KR101472964B1 - Security system and security method for enterprise communication service using mobile communication network - Google Patents

Security system and security method for enterprise communication service using mobile communication network Download PDF

Info

Publication number
KR101472964B1
KR101472964B1 KR1020130154116A KR20130154116A KR101472964B1 KR 101472964 B1 KR101472964 B1 KR 101472964B1 KR 1020130154116 A KR1020130154116 A KR 1020130154116A KR 20130154116 A KR20130154116 A KR 20130154116A KR 101472964 B1 KR101472964 B1 KR 101472964B1
Authority
KR
South Korea
Prior art keywords
packet
base station
security
mobile communication
core network
Prior art date
Application number
KR1020130154116A
Other languages
Korean (ko)
Inventor
유근출
권장안
정광호
Original Assignee
콘텔라 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 콘텔라 주식회사 filed Critical 콘텔라 주식회사
Priority to KR1020130154116A priority Critical patent/KR101472964B1/en
Application granted granted Critical
Publication of KR101472964B1 publication Critical patent/KR101472964B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Disclosed are a security system and a security method, which install a local enterprise gateway between a base station and a core network of a mobile communication company so that a traffic, which is to be transferred to an enterprise server, is not transferred through an internet section and is directly transferred to the enterprise network. The security system for an enterprise communication service using a mobile communication network according to an aspect of the present invention includes a local enterprise security gateway disposed between a base station and a mobile communication core network to selectively transmit a packet, which is received from the base station, to the mobile communication core network or an enterprise network, in which the local enterprise security gateway includes: a first proxy module to operate as equipment of the mobile communication core network with respect to the base station; a second proxy module to operate as the base station with respect to the mobile communication core network; a local interface to communicate with the enterprise network; and a packet distribution unit to transmit the packet, which is received from the first proxy module, to the mobile communication core network through the second proxy module or to transmit the packet to the enterprise network through a local interface.

Description

이동통신망을 이용한 기업 통신 서비스를 위한 보안 시스템 및 보안 방법{SECURITY SYSTEM AND SECURITY METHOD FOR ENTERPRISE COMMUNICATION SERVICE USING MOBILE COMMUNICATION NETWORK}TECHNICAL FIELD [0001] The present invention relates to a security system and a security method for a corporate communication service using a mobile communication network,

본 발명은 이동 단말의 트래픽에 대한 보안 기술에 관한 것으로 보다 구체적으로 소형 기지국 혹은 매크로 기지국을 포함하는 이동통신망을 이용한 기업 통신 서비스에서의 트래픽 보안 시스템 및 보안 방법에 관한 것이다.More particularly, the present invention relates to a traffic security system and a security method in a corporate communication service using a mobile communication network including a small base station or a macro base station.

이동 단말에 대한 보안은 이동 단말에 자체에 대한 보안, 이동 단말에 설치는 어플리케이션에 대한 보안, 단말 플랫폼에 대한 보안과 무선 네트워크에 대한 보안 등이 존재한다. 이런 보안 종류에 대한 방법은 다양한 기술이 존재한다. 대부분의 이동 단말에 대한 보안은 이동 단말에 에이전트(Agent)를 설치하여 보안 서버와 통신을 하는 방식이나, 이동 단말 자체의 안티-바이러스 어플리케이션(Anti-virus application)을 설치하는 방식으로 보안을 해결하게 된다. Security for the mobile terminal includes security for the mobile terminal itself, security for the application installed in the mobile terminal, security for the terminal platform, and security for the wireless network. There are a variety of techniques for this kind of security. Security for most of the mobile terminals solves the security by installing an agent in the mobile terminal to communicate with the security server, or by installing an anti-virus application of the mobile terminal itself do.

그러나, 이동 오피스(office)나 UC(Unified Communication)와 같은 기업 솔루션(solution)이 이동 단말에 설치가 되면, 해당 기업 솔루션은 기업 내의 이동 오피스(office) 서버나 UC 서버와 필연적으로 통신을 해야 한다. 이런 상황에서는 이동 단말에 보안 솔루션을 설치하더라도 통신사와 기업 사이에는 인터넷 구간이나, 전용선을 이용하는 구간이 발생할 수밖에 없고, 이런 구간은 보안에 취약할 수밖에 없다. 이런 상황을 방지하고자 종래 기술은 이동 단말과 서버가 VPN(Virtual private network)으로 연동을 하는 방안 등과 같은 여러 가지 방안을 제시하고 있다. 그러나 이런 방법들은 이동 단말이 VPN과 같은 방법을 이용해서 기능을 구동해야 하기 때문에, 성능 저하를 유발할 수 있다. 그리고 기업 내의 서버에서도 보안에 대한 많은 트래픽으로 인해 부하가 상승할 수밖에 없다. However, when an enterprise solution such as a mobile office or a Unified Communication (UC) is installed in a mobile terminal, the enterprise solution must inevitably communicate with a mobile office server or a UC server in the enterprise . In such a situation, even if a security solution is installed in a mobile terminal, there is an inevitable interval between a communication company and an enterprise using an Internet section or a leased line, and such a section is inevitably vulnerable to security. In order to prevent such a situation, the prior art suggests various measures such as a method of interworking a mobile terminal and a server with a VPN (Virtual Private Network). However, these methods can cause performance degradation because the mobile terminal must operate the function using a method such as VPN. And there is a load on the servers in the enterprise due to the security traffic.

국내공개특허공보 10-2013-0129446(2013.11.28)Korean Patent Publication No. 10-2013-0129446 (Feb.

본 발명은 상기와 같은 문제점을 해결하기 위해 제안된 것으로, 이동통신사의 기지국과 코어망 사이에 로컬 기업 보안 게이트웨이를 설치하여 기업 서버로 가야 하는 트래픽이 인터넷 구간 등을 통해 전달되지 않고 직접 기업 네트워크로 전달되도록 하는 보안 시스템 및 보안 방법을 제공하는데 그 목적이 있다.Disclosure of Invention Technical Problem [8] Accordingly, the present invention has been made in order to solve the above problems, and it is an object of the present invention to provide a local enterprise security gateway between a base station of a mobile communication company and a core network, And to provide a security system and a security method that allow a user to be delivered.

또한 본 발명은 이동통신사의 기지국과 코어망 사이에 로컬 기업 보안 게이트웨이를 설치하여 기업 통신 서비스를 제공하면서 기지국에 접속해 있는 이동 단말에 대한 트래픽을 감시 및 제어할 수 있는 보안 시스템 및 보안 방법을 제공하는데 추가적인 목적이 있다.The present invention also provides a security system and a security method for monitoring and controlling traffic to a mobile terminal connected to a base station while providing a corporate communication service by installing a local enterprise security gateway between a base station of a mobile communication company and a core network There is an additional purpose.

본 발명의 다른 목적 및 장점들은 하기의 설명에 의해서 이해될 수 있으며, 본 발명의 실시예에 의해 보다 분명하게 알게 될 것이다. 또한, 본 발명의 목적 및 장점들은 특허 청구 범위에 나타낸 수단 및 그 조합에 의해 실현될 수 있음을 쉽게 알 수 있을 것이다.Other objects and advantages of the present invention will become apparent from the following description, and it will be understood by those skilled in the art that the present invention is not limited thereto. It will also be readily apparent that the objects and advantages of the invention may be realized and attained by means of the instrumentalities and combinations particularly pointed out in the appended claims.

