KR100922939B1 - 모바일 아이피를 사용하는 네트워크 시스템에서 패킷필터링 장치 및 방법 - Google Patents

모바일 아이피를 사용하는 네트워크 시스템에서 패킷필터링 장치 및 방법 Download PDF

Info

Publication number
KR100922939B1
KR100922939B1 KR1020070084655A KR20070084655A KR100922939B1 KR 100922939 B1 KR100922939 B1 KR 100922939B1 KR 1020070084655 A KR1020070084655 A KR 1020070084655A KR 20070084655 A KR20070084655 A KR 20070084655A KR 100922939 B1 KR100922939 B1 KR 100922939B1
Authority
KR
South Korea
Prior art keywords
packet
mobility
header
message
mobile
Prior art date
Application number
KR1020070084655A
Other languages
English (en)
Other versions
KR20080018144A (ko
Inventor
서경주
김대균
최성호
배범식
임연주
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Publication of KR20080018144A publication Critical patent/KR20080018144A/ko
Application granted granted Critical
Publication of KR100922939B1 publication Critical patent/KR100922939B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/26Network addressing or numbering for mobility support
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]

Abstract

본 발명은 모바일 아이피를 사용하는 네트워크 시스템에서 패킷 필터링 장치 및 방법에 관한 것이다.
본 발명의 실시 예에 따른 패킷 필터링 장치는, 모바일 IP를 사용하는 네트워크 시스템에서 이동 노드에서 상대 노드로 전송되는 패킷을 필터링하는 패킷 필터링 장치에 있어서, 수신된 패킷의 다음 헤더가 모빌리티 헤더인가를 판독하는 다음 헤더 판독부; 상기 다음 헤더가 모빌리티 헤더인 경우, 모빌리티 헤더 타입을 판독하는 모빌리티 헤더 타입 판독부; 상기 이동 노드에 의해 추가되는 모빌리티 옵션을 판독하는 모빌리티 옵션 판독부; 상기 모빌리티 옵션 판독부에서 판독한 모빌리티 옵션의 홈 주소가 패킷 필터 규칙에 저장된 소스 주소와 일치하는지를 비교하여 패킷의 통과 여부를 결정하는 패킷 규칙 적용부를 포함한다.
모바일 아이피(Mobile IP), 방화벽

