KR100955883B1 - 모바일 인터넷 환경에서의 dpi 장치 및 방법과 이에사용되는 패턴 매칭 방법 및 기록매체 - Google Patents

모바일 인터넷 환경에서의 dpi 장치 및 방법과 이에사용되는 패턴 매칭 방법 및 기록매체 Download PDF

Info

Publication number
KR100955883B1
KR100955883B1 KR1020080029845A KR20080029845A KR100955883B1 KR 100955883 B1 KR100955883 B1 KR 100955883B1 KR 1020080029845 A KR1020080029845 A KR 1020080029845A KR 20080029845 A KR20080029845 A KR 20080029845A KR 100955883 B1 KR100955883 B1 KR 100955883B1
Authority
KR
South Korea
Prior art keywords
pattern
information
pattern matching
dpi
unit
Prior art date
Application number
KR1020080029845A
Other languages
English (en)
Other versions
KR20090104425A (ko
Inventor
인호
이명락
김승빈
Original Assignee
고려대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 고려대학교 산학협력단 filed Critical 고려대학교 산학협력단
Priority to KR1020080029845A priority Critical patent/KR100955883B1/ko
Publication of KR20090104425A publication Critical patent/KR20090104425A/ko
Application granted granted Critical
Publication of KR100955883B1 publication Critical patent/KR100955883B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/24Reselection being triggered by specific parameters
    • H04W36/32Reselection being triggered by specific parameters by location or mobility data, e.g. speed data

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Power Engineering (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 모바일 인터넷 환경에서의 DPI(Deep Packet Inspection) 기술에 관한 것으로서, 본 발명에 따른 모바일 인터넷 환경에서의 DPI 장치는, 모바일 유닛(mobile unit)에 의해 생성되는 데이터 패킷을 캡처하고, 미리 저장된 패턴 테이블의 패턴과 상기 캡처된 데이터 패킷의 데이터 패턴을 매칭하여 패턴 매칭 정보를 생성하는 패턴 매칭부; 및 핸드오버(handover) 발생시 상기 모바일 유닛의 이동 지역(destination area)에서 DPI를 수행하는 장치로 상기 패턴 매칭 정보를 전송하는 전송부를 포함하고, 상기 패턴 매칭부는 상기 모바일 유닛에 관하여 핸드오버 발생에 의해 이탈 지역(departure area)에서 DPI를 수행하는 장치로부터 전송되는 이탈 지역 패턴 매칭 정보가 존재하는 경우 상기 이탈 지역 패턴 매칭 정보와 관련하여 상기 패턴 매칭 정보를 생성하여 핸드오버 발생시에도 지속적인 DPI 검사를 가능하게 한다는 이점을 제공한다.