상기 목적을 달성하기 위한 본 발명의 일 측면에 따른, 이동통신망을 이용한 기업 통신 서비스를 위한 보안 시스템은, 기지국과 이동통신 코어망 사이에 위치하여 상기 기지국으로부터 수신되는 패킷을 상기 이동통신 코어망 또는 기업 네트워크로 선택적으로 전송하는 로컬 기업 보안 게이트웨이를 포함하고, 상기 로컬 기업 보안 게이트웨이는, 상기 기지국에 대해 상기 이동통신 코어망의 장비로서 동작을 수행하는 제 1 프록시 모듈; 상기 이동통신 코어망의 장비에 대해 상기 기지국으로서의 동작을 수행하는 제 2 프록시 모듈; 상기 기업 네트워크와 통신하는 로컬 인터페이스; 및 상기 제 1 프록시 모듈로부터 수신되는 패킷을 상기 제 2 프록시 모듈을 통해 상기 이동통신 코어망으로 전송하거나 또는 상기 로컬 인터페이스를 통해 상기 기업 네트워크로 전송하는 패킷 분배기;를 포함한다. According to an aspect of the present invention, there is provided a security system for a corporate communication service using a mobile communication network, the security system comprising: a base station for managing a packet received from the base station, And a local enterprise security gateway for selectively transmitting the local enterprise security gateway to the enterprise network, wherein the local enterprise security gateway comprises: a first proxy module for performing operations as an equipment of the mobile communication core network to the base station; A second proxy module for performing an operation as the base station for equipment of the mobile communication core network; A local interface for communicating with the corporate network; And a packet distributor for transmitting a packet received from the first proxy module to the mobile communication core network through the second proxy module or transmitting the packet to the enterprise network through the local interface.

상기 제 1 프록시 모듈은, 상기 기지국에 대해 상기 코어망의 서빙 게이트웨이(Serving-GW)로서 동작을 수행하는 프록시 서빙 게이트웨이 모듈일 수 있다.The first proxy module may be a proxy serving gateway module that operates as a Serving-GW of the core network to the base station.

상기 보안 시스템은, 보안 정책에 기초하여 보안 검사를 수행하는 패킷 모니터링 장치;를 더 포함하고, 상기 로컬 기업 보안 게이트웨이는, 상기 패킷 분배기로부터 상기 패킷에서 추출된 사용자 데이터를 수신하고, 그 수신된 사용자 데이터를 상기 패킷 모니터링 장치로 전송하여 보안 검사를 요청하는 모니터링 장치 인터페이스;를 더 포함할 수 있다. Wherein the security system further comprises a packet monitoring device for performing a security check based on a security policy, wherein the local enterprise security gateway receives user data extracted from the packet from the packet distributor, And a monitoring device interface for transmitting data to the packet monitoring device to request a security check.

상기 패킷 모니터링 장치는, 상기 모니터링 장치 인터페이스로부터 수신된 사용자 데이터가 보안 정책에 위배되는 경우 폐기할 수 있다. The packet monitoring device may discard when the user data received from the monitoring device interface violates the security policy.

상기 패킷 분배기는, 상기 패킷 모니터링 장치의 보안 검사를 통과한 패킷에 대해서만 상기 이동통신 코어망으로 전송하거나 또는 상기 기업 네트워크로 전송할 수 있다. The packet distributor can transmit the packet to the mobile communication core network or to the enterprise network only for the packet that passes the security check of the packet monitoring apparatus.

상기 목적을 달성하기 위한 본 발명의 다른 측면에 따른, 기지국과 이동통신 코어망 사이에 위치하는 로컬 기업 보안 게이트웨이를 포함하는 보안 시스템에서 기업 통신 서비스를 위한 보안 방법은, 상기 로컬 기업 보안 게이트웨이가, 상기 기지국에 대해 상기 이동통신 코어망의 장비로서 동작을 수행하는 제 1 프록시 모듈을 통해 패킷을 수신하는 단계; 및 상기 로컬 기업 보안 게이트웨이가, 상기 수신된 패킷을, 상기 이동통신 코어망의 장비에 대해 상기 기지국으로서의 동작을 수행하는 제 2 프록시 모듈을 통해 상기 이동통신 코어망으로 전송하거나, 로컬 인터페이스를 통해 기업 네트워크로 전송하는 단계;를 포함한다. According to another aspect of the present invention, there is provided a security method for a corporate communication service in a security system including a local enterprise security gateway located between a base station and a mobile communication core network, Receiving a packet through a first proxy module that operates as an equipment of the mobile communication core network to the base station; And the local corporate security gateway transmits the received packet to the mobile communication core network through a second proxy module performing an operation as the base station for the equipment of the mobile communication core network, To the network.

상기 제 1 프록시 모듈은, 상기 기지국에 대해 상기 코어망의 서빙 게이트웨이(Serving-GW)로서 동작을 수행하는 프록시 서빙 게이트웨이 모듈일 수 있다.The first proxy module may be a proxy serving gateway module that operates as a Serving-GW of the core network to the base station.

상기 보안 방법은, 상기 전송하는 단계 이전에, 상기 로컬 기업 보안 게이트웨이가, 상기 수신된 패킷에서 사용자 데이터를 추출하여 패킷 모니터링 장치로 전송하여 보안 검사를 요청하는 단계;를 더 포함할 수 있다. The security method may further include, before the transmitting step, the local corporate security gateway extracts user data from the received packet and transmits the extracted user data to the packet monitoring device to request a security check.

상기 보안 방법은, 상기 전송하는 단계 이전에, 상기 로컬 기업 보안 게이트웨이가, 보안 정책에 기초하여 보안 검사를 통과한 상기 사용자 데이터를 상기 패킷 모니터링 장치로부터 수신하는 단계;를 더 포함할 수 있다. The security method may further include, before the transmitting step, receiving, by the local enterprise security gateway, the user data that has passed the security check based on the security policy, from the packet monitoring apparatus.

상기 보안 정책에 위배되는 사용자 데이터는 상기 패킷 모니터링 장치에 의해 폐기될 수 있다. User data that violates the security policy may be discarded by the packet monitoring device.

본 발명은 이동통신사의 기지국과 코어망 사이에 설치된 로컬 기업 보안 게이트웨이를 통해 기업 통신 서비스를 제공함으로써 기업 통신 서비스의 보안을 강화하고 이동 단말과 기업 내 서버의 부하를 경감시킨다. The present invention provides a corporate communication service through a local enterprise security gateway installed between a base station of a mobile communication company and a core network, thereby enhancing the security of the enterprise communication service and reducing the load on the mobile terminal and the server in the enterprise.

또한 개인 이동 단말 및 기업 이동 단말로 업무 환경에 액세스하는 모바일 오피스, UC 등이 일반화가 되어 가고 있고 이에 대한 보안 대책으로 많은 솔루션이 제시되어 왔지만 현재까지 유선과 같은 보안 수준을 제공하지 못하였으나, 본 발명은 유선과 동일한 수준의 보안을 제공한다. In addition, mobile office and UC that access business environments to personal mobile terminals and enterprise mobile terminals are becoming generalized, and many solutions have been proposed as security measures against them. However, until now, The invention provides the same level of security as wired.

또한, 본 발명은 이동 단말에 대한 어플리케이션 사용(Application Usage)들을 모니터링할 수 있어 특정 웹 사이트(web site) 접속, 웹 메일(Web Mail), P2P 어플리케이션 등에 대한 사용 여부 등을 정책적으로 제어할 수 있게 한다.In addition, the present invention can monitor application usage (Application Usage) for a mobile terminal, and can politely control whether or not to use a specific web site access, web mail, P2P application, do.

