KR102132490B1 - Method and apparatus for trust network configurations of mobile devices in software-defined network - Google Patents
Method and apparatus for trust network configurations of mobile devices in software-defined network Download PDFInfo
- Publication number
- KR102132490B1 KR102132490B1 KR1020180097019A KR20180097019A KR102132490B1 KR 102132490 B1 KR102132490 B1 KR 102132490B1 KR 1020180097019 A KR1020180097019 A KR 1020180097019A KR 20180097019 A KR20180097019 A KR 20180097019A KR 102132490 B1 KR102132490 B1 KR 102132490B1
- Authority
- KR
- South Korea
- Prior art keywords
- manager
- information
- authentication
- network nodes
- protector
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W16/00—Network planning, e.g. coverage or traffic planning tools; Network deployment, e.g. resource partitioning or cells structures
- H04W16/18—Network planning tools
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/143—Termination or inactivation of sessions, e.g. event-controlled end of session
- H04L67/145—Termination or inactivation of sessions, e.g. event-controlled end of session avoiding end of session, e.g. keep-alive, heartbeats, resumption message or wake-up for inactive or interrupted session
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Cardiology (AREA)
- General Health & Medical Sciences (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
이동형 장치들의 소프트웨어 정의 네트워크 기반 신뢰 네트워크 구성을 위한 방법이 개시된다. 이 방법은, 다수의 네트워크 노드들이, DDoS 공격으로부터 TA(Trust Access) 매니저를 보호하는 TA 보호기에게 인증 정보를 전송하고, 상기 TA 보호기가 상기 인증 정보를 상기 TA 매니저에게 포워딩하는 단계; 상기 TA 매니저가, 상기 인증 정보를 기반으로 상기 다수의 네트워크 노드들에 대한 인증 과정을 수행하고, 인증 성공 여부를 나타내는 인증 결과를 상기 TA 보호기에게 전송하는 단계; 상기 TA 보호기가, 상기 인증 결과에 따라 다수의 네트워크 노드들 중에서 인증된 네트워크 노드들에게 상기 TA 매니저와 연결되기 위한 연결 정보를 전송하여, 상기 인증된 네트워크 노드들이 상기 연결 정보를 기반으로 상기 TA 매니저와 제어 채널을 오픈하는 단계; 및 상기 TA 매니저가 상기 인증된 네트워크 노드들에게 상기 오픈된 제어 채널을 통해 데이터 채널 설정을 위한 데이터 채널 구축 정보를 전송하여, 상기 인증된 네트워크 노드들이 상기 데이터 채널 구축 정보를 기반으로 데이터 채널을 구축하는 단계를 포함한다.A method for configuring a software-defined network-based trust network of mobile devices is disclosed. The method includes the steps of: transmitting, by a plurality of network nodes, authentication information to a TA protector protecting a Trust Access (TA) manager from a DDoS attack, and forwarding the authentication information to the TA manager; The TA manager performing an authentication process for the plurality of network nodes based on the authentication information, and transmitting an authentication result indicating whether authentication is successful to the TA protector; The TA protector transmits connection information for connection with the TA manager to authenticated network nodes among a plurality of network nodes according to the authentication result, so that the authenticated network nodes are based on the connection information to the TA manager And opening a control channel; And the TA manager transmits data channel establishment information for establishing a data channel through the open control channel to the authenticated network nodes, so that the authenticated network nodes establish a data channel based on the data channel establishment information. It includes the steps.
Description
본 발명은 이동형 장치들 간의 신뢰적인 네트워크 구성과 관련된 것이다.The present invention relates to a reliable network configuration between mobile devices.
최근 소프트웨어적으로 네트워크의 연결성을 보장하고 관리하기 위한 기술들이 등장하고 있다. 소프트웨어 정의 네트워크(SDN: Software Defined Network) 기술, 소프트웨어 정의 경계(SDP: Software Defined Perimeter) 기술 등이 그 예이다. Recently, technologies for guaranteeing and managing network connectivity have appeared. Examples include software defined network (SDN) technology and software defined perimeter (SDP) technology.
SDN 기술은 네트워크의 설정 및 구축과 관리측면에서 연구되고 있는 기술이고 SDP 기술은 네트워크의 보안적인 측면에 집중하여 연구되고 있는 기술이다.SDN technology is a technology that is being studied in terms of network configuration, construction and management, and SDP technology is a technology that is focused on the security aspects of the network.
SDP 기술은 Controller(제어기), Initiator(요청자), Acceptor(승낙자)라는 세가지 구성요소를 가지며, 제어채널을 통해 인증되지 않은 노드에 대해서는 데이터 채널을 구축할 수 없도록 관리하는 기술이다. SDP technology has three components: Controller, Initiator, and Acceptor, and is a technology that manages data channels that cannot be established for nodes that are not authenticated through the control channel.
SDP 기술에서 네트워크 서비스를 요청하는 단말 노드에 탑재되는 구성요소는 Initiator라 부르며 게이트웨이나 서버에 탑재되어 데이터 네트워크를 직접적으로 제공하는 서비스 구성요소를 Acceptor라고 부른다. In SDP technology, a component mounted on a terminal node requesting network service is called an initiator, and a service component mounted on a gateway or server to directly provide a data network is called an acceptor.
기존 SDP 기술에서는, Controller가 외부에 노출되어 사이버 공격에 집중될 수 있는 단점과 Initiator와 Acceptor라는 서로 비대칭적인 절차 및 구성요소를 가짐으로 인해 복잡한 네트워크 환경이나 서버-to-서버, GW-to-GW 서비스 환경에 적용하기가 애매하다는 단점이 있다. In the existing SDP technology, a complicated network environment, server-to-server, or GW-to-GW due to the disadvantage of the controller being exposed to the outside and focusing on cyber attacks and asymmetric processes and components such as initiator and acceptor The disadvantage is that it is ambiguous to apply to the service environment.
더욱이, 이동형 장치 위주의 환경에서 적절하고 안전한 네트워크 서비스를 제공하기 위한 방법 및 절차도 불투명하다. 이러한 단점으로 인해 이동형 GW의 경우 Initiator와 Acceptor의 역할을 동시에 수행할 수 없게 된다. Moreover, methods and procedures for providing appropriate and secure network services in a mobile device-oriented environment are also unclear. Due to these shortcomings, in the case of a mobile GW, it is impossible to simultaneously perform the roles of an initiator and an acceptor.
일 측면에서의 본 발명의 목적은, 위의 문제점을 극복하기 위해 Initiator와 Acceptor의 구분없이 동일한 절차로 제어채널 구축과정을 제공하고 기존 고정된 네트워크 환경뿐만 아니라 이동형 환경에서도 안전한 신뢰네트워크의 구성을 위하여 이동형 장치들의 소프트웨어 기반 연결 관리 및 신뢰 네트워크 구성을 위한 보다 안전한 방법 및 장치를 제공하고자 한다.The object of the present invention in one aspect is to provide a control channel establishment process in the same procedure without distinction between an initiator and an acceptor to overcome the above problems, and to construct a secure trust network in a mobile environment as well as an existing fixed network environment. It is intended to provide a safer method and device for software-based connection management and trust network configuration of mobile devices.
즉, 본 발명은, 소프트웨어 정의 기반 경계(SDP) 기술의 기존 문제점을 개선하고 단말의 물리적 네트워크 환경에 제약이 있는 이동형 환경에서도 보다 안전한 네트워크 관리 구조를 제공함으로써 향후 IoT환경 등 네트워크 및 서비스 발전 추세에 보다 쉽게 정합 가능한 신뢰 네트워크 연결관리구조 및 방법을 제공하려고 한다.In other words, the present invention improves the existing problems of software-defined boundary (SDP) technology and provides a safer network management structure even in a mobile environment where the physical network environment of the terminal is limited, so that network and service development trends such as the IoT environment in the future. It is intended to provide a structure and method of connection management of a trusted network that can be more easily matched.
상술한 목적을 달성하기 위한 본 발명의 일면에 따른 이동형 장치들의 소프트웨어 정의 네트워크 기반 신뢰 네트워크 구성을 위한 방법은, 다수의 네트워크 노드들이, DDoS 공격으로부터 TA(Trust Access) 매니저를 보호하는 TA 보호기에게 인증 정보를 전송하고, 상기 TA 보호기가 상기 인증 정보를 상기 TA 매니저에게 포워딩하는 단계; 상기 TA 매니저가, 상기 인증 정보를 기반으로 상기 다수의 네트워크 노드들에 대한 인증 과정을 수행하고, 인증 성공 여부를 나타내는 인증 결과를 상기 TA 보호기에게 전송하는 단계; 상기 TA 보호기가, 상기 인증 결과에 따라 다수의 네트워크 노드들 중에서 인증된 네트워크 노드들에게 상기 TA 매니저와 연결되기 위한 연결 정보를 전송하여, 상기 인증된 네트워크 노드들이 상기 연결 정보를 기반으로 상기 TA 매니저와 제어 채널을 오픈하는 단계; 및 상기 TA 매니저가 상기 인증된 네트워크 노드들에게 상기 오픈된 제어 채널을 통해 데이터 채널 설정을 위한 데이터 채널 구축 정보를 전송하여, 상기 인증된 네트워크 노드들이 상기 데이터 채널 구축 정보를 기반으로 데이터 채널을 구축하는 단계를 포함한다.A method for configuring a software-defined network-based trust network of mobile devices according to an aspect of the present invention for achieving the above object, multiple network nodes are authenticated to a TA protector that protects a TA (Trust Access) manager from DDoS attacks Transmitting information, and the TA protector forwarding the authentication information to the TA manager; The TA manager performing an authentication process for the plurality of network nodes based on the authentication information, and transmitting an authentication result indicating whether authentication is successful to the TA protector; The TA protector transmits connection information for connection with the TA manager to authenticated network nodes among a plurality of network nodes according to the authentication result, so that the authenticated network nodes are based on the connection information to the TA manager And opening a control channel; And the TA manager transmits data channel establishment information for establishing a data channel through the open control channel to the authenticated network nodes, so that the authenticated network nodes establish a data channel based on the data channel establishment information. It includes the steps.
본 발명에 따르면, 기존의 Initiator와 Acceptor의 구분 없이 동일한 절차로 제어채널 구축과정을 제공하고 기존 고정된 네트워크 환경뿐만 아니라 이동 네트워크 환경에서도 안전한 신뢰네트워크를 구성할 수 있다.According to the present invention, it is possible to provide a control channel establishment process in the same procedure without distinction between an existing initiator and an acceptor, and to construct a secure trust network in a mobile network environment as well as a fixed network environment.
나아가, 현재 모바일 서비스 추세에 비추어 볼 때, 이동 네트워크 환경의 장치들, 예를 들면, 이동형 단말 및 이동형 게이트웨이 등의 활용성은 점점 더 커지고 있기 때문에 다양한 네트워크들이 추가되고 언제 어느 곳에서도 연결이 가능한 초연결 사회의 네트워크 핵심기술로써 더욱 활용도가 높을 것으로 기대된다.Furthermore, in view of the current mobile service trend, since the usability of devices in a mobile network environment, for example, a mobile terminal and a mobile gateway, is increasing, various networks are added and hyper-connection is possible at anytime and anywhere. It is expected to be more useful as a core network technology in society.
도 1은 본 발명의 일 실시 예에 따른 신뢰 네트워크 연결 구성을 위한 서비스 구조를 나타내는 도면이다.
도 2는 본 발명의 일 실시 예에 따른 제어 채널 구축 절차 중에서 고정형 GW/서버와 TA 매니저 간에 수행되는 등록 과정을 나타내는 흐름도이다.
도 3은 본 발명의 일 실시 예에 따른 제어 채널 구축 절차 중에서 이동형 GW와 TA 매니저 간에 수행되는 등록과정을 나타내는 흐름도이다.
도 4는 본 발명의 일 실시 예에 따른 이동형 단말과 고정형 GW/서버 사이의 네트워크 연결 요청 및 데이터 채널 구축 과정을 나타내는 흐름도이다.1 is a diagram showing a service structure for configuring a trust network connection according to an embodiment of the present invention.
2 is a flowchart illustrating a registration process performed between a fixed GW/server and a TA manager in a control channel establishment procedure according to an embodiment of the present invention.
3 is a flowchart illustrating a registration process performed between a mobile GW and a TA manager in a control channel establishment procedure according to an embodiment of the present invention.
4 is a flowchart illustrating a network connection request and a data channel establishment process between a mobile terminal and a fixed GW/server according to an embodiment of the present invention.
이하, 본 발명의 다양한 실시예가 첨부된 도면과 연관되어 기재된다. 본 발명의 다양한 실시예는 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들이 도면에 예시되고 관련된 상세한 설명이 기재되어 있다. 그러나, 이는 본 발명의 다양한 실시예를 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 다양한 실시예의 사상 및 기술 범위에 포함되는 모든 변경 및/또는 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 도면의 설명과 관련하여, 유사한 구성요소에 대해서는 유사한 참조 부호가 사용되었다. 본 발명의 다양한 실시예에서 사용될 수 있는“포함한다” 또는 “포함할 수 있다” 등의 표현은 개시(disclosure)된 해당 기능, 동작 또는 구성요소 등의 존재를 가리키며, 추가적인 하나 이상의 기능, 동작 또는 구성요소 등을 제한하지 않는다. 또한, 본 발명의 다양한 실시예에서, "포함하다" 또는 "가지다" 등의 용어는 명세서에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.Hereinafter, various embodiments of the present invention will be described in connection with the accompanying drawings. Various embodiments of the present invention may have various modifications and various embodiments, and specific embodiments are illustrated in the drawings and related detailed descriptions are described. However, this is not intended to limit the various embodiments of the present invention to specific embodiments, and should be understood to include all modifications and/or equivalents or substitutes included in the spirit and scope of the various embodiments of the present invention. In connection with the description of the drawings, similar reference numerals have been used for similar elements. Expressions such as “include” or “can include” that may be used in various embodiments of the present invention indicate the existence of a corresponding function, operation, or component disclosed, and additional one or more functions, operations, or The components and the like are not limited. In addition, in various embodiments of the present invention, terms such as “include” or “have” are intended to designate the existence of features, numbers, steps, operations, components, parts, or combinations thereof described in the specification, but one Or further features or numbers, steps, actions, components, parts, or combinations thereof, should not be excluded in advance.
도 1은 본 발명의 일 실시 예에 따른 신뢰 네트워크 연결 구성을 위한 서비스 구조를 나타내는 도면이다.1 is a diagram showing a service structure for configuring a trust network connection according to an embodiment of the present invention.
도 1을 참조하면, 본 발명의 일 실시 예에 따른 서비스 구조(또는 전체 시스템)는 이동형 단말, 이동형 게이트웨이(이동형 GW), 이동형 라우터 등으로 구성되는 이동 네트워크 환경의 장치들(또는 이동형 네트워크 노드들)과 고정형 게이트웨이(고정형 GW), 고정형 라우터, 서버 등으로 구성되는 고정 네트워크 환경의 장치들(고정형 네트워크 노드들) 간에 소프트웨어 정의 기반의 신뢰적인 네트워크 관리 구조를 확보하기 위한 절차 및 방법을 제공한다.Referring to FIG. 1, a service structure (or entire system) according to an embodiment of the present invention includes devices (or mobile network nodes) in a mobile network environment composed of a mobile terminal, a mobile gateway (mobile GW), and a mobile router. ) And a procedure and method for securing a reliable network management structure based on software definition between devices (fixed network nodes) in a fixed network environment composed of a fixed gateway (fixed GW), fixed router, and server.
이를 위해, 본 발명의 일 실시 예에 따른 서비스 구조(또는 전체 시스템)(100)는 도 1에 도시된 바와 같이, 네트워크 노드(110, 120), TA 보호기(Trust Access Protector, 130), TA 매니저(140) 및 인증 서버(150)를 포함한다.To this end, the service structure (or the entire system) 100 according to an embodiment of the present invention, as shown in Figure 1, the network node (110, 120), TA protector (Trust Access Protector, 130),
상기 네트워크 노드(110, 120)는 제1 네트워크 노드(110) 및 제2 네트워크 노드(120)를 포함한다. 상기 제1 네트워크 노드(110)는 이동형 단말, 이동형 게이트웨이, 이동형 라우터 등과 같은 이동 네트워크 환경의 장치들을 포함한다. 상기 제2 네트워크 노드(120)는 고정형 게이트웨이, 고정형 라우터, 고정형 서버 등과 같은 고정 네트워크 환경의 장치들을 포함한다. 상기 제1 네트워크 노드(110) 내부에는 제1 TA(Trust Access) 에이전트(112)가 탑재된다. 제2 네트워크 노드(120) 내부에는 제2 TA 에이전트(112)가 탑재된다.The
상기 TA 보호기(130)는 상기 TA 에이전트들(112, 122)이 네트워크에 접속하기 위해 인증 요청(①)에 따른 초기 인증절차를 수행한다. 또한, 상기 TA 보호기(130)는 DDoS(Distributed Denial of Service) 공격으로부터 상기 TA 매니저(140)를 보호한다. 이러한 TA 보호기(130)는 프로세서, 메모리 및 통신인터페이스를 포함하도록 구성된 컴퓨팅 장치 또는 서버 장치일 수 있다.The
상기 TA 매니저(140)는 상기 TA 보호기(130)로부터 상기 TA 에이전트들(112, 122)의 인증 정보를 수신하여 인증 서버(150)를 통해 인증 후 인증이 성공하면 상기 TA 에이전트들(112, 122)과 제어 채널(②)을 구성하여 관리한다. 또한, 상기 TA 매니저(140)는 인증된 상기 TA 에이전트들(112, 122)이 상호간에 데이터 채널(③)을 구축하도록 네트워크 노드들(110, 120) 간의 데이터 채널 구축 정보를 관리한다. 데이터 채널 구축 정보는, 두 노드 간에 데이터 기반 연결 서비스를 제공하기 위해 요구되는 정보를 의미한다. 이러한 TA 매니저(140)는 프로세서, 메모리 및 통신인터페이스를 포함하도록 구성된 컴퓨팅 장치 또는 서버 장치일 수 있다.The
상기 인증 서버(150)는 상기 TA 매니저(140)로부터 상기 TA 에이전트들(112, 122)의 인증 정보를 수신하고, 수신된 인증 정보를 기반으로 인증 절차를 수행한다. The
이러한 구성들(110~150)로 이루어진 신뢰 네트워크 연결 구성을 위한 서비스 구조에서는, 상기 TA 에이전트들(112, 122)의 인증 후에 제어 채널(②)이 생성되고, 상기 TA 에이전트들(112, 122)이 상기 생성된 제어 채널(②)을 통해 수신된 제어 명령과 정책에 의해 상기 TA 에이전트들(112, 122) 간의 데이터 채널 연결(③)이 제공된다.In the service structure for configuring a trust network connection composed of these
이하, 도 1에 도시된 서비스 구조에서 따른 서비스 실시 예에 대해 상세히 설명하기로 하며, 설명의 간략화를 위해, 상기 인증 서버(150)는 상기 TA 매니저(140)에 포함된 구성으로 설명하고, 상기 TA 보호기(130)와 상기 TA 매니저(140) 사이의 연결은 안전하게 구축된 것으로 가정한다.Hereinafter, a service embodiment according to the service structure shown in FIG. 1 will be described in detail, and for simplicity of explanation, the
서비스 실시 예Service example
도 1에 도시된 서비스 구조에서 제공되는 주요 절차는 상기 TA 에이전트들(112 및 122)과 TA 보호기(130) 사이에서 진행되는 인증 요청 절차, 상기 TA 에이전트들(112 및 122)과 상기 TA 매니저(140) 사이에서 진행되는 제어 채널 구축 절차(또는 제어 채널 구성 절차) 및 상기 제1 TA 에이전트(112)와 상기 제2 TA 에이전트(122) 사이에서 진행되는 데이터 채널 구축 절차(또는 데이터 채널 구성 절차)를 포함한다. The main procedure provided in the service structure shown in FIG. 1 is an authentication request procedure performed between the
인증 요청 절차Authentication request process
먼저, 인증 요청 절차는 통신을 원하는 네트워크 노드들(110 및 120)(또는 TA 에이전트들(112 및 122))과 TA 보호기(130) 사이에 일어난다. 네트워크 상에 존재하는 네트워크 노드(110)는, 통신하고자 하는 상대 네트워크 노드(120)와 데이터 채널 구축을 위해, 상기 TA 보호기(130)가 제공하는 통신 인터페이스를 통해 먼저 자신을 인증하여야 한다. First, the authentication request procedure occurs between the
상기 TA 보호기(130)는 네트워크 노드들(110 및 120)로부터의 인증 요청 메시지에 포함된 인증 정보를 노드 정보와 함께 TA 매니저(140)로 송신하고, 이를 수신한 상기 TA 매니저(140)는 인증 과정을 통해 해당 노드(110 및 120)에 대한 인증 과정을 수행한다.The
인증이 성공하면, 상기 TA 보호기(130)는 네트워크 노드(110 및 120)가 상기 TA 매니저와 제어 채널을 구축할 수 있도록 상기 TA 매니저(140)의 연결 정보(예를 들면, IP, 포트 정보 등)와 채널 인증 토큰을 자신의 인증을 요청한 네트워크 노드(110 및 120)에게 송신한다. 이러한 연결 정보의 송신 과정은 상기 TA 매니저(140)가 DDoS와 같은 서비스 거부 공격에 노출되는 것을 방지하기 위함이다. If authentication is successful, the
이후 상기 TA 매니저(140)와 해당 노드(110, 120) 사이의 제어 채널 구축 절차가 시작된다.Thereafter, a control channel establishment procedure between the
인증 요청 절차를 위해, 상기 TA 보호기(130)는 인증을 요청한 네트워크 노드(110, 120)가 자신(130)을 신뢰하고 인증 요청 절차를 수행할 수 있도록 안전한 채널을 제공하여야 한다.For the authentication request procedure, the
제어 채널 구축 절차Control Channel Construction Procedure
제어 채널 구축 절차는 상기 TA 에이전트들(112 및 122)과 상기 TA 매니저(140) 사이에서 일어난다. 네트워크의 신뢰적인 연결구성을 위해 가장 기본이 되는 장치는 TA 매니저(140)이다. The control channel establishment procedure takes place between the
상기 TA 매니저(140)는 접속을 시도하는 네트워크 노드들(110, 120)을 인증하고, 인증된 노드들(110, 120)(또는 TA 에이전트들(112 및 122))과의 제어 채널(②)을 유지 및 관리하는 역할을 수행하며, 유지 및 관리에 필요한 관련 정보들을 관리한다. The
상기 TA 매니저(140)는 인증된 노드들(110, 120) 또는 TA 에이전트들(112 및 122))이 상호 데이터 채널(③)을 구축할 수 있게 하는 관련 정보들을 관리한다. The
관련 정보들은 다음과 같다.The relevant information is as follows.
- 네트워크 노드들(110, 120)의 서비스 및 접근 제어 정보-Service and access control information of
- 네트워크 노드들(110, 120)의 주소 정보-Address information of
- 네트워크 노드들(110, 120)의 인증 정보(예, ID, 비밀정보, 인증서 등)-Authentication information of
- 네트워크 노드들(110, 120)의 제어 채널 정보-Control channel information of
- 네트워크 노드들(110, 120)의 데이터 채널 관리 정보(데이터 채널 연결 관리 정보, 보안 속성 정보, 터널링 정보 등)-Data channel management information of
- 네트워크 노드들(110, 120)의 서비스 접근 제어 정보-Service access control information of
- 정해진 TA 보호기의 등록 정보 및 안전한 연결 관리 정보(TA 보호기의 인증 정보, TA 보호기의 연결정보 등)-Registered TA protector registration information and secure connection management information (TA protector authentication information, TA protector connection information, etc.)
상기 제어 채널 정보는 인증 후 등록된 네트워크 노드들 중에서 로그인된 노드들(110, 120)에 대한 식별 정보, 연결 주소 정보, 연결 노드 정보, 연결 상태 정보, 세션 식별 정보, 로그인 정보, 채널 인증 토큰 등을 포함한다.The control channel information includes identification information, login address information, connection node information, connection status information, session identification information, login information, channel authentication token, etc. of logged nodes (110, 120) among registered network nodes after authentication. It includes.
상기 데이터 채널 관리 정보는 상기 TA 매니저(140)가 임의의 두 노드간에 데이터 채널(③)을 구축할 수 있도록 요구되는 관리정보를 의미한다. 즉, 데이터 채널 관리 정보는 데이터 채널(③)이 구축되기 위한 양쪽 엔드 노드 정보, 보안이 필요하면 보안 속성 정보, 터널링이 필요하면 엔드간 터널링 정보 등을 포함할 수 있다. The data channel management information means management information required for the
상기 보안 속성 정보는 보안과 관련된 파라미터로서, 키값, 키의 크기, 사용되는 알고리즘 등과 관련된 정보를 포함한다.The security attribute information is a security-related parameter and includes information related to a key value, a key size, and an algorithm used.
상기 터널링 정보는 네트워크 연결 방법에서 경로에 존재하는 라우터 등을 의식하지 않고, 송신지와 목적지까지 하나의 터널처럼 연결하기 위한 정보로서, 셋업 정보, IP_in_IP 터널, IPsec 터널 등을 예로 들 수 있다.The tunneling information is information for connecting to a source and a destination like a tunnel without being aware of a router or the like existing in a path in a network connection method, and examples include setup information, IP_in_IP tunnel, and IPsec tunnel.
이러한 정보는, 기존의 SDP(Software Defined Perimeter)가 가지는 비대칭성을 극복하기 위해, 상기 TA 매니저(140)가 관리하여야 하는 정보이고, 이 정보를 이용하여 상기 TA 매니저(140)는 단말이나 장비들의 통신이 어느 쪽에서 먼저 요청되어도 상관없이 대칭적으로 신뢰적 연결관리를 수행할 수 있도록 한다.This information is information to be managed by the
실제적으로 인터넷 서비스를 제공하는 사업자들의 네트워크에서 장치들의 데이터 채널 연결은 보통 [단말-to-서버], [단말-to-게이트웨이], [게이트웨이-to-게이트웨이], [게이트웨이-to-서버] 등과 같은 형태로 네트워크 토폴로지 차원에서 관리 및 구축된다.In practice, the data channel connection of devices in the network of operators that provide Internet services is usually [terminal-to-server], [terminal-to-gateway], [gateway-to-gateway], [gateway-to-server], etc. In the same way, it is managed and built at the network topology level.
이를 신뢰적으로 관리하기 위해 먼저 보호하려는 자원이 위치한 곳에 대한 연결성을 제공하는 장치인 게이트웨이, 서버 등에 탑재된 TA 에이전트는 TA 매니저(140)에 인증 후 TA 매니저(140)에 장치의 가용성 여부를 먼저 등록하게 한다. 실제 장치들의 가용성이 TA 매니저(140)에 등록되어 관리되지 않는다면 어떠한 단말 또는 장치도 네트워크에 접근할 수 없도록 관리되어야 한다.In order to reliably manage this, the TA agent mounted on the gateway, server, etc., which is a device that provides connectivity to the resource where the resource to be protected is located, first authenticates with the
TA 매니저(140)는 등록된 장치들에 대해 제어 채널(②)의 형성을 통해 채널의 상태 정보를 파악하고, 향후 어떤 장치나 단말의 네트워크 접근 요청 시 현재 가용한 등록된 장치와의 데이터 채널 구축 정보를 전달하게 된다.The
제어 채널 구축 및 해제를 위해, 구축된 제어 채널(②)은 장치들의 로그인/로그아웃 기반으로 유지되거나 종료되며, https 또는 TLS 등으로 보호되어야 한다.To establish and release the control channel, the established control channel (②) is maintained or terminated based on the login/logout of devices, and must be protected by https or TLS.
TA 매니저(140)에서 자원 보호를 위한 고정형 네트워크 노드들(고정 네트워크 환경의 고정형 GW/서버)의 등록과정은 도 2와 같다. The registration process of fixed network nodes (fixed GW/server in a fixed network environment) for resource protection in the
도 2를 참조하면, 먼저, 단계 S201에서, 네트워크 노드(고정형 GW/서버(120)) 또는 네트워크 노드(120)에 내장된 TA 에이전트(112 및 122)가 자신의 인증 정보를 TA 보호기(130)로 전송하여, TA 보호기(130)에게 자신(고정형 GW/서버(110 및 120))의 인증을 요청한다.Referring to FIG. 2, first, in step S201, the network node (fixed GW/server 120) or the
이어, 단계 S203에서, 상기 TA 보호기(130)가 고정형 GW/서버(120)로부터 수신한 고정형 GW/서버(120)의 인증 정보를 상기 TA 매니저(140)로 포워딩 한다.Subsequently, in step S203, the
이어, 단계 S205에서, 상기 TA 매니저(140)가 상기 TA 보호기(130)로부터 포워딩된 고정형 GW/서버(120)의 인증 정보를 기반으로 인증 과정을 수행하고, 인증 성공 시, 고정형 GW/서버(120)의 인증 정보에 포함된 고정형 GW/서버(120)의 노드 정보, 예를 들면, 식별 정보, IP 정보 등을 데이터베이스(도시하지 않음)에 등록한다. Subsequently, in step S205, the
이어, 단계 S207에서, 상기 TA 매니저(140)가 상기 인증 과정을 수행한 결과, 즉, 인증 성공 또는 실패 여부를 나타내는 인증 결과를 상기 TA 보호기(130)로 전송한다. 이때, 상기 고정형 GW/서버(120)의 인증 성공 시에, 상기 TA 매니저(140)는 채널 인증 토큰을 발급하게 되는데, 발급된 채널 인증 토큰을 상기 인증 결과와 함께 상기 TA 보호기(130)에게 전송한다. 이러한 채널 인증 토큰은 TA 매니저(140)와 고정형 GW/서버(120) 간의 제어 채널이 소실되지 않도록 관리하기 위한 용도로 사용된다. 이를 위해, TA 매니저(140)는, 아래의 단계 S209에서 설명하겠지만, 상기 고정형 GW/서버(120)의 인증이 끝나면, 제어 채널과 관련된 채널 인증 토큰을 발행하여 고정형 GW/서버(120)에게 전달하게 된다. 이후, 고정형 GW/서버(120)는 제어 채널을 통해 TA 매니저(140)에게 메시지를 전송할 때, 채널 인증 토큰을 메시지와 함께 전송함으로써, 인증된 제어 채널을 계속 유지할 수 있도록 한다. 이러한 채널 인증 토큰은 고정형 GW/서버(120)가 로그아웃되면 삭제되고, 단계 S201, S203 및 S205를 순차적으로 수행하여, 단계 S207에서 인증 성공하면, 재발급되어, TA 보호기(130)를 통해 고정형 GW/서버(120)로 전송되어 사용된다.Subsequently, in step S207, the
이어, 단계 S209에서, 상기 TA 보호기(130)가 상기 TA 매니저(140)로부터 인증 성공을 나타내는 상기 인증 결과와 채널 인증 토큰을 수신하면, 상기 인증 성공을 나타내는 인증 결과에 응답하여 상기 TA 매니저(140)와 연결되기 위한 연결 정보(TA 매니저(140)의 IP 정보, TA 매니저(140)의 port 정보 등)와 상기 채널 인증 토큰을 상기 고정형 GW/서버(120)로 송신한다. 만일, 상기 TA 보호기(130)가 상기 TA 매니저(140)로부터 인증 실패를 나타내는 상기 인증 결과를 수신하면, 도면에 도시하지는 않았으나, 상기 TA 보호기(130)가 상기 고정형 GW/서버(120)에게 인증 정보에 대한 재요청 메시지를 전송하고, 상기 재요청 매시지에 응답하여, 상기 고정형 GW/서버(120)는 상기 TA 보호기(130)를 거쳐 상기 TA 매니저(140)에게 자신(120)의 인증 정보를 전송하고, 상기 TA 매니저(140)는 상기 고정형 GW/서버(120)로부터 재전송된 인증 정보를 기반으로 상기 고정형 GW/서버(120)의 인증 절차를 반복 수행한다.Subsequently, in step S209, when the
상기 상기 TA 매니저(140)와 연결되기 위한 연결 정보(TA 매니저(140)의 IP 정보, TA 매니저(140)의 port 정보 등)는 TA 보호기(130) 내에 사전에 등록된 정보일 수 있다. 또는, TA 매니저(140)가 인증 성공을 나타내는 인증 결과를 TA 보호기(130)에 전송하는 시점에서 상기 인증 결과와 함께 상기 TA 보호기(130)에 전송할 수도 있다.The connection information (IP information of the
이어, 단계 S211에서, 상기 고정형 GW/서버(110 및 120)가 상기 연결 정보(TA 매니저(140)의 IP 정보, TA 매니저(140)의 port 정보 등)와 상기 채널 인증 토큰을 이용하여 상기 TA 매니저(140)와의 제어 채널을 오픈한다.Subsequently, in step S211, the fixed GW/
이어, 단계 S213에서, 상기 제어 채널의 오픈과 동시에 또는 상기 제어 채널의 오픈 이후에, 상기 TA 매니저(140)는 상기 오픈된 제어 채널과 관련된 제어 채널 정보, 예를 들면, 인증 후 등록된 고정형 GW/서버 들 중에서 로그인된 고정형 GW/서버에 대한 노드 정보(로그인된 고정형 GW/서버(120)의 식별 정보, IP), 세션 식별 정보, 채널 인증 토큰, 로그인 정보 등을 데이터베이스에 등록한다. Subsequently, in step S213, simultaneously with the opening of the control channel or after the opening of the control channel, the
이어, 단계 S215에서, 상기 고정형 GW/서버(110 및 120)는 상기 TA 매니저(140)에게 자신의 가용성을 나타내는 Keep Alive 상태 메시지를 주기적으로 보고한다. Subsequently, in step S215, the fixed GW/
한편, 고정형 네트워크 노드들(이동형 단말 또는 이동형 GW)가 존재하는 환경에서 단말의 네트워크 연결 서비스 요청을 위한 상기 이동형 GW와 상기 TA 매니저(140) 간에 수행되는 과정도 도 2의 등록과정과 거의 동일하게 수행된다.Meanwhile, the process performed between the mobile GW and the
보다 자세히 설명하면, 먼저, 이동형 네트워크 환경에서 이동형 GW는 자신을 통해 이동형 단말이 데이터 통신을 할 수 있도록 네트워크 서비스를 제공하여야 한다. 따라서, 먼저 이동형 게이트웨이가 기존에 구축된 네트워크와 데이터 채널의 연결성을 확보하기 위한 절차가 필요하다. 이것은 [이동형 GW-to-GW] 데이터 채널 연결을 위한 네트워크 연결 요청 과정에 의해 수행된다. TA 보호기(130)의 입장에서 이동형 GW의 등록과정은 단말의 서비스 연결 요청과 동일하게 보여질 것이다. In more detail, first, in a mobile network environment, the mobile GW must provide a network service so that the mobile terminal can perform data communication through itself. Therefore, first, a procedure is required to secure the connectivity between the network and the data channel in which the mobile gateway is established. This is performed by the network connection request process for the [mobile GW-to-GW] data channel connection. From the standpoint of the
하지만, 만약 이동형 GW가 로그아웃 이전에 다른 IP 정보를 가진 위치에서 동작하게 된다면, 이를 제어 및 관리하기 위한 방법이 필요하다. 즉, 전술한 바와 같이, 인증되지 않은 노드와의 제어 채널이 구축되거나 인증된 상태에서 이동에 의해 제어 채널이 소실되지 않도록 TA 매니저는 이동형 게이트와의 인증이 끝나면, 구축된 제어 채널과 관련한 채널 인증 토큰을 발행하여 이동형 단말들(또는 이동형 장치들)에게 전달하게 된다. 이후, 이동형 단말들(또는 이동형 장치들)은 제어 채널을 통해 TA 매니저(140)에게 메시지 전송 시, 채널 인증 토큰을 메시지와 함께 전송함으로써, 인증된 제어 채널을 계속 유지할 수 있도록 한다. 이러한 채널 인증 토큰은 이동형 단말들(또는 이동형 장치들)이 로그아웃되면 삭제되고, 로그인하면 재발급되어야 사용되어야 한다.However, if the mobile GW operates at a location with different IP information before logout, a method for controlling and managing it is needed. That is, as described above, when the control channel with an unauthenticated node is established or authenticated so that the control channel is not lost due to movement, the TA manager ends the authentication with the mobile gate, and then authenticates the channel with respect to the established control channel. Tokens are issued and delivered to mobile terminals (or mobile devices). Thereafter, when the mobile terminal (or mobile devices) transmits a message to the
이러한 상기 이동형 GW의 등록 과정과 제어 채널 구축 과정을 포함하는 서비스 실시 예는 도 3과 같다.The service embodiment including the registration process of the mobile GW and the control channel establishment process is illustrated in FIG. 3.
도 3의 단계 S301~S315는 도 2의 단계 S201~S215에 각각 대응하는 것으로, 당업자라면, 도 2의 단계 S201~S215에 대한 설명으로 도 3의 단계 S301~S315를 충분히 이해할 수 있을 것이다. 따라서, 도 3의 단계 S301~S315에 대한 설명은 생략하기로 한다.Steps S301 to S315 of FIG. 3 correspond to steps S201 to S215 of FIG. 2, and those skilled in the art will fully understand steps S301 to S315 of FIG. 3 with description of steps S201 to S215 of FIG. 2. Therefore, the description of steps S301 to S315 of FIG. 3 will be omitted.
다만, 단계 S309와 단계 S311 사이에서, 이동형 GW(110)의 TA 에이전트(112)가 자신과 TA 매니저를 연결하기 위해 TA 보호기(130)를 거쳐 TA 매니저(140)로부터 전달된 연결 정보(IP, port 등)를 셋-업(set-up)하는 절차(단계 S309A)가 더 수행될 수 있다.However, between steps S309 and S311, the
이동형 GW(110)의 TA 에이전트(112)는 이동형 GW(110)를 통해 통신을 시도하는 노드들(이동형 단말들 또는 이동형 장치들)의 인증 요청을 수신하고, 그들의 인증 정보를 TA 보호기(130)에게 전송하게 된다. 이때, 이동형 GW(110)는 TA 보호기(130)로 향하는 통신 채널에 대해 항상 개방되도록 관리하여야 한다.The
한편, 도 2 및 3에서, TA 보호기(130)와 TA 매니저(140)는 안전한 연결 구성이 필요하다. 이것은 장치들(고정형 GW/서버, 이동형 GW 또는 이동형 단말)의 인증 요청이 TA 보호기(130)를 거치지 않고 TA 매니저로 직접 요청되는 것을 방지하기 위함이다. 즉, TA 매니저(140)는 항상 정해진 TA 보호기(130)를 통해 장치들(고정형 GW/서버, 이동형 GW 또는 이동형 단말)의 인증 요청을 위한 인증 정보를 수신하도록 관리되어야 한다.On the other hand, in Figures 2 and 3, the
데이터 채널 구축 절차Data channel establishment procedure
도 2 및 3과 같이, 고정형 GW 장치 또는 이동형 GW의 등록과정을 포함하는 제어 채널 구축 절차가 끝나면, 이동형 단말의 네트워크 서비스 연결요청 과정 및 데이터 채널 구축 절차가 시작될 수 있다. 2 and 3, when the control channel establishment procedure including the registration process of the fixed GW device or the mobile GW is completed, a network service connection request process and a data channel establishment procedure of the mobile terminal may be started.
이동형 단말은 자신이 이용할 수 있는 네트워크 환경이 없을 경우 이동형 GW 장치를 이용하여 네트워크 서비스를 이용할 수밖에 없다. 이러한 경우를 위해 이동형 단말과 이동형 GW간의 네트워크 설정이 필요하다. 이 과정은 본 명세서에서 특별히 언급하지는 않는다. When a mobile terminal does not have a network environment available to it, it is forced to use a network service using a mobile GW device. For this case, it is necessary to establish a network between the mobile terminal and the mobile GW. This process is not specifically mentioned in this specification.
이동형 단말과 이동형 GW간의 네트워크 설정이 끝나면, 비로서 이동형 단말은 이동형 GW를 통해 인증 요청 과정을 시작으로 네트워크 서비스 연결요청 과정 및 데이터 채널 구축 절차를 진행할 수 있게 된다. 이 과정은 도 4와 같다.After the network setup between the mobile terminal and the mobile GW is finished, the mobile terminal can perform a network service connection request process and a data channel establishment procedure by starting an authentication request process through the mobile GW. This process is as shown in FIG. 4.
도 4를 참조하면, 먼저, 단계 S401에서, 이동형 단말(110-1)에 내장된 제1 TA 에이전트(112)가 이동형 단말(110)의 인증 정보를 포함하는 인증 요청 메시지를 TA 보호기(130)로 전송하여 자신(110)의 인증을 요청한다.Referring to FIG. 4, first, in step S401, the
이어, 단계 S403에서, TA 보호기(130)가 이동형 단말(110)로부터 수신한 인증 정보를 TA 매니저(140)로 포워딩 한다.Next, in step S403, the
이어, 단계 S405에서, TA 매니저(140)가 TA 보호기(130)로부터 포워딩된 이동형 단말(110)의 인증 정보를 기반으로 이동형 단말(110)에 대한 인증 과정을 수행하고, 이동형 단말(110)의 인증이 성공하면, 이동형 단말(110)의 노드 정보(식별 정보, IP 정보)를 데이터베이스에 등록한다. Subsequently, in step S405, the
이어, 단계 S407에서, TA 매니저(140)가 이동형 단말(110)의 인증 성공을 나타내는 인증 결과 메시지와 채널 인증 토큰을 TA 보호기(130)로 전송한다.Subsequently, in step S407, the
이어, 단계 S409에서, TA 보호기(130)가 인증 성공을 나타내는 인증 결과 메시지에 응답하여 이동형 단말(110)과 TA 매니저(140) 간의 통신 연결을 위한 연결 정보(TA 매니저의 IP, Port 등)와 채널 인증 토큰을 이동형 단말(110-1)에 전송한다. Subsequently, in step S409, the
이어, 단계 411에서, 이동형 단말(110)에 내장된 제1 TA 에이전트(112)가 상기 연결 정보 및 상기 채널 인증 토큰을 이용하여 상기 TA 매니저(140)와의 제어 채널을 오픈한다.Subsequently, in step 411, the
이어, 단계 S413에서, 상기 제어 채널의 오픈과 동시에 또는 상기 제어 채널 오픈 이후에, 상기 TA 매니저(140)는 상기 오픈된 제어 채널과 관련된 제어 채널 정보, 예를 들면, 인증 후 등록된 이동형 단말(110)들 중에서 로그인된 이동형 단말들에 대한 노드 정보(식별 정보, IP 정보), 연결 주소 정보, 연결 상태 정보, 세션 식별 정보, 채널 인증 토큰, 로그인 정보 등을 데이터베이스(도시하지 않음)에 등록한다. Subsequently, in step S413, at the same time as the control channel is opened or after the control channel is opened, the
이어, 단계 S415에서, 이동형 단말(110)에 내장된 제1 TA 에이전트(112)가 오픈된 제어 채널을 통해 이동형 단말(110)의 가용성을 나타내는 Keep Alive 상태 메시지를 TA 매니저(140)에게 주기적으로 보고한다. Then, in step S415, the
이어, 단계 S417에서, TA 매니저(140)가 이미 사전에 등록된 장치들의 ID에 해당하는 서비스 정보와 데이터 채널 구축 정보를 검색하여, 상기 이동형 단말(110)의 서비스 정보와 데이터 채널 구축 정보를 기반으로 상기 이동형 단말(110)이 접근 가능한 게이트웨이/서버(140)를 검색한다. Subsequently, in step S417, the
이어, 단계 S419에서, TA 매니저(140)가 상기 검색된 게이트웨이/서버(140)에게 해당 이동형 단말(110)과의 데이터 채널 설정을 위한 데이터 채널 구축 정보와 네트워크 연결 명령(또는 인터페이스 개방 명령)을 전송하고, 동시에 또는 이후에, 단계 S421에서, TA 매니저(140)는 데이터 채널 구축을 위한 데이터 채널 구축 정보를 이동형 단말(110)에게 전송한다.Subsequently, in step S419, the
TA 매니저(140)로부터 데이터 채널 구축 정보와 네트워크 연결 명령(또는 인터페이스 개방 명령)을 수신한 게이트웨이/서버(140)는 상기 이동형 단말(110)에 내장된 제1 TA 에이전트(112)로부터의 데이터 채널 연결에 대해 요청 메시지를 기다린다.The gateway/
단계 S423에서, 이동형 단말(110)에 내장된 제1 TA 에이전트(112)가 데이터 채널 구축 정보를 기반으로 상대방 노드, 즉, GW/서버(140)에게 데이터 채널 연결을 요청(보안 연결, 터널링 등)하는 요청 메시지를 전송하고, 이러한 요청 메시지를 게이트웨이/서버(140)가 수락함으로써, 이동형 단말과 게이트웨이/서버(140)를 연결하는 데이터 채널이 구축된다.In step S423, the
한편, 보다 신뢰적 연결망 구성을 위해 도 4에서는 도시하지 않았으나, 이동형 단말(110)에 연결되는 이동형 GW를 포함하는 GW 장비들은 이동형 단말들 또는 다른 GW 장비들과의 모든 데이터 채널이 차단되어야 한다. 즉, TA 매니저의 데이터 채널 구축 정보가 GW에 의해 활성화되기 전에는 모든 데이터 채널은 닫혀진 상태로 관리되어야 함을 의미한다.On the other hand, for a more reliable connection network configuration, although not shown in FIG. 4, GW devices including a mobile GW connected to the
이상 설명한 바와 같이, 기존의 SDP 네트워크 기술은 이동형 환경에서 적용하기 위한 구체적인 절차 및 방법이 부재하고 모든 네트워크의 통제기능을 가지고 있는 Controller가 외부에 노출되어 있는 구조를 제안함으로써 DDoS공격을 방지하기 위한 인증 프로토콜에 대해 설계만으로 구조적인 안전성을 제공하기 어려울 수 있다. As described above, the existing SDP network technology has no specific procedures and methods to be applied in a mobile environment, and it is a certification to prevent DDoS attacks by proposing a structure in which the controller having the control function of all networks is exposed to the outside. It may be difficult to provide structural safety by design only for protocols.
또한, SDP가 제어채널 구축과정에서 Initiator와 Acceptor라는 비대칭 구조에 대해 상이한 절차를 가지는데 반해, 본 발명은 제어채널 구축과정이 그러한 구분 없이 동일하게 작동하도록 설계되었다는 점에서 복잡한 네트워크 환경을 더욱 단순하게 관리할 수 있도록 한다.In addition, while the SDP has different procedures for the asymmetric structures such as initiator and acceptor in the control channel establishment process, the present invention simplifies the complex network environment in that the control channel establishment process is designed to operate identically without such a distinction. Make it manageable.
현재 모바일 서비스 추세에 비추어 볼 때 이동형 단말 및 이동형 게이트웨이 등의 활용성은 점점 더 커지고 있기 때문에 다양한 네트워크들이 추가되고 언제 어느 곳에서도 연결할 수 있는 초연결 사회의 네트워크 핵심기술로써 더욱 활용도가 높을 것으로 기대된다.In view of the current mobile service trend, as the usability of mobile terminals and mobile gateways is increasing, various networks are added and it is expected to be more highly utilized as a core technology of a hyper-connected society that can be connected at any time and anywhere.
이상에서 본 발명에 대하여 실시 예를 중심으로 설명하였으나 이는 단지 예시일 뿐 본 발명을 한정하는 것이 아니며, 본 발명이 속하는 분야의 통상의 지식을 가진 자라면 본 발명의 본질적인 특성을 벗어나지 않는 범위에서 이상에 예시되지 않은 여러 가지의 변형과 응용이 가능함을 알 수 있을 것이다. 예를 들어, 본 발명의 실시 예에 구체적으로 나타난 각 구성 요소는 변형하여 실시할 수 있는 것이다. 그리고 이러한 변형과 응용에 관계된 차이점들은 첨부된 청구 범위에서 규정하는 본 발명의 범위에 포함되는 것으로 해석되어야 할 것이다.In the above, the present invention has been mainly described with reference to examples, but this is merely an example and does not limit the present invention, and those skilled in the art to which the present invention pertains are not limited to the essential characteristics of the present invention. It will be appreciated that various modifications and applications not illustrated in FIG. For example, each component specifically shown in the embodiments of the present invention can be implemented by modification. And differences related to these modifications and applications should be construed as being included in the scope of the invention defined in the appended claims.
Claims (10)
상기 TA 매니저가, 상기 인증 정보를 기반으로 상기 다수의 네트워크 노드들에 대한 인증 과정을 수행하고, 인증 성공 여부를 나타내는 인증 결과를 상기 TA 보호기에게 전송하는 단계;
상기 TA 보호기가, 상기 인증 결과에 따라 다수의 네트워크 노드들 중에서 인증된 네트워크 노드들에게 상기 TA 매니저와 연결되기 위한 상기 TA 매니저의 IP 정보 및 포트 정보를 포함하는 연결 정보를 전송하여, 상기 인증된 네트워크 노드들이 상기 연결 정보를 기반으로 상기 TA 매니저와 제어 채널을 오픈하는 단계; 및
상기 TA 매니저가 상기 인증된 네트워크 노드들에게 상기 오픈된 제어 채널을 통해 데이터 채널 설정을 위한 데이터 채널 구축 정보를 전송하여, 상기 인증된 네트워크 노드들이 상기 데이터 채널 구축 정보를 기반으로 데이터 채널을 구축하는 단계
를 포함하는 소프트웨어 정의 네트워크 기반 신뢰 네트워크 구성을 위한 방법.A plurality of network nodes transmitting authentication information to a TA protector protecting a Trust Access (TA) manager from a DDoS attack, and the TA protector forwarding the authentication information to the TA manager;
The TA manager performing an authentication process for the plurality of network nodes based on the authentication information, and transmitting an authentication result indicating whether authentication is successful to the TA protector;
The TA protector transmits connection information including IP information and port information of the TA manager to be connected to the TA manager to authenticated network nodes among a plurality of network nodes according to the authentication result. Network nodes opening the TA manager and a control channel based on the connection information; And
The TA manager transmits data channel establishment information for establishing a data channel through the open control channel to the authenticated network nodes, so that the authenticated network nodes establish a data channel based on the data channel establishment information. step
Method for configuring a software-defined network-based trust network comprising a.
상기 TA 매니저가 채널 인증 토큰을 발급하고, 발급된 채널 인증 토큰을 상기 인증 결과와 함께 상기 TA 보호기로 전송하는 단계인 것인 소프트웨어 정의 네트워크 기반 신뢰 네트워크 구성을 위한 방법.The method of claim 1, wherein the step of transmitting an authentication result indicating whether the authentication is successful is transmitted to the TA protector,
And the TA manager issuing a channel authentication token and transmitting the issued channel authentication token together with the authentication result to the TA protector.
상기 TA 보호기가, 상기 TA 매니저로부터 상기 인증 결과와 상기 채널 인증 토큰을 상기 인증된 네트워크 노드들에게 전송하는 단계를 포함하는 것인 소프트웨어 정의 네트워크 기반 신뢰 네트워크 구성을 위한 방법.The method of claim 3, wherein the step of opening the control channel with the TA manager based on the connection information by the authenticated network nodes is:
And the TA protector transmitting the authentication result and the channel authentication token from the TA manager to the authenticated network nodes.
상기 제어 채널이 구축되면, 상기 인증된 네트워크 노드들이 상기 제어 채널을 통해 상기 TA 매니저에게 메시지를 전송할 때, 상기 TA 보호기를 통해 상기 TA 매니저에서 발급한 채널 인증 토큰을 상기 메시지와 함께 전송함으로써, 상기 제어 채널을 계속 유지하는 단계인 것인 소프트웨어 정의 네트워크 기반 신뢰 네트워크 구성을 위한 방법.The method of claim 3, wherein the step of establishing a control channel with the TA manager based on the connection information by the authenticated network nodes is:
When the control channel is established, when the authenticated network nodes transmit a message to the TA manager through the control channel, by transmitting the channel authentication token issued by the TA manager through the TA protector together with the message, the A method for configuring a software-defined network-based trust network, which is a step of maintaining a control channel.
상기 인증된 네트워크 노드들 양쪽의 노드 정보, 보안 속성 정보 및 상기 인증된 네트워크 노드들간의 터널링 정보를 포함하는 것인 소프트웨어 정의 네트워크 기반 신뢰 네트워크 구성을 위한 방법.In claim 1, The data channel establishment information,
A method for configuring a software-defined network-based trusted network that includes node information on both sides of the authenticated network nodes, security attribute information, and tunneling information between the authenticated network nodes.
상기 인증된 네트워크 노드들은 상기 TA 매니저에게 자신의 가용성을 나타내는 Keep Alive 상태 메시지를 주기적으로 전송하는 단계를 더 포함하는 것인 소프트웨어 정의 네트워크 기반 신뢰 네트워크 구성을 위한 방법.In claim 1,
And the authenticated network nodes periodically transmitting a Keep Alive status message indicating their availability to the TA manager.
상기 인증 정보를 기반으로 상기 다수의 네트워크 노드들에 대한 인증 과정을 수행하고, 인증 성공 여부를 나타내는 인증 결과를 상기 TA 보호기에게 전송하는 TA 매니저를 포함하고,
상기 TA 보호기는 DDoS 공격으로부터 상기 TA 매니저를 보호하기 위해, 상기 인증 결과에 따라 상기 네트워크 노드들 중에서 인증된 네트워크 노드들에게 상기 TA 매니저와 연결되기 위한 상기 TA 매니저의 IP 정보 및 포트 정보를 포함하는 연결 정보를 전송하고,
상기 TA 매니저는 상기 연결 정보를 기반으로 상기 인증된 네트워크 노드들과 제어 채널을 오픈하고, 상기 인증된 네트워크 노드들이 데이터 채널을 구축하도록 상기 오픈된 제어 채널을 통해 데이터 채널 설정을 위한 데이터 채널 구축 정보를 상기 인증된 네트워크 노드들로 전송하는 것을 특징으로 하는 소프트웨어 정의 네트워크 기반 신뢰 네트워크 구성을 위한 장치.A Trust Access (TA) protector that receives authentication information from multiple network nodes; And
And a TA manager performing an authentication process for the plurality of network nodes based on the authentication information, and transmitting an authentication result indicating whether authentication is successful to the TA protector,
The TA protector includes IP information and port information of the TA manager for connecting to the TA manager to authenticated network nodes among the network nodes according to the authentication result, in order to protect the TA manager from DDoS attacks. Send connection information,
The TA manager opens a control channel with the authenticated network nodes based on the connection information, and establishes a data channel for establishing a data channel through the opened control channel so that the authenticated network nodes establish a data channel. Device for configuring a software-defined network-based trust network, characterized in that for transmitting to the authenticated network nodes.
채널 인증 토큰을 발급하고, 발급된 채널 인증 토큰을 상기 인증 결과와 함께 상기 TA 보호기로 전송하는 것인 소프트웨어 정의 네트워크 기반 신뢰 네트워크 구성을 위한 장치.In claim 8, the TA manager,
Device for issuing a channel authentication token and transmitting the issued channel authentication token together with the authentication result to the TA protector.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020180097019A KR102132490B1 (en) | 2018-08-20 | 2018-08-20 | Method and apparatus for trust network configurations of mobile devices in software-defined network |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020180097019A KR102132490B1 (en) | 2018-08-20 | 2018-08-20 | Method and apparatus for trust network configurations of mobile devices in software-defined network |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20200021364A KR20200021364A (en) | 2020-02-28 |
KR102132490B1 true KR102132490B1 (en) | 2020-07-09 |
Family
ID=69638499
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020180097019A KR102132490B1 (en) | 2018-08-20 | 2018-08-20 | Method and apparatus for trust network configurations of mobile devices in software-defined network |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR102132490B1 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102460691B1 (en) * | 2021-11-15 | 2022-10-31 | 프라이빗테크놀로지 주식회사 | System for controlling network access based on controller and method of the same |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20180069610A (en) * | 2016-12-15 | 2018-06-25 | 주식회사 포스링크 | Apparatus for providing access control in virtual private network and method for operating the same |
-
2018
- 2018-08-20 KR KR1020180097019A patent/KR102132490B1/en active IP Right Grant
Non-Patent Citations (1)
Title |
---|
"State of the Art and Recent Research Advances in Software Defined Networking" , Taimur Bakhshi, Wireless Communications and mobile Computing, pp.1-35 (2017.01.15.) 1부.* |
Also Published As
Publication number | Publication date |
---|---|
KR20200021364A (en) | 2020-02-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3286893B1 (en) | Secure transmission of a session identifier during service authentication | |
US8667170B2 (en) | Address conversion method, access control method, and device using these methods | |
US8555344B1 (en) | Methods and systems for fallback modes of operation within wireless computer networks | |
EP3432523A1 (en) | Method and system for connecting virtual private network by terminal, and related device | |
US9344417B2 (en) | Authentication method and system | |
US9258278B2 (en) | Unidirectional deep packet inspection | |
KR101992976B1 (en) | A remote access system using the SSH protocol and managing SSH authentication key securely | |
JP2006085719A (en) | Setting information distribution device, authentication setting transfer device, method, program, medium and setting information receiving program | |
CN105262597B (en) | Network access verifying method, client terminal, access device and authenticating device | |
BR112021003448A2 (en) | device without subscriber identity, subscriber identity device, method for use on a device without subscriber identity, method for use on a device with subscriber identity, and downloadable computer program product | |
US7424736B2 (en) | Method for establishing directed circuits between parties with limited mutual trust | |
KR102132490B1 (en) | Method and apparatus for trust network configurations of mobile devices in software-defined network | |
KR101628534B1 (en) | VIRTUAL 802.1x METHOD AND DEVICE FOR NETWORK ACCESS CONTROL | |
JP4965499B2 (en) | Authentication system, authentication device, communication setting device, and authentication method | |
JP2004295166A (en) | Remote access system and remote access method | |
JP2012060357A (en) | Remote access control method for mobile body system | |
EP4320821A1 (en) | Method and system for self-onboarding of iot devices | |
KR101992985B1 (en) | An access control system of controlling hard-coded passwords and commands for enhancing security of the servers | |
KR102059150B1 (en) | IPsec VIRTUAL PRIVATE NETWORK SYSTEM | |
JP2008199497A (en) | Gateway device and authentication processing method | |
CN114301967A (en) | Narrow-band Internet of things control method, device and equipment | |
KR20160149926A (en) | Remote control system of home network device using token server authentication and method thereof | |
JP2008199420A (en) | Gateway device and authentication processing method | |
CN110830415B (en) | Network access control method and device | |
US20220278960A1 (en) | Systems and methods for dynamic access control for devices over communications networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right |