KR20180021837A - 단말기와 연관된 소스 어드레스들을 검증 - Google Patents

단말기와 연관된 소스 어드레스들을 검증 Download PDF

Info

Publication number
KR20180021837A
KR20180021837A KR1020187002299A KR20187002299A KR20180021837A KR 20180021837 A KR20180021837 A KR 20180021837A KR 1020187002299 A KR1020187002299 A KR 1020187002299A KR 20187002299 A KR20187002299 A KR 20187002299A KR 20180021837 A KR20180021837 A KR 20180021837A
Authority
KR
South Korea
Prior art keywords
source
terminal
address
dhcp server
packet
Prior art date
Application number
KR1020187002299A
Other languages
English (en)
Other versions
KR102018490B1 (ko
Inventor
가오량 등
Original Assignee
알리바바 그룹 홀딩 리미티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 알리바바 그룹 홀딩 리미티드 filed Critical 알리바바 그룹 홀딩 리미티드
Publication of KR20180021837A publication Critical patent/KR20180021837A/ko
Application granted granted Critical
Publication of KR102018490B1 publication Critical patent/KR102018490B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/5014Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
    • H04L61/2015
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • H04L61/103Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
    • H04L61/6022
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/622Layer-2 addresses, e.g. medium access control [MAC] addresses

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

단말기와 연관된 소스 어드레스들의 검증이 개시되고, 상기 검증은 단말기로부터 패킷을 수신하는 단계로서, 상기 패킷은 단말기와 연관된 소스 인터넷 프로토콜(IP) 어드레스 및 소스 미디어 액세스 제어(MAC) 어드레스를 포함하는, 상기 패킷을 수신하는 단계; 단말기와 연관된 매칭 엔트리가 유효한 소스 IP 어드레스들 및 유효한 소스 MAC 어드레스들을 저장한 로컬 검증 테이블에서 발견되는지 여부를 결정하는 단계; 단말기와 연관된 매칭 엔트리가 로컬 검증 테이블에서 발견되지 않았다고 결정하는 단계; 소스 IP 어드레스 및 소스 MAC 어드레스에 기초하여 요청을 생성하는 단계; 요청을 동적 호스트 구성 프로토콜(DHCP) 서버로 전송하는 단계; 및 DHCP 서버로부터의 응답에 적어도 부분적으로 기초하여, 단말기와 연관된 소스 IP 어드레스 및 소스 MAC 어드레스가 유효한지 여부를 결정하는 단계를 포함한다.

Description

단말기와 연관된 소스 어드레스들을 검증
다른 출원들에 대한 상호 참조
본 출원은, 2015년 8월 24일자로 출원되고 발명의 명칭이 "METHOD AND DEVICE USED TO VERIFY THE VALIDITY OF SOURCE ADDRESSES"인 중화 인민 공화국 특허 출원 제201510524597.4호에 대한 우선권을 주장하며, 이것은 모든 목적들을 위해 본원에 참고로 포함된다.
발명의 분야
본 출원은 인터넷 기술 분야를 포함한다. 특히, 본 출원은 소스 어드레스들의 유효성을 검증하기 위한 기술들을 포함한다.
전통적인 네트워크 아키텍처에서, 단말기로부터 수신된 메시지들에 포함된 단말기 소스 어드레스들의 유효성을 검증하는 것은 IP 위조 및 스푸핑(spoofing)을 효율적으로 방지할 수 있다. 예를 들어, 단말기에 의해 전송된 메시지들에 포함된 IP 어드레스들이 수동으로 구성될 때, 위조 및 스푸핑이 발생할 수 있다. 종래의 검증 프로세스에서, 다음과 같은 원칙이 적용된다: 소스 미디어 액세스 제어(MAC: media access control) 어드레스들의 보안 검사는 무선 보안 표준인, 802.11i를 사용하여 수행될 수 있으므로, MAC 어드레스들의 보안 및 검증이 그 결과로서 보장될 수 있다. 검증 엔티티(예를 들어, 액세스 포인트(AP) 또는 액세스 제어기(AC)와 같은)는 단말기의 소스 어드레스들(예를 들어, 소스 인터넷 프로토콜(IP) 어드레스 및 소스 MAC 어드레스)를 수신하고 소스 IP 어드레스와 소스 MAC 어드레스 사이의 바인딩 관계를 저장함으로써 소스 어드레스 검증 개선(SAVI: source address validation improvement) 바인딩 테이블 엔트리를 확립한다. 예를 들어, SAVI 바인딩 테이블 엔트리는 각 단말기의 소스 IP 어드레스와 MAC 어드레스 사이의 바인딩 관계들을 저장한다. 결과적으로, SAVI 바인딩 테이블 엔트리에 저장된 바인딩 관계들은 검증 엔티티에서 수신된 메시지의 소스 어드레스들에 포함된 소스 IP 어드레스들이 유효한지 여부를 검증하는 데 사용될 수 있다.
그러나, 검증 엔티티가 단말기에 대해 매칭 SAVI 바인딩 테이블 엔트리를 갖지 않는 경우, 단말기의 소스 어드레스들의 유효성을 검증할 수 없다. 이런 상황에서, 전통적으로, 상이한 검증 엔티티들 사이에 저장된 상이한 SAVI 바인딩 테이블 엔트리들을 동기화하기 위해 이러한 검증 엔티티와 다른 검증 엔티티들 간에 전송 제어 프로토콜(TCP: transmission control protocol) 채널이 설정된다.
예를 들어, AP들이 검증 엔티티들의 역할을 하는 중앙 집중식 무선 근거리 통신망(WLAN: wireless local area network) 아키텍처(예를 들어, AC 및 적합 AP 포함)에서: 단말기가 처음 온라인 상태가 되면, 단말기는 DHCP 서버로부터 IP 어드레스를 요청함으로써 동적 호스트 구성 프로토콜(DHCP: dynamic host configuration protocol)을 개시한다. AP1은 DHCP 메시지를 가로 채고 해당 단말기에 대한 대응하는 SAVI 바인딩 테이블 엔트리를 생성하고 동시에 가로채어진 DHCP 메시지를 AC에 제출한다. 단말기가 AP2로 다른 AC들을 통해 로밍하면, AP2는 로컬로 검색하고, 단말기와 일치하는 SAVI 바인딩 테이블 엔트리를 찾지 않는다. AP2가 단말기와 일치하는 SAVI 바인딩 테이블 엔트리를 찾을 수 없다고 결정한 후, AP2는 상이한 검증 엔티티들 사이에서 SAVI 바인딩 테이블 엔트리들의 동기화를 용이하게 하기 위해 AC와 채널을 설정하도록 야기된다.
다른 예시에서, AC가 검증 엔티티인 중앙 집중식 WLAN 아키텍처에서: DHCP 메시지는 AC에서 가로채어지고 SAVI 바인딩 테이블 엔트리가 생성된다. 단말기가 AC들 사이에서 로밍하면, 채널은 또한 상이한 검증 엔티티들 사이에서 SAVI 바인딩 테이블 엔트리들을 동기화시키기 위해 상이한 AC들 사이에서 설정되어야 한다.
그러나, 상이한 검증 엔티티들 사이에서 SAVI 바인딩 테이블 엔트리들을 동기화하기 위해 사용되는 종래의 기술들은 동기화를 수행하기 위해 채널(들)을 설정할 필요를 겪는다. 채널을 설정하는 것은 네트워크 복잡성을 증가시킨다. 또한, 채널이 방해되면, 상이한 검증 엔티티들 간에 SAVI 테이블 엔트리들을 동기화하는 것이 불가능하게 되어서, 로밍 검증 엔티티들이 단말기의 소스 어드레스들의 유효성을 검증할 수 없게 된다. 단말기가 검증될 수 없는 경우, 이후, 단말기의 메시지들은 폐기되고, 이는 단말기의 정상적으로 통신할 능력을 저해한다.
본 발명은, 장치; 시스템; 조성물(composition of matter); 컴퓨터 판독 가능한 저장 매체 상에서 구현되는 컴퓨터 프로그램 제품; 및/또는 프로세서, 예를 들면 프로세서에 결합된 메모리 상에 저장되고 및/또는 이에 의해 제공되는 명령들을 실행하도록 구성되는 프로세서를 프로세스로서 포함하여, 다양한 방식들로 구현될 수 있다. 이 명세서에서, 이들 구현들, 또는 본 발명이 취할 수 있는 임의의 다른 형태는 기술들(techniques)로 칭해질 수 있다. 일반적으로, 개시된 프로세스들의 단계들의 순서는 본 발명의 범위 내에서 변경될 수 있다. 달리 언급되지 않으면, 작업을 수행하도록 구성되는 것으로 기술된 프로세서 또는 메모리와 같은 구성요소는 주어진 시간에 작업을 수행하도록 일시적으로 구성되는 일반 구성요소 또는 작업을 수행하도록 제작되는 특정 구성요소로서 구현될 수 있다. 본 명세서에서 사용된 바와 같이, 용어 '프로세서(processor)'는 하나 이상의 디바이스들, 회로들 및/또는 컴퓨터 프로그램 명령들과 같은 데이터를 프로세싱하도록 구성된 프로세싱 코어들을 지칭한다.
본 발명의 하나 이상의 실시예들의 상세한 설명은 본 발명의 원리들을 예시하는 첨부 도면들과 함께 이하에 제공된다. 본 발명은 이러한 실시예들에 관련하여 기술되지만, 본 발명은 어떠한 실시예에도 제한되지 않는다. 본 발명의 범위는 특허 청구 범위들에 의해서만 제한되고 본 발명은 다수의 대안들, 수정들 및 등가물들을 포함한다. 다수의 특정 세부 사항들은 본 발명의 완전한 이해를 제공하기 위해 다음의 설명에서 기재된다. 이러한 세부 사항들은 예시의 목적으로 제공되고 본 발명은 이들 특정 세부 사항들의 일부 또는 전부 없이 특허 청구 범위들에 따라 실시될 수 있다. 명확성을 위하여, 본 발명이 불필요하게 모호하지 않도록 본 발명에 관련된 기술 분야들에 알려진 기술 자료는 상세히 기술되지 않았다.
본원에서 사용된 바와 같이, 컴퓨터 장비는 사용자 장비와 네트워크 장비를 포함한다. 사용자 장비는 컴퓨터들, 스마트폰들, 및 태블릿 기기들을 포함하지만 이에 제한되지는 않는다. 네트워크 장비는 예를 들어 개별 네트워크 서버들, 다수의 네트워크 서버들에 의해 형성된 서버 그룹들, 또는 다수의 컴퓨터들 또는 네트워크 서버들로 구성된 클라우드-컴퓨팅 기반 클라우드를 포함하지만 이제 제한되지는 않는다. 클라우드 컴퓨팅은 컴퓨팅 리소스들이 가상화를 통해 공유되는 분산 컴퓨팅의 한 유형이다. 컴퓨터 장비는 본 애플리케이션을 실현하기 위해 독립적으로 실행될 수 있거나, 또는 네트워크에 액세스하고, 네트워크 내의 다른 컴퓨터 장비와의 상호작용 동작들을 통해 본 애플리케이션을 실행할 수 있다. 컴퓨터 장비가 존재하는 네트워크들은 예를 들어 인터넷, 대도시 통신망, 근거리 통신망, 및 VPN 네트워크들을 포함하지만 이제 제한되지는 않는다. 본원에 설명된 사용자 장비, 네트워크 장비, 및 네트워크들은 단지 예시들이라는 것이 주의해야 한다.
컴퓨터 장비는 사용자 장비와 네트워크 장비를 포함한다. 사용자 장비는 컴퓨터들, 스마트폰들, 및 태블릿 기기들을 포함하지만 이에 제한되지는 않는다. 네트워크 장비는 예를 들어 개별 네트워크 서버들, 다수의 네트워크 서버들에 의해 형성된 서버 그룹들, 또는 다수의 컴퓨터들 또는 네트워크 서버들로 구성된 클라우드-컴퓨팅 기반 클라우드를 포함하지만 이에 제한되지는 않는다. 클라우드 컴퓨팅은 분산 컴퓨팅의 한 유형이고, 느슨하게 연결된 컴퓨터들의 세트에 의해 형성된 슈퍼 가상 컴퓨터를 포함한다. 컴퓨터 장비는 본 애플리케이션을 실현하기 위해 독립적으로 실행될 수 있거나, 또는 네트워크에 액세스하고, 네트워크 내의 다른 컴퓨터 장비와의 상호작용 동작들을 통해 본 애플리케이션을 실행할 수 있다. 컴퓨터 장비가 존재하는 네트워크들은 예를 들어 인터넷, 대도시 통신망, 근거리 통신망, 및 VPN 네트워크들을 포함하지만 이에 제한되지는 않는다. 본원에 설명된 사용자 장비, 네트워크 장비, 및 네트워크들은 단지 예시들이라는 것이 주의해야 한다.
후술되는 방법들(그 중 일부는 흐름도들에 의해 도시됨)은 하드웨어, 소프트웨어, 펌웨어, 미들웨어, 마이크로코드, 하드웨어 기술 언어 또는 이들의 임의의 조합을 통해 구현될 수 있다. 상기 방법들이 소프트웨어, 펌웨어, 미들웨어 또는 마이크로코드를 통해 구현될 때, 필요한 작업들을 구현하는데 사용되는 프로그램 코드 또는 코드 세그먼트들은 기계 또는 컴퓨터-판독 가능 매체(예를 들어, 저장 매체) 상에 저장될 수 있다. 하나 이상의 프로세서들이 필요한 작업들을 구현할 수 있다.
본 명세서에 개시된 특정 구조들 및 기능 세부 사항들은 단지 대표적인 것이며 본 출원의 예시적인 실시예들을 기술하기 위해 사용된다. 그러나, 본 출원은 많은 대안적인 형태들을 통해 구체적으로 구현될 수 있다. 또한, 이것은 단지 본 명세서에 기재된 실시예들에 제한되는 것으로 해석되어서는 안된다.
용어들 "제 1(first)", "제 2(second)" 등은 다양한 유닛들을 기술하는데 사용되지만, 이들 유닛들이 이들 용어들에 의해 제한되어서는 안 된다는 것이 이해되어야 한다. 이들 용어들은 한 유닛을 다른 유닛과 구별하기 위해서만 사용된다. 예를 들어, 예시적인 실시예의 범위를 벗어나지 않는 한, 제 1 유닛은 제 2 유닛으로 지칭될 수 있고, 유사하게 제 2 유닛은 제 1 유닛으로 지칭될 수 있다. 본원에 사용된 용어 "및/또는(and/or)"은 하나 이상의 나열된 관련 항목들의 임의의 또는 모든 조합들을 포함한다.
본 명세서에서 사용된 용어들은 단지 특정 실시예들을 기술하도록 의도되며 예시적인 실시예들을 제한하려는 의도는 아니다. 문맥에 의해 달리 명시되지 않는 한, 본 명세서에서 사용된 단수 형태들("a" 또는 "an")은 또한 복수를 포함하는 것으로 의도된다. 본 명세서에서 사용된 용어들 "포함("comprise" 및/또는 "contain")"은 명시된 특징들, 정수들, 단계들, 동작들, 유닛들, 및/또는 구성 요소들의 존재를 명시하며, 하나 이상의 다른 특징들, 정수들, 단계들, 동작들, 유닛들 및/또는 구성 요소들, 또는 이들의 조합들의 존재 또는 추가를 배제하지 않음이 이해되어야 한다.
일부 대안적인 구현예들에서, 언급된 기능들/동작들이 도면들에 표시된 것 외의 순서대로 발생할 수 있다는 것이 또한 주목되어야 한다. 예를 들어, 포함된 해당 기능들/동작들에 의존하여, 연속적으로 나타난 두 개의 도면들은 필수로 동시에 실행될 수 있거나, 때로는 반대 순서로 실행될 수 있다.
도면들을 참조하여 본 출원의 기술 방안의 더 상세한 설명이 이하에 있다.
단말기와 연관된 소스 어드레스들을 검증하는 것의 실시예들이 본원에 설명된다. 패킷은 단말기로부터 수신된다. 패킷은 단말기와 연관된 소스 인터넷 프로토콜(IP) 어드레스 및 소스 미디어 액세스 제어(MAC: Media Access Control) 어드레스를 포함한다. 단말기와 연관된 매칭 엔트리(matching entry)가 유효한 소스 IP 어드레스들 및 유효한 소스 MAC 어드레스들을 저장하는 로컬 검증 테이블에서 발견되는지 여부가 결정된다. 예를 들어, 검증 테이블은 소스 어드레스 검증 개선(SAVI) 바인딩 테이블을 포함한다. 단말기와 연관된 매칭 엔트리가 로컬 검증 테이블에서 발견되지 않는 경우, 소스 IP 어드레스 및 소스 MAC 어드레스에 기초하여 요청이 생성된다. 예를 들어, 요청은 DHCP 요청을 포함한다. 요청은 동적 호스트 구성 프로토콜(DHCP) 서버로 전송된다. 단말기와 연관된 소스 IP 어드레스 및 소스 MAC 어드레스가 유효한지 여부가 DHCP 서버로부터의 응답에 적어도 부분적으로 기초하여 결정된다.
본 발명의 다양한 실시예들이 다음의 상세한 설명 및 첨부 도면들에 개시된다.
본 출원의 특징들, 목적들 및 장점들은 하기의 도면들을 참조하여 이루어진 비-제한적 실시예들의 상세한 설명들을 읽음으로써 더욱 명백해질 것이다.
도 1은 단말기의 소스 어드레스들의 유효성을 검증하기 위한 시스템의 일 실시예를 도시한 다이어그램.
도 2는 단말기의 소스 어드레스들의 유효성을 검증하기 위한 프로세스의 일 실시예를 도시한 흐름도.
도 3은 단말기의 소스 어드레스들의 유효성을 검증하기 위한 예시적인 프로세스를 도시한 흐름도.
도 4는 검증 디바이스의 제 1 실시예를 도시한 다이어그램.
도 5는 검증 디바이스의 제 2 실시예를 도시한 다이어그램.
도 6은 검증 디바이스의 제 3 실시예를 도시한 다이어그램.
도 7은 검증 디바이스의 제 4 실시예를 도시한 다이어그램.
도 8은 검증 디바이스의 제 5 실시예를 도시한 다이어그램.
도 9는 단말기의 소스 어드레스들의 유효성을 검증하기 위한 프로그램화된 컴퓨터 시스템의 일 실시예를 도시한 기능도.
도 1은 단말기의 소스 어드레스들의 유효성을 검증하기 위한 시스템의 일 실시예를 도시한 다이어그램이다. 예시에서, 시스템(100)은 단말기(102), 네트워크(104), 검증 디바이스(106), 저장소(110), 및 동적 호스트 구성 프로토콜(DHCP) 서버(108)를 포함한다. 네트워크(104)는 하나 이상의 고속 데이터 네트워크들 및/또는 전기 통신 네트워크들을 포함할 수 있다.
단말기(102)는 목적지 단말기(예를 들어, 적어도 목적지 인터넷 프로토콜(IP) 어드레스 및/또는 목적지 미디어 액세스 제어(MAC) 어드레스에 의해 식별되는)를 위해 의도되는 패킷을 생성하도록 구성된다. 예를 들어, 패킷은 TCP 패킷의 송신자 IP 어드레스 필드에 소스 IP 어드레스를 포함하고 TCP 패킷의 송신자 MAC 어드레스 필드에 소스 MAC 어드레스를 포함하는 TCP 패킷을 포함할 수 있다. 예를 들어, 단말기(102)는 랩톱 컴퓨터, 데스크톱 컴퓨터, 태블릿 기기, 스마트폰, 또는 임의의 컴퓨팅 디바이스를 포함한다. 예를 들어, 패킷은 데이터 패킷을 포함한다. 패킷은 단말기와 연관된 소스 IP 어드레스 및 소스 MAC 어드레스를 포함한다. 단말기(102)는 상기 패킷을 검증 디바이스(106)로 송신하도록 구성된다.
검증 디바이스(106)는 단말기(102)로부터 송신된 통신을 제한하거나 및/또는 단말기(102)와 같은 단말기들로부터 통신을 수신할 수 있는 다양한 다른 단말기들에서 수신되는 통신을 보호하도록 구성된다. 검증 디바이스(106)는 수신된 패킷에 포함된 소스 IP 어드레스 및 소스 MAC 어드레스가 유효한지 여부를 결정하고, 그 결과 단말기(102)가 검증될 수 있다. 예를 들어, 검증 디바이스(106)는 액세스 포인트 디바이스 또는 액세스 제어기 디바이스를 포함한다. 예를 들어, 액세스 포인트 디바이스는 무선 라우터가 될 수 있다. 액세스 포인트 디바이스는 또한 팻 액세스 포인트(FAT AP: fat access point) 디바이스로 지칭될 수 있다. 예를 들어, 액세스 제어기 디바이스는 AP들을 관리하고 유선 통신의 전달을 담당하는 무선 제어기(예를 들어, CiscoTM 5500 시리즈 무선 제어기)일 수 있고, 관리된 AP들은 무선 통신을 관리하는 것을 담당한다. 다양한 실시예들에서, 검증 디바이스(106)는 검증 테이블을 저장소(110)에 국부적으로 저장하도록 구성된다. 검증 테이블은 유효하고 검증된 단말기들과 연관된 소스 IP 어드레스들 및/또는 소스 MAC 어드레스들을 식별한다. 다양한 실시예들에서, 검증 테이블은 소스 어드레스 검증 개선(SAVI) 바인딩 테이블을 포함한다. SAVI 바인딩 테이블은 다양한 엔트리들을 포함하고, 각 엔트리는 적어도 검증된 단말기의 유효한 소스 IP 어드레스 및/또는 유효한 소스 MAC 어드레스, 및 선택적으로 소스 IP 어드레스와 연관된 임대 시간(lease time)을 포함한다. 수신된 패킷에 포함된 소스 어드레스들(소스 IP 어드레스 및 소스 MAC 어드레스)가 유효한지 여부를 결정하기 위해, 수신된 패킷의 적어도 하나의 소스 어드레스들(예를 들어, 소스 IP 메시지 및 소스 MAC 어드레스)은 로컬 검증 테이블에 저장된 엔트리들의 소스 어드레스들과 비교된다. 매칭 엔트리가 로컬 검증 테이블에서 발견될 수 있는 경우, 이후 소스 어드레스들은 유효하다고 결정되고 패킷은 그의 목적지 단말기로 포워딩된다. 그렇지 않고, 매칭 엔트리가 로컬 검증 테이블에서 발견될 수 없는 경우, 이후 검증 디바이스(106)는 단말기(102)로부터 DHCP 서버(108)로의 DHCP 요청의 전송을 시뮬레이팅하도록 구성된다. 다양한 실시예들에서, 단말기(102)로부터 DHCP 서버(108)로의 DHCP 요청의 전송을 시뮬레이팅하는 것은, 단말기(102)에 대응하는 소스 IP 어드레스 및 소스 MAC 어드레스(단말기(102)로부터 수신된 패킷에 포함되었던)를 포함하는 DHCP 요청을 생성하고, DHCP 요청을 DHCP 서버(108)에 송신하는 검증 디바이스(106)를 포함한다. 다양한 실시예들에서, 검증 디바이스(106)에 의해 생성된 DHCP 요청은 서버 식별자(DHCP 서버 ID) 옵션 및 요청된 IP 어드레스 옵션을 포함하지 않는다. DHCP 서버(108)가 적어도 DHCP 요청에 포함된 소스 IP 어드레스를 포함하는 기록을 저장한다고 결정하면, DHCP 서버(108)는 그 후 수신 확인(예를 들어, ACK)을 검증 디바이스(106)로 되돌려 보낼 것이다. 그렇지 않고, DHCP 서버(108)가 적어도 DHCP 요청에 포함된 소스 IP 어드레스를 포함하는 기록을 저장하지 않는다고 결정하면, 그 후 DHCP 서버(108)는 비-수신 확인(예를 들어, NAK) 또는 응답 없음을 검증 디바이스(106)로 되돌려 보낼 것이다. 검증 디바이스(106)가 DHCP 서버(108)로부터 수신 확인을 수신하는 경우, 검증 디바이스(106)는 단말기(102)에 대응하는 소스 IP 어드레스 및 소스 MAC 어드레스가 유효하다고 결정하고 그 패킷을 그의 목적지 단말기(또는 적어도 단말기(102)와 목적지 단말기 사이의 다음 중간 엔티티)로 포워딩하도록 구성된다. 또한, 검증 디바이스(106)는 검증된 단말기(102)에 대응하는 소스 IP 어드레스 및 소스 MAC 어드레스를 포함하는 로컬 검증 테이블에 새로운 엔트리를 선택적으로 생성할 수 있으므로, 단말기(102)로부터 수신된 후속 패킷들은 이러한 엔트리에 기초하여 직접 검증될 수 있다. 그렇지 않고, 검증 디바이스(106)가 DHCP 서버(108)로부터 비-수신 확인 응답을 수신하거나 전혀 응답을 수신하지 못하는 경우, 검증 디바이스(106)는 단말기(102)에 대응하는 소스 IP 어드레스 및 소스 MAC 어드레스가 유효하지 않은 것으로 결정하고 패킷이 그의 목적지 단말기로 포워딩되는 것을 방지하도록 구성된다.
이하에서 더 상세히 설명되는 바와 같이, 단말기 및 그의 대응하는 소스 어드레스들은 단말기로부터 DHCP 서버로의 DHCP 요청의 송신을 시뮬레이팅하기 위해 검증 디바이스를 사용함으로써 검증될 수 있다. DHCP 서버로부터 검증 디바이스로의 응답 또는 그것의 부재는 검증 디바이스에 단말기 및 그의 소스 어드레스들이 검증될 수 있는지 여부를 표시할 것이고, 따라서 그 단말기로부터의 패킷들이 그들의 목적지 단말기들로 포워딩될 수 있다. 그들의 대응하는 SAVI 바인딩 테이블들을 동기화하기 위해 상이한 검증 디바이스들 사이에 (예를 들어, TCP) 채널들을 설정하는 것이 더 이상 필요하지 않다. 상이한 검증 디바이스들 사이에서 TCP 채널들의 설정을 피하는 하나의 이점은 SAVI 바인딩 테이블 엔트리가 하나의 검증 디바이스에 의해 추가되는 경우, 그 새로운 엔트리가 다른 검증 디바이스들 사이에서 동기화될 필요가 없다는 것이다. TCP 채널들의 설정을 피하는 두 번째 이점은 새로운 검증 디바이스가 사용될 때, 새로운 검증 디바이스가 그들의 SAVI 바인딩 테이블 엔트리들에 대해 기존 검증 디바이스들로부터 수신하거나/기존 검증 디바이스들과 동기화할 필요가 없다는 것이다. 또한, 단말기를 대신하여 DHCP 요청의 송신을 시뮬레이팅하는 것은 또한 단말기에 투명하므로 단말기로부터 전송되거나 단말기에 의해 수신되는 정상적인 통신들이 방해받지 않는다.
도 2는 단말기의 소스 어드레스들의 유효성을 검증하기 위한 프로세스의 일 실시예를 도시한 흐름도이다. 일부 실시예들에서, 프로세스(200)는 도 1의 시스템(100)에서 수행된다. 구체적으로, 일부 실시예들에서, 프로세스(200)는 도 1의 시스템(100)의 검증 디바이스(106)에서 수행된다.
단계(202)에서, 패킷은 단말기로부터 수신되고, 패킷은 단말기와 연관된 소스 IP 어드레스 및 소스 MAC 어드레스를 포함한다.
다양한 실시예들에서, 단말기로부터 송신된 패킷은 목적지 디바이스/단말기로 송신될 통신의 일부(예를 들어, 패킷에 포함된 목적지 IP 어드레스 및/또는 목적지 MAC 어드레스에 의해 식별되는)이다.
단계(204)에서, 단말기와 연관된 매칭 엔트리가 로컬 검증 테이블에서 발견되는지 여부가 결정된다.
다양한 실시예들에서, "로컬" 검증 테이블은 프로세스(200)를 수행하는 검증 디바이스에 의해 저장된 SAVI 바인딩 테이블을 포함한다. 다양한 실시예들에서, 단말기와 연관된 매칭 엔트리가 로컬 SAVI 바인딩 테이블에서 발견되는지 여부를 결정하는 단계는 단말기가 검증될 수 있는지 여부를 판정하고, 따라서 그의 패킷이 그의 목적지로 포워딩되어야 하는지의 여부를 결정하는데 사용된다. 다양한 실시예들에서, 단말기와 연관된 매칭 엔트리가 로컬 SAVI 바인딩 테이블에서 발견되는지를 결정하는 단계는 패킷에 포함된 소스 IP 어드레스를 인덱스로서 사용하여 SAVI 바인딩 테이블을 검색하는 단계를 포함한다. 예를 들어, 패킷에 포함된 소스 IP 어드레스를 인덱스로서 사용하여 SAVI 바인딩 테이블을 검색하는 단계는 패킷에 포함된 소스 IP 어드레스와 SAVI 바인딩 테이블의 엔트리들에 저장된 각 소스 IP 어드레스를 비교하는 것을 포함한다.
패킷에 포함된 소스 IP 어드레스가 SAVI 바인딩 테이블에서 발견될 수 있는 경우, 단말기와 연관된 소스 IP 어드레스 및 소스 MAC 어드레스가 유효하도록(즉, 검증되도록) 결정되고 패킷은 그의 목적지 위치(예를 들어, 패킷에 포함된 목적지 IP 어드레스 및/또는 목적지 MAC 어드레스에 의해 식별된)로 포워딩된다.
그렇지 않고, 패킷에 포함된 소스 IP 어드레스가 SAVI 바인딩 테이블에서 발견될 수 없는 경우, 단말기와 연관된 소스 IP 어드레스 및 소스 MAC 어드레스는 아직 유효한 것으로 결정되지 않고 이하 설명된 바와 같이 추가 검증이 패킷에 대해 수행된다.
일부 실시예들에서, 패킷의 소스 IP 어드레스 및 소스 MAC 어드레스의 유효성을 결정하기 전에, 수신된 패킷은 버퍼에 저장된다. 예를 들어, 버퍼는 그의 소스 어드레스들이 유효했거나 무효했던 것으로 발견되기 전에 패킷이 저장되는 임시 저장 위치를 포함할 수 있다.
단계(206)에서, 단말기와 연관된 매칭 엔트리가 로컬 검증 테이블에서 발견되지 않는다고 결정된다.
단계(207)에서, 소스 IP 어드레스 및 소스 MAC 어드레스에 기초하여 단말기와 연관된 요청이 생성된다. 이하에서 더 상세히 설명되는 바와 같이, 단말기와 연관된 매칭 엔트리가 로컬 검증 테이블에서 발견되지 않는다는 결정에 응답하여, DHCP 요청이 생성된다.
단계(208)에서, 요청은 DHCP 서버로 전송된다.
다음은 단말기에 대한 매칭 엔트리가 로컬 SAVI 바인딩 테이블에서 발견될 수 없는 두 가지 예제 시나리오들이다.
1) 단말기는 이전의 검증 디바이스와 연관된 영역으로부터 동일한 무선 근거리 통신망(예를 들어, 동일한 DHCP 서버 환경, 또는 기본-대기 관계를 갖는 이중-라이브 DHCP 서버 환경) 내의 새로운 검증 디바이스와 연관된 다른 영역으로 로밍했고, 단말기는 IP 어드레스를 재-검색하기 위해 DHCP 프로세스를 실행하지 않았다.
2) 재부팅 전에 저장되었던 SAVI 바인딩 테이블 엔트리들의 손실이 샐길 수 있었던 검증 디바이스가 재부팅되었다.
단말기와 연관된 매칭 엔트리가 로컬 SAVI 바인딩 테이블에서 발견될 수 없다면(즉, 국부적으로 저장된 SAVI 바인딩 테이블이 패킷에 포함된 소스 IP 어드레스를 포함하는 엔트리를 저장하지 않는다면), 검증 디바이스는 단말기를 대신하여 DHCP를 요청을 생성하고, DHCP 요청을 DHCP 서버로 전송한다. 다양한 실시예들에서, DHCP 요청이 검증 디바이스에 의해 실제로 생성되고 전송될 때 단말기로부터 전송되는 요청을 "시뮬레이트(simulate)"하기 위해, 패킷에 포함된 소스 IP 어드레스 및 소스 MAC 어드레스를 DHCP 요청에 포함시킴으로써, DHCP 요청이 단말기를 대신하여 검증 서버에 의해 생성된다.
예를 들어 패킷에 포함된 소스 IP 어드레스 값과 소스 MAC 어드레스 값은 DHCP 요청의 다양한 필드들에서 값들로서 사용된다. 다음은 DHCP 요청의 예시 기본 필드들 및 패킷에 포함된 소스 IP 어드레스 값 또는 소스 MAC 어드레스 값을 포함하는 그들 필드들의 목록이다:
Dst MAC FF:FF:FF:FF:FF:FF
Src MAC 패킷에 포함된 소스 MAC 어드레스
타입 0x0800
Src IP 패킷에 포함된 소스 IP 어드레스
Dst IP 255.255.255.255
프로토콜 17
Src 포트 68
Dst 포트 67
메시지 타입 0x01
하드웨어 타입 0x01
HLEN 0x06
HOPS 0x00
XID 랜덤 값
SECS 0x00
FLAGS 0x00
CIADDR 패킷에 포함된 소스 IP 어드레스
YIADDR 0x00000000
SIADDR 0x00000000
GIADDR 0x00000000
CHADDR 패킷에 포함된 소스 MAC 어드레스
옵션 53 0x35 01 03
옵션 61 0x37 0d 01 + 패킷에 포함된 소스 MAC 어드레스
옵션 51 0x33 04 00 76 a7 00
옵션 255 0xff
게이트웨이 프로그램이 "Dst IP" 필드의 값으로서 "255.255.255.255"를 포함하여 DHCP 릴레이 모드로 구성된 경우, DHCP 요청은 게이트웨이로 하여금 요청 패킷을 DHCP 서버로 포워딩하도록 할 것이다. 게이트웨이 프로그램이 DHCP 서버가 동일한 서브넷에 있는 것을 의미하는 DHCP 릴레이 모드로 구성되지 않는 경우, DHCP 요청이 "Dst IP" 필드의 값으로서 "255.255.255.255"로 구성되기 때문에, DHCP 요청은 또한 DHCP 서버로 포워딩될 것이다. 상기 예시에 도시된 바와 같이, 단말기로부터 수신된 패킷에 포함된 소스 IP 어드레스 및 소스 MAC 어드레스는 검증 디바이스에 의해 생성된 DHCP 요청의 여러 필드들의 값들로 포함된다. 패킷으로부터 소스 IP 어드레스 값을 포함하는 예시적인 DHCP 요청(example DHCP request)의 필드들은 "Src IP" 및 "CIADDR"이다. 패킷으로부터 소스 MAC 어드레스 값을 포함하는 예시적인 DHCP 요청의 필드들은 "Src MAC", "CHADDR", 및 "옵션 61(Option 61)"이다. 추가로, 생성된 DHCP 요청이 서버 식별자(DHCP 서버 ID) 옵션이나 요청된 IP 어드레스 옵션을 포함하지 않는다는 것이 주목되어야 한다. 이는 DHCP 요청이 서버 ID 또는 요청된 IP 어드레스 옵션들을 포함할 때, DHCP 서버가 단말기에 새로운 IP 어드레스를 할당하고 이를 기록할 것이기 때문이다. DHCP 서버는 할당된 IP 어드레스, 대응하는 MAC 어드레스, 및 할당된 IP 어드레스의 유효 기간 사이의 대응 관계와 같은 정보를 저장한다. DHCP 요청이 서버 식별자(DHCP 서버 ID) 옵션 및 요청된 IP 어드레스 옵션을 포함하지 않는다면, DHCP 서버는 이후 새로운 IP 어드레스를 단말기에 할당하지 않을 것이다. 대신에, DHCP 서버는 DHCP 요청에 포함된 CIADDR 필드의 값(패킷에 포함된 소스 IP 어드레스) 및 CHADDR 필드의 값(패킷에 포함된 소스 MAC 어드레스)에 대응하는 기록이 DHCP 서버에 의해 저장되는지 여부를 결정할 것이다. DHCP 서버에 기록된 기존 엔트리가 CIADDR 필드의 IP 어드레스와 일치하는 IP 어드레스를 포함하고, 이 IP 어드레스가 해당 엔트리의 유효 기간(예를 들어. 임대 시간) 내에 있으면, 이것은 CIADDR 필드의 IP 어드레스가 유효하고, DHCP 서버가 검증 디바이스로 ACK(또는 일부 다른 수신 확인)를 반환할 것임을 나타낸다. 그렇지 않고, DHCP 서버에 기록된 어떠한 엔트리도 CIADDR 필드의 IP 어드레스에 일치하는 IP 어드레스를 포함하지 않는다면, 이것은 CIADDR 필드의 IP 어드레스가 유효하지 않고, DHCP 서버가 (또는 일부 다른 비-수신 확인 응답)을 반환할 것이거나 검증 디바이스로 임의의 응답을 전송하지 않을 것임을 나타낸다. 예를 들어, DHCP 서버가 DHCP 요청의 CIADDR 필드의 IP 어드레스에 관련된 어떠한 기록들도 갖지 않는 경우, DHCP 요청의 CIADDR 필드의 IP 어드레스와 DHCP 요청의 CHADDR 필드의 MAC 어드레스 사이의 대응 관계가 DHCP 서버에 기록된 기존 엔트리 내의 IP 어드레스 및 MAC 어드레스 사이의 대응 관계와 일치하지 않는 경우, 또는 DHCP 요청의 CIADDR 필드의 IP 어드레스가 그의 유효 기간을 경과한 경우, 등의 경우, DHCP 서버는 또한 NAK을 전송할 수 있거나 어떠한 응답도 DHCP 요청에 전혀 전송하지 않을 수 있다.
따라서, DHCP 서버에 대한 DHCP 요청의 단말기에 의한 전송을 시뮬레이팅함으로써, 패킷에 포함된 IP 소스 어드레스 및 MAC 소스 어드레스의 유효성은 DHCP 서버의 응답에 기초하여 결정될 수 있다 .
또한, 각각의 검증 테이블들을 동기화하기 위해 검증 디바이스들 사이에 TPC 연결이 요구되는 종래의 시스템들과 대조적으로, 다양한 실시예들에서 설명 된 DHCP-관련 통신은, 예를 들어 사용자 데이터그램 프로토콜(UDP: User Datagram Protocol)과 같은 연결 없는 프로토콜(connectionless protocol)에 기초한다. 이와 같이, 연결 없는 프로토콜을 사용하여, 본 명세서에서 설명된 다양한 실시예들은 그렇지 않으면 (예를 들어, TCP) 연결을 유지하는데 사용되는 자원들을 절약할 수 있다.
단계(210)에서, 단말기와 연관된 소스 IP 어드레스 및 소스 MAC 어드레스가 유효한지 여부가 DHCP 서버로부터의 응답에 적어도 부분적으로 기초하여 결정된다.
전술한 바와 같이, DHCP 요청에 응답하여 DHCP 서버로부터 확인 응답이 수신되는 경우, 패킷으로부터의 그리고 DHCP 요청에 포함된 소스 IP 어드레스 및 소스 MAC 어드레스는 이후 유효하다고 결정된다. 그러나, 비-수신 확인이 수신되거나, 어떠한 응답도 DHCP 서버로부터 수신되지 않는 경우, 패킷으로부터의 그리고 DHCP 요청에 포함된 소스 IP 어드레스 및 소스 MAC 어드레스는 이후 무효하다고 결정된다.
일부 실시예들에서, 타이머는 DHCP 요청이 DHCP 서버로 전송된 시간부터 시작될 수 있고, DHCP 서버에 의해 반환된 수신 확인이 미리 설정된 시간 길이 내에 수신되는 경우, 단말기의 소스 IP 어드레스 및 소스 MAC 어드레스는 유효한 것으로 결정된다. 그러나, 어떠한 응답도 미리 설정된 시간 길이 내에 수신되지 않거나, 비- 수신 확인이 미리 설정된 시간 길이 내에 수신되면, 단말기의 소스 IP 어드레스 및 소스 MAC 어드레스는 무효한 것으로 간주된다.
일부 실시예들에서, DHCP 요청의 단말기에 의한 DHCP 서버로의 전송이 검증 디바이스에 의해 시뮬레이팅되기 때문에(예를 들어, 시뮬레이팅된 DHCP 요청은 실제로 검증 디바이스로부터 DHCP 서버로 전송된다), 이 시뮬레이팅된 요청과 실제로 단말기에 의해 전송된 DHCP 요청을 구별하기 위해, 시뮬레이션 기록은 시뮬레이팅되어 전송된 요청에 대해 확립될 수 있다. 시뮬레이션 기록은 DHCP 요청에 포함된 소스 IP 어드레스 및 소스 MAC 어드레스(패킷으로 부터의) 및 시뮬레이팅된 DHCP 요청의 식별자를 기록하기 위해 사용될 수 있다. 이어서, DHCP 서버에 의해 반환된 응답(예를 들어, 확인 응답)을 수신하면, 응답에 포함된 식별자가 시뮬레이션 기록에 포함된 식별자와 일치하고, 따라서 응답이 전송되고, 시뮬레이팅된 DHCP 요청과 관련되는지 여부가 결정된다. 예를 들어, DHCP 요청의 식별자는 DHCP 트랜잭션 ID(DHCP transaction ID)일 수 있다. 응답의 식별자(예를 들어, DHCP 트랜잭션 ID)가 시뮬레이션 기록에 포함된 식별자(예를 들어, DHCP 트랜잭션 ID)와 일치하는 것으로 결정되면, 이후 수신된 응답은 시뮬레이팅되어 전송된 DHCP 요청에 대한 응답으로 결정된다. 시뮬레이팅되어 전송된 DHCP 요청에 대한 응답이 수신되었다는 결정이 내려지면, 응답은 단말기로 전송되지 않고, 매칭 시뮬레이션 기록은 삭제된다. 응답의 식별자가 시뮬레이션 기록들에 포함된 임의의 식별자와 일치하지 않는다고 결정되면, 이후 수신된 응답은 시뮬레이팅된어 전송된 DHCP 요청에 대한 응답이 아닌 것으로 결정되고, 이에 응답은 단말기로 송신된다(응답이 실제로 단말기에 의해 DHCP 서버로 전송되었다고 가정하므로). 이 시뮬레이션 기록을 사용하여, 응답들이 아직 수신되지 않은 시뮬레이팅된 DHCP 요청들을 추적하고 또한 시뮬레이팅되어 전송된 DHCP 요청들을 단말기에 의해서 실제로 전송된 DHCP 요청들과 구별하는 것이 가능하다. 시뮬레이션 기록들의 사용은 또한 단말기들로부터의 DHCP 요청들의 전송들을 시뮬레이팅하는 검증 디바이스의 프로세스가 단말기들에 대해 투명하게 되는 것을 허용한다.
다양한 실시예들에서, DHCP 서버에 의해 반송된 확인 응답을 수신하면, 패킷의 소스 IP 어드레스 및 소스 MAC 어드레스가 유효한지를 결정하는 것 이외에, 패킷의 소스 IP 어드레스 및 소스 MAC 어드레스를 포함하는 새로운 SAVI 바인딩 테이블 엔트리는 패킷을 전송한 단말기에 대해 설정되고 저장될 수 있다. 단말기에 대응하는 소스 IP 어드레스 및 소스 MAC 어드레스를 포함하는 SAVI 바인딩 테이블 엔트리를 생성함으로써, 단말기(동일한 소스 IP 어드레스 및 소스 MAC 어드레스를 포함할)로부터 수신된 후속 패킷들은 이 바인딩 테이블 엔트리에 기초하여 직접 검증될 수 있다.
일부 실시예들에서, 패킷의 소스 IP 어드레스 및 소스 MAC 어드레스의 유효성을 결정하기 전에, 패킷은 버퍼에 저장된다. 패킷의 소스 IP 어드레스 및 소스 MAC 어드레스를 포함하는 시뮬레이팅된 DHCP 요청에 응답하여 DHCP 서버로부터 확인 응답이 수신되는 경우, 이후 버퍼링된 패킷이 그의 목적지에 전송될 수 있다. 그러나, 비-수신 확인 또는 대신에 어떠한 응답도 DHCP 서버로부터 수신되지 않는 경우, 버퍼링된 패킷은 폐기될 수 있고, 인증 요구 메시지가 단말기로 전송될 수 있고, 및/또는 단말기는 검증 디바이스가 연관된 현재 네트워크 연결로부터 단절되게 될 수 있다.
도 3은 단말기의 소스 어드레스들의 유효성을 검증하기 위한 예시적인 프로세스를 도시한 흐름도이다. 일부 실시예들에서, 프로세스(300)는 도 1의 시스템(100)에서 수행된다. 구체적으로, 일부 실시예들에서, 프로세스(300)는 도 1의 시스템(100)의 검증 디바이스(106)에서 수행된다. 일부 실시예들에서, 도 2의 프로세스(200)의 단계들(202 내지 210)은 프로세스(300)에 의해 구현될 수 있다.
단계(302)에서, 패킷은 단말기로부터 수신되고, 패킷은 단말기와 연관된 소스 IP 어드레스 및 소스 MAC 어드레스를 포함한다.
단계(304)에서, 패킷은 버퍼에 저장된다. 일부 실시예들에서, 버퍼에 패킷을 저장하는 것은 로컬의, 임시 저장 위치에 패킷을 저장하는 것을 의미한다. 이하 설명된 바와 같이, 패킷이 그의 목적지로 포워딩 될지 여부는 단말기와 연관된 소스 IP 어드레스 및 소스 MAC 어드레스가 유효한 것으로 결정되는지 여부에 따라 다르다.
단계(306)에서, 단말기와 연관된 매칭 엔트리가 로컬 SAVI 바인딩 테이블에서 발견되는지 여부가 결정된다. 로컬 SAVI 바인딩 테이블은 프로세스(300)를 수행하는 검증 디바이스에 의해 저장된다. 단말기와 연관된 매칭 엔트리가 로컬 SAVI 바인딩 테이블에서 발견되지 않는 경우, 제어는 단계(308)로 전송된다. 그렇지 않고, 단말기와 연관된 매칭 엔트리가 로컬 SAVI 바인딩 테이블에서 발경되는 경우, 제어는 단계(322)로 전송되고, 상기 단계에서 단말기와 연관된 소스 IP 어드레스 및 소스 MAC 어드레스가 유효하고, 패킷이 버퍼로부터 검색되고 패킷과 연관된 목적지로 송신되도록 결정된다.
단계(308)에서, DHCP 요청이 생성되어 DHCP 서버로 전송되고, 상기 DHCP 요청은 소스 IP 어드레스 및 소스 MAC 어드레스를 포함한다. DHCP 요청의 단말기에 의한 DHCP 서버로의 전송은 패킷으로부터의 소스 IP 어드레스 및 소스 MAC 어드레스를 갖는 DHCP 요청을 생성하고 이후 상기 DHCP 요청을 DHCP 서버로 전송하는 검증 디바이스에 의해 시뮬레이팅 된다.
단계(310)에서, DHCP 요청에 대응하는 시뮬레이션 기록이 생성되어 저장된다. 시뮬레이션 기록은 DHCP 요청과 연관된 식별자(예를 들어, DHCP 트랜잭션 ID)를 포함한다. 다양한 실시예들에서, 시뮬레이션 기록은 검증 디바이스에 저장된다.
단계(312)에서, DHCP 요청의 전송 이후 미리 설정된 시간 길이가 경과했는지 여부가 결정된다. 일부 실시예들에서, 미리 설정된 시간 길이는 관리자에 의해 결정된다. 미리 결정된 시간 길이가 경과하지 않은 경우, 제어는 단계(312)로 반환된다. 그렇지 않고, 미리 설정된 시간 길이가 경과한 경우, 제어는 단계(314)로 전송된다.
단계(314)에서, 확인 응답이 DHCP 서버로부터 수신되었는지 여부가 결정된다. 예를 들어, 확인 응답은 ACK이다. 일부 실시예들에서, DHCP 서버로부터의 확인 응답은 DHCP 서버가 DHCP 요청으로부터의 소스 IP 어드레스 및 소스 MAC 어드레스 중 적어도 하나를 포함하는 기록을 저장했다는 것을 나타낸다. 이와 같이, DHCP 요청으로부터의 소스 IP 어드레스 및 소스 MAC 어드레스는 유효하다고 결정된다. 확인 응답이 DHCP 서버로부터 수신된 경우, 제어는 단계(318)로 반환된다. 그렇지 않고, 확인 응답(예를 들어, 미리 설정된 시간 길이 내에서 수신된 비-확인 응답(예를 들어, NAK), 미리 설정된 시간 길이 후에 수신된 비-확인 응답(예를 들어, NAK), 또는 미리 설정된 시간 길이 내에 어떠한 응답도 전혀 없음)이 DHCP 서버로부터 수신되지 않는 경우, 제어는 단계(326)으로 전송된다. 이와 같이, DHCP 요청으로부터의 소스 IP 어드레스 및 소스 MAC 어드레스는 무효하다고 결정된다.
단계(318)에서, DHCP 요청에 대응하는 시뮬레이션 기록이 삭제된다. 확인 응답과 연관된 식별자(예를 들어, DHCP 트랜잭션 ID)는 시뮬레이션 기록에 저장된 DHCP 요청의 식별자(예를 들어, DHCP 트랜잭션 ID)와 비교된다. 매칭이 존재하면, 시뮬레이팅된 DHCP 요청에 대한 응답이 수신되었다는 것으로 확인될 때, 시뮬레이션 기록은 삭제될 수 있다. 더욱이, 응답이 시뮬레이팅된 DHCP 요청(단말기에 의해 전송되었던 실제 DHCP 요청과 대조적인)인 것으로 확인되는 경우, DHCP 서버로부터의 응답은 단말기로 전송되지 않는다.
단계(320)에서, 단말기와 연관된 소스 IP 어드레스 및 소스 MAC 어드레스를 포함하는 로컬 SAVI 바인딩 테이블 내의 새로운 엔트리가 생성된다.
단계(322)에서, 패킷이 버퍼로부터 검색되고 패킷과 연관된 목적지로 전송된다. 단말기와 연관된 소스 IP 어드레스 및 소스 MAC 어드레스가 유효하다고 결정되면, 패킷을 전송한 단말기가 검증되고 패킷은 버퍼로부터 검색되어 목적지(예를 들어, 패킷에 의해 식별된)로 전송된다.
단계(326)에서, 패킷은 버퍼로부터 제거된다. 단말기와 연관된 소스 IP 어드레스 및 소스 MAC 어드레스가 무효한 것으로 결정되기 때문에 패킷을 전송한 단말기는 검증되지 않으므로, 결국 버퍼는 제거되고 결과적으로 패킷은 폐기된다.
일부 실시예들에서, 패킷이 포워딩되거나 폐기되는지 여부가 로깅된다(log).
도 4는 검증 디바이스의 제 1 실시예를 도시하는 다이어그램이다. 도 3의 예시에 도시된 바와 같이, 검증 디바이스(400)는 결정 유닛(410), 시뮬레이팅된 전송 유닛(420), 및 유효성 검증 유닛(430)을 포함한다.
유닛들은 하나 이상의 프로세서들 상에서 실행하는 소프트웨어 구성요소들로서, 프로그램 가능한 로직 디바이스들과 같은 하드웨어로서 구현될 수 있고, 및/또는 주문형 집적 회로들 설계 요소들은, 컴퓨터 디바이스(개인용 컴퓨터들, 서버들, 네트워크 장비 등)가 본 발명의 실시예들에 기술된 방법들을 구현하기 위한 많은 지시들을 포함하는 비 휘발성 저장 매체(광 디스크, 플래시 저장 디바이스, 모바일 하드 디스크 등)에 저장될 수 있는 소프트웨어 제품들의 형태로 구현될 수 있다. 유닛들은 단일 디바이스 상에서 구현되거나 다수의 디바이스들에 걸쳐 분산될 수 있다.
결정 유닛(410)은 단말기에 의해 전송된 패킷을 수신하도록 구성된다. 패킷은 단말기의 소스 IP 어드레스 및 소스 MAC 어드레스를 포함한다. 결정 유닛(410)은 로컬 검증 (예를 들어, SAVI 바인딩) 테이블이 패킷의 소스 IP 어드레스와 일치하는 IP 어드레스를 저장하는 엔트리를 포함하는지 여부를 결정하도록 구성된다.
로컬 SAVI 바인딩 테이블이 패킷의 소스 IP 어드레스와 일치하는 IP 어드레스를 저장하는 엔트리를 포함하지 않는 경우, 시뮬레이팅된 전송 유닛(420)은 단말기로부터 DHCP 서버로의 DHCP 요청의 전송을 시뮬레이팅하도록 구성된다. 다양한 실시예들에서, 시뮬레이팅된 전송 유닛(420)은, 요청의 하나 이상의 필드 내의 패킷으로부터 소스 IP 어드레스 및 소스 MAC 어드레스를 갖는 DHCP 요청을 생성하고, DHCP 서버에 대한 응답을 전송함으로써 단말기로부터 DHCP 서버로의 DHCP 요청의 전송을 시뮬레이팅하도록 구성된다.
유효성 검증 유닛(430)은 단말기와 연관된 소스 IP 어드레스 및 소스 MAC 어드레스가 유효한지 여부를 DHCP 서버로부터의 응답에 기초하여 결정하도록 구성된다.
도 5는 검증 디바이스의 제 2 실시예를 도시한 다이어그램이다. 도 5의 예시에 도시된 바와 같이, 검증 디바이스(500)는 결정 유닛(510), 시뮬레이팅된 전송 유닛(520), 유효성 검증 유닛(530), 및 타이머 유닛(540)을 포함한다.
결정 유닛(510)은 도 4의 시스템(400)의 결정 유닛(410)과 유사하게 구현될 수 있다. 시뮬레이팅된 전송 유닛(520)은 도 4의 시스템(400)의 시뮬레이팅된 전송 유닛(420)과 유사하게 구현될 수 있다.
타이머 유닛(540)은 DHCP 요청이 DHCP 서버로 전송된 이후 경과된 시간 길이를 추적의 길이를 추적하도록 구성된다.
유효성 검증 유닛(530)은 도 4의 시스템(400)의 유효성 검증 유닛(430)과 유사하게 구현될 수 있다. 추가로, 유효성 검증 유닛(530)은 DHCP 서버로부터 미리 설정된 시간 길이 내에 확인 응답이 수신된다면, 이후 패킷에 포함된 소스 IP 어드레스 및 소스 MAC 어드레스가 유효하다는 것을 결정하도록 구성된다. 그렇지 않고, 유효성 검증 유닛(530)은 미리 설정된 시간 길이 내에 DHCP 서버로부터 비-확인 응답이 수신되거나 어떠한 응답도 전혀 수신되지 않으면, 이후 패킷에 포함된 소스 IP 어드레스 및 소스 MAC 어드레스가 무효하다는 것을 결정하도록 구성된다.
도 6은 검증 디바이스의 제 3 실시예를 도시한 다이어그램이다. 도 6의 예시에 도시된 바와 같이, 검증 디바이스(600)는 결정 유닛(610), 시뮬레이팅된 전송 유닛(620), 유효성 검증 유닛(630), 시뮬레이션 기록 유닛(650), 매칭 유닛(660), 및 삭제 유닛(670)을 포함한다.
결정 유닛(610)은 도 4의 시스템(400)의 결정 유닛(410)과 유사하게 구현될 수 있다. 시뮬레이팅된 전송 유닛(620)은 도 4의 시스템(400)의 시뮬레이팅된 전송 유닛(420)과 유사하게 구현될 수 있다. 유효성 검증 유닛(630)은 도 4의 시스템(400)의 유효성 검증 유닛(430)과 유사하게 구현될 수 있다.
시뮬레이션 기록 유닛(650)은 시뮬레이팅된 전송 유닛(620)에 의해 생성된 DHCP 요청에 대한 시뮬레이션 기록을 확립하도록 구성된다.
매칭 유닛(660)은 DHCP 서버로부터의 확인 응답이 확립된 시뮬레이션 기록을 매칭함으로써 DHCP 요청에 대응하는 응답인지 여부를 결정하도록 구성된다.
삭제 유닛(670)은 DHCP 서버로부터의 응답이 그 시뮬레이션 기록과 일치하는 것으로 결정되면 시뮬레이션 기록을 삭제하도록 구성된다.
도 7은 검증 디바이스의 제 4 실시예를 도시한 다이어그램이다. 도 7의 예시에 도시된 바와 같이, 검증 디바이스(700)는 결정 유닛(710), 시뮬레이팅된 전송 유닛(720), 유효성 검증 유닛(730), 및 바인딩 테이블 엔트리 확립 및 저장 유닛(780)을 포함한다.
결정 유닛(710)은 도 4의 시스템(400)의 결정 유닛(410)과 유사하게 구현될 수 있다. 시뮬레이팅된 전송 유닛(720)은 도 4의 시스템(400)의 시뮬레이팅된 전송 유닛(420)과 유사하게 구현될 수 있다. 유효성 검증 유닛(730)은 도 4의 시스템(400)의 유효성 검증 유닛(430)과 유사하게 구현될 수 있다.
시뮬레이팅된 DHCP 요청에 대응하는 DHCP 서버에 의해 반환된 확인 응답을 수신하는 것에 응답하여, 바인딩 테이블 엔트리 확립 및 저장 유닛(780)은 단말기에 대한 새로운 엔트리를 단말기와 연관된 소스 IP 어드레스 및 소스 MAC 어드레스를 포함하는 로컬 SAVI 바인딩 테이블에 확립하고 저장하도록 구성된다.
도 8은 검증 디바이스의 제 5 실시예를 도시한 다이어그램이다. 도 8의 예시에 도시된 바와 같이, 검증 디바이스(800)는 결정 유닛(810), 시뮬레이팅된 전송 유닛(820), 유효성 검증 유닛(830), 버퍼링 유닛(890), 및 전송 유닛(895)을 포함한다.
결정 유닛(810)은 도 4의 시스템(400)의 결정 유닛(410)과 유사하게 구현될 수 있다. 시뮬레이팅된 전송 유닛(820)은 도 4의 시스템(400)의 시뮬레이팅된 전송 유닛(420)과 유사하게 구현될 수 있다.
버퍼링 유닛(890)은 패킷을 버퍼링하도록 구성된다.
확인 응답이 DHCP 요청에 응답하여 DHCP 서버로부터 수신되는 경우, 전송 유닛(895)은 버퍼로부터 패킷(그의 소스 IP 어드레스 및 소스 MAC 어드레스는 그 DHCP 요청에 포함된다)을 검색하고, 패킷을 그의 목적지(예를 들어, 패킷에 포함된 목적지 IP 어드레스 및/또는 목적지 MAC 어드레스)로 전송하도록 구성된다.
유효성 검증 유닛(830)은 도 4의 시스템(400)의 유효성 검증 유닛(430)과 유사하게 구현될 수 있다. 추가로, 유효성 검증 유닛(830)은 DHCP 서버로부터 미리 설정된 시간 길이 내에 확인 응답이 수신된다면, 이후 패킷에 포함된 소스 IP 어드레스 및 소스 MAC 어드레스가 유효하다는 것을 결정하도록 구성된다. 그렇지 않고, 유효성 검증 유닛(830)은 미리 설정된 시간 길이 내에 DHCP 서버로부터 비-확인 응답이 수신되거나 어떠한 응답도 전혀 수신되지 않으면, 이후 패킷에 포함된 소스 IP 어드레스 및 소스 MAC 어드레스가 무효하다는 것을 결정하도록 구성되고, 대응하여, 버퍼링 유닛(890)은 단말기의 패킷을 폐기하고 인증 요구 메시지를 단말기로 송신하도록 구성된다.
상기에 기술된 바와 같이, 단말기와 연관된 소스 IP 어드레스 및 소스 MAC 어드레스는, 단말기로부터 DHCP 서버로의 DHCP 요청의 송신을 시뮬레이팅하기 위해 검증 디바이스를 사용하는 것에 기초하여 유효화된다. 단말기와 연관된 소스 어드레스들에 대한 검증을 수행하는 다양한 실시예들은 SAVI 바인딩 테이블 엔트리들(예를 들어, 상이한 검증 디바이스에 의해 관리되는)을 동기화하기 위해 추가 채널의 확립을 요구하지 않는다. 이러한 채널들의 사용을 피함으로써, 네트워크 구성들이 단순화된다. 단말기를 대신하여 DHCP 요청의 전송을 시뮬레이팅하는 프로세스는 또한 단말기에 투명하므로 단말기로부터 전송되거나 단말기에 의해 수신되는 정상적인 통신들이 방해받지 않는다.
도 9는 단말기의 소스 어드레스들의 유효성을 검증하기 위한 프로그램화된 컴퓨터 시스템의 일 실시예를 도시한 기능도이다. 명백해질 바와 같이, 다른 컴퓨터 시스템 아키텍처들 및 구성들이 단말기의 소스 어드레스들의 유효성을 검증하기 위해 사용될 수 있다. 이하 기술되는 바와 같은 다양한 서브시스템들을 포함하는 컴퓨터 시스템(900)은 적어도 하나의 마이크로프로세서 서브시스템(902)(또한 프로세서 또는 중앙 프로세싱 유닛(CPU)으로 지칭됨)을 포함한다. 예를 들어, 프로세스(902)는 단일-칩 프로세서에 의해 또는 다수의 프로세서들에 의해 구현될 수 있다. 일부 실시예들에서, 프로세서(902)는 컴퓨터 시스템(900)의 작동을 제어하는 범용 디지털 프로세서이다. 메모리(910)로부터 검색된 지시들을 사용하여, 프로세서(902)는 입력 데이터의 수신 및 조작, 및 출력 디바이스들(예를 들어, 디스플레이(918))상의 데이터의 출력 및 디스플레이를 제어한다.
프로세서(902)는 통상적으로 랜덤 액세스 메모리(RAM)인 제 1 주기억 장치 영역 및 통상적으로 판독-전용 메모리(ROM)인 제 2 주기억 장치 영역을 포함할 수 있는 메모리(910)와 양-방향으로 연결된다.
본 기술 분야에서 잘 알려진 바와 같이, 주기억 장치는 일반적인 저장 영역 및 스크래치-패드 메모리로서 사용될 수 있고, 또한 입력 데이터 및 프로세싱된 데이터를 저장하는 데 사용될 수 있다. 주기억 장치는 또한 프로세서(902) 상에서 작동하는 프로세스들에 대한 다른 데이터 및 지시들 이외에 데이터 객체들 및 텍스트 객체들의 형태로 프로그래밍 명령들 및 데이터를 저장할 수 있다. 본 기술 분야에서 잘 알려진 바와 같이, 주기억 장치는 전형적으로 그의 기능들을 수행하기 위해 프로세서(902)에 의해 사용되는 기본 작동 명령들, 프로그램 코드, 데이터, 및 객체들(예를 들어, 프로그래밍된 명령들)을 포함한다. 예를 들어, 메모리(910)는, 예를 들어, 데이터 액세스가 양-방향인지 또는 단-방향인지 여부에 따라, 후술되는 임의의 적합한 컴퓨터 판독가능 저장 매체를 포함할 수 있다. 예를 들어, 프로세서(902)는 또한 빈번하게 필요한 데이터를 캐시 메모리(도시되지 않음)에 직접적으로 그리고 매우 신속하게 검색하고 저장할 수 있다.
이동식 대용량 저장 디바이스(912)는 컴퓨터 시스템(900)에 대한 추가적인 데이터 저장 용량을 제공하고 프로세서(902)에 양방향으로(판독/기록) 또는 단방향으로(판독 전용) 결합된다. 예를 들어, 저장소(912)는 또한 자기 테이프, 플래시 메모리, PC-CARD들, 휴대용 대용량 저장 디바이스들, 홀로 그래픽 저장 디바이스들, 및 다른 저장 디바이스들과 같은 컴퓨터 판독 가능 매체를 포함할 수 있다. 고정 대용량 저장소(920)는 또한, 예를 들어 추가적인 데이터 저장 용량을 제공할 수 있다. 고정 대용량 저장소(920)의 가장 일반적인 예는 하드 디스크 드라이브이다. 일반적으로, 대용량 저장소들(912, 920)은 통상적으로 프로세서(920)에 의해 능동적으로 사용되지 않는 추가 프로그래밍 명령들, 데이터 등을 저장한다. 대용량 저장소들(912, 920) 내에 보유된 정보가, 필요하다면 가상 메모리로서 메모리(910)(예를 들어, RAM)의 일부로서 표준 방식으로 통합될 수 있음이 이해될 것이다.
저장 서브 시스템들에 대한 프로세서(902) 액세스를 제공하는 것 이외에, 버스(914)는 또한 다른 서브 시스템들 및 디바이스들에 대한 액세스를 제공하는데 사용될 수 있다. 도시된 바와 같이, 이들은 보조 입/출력 디바이스 인터페이스, 사운드 카드, 스피커들 및 필요에 따라 다른 서브 시스템들뿐만 아니라, 디스플레이(918), 네트워크 인터페이스(916), 키보드(904), 및 포인팅 디바이스(908)를 포함할 수 있다. 예를 들어, 포인팅 디바이스(908)는 마우스, 스타일러스, 트랙 볼 또는 태블릿일 수 있고, 그래픽 사용자 인터페이스와 상호 작용하는데 유용하다.
네트워크 인터페이스(916)는 프로세서(902)가 다른 컴퓨터, 컴퓨터 네트워크, 또는 도시된 바와 같은 네트워크 연결을 사용하는 통신 네트워크에 결합되도록 허용한다. 예를 들어, 네트워크 인터페이스(916)를 통해, 프로세서(902)는 다른 네트워크로부터 정보(예를 들어, 데이터 객체들 또는 프로그램 명령들)을 수신할 수 있거나, 방법/프로세스 단계들을 수행하는 과정에서 다른 네트워크로 정보를 출력할 수 있다. 종종 프로세서에서 실행될 일련의 명령들로 표현되는 정보는, 다른 네트워크로부터 수신될 수 있거나 다른 네트워크로 출력될 수 있다. 프로세서(902)에 의해 구현되는(예를 들어, 프로세서 상에서 실행되고/수행되는) 인터페이스 카드 또는 유사한 디바이스 및 적절한 소프트웨어는 컴퓨터 시스템(900)을 외부 네트워크에 연결하고 표준 프로토콜들에 따라 데이터를 전송하는 데 사용될 수 있다. 예를 들어, 본원에 개시된 다양한 프로세스 실시예들은 프로세서(902) 상에서 실행될 수 있거나, 프로세싱의 일부를 공유하는 원격 프로세서와 관련하여 인터넷, 인트라넷 네트워크들 또는 로컬 영역 네트워크들과 같은 네트워크를 통해 수행될 수 있다. 추가의 대용량 저장 디바이스들(도시되지 않음)은 또한 네트워크 인터페이스(916)를 통해 프로세서(902)에 연결될 수 있다.
보조 입/출력 디바이스 인터페이스(도시되지 않음)는 컴퓨터 시스템(900)과 함께 사용될 수 있다. 보조 입/출력 디바이스 인터페이스는 프로세서(902)가 마이크로폰들, 터치 감지형 디스플레이들, 변환기 카드 판독기들, 테이프 판독기들, 음성 또는 필기 인식기들, 바이오 메트릭 판독기들, 카메라들, 휴대용 대용량 저장 디바이스들, 및 기타 컴퓨터들과 같은 다른 디바이스들로부터 데이터를 전송하고, 더 통상적으로 데이터를 수신하도록 허용하는 일반 및 맞춤형 인터페이스들을 포함할 수 있다.
본 출원이 소프트웨어 및/또는 소프트웨어와 하드웨어의 조합으로 구현될 수 있음을 주목해야한다. 예를 들어, 본 출원은 응용 주문형 집적 회로들(ASICs), 범용 컴퓨터들 또는 임의의 다른 유사한 하드웨어 장비를 사용하여 실현될 수 있다. 일부 실시예들에서, 본 출원의 소프트웨어 프로그램은 상기에 기술된 단계들 또는 기능들을 구현하기 위해 프로세서들에 의한 실행을 사용할 수 있다. 유사하게, 본 출원의 소프트웨어 프로그램(관련 데이터 구조들을 포함하는)은 RAM 저장 디바이스들, 자기 또는 광학 드라이브들, 플로피 디스크들 또는 유사한 장비와 같은 컴퓨터-판독 가능 기록 매체에 저장될 수 있다. 또한, 본 출원의 일부 단계들 또는 기능들은 하드웨어, 예를 들어 프로세서들과 결합하여 다양한 단계들 또는 기능들을 실행하는 회로들을 통해 구현될 수 있다.
추가로, 본 출원의 일부는 컴퓨터 프로그램 제품들, 예를 들어, 컴퓨터에 의해 실행될 때, 컴퓨터의 작동을 통해, 본 출원을 기반으로 방법 및/또는 기술 계획들을 호출하거나 제공할 수 있는 컴퓨터 프로그램 명령들로서 적용될 수 있다. 그리고, 본 출원의 방법을 호출하는 프로그램 명령들은 고정형 또는 이동식 기록 매체에 저장될 수 있고, 및/또는 방송 또는 다른 신호 캐리어 매체의 데이터 스트림들을 통해 전송될 수 있고, 및/또는 프로그램 명령들에 기초하여 컴퓨터 장비 실행의 작업 메모리에 저장될 수 있다. 여기서, 본 출원에 기초한 일부 실시예들은 디바이스를 포함한다. 디바이스는 컴퓨터 프로그램 명령들을 저장하기 위해 사용되는 메모리 및 프로그램 명령들을 실행하기 위해 사용되는 프로세서를 포함하고, 컴퓨터 프로그램 명령들이 프로세서에 의해 실행될 때, 디바이스는 본 출원에 기초한 다수의 실시예들의 방법들 및/또는 기술 계획들을 실행하기 위해 트리거링된다.
당업자들에 대해, 본 출원은 상기 기술된 예시적인 실시예들의 세부사항들에 명백하게 한정되지 않는다. 또한, 본 출원은 본 출원의 정신 또는 기본적인 특징들을 벗어나지 않고 다른 특정 형태들로 실현될 수 있다. 그러므로, 어떻게 그것들을 보는지에 관계없이, 모든 실시예들은 예시적이고 비-제한적인 것으로 간주되어야 한다. 본 출원의 범위는 청구항들에 의해서 제한되고, 상기 설명에 의해 제한되지 않는다. 따라서, 청구항들과 동등한 의미와 범위 내에 속하는 모든 변형들은 본 출원 내에 포함되도록 한다. 게다가, 명백하게, "포함한다(comprise)"또는 "포함하다(include)"라는 단어는 다른 유닛들 또는 단계들을 배제하지 않고, 단수는 복수를 배제하지 않는다. 시스템 청구항들에 기술된 다수의 유닛들 또는 디바이스들은 하나의 유닛 또는 디바이스에 의해 소프트웨어 또는 하드웨어를 통해 실현될 수 있다. "제 1(first)", "제 2(second)" 등의 용어들은 네이밍 목적들을 위한 것이고, 임의의 특정 순서를 나타내지 않는다.
전술된 실시예들이 명확한 이해를 목적으로 다소 상세하게 기술되었지만, 본 발명은 제공된 세부 사항들에 제한되지 않는다. 본 발명을 구현하는 많은 대안적인 방법들이 있다. 개시된 실시예들은 제한적인 것이 아니라 예시적이다.

Claims (20)

  1. 방법에 있어서:
    단말기로부터 패킷을 수신하는 단계로서, 상기 패킷은 상기 단말기와 연관된 소스 인터넷 프로토콜(IP) 어드레스 및 소스 미디어 액세스 제어(MAC) 어드레스를 포함하는, 상기 패킷을 수신하는 단계;
    상기 단말기와 연관된 매칭 엔트리가 유효한 소스 IP 어드레스들 및 유효한 소스 MAC 어드레스들을 저장한 로컬 검증 테이블(local verification table)에서 발견되는지 여부를 결정하는 단계;
    상기 단말기와 연관된 상기 매칭 엔트리가 상기 로컬 검증 테이블에서 발견되지 않았다고 결정하는 단계;
    상기 소스 IP 어드레스 및 상기 소스 MAC 어드레스에 기초하여 요청을 생성하는 단계;
    상기 요청을 동적 호스트 구성 프로토콜(DHCP) 서버로 전송하는 단계; 및
    상기 DHCP 서버로부터의 응답에 적어도 부분적으로 기초하여, 상기 단말기와 연관된 상기 소스 IP 어드레스 및 상기 소스 MAC 어드레스가 유효한지 여부를 결정하는 단계를 포함하는, 방법.
  2. 제 1 항에 있어서,
    상기 로컬 검증 테이블은 로컬 소스 어드레스 검증(SAVI: source address validation) 바인딩 테이블을 포함하는, 방법.
  3. 제 1 항에 있어서:
    상기 단말기와 연관된 상기 소스 IP 어드레스 및 상기 소스 MAC 어드레스가 유효하다고 결정되는 경우, 상기 패킷을 상기 패킷과 연관된 목적지로 전송하는 단계; 및
    상기 단말기와 연관된 상기 소스 IP 어드레스 및 상기 소스 MAC 어드레스가 무효하다고 결정되는 경우, 상기 패킷을 폐기하는 단계를 더 포함하는, 방법.
  4. 제 1 항에 있어서:
    상기 요청을 상기 DHCP 서버로 전송하는 단계 이전에, 상기 패킷을 버퍼에 저장하는 단계;
    상기 단말기와 연관된 상기 소스 IP 어드레스 및 상기 소스 MAC 어드레스가 유효하다고 결정되는 경우, 상기 패킷을 상기 버퍼로부터 검색하여 상기 패킷과 연관된 목적지로 전송하는 단계; 및
    상기 단말기와 연관된 상기 소스 IP 어드레스 및 상기 소스 MAC 어드레스가 무효하다고 결정되는 경우, 상기 패킷을 폐기하는 단계를 더 포함하는, 방법.
  5. 제 1 항에 있어서:
    상기 DHCP 서버로부터의 상기 응답이 상기 요청과 연관된 저장된 식별자와 일치하는지 여부를 결정하는 단계;
    상기 DHCP 서버로부터의 상기 응답이 상기 요청과 연관된 상기 저장된 식별자와 일치하는 경우, 상기 응답이 상기 단말기로 전송되는 것을 방지하는 단계; 및
    상기 DHCP 서버로부터의 상기 응답이 상기 요청과 연관된 상기 저장된 식별자와 일치하지 않는 경우, 상기 응답을 상기 단말기로 전송하는 단계를 더 포함하는, 방법.
  6. 제 1 항에 있어서:
    상기 요청과 연관된 식별자를 포함하는 시뮬레이션 기록(simulation record)을 생성하는 단계;
    상기 DHCP 서버로부터의 상기 응답이 상기 요청과 연관된 상기 식별자와 일치하는지 여부를 결정하는 단계;
    상기 DHCP 서버로부터의 상기 응답이 상기 요청과 연관된 상기 식별자와 일치하는 경우, 상기 시뮬레이션 기록을 삭제하고, 상기 응답이 상기 단말기로 전송되는 것을 방지하는 단계; 및
    상기 DHCP 서버로부터의 상기 응답이 상기 요청과 연관된 상기 식별자와 일치하지 않는 경우, 상기 응답을 상기 단말기로 전송하는 단계를 더 포함하는, 방법.
  7. 제 1 항에 있어서:
    상기 단말기와 연관된 상기 소스 IP 어드레스 및 상기 소스 MAC 어드레스가 유효한지 여부를 결정하는 단계는:
    상기 요청을 상기 DHCP 서버로 전송하는 단계 이후에 상기 DHCP 서버로부터의 상기 응답이 미리 설정된 시간 길이 내에 수신되는지 여부를 결정하는 단계;
    상기 요청을 상기 DHCP 서버로 전송하는 단계 이후에 상기 DHCP 서버로부터의 상기 응답이 미리 설정된 시간 길이 내에 수신되지 않는 경우, 상기 단말기와 연관된 상기 소스 IP 어드레스 및 상기 소스 MAC 어드레스가 무효하다고 결정하는 단계; 및
    상기 요청을 상기 DHCP 서버로 전송하는 단계 이후에 상기 DHCP 서버로부터의 상기 응답이 상기 미리 설정된 시간 길이 내에 수신되는 경우 및 상기 응답이 수신 확인을 포함하는 경우, 상기 단말기와 연관된 상기 소스 IP 어드레스 및 상기 소스 MAC 어드레스가 유효하다고 결정하는 단계를 포함하는, 방법.
  8. 제 1 항에 있어서,
    상기 단말기와 연관된 상기 소스 IP 어드레스 및 상기 소스 MAC 어드레스가 유효한지 여부를 결정하는 단계는:
    상기 요청을 상기 DHCP 서버로 전송하는 단계 이후에 상기 DHCP 서버로부터의 상기 응답이 미리 설정된 시간 길이 내에 수신되는지 여부를 결정하는 단계;
    상기 요청을 상기 DHCP 서버로 전송하는 단계 이후에 상기 DHCP 서버로부터의 상기 응답이 상기 미리 설정된 시간 길이 내에 수신되지 않는 경우:
    상기 단말기와 연관된 상기 소스 IP 어드레스 및 상기 소스 MAC 어드레스가 무효하다고 결정하는 단계; 및
    상기 패킷이 상기 패킷과 연관된 목적지로 전송되는 것을 방지하는 단계;

    상기 요청을 상기 DHCP 서버로 전송하는 단계 이후에 상기 DHCP 서버로부터의 상기 응답이 상기 미리 설정된 시간 길이 내에 수신되는 경우 및 상기 응답이 수신 확인을 포함하는 경우, 상기 단말기와 연관된 상기 소스 IP 어드레스 및 상기 소스 MAC 어드레스가 유효하다고 결정하는 단계를 포함하는, 방법.
  9. 제 1 항에 있어서:
    상기 요청을 상기 DHCP 서버로 전송하는 단계 이후에 상기 DHCP 서버로부터의 상기 응답이 미리 설정된 시간 길이 내에 수신되는지 여부를 결정하는 단계;
    상기 요청을 상기 DHCP 서버로 전송하는 단계 이후에 상기 DHCP 서버로부터의 상기 응답이 상기 미리 설정된 시간 길이 내에 수신되지 않는 경우, 상기 단말기와 연관된 상기 소스 IP 어드레스 및 상기 소스 MAC 어드레스가 무효하다고 결정하는 단계; 및
    상기 요청을 상기 DHCP 서버로 전송하는 단계 이후에 상기 DHCP 서버로부터의 상기 응답이 상기 미리 설정된 시간 길이 내에 수신되는 경우 및 상기 응답이 수신 확인을 포함하는 경우:
    상기 단말기와 연관된 상기 소스 IP 어드레스 및 상기 소스 MAC 어드레스가 유효하다고 결정하는 단계;
    상기 단말기와 연관된 상기 소스 IP 어드레스 및 상기 소스 MAC 어드레스를 포함하는 상기 로컬 검증 테이블 내에 새로운 엔트리를 생성하는 단계; 및
    상기 패킷을 상기 패킷과 연관된 목적지로 전송하는 단계를 더 포함하는, 방법.
  10. 제 1 항에 있어서:
    상기 DHCP 서버로부터의 상기 응답이 비-수신 확인을 포함하는 경우, 상기 단말기와 연관된 상기 소스 IP 어드레스 및 상기 소스 MAC 어드레스가 무효하다고 결정하는 단계; 및
    상기 DHCP 서버로부터의 상기 응답이 수신 확인을 포함하는 경우, 상기 단말기와 연관된 상기 소스 IP 어드레스 및 상기 소스 MAC 어드레스가 유효하다고 결정하는 단계를 더 포함하는, 방법.
  11. 제 1 항에 있어서:
    상기 DHCP 서버로부터의 상기 응답이 비-수신 확인을 포함하는 경우:
    상기 단말기와 연관된 상기 소스 IP 어드레스 및 상기 소스 MAC 어드레스가 무효하다고 결정하는 단계; 및
    상기 패킷이 상기 패킷과 연관된 목적지로 전송되는 것을 방지하는 단계; 및
    상기 DHCP 서버로부터의 상기 응답이 수신 확인을 포함하는 경우, 상기 단말기와 연관된 상기 소스 IP 어드레스 및 상기 소스 MAC 어드레스가 유효하다고 결정하는 단계를 더 포함하는, 방법.
  12. 제 1 항에 있어서:
    상기 DHCP 서버로부터의 상기 응답이 비-수신 확인을 포함하는 경우, 상기 단말기와 연관된 상기 소스 IP 어드레스 및 상기 소스 MAC 어드레스가 무효하다고 결정하는 단계; 및
    상기 DHCP 서버로부터의 상기 응답이 수신 확인을 포함하는 경우:
    상기 단말기와 연관된 상기 소스 IP 어드레스 및 상기 소스 MAC 어드레스가 유효하다고 결정하는 단계;
    상기 단말기와 연관된 상기 소스 IP 어드레스 및 상기 소스 MAC 어드레스를 포함하는 상기 로컬 검증 테이블에 새로운 엔트리를 생성하는 단계; 및
    상기 패킷을 상기 패킷과 연관된 목적지로 전송하는 단계를 더 포함하는, 방법.
  13. 제 1 항에 있어서,
    상기 요청은 서버 식별자(DHCP server ID) 옵션 또는 요청된 IP 어드레스 옵션 없이 생성되는, 방법.
  14. 비-일시적 컴퓨터 판독 가능한 저장 매체에서 구현되는 컴퓨터 프로그램 제품으로서:
    단말기로부터 패킷을 수신하고, 상기 패킷은 상기 단말기와 연관된 소스 인터넷 프로토콜(IP) 어드레스 및 소스 미디어 액세스 제어(MAC) 어드레스를 포함하고;
    상기 단말기와 연관된 매칭 엔트리가 유효한 소스 IP 어드레스들 및 유효한 소스 MAC 어드레스들을 저장하는 로컬 검증 테이블에서 발견되는지 여부를 결정하고;
    상기 단말기와 연관된 매칭 엔트리가 상기 로컬 검증 테이블에서 발견되지 않았다고 결정하고;
    상기 소스 IP 어드레스 및 상기 소스 MAC 어드레스에 기초하여, 요청을 생성하고;
    상기 요청을 동적 호스트 구성 프로토콜(DHCP) 서버로 전송하고;
    상기 DHCP 서버로부터의 응답에 적어도 부분적으로 기초하여, 상기 단말기와 연관된 상기 소스 IP 어드레스 및 상기 소스 MAC 어드레스가 유효한지 여부를 결정하는 컴퓨터 명령들을 포함하는, 컴퓨터 프로그램 제품.
  15. 제 14 항에 있어서:
    상기 단말기와 연관된 상기 소스 IP 어드레스 및 상기 소스 MAC 어드레스가 유효하다고 결정되는 경우, 상기 패킷을 상기 패킷과 연관된 목적지로 전송하고;
    상기 단말기와 연관된 상기 소스 IP 어드레스 및 상기 소스 MAC 어드레스가 무효하다고 결정되는 경우, 상기 패킷을 폐기하는 컴퓨터 명령들을 더 포함하는, 컴퓨터 프로그램 제품.
  16. 제 14 항에 있어서:
    상기 요청을 상기 DHCP 서버로 전송하기 이전에, 상기 패킷을 버퍼에 저장하고;
    상기 단말기와 연관된 상기 소스 IP 어드레스 및 상기 소스 MAC 어드레스가 유효하다고 결정되는 경우, 상기 패킷을 상기 버퍼로부터 검색하여 상기 패킷과 연관된 목적지로 전송하고;
    상기 단말기와 연관된 상기 소스 IP 어드레스 및 상기 소스 MAC 어드레스가 무효하다고 결정되는 경우, 상기 패킷을 폐기하는 컴퓨터 명령들을 더 포함하는, 컴퓨터 프로그램 제품.
  17. 제 14 항에 있어서:
    상기 요청을 상기 DHCP 서버로 전송한 이후에 상기 DHCP 서버로부터의 상기 응답이 미리 설정된 시간 길이 내에 수신되는지 여부를 결정하고;
    상기 요청을 상기 DHCP 서버로 전송한 이후에 상기 DHCP 서버로부터의 상기 응답이 상기 미리 설정된 시간 길이 내에 수신되지 않는 경우, 상기 단말기와 연관된 상기 소스 IP 어드레스 및 상기 소스 MAC 어드레스가 무효하다고 결정하고;
    상기 요청을 상기 DHCP 서버로 전송한 이후에 상기 DHCP 서버로부터의 상기 응답이 상기 미리 설정된 시간 길이 내에 수신되고, 상기 응답이 수신 확인을 포함하는 경우:
    상기 단말기와 연관된 상기 소스 IP 어드레스 및 상기 소스 MAC 어드레스가 유효하다고 결정하고;
    상기 단말기와 연관된 상기 소스 IP 어드레스 및 상기 소스 MAC 어드레스를 포함하는 상기 로컬 검증 테이블에 새로운 엔트리를 생성하고;
    상기 패킷을 상기 패킷과 연관된 목적지로 전송하는 컴퓨터 명령들을 더 포함하는, 컴퓨터 프로그램 제품.
  18. 제 14 항에 있어서:
    상기 DHCP 서버로부터의 상기 응답이 비-수신 확인을 포함하는 경우:
    상기 단말기와 연관된 상기 소스 IP 어드레스 및 상기 소스 MAC 어드레스가 무효하다고 결정하고;
    상기 패킷이 상기 패킷과 연관된 목적지로 전송되는 것을 방지하고;
    상기 DHCP 서버로부터의 상기 응답이 수신 확인을 포함하는 경우, 상기 단말기와 연관된 상기 소스 IP 어드레스 및 상기 소스 MAC 어드레스가 유효하다고 결정하는 컴퓨터 명령들을 더 포함하는, 컴퓨터 프로그램 제품.
  19. 제 14 항에 있어서,
    상기 DHCP 서버로부터의 상기 응답이 비-수신 확인을 포함하는 경우, 상기 단말기와 연관된 상기 소스 IP 어드레스 및 상기 소스 MAC 어드레스가 무효하다고 결정하고;
    상기 DHCP 서버로부터의 상기 응답이 수신 확인을 포함하는 경우:
    상기 단말기와 연관된 상기 소스 IP 어드레스 및 상기 소스 MAC 어드레스가 유효하다고 결정하고;
    상기 단말기와 연관된 상기 소스 IP 어드레스 및 상기 소스 MAC 어드레스를 포함하는 상기 로컬 검증 테이블에 새로운 엔트리를 생성하고;
    상기 패킷을 상기 패킷과 연관된 목적지로 전송하는 컴퓨터 명령들을 더 포함하는, 컴퓨터 프로그램 제품.
  20. 시스템에 있어서:
    프로세서; 및
    상기 프로세서에 연결된 메모리로서, 상기 메모리는 실행될 때 상기 프로세서로 하여금:
    단말기로부터 패킷을 수신하고, 상기 패킷은 상기 단말기와 연관된 소스 인터넷 프로토콜(IP) 어드레스 및 소스 미디어 액세스 제어(MAC) 어드레스를 포함하고;
    상기 단말기와 연관된 매칭 엔트리가 유효한 소스 IP 어드레스들 및 유효한 소스 MAC 어드레스들을 저장하는 로컬 검증 테이블에서 발견되는지 여부를 결정하고;
    상기 단말기와 연관된 상기 매칭 엔트리가 상기 로컬 검증 테이블에서 발견되지 않았다고 결정하고;
    상기 소스 IP 어드레스 및 상기 소스 MAC 어드레스에 기초하여 요청을 생성하고;
    상기 요청을 동적 호스트 구성 프로토콜(DHCP) 서버로 전송하고;
    상기 DHCP 서버로부터의 응답에 적어도 부분적으로 기초하여, 상기 단말기와 연관된 상기 소스 IP 어드레스 및 상기 소스 MAC 어드레스가 유효한지 여부를 결정하도록 하는 명령들을 상기 프로세서에 제공하도록 구성되는, 상기 메모리를 포함하는, 시스템.
KR1020187002299A 2015-08-24 2016-08-23 단말기와 연관된 소스 어드레스들을 검증 KR102018490B1 (ko)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
CN201510524597.4 2015-08-24
CN201510524597.4A CN106487742B (zh) 2015-08-24 2015-08-24 用于验证源地址有效性的方法及装置
US15/243,507 2016-08-22
US15/243,507 US10135784B2 (en) 2015-08-24 2016-08-22 Verifying source addresses associated with a terminal
PCT/US2016/048213 WO2017035151A1 (en) 2015-08-24 2016-08-23 Verifying source addresses associated with a terminal

Publications (2)

Publication Number Publication Date
KR20180021837A true KR20180021837A (ko) 2018-03-05
KR102018490B1 KR102018490B1 (ko) 2019-09-06

Family

ID=58096232

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020187002299A KR102018490B1 (ko) 2015-08-24 2016-08-23 단말기와 연관된 소스 어드레스들을 검증

Country Status (10)

Country Link
US (1) US10135784B2 (ko)
EP (1) EP3342128B1 (ko)
JP (1) JP6553805B2 (ko)
KR (1) KR102018490B1 (ko)
CN (1) CN106487742B (ko)
AU (1) AU2016313650B2 (ko)
BR (1) BR112018001516A2 (ko)
CA (1) CA2993282C (ko)
TW (1) TWI706648B (ko)
WO (1) WO2017035151A1 (ko)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105635067B (zh) * 2014-11-04 2019-11-15 华为技术有限公司 报文发送方法及装置
JP2017143497A (ja) * 2016-02-12 2017-08-17 富士通株式会社 パケット転送装置及びパケット転送方法
CN107222856B (zh) * 2017-06-16 2020-01-21 北京星网锐捷网络技术有限公司 一种在无线控制器ac间漫游的实现方法和装置
US10547587B2 (en) * 2018-03-19 2020-01-28 Didi Research America, Llc Method and system for near real-time IP user mapping
CN108965241A (zh) * 2018-05-28 2018-12-07 清华大学 基于无线局域网的源地址验证方法
CN109089263B (zh) * 2018-07-25 2021-07-30 新华三技术有限公司 一种报文处理方法及装置
CN109150895A (zh) * 2018-09-13 2019-01-04 清华大学 一种软件定义网络的域内源地址的验证方法
US11016793B2 (en) * 2018-11-26 2021-05-25 Red Hat, Inc. Filtering based containerized virtual machine networking
CN111200611B (zh) * 2020-01-06 2021-02-23 清华大学 基于边界接口等价类的域内源地址验证方法及装置
CN111740961B (zh) * 2020-05-26 2022-02-22 北京华三通信技术有限公司 通信方法及装置
CN112688958B (zh) * 2020-12-30 2023-03-21 联想未来通信科技(重庆)有限公司 一种信息处理方法及电子设备
CN112929279B (zh) * 2021-03-09 2021-11-30 清华大学 互联网域内源地址验证表的分布式生成方法和装置
CN113132364A (zh) * 2021-04-07 2021-07-16 中国联合网络通信集团有限公司 Arp拟制表项的生成方法、电子设备
CN115002071A (zh) * 2022-05-25 2022-09-02 深信服科技股份有限公司 一种信息更新方法、装置、设备及可读存储介质
CN117201050A (zh) * 2022-06-01 2023-12-08 华为技术有限公司 一种源地址验证的方法、网络设备及通信系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5884025A (en) * 1995-05-18 1999-03-16 Sun Microsystems, Inc. System for packet filtering of data packet at a computer network interface
US20090006585A1 (en) * 2005-12-30 2009-01-01 Ling Chen Ip Address Allocation Method
US20140244733A1 (en) * 2011-11-16 2014-08-28 Huawei Technologies Co., Ltd. Method, Apparatus, Device and System for Generating DHCP Snooping Binding Table

Family Cites Families (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5790548A (en) 1996-04-18 1998-08-04 Bell Atlantic Network Services, Inc. Universal access multimedia data network
US20030208616A1 (en) 2002-05-01 2003-11-06 Blade Software, Inc. System and method for testing computer network access and traffic control systems
US20040153665A1 (en) * 2003-02-03 2004-08-05 Logan Browne Wireless network control and protection system
US7562390B1 (en) 2003-05-21 2009-07-14 Foundry Networks, Inc. System and method for ARP anti-spoofing security
US7516487B1 (en) * 2003-05-21 2009-04-07 Foundry Networks, Inc. System and method for source IP anti-spoofing security
US7769994B2 (en) 2003-08-13 2010-08-03 Radware Ltd. Content inspection in secure networks
JP4320603B2 (ja) * 2004-02-26 2009-08-26 日本電気株式会社 加入者回線収容装置およびパケットフィルタリング方法
JP2006020085A (ja) * 2004-07-01 2006-01-19 Fujitsu Ltd ネットワークシステム、ネットワークブリッジ装置、ネットワーク管理装置およびネットワークアドレス解決方法
JP2006197094A (ja) * 2005-01-12 2006-07-27 Matsushita Electric Ind Co Ltd 通信システム
GB2423448B (en) 2005-02-18 2007-01-10 Ericsson Telefon Ab L M Host identity protocol method and apparatus
US7929452B2 (en) * 2005-06-30 2011-04-19 Intel Corporation Internet protocol (IP) address sharing and platform dynamic host configuration protocol (DHCP) mediator
US7653063B2 (en) * 2007-01-05 2010-01-26 Cisco Technology, Inc. Source address binding check
US8756337B1 (en) * 2007-08-03 2014-06-17 Hewlett-Packard Development Company, L.P. Network packet inspection flow management
CN101150582A (zh) * 2007-10-22 2008-03-26 华为技术有限公司 分配配置信息的方法和设备
JP5174747B2 (ja) * 2009-06-18 2013-04-03 株式会社日立製作所 計算機システムおよび管理装置
CN101605070B (zh) * 2009-07-10 2011-09-14 清华大学 基于控制报文监听的源地址验证方法及装置
CN101917444A (zh) * 2010-08-25 2010-12-15 福建星网锐捷网络有限公司 一种ip源地址绑定表项的创建方法、装置及交换机
JP5364671B2 (ja) * 2010-10-04 2013-12-11 アラクサラネットワークス株式会社 ネットワーク認証における端末接続状態管理
US8675654B2 (en) * 2010-10-05 2014-03-18 Cisco Technology, Inc. System and method for providing smart grid communications and management
KR101747079B1 (ko) * 2011-02-17 2017-06-14 세이블 네트웍스 인코포레이티드 하이 레이트 분산 서비스 거부(DDoS) 공격을 검출하고 완화하는 방법 및 시스템
WO2013069051A1 (en) * 2011-11-08 2013-05-16 Hitachi, Ltd. Computer system, and method for managing resource pool information
US9015852B2 (en) 2012-04-30 2015-04-21 Cisco Technology, Inc. Protecting address resolution protocol neighbor discovery cache against denial of service attacks
JP2017017631A (ja) * 2015-07-03 2017-01-19 富士通株式会社 パケット伝送装置、通信ネットワークシステム、及び、アドレス割当確認方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5884025A (en) * 1995-05-18 1999-03-16 Sun Microsystems, Inc. System for packet filtering of data packet at a computer network interface
US20090006585A1 (en) * 2005-12-30 2009-01-01 Ling Chen Ip Address Allocation Method
US20140244733A1 (en) * 2011-11-16 2014-08-28 Huawei Technologies Co., Ltd. Method, Apparatus, Device and System for Generating DHCP Snooping Binding Table

Also Published As

Publication number Publication date
EP3342128A1 (en) 2018-07-04
JP6553805B2 (ja) 2019-07-31
US20170063680A1 (en) 2017-03-02
WO2017035151A1 (en) 2017-03-02
AU2016313650A1 (en) 2018-02-08
CN106487742B (zh) 2020-01-03
CN106487742A (zh) 2017-03-08
KR102018490B1 (ko) 2019-09-06
US10135784B2 (en) 2018-11-20
CA2993282C (en) 2020-04-28
EP3342128B1 (en) 2021-02-24
BR112018001516A2 (pt) 2020-12-01
JP2018525907A (ja) 2018-09-06
CA2993282A1 (en) 2017-03-02
TW201709698A (zh) 2017-03-01
EP3342128A4 (en) 2019-04-17
TWI706648B (zh) 2020-10-01
AU2016313650B2 (en) 2019-03-21

Similar Documents

Publication Publication Date Title
KR102018490B1 (ko) 단말기와 연관된 소스 어드레스들을 검증
US10587544B2 (en) Message processing method, processing server, terminal, and storage medium
US9203734B2 (en) Optimized bi-directional communication in an information centric network
US20220070095A1 (en) Data transmission method and apparatus, network adapter, and storage medium
EP2533492A2 (en) A node device and method to prevent overvlow of pending interest table in name based network system
WO2017177767A1 (zh) 一种业务访问及其控制方法、装置
WO2018045994A1 (zh) 网络访问控制
CN109769249B (zh) 一种认证方法、系统及其装置
WO2018113701A1 (zh) 资源调度
CN110213072B (zh) 网络设备控制方法和网络业务处理方法
CN105939519A (zh) 一种认证方法及装置
KR20120132206A (ko) 디바이스의 서버 연결 방법, 정보 제공 방법 및 이를 적용한 디바이스 및, 클라우딩 컴퓨팅 네트워크 시스템 및 그 동작 방법
US20170270561A1 (en) Method, terminal and server for monitoring advertisement exhibition
CN110266736A (zh) 一种针对基于https协议的portal认证的优化方法及装置
CN108123955A (zh) 安全表项的管理方法、装置、设备及机器可读存储介质
CN110943962B (zh) 一种认证方法、网络设备和认证服务器以及转发设备
CN111107142B (zh) 业务访问方法和装置
CN107547497A (zh) 一种无感知portal认证方法及装置
WO2015123986A1 (zh) 一种数据记录的方法、系统以及接入服务器
US9992164B2 (en) User based stateless IPv6 RA-guard
US10320751B2 (en) DNS server selective block and DNS address modification method using proxy
US11399009B2 (en) Endpoint context agent traversal of network address table
KR102360698B1 (ko) 통합 통신 환경에서의 서비스 제공 방법 및 그를 위한 통합 통신 서버
US20190104130A1 (en) Apparatus and method for controlling network access
KR20170014271A (ko) Dns 변조를 통한 파밍 공격 방지 장치 및 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right