KR20050078774A - 패킷 보안 방법 및 장치 - Google Patents

패킷 보안 방법 및 장치 Download PDF

Info

Publication number
KR20050078774A
KR20050078774A KR1020040006610A KR20040006610A KR20050078774A KR 20050078774 A KR20050078774 A KR 20050078774A KR 1020040006610 A KR1020040006610 A KR 1020040006610A KR 20040006610 A KR20040006610 A KR 20040006610A KR 20050078774 A KR20050078774 A KR 20050078774A
Authority
KR
South Korea
Prior art keywords
packet
address
mobile node
home
registered
Prior art date
Application number
KR1020040006610A
Other languages
English (en)
Inventor
추교신
이학구
이민재
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Priority to KR1020040006610A priority Critical patent/KR20050078774A/ko
Priority to US11/047,641 priority patent/US20050169267A1/en
Publication of KR20050078774A publication Critical patent/KR20050078774A/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/06Selective distribution of broadcast services, e.g. multimedia broadcast multicast service [MBMS]; Services to user groups; One-way selective calling services
    • H04W4/08User group management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Multimedia (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 Mobile IPv6(Internet Protocol version 6) 패킷을 보안하는 장치 및 방법에 관한 것으로, 본 발명에 따른 패킷 보안 방법은 외부 링크에 존재하는 이동 노드가 이동 노드의 홈 링크에 존재하는 홈 에이전트에 이동 노드의 주소를 등록하고 있는 중인지를 확인하는 단계; 및 주소를 등록하고 있는 중인 것으로 확인되면, 이동 노드가 전송하고자 하는 패킷을 폐기하는 단계를 포함하며, 패킷이 보안되지 않은 채널을 통하여 불특정 다수에게 노출 또는 유실되는 것을 방지한다.

