KR20060090291A - Ip 어드레스 바인딩들에 기초한 멀티미디어 트래픽의필터링 방법 및 시스템 - Google Patents

Ip 어드레스 바인딩들에 기초한 멀티미디어 트래픽의필터링 방법 및 시스템 Download PDF

Info

Publication number
KR20060090291A
KR20060090291A KR1020067010162A KR20067010162A KR20060090291A KR 20060090291 A KR20060090291 A KR 20060090291A KR 1020067010162 A KR1020067010162 A KR 1020067010162A KR 20067010162 A KR20067010162 A KR 20067010162A KR 20060090291 A KR20060090291 A KR 20060090291A
Authority
KR
South Korea
Prior art keywords
terminal
binding
communication
node
data
Prior art date
Application number
KR1020067010162A
Other languages
English (en)
Other versions
KR100804291B1 (ko
Inventor
프랭크 르
스테파노 팩신
Original Assignee
노키아 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 노키아 코포레이션 filed Critical 노키아 코포레이션
Publication of KR20060090291A publication Critical patent/KR20060090291A/ko
Application granted granted Critical
Publication of KR100804291B1 publication Critical patent/KR100804291B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0604Management of faults, events, alarms or notifications using filtering, e.g. reduction of information by using priority, element types, position or time
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/251Translation of Internet protocol [IP] addresses between different IP versions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/256NAT traversal
    • H04L61/2582NAT traversal through control of the NAT server, e.g. using universal plug and play [UPnP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1101Session protocols
    • H04L65/1104Session initiation protocol [SIP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0254Stateful filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/10Architectures or entities
    • H04L65/1016IP multimedia subsystem [IMS]

Abstract

적절한 레벨의 보안을 보장하기 위해 동적 핀홀이 생성되는 방식에 있어서, 파이어월(TW)을 통해 IP 통신들을 필터링하는 방법들 및 상대 노드들(CN)이 개시된다. 본 발명은 파이어월(TW)이 패킷 필터링을 수행하기 이전에 모든 통신들이 라우팅되는 통신들을 위한 보안의, 허가된 앵커(TrGW)를 생성하는 것에 기초한다. 번역기 게이트웨이(TrGW)는 저장된 맵핑 테이블에 따라 IP 헤더에서의 어드레스들 및 CPS(또는 SIP 프록시)와 TrGW 사이의 인터페이스를 스위칭한다. 이 인터페이스는 CPS가 TrGW에 세션 개시시 IP 어드레스들 간에 바인딩 데이터를 제공하도록 요청하며, TrGW가 CPS에 바인딩 데이터를 제공하며, 그리고 CPS가 세션 해제시 바인딩들을 해제하도록 허용한다. 파이어월(FW)은 IP 어드레스가 TrGW 어드레스들의 풀에 속하는 인입 패킷들만을 수락한다. 따라서, 기존 호출에 대응하지 않는 임의의 인입 패킷은 TrGW에서 드롭될 것이며, 유효 패킷은 FW를 통과할 것인데, 여기서 FW는 패킷이 기형 메세지 또는 다른 공격이 아님을 검증할 것이다.
앵커 노드, 파이어월, 번역기 게이트웨이, 세션 개시, 필터링

