KR20050079459A - 보안 라우터 및 그 라우팅 방법 - Google Patents

보안 라우터 및 그 라우팅 방법 Download PDF

Info

Publication number
KR20050079459A
KR20050079459A KR1020040007722A KR20040007722A KR20050079459A KR 20050079459 A KR20050079459 A KR 20050079459A KR 1020040007722 A KR1020040007722 A KR 1020040007722A KR 20040007722 A KR20040007722 A KR 20040007722A KR 20050079459 A KR20050079459 A KR 20050079459A
Authority
KR
South Korea
Prior art keywords
security level
rreq
route
path
node
Prior art date
Application number
KR1020040007722A
Other languages
English (en)
Inventor
이영지
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Priority to KR1020040007722A priority Critical patent/KR20050079459A/ko
Publication of KR20050079459A publication Critical patent/KR20050079459A/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/12Shortest path evaluation
    • H04L45/122Shortest path evaluation by minimising distances, e.g. by selecting a route with minimum of number of hops
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/24Multipath
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/23Bit dropping

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 데이터의 안정적인 경로 확보와 함께 안전을 고려한 경로를 설정할 수 있는 라우팅 방법에 관한 것이다. 라우팅은 출발지 노드에서 패킷을 전송하기 전, 출발지 노드로부터 자신에게 설정된 보안레벨과 목적지 노드까지 경유되는 노드들에서 각 노드가 제공할 수 있는 보안레벨을 비교하여 보다 낮은 보안레벨로 업데이트 될 수 있도록 정의된 보안레벨필드를 포함하는 라우트요청메시지(Route Request: RREQ)를 브로드캐스팅한다. 그리고 출발지 노드는 목적지 노드로부터 경유 노드의 수를 나타내는 홉 수 및 경유하는 경로의 보안레벨을 나타내는 보안레벨필드를 포함하는 라우트응답메시지(Route Reply: RREP)가 수신되면 홉 수 및 보안레벨필드를 각각 경로 설정 기준으로 하는 라우팅 테이블을 구성한다. 이에 따라 홉 수를 통한 최단 경로 및 보안레벨을 통한 안전한 경로를 확보할 수 있게 되며, 전달될 패킷의 리소스 및 보안 요구에 따라 적절할 경로를 설정할 수 있도록 함으로써 보다 안전하면서 안정적으로 데이터를 전송할 수 있다.

Description

보안 라우터 및 그 라우팅 방법{Secure router and method for routing thereof}
본 발명은 네트워킹 장치 및 방법에 관한 것으로서, 특히, 최단 경로 설정과 함께 보안을 고려한 경로 설정이 가능한 보안 라우터 및 그 라우팅 방법에 관한 것이다.
네트워크 상에서 패킷을 목적지에 전달하는 과정의 하나로 라우팅 프로토콜이 이용된다. 라우팅은 네트워크 상의 한 노드에서 패킷을 전송하기 전에 목적지 노드까지의 경로를 설정하는 과정을 말한다.
라우팅 과정을 좀 더 상세하게 살펴보면, 출발지 노드에서 목적지 노드로 패킷을 보내려 할 때, 먼저 이웃한 노드들에게 목적지까지의 경로를 묻는 RREQ(Route Request)를 브로드캐스팅(broadcasting)한다. RREQ를 수신한 이웃 노드에서는 문의된 목적지 주소와 자신이 가진 라우팅 테이블에 등록된 주소들을 비교하여 자신에게 목적지 주소에 대한 경로가 있으면 RREQ를 목적지 노드에게 전달하고, 그렇지 않으면 자신의 라우팅 테이블에 따라 이웃 노드들에게 재전송한다. 이렇게 전달된 RREQ에 대해 목적지 노드에서는 응답으로 RREP(Route Reply)를 출발지 노드에게 전송한다. RREP가 수신되면 출발지 노드는 RREP를 참조하여 자신의 라우팅 테이블을 설정하게 된다. 이후, 출발지 노드에서는 새롭게 설정된 라우팅 테이블을 따라 목적지 노드에 패킷을 전송한다.
위와 같은 라우팅 프로토콜에서 목적지로부터 응답된 RREP는 어느 한 이웃 노드가 아닌 또 다른 이웃 노드들로부터 전달될 수 있으며, 이러한 여러가지 경로들로부터 출발지 노드는 목적지 까지의 최단 경로를 설정하게 된다. 경로의 거리는 경유 라우터의 개수를 나타내는 RREP의 홉(hop) 카운트에 의해 결정된다.
한편, 네트워크의 한 형태로 Ad-Hoc 네트워크가 제안되었다. Ad-Hoc 네트워크는 고정된 유선망을 가지지 않고 이동호스트(Mobile Host)들끼리 통신이 가능한 네트워크이다. Ad-Hoc 네트워크에서 각각의 이동 노드는 단지 호스트가 아니라 하나의 라우터로 동작하게 되며, 다른 노드에 대해 다중 경로를 가질 수 있다. 또한 동적으로 경로를 설정할 수 있다. 따라서 Ad-Hoc 네트워크에서는 호스트의 이동에 제약이 없고 유선망과 기지국(Base Station)이 필요 없으므로 빠른 망 구성과 저렴한 비용으로 구축할 수 있는 장점이 있다.
Ad-Hoc 네트워크에서는 중앙 서버가 따로 있지 않고 노드들이 이동을 하는 관계로 데이터 전송 경로의 변경이 잦게 되며, 각 노드에서는 그때마다 새로운 경로를 설정하게 된다. 즉, 상기한 라우팅 프로토콜을 Ad- Hoc 네트워크에 적용하는 경우, 기존의 유선망과 네트워크 토폴로지(topology)가 다를뿐 아니라 노드들의 잦은 경로 변경 발생에 의해 무선으로 동작하는 노드의 자원 공급이 어려워지고, 노드의 계산 능력을 떨어뜨릴 수 있다. 따라서 Ad-hoc 네트워크는 기존 유선망보다 라우팅 경로 설정에 어려움이 따르게 된다.
Ad-hoc 네트워크에서 경로를 설정하는 대표적인 방법으로는 크게 두가지가 이용된다. 하나는 노드가 네트워크에 진입하자마자 RREQ를 보내어 목적지 노드에 대한 경로를 응답받고 그에 따른 라우팅 테이블을 구성한 후, 주기적으로 라우팅 테이블을 업데이트하는 방법이다. 이와 같은 방법은 초기에 노드의 계산량이 많고 오버헤드(over head)가 발생하지만 라우팅 테이블을 구성한 후에는 업데이트만으로 라우팅 테이블을 계속 유지할 수 있고 많은 노드에 대한 경로 관리를 할 수 있다. 대표적으로 DSDV(Destination Sequenced Distance Vector) 방식이 있다. 다른 하나는 노드가 전송하고자 하는 패킷이 있을 때만 경로를 설정하도록 하는 방법이다. 이 방법은 노드에서 패킷 전송 의사가 없는 경우에는 굳이 라우팅 테이블을 구성하지 않아도 되기 때문에 자원의 낭비가 적다. 전송할 패킷이 있는 경우에는 모든 목적지에 대한 정보가 아닌 하나의 목적지에 대해서만 라우팅 테이블을 구성한다. 따라서 전송하고자 하는 패킷이 발생한 경우 경로 탐색 시간이 오래 걸려 데이터 전송이 늦는 단점이 있다. 대표적으로 AODV(Ad-Hoc On-demand Distance Vector) 방식이 있다.
