KR20150144570A - Packet interception device and packet interception method - Google Patents
Packet interception device and packet interception method Download PDFInfo
- Publication number
- KR20150144570A KR20150144570A KR1020140073528A KR20140073528A KR20150144570A KR 20150144570 A KR20150144570 A KR 20150144570A KR 1020140073528 A KR1020140073528 A KR 1020140073528A KR 20140073528 A KR20140073528 A KR 20140073528A KR 20150144570 A KR20150144570 A KR 20150144570A
- Authority
- KR
- South Korea
- Prior art keywords
- packet
- information
- address
- blocking
- transmitted
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/306—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Technology Law (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
본 발명은 패킷 차단 장치 및 패킷 차단 방법에 관한 것으로서, 더욱 자세하게는 위치 정보에 기반한 패킷 차단 장치 및 패킷 차단 방법에 관한 것이다.The present invention relates to a packet blocking device and a packet blocking method, and more particularly, to a packet blocking device and a packet blocking method based on location information.
현재 인터넷망에서는 IP(IPv4 또는 IPv6) 주소 정보를 기반으로 하여 발신 장치와 착신 장치간 패킷 교환을 통해 데이터가 전송된다. 여기서 모든 발신 장치 및 착신 장치를 식별하는 고유한 값인 IP 주소는 일정 크기의 패킷 헤더에 기록되어서 인터넷망을 통한 데이터 전송에 이용된다.In the current Internet network, data is transmitted through packet exchange between a source apparatus and a destination apparatus based on IP (IPv4 or IPv6) address information. The IP address, which is a unique value for identifying all of the source apparatus and the destination apparatus, is recorded in a packet header of a predetermined size and is used for data transmission through the Internet network.
한편, 최근에는 악의적인 목적으로 발신 장치의 IP 주소를 변경하여 특정 서버나 장치를 공격하는 범죄가 잇따르고 있다. 이러한 범죄로 인해 주요 시설의 기능이 마비되어 심각한 피해 및 사회적인 문제를 초래하고 있다. 하지만 IP 주소를 변경 혹은 도용하는 경우 상기 특정 서버나 장치를 공격한 자를 찾아내기가 매우 곤란하며, 이와 같은 범죄에 대하여 통상적으로 트래픽 흐름의 형태를 분석하거나 패킷 정보를 분석하여 패킷을 차단하는 방법이 사용되지만 효과적인 방법이 되지 못하고 있는 실정이다.Meanwhile, in recent years, there has been an increasing number of crimes of attacking specific servers or devices by changing the IP address of the originating device for malicious purposes. These crimes are causing major disruptions in the functioning of major facilities, resulting in serious damage and social problems. However, if the IP address is changed or stolen, it is very difficult to find out who attacked the specific server or device. In such a case, a method of analyzing the type of traffic flow or analyzing packet information to block packets But it is not an effective method.
본 발명은 패킷 헤더에 패킷을 전송하는 단말 또는 서버의 (발신) 위치 정보를 포함시키고, 이 위치 정보와 패킷 헤더의 소스 IP 주소 및 목적지 IP 주소를 기초로 악의적인 패킷의 전송을 차단 제어하는 패킷 차단 장치 및 패킷 차단 방법을 제공하는데 그 목적이 있다. The present invention includes a packet header including (location) information of a terminal or a server transmitting a packet, and a packet for blocking the transmission of a malicious packet based on the location information and the source IP address and the destination IP address of the packet header And a packet blocking method.
본 발명의 일 실시예에 따른 패킷 차단 장치는 소스 IP 주소, 목적지 IP 주소 및 발신 위치 정보를 포함하는 헤더를 가진 패킷(packet)을 수신하는 수신부, 접속 차단 지역을 나타내는 차단 지역 위치 정보를 저장하는 저장부, 및 상기 발신 위치 정보에 대응되는 상기 패킷의 발신 위치가 상기 접속 차단 지역에 포함되는 경우 상기 패킷을 차단하는 제어부를 포함한다.The packet blocking device according to an embodiment of the present invention includes a receiving unit for receiving a packet having a header including a source IP address, a destination IP address, and origination location information, a blocking area location information indicating an access blocking area, And a control unit for blocking the packet when a transmission position of the packet corresponding to the transmission position information is included in the connection blocking area.
본 발명의 다른 실시예에 따른 패킷 차단 장치에 있어서, 상기 저장부는 구분 정보, 등록 IP 주소 및 등록 위치 정보가 매칭되어 있는 접속 제어 정보를 더 저장하고, 상기 제어부는 상기 패킷의 발신 위치가 상기 접속 차단 지역에 포함되지 않고, 상기 소스 IP 주소와 상기 구분 정보가 발신인 경우 대응되는 상기 등록 IP 주소가 일치하며, 상기 발신 위치 정보와 상기 등록 위치 정보가 불일치하는 경우 상기 패킷을 차단하는 것을 특징으로 한다.In the packet blocking apparatus according to another embodiment of the present invention, the storage unit further stores connection control information in which classification information, a registered IP address, and registration position information are matched, And blocks the packet when the source IP address matches the registered IP address corresponding to the source information and the registration information does not match the source location information and the registration location information, .
본 발명의 다른 실시예에 따른 패킷 차단 장치에 있어서, 상기 저장부는 구분 정보 및 등록 IP 주소가 매칭되어 있는 접속 제어 정보를 더 저장하고, 상기 제어부는 상기 목적지 IP 주소와 상기 구분 정보가 착신인 경우 대응되는 상기 등록 IP 주소가 일치하는 경우 상기 패킷을 차단하는 것을 특징으로 한다.In the packet blocking apparatus according to another embodiment of the present invention, the storage unit further stores connection control information matching the classification information and the registered IP address, and the control unit, when the destination IP address and the identification information are incoming And blocks the packet if the corresponding registered IP address matches.
본 발명의 다른 실시예에 따른 패킷 차단 장치에 있어서, 상기 저장부는 상기 패킷의 상기 소스 IP 주소, 상기 목적지 IP 주소, 상기 발신 위치 정보, 및 상기 패킷의 수신 횟수 중 적어도 하나를 포함하는 차단 내역 관리 정보를 더 저장하는 것을 특징으로 한다.In the packet blocking apparatus according to another embodiment of the present invention, the storage unit may include a blocking history management unit that includes at least one of the source IP address, the destination IP address, the location information of the packet, And further stores the information.
본 발명의 다른 실시예에 따른 패킷 차단 장치에 있어서, 상기 패킷은 IPv4(Internet Protocol version 4) 패킷 또는 IPv6(Internet Protocol version 6) 패킷인 것을 특징으로 한다.In the packet blocking device according to another embodiment of the present invention, the packet is an IPv4 (Internet Protocol version 4) packet or an IPv6 (Internet Protocol version 6) packet.
본 발명의 실시예에 따른 패킷 차단 장치 및 패킷 차단 방법에 의하면 패킷의 헤더에 포함된 위치 정보를 이용하므로 범죄를 야기할 가능성이 높은 특정 지역으로부터 전송되는 악의적인 패킷을 효과적으로 차단할 수 있다. 또한 위치 정보를 이용하므로 악의적인 패킷을 전송한 사용자 단말 또는 서버의 위치를 파악할 수 있어 악의적인 패킷을 전송한 사용자를 용이하게 추적할 수 있다.According to the packet blocking device and the packet blocking method according to the embodiment of the present invention, since the location information included in the header of the packet is used, a malicious packet transmitted from a specific area likely to cause a crime can be effectively blocked. Also, since the location information is used, the location of the user terminal or the server that transmitted the malicious packet can be grasped and the user who transmitted the malicious packet can be easily tracked.
도 1은 본 발명에 따른 패킷 차단 장치 및 패킷 차단 방법이 적용되는 패킷 전송 시스템을 모식적으로 나타낸 도면이다.
도 2는 본 발명에 따른 패킷 차단 장치 및 패킷 차단 방법이 적용되는 패킷 전송 시스템의 패킷 전송 절차를 모식적으로 나타낸 도면이다.
도 3은 본 발명의 실시예에 따른 패킷 차단 장치의 구성을 나타낸 도면이다.
도 4는 본 발명의 실시예에 있어서의 IPv4 패킷의 구성을 나타낸 도면이다.
도 5는 본 발명의 실시예에 있어서의 IPv6 패킷의 구성을 나타낸 도면이다.
도 6(a)는 본 발명의 실시예에 따른 차단 지역 위치 정보를 나타낸 도면이다.
도 6(b)는 본 발명의 실시예에 따른 접속 차단 지역을 나타낸 도면이다.
도 7은 본 발명의 실시예에 따른 접속 제어 정보를 나타낸 도면이다.
도 8은 본 발명의 실시예에 따른 저장부에 저장되는 차단 내역 관리 정보를 나타낸 도면이다.
도 9는 본 발명의 실시예에 따른 패킷 차단 방법의 흐름도이다.
도 10은 본 발명의 최선의 실시예에 따른 패킷 차단 방법을 나타낸 흐름도이다.1 is a diagram schematically illustrating a packet transmission system to which a packet blocking apparatus and a packet blocking method according to the present invention are applied.
2 is a diagram schematically illustrating a packet transmission procedure of a packet transmission system to which a packet blocking apparatus and a packet blocking method according to the present invention are applied.
3 is a block diagram of a packet blocking apparatus according to an embodiment of the present invention.
4 is a diagram showing a configuration of an IPv4 packet in an embodiment of the present invention.
5 is a diagram showing a configuration of an IPv6 packet according to an embodiment of the present invention.
6 (a) is a view showing blocking area location information according to an embodiment of the present invention.
6 (b) is a view showing a connection blocking area according to an embodiment of the present invention.
7 is a diagram illustrating connection control information according to an embodiment of the present invention.
FIG. 8 is a view illustrating blocking history management information stored in a storage unit according to an embodiment of the present invention. FIG.
9 is a flowchart of a packet blocking method according to an embodiment of the present invention.
10 is a flowchart illustrating a packet blocking method according to the best embodiment of the present invention.
이하 첨부된 도면들을 참조하여 본 발명의 바람직한 실시예를 상세하게 설명하지만, 본 발명이 실시예에 의해 제한되거나 한정되는 것은 아니다. 참고로, 본 설명에서 동일한 번호는 실질적으로 동일한 요소를 지칭하며, 이러한 규칙하에서 다른 도면에 기재된 내용을 인용하여 설명할 수 있다. 그리고 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 자명하다고 판단되거나 반복되는 내용은 생략될 수 있다. DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings. However, the present invention is not limited to the embodiments. For reference, the same numbers in this description refer to substantially the same elements and can be described with reference to the contents of other drawings under these rules. The present invention may be embodied in other specific forms without departing from the spirit or essential characteristics thereof.
[패킷 전송 시스템][Packet transmission system]
도 1은 본 발명에 따른 패킷 차단 장치 및 패킷 차단 방법이 적용되는 패킷 전송 시스템을 모식적으로 나타낸 도면이다.1 is a diagram schematically illustrating a packet transmission system to which a packet blocking apparatus and a packet blocking method according to the present invention are applied.
도 1을 참조하면 '10a', '10b', '10c'(통칭하여 '10')는 사용자 단말, '20a', '20b'(통칭하여 '20')는 서버, '30'은 관제 센터 서버, '40'은 인터넷망, '1000a', '1000b', '1000c', '1000d', '1000e'(통칭하여 '1000')는 패킷 차단 장치를 나타낸다.Referring to FIG. 1, '10a', '10b' and '10c' (collectively, '10') are user terminals, '20a' and '20b' '1000' (collectively, '1000') indicates a packet blocking device, and '40' is an Internet network, '1000a', '1000b', '1000c', '1000d'
사용자 단말(10)은 가정용 또는 기업용 정보통신 단말를 지칭하는 것으로서, 데스크탑 PC, 랩탑 PC, PDA(Personal digital assistant), 스마트폰, 스마트 패드 등일 수 있다. 사용자 단말(10)은 패킷 차단 장치(1000)를 통하여 인터넷망(40)에 접속된다.The user terminal 10 may be a desktop PC, a laptop PC, a personal digital assistant (PDA), a smart phone, a smart pad, or the like, which refers to an information communication terminal for home or business use. The user terminal 10 is connected to the
서버(20)는 클라이언트(예를 들어 사용자 단말(10))에 대하여 서비스를 제공하는 컴퓨팅 장치이다. 서버(20)는 클라이언트로부터의 패킷을 수신하고 이를 소정의 프로그램으로 처리한 결과로서의 응답 패킷을 패킷 차단 장치(1000) 및 인터넷망(40)을 통해 클라이언트로 전송한다.The server 20 is a computing device that provides services to a client (e.g., user terminal 10). The server 20 receives a packet from a client and transmits a response packet as a result of processing the packet to a predetermined program to the client via the
사용자 단말(10) 및 서버(20)에는 위치 정보를 생성 가능한 GPS 모듈이 장착되어 있다. 위치 정보는 사용자 단말(10) 또는 서버(20)가 소재하는 위치에 관한 위도/경도로 나타내어진 정보이다. 이와 같은 위치 정보는 후술하는 바와 같이 본발명에 따른 패킷 차단 장치(1000) 및 패킷 차단 방법에 관여한다.The user terminal 10 and the server 20 are equipped with a GPS module capable of generating position information. The location information is information indicated by the latitude / longitude with respect to the location where the user terminal 10 or the server 20 is located. Such location information is related to the