Description

IP 어드레스 바인딩들에 기초한 멀티미디어 트래픽의 필터링 방법 및 시스템{METHOD AND SYSTEM FOR FILTERING MULTIMEDIA TRAFFIC BASED ON IP ADDRESS BINDINGS}
관련 출원
본 출원은 출원 내용들이 본원에서 참조로서 포함되는, 2003년 11월 25일 출원된 미국 가 특허출원 제 60/524,640호의 우선권을 주장한다.
본 발명은 동적 흐름들의 필터링의 관한 것이며, 보다 구체적으로는 필터링 노드, 필터링과 관련하여 사용되는 앵커 노드, 이러한 앵커 노드의 구성 방법 및 대응하는 데이터 통신 방법에 관한 것이다.
최근, 통신 네트워크들은 널리 보급되어 있으며, 일상 생활에서 많은 사용자들에 의해 사용되고 있다. 이러한 통신 네트워크들 사이에서, 이른바 패킷 교환 통신 네트워크들은 계속적인 관심을 받고 있다. 패킷 교환 네트워크들은 데이터를 패킷 단위로 송신/수신한다. 패킷은 (다른 것들 중에서) 예를 들어, 패킷의 어드레스 정보(소스, 목적지)와 같은 제어 정보를 수반하는 헤더 뿐만 아니라 음성 등과 같은 실제 데이터를 수반하는 페이로드 부분으로 구성된다.
이러한 패킷 교환 통신에 대한 다양한 프로토콜이 존재한다. 하지만, 본 발 명의 목적을 위해, 이러한 프로토콜의 예로서, IPv4 및/또는 IPv6가 설명된다(이들은 잘 알려진 인터넷 프로토콜(IP)의 버전들이다). 이에 불구하고, 다른 패킷 교환 프로토콜들이 본 발명과 관련하여 사용가능하다. 또한, 소스/목적지가 어드레스들에 의해 식별가능한 경우에, 비 패킷 교환 프로토콜들이 본 발명과 관련하여 사용될 수 있다.
통신 네트워크들은 통상적으로 복수의 운영자들의 네트워크들이 상호 협력하는 통신 네트워크 시스템의 일부를 형성한다. 또한, 개별 네트워크는 복수의, 이른바 네트워크 도메인들로 구성될 수 있는데, 여기서 네트워크는 상기와 같이 네트워크 운영자에 의해 동작되지만, 도메인들은 예를 들어, (네트워크 운영자와는 다른) 각 제 3 당사자에 의해 제어되며, 다른 프로토콜 상에서 동작되거나, 다른 어드레스 공간 정의 등을 갖는다. 따라서, 본 발명의 목적을 위해, 통신 네트워크들이 관련될 때, 서로 다른 네트워크들 또는 서로 다른 도메인들이 구별하는 것이 가능하지 않지만, 통신 네트워크들은 상기 개략적인 네트워크 구성의 모든 가능한 대안들을 포함하는 것으로 의도된다.
이러한 통신 네트워크들 또는 네트워크 시스템들 각각과 관련하여, 보안 문제들이 더욱 중요하게 되었다.
통상적으로, 2개의 단말기들 사이에서 통신이 확립/유지된다. 통신 발신 단말기는 제 1 단말기 또는 사용자 단말기(UE)로서 불리며, 통신 착신 단말기는 상대 노드(CN) 또는 제 2 단말기로 불린다. 당연하게, 양방향 통신에서, 상대 노드(CN)는 또한 발신 단말기에 응답하는 때에 사용자 장비(UE)로서 동작한다. 기술적으로, 단말기들 사이에 어떤 차이가 날 필요가 없지만, 이에 불구하고, 단말기들은 기술적 관점에서 서로 다를 수 있다. 하지만, 단말기들이 중간 통신 네트워크에 의해 상호간에 통신하도록 되는 경우에, 임의의 차이는 문제되지 않는다.
통신이 2개의 단말기들 사이에서 확립되었거나 확립되어왔는 경우에, 통신은 단말기들의 소스 및 목적지 어드레스들에 의해 식별된다. 또한, 통신이 실시간 트래픽과 비-실시간 트래픽과 같은, 단말기들 사이에서 교환될 다른 콘텐츠 또는 타입들의 트래픽을 포함할 수 있기 때문에, 각 트래픽은 각 포트와 관련된다. 따라서, 포트 또는 포트 번호는 통신에서 사용된 어드레스 정보의 세분(refinement)을 나타낸다.
하지만, 미사용된 어드레스들 또는 심지어 포트 번호들은, 공격자(attacker)들이 통신을 실제로 원하지 않는 사용자 단말기로의 기만적인 또는 무례한 통신을 확립하는 가능성을 갖게 한다.
따라서, 통신 네트워크에서 보안 문제들은 더욱 중요하게 되었다. 이른바 파이어월(방화벽)(FW)은 통신 네트워크들에서 보안을 보증하는 데에 중요한 역할을 한다. 따라서, 파이어월은 통신 네트워크에서 필터링 노드로서 고려되는데, 이는 비 확인 트래픽을 필터링함과 아울러 이러한 트래픽이 트래픽 수신을 확인하지 않은 단말기에 도달하는 것을 방지한다.
본 발명은 이러한 보안 문제들 및 필터링 노드 또는 파이어월들 각각에 관한 것이다. 보다 구체적으로는, 본 발명은 파이어월들에서 핀홀(pinhole)들의 동적 구성, 및 통신에서 실시간 서비스들의 지원에 관한 것이다. 본 발명에서 사용된 용어 "핀홀"은 특정 트래픽의 특정 단말기에 대한 도달에 대한 임시적인 유효한 허가를 의미하는데, 여기서 허가는 파이어월에 의해 부여되거나 거절된다. 따라서, 개방 핀홀은 부여된 허가를 나타내고, 폐쇄 핀홀은 거절된 허가를 나타낸다.
통신 네트워크들의 많은 구조체제들에서, 파이어월들에서 핀홀들을 동적으로 개방 및 폐쇄할 필요가 있다. 예를 들어, SIP(세션 개시 프로토콜) 확립 통신들은 핀홀들이 매체 스트림(즉, 실시간 서비스들을 위한 UDP/RDP(사용자 데이터그램 프로토콜, 실시간 프로토콜). 인스턴트 (메세징)이 파이어월을 통과하게 함과 아울러 데이터 패킷들이 통신 노드들(발신 단말기 및 상대 노드 단말기) 사이에서 교환되게 하는 TCP(전송 제어 프로토콜))에 대해 동적으로 생성될 것을 요청한다. 이후에, 이 핀홀들은 가능한한 공격들을 피하기 위해 통신 종료에서 제거되어야 한다.
후속적으로, 아키텍처, 보다 구체적으로는 IPv6의 IPv4 도메인들과의 연동을 위한 3GPP(제 3 세대 파트너십 프로젝트) 네트워크들에서 도입되고 채택된 인터페이스들뿐만 아니라 네트워크 엔티티들이 도 1을 참조하여 간략하게 설명된다. 이는, 하기의 부분들에서 설명된 본 발명이 새로운 엔티티들을 도입하지 않으며, 기존 통신 네트워크 아키텍처, 및 이에 따라 혁신적인 방식으로 채택된 구조체제를 재사용함을 보여준다.
도 1에서 도시된 아키텍처는 IPv6의 IPv4와의 연동을 위해 3GPP에서 최근에 채택되었다. 하지만, 이에 대한 설명은 단지 예로서의 역할을 하며, 본 발명은 IPv4/IPv6 도메인들에 국한되지 않으며, 단일 도메인 내의 네트워크들에서의 상황을 또한 포함하는 것으로서 의도된다. 또한, 도입된 인터페이스들 및 엔티티들의 기능성이 간략하게 설명된다.
이후에, 후속 부분들은 본 발명이 파이어월 통과 문제를 해결하기 위해 혁신적인 방식으로 기존에 존재하는 인프라를 재사용하는 방법을 설명할 것이다.
도 1을 참조하여 설명한다.
현재의 연동 아키텍처는 번역기 게이트웨이(Translator Gateway)에 의존하는데, 여기서 TrGw는 필요한 IP 헤더들을 변환하는, 보다 구체적으로는 전송될 패킷들에 포함된 어드레스 정보를 변환 또는 번역하는 게이트웨이이다.
또한, 현재의 연동 아키텍처는 IMS(IP 멀티미디어 서브시스템) 응용 계층 게이트웨이(ALG)에 의존하는데, 여기서 IMS ALG의 기능성은 IPv6와 IPv4 SIP 응용들(세션 개시 프로토콜/세션 디스크립션 프로토콜) 사이에 통신을 확립하기 위해 SIP/SDP 프로토콜 스택에 필요한 응용 기능을 제공한다.
IMS ALG는 CSCF 노드들(호출 상태 제어 기능; S-CSCF(서빙 CSCF) 및 I-CSCF(질문 CSCF)가 정의되어 있다)로부터의, 또는 IPv4 SIP 네트워크 도메인((프록시) P-CSCF, S-CSCF, 또는 I-CSCF와 같은 CSCF들은 본원에서 또한 SIP 서버로서 불리며)으로부터의 인입 SIP 메세지를 수신한다. 이 도메인은 외부 도메인이 될 수 있지만, 통신 네트워크의 내부 도메인이 될 수 있다. 이후에, IMS ALG는 적절한 SIP/SDP 파라메터들을 변경하며, IPv6 어드레스들을 IPv4 어드레스들로, 그리고 역으로 변환한다. 본 발명에 대하여, 프로토콜들(IPv4/IPv6)은 단지 예들에 불과하며, 다른 프로토콜 전이들이 고려될 수 있다.
IMS ALG는 IP 어드레스를 포함하는 헤더들 및 SIP 메세지 바디들을 변형시킨 다. IMS ALG는 세션 개시시 NA(P)T-PT(네트워크 어드레스 (및 포트) 변환-프로토콜 변환)에 다른 IP 어드레스들(IPv6 내지 IPv4 및 역방향) 간에 바인딩 데이터를 제공하도록 요청할 것이며, 세션 해제시 바인딩들을 해제할 것이다. 따라서, NA(P)T-PT는 일종의 상태기반(stateful) 번역기이며, IPv6/IPv4 맵핑 테이블을 유지한다.
TrGW와 IMS ALG 사이의 Ix 인터페이스가 또한 도입되고 채택되었다. 이러한 인터페이스는 하기 내용을 허용할 것이다:
IMS ALG는 NA(P)T-PT에 세션 개시시 화상에서 서로 다른 IP 어드레스들(IPv6 내지 IPv4, 및 역방향) 사이에서 바인딩 데이터를 제공하도록 요청하며,
TrGW는 IMS ALG에 바인딩 데이터를 제공하며, 그리고
IMS ALG는 세션 해제시 바인딩들을 해제한다.
더욱이, 도 1은 (IPv4에 기초하여 동작하는 상대 노드(미도시)(CN)와 통신하는) IPv6에 기초하여 동작하는 사용자 장비(UE)를 도시한다. 또한, 프록시-CSCF(P-CSCF)가 도시되는데, 이는 통신 또는 세션을 개시하는 때에 사용자 장비(UE)로부터 "제 1 홉" 시그널링 정보를 수신한다. I-CSCF 및 S-CSCF는 통신 관리 노드의 예를 나타내는 이른바 호출 처리 서버(CPS)로서 간주된다. 부가적으로, 도메인 네임 서버(DNS) 및 홈 가입자 서버(HSS)가 아키텍처의 일부를 형성한다. 상술된 엔티티들은 시그널링 트래픽을 나타내는 점선에 의해 표시된 바와 같이 시그널링 및 통신 관리와 관련되고, 페이로드 데이터는 도 1에서 "베어러"로서 나타나는 실선에 의해 표시된 바와 같이 사용자 장비(UE)로부터, IP-CAN(IP 접속성 액세스 네트워크)를 경유하여, 번역기 게이트웨이(TrGW)를 통해 통신 파트너, 즉 상대 노드(미도시)로 전송된다.
본 기술 분야의 당업자가 일반적인 아키텍처 및 개별 기능들을 갖는 엔티티들/노드들에 잘 알고 있기 때문에, 추가의 상세한 설명은 본원에서 생략된다.
파이어월들은 필터링 룰들에 기초하여 IP 패킷들을 필터링하는데, 이러한 룰들은 전형적으로 소스 및 목적지 IP 어드레스들, 프로토콜 타입 및/또는 포트 번호들을 고려하는 것이다. 공격들을 피하기 위하여, 파이어월들은 필터링 룰들로 구성된다. 이러한 룰들은 (예를 들어, TCP 플러딩(flooding) 또는 특정 프로토콜들을 중단시키기 위한) 정적 룰들 및 동적 룰들(핀홀들)을 포함한다. 여러 응용들은 파이어월에서 동적 핀홀 구성을 요청한다. 예로서, SIP 통신들은 공격들(UDP 플러딩 등)을 차단하는 동안에 매체 스트림이 파이어월을 통과하게 하도록 파이어월에서 핀홀들의 동적 생성/제거 (즉, 개방/폐쇄)를 요청한다. 보다 일반적으로는, UDP(사용자 데이터그램 프로토콜) 기반 응용들은 통신이 시작/중단되는 때에 동적 핀홀들이 개방/폐쇄되도록 요청한다. SIP에 대한 설명은 단지 예에 불과하며, 예를 들어, WAP(무선 응용 프로토콜)과 같은 다른 프로토콜들이 또한 본 발명과 관련하여 사용될 수 있다.
지금까지, 파이어월들에서 동적 핀홀 제어를 위한 여러 해결책들이 제안되었으며, 이들은 하기에서 간략하게 소개된다.
1. 가장 UDP 패킷들의 사용:
이러한 접근에 따르면, 사용자 장비(UE)는 더미(dummy) UDP 패킷을 송신하며, 파이어월(FW)은 이러한 패킷에 기초하여 핀홀을 개방한다. 하지만, 파이어 월(FW)이 핀홀들이 언제 폐쇄되어야 하는지를 결정하는 방법이 없다(이는 UDP 통신이 TCP처럼 세션 확립/분해(tear down)를 갖지 않기 때문이다). 대안적으로, 사용자 장비(UE)는 파이어월(FW)에 핀홀을 생성하기 위해 더미 UDP 패킷들을 송신할 수 있으며, 이러한 패킷들의 주기적인 전송에 의해 상기 더미 UDP 패킷들의 송신을 유지할 것이다. 하지만, 이러한 방법은 2개의 주요한 문제들을 제시한다: (1) 사용자 장비(UE)가 파이어월(FW)에서 생성된 상태의 타이머들에 관한 어떠한 지식도 갖지 않으며, (2) 이는 많은 개수의 바이트들이 무선 링크를 통해 송신되게 할 수 있으며, 이에 따라 자원들을 소비하게 된다.
2. 예를 들어, SIP을 인식하는 파이어월(FW)의 사용:
SIP 인식 FW는 SIP 시그널링을 분석하고, 요청한 바와 같이 핀홀들을 개방/폐쇄할 것이다. 하지만, 이는 SIP 시그널링이 파이어월에서 보여지도록 요청하지만은, SIP 압축이 (예를 들어, 3GPP 및 3GPP2 IMS에서) 적용될 수 있으며, 파이어월(FW)은 압축을 풀지 못할 수 있다. 게다가, 이 해결책은 파이어월(FW)에 너무 많은 제어를 제공하며, 네트워크 운영자는 적어도 부분적으로 제어를 완화한다(하지만, 일반적으로 자신의 제품들 및/또는 네트워크들에서 제어를 유지하는 것이 바람직하다). 마지막으로, 이 해결책은, SIP를 보호하기 위해 IPsec(인터넷 프로토콜(IP) 보안) 또는 TLS(전송 계층 보안) 암호화가 적용되는 때에는 적용될 수 없다.
3. 파이어월(FW)과 응용 서버(예를 들어, IMS에서 SIP 서버) 사이의 인터페이스의 사용:
이러한 인터페이스들이 예를 들어, IETF에서 MIDCOM(MIDCOM: IETF(인터넷 엔지니어링 태스크포스)에 의한 정의하에서 미들박스 통신(Middlebox Communication))으로 정의되지만은, 이들은 여전히 초기 사양 단(stage)에 있으며, 표준화 작업은 일정 시간을 요청할 수 있으며, 제품들에서의 이용가능성은 거의 희박하고, 시스템들(예를 들어, IMS)은 파이어월(FW)이 이러한 인터페이스들을 지원하기 이전에 전개될 필요가 있다. 게다가, 비록 이 해결책이 제어가 제조자의 제품들(예를 들어, SIP 서버)에 있도록 허용하지만은, 이러한 전개는 다른 회사들의 제품들과 완전히 독립적이지 않다.
4. FW 구성을 수행하기 위한, 단말기(UE)에서 FW로의 시그널링 프로토콜:
TIST 프로토콜(topology insensitive service transversal), CASP 프로토콜(cross application signaling protocol) 및 다른 기여들은 단말기 개방 및 네트워크의 파이어월들에서 필요한 핀홀들의 폐쇄로부터의 시그널링 프로토콜을 제안하고 있다. 이 방법들은 여전히 개별적인 초안들이며, 이 해결책들이 표준화되기 전에 매우 오랜 시간이 걸릴 것이다.
따라서, 본 발명의 목적은 동적 핀홀들과 관련된 문제들에 대한 대안적인 해결책을 제공하는 것인데, 여기서 해결책은 단기간의 전개를 가능하게 하며, 이는 상기 개괄된 제안들과 관련된 결점들이 없게 된다.
본 발명에 따르면, 상기 목적은 예를 들어, 하기 내용에 의해 달성된다.
통신 네트워크에서 앵커 노드를 구성하는 방법에 있어서, 상기 방법은 상기 통신 네트워크의 통신 관리 노드를 통해 제 1 단말기에 대한 통신 세션의 개시를 요청하는 단계와, 앵커 노드에서, 상기 통신 관리 노드에 의한 요청하에서 상기 제 1 단말기에 대한 바인딩을 제 1 확립하는 단계와, 상기 확립된 바인딩에 기초하여, 상기 개시 요청을 상기 통신 관리 노드로부터 제 2 단말기로 포워딩하는 단계와, 상기 제 2 단말기에 의해 상기 개시 요청을 상기 통신 관리 노드에 확인(acknowledge)하는 단계와; 그리고 상기 앵커 노드에서, 상기 통신 관리 노드에 의한 요청하에서 상기 제 2 단말기에 대한 바인딩을 제 2 확립하는 단계를 포함한다.
상기 방법의 유익한 추가의 전개들에 따르면,
- 상기 개시를 요청하는 단계는 상기 통신 관리 노드에 상기 통신 세션과 관련된 적어도 상기 단말기들의 어드레스들을 표시하는 단계를 포함하며;
- 상기 표시 단계는 상기 제 1 단말기의 상기 통신 세션에 대한 포트 번호를 통지하는 단계를 더 포함하며;
- 상기 바인딩 확립 단계는 별명(alias)을 상기 각 단말기와 관련시키는 단계를 포함하며;
- 상기 바인딩 확립 단계는 상기 앵커 노드에서 상기 각 단말기에 대한 관련 별명을 저장하는 단계를 더 포함하며;
- 상기 확인 단계는 상기 제 2 단말기의 상기 통신 세션에 대한 포트 번호를 통지하는 단계를 포함하며;
- 상기 방법은 상기 제 2 단말기에 대한 바인딩을 사용하여 상기 제 1 단말기에 상기 세션의 개시를 통지하는 단계를 더 포함하며;
- 상기 방법은 상기 통신 네트워크의 상기 통신 관리 노드를 통해 제 1 단말기에 대한 통신 세션의 종료를 요청하는 단계와, 상기 확립된 바인딩에 기초하여, 상기 통신 관리 노드로부터 상기 제 2 단말기로의 상기 종료 요청을 포워딩하는 단계와, 상기 제 2 단말기에 의해 상기 종료 요청을 상기 통신 관리 노드에 확인하는 단계와, 상기 앵커 노드에서, 상기 통신 관리 노드에 의한 요청하에서 상기 제 1 단말기에 대한 바인딩을 제 1 해제하는 단계와; 그리고 상기 앵커 노드에서, 상기 통신 관리 노드에 의한 요청하에서 상기 제 2 단말기에 대한 바인딩을 제 2 해제하는 단계를 더 포함하며;
- 상기 해제 단계들은 상기 앵커 노드에서 상기 각 단말기에 대한 상기 관련 별명들을 삭제하는 단계를 포함한다.
또한, 본 발명에 따르면, 상기 목적은 예를 들어, 하기 내용에 의해 달성된다.
통신 네트워크의 제 1 단말기와 제 2 단말기 사이에 확립된 통신 세션에서 데이터를 통신하는 방법에 있어서, 상기 방법은 상기 제 1 단말기에서 앵커 노드로 통신되도록 상기 데이터를 전송하는 단계와, 여기서 상기 앵커 노드는 상기 단말기들에 대한 각 바인딩들의 테이블을 저장하도록 구성되며, 상기 단말기들에 대한 상기 구성 바인딩들을 사용하여 상기 앵커 노드에서 상기 네트워크의 필터링 노드로 통신되도록 상기 데이터를 릴레이하는 단계와, 그리고 상기 필터링 노드에서 상기 단말기들에 대한 바인딩들에 기초하여 통신되도록 상기 데이터를 필터링하는 단계를 포함한다.
본 방법의 유익한 추가의 전개들에 따르면,
- 상기 필터링 단계는, 만일 이러한 바인딩이 상기 구성 바인딩들 사이에서 존재하는 경우에, 상기 바인딩에 기초하여 상기 필터링 노드를 통해 상기 제 2 단말기로 통신되도록 상기 데이터를 전달하는 단계를 더 포함하며;
- 상기 필터링 단계는, 만일 이러한 바인딩이 상기 구성 바인딩들 사이에서 존재하지 않는 경우에, 상기 바인딩에 기초하여 상기 데이터가 상기 필터링 노드를 통해 상기 제 2 단말기로 통신되는 것을 차단하는 단계를 더 포함하며,
또한, 본 발명에 따르면, 상기 목적은 예를 들어, 하기 내용에 의해 달성된다.
통신 네트워크에서 앵커 노드는, 통신 관리 노드로부터 통신 세션 개시를 요청하는 제 1 단말기에 대한 바인딩을 확립하기 위해 바인딩 요청을 제 1 수신하는 수신기와, 그리고 상기 수신 바인딩 요청에 응답하여 상기 제 1 단말기에 대한바인딩을 제 1 확립함과 아울러 상기 바인딩을 상기 통신 관리 노드로 복귀시키는 프로세서를 포함하며, 상기 수신기는 상기 통신 관리 노드로부터 상기 통신 세션과 관련된 제 2 단말기에 대한 바인딩을 확립하기 위해 바인딩 요청을 제 2 수신하며, 상기 프로세서는 상기 통신 관리 노드에 의한 요청하에서 상기 제 2 단말기에 대한 바인딩을 제 2 확립한다.
상기 앵커 노드의 유익한 추가의 전개들에 따르면,
- 상기 프로세서는 상기 바인딩을 확립하는 때에 별명을 상기 각 단말기에 관련시키는 할당 장치를 포함하며;
- 상기 앵커 노드는 상기 각 단말기에 대한 상기 관련 별명을 저장하는 메모리를 포함한다.
또한, 본 발명에 따르면, 상기 목적은 예를 들어, 하기 내용에 의해 달성된다.
통신 네트워크에서 앵커 노드는, 상기 제 1 단말기에서 제 2 단말기로 통신되는 데이터를 수신하는 수신기와, 상기 단말기들에 대한 각 구성 바인딩들의 테이블을 저장하는 메모리와, 그리고 상기 단말기에 대한 상기 구성 바인딩들을 사용하여 상기 네트워크의 필터링 노드로 통신되도록 상기 데이터를 릴레이하는 프로세서를 포함한다.
