KR100819036B1 - 패킷의 헤더정보를 이용한 트래픽 인증장치와 그 방법 - Google Patents

패킷의 헤더정보를 이용한 트래픽 인증장치와 그 방법 Download PDF

Info

Publication number
KR100819036B1
KR100819036B1 KR1020060096632A KR20060096632A KR100819036B1 KR 100819036 B1 KR100819036 B1 KR 100819036B1 KR 1020060096632 A KR1020060096632 A KR 1020060096632A KR 20060096632 A KR20060096632 A KR 20060096632A KR 100819036 B1 KR100819036 B1 KR 100819036B1
Authority
KR
South Korea
Prior art keywords
traffic
call
network
information
service
Prior art date
Application number
KR1020060096632A
Other languages
English (en)
Other versions
KR20070061322A (ko
Inventor
박노익
이순석
김영선
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020060096632A priority Critical patent/KR100819036B1/ko
Priority to US11/635,554 priority patent/US20070133408A1/en
Publication of KR20070061322A publication Critical patent/KR20070061322A/ko
Application granted granted Critical
Publication of KR100819036B1 publication Critical patent/KR100819036B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2425Traffic characterised by specific attributes, e.g. priority or QoS for supporting services specification, e.g. SLA
    • H04L47/2433Allocation of priorities to traffic types
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/14Charging, metering or billing arrangements for data wireline or wireless communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/14Charging, metering or billing arrangements for data wireline or wireless communications
    • H04L12/1425Charging, metering or billing arrangements for data wireline or wireless communications involving dedicated fields in the data packet for billing purposes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/14Charging, metering or billing arrangements for data wireline or wireless communications
    • H04L12/1485Tariff-related aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/15Flow control; Congestion control in relation to multipoint traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2441Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/70Admission control; Resource allocation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/70Admission control; Resource allocation
    • H04L47/78Architectures of resource allocation
    • H04L47/781Centralised allocation of resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/70Admission control; Resource allocation
    • H04L47/80Actions related to the user profile or the type of traffic
    • H04L47/805QOS or priority aware
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명에 의한 트래픽 인증을 위한 패킷의 헤더정보를 이용한 트래픽 인증장치는 발신단말로부터 전송된 호 수락요청을 수신하는 호 수락 제어 에이전트, 호 수락 제어 에이전트가 수신한 호 수락 요청의 허부를 결정하고, 상기 호 수락 요청으로부터 호 정보를 획득하는 네트워크 제어장치 및 발신단말로부터의 트래픽 유입시, 유입된 트래픽 패킷의 헤더 정보와 상기 네트워크 제어장치로부터 전달받은 호 정보를 비교하여 트래픽의 인증을 수행하는 네트워크 접속장치를 포함한다. 본 발명은 적법한 트래픽인지 여부를 네트워크상에서 인증하고 이를 제어할 수 있도록 한다. 본 발명은 네트워크 차원에서 불법 트래픽을 차단함으로써 합법적 사용자의 트래픽을 보호 및 QoS를 보장한다.

Description

패킷의 헤더정보를 이용한 트래픽 인증장치와 그 방법{Traffic Authentication Equipment using Packet Header Information and Method thereof}
도 1은 본 발명의 일 실시예에 의한 트래픽 인증장치이다.
도 2는 본 발명의 일 실시예에 따른 트래픽 인증장치 구성요소 상호간의 data 흐름도이다.
도 3은 본 발명의 일 실시예에 의한 트래픽 인증방법이다.
도 4는 본 발명의 다른 일 실시예에 의한 트래픽 인증방법이다.
본 발명은 패킷의 헤더정보를 이용한 트래픽 인증장치와 그 방법에 관한 발명으로서, 보다 상세하게는 호 수락 제어과정에서 얻은 수락된 호의 호 정보와 네트워크 상에서 얻은 네트워크로 유입된 패킷의 헤더정보를 비교하여 네트워크상에서 트래픽을 인증하기 위한 트래픽 인증장치와 그 방법에 관한 것이다.
NGN(Next Generation Network)과 같은 차세대 네트워크에서는 서비스 별로 QoS 가 보장되는 프리미엄급의 서비스가 제공된다. 이러한 프리미엄급의 서비스에 대해서는 개별서비스의 QoS, 사용시간, 사용량, 사용건수 등의 조합으로 과금이 이 루어진다. 예를들어 VoIP서비스와 같은 경우에는 사용자의 SLA, 통화 건수, 사용시간 등을 바탕으로 과금을 한다.
이러한 프리미엄급의 서비스들에 대한 과금을 위해서는 해당 서비스의 QoS 관리뿐만 아니라 개별적인 서비스 호에 대한 인증절차를 포함한 호 수락제어 절차가 필수적으로 요구된다.
또한 인증된 트래픽에 대해서만 네트워크의 사용을 허가하고 이에 대한 과금을 할 수 있는 방법과 서비스계층에서의 인증절차를 무시하고 네트워크 자원 및 서비스를 사용하려는 악의적인 사용자가 발생시키는 트래픽에 대하여서는 네트워크 계층에서 이를 차단할 수 있는 방법도 필요하다.
그러나, 기존의 인터넷에 경우에는 일단 네트워크 접근에 대한 인증을 받기만 하면, 이후에 악의적인 사용자가 서비스 계층의 인증을 무시하고 특정서비스에
대한 트래픽을 발생시키더라도 네트워크 계층에서는 이러한 트래픽에 대하여 합법 트래픽인지 여부를 판단할 수 없다. 트래픽은 아무런 제재조치 없이 네트워크로 유입된다.
예를 들어 VoIP 서비스의 경우,발신자가 수신자의 주소를 알고 있다면 호에 대한 별도의 호 수락제어 또는 트래픽 제어절차 없이 통화를 시도하고 트래픽을 발생시키면 해당 트래픽을 네트워크 차원에서 차단할 방법이 없을 뿐만 아니라 해당 통화에 대하여 서비스 차원 또는 네트워크 차원에서 사용자에게 과금을 할 방법이 없다.
본 발명이 이루고자 하는 기술적 과제는 네트워크상에서 트래픽 인증을 위하여 호 수락과정에서 획득한 호 정보와 네트워크로 유입된 트래픽 패킷의 헤더 정보를 이용한 패킷의 헤더정보를 이용한 트래픽 인증장치와 그 방법을 제공하는데 있다.
상기의 기술적 과제를 이루기 위하여 본 발명에 의한 패킷의 헤더정보를 이용한 트래픽 인증장치는 발신단말로부터 전송된 호 수락요청을 수신하는 호 수락 제어 에이전트, 호 수락 제어 에이전트가 수신한 호 수락 요청의 허부를 결정하고, 상기 호 수락 요청으로부터 호 정보를 획득하는 네트워크 제어장치 및 발신단말로부터의 트래픽 유입시, 유입된 트래픽 패킷의 헤더 정보와 상기 네트워크 제어장치로부터 전달받은 호 정보를 비교하여 트래픽의 인증을 수행하는 네트워크 접속장치를 포함한다.
상기의 기술적 과제를 이루기 위하여 본 발명에 의한 패킷의 헤더정보를 이용한 트래픽 인증방법은 발신단말로부터 전송된 호 수락요청을 수신하는 단계, 호 수락 요청의 허부를 결정하고, 호 수락 요청으로부터 호 정보를 획득하는 단계, 획득한 호 정보를 네트워크 접속장치로 전달하는 단계 및 발신단말로부터의 트래픽 유입시, 유입된 트래픽 패킷의 헤더 정보와 호 정보를 비교하여 트래픽의 인증을 수행하는 단계를 포함한다.
이처럼 본 발명은 상기의 기술적 과제를 이루기 위하여 서비스 호에 대한 호 수락제어 과정에서 얻을 수 있는 호 정보와 네트워크상에서 얻을 수 있는 네트워크 로 유입된 패킷의 헤더정보를 비교하여 유입된 트래픽의 적법여부를 판단함으로써 네트워크 차원에서 트래픽을 인증할 수 있도록 한다.
보다 구체적으로는 호 수락제어 과정에서 획득되는 개별 서비스의 사용자에 대한 착신/발신단말의 주소를 포함하는 호 정보와 네트워크상에서 획득할 수 있는 패킷의 헤더정보를 비교하여 호 수락제어 절차상에서 획득된 정보들과 일치하지 않는 경우 해당 트래픽에 대하여 네트워크로의 유입을 차단하고 합법적 사용자 트래픽을 보호하는 한편, 서비스 및 네트워크 자원 사용에 대한 비용을 지불하지 않고 서비스를 이용하려는 악의적 사용자들의 트래픽을 차단할 수 있는 방법을 제안하고자 한다.
