본문 바로가기
HOME> 논문 > 논문 검색상세

논문 상세정보

IPv6 환경에서 비정상 IPSec 트래픽 대응 보안 시스템 설계
Design of a Security System to Defeat Abnormal IPSec Traffic in IPv6 Networks

김가을   (성균관대학교UU0000759  ); 고광선   (성균관대학교UU0000759  ); 경계현   (성균관대학교UU0000759  ); 강성구   (성균관대학교UU0000759  ); 엄영익   (성균관대학교UU0000759  );
  • 초록

    IPv6 네트워크에서는 기본 보안 메커니즘인 IPSec 메커니즘을 사용함으로써, 통신 양자 간에 전송되는 데이터에 대한 무결성 및 기밀성을 보장하고, 데이터와 통신 주체에 대한 인증을 실시할 수 있다. 그러나 IPSec 메커니즘을 악용하여 대량의 비정상 트래픽(세션설정 단계 또는 통신 단계의 비정상 IPSec 트래픽)을 전송하였을 경우, IPSec 메커니즘 자체에서 해당 패킷을 차단하는 데 한계가 있다. 본 논문에서는 IPv6 네트워크 환경에서 IPSec 메커니즘의 ESP 확장헤더에 의해 암호화된 패킷의 비정상 여부를 복호화 없이 IPSec 세션테이블과 설정테이블을 이용하여 탐지함으로써, 성능향상을 가질 수 있는 효과적인 보안 시스템에 대한 설계 내용을 보이고자 한다. 또한 설계는 단계적 대응 메커니즘를 기반으로 한다.


    The IPSec is a basic security mechanism of the IPv6 protocol, which can guarantee an integrity and confidentiality of data that transmit between two corresponding hosts. Also, both data and communication subjects can be authenticated using the IPSec mechanism. However, it is difficult that the IPSec mechanism protects major important network from attacks which transmit mass abnormal IPSec traffic in session-configuration or communication phases. In this paper, we present a design of the security system that can effectively detect and defeat abnormal IPSec traffic, which is encrypted by the ESP extension header, using the IPSec Session and Configuration table without any decryption. This security system is closely based on a multi-tier attack mitigation mechanism which is based on network bandwidth management and aims to counteract DDoS attacks and DoS effects of worm activity.


  • 주제어

    IPSec .   IPv6 .   Intrusion Prevention System .   Security.  

  • 참고문헌 (13)

    1. S. Kent, and R. Atkinson, RFC2406: IP Encapsulating Security Payload (ESP), Nov. 1998 
    2. A. Triulzi, 'Intrusion Detection and IPv6,' Proc. of the Conference Security and Protection of Information 2003, Apr. 2003, pp. 15 
    3. K. Wehrle, et al, The Linux Network Architecture, Prentice Hall, 2005 
    4. P. Loshin, IPv6 : Theory, Protocol, and Practice, Morgan Kaufmann, 2nd Ed., 2004 
    5. 조은경, 고광선, 이태근, 강용혁, 엄영익, '리눅스 Netfilter 프레임웍과 CBQ 라우팅 기능을 이용한 비정상 트래픽 제어 시스템 설계,' 정보보호학회논문지, 한국정보보호학회, Vol. 13, No. 6, Dec. 2003, pp. 129-140 
    6. S. Kent, and R. Atkinson, RFC2401: Security Architecture for Internet Protocol, Nov. 1998 
    7. W. Stallings, Network Security Essentials, Prentice Hall, 2nd Ed., 2003 
    8. S. Floyd and V. Jacobson, 'Link sharing and Resource Management Models for Packet Networks,' IEEE/ ACM Transactions on Networking, Vol. 3, No. 4, 1995 
    9. K. Ko, E. Cho, T. Lee, Y. Kang, and Y. I. Eom, 'The Abnormal Traffic Control Framework based on QoS Mechanisms,' Lecture Notes in Computer Science, #3280, Oct. 2004 
    10. N. Doraswamy and D. Harkins, IPSec The New Security Standard for the Internet, Intranets, and Virtual Private Networks, Prentice Hall, 1999 
    11. S. Deering and B. Hinden , RFC2460: Internet Protocol, Version 6 (IPv6) Specification, Dec. 1998 
    12. D. Maughan, M.Schertler, M. Schneider, and J. Turner, RFC2408: Internet Security Association and Key Management Protocol (ISAKMP), Nov. 1998 
    13. A. Rubini and J. Corbet, Linux Device Driver, O'Reilly, 2nd Ed., 2002 

 활용도 분석

  • 상세보기

    amChart 영역
  • 원문보기

    amChart 영역

원문보기

무료다운로드
유료다운로드

유료 다운로드의 경우 해당 사이트의 정책에 따라 신규 회원가입, 로그인, 유료 구매 등이 필요할 수 있습니다. 해당 사이트에서 발생하는 귀하의 모든 정보활동은 NDSL의 서비스 정책과 무관합니다.

원문복사신청을 하시면, 일부 해외 인쇄학술지의 경우 외국학술지지원센터(FRIC)에서
무료 원문복사 서비스를 제공합니다.

NDSL에서는 해당 원문을 복사서비스하고 있습니다. 위의 원문복사신청 또는 장바구니 담기를 통하여 원문복사서비스 이용이 가능합니다.

이 논문과 함께 출판된 논문 + 더보기