KR100415554B1 - Method for transmitting and receiving of security provision IP packet in IP Layer - Google Patents
Method for transmitting and receiving of security provision IP packet in IP Layer Download PDFInfo
- Publication number
- KR100415554B1 KR100415554B1 KR10-2001-0027614A KR20010027614A KR100415554B1 KR 100415554 B1 KR100415554 B1 KR 100415554B1 KR 20010027614 A KR20010027614 A KR 20010027614A KR 100415554 B1 KR100415554 B1 KR 100415554B1
- Authority
- KR
- South Korea
- Prior art keywords
- packet
- header
- security
- information protection
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/40—Flow control; Congestion control using split connections
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/90—Buffering arrangements
- H04L49/9042—Separate storage for different parts of the packet, e.g. header and payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
1. 청구범위에 기재된 발명이 속하는 기술분야1. TECHNICAL FIELD OF THE INVENTION
본 발명은 정보 보호 인터넷 프로토콜 패킷의 송수신 방법 및 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것임.The present invention relates to a method of transmitting and receiving information protected Internet protocol packets and a computer readable recording medium having recorded thereon a program for realizing the method.
2. 발명이 해결하고자 하는 기술적 과제2. Technical problem to be solved by the invention
본 발명은, 응용 계층 서비스에 프로그램에 영향을 주지 아니하고 독립적인 구현 및 운용이 가능한 IP 계층에서 패킷별로 정보 보호 서비스를 제공할 수 있도록 한 정보 보호 인터넷 프로토콜 패킷의 송수신 방법 및 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공함에 그 목적이 있음.The present invention provides a method and method for transmitting and receiving information protection Internet protocol packets to provide an information protection service for each packet in an IP layer that can be independently implemented and operated without affecting a program in an application layer service. The purpose is to provide a computer-readable recording medium that records the program.
3. 발명의 해결방법의 요지3. Summary of Solution to Invention
본 발명은, 정보 보호 인터넷 프로토콜(Internet Protocol :IP) 패킷의 전송 장치에 적용되는 정보 보호 인터넷 프로토콜 패킷의 송신 방법에 있어서, 패킷의 IP 헤더를 생성한 후 보안 정책 데이터베이스 및 보안 연계 데이터 베이스를 참조하여 패킷별로 보안 서비스의 선택 여부를 결정하는 제 1 단계; 상기 제 1 단계에서 선택된 보안 서비스가 AH(Authentication Header)일 경우, 패킷에 대한 인증 데이터(Integrity Check Value, ICV) 계산 및 SN(Sequence Number) 값의 생성을 수행하고, 터널 헤더 또는 트랜스포트 헤더를 생성하여 IP 패킷 단편화 및 IP 헤더의 체크 합을 계산 후에, 데이터 링크 헤더를 부가한 정보 보호 IP 패킷을 전송하는 제 2 단계; 및 상기 제 1 단계에서 선택된 보안 서비스가 ESP(Encapsulating Security Payload)일 경우, 패킷에 대한 인캡슐레이션(encapsulation), 패딩 및 암호화 처리를 수행후에 인증 데이터(Integrity Check Value, ICV) 값 계산 및 SN(Sequence Number)값의 생성을 수행하고, 터널 헤더 또는 트랜스포트 헤더를 생성하여 IP 패킷 단편화 및 IP 헤더의 체크 합을 계산 후에, 데이터 링크 헤더를 부가한 정보 보호 IP 패킷을 전송하는 제 3 단계를 포함한다.The present invention relates to a method for transmitting an information protection internet protocol packet applied to an apparatus for transmitting an information protection internet protocol (IP) packet, wherein after generating an IP header of the packet, a security policy database and a security association database are referred to. A first step of determining whether to select a security service for each packet; If the security service selected in the first step is AH (Authentication Header), authentication data (ICV) calculation and generation of SN (Sequence Number) values for the packet are performed, and the tunnel header or the transport header is generated. A second step of generating and calculating the IP packet fragmentation and the check sum of the IP header, and then transmitting the information protection IP packet to which the data link header is added; And if the security service selected in the first step is an encapsulating security payload (ESP), after performing encapsulation, padding, and encryption processing on the packet, calculating authentication data (ICV) values and performing SN ( And a third step of generating the tunnel header or the transport header to calculate the IP packet fragmentation and the check sum of the IP header, and then transmitting the information protection IP packet with the data link header. do.
4. 발명의 중요한 용도4. Important uses of the invention
본 발명은 인터넷에서 IP 계층을 통한 정보 보호 서비스 등에 이용됨.The present invention is used for information protection services through the IP layer in the Internet.
Description
본 발명은 정보 보호 인터넷 프로토콜(Internet Protocol: IP) 패킷의 송수신 방법에 관한 것으로, 보다 상세하게는 응용 계층 서비스 프로그램에 영향을 주지 않으면서 인터넷 프로토콜 계층에서 패킷별로 보안 패킷을 생성 및 전송하기 위한 정보 보호 인터넷 프로토콜 패킷의 송수신 방법 및 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것이다.The present invention relates to a method for transmitting and receiving an information security Internet Protocol (IP) packet, and more particularly, information for generating and transmitting a security packet for each packet in the Internet protocol layer without affecting an application layer service program. A method of transmitting and receiving a protected Internet protocol packet and a computer-readable recording medium having recorded thereon a program for realizing the method.
종래의 인터넷을 통한 정보 보호 기술은 응용 계층의 서비스 별로 정보 보호를 수행하는 방법들이 사용되었다. 이 방법들은 응용 계층의 각 서비스별로 사용자 정보 보호를 위한 방법들을 만들고, 응용 계층의 서비스 프로그램에서 직접적으로 호출하여 사용하는 형태로 구성되어 있는데, 이를 도 1에 제시된 도면을 통해 자세히 살펴본다.In the conventional information protection technology through the Internet, methods of performing information protection for each service of an application layer have been used. These methods are made in the form of creating a method for protecting user information for each service of the application layer, and directly called by the service program of the application layer, which will be described in detail with reference to the drawing shown in FIG.
도 1은 종래의 인터넷 시스템의 프로토콜 스택 구조도이다.1 is a diagram illustrating a protocol stack of a conventional Internet system.
도 1에 도시된 바와 같이, 상기 프로토콜 스택의 구조는 상위 계층의 네트워크 응용 프로그램과 하위 네트워크 미디어가 위치한 물리 계층까지의 수직적인 연결을 보여준다. 사용자의 응용 프로그램은 타 시스템과의 통신을 위해 시스템 커널의 BSD(Berkeley Software Distribution) 소켓 계층(10)과 INET(InterNET) 소켓 계층(11)을 거쳐 네트워크 프로토콜별로 트랜스미션 제어 프로토콜(Transmission Control Protocol: 이하 "TCP"라고 약칭한다) (12), 사용자 데이터그램 프로토콜(User Datagram Protocol: 이하"UDP"라고 약칭한다)(13), 인터넷 제어 메시지 프로토콜(Internet Control Messages Protocol: 이하 "ICMP"라고 약칭한다) 및 인터넷 그룹 멀티케스팅 프로토콜(Internet Group Multicasting Protocol: 이하 "IGMP"라 약칭한다)을 거치고, 공통적으로 IP 계층(16)을 지남으로써 인터넷의 기본적인 통신 단위인 IP 패킷이 만들어지게 된다.As shown in Fig. 1, the structure of the protocol stack shows a vertical connection to the upper layer network application and the physical layer where the lower network media is located. The user's application goes through the Berkeley Software Distribution (BSD) socket layer (10) and the INET (InterNET) socket layer (11) of the system kernel to communicate with other systems. Abbreviated as "TCP" (12), User Datagram Protocol (abbreviated as "UDP") 13, Internet Control Messages Protocol (hereinafter referred to as "ICMP") After passing through the Internet Group Multicasting Protocol (hereinafter abbreviated as "IGMP") and commonly passing through the IP layer 16, an IP packet which is a basic communication unit of the Internet is created.
상기 IP 패킷은 데이터 링크 계층 프로토콜 특성에 따라 점-대-점 프로토콜(Point-to-Point Protocol:이하"PPP"라고 약칭한다), 시리얼 라인 인터페이스 프로토콜(Serial Line Interface Protocol: 이하 "SLIP"라고 약칭한다) 및 이더넷(Ethernet)등의 네트워크 디바이스 드라이버 계층을 지남에 따라 IP 패킷에 부가적인 네트워크 헤더를 추가한 후 인터넷으로 내보내게 된다.The IP packet is abbreviated as Point-to-Point Protocol (hereinafter referred to as "PPP") and Serial Line Interface Protocol (hereinafter referred to as "SLIP") according to data link layer protocol characteristics. As network device driver layers such as Ethernet and Ethernet are added, additional network headers are added to IP packets and then exported to the Internet.
이러한 종래의 인터넷 정보 보호 방법들은 인터넷 서비스별로 정보 보호 방법이 존재하고, 정보 보호를 인터넷 서비스에서 제공하기 위해서는 응용 계층 서비스 프로그램의 변경이 반드시 필요하다는 것을 의미한다. 따라서, 사용자 및 인터넷 서비스 제공자에게 많은 경제적 지출은 유발할 뿐만 아니라 응용 계층 서비스별로 각각 독립적인 정보 보호 방법이 필요하게 되며 각 응용 계층 서비스 프로그램의 부가적인 변경이 필요하게 되는 문제점을 내포하고 있었다.These conventional Internet information protection methods mean that there is an information protection method for each Internet service, and in order to provide information protection in the Internet service, it is necessary to change the application layer service program. Therefore, not only does it incur much economic expenditure for users and Internet service providers, but also requires an independent information protection method for each application layer service, and requires an additional change of each application layer service program.
이에 본 발명은, 상기와 같은 종래의 문제점을 해결하기 위해 제안된 것으로, 응용 계층 서비스에 프로그램에 영향을 주지 아니하고 독립적인 구현 및 운용이 가능한 IP 계층에서 패킷 별로 정보 보호 서비스를 제공할 수 있도록 한 정보 보호 인터넷 프로토콜 패킷의 송수신 방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공함에 그 목적이 있다.Accordingly, the present invention has been proposed to solve the above-mentioned conventional problems, and provides an information protection service for each packet in an IP layer that can be independently implemented and operated without affecting a program in an application layer service. An object of the present invention is to provide a method of transmitting and receiving information protected Internet protocol packets and a computer-readable recording medium having recorded thereon a program for realizing the method.
도 1은 종래의 인터넷 시스템의 프로토콜 스택 구조도.1 is a protocol stack structure diagram of a conventional Internet system.
