KR101491731B1 - Method and Apparatus for Improving Security of Network and Communication Relay Apparatus Thereof - Google Patents

Method and Apparatus for Improving Security of Network and Communication Relay Apparatus Thereof Download PDF

Info

Publication number
KR101491731B1
KR101491731B1 KR20140007950A KR20140007950A KR101491731B1 KR 101491731 B1 KR101491731 B1 KR 101491731B1 KR 20140007950 A KR20140007950 A KR 20140007950A KR 20140007950 A KR20140007950 A KR 20140007950A KR 101491731 B1 KR101491731 B1 KR 101491731B1
Authority
KR
South Korea
Prior art keywords
code
monitoring
communication repeater
execution
executing
Prior art date
Application number
KR20140007950A
Other languages
Korean (ko)
Inventor
여동기
김창영
Original Assignee
에스케이 텔레콤주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 에스케이 텔레콤주식회사 filed Critical 에스케이 텔레콤주식회사
Priority to KR20140007950A priority Critical patent/KR101491731B1/en
Application granted granted Critical
Publication of KR101491731B1 publication Critical patent/KR101491731B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

An embodiment of the present invention relates to a security apparatus and a method including: loading, on a communication relay, program codes including decryption codes decrypting encrypted data; executing the program codes by the communication relay; executing, by the communication relay, a monitoring command monitoring data content on the network; and receiving and processing a delay command delaying the execution of the decryption codes.

Description

네트워크 보안을 개선하기 위한 방법 및 장치와 그를 이용한 통신 중계 장치{Method and Apparatus for Improving Security of Network and Communication Relay Apparatus Thereof}BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a method and apparatus for improving network security and a communication relay apparatus using the same.

본 실시예는 네트워크 보안을 개선하기 위한 방법 및 장치와 그를 이용한 통신 중계 장치에 관한 것이다.This embodiment relates to a method and apparatus for improving network security and a communication relay apparatus using the same.

이 부분에 기술된 내용은 단순히 본 실시예에 대한 배경 정보를 제공할 뿐 종래기술을 구성하는 것은 아니다.The contents described in this section merely provide background information on the present embodiment and do not constitute the prior art.

이동통신 망은 일반인의 접근을 엄격히 제한하고 있다. 예컨대, 매크로(Macro)의 DU(Digital Unit) 집중국은 등록된 사람 외에는 접근이 불가하며, RU(Radio Unit)도 시건 장치를 통해 일반인의 접근을 막고 있다. 또한, 온라인을 이용한 DU 또는 RU 접속의 경우에도 이동통신사의 자가망을 이용하므로, 해당 기지국 또는 서버로의 접근은 용이하지 않다.The mobile communication network strictly restricts access to the public. For example, the MAC (Digital Unit) central station can not be accessed other than the registered person, and the RU (radio unit) is also blocking the public access through the key device. Also, in the case of the DU or RU connection using on-line, since the mobile communication company's own network is used, access to the corresponding base station or server is not easy.

하지만, LTE Femto나 Wi-Fi와 같은 AP(Access Point)의 경우, 공개된(Public) 공간이나 가정에 설치 및 운영되므로 사용자의 LAN 포트를 통한 접근이 가능하고, 또한 공중 IP망을 백홀(Backhaul)로 이용하므로 원격접속도 DU 또는 RU와 대비해서 용이하다.However, in the case of AP (Access Point) such as LTE Femto or Wi-Fi, it is installed and operated in a public space or a home, so that the user can access through the LAN port, ), So remote access is easy compared to DU or RU.

이 때문에, LTE Femto의 경우, IPSec이라는 프로토콜을 추가적으로 이용하여 패킷이 이동통신사의 자가망으로 들어가기 전인 공중 백홀망에서 보안 취약점을 보완하고 있다.For this reason, the LTE Femto is supplementing the security vulnerability in the public backhaul network before the packet enters the carrier's network, using an additional protocol called IPSec.

도 1은 LTE Femto 망(HeNB 망), HeNB(Home eNodeB) 게이트웨이 및 Femto AP(110)와 접속하는 단말기(130)를 나타낸 도면이다. 도 1에서, LTE Femto 망(100)과 HeNB 게이트웨이(120) 구간의 트래픽은 IPSec 프로토콜로 캡슐화(Encapsulation)되어 운용된다. HeNB 게이트웨이(120)는 IPSec 프로토콜을 지원하는 SeGW(Security Gateway, 121)를 포함한다. IPSec 프로토콜은 사전에 SeGW(121)와 Femto AP(110)간 상호 정의된 Key(Pre-Shared Key 등)를 이용해 연동되므로, 외부 사용자에 의해 해킹이 시도되더라도 그 Key 값을 모르는 상태에서는 Femto AP(110)와 SeGW(121) 사이에서 주고받는 트래픽(예컨대, SMS, MMS 등) 정보의 확인이 불가능하다.1 is a diagram illustrating a terminal 130 connected to an LTE Femto network (HeNB network), a HeNB (Home eNodeB) gateway, and a Femto AP 110. In FIG. 1, the traffic between the LTE Femto network 100 and the HeNB gateway 120 is encapsulated in an IPSec protocol. The HeNB gateway 120 includes a SeGW (Security Gateway) 121 supporting the IPSec protocol. Since the IPSec protocol is interlocked with a key (pre-shared key, etc.) defined between the SeGW 121 and the Femto AP 110 in advance, even if a hacking is attempted by an external user, the Femto AP (E.g., SMS, MMS, etc.) information exchanged between the mobile terminal 110 and the SeGW 121 can not be confirmed.

도 2는 Femto AP(110)가 SeGW(121)와 주고 받는 패킷에 대한 Femto AP(110) 내의 운영체제(OS, 210)상에서 암호화 및 복호화 위치에 따른 해킹의 위험성을 예시한 도면이다.2 is a diagram illustrating a risk of hacking according to encryption and decryption positions on an operating system (OS) 210 in a Femto AP 110 with respect to a packet exchanged between the Femto AP 110 and the SeGW 121. FIG.

도 2와 같이, 패킷의 수신 시(A)에는 복호화모듈(211)의 복호 단계를 거치기 전(a 시점)의 수신패킷(213)을 캡처(Capture)해도 패킷의 내용을 확인할 수 없지만 복호화모듈(211)의 복호 단계를 거친 후의 패킷(215)을 캡처했을 경우(b 시점)에는 패킷의 내용을 확인할 수 있다. 또한, 패킷의 송신 시(B)에는 IPSec 프로토콜(암호화모듈, 212) 단계를 거쳐 암호화한 후에는(d 시점) 송신패킷(214)을 캡처해도 패킷의 내용을 확인할 수 없지만 암호화모듈(212) 단계에서 암호화하기 전의 패킷(215)을 캡처하는 경우에는(c 시점) 패킷의 정보를 확인할 수 있다.As shown in FIG. 2, although the contents of the packet can not be confirmed even if the reception packet 213 is captured before the decoding module 211 is decoded (at a time point), the decoding module 211 The contents of the packet can be confirmed at the time of capturing the packet 215 after the decoding step of the buffer 211 (b point). The content of the packet can not be confirmed even if the transmission packet 214 is captured after the IPSec protocol (encryption module 212) is encrypted at the time of transmission of the packet (B) When capturing the packet 215 before encryption at the point (c), the information of the packet can be confirmed.

실제, 리눅스(Linux) OS 상에서 동작하는 명령어 중에서 'TCPDump' 명령어(Command)를 이용할 경우, 메시지 패킷을 수신하는 경우 메시지 패킷이 복호화된 후 패킷 내의 데이터의 내용을 확인할 수 있으므로 TCPDump 명령어가 해킹의 주요 수단이 되고 있다.In fact, when using the 'TCPDump' command among the commands running on the Linux OS, if the message packet is received, the contents of the data in the packet can be checked after the message packet is decoded. It is becoming a means.

본 실시예는, 네트워크 보안을 개선하기 위한 방법 및 장치와 그를 이용한 통신 중계 장치를 제공하는 데 주된 목적이 있다.The present embodiment has a main object to provide a method and apparatus for improving network security and a communication relay apparatus using the same.

