KR102060053B1 - Integration packet classification method and system for supporting high performance secure routers - Google Patents

Integration packet classification method and system for supporting high performance secure routers Download PDF

Info

Publication number
KR102060053B1
KR102060053B1 KR1020180034878A KR20180034878A KR102060053B1 KR 102060053 B1 KR102060053 B1 KR 102060053B1 KR 1020180034878 A KR1020180034878 A KR 1020180034878A KR 20180034878 A KR20180034878 A KR 20180034878A KR 102060053 B1 KR102060053 B1 KR 102060053B1
Authority
KR
South Korea
Prior art keywords
search
policies
policy
packet classification
integrated
Prior art date
Application number
KR1020180034878A
Other languages
Korean (ko)
Other versions
KR20190112918A (en
Inventor
박우길
Original Assignee
계명대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 계명대학교 산학협력단 filed Critical 계명대학교 산학협력단
Priority to KR1020180034878A priority Critical patent/KR102060053B1/en
Publication of KR20190112918A publication Critical patent/KR20190112918A/en
Application granted granted Critical
Publication of KR102060053B1 publication Critical patent/KR102060053B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2441Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2425Traffic characterised by specific attributes, e.g. priority or QoS for supporting services specification, e.g. SLA
    • H04L47/2433Allocation of priorities to traffic types
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/32Flow control; Congestion control by discarding or delaying data units, e.g. packets or frames
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/40Flow control; Congestion control using split connections
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 패킷 분류 방법에 관한 것으로서, 보다 구체적으로는 고성능 보안 라우터를 지원하기 위한 통합 패킷 분류 방법에 있어서, 여러 정책들을 하나의 네트워크 장비에 동시에 구현하여 라우터에서 패킷을 전송하는 경우 여러 정책들 중 서로 공통된 필드를 갖는 정책들을 해당 필드별로 통합하는 단계; 상기 단계 (1)에서 통합된 공통되는 필드에 대해 검색을 하는 단계; 상기 단계 (2)에서 검색하지 않은 나머지 필드들에 대해 검색을 하는 단계; 및 상기 단계 (2) 및 (3)에 따른 검색 결과를 사용하여 정책의 우선순위대로 패킷을 처리하는 단계를 포함하는 것을 그 구성상의 특징으로 한다.
또한, 본 발명은 패킷 분류 시스템에 관한 것으로서, 보다 구체적으로는 고성능 보안 라우터를 지원하기 위한 통합 패킷 분류 시스템에 있어서, 여러 정책들 중 서로 공통되는 필드를 갖는 정책들을 해당 필드별로 통합하는 통합 모듈, 상기 통합 모듈에 의해 생성된 공통 필드기반 부분통합 테이블에 대해 검색하는 제1검색 모듈, 상기 제1검색 모듈에 의해 검색 되지 않은 나머지 필드들에 대해 검색하는 제2검색 모듈 및 상기 제1검색 모듈 및 제2검색 모듈에 따른 검색 결과를 사용하여 정책의 우선순위대로 패킷을 처리하는 패킷 처리 모듈을 포함하는 것을 그 구성상의 특징으로 한다.
본 발명에서 제안하고 있는 고성능 보안 라우터를 지원하기 위한 통합 패킷 분류 방법 및 시스템에 따르면, 정책들 중 서로 공통된 필드를 갖는 정책들을 공통된 필드별로 통합하여 공통 필드기반 부분통합 테이블을 생성함으로써, 각각의 검색 필드에 대해서 전체 정책들을 모두 검색하는데 단 한 번의 검색만이 필요하도록 하여, 테이블 크기나 테이블 생성 시간의 증가는 억제하면서 검색 성능을 크게 높일 수 있다.
또한, 본 발명에 따르면, 청크 테이블들이 기본적인 매칭 정책 정보와 함께 주어진 값에 대해 매칭 되는 정책이 존재하는지에 대한 정보를 동시에 가지고 있어, 매칭 되는 정책이 없는 경우 또는 패킷 전송 정책만 매칭 될 수 있는 경우 나머지 필드에 대한 테이블 검색을 생략함으로써, 불필요한 검색을 하지 않게 하여 검색 시간을 줄일 수 있다.The present invention relates to a packet classification method, and more particularly, to an integrated packet classification method for supporting a high-performance security router, in which multiple policies are simultaneously implemented in one network device to transmit a packet in a router. Incorporating policies having fields common to each other by corresponding fields; Searching for a common field integrated in step (1); Searching for the remaining fields not searched in step (2); And processing the packets according to the priorities of the policies using the search results according to the above steps (2) and (3).
In addition, the present invention relates to a packet classification system, and more particularly, in an integrated packet classification system for supporting a high performance security router, an integrated module for integrating policies having fields common to each other among respective policies, A first search module for searching for the common field based partial integration table generated by the integration module, a second search module for searching for the remaining fields not searched by the first search module, and the first search module; And a packet processing module for processing the packets according to the priorities of the policies using the search results according to the second search module.
According to the integrated packet classification method and system for supporting the high-performance security router proposed in the present invention, by creating a common field-based partial integration table by integrating the policies having a common field among the policies for each common field, Only one search is required to search all the policies for the field, which greatly improves the search performance while suppressing the increase in table size or table creation time.
In addition, according to the present invention, when the chunk tables simultaneously have information about whether there is a matching policy for a given value together with basic matching policy information, there is no matching policy or only a packet transmission policy can be matched. By omitting the table search for the remaining fields, you can reduce the search time by avoiding unnecessary searches.

Description

고성능 보안 라우터를 지원하기 위한 통합 패킷 분류 방법 및 시스템{INTEGRATION PACKET CLASSIFICATION METHOD AND SYSTEM FOR SUPPORTING HIGH PERFORMANCE SECURE ROUTERS}INTEGRATION PACKET CLASSIFICATION METHOD AND SYSTEM FOR SUPPORTING HIGH PERFORMANCE SECURE ROUTERS}

본 발명은 패킷 분류 방법 및 시스템에 관한 것으로서, 보다 구체적으로는 고성능 보안 라우터를 지원하기 위한 통합 패킷 분류 방법 및 시스템에 관한 것이다.The present invention relates to a packet classification method and system, and more particularly, to an integrated packet classification method and system for supporting a high performance security router.

라우터는 패킷 기반형 네트워크와 같은 주어진 통신 네트워크에 포함되는 정보 기술 장치이며, 주어진 네트워크와 적어도 하나의 접합을 제공하고, 주어진 네트워크를 통해 데이터 패킷을 유도하며, 주어진 네트워크로부터 다른 네트워크로 데이터 패킷을 전송하기 위한 것이다. 도 1은 라우터가 데이터 패킷을 주어진 네트워크로부터 다른 네트워크로 전송하는 모습을 나타낸 그림이다.
A router is an information technology device included in a given communication network, such as a packet-based network, that provides at least one junction with a given network, derives data packets over a given network, and sends data packets from a given network to another network. It is to. 1 is a diagram illustrating a router transmitting a data packet from a given network to another network.

현대의 네트워크는 IoT(Internet of Things)로 인해 크기가 대형화되고 있다. 이에 따라 정책 집합들이 복잡해지고, 그 크기와 개수 또한 빠르게 증가하고 있다. 이러한 대용량 보안 정책들로 인해, 높은 분류 속도와 작은 테이블 크기를 동시에 가질 수 있는 새로운 패킷 분류 알고리즘에 대한 요구가 높아지고 있다. 그러나 일반적으로 패킷 분류 속도와 테이블 크기는 Trade-off 관계를 가진다. 따라서 기술적으로 패킷 분류 알고리즘의 속도와 테이블 크기를 동시에 개선하는 것은 매우 어려운 실정이다.
Modern networks are growing in size due to the Internet of Things. As a result, policy sets become more complex, and their size and number are also rapidly increasing. Due to such large security policies, there is an increasing demand for a new packet classification algorithm that can simultaneously have a high classification rate and a small table size. However, in general, packet classification rate and table size have a trade-off relationship. Therefore, it is technically difficult to improve the speed and the table size of the packet classification algorithm at the same time.