도 2는 본 발명이 적용되는 정보 보호 인터넷 프로토콜 패킷을 위한 프로토콜 스택 구조도.2 is a protocol stack structure diagram for an information protection Internet protocol packet to which the present invention is applied.
도 3a 및 도 3b는 도 2에 도시된 프로토콜 스택 구조에서 생성된 정보 보호 IP 패킷의 일실시예 구조도.3A and 3B are structural diagrams of one embodiment of an information protection IP packet generated in the protocol stack structure shown in FIG.
도 4a는 도 3a에 도시된 AH 프로토콜 헤더의 상세 구조도.4A is a detailed structural diagram of the AH protocol header shown in FIG. 3A.
도 4b는 도 3b에 도시된 ESP 프로토콜 헤더의 상세 구조도.4B is a detailed structural diagram of the ESP protocol header shown in FIG. 3B.
도 5는 본 발명이 적용되는 정보 보호 인터넷 프로토콜 패킷의 송수신 방법에 대한 일실시예 구성도.Figure 5 is a configuration diagram of an embodiment of a method for transmitting and receiving an information protection Internet protocol packet to which the present invention is applied.
도 6은 본 발명에 따른 정보 보호 인터넷 프로토콜 패킷의 송수신 방법에 대한 일실시예 흐름도.6 is a flowchart illustrating an embodiment of a method for transmitting / receiving an information security internet protocol packet according to the present invention.
도 7은 도 6에 도시된 전송 호스트 단말이 생성된 정보 보호 인터넷 프로토콜 패킷을 인터넷으로 전송하는 절차(H1)의 일실시예 상세 흐름도.FIG. 7 is a detailed flowchart of an embodiment of a procedure H1 for transmitting, by the transmitting host terminal shown in FIG. 6, the generated information protection Internet protocol packet to the Internet.
도 8a 및 도 8b는 도 6에 도시된 게이트웨이가 정보 보호 인터넷 프로토콜패킷을 수신 호스트 단말로 포워딩하는 절차(H2)의 일실시예 상세 흐름도.8A and 8B are detailed flowcharts of one embodiment of a procedure (H2) in which the gateway shown in FIG. 6 forwards an information protection Internet protocol packet to a receiving host terminal.
도 9는 도 6에 도시된 수신 호스트 단말이 정보 보호 인터넷 프로토콜 패킷을 수신하는 절차(H3)의 일실시예 상세 흐름도.FIG. 9 is a detailed flowchart of an embodiment of a procedure H3, in which a receiving host terminal shown in FIG. 6 receives an information protection Internet protocol packet.
상기와 같은 목적을 달성하기 위한 본 발명은, 정보 보호 인터넷 프로토콜(Internet Protocol: IP) 패킷의 전송 장치에 적용되는 정보 보호 인터넷 프로토콜 패킷의 송신 방법에 있어서, 패킷의 IP 헤더를 생성한 후 보안 정책 데이터베이스 및 보안 연계 데이터 베이스를 참조하여 패킷별로 보안 서비스의 선택 여부를 결정하는 제 1 단계; 상기 제 1 단계에서 선택된 보안 서비스가 AH(Authentication Header)일 경우, 패킷에 대한 인증 데이터(Integrity Check Value, ICV) 계산 및 SN(Sequence Number) 값의 생성을 수행하고, 터널 헤더 또는 트랜스포트 헤더를 생성하여 IP 패킷 단편화 및 IP 헤더의 체크 합을 계산 후에, 데이터 링크 헤더를 부가한 정보 보호 IP 패킷을 전송하는 제 2 단계; 및 상기 제 1 단계에서 선택된 보안 서비스가 ESP(Encapsulating Security Payload)일 경우, 패킷에 대한 인캡슐레이션(encapsulation), 패딩 및 암호화 처리를 수행후에 인증 데이터(ICV) 값 계산 및 SN(Sequence Number)값의 생성을 수행하고, 터널 헤더 또는 트랜스포트 헤더를 생성하여 IP 패킷 단편화 및 IP 헤더의 체크 합을 계산 후에, 데이터 링크 헤더를 부가한 정보 보호 IP 패킷을 전송하는 제 3 단계를 포함하는 것을 특징으로 한다.In order to achieve the above object, the present invention provides a method for transmitting an information protection internet protocol packet applied to a device for transmitting an information protection internet protocol (IP) packet, wherein the security policy is generated after generating an IP header of the packet. Determining whether to select a security service for each packet by referring to a database and a security association database; If the security service selected in the first step is AH (Authentication Header), authentication data (ICV) calculation and generation of SN (Sequence Number) values for the packet are performed, and the tunnel header or the transport header is generated. A second step of generating and calculating the IP packet fragmentation and the check sum of the IP header, and then transmitting the information protection IP packet to which the data link header is added; And when the security service selected in the first step is an encapsulating security payload (ESP), after performing encapsulation, padding, and encryption processing on the packet, calculating an authentication data (ICV) value and a sequence number (SN) value. And performing a generation of the tunnel header or the transport header to calculate the IP packet fragmentation and the check sum of the IP header, and then transmitting the information protection IP packet appended with the data link header. do.
또한, 본 발명은, 정보 보호 인터넷 프로토콜(Internet Protocol : IP) 패킷의 포워딩 장치에 적용되는 정보 보호 인터넷 프로토콜 패킷의 포워딩 방법에 있어서, 수신된 정보 보호 패킷을 통해 보안 정책 데이터 베이스 및 보안 연계 데이터 베이스를 참조하여 패킷별 보안 서비스의 선택 여부를 결정하는 제 1 단계; 상기 제 1 단계에서, 패킷별 보안 서비스가 선택되면 보안 서비스의 종류가 터널 모드인지를 판단하는 제 2 단계; 상기 제 2 단계의 판단 결과, 터널 모드일 경우 서비스의 종류가 AH(Authentication Header) 인지 ESP(Encapsulating Security Payload)인지를 구분하여 각각 서비스의 종류에 따라 패킷에 대한 인캡슐레이션(encapsulation), 패딩, 암호화 처리, 인증 데이터(Integrity Check Value, ICV) 계산 및 SN(Sequence Number) 값의 생성에 관한 처리를 수행하고, 터널 헤더 또는 트랜스포트 헤더를 부가한 패킷을 정보 보호 IP 패킷을 포워딩하는 제 3 단계; 상기 제 2 단계의 판단 결과, 터널 모드가 아닌 경우 패킷 사용자의 권한이 루트 권한을 가지는지 판단하는 제 4 단계; 상기 제 4 단계의 판단 결과, 사용자의 권한이 루트 권한을 가지지 못할 경우 패킷을 폐기하는 제 5 단계; 상기 제 4 단계의 판단 결과, 사용자의 권한이 루트 권한을 가진 경우 보안 연계의 종단 점인지를 판단하는 제 6 단계; 상기 제 6 단계의 판단 결과, 보안 연계의 종단점인 경우 패킷 헤더에 실려온 SN 값과 인증 데이터(Integrity Check Value, ICV)값을 검사하고, 보안 서비스의 종류가 AH(Authentication Header)인지 ESP(Encapsulating Security Payload)인지를 구분하여 각각 서비스의 종류에 따라 패킷의 복호화, 패드 제거, 디캡슐레이션(decapsulation) 및 보안 정책 데이터베이스를 참조하고, 터널 헤더 또는 트랜스포트 헤더를 제거한 후 정보 보호 IP 패킷을 포워딩하는 제 7 단계; 및 상기 제 6 단계에서 판단 결과, 보안 연계의 종단점이 아닌 경우 보안 서비스의 종류가 AH(Authentication Header)인지 ESP(Encapsulating Security Payload)인지를 구분하여 각각 서비스의 종류에 따라 패킷에 대한 인캡슐레이션(encapsulation), 패딩, 암호화 처리, 인증 데이터(Integrity Check Value, ICV) 계산 및 SN(Sequence Number) 값의 생성에 관한 처리를 수행하고, 터널 헤더 또는 트랜스포트 헤더를 부가한 정보 보호 IP 패킷을 포워딩하는 제 8 단계를 포함하는 것을 특징으로 한다.The present invention also provides a method of forwarding an information protection internet protocol packet applied to a device for forwarding an information protection internet protocol (IP) packet, the security policy database and a security association database through the received information protection packet. A first step of determining whether to select a packet-specific security service with reference to; A second step of determining whether a type of security service is a tunnel mode when a packet-specific security service is selected in the first step; As a result of the determination of the second step, in the tunnel mode, whether the service type is AH (Authentication Header) or ESP (Encapsulating Security Payload), the packet is encapsulated (encapsulation), padding, A third step of performing encryption processing, authentication data (ICV) calculation and generation of SN (sequence number) values, and forwarding the packet with the tunnel header or the transport header forwarded to the information protection IP packet; ; A fourth step of judging whether the authority of the packet user has a root authority when the determination result of the second stage is not in the tunnel mode; A fifth step of discarding the packet when the authority of the user does not have the root authority as a result of the determination of the fourth step; A sixth step of judging whether the authority of the user is an endpoint of the security association as a result of the determination of the fourth step; As a result of the determination of the sixth step, when the endpoint of the security association, the SN value and the authentication data (ICV) value included in the packet header are examined, and the type of security service is AH (Authentication Header) or ESP (Encapsulating Security). Payload) and refer to packet decryption, pad removal, decapsulation, and security policy database according to the type of service, and forward information protection IP packets after removing the tunnel header or transport header. 7 steps; As a result of the determination in the sixth step, if the security association is not an endpoint, the security service may be classified as an authentication header (AH) or an encapsulating security payload (ESP), and the encapsulation for the packet may be performed according to the service type. encapsulation, padding, encryption processing, authentication data (Integrity Check Value (ICV)) calculation and generation of SN (Sequence Number) values, and forwarding information protection IP packets with the addition of a tunnel header or a transport header. And an eighth step.