이하 본 발명의 바람직한 실시예를 첨부한 도면을 참조하여 상세히 설명하도록 한다.
도 1은 본 발명의 일 실시예에 의한 트래픽 인증장치이다. 도 1을 참조하면, 트래픽 인증장치(100)는 호 수락 제어 에이전트(110), 네트워크 제어장치(120) 및 네트워크 접속장치(130)로 구성된다.
네트워크(140)는 각 가입자별로 서로 다른 SLA기반의 프리미엄급 서비스를 제공할 수 있는 IP 네트워크이다. 이처럼 본 발명에 의한 네트워크 접속장치는 QoS를 보장하는 프리미엄 서비스를 제공할 수 있는 네트워크에 위치한다.
호 수락 제어 에이전트(110)은 발신단말(150)로부터 전송된 호 수락요청을 받는다. 호 수락 제어 에이젼트(110)는 발신단말(150)이 요청하는 호에 대하여 네트워크 제어장치(120)로 호수락 제어를 요청한다.
이때 호 수락 제어 에이젼트(110)는 발신단말(150)의 주소, 착신단말(260)의 주소, 서비스의 종류, 프로토콜 포트, 서비스 QoS를 구별할 수 있는 호 정보를 네트워크 제어장치(120)에 전달해 주게 된다.
네트워크 제어장치(120)는 호 수락제어 에이전트(110)가 수신한 호 수락 요청의 허부를 결정하고, 호 정보를 획득하여 네트워크 접속장치(130)에 전달한다.
네트워크 제어장치(120)는 호 수락제어가 끝난 후 허가된 호에 대한 트래픽을 제어할 수 있도록 네트워크 접속장치(130)를 제어한다.
네트워크 접속장치(130)는 발신단말(150)로부터 트래픽 유입시, 유입된 트래픽 패킷의 헤더 정보와 네트워크 제어장치(120)로부터 획득한 호 정보를 비교하여 트래픽의 인증을 수행한다.
허가된 호의 호 정보와 상기 유입된 패킷의 헤더정보는 발신/착신단말의 주소 및 발신/착신단말의 어플리케이션 포트 중 적어도 어느 하나를 포함할 수 있다.
네트워크 접속장치(130)는 유입된 트래픽이 불법 트래픽인 경우에는 트래픽을 차단, Best effort로 처리 또는 다른 네트워크로 재전송할 수 있다.
또한 트래픽 인증장치(100)는 유입된 트래픽이 합법 트래픽인 경우에는 제공된 네트워크 서비스에 대한 과금을 하는 과금부를 더 포함할 수 있다. 또한, 제공된 네트워크 서비스에 대한 과금은 제공된 네트워크 서비스의 클래스 및 사용량 중 적어도 어느 하나를 기초로 할 수 있다.
도 2는 본 발명의 일 실시예에 따른 트래픽 인증장치 구성요소 상호간의 data 흐름도이다. 도 2를 참조하면, 발신단말(201)이 호 수락 제어 에이전트(201) 에게 호 수락요청을 한다(S210a).
호 수락 제어 에이전트(202)는 네트워크 제어장치(203)에 호 수락요청을 한다(S201b)
네트워크 제어장치(203)는 호 수락 여부를 결정하고 발신단말(201)의 주소 및 착신단말의 주소를 포함하는 호 정보를 네트워크 접속장치(204)에 전달한다(S340).
네트워크 제어장치(203)는 호 수락 제어 에이전트(202)에 호 수락 응답(S230a)을 하면, 호 수락 제어 에이전트(202)는 발신단말(201)에 호 설정을 통보(S230b)한다.
네트워크 제어장치(203)는 허가된 호에 대하여 네트워크 서비스를 제공한다. 제공되는 네트워크 서비스는 QoS를 보장하는 프리미엄 서비스이다. 본 발명은 프리미엄급 서비스를 제공하는 네트워크에서 특히 유용하다.
이처럼 별도의 호 수락제어 과정을 거치고 이 결과를 바탕으로 네트워크 차원에서 악의적인 트래픽의 네트워크로의 유입을 차단하게 되면 합법적인 트래픽에 대한 보호를 할 수 있다.
이를 위해 네트워크 제어장치(203)는 호 수락 제어 에이전트(202)에서 획득한 호 정보를 네트워크 접속장치(204)에 전해주는 기능을 수행한다. 이후, 발신단말(201)로 부터 트래픽이 유입되면(S260), 네트워크 접속장치(204)는 유입된 트래픽을 인증한다(S280).
트래픽이 불법인지 여부는 네트워크 제어장치(203)에서 획득된 호 정보와 유 입된 트래픽 패킷의 헤더정보를 비교하여(S270) 판단한다.
네트워크 접속장치(204)는 네트워크로 유입되는 트래픽이 불법이라고 판단된 경우에는 트래픽의 네트워크로의 유입을 차단할 수 있다.
아니면 네트워크로 유입되는 트래픽이 불법이라고 판단된 경우, 트래픽을 redirection 하거나 best effort 로 처리할 수도 있다. 이는 네트워크의 정해진 정책에 의할 것이다.
