KR100875931B1 - 통합 ip 패킷 지원 보안 장치 및 방법 - Google Patents

통합 ip 패킷 지원 보안 장치 및 방법 Download PDF

Info

Publication number
KR100875931B1
KR100875931B1 KR1020070052931A KR20070052931A KR100875931B1 KR 100875931 B1 KR100875931 B1 KR 100875931B1 KR 1020070052931 A KR1020070052931 A KR 1020070052931A KR 20070052931 A KR20070052931 A KR 20070052931A KR 100875931 B1 KR100875931 B1 KR 100875931B1
Authority
KR
South Korea
Prior art keywords
packet
bank
ipv6
ipv4
security policy
Prior art date
Application number
KR1020070052931A
Other languages
English (en)
Other versions
KR20080052215A (ko
Inventor
박상길
오진태
남택용
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to US11/899,236 priority Critical patent/US20080134283A1/en
Publication of KR20080052215A publication Critical patent/KR20080052215A/ko
Application granted granted Critical
Publication of KR100875931B1 publication Critical patent/KR100875931B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions

Abstract

본원 발명은 IPv4 및 IPv6 모두를 지원하는 보안 장치 및 방법에 관한 것이다. 본원 발명의 통합 IP 패킷 지원 보안 장치는 유입되는 IP 패킷의 헤더 정보 내의 버젼 정보에 기초하여 IPv4 패킷과 IPv6 패킷을 분류하는 패킷 분류부; IPv4 패킷 및 IPv6 패킷 각각에 대응하는 헤더 정보를 생성하고, 생성된 각 패킷의 헤더 정보를 기초로 IPv4 패킷 및 IPv6 패킷 각각에 대응하는 식별 키를 생성하는 키 생성부; IPv4 패킷을 위한 보안 정책이 설정된 제 1 뱅크와 IPv6 패킷을 위한 보안 정책이 설정된 제 2 뱅크로 구성되고, 각각의 패킷에 대응하는 상기 식별키를 이용하여 상기 제 1 뱅크 및 제 2 뱅크가 검색되는 룩업엔진;을 포함한다.
보안 어플라이언스 , 듀얼 스택, 룩업장치, IPv4, IPv6

Description

통합 IP 패킷 지원 보안 장치 및 방법{Method and Apparatus for using FPGA supporting IPv4 and IPv6}
도 1 은 네트워크 공격 보안 장치의 일 예를 도시한다.
도 2 는 본 발명의 바람직한 일 실시예로서, 통합 IP 패킷 지원 보안 장치의 구성도를 도시한다.
도 3 은 IPv4의 경우 생성된 식별키의 일 실시예를 도시한다.
도 4 는 IPv6의 경우 생성된 식별키의 일 실시예를 도시한다.
도 5 는 본원 발명의 룩업엔진에서 뱅크 사용의 예를 도시한다.
도 6 은 패킷 유입시 본원 발명의 보안 장치에서 내부 보안 정책에 따라 패킷을 처리하는 과정을 도시한 흐름도이다.
본원 발명은 IPv4 및 IPv6 모두를 지원하는 보안 장치 및 방법에 관한 것이다.
네트워크 패킷을 운용하는 라우터, 스위치등의 네트워크 장비는 패킷을 구분하기 위해 CAM(Contents Addressable Memory) 또는 TCAM(Ternary CAM)을 이용한다. 저속의 시스템에서는 TCAM이나, CAM이 고가이기 때문에 S/W적으로 구현된 알고리즘을 이용하여 패킷분류를 제공한다.
보통의 네트워크 보안장비에서, IPv4와 IPv6가 혼재되는 듀얼스택 보안장비를 제공하기 위해서 IPv4용도의 TCAM과 IPv6 용도의 TCAM을 별도로 제공하게 된다. 이는 IPv4와 IPv6를 하나의 물리적인 TCAM을 이용하여 제공하기 어렵기 때문이다.
IPv4의 경우 IP Address가 근원지/목적지 각각 32bit, 근원지/목적지 포트가 16bit, 프로토콜 8bit, icmp type/code 등이 각각 8bit, 기타 패킷 헤더 내용에서 패킷을 구분하기 위한 필드(예를 들어, tcp flag등)의 정보를 이용하여 패킷을 분류한다. 이에 반하여 IPv6의 경우 IP Address가 IPv4의 32bit에서 128bit으로 확장되었다.
IPv6의 모든 정보를 이용하여 패킷을 구분하기 위해서는 근원지/목적지 주소 각 128bit(총 256bit), 근원지/목적지 포트 각 16bit(32bit), 프로토콜 8bit, ICMP type/code 각 8bit(16bit), 기타 정보등을 포함하면 약 300 bit이상의 정보를 처리가능한 구조가 제공되어야 한다. 특히 ternary 기능을 제공하기 위해서는 정보를 해슁하거나 하는 방법을 이용하는 경우 마스킹(masking)을 원활히 지원하지 못하여, 잘못된 정책을 적용하는 결과를 초래한다.
Ipv4 에 대해 패킷 필터링 및 대역폭 제어 기능등을 적용하여 보안 기능을 제공하는 제품이 시장에 출시되어 있으나, IPv4에서 사용되던 침입에 대응하던 기술은 IPv6에서는 패킷의 길이, 주소 길이에 따른 제약으로 사용되기 어려운 문제점이 있다.
Ipv4 에 대해 패킷 필터링 및 대역폭 제어 기능등을 적용하여 보안 기능을 제공하는 제품이 시장에 출시되어 있으나, IPv4에서 사용되던 침입에 대응하던 기술은 IPv6에서는 패킷의 길이, 주소 길이에 따른 제약으로 사용되기 어려운 문제점이 있다.
또한, IPv6 에 대해 보안 기능을 제공하는 기술들은 다수의 TCAM을 이용하므로, 비용 상승으로 인해 실제 구현이 어려운 문제점이 있었다.
이상의 미비점을 보완하고자, 본원 발명에서는 물리적으로 룩업 장치를 하나만 이용함으로써 단가를 낮추고, 또한 IPv4 외에 IPv6 까지 지원하는 하드웨어로 구현된 네트워크 공격 보안 장치에 관해 제시하고자 한다.
본원 발명의 바람직한 일 실시예로서, 통합 IP 패킷 지원 보안 장치는 유입되는 IP 패킷의 헤더 정보 내의 버젼 정보에 기초하여 IPv4 패킷과 IPv6 패킷을 분류하는 패킷 분류부; 상기 분류된 IPv4 패킷 및 IPv6 패킷 각각에 대응하는 헤더 정보를 생성하고, 상기 생성된 각 패킷의 헤더 정보를 기초로 IPv4 패킷 및 IPv6 패킷 각각에 대응하는 식별 키를 생성하는 키 생성부; IPv4 패킷을 위한 보안 정책이 설정된 제 1 뱅크와 IPv6 패킷을 위한 보안 정책이 설정된 제 2 뱅크로 구성되고, 각각의 패킷에 대응하는 상기 식별키를 이용하여 상기 제 1 뱅크 및 제 2 뱅크가 검색되는 룩업엔진;을 포함한다.
본원 발명의 바람직한 일 실시예로서, 상기 제 1 뱅크 및 상기 제 2 뱅크는 각각 상이한 비트가 할당된다.
본원 발명의 바람직한 일 실시예로서, 상기 IPv6 패킷에 대응하는 식별키는 해슁(hashing) 함수를 이용하여 생성되고, 이 경우 상기 제 2 뱅크는 해슁 함수를 이용하여 상기 보안 정책을 설정한다.
본원 발명의 또 다른 바람직한 일 실시예에서, 통합 IP 패킷 지원 보안 장치에서, 보안 방법은 유입되는 IP 패킷의 헤더 정보 내의 버젼 정보에 기초하여 IPv4 패킷과 IPv6 패킷을 분류하는 패킷 분류 단계; 상기 분류된 IPv4 패킷 및 IPv6 패킷 각각에 대응하는 헤더 정보를 생성하고, 상기 생성된 각 패킷의 헤더 정보를 기초로 IPv4 패킷 및 IPv6 패킷 각각에 대응하는 식별 키를 생성하는 단계; IPv4 패킷을 위한 보안 정책이 설정된 제 1 뱅크와 IPv6 패킷을 위한 보안 정책이 설정된 제 2 뱅크로 구성된 룩업 엔진을 각각의 패킷에 대응하는 상기 식별키를 이용하여 상기 제 1 뱅크 및 제 2 뱅크를 검색하는 단계;를 포함한다.
이하 본 발명의 바람직한 실시예가 첨부된 도면들을 참조하여 설명될 것이다. 도면들 중 동일한 구성요소들에 대해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 참조 번호들 및 부호들로 나타내고 있음에 유의해야 한다. 하기에서 본 발명을 설명함에 있어, 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다.
도 1 은 네트워크 공격 보안 장치의 일 예를 도시한다.
도 1은 네트워크에서 오용 및 번형적 패킷 공격을 검출하는 기가비트로 구현 된 네트워크 공격 보안 장치의 일 구현예로서, 기가비트 이더넷 인터페이스를 통해 유입되는 입력 패킷에 대해 패킷 필터링(103)이나 대역폭 제한(104)을 통해 침입에 대응(102, 105)하는 기능을 수행한다.
패킷은 맥칩(101)을 통하여 하드웨어 어플라이언스의 보안칩셋(Security Card)에 유입된다. 이렇게 유입된 2계층 패킷(L2 packet)은 패킷포워딩 블럭(102)에 의하여 3계층 IP 패킷이 추출된다. 이렇게 추출된 3계층 패킷은 인터페이스(S102)를 통하여 패킷필터링(103) 엔진과 대역폭제어(104)엔진에 전달된다. 패킷필터링(103)과 대역폭제어(104) 엔진의 대역폭제어은 인터페이스(S102)를 통하여 전달받은 3계층 IP 패킷을 파싱하여 IPv4/IPv6 패킷의 여부에 대한 정보를 생성하고, 아이피 버전에 따라 각각의 파싱흐름을 수행한다.
각각의 파싱흐름에 의하여 근원지/목적지 주소, 포트정보와 기타 필드정보를 획득한다. 생성된 패킷정보를 이용하여 규칙에 부합되는 패킷인지 확인하기 위하여 다음과 같이 명시한 8bit 정보를 생성하여 TCAM을 조회한다.
8bit 식별키 정보는 다음과 같다.
0 : Rule valid
1 : IP Version( 0 : IPv4, 1 : IPv6)
2 : Function( 0 : 로직 1(103). 1 : 로직 2(104) )
3 : Logic( 0 : Logic A(PM3386(0)와 연결되는 망), 1 : Logic B(PM3386(1)과 연결되는 망))
4 : Port ( 방향성 정보 ( 0 : 0 --> 1), (1 : 1 --> 0) )
5~7 : IPv6인 경우 Protocol 값(1 : ICMPv6, 2 : UDP, 6 : TCP), IPv4 인 경우 NULL 값
상기 발명에서 사용되는 TCAM 인터페이스는 IPv4/IPv6 버전 정보와 144bit 룩업/288bit 룩업을 수행하는 정보를 제공하는 파이프라인형태로 구성된다. 이를 이용하여 1번의 TCAM 조회로 규칙을 조회할 수 있다.
IPv6 패킷에 대하여 2개 이상의 TCAM을 이용하는 경우, 각각의 TCAM의 결과를 수집하여 모두 '1'인 경우, 규칙에 부합한다고 판단하게 된다. 이러한 결과를 보관하고, 다시 최종결과를 생성하는 방법보다는, 한번의 TCAM 조회를 이용하여 IPv4 패킷뿐만 아니라, IPv6 패킷에 대하여서도 처리가 가능하다.
도 2 는 본 발명의 바람직한 일 실시예로서, 통합 IP 패킷 지원 보안 장치의 구성도를 도시한다.
통합 IP 패킷 지원 보안 장치는 패킷 분류부(210), 키 생성부(220), 룩업 엔진(230) 및 침입 대응부(240)를 포함한다.
패킷 분류부(210)는 유입되는 IP 패킷의 헤더 정보 내의 버젼 정보에 기초하여 IPv4 패킷과 IPv6 패킷을 분류한다.
키 생성부(220)는 패킷 분류부(210)에서 분류된 IPv4 패킷 및 IPv6 패킷 각각에 대응하는 헤더 정보를 생성하고, 생성된 각 패킷의 헤더 정보를 기초로 IPv4 패킷 및 IPv6 패킷 각각에 대응하는 식별 키를 생성한다.
패킷 분류부(210)에서 분류된 IP 패킷은 아이피 버전에 따라 IPv4 패킷은 IPv4 파싱 모듈을 가동하고, IPv6의 경우 IPv6 파싱 모듈을 가동하여 기본적인 패킷 헤더 정보를 생성한다. 이렇게 생성된 5가지 패킷정보(근원지 주소, 목적지 주소, 근원지 포트, 목적지 포트, 프로토콜) 정보와 TCP Flag, ICMP type, ICMP code 등의 추가정보를 기반으로 룩업엔진(230)을 조회하기 위한 식별 키를 생성한다(도 3 및 도 4 참고).
룩업엔진(230)은 2 개의 뱅크로 구성된다(도 5 참고). 2개의 뱅크는 각각 상이한 비트가 할당된다. 또한, IPv4 보안 정책과 IPv6 보안 정책이 룩업 엔진에 기록된다. 이런 방식으로, 본원 발명에서는 물리적으로 한 개의 룩업 장치를 이용하여 IPv4 패킷 및 IPv6 패킷 모두를 검색이 가능하다.
침입 대응부(240)는 패킷 필터링부(241)와 대역폭 제어부(242)를 포함한다.
예를 들어, IPv4 패킷을 위한 보안 정책이 설정된 제 1 뱅크(231)에는 144 비트가 할당되고 이에 따라 144 비트 검색 모드로 수행이 가능해진다. 그리고, IPv6 패킷을 위한 보안 정책이 설정된 제 2 뱅크(232)에는 288 비트가 할당되고 이에 따라 288 비트 검색 모드 수행이 가능하다. 이로써, 각 뱅크는 다른 검색 방법을 적용할 수 있다.
패킷 필터링부(241)는 제 1 뱅크(231) 또는 제 2 뱅크(232)에 설정된 보안 정책에 따라 대응되는 키값인 룩업키를 정하고, 룩업키와 키 생성부(220)에서 IPv4 패킷 및 IPv6 패킷에 따라 각각 생성된 식별키가 일치하는 경우 보안 정책에 따라 패킷을 폐기하거나 전송한다.
대역폭 제어부(242)는 제 1 뱅크(231) 또는 제 2 뱅크(232)에 설정된 보안 정책에 따라 대응되는 키값인 룩업키를 정하고 상기 룩업키와 상기 식별키가 일치하는 경우 상기 보안 정책에 따라 대역폭을 제어한다.
도 3 은 IPv4의 경우 생성된 식별키의 일 실시예를 도시한다.
본 발명에서 IPv4 패킷의 경우 룩업엔진에서 사용하는 키의 길이는 144bit 까지 가능하다. 이를 활용하기 위하여 물리적으로 72bit이 하나의 어드레스 값으로 조정되는 경우, 0번 1번과 같이 2개의 어드레스를 이용하고 Bank 0을 이용하게 된다.
0번 어드레스에 근원지 포트(16bit), 목적지 포트(16bit), TCP falgs 정보(6bit), ICMP Type/Code (각 8bit)과 전체 룩업 엔진에서 IPv4/IPv6의 구분, Function 기능의 구분, Logic 의 구분등을 위해 설정된 8bit의 식별키를 이용한다.
보안규칙을 하드웨어에 적용하는 S/W에서도 도 3과 같은 체계를 이용하여 규칙을 룩업엔진에 기록하고, 실제 IPv4 패킷이 하드웨어 칩셋에 유입될 때에도, 유입된 패킷의 파싱된 각 필드정보를 기준으로 도 3과 같은 킷값을 생성하도록 구성한다.
이렇게 구성된 킷값을 통하여 룩업엔진을 조회하면, 룩업엔진에 해당 규칙이 존재하는 경우 ‘룩업규칙 조회 유효(SSV)‘와 ‘룩업규칙 성공(SSF)'와 같은 정보를 발생하게 된다. 이렇게 생성된 값을 이용하여 패킷필터링엔진(103)과 대역폭제한엔진(104)과 같은 보안기능을 제공하는 각 엔진 등이 패킷 필터링과 대역폭 제어 등의 보안기능을 제공하게 된다.
도 4 는 IPv6의 경우 생성된 식별키의 일 실시예를 도시한다.
본 발명에서 IPv6 패킷의 경우 룩업엔진에서 사용하는 키의 길이는 288bit 까지 가능하다. 이를 활용하기 위하여 물리적으로 72bit이 하나의 어드레스 값으로 조정되는 경우, 하나의 규칙은 0번, 1번, 2번 3번과 같은 4개의 어드레스를 이용하고 Bank 2를 이용하게 된다.
0번 어드레스에 IP 버전 정보등을 포함하는 식별키와 근원지 주소 144bit의 하위 64비트가 기록된다. 1번 어드레스에는 TCP Flags값과 , 근원지 주소 144bit의 상위 64비트가 기록된다. 2번 어드레스에는 근원지 포트값을 hash한 8bit 값과 목적지 주소 144bit의 하위 64비트가 기록된다.
ICMP packet일 경우 hash한 8bit 값 대신에 ICMP Type이 기록된다. 3번 어드레스에는 목적지 포트값을 hash한 8bit 값과 목적지 주소 144bit의 상위 64비트가 기록된다. ICMP packet일 경우 hash한 8bit 값 대신에 ICMP Code 값이 기록된다.
IPv6 패킷에 해당하는 보안규칙을 하드웨어에 적용하는 S/W에서도 도 4와 같은 체계를 이용하여 규칙을 룩업엔진에 기록하고, 실제 IPv6 패킷이 하드웨어 칩셋에 유입될 때에도, 유입된 패킷의 파싱된 각 필드정보를 기준으로 도 4과 같은 킷값을 생성하도록 구성한다.
이렇게 구성된 킷값을 통하여 룩업엔진을 조회하면, 룩업엔진에 해당 규칙이 존재하는 경우 ‘룩업규칙 성공(SSF)'와 같은 정보를 발생하게 된다. 이렇게 생성된 값을 이용하여 패킷필터링엔진(103)과 대역폭제어엔진(104)과 같은 보안기능을 제공하는 각 엔진등이 패킷필터링과 대역폭 제어등의 보안기능을 제공하게 된다.
도 5 는 본원 발명의 룩업엔진에서 뱅크 사용의 예를 도시한다.
도 5 의 Bank0 (510)은 IPv4 패킷을 위한 보안 정책이 설정되고, Bank1(510)은 IPv6 패킷을 위한 보안 정책이 설정된다. 보안규칙을 기록/관리하는 소프트웨어가 하나의 물리적인 룩업엔진을 이용하여 2가지 보안기능(패킷 필터링, 대역폭 제한)을 제공하고, 각각 IPv4와 IPv6에 대하여 적용을 하므로, 논리적으로 4개의 주소영역으로 구분하여 사용한다.
도 6 은 패킷 유입시 본원 발명의 보안 장치에서 내부 보안 정책에 따라 패킷을 처리하는 과정을 도시한 흐름도이다.
PM3386(도시 안 됨)을 통하여 L2 패킷이 유입되고, 패킷 필터링 엔진를 통하여 L3패킷(IP 패킷)이 추출 된 후 패킷이 유입된다(S610). 유입된 패킷의 IP 버전에 따라 IPv4 패킷 파서, IPv6 패킷 파서가 동작된다(S620).
패킷 파서에 의해 생성되는 패킷의 5-튜플(근원지 주소, 목적지구소, 근원지포트, 목적지 포트, 프로토콜)과 기타 정보를 이용하여 IPv4의 경우 도3과 같이 키값을 생성하고, IPv6의 경우 도 4와 같이 키 값을 생성한다.
이렇게 생성된 키 값을 이용하여 물리적인 룩업엔진(S631)을 IPv4의 경우 144bit으로 조회하고, IPv6의 경우 288bit으로 조회한다(304). 룩업엔진(S631)은 이렇게 조회된 결과가 소프트웨어에 의해 미리 기록되었던 규칙과 일치하는지 여부를 알리기 위해 다음과 같은 정보 시그널을 생성한다.
룩업엔진 유효(SSV) 시그널은 룩업엔진에 의해 이 시그널이 valid한 상태에서 룩업엔진 성공/실패를 판단하라는 시그널이다. 룩업엔진 유효(SSV)시그널이 valid한 상태에서 룩업엔진은 룩업성공시그널(SSF)을 생성한다. 룩업엔진의 조회 성공일 경우 ‘1’, 실패일 경우‘0’을 생성한다.
내부의 패킷 분류기(S630)는 이러한 룩업엔진(S631)의 결과값을 이용하여 패킷필터링엔진(도 1 참고, 103)과 대역폭 제한 엔진(도 1 참고, 104)에 룩업엔진(S631)의 결과를 반영한다. 룩업엔진(S631)의 조회 성공일 경우, 규칙 유효 시그널과 그에 해당하는 메모리 인덱스 주소를 전달한다.
이렇게 전달되는 메모리 인덱스를 기준으로 패킷필터링엔진(103)과 대역폭제한 엔진(104)은 보안기능을 진행하고 이러한 결과(패킷 전달, 폐기)를 대응수집엔진(RCSB, S650)에 전달한다. 대응수집엔진(S650)은 이러한 결과에 따라 패킷을 폐기, 전달한다.
본 발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함한다.
컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플라피 디스크, 광데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.
이상 도면과 명세서에서 최적 실시예들이 개시되었다. 여기서 특정한 용어들이 사용되었으나, 이는 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의미 한정이나 특허청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것은 아니다.
그러므로 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서 본 발명의 진정한 기술적 보호 범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.
이와 같이 본 발명에서는 아이피 버전 포와 아이피 버전 식스를 동시에 지원하는 듀얼 스택 시스템에서 유해 트래픽에 대한 대응행위 또는 QoS의 목적으로 트래픽을 제어하고자 하기 위해서, 하드웨어적인 구성방식과 실제적인 메커니즘을 제시한다.
하드웨어를 통하여 구현이 되지만, 관리자가 디바이스 드라이버를 통하여 하드웨어를 설정가능하고 이렇게 설정된 값에 의해 10/100 Ethernet 환경에서부터 기가비트 환경 및 PoS 등에도 이의 적용이 가능하다.
이러한 듀얼 스택 기법과 퍼미션/필터링 규칙을 적용하는 경우 물리적으로 하나의 칩셋을 이용하여 아이피 버전 포와 버전 식스 패킷에 대하여 퍼미션/필터링을 적용할 수 있다.

Claims (14)

  1. 유입되는 IP 패킷의 헤더 정보 내의 버젼 정보에 기초하여 IPv4 패킷과 IPv6 패킷을 분류하는 패킷 분류부;
    상기 분류된 IPv4 패킷 및 IPv6 패킷 각각에 대응하는 헤더 정보를 생성하고, 상기 생성된 각 패킷의 헤더 정보를 기초로 IPv4 패킷 및 IPv6 패킷 각각에 대응하는 식별 키를 생성하는 키 생성부;
    IPv4 패킷을 위한 보안 정책이 설정된 제 1 뱅크와 IPv6 패킷을 위한 보안 정책이 설정된 제 2 뱅크로 구성되고, 각각의 패킷에 대응하는 상기 식별키를 이용하여 상기 제 1 뱅크 및 제 2 뱅크가 검색되는 룩업엔진;을 포함하고, 상기 키 생성부에서 상기 IPv6 패킷에 대응하는 식별키는 해슁(hashing) 함수를 이용하여 생성되는 것을 특징으로 하는 통합 IP 패킷 지원 보안 장치.
  2. 삭제
  3. 제 1 항에 있어서,
    상기 제 2 뱅크는 해슁 함수를 이용하여 상기 보안 정책을 설정하는 것을 특징으로 하는 통합 IP 패킷 지원 보안 장치.
  4. 제 1 항에 있어서,
    상기 제 1 뱅크 및 상기 제 2 뱅크는 각각 상이한 비트가 할당되는 것을 특징으로 하는 통합 IP 패킷 지원 보안 장치.
  5. 제 1 항에 있어서,
    상기 제 1 뱅크 또는 상기 제 2 뱅크에 설정된 보안 정책에 따라 대응되는 키값인 룩업키를 정하고 상기 룩업키와 상기 식별키가 일치하는 경우 상기 보안 정책에 따라 패킷을 폐기하거나 전송하는 패킷 필터링부;를 더 포함하는 것을 특징으로 하는 통합 IP 패킷 지원 보안 장치.
  6. 제 1 항에 있어서,
    상기 제 1 뱅크 또는 상기 제 2 뱅크에 설정된 보안 정책에 따라 대응되는 키값인 룩업키를 정하고 상기 룩업키와 상기 식별키가 일치하는 경우 상기 보안 정책에 따라 대역폭을 제어하는 대역폭 제어부;를 더 포함하는 것을 특징으로 하는 통합 IP 패킷 지원 보안 장치.
  7. 제 1 항에 있어서, 상기 룩업엔진은
    TCAM(Ternary Contents Addressable Memory)인 것을 특징으로 하는 통합 IP 패킷 지원 보안 장치.
  8. 통합 IP 패킷 지원 보안 장치에서, 보안 방법으로서,
    유입되는 IP 패킷의 헤더 정보 내의 버젼 정보에 기초하여 IPv4 패킷과 IPv6 패킷을 분류하는 패킷 분류 단계;
    상기 분류된 IPv4 패킷 및 IPv6 패킷 각각에 대응하는 헤더 정보를 생성하고, 상기 생성된 각 패킷의 헤더 정보를 기초로 IPv4 패킷 및 IPv6 패킷 각각에 대응하는 식별 키를 생성하는 단계;
    IPv4 패킷을 위한 보안 정책이 설정된 제 1 뱅크와 IPv6 패킷을 위한 보안 정책이 설정된 제 2 뱅크로 구성된 룩업 엔진을 각각의 패킷에 대응하는 상기 식별키를 이용하여 상기 제 1 뱅크 및 제 2 뱅크를 검색하는 단계;을 포함하고, 상기 생성단계에서 상기 IPv6 패킷에 대응하는 식별키는 해슁(hashing) 함수를 이용하여 생성되는 것을 특징으로 하는 보안 방법.
  9. 삭제
  10. 제 8 항에 있어서, 상기 제 2 뱅크는 해슁 함수를 이용하여 상기 보안 정책을 설정하는 것을 특징으로 하는 보안 방법.
  11. 제 8 항에 있어서,
    상기 제 1 뱅크 및 상기 제 2 뱅크는 각각 상이한 비트가 할당되는 것을 특 징으로 하는 보안 방법.
  12. 제 8 항에 있어서,
    상기 제 1 뱅크 또는 상기 제 2 뱅크에 설정된 보안 정책에 따라 대응되는 키값인 룩업키를 정하고 상기 룩업키와 상기 식별키가 일치하는 경우 상기 보안 정책에 따라 패킷을 폐기하거나 전송하는 패킷 필터링 단계;를 더 포함하는 것을 특징으로 하는 보안 방법.
  13. 제 8 항에 있어서,
    상기 제 1 뱅크 또는 상기 제 2 뱅크에 설정된 보안 정책에 따라 대응되는 키값인 룩업키를 정하고 상기 룩업키와 상기 식별키가 일치하는 경우 상기 보안 정책에 따라 대역폭을 제어하는 단계;를 더 포함하는 것을 특징으로 하는 보안 방법.
  14. 제 8 항에 있어서, 상기 룩업엔진은
    TCAM(Ternary Contents Addressable Memory)인 것을 특징으로 하는 보안 방법.
KR1020070052931A 2006-12-05 2007-05-30 통합 ip 패킷 지원 보안 장치 및 방법 KR100875931B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
US11/899,236 US20080134283A1 (en) 2006-12-05 2007-09-04 Security apparatus and method for supporting IPv4 and IPv6

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20060122659 2006-12-05
KR1020060122659 2006-12-05

Publications (2)

Publication Number Publication Date
KR20080052215A KR20080052215A (ko) 2008-06-11
KR100875931B1 true KR100875931B1 (ko) 2008-12-26

Family

ID=39807062

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070052931A KR100875931B1 (ko) 2006-12-05 2007-05-30 통합 ip 패킷 지원 보안 장치 및 방법

Country Status (1)

Country Link
KR (1) KR100875931B1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB201607476D0 (en) * 2016-04-29 2016-06-15 Eitc Holdings Ltd Operating system for blockchain IOT devices

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100656483B1 (ko) 2006-02-09 2006-12-11 삼성전자주식회사 IPv4-IPv6 네트워크에서의 보안 장치 및 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100656483B1 (ko) 2006-02-09 2006-12-11 삼성전자주식회사 IPv4-IPv6 네트워크에서의 보안 장치 및 방법

Also Published As

Publication number Publication date
KR20080052215A (ko) 2008-06-11

Similar Documents

Publication Publication Date Title
CN1943210B (zh) 基于源/目的地操作系统类型的ids虚拟化
JP5324225B2 (ja) 仮想ルータ機能を提供する方法
US8705362B2 (en) Systems, methods, and apparatus for detecting a pattern within a data packet
KR100922582B1 (ko) 중심점 분할 기법을 이용한 로그 기반의 역추적 시스템 및방법
CN101018121B (zh) 日志的聚合处理方法及聚合处理装置
US7827609B2 (en) Method for tracing-back IP on IPv6 network
US20070022474A1 (en) Portable firewall
US8272056B2 (en) Efficient intrusion detection
KR20070087198A (ko) 네트워크 인터페이스 및 방화벽 장치
US8336098B2 (en) Method and apparatus for classifying harmful packet
Lambion et al. Malicious DNS tunneling detection in real-traffic DNS data
US10819682B1 (en) Systems and methods for high-efficiency network-packet filtering
US20080134283A1 (en) Security apparatus and method for supporting IPv4 and IPv6
EP1526699B1 (en) Method and system for accelerated packet processing
JP2007166514A (ja) 通信処理装置及び通信処理方法
US8964748B2 (en) Methods, systems, and computer readable media for performing flow compilation packet processing
KR100875931B1 (ko) 통합 ip 패킷 지원 보안 장치 및 방법
JP2007166513A (ja) 通信処理装置及び通信処理方法
US20040190506A1 (en) Method and apparatus for performing complex pattern matching in a data stream within a computer network
Hsiao et al. High-throughput intrusion detection system with parallel pattern matching
US11765088B2 (en) Method and system for processing data flow with incomplete comparison process
US20050041812A1 (en) Method and system for stateful storage processing in storage area networks
KR100951930B1 (ko) 부적절한 패킷의 분류 방법 및 장치
US20050138201A1 (en) Technique for monitoring source addresses through statistical clustering of packets
JP4729389B2 (ja) パターン照合装置、パターン照合方法、パターン照合プログラム及び記録媒体

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20121129

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20131128

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20141208

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20151026

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20191211

Year of fee payment: 14