상기 앵커 노드의 유익한 추가의 전개에 따르면,
- 상기 프로세서는 상기 구성 바인딩에 기초하여 어드레스 번역을 수행하는 어드레스 번역기를 포함한다.
또한, 본 발명에 따르면, 상기 목적은 예를 들어, 하기 내용에 의해 달성된다:
통신 네트워크에서 필터링 노드는, 상기 단말기들에 대한 바인딩들을 유지하는 앵커 노드로부터 상기 제 1 단말기에서 제 2 단말기로 통신되도록 데이터를 수신하는 수신기와, 상기 단말기들에 대한 상기 바인딩들을 분석하는 프로세서와, 그리고 상기 분석 결과에 따라 상기 데이터를 필터링하는 필터를 포함한다.
상기 필터링 노드의 유익한 추가의 전개들에 따르면,
- 상기 필터는, 만일 이러한 바인딩이 상기 구성 바인딩들 사이에서 존재하는 경우에, 상기 바인딩에 기초하여 상기 제 2 단말기로 통신되도록 상기 데이터를 전달하며;
- 상기 필터는, 만일 이러한 바인딩이 상기 구성 바인딩들 사이에서 존재하지 않는 경우에, 상기 바인딩에 기초하여 상기 데이터가 상기 제 2 단말기로 통신되는 것을 차단한다.
따라서, 상기 내용으로부터 자명한 바와 같이, 본 발명은 적절한 레벨의 보안을 보장하기 위해 전형적으로 동적 핀홀이 생성될 필요가 있는 방식(예를 들어, SIP 통신들에서 UDP 스트림들)에서 파이어월을 통해 IP 통신들을 보안으로 필터링하는 방법을 정의한다. 본 발명은 파이어월이 패킷 필터링을 수행하기 이전에 모든 통신들이 라우팅되는 통신들을 위한 보안의, 허가된 앵커를 생성하는 개념에 기초한다.
따라서, 적어도 하기의 이점들은 구현될 본 발명으로 달성된다:
1. 본 발명은 적어도 (단말기로부터 파이어월로의) 특정 FW 구성 인터페이스를 요구하지 않으며, 또한 FW에서 ALG를 요구하지 않는다;
2. 본 발명은 SIP 확립된 통신들을 보안으로 지원한다(사용자들은 일반적으로 알려진 "TCP SYN 플러드", "테어드롭(Teardrop)" 등과 같은 공통 IP 협박들에 대해 보호된다);
3. 본 발명은 표준화될 필요가 없으며, 따라서 본 발명의 전개는 표준화될 해결책들 보다 더 빠르게 된다.
4. 본 발명은, 이러한 해결책이 채택되는 경우에 현재 CPS(S-CSCF/I-CSCF) 구현, 또는 SIP 프록시 서버 구현에 대한 실질적인 변형을 요구하지 않는다;
5. 본 발명은 현재 인프라(단말기들, IMS(IP 멀티미디어 서브시스템) 등)에 대한 어떤 변형/갱신도 요구하지 않는다;
6. 본 발명은 어떤 외부 진영이나 표준화 포럼에 의존하지 않는 추가의 이점들을 가지며, 이에 따라 단일 제조자에 의해 완전하게 개발될 수 있다.
본 발명의 결과로서, 모든 데이터 트래픽은 앵커 노드로서 예를 들어, 번역기 게이트웨이(TrGW)를 통과해야 하지만, 이것이 문제의 핵심이 되지 않아야 하는데, 이는 또한 모든 데이터가 파이어월을 통과해야 하기 때문이다. (오히려, TrGW는 파이어월에 물리적으로 인접하여 또는 내부에 위치되거나, 또는 반대의 경우로 구성될 수 있다).
따라서, 상술한 바와 같이, 본 발명은 적절한 레벨의 보안을 보장하기 위해 전형적으로 동적 핀홀이 생성될 필요가 있는 방식(예를 들어, SIP 통신들에서 UDP 스트림들)에서 파이어월을 통해 IP 통신들과 같은 통신을 필터링하는 방법을 정의한다. 본 발명은 파이어월이 패킷 필터링을 수행하기 이전에 모든 통신들이 라우팅되는 통신들을 위한 보안의, 허가된 앵커를 생성하는 개념에 기초한다. 본 발명은 새로운 엔티티들을 도입하지 않지만, 기존의 구조체제를 재사용한다. 본 발명은 TrGW(번역기 게이트웨이)에 의존하는데, 그 기능성은 저장된 IP 맵핑 테이블에 따라 IP 헤더에서의 IP 어드레스들 및 CPS(또는 SIP 프록시)와 TrGW 사이의 인터페이스를 스위칭하는 것이다.
이 인터페이스는 하기 내용을 허용할 것이다: CPS는 TrGW에 세션 개시시 IP 어드레스들 사이에 바인딩 데이터를 제공하도록 요청하며, TrGW는 CPS에 바인딩 데이터를 제공하며, 그리고 CPS는 세션 해제시 바인딩들을 해제한다. FW는 상태기반 파이어월이 될 것이며, 외부 인터페이스상에서 IP 어드레스가 TrGW 어드레스들의 풀(pool)에 속하는 인입 패킷들만을 수락할 것이다. 따라서, 기존 호출 또는 세션에 대응하지 않는 임의의 인입 패킷은 TrGW에서 드롭될 것이며(임의의 플러딩 시도를 방지할 것이며), 유효 패킷은 FW를 통과할 것인데, 여기서 FW는 패킷이 기형(malformed) 메세지 또는 다른 공격(예를 들어, TCP SYN 플러드 등)이 아님을 검증할 것이다.
상기 및 추가의 이점들은 첨부 도면들과 관련하여 하기의 상세한 설명을 참조함으로써 더욱 자명하게 될 것이다.
도 1은 IPv6의 IPv4 네트워크들과의 연동을 위해 3GPP에서 채택된 공지의 아키텍처를 도시한다.
도 2는 앵커 노드의 구성에 관하여 본 명세서에서 제안된 본 발명을 도시한다.
도 3은 본 명세서에서 제안된 본 발명이 데이터 통신에 관하여 적용되는 IP 패킷 라우팅을 설명한다.
도 4는 앵커 노드의 구성에 관하여 본 발명을 구현하는 특정의 대안적인 방법을 설명한다.
도 5는 본 발명에 따라 앵커 노드의 구성에 관하여 앵커 노드를 도시한다.
도 6은 본 발명에 따라 데이터 통신에 관하여 앵커 노드를 도시한다.
도 7은 본 발명에 따라 데이터 통신에 관하여 필터링 노드를 도시한다.
도 8은 통신 세션의 종료에 관하여 시그널링을 도시한다.
이제, 첨부 도면을 참조하여 본 발명에 대해 상세히 설명한다.
본 발명의 설명을 위해, 실시간 스트림을 갖는 SIP 호출에 대해 설명한다. 하지만, 본 명세서에서 설명되는 방법은 SIP가 이용되는 방식(예를 들어, 3GPP IMS)에 한정되지 않으며, 예를 들어 WAP 방식에 적용될 수 있다. 일반적으로, 본 발명의 방법은, 동적 핀홀이 생성될 필요가 있지만 파이어월 구성 인터페이스가 존재하지 않는 임의의 다른 동작 환경에도 적용될 수 있다.
본 발명은 번역기 게이트웨이(TrGW) 등의 앵커 노드를 이용한다는 것을 인식할 것이다. 앵커 노드의 기능은 저장된 IP 맵핑 테이블에 따라 IP 헤더의 IP 어드레스를 스위치하는 것이며, 그 기능은 네트워크 어드레스 번역기(NAT)중의 하나와 유사하다. 또한, 본 발명은 CPS(또는 SIP 프록시)와 TrGW 간의 인터페이스를 이용한다는 것을 알 수 있을 것이다. 이 인터페이스에 의해, CPS(또는 SIP 프록시)는 세션을 개시할 때에 TrGW에게 IP 어드레스들 간의 바인딩 데이터를 제공할 것을 요청할 수 있고(하기의 설명을 참조하라), TrGW에게 바인딩 데이터를 CPS(또는 SIP 프록시)에 제공할 것을 요청할 수 있으며, 그리고 CPS(또는 SIP 프록시)에게 세션 해제(session release)시 바인딩을 해제할 것을 요청할 수 있다.
먼저, 도 2를 참조하여, 통신 네트워크에서 앵커 노드를 구성하는 방법에 대해 설명한다.
도 2는 그 어드레스 IP1에 의해 식별되는 통신 발신 단말기로서의 단말기(UE)와, 통신 관리 노드의 예로서의 호출 처리 서버(CPS)와, 앵커 노드의 예로서의 번역기 게이트웨이(TrGW)와, 일단 앵커 노드가 구성되면 통신에 이용되는 파이어월 FW(하기 설명됨)와, 그리고 통신 목적지 단말기, 즉 그 어드레스 IP3에 의해 식별되는 상대 노드(CN)를 나타낸다.
단말기들 간의 통신에는, 단말기들 간의 논리적 관계가 있는 바, 이는 호출이라 불린다. 이러한 호출 내에서, 실시간 또는 비실시간 트래픽 등의, 다른 "콘텐츠" 또는 트래픽 타입, 즉 다른 서비스 품질(QoS)의 데이터가 통신될 수 있다. 이후, 데이터/트래픽의 각 타입이 이러한 호출의 이른바 세션 형성부에서 통신된다. 세션은 단말기의 어드레스들에 의해서 뿐 아니라, 각 단말기의 포트 번호에 의해 한층 더 식별되며, 그 포트 번호에 의해 트래픽이 안내/처리된다. 번역기 게이트웨이는, 통신 개시 단말기의 IP 어드레스(InitIP)가 (그 단말기의 별명을 나타내는) 대응하는 IP 어드레스(CorrIP)와 관련되어 있는 번역 테이블 또는 맵핑 테이블을 유지/저장한다. 선택에 따라(미도시), 맵핑 테이블은 단말기 어드레스들을 포함할 뿐 아니라, 부가적으로 각 단말기의 각각의 포트들을 포함한다.
다음으로, 앵커 노드(TrGW)를 구성하는 방법에 대해 설명한다. 이 방법은 다음의 단계들을 포함한다:
제 1 단계에서, UE는 SIP 초대(Invite)를 그 CPS에 전송하여, SDP(세션 기술 프로토콜) 필드에서 매체 스트림을 기대하는 포트 번호 뿐 아니라, IP 어드레스(IP1)를 특정한다. 설명을 위해, UE가 매체 스트림을 기대하는 포트 번호 및 IP 어드레스인 Port#1 및 IP1을 호출하자. 다시 말해, 통신 네트워크의 통신 관리 노드(CPS)를 통해 제 1 단말기(UE)에 대한 통신 세션을 개시하기 위한 요청이 발생한다. 또한, 상기 개시 요청 단계는 상기 통신 관리 노드(CPS)에게 적어도 통신 세션에 포함되는 단말기들(UE, CN)의 어드레스들을 표시하는 단계를 포함하고, 이러한 표시 단계는 제 1 단말기(UE)의 통신 세션 동안 포트 번호(Port#1)를 통지하는 단계를 더 포함한다.
제 2 단계에서, CPS는 TrGW에 요청을 전송하여, UE의 어드레스, 즉 IP_1을 제공한다. 이 요청에 의해, 요청 단말기의 어드레스에 IP 어드레스를 관련시킬 것을 요청함으로써, 바인딩(binding)을 확립한다. 그러면, TrGW 등의 앵커 노드는, 앵커 노드(TrGW)에서, 통신 관리 노드(CPS)에 의한 요청시 제 1 단말기(UE)의 바인딩의 제 1 확립을 행한다.
이는 TrGW가 다른 IP 어드레스(별명), IP_2를 IP_1에 관련시킨 다음, 이러한 관련을 저장하기 위해 그 맵핑 테이블에 엔트리를 생성한다. 선택에 따라 CPS가 사용자 장비(UE)의 포트 번호(Port#1)를 제공할 수도 있고, 선택에 따라 TrGW가 다른 포트 번호(Port#2)를 할당할 수도 있다. 이 정보는 맵핑 테이블에도 저장되며, 들어오는(유입) 데이터 패킷들의 보다 높은 입도(granularity)의 필터링에 이용될 수 있는 바, 이는 하기에서 설명된다. 앵커 노드(TrGW)에 의해 제공되는 바인딩에 기초하여, CPS는 SIP 초대의 SDP 필드를 변경한다. 특히, IP_1 및 선택에 따라서는 Port#1을 IP_2 및 Port#2로 대체한다.
이후, TrGW는 CPS에 응답을 전송하여, IP1에 관련되는 바인딩 어드레스로서 IP_2를 제공한다. 이러한 관련 응답은 도 2의 단계 3에 의해 도시된다.
이후, 단계(4)에서는, CPS가 사용자 장비(UE)에 대해 관련된 바운드 IP 어드레스(IP2)를 이용하여 상대 노드에 SIP 초대를 전송하는 것과 같이, 확립된 바인딩에 기초하여 통신 관리 노드(CPS)로부터 제 2 단말기(CN)에 초대 요청을 전송한다.
이에 응답하여, 피호출 진영(called party)은, 예를 들어 "SIP 200 OK"로 호출 관리 노드(CPS)에 응답한다(도 2에는 나타내지 않았음). 따라서, 제 2 단말기(CN)는 통신 관리 노드(CPS)에 상기 요청에 대한 확인을 보낸다.
목적지의 매체 스트림 성능은 상기 시그널링 흐름의 "SIP 200 OK" 메세지 내에서 시그널링 경로를 따라 리턴된다. 실제로, 이들은 이른바 SIP 183 세션 진행 임시 응답(Session Progress provisional response) 또는 심지어 다른 응답 내에서도 리턴될 수 있다.
예를 들어 SIP 200 OK를 수신하면, CPS는 앵커 노드(TrGW)에서 SDP 필드에 특정된 피호출 진영의 상대 노드의 IP 어드레스(IP3) (및 선택에 따라서는 포트 번호(Port#3))에 대한 바인딩을 요청한다. 이는 상기 통신 관리 노드에 의한 요청시, 상기 앵커 노드에서의, 제 2 단말기(CN)의 바인딩의 제 2 확립을 나타낸다.
TrGW는 (제 2 확립시), CPS가 단말기(UE)에 최종적으로 리턴되는 그 SIP 200 OK 메세지의 SDP 필드에서 특정하게 될, 어드레스 및 선택에 따라서는 포트 번호, 즉 IP_4 및 Port#4를 제공한다.
이러한 단계들은 피호출 진영(CN)이 호출 진영(UE)의 IP 어드레스로서 단일 IP 어드레스, 즉 IP_2를 "확인(see)할"수 있도록 행해진다. 통신에 있어서, 모든 패킷들은 요구되는 어드레스 변환을 행하는 앵커 노드(TrGW)를 통해 리턴되어야 한다. 피호출 단말기의 어드레스에 대한 바인딩을 확립하기 위한 상기 단계들을 행하지 않으면서, UE는 IP1으로부터 CN에 패킷들을 전송할 것이며, SIP 시그널링은 발신 어드레스로서 IP2를 나타낼 것이다.
이후, 호출 관리 노드(CPS)는 SIP 메세지를 단말기(UE)에 전송한다. 단말기(UE)의 관점으로부터, 피호출 진영(CN)은 IP_4 및 선택에 따라서는, 예를 들어 Port#4에서 매체 스트림을 기대하고 있다. 따라서, 상기 제 1 단말기(UE)에 세션의 개시를 통지하는 단계가 존재하는 바, 이러한 통지에는 상기 제 2 단말기에 대한 바인딩이 이용된다.
이러한 IP 패킷 및 포트 번호로 매체 스트림을 전송하게 되면, 패킷들을 TrGW에 도달하게 되고, 이 TrGW는 그 흐름과 관련된 바인딩을 확인한다.
이에 따라, 바인딩을 확립하기 위한 상기 단계들 양자는 상기 각각의 단말기(UE, CN)에 별명을 관련시키는 단계를 포함한다. 즉, 단말기들은 IP1 대신 IP2 및 IP3 대신 IP4와 같이, 다른 어드레스 (및 선택에 따라서는 포트 번호)하에서 "알려지게" 된다.
또한, 바인딩을 확립하기 위한 상기 단계들은 상기 앵커 노드에 각 단말기에 대해 관련된 별명을, 예를 들어 룩업 테이블 형태의 앵커 노드의 메모리에 저장하는 단계를 더 포함한다.
(또한, 선택으로서, 상기 확인 단계는 상기 제 2 단말기(CN)의 통신 세션 동안 포트 번호(Port#4)를 통지하는 단계를 더 포함한다.)
따라서, 어떠한 호출 또는 통화 세션의 개시 요청시, 앵커 노드에서는 맵핑 테이블이 구성된다.
도 8은 통신 세션의 종료와 관련된 본 발명에 따른 단계들을 나타낸다. 이 점에 있어서, 이 방법은 상기 통신 네트워크의 통신 관리 노드(CPS)를 통해 제 1 단말기(UE)에 대한 통신 세션의 종료를 요청하는 단계(S81)를 더 포함한다(종료 요청은 "제 1 단말기"로서 동작하는 상대 노드에 의해 동등하게 시작될 수 있다). 이후, 이러한 종료 요청은 확립된 바인딩에 기초하여 통신 관리 노드(CPS)로부터 제 2 단말기(CN)에 전송되고(S82), 제 2 단말기(CN)는 상기 요청을 상기 통신 관리 노드(CPS)에 확인한다(S83). 통신 관리 노드(CPS)는 그 요청을 앵커 노드(TrGW)에 릴레이한다(S84).
그런 다음, 앵커 노드(TrGW)에서, 상기 통신 관리 노드(CPS)에 의한 요청시(S84) 제 2 단말기(UE)에 대한 바인딩의 제 1 해제가 일어나고(S85), 상기 앵커 노드(TrGW)에서, 상기 통신 관리 노드에 의한 요청시(S84) 제 2 단말기(CN)에 대한 바인딩의 제 2 해제(S86)가 일어난다. 이러한 해제 단계들은 상기 앵커 노드에서 각 단말기에 대한 관련된 별명을 삭제하는 단계를 포함한다. 이는 (도 2, 3 및 4에 나타낸) 맵핑 테이블에 대한 엔트리들이 선택적으로 삭제된다는 것을 의미한다.
여기까지, 앵커 노드의 구성에 대해 설명하였다. 다음으로, 이렇게 구성된 앵커 노드를 이용한 통신에 대해 설명한다.
일반적으로, 본 발명에 따라 데이터를 통신하는 방법은 통신 네트워크에 있어서 제 1 UE, CN과 제 2 CN, UE 간에 확립된 통신 세션에서의 데이터에 관련된다. 이 방법은 제 1 UE, CN 단말기로부터 앵커 노드(TrGW)로 전달될 데이터를 전송하는 단계를 포함하는 바, 여기서 앵커 노드는 단말기들에 대한 각각의 바인딩의 테이블을 저장하도록 구성된다. 이후, 단말기들에 대해 구성된 바인딩을 이용하여, 앵커 노드로부터 상기 네트워크의 파이어월(FW) 등의 필터링 노드쪽으로 전송되는 데이터가 릴레이된다. 이후, 상기 필터링 노드에서는, 상기 단말기들에 대한 바인딩에 기초하여 전송되는 데이터를 필터링한다.
보다 구체적으로, 상기 필터링은, 바인딩이 상기 구성된 바인딩들 사이에서 존재하는 경우, 이러한 바인딩에 기초하여, 상기 데이터를 상기 필터링 노드를 통해 제 2 CN, UE 단말기에 전진하여 통신되게 하는 것을 포함한다. 또한, 상기 필터링은, 바인딩이 상기 구성된 바인딩들 사이에서 존재하지 않는 경우, 이러한 바인딩에 기초하여, 상기 데이터가 상기 필터링 노드를 통해 제 2 CN, UE 단말기로 통신되는 것을 막는 것을 더 포함한다.
도 3을 참조하여, 이는 일단 앵커 노드가 상기 설명된 바와 같이 구성되면, 다음 단계로서, UE와 CN 간 그리고 CN과 UE 간의 트래픽이 -구성된 바인딩들에 기초하여- 다음과 같이 라우팅됨을 의미한다:
제 1 경우(UE로부터 CN으로의 다운스트림):
하기 설명되는 바와 같이, 데이터는 UE로부터 TrGW로 라우팅된 다음, TrGW로부터 FW로 라우팅되고, 거기에서 CN으로 라우팅된다(도 3에 나타내지 않음).
제 2 경우(CN으로부터 UE로의 업스트림):
하기에서 설명되는 바와 같이, 데이터는 CN으로부터 TrGW로 라우팅된 다음, TrGW로부터 FW로 라우팅되고, 거기에서 UE로 라우팅된다(도 3에 나타냄).
이제, 이것에 대해 보다 상세히 설명한다:
사용자 장비(UE)로부터 비롯되는 페이로드 데이터는 앵커 노드에 강제적으로 라우팅된다. 네트워크에 복수의 앵커 노드가 존재하는 경우, 이것은, 예를 들어 단말기의 어드레스 그리고/또는 위치에 의존하여 또는 관련된 트래픽 타입 등의 임의의 다른 기준에 의존하여, 각 단말기에 하나의 앵커 노드를 관련시킴으로써 달성될 수 있다.
앵커 노드(TrGW)는 유입 패킷들의 IP 헤더를 다음과 같이 변경하여, 나가는 데이터 패킷들의 헤더와 다르게 한다:
- 소스 IP 어드레스가 IP_1로부터 IP_2로 변경된다.
- 목적지 IP 어드레스가 IP_4로부터 IP_3으로 변경된다.
- 선택에 따라, 소스 포트 번호가 Port#1로부터 Port#2로 변경된다.
- 선택에 따라, 목적지 포트 번호가 Port#4로부터 Port#3으로 변경된다.
그리고, 들어오는 IP 패킷들에 대해, 피호출 진영, 즉 CN은 그 어드레스(IP_3)로부터의 응답으로서 IP 패킷을 사용자 장비(UE)의 별명 어드레스(IP_2)에 전송한다.
또한, 이러한 IP 패킷들은 앵커 노드(TrGW)에 도달하며, TrGW는 다음과 같이 패킷들을 변경한다:
- 소스 IP 어드레스는 IP_3으로부터 IP_4로 변경된다.
- 목적지 IP 어드레스는 IP_2로부터 IP_1으로 변경된다.
- 선택에 따라, 소스 포트 번호가 Port#3으로부터 Port#4로 변경된다.
- 선택에 따라, 목적지 포트 번호가 Port#2로부터 Port#1으로 변경된다.
임의의 경우, 통신에 있어서, 변경된 헤더를 갖는 패킷들은 파이어월 등의 필터링 노드에 강제적으로 라우팅된다. 즉, 앵커 노드(TrGW)로부터 나오는 데이터는 파이어월에 강제적으로 라우팅된다. 네트워크에 복수의 파이어월이 존재하는 경우, 이것은, 예를 들어 앵커 노드의 어드레스 그리고/또는 위치에 의존하여 또는 임의의 다른 기준에 의존하여, 각 앵커 노드에 파이어월을 관련시킴으로써 달성될 수 있다.
또한, 파이어월은 앵커 노드(TrGW)의 IP 어드레스 풀로부터 유입 패킷들은 그 파이어월에 통과되게 하고, 나머지 것들은 차단하도록 구성된다. 이에 따라, 필터링 노드로서의 파이어월은 허가된 통신에 대해 존재하는 바인딩들의 어드레스 풀을 알게 된다.
이러한 지식은, 예를 들어 앵커 노드에서의 바인딩의 확립 또는 삭제시 각각의 새롭게 확립된 또는 삭제된 바인딩을 앵커 노드에 의해 파이어월에 통지함으로써 얻어진다. 대안적으로, 패킷들을 수신하는 경우, 파이어월은 관련된 어드레스들이 앵커 노드의 어드레스 풀의 일부인지의 여부를 알기 위해 앵커 노드에게 질문할 수 있다. 파이어월이 앵커 노드의 어드레스 풀의 지식을 얻기 위한 다양한 다른 가능성을 생각할 수 있다.
이러한 통신 방법은 다음을 가능하게 한다:
- 파이어월에 도달하는 무효 데이터 패킷들은 드롭될 수 있다.
- 앵커 노드(TrGW)에 도달하는 무효 데이터 패킷들은 드롭될 수 있다. 예를 들어, 존재하는 세션에 대응하지 않는 들어오는 IP 패킷은 심지어 파이어월에 전송되지도 않는다.
- 유효 노드들로부터의 유입 패킷드은 사용자 장비(UE)에 전달될 수 있다.
- 유효 노드들로부터의 유입 패킷들은 파이어월에 의해 공통의 IP 위협(예를 들어, TCP SYN 플러드, 죽음의 핑)에 대해 체크될 수 있다.
선택에 따라, 앵커 노드를 구성할 때, CPS가 상대 노드의 포트 번호 및 IP 어드레스를 제공하는 경우, 이 정보는 들어오는 IP 패킷들을 필터링할 때에도 이용될 수 있다.
먼저 TrGW를 통한 다음 파이어월에 전달되도록 허락된 유일한 패킷들은, 합법적인 CN(즉, FW에 의해 보호되는 네트워크에 있어서 UE와의 SIP 호출에 있어서의 CN, 그렇지 않으면 TrGW는 이들을 드롭한다)에 의해 발생되어, UE의 합법적인 IP 어드레스에 대해 전송되고, UE에 대해 허락된 프로토콜 타입에 대응하는 것들이며, 그 반대의 경우도 마찬가지이다.
본 발명을 실시하기 위해, 앵커 노드(TrGW)는 상기 설명한 바와 같이 구성된다. 또한, TrGW와 CPS 간의 인터페이스도 상기 설명한 바와 같이 구성된다. 이 인터페이스는 LDAP(Lightweight Directory Access Protocol) 또는 COPS(Common Open Policy Service) 프로토콜에 기초할 수 있다.
CPS의 추가적인 기능(CPS에 의해 TrGW에 전송되는 요청, SIP 메세지의 변경)은 현재의 CPS 구현에 부가되거나, SIP 프록시 서버에서 구현될 수 있다. CPS는 이러한 SIP 프록시에 모든 SIP 시그널링을 전송하며, SIP 프록시는 상기 설명한 동작을 행한다.
도 4는 이러한 변경을 나타낸다. 방법 흐름은 도2의 것과 유사하지만, 도 2의 CPS에 부여되는 기능이 본 변경에서는 CPS와 앵커 노드 사이에 위치하는 SIP 프록시 서버로 옮겨진다. CPS는 단지 통신 세션을 개시하고자 하는 요청을 대안적인 통신 관리 노드로서의 SIP 프로시 서버에 릴레이하고, 각각의 응답/확인을 UE에 릴레이한다. 따라서, 본원에서는 이에 대한 추가적인 상세한 설명은 생략한다.
따라서, 통신 노드들 간에 교환되는 데이터 및 SIP 시그널링을 분석함으로써, 특히 파이어월에 대해 "동적 룰"로서 기능하는 표시된 IP 어드레스 (및 선택에 따라 포트 번호)를 분석함으로써, 통신 보안을 달성할 수 있다.
상기에서는, 관련 방법들을 참조로 하여 본 발명을 설명하였다. 하지만, 주목할 사항으로서, 본 발명은 이 방법들에 대응하여 적응된 노드들과도 또한 관련된다.
따라서, 이해될 사항으로서, 앵커 노드를 구성하는 방법과 관련하여, 앵커 노드는 다음과 같이 구성된다.
본 발명에 따른 그리고 도 5에 나타낸 앵커 노드는 통신 관리 노드로부터 통신 세션 개시를 요청하는 제 1 단말기에 대한 바인딩을 확립하기 위한 바인딩 요청을 처음으로 수신하는 수신기와, 상기 수신된 바인딩 요청에 응답하여 상기 제 1 단말기(UE)에 대한 바인딩을 처음으로 확립하고, 상기 바인딩을 상기 통신 관리 노드에 리턴시키는 프로세서를 포함하고, 여기서 상기 수신기는 통신 세션에 포함되는 제 2 단말기에 대한 바인딩을 확립하기 위한 바인딩 요청을 통신 관리 노드로부터 두 번째로 수신하고, 상기 프로세서는 상기 통신 관리 노드에 의한 요청시 제 2 단말기(CN)에 대한 바인딩을 두 번째로 확립한다. 주목할 사항으로서, 수신기는 실제로 수신기/전송기이고, 전송기 부분은 확립된 바인딩에 관한 정보를 통신 관리 노드(CPS)(또는 프록시-CSCF)에 리턴시킨다. 주목할 사항으로서, 비록 도 5는 바인딩 요청들을 개별적으로 수신하는 것으로 나타내었지만, 이것은 단지 예시를 위한 것으로서, 서로 다른 시간에 수신되는 양자의 요청들은 물론 통신 관리 노드(CPS)(또는 프록시-CSCF) 쪽으로의 앵커 노드의 동일한 인터페이스를 통해 수신될 수 있다.
또한, 프로세서는 바인딩을 확립할 때 각 단말기에 별명을 관련시키는 할당 장치를 더 포함하고, 앵커 노드는 각 단말기에 대한 관련된 별명을 저장하는 메모리를 포함한다.
또한, 이해될 사항으로서, 통신 방법과 관련하여, 앵커 노드는 다음과 같이 구성된다. 이 점에 있어서, 주목할 사항으로서, 다른 도면들이 앵커 노드를 예시하기는 하였지만, 이것은 단지 예시를 위한 것이다. 실제로, 본 발명에 따른 앵커 노드는 언제라도 모든 내부 장치/수단을 갖추는 바, 이들이 앵커 노드의 동작 상태에 따라 선택적으로 동작가능한 동안, 즉 앵커 노드를 구성할 때 또는 앵커 노드를 통해 통신할 때에, 갖춘다. 또한, 앵커 노드의 처리 장치는 구성 및 통신 처리를 위 한 병렬 처리를 가능하게 하도록 구성되는 것이 바람직하기 때문에, 구성은 통신 간에 또는 통신 동안에 행해질 수 있다. 또한, 앵커 노드의 어떠한 구성 요소들은 두번 제공되지는 않지만, 구성 및 통신의 양쪽의 목적에 이용된다(예를 들어, 수신기, 메모리).
본 발명에 따른 그리고 도 6에 나타낸 앵커 노드는 제 1 UE, CN 단말기로부터 제 2 CN, UE 단말기에 통신되어야 하는 데이터를 수신하는 수신기와, 단말기들에 대한 각각의 바인딩들의 테이블을 저장하는 메모리와, 단말기들에 대한 바인딩들을 이용하여 상기 네트워크의 필터링 노드(FW) 쪽으로 통신되어야 하는 데이터를 릴레이하는 프로세서를 포함한다. 물론, 수신기는 실제로 수신기/전송기이며, 프로세서의 처리 결과에 따라 데이터를 릴레이하기 위해 전송기로서 동작한다. 메모리 및 그 내에 저장된 바인딩들과 협력하여 프로세서는, 상기 통신 방법과 관련하여 이전에 설명한 바와 같이 데이터의 헤더를 변경한다. 주목할 사항으로서, 앵커 노드는 바인딩 데이터를 갖는 데이터/어드레스들에 대해 파이어월로의 데이터의 릴레이를 선택적으로 행할 수 있을 뿐이다. 즉, 어떠한 별명(바인딩)도 앵커 노드에 저장되지 않은 단말기 어드레스와 관련된 데이터가 파이어월에 전송되는 것을 막을 수 있다. 이는 앵커 노드가 바인딩들을 체크하고, 바인딩에 따라 유효 패킷들 만을 파이어월 노드에 전송하고, 파이어월의 기능 부분을 이미 구성하고 있음을 의미한다. 그럼에도 불구하고, 동일한 기능이 파이어월 자체에 귀속될 수 있다.
또한, 이해될 사항으로서, 상기 통신 방법과 관련하여, 필터링 노드는 다음과 같이 구성된다.
본 발명에 따른 그리고 도 7에 나타낸 필터링 노드는, 단말기들에 대한 바인딩들을 유지하고 있는 앵커 노드로부터, 제 1 UE, CN 단말기로부터 제 2 단말기 CN, UE에 통신되어야 하는 데이터를 수신하는 수신기와, 상기 단말기들에 대한 바인딩들을 분석하는 프로세서와, 그리고 분석 결과에 의존하여 데이터를 필터링하는 필터를 포함한다.
특히, 상기 필터는 바인딩에 기초하여 이러한 바인딩이 앵커 노드에서 구성된 바인딩들 간에 존재하는 경우에는 상기 데이터가 제 2 단말기 CN, UE에 통신되도록 통과시키고, 바인딩에 기초하여 이러한 바인딩이 앵커 노드에서 구성된 바인딩들 간에 존재하지 않는 경우에는 상기 데이터가 제 2 단말기 CN, UE에 통신되는 것을 막는다. 차단된 데이터는 전달되지 않고, 삭제 또는 폐기된다. 따라서, 필터링 노드는 앵커 노드로부터 그 필터링 노드에 도달하는 패킷들을 체크함으로써, (예를 들어 앵커 노드를 통과함으로 인해) 유효한 것으로서 "간주"하며, 그렇지 않은 경우에는 무효한 것으로서 간주한다.
주목할 사항으로서, 앵커 노드 및 필터링 노드의 블록 회로도는 임의의 특정한 구현 세부 사항들없이 제시되었다. 이러한 노드들은 디지털 신호 처리기(DSP) 또는 ASIC(주문형 집적 회로) 등의 하드웨어로, 또는 소프트웨어로 구현될 수 있다. 행해져야 하는 특정의 방법들/단계들과 관련하여 상기에서 설명한 기능을 노드가 수행하는 한, 임의의 구현이 가능하다.
따라서, 상기 설명한 바와 같이, 본 발명은 적절한 보안 레벨을 보장하기 위해서는 동적 핀홀들이 생성될 필요가 있는 방식에서 파이어월을 통해 IP 통신을 필 터링하기 위한 상대 노드 및 방법들을 정의한다. 본 발명은, 파이어월이 패킷 필터링을 행하기 전에 모든 통신이 라우팅되는 통신에 대해 안전하고 허가된 앵커를 생성하는 것에 기초한다. 본 발명은 새로운 엔티티들을 도입하지 않고, 기존의 프레임워크를 재이용한다.
본 발명은 저장된 맵핑 테이블에 따라 헤더의 어드레스들을 스위칭하는 번역기 게이트웨이(TrGW), 및 CPS(또는 SIP 프록시)와 TrGW 간의 인터페이스에 의존한다. 이 인터페이스에 의해, CPS는 세션이 개시되면 TrGW에게 IP 어드레스들 간의 바인딩 데이터를 제공할 것을 요청할 수 있고, TrGW는 CPS에게 바인딩 데이터를 제공할 수 있으며, CPS는 세션 해제시 바인딩을 해제할 수 있다. FW는 상태 기반이며, 외부 인터페이스 상에서, IP 어드레스가 TrGW의 어드레스들의 풀에 속하는 유입 패킷들 만을 수락한다. 따라서, 기존의 호출에 대응하지 않는 임의의 유입 패킷은 TrGW에서 드롭될 것이고, 유효 패킷은 FW를 통과할 것이며, FW는 그 패킷이 기형 메세지 또는 다른 공격이 아님을 검증할 것이다.
이해될 사항으로서, 단지 예로서 선택된 특정의 실시예들과 관련하여 본 발명을 설명하였지만, 상기 설명 및 첨부 도면은 본 발명을 단지 예시적으로 설명하기 위한 것이다. 따라서, 상기 방법들 및 노드들의 바람직한 실시예는 첨부된 청구항의 범위 내에서 달라질 수 있다.

Claims (24)

  1. 통신 네트워크에서 앵커 노드를 구성하는 방법에 있어서,
    상기 통신 네트워크의 통신 관리 노드를 통해 제 1 단말기에 대한 통신 세션의 개시를 제 1 요청하는 단계와;
    앵커 노드에서, 상기 통신 관리 노드에 의한 요청하에서 상기 제 1 단말기에 대한 바인딩을 제 1 확립하는 단계와;
    상기 확립된 바인딩에 기초하여, 상기 제 1 개시 요청을 상기 통신 관리 노드로부터 제 2 단말기로 포워딩하는 단계와;
    상기 제 2 단말기에 의해 상기 제 1 개시 요청을 상기 통신 관리 노드에 확인하는 단계와; 그리고
    상기 앵커 노드에서, 상기 통신 관리 노드에 의한 요청하에서 상기 제 2 단말기에 대한 바인딩을 제 2 확립하는 단계를 포함하는 것을 특징으로 하는 통신 네트워크에서 앵커 노드 구성 방법.
  2. 제 1 항에 있어서,
    상기 개시 요청 단계는 상기 통신 관리 노드에 상기 통신 세션과 관련된 적어도 상기 단말기들의 어드레스들을 표시하는 단계를 포함하는 것을 특징으로 하는 통신 네트워크에서 앵커 노드 구성 방법.
  3. 제 2 항에 있어서,
    상기 표시 단계는 상기 제 1 단말기의 상기 통신 세션에 대한 포트 번호를 통지하는 단계를 더 포함하는 것을 특징으로 하는 통신 네트워크에서 앵커 노드 구성 방법.
  4. 제 1 항에 있어서,
    상기 바인딩 확립 단계는 별명을 상기 각 단말기와 관련시키는 단계를 포함하는 것을 특징으로 하는 통신 네트워크에서 앵커 노드 구성 방법.
  5. 제 4 항에 있어서,
    상기 바인딩 확립 단계는 상기 앵커 노드에서 상기 각 단말기에 대한 상기 관련 별명을 저장하는 단계를 더 포함하는 것을 특징으로 하는 통신 네트워크에서 앵커 노드 구성 방법.
  6. 제 1 항에 있어서,
    상기 확인 단계는 상기 제 2 단말기의 상기 통신 세션에 대한 포트 번호를 통지하는 단계를 더 포함하는 것을 특징으로 하는 통신 네트워크에서 앵커 노드 구성 방법.
  7. 제 1 항에 있어서,
    상기 제 2 단말기에 대한 바인딩을 사용하여 상기 제 1 단말기에 상기 세션의 개시를 통지하는 단계를 더 포함하는 것을 특징으로 하는 통신 네트워크에서 앵커 노드 구성 방법.
  8. 제 1 항에 있어서,
    상기 통신 네트워크의 상기 통신 관리 노드를 통해 제 1 단말기에 대한 통신 세션의 종료를 제 2 요청하는 단계와;
    상기 확립된 바인딩에 기초하여, 상기 제 2 종료 요청을 상기 통신 관리 노드로부터 상기 제 2 단말기로 포워딩하는 단계와;
    상기 제 2 단말기에 의해 상기 종료 요청을 상기 통신 관리 노드에 확인하는 단계와;
    상기 앵커 노드에서, 상기 통신 관리 노드에 의한 요청하에서 상기 제 1 단말기에 대한 바인딩을 제 1 해제하는 단계와; 그리고
    상기 앵커 노드에서, 상기 통신 관리 노드에 의한 요청하에서 상기 제 2 단말기에 대한 바인딩을 제 2 해제하는 단계를 더 포함하는 것을 특징으로 하는 통신 네트워크에서 앵커 노드 구성 방법.
  9. 제 8 항에 있어서,
    상기 해제 단계들은 상기 앵커 노드에서 상기 각 단말기에 대한 상기 관련 별명들을 삭제하는 단계를 포함하는 것을 특징으로 하는 통신 네트워크에서 앵커 노드 구성 방법.
  10. 통신 네트워크의 제 1 단말기와 제 2 단말기 사이에 확립된 통신 세션에서 데이터를 통신하는 방법에 있어서,
    상기 제 1 단말기에서 앵커 노드로 통신되도록 상기 데이터를 전송하는 단계와, 여기서 상기 앵커 노드는 상기 단말기들에 대한 각 바인딩들의 테이블을 저장하도록 구성되며;
    상기 단말기들에 대해 상기 구성된 바인딩들을 사용하여, 상기 앵커 노드에서 상기 네트워크의 필터링 노드로 통신되도록 상기 데이터를 릴레이하는 단계와; 그리고
    상기 필터링 노드에서, 상기 단말기들에 대한 바인딩들에 기초하여 통신되도록 상기 데이터를 필터링하는 단계를 포함하는 것을 특징으로 하는 통신 네트워크의 제 1 단말기와 제 2 단말기 사이에 확립된 통신 세션에서 데이터 통신 방법.
  11. 제 10 항에 있어서,
    상기 필터링 단계는, 만일 이러한 바인딩이 상기 구성 바인딩들 사이에서 존재하는 경우에, 상기 바인딩에 기초하여 상기 필터링 노드를 통해 상기 제 2 단말기로 통신되도록 상기 데이터를 전달하는 단계를 더 포함하는 것을 특징으로 하는 통신 네트워크의 제 1 단말기와 제 2 단말기 사이에 확립된 통신 세션에서 데이터 통신 방법.
  12. 제 10 항에 있어서,
    상기 필터링 단계는, 만일 이러한 바인딩이 상기 구성 바인딩들 사이에서 존재하지 않는 경우에, 상기 바인딩에 기초하여 상기 데이터가 상기 필터링 노드를 통해 상기 제 2 단말기로 통신되는 것을 차단하는 단계를 더 포함하는 것을 특징으로 하는 통신 네트워크의 제 1 단말기와 제 2 단말기 사이에 확립된 통신 세션에서 데이터 통신 방법.
  13. 통신 네트워크의 앵커 노드에 있어서,
    통신 관리 노드로부터 통신 세션 개시를 요청하는, 제 1 단말기에 대한 바인딩을 확립하기 위해 바인딩 요청을 제 1 수신하는 수신기와; 그리고
    상기 수신 바인딩 요청에 응답하여 상기 제 1 단말기에 대한 제 1 바인딩을 제 1 확립함과 아울러 상기 바인딩을 상기 통신 관리 노드로 복귀시키는 프로세서를 포함하며;
    상기 수신기는 상기 통신 관리 노드로부터 상기 통신 세션과 관련된 제 2 단말기에 대한 제 2 바인딩을 확립하기 위해 제 2 바인딩 요청을 수신하며,
    상기 프로세서는 상기 통신 관리 노드에 의한 요청하에서 상기 제 2 단말기에 대한 제 2 바인딩을 확립하는 것을 특징으로 하는 통신 네트워크의 앵커 노드.
  14. 제 13 항에 있어서,
    상기 프로세서는 상기 바인딩을 확립하는 때에 별명을 상기 각 단말기에 관련시키는 할당 장치를 포함하는 것을 특징으로 하는 통신 네트워크의 앵커 노드.
  15. 제 14 항에 있어서,
    상기 각 단말기에 대한 상기 관련 별명을 저장하는 메모리를 더 포함하는 것을 특징으로 하는 통신 네트워크의 앵커 노드.
  16. 통신 네트워크의 앵커 노드에 있어서,
    상기 제 1 단말기에서 제 2 단말기로 통신되도록 데이터를 수신하는 수신기와;
    상기 단말기들에 대한 각 구성 바인딩들의 테이블을 저장하는 메모리와; 그리고
    상기 단말기에 대한 상기 구성 바인딩들을 사용하여, 상기 네트워크의 필터링 노드로 통신되도록 상기 데이터를 릴레이하는 프로세서를 포함하는 것을 특징으로 하는 통신 네트워크의 앵커 노드.
  17. 통신 네트워크의 필터링 노드에 있어서,
    상기 제 1 단말기에서 제 2 단말기로 통신되도록 데이터를 수신하는 수신기와, 상기 데이터는 상기 단말기들에 대한 바인딩들을 유지하는 앵커 노드로부터 수신되며;
    상기 단말기들에 대한 상기 바인딩들을 분석하는 프로세서와; 그리고
    상기 분석 결과에 따라 상기 데이터를 필터링하는 필터를 포함하는 것을 특징으로 하는 통신 네트워크의 앵커 노드.
  18. 제 17 항에 있어서,
    상기 필터는, 만일 이러한 바인딩이 상기 구성 바인딩들 사이에서 존재하는 경우에, 상기 바인딩에 기초하여 상기 제 2 단말기로 통신되도록 상기 데이터를 전달하는 것을 특징으로 하는 통신 네트워크의 앵커 노드.
  19. 제 17 항에 있어서,
    상기 필터는, 만일 이러한 바인딩이 상기 구성 바인딩들 사이에서 존재하지 않는 경우에, 상기 바인딩에 기초하여 상기 데이터가 상기 제 2 단말기로 통신되는 것을 차단하는 것을 특징으로 하는 통신 네트워크의 앵커 노드.
  20. 제 10 항에 있어서,
    상기 릴레이 단계는 상기 구성 바인딩들에 기초한 어드레스 번역 단계를 포함하는 것을 특징으로 하는 통신 네트워크의 앵커 노드.
  21. 제 16 항에 있어서,
    상기 프로세서는 상기 구성 바인딩들에 기초하여 어드레스 번역을 수행하는 어드레스 번역기를 포함하는 것을 특징으로 하는 통신 네트워크의 앵커 노드.
  22. 통신 네트워크에서 앵커 노드를 구성하는 시스템에 있어서,
    상기 통신 네트워크의 통신 관리 노드를 통해 제 1 단말기에 대한 통신 세션의 개시를 제 1 요청하는 제 1 요청 수단과;
    앵커 노드에서, 상기 통신 관리 노드에 의한 요청하에서 상기 제 1 단말기에 대한 바인딩을 제 1 확립하는 제 1 확립 수단과;
    상기 확립된 바인딩에 기초하여, 상기 제 1 개시 요청을 상기 통신 관리 노드로부터 제 2 단말기로 포워딩하는 포워딩 수단과;
    상기 제 2 단말기에 의해 상기 제 1 개시 요청을 상기 통신 관리 노드에 확인하는 확인 수단과; 그리고
    상기 앵커 노드에서, 상기 통신 관리 노드에 의한 요청하에서 상기 제 2 단말기에 대한 바인딩을 제 2 확립하는 제 2 확립 수단을 포함하는 것을 특징으로 하는 통신 네트워크에서 앵커 노드 구성 시스템.
  23. 제 22 항에 있어서,
    상기 통신 네트워크의 상기 통신 관리 노드를 통해 제 1 단말기에 대한 통신 세션의 종료를 제 2 요청하는 제 2 요청 수단과;
    상기 확립된 바인딩에 기초하여, 상기 제 2 종료 요청을 상기 통신 관리 노드로부터 상기 제 2 단말기로 포워딩하는 포워딩 수단과;
    상기 제 2 단말기에 의해 상기 종료 요청을 상기 통신 관리 노드에 확인하는 확인 수단과;
    상기 앵커 노드에서, 상기 통신 관리 노드에 의한 요청하에서 상기 제 1 단말기에 대한 바인딩을 제 1 해제하는 제 1 해제 수단과; 그리고
    상기 앵커 노드에서, 상기 통신 관리 노드에 의한 요청하에서 상기 제 2 단말기에 대한 바인딩을 제 2 해제하는 제 2 해제 수단을 더 포함하는 것을 특징으로 하는 통신 네트워크에서 앵커 노드 구성 시스템.
  24. 통신 네트워크의 제 1 단말기와 제 2 단말기 사이에 확립된 통신 세션에서 데이터를 통신하는 시스템에 있어서,
    상기 제 1 단말기에서 앵커 노드로 통신되도록 상기 데이터를 전송하는 전송 수단과, 여기서 상기 앵커 노드는 상기 단말기들에 대한 각 바인딩들의 테이블을 저장하도록 구성되며;
    상기 단말기들에 대해 상기 구성된 바인딩들을 사용하여, 상기 앵커 노드에서 상기 네트워크의 필터링 노드로 통신되도록 상기 데이터를 릴레이하는 릴레이 수단과; 그리고
    상기 필터링 노드에서, 상기 단말기들에 대한 바인딩들에 기초하여 통신되도록 상기 데이터를 필터링하는 필터링 수단을 포함하는 것을 특징으로 하는 통신 네트워크의 제 1 단말기와 제 2 단말기 사이에 확립된 통신 세션에서 데이터를 통신하는 시스템.
KR1020067010162A 2003-11-25 2004-11-24 Ip 어드레스 바인딩들에 기초한 멀티미디어 트래픽의필터링 방법 및 시스템 KR100804291B1 (ko)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US52464003P 2003-11-25 2003-11-25
US60/524,640 2003-11-25
US10/822,874 US7372840B2 (en) 2003-11-25 2004-04-13 Filtering of dynamic flows
US10/822,874 2004-04-13

Publications (2)

Publication Number Publication Date
KR20060090291A true KR20060090291A (ko) 2006-08-10
KR100804291B1 KR100804291B1 (ko) 2008-02-18

Family

ID=34595158

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020067010162A KR100804291B1 (ko) 2003-11-25 2004-11-24 Ip 어드레스 바인딩들에 기초한 멀티미디어 트래픽의필터링 방법 및 시스템

Country Status (7)

Country Link
US (1) US7372840B2 (ko)
EP (1) EP1687958B1 (ko)
JP (1) JP2007511971A (ko)
KR (1) KR100804291B1 (ko)
ES (1) ES2596528T3 (ko)
PL (1) PL1687958T3 (ko)
WO (1) WO2005053275A1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100953453B1 (ko) * 2007-11-27 2010-04-20 한국전자통신연구원 이동단말에서의 상향링크 ip 패킷 필터링 제어방법

Families Citing this family (49)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6674758B2 (en) * 2002-06-06 2004-01-06 Clinton Watson Mechanism for implementing voice over IP telephony behind network firewalls
US7668145B2 (en) * 2003-12-22 2010-02-23 Nokia Corporation Method to support mobile IP mobility in 3GPP networks with SIP established communications
US20050240758A1 (en) * 2004-03-31 2005-10-27 Lord Christopher J Controlling devices on an internal network from an external network
US7924771B2 (en) * 2004-04-13 2011-04-12 Qualcomm, Incorporated Multimedia communication using co-located care of address for bearer traffic
US7877599B2 (en) * 2004-05-28 2011-01-25 Nokia Inc. System, method and computer program product for updating the states of a firewall
US9112831B2 (en) 2004-07-28 2015-08-18 International Business Machines Corporation Scalable infrastructure for handling light weight message protocols
US20060036747A1 (en) * 2004-07-28 2006-02-16 Galvin James P Jr System and method for resource handling of SIP messaging
US7594259B1 (en) * 2004-09-15 2009-09-22 Nortel Networks Limited Method and system for enabling firewall traversal
US7725708B2 (en) * 2004-10-07 2010-05-25 Genband Inc. Methods and systems for automatic denial of service protection in an IP device
US20060087975A1 (en) * 2004-10-07 2006-04-27 Santera Systems, Incorporated Methods and systems for providing redundancy protection in a Y-cable-based signal transmitter arrangement
US7864665B2 (en) * 2004-10-07 2011-01-04 Tekelec Methods and systems for detecting IP route failure and for dynamically re-routing VoIP sessions in response to failure
US7809128B2 (en) * 2004-10-07 2010-10-05 Genband Us Llc Methods and systems for per-session traffic rate policing in a media gateway
US7447220B2 (en) * 2004-10-07 2008-11-04 Santera Systems, Llc Methods and systems for packet classification with improved memory utilization in a media gateway
US7764605B2 (en) * 2004-10-07 2010-07-27 Genband Inc. Methods and systems for measurement-based call admission control in a media gateway
DE102004053928A1 (de) * 2004-11-05 2006-05-18 Tenovis Gmbh & Co. Kg Verfahren und Systemsteuerung für den Aufbau einer IP-Telefonieverbindung
US8194640B2 (en) 2004-12-31 2012-06-05 Genband Us Llc Voice over IP (VoIP) network infrastructure components and method
EP1715625A1 (en) * 2005-04-22 2006-10-25 Alcatel Apparatuses for controlling service delivery using access-dependent information in a system comprising a core network subsystem
US20070291734A1 (en) * 2005-05-27 2007-12-20 Medhavi Bhatia Methods and Apparatus for Multistage Routing of Packets Using Call Templates
KR100744007B1 (ko) * 2005-08-05 2007-07-30 주식회사 유프레스토 이동 통신망에서의 서비스 시나리오 검증 시스템 및 그방법
US20090064304A1 (en) * 2005-10-07 2009-03-05 Codeux, Inc. Port access using user datagram protocol packets
US20070091870A1 (en) * 2005-10-20 2007-04-26 Samsung Electronics Co., Ltd. Method and system for releasing a TIF session for a SIP agent when a call process interface handler is interrupted
CN1870631B (zh) * 2005-11-11 2010-04-14 华为技术有限公司 媒体网关的门控方法
US7716729B2 (en) * 2005-11-23 2010-05-11 Genband Inc. Method for responding to denial of service attacks at the session layer or above
US9060047B2 (en) 2005-12-21 2015-06-16 Genband Us Llc Media stream management
US7861003B2 (en) 2006-01-31 2010-12-28 Genband Us Llc Adaptive feedback for session over internet protocol
US7860990B2 (en) * 2006-01-31 2010-12-28 Genband Us Llc Session data records and related alarming within a session over internet protocol (SOIP) network
US7865612B2 (en) * 2006-01-31 2011-01-04 Genband Us Llc Method and apparatus for partitioning resources within a session-over-internet-protocol (SoIP) session controller
KR100656481B1 (ko) * 2006-02-03 2006-12-11 삼성전자주식회사 동적 네트워크 보안 시스템 및 그 제어방법
US8509218B2 (en) * 2006-02-28 2013-08-13 Genband Us Llc Prioritization within a session over internet protocol (SOIP) network
US8259706B2 (en) * 2006-02-28 2012-09-04 Genband Us Llc Multistage prioritization of packets within a session over internet protocol (SOIP) network
US8204043B2 (en) * 2006-02-28 2012-06-19 Genband Us Llc Quality of service prioritization of internet protocol packets using session-aware components
US8582555B2 (en) * 2006-05-12 2013-11-12 Oracle International Corporation SIP routing customization
US8571012B2 (en) * 2006-05-12 2013-10-29 Oracle International Corporation Customized sip routing to cross firewalls
FR2903263A1 (fr) * 2006-06-30 2008-01-04 France Telecom Procede d'adressage des elements de service et de transmission d'appel entre noeuds heterogenes
US8239930B2 (en) * 2006-10-25 2012-08-07 Nokia Corporation Method for controlling access to a network in a communication system
WO2008076015A1 (en) * 2006-12-21 2008-06-26 Telefonaktiebolaget Lm Ericsson (Publ) A method and an arrangement for handling a service request in a multimedia network
US8631069B2 (en) * 2007-03-01 2014-01-14 Oracle International Corporation Web and multi-media conference
CN102695294B (zh) 2007-05-28 2015-01-21 华为技术有限公司 网络锚点的地址删除方法及通信系统
US8516136B2 (en) * 2007-07-09 2013-08-20 Alcatel Lucent Web-based over-the-air provisioning and activation of mobile terminals
KR100933366B1 (ko) * 2007-09-13 2009-12-22 한국전자통신연구원 블랙박스 기능을 가지는 라우터 장치와 그 장치를 포함하는네트워크 시스템
US7912062B2 (en) 2007-09-28 2011-03-22 Genband Us Llc Methods and apparatus for managing addresses related to virtual partitions of a session exchange device
US8369313B2 (en) * 2008-12-17 2013-02-05 At&T Intellectual Property I, L.P. IMS and method of multiple S-CSCF operation in support of single PUID
CN102160331A (zh) 2009-01-22 2011-08-17 阿尔卡特朗讯公司 用于为ims网络的终端提供防火墙的方法及防火墙系统
WO2011159214A1 (en) * 2010-06-18 2011-12-22 Telefonaktiebolaget L M Ericsson (Publ) Method and apparatus for handling public identities in an internet protocol multimedia subsystem network
US8719926B2 (en) * 2011-02-11 2014-05-06 Verizon Patent And Licensing Inc. Denial of service detection and prevention using dialog level filtering
CN103929418A (zh) * 2014-03-28 2014-07-16 汉柏科技有限公司 基于网络安全设备的无线上网方法及系统
WO2015167500A1 (en) * 2014-04-30 2015-11-05 Hewlett Packard Development Company, L.P. Flood disable on network switch
WO2018173099A1 (ja) * 2017-03-21 2018-09-27 三菱電機株式会社 ゲートウェイ及び中継方法
GB201810768D0 (en) 2018-06-29 2018-08-15 Nordic Semiconductor Asa Method of communication between a device and a network

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6789112B1 (en) * 2000-05-08 2004-09-07 Citrix Systems, Inc. Method and apparatus for administering a server having a subsystem in communication with an event channel
US6954790B2 (en) * 2000-12-05 2005-10-11 Interactive People Unplugged Ab Network-based mobile workgroup system
EP1250023A1 (en) * 2001-04-11 2002-10-16 Alcatel Provision of subscriber QoS guarantees to roaming subscribers
US20030009561A1 (en) 2001-06-14 2003-01-09 Sollee Patrick N. Providing telephony services to terminals behind a firewall and /or network address translator
US7072332B2 (en) * 2001-09-27 2006-07-04 Samsung Electronics Co., Ltd. Soft switch using distributed firewalls for load sharing voice-over-IP traffic in an IP network
US7146418B2 (en) * 2001-11-16 2006-12-05 Microsoft Corporation Method and system for providing transparent mobility support
US20030217096A1 (en) * 2001-12-14 2003-11-20 Mckelvie Samuel J. Agent based application using data synchronization
US7340771B2 (en) 2003-06-13 2008-03-04 Nokia Corporation System and method for dynamically creating at least one pinhole in a firewall

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100953453B1 (ko) * 2007-11-27 2010-04-20 한국전자통신연구원 이동단말에서의 상향링크 ip 패킷 필터링 제어방법
US8437358B2 (en) 2007-11-27 2013-05-07 Samsung Electronics Co., Ltd. Method of uplink IP packet filtering control in mobile terminal

Also Published As

Publication number Publication date
ES2596528T3 (es) 2017-01-10
JP2007511971A (ja) 2007-05-10
WO2005053275A1 (en) 2005-06-09
EP1687958A1 (en) 2006-08-09
KR100804291B1 (ko) 2008-02-18
PL1687958T3 (pl) 2017-01-31
EP1687958B1 (en) 2016-08-10
US7372840B2 (en) 2008-05-13
US20050111382A1 (en) 2005-05-26

Similar Documents

Publication Publication Date Title
KR100804291B1 (ko) Ip 어드레스 바인딩들에 기초한 멀티미디어 트래픽의필터링 방법 및 시스템
Hautakorpi et al. Requirements from Session Initiation Protocol (SIP) Session Border Control (SBC) Deployments
US8166533B2 (en) Method for providing media communication across firewalls
US8825822B2 (en) Scalable NAT traversal
KR101280281B1 (ko) 일련의 경계 게이트웨이들을 통하는 ip 멀티미디어 베어러 경로 최적화를 위한 개선된 방법 및 시스템
Srisuresh et al. Middlebox communication architecture and framework
EP3082318B1 (en) Communication method and device for preventing media stream circuity (tromboning)
US20090157887A1 (en) Control for the interface for sending an SIP reply message
KR101454502B1 (ko) 종단 대 종단 미디어 경로를 식별하는 방법 및 시스템
KR101368172B1 (ko) 호출자 통신 클라이언트와 피호출자 통신 클라이언트 간의 통신 세션을 셋업하는 방법과 이 통신 세션의 셋업을 가능하게 하는 통신 네트워크와 컴퓨터 프로그램
US20050286538A1 (en) Method and call server for establishing a bi-directional peer-to-peer communication link
WO2008084306A2 (en) Interworking of policy and charging control and network address translator
Kawashima et al. Architecture for broadband and mobile VPN over NGN
Packet et al. Internet Engineering Task Force (IETF) J. Hautakorpi, Ed. Request for Comments: 5853 G. Camarillo Category: Informational Ericsson
Rosenberg et al. Network Working Group P. Srisuresh INTERNET-DRAFT Jasmine Networks Expires as of December 13, 2001 J. Kuthan GMD Fokus
Aoun A NAT and Firewall signaling framework for the Internet
Aoun NSIS Working Group M. Stiemerling Internet-Draft NEC Expires: April 27, 2006 H. Tschofenig Siemens
Rosenberg et al. Network Working Group P. Srisuresh Request for Comments: 3303 Kuokoa Networks Category: Informational J. Kuthan Fraunhofer Institute FOKUS

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee