KR20000076507A - 접속 필터의 동적인 배치 방법, 시스템 및 프로그램 저장디바이스와 제조품 - Google Patents

접속 필터의 동적인 배치 방법, 시스템 및 프로그램 저장디바이스와 제조품 Download PDF

Info

Publication number
KR20000076507A
KR20000076507A KR1020000002985A KR20000002985A KR20000076507A KR 20000076507 A KR20000076507 A KR 20000076507A KR 1020000002985 A KR1020000002985 A KR 1020000002985A KR 20000002985 A KR20000002985 A KR 20000002985A KR 20000076507 A KR20000076507 A KR 20000076507A
Authority
KR
South Korea
Prior art keywords
filter
connection
policy
matching
filters
Prior art date
Application number
KR1020000002985A
Other languages
English (en)
Other versions
KR100523705B1 (ko
Inventor
보덴에드워드비
멜빌마크제이
Original Assignee
포만 제프리 엘
인터내셔널 비지네스 머신즈 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 포만 제프리 엘, 인터내셔널 비지네스 머신즈 코포레이션 filed Critical 포만 제프리 엘
Publication of KR20000076507A publication Critical patent/KR20000076507A/ko
Application granted granted Critical
Publication of KR100523705B1 publication Critical patent/KR100523705B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10TECHNICAL SUBJECTS COVERED BY FORMER USPC
    • Y10STECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10S707/00Data processing: database and file management or data structures
    • Y10S707/99931Database or file accessing
    • Y10S707/99939Privileged access

Abstract

가상 전용망(Virtual Private Networking:VPN)은 인터넷 상에서 e-비지니스를 가능하게 하는 부상 중인 기술 분야이다. VPN 기술의 중심은 IP 보안(IPsec)이고, 이는 공용(인터넷) 네트워크 상으로 전용(암호화되고 인증된) 보안 데이터 전송을 제공하는 방식이다. 궁극적으로 어떠한 데이터를 보호할 것인가에 대한 정의는 운영체제 커널로 로딩되는 IP 필터 규칙(IP filter rules)으로 귀결된다. 이것들은 정확한 IP 데이터그램(datagrams)을 선택하는데 사용되고 각각이 정확한 IPses 보안 협회(IPses Security Association)에 의해 처리되게 한다. 다른 속성에 따라서, VPN 접속은 개시되고, 중지되고, 감시될 수 있다. VPN 접속 구현에 사용되는 접속 필터는 동적이므로, (비VPN과 관련된)현재 설치된 IP 필터 세트내에서 삽입되고 삭제 되어야만 한다. IP 필터 순서는 적절한 작동을 수행하는데 있어 매우 중요하기 때문에, 기본적인 문제는 이러한 동적 필터(dynamic filters)를 어디에 배치하느냐 이다. 필터 배치 문제는 매크로(macro) 및 마이크로(micro) 부분을 갖는다. 매크로 필터 배치 문제는 이미 해결되었고, VPN 접속이 전혀 활성화되어 있지 않더라도 데이터를 보호하기 위한 고객 정책은 시행되고 있다.

Description

접속 필터의 동적인 배치 방법, 시스템 및 프로그램 저장 디바이스와 제조품{SYSTEM AND METHOD FOR DYNAMIC MACRO PLACEMENT OF IP CONNECTION FILTERS}
본 발명은 E-비지니스(E-business)를 가능하게 하는데 있어 근간이 되는 가상 전용망(virtual private network: VPN)의 구현에 관한 것이다. 특히, 이것은 VPN 정책 필터(VPN policy filters)의 사용을 통해 IP 데이터그램(datagram) 레벨에서 IP 보안, 즉 데이터 암호화 및 인증을 제공하는 것에 관한 것이다.
가상 전용망(VPN)은 전자 비지니스를 가능하게 하는 기본적 요소이다. VPN 기술이 구축되면, IP 보안은 TCP/IP의 IP 데이터그램 레벨에서 데이터 암호화 및 인증을 제공한다.
보안 정책 데이터베이스(security policy datebase:SPD)는 논리적으로 다양한 보안 협회(security associations: SAs)를 위한 IP 트래픽을 선택하는 방법을 규정하는 규칙의 집합이다. "SAs"는 SA 데이터베이스(SAD)라 명명된 곳에 저장되어 있다. 논리적으로, SPD는 트래픽을 특정한 SA로 매핑한다. 이러한 것은 필터 규칙으로 구현된다. SPD는 최근에 제안된 표준으로서 IETF에 의해 승인된 IPsec 제조(RFC 2401)에서의 용어 및 개념이다.
종래 기술에서, 사용자는 자기 손으로 필터 규칙 리스트를 만들었고, 일단 집합이 정의되면, 이는 순서화 된 리스트이며, 하나의 집합으로서 로드된다. 일단 로드되면, 이 집합은 변경될 수 없다. 이러한 규칙 집합은 로드된 집합을 제거하고 이를 대체함으로써 변경될 수 있다. 지금까지는 그 집합내의 개별 필터 규칙을 로드하는 것이 허용되지 않았다. 그러므로, 본 발명의 목적은 기존 필터 규칙의 집합 내에서 개별 필터 규칙의 동적 배치(dynamic placement)에 관한 것이다. "배치 문제(placement problem)"는 차례대로 해결되야 하는 두가지 측면을 갖는다. 첫 번째는 '매크로(macro)" 배치 문제로 불리우는데, 이는 모든 시스템 필터 규칙으로 이루어진 그 집합내에서 필터 규칙의 거시적인 배치를 다루기 때문이다.
일정하고, 예측 가능한 프로세싱을 보장하여야 한다는 현재의 요구 조건에 따라, SPD 엔트리는 제 1 매칭 엔트리가 일관되게 선택되도록 순서화되어야 하고, 항상 동일한 순서에서 탐색되야 한다. 이 요구조건은 SPD 엔트리에 대한 처리 트래픽의 영향이 결정적이기 때문에 필수적이나, 현재 SPD 엔트리를 동적으로 순서화하거나 구조화할 방법은 없다. 이러한 물리적 배열의 문제 외에도, 동적으로 개시하고 중지하는 다양한 VPN 접속이 어떻게 서로 관련되고 기존의 필터 규칙과 관련되어야 하는지에 관한 중요한 문제가 있다.
만약 모든 SPD 엔트리가 순전히 정적이라면, 해결방안은 사용자에게 어떤 적당한 형태로 SPD 엔트리 리스트를 제공하고, 사용자가 이를 순서화한 다음, 그 새로운 순서화된 리스트를 재로드(re-road)하는 것이다. 관심을 끌지 못하는 기계적인 부분과 별도로, 이것이 갖고 있는 문제점은 SPD 엔트리가 정적이지 않다는데 있다. 개시자 모드 접속 및 응답자 모드 접속은 모두 동적으로 새로운 접속 필터를 로드할 것을 요구한다. 따라서 사용자가 이러한 필터를 동적으로 순서화할 것을 기대하는 것은 비실용적이다. 또 다른 접근 방안은 사용자가 국부적(자동-개시 또는 예정된 개시)으로 개시된 접속을 위해 우선순위 순서를 명시하는 것이다. 이와 관련된 문제점은 이미 복잡한 VPN 구성 처리에 또 다른 복잡도 레벨을 추가하여, 부가적인 구성 복잡도 없이는, 그리고 응답자 모드 접속상에 불필요한 제한을 가하지 않고서는 응답자 모드 접속에 대해서 동작하지 않는다는 것이다.
IP 필터 규칙은 사용자에 의해 주어진 순서에서 하향식으로 처리된다. IP보안은 새로운 복잡도 레벨을 도입하게 되는데 이는 IP 보안 접속이 동적이므로, 필터 규칙이 현재로서는 시스템에 의해 동적으로 올바른 위치에 배치되어야 하기 때문이다. 이들 필터 규칙은 또한 동적으로 제거되어야 한다. IP 보안(IPsec) 구조(RFC2401)는 실제로 배치 문제를 규정하지 못했고 심지어 배치 문제에 대한 해결 방안도 제안하지도 않았다. 따라서 각각의 IP 보안 접속에 대한 필터 규칙을 고객이 순서화할 필요 없이 이 IP 보안 정책이 되는 방법에 대한 직접적이고 간편한 제어를 사용자에게 제공하는 시스템 및 방법이 본 기술 분야에 필요하다.
본 발명의 목적은 필터 규칙의 집합을 관리하기 위한 개선된 시스템 및 방법을 제공하는 데 있다.
본 발명의 또 다른 목적은 기존의 필터 집합에서 개별 접속 필터를 동적으로 로딩하기 위한 시스템 및 방법을 제공하는 데 있다.
본 발명의 또 다른 목적은 개시된 접속이 없을 때에 사용자의 보안 정책을 시행하기 위한 시스템 및 방법을 제공하는 데 있다. 본 발명의 또 다른 목적은 접속 필터의 매크로 배치에 대한 해결책을 제공하는데 있다.
도 1은 두개의 VPN 정책을 포함하는 기존 필터 집합을 설명한다.
도면의 주요 부분에 대한 부호의 설명
30: 앵커 필터 48:접속 필터 42: 데이터그램
본 발명에 따르면, 필터 집합내에서 정책 필터의 순서를 수동으로 명시하고, 그 이후에 그 필터 집합내에서 VPN 접속 필터를 동적으로 배치함으로써, IP 보안 정책을 구현하는 시스템 및 방법을 제공한다.
본 발명의 다른 특성 및 장점들은 도면과 결부된 다음 본 발명의 바람직한 실시예의 상세한 설명으로부터 보다 명백히 알 수 있다.
가상 전용망(VPN)은 IBM AS/400에서 전달되는 인터넷 상에서 e-비지니스를 가능하게 하는 떠오르는 기술 분야이다. VPN 기술의 기본을 이루는 핵심은 공용 네트워크(인터넷) 상으로 전용(암호화 및 인증된) 보안 데이터 전송을 제공하는 수단인 IP 보안(IPsec)에 있다. IPsec는 인터넷 엔지니어링 태스크 포스(Internet Engineering Task Force:IETF) 표준-트랙 프로토콜이다(RFC 2401, IP 보안 구조(IP Security Architecture를 참조할 것). VPN 활용의 기본은 고객이 명시한 데이터의 보호정책(customer-specified data protection policy)이다. IBM AS/400상의 본 발명의 바람직한 실시예의 경우, 이 VPN 정책 데이터베이스는 보호할 네트워크 데이터 종류 및, 고객이 이들 데이터가 어떻게 보호받기를 원하는지에 관한 세부 내용을 규정한다.
어떠한 데이터를 보호할 것인가에 관한 정의는 결국 IBM OS/400 커넬로 로드되는 IP 필터 규칙으로 귀결된다. 이들은 올바른 IP 데이터그램(IP datagram)을 선택하기 위해 사용되고, 각각이 올바른 IPsecs 보안 협회(IPses Security Association:SAs, RFC 2401를 참조할 것)에 의해 처리되게 한다. AS/400상의 VPN은 VPN 접속의 중요한 개념을 제공하는데, 이는 이전에 정의된 VPN 정책을 운영상 능동적으로 사용하는 것이다. 다른 속성들에 따르면, VPN 접속은 개시, 중지 및 감시할 수 있다(AS/400 오퍼레이션 네비게이터 GUI를 통하여). 따라서, VPN 접속을 구현하기 위해 사용되는 접속 필터는 동적이다. 이들은 (비VPN과 관련된) 현재 설치된 IP 필터 집합내에서 삽입 및 삭제되어야 한다. IP 필터 순서는 적절한 기능을 수행하는데 있어 매우 중요하므로, 기본적인 문제는 이러한 동적 필터를 어디에다 배치할 것인가 하는 것이다. 필터 배치 문제는 매크로(macro) 및 마이크로(micro) 부분을 갖는다. 본 발명에 따르면, (a) 매크로 필터 배치 문제가 해결되고(역할에 있어서, 이 정책 필터는 종종 앵커 필터(anchor filter)라 불린다), (b) 데이터를 보호하기 위한 고객 정책은 VPN 접속이 활성화되지 않더라도(역할에 있어서, 이 정책 필터는 정책 필터라 부른다.) 시행된다. 마이크로 배치 문제는 양수인 문서번호 EN999004인 계류 중인 특허출원에서 해결된다.
위에서 논의된 접속 필터 배치 목적은 매크로와 마이크로 두 가지 배치 목적으로 보여질 것이다. 매크로 목적은 시스템 상에 있는 모든 필터로 이루어진 집합 내에서 접속 필터를 동적으로 배치하는데 있다.
종래 기술에서, 사용자는 손으로 그들의 필터 규칙 리스트를 작성하였고, 일단 집합이 규정되면 그것은 순서화된 리스트가 되고 하나의 집합으로서 로드된다. 일단 로드되면, 이 집합은 변경될 수 없다. 이 규칙 집합은 로드된 집합을 삭제하고 그것을 대체함으로써 변경된다. 지금까지는 집합내에서 개별 필터 규칙을 로드하는 것이 허용되지 않았다. 그러므로, 매크로 목적은 기존 집합내에서 개별 필터 규칙의 동적 배치에 관한 것이고, 정책 필터 또는 앵커 필터로서 언급된 특수한 필터의 사용을 통해 본 발명의 바람직한 실시예에 따라서 달성될 수 있다. 앵커 필터는 특정 데이터 보호 정책이 실시될 큰 필터 집합에서 위치를 표시하는데 사용되는 필터이다. 전체 집합을 대체하는 것과 구별되는 바와 같이 기존의 필터 규칙 집합에 새로운 필터 규칙(또한 SPD 엔트리로서 언급된)을 추가할 때, 문제는 그것을 어디에다 배치하느냐, 다른 엔트리에 대하여 어디에 배치하느냐는 것이다. 이것은 필터 규칙이 논리적으로 하향식으로(top-to-bottom) 처리되고, 특정한 IP 패킷이 둘 이상의 규칙으로 쉽게 매칭될 수 있으므로 중요하다. 이것은 각각의 접속 필터 규칙이 나타내는 것이 무엇인가하는 보안 정책 결정의 내용에서 보다 중요하다.
도 1을 참조하면, 본 발명의 방법에 대한 바람직한 실시예에 따르면, IPsec 사용자는 집합(20)내에 앵커 집합(30)을 포함하는 필터 규칙(22-36)의 집합(20)을 정의하는데, 이 앵커 필터(30)는 또한 정책 필터로서 알려져 있다. 이 집합(20)은 고객에 의해 정의된 대로, 하나의 집합으로서 로드된다. 본 발명의 바람직한 실시예에 따르면, VPN 접속(38,40)은(또한 IPsec 접속으로도 불리는) 다음과 같은 로드된 필터 규칙 집합(20)(기존에 존재하는) 내에서 동적으로 배치된다. 어떤 VPN 접속을 통해 보호되야 하는 IP 트래픽(IP traffic)이 비 보호 상태로 방치되지 않도록 하기 위하여, 접속 필터(38)와 연관된 이름(81)이 필터 집합(20)을 통하여 순서대로 검사된다. 만약 매칭되는 정책 필터가 발견되지 않는다면(이런 경우에, 그것이 발견되지 않는다면), VPN 접속(38)은 로딩하는데 실패할 것이다. 만약, 접속 필터(40)의 경우에서와 같이 매칭되는 앵커 필터(30)가 발견되면, VPN 접속 필터(40)는 이 앵커 필터(30) 바로 전에 규칙 리스트(20)에 삽입된다. 따라서 매크로 배치의 목적은 이 접속 필터(40)를 집합(20)내에 적당한 장소에 배치함으로써 성취된다.
필터 리스트(20)를 통하여 데이터그램(42, 44 또는 46)을 처리함에 있어서 만약 IP 데이터그램(46)이 이 접속 필터(40)에 매치된다면, 그 때 이 접속 필터(40)는 데이터그램이 이 접속(40)에 대한 IPsec 안전 협회(SA)에 따라 다루어지도록 할 것이다. 필터 리스트를 통하여 데이터그램(44)을 처리하는데 있어서, 만약 정책 필터(34)에 도달되면 그때 데이터그램(44)에 대한 집합(20)에는 어떠한 접속 필터가 없어서 데이터그램(44)은 거절된다. 유사하게, 만약 이 데이터그램(42)의 이름(83)과 매칭되는 셀렉터(selector)를 갖는 어떠한 필터도 집합(20)에서 발견되지 않는다면 데이터그램(42)은 거절된다. 각각의 정책과 접속은 IPsec 구조, 소스 IP 주소, 목적지 IP 주소, 소스 포트, 목적지 포트 그리고 프로토콜에 의해 규정된 셀렉터(5)를 갖는다. 이러한 것들은 IP 데이터그램 내의 필드이다. 따라서 필터 규칙에서 규정된 값이 IP 데이터그램에서의 값과 매치될 때 이 필터는 데이터그램과 "매치"된다고 말해진다. 이러한 셀렉터를 위해 허용된 값은 RFC2401에서 규정되고, IP 주소는 단일 IP 주소, 범위, IP 주소와 서브넷 마스크(subnet mask)일 것이고, 포트와 프로토콜은 오직 단일 값일 것이다. 임의의 셀렉터는 또한 명시되지 않을 수 있다.(임의의 값이라도 허용됨을 의미하는 것으로 코딩되어 있다.).
데이터그램은 어떠한 접속 이름도 가지고 있지 않다. 필터는 IP 데이터그램안에서 데이터 필드를 위한 필터에서 '셀렉터'에 기초한 데이터그램을 매칭한다.
지금까지 사용된 '정책 필터'와 '앵커 필터'란 용어는 동일한 특수한 필터(30, 34)를 지칭한다. '정책 필터'는 트래픽을 막고 사용자의 보안 정책을 시행하기 위한 특수한 필터의 사용에 관한 것이다. '앵커'란 용어는 매크로 배치 목적을 달성하기 위해 이 같은 특수 필터의 사용에 관한 것이다.
마이크로의 목적은 이러한 정책 필터(30)에 관한 다수의 접속 필터(40,48)에 관한 것이다. 마이크로의 목적은 정책 필터(30)를 매치하는 새로운 접속 필터(48)가 동일한 정책 필터(30)를 매칭하는 다수의 접속 필터(40,48)를 포함하는 서브집합 내에서 적절한 순서로 배치될 것을 요구한다. 마이크로의 목적은 양수인 문서 번호 EN999004인 계류 중인 특허 출원 내에 개시된 필터 충돌 검출 발명의 바람직한 실시예에 따라서 달성된다.
정의에 의하면 처음에는 필터 규칙의 집합(29)에 어떠한 접속 필터도 없다. 이 구조에 있어 중요한 점은 정책들이 전체 접속 그룹에 대해 규정된다는 것이다. 동적으로 삽입되고 삭제되는 필터들(38,40,48)은 접속 필터이고, 매크로 목적에 따르면 그러한 접속 필터는 필터 규칙 집합의 초기 로딩 후 매칭되는 앵커 필터(30) 바로 전에 삽입된다. 각각이 소정의 앵커 필터(30)와 매칭하는 다수의 접속 필터(40, 48)가 순차적으로 처리될 때 이러한 매칭되는 접속 필터를 순서화하는 것은 필수적이다. 이것이 마이크로의 목적이고, 이것은 사용자가 이 배치에 관하여 결정할 것을 요구함으로써 달성된다. 이것은 매우 매력 없는 해결 방안이고, 사용자의 작업만을 증가시킨다.
다시 도 1을 참조하여, 본 발명의 바람직한 실시예에 따르면, 사용자가 단지 정책 필터(30,34)의 순서를 명시하기만 하면 되는 시스템 및 방법이 제공된다. 이어서, 시스템이 생성한 접속 필터(40,48)는 적절한 정책 필터(30,34)에 대하여, 모든 IP 필터로 이루어진 리스트(20)내에 자동적으로 배치된다. 이러한 방식으로, 사용자에게는 예를 들면, IBM AS/400 시스템 상의 가상 전용망(VPN)을 구성할 때의 간단하고 분명한 방식이 제공된다.
IKE(이전에는 ISAKMP) 모듈은 주어진 정책에 요구되는 요청된 보안 협회(SAs)를 결정하고, 생성하고 관리하는 책임을 지고 있다. 정책은 사용자의 특정 보안 정책을 지원하는, 사용자가 규정한 필터 규칙 및 터널 기술(description)의 집합이다. 정책 필터(30)는 시퀀스(sequence) 번호 영(0)을 갖는 접속 이름(75)에 의해 특징지워진다. 반면에 접속 필터(40)는 시퀀스 번호 영을 갖지 않는 접속 이름(82)을 갖는다. 터널(접속을 위한 동의어)은 한 쌍의 보호 슈트(suites)(한방향은 입력, 한방향은 출력)에 의해 규정된 쌍방향의 패스(path)이다. 정책과 필터 규칙은 패킷의 터널을 선택한다. 보호 슈트는 노드(node)에 의해 패킷에 적용된 보안 서비스들의 단일 유닛이다. 대개 보호 슈트는 단일의 보안 협회(SA)을 패킷에 적용함으로써, 구현된다. 보안 협회(SA)는 두 개의 노드사이의 트래픽을 보호하는데 필요한 서비스와 메카니즘을 규정하는 파라미터 들의 특정한 단 방향 보안 프로토콜이다. 본 발명의 특정한 실시예에서 노드는 TCP/IP 프로토콜 슈트를 구현하는 임의의 시스템이다.
IKE는 페이즈(phase)라 불려지는 두 단계로 암호화와 인증을 위한 IPsec를 위해 사용되는 키를 결정한다. 페이즈 1(IKE 프로토콜의 서브집합)은 서로 인증하고, 페이즈를 행하는 방법(페이즈 2 동안 반송하고 발송하는 데이터를 보호하는 방법)에 관해 협의하기 위해 IKE 쌍에 의해 사용된다. 페이즈 2 자체는 실질적으로 새로운 IPsec 키(key)를 발생시키고 상호 교환하는데 사용된다.
양수인 문서 번호 EN999001과 EN999004인 계류중인 특허 출원내에 더욱 기술된 바와 같이 접속 정의 이름과 접속 이름은 전체 가상 전용망(VPN) 해결책을 통해 활용되는 직접적이고도 중요한 구조적 관계를 갖는다. 접속 정의 이름은 본 발명의 바람직한 실시예에 GUI(OpNav GUI)를 통해, 사용자에 의해 공급된다. 접속 이름은 접속 관리자에 의해서만 발생되고, [접속 정의 이름+ 분리자+ 접속 시퀀스]로 이루어져 있다. 접속 시퀀스는 그 뒤에 숫자가 이어지는 R 혹은 L로 시작한다. "R"은 원격적으로 정의된 고객 ID를 의미하고, "L"은 국부적으로 정의된 ID를 의미하며, 이들은 사용자 고객 쌍을 이루며, 여기서 고객 쌍은 IPsec 접속의 고객들의 IP 주소들의 한 쌍이다. "R" 시퀀스 번호는 고유성을 보장하는 접속 관리자에 의해 발생된다. L 시퀀스 번호는 사용자 고객 한 쌍이 접속 정의와 함께 VPN 정책 데이터베이스내에서 규정되고, 고유성이 보장 되는때, OpNav GUI에 의해 발생된다. R과 L은 누가 접속을 초기화했는지 또는 누가 리프레쉬(refresh)를 초기화했는지에 대응되는 것은 아니다. 그것들은 누가 고객 IDs의 정의를 소유하느냐를 나타낸다. L 접속에 대하여 생각하는 방법은 이들 L 접속이 (사용자에 의해, 자동 개시 상에서, 등등) 국부적으로 개시될 수 있는 접속이라는 것이다. R 접속은 외부에서의 초기화 혹은 외/내부에서의 초기화 시의 정의에 대해서만 단지 개시될 수 있고, 외부 정의는 단지 R 접속만을 가질 수 있다. 시퀀스 번호 R0 또는 LO(R 혹은 L 뒤에 0이 이어짐)는 접속 관리자 및 IPsec에 의한 내부 사용을 위해 유보된다. 그것은 (또한 접속 정의 필터 또는 정책 필터로 명명되는) 앵커 필터 상에 접속 이름을 형성하기 위해 사용된다. 그러므로 시퀀스 0을 가진 접속 이름은 정책 필터를 나타내는데 사용되고, 접속 필터는 시퀀스 번호 0을 결코 갖고 있지 않는 접속 이름을 갖는다.
본 발명의 바람직한 실시예에 따르면, 다음 요소들은 IP 필터 규칙 리스트(20) 또는 VPN을 특징 짓는다.
1. 접속 정의는 각각의 접속 정의가 단지 하나의 페이즈 2 정책만을 가진다는 특성과 함께 나타난다. 그러므로 임의의 수의 접속이 단일 접속 정의에 기초하여 개시될 수 있다. 접속 정의의 정의 및 접속 정의에 대한 포맷(format)에 대한 것은 양수인 문서 번호 EN999001인 계류중인 특허출원을 참조하기 바란다.
2. 상기한 것의 하나의 예외가 지원되는데 이것은 원격 고객(remote client), 모빌 노동자(mobile workers), 원격 분 사무실(remote branch offices)를 지원하는데 있어 중요하다. 이것은 다수의 접속 정의와 연관된 다수의 데이터 보호 정책이 완전히 단일 정책 필터와 연관되는 수단이다. 이렇게 합병하는 정책 필터는 DYNAMICIP이라는 예약된 접속 이름을 갖는다. 데이터 보호 정책은 외부 사용자 ID와 접속 개시시에 결정된 연관 접속 정의 사용 지연 셀렉터에 의해 키잉(key)된다.
3. n 대 1(n-to-1) 대응은 접속 정의와 필터 규칙(앵커 필터)사이에서 존재한다.
4. 앵커 필터는 물리적 인터페이스에 대해 n 대 1 대응을 갖는다. 즉, 각각의 앵커 필터는 다수의 물리적 인터페이스에 적용될 수 있지만 매회 단지 0 또는 한 번뿐이다.
5. 인터페이스가 개시될 때 앵커 필터는 완전히 자동적으로 로딩된다. 환원하면, 앵커 필터가 인터페이스 동안에 정의된 경우 앵커 필터를 성공적으로 로딩하지 않고서는 인터페이스를 개시할 수 없다. 이로써 사용자 IP 보안 정책을 강행하는 메카니즘이 가능해진다. 인터페이스는 적어도 하나의 앵커 필터를 가지는 경우에만 IPsec 이네이블된다. 물리적 인터페이스는 규칙 로딩의 일부로서 그 인터페이스 (예를 들어 토큰 링 라인)에 대해 로딩된 임의의 정책 필터가 존재하는 경우 IPsec 이네이블 된다.(정책 필터라는 용어는 이에 연유한다.)
6. 앵커 필터는 이렇게 정의된 모든 필터의 상황에서 사용자에 의해 명시적으로 순서화된다. 그렇게 함에 있어, 각각의 접속 정의에 대한 접속이 처리되어야 할 순서가 정의되고, 따라서 적용된 정책의 순서가 정의된다.
7. 필터 처리 동안에(모든필터 유형, 논리적으로 하향식) 패킷이 앵커 필터에 의해 매치되면, 이 패킷은 폐기된다. 앵커 필터는 SLIC에서 식별할 수 있는데, 그 이유는 그 이름이 시퀀스 번호 0을 가지기 때문에 그들이 지정한 접속 정의 값(SPD 엔트리)은 접속 정의 그 자체이기 때문이다. 환원하면, IP 패킷이 종래의 기존 접속을 매치하지 못하기 때문에 정책은 강행되고 패킷은 폐기된다.
8. 접속 필터 충돌을 검출 및 처리하는 것이 제공된다.(계류중인 출원 EN999004를 참조)
9. 접속 필터가 로딩될 때, 필터 배치 프로세스는 인터페이스에 대한 모든 필터 규칙 상황에서의 매크로 배치와 마이크로 배치 두 부분을 포함한다. 매크로 배치인 경우, 접속 필터는 논리적으로 그의 매칭 앵커 필터 이전에 그리고 그 매칭 앵커 필터를 선행하는 다른 앵커 필터 이후에 배치된다. 앵커를 접속에 매칭시키는 것은 접속 이름을 사용함으로 수행된다.
접속 정의에 대해 이미 개시된 접속 내에서의 마이크로 배치는 다음과 같이 발생하다. 만약 충돌이 검출되지 않는 경우, 필터 규칙은 그 접속 정의를 위한 접속 필터 집합 내 어디든지 배치된다. 반면에, 만약 충돌이 소스 또는 목적지 IP 주소상에 있었고, 충돌 필터가 서브네트 마스크를 가지고 있다면, 충돌 필터 이전에 새로운 필터를 배치하는데 이것은 새로운 필터가 보다 특정적이라는 것을 의미한다.(충돌에 대한 이러한 한가지 예외는 그의 효용성으로 인해 허용된다.)
마스크 되는 IP 주소(ip addr)는 a.b.c.d가 임의의 유효한 ip addr(a-d 각각은 1-255사이에 있는 수인데 약간의 예외가 있을 수 있음.)이며 255.255.255.0이 마스크라 한때 a.b.c.d/255.255.255.0로 통상적으로 표현된다. ip addr과 마스크의 이진 표현은 함께 비트 AND 연산(비트 논리곱 연산)된다. 그 결과는 네트워크를 표현한다.
만약 접속 필터가 로딩될 수 없다면, 적당한 복귀 코드(return code)가 제공되고 이 IPsec 접속 개시는 실패한다. RFC 2401에 따라서, IPsec 접속이 개시될 때 IPsec 접속 개시가 발생한다. 즉, 두 개 이상의 보안 협회(SAs)에 포함된 특정한 IPsec 접속에 필요하듯 데이터-프로세스 IP 데이터그램이 오퍼레이팅 시스템 안으로 로딩된다. 이 로딩 후에, 데이터 보호 정책을 만족하는 IP 데이터그램은 요구된 바와 같이 적용된 AH 또는 ESP(또는 둘다)를 갖을 것이다.
이러한 방식으로, 필터 배치가 실행된다. 사용자는 정책의 순서를 특정하는 한편 시스템은 사용자가 모든 특정한 필터 규칙을 순서화할 필요가 없도록 하고 임의적인(비결정적인) 정책 강행으로부터 사용자를 보호해준다. 만약 충돌로 인해 너무 많은 접속 실패가 있는 경우에, 새로운 접속 정의 및 이와 연관된 앵커가 생성될 수 있고, 새로운 앵커는 기존의 앵커에 대해 순서화될 수 있다.
IPsec 구조에 요구되는 하나의 요건은 각각의 셀렉터에 대해 정책 엔트리가 SPD와 패킷내의 대응 값들로부터 새로운 보안 협회 데이터베이스 엔트리( new Security Association Database entry)에 대한 대응 값들을 이끌어내는 방법을 지정하는 것이다. IP 주소들에 대해 범위가 지원되지만 패킷 자체 내에서 이 값을 이용함으로써 또는 정책 엔트리와 연관된 값을 이용함으로써 모든 셀렉터에 대해 와일드카딩(wildcarding)이 표현될 수 있다.
와일드카딩은 '임의의 값'을 의미하는 '*'의 사용에 의해 전형적으로 표현된다. 본 발명의 바람직한 실시예에 따르면, 이 요건은 접속 정의와 접속 개념의 사용을 통하여 충족된다. 사용자는 접속 정의내에서 이 접속 정의로부터 발생되는 특정 접속을 위한 셀렉터 값을 이끌어내는 방법을 지정한다. 접속 세분성(granularity)은 많은 값 중의 하나로써 각각의 셀렉터에 대해 개별적으로 지정될 수 있다.
본 발명의 바람직한 실시예에 따르면, 접속 필터가 로드될 때 다음 보고서가 수행된다.
1. 임의의 접속 필터에 로딩하기 위한 처리 동안, 새로운 접속 필터에 의해 규정된 트래픽이 동일한 접속 정의를 위해 임의의 기존 접속에 의해 규정된 트래픽과 오버랩(overlap)하는 지의 여부를 결정할 것이다. 그렇게 함으로써, 내장된 서브네트는 충돌로 간주되지 않는다. 충돌이 발견되면, 접속은 실패되고 연결 관리자로서의 적절한 복귀 코드를 갖게 된다.
2. 앵커 필터는 접속 필터가 로드되는 동안 각각의 인터페이스를 위해 존재해야 한다.
3. 주어진 인터페이스를 위하여 앵커 필터를 두 번 로드할 수 없다.
표 1은 이후로부터의 설명에 사용되며 연결 정의에서 명시된 셀렉터 세분성 값을 보여준다. 값 's'은 패킷 그 자체에서 사용 값과 일치하고 이 값[f,s,c]은 정책 엔트리와 연관된 값에 대응한다. 세분성을 참조하며, 접속 필터가 fff 세분성 값을 가질 때 이 접속 필터는 정책 필터를 소비하고 이 정책 필터를 참조하여 로드될 수 있는 유일한 접속 필터이다. 다른 접속 필터와 오버랩할 수 없기 때문에 단일 값 s 접속 필터는 다른 극단의 한쪽이고 정책 필터를 매칭함에 관해서 항상 로드될 것이다. c의 세분성 값은 마이크로 문제를 일으키고, 이 해결방안은 충돌 검출을 요구한다.
이들 값이 사용데 대해서는 표 2에 도시되어 있는데, 여기서 열은 연결의 개시 모드에 대응한다. 이것은 접속 정의가 생성됨에 따라 사용자가(논리적으로) 완료하는 것을 말한다 "셀렉터 값" 및 "셀렉터 세분성 값"은 다음 표에 있는 상이한 것들을 언급한다. 사용자 접속 개시 모드는 수동, 자동, 또는 예정될 수 있다.
표 2를 참조하면,
1. 주문형(on-damand)에 대해, c'가 허용되는 경우에는 's'와 동일한 의미을 가질 것이다.
2. 셀렉터 세분성 값은 임의의 열에서 각각의 셀렉터에 대해 독립적으로 지정될 수 있다.
3. 셀렉터 세분성 값은 접속 정의 종료점 규칙(connection definition endpoint rules)(국부적과 원격적 둘다)과 일관되어야 한다. 따라서 , 국부 종료점 규칙이 호스트인 경우, 소스 ip 주소와 소스 포트 셀렉터(source port selectors)에 대한 세분성 값은 's' 또는 'f'여야 한다. 만약 'f'인 경우, 그때 접속 정의 필터는 소스 ip 주소와 소스 포트에 대해 스칼라 값을 가져야 한다. 그리고, 만약 원격 종점 규칙이 호스트이면, ip 주소와 목적지 포트(destination port)에 대한 세분 값은 's' 또는 'f'여야 한다. 그리고 만약 'f'인 경우, 접속 정의 필터는 목적지 ip 주소와 목적지 포트에 대해 스칼라 값을 가져야 한다.
4. 사용자 클라이언트 페어를 정의할 때, 각각의 열에 대한 값은 a) 접속 정의 필터내에 규정된 셀렉터 값 내에 있는가, b) 그 접속 정의에 대한 셀렉터 세분성 값에 일치하는가를 확실히 하기 위해 검사된다. 예를 들면, 만약 접속 필터에 있는 목적지 ip가 u.v.w.*인 경우 사용자 클라이언트 페어는 원격 데이터 종착 목적지 ip에 대한 단일 ip 주소를 가져야 한다.
5. 정적 데이터 관리 정책을 갖는 접속 정의가 생성될 때 사용자 클라이언트 페어는 정의되고 모든 셀렉터 세분성 값은 'c'로 디폴트(default) 된다.
표 3-6을 참조하면, 각양의 스캐너가 앵커와 접속 필터가 특정 접속 정의에 입각하여 어떻게 사용되는 지를 논리적인 관점에서 예시해준다.
표 3에서는, 모든 'f'의 셀렉터 세분성 값의 사용이 예시되어 있다. 이것은 하나의 접속만이 이 접속을 위하여 개시될 수 있다는 직접적인 결과를 가지게 된다. (ifc 개시는 인터 페이스를 의미하고 콘(conn) 개시는 접속 개시를 의미한다. 접속 이름은 오래된 스타일로 주어진 이름 boston1:0은 이제는 이전에 설명된 접속 이름의 구문(syntax)을 이용하여 boston:L0 또는 boston:L1로 씌어질 것이다.) 필터( 및 정책 필터)는 일련의 논리적인 테스트이다. 필터 종류에는 정책 필터(아카 앵커 필터:aka anchor filter), 접속 필터(접속 정의 필터가 아니라), (접속 필터와 정책 필터를 포함하여)임의의 IPses-특성 필터인 ipsec 필터(드믈게 사용됨)를 다른 모든 필터를 지칭하는 필터가 있다.
표 4를 참조하면, 's'값은 소스와 목적지 IP 주소를 나타낸다. 여기에서, 클라이언트 페어는 접속 정의 필터 내에 있어야 하며(정의된 임의의 클라이언트 페어에 대하여 항상 그러함), 어떤 클라이언트 페어에 의해 정의된 접속만이 개시될 수 있다('s' 값으로 인해). gw는 게이트웨이(gateway)를 나타낸다. IPsec 구조(RFC2401)는 호스트와 게이트웨이 두 개의 IPsec 규칙을 정의한다. IPsec 클라이언트는 IPsec 역할로 고려되지 않는데, 그 이유는 클라이언트가 IPsec된 데이터그램을 전송하고 수신하지만 클라이언트 그 자체는 IPsec하지 않기 때문이다. IPsec을 수행하는(즉 IPsec 프로토콜 AH, ESP를 구현하는) 임의의 시스템은 호스트이거나 게이트웨이여야 한다. 이 역할 정의는 각각의 IPsec 접속에 적용되어 단일 컴퓨터 시스템은 동시에 두 역할로 기능을 수행 수 있다.
외부 시나리오를 보여주는 표 5를 참조하면, 임의의 페이즈 2 및 접속 로딩 전에, 앵커 필터와 매칭되는 모든 트래픽은 항상 그러하듯 IPsec 접속이 개시되기 전에 폐기된다. 또한, IKE에 의해 협상된 임의의 페이즈 2 IDcr, IDci 는 접속 정의 필터 셀렉터 값내에 있어야 하며, 만약 그것이 임의의 기존 접속과 충돌하지 않는다면 새로운 접속이 허용되고, IDcr, IDci가 특정 포트 값을 포함하지 않는다면 접속 정의 필터가 255가 되므로, 최대 접속이 허용된다.
표 6을 참조하면, 연결 정의 필터와 매칭되는 IP 패킷의 도착(외국행 또는 본국행)에 의해 접속이 시작되는 주문형 시나리오가 예시되어 있다. IP 패킷의 트리거링은 접속이 개시할 때까지 버퍼(buffer)될 것이다. 또한 접속의 수는 소스와 목적지 포트와 프로토콜과 앵커 필터에 대한 'f' 셀렉터 세분성 값으로 인해 제한된다.
필터(FILTER) 문장의 구문은 표 7에 개시되어 있다. 대문자는 키워드이고 {} 괄호는 가능한 파라미터 값의 집합을 나타내고 이 중의 하나가 허용되며, [] 괄호는 선택적 파라미터를 나타내고, 〈〉 괄호는 파라미터 그룹을 나타내고 이중의 한 파라미터가 선택되어야 하고, *는 '키워드 값'이고, '수 n-m'은 범위 n내지 m(n과 m을 포함)에서의 수를 의미하고, 각각의 파라미터는 편리성을 위해 개별 라인에 도시되고, 선택적 파라미터가 임의의 순서로 나타날 수 있는 반면에 비선택적 파라미터는 도시된 순서대로 예상된다.
본 발명의 바람직한 실시예에 따르면, 새로운 IPSEC 액션은 앵커 필터의 지정을 허용한다. IPSEC 사용시에, CONNECTION-DEFINITION 파라미터가 제공되어야 한다. 만약 IPSEC가 활성상태이면, DIRECTION은 OUTBOUND여야한다. 만약 IPSEC가 활성 상태이면 프로토콜은 icmp 또는 tcp/starting가 아닐 수 있다. PROTOCOL에 대한 새로운 상수는 단순히 IPsec 필터의 기록이 각각의 connectiondef-name을 주어진 인터페이스에 대해 로딩되는 모든 필터 규칙에 걸쳐 고유하여야 한다. 특수한 이름 DYNAMICIP는 미리 알려지지 않은 원격 IP 주소를 가진 IPsec 접속, 모빌 작업자, 그들의 ISP에 의해 IP가 지정되는 원격 분사무소(remote branch offices)등의 앵커 필터에서 사용될 수 있다. 접속은 IKE로부터의 IDcr를 근거로 하여 이들 시스템에 대해 개시되고, 이어서 VPN 정책 데이터 베이스에서 지연 셀렉터를 사용할 것이다.
본 발명의 바람직한 실시예의 중요한 기능적 측면은,
1. VPN 정책 강행의 역할에서 정책 필터 사용(표 8)과,
2. 매크로 필터 배치 문제를 해결하는데 있어 정책 필터 사용(표 9)이다.
표 8과 9의 각각에서 이러한 기능적 단계가 C++-구문 같은 의사 코드(pseudo-code)로 설명되어 있다.
본 발명의 장점은 VPN과 비VPN(non-VPN) 필터에 대한 지원을 포함하는 필터 규칙 집합을 관리하기 위한 개선된 시스템 및 방법을 제공한다는 것이다.
본 발명의 다른 장점은 기존 정책 필터에서 개별적인 접속 필터를 동적으로 로딩하는 시스템 및 방법을 제공한다는 것이다.
본 발명의 또 다른 장점은 사용자 IP 데이터 보안 정책을 강행하기 위해 시스템 및 방법을 제공한다는 것이다.
본 발명의 또 다른 장점은 접속 필터의 매크로 배치를 위한 시스템 및 방법을 제공한다는 것이다.
본 발명의 또 다른 장점은 고객에 의해 선택된 정책 필터의 순서화가 또한 IKE 페이즈 1 응답자-모드 접속(IKE Phase 1 responder-mode connections)을 위해 사용된다는 것이다.
비록 예시를 위하여 본 발명의 특정한 실시예를 기술하였지만, 본 발명의 사상 및 범주를 벗어나지 않고서도 다양한 변경이 가능하다는 것을 이해해야 할 것이다. 특히, 본 발명의 방법에 따라 또한/또는 본 발명의 시스템의 구성 요소의 구조에 따라 컴퓨터의 동작을 제어하기 위하여 기계 판독가능형 신호를 저장하기 위한 고체 또는 액체 전송 매체, 마그네틱 또는 광학 와이어, 테잎 또는 디스크 등과 같은 메모리 디바이스 또는 프로그램 저장 장치를 제공하는 것은 본발명의 범위에 속한다.
따라서, 본 발명의 보호 범위는 후속되는 청구범위 및 이와 동등한 것에 의해서만 제한된다.

