KR100753815B1 - 패킷 차단 장치 및 그 방법 - Google Patents

패킷 차단 장치 및 그 방법 Download PDF

Info

Publication number
KR100753815B1
KR100753815B1 KR1020050080628A KR20050080628A KR100753815B1 KR 100753815 B1 KR100753815 B1 KR 100753815B1 KR 1020050080628 A KR1020050080628 A KR 1020050080628A KR 20050080628 A KR20050080628 A KR 20050080628A KR 100753815 B1 KR100753815 B1 KR 100753815B1
Authority
KR
South Korea
Prior art keywords
network
address
host
packet
ipv6 address
Prior art date
Application number
KR1020050080628A
Other languages
English (en)
Other versions
KR20070024957A (ko
Inventor
류승호
김기영
정보흥
한민호
임재덕
김영호
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020050080628A priority Critical patent/KR100753815B1/ko
Publication of KR20070024957A publication Critical patent/KR20070024957A/ko
Application granted granted Critical
Publication of KR100753815B1 publication Critical patent/KR100753815B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • H04L45/741Routing in networks with a plurality of addressing schemes, e.g. with both IPv4 and IPv6
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/304Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting circuit switched data communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/30Types of network names
    • H04L2101/35Types of network names containing special prefixes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/659Internet protocol version 6 [IPv6] addresses

Abstract

본 발명은 차세대 인터넷 프로토콜 네트워크 환경하에서, 패킷을 차단하는 장치 및 방법에 관한 것으로서, 네트워크 주소 관리부, 호스트 주소 관리부, 네트워크 프리픽스의 변경 통보 또는 IP 주소의 변경 통보를 수신하는 수신부, 수신부에서 상기 네트워크 프리픽스 변경 통보 또는 상기 IP 주소 변경 통보를 수신할 경우, 각각 네트워크 주소 관리부 및 호스트 주소 관리부를 갱신하는 주소 갱신부, 외부망으로부터 내부망으로 패킷 전송시, 네트워크 프리픽스의 유효기간이 경과하지 않은 경우 네트워크 주소 관리부를 기초로 패킷을 전송하고, 네트워크 프리픽스의 유효기간이 경과한 경우 패킷 수신을 차단하며, 내부망에서 호스트로 패킷 전송시, IP 주소의 유효기간이 경과하지 않은 경우 호스트 주소 관리부를 기초로 패킷을 전송하고, IP 주소의 유효기간이 경과한 경우 패킷 수신을 차단하는 패킷 처리부를 포함함으로써 차세대 인터넷 프로토콜 네트워크 환경하에서도 네트워크 관리자가 의도하는 호스트 및 내부망에서 패킷을 차단할 수 있다.
패킷 필터링, 패킷 차단

