KR20070064427A - 네트워크에서 데이터 패킷을 동적으로 필터링하기 위한방법 및 시스템 - Google Patents

네트워크에서 데이터 패킷을 동적으로 필터링하기 위한방법 및 시스템 Download PDF

Info

Publication number
KR20070064427A
KR20070064427A KR1020077005871A KR20077005871A KR20070064427A KR 20070064427 A KR20070064427 A KR 20070064427A KR 1020077005871 A KR1020077005871 A KR 1020077005871A KR 20077005871 A KR20077005871 A KR 20077005871A KR 20070064427 A KR20070064427 A KR 20070064427A
Authority
KR
South Korea
Prior art keywords
network
filtering
network node
server
access gateway
Prior art date
Application number
KR1020077005871A
Other languages
English (en)
Inventor
마이클 보렐라
Original Assignee
유티스타컴, 인코포레이티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 유티스타컴, 인코포레이티드 filed Critical 유티스타컴, 인코포레이티드
Publication of KR20070064427A publication Critical patent/KR20070064427A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 통신 네트워크의 액세스 게이트웨이에서 데이터 패킷을 동적으로 필터링하기 위한 방법 및 시스템을 제공한다. 본 방법에 따르면, 정책 서버는 네트워크 노드로부터 네트워크 등록 요청을 수신한다. 서버는 네트워크 노드의 아이덴티티를 검증하고 그 네트워크에 대한 대응하는 보안 정책을 선택한다. 선택된 보안 정책은 서버에 의해 네트워크 액세스 게이트웨이로 표시된다. 네트워크 액세스 게이트웨이는 이 표시된 보안 정책을 선택한다. 선택된 보안 정책은 네트워크 노드와 네트워크 간의 통신에 적용된다.
네트워크 액세스 게이트웨이, 데이터 패킷, 동적 필터링