Description

모바일 인터넷 환경에서의 DPI 장치 및 방법과 이에 사용되는 패턴 매칭 방법 및 기록매체{Apparatus and method for Deep Packet Inspection in mobile internet environment, and pattern matching method and recording medium used thereto}
본 발명은 모바일 인터넷 환경에서의 DPI(Deep Packet Inspection) 기술에 관한 것으로서, 더욱 상세하게는 IP 이동성을 지원하는 모바일 인터넷 환경에서 핸드오버가 발생하는 경우에도 지속적인 DPI을 수행하는 모바일 인터넷 환경에서의 DPI 장치 및 방법과 이에 사용되는 패턴 매칭 방법 및 기록매체에 관한 것이다.
최근, 무선 네트워크의 발전과 함께 무단 인증, 패킷 가로채기, IP spoofing 등과 같은 보안 위협도 증가하고 있다. 또한, 여러 악성적인 공격들은 무선 네트워크에 치명적인 손실을 끼칠 수 있다. 이러한 위협을 사전에 예방하기 위해 또는 네트워크의 손실을 줄이기 위해 방화벽 등과 함께 DPI(Deep Packet Inspection) 장치들이 무선 네트워크에 추가되고 있는 실정이다.
DPI(Deep Packet Inspection)란, 패킷의 헤더 검색은 물론 콘텐츠(데이터) 검색을 가능하게 하는 컴퓨터 네트워크 패킷 필터링 기술을 말한다. 무선 네트워 크, 특히 와이브로(WiBro)와 같이 IP 이동성이 제공되는 모바일 인터넷 환경에서는 콘텐츠에 대한 DPI가 매우 중요한 이슈가 되고 있다.
그러나, 기존의 DPI 방식들은 유선 네트워크 환경을 중심으로 제안되어 왔다. 유선 네트워크 환경에서는 패킷들이 하나의 서브넷을 출입하므로 기존의 DPI의 방식을 이용한 검사가 가능하다. 하지만, 모바일 인터넷 환경에서는 기존 방식을 적용하는 경우 해당 서비스 지역 안에서의 검사 정보만 유효하게 된다. 802.16e 네트워크 환경과 같이 IP 이동성을 지원하는 모바일 인터넷 환경에서는, DPI 수행 중에 가입자의 이동에 따라 모바일 유닛이 DPI 장치의 검사 가능 지역을 넘나드는 문제가 발생하기 때문이다.
따라서, 기존의 DPI 방식은 각 서비스 지역에서 수행되는 DPI 정보만 한계적으로 얻을 수 있기 때문에, 모바일 유닛이 여러 서비스 구역을 이동하면서 발생하는 누적된 결과정보는 알 수 없는 문제점이 있다. 즉, 모바일 유닛들은 핸드오버(handover)에 의해 접속 라우터를 변경하면서도 연속적으로 패킷을 주고받으므로, 기존 DPI의 방식에 의해 한 지역에서 수행했던 검사 결과만으로는 네트워크에 대한 공격 위험 수준을 파악할 수 없다는 문제점이 있다.
따라서, 본 발명이 이루고자 하는 첫 번째 기술적 과제는, IP 이동성을 제공하는 모바일 인터넷 환경에서 핸드오버 발생시 지속적인 DPI를 수행할 수 있는 DPI 장치를 제공하는 것이다.
본 발명이 이루고자 하는 두 번째 기술적 과제는, IP 이동성을 제공하는 모바일 인터넷 환경에서 핸드오버 발생시 지속적인 DPI를 수행할 수 있는 DPI 방법을 제공하는 것이다.
본 발명이 이루고자 하는 세 번째 기술적 과제는, 상기 DPI 방법을 실행하기 위한 기록매체를 제공하는 것이다.
본 발명이 이루고자 하는 네 번째 기술적 과제는, 상기 DPI 방법에 사용되는 패턴 매칭 방법을 제공하는 것이다.
상기와 같은 첫 번째 기술적 과제를 해결하기 위하여 본 발명은, IP(Internet Protocol) 이동성을 지원하는 모바일 인터넷 환경에서 DPI(Deep Packet Inspection)를 수행하는 장치에 있어서, 모바일 유닛(mobile unit)에 의해 생성되는 데이터 패킷을 캡처하고, 미리 저장된 패턴 테이블의 패턴과 상기 캡처된 데이터 패킷의 데이터 패턴을 매칭하여 패턴 매칭 정보를 생성하는 패턴 매칭부; 및 핸드오버(handover) 발생시 상기 모바일 유닛의 이동 지역(destination area)에서 DPI를 수행하는 장치로 상기 패턴 매칭 정보를 전송하는 전송부를 포함하고, 상 기 패턴 매칭부는, 상기 모바일 유닛에 관하여 핸드오버 발생에 의해 이탈 지역(departure area)에서 DPI를 수행하는 장치로부터 전송되는 이탈 지역 패턴 매칭 정보가 존재하는 경우 상기 이탈 지역 패턴 매칭 정보와 관련하여 상기 패턴 매칭 정보를 생성하는 모바일 인터넷 환경에서의 DPI 장치를 제공한다.
본 발명의 일 실시예에 따르면, 상기 모바일 인터넷 환경은, 802.16e 네트워크 환경을 포함한다.
본 발명의 일 실시예에 따르면, 상기 패턴 매칭부는, 상기 모바일 유닛의 아이디 정보 및 보조주소(Care of Address) 정보와 관련하여 상기 패턴 매칭 정보를 생성한다.
본 발명의 일 실시예에 따르면, 상기 패턴 매칭부는, 상기 모바일 인터넷 환경에서 인증 기능을 제공하는 AAA(Authentication Authorization Accounting) 서버로부터 상기 모바일 유닛의 아이디 정보를 전송받고, 그리고 IP 이동성을 제어하는 홈 에이전트(Home Agent)로부터 상기 모바일 유닛의 보조주소 정보를 전송받는다.
본 발명의 일 실시예에 따르면, 상기 패턴 매칭부는, 상기 패턴 테이블의 패턴과 상기 캡처된 데이터 패킷의 데이터 패턴을 매칭하여 얻어지는 매칭 결과 및 상기 전송된 패턴 매칭 정보를 이용하여 상기 패턴 매칭 정보를 생성한다.
본 발명의 일 실시예에 따르면, 상기 패턴 매칭부가 사용하는 상기 패턴 테이블은, DPI 대상 패턴 정보 및 상기 DPI 대상 패턴 정보와 관련되는 인덱스 정보를 포함한다.
본 발명의 일 실시예에 따르면, 상기 패턴 매칭부가 생성하는 상기 패턴 매 칭 정보는, 상기 패턴 테이블에 포함된 정보 중에서 상기 캡처된 데이터 패킷의 데이터 패턴과 매칭되는 패턴 정보와 관련되는 인덱스 정보를 포함한다.
본 발명의 일 실시예에 따르면, 상기 전송부가 전송하는 상기 패턴 매칭 정보는, 상기 모바일 유닛의 아이디 및 상기 인덱스 정보를 포함한다.
본 발명의 일 실시예에 따르면, 상기 전송부는, 상기 패턴 매칭 정보를 정보전달용 패킷의 헤더에 포함하여 전송한다.
상기와 같은 두 번째 기술적 과제를 해결하기 위하여 본 발명은, IP(Internet Protocol) 이동성을 지원하는 모바일 인터넷 환경에서 DPI(Deep Packet Inspection)를 수행하는 방법에 있어서, DPI 장치에서 모바일 유닛(mobile unit)에 의해 생성되는 데이터 패킷을 캡처하고, 미리 저장된 패턴 테이블의 패턴과 상기 캡처된 데이터 패킷의 데이터 패턴을 매칭하여 패턴 매칭 정보를 생성하는 패턴 매칭 단계; 및 핸드오버(handover) 발생시 상기 모바일 유닛의 이동 지역(destination area)에서 DPI를 수행하는 장치로 상기 패턴 매칭 정보를 전송하는 전송 단계를 포함하고, 상기 패턴 매칭 단계는, 상기 모바일 유닛에 관하여 핸드오버 발생에 의해 이탈 지역(departure area)에서 DPI를 수행하는 장치로부터 전송되는 이탈 지역 패턴 매칭 정보가 존재하는 경우 상기 이탈 지역 패턴 매칭 정보와 관련하여 상기 패턴 매칭 정보를 생성하는 단계인 모바일 인터넷 환경에서의 DPI 방법을 제공한다.
상기와 같은 세 번째 기술적 과제를 해결하기 위하여 본 발명은, 상기 모바일 인터넷 환경에서의 DPI 방법을 DPI 장치를 제어하는 컴퓨터를 통해 실행하기 위 한 프로그램이 기록된 기록매체로서, 상기 컴퓨터가 판독할 수 있는 상기 기록매체를 제공한다.
상기와 같은 네 번째 기술적 과제를 해결하기 위하여 본 발명은, IP(Internet Protocol) 이동성을 지원하는 모바일 인터넷 환경에서 DPI(Deep Packet Inspection)를 위해 패턴 매칭(pattern matching)을 수행하는 방법에 있어서, 제1 DPI 장치에서 모바일 유닛(mobile unit)에 의해 생성되는 데이터 패킷을 캡처하고, 미리 저장된 패턴 테이블의 패턴과 상기 캡처된 데이터 패킷의 데이터 패턴을 매칭하여 제1 패턴 매칭 정보를 생성하는 단계; 핸드오버(handover) 발생시 상기 제1 DPI 장치에서 상기 제1 패턴 매칭 정보를 상기 모바일 유닛의 이동 지역(destination area)의 제2 DPI 장치로 전송하는 단계; 및 상기 제2 DPI 장치에서 패턴 매칭을 수행한 결과 및 상기 제1 패턴 매칭 정보를 이용하여 제2 패턴 매칭 정보를 생성하는 단계를 포함하는 패턴 매칭 방법을 제공한다.
본 발명에 따른 모바일 인터넷 환경에서의 DPI 장치 및 방법과 이에 사용되는 패턴 매칭 방법 및 기록매체는, 핸드오버 발생시 이탈 지역(departure area)에서의 DPI 검사 결과를 이동 지역(destination area)으로 전달함으로써 지속적인 DPI 검사를 가능하게 한다는 이점을 제공한다. 또한, 상기 지속적인 DPI 검사 결과를 통해 네트워크 전체적으로 위험 수준을 넘는 사용자를 검색해 낼 수 있다는 이점을 제공한다.
이하, 본 발명의 기술적 과제의 해결 방안을 명확화하기 위해 첨부한 도면을 참조하여 본 발명의 바람직한 실시예를 상세하게 설명한다. 다만, 본 발명을 설명함에 있어서 관련된 공지기술 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불명료하게 할 수 있다고 판단되는 경우에는 그 상세한 설명은 생략한다. 또한, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자 등의 의도 또는 관례 등에 따라 달라질 수 있을 것이다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
도 1에는 본 발명이 적용되는 모바일 인터넷 환경의 일례로서 802.16e 네트워크 환경이 도시되어 있다. 802.16e는 Mobile WIMAX 또는 WiBro로 불리며, IP 기반의 기술로서 핸드오버 기능을 지원하는 이동성과, 넓은 커버리지를 지니는 장점이 있다.
도 1을 참조하면, 802.16e 네트워크 환경은 사업자 IP 네트워크(100)에 포함되는 서브넷(110, 120)으로 구분할 수 있다. 상기 서브넷(110, 120)은 가입자 이동 단말(Portable Subscriber Station; 112, 122), 기지국(Radio Access Station; 114, 124), 및 액세스 컨트롤 라우터(Access Control Router; 116, 126)를 포함한다.
상기 사업자 IP 네트워크(100)에는, 사업자별로 모바일 인터넷 사용자의 컴퓨터 자원 접근 처리와 서비스 제공에 있어서의 인증(Authentication), 인가(Authorization) 및 과금(Accounting) 기능을 제공하는 AAA서버(102)가 포함되며, 또한 모바일 유닛(112, 122)이 홈 네트워크를 떠날 때 보조주소(Care-of Address; COA)를 등록함으로써 상기 모바일 유닛의 현재의 위치 정보를 유지시켜 주고, 상기 모바일 유닛이 다른 서브 망에서 자신이 속한 서브 망으로 통신할 수 있도록 데이터 그램을 캡슐화하는 홈 에이전트(Home Agent; 104)가 포함된다.
상기 COA는 이동 IP 망에서 이동 노드의 현재 연결점에 관한 정보를 제공하고 캡슐화하기 위한 중간 주소를 말한다. IP 모빌리티에서는 위치 정보를 위한 COA와 Identification을 위한 HOA(Home Address)와 같이 2개의 IP주소를 사용한다. 본 발명에서는 지속적인 DPI을 위해 먼저 HOA 및 COA의 등록을 통해 서비스 지역을 초기화 하고 모바일 유닛 정보를 등록한다.
상기 서브넷(110, 120)에 포함되는 상기 액세스 컨트롤 라우터(ACR; 116, 126)는 유선 라우터와 무선랜 스위치의 기능을 결합한 장치로서 와이브로 구현을 위한 필수 장치 중 하나이다. 일반적으로 ACR(116, 126)은 모바일 유닛의 이동 중 로밍 등의 역할을 수행한다는 점에서 무선랜 스위치와 비슷하지만, 무선랜 스위치가 기업망과 연결해 주는 것과는 달리 ACR은 통신 사업자망(100)에 직접 연결해 준다.
DPI는 코어 네트워크(100), ACR(116, 126), 또는 RAS(114, 124) 수준에서 수행될 수 있지만, 본 명세서에서는 DPI 수행 위치로서 ACR(116, 126)단을 고려하였다.
본 발명에 따른 모바일 인터넷 환경에서의 DPI 장치는, 한 ACR(116) 지역에서 통신 중인 모바일 유닛이 다른 ACR(126) 지역으로 이동하여 COA가 변경되더라도, 상기 ACR(126) 단에서 패턴 검사 중인 본 발명에 따른 DPI 장치로 과거의 패턴 매칭 정보를 전송한다.
한편, 모바일 인터넷 망은 인터넷을 통하여 셀룰러 망 및 무선랜 망과의 연동이 가능하기 때문에, 본 발명은 도 1의 네트워크 환경에 제한되지 않고, 외부 망(130)과의 패턴 매칭 정보 교환을 통해 지속적인 DPI 수행하는데 적용될 수 있다. 더욱이, 최근 미디어 독립 핸드오버(Media Independent Handover), 즉 네트워크 혹은 미디어에 상관없이 QoS를 보장하는 심리스(seamless) 핸드오버 기술의 발달에 따라 본 발명의 적용 범위는 더욱 확대될 것이다.
도 2에는 본 발명에 따른 모바일 인터넷 환경에서의 DPI 장치를 이용하는 DPI 시스템이 도시되어 있다.
도 3에는 본 발명에 따른 모바일 인터넷 환경에서의 DPI 방법의 일례가 흐름도로 도시되어 있다.
도 2 및 도 3을 참조하면, 본 발명에 따른 모바일 인터넷 환경에서의 DPI 장치(220, 240)는 패턴 매칭부(222, 242), 저장부(224, 244) 및 전송부(226, 246)를 포함한다.
우선, 상기 제1 DPI 장치(220)에 있어서, 상기 패턴 매칭부(222)는 모바일 유닛(200)에 의해 생성되는 데이터 패킷으로서 현재 지역(Area A)의 제1 ACR(210)을 통과하는 상기 데이터 패킷을 캡처(capture)하고, 미리 저장된 패턴 테이블(pattern table)의 패턴과 상기 캡처된 데이터 패킷의 데이터 패턴을 매칭하여 패턴 매칭 여부를 검사한다(S300).
상기 패턴 매칭부(222)는 매칭되는 패턴이 있는 경우(S310), 패턴 매칭 정보 를 생성하고 상기 저장부(224)에 저장한다(S320). 그러나, 상기 매칭되는 패턴이 없는 경우(S310), 상기 패턴 매칭부(222) 데이터 패킷이 존재하는 동안 다른 패킷을 캡처하여 검사한다.
도 4에는 패턴 매칭 여부 검사에 사용되는 상기 패턴 테이블의 일례가 도시되어 있다.
도 4에 도시된 바와 같이, 상기 패턴 테이블은 DPI 대상 패턴, 즉 DPI를 통해 추출하고자 하는 패턴 정보인 예약어(Signature) 및 상기 패턴과 관련되는 인덱스(Identification Number) 정보를 포함할 수 있다. 또한, 패턴 단위는 단어 또는 문장으로 구성될 수 있다.
일 실시예에 있어서, 패턴 매칭 정보 생성할 때, 매칭된 패턴의 예약어 값을 직접 이용하지 않고 인덱스 값만을 이용하면 저장량 및 통신량을 감소시킬 수 있다. 또한, 상기 패턴 매칭부(222)는, 상기 모바일 유닛(200)의 아이디(ID) 및 보조주소(COA)와 관련하여 상기 패턴 매칭 정보를 생성하고, 그리고 상기 저장부(224)에 저장할 수 있다. 이때, 상기 저장부(224)에 저장되는 상기 패턴 매칭 정보는 이진수 형태의 정보 전달용 테이블로 저장될 수 있다. 상기 모바일 유닛(200)의 아이디(ID) 및 보조주소(COA)는 상기 패턴 매칭 정보 생성 전에 각각 상기 모바일 인터넷 환경에서 인증 기능을 제공하는 상기 AAA 서버(102) 및 IP 이동성을 제어하는 상기 홈 에이전트(104)로부터 전송받을 수 있다.
그 다음, 상기 모바일 유닛(200)이 다른 지역(Area B)로 이동하여 핸드오버(handover)가 발생하는 경우(S330), 상기 전송부(226)는 상기 저장부(224)에 저 장된 상기 패턴 매칭 정보를 상기 이동 지역(destination area; Area B)에서 DPI를 수행하는 장치(240)로 전송한다(S340).
이때, 상기 전송부(226)는 상기 패턴 매칭 정보를 정보전달용 패킷의 헤더에 포함하여 전송한다.
도 5에는 상기 패턴 매칭 정보를 전달하기 위한 IPv4 패킷 구조가 도시되어 있다.
도 5를 참조하면, IPv4 패킷의 경우 헤더(510)의 IP 옵션 필드(512)에 패턴 매칭 정보(520)가 작성되며, 상기 패턴 매칭 정보(520)에는 상기 모바일 유닛(200)의 아이디 정보(522) 및 매칭된 패턴의 패턴 테이블상의 인덱스 정보(524)를 포함할 수 있다. 이로써 상기 이동 지역에서 DPI를 수행하는 상기 제2 DPI 장치가 상기 패턴 매칭 정보(520)를 통해 해당 모바일 유닛 아이디와 관련된 이탈 지역(departure area; Area A) 패턴 매칭 정보를 알 수 있다. 또한, 패턴 매칭 정보는 상기 패킷의 종류가 일반패킷이 아닌 정보전달용 패킷임을 확인 및 구분하는 응답(Acknowledgement) 정보를 포함할 수 있다.
한편, IPv6 패킷(미도시)의 경우 상기 패턴 매칭 정보(520)는 상기 IPv6 패킷의 헤더에 포함되며, 특히 새롭게 추가된 확장 필드에 작성될 수 있다.
핸드오버 발생시, 상기 모바일 유닛(200)에 관하여 상기 이탈 지역(departure area; Area A)에서 DPI를 수행하는 장치(220)로부터 이탈 지역 패턴 매칭 정보를 전송받은 상기 제2 DPI 장치(240)는 상기 이탈 지역 패턴 매칭 정보와 관련하여 현재 지역(Area B)에서의 패턴 매칭 정보를 생성한다(S350).
상기 제2 DPI 장치(240)의 패턴 매칭부(242), 저장부(244) 및 전송부(246)는 상기 제1 DPI 장치(220)의 패턴 매칭부(222), 저장부(224) 및 전송부(226)와 동일한 기능을 수행한다.
구체적으로 설명하면, 상기 제2 DPI 장치(240)의 상기 패턴 매칭부(242)는, 미리 저장된 패턴 테이블의 패턴과 현재 지역(Area B)에서 캡처된 데이터 패킷의 데이터 패턴을 매칭하여 얻어지는 매칭 결과와, 상기 이탈 지역 패턴 매칭 정보를 이용하여 새로운 패턴 매칭 정보를 생성한다. 이러한 과정은 상기 모바일 유닛(200)이 제3 지역(미도시)에서 상기 이탈 지역(Area A)으로 이동했었던 경우, 또는 현재 지역(Area B)에서 다시 상기 이탈 지역(Area A)으로 이동하는 경우 상기 제1 DPI 장치(220)의 상기 패턴 매칭부(222)에 의해 마찬가지로 수행된다.
도 6에는 핸드오버 발생시 이탈 지역 패턴 매칭 정보를 이용하여 이동 지역에서 새로운 패턴 매칭 정보를 생성하는 과정이 도시되어 있다.
도 6을 참조하면, 본 발명의 일 실시예에 있어서 상기 DPI 장치들(220, 240)이 패턴 매칭 정보를 패턴 테이블에 포함되는 패턴 정보(Pattern(n)), 패턴 매칭 상태를 나타내는 해시값(Hash-Value(n)), 모바일 유닛 아이디(ID) 및 보조주소 정보(CoA)를 포함하는 해시 테이블(hash table; 600, 630) 형태로 구성하여 저장하는 경우, 상기 제2 DPI 장치의 상기 패턴 매칭부(242)는 상기 이탈 지역 패턴 매칭 정보로부터 알 수 있는 이탈 지역(Area A)에서의 패턴 매칭 결과(610)와 이동 지역(Area B)에서의 패턴 매칭 결과(620)를 이용하여 최종적인 패턴 매칭 정보(630)를 생성하고 상기 저장부(244)부에 저장한다.
이와 같이, 핸드오버 발생 전·후 지역에서의 패턴 매칭 결과가 누적되므로 핸드오버 발생시에도 지속적인 DPI 수행이 가능하게 된다.
본 발명에 따른 DPI 장치는 상기 모바일 유닛(200)의 통신 종료로 인해 더 이상 데이터 패킷이 존재하지 않을 때까지 상기 과정들을 수행한다(S360).
본 발명에 따라 모바일 인터넷 환경에서 DPI를 수행하기 위한 패턴 매칭 방법은 다음과 같이 정리할 수 있다.
우선, 제1 DPI 장치에서 모바일 유닛(mobile unit)에 의해 생성되는 데이터 패킷을 캡처하고, 미리 저장된 패턴 테이블의 패턴과 상기 캡처된 데이터 패킷의 데이터 패턴을 매칭하여 제1 패턴 매칭 정보를 생성한다.
그 다음, 핸드오버(handover) 발생시 상기 제1 DPI 장치에서 상기 제1 패턴 매칭 정보를 상기 모바일 유닛의 이동 지역(destination area)의 제2 DPI 장치로 전송한다.
그 다음, 상기 제2 DPI 장치에서 패턴 매칭을 수행한 결과 및 상기 제1 패턴 매칭 정보를 이용하여 제2 패턴 매칭 정보를 생성한다.
본 발명은 DPI 장치를 제어하는 컴퓨터가 판독할 수 있는 기록매체에 상기 컴퓨터가 읽어들일 수 있는 프로그램 코드로서 구현하는 것이 가능하다. 본 발명이 소프트웨어를 통해 실행될 때, 본 발명의 구성 수단들은 필요한 작업을 실행하는 코드 세그먼트들이다. 프로그램 또는 코드 세그먼트들은 프로세서 판독 가능 매체에 저장되거나 전송 매체 또는 통신망에서 반송파와 결합된 컴퓨터 데이터 신호에 의하여 전송될 수 있다.
컴퓨터가 판독할 수 있는 기록매체에는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 판독할 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광데이터 저장장치 등이 있다. 또한, 컴퓨터가 판독할 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어 분산방식으로 컴퓨터가 읽어들일 수 있는 코드가 저장되고 실행될 수 있다.
상술한 바와 같이, 본 발명은 DPI 수행 중인 모바일 유닛의 사용자가 다른 서비스 지역으로 이동하여 핸드오버가 발생하는 경우에도 지속적인 DPI를 수행할 수 있다는 이점을 제공한다. 또한, 각 서비스 망을 기준으로 할 때는 패턴 매칭 정보의 일정 위험 수준을 넘지 않지만, 모든 서비스 이동경로 상의 서비스 망 전체를 기준으로 할 때는 위험 수준을 넘는 사용자를 추적하여 알아낼 수 있다는 이점을 제공한다. 특히, 네트워크 혹은 미디어에 상관없이 일정한 QoS를 보장하는 미디어 독립 핸드오버(Media Independent Handover) 기술이 급속히 발전하고 있는 기술 동향을 고려할 때 본 발명은 큰 의미를 지닌다.
지금까지 본 발명에 대해 실시예들을 참고하여 설명하였다. 그러나 당업자라면 본 발명의 본질적인 기술적 사상으로부터 벗어나지 않는 범위에서 본 발명이 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 즉, 본 발명의 진정한 기술적 범위는 첨부된 특허청구범위에 나타나 있으며, 그와 균등범위 내에 있는 모든 차이점은 본 발명에 포함되는 것으로 해석되어야 할 것이다.
도 1은 본 발명이 적용되는 모바일 인터넷 환경의 일례를 나타낸 도면.
도 2는 본 발명에 따른 모바일 인터넷 환경에서의 DPI 장치를 이용하는 DPI 시스템을 나타낸 블록도.
도 3은 본 발명에 따른 모바일 인터넷 환경에서의 DPI 방법의 일례를 나타낸 흐름도.
도 4는 패턴 매칭 여부 검사에 사용되는 패턴 테이블의 일례를 나타낸 도면.
도 5는 패턴 매칭 정보를 전달하기 위한 IPv4 패킷 구조를 나타낸 도면.
도 6은 핸드오버 발생시 이탈 지역 패턴 매칭 정보를 이용하여 이동 지역에서 새로운 패턴 매칭 정보를 생성하는 과정을 나타낸 도면.

Claims (20)

  1. IP(Internet Protocol) 이동성을 지원하는 모바일 인터넷 환경에서 DPI(Deep Packet Inspection)를 수행하는 장치에 있어서,
    모바일 유닛(mobile unit)에 의해 생성되는 데이터 패킷을 캡처하고, 미리 저장된 패턴 테이블의 패턴과 상기 캡처된 데이터 패킷의 데이터 패턴을 매칭하여 패턴 매칭 정보를 생성하는 패턴 매칭부; 및
    핸드오버(handover) 발생시 상기 모바일 유닛의 이동 지역(destination area)에서 DPI를 수행하는 장치로 상기 패턴 매칭 정보를 전송하는 전송부를 포함하고,
    상기 패턴 매칭부는, 상기 모바일 유닛에 관하여 핸드오버 발생에 의해 이탈 지역(departure area)에서 DPI를 수행하는 장치로부터 전송되는 이탈 지역 패턴 매칭 정보가 존재하는 경우 상기 이탈 지역 패턴 매칭 정보와 관련하여 상기 패턴 매칭 정보를 생성하는 모바일 인터넷 환경에서의 DPI 장치.
  2. 제1항에 있어서,
    상기 모바일 인터넷 환경은, 802.16e 네트워크 환경을 포함하는 것을 특징으로 하는 모바일 인터넷 환경에서의 DPI 장치.
  3. 제1항에 있어서,
    상기 패턴 매칭부는, 상기 모바일 유닛의 아이디 정보 및 보조주소(Care of Address) 정보와 관련하여 상기 패턴 매칭 정보를 생성하는 것을 특징으로 하는 모바일 인터넷 환경에서의 DPI 장치.
  4. 제3항에 있어서,
    상기 패턴 매칭부는, 상기 모바일 인터넷 환경에서 인증 기능을 제공하는 AAA(Authentication Authorization Accounting) 서버로부터 상기 모바일 유닛의 아이디 정보를 전송받고, 그리고 IP 이동성을 제어하는 홈 에이전트(Home Agent)로부터 상기 모바일 유닛의 보조주소 정보를 전송받는 것을 특징으로 하는 모바일 인터넷 환경에서의 DPI 장치.
  5. 제1항에 있어서,
    상기 패턴 매칭부는, 상기 패턴 테이블의 패턴과 상기 캡처된 데이터 패킷의 데이터 패턴을 매칭하여 얻어지는 매칭 결과 및 상기 전송된 패턴 매칭 정보를 이용하여 상기 패턴 매칭 정보를 생성하는 것을 특징으로 하는 모바일 인터넷 환경에서의 DPI 장치.
  6. 제1항에 있어서,
    상기 패턴 매칭부가 사용하는 상기 패턴 테이블은, DPI 대상 패턴 정보 및 상기 DPI 대상 패턴 정보와 관련되는 인덱스 정보를 포함하는 것을 특징으로 하는 모바일 인터넷 환경에서의 DPI 장치.
  7. 제6항에 있어서,
    상기 패턴 매칭부가 생성하는 상기 패턴 매칭 정보는, 상기 패턴 테이블에 포함된 정보 중에서 상기 캡처된 데이터 패킷의 데이터 패턴과 매칭되는 패턴 정보와 관련되는 인덱스 정보를 포함하는 것을 특징으로 하는 모바일 인터넷 환경에서의 DPI 장치.
  8. 제7항에 있어서,
    상기 전송부가 전송하는 상기 패턴 매칭 정보는, 상기 모바일 유닛의 아이디 및 상기 인덱스 정보를 포함하는 것을 특징으로 하는 모바일 인터넷 환경에서의 DPI 장치.
  9. 제1항에 있어서,
    상기 전송부는, 상기 패턴 매칭 정보를 정보전달용 패킷의 헤더에 포함하여 전송하는 것을 특징으로 하는 모바일 인터넷 환경에서의 DPI 장치.
  10. IP(Internet Protocol) 이동성을 지원하는 모바일 인터넷 환경에서 DPI(Deep Packet Inspection)를 수행하는 방법에 있어서,
    DPI 장치에서 모바일 유닛(mobile unit)에 의해 생성되는 데이터 패킷을 캡 처하고, 미리 저장된 패턴 테이블의 패턴과 상기 캡처된 데이터 패킷의 데이터 패턴을 매칭하여 패턴 매칭 정보를 생성하는 패턴 매칭 단계; 및
    핸드오버(handover) 발생시 상기 모바일 유닛의 이동 지역(destination area)에서 DPI를 수행하는 장치로 상기 패턴 매칭 정보를 전송하는 전송 단계를 포함하고,
    상기 패턴 매칭 단계는, 상기 모바일 유닛에 관하여 핸드오버 발생에 의해 이탈 지역(departure area)에서 DPI를 수행하는 장치로부터 전송되는 이탈 지역 패턴 매칭 정보가 존재하는 경우 상기 이탈 지역 패턴 매칭 정보와 관련하여 상기 패턴 매칭 정보를 생성하는 단계인 모바일 인터넷 환경에서의 DPI 방법.
  11. 제10항에 있어서,
    상기 모바일 인터넷 환경은, 802.16e 네트워크 환경을 포함하는 것을 특징으로 하는 모바일 인터넷 환경에서의 DPI 방법.
  12. 제10항에 있어서,
    상기 패턴 매칭 단계는, 상기 모바일 유닛의 아이디 정보 및 보조주소(Care of Address) 정보와 관련하여 상기 패턴 매칭 정보를 생성하는 단계인 것을 특징으로 하는 모바일 인터넷 환경에서의 DPI 방법.
  13. 제12항에 있어서,
    상기 패턴 매칭 단계는, 상기 패턴 매칭 정보 생성 전에 상기 모바일 인터넷 환경에서 인증 기능을 제공하는 AAA(Authentication Authorization Accounting) 서버로부터 상기 모바일 유닛의 아이디 정보를 전송받고, 그리고 IP 이동성을 제어하는 홈 에이전트(Home Agent)로부터 상기 모바일 유닛의 보조주소 정보를 전송받는 단계를 포함하는 것을 특징으로 하는 모바일 인터넷 환경에서의 DPI 방법.
  14. 제10항에 있어서,
    상기 패턴 매칭 단계는, 상기 패턴 테이블의 패턴과 상기 캡처된 데이터 패킷의 데이터 패턴을 매칭하여 얻어지는 매칭 결과 및 상기 전송된 패턴 매칭 정보를 이용하여 상기 패턴 매칭 정보를 생성하는 단계인 것을 특징으로 하는 모바일 인터넷 환경에서의 DPI 방법.
  15. 제10항에 있어서,
    상기 패턴 매칭 단계에서 사용되는 상기 패턴 테이블은, DPI 대상 패턴 정보 및 상기 DPI 대상 패턴 정보와 관련되는 인덱스 정보를 포함하는 것을 특징으로 하는 모바일 인터넷 환경에서의 DPI 방법.
  16. 제15항에 있어서,
    상기 패턴 매칭 단계에서 생성되는 상기 패턴 매칭 정보는, 상기 패턴 테이블에 포함된 정보 중에서 상기 캡처된 데이터 패킷의 데이터 패턴과 매칭되는 패턴 정보와 관련되는 인덱스 정보를 포함하는 것을 특징으로 하는 모바일 인터넷 환경에서의 DPI 방법.
  17. 제16항에 있어서,
    상기 전송 단계에서 전송되는 상기 패턴 매칭 정보는, 상기 모바일 유닛의 아이디 및 상기 인덱스 정보를 포함하는 것을 특징으로 하는 모바일 인터넷 환경에서의 DPI 방법.
  18. 제10항에 있어서,
    상기 전송 단계는, 상기 패턴 매칭 정보를 정보전달용 패킷의 헤더에 포함하여 전송하는 것을 특징으로 하는 모바일 인터넷 환경에서의 DPI 방법.
  19. 제 10 항 내지 제 18 항 중 어느 한 항의 방법을 컴퓨터에서 실행하기 위한 프로그램을 기록하는 컴퓨터 판독 가능한 기록 매체.
  20. IP(Internet Protocol) 이동성을 지원하는 모바일 인터넷 환경에서 DPI(Deep Packet Inspection)를 위해 패턴 매칭(pattern matching)을 수행하는 방법에 있어서,
    제1 DPI 장치에서 모바일 유닛(mobile unit)에 의해 생성되는 데이터 패킷을 캡처하고, 미리 저장된 패턴 테이블의 패턴과 상기 캡처된 데이터 패킷의 데이터 패턴을 매칭하여 제1 패턴 매칭 정보를 생성하는 단계;
    핸드오버(handover) 발생시 상기 제1 DPI 장치에서 상기 제1 패턴 매칭 정보를 상기 모바일 유닛의 이동 지역(destination area)의 제2 DPI 장치로 전송하는 단계; 및
    상기 제2 DPI 장치에서 패턴 매칭을 수행한 결과 및 상기 제1 패턴 매칭 정보를 이용하여 제2 패턴 매칭 정보를 생성하는 단계를 포함하는 패턴 매칭 방법.
KR1020080029845A 2008-03-31 2008-03-31 모바일 인터넷 환경에서의 dpi 장치 및 방법과 이에사용되는 패턴 매칭 방법 및 기록매체 KR100955883B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020080029845A KR100955883B1 (ko) 2008-03-31 2008-03-31 모바일 인터넷 환경에서의 dpi 장치 및 방법과 이에사용되는 패턴 매칭 방법 및 기록매체

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020080029845A KR100955883B1 (ko) 2008-03-31 2008-03-31 모바일 인터넷 환경에서의 dpi 장치 및 방법과 이에사용되는 패턴 매칭 방법 및 기록매체

Publications (2)

Publication Number Publication Date
KR20090104425A KR20090104425A (ko) 2009-10-06
KR100955883B1 true KR100955883B1 (ko) 2010-05-06

Family

ID=41534225

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080029845A KR100955883B1 (ko) 2008-03-31 2008-03-31 모바일 인터넷 환경에서의 dpi 장치 및 방법과 이에사용되는 패턴 매칭 방법 및 기록매체

Country Status (1)

Country Link
KR (1) KR100955883B1 (ko)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013032473A1 (en) * 2011-08-31 2013-03-07 Hewlett-Packard Development Company, L.P. Tiered deep packet inspection in network devices
WO2016073377A1 (en) * 2014-11-03 2016-05-12 Seven Networks, Llc Deep packet inspection (dpi) at an endpoint

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030092917A (ko) * 2002-05-31 2003-12-06 주식회사 현대시스콤 이동통신 시스템에서 이동 아이피 어카운팅 방법
US20050165917A1 (en) 2003-12-22 2005-07-28 Nokia Corporation Method to support mobile IP mobility in 3GPP networks with SIP established communications
JP2006229424A (ja) 2005-02-16 2006-08-31 Nec Corp 通信装置およびパケットフィルタリング方法
KR100814101B1 (ko) 2006-11-15 2008-03-14 (주)타임네트웍스 네트워크 기반 지역 이동성 관리 프로토콜에서의 고속핸드오버 방법 및 장치

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030092917A (ko) * 2002-05-31 2003-12-06 주식회사 현대시스콤 이동통신 시스템에서 이동 아이피 어카운팅 방법
US20050165917A1 (en) 2003-12-22 2005-07-28 Nokia Corporation Method to support mobile IP mobility in 3GPP networks with SIP established communications
JP2006229424A (ja) 2005-02-16 2006-08-31 Nec Corp 通信装置およびパケットフィルタリング方法
KR100814101B1 (ko) 2006-11-15 2008-03-14 (주)타임네트웍스 네트워크 기반 지역 이동성 관리 프로토콜에서의 고속핸드오버 방법 및 장치

Also Published As

Publication number Publication date
KR20090104425A (ko) 2009-10-06

Similar Documents

Publication Publication Date Title
US7436804B2 (en) Methods and apparatus for using a Care of Address option
US8665819B2 (en) System and method for providing mobility between heterogenous networks in a communication environment
US20110228744A1 (en) Application Identification in Mobile Networks
US9197980B2 (en) Multi-operator wireless networking
KR101195944B1 (ko) 심층 패킷 검사 장치 및 심층 패킷 검사 방법
US8413243B2 (en) Method and apparatus for use in a communications network
JP4714261B2 (ja) 端末装置のロケーションエリアにおける通信ネットワークの最適選択
US8059599B1 (en) Gateway assignment function
US20100040021A1 (en) Communication method, communication system, mobile node, proxy node, and management node
EP2028796A1 (en) Neighbor discovery method and apparatus for mobile node in heterogeneous network environment
Kim et al. Mobile oriented future internet (MOFI): Architectural design and implementations
US8023503B2 (en) Multi-homing based mobile internet
US8923181B2 (en) Method and apparatus for controlling multicast IP packets in access network
US8300631B2 (en) Method for realizing mobile IP management and the network system thereof
Melia et al. Logical-interface support for IP hosts with multi-access support
KR100955883B1 (ko) 모바일 인터넷 환경에서의 dpi 장치 및 방법과 이에사용되는 패턴 매칭 방법 및 기록매체
US20100241737A1 (en) Method and apparatus for address verification during multiple addresses registration
US9596597B2 (en) Mobile security protocol negotiation
CN101031133B (zh) 一种确定移动节点归属的家乡代理的方法及装置
US20110153819A1 (en) Communication system, connection apparatus, information communication method, and program
Lee et al. A mobility scheme for personal and terminal mobility
Bokor et al. Protocol design and analysis of a HIP-based per-application mobility management platform
JP4432599B2 (ja) モバイルipのha及び/又は通信相手端末への登録方法及び通信端末
Jakab et al. Software Tool for Time Duration Measurements of Handovers in IPv6 Wireless Networks
Zhou et al. Network-based mobility management for LISP network

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130405

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20140304

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20150618

Year of fee payment: 6

LAPS Lapse due to unpaid annual fee