KR100372798B1 - 연결 필터의 동적인 배치 방법, 시스템 및 프로그램저장장치와 제조물품 - Google Patents

연결 필터의 동적인 배치 방법, 시스템 및 프로그램저장장치와 제조물품 Download PDF

Info

Publication number
KR100372798B1
KR100372798B1 KR10-2000-0002415A KR20000002415A KR100372798B1 KR 100372798 B1 KR100372798 B1 KR 100372798B1 KR 20000002415 A KR20000002415 A KR 20000002415A KR 100372798 B1 KR100372798 B1 KR 100372798B1
Authority
KR
South Korea
Prior art keywords
filter
connection
policy
filters
connection filter
Prior art date
Application number
KR10-2000-0002415A
Other languages
English (en)
Other versions
KR20000076489A (ko
Inventor
보덴에드워드비
Original Assignee
인터내셔널 비지네스 머신즈 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 인터내셔널 비지네스 머신즈 코포레이션 filed Critical 인터내셔널 비지네스 머신즈 코포레이션
Publication of KR20000076489A publication Critical patent/KR20000076489A/ko
Application granted granted Critical
Publication of KR100372798B1 publication Critical patent/KR100372798B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

가상 전용 네트워크(VPN)는 인터넷 상의 전자 사업을 가능하게 하는 부상중인 기술 분야이다. 중요한 기본적인 VPN 기술은 IP 보안(IP Security: IPsec)인데, 이는 공용 (인터넷) 네트워크상으로 전용 (암호화 및 인증된) 보안 데이터 전송을 제공하는 수단이다. 궁극적으로 보호해야 할 데이터에 대한 정의는 운영체제 커널로 로딩되는 IP 필터 규칙(IP filter rules)이다. 이들 규칙들은 정확한 IP 데이터그램을 선택하는데 사용되며, 각각이 정확한 IPsec 보안 협회에 의해 처리되게 한다. VPN 연결을 다른 속성에 따라서 개시, 중지 및 감시할 수 있다. VPN 연결을 구현하는데 사용되는 연결 필터는 동적이고, (VPN과 관련 없이) 현재 설치된 IP 필터 집합 내에 삽입 및 삭제돼야만 한다. 적절히 작동하는데는 IP 필터 순서가 중요한데, 기본적인 문제는 이들 동적 필터를 어디다 배치할 것인가 하는 것이다. 이 필터 배치 문제는 매크로 및 마이크로 부분을 가진다. 마이크로 필터 배치 문제는 필터 충돌 검출을 사용하여, 연결 필터 집합들 중에 순서 의존성을 제거함으로써 해결한다. 모든 가능한 유효 IP 데이터그램에 대하여 IP 데이터그램과 매칭되는 필터 규칙이 두 필터 규칙의 순서에 의존하는 경우에, 두 필터는 이른바 충돌한다(또는 오버랩된다). 충돌을 제거함으로써, 필터를 소정의 순서대로 배치할 수 있다.

Description

연결 필터의 동적인 배치 방법, 시스템 및 프로그램 저장 장치와 제조 물품 {SYSTEM AND METHOD FOR DYNAMIC MICRO PLACEMENT OF IP CONNECTION FILTERS}
본 발명은 E-사업을 가능하게 하는 기본인 가상 전용 네트워크(VPN) 구현에 관한 것으로, 특히, 마이크로 필터 배치에 영향을 주는 필터 충돌의 검출에 관한것이다.
가상 전용 네트워크(VPN)는 전자 사업을 가능하게 하는 기본이다. VPN에서 IP 보안 기술이 구축되면 TCP/IP의 IP 데이터그램 레벨에서 데이터 암호화 및 인증을 제공한다.
정책 필터(policy filter)는 보다 큰 필터 집합에서 특정한 데이터 보호 정책이 실현되는 장소를 표시하는데 사용되는 필터 형태이다. 전체 집합을 교체하는 것과는 달리 기존의 필터 규칙 집합(set of filter rules)에 (SPD 엔트리로서 참조되는) 새로운 필터 규칙을 추가할 때, 문제는 다른 엔트리에 대해 어디에 배치할 것인가 하는 것이다. 이것은 필터 규칙이 논리 하향식(top-to-bottom)으로 처리되고, 특정한 IP 패킷이 하나 이상의 규칙과 쉽게 매칭될 수 있으므로 매우 중요한 문제이다. 이것은 각 연결 필터 규칙이 나타내는 것이 무엇인가 하는 보안 정책 결정의 내용에서 보다 중요하게 될 것이다. 종래 기술에 따르면, 일정하고 예측 가능한 처리를 하기 위하여, SPD 엔트리의 순서가 정해져 있어야 하고, SPD를 항상 그 동일한 순서로 검색해야만 하므로, 제1 매칭 엔트리가 일률적으로 선택되었다. 종래 기술에 따른 이러한 요건은 SPD 엔트리에 대한 처리 트래픽의 결과가 확정적이여야 했기 때문에 필요했던 것이지만, SPD 엔트리를 표준화시키는 방법은 없었다.
모든 SPD 엔트리가 상당히 정적(static)인 경우, 해결 방안은 사용자에게 적당한 형태의 SPD 엔트리 리스트를 제공하고, 그 사용자가 새로운 순서를 정하고 그렇게 정해진 순서대로 재로딩하는 것이다. 본 발명과 크게 관련이 없는 기계적인 부분은 제외하더라도, SPD 엔트리를 정적이 아닌 것으로 만드는 것은 문제이다. 개시자 및 응답자-모드 연결은 둘 다 동적으로 새로운 필터를 로딩할 것을 요구한다. 그러나, 사용자가 이들 필터를 동적으로 순서화하기를 기대하는 것을 효과적이지 않다. 또 다른 접근 방안은 사용자가 국부적으로 개시되는 연결을 위해 우선 순서를 결정하도록 하는 것이다(말하자면, 자동 개시 또는 예정된 개시). 그러나, 이것은 이미 복잡한 VPN 구성 처리에 또 다른 수준의 복잡한 구성을 추가하는 것이 되고, 그 복잡한 구성을 응답자-모드 연결에 추가하지 않는다면 응답자-모드 연결이 동작하지 않을 수 있으며, 그것이 응답자-모드 연결에 불필요한 제약이 될 수 있다는 문제가 있다.
IP 필터 규칙은 사용자가 지정한 순서에 따라 하향식으로 처리된다. 필터의 동적 배치에서는 시스템이 필터 규칙을 동적으로 정확한 위치에 배치해야만 하므로, IP 보안은 새로운 수준의 복잡한 구성을 도입해야 할 것이다. 또한, 이들 필터 규칙을 동적으로 제거해야 할 것이다. IP 보안 구조(인터넷 RFC 2401 및 다른 IPsec RFC)는 이런 능력을 구현할 방법에 대한 가이드를 제공하지 않는다. 따라서, 본 기술 분야에서는 각 IP 보안 연결을 위해 사용자가 필터 규칙을 순서화할 필요 없이 IP 보안 정책을 시행할 수 있는 직접적이고 단순한 제어를 하는 시스템 및 방법이 요구된다.
본 발명의 목적은 VPN 연결과 관련된 필터 규칙 집합을 관리하기 위한 개선된 시스템 및 방법을 제공하는데 있다.
본 발명의 다른 목적은 기존의 연결 필터 집합에 개별적인 연결 필터를 동적으로 로딩하기 위한 시스템 및 방법을 제공하는데 있다.
본 발명의 또 다른 목적은 완전히 자동화된 방식으로 고객이 명시한 데이터 보호 정책을 충족시키는 결정적이고 명백한 VPN 연결을 제공하는 시스템 및 방법을 제공하는데 있다.
본 발명의 또 다른 목적은 주어진 데이터 보호 정책을 위해 모든 VPN 연결을 사실상 이 정책에 따라서 데이터를 보호하도록 자동적으로 보장하기 위한 시스템 및 방법을 제공하는데 있다.
본 발명의 또 다른 목적은 연결 필터의 마이크로 배치를 제공하는데 있다.
본 발명에 따라서, 정책 필터의 순서를 수동으로 명시함으로써 IP 보안 정책을 구현하고, 연결 필터들을 자동적으로 발생시키고 그 연결 필터들을 전체 IP 필터 리스트의 적당한 위치, 즉 적당한 정책 필터와 그 정책 필터에 이미 존재하는 연결 필터와의 관계에서 적당한 위치에 배치시키는 시스템 및 방법을 제공한다.
본 발명의 다른 특징 및 장점들은 첨부 도면을 참조한 후술되는 본 발명의 바람직한 실시예에의 상세한 설명으로부터 보다 명백해질 것이다.
도 1은 정책 필터의 매크로 배치 및 데이터그램의 처리를 도시한 도면,
도 2는 본 발명의 바람직한 실시예에 따라서, 마이크로 배치 문제를 해결하기 위하여 충돌을 검출하는 것을 도시한 도면.
도면의 주요 부분에 대한 부호의 설명
20 : 필터 규칙 집합 30 : 앵커 필터
38, 40, 48 : 연결 필터 42, 44, 46 : 데이터그램
가상 전용 네트워크(VPN)는 IBM AS/400에서 전달되는 인터넷상에서 전자 사업을 가능하게 하는 기술 분야로 부상중이다. 기본적인 중요한 VPN 기술은 IP 보안(IPsec)으로서, 이는 공용 네트워크(인터넷)를 통해 전용 (암호화 및 인증된) 보안 데이터 전송을 제공하기 위한 수단이다. IPsec는 인터넷 엔지니어링 태스크 포스(Internet Engineering Task Force: IETF) 표준-트랙 프로토콜이다(RFC 2401,IP 보안 구조 참조). VPN 이용에 기본이 되는 것은 고객이 명시한 데이터 보호 정책이다. IBM AS/400상의 본 발명의 바람직한 실시예를 위하여, 이 VPN 정책 데이터베이스는 보호할 네트워크 데이터의 종류 및, 고객이 원하는 이들을 보호할 방법을 상세히 정의한다.
보호할 데이터가 무엇인가 하는 것의 정의한 것이 결국 IBM OS/400 커널로 로딩되는 IP 필터 규칙이다. 이들은 정확한 IP 데이터그램을 선택하는데 사용되고, 그 각각의 데이터그램은 정확한 IPsec 보안 협회(SA, REC 2401 참조)에 의해 처리된다. AS/400상의 VPN은 VPN 연결의 중요한 개념을 제공하는데, 이는 미리 정의된 VPN 정책을 운영상 능동적으로 사용하는 일이다. 다른 특성에 따라, (AS/400 오퍼레이션 네비게이터 GUI를 통해) VPN 연결을 개시, 중지 및 감시할 수 있다. 따라서, VPN 연결을 구현하는데 사용되는 연결 필터는 동적이다. 이들을 (VPN과 관련 없이) 현재 설치된 IP 필터 집합 내에 삽입 및 삭제하여야 한다. 적절한 기능을 수행하기 위하여 IP 필터 순서를 결정하는 것이 중요하므로, 기본적인 문제는 이들 동적 필터를 어디다 배치할 것인가 하는 것이다. 이 필터 배치 문제는 매크로 및 마이크로 부분을 가진다. 본 발명에 따라서, 동일한 정책에 대해 기존의 연결 필터 집합들 사이에 새로운 연결 필터를 어디에 배치할 것인가 하는 마이크로 배치 문제를 해결하는데 필터 충돌 검출(filter collision detection)을 사용한다. 높은 빈도의 연결 필터 삽입 및 삭제로 인하여, 사용자로부터 부가적인 구성 정보를 필요로 하지 않는, 완전히 자동화된 해결방안을 가지는 것이 중요하다. 매크로 배치를 해결하는 문제는 양수인 도킷 번호 EN999006인 계류중인 특허 출원에 개시되어 있다.
도 1을 참조하면, 양수인 도킷번호 EN999006인 계류중인 특허 출원에서 보다 상세히 기술되는 바와 같이, IPsec 사용자는 집합 내에 앵커 필터(anchor filter)(30)를 포함하는 필터 규칙(22-36)의 집합(20)을 정의한다. 이 앵커 필터는 또한 정책 필터로 알려져 있다. 이 집합(20)이 로딩된다. 본 발명의 바람직한 실시예에 따라서, (IPsec 연결로도 지칭되는) VPN 연결(38, 40)을 다음과 같은 로딩된 (기존의) 필터 규칙 집합(20)내에 동적으로 배치한다. 시스템이 몇가지 VPN 연결을 통하여 보호되어야 하는 IP 트래픽을 보호되지 않는 상태로 방치되는 것을 확실하게 방지하기 위하여, 필터 집합(20)을 통해 연결 필터(38)와 관련된 이름(81)을 순서대로 검사한다. 매칭되는 이름을 가진 정책 필터를 발견하지 못한 경우(이 경우에 발견 못함), VPN 연결 필터(38)를 로딩하는데 실패한다. 연결 필터(40)의 이름(82)을 가진 경우에, 매칭되는 이름(75)을 가진 앵커 필터(30)를 발견한 경우, 규칙 리스트(20)에서 이 앵커 필터(30)의 바로 앞에 VPN 연결 필터(40)를 삽입한다. 따라서, 매크로 배치의 목적을 성취하게 된다: 이 연결 필터(40)를 집합(20)에서 적절할 위치에 배치한다.
필터 충돌 검출을 사용함으로써, 연결 필터 집합 사이에 순서 의존성을 제거하여 마이크로 배치 문제를 해결한다. 모든 가능한 유효 IP 데이터그램에 대하여, IP 데이터그램을 매칭시키는 필터 규칙이 두 필터 규칙의 순서에 의존하는 경우, 두 필터는 이른바 충돌한다(또는 오버랩된다). 만약 충돌이 제거된다면, 필터는 어떤 순서로든 배치될 수 있다. 따라서, 기존의 필터들 사이에 새로운 필터 규칙을 편한 곳에 배치할 수 있다.
필터 규칙을 마이크로 배치하기 위한 본 발명의 바람직한 실시예의 방법은 VPN 연결이 개시될 때 실행되지만, VPN 연결에 대한 IP 데이터그램의 처리시에는 실행되지 않는다.
본 발명의 바람직한 실시예에 따라서, 사용자가 정책 필터의 순서만을 명시할 필요가 있는 시스템 및 방법을 제공한다. 그 후에, 적절한 정책 필터에 대한 관련하여 모든 IP 필터의 리스트에 시스템이 발생한 연결 필터를 자동적으로 배치한다. 이런 방식으로, 예를 들면, IBM AS/400 시스템상의 가상 전용 네트워크를 구성하는데 간단하고 분명한 방식을 사용자에게 제공한다.
본 발명의 바람직한 실시예에 따라서, 다음의 요소가 IP 필터 규칙 리스트 또는 VPN을 특징짓는다.
1. 연결 정의는 그 각 하나에 2-단계 정책을 지니는 특징이 있다. 따라서, 하나의 연결 정의를 근거로 상당수의 연결을 개시할 수 있다.
2. 연결 정의와 필터 규칙(앵커 필터) 사이에는 n 대 1 대응이 존재한다. 지연 셀렉터(deferred selector)는 사용자 식별자를 통한 외부 연결을 위하여 앵커 필터 당 다수의 연결 정의를 허용한다.
3. 앵커 필터는 물리적 인터페이스에 대한 n 대 1 대응을 가진다. 즉, 각 앵커 필터는 다수의 물리적 인터페이스에 적용될 수 있다. 그러나, 하나의 인터페이스에 0 번 또는 한 번만 대응될 수 있다.
4. 인터페이스가 시작될 때 완전히 자동으로 앵커 필터를 로딩한다. 환언하면, 인터페이스를 위해 앵커 필터를 정의한 경우, 앵커 필터를 로딩하지 않고서는 인터페이스를 시작할 수 없다. 이것은 사용자의 IP 보안 정책을 시행하기 위한 메커니즘을 가능하게 한다. 인터페이스가 적어도 하나의 앵커 필터를 가지는 경우에만 IPsec이 가능해진다.
5. 앵커 필터는 사용자에 의하여 명시적으로 순서가 결정된다. 이렇게 함으로써, 각 연결 정의를 위한 연결을 처리할 순서를 정의하고, 따라서, 이 순서는 정책을 적용할 시의 순서이다.
6. 필터 처리 동안에(모든 필터 유형, 논리적으로 하향식) 패킷이 앵커 필터에 의해 매칭되는 경우, 패킷을 버린다. 앵커 필터가 명시하는 연결 정의 값(SPD 엔트리)은 연결 정의 그 자체이고 이름이 일련 번호 0을 가지므로, SLIC에서 앵커 필터를 식별할 수 있다. 환언하면, 만약 IP 패킷이 기존 연결과 매칭되는데 실패한다면, 정책을 시행하여 패킷을 버린다.
7. 연결 필터 충돌의 검출 및 처리를 제공한다.
8. 연결 필터를 로딩할 때, 필터 배치 처리는 인터페이스를 위한 모든 필터 규칙의 문맥상 매크로 배치 및, 마이크로 배치라는 두가지 부분을 포함한다. 매크로 배치인 경우, 연결 필터와 매칭되는 앵커 필터가 있을 때 그 연결 필터와 매칭되는 앵커 필터의 앞쪽과 그 앵커 필터보다 앞에 있는 앵커 필터의 뒤쪽에 배치한다. 연결에 대한 앵커의 매칭은 연결 이름을 사용하여 행해진다.
연결 정의 동안 이미 개시된 연결 내 마이크로 배치는 다음과 같이 발생된다. 충돌이 검출되지 않는 경우, 필터 규칙을 어디든지 배치한다. 반면에, 충돌이 소스 또는 목적지 IP 어드레스에 있었고, 충돌 필터가 서브넷 마스크(subnet mask)를 가지는 경우, 충돌되는 기존의 필터 앞에 새로운 필터를 배치ㅎ나다. 이것은 새로운 필터가 기존의 필터보다 세밀하다는 것을 의미한다. (이와 같은 특별한 경우의 연결 필터 오버랩은 VPN 연결 정의의 유틸리티에 따라 허용된다.)
이러한 방식으로, 필터 배치를 수행한다. 사용자가 정책 필터의 순서를 정하기만 하면 시스템은 사용자가 모든 구체적인 필터 규칙을 특정하지 않아도 자동적으로 구체적인 필터 규칙을 제공하고 임의의(확실치 않은) 정책이 시행되는 것을 방지한다. 충돌로 인하여 너무 많은 연결 실패가 있는 경우에, 새로운 연결 정의 및 관련된 앵커를 생성할 수 있고, 이 새로운 앵커는 기존의 앵커에 대해 순서화된다.
도 2를 참조하면, 본 발명의 바람직한 실시예에 따라서, 이 연결 필터(58)가 이 정책 필터(50)를 위한 기존의 연결 필터(56)와 충돌하거나 혹은 오버랩하는 지의 여부에 대한 제1 판정에 의해 필터 충돌 검출을 수행한다. 연결 필터가 기존의 연결 필터(56)와 충돌하는 경우, 이 연결 필터(58)를 로딩하지 않는다. 이 정책 필터를 위한 기존의 연결 필터와의 연결 필터(62)와의 충돌이 없는 경우, 이 정책 필터(50)와 이미 관련된 연결 필터(56, 60)의 어느 곳이든지 이 연결 필터(62)를 배치 또는 삽입할 수 있고, 마이크로 배치의 목적이 성취된다. 따라서, 사용자는 서로 오버랩하지 않는 정책을 위한 다수의 연결을 정의하며 모두를 로딩할 수 있다. 사용자는 정책 필터에 완전히 매칭되는 연결 필터를 정의할 수 있는 이 연결 필터는 이 정책 필터를 위해 로딩되는 단지 하나일 것이다( 일반적 경우가 아님). 또한, 사용자는 주어진 정책 필터에 대하여 오버랩하는 다수의 연결 필터(56, 58)를 정의할 수 있다. 본 발명에 따라서, 사용자는 이전에 로딩된 제1 연결 필터(56)와 오버랩하는 제2 연결 필터(58)를 로딩하지 않음으로써 이러한 모호성(부분적으로 매칭하는 연결 필터)에 대해 보호받는다. 이러한 연결 필터(56, 58)는 선도착 선처리(first com first service)된다.
다시 도 2를 참조하면, IP 트래픽이 두 필터 규칙(56, 58)의 순서에 따라 상이하게 경로 배정될 경우, 두 필터 규칙은 오버랩하거나 혹은 충돌한다. 필터 규칙의 오버랩은 제1 순서 및 제2 순서 충돌을 검출함으로써 결정된다. 제1 순서 충돌은 두 필터 규칙이 공통되지 않는 적어도 하나의 셀렉터를 지닐 때 발생한다. 제1 순서 충돌 검출은 표 8에 도시되어 있다. 제2 순서 충돌은 2 개의 필터 규칙이 위 제1 순서 충돌이 없고 공통의 셀렉터들을 지닐 때 발생한다. 이 경우 공통의 셀렉터들이 충돌하는지를 시험하게 된다. 제2 순서 충돌 검출은 표 9 및 표 10에 도시되어 있다. 데이터그램에서 데이터를 근거로 IPsec를 위한 IP 데이터그램을 선택한다. IP 헤더에는 이러한 5 개의 데이터가 있는데, 이를 IPsec 구조(RFC 2401)에 의해 셀렉터로 지칭된다. 이들 셀렉터는 소스 IP 어드레스, 목적지 IP 어드레스, 소스 포트, 목적지 포트 및 프로토콜이다.
IPsec 구조의 요건은 각 셀렉터에 대하여, 정책 엔트리를 SPD 및 패킷에서 이들로부터 새로운 보안 협회 데이터베이스 엔트리를 위한 대응 값을 도출해내는 방법을 명시하는 것이다. IP 어드레스를 위해 범위가 지원되지만, 정책 엔트리와 관련된 값을 사용하거나 혹은 패킷 그 자체의 값을 사용함으로써 모든 셀렉터에 대해 와일드카드(wildcard)를 표현할 수 있다. 본 발명의 바람직한 실시예에 따라서, 연결 정의 및 연결 개념을 사용함으로써 이 요건을 만족시킨다. 이것은 연결 정의에서, 사용자가 이 연결 정의로부터 생성된 특정한 연결을 위한 셀렉터 값을 도출해내기 위한 방법을 명시한다는 것이다. 다수의 값들 중의 하나로서 각 셀렉터를 위해 연결의 세분성(connection granularity)을 개별적으로 명시할 수 있다.
또한, 본 발명의 바람직한 실시예에 따라서, 연결 필터를 로딩 시에 다음의 검사를 수행한다:
1. 소정의 연결 필터를 로딩하기 위한 처리 동안, 새로운 연결 필터에 의해 정의된 트래픽이 동일한 연결 정의를 위해 소정의 기존 연결에 의해 정의된 트래픽과 오버랩하는 지의 여부를 판정할 것이다. 이럴 시에, 중첩 서브넷은 충돌로서 간주하지 않는다. 충돌이 발견되면, 연결은 실패되고 연결 관리자로의 적절한 복귀 코드를 가지게 된다.
2. 연결 필터를 로딩 중인 동안 각 인터페이스를 위하여 앵커 필터가 존재해야만 한다. 만약 앵커 필터가 존재하지 않는 경우, 적절한 복귀 코드를 발생한다.
3. 주어진 인터페이스를 위하여 앵커 필터를 두 번 로딩할 수는 없다.
표 1은 이후로부터의 설명에 사용되며 연결 정의에서 명시된 셀렉터 세분성 값을 보여준다. 값 's'는 패킷 그 자체의 값을 사용하는 것에 대응하고, 값 [f,s,c]는 정책 엔트리와 관련된 값에 대응한다.
이들 값의 사용에 대해서는 표 2에 도시되어 있는데, 여기서 열은 연결의 개시 모드에 대응한다. 이것은 연결 정의가 생성됨에 따라 사용자가 (논리적으로) 완료하는 것을 말한다. '셀렉터 값' 및 '셀렉터 세분성 값'은 후속되는 표에서 상이한 것이다. 사용자 연결 개시 모드는 수동, 자동 또는 예정될 수 있다.
표 2를 참조하면:
1. 요구응답(on-demand)일 시, 'c'가 허용되는 경우에는 's'와 동일한 의미를 가질 것이다.
2. 임의 열에서 각 셀렉터에 대한 셀렉터 세분성 값을 독립적으로 명시할 수 있다.
3. 셀렉터 세분성 값은 (로컬 및 원격의 모두에서 )연결 정의 종점 규칙(connection definition endpoint rule)과 일관되어야 한다. 따라서, 로컬 종점 규칙이 호스트인 경우, 소스 IP 어드레스 및 소스 포트에 대한 셀렉터 세분성 값은 's' 또는 'f'이여야 한다. 만약 'f'인 경우, 연결 정의 필터는 소스 IP 어드레스 및 소스 포트를 위한 스칼라 값을 가져야 한다. 그리고, 원격 종점 규칙이 호스트인 경우, 목적지 IP 어드레스 및 목적지 포트에 대한 세분성 값은 's' 또는 'f'이여야 한다. 그리고, 만약 'f'인 경우, 연결 정의 필터는 목적지 IP 어드레스 및 목적지 포트를 위한 스칼라 값을 가져야 한다.
4. 사용자 클라이언트 쌍을 정의할 때, 다음을 보장하기 위해 각 열의 값을 검사한다: 가) 연결 정의 필터에 정의된 셀렉터 값 내에 있는가, 나) 연결 정의를 위한 셀렉터 세분성 값과 일치하는가. 예를 들면, 연결 필터에서 목적지 IP가 u.v.w.*인 경우, 사용자 클라이언트 쌍은 원격 클라이언트 ID를 위해 u.v.*.*를 가지지 않게 된다. 그리고, 목적지 IP 세분성이 's'인 경우, 사용자 클라이언트 쌍은 원격 데이터 종점의 목적지 IP를 위한 단일 IP 어드레스를 가져야만 한다.
5. 정적 데이터 관리 정책을 가진 연결 정의를 생성 시에, 사용자 클라이언트 쌍을 정의해야만 하고, 모든 셀렉터 세분성 값은 'c'로 디폴트된다.
표 3 내지 표 6을 참조하면, 연결 정의 명세에 기초하여 앵커와 연결 필터가 어떻게 사용되는지에 대한 몇가지 경우를 논리적으로 보여준다.
표 3에서, 모두 'f'인 셀렉터 세분성 값의 사용을 도시한다. 이것으로 하나의 연결만이 이 연결을 위하여 개시될 수 있다는 직접적인 결과를 가지게 된다.
표 4는 소스 및 목적지 IP 어드레스를 위한 's' 값을 도시한다. 여기서, 클라이언트 쌍은 정책 필터 내에 있어야 하며(이것은 정의된 소정 클라이언트 쌍에 대하여 항상 그러하다), ('s' 값으로 인해) 소정 클라이언트 쌍에 의해 정의된 연결만이 개시될 수 있다.
표 5는 임의의 2-단계 연결을 로딩하기 전에, 앵커 필터와 매칭되는 모든 트래픽을 버리는 외부 시나리오를 도시하는데, 이 경우에는 항상 IPsec 연결을 개시하기 전이다. 또한, IKE에 의해 협상된 임의의 2-단계 IDcr, IDci는 정책 필터 셀렉터 값 내에 있어야 하고; 새로운 연결은 기존의 연결과 충돌하지 않는 경우에 허용되고; IDci, IDcr이 특정한 포트 값을 포함하지 않는다면 connection def 필터가 255가 되므로, 최대 연결이 허용된다. (connection def 이름에서 "htt"는 "heretothere"로 판독할 수 있다.)
표 6은 연결 정의 필터와 매칭되는 IP 패킷의 도착 (아웃바운드 또는 인바운드)에 의해 연결이 시작되는 요구 응답 시나리오를 도시한다. 연결이 시작될 때까지 IP 패킷의 트리거링은 버퍼링될 것이다. 또한, 연결의 수는 소스, 목적지 포트 및 프로토콜, 그리고 앵커 필터에 대한 'f' 셀렉터 세분성 값으로 인해 제한된다.
표 7은 제1 순서 충돌 검출, 기존의 필터 규칙 및 소정의 가능한 새로운 필터 규칙을 위한 셀렉터의 가능한 상태를 도시한다. '새로운 A'와 매칭되는 트래픽은 또한 '기존' 규칙과 매칭될 것이다. 만약 '기존' 규칙을 서브넷 마스크에 의해 명시한다면(본 예에서 255.255.255.0), A를 기존 규칙 이전에 배치해야 한다. 그러나, '새로운 B'인 경우, 상황은 모호하다-- B와 매칭되는 IP 데이터그램은 또한 '기존' 규칙과 매칭된다. 따라서, 기존 규칙에 대해 B를 위한 본래 "맞는(right)" 장소가 없다. B를 앞에 배치하는 경우, '기존' 규칙에 의해 처리되어야 하는 소정의 트래픽이 B에 의해 처리될 것이며, B를 후에 배치하는 경우, '기존' 규칙이 얻어야 하는 트래픽을 얻게 된다. 이것은 필터 충돌이며, 따라서, 연결 필터인 B를 위한 연결의 로딩이 거부된다. 또한, 새로운 규칙 C는 '기존' 규칙이 매칭되는 IP 데이터그램의 서브셋과 매칭되지만, 서브셋은 IP 어드레스 서스넷 마스크를 근거로 하지 않고, 오히려 포트 및 프로토콜에 대한 C의 보다 특정한 값을 근거로 하며, 규칙은 A에 대한 것과 같이 '기존' 규칙 이전에 배치할 수 있다. 그러나, A를 '기존' 규칙 이전에 배치했던 경우의 상황을 고려한다. C를 위한 본래 장소는 어디인가? 이것의 애매 모호성으로 인하여, C와 관련된 연결은 또한 시작이 거부되며, 바람직한 실시예에서, 서브넷 마스킹을 근거로 한 보다 특정적인 규칙만이 자동적으로 배치될 것이다.
표 8은 제2 순서 충돌을 도시한다. 여기서, 셀렉터를 명시하는 정확한 방식에 의존하므로 인해 보다 문제가 커진다. 이 표는 제2 순서 충돌 문제를 나타낸다 -- 각 셀렉터 쌍의 일반적 형태를 단지 검사함으로써 충돌을 검출할 수는 없다.
표 8에서, A의 경우, '기존' 규칙과의 충돌에 대해 목적지 IP를 위해 명시된 각 값을 검사해야만 한다. 이 경우에, A는 a.b.d.2 어드레스로 인해 모호하다. B의 경우, 서브넷 마스킹을 근거로 하지 않고 A에 의해 매칭되는 IP 데이터그램의 슈퍼 셋과 매칭하므로 '기존' 규칙과 충돌한다. 필터 규칙 C는 '기존' 규칙과 오버랩하는 IP 어드레스의 범위와 매칭되므로 또한 충돌된다.
규칙 쌍이 명시된 '*'와 다른 것을 가질 때마다 제2 순서 충돌 검출이 야기된다. 제2 순서 충돌 검출의 분석은 필터 규칙에 사용되는 연산자에 의존하고, IP 어드레스의 경우에는 '=' 또는 '!="일 수 있고, 다수의 어드레스로 인하여, 단일, 범위, 마스킹된 서브넷, 집합(임의적으로 다수이며 불연속적임)중의 하나일 수 있다.
표 9는 IP 어드레스를 위한 제2 순서 충돌 검출을 도시한다. 상이한 연산자 및 다양성 값을 가진 유사한 표인 표 10은 포트에 대한 제2 충돌 검출을 도시한다.
표 9에서, IP 어드레스 충돌에 대한 테스트는 비교되는 두 튜플을 위한 특정한 오퍼레이터 및 값 셋을 근거로 한다. 행은 기존의 규칙을 나타내고, 열은 새로운 규칙을 나타낸다. 셀에서 테스트가 성공한 경우에는, 충돌이 있다는 것이다. 'c'는 더 이상의 검사가 필요 없는 고유의 충돌을 의미한다. 이 표는 현 필터 문장 구문에 의해 표현되는 일반적인 경우에 대한 것이다. 연결 필터의 경우, 응답자-모드 연결로부터 사용자-클라이언트 쌍 혹은 IDci 및 IDcr로부터 온 것이므로, 이 표의 서브셋만이 적용된다. 적용 가능한 서브셋은 굵은 이탤릭체로 표시된다.튜플의 해결방안(로드) 동안, 함수의 인덱스 값을 유지한다.
본 발명의 바람직한 실시예에 따라서, 두 마스킹된 IP 어드레스의 충돌을 처리하고, 동일한 서브셋인 경우에만 충돌로 인해 거부된다. 슈퍼셋 및 서브셋 경우에는 (충돌을 피하기 위한 특별한 경우를 제외하고는) 보다 작은 서브셋을 보다 큰 서브셋 이전에 두는 그들의 본래 순서대로 규칙을 배치함으로써 처리한다.
표 10은 포트 번호에 대한 제2 순서 검사를 도시한다. 이 표는 표 9, IP 어드레스 테이블과 같이 대각선으로 대칭적이다. 중복(multiplicity)은 항상 1이고, 따라서, 표는 유일하게 연산자를 기본으로 정의된다. 또한, 표 10은 연결 필터에 특정적인 굵은 이탤릭체의 서브셋을 가진 필터 문장 구문을 근거로 한 일반적인 경우를 도시하는데, 여기서, 'c'는 '충돌'을 의미한다.
필터 문장의 구문은 표 11에 설명되는데, 여기서, 상부 단어가 키워드이다;{} 괄호는 가능한 매개변수 값의 집합을 표기하는데, 하나가 허용된다; [] 괄호는 선택 사양적 매개변수를 표기하고; 〈〉괄호는 매개변수 그룹을 표기하는데, 하나의 매개변수만을 선택해야 하고; * 는 '키워드 값'이고; 'number n-m'은 범위 n 내지 m(포함하여)에서 번호를 의미하고; 각 매개변수는 편리성을 위해 개별 라인에 도시된다; 선택사양적 매개변수가 소정의 순서로 나타날 수 있지만 비선택 사양적 매개변수는 도시된 순서대로 예상된다. (비록 IPsec 구조가 이들 모든 가능성을 필요로 하지는 않지만, 본 발명의 바람직한 실시예는 전체 표를 포함한다.)
본 발명의 바람직한 실시예에 따라서, 새로운 IPsec 액션을 앵커 필터의 명세를 허용한다. IPsec를 사용 시에, CONNECTION_DEFINITION 매개변수를 제공해야만 한다. IPsec가 액션인 경우, DIRECTION은 OUTBOUND여야 한다. IPsec가 동작인 경우, 프로토콜은 ICMP 또는 TCP/STARTING일 수 없다. PROTOCOL을 위한 새로운 상수는 IPsec 필터의 기록을 단순화시킨다. 각 connectiondef_name은 주어진 물리적 인터페이스를 위해 로딩되는 모든 필터 규칙에 걸쳐 고유해야 한다(각 연결 그룹은 물리적 인터페이스 당 0 또는 한 번 로딩될 수 있다). 예약 이름 DYNAMICIP는 미리 알려지지 않은 원격 IP 어드레스를 가진 IPsec 연결을 위해 앵커 필터에 사용될 수 있다; 그들의 ISP에 의해 양도된 IP를 가진 이동 작업자, 원격 지점(모든 응답자-모드). 연결은 IKE로부터 IDcr를 근거로 한 이들 시스템을 위해 개시되고, 그 후에, VPN 정책 데이터베이스에서 지연 셀렉터를 사용할 것이다.
본 발명의 바람직한 실시예의 기본적인 기능 요소는:
1. 연결 필터가 정책 필터 내에 있음을 확인(표 12).
2. 제1 순서 충돌 검출(표 13).
3. 제2 순서 충돌 검출(표 14)
표 12 내지 표 14는 이들 기능 요소의 각각 의사코드(C++-구문) 기술.
본 발명의 장점은 필터 규칙 집합을 관리하기 위한 개선된 시스템 및 방법을 제공하는데 있다.
본 발명의 다른 장점은 선재하는 정책 필터 집합에 개별의 연결 필터를 동적으로 로딩하기 위한 시스템 및 방법을 제공하는데 있다.
본 발명의 또 다른 장점은 연결 필터의 마이크로 배치를 제공하는데 있다.
본 발명의 또 다른 장점은 완전히 자동화된 방식으로, 고객이 명시한 데이터 보호 정책을 충족시키는 결정적이고 명백한 VPN 연결을 제공하는 시스템 및 방법을 제공하는데 있다.
본 발명의 또 다른 장점은 주어진 데이터 보호 정책을 위해 모든 VPN 연결이 실제로 정책에 따라서 데이터 보호를 일으키도록 자동적으로 보장하기 위한 시스템 및 방법을 제공하는데 있다.
비록 본 명세서에 예시를 위하여 본 발명의 특정한 실시예를 기술하였지만, 본 발명의 사상 및 범주를 벗어나지 않고서도 다양한 변경이 가능하다는 것을 이해해야 할 것이다. 특히, 본 발명의 방법에 따라서 컴퓨터의 동작을 제어하기 위한 기계로써 판독 가능한 신호를 저장하기 위해, 및/또는 본 발명의 시스템에 따라서 그의 구성요소를 구성하기 위해, 본 발명의 범위 내에서 고체 또는 유체 전송 매체, 자기 또는 광학 와이어, 테이프 또는 디스크 등과 같은 메모리 장치 또는 프로그램 저장소를 제공한다.
따라서, 본 발명의 범주는 후속되는 청구범위 및 이에 동등한 것에 의해서만 제한된다.

Claims (14)

  1. 필터 집합(a set of filters)내에서 연결 필터(a connection filter)를 동적으로 배치하기 위한 방법에 있어서,
    정책 필터(a policy filter)를 포함하도록 필터 집합을 초기화하는 단계와,
    상기 필터 집합 내 필터들에 대하여 상기 연결 필터를 순차적으로 매칭시키는 단계와,
    상기 연결 필터와 매칭되는 정책 필터(a matching policy filter)를 발견하는 것에 응답하여, 그 정책 필터와 대응되는 적어도 하나의 다른 연결 필터가 존재하는지 여부를 결정하고, 만약 그 정책 필터와 대응되는 다른 연결 필터가 존재한다면, 상기 연결 필터와 상기 다른 연결 필터 사이에 충돌이 있는지 여부를 판정하는 단계와,
    상기 다른 연결 필터와 충돌이 없는 경우, 상기 필터 집합에서 상기 매칭 정책 필터 앞에 상기 연결 필터를 배치하는 단계와,
    상기 다른 연결 필터와 충돌이 있는 경우, 상기 연결 필터를 제거하는 단계
    를 포함하는 연결 필터의 동적 배치 방법.
  2. 제 1 항에 있어서,
    상기 충돌 판정 단계는,
    상기 필터 집합 내에서 상기 연결 필터와 상기 다른 연결 필터의 순서에 따라 IP 트레픽이 다른 경로를 통과하는지 여부를 판정하는 단계
    를 포함하는 연결 필터의 동적 배치 방법.
  3. 제 1 항에 있어서,
    상기 충돌 판정 단계는,
    상기 연결 필터와 상기 다른 연결 필터 사이에 셀렉터 오버랩(selector overlap)이 있는 지를 판정하는 단계를 포함하는 연결 필터의 동적 배치 방법.
  4. 제 3 항에 있어서,
    상기 셀렉터는 소스 IP 어드레스, 목적지 IP 어드레스, 소스 포트, 목적지 포트 및 프로토콜을 포함하는 연결 필터의 동적 배치 방법.
  5. 필터 집합 내에 연결 필터를 동적으로 배치하기 위한 시스템에 있어서,
    정책 필터를 포함하도록 필터 집합을 초기화하기 위한 제1 프로그램 코드 모듈과,
    상기 필터 집합 내에 필터들에 대해 상기 연결 필터를 순차적으로 매칭시키기 위한 제2 프로그램 코드 모듈과,
    상기 연결 필터와 매칭되는 정책 필터를 발견하는 것에 응답하여, 그 정책 필터와 대응되는 적어도 하나의 다른 연결 필터가 존재하는지 여부를 결정하고, 만약 그 정책 필터와 대응되는 다른 연결 필터가 존재한다면, 상기 연결 필터와 상기 다른 연결 필터 사이에 충돌이 있는지 여부를 판정하기 위한, 제3 프로그램 코드 모듈과,
    상기 다른 연결 필터와의 충돌이 없는 경우에 응답하여, 상기 필터 집합에서 상기 매칭 정책 필터 앞에 상기 연결 필터를 배치시키고, 충돌이 있는 경우에는 상기 연결 필터를 제거하기 위한 제4 프로그램 코드 모듈
    을 포함하는 연결 필터를 동적으로 배치하기 위한 시스템.
  6. 제 5 항에 있어서,
    상기 제3 프로그램 코드 모듈은,
    상기 필터 집합 내에서 상기 연결 필터와 상기 다른 연결 필터의 순서에 따라 IP 트레픽이 다른 경로를 통과하는지 여부를 판정하기 위한 제5 프로그램 코드 모듈
    을 더 포함하는 연결필터를 동적으로 배치하기 위한 시스템.
  7. 제 5 항에 있어서,
    상기 제3 프로그램 코드 모듈은,
    상기 연결 필터와 상기 다른 연결 필터 사이에 셀렉터 오버랩이 있는 지의 여부를 판정하기 위한 제6 프로그램 코드 모듈
    을 더 포함하는 연결 필터를 동적으로 배치하기 위한 시스템.
  8. 제 7 항에 있어서,
    상기 셀렉터는 소스 IP 어드레스, 목적지 IP 어드레스, 소스 포트, 목적지 포트 및 프로토콜을 포함하는 연결 필터를 동적으로 배치하기 위한 시스템.
  9. 필터 집합 내에 연결 필터를 동적으로 배치하기 위한 시스템에 있어서,
    정책 필터를 포함하기 위해 필터 집합을 초기화하기 위한 수단과,
    상기 필터 집합 내에 필터들에 대해 상기 연결 필터를 순차적으로 매칭시키기 위한 수단과,
    상기 연결 필터와 매칭되는 정책 필터를 발견하는 것에 응답하여, 그 정책 필터와 대응되는 적어도 하나의 다른 연결 필터가 존재하는지 여부를 결정하고, 만약 그 정책 필터와 대응되는 다른 연결 필터가 존재한다면, 상기 연결 필터와 상기 다른 연결 필터 사이에 충돌이 있는지 여부를 판정하기 위한 수단과,
    상기 다른 연결 필터와의 충돌이 없는 경우에 응답하여, 상기 필터 집합에서 상기 매칭 정책 필터 앞에 상기 연결 필터를 배치시키고, 충돌이 있는 경우에는 상기 연결 필터를 제거하기 위한 수단
    을 포함하는 연결 필터를 동적으로 배치하기 위한 시스템.
  10. 제 9 항에 있어서,
    상기 충돌 판정 수단은 상기 필터 집합 내에서 상기 연결 필터와 상기 다른 연결 필터의 순서에 따라 IP 트레픽이 다른 경로를 통과할 때 충돌이 있다고 판정하는 것인
    연결 필터를 동적으로 배치하기 위한 시스템.
  11. 제 9 항에 있어서,
    상기 충돌 판정 수단은 상기 연결 필터와 상기 다른 연결 필터 사이에 셀렉터 오버랩이 있을 때 충돌이 있다고 판정하는 것인
    연결 필터를 동적으로 배치하기 위한 시스템.
  12. 제 11 항에 있어서,
    상기 셀렉터는 소스 IP 어드레스, 목적지 IP 어드레스, 소스 포트, 목적지 포트 및 프로토콜을 포함하는 연결 필터를 동적으로 배치하기 위한 시스템.
  13. 필터 집합 내에 연결 필터를 동적으로 배치하기 위한 방법을 수행하기 위하여 머신이 실행할 수 있는 인스트럭션 프로그램을 유형적으로 구현하는, 상기 머신에 의해 판독 가능한 프로그램 저장 장치에 있어서, 상기 방법은
    정책 필터를 포함하도록 필터 집합을 초기화하는 단계와,
    상기 필터 집합 내에 필터들에 대해 상기 연결 필터를 순차적으로 매칭시키는 단계와,
    상기 연결 필터와 매칭되는 정책 필터를 발견하는 것에 응답하여, 그 정책 필터와 대응되는 적어도 하나의 다른 연결 필터가 존재하는지 여부를 결정하고, 만약 그 정책 필터와 대응되는 다른 연결 필터가 존재한다면, 상기 연결 필터와 상기 다른 연결 필터 사이에 충돌이 있는지 여부를 판정하는 단계와,
    상기 다른 연결 필터와의 충돌이 없는 경우에 응답하여, 상기 필터 집합에서 상기 매칭 정책 필터 앞에 상기 연결 필터를 배치시키고, 충돌이 있는 경우에는 상기 연결 필터를 제거하는 단계
    를 포함하는 것인 프로그램 저장 장치.
  14. 필터 집합 내에 연결 필터를 동적으로 배치하기 위하여 구현되는 컴퓨터 판독 가능한 프로그램 코드 수단을 가진 컴퓨터 사용 가능 매체를 구비하고,
    상기 컴퓨터 판독 가능한 프로그램 수단은,
    컴퓨터로 하여금 정책 필터를 포함하도록 필터 집합을 초기화하게 하는 컴퓨터 판독 가능 프로그램 코드 수단과,
    컴퓨터로 하여금 상기 필터 집합 내에 필터들에 대해 상기 연결 필터를 순차적으로 매칭시키도록 하게 하는 컴퓨터 판독 가능 프로그램 코드 수단과;
    컴퓨터로 하여금 상기 연결 필터와 매칭되는 정책 필터를 발견하는 것에 응답하여, 그 정책 필터와 대응되는 적어도 하나의 다른 연결 필터가 존재하는지 여부를 결정하고, 만약 그 정책 필터와 대응되는 다른 연결 필터가 존재한다면, 상기 연결 필터와 상기 다른 연결 필터 사이에 충돌이 있는지 여부를 판정하게 하는 컴퓨터 판독가능 프로그램 코드 수단과;
    컴퓨터로 하여금 상기 다른 연결 필터와의 충돌이 없는 경우에 응답하여, 상기 필터 집합에서 상기 매칭 정책 필터 앞에 상기 연결 필터를 배치시키고, 충돌이 있는 경우에는 상기 연결 필터를 제거하도록 하게 하는 컴퓨터 판독가능 프로그램 코드 수단을 포함하는
    제조 물품.
KR10-2000-0002415A 1999-01-29 2000-01-19 연결 필터의 동적인 배치 방법, 시스템 및 프로그램저장장치와 제조물품 KR100372798B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US09/239,694 US6738377B1 (en) 1999-01-29 1999-01-29 System and method for dynamic micro placement of IP connection filters
US9/239,694 1999-01-29
US09/239,694 1999-01-29