Description

패킷 보안 방법 및 장치{Method and apparatus for securing a packet}
본 발명은 Mobile IPv6(Internet Protocol version 6)에 관한 것으로, 보다 상세하게는 Mobile IPv6 패킷을 보안하는 장치 및 방법에 관한 것이다.
도 1은 종래의 Mobile IPv6 네트워크 시스템의 구성도이다.
도 1을 참조하면, 종래의 Mobile IPv6 네트워크 시스템은 이동 노드(mobile node, 11), 홈 에이전트(home agent, 12), 및 대응 노드(correspondent node, 13)로 구성된다.
이동 노드(11)는 어떤 링크에서 다른 링크로 자신의 접점(point of attachment)을 변화시킬 수 있는 노드를 말한다. 홈 에이전트(12)는 홈 링크(home link, 링크 A)로부터 이동한 이동 노드(11)가 자신의 현재 COA(Care Of Address)를 등록한 라우터를 말하며, 홈 에이전트(12)는 이동 노드(11)의 홈 링크(링크 A)에 존재한다. 여기에서, COA는 이동 노드가 현재 머물고 있는 링크 B에서 사용되는 주소이다. 대응 노드(13)는 이동 노드(11)와 통신을 하고 있는 노드를 말한다.
도 1에 도시된 바와 같이, 홈 링크(링크 A)에 머물던 이동 노드(11)는 외부 링크(링크 B)로 이동하여 현재 외부 링크(링크 B)에 머물고 있으며, 링크 C에 존재하는 대응 노드(13)와 통신하고 있다. 도 1에 도시된 바와 같이, 이동 노드(11)가 머물렀던 홈 링크(링크 A)의 네트워크 접두사를 3FFE:2E01:2A:201이라 하고, 이동 노드(11)가 현재 머물고 있는 외부 링크(링크 B)의 네트워크 접두사를 3FFE:2E01:2A:301이라 하고, 링크 C의 네트워크 접두사를 3FFE:2E01:2A:100::1이라 할 때, 홈 링크(링크 A)에서 사용했던 이동 노드의 주소(이 주소를 홈 주소(Home Address)라 한다)를 3FFE:2E01:2A:201::1이라 할 수 있고, 외부 링크(링크 B)에서 사용하는 이동 노드(11)의 주소(이 주소를 COA(Care Of Address)라 한다)를 3FFE:2E01:2A:301::1이라 할 수 있고, 링크 C에서 사용하는 대응 노드(13)의 주소를 3FFE:2E01:2A:100::1이라 할 수 있다.
도 2는 이동 노드가 사용하는 주소의 종류에 따라 구분된 주소 사용 기간들을 도시한 도면이다.
도 2를 참조하면, 이동 노드는 홈 링크(링크 A)에 머무는 동안에는 홈 주소 3FFE:2E01:2A:201::1을 사용하여, 일반적인 노드가 통신을 하는 방식으로 다른 노드와 통신을 한다. 이 기간이 홈 주소 사용 기간에 해당한다. 따라서, 대응 노드(13)와 통신을 시작할 때의 이동 노드(11)의 주소는 홈 주소 3FFE:2E01:2A:201::1이 된다. 이동 노드(12)가 홈 링크(링크 A)로부터 외부 링크(링크 B)로 이동하여 갔을 때, 이동 노드(12)는 외부 링크(링크 B)의 접두사 3FFE:2E01:2A:301을 기반으로 새로운 COA 3FFE:2E01:2A:301::1을 생성한다. 이동을 감지한 이동 노드(11)는 홈 링크(링크 A)에 존재하는 홈 에이전트(12)에게 자신의 현재 COA를 등록하기 위하여 바인딩 갱신(binding update)을 전송한다. 바인딩 갱신을 수신한 홈 에이전트(12)는 COA가 등록되었음을 나타내는 바인딩 응답(binding acknowledgement)을 송신한다. 따라서, 이동 노드(11)는 바인딩 갱신을 전송한 시점으로부터 바인딩 응답을 수신한 시점까지 홈 에이전트(12)에 등록되지 않은 COA를 사용하게 된다. 바인딩 갱신을 전송한 시점으로부터 바인딩 응답을 수신한 시점까지의 기간이 미등록 COA(unregistered COA) 사용 기간에 해당하고, 바인딩 응답을 수신한 시점이후의 기간은 등록 COA(registered COA) 사용 기간에 해당한다.