또한, 네트워크 접속장치(204)는 네트워크로 유입되는 트래픽이 불법이 아니라고 판단된 경우에는 제공된 네트워크 서비스에 대해 과금을 할 수 있다.
도 3은 본 발명의 일 실시예에 의한 트래픽 인증방법이다. 도 3을 참조하면, 발신단말로부터 전송된 호 수락요청을 수신한다(S301). 호 수락 제어 에이전트는 발신단말로부터 전송된 호 수락요청을 받는다. 호 수락 제어 에이전트는 발신단말이 요청하는 호에 대하여 네트워크 제어장치로 호 수락 제어를 요청한다.
호 수락 요청의 허부를 결정하고, 호 수락 요청으로부터 호 정보를 획득한다(S302). 이때 호 수락 제어 에이젼트는 발신단말의 주소, 착신단말의 주소, 서비스의 종류, 프로토콜 포트, 서비스 QoS를 구별할 수 있는 호 정보를 네트워크 제어장치에 전달해 주게 된다. 즉, 네트워크 제어장치는 발신 단말로부터 수신한 호 수락 요청의 허부를 결정하고, 호 정보를 획득하여 네트워크 접속장치에 전달한다.
발신단말로부터의 트래픽 유입시, 유입된 트래픽 패킷의 헤더 정보와 상기 호 정보를 비교하여 트래픽의 인증을 수행한다(S303).
네트워크 접속장치는 발신단말로부터 트래픽 유입시, 유입된 트래픽 패킷의 헤더 정보와 호 수락 제어 에이전트가 획득한 호 정보를 비교하여 트래픽의 인증을 수행한다.
허가된 호의 호 정보와 상기 유입된 패킷의 헤더정보는 발신/착신단말의 주소, 발신/착신단말의 어플리케이션 포트 및 어플리케이션 프로토콜 정보(서비스 종류)중 적어도 어느 하나를 포함할 수 있다.
네트워크 접속장치는 유입된 트래픽이 불법 트래픽인 경우에는 트래픽을 차단, Best effort로 처리 또는 다른 네트워크로 재전송할 수 있다.
또한 유입된 트래픽이 합법 트래픽인 경우에는 제공된 네트워크 서비스에 대한 과금을 하는 단계를 더 포함할 수 있다. 또한, 제공된 네트워크 서비스에 대한 과금은 제공된 네트워크 서비스의 클래스 및 사용량 중 적어도 어느 하나를 기초로 할 수 있다.
네트워크는 각 가입자별로 서로 다른 SLA기반의 프리미엄급 서비스를 제공할 수 있는 IP 네트워크이다. 이처럼 본 발명에 의한 네트워크 접속방법은 QoS를 보장하는 프리미엄 서비스를 제공할 수 있는 네트워크에서 실시할 수 있다.
도 4는 본 발명의 다른 일 실시예에 의한 트래픽 인증방법이다. 도 4를 참조하면, 발신단말로부터 전송된 호 수락요청을 수신한다(S401). 호 수락요청의 허부를 결정한다(S402).
허가된 호에 대하여는 네트워크 서비스를 제공하고, 상기 허가된 호의 호 정보를 획득한다(S404). 제공되는 네트워크 서비스는 QoS 를 보장하는 프리미엄 서비스이다. 네트워크 서비스에 대한 과금은 제공된 네트워크 서비스의 클래스 및 사용 량을 기초로 한다. 상기 세 단계(S401,S402,S404)를 통해 호 수락제어단계를 수행한다.
발신단말로부터 네트워크로 트래픽 유입시, 유입된 트래픽 패킷의 헤더정보와 S404단계에서 획득한 허가된 호의 호 정보를 기초로 유입된 트래픽이 불법 트래픽인지 여부를 판단한다(S405). 허가된 호의 호 정보와 유입된 패킷의 헤더정보 중 발신/착신단말 주소의 일치여부를 통해 판단할 수 있다.
판단결과, 유입된 트래픽이 불법 트래픽인 경우에는 트래픽의 유입을 차단한다(S407). 유입된 트래픽이 합법 트래픽이라고 판단된 경우에는 제공된 네트워크 서비스에 대한 과금을 한다(S408). 제공된 네트워크 서비스에 대한 과금은 제공된 네트워크 서비스의 클래스 및 사용량 를 기초로 결정한다.
본 발명은 프리미엄급 서비스를 제공하는 네트워크에서 특히 유용하며, 사용자에게 과금하는 것을 네트워크 차원에서 관리하므로 사용량에 따른 과금이 가능하다.
본 발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다.
컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.
이제까지 본 발명에 대하여 그 바람직한 실시예들을 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.
본 발명에 의하면, 서비스 계층에서 인증받은 사용자가 발생하는 서비스 트래픽에 대하여 네트워크 계층에서 서비스 계층에서의 인증의 유효성을 다시 한번 검증하여 인증받지 않은 악의적 트래픽의 네트워크로의 유입을 차단함으로써 선의의 트래픽을 보호하고, 네트워크의 보안을 강화할 수 있게 된다. 또한, 과금대상이 되는 서비스들의 트래픽에 대한 제어가 가능해 짐으로써 사업자의 수익성을 증대시킬 수 있게 된다.

