KR101154734B1 - 암호화되고 터널링되는 패킷 스트림들을 위한 흐름 분류 - Google Patents

암호화되고 터널링되는 패킷 스트림들을 위한 흐름 분류 Download PDF

Info

Publication number
KR101154734B1
KR101154734B1 KR1020107014423A KR20107014423A KR101154734B1 KR 101154734 B1 KR101154734 B1 KR 101154734B1 KR 1020107014423 A KR1020107014423 A KR 1020107014423A KR 20107014423 A KR20107014423 A KR 20107014423A KR 101154734 B1 KR101154734 B1 KR 101154734B1
Authority
KR
South Korea
Prior art keywords
packet filters
filters
packet
filter
subset
Prior art date
Application number
KR1020107014423A
Other languages
English (en)
Other versions
KR20110008001A (ko
Inventor
업핀더 싱 바바르
벤카타 사티시 쿠말 반가라
Original Assignee
콸콤 인코포레이티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 콸콤 인코포레이티드 filed Critical 콸콤 인코포레이티드
Publication of KR20110008001A publication Critical patent/KR20110008001A/ko
Application granted granted Critical
Publication of KR101154734B1 publication Critical patent/KR101154734B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer

Abstract

다양한 통신 네트워크 서브시스템들에 의해 요구되는 특별한 프로세싱(예컨대, QOS, 보안, 터널링 등)의 문제점을 해결하기 위한 방법들 및 시스템들이 개시된다. 일부 경우들에서, 하나의 통신 서브시스템에 의한 프로세싱은 수정된 IP 데이터 패킷들을 야기할 수 있고, 이러한 수정된 IP 데이터 패킷들은 이러한 패킷들의 추가적 프로세싱의 적용에 영향을 끼칠 수 있다. 상기 방법들 및 시스템들은 모든 종단 노드 및 중간 노드가 수정된 패킷들에 대하여 요구되는 프로세싱을 수행할 수 있도록 유즈 케이스에 기초하여 필터들을 변환하고 추가적 터널들 또는 다른 절차들을 셋팅함으로써 문제점을 해결한다. 상기 방법들 및 시스템들은 둘 이상의 상이한 타입들의 패킷 필터들의 오버랩핑 또는 교차를 고려할 수 있다. 수정된 패킷들에 대하여 목적하는 패킷 분류를 제공하기 위해 제1 패킷 필터들 세트가 변환된다. 상기 제1 패킷 필터들 세트에 적용되는 변환에 기초하여 제2 패킷 필터들 세트가 변환될 수 있다.

Description

암호화되고 터널링되는 패킷 스트림들을 위한 흐름 분류{FLOW CLASSIFICATION FOR ENCRYPTED AND TUNNELED PACKET STREAMS}
본 출원은 2007년 11월 29일자로 제출된 미국 가출원 번호 60/991,087호의 우선권의 이익을 주장하며, 상기 가출원의 전체 개시 내용은 이로써 참조에 의해 통합된다.
본 발명은 일반적으로 컴퓨터 네트워크 통신에 관한 것으로, 더욱 상세하게는 애플리케이션들 또는 네트워크 운영자들에 의해 설치된 필터들을 변환하기 위한 흐름 분류들 및 방식들에 관한 것이다.
흐름 분류는 네트워크 데이터 패킷들을 흐름들로 불리는 다양한 논리적 스트림들로 분류하는 프로세스이다. 데이터 패킷들이 인터넷 프로토콜(IP) 트래픽 내에서 전송될 때, 상기 데이터 패킷들은 상기 데이터 패킷들에 수행되는 특정 프로세싱을 요구할 수 있다. 상기 특정 프로세싱은 상기 데이터 패킷들을 송신하거나 수신하는 애플리케이션에 의해 또는 상기 데이터 패킷이 이동하는 통신 경로에 의해 지시된다. 분류 흐름은 통상적으로 특정한 파라미터들에 기초하여 패킷들을 필터링함으로써 수행된다. 예컨대, 잡음 및 간섭이 통신 경로 내의 링크 상에서 일어날 수 있는 무선 통신에서, 특정한 애플리케이션들은 최소의 서비스 품질(QOS)이 통신 전송을 통틀어 유지되는 것을 요구할 수 있다. 그러므로, 최소 QOS의 유지를 요구하는 데이터 패킷들을 인지하기 위해 그리고 이러한 데이터 패킷들을 상기 최소 QOS가 충족됨을 보장해 줄 통신 경로 내의 신뢰성 있는 채널들을 따라서 라우팅하기 위해, 필터들이 통신 경로 상에서 라우터들 내에 구현될 수 있다.
TCP/IP 네트워크 통신에서, 패킷 필터링은 통상적으로 소스 및/또는 목적지 IP 주소들, 소스 및/또는 목적지 포트 번호들, 프로토콜/다음 차례 헤더 필드들 등과 같이 TCP/UDP/IP 헤더들 내의 다양한 파라미터들을 이용하여 수행된다. IP 데이터 패킷 트래픽에 수행되는 특정 프로세싱은 데이터 패킷의 라우팅으로 제한될 필요는 없다. 필터링은 또한 실시간 전송 프로토콜(RTP) 헤더 또는 세션 개시 프로토콜(SIP) 헤더로부터와 같이 상위 계층 프로토콜 헤더 파라미터들을 이용하여 수행될 수도 있다. 필터들에 의해 주소 지정된 파라미터들은 애플리케이션 계층 헤더 또는 애플리케이션 페이로드 바디의 일부일 수도 있다.
분류의 기본 개념은 IP 패킷과 같은 데이터 패킷들을, IP 패킷들의 특별한 핸들링을 가능하게 하기 위하여 특정한 특색들(필터링 파라미터들에 의해 정의됨)에 기초하여 IP 패킷들의 스트림 내에서 차등화하는 것이다. 패킷들의 스트림들(본 명세서에서 흐름들로서 지칭됨)로의 분류는 파이어월, QOS, 보안, 헤더 압축, 요금청구, 로깅(logging) 등과 같이 네트워크 내에서 각각의 흐름 내의 패킷들에 대한 폭넓은 다양한 선택적 처리들을 제공하기 위해 사용될 수 있다.
종단 간 통신 링크가 설정될 때, 모든 트래픽은 디폴트 QOS를 이용하여 처리되고, 애플리케이션이 특별한 프로세싱을 요구한다면 애플리케이션은 링크 내의 적절한 노드들 또는 라우터들에 자신의 애플리케이션 필터들을 특정함으로써 QOS 프로세싱을 요청할 것이다. 특정 애플리케이션들은 통신 링크를 통해 전송되고 있는 특정한 IP 패킷들의 핸들링 및 특정 프로세싱을 지시할 수 있는 추가적 필터들의 배치를 요구할 수 있다. 애플리케이션이 QOS 프로세싱을 요청하는 경우 라우터들 상에 배치된 기존의 보안 필터들이 존재할 때 필터들 간의 충돌들이 발생할 수 있으며, 이 경우 보안 필터 및 QOS 필터는 서로 교차하거나 충돌할 수 있다.
일부 예시들에서, 종단 노드들 또는 중간 라우터들은 터널링을 수행하고, 보안 조치들을 적용하는 등과 같이 IP 데이터 패킷들에 추가적 프로세싱을 요구할 수 있다. 이러한 상황들에서, IP 데이터 패킷들은 원래의(original) 필터가 이러한 패킷들을 적절하게 인지할 수 없도록 필터링을 인에이블링하는데 사용되는 다양한 파라미터들을 이동시키거나, 수정하거나 또는 암호화할 수 있다. 이는, IP 트래픽 헤더들 내의 파라미터들이 암호화되거나 자신의 통상적인 오프셋 포지션으로부터 이동될 때 일어날 수 있다. 이러한 예시들은 본 상세한 설명의 목적들을 위해 수정된 패킷들로서 지칭된다. 예컨대, 인터넷 프로토콜 보안(IPSec)이 암호화를 이용하는 캡슐화 보안 페이로드(ESP) 프로토콜을 이용하여 구현될 때, 전송 헤더 및 상위 헤더는 암호화될 수 있다. 결과적으로, RTP와 같이 포트 번호들 또는 다른 상위 계층들 헤더들에 기초하는 필터링이 적절하게 수행될 수 없다.
다른 예로서, IP 터널링 통신 메커니즘들이 사용될 때, IP 터널링 프로세스는 IP 데이터 패킷을 하나 이상의 IP 헤더 또는 상위 계층 헤더로 캡슐화한다. 그 결과, 통상적인 필터링 절차 내에서 동작되는 파라미터들은 각자의 보통의 포지션으로부터 이탈(즉, 오프셋)된다. 결과적으로, 이러한 파라미터들에 기초하는 필터링이 적절하게 수행될 수 없다. 기존의 필터링 동작들에 대하여 문제점들을 일으키는 일반적으로 발생하는 IP 터널링 시나리오들의 예들은 모바일 IP, IPv4-IPv6 인터워킹, 그리고 IPSec를 포함한다.
다양한 실시예들은 패킷 프로세싱이 IP 데이터 패킷들을 수정할 때 IP 데이터 패킷들의 의도된 분류가 달성될 수 있도록 IP 데이터 패킷 필터들을 변환하기 위한 방법들을 제공한다. 일부 시나리오들에서, 필터 수정들은 모든 QOS 요구사항들을 만족시키기 위해 추가적 터널들을 셋팅업하는 것을 더 수반한다. 실시예에서, IP 데이터 패킷 필터는 IP 데이터 패킷들이 두 개의 상이한 IP 데이터 패킷 필터들의 대상이 될 때 변환되고, IP 데이터 패킷들은 수정될 수 있다. 다른 실시예에서, IP 데이터 패킷 필터는 IP 데이터 패킷들이 제1 IP 데이터 패킷 필터의 대상이 되지만 IP 데이터 패킷들의 일부만이 제2 IP 데이터 패킷 필터의 대상이 될 때 변환되고, IP 데이터 패킷들은 수정될 수 있다. 제1 IP 데이터 패킷 필터 및 제2 IP 데이터 패킷 필터의 각각의 대상이 되는 IP 데이터 패킷들의 일부는 가변할 수 있다.
상기 다양한 실시예들은 종단 간 통신 링크 내에서 상이한 노드들 또는 상이한 계층들에 있는 다양한 서브시스템들에 의해 요구되는 특별한 프로세싱(예컨대, QOS, 보안, 터널링 등)의 문제점을 해결하기 위한 방법들을 제공한다. 일부 경우들에서, 하나의 서브시스템 또는 하나의 노드에 의한 프로세싱은 추가적 프로세싱의 적용에 영향을 끼칠 수 있는 수정된 IP 데이터 패킷을 야기할 수 있다. 이러한 문제점을 해결하기 위해, 상기 다양한 방법들은 모든 서브시스템 및 중간 노드들이 수정된 IP 데이터 패킷들에 요구되는 프로세싱을 수행할 수 있도록 유즈 케이스(use case)에 기초하여 요구되는 바와 같이 필터들을 변환한다. 일부 경우들에서, 필터 변환 단독으로는 동일한 흐름 분류를 제공할 수 없으며, 이러한 경우 특정한 계층/노드 내에서의 IP 패킷 수정 이후 동일한 흐름 분류를 달성하기 위해 추가적 터널을 설정하는 것과 같이 추가적 제어 절차들이 구현될 수도 있다.
본 명세서에 통합되고 본 명세서의 일부를 구성하는 동반된 도면들은 본 발명의 예시적 실시예들을 나타낸다. 위에서 주어진 일반적인 설명과 아래에 주어지는 상세한 설명과 함께, 상기 도면들은 본 발명의 특징들을 설명하는데 제공된다.
도 1a-도 1e는 QOS 요구사항들 및 IPSec 암호화의 대상이 되는 IP 통신을 수반하는 다양한 통신 네트워크 토폴로지 시나리오들을 도시한다.
도 2a-도 2e는 도 1a-도 1e에 도시된 네트워크 토폴로지 시나리오들에 적절한 다양한 필터 수정들을 도시한다.
도 3은 통신 서비스들에 의한 IP 데이터 패킷 수정들로 인한 문제점들을 해결하기 위한 실시예 방법의 프로세스 흐름도이다.
도 4-도 8은 다양한 네트워크 토폴로지 시나리오들에서 구현될 수 있는 IP 데이터 패킷 필터들을 변환하기 위해 구현될 수 있는 실시예 방법의 프로세스 흐름도들이다.
도 9는 다양한 실시예들을 구현하는데 적합한 모바일 디바이스의 컴포넌트 블록도이다.
도 10은 다양한 실시예들을 구현하는데 적합한 컴퓨터의 컴포넌트 블록도이다.
다양한 실시예들이 동반된 도면들을 참조하여 상세하게 설명될 것이다. 가능한 곳마다, 동일하거나 같은 부분들을 지칭하기 위해 동일한 참조부호들이 도면들을 통틀어 사용될 것이다. 특정한 예들 및 구현들에 대하여 이루어지는 참조들은 예시적 목적들을 위한 것이며, 본 발명의 범위나 청구범위를 제한하려는 것으로 의도되지 않는다.
본 명세서에 사용된 바와 같이, 용어들 "컴퓨터", "컴퓨팅 디바이스" 또는 "모바일 디바이스"는 퍼스널 컴퓨터들, 노트북 컴퓨터들, 휴대폰들, 퍼스널 데이터 어시스턴트들(PDA's), 팜-탑 컴퓨터들, 무선 전자 메일 수신기들 그리고 휴대폰 수신기들(예컨대, 블랙베리®와 트레오® 디바이스들), 멀티미디어 인터넷 가능 휴대폰(예컨대, 아이폰®), 그리고 프로그램가능 프로세서, 메모리를 포함하고 데이터 통신 네트워크를 통해 통신할 수 있는 유사한 퍼스널 전자 디바이스들 중 임의의 하나 또는 전부를 지칭한다.
이러한 설명에서, 용어들 "예시적"은 본 명세서에서 "예, 예시, 또는 실례로서 동작하는"을 의미하는 것으로 사용된다. "예시적"으로서 본 명세서에 설명되는 임의의 구현은 다른 구현들에 비하여 바람직하거나 유용한 것으로 반드시 해석되는 것은 아니다.
종단 간 통신 링크가 설정될 때, 모든 트래픽은 디폴트 QOS를 이용하여 처리된다. 종단점 디바이스/단말 상에서 실행되는 애플리케이션이 상기 애플리케이션에 의해 활용되는 IP 데이터 패킷들의 특별한 핸들링을 요구할 때, 상기 애플리케이션과 연관된 IP 데이터 패킷들의 핸들링 및 라우팅을 지향하기 위해 통신 링크 내에 있는 라우터들/게이트웨이들에 적절한 필터들이 사용될 수 있다. 일부 경우들에서, IP 데이터 패킷들은 다수의 필터들에 의한 분류를 요구한다. 그러나, IP 데이터 패킷들이 통신 프로세싱 동안에(예컨대, 패킷들이 암호화되거나 터널 라우팅을 위해 패키징될 때) 수정될 수 있기 때문에, 디폴트 필터 또는 표준 필터가 수정된 IP 데이터 패킷들을 인지할 수 없을 수 있으며, 그러므로 각자의 의도된 패킷 분류 기능을 수행할 수 없을 수 있다.
IP 패킷 필터링의 예는 QOS 최소 요구사항이 존재하는 패킷들을 인지하여 이러한 패킷들이 신뢰성 있는 통신 링크들을 통해 라우팅될 수 있도록 하기 위해 의도되는 필터이다. (용이한 참조를 위해, QOS 필터들은 도면들 및 본 명세서의 등식들 내에서 "Q"로서 식별된다.) 이러한 필터들은 다양한 링크들이 상이한 신호 품질을 갖는 무선 통신 링크들을 포함하는 통신 네트워크들 내에서 특히 유용하다. 종단 간 통신 링크가 무선 디바이스/단말을 포함할 때, 서비스 품질(QOS) 필터는, 각각의 라우터가 순방향 링크 상에서 목적하는 처리를 제공하기 위해 최소 QOS 요구사항을 충족시키는 특정한 유선 링크 또는 무선 링크를 통해 IP 패킷들을 적절하게 분류하여 지향시킬 수 있도록 하기 위하여, QOS가 제공되는 네트워크 경로를 따라서 있는 모든 라우터들 내에서 사용될 수 있다. 일부 구현들 또는 네트워크 구성들에서, QOS 핸들링은 무선 링크 내에서만 일어날 수 있으며, 이러한 경우 QOS 필터는 무선 종단점들로서 동작하는 라우터 또는 라우터들에 대해서만 사용될 수 있다. 또한, 일부 구현들에서, QOS 핸들링은 중간 링크 내에서 적용될 수 있어서(예컨대, 무선 통신 링크가 두 개의 유선 네트워크들 사이에서 접속을 제공할 때), QOS 필터들은 네트워크 경로의 종단점 상에 있는 노드로 제한되지 않는다. QOS 필터 또는 다른 타입들의 필터들은 네트워크 경로 내에 있는 모든 라우터들에 사용될 수 있거나 또는 네트워크 경로의 종단점 상에 있는 노드들에만 사용될 수 있다.
예로서, 모바일 디바이스는 인터넷으로부터 스트리밍 비디오를 수신하는 동시에 SMS 텍스트 메시지들을 송수신할 수 있다. SMS 텍스트 메시징 애플리케이션과 연관된 IP 데이터 패킷들은 전체 메시지가 적절하게 수신될 때까지 패킷들이 재전송될 수 있으므로 높은 QOS를 요구하지 않는다. 그러나, 스트리밍되는 비디오 애플리케이션과 연관된 IP 데이터 패킷들은 패킷들이 정확하게 수신됨을 보장하기 위해 높은 QOS 통신을 요구할 것이다. SMS 메시지 및 스트리밍 비디오 패킷들을 적절한 에어 링크를 통해 모바일 디바이스(또는 네트워크 경로 내에 있는 다른 링크들)로 라우팅하기 위해, 적절한 라우터 상에 사용되는 QOS 필터는 QOS 라우팅을 요구하거나 요구하지 않는 것으로서 무선 디바이스에 송신되고 있는 IP 데이터 패킷들을 분류할 수 있다. 이를 위해, 상기 QOS 필터는 패킷이 QOS 라우팅을 요구하는지의 여부를 결정하기 위해 IP 데이터 패킷 헤더 내에 있는 비트들의 특정한 세트를 샘플링할 수 있다. QOS 라우팅을 요구하는 것으로서 분류된 IP 데이터 패킷들(즉, 본 예에서 비디오 패킷들)은 패킷 흐름으로 라우팅될 수 있고, 상기 패킷 흐름은 높은 QOS 통신 링크를 통해 라우팅될 것이며, 반면에 다른 IP 데이터 패킷들(즉, 본 예에서 SMS 메시지 패킷들)은 다른 통신 링크를 통해 라우팅될 수 있다.
종단 간 QOS 라우팅을 제공하기 위해 QOS 패킷들을 적절하게 라우팅하기 위한 대안적인 방법은 데이터 패킷들의 IP 헤더 내에서 차등화 서비스 코드 포인트(DSCP) 마킹을 이용하는 것을 수반한다. 이러한 방식에서, 특별한 정수 값이 각각의 흐름 타입에 할당되고 IPv4 헤더의 TOS 필드 또는 IPv6 헤더 내 흐름 라벨 필드 내에 포함된다. 이러한 값들은 경로를 따라서 있는 모든 라우터들에 액세스될 수 있는 가장 바깥쪽 IP 헤더들 내에 마킹된다. 헤더들이 암호화되거나 추가적 헤더들이 전면에 첨부되도록 패킷이 수정되면, 패킷들을 수정하는 임의의 라우터는 첨부되어 있는 가장 바깥쪽 IP 헤더에 DSCP 마킹을 복사해야 하며, 그럼으로써 DSCP 마킹 값이 네트워크 경로를 따라서 있는 지점들에 있는 라우터들에 보일 수 있게 한다. DSCP 마킹은 네트워크 경로를 따라서 있는 각각의 라우터에게 어떻게 패킷들을 처리하고 임의의 목적하는 QOS 핸들링을 제공할 수 있는지를 표시한다. 다양한 DSCP 값들의 의미(semantics)는 각각의 서비스 제공자/네트워크 운영자에 의해 정의된다. 이러한 방법은 네트워크 경로를 따라서 있는 모든 라우터들이 DSCP 값들의 의도된 의미를 이해할 때에만 효과적이다. 이러한 방법에서, 제1 홉(즉, 발원 노드 또는 라우터)만이 QOS를 위한 패킷 분류를 수행할 필요가 있는데, 그 이유는 네트워크 경로를 따라서 있는 모든 다른 라우터들은 DSCP 값만을 신뢰할 수 있기 때문이다.
IP 데이터 통신에서 사용되는 다른 일반적인 필터는 암호화된 IP 데이터 패킷들을 분류한다. 암호화된 IP 데이터 패킷들은 자신들이 복호화될 종단점으로 상기 IP 데이터 패킷들을 라우팅하는 것과 같은 특별한 프로세싱을 요구한다. 따라서, 보안 필터들이 통신 링크 내에서 사용될 수 있으며, IP 데이터 패킷들 중 일부 또는 전부가 어떤 지점에서 암호화될 것이다. (용이한 참조를 위해, 보안 필터들은 도면들 및 본 명세서의 등식들 내에서 "S"로서 식별된다.)
이러한 IP 데이터 패킷 필터링이 위 예들에서 잘 동작하지만, 충돌하는 통신 요구사항들이 동일한 통신 링크 상에 부과될 때 문제점들이 야기될 수 있다. 이러한 문제점의 특정한 예는 링크 중 일부가 QOS 요구사항들 및 보안 조치들(예컨대, IPSec)의 대상이 되는 통신 링크들을 수반한다. 이러한 시나리오는 무선 디바이스가 IP 데이터 패킷들을 암호화함으로써 안전하게 통신하도록 구성되어, 사용자가 다양한 보안 조치들이 원해질 수 있는 민감한 데이터를 송수신할 수 있도록 할 때 일어난다. 예컨대, 종단 간 통신 접속은 가상 사설 네트워크(VPN) 능력을 제공하기 위해 모바일 디바이스 및 워크 서버 사이에 설정될 수 있다. 사용자는 이러한 암호화된 통신 접속을, 민감한 정보를 송수신하기 위해 활용할 수 있다. 대부분의 경우들에서, IP 데이터 패킷들을 암호화하는 것은 전체 패킷을 암호화하는 것과, 암호화된 결과들을 수정된 헤더(즉, 본래 IP 데이터 패킷의 패킷 헤더와 상이한 패킷 헤더)를 갖는 다른 IP 데이터 패킷 내에 포함시키는 것을 포함한다. 결과적으로, 본래(즉, 암호화되지 않은) 패킷들 내의 파라미터들은 분류 필터들에 액세스될 수 없고, 새로운 패킷 헤더 내에 포함되는 이러한 파라미터들은 상이한 오프셋 위치 내에 있기 쉽다. 필터링 파라미터들이 각자의 보통의 오프셋 위치로부터 이동되거나 액세스될 수 없기 때문에, 중간 라우터들 내에 있는 QOS 필터들과 같은 분류 필터들은 IP 데이터 패킷들을 목적하는 흐름들로 분류할 수 없을 수 있다.
상기 다양한 실시예들은 IP 데이터 패킷들이 수정되는 다양한 시나리오들을 다루기 위해 필터들을 변환하기 위한 표준 메커니즘을 제공함으로써 이러한 문제점들을 극복한다. 변환된 필터들은 패킷 헤더 수정들을 수용함으로써 IP 데이터 패킷들을 적절하게 분류할 수 있다. 그런 다음에 변환된 필터들은 특정한 통신 세션의 통신 경로를 따라서 있는 다양한 라우터들/게이트웨이들에 사용될 수 있다. 이러한 방식으로, 통신 링크 내의 네트워크 노드들은 심지어 패킷 헤더들이 수정되었을 때에라도 IP 데이터 패킷들을 적절하게 분류하여 라우팅할 수 있다. 따라서, 예컨대, IP 데이터 패킷들이 IP 터널링 또는 암호화를 이용하여 전송되면, 특정 애플리케이션 또는 QOS 라우팅을 요구하는 애플리케이션에 의한 사용을 위해 의도되는 IP 데이터 패킷들은 상기 변환된 필터들에 의해 적절한 흐름들로 분류될 수 있다. IP 데이터 패킷들 및 IP 기반 네트워크들에 대하여 본 명세서에서 다양한 실시예들이 논의되지만, 상기 실시예들은 다른 타입들의 네트워크들 또는 프로토콜들로 확장될 수 있다. 상기 다양한 실시예들은 종단 간 통신 링크 내에서 상이한 노드들 또는 계층에 있는 다양한 서브시스템들에 의해 요구되는 특별한 프로세싱(예컨대, QOS, 보안, 터널링 등)의 문제점을 해결하기 위한 방법들을 제공한다. 일부 경우들에서, 하나의 서브시스템 또는 하나의 노드에 의한 프로세싱은 추가적 프로세싱의 적용에 영향을 끼칠 수 있는 수정된 IP 데이터 패킷을 야기할 수 있다. 이러한 문제점을 해결하기 위해, 상기 다양한 방법들은 모든 서브시스템 및 중간 노드들이 수정된 IP 데이터 패킷들에 요구되는 프로세싱을 수행할 수 있도록 유즈 케이스(use case)에 기초하여 요구되는 바와 같이 필터들을 변환하고 추가적 터널들 또는 다른 제어 절차들을 셋업한다.
변환된 필터의 적절한 배치를 결정하기 위해 트래픽 흐름 방향이 별도로 고려되어야 한다. 대부분의 경우들에서, 모바일 디바이스로부터 네트워크로의 업링크 또는 역방향 링크 트래픽은 모바일 디바이스에서 발원된다. 모바일 디바이스는 IP 데이터 패킷들이 IPSec 구동기, 모바일 IP 스택, 또는 유사한 후속 수정에 의해 수정되기 이전 IP 데이터 패킷들을 분류하기 위해 필터를 적용시킬 수 있다. 그러나, 네트워크로부터 모바일 디바이스로 흐르는 순방향/다운링크 IP 데이터 패킷들의 경우, 필터링 또는 패킷 분류는 IP 데이터 패킷 수정과 동일한 노드에서 일어나지 않을 수 있다. 예컨대, 패킷들의 IPSec 암호화는 통신 링크의 멀리 있는 종단에서 수행될 수 있는 반면에, QOS 분류는 무선 게이트웨이에서(즉, IP 데이터 패킷들이 무선 데이터 링크를 통해 모바일 디바이스로 라우팅되는 곳에서) 수행될 수 있다. 따라서, 대부분의 시나리오들에서, 필터 변환은 순방향/다운링크 IP 데이터 패킷들의 경우에 요구될 것이다.
예로서, 도 1a-도 1e는 QOS 흐름들이 IPSec 암호화 흐름들과 충돌하거나 그리고/또는 교차할 수 있는 네트워크 토폴로지 내의 다양한 시나리오들을 묘사한다.
도 1a에 도시된 네트워크 토폴로지에서, 종단 간 통신 링크가 무선 디바이스/단말(101)과 피어 디바이스/단말(120) 사이에 설정되었다. 통신 경로는 라우터1(105)과 라우터2(115)를 포함하고, 상기 라우터1(105)과 라우터2(115) 각각은 데이터 네트워크 또는 인터넷(110)에 대하여 게이트웨이들로서 동작한다. 데이터 네트워크 및 인터넷(110)은 패킷 헤더들 내에 포함되는 정보에 따라 데이터 패킷들을 릴레이함으로써 단지 통신 링크를 완성시키는 복수의 추가적 라우터들 및 노드들을 포함할 수 있다. 이러한 노드들의 각각이 단지 통과 지점들(via points)로서 동작하므로, 이러한 노드들은 집합적으로 데이터 네트워크 또는 인터넷(110)으로서 지칭될 수 있다. 도 1a에 도시된 시나리오에서, 순방향/다운링크 상에서, 피어 디바이스/단말(120)은 QOS 요구사항들의 대상이 되지 않는 데이터 링크를 통해 IP 데이터 패킷들을 라우터2(115)에 송신한다. 이러한 시나리오에서, 라우터2(115)는 IP 데이터 패킷들을 IPSec 구동기를 이용하여 암호화하는 보안 종단점(Sec EP)으로서 동작한다. 암호화된 IP 데이터 패킷들은 그런 다음에 비보안 데이터 네트워크 또는 인터넷(110)을 통해 라우터1(105)에 송신될 수 있다. 라우터1(105)은 무선 통신 링크를 통한 무선 디바이스/단말(101)로의 전송을 위해 IP 데이터 패킷들을 준비하는 QOS 종단점(QOS EP)으로서 동작한다. IP 데이터 패킷들의 무선 디바이스/단말(101)로의 전송이 무선 통신 링크를 통해 일어나므로, IP 데이터 패킷들의 정확한 수신을 확실히 하기 위해 패킷들이 충분한 신호 품질을 갖고서 또는 적절한 데이터 전송 속도들에서 전송 경로들을 통해 전송되는 것을 보장하기 위하여 QOS 흐름들이 설정되어야 한다. 따라서, QOS 필터들이 라우터1(105)에 배치될 수 있다. 라우터1(105)이 암호화된 IP 데이터 패킷들을 라우터2(115)로부터 수신하므로, 배치된 QOS 필터가 암호화에 의해 수정된 상기 암호화된 IP 데이터 패킷들에 적절하게 동작하지 않을 가능성이 높다. 결과적으로, 본래 QOS 필터는 라우터1(105)에서 상기 수정된 IP 데이터 패킷들을 분류할 수 없을 것이고 필요한 QOS를 제공할 수 없을 것이다. 따라서, 모바일 디바이스는 상기 QOS 필터를 변환하고 무선 링크를 위해 QOS 지원을 제공하는 라우터1(105) 내에 상기 변환된 필터들을 설치해야 한다.
그러나, 역방향/업링크 상에서 무선 디바이스/단말(101)이 IP 데이터 패킷들을 암호화하고 IP 데이터 패킷들에 QOS 요구사항들을 부과하므로 필터 변환이 요구되지 않는다. 따라서, 무선 디바이스/단말(101)은 데이터 패킷을 암호화하기 이전에 QOS 필터들을 이용하여 QOS 분류를 수행할 수 있다. 따라서, 패킷 수정 및 QOS 분류는 통신 링크의 동일한 노드 내에서 일어난다. 결과적으로, 라우터1(105)은, 본 예의 네트워크 경로 내의 라우터1을 지나서 특정 QOS가 IP 패킷들에 제공되지 않으므로, 단지 역방향/업링크 상에서의 추가적 변환에 대한 필요 없이 보안 필터들을 이용하여 수신된 IP 데이터 패킷들을 프로세싱할 수 있다.
도 1b는 IP 데이터 패킷들이 보안 무선 데이터 링크를 통해 송신되고 그런 다음에 라우터2(115)까지 확장되는 QOS 라우팅을 이용하여 데이터 네트워크 또는 인터넷(110)을 통해 암호화되지 않은 상태로 전송되는 제2 시나리오 네트워크 토폴로지를 나타낸다. 따라서, 보안 암호화는 IP 데이터 패킷들이 라우터1(105)과 무선 디바이스/단말(101) 사이의 무선 통신 링크를 통해 전송될 때까지 순방향/다운링크 상에서 구현되지 않는다. 이러한 시나리오에서, 순방향/다운링크 상의 라우터1(105)은 IP 데이터 패킷들이 상기 무선 통신 링크를 통해 전송되기 이전에 필요한 암호화를 적용하는 보안 종단점으로서 동작한다. 따라서, 순방향/다운링크 경로 상에서, IP 데이터 패킷들은 자신들이 라우터1(105)에 의해 수신되고 상기 무선 통신 링크를 통해 전송될 때까지 수정되지 않는다. 결과적으로, 네트워크 경로를 따라서 있는 QOS를 제공하는 임의의 라우터에는 순방향/다운링크 상에서 필터 변환들이 요구되지 않는다. 다른 한편으로, 라우터1은 본 예의 네트워크 경로에서 QOS 필터 변환을 방지하기 위하여 데이터 패킷을 수정/암호화하기 이전에 QOS 필터들을 이용하여 QOS 분류를 수행한다. 라우터2(115)에 배치된 본래 필터들은 수정되지 않은 IP 데이터 패킷들을 수신하고, 따라서 필요한 QOS 흐름들을 제공하기 위해 상기 패킷들을 적절하게 분류할 수 있다.
이러한 제2 시나리오에서, 역방향/업링크 경로 상에서 필터 변환이 필요하지 않은데, 그 이유는 무선 디바이스/단말(101)이 IP 데이터 패킷을 암호화하고 이로써 IP 데이터 패킷들을 수정하지만 또한 QOS 요구사항들을 위해 IP 데이터 패킷들을 분류하기 때문이다. 따라서, 패킷 수정 및 QOS 분류가 통신 링크의 동일한 노드 내에서 일어난다. 라우터1(105)은, 라우터1을 지나서 패킷들이 수정되지 않은 상태로 전송되어, 그에 따라 업링크 경로를 따라서 QOS 필터들을 변환할 필요가 없도록, 상기 수정된 패킷들을 본래 패킷 구성들로 복구한다. 결과적으로, 본 예의 네트워크 경로에서는 역방향/업링크를 위해 필터 변환 및 배치가 필요하지 않다.
도 1c는 IP 데이터 패킷들이 무선 디바이스/단말(101)로/로부터 보안 무선 데이터 링크를 통해 송신되고 그런 다음에 라우터2의 사용 없이 데이터 네트워크 또는 인터넷(110)을 통해 암호화되지 않은 상태로 피어 디바이스/단말(120)에 전송되는 제3 시나리오 네트워크 토폴로지를 도시한다. 이러한 시나리오에서, 순방향/다운링크 경로 상에서, IP 데이터 패킷 암호화 및 QOS 분류는 동일한 노드, 즉 라우터1(105)에서 일어난다. 이와 같이, 순방향/다운링크의 경우에 필터 변환이 요구되지 않는다. 유사하게, 역방향/업링크 경로 상에서 필터 변환이 필요하지 않은데, 그 이유는 무선 디바이스/단말(101)이 IP 데이터 패킷들을 암호화하고(이로써 패킷 헤더를 수정하고) QOS 요구사항들을 위해 IP 데이터 패킷들을 분류하기 때문이다. 따라서, 패킷 수정 및 QOS 분류는 통신 링크의 동일한 노드 내에서 일어난다.
도 1d는 암호화/복호화가 라우터들(라우터1(105) 및 라우터2(115))에서 일어나는 반면에 QOS 패킷 라우팅이 무선 디바이스/단말(101)로부터 피어/디바이스 단말(120)로 확장되는 제4 시나리오 네트워크 토폴로지를 도시한다. 이러한 시나리오에서, IP 데이터 패킷 수정은 패킷들이 암호화될 때 라우터들(105 및 115) 모두에서 일어난다. IP 데이터 패킷들이 라우터들(105 및 115)에서 암호화되고 복호화되므로, 단말 디바이스들(101 및 120)은 상기 단말 디바이스들(101 및 120)에 의해 송수신된 IP 데이터 패킷들이 수정되지 않은 상태이므로 어떠한 트러블도 없이 QOS 분류들을 수행할 수 있다. 그러나, 라우터1 및 라우터2 사이의 경로를 따라서 있는 다른 라우터들은 변환된 QOS 필터들을 요구하는데, 그 이유는 상기 다른 라우터들이 수정된 패킷들만을 수신할 것이기 때문이다.
도 1e는 IPSec 터널이 디바이스(101)와 라우터2(115) 사이에 설정되는 반면에 QOS 라우팅이 종단 간에, 즉 무선 디바이스/단말(101)과 피어/디바이스 단말(120) 사이에 제공되는 제5 시나리오 네트워크 토폴로지를 나타낸다. 순방향/다운링크 경로 상에서, IP 데이터 패킷들은 보안 암호화를 제공하기 위해 라우터2(115)에서 수정된다. 라우터2가 피어/디바이스 단말(120)로부터 순방향/다운링크에서 수정되지 않은 IP 데이터 패킷들을 수신하므로, 라우터2(115)는 요구되는 QOS 흐름들을 생성하기 위해 QOS 분류를 수행할 수 있다. 따라서, IP 데이터 패킷 수정 및 QOS 분류가 동일한 노드(라우터2(115))에서 일어난다. 후속하여, 순방향 링크 경로를 따라서 있는 다른 라우터들에서 필터 변환이 필요할 수 있는데, 그 이유는 이러한 라우터들이 수정된 IP 패킷들만을 수신하기 때문이다. 역방향/업링크 경로의 경우 무선 디바이스(101) 상에서는 필터 변환이 요구되지 않는데, 그 이유는 디바이스/단말(101)이 모두 IP 데이터 패킷들을 암호화하고(그리고 이로써 수정하고) QOS 요구사항들을 위해 IP 데이터 패킷들을 분류하기 때문이다. 그러나, 역방향 링크 경로를 따라서 있는 다른 라우터들에 대하여 필터 변환들이 필요할 수 있는데, 그 이유는 상기 다른 라우터들이 수정된 IP 패킷들을 수신하기 때문이다. 다른 한편으로, 라우터2는 IP 패킷들을 본래 형태로 복구하고 역방향/업링크 데이터 경로를 위해 비 변환된 QOS 필터들만을 사용할 수 있다.
위의 시나리오들은 또한 모바일 IP를 통한 QOS와 같이 위에서 설명된 다른 유즈 케이스들에도 적용될 수 있다. 다시, 모바일 IP 터널이 제1 홉 라우터를 지나 있는 홈 에이전트(HA)에서 종료되므로 모바일 IP의 경우에 제1 시나리오(도 1a)가 가장 보편적이다. 통상적인 예는 CDMA 네트워크들에 있는 패킷 데이터 서비스 노드(PDSN)이다. QOS 통신 라우팅이 통상적으로 모바일 디바이스 및 PDSN 사이에서 달성되는 반면에 IP 터널은 모바일 디바이스 및 HA 사이에서 달성된다.
도 1a-도 1e에 묘사된 시나리오들에 도시된 네트워크 경로들은 필터 충돌들이 발생할 수 있는 일부의 가능한 네트워크 구성들을 도시하는 것으로 의도되며 모든 가능한 네트워크 구성들을 도시하는 것으로 의도되지 않는다. 다른 네트워크 경로 구성들에서 발생하는 필터 충돌들은 이러한 구성들이 도 1a-도 1e에 도시된 예들에 포함되지 않더라도 본 명세서에서 설명되는 다양한 방법들 및 시스템들을 이용하여 다루어질 수 있다.
IP 데이터 필터들의 프로세싱이 하나 이상의 배치된 패킷 필터들을 비유효적인 것으로 만드는 상황(통상적으로 헤더 내의 필터링 파라미터(들)의 위치가 변경되거나 암호화되기 때문이다)은 IP 데이터 패킷을 수정하고 또한 QOS 프로세싱을 제공하는 노드(종단 디바이스 또는 라우터)에 의해 결정될 수 있다. 상기 노드는 두 개 타입들의 패킷 프로세싱이 구현될 것임을 인지함으로써, 예컨대 패킷 프로세싱 상태를 논리 테이블 또는 결정 트리와 비교함으로써 필터들 내에 충돌이 있을 것임을 결정할 수 있다. 상기 노드가 필터 충돌이 일어날 것을 결정할 때, 상기 노드는 변환된 필터들을 생성하고 상기 변환된 필터들을 네트워크 경로를 따라서 있는 모든 라우터들에 전파하는 적절한 액션을 구현함으로써 반응할 수 있다. 특정한 패킷이 QOS 분류를 요구하고 또한 수정(예컨대, IPSec, 터널링 등으로 인한)의 대상임을 검출하는 제1 노드가 이러한 액션을 취해야 한다. 이러한 결정은 이러한 결정이 하나의 노드 내에서 로컬화되므로 구현 의존적이며, 상기 노드는 이러한 결정을 만드는데 필요한 정보들 전부를 이용하여 구성된다. 그런 다음에 이러한 노드는 필터 변환들을 수행하고 상기 변환된 필터들을 네트워크 경로를 따라서 있는 관련 라우터들에 모든 방식으로(all the way) 송신한다. 필터 변환이 제1 위치에 있는 QOS의 발원자가 아닌 라우터 내에서 일어난다면(도 1d 참조), 상기 라우터는 상기 변환된 필터들을 적절한 라우터들의 세트에 전파해야 한다.
QOS 필터들은 QOS가 제공되는 지점까지 네트워크 경로를 따라서 있는 모든 라우터들 상에 있는 QOS 요청기 노드에 의해 배치될 수 있다. QOS는 업링크 및 다운링크 모두에 대하여 동일한 노드에 의해 요청될 수 있거나 각각의 종단 노드가 하나의 방향 각각에 대하여 또는 그들의 조합에 대하여 QOS를 요청할 수 있다. 필터들을 변환하는 노드는 어느 쪽이 네트워크 경로 내에서 먼저이든지 상기 변환된 필터들을 QOS가 제공되는 지점까지 또는 변환 종단점이 히팅(hitting)될 때까지 경로를 따라서 있는 모든 라우터들에 송신할 것이다. 상기 변환 종단점은 상기 노드가 본래 필터(들)를 이용하여 수정되지 않은 패킷들을 분류할 수 있으므로 상기 변환된 필터들을 드롭시킬 수 있다.
도 3은 종단 간 통신 링크 내에서 상이한 노드들 또는 계층에 있는 다양한 서브시스템들에 의해 요구되는 특별한 프로세싱(예컨대, QOS, 보안, 터널링 등)의 문제점을 해결하기 위한 방법을 도시한다. 네트워크 경로 내에 있는 노드가 두 개의 충돌하는 프로세스들이 특정한 IP 데이터 패킷들에 적용되고 있으므로(예컨대, QOS 분류와 IPSec 프로세싱 또는 터널링 등) 패킷 분류 필터들 내에 충돌이 존재한다는 것을 결정할 수 있다(단계 190). 네트워크 경로 상에서 구현되는 IP 데이터 패킷들에 대한 수정들의 성질 및 그에 따라 패킷 필터들이 충돌시 영향받거나 위치되는 방식에 따라, 패킷 필터들은 수정된 IP 데이터 패킷들의 목적하는 분류를 야기할 변환된 패킷 필터들로 변경되거나 변환된다(단계 192). 이러한 변환 단계는 본래 패킷 필터가 수정되지 않은 패킷들을 분류하는 것과 동일한 방식으로 수정된 IP 데이터 패킷들을 변환된 패킷 필터(들)이 분류할 수 있도록 한다. 변환된 패킷 필터들은 그런 다음에 네트워크 경로 내의 라우터들에 배치된다(단계 194).
위에서 논의된 바와 같이, IP 데이터 패킷들에 대한 수정들로부터 야기되는 배치된 패킷 필터들 간 충돌들과 관련된 문제점들은 수정된 패킷들에 대한 목적하는 IP 데이터 패킷 흐름들을 생성하는 변환된 필터들로 상기 배치된 필터들을 변환함으로써 해소될 수 있다. 필터 변환 메커니즘들은 유즈 케이스 및 패킷 스트림에 대하여 수행될 타입 수정에 기초하여 가변할 것이다. 용어 "필터 변환"은, 변환된 필터 세트가 수정된 패킷들을, 수정되지 않은 필터 세트가 수정되지 않은 패킷들을 분류하는 것과 동일한 방식으로 분류할 수 있도록 하는, 주어진 필터 세트 내 각각의 필터에 대하여 이루어지는 수정들을 지칭한다.
가상 예에서, 패킷 P는 페이로드가 뒤이어지는 3개 필드들을 갖는 헤더를 포함한다. 따라서:
P=[필드1][필드2][필드][...페이로드...],
여기서 필드1, 필드2, 필드3은 각각 2 바이트 길이(2 bytes long)다.
이러한 가상 예의 추가적 엘리먼트로서, 필터 세트 F는 필드2 값이 100인 패킷들을 매칭시키도록 셋팅되는 하나의 필터 f를 포함한다. 이러한 필터는 f:필드2=100으로서 표현될 수 있다. 통상적으로, 각각의 필터는 오프셋/값/길이 트리플릿(triplet)에 의해 표현된다. 예컨대, 필터 f는 하기와 같이 구성될 수 있다: f:오프셋=2, 값=100, 길이=2. 이러한 예에서, 오프셋 2에서(오프셋 0으로부터 시작) 100에 동등한 2 바이트 값을 운반하는 타입 P의 임의의 패킷이 필터 f를 매칭시킬 것이다.
실례의 목적으로, 패킷 P는 예컨대 하기와 같은 수정된 패킷 P'를 생성하기 위해 프리앰블을 헤더에 부가함으로써 네트워크 라우터들 중 하나 내에서 수정될 수 있다:
P'=[...프리앰블...][필드1][필드2][필드][...페이로드...],
여기서 상기 프리앰블은 본 예에서 10 바이트 길이다.
본 예는 다양한 실시예들에 의해 다루어지는 문제점을 나타낸다. 필터 f가 상기 수정된 패킷 P'에 적용된다면, 필터 기준의 매칭이 실패할 것이거나, 또는 값 100이 프리앰블 내 오프셋 2에서 2 바이트 내로 나타난다면 필터 기준을 실수로 매칭시킬 수 있다. 필터가 매칭을 정확하게 검출하도록 하기 위하여, 필터는 예컨대 하기와 같이 필터의 오프셋을 프리앰블의 길이만큼 증가시킴으로써 프리앰블을 고려하여 변환될 필요가 있다:
f':오프셋=12, 값=100, 길이=2.
변환된 필터 f'는 수정되지 않은 패킷 P에 대하여 동작하는 필터 f에 의해 달성되는 바와 동일한 결과를 달성하기 위해 수정된 패킷 P'를 정확하게 매칭시킬 것이다.
위의 예에서, 패킷 수정이 본래 패킷 P의 콘텐츠를 암호화하거나 수정하는 것을 포함하면, 변환된 필터 f'는 또한 수정된 패킷 P'를 매칭하는데 실패할 것이다. 따라서, 더 진보된 필터 변환이 이러한 경우에 요구될 것이다.
IP 패킷이 하나 이상의 IP 헤더 또는 전송 헤더 내에서 재-캡슐화된다면, 필터 변환은 전송 헤더들을 고려하기 위해 필터들의 오프셋을 시프트하는 것을 수반할 것이다. 이러한 변환은 직접적으로 또는 간접적으로 달성될 수 있다. 직접적인 방법에서, 새로운 오프셋 값이 필터들 내에서 특정되고, 이때 상기 새로운 오프셋 값은 전송 헤더들과 연관된 추가적 오프셋을 반영한다. 간접적인 방법에서, 변환된 필터는 필터 오프셋을 본래 헤더의 필드들에 적용시키는 것을 가능하게 하기 위해 수정된 패킷 내 본래 헤더의 포지션을 표시할 수 있다. 예컨대, 본래 IP 데이터 패킷 P는:
P=[IP 헤더1][TCP 헤더1][페이로드]
형태를 취할 수 있고, 여기서 페이로드 데이터는 IP 데이터 헤더(IP 헤더1) 및 TCP 데이터 헤더(TCP 헤더1) 뒤에 이어진다. 수정된 IP 데이터 패킷은:
P'=[IP 헤더2][IP 헤더1][TCP 헤더1][페이로드]
형태를 취할 수 있고, 여기서 수정된 IP 데이터 패킷은 추가적 IP 헤더(IP 헤더2)를 포함한다.
무선 디바이스/단말(101) 또는 피어 디바이스/단말(120) 상에서 동작하는 애플리케이션이 하기와 같이 흐름을 생성하기 위한 본래 필터를 특정할 수 있다:
f:소스 IP 주소=x.
상기 필터는 IP 데이터 패킷의 목적하는 프로세싱을 제공하기 위해 적절한 라우터(순방향 또는 역방향 링크 프로세싱에 따라 좌우됨)에 배치될 수 있다. 따라서, 특정한 소스 IP 주소로부터 라우터에 의해 수신되는 임의의 IP 데이터 패킷은 목적하는 프로세싱 "x"를 수신하기 위해 필터에 의해 분류될 것이다. 상기 목적하는 프로세싱 "x"는 다수의 프로세싱 기능들 중 임의의 것일 수 있다. 예컨대, x가 QOS 기능이었다면, 특정한 소스 IP 주소로부터 수신되는 IP 데이터 패킷은 최소 QOS를 제공하기 위해 무선 통신 링크 내에서 특정한 에어 링크를 통해 라우팅될 수 있다. 다른 예로서, 기능 x는 IP 데이터 패킷을 암호화하는 것일 수 있다. 따라서, 이러한 예에서, 특정한 소스 IP 주소로부터 수신되는 임의의 IP 데이터 패킷은 기능 x에 따라 암호화될 수 있다.
이러한 예에서, 어떠한 IP 데이터 패킷 수정 P 없이 라우터에 전달되는 필터는 하기와 같이 나타날 수 있다: f:소스 IP 주소=x,IP 헤더#1. 수정된 패킷들을 위해 라우터에 전달되는 변환된 필터는 하기와 같이 나타날 수 있다:
f':소스 IP 주소=x,IP 헤더 #2,
여기서 IP 헤더 #2는 IP 데이터 패킷 수정 P'에 따라 부가된다.
직접 또는 간접 필터 변환 방법들의 사용은 필터 세트들을 네트워크 내의 다양한 노드들에 전달하는데 사용되는 시그널링 프로토콜들 안에 형성될 수 있다. 예컨대, 3GPP2 QOS 스펙들은 변환된 필터 템플릿들(TFTs)을 PDSN에 전달하는 메시지들 내의 내부 또는 외부 IP 헤더를 표시하기 위해 하나의 비트를 요구한다. 이러한 프로토콜은 단지 하나의 IP 헤더 캡슐화만을 허용한다.
암호화되는 IPSec 패킷들에 대한 필터들을 변환하기 위해서 더욱 정교한 방법들이 통상적으로 요구된다. IPSec는 두 개의 동작 모드들을 포함한다: 전송 모드 그리고 터널 모드. 이러한 모드들은 하기의 방식들로 IP 데이터 패킷들을 수정하는 것을 수반한다:
전송 모드
P=[IP 헤더1][TCP 헤더][페이로드]
P'=[IP 헤더1][ESP/AH][xxx암호화된 페이로드xxx]
터널모드
P=[IP 헤더1][TCP 헤더1][페이로드]
P'=[IP 헤더2][ESP/AH][xxx암호화된 페이로드xxx]
위 명명법에서, ESP는 캡슐화 보안 프로토콜을 말하고 AH는 인증 헤더를 말한다. IPSec(IP 보안 프로토콜)은 IP 계층을 위해 두 개의 프로토콜들을 포함한다: IP 인증 헤더(AH) 그리고 캡슐화 보안 프로토콜(ESP). 이러한 프로토콜들은 단독으로 또는 서로 결합되어 적용될 수 있다. AH는 리플레이-방지(anti-replay)를 제공하고 패킷의 콘텐츠가 수송중에 수정되지 않았음을 검증한다. AH는 IP 패킷 내에 내장되어 전송되는 수학적 코드이고 단독으로 또는 ESP와 결합되어 적용될 수 있다. ESP는 데이터 기밀성(암호화), 리플레이-방지, 및 인증을 제공한다. ESP는 데이터를 IP 패킷 내에 캡슐화하고 단독으로 또는 AH와 결합되어 적용될 수 있다.
터널 모드에서든 또는 전송 모드에서든, 암호화가 달성되면, IP 데이터 패킷들의 하나 이상의 본래 헤더들이 액세스될 수 없게 된다. 따라서, 이러한 상황의 필터 변환은 액세스될 수 있는 상태로 유지되는 헤더들 내의 해당 필드들에 본래 필터들을 맵핑하는 것에 의존한다. 전송 모드에서는, 본래 IP 헤더와 ESP 또는 AH 파라미터들만이 액세스될 수 있다. TCP 헤더는 암호화될 것이고 따라서 더 이상 필터에 액세스될 수 없다. 그러므로, 목적하는 흐름을 생성하기 위해 TCP 헤더에 의존하는 임의의 본래 필터는 IP 데이터 패킷이 암호화된 이후 무용하게 될 것이다. 따라서, 변환된 필터는 IP 데이터 패킷을 적절하게 분류하고 목적하는 흐름을 생성하기 위해 본래 IP 헤더, ESP 또는 AH 파라미터들을 참조해야 한다.
터널 모드에서는, 내부 IP 헤더(IP 데이터 패킷 상에서 본래 IP 헤더였음)와 상이한 외부 IP 헤더 그리고 ESP 또는 AH만이 액세스될 수 있을 것이다(즉, 비암호화된 상태일 것이다). 따라서, 중간 네트워크에 걸쳐서 캡슐화 기술들을 사용하는 통신 채널(IP 터널)을 통해 전송되는 IP 데이터 패킷들을 위한 변환된 필터는 상기 IP 데이터 패킷을 분류하고 적절한 흐름을 생성하기 위해 상기 외부 IP 헤더와 ESP 또는 AH 필드들에 의존해야 할 것이다. IP 터널링은 예컨대 사용자가 가상 사설 네트워크(VPN)를 통해 또는 IPv4 인터넷에 걸쳐 있는 IPv6 구현들의 아일랜드들(islands)을 통해 종단 간 통신 링크를 설정하길 추구할 때 일어날 수 있다. IP 터널링에서, 매 IP 데이터 패킷은 수송 네트워크에 토속적인(native) 다른 패킷 포맷 내에 캡슐화된다. 결과적으로, IP 데이터 패킷이 캡슐화될 때, 상기 IP 데이터 패킷의 헤더에 나타나는 다수의 본래 파라미터들은 더 이상 필터들에 액세스되지 않을 것이다.
다양한 실시예들은 본래 필터들을 목적지 IP 주소, 프로토콜(ESP/AH) 및 보안 파라미터 인덱스(SPI)로 구성되는 새로운 필터 세트에 맵핑함으로써 필터들을 변환한다. 이러한 3개 필드들은 또한 고유하게 각각의 IPSec 흐름을 식별하며, 상기 IPSec 흐름은 IPSec 용어에서 보안 연계(SA: Security Association)로 불린다. IPSec 스트림을 잠재적으로 동일하거나 상이한 보안 알고리즘을 사용하는 다수의 보안 스트림들로 분리하기 위하여, 주 SA는 다수의 자식 SA들로 분할될 수 있다. 최외부 IP 헤더 내의 프로토콜 필드는 ESP 또는 AH이다. SPI는 ESP 또는 AH 필드 내의 보안 식별자이다. 목적지 IP 주소는 최외부 IP 헤더로부터 추출된다. 하기의 알고리즘은 본래 필터들이 QOS 분류를 위한 것으로 가정할 때 본래 필터들을 IPSec 기반 변환된 필터들로 맵핑하는 방법을 설명한다. 이러한 실시예들의 주요 아이디어는 IPSec 스트림들을 사용하여 QOS 스트림들을 식별하기 위하여 각각의 QOS 흐름을 하나 이상의 IPSec 자식 SA로 표현하는 것이다. 이러한 방식으로, 본래 QOS 필터들이 분류를 위해 요구되지 않는다.
이러한 실시예의 설명은 하기의 표기법을 사용한다:
Q=요청된 QOS 흐름을 나타내는 필터들의 세트;
Q'=Q가 본래 스트림에 적용되고 Q'가 IPSec 스트림에 적용될 때 동일한 분류가 달성되도록 하는 Q 내의 필터들로부터 변환된 필터들의 세트;
S=요청된/구성된 IPSec 흐름(또는 IPSec SA)을 나타내는 필터들의 세트;
S'=S가 본래 스트림에 적용되고 S'가 IPSec 스트림에 적용될 때 동일한 분류가 달성되도록 하는 S내의 필터들로부터 변환된 필터들의 세트;
q1, q2...=q1+q2+...=Q가 되도록 하는 Q를 구성하는 필터들의 서브세트;
s1, s2...=s1+s2+...=S가 되도록 하는 S를 구성하는 필터들의 서브세트;
q'1, q'2...=q'1+q'2+...=Q'가 되도록 하는 Q'를 구성하는 필터들의 서브세트;
s'1, s'2...=s'1+s'2+...=S'가 되도록 하는 S'를 구성하는 필터들의 서브세트;
S로부터 S'로의 변환은 필터 세트 S 내의 각각의 필터를 위에서 설명된 바와 같이 목적지 IP 주소, 프로토콜(ESP/AH) 및 SPI로 구성되는 변환된 필터 세트 S' 내의 대응하는 필터에 맵핑시킴으로써 수행된다. 필터 세트 S가 다수의 IPSec 스트림들(자식 SA들)로 분할된다면, 각각의 자식 SA를 식별하는데 사용되는 필터들 각각은 목적지 IP 주소, 프로토콜(ESP/AH) 및 SPI를 구성하는 대응하는 필터에 동일한 절차를 이용하여 맵핑될 수 있다.
상기 다양한 실시예들은 QOS 흐름을 나타내는 필터들의 세트 Q와 요청된 또는 구성된 IPSec 흐름을 나타내는 필터들의 세트 S 사이의 교차에 따라 QOS 필터들 Q의 변환된 QOS 필터들 Q'로의 변환을 수행한다. 통신 링크를 협상하는 동안 또는 협상한 이후, 통신 디바이스들은 주어진 통신 경로 내에서, 상기 통신 경로에 걸쳐서 일어날 패킷 수정들의 성질(예컨대, 암호화)과, IPSec 필터들과 같은 제1 패킷 필터들 세트 및 QOS 필터들과 같은 제2 패킷 필터들 세트 사이의 오버랩핑 또는 교차의 정도를 결정할 수 있다. 상기 패킷 수정들의 속성은 데이터를 송수신하는 애플리케이션들에 기초하여 결정될 수 있다. 오버랩핑 또는 교차의 정도는 주어진 통신 세션(예컨대, 인터넷에 접속되는 무선 통신 링크들)에 관여하는 통신 링크들의 타입, 패킷들을 송신하거나 수신하는 애플리케이션들의 타입 그리고 주어진 통신 경로 내에서 패킷들에 대한 결정된 수정들에 기초하여 결정될 수 있다. 제한된 개수의 가능한 필터 오버랩핑 또는 교차들이 패킷 필터들의 두 타입들 사이에서 가능하다. 가능한 교차 시나리오들이 도 2a 내지 도 2e에 도시된다. 가능한 필터 교차 시나리오들 각각의 경우, 본래 필터들의 변환은 도 3-도 7에 도시된 프로세스 흐름도들에 나타난 방법들 중에서 적절한 방법을 이용하여 수행될 수 있다. 도 3-도 7에 도시된 프로세스 흐름들은 QOS 흐름들 및 IPSec 흐름들 사이의 교차를 가정하지만, 상기 방법들은 도 2a-도 2e에 도시된 방법들과 오버랩핑들 또는 교차들이 유사한 다른 타입들의 패킷 흐름들 및 필터들에 적용될 수 있다. 당업자는 다른 타입들의 IP 데이터 패킷 필터들 변환들이 도 3-도 7을 참조하여 하기에서 설명되는 것과 같은 방식으로 구현될 수 있다는 것을 인정할 것이다.
도 2a는 QOS 흐름들과 IPSec 프로세스 흐름들이 동등한(즉, Q=S) 네트워크 시나리오를 묘사한다. 이러한 상황에서, QOS 필터의 대상이 되는 IP 데이터 패킷들 전부가 또한 IPSec 필터의 대상도 된다.
도 4는 QOS 필터와 IPSec 필터가 정확하게 동일한 IP 데이터 패킷들을 필터링할 때(즉, 필터 파라미터들이 상이할 수 있더라도 필터들이 동일한 패킷들을 분류함) QOS 필터 또는 IPSec 필터를 변환하기 위한 실시예 방법의 프로세스 흐름도를 도시한다. 이러한 상황은 도 2a에 도시된 시나리오와 유사하다. 도 4를 참조하면, IPSec 필터에서 보안 연계(SA)가 셋업된다(단계 205). 달리 말하자면, IP 터널의 보안 종단점들 사이의 보안 키들은 상기 두 종단점들만이 패킷 데이터를 볼 수 있도록 협상된다. 예로서, 사용자가 보안 서버(예컨대, 120)에 원격으로 로그인하려고 시도할 때, IP 데이터 패킷이 다른 원격 단말 종단점으로 송신되지 않도록 보안 예방책들이 취해져야 한다. 따라서, 보안 서버와 원격 단말 종단점 사이의 보안 키들은 보안 서버와 원격 단말 종단점만이 IP 데이터 패킷들을 볼 수 있도록 협상된다. 다수의 IP 터널들이 원격 단말 종단점과 서버 사이에 협상될 수 있는 반면에, 각각의 터널은 특정한 트래픽을 위해서만 사용될 것이다. 각각의 터널은 통신 링크를 따라서 상이한 전송 필요들을 충족시키기 위해 가변하는 정도들의 암호화 보호를 구현할 것이다. 이러한 방식으로, 원격 단말로부터 보안 서버로의 사용자 로그인을 이용하여, 상이한 애플리케이션은 다양한 정도들의 보안 데이터를 요구할 수 있다. 예컨대, 사용자는 비디오 컨퍼런스 콜과 기밀 판매 데이터를 위해 IP 데이터 패킷들을 전송할 수 있다. 비디오 컨퍼런스 콜 애플리케이션을 위한 IP 데이터 패킷들은 민감하지 않을 수 있어서, 이러한 IP 패킷들은 IPSec 필터를 통해 라우팅될 수 있고, 상기 IP 패킷들은 보안 암호화를 덜 사용하여 터널을 통해 전송된다. 그러나, 기밀 판매 데이터는 높은 보안 암호화를 구현하는 터널을 통해 전송되어야 하는 고도로 민감한 정보로서 애플리케이션에 의해 인지될 수 있다. 따라서, 적절한 IPSec 흐름들이 패킷이 비디오 정보 또는 텍스트 정보를 포함하는지의 여부를 검사하는 필터들에 의해 구현될 수 있다. 이러한 예에서, 두 개의 데이터 스트림들(즉, 비디오 및 데이터)을 위한 QOS 요구사항들은 또한 데이터 패킷의 콘텐츠에 따라 좌우된다. 그 이유는, 플릭커를 유발하지 않고서는 이미지들이 패킷들의 재전송을 기다릴 수 없고 드롭된 패킷들이 이미지 품질을 저하시킬 것이므로 비디오 패킷들이 전송 품질에 민감하기 때문이다. 대조적으로, 데이터 패킷들은 패킷들이 낮은 QOS 통신 링크들 상에서 분실된다면 재전송될 수 있다. 따라서, 적절한 QOS 흐름들이 패킷이 비디오 정보 또는 텍스트 정보를 포함하는지의 여부를 검사하는 필터들에 의해 구현될 수 있다. IPSec 필터 및 QOS 필터를 이용하여 달성되는 패킷들 분류가 정확하게 동일하므로, Q=S이다.
일단 보안 연계(SA)가 IPSec 필터에 의해 셋업되면, IPSec 필터 S는 변환된 IPSec 필터 S'로 변환된다(단계 210). 변환된 IPSec 필터 S'는 본래 IPSec 필터 S가 수정되지 않은 IP 데이터 패킷들에 대하여 갖는 것과 동일하게 암호화된 패킷들에 대한 분류를 달성하는 필터이며, 그래서 보안 연계(SA)는 IP 데이터 패킷들이 암호화될 때에라도 정확하게 맵핑될 것이다. S로부터 S'로의 변환은 위에서 설명된 것과 같은 방법들을 이용하여 달성될 수 있다. IPSec 필터가 변환된 이후, IPSec 필터 S'는 Q 대신에 QOS 분류를 수행하는데 사용된다, 다시 말해 변환된 QOS 필터 Q'가 S'와 동일하다, 즉 Q'=S'이다(단계 215). 이러한 방식으로, 변환된 QOS 필터는 또한 IP 데이터 패킷들이 암호화될 때에라도 IP 데이터 패킷들을 각자의 적절한 QOS 흐름들로 적절하게 분류할 것이다.
도 2b는 QOS 흐름들의 IPSec 흐름들과의 교차가 QOS 프로세스 흐름들을 포괄하도록(즉, Q∩S=Q) QOS 흐름들이 IPSec 프로세스 흐름들보다 더 작은 네트워크 시나리오를 묘사한다. 이러한 상황에서, QOS 필터의 대상이 되는 IP 데이터 패킷들 전부는 또한 IPSec 필터의 대상이 되지만, IPSec 필터의 대상이 되는 다수의 IP 데이터 패킷들은 QOS 필터의 대상이 되지 않는다. 이러한 상황에서, IPSec 필터 세트 S에 의해 구현되는 가변 레벨들의 보안 암호화가 있을 수 있다. 이러한 가변 레벨들의 보안 각각은 서브세트 보안 필터들 s1, s2, s3에 의해 표현될 수 있다. 도시된 예에서, QOS 필터의 대상이 되는 IP 데이터 패킷들 전부는 또한 IPSec 서브세트 필터 s2와 일치하거나 그 대상이 될 수 있지만, 서브세트 필터들 s1 및 s3는 QOS 필터와 일치하지 않는다.
도 5는 QOS 흐름과 IPSec 흐름 사이의 교차가 도 2b에 도시된 바와 같이 QOS 흐름을 포함할 때 QOS 필터 또는 IPSec 필터를 변환하기 위한 실시예 방법의 프로세스 흐름을 도시한다. 이러한 상황에서, IPSec 필터 세트 S는 IPSec 필터 세트 S가 세 개의 서브세트 필터들 s1, s2, s3의 합과 동등하도록 서브세트 필터들 s1, s2, s3의 제1 그룹으로 분할될 수 있고, 서브세트 필터 s2는 상기 s2가 Q와 동일한 패킷 분류를 수행하도록 QOS 필터가 되도록 선택된다(s2=Q)(단계 201). IPSec 필터 세트 S가 분할된 이후, IPSec 필터 세트 S에서 보안 연계(SA)가 셋업된다(단계 205). 다음으로, 자식 보안 연계가 SA와 동일한 보안 연계들로 s2를 이용하여 셋업된다(단계 220). 서브세트 필터 s2(QOS 필터와 동등함)는 s'2로 변환된다(단계 225). 변환된 서브세트 필터 s'2는 서브세트 필터 s2가 수정되지 않은 패킷들에 대하여 생성할 것과 동일한 흐름들을 암호화된 패킷들에 대하여 생성할 것이다. QOS 필터 Q는 그런 다음에 변환된 QOS 필터 Q'로 변환되며, 여기서 필터 Q'는 필터 s'2와 동일하다(단계 230). 선택적으로, 제2 자식 SA은 제2 자식 보안 연계를 설정하기 위해 서브세트 IPSec 필터 s1를 사용하여 셋업될 수 있다(선택적 단계 235). 추가로, 제3 자식 SA는 서브세트 IPSec 필터 s3을 이용하여 동일한 보안 SA로 셋업될 수 있다(선택적 단계 240).
도 2c는 QOS 흐름들의 IPSec 흐름들과의 교차가 IPSec 흐름들을 포괄하도록(즉, Q∩S=S) IPSec 흐름들이 QOS 흐름들보다 더 작은 네트워크 시나리오를 묘사한다. 이러한 상황에서, IPSec 필터의 대상이 되는 IP 데이터 패킷들 전부는 또한 QOS 필터의 대상이 되지만, QOS 필터의 대상이 되는 다수의 IP 데이터 패킷들은 IPSec 필터의 대상이 되지 않는다. 도시된 예에서, IPSec 필터 S의 대상이 되는 IP 데이터 패킷들 전부는 또한 QOS 서브세트 필터 q2의 대상이 될 수 있다.
도 6은 QOS 흐름과 IPSec 흐름 사이의 교차가 도 2c에 도시된 바와 같이 IPSec 흐름을 포함할 때 QOS 필터 또는 IPSec 필터를 변환하기 위한 실시예 방법의 프로세스 흐름을 도시한다. 이러한 상황에서, QOS 필터는 QOS 필터 세트 Q가 세 개의 서브세트 필터들 q1, q2, q3의 합과 동등하도록 서브세트 필터들 q1, q2, q3의 제1 그룹으로 분할될 수 있고, 서브세트 필터 q2는 상기 q2가 S와 동일한 패킷 분류를 수행하도록 IPSec 필터가 되도록 선택된다(q2=S)(단계 250). QOS 필터가 분할된 이후, IPSec 필터 세트 S에서 보안 연계(SA)가 셋업된다(단계 205). 다음으로, IPSec 필터 세트 S(서브세트 QOS 필터 q2와 동등함)는 변환된 IPSec 필터 S'로 변환된다(단계 255). 변환된 IPSec 필터 S'는 IPSec 필터 S가 수정되지 않은 패킷들에 대하여 생성하는 것과 동일한 흐름들을 수정된 패킷들에 대하여 생성할 것이다. QOS 필터 Q는 그런 다음에 변환된 QOS 필터 Q'를 산출하기 위해 변환되며, 여기서 필터 Q'는 서브세트 QOS 필터 q1, 변환된 IPSec 필터 S', 및 서브세트 QOS 필터 q3의 합과 동등하다(즉, Q'=q1+S'+q3)(단계 260).
도 2d는 QOS 흐름들의 IPSec 프로세스 흐름들과의 교차가 IPSec 흐름들을 포괄하도록(즉, Q∩S=S) IPSec 흐름들이 QOS 흐름들의 서브세트인 네트워크 시나리오를 묘사한다. 이러한 상황에서, IPSec 필터의 대상이 되는 IP 데이터 패킷들 전부는 또한 QOS 필터의 대상이 되지만, QOS 필터의 대상이 되는 다수의 IP 데이터 패킷들은 IPSec 필터의 대상이 되지 않는다. 도시된 예에서, IPSec 필터 S의 대상이 되는 IP 데이터 패킷들 전부는 또한 QOS 서브세트 필터 q2의 대상이 될 수 있다.
도 7은 QOS 흐름과 IPSec 흐름 사이의 교차가 도 2d에 도시된 바와 같이 IPSec 흐름을 포함할 때 QOS 필터 또는 IPSec 필터를 변환하기 위한 실시예 방법의 프로세스 흐름을 도시한다. 이러한 상황에서, QOS 필터는 QOS 필터 세트 Q가 두 개의 서브세트 QOS 필터들 q1, q2의 합과 동등하도록 서브세트 필터들 q1, q2의 제1 그룹으로 분할될 수 있고, 서브세트 QOS 필터 q2는 IPSec 필터가 되도록 선택된다(q2=S)(단계 270). QOS 필터가 분할된 이후, IPSec 필터 세트 S에서 보안 연계(SA)가 셋업된다(단계 205). 다음으로, IPSec 필터 세트 S(서브세트 QOS 필터 q2와 동등함)는 변환된 IPSec 필터 S'를 산출하기 위해 변환된다(단계 275). 변환된 IPSec 필터 S'는 IPSec 필터 S가 수정되지 않은 패킷들에 대하여 생성하는 것과 동일한 흐름들을 암호화된 패킷들에 대하여 생성할 것이다. QOS 필터 Q는 그런 다음에 변환된 QOS 필터 Q'를 산출하기 위해 변환되며, 여기서 필터 Q'는 서브세트 QOS 필터 q1과 변환된 IPSec 필터 S'의 합과 동등하다(즉, Q'=q1+S')(단계 280).
도 2e는 QOS 흐름들의 IPSec 흐름들과의 교차가 QOS 흐름들 이하 그리고 IPSec 흐름들 이하의 무엇(something)을 포괄하도록(즉, Q∩S≤S; Q∩S≤Q) IPSec 흐름들의 일부가 QOS 흐름들의 일부와 교차하는 네트워크 시나리오를 묘사한다. 이러한 상황에서, QOS 필터의 대상이 되는 IP 데이터 패킷들 중 일부는 또한 IPSec 필터의 대상이 되고, 그 반대의 경우도 가능하다. 이러한 상황에서, IPSec 필터 세트 S에 의해 구현되는 가변 레벨들의 보안 암호화가 있을 수 있다. 이러한 가변 레벨들의 보안 각각은 서브세트 보안 필터들 s1, s2에 의해 표현될 수 있다. 도시된 예에서, QOS 서브필터 q2의 대상이 되는 IP 데이터 패킷들은 또한 IPSec 서브세트 필터 s1의 대상이 될 수 있다.
도 8은 QOS 흐름과 IPSec 흐름 사이의 교차가 도 2e에 도시된 바와 같이 QOS 흐름들 이하 그리고 IPSec 흐름들 이하일 때 QOS 필터 또는 IPSec 필터를 변환하기 위한 실시예 방법의 프로세스 흐름을 도시한다. 이러한 상황에서, QOS 필터는 QOS 필터 세트 Q가 두 개의 서브세트 QOS 필터들 q1, q2의 합과 동등하도록 서브세트 QOS 필터들 q1, q2의 제1 그룹으로 분할될 수 있다(단계 290). IPSec 필터는 유사하게 상기 IPSec 필터 세트 S가 두 개의 서브세트 IPSec 필터들 s1, s2의 합과 동등하도록 서브세트 IPSec 필터들 s1, s2의 제2 그룹으로 분할될 수 있다(단계 295). 부가하여, QOS 서브세트 필터 q2는 서브세트 IPSec 필터 s1과 동일한 패킷 분류를 수행한다. 그런 다음에, IPSec 필터 세트 S에서 보안 연계(SA)가 셋업된다(단계 205). 다음으로, 제1 자식 보안 연계(SA)가 서브세트 IPSec 필터 s1을 이용하여 셋업되고, 상기 서브세트 IPSec 필터 s1은 서브세트 QOS 필터 q2와 동등하거나 일치하는 IPSec 필터 세트 S의 서브세트이다(단계 300). 그런 다음에 서브세트 IPSec 필터 s1은 수정된 IP 데이터 패킷들이 정확하게 상기 제1 자식 SA에 맵핑되도록 변환된 서브세트 IPSec 필터 s'1으로 변환된다(단계 305). 서브세트 IPSec 필터 s1이 서브세트 QOS 필터 q2와 동등하거나 일치하므로, 서브세트 필터 s'1은 서브세트 OQS 필터 q2 대신에 QOS 분류를 제공하기 위해 사용될 수 있다. 그런 다음에 QOS 필터 세트 Q는 변환된 QOS 필터 세트 Q'로 변환되고, 여기서 Q'는 서브세트 QOS 필터 q1과 변환된 서브세트 IPSec 필터 s'1의 합과 동등하다(즉, Q'=q1+s'1)(단계 310). 선택적으로, 제2 자식 SA는 제2 자식 보안 연계를 설정하기 위해 서브세트 IPSec 필터 s2를 사용하여 셋업될 수 있다(선택적 단계 315).
위에서 언급된 바와 같이, IP 데이터 패킷이 충돌 프로세싱(예컨대, QOS 및 IPSec)의 대상이 된다는 것을 결정하는 네트워크 경로 내에 있는 노드는 주어진 통신 경로 내에서 상기 통신 경로에 걸쳐서 일어날 패킷 수정들의 성질(예컨대, 암호화) 그리고 IPSec 필터들과 같은 제1 패킷 필터들 세트 및 QOS 필터들과 같은 제2 패킷 필터들 세트 사이의 오버랩핑 또는 교차의 정도를 결정할 수 있다. 상기 패킷 수정들의 성질은, 애플리케이션들이 보안 조치들(예컨대, IPSec)의 구현과 같은 패킷들에 대한 수정들을 요청했는지의 여부를 포함하여 데이터를 송수신하는 애플리케이션들에 기초하여, 또는 특정한 노드가 수행하도록 요구되는 패킷 프로세싱에 기초하여 결정될 수 있다. 상기 오버랩핑 또는 교차의 정도는 노드가 수행하도록 요구되는 패킷 프로세싱, 주어진 통신 세션(예컨대, 인터넷에 접속되는 무선 통신 링크들) 내에서 수반되는 통신 링크들의 타입들에 기초하여 결정될 수 있다. 필터들 S 및 Q와 같은 제1 필터 및 제2 필터의 세트가 주어진다면, Q 필터 및 S 필터 사이의 오버랩핑, 교차 또는 공통 서브세트를 결정하기 위한 프로세스는 위 경우들 중 하나를 적용하기 위해 구현 의존적이다(즉, 통신 디바이스들과 네트워크 토폴로지에 따라 좌우된다). Q 및 S 사이의 공통 서브세트를 결정하는 문제점이 어떻게 해결되는지와 무관하게, 위에서 설명된 방법들은 적절하게 필터들을 변환하는데 사용될 수 있다.
필터들을 변환할 때 고려할 여러 다른 요소들이 존재한다. 위의 방법들은 모바일 IP 및 IPSec를 위한 세부적인 변환 방법들만을 설명한다. 유사한 개념들이 다른 프로토콜들 또는 유즈 케이스들에 적용될 수 있다. IP 터널링을 위한 다른 유즈 케이스들은 IPv4-IPv6 인터워킹, 비 IP 전송들에 IP 패킷들 쉽핑(shipping)하기(백 엔드 무선 네트워크들에서 종종 사용됨) 등을 포함한다. 위에서 설명된 QOS 및 IPSec 필터 변환 방법들은 헤더 압축, 회계처리, 파이어월링(firewalling) 등에 대한 분류와 같이 IPSec을 행하는 동시에 흐름 유즈 케이스들당 다른 것으로 확장될 수 있다. 네트워크 토폴로지/아키텍처, 수정된 버전에 따라, 이러한 본 발명은 이러한 문제점들을 해결하는데 적용될 수 있다.
일부 경우들에서, 필터 변환 단독으로는, 필터들을 변환하는데 이용될 수 있고 IP 데이터 패킷들의 프로세싱 이후에 흐름들의 동일한 세트를 구별하는 것을 가능하게 하는 충분한 파라미터들이 없는 구현들과 같이, 동일한 흐름 분류를 제공할 수 없다. 예컨대, IPSec 프로세싱의 대상이 되는 IP 데이터 패킷들의 경우에, 네트워크 경로가 하나의 터널/보안 연계만을 수반한다면, 필터들을 변환하는 것만으로는 다수의 흐름들을 지원할 수 없을 것이다. 이러한 문제점을 해소하기 위해, 노드들이 IPSec를 지나서 상이한 흐름들을 구별할 수 있도록 추가적 IP 터널들이 설정될 수 있다. 이러한 경우들에서, 특정한 계층/노드 내의 IP 패킷 수정 이후에 동일한 흐름 분류를 달성하기 위해 추가적 터널/보안 연계를 설정하는 것과 같이, 추가적 제어 절차들이 또한 구현될 수 있다.
위에서 설명된 실시예들은 다양한 모바일 디바이스들 중 임의의 것 상에 구현될 수 있다. 통상적으로, 이러한 모바일 디바이스들은 일반적으로 도 9에 도시된 컴포넌트들을 가질 것이다. 예컨대, 모바일 디바이스들(130)은 내부 메모리(132)와 디스플레이(133)에 결합된 프로세서(131)를 포함할 수 있다. 부가하여, 모바일 디바이스(130)는 무선 데이터 링크에 접속되는 전자기 방사선을 송수신하기 위한 안테나(134) 및/또는 프로세서(131)에 결합된 휴대폰 트랜시버(135)를 가질 것이다. 일부 구현들에서, 휴대폰 통신을 위해 사용되는 트랜시버(135)와 프로세서(131) 및 메모리(132)의 일부분들은 무선 데이터 링크를 통해 데이터 인터페이스를 제공하므로 에어 인터페이스로서 지칭된다. 모바일 디바이스들(130)은 또한 통상적으로, 디스플레이(133) 내에서 커서를 위치시키기 위한 사용자 입력들을 수신하기 위한 포인팅 디바이스들로서 제공되는 키 패드(136) 또는 미니어처 키보드와 메뉴 선택 버튼들 또는 록커(rocker) 스위치들(137)을 포함한다. 프로세서(131)는 상기 프로세서(131)를 외부 포인팅 디바이스(예컨대, 마우스) 또는 퍼스널 컴퓨터(160)와 같은 컴퓨팅 디바이스 또는 외부 로컬 영역 네트워크에 연결시키기 위해 범용 시리얼 버스(USB) 또는 파이어와이어® 커넥터 소켓과 같은 유선 네트워크 인터페이스(138)에 더 연결될 수 있다.
프로세서(131)는 위에서 설명된 다양한 실시예들의 기능들을 포함하는 다양한 기능들을 수행하기 위해 소프트웨어 명령들(애플리케이션들)에 의해 구성될 수 있는 임의의 프로그램 가능 마이크로프로세서, 마이크로컴퓨터 또는 다중 프로세서 칩 또는 칩들일 수 있다. 일부 모바일 디바이스들(130)에는, 무선 통신 기능들에 전용되는 하나의 프로세서와 다른 애플리케이션들을 실행시키는데 전용되는 하나의 프로세서와 같이 다수의 프로세서들(131)이 제공될 수 있다. 프로세서는 또한 통신 칩셋의 일부로서 포함될 수도 있다. 통상적으로, 소프트웨어 애플리케이션들은 자신들이 액세스되고 프로세서(131) 내에 로딩되기 이전에 내부 메모리(132)에 저장될 수 있다. 일부 모바일 디바이스들(130)에서는, 프로세서(131)가 애플리케이션 소프트웨어 명령들을 저장하기에 충분한 내부 메모리를 포함할 수 있다. 이 설명을 위해, 메모리란 용어는 내부 메모리(132)와 프로세서(131) 자체 내에 있는 메모리를 포함하여 프로세서(131)에 의해 액세스될 수 있는 모든 메모리를 지칭한다. 애플리케이션 데이터 파일들은 통상적으로 메모리(132)에 저장된다. 많은 모바일 디바이스들(130)에서, 메모리(132)는 휘발성 메모리 또는 플래시 메모리와 같은 비휘발성 메모리 또는 둘 다의 혼합일 수 있다.
위에서 설명된 실시예들은 또한 도 10에 도시된 퍼스널 컴퓨터(160)와 같은 다양한 컴퓨팅 디바이스들 중 임의의 것 상에서 구현될 수 있다. 이러한 퍼스널 컴퓨터(160)는 통상적으로 휘발성 메모리(162)와 디스크 드라이브(163)와 같은 커다란 용량의 비휘발성 메모리에 결합된 프로세서(161)를 포함한다. 컴퓨터(13)는 또한 프로세서(161)에 결합된 플로피 디스크 드라이브(164)와 콤팩트 디스크(CD) 드라이브(165)를 포함할 수 있다. 통상적으로, 컴퓨터 디바이스(160)는 또한 마우스(167)와 같은 포인팅 디바이스, 키보드(168)와 같은 사용자 입력 디바이스 그리고 디스플레이(166)를 포함할 것이다. 컴퓨팅 디바이스(160)는 또한 데이터 접속들을 설정하거나 USB나 파이어와이어® 커넥터 소켓들과 같은 외부 메모리 디바이스들을 수신하기 위한 프로세서(161)에 결합된 다수의 커넥터 포트들 또는 프로세서(161)를 네트워크에 결합시키기 위한 다른 네트워크 접속 회로들(166)을 포함할 수 있다. 노트북 구성에서, 컴퓨터 하우징은 컴퓨터 분야에서 잘 알려진 바와 같이 포인팅 디바이스(167), 키보드(168) 그리고 디스플레이(169)를 포함한다.
상기 다양한 실시예들은 상기 설명된 방법들 중 하나 이상을 구현하도록 구성된 소프트웨어 명령들을 실행하는 컴퓨터 프로세서(131, 161)에 의해 구현될 수 있다. 이러한 소프트웨어 명령들은 별도의 애플리케이션들로서 또는 실시예 방법을 구현하는 컴파일링된 소프트웨어로서 메모리(132, 162, 163) 내에 저장될 수 있다. 기준 데이터베이스는 내부 메모리(132, 162) 내에, 하드 디스크 메모리(164) 내에, 유형 저장 매체 상에 또는 네트워크를 통해 액세스될 수 있는 서버들(미도시) 상에 저장될 수 있다. 명령들은 다양한 타입들의 신호-베어링 또는 데이터 저장용 주 매체, 보조 매체, 또는 삼차 매체 내에 상주할 수 있다. 예컨대, 상기 매체는 무선 네트워크의 컴포넌트들에 의해 액세스될 수 있거나 상기 컴포넌트들 내에 상주할 수 있는 랜덤 액세스 메모리(RAM)를 포함할 수 있다. 추가로, 소프트웨어 명령들 및 데이터베이스들은, 랜덤 액세스 메모리(162), 하드 디스크 메모리(163), 플로피 디스크(플로피 디스크 드라이브(164)에서 판독가능), 콤팩트 디스크(CD 드라이브(165)에서 판독가능), 전기적으로 삭제가능/프로그램가능 읽기전용 메모리(EEPROM), 읽기전용 메모리(예컨대 FLASH 메모리와 플래시 메모리 카드들), 자기 테이프, 광학 저장 디바이스(예컨대, CD-ROM, DVD, 디지털 광학 테이프), 종이 "펀치" 카드들, 및/또는 외부 메모리 칩과 같이 컴퓨터(160)에 플러깅되는 메모리 모듈(미도시) 또는 USB 네트워크 포트(166)에 플러깅되는 USB-접속가능 외부 메모리(예컨대, "플래시 드라이브")를 포함하여, 임의의 형태의 유형 프로세서-판독가능 메모리 상에 저장될 수 있다.
당업자는 본 명세서에 개시된 실시예들과 관련하여 설명된 다양한 예시적 논리 블록들, 모듈들, 회로들, 및 알고리즘 단계들이 전자 하드웨어, 컴퓨터 소프트웨어, 또는 둘 다의 조합들로서 구현될 수 있다는 것을 인정할 것이다. 하드웨어 및 소프트웨어의 이러한 상호교환성을 명확하게 설명하기 위해, 다양한 예시적 컴포넌트들, 블록들, 모듈들, 회로들, 및 단계들이 각자의 기능에 관하여 일반적으로 위에서 설명되었다. 이러한 기능이 하드웨어로서 또는 소프트웨어로서 구현되는지의 여부는 특정한 애플리케이션 및 전체 시스템에 부과된 설계 제약들에 따라 좌우된다. 당업자는 각각의 특정한 애플리케이션을 위해 가변적인 방식들로 상기 설명된 기능을 구현할 수 있지만, 이러한 구현 결정들은 본 발명의 범위로부터 벗어남을 유발하는 것으로 해석되어서는 안된다.
위에서 설명되고 도면들에서 도시된 방법들의 단계들의 순서는, 일부 단계들의 순서가 본 발명의 사상과 범위 및 청구범위를 벗어남 없이 본 명세서에 설명된 것으로부터 변경될 수 있으므로 단지 예시를 위한 것이다.
본 명세서에 개시된 실시예들과 관련되어 설명된 방법 또는 알고리즘의 단계들은 직접적으로 하드웨어 내에, 프로세서에 의해 실행되는 소프트웨어 모듈 내에, 또는 두 개의 조합 내에 구현될 수 있다. 소프트웨어 모듈은 RAM 메모리, 플래시 메모리, ROM 메모리, EPROM 메모리, EEPROM 메모리, 레지스터들, 하드 디스크, 탈착가능 디스크, CD-ROM, 또는 종래에 알려진 임의의 다른 형태의 저장 매체 중 임의의 것일 수 있는 프로세서 판독가능 메모리 내에 상주할 수 있다. 예시적 저장 매체는 프로세서가 저장 매체로부터 정보를 판독할 수 있고 저장 매체에 정보를 저장할 수 있도록 프로세서에 결합된다. 대안적으로, 저장 매체는 프로세서에 통합될 수 있다. 프로세서 및 저장 매체는 ASIC 내에 상주할 수 있다. ASIC는 사용자 단말 또는 모바일 디바이스 내에 상주할 수 있다. 대안적으로, 프로세서 및 저장 매체는 사용자 단말 또는 모바일 디바이스 내에서 이산 컴포넌트들로서 상주할 수 있다. 부가하여, 일부 양상들에서, 방법 또는 알고리즘의 단계들 및/또는 액션들은 컴퓨터 프로그램 물건 내에 통합될 수 있는 컴퓨터 판독가능 매체 및/또는 기계 판독가능 매체 상에 있는 코드들 및/또는 명령들 중 하나 또는 임의의 조합 또는 임의의 세트로서 상주할 수 있다.
다양한 실시예들의 전술된 설명은 당업자가 본 발명을 만들거나 이용하는 것을 가능하게 하기 위해 제공된다. 이러한 실시예들에 대한 다양한 수정들은 당업자에게 쉽게 명백할 것이며, 본 명세서에 정의된 일반적 원리들은 본 발명의 사상이나 범위로부터 벗어남 없이 다른 실시예들에 적용될 수 있다. 따라서, 본 발명은 본 명세서에 나타난 실시예들로 제한되는 것으로 의도되지 않으며, 대신에 청구범위가 본 명세서에 개시된 원리들 및 신규한 특징들에 부합하는 최광의의 범위를 따른다.

Claims (48)

  1. 네트워크 통신들을 프로세싱하기 위한 방법으로서,
    제1 패킷 필터들 세트 및 제2 패킷 필터들 세트를 포함하는 네트워크 경로 내에서의 인터넷 프로토콜(IP) 데이터 패킷들의 프로세싱이 IP 데이터 패킷들의 수정들로 인해 패킷 필터를 비유효적인(ineffective) 것으로 만들 것임을 결정하는 단계;
    상기 네트워크 경로 내의 상기 제1 패킷 필터들 세트 및 상기 제2 패킷 필터들 세트의 교차(intersection)를 결정하는 단계;
    변환된 상기 제1 패킷 필터들 세트가 수정된 IP 데이터 패킷들의 목적하는 패킷 분류를 야기하도록 상기 제1 패킷 필터들 세트를 변환(translate)하는 단계;
    변환된 상기 제2 패킷 필터들 세트가 수정된 IP 데이터 패킷들의 목적하는 패킷 분류를 야기하도록 상기 제1 패킷 필터들 세트 및 상기 제2 패킷 필터들 세트의 상기 결정된 교차에 기반하여 상기 제2 패킷 필터들 세트를 변환하는 단계; 및
    상기 변환된 패킷 필터들을 상기 네트워크 경로 내에 있는 적어도 하나의 라우터에 배치(deploy)하는 단계
    를 포함하는,
    네트워크 통신들을 프로세싱하기 위한 방법.
  2. 제 1 항에 있어서,
    IP 데이터 패킷들이 상기 네트워크 경로의 특정한 노드에서 수정된 이후 상기 목적하는 패킷 분류를 달성하기 위해 추가적 터널을 설정하는 단계
    를 더 포함하는,
    네트워크 통신들을 프로세싱하기 위한 방법.
  3. 삭제
  4. 제 1 항에 있어서,
    상기 제1 패킷 필터들 세트를 변환하는 단계는,
    변환된 상기 제1 패킷 필터들 세트 내의 제1 서브세트 필터가 수정된 패킷들의 목적하는 패킷 분류를 야기하도록 상기 제1 서브세트 필터를 변환하는 단계를 포함하는,
    네트워크 통신들을 프로세싱하기 위한 방법.
  5. 제 1 항에 있어서,
    상기 제2 패킷 필터들 세트를 변환하는 단계는,
    상기 제1 패킷 필터들 세트 및 상기 제2 패킷 필터들 세트의 결정된 교차 및 상기 변환된 제1 패킷 필터들 세트에 기초하여 상기 제2 패킷 필터들 세트 내의 제2 서브세트 필터를 변환하는 단계를 포함하는,
    네트워크 통신들을 프로세싱하기 위한 방법.
  6. 제 4 항에 있어서,
    상기 제2 패킷 필터들 세트는 복수의 제2 서브세트 필터들을 포함하고,
    상기 제2 패킷 필터들 세트를 변환하는 단계는,
    상기 제2 패킷 필터들 세트 내의 상기 복수의 제2 서브세트 필터들 중 하나를 상기 변환된 제1 서브세트 필터로 대체하는 단계를 포함하는,
    네트워크 통신들을 프로세싱하기 위한 방법.
  7. 제 1 항에 있어서,
    제1 필터들 세트에서 제1 보안 연계를 설정하는 단계
    를 더 포함하고,
    상기 제1 패킷 필터들 세트를 변환하는 단계는 패킷들을 상기 설정된 제1 보안 연계에 정확하게 맵핑하는,
    네트워크 통신들을 프로세싱하기 위한 방법.
  8. 제 1 항에 있어서,
    상기 제2 패킷 필터들 세트를 변환하는 단계는,
    상기 제2 패킷 필터들 세트를 상기 변환된 제1 패킷 필터들 세트와 동등하게 셋팅하는 단계를 포함하는,
    네트워크 통신들을 프로세싱하기 위한 방법.
  9. 제 5 항에 있어서,
    상기 제2 패킷 필터들 세트 내의 제2 서브세트 필터를 변환하는 단계는,
    상기 제2 서브세트 필터를 상기 변환된 제1 패킷 필터들 세트와 동등하게 셋팅하는 단계를 포함하는,
    네트워크 통신들을 프로세싱하기 위한 방법.
  10. 제 7 항에 있어서,
    상기 제1 패킷 필터들 세트를 복수의 서브세트 필터들로 분할하는 단계; 및
    상기 복수의 서브세트 필터들 중 하나에 대한 제1 자식 보안 연계를, 상기 제1 자식 보안 연계가 상기 제1 보안 연계에 매칭되도록 설정하는 단계
    를 더 포함하고,
    상기 제2 패킷 필터들 세트를 변환하는 단계는 패킷들을 상기 설정된 제1 자식 보안 연계에 정확하게 맵핑시키는,
    네트워크 통신들을 프로세싱하기 위한 방법.
  11. 제 10 항에 있어서,
    상기 제1 패킷 필터들 세트 내의 제3 서브세트 필터에 대한 제2 자식 보안 연계를, 상기 제2 자식 보안 연계가 상기 제1 보안 연계에 매칭되도록 설정하는 단계
    를 더 포함하는,
    네트워크 통신들을 프로세싱하기 위한 방법.
  12. 제 11 항에 있어서,
    상기 제1 패킷 필터들 세트 내의 제4 서브세트 필터에 대한 제3 자식 보안 연계를, 상기 제3 자식 보안 연계가 상기 제1 보안 연계에 매칭되도록 설정하는 단계
    를 더 포함하는,
    네트워크 통신들을 프로세싱하기 위한 방법.
  13. 컴퓨터로서,
    프로세서; 및
    상기 프로세서에 결합된 메모리를 포함하고,
    상기 프로세서는,
    제1 패킷 필터들 세트 및 제2 패킷 필터들 세트를 포함하는 네트워크 경로 내에서의 인터넷 프로토콜(IP) 데이터 패킷들의 프로세싱이 IP 데이터 패킷들의 수정들로 인해 패킷 필터를 비유효적인(ineffective) 것으로 만들 것임을 결정하는 단계;
    상기 네트워크 경로 내에서 제1 패킷 필터들 세트와 제2 패킷 필터들 세트의 교차를 결정하는 단계;
    변환된 제1 패킷 필터들 세트가 수정된 IP 데이터 패킷들의 목적하는 패킷 분류를 야기하도록 상기 제1 패킷 필터들 세트를 변환하는 단계;
    변환된 제2 패킷 필터들 세트가 수정된 IP 데이터 패킷들의 목적하는 패킷 분류를 야기하도록 상기 제1 패킷 필터들 세트 및 상기 제2 패킷 필터들 세트의 상기 결정된 교차에 기초하여 상기 제2 패킷 필터들 세트를 변환하는 단계; 및
    상기 변환된 패킷 필터들을 상기 네트워크 경로 내에 있는 적어도 하나의 라우터에 배치하는 단계
    를 포함하는 단계들을 수행하기 위한 소프트웨어 명령들을 이용하여 구성되는,
    컴퓨터.
  14. 제 13 항에 있어서,
    상기 프로세서는 IP 데이터 패킷들이 상기 네트워크 경로의 특정한 노드에서 수정된 이후 상기 목적하는 패킷 분류를 달성하기 위해 추가적 터널을 설정하는 단계를 포함하는 추가적 단계들을 수행하기 위한 소프트웨어 명령들을 이용하여 구성되는,
    컴퓨터.
  15. 삭제
  16. 제 13 항에 있어서,
    상기 프로세서는,
    상기 제1 패킷 필터들 세트를 변환하는 단계가, 변환된 상기 제1 패킷 필터들 세트 내의 제1 서브세트 필터가 수정된 패킷들의 목적하는 패킷 분류를 야기하도록 상기 제1 서브세트 필터를 변환하는 단계를 포함하도록 수행하기 위한 소프트웨어 명령들을 이용하여 구성되는,
    컴퓨터.
  17. 제 13 항에 있어서,
    상기 프로세서는,
    상기 제2 패킷 필터들 세트를 변환하는 단계가, 상기 제1 패킷 필터들 세트 및 상기 제2 패킷 필터들 세트의 결정된 교차 및 상기 변환된 제1 패킷 필터들 세트에 기초하여 상기 제2 패킷 필터들 세트 내의 제2 서브세트 필터를 변환하는 단계를 포함하도록 하는 단계들을 수행하기 위한 소프트웨어 명령들을 이용하여 구성되는,
    컴퓨터.
  18. 제 16 항에 있어서,
    상기 프로세서는,
    상기 제2 패킷 필터들 세트가 복수의 제2 서브세트 필터들을 포함하고,
    상기 제2 패킷 필터들 세트를 변환하는 단계가, 상기 제2 패킷 필터들 세트 내의 상기 복수의 제2 서브세트 필터들 중 하나를 상기 변환된 제1 서브세트 필터로 대체하는 단계를 포함하도록
    하는 단계들을 수행하기 위한 소프트웨어 명령들을 이용하여 구성되는,
    컴퓨터.
  19. 제 13 항에 있어서,
    상기 프로세서는,
    제1 필터들 세트에서 제1 보안 연계를 설정하는 단계를 포함하는 추가적 단계들을 수행하기 위한 소프트웨어 명령들을 이용하여 구성되고,
    상기 제1 패킷 필터들 세트를 변환하는 단계는 패킷들을 상기 설정된 제1 보안 연계에 정확하게 맵핑하는,
    컴퓨터.
  20. 제 13 항에 있어서,
    상기 프로세서는,
    상기 제2 패킷 필터들 세트를 변환하는 단계가, 상기 제2 패킷 필터들 세트를 상기 변환된 제1 패킷 필터들 세트와 동등하게 셋팅하는 단계를 포함하도록 하는 단계들을 수행하기 위한 소프트웨어 명령들을 이용하여 구성되는,
    컴퓨터.
  21. 제 17 항에 있어서,
    상기 프로세서는,
    상기 제2 패킷 필터들 세트 내의 제2 서브세트 필터를 변환하는 단계가, 상기 제2 서브세트 필터를 상기 변환된 제1 패킷 필터들 세트와 동등하게 셋팅하는 단계를 포함하도록 하는 단계들을 수행하기 위한 소프트웨어 명령들을 이용하여 구성되는,
    컴퓨터.
  22. 제 19 항에 있어서,
    상기 프로세서는,
    상기 제1 패킷 필터들 세트를 복수의 서브세트 필터들로 분할하는 단계; 및
    상기 복수의 서브세트 필터들 중 하나에 대한 제1 자식 보안 연계를, 상기 제1 자식 보안 연계가 상기 제1 보안 연계에 매칭되도록 설정하는 단계
    를 포함하는 추가적 단계들을 수행하기 위한 소프트웨어 명령들을 이용하여 구성되고,
    상기 제2 패킷 필터들 세트를 변환하는 단계는 패킷들을 상기 설정된 제1 자식 보안 연계에 정확하게 맵핑시키는,
    컴퓨터.
  23. 제 22 항에 있어서,
    상기 프로세서는,
    상기 제1 패킷 필터들 세트 내의 제3 서브세트 필터에 대한 제2 자식 보안 연계를, 상기 제2 자식 보안 연계가 상기 제1 보안 연계에 매칭되도록 설정하는 단계를 포함하는 추가적 단계들을 수행하기 위한 소프트웨어 명령들을 이용하여 구성되는,
    컴퓨터.
  24. 제 23 항에 있어서,
    상기 프로세서는,
    상기 제1 패킷 필터들 세트 내의 제4 서브세트 필터에 대한 제3 자식 보안 연계를, 상기 제3 자식 보안 연계가 상기 제1 보안 연계에 매칭되도록 설정하는 단계를 포함하는 추가적 단계들을 수행하기 위한 소프트웨어 명령들을 이용하여 구성되는,
    컴퓨터.
  25. 제1 패킷 필터들 세트 및 제2 패킷 필터들 세트를 포함하는 네트워크 경로 내에서의 인터넷 프로토콜(IP) 데이터 패킷들의 프로세싱이 IP 데이터 패킷들의 수정들로 인해 패킷 필터를 비유효적인(ineffective) 것으로 만들 것임을 결정하기 위한 수단;
    상기 네트워크 경로 내의 상기 제1 패킷 필터들 세트 및 상기 제2 패킷 필터들 세트의 교차(intersection)를 결정하기 위한 수단;
    변환된 상기 제1 패킷 필터들 세트가 수정된 IP 데이터 패킷들의 목적하는 패킷 분류를 야기하도록 상기 제1 패킷 필터들 세트를 변환(translate)하기 위한 수단;
    변환된 상기 제2 패킷 필터들 세트가 수정된 IP 데이터 패킷들의 목적하는 패킷 분류를 야기하도록 상기 제1 패킷 필터들 세트 및 상기 제2 패킷 필터들 세트의 상기 결정된 교차에 기반하여 상기 제2 패킷 필터들 세트를 변환하기 위한 수단; 및
    상기 변환된 패킷 필터들을 상기 네트워크 경로 내에 있는 적어도 하나의 라우터에 배치하기 위한 수단
    을 포함하는,
    컴퓨터.
  26. 제 25 항에 있어서,
    IP 데이터 패킷들이 상기 네트워크 경로의 특정한 노드에서 수정된 이후 상기 목적하는 패킷 분류를 달성하기 위해 추가적 터널을 설정하기 위한 수단
    을 더 포함하는,
    컴퓨터.
  27. 삭제
  28. 제 25 항에 있어서,
    상기 제1 패킷 필터들 세트를 변환하기 위한 수단은,
    변환된 상기 제1 패킷 필터들 세트 내의 제1 서브세트 필터가 수정된 패킷들의 목적하는 패킷 분류를 야기하도록 상기 제1 서브세트 필터를 변환하기 위한 수단을 포함하는,
    컴퓨터.
  29. 제 25 항에 있어서,
    상기 제2 패킷 필터들 세트를 변환하기 위한 수단은,
    상기 제1 패킷 필터들 세트 및 상기 제2 패킷 필터들 세트의 결정된 교차 및 상기 변환된 제1 패킷 필터들 세트에 기초하여 상기 제2 패킷 필터들 세트 내의 제2 서브세트 필터를 변환하기 위한 수단을 포함하는,
    컴퓨터.
  30. 제 28 항에 있어서,
    상기 제2 패킷 필터들 세트는 복수의 제2 서브세트 필터들을 포함하고,
    상기 제2 패킷 필터들 세트를 변환하기 위한 수단은,
    상기 제2 패킷 필터들 세트 내의 상기 복수의 제2 서브세트 필터들 중 하나를 상기 변환된 제1 서브세트 필터로 대체하기 위한 수단을 포함하는,
    컴퓨터.
  31. 제 25 항에 있어서,
    제1 필터들 세트에서 제1 보안 연계를 설정하기 위한 수단
    을 더 포함하고,
    상기 제1 패킷 필터들 세트를 변환하기 위한 수단은 패킷들을 상기 설정된 제1 보안 연계에 정확하게 맵핑하는,
    컴퓨터.
  32. 제 25 항에 있어서,
    상기 제2 패킷 필터들 세트를 변환하기 위한 수단은,
    상기 제2 패킷 필터들 세트를 상기 변환된 제1 패킷 필터들 세트와 동등하게 셋팅하기 위한 수단을 포함하는,
    컴퓨터.
  33. 제 29 항에 있어서,
    상기 제2 패킷 필터들 세트 내의 제2 서브세트 필터를 변환하기 위한 수단은,
    상기 제2 서브세트 필터를 상기 변환된 제1 패킷 필터들 세트와 동등하게 셋팅하기 위한 수단을 포함하는,
    컴퓨터.
  34. 제 31 항에 있어서,
    상기 제1 패킷 필터들 세트를 복수의 서브세트 필터들로 분할하기 위한 수단; 및
    상기 복수의 서브세트 필터들 중 하나에 대한 제1 자식 보안 연계를, 상기 제1 자식 보안 연계가 상기 제1 보안 연계에 매칭되도록 설정하기 위한 수단
    을 더 포함하고,
    상기 제2 패킷 필터들 세트를 변환하기 위한 수단은 패킷들을 상기 설정된 제1 자식 보안 연계에 정확하게 맵핑시키는,
    컴퓨터.
  35. 제 34 항에 있어서,
    상기 제1 패킷 필터들 세트 내의 제3 서브세트 필터에 대한 제2 자식 보안 연계를, 상기 제2 자식 보안 연계가 상기 제1 보안 연계에 매칭되도록 설정하기 위한 수단
    을 더 포함하는,
    컴퓨터.
  36. 제 35 항에 있어서,
    상기 제1 패킷 필터들 세트 내의 제4 서브세트 필터에 대한 제3 자식 보안 연계를, 상기 제3 자식 보안 연계가 상기 제1 보안 연계에 매칭되도록 설정하기 위한 수단
    을 더 포함하는,
    컴퓨터.
  37. 프로세서-실행가능 소프트웨어 명령들을 저장하고 있는 유형의 저장 매체로서,
    상기 프로세서-실행가능 소프트웨어 명령들은, 컴퓨터의 프로세서로 하여금,
    제1 패킷 필터들 세트 및 제2 패킷 필터들 세트를 포함하는 네트워크 경로 내에서의 인터넷 프로토콜(IP) 데이터 패킷들의 프로세싱이 IP 데이터 패킷들의 수정들로 인해 패킷 필터를 비유효적인(ineffective) 것으로 만들 것임을 결정하는 단계;
    상기 네트워크 경로 내의 상기 제1 패킷 필터들 세트 및 상기 제2 패킷 필터들 세트의 교차(intersection)를 결정하는 단계;
    변환된 상기 제1 패킷 필터들 세트가 수정된 IP 데이터 패킷들의 목적하는 패킷 분류를 야기하도록 상기 제1 패킷 필터들 세트를 변환(translate)하는 단계;
    변환된 상기 제2 패킷 필터들 세트가 수정된 IP 데이터 패킷들의 목적하는 패킷 분류를 야기하도록 상기 제1 패킷 필터들 세트 및 상기 제2 패킷 필터들 세트의 상기 결정된 교차에 기반하여 상기 제2 패킷 필터들 세트를 변환하는 단계; 및
    상기 변환된 패킷 필터들을 상기 네트워크 경로 내에 있는 적어도 하나의 라우터에 배치하는 단계
    를 포함하는 단계들을 수행하게 하도록 구성되는,
    유형의 저장 매체.
  38. 제 37 항에 있어서,
    상기 유형의 저장 매체는,
    컴퓨터의 프로세서로 하여금,
    IP 데이터 패킷들이 상기 네트워크 경로의 특정한 노드에서 수정된 이후 상기 목적하는 패킷 분류를 달성하기 위해 추가적 터널을 설정하는 단계
    를 포함하는 추가적 단계들을 수행하게 하도록 구성되는 프로세서-실행가능 소프트웨어 명령들을 저장하고 있는,
    유형의 저장 매체.
  39. 삭제
  40. 제 37 항에 있어서,
    상기 유형의 저장 매체는,
    컴퓨터의 프로세서로 하여금,
    상기 제1 패킷 필터들 세트를 변환하는 단계가, 변환된 상기 제1 패킷 필터들 세트 내의 제1 서브세트 필터가 수정된 패킷들의 목적하는 패킷 분류를 야기하도록 상기 제1 서브세트 필터를 변환하는 단계를 포함하도록 하는 추가적 단계들을 수행하게 하도록 구성되는 프로세서-실행가능 소프트웨어 명령들을 저장하고 있는,
    유형의 저장 매체.
  41. 제 37 항에 있어서,
    상기 유형의 저장 매체는,
    컴퓨터의 프로세서로 하여금,
    상기 제2 패킷 필터들 세트를 변환하는 단계가, 상기 제1 패킷 필터들 세트 및 상기 제2 패킷 필터들 세트의 상기 결정된 교차 및 상기 변환된 제1 패킷 필터들 세트에 기초하여 상기 제2 패킷 필터들 세트 내의 제2 서브세트 필터를 변환하는 단계를 포함하도록 하는 추가적 단계들을 수행하게 하도록 구성되는 프로세서-실행가능 소프트웨어 명령들을 저장하고 있는,
    유형의 저장 매체.
  42. 제 40 항에 있어서,
    상기 유형의 저장 매체는,
    컴퓨터의 프로세서로 하여금,
    상기 제2 패킷 필터들 세트가 복수의 제2 서브세트 필터들을 포함하고,
    상기 제2 패킷 필터들 세트를 변환하는 단계가, 상기 제2 패킷 필터들 세트 내의 상기 복수의 제2 서브세트 필터들 중 하나를 상기 변환된 제1 서브세트 필터로 대체하는 단계를 포함하도록 하는 추가적 단계들을 수행하게 하도록 구성되는 프로세서-실행가능 소프트웨어 명령들을 저장하고 있는,
    유형의 저장 매체.
  43. 제 37 항에 있어서,
    상기 유형의 저장 매체는,
    컴퓨터의 프로세서로 하여금,
    제1 필터들 세트에서 제1 보안 연계를 설정하는 단계
    를 포함하도록 하는 추가적 단계들을 수행하게 하도록 구성되는 프로세서-실행가능 소프트웨어 명령들을 저장하고 있고,
    상기 제1 패킷 필터들 세트를 변환하는 단계는 패킷들을 상기 설정된 제1 보안 연계에 정확하게 맵핑하는,
    유형의 저장 매체.
  44. 제 37 항에 있어서,
    상기 유형의 저장 매체는,
    컴퓨터의 프로세서로 하여금,
    상기 제2 패킷 필터들 세트를 변환하는 단계가, 상기 제2 패킷 필터들 세트를 상기 변환된 제1 패킷 필터들 세트와 동등하게 셋팅하는 단계를 포함하도록 하는 추가적 단계들을 수행하게 하도록 구성되는 프로세서-실행가능 소프트웨어 명령들을 저장하고 있는,
    유형의 저장 매체.
  45. 제 41 항에 있어서,
    상기 유형의 저장 매체는,
    컴퓨터의 프로세서로 하여금,
    상기 제2 패킷 필터들 세트 내의 제2 서브세트 필터를 변환하는 단계가, 상기 제2 서브세트 필터를 상기 변환된 제1 패킷 필터들 세트와 동등하게 셋팅하는 단계를 포함하도록 하는 추가적 단계들을 수행하게 하도록 구성되는 프로세서-실행가능 소프트웨어 명령들을 저장하고 있는,
    유형의 저장 매체.
  46. 제 43 항에 있어서,
    상기 유형의 저장 매체는,
    컴퓨터의 프로세서로 하여금,
    상기 제1 패킷 필터들 세트를 복수의 서브세트 필터들로 분할하는 단계; 및
    상기 복수의 서브세트 필터들 중 하나에 대한 제1 자식 보안 연계를, 상기 제1 자식 보안 연계가 상기 제1 보안 연계에 매칭되도록 설정하는 단계를 포함하는 추가적 단계들을 수행하게 하도록 구성되는 프로세서-실행가능 소프트웨어 명령들을 저장하고 있고,
    상기 제2 패킷 필터들 세트를 변환하는 단계는 패킷들을 상기 설정된 제1 자식 보안 연계에 정확하게 맵핑시키는,
    유형의 저장 매체.
  47. 제 46 항에 있어서,
    상기 유형의 저장 매체는,
    컴퓨터의 프로세서로 하여금,
    상기 제1 패킷 필터들 세트 내의 제3 서브세트 필터에 대한 제2 자식 보안 연계를, 상기 제2 자식 보안 연계가 상기 제1 보안 연계에 매칭되도록 설정하는 단계를 포함하는 추가적 단계들을 수행하게 하도록 구성되는 프로세서-실행가능 소프트웨어 명령들을 저장하고 있는,
    유형의 저장 매체.
  48. 제 47 항에 있어서,
    상기 유형의 저장 매체는,
    컴퓨터의 프로세서로 하여금,
    상기 제1 패킷 필터들 세트 내의 제4 서브세트 필터에 대한 제3 자식 보안 연계를, 상기 제3 자식 보안 연계가 상기 제1 보안 연계에 매칭되도록 설정하는 단계를 포함하는 추가적 단계들을 수행하게 하도록 구성되는 프로세서-실행가능 소프트웨어 명령들을 저장하고 있는,
    유형의 저장 매체.
KR1020107014423A 2007-11-29 2008-11-26 암호화되고 터널링되는 패킷 스트림들을 위한 흐름 분류 KR101154734B1 (ko)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US99108707P 2007-11-29 2007-11-29
US60/991,087 2007-11-29
US12/277,997 2008-11-25
US12/277,997 US8763108B2 (en) 2007-11-29 2008-11-25 Flow classification for encrypted and tunneled packet streams
PCT/US2008/084820 WO2009073504A2 (en) 2007-11-29 2008-11-26 Flow classification for encrypted and tunneled packet streams

Publications (2)

Publication Number Publication Date
KR20110008001A KR20110008001A (ko) 2011-01-25
KR101154734B1 true KR101154734B1 (ko) 2012-06-13

Family

ID=40677168

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020107014423A KR101154734B1 (ko) 2007-11-29 2008-11-26 암호화되고 터널링되는 패킷 스트림들을 위한 흐름 분류

Country Status (6)

Country Link
US (1) US8763108B2 (ko)
EP (1) EP2218223B1 (ko)
JP (1) JP5129343B2 (ko)
KR (1) KR101154734B1 (ko)
CN (1) CN101911611B (ko)
WO (1) WO2009073504A2 (ko)

Families Citing this family (39)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8914022B2 (en) * 1992-03-06 2014-12-16 Gogo Llc System for providing high speed communications service in an airborne wireless cellular network
US20110286331A1 (en) * 1999-08-24 2011-11-24 Gogo Llc Differentiated Services Code Point Mirroring For Wireless Communications
US20090201897A1 (en) * 2008-02-11 2009-08-13 Nokia Siemens Networks Oy Classification process involving mobile stations
US8739270B1 (en) * 2009-01-28 2014-05-27 The Boeing Company Trusted, cross domain information sharing between multiple legacy and IP based devices
US8438630B1 (en) * 2009-03-30 2013-05-07 Symantec Corporation Data loss prevention system employing encryption detection
US20100268935A1 (en) * 2009-04-21 2010-10-21 Richard Rodgers Methods, systems, and computer readable media for maintaining flow affinity to internet protocol security (ipsec) sessions in a load-sharing security gateway
WO2010127706A1 (en) * 2009-05-08 2010-11-11 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for handling qos relating to secure ip access
CN104811486B (zh) * 2009-06-19 2019-06-14 日本技术贸易株式会社 内容管理装置和内容管理方法
US8654659B2 (en) 2009-12-23 2014-02-18 Citrix Systems, Inc. Systems and methods for listening policies for virtual servers of appliance
JP5587085B2 (ja) * 2010-07-27 2014-09-10 パナソニック株式会社 通信システム、制御装置及び制御プログラム
US8800021B1 (en) * 2011-06-29 2014-08-05 Juniper Networks, Inc. Hardware implementation of complex firewalls using chaining technique
US9253164B2 (en) 2011-09-12 2016-02-02 Microsoft Technology Licensing, Llc Distribution of portions of content
EP2592808B1 (en) * 2011-11-14 2017-03-15 Alcatel Lucent Method and equipment for establishing a connection through a virtual private network
JP6052391B2 (ja) * 2012-03-30 2016-12-27 ホアウェイ・テクノロジーズ・カンパニー・リミテッド 盗聴に対するIPsec通信のパフォーマンス及びセキュリティの向上
EP2845349B1 (en) * 2012-04-30 2017-08-16 Hewlett-Packard Enterprise Development LP Network access apparatus having a control module and a network access module
US9565213B2 (en) 2012-10-22 2017-02-07 Centripetal Networks, Inc. Methods and systems for protecting a secured network
US9137205B2 (en) 2012-10-22 2015-09-15 Centripetal Networks, Inc. Methods and systems for protecting a secured network
US9203806B2 (en) 2013-01-11 2015-12-01 Centripetal Networks, Inc. Rule swapping in a packet network
WO2014118174A1 (en) * 2013-01-29 2014-08-07 Telefonaktiebolaget Lm Ericsson (Publ) Method and arrangement for qos differentiation of vpn traffic across domains
US9124552B2 (en) 2013-03-12 2015-09-01 Centripetal Networks, Inc. Filtering network data transfers
US9094445B2 (en) 2013-03-15 2015-07-28 Centripetal Networks, Inc. Protecting networks from cyber attacks and overloading
US9590911B2 (en) * 2014-06-27 2017-03-07 iPhotonix Wireless area network (WAN) overloading
US9979698B2 (en) 2014-06-27 2018-05-22 iPhotonix Local internet with quality of service (QoS) egress queuing
US9794172B2 (en) 2014-06-27 2017-10-17 iPhotonix Edge network virtualization
US9264370B1 (en) 2015-02-10 2016-02-16 Centripetal Networks, Inc. Correlating packets in communications networks
US9866576B2 (en) 2015-04-17 2018-01-09 Centripetal Networks, Inc. Rule-based network-threat detection
US10051000B2 (en) * 2015-07-28 2018-08-14 Citrix Systems, Inc. Efficient use of IPsec tunnels in multi-path environment
US9917856B2 (en) 2015-12-23 2018-03-13 Centripetal Networks, Inc. Rule-based network-threat detection for encrypted communications
CN105704122B (zh) * 2016-01-08 2018-12-18 北京北方烽火科技有限公司 一种路由加密系统
US11100046B2 (en) * 2016-01-25 2021-08-24 International Business Machines Corporation Intelligent security context aware elastic storage
US10503899B2 (en) 2017-07-10 2019-12-10 Centripetal Networks, Inc. Cyberanalysis workflow acceleration
US11233777B2 (en) 2017-07-24 2022-01-25 Centripetal Networks, Inc. Efficient SSL/TLS proxy
US10798059B1 (en) * 2017-10-06 2020-10-06 Juniper Networks, Inc Apparatus, system, and method for applying firewall rules at dynamic offsets within packets in kernel space
US10992654B2 (en) * 2018-08-17 2021-04-27 Cisco Technology, Inc. Secure WAN path selection at campus fabric edge
EP3847791A1 (en) * 2018-09-04 2021-07-14 Telefonaktiebolaget LM Ericsson (publ) Signalling storm mitigation in a secured radio access network
CN111182540B (zh) * 2018-12-14 2022-04-22 维沃移动通信有限公司 数据传送的保障方法及通信设备
US11516253B1 (en) * 2019-03-28 2022-11-29 Amazon Technologies, Inc. Identity-aware filtering proxy for virtual networks
EP4063296A1 (en) 2021-03-23 2022-09-28 ESE World B.V. Fastening device
US11863514B2 (en) * 2022-01-14 2024-01-02 Vmware, Inc. Performance improvement of IPsec traffic using SA-groups and mixed-mode SAs

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060109829A1 (en) * 2001-06-26 2006-05-25 O'neill Alan Messages and control methods for controlling resource allocation and flow admission control in a mobile communications system
WO2007046596A1 (en) * 2005-10-21 2007-04-26 Samsung Electronics Co., Ltd. Method and apparatus of performing tunnel signaling over ip tunneling path

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5835726A (en) * 1993-12-15 1998-11-10 Check Point Software Technologies Ltd. System for securing the flow of and selectively modifying packets in a computer network
CN1292354C (zh) * 2002-02-08 2006-12-27 联想网御科技(北京)有限公司 基于桥的二层交换式防火墙包过滤的方法
CN1536497A (zh) * 2003-04-04 2004-10-13 上海广电应确信有限公司 一种实现包过滤的防火墙及其实现包过滤的方法
US7913294B1 (en) * 2003-06-24 2011-03-22 Nvidia Corporation Network protocol processing for filtering packets
JP4333436B2 (ja) 2004-03-29 2009-09-16 株式会社日立製作所 管理サーバ装置
KR20060117586A (ko) 2005-05-11 2006-11-17 삼성전자주식회사 IPv4/IPv6 통합 네트워크의 패킷 처리 방법 및 그장치
US7920548B2 (en) * 2005-08-18 2011-04-05 Hong Kong Applied Science And Technology Research Institute Co. Ltd. Intelligent switching for secure and reliable voice-over-IP PBX service
CN101043442B (zh) * 2006-11-17 2011-05-25 神州数码网络(北京)有限公司 一种在以太网交换机上实现urpf的方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060109829A1 (en) * 2001-06-26 2006-05-25 O'neill Alan Messages and control methods for controlling resource allocation and flow admission control in a mobile communications system
WO2007046596A1 (en) * 2005-10-21 2007-04-26 Samsung Electronics Co., Ltd. Method and apparatus of performing tunnel signaling over ip tunneling path

Also Published As

Publication number Publication date
WO2009073504A3 (en) 2009-08-06
JP5129343B2 (ja) 2013-01-30
WO2009073504A2 (en) 2009-06-11
KR20110008001A (ko) 2011-01-25
CN101911611A (zh) 2010-12-08
CN101911611B (zh) 2013-03-27
EP2218223B1 (en) 2017-02-22
US20090144819A1 (en) 2009-06-04
EP2218223A2 (en) 2010-08-18
US8763108B2 (en) 2014-06-24
JP2011505761A (ja) 2011-02-24

Similar Documents

Publication Publication Date Title
KR101154734B1 (ko) 암호화되고 터널링되는 패킷 스트림들을 위한 흐름 분류
US7143282B2 (en) Communication control scheme using proxy device and security protocol in combination
US9614774B2 (en) Method for providing a QoS prioritized data traffic
JP3793083B2 (ja) トンネリングおよび補償を使用するネットワーク・アドレス翻訳によりセキュリティを与えるための方法および装置
CN101138218B (zh) 用于在不兼容传输中支持安全性协议的方法和装置
US7961624B2 (en) System and method for providing bandwidth signaling across cryptographic boundaries in a network
US8942619B2 (en) Relay device
US8433900B2 (en) Secure transport of multicast traffic
US7386881B2 (en) Method for mapping security associations to clients operating behind a network address translation device
US8811397B2 (en) System and method for data communication between a user terminal and a gateway via a network node
EP3244581B1 (en) Multi-path wireless communication
US8447802B2 (en) Address manipulation to provide for the use of network tools even when transaction acceleration is in use over a network
US20060256817A1 (en) System and method for using performance enhancing proxies with IP-layer encryptors
US8336093B2 (en) Abnormal IPSec packet control system using IPSec configuration and session data, and method thereof
US9769116B2 (en) Encapsulating traffic while preserving packet characteristics
US20210084126A1 (en) Packet fragmentation control
JP2016508682A (ja) ドメインにまたがるvpnトラフィックのqosによる区別のための方法および配置構成
CN109040059B (zh) 受保护的tcp通信方法、通信装置及存储介质
WO2017148419A1 (zh) 数据传输方法及服务器
US10205804B2 (en) Methods and systems for enhanced support of TCP options in a TCP spoofed system
CN113055294A (zh) 报文封装、解封装方法、装置、存储介质及电子装置
US7207063B1 (en) Method and apparatus for determining secure endpoints of tunnels in a network that uses internet security protocol
KR102538061B1 (ko) 의료 정보 보안 데이터 전송 시스템 및 전송 방법
Hinden et al. RFC 9268: IPv6 Minimum Path MTU Hop-by-Hop Option
RU2517405C2 (ru) Способ обеспечения сопоставлений безопасности для зашифрованных пакетных данных

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160330

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20170330

Year of fee payment: 6

LAPS Lapse due to unpaid annual fee