또한, 본 발명은, 정보 보호 인터넷 프로토콜(Internet Protocol : IP) 패킷의 수신 장치에 적용되는 정보 보호 인터넷 프로토콜 패킷의 수신 방법에 있어서, 패킷에 대한 재조합으로 완성된 IP 패킷을 수신한 후 보안 연계 데이터 베이스를 참조하여 패킷별 보안 서비스의 선택 여부를 결정하는 제 1 단계; 상기 보안 서비스가 선택될 경우, 패킷 헤더에 실려온 SN 값과 인증 데이터(Integrity Check Value, ICV)값을 검사하고 보안 서비스가 AH(Authentication Header)인지 ESP(Encapsulating Security Payload)인지를 판단하는 제 2 단계; 상기 제 2 단계의 판단 결과, 보안 서비스의 종류가 AH(Authentication Header)일 경우 보안 정책 데이터 베이스를 참조하여 현재 수신된 정보 보호 패킷의 처리를 검사하고, 터널 헤더 또는 트랜스포트 헤더를 제거한 후, 다시 IP 헤더 제거하여 정보 보호 IP 패킷을 수신하는 제 3 단계; 및 상기 제 2 단계의 판단 결과, 보안 서비스의 종류가 ESP일 경우, 패킷의 복호화, 패드 제거, 디캡슐레이션(decapsulation)을 수행후에 보안 정책 데이터 베이스를 참조하여 현재 수신된 정보 보호 패킷의 처리를 검사하고, 터널 헤더 또는 트랜스포트 헤더를 제거한 후, 다시 IP 헤더 제거하여 정보 보호 IP 패킷을 수신하는 제 4 단계를 포함하는 것을 특징으로 한다.In addition, the present invention is a method for receiving an information protection internet protocol packet applied to a device for receiving an information protection internet protocol (IP) packet, comprising: security association data after receiving an IP packet completed by recombination for the packet A first step of determining whether to select a packet-based security service by referring to the base; When the security service is selected, the second step of checking the SN value and the Integrity Check Value (ICV) value carried in the packet header and determining whether the security service is an Authentication Header (AH) or an Encapsulating Security Payload (ESP) ; As a result of the determination of the second step, if the type of security service is AH (Authentication Header), the processing of the currently received information protection packet is examined by referring to the security policy database, and after removing the tunnel header or the transport header, Removing an IP header to receive an information protection IP packet; And as a result of the determination of the second step, when the type of the security service is ESP, processing the currently received information protection packet by referring to the security policy database after decoding the packet, removing the pad, and decapsulating the packet. Inspecting, removing the tunnel header or the transport header, and then removing the IP header again to receive the information protection IP packet.
또한, 본 발명은 정보 보호 인터넷 프로토콜(Internet Protocol :IP) 패킷을 인터넷을 통해 송수신하기 위한 네트워크 시스템에 적용되는 정보 보호 인터넷 프로토콜 패킷의 송수신 방법에 있어서, 전송측 단말 장치가 송신하고자 하는 패킷의 IP(Internet Protocol)헤더를 생성한 후 패킷별 보안 서비스의 선택 여부를 결정하고, 각각 보안 서비스의 종류에 따라 생성된 정보 보호 IP 패킷을 프레임 단위로 전송하는 제 1 단계; 상기 제 1 단계에서 전송된 정보 보호 IP 패킷을 인터넷의 게이트웨이가 선택된 패킷별 보안 서비스 종류에 따라 패킷의 복호화, 패드 제거, 디캡슐레이션(decapsulation) 및 보안 정책 데이터베이스를 참조하는 터널 헤더 또는 트랜스포트 헤더를 생성한 정보 보호 IP 패킷을 수신측 단말 장치로 포워딩하는 제 2 단계; 및 상기 수신측 단말 장치가 포워딩된 정보 보호 IP 패킷에서 결정된 패킷별 보안 서비스 선택 여부 및 종류에 따라 IP 패킷의 복호화, 패드 제거, 디캡슐레이션(decapsulation) 및 보안 정책 데이터베이스를 참조하여 터널 헤더 또는 트랜스포트 헤더를 제거한 후 패킷을 다시 IP 헤더를 제거하여 정보 보호 IP 패킷을 수신하는 제 3 단계를 포함하는 것을 특징으로 한다.In addition, the present invention is a method for transmitting and receiving information protection Internet Protocol packet applied to a network system for transmitting and receiving information protection Internet Protocol (IP) packet over the Internet, the IP of the packet to be transmitted by the transmitting terminal device A first step of generating a (Internet Protocol) header and determining whether a security service for each packet is selected, and transmitting the information protection IP packet generated in units of frames according to the type of security service; Tunnel header or transport header for deciding packet decode, pad removal, decapsulation and security policy database according to the type of packet-specific security service selected by the gateway of the Internet. A second step of forwarding the generated information protection IP packet to the receiving terminal device; And decryption, pad removal, decapsulation, and security policy database of the IP packet according to whether and the type of security service for each packet determined in the forwarded information protection IP packet is determined by the receiving terminal device. And removing the port header and removing the IP header again to receive the information protection IP packet.
한편, 본 발명의 목적을 달성하기 위해, 정보 보호 인터넷 프로토콜(Internet Protocol :IP) 패킷을 전송하기 위해 프로세서를 구비한 단말 장치에, 패킷의 IP 헤더를 생성한 후 보안 정책 데이터베이스 및 보안 연계 데이터 베이스를 참조하여 패킷별로 보안 서비스의 선택 여부를 결정하는 제 1 기능; 상기 제 1 기능에서 선택된 보안 서비스가 AH(Authentication Header)가 선택된 경우, 패킷에 대한 인증 데이터 계산 및 SN 값의 생성을 수행하고, 터널 헤더 또는 트랜스포트 헤더를 생성하여 IP 패킷 단편화 및 IP 헤더의 체크 합을 계산 후에, 데이터 링크 헤더를 부가한 정보 보호 패킷을 전송하는 제 2 기능; 상기 제 1 기능에서 보안 서비스가 ESP(Encapsulating Security Payload)가 선택된 경우, 패킷에 대한 인캡슐레이션(encapsulation), 패딩 및 암호화 처리를 수행후에 인증 데이터(Integrity Check Value, ICV) 값 계산 및 SN(Sequence Number)값의 생성을 수행하고, 터널 헤더 또는 트랜스포트 헤더를 생성하여 IP 패킷 단편화 및 IP 헤더의 체크 합을 계산 후에, 데이터 링크 헤더를 부가한 정보 보호 패킷을 전송하는 제 3 기능; 및 상기 패킷별로 보안 서비스가 선택되지 않을 경우, 터널 헤더 또는 트랜스포트 헤더를 생성하여 IP 패킷 단편화 및 IP 헤더의 체크 합을 계산 후에, 데이터 링크 헤더를 부가한 프레임 단위로 정보 보호 패킷을 전송하는 제 4 기능을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공하는 것을 특징으로 한다.On the other hand, in order to achieve the object of the present invention, after generating the IP header of the packet in the terminal device having a processor for transmitting the information protection Internet Protocol (IP) packet, the security policy database and the security association database A first function of deciding whether to select a security service for each packet with reference to; When AH (Authentication Header) is selected as the security service selected in the first function, calculation of authentication data for the packet and generation of SN value are performed, and a tunnel header or a transport header is generated to check IP packet fragmentation and IP header. A second function of sending an information protection packet appending a data link header after calculating the sum; In case the security service is selected as ESP (Encapsulating Security Payload) in the first function, after performing encapsulation, padding, and encryption processing on the packet, authentication value (Integrity Check Value (ICV) value calculation and SN (Sequence) are performed. A third function of generating a value), generating a tunnel header or a transport header to calculate an IP packet fragmentation and a check sum of the IP header, and then transmitting an information protection packet appended with a data link header; And when the security service is not selected for each packet, generating a tunnel header or a transport header to calculate an IP packet fragmentation and a check sum of the IP header, and then transmitting an information protection packet in units of frames appended with a data link header. And a computer readable recording medium having recorded thereon a program for realizing the four functions.
또한, 본 발명은, 정보 보호 인터넷 프로토콜(Internet Protocol : IP) 패킷을 포워딩하기 위해 프로세서를 구비한 게이트웨이 장치에, 수신된 정보 보호 패킷을 통해 보안 정책 데이터 베이스 및 보안 연계 데이터 베이스를 참조하여 패킷별 보안 서비스의 선택 여부를 결정하는 제 1 기능; 상기 제 1 기능에서, 패킷별 보안 서비스가 선택되면 보안 서비스의 종류가 터널 모드인지를 판단하는 제 2 기능; 상기 제 2 기능의 판단 결과, 터널 모드일 경우 서비스의 종류가 AH(Authentication Header)인지 ESP(Encapsulating Security Payload)인지를 구분하여 각각 서비스의 종류에 따라 패킷에 대한 인캡슐레이션(encapsulation), 패딩, 암호화 처리, 인증 데이터(Integrity Check Value, ICV) 계산 및 SN 값의 생성에 관한 처리를 수행하고, 터널 헤더 또는 트랜스포트 헤더를 부가한 패킷을 정보 보호 패킷을 포워딩하는 제 3 기능; 상기 제 2 기능의 판단 결과, 터널 모드가 아닌 경우 패킷 사용자의 권한이 루트 권한을 가지는지 판단하는 제 4 기능; 상기 제 4 기능의 판단 결과, 사용자의 권한이 루트 권한을 가지지 못할 경우 패킷을 폐기하는 제 5 기능; 상기 제 4 기능의 판단 결과, 사용자의 권한이 루트 권한을 가진 경우 보안 연계의 종단 점인지를 판단하는 제 6 기능; 상기 제 6 기능의 판단 결과, 보안 연계의 종단점인 경우 패킷 헤더에 실려온 SN 값과 인증 데이터(Integrity Check Value, ICV) 값을 검사하고, 보안 서비스의 종류가 AH인지 ESP인지를 구분하여 각각 서비스의 종류에 따라 패킷의 복호화, 패드 제거, 디캡슐레이션(decapsulation) 및 보안 정책 데이터베이스를 참조하고, 터널 헤더 또는 트랜스포트 헤더를 제거한 후 정보 보호 패킷을 포워딩하는 제 7 기능; 및 상기 제 6 기능에서 판단 결과, 보안 연계의 종단점이 아닌 경우 보안 서비스의 종류가 AH(Authentication Header) 인지 ESP(Encapsulating Security Payload)인지를 구분하여 각각 서비스의 종류에 따라 패킷에 대한 인캡슐레이션(encapsulation), 패딩, 암호화 처리, 인증 데이터(Integrity Check Value, ICV) 계산 및 SN 값의 생성에 관한 처리를 수행하고, 터널 헤더 또는 트랜스포트 헤더를 부가한 정보 보호 패킷을 포워딩하는 제 8 기능을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공함을 특징으로 한다.In addition, the present invention provides a gateway device having a processor for forwarding an information protection Internet Protocol (IP) packet to each packet by referring to a security policy database and a security association database through the received information protection packet. A first function of determining whether to select a security service; A second function of determining whether a type of security service is a tunnel mode when a packet-specific security service is selected in the first function; As a result of the determination of the second function, in the tunnel mode, whether the service type is AH (Authentication Header) or ESP (Encapsulating Security Payload (ESP)) is classified, and according to the type of service, encapsulation, padding, A third function of performing encryption processing, authentication data (Integrity Check Value (ICV)) calculation, and generation of SN values, and forwarding the packet with the tunnel header or the transport header to the information protection packet; A fourth function of judging whether the authority of the packet user has a root authority when the second function is not determined in the tunnel mode; A fifth function of discarding the packet if the authority of the user does not have the root authority as a result of the determination of the fourth function; A sixth function that determines whether the security association is an endpoint when a user's authority has root authority as a result of the determination of the fourth function; As a result of the determination of the sixth function, when the endpoint of the security association, the SN value carried in the packet header and the authentication data (Integrity Check Value (ICV)) value are examined, and whether the type of security service is AH or ESP, A seventh function of referencing packet decryption, pad removal, decapsulation and security policy database according to the kind, and forwarding the information protection packet after removing the tunnel header or the transport header; As a result of the determination in the sixth function, if the security service is not an endpoint, the security service may be classified into an authentication header (AH) or an encapsulating security payload (ESP), and the encapsulation of the packet may be performed according to the service type. encapsulation, padding, encryption processing, authentication data (Integrity Check Value (ICV)) calculation and generation of SN values, and an eighth function of forwarding an information protection packet added with a tunnel header or a transport header is realized. And a computer readable recording medium having recorded thereon a program for the purpose of the recording.
