KR20150144570A - Packet interception device and packet interception method - Google Patents

Packet interception device and packet interception method Download PDF

Info

Publication number
KR20150144570A
KR20150144570A KR1020140073528A KR20140073528A KR20150144570A KR 20150144570 A KR20150144570 A KR 20150144570A KR 1020140073528 A KR1020140073528 A KR 1020140073528A KR 20140073528 A KR20140073528 A KR 20140073528A KR 20150144570 A KR20150144570 A KR 20150144570A
Authority
KR
South Korea
Prior art keywords
packet
information
address
blocking
transmitted
Prior art date
Application number
KR1020140073528A
Other languages
Korean (ko)
Inventor
예병호
노성기
박종대
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020140073528A priority Critical patent/KR20150144570A/en
Publication of KR20150144570A publication Critical patent/KR20150144570A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Technology Law (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

The present invention relates to a packet blocking device and a packet blocking method based on an IP address and position information. The packet blocking device according to the present invention comprises: a receiving unit for receiving a packet having a header including a source IP address, a destination IP address, and transmission position information; a storing unit for storing information on a position of a blocked area, which shows an access blocking area; and a control unit for blocking the packet when a transmission position of the packet corresponding to the transmission position information is included in the access blocking area.

Description

패킷 차단 장치 및 패킷 차단 방법{PACKET INTERCEPTION DEVICE AND PACKET INTERCEPTION METHOD}[0001] PACKET INTERCEPTION DEVICE AND PACKET INTERCEPTION METHOD [0002]

본 발명은 패킷 차단 장치 및 패킷 차단 방법에 관한 것으로서, 더욱 자세하게는 위치 정보에 기반한 패킷 차단 장치 및 패킷 차단 방법에 관한 것이다.The present invention relates to a packet blocking device and a packet blocking method, and more particularly, to a packet blocking device and a packet blocking method based on location information.

현재 인터넷망에서는 IP(IPv4 또는 IPv6) 주소 정보를 기반으로 하여 발신 장치와 착신 장치간 패킷 교환을 통해 데이터가 전송된다. 여기서 모든 발신 장치 및 착신 장치를 식별하는 고유한 값인 IP 주소는 일정 크기의 패킷 헤더에 기록되어서 인터넷망을 통한 데이터 전송에 이용된다.In the current Internet network, data is transmitted through packet exchange between a source apparatus and a destination apparatus based on IP (IPv4 or IPv6) address information. The IP address, which is a unique value for identifying all of the source apparatus and the destination apparatus, is recorded in a packet header of a predetermined size and is used for data transmission through the Internet network.

한편, 최근에는 악의적인 목적으로 발신 장치의 IP 주소를 변경하여 특정 서버나 장치를 공격하는 범죄가 잇따르고 있다. 이러한 범죄로 인해 주요 시설의 기능이 마비되어 심각한 피해 및 사회적인 문제를 초래하고 있다. 하지만 IP 주소를 변경 혹은 도용하는 경우 상기 특정 서버나 장치를 공격한 자를 찾아내기가 매우 곤란하며, 이와 같은 범죄에 대하여 통상적으로 트래픽 흐름의 형태를 분석하거나 패킷 정보를 분석하여 패킷을 차단하는 방법이 사용되지만 효과적인 방법이 되지 못하고 있는 실정이다.Meanwhile, in recent years, there has been an increasing number of crimes of attacking specific servers or devices by changing the IP address of the originating device for malicious purposes. These crimes are causing major disruptions in the functioning of major facilities, resulting in serious damage and social problems. However, if the IP address is changed or stolen, it is very difficult to find out who attacked the specific server or device. In such a case, a method of analyzing the type of traffic flow or analyzing packet information to block packets But it is not an effective method.

본 발명은 패킷 헤더에 패킷을 전송하는 단말 또는 서버의 (발신) 위치 정보를 포함시키고, 이 위치 정보와 패킷 헤더의 소스 IP 주소 및 목적지 IP 주소를 기초로 악의적인 패킷의 전송을 차단 제어하는 패킷 차단 장치 및 패킷 차단 방법을 제공하는데 그 목적이 있다. The present invention includes a packet header including (location) information of a terminal or a server transmitting a packet, and a packet for blocking the transmission of a malicious packet based on the location information and the source IP address and the destination IP address of the packet header And a packet blocking method.

본 발명의 일 실시예에 따른 패킷 차단 장치는 소스 IP 주소, 목적지 IP 주소 및 발신 위치 정보를 포함하는 헤더를 가진 패킷(packet)을 수신하는 수신부, 접속 차단 지역을 나타내는 차단 지역 위치 정보를 저장하는 저장부, 및 상기 발신 위치 정보에 대응되는 상기 패킷의 발신 위치가 상기 접속 차단 지역에 포함되는 경우 상기 패킷을 차단하는 제어부를 포함한다.The packet blocking device according to an embodiment of the present invention includes a receiving unit for receiving a packet having a header including a source IP address, a destination IP address, and origination location information, a blocking area location information indicating an access blocking area, And a control unit for blocking the packet when a transmission position of the packet corresponding to the transmission position information is included in the connection blocking area.

본 발명의 다른 실시예에 따른 패킷 차단 장치에 있어서, 상기 저장부는 구분 정보, 등록 IP 주소 및 등록 위치 정보가 매칭되어 있는 접속 제어 정보를 더 저장하고, 상기 제어부는 상기 패킷의 발신 위치가 상기 접속 차단 지역에 포함되지 않고, 상기 소스 IP 주소와 상기 구분 정보가 발신인 경우 대응되는 상기 등록 IP 주소가 일치하며, 상기 발신 위치 정보와 상기 등록 위치 정보가 불일치하는 경우 상기 패킷을 차단하는 것을 특징으로 한다.In the packet blocking apparatus according to another embodiment of the present invention, the storage unit further stores connection control information in which classification information, a registered IP address, and registration position information are matched, And blocks the packet when the source IP address matches the registered IP address corresponding to the source information and the registration information does not match the source location information and the registration location information, .

본 발명의 다른 실시예에 따른 패킷 차단 장치에 있어서, 상기 저장부는 구분 정보 및 등록 IP 주소가 매칭되어 있는 접속 제어 정보를 더 저장하고, 상기 제어부는 상기 목적지 IP 주소와 상기 구분 정보가 착신인 경우 대응되는 상기 등록 IP 주소가 일치하는 경우 상기 패킷을 차단하는 것을 특징으로 한다.In the packet blocking apparatus according to another embodiment of the present invention, the storage unit further stores connection control information matching the classification information and the registered IP address, and the control unit, when the destination IP address and the identification information are incoming And blocks the packet if the corresponding registered IP address matches.

본 발명의 다른 실시예에 따른 패킷 차단 장치에 있어서, 상기 저장부는 상기 패킷의 상기 소스 IP 주소, 상기 목적지 IP 주소, 상기 발신 위치 정보, 및 상기 패킷의 수신 횟수 중 적어도 하나를 포함하는 차단 내역 관리 정보를 더 저장하는 것을 특징으로 한다.In the packet blocking apparatus according to another embodiment of the present invention, the storage unit may include a blocking history management unit that includes at least one of the source IP address, the destination IP address, the location information of the packet, And further stores the information.

본 발명의 다른 실시예에 따른 패킷 차단 장치에 있어서, 상기 패킷은 IPv4(Internet Protocol version 4) 패킷 또는 IPv6(Internet Protocol version 6) 패킷인 것을 특징으로 한다.In the packet blocking device according to another embodiment of the present invention, the packet is an IPv4 (Internet Protocol version 4) packet or an IPv6 (Internet Protocol version 6) packet.

본 발명의 실시예에 따른 패킷 차단 장치 및 패킷 차단 방법에 의하면 패킷의 헤더에 포함된 위치 정보를 이용하므로 범죄를 야기할 가능성이 높은 특정 지역으로부터 전송되는 악의적인 패킷을 효과적으로 차단할 수 있다. 또한 위치 정보를 이용하므로 악의적인 패킷을 전송한 사용자 단말 또는 서버의 위치를 파악할 수 있어 악의적인 패킷을 전송한 사용자를 용이하게 추적할 수 있다.According to the packet blocking device and the packet blocking method according to the embodiment of the present invention, since the location information included in the header of the packet is used, a malicious packet transmitted from a specific area likely to cause a crime can be effectively blocked. Also, since the location information is used, the location of the user terminal or the server that transmitted the malicious packet can be grasped and the user who transmitted the malicious packet can be easily tracked.