본 실시예의 일 측면에 의하면, 통신 중계기에서 네트워크로부터 암호화 데이터를 수신하여 복호화하는 과정의 보안을 개선하는 방법에 있어서, 상기 암호화 데이터를 복호화하는 복호화코드를 포함하는 프로그램 코드를 상기 통신 중계기에 탑재하는 과정; 상기 통신 중계기에서 상기 프로그램 코드를 실행하는 과정; 상기 통신 중계기에서 상기 네트워크 상의 데이터 내용을 모니터링하는 모니터링 명령을 실행하는 과정; 및 상기 복호화코드의 실행을 지연하는 지연명령을 수신하여 처리하는 과정을 포함하는 것을 특징으로 하는 보안 방법을 제공한다.According to an aspect of the present invention, there is provided a method for improving the security of a process of receiving and decoding encrypted data from a network in a communication repeater, the method comprising the steps of: mounting a program code including a decryption code for decrypting the encrypted data in the communication repeater process; Executing the program code in the communication repeater; Executing a monitoring command to monitor data contents on the network in the communication repeater; And receiving and processing a delay command for delaying the execution of the decryption code.

또한, 본 실시예의 다른 측면에 의하면, 통신 중계기에서 생성된 데이터를 암호화하는 과정의 보안을 개선하는 방법에 있어서, 상기 데이터를 암호화하는 암호화코드를 포함하는 프로그램 코드를 상기 통신 중계기에 탑재하는 과정; 상기 통신 중계기에서 상기 프로그램 코드를 실행하는 과정; 상기 통신 중계기에서 상기 네트워크 상의 데이터 내용을 모니터링하는 모니터링 명령을 실행하는 과정; 및 상기 모니터링의 결과에 따라 상기 암호화코드의 실행시점을 앞당기는 앞당기기 명령을 수신하여 처리하는 과정을 포함하는 것을 특징으로 하는 보안 방법을 제공한다.According to another aspect of the present invention, there is provided a method of improving security in a process of encrypting data generated in a communication repeater, the method comprising: loading program code including an encryption code for encrypting the data into the communication repeater; Executing the program code in the communication repeater; Executing a monitoring command to monitor data contents on the network in the communication repeater; And receiving and processing an advance instruction to advance the execution time of the encryption code according to a result of the monitoring.

또한, 본 실시예의 다른 측면에 의하면, 통신 중계기에서 네트워크로부터 암호화 데이터를 수신하여 복호화하는 과정의 보안을 개선하는 보안 장치에 있어서, 상기 암호화 데이터를 복호화하는 복호화코드를 포함하는 프로그램 코드를 상기 통신 중계기에 탑재하는 탑재부; 상기 통신 중계기에서 상기 프로그램 코드를 실행하는 프로그램 실행부; 상기 통신 중계기에서 상기 네트워크 상의 데이터 내용을 모니터링하는 모니터링 명령을 실행하는 모니터링 실행부; 및 상기 복호화코드의 실행을 지연하는 지연명령을 수신하여 처리하는 실행위치 설정부를 포함하는 것을 특징으로 하는 보안 장치를 제공한다.According to another aspect of the present invention, there is provided a security device for improving the security of the process of receiving and decrypting encrypted data from a network in a communication repeater, the security device comprising: a program code including a decryption code for decrypting the encrypted data, ; A program executing section for executing the program code in the communication repeater; A monitoring executing unit for executing a monitoring command for monitoring data contents on the network in the communication repeater; And an execution position setting unit for receiving and processing a delay command for delaying execution of the decryption code.

또한, 본 실시예의 다른 측면에 의하면, 통신 중계기에서 생성된 데이터를 암호화하는 과정의 보안을 개선하는 보안 장치에 있어서, 상기 데이터를 암호화하는 암호화코드를 포함하는 프로그램 코드를 상기 통신 중계기에 탑재하는 탑재부; 상기 통신 중계기에서 상기 프로그램 코드를 실행하는 프로그램 실행부; 상기 통신 중계기에서 상기 네트워크 상의 데이터 내용을 모니터링하는 모니터링 명령을 실행하는 모니터링 실행부; 및 상기 모니터링의 결과에 따라 상기 암호화코드의 실행시점을 앞당기는 앞당기기 명령을 수신하여 처리하는 실행위치 설정부를 포함하는 것을 특징으로 하는 보안 장치를 제공한다.According to another aspect of the present invention, there is provided a security apparatus for improving the security of a process of encrypting data generated in a communication repeater, the security apparatus comprising: a mounting unit for mounting a program code including an encryption code for encrypting the data, ; A program executing section for executing the program code in the communication repeater; A monitoring executing unit for executing a monitoring command for monitoring data contents on the network in the communication repeater; And an execution position setting unit for receiving and processing an advance instruction to advance the execution timing of the encryption code according to a result of the monitoring.

이상에서 설명한 바와 같이 본 실시예에 의하면, TCPDump 명령과 같은 네트워크 데이터 접근 명령을 이용한 해킹 시도 시에 트래픽 데이터의 암호화가 유지되어 보안 위험성이 줄어드는 효과가 있다.As described above, according to the present embodiment, encryption of traffic data is maintained during a hacking attempt using a network data access command such as a TCPDump command, thereby reducing security risks.

도 1은 LTE Femto 망(HeNB 망), HeNB(Home eNodeB) 게이트웨이 및 Femto AP(110)와 접속하는 단말기(130)를 나타낸 도면이다.
도 2는 Femto AP(110)가 SeGW(121)와 주고 받는 패킷에 대한 Femto AP(110) 내의 운영체제(210)상에서 암호화 및 복호화 위치에 따른 해킹의 위험성을 예시한 도면이다.
도 3은 본 실시예에 따른 보안 장치(300)를 개략적으로 나타낸 블록 구성도이다.
도 4는 암호화된 수신 데이터 패킷에 대하여 복호화 모듈의 실행위치와 해킹 가능성과의 관계를 예시한 도면이다.
도 5는 프로그램 코드 내에서 복호화 코드의 실행위치에 대하여 예시한 도면이다.
도 6은 통신 중계기(310)에서 생성된 데이터 패킷을 네트워크로 전송하기 전에 암호화하는 암호화 모듈의 실행위치와 해킹 가능성과의 관계를 예시한 도면이다.
도 7은 프로그램 코드 내에서 암호화 코드의 실행위치에 대하여 예시한 도면이다.
도 8은 본 발명의 제1 실시예에 따른 보안 방법을 개략적으로 나타낸 흐름도이다.
도 9는 본 발명의 제1 실시예에 따른 보안 방법을 개략적으로 나타낸 흐름도이다.1 is a diagram illustrating a terminal 130 connected to an LTE Femto network (HeNB network), a HeNB (Home eNodeB) gateway, and a Femto AP 110.
2 is a diagram illustrating the risk of hacking according to encryption and decryption positions on the operating system 210 in the Femto AP 110 with respect to packets exchanged between the Femto AP 110 and the SeGW 121. [
3 is a block diagram schematically showing a security device 300 according to the present embodiment.
4 is a diagram illustrating the relationship between the execution position of the decryption module and the possibility of hacking on the encrypted received data packet.
5 is a diagram illustrating an execution position of a decoded code in the program code.
6 is a diagram illustrating a relationship between an execution position of an encryption module for encrypting a data packet generated by the communication repeater 310 before transmission to the network and a possibility of hacking.
7 is a diagram illustrating an execution position of an encryption code in the program code.
8 is a flowchart schematically illustrating a security method according to the first embodiment of the present invention.
FIG. 9 is a flowchart schematically showing a security method according to the first embodiment of the present invention.

이하, 본 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.Hereinafter, the present embodiment will be described in detail with reference to the accompanying drawings.

도 3은 본 실시예에 따른 보안 장치(300)를 개략적으로 나타낸 블록 구성도이다.3 is a block diagram schematically showing a security device 300 according to the present embodiment.

본 실시예에 따른 보안 장치(300)는, Femto AP(110)와 같은 통신 중계기(310)가 네트워크로부터 암호화 패킷을 수신하여 복호화하는 과정 및 데이터 패킷을 네트워크로 전송하기 전에 암호화하는 과정의 보안을 개선하기 위한 장치로서 탑재부(320), 프로그램 실행부(330), 모니터링 실행부(340) 및 실행위치 설정부(350)를 포함한다. 본 실시예에서는 보안 장치(300)가 탑재부(320), 프로그램 실행부(330), 모니터링 실행부(340) 및 실행위치 설정부(350)만을 포함하는 것으로 기재하고 있으나 반드시 이에 한정되는 것은 아니다. 또한, 여기서 통신 중계기(310)의 예를 Femto AP(110)를 예로 들었으나 본 발명은 이에 한정되지 않고 WiFi AP 또는 주고받는 데이터를 암호화하는 모든 통신 중계기에도 적용 가능할 것이다.The security device 300 according to the present exemplary embodiment may be configured such that the communication repeater 310 such as the Femto AP 110 receives the encryption packet from the network and decrypts the encrypted packet and encrypts the data packet before transmitting the data packet to the network A program execution unit 330, a monitoring execution unit 340, and an execution position setting unit 350. The execution unit 340 includes a program execution unit 330, a monitoring execution unit 340, The security apparatus 300 includes only the mounting unit 320, the program executing unit 330, the monitoring executing unit 340, and the execution position setting unit 350. However, the present invention is not limited thereto. Here, the Femto AP 110 is an example of the communication repeater 310, but the present invention is not limited thereto. The present invention may be applied to any communication repeater that encrypts WiFi AP or data to be transmitted or received.

탑재부(320)는 암호화된 수신데이터(수신패킷)를 복호화하는 복호화코드 및 통신 중계기(310)에서 생성된 데이터 패킷을 네트워크로 전송하기 전에 암호화하는 암호화코드를 포함하는 프로그램 코드(360)를 통신 중계기(310)에 탑재한다. 프로그램 코드(360)는 통신 중계기(310)가 네트워크에서 패킷을 송신 또는 수신하는 기능을 수행하도록 프로그램 언어로 생성된 소스코드 및 소스코드를 컴파일하여 생성된 실행코드 중 적어도 하나를 포함한다. 여기서 탑재부(320)가 프로그램 코드(360)를 탑재하는 동작은 자동으로 수행할 수도 있으나 사용자로부터 프로그램 코드(360)를 탑재하라는 탑재 명령을 수신하여 프로그램 코드(360)의 탑재 동작을 수행할 수도 있다.The mounting section 320 transmits a program code 360 including a decryption code for decrypting the encrypted received data (the received packet) and an encryption code for encrypting the data packet generated by the communication repeater 310 before transmission to the network, (310). The program code 360 includes at least one of the source code generated in a programming language and the execution code generated by compiling the source code so that the communication repeater 310 performs a function of transmitting or receiving a packet in the network. Here, the mounting unit 320 may automatically perform the operation of mounting the program code 360, but may perform the mounting operation of the program code 360 by receiving the mounting instruction to mount the program code 360 from the user .

프로그램 실행부(330)는 통신 중계기(310)에서 프로그램 코드(360)를 실행한다. 프로그램 실행부(330)는 프로그램 코드(360)를 실행함에 있어서, 프로그램 코드(360)가 통신 중계기(310)에 탑재되는 경우 자동으로 실행되도록 할 수도 있으나 사용자로부터 프로그램 코드(360)를 실행하라는 실행명령을 수신하여 프로그램 코드(360)의 실행 동작을 수행할 수도 있다.The program executing section 330 executes the program code 360 in the communication repeater 310. [ The program executing section 330 may execute the program code 360 when the program code 360 is loaded into the communication repeater 310 but execute the program code 360 from the user And execute an execution operation of the program code 360. [

모니터링 실행부(340)는 통신 중계기(310) 내의 운영체제(210) 상에서 통신 중계기(310)와 연결된 네트워크 상의 패킷 내용을 모니터링하는 모니터링 명령을 실행한다. 여기서 사용될 수 있는 모니터링 명령으로는 리눅스 OS 환경에서 동작하는 "TCPDump" 등이 있을 수 있으나 본 발명이 이에 한정되지 않고 다양한 OS 환경에서 다양한 네트워크 모니터링 명령을 사용할 수 있다. 모니터링 실행부(340)는 모니터링 명령을 실행함에 있어서, 프로그램 코드(360)가 통신 중계기(310)에서 실행되는 경우 자동으로 실행되도록 할 수도 있으나 사용자로부터 모니터링 명령을 실행하라는 사용자 명령을 수신하여 모니터링 명령의 실행 동작을 수행할 수도 있으며, 모니터링 명령의 실행 시점은 특정되지 않고 어느 시점에서 실행되도록 해도 무방할 것이다.The monitoring execution unit 340 executes a monitoring command to monitor packet contents on the network connected to the communication repeater 310 on the operating system 210 in the communication repeater 310. [ As a monitoring command that can be used here, there may be a "TCPDump" operating in a Linux OS environment, but the present invention is not limited thereto and various network monitoring commands can be used in various OS environments. In executing the monitoring command, the monitoring executing unit 340 may automatically execute the program code 360 when the program code 360 is executed in the communication repeater 310. However, the monitoring executing unit 340 may receive the user command to execute the monitoring command from the user, And the execution timing of the monitoring command is not specified but may be executed at any point in time.

TCPDump 명령어는 통신 프로토콜 상에서 TCP/IP 레이어(Layer)의 모든 트래픽 메시지를 캡처할 수 있으므로, 해킹 수단으로 이용될 때, 일부 네트워크 구간에서 패킷 데이터의 암호가 해제된 상태에서 캡처하는 수단으로서의 위험성을 갖고 있다.Since the TCPDump command can capture all the traffic messages of the TCP / IP layer on the communication protocol, the TCPDump command has a danger of being used as a means of capturing when the encryption of the packet data is released in some network sections have.

실례로 TCPDump를 통해, IPSec 프로토콜을 이용하는 장치(예컨대 Femto AP(110))의 패킷 데이터에 접근하면, Femto AP(110)가 데이터 패킷을 수신하는 경우 암호화된 패킷 상태에서 한 번 캡처되고(도 2의 a 시점), IPSec 복호화 처리 후 데이터 패킷이 비암호화된 상태에서 다시 한 번 캡처되는 경우(도 2의 b 시점)가 발생할 수 있으므로 비암호화된 데이터의 해킹이 가능하게 된다. 이와 반대로, 패킷을 송신하는 경우에는 IPSec 암호화 처리 단계를 거쳐 암호화한 후에는(도 2의 d 시점) 데이터 패킷을 캡처해도 패킷의 내용을 확인할 수 없지만 IPSec 암호화 단계 이전에 데이터 패킷을 캡처하는 경우에는(도 2의 c 시점) 패킷의 정보를 해킹할 수 있다.For example, when accessing the packet data of a device using the IPSec protocol (e.g., Femto AP 110) via TCPDump, once the Femto AP 110 receives the data packet, it is captured once in the encrypted packet state (At time point " a " in Fig. 2), and when the data packet is captured once again after the IPSec decryption process in a state where the data packet is not encrypted, hacking of the unencrypted data becomes possible. On the contrary, in the case of transmitting a packet, the content of the packet can not be confirmed even after the data packet is captured after the IPSec encryption processing step (point of time d in FIG. 2). However, if the data packet is captured before the IPSec encryption step (Time point c in FIG. 2) packets can be hacked.

한편, TCPDump 명령어는 IP Layer를 거치는 모든 패킷을 캡처하므로, 해당 장치의 O/S에서 근본적으로 캡처를 막을 방법은 없으며, TCPDump 명령어는 개발/검증 과정에서 유용하게 이용되므로 명령어 자체를 제한할 수 없다. 전술하였듯이, TCPDump 이외에도 패킷을 캡처할 수 있는 Command는 다양하게 존재하므로, TCPDump Command와 같은 명령어를 이용하면서도 소규모 셀(특히, Femto) 등과 같은 환경에서 암호화된 상태의 패킷 데이터만 캡처 가능하도록 한다.On the other hand, since the TCPDump command captures all packets passing through the IP layer, there is no way to prevent capturing from the O / S of the corresponding device, and the TCPDump command is useful in the development / verification process, . As described above, in addition to the TCPDump command, there are a variety of commands for capturing packets. Therefore, only a packet data in an encrypted state can be captured in an environment such as a small cell (especially, Femto) while using a command such as a TCPDump command.

실행위치 설정부(350)는 암호화된 수신 데이터 패킷에 대하여 복호화코드의 실행을 지연하는 실행위치 설정명령인 지연명령을 수신하여 처리한다.The execution position setting unit 350 receives and processes a delay command which is an execution position setting command for delaying the execution of the decryption code on the encrypted received data packet.

도 4는 암호화된 수신 데이터 패킷에 대하여 복호화 모듈의 실행위치와 해킹 가능성과의 관계를 예시한 도면이다.4 is a diagram illustrating the relationship between the execution position of the decryption module and the possibility of hacking on the encrypted received data packet.

도 4에서 프로그램 코드(360)가 실행되는 상황에서, 통신 중계기(310)로 데이터 패킷이 수신되었을 때, TCPDump 명령어를 통신 중계기(310) 내에서 실행한 결과 비암호화된 상태에서 수신된 데이터 패킷의 접근이 가능하다면 해당 수신 데이터 패킷은 TCPDump에 의한 해킹이 가능한 구간 내의 한 시점 A에서 데이터 패킷을 복호화하기 위한 코드(즉, 복호화 모듈)가 실행되는 것으로 볼 수 있다. 따라서, 복호화 모듈은 그 실행시점(즉, 실행위치)이 TCPDump에 의한 해킹이 불가능한 구간 내의 한 시점 B로 이동시킬 필요가 있다. 4, when the data packet is received by the communication repeater 310 in the state where the program code 360 is executed, the data packet received in the non-encrypted state as a result of executing the TCPDump command in the communication repeater 310 If access is possible, the received data packet can be regarded as a code for decrypting the data packet (i.e., decryption module) at a point A in a section where hacking by TCPDump is possible. Therefore, the decryption module needs to move its execution time (i.e., execution position) to a point B within a section where hacking by the TCPDump is impossible.

실행위치 설정부(350)는 모니터링 실행부(340)에서의 모니터링의 결과에 따라, 즉, TCPDump 명령어 의한 데이터 해킹 가능 여부에 따라 지연명령을 수신하여 처리한다.The execution location setting unit 350 receives and processes the delay command according to a result of monitoring by the monitoring execution unit 340, that is, whether or not data can be hacked by the TCPDump command.

실행위치 설정부(350)는 지연명령을 수신하여 복호화코드의 실행을 지연하는 지연명령 코드를 삽입한 복호화코드가 포함되는 프로그램 코드를 컴파일하여 실행화일을 다시 생성한다. 여기서 생성된 실행화일이 통신 중계기(310)에 재탑재되어 실행되는 경우 복호화코드의 실행이 지연된다.The execution position setting unit 350 generates the executable file by compiling the program code including the decoded code having the delay command code for receiving the delay command and delaying the execution of the decoded code. When the generated executable file is re-loaded into the communication repeater 310 and executed, the execution of the decoded code is delayed.

도 5는 프로그램 코드 내에서 복호화 코드의 실행위치에 대하여 예시한 도면이다.5 is a diagram illustrating an execution position of a decoded code in the program code.

도 5에 도시한 바와 같이 (a)는 TCPDump에 의한 해킹이 가능한 구간 내의 한 시점에서 동작하는 복호화 코드의 위치를 도시한 것이고, 도 5의 (b) 및 (c)는 실행시기가 일정 시간 지연된 복호화 코드의 위치를 도시한 것이다.As shown in FIG. 5, (a) shows the location of a decoded code that operates at one point in a section where hacking by TCP Dump is possible, and (b) and (c) And the location of the decoded code.

도 5에서 복호화 코드의 실행시기를 지연하는 방법으로는 도 5의 (b)와 같이 복호화 코드 내에서 복호화 처리가 시작되기 전의 위치에 sleep()과 같은 지연명령 코드를 삽입하는 방법이 있다. sleep() 명령을 사용하는 경우 sleep() 명령 이후의 코드의 실행이 설정된 일정 시간 동안 지연되는 효과를 갖는다. 또한, 복호화 코드의 실행시기를 지연하는 다른 방법으로는 도 5의 (c)와 같이 복호화 코드가 실행 시작되는 위치를 뒤로 이동시키는 방법이 있다.As a method of delaying the execution timing of the decoded code in Fig. 5, there is a method of inserting a delay instruction code such as sleep () at the position before the decoding process starts in the decoded code as shown in Fig. When using the sleep () command, the execution of the code after the sleep () command is delayed for a set period of time. Another method of delaying the execution timing of the decoded code is to move the position where the decoded code is executed backward as shown in Fig. 5 (c).

실행위치 설정부(350)는 TCPDump에 대한 모니터링의 결과를 확인하여 그 결과에 따라 sleep()과 같은 지연명령 코드를 복호화 코드 앞 부분에 삽입한다.The execution location setting unit 350 checks the result of the monitoring of the TCPDump and inserts a delay command code such as sleep () in front of the decryption code according to the result of monitoring.

지연명령 코드는 실행위치 설정부(350)가 해당 복호화 코드의 내용을 확인하여 sleep() 코드를 삽입할 수도 있으며, sleep()이 이미 설정되어 있는 경우는 sleep 시간을 수정하는 방법으로 지연 시간을 제어할 수도 있다. 경우에 따라서 실행위치 설정부(350)는 사용자가 복호화 코드를 편집하여 해당 위치에 sleep() 명령을 입력할 수 있도록 인터페이스를 제공하여 사용자의 sleep() 명령 입력에 따른 복호화 코드의 실행지연이 발생하도록 할 수도 있다.The delay command code may be configured such that the execution position setting unit 350 checks the content of the decoded code and inserts a sleep () code. If sleep () is already set, the delay time is corrected Control. In some cases, the execution position setting unit 350 provides an interface for the user to edit the decoded code and input the sleep () command at the corresponding position, thereby causing execution delay of the decoded code according to the user's sleep () command input .

실행위치 설정부(350)는 TCPDump에 대한 모니터링의 결과 점차적으로 복호화 코드의 실행시간을 뒤로 지연하면서 실행지연시간을 조절한다. TCPDump에 대한 모니터링의 결과 해킹이 가능한 것으로 판단되면 일정시간(예컨대 1초)만큼 복호화 코드의 실행지연시간을 지연하도록 프로그램 코드를 수정한다. 이러한 과정으로 프로그램 코드가 실행화일로 생성되고 통신 중계기(310)에 재탑재되어 실행된다. 이때 다시 TCPDump에 의한 모니터링의 결과를 확인하여 해킹이 가능한 것으로 판단되면 다시 1초만큼 더 복호화 코드의 실행지연시간을 지연하도록 프로그램 코드를 수정한다. 이와 같이 프로그램 코드를 실행하는 과정 및 지연명령을 수신하고 복호화코드의 실행을 지연하도록 설정하여 지연을 처리하는 과정은 모니터링된 데이터가 암호화된 데이터임이 확인될 때까지 반복한다. 여기서 일정시간을 1초로 가정하였으나 여기에 한정되지 않는다.As a result of monitoring the TCPDump, the execution location setting unit 350 gradually adjusts the execution delay time while delaying the execution time of the decryption code. If it is determined that hacking is possible as a result of monitoring for TCPDump, the program code is modified to delay the execution delay time of the decoded code by a predetermined time (for example, 1 second). In this process, the program code is generated as an executable file and re-mounted on the communication repeater 310 to be executed. At this time, if the result of the monitoring by the TCPDump is checked again and it is judged that the hacking is possible, the program code is modified so that the execution delay time of the decoded code is further delayed by 1 second. The process of executing the program code and the process of receiving the delay command and delaying the execution of the decryption code and processing the delay are repeated until the monitored data is confirmed as the encrypted data. Here, the predetermined time is assumed to be 1 second, but the present invention is not limited thereto.

도 6은 통신 중계기(310)에서 생성된 데이터 패킷을 네트워크로 전송하기 전에 암호화하는 암호화 모듈의 실행위치와 해킹 가능성과의 관계를 예시한 도면이다.6 is a diagram illustrating a relationship between an execution position of an encryption module for encrypting a data packet generated by the communication repeater 310 before transmission to the network and a possibility of hacking.

실행위치 설정부(350)는 통신 중계기(310)에서 생성된 데이터 패킷을 암호화하는 암호화코드의 실행 시점이 빨라지도록 하는 실행위치 설정명령을 수신하여 처리한다.The execution position setting unit 350 receives and processes an execution position setting command for causing the execution timing of the encryption code for encrypting the data packet generated in the communication repeater 310 to be faster.

도 6에서 프로그램 코드(360)가 실행되는 상황에서, 통신 중계기(310)에서 데이터 패킷이 생성되어 네트워크로 전송할 때, TCPDump 명령어를 통신 중계기(310) 내에서 실행한 결과 비암호화된 상태의 송신 데이터 패킷의 접근이 가능하다면 해당 송신 데이터 패킷은 TCPDump에 의한 해킹이 가능한 구간 내의 한 시점 D에서 데이터 패킷을 암호화하기 위한 코드(즉, 암호화 모듈)가 실행되는 것으로 볼 수 있다. 따라서, 암호화 모듈은 그 실행시점이 TCPDump에 의한 해킹이 불가능한 구간 내의 한 시점 C로 이동시킬 필요가 있다.6, when a data packet is generated in the communication repeater 310 and is transmitted to the network, when the TCPDump command is executed in the communication repeater 310, the transmission data in the non-encrypted state If it is possible to access the packet, the corresponding transmission data packet can be regarded as a code for encrypting the data packet (i.e., an encryption module) at a point of time D within a section where hacking by TCPDump is possible. Therefore, the cryptographic module needs to move its execution point to a point C within a section where hacking by the TCPDump is impossible.

실행위치 설정부(350)는 모니터링 실행부(340)에서의 모니터링의 결과에 따라, 즉, TCPDump 명령어 의한 데이터 해킹 가능 여부에 따라 암호화코드의 실행 시점이 빨라지도록 하는 실행위치 설정명령을 수신하여 처리한다.The execution position setting unit 350 receives an execution position setting command for causing the execution timing of the encryption code to be faster according to the monitoring result in the monitoring execution unit 340, that is, whether data can be hacked by the TCPDump command, do.

실행위치 설정부(350)는 암호화코드의 실행시작 시간을 앞당기기 위하여, 암호화코드에 하나 이상의 지연명령 코드가 삽입되어 있는 경우에는 하나 이상의 지연명령 코드 중 일부 또는 전부의 지연명령 코드를 삭제한 암호화코드가 포함되는 프로그램 코드를 컴파일하여 실행화일을 다시 생성한다. 암호화코드에 지연시간을 지정하는 지연명령 코드가 삽입되어 있는 경우에는 지연 시간을 재설정한 암호화코드가 포함되는 프로그램 코드를 컴파일하여 실행화일을 다시 생성한다. 여기서 생성된 실행화일이 통신 중계기(310)에 재탑재되어 실행되는 경우 암호화코드의 실행이 지연된다.When one or more delay command codes are inserted into the encrypted code, the execution position setting unit 350 sets the execution command to the encryption Compile the program code containing the code and regenerate the executable file. If a delay command code for specifying a delay time is inserted in the encryption code, the program code including the encryption code for which the delay time is reset is compiled to generate the executable file again. The execution of the encrypted code is delayed when the executable file generated here is reloaded to the communication repeater 310 and executed.

도 7은 프로그램 코드 내에서 암호화 코드의 실행위치에 대하여 예시한 도면이다.7 is a diagram illustrating an execution position of an encryption code in the program code.

도 7의 (a)는 TCPDump에 의한 해킹이 가능한 구간 내의 한 시점에서 동작하는 암호화 코드 앞에 지연명령 코드 sleep()이 존재하는 경우의 실행시점 앞당기기 명령 처리 전 후를 도시한 것이고, 도 7의 (b)는 실행시점이 일정 시간 앞당겨진 암호화 코드의 실행위치의 변화를 도시한 것이다.7 (a) shows the state before and after the execution time advance instruction processing when the delay instruction code sleep () exists in front of the encryption code operating at a time point within the hackable section by the TCPDump, and FIG. 7 (b) shows a change in the execution position of the encryption code whose execution time is earlier by a certain time.

도 7에서 암호화 코드의 실행시점을 앞당기는 방법으로는 도 7의 (b)와 같이 암호화 코드 내에서 암호화 처리가 시작되기 전의 위치에 존재하는 sleep()과 같은 지연명령 코드를 일부 또는 전부를 삭제하는 방법이 있다. 또한, 암호화 코드의 실행시점을 앞당기는 다른 방법으로는 도 7의 (c)와 같이 암호화 코드(Encrypt())가 실행 시작되는 위치를 현재의 위치보다 더 앞으로 이동시키는 방법이 있다.As a method of advancing the execution timing of the encrypted code in Fig. 7, a method of deleting a part or all of the delay command code such as sleep () existing at a position before the encryption processing starts in the encrypted code as shown in Fig. There is a way. Another method for advancing the execution timing of the encryption code is to move the position where the encryption code (Encrypt ()) starts to run ahead of the current position as shown in Fig. 7 (c).

실행위치 설정부(350)는 해당 복호화 코드의 내용을 확인하여 sleep() 코드의 일부 또는 전부를 삭제하거나, 슬립 시간이 sleep()에 설정되어 있는 경우는 sleep 시간을 수정하는 방법으로 지연 시간을 제어할 수도 있다. 경우에 따라서 실행위치 설정부(350)는 사용자가 암호화 코드를 편집하여 해당 위치의 sleep() 명령을 편집할 수 있도록 인터페이스를 제공하여 사용자의 sleep() 명령 삭제 또는 프로그램 코드 편집에 따라 암호화 코드의 실행시점이 앞당겨지도록 할 수도 있다.The execution position setting unit 350 checks the contents of the decoded code to delete part or all of the sleep () code, or modifies the sleep time if the sleep time is set to sleep () Control. The execution position setting unit 350 may provide an interface so that the user can edit the encryption code and edit the sleep () command at the corresponding position to delete the sleep () command of the user or edit the program code The execution time may be advanced.

실행위치 설정부(350)는 TCPDump에 대한 모니터링의 결과 점차적으로 암호화 코드의 실행시점을 앞으로 앞당기면서 실행시간을 조절한다. TCPDump에 대한 모니터링의 결과 해킹이 가능한 것으로 판단되면 일정시간(예컨대 1초)만큼 암호화 코드의 실행시점을 더 앞당기도록 프로그램 코드를 수정한다. 이러한 과정으로 프로그램 코드가 실행화일로 생성되고 통신 중계기(310)에 재탑재되어 실행된다. 이때 다시 TCPDump에 의한 모니터링의 결과를 확인하여 해킹이 가능한 것으로 판단되면 다시 1초만큼 더 암호화 코드의 실행시점을 앞당기도록 프로그램 코드를 수정한다. 이와 같이 프로그램 코드를 실행하는 과정 및 앞당기기 명령을 수신하고 암호화코드의 실행시점을 앞당기도록 설정하여 처리하는 과정은 모니터링된 송신 데이터 패킷이 암호화된 데이터임이 확인될 때까지 반복한다. 여기서 일정시간을 1초로 가정하였으나 여기에 한정되지 않는다.As a result of monitoring the TCPDump, the execution location setting unit 350 gradually adjusts the execution time while advancing the execution timing of the encrypted code forward. If it is determined that hacking is possible as a result of monitoring the TCPDump, the program code is modified so that the execution time of the encrypted code is further advanced by a predetermined time (for example, one second). In this process, the program code is generated as an executable file and re-mounted on the communication repeater 310 to be executed. At this time, if the result of the monitoring by the TCPDump is checked again and it is judged that the hacking is possible, the program code is modified so that the execution time of the encryption code is advanced by 1 second again. The process of executing the program code and the process of setting the execution time of the encryption code ahead of the process of receiving the advance code instruction and processing are repeated until the monitored transmission data packet is confirmed to be encrypted data. Here, the predetermined time is assumed to be 1 second, but the present invention is not limited thereto.

도 8은 본 발명의 제1 실시예에 따른 보안 방법을 개략적으로 나타낸 흐름도이다.8 is a flowchart schematically illustrating a security method according to the first embodiment of the present invention.

본 발명의 제1 실시예에 따른 보안 방법은, 통신 중계기(310)에서 수신한 암호화 데이터를 복호화하는 복호화코드를 포함하는 프로그램 코드를 통신 중계기(310)에 탑재하는 과정(S810), 통신 중계기(310)에서 프로그램 코드를 실행하는 과정(S820), 통신 중계기(310)에서 네트워크 상의 데이터 내용을 모니터링하는 모니터링 명령을 실행하는 과정(S830) 및 복호화코드의 실행을 지연하는 지연명령을 수신하여 복호화코드의 실행을 지연하도록 설정하는 과정(S840)을 포함한다.The security method according to the first embodiment of the present invention includes the steps of mounting a program code including a decryption code for decrypting the encrypted data received by the communication repeater 310 to the communication repeater 310 in operation S810, A step S820 of executing a monitoring command for monitoring the contents of data on the network at the communication repeater 310 and a step of receiving a delay command for delaying the execution of the decoded code, (Step S840).

탑재하는 과정(S810)에서는 암호화된 수신데이터(수신패킷)를 복호화하는 복호화코드를 포함하는 프로그램 코드(360)를 통신 중계기(310)에 탑재한다. 프로그램 코드(360)는 통신 중계기(310)가 네트워크에서 패킷을 송신 또는 수신하는 기능을 수행하도록 프로그램 언어로 생성된 소스코드 및 소스코드를 컴파일하여 생성된 실행코드 중 적어도 하나를 포함한다. 여기서 탑재부(320)가 프로그램 코드(360)를 탑재하는 동작은 자동으로 수행할 수도 있으나 사용자로부터 프로그램 코드(360)를 탑재하라는 탑재 명령을 수신하여 프로그램 코드(360)의 탑재 동작을 수행할 수도 있다.In step S810, the communication repeater 310 loads a program code 360 including a decoded code for decrypting the encrypted received data (received packet). The program code 360 includes at least one of the source code generated in a programming language and the execution code generated by compiling the source code so that the communication repeater 310 performs a function of transmitting or receiving a packet in the network. Here, the mounting unit 320 may automatically perform the operation of mounting the program code 360, but may perform the mounting operation of the program code 360 by receiving the mounting instruction to mount the program code 360 from the user .

프로그램 코드를 실행하는 과정(S820)에서는 프로그램 코드(360)를 실행함에 있어서, 프로그램 코드(360)가 통신 중계기(310)에 탑재되는 경우 자동으로 실행되도록 할 수도 있으나 사용자로부터 프로그램 코드(360)를 실행하라는 실행명령을 수신하여 프로그램 코드(360)의 실행 동작을 수행할 수도 있다.In the process of executing the program code (S820), when the program code 360 is loaded into the communication repeater 310, the program code 360 may be automatically executed, but the program code 360 may be transmitted from the user It may execute an execution operation of the program code 360 by receiving an execution command to execute.

모니터링 명령을 실행하는 과정(S830)에서는, 통신 중계기(310) 내의 운영체제(210) 상에서 통신 중계기(310)와 연결된 네트워크 상의 패킷 내용을 모니터링하는 모니터링 명령을 실행한다. 여기서 사용될 수 있는 모니터링 명령으로는 리눅스 OS 환경에서 동작하는 "TCPDump" 등에 한정되지 않고 다양한 OS 환경에서 다양한 네트워크 모니터링 명령을 사용할 수 있다.In the process of executing the monitoring command (S830), a monitoring command for monitoring the packet contents on the network connected to the communication repeater 310 is executed on the operating system 210 in the communication repeater 310. [ The monitoring commands that can be used here are not limited to "TCPDump" operating in the Linux OS environment, but various network monitoring commands can be used in various OS environments.

지연명령을 처리하는 과정(S840)에서는, 모니터링 명령을 실행하는 과정(S830)에서의 모니터링 결과에 따라, 즉, TCPDump 명령어 의한 데이터 해킹 가능 여부에 따라 처리명령을 수신하며, 복호화코드의 실행을 지연하는 지연명령 코드가 삽입된 복호화코드 또는 실행 시점이 지연되어 위치하는 복호화코드를 포함하는 프로그램 코드를 컴파일하여 실행화일을 다시 생성한다. 여기서 생성된 실행화일이 통신 중계기(310)에 재탑재되어 실행되는 경우 복호화코드의 실행이 지연된다.In the process of processing the delay command (S840), the processing command is received according to the monitoring result in the process of executing the monitoring command (S830), that is, whether the data can be hacked by the TCPDump command and the execution of the decoded code is delayed And the decoded code in which the delay command code is inserted or the decoded code in which the execution time point is delayed is generated and the executable file is generated again. When the generated executable file is re-loaded into the communication repeater 310 and executed, the execution of the decoded code is delayed.

도 8에서는 단계 S810 내지 단계 S840를 순차적으로 실행하는 것으로 기재하고 있으나, 이는 본 실시예의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 실시예가 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 실시예의 본질적인 특성에서 벗어나지 않는 범위에서 도 8에 기재된 순서를 변경하여 실행하거나 단계 S810 내지 단계 S840 중 하나 이상의 단계를 병렬적으로 실행하는 것으로 다양하게 수정 및 변형하여 적용 가능할 것이다.Although it is described that steps S810 to S840 are sequentially executed in Fig. 8, it is only described as an example of the technical idea of the present embodiment. If the person skilled in the art to which this embodiment belongs, Various modifications and changes may be made to those skilled in the art without departing from the essential characteristics by changing the order described in FIG. 8 or executing one or more of steps S810 to S840 in parallel.

도 9는 본 발명의 제2 실시예에 따른 보안 방법을 개략적으로 나타낸 흐름도이다.9 is a flowchart schematically showing a security method according to a second embodiment of the present invention.

본 발명의 제2 실시예에 따른 보안 방법은, 통신 중계기(310)에서 통신 중계기(310)에서 생성된 데이터 패킷을 네트워크로 전송하기 전에 암호화하는 암호화코드를 포함하는 프로그램 코드를 통신 중계기(310)에 탑재하는 과정(S910), 통신 중계기(310)에서 프로그램 코드를 실행하는 과정(S920), 통신 중계기(310)에서 네트워크 상의 데이터 내용을 모니터링하는 모니터링 명령을 실행하는 과정(S930) 및 암호화코드의 실행시점을 앞당기는 앞당기기 명령을 수신하여 암호화코드의 실행시점을 앞당기도록 설정하는 과정(S940)을 포함한다.The security method according to the second embodiment of the present invention includes a communication repeater 310 for transmitting a program code including an encryption code for encrypting a data packet generated by the communication repeater 310 before transmission to the network, (S930) of executing the program code in the communication repeater 310 (S920); executing a monitoring command (S930) of monitoring the contents of data on the network by the communication repeater 310; And a step (S940) of receiving the advance instruction to advance the execution time and setting the execution time of the encrypted code to be advanced.

탑재하는 과정(S910)에서는 통신 중계기(310)에서 생성된 데이터 패킷을 네트워크로 전송하기 전에 암호화하는 암호화코드를 포함하는 프로그램 코드를 통신 중계기(310)에 탑재한다. 프로그램 코드(360)는 통신 중계기(310)가 네트워크에서 패킷을 송신 또는 수신하는 기능을 수행하도록 프로그램 언어로 생성된 소스코드 및 소스코드를 컴파일하여 생성된 실행코드 중 적어도 하나를 포함한다. 여기서 탑재부(320)가 프로그램 코드(360)를 탑재하는 동작은 자동으로 수행할 수도 있으나 사용자로부터 프로그램 코드(360)를 탑재하라는 탑재 명령을 수신하여 프로그램 코드(360)의 탑재 동작을 수행할 수도 있다.In step S910, the communication repeater 310 loads a program code including an encryption code for encrypting the data packet generated by the communication repeater 310 before transmission to the network. The program code 360 includes at least one of the source code generated in a programming language and the execution code generated by compiling the source code so that the communication repeater 310 performs a function of transmitting or receiving a packet in the network. Here, the mounting unit 320 may automatically perform the operation of mounting the program code 360, but may perform the mounting operation of the program code 360 by receiving the mounting instruction to mount the program code 360 from the user .

프로그램 코드를 실행하는 과정(S920)은 도 8에서의 프로그램 코드를 실행하는 과정(S820)과 동일하므로 더 이상의 상세한 설명은 생략한다.The process of executing the program code (S920) is the same as the process (S820) of executing the program code of FIG. 8, and thus the detailed description thereof will be omitted.

모니터링 명령을 실행하는 과정(S930)은 도 8에서의 모니터링 명령을 실행하는 과정(S830)과 동일하므로 더 이상의 상세한 설명은 생략한다.The process of executing the monitoring command (S930) is the same as the process of executing the monitoring command (S830) in Fig. 8, and thus the detailed description will be omitted.

앞당기기 명령을 처리하는 과정(S940)에서는, 모니터링 명령을 실행하는 과정(S930)에서의 모니터링의 결과에 따라, 즉, TCPDump 명령어 의한 데이터 해킹 가능 여부에 따라 처리명령을 수신하며, 암호화코드의 실행시점을 앞당기는 앞당기기 명령 코드가 삽입된 암호화코드 또는 실행시점을 앞당겨진 암호화코드를 포함하는 프로그램 코드를 컴파일하여 실행화일을 다시 생성한다. 여기서 생성된 실행화일이 통신 중계기(310)에 재탑재되어 실행되는 경우 암호화코드의 실행시점이 앞당겨진다.In the process of processing the advance instruction (S940), a process instruction is received according to the result of monitoring in the process of executing the monitoring instruction (S930), that is, whether or not data can be hacked by the TCPDump instruction, The program code including the encryption code in which the advance instruction code is inserted or the encryption code in which the execution time is advanced is compiled and the executable file is generated again. When the executable file generated here is re-loaded into the communication repeater 310 and executed, the execution time of the encrypted code is advanced.

도 9에서는 단계 S910 내지 단계 S940를 순차적으로 실행하는 것으로 기재하고 있으나, 이는 본 실시예의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 실시예가 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 실시예의 본질적인 특성에서 벗어나지 않는 범위에서 도 6에 기재된 순서를 변경하여 실행하거나 단계 S910 내지 단계 S940 중 하나 이상의 단계를 병렬적으로 실행하는 것으로 다양하게 수정 및 변형하여 적용 가능할 것이다.9, it is described that steps S910 to S940 are sequentially executed. However, this is merely an example of the technical idea of the present embodiment, and it will be understood by those skilled in the art that the present embodiment It is to be understood that various changes and modifications may be made to those skilled in the art without departing from the essential characteristics thereof by changing the order described in FIG. 6 or executing one or more of steps S910 to S940 in parallel.

전술한 바와 같이 도 8 및 도 9에 기재된 본 실시예에 따른 보안 장치(300)의 동작은 각각 프로그램으로 구현되고 컴퓨터로 읽을 수 있는 기록매체에 기록될 수 있다. 본 실시예에 따른 보안 장치(300)의 동작을 구현하기 위한 프로그램이 기록되고 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 이러한 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광 데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어, 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수도 있다. 또한, 본 실시예를 구현하기 위한 기능적인(Functional) 프로그램, 코드 및 코드 세그먼트들은 본 실시예가 속하는 기술분야의 프로그래머들에 의해 용이하게 추론될 수 있을 것이다.As described above, the operations of the security device 300 according to the present embodiment described in Figs. 8 and 9 can be realized by a program and recorded in a computer-readable recording medium, respectively. A program for implementing the operation of the security device 300 according to the present embodiment is recorded, and a computer-readable recording medium includes all kinds of recording devices for storing data that can be read by a computer system. Examples of such computer-readable recording media include ROM, RAM, CD-ROM, magnetic tape, floppy disk, optical data storage, etc., and also implemented in the form of a carrier wave (e.g., transmission over the Internet) . The computer readable recording medium may also be distributed over a networked computer system so that computer readable code is stored and executed in a distributed manner. In addition, functional programs, codes, and code segments for implementing the present embodiment can be easily inferred by programmers in the technical field to which the present embodiment belongs.

이상의 설명은 본 실시예의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 실시예가 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 실시예의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 실시예들은 본 실시예의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 실시예의 기술 사상의 범위가 한정되는 것은 아니다. 본 실시예의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 실시예의 권리범위에 포함되는 것으로 해석되어야 할 것이다.The foregoing description is merely illustrative of the technical idea of the present embodiment, and various modifications and changes may be made to those skilled in the art without departing from the essential characteristics of the embodiments. Therefore, the present embodiments are to be construed as illustrative rather than restrictive, and the scope of the technical idea of the present embodiment is not limited by these embodiments. The scope of protection of the present embodiment should be construed according to the following claims, and all technical ideas within the scope of equivalents thereof should be construed as being included in the scope of the present invention.

이상에서 설명한 바와 같이 본 실시예는 통신 중계장치에 사용되어, 네트워크 데이터 접근 명령을 이용한 해킹 시도 시에 트래픽 데이터의 보안 위험성이 줄어드는 효과를 발생하는 유용한 발명이다.As described above, the present embodiment is a useful invention that is used in a communication relay apparatus and causes a security risk of traffic data to be reduced when a hacking attempt is made using a network data access command.

100: LTE Femto 망
110: Femto AP
120: HeNB 게이트웨이
121: SeGW
130: 단말기
210: 운영체제
310: 통신 중계기
320: 탑재부
330: 프로그램 실행부
340: 모니터링 실행부
350: 실행위치 설정부
360: 프로그램 코드100: LTE Femto Network
110: Femto AP
120: HeNB gateway
121: SeGW
130: terminal
210: Operating system
310: communication repeater
320:
330: Program execution unit
340: Monitoring execution unit
350: Execution position setting section
360: Program code

Claims (9)

통신 중계기에서 네트워크로부터 암호화 데이터를 수신하여 복호화하는 과정의 보안을 개선하는 방법에 있어서,
상기 암호화 데이터를 복호화하는 복호화코드를 포함하는 프로그램 코드를 상기 통신 중계기에 탑재하는 과정;
상기 통신 중계기에서 상기 프로그램 코드를 실행하는 과정;
상기 통신 중계기에서 상기 네트워크 상의 데이터 내용을 모니터링하는 모니터링 명령을 실행하는 과정; 및
상기 복호화코드의 실행을 지연하는 지연명령을 수신하여 처리하는 과정
을 포함하는 것을 특징으로 하는 보안 방법.A method for improving the security of receiving and decrypting encrypted data from a network in a communication repeater,
Installing a program code including a decryption code for decrypting the encrypted data in the communication repeater;
Executing the program code in the communication repeater;
Executing a monitoring command to monitor data contents on the network in the communication repeater; And
A step of receiving and processing a delay command for delaying the execution of the decoded code
The method comprising the steps of: 제1항에 있어서,
상기 지연명령을 수신하여 처리하는 과정은 상기 모니터링의 결과에 따라 수행되는 것을 특징으로 하는 보안 방법.The method according to claim 1,
Wherein the step of receiving and processing the delay command is performed according to a result of the monitoring. 제1항에 있어서,
상기 지연명령은, 상기 복호화코드의 실행을 지연하는 지연명령 코드의 삽입과 관련된 명령인 것을 특징으로 하는 보안 방법.The method according to claim 1,
Wherein the delay command is an instruction related to inserting a delay command code to delay execution of the decryption code. 제1항에 있어서,
상기 프로그램 코드를 실행하는 과정 및 상기 지연명령을 수신하여 처리하는 과정은,
상기 모니터링의 결과를 확인하여 상기 모니터링된 데이터가 암호화된 데이터임이 확인될 때까지 반복되는 것을 특징으로 하는 보안 방법.The method according to claim 1,
The process of executing the program code and the process of receiving and processing the delay command include:
Checking the result of the monitoring and repeating until the monitored data is confirmed to be encrypted data. 통신 중계기에서 생성된 데이터를 암호화하는 과정의 보안을 개선하는 방법에 있어서,
상기 데이터를 암호화하는 암호화코드를 포함하는 프로그램 코드를 상기 통신 중계기에 탑재하는 과정;
상기 통신 중계기에서 상기 프로그램 코드를 실행하는 과정;
상기 통신 중계기에서 네트워크 상의 데이터 내용을 모니터링하는 모니터링 명령을 실행하는 과정; 및
상기 모니터링의 결과에 따라 상기 암호화코드의 실행시점을 앞당기는 앞당기기 명령을 수신하여 처리하는 과정
을 포함하는 것을 특징으로 하는 보안 방법.A method for improving security of a process of encrypting data generated in a communication repeater,
Installing a program code including an encryption code for encrypting the data into the communication repeater;
Executing the program code in the communication repeater;
Executing a monitoring command for monitoring the contents of data on the network by the communication repeater; And
And a process of receiving and processing an advance instruction to advance the execution time of the encryption code according to a result of the monitoring
The method comprising the steps of: 제5항에 있어서,
상기 앞당기기 명령은, 상기 암호화코드의 실행을 지연하는 지연명령 코드의 일부 또는 전부의 삭제와 관련된 명령인 것을 특징으로 하는 보안 방법.6. The method of claim 5,
Wherein the advance instruction is an instruction related to deleting a part or all of the delay instruction code that delays execution of the encryption code. 통신 중계기에서 네트워크로부터 암호화 데이터를 수신하여 복호화하는 과정의 보안을 개선하는 보안 장치에 있어서,
상기 암호화 데이터를 복호화하는 복호화코드를 포함하는 프로그램 코드를 상기 통신 중계기에 탑재하는 탑재부;
상기 통신 중계기에서 상기 프로그램 코드를 실행하는 프로그램 실행부;
상기 통신 중계기에서 상기 네트워크 상의 데이터 내용을 모니터링하는 모니터링 명령을 실행하는 모니터링 실행부; 및
상기 복호화코드의 실행을 지연하는 지연명령을 수신하여 처리하는 실행위치 설정부
를 포함하는 것을 특징으로 하는 보안 장치.A security device for improving security in a process of receiving and decrypting encrypted data from a network in a communication repeater,
A loading unit for loading a program code including a decryption code for decrypting the encrypted data into the communication repeater;
A program executing section for executing the program code in the communication repeater;
A monitoring executing unit for executing a monitoring command for monitoring data contents on the network in the communication repeater; And
An execution position setting unit for receiving and processing a delay command for delaying the execution of the decryption code,
The security device comprising: 제7항에 있어서, 상기 실행위치 설정부는,
상기 복호화코드의 실행을 지연하는 지연명령 코드의 삽입과 관련된 상기 지연명령을 수신하되, 상기 모니터링의 결과를 확인하여 상기 모니터링된 데이터가 암호화된 데이터임이 확인될 때까지 반복하여 상기 지연명령을 수신하여 처리하는 것을 특징으로 하는 보안 장치.8. The apparatus according to claim 7,
Receiving the delay command related to inserting a delay command code for delaying execution of the decryption code and checking the result of the monitoring and repeatedly receiving the delay command until it is confirmed that the monitored data is encrypted data Wherein the security device further comprises: 통신 중계기에서 생성된 데이터를 암호화하는 과정의 보안을 개선하는 보안 장치에 있어서,
상기 데이터를 암호화하는 암호화코드를 포함하는 프로그램 코드를 상기 통신 중계기에 탑재하는 탑재부;
상기 통신 중계기에서 상기 프로그램 코드를 실행하는 프로그램 실행부;
상기 통신 중계기에서 네트워크 상의 데이터 내용을 모니터링하는 모니터링 명령을 실행하는 모니터링 실행부; 및
상기 모니터링의 결과에 따라 상기 암호화코드의 실행시점을 앞당기는 앞당기기 명령을 수신하여 처리하는 실행위치 설정부
를 포함하는 것을 특징으로 하는 보안 장치.A security device for improving security of a process of encrypting data generated in a communication repeater,
A mounting unit for mounting a program code including an encryption code for encrypting the data to the communication repeater;
A program executing section for executing the program code in the communication repeater;
A monitoring executing unit for executing a monitoring command for monitoring the contents of data on the network by the communication repeater; And
And an execution position setting unit for receiving and processing the advance instruction for advancing the execution timing of the encryption code according to a result of the monitoring,
The security device comprising:
KR20140007950A 2014-01-22 2014-01-22 Method and Apparatus for Improving Security of Network and Communication Relay Apparatus Thereof KR101491731B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR20140007950A KR101491731B1 (en) 2014-01-22 2014-01-22 Method and Apparatus for Improving Security of Network and Communication Relay Apparatus Thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR20140007950A KR101491731B1 (en) 2014-01-22 2014-01-22 Method and Apparatus for Improving Security of Network and Communication Relay Apparatus Thereof

Publications (1)

Publication Number Publication Date
KR101491731B1 true KR101491731B1 (en) 2015-02-09

Family

ID=52591848

Family Applications (1)

Application Number Title Priority Date Filing Date
KR20140007950A KR101491731B1 (en) 2014-01-22 2014-01-22 Method and Apparatus for Improving Security of Network and Communication Relay Apparatus Thereof

Country Status (1)

Country Link
KR (1) KR101491731B1 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010101075A (en) * 1998-11-24 2001-11-14 추후보정 Apparatus and method for collecting and analyzing communications data
KR20040047632A (en) * 2002-11-26 2004-06-05 닛본 덴끼 가부시끼가이샤 Mobile communication base station device and qos control method and program thereof
JP2013077957A (en) 2011-09-30 2013-04-25 Brother Ind Ltd Relay device, encryption communication system, encryption communication program, and encryption communication method

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010101075A (en) * 1998-11-24 2001-11-14 추후보정 Apparatus and method for collecting and analyzing communications data
KR20040047632A (en) * 2002-11-26 2004-06-05 닛본 덴끼 가부시끼가이샤 Mobile communication base station device and qos control method and program thereof
JP2013077957A (en) 2011-09-30 2013-04-25 Brother Ind Ltd Relay device, encryption communication system, encryption communication program, and encryption communication method

Similar Documents

Publication Publication Date Title
TWI672933B (en) User-plane security for next generation cellular networks
EP3741145B1 (en) Profile handling of a communications device
KR101289530B1 (en) Method and apparatus for bearer and server independent parental control on smartphone, managed by the smartphone
KR101475462B1 (en) System for synchronizing cloud storage and files encrypted with an encryption key of the user
EP2973183B1 (en) Intra-computer protected communications between applications
KR102223412B1 (en) Chaotic-based synchronization for secure network communications
CN109818910B (en) Data transmission method, device and medium
EP4142327A1 (en) Method and apparatus for protecting communication
WO2016047115A1 (en) Analysis system, analysis device, analysis method, and storage medium having analysis program recorded therein
JP2017511619A (en) Secure voice and data method and system
KR20170069337A (en) Method and apparatus for protecting application and program made by the method
Klee et al. {NFCGate}: Opening the Door for {NFC} Security Research with a {Smartphone-Based} Toolkit
KR101491731B1 (en) Method and Apparatus for Improving Security of Network and Communication Relay Apparatus Thereof
US11937169B2 (en) Mobile office realization method, apparatus, device, and medium
WO2016047111A1 (en) Analysis system, analysis device, analysis method, and storage medium having analysis program recorded therein
TWI655550B (en) Data forwarding system
Zhou et al. Perils and mitigation of security risks of cooperation in mobile-as-a-gateway IoT
EP3806517A1 (en) Loading security information with restricted access
CN110476432B (en) Protection of monitoring media
CN108076135B (en) Terminal equipment unified management system based on security module and management method thereof
US8644514B2 (en) Security model for a relay network system
KR102289124B1 (en) Method for Constructing Virtual Private Network for Security of Internet of Things
CN111182548A (en) Pseudo network equipment identification method and communication device
TW201933904A (en) Trusted service management method and apparatus capable of supporting wireless network switching
WO2016047110A1 (en) Analysis system, analysis device, analysis method, and recording medium having analysis program recorded therein

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20180201

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20190131

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20191216

Year of fee payment: 6