상기한 바와 같이, 미등록 COA 사용 기간에는 이동 노드(11)는 미등록 COA를 사용하여 대응 노드(13)와 통신을 하게 된다. 그런데, 대응 노드(13)는 홈 에이전트(12)에 등록되지 않은 COA를 이동 노드(11)의 새로운 주소로 인식할 수 없기 때문에 대응 노드(13)와 통신을 시작할 때의 이동 노드(11)의 주소인 홈 주소 3FFE:2E01:2A:201::1을 이동 노드(11)의 주소로 계속 인식하게 된다. 물론, 이동 노드(11)가 홈 링크로부터 외부 링크로 이동한 경우뿐만 아니라, 외부 링크로부터 다른 외부 링크로 이동한 경우를 포함한다. 후자의 경우, 상기된 예에서 홈 주소는 이동 노드(11)가 머물던 외부 링크의 COA가 된다. 이동 노드(11)의 홈 주소 3FFE:2E01:2A:201::1과 대응 노드(13)의 주소 3FFE:2E01:2A:100::1 사이에 보안된 채널이 설정되어 있었다면, 양자는 보안된 채널을 통하여 통신을 한다. 그런데, 등록되지 않은 COA 3FFE:2E01:2A:301::1과 대응 노드(13)의 주소 3FFE:2E01:2A:100::1 사이에는 보안된 채널이 아직 설정되어 있지 않다. 따라서, 등록되지 않은 COA를 발신지 주소로 하는 패킷을 수신한 대응 노드(13)는 수신된 패킷을 신뢰할 수 없기 때문에 버린다. 이때, 대응 노드(13)에 의해 버려진 패킷은 보안되지 않은 채널을 통하여 전송되었기 때문에 불특정 다수에게 노출 또는 유실될 수 있고, 노출 또는 유실된 패킷은 타인에 의해 불건전한 의도로 사용될 수 있다는 문제점이 있었다.
또한, 이때 TCP(Transmission Control Protocol)와 같은 연결형(connection-oriented) 통신에서는 버려진 패킷을 재전송하고, UDP(User Datagram Protocol)와 같은 비연결형(connection-less) 통신에서는 버려진 패킷을 재전송하지 않고 무시한다. 어느 경우나 네트워크의 부하를 가중시킨다는 문제점이 있었다. 다시 말하면, TCP의 경우에는 재전송으로 인하여 네트워크의 부하가 가중되고, UDP의 경우에는 무시될 패킷, 즉 의미 없는 패킷을 전송한 것으로 인하여 네트워크의 부하가 가중된다는 문제점이 있었다.
나아가, 홈 에이전트(12)에 문제가 발생하거나, 네트워크에 문제가 발생하여 바인딩 갱신 및/또는 바인딩 응답 수신이 지연된다면, 미등록 COA 사용 기간은 더욱 증가하게 되며, 이로 인하여 상기된 문제점들은 더욱 심화되게 된다.
본 발명이 이루고자 하는 기술적 과제는 패킷이 보안되지 않은 채널을 통하여 불특정 다수에게 노출 또는 유실되는 것을 방지할 수 있는 장치 및 방법을 제공하는데 있다.
상기 기술적 과제를 해결하기 위한 본 발명에 따른 패킷 보안 방법은 외부 링크에 존재하는 이동 노드가 상기 이동 노드의 홈 링크에 존재하는 홈 에이전트에 상기 이동 노드의 주소를 등록하고 있는 중인지를 확인하는 단계; 및 상기 주소를 등록하고 있는 중인 것으로 확인되면, 상기 이동 노드가 전송하고자 하는 패킷을 폐기하는 단계를 포함한다.
상기 다른 기술적 과제를 해결하기 위한 본 발명에 따른 패킷 보안 장치는 외부 링크에 존재하는 이동 노드가 상기 이동 노드의 홈 링크에 존재하는 홈 에이전트에 상기 이동 노드의 주소를 등록하고 있는 중인지를 확인하는 홈 등록 확인부; 및 상기 주소를 등록하고 있는 중인 것으로 확인되면, 상기 이동 노드가 전송하고자 하는 패킷을 폐기하는 패킷 폐기부를 포함한다.
상기 또 다른 기술적 과제를 해결하기 위하여, 본 발명은 상기된 패킷 보안 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록 매체를 제공한다.
이하에서는 도면을 참조하여 본 발명의 바람직한 실시예들을 상세히 설명한다.
도 3은 본 발명의 바람직한 일 실시예에 따른 패킷 보안 장치를 적용한 Mobile IPv6 네트워크 시스템의 구성도이다.
도 3을 참조하면, 본 실시예에 따른 패킷 보안 장치를 적용한 Mobile IPv6 네트워크 시스템은 이동 노드(31), 홈 에이전트(32), 및 대응 노드(23)로 구성된다. 본 실시예에 따른 패킷 보안 장치는 이동 노드(31)에 탑재되며, 특히 이동 노드(31)의 IP 계층(IP layer)에 탑재된다.