도 1은 본 발명에 따른 패킷 차단 장치 및 패킷 차단 방법이 적용되는 패킷 전송 시스템을 모식적으로 나타낸 도면이다.
도 2는 본 발명에 따른 패킷 차단 장치 및 패킷 차단 방법이 적용되는 패킷 전송 시스템의 패킷 전송 절차를 모식적으로 나타낸 도면이다.
도 3은 본 발명의 실시예에 따른 패킷 차단 장치의 구성을 나타낸 도면이다.
도 4는 본 발명의 실시예에 있어서의 IPv4 패킷의 구성을 나타낸 도면이다.
도 5는 본 발명의 실시예에 있어서의 IPv6 패킷의 구성을 나타낸 도면이다.
도 6(a)는 본 발명의 실시예에 따른 차단 지역 위치 정보를 나타낸 도면이다.
도 6(b)는 본 발명의 실시예에 따른 접속 차단 지역을 나타낸 도면이다.
도 7은 본 발명의 실시예에 따른 접속 제어 정보를 나타낸 도면이다.
도 8은 본 발명의 실시예에 따른 저장부에 저장되는 차단 내역 관리 정보를 나타낸 도면이다.
도 9는 본 발명의 실시예에 따른 패킷 차단 방법의 흐름도이다.
도 10은 본 발명의 최선의 실시예에 따른 패킷 차단 방법을 나타낸 흐름도이다.1 is a diagram schematically illustrating a packet transmission system to which a packet blocking apparatus and a packet blocking method according to the present invention are applied.
2 is a diagram schematically illustrating a packet transmission procedure of a packet transmission system to which a packet blocking apparatus and a packet blocking method according to the present invention are applied.
3 is a block diagram of a packet blocking apparatus according to an embodiment of the present invention.
4 is a diagram showing a configuration of an IPv4 packet in an embodiment of the present invention.
5 is a diagram showing a configuration of an IPv6 packet according to an embodiment of the present invention.
6 (a) is a view showing blocking area location information according to an embodiment of the present invention.
6 (b) is a view showing a connection blocking area according to an embodiment of the present invention.
7 is a diagram illustrating connection control information according to an embodiment of the present invention.
FIG. 8 is a view illustrating blocking history management information stored in a storage unit according to an embodiment of the present invention. FIG.
9 is a flowchart of a packet blocking method according to an embodiment of the present invention.
10 is a flowchart illustrating a packet blocking method according to the best embodiment of the present invention.

이하 첨부된 도면들을 참조하여 본 발명의 바람직한 실시예를 상세하게 설명하지만, 본 발명이 실시예에 의해 제한되거나 한정되는 것은 아니다. 참고로, 본 설명에서 동일한 번호는 실질적으로 동일한 요소를 지칭하며, 이러한 규칙하에서 다른 도면에 기재된 내용을 인용하여 설명할 수 있다. 그리고 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 자명하다고 판단되거나 반복되는 내용은 생략될 수 있다. DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings. However, the present invention is not limited to the embodiments. For reference, the same numbers in this description refer to substantially the same elements and can be described with reference to the contents of other drawings under these rules. The present invention may be embodied in other specific forms without departing from the spirit or essential characteristics thereof.

[패킷 전송 시스템][Packet transmission system]

도 1은 본 발명에 따른 패킷 차단 장치 및 패킷 차단 방법이 적용되는 패킷 전송 시스템을 모식적으로 나타낸 도면이다.1 is a diagram schematically illustrating a packet transmission system to which a packet blocking apparatus and a packet blocking method according to the present invention are applied.

도 1을 참조하면 '10a', '10b', '10c'(통칭하여 '10')는 사용자 단말, '20a', '20b'(통칭하여 '20')는 서버, '30'은 관제 센터 서버, '40'은 인터넷망, '1000a', '1000b', '1000c', '1000d', '1000e'(통칭하여 '1000')는 패킷 차단 장치를 나타낸다.Referring to FIG. 1, '10a', '10b' and '10c' (collectively, '10') are user terminals, '20a' and '20b' '1000' (collectively, '1000') indicates a packet blocking device, and '40' is an Internet network, '1000a', '1000b', '1000c', '1000d'

사용자 단말(10)은 가정용 또는 기업용 정보통신 단말를 지칭하는 것으로서, 데스크탑 PC, 랩탑 PC, PDA(Personal digital assistant), 스마트폰, 스마트 패드 등일 수 있다. 사용자 단말(10)은 패킷 차단 장치(1000)를 통하여 인터넷망(40)에 접속된다.The user terminal 10 may be a desktop PC, a laptop PC, a personal digital assistant (PDA), a smart phone, a smart pad, or the like, which refers to an information communication terminal for home or business use. The user terminal 10 is connected to the Internet network 40 via the packet intercepting apparatus 1000.

서버(20)는 클라이언트(예를 들어 사용자 단말(10))에 대하여 서비스를 제공하는 컴퓨팅 장치이다. 서버(20)는 클라이언트로부터의 패킷을 수신하고 이를 소정의 프로그램으로 처리한 결과로서의 응답 패킷을 패킷 차단 장치(1000) 및 인터넷망(40)을 통해 클라이언트로 전송한다.The server 20 is a computing device that provides services to a client (e.g., user terminal 10). The server 20 receives a packet from a client and transmits a response packet as a result of processing the packet to a predetermined program to the client via the packet intercepting apparatus 1000 and the Internet network 40.

사용자 단말(10) 및 서버(20)에는 위치 정보를 생성 가능한 GPS 모듈이 장착되어 있다. 위치 정보는 사용자 단말(10) 또는 서버(20)가 소재하는 위치에 관한 위도/경도로 나타내어진 정보이다. 이와 같은 위치 정보는 후술하는 바와 같이 본발명에 따른 패킷 차단 장치(1000) 및 패킷 차단 방법에 관여한다.The user terminal 10 and the server 20 are equipped with a GPS module capable of generating position information. The location information is information indicated by the latitude / longitude with respect to the location where the user terminal 10 or the server 20 is located. Such location information is related to the packet blocking apparatus 1000 and the packet blocking method according to the present invention, as described below.

관제 센터 서버(30)는 그 운용자에 의해 정기적으로 또는 수시적으로 갱신되는 차단 지역 위치 정보(210), 및 접속 제어 정보(220) 등의 관리 정보를 패킷 차단 장치(1000)로 전송하는 역할을 수행한다. 관제 센터 서버(30)는 특히, 후술할 접속 제어 정보(220)를 등록 또는 갱신함에 있어서 등록 IP 주소와 매칭되는 등록 위치 정보가 실제로 그 등록 IP 주소에 해당하는 위치의 정보에 해당하는지 검토 및 확인하는 기능을 더 포함하고 있을 수 있다.The control center server 30 transmits the management information such as the blocking area location information 210 and the access control information 220 that are periodically or temporally updated by the operator to the packet blocking apparatus 1000 . In particular, when registering or updating the connection control information 220 to be described later, the control center server 30 checks whether the registration position information matched with the registration IP address actually corresponds to the information of the position corresponding to the registration IP address, And the like.

패킷 차단 장치(1000)는 그 자체가 게이트웨이(gateway)로서의 역할을 수행할 수도 있다. 또한 패킷 차단 장치(1000)는 게이트웨이에 하드웨어적으로 장착되거나 소프트웨어적으로 설치되어서 구현될 수도 있으며, 패킷 차단 장치(1000)에는 복수의 사용자 단말(10)이 접속되어 있을 수도 있다. 패킷 차단 장치(1000)는 관제 센터 서버(30)로부터 수신한 차단 지역 위치 정보(210), 및 접속 제어 정보(220) 등의 관리 정보를 참조하여 출입하는 패킷의 차단 제어를 수행한다. 패킷 차단 장치(1000)의 보다 상세한 구성 및 기능에 대하여는 실시예로 후술한다.The packet blocking apparatus 1000 itself may serve as a gateway. In addition, the packet blocking device 1000 may be hardware-installed in the gateway or installed in a software manner, and a plurality of user terminals 10 may be connected to the packet blocking device 1000. The packet blocking apparatus 1000 performs blocking control of an accessing packet by referring to management information such as the blocking area location information 210 and the connection control information 220 received from the control center server 30. A more detailed configuration and function of the packet intercepting apparatus 1000 will be described later as an embodiment.

도 2는 본 발명에 따른 패킷 차단 장치(1000) 및 패킷 차단 방법이 적용되는 패킷 전송 시스템의 패킷 전송 절차를 모식적으로 나타낸 도면이다.2 is a diagram schematically illustrating a packet transmission procedure of a packet transmission system to which a packet intercepting apparatus 1000 and a packet blocking method according to the present invention are applied.

도 2를 참조하면, 단계 S001에서 관제 센터 서버(30)는 관리 정보를 패킷 차단 장치(1000a, 1000d)로 전송한다. 관리 정보는 차단 지역 위치 정보(210) 및 접속 제어 정보(220)를 포함할 수 있다.Referring to FIG. 2, in step S001, the control center server 30 transmits management information to the packet blocking apparatuses 1000a and 1000d. The management information may include blocking area location information 210 and access control information 220.