Description

패킷 차단 장치 및 그 방법{Apparatus and method for packet filtering}
도 1 은 본 발명의 일 실시예로서, 차세대 인터넷 프로토콜 네트워크 환경을 도시한다.
도 2 는 패킷 차단 장치의 내부 구성도를 도시한다.
도 3 은 네트워크 주소 관리부를 도시한다.
도 4 는 호스트 주소 관리부를 도시한다.
도 5 는 네트워크의 프리픽스가 변경될 경우, 패킷 처리 방법을 도시한 흐름도이다.
도 6 은 호스트의 주소가 변경될 경우, 패킷 처리 방법을 도시한 흐름도이다.
도 7 은 IPv6 주소가 변경, 추가되는 바람직한 일 실시예를 도시한다.
도 8 은 네트워크 프리픽스 주소가 변경, 추가되는 바람직한 일 실시예를 도시한다.
본 발명은 차세대 인터넷 프로토콜 네트워크 환경하에서, 패킷을 차단하는 장치 및 방법에 관한 것이다.
IPv4 네트워크 환경하에서는 각 호스트에는 단일의 주소가 할당되고 할당된 주소는 정적으로 계속 유지되므로 패킷을 차단하고자 할 경우, 변하지 않는 임의의 단일 주소에 대해 차단하는 정책을 취하였다.
그러나, 차세대 인터넷 프로토콜, 예를 들어 IPv6 ,의 경우 각 호스트에는 다수의 주소가 할당될 수 있으며, 동적으로 주소의 변경이 가능하다.
즉, IPv6 네트워크 환경의 경우 종래의 IPv4 네트워크 환경과는 달리 각각의 호스트는 상태기반 주소 자동 설정(Stateful Address Autoconfiguration) (예. DHCP)을 통해 주소를 외부로부터 할당 받을 수 있을 뿐만 아니라, 비상태기반 주소 자동 설정(Stateless Address Autoconfiguration)을 사용하여 자신이 직접 주소를 자동으로 생성할 수 있으며, 한 개가 아닌 여러 개의 주소를 가질 수 있고, 동적으로 다른 주소로 변경할 수도 있다. 호스트 부분의 주소뿐만 아니라 네트워크 주소의 프리픽스 부분 역시 동적으로 변경이 가능하므로 네트워크의 전체 주소가 변경될 수 있다.
따라서 종래의 패킷 차단 기술이 차세대 인터넷 프로토콜 네트워크 환경하에서는 동일하게 적용하기 어려운 문제점이 있다.
상기와 같은 문제점을 해결하기 위하여, 본 발명에서는 차세대 인터넷 프로토콜 네트워크 환경하에서도 네트워크 관리자가 의도하는 호스트 및 내부망에서 패킷을 차단하는 장치 및 방법을 제공하고자 한다.
본 발명의 바람직한 일 실시예로서, 패킷 차단 장치는 내부망을 구별하는 네트워크 ID, 네트워크 프리픽스, 네트워크 프리픽스의 유효기간을 포함하는 네트워크 주소 관리부; 물리적으로 호스트를 구별하는 고유 식별 ID, IP 주소, IP 주소의 유효기간을 포함하는 호스트 주소 관리부; 상기 네트워크 프리픽스의 변경 통보 또는 상기 IP 주소의 변경 통보를 수신하는 수신부; 상기 수신부에서 상기 네트워크 프리픽스 변경 통보 또는 상기 IP 주소 변경 통보를 수신할 경우, 각각 상기 네트워크 주소 관리부 및 상기 호스트 주소 관리부를 갱신하는 주소 갱신부;및 외부망으로부터 내부망으로 패킷 전송시, 임의의 패킷의 차단 여부를 설정한 패킷 차단 규칙을 상기 네트워크 프리픽스의 유효기간 동안 상기 네트워크 ID 및 상기 네트워크 프리픽스를 기초로 적용하고, 내부망에서 호스트로 패킷 전송시, 상기 패킷 차단 규칙을 상기 IP 주소의 유효기간 동안 상기 고유 식별 ID 및 상기 IP 주소를 기초로 적용하는 패킷 처리부;를 포함한다.
본 발명의 바람직한 일 실시예로서 패킷 차단 장치에서 상기 수신부는 상기 네트워크 프리픽스 및 상기 IP 주소의 변경 통보를 상기 네트워크 프리픽스 또는 상기 IP 주소를 변경한 호스트로부터 수신한다.
또한, 본 발명의 바람직한 일 실시예로서 패킷 차단 장치에서 상기 수신부는 네트워크 내에 동일한 IP주소를 지닌 호스트의 존재 여부를 확인하는 주변 노드 검출 기법(Neighbor Discovery)에 의해 IP 주소가 변경된 호스트를 검출한 호스트로부터 상기 IP 주소 변경 통보를 수신한다.
뿐만 아니라, 본 발명의 바람직한 일 실시예로서 패킷 차단 장치에서 상기 수신부는 상기 주변 노드 검출 기법은 네트워크 내에 생성된 호스트의 주소와 동일한 주소가 존재하는지 여부를 확인하는 주소 중복 검사(DAD) 및 이전 라우터에 도달 여부를 확인하는 주변 노드 도달 검사(NUD)를 포함한다.
본 발명의 또 다른 일 실시예로서, 패킷 차단 방법은 네트워크 프리픽스의 변경 통보 또는 상기 IP 주소의 변경 통보를 수신하는 단계; 상기 수신한 네트워크 프리픽스 변경 통보를 기초로 내부망을 구별하는 네트워크 ID, 네트워크 프리픽스, 네트워크 프리픽스의 유효기간을 갱신하고, 상기 수신한 IP 주소의 변경 통보를 기초로 물리적으로 호스트를 구별하는 고유 식별 ID, IP 주소, IP 주소의 유효기간을 갱신하는 단계; 외부망으로부터 내부망으로 패킷 전송시, 임의의 패킷의 차단 여부를 설정한 패킷 차단 규칙을 상기 네트워크 프리픽스의 유효기간 동안 상기 네트워크 ID 및 상기 네트워크 프리픽스를 기초로 적용하는 단계; 및 내부망에서 호스트로 패킷 전송시, 상기 패킷 차단 규칙을 상기 IP 주소의 유효기간 동안 상기 고유 식별 ID 및 상기 IP 주소를 기초로 적용하는 단계;를 포함한다.