도 1은 본 발명의 일 실시예에 따른 이동통신망을 이용한 기업 통신 서비스를 위한 보안 시스템의 구성을 나타낸 도면이다.
도 2는 본 발명의 일 실시예에 따른 로컬 기업 보안 게이트웨이의 프로토콜 계층(layer)를 나타낸 도면이다.
도 3은 본 발명의 일 실시예에 따른 로컬 기업 보안 게이트웨이(LESG)의 구성을 나타낸 도면이다.
도 4는 본 발명의 일 실시예에 따른 로컬 기업 보안 게이트웨이(LESG)의 패킷 처리 과정을 설명하는 흐름도이다.
도 5는 본 발명의 다른 실시예에 따른 이동통신망을 이용한 기업 통신 서비스를 위한 보안 시스템의 구성을 나타낸 도면이다.
도 6은 본 발명의 다른 실시예에 따른 로컬 기업 보안 게이트웨이(LESG)의 구성을 나타낸 도면이다.
도 7은 본 발명의 다른 실시예에 따른 로컬 기업 보안 게이트웨이(LESG)와 패킷 모니터링 장치의 패킷 처리 과정을 설명하는 흐름도이다.1 is a block diagram of a security system for a corporate communication service using a mobile communication network according to an embodiment of the present invention.
FIG. 2 is a diagram illustrating a protocol layer of a local enterprise security gateway according to an exemplary embodiment of the present invention. Referring to FIG.
FIG. 3 is a diagram illustrating a configuration of a local enterprise security gateway (LESG) according to an embodiment of the present invention.
4 is a flowchart illustrating a packet processing procedure of a local enterprise security gateway (LESG) according to an exemplary embodiment of the present invention.
5 is a block diagram of a security system for a corporate communication service using a mobile communication network according to another embodiment of the present invention.
FIG. 6 is a diagram illustrating a configuration of a local enterprise security gateway (LESG) according to another embodiment of the present invention.
FIG. 7 is a flowchart illustrating packet processing procedures of a local enterprise security gateway (LESG) and a packet monitoring apparatus according to another embodiment of the present invention.

상술한 목적, 특징 및 장점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해 질 것이며, 그에 따라 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 것이다. 또한, 본 발명을 설명함에 있어서 본 발명과 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에 그 상세한 설명을 생략하기로 한다. 이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 일 실시예를 상세히 설명하기로 한다.The foregoing and other objects, features and advantages of the present invention will become more apparent from the following detailed description of the present invention when taken in conjunction with the accompanying drawings, in which: There will be. In the following description, well-known functions or constructions are not described in detail since they would obscure the invention in unnecessary detail. Hereinafter, a preferred embodiment of the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명의 일 실시예에 따른 이동통신망을 이용한 기업 통신 서비스를 위한 보안 시스템의 구성을 나타낸 도면이다.1 is a block diagram of a security system for a corporate communication service using a mobile communication network according to an embodiment of the present invention.

도 1에 도시된 바와 같이, 본 실시예에 따른 보안 시스템은 이동 단말(110), 기지국(120), 로컬 기업 보안 게이트웨이(LESG:Local Enterprise Security Gateway)(130), 코어망의 요소인 이동성 관리 엔터티(MME:Mobility Management Entity)(140), 서빙 게이트웨이(S-GW:Serving GateWay)(150) 및 기업 네트워크(160)를 포함한다.1, the security system according to the present embodiment includes a mobile terminal 110, a base station 120, a local enterprise security gateway (LESG) 130, a mobility management A Mobility Management Entity (MME) 140, a Serving GateWay (S-GW) 150, and a corporate network 160. [

이동 단말(110)은, 데이터 통신을 제공하는 장치로서 UE(User Equipment), MS(Mobile Station), UT(User Terminal), SS(Subscriber Station) 등의 다른 용어로 불릴 수 있다. 이동 단말(110)은 EUTRAN(Evolved Universal Terrestrial Radio Access Network)를 포함하는 LTE 네트워크가 연동되는 이동통신망을 이용할 수 있다. 또한 경우에 따라서 이동 단말(100)은 UTRAN을 포함하는 WCDMA 네트워크가 연동되는 이동통신망을 이용할 수 있다. 예를 들어, 셀룰러폰, PCS 폰, GSM 폰, CDMA-2000폰, WCDMA폰 등과 같은 종래의 이동 전화기 및 최근 활발히 사용되는 스마트 폰과 태블릿 PC 및 4G망을 이용하는 이동 전화기 등이 모두 이동 단말(100)에 포함된다.The mobile terminal 110 may be referred to as another term such as a UE (User Equipment), a Mobile Station (MS), a User Terminal (UT), or a Subscriber Station (SS) The mobile terminal 110 may use a mobile communication network in which an LTE network including an EUTRAN (Evolved Universal Terrestrial Radio Access Network) is interworked. In addition, the mobile terminal 100 may use a mobile communication network in which a WCDMA network including a UTRAN is interworked. For example, a conventional mobile phone such as a cellular phone, a PCS phone, a GSM phone, a CDMA-2000 phone, a WCDMA phone, etc. and a mobile phone using a smart phone, a tablet PC and a 4G network, ).

기지국(120)은 소형 기지국인 펨토 기지국, 매크로 기지국을 포함한다. 여기서 매크로 기지국은 eNB 등이다. 펨토 기지국은, 넓은 반경의 매크로 기지국의 영역에 위치하거나 매크로 기지국의 영역 밖에 설치되어, 소수의 가입자를 위한 펨토 셀 커버리지로 특정 통신 서비스를 제공하는 노드이다. 이러한 펨토 기지국은 초소형 기지국, 피코(Pico) 기지국, 유비셀(Ubicell) 기지국, 3GPP 표준용어로는 HeNodeB 등 다양한 용어로 사용되기도 한다.The base station 120 includes a femto base station, which is a small base station, and a macro base station. Here, the macro base station is an eNB or the like. A femto base station is a node located in a region of a macro base station with a large radius or outside a region of a macro base station and providing a specific communication service with a femtocell coverage for a small number of subscribers. Such a femto base station may be used in various terms such as an ultra-small base station, a pico base station, a Ubicell base station, and a 3GPP standard term HeNodeB.

이동성 관리 엔터티(MME)(140)는 가입자 정보 및 이동 단말(110)의 이동성을 관리하는 노드로서 세션 관리, 아이들(idle) 가입자관리, 페이징(paging), 가입자 인증 기능 등을 담당한다. 즉, 이동성 관리 엔터티(MME)(140)는 이동 단말(110)이나 다른 네트워크 노드, 예컨대 PDN-GW 또는 Serving-GW로부터의 결합 요청이나 무선 베어러 설정 요청 등이 있는 경우에 제어 신호를 처리하는 것 등과 같은 제어 평면(control plane)의 여러 기능을 담당하며, EPS 베어러 또는 아이피 터널(IP tunnel)의 설정과 이동성 관리(mobility management) 등의 기능을 수행한다.The Mobility Management Entity (MME) 140 is a node for managing subscriber information and mobility of the mobile terminal 110, and is responsible for session management, idle subscriber management, paging, and subscriber authentication functions. That is, the mobility management entity (MME) 140 processes a control signal when there is a combination request from a mobile terminal 110 or another network node, for example, a PDN-GW or a Serving-GW, And performs functions such as configuration of an EPS bearer or an IP tunnel and mobility management.