단계 S002에서는 사용자 단말(10a)이 인터넷망(40)을 통해 서버(20a)에 접속하려는 경우, 사용자 단말(10a)에 구비된 GPS 모듈은 사용자 단말(10a)이 소재한 위치 정보(발신 위치 정보)를 생성한다. 발신 위치 정보는 전송하려는 패킷의 헤더에 기록된다.In step S002, when the user terminal 10a accesses the server 20a via the Internet 40, the GPS module provided in the user terminal 10a transmits location information (transmission location information) of the user terminal 10a, . The originating location information is recorded in the header of the packet to be transmitted.

이어서 단계 S003에서는 발신 위치 정보가 기록된 헤더를 가진 패킷이 사용자 단말(10a)로부터 패킷 차단 장치(1000a)로 전송된다. Then, in step S003, a packet having a header in which the transmission position information is recorded is transmitted from the user terminal 10a to the packet interception device 1000a.

단계 S004에서 패킷 차단 장치(1000a)는 단계 S001에서 관제 센터 서버(30)로부터 수신한 관리 정보를 기초로 패킷 차단 방법을 수행한다. 패킷 차단 방법의 자세한 내용에 대하여는 후술한다. In step S004, the packet intercepting apparatus 1000a performs a packet blocking method based on the management information received from the control center server 30 in step S001. Details of the packet blocking method will be described later.

단계 S004에서의 패킷 차단 방법에 의하여 패킷이 차단되지 않는 경우 단계 S005에서는 패킷 차단 장치(1000a)가 통상적인 패킷 포워딩 절차, 즉 차단되지 않은 패킷을 패킷 인터넷망(40)을 통해 차단 장치(1000d)로 전송하는 절차를 수행한다. In step S005, if the packet is not blocked by the packet blocking method in step S004, the packet blocking apparatus 1000a performs a normal packet forwarding procedure, i.e., the unblocked packet is transmitted to the blocking apparatus 1000d via the packet Internet network 40. [ As shown in FIG.

단계 S006에서는 패킷 차단 장치(1000d)가 서버(20a)로 패킷을 포워딩한다.In step S006, the packet intercepting apparatus 1000d forwards the packet to the server 20a.

단계 S007에서 서버(20a)는 사용자 단말(10a)로부터 전송된 패킷이 요구하는 서비스 프로세스를 수행하고, 서비스 프로세스의 결과로서 응답 패킷을 생성한다(단계 S007).In step S007, the server 20a performs a service process requested by the packet transmitted from the user terminal 10a, and generates a response packet as a result of the service process (step S007).

이어서 단계 S008에서 서버(20a)는 생성한 패킷을 패킷 차단 장치(1000d)로 포워딩한다.Subsequently, in step S008, the server 20a forwards the generated packet to the packet interception device 1000d.

단계 S009에서 패킷 차단 장치(1000d)는 응답 패킷을 다시금 인터넷망(40)을 통하여 패킷 차단 장치(1000a)로 전송한다. In step S009, the packet intercepting device 1000d transmits the response packet again to the packet intercepting device 1000a through the Internet network 40. [

단계 S010에서 패킷 차단 장치(1000a)는 응답 패킷을 다시 사용자 단말(10a)로 포워딩하고, 이로써 패킷 전송 절차가 종료된다.In step S010, the packet intercepting apparatus 1000a forwards the response packet to the user terminal 10a again, thereby completing the packet transmission procedure.

본 발명에 따른 패킷 차단 장치 및 패킷 차단 방법이 적용되는 패킷 전송 시스템의 패킷 전송 절차는 상술한 바와 같으며, 상기 패킷의 차단 방법은 도 1의 패킷 차단 장치(1000d)에서 수행될 수도 있으며, 송수신단의 패킷 차단 장치(예를 들어, 1000a 및 1000d) 양방에서 수행되어도 무방하다.The packet transmission procedure of the packet transmission system to which the packet blocking apparatus and packet blocking method according to the present invention is applied is as described above. The packet blocking method may be performed in the packet blocking apparatus 1000d of FIG. 1, (For example, 1000a and 1000d) of the packet blocking device.

이하에서는 패킷 차단 장치 및 패킷 차단 방법의 실시예를 도면을 참조하여 설명한다.Hereinafter, an embodiment of a packet blocking apparatus and a packet blocking method will be described with reference to the drawings.

[패킷 차단 장치의 실시예][Embodiment of packet interception device]

도 3은 본 발명의 일 실시예에 따른 패킷 차단 장치(1000)의 구성을 나타낸 도면이다.3 is a block diagram of a packet intercepting apparatus 1000 according to an embodiment of the present invention.

도 3을 참조하면 패킷 차단 장치(1000)는 수신부(100), 저장부(200), 및 제어부(300)를 포함한다. 도시하지는 않았으나 패킷 차단 장치(1000)는 게이트웨이로서의 역할을 수행하기 위한 구성을 더 포함하여도 좋으며, 디스플레이와 같은 표시부, 전원 공급을 위한 전원부 등을 더 포함할 수도 있다.3, the packet intercepting apparatus 1000 includes a receiving unit 100, a storage unit 200, and a control unit 300. Although not shown, the packet intercepting apparatus 1000 may further include a configuration for performing a role as a gateway, and may further include a display unit such as a display and a power unit for supplying power.

수신부(100)는 소스(source) IP 주소, 목적지(destination) IP 주소 및 발신 위치 정보 등을 포함하는 헤더를 가진 패킷을 수신한다. 상술한 바와 같이 발신 위치 정보는 사용자 단말(10)에 구비된 GPS 모듈로 얻어지는 사용자 단말(10)이 소재한 위치에 대한 정보이다. The receiving unit 100 receives a packet having a header including a source IP address, a destination IP address, and origination location information. As described above, the calling location information is information on the location of the user terminal 10 obtained by the GPS module provided in the user terminal 10.

패킷의 헤더에는 IETF(Internet Engineering Task Force)에서 제정한 인터넷 규약인 IPv4 및 IPv6를 따르는 것이 있다. 본 발명의 실시예에 있어서 IPv4를 따르는 패킷(이하 IPv4 패킷)의 헤더 및 IPv6를 따르는 패킷(이하 IPv6 패킷)의 헤더는 상기 발신 위치 정보를 포함한다.The header of the packet may conform to Internet protocols IPv4 and IPv6 established by the Internet Engineering Task Force (IETF). In the embodiment of the present invention, a header of a packet conforming to IPv4 (hereinafter, referred to as an IPv4 packet) and a header of a packet conforming to an IPv6 (hereinafter referred to as an IPv6 packet) include the origination position information.

도 4는 본 발명의 실시예에 있어서의 IPv4 패킷의 구성을 나타낸 도면이다.4 is a diagram showing a configuration of an IPv4 packet in an embodiment of the present invention.

도 4를 참조하면, IPv4 패킷의 헤더는 IPv4 기본 헤더(Basic IPv4 Header, 20byte)와 옵션 헤더를 포함한다. IPv4 기본 헤더는 32bit의 소스 IP 주소 및 목적지 IP 주소 등을 포함하며, IPv4 기본 헤더의 기타 구성은 IPv4를 따르므로 자세한 설명을 생략한다.Referring to FIG. 4, the header of the IPv4 packet includes an IPv4 basic header (basic IPv4 header, 20 bytes) and an optional header. The IPv4 basic header includes a 32-bit source IP address and a destination IP address. Other configurations of the IPv4 basic header follow IPv4, so a detailed description will be omitted.

옵션 헤더는 발신 위치 정보가 기록된다. 구체적으로 8bit의 옵션 타입 정보, 8bit의 옵션 헤더 길이 정보, 북위/남위를 나타내는 1byte의 N/S 지정 정보를 포함한 9byte의 위도 정보, 동경/서경를 나타내는 1byte의 E/W 지정 정보를 포함한 10byte의 경도 정보, 및 옵션 헤더를 4byte의 배수로 맞추기 위한 1byte의 패딩이 발신 위치 정보를 구성한다. 발신 위치 정보는 사용자 단말(10)의 GPS 모듈로 얻어지는 위도/경도의 값에 기초하여 기록된다.In the option header, the transmission position information is recorded. Specifically, a 10-byte longitude including 8-bit option type information, 8-bit option header length information, 9-byte latency information including 1-byte N / S designation information indicating north latitude and south latitude, and 1-byte E / W designation information indicating longitude / 1 byte padding for aligning the information and option header to a multiple of 4 bytes constitutes the transmission position information. The originating location information is recorded based on the latitude / longitude value obtained by the GPS module of the user terminal 10. [

IPv4 기본 헤더 및 옵션 헤더를 포함하는 IPv4 패킷의 헤더 다음에는 사용자 단말(10)이 전송하려는 데이터가 이어진다. The header of the IPv4 packet including the IPv4 basic header and the optional header is followed by data to be transmitted by the user terminal 10. [

도 5는 본 발명의 실시예에 있어서의 IPv6 패킷의 구성을 나타낸 도면이다.5 is a diagram showing a configuration of an IPv6 packet according to an embodiment of the present invention.

도 5를 참조하면 IPv6 패킷의 헤더는 40Byte의 IPv6 기본 헤더 및 페이로드(payload)에 확장된 확장 헤더를 포함한다. IPv6 기본 헤더는 128bit의 소스 IP 주소 및 목적지 IP 주소 등을 포함하며, IPv6 기본 헤더에 포함된 8bit의 넥스트 헤더(next header)는 확장 헤더에 포함된 넥스트 헤더(next header)를 지시한다. IPv6 기본 헤더의 기타 구성은 IPv6을 따르므로 자세한 설명을 생략한다.Referring to FIG. 5, the header of the IPv6 packet includes an IPv6 basic header of 40 bytes and an extension header extended to a payload. The IPv6 basic header includes a 128-bit source IP address and a destination IP address. The 8-bit next header included in the IPv6 basic header indicates a next header included in the extended header. Other configurations of the IPv6 basic header follow IPv6, so a detailed description will be omitted.

페이로드에 확장된 확장 헤더에는 발신 위치 정보가 기록된다. 구체적으로 8bit의 넥스트 헤더, 발신 위치 정보의 길이를 나타내는 16bit의 확장 헤더 길이 정보, 북위/남위를 나타내는 1byte의 N/S 지정 정보를 포함한 9byte의 위도 정보, 및 동경/서경를 나타내는 1byte의 E/W 지정 정보를 포함한 10byte의 경도 정보가 발신 위치 정보를 구성한다. 발신 위치 정보는 마찬가지로 사용자 단말(10)의 GPS 모듈로 얻어지는 위도/경도의 값에 기초하여 기록된다.In the extended header extended in the payload, the outgoing location information is recorded. Specifically, it consists of 8-bit next header, 16-bit extended header length information indicating the length of the calling location information, 9-byte latitude information including 1-byte N / S designation information indicating the north / south location, and 1-byte E / W The 10-byte longitude information including the designation information constitutes the transmission position information. The originating location information is likewise recorded based on the latitude / longitude value obtained by the GPS module of the user terminal 10. [

IPv6 기본 헤더 및 확장 헤더 다음에는 사용자 단말(10)이 전송하려는 데이터가 이어진다. The IPv6 basic header and extension header are followed by data to be transmitted by the user terminal 10.

저장부(200)는 메모리 HDD, FDD, Flash memory 등의 장치 또는 클라우딩 컴퓨팅을 이용한 저장소 등으로 구현될 수 있다. 저장부(200)는 패킷의 차단에 이용되는 관리 정보를 저장한다. 관리 정보는 차단 지역 위치 정보(210) 및 접속 제어 정보(220)를 포괄하는 정보이며, 관제 센터 서버(30)로부터 수신된다. 실시의 형태에 따라서는 관리 정보에 포함된 상기 정보(210, 220)의 일부는 제외될 수도 있다. 관리 정보는 패킷의 차단을 수행함에 있어서 제어부(300)에 의하여 참조된다.The storage unit 200 may be implemented as a device such as a memory HDD, an FDD, a flash memory, or a storage using cloud computing. The storage unit 200 stores management information used for blocking packets. The management information is information that includes the blocking area location information 210 and the access control information 220 and is received from the control center server 30. According to the embodiment, some of the information 210 and 220 included in the management information may be excluded. The management information is referred to by the control unit 300 in performing blocking of the packet.

도 6 및 도 7은 차단 지역 위치 정보(210) 및 접속 제어 정보(220)를 각각 나타낸다.6 and 7 show the blocking area location information 210 and the connection control information 220, respectively.

도 6(a)를 참조하면, 차단 지역 위치 정보(210)는 접속 차단 지역의 위치 정보를 나타낸다. 차단 지역 위치 정보(210)는 도 6(a)에 도시된 것과 같은 테이블로 나타내어지며, 위도상의 상위 경계를 나타내는 상위 경계 위도 정보, 위도상의 하위 경계를 나타내는 하위 경계 위도 정보, 경도상의 좌측 경계를 나타내는 좌측 경계 경도 정보, 경도상의 우측 경계를 나타내는 우측 경계 경도 정보로 구성된다.Referring to FIG. 6A, the blocking area location information 210 indicates location information of the access blocking area. The blocking area location information 210 is represented by a table as shown in FIG. 6 (a), and includes upper-bounded latitude information indicating upper boundaries on latitude, lower-bounded latitude information indicating lower boundaries on latitude, Left boundary hardness information indicating the right boundary, and right boundary hardness information indicating the right boundary of the hardness.

상/하위 경계 위도 정보는 N/S 지정 정보와 방위각으로 이루어지고, 좌/우측 경계 경도 정보는 E/W 지정 정보와 방위각으로 이루어진다. N/S 지정 정보의 값이 0인 경우 북위를 나타내고, 1인 경우 남위를 나타낸다. 또한 E/W 지정 정보가 0인 경우 동경을 나타내고, 1인 경우 서경을 나타낸다.The upper / lower boundary latitude information is composed of the N / S designation information and the azimuth angle, and the left / right boundary hardness information is composed of the E / W designation information and the azimuth angle. When the value of the N / S designation information is 0, it represents the north, and when it is 1, it represents the south. In addition, if E / W designation information is 0, it indicates east longitude, and if it is 1, it indicates westward.

예를 들어, 도 6(a) 첫째줄의 상위 경계 위도 정보 03650.0908이 도 6(b)의 (ㄱ)을 나타내고, 하위 경계 위도 정보 04123.1324가 도 6(b)의 (ㄴ)을 나타내고, 좌측 경계 경도 정보 012854.6072가 도 6(b)의 (ㄷ)을 나타내고, 우측 경계 경도 정보 013023.5643이 도 6(b)의 (ㄹ)을 나타내는 경우, 도 6(b)의 (ㄱ),(ㄴ),(ㄷ),(ㄹ)로 둘러싸인 지역 A는 접속 차단 지역이 된다. 본 예의 경우 후술하는 제어부(300)는 사용자 단말(10)로부터 전송되는 패킷의 헤더에 포함된 발신 위치 정보가 나타내는 위치가 지역 A에 포함되면, 당해 전송되는 패킷을 차단한다. For example, the upper boundary latitude information 03650.0908 in the first line of Fig. 6 (a) shows (a) in Fig. 6 (b), the lower boundary latitude information 04123.1324 shows (b) When the hardness information 012854.6072 indicates (c) in FIG. 6 (b) and the right boundary hardness information 013023.5643 indicates (d) in FIG. 6 (b) Area A surrounded by (d) and (d) is the access blocking area. In this example, when the location indicated by the transmission position information included in the header of the packet transmitted from the user terminal 10 is included in the area A, the control unit 300, which will be described later, blocks the transmitted packet.

도 7을 참조하면, 접속 제어 정보(220)는 패킷의 차단 여하를 판단하는데 사용되는 정보로서, 착신/발신 구분 정보, 등록 IP 주소, 등록 IP 주소의 등록 위치 정보(위도/경도 정보), 및 제어 정보가 매칭되어 저장부(200)에 저장된다. 접속 제어 정보(220)에 포함된 각 정보는 관제 센터 서버(30)의 운용자에 의하여 등록, 저장된다. Referring to FIG. 7, the connection control information 220 is information used for determining whether a packet is blocked, and includes information on the registration of incoming / outgoing call, registration IP address, registration location information (latitude / longitude information) The control information is matched and stored in the storage unit 200. Each piece of information included in the connection control information 220 is registered and stored by the operator of the control center server 30.

착신/발신 구분 정보는 전송되는 패킷의 헤더에 포함된 소스 IP 주소와 목적지 IP 주소 중 어느 IP 주소를 그 착신/발신 구분 정보와 매칭된 등록 IP 주소와 대조시킬지를 나타내는 정보이다. 착신/발신 구분 정보가 발신을 나타내는 '0'인 경우 전송되는 패킷의 헤더에 포함된 소스 IP 주소와 착신/발신 구분 정보가 '0'인 등록 IP 주소가 대조되고, 착신/발신 구분 정보가 착신을 나타내는 '1'인 경우 전송되는 패킷의 헤더에 포함된 목적지 IP 주소와 착신/발신 구분 정보가 '1'인 등록 IP 주소가 대조된다.The incoming / outgoing call distinguishing information is information indicating which of the source IP address and the destination IP address included in the header of the transmitted packet is to be matched with the registered IP address matched with the incoming / outgoing distinguishing information. When the destination / source identification information is '0' indicating origination, the source IP address included in the header of the packet to be transmitted and the registered IP address having the destination / source identification information '0' are collated, '1', the destination IP address included in the header of the packet to be transmitted is compared with the registered IP address of which the destination / source identification information is '1'.

등록 IP 주소는 관제 센터 서버(30)의 운용자에 의하여 등록되는 IP 주소이다. 상술한 바와 같이, 착신/발신 구분 정보에 따라서 등록 IP 주소는, 전송되는 패킷의 헤더에 포함된 소스 IP 주소와 목적지 IP 주소 중 어느 한 IP 주소와 대조된다. 도 7의 등록 IP 주소는 IPv4 주소 체계를 따른 것으로서 IPv6 주소 체계를 따르는 경우 32byte로 구성된 IPv6 주소가 저장될 수 있다.The registered IP address is an IP address registered by the operator of the control center server 30. As described above, the registered IP address is matched with any one of the source IP address and the destination IP address included in the header of the packet to be transmitted according to the incoming / outgoing distinguishing information. The registered IP address in FIG. 7 is based on the IPv4 address system, and when the IPv6 address system is followed, an IPv6 address composed of 32 bytes can be stored.

등록 위치 정보(위도/경도 정보)는 등록 IP 주소가 부여된 사용자 단말(10)(또는 서버(20))가 실제 위치한 위치 정보를 나타낸다. 등록 위치 정보는 등록 IP 주소와 함께, 전송되는 패킷의 헤더에 포함된 IP 주소와 위치 정보가 일치하는지 여부를 판단하는데 이용된다.The registration location information (latitude / longitude information) indicates location information where the user terminal 10 (or the server 20) to which the registered IP address is assigned is actually located. Registration location information is used together with the registration IP address to determine whether or not the IP address included in the header of the transmitted packet matches the location information.

제어 정보는 상술한 착신/발신 구분 정보, 등록 IP 주소 및 등록 위치 정보(위도/경도 정보)에 기초하여 전송되는 패킷이 차단되지 않는 경우 추가적으로 차단 여부를 판단하기 위한 정보이다. 예를 들어 도 7의 경우 제어 정보가 '0'으로 등록된 경우 전송된 패킷을 포워딩하고, '1'으로 등록된 경우 전송된 패킷을 차단한다. 실시의 형태에 따라서 이와 같은 제어 정보는 생략될 수 있다. 일례로, 전송되는 패킷의 목적지 IP 주소가 착신/발신 구분 정보가 '1'인 등록 IP 주소와 일치하는 경우 당해 전송되는 패킷을 모두 차단하는 경우를 들 수 있다.The control information is information for additionally determining whether to block the packet transmitted based on the above-described call / origination discrimination information, registered IP address, and registered location information (latitude / longitude information). For example, in the case of FIG. 7, the transmitted packet is forwarded when the control information is registered as '0', and the transmitted packet is blocked when it is registered as '1'. According to the embodiment, such control information can be omitted. For example, if the destination IP address of the packet to be transmitted matches the registered IP address of the destination / source identification information of '1', all packets transmitted are blocked.

구체적인 예를 들어, 사용자 단말(10)로부터 전송된 패킷의 헤더에 포함된 목적지 IP 주소가 112.132.245.53인 경우 후술하는 제어부(300)는 착신/발신 구분 정보가 착신을 나타내는 '1'인 등록 IP 주소들(도 7의 4,5번째줄)과 상기 목적지 IP 주소인 112.132.245.53을 대조한다. 대조한 결과 도 7의 5번째줄의 등록 IP 주소와 상기 목적지 IP 주소가 일치하고 제어정보가 '1'이므로, 제어부(300)는 당해 전송된 패킷을 차단한다.For example, when the destination IP address included in the header of the packet transmitted from the user terminal 10 is 112.132.245.53, the control unit 300, which will be described later, Addresses (lines 4, 5 in FIG. 7) and the destination IP address 112.132.245.53. As a result of comparison, the controller 300 blocks the transmitted packet because the registered IP address of the 5th line of FIG. 7 matches the destination IP address and the control information is '1'.

다른 예를 들면, 서버(20)로부터 전송된 패킷의 헤더에 포함된 소스 IP 주소가 273.134.201.78이고, 목적지 IP 주소가 163.567.457.32이고, 발신 위치 정보가 16428.5637(위도 정보), 013821.8755(경도 정보)인 경우를 가정한다. 이 경우 제어부(300)는 착신/발신 구분 정보가 발신을 나타내는 '0'인 등록 IP 주소들(도 7의 1,2,3,6번째줄)과 상기 소스 IP 주소인 273.134.201.78을 대조하고, 착신/발신 구분 정보가 착신을 나타내는 '1'인 등록 IP 주소들(도 7의 4,5번째줄)과 상기 목적지 IP 주소인 163.567.457.32를 대조한다.As another example, if the source IP address included in the header of the packet transmitted from the server 20 is 273.134.201.78, the destination IP address is 163.567.457.32, the transmission location information is 16428.5637 (latitude information), 013821.8755 ) Is assumed. In this case, the control unit 300 collates the registration IP addresses (1, 2, 3, 6th row of FIG. 7) in which the call / origination discrimination information indicates '0' with the source IP address 273.134.201.78 , The destination IP address 163.567.457.32 is compared with the registered IP addresses (line 4, 5 in FIG. 7) in which the destination / source identification information indicates '1'.

이때, 전송되는 패킷의 목적지 IP 주소인 163.567.457.32는 도 7의 4,5번째줄의 어느 등록 IP 주소와도 일치하지 않지만, 전송되는 패킷의 소스 IP 주소는 도 7의 3번째줄의 등록 IP 주소와 일치한다. 그러나, 전송되는 패킷에 포함된 발신 위치 정보(16428.5637(위도 정보), 013821.8755(경도 정보))와 도 7의 3번째줄의 등록 위치 정보(04022.2312(위도 정보), 013045.8732(경도 정보))는 서로 상이하므로, 후술하는 제어부(300)는 당해 전송되는 패킷을 차단한다. At this time, the destination IP address 163.567.457.32 of the packet to be transmitted does not coincide with any of the registration IP addresses of the fourth and fifth lines of FIG. 7, but the source IP address of the packet to be transmitted is the registration IP Address. However, the transmission location information (04022.2312 (latitude information), 013045.8732 (longitude information)) in the third line of Fig. 7 and the transmission location information 16428.5637 (latitude information) and 013821.8755 The control unit 300, which will be described later, blocks the packet to be transmitted.

또한, 상기 예에 있어서 가령 전송된 패킷의 발신 위치 정보와 도 7의 등록 위치 정보가 04022.2312(위도 정보), 013045.8732(경도 정보)로 일치한다 하더라도 당해 등록 IP 주소의 제어 정보는 '1'이므로 마찬가지로 제어부(300)는 당해 전송되는 패킷을 차단한다.Also, in the above example, even if the transmission location information of the transmitted packet and the registration location information of FIG. 7 coincide with 04022.2312 (latitude information) and 013045.8732 (longitude information), the control information of the registered IP address is '1' The control unit 300 blocks the packet to be transmitted.

도 8은 본 발명의 실시예에 따른 저장부(200)에 저장되는 차단 내역 관리 정보(230)를 나타낸 도면이다.FIG. 8 is a view showing the blocking history management information 230 stored in the storage unit 200 according to the embodiment of the present invention.

도 8을 참조하면 차단 내역 관리 정보(230)는 제어부(300)에 의하여 차단된 패킷의 헤더에 포함된 소스 IP 주소, 발신 위치 정보(위도 정보 및 경도 정보), 목적지 IP 주소 및 상기 차단된 패킷의 수신 횟수가 매칭되어 구성된다. 이러한 차단 내역 관리 정보(230)는 각각의 패킷 차단 장치(1000)의 저장부(200)에 저장되는 정보이다. 8, the blocking details management information 230 includes a source IP address, source location information (latitude information and longitude information) included in a header of a packet blocked by the controller 300, a destination IP address, Are matched with each other. The blocking history management information 230 is information stored in the storage unit 200 of each packet intercepting apparatus 1000.

예를 들어 도 8의 첫번째줄에 예시된 소스 IP 주소가 139.275.113.21이고, 발신 위치 정보가 03650.0908(위도 정보), 012854.6072(경도 정보)이고, 목적지 IP 주소가 218.234.112.35인 패킷은 218.234.112.35인 IP 주소로의 패킷 전송이 1회 차단되었다는 의미이다. 한편, 도 8의 두번째줄에 예시된 소스 IP 주소가 215.237.102.37이고, 목적지 IP 주소가 145.138.132.45인 패킷은 GPS 모듈을 구비하고 있지 않은 사용자 단말(10)을 상정한 것으로서 3회 접속이 차단되었다.For example, a packet having a source IP address of 139.275.113.21, a source IP address of 03650.0908 (latitude information), 012854.6072 (longitude information), and a destination IP address of 218.234.112.35 illustrated in the first line of FIG. 8 is 218.234.112.35 It means that the packet transmission to the IP address is interrupted once. On the other hand, the packet having the source IP address 215.237.102.37 and the destination IP address 145.138.132.45 illustrated in the second row of FIG. 8 assumes the user terminal 10 having no GPS module, .

한편, 도 8에 예시된 소스 IP 주소 및 목적지 IP 주소는 IPv4 주소 체계를 따른 것으로서 IPv6 주소 체계를 따르는 경우 32byte로 구성되는 IPv6 주소가 저장된다. 또한, 이와 같은 차단 내역 관리 정보(230)는 실시의 형태에 따라서 관제 센터 서버(30)의 운용자가 패킷 차단 장치(1000)에 접속하여 확인할 수 있도록 구현될 수 있다. Meanwhile, the source IP address and the destination IP address illustrated in FIG. 8 are based on the IPv4 address system, and when an IPv6 address scheme is followed, an IPv6 address consisting of 32 bytes is stored. Such blocking history management information 230 can be implemented so that an operator of the control center server 30 can access and confirm the packet blocking apparatus 1000 according to the embodiment.

다시 도 3을 참조하면, 제어부(300)는 저장부(200)에 저장된 차단 지역 위치 정보(210), 및 접속 제어 정보(220)를 기초로 수신부(100)에서 수신한 패킷을 차단 또는 포워딩한다. 3, the control unit 300 blocks or forwards the packet received by the receiving unit 100 based on the blocked area location information 210 stored in the storage unit 200 and the access control information 220 .

제어부(300)는 차단 지역 위치 정보(210)를 참조하는 경우 전송되는 패킷의 발신 위치가 접속 차단 지역에 포함되면 당해 전송되는 패킷을 차단한다. If the originating position of a packet to be transmitted is included in the access blocking area when the blocking area location information 210 is referred to, the controller 300 blocks the packet to be transmitted.

제어부(300)는 접속 제어 정보(220)를 참조하는 경우 전송되는 패킷의 목적지 IP 주소가 접속 제어 정보(220)의 착신/발신 구분 정보가 '1'인 등록 IP 주소와 일치하고, 제어 정보가 '1'인 경우 당해 전송되는 패킷을 차단한다. When referring to the connection control information 220, the control unit 300 determines whether the destination IP address of the transmitted packet matches the registered IP address of the incoming / outgoing call distinguishing information of the connection control information 220 of '1' If it is '1', it blocks the packet to be transmitted.

또한 제어부(300)는 전송되는 패킷의 소스 IP 주소가 착신/발신 구분 정보가 '0'인 등록 IP 주소와 일치하지만, 전송되는 패킷의 발신 위치 정보가 해당 등록 IP 주소에 대응되는 등록 위치 정보와 일치하지 않으면 당해 패킷을 차단한다. In addition, if the source IP address of the packet to be transmitted matches the registered IP address of which the destination / source identification information is '0', the control unit 300 determines that the source location information of the packet to be transmitted matches the registration location information corresponding to the registered IP address If they do not match, the packet is blocked.

나아가, 제어부(300)는 전송되는 패킷의 소스 IP 주소 및 발신 위치 정보가 착신/발신 구분 정보가 '0'인 등록 IP 주소 및 등록 위치 정보와 각각 일치한다 하더라도 제어 정보가 '1'인 경우 마찬가지로 당해 전송되는 패킷을 차단한다. In addition, if the source IP address and the source location information of the packet to be transmitted match the registered IP address and the registered location information of the '0', respectively, if the control information is '1' And blocks the packet to be transmitted.

제어부(300)는 본 발명의 실시예에 있어서 상기와 같은 기능을 수행함과 아울러 패킷 차단 장치(1000)의 모든 구성을 총괄적 제어하는 기능도 구비할 수 있다. The control unit 300 may have the function of performing the above-described functions in the embodiment of the present invention, and collectively controlling all the configurations of the packet intercepting apparatus 1000.

본 발명의 실시예에 따른 패킷 차단 장치(1000)의 구성은 상술한 바와 같다. 이하에서는 본 발명의 실시예에 따른 패킷 차단 방법에 대하여 도면을 참조하여 설명하기로 한다.The configuration of the packet intercepting apparatus 1000 according to the embodiment of the present invention is as described above. Hereinafter, a packet blocking method according to an embodiment of the present invention will be described with reference to the drawings.

[차단 방법의 실시예][Embodiment of blocking method]

도 9는 본 발명의 실시예에 따른 패킷 차단 방법의 흐름도이다. 9 is a flowchart of a packet blocking method according to an embodiment of the present invention.

도 9를 참조하면, 본 발명의 실시예에 따른 패킷 차단 방법은 접속 차단 지역을 나타내는 차단 지역 위치 정보를 저장하는 단계(단계 S101), 소스 IP 주소, 목적지 IP 주소 및 발신 위치 정보를 포함하는 헤더를 가진 패킷을 수신하는 단계(단계 S102), 및 상기 발신 위치 정보에 대응되는 상기 패킷의 발신 위치가 상기 접속 차단 지역에 포함되는 경우(단계 S103의 Y) 상기 패킷을 차단하는 단계(단계 S104)를 포함한다. 한편 상기 패킷의 발신 위치가 상기 접속 차단 지역에 포함되지 않는 경우(단계 S103의 N) 상기 패킷은 차단되지 않고 포워딩된다.Referring to FIG. 9, a packet blocking method according to an exemplary embodiment of the present invention includes storing blocking area location information indicating an access blocking area (step S101), a header including a source IP address, a destination IP address, (Step S102); and, when the transmission position of the packet corresponding to the transmission position information is included in the connection blocking area (Y in step S103), blocking the packet (step S104) . On the other hand, when the transmission position of the packet is not included in the access blocking area (N in step S103), the packet is forwarded without being blocked.

단계 S101에서는 접속 차단 지역을 나타내는 차단 지역 위치 정보(210)가 저장부(200)에 저장된다. 차단 지역 위치 정보(210)는 관리 센터 서버(30)로부터 전송되며, 차단 지역 위치 정보는 상술한 바와 같이 위도상의 상위 경계를 나타내는 상위 경계 위도 정보, 위도상의 하위 경계를 나타내는 하위 경계 위도 정보, 경도상의 좌측 경계를 나타내는 좌측 경계 경도 정보, 경도상의 우측 경계를 나타내는 우측 경계 경도 정보로 구성된다.In step S101, the blocking area location information 210 indicating the access blocking area is stored in the storage unit 200. [ The blocked area location information 210 is transmitted from the management center server 30. The blocked area location information includes upper boundary latitude information indicating an upper boundary on latitude, lower boundary latitude information indicating a lower boundary on latitude, Left boundary hardness information indicating the left boundary of the image, and right boundary hardness information indicating the right boundary of the hardness.

단계 S102에서는 수신부(100)가 소스 IP 주소, 목적지 IP 주소 및 발신 위치 정보를 포함하는 헤더를 가진 패킷을 수신한다. 소스 IP 주소와 목적지 IP 주소는 IPv4 주소 체계 혹은 IPv6 주소 체계를 따를 수 있으며, 발신 위치 정보는 패킷을 전송하는 사용자 단말(10)에 구비된 GPS 모듈로부터 얻어지는 위도/경도를 포함하는 위치 정보이다.In step S102, the receiving unit 100 receives a packet having a header including a source IP address, a destination IP address, and origination location information. The source IP address and the destination IP address may follow the IPv4 address system or the IPv6 address system, and the calling location information is location information including the latitude / longitude obtained from the GPS module provided in the user terminal 10 transmitting the packet.

단계 S103에서 제어부(300)는 패킷의 발신 위치가 접속 차단 지역에 포함되는지 여부를 판단한다. 패킷의 발신 위치가 접속 차단 지역에 포함되는 경우 단계 S104로 진행하며, 포함되지 않는 경우 단계 S105로 진행한다.In step S103, the control unit 300 determines whether or not the packet sending location is included in the access blocking area. If the originating position of the packet is included in the access blocking area, the process proceeds to step S104; otherwise, the process proceeds to step S105.

단계 S104에서는 패킷의 발신 위치가 접속 차단 지역에 포함되므로, 제어부(300)가 당해 전송되는 패킷을 차단한다.In step S104, since the packet sending location is included in the access blocking area, the control unit 300 blocks the packet to be transmitted.

단계 S105에서는 패킷의 발신 위치가 접속 차단 지역에 포함되지 않으므로, 제어부(300)가 당해 전송되는 패킷을 목적지 IP 주소를 가진 사용자 단말(10)(또는 서버(20))로 포워딩한다.In step S105, since the packet sending location is not included in the access blocking area, the control unit 300 forwards the packet to the user terminal 10 (or the server 20) having the destination IP address.

한편, 다른 실시 형태에서는 단계 S101에서 저장부(200)가 착신/발신 구분 정보, 등록 IP 주소 및 등록 위치 정보가 매칭되어 있는 접속 제어 정보(220)를 더 저장하고, 단계 S103에서 제어부(300)는 전송되는 패킷의 발신 위치가 상기 접속 차단 지역에 포함되지 않고, 전송되는 패킷의 소스 IP 주소가 착신/발신 구분 정보가 발신을 나타내는 등록 IP 주소와 일치하고, 전송되는 패킷의 발신 위치 정보와 등록 위치 정보가 불일치하는지 여부를 판단하며, 단계 S104는 단계 S103의 판단이 불일치로 판단될 경우 제어부(300)가 당해 전송되는 패킷을 차단하는 단계일 수 있다.In another embodiment, the storage unit 200 further stores connection control information 220 in which the reception / transmission discrimination information, the registration IP address, and the registration position information are matched in step S101. In step S103, The source IP address of the packet to be transmitted matches the registration IP address indicating that the destination / source identification information indicates origination, and the source location information of the packet to be transmitted and the registration It is determined whether or not the position information is inconsistent. In step S104, the control unit 300 may block the transmitted packet if the determination in step S103 is determined to be inconsistent.

또한 다른 실시 형태에서는 단계 S101에서 저장부(200)가 착신/발신 구분 정보, 등록 IP 주소가 매칭되어 있는 접속 제어 정보(220)를 더 저장하고, 단계 S103에서 제어부(300)는 전송되는 패킷의 목적지 IP 주소가 착신/발신 구분 정보가 착신을 나타내는 등록 IP 주소와 일치하는지 여부를 판단하며, 단계 S104는 전송되는 패킷의 목적지 IP 주소가 착신/발신 구분 정보가 착신을 나타내는 등록 IP 주소와 일치하는 경우 당해 전송되는 패킷을 차단하는 단계일 수 있다.In another embodiment, in step S101, the storage unit 200 further stores connection control information 220 in which the incoming / outgoing call classification information and the registered IP address are matched. In step S103, In step S104, it is determined whether the destination IP address matches the registered IP address indicating that the incoming / outgoing call distinguishing information matches the registered IP address. If the destination IP address of the transmitted packet matches the registered IP address indicating that the incoming / And blocking the packet to be transmitted.

또한 다른 실시 형태에서는 단계 S104 다음에 부가하여, 단계 S106으로서, 저장부(200)가 차단된 패킷의 소스 IP 주소, 목적지 IP 주소, 발신 위치 정보, 및 수신 횟수 중 적어도 하나를 포함하는 차단 내역 관리 정보(230)를 저장하는 단계를 더 포함할 수도 있다.In addition, in another embodiment, in addition to step S104, in step S106, the storage unit 200 may perform a blocking history management including at least one of a source IP address, a destination IP address, a transmission location information, And storing the information 230. [

도 10은 본 발명의 최선의 실시예에 따른 패킷 차단 방법을 나타내는 흐름도이다. 본 최선의 실시예에 있어서, 접속 제어 정보(220)의 착신/발신 구분 정보가 착신(='1')을 나타내는 등록 IP 주소의 경우, 그 등록 IP 주소의 제어 정보는 모두 차단(='1')인 경우로 상정한다.10 is a flowchart showing a packet blocking method according to the best embodiment of the present invention. In the present embodiment, when the incoming / outgoing call distinguishing information of the connection control information 220 is a registered IP address indicating an incoming (= '1'), all the control information of the registered IP address is blocked (= '1 ').

도 10을 참조하면, 단계 S201에서는 수신부(100)가 사용자 단말(10)(또는 서버(20))로부터 패킷을 수신한다. 이때 패킷은 IPv4 패킷 또는 IPv6 패킷일 수 있다.Referring to FIG. 10, in step S201, the receiving unit 100 receives a packet from the user terminal 10 (or the server 20). The packet may be an IPv4 packet or an IPv6 packet.

단계 S202에서 제어부(300)는 저장부(200)에 저장된 차단 지역 위치 정보(210)를 참조하여 수신된 패킷의 발신 위치가 접속 차단 지역에 포함되는지 여부를 판단한다. 발신 위치가 접속 차단 지역에 포함되는 경우 단계 S208로 진행하고, 발신 위치가 접속 차단 지역에 포함되지 않는 경우 단계 S203으로 진행한다.In step S202, the control unit 300 refers to the blocked area location information 210 stored in the storage unit 200 and determines whether or not the sending location of the received packet is included in the access blocking area. If the calling location is included in the access blocking area, the process proceeds to step S208, and if the calling location is not included in the access blocking area, the process proceeds to step S203.

단계 S203에서 제어부(300)는 저장부(200)에 저장된 접속 제어 정보(220)를 참조하여 수신된 패킷의 헤더에 포함된 소스 IP 주소와 착신/발신 구분 정보가 '0'인 등록 IP 주소가 일치하는지 판단한다. 소스 IP 주소와 착신/발신 구분 정보가 '0'인 등록 IP 주소가 일치하는 경우 단계 S204로 진행하고, 일치하지 않는 경우 단계 S206으로 진행한다.In step S203, the control unit 300 refers to the access control information 220 stored in the storage unit 200 and determines whether the source IP address included in the header of the received packet and the registered IP address having the " 0 " . If the source IP address and the registered IP address having the incoming / outgoing call distinguishing information equal to '0' are identical to each other, the process proceeds to step S204; otherwise, the process proceeds to step S206.

단계 S204에서 제어부(300)는 저장부(200)에 저장된 접속 제어 정보(220)를 참조하여 단계 S203에서 일치하였던 등록 IP 주소에 대응되는 등록 위치 정보와 수신된 패킷의 발신 위치 정보가 일치하는지 여부를 판단한다. 등록 위치 정보와 발신 위치 정보가 일치하는 경우 단계 S205으로 진행하고, 일치하지 않는 경우 단계 S208로 진행한다.In step S204, the control unit 300 refers to the connection control information 220 stored in the storage unit 200 and determines whether the registration position information corresponding to the matching registration IP address matches the transmission position information of the received packet in step S203 . When the registration position information and the calling position information are identical to each other, the process proceeds to step S205; otherwise, the process proceeds to step S208.

단계 S205에서 제어부(300)는 저장부(200)에 저장된 접속 제어 정보(220)를 참조하여 단계 S203 및 단계 S204에서 일치하였던 등록 IP 주소 및 등록 위치 정보에 대응되는 제어 정보가 'O'인지 '1'인지 판단한다. 제어 정보가 '0'인 경우, 즉 패킷을 차단하지 않는 경우 단계 S206으로 진행하고, 제어 정보가 '1'인 경우, 즉 패킷을 차단하는 경우 단계 S208로 진행한다. In step S205, the control unit 300 refers to the access control information 220 stored in the storage unit 200 and determines whether the control information corresponding to the registration IP address and registration position information matched in step S203 and step S204 is '0' 1 '. If the control information is '0', that is, if the packet is not blocked, the process proceeds to step S206. If the control information is '1', that is, if the packet is blocked, the process proceeds to step S208.

단계 S207에서 제어부(300)는 저장부(200)에 저장된 접속 제어 정보(220)를 참조하여 수신된 패킷의 헤더에 포함된 목적지 IP 주소와 착신/발신 구분 정보가 '1'인 등록 IP 주소가 일치하는지 판단한다. 목적지 IP 주소와 착신/발신 구분 정보가 '1'인 등록 IP 주소가 일치하는 경우 단계 S208로 진행하고, 일치하지 않는 경우 단계 S207로 진행한다.In step S207, the control unit 300 refers to the connection control information 220 stored in the storage unit 200 and determines whether the destination IP address included in the header of the received packet and the registered IP address having the incoming / . If the destination IP address matches the registered IP address of which the destination / source identification information is '1', the process proceeds to step S208, and if not, the process proceeds to step S207.

단계 S207에서 제어부(300)는 전송된 패킷을 목적지 IP 주소를 가진 사용자 단말(10)(또는 서버(20))로 포워딩하고 절차를 종료한다.In step S207, the control unit 300 forwards the transmitted packet to the user terminal 10 (or the server 20) having the destination IP address, and ends the procedure.

단계 S208에서 제어부(300)는 전송된 패킷을 차단한다. In step S208, the control unit 300 blocks the transmitted packet.

이어서 단계 S209에서 제어부(300)는 단계 S208에서 차단된 패킷의 헤더에 포함된 소스 IP 주소, 목적지 IP 주소, 발신 위치 정보, 및 수신 횟수 중 적어도 하나를 포함하는 차단 내역 관리 정보(230)를 생성하고, 이 차단 내역 관리 정보(230)를 저장부(200)에 저장한다.In step S209, the controller 300 generates blocking history management information 230 including at least one of the source IP address, the destination IP address, the transmission location information, and the reception count included in the header of the blocked packet in step S208 And stores the block history management information 230 in the storage unit 200.