Claims (10)

  1. 필터 집합내에서 접속 필터를 동적으로 배치하기 위한 방법에 있어서,
    정책 필터를 포함하도록 필터 집합을 초기화하는 단계와,
    상기 필터 집합내의 필터에 대하여 상기 접속 필터를 순차적으로 매칭시키는 단계와,
    상기 접속 필터와 매칭 정책 필터의 매칭을 발견하는 것에 응답하여, 상기 접속 필터를 상기 필터 집합에서 상기 매칭 정책 필터 전에 배치하는 단계를 더 포함하는 접속 필터 배치 방법.
  2. 제 1 항에 있어서,
    매칭 정책 필터와 상기 접속 필터 간의 매칭이 없음을 발견하는 것에 응답하여 상기 접속 필터를 거부하는 단계를 더 포함하는 접속 필터 배치 방법.
  3. 제 1 항에 있어서,
    데이터그램을 처리하기 위하여,
    상기 필터 집합 내의 필터에 대하여 상기 데이터그램을 순차적으로 테스팅하는 단계와,
    매칭 정책 필터를 먼저 발견하는 것에 응답하여, 상기 데이터그램을 거부하는 단계와,
    매칭 접속 필터를 먼저 발견하는 것에 응답하여, 상기 매칭 접속 필터에 대하여 상기 데이터그램을 실행하는 단계를 더 포함하는 접속 필터 배치 방법.
  4. 필터 집합내에서 접속 필터를 동적으로 배치하기 위한 시스템에 있어서,
    정책 필터를 포함하도록 필터 집합을 초기화하기 위한 제 1 프로그램 코드 모듈과,
    상기 필터 집합의 필터에 대하여 상기 접속 필터를 순차적으로 매칭시키기 위한 제 2 프로그램 코드 모듈과,
    상기 접속 필터와 매칭 정책 필터 간의 매칭을 발견하는데 응답하여, 상기 접속 필터를 상기 필터 집합에서 상기 매칭 정책 필터 전에 배치하기 위한 제 3 프로그램 코드 모듈을 포함하는 접속 필터 배치 시스템.
  5. 제 4 항에 있어서,
    데이터그램을 처리하기 위하여,
    상기 필터 집합내의 필터에 대하여 상기 데이터그램을 순차적으로 테스팅 하기 위한 제 4 프로그램 코드 모듈과,
    매칭 정책 필터를 먼저 발견하는 것에 응답하여, 상기 데이터그램을 거부하기 위한 제 5 프로그램 코드 모듈과,
    매칭 접속 필터를 먼저 발견하는 것에 응답하여, 상기 매칭 접속 필터에 대하여 상기 데이터그램을 실행하기 위한 제 6 프로그램 코드 모듈을 더 포함하는 접속 필터 배치 시스템.
  6. 필터 집합내에서, 접속 필터를 동적으로 배치하기 위한 시스템에 있어서,
    정책 필터를 포함하도록 필터 집합을 초기화하는 수단과,
    상기 필터 집합 내의 필터에 대하여 상기 접속 필터를 순차적으로 매칭시키는 수단과,
    상기 접속 필터와 매칭 정책 필터 간의 매칭을 발견하는 것에 응답하여, 상기 접속 필터를 상기 필터 집합에서 상기 매칭 정책 필터 전에 배치하기 위한 수단과,
    상기 필터 집합 내의 필터에 대하여 상기 데이트그램을 순차적으로 테스팅하기 위한 수단과,
    매칭 정책 필터를 먼저 발견하는 것에 응답하여, 상기 데이터그램을 거부하기 위한 수단과,
    매칭 접속 필터를 먼저 발견하는 것에 응답하여, 상기 매칭 접속 필터에 대하여 상기 데이터그램을 실행하기 위한 수단
    을 포함하는 접속 필터 배치 시스템.
  7. 필터 집합내에서 접속 필터를 동적으로 배치하기 위한 방법 단계를 수행하기 위하여 기계(a machine)에 의해 실행할 수 있는 인스트럭션들의 프로그램을 유형적으로 구현하는, 상기 기계에 의해 판독가능한 프로그램 저장 디바이스에 있어서, 상기 방법 단계는,
    정책 필터를 포함하도록 필터 집합을 초기화하는 단계와,
    상기 접속 집합 내의 필터에 대하여 상기 접속 필터를 순차적으로 매칭시키는 단계와,
    상기 접속 필터와 매칭 정책 필터 간의 매칭을 발견하는 것에 응답하여, 상기 접속 필터를 상기 필터 집합에서 상기 매칭 정책 필터 전에 배치하기 위한 단계를 포함하는 프로그램 저장 디바이스.
  8. 제 7 항에 있어서,
    데이터그램을 처리하기 위한 방법 단계를 수행하기 위하여 기계가 실행할 수 있는 인스트럭션들의 프로그램을 더 구현하기 위하여, 상기 방법은,
    상기 필터 집합 내의 필터에 대하여 상기 데이터그램을 순차적으로 테스팅하는 단계와,
    매칭 정책 필터를 먼저 발견하는 것에 응답하여, 상기 데이터그램을 거부하는 단계와,
    매칭 접속 필터를 먼저 발견하는 것에 응답하여, 상기 데이터그램을 상기 매칭 접속 필터에 대하여 실행하는 단계를 더 포함하는 프로그램 저장 디바이스.
  9. 제조물에 있어서,
    필터 집합내에서 접속 필터를 동적으로 배치하기 위하여 구현되는 컴퓨터 판독가능한 프로그램 코드 수단을 가진 컴퓨터 사용가능 매체를 구비하되, 상기 제조물 내의 상기 컴퓨터 판독 가능한 프로그램 수단은,
    컴퓨터로 하여금 정책 필터를 포함하도록 필터 집합을 초기화하게 하기 위한 컴퓨터 판독가능 프로그램 코드 수단과,
    컴퓨터로 하여금 상기 필터 집합 내의 필터에 대하여 상기 접속 필터를 순차적으로 매칭시키도록 하기 위한 컴퓨터 판독가능 프로그램 코드 수단과,
    컴퓨터로 하여금 상기 접속 필터와 매칭 정책 필터 간의 매칭을 발견하는 것에 응답하여, 상기 접속 필터를 상기 필터 집합에서 상기 매칭 정책 필터 전에 배치하게 하기 위한 컴퓨터 판독가능 프로그램 코드 수단을 포함하는 제조물.
  10. 필터 집합 내에서 필터를 동적으로 순서화하기 위한 방법에 있어서,
    다수의 정책 필터를 포함하도록 필터 집합을 초기화하는 단계―상기 다수의 정책 필터의 순서는 데이터 보호 정책을 위한 응답자-모드 탐색 순서를 결정함―와,
    상기 필터 집합 내의 필터에 대하여 접속 필터를 순차적으로 매칭시키는 단계와,
    상기 접속 필터와 매칭 정책 필터 간의 매칭을 발견하는 것에 응답하여, 상기 접속 필터를 상기 필터 집합에서 상기 매칭 정책 필터 전에 배치하기 위한 단계를 포함하는 필터 순서화 방법.
KR10-2000-0002985A 1999-01-29 2000-01-21 접속 필터의 동적 배치 방법, 시스템 및 기록 매체 KR100523705B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US9/240,718 1999-01-29
US09/240,718 1999-01-29
US09/240,718 US6643776B1 (en) 1999-01-29 1999-01-29 System and method for dynamic macro placement of IP connection filters

Publications (2)

Publication Number Publication Date
KR20000076507A true KR20000076507A (ko) 2000-12-26
KR100523705B1 KR100523705B1 (ko) 2005-10-26

Family

ID=22907670

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2000-0002985A KR100523705B1 (ko) 1999-01-29 2000-01-21 접속 필터의 동적 배치 방법, 시스템 및 기록 매체

Country Status (3)

Country Link
US (1) US6643776B1 (ko)
JP (1) JP3364905B2 (ko)
KR (1) KR100523705B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100432553B1 (ko) * 2000-09-08 2004-05-24 인터내셔널 비지네스 머신즈 코포레이션 프레임 분류형 룰 관계를 판별하고 그래픽으로 표현하기위한 방법 및 시스템

Families Citing this family (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6738909B1 (en) * 1999-09-02 2004-05-18 International Business Machines Corporation Method and apparatus for automatic configuration for internet protocol security tunnels in a distributed data processing system
US6915431B1 (en) * 1999-12-22 2005-07-05 Intel Corporation System and method for providing security mechanisms for securing network communication
US6816462B1 (en) * 2000-08-02 2004-11-09 International Business Machines Corporation System and method to determine connectivity of a VPN secure tunnel
US6957276B1 (en) * 2000-10-23 2005-10-18 Microsoft Corporation System and method of assigning and reclaiming static addresses through the dynamic host configuration protocol
EP1402350B1 (en) * 2000-12-15 2011-07-13 Nokia Siemens Networks Oy Method and system for acces in open service architecture
US7143154B2 (en) * 2001-01-26 2006-11-28 Lucent Technologies Inc. Internet protocol security framework utilizing predictive security association re-negotiation
US6978308B2 (en) * 2001-03-21 2005-12-20 International Business Machines Corporation System and method for nesting virtual private networking connections with coincident endpoints
US7546629B2 (en) * 2002-03-06 2009-06-09 Check Point Software Technologies, Inc. System and methodology for security policy arbitration
US20040107360A1 (en) * 2002-12-02 2004-06-03 Zone Labs, Inc. System and Methodology for Policy Enforcement
US7590684B2 (en) * 2001-07-06 2009-09-15 Check Point Software Technologies, Inc. System providing methodology for access control with cooperative enforcement
US7209962B2 (en) * 2001-07-30 2007-04-24 International Business Machines Corporation System and method for IP packet filtering based on non-IP packet traffic attributes
US6839338B1 (en) * 2002-03-20 2005-01-04 Utstarcom Incorporated Method to provide dynamic internet protocol security policy service
US6850943B2 (en) * 2002-10-18 2005-02-01 Check Point Software Technologies, Inc. Security system and methodology for providing indirect access control
US20040123139A1 (en) * 2002-12-18 2004-06-24 At&T Corp. System having filtering/monitoring of secure connections
US8136155B2 (en) 2003-04-01 2012-03-13 Check Point Software Technologies, Inc. Security system with methodology for interprocess communication control
US7788726B2 (en) * 2003-07-02 2010-08-31 Check Point Software Technologies, Inc. System and methodology providing information lockbox
US8146148B2 (en) * 2003-11-19 2012-03-27 Cisco Technology, Inc. Tunneled security groups
US10375023B2 (en) * 2004-02-20 2019-08-06 Nokia Technologies Oy System, method and computer program product for accessing at least one virtual private network
US8364948B2 (en) * 2004-07-02 2013-01-29 Hewlett-Packard Development Company, L.P. System and method for supporting secured communication by an aliased cluster
US8122492B2 (en) * 2006-04-21 2012-02-21 Microsoft Corporation Integration of social network information and network firewalls
US8079073B2 (en) * 2006-05-05 2011-12-13 Microsoft Corporation Distributed firewall implementation and control
US8176157B2 (en) * 2006-05-18 2012-05-08 Microsoft Corporation Exceptions grouping
US10594731B2 (en) * 2016-03-24 2020-03-17 Snowflake Inc. Systems, methods, and devices for securely managing network connections
US11146959B2 (en) * 2019-10-29 2021-10-12 Arista Networks, Inc. Security association reuse for multiple connections

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH05120340A (ja) 1991-10-30 1993-05-18 Nec Corp ルーテイングアドレス管理方法
US5835726A (en) 1993-12-15 1998-11-10 Check Point Software Technologies Ltd. System for securing the flow of and selectively modifying packets in a computer network
GB9402935D0 (en) 1994-02-16 1994-04-06 British Telecomm A method for controlling access to a database
US5777549A (en) 1995-03-29 1998-07-07 Cabletron Systems, Inc. Method and apparatus for policy-based alarm notification in a distributed network management environment
US5696486A (en) 1995-03-29 1997-12-09 Cabletron Systems, Inc. Method and apparatus for policy-based alarm notification in a distributed network management environment
JP3626056B2 (ja) 1999-12-13 2005-03-02 三菱電機株式会社 2分検索装置及び2分検索方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100432553B1 (ko) * 2000-09-08 2004-05-24 인터내셔널 비지네스 머신즈 코포레이션 프레임 분류형 룰 관계를 판별하고 그래픽으로 표현하기위한 방법 및 시스템

Also Published As

Publication number Publication date
KR100523705B1 (ko) 2005-10-26
JP2000224235A (ja) 2000-08-11
US6643776B1 (en) 2003-11-04
JP3364905B2 (ja) 2003-01-08

Similar Documents

Publication Publication Date Title
KR100523705B1 (ko) 접속 필터의 동적 배치 방법, 시스템 및 기록 매체
US6832322B1 (en) System and method for network address translation integration with IP security
US7861285B2 (en) System, method and computer program product for authenticating users using a lightweight directory access protocol (LDAP) directory server
Mayer et al. Fang: A firewall analysis engine
US5950195A (en) Generalized security policy management system and method
US6473863B1 (en) Automatic virtual private network internet snoop avoider
US7376745B2 (en) Network address generating system, network address generating apparatus and method, program and storage medium
US8935786B2 (en) Systems and methods for dynamically changing network states
US6738909B1 (en) Method and apparatus for automatic configuration for internet protocol security tunnels in a distributed data processing system
JPH08314835A (ja) 被サービス装置、センタ装置、サービス装置、及び遠隔操作システム
US9154458B2 (en) Systems and methods for implementing moving target technology in legacy hardware
JP2003046533A (ja) ネットワークシステム、その認証方法及びそのプログラム
JP2009532919A (ja) ネットワーク・アドレス・ポート変換器によって扱われるクライアントからの重複ソースの防止
US20120291098A1 (en) Multimode Authentication
CN104113548A (zh) 一种认证报文处理方法及装置
JP2000324104A (ja) バーチャル通信ネットワークにおけるセキュリティーポリシー設定方法、セキュリティーポリシーマネージャ及びこれを用いたバーチャル通信ネットワークシステム
CN108737407A (zh) 一种劫持网络流量的方法及装置
US6738377B1 (en) System and method for dynamic micro placement of IP connection filters
US8745691B1 (en) System, method, and computer program product for preventing communication of data over a network connection
WO2006002237A1 (en) Method, apparatuses and program storage device for efficient policy change management in virtual private networks
Cisco Configuring Lock-and-Key Security (Dynamic Access Lists)
JP2002084326A (ja) 被サービス装置、センタ装置、及びサービス装置
Cisco Configuring Authentication
Frank et al. Securing smart homes with openflow
CN105991351A (zh) 一种IPSec配置方法及装置

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
J201 Request for trial against refusal decision
AMND Amendment
B601 Maintenance of original decision after re-examination before a trial
J301 Trial decision

Free format text: TRIAL DECISION FOR APPEAL AGAINST DECISION TO DECLINE REFUSAL REQUESTED 20030825

Effective date: 20050722

S901 Examination by remand of revocation
GRNO Decision to grant (after opposition)
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20111007

Year of fee payment: 7

LAPS Lapse due to unpaid annual fee