KR102365775B1 - Billing-based routing processing system in distributed gateway environment and method therefor - Google Patents
Billing-based routing processing system in distributed gateway environment and method therefor Download PDFInfo
- Publication number
- KR102365775B1 KR102365775B1 KR1020210116649A KR20210116649A KR102365775B1 KR 102365775 B1 KR102365775 B1 KR 102365775B1 KR 1020210116649 A KR1020210116649 A KR 1020210116649A KR 20210116649 A KR20210116649 A KR 20210116649A KR 102365775 B1 KR102365775 B1 KR 102365775B1
- Authority
- KR
- South Korea
- Prior art keywords
- node
- network
- tunnel
- gateway
- information
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/14—Charging, metering or billing arrangements for data wireline or wireless communications
- H04L12/1442—Charging, metering or billing arrangements for data wireline or wireless communications at network operator level
- H04L12/145—Charging, metering or billing arrangements for data wireline or wireless communications at network operator level trading network capacity or selecting route based on tariff
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/14—Charging, metering or billing arrangements for data wireline or wireless communications
- H04L12/1432—Metric aspects
- H04L12/1435—Metric aspects volume-based
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0896—Bandwidth or capacity management, i.e. automatically increasing or decreasing capacities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/70—Routing based on monitoring results
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/70—Admission control; Resource allocation
- H04L47/82—Miscellaneous aspects
- H04L47/825—Involving tunnels, e.g. MPLS
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Environmental & Geological Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
본 문서에 개시된 실시예들은 분산 게이트웨이 환경에서 과금 기준 경로 설정 처리 시스템 및 그에 관한 방법에 관한 것이다.Embodiments disclosed in this document relate to a billing reference routing processing system in a distributed gateway environment and a method therefor.
클라우드 네트워크를 기반으로 하는 분산 게이트웨이 환경은 지리적 제약으로 인해 분산된 단말이 중앙화된 목적지 네트워크에 접속할 때 발생되는 필연적 속도 저하 문제를 해결하기 위해 클라우드 네트워크를 사용하여 전용선을 사용하지 않더라도 빠른 접속을 처리할 수 있는 방법을 제공한다.A distributed gateway environment based on a cloud network uses a cloud network to handle fast access even without using a dedicated line to solve the problem of inevitably slowing down when distributed terminals access a centralized destination network due to geographical restrictions. provide a way to
클라우드 네트워크는 클라우드 사업자가 전용선 사업자의 네트워크를 빌려서 클라우드 네트워크 형태로 만들어져 있고 이를 데이터 패킷 단위(Giga Byte, Tera Byte 단위)로 과금하는 종량제 체계로 만들어져 있기 때문에 전용선을 빌려쓰는 경우 고정된 대역폭을 기준으로 비용을 산정하는 것과 다르게 예측 가능한 트래픽을 처리해야 하는 경우 전용선을 빌려쓰는 것보다 효율적인 비용 지불이 가능하다.Cloud networks are made in the form of a cloud network by borrowing a network from a dedicated line operator, and are billed in units of data packets (Giga Byte, Tera Byte). If you need to handle predictable traffic differently from calculating the cost, you can pay more efficiently than renting a dedicated line.
하지만 다국적 기업 또는 다양한 지역에 지사를 두고 있는 기업의 경우, 관리해야 할 분산 게이트웨이의 개수가 많아지며, 클라우드 네트워크의 요금 특성 및 1개 이상의 게이트웨이를 거쳐가는 터널 라우팅 기술을 기반으로 하는 데이터 플로우 기반 접속 제어 기술의 특성상 데이터 패킷 전송 지점부터 도착지점까지 다양한 클라우드를 거쳐가는 경우 각각의 구간별로 비용이 상이한 특성이 존재한다.However, in the case of multinational corporations or corporations with branches in various regions, the number of distributed gateways to manage increases, and data flow-based access based on the cost characteristics of cloud networks and tunnel routing technology that goes through one or more gateways Due to the characteristics of the control technology, when a data packet goes through various clouds from a transmission point to an arrival point, there is a characteristic that the cost is different for each section.