관제 센터 서버(30)는 그 운용자에 의해 정기적으로 또는 수시적으로 갱신되는 차단 지역 위치 정보(210), 및 접속 제어 정보(220) 등의 관리 정보를 패킷 차단 장치(1000)로 전송하는 역할을 수행한다. 관제 센터 서버(30)는 특히, 후술할 접속 제어 정보(220)를 등록 또는 갱신함에 있어서 등록 IP 주소와 매칭되는 등록 위치 정보가 실제로 그 등록 IP 주소에 해당하는 위치의 정보에 해당하는지 검토 및 확인하는 기능을 더 포함하고 있을 수 있다.The
패킷 차단 장치(1000)는 그 자체가 게이트웨이(gateway)로서의 역할을 수행할 수도 있다. 또한 패킷 차단 장치(1000)는 게이트웨이에 하드웨어적으로 장착되거나 소프트웨어적으로 설치되어서 구현될 수도 있으며, 패킷 차단 장치(1000)에는 복수의 사용자 단말(10)이 접속되어 있을 수도 있다. 패킷 차단 장치(1000)는 관제 센터 서버(30)로부터 수신한 차단 지역 위치 정보(210), 및 접속 제어 정보(220) 등의 관리 정보를 참조하여 출입하는 패킷의 차단 제어를 수행한다. 패킷 차단 장치(1000)의 보다 상세한 구성 및 기능에 대하여는 실시예로 후술한다.The
도 2는 본 발명에 따른 패킷 차단 장치(1000) 및 패킷 차단 방법이 적용되는 패킷 전송 시스템의 패킷 전송 절차를 모식적으로 나타낸 도면이다.2 is a diagram schematically illustrating a packet transmission procedure of a packet transmission system to which a
도 2를 참조하면, 단계 S001에서 관제 센터 서버(30)는 관리 정보를 패킷 차단 장치(1000a, 1000d)로 전송한다. 관리 정보는 차단 지역 위치 정보(210) 및 접속 제어 정보(220)를 포함할 수 있다.Referring to FIG. 2, in step S001, the
단계 S002에서는 사용자 단말(10a)이 인터넷망(40)을 통해 서버(20a)에 접속하려는 경우, 사용자 단말(10a)에 구비된 GPS 모듈은 사용자 단말(10a)이 소재한 위치 정보(발신 위치 정보)를 생성한다. 발신 위치 정보는 전송하려는 패킷의 헤더에 기록된다.In step S002, when the
이어서 단계 S003에서는 발신 위치 정보가 기록된 헤더를 가진 패킷이 사용자 단말(10a)로부터 패킷 차단 장치(1000a)로 전송된다. Then, in step S003, a packet having a header in which the transmission position information is recorded is transmitted from the
단계 S004에서 패킷 차단 장치(1000a)는 단계 S001에서 관제 센터 서버(30)로부터 수신한 관리 정보를 기초로 패킷 차단 방법을 수행한다. 패킷 차단 방법의 자세한 내용에 대하여는 후술한다. In step S004, the
단계 S004에서의 패킷 차단 방법에 의하여 패킷이 차단되지 않는 경우 단계 S005에서는 패킷 차단 장치(1000a)가 통상적인 패킷 포워딩 절차, 즉 차단되지 않은 패킷을 패킷 인터넷망(40)을 통해 차단 장치(1000d)로 전송하는 절차를 수행한다. In step S005, if the packet is not blocked by the packet blocking method in step S004, the
단계 S006에서는 패킷 차단 장치(1000d)가 서버(20a)로 패킷을 포워딩한다.In step S006, the
단계 S007에서 서버(20a)는 사용자 단말(10a)로부터 전송된 패킷이 요구하는 서비스 프로세스를 수행하고, 서비스 프로세스의 결과로서 응답 패킷을 생성한다(단계 S007).In step S007, the
이어서 단계 S008에서 서버(20a)는 생성한 패킷을 패킷 차단 장치(1000d)로 포워딩한다.Subsequently, in step S008, the
단계 S009에서 패킷 차단 장치(1000d)는 응답 패킷을 다시금 인터넷망(40)을 통하여 패킷 차단 장치(1000a)로 전송한다. In step S009, the
단계 S010에서 패킷 차단 장치(1000a)는 응답 패킷을 다시 사용자 단말(10a)로 포워딩하고, 이로써 패킷 전송 절차가 종료된다.In step S010, the
본 발명에 따른 패킷 차단 장치 및 패킷 차단 방법이 적용되는 패킷 전송 시스템의 패킷 전송 절차는 상술한 바와 같으며, 상기 패킷의 차단 방법은 도 1의 패킷 차단 장치(1000d)에서 수행될 수도 있으며, 송수신단의 패킷 차단 장치(예를 들어, 1000a 및 1000d) 양방에서 수행되어도 무방하다.The packet transmission procedure of the packet transmission system to which the packet blocking apparatus and packet blocking method according to the present invention is applied is as described above. The packet blocking method may be performed in the
이하에서는 패킷 차단 장치 및 패킷 차단 방법의 실시예를 도면을 참조하여 설명한다.Hereinafter, an embodiment of a packet blocking apparatus and a packet blocking method will be described with reference to the drawings.
[패킷 차단 장치의 실시예][Embodiment of packet interception device]
도 3은 본 발명의 일 실시예에 따른 패킷 차단 장치(1000)의 구성을 나타낸 도면이다.3 is a block diagram of a
도 3을 참조하면 패킷 차단 장치(1000)는 수신부(100), 저장부(200), 및 제어부(300)를 포함한다. 도시하지는 않았으나 패킷 차단 장치(1000)는 게이트웨이로서의 역할을 수행하기 위한 구성을 더 포함하여도 좋으며, 디스플레이와 같은 표시부, 전원 공급을 위한 전원부 등을 더 포함할 수도 있다.3, the
수신부(100)는 소스(source) IP 주소, 목적지(destination) IP 주소 및 발신 위치 정보 등을 포함하는 헤더를 가진 패킷을 수신한다. 상술한 바와 같이 발신 위치 정보는 사용자 단말(10)에 구비된 GPS 모듈로 얻어지는 사용자 단말(10)이 소재한 위치에 대한 정보이다. The receiving
패킷의 헤더에는 IETF(Internet Engineering Task Force)에서 제정한 인터넷 규약인 IPv4 및 IPv6를 따르는 것이 있다. 본 발명의 실시예에 있어서 IPv4를 따르는 패킷(이하 IPv4 패킷)의 헤더 및 IPv6를 따르는 패킷(이하 IPv6 패킷)의 헤더는 상기 발신 위치 정보를 포함한다.The header of the packet may conform to Internet protocols IPv4 and IPv6 established by the Internet Engineering Task Force (IETF). In the embodiment of the present invention, a header of a packet conforming to IPv4 (hereinafter, referred to as an IPv4 packet) and a header of a packet conforming to an IPv6 (hereinafter referred to as an IPv6 packet) include the origination position information.
도 4는 본 발명의 실시예에 있어서의 IPv4 패킷의 구성을 나타낸 도면이다.4 is a diagram showing a configuration of an IPv4 packet in an embodiment of the present invention.
도 4를 참조하면, IPv4 패킷의 헤더는 IPv4 기본 헤더(Basic IPv4 Header, 20byte)와 옵션 헤더를 포함한다. IPv4 기본 헤더는 32bit의 소스 IP 주소 및 목적지 IP 주소 등을 포함하며, IPv4 기본 헤더의 기타 구성은 IPv4를 따르므로 자세한 설명을 생략한다.Referring to FIG. 4, the header of the IPv4 packet includes an IPv4 basic header (basic IPv4 header, 20 bytes) and an optional header. The IPv4 basic header includes a 32-bit source IP address and a destination IP address. Other configurations of the IPv4 basic header follow IPv4, so a detailed description will be omitted.