Claims (8)

  1. 발신단말로부터 전송된 호 수락요청을 수신하는 호 수락 제어 에이전트;
    상기 호 수락 제어 에이전트가 수신한 호 수락 요청의 허부를 결정하고, 상기 호 수락 요청으로부터 호 정보를 획득하는 네트워크 제어장치; 및
    상기 발신단말로부터의 트래픽 유입시, 유입된 트래픽 패킷의 헤더 정보와 상기 네트워크 제어장치로부터 전달받은 호 정보에 각각 포함된 발신/착신단말의 주소, 발신/착신단말의 어플리케이션 포트 및 어플리케이션 프로토콜 정보를 서로 비교하여 트래픽의 인증을 수행하는 네트워크 접속장치;를 포함하는 것을 특징으로 하는 트래픽 인증장치.
  2. 제 1항에 있어서,
    상기 유입된 트래픽이 합법 트래픽인 경우에는 제공된 네트워크 서비스에 대한 과금을 하는 과금부를 더 포함하는 것을 특징으로 하는 트래픽 인증장치.
  3. 제 2항에 있어서, 상기 제공된 네트워크 서비스는,
    QoS를 보장하는 프리미엄 서비스인 것을 특징으로 하는 트래픽 인증장치.
  4. 제 2항에 있어서, 상기 제공된 네트워크 서비스에 대한 과금은
    제공된 네트워크 서비스의 클래스 및 사용량 중 적어도 어느 하나를 기초로 하는 것을 특징으로 하는 트래픽 인증장치.
  5. 삭제
  6. 제 1항의 상기 네트워크 접속장치에 있어서,
    상기 유입된 트래픽이 불법 트래픽인 경우에는 트래픽의 유입을 차단하고, 서비스 제공시 보장된 서비스 품질이나 우선권을 제공하는 것을 보장하지 못하는 데이터 전달방식인 Best effort로 처리 또는 다른 네트워크로 재전송하는 것을 특징으로 하는 트래픽 인증장치.
  7. (a) 발신단말로부터 전송된 호 수락요청을 수신하는 단계;
    (b) 상기 호 수락 요청의 허부를 결정하고, 상기 호 수락요청으로부터 호 정보를 획득하는 단계;
    (c) 상기 호 정보를 네트워크 접속장치로 전달하는 단계; 및
    (d) 상기 발신단말로부터 트래픽 유입시, 유입된 트래픽 패킷의 헤더 정보와 상기 호 정보에 각각 포함된 발신/착신단말의 주소, 발신/착신단말의 어플리케이션 포트 및 어플리케이션 프로토콜 정보를 서로 비교하여 트래픽의 인증을 수행하는 단계;를 포함하는 것을 특징으로 하는 트래픽 인증방법.
  8. 삭제
KR1020060096632A 2005-12-08 2006-09-29 패킷의 헤더정보를 이용한 트래픽 인증장치와 그 방법 KR100819036B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020060096632A KR100819036B1 (ko) 2005-12-08 2006-09-29 패킷의 헤더정보를 이용한 트래픽 인증장치와 그 방법
US11/635,554 US20070133408A1 (en) 2005-12-08 2006-12-08 Apparatus and method for authenticating traffic using packet header information