또한, 본 발명은, 정보 보호 인터넷 프로토콜(Internet Protocol :IP) 패킷을 수신하기 위해 프로세서를 구비한 단말 장치에, 패킷에 대한 재조합으로 완성된 IP 패킷을 수신한 후 보안 연계 데이터 베이스를 참조하여 패킷별 보안 서비스의 선택 여부를 결정하는 제 1 기능; 상기 보안 서비스가 선택될 경우, 패킷 헤더에 실려온 SN 값과 인증 데이터(Integrity Check Value, ICV)값을 검사하고 보안 서비스가 AH(Authentication Header)인지 ESP(Encapsulating Security Payload)인지를 판단하는 제 2 기능; 상기 제 2 기능의 판단 결과, 보안 서비스의 종류가 AH(Authentication Header)일 경우 보안 정책 데이터 베이스를 참조하여 현재 수신된 정보 보호 패킷의 처리를 검사하고, 터널 헤더 또는 트랜스포트 헤더를 제거한 후, 다시 IP 헤더 제거하여 IP 계층에서 정보 보호 패킷을 수신하는 제 3 기능; 상기 제 2 기능의 판단 결과, 보안 서비스의 종류가 ESP일 경우, 패킷의 복호화, 패드 제거, 디캡슐레이션(decapsulation)을 수행후에 보안 정책 데이터 베이스를 참조하여 현재 수신된 정보 보호 패킷의 처리를 검사하고, 터널 헤더 또는 트랜스포트 헤더를 제거한 후, 다시 IP 헤더 제거하여 IP 계층에서 정보 보호 패킷을 수신하는 제 4 기능; 및 상기 보안 서비스가 선택되지 않을 경우 수신된 패킷의 IP 헤더 및 TCP 헤더를 제거한 후, INET 소켓과 통신 소켓을 통해 패킷을 수신하는 제 5 기능을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공함을 특징으로 한다.In addition, the present invention, after receiving the IP packet completed by the recombination to the packet to the terminal device having a processor for receiving the information protection Internet Protocol (IP) packet packet by referring to the security association database A first function of determining whether to select a specific security service; When the security service is selected, a second function that checks the SN value and the authentication data (ICV) value carried in the packet header and determines whether the security service is an authentication header (AH) or an encapsulating security payload (ESP). ; As a result of the determination of the second function, if the type of security service is AH (Authentication Header), the processing of the currently received information protection packet is examined by referring to the security policy database, and after removing the tunnel header or the transport header, A third function of receiving an information protection packet at the IP layer by removing the IP header; As a result of the determination of the second function, when the type of security service is ESP, after processing of packet decryption, pad removal, and decapsulation, the processing of the currently received information protection packet is examined with reference to the security policy database. A fourth function of removing the tunnel header or the transport header, and then removing the IP header to receive the information protection packet at the IP layer; And removing the IP header and the TCP header of the received packet when the security service is not selected, and then recording a program for realizing a fifth function of receiving the packet through the INET socket and the communication socket. Characterized in providing.
또한, 본 발명은, 정보 보호 인터넷 프로토콜(Internet Protocol : IP) 패킷의 송수신 하기 위해 프로세서를 구비한 네트워크 시스템에, 송신측 단말 장치가 송신하고자 하는 패킷의 IP 헤더를 생성한 후 패킷별 보안 서비스의 선택 여부를 결정하고, 각각 보안 서비스의 종류에 따라 생성된 정보 보호 IP 패킷을 인터넷으로 전송하는 제 1 기능; 상기 제 1 기능에서 전송된 정보 보호 IP 패킷을 인터넷의 게이트웨이가 선택된 패킷별 보안 서비스 종류에 따라 패킷의 복호화, 패드 제거, 디캡슐레이션(decapsulation) 및 보안 정책 데이터베이스를 참조하는 터널 헤더 또는 트랜스포트 헤더를 생성한 정보 보호 IP 패킷을 수신측 단말 장치로 포워딩하는 제 2 기능; 및 상기 제 2 기능에서 포워딩된 정보 보호 IP 패킷을 수신한 수신측 단말 장치가 결정된 패킷별 보안 서비스 선택 여부 및 종류에 따라 IP 패킷의 복호화, 패드 제거, 디캡슐레이션(decapsulation) 및 보안 정책 데이터 베이스를 참조하여 터널 헤더 또는 트랜스포트 헤더를 제거한 후 패킷을 다시 IP 헤더를 제거하여 정보 보호 패킷을 수신하는 제 3 기능을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공함을 특징으로 한다.In addition, the present invention, in the network system having a processor for transmitting and receiving information security Internet Protocol (IP) packet, after generating the IP header of the packet to be transmitted by the sending terminal device, A first function of determining whether to select and transmitting the information protection IP packet generated according to the type of security service, respectively, to the Internet; Tunnel header or transport header for deciding packet decode, pad removal, decapsulation and security policy database according to the type of packet-specific security service selected by the gateway of the Internet. A second function of forwarding the generated information protection IP packet to the receiving terminal device; And decryption, pad removal, decapsulation, and security policy database of the IP packet according to whether the receiving terminal device receiving the information protection IP packet forwarded by the second function is selected and the type of the security service for each packet. The present invention provides a computer-readable recording medium having recorded thereon a program for realizing a third function of receiving an information protection packet by removing an IP header after removing a tunnel header or a transport header.
여기서 상술된 목적, 특징들 및 장점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해 질 것이다. 이하 첨부된 도면을 참조하여 본 발명에 따른 바람직한 일실시예를 상세히 설명한다.The objects, features and advantages described above will become more apparent from the following detailed description taken in conjunction with the accompanying drawings. Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings.
도 2는 본 발명이 적용되는 정보 보호 인터넷 프로토콜 패킷을 위한 프로토콜 스택 구조도이다.2 is a protocol stack structure diagram for an information protection Internet protocol packet to which the present invention is applied.
도 2에 도시된 바와 같이, 인터넷의 IP 계층에서 정보 보호 IP 패킷을 위한 프로토콜 스택 구조는, 응용 계층 서비스 프로그램에 영향을 주지 아니하고 독립적인 구현 및 운용이 가능한 IP 계층에서 패킷별로 정보 보호 서비스를 위하여 IP 계층(26)의 일부분에 IPsec 계층(27)을 추가하였다.As shown in FIG. 2, the protocol stack structure for the information protection IP packet in the IP layer of the Internet, for the information protection service for each packet in the IP layer that can be independently implemented and operated without affecting the application layer service program. An IPsec layer 27 was added to a portion of the IP layer 26.
즉, 사용자의 응용 프로그램은 타 시스템과의 통신을 위해 시스템 커널의 BSD 소켓 계층(20)과 INET 소켓 계층(21)을 거쳐 네트워크 프로토콜별로 TCP(22), UDP(23), ICMP(24) 및 IGMP(25)를 거치고, 공통적으로 IP 계층(26)을 지남으로써 인터넷의 기본적인 통신 단위인 IP 패킷이 만들어지는데, 상기 IPsec 계층(27)에서는 IP 계층(26)을 통과하는 모든 패킷에 대한 정보 보호 서비스의 적용 및 해제 기능을 가지고 있으며, 하위 계층으로부터 수신되는 패킷은 정보 보호 서비스를 해제하는 기능에 의해 처리된 후 기존의 IP 계층(26)으로 전달되고, IP 계층(26)으로부터 수신된 패킷은 정보 보호 서비스를 적용하는 기능에 의해 패킷을 변경한 후 이를 데이터 링크 계층인 PPP(28), SLIP(29) 및 이더넷(30)등을 지남에 따라 정보 보호 IP 패킷에 부가적인 네트워크 헤더를 추가한 후 인터넷으로 내보내게 된다.In other words, the user's application program passes through the BSD socket layer 20 and the INET socket layer 21 of the system kernel for communication with other systems, such as TCP (22), UDP (23), ICMP (24), By passing through the IGMP 25 and commonly passing through the IP layer 26, an IP packet, which is a basic communication unit of the Internet, is created. In the IPsec layer 27, information protection for all packets passing through the IP layer 26 is made. It has a function of applying and releasing a service, and the packet received from the lower layer is processed by the function of releasing the information protection service and then delivered to the existing IP layer 26, and the packet received from the IP layer 26 is After the packet is changed by the function of applying the information protection service, an additional network header is added to the information protection IP packet as the data link layer passes through the PPP (28), the SLIP (29), and the Ethernet (30). After the Internet Will be exported.
도 3a 및 도 3b는 도 2에 도시된 프로토콜 스택 구조에서 IP 계층에서 생성된 정보 보호 IP 패킷의 일실시예 구조도이다.3A and 3B are structural diagrams of an embodiment of an information protection IP packet generated at an IP layer in the protocol stack structure shown in FIG.