이하 본 발명의 바람직한 실시예가 첨부된 도면들을 참조하여 설명될 것이다. 도면들 중 동일한 구성요소들에 대해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 참조 번호들 및 부호들로 나타내고 있음에 유의해야 한다. 하기에서 본 발명을 설명함에 있어, 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다.
도 1 은 본 발명의 일 실시예로서, 차세대 인터넷 프로토콜 네트워크 환경을 도시한다.
패킷 차단 장치(110)는 외부망(110)에서 내부망(120)으로, 또는 내부망에서 호스트로 패킷 전송시, 중간에서 패킷을 검사하여 네트워크 관리자가 설정한 패킷 차단 규칙에 따라 패킷의 전송차단 여부를 결정한다.
내부망(120) 내에는 다른 링크 혹은 사이트의 경계가 되는 내부망 라우터(130), 각각의 내부망 호스트(140)가 있고, 상태기반 주소 설정이 사용될 경우 상태기반 주소 자동할당 기능을 하는 서버가 운용중인 호스트(150)(이하 DHCP 서버라 함)를 운용할 수 있으며, DNS(Domain Name System) 서비스를 위해 네트워크 상에서 도메인 네임을 관리하는 DNS 서버(160)를 운용할 수 있다.
도 1에서는 내부망이 하나만 도시되었으나, 패킷 차단 장치(110)는 복수의 내부망을 관리할 수 있음을 주의하여야 한다.
도 2 는 패킷 차단 장치(200)의 내부 구성도를 도시한다.
패킷 차단 장치(200)는 임의의 주소를 지닌 패킷의 수신을 차단하는 패킷 차단 장치로서, 호스트에 처음 할당된 주소가 변경되는 경우에도 주소 변경을 추적하여 반영함으로써 네트워크 관리자는 차세대 인터넷 프로토콜 네트워크 환경하에서(예, IPv6 네트워크 환경) 주소의 동적 변경 상황에 유연하게 대처할 수 있다.
패킷 차단 장치(200)는 네트워크 주소 관리부(210), 호스트 주소 관리부(220), 수신부(230), 갱신부(240) 및 패킷 처리부 (250)를 포함한다.
네트워크 주소 관리부(210)는 내부망을 구별하는 네트워크 ID, 네트워크 프 리픽스, 네트워크 프리픽스의 유효기간으로 구성되며, 외부망에서 내부망으로 들어오는 패킷을 차단 및 관리한다. 이에 대한 보다 상세한 설명은 도 3에서 하기로 한다.
호스트 주소 관리부(220)는 물리적으로 호스트를 구별하는 고유 식별 ID, IP 주소, IP 주소의 유효기간으로 구성되며, 내부망에서 호스트로 패킷 전송시 패킷을 차단하거나 관리한다. 이에 대한 보다 상세한 설명은 도 4에서 하기로 한다.
수신부(230)는 내부망 내의 호스트의 IP 주소가 변경되거나, 네트워크 프리픽스가 변경되어 네트워크 주소가 변경된 경우 IP 주소의 변경 통보 및/또는 네트워크 프리픽스의 변경 통보를 수신한다.
차세대 인터넷 프로토콜 네트워크, 예를 들어 IPv6 망에서는 하나의 호스트에 복수개의 IP 주소가 할당될 수 있으며, 호스트에 할당된 IPv6 주소는 동적으로 변경될 수 있다.
이 경우, 수신부(230)는 네트워크 프리픽스 및 IP 주소의 변경 통보를 상기 네트워크 프리픽스 또는 상기 IP 주소를 변경한 호스트로부터 직접 수신하거나, 또는 상기 네트워크 프리픽스 또는 상기 IP 주소를 변경한 호스트가 다른 호스트에게 주소 변경 사실을 알려주어, 다른 호스트가 전송한 네트워크 프리픽스 및 IP 주소의 변경 통보를 수신할 수 있다.
또한 수신부(230)는 네트워크 내에 동일한 IP주소를 지닌 호스트의 존재 여부를 확인하는 주변 노드 검출 기법(Neighbor Discovery)에 의해 IP 주소가 변경된 호스트를 검출한 호스트부터 상기 IP 주소 변경 통보를 수신할 수 있다.
주변 노드를 검출 기법에서, IP주소를 변경하려는 호스트는 동일 네트워크 상의 다른 호스트 및 라우터에게 자신의 주소가 변경되었음을 통보하기 위하여 u-NA(unsolicited Neighbor Advertisement, 비청원 네이버 선언) 메시지를 전송한다.
u-NA 메시지는 모든 노드 멀티캐스트 주소(all-nodes multicast address)로 전송되기 때문에 동일 네트워크 상의 라우터와 호스트는 모두 u-NA 메시지를 청취할 수 있게 된다.
발신자는 새로운 주소 정보와 더불어 u-NA 메시지 상의 O-플래그(Override Flag)를 세팅하여 기존의 자신의 정보를 새로 알려주는 정보로 업데이트 하도록 알려준다.
또한 주변 노드 검출 기법에서는 주소 중복 검사(DAD) 및 주변 노드 도달 검사(NUD)를 사용한다.
주소 중복 검사(Duplicate Address Detection)는 네트워크 내에 생성된 호스트의 주소와 동일한 주소가 존재하는지 여부를 확인하는 검사로서, 다음과 같은 절차로 수행된다.
a)네트워크에 새로 접속한 단말은 Link Local 주소를 생성, 할당한 이후에 생성한 Link Local 주소가 같은 네트워크 내에서 사용되는지 확인하기 위해, N eighbor Solicitation(NS, 네이버 요청) 메세지를 네트워크에 전송한다.
