KR20070004324A - Foreign agent apparatus and method for selecting forged packet - Google Patents

Foreign agent apparatus and method for selecting forged packet Download PDF

Info

Publication number
KR20070004324A
KR20070004324A KR1020050059835A KR20050059835A KR20070004324A KR 20070004324 A KR20070004324 A KR 20070004324A KR 1020050059835 A KR1020050059835 A KR 1020050059835A KR 20050059835 A KR20050059835 A KR 20050059835A KR 20070004324 A KR20070004324 A KR 20070004324A
Authority
KR
South Korea
Prior art keywords
packet
address
interface
source address
same
Prior art date
Application number
KR1020050059835A
Other languages
Korean (ko)
Inventor
김성일
김한림
박세준
김상언
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020050059835A priority Critical patent/KR20070004324A/en
Publication of KR20070004324A publication Critical patent/KR20070004324A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/02Access restriction performed under specific conditions
    • H04W48/04Access restriction performed under specific conditions based on user or terminal location or mobility data, e.g. moving direction, speed
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Abstract

An FA(Foreign Agent) device having an available packet selecting function and a method thereof are provided to individually set access control lists in an ingress interface and an egress interface of an FA when mobility is managed by using a mobile IPv4(Internet Protocol version 4), thereby preventing a packet of a terminal whose source address is modulated from entering a network. As a packet enters, a source address is checked(401). It is decided whether the source address of the packet is identical with an interface address, and if not, it is checked whether the packet is generated from a registered mobile communication terminal(402,404). If so, the packet is capsulated, and the source address is changed into the interface address(405). If the source address of the packet is the same as the interface address or an IP(Internet Protocol) address of a jurisdictional network, the packet is delivered to the outside(406,407).

Description

유효 패킷 선별 기능을 가지는 외부 에이전트 장치 및 그 방법{Foreign agent apparatus and method for selecting forged packet}Foreign agent apparatus and method having an effective packet selection function {Foreign agent apparatus and method for selecting forged packet}

도 1 은 종래의 IP 네트워크에서 네트워크 진입 여과 방법에 대한 일실시예 흐름도,1 is a flowchart illustrating an embodiment of a network ingress filtering method in a conventional IP network;

도 2 는 본 발명이 적용되는 모바일(Mobile) IPv4 네트워크의 일실시예 구성도,2 is a configuration diagram of an embodiment of a mobile IPv4 network to which the present invention is applied;

도 3 은 본 발명에 따른 유효 패킷 선별 기능을 가지는 외부 에이전트 장치의 일실시예 구성도,3 is a block diagram of an embodiment of an external agent device having an effective packet selection function according to the present invention;

도 4 는 본 발명에 따른 외부 에이전트 장치에서의 유효 패킷 선별 방법에 대한 일실시예 흐름도이다.4 is a flowchart illustrating an effective packet screening method in an external agent device according to the present invention.

* 도면의 주요 부분에 대한 부호의 설명* Explanation of symbols for the main parts of the drawings

31 : 진입 접속제어 리스트 32 : 진입 인터페이스부31: entry access control list 32: entry interface unit

33 : 정보 저장부 34 : 역터널링 처리부33: information storage unit 34: reverse tunneling processing unit

35 : 진출 접속제어 리스트 36 : 진출 인터페이스부35: entry access control list 36: entry interface unit

본 발명은 유효 패킷 선별 기능을 가지는 외부 에이전트 장치 및 그 방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것으로, 더욱 상세하게는 휴대인터넷이나 이동통신 등과 같이 이동성 관리가 필요한 네트워크에서 모바일(Mobile) IPv4(Internet Protocol version 4) 등을 이용하여 이동성을 관리할 경우에 외부 에이전트(FA: Foreign Agent)의 진입 인터페이스와 진출 인터페이스에 각각 접속제어 리스트를 설정함으로써, 출발지 주소가 변조된 이동통신단말기의 패킷이 네트워크로 진입하는 것을 차단하기 위한, 유효 패킷 선별 기능을 가지는 외부 에이전트 장치 및 그 방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것이다.The present invention relates to an external agent device having an effective packet screening function and a method thereof, and a computer-readable recording medium having recorded thereon a program for realizing the method. More particularly, the present invention relates to mobility management such as portable Internet and mobile communication. When managing mobility using mobile IPv4 (Internet IPv4) in the required network, the source address is set by setting access control lists on the entry and exit interfaces of foreign agents (FA). The present invention relates to an external agent device having an effective packet screening function for preventing a packet of a modulated mobile communication terminal from entering a network, a method thereof, and a computer-readable recording medium having recorded thereon a program for implementing the method.

본 발명에서 외부 에이전트 장치는 라우터(Router), NAS(Network Access System), RAS(Remote Access System) 등을 포함한다.In the present invention, the external agent device includes a router, a network access system (NAS), a remote access system (RAS), and the like.

그리고, 서비스거부(DoS: Denial of Service, 이하 DoS라 함) 공격이란, 외부 공격자가 특정 컴퓨터 시스템의 정상적인 운영을 방해하여 그 컴퓨터 시스템이 사용자에 대한 서비스의 제공을 거부하도록 하는 것을 말한다. DoS 공격 방법의 일예로 한 사용자가 특정 시스템의 리소스를 독점하거나 파괴함으로써, 다른 사용자들이 그 시스템의 서비스를 받을 수 없도록 하는 방법이 있다.In addition, denial of service (DoS) attack refers to an external attacker interfering with normal operation of a specific computer system so that the computer system refuses to provide a service to a user. An example of a DoS attack method is a method in which a user monopolizes or destroys a resource of a system so that other users cannot receive the service of the system.

일반적으로, DoS 공격은 공격자 컴퓨터가 IP 주소를 변조(위장)하면서 공격 목표 호스트 컴퓨터에 TCP 접속을 위한 동기신호를 무한으로 되풀이하여 보냄으로써 이루어지는데, 호스트 컴퓨터는 상기 변조된 IP 주소에 접속을 위한 신호로 응답하여 접속준비가 되었음을 무한으로 되풀이하여 알리는 동작을 수행하기 때문에, 호스트 컴퓨터에 과부하가 걸려서 정당 사용자에게 서비스를 제공할 수 없게 된다.In general, a DoS attack is performed by an attacker computer modulating (disguising) an IP address and repeatedly sending an infinite synchronization signal for a TCP connection to an attack target host computer, where the host computer attempts to access the modified IP address. In response to the signal, the connection preparation is repeatedly performed to announce that the connection is ready indefinitely, so that the host computer is overloaded and cannot provide services to the party user.

이러한 DoS 공격을 방지하기 위하여 종래에는 공격자의 가입자 접속단에서 출발지 주소를 분석하여 차단조치를 수행하는 방법과, 호스트 컴퓨터의 호스트 접속단에서 유입되는 트래픽에 대한 대역폭을 제한하여 차단조치를 수행하는 방법이 사용되었다.In order to prevent such a DoS attack, conventionally, a method of performing a blocking action by analyzing a source address at an access point of an attacker and a method of performing a blocking action by restricting bandwidth of traffic flowing from a host access point of a host computer This was used.

여기서, 공격자 컴퓨터는 DoS 공격을 위한 대량의 공격 패킷을 발생시키는데, 이 공격 패킷들은 랜덤한 출발지 주소와 동일한 목적지 주소를 갖는다. 이 공격 패킷들은 공격자 컴퓨터에서 가입자 접속단으로 전송된다.Here, the attacker computer generates a large number of attack packets for DoS attacks, which have the same destination address as the random source address. These attack packets are sent from the attacker's computer to the subscriber's access.

이하에서는 도 1을 참조하여 IP(Internet Protocol) 네트워크에서 공격자의 가입자 접속단이 패킷의 출발지 주소를 분석하여 차단조치를 수행하는 방법(일예로, 네트워크 진입 여과(Network Ingress Filtering))에 대해 설명하기로 한다. Hereinafter, referring to FIG. 1, a method (eg, network ingress filtering) in which an attacker's subscriber access terminal analyzes a source address of a packet and performs blocking action in an Internet Protocol (IP) network will be described. Shall be.

먼저, 가입자 접속단은 DoS 공격을 차단하기 위하여, 이 공격 패킷들의 출발지 주소를 추출하고(11), 패킷의 출발지 주소가 자신이 관할하는 IP 주소군에 속하는 지를 판별하여(12), 자신이 관할하는 IP 주소군에 속하는 패킷들은 목적지로 전송하고(14), 자신이 관할하는 IP 주소군에 속하지 않은 패킷들은 폐기한다(13).First, in order to block DoS attacks, the subscriber access point extracts source addresses of these attack packets (11), determines whether the source address of the packet belongs to the IP address group under its control (12), Packets belonging to the IP address group are transmitted to the destination (14), and packets not belonging to the IP address group under its control are discarded (13).

이러한 종래의 DoS 공격 차단 방법은 공격자가 랜덤한 출발지 주소로 공격 패킷을 생성하는 DoS 공격을 차단하는데 효과가 있다. This conventional DoS attack blocking method is effective in blocking a DoS attack in which an attacker generates an attack packet with a random source address.

그러나, 모바일 IPv4 등이 적용된 네트워크에서 이동통신단말기는 IP 네트워크에서와는 달리, 패킷의 출발지 주소로 홈 어드레스(Home Address)를 사용하기 때문에, 이동통신단말기가 홈 네트워크 이외의 네트워크로 이동했을 경우에 네트워크 진입 여과로는 출발지 주소가 변조된 IP 패킷을 제거할 수 없다. 오히려, 이러한 기술을 적용할 경우에 등록된 이동통신단말기의 패킷 역시 폐기되어 통신을 불가능하게 만드는 더 큰 문제점을 야기시킨다. However, unlike a IP network, a mobile communication terminal uses a home address as a source address of a packet in a mobile IPv4 or the like network, and thus enters a network when the mobile communication terminal moves to a network other than the home network. Filtering cannot remove IP packets that have been tampered with. Rather, when applying this technique, the packets of registered mobile communication terminals are also discarded, causing a bigger problem that makes communication impossible.

이러한 문제점을 해결하기 위한 역터널링(Reverse Tunneling) 방법은, 출발지 주소로 해당 네트워크에서의 주소를 사용하도록 원본 패킷을 캡슐화(encapsulation)하는 방법으로, 그 형태에는 크게 두 가지가 있다. Reverse tunneling method for solving this problem is a method of encapsulation of an original packet to use an address in a corresponding network as a source address. There are two types of reverse tunneling.

하나는 캡슐화 전달 형태(Encapsulation Delivery Style)로 이동통신단말기에서부터 캡슐화하는 형태이고, 다른 하나는 직접 전달 형태(Direct Delivery Style)로 이동통신단말기가 직접 외부 에이전트(FA : Foreign Agent)에 접속한다는 가정하에 외부 에이전트에서 패킷을 캡슐화하는 형태이다. One is encapsulation delivery style (Encapsulation Delivery Style) is encapsulated from the mobile communication terminal, the other is direct delivery style (Direct Delivery Style) on the assumption that the mobile terminal directly connects to the foreign agent (FA) This encapsulates a packet in an external agent.

이러한 종래의 역터널링 방법은 네트워크 진입 여과 적용시 발생하는 문제점인 통신 불능을 해결하기 위한 방법일 뿐, 실제 등록된 이동통신단말기의 출발지 주소가 변조된 패킷이 네트워크로 진입하는 것을 차단하지 못하는 문제점이 있었다.This conventional reverse tunneling method is only a method for solving communication inability, which is a problem that occurs when applying network entry filtering, and does not prevent a packet in which a source address of an actually registered mobile communication terminal is modulated from entering a network. there was.

본 발명은 상기 문제점을 해결하기 위하여 제안된 것으로, 휴대인터넷이나 이동통신 등과 같이 이동성 관리가 필요한 네트워크에서 모바일(Mobile) IPv4(Internet Protocol version 4) 등을 이용하여 이동성을 관리할 경우에 외부 에이전트(FA: Foreign Agent)의 진입 인터페이스와 진출 인터페이스에 각각 접속제어 리스트를 설정함으로써, 출발지 주소가 변조된 이동통신단말기의 패킷이 네트워크로 진입하는 것을 차단하기 위한, 유효 패킷 선별 기능을 가지는 외부 에이전트 장치 및 그 방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공하는데 그 목적이 있다.The present invention has been proposed in order to solve the above problems, and in case of managing mobility using Mobile Internet Protocol version 4 (IPv4) or the like in a network requiring mobility management, such as a mobile Internet or a mobile communication, An external agent device having an effective packet screening function for preventing a packet of a mobile communication terminal whose source address has been modulated from entering the network by setting access control lists on entry and exit interfaces of a foreign agent (FA); It is an object of the present invention to provide a computer-readable recording medium that records the method and a program for realizing the method.

본 발명의 다른 목적 및 장점들은 하기의 설명에 의해서 이해될 수 있으며, 본 발명의 실시예에 의해 보다 분명하게 알게 될 것이다. 또한, 본 발명의 목적 및 장점들은 특허 청구 범위에 나타낸 수단 및 그 조합에 의해 실현될 수 있음을 쉽게 알 수 있을 것이다.Other objects and advantages of the present invention can be understood by the following description, and will be more clearly understood by the embodiments of the present invention. Also, it will be readily appreciated that the objects and advantages of the present invention may be realized by the means and combinations thereof indicated in the claims.

상기 목적을 달성하기 위한 본 발명의 장치는, 유효 패킷 선별 기능을 가지는 외부 에이전트 장치에 있어서, 인터페이스 주소를 저장하고 있는 진입 접속제어 정보 저장수단; 등록된 이동통신단말기의 정보를 저장하고 있는 정보 저장수단; 인터페이스 주소 및 관할 네트워크내의 IP 주소를 저장하고 있는 진출 접속제어 정보 저장수단; 진입하는 패킷의 출발지 주소가 상기 인터페이스 주소와 동일하면 패킷을 폐기하고, 동일하지 않으면 패킷을 역터널링 처리수단으로 전달하기 위한 진입 인터페이스수단; 상기 진입 인터페이스수단으로부터 전달받은 패킷이 상기 정보 저 장수단에 등록된 이동통신단말기로부터 생성된 패킷임에 따라 캡슐화한 후 출발지 주소를 상기 인터페이스 주소로 변경하기 위한 상기 역터널링 처리수단; 및 상기 역터널링 처리수단으로부터 출력된 패킷의 출발지 주소를 확인하여 출발지 주소가 상기 인터페이스 주소 또는 관할 네트워크내의 IP 주소와 동일하면 패킷을 외부로 전달하고, 동일하지 않으면 패킷을 폐기하기 위한 진출 인터페이스수단을 포함하는 것을 특징으로 한다.An apparatus of the present invention for achieving the above object comprises: an external agent device having an effective packet screening function, comprising: entry access control information storage means for storing an interface address; Information storage means for storing information of the registered mobile communication terminal; Outgoing access control information storage means for storing the interface address and the IP address in the jurisdiction network; Entry interface means for discarding the packet if the source address of the incoming packet is the same as the interface address, and delivering the packet to the reverse tunneling processing means if it is not the same; The reverse tunneling processing means for encapsulating the packet received from the entry interface means as a packet generated from a mobile communication terminal registered with the information storing means, and then changing a source address to the interface address; Checking the source address of the packet output from the reverse tunneling processing means and forwarding the packet to the outside if the source address is the same as the interface address or the IP address in the jurisdiction network; It is characterized by including.

한편, 본 발명의 방법은, 외부 에이전트 장치에서의 유효 패킷 선별 방법에 있어서, 패킷이 진입함에 따라 출발지 주소를 확인하는 단계; 상기 패킷의 출발지 주소가 인터페이스 주소와 동일한지 비교하여 동일하면 상기 패킷을 폐기하고, 동일하지 않으면 상기 패킷이 등록된 이동통신단말기로부터 생성된 패킷인지를 확인하는 단계; 상기 패킷이 등록된 이동통신단말기로부터 생성된 패킷임에 따라 캡슐화한 후 출발지 주소를 인터페이스 주소로 변경하는 단계; 및 상기 패킷의 출발지 주소가 인터페이스 주소 또는 관할 네트워크내의 IP 주소와 동일하면 상기 패킷을 외부로 전달하고, 동일하지 않으면 상기 패킷을 폐기하는 단계를 포함하는 것을 특징으로 한다.On the other hand, the method of the present invention, in the effective packet screening method in the external agent device, the step of checking the source address as the packet enters; Discarding the packet if the source address of the packet is the same as that of the interface address, and if not, checking whether the packet is a packet generated from a registered mobile communication terminal; Encapsulating the packet as a packet generated from a registered mobile communication terminal and changing a source address to an interface address; And forwarding the packet to the outside if the source address of the packet is the same as the interface address or the IP address in the jurisdiction network, and discarding the packet if it is not the same.

한편, 본 발명은, 프로세서를 구비한 외부 에이전트 장치에, 패킷이 진입함에 따라 출발지 주소를 확인하는 기능; 상기 패킷의 출발지 주소가 인터페이스 주소와 동일한지 비교하여 동일하면 상기 패킷을 폐기하고, 동일하지 않으면 상기 패킷이 등록된 이동통신단말기로부터 생성된 패킷인지를 확인하는 기능; 상기 패킷이 등록된 이동통신단말기로부터 생성된 패킷임에 따라 캡슐화한 후 출발지 주소를 인 터페이스 주소로 변경하는 기능; 및 상기 패킷의 출발지 주소가 인터페이스 주소 또는 관할 네트워크내의 IP 주소와 동일하면 상기 패킷을 외부로 전달하고, 동일하지 않으면 상기 패킷을 폐기하는 기능을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공한다.On the other hand, the present invention, the external agent device having a processor, the function of checking the source address as the packet enters; Comparing the source address of the packet with the same interface address and discarding the packet if it is the same; if not, checking whether the packet is generated from a registered mobile communication terminal; Changing the source address to an interface address after encapsulating the packet as a packet generated from a registered mobile communication terminal; And a computer-readable recording medium having recorded thereon a program for realizing the function of forwarding the packet to the outside if the source address of the packet is the same as the interface address or the IP address in the jurisdiction network, and discarding the packet if it is not the same. to provide.

상술한 목적, 특징 및 장점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해 질 것이며, 그에 따라 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 것이다. 또한, 본 발명을 설명함에 있어서 본 발명과 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에 그 상세한 설명을 생략하기로 한다. 이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 일실시예를 상세히 설명하기로 한다.The above objects, features and advantages will become more apparent from the following detailed description taken in conjunction with the accompanying drawings, whereby those skilled in the art may easily implement the technical idea of the present invention. There will be. In addition, in describing the present invention, when it is determined that the detailed description of the known technology related to the present invention may unnecessarily obscure the gist of the present invention, the detailed description thereof will be omitted. Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도 2 는 본 발명이 적용되는 모바일(Mobile) IPv4 네트워크의 일실시예 구성도이다.2 is a configuration diagram of an embodiment of a mobile IPv4 network to which the present invention is applied.

도 2에 도시된 바와 같이, 본 발명이 적용되는 모바일(Mobile) IPv4 네트워크는, 진입하는 패킷의 출발지 주소를 확인하여 상기 출발지 주소가 인터페이스와 동일하면 상기 패킷을 폐기하고, 동일하지 않으면 상기 패킷이 등록된 이동통신단말기로부터 생성된 패킷임에 따라 출발지 주소를 상기 인터페이스 주소로 변경하며, 상기 패킷의 출발지 주소를 확인하여 상기 출발지 주소가 상기 인터페이스 주소 또는 관할 네트워크내의 IP 주소와 동일하면 상기 패킷을 외부로 전달하고, 동일하지 않으면 상기 패킷을 폐기하기 위한 외부 에이전트 장치(일예로 라우터)(21) 및 상기 외부 에이전트 장치(21)와 연결되어 있는 다수의 경로를 포함한다.As shown in FIG. 2, the mobile IPv4 network to which the present invention is applied, checks the source address of an incoming packet and discards the packet if the source address is the same as the interface. The source address is changed to the interface address according to the packet generated from the registered mobile communication terminal, and if the source address is the same as the interface address or the IP address in the jurisdiction network, the packet is externalized. And a plurality of paths connected to the external agent device (for example, a router) 21 and the external agent device 21 for discarding the packet.

여기서, 다수의 경로는 하나의 스위치(22)를 통해 다수의 기지국(23)이 외부 에이전트 장치(21)와 연결되는 경로, 이동통신단말기(25)가 기지국(24)을 통해 외부 에이전트 장치(21)와 연결되는 경로, 고정 단말(26)이 직접 외부 에이전트 장치(21)와 연결되는 경로, 및 고정 단말(28)이 스위치(27)를 통해서 외부 에이전트 장치(21)와 연결되는 경로를 갖는다. 이 때, 상기 이동통신단말기(25)는 직접 전달 형태의 역터널링을 사용하는 패킷을 보낸다.Here, the plurality of paths are paths in which a plurality of base stations 23 are connected to the external agent device 21 through one switch 22, and the mobile communication terminal 25 is connected to the external agent device 21 through the base station 24. ), A path through which the fixed terminal 26 is directly connected to the external agent device 21, and a path through which the fixed terminal 28 is connected with the external agent device 21 through the switch 27. At this time, the mobile communication terminal 25 sends a packet using reverse tunneling in the form of direct delivery.

도 3 은 본 발명에 따른 유효 패킷 선별 기능을 가지는 외부 에이전트 장치의 일실시예 구성도이다.3 is a diagram illustrating an embodiment of an external agent device having an effective packet selection function according to the present invention.

도 3에 도시된 바와 같이, 본 발명에 따른 유효 패킷 선별 기능을 가지는 외부 에이전트 장치는, 인터페이스 주소를 저장하고 있는 진입 접속제어 리스트(31), 진입하는 패킷의 출발지 주소를 확인하여 상기 출발지 주소가 상기 인터페이스 주소와 동일하면 상기 패킷을 폐기하고, 동일하지 않으면 상기 패킷을 역터널링 처리부(34)로 전달하기 위한 진입 인터페이스부(32), 등록된 이동통신단말기의 정보를 저장하고 있는 정보 저장부(33), 상기 진입 인터페이스부(32)로부터 전달받은 패킷이 등록된 이동통신단말기로부터 생성된 패킷임에 따라 캡슐화한 후 출발지 주소를 인터페이스 주소로 변경하기 위한 역터널링 처리부(34), 인터페이스 주소 및 관할 네트워크내의 IP 주소를 저장하고 있는 진출 접속제어 리스트(35), 및 상기 역터널링 처리부(34)로부터 출력된 패킷의 출발지 주소를 확인하여 상기 출발지 주소가 인터페이스 주소 또는 관할 네트워크내의 IP 주소와 동일하면 상기 패킷을 외부로 전달하고, 동일하지 않으면 상기 패킷을 폐기하기 위한 진출 인터페이스부(36)를 포함한다. As shown in FIG. 3, the external agent device having the effective packet screening function according to the present invention checks the entry access control list 31 storing the interface address and the source address of the incoming packet. If it is the same as the interface address, the packet is discarded. If not, the entry interface unit 32 for delivering the packet to the reverse tunneling processor 34 and the information storage unit storing information of the registered mobile communication terminal ( 33), the reverse tunneling processing unit 34 for changing the starting address to the interface address after encapsulating the packet received from the entry interface unit 32 is a packet generated from the registered mobile communication terminal, the interface address and the jurisdiction. An exit access control list 35 storing an IP address in the network, and an exit from the reverse tunneling processor 34. When check the source address of the packet has the source address equal to the IP address in the interface address or local network, forwarding the packet to the outside, and not the same, and a expansion interface unit 36 for discarding the packet.

여기서, 상기 등록된 이동통신단말기는 외부 에이전트 장치로 직접 전달 형식의 역터널링을 요구하여 해당 서비스를 제공받을 수 있는 단말기를 의미한다.Here, the registered mobile communication terminal means a terminal that can receive a corresponding service by requesting reverse tunneling of a direct delivery type to an external agent device.

또한, 상기 인터페이스 주소는 진입 인터페이스부(32)의 IP 주소, 진출 인터페이스부(36)의 IP 주소, 및 가상 인터페이스 IP 주소를 포함한다.In addition, the interface address includes an IP address of the entry interface unit 32, an IP address of the entry interface unit 36, and a virtual interface IP address.

또한, 상기 진입 인터페이스부(32)는 다수개 존재할 수도 있다.In addition, a plurality of the entry interface unit 32 may exist.

또한, 상기 역터널링 처리부(34)는 상기 패킷이 등록된 이동통신단말기로부터 생성되지 않았으면 상기 패킷의 출발지 주소를 변경하지 않는다.In addition, the reverse tunneling processor 34 does not change the source address of the packet unless the packet is generated from a registered mobile communication terminal.

도 4 는 본 발명에 따른 외부 에이전트 장치에서의 유효 패킷 선별 방법에 대한 일실시예 흐름도이다.4 is a flowchart illustrating an effective packet screening method in an external agent device according to the present invention.

먼저, 패킷이 진입함에 따라 출발지 주소를 확인한다(401).First, the source address is checked as the packet enters (401).

이후, 상기 패킷의 출발지 주소가 인터페이스 주소와 동일한지 비교한다(402).Thereafter, the source address of the packet is compared with the interface address (402).

상기 비교 결과(401), 동일하면 상기 패킷을 폐기하고(403), 동일하지 않으면 상기 패킷이 등록된 이동통신단말기로부터 생성된 패킷인지를 확인한다(404).As a result of the comparison (401), if the same, the packet is discarded (403). If not, it is checked whether the packet is generated from a registered mobile communication terminal (404).

상기 확인 결과(404), 상기 패킷이 등록된 이동통신단말기로부터 생성된 패킷이면 상기 패킷을 캡슐화한 후 출발지 주소를 인터페이스 주소로 변경한다(405). 물론, 상기 패킷이 등록된 이동통신단말기로부터 생성된 패킷이 아니면 출발지 주소를 변경하지 않는다.As a result of the check 404, if the packet is a packet generated from the registered mobile communication terminal, the packet is encapsulated, and then the source address is changed to the interface address (405). Of course, the source address is not changed unless the packet is generated from a registered mobile communication terminal.

이후, 상기 패킷의 출발지 주소가 인터페이스 주소 또는 관할 네트워크내의 IP 주소와 동일하면 상기 패킷을 외부로 전달한다(407). 반면, 동일하지 않으면 상기 패킷을 폐기한다(403).Then, if the source address of the packet is the same as the interface address or the IP address in the jurisdiction network, the packet is forwarded to the outside (407). On the other hand, if not the same, the packet is discarded (403).

상술한 바와 같은 본 발명의 방법은 프로그램으로 구현되어 컴퓨터로 읽을 수 있는 형태로 기록매체(씨디롬, 램, 롬, 플로피 디스크, 하드 디스크, 광자기 디스크 등)에 저장될 수 있다. 이러한 과정은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있으므로 더 이상 상세히 설명하지 않기로 한다.As described above, the method of the present invention may be implemented as a program and stored in a recording medium (CD-ROM, RAM, ROM, floppy disk, hard disk, magneto-optical disk, etc.) in a computer-readable form. Since this process can be easily implemented by those skilled in the art will not be described in more detail.

이상에서 설명한 본 발명은, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하므로 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니다.The present invention described above is capable of various substitutions, modifications, and changes without departing from the technical spirit of the present invention for those skilled in the art to which the present invention pertains. It is not limited by the drawings.

상기와 같은 본 발명은, 휴대인터넷이나 이동통신 등과 같이 이동성 관리가 필요한 네트워크에서 모바일(Mobile) IPv4(Internet Protocol version 4) 등을 이용하여 이동성을 관리할 경우에 외부 에이전트(FA: Foreign Agent)의 진입 인터페이스와 진출 인터페이스에 각각 접속제어 리스트를 설정함으로써, 출발지 주소가 변조된 이동통신단말기의 패킷이 네트워크로 진입하는 것을 차단할 수 있는 효과가 있다.As described above, the present invention relates to a foreign agent (FA) in case of managing mobility by using mobile IPv4 (Internet Protocol 4) in a network requiring mobility management such as mobile Internet or mobile communication. By setting the access control lists in the entry and exit interfaces, respectively, there is an effect that the packet of the mobile communication terminal whose source address is modulated can be blocked from entering the network.

또한, 본 발명은 모바일 IPv4 등이 적용된 네트워크에서 단말에 부담을 주지 않고 이동 단말의 패킷 중 출발지 주소가 변조된 패킷을 네트워크로 진입하지 못하도록 제거할 수 있으며, 출발지 주소 변조를 이용한 서비스 거부 공격과 같은 악의적인 의도를 네트워크 진입 부분에서 사전에 막을 수 있는 효과가 있다.In addition, the present invention can remove the packet of the source address of the mobile terminal is not modified to enter the network without burdening the terminal in the network applied mobile IPv4, etc., such as a denial of service attack using the source address modulation There is an effect that can prevent malicious intention at the network entry part.

Claims (6)

유효 패킷 선별 기능을 가지는 외부 에이전트 장치에 있어서,In the external agent device having an effective packet screening function, 인터페이스 주소를 저장하고 있는 진입 접속제어 정보 저장수단;Entry access control information storage means for storing an interface address; 등록된 이동통신단말기의 정보를 저장하고 있는 정보 저장수단;Information storage means for storing information of the registered mobile communication terminal; 인터페이스 주소 및 관할 네트워크내의 IP 주소를 저장하고 있는 진출 접속제어 정보 저장수단;Outgoing access control information storage means for storing the interface address and the IP address in the jurisdiction network; 진입하는 패킷의 출발지 주소가 상기 인터페이스 주소와 동일하면 패킷을 폐기하고, 동일하지 않으면 패킷을 역터널링 처리수단으로 전달하기 위한 진입 인터페이스수단;Entry interface means for discarding the packet if the source address of the incoming packet is the same as the interface address, and delivering the packet to the reverse tunneling processing means if it is not the same; 상기 진입 인터페이스수단으로부터 전달받은 패킷이 상기 정보 저장수단에 등록된 이동통신단말기로부터 생성된 패킷임에 따라 캡슐화한 후 출발지 주소를 상기 인터페이스 주소로 변경하기 위한 상기 역터널링 처리수단; 및 The reverse tunneling processing means for encapsulating the packet received from the entry interface means as a packet generated from a mobile communication terminal registered with the information storing means, and then changing a starting address to the interface address; And 상기 역터널링 처리수단으로부터 출력된 패킷의 출발지 주소를 확인하여 출발지 주소가 상기 인터페이스 주소 또는 관할 네트워크내의 IP 주소와 동일하면 패킷을 외부로 전달하고, 동일하지 않으면 패킷을 폐기하기 위한 진출 인터페이스수단An outgoing interface means for verifying the source address of the packet output from the reverse tunneling processing means and forwarding the packet if the source address is the same as the interface address or the IP address in the jurisdiction network, and discarding the packet if it is not the same; 을 포함하는 유효 패킷 선별 기능을 가지는 외부 에이전트 장치.External agent device having a valid packet screening function comprising a. 제 1 항에 있어서,The method of claim 1, 상기 인터페이스 주소는,The interface address is 상기 진입 인터페이스수단의 IP 주소, 상기 진출 인터페이스수단의 IP 주소, 및 가상 인터페이스의 IP 주소를 포함하는 것을 특징으로 하는 유효 패킷 선별 기능을 가지는 외부 에이전트 장치.And an IP address of the entry interface means, an IP address of the entry interface means, and an IP address of the virtual interface. 제 1 항 또는 제 2 항에 있어서,The method according to claim 1 or 2, 상기 진입 인터페이스수단은,The entry interface means, 다수개 존재하는 것을 특징으로 하는 유효 패킷 선별 기능을 가지는 외부 에이전트 장치.An external agent device having a valid packet screening function, characterized in that there are a plurality. 외부 에이전트 장치에서의 유효 패킷 선별 방법에 있어서,In the effective packet screening method in the external agent device, 패킷이 진입함에 따라 출발지 주소를 확인하는 단계;Identifying a source address as the packet enters; 상기 패킷의 출발지 주소가 인터페이스 주소와 동일한지 비교하여 동일하면 상기 패킷을 폐기하고, 동일하지 않으면 상기 패킷이 등록된 이동통신단말기로부터 생성된 패킷인지를 확인하는 단계;Discarding the packet if the source address of the packet is the same as that of the interface address, and if not, checking whether the packet is a packet generated from a registered mobile communication terminal; 상기 패킷이 등록된 이동통신단말기로부터 생성된 패킷임에 따라 캡슐화한 후 출발지 주소를 인터페이스 주소로 변경하는 단계; 및Encapsulating the packet as a packet generated from a registered mobile communication terminal and changing a source address to an interface address; And 상기 패킷의 출발지 주소가 인터페이스 주소 또는 관할 네트워크내의 IP 주소와 동일하면 상기 패킷을 외부로 전달하고, 동일하지 않으면 상기 패킷을 폐기하는 단계Forwarding the packet to the outside if the source address of the packet is the same as the interface address or the IP address in the jurisdiction network, and discarding the packet if it is not the same. 를 포함하는 외부 에이전트 장치에서의 유효 패킷 선별 방법.Valid packet screening method in an external agent device comprising a. 제 4 항에 있어서,The method of claim 4, wherein 상기 인터페이스 주소는,The interface address is 진입 인터페이스수단의 IP 주소, 진출 인터페이스수단의 IP 주소, 및 가상 인터페이스의 IP 주소를 포함하는 것을 특징으로 하는 외부 에이전트 장치에서의 유효 패킷 선별 방법.An effective packet screening method in an external agent device comprising the IP address of the entry interface means, the IP address of the entry interface means, and the IP address of the virtual interface. 프로세서를 구비한 외부 에이전트 장치에, In an external agent device having a processor, 패킷이 진입함에 따라 출발지 주소를 확인하는 기능;Identifying a source address as the packet enters; 상기 패킷의 출발지 주소가 인터페이스 주소와 동일한지 비교하여 동일하면 상기 패킷을 폐기하고, 동일하지 않으면 상기 패킷이 등록된 이동통신단말기로부터 생성된 패킷인지를 확인하는 기능;Comparing the source address of the packet with the same interface address and discarding the packet if it is the same; if not, checking whether the packet is generated from a registered mobile communication terminal; 상기 패킷이 등록된 이동통신단말기로부터 생성된 패킷임에 따라 캡슐화한 후 출발지 주소를 인터페이스 주소로 변경하는 기능; 및Changing the source address to an interface address after encapsulating the packet as a packet generated from a registered mobile communication terminal; And 상기 패킷의 출발지 주소가 인터페이스 주소 또는 관할 네트워크내의 IP 주소와 동일하면 상기 패킷을 외부로 전달하고, 동일하지 않으면 상기 패킷을 폐기하는 기능Forwarding the packet to the outside if the source address of the packet is the same as the interface address or IP address in the jurisdiction network, and discarding the packet if it is not the same 을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.A computer-readable recording medium having recorded thereon a program for realizing this.
KR1020050059835A 2005-07-04 2005-07-04 Foreign agent apparatus and method for selecting forged packet KR20070004324A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020050059835A KR20070004324A (en) 2005-07-04 2005-07-04 Foreign agent apparatus and method for selecting forged packet

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020050059835A KR20070004324A (en) 2005-07-04 2005-07-04 Foreign agent apparatus and method for selecting forged packet

Publications (1)

Publication Number Publication Date
KR20070004324A true KR20070004324A (en) 2007-01-09

Family

ID=37870589

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050059835A KR20070004324A (en) 2005-07-04 2005-07-04 Foreign agent apparatus and method for selecting forged packet

Country Status (1)

Country Link
KR (1) KR20070004324A (en)

Similar Documents

Publication Publication Date Title
US11451510B2 (en) Method and apparatus for processing service request
US6775704B1 (en) System and method for preventing a spoofed remote procedure call denial of service attack in a networked computing environment
US7613193B2 (en) Apparatus, method and computer program product to reduce TCP flooding attacks while conserving wireless network bandwidth
JP4758442B2 (en) Providing security in unauthorized mobile access networks
JP4690480B2 (en) How to provide firewall service
CN1799241B (en) IP mobility
US8645537B2 (en) Deep packet scan hacker identification
CN111756712B (en) Method for forging IP address and preventing attack based on virtual network equipment
EP1319296B1 (en) System and process for defending against denial of service attacks on networks nodes
US7970878B1 (en) Method and apparatus for limiting domain name server transaction bandwidth
CN115699840A (en) Methods, systems, and computer readable media for mitigating 5G roaming security attacks using a Secure Edge Protection Proxy (SEPP)
JPH11167538A (en) Fire wall service supply method
US8320249B2 (en) Method and system for controlling network access on a per-flow basis
EP1234469B1 (en) Cellular data system security method
JPH11168511A (en) Packet authentication method
JPH11168510A (en) Packet verification method
JPH11163940A (en) Method for inspecting packet
US10601777B2 (en) Data inspection system and method
US20080162715A1 (en) Method for securing a data stream
CN112134891A (en) Configuration method, system and monitoring method for generating multiple honey pot nodes by single host based on linux system
CN113746788A (en) Data processing method and device
RU2690749C1 (en) Method of protecting computer networks
US8688077B2 (en) Communication system and method for providing a mobile communications service
CN102752266B (en) Access control method and equipment thereof
KR20060131470A (en) Foreign agent apparatus and method for selecting forged packet

Legal Events

Date Code Title Description
WITN Withdrawal due to no request for examination