KR20030050883A - Method and Apparatus of ATM(Asynchronous Transfer Mode) Firewall Switch having distributed CAC(Call Admission Control) and Parallel Cell Screen Structure - Google Patents

Method and Apparatus of ATM(Asynchronous Transfer Mode) Firewall Switch having distributed CAC(Call Admission Control) and Parallel Cell Screen Structure Download PDF

Info

Publication number
KR20030050883A
KR20030050883A KR1020010081421A KR20010081421A KR20030050883A KR 20030050883 A KR20030050883 A KR 20030050883A KR 1020010081421 A KR1020010081421 A KR 1020010081421A KR 20010081421 A KR20010081421 A KR 20010081421A KR 20030050883 A KR20030050883 A KR 20030050883A
Authority
KR
South Korea
Prior art keywords
cell
security policy
packet
policy
parallel
Prior art date
Application number
KR1020010081421A
Other languages
Korean (ko)
Other versions
KR100428719B1 (en
Inventor
박미룡
이종협
이형호
홍승선
정태명
Original Assignee
한국전자통신연구원
학교법인 성균관대학
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원, 학교법인 성균관대학 filed Critical 한국전자통신연구원
Priority to KR10-2001-0081421A priority Critical patent/KR100428719B1/en
Publication of KR20030050883A publication Critical patent/KR20030050883A/en
Application granted granted Critical
Publication of KR100428719B1 publication Critical patent/KR100428719B1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/54Store-and-forward switching systems 
    • H04L12/56Packet switching systems
    • H04L12/5601Transfer mode dependent, e.g. ATM
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/54Store-and-forward switching systems 
    • H04L12/56Packet switching systems
    • H04L12/5601Transfer mode dependent, e.g. ATM
    • H04L2012/5629Admission control
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/54Store-and-forward switching systems 
    • H04L12/56Packet switching systems
    • H04L12/5601Transfer mode dependent, e.g. ATM
    • H04L2012/5687Security aspects

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

PURPOSE: An ATM firewall switch device with a call admission control structure and a parallel cell screen structure and a method therefor are provided to minimize the deterioration of an ATM switch and delay of a cell processing time when adopting a virtual connection or packet level security policy. CONSTITUTION: A signal cell filter(200) extracts a signal cell from cells introduced into a screened input unit(102). A management cell filter(201) extracts a management cell from cells which have passed the signal cell filter(200). A parallel cell screen unit(202) reduces a cell processing time delay according to a screen policy application. A header converter(205) adds switch information to a user cell which has passed the parallel cell screen unit(202), and outputs it to a cell switching unit(104). A VP(Virtual Path)/VC(Virtual Connection) table(206) stores allocated VPI(Virtual Path Indicator)/VCI(Virtual Connection Indicator) information and policy information on a virtual line. A security policy cash(207) is referred to determine a security policy. A cell duplicator(203) duplicates introduced user cell as many as the user cell filters(204) and transfers it to a cell filter(204). The user cell filter(204) filters only the cells allocated to itself by referring a VPI(Virtual Path Indicator).

Description

분산 호 수락 제어 구조와 병렬 셀 스크린 구조를 갖는 비동기 전송 모드 방화벽 스위치 장치 및 그 방법{Method and Apparatus of ATM(Asynchronous Transfer Mode) Firewall Switch having distributed CAC(Call Admission Control) and Parallel Cell Screen Structure}Asynchronous transfer mode firewall switch device having a distributed call admission control structure and a parallel cell screen structure and a method therefor {Method and Apparatus of Asynchronous Transfer Mode (ATM) Firewall Switch having distributed Call Admission Control (CAC) and Parallel Cell Screen Structure)

본 발명은 분산 호 수락 제어 구조와 병렬 셀 스크린 구조를 갖는 비동기 전송 모드 방화벽 스위치 및 그 방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것으로 보다 상세하게는 분산 CAC 구조와 병렬 셀 스크린 구조를 갖는 ATM 방화벽 스위치를 설계하여 가상회선 또는 패킷 수준의 보안정책 적용시 연결 설정에 대한 병목 현상과 셀 처리시간의 지연을 최소화 시키며, 기존 스위치에 대한 변경을 최소화함과 동시에 내부 태그 사용의 필요성을 제거함으로써 ATM 방화벽 스위치 구조의 복잡성을 줄이는 것이다.The present invention relates to an asynchronous transmission mode firewall switch having a distributed call admission control structure and a parallel cell screen structure, and a method thereof and a computer-readable recording medium recording a program for realizing the method. ATM firewall switch with parallel cell screen structure is designed to minimize bottlenecks and delays in connection processing when applying virtual line or packet level security policies, and to minimize changes to existing switches. Eliminating the need to use tags reduces the complexity of ATM firewall switch architectures.

종래의 IP(Internet Protocol) 기반의 침입 차단 기능은 라우터 기반 패킷스크린(Packet Screen) 기법에 기반하고 있으며, 패킷의 TCP(Transmission Control Protocol)/IP 헤더 정보를 이용하여 비인가된 트래픽의 유입을 네트워크로부터 차단하였다. 그러나, 53 바이트의 셀단위 처리를 수행하는 ATM 네트워크에 라우터 기반 패킷 스크린 방식을 적용한 경우, 스크린(Screen) 규칙의 적용을 위해 분할 및 재결합(SAR: Segmentation And Reassembly) 과정이 필요하므로 ATM 스위치의 셀 처리 속도를 저하시키는 문제점을 갖고 있었다.The intrusion prevention function based on the conventional Internet Protocol (IP) is based on the router-based packet screen technique, and the inflow of unauthorized traffic from the network using the Transmission Control Protocol (TCP) / IP header information of the packet Blocked. However, when the router-based packet screening scheme is applied to an ATM network that performs 53-byte cell-based processing, segmentation and reassembly (SAR) is required to apply the screen rule, so that the ATM switch cell There was a problem of lowering the processing speed.

이같은 문제점을 해결하기 위해서 제안된 셀 스크린(Cell Screen) 기법은, 스크린 규칙의 적용을 위한 TCP/IP 헤더 정보가 IP 패킷이 ATM 셀로 분할되는 경우에 있어 패킷의 첫번째 셀에 위치한다는 점에 착안하여, 분할된 패킷의 첫번째 셀에 대한 검사를 통하여 보안 정책을 결정하는 방식이다.In order to solve this problem, the proposed cell screen scheme is based on the fact that the TCP / IP header information for the application of the screen rule is located in the first cell of the packet when the IP packet is divided into ATM cells. In this case, the security policy is determined by examining the first cell of the divided packet.

종래의 셀 스크린 기법에 기반한 ATM 방화벽 시스템의 구성방식으로는 물리회선으로부터 셀 스트림을 추출하여 셀 스크린 기법을 적용하는 독립적인 ATM 방화벽 시스템 구성방식과 기존의 ATM 스위치 구조에 대한 변경을 통하여 스위치가 침입 차단 기능을 수행할 수 있도록 하는 ATM 방화벽 스위치 구성 방식이 있었다.As a method of configuring an ATM firewall system based on the conventional cell screen technique, the switch intrudes through an independent ATM firewall system configuration method that applies a cell screen technique by extracting a cell stream from a physical line and changes to an existing ATM switch structure. There was a way to configure an ATM firewall switch that would enable blocking.

그러나, 전술한 ATM 방화벽 시스템 구성방식은 물리 회선으로부터 셀 스트림을 추출하는 과정에서 신호 셀, 관리 셀, 사용자 셀에 대한 구분이 수행되어야 하며, 교환 가상 회선(SVC : Switched Virtual Connection)에 대한 연결 스크린 기능의 수행이 셀 구분 과정 이후에 수행되어야 하므로, 대량의 트래픽이 유입되는 ATM 네트워크 환경에서 확장성을 보장하기 어렵다는 문제점을 안고 있었다.However, in the above-described ATM firewall system configuration, the classification of the signal cell, the management cell, and the user cell must be performed in the process of extracting the cell stream from the physical circuit, and the connection screen for the switched virtual connection (SVC) is performed. Since the performance of the function has to be performed after the cell separation process, it is difficult to guarantee scalability in an ATM network environment in which a large amount of traffic flows.

여기서, 연결 스크린 기능이란 함은 종단간 호(Call)연결 설정에 대한 입력데이터의 검증과 인증을 처리하는 스크린 기능을 말하며, 이하 동일한 의미로 사용된다.Here, the connection screen function refers to a screen function for processing the verification and authentication of the input data for the end-to-end call connection settings, and is used in the same meaning below.