b)만약 다른 단말이 동일한 주소를 사용하고 있는 경우, 주소를 사용하고 있는 단말이 네트워크 내의 모든 시스템에게 이미 사용중인 주소이므로 사용하지 마라는 내용의 Neighbor Advertisement(NA, 네이버 선언) 메세지를 전송한다.
c) 새로운 단말이 만약 일정 시간 동안 NS 메세지를 받지 못할 경우, 새로운 단말은 생성한 Link Local 주소를 이용한다.
d) 만약 NS 메세지를 보낸 단말이 NA 메세지를 통해 자신이 생성한 Link Local 주소가 타 단말과 중복됨을 확인하면 Link Local 주소를 네트워크 인터페이스에 할당하지 않는다.
위에서 언급된 NS(Neighbor Solicitation, 네이버 요청) 메시지는 호스트가 자신의 주소로 사용할 주소를 생성하여 링크 내에 그 주소가 링크 내의 시스템들이 사용 중인지 확인하기 위해 사용할 주소를 포함하여 해당 시스템들에게 전달하는 메시지이다.
또한, NA(Neighbor Advertisement, 네이버 선언) 메시지는 NS 메시지를 수신한 시스템이 NS 메시지에 포함된 주소가 자신이 사용하고 있는 주소이면, 이미 사용 중이므로 사용하지 말라는 의미로 링크 내 모든 시스템에게 전달하는 메시지이다. 즉, NS 메시지를 송신한 시스템이 일정 시간 내에 NA 메시지를 수신하면 사용하려고 생성한 주소는 시스템에 할당해서는 안 된다.
주변 노드 검출 기법에서 사용하는 주변 노드 도달 검사(NUD - Neighbor Unreachability Detection)는 동일 네트워크 상의 호스트 및 라우터가 살아 있는지를 확인하는 검사이다.
주변 노드 도달 검사(NUD)는 2 가지 방법으로 수행된다. 한 가지 방법은 도달여부를 검사하려는 대상 호스트 및 라우터와 지속적으로 통신이 이루어졌는지 여부를 체크하여 도달 여부를 판단하는 방법이다.
또 다른 한 가지 방법은 인위적으로 대상 호스트 및 라우터에 응답을 받기 위하여 메세지를 전송한 후 응답의 도착여부를 통하여 도달여부를 판단하는 방법이다. 이 경우, 대상 호스트 및 라우터에 전송하는 메세지로 u-NS(unicast Neighbor Solicitation, 유니캐스트 네이버 요청) 메시지를 사용한다.
u-NS 메시지를 대상 호스트 및 라우터의 유니캐스트 주소에 보내어 단독으로 메시지를 받을 수 있도록 하고, u-NS 메시지 내에 S-플래그(Solicited Flag)를 세팅하여 이에 대한 응답으로 오는 NA 메시지의 S-플래그의 세팅 여부를 확인하여 도착한 NA 메시지가 자신이 요청한 u-NS 메시지에 대한 응답임을 알 수 있도록 한다.
이외에도 수신부(230)는 DHCP 서버 또는 DNS 서버에 질의를 통해 IP 주소가 변경된 호스트를 검출한 호스트로부터 상기 IP 주소 변경 통보를 수신할 수 있다.
상기 서술한 수신부(230)에서의 네트워크 프리픽스 및 IP 주소의 변경 통보 수신 방법은 본 발명의 바람직한 일 실시예로서, 서술한 방법에 제한되어 수신하는 것은 아님을 유의하여야 하며, 상기 서술한 방법과 기술적 사상이 동일하거나 용이하게 치환 가능한 범위는 모두 포함되는 것을 주의하여야 한다.
갱신부(240)는 수신부(230)에서 네트워크 프리픽스 변경 통보 및/또는 IP 주소 변경 통보를 수신할 경우, 각각 상기 네트워크 주소 관리부 및 상기 호스트 주소 관리부를 갱신한다.
뿐만 아니라, 갱신부(240)는 상기 변경 통보 내용에 따라 각각 상기 네트워크 주소 관리부 및 상기 호스트 주소 관리부에 각각 상기 네트워크 프리픽스 또는 상기 IP 주소를 추가 또는 삭제하고, 상기 네트워크 프리픽스 유효기간 또는 상기 IP 주소 유효기간을 변경한다.
예를 들어, 수신부(230)가 호스트의 IPv6 주소 변경 통보를 수신한 경우, 해당 호스트의 IPv6 주소가 이미 삭제된 경우에는 IPv6 주소의 유효기간을 0으로 갱신하고, 해당 호스트의 IPv6 주소가 소정의 시간이 경과한 후에 삭제될 경우에는 남은 시간을 IPv6 주소의 유효기간으로 설정한다.
그리고 갱신부(240)는 IPv6 주소의 유효기간이 경과된 경우, 해당 IPv6 주소를 네트워크 주소 관리부 및/또는 호스트 주소 관리부에서 삭제한다.
패킷 처리부(250)는 외부망으로부터 내부망으로 패킷 전송시, 상기 네트워크 프리픽스의 유효기간이 경과하지 않은 경우 갱신된 상기 네트워크 주소 관리부를 기초로 패킷을 전송하고, 상기 네트워크 프리픽스의 유효기간이 경과한 경우 패킷 수신을 차단한다.
또한, 내부망에서 호스트로 패킷 전송시, 상기 IP 주소의 유효기간이 경과하지 않은 경우 갱신된 상기 호스트 주소 관리부를 기초로 패킷을 전송하고, 상기 IP 주소의 유효기간이 경과한 경우 패킷 수신을 차단한다.
패킷 처리부(250)에서의 패킷은 네트워크 관리자가 임의적으로 설정한 패킷 처리 명령에 따라 처리될 수 있다.
외부망으로부터 내부망으로 송신되는 패킷을 처리하고자 하는 경우, 예를 들어 , "if (Net_out -> Net_in) then (허용): 사용자 설정명령 1"과 같은 방식으로 패킷 처리부(250)에 네트워크 관리자가 임의적으로 명령을 설정하여, 상기 Net_in의 네트워크 프리픽스의 유효기간이 경과된 경우, 패킷 처리부(250)는 Net_in에서 유효기간이 경과된 네트워크 프리픽스는 더 이상 상기 사용자 설정명령 1에 의한 영향을 받지 않고(이 경우, 다른 사용자 설정 패킷 차단 명령에 의해 영향을 받을 수 있음을 주의하여야 한다). 프리픽스의 유효기간이 경과되지 않은 경우에만 상기 사용자 설정명령 1과 같은 패킷 차단 명령에 의해 패킷을 전송한다.
이와 마찬가지로, 외부망에서 호스트로 송신되는 패킷을 처리하고자 하는 경우, 예를 들어, "if (Net_out -> Host 1) then (명령)" 과 같은 방식으로 패킷 처리부(250)에 네트워크 관리자가 임의적으로 명령을 설정하고, 설정한 명령에 해당하는 패킷 처리 방식을 설정할 수 있다.
도 3 은 네트워크 주소 관리부를 도시한다.
네트워크 주소 관리부(300)는 내부망을 구별하는 네트워크 ID(310), 네트워크 프리픽스(320), 네트워크 프리픽스의 유효기간(330)으로 구성된다.
네트워크 ID(310)는 다른 내부망과 구별하기 위해 각 내부망에 할당된 유일한 번호나 문자열로서, 본 발명에서 패킷 차단 규칙을 적용하는 네트워크 이름으로 사용한다. 이는 네트워크 관리자가 명시적으로 할당하거나, 임의적으로 생성할 수 있다.
각각의 네트워크 ID(310)는 다수 개의 네트워크 프리픽스(320)를 지닐 수 있다. 또한, 개별 네트워크 프리픽스(320) 단위로 패킷 차단 규칙을 설정할 경우에는 네트워크 ID(310)를 이용하지 않고서도, 네트워크 프리픽스(320) 및 네트워크 프리픽스의 유효기간(330)만으로도 네트워크 주소 관리부(300)를 구성 할 수 있다.
네트워크 프리픽스(320)는 고정 값을 가진 비트를 표시하는 주소의 일부분이 거나 네트워크 IP의 비트 수로서, IPv6의 프리픽스를 포함한다.
네트워크 프리픽스의 유효기간(330)은 네트워크 프리픽스(320)의 유효기간을 의미하는 것으로서, 각 네트워크 프리픽스(320)는 각각의 네트워크 프리픽스 유효기간을 지니고, 지정된 유효기간이 경과할 경우 네트워크 주소 관리부(300)에서 해당 네트워크 프리픽스(320)를 삭제한다.
도 4 는 호스트 주소 관리부를 도시한다.
호스트 주소 관리부(400)는 물리적으로 호스트를 구별하는 고유 식별 ID(410), IP 주소(420), IP 주소의 유효기간(430)으로 구성된다.
고유 식별 ID(410)는 하나의 내부망 내에서 내부망에 속한 다른 호스트와 물리적으로 호스트를 구별하기 위해 각 호스트에 할당된 유일한 번호나 문자열로서, 본 발명에서 개별 호스트에 대한 패킷 차단을 적용시 사용한다. 이는 관리자가 명시적으로 할당하거나, 임의적으로 생성할 수 있으며, 또는 호스트 내의 정보(예. MAC 주소, 호스트 이름)를 이용할 수 있다.
IP 주소(420)는 각 고유 식별 ID(410)에서 사용하는 인터넷 프로토콜 주소로서, 하나의 고유 식별 ID(410)는 하나 이상의 IP 주소(420)를 지닐 수 있다.
IP주소의 유효기간(430)은 각각의 IP 주소(420)는 해당 주소가 앞으로 얼마 동안 유효한지를 나타내고, 지정된 유효기간이 경과하면 해당 IP주소(420)를 호스트 주소 관리부에서 삭제한다.
IPv6 주소가 변경, 추가되는 경우에 대한 바람직한 일 실시예에 대해서는 도 7에서 살펴보기로 한다.
도 5 는 네트워크의 프리픽스가 변경될 경우, 패킷 처리 방법을 도시한 흐름도이다.
프리픽스가 추가, 삭제, 변경된 경우, 프리픽스의 변경을 인지한 호스트 및/또는 라우터는 프리픽스의 추가, 삭제 및 변경을 패킷 차단 장치에 통보한다. 이 때, 프리픽스의 변경을 인지한 호스트 및/또는 라우터는 패킷 차단 장치에 네트워크 프리픽스의 유효기간을 함께 통보한다.
호스트 및/또는 라우터로부터 네트워크 프리픽스의 변경을 통보받은 패킷 차단 장치는 통보 내용에 기초하여 갱신부(도2 참고)를 통해 네트워크 주소 관리부(210)를 갱신하고, 갱신된 네트워크 주소관리부에 기초하여 패킷을 처리한다.
보다 상세히, 프리픽스의 추가, 삭제 및 변경은 해당 프리픽스가 적용되는 서브넷으로 라우터가 RA(Router Advertisement, 라우터 선언) 메시지를 전달함으로서 호스트가 인지하게 된다.
상기 RA 메시지에는 해당 네트워크에서 사용하는 모든 프리픽스 정보가 들어있다. 각각의 프리픽스 정보마다 프리픽스와 유효기간이 들어 있어서 RA 메시지를 받는 호스트는 자신이 속한 네트워크의 모든 프리픽스와 유효기간의 정보를 인지할 수 있다.
프리픽스가 추가, 삭제 및 변경되는 경우 라우터는 업데이트할 프리픽스 정보를 RA 메시지에 보내어 호스트로 하여금 자신이 가지고 있는 프리픽스 정보를 비교하여 차이를 인지하도록 유도함으로써 새로 프리픽스 정보를 업데이트할 수 있도록 한다.
네트워크 프리픽스 주소가 변경, 추가되는 경우에 대한 바람직한 일 실시예에 대해서는 도 8에서 보다 상세히 살펴보기로 한다.
도 6 은 호스트의 주소가 변경될 경우, 패킷 처리 방법을 도시한 흐름도이다.
본 발명의 바람직한 일 실시예로서, IPv6 네트워크 환경하에서 하나의 호스트는 다수개의 IPv6 주소를 지닐 수 있고, 또한 IPv6 주소는 동적으로 변경이 가능하다.
한 호스트에서 노드의 주소가 변경된 경우를 검출하는 방법으로는, 주변 노드는 주변 노드 검출기법(Neighbor Discovery)에서 사용하는 주소 중복 검사(DAD - Duplicate Address Detection)및 주변 노드 도달 검사(NUD - Neighbor Unreachability Detection)를 통한 방법이 있다. 이 외에도 DHCP 서버나 DNS 서버에 질의(Query)하여 해당 호스트의 주소 리스트를 획득하여 변경 사실을 인지하거나, 주소를 변경할 노드가 직접 자신의 주소가 변경되었음을 패킷 차단 장치로 통보할 수 있다.
패킷 차단 장치의 수신부(230)는 호스트의 주소 변경 통보를 수신한 후, 갱신부(240)를 통해 호스트 주소 관리부(220)를 갱신하고, 갱신된 호스트 주소 관리부(220)에 기초하여 패킷을 처리한다.
도 7 은 IPv6 주소가 변경, 추가되는 바람직한 일 실시예를 도시한다.
초기 호스트 주소 관리부(400)는 물리적으로 호스트를 구별하는 고유 식별 ID(410)로서 'NODE_ID#1', IP 주소(420)로서 '주소1', IP 주소의 유효기간(430)으 로 '20분'이 할당되어 있다.
이 경우, 관리자가 "if(외부망-> NODE_ID#1) then (차단) " 과 같이 임의로 패킷 차단 규칙을 설정하여, 패킷 차단 장치를 동작하는 경우, 호스트 주소 관리부(400)에서 NODE_ID#1에 해당하는 주소는 '주소1'뿐이므로, 패킷의 목적지 주소가 '주소1'인 경우 패킷은 차단된다.
그 후, 'NODE_ID#1'에 새로운 IPv6 주소 '주소2' 및 유효기간 "60분"의 새로운 엔트리가 추가되었다. 이와 같이 엔트리가 추가된 경우, 호스트 주소 관리부(400) 내의 NODE_ID#1에 해당하는 주소는 '주소 1' 뿐만 아니라 '주소2' 인 경우도 추가되었으므로, 패킷의 목적지 주소가 '주소 1' 뿐만 아니라 '주소 2'인 경우에도 패킷은 차단된다.
새로운 IP 주소(420)를 추가한 후 20분이 경과되면, '주소1’의 유효기간 "20분"은 "0"이 되고, ‘주소2’의 유효기간 "60분"은 "40분"이 된다.
유효기간이 "0"이 된 엔트리의 IPv6주소는 더 이상 사용되지 않으며, 그 후 NODE_ID#1의 IPv6주소는‘주소2’만이 유효한 주소로 사용된다.
즉, '주소1'의 유효기간은 "0"이 되었으므로, 더 이상 '주소 1' 은 NODE_ID#1에 속하는 주소가 아니다. 따라서, '주소 1'을 목적지로 하는 패킷은 "if(외부망-> NODE_ID#1) then (차단) "이라는 패킷 차단 명령에는 더 이상 영향을 받지 않는다.
도 8 은 네트워크 프리픽스 주소가 변경, 추가되는 바람직한 일 실시예를 도시한다.
초기 네트워크 주소 관리부(300)는 내부망을 구별하는 네트워크 ID(310)에 'NID#1', 네트워크 프리픽스(320)로 'Prefix1', 네트워크 프리픽스의 유효기간(330)으로 '10분'이 할당되어 있다. 이 경우, 관리자가 "if (외부망 -> NID#1) then (차단) " 이라는 패킷 차단 규칙을 설정하여 패킷 차단 동작을 수행하는 경우, 네트워크 주소 관리부(300)에서 'NID#1'에 해당하는 'Prefix1'을 목적지 주소의프리픽스로 지니는 패킷만 위의 패킷 차단 명령에 의하여 차단된다.
그 후, 새로운 네트워크 프리픽스 'Prefix2', 유효기간 '40분'의 엔트리가 추가된 경우, 'NID#1'이라는 네트워크 ID 는 'Prefix1'외에 'Prefix 2'라는 네트워크 프리픽스(320)를 더 포함하게 된다.
그 결과 목적지 주소의 네트워크 프리픽스를 'Prefix2'로 지는 패킷 역시 상기 패킷 차단 규칙 "if (외부망 -> NID#1) then (차단) "에 의하여 패킷 전송이 차단된다.
10분이 경과시 초기 네트워크 프리픽스인 'Prefix1'은 유효기간'10분' 은 '0'이 되고, 'Prefix2'의 유효기간 '40분'은 '30분'이 된다.
유효기간이 '0'이 된 엔트리의 네트워크 프리픽스는 더 이상 사용되지 않으며, 그 후 NID#1의 프리픽스 주소는 'Prefix2'만이 유효한 주소로 사용된다.
따라서, 이제 더 이상 'Prefix 1'은 'NID#1'이라는 네트워크 ID에 속한 네트워크 프리픽스가 아니므로, 목적지 주소의 네트워크 프리픽스가 'Prefix1'인 패킷은 더 이상 "if (외부망 -> NID#1) then (차단) "이라는 명령에 영향을 받지 않는다.
본 발명에서는 차세대 인터넷 프로토콜 네트워크 환경하에서도 네트워크 관리자가 의도하는 호스트 및 내부망에서 패킷을 차단할 수 있다.
또한, 본 발명에 따른 패킷 차단 장치 및 방법에 따를 경우 차세대 인터넷 프로토콜 네트워크 환경에서 내부망의 노드의 주소 변경, 노드 상태 변경, 주소 프리픽스 변경 상황이 되어도 네트워크 관리자가 원래 의도한 대로 패킷 차단과 같은 패킷 처리가 가능하다. 즉 노드의 주소가 변경되더라도 주소 변경을 추적하여 반영함으로써, 지속적으로 통제할 수 있는 효과가 발생한다.
뿐만 아니라, 네트워크 프리픽스가 변경되는 경우도 반영하여, 호스트의 IP 주소가 변경되는 경우와 마찬가지로, 지속적인 패킷 처리가 가능한 효과가 발생하고 그에 따라 차세대 인터넷 프로토콜 네트워크 환경하의 동적 변경 상황에서도 유연한 대처가 가능하다.

Claims (12)

  1. 내부망을 구별하는 네트워크 ID, 네트워크 프리픽스, 네트워크 프리픽스의 유효기간을 포함하는 네트워크 주소 관리부;
    물리적으로 호스트를 구별하는 고유 식별 ID, IP 주소, IPv6 주소의 유효기간을 포함하는 호스트 주소 관리부;
    상기 네트워크 프리픽스의 변경 통보 또는 네트워크 내에 동일한 IP주소를 지닌 호스트의 존재 여부를 확인하는 주변 노드 검출 기법(Neighbor Discovery)에 의해 IPv6 주소가 변경된 호스트를 검출한 호스트로부터 상기 IPv6 주소 변경 통보를 수신하는 수신부;
    상기 수신부에서 상기 네트워크 프리픽스 변경 통보 또는 상기 IPv6 주소 변경 통보를 수신할 경우, 각각 상기 네트워크 주소 관리부 및 상기 호스트 주소 관리부를 갱신하는 주소 갱신부;및
    외부망으로부터 내부망으로 패킷 전송시, 임의의 패킷의 차단 여부를 설정한 패킷 차단 규칙을 상기 네트워크 프리픽스의 유효기간 동안 상기 네트워크 ID 및 상기 네트워크 프리픽스를 기초로 적용하고, 내부망에서 호스트로 패킷 전송시, 상기 패킷 차단 규칙을 상기 IPv6 주소의 유효기간 동안 상기 고유 식별 ID 및 상기 IPv6 주소를 기초로 적용하는 패킷 처리부;를 포함하는 것을 특징으로 하는 패킷 차단 장치.
  2. 제 1 항에 있어서, 상기 수신부는
    상기 네트워크 프리픽스 및 상기 IPv6 주소의 변경 통보를 상기 네트워크 프리픽스 또는 상기 IPv6 주소를 변경한 호스트로부터 수신하는 것을 특징으로 하는 패킷 차단 장치.
  3. 삭제
  4. 제 1 항에 있어서,
    상기 주변 노드 검출 기법은 네트워크 내에 생성된 호스트의 주소와 동일한 주소가 존재하는지 여부를 확인하는 주소 중복 검사(DAD) 및 이전 라우터에 도달 여부를 확인하는 주변 노드 도달 검사(NUD)를 포함하는 것을 특징으로 하는 패킷 차단 장치.
  5. 제 1 항에 있어서, 상기 수신부는
    DHCP 서버 또는 DNS 서버에 질의를 통해 IPv6 주소가 변경된 호스트를 검출한 호스트로부터 상기 IPv6 주소 변경 통보를 수신하는 것을 특징으로 하는 패킷 차단 장치.
  6. 제 1 항에 있어서, 상기 주소 갱신부는
    상기 수신부에서 상기 네트워크 프리픽스 변경 통보 또는 상기 IPv6 주소 변경 통보를 수신할 경우, 상기 변경 통보 내용에 따라 각각 상기 네트워크 주소 관리부 및 상기 호스트 주소 관리부에 각각 상기 네트워크 프리픽스 또는 상기 IPv6 주소를 추가 또는 삭제하고, 상기 네트워크 프리픽스 유효기간 또는 상기 IPv6 주소 유효기간을 변경하는 것을 특징으로 하는 패킷 차단 장치.
  7. 네트워크 프리픽스의 변경 통보 또는 네트워크 내에 동일한 IP주소를 지닌 호스트의 존재 여부를 확인하는 주변 노드 검출 기법에 의해 IPv6 주소가 변경된 호스트를 검출한 호스트로부터 상기 IPv6 주소 변경 통보를 수신하는 단계;
    상기 수신한 네트워크 프리픽스 변경 통보를 기초로 내부망을 구별하는 네트워크 ID, 네트워크 프리픽스, 네트워크 프리픽스의 유효기간을 갱신하고, 상기 수신한 IPv6 주소의 변경 통보를 기초로 물리적으로 호스트를 구별하는 고유 식별 ID, IPv6 주소, IPv6 주소의 유효기간을 갱신하는 단계;
    외부망으로부터 내부망으로 패킷 전송시, 임의의 패킷의 차단 여부를 설정한 패킷 차단 규칙을 상기 네트워크 프리픽스의 유효기간 동안 상기 네트워크 ID 및 상기 네트워크 프리픽스를 기초로 적용하는 단계; 및
    내부망에서 호스트로 패킷 전송시, 상기 패킷 차단 규칙을 상기 IPv6 주소의 유효기간 동안 상기 고유 식별 ID 및 상기 IPv6 주소를 기초로 적용하는 단계;를 포함하는 것을 특징으로 하는 패킷 차단 방법.
  8. 제 7 항에 있어서, 상기 수신 단계는
    상기 네트워크 프리픽스 및 상기 IPv6 주소의 변경 통보를 상기 네트워크 프리픽스 또는 상기 IPv6 주소를 변경한 호스트로부터 수신하는 것을 특징으로 하는 패킷 차단 방법.
  9. 삭제
  10. 제 7 항에 있어서,
    상기 주변 노드 검출 기법은 네트워크 내에 생성된 호스트의 주소와 동일한 주소가 존재하는지 여부를 확인하는 주소 중복 검사(DAD) 및 이전 라우터에 도달 여부를 확인하는 주변 노드 도달 검사(NUD)를 포함하는 것을 특징으로 하는 패킷 차단 방법.
  11. 제 7 항에 있어서, 상기 수신단계는
    DHCP 서버 또는 DNS 서버에 질의를 통해 IPv6 주소가 변경된 호스트를 검출한 호스트로부터 상기 IPv6 주소 변경 통보를 수신하는 것을 특징으로 하는 패킷 차단 방법.
  12. 제 7 항에 있어서, 상기 주소 갱신단계는
    상기 네트워크 프리픽스 변경 통보 또는 상기 IPv6 주소 변경 통보를 수신할 경우, 상기 변경 통보 내용에 따라 각각 상기 네트워크 프리픽스 또는 상기 IPv6 주소를 추가 또는 삭제하고, 상기 네트워크 프리픽스 유효기간 또는 상기 IPv6 주소 유효기간을 변경하는 것을 특징으로 하는 패킷 차단 방법.
KR1020050080628A 2005-08-31 2005-08-31 패킷 차단 장치 및 그 방법 KR100753815B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020050080628A KR100753815B1 (ko) 2005-08-31 2005-08-31 패킷 차단 장치 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020050080628A KR100753815B1 (ko) 2005-08-31 2005-08-31 패킷 차단 장치 및 그 방법

Publications (2)

Publication Number Publication Date
KR20070024957A KR20070024957A (ko) 2007-03-08
KR100753815B1 true KR100753815B1 (ko) 2007-08-31

Family

ID=38099278

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050080628A KR100753815B1 (ko) 2005-08-31 2005-08-31 패킷 차단 장치 및 그 방법

Country Status (1)

Country Link
KR (1) KR100753815B1 (ko)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0787122A (ja) * 1993-09-13 1995-03-31 Nissin Electric Co Ltd ルータ形式ネットワーク間接続装置
JP2000295269A (ja) 1999-04-07 2000-10-20 Hitachi Commun Syst Inc 外部ネットワークへのアクセス規制方法、並びにルータ装置
KR20020092972A (ko) * 2000-03-02 2002-12-12 첵크 포인트 소프트웨어 테크놀러지스 리미티드 패킷 필터링과 프로세싱을 가속화하는 시스템, 장치 및방법
KR20020093130A (ko) * 2000-05-05 2002-12-12 노마딕스, 인코포레이티드 네트워크 사용 모니터링 장치 및 관련 방법
KR20030070669A (ko) * 2002-02-26 2003-09-02 (주)넷피아닷컴 네트워크 접속 차단 시스템 및 그 방법
US20040078485A1 (en) * 2002-10-18 2004-04-22 Nokia Corporation Method and apparatus for providing automatic ingress filtering

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0787122A (ja) * 1993-09-13 1995-03-31 Nissin Electric Co Ltd ルータ形式ネットワーク間接続装置
JP2000295269A (ja) 1999-04-07 2000-10-20 Hitachi Commun Syst Inc 外部ネットワークへのアクセス規制方法、並びにルータ装置
KR20020092972A (ko) * 2000-03-02 2002-12-12 첵크 포인트 소프트웨어 테크놀러지스 리미티드 패킷 필터링과 프로세싱을 가속화하는 시스템, 장치 및방법
KR20020093130A (ko) * 2000-05-05 2002-12-12 노마딕스, 인코포레이티드 네트워크 사용 모니터링 장치 및 관련 방법
KR20030070669A (ko) * 2002-02-26 2003-09-02 (주)넷피아닷컴 네트워크 접속 차단 시스템 및 그 방법
US20040078485A1 (en) * 2002-10-18 2004-04-22 Nokia Corporation Method and apparatus for providing automatic ingress filtering

Also Published As

Publication number Publication date
KR20070024957A (ko) 2007-03-08

Similar Documents

Publication Publication Date Title
KR100477653B1 (ko) 외부망에서의 dns 서버 검색 장치 및 방법
Cheshire et al. Dynamic configuration of IPv4 link-local addresses
KR100908320B1 (ko) IPv6 네트워크 내 호스트 차단 및 탐색방법
KR100484145B1 (ko) 중복 주소 노드에 가상 주소를 자동으로 할당하는 장치 및방법
WO2006058206A2 (en) A method of subnet roaming within a network
Thaler Evolution of the IP Model
JP5241957B2 (ja) 加入者装置をIPv6対応のアグリゲーションネットワークに接続するための方法および装置
JP2004357016A (ja) 特定アドレス使用制限装置
Ahmed et al. Securing the neighbour discovery protocol in IPv6 state-ful address auto-configuration
KR100753815B1 (ko) 패킷 차단 장치 및 그 방법
Cisco Configuring IP
Cisco Configuring IP
Cisco Configuring IP
Cisco Configuring IP
Cisco Configuring IP
Cisco Configuring IP
Cisco Configuring IP
Cisco Configuring IP
Cisco Configuring IP
Cisco Configuring IP
Cisco Configuring IP
Cisco Configuring IP
Cisco Configuring IP
Cisco Configuring IP
Cisco Configuring IP

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20120730

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20130729

Year of fee payment: 7

LAPS Lapse due to unpaid annual fee