KR100831088B1 - 대응 노드 방화벽에서의 이동 인터넷 프로토콜 지원 - Google Patents

대응 노드 방화벽에서의 이동 인터넷 프로토콜 지원 Download PDF

Info

Publication number
KR100831088B1
KR100831088B1 KR1020067012185A KR20067012185A KR100831088B1 KR 100831088 B1 KR100831088 B1 KR 100831088B1 KR 1020067012185 A KR1020067012185 A KR 1020067012185A KR 20067012185 A KR20067012185 A KR 20067012185A KR 100831088 B1 KR100831088 B1 KR 100831088B1
Authority
KR
South Korea
Prior art keywords
network node
address
new address
message
binding
Prior art date
Application number
KR1020067012185A
Other languages
English (en)
Other versions
KR20060103925A (ko
Inventor
래시 하이펠라이넨
Original Assignee
노키아 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 노키아 코포레이션 filed Critical 노키아 코포레이션
Publication of KR20060103925A publication Critical patent/KR20060103925A/ko
Application granted granted Critical
Publication of KR100831088B1 publication Critical patent/KR100831088B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W40/00Communication routing or communication path finding
    • H04W40/34Modification of an existing route
    • H04W40/36Modification of an existing route due to handover
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/02Access restriction performed under specific conditions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/26Network addressing or numbering for mobility support
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation

Abstract

대응 노드 방화벽과 같은 접속 차단 기능으로 네트워크 노드를 보호하는 방법, 시스템 및 장치가 개시된다. 이 접속 차단 기능은 제1, 2 네트워크 노드중 하나를 보호하고, 제1 네트워크 노드의 어드레스 및 제2 네트워크 노드의 어드레스에 연결된 링크를 통해, 보호되는 네트워크 노드에 대한 나머지 네트워크 노드로부터의 접속을 허용한다. 제2 네트워크 노드는 자신의 주소를 변경하도록 구성된다. 상기 방법은 제2 네트워크 노드가 자신의 주소를 변경할 때, 제2 네트워크 노드의 이전 어드레스에 연결된 링크를 제2 네트워크 노드의 새로운 어드레스로 연결시키는 것을 포함한다.
노드, 방화벽, 어드레스, 접속 차단