도 3a는 IPsec 계층에서 적용하고자 하는 정보 보호 IP 패킷에서 IP 헤더에 대한 인증 서비스를 제공하기 위한 AH(Authentication Header)프로토콜을 포함하는 구조로서, IP 헤더에 대한 인증 서비스와 IP 패킷에 대한 기밀성 서비스 등의 기본 서비스만을 제공하기 위한 트랜스포트 모드가 있고, 패킷의 발신지 정보를 감추기 위한 기능을 추가한 터널 모드가 있다. 또한, 상기 AH 프로토콜은 모두 재전송 공격에 대한 감내 서비스를 위해 시퀀스 넘버(Sequence Number : 이하 "SN" 이라 약칭한다)값을 이용한다. 따라서, 수신측에서 연속적으로 수신되는 패킷에 대한 SN값을 검사함으로써 재전송되는 패킷을 폐기하여 재전송 공격으로부터 안정적인 시스템을 유지할 수 있다.FIG. 3A is a structure including an authentication header (AH) protocol for providing an authentication service for an IP header in an information protection IP packet to be applied in an IPsec layer, and includes an authentication service for an IP header and a confidentiality service for an IP packet. There is a transport mode to provide only the basic services of A and a tunnel mode to add a function for hiding source information of a packet. In addition, the AH protocol uses a sequence number (hereinafter, abbreviated as "SN") value for endurance service for retransmission attack. Therefore, by checking the SN value for packets continuously received at the receiving side, it is possible to discard the retransmitted packet and maintain a stable system from retransmission attacks.
도 3b는 IPsec 계층에서 적용하고자 하는 정보 보호 IP 패킷에서 IP 헤더에 대한 인증 서비스를 제공하기 위한 ESP(Encapsulating Security Payload) 프로토콜을 포함하는 구조로서, 상기 ESP 프로토콜은 IP 헤더에 대한 인증 서비스와 IP 패킷에 대한 기밀성 서비스 등의 기본 서비스만을 제공하기 위한 트랜스포트 모드가 있고, 패킷의 발신지 정보를 감추기 위한 기능을 추가한 터널 모드가 있다. 또한, 상기 ESP 프로토콜은 모두 재전송 공격에 대한 감내 서비스를 위해 SN(Sequence Number)값을 이용한다. 따라서, 수신측에서 연속적으로 수신되는 패킷에 대한 SN 값을 검사함으로써 재전송되는 패킷을 폐기하여 재전송 공격으로부터 안정적인 시스템을 유지할 수 있다.3B is a structure including an Encapsulating Security Payload (ESP) protocol for providing an authentication service for an IP header in an information protection IP packet to be applied in an IPsec layer. The ESP protocol includes an authentication service and an IP packet for an IP header. There is a transport mode for providing only basic services such as a confidentiality service, and a tunnel mode for adding a function for hiding source information of a packet. In addition, all of the ESP protocols use a sequence number (SN) value for endurance service for retransmission attacks. Therefore, by checking the SN value for packets continuously received at the receiving side, it is possible to discard the retransmitted packet and maintain a stable system from retransmission attacks.
도 4a는 도 3a에 도시된 AH 프로토콜 헤더의 상세 구조도이다.4A is a detailed structural diagram of the AH protocol header shown in FIG. 3A.
도 4a에 도시된 바와 같이, AH 프로토콜 헤더의 구조는 AH 프로토콜 다음에 나타날 헤더의 종류, 페이 로드의 길이, 보안 연계 데이터베이스를 검색하는데 필요한 SPI(Security Parameter Index : 이하 " 보안 파라미터 인덱스"라 한다), 재전송 공격에 대한 감내성을 위한 SN, AH 프로토콜의 핵심인 인증 데이터로 구성된다.As shown in Fig. 4A, the structure of the AH protocol header is the type of header to appear after the AH protocol, the length of the payload, and the SPI (Security Parameter Index) required for searching the security association database. It consists of authentication data which is the core of SN and AH protocol for tolerance to retransmission attack.
도 4b는 도 3b에 도시된 ESP 프로토콜 헤더의 상세 구조도이다.4B is a detailed structural diagram of the ESP protocol header shown in FIG. 3B.
도 4b에 도시된 바와 같이, 상기 ESP 프로토콜 헤더는 보안 연계 데이터베이스를 검색하는 필요한 보안 파라미터 인덱스, 재전송 공격에 대한 감내성을 위한SN(Sequence Number), 상위 계층으로부터 내려온 페이 로드 데이터, 블록 암호 알고리즘에 의한 암호화 처리를 위한 패딩, 패드 길이, ESP 헤더 다음에 나타날 헤더의 종류, 인증 데이터로 구성된다.As shown in Fig. 4B, the ESP protocol header includes a security parameter index for searching a security association database, a sequence number (SN) for tolerance to retransmission attacks, payload data from a higher layer, and a block cipher algorithm. Padding for encryption processing, pad length, header type to appear after the ESP header, and authentication data.
도 5는 본 발명이 적용되는 인터넷의 IP 계층에서 생성된 정보 보호 IP 패킷의 송수신 시스템의 일실시예 구성도이다.5 is a diagram illustrating an embodiment of a system for transmitting and receiving information protection IP packets generated in an IP layer of the Internet to which the present invention is applied.
도 5에 도시된 바와 같이, 상기 시스템은 송신 호스트 단말(510), 게이트웨이(520) 및 수신 호스트 단말(530)을 포함한다. 그리고, 상기 게이트웨이(520)는 인터넷(530)을 통해 포워딩을 수행한다.As shown in FIG. 5, the system includes a transmitting host terminal 510, a gateway 520, and a receiving host terminal 530. The gateway 520 forwards through the Internet 530.
상기 송신 호스트 단말(510)은 응용 계층으로부터 수신한 패킷을 암호화 및 인증 정보를 추가하여 생성된 정보 보호 IP 패킷을 데이터 링크 계층을 통해 인터넷(530)으로 전송한다.The transmitting host terminal 510 transmits the information protection IP packet, which is generated by adding encryption and authentication information to the packet received from the application layer, to the Internet 530 through the data link layer.
상기 게이트웨이(520)는 인터넷(530)을 매개로 송신 호스트 단말(510)과 수신 호스트 단말(540)간의 경로에 위치하고, 송신 호스트 단말(510)로부터 전송되는 정보 보호 IP 패킷을 수신 호스트 단말(540)로 포워딩 한다.The gateway 520 is located in a path between the transmitting host terminal 510 and the receiving host terminal 540 via the Internet 530, and receives the information protection IP packet transmitted from the transmitting host terminal 510. Forward to).
수신 호스트 단말(540)은 게이트웨이(520)로부터 포워딩되어 전송되는 정보 보호 패킷을 수신하여 복호화 및 인증 정보 검증을 수행한다.The receiving host terminal 540 receives the information protection packet forwarded and transmitted from the gateway 520 to perform decryption and verification of authentication information.
도 6은 본 발명에 따른 인터넷의 IP 계층에서 생성된 정보 보호 IP 패킷의 송수신 방법의 일실시예의 흐름도이다.6 is a flowchart of an embodiment of a method for transmitting / receiving an information protection IP packet generated at an IP layer of the Internet according to the present invention.
도 6에 도시된 바와 같이, 먼저, 송신 호스트 단말(510)은 응용 계층으로부터 패킷을 수신하고(601), 이 수신된 패킷에 암호화 및 인증 정보를 추가한 정보보호 패킷을 생성한다(602).As shown in FIG. 6, first, a transmitting host terminal 510 receives a packet from an application layer (601), and generates an information protection packet in which encryption and authentication information is added to the received packet (602).
즉, 보안 서비스를 선택한 AH 프로토콜 헤더에 대해서는 패킷 수신지에서 인증 데이터를 계산한 후, 패킷 단편화 과정을 거친 정보 보호 패킷을 생성하고, ESP 프로토콜 헤더에 대해서는 패킷에 대한 인캡슐레이션(encapsulation) 및 패딩을 한 후 암호화를 수행하고, 이 암호화된 패킷에 인증 정보를 추가한 정보 보호 패킷을 생성한다.In other words, for the AH protocol header that selects a security service, authentication data is calculated at the packet destination, and then an information protection packet that has undergone packet fragmentation is generated, and for the ESP protocol header, encapsulation and padding of the packet is performed. After encrypting, encryption is performed, and an information protection packet in which authentication information is added to the encrypted packet is generated.
그 후, 상기와 같이 생성된 정보 보호 패킷은 데이터 링크 헤더가 부가되어 프레임 단위로 인터넷(530)을 통해 게이트웨이(520)로 전송된다(603).Thereafter, the information protection packet generated as described above is added to the data link header and transmitted to the gateway 520 through the Internet 530 in units of frames (603).
이때, 전송된 프레임 단위의 정보 보호 패킷은 인터넷(530)의 게이트웨이(520)에서 수신되고, 이 게이트웨이(520)는 수신된 정보 보호 패킷에서 데이터 링크 헤더를 제거하고 포워딩을 수행한다(604,605).At this time, the transmitted frame information protection packet is received at the gateway 520 of the Internet 530, the gateway 520 removes the data link header from the received information protection packet and performs the forwarding (604, 605).
즉, 데이터 링크 헤더가 제거된 정보 보호 패킷이 보안 서비스가 선택 되었을 경우 AH 프로토콜 헤더 및 ESP 프로토콜 헤더에 따라 패킷 암호화 및 복호화를 수행하고, 재차 데이터 링크 헤더를 부가한 프레임 단위인 정보 보호 패킷을 인터넷(530)으로 전송한다(606). 그러면, 인터넷(530)의 게이트웨이(520)의 포워딩 동작으로 정보 보호 패킷이 수신 호스트 단말(540)으로 전송한다.That is, when the security service is selected for the information protection packet from which the data link header is removed, packet encryption and decryption are performed according to the AH protocol header and the ESP protocol header, and the information protection packet, which is a frame unit to which the data link header is added, is again connected to the Internet. And transmits to 530 (606). Then, the information protection packet is transmitted to the receiving host terminal 540 by the forwarding operation of the gateway 520 of the Internet 530.
그러면 수신 호스트 단말(540)에서는 인터넷(530)의 게이트웨이(520)에서 포워딩된 정보 보호 패킷을 수신하여, 이 정보 보호 패킷에서 데이터 링크 헤더를 삭제하고(607), 이 삭제된 정보 보호 패킷을 보안 서비스의 선택 여부에 따라 인증 데이터 검사를 수행하고, 프로토콜 헤더의 종류에 따라 즉, AH 프로토콜 헤더 및 ESP 프로토콜 헤더에 따라 복호화 및 인증 정보를 확인한다(608). 그 후, 수신된 데이터를 수신 호스트 단말(540)의 상위에 있는 응용 계층으로 전송한다(609).The receiving host terminal 540 then receives the forwarded information protection packet from the gateway 520 of the Internet 530, deletes the data link header from the information protection packet (607), and secures the deleted information protection packet. The authentication data is checked according to whether the service is selected, and the decryption and authentication information is checked according to the type of the protocol header, that is, the AH protocol header and the ESP protocol header (608). Thereafter, the received data is transmitted to the application layer above the receiving host terminal 540 (609).
도 7은 도 6에 도시된 호스트 단말이 생성된 정보 보호 IP 패킷을 인터넷으로 전송하는 절차(H1)의 일실시예 상세 흐름도이다.FIG. 7 is a detailed flowchart of an embodiment H1 of transmitting the generated information protection IP packet to the Internet by the host terminal illustrated in FIG. 6.
도 7에 도시된 바와 같이, 상위 응용 프로그램에서 임의의 정보를 인터넷(530)을 통해 내보낼 경우, 먼저 소켓 계층에서 통신을 위한 소켓을 생성하고(701), INET 소켓을 생성한 후(702), 이 INET 소켓(702)을 통해 응용 계층의 데이터를 TCP 계층으로 내려보낸다. 그러면, 상기 TCP 계층에서는 TCP 헤더를 상위 응용 계층으로부터 내려온 메시지에 부가한 후 IP 계층으로 내려보낸다(703). 이때, IP 계층에서는 TCP 계층으로부터 내려온 데이터에 IP 헤더를 부가하여 IP 패킷을 조립한다(704,705).As shown in FIG. 7, when the upper application exports arbitrary information through the Internet 530, first, a socket for communication is created in the socket layer (701), and then an INET socket is generated (702). Through this INET socket 702, data of the application layer is sent down to the TCP layer. Then, the TCP layer adds the TCP header to the message from the upper application layer and then sends it down to the IP layer (703). At this time, the IP layer assembles an IP packet by adding an IP header to data coming from the TCP layer (704 and 705).
상기와 같이, IP 계층의 패킷이 조립된 후, 보안 정책 데이터베이스와 보안 연계 데이터베이스를 검색하여 보안 서비스가 선택되었는지를 판단한다(706).As described above, after the packet of the IP layer is assembled, the security policy database and the security association database are searched to determine whether the security service is selected (706).
상기 과정(706)에서 판단한 결과, 보안 서비스가 선택되지 않았을 경우에는 IP 패킷에 생성된 터널 헤더 또는 트랜지포트 헤더를 부가하고(713), IP 패킷 단편화 과정(714)을 거쳐 IP 헤더의 체크 합(Checksum)을 계산한 후(715) 데이터 링크 계층으로 IP 패킷을 내려보내고, 데이터 링크 계층에서는 물리 계층의 전송로 특성에 따른 데이터 링크 헤더를 부가한 프레임 단위의 데이터를 인터넷으로 전송한다(716).As a result of the determination in step 706, when the security service is not selected, the tunnel header or the transition port header generated in the IP packet is added (713), and the IP header fragmentation process 714 passes through the check sum of the IP header ( After the checksum is calculated (715), the IP packet is sent down to the data link layer, and the data link layer transmits data in units of frames added with a data link header according to a transmission path characteristic of the physical layer (716).
한편, 상기 과정(706)에서 판단한 결과, 보안 서비스가 선택된 경우는 보안연계 데이터베이스의 보안 서비스의 종류 즉, AH 서비스인지 ESP 서비스인지를 판단한다(707). 상기 과정(707)에서 판단한 결과, AH 서비스가 선택되었을 경우는 패킷 수신지에서 인증 데이터를 계산한 후 원래의 값과 비교할 수 있도록 ICV( Integrity Check Value : 이하 "인증 데이터 값"으로 약칭한다)를 계산한다(711). 그리고, 재전송 공격을 방지할 수 있도록 SN 값을 생성하여 AH 헤더 내에 넣은 후 트랜스 포트 또는 터널 헤더를 IP 패킷에 부가한 후(712,713), 패킷 단편화 과정을 거쳐 IP 헤더의 체크 합(Checksum)을 계산한 후 데이터 링크 계층으로 내려보내고(714,715), 데이터 링크 계층에서는 물리 계층의 전송로 특성에 따른 데이터 링크 헤더를 부가한 프레임을 생성한 후 이를 인터넷으로 전송한다(716).On the other hand, as a result of the determination in step 706, when the security service is selected, it is determined whether the security service of the security association database, that is, AH service or ESP service (707). As a result of the determination in step 707, when AH service is selected, ICV (Integrity Check Value: abbreviated as "authentication data value") is calculated so that authentication data can be calculated at the packet destination and compared with the original value. Calculate (711). In order to prevent retransmission attacks, SN values are generated and inserted into AH headers, and transport or tunnel headers are added to IP packets (712, 713), and packet fragmentation is performed to calculate checksums of IP headers. Then, the data link layer is sent down to the data link layer (714,715), and the data link layer generates a frame to which the data link header is added according to the transmission path characteristics of the physical layer, and transmits it to the Internet (716).
한편, 상기 과정(707)에서 판단한 결과, ESP 서비스가 선택된 경우는 패킷에 대한 인캡슐레이션(encapsulation)을 수행한 후 데이터의 길이를 블록 암호화 알고리즘에 적용할 수 있도록 패딩을 한 후 패킷 암호화를 수행한다(708,709,710). 그리고, 상기 패킷 암호화가 완료된 후, 패킷 수신지에서 인증 데이터를 계산한 후 원래의 값과 비교할 수 있도록 인증 데이터 값을 계산하고(711), 재전송 공격을 방지할 수 있도록 SN 값을 생성하여 ESP 헤더 내에 넣은 후 트랜스 포트 또는 터널 헤더를 IP 패킷에 부가한 후(712,713), 패킷 단편화 과정을 거쳐 IP 헤더의 체크 합(Checksum)을 계산한 후 데이터 링크 계층으로 내려보내고(714,715), 데이터 링크 계층에서는 물리 계층의 전송로 특성에 따른 데이터 링크 헤더를 부가한 프레임을 생성한 후 이를 인터넷으로 전송한다(716).On the other hand, as a result of the determination in step 707, when the ESP service is selected, after encrypting the packet, the packet is encrypted after padding so that the length of the data can be applied to the block encryption algorithm. (708, 709, 710). After the packet encryption is completed, the authentication data value is calculated to calculate the authentication data at the packet destination and then compared with the original value (711), and the SN value is generated to generate the SN value to prevent retransmission attacks. After adding the transport or tunnel header to the IP packet (712,713), the packet summarization process calculates the checksum of the IP header and sends it down to the data link layer (714,715). After generating a frame to which a data link header according to a transmission path characteristic of a physical layer is added, the frame is transmitted to the Internet (716).
도 8a 및 도 8b는 도 6에 도시된 인터넷의 게이트웨이가 정보 보호 IP 패킷을 포워딩하는 절차(H2)의 일실시예 상세 흐름도이다.8A and 8B are detailed flowcharts of one embodiment of a procedure H2 of forwarding of an information protection IP packet by a gateway of the Internet shown in FIG. 6.
도 8a 및 도 8b에 도시된 바와 같이, 상기 인터넷(530)의 게이트웨이(520)에서 정보 보호 IP 패킷을 포함한 프레임을 수신한 경우, 수신된 프레임을 데이터 링크 계층에서 데이터 링크 헤더를 제거한 후 이를 IP 계층으로 올려보낸다(800). 그러면, 이 IP 계층으로 올라온 프레임은 IP 포워딩을 수행하여 보안 정책 데이터베이스와 보안 연계 데이터베이스를 검색한다(801,802). 이때, 검색한 결과, 보안 서비스가 선택되는지를 판단하는데(803), 상기 과정(803)에서 판단한 결과, 보안 서비스가 선택되지 않았을 경우에는 라우팅 정보를 이용하여 IP 헤더의 값을 바꾼 후 데이터 링크 계층으로 내려보낸다. 그러면, 이 데이터 링크 계층에서는 물리 계층의 전송로 특성에 따른 데이터 링크 헤더를 부가한 프레임을 생성한 후 이를 인터넷으로 전송한다(822,823).As shown in FIGS. 8A and 8B, when a frame including an information protection IP packet is received at the gateway 520 of the Internet 530, the received frame is removed after the data link header is removed from the data link layer. Upload to hierarchy (800). Then, the frame uploaded to the IP layer performs IP forwarding to search the security policy database and the security association database (801, 802). In this case, as a result of the search, it is determined whether the security service is selected (803). If the security service is not selected as the result of the process (803), the data link layer is changed after changing the value of the IP header using routing information. Send it down. Then, the data link layer generates a frame to which the data link header is added according to the transmission path characteristics of the physical layer and transmits the frame to the Internet (822, 823).
한편, 상기 과정(803)에서 판단한 결과, 보안 서비스가 선택된 경우에는 보안 서비스의 형태가 터널 모드인지를 판단한다(804). 상기 과정(804)에서 판단한 결과, 보안 서비스의 형태가 터널 모드일 경우에는 보안 서비스의 종류를 파악하는 과정(807)으로 진행한다.On the other hand, if the security service is selected as a result of the determination in step 803, it is determined whether the type of security service is the tunnel mode (804). As a result of the determination in step 804, when the type of the security service is in the tunnel mode, the process proceeds to step 807 for identifying the type of security service.
상기 과정(804)에서 판단한 결과, 보안 서비스의 형태가 터널 모드가 아닐경우, 즉 트랜스포트 모드일 경우에는 패킷의 사용자가 루트인지 여부를 판단하는데(805), 이때, 판단한 결과 패킷의 사용자가 루트가 아닌 경우는 패킷을 폐기하고(814), 루트인 경우에는 보안 연계의 종단인지 아닌지를 판단하는 과정(806)으로 진행한다. 이때, 보안 연계의 종단이 아닐 경우에는 보안 서비스의종류를 파악하는 과정(807)으로 진행한다.As a result of the determination in step 804, if the security service is not in the tunnel mode, that is, in the transport mode, it is determined whether the user of the packet is the route (805). If not, discard the packet (814), and if it is the root proceeds to step 806 to determine whether or not the end of the security association. In this case, if it is not the end of the security association, the process proceeds to step 807 of identifying the type of security service.
따라서, 상기 과정(807)에서 보안 서비스의 종류가 AH 서비스일 경우에는 패킷 수신지에서 인증 데이터를 계산한 후 원래의 값과 비교할 수 있도록 인증 데이터 값을 계산하고(811), 재전송 공격을 방지할 수 있도록 SN 값을 생성하여 AH 헤더내에 넣은 후 트랜스 포트 또는 터널 헤더를 IP 패킷에 부가한다(812,813). 그리고, IP 포워딩을 통해 라우팅 정보를 이용하여 IP 헤더의 값을 바꾼 후 데이터 링크 계층으로 내려보낸다(822). 따라서, 데이터 링크 계층에서는 물리 계층의 전송로 특성에 따른 데이터 링크 헤더를 부가한 프레임을 생성한 후 이를 인터넷으로 전송한다(823).Therefore, if the type of security service is AH service in step 807, the authentication data value is calculated to be compared with the original value after calculating the authentication data at the packet destination (811), and the retransmission attack is prevented. An SN value is generated and inserted into the AH header, and then the transport or tunnel header is added to the IP packet (812, 813). In operation 822, the IP header is changed using the routing information and then the IP header value is changed to the data link layer. Accordingly, the data link layer generates a frame to which a data link header according to a transmission path characteristic of the physical layer is added and transmits the frame to the Internet (823).
한편, 상기 과정(807)에서 보안 서비스의 종류가 ESP 서비스일 경우는 패킷에 대한 인캡슐레이션(encapsulation)을 수행한 후 데이터의 길이를 블록 암호화 알고리즘에 적용한 수 있도록 패딩을 한 후 패킷 암호화를 수행한다(808,809,810). 그리고, 상기 패킷 암호화가 완료된 후, 패킷 수신지에서 인증 데이터를 계산한 후 원래의 값과 비교할 수 있도록 인증 데이터 값을 계산하고(811), 재전송 공격을 방지할 수 있도록 SN 값을 생성하여 ESP 헤더 내에 넣은 후(812), 트랜스포트 헤더 또는 터널 헤더를 IP 패킷에 부가한 후 IP 포워딩을 통해 라우팅 정보를 이용하여 IP 헤더의 값을 바꾼 후 데이터 링크 계층으로 내려보낸다(813,822). 데이터 링크 계층에서는 물리 계층의 전송로 특성에 따른 데이터 링크 헤더를 부가한 프레임을 생성한 후 이를 인터넷으로 전송한다(823).On the other hand, if the type of security service is an ESP service in step 807, after encapsulating the packet, padding is performed after padding so that the length of the data can be applied to the block encryption algorithm. (808, 809, 810). After the packet encryption is completed, the authentication data value is calculated to calculate the authentication data at the packet destination and then compared with the original value (811), and an SN value is generated to generate an SN value to prevent retransmission attacks. After inserting the packet into the packet (812), the transport header or tunnel header is added to the IP packet, and then the IP header is changed using routing information through IP forwarding and then sent down to the data link layer (813, 822). The data link layer generates a frame to which a data link header according to a transmission path characteristic of the physical layer is added and transmits the frame to the Internet (823).
한편, 상기 과정(806)에서 판단한 결과, 보안 연계의 종단인 경우는 재전송공격에 대한 가능성을 파악하기 위하여 SN 값을 검사하고(815), 수신된 패킷의 내용을 이용하여 인증 데이터를 생성한 후, AH 또는 ESP 헤더 내의 ICV 값과 비교하는 과정을 수행한다(816). 이때, SN 값과 인증 데이터(ICV) 값의 검사가 성공적으로 완료된 경우 보안 연계 데이터베이스의 보안 서비스 종류를 판단한다(817).On the other hand, as a result of the determination in step 806, in the case of the termination of the security association, the SN value is examined to determine the possibility of the retransmission attack (815), and after generating authentication data using the contents of the received packet In operation 816, the process compares the ICV value in the AH or ESP header. In this case, when the inspection of the SN value and the authentication data (ICV) value is completed successfully, the security service type of the security association database is determined (817).
상기 과정(817)에서 판단한 결과, AH 서비스가 선택된 경우는 터널 헤더 또는 트랜스포트 헤더를 제거한 후 데이터 링크 계층으로 내려보낸다(111). 그러면, 데이터 링크 계층에서는 물리 계층의 전송로 특성에 따른 데이터 링크 헤더를 부가한 프레임을 생성한 후 이를 인터넷으로 전송한다(822,823).As a result of the determination in step 817, if the AH service is selected, the tunnel header or transport header is removed and then sent down to the data link layer (111). Then, the data link layer generates a frame to which the data link header is added according to the transmission path characteristics of the physical layer and transmits the frame to the Internet (822, 823).
상기 과정(817)에서 판단한 결과, ESP 서비스가 선택된 경우는 패킷을 복호화하고(818), 블록 암호 알고리즘 처리를 위해 부가하였던 패드를 제거한 후 패킷에 대한 디캡슐레이션(decapsulation)을 수행한다(818,819,820). 즉, 이와 같이 암호화 된 패킷의 복호화 과정을 통해 암호화 이전의 패킷으로 재생한 후 IP 포워딩에서 라우팅 정보를 이용하여 IP 헤더의 값을 바꾼 후 데이터 링크 계층으로 내려보낸다(821). 그러면, 데이터 링크 계층에서는 물리 계층의 전송로 특성에 따른 데이터 링크 헤더를 부가한 프레임을 생성한 후 이를 인터넷으로 전송한다(822,823).As a result of the determination in step 817, when the ESP service is selected, the packet is decrypted (818), the pad added for the block cipher algorithm processing is removed, and the packet is decapsulated (818, 819, 820). . That is, after decrypting the encrypted packet as described above, the packet is reproduced as a packet before encryption, and then the IP header is changed using routing information in IP forwarding and then sent down to the data link layer (821). Then, the data link layer generates a frame to which the data link header is added according to the transmission path characteristics of the physical layer and transmits the frame to the Internet (822, 823).
도 9는 도 6에 도시된 수신 호스트 단말이 정보 보호 IP 패킷을 수신하는 절차(H3)의 일실시예 상세 흐름도이다.FIG. 9 is a detailed flowchart of an embodiment H3 of a receiving host terminal shown in FIG. 6 receiving an information protection IP packet.
즉, 상기 수신 호스트 단말(540)이 인터넷(530)의 게이트웨이(520)를 통해 프레임을 수신한 후, 데이터 링크 계층에서 데이터 링크 헤더를 제거한 후 이를 IP계층으로 올려보낸다(900). 그러면, 상기 IP 계층에서는 패킷 재조합 과정을 통해 단편화 된 패킷을 하나의 패킷으로 재 조합한 후 IP 계층에서 IP 패킷을 수신한다(901,902). 이때, 수신된 IP 패킷은 보안 연계 데이터베이스를 검색하고(903), 그 검색 결과로 보안 서비스가 선택되어 있는지를 판단한다(904).That is, after receiving the frame through the gateway 520 of the Internet 530, the receiving host terminal 540 removes the data link header from the data link layer and uploads it to the IP layer (900). Then, the IP layer receives the IP packet in the IP layer after recombining the fragmented packet into one packet through a packet recombination process (901, 902). In this case, the received IP packet searches the security association database (903), and determines whether the security service is selected as a result of the search (904).
상기 과정(904)에서 판단한 결과, 보안 서비스가 선택되지 않았을 경우에는 IP 헤더를 제거한 후 TCP 계층으로 올려보내고(913), TCP 계층에서는 TCP 헤더를 제거한 후(914), INET 소켓과 통신 소켓을 통해 상위 응용 계층으로 전송한다(915,916).As a result of the determination in step 904, if the security service is not selected, the IP header is removed and then uploaded to the TCP layer (913), and the TCP layer is removed from the TCP header (914), through the INET socket and the communication socket. Transmission to the higher application layer (915, 916).
상기 과정(904)에서 판단한 결과, 보안 서비스가 선택된 경우는 재전송 공격에 대한 가능성을 파악하기 위하여 SN 값을 검사하고(905), 수신된 패킷의 내용을 이용하여 인증 데이터를 생성하여 AH 헤더 또는 ESP 헤더 내의 인증 데이터 값과 비교하는 과정을 수행한다(906). 이때, 상기 SN 값과 ICV 값의 검사가 완료되면, 보안 연계 데이터베이스의 보안 서비스의 종류를 파악 즉, 보안 서비스가 AH 서비스인지 ESP 서비스인지를 판단한다(907).As a result of the determination in step 904, if the security service is selected, the SN value is examined to determine the possibility of the retransmission attack (905), and the authentication data is generated using the contents of the received packet to generate the AH header or ESP. The process of comparing the authentication data value in the header is performed (906). In this case, when the inspection of the SN value and the ICV value is completed, the type of security service of the security association database is identified, that is, whether the security service is an AH service or an ESP service (907).
상기 과정(907)에서 판단한 결과, AH 서비스가 선택된 경우 보안 정책 데이터베이스를 참조하여 터널 헤더 및 트랜스포트 헤더를 제거하고, 현재 수신된 패킷이 보안 정책에 맞게 처리되었는지를 검사하여 IP 헤더를 제거한 후(911,912,913), TCP 계층으로 올려보내 TCP 헤더를 제거한다(914). 그리고, INET 소켓과 통신 소켓의 생성을 통해 상위 응용 계층으로 전송한다(915,916).As a result of the determination in step 907, when the AH service is selected, the tunnel header and the transport header are removed by referring to the security policy database, and the IP header is removed by checking whether the currently received packet has been processed according to the security policy. 911, 912, 913), which is sent to the TCP layer to remove the TCP header (914). The INET socket and the communication socket are created and transmitted to the upper application layer (915, 916).
한편, 상기 과정(907)에서 판단한 결과, ESP 서비스가 선택된 경우는 패킷을 복호화하고(908), 블록 암호 알고리즘 처리를 위해 부가하였던 패드를 제거한 후 패킷에 대한 디캡슐레이션(decapsulation)을 수행한다(909,910). 그리고, 암호화된 패킷의 복호화 과정을 통해 암호화 이전의 패킷으로 재생한 후(911), 보안 정책 데이터베이스를 참조하여 터널 헤더 및 트랜스포트 헤더를 제거하고 현재 수신된 패킷이 보안 정책에 맞게 처리되었는지를 검사하여 IP 헤더를 제거한 후(912,913), TCP 계층으로 올려보내 TCP 헤더를 제거한다(914). 그리고, INET 소켓과 통신 소켓을 통해 상위 응용 계층으로 전송한다(915,916).On the other hand, as a result of the determination in step 907, when the ESP service is selected, the packet is decrypted (908), the pad added for the block cipher algorithm processing is removed, and the packet is decapsulated (decapsulation) ( 909,910). After replaying the encrypted packet through the decryption process of the encrypted packet (911), the TNC removes the tunnel header and the transport header by referring to the security policy database and checks whether the currently received packet is processed according to the security policy. After removing the IP header (912, 913), it is sent to the TCP layer to remove the TCP header (914). In operation 915 and 916, the INET socket and the communication socket are transmitted to the upper application layer.
상술한 바와 같은 본 발명의 방법은 프로그램으로 구현되어 컴퓨터로 읽을 수 있는 기록매체(씨디롬, 램, 롬, 플로피 디스크, 하드디스크, 광자기 디스크 등)에 저장될 수 있다.The method of the present invention as described above may be implemented in a program and stored in a computer-readable recording medium (CD-ROM, RAM, ROM, floppy disk, hard disk, magneto-optical disk, etc.).
이상에서 설명한 본 발명은 진술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니고, 본 발명의 기술적 사상을 벗어나지 않는 범위내에서 여러가지 치환, 변형 및 변경이 가능하다는 것이 본 발명이 속하는 기술분야에서 통상의 지식을 가진자에게 있어 명백할 것이다.The present invention described above is not limited to the stated embodiments and the accompanying drawings, and it is common in the art that various substitutions, modifications, and changes can be made without departing from the technical spirit of the present invention. It will be evident to those who have knowledge of.
상기와 같은 본 발명은, 상위 응용 계층으로부터 발생된 메시지가 인터넷을 통해 전달될 수 있는 IP 패킷의 형태로 변형되는 과정에서 정보 보호 서비스를 선택적으로 제공하여 상위 계층 서비스 프로그램의 변경 없이 모든 인터넷 서비스에 정보 보호 기능을 제공할 수 있는 효과가 있다.As described above, the present invention selectively provides an information protection service in the process of transforming a message generated from a higher application layer into an IP packet that can be transmitted through the Internet, thereby changing the upper layer service program to all Internet services. It has the effect of providing information protection.
Claims (21)
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR10-2001-0027614A KR100415554B1 (en) | 2001-05-21 | 2001-05-21 | Method for transmitting and receiving of security provision IP packet in IP Layer |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR10-2001-0027614A KR100415554B1 (en) | 2001-05-21 | 2001-05-21 | Method for transmitting and receiving of security provision IP packet in IP Layer |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20020088728A KR20020088728A (en) | 2002-11-29 |
| KR100415554B1 true KR100415554B1 (en) | 2004-01-24 |
Family
ID=27705646
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR10-2001-0027614A Expired - Lifetime KR100415554B1 (en) | 2001-05-21 | 2001-05-21 | Method for transmitting and receiving of security provision IP packet in IP Layer |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR100415554B1 (en) |
Families Citing this family (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100438180B1 (en) * | 2001-12-26 | 2004-07-01 | 엘지전자 주식회사 | Apparatus and method for high speed encryption/decryption using TCP/IP base network having selective encryption function |
| KR100470915B1 (en) * | 2001-12-28 | 2005-03-08 | 한국전자통신연구원 | Method for controlling internet information security system in ip packet level |
| KR100480999B1 (en) * | 2002-10-29 | 2005-04-07 | 한국전자통신연구원 | Apparatus and method for providing trusted channel in secure operating systems which are by using mandatory access control policy |
| KR100479345B1 (en) * | 2003-05-06 | 2005-03-31 | 한국전자통신연구원 | Method and apparatus for network security and management |
| US20080162922A1 (en) * | 2006-12-27 | 2008-07-03 | Swartz Troy A | Fragmenting security encapsulated ethernet frames |
| KR100839941B1 (en) * | 2007-01-08 | 2008-06-20 | 성균관대학교산학협력단 | Abnormal ISP traffic control system using IP setting information and session information and control method thereof |
| US20090144548A1 (en) * | 2007-11-30 | 2009-06-04 | Motorola, Inc. | Authentication while exchanging data in a communication system |
| US11652801B2 (en) | 2019-09-24 | 2023-05-16 | Pribit Technology, Inc. | Network access control system and method therefor |
| US11271777B2 (en) | 2019-09-24 | 2022-03-08 | Pribit Technology, Inc. | System for controlling network access of terminal based on tunnel and method thereof |
| US12381890B2 (en) | 2019-09-24 | 2025-08-05 | Pribit Technology, Inc. | System and method for secure network access of terminal |
| WO2021060858A1 (en) * | 2019-09-24 | 2021-04-01 | 프라이빗테크놀로지 주식회사 | System for controlling network access of node on basis of tunnel and data flow, and method therefor |
| US12348494B2 (en) | 2019-09-24 | 2025-07-01 | Pribit Technology, Inc. | Network access control system and method therefor |
| US12166759B2 (en) | 2019-09-24 | 2024-12-10 | Pribit Technology, Inc. | System for remote execution code-based node control flow management, and method therefor |
| US11190494B2 (en) | 2019-09-24 | 2021-11-30 | Pribit Technology, Inc. | Application whitelist using a controlled node flow |
| US11381557B2 (en) | 2019-09-24 | 2022-07-05 | Pribit Technology, Inc. | Secure data transmission using a controlled node flow |
| WO2021060859A1 (en) | 2019-09-24 | 2021-04-01 | 프라이빗테크놀로지 주식회사 | System for authenticating and controlling network access of terminal, and method therefor |
| US11082256B2 (en) | 2019-09-24 | 2021-08-03 | Pribit Technology, Inc. | System for controlling network access of terminal based on tunnel and method thereof |
| KR102119257B1 (en) * | 2019-09-24 | 2020-06-26 | 프라이빗테크놀로지 주식회사 | System for controlling network access of terminal based on tunnel and method thereof |
| CN113992343B (en) * | 2021-09-10 | 2022-11-18 | 深圳开源互联网安全技术有限公司 | Device, method, electronic equipment and storage medium for realizing IPsec network security protocol |
| CN118509254B (en) * | 2024-07-17 | 2024-10-11 | 北京熠智科技有限公司 | Privacy protection method and system for network transmission |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5983350A (en) * | 1996-09-18 | 1999-11-09 | Secure Computing Corporation | Secure firewall supporting different levels of authentication based on address or encryption status |
| KR19990088222A (en) * | 1998-05-12 | 1999-12-27 | 이데이 노부유끼 | Data transmission controlling method and data transmission system |
| US6202081B1 (en) * | 1998-07-21 | 2001-03-13 | 3Com Corporation | Method and protocol for synchronized transfer-window based firewall traversal |
-
2001
- 2001-05-21 KR KR10-2001-0027614A patent/KR100415554B1/en not_active Expired - Lifetime
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5983350A (en) * | 1996-09-18 | 1999-11-09 | Secure Computing Corporation | Secure firewall supporting different levels of authentication based on address or encryption status |
| KR19990088222A (en) * | 1998-05-12 | 1999-12-27 | 이데이 노부유끼 | Data transmission controlling method and data transmission system |
| US6202081B1 (en) * | 1998-07-21 | 2001-03-13 | 3Com Corporation | Method and protocol for synchronized transfer-window based firewall traversal |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20020088728A (en) | 2002-11-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR100415554B1 (en) | Method for transmitting and receiving of security provision IP packet in IP Layer | |
| Kent | IP encapsulating security payload (ESP) | |
| Kent | RFC 4303: IP encapsulating security payload (ESP) | |
| US7434045B1 (en) | Method and apparatus for indexing an inbound security association database | |
| US8984268B2 (en) | Encrypted record transmission | |
| Stallings | IPv6: the new Internet protocol | |
| KR100910818B1 (en) | Method and system for tunneling macsec packets through non-macsec nodes | |
| US5235644A (en) | Probabilistic cryptographic processing method | |
| US8379638B2 (en) | Security encapsulation of ethernet frames | |
| US9369550B2 (en) | Protocol for layer two multiple network links tunnelling | |
| US20070116285A1 (en) | Method and system for secure packet communication | |
| US20110314274A1 (en) | Method and apparatus for security encapsulating ip datagrams | |
| CN115333859B (en) | IPsec protocol message encryption and decryption method based on chip scheme | |
| CN114050921B (en) | UDP-based high-speed encryption data transmission system realized by FPGA | |
| WO2007103338A2 (en) | Technique for processing data packets in a communication network | |
| CN112600802B (en) | SRv6 encrypted message and SRv6 message encryption and decryption methods and devices | |
| CN114050920B (en) | Transparent network encryption system implementation method based on FPGA | |
| US7426636B1 (en) | Compact secure data communication method | |
| JP2007135035A (en) | Communication apparatus and packet processing method | |
| CN111741034B (en) | Data transmission method, first terminal and second terminal | |
| CN115037459A (en) | Novel IPsec key distribution method and distribution system | |
| JP2693881B2 (en) | Cryptographic processing apparatus and method used in communication network | |
| KR100449809B1 (en) | Improved method for securing packets providing multi-security services in ip layer | |
| KR100522090B1 (en) | METHOD FOR SECURING PAEKETS IN IPv6 LAYER | |
| KR20050064093A (en) | Next generation internet system having a function of packet protection and method of the same |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| PA0109 | Patent application |
Patent event code: PA01091R01D Comment text: Patent Application Patent event date: 20010521 |
|
| PA0201 | Request for examination | ||
| PG1501 | Laying open of application | ||
| E902 | Notification of reason for refusal | ||
| PE0902 | Notice of grounds for rejection |
Comment text: Notification of reason for refusal Patent event date: 20030626 Patent event code: PE09021S01D |
|
| E701 | Decision to grant or registration of patent right | ||
| PE0701 | Decision of registration |
Patent event code: PE07011S01D Comment text: Decision to Grant Registration Patent event date: 20031227 |
|
| GRNT | Written decision to grant | ||
| PR0701 | Registration of establishment |
Comment text: Registration of Establishment Patent event date: 20040106 Patent event code: PR07011E01D |
|
| PR1002 | Payment of registration fee |
Payment date: 20040107 End annual number: 3 Start annual number: 1 |
|
| PG1601 | Publication of registration | ||
| PR1001 | Payment of annual fee |
Payment date: 20070103 Start annual number: 4 End annual number: 4 |
|
| PR1001 | Payment of annual fee |
Payment date: 20080103 Start annual number: 5 End annual number: 5 |
|
| PR1001 | Payment of annual fee |
Payment date: 20090102 Start annual number: 6 End annual number: 6 |
|
| PR1001 | Payment of annual fee |
Payment date: 20091231 Start annual number: 7 End annual number: 7 |
|
| FPAY | Annual fee payment |
Payment date: 20110104 Year of fee payment: 8 |
|
| PR1001 | Payment of annual fee |
Payment date: 20110104 Start annual number: 8 End annual number: 8 |
|
| FPAY | Annual fee payment |
Payment date: 20111208 Year of fee payment: 20 |
|
| PR1001 | Payment of annual fee |
Payment date: 20111208 Start annual number: 9 End annual number: 20 |
|
| PC1801 | Expiration of term |
Termination date: 20211121 Termination category: Expiration of duration |