옵션 헤더는 발신 위치 정보가 기록된다. 구체적으로 8bit의 옵션 타입 정보, 8bit의 옵션 헤더 길이 정보, 북위/남위를 나타내는 1byte의 N/S 지정 정보를 포함한 9byte의 위도 정보, 동경/서경를 나타내는 1byte의 E/W 지정 정보를 포함한 10byte의 경도 정보, 및 옵션 헤더를 4byte의 배수로 맞추기 위한 1byte의 패딩이 발신 위치 정보를 구성한다. 발신 위치 정보는 사용자 단말(10)의 GPS 모듈로 얻어지는 위도/경도의 값에 기초하여 기록된다.In the option header, the transmission position information is recorded. Specifically, a 10-byte longitude including 8-bit option type information, 8-bit option header length information, 9-byte latency information including 1-byte N / S designation information indicating north latitude and south latitude, and 1-byte E / W designation information indicating longitude / 1 byte padding for aligning the information and option header to a multiple of 4 bytes constitutes the transmission position information. The originating location information is recorded based on the latitude / longitude value obtained by the GPS module of the user terminal 10. [
IPv4 기본 헤더 및 옵션 헤더를 포함하는 IPv4 패킷의 헤더 다음에는 사용자 단말(10)이 전송하려는 데이터가 이어진다. The header of the IPv4 packet including the IPv4 basic header and the optional header is followed by data to be transmitted by the user terminal 10. [
도 5는 본 발명의 실시예에 있어서의 IPv6 패킷의 구성을 나타낸 도면이다.5 is a diagram showing a configuration of an IPv6 packet according to an embodiment of the present invention.
도 5를 참조하면 IPv6 패킷의 헤더는 40Byte의 IPv6 기본 헤더 및 페이로드(payload)에 확장된 확장 헤더를 포함한다. IPv6 기본 헤더는 128bit의 소스 IP 주소 및 목적지 IP 주소 등을 포함하며, IPv6 기본 헤더에 포함된 8bit의 넥스트 헤더(next header)는 확장 헤더에 포함된 넥스트 헤더(next header)를 지시한다. IPv6 기본 헤더의 기타 구성은 IPv6을 따르므로 자세한 설명을 생략한다.Referring to FIG. 5, the header of the IPv6 packet includes an IPv6 basic header of 40 bytes and an extension header extended to a payload. The IPv6 basic header includes a 128-bit source IP address and a destination IP address. The 8-bit next header included in the IPv6 basic header indicates a next header included in the extended header. Other configurations of the IPv6 basic header follow IPv6, so a detailed description will be omitted.
페이로드에 확장된 확장 헤더에는 발신 위치 정보가 기록된다. 구체적으로 8bit의 넥스트 헤더, 발신 위치 정보의 길이를 나타내는 16bit의 확장 헤더 길이 정보, 북위/남위를 나타내는 1byte의 N/S 지정 정보를 포함한 9byte의 위도 정보, 및 동경/서경를 나타내는 1byte의 E/W 지정 정보를 포함한 10byte의 경도 정보가 발신 위치 정보를 구성한다. 발신 위치 정보는 마찬가지로 사용자 단말(10)의 GPS 모듈로 얻어지는 위도/경도의 값에 기초하여 기록된다.In the extended header extended in the payload, the outgoing location information is recorded. Specifically, it consists of 8-bit next header, 16-bit extended header length information indicating the length of the calling location information, 9-byte latitude information including 1-byte N / S designation information indicating the north / south location, and 1-byte E / W The 10-byte longitude information including the designation information constitutes the transmission position information. The originating location information is likewise recorded based on the latitude / longitude value obtained by the GPS module of the user terminal 10. [
IPv6 기본 헤더 및 확장 헤더 다음에는 사용자 단말(10)이 전송하려는 데이터가 이어진다. The IPv6 basic header and extension header are followed by data to be transmitted by the user terminal 10.
저장부(200)는 메모리 HDD, FDD, Flash memory 등의 장치 또는 클라우딩 컴퓨팅을 이용한 저장소 등으로 구현될 수 있다. 저장부(200)는 패킷의 차단에 이용되는 관리 정보를 저장한다. 관리 정보는 차단 지역 위치 정보(210) 및 접속 제어 정보(220)를 포괄하는 정보이며, 관제 센터 서버(30)로부터 수신된다. 실시의 형태에 따라서는 관리 정보에 포함된 상기 정보(210, 220)의 일부는 제외될 수도 있다. 관리 정보는 패킷의 차단을 수행함에 있어서 제어부(300)에 의하여 참조된다.The
도 6 및 도 7은 차단 지역 위치 정보(210) 및 접속 제어 정보(220)를 각각 나타낸다.6 and 7 show the blocking
도 6(a)를 참조하면, 차단 지역 위치 정보(210)는 접속 차단 지역의 위치 정보를 나타낸다. 차단 지역 위치 정보(210)는 도 6(a)에 도시된 것과 같은 테이블로 나타내어지며, 위도상의 상위 경계를 나타내는 상위 경계 위도 정보, 위도상의 하위 경계를 나타내는 하위 경계 위도 정보, 경도상의 좌측 경계를 나타내는 좌측 경계 경도 정보, 경도상의 우측 경계를 나타내는 우측 경계 경도 정보로 구성된다.Referring to FIG. 6A, the blocking
상/하위 경계 위도 정보는 N/S 지정 정보와 방위각으로 이루어지고, 좌/우측 경계 경도 정보는 E/W 지정 정보와 방위각으로 이루어진다. N/S 지정 정보의 값이 0인 경우 북위를 나타내고, 1인 경우 남위를 나타낸다. 또한 E/W 지정 정보가 0인 경우 동경을 나타내고, 1인 경우 서경을 나타낸다.The upper / lower boundary latitude information is composed of the N / S designation information and the azimuth angle, and the left / right boundary hardness information is composed of the E / W designation information and the azimuth angle. When the value of the N / S designation information is 0, it represents the north, and when it is 1, it represents the south. In addition, if E / W designation information is 0, it indicates east longitude, and if it is 1, it indicates westward.
예를 들어, 도 6(a) 첫째줄의 상위 경계 위도 정보 03650.0908이 도 6(b)의 (ㄱ)을 나타내고, 하위 경계 위도 정보 04123.1324가 도 6(b)의 (ㄴ)을 나타내고, 좌측 경계 경도 정보 012854.6072가 도 6(b)의 (ㄷ)을 나타내고, 우측 경계 경도 정보 013023.5643이 도 6(b)의 (ㄹ)을 나타내는 경우, 도 6(b)의 (ㄱ),(ㄴ),(ㄷ),(ㄹ)로 둘러싸인 지역 A는 접속 차단 지역이 된다. 본 예의 경우 후술하는 제어부(300)는 사용자 단말(10)로부터 전송되는 패킷의 헤더에 포함된 발신 위치 정보가 나타내는 위치가 지역 A에 포함되면, 당해 전송되는 패킷을 차단한다. For example, the upper boundary latitude information 03650.0908 in the first line of Fig. 6 (a) shows (a) in Fig. 6 (b), the lower boundary latitude information 04123.1324 shows (b) When the hardness information 012854.6072 indicates (c) in FIG. 6 (b) and the right boundary hardness information 013023.5643 indicates (d) in FIG. 6 (b) Area A surrounded by (d) and (d) is the access blocking area. In this example, when the location indicated by the transmission position information included in the header of the packet transmitted from the user terminal 10 is included in the area A, the
도 7을 참조하면, 접속 제어 정보(220)는 패킷의 차단 여하를 판단하는데 사용되는 정보로서, 착신/발신 구분 정보, 등록 IP 주소, 등록 IP 주소의 등록 위치 정보(위도/경도 정보), 및 제어 정보가 매칭되어 저장부(200)에 저장된다. 접속 제어 정보(220)에 포함된 각 정보는 관제 센터 서버(30)의 운용자에 의하여 등록, 저장된다. Referring to FIG. 7, the
착신/발신 구분 정보는 전송되는 패킷의 헤더에 포함된 소스 IP 주소와 목적지 IP 주소 중 어느 IP 주소를 그 착신/발신 구분 정보와 매칭된 등록 IP 주소와 대조시킬지를 나타내는 정보이다. 착신/발신 구분 정보가 발신을 나타내는 '0'인 경우 전송되는 패킷의 헤더에 포함된 소스 IP 주소와 착신/발신 구분 정보가 '0'인 등록 IP 주소가 대조되고, 착신/발신 구분 정보가 착신을 나타내는 '1'인 경우 전송되는 패킷의 헤더에 포함된 목적지 IP 주소와 착신/발신 구분 정보가 '1'인 등록 IP 주소가 대조된다.The incoming / outgoing call distinguishing information is information indicating which of the source IP address and the destination IP address included in the header of the transmitted packet is to be matched with the registered IP address matched with the incoming / outgoing distinguishing information. When the destination / source identification information is '0' indicating origination, the source IP address included in the header of the packet to be transmitted and the registered IP address having the destination / source identification information '0' are collated, '1', the destination IP address included in the header of the packet to be transmitted is compared with the registered IP address of which the destination / source identification information is '1'.
등록 IP 주소는 관제 센터 서버(30)의 운용자에 의하여 등록되는 IP 주소이다. 상술한 바와 같이, 착신/발신 구분 정보에 따라서 등록 IP 주소는, 전송되는 패킷의 헤더에 포함된 소스 IP 주소와 목적지 IP 주소 중 어느 한 IP 주소와 대조된다. 도 7의 등록 IP 주소는 IPv4 주소 체계를 따른 것으로서 IPv6 주소 체계를 따르는 경우 32byte로 구성된 IPv6 주소가 저장될 수 있다.The registered IP address is an IP address registered by the operator of the
등록 위치 정보(위도/경도 정보)는 등록 IP 주소가 부여된 사용자 단말(10)(또는 서버(20))가 실제 위치한 위치 정보를 나타낸다. 등록 위치 정보는 등록 IP 주소와 함께, 전송되는 패킷의 헤더에 포함된 IP 주소와 위치 정보가 일치하는지 여부를 판단하는데 이용된다.The registration location information (latitude / longitude information) indicates location information where the user terminal 10 (or the server 20) to which the registered IP address is assigned is actually located. Registration location information is used together with the registration IP address to determine whether or not the IP address included in the header of the transmitted packet matches the location information.
제어 정보는 상술한 착신/발신 구분 정보, 등록 IP 주소 및 등록 위치 정보(위도/경도 정보)에 기초하여 전송되는 패킷이 차단되지 않는 경우 추가적으로 차단 여부를 판단하기 위한 정보이다. 예를 들어 도 7의 경우 제어 정보가 '0'으로 등록된 경우 전송된 패킷을 포워딩하고, '1'으로 등록된 경우 전송된 패킷을 차단한다. 실시의 형태에 따라서 이와 같은 제어 정보는 생략될 수 있다. 일례로, 전송되는 패킷의 목적지 IP 주소가 착신/발신 구분 정보가 '1'인 등록 IP 주소와 일치하는 경우 당해 전송되는 패킷을 모두 차단하는 경우를 들 수 있다.The control information is information for additionally determining whether to block the packet transmitted based on the above-described call / origination discrimination information, registered IP address, and registered location information (latitude / longitude information). For example, in the case of FIG. 7, the transmitted packet is forwarded when the control information is registered as '0', and the transmitted packet is blocked when it is registered as '1'. According to the embodiment, such control information can be omitted. For example, if the destination IP address of the packet to be transmitted matches the registered IP address of the destination / source identification information of '1', all packets transmitted are blocked.
구체적인 예를 들어, 사용자 단말(10)로부터 전송된 패킷의 헤더에 포함된 목적지 IP 주소가 112.132.245.53인 경우 후술하는 제어부(300)는 착신/발신 구분 정보가 착신을 나타내는 '1'인 등록 IP 주소들(도 7의 4,5번째줄)과 상기 목적지 IP 주소인 112.132.245.53을 대조한다. 대조한 결과 도 7의 5번째줄의 등록 IP 주소와 상기 목적지 IP 주소가 일치하고 제어정보가 '1'이므로, 제어부(300)는 당해 전송된 패킷을 차단한다.For example, when the destination IP address included in the header of the packet transmitted from the user terminal 10 is 112.132.245.53, the
다른 예를 들면, 서버(20)로부터 전송된 패킷의 헤더에 포함된 소스 IP 주소가 273.134.201.78이고, 목적지 IP 주소가 163.567.457.32이고, 발신 위치 정보가 16428.5637(위도 정보), 013821.8755(경도 정보)인 경우를 가정한다. 이 경우 제어부(300)는 착신/발신 구분 정보가 발신을 나타내는 '0'인 등록 IP 주소들(도 7의 1,2,3,6번째줄)과 상기 소스 IP 주소인 273.134.201.78을 대조하고, 착신/발신 구분 정보가 착신을 나타내는 '1'인 등록 IP 주소들(도 7의 4,5번째줄)과 상기 목적지 IP 주소인 163.567.457.32를 대조한다.As another example, if the source IP address included in the header of the packet transmitted from the server 20 is 273.134.201.78, the destination IP address is 163.567.457.32, the transmission location information is 16428.5637 (latitude information), 013821.8755 ) Is assumed. In this case, the
이때, 전송되는 패킷의 목적지 IP 주소인 163.567.457.32는 도 7의 4,5번째줄의 어느 등록 IP 주소와도 일치하지 않지만, 전송되는 패킷의 소스 IP 주소는 도 7의 3번째줄의 등록 IP 주소와 일치한다. 그러나, 전송되는 패킷에 포함된 발신 위치 정보(16428.5637(위도 정보), 013821.8755(경도 정보))와 도 7의 3번째줄의 등록 위치 정보(04022.2312(위도 정보), 013045.8732(경도 정보))는 서로 상이하므로, 후술하는 제어부(300)는 당해 전송되는 패킷을 차단한다. At this time, the destination IP address 163.567.457.32 of the packet to be transmitted does not coincide with any of the registration IP addresses of the fourth and fifth lines of FIG. 7, but the source IP address of the packet to be transmitted is the registration IP Address. However, the transmission location information (04022.2312 (latitude information), 013045.8732 (longitude information)) in the third line of Fig. 7 and the transmission location information 16428.5637 (latitude information) and 013821.8755 The
또한, 상기 예에 있어서 가령 전송된 패킷의 발신 위치 정보와 도 7의 등록 위치 정보가 04022.2312(위도 정보), 013045.8732(경도 정보)로 일치한다 하더라도 당해 등록 IP 주소의 제어 정보는 '1'이므로 마찬가지로 제어부(300)는 당해 전송되는 패킷을 차단한다.Also, in the above example, even if the transmission location information of the transmitted packet and the registration location information of FIG. 7 coincide with 04022.2312 (latitude information) and 013045.8732 (longitude information), the control information of the registered IP address is '1' The
도 8은 본 발명의 실시예에 따른 저장부(200)에 저장되는 차단 내역 관리 정보(230)를 나타낸 도면이다.FIG. 8 is a view showing the blocking
도 8을 참조하면 차단 내역 관리 정보(230)는 제어부(300)에 의하여 차단된 패킷의 헤더에 포함된 소스 IP 주소, 발신 위치 정보(위도 정보 및 경도 정보), 목적지 IP 주소 및 상기 차단된 패킷의 수신 횟수가 매칭되어 구성된다. 이러한 차단 내역 관리 정보(230)는 각각의 패킷 차단 장치(1000)의 저장부(200)에 저장되는 정보이다. 8, the blocking
예를 들어 도 8의 첫번째줄에 예시된 소스 IP 주소가 139.275.113.21이고, 발신 위치 정보가 03650.0908(위도 정보), 012854.6072(경도 정보)이고, 목적지 IP 주소가 218.234.112.35인 패킷은 218.234.112.35인 IP 주소로의 패킷 전송이 1회 차단되었다는 의미이다. 한편, 도 8의 두번째줄에 예시된 소스 IP 주소가 215.237.102.37이고, 목적지 IP 주소가 145.138.132.45인 패킷은 GPS 모듈을 구비하고 있지 않은 사용자 단말(10)을 상정한 것으로서 3회 접속이 차단되었다.For example, a packet having a source IP address of 139.275.113.21, a source IP address of 03650.0908 (latitude information), 012854.6072 (longitude information), and a destination IP address of 218.234.112.35 illustrated in the first line of FIG. 8 is 218.234.112.35 It means that the packet transmission to the IP address is interrupted once. On the other hand, the packet having the source IP address 215.237.102.37 and the destination IP address 145.138.132.45 illustrated in the second row of FIG. 8 assumes the user terminal 10 having no GPS module, .
한편, 도 8에 예시된 소스 IP 주소 및 목적지 IP 주소는 IPv4 주소 체계를 따른 것으로서 IPv6 주소 체계를 따르는 경우 32byte로 구성되는 IPv6 주소가 저장된다. 또한, 이와 같은 차단 내역 관리 정보(230)는 실시의 형태에 따라서 관제 센터 서버(30)의 운용자가 패킷 차단 장치(1000)에 접속하여 확인할 수 있도록 구현될 수 있다. Meanwhile, the source IP address and the destination IP address illustrated in FIG. 8 are based on the IPv4 address system, and when an IPv6 address scheme is followed, an IPv6 address consisting of 32 bytes is stored. Such blocking
다시 도 3을 참조하면, 제어부(300)는 저장부(200)에 저장된 차단 지역 위치 정보(210), 및 접속 제어 정보(220)를 기초로 수신부(100)에서 수신한 패킷을 차단 또는 포워딩한다. 3, the
제어부(300)는 차단 지역 위치 정보(210)를 참조하는 경우 전송되는 패킷의 발신 위치가 접속 차단 지역에 포함되면 당해 전송되는 패킷을 차단한다. If the originating position of a packet to be transmitted is included in the access blocking area when the blocking
제어부(300)는 접속 제어 정보(220)를 참조하는 경우 전송되는 패킷의 목적지 IP 주소가 접속 제어 정보(220)의 착신/발신 구분 정보가 '1'인 등록 IP 주소와 일치하고, 제어 정보가 '1'인 경우 당해 전송되는 패킷을 차단한다. When referring to the
또한 제어부(300)는 전송되는 패킷의 소스 IP 주소가 착신/발신 구분 정보가 '0'인 등록 IP 주소와 일치하지만, 전송되는 패킷의 발신 위치 정보가 해당 등록 IP 주소에 대응되는 등록 위치 정보와 일치하지 않으면 당해 패킷을 차단한다. In addition, if the source IP address of the packet to be transmitted matches the registered IP address of which the destination / source identification information is '0', the
나아가, 제어부(300)는 전송되는 패킷의 소스 IP 주소 및 발신 위치 정보가 착신/발신 구분 정보가 '0'인 등록 IP 주소 및 등록 위치 정보와 각각 일치한다 하더라도 제어 정보가 '1'인 경우 마찬가지로 당해 전송되는 패킷을 차단한다. In addition, if the source IP address and the source location information of the packet to be transmitted match the registered IP address and the registered location information of the '0', respectively, if the control information is '1' And blocks the packet to be transmitted.
제어부(300)는 본 발명의 실시예에 있어서 상기와 같은 기능을 수행함과 아울러 패킷 차단 장치(1000)의 모든 구성을 총괄적 제어하는 기능도 구비할 수 있다. The
본 발명의 실시예에 따른 패킷 차단 장치(1000)의 구성은 상술한 바와 같다. 이하에서는 본 발명의 실시예에 따른 패킷 차단 방법에 대하여 도면을 참조하여 설명하기로 한다.The configuration of the
[차단 방법의 실시예][Embodiment of blocking method]
도 9는 본 발명의 실시예에 따른 패킷 차단 방법의 흐름도이다. 9 is a flowchart of a packet blocking method according to an embodiment of the present invention.
도 9를 참조하면, 본 발명의 실시예에 따른 패킷 차단 방법은 접속 차단 지역을 나타내는 차단 지역 위치 정보를 저장하는 단계(단계 S101), 소스 IP 주소, 목적지 IP 주소 및 발신 위치 정보를 포함하는 헤더를 가진 패킷을 수신하는 단계(단계 S102), 및 상기 발신 위치 정보에 대응되는 상기 패킷의 발신 위치가 상기 접속 차단 지역에 포함되는 경우(단계 S103의 Y) 상기 패킷을 차단하는 단계(단계 S104)를 포함한다. 한편 상기 패킷의 발신 위치가 상기 접속 차단 지역에 포함되지 않는 경우(단계 S103의 N) 상기 패킷은 차단되지 않고 포워딩된다.Referring to FIG. 9, a packet blocking method according to an exemplary embodiment of the present invention includes storing blocking area location information indicating an access blocking area (step S101), a header including a source IP address, a destination IP address, (Step S102); and, when the transmission position of the packet corresponding to the transmission position information is included in the connection blocking area (Y in step S103), blocking the packet (step S104) . On the other hand, when the transmission position of the packet is not included in the access blocking area (N in step S103), the packet is forwarded without being blocked.
단계 S101에서는 접속 차단 지역을 나타내는 차단 지역 위치 정보(210)가 저장부(200)에 저장된다. 차단 지역 위치 정보(210)는 관리 센터 서버(30)로부터 전송되며, 차단 지역 위치 정보는 상술한 바와 같이 위도상의 상위 경계를 나타내는 상위 경계 위도 정보, 위도상의 하위 경계를 나타내는 하위 경계 위도 정보, 경도상의 좌측 경계를 나타내는 좌측 경계 경도 정보, 경도상의 우측 경계를 나타내는 우측 경계 경도 정보로 구성된다.In step S101, the blocking
단계 S102에서는 수신부(100)가 소스 IP 주소, 목적지 IP 주소 및 발신 위치 정보를 포함하는 헤더를 가진 패킷을 수신한다. 소스 IP 주소와 목적지 IP 주소는 IPv4 주소 체계 혹은 IPv6 주소 체계를 따를 수 있으며, 발신 위치 정보는 패킷을 전송하는 사용자 단말(10)에 구비된 GPS 모듈로부터 얻어지는 위도/경도를 포함하는 위치 정보이다.In step S102, the receiving
단계 S103에서 제어부(300)는 패킷의 발신 위치가 접속 차단 지역에 포함되는지 여부를 판단한다. 패킷의 발신 위치가 접속 차단 지역에 포함되는 경우 단계 S104로 진행하며, 포함되지 않는 경우 단계 S105로 진행한다.In step S103, the
단계 S104에서는 패킷의 발신 위치가 접속 차단 지역에 포함되므로, 제어부(300)가 당해 전송되는 패킷을 차단한다.In step S104, since the packet sending location is included in the access blocking area, the
단계 S105에서는 패킷의 발신 위치가 접속 차단 지역에 포함되지 않으므로, 제어부(300)가 당해 전송되는 패킷을 목적지 IP 주소를 가진 사용자 단말(10)(또는 서버(20))로 포워딩한다.In step S105, since the packet sending location is not included in the access blocking area, the
한편, 다른 실시 형태에서는 단계 S101에서 저장부(200)가 착신/발신 구분 정보, 등록 IP 주소 및 등록 위치 정보가 매칭되어 있는 접속 제어 정보(220)를 더 저장하고, 단계 S103에서 제어부(300)는 전송되는 패킷의 발신 위치가 상기 접속 차단 지역에 포함되지 않고, 전송되는 패킷의 소스 IP 주소가 착신/발신 구분 정보가 발신을 나타내는 등록 IP 주소와 일치하고, 전송되는 패킷의 발신 위치 정보와 등록 위치 정보가 불일치하는지 여부를 판단하며, 단계 S104는 단계 S103의 판단이 불일치로 판단될 경우 제어부(300)가 당해 전송되는 패킷을 차단하는 단계일 수 있다.In another embodiment, the
또한 다른 실시 형태에서는 단계 S101에서 저장부(200)가 착신/발신 구분 정보, 등록 IP 주소가 매칭되어 있는 접속 제어 정보(220)를 더 저장하고, 단계 S103에서 제어부(300)는 전송되는 패킷의 목적지 IP 주소가 착신/발신 구분 정보가 착신을 나타내는 등록 IP 주소와 일치하는지 여부를 판단하며, 단계 S104는 전송되는 패킷의 목적지 IP 주소가 착신/발신 구분 정보가 착신을 나타내는 등록 IP 주소와 일치하는 경우 당해 전송되는 패킷을 차단하는 단계일 수 있다.In another embodiment, in step S101, the
또한 다른 실시 형태에서는 단계 S104 다음에 부가하여, 단계 S106으로서, 저장부(200)가 차단된 패킷의 소스 IP 주소, 목적지 IP 주소, 발신 위치 정보, 및 수신 횟수 중 적어도 하나를 포함하는 차단 내역 관리 정보(230)를 저장하는 단계를 더 포함할 수도 있다.In addition, in another embodiment, in addition to step S104, in step S106, the
도 10은 본 발명의 최선의 실시예에 따른 패킷 차단 방법을 나타내는 흐름도이다. 본 최선의 실시예에 있어서, 접속 제어 정보(220)의 착신/발신 구분 정보가 착신(='1')을 나타내는 등록 IP 주소의 경우, 그 등록 IP 주소의 제어 정보는 모두 차단(='1')인 경우로 상정한다.10 is a flowchart showing a packet blocking method according to the best embodiment of the present invention. In the present embodiment, when the incoming / outgoing call distinguishing information of the
도 10을 참조하면, 단계 S201에서는 수신부(100)가 사용자 단말(10)(또는 서버(20))로부터 패킷을 수신한다. 이때 패킷은 IPv4 패킷 또는 IPv6 패킷일 수 있다.Referring to FIG. 10, in step S201, the receiving
단계 S202에서 제어부(300)는 저장부(200)에 저장된 차단 지역 위치 정보(210)를 참조하여 수신된 패킷의 발신 위치가 접속 차단 지역에 포함되는지 여부를 판단한다. 발신 위치가 접속 차단 지역에 포함되는 경우 단계 S208로 진행하고, 발신 위치가 접속 차단 지역에 포함되지 않는 경우 단계 S203으로 진행한다.In step S202, the
단계 S203에서 제어부(300)는 저장부(200)에 저장된 접속 제어 정보(220)를 참조하여 수신된 패킷의 헤더에 포함된 소스 IP 주소와 착신/발신 구분 정보가 '0'인 등록 IP 주소가 일치하는지 판단한다. 소스 IP 주소와 착신/발신 구분 정보가 '0'인 등록 IP 주소가 일치하는 경우 단계 S204로 진행하고, 일치하지 않는 경우 단계 S206으로 진행한다.In step S203, the
단계 S204에서 제어부(300)는 저장부(200)에 저장된 접속 제어 정보(220)를 참조하여 단계 S203에서 일치하였던 등록 IP 주소에 대응되는 등록 위치 정보와 수신된 패킷의 발신 위치 정보가 일치하는지 여부를 판단한다. 등록 위치 정보와 발신 위치 정보가 일치하는 경우 단계 S205으로 진행하고, 일치하지 않는 경우 단계 S208로 진행한다.In step S204, the
단계 S205에서 제어부(300)는 저장부(200)에 저장된 접속 제어 정보(220)를 참조하여 단계 S203 및 단계 S204에서 일치하였던 등록 IP 주소 및 등록 위치 정보에 대응되는 제어 정보가 'O'인지 '1'인지 판단한다. 제어 정보가 '0'인 경우, 즉 패킷을 차단하지 않는 경우 단계 S206으로 진행하고, 제어 정보가 '1'인 경우, 즉 패킷을 차단하는 경우 단계 S208로 진행한다. In step S205, the
단계 S207에서 제어부(300)는 저장부(200)에 저장된 접속 제어 정보(220)를 참조하여 수신된 패킷의 헤더에 포함된 목적지 IP 주소와 착신/발신 구분 정보가 '1'인 등록 IP 주소가 일치하는지 판단한다. 목적지 IP 주소와 착신/발신 구분 정보가 '1'인 등록 IP 주소가 일치하는 경우 단계 S208로 진행하고, 일치하지 않는 경우 단계 S207로 진행한다.In step S207, the
단계 S207에서 제어부(300)는 전송된 패킷을 목적지 IP 주소를 가진 사용자 단말(10)(또는 서버(20))로 포워딩하고 절차를 종료한다.In step S207, the
단계 S208에서 제어부(300)는 전송된 패킷을 차단한다. In step S208, the
이어서 단계 S209에서 제어부(300)는 단계 S208에서 차단된 패킷의 헤더에 포함된 소스 IP 주소, 목적지 IP 주소, 발신 위치 정보, 및 수신 횟수 중 적어도 하나를 포함하는 차단 내역 관리 정보(230)를 생성하고, 이 차단 내역 관리 정보(230)를 저장부(200)에 저장한다.In step S209, the
본 발명의 일 실시예에 따른 패킷 차단 장치(1000) 및 패킷 차단 방법에 의하면 패킷의 헤더에 포함된 (발신) 위치 정보를 이용하므로 범죄를 야기할 가능성이 높은 특정 지역으로부터 전송되는 악의적인 패킷을 효과적으로 차단할 수 있다. 또한 GPS 모듈에 의한 위치 정보를 이용하므로 악의적인 패킷을 전송한 사용자 단말(10) 또는 서버(20)의 위치를 용이하게 파악할 수 있으므로 악의적인 패킷을 전송한 사용자를 효과적으로 추적할 수 있게 된다.According to the
또한, 본 발명의 다른 실시예에 따른 패킷 차단 장치(1000) 및 패킷 차단 방법에 의하면 등록 IP 주소와 이에 대응하는 등록 위치 정보를 미리 등록하여 저장하고 있으므로 전송되는 패킷의 소스 IP 주소가 변경 혹은 도용된 경우에도 보다 적절한 패킷의 차단 제어가 가능해진다. 또한, 전송되는 패킷에 관한 제어 정보를 저장하고 있으므로 전송되는 패킷의 차단 여하를 운용자의 의도에 부합하도록 판단할 수 있게 된다.In addition, according to the
또한, 본 발명의 다른 실시예에 따른 패킷 차단 장치(1000) 및 패킷 차단 방법에 의하면, 접속 제어 정보(220)에 착신/발신 구분 정보가 착신을 나타내는 등록 IP 주소, 즉 접속이 허용되지 않는 단말(또는 서버)의 IP 주소가 저장되어 있으므로 접속이 불허되는 단말이나 서버로 악의적인 패킷이 전송되는 것을 차단할 수 있다. 이로써 보안성이 높게 요구되는 단말이나 서버를 악의적인 트래픽 공격으로부터 효과적으로 보호할 수 있게 된다.In addition, according to the
또한, 본 발명의 다른 실시예에 따른 패킷 차단 장치(1000) 및 패킷 차단 방법에 의하면 차단된 패킷의 내역 리스트를 가진 차단 내역 관리 정보(230)를 별도로 저장 가능하므로 패킷 차단 장치(1000)의 사용자 또는 관리 센터 서버(30)의 운용자는 차단 내역 관리 정보(230)를 참조하여 보다 유효한 보안 정책을 수립할 수 있게 된다.In addition, according to the
또한, 본 발명의 다른 실시예에 따른 패킷 차단 장치(1000) 및 패킷 차단 방법에 의하면 IPv4 패킷 및 IPv6 패킷의 전송에도 대응 가능하므로 기존의 IP 주소 체계(IPv4) 및 새로이 제정된 IP 주소 체계(IPv6)에서도 악의적인 패킷을 효과적으로 차단할 수 있다. Also, according to the
상술한 바와 같이, 본 발명의 바람직한 실시예를 참조하여 본 발명을 설명하였지만 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자라면 하기의 특허청구범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다. 따라서 본 발명 사상은 아래에 기재된 특허청구범위에 의해서 파악되어야 하고, 이의 균등 또는 등가적 변형 모두가 본 발명 사상의 범주에 속한다고 할 것이다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it will be understood by those of ordinary skill in the art that various changes in form and details may be made therein without departing from the spirit and scope of the invention as defined by the appended claims. It will be understood that various modifications and changes may be made in the present invention. Accordingly, it is to be understood that the scope of the present invention is defined by the claims appended hereto, and all of its equivalents or equivalents are included in the scope of the present invention.
10, 10a, 10b, 10c : 사용자 단말
20, 20a, 20b : 서버
30 : 관제 센터 서버
40 : 인터넷망
100 : 수신부
200 : 저장부
210 : 차단 지역 위치 정보
220 : 접속 제어 정보
230 : 차단 내역 관리 정보
300 : 제어부
1000, 1000a, 1000b, 1000c, 1000d, 1000e : 패킷 차단 장치10, 10a, 10b, 10c:
20, 20a, 20b: server
30: Control center server
40: Internet network
100:
200:
210: Block location information
220: connection control information
230: Blocking history management information
300:
1000, 1000a, 1000b, 1000c, 1000d, 1000e: Packet blocking device
Claims (1)
접속 차단 지역을 나타내는 차단 지역 위치 정보를 저장하는 저장부; 및
상기 발신 위치 정보에 대응되는 상기 패킷의 발신 위치가 상기 접속 차단 지역에 포함되는 경우 상기 패킷을 차단하는 제어부를 포함하는 패킷 차단 장치.
A receiving unit for receiving a packet having a header including a source IP address, a destination IP address, and origination location information;
A storage unit for storing blocking area location information indicating a connection blocking area; And
And blocking the packet if a transmission position of the packet corresponding to the transmission position information is included in the connection blocking area.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020140073528A KR20150144570A (en) | 2014-06-17 | 2014-06-17 | Packet interception device and packet interception method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020140073528A KR20150144570A (en) | 2014-06-17 | 2014-06-17 | Packet interception device and packet interception method |
Publications (1)
Publication Number | Publication Date |
---|---|
KR20150144570A true KR20150144570A (en) | 2015-12-28 |
Family
ID=55084867
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020140073528A KR20150144570A (en) | 2014-06-17 | 2014-06-17 | Packet interception device and packet interception method |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR20150144570A (en) |
-
2014
- 2014-06-17 KR KR1020140073528A patent/KR20150144570A/en not_active Application Discontinuation
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10958623B2 (en) | Identity and metadata based firewalls in identity enabled networks | |
US11652792B2 (en) | Endpoint security domain name server agent | |
US20160308904A1 (en) | Integrative network management method and apparatus for supplying connection between networks based on policy | |
US11108738B2 (en) | Communication apparatus and communication system | |
US8737396B2 (en) | Communication method and communication system | |
US20160173452A1 (en) | Multi-connection system and method for service using internet protocol | |
US10397111B2 (en) | Communication device, communication system, and communication method | |
JP2013503572A (en) | Method for optimizing the route cache | |
US10601777B2 (en) | Data inspection system and method | |
US10834052B2 (en) | Monitoring device and method implemented by an access point for a telecommunications network | |
US20080101222A1 (en) | Lightweight, Time/Space Efficient Packet Filtering | |
WO2021244449A1 (en) | Data processing method and apparatus | |
WO2010124014A2 (en) | Methods, systems, and computer readable media for maintaining flow affinity to internet protocol security (ipsec) sessions in a load-sharing security gateway | |
CN106507414B (en) | Message forwarding method and device | |
US20220174085A1 (en) | Data Processing Method and Apparatus | |
CN113347198B (en) | ARP message processing method, device, network equipment and storage medium | |
AU2015301504B2 (en) | End point secured network | |
CN111245858A (en) | Network flow interception method, system, device, computer equipment and storage medium | |
KR20150144570A (en) | Packet interception device and packet interception method | |
KR20210051208A (en) | Apparatus and method for providing security to an end-to-end communication | |
US20130133060A1 (en) | Communication system, control device and control program | |
US11044197B2 (en) | System and method for protecting resources using network devices | |
US20230269236A1 (en) | Automatic proxy system, automatic proxy method and non-transitory computer readable medium | |
JP2019047239A (en) | Packet filtering device | |
US20150288509A1 (en) | Transport Control Protocol Sequence Number Recovery in Stateful Devices |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
WITN | Withdrawal due to no request for examination |