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
KR1020050120057 2005-12-08
KR20050120057 2005-12-08
KR1020060096632A KR100819036B1 (ko) 2005-12-08 2006-09-29 패킷의 헤더정보를 이용한 트래픽 인증장치와 그 방법

Publications (2)

Publication Number Publication Date
KR20070061322A KR20070061322A (ko) 2007-06-13
KR100819036B1 true KR100819036B1 (ko) 2008-04-02

Family

ID=38139178

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060096632A KR100819036B1 (ko) 2005-12-08 2006-09-29 패킷의 헤더정보를 이용한 트래픽 인증장치와 그 방법

Country Status (2)

Country Link
US (1) US20070133408A1 (ko)
KR (1) KR100819036B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101172889B1 (ko) 2008-12-03 2012-08-10 한국전자통신연구원 유해트래픽 탐지/대응 방법 및 시스템
US8402538B2 (en) 2008-12-03 2013-03-19 Electronics And Telecommunications Research Institute Method and system for detecting and responding to harmful traffic

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100963963B1 (ko) * 2007-10-17 2010-06-15 주식회사 케이티 이동 통신망에서의 비인가 트래픽 제어 시스템 및 방법
US8813197B2 (en) * 2008-12-15 2014-08-19 Novell, Inc. Techniques for network process identity enablement
CN103401840B (zh) * 2013-07-03 2016-03-16 厦门锐思特软件科技有限公司 一种应用于业务系统的保护方法及系统
US11134095B2 (en) * 2016-02-24 2021-09-28 Fireeye, Inc. Systems and methods for attack simulation on a production network

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002124952A (ja) 2000-10-12 2002-04-26 Furukawa Electric Co Ltd:The 無線ネットワークにおける無線端末の認証方法および無線ネットワークにおける無線端末の認証システム
KR20030000254A (ko) * 2001-06-22 2003-01-06 (주)빌렉스 무선 인터넷 서비스를 위한 과금 대행 장치 및 그 방법
KR20040017445A (ko) * 2002-08-21 2004-02-27 엘지전자 주식회사 멀티미디어 데이터 인증방법
KR20050005152A (ko) * 2003-07-04 2005-01-13 주식회사 케이티프리텔 부당한 단말 식별자에 대한 정보 이용료 과금 차단 방법및 시스템

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6233686B1 (en) * 1997-01-17 2001-05-15 At & T Corp. System and method for providing peer level access control on a network
US7912856B2 (en) * 1998-06-29 2011-03-22 Sonicwall, Inc. Adaptive encryption
US6463474B1 (en) * 1999-07-02 2002-10-08 Cisco Technology, Inc. Local authentication of a client at a network device
CA2296213C (en) * 2000-01-07 2009-04-14 Sedona Networks Corporation Distributed subscriber management
JP2002152279A (ja) * 2000-11-10 2002-05-24 Sony Corp ネットワーク接続制御装置及びその方法
US7567578B2 (en) * 2001-03-16 2009-07-28 Kyocera Wireless Corp. System and method for roaming connectivity
US7042998B2 (en) * 2002-08-27 2006-05-09 Itxc Ip Holdings, S.A.R.L. Call routing system and method with rule-modifying ability
US7516487B1 (en) * 2003-05-21 2009-04-07 Foundry Networks, Inc. System and method for source IP anti-spoofing security
US20070204050A1 (en) * 2003-09-18 2007-08-30 Sheng Liu Method Of Radio Access Bearer For Ip Multimedia Session In Umts Network
US8214875B2 (en) * 2004-02-26 2012-07-03 Vmware, Inc. Network security policy enforcement using application session information and object attributes
EP1805961B1 (en) * 2004-10-29 2012-12-05 Telefonaktiebolaget L M Ericsson (publ) Methods and nodes in a communication system for controlling the use of access resources
US7627123B2 (en) * 2005-02-07 2009-12-01 Juniper Networks, Inc. Wireless network having multiple security interfaces

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002124952A (ja) 2000-10-12 2002-04-26 Furukawa Electric Co Ltd:The 無線ネットワークにおける無線端末の認証方法および無線ネットワークにおける無線端末の認証システム
KR20030000254A (ko) * 2001-06-22 2003-01-06 (주)빌렉스 무선 인터넷 서비스를 위한 과금 대행 장치 및 그 방법
KR20040017445A (ko) * 2002-08-21 2004-02-27 엘지전자 주식회사 멀티미디어 데이터 인증방법
KR20050005152A (ko) * 2003-07-04 2005-01-13 주식회사 케이티프리텔 부당한 단말 식별자에 대한 정보 이용료 과금 차단 방법및 시스템

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101172889B1 (ko) 2008-12-03 2012-08-10 한국전자통신연구원 유해트래픽 탐지/대응 방법 및 시스템
US8402538B2 (en) 2008-12-03 2013-03-19 Electronics And Telecommunications Research Institute Method and system for detecting and responding to harmful traffic

Also Published As

Publication number Publication date
KR20070061322A (ko) 2007-06-13
US20070133408A1 (en) 2007-06-14

Similar Documents

Publication Publication Date Title
JP4586071B2 (ja) 端末へのユーザポリシーの提供
US7652990B2 (en) Method and apparatus for providing quality of service level in broadband communications systems
US8108677B2 (en) Method and apparatus for authentication of session packets for resource and admission control functions (RACF)
US20020110123A1 (en) Network connection control apparatus and method
JP6455780B2 (ja) グローバルなリアルタイム電気通信装置、ソフトウェア・モジュール、および、システム
US7735114B2 (en) Multiple tiered network security system, method and apparatus using dynamic user policy assignment
US7822406B2 (en) Simplified dual mode wireless device authentication apparatus and method
US20060190997A1 (en) Method and system for transparent in-line protection of an electronic communications network
KR100819036B1 (ko) 패킷의 헤더정보를 이용한 트래픽 인증장치와 그 방법
US11843532B2 (en) Application peering
US20040177247A1 (en) Policy enforcement in dynamic networks
WO2008019615A1 (fr) Procédé, dispositif et système pour authentification d'accès
JP2014096181A (ja) 電気通信システムにおいて特権を付与してリソースを共有する方法
US8959610B2 (en) Security bridging
US7656794B2 (en) Method and apparatus for authenticated quality of service reservation
Feng et al. A dual-layer zero trust architecture for 5G industry MEC applications access control
CN100571461C (zh) 通信系统
CN114391245A (zh) 网络切片应用接入控制
US6785233B1 (en) Method for bandwidth management by resizing pipes
CN114915972A (zh) 一种网络切片安全架构及信任度量方法
CN114915534A (zh) 面向信任增强的网络部署架构及其网络访问方法
KR20050075308A (ko) 방화벽용 및 관련 제품을 위한 보안 시스템 및 방법
JP3624878B2 (ja) Ipネットワーク及びそれに用いるアドミッション制御方法
CN116566713A (zh) 多层次访问控制方法、模块、介质及系统
KR20080001424A (ko) 인터넷 무단 결제 방지 시스템 및 그 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130304

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20140303

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20150226

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20160226

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20170324

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20180327

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20200310

Year of fee payment: 13