예를 들어, 엣지 게이트웨이가 남아프리카에 있고 코어 게이트웨이가 미국 서부 지역에 있으며 목적지 네트워크가 미국 서부 지역내의 특정 도시에 존재하는 경우 남아프리카부터 미국 서부 지역까지의 요금과, 미국 서부 지역에서 특정 도시까지의 요금을 각각 지불해야 한다.For example, if the edge gateway is in South Africa, the core gateway is in the US West region, and the destination network is in a specific city within the US West region, then the rates from South Africa to the US West and the rates from the West US to the specific city. must pay for each.
전용선 사업자의 경우 모든 네트워크를 관리하고 있기 때문에 일괄적인 비용 산출 및 빌링이 가능하지만 클라우드 네트워크에서는 일괄적인 비용 산출 및 빌링이 어려운 특성이 존재하며, 클라우드 네트워크 사업자가 책정하는 데이터 패킷당 처리 단가는 계속적으로 변화하며, 글로벌 서비스 기준으로 제공하는 경우 그 나라의 환율로 책정해야 하기 때문에 원가를 산정하기 어려운 문제가 존재한다.In the case of a leased line operator, since it manages all networks, it is possible to calculate and bill collectively, but in a cloud network, it is difficult to calculate and bill collectively. There is a problem in that it is difficult to calculate the cost because it has to be set at the exchange rate of the country when it is provided on a global service basis.
특히 클라우드 네트워크를 기반으로 하는 분산 게이트웨이 환경을 사용하는 사용자는 일반적으로 월 또는 일년단위로 지출할 수 있는 예산의 범위가 한정되어 있는 경우가 많으며, 상기와 같이 클라우드 네트워크를 효율적으로 사용하기 위해서는 전용선 대비 비용 편익 지점을 고려하여 사용 가능한 데이터 패킷 총량을 관리해야 하는 필요성이 존재한다.In particular, users who use a distributed gateway environment based on a cloud network generally have a limited range of budgets they can spend on a monthly or yearly basis. There is a need to manage the total amount of data packets available taking into account the cost-benefit point.
그러나, 네트워크는 상시 연결성을 보장하여야 하고, 처리 가능한 데이터 패킷의 계약 용량이 초과하는 경우 네트워크 접속을 차단하는 것과 같은 형태로 서비스할 수 없기 때문에 계약 트래픽이 초과하면 최소한의 보안 품질을 유지하면서 일반 트래픽으로 라우팅할 수 있는 방법이 필요로 하게 된다.However, the network must guarantee connectivity at all times, and if the contract capacity of data packets that can be processed exceeds the contract capacity, the service cannot be provided, such as blocking network access. You will need a way to route them.
또한 각 지역별로 트래픽을 계약하는 경우, 해당 트래픽이 초과되는 경우, 다른 지역에 트래픽이 남아 있는 경우 등이 발생하기 때문에 사용자가 계약한 모든 트래픽을 완전하게 사용할 수 있도록 하는 방법을 필요로 하게 된다.In addition, when traffic is contracted for each region, when the corresponding traffic is exceeded, when traffic remains in other regions, etc., a method is required so that the user can completely use all the contracted traffic.
본 문서에 개시되는 다양한 실시예들은 클라우드 네트워크를 기반으로 하는 분산 게이트웨이 환경에서 지역별로의 과금 정책 및 데이터 패킷 처리 총량 관리를 통해서 계약된(또는 데이터 전송이 가능한) 총량만큼 클라우드 네트워크로 접속을 유도하여 전송 성능을 확보하고 계약된 총량을 초과하는 경우 일반 네트워크로 접속을 유도하되 데이터 플로우 접속 제어 기술이 내재하고 있는 특유의 보안성을 유지할 수 있는 방법을 제공한다.Various embodiments disclosed in this document induce access to the cloud network by the total amount contracted (or data transmission possible) through regional billing policy and data packet processing total management in a distributed gateway environment based on a cloud network. It provides a method to secure transmission performance and maintain the inherent security inherent in data flow access control technology while inducing access to the general network when the contracted amount is exceeded.