서빙-게이트웨이(Serving-GW)(150)는 설정된 세션에 따라 페이로드 트래픽(payload traffic)을 처리하는 세션 제어(session control) 및 데이터 플레인 노드로서, 기지국(120)과 S1-U 인터페이스로 연동하며 Inter LTE/3GPP 핸드오버를 지원하고, PDN(Packet Data Network)-GW(GateWay)와 EPS 베어러(Evolved Packet System bearer)를 설정하고 터널링을 이용하여 PDU(Packet Data Unit)를 전달한다.The Serving-GW 150 is a session control and data plane node for processing payload traffic according to a set session, and is interworked with the base station 120 through an S1-U interface Inter-LTE / 3GPP handover, PDN (Packet Data Network) -GW (GateWay) and EPS bearer (Evolved Packet System bearer) are set up, and PDU (Packet Data Unit) is delivered using tunneling.

로컬 기업 보안 게이트웨이(LESG)(130)은, 도 1에 도시된 바와 같이, 기지국(120)과 MME/Serving-GW(140, 150) 중간에 설치된다. 종래의 LTE 이동통신망은 3G/LTE 듀얼 모드 단말과 이 단말들과 LTE 기반의 무선 통신을 수행하는 기지국(120)이 존재하고, 이런 기지국(120)들과 통신하는 MME(140)와 Serving-GW(150)가 존재한다. 본 발명에 있어서 로컬 기업 보안 게이트웨이(LESG)(130)는 기지국(120)과 MME/Serving-GW(140, 150) 사이의 중간에 프록시(proxy) 형태로 추가된다.The local enterprise security gateway (LESG) 130 is installed between the base station 120 and the MME / Serving-GW 140, 150 as shown in FIG. The conventional LTE mobile communication network includes a 3G / LTE dual mode terminal and a base station 120 that performs LTE based wireless communication with the terminals. The MME 140 and the Serving-GW 120, which communicate with the base stations 120, (150). In the present invention, a local enterprise security gateway (LESG) 130 is added as a proxy between the base station 120 and the MME / Serving-GW 140, 150.

로컬 기업 보안 게이트웨이(LESG)(130)는 기지국(120)과 MME/Serving-GW(140, 150) 사이에 추가되어, 이동 단말(110)이 수행하는 시그널링(signaling)과 베어러 트래픽(bearer traffic)을 중계(relay)하는 역할을 수행한다. 이런 역할을 수행하면서 로컬 기업 보안 게이트웨이(LESG)(130)는 이동 단말(110)이 로컬 네트워크로 접속을 원하는지 판단하여 기업 네트워크(160)로 패킷 라우팅(Packet Routing)을 한다. The local enterprise security gateway (LESG) 130 is added between the base station 120 and the MME / Serving-GW 140 and 150 to provide signaling and bearer traffic performed by the mobile terminal 110, And a relay function. In doing this, the local enterprise security gateway (LESG) 130 determines whether the mobile terminal 110 desires to access the local network and performs packet routing to the enterprise network 160.

도 2는 본 발명의 일 실시예에 따른 로컬 기업 보안 게이트웨이의 프로토콜 계층(layer)를 나타낸 도면이다. FIG. 2 is a diagram illustrating a protocol layer of a local enterprise security gateway according to an exemplary embodiment of the present invention. Referring to FIG.

도 2의 (a)는 시그널링(signaling)을 위한 프로토콜 스택을 나타낸다. 도 2의 (a)에 도시된 바와 같이, 로컬 기업 보안 게이트웨이(LESG)(130)는 기지국(eNB)(120)와 MME(140)의 프로토콜과 동일한 형태의 프로토콜을 수행한다. 따라서 양측, 즉 기지국(eNB)(120)과 MME(140)에서의 변경 사항이 없이 중간의 로컬 기업 보안 게이트웨이(LESG)(130)가 시그널링을 중계(relay)하게 된다. 도 2의 (a)에 도시된 바와 같이, 로컬 기업 보안 게이트웨이(LESG)(130)는 기지국(eNB)과 MME(140) 사이의 인터페이스인 SI-AP 계층, SCTP(Stream Control Transmission Protocol) 스택, IP(Internet Protocol) 스택, L2/L1 스택을 포함한다.Figure 2 (a) shows a protocol stack for signaling. As shown in FIG. 2A, the local enterprise security gateway (LESG) 130 performs the same protocol as the protocol of the base station (eNB) 120 and the MME 140. Therefore, the intermediate local enterprise security gateway (LESG) 130 relays the signaling on both sides, that is, without any change in the base station (eNB) 120 and the MME 140. 2, a local enterprise security gateway (LESG) 130 includes an SI-AP layer, an SCTP (Stream Control Transmission Protocol) stack, an interface between the base station eNB and the MME 140, An Internet Protocol (IP) stack, and an L2 / L1 stack.

도 2의 (b)는 베어러 트래픽(beare traffic)을 위한 프로토콜 스택을 나타낸다. 도 2의 (b)에 도시된 바와 같이, 로컬 기업 보안 게이트웨이(LESG)(130)는 기지국(eNB)(120)와 Serving_GW(150)의 프로토콜과 동일한 형태의 프로토콜을 수행한다. 따라서 양측, 즉 기지국(eNB)(120)과 Serving_GW(150)에서의 변경 사항이 없이 중간의 로컬 기업 보안 게이트웨이(LESG)(140)가 베어러 패킷을 중계(relay)하게 된다. 도 2의 (b)에 도시된 바와 같이, 로컬 기업 보안 게이트웨이(LESG)(130)는 IP(Internet Protocol) 스택, GTP-U(GPRS Tunneling Protocol for User plane) 스택, UDP(User Datagram Protocol) 스택, L2/L1 스택을 포함한다.FIG. 2 (b) shows a protocol stack for bearer traffic. As shown in FIG. 2B, the local enterprise security gateway (LESG) 130 performs the same protocol as the protocol of the base station (eNB) 120 and the Serving_GW 150. Therefore, the intermediate local corporate security gateway (LESG) 140 relays the bearer packet on both sides, that is, without any changes in the base station (eNB) 120 and the Serving_GW 150. 2, the local enterprise security gateway (LESG) 130 includes an Internet Protocol (IP) stack, a GPRS Tunneling Protocol for User plane (GTP-U) stack, a User Datagram Protocol , And an L2 / L1 stack.

도 3은 본 발명의 일 실시예에 따른 로컬 기업 보안 게이트웨이(LESG)의 구성을 나타낸 도면이다.FIG. 3 is a diagram illustrating a configuration of a local enterprise security gateway (LESG) according to an embodiment of the present invention.

도 3에 도시된 바와 같이, 본 실시예에 따른 로컬 기업 보안 게이트웨이(LESG)(130)는 프록시 MME 모듈(310), 프록시 기지국 모듈(320), 프록시 Serving-GW 모듈(330), 프록시 기지국 모듈(340), 패킷 분배기(packet distributor)(350) 및 로컬 인터페이스(360)를 포함한다.3, the local enterprise security gateway (LESG) 130 according to the present embodiment includes a proxy MME module 310, a proxy base station module 320, a proxy Serving-GW module 330, a proxy base station module A packet distributor 350, and a local interface 360. As shown in FIG.

프록시(Proxy) MME 모듈(310)은 하위의 실제 기지국(펨토 기지국, eNB 등)(120)에 대한 MME 역할을 수행한다. 실제로 기능을 수행하는 것이 아니라, 시그널링 메시지를 중계하는 역할을 수행한다. 이와 함께 프록시 기지국 모듈(320)도 수신된 시그널링 메시지들에 대해 기지국 역할을 수행하여 실제 통신 사업자 망의 MME(140)와 연동을 수행하게 된다. Proxy MME module 310 acts as an MME for a lower actual base station (femto base station, eNB, etc.) Rather than actually performing the function, it plays a role of relaying the signaling message. In addition, the proxy base station module 320 performs a base station role on the received signaling messages and performs interworking with the MME 140 of the actual communication service provider network.

프록시 Serving-GW 모듈(330)은 하위의 실제 기지국(펨토 기지국, eNB 등)(120)에 대해 Serving-GW 역할을 수행한다. 실제로 기능을 수행하는 것이 아니라, 베어러 패킷을 중계하는 역할을 수행한다. 프록시 Serving-GW 모듈(330)은 기지국(120)로부터 수신되는 베어러 패킷을 상위의 패킷 분배기(350)로 송신하고, 패킷 분배기(350)로부터 수신된 베어러 패킷을 기지국(120)으로 송신한다. The proxy Serving-GW module 330 serves as a Serving-GW for a lower actual base station (femto base station, eNB, etc.) Rather than actually performing the function, it performs the role of relaying the bearer packet. The proxy Serving-GW module 330 transmits the bearer packet received from the base station 120 to the upper packet distributor 350 and the bearer packet received from the packet distributor 350 to the base station 120.

패킷 분배기(Packet Distributor)(350)는 프록시 Serving-GW 모듈(330)로부터 수신된 베어러 패킷을 분석하여 기업 네트워크(160)로 전달할지 여부를 판단하고, 기업 네트워크(160)로 전달해야 하는 경우 로컬 인터페이스(360)로 베어러 패킷을 전달한다. 반면, 상기 베어러 패킷이 기업 네트워크(160)로 전달하지 않아도 되는 패킷인 경우, 패킷 분배기(350)는 해당 베어러 패킷을 프록시 기지국 모듈(340)로 송신한다. 프록시 기지국 모듈(340)은 수신된 베어러 패킷에 대해 기지국 역할을 수행하여 실제 통신 사업자 망의 Serving-GW(150)와 연동을 수행하게 된다. The packet distributor 350 analyzes the bearer packet received from the proxy Serving-GW module 330 and determines whether to deliver the bearer packet to the enterprise network 160. If the bearer packet is to be delivered to the enterprise network 160, And delivers the bearer packet to the interface 360. On the other hand, when the bearer packet is not required to be transmitted to the enterprise network 160, the packet distributor 350 transmits the corresponding bearer packet to the proxy base station module 340. The proxy base station module 340 acts as a base station for the received bearer packet and performs interworking with the Serving-GW 150 of the actual communication service provider network.

도 4는 본 발명의 일 실시예에 따른 로컬 기업 보안 게이트웨이(LESG)의 패킷 처리 과정을 설명하는 흐름도이다.4 is a flowchart illustrating a packet processing procedure of a local enterprise security gateway (LESG) according to an exemplary embodiment of the present invention.

도 4를 참조하면, 로컬 기업 보안 게이트웨이(LESG)(130)는 기지국(120)으로부터 베어러 패킷을 수신한다(S401). 로컬 기업 보안 게이트웨이(LESG)(130)는 수신된 베어러 패킷에서 사용자 데이터를 추출한다(S403).Referring to FIG. 4, the local enterprise security gateway (LESG) 130 receives the bearer packet from the base station 120 (S401). The local enterprise security gateway (LESG) 130 extracts user data from the received bearer packet (S403).

로컬 기업 보안 게이트웨이(LESG)(130)는 상기 추출한 사용자 데이터와 그리고 제어 평면에서 추출된 사용자 정보, 예를 들어 MSISDN((Mobile Station International ISDN Number) 또는 IMSI(International Mobile Subscriber Identity) 등을 토대로 상기 베어러 패킷이 로컬 데이터인지 판단한다(S405). 즉 상기 베어러 패킷이 기업 네트워크(160)로 전송해야 할 패킷인지 판단하는 것이다.The local enterprise security gateway (LESG) 130 receives the extracted user data and user information extracted from the control plane, for example, MSISDN (Mobile Station International ISDN Number) or IMSI (International Mobile Subscriber Identity) It is determined whether the packet is local data (S405), that is, whether the bearer packet is a packet to be transmitted to the enterprise network 160. [

로컬 데이터인 경우, 로컬 기업 보안 게이트웨이(LESG)(130)는 상기 베어러 패킷을 기업 네트워크(160)로 라우팅하고(S409), 로컬 데이터가 아닌 경우 상기 베어러 패킷을 EPC(Evolved Packet Core) 네트워크, 즉 Serving-GW(150)로 라우팅한다(S407).In the case of local data, the local enterprise security gateway (LESG) 130 routes the bearer packet to the enterprise network 160 (S409). If the data is not local data, the bearer packet is sent to an evolved packet core To the Serving-GW 150 (S407).

도 5는 본 발명의 다른 실시예에 따른 이동통신망을 이용한 기업 통신 서비스를 위한 보안 시스템의 구성을 나타낸 도면이다. 도 5에 있어서 도 1과 동일한 참조부호의 구성요소는 도 1을 참조하여 설명한 기능 및 동작을 모두 포함한다.5 is a block diagram of a security system for a corporate communication service using a mobile communication network according to another embodiment of the present invention. In Fig. 5, the same reference numerals as those in Fig. 1 denote all the functions and operations described with reference to Fig.

도 5에 도시된 바와 같이, 본 실시예에 따른 보안 시스템은 도 1을 참조한 보안 시스템과 달리, 패킷 모니터링 장치(510)를 더 포함한다.As shown in FIG. 5, the security system according to the present embodiment further includes a packet monitoring device 510, unlike the security system with reference to FIG.

패킷 모니터링 장치(510)는 로컬 기업 보안 게이트웨이(LESG)(130)로부터 베어러 패킷을 수신하고 그 수신된 베어러 패킷을 보안 정책에 기초하여 분석한다. 이때 패킷 모니터링 장치(510)는 로컬 기업 보안 게이트웨이(LESG)(130)로부터 상기 베어러 패킷의 사용자 정보(예컨대, MSISDN, IMSI 등)를 함께 수신할 수 있다. 패킷 모니터링 장치(510)는 베어러 패킷이 보안 정책에 위배되는 경우, 해당 베어러 패킷을 폐기하고 이에 대한 결과를 로컬 기업 보안 게이트웨이(LESG)(130)로 리턴한다. 반면 베어러 패킷이 보안 정책에 위배되지 않는 경우, 패킷 모니터링 장치(510)는 그 결과와 함께 베어러 패킷을 로컬 기업 보안 게이트웨이(LESG)(130)로 리턴한다.The packet monitoring device 510 receives the bearer packet from the local enterprise security gateway (LESG) 130 and analyzes the received bearer packet based on the security policy. At this time, the packet monitoring apparatus 510 may receive user information (for example, MSISDN, IMSI, etc.) of the bearer packet from the local enterprise security gateway (LESG) If the bearer packet violates the security policy, the packet monitoring device 510 discards the bearer packet and returns the result to the local enterprise security gateway (LESG) 130. On the other hand, if the bearer packet does not violate the security policy, the packet monitoring device 510 returns the bearer packet to the local enterprise security gateway (LESG) 130 together with the result.

로컬 기업 보안 게이트웨이(LESG)(130)는 패킷 모니터링 장치(510)로부터 베어러 패킷을 수신하면, 상기 베어러 패킷이 기업 네트워크(160)로 전송해야 할 로컬 패킷인지 판단하여, 로컬 패킷인 경우, 상기 베어러 패킷을 기업 네트워크(160)로 라우팅하고, 로컬 패킷이 아닌 경우 상기 베어러 패킷을 EPC(Evolved Packet Core) 네트워크, 즉 Serving-GW(150)로 라우팅한다.Upon receiving the bearer packet from the packet monitoring device 510, the local enterprise security gateway (LESG) 130 determines whether the bearer packet is a local packet to be transmitted to the enterprise network 160. If the bearer packet is a local packet, And routes the bearer packet to the Evolved Packet Core (EPC) network, that is, the Serving-GW 150 if the packet is not a local packet.

패킷 모니터링 장치(510)는 베어러 패킷 대신 해당 베어러 패킷에서 추출된 사용자 데이터(User data)를 수신하여 보안 정책에 기초한 분석을 할 수 있다. 즉, 로컬 기업 보안 게이트웨이(LESG)(130)는 베어러 패킷에서 사용자 데이터를 추출하여 패킷 모니터링 장치(510)로 전송하여 보안 검사를 요청하고, 보안 정책에 위배되지 않을 경우 패킷 모니터링 장치(510)로부터 그 분석 결과와 함께 사용자 데이터를 수신할 수 있다. 로컬 기업 보안 게이트웨이(LESG)(130)는 사용자 데이터를 다시 프로토콜 스택에 따라 캡슐레이션하여 코어망 또는 기업 네트워크로 전송한다.The packet monitoring device 510 may receive user data extracted from the corresponding bearer packet instead of the bearer packet and analyze based on the security policy. That is, the local enterprise security gateway (LESG) 130 extracts the user data from the bearer packet and transmits the user data to the packet monitoring device 510 to request the security check. If the security policy is not violated, User data can be received together with the analysis result. The local enterprise security gateway (LESG) 130 encapsulates the user data again according to the protocol stack and transmits it to the core network or the enterprise network.

패킷 모니터링 장치(510)는 어떤 이동 단말(110)이 어떤 종류의 트래픽을 사용하는지 감시 및 제어 기능을 수행하게 된다. The packet monitoring device 510 monitors and controls what kind of traffic the mobile terminal 110 uses.

도 6은 본 발명의 다른 실시예에 따른 로컬 기업 보안 게이트웨이(LESG)의 구성을 나타낸 도면이다. 도 6에 있어서 도 3과 동일한 참조부호의 구성요소는 도 3을 참조하여 설명한 기능 및 동작을 모두 포함한다.FIG. 6 is a diagram illustrating a configuration of a local enterprise security gateway (LESG) according to another embodiment of the present invention. In Fig. 6, the same reference numerals as in Fig. 3 denote all the functions and operations described with reference to Fig.

도 6에 도시된 바와 같이, 본 실시예에 따른 보안 시스템은 도 3을 참조한 보안 시스템과 달리, 모니터링 장치 인터페이스(610)를 더 포함한다. As shown in FIG. 6, the security system according to the present embodiment further includes a monitoring device interface 610, unlike the security system with reference to FIG.

모니터링 장치 인터페이스(610)는 패킷 분배기(350)로부터 베어러 패킷을 전달받고 그 전달받은 베어러 패킷과 사용자 정보(MSIDNS, IMSI 등)을 패킷 모니터링 장치(510)로 송신한다. 그리고 모니터링 장치 인터페이스(610)는 패킷 모니터링 장치(510)로부터 패킷 분석 결과를 수신한다. 여기서 베어러 패킷이 보안 정책에 위배되는 경우 폐기에 따른 결과만을 수신할 수 있고, 보안 정책에 위배되지 않는 경우 베어러 패킷을 온전히 수신할 수 있다. 모니터링 장치 인터페이스(610)는 패킷 모니터링 장치(510)로부터 수신된 패킷 분석 결과를 패킷 분배기(350)로 전달한다. 앞서 설명한 바와 같이, 모니터링 장치 인터페이스(610)는 베어러 패킷 자체가 아닌, 그 패킷으로부터 추출된 사용자 데이터를 송수신할 수 있다.The monitoring device interface 610 receives the bearer packet from the packet distributor 350 and transmits the received bearer packet and user information (MSIDNS, IMSI, etc.) to the packet monitoring device 510. The monitoring device interface 610 receives packet analysis results from the packet monitoring device 510. Here, if the bearer packet violates the security policy, only the result of discarding can be received, and if the security policy is not violated, the bearer packet can be received completely. The monitoring device interface 610 transfers the packet analysis result received from the packet monitoring device 510 to the packet distributor 350. As described above, the monitoring device interface 610 can send and receive user data extracted from the packet, rather than the bearer packet itself.

도 7은 본 발명의 다른 실시예에 따른 로컬 기업 보안 게이트웨이(LESG)와 패킷 모니터링 장치의 패킷 처리 과정을 설명하는 흐름도이다.FIG. 7 is a flowchart illustrating packet processing procedures of a local enterprise security gateway (LESG) and a packet monitoring apparatus according to another embodiment of the present invention.

도 7을 참조하면, 로컬 기업 보안 게이트웨이(LESG)(130)는 기지국(120)으로부터 베어러 패킷을 수신한다(S701). 로컬 기업 보안 게이트웨이(LESG)(130)는 수신된 베어러 패킷에서 사용자 데이터를 추출한다(S703).Referring to FIG. 7, the local enterprise security gateway (LESG) 130 receives the bearer packet from the base station 120 (S701). The local enterprise security gateway (LESG) 130 extracts user data from the received bearer packet (S703).

로컬 기업 보안 게이트웨이(LESG)(130)는 상기 추출한 사용자 데이터와 그리고 해당 베어러 패킷의 사용자 정보 예를 들어 MSISDN((Mobile Station International ISDN Number) 또는 IMSI(International Mobile Subscriber Identity) 등을 패킷 모니터링 장치(510)로 전달하여 보안 검사를 요청한다(S705).The local enterprise security gateway (LESG) 130 transmits the extracted user data and user information of the corresponding bearer packet, for example, MSISDN (Mobile Station International ISDN Number) or IMSI (International Mobile Subscriber Identity) To request a security check (S705).

패킷 모니터링 장치(510)는 상기 추출한 사용자 데이터 그리고 사용자 정보를 토대로 보안 정책 위배 여부를 판단한다(S707). 만약 보안 정책에 위배되는 경우, 패킷 모니터링 장치(510)는 해당 사용자 데이터를 폐기 처리한다(S709). 반면 보안 정책에 위배되지 않는 경우, 패킷 모니터링 장치(510)는 해당 사용자 데이터의 통과를 결정하고 사용자 데이터를 다시 로컬 기업 보안 게이트웨이(LESG)(130)로 리턴한다(S711, S713).The packet monitoring device 510 determines whether the security policy is violated based on the extracted user data and the user information (S707). If the security policy is violated, the packet monitoring device 510 discards the corresponding user data (S709). On the other hand, if the security policy is not violated, the packet monitoring apparatus 510 determines the passage of the corresponding user data and returns the user data to the local enterprise security gateway (LESG) 130 (S711, S713).

보안 정책에 위배되지 않은 사용자 데이터는 로컬 기업 보안 게이트웨이(LESG)(130)로 수신되고, 로컬 기업 보안 게이트웨이(LESG)(130)는 상기 베어러 패킷이 로컬 데이터인지 판단한다(S715). 즉 상기 베어러 패킷이 기업 네트워크(160)로 전송해야 할 패킷인지 판단하는 것이다.User data that does not violate the security policy is received by the local enterprise security gateway (LESG) 130, and the local enterprise security gateway (LESG) 130 determines whether the bearer packet is local data (S715). That is, it is determined whether the bearer packet is a packet to be transmitted to the enterprise network 160.

로컬 데이터인 경우, 로컬 기업 보안 게이트웨이(LESG)(130)는 상기 베어러 패킷을 기업 네트워크(160)로 라우팅하고(S717), 로컬 데이터가 아닌 경우 상기 베어러 패킷을 EPC(Evolved Packet Core) 네트워크, 즉 Serving-GW(150)로 라우팅한다(S719).In the case of local data, the local enterprise security gateway (LESG) 130 routes the bearer packet to the enterprise network 160 (S717). If the data is not local data, the bearer packet is transmitted to an evolved packet core To the Serving-GW 150 (S719).

본 명세서는 많은 특징을 포함하는 반면, 그러한 특징은 본 발명의 범위 또는 특허청구범위를 제한하는 것으로 해석되어서는 안 된다. 또한, 본 명세서에서 개별적인 실시예에서 설명된 특징들은 단일 실시예에서 결합되어 구현될 수 있다. 반대로, 본 명세서에서 단일 실시예에서 설명된 다양한 특징들은 개별적으로 다양한 실시예에서 구현되거나, 적절히 결합되어 구현될 수 있다.While the specification contains many features, such features should not be construed as limiting the scope of the invention or the scope of the claims. In addition, the features described in the individual embodiments herein may be combined and implemented in a single embodiment. Conversely, various features described in the singular < Desc / Clms Page number 5 > embodiments herein may be implemented in various embodiments individually or in combination as appropriate.

도면에서 동작들이 특정한 순서로 설명되었으나, 그러한 동작들이 도시된 바와 같은 특정한 순서로 수행되는 것으로, 또는 일련의 연속된 순서, 또는 원하는 결과를 얻기 위해 모든 설명된 동작이 수행되는 것으로 이해되어서는 안 된다. 특정 환경에서 멀티태스킹 및 병렬 프로세싱이 유리할 수 있다. 아울러, 상술한 실시예에서 다양한 시스템 구성요소의 구분은 모든 실시예에서 그러한 구분을 요구하지 않는 것으로 이해되어야 한다. 상술한 프로그램 구성요소 및 시스템은 일반적으로 단일 소프트웨어 제품 또는 멀티플 소프트웨어 제품에 패키지로 구현될 수 있다.Although the operations have been described in a particular order in the figures, it should be understood that such operations are performed in a particular order as shown, or that all described operations are performed to obtain a sequence of sequential orders, or a desired result . In certain circumstances, multitasking and parallel processing may be advantageous. It should also be understood that the division of various system components in the above embodiments does not require such distinction in all embodiments. The above-described program components and systems can generally be implemented as a single software product or as a package in multiple software products.

상술한 바와 같은 본 발명의 방법은 프로그램으로 구현되어 컴퓨터로 읽을 수 있는 형태로 기록매체(시디롬, 램, 롬, 플로피 디스크, 하드 디스크, 광자기 디스크 등)에 저장될 수 있다. 이러한 과정은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있으므로 더 이상 상세히 설명하지 않기로 한다.The method of the present invention as described above can be implemented by a program and stored in a computer-readable recording medium (CD-ROM, RAM, ROM, floppy disk, hard disk, magneto optical disk, etc.). Such a process can be easily carried out by those skilled in the art and will not be described in detail.

이상에서 설명한 본 발명은, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하므로 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니다.It will be apparent to those skilled in the art that various modifications and variations can be made in the present invention without departing from the spirit or scope of the invention. The present invention is not limited to the drawings.

110 : 이동 단말 120 : 기지국
130 : 로컬 기업 보안 게이트웨이(LESG)
140 : MME 150 : Serving-GW
160 : 기업 네트워크110: mobile terminal 120: base station
130: Local Enterprise Security Gateway (LESG)
140: MME 150: Serving-GW
160: Corporate Network

Claims (10)

이동통신망을 이용한 기업 통신 서비스를 위한 보안 시스템에 있어서,
기지국과 이동통신 코어망 사이에 위치하여 상기 기지국으로부터 수신되는 패킷을 상기 이동통신 코어망 또는 기업 네트워크로 선택적으로 전송하는 로컬 기업 보안 게이트웨이를 포함하고,
상기 로컬 기업 보안 게이트웨이는,
상기 기지국에 대해 상기 이동통신 코어망의 장비로서 동작을 수행하는 제 1 프록시 모듈;
상기 이동통신 코어망의 장비에 대해 상기 기지국으로서의 동작을 수행하는 제 2 프록시 모듈;
상기 기업 네트워크와 통신하는 로컬 인터페이스; 및
상기 제 1 프록시 모듈로부터 수신되는 패킷을 상기 제 2 프록시 모듈을 통해 상기 이동통신 코어망으로 전송하거나 또는 상기 로컬 인터페이스를 통해 상기 기업 네트워크로 전송하는 패킷 분배기;를 포함하고,
상기 제 1 프록시 모듈은,
상기 기지국에 대해 상기 코어망의 서빙 게이트웨이(Serving-GW)로서 동작을 수행하는 프록시 서빙 게이트웨이 모듈이고,
상기 제 2 프록시 모듈은,
상기 코어망의 서빙 게이트웨이(Serving-GW)에 대해 기지국으로서 동작을 수행하는 프록시 기지국 모듈인 것을 특징으로 하는 보안 시스템.A security system for a corporate communication service using a mobile communication network,
And a local enterprise security gateway located between the base station and the mobile communication core network and selectively transmitting a packet received from the base station to the mobile communication core network or the enterprise network,
The local enterprise security gateway,
A first proxy module for performing operations as an equipment of the mobile communication core network with respect to the base station;
A second proxy module for performing an operation as the base station for equipment of the mobile communication core network;
A local interface for communicating with the corporate network; And
And a packet distributor for transmitting a packet received from the first proxy module to the mobile communication core network through the second proxy module or transmitting the packet to the enterprise network via the local interface,
Wherein the first proxy module comprises:
A serving serving gateway module for serving as a Serving-GW of the core network to the base station,
Wherein the second proxy module comprises:
Wherein the base station module is a proxy base station module that operates as a base station with respect to a Serving-GW of the core network. 삭제delete 제 1 항에 있어서,
보안 정책에 기초하여 보안 검사를 수행하는 패킷 모니터링 장치;를 더 포함하고,
상기 로컬 기업 보안 게이트웨이는,
상기 패킷 분배기로부터 상기 패킷에서 추출된 사용자 데이터를 수신하고, 그 수신된 사용자 데이터를 상기 패킷 모니터링 장치로 전송하여 보안 검사를 요청하는 모니터링 장치 인터페이스;를 더 포함하는 것을 특징으로 하는 보안 시스템.The method according to claim 1,
And a packet monitoring device for performing a security check based on the security policy,
The local enterprise security gateway,
Further comprising a monitoring device interface for receiving user data extracted from the packet from the packet distributor and transmitting the received user data to the packet monitoring device to request a security check. 제 3 항에 있어서,
상기 패킷 모니터링 장치는,
상기 모니터링 장치 인터페이스로부터 수신된 사용자 데이터가 보안 정책에 위배되는 경우 폐기하는 것을 특징으로 하는 보안 시스템.The method of claim 3,
The packet monitoring apparatus includes:
If the user data received from the monitoring device interface violates the security policy. 제 3 항에 있어서,
상기 패킷 분배기는,
상기 패킷 모니터링 장치의 보안 검사를 통과한 패킷에 대해서만 상기 이동통신 코어망으로 전송하거나 또는 상기 기업 네트워크로 전송하는 것을 특징으로 하는 보안 시스템.The method of claim 3,
Wherein the packet distributor comprises:
To the mobile communication core network only for packets that pass the security check of the packet monitoring device or to the enterprise network. 기지국과 이동통신 코어망 사이에 위치하는 로컬 기업 보안 게이트웨이를 포함하는 보안 시스템에서 기업 통신 서비스를 위한 보안 방법으로서,
상기 로컬 기업 보안 게이트웨이가, 상기 기지국에 대해 상기 이동통신 코어망의 장비로서 동작을 수행하는 제 1 프록시 모듈을 통해 패킷을 수신하는 단계; 및
상기 로컬 기업 보안 게이트웨이가, 상기 수신된 패킷을, 상기 이동통신 코어망의 장비에 대해 상기 기지국으로서의 동작을 수행하는 제 2 프록시 모듈을 통해 상기 이동통신 코어망으로 전송하거나, 로컬 인터페이스를 통해 기업 네트워크로 전송하는 단계;를 포함하고,
상기 제 1 프록시 모듈은,
상기 기지국에 대해 상기 코어망의 서빙 게이트웨이(Serving-GW)로서 동작을 수행하는 프록시 서빙 게이트웨이 모듈이고,
상기 제 2 프록시 모듈은,
상기 코어망의 서빙 게이트웨이(Serving-GW)에 대해 기지국으로서 동작을 수행하는 프록시 기지국 모듈인 것을 특징으로 하는 보안 방법.A security method for a corporate communication service in a security system including a local corporate security gateway located between a base station and a mobile communication core network,
Receiving, by the local corporate security gateway, a packet through a first proxy module that operates as an apparatus of the mobile communication core network with respect to the base station; And
The local corporate security gateway may transmit the received packet to the mobile communication core network through a second proxy module that performs an operation as the base station for the equipment of the mobile communication core network, The method comprising:
Wherein the first proxy module comprises:
A serving serving gateway module for serving as a Serving-GW of the core network to the base station,
Wherein the second proxy module comprises:
Wherein the serving base station module is a proxy base station module that operates as a base station with respect to a Serving-GW of the core network. 삭제delete 제 6 항에 있어서,
상기 전송하는 단계 이전에,
상기 로컬 기업 보안 게이트웨이가, 상기 수신된 패킷에서 사용자 데이터를 추출하여 패킷 모니터링 장치로 전송하여 보안 검사를 요청하는 단계;를 더 포함하는 것을 특징으로 하는 보안 방법.The method according to claim 6,
Before the transmitting step,
Further comprising: extracting user data from the received packet and transmitting the extracted user data to a packet monitoring device to request a security check by the local corporate security gateway. 제 8 항에 있어서,
상기 전송하는 단계 이전에,
상기 로컬 기업 보안 게이트웨이가, 보안 정책에 기초하여 보안 검사를 통과한 상기 사용자 데이터를 상기 패킷 모니터링 장치로부터 수신하는 단계;를 더 포함하는 것을 특징으로 하는 보안 방법.9. The method of claim 8,
Before the transmitting step,
Further comprising: receiving, by the local enterprise security gateway, the user data that has passed the security check based on the security policy, from the packet monitoring device. 제 8 항에 있어서,
상기 보안 정책에 위배되는 사용자 데이터는 상기 패킷 모니터링 장치에 의해 폐기되는 것을 특징으로 하는 보안 방법.9. The method of claim 8,
Wherein user data that violates the security policy is discarded by the packet monitoring device.
KR1020130154116A 2013-12-11 2013-12-11 Security system and security method for enterprise communication service using mobile communication network KR101472964B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020130154116A KR101472964B1 (en) 2013-12-11 2013-12-11 Security system and security method for enterprise communication service using mobile communication network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130154116A KR101472964B1 (en) 2013-12-11 2013-12-11 Security system and security method for enterprise communication service using mobile communication network

Publications (1)

Publication Number Publication Date
KR101472964B1 true KR101472964B1 (en) 2014-12-16

Family

ID=52678953

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130154116A KR101472964B1 (en) 2013-12-11 2013-12-11 Security system and security method for enterprise communication service using mobile communication network

Country Status (1)

Country Link
KR (1) KR101472964B1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108696546A (en) * 2017-02-15 2018-10-23 中兴通讯股份有限公司 A kind of method and device of the user terminal access public network of Enterprise Mobile private network
KR20230037183A (en) 2021-09-09 2023-03-16 현대중공업 주식회사 The system that supports on-line access to remotly located equipment/products

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108696546A (en) * 2017-02-15 2018-10-23 中兴通讯股份有限公司 A kind of method and device of the user terminal access public network of Enterprise Mobile private network
CN108696546B (en) * 2017-02-15 2021-08-24 中兴通讯股份有限公司 Method and device for accessing public network by user terminal of enterprise mobile private network
KR20230037183A (en) 2021-09-09 2023-03-16 현대중공업 주식회사 The system that supports on-line access to remotly located equipment/products

Similar Documents

Publication Publication Date Title
US9143949B2 (en) Wireless communications network base station extension
US8855649B2 (en) Network system, offload device, and user identification information obtaining method for offload device
CN105491617A (en) Method for supporting local offloading of business and base station sub-system
JP2015519792A (en) System, user apparatus and method for performing multi-network joint transmission
US11323289B2 (en) Tunnel establishment method and apparatus
US10206139B2 (en) Method and device for data shunting
KR20110050186A (en) Method and apparatus for setupping common uplink bearer in wireless communication network
WO2017219355A1 (en) Multi-connection communications method and device
US20190260857A1 (en) Data Packet Processing Method, Control Plane Network Element, And User Plane Network Element
JP2021114800A (en) Base station, radio communication system, and communication method
JP2016536814A (en) Access to local ANDSF server using dedicated bearer
KR20190140045A (en) User plane link establishment method, base station and mobility management device
KR101472964B1 (en) Security system and security method for enterprise communication service using mobile communication network
KR101383294B1 (en) Base station and virtual base station system for controllling connection of data offloading
EP3138256B1 (en) Residential local break out in a communication system
US9936402B2 (en) Methods and systems for managing relays in LTE based communication networks
US20230216576A1 (en) Technique for relaying control messages between a core network entity and radio devices
KR102205480B1 (en) Virtual core system, system for changing core network and virtual mme
KR101780402B1 (en) Method and apparatus for transmitting data
US20200045614A1 (en) Communicating over a local area network connection between a radio access node and a user equipment relay
WO2018032520A1 (en) Uplink and downlink data transmission method and device
CN113853773A (en) Mapping bearer identities to IPv6 architecture
KR20150023156A (en) Method and apparatus for updating quality information of service

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20180110

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20181129

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20191128

Year of fee payment: 6