본 발명의 일 실시예에 따른 패킷 차단 장치(1000) 및 패킷 차단 방법에 의하면 패킷의 헤더에 포함된 (발신) 위치 정보를 이용하므로 범죄를 야기할 가능성이 높은 특정 지역으로부터 전송되는 악의적인 패킷을 효과적으로 차단할 수 있다. 또한 GPS 모듈에 의한 위치 정보를 이용하므로 악의적인 패킷을 전송한 사용자 단말(10) 또는 서버(20)의 위치를 용이하게 파악할 수 있으므로 악의적인 패킷을 전송한 사용자를 효과적으로 추적할 수 있게 된다.According to the packet blocking apparatus 1000 and the packet blocking method according to an embodiment of the present invention, malicious packets transmitted from a specific area that is highly likely to cause an offense by using (originating) location information included in the header of the packet It can be effectively blocked. Also, since the location information of the user terminal 10 or the server 20 that transmitted a malicious packet can be easily grasped by using the location information by the GPS module, the user who transmitted the malicious packet can be effectively tracked.

또한, 본 발명의 다른 실시예에 따른 패킷 차단 장치(1000) 및 패킷 차단 방법에 의하면 등록 IP 주소와 이에 대응하는 등록 위치 정보를 미리 등록하여 저장하고 있으므로 전송되는 패킷의 소스 IP 주소가 변경 혹은 도용된 경우에도 보다 적절한 패킷의 차단 제어가 가능해진다. 또한, 전송되는 패킷에 관한 제어 정보를 저장하고 있으므로 전송되는 패킷의 차단 여하를 운용자의 의도에 부합하도록 판단할 수 있게 된다.In addition, according to the packet blocking apparatus 1000 and the packet blocking method according to another embodiment of the present invention, since the registration IP address and the registration position information corresponding thereto are previously registered and stored, the source IP address of the packet to be transmitted is changed or stolen A more appropriate packet blocking control becomes possible. In addition, since the control information related to the packet to be transmitted is stored, it is possible to determine that the blocking of the transmitted packet matches the intention of the operator.

또한, 본 발명의 다른 실시예에 따른 패킷 차단 장치(1000) 및 패킷 차단 방법에 의하면, 접속 제어 정보(220)에 착신/발신 구분 정보가 착신을 나타내는 등록 IP 주소, 즉 접속이 허용되지 않는 단말(또는 서버)의 IP 주소가 저장되어 있으므로 접속이 불허되는 단말이나 서버로 악의적인 패킷이 전송되는 것을 차단할 수 있다. 이로써 보안성이 높게 요구되는 단말이나 서버를 악의적인 트래픽 공격으로부터 효과적으로 보호할 수 있게 된다.In addition, according to the packet blocking device 1000 and the packet blocking method according to another embodiment of the present invention, when the incoming / outgoing call distinguishing information is included in the connection control information 220 as a registered IP address indicating an incoming call, (Or the server) is stored, malicious packets can be prevented from being transmitted to a terminal or a server to which the connection is not permitted. This makes it possible to effectively protect a terminal or a server requiring high security from a malicious traffic attack.

또한, 본 발명의 다른 실시예에 따른 패킷 차단 장치(1000) 및 패킷 차단 방법에 의하면 차단된 패킷의 내역 리스트를 가진 차단 내역 관리 정보(230)를 별도로 저장 가능하므로 패킷 차단 장치(1000)의 사용자 또는 관리 센터 서버(30)의 운용자는 차단 내역 관리 정보(230)를 참조하여 보다 유효한 보안 정책을 수립할 수 있게 된다.In addition, according to the packet blocking apparatus 1000 and the packet blocking method according to another embodiment of the present invention, the blocking history management information 230 having the history list of the blocked packets can be stored separately, Or an operator of the management center server 30 can establish a more effective security policy by referring to the block history management information 230. [

또한, 본 발명의 다른 실시예에 따른 패킷 차단 장치(1000) 및 패킷 차단 방법에 의하면 IPv4 패킷 및 IPv6 패킷의 전송에도 대응 가능하므로 기존의 IP 주소 체계(IPv4) 및 새로이 제정된 IP 주소 체계(IPv6)에서도 악의적인 패킷을 효과적으로 차단할 수 있다. Also, according to the packet blocking apparatus 1000 and the packet blocking method according to another embodiment of the present invention, it is possible to correspond to the transmission of IPv4 packet and IPv6 packet. Therefore, the existing IP address system (IPv4) and the newly established IP address system ) Can also effectively block malicious packets.

상술한 바와 같이, 본 발명의 바람직한 실시예를 참조하여 본 발명을 설명하였지만 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자라면 하기의 특허청구범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다. 따라서 본 발명 사상은 아래에 기재된 특허청구범위에 의해서 파악되어야 하고, 이의 균등 또는 등가적 변형 모두가 본 발명 사상의 범주에 속한다고 할 것이다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it will be understood by those of ordinary skill in the art that various changes in form and details may be made therein without departing from the spirit and scope of the invention as defined by the appended claims. It will be understood that various modifications and changes may be made in the present invention. Accordingly, it is to be understood that the scope of the present invention is defined by the claims appended hereto, and all of its equivalents or equivalents are included in the scope of the present invention.

10, 10a, 10b, 10c : 사용자 단말
20, 20a, 20b : 서버
30 : 관제 센터 서버
40 : 인터넷망
100 : 수신부
200 : 저장부
210 : 차단 지역 위치 정보
220 : 접속 제어 정보
230 : 차단 내역 관리 정보
300 : 제어부
1000, 1000a, 1000b, 1000c, 1000d, 1000e : 패킷 차단 장치10, 10a, 10b, 10c:
20, 20a, 20b: server
30: Control center server
40: Internet network
100:
200:
210: Block location information
220: connection control information
230: Blocking history management information
300:
1000, 1000a, 1000b, 1000c, 1000d, 1000e: Packet blocking device

Claims (1)

소스 IP 주소, 목적지 IP 주소 및 발신 위치 정보를 포함하는 헤더를 가진 패킷(packet)을 수신하는 수신부;
접속 차단 지역을 나타내는 차단 지역 위치 정보를 저장하는 저장부; 및
상기 발신 위치 정보에 대응되는 상기 패킷의 발신 위치가 상기 접속 차단 지역에 포함되는 경우 상기 패킷을 차단하는 제어부를 포함하는 패킷 차단 장치.
A receiving unit for receiving a packet having a header including a source IP address, a destination IP address, and origination location information;
A storage unit for storing blocking area location information indicating a connection blocking area; And
And blocking the packet if a transmission position of the packet corresponding to the transmission position information is included in the connection blocking area.
KR1020140073528A 2014-06-17 2014-06-17 Packet interception device and packet interception method KR20150144570A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020140073528A KR20150144570A (en) 2014-06-17 2014-06-17 Packet interception device and packet interception method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140073528A KR20150144570A (en) 2014-06-17 2014-06-17 Packet interception device and packet interception method

Publications (1)

Publication Number Publication Date
KR20150144570A true KR20150144570A (en) 2015-12-28

Family

ID=55084867

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140073528A KR20150144570A (en) 2014-06-17 2014-06-17 Packet interception device and packet interception method

Country Status (1)

Country Link
KR (1) KR20150144570A (en)

Similar Documents

Publication Publication Date Title
US10958623B2 (en) Identity and metadata based firewalls in identity enabled networks
US11652792B2 (en) Endpoint security domain name server agent
US20160308904A1 (en) Integrative network management method and apparatus for supplying connection between networks based on policy
US11108738B2 (en) Communication apparatus and communication system
US8737396B2 (en) Communication method and communication system
US20160173452A1 (en) Multi-connection system and method for service using internet protocol
US10397111B2 (en) Communication device, communication system, and communication method
JP2013503572A (en) Method for optimizing the route cache
US10601777B2 (en) Data inspection system and method
US10834052B2 (en) Monitoring device and method implemented by an access point for a telecommunications network
US20080101222A1 (en) Lightweight, Time/Space Efficient Packet Filtering
WO2021244449A1 (en) Data processing method and apparatus
WO2010124014A2 (en) Methods, systems, and computer readable media for maintaining flow affinity to internet protocol security (ipsec) sessions in a load-sharing security gateway
CN106507414B (en) Message forwarding method and device
US20220174085A1 (en) Data Processing Method and Apparatus
CN113347198B (en) ARP message processing method, device, network equipment and storage medium
AU2015301504B2 (en) End point secured network
CN111245858A (en) Network flow interception method, system, device, computer equipment and storage medium
KR20150144570A (en) Packet interception device and packet interception method
KR20210051208A (en) Apparatus and method for providing security to an end-to-end communication
US20130133060A1 (en) Communication system, control device and control program
US11044197B2 (en) System and method for protecting resources using network devices
US20230269236A1 (en) Automatic proxy system, automatic proxy method and non-transitory computer readable medium
JP2019047239A (en) Packet filtering device
US20150288509A1 (en) Transport Control Protocol Sequence Number Recovery in Stateful Devices

Legal Events

Date Code Title Description
WITN Withdrawal due to no request for examination