또한, 본 문서에 개시되는 다양한 실시예들은 클라우드 네트워크 구간별로의 자동화된 과금 및 빌링 체계를 확보하여 사용자가 효율적으로 클라우드 네트워크를 사용할 수 있는 방법을 제공한다.In addition, various embodiments disclosed in this document provide a method for a user to efficiently use a cloud network by securing an automated billing and billing system for each cloud network section.
본 문서에 개시된 일 실시예에 따른 노드는, 통신 회로, 상기 통신 회로와 작동적으로 연결되는 프로세서, 및 상기 프로세서와 작동적으로 연결되고, 접속 제어 애플리케이션을 저장하는 메모리를 포함하고, 상기 메모리는, 상기 프로세서에 의해서 실행될 때 상기 노드가, 상기 접속 제어 애플리케이션을 통해, 목적지 네트워크에 대한 네트워크 접속 이벤트를 감지하고, 상기 접속 제어 애플리케이션을 통해, 상기 목적지 네트워크에 대응하고 외부 서버로부터 인가된 데이터 플로우 및 터널이 존재하는지 확인하며, 상기 데이터 플로우 및 터널이 존재하면, 데이터 패킷을 상기 터널을 통해 전송하며, 상기 터널은, 상기 외부 서버로부터 수신된 정보에 기초하여 상기 노드와 게이트웨이 사이에 생성되고, 상기 외부 서버로부터 수신된 정보는, 상기 외부 서버에 의하여 목록화된 하나 이상의 터널 및 게이트웨이 중에서, 클라우드 네트워크에 접속되고 데이터 패킷 처리 총량 관리를 통해서 전송 가능한 데이터 용량이 있는 경우 해당 터널 및 게이트웨이 정보를 포함하거나, 또는 전송 가능한 데이터 용량이 없는 경우 상기 노드가 클라우드 네트워크가 아닌 네트워크로 터널링을 수행할 수 있는 터널 및 게이트웨이 정보를 포함할 수 있다. A node according to an embodiment disclosed herein comprises a communication circuit, a processor operatively coupled to the communication circuit, and a memory operatively coupled to the processor and storing a connection control application, the memory comprising: , when executed by the processor, the node detects, through the access control application, a network connection event to a destination network, and, through the access control application, a data flow corresponding to the destination network and authorized from an external server; check whether a tunnel exists, and if the data flow and tunnel exist, transmit a data packet through the tunnel, wherein the tunnel is created between the node and the gateway based on information received from the external server; The information received from the external server includes, among one or more tunnels and gateways listed by the external server, if there is a data capacity that can be transmitted through the data packet processing amount management after being connected to the cloud network, the corresponding tunnel and gateway information, or , or when there is no transmittable data capacity, tunnel and gateway information through which the node can tunnel to a network other than the cloud network may be included.
일 실시예 따르면, 상기 노드가 상기 클라우드 네트워크를 통해 연결 중에 상기 게이트웨이의 데이터 용량이 상기 데이터 패킷 처리 총량 관리를 통해서 전송 가능한 데이터 용량 총량을 초과하는 경우, 상기 외부 서버는 기존의 생성된 상기 게이트웨이와의 터널을 제거하되 상기 노드와 상기 목적지 네트워크 사이에 접속을 유지하기 위해서 상기 클라우드 네트워크가 아닌 네트워크로 전환하기 위해 상기 노드와 상기 클라우드 네트워크가 아닌 네트워크 사이의 새로운 터널을 생성하도록 구성될 수 있다.According to an embodiment, when the data capacity of the gateway exceeds the total data capacity transmittable through the data packet processing total amount management while the node is connected through the cloud network, the external server connects with the existing gateway and create a new tunnel between the node and the non-cloud network to switch to the non-cloud network in order to remove the tunnel of the node and maintain the connection between the node and the destination network.
일 실시예 따르면, 상기 노드를 상기 클라우드 네트워크로 연결하는 것은, 상기 노드가 접속 가능한 경로 중에서 상기 클라우드 네트워크로 접속이 가능한 경로가 존재하는지 여부를 확인하고, 상기 클라우드 네트워크로 접속이 가능한 경로가 존재하는 경우, 과금 정책에 기초하여 클라우드 네트워크 사용 계약이 존재하는지 여부를 확인하며, 상기 클라우드 네트워크의 사용 계약이 존재하는 경우, 상기 과금 정책 및 과금 테이블에 기초하여 사용 가능한 트래픽이 존재하는지 여부를 확인하고, 사용 가능한 트래픽이 존재하는 경우, 클라우드 네트워크 기준 터널 경로를 설정하며, 상기 터널의 생성을 위한 일련의 정보를 상기 노드 및 및 상기 게이트웨이에 전송하는 것을 포함하고, 상기 일련의 정보는 터널 식별 정보, 게이트웨이 식별 정보, 상기 외부 서버가 상기 노드와 게이트웨이 사이에서 생성하려고 하였던 터널을 식별하기 위한 일련의 정보를 포함할 수 있다.According to an embodiment, in connecting the node to the cloud network, it is checked whether a path accessible to the cloud network exists among the paths accessible to the node, and there is a path accessible to the cloud network. , check whether a cloud network use contract exists based on the billing policy, and if the cloud network use contract exists, check whether available traffic exists based on the billing policy and billing table; When there is available traffic, establishing a cloud network standard tunnel path, and transmitting a set of information for creation of the tunnel to the node and the gateway, wherein the set of information includes tunnel identification information, a gateway Identification information may include a series of information for identifying a tunnel that the external server tried to create between the node and the gateway.
일 실시예 따르면, 상기 클라우드 네트워크 기준 터널 경로는, 상기 노드가 상기 클라우드 네트워크 상에 존재하는 게이트웨이들 중 상기 노드와 거리가 가장 가까운 게이트웨이와 연결하는 경로를 포함할 수 있다.According to an embodiment, the cloud network reference tunnel path may include a path through which the node connects to a gateway having the closest distance to the node among gateways existing on the cloud network.
일 실시예 따르면, 상기 게이트웨이는, 상기 게이트웨이에서 상기 터널을 통해 데이터 패킷을 목적지 네트워크로 포워딩하는 경우, 과금 테이블 갱신 및 상기 노드의 상기 클라우드 네트워크의 사용량 측정을 위해 전송한 데이터 패킷 사이즈를 데이터 플로우 테이블에 갱신하도록 구성될 수 있다.According to an embodiment, when the gateway forwards the data packet to the destination network through the tunnel, the gateway records the data packet size transmitted for updating the charging table and measuring the usage of the cloud network of the node in the data flow table. It can be configured to update to .
본 문서에 개시된 일 실시예에 따른 서버는, 통신 회로, 데이터 베이스를 저장하는 메모리, 상기 통신 회로와 작동적으로 연결되는 프로세서, 및 상기 통신 회로 및 상기 메모리와 작동적으로 연결되는 프로세서를 포함하고, 상기 프로세서는, 노드의 접속 제어 애플리케이션으로부터, 상기 노드에 저장된 타겟 애플리케이션의 목적지 네트워크에 대한 네트워크 접속을 요청하는 제1 요청을 수신하고 - 상기 제1 요청은 제어 플로우의 식별 정보 및 상기 목적지 네트워크의 식별 정보를 포함함 -, 상기 제어 플로우의 식별 정보 및 상기 데이터 베이스에 기반하여 상기 목적지 네트워크가 접속 가능한지 여부를 확인하며, 상기 목적지 네트워크가 접속 가능한 경우, 데이터 패킷 검사 정보를 포함한 데이터 플로우를 생성하고, 상기 데이터 플로우를 생성할 수 없거나 및 생성된 데이터 플로우의 인증 시각이 만료되어 갱신이 필요한 경우, 상기 접속 제어 애플리케이션으로부터 네트워크 접속을 요청하는 제2 요청을 수신하며, 상기 접속 제어 애플리케이션으로부터, 상기 목적지 네트워크에 접속하기 위해서 제어 플로우에 포함된 상기 노드의 종류, 상기 노드의 위치 정보 및 노드가 포함되어 있는 네트워크에 관한 정보를 수신하고, 상기 정보에 기초하여 목록화되는 터널 및 게이트웨이 중에서 게이트웨이의 데이터 용량에 따라 상기 노드가 터널링을 수행할 수 있는 터널링 및 게이트웨이 정보를 상기 노드에 송신하도록 하는 명령어들을 저장하고, 상기 서버는, 상기 게이트웨이의 클라우드 네트워크에 관하여 데이터 패킷 처리 총량 관리를 통해서 계약된 총량 미만 데이터 용량이 있는 경우, 상기 노드를 상기 클라우드 네트워크로 연결시키고, 상기 게이트웨이의 데이터 용량이 없는 경우, 상기 노드를 클라우드 네트워크가 아닌 네트워크로 연결시키도록 구성될 수 있다.A server according to an embodiment disclosed in this document includes a communication circuit, a memory for storing a database, a processor operatively connected to the communication circuit, and a processor operatively connected to the communication circuit and the memory, , the processor receives, from a connection control application of a node, a first request requesting a network connection to a destination network of a target application stored in the node, wherein the first request includes identification information of a control flow and information of the destination network. including identification information -, based on the identification information of the control flow and the database, confirming whether the destination network is reachable, and if the destination network is accessible, generating a data flow including data packet inspection information, , when the data flow cannot be created or the authentication time of the created data flow expires and needs to be updated, a second request for network access is received from the access control application, and from the access control application, the destination In order to access the network, the type of node included in the control flow, the location information of the node, and information about the network in which the node is included are received, and the data capacity of the gateway among tunnels and gateways listed based on the information stores instructions for the node to transmit tunneling and gateway information capable of performing tunneling to the node according to If there is capacity, the node may be connected to the cloud network, and if there is no data capacity of the gateway, the node may be connected to a network other than the cloud network.
본 문서에 개시된 일 실시예에 따른 네트워크 접속 제어 시스템의 동작 방법은, 노드의 접속 제어 애플리케이션에서, 목적지 네트워크에 대한 네트워크 접속 이벤트를 감지하는 단계; 상기 접속 제어 애플리케이션을 통해, 상기 목적지 네트워크에 대응하고 외부 서버로부터 인가된 데이터 플로우 및 터널이 존재하는지 확인하는 단계; 및 상기 데이터 플로우 및 터널이 존재하면, 데이터 패킷을 상기 터널을 통해 전송하는 단계;를 포함하고, 상기 터널은, 상기 외부 서버로부터 수신된 정보에 기초하여 상기 노드와 게이트웨이 사이에 생성되고, 상기 외부 서버로부터 수신된 정보는, 상기 외부 서버에 의하여 목록화된 하나 이상의 터널 및 게이트웨이 중에서, 클라우드 네트워크에 접속되고 데이터 패킷 처리 총량 관리를 통해서 전송 가능한 데이터 용량이 있는 경우 해당 터널 및 게이트웨이 정보를 포함하거나, 또는 전송 가능한 데이터 용량이 없는 경우 상기 노드가 클라우드 네트워크가 아닌 네트워크로 터널링을 수행할 수 있는 터널 및 게이트웨이 정보를 포함할 수 있다. A method of operating a network access control system according to an embodiment disclosed in this document includes: detecting, in an access control application of a node, a network access event to a destination network; checking, through the access control application, whether a data flow and a tunnel corresponding to the destination network and authorized from an external server exist; and if the data flow and the tunnel exist, transmitting a data packet through the tunnel, wherein the tunnel is created between the node and the gateway based on information received from the external server, and The information received from the server includes, among one or more tunnels and gateways listed by the external server, when there is a data capacity that can be transmitted through the cloud network and transmittable through the data packet processing total amount management, or Alternatively, when there is no transmittable data capacity, tunnel and gateway information through which the node can tunnel to a network other than the cloud network may be included.
일 실시예에 따르면, 네트워크 접속 제어 시스템의 동작 방법은 상기 서버에서 할당된 IP 기반으로 네트워크 트래픽 용량 및 잔여량 측정하는 단계를 더 포함하고, 상기 서버에서 할당된 IP 주소 기반으로 네트워크 트래픽 용량 및 잔여량 측정하는 단계는, IP 주소가 부여된 게이트웨이를 확인하는 단계; 상기 클라우드 네트워크를 통해서 처리되는 용량을 수집하는 단계; 상기 클라우드 네트워크가 아닌 네트워크를 통해서 처리되는 용량을 수집하는 단계; 상기 노드와 상기 게이트웨이 사이의 구간에서 처리되는 트래픽 용량을 측정하는 단계; 출발지 IP 주소와 도착지 IP 주소를 기준으로 상기 구간에서 트래픽 및 비용을 계산하여 갱신하는 단계; 상기 클라우드 네트워크에서 원가를 조회하는 단계; 및 상기 측정된 용량들에 기초하여 전체 트래픽 및 잔여량을 계산하는 단계를 포함할 수 있다.According to an embodiment, the method of operating a network access control system further includes measuring the network traffic capacity and the remaining amount based on the IP allocated by the server, and measuring the network traffic capacity and the remaining amount based on the IP address allocated by the server The step of confirming the gateway to which the IP address is assigned; collecting capacity processed through the cloud network; collecting capacity processed through a network other than the cloud network; measuring a traffic capacity processed in a section between the node and the gateway; calculating and updating the traffic and cost in the section based on the source IP address and the destination IP address; inquiring a cost in the cloud network; and calculating total traffic and a residual amount based on the measured capacities.
본 문서에 개시되는 실시예들에 따르면, 지역별로 분산된 단말이 중앙화된 목적지 네트워크에 접속하기 위해서 전용선이 아닌 클라우드 네트워크 기반의 분산 게이트웨이 환경을 통해서 빠르게 접속할 수 있는 환경을 제공하며, 특히 데이터 플로우 접속 제어 기반의 접속 환경 제공을 통해서 어디에서든 안전하게 네트워크를 접속할 수 있는 환경이 제공될 수 있다.According to the embodiments disclosed in this document, it provides an environment in which terminals distributed by region can quickly access through a distributed gateway environment based on a cloud network rather than a dedicated line in order to access a centralized destination network, and in particular, data flow access By providing a control-based access environment, an environment in which a network can be safely accessed from anywhere can be provided.
나아가 지역별로 네트워크 처리 성능이 높은 클라우드 사업자에 엣지 게이트웨이를 배포하고 해당 단말을 연결함으로써 단일 클라우드 사업자가 가지고 있는 지역별 네트워크 처리 성능의 편차를 줄일 수 있으며 비용 효율적인 클라우드 사업자를 선택해서 엣지 게이트웨이를 배포할 수 있기 때문에 비용을 감소시킬 수 있다.Furthermore, by distributing edge gateways to cloud operators with high network processing performance by region and connecting the corresponding terminals, the variation in regional network processing performance of a single cloud operator can be reduced, and edge gateways can be deployed by selecting cost-effective cloud operators. Because of this, the cost can be reduced.