도 1 및 도 2는 각각 AODV 방식의 RREQ 및 RREP 메시지 포맷을 나타내며, 도 3은 AODV 방식의 출발지 노드에 구성되는 라우팅 테이블을 나타낸다. 테이블에서 Destination은 출발지 노드가 보내고자 하는 데이터의 목적지 노드, Next는 출발지 노드로부터 목적지 노드로의 경로에 있는 첫번째 이웃한 노드, Metric은 출발지 노드로부터 목적지 노드에 도달하기까지의 노드의 수(홉 수), Sequence Number는 부정 루프(infinite loop)를 방지하기 위해 목적지 노드에서 라우팅 정보를 보낼 때마다 업데이트 해서 보내는 값, Istall Time은 엔트리가 생성된 시간(사용되지 않아 업데이트한지 오래된 엔트리를 지울 때 사용), 그리고 Stable data는 해당 경로가 얼마나 안전한지에 대한 정보를 가지고 있는 테이블에 대한 포인터이다.
네트워크에서 패킷은 목적지에 빠른 시간 내에 도달할 수 있을 뿐만 아니라 보다 안전하게 도달될 것이 요구된다. 일반적인 유선 환경에서는 단말의 인증보다는 어플리케이션 레벨에서 사용자 인증에 중점을 두었다. 그러나 Ad-Hoc 네트워크에서는 기본적으로 무선의 이동 환경을 전제로 하므로, 기존의 유선노드에 비해 새로운 노드가 네트워크에 진입하는 횟수와 새로운 네트워크로 접속하는 노드의 비율이 많아지며, 그만큼 보안이 취약해질 수 있는 문제의 소지가 있다. 즉, Ad-Hoc 네트워크 에서는 노드가 이동하기 때문에 각 단말에서의 인증에 대한 필요성이 있는 것이다. 게다가, Ad-Hoc 네트워크에서는 중앙 서버가 없기 때문에 중간에서 노드의 신원을 확인해 줄 트러스트 파티(Trust party)도 없다.
위와 같이 Ad-Hoc 네트워크에서 노드의 이동에 따른 보안의 취약성을 보완해주기 위하여 여러 종류의 보안 라우팅 프로토콜(secure routing protocol)이 제안되었다. 그러한 보안 라우팅 방법들 중 하나로 SAR(Secure-Aware Ad-Hoc Routing for Wireless Network, Seung Yi, Prasad Naldurg)이 있다. SAR은 위에서 언급한 AODV 방식에 기반한 프로토콜이다. SAR은 실세계에서의 군대와 같은 곳이 계급이 분명하게 정해져 있는 것처럼 실세계의 계급제와 같이 신뢰레벨(Trust Level)이라는 것을 정의하고, 출발지 노드에서 한번 정해진 레벨은 중간에서 변경할 수 없도록 하고 있다. 각 노드는 신뢰 레벨을 부여받게 되고, 정해진 레벨에 따라 패킷에 대한 처리 권한을 달리한다. 출발지 노드는 경로를 찾기 위해 RREQ 안에 실세계 계층에 맞춰 출발지 노드가 찾고 싶어하는 경로의 보안 레벨을 기록한 RQ_SEC_REQUIREMENT를 포함하여 중간노드에게 전송한다. 또한 RREQ 내에는 경로가 제공해 줄 수 있는 최대 보안 레벨을 표시하는 RQ_SEC_GUARANTEE를 포함한다. 중간 노드에서 RREQ를 수신하면 프로토콜은(?) 중간 노드가 보안 레벨을 만족하는지 체크한다. 중간노드에서 RQ_SEC_REQUIREMENT를 만족하면 RQ_SEC_GUARANTEE에 값을 표시하여 다음노드로 전송한다. 이때, 중간노드가 출발지 노드에서 정한 신뢰레벨을 만족하지 못하는 경우, RREQ 메시지는 드롭(drop)되어 포워딩되지 않는다. 만일, 패킷이 다음 노드로 포워딩되면 보안레벨은 업데이트된다. 목적지노드에서는 RQ_SEC_GUARANTEE의 값을 RP_SEC_GUARANTEE에 복사하여 출발지노드에 응답한다. RP_SEC_GUARANTEE를 수신한 출발지노드에서는 응답들중 최소 홉 수를 가지는 경로의 라우팅 테이블을 구성하여 패킷을 전송한다.
위와 같은 SAR은 일반적인 경우가 아닌 실세계에서 레벨이 뚜렷하게 정해진 특수한 네트워크만을 대상으로 하기 때문에, 일반적인 네트워크에 광범위하게 적용하기에는 어렵다는 문제점이 있다. 즉, 중간노드가 출발지 노드의 보안요구 사항을 만족시키지 못할 경우, 그 자리에서 드롭되고, 더 이상의 경로탐색을 수행하지 않기 때문에 이웃한 노드들이 보안레벨이 맞지 않는 노드들만 있는 경우에는 목적지까지 도달할 수 없어 경로 설정을 하지 못하는 문제점이 있다. 또한, SAR은 보안 레벨을 만족하는 경로 중에 최소 홉(hop) 수만 가지고 있는 경로를 찾기 때문에 이상적인 네트워크가 아닌 경우에는 경로 탐색에 많은 어려움이 따르게 된다.
본 발명의 목적은 상기와 같은 문제점을 해결하기 위하여 최소 홉수와 보안레벨을 유연하게 적용하는 것으로 보안을 고려하면서 데이터 전송경로를 보다 안정적으로 확보할 수 있는 보안 라우터 및 그 라우팅 방법을 제공하는 데 있다.
상기의 목적을 달성하기 위한 본 발명의 라우터는 외부 노드들과 메시지를 교환하기 위한 인터페이스, 및 설정된 보안레벨을 가지며, 전송할 패킷이 발생하면 상기 설정된 보안레벨과 목적지 노드까지 경유되는 노드들에서 각 노드가 제공할 수 있는 보안레벨을 비교하여 보다 낮은 보안레벨로 업데이트 될 수 있도록 정의된 보안레벨필드를 포함하는 라우트요청메시지(Route Request: RREQ)를 상기 인터페이스를 통해 브로드캐스팅하는 제어부를 포함한다.
상기 라우터는 내부 노드들과 메시지를 교환하는 내부 인터페이스를 더 포함할 수 있다.
상기 제어부는 자신을 목적지로 하지 않는 보안레벨이 기입된 RREQ가 수신되면 상기 설정된 보안레벨과 상기 RREQ의 보안레벨필드에 기입된 보안레벨을 비교하고 보다 낮은 보안레벨을 상기 보안레벨필드에 업데이트하여 포워딩하며, 다른 경로를 통해 상기 RREQ가 반복 수신되면 경유 노드의 수를 나타내는 홉(hop) 수와 상기 보안레벨필드에 기입된 보안레벨을 이전 다른 경로를 통해 수신한 RREQ의 홉 수 및 보안레벨과 비교하고 모두 낮은 것으로 판단되면 드롭(drop)시킨다.
상기 제어부는 자신을 목적지로 하는 RREQ가 수신되면, 상기 RREQ에 포함된 보안레벨과 자신에게 설정된 보안레벨을 비교하고 보다 낮은 보안레벨로 업데이트 될 수 있도록 정의된 보안레벨필드를 포함하는 라우트응답메시지(Route Reply: RREP)를 상기 인터페이스를 통해 전송한다.
상기 제어부는 전송한 RREQ에 대한 응답으로 상기 RREP가 수신되면 상기 RREP에 기입된 홉 수 및 보안레벨을 각각 기준으로 하는 라우팅 테이블을 구성한다.
상기 라우팅 테이블은 응답된 RREP들 중 최소 홉 수를 갖는 경로와 최대 보안레벨을 갖는 경로로 구성할 수 있으며, 또 다르게는 응답된 RREP들에 따른 다중 경로를 포함할 수 있다. 다중 경로를 포함하는 상기 라우팅 테이블에서는 응답된 RREP들 중 소정 순위까지의 보안레벨을 갖는 경로들로 구성할 수 있다.
상기 제어부는 리소스가 많은 상태에서 소정 레벨 이상의 보안을 요구하는 패킷에 대해서는 상기 라우팅 테이블에서 보안레벨을 기준으로 하는 경로를 설정하며, 리소스가 적은 상태에서 소정레벨 이하의 보안을 요구하는 패킷에 대해서는 상기 홉 수를 기준으로 하는 경로를 설정한다. 이때, 상기 제어부는 상기 리소스와 상기 보안 요구에 따라 상기 경로 설정 기준을 가변적으로 적용할 수 있다.
상기의 또 다른 목적을 달성하기 위한 보안 라우팅 방법은, 전송할 패킷의 발생 여부를 판단하는 단계, 및 상기 판단 단계에서 전송할 패킷이 발생한 것으로 판단되면 설정된 보안레벨과 목적지 노드까지 경유되는 노드들에서 각 노드가 제공할 수 있는 보안레벨을 비교하여 보다 낮은 보안레벨로 업데이트 될 수 있도록 정의된 보안레벨필드를 포함하는 라우트요청메시지(Route Request: RREQ)를 브로드캐스팅하는 단계를 포함한다.
상기 보안 라우팅 방법은, 보안레벨이 기입된 RREQ가 수신되면 상기 RREQ의 목적지를 체크하는 단계와, 상기 RREQ의 목적지 주소가 자신에게 할당된 주소와 일치하지 않으면 상기 설정된 보안레벨과 상기 RREQ의 보안레벨필드에 기입된 보안레벨을 비교하는 단계와, 상기 비교 단계에서 보다 낮은 보안레벨을 상기 보안레벨필드에 업데이트하는 단계, 및 상기 업데이트된 보안레벨필드를 갖는 상기 RREQ를 포워딩하는 단계를 더 포함한다.
상기 보안 라우팅 방법은, 목적지 주소가 자신에게 할당된 주소와 일치하지 않는 상기 RREQ가 다른 경로를 통해 반복 수신되면 경유 노드의 수를 나타내는 홉(hop) 수 및 상기 보안레벨필드에 기입된 보안레벨을 이전 다른 경로를 통해 수신한 RREQ의 홉 수 및 보안레벨과 비교하는 단계, 및 상기 비교 단계에서 반복 수신된 상기 RREQ의 홉 수 및 보안레벨이 이전 수신된 RREQ의 홉 수 및 보안레벨보다 모두 낮은 것으로 판단되면 드롭(drop)시키는 단계를 더 포함한다.