오늘날 인터넷 트래픽양이 폭증함에 따라 네트워크를 구성하는 장비들의 성능도 크게 발전하고 있다. 특히, 네트워크의 기본 장비인 라우터에 요구되는 패킷 전송 성능 역시 빠르게 증가하고 있다. 라우터의 성능을 높이기 위해서는, 목적지 주소를 키로 검색할 수 있도록 T-CAM(Temary Content Addressable Memory)를 이용하는 것이 가장 일반적인 구현 방법이다.
As the volume of Internet traffic explodes today, the performance of the devices that make up the network is greatly improving. In particular, the packet transmission performance required for the router, which is the basic equipment of the network, is also rapidly increasing. In order to improve the performance of the router, the most common implementation is to use the T-CAM (Temary Content Addressable Memory) to retrieve the destination address by key.

한편, 다양한 사이버 보안 공격들이 발생하면서 이들로부터 네트워크를 방어하기 위해 라우터에 일부 보안 기능들이 추가되고 있다. 예를 들면, ACL(Access Control List)과 NAT(Network Address Translation), 안티 IP 스푸핑(Anti IP Spoofing) 등이 대표적인 기능이다. 도 2는 라우터에서 사용되는 일반적인 보안 정책들의 알고리즘을 나타낸 도면이다. 도 2를 통해, (a) IP SPOOFING 정책, (b) ROUTING 정책, (c) ACL 정책의 알고리즘을 확인할 수 있다. 이와 같은 기능들은 각각 IP 검색과 달리 발송지 IP 주소, 발송지 포트 번호, 목적지 포트 번호, 프로토콜 값 등 총 5개의 키를 사용하여 매칭 되는 정책들 중 가장 우선순위가 높은 정책에 따라 패킷을 처리하는 패킷 분류 방식을 주로 사용한다.
Meanwhile, as various cyber security attacks occur, some security functions are being added to the router to defend the network from them. For example, access control lists (ACLs), network address translation (NAT), and anti-IP spoofing are typical features. 2 is a diagram illustrating an algorithm of general security policies used in a router. 2, the algorithm of (a) IP SPOOFING policy, (b) ROUTING policy, (c) ACL policy can be identified. Unlike the IP search, each of these functions uses five keys, including source IP address, source port number, destination port number, and protocol value, to classify the packet according to the highest priority among the matching policies. Mainly use the method.

이와 같이 다양한 보안 기능들을 제공하면서 라우터의 전송 성능을 유지한다는 것은 기술적으로 상당히 어렵다. 지금까지 이를 해결하기 위한 방법은 각 정책 집합별 검색 성능을 향상함으로써 전체 시스템의 성능을 높이는 것이었다. 하지만, 이 방식은 라우터에 요구되는 보안 기능이 증가하고 있는 현 상황에서는 근본적인 해결책이라고 할 수 없다. 보안 기능의 수가 증가함에 따라 수신된 패킷을 처리하는데 수행되어야하는 패킷 분류의 수가 증가하게 되고 이에 따라 결국 전체 라우터의 성능은 감소하기 때문이다.
It is technically difficult to maintain the transmission performance of a router while providing such various security functions. Until now, the solution to this problem has been to improve the performance of the entire system by improving the search performance of each policy set. However, this is not a fundamental solution in the current situation of increasing security required by routers. This is because as the number of security functions increases, the number of packet classifications that need to be performed to process the received packets increases, and as a result, the performance of the entire router decreases.

최근에는 RFC(Recursive Flow Classification)와 같은 cross-producting 기반 알고리즘의 대형 검색 테이블을 사용함으로써 라우팅뿐만 아니라 5 튜플을 사용하는 보안 기능 내 정책 검색 기능까지 지원이 가능하다. RFC를 사용하면 무엇보다도 정책의 수에 상관없이 고정된 검색 성능을 갖는다는 장점이 있다. 하지만 정책이 커질 경우 테이블의 크기가 증가하게 되어 테이블 생성 시간이 길어져 실제 네트워크상에서 사용할 수 없다는 단점이 있다.
Recently, large search tables of cross-producting-based algorithms, such as Recursive Flow Classification (RFC), can support not only routing but also policy retrieval within security features that use five tuples. The advantage of using RFC is that it has a fixed search performance regardless of the number of policies. However, if the policy is large, the size of the table is increased and the creation time of the table is long, so it cannot be used in the actual network.

한편, 이와 관련된 선행기술로는, 등록특허 제10-1331018호(발명의 명칭: 패킷 분류 방법 및 그 장치)와 등록특허 제10-0451788호(발명의 명칭: VPN라우터의 LNS 성능향상을 위한 L2TP 패킷고속 수신방법) 등이 제시된 바 있다.On the other hand, prior art related to this, Patent No. 10-1331018 (name of the invention: packet classification method and apparatus) and Patent No. 10-0451788 (name of the invention: L2TP for LNS performance improvement of VPN routers) Packet high speed reception method).

본 발명은 기존에 제안된 방법들의 상기와 같은 문제점들을 해결하기 위해 제안된 것으로서, 여러 정책들을 하나의 네트워크 장비에 동시에 구현하여 라우터에서 패킷을 전송하는 경우, 정책들 중 서로 공통된 필드를 갖는 정책들을 공통된 필드별로 통합하여 공통 필드기반 부분통합 테이블을 생성함으로써, 각각의 검색 필드에 대해서 전체 정책들을 모두 검색하는데 단 한 번의 검색만이 필요하도록 하여, 테이블 크기나 테이블 생성 시간의 증가는 억제하면서 검색 성능을 크게 높일 수 있는, 고성능 보안 라우터를 지원하기 위한 통합 패킷 분류 방법 및 시스템을 제공하는 것을 목적으로 한다.
The present invention has been proposed to solve the above problems of the conventionally proposed methods, and when multiple packets are simultaneously implemented in one network device to transmit a packet in a router, the policies having common fields among the policies By creating a common field-based partial integration table by merging by common fields, only one search is required to search all the policies for each search field, thereby reducing the increase in table size and table creation time while reducing search performance. It is an object of the present invention to provide an integrated packet classification method and system for supporting a high-performance security router, which can greatly increase the speed of the network.

또한, 본 발명은, 청크 테이블들이 기본적인 매칭 정책 정보와 함께 주어진 값에 대해 매칭 되는 정책이 존재하는지에 대한 정보를 동시에 가지고 있어, 매칭 되는 정책이 없는 경우 또는 패킷 전송 정책만 매칭 될 수 있는 경우 나머지 필드에 대한 테이블 검색을 생략함으로써, 불필요한 검색을 하지 않게 하여 검색 시간을 줄일 수 있는, 고성능 보안 라우터를 지원하기 위한 통합 패킷 분류 방법 및 시스템을 제공하는 것을 다른 목적으로 한다.In addition, the present invention, when the chunk tables have information on whether there is a matching policy for a given value along with the basic matching policy information at the same time, if there is no matching policy or only packet transmission policy can be matched the rest It is another object of the present invention to provide an integrated packet classification method and system for supporting a high-performance security router, by eliminating unnecessary table searches for fields, thereby reducing search time.

상기한 목적을 달성하기 위한 본 발명의 특징에 따른 고성능 보안 라우터를 지원하기 위한 통합 패킷 분류 방법은,Integrated packet classification method for supporting a high-performance security router according to a feature of the present invention for achieving the above object,

패킷을 분류하는 패킷 분류 방법에 있어서,In the packet classification method for classifying a packet,

여러 정책들을 하나의 네트워크 장비에 동시에 구현하여 라우터에서 패킷을 전송하는 경우,When multiple policies are simultaneously implemented on one network device and a packet is sent from a router,

(1) 여러 정책들 중 서로 공통되는 필드를 갖는 정책들을 해당 필드별로 통합하는 단계;(1) integrating policies having fields common to each other among the respective policies for respective fields;

(2) 상기 단계 (1)에서 통합된 공통되는 필드에 대해 검색을 하는 단계;(2) searching for a common field integrated in step (1);

(3) 상기 단계 (2)에서 검색하지 않은 나머지 필드들에 대해 검색을 하는 단계; 및(3) searching for the remaining fields not searched in step (2); And

(4) 상기 단계 (2) 및 (3)에 따른 검색 결과를 사용하여 정책의 우선순위대로 패킷을 처리하는 단계를 포함하는 것을 그 구성상의 특징으로 한다.
And (4) processing the packet according to the priority of the policy using the search results according to the above steps (2) and (3).