Publications (2)

Publication Number Publication Date
KR20000076489A KR20000076489A (ko) 2000-12-26
KR100372798B1 true KR100372798B1 (ko) 2003-02-19

Family

ID=22903322

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2000-0002415A KR100372798B1 (ko) 1999-01-29 2000-01-19 연결 필터의 동적인 배치 방법, 시스템 및 프로그램저장장치와 제조물품

Country Status (3)

Country Link
US (1) US6738377B1 (ko)
JP (1) JP3375071B2 (ko)
KR (1) KR100372798B1 (ko)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4651208B2 (ja) * 2001-02-27 2011-03-16 三菱電機株式会社 セキュリティ・ポリシー・データ(spd)管理装置及びspd分割配布方式及びspd分割配布方法及びspd分割配布プログラムを記録したコンピュータで読み取り可能な記録媒体
US7209962B2 (en) * 2001-07-30 2007-04-24 International Business Machines Corporation System and method for IP packet filtering based on non-IP packet traffic attributes
US7207062B2 (en) * 2001-08-16 2007-04-17 Lucent Technologies Inc Method and apparatus for protecting web sites from distributed denial-of-service attacks
US20060085851A1 (en) * 2004-10-14 2006-04-20 International Business Machines Corporation Systems, Methods, and Computer Readable Medium for Avoiding a Network Address Collision
US7924712B2 (en) * 2004-12-21 2011-04-12 Utstarcom, Inc. Processing platform selection method for data packet filter installation
KR100781523B1 (ko) * 2006-04-25 2007-12-03 삼성전자주식회사 Ip식별 패킷 구성 및 ip할당 장치, 이를이용한ip식별 패킷 구성 및 ip할당 방법
WO2009007985A2 (en) * 2007-07-06 2009-01-15 Elitecore Technologies Limited Identity and policy-based network security and management system and method
JP4964735B2 (ja) * 2007-10-24 2012-07-04 株式会社日立製作所 ネットワークシステム、管理計算機、及びフィルタ再構成方法

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH05120340A (ja) 1991-10-30 1993-05-18 Nec Corp ルーテイングアドレス管理方法
US5640399A (en) 1993-10-20 1997-06-17 Lsi Logic Corporation Single chip network router
US5668809A (en) 1993-10-20 1997-09-16 Lsi Logic Corporation Single chip network hub with dynamic window filter
US5606668A (en) 1993-12-15 1997-02-25 Checkpoint Software Technologies Ltd. System for securing inbound and outbound data packet flow in a computer network
US5802278A (en) 1995-05-10 1998-09-01 3Com Corporation Bridge/router architecture for high performance scalable networking
US5648965A (en) 1995-07-07 1997-07-15 Sun Microsystems, Inc. Method and apparatus for dynamic distributed packet tracing and analysis
US5757924A (en) 1995-09-18 1998-05-26 Digital Secured Networks Techolognies, Inc. Network security device which performs MAC address translation without affecting the IP address
US5805572A (en) 1995-11-22 1998-09-08 Sun Microsystems, Inc. Single-system image network subsystem in a clustered system
US5828833A (en) 1996-08-15 1998-10-27 Electronic Data Systems Corporation Method and system for allowing remote procedure calls through a network firewall
US6144934A (en) * 1996-09-18 2000-11-07 Secure Computing Corporation Binary filter using pattern recognition
US5848233A (en) 1996-12-09 1998-12-08 Sun Microsystems, Inc. Method and apparatus for dynamic packet filter assignment
US5835727A (en) 1996-12-09 1998-11-10 Sun Microsystems, Inc. Method and apparatus for controlling access to services within a computer network
US6397330B1 (en) * 1997-06-30 2002-05-28 Taher Elgamal Cryptographic policy filters and policy control method and apparatus
US6230271B1 (en) * 1998-01-20 2001-05-08 Pilot Network Services, Inc. Dynamic policy-based apparatus for wide-range configurable network service authentication and access control using a fixed-path hardware configuration
US6341130B1 (en) * 1998-02-09 2002-01-22 Lucent Technologies, Inc. Packet classification method and apparatus employing two fields
US6449256B1 (en) * 1998-05-07 2002-09-10 Washington University Fast level four switching using crossproducting
US6253321B1 (en) * 1998-06-19 2001-06-26 Ssh Communications Security Ltd. Method and arrangement for implementing IPSEC policy management using filter code
US6502135B1 (en) * 1998-10-30 2002-12-31 Science Applications International Corporation Agile network protocol for secure communications with assured system availability
US6330562B1 (en) * 1999-01-29 2001-12-11 International Business Machines Corporation System and method for managing security objects
JP3626056B2 (ja) 1999-12-13 2005-03-02 三菱電機株式会社 2分検索装置及び2分検索方法

Also Published As

Publication number Publication date
JP2000224234A (ja) 2000-08-11
US6738377B1 (en) 2004-05-18
KR20000076489A (ko) 2000-12-26
JP3375071B2 (ja) 2003-02-10

Similar Documents

Publication Publication Date Title
US6643776B1 (en) System and method for dynamic macro placement of IP connection filters
Mayer et al. Fang: A firewall analysis engine
US7404205B2 (en) System for controlling client-server connection requests
US7209962B2 (en) System and method for IP packet filtering based on non-IP packet traffic attributes
US9773106B2 (en) Method and system for protecting a computer system during boot operation
US5950195A (en) Generalized security policy management system and method
KR101213806B1 (ko) 경량 디렉토리 액세스 프로토콜 트래픽의 보안
Hamed et al. Modeling and verification of IPSec and VPN security policies
US6266707B1 (en) System and method for IP network address translation and IP filtering with dynamic address resolution
US6832322B1 (en) System and method for network address translation integration with IP security
EP1231754B1 (en) Handling information about packet data connections in a security gateway element
US20030014644A1 (en) Method and system for security policy management
KR20050062368A (ko) 방화벽 서비스 관리를 위한 객체 모델
WO2005117327A2 (en) A system, method, and computer program product for updating the states of a firewall
WO2007056691A2 (en) Systems and methods for remote rogue protocol enforcement
US7710971B2 (en) Method of blocking network attacks using packet information and apparatus thereof
KR100372798B1 (ko) 연결 필터의 동적인 배치 방법, 시스템 및 프로그램저장장치와 제조물품
Ahmed et al. Safe and efficient strategies for updating firewall policies
JP4617898B2 (ja) アクセス制御方式および方法、サーバ装置、端末装置ならびにプログラム
Susilo et al. Personal firewall for Pocket PC 2003: design & implementation
US20120324569A1 (en) Rule compilation in a firewall
JP2003333084A (ja) パケットフィルタリングルール設定方法
Peng et al. Performance analysis of fast-TCP mechanism for networks with high bandwidth-delay products
Krombi et al. A Formal Composition of a Distributed System with its Security Policy
Bakhodirov et al. DATA AND CYBERSECURITY

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
J201 Request for trial against refusal decision
AMND Amendment
B701 Decision to grant
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20120127

Year of fee payment: 10

LAPS Lapse due to unpaid annual fee