Description

네트워크에서 데이터 패킷을 동적으로 필터링하기 위한 방법 및 시스템{DYNAMIC FIREWALL CAPABILITIES FOR WIRELESS ACCESS GATEWAYS}
본 발명은 무선 및 유선 액세스 게이트웨이에서 네트워크 보안을 제공하기 위한 동적 필터링 기능에 관한 것이다. 특히, 본 발명은 CDMA2000 무선 네트워크의 패킷 데이터 서빙 노드(Packet Data Serving Nodes:PDSNs)와 홈 에이전트(home agents:HAs) 상의 동적 방화벽에 관한 것이다.
인터넷 상에서 정보 교환을 행할 때, 이 정보 교환이 행해지는 네트워크에 대한 보안 위험성이 내포되는데, 그 이유는 외부인이 이 네트워크에 액세스하는 것이 허용되기 때문이다. 불법 사용자들이 데이터를 변경할 수 있고, 데이터로의 인가되지 않는 액세스를 획득할 수 있고, 데이터를 파괴할 수 있고, 또는 인가되지 않은 채 네트워크 자원을 사용할 수 있다.
이들 보안 쟁점들은 이러한 네트워크 및 관련 자원들의 보안을 보장하는 보호책의 구현을 필요로 한다. 네트워크로의 바람직하지 못한 액세스 또는 불법 액세스를 제어하는 데 가장 일반적으로 사용되는 기술로는 방화벽 기술이 있다. 방화벽은 특정 하드웨어 상에 구현된 관련 프로그램들의 집합이다. 네트워크에서, 하드웨어는 일반적으로 네트워크 게이트웨이 서버이다. 네트워크 게이트웨이 서버 는 또 다른 네트워크로의 출입구의 기능을 하는 지점(point)이다. 게이트웨이는 종종 라우터 또는 교환기와 관련된다. 라우터는 게이트웨이에 도착하는 데이터 패킷의 목적지를 알고 있다. 방화벽은 라우터 프로그램과 긴밀하게 동작하여 네트워크로 네트워크 패킷을 전송하는 것과 네트워크로부터 네트워크 패킷을 수신하는 것을 허용하거나 또는 거부하는 규칙-기반 프로파일을 제공한다. 개방형 시스템간 상호 접속(Open System Interconnection:OSI) 네트워크 모델에 대해, 일반적으로 이 규칙-기반 프로파일은 패킷의 계층 2 내지 계층 7 정보에 기반하여 통신 세션을 거부하거나 또는 허용한다. 예를 들면, 특정 방화벽 규칙은 아래와 같을 수 있다.
If (interface == eth0 && ip.src == 149.112.164.0/24 && tcp.dst == 22)
allow;
Else deny;
상기 규칙에서는, 소스 IP 어드레스가 149.112.164.0 내지 149.112.164.255 범위에 있는, 이더넷 인터페이스 0으로부터의 패킷이 포트 22에서 서비스를 사용하는 것을 허용하지만, 그 밖의 다른 모든 트랙잭션은 거부한다. 또한, 방화벽 규칙은 고정될 수도 있고 동적일 수도 있다. 상기 주어진 예에서는, 규칙은 고정된 것이다.
스테이트풀 방화벽(stateful firewalls)이라 또한 지칭되는 동적 방화벽은 두 네트워크 간의 통신 상태를 모니터링한다. 통신 상태에 관한 정보는 상태 테이블이라고 하는 테이블에 저장된다. 통신하는 호스트에 의해 사용되는 프로토콜에 따라 달라지는 각종 유형의 정보가 상태 테이블에 저장될 수 있다. 예를 들면, 상 태 테이블은 소스 및 목적지 IP 어드레스, 소스 및 목적지 포트, 프로토콜, 플래그, 시퀀스, 수신 확인 넘버, 애플리케이션 유형, 애플리케이션 데이터 등에 대한 정보를 포함할 수 있다. 특정 상태와 그 상태에 대해 설정된 대응하는 보안 정책에 기초하여, 방화벽은 패킷이 허용되어야 하는지 또는 거부되어야 하는지의 여부를 판정한다.
예를 들면, 방화벽은, 방화벽에 의해 보호되고 있는 호스트의 모든 TCP(Transmission Control Protocol:TCP) 포트를 차단할 수 있다. 보호되는 호스트가 인터넷 상에서 서버로의 TCP 세션을 확립할 때마다, 동적 방화벽은 그 세션이 확립되어 있다는 것을 기억할 것이다. 따라서, 세션이 살아있기만 하면, 동적 방화벽은 적절한 포트 번호를 지니는 서버로부터의 TCP 패킷들이 통과하는 것을 허용할 것이다. 또 다른 예에서, 사설망의 클라이언트가 서버로 아웃바운드 접속을 확립하면, 방화벽은 소스와 목적지의 IP 어드레스 및 포트 번호를 상태 테이블에 저장할 것이다. 방화벽은 또한 상태 테이블에 다른 유형의 정보를 입력할 수 있다. 방화벽이 서버의 응답을 수신할 때, 방화벽은 상태 테이블을 체크하여 그 서버로의 임의의 아웃바운드 요청이 행해졌었는지를 살펴 본다. 대응하는 엔트리가 상태 테이블에 존재하면, 방화벽은 아웃바운드 요청을 했던 내부 네트워크 클라이언트에게 그 응답을 전달한다.
네트워크의 액세스 게이트웨이에 구현된 방화벽, 더욱 구체적으로는 동적 방화벽은 중요하다. 그 이유는, 방화벽의 도움이 있으면, 액세스 게이트웨이가, 목적으로 하는 사용자가 아닌 또 다른 사용자 또는 임의의 어떤 곳으로 네트워크 사 용자의 트래픽이 라우팅되는 것을 방지할 수 있기 때문이다. 또한, 방화벽은 소정 유형의 네트워크 프로브(probes) 및 공격을 방지하는 기능을 지니고 있다. 방화벽 또는 유사한 기능이 없다면, 네트워크 요소는 인터넷상의 악의 있는 호스트들로부터의 공격에 노출된다. 이것은, 컴퓨터 바이러스, 트로이의 목마 및 그 밖의 다른 유형의 이기적인 이용을 확산시키는 공격을 포함한다. 또한, 인터넷 접속성이 제한되지 않음으로 인해, 쓸모없는 계산을 하는 데에 네트워크 및 네트워크 요소의 컴퓨팅 자원을 이용하는 서비스 거부(denial-of-service:DoS) 공격에 네트워크 요소가 노출되어, 단말기 사용자는 원하는 애플리케이션을 수행하지 못한다.
무선 네트워크는 특히 포트 검색(scan)과 IP 어드레스 범위 검색에 취약하다. 이러한 공격들로 인해 고가의 무선 네트워크 자원들이 불필요하게 이용된다. 방화벽은 네트워크 서비스 제공자로 하여금 개개의 사용자들이 액세스하는 애플리케이션과 서비스를 제어하게 하여, 이러한 공격을 방지한다. 또한, 일부 사용자들은 특정 애플리케이션 서버에 액세스하도록 허용되는 반면, 다른 사용자들은 방화벽에 의해 이들 서비스에 액세스하는 것이 차단될 수 있다.
CDMA2000 무선 네트워크에서, 방화벽은 패킷 데이터 서빙 노드(PDSN)와 홈 에이전트(HA)와 같은 액세스 노드에서 구현될 수 있다. 방화벽은 이들 액세스 게이트웨이를 통해 전달된 데이터 패킷에 대해 필터링 동작을 수행한다. 필터링은 방화벽을 이용하여 네트워크를 통해 전달된 데이터 패킷을 선별하여(screen), 그 데이터 패킷이 네트워크에 진입하거나 또는 네트워크를 떠나는 것을 허용하거나 또는 거부하는 것을 지칭한다.
CDMA2000에서, PDSN은 이동국에 인터넷, 인트라넷 및 애플리케이션 서버로의 액세스를 제공한다. 대략적으로 말하면, PDSN은 이동국에 IP 네트워크로의 게이트웨이를 제공한다. CDMA2000 HA는 모바일 노드의 홈 네트워크상의 라우터이다. HA는 모바일 노드의 현재의 위치에 관한 정보를 유지한다. HA는, 모바일 노드가 다른 위치로부터 접속할 때마다 모바일 노드의 IP 어드레스가 변경될 필요가 없는 방식으로 터널링 메커니즘을 이용하여 인터넷을 통해 모바일 노드로 또는 모바일 노드로부터 데이터를 향하게 한다. 터널링에서, 사설망에 대해 의도된 데이터의 전송은, 공용망에서의 라우터가 그 전송이 사설망의 일부라는 것을 모르는 방식으로 공용망을 통해 이루어진다.
그러나, 필터링 동작을 선택적으로 수행하기 위한 방안은 제공되어 있지 않다. 그러므로, 특정 유형의 데이터 패킷에 대한 필터링이 네트워크의 단 하나의 위치에서만 수행되는 방식으로 데이터 패킷을 필터링하기 위한 방법 및 시스템이 요구된다.
본 발명의 목적은 특정 필터가 통신 네트워크의 단 하나의 컴포넌트에만 적용되는 통신 네트워크에서의 데이터 패킷의 동적 필터링을 위한 사용자 기반 필터링 메커니즘을 제공하는 것이다.
본 발명의 또 다른 목적은 네트워크 노드가 역 터널링(reverse tunneling)으로 모바일 인터넷 프로토콜을 통해 통신하고 있고, 액세스 게이트웨이는 그 네트워크 노드에 대응하는 홈 네트워크의 홈 에이전트인 경우, 액세스 게이트웨이에서 그 네트워크 노드와 관련된 데이터 패킷을 필터링하기 위한 필터링 메커니즘을 제공하는 것이다.
본 발명의 또 다른 목적은 네트워크 노드가 단순 인터넷 프로토콜을 통해, 또는 역 터널링 없이 모바일 인터넷 프로토콜을 통해 통신하고 있고, 액세스 게이트웨이가 네트워크 노드에 대응하는 홈 네트워크 외의 네트워크의 패킷 데이터 서빙 노드인 경우, 액세스 게이트웨이에서 그 네트워크 노드와 관련된 데이터 패킷을 필터링하기 위한 필터링 메커니즘을 제공하는 것이다.
본 발명의 또 다른 목적은 네트워크 노드에 대해 적절한 보안 정책을 나타내는 서버가, 목적을 위해 구성된 로컬 정책 서버이거나, 또는 적절한 보안 정책을 나타내기 위해 구성된, 인증, 인가 및 과금 서버(Athentication, Authorization and Accounting:AAA) 둘 중 하나이거나 또는 둘 모두일 경우, 액세스 게이트웨이에서 데이터 패킷을 동적으로 필터링하기 위한 필터링 메커니즘을 제공하는 것이다.
이들 목적들을 달성하기 위해, 본 발명은 네트워크에서 데이터 패킷을 동적으로 필터링하기 위한 시스템 및 방법을 제공한다. 이 방법은 네트워크로의 액세스를 위한 네트워크 노드로부터의 등록 요청을 수신하는 단계, 등록 요청에 응답하는 단계 및 액세스 게이트웨이에서 네트워크 노드와 관련된 데이터 패킷을 필터링하는 단계를 포함한다. 등록 요청은 다른 매개변수들 중에서도, 네트워크 노드의 위치를 나타내는 식별자를 포함하며, 액세스 게이트웨이는 식별자에 의해 표시된 네트워크 노드의 위치에 기초하여 선택된다.
도 1은 본 발명의 시스템에 따른 실시예가 구현된 예시적인 인터네트워킹 환경을 도시하는 도면.
도 2는 본 발명의 실시예에 따른 필터링 프로세스의 흐름도.
본 발명의 각종 실시예는 이하에서 본 발명을 도시하고 제한하지 않기 위해 제공된 첨부 도면과 함께 설명될 것이며, 동일한 지정번호는 동일한 구성 요소를 나타낸다.
본 발명은 네트워크 서비스 제공자와 사용자에게 네트워크 액세스 게이트웨이에서 사용되는 동적 필터링 메커니즘을 제공한다. 본 발명의 필터링 메커니즘은 종래의 동적 방화벽을 보완한 것이다.
코드 분할 다중 액세스(Code Division Multiple Access:CDMA) 게이트웨이, GPRS/UMTS(General Packet Radio Service/Universal Mobile Telecommunications System) 게이트웨이, 게이트웨이 GPRS 지원 노드(Gateway GPRS Support Nodes:GGSNs) 및 802.11 로밍 게이트웨이와 같은 여러 유형의 무선 또는 유선 액세스 게이트웨이들이 본 발명에 의해 지원될 수 있다.
도 1은 본 발명의 시스템에 따른 실시예가 구현되어 있는 인터네트워킹 환경을 도시한다. 본 발명의 시스템의 동적 방화벽이 네트워크 액세스 게이트웨이(102)에 내장되어 있다. 본 발명의 실시예에 따르면, 패킷 데이터 서빙 노드(PDSN) 또는 홈 에이전트(HA)는 CDMA2000 무선 액세스 네트워크(Radio Access Network:RAN)과 인터넷 프로토콜(Internet Protocol:IP) 기반 네트워크 간의 액세 스 게이트웨이로서 기능한다. 그러나, 본 발명의 시스템은 PDSN 또는 HA에 제한되지 않으며, 임의의 다른 유형의 네트워크용 액세스 게이트웨이에도 적용가능하다. 장치들 또는 애플리케이션들이 인증, 인가 및 과금(AAA) 서버(104)와 통신하는 표준은 원격 인증 다이얼-인 사용자 서비스(Remote Authentication Dial-In User Service:RADIUS)이다. 그러나, 통신 표준으로서 RADIUS를 사용하는 것이 본 발명의 영역 및 취지를 제한하는 것으로 간주되어서는 안 된다. Diameter와 같은 다른 표준들 또는 임의의 다른 적합한 표준이 또한 사용될 수 있다.
네트워크 액세스 게이트웨이(102)는 네트워크 사용자에 대응하는 보안 정보를 교환하기 위해 AAA 서버(104)와 통신한다. 네트워크 사용자는 네트워크 요소(106)일 수 있다. 네트워크 요소(106)는 임의의 통신용 네트워크 장치일 수 있다. 예를 들면, 네트워크 요소(106)는 데스크톱 컴퓨터, 모바일 전화, 랩톱, PDA 등일 수 있다. 네트워크 요소(106)는 네트워크 액세스 게이트웨이(102)에 신호를 전송함으로써 CDMA2000 네트워크에 등록한다.
이어서 네트워크 액세스 게이트웨이(102)는 네트워크 요소(106)의 등록에 관련된 정보를 AAA 서버(104)에 전달한다. AAA 서버(104)에 내장된 서버 프로그램은, 네트워크 액세스 게이트웨이(102)에 의해 전송된, 네트워크 요소(106)의 등록과 액세스 요청에 관한 정보를 관리한다. AAA 서버(104)는 본 발명의 CDMA2000 네트워크에 등록된 모든 네트워크 요소에 인증, 인가 및 과금 서비스를 제공한다.
도 1을 참조해보면, 본 발명의 네트워크 액세스 게이트웨이(102)에는 각종 방화벽 정책 집합들이 제공되어 있다. 이들 방화벽 정책 집합들은 또한 규칙기 반(rulebase)이라 지칭될 수 있다. 이 방화벽 규칙기반은 네트워크의 보안 정책을 기술적으로 구현한 것이다. 적합한 권한을 지닌 개개인이 보안 정책을 결정할 수 있다. 보안 정책은 특정 소스 IP 어드레스 범위만을 지니는 이더넷 인터페이스 '0'으로부터의 인입 데이터 패킷만을 허용하거나, 선택된 사이트로의 액세스를 거부하는 것과 같은 규칙들, 또는 임의의 다른 규칙으로 구성될 수 있다. 본 발명의 방화벽은 기술적 요건을 결정하고 이 규칙들을 구현한다. 기술적 요건과 구현은 네트워크 액세스 게이트웨이(102)에 내장되어 있는 컴퓨터 프로그램의 형태로 명기된다.
네트워크 요소(106)가 CDMA2000에 등록할 때, 그 요청이 네트워크 액세스 게이트웨이(102)로 전송된다. 네트워크 액세스 게이트웨이(102)는 PDSN 및/또는 HA일 수 있다. 본 발명의 실시예에서, AAA 서버(104)는, 적절할 때, 일부 규칙을 PDSN에 적용시키고 다른 규칙을 HA에 적용시켜, 패킷이 이들 요소들을 선회할(traverse) 때 동일한 규칙이 동일한 패킷에 두 번 적용되지 않게 한다.
또 다른 실시예에서, 네트워크 액세스 게이트웨이(102)는, 네트워크 요소(106)가 자신의 홈 네트워크가 아닌 다른 네트워크에 위치하는 경우 PDSN이다. 홈 네트워크란 모바일 장치가 자신의 영구 IP 어드레스를 지니는 네트워크를 말한다. 홈 네트워크 외의 네트워크는 외부 네트워크(foreign network)라 지칭될 수 있다. 모바일 장치(이 경우에서는 네트워크 요소(106))는 외부 네트워크를 방문할 때마다 일시적인 이동처 네트워크상의 주소(care-of address)를 획득한다. 이 이동처 네트워크상의 주소는 네트워크 요소(106)가 자신의 홈 네트워크에 있지 않은 경우 네트워크 요소(106)의 위치 결정을 허용한다. PDSN은 단순 IP 및 모바일 IP 액세스, 외부 에이전트 지원 및 패킷 전송을 가상 사설망(virtual private networking:VPN)에 제공한다. 그러나, 네트워크 요소(106)가 자신의 홈 네트워크에 존재하는 경우, 네트워크 액세스 게이트웨이(102)는 HA이다. 이 HA는 본 기술분야에 공지된 바와 같이, 네트워크 요소(106)의 홈 네트워크상의 라우터이다. HA는 네트워크 요소(106)의 이동처 네트워크상의 주소에 식별된 네트워크 요소(106)의 위치에 관한 정보를 유지하고, 터널링 메커니즘을 이용하여 네트워크 요소(106)가 외부 네트워크에 있을 때 네트워크 트래픽을 네트워크 요소(106)에 전달한다.
네트워크 요소(106)로부터 등록 요청을 수신하면, 네트워크 액세스 게이트웨이(102)는 네트워크 액세스 요청이 수신되었다는 것을 AAA 서버(104)에 알린다. 등록 요청의 내용은 네트워크 요소(106)를 식별하기 위한 식별자를 포함한다. 또한, 식별자는, 다른 정보들 중에서도, 네트워크 요소(106)의 위치에 대한 상세사항을 포함한다. 네크워크 요소(106)의 위치는 네트워크 요소(106)가 홈 네트워크에 있는지 또는 외부 네트워크에 있는지를 나타낸다.
네트워크 액세스 게이트웨이(102)로부터 액세스 요청을 수신한 후, AAA 서버(104)는 네트워크 요소(106)에 대한 액세스-응답으로 응답한다. AAA 서버(104)는, 컴퓨터 자원으로의 지능적 액세스 제어, 적절한 보안 정책의 시행, 네트워크 자원 사용에 대한 감사 및 네트워크 사용자에 의해 사용된 서비스의 빌링에 필요한 정보 기록을 위한 프레임워크를 제공한다. AAA 서버(104)가 적절한 보안 정책의 시행을 제공하기 때문에, AAA 서버(104)로부터의 액세스-응답은 다른 매개변수들 중에서도, 적용될 방화벽 정책의 표시를 포함할 수 있다. AAA 서버(104)로부터 오는 표시자의 포맷은 AAA 서버(104)의 속성(attribute)일 수 있다. 예를 들면, 이는, 네트워크 요소(106) 상에 구성된 필터들 중 하나의 이름을 명기하는 '필터-이름(filter-name)' 속성일 수 있다. 본 발명의 실시예에서, 그 포맷은 필터의 이름을 지니는 ASCII 문자열을 포함할 수 있다. AAA 서버(104)는 네트워크 요소(106)를 위한 적절한 방화벽 정책만을 나타내며, 실제로 방화벽 정책을 제공하지는 않는다. 이것은 여러 방화벽 정책들로 구성된 방화벽 규칙 기반이 네트워크 액세스 게이트웨이(102)에 내장되어 있지 AAA 서버(104)에 내장되어 있지는 않기 때문이다. AAA 서버(104)는 네트워크 요소(106)에 따라 정의된 매개변수로 응답한다. AAA 서버(104)는 네트워크 요소(106)의 등록 시에 전달되어온 그 아이덴티티 속성으로부터 네트워크 요소(106)에 대응하는 매개변수를 식별한다.
본 발명의 실시예에 따라, AAA 서버(104)는 네트워크 요소(106)에 대한 식별자에 의해 제공된 정보를 검색한다. 특히, 네트워크 요소(106)의 위치에 관한 정보는 AAA 서버(104)가 방화벽이 네트워크 요소(106)에 대해 적용가능할 네트워크 액세스 게이트웨이(102)의 유형을 결정하는 것을 돕는다. 본 발명의 실시예에서, 네트워크 요소(106)가 외부 네트워크에 있고, 터널링을 통해 그것의 홈 네트워크로부터 정보 패킷을 수신한다면, AAA 서버(104)는 데이터 패킷의 필터링이 PDSN에서 수행되도록 지시한다. 다시 말해, AAA 서버(104)는 네트워크 요소(106)에 대응하는 PDSN에서의 방화벽 정책들 중 하나를 가리킨다. 또한, 네트워크 요소(106)가 임의의 네트워크에 존재하고 단순 IP를 통해 네트워크로의 액세스를 요청하면, AAA 서버(104)는 네트워크 요소(106)가 현재 위치하고 있는 네트워크의 PDSN에서 데이터 패킷의 필터링이 수행되도록 지시한다. 그러나, 네트워크 요소(106)가 외부 네트워크에 위치하고 있고 홈 네트워크의 대응 노드(correspondent node)로 데이터 패킷을 송신함으로써 자신의 홈 네트워크와 통신하고 있다면, AAA 서버(104)는 그 홈 네트워크의 HA에서 필터링이 수행되도록 지시한다. 후자의 경우, 통신은 역 터널링을 통해 수행된다.
그러므로, 네트워크 액세스 게이트웨이(102)는 AAA 서버(104)에 의해 전송된 액세스-응답으로부터 네트워크 요소(106)에 대한 대응하는 방화벽 정책을 포함하여 여러 속성들을 수신한다. 이후 네트워크 액세스 게이트웨이(102)는 매개변수에 정의된 바와 같이 네트워크 요소(106)에 대한 네트워크 자원으로의 액세스를 가능하게 한다. 또한, 네트워크 액세스 게이트웨이(102)는 AAA 서버(104)에 표시된 바와 같은 방화벽 정책을 네트워크 요소(106)의 트래픽에 적용시킨다.
도 2는 네트워크 요소(106)에 대한 적절한 방화벽 정책을 셋팅하는 것에 관한 정보 교환의 상세 사항을 도시하고 있다. 단계(202)에서, 네트워크 액세스 게이트웨이(102)는 네트워크 요소(106)를 대표하여 전송된 등록 요청을 수신한다. 등록 요청은 네트워크 요소(106)의 식별자를 포함한다. 단계(204)에서, 네트워크 액세스 게이트웨이(102)는 이 요청으로부터 도출된 정보를 식별자와 함께 AAA 서버(104)로 전달한다. 단계(206)에서, AAA 서버(104)는 네트워크 요소(106)를 위한 인증, 인가 및 과금 서비스를 수행한다. 그 기능의 일부로서, AAA 서버(104)는 네트워크 요소(106)의 식별자를 적절한 네트워크 액세스 게이트웨이(102)와 방화벽 규칙기반에 존재하는 규칙들 중의 적합한 방화벽 정책에 관련시킨다. 방화벽 규칙기반이 네트워크 액세스 게이트웨이(102)상에 존재하기 때문에, AAA 서버(104)는 단지 태그를 이용하여 네트워크 요소(106)에 적절한 방화벽 정책을 표시할 뿐이다. 태그는 네트워크 요소(106)에 대한, AAA 서버(104)에 의해 표시된 방화벽 정책을 선택하기 위한 식별로서 기능한다. 단계(208)에서, 태그는 네트워크 트래픽을 관리하기 위해 필요한 모든 나머지 속성들과 함께 네트워크 액세스 게이트웨이(102)로 전달된다. 단계(210)에서, 네트워크 액세스 게이트웨이(102)는 태그에 의해 표시된 방화벽 정책을 네트워크 요소(106)의 네트워크 트래픽에 적용시킨다. 마지막으로, 단계(212)에서 네트워크 액세스 게이트웨이(102)는 네트워크 요소(106)의 등록 요청에 응하여 네트워크 요소(106)에 응답을 전송한다.
식별자로부터 태그로의 매핑은 직접적일 수 있다. 식별자는 통상적으로 NAI(Network Access Identifier:NAI)이거나 또는 사용자@domain.com의 형태를 갖는다. AAA는 NAI를 이용하여, 조작자에 의해 미리 구성된 연관관계(association)에 기초하여 방화벽 정책을 결정한다. 이러한 연관관계는 또한 도메인에 의해 구성될 수도 있다. 예를 들면, domain1.com의 모든 사용자는 특정 정책 태그에 관련될 수 있고, domain2.com의 모든 사용자는 서로 다른 정책 태그에 관련될 수 있다.
본 발명의 시스템의 실시예에 따르면, 네트워크 액세스 게이트웨이(102)에 내장된 방화벽 프로그램은 패킷의 필터링을 지원한다. TCP(Transport Control Protocol), UDP(User Datagram Protocol), GRE(Generic Routing Encapsulation), IPsec 또는 임의의 기타 패킷 유형이 본 발명의 시스템에 지원될 수 있다는 것이 당업자들에게 명백할 것이다.
TCP 필터링 기능을 제공하는 것 외에, 본 발명의 네트워크 액세스 게이트웨이(102)는 네트워크 요소(106)로부터의 오픈된 TCP 접속 모두에 대해 끊임없이 정보를 얻어낼 수 있다. 예를 들면, 네트워크 액세스 게이트웨이(102)는 네트워크 요소(106)의 로컬 IP 어드레스, 그것의 로컬 포트, 네트워크 요소(106)가 데이터 패킷을 교환하고 있는 원격 장치의 IP 어드레스, 그 원격 포트를 모니터링할 수 있다.
네트워크 요소(106)는 네트워크 액세스 게이트웨이(102)로부터 응답을 수신한 후 TCP 세션을 확립한다. 일단 TCP 세션이 확립되면, 네트워크 액세스 게이트웨이(102)는 적절한 로컬 포트 상에서 원격 포트와 원격 IP 어드레스로부터 네트워크 요소(106)로의 인입 패킷을 허용한다. 네트워크 요소(106)에 대한 적절한 로컬 포트는 네트워크 액세스 게이트웨이(102) 상의 대응하는 방화벽 정책으로부터 결정되며, 이어서 AAA 서버(104)에 의해 전송된 태그에 의해 표시된다. 네트워크 액세스 게이트웨이(102)는 세션 종료 요청이 수신될 때까지 원격 포트로부터의 패킷을 허용한다. 세션 종료 요청은 네트워크 요소(106)에 의해 또는 원격 포트에 의해 전송될 수 있고, 그 후에는 원격 호스트로부터 네트워크 요소로의 트래픽은 차단될 것이다. 네트워크 액세스 게이트웨이(102)는 이러한 요청을 받으면 TCP 세션을 마감한다. 이것은 동적인 속성을 네트워크 액세스 게이트웨이(102)에 존재하는 방화벽 기능들에 알린다(impart).
모바일 장치일 수 있는 네트워크 요소(106)에 대해, 네트워크 요소(106)로의 데이터 전송을 위해 터널링 프로토콜이 사용될 수 있다는 것은 당업자들에게는 명백할 것이다. 사용될 수 있는 터널링에 대한 표준들 중 일부는 모바일 IP, L2TP, PPTP, IPsec 등이다. 또한, 본 발명의 실시예에 따르면, 역 터널링이 있는 모바일 IP 호들에 대한 방화벽 기능은 모바일 장치의 홈 네트워크의 라우터 상에서 수행될 수 있다. 따라서, CDMA2000 네트워크의 경우, 모바일 장치를 위한 방화벽 기능들이 HA에서 제공될 수 있다. 또한, 역 터널링이 없는 모든 단순 IP 호 및 모바일 IP 호에 대해, 방화벽 기능들은 PDSN에서 제공될 수 있다.
본 발명에 따르면, 소정의 조건에 대해, 패킷에 대한 필터링은 오직 단 한 위치에서만 수행될 수 있다. 따라서, 역 터널링이 있는 모든 모바일 IP 호에 대해, 필터링은 HA에서 수행될 수 있다;모든 단순 IP 호에 대해, 필터링은 PDSN에서 수행될 수 있다; 그리고, 역 터널링이 없는 모바일 IP 호에 대해, 터널링은 PDSN과 HA에서 수행될 수 있다.
또한, AAA 서버(105)에서의 방화벽 기능은 바람직하지 않은 네트워크 프로브(probe) 또는 공격을 선택적으로 제한하도록 구성될 수 있다. PDSN과 HA는 인터페이스별로 방화벽 규칙에 따라 "강화(hardened)"될 수 있다. 예를 들면, PDSN은 UDP 포트 699(A11) 상의 인입 사용자 트래픽과 무선 네트워크 인터페이스 상의 프로토콜 유형 47(GRE)만을 허용해야 한다. 인터넷 인터페이스 상에서는, PDSN은 UDP 포트 434로부터의 인입 사용자 트래픽 또는 그로 향하는 인입 사용자 트래픽 뿐만 아니라, 프로토콜 유형 47(GRE)와 유형 4(IP)만을 허용해야 한다. HA의 모바일 IP 인터페이스는 UDP 포트 434상의 사용자 트래픽 뿐만 아니라 프로토콜 유형 47(GRE)와 유형 4(IP)만을 수락해야 한다. PDSN과 HA 인터페이스들은 제한된 IP 어드레스 집합로부터의 핑(ping)에만 응답하고 제한된 IP 어드레스 집합들로부터의 원격 로그인(텔넷 및 SSH)만을 허용하도록 구성되어야 한다.
본 발명의 AAA 서버는 로컬 정책 서버로 대체될 수 있다. 로컬 정책 서버는 네트워크 요소(106)에 대응하는 정책을 나타내도록 구성된 서버이다. 로컬 정책이 사용되고 있는 경우, PDSN 또는 HA는 AAA 서버를 질의하지 않는다. 대신, NAI의 정책으로의 매핑은 PDSN 또는 HA에 대해 내부적으로 행해진다. PDSN은 매핑을 직접 룩업하고 적절한 정책을 적용한다.
대안의 모드에서, 로컬 정책 및 AAA 정책 둘 모두 사용될 수 있으며, 통상적으로 AAA 정책은 임의의 구성된 로컬 정책을 오버라이드할 것이다.
본 발명에 설명된 시스템 또는 본 발명의 임의의 구성 요소는 처리 기계의 형태로 구현될 수 있다. 처리 기계의 통상적인 예로는 범용 컴퓨터, 프로그램된 마이크로프로세서, 마이크로-컨트롤러, 주변 장치 집적 회로 소자 및 본 발명의 방법을 구성하는 단계들을 구현할 수 있는 다른 장치 또는 다른 장치의 구성일 수 있다.
처리 기계는 입력 데이터를 처리하기 위해, 하나 이상의 저장 구성 요소에 저장된 명령어 집합을 실행한다. 저장 구성 요소는 또한 원하는 대로 데이터 또는 다른 정보를 보유할 수 있다. 저장 구성 요소는 데이터베이스 또는 처리 기계에 존재하는 물리적 메모리 구성 요소의 형태일 수 있다.
명령어 집합은 처리 기계로 하여금 본 발명의 방법을 구성하는 단계들과 같 은 특정 태스크를 수행하도록 지시하는 각종 명령어들을 포함할 수 있다. 명령어 집합은 프로그램 또는 소프트웨어의 형태일 수 있다. 소프트웨어는 시스템 소프트웨어 또는 애플리케이션 소프트웨어와 같은 각종 형태일 수 있다. 또한, 소프트웨어는 개별 프로그램의 집합, 더 큰 프로그램을 갖는 프로그램 모듈 또는 프로그램 모듈의 일부의 형태일 수 있다. 소프트웨어는 또한 객체 지향 프로그래밍 형태의 모듈러 프로그래밍을 포함할 수 있다. 처리 기계에 의한 입력 데이터의 처리는 사용자 명령에 응하거나, 이전 처리 결과에 응하거나, 또는 또 다른 처리 기계에 의한 요청에 응하여 행해질 수 있다.
각종 처리 기계들 및/또는 저장 구성 요소들이 동일한 지리적 위치에 물리적으로 위치될 필요는 없다는 것이 당업자들에게 명백할 것이다. 처리 기계 및/또는 저장 구성 요소들은 지리적으로 떨어진 위치에 위치할 수 있고 통신을 가능하게 하기 위해 서로 접속될 수 있다. 처리 기계들 및/또는 저장 구성 요소들 간의 통신을 가능하게 하기 위해 각종 통신 기술이 사용될 수 있다. 이러한 기술로는 네트워크의 형태로 처리 기계들 및/또는 저장 구성 요소를 접속하는 것을 포함한다.
본 발명의 시스템 및 방법에서, 각종 "사용자 인터페이스"가 사용되어 사용자는 본 발명을 구현하는 데에 사용되는 처리 기계 및/또는 기계들과 인터페이스할 수 있다. 사용자 인터페이스는 정보를 전달하거나 또는 수신하기 위해 사용자와 상호작용하는 처리 기계에 의해 사용된다. 사용자 인터페이스는, 사용자가 처리 기계와 상호작용하는 것을 허용하는, 처리 기계에 의해 사용되는 임의의 하드웨어, 소프트웨어 또는 하드웨어와 소프트웨어의 조합일 수 있다. 사용자 인터페이스는 대화 스크린의 형태일 수 있으며, 사용자와 처리 기계 간의 통신을 가능하게 하는 각종 관련 장치를 포함할 수 있다. 사용자 인터페이스가 사람 사용자 외에 또 다른 처리 기계와 상호 작용할 수 있다는 것을 고려한다. 또한, 사용자 인터페이스가 다른 처리 기계와 부분적으로 상호작용하면서 또한 사람 사용자와 부분적으로 상호작용할 수 있다는 것을 고려한다.
본 발명의 바람직한 실시예가 도시되고 설명되었지만, 본 발명이 이들 실시예에만 제한되지 않는다는 것이 명백하다. 청구항에 기술된 바와 같이 본 발명의 범위와 취지를 벗어나지 않고 많은 수정, 변경, 변동, 대체 및 동등물은 당업자들에게 명백할 것이다.

Claims (45)

  1. 네트워크의 액세스 게이트웨이에서 데이터 패킷을 동적으로 필터링하기 위한 방법에 있어서,
    a. 네트워크 노드를 대표하여 네트워크로의 액세스를 위한 등록 요청을 수신하는 단계;
    b. 상기 등록 요청에 응답하는 단계; 및
    c. 상기 네트워크 노드와 관련된 데이터 패킷을 필터링하는 단계
    를 포함하는 데이터 패킷 동적 필터링 방법.
  2. 제1항에 있어서, 상기 네트워크는 홈 네트워크인 방법.
  3. 제1항에 있어서, 상기 네트워크는 외부 네트워크(foreign network)인 방법.
  4. 제1항에 있어서, 상기 등록 요청에 응답하는 단계는 상기 네트워크로의 액세스를 허가하는 단계를 포함하는 방법.
  5. 제1항에 있어서, 상기 데이터 패킷을 필터링하는 단계는, 상기 외부 네트워크의 패킷 데이터 서빙 노드(packet data serving node)에서 상기 필터링을 수행하는 단계를 포함하는 방법.
  6. 제1항에 있어서, 상기 데이터 패킷을 필터링하는 단계는, 상기 홈 네트워크의 홈 에이전트에서 상기 필터링을 수행하는 단계를 포함하는 방법.
  7. 제1항에 있어서, 상기 데이터 패킷을 필터링하는 단계는, 상기 액세스 게이트웨이에 고유한 정보에 의해 표시되는 적절한 보안 정책을 적용하는 단계를 포함하는 방법.
  8. 제7항에 있어서, 상기 적절한 보안 정책을 적용하는 단계는,
    a. 상기 액세스 게이트웨이에서 유지되고 있는 정책들 집합으로부터 상기 네트워크 노드에 대응하는 상기 적절한 정책을 선택하는 단계; 및
    b. 상기 액세스 게이트웨이에서 유지되고 있는 상기 적절한 정책을 상기 네트워크 노드의 통신에 적용하는 단계
    를 포함하는 방법.
  9. 제8항에 있어서, 상기 적절한 정책을 선택하는 단계는 상기 네트워크 노드의 도메인 이름에 기초하여 선택하는 단계를 포함하는 방법.
  10. 제8항에 있어서, 상기 액세스 게이트웨이에서 유지되고 있는 정책들 집합으로부터 상기 적절한 정책을 선택하는 단계는, 상기 네트워크의 모든 네트워크 노드 에 대해 구성되는 일반적인 보안 정책이 구성되는 단계를 포함하는 방법.
  11. 제1항에 있어서, 데이터 패킷을 필터링하는 단계는, 인증, 인가, 과금 서버(Authentication, Authorization and Accounting Server)로부터 수신된 메시지에 표시되어 있는 적절한 보안 정책을 적용하는 단계를 포함하는 방법.
  12. 제11항에 있어서, 상기 데이터 패킷을 필터링하는 단계는, 상기 액세스 게이트웨이에서 유지되고 있는 적절한 보안 정책을 상기 네트워크 노드의 통신에 적용하는 단계를 포함하는 방법.
  13. 외부 네트워크의 액세스 게이트웨이에서 데이터 패킷을 동적으로 필터링하기 위한 방법에 있어서,
    a. 네트워크 노드를 대표하여 네트워크로의 액세스를 위한 등록 요청을 수신하는 단계 -상기 등록 요청은 상기 네트워크 노드를 식별하는 식별자를 포함함- ;
    b. 상기 등록 요청에 응답하는 단계; 및
    c. 상기 네트워크 노드와 관련된 데이터 패킷을 상기 액세스 게이트웨이에서 필터링하는 단계
    를 포함하는 데이터 패킷 동적 필터링 방법.
  14. 제13항에 있어서, 상기 등록 요청을 수신하는 단계는, 모바일 인터넷 프로토 콜을 통해 상기 네트워크로의 액세스를 위한 등록 요청을 수신하는 단계를 포함하는 방법.
  15. 제13항에 있어서, 상기 등록 요청에 응답하는 단계는, 상기 네트워크로의 액세스를 허가하는 단계를 포함하는 방법.
  16. 제13항에 있어서, 상기 액세스 게이트웨이에서 데이터 패킷을 필터링하는 단계는, 상기 외부 네트워크의 패킷 데이터 서빙 노드에서 상기 필터링을 수행하는 단계를 포함하는 방법.
  17. 제13항에 있어서, 상기 데이터 패킷을 필터링하는 단계는, 상기 액세스 게이트웨이에 고유한 정보에 의해 표시되는 적절한 보안 정책을 적용하는 단계를 포함하는 방법.
  18. 제17항에 있어서, 상기 적절한 보안 정책을 적용하는 단계는,
    a. 상기 액세스 게이트웨이에서 유지되고 있는 정책들 집합으로부터 상기 네트워크 노드에 대응하는 상기 적절한 정책을 선택하는 단계; 및
    b. 상기 액세스 게이트웨이에서 유지되고 있는 상기 적절한 정책을 상기 네트워크 노드의 통신에 적용하는 단계
    를 포함하는 방법.
  19. 제18항에 있어서, 상기 적절한 정책을 선택하는 단계는, 상기 네트워크의 도메인 이름에 기초하여 선택하는 단계를 포함하는 방법.
  20. 제18항에 있어서, 상기 액세스 게이트웨이에서 유지되고 있는 정책들 집합으로부터 상기 적절한 정책을 선택하는 단계는, 상기 네트워크의 모든 네트워크 노드에 대해 구성되는 일반 보안 정책이 구성되는 단계를 포함하는 방법.
  21. 제13항에 있어서, 상기 데이터 패킷을 필터링하는 단계는, 인증, 인가 및 과금 서버로부터 수신된 메시지에 표시되어 있는 상기 적절한 보안 정책을 적용하는 단계를 포함하는 방법.
  22. 제21항에 있어서, 상기 데이터 패킷을 필터링하는 단계는, 상기 액세스 게이트웨이에서 유지되고 있는 적절한 보안 정책을, 상기 네트워크 노드의 통신에 적용하는 단계를 포함하는 방법.
  23. 홈 네트워크의 액세스 게이트웨이에서 데이터 패킷을 동적으로 필터링하기 위한 방법에 있어서,
    a. 네트워크 노드를 대표하여 네트워크로의 액세스를 위한 등록 요청을 수신하는 단계 -상기 등록 요청은 상기 네트워크 노드를 식별하는 식별자를 포함함- ;
    b. 상기 등록 요청에 응답하는 단계; 및
    c. 상기 네트워크 노드와 관련된 데이터 패킷을 상기 액세스 게이트웨이에서 필터링하는 단계
    를 포함하는 데이터 패킷 동적 필터링 방법.
  24. 제23항에 있어서, 상기 네트워크 노드를 대표하여 등록 요청을 수신하는 단계는, 모바일 장치로부터 등록 요청을 수신하는 단계를 포함하는 방법.
  25. 제23항에 있어서, 상기 등록 요청을 수신하는 단계는, 모바일 인터넷 프로토콜을 통해 상기 네트워크로의 액세스를 위한 등록 요청을 수신하는 단계를 포함하는 방법.
  26. 제23항에 있어서, 상기 등록 요청에 응답하는 단계는, 상기 네트워크로의 액세스를 허가하는 단계를 포함하는 방법.
  27. 제23항에 있어서, 상기 액세스 게이트웨이에서 데이터 패킷을 필터링하는 단계는, 상기 홈 네트워크의 홈 에이전트에서 상기 필터링을 수행하는 단계를 포함하는 방법.
  28. 제23항에 있어서, 상기 데이터 패킷을 필터링하는 단계는, 상기 액세스 게이 트웨이에 고유한 정보에 의해 표시되는 적절한 보안 정책을 적용하는 단계를 포함하는 방법.
  29. 제28항에 있어서, 상기 적절한 보안 정책을 적용하는 단계는,
    a. 상기 액세스 게이트웨이에서 유지되고 있는 정책들 집합으로부터 상기 모바일 장치에 대응하는 상기 적절한 정책을 선택하는 단계; 및
    b. 상기 액세스 게이트웨이에서 유지되고 있는 상기 적절한 정책을 상기 모바일 장치의 통신에 적용하는 단계
    를 포함하는 방법.
  30. 제29항에 있어, 상기 적절한 정책을 선택하는 단계는, 상기 모바일 장치의 도메인 이름에 기초하여 선택하는 단계를 포함하는 방법.
  31. 제29항에 있어서, 상기 액세스 게이트웨이에서 유지되고 있는 정책들 집합으로부터 상기 적절한 정책을 선택하는 단계는, 상기 네트워크의 모든 모바일 장치에 대해 구성되는 일반 보안 정책이 구성되는 단계를 포함하는 방법.
  32. 제23항에 있어서, 상기 데이터 패킷을 필터링하는 단계는, 인증, 인가 및 과금 서버로부터 수신된 메시지에 표시되어 있는 적절한 보안 정책을 적용하는 단계를 포함하는 방법.
  33. 제32항에 있어서, 상기 데이터 패킷을 필터링하는 단계는, 상기 액세스 게이트웨이에서 유지되고 있는 적절한 보안 정책을 상기 네트워크 노드의 통신에 적용하는 단계를 포함하는 방법.
  34. 네트워크에서 데이터 패킷을 동적으로 필터링하기 위한 시스템에 있어서,
    a. 네트워크 노드에 의해 요청된, 네트워크 자원으로의 액세스를 위한 등록 요청을 수신하기 위한 적어도 하나의 서버 -상기 서버는 상기 등록 요청에 응하여 상기 네트워크 노드로 응답을 전송함- ; 및
    b. 상기 서버에 내장되어 있고, 상기 네트워크 노드와 관련된 데이터 패킷의 필터링을 수행하기 위한 액세스 게이트웨이
    를 포함하는 데이터 패킷 동적 필터링 시스템.
  35. 제34항에 있어서, 상기 서버는, 상기 네트워크 자원과 통신하는 상기 네트워크 노드에 적절한 보안 정책을 제공하는 로컬 정책 서버인 시스템.
  36. 제34항에 있어서, 상기 네트워크의 서버는 인증, 인가 및 과금 서비스를 제공하는 서버이며, 상기 서버는 상기 네트워크 자원과 통신하는 상기 네트워크 노드에 대한 상기 적절한 보안 정책을 나타내는 시스템.
  37. 제34항에 있어서, 상기 액세스 게이트웨이는 외부 네트워크의 패킷 데이터-서빙 노드인 시스템.
  38. 제34항에 있어서, 상기 액세스 게이트웨이는 홈 네트워크의 홈 에이전트인 시스템.
  39. 네트워크에서 데이터 패킷을 동적으로 필터링하기 위한 시스템에 있어서,
    a. 네트워크 노드에 의해 요청된, 상기 네트워크로의 액세스를 위한 등록 요청을 수신하기 위한 적어도 하나의 서버 -상기 서버는 상기 등록 요청에 응하여 상기 네트워크 노드로 응답을 전송함- ; 및
    b. 상기 네트워크 노드와 관련된 데이터 패킷의 필터링을 수행하기 위한, 외부 네트워크의 패킷 데이터 서빙 노드
    를 포함하는 데이터 패킷 동적 필터링 시스템.
  40. 제39항에 있어서, 상기 서버는, 상기 네트워크 자원과 통신하는 상기 네트워크 노드에 적절한 보안 정책을 제공하는 로컬 정책 서버인 시스템.
  41. 제39항에 있어서, 상기 네트워크의 서버는, 인증, 인가 및 과금 서버를 제공하는 서버이며, 상기 서버는 상기 네트워크 자원과 통신하는 상기 네트워크 노드에 대한 상기 적절한 보안 정책을 나타내는 시스템.
  42. 네트워크에서 데이터 패킷을 동적으로 필터링하기 위한 시스템에 있어서,
    a. 네트워크 노드에 의해 요청된, 상기 네트워크로의 액세스를 위한 등록 요청을 수신하기 위한 적어도 하나의 서버 -상기 서버는 상기 등록 요청에 응하여 상기 네트워크 노드로 응답을 전송함- ; 및
    b. 상기 네트워크 노드와 관련된 데이터 패킷의 필터링을 수행하기 위한, 홈 네트워크의 홈 에이전트
    를 포함하는 데이터 패킷 동적 필터링 시스템.
  43. 제42항에 있어서, 상기 서버는 네트워크 자원과 통신하는 상기 네트워크 노드에 적절한 보안 정책을 제공하는 로컬 정책 서버인 시스템.
  44. 제42항에 있어서, 상기 네트워크의 서버는 인증, 인가 및 과금 서버를 제공하는 서버이며, 상기 서버는 상기 네트워크 자원과 통신하는 상기 네트워크 노드에 대한 상기 적절한 보안 정책을 나타내는 시스템.
  45. 통신 네트워크의 액세스 게이트웨이에서 데이터 패킷을 동적으로 필터링하기 위한, 컴퓨터에서 사용하기 위한 컴퓨터 프로그램 제품에 있어서,
    a. 네트워크 노드를 대표하여 상기 네트워크로의 액세스를 위한 등록 요청을 수신하는 단계 -상기 등록 요청은 상기 네트워크 노드의 위치를 식별하는 식별자를 포함함-;
    b. 상기 등록 요청에 응답하는 단계; 및
    c. 상기 네트워크 노드와 관련된 데이터 패킷을 필터링하는 단계 -상기 필터링의 위치는 상기 식별자에 기초하여 결정됨-
    를 수행하는 컴퓨터 프로그램 제품.
KR1020077005871A 2004-09-13 2005-09-08 네트워크에서 데이터 패킷을 동적으로 필터링하기 위한방법 및 시스템 KR20070064427A (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/939,675 2004-09-13
US10/939,675 US20060059551A1 (en) 2004-09-13 2004-09-13 Dynamic firewall capabilities for wireless access gateways

Publications (1)

Publication Number Publication Date
KR20070064427A true KR20070064427A (ko) 2007-06-20

Family

ID=36035592

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020077005871A KR20070064427A (ko) 2004-09-13 2005-09-08 네트워크에서 데이터 패킷을 동적으로 필터링하기 위한방법 및 시스템

Country Status (10)

Country Link
US (1) US20060059551A1 (ko)
EP (1) EP1807968A2 (ko)
JP (1) JP2008512958A (ko)
KR (1) KR20070064427A (ko)
CN (1) CN101099332A (ko)
AU (1) AU2005285185A1 (ko)
CA (1) CA2580030A1 (ko)
IL (1) IL181698A0 (ko)
MX (1) MX2007002820A (ko)
WO (1) WO2006031594A2 (ko)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101067686B1 (ko) * 2010-03-23 2011-09-27 주식회사 에스티 웹 서비스 보안 기반의 네트워크 보안정책 관리 시스템 및 그 방법
KR101116745B1 (ko) * 2010-12-06 2012-02-22 플러스기술주식회사 비연결형 트래픽 차단 방법
US8174973B2 (en) 2007-09-12 2012-05-08 Lg Electronics Inc. Procedure for wireless network management and station supporting the procedure
KR101231803B1 (ko) * 2008-12-01 2013-02-08 한국전자통신연구원 통합 게이트웨이 통신 장치 및 그 방법
KR102267559B1 (ko) * 2020-05-11 2021-06-21 주식회사 엠스톤 Ip 비디오 월 기반 통합 영상 모니터링 시스템

Families Citing this family (42)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7594259B1 (en) * 2004-09-15 2009-09-22 Nortel Networks Limited Method and system for enabling firewall traversal
US7904940B1 (en) * 2004-11-12 2011-03-08 Symantec Corporation Automated environmental policy awareness
US7725595B1 (en) * 2005-05-24 2010-05-25 The United States Of America As Represented By The Secretary Of The Navy Embedded communications system and method
EP1997276B1 (en) * 2006-03-17 2012-12-05 Camiant, Inc. Distributed policy services for mobile and nomadic networking
US7761912B2 (en) 2006-06-06 2010-07-20 Microsoft Corporation Reputation driven firewall
US7886351B2 (en) * 2006-06-19 2011-02-08 Microsoft Corporation Network aware firewall
US8099774B2 (en) * 2006-10-30 2012-01-17 Microsoft Corporation Dynamic updating of firewall parameters
JP4620070B2 (ja) * 2007-02-28 2011-01-26 日本電信電話株式会社 トラヒック制御システムおよびトラヒック制御方法
US20080313075A1 (en) * 2007-06-13 2008-12-18 Motorola, Inc. Payments-driven dynamic firewalls and methods of providing payments-driven dynamic access to network services
EP2007111A1 (fr) * 2007-06-22 2008-12-24 France Telecom Procédé de filtrage de paquets en provenance d'un réseau de communication
US8984620B2 (en) * 2007-07-06 2015-03-17 Cyberoam Technologies Pvt. Ltd. Identity and policy-based network security and management system and method
US8291495B1 (en) 2007-08-08 2012-10-16 Juniper Networks, Inc. Identifying applications for intrusion detection systems
US7860079B2 (en) * 2007-10-11 2010-12-28 Nortel Networks Limited Method and apparatus to protect wireless networks from unsolicited packets triggering radio resource consumption
GB2454204A (en) * 2007-10-31 2009-05-06 Nec Corp Core network selecting security algorithms for use between a base station and a user device
US8112800B1 (en) 2007-11-08 2012-02-07 Juniper Networks, Inc. Multi-layered application classification and decoding
US8572717B2 (en) * 2008-10-09 2013-10-29 Juniper Networks, Inc. Dynamic access control policy with port restrictions for a network security appliance
WO2010093037A1 (ja) 2009-02-16 2010-08-19 日本電気株式会社 ゲートウェイ装置とシステムと方法
CN102349283A (zh) 2009-03-13 2012-02-08 日本电气株式会社 网关装置、网关方法和通信系统
US9398043B1 (en) 2009-03-24 2016-07-19 Juniper Networks, Inc. Applying fine-grain policy action to encapsulated network attacks
US8660101B2 (en) * 2009-12-30 2014-02-25 Motorola Solutions, Inc. Method and apparatus for updating presence state of a station in a wireless local area network (WLAN)
CN101945370B (zh) * 2010-09-25 2015-03-25 中兴通讯股份有限公司 一种实施动态策略控制的方法及系统
US8566900B1 (en) * 2011-05-23 2013-10-22 Palo Alto Networks, Inc. Using geographical information in policy enforcement
WO2013069161A1 (ja) 2011-11-11 2013-05-16 富士通株式会社 ルーティング方法およびネットワーク伝送装置
CN103108302B (zh) * 2011-11-15 2018-02-16 中兴通讯股份有限公司 一种安全策略下发方法及实现该方法的网元和系统
US9015823B2 (en) * 2011-11-15 2015-04-21 Nicira, Inc. Firewalls in logical networks
US9106666B2 (en) * 2012-10-31 2015-08-11 Verizon Patent And Licensing Inc. Method and system for facilitating controlled access to network services
US20150067762A1 (en) * 2013-09-03 2015-03-05 Samsung Electronics Co., Ltd. Method and system for configuring smart home gateway firewall
US9794227B2 (en) * 2014-03-07 2017-10-17 Microsoft Technology Licensing, Llc Automatic detection of authentication methods by a gateway
US9445256B1 (en) 2014-10-22 2016-09-13 Sprint Spectrum L.P. Binding update forwarding between packet gateways
US10230767B2 (en) 2015-07-29 2019-03-12 At&T Intellectual Property I, L.P. Intra-carrier and inter-carrier network security system
US10225236B2 (en) * 2015-11-04 2019-03-05 Panasonic Avionics Corporation System for dynamically implementing firewall exceptions
US10075416B2 (en) 2015-12-30 2018-09-11 Juniper Networks, Inc. Network session data sharing
US9936430B1 (en) 2016-03-07 2018-04-03 Sprint Spectrum L.P. Packet gateway reassignment
US11277439B2 (en) * 2016-05-05 2022-03-15 Neustar, Inc. Systems and methods for mitigating and/or preventing distributed denial-of-service attacks
US11025428B2 (en) 2016-05-05 2021-06-01 Neustar, Inc. Systems and methods for enabling trusted communications between controllers
US11108562B2 (en) 2016-05-05 2021-08-31 Neustar, Inc. Systems and methods for verifying a route taken by a communication
US10958725B2 (en) 2016-05-05 2021-03-23 Neustar, Inc. Systems and methods for distributing partial data to subnetworks
WO2017193093A1 (en) 2016-05-05 2017-11-09 Neustar, Inc. Systems and methods for enabling trusted communications between entities
AU2018304187B2 (en) * 2017-07-17 2023-11-02 Brian R. Knopf Systems and methods for mitigating and/or preventing distributed denial-of-service attacks
CN107465752B (zh) * 2017-08-22 2021-02-05 苏州浪潮智能科技有限公司 一种连接管理方法及装置
US10972461B2 (en) 2018-08-28 2021-04-06 International Business Machines Corporation Device aware network communication management
US11936622B1 (en) 2023-09-18 2024-03-19 Wiz, Inc. Techniques for cybersecurity risk-based firewall configuration

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5898830A (en) * 1996-10-17 1999-04-27 Network Engineering Software Firewall providing enhanced network security and user transparency
JP3557056B2 (ja) * 1996-10-25 2004-08-25 株式会社東芝 パケット検査装置、移動計算機装置及びパケット転送方法
US6167520A (en) * 1996-11-08 2000-12-26 Finjan Software, Inc. System and method for protecting a client during runtime from hostile downloadables
IL122314A (en) * 1997-11-27 2001-03-19 Security 7 Software Ltd Method and system for enforcing a communication security policy
US6356941B1 (en) * 1999-02-22 2002-03-12 Cyber-Ark Software Ltd. Network vaults
US6944150B1 (en) * 2000-02-28 2005-09-13 Sprint Communications Company L.P. Method and system for providing services in communications networks
JP2002108818A (ja) * 2000-09-26 2002-04-12 International Network Securitiy Inc データセンター、セキュリティポリシー作成方法及びセキュリティシステム
US6915345B1 (en) * 2000-10-02 2005-07-05 Nortel Networks Limited AAA broker specification and protocol
JP3744361B2 (ja) * 2001-02-16 2006-02-08 株式会社日立製作所 セキュリティ管理システム
US7207061B2 (en) * 2001-08-31 2007-04-17 International Business Machines Corporation State machine for accessing a stealth firewall
JP2003115834A (ja) * 2001-10-05 2003-04-18 Mitsubishi Electric Corp セキュリティアソシエーション切断/継続方法および通信システム
US7146638B2 (en) * 2002-06-27 2006-12-05 International Business Machines Corporation Firewall protocol providing additional information
JP3826100B2 (ja) * 2002-11-27 2006-09-27 株式会社東芝 通信中継装置、通信システム及び通信制御プログラム

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8174973B2 (en) 2007-09-12 2012-05-08 Lg Electronics Inc. Procedure for wireless network management and station supporting the procedure
US8792343B2 (en) 2007-09-12 2014-07-29 Lg Electronics Inc. Procedure for wireless network management and station supporting the procedure
KR101231803B1 (ko) * 2008-12-01 2013-02-08 한국전자통신연구원 통합 게이트웨이 통신 장치 및 그 방법
KR101067686B1 (ko) * 2010-03-23 2011-09-27 주식회사 에스티 웹 서비스 보안 기반의 네트워크 보안정책 관리 시스템 및 그 방법
KR101116745B1 (ko) * 2010-12-06 2012-02-22 플러스기술주식회사 비연결형 트래픽 차단 방법
KR102267559B1 (ko) * 2020-05-11 2021-06-21 주식회사 엠스톤 Ip 비디오 월 기반 통합 영상 모니터링 시스템

Also Published As

Publication number Publication date
US20060059551A1 (en) 2006-03-16
IL181698A0 (en) 2007-07-04
AU2005285185A1 (en) 2006-03-23
JP2008512958A (ja) 2008-04-24
CA2580030A1 (en) 2006-03-23
MX2007002820A (es) 2007-05-16
EP1807968A2 (en) 2007-07-18
CN101099332A (zh) 2008-01-02
WO2006031594A2 (en) 2006-03-23
WO2006031594A3 (en) 2007-05-10

Similar Documents

Publication Publication Date Title
KR20070064427A (ko) 네트워크에서 데이터 패킷을 동적으로 필터링하기 위한방법 및 시스템
US11582264B2 (en) Network slice-based security in mobile networks
US7249374B1 (en) Method and apparatus for selectively enforcing network security policies using group identifiers
US20220247792A1 (en) Multi-access edge computing services security in mobile networks by parsing application programming interfaces
EP1689206B1 (en) Wireless network having multiple security zones
US8117639B2 (en) System and method for providing access control
EP1878169B1 (en) Operator shop selection in broadband access related application
US7685295B2 (en) Wireless local area communication network system and method
Woodyatt Recommended Simple Security Capabilities in Customer Premises Equipment (CPE) for Providing Residential IPv6 Internet Service
US9231911B2 (en) Per-user firewall
EP1317111B1 (en) A personalized firewall
US20060171365A1 (en) Method and apparatus for L2TP dialout and tunnel switching
US20060069782A1 (en) Method and apparatus for location-based white lists in a telecommunications network
JP2004185622A (ja) 動的ファイアウォールシステム
JP7376028B2 (ja) ドメイン名を使用したトラフィックフロー制御
JP2022502913A (ja) モバイルネットワークにおけるネットワークスライスベースのセキュリティ
Cisco Controlling Network Access and Use
Cisco Controlling Network Access and Use
US20220278960A1 (en) Systems and methods for dynamic access control for devices over communications networks
Nacht The spectrum of modern firewalls
Woodyatt RFC 6092: Recommended Simple Security Capabilities in Customer Premises Equipment (CPE) for Providing Residential IPv6 Internet Service
Djin Managing Access Control in Virtual Private Networks
Djin Technical Report TR2005-544 Department of Computer Science

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application