바람직하게는, 상기 단계 (1)은,Preferably, step (1) is

여러 정책들 중 각각의 검색 필드에 대해서 전체 정책들을 모두 검색하는데 단 한 번의 검색만이 필요하도록 공통 필드기반 부분통합 테이블을 생성할 수 있다.
A common field-based partial integration table can be created so that only one search is needed to search all of the policies for each search field of the various policies.

더욱 바람직하게는, 상기 공통 필드기반 부분통합 테이블은,More preferably, the common field based partial integration table,

청크와 청크비트맵 테이블을 포함할 수 있다.
It can contain chunk and chunk bitmap tables.

더욱더 바람직하게는, 상기 청크와 청크비트맵 테이블은,Even more preferably, the chunk and chunk bitmap tables are

기본적인 매칭 정책 정보와 함께 주어진 값에 대해 매칭 되는 정책이 존재하는지에 대한 정보를 동시에 가지고 있어 비매칭 정책 검색 회피기법을 사용할 수 있다.
In addition to the basic matching policy information and whether there is a matching policy for a given value at the same time it can use a mismatch policy search avoidance technique.

더욱더 바람직하게는, 상기 비매칭 정책 검색 회피기법은,Even more preferably, the mismatch policy search avoidance technique,

매칭 되는 정책이 없는 경우 또는 패킷 전송 정책만 매칭 될 수 있는 경우 나머지 필드에 대한 검색을 생략하게 할 수 있다.
If there is no matching policy or only a packet transmission policy can be matched, the search for the remaining fields may be omitted.

바람직하게는, 상기 통합 패킷 분류 방법은,Preferably, the integrated packet classification method,

상기 단계 (2)에서 통합된 공통되는 필드에 대한 검색 결과를 마지막에 사용하여 우선순위 문제를 해결할 수 있다.
Priority can be solved by using the search results for the common field integrated in step (2) last.

바람직하게는, 상기 통합 패킷 분류 방법은,Preferably, the integrated packet classification method,

각 정책 검색 테이블이 RFC로 구성될 수 있다.
Each policy lookup table may be configured as an RFC.

바람직하게는, 상기 통합 패킷 분류 방법은,Preferably, the integrated packet classification method,

소프트웨어 기반 방식으로 패킷 분류를 수행할 수 있다.
Packet classification can be performed in a software-based manner.

바람직하게는, 상기 통합 패킷 분류 방법은,Preferably, the integrated packet classification method,

2개 이상의 정책을 하나의 네트워크 장비에서 동시에 구현할 수 있다.
Two or more policies can be implemented simultaneously on one network device.

더 바람직하게는, 상기 정책은,More preferably, the policy,

IP SPOOFING 정책, ACL 정책, ROUTING 정책을 포함할 수 있다.
It can include an IP SPOOFING policy, an ACL policy, and a ROUTING policy.

바람직하게는, 상기 공통된 필드는,Preferably, the common field is

SOURCE IP 필드, DESTINATION IP 필드를 포함할 수 있다.
It may include a SOURCE IP field and a DESTINATION IP field.

또한, 상기한 목적을 달성하기 위한 본 발명의 특징에 따른 고성능 보안 라우터를 지원하기 위한 통합 패킷 분류 시스템은,In addition, an integrated packet classification system for supporting a high-performance security router according to a feature of the present invention for achieving the above object,

패킷을 분류하는 패킷 분류 시스템에 있어서,In the packet classification system for classifying a packet,

여러 정책들을 하나의 네트워크 장비에 동시에 구현하여 라우터에서 패킷을 전송하는 경우,When multiple policies are simultaneously implemented on one network device and a packet is sent from a router,

(1) 여러 정책들 중 서로 공통되는 필드를 갖는 정책들을 해당 필드별로 통합하는 통합 모듈;(1) an integration module for integrating policies having fields common to each other among various policies for each field;

(2) 상기 단계 (1)에서 통합된 공통되는 필드에 대해 검색하는 제1검색 모듈 단계;(2) a first search module step of searching for a common field integrated in step (1);

(3) 상기 단계 (2)에서 검색하지 않은 나머지 필드들에 대해 검색하는 제2검색 모듈; 및(3) a second search module for searching for the remaining fields not searched in step (2); And

(4) 상기 단계 (2) 및 (3)에 따른 검색 결과를 사용하여 정책의 우선순위대로 패킷을 처리하는 패킷 처리 모듈을 포함하는 것을 그 구성상의 특징으로 한다.
(4) It is characterized by including the packet processing module which processes a packet according to the priority of a policy using the search result according to said steps (2) and (3).

바람직하게는, 상기 통합 모듈은,Preferably, the integrated module,

여러 정책들 중 각각의 검색 필드에 대해서 전체 정책들을 모두 검색하는데 단 한 번의 검색만이 필요하도록 공통 필드기반 부분통합 테이블을 생성할 수 있다.
A common field-based partial integration table can be created so that only one search is needed to search all of the policies for each search field of the various policies.

더 바람직하게는, 상기 공통 필드기반 부분통합 테이블은,More preferably, the common field based partial integration table,

청크와 청크비트맵 테이블을 포함할 수 있다.
It can contain chunk and chunk bitmap tables.

더욱더 바람직하게는, 상기 청크와 청크비트맵 테이블은,Even more preferably, the chunk and chunk bitmap tables are

기본적인 매칭 정책 정보와 함께 주어진 값에 대해 매칭 되는 정책이 존재하는지에 대한 정보를 동시에 가지고 있어 비매칭 정책 검색 회피기법을 사용할 수 있다.
In addition to the basic matching policy information and whether there is a matching policy for a given value at the same time it can use a mismatch policy search avoidance technique.

더욱더 바람직하게는, 상기 비매칭 정책 검색 회피기법은,Even more preferably, the mismatch policy search avoidance technique,

매칭 되는 정책이 없는 경우 또는 패킷 전송 정책만 매칭 될 수 있는 경우 나머지 필드에 대한 검색을 생략하게 할 수 있다.
If there is no matching policy or only a packet transmission policy can be matched, the search for the remaining fields may be omitted.

바람직하게는, 상기 통합 패킷 분류 시스템은,Preferably, the integrated packet classification system,

상기 통합 모듈에서 통합된 공통되는 필드에 대한 검색 결과를 마지막에 사용하여 우선순위 문제를 해결할 수 있다.
Priority problems may be solved by using search results for the common fields integrated in the integration module last.

바람직하게는, 상기 통합 패킷 분류 시스템은,Preferably, the integrated packet classification system,

각 정책 검색 테이블이 RFC로 구성될 수 있다.
Each policy lookup table may be configured as an RFC.

바람직하게는, 상기 통합 패킷 분류 시스템은,Preferably, the integrated packet classification system,

소프트웨어 기반 방식으로 패킷 분류를 수행할 수 있다.
Packet classification can be performed in a software-based manner.

바람직하게는, 상기 통합 패킷 분류 시스템은,Preferably, the integrated packet classification system,

2개 이상의 정책을 하나의 네트워크 장비에서 동시에 구현할 수 있다.Two or more policies can be implemented simultaneously on one network device.

본 발명에서 제안하고 있는 고성능 보안 라우터를 지원하기 위한 통합 패킷 분류 방법 및 시스템에 따르면, 여러 정책들을 하나의 네트워크 장비에 동시에 구현하여 라우터에서 패킷을 전송하는 경우, 정책들 중 서로 공통된 필드를 갖는 정책들을 공통된 필드별로 통합하여 공통 필드기반 부분통합 테이블을 생성함으로써, 각각의 검색 필드에 대해서 전체 정책들을 모두 검색하는데 단 한 번의 검색만이 필요하도록 하여, 테이블 크기나 테이블 생성 시간의 증가는 억제하면서 검색 성능을 크게 높일 수 있다.
According to the integrated packet classification method and system for supporting the high performance security router proposed by the present invention, when multiple packets are simultaneously implemented in one network device and a packet is transmitted from the router, the policies having common fields among the policies Create a common field-based partial integration table by merging them into common fields, so that only one search is required to search all of the policies for each search field, restraining the increase in table size or table creation time. It can greatly increase performance.

또한, 본 발명에 따르면, 청크 테이블들이 기본적인 매칭 정책 정보와 함께 주어진 값에 대해 매칭 되는 정책이 존재하는지에 대한 정보를 동시에 가지고 있어, 매칭 되는 정책이 없는 경우 또는 패킷 전송 정책만 매칭 될 수 있는 경우 나머지 필드에 대한 테이블 검색을 생략함으로써, 불필요한 검색을 하지 않게 하여 검색 시간을 줄일 수 있다.In addition, according to the present invention, when the chunk tables simultaneously have basic matching policy information and whether there is a matching policy for a given value, there is no matching policy or only a packet transmission policy can be matched. By omitting the table search for the remaining fields, you can reduce the search time by avoiding unnecessary searches.

도 1은 라우터가 데이터 패킷을 주어진 네트워크로부터 다른 네트워크로 전송하는 모습을 나타낸 그림.
도 2는 라우터에서 사용되는 일반적인 보안 정책들의 알고리즘을 나타낸 도면.
도 3은 본 발명의 일 실시예에 따른 고성능 보안 라우터를 지원하기 위한 통합 패킷 분류 방법의 구성을 도시한 도면.
도 4는 본 발명의 일 실시예에 따른 고성능 보안 라우터를 지원하기 위한 통합 패킷 분류 방법에서 여러 정책 집합을 하나의 네트워크 장비에서 동시에 구현하는 경우 겹치는 필드가 존재한다는 것을 나타내기 위한 도면.
도 5는 본 발명의 일 실시예에 따른 고성능 보안 라우터를 지원하기 위한 통합 패킷 분류 방법을 RFC에 적용한 경우의 테이블 구성을 나타낸 도면.
도 6은 본 발명의 일 실시예에 따른 고성능 보안 라우터를 지원하기 위한 통합 패킷 분류 방법의 알고리즘을 도시한 도면.
도 7은 본 발명의 일 실시예에 따른 고성능 보안 라우터를 지원하기 위한 통합 패킷 분류 방법을 RFC 방식에 구현하고 라우팅 정책 수에 따른 테이블 크기의 값을 도시한 도면.
도 8은 본 발명의 일 실시예에 따른 고성능 보안 라우터를 지원하기 위한 통합 패킷 분류 방법을 RFC 방식에 구현하고 라우팅 정책 수에 따른 메모리 액세스 수의 값을 도시한 도면.
도 9는 본 발명의 일 실시예에 따른 고성능 보안 라우터를 지원하기 위한 통합 패킷 분류 방법을 RFC 방식에 구현하고 라우팅 정책 수에 따른 테이블 생성 시간 값을 도시한 도면.
도 10은 본 발명의 다른 실시예에 따른 고성능 보안 라우터를 지원하기 위한 통합 패킷 분류 시스템(100)의 세부 구성을 도시한 도면.1 is a diagram illustrating a router transmitting a data packet from a given network to another network.
2 illustrates an algorithm of general security policies used in a router.
3 is a diagram illustrating a configuration of an integrated packet classification method for supporting a high performance security router according to an embodiment of the present invention.
FIG. 4 is a diagram illustrating that overlapping fields exist when multiple policy sets are simultaneously implemented in one network device in the integrated packet classification method for supporting a high performance security router according to an embodiment of the present invention.
FIG. 5 is a diagram illustrating a table structure when an integrated packet classification method for supporting a high performance security router according to an embodiment of the present invention is applied to an RFC. FIG.
6 is a diagram illustrating an algorithm of an integrated packet classification method for supporting a high performance security router according to an embodiment of the present invention.
FIG. 7 illustrates an integrated packet classification method for supporting a high performance security router according to an embodiment of the present invention in an RFC scheme and a table size value according to the number of routing policies.
8 is a diagram illustrating a value of the number of memory accesses according to the number of routing policies and implementing the integrated packet classification method for supporting a high performance security router according to an embodiment of the present invention.
9 is a diagram illustrating a table generation time value according to the number of routing policies and implementing the integrated packet classification method for supporting a high-performance security router according to an embodiment of the present invention.
FIG. 10 illustrates a detailed configuration of an integrated packet classification system 100 for supporting a high performance security router according to another embodiment of the present invention.

이하에서는 첨부된 도면을 참조하여 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있도록 바람직한 실시예를 상세히 설명한다. 다만, 본 발명의 바람직한 실시예를 상세하게 설명함에 있어, 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략한다. 또한, 유사한 기능 및 작용을 하는 부분에 대해서는 도면 전체에 걸쳐 동일 또는 유사한 부호를 사용한다.
Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings so that those skilled in the art may easily implement the present invention. However, in describing the preferred embodiment of the present invention in detail, if it is determined that the detailed description of the related known function or configuration may unnecessarily obscure the subject matter of the present invention, the detailed description thereof will be omitted. In addition, the same or similar reference numerals are used throughout the drawings for parts having similar functions and functions.

덧붙여, 명세서 전체에서, 어떤 부분이 다른 부분과 ‘연결’되어 있다고 할 때, 이는 ‘직접적으로 연결’되어 있는 경우뿐만 아니라, 그 중간에 다른 소자를 사이에 두고 ‘간접적으로 연결’되어 있는 경우도 포함한다. 또한, 어떤 구성요소를 ‘포함’한다는 것은, 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있다는 것을 의미한다.
In addition, throughout the specification, when a part is 'connected' to another part, it is not only 'directly connected' but also 'indirectly connected' with another element in between. Include. In addition, the term 'comprising' of an element means that the element may further include other elements, not to exclude other elements unless specifically stated otherwise.

도 3은 본 발명의 일 실시예에 따른 고성능 보안 라우터를 지원하기 위한 통합 패킷 분류 방법의 구성을 도시한 도면이다. .도 3에 도시된 바와 같이, 본 발명의 일 실시예에 따른 고성능 보안 라우터를 지원하기 위한 통합 패킷 분류 방법은, 패킷을 분류하는 패킷 분류 방법에 있어서, 여러 정책들을 하나의 네트워크 장비에 동시에 구현하여 라우터에서 패킷을 전송하는 경우, (1) 여러 정책들 중 서로 공통되는 필드를 갖는 정책들을 해당 필드별로 통합하는 단계(S100); (2) 상기 단계 (1)에서 통합된 공통되는 필드에 대해 검색을 하는 단계(S200); (3) 상기 단계 (2)에서 검색하지 않은 나머지 필드들에 대해 검색하는 단계(S300); 및 (4) 상기 단계 (2) 및 (3)에 따른 검색 결과를 사용하여 정책의 우선순위대로 패킷을 처리하는 단계(S400)를 포함할 수 있다. 이하에서는 본 발명의 일 실시예에 따른 고성능 보안 라우터를 지원하기 위한 통합 패킷 분류 방법의 각각의 구성에 대해 상세히 설명하기로 한다.
3 is a diagram illustrating a configuration of an integrated packet classification method for supporting a high performance security router according to an embodiment of the present invention. As shown in FIG. 3, the integrated packet classification method for supporting a high performance security router according to an embodiment of the present invention is a packet classification method for classifying packets, and simultaneously implements various policies in one network device. In the case of transmitting a packet by the router, the method includes: (1) integrating policies having fields common to each other among the respective policies for each corresponding field (S100); (2) searching for a common field integrated in step (1) (S200); (3) searching for the remaining fields not searched in step (2) (S300); And (4) processing the packet according to the priority of the policy using the search results according to the steps (2) and (3) (S400). Hereinafter, each configuration of the integrated packet classification method for supporting the high performance security router according to an embodiment of the present invention will be described in detail.

단계 S100에서는, 여러 정책들을 하나의 네트워크 장비에 동시에 구현하여 라우터에서 패킷을 전송하는 경우, 여러 정책들 중 서로 공통되는 필드를 갖는 정책들을 해당 필드별로 통합할 수 있다. 도 4는 본 발명의 일 실시예에 따른 고성능 보안 라우터를 지원하기 위한 통합 패킷 분류 방법에서 여러 정책 집합을 하나의 네트워크 장비에서 동시에 구현하는 경우 겹치는 필드가 존재한다는 것을 나타내기 위한 도면이다. 도 4에 도시된 바와 같이, A 정책과 그에 속하는 a 필드, B 정책과 그에 속하는 a, b, c, d 필드, 그리고 C 정책과 그에 속하는 c, f 필드가 있다고 할 때, A 정책과 B 정책에 대해서는 a 필드가 겹치고, B 정책과 C 정책에 대해서는 c 필드가 겹칠 수 있다. 고성능 보안 라우터를 지원하기 위한 통합 패킷 분류 방법에서는 각각의 검색 필드에 대해서 전체 정책들을 모두 검색하는데 단 한 번의 검색만이 필요하도록 테이블을 구성하게 되도록 서로 공통된 필드를 갖는 정책들을 해당 필드별로 통합하여 공통 필드기반 부분통합 테이블을 생성할 수 있다. 이렇게 함으로써, 원래의 경우 a 필드는 A 정책과 B 정책에 공통적으로 존재하므로 a 필드에 대해 두 번의 검색을 하였지만, 두 정책 테이블에서 a 필드에 대해 부분적으로 통합하여 a 필드에 대해 한 번의 검색만이 필요하게 된다.
In step S100, when several policies are simultaneously implemented in one network device to transmit a packet in a router, policies having fields common to each other among the various policies may be integrated for each corresponding field. 4 is a diagram illustrating that overlapping fields exist when multiple policy sets are simultaneously implemented in one network device in the integrated packet classification method for supporting a high performance security router according to an embodiment of the present invention. As shown in FIG. 4, when there is a policy A, a field, a policy B belonging thereto, and a, b, c, d fields belonging thereto, and a policy C and c, f fields belonging thereto, the policy A and policy B The fields a may overlap for, and the c fields may overlap for Policy B and Policy C. In the integrated packet classification method to support high-performance security routers, the policies that have fields in common with each other are combined to form a table so that only one search is required to search all policies for each search field. You can create a field-based partial integration table. By doing this, we did two searches for field a because the field a originally exists in policy A and B, but only partially searches for field a in the two policy tables. It is necessary.

단계 S200에서는, 단계 S100에서 생성된 공통 필드기반 부분통합 테이블을 이용하여 공통된 필드에 대해 검색을 수행할 수 있다. 즉, 여러 정책 중 겹치는 필드인 a 필드와 c 필드에 대해 검색을 수행하여 결과를 얻을 수 있다.
In operation S200, a common field may be searched using the common field-based partial integration table generated in operation S100. That is, a search can be performed on fields a and c which are overlapping fields among several policies to obtain a result.

단계 S300에서는, 단계 S200에서 검색하지 않은 나머지 필드들에 대해 검색할 수 있다. 이로써 겹치지 않은 b, d, f 필드에 대한 검색 결과를 얻을 수 있다. 본 발명에서 제안하고 있는 고성능 보안 라우터를 지원하기 위한 통합 패킷 분류 방법은, 매칭 되는 정책들 중 우선순위가 높은 정책에 따라 패킷을 처리하는 분류 방식을 사용할 수 있다. 공통 필드기반 부분통합 테이블을 생성하여 검색을 수행하면 우선순위 문제가 발생할 수 있다. 예를 들어, B 정책의 우선순위가 C 정책보다 높다고 가정하면 이와 같은 공통 필드기반 부분통합 테이블에서는 우선순위가 낮은 정책의 결과를 먼저 얻을 수 있다. 하지만 모든 필드에 대한 검색을 마친 후에는 모든 정책에 대한 검색 결과를 얻게 되므로 미리 얻은 결과를 마지막에 사용하도록 함으로써 우선순위 문제를 해결 할 수 있다.
In operation S300, the remaining fields not searched in operation S200 may be searched. This allows you to get search results for nonoverlapping b, d, and f fields. The integrated packet classification method for supporting the high performance security router proposed by the present invention may use a classification method for processing packets according to a policy having a high priority among matching policies. If you create a common field-based partial integration table and perform a search, a priority problem may occur. For example, assuming that policy B has a higher priority than policy C, such a common field-based partial integration table may yield the result of a policy of low priority. However, after all fields have been searched, you get search results for all policies, so you can solve the priority problem by using the results you obtained earlier.

도 5는 본 발명의 일 실시예에 따른 고성능 보안 라우터를 지원하기 위한 통합 패킷 분류 방법을 RFC에 적용한 경우의 테이블 구성을 나타낸 도면이다. 도 5에 도시된 바와 같이, 고성능 보안 라우터를 지원하기 위한 통합 패킷 분류 방법을 RFC에 적용하여 청크와 청크비트맵(CBM) 테이블을 생성할 수 있다. 앞서 설명한 것처럼, A 정책과 B 정책은 a 필드를, B 정책과 C 정책은 c 필드를 공통필드로 가지고 있다. 따라서 통합 RFC 테이블에서 a 필드 관련 청크 테이블의 경우 A 정책과 B 정책을 하나의 정책으로 합친 후 생성될 수 있다. 또한, c 필드 관련 청크 테이블은 B 정책과 C 정책을 하나의 정책으로 합친 후 생성될 수 있다.
FIG. 5 is a diagram illustrating a table structure when an integrated packet classification method for supporting a high performance security router according to an embodiment of the present invention is applied to an RFC. As illustrated in FIG. 5, a chunk and chunk bitmap (CBM) table may be generated by applying an integrated packet classification method for supporting a high performance security router to an RFC. As described above, policy A and policy B have a field and policy B and policy C have a common field. Therefore, for the a field related chunk table in the integrated RFC table, it can be created after combining the A policy and the B policy into one policy. In addition, the c field related chunk table may be generated after combining the B policy and the C policy into one policy.

이때, 청크 테이블들은 기본적인 매칭 정책 정보와 함께 주어진 값에 대해 매칭 되는 정책이 존재하는지에 대한 정보를 동시에 가지고 있어 비매칭 검색 회피기법을 사용할 수 있다. 상기 비매칭 정책 검색 회피기법은 매칭 되는 정책이 없는 경우 또는 패킷 전송 정책만 매칭 될 수 있는 경우 나머지 필드에 대한 테이블 검색을 생략함으로써, 불필요한 검색을 하지 않게 할 수 있다. 예를 들어, 기존 청크 테이블의 각각의 엔트리는 Equivalence ID(eqID)값을 갖지만 통합된 청크 테이블의 테이블 엔트리는 정책 A 중 매칭된 룰 번호가 추가된 eqID 값을 갖는다. 또한, 정책 B에 대한 eqID는 비트맵의 모든 비트가 0으로 설정된 비트맵을 가리킬 경우 미리 지정된 값으로 설정될 수 있다. 따라서 두 청크 테이블의 eqID 중 하나라도 미리 지정된 값이 되면 나머지 필드에 대한 검색이 생략될 수 있다.
In this case, the chunk tables have basic matching policy information and information on whether there is a matching policy for a given value. Therefore, the chunk tables can use a mismatch search avoidance technique. The mismatching policy search avoidance technique may prevent unnecessary searching by omitting a table search for the remaining fields when there is no matching policy or when only a packet transmission policy can be matched. For example, each entry of the existing chunk table has an Equivalence ID (eqID) value, but a table entry of the unified chunk table has an eqID value to which a matching rule number in policy A is added. In addition, the eqID for the policy B may be set to a predetermined value when the bitmap indicates a bitmap in which all bits of the bitmap are set to zero. Therefore, if any one of the eqIDs of the two chunk tables becomes a predetermined value, the search for the remaining fields may be omitted.

도 6은 본 발명의 일 실시예에 따른 고성능 보안 라우터를 지원하기 위한 통합 패킷 분류 방법의 알고리즘을 도시한 도면이다. 도 6에 도시된 바와 같이, 본 발명의 일 실시예에 따른 고성능 보안 라우터를 지원하기 위한 통합 패킷 분류 방법은 공통 필드기반 부분통합 테이블에 대해 먼저 검색을 한 후, 검색하지 않은 나머지 필드들에 대해 검색을 할 수 있다.
6 is a diagram illustrating an algorithm of an integrated packet classification method for supporting a high performance security router according to an embodiment of the present invention. As shown in FIG. 6, an integrated packet classification method for supporting a high performance security router according to an embodiment of the present invention first searches for a common field-based partial integration table, and then searches for remaining fields that are not searched. You can search.

이하에서는 도 7 내지 도 9를 참조하여, 본 발명의 일 실시예에 따른 고성능 보안 라우터를 지원하기 위한 통합 패킷 분류 방법의 성능을 비교한다. 성능 평가를 위해 IP SPOOFING 정책과 그에 속하는 Sourece IP(SIP) 필드, ROUTING 정책과 그에 속하는 Destination IP(DIP) 필드, 그리고 ACL 정책과 그에 속하는 SIP, DIP, SPORT, DPORT, PROTO를 고성능 보안 라우터를 지원하기 위한 통합 패킷 분류 방법과 기존 RFC 방식으로 구현하고, ROUTING 정책 수에 따른 테이블 크기, 메모리 액세스 수, 그리고 테이블 생성 시간을 측정하였다. 성능 측정을 위한 패킷은 무작위로 생성하였으며, 10회 반복 후 평균 성능을 측정하였다. 비교대상으로는 IP SPOOFING 정책, ACL 정책, ROUTING 정책에 대해 독립적으로 테이블을 생성한 경우와 모든 정책을 하나의 큰 정책으로 통합한 후 하나의 테이블을 생성하는 경우를 선택하였다.
Hereinafter, referring to FIGS. 7 to 9, the performance of the integrated packet classification method for supporting the high performance security router according to an embodiment of the present invention will be compared. For performance evaluation, IP SPOOFING policy, its Sourece IP (SIP) field, ROUTING policy and its Destination IP (DIP) field, and ACL policy and its SIP, DIP, SPORT, DPORT, PROTO support high performance security router. We implemented the integrated packet classification method and the existing RFC method, and measured the table size, the number of memory accesses, and the table creation time according to the number of ROUTING policies. Packets for performance measurement were randomly generated and average performance was measured after 10 iterations. For comparison, we chose to create a table independently for IP SPOOFING policy, ACL policy, and ROUTING policy, and to create one table after merging all the policies into one large policy.

도 7은 본 발명의 일 실시예에 따른 고성능 보안 라우터를 지원하기 위한 통합 패킷 분류 방법을 RFC 방식에 구현하고 라우팅 정책 수에 따른 테이블 크기의 값을 도시한 도면이다. 도 7에 도시된 바와 같이, 통합정책 테이블을 사용하는 경우에는 테이블 크기가 지나치게 커짐을 알 수 있다. 따라서 실제 라우터에 적용하기에는 불가능하다. 반면, 본 발명의 일 실시예에 따른 고성능 보안 라우터를 지원하기 위한 통합 패킷 분류 방법을 사용한 경우에는, 독립 테이블에 비해 룰 수가 40,000인 경우 70% 정도 큰 테이블크기를 갖는다. 다만, 룰 수가 작을수록 테이블 크기 차이가 감소하기 때문에 룰 수가 20,000개인 경우 50% 정도, 10,000개인 경우 40% 정도 큰 테이블을 갖는다. 룰 수가 40,000개인 경우에도 전체 테이블 크기는 60KB 정도밖에 안되므로 실제 사용하는데 큰 무리가 없다.
FIG. 7 illustrates an integrated packet classification method for supporting a high performance security router according to an embodiment of the present invention in an RFC scheme and a table size value according to the number of routing policies. As shown in FIG. 7, when the unified policy table is used, the table size becomes too large. Therefore, it is impossible to apply to a real router. On the other hand, in the case of using an integrated packet classification method for supporting a high performance security router according to an embodiment of the present invention, when the number of rules is 40,000, the table size is about 70% larger than the independent table. However, the smaller the number of rules, the smaller the difference in the size of the table. Therefore, the number of rules is about 50% for 20,000 and 40% for 10,000. Even if the number of rules is 40,000, the total table size is only about 60KB, so there is no problem in actual use.

도 8은 본 발명의 일 실시예에 따른 고성능 보안 라우터를 지원하기 위한 통합 패킷 분류 방법을 RFC 방식에 구현하고 라우팅 정책 수에 따른 메모리 액세스 수의 값을 도시한 도면이다. 도 8에 도시된 바와 같이, 메모리 액세스 수는 모든 정책을 하나로 합친 경우에는 13, 3개의 정책에 대해 독립적으로 테이블을 생성한 경우에는 19이다. 반면, 본 발명의 일 실시예에 따른 고성능 보안 라우터를 지원하기 위한 통합 패킷 분류 방법의 경우에는, 13 이하의 메모리 액세스를 사용하는 것을 알 수 있다. ACL 정책의 룰 수가 증가할수록 전체적인 메모리 액세스 수는 증가하여 13에 가깝게 되지만, ACL 정책의 수가 적은 경우 통합 정책 방식에 비해서 2배 높은 성능을 가진다. 즉, 하나의 ACL 정책을 검색하는 것보다도 빠르게 세 정책을 검색할 수 있으므로, 다중 정책집합을 사용하는데 본 발명에서 제안하고 있는 고성능 보안 라우터를 지원하기 위한 통합 패킷 분류 방법이 매우 탁월함을 알 수 있다.
FIG. 8 illustrates an integrated packet classification method for supporting a high performance security router according to an embodiment of the present invention in an RFC scheme, and illustrates a value of the number of memory accesses according to the number of routing policies. As shown in FIG. 8, the number of memory accesses is 13 when all the policies are combined into 19, and 19 when the tables are independently generated for the three policies. On the other hand, in the case of the integrated packet classification method for supporting the high performance security router according to an embodiment of the present invention, it can be seen that the memory access of 13 or less is used. As the number of rules in the ACL policy increases, the total number of memory accesses increases to close to 13, but when the number of ACL policies is small, it has twice the performance of the integrated policy method. That is, since three policies can be searched faster than one ACL policy, it can be seen that the integrated packet classification method for supporting the high performance security router proposed by the present invention is very excellent. .

도 9는 본 발명의 일 실시예에 따른 고성능 보안 라우터를 지원하기 위한 통합 패킷 분류 방법을 RFC 방식에 구현하고 라우팅 정책 수에 따른 테이블 생성 시간 값을 도시한 도면이다. 도 9에 도시된 바와 같이, 테이블 생성 시간은 통합정책 방식의 경우 시간이 지나치게 오래 걸리기 때문에 실제 측정이 아닌 추정시간을 대신 나타내었다. 독립된 정책을 사용하는 경우 테이블 크기가 가장 작게 된다. 하지만, 본 발명에서 제안하고 있는 고성능 보안 라우터를 지원하기 위한 통합 패킷 분류 방법의 경우 독립된 정책을 사용하는 경우와 비교한다 해도 그 차이가 미비하다고 볼 수 있다.
9 is a diagram illustrating a table generation time value according to the number of routing policies and the integrated packet classification method for supporting a high performance security router according to an embodiment of the present invention. As shown in FIG. 9, the table generation time represents the estimated time instead of the actual measurement because the time taken for the integrated policy method is too long. If you use independent policies, the table size is the smallest. However, the integrated packet classification method for supporting the high performance security router proposed in the present invention may be considered insignificant even when compared to the case of using an independent policy.

도 10은 본 발명의 다른 실시예에 따른 고성능 보안 라우터를 지원하기 위한 통합 패킷 분류 시스템(100)의 세부 구성을 도시한 도면이다. 도 10에 도시된 바와 같이, 본 발명의 다른 실시예에 따른 고성능 보안 라우터를 지원하기 위한 통합 패킷 분류 시스템은, 통합 모듈(110), 제1검색 모듈(120), 제2검색 모듈(130), 및 패킷 처리 모듈(140)을 포함할 수 있다.
10 is a diagram illustrating a detailed configuration of an integrated packet classification system 100 for supporting a high performance security router according to another embodiment of the present invention. As illustrated in FIG. 10, an integrated packet classification system for supporting a high performance security router according to another embodiment of the present invention may include an integration module 110, a first search module 120, and a second search module 130. , And the packet processing module 140.

통합 모듈(110)은, 패킷 분류시스템에 있어서, 여러 정책들을 하나의 네트워크 장비에 구현하여 라우터에서 패킷을 전송하는 경우 여러 정책들 중 서로 공통되는 필드를 갖는 정책들을 해당 필드별로 통합할 수 있다. 제1검색 모듈(120)은, 통합 모듈(110)에 의해 생성된 공통 필드기반 부분통합 테이블에 대해 검색할 수 있다. 제2검색 모듈(130)은, 제1검색 모듈(120)에 의해 검색이 되지 않은 나머지 필드들에 대해 검색을 할 수 있다. 패킷 처리 모듈(140)은, 제1검색 모듈(120) 및 제2검색 모듈(130)에 따른 검색 결과를 사용하여 정책의 우선순위대로 패킷을 처리할 수 있다.
In the packet classification system, in the packet classification system, when a plurality of policies are implemented in one network device and a packet is transmitted from a router, the integration module 110 may integrate policies having fields common to each other among the corresponding fields. The first search module 120 may search for the common field based partial integration table generated by the integration module 110. The second search module 130 may search for the remaining fields that are not searched by the first search module 120. The packet processing module 140 may process packets according to the priority of the policy by using the search results according to the first search module 120 and the second search module 130.

각각의 구성들과 관련된 상세한 내용들은, 앞서 본 발명의 일실시예에 따른 고성능 보안 라우터를 지원하기 위한 통합 패킷 분류 방법과 관련하여 충분히 설명되었으므로, 상세한 설명은 생략하기로 한다.
Details related to each configuration have been described above with reference to the integrated packet classification method for supporting the high performance security router according to an embodiment of the present invention, and thus the detailed description thereof will be omitted.

상술한 바와 같이, 본 발명에서 제안하고 있는 고성능 보안 라우터를 지원하기 위한 통합 패킷 분류 방법 및 시스템에 따르면, 여러 정책들을 하나의 네트워크 장비에 동시에 구현하여 라우터에서 패킷을 전송하는 경우, 정책들 중 서로 공통된 필드를 갖는 정책들을 공통된 필드별로 통합하여 공통 필드기반 부분통합 테이블을 생성함으로써, 각각의 검색 필드에 대해서 전체 정책들을 모두 검색하는데 단 한 번의 검색만이 필요하도록 하여, 테이블 크기나 테이블 생성 시간의 증가는 억제하면서 검색 성능을 크게 높일 수 있다. 또한, 본 발명에 따르면, 청크 테이블들이 기본적인 매칭 정책 정보와 함께 주어진 값에 대해 매칭 되는 정책이 존재하는지에 대한 정보를 동시에 가지고 있어, 매칭 되는 정책이 없는 경우 또는 패킷 전송 정책만 매칭 될 수 있는 경우 나머지 필드에 대한 테이블 검색을 생략함으로써, 불필요한 검색을 하지 않게 하여 검색 시간을 줄일 수 있다.
As described above, according to the integrated packet classification method and system for supporting the high-performance security router proposed by the present invention, when a plurality of policies are simultaneously implemented in one network device to transmit a packet in the router, one of the policies By integrating policies with common fields by common fields to create a common field-based partial integration table, only one search is required to search all the policies for each search field, reducing the size of the table or the time of table creation. While suppressing the increase, you can significantly improve search performance. In addition, according to the present invention, when the chunk tables simultaneously have information about whether there is a matching policy for a given value together with basic matching policy information, there is no matching policy or only a packet transmission policy can be matched. By omitting the table search for the remaining fields, you can reduce the search time by avoiding unnecessary searches.

이상 설명한 본 발명은 본 발명이 속한 기술분야에서 통상의 지식을 가진 자에 의하여 다양한 변형이나 응용이 가능하며, 본 발명에 따른 기술적 사상의 범위는 아래의 청구범위에 의하여 정해져야 할 것이다.The present invention described above may be variously modified or applied by those skilled in the art, and the scope of the technical idea according to the present invention should be defined by the following claims.

100: 고성능 보안 라우터를 지원하기 위한 통합 패킷 분류 시스템
110: 통합 모듈
120: 제1검색 모듈
130: 제2검색 모듈
140: 패킷 처리 모듈
S100: 여러 정책들 중 서로 공통되는 필드를 갖는 정책들을 해당 필드별로 통합하는 단계
S200: 단계 S100에서 통합된 공통되는 필드에 대해 검색을 하는 단계
S300: 단계 S200에서 검색하지 않은 나머지 필드들에 대해 검색하는 단계
S400: 단계 S200 및 S300에 따른 검색 결과를 사용하여 정책의 우선순위대로 패킷을 처리 하는 단계100: Integrated packet classification system to support high performance security router
110: integrated module
120: first search module
130: second search module
140: packet processing module
S100: step of merging the policies having fields common to each other among the respective policies
S200: searching for common fields integrated in step S100
S300: searching for remaining fields not searched in step S200
S400: Processing packets according to the priority of the policy using the search results according to steps S200 and S300

Claims (20)

패킷을 분류하는 패킷 분류 방법에 있어서,
여러 정책들을 하나의 네트워크 장비에 동시에 구현하여 라우터에서 패킷을 전송하는 경우,
(1) 여러 정책들 중 서로 공통되는 필드를 갖는 정책들을 해당 필드별로 통합하는 단계;
(2) 상기 단계 (1)에서 통합된 공통되는 필드에 대해 검색을 하는 단계;
(3) 상기 단계 (2)에서 검색하지 않은 나머지 필드들에 대해 검색을 하는 단계; 및
(4) 상기 단계 (2) 및 (3)에 따른 검색 결과를 사용하여 정책의 우선순위대로 패킷을 처리하는 단계를 포함하며,
상기 단계 (1)은,
여러 정책들 중 각각의 검색 필드에 대해서 전체 정책들을 모두 검색하는데 단 한 번의 검색만이 필요하도록 공통 필드기반 부분통합 테이블을 생성하고,
상기 공통 필드기반 부분통합 테이블은, 청크와 청크비트맵 테이블을 포함하며,
상기 청크와 청크비트맵 테이블은, 기본적인 매칭 정책 정보와 함께 주어진 값에 대해 매칭 되는 정책이 존재하는지에 대한 정보를 동시에 가지고 있어 비매칭 정책 검색 회피기법을 사용할 수 있고,
상기 비매칭 정책 검색 회피기법은, 매칭 되는 정책이 없는 경우 또는 패킷 전송 정책만 매칭 될 수 있는 경우 나머지 필드에 대한 검색을 생략하게 하는 것을 특징으로 하는, 고성능 보안 라우터를 지원하기 위한 통합 패킷 분류 방법.
In the packet classification method for classifying a packet,
When multiple policies are simultaneously implemented on one network device and a packet is sent from a router,
(1) integrating policies having fields common to each other among the respective policies for respective fields;
(2) searching for a common field integrated in step (1);
(3) searching for the remaining fields not searched in step (2); And
(4) processing the packets according to the priorities of the policies using the search results according to steps (2) and (3) above,
Step (1) is,
Create a common field-based partial integration table so that only one search is needed to search all the policies for each search field among the policies,
The common field based partial integration table includes a chunk and a chunk bitmap table,
The chunk and chunk bitmap tables have basic matching policy information and information on whether there is a matching policy for a given value.
The mismatch policy search avoidance technique omits a search for the remaining fields when there is no matching policy or when only a packet transmission policy can be matched. .
삭제delete 삭제delete 삭제delete 삭제delete 제1항에 있어서, 상기 통합 패킷 분류 방법은,
상기 단계 (2)에서 통합된 공통되는 필드에 대한 검색 결과를 마지막에 사용하여 우선순위 문제를 해결하는 것을 특징으로 하는, 고성능 보안 라우터를 지원하기 위한 통합 패킷 분류 방법.
The method of claim 1, wherein the integrated packet classification method comprises:
And a search result for the common field integrated in the step (2) is used last to solve the priority problem.
제1항에 있어서, 상기 통합 패킷 분류 방법은,
각 정책 검색 테이블이 RFC로 구성될 수 있도록 하는 것을 특징으로 하는, 고성능 보안 라우터를 지원하기 위한 통합 패킷 분류 방법.
The method of claim 1, wherein the integrated packet classification method comprises:
Wherein each policy lookup table can be configured with RFC.
제1항에 있어서, 상기 통합 패킷 분류 방법은,
소프트웨어 기반 방식으로 패킷 분류를 수행하는 것을 특징으로 하는, 고성능 보안 라우터를 지원하기 위한 통합 패킷 분류 방법.
The method of claim 1, wherein the integrated packet classification method comprises:
An integrated packet classification method for supporting a high performance security router, characterized in that the packet classification is performed in a software-based manner.
제1항에 있어서, 상기 통합 패킷 분류 방법은,
2개 이상의 정책을 하나의 네트워크 장비에서 동시에 구현하는 것을 특징으로 하는, 고성능 보안 라우터를 지원하기 위한 통합 패킷 분류 방법.
The method of claim 1, wherein the integrated packet classification method comprises:
An integrated packet classification method for supporting a high performance security router, characterized in that two or more policies are simultaneously implemented in one network device.
제9항에 있어서, 상기 정책은,
IP SPOOFING 정책, ACL 정책, ROUTING 정책을 포함하는 것을 특징으로 하는, 고성능 보안 라우터를 지원하기 위한 통합 패킷 분류 방법.
The method of claim 9, wherein the policy,
An integrated packet classification method for supporting a high performance security router, comprising an IP SPOOFING policy, an ACL policy, and a ROUTING policy.
제1항에 있어서, 상기 공통된 필드는,
SOURCE IP 필드, DESTINATION IP 필드를 포함하는 것을 특징으로 하는, 고성능 보안 라우터를 지원하기 위한 통합 패킷 분류 방법.
The method of claim 1, wherein the common field,
An integrated packet classification method for supporting a high performance security router, characterized by comprising a SOURCE IP field and a DESTINATION IP field.
패킷을 분류하는 패킷 분류 시스템에 있어서,
여러 정책들을 하나의 네트워크 장비에 동시에 구현하여 라우터에서 패킷을 전송하는 경우,
여러 정책들 중 서로 공통되는 필드를 갖는 정책들을 해당 필드별로 통합하는 통합 모듈;
상기 통합 모듈에서 통합된 공통되는 필드에 대해 검색하는 제1검색 모듈;
상기 제1검색 모듈에서 검색하지 않은 나머지 필드들에 대해 검색하는 제2검색 모듈; 및
상기 제1검색 모듈 및 제2검색 모듈에 따른 검색 결과를 사용하여 정책의 우선순위대로 패킷을 처리하는 패킷 처리 모듈을 포함하며,
상기 통합 모듈은,
여러 정책들 중 각각의 검색 필드에 대해서 전체 정책들을 모두 검색하는데 단 한 번의 검색만이 필요하도록 공통 필드기반 부분통합 테이블을 생성하고,
상기 공통 필드기반 부분통합 테이블은, 청크와 청크비트맵 테이블을 포함하며,
상기 청크와 청크비트맵 테이블은, 기본적인 매칭 정책 정보와 함께 주어진 값에 대해 매칭 되는 정책이 존재하는지에 대한 정보를 동시에 가지고 있어 비매칭 정책 검색 회피기법을 사용할 수 있고,
상기 비매칭 정책 검색 회피기법은, 매칭 되는 정책이 없는 경우 또는 패킷 전송 정책만 매칭 될 수 있는 경우 나머지 필드에 대한 검색을 생략하게 하는 것을 특징으로 하는, 고성능 보안 라우터를 지원하기 위한 통합 패킷 분류 시스템.
In the packet classification system for classifying a packet,
When multiple policies are simultaneously implemented on one network device and a packet is sent from a router,
An integration module for integrating policies having fields common to each other among various policies for respective fields;
A first search module for searching for a common field integrated in the integration module;
A second search module for searching for the remaining fields not searched in the first search module; And
A packet processing module configured to process packets according to a priority of a policy by using search results according to the first search module and the second search module,
The integrated module,
Create a common field-based partial integration table so that only one search is needed to search all the policies for each search field among the policies,
The common field based partial integration table includes a chunk and a chunk bitmap table,
The chunk and chunk bitmap tables have basic matching policy information and information on whether there is a matching policy for a given value.
The mismatch policy search avoidance technique omits a search for the remaining fields when there is no matching policy or when only a packet forwarding policy can be matched. .
삭제delete 삭제delete 삭제delete 삭제delete 제12항에 있어서, 상기 통합 패킷 분류 시스템은,
상기 통합 모듈에서 통합된 공통되는 필드에 대한 검색 결과를 마지막에 사용하여 우선순위 문제를 해결하는 것을 특징으로 하는, 고성능 보안 라우터를 지원하기 위한 통합 패킷 분류 시스템.
The system of claim 12, wherein the integrated packet classification system comprises:
Integrated search classification system for supporting a high-performance security router, characterized in that to solve the priority problem using the last search results for the common field integrated in the integration module.
제12항에 있어서, 상기 통합 패킷 분류 시스템은,
각 정책 검색 테이블이 RFC로 구성될 수 있도록 하는 것을 특징으로 하는, 고성능 보안 라우터를 지원하기 위한 통합 패킷 분류 시스템.
The system of claim 12, wherein the integrated packet classification system comprises:
An integrated packet classification system for supporting a high performance security router, characterized in that each policy lookup table can be configured as an RFC.
제12항에 있어서, 상기 통합 패킷 분류 시스템은,
소프트웨어 기반 방식으로 패킷 분류를 수행하는 것을 특징으로 하는, 고성능 보안 라우터를 지원하기 위한 통합 패킷 분류 시스템.
The system of claim 12, wherein the integrated packet classification system comprises:
An integrated packet classification system for supporting a high performance security router, characterized by performing packet classification in a software-based manner.
제12항에 있어서, 상기 통합 패킷 분류 시스템은,
2개 이상의 정책을 하나의 네트워크 장비에서 동시에 구현하는 것을 특징으로 하는, 고성능 보안 라우터를 지원하기 위한 통합 패킷 분류 시스템.The system of claim 12, wherein the integrated packet classification system comprises:
An integrated packet classification system for supporting high performance security routers, characterized in that two or more policies are simultaneously implemented in one network device.
KR1020180034878A 2018-03-27 2018-03-27 Integration packet classification method and system for supporting high performance secure routers KR102060053B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180034878A KR102060053B1 (en) 2018-03-27 2018-03-27 Integration packet classification method and system for supporting high performance secure routers

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180034878A KR102060053B1 (en) 2018-03-27 2018-03-27 Integration packet classification method and system for supporting high performance secure routers

Publications (2)

Publication Number Publication Date
KR20190112918A KR20190112918A (en) 2019-10-08
KR102060053B1 true KR102060053B1 (en) 2019-12-27

Family

ID=68208620

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180034878A KR102060053B1 (en) 2018-03-27 2018-03-27 Integration packet classification method and system for supporting high performance secure routers

Country Status (1)

Country Link
KR (1) KR102060053B1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102447130B1 (en) * 2020-11-05 2022-09-26 국민대학교산학협력단 Target file detection device and method based on network packet analysis

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100767072B1 (en) * 2006-02-21 2007-10-24 이화여자대학교 산학협력단 A method of classifying packets using area decomposition based on priority and apparatus for relaying packets therefor
KR101153940B1 (en) * 2010-11-09 2012-06-08 아주대학교산학협력단 Device and the method for classifying packet

Also Published As

Publication number Publication date
KR20190112918A (en) 2019-10-08

Similar Documents

Publication Publication Date Title
US9800697B2 (en) L2/L3 multi-mode switch including policy processing
US11032190B2 (en) Methods and systems for network security universal control point
US10193861B2 (en) Method and apparatus for best effort propagation of security group information
US10868737B2 (en) Security policy analysis framework for distributed software defined networking (SDN) based cloud environments
US10834085B2 (en) Method and apparatus for speeding up ACL rule lookups that include TCP/UDP port ranges in the rules
US8301882B2 (en) Method and apparatus for ingress filtering using security group information
US8839409B2 (en) Tunneled security groups
US7813337B2 (en) Network packet processing using multi-stage classification
US9237128B2 (en) Firewall packet filtering
EP2541854B1 (en) Hybrid port range encoding
US20160277297A1 (en) Sdn packet forwarding
US10708272B1 (en) Optimized hash-based ACL lookup offload
US20120275466A1 (en) System and method for classifying packets
US8886879B2 (en) TCAM action updates
US10313154B2 (en) Packet forwarding
US10313274B2 (en) Packet forwarding
KR102060053B1 (en) Integration packet classification method and system for supporting high performance secure routers
US20070124495A1 (en) Methods and systems for policy based routing
US10205658B1 (en) Reducing size of policy databases using bidirectional rules
WO2023160693A1 (en) Attack blocking method and related apparatus
US20220417130A1 (en) Staging in-place updates of packet processing rules of network devices to eliminate packet leaks

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right