한편, 상기 방식의 문제점을 해결하기 위해 근래에 제안된 ATM 방화벽 스위치 구성방식은 신호 셀, 관리 셀, 사용자 셀에 대한 구분이 수행되는 스위치 내(內) 입력모듈의 셀 처리(Cell Processing) 블록에 대한 수정을 통하여 셀 스크린 기능을 수행할 수 있도록 스위치 구조를 설계하는 방식이다.On the other hand, the ATM firewall switch configuration proposed in recent years to solve the problem of the method is applied to the Cell Processing block of the input module in the switch is performed to distinguish between the signal cell, the management cell, and the user cell The switch structure is designed to perform the cell screen function through the modification.

여기서, 셀 스크린 기능이라 함은 실제 연결이 이루어진 뒤 사용자의 연결패스를 통하여 전송되는 데이터의 흐름이 셀로 유입되는 시점에서 셀들의 스크린 기능을 처리하는 것을 말하며, 이하 동일한 의미로 사용된다.Here, the cell screen function refers to processing the screen function of the cells at the time when the flow of data transmitted through the connection path of the user flows into the cell after the actual connection is made.

그러나, ATM 방화벽 스위치 구성방식 또한 다수의 교환 가상 회선(SVC : Switched Virtual Connection)이 생성되고 소멸되는 네트워크 환경에서 연결 스크린 기능을 추가적으로 수행해야 하는 호 수락 제어(CAC : Call Admission Control) 블록이 종래와 같이 중앙집중형으로 구성될 경우, 확장성을 보장하기 힘들며, 패킷에 대한 보안정책 결정 과정에서 셀 지연이 발생할 수 있다는 문제점이 여전히 남아 있었다. 또한, 이러한 셀 지연을 최소화하기 위해 적용되던 기법들은 과다한 스위치 내부 태그의 사용으로 인해 그 구현에 있어 시스템의 복잡성을 증가시킨다는 문제점이 있었다.However, the ATM firewall switch configuration method also has a Call Admission Control (CAC) block that additionally performs a connection screen function in a network environment where a large number of switched virtual connections (SVCs) are created and destroyed. In the case of centralized configuration, it is difficult to guarantee scalability and there is still a problem that a cell delay may occur in the process of determining a security policy for a packet. In addition, the techniques applied to minimize such cell delay have a problem of increasing the complexity of the system in the implementation due to the excessive use of the tag inside the switch.

본 발명은, 상기한 바와 같은 종래 기술의 제반 문제점을 해결하기 위하여제안된 것으로, 분산 호 수락 제어 구조와 병렬 셀 스크린 구조를 갖는 비동기 전송 모드 방화벽 스위치 및 그 방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공하는데 그 목적이 있다.The present invention has been proposed to solve the above-mentioned problems of the prior art, and includes an asynchronous transmission mode firewall switch having a distributed call admission control structure and a parallel cell screen structure, a method thereof, and a program for realizing the method. Its purpose is to provide a computer-readable recording medium having recorded thereon.

즉, 분산구조의 호 수락 제어(CAC : Call Admission Control)부를 도입하여, SVC(Switched Virtual Connection)의 설정 빈도 수가 높은 대규모의 네트워크 상에서 연결 스크린 기능이 수행되는 경우 연결 설정에 대한 병목현상을 완화시키며, 병렬구조의 셀 스크린부를 이용하여 스크린 정책 적용으로 인한 셀 처리 시간의 지연을 최소화 하는 것이다. 또한, 정책 결정 과정에서 수반되는 셀 버퍼링 기능을 스크린드(Screened) 입력부에서 수행하도록 함으로써 기존 스위치에 대한 변경을 최소화 함과 동시에 내부 태그 사용의 필요성을 제거함으로써 ATM 방화벽 스위치 구조의 복잡성을 줄이는 것이다.In other words, by introducing a distributed Call Admission Control (CAC) unit, when the connection screen function is performed on a large network with a high frequency of Switched Virtual Connection (SVC), the bottleneck of connection establishment is alleviated. In other words, the cell screen of the parallel structure is used to minimize the delay of the cell processing time due to the application of the screen policy. In addition, the cell buffering function involved in the policy decision process is performed at the screened input unit, thereby minimizing the change to the existing switch and at the same time eliminating the need for the use of internal tags, thereby reducing the complexity of the ATM firewall switch structure.

도 1 은 본 발명에 따른 ATM 방화벽 스위치의 일실시예 구성도.1 is a block diagram of an embodiment of an ATM firewall switch according to the present invention.

도 2 는 본 발명에 따른 ATM 방화벽 스위치 내(內) 스크린드(Screened) 입력부의 일실시예 상세 구성도.2 is a detailed block diagram of an embodiment of a screened input unit in an ATM firewall switch according to the present invention;

도 3 은 본 발명에 따른 보안정책 적용방법에 대한 일실시예 흐름도.3 is a flowchart illustrating an embodiment of a method for applying a security policy according to the present invention.

도 4 는 본 발명에 따른 가상회선 수준의 보안정책 적용방법에 대한 일실시예 흐름도.4 is a flowchart illustrating an embodiment of a method for applying a security policy at a virtual line level according to the present invention.

도 5 는 본 발명에 따른 패킷 수준의 보안정책 적용방법에 대한 일실시예 흐름도.5 is a flowchart illustrating a method for applying a packet level security policy according to the present invention.

도 6 은 본 발명에 따라 패킷 수준의 보안정책을 적용했을 때, 패킷의 마지막 셀처리 방법에 대한 일실시예 흐름도.6 is a flowchart illustrating an embodiment of a method for processing a last cell of a packet when a packet level security policy is applied according to the present invention.

* 도면의 주요 부분에 대한 부호의 설명* Explanation of symbols for the main parts of the drawings

100 : ATM 방화벽 스위치 101 : 분산 호 수락 제어부100: ATM firewall switch 101: distributed call acceptance control

102 : 스크린드 입력부 103 : 시스템 관리부102: screen input unit 103: system management unit

104 : 셀 스위칭 부 105 : 출력부104: cell switching unit 105: output unit

200 : 신호 셀 여과기 201 : 관리 셀 여과기200: signal cell filter 201: management cell filter

202 : 병렬 셀 스크린기 203 : 셀 복제/부하 분배기202: parallel cell screener 203: cell replication / load divider

204 : 사용자 셀 여과기 205 : 헤더 변환기204: User Cell Strainer 205: Header Converter

206 : VP/VC 테이블 207 : 보안정책 캐쉬206: VP / VC Table 207: Security Policy Cache

208 : 보안정책 검사부 209 : 보안정책 저장부208: security policy inspection unit 209: security policy storage unit

상기 목적을 달성하기 위한 본 발명은, 분산 호 수락 제어(CAC : Call Admission Control) 구조와 병렬 셀 스크린 구조를 갖는 비동기 전송 모드(ATM : Asynchronous Transfer Mode) 방화벽 스위치 장치에 있어서 분산된 구조로 신호연결 스크린 기능을 수행하기 위한 분산 호 수락 제어(CAC : Call Admission Control) 수단; 상기 ATM 방화벽 스위치 장치에 유입되는 셀들에 대해 병렬 셀 스크린 기능을 이용한 보안 정책을 적용하여 허가되지 않은 패킷으로부터 분할된 셀들의 유입을 차단하기 위한 스크린드(Screened) 입력 수단; 상기 ATM 방화벽 스위치 장치의 제반 기능을 제어하는 장치 관리 수단; 상기 스크린드 입력부로부터 보안정책이 기 적용된 셀을 입력받아 스위칭 동작을 수행하기 위한 셀 스위칭 수단; 및 상기 셀 스위칭 수단으로부터 셀을 입력받아 외부로 출력하기 위한 출력수단을 포함하는 것을 특징으로 한다.The present invention for achieving the above object, the signal connection in a distributed structure in an Asynchronous Transfer Mode (ATM) firewall switch device having a distributed call admission control (CAC) structure and a parallel cell screen structure Distributed call admission control (CAC) means for performing a screen function; Screened input means for applying the security policy using the parallel cell screen function to the cells flowing into the ATM firewall switch device to block the inflow of the divided cells from unauthorized packets; Device management means for controlling all functions of the ATM firewall switch device; Cell switching means for receiving a cell to which a security policy has been previously applied from the screened input unit and performing a switching operation; And output means for receiving a cell from the cell switching means and outputting the cell to the outside.

한편 본 발명은, 분산 호 수락 제어(CAC : Call Admission Control) 구조와 병렬 셀 스크린 구조를 갖는 비동기 전송 모드(ATM : Asynchronous Transfer Mode) 방화벽 스위치 장치의 보안정책 적용방법에 있어서, 사용자 셀 여과수단으로 유입된 사용자 셀에 대하여, VP(Virtual Path)/VC(Virtual Channel) 저장 수단의 가상 회선 수준에 설정되어 있는 정책을 검사하여, 상기 가상 회선에 대해 패킷 수준의 보안정책을 적용할 것인지 여부를 판단하는 제 1 단계; 상기 보안정책 적용이 설정된 가상 회선에 대하여 패킷 수준의 보안정책 검사가 설정되면, 보안정책 임시저장 수단을 참조하여 보안정책을 결정하며, 상기 보안정책 임시저장 수단에 일치하는 엔트리가 없을 경우 전체 보안정책 저장수단의 정책정보에 대한 검사를 통해 보안정책을 결정하는 제 2 단계; 및 상기 패킷 수준의 보안정책 결정이 이루어지지 않은 상태에서, 패킷의 마지막 셀이 도착하면, 상기 마지막 셀을 보안정책 결정이 이루어질 때까지 사용자 셀 여과수단에서 차단하여 비인가된 패킷의 유입을 차단하는 제 3 단계를 포함하는 것을 특징으로 한다.Meanwhile, the present invention provides a method for applying a security policy to an Asynchronous Transfer Mode (ATM) firewall switch device having a distributed call admission control (CAC) structure and a parallel cell screen structure. The incoming user cell is examined for the policy set at the virtual line level of the virtual path (VP) / virtual channel (VC) storage means to determine whether to apply a packet level security policy to the virtual line. A first step of making; When the packet level security policy check is set for the virtual circuit to which the security policy is applied, the security policy is determined by referring to the security policy temporary storage means. When there is no entry matching the security policy temporary storage means, the entire security policy is determined. A second step of determining a security policy by inspecting the policy information of the storage means; And when the last cell of the packet arrives in the state where the packet level security policy decision is not made, blocking the last cell from the user cell filtering means until the security policy decision is made to block the inflow of unauthorized packets. Characterized in that it comprises three steps.

한편 본 발명은, 프로세서를 구비한 분산 호 수락 제어(CAC : Call Admission Control) 구조와 병렬 셀 스크린 구조를 갖는 비동기 전송 모드(ATM : Asynchronous Transfer Mode) 방화벽 스위치 장치에, 사용자 셀 여과수단으로 유입된 사용자 셀에 대하여, VP(Virtual Path)/VC(Virtual Channel) 저장 수단의 가상 회선 수준에 설정되어 있는 정책을 검사하여, 상기 가상 회선에 대해 패킷 수준의 보안정책을 적용할 것인지 여부를 판단하는 제 1 기능; 상기 보안정책 적용이 설정된 가상 회선에 대하여 패킷 수준의 보안정책 검사가 설정되면, 보안정책 임시저장 수단을 참조하여 보안정책을 결정하며, 상기 보안정책 임시저장 수단에 일치하는 엔트리가 없을 경우 전체 보안정책 저장수단의 정책정보에 대한 검사를 통해 보안정책을 결정하는 제 2 기능; 및 상기 패킷 수준의 보안정책 결정이 이루어지지 않은 상태에서, 패킷의 마지막 셀이 도착하면, 상기 마지막 셀을 보안정책 결정이 이루어질 때까지 사용자 셀 여과수단에서 차단하여 비인가된 패킷의 유입을 차단하는 제 3 기능을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공한다.On the other hand, the present invention is introduced into the Asynchronous Transfer Mode (ATM) firewall switch device having a distributed call admission control (CAC) structure and a parallel cell screen structure having a processor, the user cell filtering means Checking a policy set at the virtual line level of the virtual path (VP) / virtual channel (VC) storage means for the user cell, and determining whether to apply a packet level security policy to the virtual line. 1 function; When the packet level security policy check is set for the virtual circuit to which the security policy is applied, the security policy is determined by referring to the security policy temporary storage means. When there is no entry matching the security policy temporary storage means, the entire security policy is determined. A second function of determining a security policy by inspecting policy information of the storage means; And when the last cell of the packet arrives in the state where the packet level security policy decision is not made, blocking the last cell from the user cell filtering means until the security policy decision is made to block the inflow of unauthorized packets. A computer readable recording medium having recorded thereon a program for realizing the function is provided.

상술한 목적, 특징들 및 장점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해 질 것이다. 이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 일실시예를 상세히 설명한다.The above objects, features and advantages will become more apparent from the following detailed description taken in conjunction with the accompanying drawings. Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도 1 은 본 발명에 따른 ATM 방화벽 스위치의 일실시예 구성도이며, 종래 시스템 관리부(103) 내에 존재하였던 중앙집중형이 아닌 도면에 도시된 바와 같이, 분산된 구조로 신호 연결 스크린 기능을 수행하기 위한 분산 호 수락 제어부(CAC)(101)와, 종래의 입력부에 셀 스크린 기능이 추가되어 셀 스위칭부(104)에 유입되는 셀들에 대해 보안 정책을 적용하여 허가되지 않은 패킷으로부터 분할된 셀들의 유입을 차단하기 위한 스크린드 입력부(102)와, 셀 스위칭부(104)와 출력부(105)를 포함한다.1 is a configuration diagram of an ATM firewall switch according to an embodiment of the present invention, and as shown in a non-centralized diagram existing in the system management unit 103, to perform a signal connection screen function in a distributed structure. The cell screen function is added to the distributed call admission control unit (CAC) 101 and the conventional input unit to apply the security policy to the cells flowing into the cell switching unit 104 to introduce the divided cells from the unauthorized packets. And a screened input unit 102, a cell switching unit 104, and an output unit 105 for blocking the screen.

도 2 는 본 발명에 따른 ATM 방화벽 스위치 내(內) 스크린드(Screened) 입력부의 일실시예 상세 구성도이며, 스크린드 입력부(102)는 스크린드 입력부(102)로 유입된 셀 중 신호 셀을 추출하기 위한 신호 셀 여과기(200)와 신호 셀 여과기(200)를 통과한 셀 중 관리 셀을 추출해 내기 위한 관리 셀 여과기(201)와 스크린 정책 적용으로 인한 셀 처리시간 지연을 단축시키기 위한 병렬 셀 스크린기(202)와 병렬 셀 스크린기(202)를 통과한 사용자 셀에 스위치 정보를 추가시켜 셀 스위칭부(104)로 출력하기 위한 헤더 변환기(205)와 할당된 VPI/VCI 정보와 가상 회선에 대한 정책정보를 저장하기 위한 VP/VC 테이블(206)과 보안정책 결정을 위하여 참조하기 위한 보안정책 캐쉬(207)를 포함한다.2 is a detailed block diagram of an embodiment of a screened input unit in an ATM firewall switch according to the present invention, wherein the screened input unit 102 is a signal cell among cells introduced into the screened input unit 102. Parallel cell screen to reduce cell processing time delay due to application of screen policy and management cell filter 201 for extracting the management cell from the cell that has passed through the signal cell filter 200 and the signal cell filter 200 for extraction Header converter 205 for adding switch information to the user cell that has passed through the device 202 and the parallel cell screener 202 and outputting the cell information to the cell switching unit 104, and the allocated VPI / VCI information and the virtual circuit. A VP / VC table 206 for storing policy information and a security policy cache 207 for reference for security policy decisions are included.

먼저, 스크린드(Screened) 입력부(102)로 유입된 셀 중 신호 셀은 신호 셀 여과기(200)에 의해 추출된 후, 분산 호 수락 제어(CAC)부(101)로 전달되어 연결 스크린 기능에 의해 연결 설정 여부가 판단되며, 허가된 가상 회선은 할당된 VPI/VCI 정보와 가상 회선에 대한 정책 정보가 VP/VC 테이블(206)에 저장된다.First, among the cells introduced into the screened input unit 102, the signal cells are extracted by the signal cell filter 200, and then transferred to the distributed call admission control unit (CAC) unit 101 by the connection screen function. It is determined whether a connection is established, and the licensed virtual circuit stores the allocated VPI / VCI information and policy information about the virtual circuit in the VP / VC table 206.

이후, 신호 셀 여과기(200)를 통과한 셀은 다시 관리 셀 여과기(201)에서 관리 셀에 대한 추출과정을 거치게 되며, 여과된 관리 셀들은 시스템 관리부(103)로 전달된다. 또한 관리 셀 여과기(201)를 통과한 셀들은 병렬 셀 스크린기(202)로 전달된다.Thereafter, the cell passing through the signal cell filter 200 undergoes an extraction process for the management cell in the management cell filter 201, and the filtered management cells are transferred to the system manager 103. Cells that have passed through the management cell filter 201 are also delivered to the parallel cell screener 202.

이어서, 사용자 셀을 전달받은 병렬 셀 스크린기(202) 내(內)의 셀 복제/부하 분배기(203)는 유입된 사용자 셀을 복제하거나 병렬배치된 사용자 셀여과기(204)로 분배하는 기능을 수행하며, 이는 선택적으로 사용 가능하다.Subsequently, the cell replication / load divider 203 in the parallel cell screener 202 receiving the user cell performs a function of replicating or distributing the incoming user cell to the parallelly arranged user cell filter 204. Which is optionally available.

셀 복제기(Cell Duplicator)(203)는, 유입된 사용자 셀을 병렬배치된 사용자 셀 여과기(204)의 수만큼 복제한 후에 각 사용자 셀 여과기(204)로 전달하며, 복제된 사용자 셀을 입력받은 사용자 셀 여과기(204)는 VPI(Virtual Path Indicator) 식별자를 참조하여 자신에게 할당된 셀에 대해서만 여과 기능을 수행하고, 나머지 셀들은 처리하지 아니한다.Cell Duplicator 203 replicates the incoming user cells by the number of parallel user cell filters 204, and then delivers the duplicated user cells to each user cell filter 204. The cell filter 204 performs the filtering function only for the cell assigned to it with reference to the virtual path indicator (VPI) identifier, and does not process the remaining cells.

한편, 부하 분배기(Load Balancer)(203)는, 유입된 셀을 사용자 셀 여과기(204)에 바로 전달하는 것이 아니라, 병렬배치된 각 사용자 셀 여과기(204)가 현재 처리하고 있는 셀에 대한 부하를 계산하여 가장 부하가 적은 사용자 셀 여과기(204)로 셀을 출력한다.On the other hand, the load balancer 203 does not directly transfer the introduced cells to the user cell filter 204, but loads the cells currently being processed by each of the parallel cell user cell filters 204. The cell is output to the user cell filter 204 having the least load.

이후, 셀 복제/부하 분배기(203)로부터 셀을 전달받은 병렬배치된 각 사용자 셀 여과기(204)는 셀 스크린 기능을 이용하여 유입되는 셀들에 대한 여과동작을 수행한다.Thereafter, each of the parallel user cell filters 204 that received the cells from the cell replication / load distributor 203 performs a filtering operation on the incoming cells using the cell screen function.

상기 여과동작을 보다 상세히 설명하면 다음과 같다.The filtration operation will be described in more detail as follows.

우선, 사용자 셀 여과기(204)는 VP(Virtual Path)/VC(Virtual Connection) 테이블(206)을 참조하여 분산구조의 호 수락 제어(CAC)부(101)에 의해 결정된 가상 회선 수준의 보안 정책을 확인한다.First, the user cell filter 204 refers to the virtual path level security policy determined by the call admission control (CAC) unit 101 of the distributed structure with reference to the virtual path (VP) / virtual connection (VC) table 206. Check it.

이때, 가상 회선 수준의 보안정책이 패킷 수준의 보안정책 결정을 요구하면, 사용자 셀 여과기(204)는 보안정책의 결정을 위하여 보안정책 캐쉬(207)를 참조하여 해당 셀에 대한 보안정책을 확인한다.In this case, when the virtual line level security policy requires packet level security policy determination, the user cell filter 204 checks the security policy for the cell with reference to the security policy cache 207 to determine the security policy. .

여기서, 보안정책 캐쉬(207)에 일치하는 엔트리가 존재할 경우 그 보안정책을 선택하며, 그렇지 않을 경우 보안정책 검사부(208)로 셀이 포함된 헤더 정보를 전달하여 보안정책 저장부(209)의 정책정보를 참조하여 보안 정책을 결정한다. 사용자 셀 여과기(204)는 보안결정 사항에 따라 사용자 셀을 폐기하거나 헤더 변환기(205)로 전달한다.Here, if there is an entry that matches the security policy cache 207, the security policy is selected. If not, the security policy storage unit 209 transmits the header information including the cell to the security policy checker 208. Refer to the information to determine your security policy. The user cell filter 204 discards or forwards the user cell to the header converter 205 according to the security decision.

사용자 셀 여과기(204)를 통과한 사용자 셀은 헤더 변환기(205)에 의해 각 셀의 스위치 정보가 추가되어 셀 스위칭 부로 전달된다.The user cell that has passed through the user cell filter 204 is added to switch information of each cell by the header converter 205 and transferred to the cell switching unit.

도 3 은 본 발명에 따른 보안정책 적용방법에 대한 일실시예 흐름도이다.3 is a flowchart illustrating a method of applying a security policy according to the present invention.

먼저, 사용자 셀 여과기(204)로 사용자 셀이 유입되면, VP/VC 테이블(206)을 검사하여 가상 회선 수준에 설정되어 있는 정책을 검사하여 가상 회선으로 유입되는 모든 셀을 통과시킬 것인지, 가상 회선에 대하여 패킷 수준의 보안 정책을 적용할 것인지를 판단한다(300).First, when a user cell flows into the user cell filter 204, the VP / VC table 206 is examined to check the policy set at the virtual circuit level to pass all the cells flowing into the virtual circuit. It is determined whether to apply a packet-level security policy to (300).

이어서, 보안정책 적용이 설정된 가상 회선에 대하여 패킷 수준의 보안정책 검사가 설정되면, 보안정책 캐쉬(207)를 참조하여 보안정책을 결정하고, 만일 보안정책 캐쉬(207)에 일치하는 엔트리가 없을 경우에는 전체 보안정책 저장부(209)의 정책정보에 대한 검사를 통하여 보안정책을 결정한다(301).Subsequently, if the packet level security policy check is set for the virtual circuit to which the security policy application is set, the security policy is determined by referring to the security policy cache 207, and if there is no entry matching the security policy cache 207 In operation 301, the security policy is determined by inspecting the policy information of the entire security policy storage unit 209.

한편, 패킷 수준의 보안정책 결정이 이루어지지 않은 상태에서, 패킷의 마지막 셀이 도착하게 되면, 마지막 셀을 보안 정책 결정이 이루어질 때까지 사용자 셀 여과기에서 차단하여 전달하지 않음으로써 비인가된 패킷의 유입을 차단한다(302).On the other hand, when the last cell of the packet arrives in the state where the packet level security policy is not made, the inflow of unauthorized packet is prevented by not passing the last cell in the user cell filter until the security policy decision is made. Block 302.

도 4 는 본 발명에 따른 가상회선 수준의 보안정책 적용방법에 대한 일실시예 흐름도이다.4 is a flowchart illustrating a method of applying a security policy of a virtual line level according to the present invention.

먼저, 연결설정 시에 분산 호수락 제어(CAC)부(101)에 의한 연결 스크린 기능이 수행된 결과, 연결허가된 가상 회선에 상응하는 VP/VC 테이블(206)에 기록된 보안정책 정보를 참조하여 가상 회선 수준의 보안정책을 확인한다(400).First, referring to the security policy information recorded in the VP / VC table 206 corresponding to the virtual circuit to which connection is allowed, as a result of the connection screen function performed by the distributed rock control unit (CAC) unit 101 during connection establishment. Check the virtual line level security policy (400).

이어서 가상회선 수준의 보안정책 여부를 판단하여(401), VP/VC 테이블(206)에 기록되어 있는 가상 회선 수준의 보안정책이 "통과"로 설정되어 있는 경우, 동일 VPI/VCI 번호를 갖는 셀들에 대해 모든 셀들을 헤더 변환기(205)로 전달하며(402), 상기 가상 회선 수준의 보안정책이 "적용"으로 설정되어 있는 경우, 패킷 수준의 보안정책을 적용한다.Subsequently, it is determined whether or not the security policy of the virtual line level (401), when the virtual line level security policy recorded in the VP / VC table 206 is set to "pass", the cells having the same VPI / VCI number All cells are forwarded to the header translator 205 for 402, and if the virtual line level security policy is set to " apply, " the packet level security policy is applied.

도 5 는 본 발명에 따른 패킷 수준의 보안정책 적용방법에 대한 일실시예 흐름도이다.5 is a flowchart illustrating a method of applying a packet level security policy according to the present invention.

먼저, 사용자 셀 여과기(204)로 유입된 셀을 포함한 패킷에 대하여 VP/VC 테이블(206)상의 보안정책을 확인한다(500).First, the security policy on the VP / VC table 206 is checked for the packet including the cell introduced into the user cell filter 204 (500).

여기서, 패킷수준의 보안정책이 "통과"로 설정되어 있는경우 해당 셀을 헤더 변환기(205)로 전달하며(515), 패킷수준의 보안정책이 "차단"으로 설정되어 있는 경우 셀 유입을 차단한다(514).Here, if the packet-level security policy is set to "pass", the cell is transmitted to the header converter 205 (515), and if the packet-level security policy is set to "blocking", cell inflow is blocked. (514).

한편, 패킷수준의 보안정책이 "IP_Option"으로 설정되어 있는 경우, 해당 셀을 버퍼에 저장한 후(512), 그 첫번째 셀로부터 추출된 헤더 정보와 함께 보안 정책 결정을 시도하고, 패킷수준의 보안정책을 "적용"으로 설정한다(513). 여기서, 보안 정책이 "IP_Option"으로 설정되어 있는 경우란, 곧 해당 패킷의 첫 번째 셀에대한 검사를 통해 "IP Option" 필드를 사용하는 패킷임을 확인했음을 의미한다.On the other hand, if the packet-level security policy is set to "IP_Option", after storing the cell in the buffer (512), and attempts to determine the security policy with the header information extracted from the first cell, packet-level security Set the policy to "Apply" (513). In this case, when the security policy is set to "IP_Option", it means that the packet is checked using the "IP Option" field by checking the first cell of the packet.

한편, 보안정책이 "정책 미결정"으로 설정되어 있는 경우, 바로 패킷의 마지막 셀처리 과정을 거치게 된다. 이는, 도 6에서 보다 상세히 설명한다.On the other hand, if the security policy is set to "policy undecided," it immediately goes through the last cell processing of the packet. This is described in more detail with reference to FIG. 6.

한편, 보안정책이 "적용"으로 설정되어 있는 경우, 먼저 "IP_ Option" 필드를 사용하는 패킷인지 여부를 검사한다(502). 여기서, 보안정책이 "적용"으로 설정되어있다 함은 패킷의 첫번째 셀이 도착했음을 의미한다.On the other hand, if the security policy is set to "Apply", it is first checked whether the packet using the "IP_ Option" field (502). Here, the security policy set to "apply" means that the first cell of the packet has arrived.

상기 검사결과, "IP_Option" 필드를 사용하는 패킷인 경우, 셀을 버퍼에 복사하고(516), 상기 셀을 헤더 변환기(205)로 전달한 후(517), 보안정책을 "IP_Option"으로 설정변경한다(518).As a result of the check, in case of the packet using the "IP_Option" field, the cell is copied to the buffer (516), the cell is transferred to the header converter 205 (517), and the security policy is changed to "IP_Option". (518).

한편, "IP_Option"을 사용하지 않는 패킷의 경우, 보안정책의 결정을 위하여 보안정책 캐쉬(207)를 확인한다(504). 보안정책 캐쉬(207)의 엔트리에 해당 패킷의 보안정책이 존재하면, 보안정책 캐쉬(207)상에 설정되어 있는 보안정책에 따라 셀을 처리한다(506). 여기서, 보안정책 캐쉬(207)상의 보안정책이 "통과"인 경우, 셀을 헤더 변환기(205)로 전달하며(508), 패킷수준의 보안정책을 "통과"로 설정한다(509). 한편, 보안정책 캐쉬(207)상의 보안정책이 "차단"으로 설정되어 있는 경우, 셀 유입을 차단하며(510), 패킷수준의 보안정책을 "차단"으로 설정한다(511).On the other hand, in the case of the packet does not use the "IP_Option", the security policy cache 207 is checked to determine the security policy (504). If the security policy of the packet exists in the entry of the security policy cache 207, the cell is processed (506) according to the security policy set on the security policy cache 207. Here, if the security policy on the security policy cache 207 is "pass", the cell is forwarded to the header converter 205 (508), and the packet-level security policy is set to "pass" (509). On the other hand, if the security policy on the security policy cache 207 is set to "block", cell inflow is blocked (510), and the packet-level security policy is set to "block" (511).

한편, 보안정책 캐쉬(207)에 엔트리가 아예 존재하지 않는 경우, 보안정책 검사부(208)에 정책 결정을 요구하며(519), 패킷수준의 보안정책을 "정책 미결정"으로 그 설정을 변경한다(520).On the other hand, if there is no entry in the security policy cache 207, the security policy checker 208 requests a policy decision (519), and changes the packet level security policy to "policy undecided" ( 520).

도 6 은 본 발명에 따라 패킷 수준의 보안정책을 적용했을 때, 패킷의 마지막 셀처리 방법에 대한 일실시예 흐름도이다.6 is a flowchart illustrating an embodiment of a method for processing a last cell of a packet when a packet level security policy is applied according to the present invention.

도 5에 도시된 바와 같이, 패킷수준의 보안정책의 적용을 받은 패킷은 사용자 셀 여과기(204)에 의해 셀이 해당 패킷의 마지막 셀인지 여부를 검사 받는다(600).As shown in FIG. 5, a packet subjected to a packet level security policy is inspected by the user cell filter 204 to determine whether the cell is the last cell of the packet (600).

여기서, 만일 셀이 해당 패킷의 마지막 셀인 경우, 해당 패킷의 보안정책이 "정책 미결정" 상태인지를 확인하며(602), "정책 미결정" 상태의 패킷에 속한 마지막 셀인 경우, 보안정책이 아직 결정되지 않은 패킷의 유입을 차단하기 위해 마지막 셀을 버퍼에 저장한다(604). 이같은 방식으로 마지막 셀을 처리하고 난 이후, 다음 패킷에 대한 처리를 위하여 보안정책을 "적용"으로 초기화한다(605).Here, if the cell is the last cell of the packet, it is checked whether the security policy of the packet is in the "policy undecided" state (602), and if the cell is the last cell belonging to the packet of the "policy undecided" state, the security policy has not yet been determined. The last cell is stored in a buffer to block the ingress of unsolicited packets (604). After processing the last cell in this manner, the security policy is initialized to "Apply" for processing the next packet (605).

한편, 셀이 해당 패킷의 마지막 셀이 아닌 경우에도 역시 "정책 미결정" 상태의 패킷 셀인지 여부를 검사한다(606). 그 이유는 "정책 미결정" 패킷의 셀 중 마지막 셀에 대한 검사가 본 단계에서 진행되기 때문이다.On the other hand, even if the cell is not the last cell of the packet it is checked whether or not the packet cell of the "policy undecided" state (606). This is because the checking of the last cell of the cells of the "policy undecided" packet is performed in this step.

정책 미결정 패킷의 셀인 경우, 셀을 헤더 변환기(205)로 전달하고(608), 셀에 대한 처리를 종료한다.In the case of the cell of the policy undecided packet, the cell is forwarded to the header converter 205 (608), and the processing for the cell is terminated.

상술한 바와 같은 본 발명의 방법은 프로그램으로 구현되어 컴퓨터로 읽을 수 있는 형태로 기록매체(씨디롬, 램, 롬, 플로피 디스크, 하드 디스크, 광자기 디스크 등)에 저장될 수 있다.As described above, the method of the present invention may be implemented as a program and stored in a recording medium (CD-ROM, RAM, ROM, floppy disk, hard disk, magneto-optical disk, etc.) in a computer-readable form.

이상에서 설명한 본 발명은 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니고, 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하다는 것이 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어 명백할 것이다.The present invention described above is not limited to the above-described embodiments and the accompanying drawings, and various substitutions, modifications, and changes are possible in the art without departing from the technical spirit of the present invention. It will be clear to those of ordinary knowledge.

상기한 바와 같은 본 발명은, 종래의 IP 네트워크에서의 침입 차단 기능을 위하여 사용되던 라우터 기반의 패킷 스크린 기술을 ATM 네트워크의 스위치에 셀 스크린 기법으로 변형하여 적용하는 과정에서 발생하는 ATM 스위치의 성능 저하를 최소화하고, 셀 처리 효율을 향상시킬 수 있는 효과가 있다.As described above, the present invention reduces the performance of an ATM switch generated by applying a router-based packet screen technology, which has been used for the intrusion prevention function in a conventional IP network, to a cell screen technique. There is an effect to minimize the, and improve the cell processing efficiency.

즉, 연결 스크린 기능을 수행하는 CAC를 분산 구조로 구성함으로써 대규모의 네트워크에서 확장성을 확보할 수 있으며, 병렬적으로 배치된 셀 스크린부를 도입함으로써 ATM 방화벽 스위치가 셀 스크린 기능 수행으로 인하여 초래될 수 있는 셀 처리 지연을 줄이는 효과가 있다.That is, by configuring the CAC performing the connection screen function in a distributed structure, scalability can be secured in a large network, and by introducing a cell screen unit arranged in parallel, an ATM firewall switch can be caused by performing the cell screen function. This has the effect of reducing the cell processing delay.

Claims (13)

비동기 전송 모드(ATM : Asynchronous Transfer Mode) 방화벽 스위치 장치에 있어서,In the asynchronous transfer mode (ATM) firewall switch device, 분산된 구조로 신호연결 스크린 기능을 수행하기 위한 분산 호 수락 제어(CAC : Call Admission Control) 수단;Distributed call admission control (CAC) means for performing a signaling screen function in a distributed structure; 상기 ATM 방화벽 스위치 장치에 유입되는 셀들에 대해 병렬 셀 스크린 기능을 이용한 보안 정책을 적용하여 허가되지 않은 패킷으로부터 분할된 셀들의 유입을 차단하기 위한 스크린드(Screened) 입력 수단;Screened input means for applying the security policy using the parallel cell screen function to the cells flowing into the ATM firewall switch device to block the inflow of the divided cells from unauthorized packets; 상기 ATM 방화벽 스위치 장치의 제반 기능을 제어하는 장치 관리 수단;Device management means for controlling all functions of the ATM firewall switch device; 상기 스크린드 입력부로부터 보안정책이 기 적용된 셀을 입력받아 스위칭 동작을 수행하기 위한 셀 스위칭 수단; 및Cell switching means for receiving a cell to which a security policy has been previously applied from the screened input unit and performing a switching operation; And 상기 셀 스위칭 수단으로부터 셀을 입력받아 외부로 출력하기 위한 출력수단Output means for receiving a cell from the cell switching means and outputting the cell to the outside; 을 포함하는 분산 호 수락 제어 구조와 병렬 셀 스크린 구조를 갖는 비동기 전송 모드 방화벽 스위치 장치.An asynchronous transmission mode firewall switch device having a distributed call admission control structure and a parallel cell screen structure. 제 1 항에 있어서,The method of claim 1, 상기 스크린드 입력수단은,The screened input means, 상기 스크린드 입력수단으로 유입된 셀 중 신호 셀을 추출하기 위한 신호 셀여과 수단;Signal cell filtration means for extracting signal cells from cells introduced into the screened input means; 상기 신호 셀 여과 수단으로부터 출력되는 셀 중 관리 셀을 추출하기 위한 관리 셀 여과 수단;Management cell filtering means for extracting a management cell from the cells output from the signal cell filtering means; 상기 관리 셀 여과 수단으로부터 입력받은 셀에 대해 병렬적으로 배치된 사용자 셀 여과기를 이용함으로써 스크린 정책 적용으로 인해 야기되는 셀 처리시간 지연을 단축시키기 위한 병렬 셀 스크린 수단; 및Parallel cell screen means for reducing cell processing time delay caused by application of a screen policy by using a user cell filter disposed in parallel with a cell received from the management cell filtering means; And 상기 병렬 셀 스크린 수단으로 입력받은 사용자 셀에 스위치 정보를 추가시켜 셀 스위칭 수단으로 출력하기 위한 헤더변환 수단;Header conversion means for adding switch information to a user cell received through the parallel cell screen means and outputting the switch information to a cell switching means; 가상 경로(VP : Virtual Path)/가상 채널(VC : Virtual Channel) 정보와 가상 회선에 대한 정책정보를 저장하기 위한 VP/VC 저장 수단; 및VP / VC storage means for storing virtual path (VP) / virtual channel (VC) information and policy information for the virtual circuit; And 보안정책 결정을 위하여 참조하기 위한 보안정책 임시저장 수단Temporary storage of security policy for reference for security policy decision 을 포함하는 분산 호 수락 제어 구조와 병렬 셀 스크린 구조를 갖는 비동기 전송 모드 방화벽 스위치 장치.An asynchronous transmission mode firewall switch device having a distributed call admission control structure and a parallel cell screen structure. 제 2 항에 있어서,The method of claim 2, 상기 병렬 셀 스크린 수단은,The parallel cell screen means, 상기 병렬 셀 스크린 수단으로 유입된 사용자 셀을 병렬배치된 사용자 셀 여과수단의 수만큼 복제하여 각 사용자 셀 여과기로 전달하기 위한 셀 복제 수단;Cell copying means for replicating the user cells introduced into the parallel cell screening means by the number of parallelly arranged user cell filtering means and transferring them to each user cell filter; 상기 병렬 셀 스크린 수단으로 유입된 사용자 셀을 병렬배치된 사용자 셀 여과수단이 현재 처리하고 있는 셀에 대한 부하를 계산하여 가장 부하가 적은 상기 사용자 셀 여을수단으로 전달하기 위한 부하 분배 수단; 및Load distributing means for calculating the load on the cell currently being processed by the parallel cell screen filtering means and transmitting the user cell introduced into the parallel cell screen means to the user cell filtering means having the least load; And 병렬적으로 배치되어 상기 셀 복제 수단 또는 부하 분배 수단으로부터 셀을 전달받아 셀 스크린 기능을 이용하여 상기 셀에 대한 여과동작을 수행하기 위한 사용자 셀 여과 수단User cell filtering means for receiving the cell from the cell replication means or the load distribution means arranged in parallel to perform the filtration operation on the cell using a cell screen function 을 포함하는 분산 호 수락 제어 구조와 병렬 셀 스크린 구조를 갖는 비동기 전송 모드 방화벽 스위치 장치.An asynchronous transmission mode firewall switch device having a distributed call admission control structure and a parallel cell screen structure. 제 3 항에 있어서,The method of claim 3, wherein 상기 셀 복제 수단 및 상기 부하 분배 수단은,The cell replication means and the load distribution means, 선택적으로 사용가능한 것을 특징으로 하는 분산 호 수락 제어 구조와 병렬 셀 스크린 구조를 갖는 비동기 전송 모드 방화벽 스위치 장치.An asynchronous transmission mode firewall switch device having a distributed call admission control structure and a parallel cell screen structure, characterized in that it is optionally usable. 제 3 항 또는 제 4 항에 있어서,The method according to claim 3 or 4, 상기 사용자 셀 여과 수단은,The user cell filtering means, 상기 셀 복제 수단으로부터 복제된 사용자 셀을 입력받아 가상 경로 식별자(VPI : Virtual Path Indicator)를 참조하여 할당된 셀에 대해서만 여과기능을 수행하고 나머지 셀은 처리하지 않는 것을 특징으로 하는 분산 호 수락 제어구조와 병렬 셀 스크린 구조를 갖는 비동기 전송 모드 방화벽 스위치 장치.Distributed call admission control structure, characterized in that the user cell is received from the cell replication means and performs filtering function only on the assigned cell by referring to a virtual path indicator (VPI) and does not process the remaining cells. Asynchronous transmission mode firewall switch device having a parallel cell screen structure. 비동기 전송 모드(ATM : Asynchronous Transfer Mode) 방화벽 스위치 장치의 보안정책 적용방법에 있어서,Asynchronous Transfer Mode (ATM) In the security policy application method of the firewall switch device, 사용자 셀 여과수단으로 유입된 사용자 셀에 대하여, VP(Virtual Path)/VC(Virtual Channel) 저장 수단의 가상 회선 수준에 설정되어 있는 정책을 검사하여, 상기 가상 회선에 대해 패킷 수준의 보안정책을 적용할 것인지 여부를 판단하는 제 1 단계;For the user cell flowing into the user cell filtering means, the policy set at the virtual line level of the Virtual Path (VP) / Virtual Channel (VC) storage means is examined, and a packet level security policy is applied to the virtual line. A first step of determining whether to do so; 상기 보안정책 적용이 설정된 가상 회선에 대하여 패킷 수준의 보안정책 검사가 설정되면, 보안정책 임시저장 수단을 참조하여 보안정책을 결정하며, 상기 보안정책 임시저장 수단에 일치하는 엔트리가 없을 경우 전체 보안정책 저장수단의 정책정보에 대한 검사를 통해 보안정책을 결정하는 제 2 단계; 및When the packet level security policy check is set for the virtual circuit to which the security policy is applied, the security policy is determined by referring to the security policy temporary storage means. When there is no entry matching the security policy temporary storage means, the entire security policy is determined. A second step of determining a security policy by inspecting the policy information of the storage means; And 상기 패킷 수준의 보안정책 결정이 이루어지지 않은 상태에서, 패킷의 마지막 셀이 도착하면, 상기 마지막 셀을 보안정책 결정이 이루어질 때까지 사용자 셀 여과수단에서 차단하여 비인가된 패킷의 유입을 차단하는 제 3 단계In a state in which the packet level security policy is not determined, when the last cell of the packet arrives, the third cell is blocked by the user cell filtering means until the security policy decision is made to block the inflow of unauthorized packets step 를 포함하는 분산 호 수락 제어 구조와 병렬 셀 스크린 구조를 갖는 비동기 전송 모드 방화벽 스위치 장치의 보안정책 적용방법.Security policy application method of asynchronous transmission mode firewall switch device having a distributed call admission control structure and a parallel cell screen structure. 제 6 항에 있어서,The method of claim 6, 상기 제 1 단계는,The first step is, 연결설정시에 분산 호 수락 제어(CAC :Call Admission Control) 수단에 의한 연결 스크린 기능이 수행된 결과, 연결허가된 가상 회선에 상응하는 가상 경로(VP : Virtual Path)/가상 채널(VC : Virtual Channel) 저장 수단에 기록된 보안정책 정보를 참조하여 가상 회선 수준의 보안정책 여부를 판단하는 제 4 단계;As a result of the connection screen function performed by Call Admission Control (CAC) means at the time of connection establishment, a virtual path (VP) / virtual channel (VC) corresponding to a virtual circuit to which connection is allowed is performed. A fourth step of determining whether a security policy at the virtual line level is referred to by referring to the security policy information recorded in the storage means; 상기 제 4 단계에서의 판단결과, 상기 VP/VC 저장 수단에 기록되어 있는 가상 회선 수준의 보안정책이 "통과"로 설정되어 있는 경우, 동일한 가상 경로 지시자(VPI : Virtual Path Indicator)/가상 채널 지시자(VCI : Virtual Channel Indicator) 번호를 갖는 모든 셀들을 헤더변환 수단으로 전달하는 제 5 단계; 및As a result of the determination in the fourth step, when the virtual line level security policy recorded in the VP / VC storage means is set to "pass", the same virtual path indicator (VPI) / virtual channel indicator (VPI) A fifth step of delivering all cells having a Virtual Channel Indicator (VCI) number to header conversion means; And 상기 제 4 단계에서의 판단결과, 상기 가상 회선 수준의 보안정책이 "적용"으로 설정되어 있는 경우, 패킷 수준의 보안정책을 적용하는 제 6 단계A sixth step of applying a packet level security policy when the virtual line level security policy is set to "apply" as a result of the determination in the fourth step; 를 포함하는 분산 호 수락 제어 구조와 병렬 셀 스크린 구조를 갖는 비동기 전송 모드 방화벽 스위치 장치의 보안정책 적용방법.Security policy application method of asynchronous transmission mode firewall switch device having a distributed call admission control structure and a parallel cell screen structure. 제 6 항 또는 제 7 항에 있어서,The method according to claim 6 or 7, 상기 제 2 단계는,The second step, 사용자 셀 여과 수단으로 유입된 셀을 포함한 패킷에 대해 상기 VP/VC 저장 수단에 기록된 보안정책 여부를 판단하는 제 7 단계;Determining a security policy recorded in the VP / VC storage means for the packet including the cell introduced into the user cell filtering means; 상기 제 7 단계에서의 판단결과, 상기 패킷수준의 보안정책이 "통과"로 설정되어 있는 경우, 해당 셀을 변환 수단으로 전달하는 제 8 단계;An eighth step of delivering the cell to the converting means when the packet level security policy is set to "pass" as a result of the determination in the seventh step; 상기 제 7 단계에서의 판단결과, 상기 패킷수준의 보안정책이 "차단"으로 설정되어 있는 경우, 해당 셀의 유입을 차단하는 제 9 단계;A ninth step of blocking inflow of a corresponding cell when the packet-level security policy is set to "blocking" as a result of the determination in the seventh step; 상기 제 7 단계에서의 판단결과, 상기 패킷수준의 보안정책이 "정책 미결정"으로 설정되어 있는 경우, 패킷의 마지막 셀 여부를 판단하는 제 10 단계;A tenth step of determining whether the packet is the last cell when the packet-level security policy is set to "policy undecided" as a result of the determination in the seventh step; 상기 제 7 단계에서의 판단결과, 상기 패킷수준의 보안정책이 "IP_Option"으로 설정되어 있는 경우, 셀을 버퍼에 복사한 후 패킷 수준의 보안정책을 "적용"으로 설정하는 제 11 단계;An eleventh step of copying a cell to a buffer and setting the packet level security policy to "apply" when the packet level security policy is set to "IP_Option" as a result of the determination in the seventh step; 상기 제 7 단계에서의 판단결과, 상기 패킷수준의 보안정책이 "적용"으로 설정되어 있는 경우, 상기 "IP_Option" 사용여부를 판단하는 제 12 단계;A twelfth step of determining whether to use the “IP_Option” when the packet level security policy is set to “apply” as a result of the determination in the seventh step; 상기 제 12 단계에서의 판단결과, "IP_Option"을 사용하는 경우, 이에 상응하는 셀처리 과정을 거치는 제 13 단계; 및As a result of the determination in the twelfth step, in the case of using “IP_Option”, a thirteenth step of performing a cell processing corresponding thereto; And 상기 제 12 단계에서의 판단결과, 상기 "IP_Option"을 사용하지 않거나, 상기 제 11 단계에서 상기 보안정책을 "적용"으로 설정한 경우 보안정책 임시저장 수단의 정책정보를 참조하는 제 14 단계As a result of the determination in the twelfth step, when the "IP_Option" is not used or the security policy is set to "apply" in the eleventh step, the fourteenth step of referring to the policy information of the security policy temporary storage means 를 포함하는 분산 호 수락 제어 구조와 병렬 셀 스크린 구조를 갖는 비동기 전송 모드 방화벽 스위치 장치의 보안정책 적용방법.Security policy application method of asynchronous transmission mode firewall switch device having a distributed call admission control structure and a parallel cell screen structure. 제 8 항에 있어서,The method of claim 8, 상기 제 13 단계는,The thirteenth step, 버퍼에 패킷의 첫번째 셀을 저장하는 제 15 단계;A fifteenth step of storing the first cell of the packet in a buffer; 상기 셀을 헤더변환 수단으로 전달하는 제 16 단계; 및A sixteenth step of delivering the cell to header conversion means; And 상기 패킷 수준의 보안정책을 "IP_Option"으로 설정하는 제 17 단계Step 17 of setting the packet level security policy to "IP_Option" 를 포함하는 분산 호 수락 제어 구조와 병렬 셀 스크린 구조를 갖는 비동기 전송 모드 방화벽 스위치 장치의 보안정책 적용방법.Security policy application method of asynchronous transmission mode firewall switch device having a distributed call admission control structure and a parallel cell screen structure. 제 8 항에 있어서,The method of claim 8, 상기 제 14 단계는,The fourteenth step, 상기 보안정책 임시저장 수단의 정책정보에 엔트리가 존재하는지 여부를 판단하는 제 15 단계;A fifteenth step of determining whether an entry exists in the policy information of the security policy temporary storage means; 상기 제 15 단계에서의 판단결과, 존재하지 않음이 확인되면 보안정책 검사 수단으로 정책결정 요구신호를 송신하며, 패킷 수준의 보안정책을 "정책 미결정"으로 설정하는 제 16 단계; 및A sixteenth step of transmitting a policy decision request signal to the security policy checking means when it is determined that there is no existence, and setting the packet level security policy to "policy undecided"; And 상기 제 15 단계에서의 판단결과, 존재함이 확인되면 상기 보안정책 임시저장 수단의 정책정보에 따라 셀을 처리하는 제 17 단계A 17th step of processing the cell according to the policy information of the security policy temporary storage means when it is determined that there exists the determination result in the 15th step 를 포함하는 분산 호 수락 제어 구조와 병렬 셀 스크린 구조를 갖는 비동기 전송 모드 방화벽 스위치 장치의 보안정책 적용방법.Security policy application method of asynchronous transmission mode firewall switch device having a distributed call admission control structure and a parallel cell screen structure. 제 10 항에 있어서,The method of claim 10, 상기 제 17 단계는,The seventeenth step, 상기 보안정책 임시저장 수단의 정책정보를 검사하는 제 18 단계;An eighteenth step of inspecting policy information of the security policy temporary storage means; 상기 제 18 단계의 검사결과, "통과"로 설정되어 있는 경우 상기 셀을 헤더변환 수단으로 전달하며, 패킷 수준의 보안정책을 "통과"로 설정하는 제 19 단계; 및A nineteenth step of transmitting the cell to the header converting means when the check result of the eighteenth step is set to "pass", and setting a packet level security policy to "pass"; And 상기 제 18 단계의 검사결과, "차단"으로 설정되어 있는 경우 상기 셀의 유입을 차단하며, 패킷 수준의 보안정책을 "차단"으로 설정하는 제 20 단계As a result of the inspection in the eighteenth step, in the case of being set to "blocking", the inflow of the cell is blocked, and the 20th step of setting a packet-level security policy to "blocking" 를 포함하는 분산 호 수락 제어 구조와 병렬 셀 스크린 구조를 갖는 비동기 전송 모드 방화벽 스위치 장치의 보안정책 적용방법.Security policy application method of asynchronous transmission mode firewall switch device having a distributed call admission control structure and a parallel cell screen structure. 제 6 항에 있어서,The method of claim 6, 상기 제 3 단계는,The third step, 상기 패킷의 마지막 셀인지의 여부를 검사하는 제 4 단계;A fourth step of checking whether the packet is the last cell of the packet; 상기 제 4 단계에서의 검사결과, 마지막 셀이 아닌 경우 정책 미결정 패킷인지의 여부를 다시 검사하는 제 5 단계;A fifth step of checking again whether a policy undecided packet is found if it is not the last cell as a result of the check in the fourth step; 상기 제 5 단계의 검사결과, 정책 미결정 패킷이면 상기 셀을 헤더변환 수단으로 전달하는 제 6 단계;A sixth step of transmitting the cell to a header converting means if it is a policy undecided packet as a result of the check in the fifth step; 상기 제 4 단계에서의 검사결과, 마지막 셀인 경우 정책 미결정 패킷인지의 여부를 다시 검사하는 제 7 단계;A seventh step of re-checking whether or not a policy is undecided packet in the case of the last cell as a result of the check in the fourth step; 상기 제 7 단계에서의 검사결과, 정책 미결정 패킷이면 상기 마지막 셀을 버퍼에 저장한 후, 패킷의 보안정책을 "적용"으로 초기화하는 제 8 단계; 및An eighth step of initializing the security policy of the packet to "apply" after storing the last cell in a buffer as a result of the check in the seventh step; And 상기 제 7 단계에서의 검사결과, 정책 미결정 패킷이 아니면 상기 마지막 셀을 버퍼에 저장하지 않은 채, 패킷의 보안정책을 "적용"으로 초기화하는 제 9 단계A ninth step of initializing the security policy of the packet to "apply" without storing the last cell in a buffer if it is not a policy undecided packet as a result of the check in the seventh step 를 포함하는 분산 호 수락 제어 구조와 병렬 셀 스크린 구조를 갖는 비동기 전송 모드 방화벽 스위치 장치의 보안정책 적용방법.Security policy application method of asynchronous transmission mode firewall switch device having a distributed call admission control structure and a parallel cell screen structure. 프로세서를 구비한 분산 호 수락 제어(CAC : Call Admission Control) 구조와 병렬 셀 스크린 구조를 갖는 비동기 전송 모드(ATM : Asynchronous Transfer Mode) 방화벽 스위치 장치에,In an Asynchronous Transfer Mode (ATM) firewall switch device having a distributed call admission control (CAC) structure having a processor and a parallel cell screen structure, 사용자 셀 여과수단으로 유입된 사용자 셀에 대하여, VP(Virtual Path)/VC(Virtual Channel) 저장 수단의 가상 회선 수준에 설정되어 있는 정책을 검사하여, 상기 가상 회선에 대해 패킷 수준의 보안정책을 적용할 것인지 여부를 판단하는 제 1 기능;For the user cell flowing into the user cell filtering means, the policy set at the virtual line level of the Virtual Path (VP) / Virtual Channel (VC) storage means is examined, and a packet level security policy is applied to the virtual line. A first function of determining whether to do so; 상기 보안정책 적용이 설정된 가상 회선에 대하여 패킷 수준의 보안정책 검사가 설정되면, 보안정책 임시저장 수단을 참조하여 보안정책을 결정하며, 상기 보안정책 임시저장 수단에 일치하는 엔트리가 없을 경우 전체 보안정책 저장수단의정책정보에 대한 검사를 통해 보안정책을 결정하는 제 2 기능; 및When the packet level security policy check is set for the virtual circuit to which the security policy is applied, the security policy is determined by referring to the security policy temporary storage means. When there is no entry matching the security policy temporary storage means, the entire security policy is determined. A second function of determining a security policy by inspecting policy information of the storage means; And 상기 패킷 수준의 보안정책 결정이 이루어지지 않은 상태에서, 패킷의 마지막 셀이 도착하면, 상기 마지막 셀을 보안정책 결정이 이루어질 때까지 사용자 셀 여과수단에서 차단하여 비인가된 패킷의 유입을 차단하는 제 3 기능In a state in which the packet level security policy is not determined, when the last cell of the packet arrives, the third cell is blocked by the user cell filtering means until the security policy decision is made to block the inflow of unauthorized packets function 을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.A computer-readable recording medium having recorded thereon a program for realizing this.
KR10-2001-0081421A 2001-12-19 2001-12-19 Method and Apparatus of ATM(Asynchronous Transfer Mode) Firewall Switch having distributed CAC(Call Admission Control) and Parallel Cell Screen Structure KR100428719B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2001-0081421A KR100428719B1 (en) 2001-12-19 2001-12-19 Method and Apparatus of ATM(Asynchronous Transfer Mode) Firewall Switch having distributed CAC(Call Admission Control) and Parallel Cell Screen Structure

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2001-0081421A KR100428719B1 (en) 2001-12-19 2001-12-19 Method and Apparatus of ATM(Asynchronous Transfer Mode) Firewall Switch having distributed CAC(Call Admission Control) and Parallel Cell Screen Structure

Publications (2)

Publication Number Publication Date
KR20030050883A true KR20030050883A (en) 2003-06-25
KR100428719B1 KR100428719B1 (en) 2004-04-28

Family

ID=29576568

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2001-0081421A KR100428719B1 (en) 2001-12-19 2001-12-19 Method and Apparatus of ATM(Asynchronous Transfer Mode) Firewall Switch having distributed CAC(Call Admission Control) and Parallel Cell Screen Structure

Country Status (1)

Country Link
KR (1) KR100428719B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100471636B1 (en) * 2002-04-08 2005-03-08 씨에이치케이한강 주식회사 system for processing a packet on a network of computer systems using a multi-bridge mode

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
SE513255C2 (en) * 1998-09-11 2000-08-07 Telia Ab Improvements in or related to transmission systems
KR20010035612A (en) * 1999-10-01 2001-05-07 윤종용 Method for checking client for security in PABX
JP2001156799A (en) * 1999-11-30 2001-06-08 Nec Corp Atm controller
KR20010057723A (en) * 1999-12-23 2001-07-05 오길록 Data security simulator for atm network
KR100363881B1 (en) * 2000-12-04 2002-12-11 한국전자통신연구원 ATM Firewall Structure and Operational Procedure of User Authentication Which is Based on the Internet Protocol Address Access Control List
KR20020069435A (en) * 2001-02-26 2002-09-04 삼성전자 주식회사 Method for Distributed Switching

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100471636B1 (en) * 2002-04-08 2005-03-08 씨에이치케이한강 주식회사 system for processing a packet on a network of computer systems using a multi-bridge mode

Also Published As

Publication number Publication date
KR100428719B1 (en) 2004-04-28

Similar Documents

Publication Publication Date Title
US6279035B1 (en) Optimizing flow detection and reducing control plane processing in a multi-protocol over ATM (MPOA) system
Xu et al. Design and evaluation of a High-Performance ATM firewall switch and its applications
US7471683B2 (en) Device for enabling trap and trace of internet protocol communications
US6160811A (en) Data packet router
US6957258B2 (en) Policy gateway
US7529186B2 (en) Control plane security and traffic flow management
EP1012726B1 (en) Policy caching method and apparatus for use in a communication device
US6141755A (en) Firewall security apparatus for high-speed circuit switched networks
JP3954385B2 (en) System, device and method for rapid packet filtering and packet processing
US6772347B1 (en) Method, apparatus and computer program product for a network firewall
US6349098B1 (en) Method and apparatus for forming a virtual circuit
JP3078439B2 (en) Packet network interface and interface method
US20010048689A1 (en) Virtual reassembly system and method of operation thereof
US7206880B2 (en) Multi-protocol bus system and method of operation thereof
US7002974B1 (en) Learning state machine for use in internet protocol networks
KR100428719B1 (en) Method and Apparatus of ATM(Asynchronous Transfer Mode) Firewall Switch having distributed CAC(Call Admission Control) and Parallel Cell Screen Structure
US6925507B1 (en) Device and method for processing a sequence of information packets
Harbaum et al. Layer 4+ switching with QoS support for RTP and HTTP
Walton et al. High-speed data paths in host-based routers
JP3184138B2 (en) Apparatus and method for providing firewall protection for a system communicating with an asynchronous transfer mode system
Xu et al. Design of a high-performance ATM firewall
Bettati et al. {Real-Time} Intrusion Detection and Suppression in {ATM} Networks
WO2002080417A1 (en) Learning state machine for use in networks
WO2002102111A1 (en) Monitoring device and method
JP2000332761A (en) Transfer system and transfer method

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20100401

Year of fee payment: 7

LAPS Lapse due to unpaid annual fee