Description

모바일 아이피를 사용하는 네트워크 시스템에서 패킷 필터링 장치 및 방법{PACKET FILLTERING APPARATUS AND METHOD IN NETWORK SYSTEM USING MOBILE IP NETWORK}
본 발명은 모바일 아이피를 사용하는 네트워크 시스템에 관한 것으로, 특히 모바일 아이피를 사용하는 네트워크 시스템에서 패킷 필터링 장치 및 방법에 관한 것이다.
최근에 아이피(IP : Internet Protocol) 통신망은 인터넷 기술의 비약적인 발전에 힘입어 급속한 발전을 이루고 있는 기술이다. 이러한 아이피 통신망에서는 각각 고정된 주소 즉, 아이피 주소(IP Address)를 가지고 각 사용자들 및 특정 서버가 동작하게 되며, 상기 주소를 근간으로 하여 라우팅(routing)이 이루어진다.
한편 이동통신 시스템에서도 이동 단말에게 보다 많은 데이터를 제공하기 위해 여러 가지 방식들이 제안되고 있다. 이러한 방식 중 하나로 이동 단말에 IP 주소를 할당하는 즉, 모바일 아이피(Mobile IP)라는 개념이 도입되기에 이르렀다. 이와 같은 모바일 아이피에 관련하여는 IETF(Internet Engineering Task Force)에서 많은 협의가 이루어지고 있으며, 현재 모바일 아이피 버젼 6(MIPv6)의 단계에까지 이르고 있다. IP(Internet Protocol)의 버전에 따라서 Mobile IPv4와 Mobile IPv6 기술이 있다.
IP 통신망은 IPv4를 기반으로 출발하였으나, 할당할 수 있는 IP 자원의 제한과 사용자 증대 및 다양한 서비스 제공을 위해 보다 진보된 형태인 IPv6를 기반으로 하는 형태로 발전하고 있다. 상기 IPv6의 가장 큰 특징은 IP 주소의 길이가 32 비트에서 128 비트로 늘어났다는 점이다. 인터넷이 폭발적으로 성장함에 따라서 네트워크 주소가 고갈될 것에 대비하여 IP 주소 길이를 확장한 것이다.
상기 IPv6는 헤더 영역이 확장됨으로서 패킷의 출처 인증, 데이터 무결성의 보장 및 비밀의 보장 등을 위한 메커니즘을 지정할 수 있도록하고 있다.
이러한 모바일 IP 통신망은 데이터 전송에 있어 기존 보유 아이피의 변경이나 접속의 끊김 없이 데이터를 제공하는 효과가 있다. 그러나, 이러한 모바일 아이피 기술에 대해 현재까지는 규격이 완성되어 상용 제품에 대한 적용이 이루어지고 있는 단계이므로 종래의 패킷 필터 규정을 이용할 경우 데이터 통신이 원활히 이루어지지 않는다.
도 1은 종래의 이동 노드에서 코티(Care of Test Init, CoTI) 메시지를 이용한 인증 과정을 설명하기 위한 모바일 IP를 사용하는 네트워크 시스템 구성도를 도시한 것이다.
이동 노드(Mobile Node, MN)(170)는 데이터 통신을 수행하는 단말이다. 상대 노드(Corresponding Node, CN)(110)는 상기 이동 노드(170)와 데이터 통신하는 상대편 노드를 의미한다.
패킷 필터링 장치(120)는 방화벽(firewall)으로, 인터넷 상에서 네트워크의 보안 사고나 위협이 더 이상 확대되지 않도록 막고 격리한다. 즉, 패킷 필터링 장치(120)는 내부 네트워크를 신뢰할 수 없는 외부 네트워크로부터 보호하기 위해 외부에서의 불법적인 트래픽 유입을 막고, 허가되고 인증된 트래픽만을 허용하는 방어 장치이다. 상기 패킷 필터링 장치(120)는 패킷 필터 규칙이 저장되어 있으며, 억세스 라우터(Access Router)가 될 수도 있다.
상기 Mobile IPv6에서는 홈 링크 영역에서 부여받은 홈 주소를 가지고 있는 이동 노드(170)가 홈 링크 영역을 떠나 원격지 링크 영역으로 이동한 경우에도, 원격지 링크 영역에서 부여받은 의탁 주소(Care of Address, CoA)를 이용하여 통신하고자 하는 상대 노드(110)와 통신할 수 있게 한다.
모바일 IP 통신망에서 이동 노드가 상대 노드와 데이터 통신하는 방법으로 다음 두 가지 방법이 있다.
첫째, 이동 노드와 상대 노드간 홈 에이전트(Home Agent, 이하 'HA'라 칭함)를 거치는 터널링 방법이다.
도 1에서 상대 노드(110)는 패킷 필터링 장치(120)의 패킷 필터 규칙을 적용하는 망에 의해 보호되고(protected) 있다. 이동 노드(170)는 상기 상대 노드(110)와의 통신을 위하여 초기에는 HA(160)를 거쳐서 통신을 하며, 이러한 통신 과정에서 패킷 필터 규칙이 패킷 필터링 장치(120)에 저장된다. 상기 이동 노드(170)에서 상대 노드(110)로 통신하는 경우, 상기 패킷 필터링 장치(120)는 다운 링크 패킷 필터(down link packet filter)로서, 소스 IP 주소(source IP address)는 이동 노 드의 홈 주소(home address)로 설정하고, 목적지 IP 주소(destination IP address)로는 상대 노드의 주소(address)로 설정한다. 여기서 하향 링크는 이동 노드에서 상대 노드로의 통신 경로를 의미한다. 또한 상향 링크는 상대 노드에서 이동 노드로의 통신 경로를 의미한다.
둘째, 경로의 최적화를 위해서 HA(160)를 통하지 않고 이동 노드(170)와 상대 노드(110)가 직접 통신하는 방법이다.
상기 HA(160)를 통하지 않고 이동 노드(170)와 상대 노드(110)가 직접 통신하기 위해서, 이동 노드(170)는 return routability 과정을 통해 상대 노드(110)로 인증을 시도한다. 상기 인증 시도 과정은 이동 노드(170)가 상대 노드(110)로 도 1에 도시된 코티 메시지를 전송함으로써 시작된다. 그러나 이러한 코티 메시지의 경우 홈 링크 영역에서 부여받은 홈 주소를 가지고 있는 이동 노드(170)가 홈 링크 영역을 떠나 원격지 링크 영역으로 이동하였기 때문에 소스 주소로 의탁 주소를 사용한다. 따라서 도 1에서 도시한 바와 같이, 상대 노드(110)로 패킷이 전송되기 전에 패킷 필터링 장치(120)에서 패킷 필터 규칙에 의해 드랍(drop)되는 문제점이 있다. 이때 패킷 필터링 장치(120)에서는 패킷 필터 규칙에 의해서 소스 주소가 홈 링크 영역에서 부여받은 홈 주소여야 하는데, 의탁 주소이기 때문에 침입자로 인식하게 된다.
즉, 인증하기 위하여 Return routability 과정이 도입되었으나 복수의 Return routability 메시지 중에 하나인 코티 메시지가 패킷 필터링 장치(120)에서 필터링되어 드랍되기 때문에 해당 네트워크가 보안상 취약하게 되어 공격 자(attacker)의 공격을 받을 수 있는 위험에 노출될 수 있다.
한편, 도 2는 종래의이동 노드에서 호티(Home Test Init, HoTI) 메시지를 이용한 인증 과정을 설명하기 위한 모바일 IP를 사용하는 네트워크 시스템 구성도를 도시한 것이다.
모바일 IP 통신망에서 이동 노드(170)는 상대 노드(110)과 통신을 위하여 초기에는HA(160)를 통하여 통신을 하며, 이러한 통신 과정에서 패킷 필터링 장치(120)에 패킷 필터 규칙이 저장된다. 상기 이동 노드(170)에서 상대 노드(110)로 통신하는 경우 상기 패킷 필터링 장치(120)에는 패킷 필터(Packet Filter)로서, 소스 IP 주소(Source IP Address)는 이동 노드(170)의 홈 주소(Home Address)를 설정하고, 목적지 IP 주소(Destination IP Address)로는 상대 노드(110)의 주소로 설정하고, 프로토콜 타입(protocol type)은 TCP 또는 UDP로 설정한다.
한편, HA(160)를 통한 통신 방법은 경로상의 불합리한 점이 있으므로 이동 노드(170)는 상대 노드(110)와 직접 통신하기를 희망하게 된다. 이때 이동 노드(170)는 return routability 과정을 통해 인증을 시도하게 되는데, 이 과정은 이동 노드(170)가 HA(160)를 거쳐 상대 노드(110)로 호티 메시지를 전송함으로써 시작된다. 상기 HA(160)를 거치기 때문에 소스 주소에는 홈 주소가 포함되어 있고, 도 1에서와 같은 문제점은 없다.
그러나 패킷 필터링 장치(120)에서의 패킷 필터링 규칙에의해서 헤더 타입을 체크하는 기능이 있는데 헤더 타입이 IPv6망에서 나가기 때문에 패킷 필터링 장치(120)에서는 실제로 패킷을 IPv6 패킷으로 인식한다. 그러나 IPv6망에서 호티 메시지는 프로토콜 타입이 모빌리티 헤더(Mobility Header)를 이용해서 전송되기 때문에 도 2에 도시된 바와 같이, 상대 노드(110)로 전송되기 전에 상기 패킷 필터링 장치(120)에서의 패킷 필터 규칙에 의해서 드랍되는 문제점이 있다. 즉, 현재의 패킷 필터 규칙에서 다음 헤더가 모빌리티 헤더인 경우 패킷 필터링 장치(120)는 헤더 타입만 체크하기 때문에 모빌리티 헤더를 판독하지 못하여 패킷을 드랍시키는 문제점이 있다.
따라서 본 발명은 이동 노드에서 상대 노드로 복수의 인증 메시지 중 하나인 코티 메시지나 호티 메시지가 전송되기 전에 패킷 필터링 장치에서 패킷 필터 규칙에 의해 드랍되는 것을 방지하는 모바일 아이피를 사용하는 네트워크 시스템에서 패킷 필터링 장치 및 방법을 제공한다.
또한 본 발명은 return routability와 같은 인증 과정에서 이동 노드는 코티 메시지를 전송함에 있어서, 상대 노드가 패킷 필터링 장치에 의해 보호되는 망에 있을 경우 코티 메시지가 드랍되지 않도록 Mobile IPv6의 패킷 특성을 고려하여 패킷 필터 규칙을 적용하여 전송하는 모바일 아이피를 사용하는 네트워크 시스템에서 패킷 필터링 장치 및 방법을 제공한다.
또한 본 발명은 패킷 필터링 규칙에 있어서 Mobile IPv6의 패킷을 고려하여 설정함으로써 상대 노드에게 적법한 인증 메시지가 전송되도록 하는 모바일 아이피를 사용하는 네트워크 시스템에서 패킷 필터링 장치 및 방법을 제공한다.
또한 본 발명은 return routability와 같은 인증 과정에서 이동 노드는 호티 메시지를 HA를 거쳐 상대 노드로 전송함에 있어서, 패킷 필터 규칙에 Mobile IPv6 패킷 규칙을 적용함으로써 상대 노드로 적법한 인증 메시지가 전송되도록 하는 모바일 아이피를 사용하는 네트워크 시스템에서 패킷 필터링 장치 및 방법을 제공한다.
또한 본 발명은 이동 노드에서 상대 노드로 코티 메시지를 전송할 경우, 상 기 이동 노드에서 코티 메시지에 패킷 필터 규칙을 통과할 수 있는 정보를 추가하여 전송하고, 상대 노드를 보호하고 있는 패킷 필터링 장치는 상기 패킷 필터 규칙을 통과할 수 있는 정보를 인식할 수 있도록 하여 이동 노드와 상대 노드와의 적법한 인증 과정을 수행하도록 하는 모바일 아이피를 사용하는 네트워크 시스템에서 패킷 필터링 장치 및 방법을 제공한다.
본 발명의 제1 실시 예에 따른 시스템은, 모바일 IP를 사용하는 네트워크 시스템에서 있어서, 패킷 필터 규칙을 통과할 수 있는 정보가 포함된 패킷을 전송하는 이동 노드; 상기 정보에 포함된 주소가 상기 패킷 필터 규칙에 저장된 소스 주소와 일치하는지를 비교하여 상기 패킷의 통과 여부를 결정하는 패킷 필터링 장치를 포함하고, 상기 패킷은 코티 메시지를 포함하고, 상기 정보는 상기 이동 노드의 홈 주소를 포함하고, 상기 이동 노드의 홈 주소는 상기 코티 메시지의 모빌리티 옵션에 포함됨을 특징으로 한다.
또한 본 발명의 제1 실시 예에 따른 장치는, 모바일 IP를 사용하는 네트워크 시스템에서 이동 노드에서 상대 노드로 전송되는 패킷을 필터링하는 패킷 필터링 장치에 있어서, 수신된 패킷의 다음 헤더가 모빌리티 헤더인가를 판독하는 다음 헤더 판독부; 상기 다음 헤더가 모빌리티 헤더인 경우, 모빌리티 헤더 타입을 판독하는 모빌리티 헤더 타입 판독부; 상기 이동 노드에 의해 추가되는 모빌리티 옵션을 판독하는 모빌리티 옵션 판독부; 상기 모빌리티 옵션 판독부에서 판독한 모빌리티 옵션의 홈 주소가 패킷 필터 규칙에 저장된 소스 주소와 일치하는지를 비교하여 패킷의 통과 여부를 결정하는 패킷 규칙 적용부를 포함한다.
또한 본 발명의 제1 실시 예에 따른 방법은, 모바일 IP를 사용하는 네트워크 시스템에서 이동 노드에서 상대 노드로 전송되는 패킷을 필터링하는 방법에 있어서, 상기 이동 노드로부터 패킷 필터 규칙을 통과할 수 있는 정보가 추가된 패킷을 수신하는 과정; 상기 정보에 포함된 주소가 상기 패킷 필터 규칙에 저장된 소스 주소와 일치하는지를 비교하여 상기 패킷의 통과 여부를 결정하는 과정을 포함하고, 상기 패킷은 코티 메시지를 포함하고, 상기 정보는 상기 이동 노드의 홈 주소를 포함하고, 상기 이동 노드의 홈 주소는 상기 코티 메시지의 모빌리티 옵션에 포함된다.
또한 본 발명의 제1 실시 예에 따른 방법은 모바일 IP를 사용하는 네트워크 시스템에서 이동 노드에서 상대 노드로 전송되는 패킷을 필터링하는 방법에 있어서, 수신된 패킷의 다음 헤더가 모빌리티 헤더인가를 판독하는 과정; 상기 다음 헤더가 모빌리티 헤더인 경우 모빌리티 헤더 타입을 판독하는 과정; 상기 이동 노드에 의해 추가되는 모빌리티 옵션을 판독하는 과정; 상기 모빌리티 옵션의 홈 주소가 소스 주소와 일치하는지를 비교하여 패킷의 통과 여부를 결정하는 과정을 포함한다.
삭제
또한 본 발명의 제2 실시 예에 따른 장치는, 모바일 IP를 사용하는 네트워크 시스템에서 이동 노드에서 상대 노드로 전송되는 패킷을 필터링하는 패킷 필터링 장치에 있어서, 수신된 패킷의 다음 헤더가 모빌리티 헤더인가를 판독하는 다음 헤더 판독부; 상기 다음 헤더가 모빌리티 헤더인 경우 모빌리티 헤더 타입을 판독하 는 모빌리티 헤더 타입 판독부; 상기 모빌리티 헤더 뒤에 오는 다음 헤더의 타입이 패킷 필터 규칙과 일치하는지를 비교하여 패킷의 통과 여부를 결정하는 패킷 규칙 적용부를 포함한다.
삭제
또한 본 발명의 제2 실시 예에 따른 방법은 모바일 IP를 사용하는 네트워크 시스템에서 이동 노드에서 상대 노드로 전송되는 패킷을 필터링하는 패킷 필터링 방법에 있어서, 수신된 패킷의 다음 헤더가 모빌리티 헤더인가를 판독하는 과정; 상기 다음 헤더가 모빌리티 헤더인경우 모빌리티 헤더 타입을 판독하는 과정; 상기 모빌리티 헤더 뒤에 오는 다음 헤더의 타입이 패킷 필터 규칙과 일치하는지를 비교하여 패킷의 통과 여부를 결정하는 과정을 포함한다.
본 발명에서 개시되는 발명 중 대표적인 것에 의하여 얻어지는 효과를 간단히 설명하면 다음과 같다.
본 발명은 이동 노드에서 상대 노드로 복수의 인증 메시지 중 하나인 코티 메시지나 호티 메시지가 전송되기 전에 패킷 필터링 장치에서 패킷 필터 규칙에 의 해 드랍되는 것을 방지할 수 있다.
또한 본 발명은 return routability와 같은 인증 과정에서 이동 노드는 코티 메시지를 전송함에 있어서, 상대 노드가 패킷 필터링 장치에 의해 보호되는 망에 있을 경우 패킷 필터 규칙을 적용함에 있어서 Mobile IPv6 패킷 특성을 고려하여 코티 메시지가 드랍되지 않도록 방지할 수 있다.
또한 본 발명은 패킷 필터링 규칙에 있어서 Mobile IPv6의 패킷을 고려한 규칙을 설정함으로써 상대 노드에게 적법한 인증 메시지가 전송될 수 있다.
또한 본 발명은 return routability와 같은 인증 과정에서 이동 노드는 호티 메시지를 HA를 거쳐 상대 노드로 전송함에 있어서, 패킷 필터 규칙에 Mobile IPv6 패킷 규칙을 적용함으로써 상대 노드로 적법한 인증 메시지가 전송될 수 있다.
하기에서 본 발명을 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서전반에 걸친 내용을 토대로 내려져야 할 것이다.
본 발명의 제1 실시 예에서는 return routability와 같은 인증 과정에서 이동 노드는 상대 노드가 패킷 필터링 장치에 의해 보호되는 망에 있는 경우 복수의 인증 메시지 중 하나인 코티 메시지에 패킷 필터 규칙을 통과할 수 있는 정보를 추가하여 전송하고, 상대 노드를 보호하고 있는 패킷 필터링 장치는 상기 패킷 필터 규칙을 통과할 수 있는 정보를 인식할 수 있도록 함으로써 이동 노드와 상대 노드와의 적법한 인증 과정을 수행하도록 한다.
본 발명의 제2 실시 예에서는 return routability와 같은 인증 과정에서 이동 노드에서 HA를 거쳐 상대 노드로 전송되는 호티 메시지의 경우 Mobile IPv6 패킷 호티 메시지의 특성을 패킷 필터 규칙에 적용함으로써 이동 노드의 상대 노드와의 직접 통신시 적법한 인증 과정을 수행하도록 한다.
이하에서 설명되는 상대 노드는 다른 노드들과 통신을 할 수 있는 노드를 의미하는 것으로, 특정 노드로 한정하는 것이 아니라 모바일 IP를 사용하는 모든 노드가 될 수 있다. 이하 설명에서 상기 상대 노드는 상술한 의미로 사용됨을 알려준다. 또한 이하 설명에서는 설명의 편의를 위해 모바일 IP를 사용하는 네트워크 시스템을 Mobile IPv6를 위주로 설명하기로 한다.
도 3은 본 발명의 제1 실시 예에 따른 모바일 IP를 사용하는 네트워크 시스템 구성도를 도시한 것이다. 도 3을 참조하여 본 발명의 제1 실시 예에 따른 패킷 필터링 장치에서의 패킷 필터링 동작을 설명하기로 한다.
상대 노드(310)는 패킷 필터링 장치(320)의 패킷 필터 규칙을 적용하는 망(300)에 의해 보호된다. 상기 상대 노드(310)와 이동 노드(370)는 HA(360)를 통한 통신은 가능하나 효율성이 떨어지므로 직접 통신하여 경로를 최적화할 필요가 있다. 현재의 표준 규격을 적용하여 상대 노드(310)와 이동 노드(370)간에 직접 통 신하여 경로를 최적화할 경우, 상대 노드(310)에 이동 노드(370)가 등록하는 절차가 있어야 하고, 이러한 등록 절차를 수행하기 위해서는 상대 노드(310)가 이동 노드(370)를 인증하는 과정이 필요하다.
본 발명에서는 이러한 인증 과정에서 이동 노드가 상대 노드로 직접 보내는 메시지인 코티 메시지가 패킷 필터 규칙에 의해 상대 노드로 전송되기 전에 드랍되는 현상을 방지하기 위해서 이동 노드(370)는 도 3에 도시된 바와 같이, 종래의 코티 메시지에 모빌리티 옵션(mobility option)을 추가하여 자신의 홈 주소(350)를 실어 보낸다. 그리고 패킷 필터링 장치(320)는 이러한 정보를 패킷 필터 규칙을 적용하여 이를 인식할 수 있도록 한다.
도 4는 본 발명의 제1 실시 예에서 전송되는 코티 메시지 구조도이다.
도 4의 각 메시지의 필드 이름 뒤에 해당 필드의 크기를 비트 수로 표시한다.
도 4의 메시지 필드를 살펴보면, "페이로드 프로토(Payload Proto)" 필드는 모빌리티 헤더(Mobility header) 뒤에 오는 다음 헤더(Next Header)의 타입을 나타낸다.
"Header Len" 필드는 8-bit 부호없는 정수형(unsigned integer)으로서 모빌리티 헤더의 길이를 8 옥텍(octets) 단위로 나타낸 것으로 처음 8 옥텍은 제외한 값이다.
"MH(Mobility Header) Type" 필드는 모빌리티 메시지를 구분하는데 사용된다. 도 4의 메시지 필드를 보면 "MH type(8) :2"라고 기재되어 있는데, "2"는 해당 메시지가 코티 메시지임을 의미한다.
"Reserved" 필드는 미래의 사용(future use)을 위해서 reserved 된 영역이다.
"Checksum" 필드는 16-bit 부호없는 정수형으로서 모빌리티 헤더의 첵섬(Checksum)을 의미한다.
"Care of init cookie" 필드는 이동 노드가 상대 노드로 코티 메시지 전송시 보내는 난수이다.
본 발명의 제1 실시 예에서는 모빌리티 헤더 뒤에 기존의 코티 메시지에 비하여 방화벽이나 기타 패킷 필터링 장치를 잘 통과하기 위한 정보가 포함되어 있다. 해당 정보는 도 4에 빗금 친 부분으로 기재하였다.
옵션 타입(Option type)은 표준 기구에서 정하므로 본 발명에서는 TBD(To Be Determined)로 표기하기로 한다. 옵션의 길이를 나타내는 8 비트의 길이(length) 필드, 그리고 향후 사용을 위해 남겨둔 16 비트의 예약(reserved) 필드, 이동 노드의 홈 주소를 알려주는 128 비트의 HoA 필드가 추가되었다.
이러한 코티 메시지를 후술할 도 5와 같이 이동 노드(370)가 생성하여 전송하면, 상기 이동 노드(370)와 통신하는 상대 노드(310)가 보호된망(300)에 있다 하더라도 패킷 필터링 장치(320)에서의 패킷 필터 규칙이 이를 인식할 수 있으므로 상기 이동 노드(370)와 상기 상대 노드(310) 간의 인증 절차가 가능해진다.
도 5는 본 발명의 제1 실시 예에 따른 코티 메시지를 전송하기 위한 이동 노드의 동작 흐름도이다. 도 5를 참조하여 상대 노드가 보호된 망에 있을 경우 코티 메시지가 패킷 필터링 장치(320)의 패킷 필터 규칙을 통과하기 위하여 이동 노드의 동작을 설명하기로 한다.
먼저, 이동 노드(370)는 501 단계에서 코티 메시지에 포함시킬 코티 쿠키(care-of init Cookie)를 생성한다.
503 단계에서 이동 노드(370)는 보호된 망(300)에 있는 상대 노드(310)와 통신 할 것인가를 확인한다.
만약 보호된 망(300)에 있는 상대 노드(310)와 통신하지 않은 경우 이동 노드(370)는 505 단계에서 종래의 코티 메시지를 생성하여 전송한다.
그러나 보호된 망(300)에 있는 상대 노드(310)와 통신할 경우 이동 노드(370)는 507 단계에서 코티 메시지에 도 4에서 밑금 친 부분인 모빌리티 옵션을 추가한다. 이후, 이동 노드(370)는 509 단계에서 모빌리티 옵션이 추가된 패킷을 전송한다.
도 6은 본 발명의 제1 실시 예에 따른 모바일 IP를 사용하는 네트워크 시스템의 패킷 필터링 장치에서 코티 메시지를 이용하여 인증이 가능하도록 하는 패킷 필터링 동작을 도시한 흐름도이다.
먼저, 패킷 필터링 장치(320)는 601 단계에서 이동 노드(370)로부터 패킷을 수신한다. 패킷을 수신하면 패킷 필터링 장치(320)는 IP, UDP, TCP 등의 패킷 헤더영역을 분석하여 패킷 필터링 규칙을 적용하게 된다.
601 단계 이후, 상기 패킷 필터링 장치(320)는 603 단계에서 수신한 패킷의 소스 주소가 이동 노드(370)의 홈 주소인가를 판단한다.
만약 수신한 패킷의 소스 주소가 이동 노드(370)의 홈 주소인 경우 패킷 필터링 장치(320)는 605 단계에서 목적지 주소를 판독한다. 목적지 주소를 판단한 패킷 필터링 장치(320)는 621 단계로 진행하여 패킷 필터링 과정을 수행한다.
그러나 수신한 패킷의 소스 주소가 이동 노드의 홈 주소가 아닌 경우패킷 필터링 장치(320)는 종래의 기술에서는 패킷을 드랍시키지만, 본 발명의 제1 실시 예에서는 607 단계로 진행하여 다음 헤더(Next header)가 모빌리티 헤더(Mobility Header)인가를 판단한다.
만약 다음 헤더가 모빌리티 헤더가 아닌 경우 패킷 필터링 장치(320)는 609 단계에서 다음 헤더(Next header)를 판독한다. 다음 헤더(Next header)를 판독한 필터링 장치(320)는 621 단계로 진행하여 패킷 필터링 과정을 수행한다.
그러나 다음 헤더(Next header)가 모빌리티 헤더인 경우 패킷 필터링 장치(320)는 611 단계에서 MH 타입이 코티 메시지인가를 판단한다. 코티 메시지임을 판단하는 방법은 도 4의 메시지 구조에서 "MH type(8) : 2"일 경우 코티 메시지로 판단하면 된다.
만약 MH 타입이 코티 메시지가 아닌 경우 패킷 필터링 장치(320)는 613 단계에서 MH 타입을 판독한다. MH 타입을 판독한 필터링 장치(320)는 621 단계로 진행하여 패킷 필터링 과정을 수행한다.
그러나 MH 타입이 코티 메시지인 경우 패킷 필터링 장치(320)는 615 단계에서 모빌리티 옵션의 홈 주소를 읽어 모빌리티 옵션의 홈 주소가 패킷 필터 규칙의 소스 주소인가를 판단한다. 즉, 모빌리티 옵션의 홈 주소가 패킷 필터 규칙의 소스 주소와 일치하는가를 판단한다.
만약 모빌리티 옵션의 홈 주소가 패킷 필터 규칙의 소스 주소가 아닌 경우 즉 모빌리티 옵션의 홈 주소가 패킷 필터 규칙의 소스 주소와 일치하지 않은 경우 패킷 필터링 장치(320)는 617 단계에서 패킷을 드랍시킨다.
그러나 모빌리티 옵션의 홈 주소가 패킷 필터 규칙의 소스 주소인 경우 즉 모빌리티 옵션의 홈 주소가 패킷 필터 규칙의 소스 주소와 일치하는 경우 패킷 필터링 장치(320)는 619 단계에서 패킷을 통과시킨다.
도 7은 본 발명의 제1 실시 예에 따른 모바일 아이피를 사용하는 네트워크 시스템에서 패킷 필터링 장치의 블록 구성도이다.
도 7을 참조하면, 본 발명의 제1 실시 예에 따른 패킷 필터링 장치(320)는 패킷 규칙 적용부(710)와, 다음 헤더 판독부(720)와, MH 타입 판독부(730)와, 모빌리티 옵션 판독부(740)로 구성된다.
상기 패킷 필터 규칙 적용부(710)는 상대 노드(310)로부터 전송되는 패킷을 수신하면, 상기 패킷을 다음 헤더 판독부(720)로 전달한다.
상기 다음 헤더 판독부(720)는 수신된 패킷의 다음 헤더를 판독한다.
상기 MH 타입 판독부(730)는 수신된 패킷의 다음 헤더가 MH인 경우 MH 타입을 판독하여 해당 메시지가 코티 메시지임을 판독한다.
상기 모빌리티 옵션 판독부(740)는 이동 노드(370)에 의해 상기 코티 메시지에 추가되는 모빌리티 옵션을 판독한 후, 판독 결과를 상기 패킷 규칙 적용부(710)에게 알려준다.
상기 패킷 규칙 적용부(710)는 상기 모빌리티 옵션 판독부(740)에서 판독한 모빌리티 옵션의 홈 주소가 소스 주소와 일치하는지를 판단한다. 판독한 모빌리티 옵션의 홈 주소가 소스 주소와 일치하지 않은 경우 상기 패킷 규칙 적용부(710)는 패킷을 드랍시키고, 일치할 경우는 패킷을 통과시킨다.
한편, 도 8은 본 발명의 제2 실시 예에 따른 모바일 IP를 사용하는 네트워크 시스템 구성도이다.
상대 노드(310)는 패킷 필터링 장치(320)의 패킷 필터 규칙을 적용하는 망(300)에 의해 보호된다. 상기 상대 노드(310)와 이동 노드(370)는 HA(360)를 통한 통신은 가능하나 효율성이 떨어지므로 직접 통신하여 경로를 최적화할 필요가 있다. 현재의 표준 규격을 적용하여 상대 노드(310)와 이동 노드(370)간에 직접 통신하여 경로를 최적화할 경우, 이동 노드(370)가 상대 노드(310)에 등록하는 절차가 있어야 하고, 이러한 등록 절차를 수행하기 위해서는 상대 노드(310)가 이동 노드(370)를 인증하는 과정이 필요하다.
본 발명에서는 이러한 인증 과정에서 도 8에 도시된 바와 같이, 호티 메시지를 종래 기술과 같이 터널링 기법에 의해 전송하되, 이를 판독하는 패킷 필터 규칙에 있어서 Mobile IPv6의 고유한 헤더 포맷인 모빌리티 헤더(Mobility Header)를 판독하는 규칙을 적용하여 호티 메시지를 전송한다.
도 9는 본 발명의 제2 실시 예에서 전송되는 호티 메시지 구조도이다.
도 9의 각 메시지의 필드 이름 뒤에 해당 필드의 크기를 비트 수로 표시하고, 호티 메시지는 모빌리티 헤더로 시작되며, "Home init cookie"를 포함하는 메 시지이다.
도 9의 메시지 필드를 살펴보면, "페이로드 프로토(Payload Proto)" 필드는 모빌리티 헤더(Mobility header) 뒤에 오는 다음 헤더(Next Header)의 타입을 나타낸다.
"Header Len" 필드는 8-bit 부호없는 정수형(unsigned integer)으로서 모빌리티 헤더의 길이를 8 옥텍 단위로 나타낸 것으로 처음 8 옥텍은 제외한 값이다.
"MH Type" 필드는 모빌리티 메시지를 구분하는데 사용된다. 도 9의 메시지 필드를 보면 "MH type(8) :1"라고 기재되어 있는데, "1"는 해당 메시지가 호티 메시지를 의미한다.
"Reserved" 필드는 8 비트 필드로, 미래의 사용(future use)을 위해서 reserved 된 영역이다.
"Checksum" 필드는 16-bit 부호없는 정수형으로서 모빌리티 헤더의 첵섬(Checksum)을 의미한다.
"Home init cookie" 필드는 이동 노드가 상대 노드로 호티 메시지 전송시 보내는 난수이다.
모빌리티 옵션은 가변의 길이를 가지는 것으로 현재 규격에서는 특정 옵션을 지정하지 않고 있다.
도 10은 본 발명의 제2 실시 예에 따른 모바일 IP를 사용하는 네트워크 시스템에서 호티 메시지를 이용하여 인증이 가능하도록 하는 패킷 필터링 동작을 도시한 흐름도이다. 즉 현재의 패킷 필터 규칙에서 다음 헤더가 모빌리티 헤더인 경우 모빌리티 헤더를 판독하지 못하여 모빌리티 헤더를 드랍시키는 문제를 해결하고자 본 발명의 제2 실시 예에서는 다음 헤더가 모빌리티 헤더인 경우 패킷 필터를 통과하는 방법에 대해서 설명하고자 한다.
먼저, 패킷 필터링 장치(320)는 1001 단계에서 이동 노드(370)로부터 패킷을 수신한다. 패킷을 수신하면 패킷 필터링 장치(320)는 IP, UDP, TCP 등의 패킷 헤더영역을 분석하여 패킷 필터링 규칙을 적용하게 된다.
1001 단계 이후, 상기 패킷 필터링 장치(320)는 1003 단계에서 수신된 패킷의 소스 주소를 판독한다.
상기 패킷 필터링 장치(320)는 1005 단계에서 수신한 패킷의 소스 주소가 이동 노드의 홈 주소인가를 판단한다.
만약 수신한 패킷의 소스 주소가 이동 노드의 홈 주소가 아닌 경우패킷 필터링 장치(320)는 1007 단계에서 패킷을 드랍시킨다.
그러나 수신한 패킷의 소스 주소가 이동 노드의 홈 주소인 경우 패킷 필터링 장치(320)는 1009 단계에서 목적지 주소를 판독한다.
이후, 패킷 필터링 장치(320)는 1011 단계에서 다음 헤더가 모빌리티 헤더인가를 판단한다. 즉 패킷 필터링 장치(320)는 다음 헤더(Next Header) 값이 미리 정해진 값예컨대, 135인가를 판단한다. 본 발명의 제2 실시 예에서는 호티 메시지를 상세 실시 예의 하나로 들고 하기에서 설명하나, 본 발명의 제2 실시 예는 패킷 필터링 장치에서 모빌리티 헤더를 인식하지 못하여 모빌리티 헤더를 가진 메시지를 드랍시키는 문제를 해결하기 위하여 제시된 것이다. 그러므로 이러한 개념은 모빌 리티 헤더를 사용하는 호티 메시지 이외의 다른 메시지가 패킷 필터 규칙에 의해 드랍되는 경우에도 적용할 수 있다. 즉 다른 예를 들면 MH 타입값이 0 인 바인딩 리프레쉬 요청 메시지(binding refresh request : 바인딩 데이터의 갱신 요청)나, MH 타입값이 2인 코티 메시지(인증 과정에서 CoT 메시지와 함께 인증값 확인에 사용되는 메시지), MH 타입값이 3인 HoT(home Test) 메시지(호티 메시지와 함께 인증과정시 인증값 확인에 사용되는 메시지), MH 타입값이 4인 CoT 메시지(Care- of Test)(코티 메시지와 함께 인증시 인증값 확인에 사용되는 메시지), MH 타입값이 5인 BU(Binding Update) 메시지(등록 요청시 사용되는 메시지), MH 타입값이 6인 BA(Binding Acknowledgement) 메시지(등록 요청에 대한 응답 메시지), MH 타입값이 7인 Binding Error 메시지(등록 요청시 에러 발생시 에러 발생을 알려주는 메시지) 등 모빌리티 헤더를 사용하는 메시지인 경우에도 다음 헤더(next header) 필드의 값이 135 이므로 본 발명의1011 단계에서 판단하는 과정과 이후 과정에서 분기하는 알고리즘을 적용할 수 있다.
만약 1011 단계에서 다음 헤더가 모빌리티 헤더가 아닌 경우 패킷 필터링 장치(320)는 1013 단계에서 다음 헤더를 판독한다. 다음 헤더를 판독한 패킷 필터링 장치(320)는 1025 단계로 진행하여 패킷 필터링 과정을 수행한다.
그러나 다음 헤더가 모빌리티 헤더인 경우 패킷 필터링 장치(320)는 1015 단계에서 MH 타입이 호티 메시지인가를 판단한다. 호티 메시지임을 확인하는 방법은 도 9의 메시지 구조에서 "MH type(8) : 1"임을 확인하면 된다.
만약 MH 타입이 호티 메시지가 아닌 경우 패킷 필터링 장치(320)는 1017 단 계에서 MH 타입을 판독한다. MH 타입을 판독한 패킷 필터링 장치(320)는 1025 단계로 진행하여 패킷 필터링 과정을 수행한다.
한편 상기에서는 호티 메시지인 경우를 살펴보았으나 MH type 이 값이 0, 2 내지 7의 경우 상기 설명한 바와 같이 각각의 메시지 타입에 따라 판단 알고리즘을 적용할 수 있다. 즉 다른 예를들면 MH type 값이 2 이면 코티 메시지이며, 소스 주소, 목적지 주소까지 패킷 필터 규칙을 통과한 경우라면 1011 단계와 같은 판단에 의하여 모빌리티 헤더임을 알고 1015 단계에서 모빌리티 헤더를 사용하는 것 중 특별히코티 메시지임을 알게 되며 이후 과정은 1019 단계에서와 같이 페이로드 프로토 타입 필드의 값을 판단할 수 있다.
한편 본 발명의 도 10에서는 호티 메시지를 예로 하여 상세 실시예를 설명하였으므로 1015단계와 같은 판단 과정을 도시하였으나 1011 단계에서 모빌리티 헤더인지만을 판단하고 1019 단계로 진행할 수 도 있다. 즉 1015 단계에서와 같이 모빌리티 헤더 타입이 틀릴 경우를 판단하기 위한 경우가 아니라면 1011 단계 이후 구체적인 모빌리티 헤더 타입을 판단하지 아니하고 1019 단계로 진행하는 다른 실시예도 가능할 것이다.
그러나 MH 타입이 호티 메시지인 경우 패킷 필터링 장치(320)는 1019 단계에서 상기 도 9에서 살펴본 호티 메시지의 메시지 포맷에서 보이는 모빌리티 헤더 안의 페이로드 프로토(Payload Proco) 필드에 있는 값이 6인 TCP 또는 17인 UDP인가를 판단한다.
만약 페이로드 프로토 필드의 값이 TCP 또는 UDP를 나타내는 것이 아닌 경우 패킷 필터링 장치(320)는 1021 단계에서 페이로드 프로토 필드의 값을 통해 다음 헤더를 판독한다. 다음 헤더를 판독한 패킷 필터링 장치(320)는 1025 단계로 진행하여 패킷 필터링 과정을 수행한다.그러나 페이로드 프로토 필드의 값이 TCP 또는 UDP인 경우 패킷 필터링 장치(320)는 1023 단계에서 소스 및 목적지의 포트 넘버를 판독한다.
도 11은 본 발명의 제2 실시 예에 따른 모바일 아이피를 사용하는 네트워크 시스템에서 패킷 필터링 장치의 블록 구성도이다.
도 11을 참조하면, 본 발명의 제2 실시 예에 따른 패킷 필터링 장치(320)는 패킷 규칙 적용부(1110)와, 다음 헤더 판독부(1120)와, MH 타입 판독부(1130)로 구성된다.
상기 패킷 필터 규칙 적용부(1110)는 상대 노드(310)로부터 전송되는 패킷을 수신하면, 상기 패킷을 다음 헤더 판독부(1120)로 전달한다.
상기 다음 헤더 판독부(1120)는 수신된 패킷의 다음 헤더를 판독한다. 상기 다음 헤더 판독부(1120)에서 모빌리티 헤더를 판독하고, 판독 결과를 MH 타입 판독부(1130)에 알린다.
상기 MH 타입 판독부(1130)는 MH 타입을 통해서 호티 메시지임을 판단하고, 이를 다음 헤더 판독부(1120)에 알린다. 상기 다음 헤더 판독부(1120)는 상기 MH 타입 판독부(1130)에서 판독한 모빌리티 헤더 뿐만 아니라 TCP, UDP 등의 헤더도 판독하게 되는데 호티 메시지로 설정된 메시지의 다음 헤더를 판독하여 판독 결과를 패킷 규칙 적용부(1110)로 알린다.
상기 패킷 규칙 적용부(1110)는 프로토콜 타입이 패킷 필터 규칙과 일치되는지 검증하고 프로토콜 타입이 패킷 필터 규칙을 적용하여 일치하는 경우 패킷을 통과시키고, 일치하지 않은 경우 패킷을 드랍시킨다. 즉 상기에서 호티 메시지로 설정된 메시지의 다음 헤더 값이 TCP 또는 UDP 인 경우는 패킷을 통과시키기 위하여 다음 패킷 필터 규칙 적용을 위하여 포트 넘버를 판독하고, TCP 또는 UDP 가 아닌 경우는 다음 헤더판독부(1120)으로 보내어 다음 헤더를 판독하게 된다.
한편, 본 발명의 상세한 설명에서는 구체적인 실시 예에 관해서 설명하였으나, 본 발명의 범위에서 벗어나지 않는 한도내에서 여러 가지 변형이 가능함을 당해 분야에서 통상의 지식을 가진 자에게 있어서 자명하다 할 것이다.
도 1은 종래의 이동 노드에서 코티(Care of Test Init, CoTI) 메시지를 이용한 인증 과정을 설명하기 위한 모바일 IP를 사용하는 네트워크 시스템 구성도,
도 2는 종래의 이동 노드에서 호티(Home Test Init, HoTI) 메시지를 이용한 인증 과정을 설명하기 위한 모바일 IP를 사용하는 네트워크 시스템 구성도,
도 3은 본 발명의 제1 실시 예에 따른 모바일 IP를 사용하는 네트워크 시스템 구성도,
도 4는 본 발명의 제1 실시 예에서 전송되는 코티 메시지 구조도,
도 5는 본 발명의 제1 실시 예에 따른 코티 메시지를 전송하기 위한 이동 노드의 동작 흐름도,
도 6은 본 발명의 제1 실시 예에 따른 모바일 IP를 사용하는 네트워크 시스템에서 코티 메시지를 이용하여 인증이 가능하도록 하는 패킷 필터링 동작을 도시한 흐름도,
도 7은 본 발명의 제1 실시 예에 따른 모바일 아이피를 사용하는 네트워크 시스템에서 패킷 필터링 장치의 블록 구성도,
도 8은 본 발명의 제2 실시 예에 따른 모바일 IP를 사용하는 네트워크 시스템 구성도,
도 9는 본 발명의 제2 실시 예에서 전송되는 호티 메시지 구조도,
도 10은 본 발명의 제2 실시 예에 따른 모바일 IP를 사용하는 네트워크 시스템에서 호티 메시지를 이용하여 인증이 가능하도록 하는 패킷 필터링 동작을 도시 한 흐름도,
도 11은 본 발명의 제2 실시 예에 따른 모바일 아이피를 사용하는 네트워크 시스템에서 패킷 필터링 장치의 블록 구성도.

Claims (44)

  1. 삭제
  2. 모바일 아이피를 사용하는 네트워크 시스템에서 있어서,
    패킷 필터 규칙을 통과할 수 있는 정보가 포함된 패킷을 전송하는 이동 노드; 및
    상기 정보에 포함된 주소가 상기 패킷 필터 규칙에 저장된 소스 주소와 일치하는지를 판단하여 판단 결과에 따라 상기 패킷의 통과 여부를 결정하는 패킷 필터링 장치를 포함하고,
    상기 패킷은 코티 메시지를 포함하고,
    상기 정보는 상기 이동 노드의 홈 주소를 포함하고, 상기 이동 노드의 홈 주소는 상기 코티 메시지의 모빌리티 옵션에 포함됨을 특징으로 하는 모바일 아이피를 사용하는 네트워크 시스템.
  3. 삭제
  4. 삭제
  5. 제2항에 있어서,
    상기 패킷 필터링 장치는,
    수신된 패킷의 다음 헤더가 모빌리티 헤더인가를 판독하는 다음 헤더 판독부;
    상기 다음 헤더가 모빌리티 헤더인 경우 모빌리티 헤더 타입을 판독하는 모빌리티 헤더 타입 판독부;
    상기 이동 노드에 의해 추가된 모빌리티 옵션을 판독하여 출력하는 모빌리티 옵션 판독부; 및
    상기 모빌리티 옵션 판독부에서 판독한 모빌리티 옵션에 포함된 홈 주소가 패킷 필터 규칙에 저장된 소스 주소와 일치하는지를 판단하여 판단 결과에 따라 상기 패킷의 통과 여부를 결정하는 패킷 규칙 적용부를 포함하는 모바일 아이피를 사용하는 네트워크 시스템.
  6. 제5항에 있어서,
    상기 모빌리티 옵션 판독부는, 상기 모빌리티 헤더 타입을 통해서 코티 메시지인지 여부를 판단함을 포함하는 모바일 아이피를 사용하는 네트워크 시스템.
  7. 제2항에 있어서,
    상기 패킷 필터링 장치는, 상기 정보에 포함된 주소가 상기 패킷 필터 규칙에 저장된 소스 주소와 일치할 경우 상기 패킷을 통과시킴을 특징으로 하는 모바일 아이피를 사용하는 네트워크 시스템.
  8. 제2항에 있어서,
    상기 패킷 필터링 장치는, 상기 정보에 포함된 주소가 상기 패킷 필터 규칙에 저장된 소스 주소와 일치하지 않은 경우 상기 패킷을 드랍시킴을 특징으로 하는 모바일 아이피를 사용하는 네트워크 시스템.
  9. 모바일 아이피를 사용하는 네트워크 시스템에서 이동 노드에서 상대 노드로 전송되는 패킷을 필터링하는 패킷 필터링 장치에 있어서,
    수신된 패킷의 다음 헤더가 모빌리티 헤더인가를 판독하는 다음 헤더 판독 부;
    상기 다음 헤더가 모빌리티 헤더인 경우, 모빌리티 헤더 타입을 판독하는 모빌리티 헤더 타입 판독부;
    상기 이동 노드에 의해 추가되는 모빌리티 옵션을 판독하는 모빌리티 옵션 판독부;
    상기 모빌리티 옵션 판독부에서 판독한 모빌리티 옵션의 홈 주소가 패킷 필터 규칙에 저장된 소스 주소와 일치하는지를 판단하여 판단 결과에 따라서 상기 패킷의 통과 여부를 결정하는 패킷 규칙 적용부를 포함하는 패킷 필터링 장치.
  10. 제9항에 있어서,
    상기 모빌리티 헤더 타입 판독부는, 상기 모빌리티 헤더 타입을 통해서 코티 메시지인지 여부를 판단함을 포함하는 패킷 필터링 장치.
  11. 제9항에 있어서,
    상기 패킷 규칙 적용부는, 상기 모빌리티 옵션의 홈 주소가 패킷 필터 규칙에 저장된 소스 주소와 일치할 경우 상기 패킷을 통과시킴을 특징으로 하는 패킷 필터링 장치.
  12. 제9항에 있어서,
    상기 패킷 규칙 적용부는, 상기 모빌리티 옵션의 홈 주소가 패킷 필터 규칙에 저장된 소스 주소와 일치하지 않은 경우 상기 패킷을 드랍시킴을 특징으로 하는 패킷 필터링 장치.
  13. 삭제
  14. 모바일 아이피를 사용하는 네트워크 시스템에서 이동 노드에서 상대 노드로 전송되는 패킷을 필터링하는 방법에 있어서,
    상기 이동 노드로부터 패킷 필터 규칙을 통과할 수 있는 정보를 포함하는 패킷을 수신하는 과정;
    상기 정보에 포함된 주소가 상기 패킷 필터 규칙에 저장된 소스 주소와 일치하는지를 판단하여 판단 결과에 따라서 상기 패킷의 통과 여부를 결정하는 과정을 포함하고,
    상기 패킷은 코티 메시지를 포함하고,
    상기 정보는 상기 이동 노드의 홈 주소를 포함하고, 상기 이동 노드의 홈 주소는 상기 코티 메시지의 모빌리티 옵션에 포함됨을 특징으로 하는 패킷 필터링 방법.
  15. 삭제
  16. 삭제
  17. 제14항에 있어서,
    상기 패킷의 통과 여부를 결정하는 과정은,
    수신된 패킷의 다음 헤더가 모빌리티 헤더인가를 판독하는 과정;
    상기 다음 헤더가 모빌리티 헤더인 경우, 모빌리티 헤더 타입을 판독하는 과정;
    상기 이동 노드에 의해 추가된 모빌리티 옵션을 판독하는 과정;
    상기 모빌리티 옵션의 홈 주소가 상기 패킷 필터 규칙에 저장된 소스 주소와 일치하는지를 판단하여 판단 결과에 따라서 상기 패킷의 통과 여부를 결정하는 과정을 더 포함하는 패킷 필터링 방법.
  18. 제17항에 있어서,
    상기 모빌리티 헤더 타입을 판독하는 과정은,
    상기 모빌리티 헤더 타입을 통해서 코티 메시지인지 여부를 판단하는 과정을 더 포함하는 패킷 필터링 방법.
  19. 제14항에 있어서,
    상기 정보에 포함된 주소가 상기 패킷 필터 규칙에 저장된 소스 주소와 일치할 경우 상기 패킷을 통과시키는 과정을 더 포함하는 패킷 필터링 방법.
  20. 제14항에 있어서,
    상기 정보에 포함된 주소가 상기 패킷 필터 규칙에 저장된 소스 주소와 일치하지 않은 경우 상기 패킷을 드랍시키는 과정을 더 포함하는 패킷 필터링 방법.
  21. 모바일 아이피를 사용하는 네트워크 시스템에서 이동 노드에서 상대 노드로 전송되는 패킷을 필터링하는 방법에 있어서,
    수신된 패킷의 다음 헤더가 모빌리티 헤더인가를 판독하는 과정;
    상기 다음 헤더가 모빌리티 헤더인 경우 모빌리티 헤더 타입을 판독하는 과정;
    상기 이동 노드에 의해 추가되는 모빌리티 옵션을 판독하는 과정;
    상기 모빌리티 옵션의 홈 주소가 소스 주소와 일치하는지를 판단하여 판단 결과에 따라서 상기 패킷의 통과 여부를 결정하는 과정을 포함하는 패킷 필터링 방법.
  22. 제21항에 있어서,
    상기 모빌리티 헤더 타입을 판독하는 과정은,
    상기 모빌리티 헤더 타입을 통해서 코티 메시지인지 여부를 판단하는 과정을 더 포함하는 패킷 필터링 방법.
  23. 제21항에 있어서,
    상기 모빌리티 옵션의 홈 주소가 패킷 필터 규칙에 저장된 소스 주소와 일치할 경우 상기 패킷을 통과시킴을 특징으로 하는 패킷 필터링 방법.
  24. 제21항에 있어서,
    상기 모빌리티 옵션의 홈 주소가 패킷 필터 규칙에 저장된 소스 주소와 일치하지 않은 경우 상기 패킷을 드랍시킴을 특징으로 하는 패킷 필터링 방법.
  25. 삭제
  26. 삭제
  27. 삭제
  28. 삭제
  29. 삭제
  30. 삭제
  31. 모바일 아이피를 사용하는 네트워크 시스템에서 이동 노드에서 상대 노드로 전송되는 패킷을 필터링하는 패킷 필터링 장치에 있어서,
    수신된 패킷의 다음 헤더가 모빌리티 헤더인가를 판독하는 다음 헤더 판독부;
    상기 다음 헤더가 모빌리티 헤더인 경우 모빌리티 헤더 타입을 판독하는 모빌리티 헤더 타입 판독부;
    상기 모빌리티 헤더 뒤에 오는 다음 헤더의 타입이 패킷 필터 규칙과 일치하는지를 판단하여 판단 결과에 따라서 상기 패킷의 통과 여부를 결정하는 패킷 규칙 적용부를 포함하는 패킷 필터링 장치.
  32. 제31항에 있어서,
    상기 모빌리티 헤더 타입 판독부는,
    상기 모빌리티 헤더 타입이 호티 메시지로 설정된 경우, 상기 모빌리티 헤더 뒤에 오는 다음 헤더의 타입이 TCP 또는 UDP인가를 판독함을 더 포함하는 패킷 필터링 장치.
  33. 제31항에 있어서,
    상기 패킷은, 모빌리티 헤더를 사용하는 메시지를 포함하는 패킷 필터링 장치.
  34. 삭제
  35. 삭제
  36. 삭제
  37. 삭제
  38. 삭제
  39. 삭제
  40. 모바일 아이피를 사용하는 네트워크 시스템에서 이동 노드에서 상대 노드로 전송되는 패킷을 필터링하는 패킷 필터링 방법에 있어서,
    수신된 패킷의 다음 헤더가 모빌리티 헤더인가를 판독하는 과정;
    상기 다음 헤더가 모빌리티 헤더인 경우 모빌리티 헤더 타입을 판독하는 과정;
    상기 모빌리티 헤더 뒤에 오는 다음 헤더의 타입이 패킷 필터 규칙과 일치하는지를 판단하여 판단 결과에 따라서 상기 패킷의 통과 여부를 결정하는 과정을 포함하는 패킷 필터링 방법.
  41. 제40항에 있어서,
    상기 모빌리티 헤더 타입이 호티 메시지로 설정된 경우, 상기 모빌리티 헤더 뒤에 오는 다음 헤더의 타입이 TCP 또는 UDP인가를 판독하는 과정을 더 포함하는 패킷 필터링 방법.
  42. 제40항에 있어서,
    상기 패킷은, 모빌리티 헤더를 사용하는 메시지를 포함하는 패킷 필터링 방법.
  43. 제40항에 있어서,
    상기 모빌리티 헤더 뒤에 오는 다음 헤더의 타입이 패킷 필터 규칙과 일치할 경 경우, 상기 패킷을 통과시킴을 포함하는 패킷 필터링 방법.
  44. 제40항에 있어서,
    상기 모빌리티 헤더 뒤에 오는 다음 헤더의 타입이 패킷 필터 규칙과 일치하지 않은 경우, 상기 패킷을 드랍시킴을 포함하는 패킷 필터링 방법.
KR1020070084655A 2006-08-22 2007-08-22 모바일 아이피를 사용하는 네트워크 시스템에서 패킷필터링 장치 및 방법 KR100922939B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20060079433 2006-08-22
KR1020060079433 2006-08-22

Publications (2)

Publication Number Publication Date
KR20080018144A KR20080018144A (ko) 2008-02-27
KR100922939B1 true KR100922939B1 (ko) 2009-10-22

Family

ID=39113336

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070084655A KR100922939B1 (ko) 2006-08-22 2007-08-22 모바일 아이피를 사용하는 네트워크 시스템에서 패킷필터링 장치 및 방법

Country Status (2)

Country Link
US (1) US8036232B2 (ko)
KR (1) KR100922939B1 (ko)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102014142B (zh) * 2010-12-31 2013-01-30 中国科学院计算技术研究所 一种源地址验证方法和系统
CN102387160B (zh) * 2011-12-13 2014-10-22 曙光信息产业(北京)有限公司 一种基于ip报文五元组过滤策略的系统和方法
US10778578B2 (en) * 2017-08-31 2020-09-15 Konica Minolta Laboratory U.S.A., Inc. Method and system having an application for IPv6 extension headers and destination options
KR20200033048A (ko) 2018-09-19 2020-03-27 삼성전자주식회사 패킷을 필터링하는 전자 장치 및 그 작동 방법

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040120295A1 (en) 2002-12-19 2004-06-24 Changwen Liu System and method for integrating mobile networking with security-based VPNs
US20050135241A1 (en) 2003-12-22 2005-06-23 Nokia Corporation Supporting mobile internet protocol in a correspondent node firewall
US20050165917A1 (en) 2003-12-22 2005-07-28 Nokia Corporation Method to support mobile IP mobility in 3GPP networks with SIP established communications

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB0226289D0 (en) * 2002-11-11 2002-12-18 Orange Personal Comm Serv Ltd Telecommunications
US8824430B2 (en) * 2004-01-31 2014-09-02 Athonet Srl Wireless mobility gateway
US20050175002A1 (en) * 2004-02-09 2005-08-11 Nokia Corporation Alternative method to the return routability test to send binding updates to correspondent nodes behind firewalls
EP1751931B1 (en) * 2004-06-03 2015-12-09 Nokia Technologies Oy Service based bearer control and traffic flow template operation with mobile ip
CN100571196C (zh) * 2005-03-22 2009-12-16 华为技术有限公司 移动IPv6报文穿越防火墙的实现方法
US8407778B2 (en) * 2005-08-11 2013-03-26 International Business Machines Corporation Apparatus and methods for processing filter rules
US20070067838A1 (en) * 2005-09-19 2007-03-22 Nokia Corporation System, mobile node, network entity, method, and computer program product for network firewall configuration and control in a mobile communication system
EP1770915A1 (en) * 2005-09-29 2007-04-04 Matsushita Electric Industrial Co., Ltd. Policy control in the evolved system architecture

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040120295A1 (en) 2002-12-19 2004-06-24 Changwen Liu System and method for integrating mobile networking with security-based VPNs
US20050135241A1 (en) 2003-12-22 2005-06-23 Nokia Corporation Supporting mobile internet protocol in a correspondent node firewall
US20050165917A1 (en) 2003-12-22 2005-07-28 Nokia Corporation Method to support mobile IP mobility in 3GPP networks with SIP established communications

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
draft(http://www.rfc-editor.org/rfcsearch.html)

Also Published As

Publication number Publication date
US8036232B2 (en) 2011-10-11
US20080049679A1 (en) 2008-02-28
KR20080018144A (ko) 2008-02-27

Similar Documents

Publication Publication Date Title
KR100909552B1 (ko) 모바일 아이피를 사용하는 네트워크 시스템에서 패킷필터링 장치 및 방법
US8413243B2 (en) Method and apparatus for use in a communications network
US8175037B2 (en) Method for updating a routing entry
US7516486B2 (en) Communication between a private network and a roaming mobile terminal
US6839338B1 (en) Method to provide dynamic internet protocol security policy service
FI105965B (fi) Autentikointi tietoliikenneverkosssa
US6163843A (en) Packet inspection device, mobile computer and packet transfer method in mobile computing with improved mobile computer authenticity check scheme
JP4511529B2 (ja) 電気通信システム及び方法
US20070283412A1 (en) System, Method, and Interface for Segregation of a Session Controller and a Security Gateway
US20070025309A1 (en) Home agent apparatus and communication system
KR20070110864A (ko) 종단 점에 의한 방화벽 특징의 교섭을 가능하게 하는 방법,장치 및 컴퓨터 프로그램 생성물
JP4944904B2 (ja) モバイルインタネットプロトコルに準拠して交換されるメッセージの真正性を保証する方法
KR100922939B1 (ko) 모바일 아이피를 사용하는 네트워크 시스템에서 패킷필터링 장치 및 방법
US20050175002A1 (en) Alternative method to the return routability test to send binding updates to correspondent nodes behind firewalls
US20100211661A1 (en) Address generation method, address generation system, communication device, communication method, communication system, and partner communication device
CN1980231B (zh) 一种在移动IPv6中更新防火墙的方法
Mahyoub et al. Security analysis of critical 5g interfaces
JPWO2008087999A1 (ja) 通信方法、通信システム、移動通信装置及び相手先通信装置
KR100617315B1 (ko) 인터넷 보안 프로토콜 터널 모드 처리 방법 및 장치
KR20060117812A (ko) 이동 아이피를 지원하는 무선 네트워크에서 보안 장치 및방법
Rinta-aho Anonymous Mobile Internet Access
JP2006229424A (ja) 通信装置およびパケットフィルタリング方法
Ghosh et al. Smart Card Based Protocol for Secure and Controlled Access of Mobile Host in IPv6 Compatible Foreign Network
Ghosh et al. Chapter XIV

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20120927

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20130927

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20140929

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20150925

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20160929

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20170927

Year of fee payment: 9

LAPS Lapse due to unpaid annual fee