또한, 상기 보안 라우팅 방법은, 자신을 목적지로 하는 RREQ의 수신여부를 판단하는 단계, 및 상기 수신된 RREQ의 목적지 주소가 자신에게 할당된 주소와 동일한 주소로 판단되면 상기 RREQ에 포함된 보안레벨과 자신에게 설정된 보안레벨을 비교하고 보다 낮은 보안레벨로 업데이트 될 수 있도록 정의된 보안레벨필드를 포함하는 라우트응답메시지(Route Reply: RREP)를 상기 RREQ의 출발지 노드에 응답하는 단계를 더 포함한다.
또한, 상기 보안 라우팅 방법은 전송한 RREQ에 대한 응답으로 상기 RREP의 수신여부를 판단하는 단계, 및 상기 판단 단계에서 전송한 RREQ에 대한 응답으로 상기 RREP가 수신된 것으로 판단되면 상기 RREP에 기입된 홉 수 및 보안레벨 각각을 기준으로 하는 라우팅 테이블을 구성하는 단계를 더 포함한다.
이상과 같은 보안 라우터 및 그 라우팅 방법은, 데이터 전송을 위한 최단 경로를 탐색할 뿐만아니라 경로들이 제공하는 보안레벨을 체크할 수 있어 보다 안정적으로 경로를 확보하면서 보다 안전한 경로를 설정할 수 있다.
이하, 첨부한 도면을 참조하여 본 발명을 상세하게 설명한다.
도 4는 본 발명의 실시예에 따른 라우터의 개략적인 블록도이다. 라우터는 인터페이스(110) 및 라우팅 테이블(122)을 갖는 제어부(120)를 포함한다.
인터페이스(110)는 외부 노드들(Exteral Node: EN)과 메시지를 교환한다. 또한, 인터페이스(110)는 라우터를 중심으로 하는 내부 네트워크가 존재하는 경우에는 내부 노드들(미도시)과 메시지를 교환할 수 있다.
제어부(120)는 설정된 보안레벨을 가지며, 전송할 패킷이 발생하면 설정된 보안레벨과 목적지 노드까지 경유되는 노드들에서 각 노드가 제공할 수 있는 보안레벨을 비교하여 보다 낮은 보안레벨로 업데이트 될 수 있도록 정의된 보안레벨필드를 포함하는 라우트요청메시지(Route Request: RREQ)를 인터페이스(110)를 통해 외부 노드들(EN1~EN3)에게 브로드캐스팅한다.
도 5는 본 발명의 실시예에 따른 RREQ 메시지 포맷을 나타낸 도면이다. RREQ 메시지 포맷은 도 1에 보인 종래의 AODV 방식 RREQ에서 보안레벨을 기입하기 위한 보안레벨필드를 더 포함하고 있다.
또한, 제어부(120)는 자신을 목적지로 하지 않는 보안레벨이 기입된 RREQ가 수신되면 자신에게 설정된 보안레벨과 RREQ의 보안레벨필드에 기입된 보안레벨을 비교하고 보다 낮은 보안레벨을 보안레벨필드에 업데이트하여 포워딩한다.
또한, 제어부(120)는 자신을 목적지로 하는 RREQ가 수신되면, RREQ에 포함된 보안레벨과 자신에게 설정된 보안레벨을 비교하고 보다 낮은 보안레벨로 업데이트되도록 정의된 보안레벨필드를 포함하는 라우트응답메시지(Route Reply: RREP)를 인터페이스(110)를 통해 전송한다. 도 6은 본 발명의 실시예에 따른 RREP 메시지 포맷을 나타낸 도면이다.
또한, 제어부(120)는 전송한 RREQ에 대한 응답으로 RREP가 수신되면 RREP에 기입된 홉 수 및 보안레벨을 각각 기준으로 하는 라우팅 테이블을 구성한다.
도 7은 본 발명의 실시예에 따른 라우팅 테이블을 나타낸 도면이다. 라우팅 테이블은 목적지 노드까지의 경로 설정 기준이 되는 홉 수를 나타내는 메트릭(Metric)과 함께 보안레벨을 하나의 필드로 포함하고 있다. 즉, 라우팅 테이블은 하나의 목적지에 대한 경로를 라우팅 테이블에 저장할 때, 최소 홉 수 뿐만 아니라 경로는 좀 멀지만 보다 안전한 경로에 대한 정보도 저장한다. 안전을 보장하는 경로에 대해서는 최대 보안 레벨을 갖는 경로만 저장할 수도 있고, 또 다르게는 소정 순위까지의 보안 경로만을 저장할 수도 있다. 또한, 소정 보안레벨 이상인 경로에 대해서만 저장할 수도 있다.
도 8은 본 발명에 따른 보안 라우팅 방법을 설명하기 위한 네트워크 구성도이다. 각 노드는 지원 가능한 보안 레벨이 설정된다. 각 노드(A~E)에서 설정된 보안레벨은 노드의 계산력, 리소스, 저장용량, 속한 네트워크의 밴드폭 등 자원의 상황에 따라 유동적으로 변할 수 있고, 변경되는 보안레벨은 라우팅 업데이트를 통해서 반영된다. 이와 같은 노드들(A~E)로 구성된 네트워크에서 노드 A로부터 노드 E로 전송할 패킷이 발생한 경우, 노드 A는 목적지 노드 E에 대한 라우팅 정보를 네트워크에 요청하기 위해 보안레벨필드를 포함하는 RREQ를 브로드캐스팅한다. 중간 노드들(B, C, D)에서는 노드 A로부터 전달된 RREQ를 포워딩하기 전에 RREQ에 포함된 보안레벨필드를 체크하고, 자신의 보안레벨과 비교하며, 더 작은 보안레벨을 보안레벨필드에 업데이트한다. 목적지 노드 E는 RREQ를 수신하면 중간 노드와 마찬가지로 RREQ의 보안레벨과 자신의 보안레벨을 비교하고, 더 낮은 보안레벨을 보안레벨필드에 기입한다.
도 9는 도 8의 A경로(Path A)를 따라 노드 E에 도달한 RREQ를 나타낸다. RREQ의 보안레벨필드에는 노드 A의 보안레벨 '5'와 노드 B의 보안레벨 '3'의 비교결과로부터 보안레벨 '3'이, 그리고 노드 B에서의 업데이트된 보안레벨 '3'과 노드 E의 보안레벨 '4'의 비교 결과로부터 보안레벨 '3'이 결정되어 기입되었다. 또한, A경로(Path A)에서의 홉 수는 '2'임을 보이고 있다. 보안레벨필드는 목적지 노드 E에 도달했을 때 경유한 경로(Path A)에서 공통적으로 제공할 수 있는 최대 보안레벨이 된다.
목적지 노드 E에서는 RREQ가 전달된 경로로부터 결정된 보안레벨을 RREP의 보안레벨피드에 기입하여 출발지 노드 A에게 응답한다.
도 10은 도 8의 B경로(Path B)에 따른 RREQ에 대한 응답으로 보내지는 RREP를 나타낸다. B경로(Path B)에서 결정된 보안레벨은 '4'이며, 홉 수는 '3'임을 보이고 있다. 한편 출발지 노드 A에서는 A경로 및 B경로의 RREP로부터 라우팅 테이블을 구성한다.
도 11은 노드 A에서 노드 E, C, D를 각각 목적지로 하여 구성된 라우팅 테이블을 나타낸 도면이다. 목적지 노드 E에 대해 노드 B를 경유하는 경로는 홉 수가 '2', 보안레벨은 '3'으로 등록되었음을 볼 수 있으며 도 8에서의 A경로(Path A)를 나타내고 있다. 또한, 같은 목적지 노드 E에 대해 노드 C를 경유하는 경로는 홉 수가 '3', 보안레벨이 '4'로 등록되었음을 볼 수 있으며, 도 8에서의 B경로(Path B)를 나타내고 있다. 또한, 노드 C 및 노드 D에 대해서도 각각 경유한 경로에 따른 홉 수 및 보안레벨을 표시하고 있다.
이상에서, 출발지 노드는 패킷을 보낼 때 두 기준을 사용함을 알 수 있다. 하나는 일반 라우팅 프로토콜에서 이용하듯이 가장 짧은 경로를 나타내는 최소 홉 수이고, 또 하나는 경로상에서 각 노드들의 협력에 의해 제공되는 보안레벨이다. 이처럼 최소 홉 수와 홉 수는 좀 많지만 높은 보안 레벨을 제시하는 경로를 라우팅 테이블에 함께 기록함으로써 출발지 노드는 패킷을 전송할 때의 경로를 유동적으로 결정할 수 있다. 즉, 노드의 자원이 많고 보안이 필요한 패킷을 보낼 경우에는 높은 보안레벨을 보장하는 경로로 전송할 수 있고, 사용할 수 있는 노드의 자원이 부족하거나 특별히 보안이 요구되지 않는 패킷에 대해서는 가장 빠른 경로를 제공하는 최소 홉 수의 경로로 데이터를 전송할 수 있어 유연성과 안정성 그리고 안전성을 제공할 수 있게 된다.
이상과 같은 본 발명의 보안 라우터 및 그 라우팅 방법에 의하면 단순히 데이터를 빠르게 전송하기 위한 경로를 찾는 것이 아니라 그 경로가 제공하는 보안 레벨도 고려될 수 있도록 함에 따라 보다 안전하게 데이터를 전달할 수 있고 보다 안정적으로 전송경로를 확보할 수 있다.
또한, 출발지 노드로부터 목적지 노드까지의 경로 설정에 있어서 일방향으로 업데이트 하면서 노드 인증을 수행하므로 계산량과 저장 용량이 커질 것을 요구하지 않아 효율적으로 경로를 탐색할 수 있다.
도 1 및 도 2는 각각 AODV 방식의 RREQ 및 RREP 메시지 포맷,
도 3은 AODV 방식의 출발지 노드에 구성되는 라우팅 테이블,
도 4는 본 발명의 실시예에 따른 라우터의 개략적인 블록도이다.
도 5는 본 발명의 실시예에 따른 RREQ 메시지 포맷,
도 6은 본 발명의 실시예에 따른 RREP 메시지 포맷,
도 7은 본 발명의 실시예에 따른 라우팅 테이블,
도 8은 본 발명에 따른 보안 라우팅을 설명하기 위한 네트워크 구성도,
도 9는 도 8의 A경로(Path A)를 따라 노드 E에 도달한 RREQ 포맷,
도 10은 도 8의 B경로(Path B)에 따른 RREQ에 대한 응답으로 보내지는 RREP 포맷, 그리고
도 11은 노드 A에서 노드 E, C, D를 각각 목적지로 하여 구성된 라우팅 테이블이다.