Description

대응 노드 방화벽에서의 이동 인터넷 프로토콜 지원{SUPPORTING MOBILE INTERNET PROTOCOL IN A CORRESPONDENT NODE FIREWALL}
본 발명은 접속 차단 기능(예를 들어, 방화벽)에 의해 첫 번째 네트워크 노드(예를 들어, 대응 노드 CN)를 보호하기 위한 방법 및 시스템에 관한 것이다.
본 발명은 특히 모바일 IP(Internet Protocol)에 관한 것으로서, 제1 노드에 대한 연결을 갖는 제2 노드는 이동 노드(Mobile Node: MN)이다.
모바일 IPv6(MIP)은 예를 들어 무선랜(Wireless LAN: WLAN) 핫 스팟을 갖는 3세대(3G) 네트워크를 논하기 위해서 서로 다른 접속기술을 통한 로밍을 지원할 필요가 있을 것이다. 반면, 방화벽(FW: firewall)은 부당한 패킷으로부터 노드를 보호하기 위해 필요하다. 그러나, 기존의 정상상태 방화벽(FW)은 MIP 루트 최적화로 인터페이스 할 것이다.
즉, 이동 노드는 자신의 어드레스를 변경할 수 있다. 방화벽은 이동 노드와 대응 노드 사이에 단 하나의 링크만 허용하여 링크가 이동 노드와 대응 노드의 어드레스에 의해 식별되도록(링크는 이후 설명에서 소위 "핀홀"로 언급된다) 대응 노드(CN)를 보호한다. 다시 말하면, 이동 노드가 어드레스를 기존의 CoA(care-of address: 보호주소)에서 새로운 CoA로 변경한 경우, 핀홀은 더 이상 유효하지 않 다. 따라서, 이동 노드와 대응 노드 사이의 전체 연결을 다시 새롭게 설정할 필요가 있다.
이는 두 노드 사이에 트래픽 방해를 야기하고, 이는 사용자를 화나게 한다. 다시 말해서, 현재의 방화벽은 이동 IP를 지원하지 않는다.
FW가 바인딩 갱신(Binding Updates: BUs)을 무시하는 경우(즉, CoA의 변화를 피하는 경우), MIP 루트 최적화는 발생하지 않을 것이다. 새로운 CoA로부터 온 많은 패킷이 매칭되는 핀홀이 없어서 탈락할 것이다. 모든 세션은 새로운 어드레스로부터 다시 초기화되어야 한다. 모든 패킷이 홈 에이전트(HA: Home Agent)를 경유하여 라우팅 될 때에만 매끄러운 핸드오버가 가능하다. 이는 그러나 어떠한 루트 최적화도 가능하지 않다는 것을 의미한다.
따라서, 본 발명의 목적은 방화벽 내에서도 이동 IP 지원을 허용하는 것이다.
이 목적은 접속 차단 기능에 의해 네트워크 노드를 보호하는 방법에 의해 달성되는 바, 상기 접속 차단 기능은 제1 네트워크 노드 또는 제2 네트워크 노드를 보호하고, 상기 제1 네트워크 노드의 어드레스 및 상기 제2 네트워크 노드의 어드레스와 관련된 링크를 통해서, 상기 제1 네트워크 노드와 제2 네트워크 노드중 보호되는 노드에 대한 나머지 네트워크 노드로부터의 접속을 허용하고, 상기 제2 네트워크 노드는 자신의 어드레스를 변경하도록 구성되고, 상기 방법은,
상기 제2 네트워크 노드가 자신의 어드레스를 변경할 때, 제2 네트워크 노드의 이전 어드레스와 관련된 링크를 상기 제2 네트워크 노드의 새로운 어드레스에 관련시키는 단계를 포함한다.
대안적으로, 상기 목적은 접속 차단 기능 및 적어도 제1, 2 네트워크 노드를 포함하는 네트워크 시스템에 의해 달성되는 바,
상기 접속 차단 기능은, 상기 제1 네트워크 노드의 어드레스 및 상기 제2 네트워크 노드의 어드레스와 관련된 링크를 통해, 상기 제1 네트워크와 제2 네트워크 노드중 보호되는 하나의 노드에 대한 상기 제1 네트워크 노드와 제2 네트워크 노드중 나머지 하나의 노드로부터의 접속을 허용함으로써, 상기 제1 네트워크 노드와 상기 제2 네트워크 노드중 하나를 보호하도록 구성되고,
상기 제2 네트워크 노드는 자신의 어드레스를 변경하도록 구성되고,
상기 접속 차단 기능은 상기 제2 네트워크 노드가 자신의 어드레스를 변경할 때, 상기 제2 네트워크 노드의 이전 어드레스와 관련된 링크를 상기 제2 네트워크 노드의 새로운 어드레스에 관련시키도록 구성된다.
또한, 상기 목적은 접속 차단 장치에 의해 해결되는 바, 이 접속 차단 장치는:
제1 네트워크 노드의 어드레스 및 제2 네트워크 노드의 어드레스와 관련된 링크를 통해, 상기 제1 네트워크 노드와 상기 제2 네트워크 노드중 보호되는 하나의 노드에 대한 나머지 노드로부터의 접속을 허용함으로써, 상기 제1 네트워크와 상기 제2 네트워크중 하나를 보호하고;
상기 제2 네트워크 노드가 자신의 어드레스를 변경할 때, 상기 제2 네트워크 노드의 이전 어드레스와 관련된 링크를 상기 제2 네트워크 노드의 새로운 어드레스에 관련시킨다.
따라서, 본 발명에 따르면, 이전의 어드레스(예를 들어, 이전 CoA)에 연결되었던 제1 네트워크 노드(예를 들어, 대응 노드)와 제2 네트워크 노드(예를 들어, 이동 노드) 사이의 기존 링크(예를 들어, 핀홀)는 제2 네트워크 노드의 새로운 어드레스로 연결된다.
제1 및 제2 네트워크 노드 중 하나가 보호될 수 있다는 점을 유의해야 한다.
다시 말하면, 본 발명에 따르면 새로운 어드레스(새로운 CoA)는 이전 어드레스의 핀홀을 승계한다.
따라서, 새로운 셋업이 필요하지 않으며, 두 노드 사이의 트래픽은 부드럽게 지속될 수 있다.
제2 네트워크 노드의 어드레스 변경은 제2 네트워크 노드로부터 제1 네트워크 노드로의 바인딩 갱신(BU) 메시지를 검출하여 검출될 수 있으며, 상기 바인딩 갱신 메시지는 제2 네트워크 노드의 새로운 주소를 포함한다.
제2 네트워크 노드의 새로운 주소는 이를 사용하지 않고 접속 차단 기능에 의해 저장될 수 있다. 이후, 제2 네트워크 노드의 새로운 어드레스가 유효한지 검사할 수 있으며, 제2 네트워크 노드의 새로운 어드레스가 유효한 경우 상기 제2 네트워크 노드의 이전 어드레스와 관련된 링크는 상기 제2 네트워크 노드의 새로운 어드레스로 연결될 수 있다.
제2 네트워크 노드의 새로운 어드레스가 유효한지 검사하는 동안, 상기 제2 네트워크 노드의 새로운 어드레스를 포함하는 바인딩 갱신 메시지에 응답하여 상기 제1 네트워크 노드로부터 상기 제2 네트워크 노드로 전송된 바인딩 통지(BA: Binding Acknowledge) 메시지를 대기할 수 있다. 이후, 상기 바인딩 확인 메시지가 수신되는 경우, 상기 제2 네트워크 노드의 새로운 어드레스는 유효한 것으로 해석될 수 있다. 따라서, 새로운 어드레스의 유효성 검사(즉, 새로운 어드레스의 확인)는 BA 메시지를 기다림으로써 수행될 수 있다.
