KR20030050883A - Method and Apparatus of ATM(Asynchronous Transfer Mode) Firewall Switch having distributed CAC(Call Admission Control) and Parallel Cell Screen Structure - Google Patents
Method and Apparatus of ATM(Asynchronous Transfer Mode) Firewall Switch having distributed CAC(Call Admission Control) and Parallel Cell Screen Structure Download PDFInfo
- Publication number
- KR20030050883A KR20030050883A KR1020010081421A KR20010081421A KR20030050883A KR 20030050883 A KR20030050883 A KR 20030050883A KR 1020010081421 A KR1020010081421 A KR 1020010081421A KR 20010081421 A KR20010081421 A KR 20010081421A KR 20030050883 A KR20030050883 A KR 20030050883A
- Authority
- KR
- South Korea
- Prior art keywords
- cell
- security policy
- packet
- policy
- parallel
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/54—Store-and-forward switching systems
- H04L12/56—Packet switching systems
- H04L12/5601—Transfer mode dependent, e.g. ATM
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/54—Store-and-forward switching systems
- H04L12/56—Packet switching systems
- H04L12/5601—Transfer mode dependent, e.g. ATM
- H04L2012/5629—Admission control
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/54—Store-and-forward switching systems
- H04L12/56—Packet switching systems
- H04L12/5601—Transfer mode dependent, e.g. ATM
- H04L2012/5687—Security aspects
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
본 발명은 분산 호 수락 제어 구조와 병렬 셀 스크린 구조를 갖는 비동기 전송 모드 방화벽 스위치 및 그 방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것으로 보다 상세하게는 분산 CAC 구조와 병렬 셀 스크린 구조를 갖는 ATM 방화벽 스위치를 설계하여 가상회선 또는 패킷 수준의 보안정책 적용시 연결 설정에 대한 병목 현상과 셀 처리시간의 지연을 최소화 시키며, 기존 스위치에 대한 변경을 최소화함과 동시에 내부 태그 사용의 필요성을 제거함으로써 ATM 방화벽 스위치 구조의 복잡성을 줄이는 것이다.The present invention relates to an asynchronous transmission mode firewall switch having a distributed call admission control structure and a parallel cell screen structure, and a method thereof and a computer-readable recording medium recording a program for realizing the method. ATM firewall switch with parallel cell screen structure is designed to minimize bottlenecks and delays in connection processing when applying virtual line or packet level security policies, and to minimize changes to existing switches. Eliminating the need to use tags reduces the complexity of ATM firewall switch architectures.
종래의 IP(Internet Protocol) 기반의 침입 차단 기능은 라우터 기반 패킷스크린(Packet Screen) 기법에 기반하고 있으며, 패킷의 TCP(Transmission Control Protocol)/IP 헤더 정보를 이용하여 비인가된 트래픽의 유입을 네트워크로부터 차단하였다. 그러나, 53 바이트의 셀단위 처리를 수행하는 ATM 네트워크에 라우터 기반 패킷 스크린 방식을 적용한 경우, 스크린(Screen) 규칙의 적용을 위해 분할 및 재결합(SAR: Segmentation And Reassembly) 과정이 필요하므로 ATM 스위치의 셀 처리 속도를 저하시키는 문제점을 갖고 있었다.The intrusion prevention function based on the conventional Internet Protocol (IP) is based on the router-based packet screen technique, and the inflow of unauthorized traffic from the network using the Transmission Control Protocol (TCP) / IP header information of the packet Blocked. However, when the router-based packet screening scheme is applied to an ATM network that performs 53-byte cell-based processing, segmentation and reassembly (SAR) is required to apply the screen rule, so that the ATM switch cell There was a problem of lowering the processing speed.
이같은 문제점을 해결하기 위해서 제안된 셀 스크린(Cell Screen) 기법은, 스크린 규칙의 적용을 위한 TCP/IP 헤더 정보가 IP 패킷이 ATM 셀로 분할되는 경우에 있어 패킷의 첫번째 셀에 위치한다는 점에 착안하여, 분할된 패킷의 첫번째 셀에 대한 검사를 통하여 보안 정책을 결정하는 방식이다.In order to solve this problem, the proposed cell screen scheme is based on the fact that the TCP / IP header information for the application of the screen rule is located in the first cell of the packet when the IP packet is divided into ATM cells. In this case, the security policy is determined by examining the first cell of the divided packet.
종래의 셀 스크린 기법에 기반한 ATM 방화벽 시스템의 구성방식으로는 물리회선으로부터 셀 스트림을 추출하여 셀 스크린 기법을 적용하는 독립적인 ATM 방화벽 시스템 구성방식과 기존의 ATM 스위치 구조에 대한 변경을 통하여 스위치가 침입 차단 기능을 수행할 수 있도록 하는 ATM 방화벽 스위치 구성 방식이 있었다.As a method of configuring an ATM firewall system based on the conventional cell screen technique, the switch intrudes through an independent ATM firewall system configuration method that applies a cell screen technique by extracting a cell stream from a physical line and changes to an existing ATM switch structure. There was a way to configure an ATM firewall switch that would enable blocking.
그러나, 전술한 ATM 방화벽 시스템 구성방식은 물리 회선으로부터 셀 스트림을 추출하는 과정에서 신호 셀, 관리 셀, 사용자 셀에 대한 구분이 수행되어야 하며, 교환 가상 회선(SVC : Switched Virtual Connection)에 대한 연결 스크린 기능의 수행이 셀 구분 과정 이후에 수행되어야 하므로, 대량의 트래픽이 유입되는 ATM 네트워크 환경에서 확장성을 보장하기 어렵다는 문제점을 안고 있었다.However, in the above-described ATM firewall system configuration, the classification of the signal cell, the management cell, and the user cell must be performed in the process of extracting the cell stream from the physical circuit, and the connection screen for the switched virtual connection (SVC) is performed. Since the performance of the function has to be performed after the cell separation process, it is difficult to guarantee scalability in an ATM network environment in which a large amount of traffic flows.
여기서, 연결 스크린 기능이란 함은 종단간 호(Call)연결 설정에 대한 입력데이터의 검증과 인증을 처리하는 스크린 기능을 말하며, 이하 동일한 의미로 사용된다.Here, the connection screen function refers to a screen function for processing the verification and authentication of the input data for the end-to-end call connection settings, and is used in the same meaning below.
한편, 상기 방식의 문제점을 해결하기 위해 근래에 제안된 ATM 방화벽 스위치 구성방식은 신호 셀, 관리 셀, 사용자 셀에 대한 구분이 수행되는 스위치 내(內) 입력모듈의 셀 처리(Cell Processing) 블록에 대한 수정을 통하여 셀 스크린 기능을 수행할 수 있도록 스위치 구조를 설계하는 방식이다.On the other hand, the ATM firewall switch configuration proposed in recent years to solve the problem of the method is applied to the Cell Processing block of the input module in the switch is performed to distinguish between the signal cell, the management cell, and the user cell The switch structure is designed to perform the cell screen function through the modification.
여기서, 셀 스크린 기능이라 함은 실제 연결이 이루어진 뒤 사용자의 연결패스를 통하여 전송되는 데이터의 흐름이 셀로 유입되는 시점에서 셀들의 스크린 기능을 처리하는 것을 말하며, 이하 동일한 의미로 사용된다.Here, the cell screen function refers to processing the screen function of the cells at the time when the flow of data transmitted through the connection path of the user flows into the cell after the actual connection is made.
그러나, ATM 방화벽 스위치 구성방식 또한 다수의 교환 가상 회선(SVC : Switched Virtual Connection)이 생성되고 소멸되는 네트워크 환경에서 연결 스크린 기능을 추가적으로 수행해야 하는 호 수락 제어(CAC : Call Admission Control) 블록이 종래와 같이 중앙집중형으로 구성될 경우, 확장성을 보장하기 힘들며, 패킷에 대한 보안정책 결정 과정에서 셀 지연이 발생할 수 있다는 문제점이 여전히 남아 있었다. 또한, 이러한 셀 지연을 최소화하기 위해 적용되던 기법들은 과다한 스위치 내부 태그의 사용으로 인해 그 구현에 있어 시스템의 복잡성을 증가시킨다는 문제점이 있었다.However, the ATM firewall switch configuration method also has a Call Admission Control (CAC) block that additionally performs a connection screen function in a network environment where a large number of switched virtual connections (SVCs) are created and destroyed. In the case of centralized configuration, it is difficult to guarantee scalability and there is still a problem that a cell delay may occur in the process of determining a security policy for a packet. In addition, the techniques applied to minimize such cell delay have a problem of increasing the complexity of the system in the implementation due to the excessive use of the tag inside the switch.
본 발명은, 상기한 바와 같은 종래 기술의 제반 문제점을 해결하기 위하여제안된 것으로, 분산 호 수락 제어 구조와 병렬 셀 스크린 구조를 갖는 비동기 전송 모드 방화벽 스위치 및 그 방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공하는데 그 목적이 있다.The present invention has been proposed to solve the above-mentioned problems of the prior art, and includes an asynchronous transmission mode firewall switch having a distributed call admission control structure and a parallel cell screen structure, a method thereof, and a program for realizing the method. Its purpose is to provide a computer-readable recording medium having recorded thereon.
즉, 분산구조의 호 수락 제어(CAC : Call Admission Control)부를 도입하여, SVC(Switched Virtual Connection)의 설정 빈도 수가 높은 대규모의 네트워크 상에서 연결 스크린 기능이 수행되는 경우 연결 설정에 대한 병목현상을 완화시키며, 병렬구조의 셀 스크린부를 이용하여 스크린 정책 적용으로 인한 셀 처리 시간의 지연을 최소화 하는 것이다. 또한, 정책 결정 과정에서 수반되는 셀 버퍼링 기능을 스크린드(Screened) 입력부에서 수행하도록 함으로써 기존 스위치에 대한 변경을 최소화 함과 동시에 내부 태그 사용의 필요성을 제거함으로써 ATM 방화벽 스위치 구조의 복잡성을 줄이는 것이다.In other words, by introducing a distributed Call Admission Control (CAC) unit, when the connection screen function is performed on a large network with a high frequency of Switched Virtual Connection (SVC), the bottleneck of connection establishment is alleviated. In other words, the cell screen of the parallel structure is used to minimize the delay of the cell processing time due to the application of the screen policy. In addition, the cell buffering function involved in the policy decision process is performed at the screened input unit, thereby minimizing the change to the existing switch and at the same time eliminating the need for the use of internal tags, thereby reducing the complexity of the ATM firewall switch structure.
도 1 은 본 발명에 따른 ATM 방화벽 스위치의 일실시예 구성도.1 is a block diagram of an embodiment of an ATM firewall switch according to the present invention.
도 2 는 본 발명에 따른 ATM 방화벽 스위치 내(內) 스크린드(Screened) 입력부의 일실시예 상세 구성도.2 is a detailed block diagram of an embodiment of a screened input unit in an ATM firewall switch according to the present invention;
도 3 은 본 발명에 따른 보안정책 적용방법에 대한 일실시예 흐름도.3 is a flowchart illustrating an embodiment of a method for applying a security policy according to the present invention.
도 4 는 본 발명에 따른 가상회선 수준의 보안정책 적용방법에 대한 일실시예 흐름도.4 is a flowchart illustrating an embodiment of a method for applying a security policy at a virtual line level according to the present invention.
도 5 는 본 발명에 따른 패킷 수준의 보안정책 적용방법에 대한 일실시예 흐름도.5 is a flowchart illustrating a method for applying a packet level security policy according to the present invention.
도 6 은 본 발명에 따라 패킷 수준의 보안정책을 적용했을 때, 패킷의 마지막 셀처리 방법에 대한 일실시예 흐름도.6 is a flowchart illustrating an embodiment of a method for processing a last cell of a packet when a packet level security policy is applied according to the present invention.
* 도면의 주요 부분에 대한 부호의 설명* Explanation of symbols for the main parts of the drawings
100 : ATM 방화벽 스위치 101 : 분산 호 수락 제어부100: ATM firewall switch 101: distributed call acceptance control
102 : 스크린드 입력부 103 : 시스템 관리부102: screen input unit 103: system management unit
104 : 셀 스위칭 부 105 : 출력부104: cell switching unit 105: output unit
200 : 신호 셀 여과기 201 : 관리 셀 여과기200: signal cell filter 201: management cell filter
202 : 병렬 셀 스크린기 203 : 셀 복제/부하 분배기202: parallel cell screener 203: cell replication / load divider
204 : 사용자 셀 여과기 205 : 헤더 변환기204: User Cell Strainer 205: Header Converter
206 : VP/VC 테이블 207 : 보안정책 캐쉬206: VP / VC Table 207: Security Policy Cache
208 : 보안정책 검사부 209 : 보안정책 저장부208: security policy inspection unit 209: security policy storage unit
상기 목적을 달성하기 위한 본 발명은, 분산 호 수락 제어(CAC : Call Admission Control) 구조와 병렬 셀 스크린 구조를 갖는 비동기 전송 모드(ATM : Asynchronous Transfer Mode) 방화벽 스위치 장치에 있어서 분산된 구조로 신호연결 스크린 기능을 수행하기 위한 분산 호 수락 제어(CAC : Call Admission Control) 수단; 상기 ATM 방화벽 스위치 장치에 유입되는 셀들에 대해 병렬 셀 스크린 기능을 이용한 보안 정책을 적용하여 허가되지 않은 패킷으로부터 분할된 셀들의 유입을 차단하기 위한 스크린드(Screened) 입력 수단; 상기 ATM 방화벽 스위치 장치의 제반 기능을 제어하는 장치 관리 수단; 상기 스크린드 입력부로부터 보안정책이 기 적용된 셀을 입력받아 스위칭 동작을 수행하기 위한 셀 스위칭 수단; 및 상기 셀 스위칭 수단으로부터 셀을 입력받아 외부로 출력하기 위한 출력수단을 포함하는 것을 특징으로 한다.The present invention for achieving the above object, the signal connection in a distributed structure in an Asynchronous Transfer Mode (ATM) firewall switch device having a distributed call admission control (CAC) structure and a parallel cell screen structure Distributed call admission control (CAC) means for performing a screen function; Screened input means for applying the security policy using the parallel cell screen function to the cells flowing into the ATM firewall switch device to block the inflow of the divided cells from unauthorized packets; Device management means for controlling all functions of the ATM firewall switch device; Cell switching means for receiving a cell to which a security policy has been previously applied from the screened input unit and performing a switching operation; And output means for receiving a cell from the cell switching means and outputting the cell to the outside.
한편 본 발명은, 분산 호 수락 제어(CAC : Call Admission Control) 구조와 병렬 셀 스크린 구조를 갖는 비동기 전송 모드(ATM : Asynchronous Transfer Mode) 방화벽 스위치 장치의 보안정책 적용방법에 있어서, 사용자 셀 여과수단으로 유입된 사용자 셀에 대하여, VP(Virtual Path)/VC(Virtual Channel) 저장 수단의 가상 회선 수준에 설정되어 있는 정책을 검사하여, 상기 가상 회선에 대해 패킷 수준의 보안정책을 적용할 것인지 여부를 판단하는 제 1 단계; 상기 보안정책 적용이 설정된 가상 회선에 대하여 패킷 수준의 보안정책 검사가 설정되면, 보안정책 임시저장 수단을 참조하여 보안정책을 결정하며, 상기 보안정책 임시저장 수단에 일치하는 엔트리가 없을 경우 전체 보안정책 저장수단의 정책정보에 대한 검사를 통해 보안정책을 결정하는 제 2 단계; 및 상기 패킷 수준의 보안정책 결정이 이루어지지 않은 상태에서, 패킷의 마지막 셀이 도착하면, 상기 마지막 셀을 보안정책 결정이 이루어질 때까지 사용자 셀 여과수단에서 차단하여 비인가된 패킷의 유입을 차단하는 제 3 단계를 포함하는 것을 특징으로 한다.Meanwhile, the present invention provides a method for applying a security policy to an Asynchronous Transfer Mode (ATM) firewall switch device having a distributed call admission control (CAC) structure and a parallel cell screen structure. The incoming user cell is examined for the policy set at the virtual line level of the virtual path (VP) / virtual channel (VC) storage means to determine whether to apply a packet level security policy to the virtual line. A first step of making; When the packet level security policy check is set for the virtual circuit to which the security policy is applied, the security policy is determined by referring to the security policy temporary storage means. When there is no entry matching the security policy temporary storage means, the entire security policy is determined. A second step of determining a security policy by inspecting the policy information of the storage means; And when the last cell of the packet arrives in the state where the packet level security policy decision is not made, blocking the last cell from the user cell filtering means until the security policy decision is made to block the inflow of unauthorized packets. Characterized in that it comprises three steps.
한편 본 발명은, 프로세서를 구비한 분산 호 수락 제어(CAC : Call Admission Control) 구조와 병렬 셀 스크린 구조를 갖는 비동기 전송 모드(ATM : Asynchronous Transfer Mode) 방화벽 스위치 장치에, 사용자 셀 여과수단으로 유입된 사용자 셀에 대하여, VP(Virtual Path)/VC(Virtual Channel) 저장 수단의 가상 회선 수준에 설정되어 있는 정책을 검사하여, 상기 가상 회선에 대해 패킷 수준의 보안정책을 적용할 것인지 여부를 판단하는 제 1 기능; 상기 보안정책 적용이 설정된 가상 회선에 대하여 패킷 수준의 보안정책 검사가 설정되면, 보안정책 임시저장 수단을 참조하여 보안정책을 결정하며, 상기 보안정책 임시저장 수단에 일치하는 엔트리가 없을 경우 전체 보안정책 저장수단의 정책정보에 대한 검사를 통해 보안정책을 결정하는 제 2 기능; 및 상기 패킷 수준의 보안정책 결정이 이루어지지 않은 상태에서, 패킷의 마지막 셀이 도착하면, 상기 마지막 셀을 보안정책 결정이 이루어질 때까지 사용자 셀 여과수단에서 차단하여 비인가된 패킷의 유입을 차단하는 제 3 기능을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공한다.On the other hand, the present invention is introduced into the Asynchronous Transfer Mode (ATM) firewall switch device having a distributed call admission control (CAC) structure and a parallel cell screen structure having a processor, the user cell filtering means Checking a policy set at the virtual line level of the virtual path (VP) / virtual channel (VC) storage means for the user cell, and determining whether to apply a packet level security policy to the virtual line. 1 function; When the packet level security policy check is set for the virtual circuit to which the security policy is applied, the security policy is determined by referring to the security policy temporary storage means. When there is no entry matching the security policy temporary storage means, the entire security policy is determined. A second function of determining a security policy by inspecting policy information of the storage means; And when the last cell of the packet arrives in the state where the packet level security policy decision is not made, blocking the last cell from the user cell filtering means until the security policy decision is made to block the inflow of unauthorized packets. A computer readable recording medium having recorded thereon a program for realizing the function is provided.
상술한 목적, 특징들 및 장점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해 질 것이다. 이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 일실시예를 상세히 설명한다.The above objects, features and advantages will become more apparent from the following detailed description taken in conjunction with the accompanying drawings. Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings.
도 1 은 본 발명에 따른 ATM 방화벽 스위치의 일실시예 구성도이며, 종래 시스템 관리부(103) 내에 존재하였던 중앙집중형이 아닌 도면에 도시된 바와 같이, 분산된 구조로 신호 연결 스크린 기능을 수행하기 위한 분산 호 수락 제어부(CAC)(101)와, 종래의 입력부에 셀 스크린 기능이 추가되어 셀 스위칭부(104)에 유입되는 셀들에 대해 보안 정책을 적용하여 허가되지 않은 패킷으로부터 분할된 셀들의 유입을 차단하기 위한 스크린드 입력부(102)와, 셀 스위칭부(104)와 출력부(105)를 포함한다.1 is a configuration diagram of an ATM firewall switch according to an embodiment of the present invention, and as shown in a non-centralized diagram existing in the system management unit 103, to perform a signal connection screen function in a distributed structure. The cell screen function is added to the distributed call admission control unit (CAC) 101 and the conventional input unit to apply the security policy to the cells flowing into the cell switching unit 104 to introduce the divided cells from the unauthorized packets. And a screened input unit 102, a cell switching unit 104, and an output unit 105 for blocking the screen.
도 2 는 본 발명에 따른 ATM 방화벽 스위치 내(內) 스크린드(Screened) 입력부의 일실시예 상세 구성도이며, 스크린드 입력부(102)는 스크린드 입력부(102)로 유입된 셀 중 신호 셀을 추출하기 위한 신호 셀 여과기(200)와 신호 셀 여과기(200)를 통과한 셀 중 관리 셀을 추출해 내기 위한 관리 셀 여과기(201)와 스크린 정책 적용으로 인한 셀 처리시간 지연을 단축시키기 위한 병렬 셀 스크린기(202)와 병렬 셀 스크린기(202)를 통과한 사용자 셀에 스위치 정보를 추가시켜 셀 스위칭부(104)로 출력하기 위한 헤더 변환기(205)와 할당된 VPI/VCI 정보와 가상 회선에 대한 정책정보를 저장하기 위한 VP/VC 테이블(206)과 보안정책 결정을 위하여 참조하기 위한 보안정책 캐쉬(207)를 포함한다.2 is a detailed block diagram of an embodiment of a screened input unit in an ATM firewall switch according to the present invention, wherein the screened input unit 102 is a signal cell among cells introduced into the screened input unit 102. Parallel cell screen to reduce cell processing time delay due to application of screen policy and management cell filter 201 for extracting the management cell from the cell that has passed through the signal cell filter 200 and the signal cell filter 200 for extraction Header converter 205 for adding switch information to the user cell that has passed through the device 202 and the parallel cell screener 202 and outputting the cell information to the cell switching unit 104, and the allocated VPI / VCI information and the virtual circuit. A VP / VC table 206 for storing policy information and a security policy cache 207 for reference for security policy decisions are included.
먼저, 스크린드(Screened) 입력부(102)로 유입된 셀 중 신호 셀은 신호 셀 여과기(200)에 의해 추출된 후, 분산 호 수락 제어(CAC)부(101)로 전달되어 연결 스크린 기능에 의해 연결 설정 여부가 판단되며, 허가된 가상 회선은 할당된 VPI/VCI 정보와 가상 회선에 대한 정책 정보가 VP/VC 테이블(206)에 저장된다.First, among the cells introduced into the screened input unit 102, the signal cells are extracted by the signal cell filter 200, and then transferred to the distributed call admission control unit (CAC) unit 101 by the connection screen function. It is determined whether a connection is established, and the licensed virtual circuit stores the allocated VPI / VCI information and policy information about the virtual circuit in the VP / VC table 206.
이후, 신호 셀 여과기(200)를 통과한 셀은 다시 관리 셀 여과기(201)에서 관리 셀에 대한 추출과정을 거치게 되며, 여과된 관리 셀들은 시스템 관리부(103)로 전달된다. 또한 관리 셀 여과기(201)를 통과한 셀들은 병렬 셀 스크린기(202)로 전달된다.Thereafter, the cell passing through the signal cell filter 200 undergoes an extraction process for the management cell in the management cell filter 201, and the filtered management cells are transferred to the system manager 103. Cells that have passed through the management cell filter 201 are also delivered to the parallel cell screener 202.
이어서, 사용자 셀을 전달받은 병렬 셀 스크린기(202) 내(內)의 셀 복제/부하 분배기(203)는 유입된 사용자 셀을 복제하거나 병렬배치된 사용자 셀여과기(204)로 분배하는 기능을 수행하며, 이는 선택적으로 사용 가능하다.Subsequently, the cell replication / load divider 203 in the parallel cell screener 202 receiving the user cell performs a function of replicating or distributing the incoming user cell to the parallelly arranged user cell filter 204. Which is optionally available.
셀 복제기(Cell Duplicator)(203)는, 유입된 사용자 셀을 병렬배치된 사용자 셀 여과기(204)의 수만큼 복제한 후에 각 사용자 셀 여과기(204)로 전달하며, 복제된 사용자 셀을 입력받은 사용자 셀 여과기(204)는 VPI(Virtual Path Indicator) 식별자를 참조하여 자신에게 할당된 셀에 대해서만 여과 기능을 수행하고, 나머지 셀들은 처리하지 아니한다.Cell Duplicator 203 replicates the incoming user cells by the number of parallel user cell filters 204, and then delivers the duplicated user cells to each user cell filter 204. The cell filter 204 performs the filtering function only for the cell assigned to it with reference to the virtual path indicator (VPI) identifier, and does not process the remaining cells.
한편, 부하 분배기(Load Balancer)(203)는, 유입된 셀을 사용자 셀 여과기(204)에 바로 전달하는 것이 아니라, 병렬배치된 각 사용자 셀 여과기(204)가 현재 처리하고 있는 셀에 대한 부하를 계산하여 가장 부하가 적은 사용자 셀 여과기(204)로 셀을 출력한다.On the other hand, the load balancer 203 does not directly transfer the introduced cells to the user cell filter 204, but loads the cells currently being processed by each of the parallel cell user cell filters 204. The cell is output to the user cell filter 204 having the least load.
이후, 셀 복제/부하 분배기(203)로부터 셀을 전달받은 병렬배치된 각 사용자 셀 여과기(204)는 셀 스크린 기능을 이용하여 유입되는 셀들에 대한 여과동작을 수행한다.Thereafter, each of the parallel user cell filters 204 that received the cells from the cell replication / load distributor 203 performs a filtering operation on the incoming cells using the cell screen function.
상기 여과동작을 보다 상세히 설명하면 다음과 같다.The filtration operation will be described in more detail as follows.
우선, 사용자 셀 여과기(204)는 VP(Virtual Path)/VC(Virtual Connection) 테이블(206)을 참조하여 분산구조의 호 수락 제어(CAC)부(101)에 의해 결정된 가상 회선 수준의 보안 정책을 확인한다.First, the user cell filter 204 refers to the virtual path level security policy determined by the call admission control (CAC) unit 101 of the distributed structure with reference to the virtual path (VP) / virtual connection (VC) table 206. Check it.
이때, 가상 회선 수준의 보안정책이 패킷 수준의 보안정책 결정을 요구하면, 사용자 셀 여과기(204)는 보안정책의 결정을 위하여 보안정책 캐쉬(207)를 참조하여 해당 셀에 대한 보안정책을 확인한다.In this case, when the virtual line level security policy requires packet level security policy determination, the user cell filter 204 checks the security policy for the cell with reference to the security policy cache 207 to determine the security policy. .
여기서, 보안정책 캐쉬(207)에 일치하는 엔트리가 존재할 경우 그 보안정책을 선택하며, 그렇지 않을 경우 보안정책 검사부(208)로 셀이 포함된 헤더 정보를 전달하여 보안정책 저장부(209)의 정책정보를 참조하여 보안 정책을 결정한다. 사용자 셀 여과기(204)는 보안결정 사항에 따라 사용자 셀을 폐기하거나 헤더 변환기(205)로 전달한다.Here, if there is an entry that matches the security policy cache 207, the security policy is selected. If not, the security policy storage unit 209 transmits the header information including the cell to the security policy checker 208. Refer to the information to determine your security policy. The user cell filter 204 discards or forwards the user cell to the header converter 205 according to the security decision.
사용자 셀 여과기(204)를 통과한 사용자 셀은 헤더 변환기(205)에 의해 각 셀의 스위치 정보가 추가되어 셀 스위칭 부로 전달된다.The user cell that has passed through the user cell filter 204 is added to switch information of each cell by the header converter 205 and transferred to the cell switching unit.
도 3 은 본 발명에 따른 보안정책 적용방법에 대한 일실시예 흐름도이다.3 is a flowchart illustrating a method of applying a security policy according to the present invention.
먼저, 사용자 셀 여과기(204)로 사용자 셀이 유입되면, VP/VC 테이블(206)을 검사하여 가상 회선 수준에 설정되어 있는 정책을 검사하여 가상 회선으로 유입되는 모든 셀을 통과시킬 것인지, 가상 회선에 대하여 패킷 수준의 보안 정책을 적용할 것인지를 판단한다(300).First, when a user cell flows into the user cell filter 204, the VP / VC table 206 is examined to check the policy set at the virtual circuit level to pass all the cells flowing into the virtual circuit. It is determined whether to apply a packet-level security policy to (300).
이어서, 보안정책 적용이 설정된 가상 회선에 대하여 패킷 수준의 보안정책 검사가 설정되면, 보안정책 캐쉬(207)를 참조하여 보안정책을 결정하고, 만일 보안정책 캐쉬(207)에 일치하는 엔트리가 없을 경우에는 전체 보안정책 저장부(209)의 정책정보에 대한 검사를 통하여 보안정책을 결정한다(301).Subsequently, if the packet level security policy check is set for the virtual circuit to which the security policy application is set, the security policy is determined by referring to the security policy cache 207, and if there is no entry matching the security policy cache 207 In operation 301, the security policy is determined by inspecting the policy information of the entire security policy storage unit 209.
한편, 패킷 수준의 보안정책 결정이 이루어지지 않은 상태에서, 패킷의 마지막 셀이 도착하게 되면, 마지막 셀을 보안 정책 결정이 이루어질 때까지 사용자 셀 여과기에서 차단하여 전달하지 않음으로써 비인가된 패킷의 유입을 차단한다(302).On the other hand, when the last cell of the packet arrives in the state where the packet level security policy is not made, the inflow of unauthorized packet is prevented by not passing the last cell in the user cell filter until the security policy decision is made. Block 302.
도 4 는 본 발명에 따른 가상회선 수준의 보안정책 적용방법에 대한 일실시예 흐름도이다.4 is a flowchart illustrating a method of applying a security policy of a virtual line level according to the present invention.
먼저, 연결설정 시에 분산 호수락 제어(CAC)부(101)에 의한 연결 스크린 기능이 수행된 결과, 연결허가된 가상 회선에 상응하는 VP/VC 테이블(206)에 기록된 보안정책 정보를 참조하여 가상 회선 수준의 보안정책을 확인한다(400).First, referring to the security policy information recorded in the VP / VC table 206 corresponding to the virtual circuit to which connection is allowed, as a result of the connection screen function performed by the distributed rock control unit (CAC) unit 101 during connection establishment. Check the virtual line level security policy (400).
이어서 가상회선 수준의 보안정책 여부를 판단하여(401), VP/VC 테이블(206)에 기록되어 있는 가상 회선 수준의 보안정책이 "통과"로 설정되어 있는 경우, 동일 VPI/VCI 번호를 갖는 셀들에 대해 모든 셀들을 헤더 변환기(205)로 전달하며(402), 상기 가상 회선 수준의 보안정책이 "적용"으로 설정되어 있는 경우, 패킷 수준의 보안정책을 적용한다.Subsequently, it is determined whether or not the security policy of the virtual line level (401), when the virtual line level security policy recorded in the VP / VC table 206 is set to "pass", the cells having the same VPI / VCI number All cells are forwarded to the header translator 205 for 402, and if the virtual line level security policy is set to " apply, " the packet level security policy is applied.
도 5 는 본 발명에 따른 패킷 수준의 보안정책 적용방법에 대한 일실시예 흐름도이다.5 is a flowchart illustrating a method of applying a packet level security policy according to the present invention.
먼저, 사용자 셀 여과기(204)로 유입된 셀을 포함한 패킷에 대하여 VP/VC 테이블(206)상의 보안정책을 확인한다(500).First, the security policy on the VP / VC table 206 is checked for the packet including the cell introduced into the user cell filter 204 (500).
여기서, 패킷수준의 보안정책이 "통과"로 설정되어 있는경우 해당 셀을 헤더 변환기(205)로 전달하며(515), 패킷수준의 보안정책이 "차단"으로 설정되어 있는 경우 셀 유입을 차단한다(514).Here, if the packet-level security policy is set to "pass", the cell is transmitted to the header converter 205 (515), and if the packet-level security policy is set to "blocking", cell inflow is blocked. (514).
한편, 패킷수준의 보안정책이 "IP_Option"으로 설정되어 있는 경우, 해당 셀을 버퍼에 저장한 후(512), 그 첫번째 셀로부터 추출된 헤더 정보와 함께 보안 정책 결정을 시도하고, 패킷수준의 보안정책을 "적용"으로 설정한다(513). 여기서, 보안 정책이 "IP_Option"으로 설정되어 있는 경우란, 곧 해당 패킷의 첫 번째 셀에대한 검사를 통해 "IP Option" 필드를 사용하는 패킷임을 확인했음을 의미한다.On the other hand, if the packet-level security policy is set to "IP_Option", after storing the cell in the buffer (512), and attempts to determine the security policy with the header information extracted from the first cell, packet-level security Set the policy to "Apply" (513). In this case, when the security policy is set to "IP_Option", it means that the packet is checked using the "IP Option" field by checking the first cell of the packet.
한편, 보안정책이 "정책 미결정"으로 설정되어 있는 경우, 바로 패킷의 마지막 셀처리 과정을 거치게 된다. 이는, 도 6에서 보다 상세히 설명한다.On the other hand, if the security policy is set to "policy undecided," it immediately goes through the last cell processing of the packet. This is described in more detail with reference to FIG. 6.
한편, 보안정책이 "적용"으로 설정되어 있는 경우, 먼저 "IP_ Option" 필드를 사용하는 패킷인지 여부를 검사한다(502). 여기서, 보안정책이 "적용"으로 설정되어있다 함은 패킷의 첫번째 셀이 도착했음을 의미한다.On the other hand, if the security policy is set to "Apply", it is first checked whether the packet using the "IP_ Option" field (502). Here, the security policy set to "apply" means that the first cell of the packet has arrived.
상기 검사결과, "IP_Option" 필드를 사용하는 패킷인 경우, 셀을 버퍼에 복사하고(516), 상기 셀을 헤더 변환기(205)로 전달한 후(517), 보안정책을 "IP_Option"으로 설정변경한다(518).As a result of the check, in case of the packet using the "IP_Option" field, the cell is copied to the buffer (516), the cell is transferred to the header converter 205 (517), and the security policy is changed to "IP_Option". (518).
한편, "IP_Option"을 사용하지 않는 패킷의 경우, 보안정책의 결정을 위하여 보안정책 캐쉬(207)를 확인한다(504). 보안정책 캐쉬(207)의 엔트리에 해당 패킷의 보안정책이 존재하면, 보안정책 캐쉬(207)상에 설정되어 있는 보안정책에 따라 셀을 처리한다(506). 여기서, 보안정책 캐쉬(207)상의 보안정책이 "통과"인 경우, 셀을 헤더 변환기(205)로 전달하며(508), 패킷수준의 보안정책을 "통과"로 설정한다(509). 한편, 보안정책 캐쉬(207)상의 보안정책이 "차단"으로 설정되어 있는 경우, 셀 유입을 차단하며(510), 패킷수준의 보안정책을 "차단"으로 설정한다(511).On the other hand, in the case of the packet does not use the "IP_Option", the security policy cache 207 is checked to determine the security policy (504). If the security policy of the packet exists in the entry of the security policy cache 207, the cell is processed (506) according to the security policy set on the security policy cache 207. Here, if the security policy on the security policy cache 207 is "pass", the cell is forwarded to the header converter 205 (508), and the packet-level security policy is set to "pass" (509). On the other hand, if the security policy on the security policy cache 207 is set to "block", cell inflow is blocked (510), and the packet-level security policy is set to "block" (511).
한편, 보안정책 캐쉬(207)에 엔트리가 아예 존재하지 않는 경우, 보안정책 검사부(208)에 정책 결정을 요구하며(519), 패킷수준의 보안정책을 "정책 미결정"으로 그 설정을 변경한다(520).On the other hand, if there is no entry in the security policy cache 207, the security policy checker 208 requests a policy decision (519), and changes the packet level security policy to "policy undecided" ( 520).
도 6 은 본 발명에 따라 패킷 수준의 보안정책을 적용했을 때, 패킷의 마지막 셀처리 방법에 대한 일실시예 흐름도이다.6 is a flowchart illustrating an embodiment of a method for processing a last cell of a packet when a packet level security policy is applied according to the present invention.
도 5에 도시된 바와 같이, 패킷수준의 보안정책의 적용을 받은 패킷은 사용자 셀 여과기(204)에 의해 셀이 해당 패킷의 마지막 셀인지 여부를 검사 받는다(600).As shown in FIG. 5, a packet subjected to a packet level security policy is inspected by the user cell filter 204 to determine whether the cell is the last cell of the packet (600).
여기서, 만일 셀이 해당 패킷의 마지막 셀인 경우, 해당 패킷의 보안정책이 "정책 미결정" 상태인지를 확인하며(602), "정책 미결정" 상태의 패킷에 속한 마지막 셀인 경우, 보안정책이 아직 결정되지 않은 패킷의 유입을 차단하기 위해 마지막 셀을 버퍼에 저장한다(604). 이같은 방식으로 마지막 셀을 처리하고 난 이후, 다음 패킷에 대한 처리를 위하여 보안정책을 "적용"으로 초기화한다(605).Here, if the cell is the last cell of the packet, it is checked whether the security policy of the packet is in the "policy undecided" state (602), and if the cell is the last cell belonging to the packet of the "policy undecided" state, the security policy has not yet been determined. The last cell is stored in a buffer to block the ingress of unsolicited packets (604). After processing the last cell in this manner, the security policy is initialized to "Apply" for processing the next packet (605).
한편, 셀이 해당 패킷의 마지막 셀이 아닌 경우에도 역시 "정책 미결정" 상태의 패킷 셀인지 여부를 검사한다(606). 그 이유는 "정책 미결정" 패킷의 셀 중 마지막 셀에 대한 검사가 본 단계에서 진행되기 때문이다.On the other hand, even if the cell is not the last cell of the packet it is checked whether or not the packet cell of the "policy undecided" state (606). This is because the checking of the last cell of the cells of the "policy undecided" packet is performed in this step.
정책 미결정 패킷의 셀인 경우, 셀을 헤더 변환기(205)로 전달하고(608), 셀에 대한 처리를 종료한다.In the case of the cell of the policy undecided packet, the cell is forwarded to the header converter 205 (608), and the processing for the cell is terminated.
상술한 바와 같은 본 발명의 방법은 프로그램으로 구현되어 컴퓨터로 읽을 수 있는 형태로 기록매체(씨디롬, 램, 롬, 플로피 디스크, 하드 디스크, 광자기 디스크 등)에 저장될 수 있다.As described above, the method of the present invention may be implemented as a program and stored in a recording medium (CD-ROM, RAM, ROM, floppy disk, hard disk, magneto-optical disk, etc.) in a computer-readable form.
이상에서 설명한 본 발명은 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니고, 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하다는 것이 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어 명백할 것이다.The present invention described above is not limited to the above-described embodiments and the accompanying drawings, and various substitutions, modifications, and changes are possible in the art without departing from the technical spirit of the present invention. It will be clear to those of ordinary knowledge.
상기한 바와 같은 본 발명은, 종래의 IP 네트워크에서의 침입 차단 기능을 위하여 사용되던 라우터 기반의 패킷 스크린 기술을 ATM 네트워크의 스위치에 셀 스크린 기법으로 변형하여 적용하는 과정에서 발생하는 ATM 스위치의 성능 저하를 최소화하고, 셀 처리 효율을 향상시킬 수 있는 효과가 있다.As described above, the present invention reduces the performance of an ATM switch generated by applying a router-based packet screen technology, which has been used for the intrusion prevention function in a conventional IP network, to a cell screen technique. There is an effect to minimize the, and improve the cell processing efficiency.
즉, 연결 스크린 기능을 수행하는 CAC를 분산 구조로 구성함으로써 대규모의 네트워크에서 확장성을 확보할 수 있으며, 병렬적으로 배치된 셀 스크린부를 도입함으로써 ATM 방화벽 스위치가 셀 스크린 기능 수행으로 인하여 초래될 수 있는 셀 처리 지연을 줄이는 효과가 있다.That is, by configuring the CAC performing the connection screen function in a distributed structure, scalability can be secured in a large network, and by introducing a cell screen unit arranged in parallel, an ATM firewall switch can be caused by performing the cell screen function. This has the effect of reducing the cell processing delay.
Claims (13)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR10-2001-0081421A KR100428719B1 (en) | 2001-12-19 | 2001-12-19 | Method and Apparatus of ATM(Asynchronous Transfer Mode) Firewall Switch having distributed CAC(Call Admission Control) and Parallel Cell Screen Structure |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR10-2001-0081421A KR100428719B1 (en) | 2001-12-19 | 2001-12-19 | Method and Apparatus of ATM(Asynchronous Transfer Mode) Firewall Switch having distributed CAC(Call Admission Control) and Parallel Cell Screen Structure |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20030050883A true KR20030050883A (en) | 2003-06-25 |
KR100428719B1 KR100428719B1 (en) | 2004-04-28 |
Family
ID=29576568
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR10-2001-0081421A KR100428719B1 (en) | 2001-12-19 | 2001-12-19 | Method and Apparatus of ATM(Asynchronous Transfer Mode) Firewall Switch having distributed CAC(Call Admission Control) and Parallel Cell Screen Structure |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100428719B1 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100471636B1 (en) * | 2002-04-08 | 2005-03-08 | 씨에이치케이한강 주식회사 | system for processing a packet on a network of computer systems using a multi-bridge mode |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
SE513255C2 (en) * | 1998-09-11 | 2000-08-07 | Telia Ab | Improvements in or related to transmission systems |
KR20010035612A (en) * | 1999-10-01 | 2001-05-07 | 윤종용 | Method for checking client for security in PABX |
JP2001156799A (en) * | 1999-11-30 | 2001-06-08 | Nec Corp | Atm controller |
KR20010057723A (en) * | 1999-12-23 | 2001-07-05 | 오길록 | Data security simulator for atm network |
KR100363881B1 (en) * | 2000-12-04 | 2002-12-11 | 한국전자통신연구원 | ATM Firewall Structure and Operational Procedure of User Authentication Which is Based on the Internet Protocol Address Access Control List |
KR20020069435A (en) * | 2001-02-26 | 2002-09-04 | 삼성전자 주식회사 | Method for Distributed Switching |
-
2001
- 2001-12-19 KR KR10-2001-0081421A patent/KR100428719B1/en not_active IP Right Cessation
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100471636B1 (en) * | 2002-04-08 | 2005-03-08 | 씨에이치케이한강 주식회사 | system for processing a packet on a network of computer systems using a multi-bridge mode |
Also Published As
Publication number | Publication date |
---|---|
KR100428719B1 (en) | 2004-04-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US6279035B1 (en) | Optimizing flow detection and reducing control plane processing in a multi-protocol over ATM (MPOA) system | |
Xu et al. | Design and evaluation of a High-Performance ATM firewall switch and its applications | |
US7471683B2 (en) | Device for enabling trap and trace of internet protocol communications | |
US6160811A (en) | Data packet router | |
US6957258B2 (en) | Policy gateway | |
US7529186B2 (en) | Control plane security and traffic flow management | |
EP1012726B1 (en) | Policy caching method and apparatus for use in a communication device | |
US6141755A (en) | Firewall security apparatus for high-speed circuit switched networks | |
JP3954385B2 (en) | System, device and method for rapid packet filtering and packet processing | |
US6772347B1 (en) | Method, apparatus and computer program product for a network firewall | |
US6349098B1 (en) | Method and apparatus for forming a virtual circuit | |
JP3078439B2 (en) | Packet network interface and interface method | |
US20010048689A1 (en) | Virtual reassembly system and method of operation thereof | |
US7206880B2 (en) | Multi-protocol bus system and method of operation thereof | |
US7002974B1 (en) | Learning state machine for use in internet protocol networks | |
KR100428719B1 (en) | Method and Apparatus of ATM(Asynchronous Transfer Mode) Firewall Switch having distributed CAC(Call Admission Control) and Parallel Cell Screen Structure | |
US6925507B1 (en) | Device and method for processing a sequence of information packets | |
Harbaum et al. | Layer 4+ switching with QoS support for RTP and HTTP | |
Walton et al. | High-speed data paths in host-based routers | |
JP3184138B2 (en) | Apparatus and method for providing firewall protection for a system communicating with an asynchronous transfer mode system | |
Xu et al. | Design of a high-performance ATM firewall | |
Bettati et al. | {Real-Time} Intrusion Detection and Suppression in {ATM} Networks | |
WO2002080417A1 (en) | Learning state machine for use in networks | |
WO2002102111A1 (en) | Monitoring device and method | |
JP2000332761A (en) | Transfer system and transfer method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20100401 Year of fee payment: 7 |
|
LAPS | Lapse due to unpaid annual fee |