Claims (21)

  1. 외부 노드들과 메시지를 교환하기 위한 인터페이스; 및
    설정된 보안레벨을 가지며, 전송할 패킷이 발생하면 상기 설정된 보안레벨과 목적지 노드까지 경유되는 노드들에서 각 노드가 제공할 수 있는 보안레벨을 비교하여 보다 낮은 보안레벨로 업데이트 될 수 있도록 정의된 보안레벨필드를 포함하는 라우트요청메시지(Route Request: RREQ)를 상기 인터페이스를 통해 브로드캐스팅하는 제어부;를 포함하는 것을 특징으로 하는 보안 라우터.
  2. 제 1항에 있어서,
    내부 노드들과 메시지를 교환하는 내부 인터페이스를 더 포함하는 것을 특징으로 하는 보안 라우터.
  3. 제 1항에 있어서,
    상기 제어부는 자신을 목적지로 하지 않는 보안레벨이 기입된 RREQ가 수신되면 상기 설정된 보안레벨과 상기 RREQ의 보안레벨필드에 기입된 보안레벨을 비교하고 보다 낮은 보안레벨을 상기 보안레벨필드에 업데이트하여 포워딩하는 것을 특징으로 하는 보안 라우터.
  4. 제 3항에 있어서,
    상기 제어부는 다른 경로를 통해 상기 RREQ가 반복 수신되면 경유 노드의 수를 나타내는 홉(hop) 수와 상기 보안레벨필드에 기입된 보안레벨을 이전 다른 경로를 통해 수신한 RREQ의 홉 수 및 보안레벨과 비교하고 모두 낮은 것으로 판단되면 드롭(drop)시키는 것을 특징으로 하는 보안 라우터.
  5. 제 1항에 있어서,
    상기 제어부는 자신을 목적지로 하는 RREQ가 수신되면, 상기 RREQ에 포함된 보안레벨과 자신에게 설정된 보안레벨을 비교하고 보다 낮은 보안레벨로 업데이트 될 수 있도록 정의된 보안레벨필드를 포함하는 라우트응답메시지(Route Reply: RREP)를 상기 인터페이스를 통해 전송하는 것을 특징으로 하는 보안 라우터.
  6. 제 5항에 있어서,
    상기 제어부는 전송한 RREQ에 대한 응답으로 상기 RREP가 수신되면 상기 RREP에 기입된 홉 수 및 보안레벨을 각각 기준으로 하는 라우팅 테이블을 구성하는 것을 특징으로 하는 보안 라우터.
  7. 제 6항에 있어서,
    상기 라우팅 테이블은 응답된 RREP들 중 최소 홉 수를 갖는 경로와 최대 보안레벨을 갖는 경로로 구성되는 것을 특징으로 하는 보안 라우터.
  8. 제 6항에 있어서,
    상기 라우팅 테이블은 응답된 RREP들에 따른 다중 경로를 포함하는 것을 특징으로 하는 보안 라우터.
  9. 제 8항에 있어서,
    상기 라우팅 테이블은 응답된 RREP들 중 소정 순위까지의 보안레벨을 갖는 경로로 구성되는 것을 특징으로 하는 보안 라우터.
  10. 제 6항에 있어서,
    상기 제어부는 리소스가 많은 상태에서 소정 레벨 이상의 보안을 요구하는 패킷에 대해서는 상기 라우팅 테이블에서 보안레벨을 기준으로 하는 경로를 설정하며, 리소스가 적은 상태에서 소정레벨 이하의 보안을 요구하는 패킷에 대해서는 상기 홉 수를 기준으로 하는 경로를 설정하는 것을 특징으로 하는 보안 라우터.
  11. 제 10항에 있어서,
    상기 제어부는 상기 리소스와 상기 보안 요구에 따라 상기 경로 설정 기준을 가변적으로 적용하는 것을 특징으로 하는 보안 라우터.
  12. 전송할 패킷의 발생 여부를 판단하는 단계; 및
    상기 판단 단계에서 전송할 패킷이 발생한 것으로 판단되면 설정된 보안레벨과 목적지 노드까지 경유되는 노드들에서 각 노드가 제공할 수 있는 보안레벨을 비교하여 보다 낮은 보안레벨로 업데이트 될 수 있도록 정의된 보안레벨필드를 포함하는 라우트요청메시지(Route Request: RREQ)를 브로드캐스팅하는 단계;를 포함하는 것을 특징으로 하는 보안 라우터의 라우팅 방법.
  13. 제 12항에 있어서,
    보안레벨이 기입된 RREQ가 수신되면 상기 RREQ의 목적지를 체크하는 단계;
    상기 RREQ의 목적지 주소가 자신에게 할당된 주소와 일치하지 않으면 상기 설정된 보안레벨과 상기 RREQ의 보안레벨필드에 기입된 보안레벨을 비교하는 단계;
    상기 비교 단계에서 보다 낮은 보안레벨을 상기 보안레벨필드에 업데이트하는 단계; 및
    상기 업데이트된 보안레벨필드를 갖는 상기 RREQ를 포워딩하는 단계;를 더 포함하는 것을 특징으로 하는 보안 라우터의 라우팅 방법.
  14. 제 13항에 있어서,
    목적지 주소가 자신에게 할당된 주소와 일치하지 않는 상기 RREQ가 다른 경로를 통해 반복 수신되면 경유 노드의 수를 나타내는 홉(hop) 수 및 상기 보안레벨필드에 기입된 보안레벨을 이전 다른 경로를 통해 수신한 RREQ의 홉 수 및 보안레벨과 비교하는 단계; 및
    상기 비교 단계에서 반복 수신된 상기 RREQ의 홉 수 및 보안레벨이 이전 수신된 RREQ의 홉 수 및 보안레벨보다 모두 낮은 것으로 판단되면 드롭(drop)시키는 단계;를 더 포함하는 것을 특징으로 하는 보안 라우터의 라우팅 방법.
  15. 제 12항에 있어서,
    자신을 목적지로 하는 RREQ의 수신여부를 판단하는 단계; 및
    상기 수신된 RREQ의 목적지 주소가 자신에게 할당된 주소와 동일한 주소로 판단되면 상기 RREQ에 포함된 보안레벨과 자신에게 설정된 보안레벨을 비교하고 보다 낮은 보안레벨로 업데이트 될 수 있도록 정의된 보안레벨필드를 포함하는 라우트응답메시지(Route Reply: RREP)를 상기 RREQ의 출발지 노드에 응답하는 단계;를 포함하는 것을 특징으로 하는 보안 라우터의 라우팅 방법.
  16. 제 15항에 있어서,
    전송한 RREQ에 대한 응답으로 상기 RREP의 수신여부를 판단하는 단계; 및
    상기 판단 단계에서 전송한 RREQ에 대한 응답으로 상기 RREP가 수신된 것으로 판단되면 상기 RREP에 기입된 홉 수 및 보안레벨 각각을 기준으로 하는 라우팅 테이블을 구성하는 단계;를 포함하는 것을 특징으로 하는 보안 라우터의 라우팅 방법.
  17. 제 16항에 있어서,
    상기 라우팅 테이블은 응답된 RREP들 중 최소 홉 수를 갖는 경로와 최대 보안레벨을 갖는 경로로 구성되는 것을 특징으로 하는 보안 라우터의 라우팅 방법.
  18. 제 16항에 있어서,
    상기 라우팅 테이블은 응답된 RREP들에 따른 다중 경로를 포함하는 것을 특징으로 하는 보안 라우터.
  19. 제 18항에 있어서,
    상기 라우팅 테이블은 응답된 RREP들 중 소정 순위까지의 보안레벨을 갖는 경로로 구성되는 것을 특징으로 하는 보안 라우터.
  20. 제 16항에 있어서,
    상기 라우팅 테이블을 통한 패킷 전송 경로의 설정은 리소스가 많은 상태에서 소정 레벨 이상의 보안을 요구하는 패킷에 대해서는 상기 라우팅 테이블에서 보안레벨을 기준으로 경로를 설정하며, 리소스가 적은 상태에서 소정 레벨 이하의 보안을 요구하는 패킷에 대해서는 상기 홉 수를 기준으로 경로를 설정하는 것을 특징으로 하는 보안 라우터의 라우팅 방법.
  21. 제 20항에 있어서,
    상기 라우팅 테이블을 통한 패킷 전송 경로의 설정은 상기 리소스와 상기 보안 요구에 따라 상기 경로 설정 기준을 가변적으로 적용하는 것을 특징으로 하는 보안 라우터의 라우팅 방법.
KR1020040007722A 2004-02-06 2004-02-06 보안 라우터 및 그 라우팅 방법 KR20050079459A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020040007722A KR20050079459A (ko) 2004-02-06 2004-02-06 보안 라우터 및 그 라우팅 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020040007722A KR20050079459A (ko) 2004-02-06 2004-02-06 보안 라우터 및 그 라우팅 방법

Publications (1)

Publication Number Publication Date
KR20050079459A true KR20050079459A (ko) 2005-08-10

Family

ID=37266389

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020040007722A KR20050079459A (ko) 2004-02-06 2004-02-06 보안 라우터 및 그 라우팅 방법

Country Status (1)

Country Link
KR (1) KR20050079459A (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012013003A1 (zh) * 2010-07-27 2012-02-02 中兴通讯股份有限公司 一种数据报文的处理方法及***
KR101123739B1 (ko) * 2008-10-01 2012-03-15 서울대학교산학협력단 계층화된 복수 개의 가상 네트워크를 포함하는 네트워크 구조 및 이를 위한 라우터
CN114301830A (zh) * 2021-11-18 2022-04-08 比威网络技术有限公司 面向可信网络的路径计算方法、装置、计算机和存储介质

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101123739B1 (ko) * 2008-10-01 2012-03-15 서울대학교산학협력단 계층화된 복수 개의 가상 네트워크를 포함하는 네트워크 구조 및 이를 위한 라우터
WO2012013003A1 (zh) * 2010-07-27 2012-02-02 中兴通讯股份有限公司 一种数据报文的处理方法及***
CN102347932A (zh) * 2010-07-27 2012-02-08 中兴通讯股份有限公司 一种数据报文的处理方法及***
CN114301830A (zh) * 2021-11-18 2022-04-08 比威网络技术有限公司 面向可信网络的路径计算方法、装置、计算机和存储介质

Similar Documents

Publication Publication Date Title
Kozat et al. Service discovery in mobile ad hoc networks: an overall perspective on architectural choices and network layer support issues
US7778235B2 (en) Compression of a routing header in a packet by a mobile router in an ad hoc network
US8064416B2 (en) Route selection in wireless networks
US7860025B2 (en) Directed acyclic graph discovery and network prefix information distribution relative to a clusterhead in an ad hoc mobile network
KR101256687B1 (ko) 다중 경로 설정 장치 및 방법
CA2484503C (en) Hierarchical mobile ad-hoc network and methods for route error recovery therein
EP1925123B1 (en) Controlled temporary mobile network
US8213352B2 (en) Wireless communication system, wireless communication device, wireless communication method, and program
US20050157749A1 (en) System and method for communication with an external network in an IPv6 MANET network
CN105577547A (zh) 一种移动自组织网络中基于多Qos路由选择方法
KR100458207B1 (ko) Ad―hoc 네트워크의 요구기반 경로 탐색 방법
US20080008201A1 (en) Communication terminal, a method for communication, and a program strorage medium storing a program thereof
Al Mojamed Integrating mobile ad hoc networks with the internet based on OLSR
US20190132235A1 (en) Method for distance-vector routing using adaptive publish-subscribe mechanisms
Omar et al. On-demand source routing with reduced packets protocol in mobile ad-hoc networks
EP1475926B1 (en) Routing system for establishing optimal route in wireless personal area network (WPAN) and method thereof
CN111526512A (zh) 基于Wi-Fi数据包的网关桥接方法、装置、设备及介质
Totani et al. An efficient broadcast-based information transfer method based on location data over MANET
Margaryan et al. Development of an Adaptive Routing Algorithm in MANET
KR20050079459A (ko) 보안 라우터 및 그 라우팅 방법
CN109922442B (zh) 无线多跳网络与全连接网络的异构网络的地址解析方法
Sultan et al. Simulation-based evaluation of mobile ad hoc network routing protocols: Ad hoc on-demand distance vector, fisheye state routing, and zone routing protocol
KR20200119123A (ko) 네트워크 시스템 및 그 네트워크 시스템의 노드들 간 경로 캐쉬 정보 공유 방법
KR100585231B1 (ko) 이동 Ad-hoc 네트워크에서의 경로 탐색 방법
Hong et al. Dynamic group support in LANMAR routing ad hoc networks

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application