KR100909552B1 - 모바일 아이피를 사용하는 네트워크 시스템에서 패킷필터링 장치 및 방법 - Google Patents

모바일 아이피를 사용하는 네트워크 시스템에서 패킷필터링 장치 및 방법 Download PDF

Info

Publication number
KR100909552B1
KR100909552B1 KR1020070084014A KR20070084014A KR100909552B1 KR 100909552 B1 KR100909552 B1 KR 100909552B1 KR 1020070084014 A KR1020070084014 A KR 1020070084014A KR 20070084014 A KR20070084014 A KR 20070084014A KR 100909552 B1 KR100909552 B1 KR 100909552B1
Authority
KR
South Korea
Prior art keywords
packet
header
filter rule
destination address
address
Prior art date
Application number
KR1020070084014A
Other languages
English (en)
Other versions
KR20080017282A (ko
Inventor
서경주
한진규
김유철
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Publication of KR20080017282A publication Critical patent/KR20080017282A/ko
Application granted granted Critical
Publication of KR100909552B1 publication Critical patent/KR100909552B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/08Mobility data transfer
    • H04W8/082Mobility data transfer for traffic bypassing of mobility servers, e.g. location registers, home PLMNs or home agents
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W40/00Communication routing or communication path finding
    • H04W40/34Modification of an existing route
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Databases & Information Systems (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 모바일 아이피를 사용하는 네트워크 시스템에서 패킷 필터링 장치 및 방법에 관한 것으로, 특히 홈 에이전트(home agent)를 거치지않고 상대 노드에서 이동 노드로 전송되는 패킷의 주소와 이동 노드에서 상대 노드로 전송되는 패킷의 주소를 판독하는 패킷 필터링 장치 및 방법에 관한 것이다.
또한 본 발명은 상대 노드가 보호되는 방화벽 네트워크에 있는 경우 상기 상대 노드에서 이동 노드로 전송되는 상향 링크 데이터와 이동 노드에서 상대 노드로 전송되는 하향 링크 데이터가 전송되지 않고 패킷 필터링 장치에서 폐기되는 현상을 방지하는 패킷 필터링 장치 및 방법에 관한 것이다.
또한 본 발명은 보호된 망에 있는 상대 노드에서 이동 노드로 전송되는 패킷과 이동 노드에서 상대 노드로 전송되는 패킷을 인식할 수 있는 패킷 필터 규칙(packet filter rule)을 적용함으로써 보다 합리적으로 상향 링크 데이터 전송 및 하향 링크 데이터 전송을 가능하도록 한다.
모바일 아이피(Mobile IP), 방화벽

Description

모바일 아이피를 사용하는 네트워크 시스템에서 패킷 필터링 장치 및 방법{PACKET FILLTERING APPARATUS AND METHOD IN NETWORK SYSTEM USING MOBILE IP NETWORK}
본 발명은 모바일 아이피를 사용하는 네트워크 시스템에 관한 것으로, 특히 모바일 아이피를 사용하는 네트워크 시스템에서 패킷 필터링 장치 및 방법에 관한 것이다.
최근에 아이피(IP : Internet Protocol) 통신망은 인터넷 기술의 비약적인 발전에 힘입어 급속한 발전을 이루고 있는 기술이다. 이러한 아이피 통신망에서는 각각 고정된 주소 즉, 아이피 주소(IP Address)를 가지고 각 사용자들 및 특정 서버가 동작하게 되며, 상기 주소를 근간으로 하여 라우팅(routing)이 이루어진다.
한편 이동통신 시스템에서도 이동 단말에게 보다 많은 데이터를 제공하기 위해 여러 가지 방식들이 제안되고 있다. 이러한 방식 중 하나로 이동 단말에 IP 주소를 할당하는 즉, 모바일 아이피(Mobile IP)라는 개념이 도입되기에 이르렀다. 이와 같은 모바일 아이피에 관련하여 IETF(Internet Engineering Task Force)에서 많은 협의가 이루어지고 있으며, 현재 모바일 아이피 v6(MIPv6)의 단계에까지 이르고 있다. IP(Internet Protocol)의 버전에 따라서 Mobile IP version 4(v4)와 Mobile IP version 6(v6) 기술이 있다.
IP 통신망은 MIPv4를 기반으로 출발하였으나, 할당할 수있는 IP 자원의 제한과 사용자 증대 및 다양한 서비스 제공을 위해 보다 진보된 형태인 MIPv6를 기반으로 하는 형태로 발전하고 있다. 상기 MIPv6의 가장 큰 특징은 IP 주소의 길이가 32 비트에서 128 비트로 늘어났다는 점이다. 인터넷이 폭발적으로 성장함에 따라서 네트워크 주소가 고갈될 것에 대비하여 IP 주소 길이를 확장한 것이다.
상기 MIPv6는 헤더 영역이 확장됨으로서 패킷의 출처 인증, 데이터 무결성의 보장 및 비밀의 보장 등을 위한 메커니즘을 지정할 수 있도록 하고 있다.
이러한 모바일 IP 통신망은 데이터 전송에 있어 기존 보유 아이피의 변경이나 접속의 끊김 없이 데이터를 제공하는 효과가 있다. 그러나, 이러한 모바일 아이피 기술에 대해 현재까지는 규격이 완성되어 상용 제품에 대한 적용이 이루어지고 있는 단계이므로 종래의 패킷 필터 규정을 이용할 경우 데이터 통신이 원활히 이루어지지 않는다.
도 1은 일반적인 상대 노드에서 이동 노드로 데이터를 전송하는 모바일 IP를 사용하는 네트워크 시스템을 나타낸 것이다.
이동 노드(Mobile Node, MN)(170)는 휴대용 컴퓨터와 같은 장치이다. 상대 노드(Corresponding Node, CN)(110)는 상기 이동 노드(170)와 데이터 통신하는 상대편 노드를 의미한다.
패킷 필터링 장치(120)는 방화벽(firewall)로, 인터넷 상에서 네트워크의 보 안 사고나 위협이 더 이상 확대되지 않도록 막고 격리한다. 즉, 패킷 필터링 장치(120)는 내부 네트워크를 신뢰할 수 없는 외부 네트워크로부터 보호하기 위해 외부에서의 불법적인 트래픽 유입을 막고, 허가되고 인증된 트래픽만을 허용하는 방어 장치이다. 상기 패킷 필터링 장치(120)는 패킷 필터 규칙이 저장되어 있으며, 억세스 라우터(Access Router)가 될 수도 있다.
상기 모바일 MIPv6에서는 홈 링크 영역에서 부여받은 홈 주소를 가지고 있는 이동 노드(170)가 홈 링크 영역을 떠나 원격지 링크 영역으로 이동한 경우에도, 이동 노드(170)는 원격지 링크 영역에서 부여받은 의탁 주소(Care of Address, CoA)를 이용하여 통신하고자 하는 상대 노드(110)와 통신할 수 있게 한다.
모바일 IP 통신망에서 이동 노드가 상대 노드와 데이터 통신하는 방법으로 다음 두 가지 방법이 있다.
첫째, 이동 노드와 상대 노드간 홈 에이전트(Home Agent, 이하 'HA'라 칭함)를 거치는 터널링 방법이다.
도 1 에서 상대 노드(110)는 패킷 필터링 장치(120)의 패킷 필터 규칙을 적용하는 망에 의해 보호되고(protected) 있다. 이동 노드(170)는 상기 상대 노드(110)와의 통신을 위하여 초기에는 HA(160)를 거쳐서 통신을 하며, 이러한 통신 과정에서 패킷 필터 규칙이 패킷 필터링 장치(120)에 저장된다. 상기 상대 노드(110)에서 이동 노드(170)로 통신하는 경우 상기패킷 필터링 장치(120)는 상향 링크 패킷 필터(uplink packet filter)로서 소스 IP 주소(source IP address)는 상대 노드의 주소로 설정하고, 목적지 IP 주소(destination IP address)로는 이동 노 드의 홈 주소(home address)로 설정한다. 여기서 상향 링크는 상대 노드에서 이동 노드로의 통신 경로를 의미한다. 또한 후술할 하향 링크는 이동 노드에서 상대 노드로의 통신 경로를 의미한다.
둘째, 경로의 최적화를 위해서 HA(160)를 통하지 않고 이동 노드(170)와 상대 노드(110)가 직접 통신하는 방법이다.
상기 HA(160)를 통하지 않고 이동 노드(170)와 상대 노드(110)가 직접 통신하기 위해서, 이동 노드(170)는 return routability 과정을 통해 상대 노드(110)로 인증을 시도한다. 상기 인증 시도 과정이 성공적으로 완료되면 바인딩 업데이트(binding update)를 통하여 등록 과정을 수행하게 된다. 이렇게 인증과 등록 과정을 다 마친 후의 이동 노드(170)라 할지라도 현재 규격에서는 보호된 망에 있는 상대 노드(110)가 인증 등록이 완료된 이동 노드(170)로 전송하는 상향 링크 데이터(uplink data)는 목적지 주소(destination address)가 이동 노드의 의탁 주소이므로 상기 이동 노드(170)로 전송되기 전에 패킷 필터 규칙에 의해 폐기된다. 즉, 상대 노드(110)가 패킷 필터 규칙에 의해 보호되는 망(100)에 있는 경우, 상향 링크 패킷 필터에 의해 패킷의 목적지 주소가 의탁 주소로 되어 있기 때문에 상대 노드(110)에서 이동 노드(170)로의 최적화된 라우팅 데이터 전송이 불가능하다. 이때 패킷 필터 규칙을 변경하는 경우 해당 네트워크가 보안상 취약하게 되어 공격자(attacker)의 공격을 받을 수 있는 위험에 노출될 수 있다.
한편, 도 2는 일반적인 이동 노드에서 상대 노드로 데이터를 전송하는 모바일IP를 사용하는 네트워크 시스템을 나타낸 것이다.
모바일 IP 통신망에서 이동 노드(170)는 상대 노드(110)와 통신을 위하여 초기에는HA(106)를 통하여 통신을 하며, 이러한 통신 과정에서 패킷 필터링 장치(120)에 패킷 필터 규칙이 저장된다. 상기 이동 노드(170)에서 상대 노드(110)로 통신하는 경우 상기 패킷 필터링 장치(120)에는 패킷 필터(Packet Filter)로서, 소스 IP 주소(Source IP Address)는 이동 노드(170)의 홈 주소(Home Address)를 설정하고, 목적지 IP 주소(Destination IP Address)로는 상대 노드(110)의 주소로 설정한다.
그러나 경로를 보다 간소화하기 위해서는 HA(160)를 통하지 않고, 이동 노드(110)와 상대 노드(110)가 직접 통신한다. 이러한 이동 노드(170)에서 보호된 망(100)에 있는 상대 노드(110)으로 데이터를 보내는 경우 소스 주소(135)가 이동 노드(170)의 의탁 주소이므로 패킷 필터 규칙에 의해 폐기되는 문제점이 발생한다.
따라서 본 발명은 모바일 IP 통신망에서 상대 노드에 인증 과정(return routability)과 등록 과정(binding update)을 모두 마친 적법한 이동 노드라면, 상대 노드에서 상기 이동 노드로 HA를 거치지 않고 상향 링크 통신하는 모바일 아이피를 사용하는 네트워크 시스템에서 패킷 필터링 장치 및 방법을 제공한다.
또한 본 발명은 모바일 IP 통신망에서 상대 노드에서 이동 노드로 전송되는 상향 링크 데이터 패킷의 특성을 패킷 필터 규칙에 의하여 인식하는 모바일 아이피를 사용하는 네트워크 시스템에서 패킷 필터링 장치 및 방법을 제공한다.
또한 본 발명은 모바일 IP 통신망에서 이동 노드에서 상대 노드로 인증 과정과 등록 과정이 완료되었는지 확인하여 패킷 필터 규칙에 새 규칙을 추가하고, 상향 링크 데이터 전송에 있어 패킷 필터 규칙이 MIPv6 데이터 전송 과정을 인식하도록 함으로써 데이터가 중간에 드랍(drop)되지 않고상대 노드에서 이동 노드로 전송되도록 하는 모바일 아이피를 사용하는 네트워크 시스템에서 패킷 필터링 장치 및 방법을 제공한다.
또한 본 발명은 모바일 IP 통신망에서 이동 노드에서 상대 노드로 HA를 거치지않고 하향 링크 통신이 가능하도록 하는 모바일 아이피를 사용하는 네트워크 시스템에서 패킷 필터링 장치 및 방법을 제공한다.
또한 본 발명은 모바일 IP 통신망에서 이동 노드에서 상대 노드로 전송되는 하향 링크 데이터 패킷의 특성을 패킷 필터 규칙에 의해서 인식되도록 하는 모바일 아이피를 사용하는 네트워크 시스템에서 패킷 필터링 장치 및 방법을 제공한다.
또한 본 발명은 HA를 거치지 않고 상대 노드에서 이동 노드로 전송되는 패킷의 주소와 이동 노드에서 상대 노드로 전송되는 패킷의 주소를 판독하는 모바일 아이피를 사용하는 네트워크 시스템에서 패킷 필터링 장치 및 방법을 제공한다.
본 발명에 따른 모바일 IP를 사용하는 네트워크 시스템은, 패킷 필터 규칙에 관한 정보가 포함된 패킷을 전송하는 상대 노드; 상기 상대 노드로부터 수신된 패킷의 정보에 포함된 목적지 주소가 상기 패킷 필터 규칙에 저장된 목적지 주소와 일치하는 경우, 상기 수신된 패킷을 통과시키는 패킷 필터링 장치를 포함하며, 여기서, 상기 패킷 필터 규칙에 관한 정보는 라우팅 헤더의 홈 주소 필드에 있는 주소임을 특징한다.
또한 본 발명에 따른 모바일 IP를 사용하는 네트워크 시스템에서 패킷 필터링 방법은, 패킷 필터 규칙에 관한 정보가 포함된 패킷을 상대 노드로부터 수신하는 과정; 상기 수신된 패킷의 정보에 포함된 목적지 주소가 상기 패킷 필터 규칙에 저장된 목적지 주소와 일치하는 경우, 상기 수신된 패킷을 통과시키는 과정을 포함하며, 여기서, 상기 패킷 필터 규칙에 관한 정보는 라우팅 헤더의 홈 주소 필드에 있는 주소임을 특징으로 한다.
또한 본 발명에 따른 모바일 IP를 사용하는 네트워크 시스템에서 패킷 필터링 장치는, 수신된 패킷의 다음 헤더가 라우팅 헤더인가를 판독하는 다음 헤더판독부와; 상기 다음 헤더가 라우팅 헤더인 경우, 상기 라우팅 헤더의 라우팅 헤더 타입이 2인가를 판독하는 라우팅 타입 판독부; 상기 라우팅 헤더의 라우팅 헤더 타입이 2인 경우, 상기 라우팅 헤더에 포함된 목적지 주소가 이동 노드의 홈 주소인가를 판독하는 홈 주소 판독부; 상기 라우팅 헤더에 포함된 목적지 주소가 이동 노드의 홈 주소인 경우 상기 라우팅 헤더에 포함된 목적지 주소가 패킷 필터 규칙에 저장된 목적지 주소와 일치하면 상기 수신된 패킷을 통과시키는 패킷 필터 규칙 적용부를 포함한다.
또한 본 발명에 따른 패킷 필터링 방법은, 패킷 필터링 방법은, 수신된 패킷의 다음 헤더가 라우팅 헤더인가를 판독하는 과정; 상기 다음 헤더가 라우팅 헤더인 경우, 상기 라우팅 헤더의 라우팅 헤더 타입이 2인가를 판독하는 과정; 상기 라우팅 헤더의 라우팅 헤더 타입이 2인 경우, 상기 라우팅 헤더에 포함된 목적지 주소가 이동 노드의 홈 주소인가를 판독하는 과정; 상기 라우팅 헤더에 포함된 목적지 주소가 이동 노드의 홈 주소인 경우 상기 라우팅 헤더에 포함된 목적지 주소가 패킷 필터 규칙에 저장된 목적지 주소와 일치하면 상기 수신된 패킷을 통과시키는 과정을 포함한다.
또한 본 발명에 따른 모바일 IP를 사용하는 네트워크 시스템은, 패킷 필터 규칙에 관한 정보가 포함된 패킷을 전송하는 이동 노드; 상기 이동 노드로부터 수신된 패킷의 정보에 포함된 홈 주소가 상기 패킷 필터 규칙에 저장된 소스 주소와 일치하는 경우, 상기 수신된 패킷을 통과시키는 패킷 필터링 장치를 포함하며, 상기 패킷 필터 규칙에 관한 정보는 홈 주소 옵션 헤더에 있는 상기 홈 주소임을 특징으로 한다.
또한 본 발명에 따른 모바일 IP를 사용하는 네트워크 시스템에서 패킷 필터링 방법은, 이동 노드에서 패킷 필터 규칙에 관한 정보가 포함된 패킷을 전송하는 과정; 패킷 필터 장치에서 상기 이동 노드로부터 수신된 패킷의 정보에 포함된 홈 주소가 상기 패킷 필터 규칙에 저장된 소스 주소와 일치하는 경우, 상기 수신된 패킷을 통과시키는 과정을 포함하며, 여기서, 상기 패킷 필터 규칙에 관한 정보는 홈 주소 옵션 헤더에 있는 상기 홈 주소임을 특징으로 한다.
또한 본 발명에 따른 이동 노드에서 상대 노드로 전송되는 패킷의 패킷 필터링 방법은, 수신된 패킷의 다음 헤더가 목적지 옵션 헤더인가를 판독하는 과정; 상기 다음 헤더가 목적지 옵션 헤더인 경우 옵션 타입을 판독하는 과정; 상기 옵션 타입이 홈 주소 옵션인가를 판독하는 과정; 상기 옵션 타입이 홈 주소 옵션인 경우 홈 주소 옵션 헤더에 있는 홈 주소가 패킷 필터 규칙에 저장된 소스 주소와 일치하면 상기 수신된 패킷을 통과시키는 과정을 포함한다.
본 발명에 있어서, 개시되는 발명 중 대표적인 것에 의하여 얻어지는 효과를 간단히 설명하면 다음과 같다.
본 발명은 모바일 IP 통신망에서 상대 노드에 return routability와 같은 인증 과정과 binding update와 같은 등록 과정을 모두 마친적법한 이동 노드라면, 상대 노드에서 상기 이동 노드로 HA를 거치지 않고 상향 링크 통신할 수 있다.
또한 본 발명은 모바일 IP 통신망에서 상대 노드에서 이동 노드로 전송되는 상향 링크 데이터 패킷의 특성을 패킷 필터링 장치에서 패킷 필터 규칙에 의하여 인식하도록 하여 패킷이 폐기되지 않고 상대 노드에서 이동 노드로 전송할 수 있다.
또한 본 발명은 모바일 IP 통신망에서 이동 노드에서 상대 노드로 인증 과정 과 등록 과정이 완료되었는지 확인하여 패킷 필터 규칙에 새로운 규칙을 추가하고, 상향 링크 데이터 전송에 있어 패킷 필터 규칙에 의해 데이터 전송 과정을 인식하도록 함으로써 데이터가 중간에 드랍되지 않고 상대 노드에서 이동 노드로 전송될 수 있다.
또한 본 발명은 모바일 IP를 사용하는 네트워크 시스템에서 보호망 내의 상대 노드와 통신을 원하는 경우, 홈 주소 옵션을 사용함으로써 HA를 통하지 않고 이동 노드에서 상대 노드로 직접적인 통신을 할 때 패킷이 드랍되지 않고 통신이 가능하게 된다.
하기에서 본 발명을 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
본 발명은 HA를 거치지 않고 상대 노드에서 이동 노드로 전송되는 패킷의 주소와 이동 노드에서 상대 노드로 전송되는 패킷의 주소를 판독하는 패킷 필터링 장치 및 방법에 관한 것이다.
또한 본 발명은 상대 노드가 패킷 필터 장치의 패킷 필터 규칙을 적용하는 망에 의해 보호되고 있는 경우 상기 상대 노드에서 이동 노드로 전송되는 상향 링 크 데이터와 이동 노드에서 상대 노드로 전송되는 하향 링크 데이터가 패킷 필터링 장치에서 폐기되는 현상을 방지하는 패킷 필터링 장치 및 방법에 관한 것이다.
또한 본 발명은 보호된 망에 있는 상대 노드에서 이동 노드로 전송되는 패킷과 이동 노드에서 상대 노드로 전송되는 패킷을 인식할 수 있는 패킷 필터 규칙(packet filter rule)을 적용함으로써 보다 효율적으로 상향 링크 데이터 전송 및 하향 링크 데이터 전송을 가능하도록 한다.
이와 같은 내용들을 설명하기 위해서 상대 노드에서 이동 노드로 전송되는 상향 링크 데이터는 제1 실시 예에서 설명하고, 이동 노드에서 상대 노드로 전송되는 하향 링크 데이터는 제2 실시 예에서 설명하기로 한다.
이하에서 설명되는 상대 노드는 이동 노드들과 통신을 할 수 있는 노드를 의미하는 것으로, 특정 노드로 한정하는 것이 아니라 모바일 IP을 사용하는 모든 노드가 될 수 있다. 이하 설명에서 상기 상대 노드는 상술한 의미로 사용됨을 알려준다. 또한 이하 설명에서는 설명의 편의를 위해 모바일 IP를 사용하는 네트워크 시스템을 MIPv6를 위주로 설명하기로 한다.
도 3은 본 발명의 제1 실시 예에 따른 모바일 IP를 사용하는 네트워크 시스템을 나타낸 도면이다. 도 3을 참조하여 본 발명의 제1 실시 예에 따른 패킷 필터링 장치에서의 패킷 필터링 동작을 설명하기로 한다.
상대 노드(310)는 패킷 필터링 장치(320)의 패킷 필터 규칙을 적용하는 망(300)에 의해 보호된다. 상기 상대 노드(310)와 이동 노드(370)는 HA(360)를 통한 통신은 가능하나 효율성이 떨어지므로 직접 통신하여 경로를 최적화할 필요가 있다. 현재의 표준 규격을 적용하여 상대 노드(310)와 이동 노드(370)간에 직접 통신하여 경로를 최적화할 경우, 상대 노드(310)가 이동 노드(370)를 인증하고, 상기 상대 노드(310)에 이동 노드(370)를 등록하는 절차를 수행해야 한다. 이와 같은 경로 최적화 과정이 발생하면, 상기 상대 노드(310)는 최적화된 경로를 통해서 데이터를 이동 노드(370)로 전송할 수 있게 된다. 이때 상대 노드(310)를 보호하는 패킷 필터 규칙에 의해 상대 노드(310)로부터 이동 노드(370)로의 상향 링크 데이터가 이동 노드(370)로 도달 전에 폐기되는 현상이 발생한다. 즉, 목적지 주소가 의탁 주소이기 때문에 패킷 필터 규칙에 의해 필터링되는 현상이 발생한다. 이에 따라서, 본 발명에서는 IP 통신망에서 라우팅 헤더2(routing header 2, 이하 '라우팅 헤더 타입 2(routing headertype 2)'라 칭함)(350)에 포함되는 홈 주소를 패킷 필터 규칙에 적용함으로써 상대 노드(310)에서 이동 노드(370)로 전송되는 상향 링크 데이터가 드랍 없이 전송되도록 한다. 이 경우 주의할 점은 패킷 필터 규칙이 이러한 규칙을 인식할 수 있도록 하는 것과 함께 이동 노드(370)가 인증되고 등록된 것인지를 확인하는 절차가 필요하다. 이때 binding update 과정에 대한 응답인 binding acknowledgement message를 이용하여 인식할 수 있도록 한다.
도 3을 참조하면, 상기 상대 노드(310)는 소스 주소(330), 목적지 주소(340), 라우팅 헤더 타입 2(350)를 포함하는 패킷을 패킷 필터링 장치(320)로 전송한다.
패킷 필터링 장치(320)는 라우팅 헤더 타입 2(350)에 들어가는 홈 주소를 패킷 필터 규칙에 적용하고, 패킷 필터 규칙이 이러한 규칙을 인식할 수 있어야 하 며, 상기 이동 노드(370)가 인증되고 등록된 것인지를 확인하는 절차가 필요하다. 이 경우 상기 이동 노드(370)로부터 binding acknowledgement message를 수신함으로써 binding update message가 성공적으로 수신되었는지 확인하도록 한다.
이때 상기 패킷 필터링 장치(320)는 패킷 필터 규칙이 저장되고, 패킷 필터 규칙이 적용된 망에서 패킷이 외부로 전송되는 경우 IP, UDP, TCP 등의 패킷 헤더영역을 분석하여 패킷 필터 규칙에 적용함을 가정한다.
도 4 및 도 5는 본 발명의 제1 실시 예에 따른 모바일 아이피를 사용하는 네트워크 시스템에서 패킷 필터링 방법을 도시한 흐름도이다. 도 4 및 도 5를 참조하여 패킷 필터링 동작을 설명하기로 한다.
특히, 도 4는 본 발명의 제1 실시 예에 따라 binding update 과정에 대한 응답인 binding acknowledgement 메시지를 인식하여 패킷 필터 장치에 패킷 필터 규칙을 추가하기 위한 과정을 설명하기 위한 흐름도이다.
먼저, 패킷 필터링 장치(320)는 401 단계에서 상대 노드(310)로부터 패킷을 수신한다. 그런 후, 상기 패킷 필터링 장치(320)는 403 단계에서 수신한 패킷의 다음 헤더를 판독하여 라우팅 헤더 타입인가를 판단한다.
만약 라우팅 헤더 타입이 아닌 경우, 패킷 필터링 장치(320)는 405 단계에서 패킷 헤더를 판독한 후, 419 단계로 진행하여 패킷 필터링 과정을 진행한다.
그러나 패킷의 다음 헤더가 라우팅 헤더 타입인 경우, 패킷 필터링 장치(320)는 409 단계에서 라우팅 헤더 타입이 라우팅 헤더 타입 2인가를 판단한다.
만약, 라우팅 헤더 타입이 라우팅 헤더 타입 2가 아닌 경우, 패킷 필터링 장 치(320)는 411 단계에서 패킷을 라우팅한다. 이후, 패킷 필터링 장치(320)는 419 단계로 진행하여 패킷 필터링 과정을 진행한다.
그러나 라우팅 헤더 타입이 라우팅 헤더 타입 2인 경우 패킷 필터링 장치(320)는413 단계에서 라우팅 헤더의 홈 주소 필드에 있는 주소가 패킷 필터 규칙의 목적지 주소인가를 판단한다.
만약 라우팅 헤더의 홈 주소 필드에 있는 주소가 패킷 필터 규칙의 목적지 주소가 아닌 경우 패킷 필터링 장치(320)는 423 단계로 진행하여 현재 패킷 필터 규칙을 유지한다.
그러나 이동 노드의 홈 주소가 패킷 필터 규칙의 목적지 주소인 경우 패킷 필터링 장치(320)는 415 단계에서 패킷의 다음 헤더가 모빌리티 헤더(Mobility Header, 이하, 'MH'라 칭함)인가를 판단한다. 만약 패킷의 다음 헤더가 MH가 아닌 경우 패킷 필터링 장치(320)는 417 단계에서 패킷 헤더를 판독한 후, 419 단계에서 패킷 필터링 과정을 진행한다.
그러나 패킷의 다음 헤더가 MH인 경우 패킷 필터링 장치(320)는 421 단계에서 수신된 패킷이 바인딩 업데이트 과정에 대한 응답인 바인딩 응답(binding acknowledgement) 메시지인가를 판단한다.
만약 바인딩 응답 메시지가 아닌 경우 패킷 필터링 장치(320)는 423 단계에서 현재 패킷 필터 규칙을 유지한다.
그러나 수신된 패킷이 바인딩 응답 메시지인 경우 패킷 필터링 장치(320)는425 단계에서 바인딩 응답 메시지의 상태(status) 필드를 확인하여 상태 필드 값이 0이면 binding update 메시지를 상대 노드가 성공적으로 수신한 것으로 판단한다.
만약 바인딩 응답 메시지 확인을 통해 binding update를 성공적으로 수신하지 않은 것으로 판단된 경우 패킷 필터링 장치(320)는 423 단계로 진행하여 현지 패킷 필터 규칙을 유지한다.
그러나, binding acknowledgement 메시지 확인을 통해 binding update 메시지를 성공적으로 수신한 것으로 판단된 경우 패킷 필터링 장치(320)는 바인딩 응답(binding acknowledgement)까지 완수한 경우이므로 427 단계에서 목적지 주소에 실려있는 의탁 주소를 패킷 필터 규칙의 목적지 주소의 가능한 값(candidate destination address)으로 패킷 필터 규칙에 새롭게 추가한다.
도 5는 본 발명의 제1 실시 예에 따른 패킷 필터 규칙을 이용하여 상대 노드에서 이동 노드로 전송되는 상향 링크 데이터의 패킷 필터링 방법을 도시한 흐름도이다.
패킷 필터링 장치(320)는 501 단계에서 상대 노드(310)로부터 패킷을 수신한다.
이후, 상기 패킷 필터링 장치(320)는 503 단계에서 패킷의 목적지 주소가 홈 주소인가를 판단한다. 만약 패킷의 목적지 주소가 홈 주소인 경우 패킷 필터링 장치(320)는 505 단계에서 포트 넘버를 판독한 후 511 단계로 진행하여 패킷 필터링 과정을 수행한다.
그러나 패킷의 목적지 주소가 홈 주소가 아닌 경우 패킷 필터링 장치(320)는 507 단계에서 패킷의 다음 헤더를 판독하여 라우팅 헤더인가를 판단한다.
만약 라우팅 헤더가 아닌 경우, 패킷 필터링 장치(320)는 509 단계에서 패킷 헤더를 판독한 후, 511 단계에서 패킷 필터링 과정을 수행한다.
그러나 패킷의 다음 헤더가 라우팅 헤더인 경우 패킷 필터링 장치(320)는513 단계에서 라우팅 헤더가 타입 2인가를 판단한다.
만약, 라우팅 헤더가 타입 2가 아닌 경우, 패킷 필터링 장치(320)는515 단계에서 패킷을 라우팅한다.
그러나 라우팅 헤더가 타입 2인 경우 패킷 필터링 장치(320)는 517 단계에서 라우팅 헤더의 홈 주소 필드에 포함된 주소가 패킷 필터 규칙의 목적지 주소인가를 판단한다.
만약 라우팅 헤더의 홈 주소 필드에 포함된 주소가 패킷 필터 규칙의 목적지 주소인 경우 패킷 필터링 장치(320)는 523 단계로 진행하여 패킷을 통과시킨다.
그러나 라우팅 헤더의 홈 주소 필드에 포함된 주소가 패킷 필터 규칙의 목적지 주소가 아닌 경우 패킷 필터링 장치(320)는 519 단계로 진행하여 패킷의 목적지 주소에 실려있는 의탁 주소가 패킷 필터 규칙의 후보(candidate) 목적지 주소와 동일한가를 판단한다.
만약 패킷의 목적지 주소에 실려있는 의탁 주소가 패킷 필터 규칙의 후보 목적지 주소와 동일하지 않은 경우 패킷 필터링 장치(320)는 521 단계에서 패킷을 드랍시킨다.
그러나 패킷의 목적지 주소에 실려있는 의탁 주소가 패킷 필터 규칙의 후보 목적지 주소와 동일한 경우 패킷 필터링 장치(320)는 523 단계에서 패킷을 통과시 킨다.
도 6은 본 발명의 제1 실시 예에 따른 모바일 아이피를 사용하는 네트워크 시스템에서 패킷 필터링 장치의 블록 구성도이다. 도 6을 참조하여 본 발명의 제1 실시 예에 따른 패킷 필터링 장치에서의 패킷 필터링 동작을 설명하기로 한다.
도 6을 참조하면, 본 발명의 제1 실시 예에 따른 패킷 필터링 장치(320)는 상대 노드(310)로부터 전송되는 패킷을 수신하여 패킷의 통과 여부를 판단하는 패킷 필터 규칙 적용부(610)와, 수신된 패킷이 본발명의 제1 실시 예에서 사용되는 라우팅 헤더 타입 2(350)를 사용하는지 판독하여 수신 패킷의 목적지 주소를 확인하는 판독부(600)를 포함한다.
또한 패킷 필터링 장치(320)는 MH 판독부(650)와, 패킷 필터 규칙 추가부(660)를 더 포함한다.
상기 패킷 필터 규칙 적용부(610)는 패킷이 입력되면 상기 패킷을 패킷 필터 규칙에 적용하기 위해서 상기 다음 헤더 판독부(620)로 출력한다.
또한 상기 패킷 필터 규칙 적용부(610)는 패킷의 라우팅 헤더(350)에 있는 홈 주소와 패킷 필터 규칙의 목적지 주소와 비교하여 일치하는 경우 패킷을 통과시킨다.
또한 상기 패킷 필터 규칙 적용부(610)는 패킷의 목적지 주소에 실려있는 의탁 주소를 패킷 필터 규칙의 후보 목적지 주소와 비교하여 일치하는 경우 패킷을 통과시킨다.
한편, 상기 판독부(600)는 다음 헤더 판독부(620)와, 라우팅 타입 판독 부(630)와, 홈 주소 판독부(640)로 구성된다.
상기 다음 헤더 판독부(620)는 입력된 패킷의 다음 헤더가 라우팅 헤더인가를 판독한 후, 그 결과를 라우팅 타입 판독부(630)로 출력한다.
상기 라우팅 타입 판독부(630)는 상기 다음 헤더가 라우팅 헤더인 경우, 상기 라우팅 헤더가 라우팅 헤더 타입 2(350)인가를 판독한 후, 그 결과를 홈 주소 판독부(640)로 출력한다.
상기 홈 주소 판독부(640)은 상기 라우팅 헤더가 라우팅 헤더 타입 2(350)를 사용하는 경우, 라우팅 헤더에 있는 주소가 이동 노드의 홈 주소인가를 판독한 후그 결과를 패킷 규칙 적용부(610)로 출력한다.
그러나 상기 패킷의 다음 헤더가 라우팅 헤더 타입 2인 경우 홈 주소 판독부(640)는 라우팅 헤더의 홈 주소 필드에 있는 주소가 패킷 필터 규칙의 목적지 주소인가를 판단한 후, 목적지 주소가 아닌 경우 패킷 필터 규칙 적용부(610)로 패킷을 전송한다. 그러면, 상기 패킷 필터 규칙 적용부(610)는 현재 패킷 필터 규칙을 유지한다.
그러나 이동 노드의 홈 주소가 목적지 주소인 경우 상기 홈 주소 판독부(640)는 상기 패킷을 MH 판독부(650)로 전송한다.
상기 MH 판독부(650)는 이동 노드의 홈 주소가 목적지 주소가 아닌 경우 상기 패킷의 다음 헤더가 MH인가를 판단하고, 상기 패킷의 다음 헤더가 MH인 경우 바인딩 응답 메시지를 수신하였는가를 확인하고, 상기 바인딩 응답 메시지의 상태 필드 값이 0이면 binding update를 상대 노드가 성공적으로 수신한 것으로 판단하고 패킷 필터 규칙 추가부(660)로 상기 패킷을 전송한다. 즉, 바인딩 응답 메시지의 상태 필드 값에 따라서 바인딩 업데이트를 상대 노드(310)가 성공적으로 수신한 것로 판단한다.
상기 패킷 필터 규칙 추가부(660)는 상기 상대 노드(310)가 바인딩 업데이트를 성공적으로 수신한 경우 목적지 주소에 실려있는 의탁 주소를 패킷 필터 규칙의 후보 목적지 주소로 새롭게 추가한다.
본 발명의 제2 실시 예에서는 이동 노드가 홈 망에 있을 때 패킷 필터 규칙이 등록되었더라도 MIPv6이 적용되는 네트워크 시스템에서 이동 노드(370)가 상대 노드(310)와 데이터 통신 시 전송하는 패킷의 특성을 패킷 필터 규정에 반영함으로써 상대 노드(310)가 홈망(300)에 있더라도 데이터 패킷(Data Packet)이 폐기되지 않도록 한다.
그러면 모바일 IP를 사용하는 네트워크 시스템에서 이동 노드(370)가 상대 노드(310)로 데이터를 전송하기 위해 본 발명에 따라 패킷 필터 규칙이 적용되는 경우의 데이터 송수신 방법을 설명하기로 한다.
도 7은 본 발명의 제2 실시 예에 따른 모바일 IP를 사용하는 네트워크 시스템을 나타낸 도면이다.
도 7을 참조하면, 데이터를 이동 노드(370)에서 상대 노드(310)으로 보내는 과정에서는 홈 주소 옵션 헤더(Home Address Option Header)(780)를 사용하여 데이터를 전송하게 되며, 이때 이동 노드의 홈 주소가 상기 홈 주소 옵션 헤더(780)에 포함되어 전송된다. 도 7에서는 홈 주소 옵션(Home Address Option)(780)으로 명기 하기로 한다.
이동 노드(370)에서 상대 노드(310)로 데이터 전송시, 상기 상대 노드(310)는 홈 주소 옵션 헤더(780)에 있는 홈 주소를 소스 주소(730)와 스위칭(Switching)하여 상대 노드(310)와 통신하고 있던 이동 노드(370)로부터 데이터가 전송되었는지를 판별하는데 사용한다. 즉 상기 홈 주소는 이동 노드(370)가 원래의 상대 노드(310)와 통신을 하고 있던 이동 노드(370)임을 알고 해당 데이터를 읽어 내는데 있어 활용된다.
이에 대해 본 발명의 제2 실시 예에서는 상기 이동 노드(370)에서 패킷 필터 규정이 적용되는 패킷 필터링 장치(320)를 통해 직접 상대 노드(310)로 전송되는 경우, 상기 패킷 필터링 장치(320)는 홈 주소 옵션 헤더(780)를 이용하여 홈 주소 옵션에 있는 주소를 읽어 그 주소가 패킷 필터 규칙의 소스 주소와 일치할 경우 패킷을 직접 통과함을 특징으로 한다. 여기서 상기 패킷 필터링 장치(320)는 라우터가 될 수 있고, 상기 홈 주소 옵션 헤더에는 128 비트의 MIPv6 주소 형태로 홈 주소가 저장된다.
그러면, 본 발명의 제2 실시 예에 따른 패킷 필터링 장치에서의 패킷 필터링 방법을 설명하기로 한다.
도 8은 본 발명의 제2 실시 예에 따른 패킷 필터링 방법을 나타낸 흐름도이다.
도 8을 참조하면, 패킷 필터링 장치(320)는 801단계에서 이동 노드(370)로부터 패킷을 수신한다. 그러면 상기 패킷 필터링 장치(320)는 상기 수신된 패킷의 소 스 주소가 홈 주소인지 확인한다. 수신된 패킷의 소스 주소가 홈 주소일 경우 패킷 필터링 장치(320)는 805 단계에서 수신된 패킷의 목적지 주소를 읽은 후, 819 단계에서 패킷 필터링 과정을 진행한다. 그러나 소스 주소가 이동 노드의 홈 주소가 아닌 경우, 본 발명의 제2 실시 예에서는 상기 수신된 패킷이 적법한 패킷인지 판단하기 위해 다음과 같은 동작을 수행한다.
패킷 필터링 장치(320)는 807 단계에서 다음 헤더를 판독하여 다음 헤더가 목적지 옵션 헤더인가를 판단한다. 상기 다음 헤더가 목적지 옵션 헤더가 아닌 경우, 패킷 필터링 장치(320)는 809 단계로 진행하여 상기 다음 헤더가 어떠한 헤더인지 판독하고, 819 단계에서 패킷 필터링 과정을 진행한다. 그러나 상기 다음 헤더가 목적지 옵션 헤더인 경우, 811 단계에서 옵션 타입이 홈 주소 옵션인지를 판독한다.
옵션 타입이 홈 주소 옵션이 아니면, 단순히 MIPv6의 목적지 옵션 헤더가 사용된 경우로 패킷 필터링 장치(320)는 815 단계로 진행하여 수신 패킷을 드랍시키게 된다. 그러나 옵션 타입이 홈 주소 옵션인 경우, MIPv6 의 홈 주소 옵션이 사용된 경우이므로 홈 주소를 읽는다. 그러면 상기 패킷 필터링 장치(320)는 813 단계에서 상기 읽은 옵션 타입의 홈 주소 옵션의 주소가 패킷 필터 규칙에 미리 저장된 소스 주소인지를 확인한다. 상기 옵션 타입의 홈 주소가 패킷 필터 규칙에 의한 소스 주소이면 패킷 필터링 장치(320)는 817 단계에서 상기 수신 패킷를 통과시키고, 아니면 815 단계에서 패킷을 드랍시킨다.
그러면 본 발명의 제2 실시 예에서 사용하는 홈 주소의 옵션값을 통해 데이 터의 통과 여부를 판단하는 패킷 필터링 장치 및 방법을 설명하기로 한다.
도 9는 본 발명의 제2 실시 예에 따른 패킷 필터링 장치를 나타낸 블록도이다.
도 9를 참조하면, 본 발명에 따른 패킷 필터링 장치(320)는 홈 망(300)의 외부로부터 전송되는 패킷을 수신하여 패킷의 통과 여부를 판단하는 패킷 필터 규칙적용부(610)와, 수신된 패킷이 본 발명의 제2 실시 예에서 사용되는 홈 주소 옵션헤더(780)를 사용하는지 판독하여 수신 패킷의 소스 주소를 확인하는 판독부(900)를 포함한다.
상기 패킷 필터 규칙 적용부(610)는 수신 패킷의 소스 주소를 확인하여 미리 정해진 패킷 필터 규칙에 따른 소스 주소가 아닌 경우, 상기 판독부(900)로부터 수신 패킷의 소스 주소를 수신하여 미리 정해진 패킷 필터 규칙에 따른 소스 주소인지를 비교하여 수신 패킷의 통과 여부를 결정하게 된다. 즉, 상기 패킷 필터 규칙 적용부(610)는 홈 주소 옵션 헤더(780)에 있는 홈 주소와 패킷 필터 규칙에 따른 소스 주소가 일치하는가를 판단하여 수신 패킷의 통과 여부를 결정한다.
상기 판독부(900)는 수신 패킷의 IP, UDP, TCP 등의 패킷헤더 영역을 분석하여 패킷 필터 규칙을 적용한다. 상기 판독부(900)는 다음 헤더 판독부(620), 옵션 타입 판독부(910), 홈 주소 판독부(640)를 포함한다.
상기 다음 헤더 판독부(620)는 수신된 패킷의 다음 헤더에서 소스 주소가 허여된 홈 주소가 아닌 경우, 다음 헤더를 판독하여 목적지 옵션 헤더(Destination Option Header)을 사용하는지를 확인한다. 다음으로 옵션 타입 판독부(910)는 상기 다음 헤더가 목적지 옵션 헤더를 사용하면 옵션 타입을 판독하여 홈 주소 옵션을 사용하는지를 확인한다. 상기 홈 주소 판독부(640)는 상기 옵션 타입이 홈 주소 옵션인 경우 수신 패킷의 소스 주소를 판독하여 상기 패킷 필터 규칙 적용부(610)에 전송한다. 즉, 홈 주소 판독부(640)는 상기 옵션 타입이 홈 주소 옵션인 경우 홈 주소 옵션 헤더에 있는 홈 주소를 판독한다.
한편, 본 발명의 상세한 설명에서는 구체적인 실시 예에 관해서 설명하였으나, 본 발명의 범위에서 벗어나지 않는 한도 내에서 여러 가지 변형이 가능함을 당해 분야에서 통상의 지식을 가진 자에게 있어서 자명하다 할 것이다.
도 1은 일반적인 상대 노드에서 이동 노드로 데이터를 전송하는 모바일IP를 사용하는 네트워크 시스템을 나타낸 도면,
도 2는 일반적인 이동 노드에서 상대 노드로 데이터를 전송하는 모바일 IP를 사용하는 네트워크 시스템을 나타낸 도면,
도 3은 본 발명의 제1 실시 예에 따른 모바일 IP를 사용하는 네트워크 시스템을 나타낸 도면,
도 4는 본 발명의 제1 실시 예에 따라 Binding Update(BU) 과정에 대한 응답인 Binding Acknowledgement(BA) 메시지를 인식하여 패킷 필터에 규칙을 추가하기 위한 과정을 설명하기 위한 흐름도,
도 5는 본 발명의 제1 실시 예에 따른 패킷 필터 규칙을 이용하여 상대 노드에서 이동 노드로 전송되는 상향 링크 데이터의 패킷 필터링 방법을 도시한 흐름도,
도 6은 본 발명의 제1 실시 예에 따른 모바일 아이피를 사용하는 네트워크 시스템에서 패킷 필터링 장치의 블록 구성도,
도 7은 본 발명의 제2 실시 예에 따른 모바일 IP를 사용하는 네트워크 시스템을 나타낸 도면,
도 8은 본 발명의 제2 실시 예에 따른 패킷 필터링 방법을 나타낸 흐름도,
도 9는 본 발명의 제2 실시 예에 따른 패킷 필터링 장치를 나타낸 블록도.

Claims (30)

  1. 모바일 IP를 사용하는 네트워크 시스템에 있어서,
    패킷 필터 규칙에 관한 정보가 포함된 패킷을 전송하는 상대 노드;
    상기 상대 노드로부터 수신된 패킷의 정보에 포함된 목적지 주소가 상기 패킷 필터 규칙에 저장된 목적지 주소와 일치하는 경우, 상기 수신된 패킷을 통과시키는 패킷 필터링 장치를 포함하며,
    여기서, 상기 패킷 필터 규칙에 관한 정보는 라우팅 헤더의 홈 주소 필드에 있는 주소임을 특징으로 하는 네트워크 시스템.
  2. 삭제
  3. 제1항에 있어서,
    상기 패킷 필터링 장치는,
    상기 수신된 패킷의 다음 헤더가 라우팅 헤더인가를 판독하는 다음 헤더판독부;
    상기 다음 헤더가 라우팅 헤더인 경우, 상기 라우팅 헤더의 라우팅 헤더 타입이 2인가를 판독하는 라우팅 타입 판독부;
    상기 라우팅 헤더의 라우팅 헤더 타입이 2인 경우, 상기 라우팅 헤더에 포함된 목적지 주소가 이동 노드의 홈 주소인가를 판독하는 홈 주소 판독부;
    상기 라우팅 헤더에 포함된 목적지 주소가 이동 노드의 홈 주소인 경우 상기 라우팅 헤더에 포함된 목적지 주소가 상기 패킷 필터 규칙에 저장된 목적지 주소와 일치하면 상기 수신된 패킷을 통과시키는 패킷 필터 규칙 적용부를 포함함을 특징으로 하는 네트워크 시스템.
  4. 삭제
  5. 제3항에 있어서,
    상기 패킷 필터 규칙 적용부는,
    상기 라우팅 헤더에 포함된 목적지 주소와 상기 패킷 필터 규칙에 저장된 목적지 주소가 일치할 경우, 상기 수신된 패킷을 통과시킴을 특징으로 하는 네트워크 시스템.
  6. 제3항에 있어서,
    상기 패킷 필터 규칙 적용부는,
    상기 라우팅 헤더에 포함된 목적지 주소와 상기 패킷 필터 규칙에 저장된 목적지 주소가 일치하지 않은 경우, 상기 수신된 패킷의 목적지 주소에 실려있는 의탁 주소를 상기 패킷 필터 규칙의 후보 목적지 주소와 일치하는지 판단하고, 일치할 경우 상기 수신된 패킷을 통과시킴을 특징으로 하는 네트워크 시스템.
  7. 제3항에 있어서,
    상기 라우팅 헤더에 포함된 목적지 주소와 상기 패킷 필터 규칙에 저장된 목적지 주소가 일치할 경우, 상기 수신된 패킷의 다음 헤더가 모빌리티 헤더인가를 판독하고, 상기 수신된 패킷의 다음 헤더가 모빌리티 헤더인 경우 바인딩 응답 메시지를 수신하였는가를 확인하고, 상기 바인딩 응답 메시지의 상태 필드 값이 0인 경우 바인딩 업데이트를 상기 상대 노드가 성공적으로 수신한 것으로 판독하는 모빌리티 헤더 판독부;
    상기 바인딩 업데이트를 상기 상대 노드가 성공적으로 수신한 경우 상기 수신된 패킷의 목적지 주소에 실려있는 의탁 주소를 상기 패킷 필터 규칙의 후보 목적지 주소로 새롭게 추가하는 패킷 필터 규칙 추가부를 더 포함함을 특징으로 하는 네트워크 시스템.
  8. 모바일 IP를 사용하는 네트워크 시스템에서 패킷 필터링 방법에 있어서,
    패킷 필터 규칙에 관한 정보가 포함된 패킷을 상대 노드로부터 수신하는 과정;
    상기 수신된 패킷의 정보에 포함된 목적지 주소가 상기 패킷 필터 규칙에 저장된 목적지 주소와 일치하는 경우, 상기 수신된 패킷을 통과시키는 과정을 포함하며,
    여기서, 상기 패킷 필터 규칙에 관한 정보는 라우팅 헤더의 홈 주소 필드에 있는 주소임을 특징으로 하는 패킷 필터링 방법.
  9. 삭제
  10. 제8항에 있어서,
    상기 수신된 패킷을 통과시키는 과정은,
    상기 수신된 패킷의 다음 헤더가 라우팅 헤더인가를 판독하는 과정;
    상기 다음 헤더가 라우팅 헤더인 경우, 상기 라우팅 헤더의 라우팅 헤더 타입이 2인가를 판독하는 과정;
    상기 라우팅 헤더의 라우팅 헤더 타입이 2인 경우, 상기 라우팅 헤더에 포함된 목적지 주소가 이동 노드의 홈 주소인가를 판독하는 과정;
    상기 라우팅 헤더에 포함된 목적지 주소가 이동 노드의 홈 주소인 경우 상기 라우팅 헤더에 포함된 목적지 주소가 상기 패킷 필터 규칙에 저장된 목적지 주소와 일치하면 상기 수신된 패킷을 통과시키는 과정을 더 포함함을 특징으로 하는 패킷 필터링 방법.
  11. 삭제
  12. 제10항에 있어서,
    상기 라우팅 헤더에 포함된 목적지 주소와 상기 패킷 필터 규칙에 저장된 목적지 주소가 일치하지 않은 경우, 상기 수신된 패킷의 목적지 주소에 실려있는 의탁 주소가 상기 패킷 필터 규칙의 후보 목적지 주소와 일치하는지 판단하고, 일치할 경우 상기 수신된 패킷을 통과시킴을 특징으로 하는 패킷 필터링 방법.
  13. 제10항에 있어서,
    상기 라우팅 헤더에 포함된 목적지 주소와 상기 패킷 필터 규칙에 저장된 목적지 주소가 일치할 경우 상기 수신된 패킷의 다음 헤더가 모빌리티 헤더인가를 판독하고, 상기 수신된 패킷의 다음 헤더가 모빌리티 헤더인 경우 바인딩 응답 메시지를 수신하였는가를 확인하고, 상기 바인딩 응답 메시지의 상태 필드 값이 0인 경우 바인딩 업데이트를 상기 상대 노드가 성공적으로 수신한 것으로 판독하는 과정;
    상기 수신된 패킷의 목적지 주소에 실려있는 의탁 주소를 상기 패킷 필터 규칙의 후보 목적지 주소로 새롭게 추가하는 과정을 더 포함함을 특징으로 하는 패킷 필터링 방법.
  14. 모바일 IP를 사용하는 네트워크 시스템에서 패킷 필터링 장치에 있어서,
    수신된 패킷의 다음 헤더가 라우팅 헤더인가를 판독하는 다음 헤더판독부와;
    상기 다음 헤더가 라우팅 헤더인 경우, 상기 라우팅 헤더의 라우팅 헤더 타입이 2인가를 판독하는 라우팅 타입 판독부;
    상기 라우팅 헤더의 라우팅 헤더 타입이 2인 경우, 상기 라우팅 헤더에 포함된 목적지 주소가 이동 노드의 홈 주소인가를 판독하는 홈 주소 판독부;
    상기 라우팅 헤더에 포함된 목적지 주소가 이동 노드의 홈 주소인 경우 상기 라우팅 헤더에 포함된 목적지 주소가 패킷 필터 규칙에 저장된 목적지 주소와 일치하면 상기 수신된 패킷을 통과시키는 패킷 필터 규칙 적용부를 포함함을 특징으로 하는 패킷 필터링 장치.
  15. 제14항에 있어서,
    상기 패킷 필터 규칙 적용부는,
    상기 라우팅 헤더에 포함된 목적지 주소와 상기 패킷 필터 규칙에 저장된 목적지 주소가 일치할 경우, 상기 수신된 패킷을 통과시킴을 특징으로 하는 패킷 필터링 장치.
  16. 제14항에 있어서,
    상기 패킷 필터 규칙 적용부는,
    상기 라우팅 헤더에 포함된 목적지 주소와 상기 패킷 필터 규칙에 저장된 목적지 주소가 일치하지 않은 경우, 상기 수신된 패킷의 목적지 주소에 실려있는 의탁 주소를 상기 패킷 필터 규칙의 후보 목적지 주소와 일치하는지 판단하고, 일치할 경우 상기 수신된 패킷을 통과시킴을 특징으로 하는 패킷 필터링 장치.
  17. 제14항에 있어서,
    상기 라우팅 헤더에 포함된 목적지 주소와 상기 패킷 필터 규칙에 저장된 목적지 주소가 일치할 경우, 상기 수신된 패킷의 다음 헤더가 모빌리티 헤더인가를 판독하고, 상기 수신된 패킷의 다음 헤더가 모빌리티 헤더인 경우 바인딩 응답 메시지를 수신하였는가를 확인하고, 상기 바인딩 응답 메시지의 상태 필드 값이 0인 경우 바인딩 업데이트를 상대 노드가 성공적으로 수신한 것으로 판독하는 모빌리티 헤더 판독부;
    상기 수신된 패킷의 목적지 주소에 실려있는 의탁 주소를 상기 패킷 필터 규칙의 후보 목적지 주소로 새롭게 추가하는 패킷 필터 규칙 추가부를 더 포함함을 특징으로 하는 패킷 필터링 장치.
  18. 패킷 필터링 방법에 있어서,
    수신된 패킷의 다음 헤더가 라우팅 헤더인가를 판독하는 과정;
    상기 다음 헤더가 라우팅 헤더인 경우, 상기 라우팅 헤더의 라우팅 헤더 타입이 2인가를 판독하는 과정;
    상기 라우팅 헤더의 라우팅 헤더 타입이 2인 경우, 상기 라우팅 헤더에 포함된 목적지 주소가 이동 노드의 홈 주소인가를 판독하는 과정;
    상기 라우팅 헤더에 포함된 목적지 주소가 이동 노드의 홈 주소인 경우 상기 라우팅 헤더에 포함된 목적지 주소가 패킷 필터 규칙에 저장된 목적지 주소와 일치하면 상기 수신된 패킷을 통과시키는 과정을 포함함을 특징으로 하는 패킷 필터링 방법.
  19. 제18항에 있어서,
    상기 라우팅 헤더에 포함된 목적지 주소와 상기 패킷 필터 규칙에 저장된 목적지 주소가 일치할 경우, 상기 수신된 패킷을 통과시킴을 특징으로 하는 패킷 필터링 방법.
  20. 제18항에 있어서,
    상기 라우팅 헤더에 포함된 목적지 주소와 상기 패킷 필터 규칙에 저장된 목적지 주소와 일치하지 않은 경우, 상기 수신된 패킷의 목적지 주소에 실려있는 의탁 주소를 상기 패킷 필터 규칙의 후보 목적지 주소와 일치하는지 판단하고, 일치할 경우 상기 수신된 패킷을 통과시킴을 특징으로 하는 패킷 필터링 방법.
  21. 제18항에 있어서,
    상기 라우팅 헤더에 포함된 목적지 주소가 상기 패킷 필터 규칙에 저장된 목적지 주소와 일치할 경우, 상기 수신된 패킷의 다음 헤더가 모빌리티 헤더인가를 판독하고, 상기 수신된 패킷의 다음 헤더가 모빌리티 헤더인 경우 바인딩 응답 메시지를 수신하였는가를 확인하고, 상기 바인딩 응답 메시지의 상태 필드 값이 0이면 바인딩 업데이트를 상대 노드가 성공적으로 수신한 것으로 판독하는 과정;
    상기 수신된 패킷의 목적지 주소에 실려있는 의탁 주소를 상기 패킷 필터 규칙의 후보 목적지 주소로 새롭게 추가하는 과정을 더 포함함을 특징으로 하는 패킷 필터링 방법.
  22. 모바일 IP를 사용하는 네트워크 시스템에 있어서,
    패킷 필터 규칙에 관한 정보가 포함된 패킷을 전송하는 이동 노드;
    상기 이동 노드로부터 수신된 패킷의 정보에 포함된 홈 주소가 상기 패킷 필터 규칙에 저장된 소스 주소와 일치하는 경우, 상기 수신된 패킷을 통과시키는 패킷 필터링 장치를 포함하며,
    상기 패킷 필터 규칙에 관한 정보는 홈 주소 옵션 헤더에 있는 상기 홈 주소임을 특징으로 하는 네트워크 시스템.
  23. 삭제
  24. 제22항에 있어서,
    상기 패킷 필터링 장치는,
    상기 수신된 패킷의 다음 헤더가 목적지 옵션 헤더인가를 판독하는 다음 헤더 판독부;
    상기 다음 헤더가 목적지 옵션 헤더인 경우 옵션 타입을 판독하는 옵션 타입 판독부;
    상기 옵션 타입이 홈 주소 옵션인가를 판독하는 홈 주소 판독부;
    상기 옵션 타입이 홈 주소 옵션인 경우 홈 주소 옵션 헤더에 있는 홈 주소가 패킷 필터 규칙에 저장된 소스 주소와 일치하면 상기 수신된 패킷을 통과시키는 패킷 필터 규칙 규정부를 포함함을 특징으로 하는 네트워크 시스템.
  25. 모바일 IP를 사용하는 네트워크 시스템에서 패킷 필터링 방법에 있어서,
    이동 노드에서 패킷 필터 규칙에 관한 정보가 포함된 패킷을 전송하는 과정;
    패킷 필터 장치에서 상기 이동 노드로부터 수신된 패킷의 정보에 포함된 홈 주소가 상기 패킷 필터 규칙에 저장된 소스 주소와 일치하는 경우, 상기 수신된 패킷을 통과시키는 과정을 포함하며,
    여기서, 상기 패킷 필터 규칙에 관한 정보는 홈 주소 옵션 헤더에 있는 상기 홈 주소임을 특징으로 하는 패킷 필터링 방법.
  26. 삭제
  27. 제25항에 있어서,
    상기 수신된 패킷을 통과시키는 과정은,
    상기 수신된 패킷의 다음 헤더가 목적지 옵션 헤더인가를 판독하는 과정;
    상기 다음 헤더가 목적지 옵션 헤더인 경우 옵션 타입을 판독하는 과정;
    상기 옵션 타입이 홈 주소 옵션인가를 판독하는 과정;
    상기 옵션 타입이 홈 주소 옵션인 경우 홈 주소 옵션 헤더에 있는 홈 주소가 패킷 필터 규칙에 저장된 소스 주소와 일치하면 상기 수신된 패킷을 통과시키는 과정을 포함함을 특징으로 하는 패킷 필터링 방법.
  28. 제27항에 있어서,
    상기 홈 주소 옵션 헤더에 있는 홈 주소가 상기 패킷 필터 규칙에 저장된 소스 주소와 일치할 경우 상기 수신된 패킷을 통과시킴을 포함함을 특징으로 하는 패킷 필터링 방법.
  29. 이동 노드에서 상대 노드로 전송되는 패킷의 패킷 필터링 방법에 있어서,
    수신된 패킷의 다음 헤더가 목적지 옵션 헤더인가를 판독하는 과정;
    상기 다음 헤더가 목적지 옵션 헤더인 경우 옵션 타입을 판독하는 과정;
    상기 옵션 타입이 홈 주소 옵션인가를 판독하는 과정;
    상기 옵션 타입이 홈 주소 옵션인 경우 홈 주소 옵션 헤더에 있는 홈 주소가 패킷 필터 규칙에 저장된 소스 주소와 일치하면 상기 수신된 패킷을 통과시키는 과정을 포함함을 특징으로 하는 패킷 필터링 방법.
  30. 제29항에 있어서,
    상기 홈 주소 옵션 헤더에 있는 홈 주소가 상기 패킷 필터 규칙에 저장된 소스 주소와 일치할 경우 상기 수신된 패킷을 통과시킴을 특징으로 하는 패킷 필터링 방법.
KR1020070084014A 2006-08-21 2007-08-21 모바일 아이피를 사용하는 네트워크 시스템에서 패킷필터링 장치 및 방법 KR100909552B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20060079039 2006-08-21
KR1020060079039 2006-08-21

Publications (2)

Publication Number Publication Date
KR20080017282A KR20080017282A (ko) 2008-02-26
KR100909552B1 true KR100909552B1 (ko) 2009-07-27

Family

ID=39101312

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070084014A KR100909552B1 (ko) 2006-08-21 2007-08-21 모바일 아이피를 사용하는 네트워크 시스템에서 패킷필터링 장치 및 방법

Country Status (2)

Country Link
US (1) US8446874B2 (ko)
KR (1) KR100909552B1 (ko)

Families Citing this family (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8966607B2 (en) * 2009-07-15 2015-02-24 Rockstar Consortium Us Lp Device programmable network based packet filter
US9313238B2 (en) * 2011-12-26 2016-04-12 Vonage Network, Llc Systems and methods for communication setup via reconciliation of internet protocol addresses
US9565213B2 (en) 2012-10-22 2017-02-07 Centripetal Networks, Inc. Methods and systems for protecting a secured network
US9137205B2 (en) 2012-10-22 2015-09-15 Centripetal Networks, Inc. Methods and systems for protecting a secured network
US9203806B2 (en) 2013-01-11 2015-12-01 Centripetal Networks, Inc. Rule swapping in a packet network
US9124552B2 (en) 2013-03-12 2015-09-01 Centripetal Networks, Inc. Filtering network data transfers
US9094445B2 (en) 2013-03-15 2015-07-28 Centripetal Networks, Inc. Protecting networks from cyber attacks and overloading
US9264370B1 (en) 2015-02-10 2016-02-16 Centripetal Networks, Inc. Correlating packets in communications networks
US9866576B2 (en) 2015-04-17 2018-01-09 Centripetal Networks, Inc. Rule-based network-threat detection
US9917856B2 (en) 2015-12-23 2018-03-13 Centripetal Networks, Inc. Rule-based network-threat detection for encrypted communications
US11729144B2 (en) 2016-01-04 2023-08-15 Centripetal Networks, Llc Efficient packet capture for cyber threat analysis
US10554683B1 (en) 2016-05-19 2020-02-04 Board Of Trustees Of The University Of Alabama, For And On Behalf Of The University Of Alabama In Huntsville Systems and methods for preventing remote attacks against transportation systems
US10503899B2 (en) 2017-07-10 2019-12-10 Centripetal Networks, Inc. Cyberanalysis workflow acceleration
US10284526B2 (en) 2017-07-24 2019-05-07 Centripetal Networks, Inc. Efficient SSL/TLS proxy
US11233777B2 (en) 2017-07-24 2022-01-25 Centripetal Networks, Inc. Efficient SSL/TLS proxy
US10333898B1 (en) 2018-07-09 2019-06-25 Centripetal Networks, Inc. Methods and systems for efficient network protection
US11362996B2 (en) 2020-10-27 2022-06-14 Centripetal Networks, Inc. Methods and systems for efficient adaptive logging of cyber threat incidents
US11159546B1 (en) 2021-04-20 2021-10-26 Centripetal Networks, Inc. Methods and systems for efficient threat context-aware packet filtering for network protection

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050165917A1 (en) * 2003-12-22 2005-07-28 Nokia Corporation Method to support mobile IP mobility in 3GPP networks with SIP established communications

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6510465B1 (en) * 1994-04-19 2003-01-21 Ibm Dual communication services interface for distributed transaction processing
US6988146B1 (en) * 2000-07-13 2006-01-17 Alcatel Simple multicast extension for mobile IP SMM
US7333482B2 (en) * 2000-12-22 2008-02-19 Interactive People Unplugged Ab Route optimization technique for mobile IP
US7436804B2 (en) * 2002-09-18 2008-10-14 Qualcomm Incorporated Methods and apparatus for using a Care of Address option
GB0226289D0 (en) * 2002-11-11 2002-12-18 Orange Personal Comm Serv Ltd Telecommunications
US20050111454A1 (en) * 2003-11-25 2005-05-26 Narjala Ranjit S. Method, apparatus and system for intelligently and dynamically routing mobile internet protocol packets
US7583635B2 (en) * 2005-02-18 2009-09-01 Lg Electronics Inc. Establishing network address of mobile terminal in mobile communication system
US20070177550A1 (en) * 2005-07-12 2007-08-02 Hyeok Chan Kwon Method for providing virtual private network services to mobile node in IPv6 network and gateway using the same
JP2007036641A (ja) * 2005-07-27 2007-02-08 Hitachi Communication Technologies Ltd ホームエージェント装置、及び通信システム

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050165917A1 (en) * 2003-12-22 2005-07-28 Nokia Corporation Method to support mobile IP mobility in 3GPP networks with SIP established communications

Also Published As

Publication number Publication date
US8446874B2 (en) 2013-05-21
KR20080017282A (ko) 2008-02-26
US20080043739A1 (en) 2008-02-21

Similar Documents

Publication Publication Date Title
KR100909552B1 (ko) 모바일 아이피를 사용하는 네트워크 시스템에서 패킷필터링 장치 및 방법
US6163843A (en) Packet inspection device, mobile computer and packet transfer method in mobile computing with improved mobile computer authenticity check scheme
US8175037B2 (en) Method for updating a routing entry
KR100679882B1 (ko) 사설 네트워크와 로밍 모바일 단말 사이의 통신
Kent et al. Security architecture for the internet protocol
US6839338B1 (en) Method to provide dynamic internet protocol security policy service
US7143282B2 (en) Communication control scheme using proxy device and security protocol in combination
FI110464B (fi) IP-tietoturva ja liikkuvat verkkoyhteydet
JP5102372B2 (ja) 通信ネットワークにおいて使用する方法および装置
KR100636318B1 (ko) CoA 바인딩 프로토콜을 이용한 어드레스 오너쉽인증방법 및 그 시스템
US20120284788A1 (en) Methods and Apparatus for Sending Data Packets to and from Mobile Nodes in a Data Network
KR20070110864A (ko) 종단 점에 의한 방화벽 특징의 교섭을 가능하게 하는 방법,장치 및 컴퓨터 프로그램 생성물
WO2004030432A2 (en) System for resource authorization during handovers
JP4944904B2 (ja) モバイルインタネットプロトコルに準拠して交換されるメッセージの真正性を保証する方法
EP1978680A1 (en) A method, system and apparatus for optimizing route in mobile ipv6
JP2006246098A (ja) 可変ipアドレス環境下におけるセキュリティアソシエーション継続方法および端末装置
KR100922939B1 (ko) 모바일 아이피를 사용하는 네트워크 시스템에서 패킷필터링 장치 및 방법
JPWO2009011120A1 (ja) アドレス生成方法、アドレス生成システム、通信装置、通信方法、通信システム及び相手先通信装置
Mahyoub et al. Security analysis of critical 5g interfaces
Toledo Gandarias et al. Analytical efficiency evaluation of a network mobility management protocol for Intelligent Transportation Systems
JPWO2008087999A1 (ja) 通信方法、通信システム、移動通信装置及び相手先通信装置
Smaoui et al. A new secure and efficient scheme for network mobility management
Gollmann Protocol analysis for concrete environments
Brian et al. Security scheme for mobility management in the internet of things
JP2006229424A (ja) 通信装置およびパケットフィルタリング方法

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130627

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20140627

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20150629

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20160629

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20170629

Year of fee payment: 9