상기 제2 네트워크 노드가 상기 바인딩 확인 메시지를 요구하는 경우, 상기 바인딩 확인 메시지는 상기 접속 차단 기능으로부터 상기 제2 네트워크 노드로 전송될 수 있다. 그렇지 않고, 상기 제2 네트워크 노드가 상기 바인딩 확인 메시지를 요구하지 않는 경우, 상기 바인딩 확인 메시지는 상기 접속 차단 기능에 의해 버려질 수 있다.
상기 새로운 어드레스가 유효한지 검사하는 동안, 상기 제2 네트워크 노드의 새로운 어드레스에 예정된 트래픽을 대기할 수 있다. 이후, 상기 제2 네트워크 노드의 새로운 어드레스에 예정된 트래픽이 검출되는 경우, 상기 제2 네트워크 노드의 새로운 어드레스는 유효한 것으로 해석될 수 있다.
또한, 상기 제2 네트워크 노드의 새로운 어드레스가 유효한 것으로 판단될 때 까지, 상기 제1 및 제2 네트워크 노드 사이에 전송되는 트래픽은 차단될 수 있다.
이러한 차단 동안에, 상기 차단된 트래픽의 패킷은 저장되고, 상기 네트워크 노드의 새로운 어드레스가 유효한 것으로 검사된 이후 제1 네트워크 노드로 전송된다.
또한, 상기 바인딩 갱신 메시지는 식별자를 포함할 수 있다. 이후, 상기 식별자가 예측되는 식별자와 매칭되지 않는 경우 상기 바인딩 갱신 메시지는 차단될 수 있다.
상기 식별자는 바인딩 갱신 메시지가 상기 제2 네트워크 노드로부터 상기 제1 네트워크 노드로 전송될 때마다 증가하는 상기 바인딩 갱신 메시지의 일련번호를 포함할 수 있다. 상기 예측된 식별자는 이전 바인딩 갱신 메시지의 상응하는 일련번호일 수 있다.
또한, 다른 종류의 식별자도 가능하며, 예를 들어 복귀 라우팅가능성(RR: Return Routability) 테스트에 사용되는 보호(Care-of) 테스트 INIT (CoTI) 메시지에 포함된 보호 INIT 쿠키가 사용될 수 있다.
바인딩 갱신 메시지는 바인딩의 수명을 제한하는 타이머를 더 포함할 수 있다. 이후, 제2 네트워크 노드의 새로운 주소는 바인딩의 수명이 종료할 때 버려질 수 있다.
또한, 제1, 2 네트워크 노드 사이의 메시지는 일정한 메시지 포맷을 충족시킬 필요가 있다. 메시지(예를 들어, 바인딩 갱신(BU) 메시지)는 필요한 메시지 포맷을 충족하지 못하는 경우 버려질 수 있다.
접근차단 기능은 방화벽일 수 있다.
본 발명은 첨부된 도면을 참조하여 설명될 것이며, 도면에서:
도 1은 본 발명의 실시예에 따라 사용되는 네트워크 설계를 도시하고;
도 2는 본 발명의 제1 실시예에 따른 MIP 핸드오버 내에서의 메시지 흐름을 도시하고; 그리고
도 3은 방화벽을 도시하는 단순화된 블록도이다.
다음은 본 발명의 바람직한 실시예가 설명된다.
본 발명의 실시예에서, 대응 노드(CN: Correspondent Node)는 방화벽(FW: Firewall)에 의해 보호되고, 새로운 CoA(Care-of Address)로 이동된 이동 노드(MN: Mobile Node)로부터 MIP(Mobile Internet Protocol) 바인딩 갱신(BU: Binding Update)을 수신하는 경우를 설명한다. 전형적인 방식에서, CN은 서버이고, MN은 클라이언트 소프트웨어를 작동하는 랩탑 컴퓨터 또는 통신기이다.
다음은 본 발명의 실시예를 간략히 요약한다.
FW는 몇몇 상태의 입력 BU를 다룬다.
FW는 CN에 대한 BU를 검출하고, 이를 사용하지 않고('보류 상태로') 제안된 CoA를 임시로 저장한다.
FW는 패킷을 CN으로 전송한다. CN은 일상적인 유효성 검사를 수행하고 새로운 CoA를 이용하여 바인딩 응답(BA: Binding Acknowledge)으로 MN에 응답한다.
FW는 BA를 검출하고, 이를 새로운 CoA에 대한 확인으로 해석한다. 새로운 CoA는 이전의 CoA와 이미 관련된 핀홀을 승계한다.
FW는 MN이 BU에서 요청했는지 여부에 따라서 BA를 누락시키거나 전송시킨다.
적절한 시간동안 접수할 응답이 없으면, FW는 이전의 CoA를 유지하고 보류중인 새로운 CoA를 거부한다.
다음으로, 실시예는 도 1 및 도 2를 참조하여 보다 상세하게 설명될 것이다.
도 1은 본 발명의 바람직한 실시예에 따른 방화벽(FW, 도면부호 13으로 지시됨)의 위치 및 네트워크 설계를 도시한다. FW(13)와 CN(또는, 서버 클러스터가 동일한 FW로 보호되는 경우, 다수의 CN)은 동일한 보안 도메인에 있기 때문에, 그 사이에는 "적"(14)(CN을 공격할 가능성이 있는 개체)이 없다. FW(13)는 HA(12)(Home Agent)를 보호할 필요가 없음을 유의해야 한다. 도 1에서도, MN(11)의 어드레스 변경은 MN의 이동으로 나타난다(이전 연결상태는 점선으로 나타나고, 새로운 연결상태는 실선으로 나타남).
도 2는 MIP 핸드오버 내에서의 메시지를 보여준다. FW(13)는 다른 구성요소에는 보여지지 않는다는 점을 유의해야 한다. 그러므로, FW(13)는 점선으로 보여진다. 도면을 단순화하기 위해서, 본 실시예에 따른 공정을 설명하는데 필요한 메시지만이 도시되었다.
핸드오버는 MN(11)으로부터 그것의 HA(12)로 전송되는 BU 메시지로 시작한다.
BU를 위한 준비로서, MIP는 "복귀 라우팅가능성(Return Routability)" 테스트를 수행한다. FW(13)는 누락할 만한 다른 이유가 없으면(예를 들어, 내용이 잘못 구성되거나 금지된 어드레스 범위), 해당하는 패킷을 CN으로 전송할 것이다. 입력 테스트 메시지는 CN에 위험하지 않으며, 출력 반응은 다른 단부에서 걸러질 것이다.
다음은, 복귀 라우팅가능성(RR: Return Routability) 테스트와 특히 관련된 메시지가 다소 상세하게 설명될 것이다.
간략히, 복귀 라우팅가능성 공정은 이동 노드가 홈 어드레스에서 뿐 아니라 요구되는 보호주소(CoA)에서 어드레싱 가능한지 확신할 수 있는 테스트이다. 이 테스트는 두 개의 요구되는 어드레스에 어드레싱된 패킷이 이동 노드로 라우팅되는지를 검사함으로써 수행된다.
특히, 소위 HoTI(Home Test Init) 메시지와 CoTI(Care-of Test Init)는 동시에 MN에서 CN으로 전송된다. HoTI 메시지는 HA(Home Agent)를 경유하여 전송되는 반면, CoTI 메시지는 직접 CN으로 전송된다(즉, HA를 수반하지 않고)는 점을 유의해야 한다. 테스트가 성공적인 경우, CN은 HA를 경유하여 전송된 HoT(Home Test) 메시지와 MN으로 전송된 CoT(Care-of Test) 메시지에 응답한다. 복귀 라우팅가능성 테스트를 형성하는 이 메시지들은 또한 도 2에 도시되어 있다.
HoTI 메시지는 자신의 소스 어드레스로서 MN의 홈 어드레스를 포함하고 자신의 목적지 어드레스로서 CN 어드레스를 포함한다. 파라미터로서, 홈 INIT 쿠키가 난수로 포함된다. 이 홈 INIT 쿠키는 이후 CN에 의해 복귀되고 MN을 위한 몇몇 보증을 하는 역할을 한다.
CoTI 메시지는 유사하지만, 다만 소스 어드레스가 이동 노드의 보호주소이고, 파라미터가 상술한 홈 INIT 쿠키와 유사한 관심 INIT 쿠키이다.
HoTI 메시지에 응답하여 전송된 HoT 메시지는 자신의 소스 어드레스로서 CN 어드레스를 포함하고, 자신의 목적지 어드레스로서 MN 홈 어드레스를 포함한다. 파라미터로서, 홈 INIT 쿠키와 추가적인 파라미터(예를 들어, 상술한 문서에서 상세히 설명된, 홈 키 생성 토큰 및 홈 넌스 인덱스(home nonce index)는 향상된 보안 을 허용한다.
CoTI 메시지에 대한 응답으로 전송된 CoT 메시지는 HoT 메시지와 유사하다. 다시 말하면, CoT 메시지는 자신의 소스 어드레스로 CN 메시지를 포함하고, 자신의 목적지 어드레스로 MN 보호주소 및 보호 INIT 쿠키와 같은 몇몇 파라미터 및 보호 키 생성 토큰 및 보호 넌스 인덱스와 같은 추가적인 파라미터를 포함한다.
또한, 상술한 모든 메시지(즉, HoTI, CoTI, HoT 및 CoT)의 헤더는 (다른 아이템 중에서) 이동성 헤더(MH: Mobility Header) 형태를 포함한다. MH 형태는 8비트 선택자이고 특정한 해당 이동성 메시지를 식별한다. 예를 들어, CN을 위해 적절한 값은 1, 2 또는 5이다. CN이 스스로 이동성이 있어야 하는 경우, 0, 3 또는 4를 수신할 필요가 있다.
상술한 RR 메시지에 대하여, HoTI 메시지는 MH 형태값 1을 사용하고, CoTI 메시지는 MH 형태값 2를 사용한다. 반면, HoT 메시지는 MH 형태값 3을 사용하고, CoT 메시지는 MH 형태값 4를 사용한다.
앞서 설명된 것처럼, FW는 RR 테스트를 위해 필요한 메시지를 전송할 필요가 있다. 다시 말하면, MH 형태가 적절하면, 이동성 헤더를 갖는 패킷이 전송된다. 또한, FW가 자신의 HA를 갖는 네트워크를 보호한다면, HA로 전송된 몇몇 다른 형태를 또한 받아들여야 한다.
그러므로, 이러한 방식으로 RR 테스트는 방화벽을 통해서도 수행될 수 있다.
본 실시예의 변형에 따르면, 방화벽은 또한 RR 테스트 동안에 전송된 메시지의 유효성을 검사할 수 있다. 다시 말하면, 방화벽은 CoTI로부터 보호 INIT 쿠키를 추출하여 이를 CN의 CoT 메시지에 포함된 보호 INIT 쿠키와 비교한다. 두 쿠키가 서로 매칭되지 않으면, FW는 CoT 메시지를 누락시킬 수 있다.
CN은 복귀 라우팅가능성 테스트를 통과한 노드로부터만 BU를 수락할 것이다. CN은 이후 FW가 검출하고 CoA의 확인으로 다룰 수 있는 MN에 BA를 전송한다. 이 메시지는 실패한 BU에 에러 보고로서도 전송할 수 있기 때문에 분석되어야 한다. 에러는 FW가 보류중인 CoA를 거절하게 할 것이다. MN이 BU 내의 BA를 요구하지 않으면, FW는 CoA를 확인한 후 그것을 누락시킬 것이다.
그러나, 표준에 따르면, CN은 MN이 명백하게 요구하지 않는 한 BA를 전송할 필요가 없다. 이 경우, FW는 보류중인 CoA로 전송될 몇몇 다른 패킷을 기다려야 한다. 대기 시간은 구성 파라미터이어야 한다.
다시 말하면, 매우 빨리 트래픽이 있을 것이며 MN은 BU를 보내지 않을 것이라고 가정할 수 있다. 이는 "핀홀 납치" 공격에 대한 가능성을 열어 놓으며: 공격자는 다른 이유로 CN이 통신하는 노드의 CoA를 갖는 위조 BU를 전송한다. 이 경우, "새로운" CoA에 트래픽이 보이기 때문에, FW는 잘못된 CoA를 확인한 것으로 받아들이고, MN의 핀홀을 그에 연결시킨다.
새로운 CoA에 대한 응답이 BA가 되도록 요구하면 이 공격을 방지할 수 있다. CN은 "핀홀 납치" 공격에 우롱 당하지 않지만(위조 BU는 보안 검사에 실패한다), FW는 이를 전혀 인식하지 못한다. 전형석인 시나리오에서 MN이 세션을 새롭게 하고 요구되는 핀홀을 다시 개방하기 때문에 손상은 사소한 곤란으로 제한된다. TCP와 같은 프로토콜은 이를 자동으로 수행한다.
그럼에도 불구하고, 제1 실시예의 바람직한 변형에 따르면, CN이 도 2에 도시된 것처럼 BA를 전송하는 것은 강제적이어야 한다. MN은 BU에서 BA를 명백히 요청한 경우, FW는 BA를 MN에 전송한다(도 2에서 점선 화살표로 도시됨). 그렇지 않으면, BA는 누락되어서 BA는 단지 FW가 정확한 CoA를 확인하는 데에만 사용될 수 있다.
새로운 CoA로부터 도착하는 패킷은 새로운 CoA가 확인될 때까지 FW에 의해서 멈추게 될 것이다. 원활한 서비스를 위해서, 패킷은 이들을 즉시 누락시키는 대신 임시로 저장되어야 한다. 패킷은 이후 CoA가 확인될 때 전송될 수 있다. 그러나, 이는 범람(flooding)에 의해 DoS(Denial of Service)에 대한 FW 취약성을 증가시키며, 구성 옵션이 되어야 한다. '보류'에서 '확인'으로의 변화를 촉진시키는 것은 CN이 각 BU를 위한 BA를 전송하는 다른 이유이다.
본 실시예의 변형에 따르면, "핀홀 습격" 공격(공격자는 CN이 다른 이유로 통신하는 노드의 CoA를 갖는 위조 BU를 전송한다)에 대항하는 또 다른 대책이 가능하다. 상세하게는, 본 변형에 따르면, FW는 CoTI에 의해 진행되지 않은 모든 BU를 누락시키도록 설계된다.
다시 말하면, CoTI 메시지의 각 전송은 BU를 수신하자마자 CoTI 메시지가 두 개의 관련 네트워크 노드 사이에 전송되었는지 검사할 수 있도록 저장될 수 있다. FW에 저장된 CoTI 메시지가 없다면(또는 CoTI 메시지의 전송이 없다면), BU는 누락된다.
본 발명에 따른 실시예와 변형예는 기존의 FW에 간단히 추가하여 구현될 수 있다.
상술한 실시예의 또 다른 바람직한 변형으로서, FW는 보안을 증가시키기 위해서 메시지를 읽음으로써 검사될 수 있는 이러한 MIP 내역도 검사하여야 한다.
예:
MIP 표준에서, 필요한 메시지 포맷이 정해진다. 이러한 방식으로, 유효하지 않은 패킷은 FW에 의해 인식되어 FW는 필요한 메시지 포맷을 충족하지 못하는 패킷을 누락시킬 수 있다. FW는 대부분의 패킷을 테스트하여 CN으로부터의 검사 부하를 줄일 수 있다.
상술한 필요한 메시지 포맷은 다음과 같은 규칙을 포함한다:
패킷의 검사 합계를 검증해야 한다. 검사 합계는 이동성 헤더(MH: Mobility Header) 내의 필드이고 MH의 검사 합계를 포함한다.
또한, MH는 상술한 MH 필드를 포함하고, MH 형태 필드는 알려진 값을 가져야 한다.
MH는 또한 8비트 선택자인 페이로드 프로토 필드를 포함하고 이동성 필드를 바로 뒤따르는 헤더의 형태를 식별한다. 페이로드 프로토 필드는 MH를 위해 정의된 기설정 값인 IPPROTO_NONE(59 데시멀)이어야 한다.
이동성 헤드의 헤더 LEN 필드는 이러한 특정 형태의 메시지에 지정된 길이보다 작아야 한다.
FM이 메시지를 읽음으로써 검사할 수 있는 추가의 MIP 내역은 다음을 포함할 수 있다:
BU는 일련번호를 포함한다. FW는 CN에 도달하기 전에 순서를 벗어나는 BU를 누락시켜야 한다. 즉, 각각의 새로운 BU에 대해서, 일련번호는 증가되어, FW는 이전의 BU를 참조하여 새로운 BU를 위한 일련번호를 예측할 수 있다. 따라서, 예측된 일련번호가 실제 일련번호와 일치하지 않는다면, BU는 버려진다.
다른 대안으로서, BU는 FW에 알려진 다른 종류의 식별자를 포함할 수 있다. BU의 검출된 식별자가 예측된 식별자와 일치하지 않는다면, BU는 버려진다. 식별자는 상술한 일련번호와 유사하게 FW에 알려진 방식으로 변경될 수 있다.
예를 들어, 상술한 식별자로서, 보호 INIT 쿠키가 또한 사용될 수 있다. 이는 MN이 BU 내에 보호 INIT 쿠키를 또한 포함하고, FW가 RR 테스트 동안에 보호 INIT 쿠키를 저장할 것을 요구한다. 따라서, 바람직하게는 이 메시지는 CoTI 및 COT 메시지의 보호 INIT 쿠키가 RR 테스트동안 어느 것과 비교되는지에 따라서 상술한 실시예의 변형과 비교될 수 있다.
BU는 바인딩의 수명을 제한하는 타이머를 포함한다. FW는 이 타이머를 검사하여 바인딩이 종료하기 전에 CoA를 버려야 한다. 이는 또한 FW 메모리를 넘어선 이전의 핀홀을 쏟아낼 것이다.
바람직한 실시예 및 변형에 대하여 상술한 본 발명은 다음의 장점을 갖는다:
본 발명은 기존의 프로토콜, MN, CN 또는 HA에 대한 변화없이 동작한다. 따라서, 본 발명은 기존의 구성요소에 추가하여 쉽게 구현될 수 있다.
FW는 진실한 관계 또는 키 관리에 참여하지 않는다.
FW는 암호 계산을 수행하지 않는다.
상술한 설명과 첨부된 도면은 본 발명을 예시적으로 설명한다. 따라서 본 실시예 및 그 변형은 첨부된 청구항의 범위 내에서 변경될 수 있다.
예를 들어, 본 발명은 방화벽에 한정되지 않고, 유사한 기능을 수행하는 어떤 종류의 접속 차단 기능에도 적용될 수 있다.
또한, 본 발명은 MIP에 한정되지 않고 접속에 사용된 노드중 하나가 자신의 어드레스를 변경할 수 있는 임의의 이송 프로토콜에 적용될 수 있다.
또한, 상술한 실시예에서, 보호된 노드, 즉 CN은 고정된 어드레스를 갖는다. 그러나, CN은 또한 이동 노드를 가짐으로써 자신의 어드레스를 변경할 수 있다. 즉, 예를 들어, 보호된 노드는 자신의 어드레스를 변경할 수 있는 반면 다른 노드는 고정된 어드레스를 사용할 수 있다.
또한, 접속 차단 기능은 다수의 네트워크 노드, 즉 대응 노드(CNs)의 클러스터를 보호할 수 있다.
접속 차단 기능(예를 들어, 방화벽)은 소프트웨어로 구현될 수 있다. 이는 예를 들어 CN에서 작동하는 소프트웨어일 수 있고, 또는 다른 네트워크 구성요소(기지국 등)의 일부일 수 있다. 대안적으로, 접속 차단 기능은 예를 들어 고립형 네트워크 구성요소인 하드웨어로 구현될 수 있다.
도 3에 도시된 것처럼, 접속 차단 기능 또는 장치는 처리 수단(1) 및 두 개의 인터페이스(2, 3)를 포함할 수 있다. 각각의 인터페이스는 네트워크 구성요소(예를 들어, 상술한 예에서 MN 및 CN)에 연결을 설정한다. 처리 수단(1)은 본 발명에 따른 공정을 수행하도록 설계된다. 즉, 처리 수단(1)은 두 개의 네트워크 사이의 접속(또한 방향성)이 허용되는지 아닌지를 제어한다.
인터페이스(2, 3)는 논리적 인터페이스이다. 즉, 다수의 물리적 인터페이스는 논리적 인터페이스의 개수를 맞출 필요는 없다. 논리적 인터페이스는 물리적 인터페이스 상에서 매핑된다.
즉, 접속 차단 기능(방화벽)의 인터페이스(논리적 및 물리적 인터페이스)의 개수는 두 개의 인터페이스로 제한되지는 않는다. 예를 들어, 이러한 인터페이스를 포함하는 방화벽은 별개의 인터넷, 엑스트라넷 및 인터넷이 가능하다. 또한, 더 많은 인터페이스도 가능하다.
반면, 단 하나의 인터페이스만 갖는 방화벽도 가능하다. 이 방화벽은 모든 경계내 또는 경계외 패킷을 목표와는 무관하게 FW(예를 들어, NAT(Network Address Translator), VPN(Virtual Private Network) 및 바이러스 스캐너)에 전송하는 스위치에 연결되고, 방화벽으로부터 온 모든 패킷을 목표지 어드레스로 전송한다. 이 경우, 외부 세계를 다루는 각 패킷은 스위치를 통해서 두 번 지나가고 경로 사이의 방화벽 내에서 다루어진다.
또한, 상기 실시예와 변형은 임의로 결합될 수 있다. 즉, 다른 종류의 보호 메커니즘이 보안을 강화하기 위해 결합될 수 있다.

Claims (46)

  1. 접속 차단 기능에 의해 네트워크 노드를 보호하는 방법으로서, 여기서 상기 접속 차단 기능은 제1 네트워크 노드 또는 제2 네트워크 노드를 보호하고, 상기 제1 네트워크 노드의 어드레스 및 상기 제2 네트워크 노드의 어드레스와 관련된 링크를 통해서, 상기 제1 네트워크 노드와 제2 네트워크 노드중 보호되는 노드에 대한 나머지 네트워크 노드로부터의 접속을 허용하고, 상기 제2 네트워크 노드는 자신의 어드레스를 변경하도록 구성되고,
    상기 제2 네트워크 노드가 자신의 어드레스를 변경할 때, 제2 네트워크 노드의 이전 어드레스와 관련된 링크를 상기 제2 네트워크 노드의 새로운 어드레스에 관련시키는 것을 포함하는 네트워크 노드 보호 방법에 있어서,
    상기 제2 네트워크 노드로부터 상기 제1 네트워크 노드로의 바인딩 갱신 메시지를 검출함으로써 상기 제2 네트워크 노드의 어드레스 변경을 검출하는 것을 더 포함하고, 상기 바인딩 갱신 메시지는 상기 제2 네트워크 노드의 새로운 어드레스를 포함하는 것을 특징으로 하는 네트워크 노드 보호 방법.
  2. 제 1 항에 있어서,
    상기 새로운 어드레스를 사용하지 않으면서, 상기 접속 차단 기능에 상기 제2 네트워크 노드의 새로운 어드레스를 저장하고;
    상기 제2 네트워크 노드의 새로운 어드레스가 유효한 지의 여부를 검사하며; 그리고
    상기 제2 네트워크 노드의 새로운 어드레스가 유효한 경우, 상기 제2 네트워크 노드의 이전 어드레스와 관련된 링크를 상기 제2 네트워크 노드의 새로운 어드레스에 관련시키는 것을 더 포함하는 것을 특징으로 하는 네트워크 노드 보호 방법.
  3. 제 2 항에 있어서, 상기 제2 네트워크 노드의 새로운 어드레스가 유효한 지의 여부를 검사하는 것에는,
    상기 제2 네트워크 노드의 새로운 어드레스를 포함하는 바인딩 갱신 메시지에 응답하여 상기 제1 네트워크 노드로부터 상기 제2 네트워크 노드로 전송되는 바인딩 확인 메시지를 대기하고; 그리고
    상기 바인딩 확인 메시지가 수신되는 경우, 상기 제2 네트워크 노드의 새로운 어드레스를 유효한 것으로 해석하는 것이 포함되는 것을 특징으로 하는 네트워크 노드 보호 방법.
  4. 제 3 항에 있어서,
    상기 제2 네트워크 노드가 상기 바인딩 확인 메시지를 요구하는 경우, 상기 접속 차단 기능으로부터 상기 제2 네트워크 노드에 상기 바인딩 확인 메시지를 전송하는 것을 더 포함하는 것을 특징으로 하는 네트워크 노드 보호 방법.
  5. 제 3 항에 있어서,
    상기 제2 네트워크 노드가 상기 바인딩 확인 메시지를 요구하지 않는 경우, 상기 접속 차단 기능에 의해 상기 바인딩 확인 메시지를 버리는 것을 더 포함하는 것을 특징으로 하는 네트워크 노드 보호 방법.
  6. 제 2 항에 있어서, 상기 제2 네트워크 노드의 새로운 어드레스가 유효한 지의 여부를 검사하는 것에는,
    상기 제2 네트워크 노드의 새로운 어드레스에 예정된 트래픽을 대기하고; 그리고
    상기 제2 네트워크 노드의 새로운 어드레스에 예정된 트래픽이 검출되는 경우, 상기 제2 네트워크 노드의 새로운 어드레스를 유효한 것으로 해석하는 것이 포함되는 것을 특징으로 하는 네트워크 노드 보호 방법.
  7. 제 2 항에 있어서,
    상기 제2 네트워크 노드의 새로운 어드레스가 유효한 것으로 판단될 때 까지, 상기 제1 네트워크 노드와 제2 네트워크 노드 사이에 전송되는 트래픽을 차단하는 것을 더 포함하는 것을 특징으로 하는 네트워크 노드 보호 방법.
  8. 제 7 항에 있어서,
    상기 제1 네트워크 노드와 제2 네트워크 노드 사이에 전송되는 트래픽을 차단하는 것에는, 상기 제2 네트워크 노드의 새로운 어드레스가 유효한 것으로 판단된 이후, 상기 차단된 트래픽의 패킷을 저장한 다음 이를 상기 제1 네트워크 노드에 전송하는 것이 포함되는 것을 특징으로 하는 네트워크 노드 보호 방법.
  9. 제 1 항에 있어서,
    상기 바인딩 갱신 메시지는 식별자를 포함하고, 상기 식별자가 예측되는 식별자와 매칭되지 않는 경우 상기 바인딩 갱신 메시지를 차단하는 단계를 더 포함하는 것을 특징으로 하는 네트워크 노드 보호 방법.
  10. 제 9 항에 있어서,
    상기 식별자는 바인딩 갱신 메시지가 상기 제2 네트워크 노드로부터 상기 제1 네트워크 노드에 전송될 때마다 증가하는 상기 바인딩 갱신 메시지의 일련번호를 포함하고, 상기 예측되는 식별자는 이전 바인딩 갱신 메시지의 상응하는 일련번호를 포함하는 것을 특징으로 하는 네트워크 노드 보호 방법.
  11. 제 1 항에 있어서,
    바인딩 수명이 만료될 때 상기 제2 네트워크 노드의 새로운 어드레스를 버리는 것을 더 포함하고, 상기 바인딩 갱신 메시지는 상기 바인딩 수명을 제한하는 타이머를 포함하는 것을 특징으로 하는 네트워크 노드 보호 방법.
  12. 제 1 항에 있어서,
    상기 메시지가 요구되는 메시지 포맷을 충족하지 못하는 경우, 상기 메시지를 것을 더 포함하는 것을 특징으로 하는 네트워크 노드 보호 방법.
  13. 제 12 항에 있어서,
    상기 메시지를 버리는 것에는, 바인딩 갱신 메시지를 포함하는 메시지를 버리는 것이 포함되는 것을 특징으로 하는 네트워크 노드 보호 방법.
  14. 제 1 항에 있어서,
    상기 접속 차단 기능은 방화벽을 포함하는 것을 특징으로 하는 네트워크 노드 보호 방법.
  15. 접속 차단 기능 및 적어도 제1, 2 네트워크 노드를 포함하는 네트워크 시스템으로서,
    상기 접속 차단 기능은, 상기 제1 네트워크 노드의 어드레스 및 상기 제2 네트워크 노드의 어드레스와 관련된 링크를 통해, 상기 제1 네트워크 노드와 제2 네트워크 노드중 보호되는 하나의 노드에 대한 상기 제1 네트워크 노드와 제2 네트워크 노드중 나머지 하나의 노드로부터의 접속을 허용함으로써, 상기 제1 네트워크 노드와 상기 제2 네트워크 노드중 하나를 보호하도록 구성되고,
    상기 제2 네트워크 노드는 자신의 어드레스를 변경하도록 구성되고,
    상기 접속 차단 기능은 상기 제2 네트워크 노드가 자신의 어드레스를 변경할 때, 상기 제2 네트워크 노드의 이전 어드레스와 관련된 링크를 상기 제2 네트워크 노드의 새로운 어드레스에 관련시키도록 구성되는 네트워크 시스템에 있어서,
    상기 접속 차단 기능은 상기 제2 네트워크 노드로부터 상기 제1 네트워크 노드로의 바인딩 갱신 메시지를 검출함으로써 상기 제2 네트워크 노드의 어드레스 변경을 검출하도록 구성되고, 상기 바인딩 갱신 메시지는 상기 제2 네트워크 노드의 새로운 어드레스를 포함하는 것을 특징으로 하는 네트워크 시스템.
  16. 제 15 항에 있어서,
    상기 접속 차단 기능은 상기 제2 네트워크 노드의 새로운 어드레스를 사용하지 않으면서 상기 접속 차단 기능에 상기 제2 네트워크 노드의 새로운 어드레스를 저장하고, 상기 제2 네트워크 노드의 새로운 어드레스가 유효한 지의 여부를 검사하고, 상기 제2 네트워크 노드의 새로운 어드레스가 유효한 경우, 상기 제2 네트워크 노드의 이전 어드레스와 관련된 링크를 상기 제2 네트워크 노드의 새로운 어드레스에 관련시키는 것을 특징으로 하는 네트워크 시스템.
  17. 제 16 항에 있어서,
    상기 접속 차단 기능은 상기 제2 네트워크 노드의 새로운 어드레스를 확인하는 동안, 상기 제2 네트워크 노드의 새로운 어드레스를 포함하는 바인딩 갱신 메시지에 응답하여 상기 제1 네트워크 노드로부터 상기 제2 네트워크 노드에 전송되는 바인딩 확인 메시지를 대기하고, 상기 바인딩 확인 메시지가 수신되는 경우, 상기 제2 네트워크 노드의 새로운 어드레스를 유효한 것으로 해석하는 것을 특징으로 하는 네트워크 시스템.
  18. 제 17 항에 있어서,
    상기 접속 차단 기능은 상기 제2 네트워크 노드가 상기 바인딩 확인 메시지를 요구하는 경우, 상기 제2 네트워크 노드에 상기 바인딩 확인 메시지를 전송하는 것을 특징으로 하는 네트워크 시스템.
  19. 제 17 항에 있어서,
    상기 접속 차단 기능은 상기 제2 네트워크 노드가 상기 바인딩 확인 메시지를 요구하지 않는 경우, 상기 바인딩 확인 메시지를 버리는 것을 특징으로 하는 네트워크 시스템.
  20. 제 16 항에 있어서,
    상기 접속 차단 기능은 상기 제2 네트워크 노드의 새로운 어드레스가 유효한 지의 여부를 검사하는 동안, 상기 제2 네트워크 노드의 새로운 어드레스에 예정된 트래픽을 대기하고, 상기 제2 네트워크 노드의 새로운 어드레스에 예정된 트래픽이 검출되는 경우, 상기 제2 네트워크 노드의 새로운 어드레스를 유효한 것으로 해석하는 것을 특징으로 하는 네트워크 시스템.
  21. 제 16 항에 있어서,
    상기 접속 차단 기능은, 상기 제2 네트워크 노드의 새로운 어드레스가 유효한 것으로 판단될 때까지, 상기 제1 네트워크 노드와 제2 네트워크 노드 사이에 전송되는 트래픽을 차단하는 것을 특징으로 하는 네트워크 시스템.
  22. 제 21 항에 있어서,
    상기 접속 차단 기능은, 트래픽이 차단될 때, 상기 차단된 트래픽의 패킷을 저장하고, 상기 제 2 네트워크 노드의 새로운 어드레스가 유효한 것으로 판단된 이후, 상기 저장된 패킷을 상기 제1 네트워크 노드에 전송하는 것을 특징으로 하는 네트워크 시스템.
  23. 제 15 항에 있어서,
    상기 바인딩 갱신 메시지는 식별자를 포함하고, 상기 접속 차단 기능은 상기 식별자가 예측되는 식별자와 매칭되지 않는 경우 상기 바인딩 갱신 메시지를 차단하는 것을 특징으로 하는 네트워크 시스템.
  24. 제 23 항에 있어서,
    상기 식별자는 상기 바인딩 갱신 메시지가 상기 제2 네트워크 노드로부터 상기 제1 네트워크 노드에 전송될 때마다 증가하는 상기 바인딩 갱신 메시지의 일련번호를 포함하고, 상기 예측되는 식별자는 이전 바인딩 갱신 메시지의 상응하는 일련번호를 포함하는 것을 특징으로 하는 네트워크 시스템.
  25. 제 15 항에 있어서,
    상기 바인딩 갱신 메시지는 바인딩 수명을 제한하는 타이머를 포함하고, 상기 접속 차단 기능은 상기 바인딩 수명이 만료될 때, 상기 제2 네트워크 노드의 새로운 어드레스를 버리는 것을 특징으로 하는 네트워크 시스템.
  26. 제 15 항에 있어서,
    상기 접속 차단 기능은 메시지가 요구되는 메시지 포맷을 충족하지 못하는 경우, 상기 제1 네트워크 노드와 상기 제2 네트워크 노드 간의 메시지를 버리는 것을 특징으로 하는 네트워크 시스템.
  27. 제 26 항에 있어서,
    상기 메시지는 바인딩 갱신 메시지를 포함하는 것을 특징으로 하는 네트워크 시스템.
  28. 제 15 항에 있어서,
    상기 접속 차단 기능은 방화벽을 포함하는 것을 특징으로 하는 네트워크 시스템.
  29. 제1 네트워크 노드의 어드레스 및 제2 네트워크 노드의 어드레스와 관련된 링크를 통해, 상기 제1 네트워크 노드와 상기 제2 네트워크 노드중 보호되는 하나의 노드에 대한 나머지 노드로부터의 접속을 허용함으로써, 상기 제1 네트워크 노드와 상기 제2 네트워크 노드중 하나를 보호하고;
    상기 제2 네트워크 노드가 자신의 어드레스를 변경할 때, 상기 제2 네트워크 노드의 이전 어드레스와 관련된 링크를 상기 제2 네트워크 노드의 새로운 어드레스에 관련시키는 접속 차단 장치에 있어서,
    상기 접속 차단 장치는 상기 제2 네트워크 노드로부터 상기 제1 네트워크 노드로의 바인딩 갱신 메시지를 검출함으로써 상기 제2 네트워크 노드의 어드레스 변경을 검출하고, 상기 바인딩 갱신 메시지는 상기 제2 네트워크 노드의 새로운 어드레스를 포함하는 것을 특징으로 하는 접속 차단 장치.
  30. 제 29 항에 있어서,
    상기 접속 차단 장치는 상기 새로운 어드레스를 사용하지 않으면서 상기 제2 네트워크 노드의 새로운 어드레스를 저장하고, 상기 제2 네트워크 노드의 새로운 어드레스가 유효한 지의 여부를 검사하고, 상기 제2 네트워크 노드의 새로운 어드레스가 유효한 경우, 상기 제2 네트워크 노드의 이전 어드레스와 관련된 링크를 상기 제2 네트워크 노드의 새로운 어드레스에 관련시키는 것을 특징으로 하는 접속 차단 장치.
  31. 제 30 항에 있어서,
    상기 접속 차단 장치는 상기 제2 네트워크 노드의 새로운 어드레스를 확인하는 동안, 상기 제2 네트워크 노드의 새로운 어드레스를 포함하는 바인딩 갱신 메시지에 응답하여 상기 제1 네트워크 노드로부터 상기 제2 네트워크 노드에 전송되는 바인딩 확인 메시지를 대기하고, 상기 바인딩 확인 메시지가 수신되는 경우, 상기 제2 네트워크 노드의 새로운 어드레스를 유효한 것으로 해석하는 것을 특징으로 하는 접속 차단 장치.
  32. 제 31 항에 있어서,
    상기 접속 차단 장치는, 상기 제2 네트워크 노드로부터 상기 바인딩 확인 메시지의 전송 요구가 수신되는 경우, 상기 바인딩 확인 메시지를 상기 제2 네트워크 노드에 전송하는 것을 특징으로 하는 접속 차단 장치.
  33. 제 31 항에 있어서,
    상기 접속 차단 장치는, 상기 제2 네트워크 노드로부터 상기 바인딩 확인 메시지를 전송하라는 요구가 수신되지 않은 경우, 상기 바인딩 확인 메시지를 버리는 것을 특징으로 하는 접속 차단 장치.
  34. 제 30 항에 있어서,
    상기 접속 차단 장치는 상기 제2 네트워크 노드의 새로운 어드레스가 유효한 지의 여부를 검사하는 동안, 상기 제2 네트워크 노드의 새로운 어드레스에 예정된 트래픽을 대기하고, 상기 제2 네트워크 노드의 새로운 어드레스에 예정된 트래픽이 검출되는 경우, 상기 제2 네트워크 노드의 새로운 어드레스를 유효한 것으로 해석하는 것을 특징으로 하는 접속 차단 장치.
  35. 제 30 항에 있어서,
    상기 접속 차단 장치는 상기 제2 네트워크 노드의 새로운 어드레스가 유효한 것으로 판단될 때 까지, 상기 제1 네트워크 노드와 제2 네트워크 노드 사이에 전송되는 트래픽을 차단하는 것을 특징으로 하는 접속 차단 장치.
  36. 제 35 항에 있어서,
    상기 접속 차단 장치는, 트래픽이 차단될 때, 상기 차단된 트래픽의 패킷을 저장하고, 상기 제 2 네트워크 노드의 새로운 어드레스가 유효한 것으로 판단된 이후, 상기 저장된 패킷을 상기 제1 네트워크 노드에 전송하는 것을 특징으로 하는 접속 차단 장치.
  37. 제 29 항에 있어서,
    상기 바인딩 갱신 메시지는 식별자를 포함하고, 상기 접속 차단 장치는 상기 식별자가 예측되는 식별자와 매칭되지 않는 경우 상기 바인딩 갱신 메시지를 차단하는 것을 특징으로 하는 접속 차단 장치.
  38. 제 37 항에 있어서,
    상기 식별자는 바인딩 갱신 메시지가 상기 제2 네트워크 노드로부터 상기 제1 네트워크 노드에 전송될 때마다 증가하는 상기 바인딩 갱신 메시지의 일련번호를 포함하고, 상기 예측되는 식별자는 이전 바인딩 갱신 메시지의 상응하는 일련번호를 포함하는 것을 특징으로 하는 접속 차단 장치.
  39. 제 29 항에 있어서,
    상기 바인딩 갱신 메시지는 바인딩 수명을 제한하는 타이머를 포함하고, 상기 접속 차단 장치는 상기 바인딩 수명이 만료될 때, 상기 제2 네트워크 노드의 새로운 어드레스를 버리는 것을 특징으로 하는 접속 차단 장치.
  40. 제 29 항에 있어서,
    상기 접속 차단 장치는, 메시지가 요구되는 메시지 포맷을 충족하지 못하는 경우, 상기 메시지를 버리는 것을 특징으로 하는 접속 차단 장치.
  41. 제 40 항에 있어서,
    상기 메시지는 바인딩 갱신 메시지를 포함하는 것을 특징으로 하는 접속 차단 장치.
  42. 제 29 항에 있어서,
    상기 접속 차단 장치는 방화벽을 포함하는 것을 특징으로 하는 접속 차단 장치.
  43. 제 29 항에 있어서,
    상기 제1 네트워크 노드에 대한 연결을 확립하기 위한 제1 인터페이스 수단;
    상기 제2 네트워크 노드에 대한 연결을 확립하기 위한 제2 인터페이스 수단; 및
    상기 제1 네트워크 노드와 상기 제2 네트워크 노드중 하나를 보호하고, 상기 두 네트워크 노드 간의 링크를 관련시키는 처리 수단을 더 포함하는 것을 특징으로 하는 접속 차단 장치.
  44. 삭제
  45. 삭제
  46. 삭제
KR1020067012185A 2003-12-22 2004-10-21 대응 노드 방화벽에서의 이동 인터넷 프로토콜 지원 KR100831088B1 (ko)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
EP03029552.1 2003-12-22
EP03029552 2003-12-22
US10/860,574 US7620979B2 (en) 2003-12-22 2004-06-04 Supporting mobile internet protocol in a correspondent node firewall
US10/860,574 2004-06-04

Publications (2)

Publication Number Publication Date
KR20060103925A KR20060103925A (ko) 2006-10-04
KR100831088B1 true KR100831088B1 (ko) 2008-05-21

Family

ID=34740650

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020067012185A KR100831088B1 (ko) 2003-12-22 2004-10-21 대응 노드 방화벽에서의 이동 인터넷 프로토콜 지원

Country Status (5)

Country Link
US (1) US7620979B2 (ko)
EP (1) EP1698140B1 (ko)
KR (1) KR100831088B1 (ko)
CN (1) CN101073236B (ko)
WO (1) WO2005064888A1 (ko)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070034542A (ko) * 2004-05-31 2007-03-28 마츠시타 덴끼 산교 가부시키가이샤 이동 단말 관리 장치 및 이동 단말 및 통신 시스템
US8036232B2 (en) * 2006-08-22 2011-10-11 Samsung Electronics Co., Ltd Apparatus and method for filtering packet in a network system using mobile IP
US20080107124A1 (en) * 2006-11-06 2008-05-08 Jordi Ros-Giralt System and method for supporting mobility and multipath packet delivery in ip communications and computer networks across nat and firewall boxes
US8171120B1 (en) * 2006-11-22 2012-05-01 Rockstar Bidco Lp Mobile IPv6 route optimization authorization
EP1947819A1 (en) * 2007-01-18 2008-07-23 Matsushita Electric Industrial Co., Ltd. Header reduction of data packets by route optimization procedure
US9516495B2 (en) * 2007-03-01 2016-12-06 Futurewei Technologies, Inc. Apparatus and methods of PMIPv6 route optimization protocol
EP1971101B1 (en) * 2007-03-12 2018-11-21 Nokia Solutions and Networks GmbH & Co. KG A method , a device for configuring at least one firewall and a system comprising such device
JPWO2008114496A1 (ja) * 2007-03-16 2010-07-01 パナソニック株式会社 パケット通信装置
EP2192799A4 (en) * 2007-09-19 2012-02-01 Panasonic Corp NETWORK NODES AND MOBILE TERMINAL
EP3001647B1 (de) * 2014-09-23 2017-11-01 Siemens Aktiengesellschaft Verfahren zum Aufbau einer gesicherten Kommunikationsverbindung, Kommunikationsgerät und Verbindungssteuerungseinheit
CN108347723B (zh) * 2017-01-25 2021-01-29 华为技术有限公司 一种切换方法和装置
US11258762B2 (en) 2019-06-26 2022-02-22 Blackberry Limited Method and system for updating of an application layer for a third-party telematics provider

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1176781A2 (en) * 2000-07-26 2002-01-30 Fujitsu Limited VPN system in mobile IP network, and method of setting VPN
US20020080752A1 (en) * 2000-12-22 2002-06-27 Fredrik Johansson Route optimization technique for mobile IP
WO2003065682A1 (en) * 2002-01-29 2003-08-07 Koninklijke Philips Electronics N.V. A method and system for connecting mobile client devices to the internet

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020147820A1 (en) * 2001-04-06 2002-10-10 Docomo Communications Laboratories Usa, Inc. Method for implementing IP security in mobile IP networks
US7756073B2 (en) 2002-09-20 2010-07-13 Franck Le Method for updating a routing entry
DE60305869T2 (de) 2003-03-27 2006-10-05 Motorola, Inc., Schaumburg Kommunikation zwischen einem privatem Netzwerk und einem mobilem Endgerät

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1176781A2 (en) * 2000-07-26 2002-01-30 Fujitsu Limited VPN system in mobile IP network, and method of setting VPN
US20020080752A1 (en) * 2000-12-22 2002-06-27 Fredrik Johansson Route optimization technique for mobile IP
WO2003065682A1 (en) * 2002-01-29 2003-08-07 Koninklijke Philips Electronics N.V. A method and system for connecting mobile client devices to the internet

Also Published As

Publication number Publication date
WO2005064888A1 (en) 2005-07-14
US7620979B2 (en) 2009-11-17
KR20060103925A (ko) 2006-10-04
CN101073236A (zh) 2007-11-14
EP1698140B1 (en) 2014-05-14
CN101073236B (zh) 2010-10-27
US20050135241A1 (en) 2005-06-23
EP1698140A1 (en) 2006-09-06

Similar Documents

Publication Publication Date Title
Johnson et al. Mobility support in IPv6
EP1636964B1 (en) Ip mobility
US8175037B2 (en) Method for updating a routing entry
CN1968272B (zh) 通信网络中用于缓解拒绝服务攻击的方法和系统
US8413243B2 (en) Method and apparatus for use in a communications network
JP2010507301A (ja) ネットワーク・ベース及びホスト・ベースの混合モビリティ管理における方法
KR20070102698A (ko) 인증되지 않은 이동 액세스 네트워크에서의 보안 제공
EP1968272A1 (en) Loop detection for mobile IP home agents
KR100831088B1 (ko) 대응 노드 방화벽에서의 이동 인터넷 프로토콜 지원
KR20070110864A (ko) 종단 점에 의한 방화벽 특징의 교섭을 가능하게 하는 방법,장치 및 컴퓨터 프로그램 생성물
Vogt et al. Security threats to network-based localized mobility management (NETLMM)
JPWO2009011120A1 (ja) アドレス生成方法、アドレス生成システム、通信装置、通信方法、通信システム及び相手先通信装置
US20100275253A1 (en) Communication method, communication system, mobile node, and communication node
US20060225141A1 (en) Unauthorized access searching method and device
KR20080018144A (ko) 모바일 아이피를 사용하는 네트워크 시스템에서 패킷필터링 장치 및 방법
Koskiahde Security in Mobile IPv6
Durr et al. An analysis of security threats to mobile IPv6
Arkko IETF Mobile IP Working Group David B. Johnson INTERNET-DRAFT Rice University Charles E. Perkins Nokia Research Center
Arkko IETF Mobile IP Working Group D. Johnson Internet-Draft Rice University Obsoletes: 3775 (if approved) C. Perkins (Ed.) Expires: January 14, 2010 WiChorus Inc.
JP2016187113A (ja) 不正接続防止装置と不正接続防止方法とシステム並びにプログラム

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee