KR102132490B1 - Method and apparatus for trust network configurations of mobile devices in software-defined network - Google Patents

Method and apparatus for trust network configurations of mobile devices in software-defined network Download PDF

Info

Publication number
KR102132490B1
KR102132490B1 KR1020180097019A KR20180097019A KR102132490B1 KR 102132490 B1 KR102132490 B1 KR 102132490B1 KR 1020180097019 A KR1020180097019 A KR 1020180097019A KR 20180097019 A KR20180097019 A KR 20180097019A KR 102132490 B1 KR102132490 B1 KR 102132490B1
Authority
KR
South Korea
Prior art keywords
manager
information
authentication
network nodes
protector
Prior art date
Application number
KR1020180097019A
Other languages
Korean (ko)
Other versions
KR20200021364A (en
Inventor
이형규
김기원
김병식
박혜숙
유윤식
이경휴
이종국
임진혁
전기철
정병창
정부금
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020180097019A priority Critical patent/KR102132490B1/en
Publication of KR20200021364A publication Critical patent/KR20200021364A/en
Application granted granted Critical
Publication of KR102132490B1 publication Critical patent/KR102132490B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W16/00Network planning, e.g. coverage or traffic planning tools; Network deployment, e.g. resource partitioning or cells structures
    • H04W16/18Network planning tools
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/143Termination or inactivation of sessions, e.g. event-controlled end of session
    • H04L67/145Termination or inactivation of sessions, e.g. event-controlled end of session avoiding end of session, e.g. keep-alive, heartbeats, resumption message or wake-up for inactive or interrupted session

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Cardiology (AREA)
  • General Health & Medical Sciences (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

이동형 장치들의 소프트웨어 정의 네트워크 기반 신뢰 네트워크 구성을 위한 방법이 개시된다. 이 방법은, 다수의 네트워크 노드들이, DDoS 공격으로부터 TA(Trust Access) 매니저를 보호하는 TA 보호기에게 인증 정보를 전송하고, 상기 TA 보호기가 상기 인증 정보를 상기 TA 매니저에게 포워딩하는 단계; 상기 TA 매니저가, 상기 인증 정보를 기반으로 상기 다수의 네트워크 노드들에 대한 인증 과정을 수행하고, 인증 성공 여부를 나타내는 인증 결과를 상기 TA 보호기에게 전송하는 단계; 상기 TA 보호기가, 상기 인증 결과에 따라 다수의 네트워크 노드들 중에서 인증된 네트워크 노드들에게 상기 TA 매니저와 연결되기 위한 연결 정보를 전송하여, 상기 인증된 네트워크 노드들이 상기 연결 정보를 기반으로 상기 TA 매니저와 제어 채널을 오픈하는 단계; 및 상기 TA 매니저가 상기 인증된 네트워크 노드들에게 상기 오픈된 제어 채널을 통해 데이터 채널 설정을 위한 데이터 채널 구축 정보를 전송하여, 상기 인증된 네트워크 노드들이 상기 데이터 채널 구축 정보를 기반으로 데이터 채널을 구축하는 단계를 포함한다.A method for configuring a software-defined network-based trust network of mobile devices is disclosed. The method includes the steps of: transmitting, by a plurality of network nodes, authentication information to a TA protector protecting a Trust Access (TA) manager from a DDoS attack, and forwarding the authentication information to the TA manager; The TA manager performing an authentication process for the plurality of network nodes based on the authentication information, and transmitting an authentication result indicating whether authentication is successful to the TA protector; The TA protector transmits connection information for connection with the TA manager to authenticated network nodes among a plurality of network nodes according to the authentication result, so that the authenticated network nodes are based on the connection information to the TA manager And opening a control channel; And the TA manager transmits data channel establishment information for establishing a data channel through the open control channel to the authenticated network nodes, so that the authenticated network nodes establish a data channel based on the data channel establishment information. It includes the steps.

Description

이동형 장치들의 소프트웨어 정의 네트워크 기반 신뢰 네트워크 구성을 위한 방법 및 장치{METHOD AND APPARATUS FOR TRUST NETWORK CONFIGURATIONS OF MOBILE DEVICES IN SOFTWARE-DEFINED NETWORK}METHOD AND APPARATUS FOR TRUST NETWORK CONFIGURATIONS OF MOBILE DEVICES IN SOFTWARE-DEFINED NETWORK

본 발명은 이동형 장치들 간의 신뢰적인 네트워크 구성과 관련된 것이다.The present invention relates to a reliable network configuration between mobile devices.

최근 소프트웨어적으로 네트워크의 연결성을 보장하고 관리하기 위한 기술들이 등장하고 있다. 소프트웨어 정의 네트워크(SDN: Software Defined Network) 기술, 소프트웨어 정의 경계(SDP: Software Defined Perimeter) 기술 등이 그 예이다. Recently, technologies for guaranteeing and managing network connectivity have appeared. Examples include software defined network (SDN) technology and software defined perimeter (SDP) technology.

SDN 기술은 네트워크의 설정 및 구축과 관리측면에서 연구되고 있는 기술이고 SDP 기술은 네트워크의 보안적인 측면에 집중하여 연구되고 있는 기술이다.SDN technology is a technology that is being studied in terms of network configuration, construction and management, and SDP technology is a technology that is focused on the security aspects of the network.

SDP 기술은 Controller(제어기), Initiator(요청자), Acceptor(승낙자)라는 세가지 구성요소를 가지며, 제어채널을 통해 인증되지 않은 노드에 대해서는 데이터 채널을 구축할 수 없도록 관리하는 기술이다. SDP technology has three components: Controller, Initiator, and Acceptor, and is a technology that manages data channels that cannot be established for nodes that are not authenticated through the control channel.

SDP 기술에서 네트워크 서비스를 요청하는 단말 노드에 탑재되는 구성요소는 Initiator라 부르며 게이트웨이나 서버에 탑재되어 데이터 네트워크를 직접적으로 제공하는 서비스 구성요소를 Acceptor라고 부른다. In SDP technology, a component mounted on a terminal node requesting network service is called an initiator, and a service component mounted on a gateway or server to directly provide a data network is called an acceptor.

기존 SDP 기술에서는, Controller가 외부에 노출되어 사이버 공격에 집중될 수 있는 단점과 Initiator와 Acceptor라는 서로 비대칭적인 절차 및 구성요소를 가짐으로 인해 복잡한 네트워크 환경이나 서버-to-서버, GW-to-GW 서비스 환경에 적용하기가 애매하다는 단점이 있다. In the existing SDP technology, a complicated network environment, server-to-server, or GW-to-GW due to the disadvantage of the controller being exposed to the outside and focusing on cyber attacks and asymmetric processes and components such as initiator and acceptor The disadvantage is that it is ambiguous to apply to the service environment.

더욱이, 이동형 장치 위주의 환경에서 적절하고 안전한 네트워크 서비스를 제공하기 위한 방법 및 절차도 불투명하다. 이러한 단점으로 인해 이동형 GW의 경우 Initiator와 Acceptor의 역할을 동시에 수행할 수 없게 된다. Moreover, methods and procedures for providing appropriate and secure network services in a mobile device-oriented environment are also unclear. Due to these shortcomings, in the case of a mobile GW, it is impossible to simultaneously perform the roles of an initiator and an acceptor.

일 측면에서의 본 발명의 목적은, 위의 문제점을 극복하기 위해 Initiator와 Acceptor의 구분없이 동일한 절차로 제어채널 구축과정을 제공하고 기존 고정된 네트워크 환경뿐만 아니라 이동형 환경에서도 안전한 신뢰네트워크의 구성을 위하여 이동형 장치들의 소프트웨어 기반 연결 관리 및 신뢰 네트워크 구성을 위한 보다 안전한 방법 및 장치를 제공하고자 한다.The object of the present invention in one aspect is to provide a control channel establishment process in the same procedure without distinction between an initiator and an acceptor to overcome the above problems, and to construct a secure trust network in a mobile environment as well as an existing fixed network environment. It is intended to provide a safer method and device for software-based connection management and trust network configuration of mobile devices.

즉, 본 발명은, 소프트웨어 정의 기반 경계(SDP) 기술의 기존 문제점을 개선하고 단말의 물리적 네트워크 환경에 제약이 있는 이동형 환경에서도 보다 안전한 네트워크 관리 구조를 제공함으로써 향후 IoT환경 등 네트워크 및 서비스 발전 추세에 보다 쉽게 정합 가능한 신뢰 네트워크 연결관리구조 및 방법을 제공하려고 한다.In other words, the present invention improves the existing problems of software-defined boundary (SDP) technology and provides a safer network management structure even in a mobile environment where the physical network environment of the terminal is limited, so that network and service development trends such as the IoT environment in the future. It is intended to provide a structure and method of connection management of a trusted network that can be more easily matched.

상술한 목적을 달성하기 위한 본 발명의 일면에 따른 이동형 장치들의 소프트웨어 정의 네트워크 기반 신뢰 네트워크 구성을 위한 방법은, 다수의 네트워크 노드들이, DDoS 공격으로부터 TA(Trust Access) 매니저를 보호하는 TA 보호기에게 인증 정보를 전송하고, 상기 TA 보호기가 상기 인증 정보를 상기 TA 매니저에게 포워딩하는 단계; 상기 TA 매니저가, 상기 인증 정보를 기반으로 상기 다수의 네트워크 노드들에 대한 인증 과정을 수행하고, 인증 성공 여부를 나타내는 인증 결과를 상기 TA 보호기에게 전송하는 단계; 상기 TA 보호기가, 상기 인증 결과에 따라 다수의 네트워크 노드들 중에서 인증된 네트워크 노드들에게 상기 TA 매니저와 연결되기 위한 연결 정보를 전송하여, 상기 인증된 네트워크 노드들이 상기 연결 정보를 기반으로 상기 TA 매니저와 제어 채널을 오픈하는 단계; 및 상기 TA 매니저가 상기 인증된 네트워크 노드들에게 상기 오픈된 제어 채널을 통해 데이터 채널 설정을 위한 데이터 채널 구축 정보를 전송하여, 상기 인증된 네트워크 노드들이 상기 데이터 채널 구축 정보를 기반으로 데이터 채널을 구축하는 단계를 포함한다.A method for configuring a software-defined network-based trust network of mobile devices according to an aspect of the present invention for achieving the above object, multiple network nodes are authenticated to a TA protector that protects a TA (Trust Access) manager from DDoS attacks Transmitting information, and the TA protector forwarding the authentication information to the TA manager; The TA manager performing an authentication process for the plurality of network nodes based on the authentication information, and transmitting an authentication result indicating whether authentication is successful to the TA protector; The TA protector transmits connection information for connection with the TA manager to authenticated network nodes among a plurality of network nodes according to the authentication result, so that the authenticated network nodes are based on the connection information to the TA manager And opening a control channel; And the TA manager transmits data channel establishment information for establishing a data channel through the open control channel to the authenticated network nodes, so that the authenticated network nodes establish a data channel based on the data channel establishment information. It includes the steps.

본 발명에 따르면, 기존의 Initiator와 Acceptor의 구분 없이 동일한 절차로 제어채널 구축과정을 제공하고 기존 고정된 네트워크 환경뿐만 아니라 이동 네트워크 환경에서도 안전한 신뢰네트워크를 구성할 수 있다.According to the present invention, it is possible to provide a control channel establishment process in the same procedure without distinction between an existing initiator and an acceptor, and to construct a secure trust network in a mobile network environment as well as a fixed network environment.

나아가, 현재 모바일 서비스 추세에 비추어 볼 때, 이동 네트워크 환경의 장치들, 예를 들면, 이동형 단말 및 이동형 게이트웨이 등의 활용성은 점점 더 커지고 있기 때문에 다양한 네트워크들이 추가되고 언제 어느 곳에서도 연결이 가능한 초연결 사회의 네트워크 핵심기술로써 더욱 활용도가 높을 것으로 기대된다.Furthermore, in view of the current mobile service trend, since the usability of devices in a mobile network environment, for example, a mobile terminal and a mobile gateway, is increasing, various networks are added and hyper-connection is possible at anytime and anywhere. It is expected to be more useful as a core network technology in society.

도 1은 본 발명의 일 실시 예에 따른 신뢰 네트워크 연결 구성을 위한 서비스 구조를 나타내는 도면이다.
도 2는 본 발명의 일 실시 예에 따른 제어 채널 구축 절차 중에서 고정형 GW/서버와 TA 매니저 간에 수행되는 등록 과정을 나타내는 흐름도이다.
도 3은 본 발명의 일 실시 예에 따른 제어 채널 구축 절차 중에서 이동형 GW와 TA 매니저 간에 수행되는 등록과정을 나타내는 흐름도이다.
도 4는 본 발명의 일 실시 예에 따른 이동형 단말과 고정형 GW/서버 사이의 네트워크 연결 요청 및 데이터 채널 구축 과정을 나타내는 흐름도이다.1 is a diagram showing a service structure for configuring a trust network connection according to an embodiment of the present invention.
2 is a flowchart illustrating a registration process performed between a fixed GW/server and a TA manager in a control channel establishment procedure according to an embodiment of the present invention.
3 is a flowchart illustrating a registration process performed between a mobile GW and a TA manager in a control channel establishment procedure according to an embodiment of the present invention.
4 is a flowchart illustrating a network connection request and a data channel establishment process between a mobile terminal and a fixed GW/server according to an embodiment of the present invention.

이하, 본 발명의 다양한 실시예가 첨부된 도면과 연관되어 기재된다. 본 발명의 다양한 실시예는 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들이 도면에 예시되고 관련된 상세한 설명이 기재되어 있다. 그러나, 이는 본 발명의 다양한 실시예를 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 다양한 실시예의 사상 및 기술 범위에 포함되는 모든 변경 및/또는 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 도면의 설명과 관련하여, 유사한 구성요소에 대해서는 유사한 참조 부호가 사용되었다. 본 발명의 다양한 실시예에서 사용될 수 있는“포함한다” 또는 “포함할 수 있다” 등의 표현은 개시(disclosure)된 해당 기능, 동작 또는 구성요소 등의 존재를 가리키며, 추가적인 하나 이상의 기능, 동작 또는 구성요소 등을 제한하지 않는다. 또한, 본 발명의 다양한 실시예에서, "포함하다" 또는 "가지다" 등의 용어는 명세서에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.Hereinafter, various embodiments of the present invention will be described in connection with the accompanying drawings. Various embodiments of the present invention may have various modifications and various embodiments, and specific embodiments are illustrated in the drawings and related detailed descriptions are described. However, this is not intended to limit the various embodiments of the present invention to specific embodiments, and should be understood to include all modifications and/or equivalents or substitutes included in the spirit and scope of the various embodiments of the present invention. In connection with the description of the drawings, similar reference numerals have been used for similar elements. Expressions such as “include” or “can include” that may be used in various embodiments of the present invention indicate the existence of a corresponding function, operation, or component disclosed, and additional one or more functions, operations, or The components and the like are not limited. In addition, in various embodiments of the present invention, terms such as “include” or “have” are intended to designate the existence of features, numbers, steps, operations, components, parts, or combinations thereof described in the specification, but one Or further features or numbers, steps, actions, components, parts, or combinations thereof, should not be excluded in advance.

도 1은 본 발명의 일 실시 예에 따른 신뢰 네트워크 연결 구성을 위한 서비스 구조를 나타내는 도면이다.1 is a diagram showing a service structure for configuring a trust network connection according to an embodiment of the present invention.

도 1을 참조하면, 본 발명의 일 실시 예에 따른 서비스 구조(또는 전체 시스템)는 이동형 단말, 이동형 게이트웨이(이동형 GW), 이동형 라우터 등으로 구성되는 이동 네트워크 환경의 장치들(또는 이동형 네트워크 노드들)과 고정형 게이트웨이(고정형 GW), 고정형 라우터, 서버 등으로 구성되는 고정 네트워크 환경의 장치들(고정형 네트워크 노드들) 간에 소프트웨어 정의 기반의 신뢰적인 네트워크 관리 구조를 확보하기 위한 절차 및 방법을 제공한다.Referring to FIG. 1, a service structure (or entire system) according to an embodiment of the present invention includes devices (or mobile network nodes) in a mobile network environment composed of a mobile terminal, a mobile gateway (mobile GW), and a mobile router. ) And a procedure and method for securing a reliable network management structure based on software definition between devices (fixed network nodes) in a fixed network environment composed of a fixed gateway (fixed GW), fixed router, and server.

이를 위해, 본 발명의 일 실시 예에 따른 서비스 구조(또는 전체 시스템)(100)는 도 1에 도시된 바와 같이, 네트워크 노드(110, 120), TA 보호기(Trust Access Protector, 130), TA 매니저(140) 및 인증 서버(150)를 포함한다.To this end, the service structure (or the entire system) 100 according to an embodiment of the present invention, as shown in Figure 1, the network node (110, 120), TA protector (Trust Access Protector, 130), TA manager 140 and the authentication server 150.

상기 네트워크 노드(110, 120)는 제1 네트워크 노드(110) 및 제2 네트워크 노드(120)를 포함한다. 상기 제1 네트워크 노드(110)는 이동형 단말, 이동형 게이트웨이, 이동형 라우터 등과 같은 이동 네트워크 환경의 장치들을 포함한다. 상기 제2 네트워크 노드(120)는 고정형 게이트웨이, 고정형 라우터, 고정형 서버 등과 같은 고정 네트워크 환경의 장치들을 포함한다. 상기 제1 네트워크 노드(110) 내부에는 제1 TA(Trust Access) 에이전트(112)가 탑재된다. 제2 네트워크 노드(120) 내부에는 제2 TA 에이전트(112)가 탑재된다.The network nodes 110 and 120 include a first network node 110 and a second network node 120. The first network node 110 includes devices in a mobile network environment, such as a mobile terminal, a mobile gateway, and a mobile router. The second network node 120 includes devices in a fixed network environment, such as a fixed gateway, a fixed router, and a fixed server. A first TA (Trust Access) agent 112 is mounted inside the first network node 110. The second TA agent 112 is mounted inside the second network node 120.

상기 TA 보호기(130)는 상기 TA 에이전트들(112, 122)이 네트워크에 접속하기 위해 인증 요청(①)에 따른 초기 인증절차를 수행한다. 또한, 상기 TA 보호기(130)는 DDoS(Distributed Denial of Service) 공격으로부터 상기 TA 매니저(140)를 보호한다. 이러한 TA 보호기(130)는 프로세서, 메모리 및 통신인터페이스를 포함하도록 구성된 컴퓨팅 장치 또는 서버 장치일 수 있다.The TA protector 130 performs the initial authentication procedure according to the authentication request (①) for the TA agents 112 and 122 to access the network. In addition, the TA protector 130 protects the TA manager 140 from a Distributed Denial of Service (DDoS) attack. The TA protector 130 may be a computing device or a server device configured to include a processor, memory, and communication interface.

상기 TA 매니저(140)는 상기 TA 보호기(130)로부터 상기 TA 에이전트들(112, 122)의 인증 정보를 수신하여 인증 서버(150)를 통해 인증 후 인증이 성공하면 상기 TA 에이전트들(112, 122)과 제어 채널(②)을 구성하여 관리한다. 또한, 상기 TA 매니저(140)는 인증된 상기 TA 에이전트들(112, 122)이 상호간에 데이터 채널(③)을 구축하도록 네트워크 노드들(110, 120) 간의 데이터 채널 구축 정보를 관리한다. 데이터 채널 구축 정보는, 두 노드 간에 데이터 기반 연결 서비스를 제공하기 위해 요구되는 정보를 의미한다. 이러한 TA 매니저(140)는 프로세서, 메모리 및 통신인터페이스를 포함하도록 구성된 컴퓨팅 장치 또는 서버 장치일 수 있다.The TA manager 140 receives the authentication information of the TA agents 112 and 122 from the TA protector 130 and, after authentication through the authentication server 150, when the authentication is successful, the TA agents 112 and 122 ) And control channel (②). In addition, the TA manager 140 manages data channel establishment information between network nodes 110 and 120 such that the authenticated TA agents 112 and 122 establish a data channel ③ between each other. Data channel establishment information means information required to provide a data-based connection service between two nodes. The TA manager 140 may be a computing device or a server device configured to include a processor, a memory, and a communication interface.

상기 인증 서버(150)는 상기 TA 매니저(140)로부터 상기 TA 에이전트들(112, 122)의 인증 정보를 수신하고, 수신된 인증 정보를 기반으로 인증 절차를 수행한다. The authentication server 150 receives authentication information of the TA agents 112 and 122 from the TA manager 140 and performs an authentication procedure based on the received authentication information.

이러한 구성들(110~150)로 이루어진 신뢰 네트워크 연결 구성을 위한 서비스 구조에서는, 상기 TA 에이전트들(112, 122)의 인증 후에 제어 채널(②)이 생성되고, 상기 TA 에이전트들(112, 122)이 상기 생성된 제어 채널(②)을 통해 수신된 제어 명령과 정책에 의해 상기 TA 에이전트들(112, 122) 간의 데이터 채널 연결(③)이 제공된다.In the service structure for configuring a trust network connection composed of these configurations 110 to 150, a control channel ② is generated after authentication of the TA agents 112 and 122, and the TA agents 112 and 122 Data channel connection (③) between the TA agents 112 and 122 is provided by the control command and policy received through the generated control channel ②.

이하, 도 1에 도시된 서비스 구조에서 따른 서비스 실시 예에 대해 상세히 설명하기로 하며, 설명의 간략화를 위해, 상기 인증 서버(150)는 상기 TA 매니저(140)에 포함된 구성으로 설명하고, 상기 TA 보호기(130)와 상기 TA 매니저(140) 사이의 연결은 안전하게 구축된 것으로 가정한다.Hereinafter, a service embodiment according to the service structure shown in FIG. 1 will be described in detail, and for simplicity of explanation, the authentication server 150 will be described with a configuration included in the TA manager 140, and the It is assumed that the connection between the TA protector 130 and the TA manager 140 is safely established.

서비스 실시 예Service example

도 1에 도시된 서비스 구조에서 제공되는 주요 절차는 상기 TA 에이전트들(112 및 122)과 TA 보호기(130) 사이에서 진행되는 인증 요청 절차, 상기 TA 에이전트들(112 및 122)과 상기 TA 매니저(140) 사이에서 진행되는 제어 채널 구축 절차(또는 제어 채널 구성 절차) 및 상기 제1 TA 에이전트(112)와 상기 제2 TA 에이전트(122) 사이에서 진행되는 데이터 채널 구축 절차(또는 데이터 채널 구성 절차)를 포함한다. The main procedure provided in the service structure shown in FIG. 1 is an authentication request procedure performed between the TA agents 112 and 122 and the TA protector 130, the TA agents 112 and 122 and the TA manager ( 140) between the control channel establishment procedure (or control channel configuration procedure) and the first TA agent 112 and the second TA agent 122 data channel establishment procedure (or data channel configuration procedure) It includes.

인증 요청 절차Authentication request process

먼저, 인증 요청 절차는 통신을 원하는 네트워크 노드들(110 및 120)(또는 TA 에이전트들(112 및 122))과 TA 보호기(130) 사이에 일어난다. 네트워크 상에 존재하는 네트워크 노드(110)는, 통신하고자 하는 상대 네트워크 노드(120)와 데이터 채널 구축을 위해, 상기 TA 보호기(130)가 제공하는 통신 인터페이스를 통해 먼저 자신을 인증하여야 한다. First, the authentication request procedure occurs between the network nodes 110 and 120 (or TA agents 112 and 122) and TA protector 130 that want to communicate. The network node 110 existing on the network must first authenticate itself through a communication interface provided by the TA protector 130 to establish a data channel with the other network node 120 to communicate with.

상기 TA 보호기(130)는 네트워크 노드들(110 및 120)로부터의 인증 요청 메시지에 포함된 인증 정보를 노드 정보와 함께 TA 매니저(140)로 송신하고, 이를 수신한 상기 TA 매니저(140)는 인증 과정을 통해 해당 노드(110 및 120)에 대한 인증 과정을 수행한다.The TA protector 130 transmits the authentication information included in the authentication request message from the network nodes 110 and 120 to the TA manager 140 together with the node information, and the TA manager 140 receiving the authentication information authenticates Through the process, the authentication process for the corresponding nodes 110 and 120 is performed.

인증이 성공하면, 상기 TA 보호기(130)는 네트워크 노드(110 및 120)가 상기 TA 매니저와 제어 채널을 구축할 수 있도록 상기 TA 매니저(140)의 연결 정보(예를 들면, IP, 포트 정보 등)와 채널 인증 토큰을 자신의 인증을 요청한 네트워크 노드(110 및 120)에게 송신한다. 이러한 연결 정보의 송신 과정은 상기 TA 매니저(140)가 DDoS와 같은 서비스 거부 공격에 노출되는 것을 방지하기 위함이다. If authentication is successful, the TA protector 130 connects information (eg, IP, port information, etc.) of the TA manager 140 so that network nodes 110 and 120 can establish a control channel with the TA manager. ) And channel authentication tokens to network nodes 110 and 120 requesting their authentication. The process of transmitting the connection information is to prevent the TA manager 140 from being exposed to a denial of service attack such as DDoS.

이후 상기 TA 매니저(140)와 해당 노드(110, 120) 사이의 제어 채널 구축 절차가 시작된다.Thereafter, a control channel establishment procedure between the TA manager 140 and the corresponding nodes 110 and 120 is started.

인증 요청 절차를 위해, 상기 TA 보호기(130)는 인증을 요청한 네트워크 노드(110, 120)가 자신(130)을 신뢰하고 인증 요청 절차를 수행할 수 있도록 안전한 채널을 제공하여야 한다.For the authentication request procedure, the TA protector 130 must provide a secure channel so that the network nodes 110 and 120 requesting authentication can trust their 130 and perform the authentication request procedure.

제어 채널 구축 절차Control Channel Construction Procedure

제어 채널 구축 절차는 상기 TA 에이전트들(112 및 122)과 상기 TA 매니저(140) 사이에서 일어난다. 네트워크의 신뢰적인 연결구성을 위해 가장 기본이 되는 장치는 TA 매니저(140)이다. The control channel establishment procedure takes place between the TA agents 112 and 122 and the TA manager 140. The most basic device for establishing a reliable connection of the network is the TA manager 140.

상기 TA 매니저(140)는 접속을 시도하는 네트워크 노드들(110, 120)을 인증하고, 인증된 노드들(110, 120)(또는 TA 에이전트들(112 및 122))과의 제어 채널(②)을 유지 및 관리하는 역할을 수행하며, 유지 및 관리에 필요한 관련 정보들을 관리한다. The TA manager 140 authenticates network nodes 110 and 120 attempting to connect, and a control channel ② with the authenticated nodes 110 and 120 (or TA agents 112 and 122). It plays a role of maintaining and managing, and manages related information necessary for maintenance and management.

상기 TA 매니저(140)는 인증된 노드들(110, 120) 또는 TA 에이전트들(112 및 122))이 상호 데이터 채널(③)을 구축할 수 있게 하는 관련 정보들을 관리한다. The TA manager 140 manages related information that enables the authenticated nodes 110, 120 or TA agents 112 and 122 to establish a mutual data channel ③.

관련 정보들은 다음과 같다.The relevant information is as follows.

- 네트워크 노드들(110, 120)의 서비스 및 접근 제어 정보-Service and access control information of network nodes 110 and 120

- 네트워크 노드들(110, 120)의 주소 정보-Address information of network nodes 110 and 120

- 네트워크 노드들(110, 120)의 인증 정보(예, ID, 비밀정보, 인증서 등)-Authentication information of network nodes 110 and 120 (eg, ID, secret information, certificate, etc.)

- 네트워크 노드들(110, 120)의 제어 채널 정보-Control channel information of network nodes 110 and 120

- 네트워크 노드들(110, 120)의 데이터 채널 관리 정보(데이터 채널 연결 관리 정보, 보안 속성 정보, 터널링 정보 등)-Data channel management information of network nodes 110 and 120 (data channel connection management information, security attribute information, tunneling information, etc.)

- 네트워크 노드들(110, 120)의 서비스 접근 제어 정보-Service access control information of network nodes 110 and 120

- 정해진 TA 보호기의 등록 정보 및 안전한 연결 관리 정보(TA 보호기의 인증 정보, TA 보호기의 연결정보 등)-Registered TA protector registration information and secure connection management information (TA protector authentication information, TA protector connection information, etc.)

상기 제어 채널 정보는 인증 후 등록된 네트워크 노드들 중에서 로그인된 노드들(110, 120)에 대한 식별 정보, 연결 주소 정보, 연결 노드 정보, 연결 상태 정보, 세션 식별 정보, 로그인 정보, 채널 인증 토큰 등을 포함한다.The control channel information includes identification information, login address information, connection node information, connection status information, session identification information, login information, channel authentication token, etc. of logged nodes (110, 120) among registered network nodes after authentication. It includes.

상기 데이터 채널 관리 정보는 상기 TA 매니저(140)가 임의의 두 노드간에 데이터 채널(③)을 구축할 수 있도록 요구되는 관리정보를 의미한다. 즉, 데이터 채널 관리 정보는 데이터 채널(③)이 구축되기 위한 양쪽 엔드 노드 정보, 보안이 필요하면 보안 속성 정보, 터널링이 필요하면 엔드간 터널링 정보 등을 포함할 수 있다. The data channel management information means management information required for the TA manager 140 to establish a data channel ③ between any two nodes. That is, the data channel management information may include both end node information for establishing the data channel ③, security attribute information if security is required, and tunneling information between ends when tunneling is required.

상기 보안 속성 정보는 보안과 관련된 파라미터로서, 키값, 키의 크기, 사용되는 알고리즘 등과 관련된 정보를 포함한다.The security attribute information is a security-related parameter and includes information related to a key value, a key size, and an algorithm used.

상기 터널링 정보는 네트워크 연결 방법에서 경로에 존재하는 라우터 등을 의식하지 않고, 송신지와 목적지까지 하나의 터널처럼 연결하기 위한 정보로서, 셋업 정보, IP_in_IP 터널, IPsec 터널 등을 예로 들 수 있다.The tunneling information is information for connecting to a source and a destination like a tunnel without being aware of a router or the like existing in a path in a network connection method, and examples include setup information, IP_in_IP tunnel, and IPsec tunnel.

이러한 정보는, 기존의 SDP(Software Defined Perimeter)가 가지는 비대칭성을 극복하기 위해, 상기 TA 매니저(140)가 관리하여야 하는 정보이고, 이 정보를 이용하여 상기 TA 매니저(140)는 단말이나 장비들의 통신이 어느 쪽에서 먼저 요청되어도 상관없이 대칭적으로 신뢰적 연결관리를 수행할 수 있도록 한다.This information is information to be managed by the TA manager 140 in order to overcome the asymmetry of the existing software defined perimeter (SDP), and by using this information, the TA manager 140 is configured for the terminal or equipment. It enables symmetric and reliable connection management regardless of which communication is requested first.

실제적으로 인터넷 서비스를 제공하는 사업자들의 네트워크에서 장치들의 데이터 채널 연결은 보통 [단말-to-서버], [단말-to-게이트웨이], [게이트웨이-to-게이트웨이], [게이트웨이-to-서버] 등과 같은 형태로 네트워크 토폴로지 차원에서 관리 및 구축된다.In practice, the data channel connection of devices in the network of operators that provide Internet services is usually [terminal-to-server], [terminal-to-gateway], [gateway-to-gateway], [gateway-to-server], etc. In the same way, it is managed and built at the network topology level.

이를 신뢰적으로 관리하기 위해 먼저 보호하려는 자원이 위치한 곳에 대한 연결성을 제공하는 장치인 게이트웨이, 서버 등에 탑재된 TA 에이전트는 TA 매니저(140)에 인증 후 TA 매니저(140)에 장치의 가용성 여부를 먼저 등록하게 한다. 실제 장치들의 가용성이 TA 매니저(140)에 등록되어 관리되지 않는다면 어떠한 단말 또는 장치도 네트워크에 접근할 수 없도록 관리되어야 한다.In order to reliably manage this, the TA agent mounted on the gateway, server, etc., which is a device that provides connectivity to the resource where the resource to be protected is located, first authenticates with the TA manager 140 and then checks whether the device is available to the TA manager 140. Have them register. If the availability of real devices is not registered and managed in the TA manager 140, it should be managed so that no terminal or device can access the network.

TA 매니저(140)는 등록된 장치들에 대해 제어 채널(②)의 형성을 통해 채널의 상태 정보를 파악하고, 향후 어떤 장치나 단말의 네트워크 접근 요청 시 현재 가용한 등록된 장치와의 데이터 채널 구축 정보를 전달하게 된다.The TA manager 140 grasps channel state information through the formation of a control channel ② for registered devices, and establishes a data channel with the currently available registered device when requesting network access from any device or terminal in the future Information.

제어 채널 구축 및 해제를 위해, 구축된 제어 채널(②)은 장치들의 로그인/로그아웃 기반으로 유지되거나 종료되며, https 또는 TLS 등으로 보호되어야 한다.To establish and release the control channel, the established control channel (②) is maintained or terminated based on the login/logout of devices, and must be protected by https or TLS.

TA 매니저(140)에서 자원 보호를 위한 고정형 네트워크 노드들(고정 네트워크 환경의 고정형 GW/서버)의 등록과정은 도 2와 같다. The registration process of fixed network nodes (fixed GW/server in a fixed network environment) for resource protection in the TA manager 140 is shown in FIG. 2.

도 2를 참조하면, 먼저, 단계 S201에서, 네트워크 노드(고정형 GW/서버(120)) 또는 네트워크 노드(120)에 내장된 TA 에이전트(112 및 122)가 자신의 인증 정보를 TA 보호기(130)로 전송하여, TA 보호기(130)에게 자신(고정형 GW/서버(110 및 120))의 인증을 요청한다.Referring to FIG. 2, first, in step S201, the network node (fixed GW/server 120) or the TA agents 112 and 122 embedded in the network node 120 transmit their authentication information to the TA protector 130 To the TA protector 130 to request authentication of itself (fixed GW/servers 110 and 120).

이어, 단계 S203에서, 상기 TA 보호기(130)가 고정형 GW/서버(120)로부터 수신한 고정형 GW/서버(120)의 인증 정보를 상기 TA 매니저(140)로 포워딩 한다.Subsequently, in step S203, the TA protector 130 forwards the authentication information of the fixed GW/server 120 received from the fixed GW/server 120 to the TA manager 140.

이어, 단계 S205에서, 상기 TA 매니저(140)가 상기 TA 보호기(130)로부터 포워딩된 고정형 GW/서버(120)의 인증 정보를 기반으로 인증 과정을 수행하고, 인증 성공 시, 고정형 GW/서버(120)의 인증 정보에 포함된 고정형 GW/서버(120)의 노드 정보, 예를 들면, 식별 정보, IP 정보 등을 데이터베이스(도시하지 않음)에 등록한다. Subsequently, in step S205, the TA manager 140 performs an authentication process based on authentication information of the fixed GW/server 120 forwarded from the TA protector 130, and upon successful authentication, the fixed GW/server ( Node information of the fixed GW/server 120 included in the authentication information of 120), for example, identification information, IP information, etc., is registered in a database (not shown).

이어, 단계 S207에서, 상기 TA 매니저(140)가 상기 인증 과정을 수행한 결과, 즉, 인증 성공 또는 실패 여부를 나타내는 인증 결과를 상기 TA 보호기(130)로 전송한다. 이때, 상기 고정형 GW/서버(120)의 인증 성공 시에, 상기 TA 매니저(140)는 채널 인증 토큰을 발급하게 되는데, 발급된 채널 인증 토큰을 상기 인증 결과와 함께 상기 TA 보호기(130)에게 전송한다. 이러한 채널 인증 토큰은 TA 매니저(140)와 고정형 GW/서버(120) 간의 제어 채널이 소실되지 않도록 관리하기 위한 용도로 사용된다. 이를 위해, TA 매니저(140)는, 아래의 단계 S209에서 설명하겠지만, 상기 고정형 GW/서버(120)의 인증이 끝나면, 제어 채널과 관련된 채널 인증 토큰을 발행하여 고정형 GW/서버(120)에게 전달하게 된다. 이후, 고정형 GW/서버(120)는 제어 채널을 통해 TA 매니저(140)에게 메시지를 전송할 때, 채널 인증 토큰을 메시지와 함께 전송함으로써, 인증된 제어 채널을 계속 유지할 수 있도록 한다. 이러한 채널 인증 토큰은 고정형 GW/서버(120)가 로그아웃되면 삭제되고, 단계 S201, S203 및 S205를 순차적으로 수행하여, 단계 S207에서 인증 성공하면, 재발급되어, TA 보호기(130)를 통해 고정형 GW/서버(120)로 전송되어 사용된다.Subsequently, in step S207, the TA manager 140 transmits the result of performing the authentication process, that is, an authentication result indicating whether authentication is successful or unsuccessful, to the TA protector 130. At this time, upon successful authentication of the fixed GW/server 120, the TA manager 140 issues a channel authentication token, and transmits the issued channel authentication token to the TA protector 130 together with the authentication result. do. The channel authentication token is used to manage the control channel between the TA manager 140 and the fixed GW/server 120 so as not to be lost. To this end, the TA manager 140, as described in step S209 below, when authentication of the fixed GW/server 120 is finished, issues a channel authentication token related to the control channel and delivers it to the fixed GW/server 120 Is done. Thereafter, when the fixed GW/server 120 transmits a message to the TA manager 140 through the control channel, the channel authentication token is transmitted together with the message, so that the authenticated control channel can be maintained. The channel authentication token is deleted when the fixed GW/server 120 is logged out, and sequentially performs steps S201, S203, and S205, and when authentication succeeds in step S207, is reissued, and the fixed GW through the TA protector 130 / It is transmitted to the server 120 and used.

이어, 단계 S209에서, 상기 TA 보호기(130)가 상기 TA 매니저(140)로부터 인증 성공을 나타내는 상기 인증 결과와 채널 인증 토큰을 수신하면, 상기 인증 성공을 나타내는 인증 결과에 응답하여 상기 TA 매니저(140)와 연결되기 위한 연결 정보(TA 매니저(140)의 IP 정보, TA 매니저(140)의 port 정보 등)와 상기 채널 인증 토큰을 상기 고정형 GW/서버(120)로 송신한다. 만일, 상기 TA 보호기(130)가 상기 TA 매니저(140)로부터 인증 실패를 나타내는 상기 인증 결과를 수신하면, 도면에 도시하지는 않았으나, 상기 TA 보호기(130)가 상기 고정형 GW/서버(120)에게 인증 정보에 대한 재요청 메시지를 전송하고, 상기 재요청 매시지에 응답하여, 상기 고정형 GW/서버(120)는 상기 TA 보호기(130)를 거쳐 상기 TA 매니저(140)에게 자신(120)의 인증 정보를 전송하고, 상기 TA 매니저(140)는 상기 고정형 GW/서버(120)로부터 재전송된 인증 정보를 기반으로 상기 고정형 GW/서버(120)의 인증 절차를 반복 수행한다.Subsequently, in step S209, when the TA protector 130 receives the authentication result indicating the authentication success and the channel authentication token from the TA manager 140, the TA manager 140 responds to the authentication result indicating the authentication success. ) And the connection information (IP information of the TA manager 140, port information of the TA manager 140, etc.) and the channel authentication token are transmitted to the fixed GW/server 120 for connection with. If the TA protector 130 receives the authentication result indicating the authentication failure from the TA manager 140, although not shown in the figure, the TA protector 130 authenticates the fixed GW/server 120 Sending a re-request message for information, and in response to the re-request message, the fixed GW/server 120 passes the TA protector 130 to the TA manager 140 to authenticate the authentication information of the person 120 Transmission, and the TA manager 140 repeatedly performs the authentication procedure of the fixed GW/server 120 based on the authentication information retransmitted from the fixed GW/server 120.

상기 상기 TA 매니저(140)와 연결되기 위한 연결 정보(TA 매니저(140)의 IP 정보, TA 매니저(140)의 port 정보 등)는 TA 보호기(130) 내에 사전에 등록된 정보일 수 있다. 또는, TA 매니저(140)가 인증 성공을 나타내는 인증 결과를 TA 보호기(130)에 전송하는 시점에서 상기 인증 결과와 함께 상기 TA 보호기(130)에 전송할 수도 있다.The connection information (IP information of the TA manager 140, port information of the TA manager 140, etc.) to be connected to the TA manager 140 may be information registered in advance in the TA protector 130. Alternatively, the TA manager 140 may transmit the authentication result indicating authentication success to the TA protector 130 together with the authentication result at the time of transmitting the authentication result indicating the authentication success.

이어, 단계 S211에서, 상기 고정형 GW/서버(110 및 120)가 상기 연결 정보(TA 매니저(140)의 IP 정보, TA 매니저(140)의 port 정보 등)와 상기 채널 인증 토큰을 이용하여 상기 TA 매니저(140)와의 제어 채널을 오픈한다.Subsequently, in step S211, the fixed GW/servers 110 and 120 use the connection information (IP information of the TA manager 140, port information of the TA manager 140, etc.) and the channel authentication token. The control channel with the manager 140 is opened.

이어, 단계 S213에서, 상기 제어 채널의 오픈과 동시에 또는 상기 제어 채널의 오픈 이후에, 상기 TA 매니저(140)는 상기 오픈된 제어 채널과 관련된 제어 채널 정보, 예를 들면, 인증 후 등록된 고정형 GW/서버 들 중에서 로그인된 고정형 GW/서버에 대한 노드 정보(로그인된 고정형 GW/서버(120)의 식별 정보, IP), 세션 식별 정보, 채널 인증 토큰, 로그인 정보 등을 데이터베이스에 등록한다. Subsequently, in step S213, simultaneously with the opening of the control channel or after the opening of the control channel, the TA manager 140 controls control channel information related to the opened control channel, for example, a fixed GW registered after authentication. / Among the servers, the node information for the logged-in fixed GW/server (identification information, IP of the logged-in fixed GW/server 120), session identification information, channel authentication token, login information, etc. are registered in the database.

이어, 단계 S215에서, 상기 고정형 GW/서버(110 및 120)는 상기 TA 매니저(140)에게 자신의 가용성을 나타내는 Keep Alive 상태 메시지를 주기적으로 보고한다. Subsequently, in step S215, the fixed GW/servers 110 and 120 periodically report the Keep Alive status message indicating their availability to the TA manager 140.

한편, 고정형 네트워크 노드들(이동형 단말 또는 이동형 GW)가 존재하는 환경에서 단말의 네트워크 연결 서비스 요청을 위한 상기 이동형 GW와 상기 TA 매니저(140) 간에 수행되는 과정도 도 2의 등록과정과 거의 동일하게 수행된다.Meanwhile, the process performed between the mobile GW and the TA manager 140 for requesting a network connection service of the terminal in an environment where fixed network nodes (mobile terminal or mobile GW) exist is almost the same as the registration process of FIG. 2. Is performed.

보다 자세히 설명하면, 먼저, 이동형 네트워크 환경에서 이동형 GW는 자신을 통해 이동형 단말이 데이터 통신을 할 수 있도록 네트워크 서비스를 제공하여야 한다. 따라서, 먼저 이동형 게이트웨이가 기존에 구축된 네트워크와 데이터 채널의 연결성을 확보하기 위한 절차가 필요하다. 이것은 [이동형 GW-to-GW] 데이터 채널 연결을 위한 네트워크 연결 요청 과정에 의해 수행된다. TA 보호기(130)의 입장에서 이동형 GW의 등록과정은 단말의 서비스 연결 요청과 동일하게 보여질 것이다. In more detail, first, in a mobile network environment, the mobile GW must provide a network service so that the mobile terminal can perform data communication through itself. Therefore, first, a procedure is required to secure the connectivity between the network and the data channel in which the mobile gateway is established. This is performed by the network connection request process for the [mobile GW-to-GW] data channel connection. From the standpoint of the TA protector 130, the registration process of the mobile GW will be viewed the same as the service connection request of the terminal.

하지만, 만약 이동형 GW가 로그아웃 이전에 다른 IP 정보를 가진 위치에서 동작하게 된다면, 이를 제어 및 관리하기 위한 방법이 필요하다. 즉, 전술한 바와 같이, 인증되지 않은 노드와의 제어 채널이 구축되거나 인증된 상태에서 이동에 의해 제어 채널이 소실되지 않도록 TA 매니저는 이동형 게이트와의 인증이 끝나면, 구축된 제어 채널과 관련한 채널 인증 토큰을 발행하여 이동형 단말들(또는 이동형 장치들)에게 전달하게 된다. 이후, 이동형 단말들(또는 이동형 장치들)은 제어 채널을 통해 TA 매니저(140)에게 메시지 전송 시, 채널 인증 토큰을 메시지와 함께 전송함으로써, 인증된 제어 채널을 계속 유지할 수 있도록 한다. 이러한 채널 인증 토큰은 이동형 단말들(또는 이동형 장치들)이 로그아웃되면 삭제되고, 로그인하면 재발급되어야 사용되어야 한다.However, if the mobile GW operates at a location with different IP information before logout, a method for controlling and managing it is needed. That is, as described above, when the control channel with an unauthenticated node is established or authenticated so that the control channel is not lost due to movement, the TA manager ends the authentication with the mobile gate, and then authenticates the channel with respect to the established control channel. Tokens are issued and delivered to mobile terminals (or mobile devices). Thereafter, when the mobile terminal (or mobile devices) transmits a message to the TA manager 140 through the control channel, the channel authentication token is transmitted together with the message so that the authenticated control channel can be maintained. These channel authentication tokens should be used when mobile terminals (or mobile devices) are logged out and reissued when logged in.

이러한 상기 이동형 GW의 등록 과정과 제어 채널 구축 과정을 포함하는 서비스 실시 예는 도 3과 같다.The service embodiment including the registration process of the mobile GW and the control channel establishment process is illustrated in FIG. 3.

도 3의 단계 S301~S315는 도 2의 단계 S201~S215에 각각 대응하는 것으로, 당업자라면, 도 2의 단계 S201~S215에 대한 설명으로 도 3의 단계 S301~S315를 충분히 이해할 수 있을 것이다. 따라서, 도 3의 단계 S301~S315에 대한 설명은 생략하기로 한다.Steps S301 to S315 of FIG. 3 correspond to steps S201 to S215 of FIG. 2, and those skilled in the art will fully understand steps S301 to S315 of FIG. 3 with description of steps S201 to S215 of FIG. 2. Therefore, the description of steps S301 to S315 of FIG. 3 will be omitted.

다만, 단계 S309와 단계 S311 사이에서, 이동형 GW(110)의 TA 에이전트(112)가 자신과 TA 매니저를 연결하기 위해 TA 보호기(130)를 거쳐 TA 매니저(140)로부터 전달된 연결 정보(IP, port 등)를 셋-업(set-up)하는 절차(단계 S309A)가 더 수행될 수 있다.However, between steps S309 and S311, the TA agent 112 of the mobile GW 110 connects itself to the TA manager through the TA protector 130 and the connection information transmitted from the TA manager 140 (IP, port, etc.) to set-up (set-up) procedure (step S309A) may be further performed.

이동형 GW(110)의 TA 에이전트(112)는 이동형 GW(110)를 통해 통신을 시도하는 노드들(이동형 단말들 또는 이동형 장치들)의 인증 요청을 수신하고, 그들의 인증 정보를 TA 보호기(130)에게 전송하게 된다. 이때, 이동형 GW(110)는 TA 보호기(130)로 향하는 통신 채널에 대해 항상 개방되도록 관리하여야 한다.The TA agent 112 of the mobile GW 110 receives an authentication request of nodes (mobile terminals or mobile devices) attempting to communicate through the mobile GW 110, and transmits their authentication information to the TA protector 130 Is sent to. At this time, the mobile GW 110 should be managed to be always open to the communication channel directed to the TA protector 130.

한편, 도 2 및 3에서, TA 보호기(130)와 TA 매니저(140)는 안전한 연결 구성이 필요하다. 이것은 장치들(고정형 GW/서버, 이동형 GW 또는 이동형 단말)의 인증 요청이 TA 보호기(130)를 거치지 않고 TA 매니저로 직접 요청되는 것을 방지하기 위함이다. 즉, TA 매니저(140)는 항상 정해진 TA 보호기(130)를 통해 장치들(고정형 GW/서버, 이동형 GW 또는 이동형 단말)의 인증 요청을 위한 인증 정보를 수신하도록 관리되어야 한다.On the other hand, in Figures 2 and 3, the TA protector 130 and the TA manager 140 need a secure connection configuration. This is to prevent requests for authentication of devices (fixed GW/server, mobile GW, or mobile terminal) directly to the TA manager without going through the TA protector 130. That is, the TA manager 140 should always be managed to receive authentication information for authentication requests of devices (fixed GW/server, mobile GW, or mobile terminal) through the predetermined TA protector 130.

데이터 채널 구축 절차Data channel establishment procedure

도 2 및 3과 같이, 고정형 GW 장치 또는 이동형 GW의 등록과정을 포함하는 제어 채널 구축 절차가 끝나면, 이동형 단말의 네트워크 서비스 연결요청 과정 및 데이터 채널 구축 절차가 시작될 수 있다. 2 and 3, when the control channel establishment procedure including the registration process of the fixed GW device or the mobile GW is completed, a network service connection request process and a data channel establishment procedure of the mobile terminal may be started.

이동형 단말은 자신이 이용할 수 있는 네트워크 환경이 없을 경우 이동형 GW 장치를 이용하여 네트워크 서비스를 이용할 수밖에 없다. 이러한 경우를 위해 이동형 단말과 이동형 GW간의 네트워크 설정이 필요하다. 이 과정은 본 명세서에서 특별히 언급하지는 않는다. When a mobile terminal does not have a network environment available to it, it is forced to use a network service using a mobile GW device. For this case, it is necessary to establish a network between the mobile terminal and the mobile GW. This process is not specifically mentioned in this specification.

이동형 단말과 이동형 GW간의 네트워크 설정이 끝나면, 비로서 이동형 단말은 이동형 GW를 통해 인증 요청 과정을 시작으로 네트워크 서비스 연결요청 과정 및 데이터 채널 구축 절차를 진행할 수 있게 된다. 이 과정은 도 4와 같다.After the network setup between the mobile terminal and the mobile GW is finished, the mobile terminal can perform a network service connection request process and a data channel establishment procedure by starting an authentication request process through the mobile GW. This process is as shown in FIG. 4.

도 4를 참조하면, 먼저, 단계 S401에서, 이동형 단말(110-1)에 내장된 제1 TA 에이전트(112)가 이동형 단말(110)의 인증 정보를 포함하는 인증 요청 메시지를 TA 보호기(130)로 전송하여 자신(110)의 인증을 요청한다.Referring to FIG. 4, first, in step S401, the first TA agent 112 embedded in the mobile terminal 110-1 transmits an authentication request message including authentication information of the mobile terminal 110 to the TA protector 130 Send to the request for authentication of yourself (110).

이어, 단계 S403에서, TA 보호기(130)가 이동형 단말(110)로부터 수신한 인증 정보를 TA 매니저(140)로 포워딩 한다.Next, in step S403, the TA protector 130 forwards the authentication information received from the mobile terminal 110 to the TA manager 140.

이어, 단계 S405에서, TA 매니저(140)가 TA 보호기(130)로부터 포워딩된 이동형 단말(110)의 인증 정보를 기반으로 이동형 단말(110)에 대한 인증 과정을 수행하고, 이동형 단말(110)의 인증이 성공하면, 이동형 단말(110)의 노드 정보(식별 정보, IP 정보)를 데이터베이스에 등록한다. Subsequently, in step S405, the TA manager 140 performs an authentication process for the mobile terminal 110 based on the authentication information of the mobile terminal 110 forwarded from the TA protector 130, and the mobile terminal 110 of the mobile terminal 110 If authentication is successful, node information (identification information, IP information) of the mobile terminal 110 is registered in the database.

이어, 단계 S407에서, TA 매니저(140)가 이동형 단말(110)의 인증 성공을 나타내는 인증 결과 메시지와 채널 인증 토큰을 TA 보호기(130)로 전송한다.Subsequently, in step S407, the TA manager 140 transmits an authentication result message indicating the authentication success of the mobile terminal 110 and a channel authentication token to the TA protector 130.

이어, 단계 S409에서, TA 보호기(130)가 인증 성공을 나타내는 인증 결과 메시지에 응답하여 이동형 단말(110)과 TA 매니저(140) 간의 통신 연결을 위한 연결 정보(TA 매니저의 IP, Port 등)와 채널 인증 토큰을 이동형 단말(110-1)에 전송한다. Subsequently, in step S409, the TA protector 130 responds to an authentication result message indicating authentication success, and connection information (IP, Port, etc. of the TA manager) for communication connection between the mobile terminal 110 and the TA manager 140. The channel authentication token is transmitted to the mobile terminal 110-1.

이어, 단계 411에서, 이동형 단말(110)에 내장된 제1 TA 에이전트(112)가 상기 연결 정보 및 상기 채널 인증 토큰을 이용하여 상기 TA 매니저(140)와의 제어 채널을 오픈한다.Subsequently, in step 411, the first TA agent 112 embedded in the mobile terminal 110 opens a control channel with the TA manager 140 using the connection information and the channel authentication token.

이어, 단계 S413에서, 상기 제어 채널의 오픈과 동시에 또는 상기 제어 채널 오픈 이후에, 상기 TA 매니저(140)는 상기 오픈된 제어 채널과 관련된 제어 채널 정보, 예를 들면, 인증 후 등록된 이동형 단말(110)들 중에서 로그인된 이동형 단말들에 대한 노드 정보(식별 정보, IP 정보), 연결 주소 정보, 연결 상태 정보, 세션 식별 정보, 채널 인증 토큰, 로그인 정보 등을 데이터베이스(도시하지 않음)에 등록한다. Subsequently, in step S413, at the same time as the control channel is opened or after the control channel is opened, the TA manager 140 controls control channel information related to the opened control channel, for example, a mobile terminal registered after authentication. Among 110), node information (identification information, IP information), connection address information, connection status information, session identification information, channel authentication token, login information, etc. for logged-in mobile terminals are registered in a database (not shown). .

이어, 단계 S415에서, 이동형 단말(110)에 내장된 제1 TA 에이전트(112)가 오픈된 제어 채널을 통해 이동형 단말(110)의 가용성을 나타내는 Keep Alive 상태 메시지를 TA 매니저(140)에게 주기적으로 보고한다. Then, in step S415, the first TA agent 112 embedded in the mobile terminal 110 periodically displays a keep alive status message to the TA manager 140 indicating the availability of the mobile terminal 110 through an open control channel. report.

이어, 단계 S417에서, TA 매니저(140)가 이미 사전에 등록된 장치들의 ID에 해당하는 서비스 정보와 데이터 채널 구축 정보를 검색하여, 상기 이동형 단말(110)의 서비스 정보와 데이터 채널 구축 정보를 기반으로 상기 이동형 단말(110)이 접근 가능한 게이트웨이/서버(140)를 검색한다. Subsequently, in step S417, the TA manager 140 searches for service information and data channel establishment information corresponding to IDs of devices that have been previously registered, and based on the service information and data channel establishment information of the mobile terminal 110. In this way, the mobile terminal 110 searches for an accessible gateway/server 140.

이어, 단계 S419에서, TA 매니저(140)가 상기 검색된 게이트웨이/서버(140)에게 해당 이동형 단말(110)과의 데이터 채널 설정을 위한 데이터 채널 구축 정보와 네트워크 연결 명령(또는 인터페이스 개방 명령)을 전송하고, 동시에 또는 이후에, 단계 S421에서, TA 매니저(140)는 데이터 채널 구축을 위한 데이터 채널 구축 정보를 이동형 단말(110)에게 전송한다.Subsequently, in step S419, the TA manager 140 transmits data channel establishment information and a network connection command (or an interface open command) for establishing a data channel with the mobile terminal 110 to the searched gateway/server 140. At the same time or later, in step S421, the TA manager 140 transmits data channel establishment information for data channel establishment to the mobile terminal 110.

TA 매니저(140)로부터 데이터 채널 구축 정보와 네트워크 연결 명령(또는 인터페이스 개방 명령)을 수신한 게이트웨이/서버(140)는 상기 이동형 단말(110)에 내장된 제1 TA 에이전트(112)로부터의 데이터 채널 연결에 대해 요청 메시지를 기다린다.The gateway/server 140 receiving the data channel establishment information and the network connection command (or the interface open command) from the TA manager 140 is a data channel from the first TA agent 112 embedded in the mobile terminal 110. Wait for a request message for a connection.

단계 S423에서, 이동형 단말(110)에 내장된 제1 TA 에이전트(112)가 데이터 채널 구축 정보를 기반으로 상대방 노드, 즉, GW/서버(140)에게 데이터 채널 연결을 요청(보안 연결, 터널링 등)하는 요청 메시지를 전송하고, 이러한 요청 메시지를 게이트웨이/서버(140)가 수락함으로써, 이동형 단말과 게이트웨이/서버(140)를 연결하는 데이터 채널이 구축된다.In step S423, the first TA agent 112 embedded in the mobile terminal 110 requests a data channel connection to the other node, that is, the GW/server 140 based on the data channel establishment information (secure connection, tunneling, etc.) ), and the gateway/server 140 accepts the request message, thereby establishing a data channel connecting the mobile terminal and the gateway/server 140.

한편, 보다 신뢰적 연결망 구성을 위해 도 4에서는 도시하지 않았으나, 이동형 단말(110)에 연결되는 이동형 GW를 포함하는 GW 장비들은 이동형 단말들 또는 다른 GW 장비들과의 모든 데이터 채널이 차단되어야 한다. 즉, TA 매니저의 데이터 채널 구축 정보가 GW에 의해 활성화되기 전에는 모든 데이터 채널은 닫혀진 상태로 관리되어야 함을 의미한다.On the other hand, for a more reliable connection network configuration, although not shown in FIG. 4, GW devices including a mobile GW connected to the mobile terminal 110 must block all data channels with mobile terminals or other GW devices. That is, all data channels must be managed in a closed state before the TA manager's data channel establishment information is activated by the GW.

이상 설명한 바와 같이, 기존의 SDP 네트워크 기술은 이동형 환경에서 적용하기 위한 구체적인 절차 및 방법이 부재하고 모든 네트워크의 통제기능을 가지고 있는 Controller가 외부에 노출되어 있는 구조를 제안함으로써 DDoS공격을 방지하기 위한 인증 프로토콜에 대해 설계만으로 구조적인 안전성을 제공하기 어려울 수 있다. As described above, the existing SDP network technology has no specific procedures and methods to be applied in a mobile environment, and it is a certification to prevent DDoS attacks by proposing a structure in which the controller having the control function of all networks is exposed to the outside. It may be difficult to provide structural safety by design only for protocols.

또한, SDP가 제어채널 구축과정에서 Initiator와 Acceptor라는 비대칭 구조에 대해 상이한 절차를 가지는데 반해, 본 발명은 제어채널 구축과정이 그러한 구분 없이 동일하게 작동하도록 설계되었다는 점에서 복잡한 네트워크 환경을 더욱 단순하게 관리할 수 있도록 한다.In addition, while the SDP has different procedures for the asymmetric structures such as initiator and acceptor in the control channel establishment process, the present invention simplifies the complex network environment in that the control channel establishment process is designed to operate identically without such a distinction. Make it manageable.

현재 모바일 서비스 추세에 비추어 볼 때 이동형 단말 및 이동형 게이트웨이 등의 활용성은 점점 더 커지고 있기 때문에 다양한 네트워크들이 추가되고 언제 어느 곳에서도 연결할 수 있는 초연결 사회의 네트워크 핵심기술로써 더욱 활용도가 높을 것으로 기대된다.In view of the current mobile service trend, as the usability of mobile terminals and mobile gateways is increasing, various networks are added and it is expected to be more highly utilized as a core technology of a hyper-connected society that can be connected at any time and anywhere.

이상에서 본 발명에 대하여 실시 예를 중심으로 설명하였으나 이는 단지 예시일 뿐 본 발명을 한정하는 것이 아니며, 본 발명이 속하는 분야의 통상의 지식을 가진 자라면 본 발명의 본질적인 특성을 벗어나지 않는 범위에서 이상에 예시되지 않은 여러 가지의 변형과 응용이 가능함을 알 수 있을 것이다. 예를 들어, 본 발명의 실시 예에 구체적으로 나타난 각 구성 요소는 변형하여 실시할 수 있는 것이다. 그리고 이러한 변형과 응용에 관계된 차이점들은 첨부된 청구 범위에서 규정하는 본 발명의 범위에 포함되는 것으로 해석되어야 할 것이다.In the above, the present invention has been mainly described with reference to examples, but this is merely an example and does not limit the present invention, and those skilled in the art to which the present invention pertains are not limited to the essential characteristics of the present invention. It will be appreciated that various modifications and applications not illustrated in FIG. For example, each component specifically shown in the embodiments of the present invention can be implemented by modification. And differences related to these modifications and applications should be construed as being included in the scope of the invention defined in the appended claims.

Claims (10)

다수의 네트워크 노드들이, DDoS 공격으로부터 TA(Trust Access) 매니저를 보호하는 TA 보호기에게 인증 정보를 전송하고, 상기 TA 보호기가 상기 인증 정보를 상기 TA 매니저에게 포워딩하는 단계;
상기 TA 매니저가, 상기 인증 정보를 기반으로 상기 다수의 네트워크 노드들에 대한 인증 과정을 수행하고, 인증 성공 여부를 나타내는 인증 결과를 상기 TA 보호기에게 전송하는 단계;
상기 TA 보호기가, 상기 인증 결과에 따라 다수의 네트워크 노드들 중에서 인증된 네트워크 노드들에게 상기 TA 매니저와 연결되기 위한 상기 TA 매니저의 IP 정보 및 포트 정보를 포함하는 연결 정보를 전송하여, 상기 인증된 네트워크 노드들이 상기 연결 정보를 기반으로 상기 TA 매니저와 제어 채널을 오픈하는 단계; 및
상기 TA 매니저가 상기 인증된 네트워크 노드들에게 상기 오픈된 제어 채널을 통해 데이터 채널 설정을 위한 데이터 채널 구축 정보를 전송하여, 상기 인증된 네트워크 노드들이 상기 데이터 채널 구축 정보를 기반으로 데이터 채널을 구축하는 단계
를 포함하는 소프트웨어 정의 네트워크 기반 신뢰 네트워크 구성을 위한 방법.A plurality of network nodes transmitting authentication information to a TA protector protecting a Trust Access (TA) manager from a DDoS attack, and the TA protector forwarding the authentication information to the TA manager;
The TA manager performing an authentication process for the plurality of network nodes based on the authentication information, and transmitting an authentication result indicating whether authentication is successful to the TA protector;
The TA protector transmits connection information including IP information and port information of the TA manager to be connected to the TA manager to authenticated network nodes among a plurality of network nodes according to the authentication result. Network nodes opening the TA manager and a control channel based on the connection information; And
The TA manager transmits data channel establishment information for establishing a data channel through the open control channel to the authenticated network nodes, so that the authenticated network nodes establish a data channel based on the data channel establishment information. step
Method for configuring a software-defined network-based trust network comprising a. 삭제delete 제1항에서, 상기 인증 성공 여부를 나타내는 인증 결과를 상기 TA 보호기에게 전송하는 단계는,
상기 TA 매니저가 채널 인증 토큰을 발급하고, 발급된 채널 인증 토큰을 상기 인증 결과와 함께 상기 TA 보호기로 전송하는 단계인 것인 소프트웨어 정의 네트워크 기반 신뢰 네트워크 구성을 위한 방법.The method of claim 1, wherein the step of transmitting an authentication result indicating whether the authentication is successful is transmitted to the TA protector,
And the TA manager issuing a channel authentication token and transmitting the issued channel authentication token together with the authentication result to the TA protector. 제3항에서, 상기 인증된 네트워크 노드들이 상기 연결 정보를 기반으로 상기 TA 매니저와 제어 채널을 오픈하는 단계는,
상기 TA 보호기가, 상기 TA 매니저로부터 상기 인증 결과와 상기 채널 인증 토큰을 상기 인증된 네트워크 노드들에게 전송하는 단계를 포함하는 것인 소프트웨어 정의 네트워크 기반 신뢰 네트워크 구성을 위한 방법.The method of claim 3, wherein the step of opening the control channel with the TA manager based on the connection information by the authenticated network nodes is:
And the TA protector transmitting the authentication result and the channel authentication token from the TA manager to the authenticated network nodes. 제3항에서, 상기 인증된 네트워크 노드들이 상기 연결 정보를 기반으로 상기 TA 매니저와 제어 채널을 구축하는 단계는,
상기 제어 채널이 구축되면, 상기 인증된 네트워크 노드들이 상기 제어 채널을 통해 상기 TA 매니저에게 메시지를 전송할 때, 상기 TA 보호기를 통해 상기 TA 매니저에서 발급한 채널 인증 토큰을 상기 메시지와 함께 전송함으로써, 상기 제어 채널을 계속 유지하는 단계인 것인 소프트웨어 정의 네트워크 기반 신뢰 네트워크 구성을 위한 방법.The method of claim 3, wherein the step of establishing a control channel with the TA manager based on the connection information by the authenticated network nodes is:
When the control channel is established, when the authenticated network nodes transmit a message to the TA manager through the control channel, by transmitting the channel authentication token issued by the TA manager through the TA protector together with the message, the A method for configuring a software-defined network-based trust network, which is a step of maintaining a control channel. 제1항에서, 상기 데이터 채널 구축 정보는,
상기 인증된 네트워크 노드들 양쪽의 노드 정보, 보안 속성 정보 및 상기 인증된 네트워크 노드들간의 터널링 정보를 포함하는 것인 소프트웨어 정의 네트워크 기반 신뢰 네트워크 구성을 위한 방법.In claim 1, The data channel establishment information,
A method for configuring a software-defined network-based trusted network that includes node information on both sides of the authenticated network nodes, security attribute information, and tunneling information between the authenticated network nodes. 제1항에서,
상기 인증된 네트워크 노드들은 상기 TA 매니저에게 자신의 가용성을 나타내는 Keep Alive 상태 메시지를 주기적으로 전송하는 단계를 더 포함하는 것인 소프트웨어 정의 네트워크 기반 신뢰 네트워크 구성을 위한 방법.In claim 1,
And the authenticated network nodes periodically transmitting a Keep Alive status message indicating their availability to the TA manager. 다수의 네트워크 노드들로부터 인증 정보를 수신하는 TA(Trust Access) 보호기; 및
상기 인증 정보를 기반으로 상기 다수의 네트워크 노드들에 대한 인증 과정을 수행하고, 인증 성공 여부를 나타내는 인증 결과를 상기 TA 보호기에게 전송하는 TA 매니저를 포함하고,
상기 TA 보호기는 DDoS 공격으로부터 상기 TA 매니저를 보호하기 위해, 상기 인증 결과에 따라 상기 네트워크 노드들 중에서 인증된 네트워크 노드들에게 상기 TA 매니저와 연결되기 위한 상기 TA 매니저의 IP 정보 및 포트 정보를 포함하는 연결 정보를 전송하고,
상기 TA 매니저는 상기 연결 정보를 기반으로 상기 인증된 네트워크 노드들과 제어 채널을 오픈하고, 상기 인증된 네트워크 노드들이 데이터 채널을 구축하도록 상기 오픈된 제어 채널을 통해 데이터 채널 설정을 위한 데이터 채널 구축 정보를 상기 인증된 네트워크 노드들로 전송하는 것을 특징으로 하는 소프트웨어 정의 네트워크 기반 신뢰 네트워크 구성을 위한 장치.A Trust Access (TA) protector that receives authentication information from multiple network nodes; And
And a TA manager performing an authentication process for the plurality of network nodes based on the authentication information, and transmitting an authentication result indicating whether authentication is successful to the TA protector,
The TA protector includes IP information and port information of the TA manager for connecting to the TA manager to authenticated network nodes among the network nodes according to the authentication result, in order to protect the TA manager from DDoS attacks. Send connection information,
The TA manager opens a control channel with the authenticated network nodes based on the connection information, and establishes a data channel for establishing a data channel through the opened control channel so that the authenticated network nodes establish a data channel. Device for configuring a software-defined network-based trust network, characterized in that for transmitting to the authenticated network nodes. 삭제delete 제8항에서, 상기 TA 매니저는,
채널 인증 토큰을 발급하고, 발급된 채널 인증 토큰을 상기 인증 결과와 함께 상기 TA 보호기로 전송하는 것인 소프트웨어 정의 네트워크 기반 신뢰 네트워크 구성을 위한 장치.In claim 8, the TA manager,
Device for issuing a channel authentication token and transmitting the issued channel authentication token together with the authentication result to the TA protector.
KR1020180097019A 2018-08-20 2018-08-20 Method and apparatus for trust network configurations of mobile devices in software-defined network KR102132490B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180097019A KR102132490B1 (en) 2018-08-20 2018-08-20 Method and apparatus for trust network configurations of mobile devices in software-defined network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180097019A KR102132490B1 (en) 2018-08-20 2018-08-20 Method and apparatus for trust network configurations of mobile devices in software-defined network

Publications (2)

Publication Number Publication Date
KR20200021364A KR20200021364A (en) 2020-02-28
KR102132490B1 true KR102132490B1 (en) 2020-07-09

Family

ID=69638499

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180097019A KR102132490B1 (en) 2018-08-20 2018-08-20 Method and apparatus for trust network configurations of mobile devices in software-defined network

Country Status (1)

Country Link
KR (1) KR102132490B1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102460691B1 (en) * 2021-11-15 2022-10-31 프라이빗테크놀로지 주식회사 System for controlling network access based on controller and method of the same

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180069610A (en) * 2016-12-15 2018-06-25 주식회사 포스링크 Apparatus for providing access control in virtual private network and method for operating the same

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
"State of the Art and Recent Research Advances in Software Defined Networking" , Taimur Bakhshi, Wireless Communications and mobile Computing, pp.1-35 (2017.01.15.) 1부.*

Also Published As

Publication number Publication date
KR20200021364A (en) 2020-02-28

Similar Documents

Publication Publication Date Title
EP3286893B1 (en) Secure transmission of a session identifier during service authentication
US8667170B2 (en) Address conversion method, access control method, and device using these methods
US8555344B1 (en) Methods and systems for fallback modes of operation within wireless computer networks
EP3432523A1 (en) Method and system for connecting virtual private network by terminal, and related device
US9344417B2 (en) Authentication method and system
US9258278B2 (en) Unidirectional deep packet inspection
KR101992976B1 (en) A remote access system using the SSH protocol and managing SSH authentication key securely
JP2006085719A (en) Setting information distribution device, authentication setting transfer device, method, program, medium and setting information receiving program
CN105262597B (en) Network access verifying method, client terminal, access device and authenticating device
BR112021003448A2 (en) device without subscriber identity, subscriber identity device, method for use on a device without subscriber identity, method for use on a device with subscriber identity, and downloadable computer program product
US7424736B2 (en) Method for establishing directed circuits between parties with limited mutual trust
KR102132490B1 (en) Method and apparatus for trust network configurations of mobile devices in software-defined network
KR101628534B1 (en) VIRTUAL 802.1x METHOD AND DEVICE FOR NETWORK ACCESS CONTROL
JP4965499B2 (en) Authentication system, authentication device, communication setting device, and authentication method
JP2004295166A (en) Remote access system and remote access method
JP2012060357A (en) Remote access control method for mobile body system
EP4320821A1 (en) Method and system for self-onboarding of iot devices
KR101992985B1 (en) An access control system of controlling hard-coded passwords and commands for enhancing security of the servers
KR102059150B1 (en) IPsec VIRTUAL PRIVATE NETWORK SYSTEM
JP2008199497A (en) Gateway device and authentication processing method
CN114301967A (en) Narrow-band Internet of things control method, device and equipment
KR20160149926A (en) Remote control system of home network device using token server authentication and method thereof
JP2008199420A (en) Gateway device and authentication processing method
CN110830415B (en) Network access control method and device
US20220278960A1 (en) Systems and methods for dynamic access control for devices over communications networks

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right