 위한 SN(Sequence Number) 값을 생성하여 AH(Authentication Header)에 삽입하는 제 6 단계;
    터널 헤더 또는 트랜스포트 헤더를 IP 패킷에 부가한 후 단편화 과정을 거쳐 IP 헤더의 체크 합을 계산하는 제 7 단계; 및
    물리계층의 전송로 특성에 따른 데이터 링크 헤더를 부가한 프레임 단위의 정보 보호 IP 패킷을 전송하는 제 8 단계
    를 포함하는 정보 보호 인터넷 프로토콜 패킷의 송신 방법.
  5. 제 1 항에 있어서,
    상기 제 3 단계는,
    패킷에 대한 인캡슐레이션(encapsulation)을 수행하는 제 5 단계;
    데이터의 길이를 블록 암호화 알고리즘에 적용할 수 있도록 패딩을 수행하여 패킷을 암호화하는 제 6 단계;
    암호화된 패킷에서 인증 데이터를 계산한 후, 원래의 값과 비교할 수 있도록 인증 데이터 값을 계산하는 제 7 단계;
    재전송 공격의 방지를 위한 SN(Sequence Number)값을 생성하여 AH(Authentication Header)에 삽입하는 제 8 단계;
    터널 헤더 또는 트랜스포트 헤더를 IP(Internet Protocol) 패킷에 부가한 후 단편화 과정을 거쳐 IP(Internet Protocol) 헤더의 체크 합을 계산하는 제 9 단계; 및
    물리계층의 전송로 특성에 따른 데이터 링크 헤더를 부가한 정보 보호 패킷을 프레임 단위로 전송하는 제 10 단계
    를 포함하는 정보 보호 인터넷 프로토콜 패킷의 송신 방법.
  6. 정보 보호 인터넷 프로토콜(Internet Protocol:IP) 패킷의 포워딩 장치에 적용되는 정보 보호 인터넷 프로토콜 패킷의 포워딩 방법에 있어서,
    수신된 정보 보호 패킷을 통해 보안 정책 데이터 베이스 및 보안 연계 데이터 베이스를 참조하여 패킷별 보안 서비스의 선택 여부를 결정하는 제 1 단계;
    상기 제 1 단계에서, 패킷별 보안 서비스가 선택되면 보안 서비스의 종류가 터널 모드인지를 판단하는 제 2 단계;
    상기 제 2 단계의 판단 결과, 터널 모드일 경우 서비스의 종류가 AH(Authentication Header) 인지 ESP(Encapsulating Security Payload)인지를 구분하여 각각 서비스의 종류에 따라 패킷에 대한 인캡슐레이션(encapsulation), 패딩, 암호화 처리, 인증 데이터(Integrity Check Value, ICV) 계산 및 SN(Sequence Number) 값의 생성에 관한 처리를 수행하고, 터널 헤더 또는 트랜스포트 헤더를 부가한 패킷을 정보 보호 IP 패킷을 포워딩하는 제 3 단계;
    상기 제 2 단계의 판단 결과, 터널 모드가 아닌 경우 패킷 사용자의 권한이 루트 권한을 가지는지 판단하는 제 4 단계;
    상기 제 4 단계의 판단 결과, 사용자의 권한이 루트 권한을 가지지 못할 경우 패킷을 폐기하는 제 5 단계;
    상기 제 4 단계의 판단 결과, 사용자의 권한이 루트 권한을 가진 경우 보안 연계의 종단 점인지를 판단하는 제 6 단계;
    상기 제 6 단계의 판단 결과, 보안 연계의 종단점인 경우 패킷 헤더에 실려온 SN 값과 인증 데이터(Integrity Check Value, ICV)값을 검사하고, 보안 서비스의 종류가 AH(Authentication Header)인지 ESP(Encapsulating Security Payload)인지를 구분하여 각각 서비스의 종류에 따라 패킷의 복호화, 패드 제거, 디캡슐레이션(decapsulation) 및 보안 정책 데이터베이스를 참조하고, 터널 헤더 또는 트랜스포트 헤더를 제거한 후 정보 보호 IP 패킷을 포워딩하는 제 7 단계; 및
    상기 제 6 단계에서 판단 결과, 보안 연계의 종단점이 아닌 경우 보안 서비스의 종류가 AH(Authentication Header)인지 ESP(Encapsulating Security Payload)인지를 구분하여 각각 서비스의 종류에 따라 패킷에 대한 인캡슐레이션(encapsulation), 패딩, 암호화 처리, 인증 데이터(Integrity Check Value, ICV) 계산 및 SN(Sequence Number) 값의 생성에 관한 처리를 수행하고, 터널 헤더 또는 트랜스포트 헤더를 부가한 정보 보호 IP 패킷을 포워딩하는 제 8 단계
    를 포함하는 정보 보호 인터넷 프로토콜 패킷의 포워딩 방법.
  7. 제 6 항에 있어서,
    상기 제 3 단계는,
    보안 서비스가 AH(Authentication Header)인지 ESP(Encapsulating Security Payload)인지를 판단하는 제 9 단계;
    상기 제 9 단계에서 판단 결과, 보안 서비스가 AH(Authentication Header)가 선택되면, 패킷 수신지에서 인증 데이터를 계산한 후, 원래의 값과 비교할 수 있도록 인증 데이터 값을 계산하는 제 10 단계;
    재전송 공격의 방지를 위한 SN(Sequence Number)값을 생성하여 AH(Authentication Header)에 삽입하고, 터널 헤더 또는 트랜스포트 헤더를 IP 패킷에 부가한 후 단편화 과정을 거쳐 IP 헤더의 체크 합을 계산하여 전송로 특성에 따른 데이터 링크 헤더를 부가한 정보 보호 IP 패킷을 생성하여 프레임 단위로 포워딩하는 제 11 단계;
    상기 9 단계에서 판단한 결과, 보안 서비스가 ESP(Encapsulating Security Payload)가 선택되면, 패킷에 대한 인캡슐레이션(encapsulation)을 수행하고, 데이터의 길이를 블록 암호화 알고리즘에 적용할 수 있도록 패딩을 수행하여 패킷을 암호화하는 제 12 단계;
    암호화된 패킷에서 인증 데이터를 계산한 후, 원래의 값과 비교할 수 있도록 인증 데이터 값을 계산하고, 재전송 공격의 방지를 위한 SN(Sequence Number) 값을 생성하여 ESP(Encapsulating Security Payload)를 삽입하는 제 13 단계; 및
    터널 헤더 또는 트랜스포트 헤더를 IP 패킷에 부가한 후 단편화 과정을 거쳐 IP 헤더의 체크 합을 계산하고, 물리계층의 전송로 특성에 따른 데이터 링크 헤더를 부가한 정보 보호 IP 패킷을 프레임 단위로 포워딩하는 제 14 단계
    를 포함하는 정보 보호 인터넷 프로토콜 패킷의 포워딩 방법.
  8. 정보 보호 인터넷 프로토콜(Internet Protocol :IP) 패킷의 수신 장치에 적용되는 정보 보호 인터넷 프로토콜 패킷의 수신 방법에 있어서,
    패킷에 대한 재조합으로 완성된 IP 패킷을 수신한 후 보안 연계 데이터 베이스를 참조하여 패킷별 보안 서비스의 선택 여부를 결정하는 제 1 단계;
    상기 보안 서비스가 선택될 경우, 패킷 헤더에 실려온 SN 값과 인증 데이터(Integrity Check Value, ICV)값을 검사하고 보안 서비스가 AH(Authentication Header)인지 ESP(Encapsulating Security Payload)인지를 판단하는 제 2 단계;
    상기 제 2 단계의 판단 결과, 보안 서비스의 종류가 AH(Authentication Header)일 경우 보안 정책 데이터 베이스를 참조하여 현재 수신된 정보 보호 패킷의 처리를 검사하고, 터널 헤더 또는 트랜스포트 헤더를 제거한 후, 다시 IP 헤더 제거하여 정보 보호 IP 패킷을 수신하는 제 3 단계; 및
    상기 제 2 단계의 판단 결과, 보안 서비스의 종류가 ESP일 경우, 패킷의 복호화, 패드 제거, 디캡슐레이션(decapsulation)을 수행후에 보안 정책 데이터 베이스를 참조하여 현재 수신된 정보 보호 패킷의 처리를 검사하고, 터널 헤더 또는 트랜스포트 헤더를 제거한 후, 다시 IP 헤더 제거하여 정보 보호 IP 패킷을 수신하는 제 4 단계
    를 포함하는 정보 보호 인터넷 프로토콜 패킷의 수신 방법.
  9. 제 8 항에 있어서,
    상기 보안 연계 서비스가 선택되지 않을 경우 수신된 패킷의 IP 헤더 및 TCP 헤더를 제거한 후, INET 소켓과 통신 소켓을 통해 패킷을 수신하는 제 5 단계
    를 더 포함하는 정보 보호 인터넷 프로토콜 패킷의 수신 방법.
  10. 정보 보호 인터넷 프로토콜(Internet Protocol:IP) 패킷을 인터넷을 통해 송수신하기 위한 네트워크 시스템에 적용되는 정보 보호 인터넷 프로토콜 패킷의 송수신 방법에 있어서,
    전송측 단말 장치가 송신하고자 하는 패킷의 IP 헤더를 생성한 후 패킷별 보안 서비스의 선택 여부를 결정하고, 각각 보안 서비스의 종류에 따라 생성된 정보 보호 IP 패킷을 프레임 단위로 전송하는 제 1 단계;
    상기 제 1 단계에서 전송된 정보 보호 IP 패킷을 인터넷의 게이트웨이가 선택된 패킷별 보안 서비스 종류에 따라 패킷의 복호화, 패드 제거, 디캡슐레이션(decapsulation) 및 보안 정책 데이터베이스를 참조하는 터널 헤더 또는 트랜스포트 헤더를 생성한 정보 보호 IP 패킷을 수신측 단말 장치로 포워딩하는 제 2 단계; 및
    상기 수신측 단말 장치가 포워딩된 정보 보호 IP 패킷에서 결정된 패킷별 보안 서비스 선택 여부 및 종류에 따라 IP 패킷의 복호화, 패드 제거, 디캡슐레이션(decapsulation) 및 보안 정책 데이터베이스를 참조하여 터널 헤더 또는 트랜스포트 헤더를 제거한 후 패킷을 다시 IP 헤더를 제거하여 정보 보호 IP 패킷을 수신하는 제 3 단계
    를 포함하는 정보 보호 인터넷 프로토콜 패킷의 송수신 방법.
  11. 제 10 항에 있어서,
    상기 제 1 단계는,
    패킷의 IP 헤더를 생성한 후 보안 정책 데이터베이스 및 보안 연계 데이터 베이스를 참조하여 패킷별로 보안 서비스의 선택 여부를 결정하는 제 4 단계;
    상기 제 1 단계에서 선택된 보안 서비스가 AH(Authentication Header)가 선택된 경우, 패킷에 대한 인증 데이터 계산 및 SN 값의 생성을 수행하고, 터널 헤더 또는 트랜스포트 헤더를 생성하여 IP 패킷 단편화 및 IP 헤더의 체크 합을 계산 후에, 데이터 링크 헤더를 부가한 정보 보호 패킷을 전송하는 제 5 단계;
    상기 제 1 단계에서 보안 서비스가 ESP(Encapsulating Security Payload)가 선택된 경우, 패킷에 대한 인캡슐레이션(encapsulation), 패딩 및 암호화 처리를 수행후에 인증 데이터(Integrity Check Value, ICV) 값 계산 및 SN(Sequence Number)값의 생성을 수행하고, 터널 헤더 또는 트랜스포트 헤더를 생성하여 IP 패킷 단편화 및 IP 헤더의 체크 합을 계산 후에, 데이터 링크 헤더를 부가한 정보 보호 패킷을 전송하는 제 6 단계; 및
    상기 패킷별로 보안 서비스가 선택되지 않을 경우, 터널 헤더 또는 트랜스포트 헤더를 생성하여 IP 패킷 단편화 및 IP 헤더의 체크 합을 계산 후에, 데이터 링크 헤더를 부가한 프레임 단위로 정보 보호 패킷을 전송하는 제 7 단계
    를 포함하는 정보 보호 인터넷 프로토콜 패킷의 송수신 방법.
  12. 제 10 항에 있어서,
    상기 제 2 단계는,
    수신된 정보 보호 패킷을 통해 보안 정책 데이터 베이스 및 보안 연계 데이터 베이스를 참조하여 패킷별 보안 서비스의 선택 여부를 결정하는 제 5 단계;
    상기 제 5 단계에서, 패킷별 보안 서비스가 선택되면 보안 서비스의 종류가 터널 모드인지를 판단하는 제 6 단계;
    상기 제 6 단계의 판단 결과, 터널 모드일 경우 서비스의 종류가 AH(Authentication Header) 인지 ESP(Encapsulating Security Payload)인지를 구분하여 각각 서비스의 종류에 따라 패킷에 대한 인캡슐레이션(encapsulation), 패딩, 암호화 처리, 인증 데이터(Integrity Check Value, ICV) 계산 및 SN 값의 생성에 관한 처리를 수행하고, 터널 헤더 또는 트랜스포트 헤더를 부가한 패킷을 정보 보호 패킷을 포워딩하는 제 7 단계;
    상기 제 6 단계의 판단 결과, 터널 모드가 아닌 경우 패킷 사용자의 권한이 루트 권한을 가지는지 판단하는 제 8 단계;
    상기 제 8 단계의 판단 결과, 사용자의 권한이 루트 권한을 가지지 못할 경우 패킷을 폐기하는 제 9 단계;
    상기 제 8 단계의 판단 결과, 사용자의 권한이 루트 권한을 가진 경우 보안 연계의 종단 점인지를 판단하는 제 10 단계;
    상기 제 10 단계의 판단 결과, 보안 연계의 종단점인 경우 패킷 헤더에 실려온 SN 값과 인증 데이터(Integrity Check Value, ICV)값을 검사하고, 보안 서비스의 종류가 AH인지 ESP인지를 구분하여 각각 서비스의 종류에 따라 패킷의 복호화, 패드 제거, 디캡슐레이션(decapsulation) 및 보안 정책 데이터베이스를 참조하고, 터널 헤더 또는 트랜스포트 헤더를 제거한 후 정보 보호 IP 패킷을 포워딩하는 제 11 단계; 및
    상기 제 10 단계에서 판단 결과, 보안 연계의 종단점이 아닌 경우 보안 서비스의 종류가 AH(Authentication Header)인지 ESP(Encapsulating Security Payload)인지를 구분하여 각각 서비스의 종류에 따라 패킷에 대한 인캡슐레이션(encapsulation), 패딩, 암호화 처리, 인증 데이터(Integrity Check Value, ICV) 계산 및 SN 값의 생성에 관한 처리를 수행하고, 터널 헤더 또는 트랜스포트 헤더를 부가한 정보 보호 패킷을 포워딩하는 제 12 단계
    를 포함하는 정보 보호 인터넷 프로토콜 패킷의 송수신 방법.
  13. 제 10 항에 있어서,
    상기 제 3 단계는,
    패킷에 대한 재조합으로 완성된 IP 패킷을 수신한 후 보안 연계 데이터 베이스를 참조하여 패킷별 보안 서비스의 선택 여부를 결정하는 제 4 단계;
    상기 보안 서비스가 선택될 경우, 패킷 헤더에 실려온 SN 값과 인증 데이터(Integrity Check Value, ICV)값을 검사하고 보안 서비스가 AH(Authentication Header)인지 ESP(Encapsulating Security Payload)인지를 판단하는 제 5 단계;
    상기 제 5 단계의 판단 결과, 보안 서비스의 종류가 AH(Authentication Header)일 경우 보안 정책 데이터 베이스를 참조하여 현재 수신된 정보 보호 패킷의 처리를 검사하고, 터널 헤더 또는 트랜스포트 헤더를 제거한 후, 다시 IP 헤더 제거하여 IP 계층에서 정보 보호 패킷을 수신하는 제 7 단계; 및
    상기 제 2 단계의 판단 결과, 보안 서비스의 종류가 ESP일 경우, 패킷의 복호화, 패드 제거, 디캡슐레이션(decapsulation)을 수행후에 보안 정책 데이터 베이스를 참조하여 현재 수신된 정보 보호 패킷의 처리를 검사하고, 터널 헤더 또는 트랜스포트 헤더를 제거한 후, 다시 IP 헤더 제거하여 IP 계층에서 정보 보호 패킷을 수신하는 제 8 단계
    를 포함하는 정보 보호 인터넷 프로토콜 패킷의 송수신 방법.
  14. 제 10 항 내지 제 13 항 중 어느 한 항에 있어서,
    상기 IP 계층에는 그 IP 계층을 통과하는 모든 패킷에 대한 정보 보호 서비스를 적용 및 해제하는 IPsec 계층이 일부분으로 추가된 것을 특징으로 하는 정보 보호 인터넷 프로토콜 패킷의 송수신 방법.
  15. 제 10 항 내지 제 13 항 중 어느 한 항에 있어서,
    상기 정보 보호 서비스의 종류는,
    IP 헤더에 대한 인증 서비스를 제공하는 AH(Authentication Header)프로토콜 및 IP 패킷을 암호화하여 패킷에 대한 기밀성과 IP 헤더에 대한 인증 서비스를 제공하는 ESP(Encapsulating Security) 프로토콜을 포함하는 것을 특징으로 하는 정보 보호 인터넷 프로토콜 패킷의 송수신 방법.
  16. 제 10 항 내지 제 13 항 중 어느 한 항에 있어서,
    상기 AH 프로토콜의 헤더는,
    AH 헤더 다음에 나타날 헤더의 종류, 페이로드의 길이, 보안연계 데이터베이스 검색에 필요한 보안 파라미터 인덱스(SPI:Security Parameter Index), 재전송되는 패킷을 폐기하여 재전송 공격에 대한 안정적인 시스템 유지를 위한 SN(Sequence Number) 값 및 인증 데이터(Integrity Check Value, ICV) 값을 포함하는 것을 특징으로 하는 정보 보호 인터넷 프로토콜 패킷의 송수신 방법.
  17. 제 10 항 내지 제 13 항 중 어느 한 항에 있어서,
    상기 ESP 프로토콜의 헤더는,
    보안 연계 데이터베이스를 검색하는 필요한 보안 파라미터 인덱스(SPI: Security Parameter Index), 재전송 공격에 대한 감내성을 위한 SN(Sequence Number), 상위 계층으로부터 내려온 패이로드 데이터, 블록 암호 알고리즘에 의한 암호화 처리를 위한 패드, 패드 길이, ESP 헤더 다음에 나타날 헤더의 종류 및 인증 데이터를 포함하는 것을 특징으로 하는 정보 보호 인터넷 프로토콜 패킷의 송수신 방법.
  18. 정보 보호 인터넷 프로토콜(Internet Protocol :IP) 패킷을 전송하기 위해 프로세서를 구비한 단말 장치에,
    패킷의 IP 헤더를 생성한 후 보안 정책 데이터베이스 및 보안 연계 데이터 베이스를 참조하여 패킷별로 보안 서비스의 선택 여부를 결정하는 제 1 기능;
    상기 제 1 기능에서 선택된 보안 서비스가 AH(Authentication Header)가 선택된 경우, 패킷에 대한 인증 데이터 계산 및 SN 값의 생성을 수행하고, 터널 헤더 또는 트랜스포트 헤더를 생성하여 IP 패킷 단편화 및 IP 헤더의 체크 합을 계산 후에, 데이터 링크 헤더를 부가한 정보 보호 패킷을 전송하는 제 2 기능;
    상기 제 1 기능에서 보안 서비스가 ESP(Encapsulating Security Payload)가 선택된 경우, 패킷에 대한 인캡슐레이션(encapsulation), 패딩 및 암호화 처리를 수행후에 인증 데이터(Integrity Check Value, ICV) 값 계산 및 SN(Sequence Number)값의 생성을 수행하고, 터널 헤더 또는 트랜스포트 헤더를 생성하여 IP 패킷 단편화 및 IP 헤더의 체크 합을 계산 후에, 데이터 링크 헤더를 부가한 정보 보호 패킷을 전송하는 제 3 기능; 및
    상기 패킷별로 보안 서비스가 선택되지 않을 경우, 터널 헤더 또는 트랜스포트 헤더를 생성하여 IP 패킷 단편화 및 IP 헤더의 체크 합을 계산 후에, 데이터 링크 헤더를 부가한 프레임 단위로 정보 보호 패킷을 전송하는 제 4 기능
    을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
  19. 정보 보호 인터넷 프로토콜(Internet Protocol : IP) 패킷을 포워딩하기 위해 프로세서를 구비한 게이트웨이 장치에,
    수신된 정보 보호 패킷을 통해 보안 정책 데이터 베이스 및 보안 연계 데이터 베이스를 참조하여 패킷별 보안 서비스의 선택 여부를 결정하는 제 1 기능;
    상기 제 1 기능에서, 패킷별 보안 서비스가 선택되면 보안 서비스의 종류가 터널 모드인지를 판단하는 제 2 기능;
    상기 제 2 기능의 판단 결과, 터널 모드일 경우 서비스의 종류가 AH(Authentication Header)인지 ESP(Encapsulating Security Payload)인지를 구분하여 각각 서비스의 종류에 따라 패킷에 대한 인캡슐레이션(encapsulation), 패딩, 암호화 처리, 인증 데이터(Integrity Check Value, ICV) 계산 및 SN 값의 생성에 관한 처리를 수행하고, 터널 헤더 또는 트랜스포트 헤더를 부가한 패킷을 정보 보호 패킷을 포워딩하는 제 3 기능;
    상기 제 2 기능의 판단 결과, 터널 모드가 아닌 경우 패킷 사용자의 권한이 루트 권한을 가지는지 판단하는 제 4 기능;
    상기 제 4 기능의 판단 결과, 사용자의 권한이 루트 권한을 가지지 못할 경우 패킷을 폐기하는 제 5 기능;
    상기 제 4 기능의 판단 결과, 사용자의 권한이 루트 권한을 가진 경우 보안 연계의 종단 점인지를 판단하는 제 6 기능;
    상기 제 6 기능의 판단 결과, 보안 연계의 종단점인 경우 패킷 헤더에 실려온 SN 값과 인증 데이터(Integrity Check Value, ICV) 값을 검사하고, 보안 서비스의 종류가 AH인지 ESP인지를 구분하여 각각 서비스의 종류에 따라 패킷의 복호화, 패드 제거, 디캡슐레이션(decapsulation) 및 보안 정책 데이터베이스를 참조하고, 터널 헤더 또는 트랜스포트 헤더를 제거한 후 정보 보호 패킷을 포워딩하는 제 7 기능; 및
    상기 제 6 기능에서 판단 결과, 보안 연계의 종단점이 아닌 경우 보안 서비스의 종류가 AH(Authentication Header) 인지 ESP(Encapsulating Security Payload)인지를 구분하여 각각 서비스의 종류에 따라 패킷에 대한 인캡슐레이션(encapsulation), 패딩, 암호화 처리, 인증 데이터(Integrity Check Value, ICV) 계산 및 SN 값의 생성에 관한 처리를 수행하고, 터널 헤더 또는 트랜스포트 헤더를 부가한 정보 보호 패킷을 포워딩하는 제 8 기능
    을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
  20. 정보 보호 인터넷 프로토콜(Internet Protocol :IP) 패킷을 수신하기 위해 프로세서를 구비한 단말 장치에,
    패킷에 대한 재조합으로 완성된 IP 패킷을 수신한 후 보안 연계 데이터 베이스를 참조하여 패킷별 보안 서비스의 선택 여부를 결정하는 제 1 기능;
    상기 보안 서비스가 선택될 경우, 패킷 헤더에 실려온 SN 값과 인증 데이터(Integrity Check Value, ICV)값을 검사하고 보안 서비스가 AH(Authentication Header)인지 ESP(Encapsulating Security Payload)인지를 판단하는 제 2 기능;
    상기 제 2 기능의 판단 결과, 보안 서비스의 종류가 AH(Authentication Header)일 경우 보안 정책 데이터 베이스를 참조하여 현재 수신된 정보 보호 패킷의 처리를 검사하고, 터널 헤더 또는 트랜스포트 헤더를 제거한 후, 다시 IP 헤더 제거하여 IP 계층에서 정보 보호 패킷을 수신하는 제 3 기능;
    상기 제 2 기능의 판단 결과, 보안 서비스의 종류가 ESP일 경우, 패킷의 복호화, 패드 제거, 디캡슐레이션(decapsulation)을 수행후에 보안 정책 데이터 베이스를 참조하여 현재 수신된 정보 보호 패킷의 처리를 검사하고, 터널 헤더 또는 트랜스포트 헤더를 제거한 후, 다시 IP 헤더 제거하여 IP 계층에서 정보 보호 패킷을 수신하는 제 4 기능; 및
    상기 보안 서비스가 선택되지 않을 경우 수신된 패킷의 IP 헤더 및 TCP 헤더를 제거한 후, INET 소켓과 통신 소켓을 통해 패킷을 수신하는 제 5 기능
    을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
  21. 정보 보호 인터넷 프로토콜(Internet Protocol :IP) 패킷의 송수신 하기 위해 프로세서를 구비한 네트워크 시스템에,
    송신측 단말 장치가 송신하고자 하는 패킷의 IP 헤더를 생성한 후 패킷별 보안 서비스의 선택 여부를 결정하고, 각각 보안 서비스의 종류에 따라 생성된 정보 보호 IP 패킷을 인터넷으로 전송하는 제 1 기능;
    상기 제 1 기능에서 전송된 정보 보호 IP 패킷을 인터넷의 게이트웨이가 선택된 패킷별 보안 서비스 종류에 따라 패킷의 복호화, 패드 제거, 디캡슐레이션(decapsulation) 및 보안 정책 데이터베이스를 참조하는 터널 헤더 또는 트랜스포트 헤더를 생성한 정보 보호 IP 패킷을 수신측 단말 장치로 포워딩하는 제 2 기능; 및
    상기 제 2 기능에서 포워딩된 정보 보호 IP 패킷을 수신한 수신측 단말 장치가 결정된 패킷별 보안 서비스 선택 여부 및 종류에 따라 IP 패킷의 복호화, 패드 제거, 디캡슐레이션(decapsulation) 및 보안 정책 데이터 베이스를 참조하여 터널 헤더 또는 트랜스포트 헤더를 제거한 후 패킷을 다시 IP 헤더를 제거하여 정보 보호 패킷을 수신하는 제 3 기능
    을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
KR10-2001-0027614A 2001-05-21 2001-05-21 정보 보호 인터넷 프로토콜 패킷의 송수신 방법 Expired - Lifetime KR100415554B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2001-0027614A KR100415554B1 (ko) 2001-05-21 2001-05-21 정보 보호 인터넷 프로토콜 패킷의 송수신 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2001-0027614A KR100415554B1 (ko) 2001-05-21 2001-05-21 정보 보호 인터넷 프로토콜 패킷의 송수신 방법

Publications (2)

Publication Number Publication Date
KR20020088728A KR20020088728A (ko) 2002-11-29
KR100415554B1 true KR100415554B1 (ko) 2004-01-24

Family

ID=27705646

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2001-0027614A Expired - Lifetime KR100415554B1 (ko) 2001-05-21 2001-05-21 정보 보호 인터넷 프로토콜 패킷의 송수신 방법

Country Status (1)

Country Link
KR (1) KR100415554B1 (ko)

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100438180B1 (ko) * 2001-12-26 2004-07-01 엘지전자 주식회사 선택적인 암호화기능을 갖는 tcp/ip기반 네트워크용고속 암/복호화 장치 및 방법
KR100470915B1 (ko) * 2001-12-28 2005-03-08 한국전자통신연구원 Ip계층에서의 패킷 보안을 위한 인터넷 정보보호시스템의 제어 방법
KR100480999B1 (ko) * 2002-10-29 2005-04-07 한국전자통신연구원 강제적 접근 제어가 적용된 보안 운용 체제에서의 신뢰채널 제공 장치 및 방법
KR100479345B1 (ko) * 2003-05-06 2005-03-31 한국전자통신연구원 네트워크 보안과 관리장치 및 방법
US20080162922A1 (en) * 2006-12-27 2008-07-03 Swartz Troy A Fragmenting security encapsulated ethernet frames
KR100839941B1 (ko) * 2007-01-08 2008-06-20 성균관대학교산학협력단 IPSec 설정정보와 세션정보를 이용한 비정상IPSec 트래픽 제어 시스템 및 그 제어 방법
US20090144548A1 (en) * 2007-11-30 2009-06-04 Motorola, Inc. Authentication while exchanging data in a communication system
US11652801B2 (en) 2019-09-24 2023-05-16 Pribit Technology, Inc. Network access control system and method therefor
US12166759B2 (en) 2019-09-24 2024-12-10 Pribit Technology, Inc. System for remote execution code-based node control flow management, and method therefor
US11190494B2 (en) 2019-09-24 2021-11-30 Pribit Technology, Inc. Application whitelist using a controlled node flow
KR102119257B1 (ko) * 2019-09-24 2020-06-26 프라이빗테크놀로지 주식회사 터널에 기반하여 단말의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
US12348494B2 (en) 2019-09-24 2025-07-01 Pribit Technology, Inc. Network access control system and method therefor
WO2021060859A1 (ko) 2019-09-24 2021-04-01 프라이빗테크놀로지 주식회사 단말의 네트워크 접속을 인증 및 제어하기 위한 시스템 및 그에 관한 방법
US11082256B2 (en) 2019-09-24 2021-08-03 Pribit Technology, Inc. System for controlling network access of terminal based on tunnel and method thereof
EP4037278A4 (en) * 2019-09-24 2022-11-16 PRIBIT Technology, Inc. SYSTEM FOR CONTROLLING NETWORK ACCESS OF A NODE BASED ON TUNNEL AND DATA FLOW AND METHOD THEREOF
US11381557B2 (en) 2019-09-24 2022-07-05 Pribit Technology, Inc. Secure data transmission using a controlled node flow
US11271777B2 (en) 2019-09-24 2022-03-08 Pribit Technology, Inc. System for controlling network access of terminal based on tunnel and method thereof
CN113992343B (zh) * 2021-09-10 2022-11-18 深圳开源互联网安全技术有限公司 一种实现IPsec网络安全协议的装置、方法、电子设备和存储介质
CN118509254B (zh) * 2024-07-17 2024-10-11 北京熠智科技有限公司 一种网络传输的隐私保护方法及系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5983350A (en) * 1996-09-18 1999-11-09 Secure Computing Corporation Secure firewall supporting different levels of authentication based on address or encryption status
KR19990088222A (ko) * 1998-05-12 1999-12-27 이데이 노부유끼 데이터전송제어방법및데이터전송시스템
US6202081B1 (en) * 1998-07-21 2001-03-13 3Com Corporation Method and protocol for synchronized transfer-window based firewall traversal

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5983350A (en) * 1996-09-18 1999-11-09 Secure Computing Corporation Secure firewall supporting different levels of authentication based on address or encryption status
KR19990088222A (ko) * 1998-05-12 1999-12-27 이데이 노부유끼 데이터전송제어방법및데이터전송시스템
US6202081B1 (en) * 1998-07-21 2001-03-13 3Com Corporation Method and protocol for synchronized transfer-window based firewall traversal

Also Published As

Publication number Publication date
KR20020088728A (ko) 2002-11-29

Similar Documents

Publication Publication Date Title
KR100415554B1 (ko) 정보 보호 인터넷 프로토콜 패킷의 송수신 방법
Kent IP encapsulating security payload (ESP)
Kent RFC 4303: IP encapsulating security payload (ESP)
US7434045B1 (en) Method and apparatus for indexing an inbound security association database
US8984268B2 (en) Encrypted record transmission
Stallings IPv6: the new Internet protocol
KR100910818B1 (ko) 비-macsec 노드들을 통해 macsec 패킷들을터널링하기 위한 방법 및 시스템
US5235644A (en) Probabilistic cryptographic processing method
US8379638B2 (en) Security encapsulation of ethernet frames
US9369550B2 (en) Protocol for layer two multiple network links tunnelling
US20070116285A1 (en) Method and system for secure packet communication
US20110314274A1 (en) Method and apparatus for security encapsulating ip datagrams
CN115333859B (zh) 一种基于芯片方案的IPsec协议报文加密及解密方法
CN112600802B (zh) 一种SRv6加密报文、SRv6报文的加解密方法及装置
WO2007103338A2 (en) Technique for processing data packets in a communication network
CN114050921B (zh) 一种fpga实现的基于udp的高速加密数据传输系统
CN114050920B (zh) 一种基于fpga的透明网络加密系统实现方法
US7426636B1 (en) Compact secure data communication method
JP2007135035A (ja) 通信装置及びパケット処理方法
CN114826748B (zh) 基于rtp、udp及ip协议的音视频流数据加密方法和装置
CN111741034B (zh) 数据传输方法、第一终端和第二终端
CN115037459A (zh) 一种新型IPsec密钥分配方法及分配系统
JP2693881B2 (ja) 通信ネットワークで使用される暗号処理装置及び方法
KR100449809B1 (ko) 다중 보안 서비스를 제공하는 개선된 아이피 계층에서의패킷 보호 방법
KR100522090B1 (ko) IPv6 계층에서의 패킷 보호 방법

Legal Events

Date Code Title Description
A201 Request for examination
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20010521

PA0201 Request for examination
PG1501 Laying open of application
E902 Notification of reason for refusal
PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20030626

Patent event code: PE09021S01D

E701 Decision to grant or registration of patent right
PE0701 Decision of registration

Patent event code: PE07011S01D

Comment text: Decision to Grant Registration

Patent event date: 20031227

GRNT Written decision to grant
PR0701 Registration of establishment

Comment text: Registration of Establishment

Patent event date: 20040106

Patent event code: PR07011E01D

PR1002 Payment of registration fee

Payment date: 20040107

End annual number: 3

Start annual number: 1

PG1601 Publication of registration
PR1001 Payment of annual fee

Payment date: 20070103

Start annual number: 4

End annual number: 4

PR1001 Payment of annual fee

Payment date: 20080103

Start annual number: 5

End annual number: 5

PR1001 Payment of annual fee

Payment date: 20090102

Start annual number: 6

End annual number: 6

PR1001 Payment of annual fee

Payment date: 20091231

Start annual number: 7

End annual number: 7

FPAY Annual fee payment

Payment date: 20110104

Year of fee payment: 8

PR1001 Payment of annual fee

Payment date: 20110104

Start annual number: 8

End annual number: 8

FPAY Annual fee payment

Payment date: 20111208

Year of fee payment: 20

PR1001 Payment of annual fee

Payment date: 20111208

Start annual number: 9

End annual number: 20

PC1801 Expiration of term

Termination date: 20211121

Termination category: Expiration of duration