KR101316903B1 - 고가용성 시스템에서 세션을 동기화하기 위한 방법 및 장치 - Google Patents

고가용성 시스템에서 세션을 동기화하기 위한 방법 및 장치 Download PDF

Info

Publication number
KR101316903B1
KR101316903B1 KR1020120104158A KR20120104158A KR101316903B1 KR 101316903 B1 KR101316903 B1 KR 101316903B1 KR 1020120104158 A KR1020120104158 A KR 1020120104158A KR 20120104158 A KR20120104158 A KR 20120104158A KR 101316903 B1 KR101316903 B1 KR 101316903B1
Authority
KR
South Korea
Prior art keywords
session
packet
data packet
tcp syn
high availability
Prior art date
Application number
KR1020120104158A
Other languages
English (en)
Inventor
김종덕
Original Assignee
주식회사 시큐아이
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 시큐아이 filed Critical 주식회사 시큐아이
Priority to KR1020120104158A priority Critical patent/KR101316903B1/ko
Application granted granted Critical
Publication of KR101316903B1 publication Critical patent/KR101316903B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/163In-band adaptation of TCP data exchange; In-band control procedures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/142Managing session states for stateless protocols; Signalling session states; State transitions; Keeping-state mechanisms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명의 실시예에 따라 고가용성 시스템에서 세션을 동기화하기 위한 방법 및 장치가 개시된다. 상기 방법은 데이터 패킷을 수신하는 단계; 상기 데이터 패킷과 관련되는 세션이 형성되어 있는지를 판단하는 단계; 상기 데이터 패킷과 관련되는 세션이 형성되어 있지 않다고 판단되면, 상기 데이터 패킷의 타입을 식별하는 단계; 상기 데이터 패킷이 TCP SYN/ACK 패킷으로 식별되면, 상기 데이터 패킷을 차단하여 신규 TCP SYN/ACK 패킷을 수신하는 단계; 상기 수신된 신규 TCP SYN/ACK 패킷과 관련되는 세션이 형성되어 있는지를 판단하는 단계; 상기 수신된 신규 TCP SYN/ACK 패킷과 관련되는 세션이 형성되어 있다고 판단되면, 상기 수신된 신규 TCP SYN/ACK 패킷에 기초하여 상기 세션에 관한 세션 정보를 갱신하는 단계; 및 상기 갱신된 세션 정보를 고가용성 시스템을 구성하는 다른 장치에 전송함으로써 세션을 동기화하는 단계를 포함할 수 있다.
본 발명은 TCP SYN 패킷의 응답 패킷인 TCP SYN/ACK 패킷이 도착 했을 때 세션 비동기 여부를 확인하고, 세션 동기화가 완료되지 않은 경우에만 TCP SYN/ACK 패킷을 차단하여, 신규 TCP SYN/ACK 패킷이 재전송되게 함으로써, 불필요한 응답 지연의 발생을 최소화하면서도 세션 동기화를 보장할 수 있다.

Description

고가용성 시스템에서 세션을 동기화하기 위한 방법 및 장치{METHOD AND APPRATUS FOR SYNCHRONIZING SESSION IN HIGH AVAILABILITY SYSTEM}
본 발명은 고가용성 구현 기술에 관한 것으로, 보다 구체적으로는 고가용성 시스템을 구성하는 장비들 사이에서 세션을 동기화하기 위한 기술에 관한 것이다.
일반적으로, 보안 장치는 보호하고자 하는 네트워크와 신뢰할 수 없는 네트워크 사이에 트래픽이 집중되는 곳에 위치되어, 두 네트워크 간에 왕래하는 모든 트래픽들을 일일이 사용자가 설정한 보안정책과 대조해 봄으로써, 보안정책에 어긋나는 트래픽은 차단하고, 정책에 합치하는 트래픽만을 선별 통과하는 장치를 의미한다. 네트워크 보안을 위해서 종래에는 방화벽이 많이 사용되었지만, 근래에는 침입 탐지 시스템(intrusion detection system), 침입 차단 시스템(intrusion prevention system) 등 다른 여러 장치가 많이 사용되고 있다. 이러한 보안 장치들은 네트워크의 관문에 위치하여 많은 트래픽이 집중되기 때문에 보안 장치에 가해지는 부하를 적절히 분산할 수 있어야 하며, 가능하면 장애 발생을 회피하고, 장애가 발생하더라도 신속히 정상 상태로 회복할 수 있어야 한다. 따라서 장애 회피 및 부하 분산을 위해 복수의 보안 장치를 동시에 운용하는 방안이 제안되고 있다. 이와 같이, 복수대의 장치를 그룹핑하여 이중화함으로써 무중단 서비스를 지원하는 기능을 HA(High Availability, 고가용성)하며, 서비스를 제공하는 네트워크 장치는 일반적으로 복수의 장치를 그룹핑하여 이중화함으로써 고가용성(HA: High Availability) 시스템을 구축하여 무중단 서비스를 지원할 수 있다.
도 1은 복수의 보안 장치를 운용하는 네트워크 구성의 예시를 도시한다. 도 1에서, 스위치(130 및 140)는 일정한 경로 선택 알고리즘에 따라 상기 라우터를 경유하는 패킷의 경로를 선택하고, 선택된 경로로 패킷을 전달한다. 스위치(140)는 외부 네트워크(160)로부터 전송되는 패킷을 경로(170)를 이용하여 전달하고 있으며, 스위치(130)는 내부 네트워크(150)로부터 전송되는 패킷을 경로(180)를 이용하여 전달하고 있다. 스위치의 종류, 경로 선택 알고리즘 등에 따라, 동일한 세션에 속하는 패킷들의 전송 경로가 방향성에 따라 상이해지는 비대칭 경로 또는 비대칭 트래픽이 형성될 수 있다. 도 1에서, 경로(170) 및 경로(180)를 이용하여 전달되는 패킷들이 동일한 세션에 속하는 경우, 비대칭 경로가 형성된다. 이와 같이, 장애 회피 및 부하 분산을 위해 고가용성을 이용하여 네트워크를 구성하는 경우, 동일한 세션에 속하는 복수의 패킷이 상이한 보안 장치로 전송될 수 있으며, 이로 인해 세션의 단절이 발생할 수 있다. 이러한 문제점을 해결하기 위해, 보안 장치들은 세션을 생성한 후에, 상호 간에 세션 정보를 공유함으로써, 세션의 단절을 방지하고 있다.
보안 장치들은 세션이 생성되면 그 즉시 동기화를 수행하지만, 보안장치의 부하 상황에 따라 동기화 패킷 송수신에 지연이 발생할 수도 있으며 응답을 주는 서버가 보안 장치와 네트워크 거리상 근접해 있다면 응답 패킷이 아주 빠르게 도착할 수도 있다. 따라서 세션 동기화에 대한 보장이 필요하게 되었다.
이와 관련하여 도 2는 종래의 고가용성 시스템에서 세션을 동기화하기 위한 방법을 도시한다. 도시되는 바와 같이, 종래에는 TCP SYN 패킷(즉, 세션 개시 패킷)을 수신하여, 상기 패킷에 따라 세션을 생성하고, 동기화를 수행한 후에, 바로 TCP SYN 패킷을 목적지 어드레스로 전송하는 것이 아니라, 소정의 시간만큼 지연 전송하였다. 이는 TCP SYN 패킷을 지연 전송함으로써 TCP SYN/ACK 패킷(즉, 후속 응답 패킷)이 유입될 때까지 세션 동기화를 완료하기에 충분한 시간을 확보하기 위한 것으로서, TCP SYN/ACK 패킷이 세션 동기화 후에 유입되도록 하여 세션 비동기 상황이 발생하는 것을 방지할 수 있다.
그러나 이러한 방식은 세션 동기화의 완료와 관련하여, TCP SYN/ACK 패킷의 유입시기를 알 수 없다는 점에서, 일괄적으로 TCP SYN 패킷을 지연 전송해야만 하는데, 현실적으로 세션 동기화 완료 전에 TCP SYN/ACK 패킷이 유입되는 상황이 빈번히 발생하는 것은 아니라는 점에서, 무조건적인 TCP SYN 패킷의 지연 전송은 전체적인 응답 시간의 불필요한 증가를 초래할 수 있다. 또한 부하 분산을 위해 HA 시스템을 구성하더라도 세션 단위로 부하분산을 하는 경우에는 순간적인 세션 비동기 상황이 실질적으로 크게 문제되지 않으므로 이러한 상황에서도 TCP SYN 패킷을 지연 전송하는 것은 비효율적일 수 있다.
따라서 세션 동기화를 보장하면서도 이와 같은 불필요한 응답지연이 발생하지 않도록 하는 기술이 요구된다.
본 발명은 상기 문제점을 해결하기 위한 것으로서, 불필요한 응답 지연의 발생을 최소화하면서도 세션 동기화를 보장할 수 있는 기술을 제공하는 것을 목적으로 한다.
본 발명의 일 실시예에 따라 고가용성 시스템에서 세션을 동기화하기 위한 방법이 개시된다. 상기 방법은 데이터 패킷을 수신하는 단계; 상기 데이터 패킷과 관련되는 세션이 형성되어 있는지를 판단하는 단계; 상기 데이터 패킷과 관련되는 세션이 형성되어 있지 않다고 판단되면, 상기 데이터 패킷의 타입을 식별하는 단계; 상기 데이터 패킷이 TCP SYN/ACK 패킷으로 식별되면, 상기 데이터 패킷을 차단하여 신규 TCP SYN/ACK 패킷을 수신하는 단계; 상기 수신된 신규 TCP SYN/ACK 패킷과 관련되는 세션이 형성되어 있는지를 판단하는 단계; 상기 수신된 신규 TCP SYN/ACK 패킷과 관련되는 세션이 형성되어 있다고 판단되면, 상기 수신된 신규 TCP SYN/ACK 패킷에 기초하여 상기 세션에 관한 세션 정보를 갱신하는 단계; 및 상기 갱신된 세션 정보를 고가용성 시스템을 구성하는 다른 장치에 전송함으로써 세션을 동기화하는 단계를 포함할 수 있다.
본 발명의 일 실시예에 따라 고가용성 시스템에서 세션을 동기화하기 위한 장치가 개시된다. 상기 장치는 상기 고가용성 시스템에 형성된 세션에 관한 세션 정보를 저장 또는 갱신하기 위한 세션정보 데이터베이스; 상기 세션정보 데이터베이스 내의 세션 정보를 상기 고가용성 시스템을 구성하는 다른 장치과 공유하기 위한 고가용성 인터페이스; 데이터 패킷을 수신하기 위한 외부 인터페이스; 상기 세션정보 데이터베이스를 참조하여, 상기 인터페이스에 의해 수신된 상기 데이터 패킷과 관련되는 세션이 형성되어 있는지를 판단하기 위한 세션형성 판단부; 상기 세션형성 판단부의 판단 결과, 상기 데이터 패킷과 관련되는 세션이 형성되어 있지 않으면, 상기 데이터 패킷의 타입을 식별하기 위한 패킷 식별부; 및 상기 패킷 식별부에 의해 상기 데이터 패킷이 TCP SYN/ACK 패킷으로 식별되면, 상기 외부 인터페이스로 하여금 신규 TCP SYN/ACK 패킷을 수신하도록 상기 데이터 패킷을 차단하기 위한 패킷 제어부를 포함할 수 있다.
본 발명은 TCP SYN 패킷의 무조건적인 지연 전송이 아니라, TCP SYN/ACK 패킷으로 세션 동기화 여부를 판단하고 비동기 상황이 발생한 세션에 대해서만 응답 지연이 발생하도록 함으로써, 불필요한 응답 지연의 발생을 최소화하면서도 세션 동기화를 보장할 수 있다.
본 발명의 상세한 설명에서 인용되는 도면을 보다 충분히 이해하기 위하여 각 도면의 간단한 설명이 제공된다.
도 1은 복수의 보안 장치를 운용하는 네트워크 구성의 예시를 도시한다.
도 2는 종래의 고가용성 시스템에서 세션을 동기화하기 위한 방법을 도시한다.
도 3은 본 발명의 일 실시예에 따라 고가용성 시스템에서 세션을 동기화하기 위한 방법을 도시한다.
도 4는 본 발명의 일 실시예에 따라 고가용성 시스템에서 세션을 동기화하기 위한 장치를 도시한다.
본 발명과 본 발명의 동작상의 이점 및 본 발명의 실시에 의하여 달성되는 목적을 충분히 이해하기 위해서는 본 발명의 바람직한 실시예를 예시하는 첨부 도면 및 도면에 기재된 내용을 참조하여야 한다.
본 발명의 실시예들은 당해 기술 분야에서 통상의 지식을 가진 자에게 본 발명을 더욱 완전하게 설명하기 위하여 제공되는 것이며, 아래의 실시예들은 여러 다른 형태로 변형될 수 있으며, 본 발명의 범위가 아래의 실시예들로 한정되는 것은 아니다. 오히려, 이들 실시예는 본 개시를 더욱 충실하고 완전하게 하며 본 발명이 속하는 기술 분야의 통상의 지식을 가진 자에게 본 발명의 사상을 완전하게 전달하기 위하여 제공되는 것이다.
이하, 첨부된 도면을 참조하여 본 발명의 실시예들을 설명함으로써, 본 발명을 상세히 설명하기로 한다.
도 3은 본 발명의 일 실시예에 따라 고가용성 시스템에서 세션을 동기화하기 위한 방법을 도시한다. 상기 방법은 고가용성 시스템을 구성하는 각각의 장치들에 의해 수행될 수 있다.
먼저, 데이터 패킷을 수신할 수 있다(단계(310)). 계속해서, 수신된 데이터 패킷과 관련되는 세션이 형성되어 있는지를 판단할 수 있다(단계(320)). 상기 판단은 예를 들어, 세션 정보가 저장되는 세션정보 데이터베이스를 참조하여, 상기 세션에 관한 세션정보를 검색함으로써 수행될 수 있다.
단계(320)의 판단 결과, 세션이 형성되어 있다면, 상기 세션에 관한 세션 정보를 갱신할 수 있다(단계(380)). 세션이 이미 형성되어 있다면, 이미 세션 동기화가 완료되었음을 의미하므로, 데이터 패킷에 기초하여 상기 세션에 관한 세션 정보를 갱신할 수 있다.
단계(320)로 돌아가서, 단계(320)의 판단 결과, 세션이 형성되어 있지 않으면, 데이터 패킷의 타입을 식별할 수 있다(단계(330)). 상기 식별은 데이터 패킷이 TCP SYN 패킷(즉, 세션 개시 패킷)인지 TCP SYN/ACK 패킷(즉, 후속 응답 패킷)인지 여부를 결정함으로써 수행될 수 있다. 데이터 패킷이 TCP SYN 패킷이라면, 상기 데이터 패킷은 세션 개시를 지시하는 최초의 패킷이므로, 데이터 패킷과 관련되는 세션을 생성하고 동기화를 수행해야 함을 의미하며, 데이터 패킷이 TCP SYN/ACK 패킷인 경우, 데이터 패킷과 관련되는 세션이 아직 형성되지 않았다면, 고가용성 시스템을 구성하는 다른 장치에서 생성된 세션에 대한 동기화가 아직 이루어지지 못하였음을 의미한다.
단계(330)에서 데이터 패킷이 TCP SYN 패킷으로 식별되면, 데이터 패킷과 관련되는 세션이 허용되는지를 판단할 수 있다(단계(340)). 즉, TCP SYN 패킷에 의한 신규 세션의 생성에 앞서, 이러한 세션이 허용되는지 여부를 판단할 수 있다. 상기 판단은 고가용성 시스템의 보안 정책에 기초하여 이루어질 수 있다. 단계(340)에서 세션이 허용되지 않는다고 판단되면, 데이터 패킷을 차단 또는 폐기할 수 있다. 반대로, 단계(340)에서 세션이 허용된다고 판단되면 데이터 패킷과 관련되는 신규 세션을 생성할 수 있다(단계(350)). 상기 생성은 상기 세션에 관한 세션 정보를 생성함으로써 수행될 수 있다.
단계(330)로 돌아가서, 단계(330)에서 데이터 패킷이 TCP SYN/ACK 패킷으로 식별되면, 상기 데이터 패킷을 차단 또는 폐기할 수 있다. 단계(370)를 통해, TCP SYN/ACK 패킷의 전송을 차단하게 되면, TCP SYN/ACK 패킷을 전송한 발신자(예를 들어, 서버 등)는 TCP SYN/ACK 패킷에 대한 응답(즉, TCP ACK 패킷)을 수신하지 못하게 되며, 따라서, 발신자는 TCP 프로토콜의 특성상 TCP SYN/ACK 패킷을 재차 전송하게 된다. 즉, 데이터 패킷이 TCP SYN/ACK 패킷이지만, 상기 데이터 패킷과 관련되는 세션이 아직 형성되지 않았다면, 고가용성 시스템을 구성하는 다른 장치에서 생성된 세션에 대한 동기화가 아직 이루어지지 못하였음을 의미하므로, TCP SYN/ACK 패킷의 재수신을 통해 상기 다른 장치로부터 동기화를 위한 세션 정보를 수신하기에 충분한 시간을 확보할 수 있다.
발신자가 TCP SYN/ACK 패킷을 재전송하면, 단계(310) 내지 단계(280)가 재수행될 수 있다. 즉, 재수신된 TCP SYN/ACK 패킷은 일반적인 패킷의 처리와 동일하다. 구체적으로, TCP SYN/ACK 패킷을 재수신하고(단계(310), 상기 데이터 패킷과 관련되는 세션이 형성되어 있는지를 재판단할 수 있다(단계(320)). 단계(320)의 재판단 결과, 상기 데이터 패킷과 관련되는 세션이 형성되어 있으면, 이는 TCP SYN/ACK 패킷이 재수신되는 소정의 시간 동안, 세션 동기화과 완료되었음을 의미한다. 따라서 이러한 경우, 데이터 패킷을 이용하여 상기 형성된 세션에 관한 세션 정보를 갱신할 수 있다(단계(380)). 그러나 단계(320)의 재판단 결과, 데이터 패킷과 관련되는 세션이 형성되어 있지 않으면, 데이터 패킷을 차단 또는 폐기하여 TCP SYN/ACK 패킷의 재수신을 유도할 수 있다(단계(370))).
계속해서, 단계(350) 및 단계(380)를 통해 생성 또는 갱신된 세션을 동기화할 수 있다(단계(360)). 상기 동기화는 생성 또는 갱신된 세션 정보를 고가용성 시스템을 구성하는 다른 장치들로, 예를 들어, 고가용성 인터페이스(또는 고가용성 링크)를 통해 전송함으로써 수행될 수 있다. 도 3에서는 상기 전송이 세션이 생성 또는 갱신될 때마다 이루어지지는 것으로 도시되어 있으나, 이는 예시적인 것으로서 본 발명이 적용되는 실시예에 따라 다양한 구성이 적용될 있다. 예를 들어, 상기 전송은 소정의 주기로 이루어질 수 있다.
일 실시예에서, 차단되지 않은 데이터 패킷을 목적지 어드레스로 전송할 수 있다(도시되지 않음). 상기 전송은 세션 정보의 생성 또는 갱신과 동시에, 또는 세션 정보의 생성 또는 갱신 전이나 후에 이루어질 수 있다. 본 발명에서는 상기 전송이 세션 정보의 생성 또는 갱신 이후에 이루어지더라도, 데이터 패킷의 의도적인 전송 지연은 수반하지 않는다. 즉, 종래에는 세션 동기화를 보장하기 위해 TCP SYN 패킷을 지연 전송하였으나, 본 발명에서는 TCP SYN 패킷이라 하더라도, 의도적인 지연 없이 전송하고 있으며, 이를 통해 불필요한 응답 지연의 발생을 최소화할 수 있다.
도 4는 본 발명의 일 실시예에 따라 고가용성 시스템에서 세션을 동기화하기 위한 장치를 도시한다. 장치(400)는 고가용성 시스템에 형성된 세션에 관한 세션 정보를 저장 또는 갱신하기 위한 세션정보 데이터베이스(410); 외부와 데이터 패킷을 통신하기 위한 외부 인터페이스(420); 데이터 패킷과 관련되는 세션이 형성되어 있는지를 판단하기 위한 세션형성 판단부(430); 데이터 패킷의 타입을 식별하기 위한 패킷 식별부(440); 데이터 패킷을 큐잉하거나 차단 또는 폐기하기 위한 패킷 제어부(450); 고가용성 시스템을 구성하는 다른 장치와 세션 정보를 공유하기 위한 고가용성 인터페이스(460); 및 데이터 패킷과 관련되는 세션의 생성이 허용되는지를 판단하기 위한 세션허용 판단부(470)를 포함할 수 있다.
먼저, 외부 인터페이스(420)가 데이터 패킷을 수신하면, 세션형성 판단부(430)는 세션정보 데이터베이스(410)를 참조하여, 수신된 데이터 패킷과 관련되는 세션이 형성되어 있는지를 판단할 수 있다. 세션형성 판단부(430)의 판단 결과, 데이터 패킷과 관련되는 세션이 형성되어 있으면, 세션정보 데이터베이스(410)는 상기 데이터 패킷에 기초하여 상기 세션에 관한 세션 정보를 갱신할 수 있다. 반대로, 세션형성 판단부(430)의 판단 결과, 데이터 패킷과 관련되는 세션이 형성되어 있지 않으면, 패킷 식별부(440)는 데이터 패킷의 타입을 식별할 수 있다.
패킷 식별부(440)에 의해 상기 데이터 패킷이 TCP SYN/ACK 패킷으로 식별되면, 패킷 제어부(450)는 상기 데이터 패킷을 차단 또는 폐기함으로써 외부 인터페이스(420)가 신규 TCP SYN/ACK 패킷을 수신하게 할 수 있다. 패킷 제어부(450)의 데이터 패킷 차단에 의해, 외부 인터페이스(420)가 TCP SYN/ACK 패킷을 재차 수신하면, 세션형성 판단부(430)는 세션정보 데이터베이스(410)를 참조하여, TCP SYN/ACK 패킷과 관련되는 세션이 형성되어 있는지를 판단할 수 있다. 세션형성 판단부(430)의 판단 결과, 데이터 패킷과 관련되는 세션이 형성되어 있으면, 세션정보 데이터베이스(410)는 데이터 패킷에 기초하여 상기 세션에 관한 세션 정보를 갱신할 수 있다. 그러나 세션형성 판단부(430)의 재판단 결과, 데이터 패킷과 관련되는 세션이 형성되어 있지 않으면, 패킷 제어부(450)는 데이터 패킷을 차단 또는 폐기할 수 있다.
패킷 식별부(440)에 의해 상기 데이터 패킷이 TCP SYN 패킷으로 식별되면, 세션허용 판단부(470)는 데이터 패킷과 관련되는 세션이 허용되는지를 판단할 수 있다. 세션이 허용된다고 판단되면, 세션정보 데이터베이스(410)는 상기 세션에 관한 세션 정보를 생성할 수 있다. 반대로, 세션허용 판단부(470)에 의해 상기 세션이 허용되지 않는다고 결정되면, 패킷 제어부(450)는 데이터 패킷을 차단 또는 폐기할 수 있다.
고가용성 인터페이스(460)는 세션정보 데이터베이스(410) 내의 생성 또는 갱신된 세션을 동기화할 수 있다. 상기 동기화는 생성 또는 갱신된 세션 정보를 고가용성 시스템을 구성하는 다른 장치들로, 예를 들어, 고가용성 인터페이스(460)(또는 고가용성 링크)를 통해 전송함으로써 수행될 수 있다. 상기 전송은 세션이 생성 또는 갱신될 때마다 이루어지거나, 소정의 주기로 이루어질 수 있다. 이러한 동기화의 구성은 예시적인 것으로서 본 발명이 적용되는 실시예에 따라 다양한 구성이 적용될 있다.
외부 인터페이스(420)는 패킷 제어부(450)에 의해 차단되지 않은 데이터 패킷을 목적지 어드레스로 전송할 수 있다. 상기 전송은 세션 정보의 생성 또는 갱신과 동시에, 또는 세션 정보의 생성 또는 갱신 전이나 후에 이루어질 수 있다. 상기 전송이 세션 정보의 생성 또는 갱신 이후에 이루어지더라도, 데이터 패킷(특히, TCP SYN 패킷)의 의도적인 전송 지연은 수반하지 않는다.
본 발명은 세션 동기화를 보장하기 위해 무조건적으로 TCP SYN 패킷을 지연 전송함으로써 전체적인 응답 시간을 불필요하게 증가시켰던 종래 기술과 달리, 비동기 상황이 발생한 세션에 대해서만 응답 지연이 발생하도록 하여, 세션 동기화를 보장하면서도 응답 시간의 지연을 최소화할 수 있다. 구체적으로, 본 발명은 TCP SYN 패킷을 지연 전송하지 않으며, 대신에 TCP SYN 패킷의 응답 패킷인 TCP SYN/ACK 패킷이 도착 했을 때 세션 비동기 여부를 확인하고, 세션 동기화가 완료되지 않은 경우에 TCP SYN/ACK 패킷을 차단하여, TCP SYN/ACK 패킷이 재전송되게 함으로써, 세션 동기화를 완료하기 위한 시간을 확보할 수 있다. 즉, 본 발명은 비동기 상황이 발생한 세션에 대해서만 응답 지연이 발생하도록 함으로써, 불필요한 응답 지연의 발생을 최소화하면서도 세션 동기화를 보장할 수 있다.
이상에서와 같이 도면과 명세서에서 최적 실시 예가 개시되었다. 여기서 특정한 용어들이 사용되었으나, 이는 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의미한정이나 특허청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것은 아니다. 그러므로 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시 예가 가능하다는 점을 이해할 것이다. 따라서 본 발명의 진정한 기술적 보호범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.

Claims (10)

  1. 고가용성 시스템에서 세션을 동기화하기 위한 방법으로서,
    데이터 패킷을 수신하는 단계;
    상기 데이터 패킷과 관련되는 세션이 형성되어 있는지를 판단하는 단계;
    상기 데이터 패킷과 관련되는 세션이 형성되어 있지 않다고 판단되면, 상기 데이터 패킷의 타입을 식별하는 단계;
    상기 데이터 패킷이 TCP SYN/ACK 패킷으로 식별되면, 상기 데이터 패킷을 차단하여 신규 TCP SYN/ACK 패킷을 수신하는 단계;
    상기 수신된 신규 TCP SYN/ACK 패킷과 관련되는 세션이 형성되어 있는지를 판단하는 단계;
    상기 수신된 신규 TCP SYN/ACK 패킷과 관련되는 세션이 형성되어 있다고 판단되면, 상기 수신된 신규 TCP SYN/ACK 패킷에 기초하여 상기 세션에 관한 세션 정보를 갱신하는 단계; 및
    상기 갱신된 세션 정보를 고가용성 시스템을 구성하는 다른 장치에 전송함으로써 세션을 동기화하는 단계
    를 포함하는, 세션을 동기화하기 위한 방법.
  2. 제 1 항에 있어서,
    상기 데이터 패킷과 관련되는 세션이 형성되어 있다고 판단되면, 상기 데이터 패킷에 기초하여 상기 세션에 관한 세션 정보를 갱신하는 단계; 및
    상기 갱신된 세션 정보를 상기 다른 장치에 전송함으로써 세션을 동기화하는 단계를 더 포함하는,
    세션을 동기화하기 위한 방법.
  3. 제 1 항에 있어서,
    상기 수신된 신규 TCP SYN/ACK 패킷과 관련되는 세션이 형성되어 있지 않다고 판단되면, 상기 데이터 패킷을 차단하는 단계를 더 포함하는,
    세션을 동기화하기 위한 방법.
  4. 제 1 항에 있어서,
    상기 데이터 패킷이 TCP SYN 패킷으로 식별되면, 상기 데이터 패킷과 관련되는 세션이 허용되는지를 결정하는 단계;
    상기 세션이 허용된다고 결정되면, 상기 세션에 관한 세션 정보를 생성하는 단계; 및
    상기 생성된 세션 정보를 상기 다른 장치에 전송함으로써 세션을 동기화하는 단계를 더 포함하는,
    세션을 동기화하기 위한 방법.
  5. 제 4 항에 있어서,
    상기 세션이 허용되지 않는다고 결정되면, 상기 데이터 패킷을 차단하는 단계를 더 포함하는,
    세션을 동기화하기 위한 방법.
  6. 고가용성 시스템에서 세션을 동기화하기 위한 장치로서,
    상기 고가용성 시스템에 형성된 세션에 관한 세션 정보를 저장 또는 갱신하기 위한 세션정보 데이터베이스;
    상기 세션정보 데이터베이스 내의 세션 정보를 상기 고가용성 시스템을 구성하는 다른 장치과 공유하기 위한 고가용성 인터페이스;
    데이터 패킷을 수신하기 위한 외부 인터페이스;
    상기 세션정보 데이터베이스를 참조하여, 상기 인터페이스에 의해 수신된 상기 데이터 패킷과 관련되는 세션이 형성되어 있는지를 판단하기 위한 세션형성 판단부;
    상기 세션형성 판단부의 판단 결과, 상기 데이터 패킷과 관련되는 세션이 형성되어 있지 않으면, 상기 데이터 패킷의 타입을 식별하기 위한 패킷 식별부; 및
    상기 패킷 식별부에 의해 상기 데이터 패킷이 TCP SYN/ACK 패킷으로 식별되면, 상기 외부 인터페이스로 하여금 신규 TCP SYN/ACK 패킷을 수신하도록 상기 데이터 패킷을 차단하기 위한 패킷 제어부
    를 포함하는, 세션을 동기화하기 위한 장치.
  7. 제 6 항에 있어서,
    상기 세션형성 판단부가 상기 데이터 패킷과 관련되는 세션이 형성되어 있다고 판단하면, 상기 세션정보 데이터베이스는 상기 데이터 패킷에 기초하여 상기 세션에 관한 세션 정보를 갱신하고,
    상기 고가용성 인터페이스는 상기 세션정보 데이터베이스 내의 상기 갱신된 세션 정보를 상기 다른 장치에 전송함으로써 세션을 동기화하는,
    세션을 동기화하기 위한 장치.
  8. 제 6 항에 있어서,
    상기 세션형성 판단부가 상기 외부 인터페이스에 의해 상기 수신된 신규 TCP SYN/ACK 패킷과 관련되는 세션이 형성되어 있지 않다고 판단하면, 상기 패킷 제어부는 상기 데이터 패킷을 차단하는,
    세션을 동기화하기 위한 장치.
  9. 제 6 항에 있어서,
    상기 패킷 식별부에 의해 상기 데이터 패킷이 TCP SYN 패킷으로 식별되면, 상기 데이터 패킷과 관련되는 세션이 허용되는지를 결정하기 위한 세션허용 판단부를 더 포함하고,
    상기 세션허용 판단부에 의해 상기 세션이 허용된다고 결정되면, 상기 세션정보 데이터베이스는 상기 세션에 관한 세션 정보를 생성하며,
    상기 고가용성 인터페이스는 상기 생성된 세션 정보를 상기 다른 장치에 전송함으로써 세션을 동기화하는,
    세션을 동기화하기 위한 장치.
  10. 제 9 항에 있어서,
    상기 세션허용 판단부에 의해 상기 세션이 허용되지 않는다고 결정되면, 상기 패킷 제어부는 상기 데이터 패킷을 차단하는,
    세션을 동기화하기 위한 장치.
KR1020120104158A 2012-09-19 2012-09-19 고가용성 시스템에서 세션을 동기화하기 위한 방법 및 장치 KR101316903B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020120104158A KR101316903B1 (ko) 2012-09-19 2012-09-19 고가용성 시스템에서 세션을 동기화하기 위한 방법 및 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120104158A KR101316903B1 (ko) 2012-09-19 2012-09-19 고가용성 시스템에서 세션을 동기화하기 위한 방법 및 장치

Publications (1)

Publication Number Publication Date
KR101316903B1 true KR101316903B1 (ko) 2013-10-11

Family

ID=49638148

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120104158A KR101316903B1 (ko) 2012-09-19 2012-09-19 고가용성 시스템에서 세션을 동기화하기 위한 방법 및 장치

Country Status (1)

Country Link
KR (1) KR101316903B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101491692B1 (ko) 2013-12-23 2015-02-11 주식회사 시큐아이 멀티 세션을 관리하는 보안 장치 및 그것의 동작 방법

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040041677A (ko) * 2001-10-09 2004-05-17 노키아 코포레이션 서버로부터의 요청 메시지가 최대 크기를 가지는 경우에동기 시스템에서 서버 개시 동기화를 이루는 방법
KR20070116806A (ko) * 2005-03-04 2007-12-11 휴렛-팩커드 디벨롭먼트 컴퍼니, 엘 피 전송 제어 장치 및 그 방법
KR101027725B1 (ko) 2009-12-29 2011-04-12 주식회사 피앤피시큐어 가용성 보장을 위한 프록시 기반의 보안시스템

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040041677A (ko) * 2001-10-09 2004-05-17 노키아 코포레이션 서버로부터의 요청 메시지가 최대 크기를 가지는 경우에동기 시스템에서 서버 개시 동기화를 이루는 방법
KR20070116806A (ko) * 2005-03-04 2007-12-11 휴렛-팩커드 디벨롭먼트 컴퍼니, 엘 피 전송 제어 장치 및 그 방법
KR101027725B1 (ko) 2009-12-29 2011-04-12 주식회사 피앤피시큐어 가용성 보장을 위한 프록시 기반의 보안시스템

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101491692B1 (ko) 2013-12-23 2015-02-11 주식회사 시큐아이 멀티 세션을 관리하는 보안 장치 및 그것의 동작 방법

Similar Documents

Publication Publication Date Title
EP3635939B1 (en) Seamless mobility and session continuity with tcp mobility option
US7515525B2 (en) Cooperative TCP / BGP window management for stateful switchover
US6072797A (en) Methods, apparatus and computer program products for aggregated transmission groups in high speed networks
US8732832B2 (en) Routing apparatus and method for detecting server attack and network using the same
US11729185B2 (en) Transparent bridge for monitoring crypto-partitioned wide-area network
US20140108668A1 (en) Secured wireless session initiate framework
US11677614B2 (en) Method and apparatus for protecting stateful service function paths
US7539191B1 (en) System and method for securing route processors against attack
CN107277058B (zh) 一种基于bfd协议的接口认证方法及系统
US20190014081A1 (en) Apparatus for supporting communication between separate networks and method for the same
US8782286B2 (en) Optimizing state sharing between firewalls on multi-homed networks
US20130305347A1 (en) Methods, Systems, and Computer Readable Media for Adaptive Assignment of an Active Security Association Instance in a Redundant Gateway Configuration
KR101316903B1 (ko) 고가용성 시스템에서 세션을 동기화하기 위한 방법 및 장치
WO2018098630A1 (zh) 一种x2业务传输方法及网络设备
WO2016184012A1 (zh) 一种优先收发hello报文的方法及路由设备
US9614720B2 (en) Notification technique for network reconfiguration
JP2007081678A (ja) データ中継装置及びデータ中継方法
US20160255659A1 (en) Communication apparatus, and layer 2 state control method
US11374856B1 (en) System and method for performing synchronization of maximum transmission unit with router redundancy
KR101342977B1 (ko) 고가용성 시스템에서 세션을 동기화하기 위한 방법 및 장치
Steiner Candidate security solutions for ttethernet
US20140293827A1 (en) Method And Apparatus For Peer Node Synchronization
KR101914831B1 (ko) 호스트 추적 서비스에 대한 공격을 방지할 수 있는 소프트웨어 정의 네트워크 및 이에 포함되는 컨트롤러
KR101242765B1 (ko) 비대칭 트래픽을 처리하기 위한 보안 장치 및 방법
KR102185588B1 (ko) Sdn 네트워크의 tcp 세션 생성 방법 및 그 방법이 적용된 sdn 네트워크

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20161005

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20170927

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20181002

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20191001

Year of fee payment: 7