도 3에 도시된 바와 같이, 홈 링크(링크 A)에 머물던 이동 노드(31)는 외부 링크(링크 B)로 이동하여 현재 외부 링크(링크 B)에 머물고 있으며, 링크 C에 존재하는 대응 노드(33)와 통신하고 있다. 도 3에 도시된 바와 같이, 이동 노드(31)가 머물렀던 홈 링크(링크 A)의 네트워크 접두사를 3FFE:2E01:2A:201이라 하고, 이동 노드(31)가 현재 머물고 있는 외부 링크(링크 B)의 네트워크 접두사를 3FFE:2E01:2A:301이라 하고, 링크 C의 네트워크 접두사를 3FFE:2E01:2A:100::1이라 할 때, 홈 링크(링크 A)에서 사용했던 이동 노드(31)의 주소(이 주소를 홈 주소(Home Address)라 한다)를 3FFE:2E01:2A:201::1이라 할 수 있고, 외부 링크(링크 B)에서 사용하는 이동 노드(31)의 주소(이 주소를 COA(Care Of Address)라 한다)를 3FFE:2E01:2A:301::1이라 할 수 있고, 링크 C에서 사용하는 대응 노드(13)의 주소를 3FFE:2E01:2A:100::1이라 할 수 있다.
이동 노드(31)의 탑재된 패킷 보안 장치는 도 2에 도시된 미등록 COA 사용 기간 동안 이동 노드(31)가 등록되지 않은 COA 3FFE:2E01:2A:301::1을 발신지 주소로 하는 패킷을 전송하고자 하는 경우, 전송하고자 하는 패킷이 불특정 다수에게 노출 또는 유실되는 것을 방지하기 위하여 등록되지 않은 COA 3FFE:2E01:2A:301::1을 발신지 주소로 하는 패킷의 전송을 차단하는 역할을 한다.
도 3을 참조하면, 이동 노드(31)에 탑재된 패킷 보안 장치는 패킷 수신부(311), 패킷 확인부(313), 홈 등록 확인부(315), 홈 등록 설정부(314), 패킷 처리부(316), 전송 요청 수신부(312), 및 패킷 폐기부(317)로 구성된다.
패킷 수신부(311)는 IP 계층 하부에 위치한 하위 계층, 예를 들면 링크 계층(link layer)으로부터 패킷을 수신한다. 이 패킷은 대응 노드(33)로부터 링크 C, 인터넷, 및 링크 B를 차례로 경유하여 수신된 것이다(물론, 전송되는 경로 사이사이에 위치한 라우터도 경유한다). 전송 요청 수신부(312)는 IP 계층 상부에 위치한 상위 계층, 예를 들면 TCP 계층으로부터 패킷을 전송하라는 요청을 수신하거나, IP 계층 내부에서 패킷을 전송하라는 요청을 수신한다.
패킷 확인부(313)는 이동 노드(31)가 패킷을 수신하는 경우, 즉 패킷 수신부(311)가 패킷을 수신한 경우에는 현재의 시점이 도 2에 도시된 미등록 COA 사용 기간에 해당하는지를 확인하기 위하여 수신된 패킷이 바인딩 응답인지를 확인한다. 여기에서, 바인딩 응답은 홈 에이전트(32)에 이동 노드(31)의 COA 3FFE:2E01:2A:301::1이 등록되었음을 나타내는 메시지로서, 바인딩 응답을 수신한 시점 이전까지는 도 2에 도시된 미등록 COA 사용기간에 해당한다.
또한, 패킷 확인부(313)는 이동 노드(31)가 패킷을 전송하고자 하는 경우, 즉 전송 요청 수신부(312)가 패킷을 전송하라는 요청을 수신한 경우에는 전송하고자 하는 패킷이 외부로 전송되어도 무방한 패킷인지를 확인하기 위하여 전송하고자 하는 패킷의 목적지가 이동 노드(31)가 현재 머물고 있는 외부 링크(링크 B) 내에 존재하는지를 확인하고, 전송하고자 하는 패킷이 바인딩 갱신인지를 확인한다. 전송하고자 하는 패킷의 목적지가 이동 노드(31)가 현재 머물고 있는 외부 링크(링크 B) 내에 존재하는 경우에는 인터넷 상의 불특정 다수에게 노출 또는 유실될 염려가 없기 때문에 전송하고자 하는 패킷을 아무런 조치 없이 그대로 전송하여도 무방하다. 이러한 패킷의 예로는 이웃 탐색(neighbor discovery)을 들 수 있다. 이웃 탐색에는 이웃 요청(neighbor solicitation), 이웃 광고(neighbor advertisement), 라우터 요청(neighbor solicitation), 및 라우터 광고(neighbor advertisement) 등이 있다. 또한, 이러한 패킷은 링크 내에서 수행되는 작업에 꼭 필요한 정보를 담고 있으므로 전송이 차단되어서는 안된다. 또한, 전송하고자 하는 패킷이 바인딩 갱신인 경우에도 바인딩 갱신에 포함된 정보가 노출 또는 유실되어도 무방한 정보이고, 홈 에이전트(32)에 COA 3FFE:2E01:2A:301::1을 등록하거나 또는 다른 COA로 갱신하기 위하여 꼭 필요한 정보로서, 전송이 차단되어서는 안된다. 특히, 패킷 확인부(313)는 전송하고자 하는 패킷이 바인딩 갱신인 것으로 확인되면, 바인딩 갱신이 현재의 시점이 도 2에 도시된 미등록 COA 사용 기간에 해당하는지를 확인하기 위하여 최초 바인딩 갱신인지를 확인한다. 여기에서, 최초 바인딩 갱신은 홈 에이전트(32)에 이동 노드의 COA 3FFE:2E01:2A:301::1을 등록하기 위한 메시지로서, 바인딩 갱신을 전송한 시점 이후부터는 도 2에 도시된 미등록 COA 사용기간에 해당한다.
홈 등록 설정부(314)는 홈 등록 확인부(315)에 의해 COA 3FFE:2E01:2A:301::1을 등록하고 있는 중인 것으로 확인되고, 패킷 확인부(313)에 의해 수신된 패킷이 바인딩 응답인 것으로 확인되면, 홈 에이전트(32)에 COA 3FFE:2E01:2A:301::1을 등록하고 있는 중이 아닌 것으로 설정하고, 패킷 확인부(313)에 의해 전송하고자 하는 패킷이 바인딩 갱신이 최초 바인딩 갱신인 것으로 확인되면, 홈 에이전트(32)에 COA 3FFE:2E01:2A:301::1을 등록하고 있는 중인 것으로 설정한다. 본 실시예에 따르면, 홈 등록 설정부(314)는 홈 등록 플래그(home registration flag)에 COA 3FFE:2E01:2A:301::1을 등록하고 있는 중이 아님을 나타내는 값, 예를 들어 0을 기록함으로서, COA 3FFE:2E01:2A:301::1을 등록하고 있는 중이 아닌 것으로 설정할 수 있고, 홈 등록 플래그에 COA 3FFE:2E01:2A:301::1을 등록하고 있는 중임을 나타내는 값, 예를 들어 1을 기록함으로서, COA 3FFE:2E01:2A:301::1을 등록하고 있는 중인 것으로 설정할 수 있다.
홈 등록 확인부(315)는 패킷 수신부(311)에 패킷이 수신되거나, 패킷 확인부(313)에 의해 전송하고자 하는 패킷의 목적지가 외부 링크(링크 B) 내에 존재하지 않는 것으로 확인되고, 전송하고자 하는 패킷이 바인딩 갱신이 아닌 것으로 확인되면, 홈 에이전트(32)에 COA 3FFE:2E01:2A:301::1을 등록하고 있는 중인지를 확인한다. 여기에서, 홈 등록 확인부(315)는 홈 등록 설정부(314)의 설정을 기반으로 확인한다. 즉, COA 3FFE:2E01:2A:301::1을 등록하고 있는 중인지를 나타내는 값이 기록된 홈 등록 플래그를 참조하여 확인한다.
패킷 처리부(316)는 수신된 패킷을 IP에 따라 처리함으로서 획득된 데이터를 상위 계층으로 전달하거나, 전송하고자 하는 패킷을 IP에 처리함으로서 IP 패킷의 형태로 하위 계층으로 전달한다. 다만, 전송하고자 하는 패킷에 대해 패킷 확인부(313)에 의해 패킷의 목적지가 외부 링크(링크 B) 내에 존재하는 것으로 확인되거나, 패킷이 바인딩 갱신인 것으로 확인되거나, 홈 등록 확인부(315)에 COA 3FFE:2E01:2A:301::1을 등록하고 있는 중이 아닌 것으로 확인되어야 패킷 처리부(316)는 전송하고자 하는 패킷을 하위 계층으로 전달할 수 있다.
패킷 폐기부(317)는 전송하고자 하는 패킷에 대해 패킷 확인부(313)에 의해 패킷의 목적지가 외부 링크(링크 B) 내에 존재하지 않는 것으로 확인되고, 패킷이 바인딩 갱신이 아닌 것으로 확인되고, 홈 등록 확인부(315)에 COA 3FFE:2E01:2A:301::1을 등록하고 있는 중인 것으로 확인되면, 전송하고자 하는 패킷을 폐기한다.
도 4는 본 발명의 바람직한 일 실시예에 따른 수신 측면에서의 패킷 보안 방법의 흐름도이다.
도 4를 참조하면, 본 실시예에 따른 수신 측면에서의 패킷 보안 방법은 다음과 같은 단계들로 구성된다.
먼저, 패킷 수신부(311)는 패킷을 수신한다(41). 이어서, 홈 등록 확인부(315)는 홈 에이전트(32)에 COA를 등록하고 있는 중인지를 확인한다. 즉, 홈 등록 플래그에 기록된 값이 1인지를 확인한다. 동시에, 패킷 확인부(313)는 수신된 패킷이 바인딩 응답인지를 확인한다(42). 이어서, 홈 등록 확인부(315)에 의해 홈 등록 플래그에 기록된 값이 1로 확인되고, 패킷 확인부(313)에 의해 수신된 패킷이 바인딩 응답인 것으로 확인되면, 홈 등록 설정부(314)는 COA를 등록하고 있는 중이 아닌 것으로 설정한다. 즉, 홈 등록 설정부(314)는 홈 등록 플래그에 0을 기록한다(43). 이어서, 홈 등록 확인부(315)에 의해 홈 등록 플래그에 기록된 값이 0이거나, 패킷 확인부(313)에 의해 수신된 패킷이 바인딩 응답이 아닌 것으로 확인되거나, 홈 등록 설정부(314)에 의해 홈 등록 플래그에 0이 기록되면, 패킷 처리부(316)는 수신된 패킷을 처리한다.
도 5는 본 발명의 바람직한 일 실시예에 따른 전송 측면에서의 패킷 보안 방법의 흐름도이다.
도 5를 참조하면, 본 실시예에 따른 전송 측면에서의 패킷 보안 방법은 다음과 같은 단계들로 구성된다.
먼저, 전송 요청 수신부(312)는 패킷을 전송하라는 요청을 수신한다(51). 이어서, 패킷 확인부(313)는 전송하고자 하는 패킷의 목적지가 외부 링크(링크 B) 내에 존재하는지를 확인한다(52). 이어서, 패킷 확인부(313)에 의해 패킷의 목적지가 외부 링크(링크 B) 내에 존재하지 않는 것으로 확인되면, 패킷 확인부(313)는 전송하고자 하는 패킷이 바인딩 갱신인지를 확인한다(53). 이어서, 패킷 확인부(313)에 의해 전송하고자 하는 패킷이 바인딩 갱신인 것으로 확인되면, 패킷 확인부(313)는 바인딩 갱신이 최초 바인딩 갱신인지를 확인한다(54). 이어서, 패킷 확인부(313)에 의해 바인딩 갱신이 최초 바인딩 갱신인 것으로 확인되면, 홈 등록 설정부(314)는 홈 에이전트(32)에 COA를 등록하고 있는 중인 것으로 설정한다. 즉, 홈 등록 플래그에 1을 기록한다(55).
이어서, 패킷 확인부(313)에 의해 전송하고자 하는 패킷이 바인딩 갱신이 아닌 것으로 확인되면, 홈 등록 확인부(314)는 홈 에이전트(32)에 COA를 등록하고 있는 중인지를 확인한다. 즉, 홈 등록 플래그에 기록된 값이 1인지를 확인한다. 이어서, 패킷 확인부(313)에 의해 전송하고자 하는 패킷의 목적지가 외부 링크(링크 B) 내에 존재하는 것으로 확인되거나, 패킷 확인부(313)에 의해 바인딩 갱신이 최초 바인딩 갱신이 아닌 것으로 확인되거나, 홈 등록 설정부(314)에 의해 COA를 등록하고 있는 중인 것으로 설정되면, 패킷 처리부(316)는 전송하고자 하는 패킷을 처리한다. 또한, 홈 등록 확인부(314)에 의해 COA를 등록하고 있는 중이 아닌 것으로 확인되면, 즉 홈 등록 플래그에 기록된 값이 0인 것으로 확인되면, 패킷 처리부(316)는 전송하고자 하는 패킷을 처리한다(57).
만일, 홈 등록 확인부(314)에 의해 COA를 등록하고 있는 중인 것으로 확인되면, 패킷 폐기부(317)는 전송하고자 하는 패킷을 폐기한다(58).
한편, 상술한 본 발명의 실시예들은 컴퓨터에서 실행될 수 있는 프로그램으로 작성가능하고, 컴퓨터로 읽을 수 있는 기록매체를 이용하여 상기 프로그램을 동작시키는 범용 디지털 컴퓨터에서 구현될 수 있다.
또한 상술한 본 발명의 실시예에서 사용된 데이터의 구조는 컴퓨터로 읽을 수 있는 기록매체에 여러 수단을 통하여 기록될 수 있다.
상기 컴퓨터로 읽을 수 있는 기록매체는 마그네틱 저장매체(예를 들면, 롬, 플로피 디스크, 하드디스크 등), 광학적 판독 매체(예를 들면, 시디롬, 디브이디 등) 및 캐리어 웨이브(예를 들면, 인터넷을 통한 전송)와 같은 저장매체를 포함한다.
이제까지 본 발명에 대하여 그 바람직한 실시예들을 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.
본 발명에 따르면, 등록되지 않은 COA를 발신지 주소로 하는 패킷의 전송을 차단함으로서 패킷이 보안되지 않은 채널을 통하여 불특정 다수에게 노출 또는 유실되는 것을 방지할 수 있다는 효과가 있다. 즉, 홈 에이전트에 COA를 등록하는 기간 동안 패킷의 보안을 보장할 수 있다는 효과가 있다. 또한, 본 발명에 따르면, TCP와 같은 연결형 통신에서는 패킷의 재전송을 감소시키고, UDP와 같은 비연결형 통신에서는 무시될 패킷을 전송하지 않음으로서 네트워크의 부하를 감소시킬 수 있다는 효과가 있다.
도 1은 종래의 Mobile IPv6 네트워크 시스템의 구성도이다.
도 2는 이동 노드가 사용하는 주소의 종류에 따라 구분된 주소 사용 기간들을 도시한 도면이다.
도 3은 본 발명의 바람직한 일 실시예에 따른 패킷 보안 장치를 적용한 Mobile IPv6 네트워크 시스템의 구성도이다.
도 4는 본 발명의 바람직한 일 실시예에 따른 수신 측면에서의 패킷 보안 방법의 흐름도이다.
도 5는 본 발명의 바람직한 일 실시예에 따른 전송 측면에서의 패킷 보안 방법의 흐름도이다.

Claims (17)

  1. (a) 외부 링크에 존재하는 이동 노드가 상기 이동 노드의 홈 링크에 존재하는 홈 에이전트에 상기 이동 노드의 주소를 등록하고 있는 중인지를 확인하는 단계; 및
    (b) 상기 주소를 등록하고 있는 중인 것으로 확인되면, 상기 이동 노드가 전송하고자 하는 패킷을 폐기하는 단계를 포함하는 것을 특징으로 하는 패킷 보안 방법.
  2. 제 1 항에 있어서,
    상기 주소는 상기 이동 노드의 주소들 중, 상기 외부 링크에서 사용되는 상기 이동 노드의 COA(Care Of Address)인 것을 특징으로 하는 패킷 보안 방법.
  3. 제 1 항에 있어서,
    상기 주소를 등록하고 있는 중은 상기 이동 노드가 상기 홈 에이전트로 상기 주소를 등록하기 위한 바인딩 갱신을 송신한 시점으로부터 상기 홈 에이전트로부터 상기 주소가 등록되었음을 나타내는 바인딩 응답을 수신한 시점까지인 것을 특징으로 하는 패킷 보안 방법.
  4. 제 1 항에 있어서,
    상기 (a) 단계는 상기 주소를 등록하고 있는 중인지를 나타내는 값이 기록된 홈 등록 플래그를 참조하여 확인하는 것을 특징으로 하는 패킷 보안 방법.
  5. 제 1 항에 있어서,
    상기 전송하고자 하는 패킷의 목적지가 상기 외부 링크 내에 존재하는지를 확인하는 단계를 포함하고,
    상기 (a) 단계는 상기 목적지가 상기 외부 링크 내에 존재하지 않는 것으로 확인되면, 상기 주소를 등록하고 있는 중인지를 확인하는 것을 특징으로 하는 패킷 보안 방법.
  6. 제 1 항에 있어서,
    상기 전송하고자 하는 패킷이 상기 이동 노드가 상기 홈 에이전트에 상기 이동 노드의 주소를 갱신하기 위한 바인딩 갱신인지를 확인하는 단계를 포함하고,
    상기 (a) 단계는 상기 전송하고자 하는 패킷이 상기 바인딩 갱신이 아닌 것으로 확인되면, 상기 주소를 등록하고 있는 중인지를 확인하는 것을 특징으로 하는 패킷 보안 방법.
  7. 제 6 항에 있어서,
    상기 전송하고자 하는 패킷이 상기 바인딩 갱신인 것으로 확인되면, 상기 바인딩 갱신이 상기 홈 에이전트에 상기 이동 노드의 주소를 등록하기 위한 최초 바인딩 갱신인지를 확인하는 단계; 및
    상기 바인딩 갱신이 상기 최초 바인딩 갱신인 것으로 확인되면, 상기 주소를 등록하고 있는 중인 것으로 설정하는 단계를 포함하고,
    상기 (a) 단계는 상기 설정을 기반으로 확인하는 것을 특징으로 하는 패킷 보안 방법.
  8. 제 1 항에 있어서,
    상기 이동 노드에 수신된 패킷이 상기 홈 에이전트에 상기 주소가 등록되었음을 나타내는 바인딩 응답인지를 확인하는 단계; 및
    상기 수신된 패킷이 상기 바인딩 응답인 것으로 확인되면, 상기 주소를 등록하고 있는 중이 아닌 것으로 설정하는 단계를 포함하고,
    상기 (a) 단계는 상기 설정을 기반으로 확인하는 것을 특징으로 하는 패킷 보안 방법.
  9. 외부 링크에 존재하는 이동 노드가 상기 이동 노드의 홈 링크에 존재하는 홈 에이전트에 상기 이동 노드의 주소를 등록하고 있는 중인지를 확인하는 홈 등록 확인부; 및
    상기 주소를 등록하고 있는 중인 것으로 확인되면, 상기 이동 노드가 전송하고자 하는 패킷을 폐기하는 패킷 폐기부를 포함하는 것을 특징으로 하는 패킷 보안 장치.
  10. 제 9 항에 있어서,
    상기 주소는 상기 이동 노드의 주소들 중, 상기 외부 링크에서 사용되는 상기 이동 노드의 COA(Care Of Address)인 것을 특징으로 하는 패킷 보안 장치.
  11. 제 9 항에 있어서,
    상기 주소를 등록하고 있는 중은 상기 이동 노드가 상기 홈 에이전트로 상기 주소를 등록하기 위한 바인딩 갱신을 송신한 시점으로부터 상기 홈 에이전트로부터 상기 주소가 등록되었음을 나타내는 바인딩 응답을 수신한 시점까지인 것을 특징으로 하는 패킷 보안 장치.
  12. 제 9 항에 있어서,
    상기 홈 등록 확인부는 상기 주소를 등록하고 있는 중인지를 나타내는 값이 기록된 홈 등록 플래그를 참조하여 확인하는 것을 특징으로 하는 패킷 보안 장치.
  13. 제 9 항에 있어서,
    상기 전송하고자 하는 패킷의 목적지가 상기 외부 링크 내에 존재하는지를 확인하는 패킷 확인부를 포함하고,
    상기 홈 등록 확인부는 상기 목적지가 상기 외부 링크 내에 존재하지 않는 것으로 확인되면, 상기 주소를 등록하고 있는 중인지를 확인하는 것을 특징으로 하는 패킷 보안 장치.
  14. 제 9 항에 있어서,
    상기 전송하고자 하는 패킷이 상기 이동 노드가 상기 홈 에이전트에 상기 이동 노드의 주소를 갱신하기 위한 바인딩 갱신인지를 확인하는 패킷 확인부를 포함하고,
    상기 홈 등록 확인부는 상기 전송하고자 하는 패킷이 상기 바인딩 갱신이 아닌 것으로 확인되면, 상기 주소를 등록하고 있는 중인지를 확인하는 것을 특징으로 하는 패킷 보안 장치.
  15. 제 14 항에 있어서,
    상기 패킷 확인부는 상기 전송하고자 하는 패킷이 상기 바인딩 갱신인 것으로 확인되면, 상기 바인딩 갱신이 상기 홈 에이전트에 상기 이동 노드의 주소를 등록하기 위한 최초 바인딩 갱신인지를 확인하고,
    상기 바인딩 갱신이 상기 최초 바인딩 갱신인 것으로 확인되면, 상기 주소를 등록하고 있는 중인 것으로 설정하는 홈 등록 설정부를 포함하고,
    상기 홈 등록 확인부는 상기 설정을 기반으로 확인하는 것을 특징으로 하는 패킷 보안 장치.
  16. 제 9 항에 있어서,
    상기 이동 노드에 수신된 패킷이 상기 홈 에이전트에 상기 주소가 등록되었음을 나타내는 바인딩 응답인지를 확인하는 패킷 확인부; 및
    상기 수신된 패킷이 상기 바인딩 응답인 것으로 확인되면, 상기 주소를 등록하고 있는 중이 아닌 것으로 설정하는 홈 등록 설정부를 포함하고,
    상기 홈 등록 확인부는 상기 설정을 기반으로 확인하는 것을 특징으로 하는 패킷 보안 장치.
  17. (a) 외부 링크에 존재하는 이동 노드가 상기 이동 노드의 홈 링크에 존재하는 홈 에이전트에 상기 이동 노드의 주소를 등록하고 있는 중인지를 확인하는 단계; 및
    (b) 상기 주소를 등록하고 있는 중인 것으로 확인되면, 상기 이동 노드가 전송하고자 하는 패킷을 폐기하는 단계를 포함하는 것을 특징으로 하는 패킷 보안 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
KR1020040006610A 2004-02-02 2004-02-02 패킷 보안 방법 및 장치 KR20050078774A (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020040006610A KR20050078774A (ko) 2004-02-02 2004-02-02 패킷 보안 방법 및 장치
US11/047,641 US20050169267A1 (en) 2004-02-02 2005-02-02 Method and apparatus for securing mobile packet

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020040006610A KR20050078774A (ko) 2004-02-02 2004-02-02 패킷 보안 방법 및 장치

Publications (1)

Publication Number Publication Date
KR20050078774A true KR20050078774A (ko) 2005-08-08

Family

ID=34806079

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020040006610A KR20050078774A (ko) 2004-02-02 2004-02-02 패킷 보안 방법 및 장치

Country Status (2)

Country Link
US (1) US20050169267A1 (ko)
KR (1) KR20050078774A (ko)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1710712B1 (en) * 2004-01-07 2017-10-11 Panasonic Intellectual Property Management Co., Ltd. Server, terminal apparatus, device registering system, registering method, registering program, and recording medium
US9820184B2 (en) 2014-09-23 2017-11-14 Qualcomm Incorporated Methods and apparatus for secure connectionless uplink small data transmission

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6621810B1 (en) * 1999-05-27 2003-09-16 Cisco Technology, Inc. Mobile IP intra-agent mobility
EP1117231A3 (en) * 2000-01-14 2004-03-24 Sony Corporation Information processing device, method thereof, and recording medium
JP3636637B2 (ja) * 2000-05-30 2005-04-06 三菱電機株式会社 経路最適化方法
ATE469522T1 (de) * 2000-10-18 2010-06-15 Ericsson Telefon Ab L M Nahtlose weiterreichung bei mobile ip
US6771623B2 (en) * 2000-12-01 2004-08-03 Telefonaktiebolaget Lm Ericsson (Publ) Method for ensuring reliable mobile IP service
US20030016655A1 (en) * 2001-01-29 2003-01-23 Docomo Communications Laboratories Usa, Inc. Fast dynamic route establishment in wireless, mobile access digital networks using mobility prediction
US7110375B2 (en) * 2001-06-28 2006-09-19 Nortel Networks Limited Virtual private network identification extension
US7072323B2 (en) * 2001-08-15 2006-07-04 Meshnetworks, Inc. System and method for performing soft handoff in a wireless data network
JP2003101570A (ja) * 2001-09-21 2003-04-04 Sony Corp 通信処理システム、通信処理方法、およびサーバー装置、並びにコンピュータ・プログラム
TWI232051B (en) * 2002-08-09 2005-05-01 Quanta Comp Inc System and method for supporting mobile internet protocol using multiple separate tunnels
JP4111793B2 (ja) * 2002-09-26 2008-07-02 富士通株式会社 中継システム
JP4028793B2 (ja) * 2002-12-03 2007-12-26 株式会社日立製作所 移動端末装置および端末間パケット通信方法
JP2004186983A (ja) * 2002-12-03 2004-07-02 Toshiba Corp 通信制御装置および通信制御方法
KR100547110B1 (ko) * 2002-12-17 2006-01-26 삼성전자주식회사 바인딩 업데이트 메시지 전송 방법 및 바인딩액크놀리지먼트 메시지 전송 방법
US7580396B2 (en) * 2003-11-05 2009-08-25 Intel Corporation Method, apparatus and system for obtaining and retaining a mobile node home address
US20050144320A1 (en) * 2003-12-16 2005-06-30 Jagana Venkata R. Avoiding conflict of a mobile node IP address

Also Published As

Publication number Publication date
US20050169267A1 (en) 2005-08-04

Similar Documents

Publication Publication Date Title
Moore Optimistic duplicate address detection (DAD) for IPv6
Johnson et al. Mobility support in IPv6
Levkowetz et al. Mobile IP traversal of network address translation (NAT) devices
Perkins IP mobility support for IPv4, revised
US7706301B2 (en) Routing in a data communication network
US7539159B2 (en) Maintaining reachability of a mobile node
JP2010506520A (ja) MobileIPのルート最適化のための方法及び装置
KR20090079999A (ko) 종단 점에 의한 방화벽 특징의 교섭을 가능하게 하는 방법, 장치 및 컴퓨터 프로그램 생성물
US7539773B2 (en) Network system using IPv4/IPv6 translator
EP1700430B1 (en) Method and system for maintaining a secure tunnel in a packet-based communication system
US20050175002A1 (en) Alternative method to the return routability test to send binding updates to correspondent nodes behind firewalls
KR100915513B1 (ko) 프락시 모바일 IPv6에서 패킷 손실을 줄이기 위한 패킷버퍼링 장치 및 방법
Kivinen et al. Design of the IKEv2 mobility and multihoming (MOBIKE) protocol
TW201019655A (en) Methods for detecting routing loops between home agents
JP2008541516A (ja) IPv6通信相手ノード及び移動IPv6ノード間の通信方法、並びに通信相手ノードプロキシーゲートウエイ
KR20050078774A (ko) 패킷 보안 방법 및 장치
KR100380565B1 (ko) 이동 인터넷 프로토콜 시스템 및 이 이동 인터넷 프로토콜시스템에서의 핸드오프 시 등록 방법
JPWO2008155888A1 (ja) プレフィックス情報確認装置及び通信装置
JP4823053B2 (ja) 異種通信インタフェース間の切替方法、移動端末および管理装置
Wong et al. Simultaneous mobility in MIPv6
JPWO2008114496A1 (ja) パケット通信装置
JP4228817B2 (ja) ネットワークシステム
EP1914955A1 (en) Detection of a compromised proxy mobility management client
Dhraief et al. An experimental investigation of the impact of mobile ipv6 handover on transport protocols
WO2006048608A1 (en) Managing node mobility in a ip network

Legal Events

Date Code Title Description
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid