KR20070024957A - Apparatus and method for packet filtering - Google Patents

Apparatus and method for packet filtering Download PDF

Info

Publication number
KR20070024957A
KR20070024957A KR1020050080628A KR20050080628A KR20070024957A KR 20070024957 A KR20070024957 A KR 20070024957A KR 1020050080628 A KR1020050080628 A KR 1020050080628A KR 20050080628 A KR20050080628 A KR 20050080628A KR 20070024957 A KR20070024957 A KR 20070024957A
Authority
KR
South Korea
Prior art keywords
address
network
host
packet
prefix
Prior art date
Application number
KR1020050080628A
Other languages
Korean (ko)
Other versions
KR100753815B1 (en
Inventor
류승호
김기영
정보흥
한민호
임재덕
김영호
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020050080628A priority Critical patent/KR100753815B1/en
Publication of KR20070024957A publication Critical patent/KR20070024957A/en
Application granted granted Critical
Publication of KR100753815B1 publication Critical patent/KR100753815B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • H04L45/741Routing in networks with a plurality of addressing schemes, e.g. with both IPv4 and IPv6
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/304Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting circuit switched data communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/30Types of network names
    • H04L2101/35Types of network names containing special prefixes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/659Internet protocol version 6 [IPv6] addresses

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Technology Law (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

An apparatus and a method for intercepting packets are provided to carry out packet processing, such as packet interception, under an IPv6 network environment just as a network manager intended, even though the address of a node within an internal network, a state of the node or an address prefix is changed. An apparatus for intercepting packets comprises a network address management part(210), a host address management part(220), a receiving part(230), an updating part(240), and a packet processing part(250). The network address management part(210) intercepts and manages the packets supplied to an internal network from an external network. The host address management part(220) intercepts or manages packets in transmitting packets to a host from an external network. The receiving part(230), in case a network address is changed into the IP address of a host in an internal network or a network prefix is changed, receives an IP address change notification or a network prefix change notification. The updating part(240) updates the network address management part(210) and the host address management part(220) when the receiving part(230) receives the IP address change notification or the network prefix change notification. In transmitting packets to an internal network from an external network, the packet processing part(250) intercepts packets if the validity of the network prefix expired. However, in case the network prefix is valid, the packet processing part(250) transmits packets on the basis of the updated network address management part(210).

Description

패킷 차단 장치 및 그 방법{Apparatus and method for packet filtering}Apparatus and method for packet filtering

도 1 은 본 발명의 일 실시예로서, 차세대 인터넷 프로토콜 네트워크 환경을 도시한다. 1 is a diagram illustrating a next-generation Internet protocol network environment as an embodiment of the present invention.

도 2 는 패킷 차단 장치의 내부 구성도를 도시한다. 2 shows an internal configuration diagram of a packet blocking device.

도 3 은 네트워크 주소 관리부를 도시한다.3 shows a network address management unit.

도 4 는 호스트 주소 관리부를 도시한다. 4 shows a host address manager.

도 5 는 네트워크의 프리픽스가 변경될 경우, 패킷 처리 방법을 도시한 흐름도이다. 5 is a flowchart illustrating a packet processing method when a prefix of a network is changed.

도 6 은 호스트의 주소가 변경될 경우, 패킷 처리 방법을 도시한 흐름도이다. 6 is a flowchart illustrating a packet processing method when an address of a host is changed.

도 7 은 IPv6 주소가 변경, 추가되는 바람직한 일 실시예를 도시한다.7 shows an exemplary embodiment in which an IPv6 address is changed and added.

도 8 은 네트워크 프리픽스 주소가 변경, 추가되는 바람직한 일 실시예를 도시한다. 8 illustrates a preferred embodiment in which a network prefix address is changed and added.

본 발명은 차세대 인터넷 프로토콜 네트워크 환경하에서, 패킷을 차단하는 장치 및 방법에 관한 것이다. The present invention relates to an apparatus and method for blocking a packet in a next generation Internet protocol network environment.

IPv4 네트워크 환경하에서는 각 호스트에는 단일의 주소가 할당되고 할당된 주소는 정적으로 계속 유지되므로 패킷을 차단하고자 할 경우, 변하지 않는 임의의 단일 주소에 대해 차단하는 정책을 취하였다. In the IPv4 network environment, each host is assigned a single address and the assigned address remains static. Therefore, if a packet is to be blocked, a single block that does not change is blocked.

그러나, 차세대 인터넷 프로토콜, 예를 들어 IPv6 ,의 경우 각 호스트에는 다수의 주소가 할당될 수 있으며, 동적으로 주소의 변경이 가능하다. However, in the case of next-generation Internet protocols, such as IPv6, each host can be assigned a plurality of addresses, and the address can be changed dynamically.

즉, IPv6 네트워크 환경의 경우 종래의 IPv4 네트워크 환경과는 달리 각각의 호스트는 상태기반 주소 자동 설정(Stateful Address Autoconfiguration) (예. DHCP)을 통해 주소를 외부로부터 할당 받을 수 있을 뿐만 아니라, 비상태기반 주소 자동 설정(Stateless Address Autoconfiguration)을 사용하여 자신이 직접 주소를 자동으로 생성할 수 있으며, 한 개가 아닌 여러 개의 주소를 가질 수 있고, 동적으로 다른 주소로 변경할 수도 있다. 호스트 부분의 주소뿐만 아니라 네트워크 주소의 프리픽스 부분 역시 동적으로 변경이 가능하므로 네트워크의 전체 주소가 변경될 수 있다.In other words, in the case of IPv6 network environment, unlike the conventional IPv4 network environment, each host can be assigned an address from the outside through stateful address autoconfiguration (eg DHCP), Stateless Address Autoconfiguration allows you to create your own address automatically, have multiple addresses instead of one, and dynamically change to another address. Not only the address of the host part but also the prefix part of the network address can be changed dynamically, so the entire address of the network can be changed.

따라서 종래의 패킷 차단 기술이 차세대 인터넷 프로토콜 네트워크 환경하에서는 동일하게 적용하기 어려운 문제점이 있다. Therefore, the conventional packet blocking technology is difficult to apply the same under the next generation Internet protocol network environment.

상기와 같은 문제점을 해결하기 위하여, 본 발명에서는 차세대 인터넷 프로토콜 네트워크 환경하에서도 네트워크 관리자가 의도하는 호스트 및 내부망에서 패킷을 차단하는 장치 및 방법을 제공하고자 한다. In order to solve the above problems, the present invention is to provide an apparatus and method for blocking packets in the host and the internal network intended by the network administrator even in the next generation Internet protocol network environment.

본 발명의 바람직한 일 실시예로서, 패킷 차단 장치는 내부망을 구별하는 네트워크 ID, 네트워크 프리픽스, 네트워크 프리픽스의 유효기간을 포함하는 네트워크 주소 관리부; 물리적으로 호스트를 구별하는 고유 식별 ID, IP 주소, IP 주소의 유효기간을 포함하는 호스트 주소 관리부; 상기 네트워크 프리픽스의 변경 통보 또는 상기 IP 주소의 변경 통보를 수신하는 수신부; 상기 수신부에서 상기 네트워크 프리픽스 변경 통보 또는 상기 IP 주소 변경 통보를 수신할 경우, 각각 상기 네트워크 주소 관리부 및 상기 호스트 주소 관리부를 갱신하는 주소 갱신부;및 외부망으로부터 내부망으로 패킷 전송시, 임의의 패킷의 차단 여부를 설정한 패킷 차단 규칙을 상기 네트워크 프리픽스의 유효기간 동안 상기 네트워크 ID 및 상기 네트워크 프리픽스를 기초로 적용하고, 내부망에서 호스트로 패킷 전송시, 상기 패킷 차단 규칙을 상기 IP 주소의 유효기간 동안 상기 고유 식별 ID 및 상기 IP 주소를 기초로 적용하는 패킷 처리부;를 포함한다.In one preferred embodiment of the present invention, a packet blocking apparatus includes a network address management unit including a network ID for identifying an internal network, a network prefix, and a validity period of the network prefix; A host address management unit including a unique identification ID, an IP address, and an expiration date of the IP address that physically identify the host; A receiver configured to receive a change notification of the network prefix or a change notification of the IP address; An address update unit for updating the network address management unit and the host address management unit, respectively, when the reception unit receives the network prefix change notification or the IP address change notification; and an arbitrary packet when transmitting a packet from an external network to an internal network. Apply a packet blocking rule that sets whether to block a network based on the network ID and the network prefix during the validity period of the network prefix, and applies the packet blocking rule to the host when transmitting a packet from an internal network to a host. And a packet processing unit applied based on the unique identification ID and the IP address.

본 발명의 바람직한 일 실시예로서 패킷 차단 장치에서 상기 수신부는 상기 네트워크 프리픽스 및 상기 IP 주소의 변경 통보를 상기 네트워크 프리픽스 또는 상기 IP 주소를 변경한 호스트로부터 수신한다. In a preferred embodiment of the present invention, in the packet blocking device, the receiving unit receives a notification of a change in the network prefix and the IP address from the host having changed the network prefix or the IP address.

또한, 본 발명의 바람직한 일 실시예로서 패킷 차단 장치에서 상기 수신부는 네트워크 내에 동일한 IP주소를 지닌 호스트의 존재 여부를 확인하는 주변 노드 검출 기법(Neighbor Discovery)에 의해 IP 주소가 변경된 호스트를 검출한 호스트로부터 상기 IP 주소 변경 통보를 수신한다. In addition, as a preferred embodiment of the present invention, in the packet blocking device, the receiving unit detects a host whose IP address is changed by a neighbor node detection technique (Neighbor Discovery) for checking whether a host having the same IP address exists in the network. Receive the IP address change notification.

뿐만 아니라, 본 발명의 바람직한 일 실시예로서 패킷 차단 장치에서 상기 수신부는 상기 주변 노드 검출 기법은 네트워크 내에 생성된 호스트의 주소와 동일한 주소가 존재하는지 여부를 확인하는 주소 중복 검사(DAD) 및 이전 라우터에 도달 여부를 확인하는 주변 노드 도달 검사(NUD)를 포함한다. In addition, as a preferred embodiment of the present invention, in the packet blocking device, the receiving unit detects whether the neighbor node detection scheme has the same address as the address of the host created in the network and the previous address check (DAD) and the previous router. Peripheral Node Reach check (NUD) is included to determine whether or not to reach.

본 발명의 또 다른 일 실시예로서, 패킷 차단 방법은 네트워크 프리픽스의 변경 통보 또는 상기 IP 주소의 변경 통보를 수신하는 단계; 상기 수신한 네트워크 프리픽스 변경 통보를 기초로 내부망을 구별하는 네트워크 ID, 네트워크 프리픽스, 네트워크 프리픽스의 유효기간을 갱신하고, 상기 수신한 IP 주소의 변경 통보를 기초로 물리적으로 호스트를 구별하는 고유 식별 ID, IP 주소, IP 주소의 유효기간을 갱신하는 단계; 외부망으로부터 내부망으로 패킷 전송시, 임의의 패킷의 차단 여부를 설정한 패킷 차단 규칙을 상기 네트워크 프리픽스의 유효기간 동안 상기 네트워크 ID 및 상기 네트워크 프리픽스를 기초로 적용하는 단계; 및 내부망에서 호스트로 패킷 전송시, 상기 패킷 차단 규칙을 상기 IP 주소의 유효기간 동안 상기 고유 식별 ID 및 상기 IP 주소를 기초로 적용하는 단계;를 포함한다.As another embodiment of the present invention, a packet blocking method includes receiving a notification of a change in network prefix or a notification of a change in IP address; A unique identification ID for updating a validity period of a network ID, a network prefix, and a network prefix for distinguishing an internal network based on the received network prefix change notification, and for physically distinguishing a host based on the received notification of the change of the IP address. Updating the validity period of the IP address, the IP address; Applying a packet blocking rule that sets whether to block an arbitrary packet based on the network ID and the network prefix during the validity period of the network prefix when transmitting a packet from an external network to an internal network; And applying the packet blocking rule based on the unique identification ID and the IP address during the validity period of the IP address when transmitting a packet from the internal network to the host.

이하 본 발명의 바람직한 실시예가 첨부된 도면들을 참조하여 설명될 것이다. 도면들 중 동일한 구성요소들에 대해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 참조 번호들 및 부호들로 나타내고 있음에 유의해야 한다. 하기에서 본 발명을 설명함에 있어, 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다.Hereinafter, preferred embodiments of the present invention will be described with reference to the accompanying drawings. It should be noted that the same elements in the figures are represented by the same reference numerals and symbols as much as possible even though they are shown in different figures. In the following description of the present invention, if it is determined that a detailed description of a related known function or configuration may unnecessarily obscure the subject matter of the present invention, the detailed description thereof will be omitted.

도 1 은 본 발명의 일 실시예로서, 차세대 인터넷 프로토콜 네트워크 환경을 도시한다. 1 is a diagram illustrating a next-generation Internet protocol network environment as an embodiment of the present invention.

패킷 차단 장치(110)는 외부망(110)에서 내부망(120)으로, 또는 내부망에서 호스트로 패킷 전송시, 중간에서 패킷을 검사하여 네트워크 관리자가 설정한 패킷 차단 규칙에 따라 패킷의 전송차단 여부를 결정한다. Packet blocking device 110 from the external network 110 to the internal network 120, or in the internal network When sending a packet to the host, the packet is inspected in the middle to determine whether to block the packet according to the packet blocking rule set by the network administrator.

내부망(120) 내에는 다른 링크 혹은 사이트의 경계가 되는 내부망 라우터(130), 각각의 내부망 호스트(140)가 있고, 상태기반 주소 설정이 사용될 경우 상태기반 주소 자동할당 기능을 하는 서버가 운용중인 호스트(150)(이하 DHCP 서버라 함)를 운용할 수 있으며, DNS(Domain Name System) 서비스를 위해 네트워크 상에서 도메인 네임을 관리하는 DNS 서버(160)를 운용할 수 있다. In the internal network 120, there is an internal network router 130 that is a boundary of another link or site, and each internal network host 140. When the state-based address setting is used, a server that automatically performs state-based address assignment An operating host 150 (hereinafter referred to as a DHCP server) may be operated, and a DNS server 160 that manages a domain name on a network may be operated for a DNS (Domain Name System) service.

도 1에서는 내부망이 하나만 도시되었으나, 패킷 차단 장치(110)는 복수의 내부망을 관리할 수 있음을 주의하여야 한다. Although only one internal network is illustrated in FIG. 1, it should be noted that the packet blocking apparatus 110 may manage a plurality of internal networks.

도 2 는 패킷 차단 장치(200)의 내부 구성도를 도시한다. 2 shows an internal configuration diagram of a packet blocking device 200.

패킷 차단 장치(200)는 임의의 주소를 지닌 패킷의 수신을 차단하는 패킷 차단 장치로서, 호스트에 처음 할당된 주소가 변경되는 경우에도 주소 변경을 추적하여 반영함으로써 네트워크 관리자는 차세대 인터넷 프로토콜 네트워크 환경하에서(예, IPv6 네트워크 환경) 주소의 동적 변경 상황에 유연하게 대처할 수 있다. The packet blocking device 200 is a packet blocking device that blocks the reception of a packet having an arbitrary address, and the network manager tracks and reflects the address change even when the first address assigned to the host is changed, thereby allowing the network manager to operate in the next generation Internet protocol network environment. (Eg IPv6 network environment) It can flexibly cope with the dynamic change of address.

패킷 차단 장치(200)는 네트워크 주소 관리부(210), 호스트 주소 관리부(220), 수신부(230), 갱신부(240) 및 패킷 처리부 (250)를 포함한다.The packet blocking device 200 includes a network address manager 210, a host address manager 220, a receiver 230, an updater 240, and a packet processor 250.

네트워크 주소 관리부(210)는 내부망을 구별하는 네트워크 ID, 네트워크 프 리픽스, 네트워크 프리픽스의 유효기간으로 구성되며, 외부망에서 내부망으로 들어오는 패킷을 차단 및 관리한다. 이에 대한 보다 상세한 설명은 도 3에서 하기로 한다. The network address management unit 210 is composed of a network ID for identifying an internal network, a network prefix, and a valid period of a network prefix, and blocks and manages packets coming into the internal network from the external network. A more detailed description thereof will be made with reference to FIG. 3.

호스트 주소 관리부(220)는 물리적으로 호스트를 구별하는 고유 식별 ID, IP 주소, IP 주소의 유효기간으로 구성되며, 내부망에서 호스트로 패킷 전송시 패킷을 차단하거나 관리한다. 이에 대한 보다 상세한 설명은 도 4에서 하기로 한다. The host address manager 220 includes a unique identification ID, an IP address, and an expiration date of an IP address that physically distinguish a host, and blocks or manages a packet when transmitting a packet from an internal network to a host. A more detailed description thereof will be made with reference to FIG. 4.

수신부(230)는 내부망 내의 호스트의 IP 주소가 변경되거나, 네트워크 프리픽스가 변경되어 네트워크 주소가 변경된 경우 IP 주소의 변경 통보 및/또는 네트워크 프리픽스의 변경 통보를 수신한다. The receiving unit 230 receives a notification of a change in IP address and / or a change in network prefix when the IP address of a host in the internal network is changed or the network prefix is changed.

차세대 인터넷 프로토콜 네트워크, 예를 들어 IPv6 망에서는 하나의 호스트에 복수개의 IP 주소가 할당될 수 있으며, 호스트에 할당된 IPv6 주소는 동적으로 변경될 수 있다. In a next generation internet protocol network, for example, an IPv6 network, a plurality of IP addresses may be assigned to one host, and the IPv6 address assigned to the host may be dynamically changed.

이 경우, 수신부(230)는 네트워크 프리픽스 및 IP 주소의 변경 통보를 상기 네트워크 프리픽스 또는 상기 IP 주소를 변경한 호스트로부터 직접 수신하거나, 또는 상기 네트워크 프리픽스 또는 상기 IP 주소를 변경한 호스트가 다른 호스트에게 주소 변경 사실을 알려주어, 다른 호스트가 전송한 네트워크 프리픽스 및 IP 주소의 변경 통보를 수신할 수 있다. In this case, the receiving unit 230 directly receives the notification of the change of the network prefix and the IP address from the host having changed the network prefix or the IP address, or the host having changed the network prefix or the IP address has an address to another host. You can be notified of changes and receive notification of changes in network prefixes and IP addresses sent by other hosts.

또한 수신부(230)는 네트워크 내에 동일한 IP주소를 지닌 호스트의 존재 여부를 확인하는 주변 노드 검출 기법(Neighbor Discovery)에 의해 IP 주소가 변경된 호스트를 검출한 호스트부터 상기 IP 주소 변경 통보를 수신할 수 있다. In addition, the receiver 230 may receive the IP address change notification from a host that detects a host whose IP address has been changed by a neighbor discovery method that checks whether a host having the same IP address exists in the network. .

주변 노드를 검출 기법에서, IP주소를 변경하려는 호스트는 동일 네트워크 상의 다른 호스트 및 라우터에게 자신의 주소가 변경되었음을 통보하기 위하여 u-NA(unsolicited Neighbor Advertisement, 비청원 네이버 선언) 메시지를 전송한다.In the detection method of the neighbor node, the host attempting to change the IP address transmits an unsolicited neighbor advertisement (u-NA) message to notify other hosts and routers of the same network that their address has been changed.

u-NA 메시지는 모든 노드 멀티캐스트 주소(all-nodes multicast address)로 전송되기 때문에 동일 네트워크 상의 라우터와 호스트는 모두 u-NA 메시지를 청취할 수 있게 된다. Because u-NA messages are sent to all-nodes multicast addresses, both routers and hosts on the same network can listen to u-NA messages.

발신자는 새로운 주소 정보와 더불어 u-NA 메시지 상의 O-플래그(Override Flag)를 세팅하여 기존의 자신의 정보를 새로 알려주는 정보로 업데이트 하도록 알려준다.In addition to the new address information, the sender sets the O-flag on the u-NA message (Override Flag) to update the existing self information with new information.

또한 주변 노드 검출 기법에서는 주소 중복 검사(DAD) 및 주변 노드 도달 검사(NUD)를 사용한다. Peripheral node detection also uses address redundancy check (DAD) and neighbor node arrival check (NUD).

주소 중복 검사(Duplicate Address Detection)는 네트워크 내에 생성된 호스트의 주소와 동일한 주소가 존재하는지 여부를 확인하는 검사로서, 다음과 같은 절차로 수행된다. Duplicate Address Detection checks whether the same address as that of the host created in the network exists. The duplicate address detection is performed by the following procedure.

a)네트워크에 새로 접속한 단말은 Link Local 주소를 생성, 할당한 이후에 생성한 Link Local 주소가 같은 네트워크 내에서 사용되는지 확인하기 위해, N eighbor Solicitation(NS, 네이버 요청) 메세지를 네트워크에 전송한다. a) Newly connected UE sends N Neighbor Solicitation (NS) message to the network to check whether the generated Link Local address is used in the same network after creating and assigning the Link Local address. .

b)만약 다른 단말이 동일한 주소를 사용하고 있는 경우, 주소를 사용하고 있는 단말이 네트워크 내의 모든 시스템에게 이미 사용중인 주소이므로 사용하지 마라는 내용의 Neighbor Advertisement(NA, 네이버 선언) 메세지를 전송한다.b) If another terminal is using the same address, it transmits a Neighbor Advertisement (NA) message saying that the terminal using the address should not be used because it is already used by all the systems in the network.

c) 새로운 단말이 만약 일정 시간 동안 NS 메세지를 받지 못할 경우, 새로운 단말은 생성한 Link Local 주소를 이용한다. c) If the new terminal does not receive the NS message for a certain time, the new terminal uses the generated Link Local address.

d) 만약 NS 메세지를 보낸 단말이 NA 메세지를 통해 자신이 생성한 Link Local 주소가 타 단말과 중복됨을 확인하면 Link Local 주소를 네트워크 인터페이스에 할당하지 않는다. d) If the terminal sending the NS message confirms that the link local address generated by the NS message is duplicated with other terminals, the link local address is not assigned to the network interface.

위에서 언급된 NS(Neighbor Solicitation, 네이버 요청) 메시지는 호스트가 자신의 주소로 사용할 주소를 생성하여 링크 내에 그 주소가 링크 내의 시스템들이 사용 중인지 확인하기 위해 사용할 주소를 포함하여 해당 시스템들에게 전달하는 메시지이다.The NS (Neighbor Solicitation) message mentioned above is a message generated by the host to use as its own address and forwarded to those systems, including the address within the link that the address will use to verify that the systems in the link are in use. to be.

또한, NA(Neighbor Advertisement, 네이버 선언) 메시지는 NS 메시지를 수신한 시스템이 NS 메시지에 포함된 주소가 자신이 사용하고 있는 주소이면, 이미 사용 중이므로 사용하지 말라는 의미로 링크 내 모든 시스템에게 전달하는 메시지이다. 즉, NS 메시지를 송신한 시스템이 일정 시간 내에 NA 메시지를 수신하면 사용하려고 생성한 주소는 시스템에 할당해서는 안 된다.In addition, NA (Neighbor Advertisement) message is a message sent to all systems in the link, meaning that the system that received the NS message is not used because the address included in the NS message is already in use. to be. That is, if the system that sent the NS message receives the NA message within a certain time, the address created for use should not be assigned to the system.

주변 노드 검출 기법에서 사용하는 주변 노드 도달 검사(NUD - Neighbor Unreachability Detection)는 동일 네트워크 상의 호스트 및 라우터가 살아 있는지를 확인하는 검사이다. Neighbor Unreachability Detection (NUD), which is used in the neighbor node detection technique, is a test to check whether hosts and routers on the same network are alive.

주변 노드 도달 검사(NUD)는 2 가지 방법으로 수행된다. 한 가지 방법은 도달여부를 검사하려는 대상 호스트 및 라우터와 지속적으로 통신이 이루어졌는지 여부를 체크하여 도달 여부를 판단하는 방법이다. Peripheral node reach check (NUD) is performed in two ways. One method is to determine whether or not to reach the target by checking whether the communication with the target host and the router has been continuously performed.

또 다른 한 가지 방법은 인위적으로 대상 호스트 및 라우터에 응답을 받기 위하여 메세지를 전송한 후 응답의 도착여부를 통하여 도달여부를 판단하는 방법이다. 이 경우, 대상 호스트 및 라우터에 전송하는 메세지로 u-NS(unicast Neighbor Solicitation, 유니캐스트 네이버 요청) 메시지를 사용한다. Another method is to artificially send a message to receive a response from the target host and the router, and then determine whether the response has been reached. In this case, a unicast neighbor solicitation (u-NS) message is used as a message sent to the target host and the router.

u-NS 메시지를 대상 호스트 및 라우터의 유니캐스트 주소에 보내어 단독으로 메시지를 받을 수 있도록 하고, u-NS 메시지 내에 S-플래그(Solicited Flag)를 세팅하여 이에 대한 응답으로 오는 NA 메시지의 S-플래그의 세팅 여부를 확인하여 도착한 NA 메시지가 자신이 요청한 u-NS 메시지에 대한 응답임을 알 수 있도록 한다.Send a u-NS message to the unicast address of the destination host and router to receive the message alone, and set the S-flag (Solicited Flag) in the u-NS message to respond to it. Check whether or not to set so that the received NA message is a response to the u-NS message requested by the user.

이외에도 수신부(230)는 DHCP 서버 또는 DNS 서버에 질의를 통해 IP 주소가 변경된 호스트를 검출한 호스트로부터 상기 IP 주소 변경 통보를 수신할 수 있다. In addition, the receiver 230 may receive the IP address change notification from a host that detects a host whose IP address has been changed through a query to a DHCP server or a DNS server.

상기 서술한 수신부(230)에서의 네트워크 프리픽스 및 IP 주소의 변경 통보 수신 방법은 본 발명의 바람직한 일 실시예로서, 서술한 방법에 제한되어 수신하는 것은 아님을 유의하여야 하며, 상기 서술한 방법과 기술적 사상이 동일하거나 용이하게 치환 가능한 범위는 모두 포함되는 것을 주의하여야 한다. It should be noted that the above-described method for receiving the notification of change of network prefix and IP address in the reception unit 230 is a preferred embodiment of the present invention, and is not limited to the above-described method. It should be noted that all ranges including the same idea or easily substituted are included.

갱신부(240)는 수신부(230)에서 네트워크 프리픽스 변경 통보 및/또는 IP 주소 변경 통보를 수신할 경우, 각각 상기 네트워크 주소 관리부 및 상기 호스트 주소 관리부를 갱신한다. The updater 240 updates the network address manager and the host address manager, respectively, when the receiver 230 receives a network prefix change notification and / or an IP address change notification.

뿐만 아니라, 갱신부(240)는 상기 변경 통보 내용에 따라 각각 상기 네트워크 주소 관리부 및 상기 호스트 주소 관리부에 각각 상기 네트워크 프리픽스 또는 상기 IP 주소를 추가 또는 삭제하고, 상기 네트워크 프리픽스 유효기간 또는 상기 IP 주소 유효기간을 변경한다. In addition, the updater 240 adds or deletes the network prefix or the IP address to the network address manager and the host address manager, respectively, according to the change notification, and the network prefix validity period or the IP address validity, respectively. Change the period.

예를 들어, 수신부(230)가 호스트의 IPv6 주소 변경 통보를 수신한 경우, 해당 호스트의 IPv6 주소가 이미 삭제된 경우에는 IPv6 주소의 유효기간을 0으로 갱신하고, 해당 호스트의 IPv6 주소가 소정의 시간이 경과한 후에 삭제될 경우에는 남은 시간을 IPv6 주소의 유효기간으로 설정한다. For example, when the receiving unit 230 receives the notification of changing the IPv6 address of the host, when the IPv6 address of the host is already deleted, the validity period of the IPv6 address is updated to 0, and the IPv6 address of the host is predetermined. If it is deleted after the elapse of time, set the remaining time as the validity period of the IPv6 address.

그리고 갱신부(240)는 IPv6 주소의 유효기간이 경과된 경우, 해당 IPv6 주소를 네트워크 주소 관리부 및/또는 호스트 주소 관리부에서 삭제한다. When the validity period of the IPv6 address elapses, the updater 240 deletes the IPv6 address from the network address manager and / or the host address manager.

패킷 처리부(250)는 외부망으로부터 내부망으로 패킷 전송시, 상기 네트워크 프리픽스의 유효기간이 경과하지 않은 경우 갱신된 상기 네트워크 주소 관리부를 기초로 패킷을 전송하고, 상기 네트워크 프리픽스의 유효기간이 경과한 경우 패킷 수신을 차단한다. When the packet processing unit 250 transmits the packet from the external network to the internal network, if the validity period of the network prefix has not elapsed, the packet processing unit 250 transmits the packet based on the updated network address management unit, and the validity period of the network prefix has elapsed. If it blocks the packet reception.

또한, 내부망에서 호스트로 패킷 전송시, 상기 IP 주소의 유효기간이 경과하지 않은 경우 갱신된 상기 호스트 주소 관리부를 기초로 패킷을 전송하고, 상기 IP 주소의 유효기간이 경과한 경우 패킷 수신을 차단한다. In addition, when the packet is transmitted from the internal network to the host, the packet is transmitted based on the updated host address manager if the valid period of the IP address has not elapsed, and the packet is blocked if the valid period of the IP address has elapsed. do.

패킷 처리부(250)에서의 패킷은 네트워크 관리자가 임의적으로 설정한 패킷 처리 명령에 따라 처리될 수 있다. The packet in the packet processing unit 250 may be processed according to a packet processing command arbitrarily set by the network administrator.

외부망으로부터 내부망으로 송신되는 패킷을 처리하고자 하는 경우, 예를 들어 , "if (Net_out -> Net_in) then (허용): 사용자 설정명령 1"과 같은 방식으로 패킷 처리부(250)에 네트워크 관리자가 임의적으로 명령을 설정하여, 상기 Net_in의 네트워크 프리픽스의 유효기간이 경과된 경우, 패킷 처리부(250)는 Net_in에서 유효기간이 경과된 네트워크 프리픽스는 더 이상 상기 사용자 설정명령 1에 의한 영향을 받지 않고(이 경우, 다른 사용자 설정 패킷 차단 명령에 의해 영향을 받을 수 있음을 주의하여야 한다). 프리픽스의 유효기간이 경과되지 않은 경우에만 상기 사용자 설정명령 1과 같은 패킷 차단 명령에 의해 패킷을 전송한다. When the packet to be transmitted from the external network to the internal network is to be processed, for example, the network manager may transmit the packet processing unit 250 to the packet processing unit 250 in the same manner as "if (Net_out-> Net_in) then (allow): user setting command 1". By arbitrarily setting a command, when the validity period of the network prefix of Net_in has elapsed, the packet processing unit 250 no longer is affected by the user setting command 1 when the validity period of the Net_in has elapsed ( In this case, note that it may be affected by other user-configured packet blocking commands). Only when the validity period of the prefix has not elapsed, the packet is transmitted by the packet blocking command such as the user setting command 1.

이와 마찬가지로, 외부망에서 호스트로 송신되는 패킷을 처리하고자 하는 경우, 예를 들어, "if (Net_out -> Host 1) then (명령)" 과 같은 방식으로 패킷 처리부(250)에 네트워크 관리자가 임의적으로 명령을 설정하고, 설정한 명령에 해당하는 패킷 처리 방식을 설정할 수 있다. Similarly, when a packet to be transmitted from the external network to the host is to be processed, for example, the network manager may arbitrarily change the packet processing unit 250 in a manner such as "if (Net_out-> Host 1) then (command)". A command can be set and a packet processing method corresponding to the set command can be set.

도 3 은 네트워크 주소 관리부를 도시한다. 3 shows a network address management unit.

네트워크 주소 관리부(300)는 내부망을 구별하는 네트워크 ID(310), 네트워크 프리픽스(320), 네트워크 프리픽스의 유효기간(330)으로 구성된다. The network address manager 300 includes a network ID 310 for distinguishing an internal network, a network prefix 320, and an expiration date 330 of the network prefix.

네트워크 ID(310)는 다른 내부망과 구별하기 위해 각 내부망에 할당된 유일한 번호나 문자열로서, 본 발명에서 패킷 차단 규칙을 적용하는 네트워크 이름으로 사용한다. 이는 네트워크 관리자가 명시적으로 할당하거나, 임의적으로 생성할 수 있다. Network ID 310 is a unique number or string assigned to each internal network to distinguish it from other internal networks. In the present invention, the packet blocking rule is used as a network name. This can be assigned explicitly by the network administrator or created arbitrarily.

각각의 네트워크 ID(310)는 다수 개의 네트워크 프리픽스(320)를 지닐 수 있다. 또한, 개별 네트워크 프리픽스(320) 단위로 패킷 차단 규칙을 설정할 경우에는 네트워크 ID(310)를 이용하지 않고서도, 네트워크 프리픽스(320) 및 네트워크 프리픽스의 유효기간(330)만으로도 네트워크 주소 관리부(300)를 구성 할 수 있다. Each network ID 310 may have a number of network prefixes 320. In addition, when the packet blocking rule is set in units of the individual network prefix 320, the network address management unit 300 may be configured with the network prefix 320 and the validity period 330 of the network prefix 320 without using the network ID 310. Can be configured.

네트워크 프리픽스(320)는 고정 값을 가진 비트를 표시하는 주소의 일부분이 거나 네트워크 IP의 비트 수로서, IPv6의 프리픽스를 포함한다. The network prefix 320 is a portion of an address indicating a bit with a fixed value or the number of bits of a network IP, which includes a prefix of IPv6.

네트워크 프리픽스의 유효기간(330)은 네트워크 프리픽스(320)의 유효기간을 의미하는 것으로서, 각 네트워크 프리픽스(320)는 각각의 네트워크 프리픽스 유효기간을 지니고, 지정된 유효기간이 경과할 경우 네트워크 주소 관리부(300)에서 해당 네트워크 프리픽스(320)를 삭제한다. The validity period 330 of the network prefix refers to the validity period of the network prefix 320, and each network prefix 320 has a respective network prefix validity period, and when the designated validity period has elapsed, the network address management unit 300. Delete the corresponding network prefix (320).

도 4 는 호스트 주소 관리부를 도시한다.4 shows a host address manager.

호스트 주소 관리부(400)는 물리적으로 호스트를 구별하는 고유 식별 ID(410), IP 주소(420), IP 주소의 유효기간(430)으로 구성된다. The host address manager 400 includes a unique identification ID 410 that physically distinguishes a host, an IP address 420, and an expiration date 430 of an IP address.

고유 식별 ID(410)는 하나의 내부망 내에서 내부망에 속한 다른 호스트와 물리적으로 호스트를 구별하기 위해 각 호스트에 할당된 유일한 번호나 문자열로서, 본 발명에서 개별 호스트에 대한 패킷 차단을 적용시 사용한다. 이는 관리자가 명시적으로 할당하거나, 임의적으로 생성할 수 있으며, 또는 호스트 내의 정보(예. MAC 주소, 호스트 이름)를 이용할 수 있다. The unique identification ID 410 is a unique number or string assigned to each host to physically distinguish the host from other hosts in the internal network in one internal network. use. It can be assigned explicitly by the administrator, created arbitrarily, or can use information within the host (eg MAC address, hostname).

IP 주소(420)는 각 고유 식별 ID(410)에서 사용하는 인터넷 프로토콜 주소로서, 하나의 고유 식별 ID(410)는 하나 이상의 IP 주소(420)를 지닐 수 있다.The IP address 420 is an Internet protocol address used by each unique identification ID 410, and one unique identification ID 410 may have one or more IP addresses 420.

IP주소의 유효기간(430)은 각각의 IP 주소(420)는 해당 주소가 앞으로 얼마 동안 유효한지를 나타내고, 지정된 유효기간이 경과하면 해당 IP주소(420)를 호스트 주소 관리부에서 삭제한다. The validity period 430 of the IP address indicates how long each IP address 420 is valid, and when the specified validity period elapses, the corresponding IP address 420 is deleted from the host address management unit.

IPv6 주소가 변경, 추가되는 경우에 대한 바람직한 일 실시예에 대해서는 도 7에서 살펴보기로 한다. A preferred embodiment of the case where the IPv6 address is changed or added will be described with reference to FIG. 7.

도 5 는 네트워크의 프리픽스가 변경될 경우, 패킷 처리 방법을 도시한 흐름도이다. 5 is a flowchart illustrating a packet processing method when a prefix of a network is changed.

프리픽스가 추가, 삭제, 변경된 경우, 프리픽스의 변경을 인지한 호스트 및/또는 라우터는 프리픽스의 추가, 삭제 및 변경을 패킷 차단 장치에 통보한다. 이 때, 프리픽스의 변경을 인지한 호스트 및/또는 라우터는 패킷 차단 장치에 네트워크 프리픽스의 유효기간을 함께 통보한다. When the prefix is added, deleted, or changed, the host and / or router that recognizes the change of the prefix notifies the packet blocking device of the addition, deletion, and change of the prefix. At this time, the host and / or router that has recognized the change of the prefix informs the packet blocking device of the validity period of the network prefix.

호스트 및/또는 라우터로부터 네트워크 프리픽스의 변경을 통보받은 패킷 차단 장치는 통보 내용에 기초하여 갱신부(도2 참고)를 통해 네트워크 주소 관리부(210)를 갱신하고, 갱신된 네트워크 주소관리부에 기초하여 패킷을 처리한다.The packet blocking device notified of the change of the network prefix from the host and / or the router updates the network address management unit 210 through the update unit (see FIG. 2) based on the contents of the notification, and the packet is based on the updated network address management unit. To process.

보다 상세히, 프리픽스의 추가, 삭제 및 변경은 해당 프리픽스가 적용되는 서브넷으로 라우터가 RA(Router Advertisement, 라우터 선언) 메시지를 전달함으로서 호스트가 인지하게 된다. In more detail, the addition, deletion, and change of a prefix is recognized by the host by the router forwarding a Router Advertisement (RA) message to the subnet to which the prefix is applied.

상기 RA 메시지에는 해당 네트워크에서 사용하는 모든 프리픽스 정보가 들어있다. 각각의 프리픽스 정보마다 프리픽스와 유효기간이 들어 있어서 RA 메시지를 받는 호스트는 자신이 속한 네트워크의 모든 프리픽스와 유효기간의 정보를 인지할 수 있다. The RA message contains all prefix information used in the network. Since each prefix information includes a prefix and a validity period, a host receiving an RA message can recognize all prefixes and validity information of its own network.

프리픽스가 추가, 삭제 및 변경되는 경우 라우터는 업데이트할 프리픽스 정보를 RA 메시지에 보내어 호스트로 하여금 자신이 가지고 있는 프리픽스 정보를 비교하여 차이를 인지하도록 유도함으로써 새로 프리픽스 정보를 업데이트할 수 있도록 한다.When prefixes are added, deleted, and changed, the router sends the prefix information to be updated in the RA message so that the host can compare the prefix information it has and recognize the difference so that the prefix information can be updated.

네트워크 프리픽스 주소가 변경, 추가되는 경우에 대한 바람직한 일 실시예에 대해서는 도 8에서 보다 상세히 살펴보기로 한다. A preferred embodiment of the case where the network prefix address is changed or added will be described in more detail with reference to FIG. 8.

도 6 은 호스트의 주소가 변경될 경우, 패킷 처리 방법을 도시한 흐름도이다. 6 is a flowchart illustrating a packet processing method when an address of a host is changed.

본 발명의 바람직한 일 실시예로서, IPv6 네트워크 환경하에서 하나의 호스트는 다수개의 IPv6 주소를 지닐 수 있고, 또한 IPv6 주소는 동적으로 변경이 가능하다. In one preferred embodiment of the present invention, one host may have a plurality of IPv6 addresses in an IPv6 network environment, and an IPv6 address may be dynamically changed.

한 호스트에서 노드의 주소가 변경된 경우를 검출하는 방법으로는, 주변 노드는 주변 노드 검출기법(Neighbor Discovery)에서 사용하는 주소 중복 검사(DAD - Duplicate Address Detection)및 주변 노드 도달 검사(NUD - Neighbor Unreachability Detection)를 통한 방법이 있다. 이 외에도 DHCP 서버나 DNS 서버에 질의(Query)하여 해당 호스트의 주소 리스트를 획득하여 변경 사실을 인지하거나, 주소를 변경할 노드가 직접 자신의 주소가 변경되었음을 패킷 차단 장치로 통보할 수 있다. As a method of detecting a case where a node's address is changed in one host, the peripheral node is configured to perform address duplicate detection (DAD) and neighbor unreachability (NUD), which are used in neighbor discovery (Neighbor Discovery). Detection is available. In addition, you can query the DHCP server or DNS server to obtain the address list of the host to recognize the change, or the node to change the address can directly notify the packet blocking device that its address has changed.

패킷 차단 장치의 수신부(230)는 호스트의 주소 변경 통보를 수신한 후, 갱신부(240)를 통해 호스트 주소 관리부(220)를 갱신하고, 갱신된 호스트 주소 관리부(220)에 기초하여 패킷을 처리한다.After receiving the address change notification of the host, the receiver 230 of the packet blocking apparatus updates the host address manager 220 through the updater 240 and processes the packet based on the updated host address manager 220. do.

도 7 은 IPv6 주소가 변경, 추가되는 바람직한 일 실시예를 도시한다.7 shows an exemplary embodiment in which an IPv6 address is changed and added.

초기 호스트 주소 관리부(400)는 물리적으로 호스트를 구별하는 고유 식별 ID(410)로서 'NODE_ID#1', IP 주소(420)로서 '주소1', IP 주소의 유효기간(430)으 로 '20분'이 할당되어 있다. The initial host address management unit 400 is 'NODE_ID # 1' as a unique identification ID 410 that physically distinguishes the host, 'Address 1' as the IP address 420, and '20 as the validity period 430 of the IP address. Minute 'is allocated.

이 경우, 관리자가 "if(외부망-> NODE_ID#1) then (차단) " 과 같이 임의로 패킷 차단 규칙을 설정하여, 패킷 차단 장치를 동작하는 경우, 호스트 주소 관리부(400)에서 NODE_ID#1에 해당하는 주소는 '주소1'뿐이므로, 패킷의 목적지 주소가 '주소1'인 경우 패킷은 차단된다. In this case, when the administrator arbitrarily sets a packet blocking rule such as "if (external network-> NODE_ID # 1) then (blocking)" to operate the packet blocking device, the host address management unit 400 assigns to NODE_ID # 1. Since the corresponding address is only 'address 1', the packet is blocked when the destination address of the packet is 'address 1'.

그 후, 'NODE_ID#1'에 새로운 IPv6 주소 '주소2' 및 유효기간 "60분"의 새로운 엔트리가 추가되었다. 이와 같이 엔트리가 추가된 경우, 호스트 주소 관리부(400) 내의 NODE_ID#1에 해당하는 주소는 '주소 1' 뿐만 아니라 '주소2' 인 경우도 추가되었으므로, 패킷의 목적지 주소가 '주소 1' 뿐만 아니라 '주소 2'인 경우에도 패킷은 차단된다. After that, a new entry with a new IPv6 address 'Address 2' and a validity period of "60 minutes" was added to 'NODE_ID # 1'. When the entry is added in this way, since the address corresponding to NODE_ID # 1 in the host address management unit 400 is not only 'address 1' but also 'address 2', the destination address of the packet is not only 'address 1'. Even if the address is '2', the packet is blocked.

새로운 IP 주소(420)를 추가한 후 20분이 경과되면, '주소1’의 유효기간 "20분"은 "0"이 되고, ‘주소2’의 유효기간 "60분"은 "40분"이 된다. After 20 minutes have elapsed since adding the new IP address 420, the validity period of "Address 1" is "20 minutes" is "0", and the validity period of "Address 2" is "40 minutes" is "40 minutes". do.

유효기간이 "0"이 된 엔트리의 IPv6주소는 더 이상 사용되지 않으며, 그 후 NODE_ID#1의 IPv6주소는‘주소2’만이 유효한 주소로 사용된다. The IPv6 address of the entry whose validity period is "0" is no longer used. After that, only IPv2 address of NODE_ID # 1 is used as a valid address.

즉, '주소1'의 유효기간은 "0"이 되었으므로, 더 이상 '주소 1' 은 NODE_ID#1에 속하는 주소가 아니다. 따라서, '주소 1'을 목적지로 하는 패킷은 "if(외부망-> NODE_ID#1) then (차단) "이라는 패킷 차단 명령에는 더 이상 영향을 받지 않는다. That is, since the validity period of 'address 1' is '0', 'address 1' is no longer an address belonging to NODE_ID # 1. Therefore, the packet destined for 'address 1' is no longer affected by the packet blocking command "if (external network-> NODE_ID # 1) then (block)".

도 8 은 네트워크 프리픽스 주소가 변경, 추가되는 바람직한 일 실시예를 도시한다. 8 illustrates a preferred embodiment in which a network prefix address is changed and added.

초기 네트워크 주소 관리부(300)는 내부망을 구별하는 네트워크 ID(310)에 'NID#1', 네트워크 프리픽스(320)로 'Prefix1', 네트워크 프리픽스의 유효기간(330)으로 '10분'이 할당되어 있다. 이 경우, 관리자가 "if (외부망 -> NID#1) then (차단) " 이라는 패킷 차단 규칙을 설정하여 패킷 차단 동작을 수행하는 경우, 네트워크 주소 관리부(300)에서 'NID#1'에 해당하는 'Prefix1'을 목적지 주소의프리픽스로 지니는 패킷만 위의 패킷 차단 명령에 의하여 차단된다. The initial network address manager 300 assigns' NID # 1 'to the network ID 310 identifying the internal network,' Prefix1 'as the network prefix 320, and '10 minutes' as the validity period 330 of the network prefix. It is. In this case, when the administrator sets a packet blocking rule of "if (external network-> NID # 1) then (block)" to perform a packet blocking operation, the network address management unit 300 corresponds to 'NID # 1'. Only packets with 'Prefix1' as the prefix of the destination address are blocked by the above packet blocking command.

그 후, 새로운 네트워크 프리픽스 'Prefix2', 유효기간 '40분'의 엔트리가 추가된 경우, 'NID#1'이라는 네트워크 ID 는 'Prefix1'외에 'Prefix 2'라는 네트워크 프리픽스(320)를 더 포함하게 된다. Subsequently, when an entry of a new network prefix 'Prefix2' and a validity period '40 minutes' is added, the network ID 'NID # 1' further includes the network prefix 320 'Prefix 2' in addition to 'Prefix1'. do.

그 결과 목적지 주소의 네트워크 프리픽스를 'Prefix2'로 지는 패킷 역시 상기 패킷 차단 규칙 "if (외부망 -> NID#1) then (차단) "에 의하여 패킷 전송이 차단된다.As a result, a packet whose network prefix of the destination address is 'Prefix2' is also blocked by the packet blocking rule "if (external network-> NID # 1) then (blocking)".

10분이 경과시 초기 네트워크 프리픽스인 'Prefix1'은 유효기간'10분' 은 '0'이 되고, 'Prefix2'의 유효기간 '40분'은 '30분'이 된다. After 10 minutes, the initial network prefix 'Prefix1' has a validity period of '10 minutes' and '0' and the validity period of 'Prefix2' '40 minutes' becomes '30 minutes'.

유효기간이 '0'이 된 엔트리의 네트워크 프리픽스는 더 이상 사용되지 않으며, 그 후 NID#1의 프리픽스 주소는 'Prefix2'만이 유효한 주소로 사용된다. The network prefix of entries whose validity period is '0' is no longer used. After that, only the prefix address of NID # 1 is 'Prefix2'.

따라서, 이제 더 이상 'Prefix 1'은 'NID#1'이라는 네트워크 ID에 속한 네트워크 프리픽스가 아니므로, 목적지 주소의 네트워크 프리픽스가 'Prefix1'인 패킷은 더 이상 "if (외부망 -> NID#1) then (차단) "이라는 명령에 영향을 받지 않는다.Therefore, since 'Prefix 1' is no longer a network prefix belonging to the network ID of 'NID # 1', packets with a network prefix of 'Prefix1' of the destination address are no longer "if (external-> NID # 1). ) is not affected by the then "block" command.

본 발명에서는 차세대 인터넷 프로토콜 네트워크 환경하에서도 네트워크 관리자가 의도하는 호스트 및 내부망에서 패킷을 차단할 수 있다.  In the present invention, even in a next-generation Internet protocol network environment, a packet may be blocked in a host and an internal network intended by a network administrator.

또한, 본 발명에 따른 패킷 차단 장치 및 방법에 따를 경우 차세대 인터넷 프로토콜 네트워크 환경에서 내부망의 노드의 주소 변경, 노드 상태 변경, 주소 프리픽스 변경 상황이 되어도 네트워크 관리자가 원래 의도한 대로 패킷 차단과 같은 패킷 처리가 가능하다. 즉 노드의 주소가 변경되더라도 주소 변경을 추적하여 반영함으로써, 지속적으로 통제할 수 있는 효과가 발생한다. In addition, according to the packet blocking apparatus and method according to the present invention, even if the address change, node state change, or address prefix change of a node of an internal network in a next-generation Internet protocol network environment, a packet such as packet blocking as originally intended by the network administrator Processing is possible. In other words, even if the address of the node changes, by tracking and reflecting the address change, the effect that can be continuously controlled occurs.

뿐만 아니라, 네트워크 프리픽스가 변경되는 경우도 반영하여, 호스트의 IP 주소가 변경되는 경우와 마찬가지로, 지속적인 패킷 처리가 가능한 효과가 발생하고 그에 따라 차세대 인터넷 프로토콜 네트워크 환경하의 동적 변경 상황에서도 유연한 대처가 가능하다.In addition, it reflects the case where the network prefix is changed, and as with the case where the host's IP address is changed, the effect of continuous packet processing is generated, and thus, it is possible to flexibly cope with dynamic changes under the next generation Internet protocol network environment. .

Claims (12)

내부망을 구별하는 네트워크 ID, 네트워크 프리픽스, 네트워크 프리픽스의 유효기간을 포함하는 네트워크 주소 관리부;A network address management unit including a network ID for identifying an internal network, a network prefix, and a validity period of the network prefix; 물리적으로 호스트를 구별하는 고유 식별 ID, IP 주소, IP 주소의 유효기간을 포함하는 호스트 주소 관리부; A host address management unit including a unique identification ID, an IP address, and an expiration date of the IP address that physically identify the host; 상기 네트워크 프리픽스의 변경 통보 또는 상기 IP 주소의 변경 통보를 수신하는 수신부;A receiver configured to receive a change notification of the network prefix or a change notification of the IP address; 상기 수신부에서 상기 네트워크 프리픽스 변경 통보 또는 상기 IP 주소 변경 통보를 수신할 경우, 각각 상기 네트워크 주소 관리부 및 상기 호스트 주소 관리부를 갱신하는 주소 갱신부;및An address update unit for updating the network address manager and the host address manager, respectively, when the receiver receives the network prefix change notification or the IP address change notification; and 외부망으로부터 내부망으로 패킷 전송시, 임의의 패킷의 차단 여부를 설정한 패킷 차단 규칙을 상기 네트워크 프리픽스의 유효기간 동안 상기 네트워크 ID 및 상기 네트워크 프리픽스를 기초로 적용하고, 내부망에서 호스트로 패킷 전송시, 상기 패킷 차단 규칙을 상기 IP 주소의 유효기간 동안 상기 고유 식별 ID 및 상기 IP 주소를 기초로 적용하는 패킷 처리부;를 포함하는 것을 특징으로 하는 패킷 차단 장치.When transmitting a packet from an external network to an internal network, apply a packet blocking rule that sets whether to block an arbitrary packet based on the network ID and the network prefix during the validity period of the network prefix, and transmits the packet from the internal network to the host. And a packet processing unit which applies the packet blocking rule based on the unique identification ID and the IP address during the validity period of the IP address. 제 1 항에 있어서, 상기 수신부는The method of claim 1, wherein the receiving unit 상기 네트워크 프리픽스 및 상기 IP 주소의 변경 통보를 상기 네트워크 프리 픽스 또는 상기 IP 주소를 변경한 호스트로부터 수신하는 것을 특징으로 하는 패킷 차단 장치.And a notification of the change of the network prefix and the IP address from the network prefix or the host which changed the IP address. 제 1 항에 있어서, 상기 수신부는 The method of claim 1, wherein the receiving unit 네트워크 내에 동일한 IP주소를 지닌 호스트의 존재 여부를 확인하는 주변 노드 검출 기법(Neighbor Discovery)에 의해 IP 주소가 변경된 호스트를 검출한 호스트로부터 상기 IP 주소 변경 통보를 수신하는 것을 특징으로 하는 패킷 차단 장치.And receiving the IP address change notification from a host that detects a host whose IP address has been changed by neighbor discovery (Neighbor Discovery) for checking whether a host having the same IP address exists in a network. 제 3 항에 있어서, The method of claim 3, wherein 상기 주변 노드 검출 기법은 네트워크 내에 생성된 호스트의 주소와 동일한 주소가 존재하는지 여부를 확인하는 주소 중복 검사(DAD) 및 이전 라우터에 도달 여부를 확인하는 주변 노드 도달 검사(NUD)를 포함하는 것을 특징으로 하는 패킷 차단 장치.The peripheral node detection scheme includes an address duplication check (DAD) for checking whether an address identical to the address of a host generated in the network exists and a neighbor node arrival check (NUD) for checking whether a previous router has been reached. Packet blocking device. 제 1 항에 있어서, 상기 수신부는 The method of claim 1, wherein the receiving unit DHCP 서버 또는 DNS 서버에 질의를 통해 IP 주소가 변경된 호스트를 검출한 호스트로부터 상기 IP 주소 변경 통보를 수신하는 것을 특징으로 하는 패킷 차단 장치. And receiving the IP address change notification from a host that detects a host whose IP address has been changed by querying a DHCP server or a DNS server. 제 1 항에 있어서, 상기 주소 갱신부는 The method of claim 1, wherein the address update unit 상기 수신부에서 상기 네트워크 프리픽스 변경 통보 또는 상기 IP 주소 변경 통보를 수신할 경우, 상기 변경 통보 내용에 따라 각각 상기 네트워크 주소 관리부 및 상기 호스트 주소 관리부에 각각 상기 네트워크 프리픽스 또는 상기 IP 주소를 추가 또는 삭제하고, 상기 네트워크 프리픽스 유효기간 또는 상기 IP 주소 유효기간을 변경하는 것을 특징으로 하는 패킷 차단 장치.When the receiving unit receives the network prefix change notification or the IP address change notification, respectively, the network prefix or the IP address is added or deleted according to the change notification contents, respectively, And the network prefix validity period or the IP address validity period. 네트워크 프리픽스의 변경 통보 또는 상기 IP 주소의 변경 통보를 수신하는 단계;Receiving a change notification of a network prefix or a change notification of the IP address; 상기 수신한 네트워크 프리픽스 변경 통보를 기초로 내부망을 구별하는 네트워크 ID, 네트워크 프리픽스, 네트워크 프리픽스의 유효기간을 갱신하고, 상기 수신한 IP 주소의 변경 통보를 기초로 물리적으로 호스트를 구별하는 고유 식별 ID, IP 주소, IP 주소의 유효기간을 갱신하는 단계;A unique identification ID for updating a validity period of a network ID, a network prefix, and a network prefix for distinguishing an internal network based on the received network prefix change notification, and for physically distinguishing a host based on the received notification of the change of the IP address. Updating the validity period of the IP address, the IP address; 외부망으로부터 내부망으로 패킷 전송시, 임의의 패킷의 차단 여부를 설정한 패킷 차단 규칙을 상기 네트워크 프리픽스의 유효기간 동안 상기 네트워크 ID 및 상기 네트워크 프리픽스를 기초로 적용하는 단계; 및Applying a packet blocking rule that sets whether to block an arbitrary packet based on the network ID and the network prefix during the validity period of the network prefix when transmitting a packet from an external network to an internal network; And 내부망에서 호스트로 패킷 전송시, 상기 패킷 차단 규칙을 상기 IP 주소의 유효기간 동안 상기 고유 식별 ID 및 상기 IP 주소를 기초로 적용하는 단계;를 포함하는 것을 특징으로 하는 패킷 차단 방법.Applying the packet blocking rule based on the unique identification ID and the IP address during the validity period of the IP address when transmitting a packet from an internal network to a host. 제 7 항에 있어서, 상기 수신 단계는8. The method of claim 7, wherein the receiving step 상기 네트워크 프리픽스 및 상기 IP 주소의 변경 통보를 상기 네트워크 프리픽스 또는 상기 IP 주소를 변경한 호스트로부터 수신하는 것을 특징으로 하는 패킷 차단 방법.And receiving a notification of a change in the network prefix and the IP address from the host having changed the network prefix or the IP address. 제 7 항에 있어서, 상기 수신단계는The method of claim 7, wherein the receiving step 네트워크 내에 동일한 IP주소를 지닌 호스트의 존재 여부를 확인하는 주변 노드 검출 기법에 의해 IP 주소가 변경된 호스트를 검출한 호스트로부터 상기 IP 주소 변경 통보를 수신하는 것을 특징으로 하는 패킷 차단 방법.And receiving the IP address change notification from a host that detects a host whose IP address has been changed by a peripheral node detection technique for checking whether a host having the same IP address exists in a network. 제 9 항에 있어서, The method of claim 9, 상기 주변 노드 검출 기법은 네트워크 내에 생성된 호스트의 주소와 동일한 주소가 존재하는지 여부를 확인하는 주소 중복 검사(DAD) 및 이전 라우터에 도달 여부를 확인하는 주변 노드 도달 검사(NUD)를 포함하는 것을 특징으로 하는 패킷 차단 방법.The peripheral node detection scheme includes an address duplication check (DAD) for checking whether an address identical to the address of a host generated in the network exists and a neighbor node arrival check (NUD) for checking whether a previous router has been reached. Packet blocking method. 제 7 항에 있어서, 상기 수신단계는 The method of claim 7, wherein the receiving step DHCP 서버 또는 DNS 서버에 질의를 통해 IP 주소가 변경된 호스트를 검출한 호스트로부터 상기 IP 주소 변경 통보를 수신하는 것을 특징으로 하는 패킷 차단 방법.And receiving the IP address change notification from a host that detects a host whose IP address has been changed by querying a DHCP server or a DNS server. 제 7 항에 있어서, 상기 주소 갱신단계는 8. The method of claim 7, wherein the address update step is 상기 네트워크 프리픽스 변경 통보 또는 상기 IP 주소 변경 통보를 수신할 경우, 상기 변경 통보 내용에 따라 각각 상기 네트워크 프리픽스 또는 상기 IP 주소를 추가 또는 삭제하고, 상기 네트워크 프리픽스 유효기간 또는 상기 IP 주소 유효기간을 변경하는 것을 특징으로 하는 패킷 차단 방법.When the network prefix change notification or the IP address change notification is received, the network prefix or the IP address is added or deleted according to the change notification contents, and the network prefix validity period or the IP address validity period is changed. Packet blocking method characterized in that.
KR1020050080628A 2005-08-31 2005-08-31 Apparatus and method for packet filtering KR100753815B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020050080628A KR100753815B1 (en) 2005-08-31 2005-08-31 Apparatus and method for packet filtering

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020050080628A KR100753815B1 (en) 2005-08-31 2005-08-31 Apparatus and method for packet filtering

Publications (2)

Publication Number Publication Date
KR20070024957A true KR20070024957A (en) 2007-03-08
KR100753815B1 KR100753815B1 (en) 2007-08-31

Family

ID=38099278

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050080628A KR100753815B1 (en) 2005-08-31 2005-08-31 Apparatus and method for packet filtering

Country Status (1)

Country Link
KR (1) KR100753815B1 (en)

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0787122A (en) * 1993-09-13 1995-03-31 Nissin Electric Co Ltd Router-type inter-network connecting device
JP2000295269A (en) 1999-04-07 2000-10-20 Hitachi Commun Syst Inc Method for access restriction to external network and router
US6496935B1 (en) * 2000-03-02 2002-12-17 Check Point Software Technologies Ltd System, device and method for rapid packet filtering and processing
ES2236222T3 (en) * 2000-05-05 2005-07-16 Nomadix, Inc. DEVICE FOR SUPERVISION OF THE USE OF A NETWORK AND ASSOCIATED PROCEDURE.
KR100527794B1 (en) * 2002-02-26 2005-11-09 (주)넷피아닷컴 system for interceptting an acces of a network and method thereof
US7167922B2 (en) * 2002-10-18 2007-01-23 Nokia Corporation Method and apparatus for providing automatic ingress filtering

Also Published As

Publication number Publication date
KR100753815B1 (en) 2007-08-31

Similar Documents

Publication Publication Date Title
KR100477653B1 (en) Apparatus and method for searching DNS server on outer net
US7649866B2 (en) Method of subnet roaming within a network
KR100908320B1 (en) Method for protecting and searching host in internet protocol version 6 network
KR100484145B1 (en) Apparatus and method for automatically allocating virtual address to duplicate addressed nodes
WO2010072096A1 (en) Method and broadband access device for improving the security of neighbor discovery in ipv6 environment
Thaler Evolution of the IP Model
JP5241957B2 (en) Method and apparatus for connecting a subscriber unit to an aggregation network supporting IPv6
KR100753815B1 (en) Apparatus and method for packet filtering
Cisco Configuring IP
Cisco Configuring IP
Cisco Configuring IP
Cisco Configuring IP
Cisco Configuring IP
Cisco Configuring IP
Cisco Configuring IP
Cisco Configuring IP
Cisco Configuring IP
Cisco Configuring IP
Cisco Configuring IP
Cisco Configuring IP
Cisco Configuring IP
Cisco Configuring IP
Cisco Configuring IP
Cisco Configuring IP
Cisco Configuring IP

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20120730

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20130729

Year of fee payment: 7

LAPS Lapse due to unpaid annual fee