[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

KR100438180B1 - 선택적인 암호화기능을 갖는 tcp/ip기반 네트워크용고속 암/복호화 장치 및 방법 - Google Patents

선택적인 암호화기능을 갖는 tcp/ip기반 네트워크용고속 암/복호화 장치 및 방법 Download PDF

Info

Publication number
KR100438180B1
KR100438180B1 KR10-2001-0085234A KR20010085234A KR100438180B1 KR 100438180 B1 KR100438180 B1 KR 100438180B1 KR 20010085234 A KR20010085234 A KR 20010085234A KR 100438180 B1 KR100438180 B1 KR 100438180B1
Authority
KR
South Korea
Prior art keywords
encryption
packet
decryption
tcp
fast
Prior art date
Application number
KR10-2001-0085234A
Other languages
English (en)
Other versions
KR20030054821A (ko
Inventor
정준목
Original Assignee
엘지전자 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 엘지전자 주식회사 filed Critical 엘지전자 주식회사
Priority to KR10-2001-0085234A priority Critical patent/KR100438180B1/ko
Publication of KR20030054821A publication Critical patent/KR20030054821A/ko
Application granted granted Critical
Publication of KR100438180B1 publication Critical patent/KR100438180B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 TCP/IP를 사용하는 네트워크 환경에서 통신 데이터를 선택적으로 암호화할 수 있도록 한 것으로, 본 발명에 따른 선택적인 암호화기능을 갖는 TCP/IP 기반 네트워크용 고속 암/복호화 장치 및 방법은, 네트워크 인터페이스로부터 패킷을 입력받는 패킷 입력부와; 상기 입력된 패킷의 헤더를 분석하여 암/복호화 정책 정보가 존재하는지를 확인한 후 암/복호화 여부를 결정하는 패킷 헤더 분석부와; 암/복호화할 패킷에 대한 정책 정보를 보관, 관리하는 암/복호화 정책 데이터 베이스와; 암/복호화를 수행하기로 결정된 패킷의 데이터 부분에 대하여 암/복호화 칩을 사용하여 암/복호화를 수행하는 고속 암/복호화 처리부와; 상기 암/복호화된 패킷 및 암/복호화되지 않은 패킷을 네트워크 인터페이스로 출력하는 패킷 출력부를 포함하는 것을 특징으로 한다.
이 같은 본 발명에 의하면, 입력된 패킷들에 대해 패킷의 헤더 정보를 바탕으로 선택적으로 암/복호화를 수행할 수 있으므로, 다수의 터미널이 연결된 네트워크 환경에서 다수의 터미널에서 발생되는 패킷들에 대해서 터미널의 위치, 서비스, 시간 등의 정책 정보에 따라서 선택적으로 암호화 통신이 가능하도록 함에 있다.

Description

선택적인 암호화기능을 갖는 TCP/IP기반 네트워크용 고속 암/복호화 장치 및 방법{Apparatus and method for high speed encryption/decryption using TCP/IP base network having selective encryption function}
본 발명은 TCP/IP를 사용하는 네트워크 환경에서 사용되는 통신 데이터를 전용 하드웨어 암/복호화 처리장치에 있어서, 특히 다수의 터미널로 구성된 네트워크 환경에서 전송되는 다양한 패킷들 중에서 암/복호화 정책에 해당하는 특정 패킷들만을 선택적으로 암/복호화하는 기능을 가진 TCP/IP 기반 네트워크용 고속 암/복호화 장치 및 방법에 관한 것이다.
도 1은 종래 기술에 따른 도 1은 종래 암호화기능을 갖는 TCP/IP 기반 네트워크용 고속 암/복호화 장치를 나타낸 블록 구성도이다.
도 1을 참조하면, 네트워크 암호화 장치는 데이터 프레임 또는 패킷을 암호화하는 암호부(100)와 암호화된 데이터 프레임 또는 패킷을 복호화하는 복호부(200)로 구성된다.
상기 암호화부(100)는 단말에서 전송되는 데이터 프레임 또는 패킷을 수신하는 DTE 수신단(101)과, 상기 DTE 수신단(101)으로부터 데이터 프레임 또는 패킷을 입력받아 저장하는 DTE 수신 버퍼부(102)와, 상기 데이터 프레임 또는 패킷의 사용자 데이터 부분의 우선 입력된 N개의 바이트에 의해 초기화되어 바이트 단위로 난수를 출력하는 제 1난수 발생부(103)와, N개의 바이트의 암호 키가 미리 저장되어 있는 제 1 N바이트 암호키부(104)와, 상기 N개의 바이트의 암호 키와 사용자 데이터 부분의 우선 입력된 N개의 바이트를 배타적 논리합 연산을 하여 암호화하는 제 1배타적 논리합 연산을 하여 암호화하는 제 2배타적 논리합 연산 소자부(105)와, 상기 DTE 수신 버퍼부(102)의 출력인 프로토콜 헤더와 상기 제 1 및 제 2배타적 논리합 연산 소자부(105,106)의 출력인 암호화된 사용자 데이터를 입력받아 저장하는 DCE 송신 버퍼부(107)와, 상기 DCE 송신 버퍼부(107)에 저장된 데이터를 입력받아 연결된 망으로 송신하는 DCE 송신단(108)을 포함하여 구성된다.
상기 복호화부(200)는 망에서 전송되는 데이터 프레임 또는 패킷을 수신하는 DCE 수신단(201)과, 상기 DCE 수신단(201)으로부터 데이터 프레임 또는 패킷을 입력받아 저장하는 DCE 수신 버퍼부(202)와, 상기 데이터 프레임 또는 패킷의 사용자 데이터 부분의 우선 입력된 N개의 바이트에 의해 초기화되어 바이트 단위로 난수를 출력하는 제 2난수 발생부(203)와, N개의 바이트의 암호 키가 미리 저장되어 있는 제 2 N바이트 암호키부(204)와, 상기 N개의 바이트의 암호 키와 사용자 데이터 부분의 우선 입력된 N개의 바이트를 배타적 논리합 연산을 하여 복호화하는 제 3배타적 논리합 연산 소자부(205)와, 상기 사용자 데이터 부분의 N번째 이후의 바이트와상기 제 2난수 발생부(203)에서 출력되는 난수를 배타적 논리합 연산을 하여 복호화하는 제 4배타적 논리합 연산 소자부(206)와, 상기 DTE 수신 버퍼부(2)의 출력인 프로토콜 헤더와 상기 제 3 및 제 4 배타적 논리합 연산 소자부(205,206)의 출력인 복호화된 사용자 데이터를 입력받아 저장하는 DTE 송신 버퍼부(207)와, 상기 DTE 송신 버퍼부(207)에 저장된 데이터를 입력받아 연결된 망으로 송신하는 DTE 송신단(208)을 포함하여 구성된다.
상기와 같은 종래 암호화기능을 갖는 TCP/IP 기반 네트워크용 고속 암/복호화 장치에 대하여 첨부된 도 1을 참조하여 설명하면 다음과 같다.
먼저, 암호부(100)의 동작에 대해 설명하면, DTE 수신단(101)이 수신한 데이터 프레임 또는 패킷을 DTE 수신 버퍼부(102)에 저장한다. 이때 저장하면서 데이터 프레임 또는 패킷의 프로토콜 헤더와 사용자 데이터 부분을 구분하는 태그(TAG) 필드(FIELD)를 생성시켜 함께 저장한다.
그리고, 상기 프로토콜 헤더 부분을 곧바로 DCE 송신 버퍼부(107)로 복사하여 저장한다. 상기 사용자 데이터 부분은 우선 입력된 N개 바이트를 제 1 난수 발생부(103)를 초기화하는 데 사용한 후에, 제 1 N바이트 암호키부(104)에 미리 저장된 N 바이트 길이의 암호 키와 배타적 논리합 연산을 하여 암호화하고 DCE 송신 버퍼부(107)에 저장한다. 이때 상기 우선 입력된 N개 바이트 시드값(SEED VALUE)이 된다.
이후, 상기 사용자 데이터 부분의 N 번째 이후의 바이트를 제 1난수 발생부(103)에서 출력되는 난수와 배타적 논리합 연산을 하여 암호화하고 DCE 송신버퍼부(107)에 저장한다.
DCE 송신 버퍼부(107)에 저장된 암호화된 데이터 프레임 또는 패킷을 DCE 송신단으로 전송한다.
한편, 복호화부(200)의 동작에 대하여 설명하면, DCE 수신단(201)이 수신한 데이터 프레임 또는 패킷을 DCE 수신 버퍼부(202)에 저장한다. 이때 저장하면서 데이터 프레임 또는 패킷의 프로토콜 헤더와 사용자 데이터 부분을 구별하는 태그 필드를 생성시켜 함께 저장한다.
그리고, 상기 프로토콜 헤더 부분을 곧바로 DTE 송신 버퍼부(207)에 복사하여 저장한다. 상기 사용자 데이터 부분을 우선 입력된 N개 바이트를 제 2난수 발생부(203)를 초기화하는데 사용한 후, 제 2 N바이트 암호키부(204)에 미리 저장된 N 바이트 길이의 암호 키와 배타적 논리합 연산을 하여 복호화하고, DTE 송신 버퍼부(207)에 저장한다. 이때, 상기 우선 입력된 N개 바이트가 시드값이 된다.
이후, 상기 사용자 데이터 부분의 N번째 이후의 바이트를 제 2난수 발생부(203)에서 출력되는 난수와 배타적 논리합 연산을 하여 복호화하고 DTE 송신 버퍼부(207)에 저장한다. DTE 송신 버퍼부(207)에 저장된 복호화된 데이터 프레임 또는 패킷을 DTE 송신단(208)으로 전송한다.
그러나, 종래의 네트워크 암호화장치는 입력된 모든 데이터 프레임이나 패킷에 대해 일방적으로 암/복호화하는 기능을 수행한다. 이는 다양한 종류의 패킷이 전송되는 네트워크 환경에서 특정 패킷에 대해서만 암/복호화를 수행하도록 하는 선택적인 암/복호화 기능을 수행할 수 없다. 그러므로, 다수의 터미널이 연결된 네트워크 환경에서는 암/복호화를 수행한 터미널 마다 암/복호화 장치를 별도로 연결해야 하므로, 비용을 증가시킨다. 또한 암/복호화에 대한 정책이 변경되면 암/복호화장치의 물리적인 위치를 변경해 주어야 하므로, 관리의 효율성도 떨어진다.
그러므로, 이러한 비용면이나 관리의 효율성을 증대시키기 위해서는 선택적으로 암/복호화할 수 있는 기능을 포함한 암/복호화 장치가 필요하다.
본 발명은 상기한 종래의 문제점을 해결하기 위해 안출된 것으로서, 네트워크 인터페이스로부터 입력되는 패킷들에 대해 패킷의 헤더 정보를 바탕으로 선택적으로 암/복호화를 수행할 수 있도록 한 선택적인 암/복호화기능을 갖는 TCP/IP 기반 네트워크용 고속 암/복호화 장치 및 방법을 제공함에 그 목적이 있다.
본 발명의 다른 특징은, 다수의 터미널이 연결된 네트워크 환경에서 다수의 터미널에서 발생되는 패킷들에 대해서 터미널의 위치, 서비스, 시간 등의 정책 정보에 따라 선택적으로 암/복호화 통신이 가능하도록 한 선택적인 암호화기능을 갖는 TCP/IP 기반 네트워크용 고속 암/복호화 장치 및 방법을 제공함에 그 목적이 있다.
또 다른 특징은 암/복호화에 하드웨어적인 회로로 구성된 전용 암/복호화 칩을 사용함으로써 데이터의 암/복호화 속도를 증가시켜 고속의 네트워크 환경에서도 네트워크 속도의 저하 없이 안전한 암호화 통신이 가능하도록 한 선택적인 암호화기능을 갖는 TCP/IP 기반 네트워크용 고속 암/복호화 장치 및 방법을 제공함에 그 목적이 있다.
도 1은 종래 암호화기능을 갖는 TCP/IP 기반 네트워크용 고속 암/복호화 장치를 나타낸 블록 구성도.
도 2는 본 발명 실시 예에 따른 선택적인 암호화기능을 갖는 TCP/IP 기반 네트워크용 고속 암/복호화 장치를 나타낸 구성도.
도 3은 본 발명 실시 예에 따른 선택적인 암호화기능을 갖는 TCP/IP 기반 네트워크용 고속 암/복호화 방법을 나타낸 플로우 챠트.
<도면의 주요 부분에 대한 부호의 설명>
100...암호부 101...DTE 수신단
102...DTE 수신 버퍼부 103...제 1난수 발생부
104...제 1 N바이트 암호키부 105...제 1배타적 논리합 연산 소자부
106...제 6배타적 논리합 연산 소자부
107...DCE 송신 버퍼부 108...DCE 송신단
200...복호부 201...DCE 수신단
202...DCE 수신 버퍼부 203...제 2난수 발생부
204...제 2 N바이트 암호키부 205...제 3배타적 논리합 연산 소자부
206...제 4배타적 논리합 연산 소자부
207...DTE 송신 버퍼부 208...DTE 송신단
300...선택적 암/복호화부 301...패킷 입력부
302...패킷 헤더 분석부 303...암/복호화 정책 데이터 베이스
304...고속 암/복호화 처리부 305...패킷 출력부
400...네트워크 인터페이스
상기한 목적 달성을 위한, 본 발명에 따른 선택적인 암호화기능을 갖는 TCP/IP 기반 네트워크용 고속 암/복호화 장치는,
네트워크 인터페이스로부터 패킷을 입력받는 패킷 입력부와;
상기 입력된 패킷의 헤더를 분석하여 암/복호화 정책 정보가 존재하는지를 확인한 후 암/복호화 여부를 결정하는 패킷 헤더 분석부와;
암/복호화할 패킷에 대한 정책 정보를 보관, 관리하는 암/복호화 정책 데이터 베이스와;
암/복호화를 수행하기로 결정된 패킷의 데이터 부분에 대하여 암/복호화 칩을 사용하여 암/복호화를 수행하는 고속 암/복호화 처리부와;
상기 암/복호화된 패킷 및 암/복호화되지 않은 패킷을 네트워크 인터페이스로 출력하는 패킷 출력부를 포함하는 것을 특징으로 한다.
바람직하게, 상기 패킷 입력부는 네트워크 인터페이스로부터 패킷을 입력받으면 패킷을 저장할 버퍼 공간을 할당한 후, 인터페이스로부터 입력받은 패킷을 저장하는 것을 특징으로 한다.
바람직하게, 상기 패킷 헤더 분석부는 패킷의 헤더를 분석하고 설정된 암/복호화 정책 정보와 비교하여 현재 입력된 패킷이 암/복호화를 수행할 패킷인지의 여부를 결정하는 것을 특징으로 한다.
바람직하게, 상기 암/복호화 정책 데이터 베이스에는 패킷의 선택적 암/복호화를 위하여 암/복호화할 패킷에 대한 패킷의 발생지주소, 목적지 주소, 발생시각,서비스의 종류 등의 정보를 보관하고 관리하는 것을 특징으로 한다.
바람직하게, 상기 암/복호화 정책 데이터 베이스에 저장된 암/복호화 정책 정보는 패킷의 발생지 주소, 목적지 주소, 발생시각, 서비스 종류등의 패킷 정보들을 조합하여 구성하는 것을 특징으로 한다.
바람직하게, 상기 고속 암/복호화 처리부는 난수를 발생하는 암/복호화 칩을 포함하며, 암/복호화 칩이 발생한 난수와 조합을 통해 패킷의 데이터 부분을 바이트 단위로 읽어서 고속으로 암/복호화하는 것을 특징으로 한다.
바람직하게, 상기 패킷 출력부는 네트워크 인터페이스로 패킷을 출력하고 출력된 패킷이 저장되어 있던 버퍼 공간을 제거하는 것을 특징으로 한다.
본 발명에 따른 선택적인 암호화기능을 갖는 TCP/IP 기반 네트워크용 고속 암/복호화 방법은,
네트워크 인터페이스로부터 패킷을 입력받는 단계;
버퍼를 할당한 후 상기 입력되는 패킷을 저장하는 단계;
패킷의 헤더 정보를 분석한 후, 암/복호화 정책 정보를 검색하는 단계;
패킷에 해당하는 암/복호화 정책이 존재하는지 확인하는 단계;
상기 암/복호화 정책이 존재하면 네트워크 인터페이스로 패킷을 출력하고, 암/복호화 정책에 존재하지 않으면 암/복호화 칩에서 발생된 난수와 데이터 부분을 조합하여 암/복호화를 수행한 후 네트워크 인터페이스로 패킷을 출력하는 단계를 포함하는 것을 특징으로 한다.
도 2는 본 발명 실시 예에 따른 선택적인 암호화기능을 갖는 TCP/IP 기반 네트워크용 고속 암/복호화 장치를 나타낸 구성도이다.
도 2를 참조하면, 네트워크 인터페이스(400)로부터 패킷을 입력받는 패킷 입력부(301)와, 입력된 패킷의 헤더를 분석하여 암/복호화할 패킷인지를 확인하는 패킷 헤더 분석부(302)와, 암/복호화할 패킷에 대한 정책 정보를 보관, 관리하는 암/복호화 정책 데이터 베이스(303)와, 암/복호화 하기로 결정된 패킷의 데이터 부분에 대하여 전용 암/복호화 칩을 사용하여 암/복호화를 수행하는 고속 암/복호화 처리부(304)와, 처리된 패킷을 네트워크 인터페이스(400)로 출력하는 패킷 출력부(305)로 구성된다.
상기와 같은 본 발명 실시 예에 따른 선택적인 암호화기능을 갖는 TCP/IP 기반 네트워크용 고속 암/복호화 장치 및 방법에 대하여 첨부된 도면을 참조하여 설명하면 다음과 같다.
도 2를 참조하면, 선택적 암/복화부(300)의 패킷 입력부(301)는 네트워크 인터페이스(400) 카드를 통해 패킷을 입력받아서, 암/복호화 처리를 위한 준비작업을 수행하며, 상기 입력된 패킷을 저장하기 위한 버퍼를 할당한 후, 이곳에 패킷을 저장한다. 이후 상기 할당된 버퍼를 참조하여 패킷에 접근하게 된다.
패킷 헤더 분석부(302)는 패킷 입력부(301)에 의해 버퍼에 저장된 패킷의 헤더 정보를 읽어서 분석한 후, 암/복호화 정책 데이터 베이스(303)에 존재하는 정책 정보와 비교하여, 분석된 패킷이 암/복호화를 수행할 패킷인지의 여부를 결정한다.
이때, 패킷 헤더 분석부(302)는 패킷 헤더를 분석하여, 패킷의 발생지 주소, 목적지 주소, 발생시각, 패키의 종류 등을 분석한다. 패킷 헤더의 분석한 정보를이용하여 암/복호화 정책 데이터 베이스(303)를 검색하게 된다.
이러한 암/복호화 정책 데이터 베이스(303)는 암/복호화를 수행할 패킷에 대한 정보들이 저장되어 있어서 패킷 헤더 분석부(302)가 패킷의 암/복호화 여부를 판단하기 위한 정보를 제공해 준다.
상기 암/복호화 정책 데이터 베이스(303)에는 암/복호화를 수행에 대한 정책 정보가 저장 관리되며, 이러한 정책 정보를 서비스 운용자가 선택적 암/복호화를 수행할 정보로서 목적지 주소 또는 시작 주소, 서비스 주소 등을 기록됨으로써, 이를 참조하여 암/복호화를 수행할 패킷인지의 여부를 결정할 수 있다. 즉, 암/복호화 정책정보는 패킷의 이동 시작이나 끝의 위치, 발생시각, 서비스의 종류 등의 패킷 정보들의 조합으로 구성되므로, 패킷 헤더 분석부(302)는 이들 정책 정보와 패킷의 헤더 정보를 비교하여 패킷의 암/복호화 여부를 결정한다.
그리고, 패킷 헤더 분석부(302)의 분석 결과에 따라 암/복호화가 필요한 패킷에 대해서만 고속 암/복호화 처리부(304)에 의한 암/복호화가 수행되고, 암/복호화가 필요치 않는 패킷은 패킷 출력부(305)가 바로 처리한다.
고속 암/복호화 처리부(304)는 패킷의 데이터 부분을 전용 암/복호화 칩을 이용하여 암/복호화한다. 전용 암/복호화 칩(예컨대, SEAM 칩)에서 임의의 난수를 발생시키며, 이러한 고속 암/복호화 처리부(204)는 전용 암/복호화 칩에서 발생된 난수와 버퍼에서 읽어온 패킷의 데이터 부분을 바이트 단위로 조합하여 암/복호화를 수행하며, 암/복호화된 패킷은 버퍼에 다시 저장된다.
패킷 출력부(305)는 처리된 패킷을 네트워크 인터페이스(400) 카드를 통해외부로 출력한다. 이러한 패킷 출력부(305)는 패킷을 네트워크 인터페이스 카드의 버퍼로 복사하여 외부로 출력한 후, 패킷 출력부(305)가 패킷을 저장하기 위해 할당한 버퍼를 제거함으로써, 패킷 처리를 완료한다.
도 3은 본 발명 실시 예에 따른 선택적인 암호화기능을 갖는 TCP/IP 기반 네트워크용 고속 암/복호화 방법을 나타낸 플로우 챠트이다.
도 2를 참조하여 도 3을 설명하면, TCP/IP 기반의 네트워크에서 IP 패킷을 암/복호화하는 기능을 갖고, 외부로부터 패킷이 입력되면 동작이 시작된다. 네트워크 인터페이스로부터 패킷이 입력되면(S301), 패킷 입력부(301)는 입력되는 패킷을 저장할 버퍼를 할당한 후 패킷을 저장한다(S302).
패킷이 버퍼에 저장되면 패킷 헤더 분석부(302)는 버퍼에서 패킷의 헤더를 읽은 다음, 그 헤더를 분석하여 패킷의 시작 주소, 도착 주소, 발생시각, 패킷의 종류 등을 분석한다(S303).
상기 패킷 헤더에 대한 분석이 끝나면 암/복호화 정책 데이터 베이스(303)를 검색하여, 패킷 헤더를 분석한 내용을 이용하여 상기 패킷에 해당되는 암/복호화 정책에 존재하는지 확인하게 된다(S305).
이때, 암/복호화 정책 데이터 베이스(303)로부터 검색 결과가 오면 패킷 헤더 분석부(302)는 이를 바탕으로 현재의 패킷에 대한 암/복호화 정책이 존재하는지 확인한다(S306). 만약 암/복호화 정책이 존재한다면 이는 현재의 패킷은 암/복호화가 필요한 패킷임을 나타내며, 암/복호화 정책이 존재하지 않는다면 암/복호화가 필요하지 않은 패킷을 의미한다.
암/복호화가 필요한 패킷은 고속 암/복호화 처리부(304)를 통해 패킷이 암/복호화된다. 상기 고속 암/복호화 처리부(304)는 전용 암/복화 칩에서 암/복호용 난수가 발생되면(S307), 패킷의 데이터 부분과 상기 발생된 난수를 조합하여 암/복호화를 수행한다(S308). 즉, 고속 암/복호화 처리부(304)는 패킷에서 헤더부분을 제외한 데이터 부분만을 전용 암/복호화 칩에서 발생된 난수와 조합하여 패킷의 암/복호화한다.
다시 말하면, 고속 암/복호화 처리부(304)는 버퍼에 저장된 패킷에서 패킷의 데이터 부분을 바이트 단위로 읽어서 전용 암/복호화 칩에서 발생한 난수와 차례대로 조합하여 암/복호화를 수행한 후, 암/복호화된 패킷의 데이터 부분을 다시 버퍼에 저장하는 방법으로 버퍼에 저장된 패킷의 데이터 부분을 암/복호화한다.
고속 암/복호화 처리부(304)에 의해 암/복호화가 끝난 패킷이나 패킷 헤더 분석기(302)에 의해 암/복호화가 필요하지 않은 패킷은 패킷 출력부(305)에 의해 네트워크 인터페이스(400)로 출력한다(S309).
패킷 출력부(305)는 버퍼에 저장된 패킷을 네트워크 인터페이스(400)로 출력한 후, 패킷 저장을 위해 할당되었던 버퍼를 제거함으로써(S310), 패킷에 대한 처리를 완료한다.
본 발명의 다른 실시 예는, 금융권 전용 보안 환경 하에서, 네트워크 단위로 설치되어 다수의 터미널간의 선택적인 고속 암호화 통신 기능을 제공한다.
또 다른 실시 예는, 난수를 발생하는 전용의 암/복호화 칩을 이용하는 전용 하드웨어 암/복호화 장치를 이용하여, TCP/IP 기반 네트워크에서 패킷 데이터를 고속으로 암/복호화할 수 있도록 함에 있다.
또 다른 실시 예는, 다수의 터미널로 구성된 TCP/IP 기반 네트워크 환경에서 전송되는 패킷들 중에서 특정 패킷들만을 선택적으로 암/복호화할 수 있도록 하고, 특정한 패킷들만을 선택적으로 암/복호화하기 위해 특정한 패킷을 암/복호화 정책 데이터 베이스로 검색하여 선택할 수 있도록 한 것이다.
이상에서 설명한 바와 같이, 본 발명에 따른 선택적 암/복호화 기능을 가진 TCP/IP 기반 네트워크용 고속 암/복호화 장치 및 방법에 의하면, 입력된 패킷들에 대해 패킷의 헤더 정보를 바탕으로 선택적으로 암/복호화를 수행할 수 있으므로, 다수의 터미널이 연결된 네트워크 환경에서 다수의 터미널에서 발생되는 패킷들에 대해서 터미널의 위치, 서비스, 시간 등의 정책 정보에 따라서 선택적으로 암호화 통신이 가능하게 한다.
또한 암/복호화에 하드웨어적인 회로로 구성된 전용의 SEAM 칩을 사용함으로써, 데이터의 암/복호화 속도를 증가시켜 주어 고속의 네트워크 환경에서도 네트워크 속도의 저하 없이 안전한 통신을 가능하게 한다.

Claims (12)

  1. 네트워크 인터페이스로부터 패킷을 입력받는 패킷 입력부와;
    상기 입력된 패킷의 헤더를 분석하여 암/복호화 정책 정보가 존재하는지를 확인한 후 암/복호화 여부를 결정하는 패킷 헤더 분석부와;
    암/복호화할 패킷에 대한 정책 정보를 보관, 관리하는 암/복호화 정책 데이터 베이스와;
    암/복호화를 수행하기로 결정된 패킷의 데이터 부분에 대하여 암/복호화 칩을 사용하여 암/복호화를 수행하는 고속 암/복호화 처리부와;
    상기 암/복호화된 패킷 및 암/복호화되지 않은 패킷을 네트워크 인터페이스로 출력하는 패킷 출력부를 포함하는 것을 특징으로 하는 선택적 암/복호화 기능을 가진 TCP/IP 기반 네트워크용 고속 암/복호화 장치.
  2. 제 1항에 있어서,
    상기 패킷 입력부는 네트워크 인터페이스로부터 패킷을 입력받으면 패킷을 저장할 버퍼 공간을 할당한 후, 인터페이스로부터 입력받은 패킷을 저장하는 것을 특징으로 하는 선택적 암/복호화 기능을 가진 TCP/IP 기반 네트워크용 고속 암/복호화 장치.
  3. 제 1항에 있어서,
    상기 패킷 헤더 분석부는 패킷의 헤더를 분석하고 설정된 암/복호화 정책 정보와 비교하여 현재 입력된 패킷이 암/복호화를 수행할 패킷인지의 여부를 결정하는 것을 특징으로 하는 선택적 암/복호화 기능을 가진 TCP/IP 기반 네트워크용 고속 암/복호화 장치.
  4. 제 1항에 있어서,
    상기 암/복호화 정책 데이터 베이스에는 패킷의 선택적 암/복호화를 위하여 암/복호화할 패킷에 대한 패킷의 발생지주소, 목적지 주소, 발생시각, 서비스의 종류 등의 정보를 보관하고 관리하는 것을 특징으로 하는 선택적 암/복호화 기능을 가진 TCP/IP 기반 네트워크용 고속 암/복호화 장치.
  5. 제 4항에 있어서,
    상기 암/복호화 정책 데이터 베이스에 저장된 암/복호화 정책 정보는 패킷의 발생지 주소, 목적지 주소, 발생시각, 서비스 종류등의 패킷 정보들을 조합하여 구성하는 것을 특징으로 하는 선택적 암/복호화 기능을 가진 TCP/IP 기반 네트워크용 고속 암/복호화 장치.
  6. 제 1항에 있어서,
    상기 고속 암/복호화 처리부는 난수를 발생하는 암/복호화 칩을 포함하며, 암/복호화 칩이 발생한 난수와 조합을 통해 패킷의 데이터 부분을 바이트 단위로읽어서 고속으로 암/복호화하는 것을 특징으로 하는 선택적 암/복호화 기능을 가진 TCP/IP 기반 네트워크용 고속 암/복호화 장치.
  7. 제 1항에 있어서,
    상기 패킷 출력부는 네트워크 인터페이스로 패킷을 출력하고 출력된 패킷이 저장되어 있던 버퍼 공간을 제거하는 것을 특징으로 하는 선택적 암/복호화 기능을 가진 TCP/IP 기반 네트워크용 고속 암/복호화 장치.
  8. (정정) 다수의 터미널로 구성된 TCP/IP 기반 네트워크 환경에 있어서,
    상기 TCP/IP 기반 네트워크로 전송되는 패킷들에 대한 암/복호화를 위해 암/복호화 정책 정보를 저장하는 데이터베이스 및,
    상기 TCP/IP 기반 네트워크로 전송되는 패킷들의 헤더 정보를 분석하고 그 헤더 정보를 상기 암호화 정책 정보와 비교하는 비교수단과,
    상기 비교수단의 비교결과 상기 암/복호화 정책 정보에 존재하는 특정 패킷들만을 선택적으로 암/복호화를 수행하는 선택적 암/복호화 수단을 포함하는 것을 특징으로 하는 선택적 암/복호화 기능을 가진 TCP/IP 기반 네트워크용 고속 암/복호화 장치.
  9. 삭제
  10. (정정) 제 8항에 있어서,
    상기 데이터 베이스에는 패킷의 선택적 암/복호화를 위하여 암/복호화할 패킷에 대한 패킷의 발생지주소, 목적지 주소, 발생시각, 서비스의 종류 등의 정보를 보관하고 관리하는 것을 특징으로 하는 선택적 암/복호화 기능을 가진 TCP/IP 기반 네트워크용 고속 암/복호화 장치.
  11. 네트워크 인터페이스로부터 패킷을 입력받는 단계;
    버퍼를 할당한 후 상기 입력되는 패킷을 저장하는 단계;
    패킷의 헤더 정보를 분석한 후, 암/복호화 정책 정보를 검색하는 단계;
    패킷에 해당하는 암/복호화 정책이 존재하는지 확인하는 단계;
    상기 암/복호화 정책이 존재하면 네트워크 인터페이스로 패킷을 출력하고, 암/복호화 정책에 존재하지 않으면 암/복호화 칩에서 발생된 난수와 데이터 부분을 조합하여 암/복호화를 수행한 후 네트워크 인터페이스로 패킷을 출력하는 단계를 포함하는 것을 특징으로 하는 선택적인 암호화기능을 갖는 TCP/IP 기반 네트워크용 고속 암/복호화 방법.
  12. 제 11항에 있어서,
    상기 네트워크 인터페이스로부터 패킷이 출력되면 패킷이 저장되었던 버퍼를 제거하는 단계를 더 포함하는 것을 특징으로 하는 선택적인 암호화기능을 갖는 TCP/IP 기반 네트워크용 고속 암/복호화 방법.
KR10-2001-0085234A 2001-12-26 2001-12-26 선택적인 암호화기능을 갖는 tcp/ip기반 네트워크용고속 암/복호화 장치 및 방법 KR100438180B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2001-0085234A KR100438180B1 (ko) 2001-12-26 2001-12-26 선택적인 암호화기능을 갖는 tcp/ip기반 네트워크용고속 암/복호화 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2001-0085234A KR100438180B1 (ko) 2001-12-26 2001-12-26 선택적인 암호화기능을 갖는 tcp/ip기반 네트워크용고속 암/복호화 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20030054821A KR20030054821A (ko) 2003-07-02
KR100438180B1 true KR100438180B1 (ko) 2004-07-01

Family

ID=32213543

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2001-0085234A KR100438180B1 (ko) 2001-12-26 2001-12-26 선택적인 암호화기능을 갖는 tcp/ip기반 네트워크용고속 암/복호화 장치 및 방법

Country Status (1)

Country Link
KR (1) KR100438180B1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101387528B1 (ko) * 2007-09-04 2014-04-23 엘지전자 주식회사 무선 통신 시스템에서의 데이터 송수신 방법

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH1032567A (ja) * 1996-07-18 1998-02-03 Mitsubishi Electric Corp 秘匿化装置、秘匿解除装置およびこれらを用いたデータ伝送システム
JP2000315997A (ja) * 1999-04-30 2000-11-14 Toshiba Corp 暗号通信方法及びノード装置
KR20010077211A (ko) * 2000-02-01 2001-08-17 구자홍 디지탈 콘텐츠의 암호화장치 및 암호화방법
KR100331863B1 (ko) * 1998-11-03 2002-05-09 서평원 네트워크암호화장치및방법
KR20020088728A (ko) * 2001-05-21 2002-11-29 한국전자통신연구원 정보 보호 인터넷 프로토콜 패킷의 송수신 방법
KR20020096207A (ko) * 2001-06-19 2002-12-31 주식회사 넷앤티비 헤더 정보 암호화에 의한 멀티미디어 컨텐츠 보호 방법

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH1032567A (ja) * 1996-07-18 1998-02-03 Mitsubishi Electric Corp 秘匿化装置、秘匿解除装置およびこれらを用いたデータ伝送システム
KR100331863B1 (ko) * 1998-11-03 2002-05-09 서평원 네트워크암호화장치및방법
JP2000315997A (ja) * 1999-04-30 2000-11-14 Toshiba Corp 暗号通信方法及びノード装置
KR20010077211A (ko) * 2000-02-01 2001-08-17 구자홍 디지탈 콘텐츠의 암호화장치 및 암호화방법
KR20020088728A (ko) * 2001-05-21 2002-11-29 한국전자통신연구원 정보 보호 인터넷 프로토콜 패킷의 송수신 방법
KR20020096207A (ko) * 2001-06-19 2002-12-31 주식회사 넷앤티비 헤더 정보 암호화에 의한 멀티미디어 컨텐츠 보호 방법

Also Published As

Publication number Publication date
KR20030054821A (ko) 2003-07-02

Similar Documents

Publication Publication Date Title
US5235644A (en) Probabilistic cryptographic processing method
US5161193A (en) Pipelined cryptography processor and method for its use in communication networks
US5594869A (en) Method and apparatus for end-to-end encryption of a data packet in a computer network
US5070528A (en) Generic encryption technique for communication networks
US6901516B1 (en) System and method for ciphering data
US5086469A (en) Encryption with selective disclosure of protocol identifiers
US5099517A (en) Frame status encoding for communication networks
US7716471B2 (en) Communication system and network control apparatus with encryption processing function, and communication control method
US20020129243A1 (en) System for selective encryption of data packets
KR960012819A (ko) 컴퓨터 네트워크들 사이에 데이터 패킷의 서명없는 전송 및 수신을 위한 시스템
US6944762B1 (en) System and method for encrypting data messages
US20070154018A1 (en) Method and apparatus for cryptographically processing data
KR100331863B1 (ko) 네트워크암호화장치및방법
US6760845B1 (en) Capture file format system and method for a network analyzer
WO2000014918A1 (en) System and method for encrypting data messages
JP2010259081A (ja) IPSecを用いたネットワーク処理
US20060075135A1 (en) Effective protection of computer data traffic in constrained resource scenarios
HU223910B1 (hu) Eljárás információadat továbbítására küldőtől fogadóhoz átkódolón keresztül, eljárás információadat átkódolására, eljárás átkódolt információadat fogadására, küldő, fogadó és átkódoló
US20040184479A1 (en) Packet routing device and packet routing method
KR100624691B1 (ko) 블록 암호화 데이터의 복호화 처리 장치 및 그 방법
KR100438180B1 (ko) 선택적인 암호화기능을 갖는 tcp/ip기반 네트워크용고속 암/복호화 장치 및 방법
JP4933286B2 (ja) 暗号化パケット通信システム
JPH1041934A (ja) 情報暗号化復号化方法および情報暗号化復号化装置
JP2693881B2 (ja) 通信ネットワークで使用される暗号処理装置及び方法
KR20080030266A (ko) 단문메시지 암호화 서비스 방법 및 장치

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
N231 Notification of change of applicant
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130516

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20140520

Year of fee payment: 11

LAPS Lapse due to unpaid annual fee