특히 전용선의 경우 각 지역별로 각기 다른 사업자가 존재하기 때문에 각각의 사업자별로 네트워크 대역폭 기반의 계약을 수행해야하고 이러한 계약의 특성상 한번 계약을 수행하면 손쉽게 변경할 수 없음과 동시에 사용량에 따라 손쉽게 네트워크 대역을 증설할 수 없는 문제점이 존재하며, 초기 비용이 많이 투입되는 것과 달리, 본 문서에 개시되는 실시예에서와 같이 클라우드 네트워크 기반의 종량제 형태의 분산 게이트웨이 환경을 사용하는 경우 언제 어디서든 빠르고 손쉽게 종량제 기반의 요금 지불이 가능하며 클라우드 네트워크의 특성상 대역폭에 한계가 존재하지 않기 때문에 사용 규모에 따라 네트워크 확장이 가능하다.In particular, in the case of leased lines, since there are different operators in each region, a network bandwidth-based contract must be performed for each operator. There is a problem that cannot be done, and unlike the high initial cost, when using a cloud network-based pay-as-you-go distributed gateway environment as in the embodiment disclosed in this document, anytime, anywhere, quickly and easily, pay-as-you-go rates Payment is possible, and because there is no limit to the bandwidth due to the nature of the cloud network, the network can be expanded according to the size of use.
또한, 클라우드 네트워크를 사용할 경우, 일정 데이터 패킷 처리량을 넘어가는 경우 전용선보다 높은 비용을 지불해야 하는 문제가 존재하지만 본 문서에 개시되는 실시예는 총량을 관리하고 총량을 초과하는 경우 일반 네트워크를 통해서 목적지 네트워크 접속을 유도하되 데이터 플로우 기반의 보안 수준을 유지할 수 있기 때문에 상시 비용 효율적인 클라우드 네트워크 사용이 가능하다.In addition, when using a cloud network, there is a problem of having to pay a higher cost than a dedicated line when a certain data packet throughput is exceeded. Because it can induce network access but maintain the security level based on data flow, it is possible to use a cost-effective cloud network at all times.
나아가 다양한 클라우드 사업자의 구간별 네트워크 사용료를 통합하여 빌링할 수 있기 때문에 각각의 클라우드 또는 전용선을 계약하는 경우 발생되는 복잡한 빌링의 문제점을 해결할 수 있다.Furthermore, since the billing can be made by integrating the network usage fees for each section of various cloud providers, it is possible to solve the complex billing problem that occurs when contracting each cloud or dedicated line.
이 외에, 본 문서를 통해 직접적 또는 간접적으로 파악되는 다양한 효과들이 제공될 수 있다.In addition, various effects directly or indirectly identified through this document may be provided.
도 1은 복수의 네트워크를 포함하는 환경을 나타낸다.
도 2는 다양한 실시예들에 따른 네트워크 환경 내의 아키텍처를 나타낸다.
도 3은 다양한 실시예들에 따라 컨트롤러에 저장된 데이터 베이스를 나타내는 기능적 블록도이다.
도 4는 다양한 실시예들에 따른 노드의 기능적 블록도를 나타낸다.
도 5는 다양한 실시예들에 따라 네트워크 접속이 차단되는 동작을 설명할 수 있다.
도 6은 컨트롤러 접속을 위한 신호 흐름도를 나타낸다.
도 7은 컨트롤러 접속을 위한 사용자 인터페이스 화면을 나타낸다.
도 8은 다양한 실시예들에 따른 사용자 인증을 위한 신호 흐름도를 나타낸다.
도 9는 네트워크 접속을 처리하기 위한 신호 흐름도를 나타낸다.
도 10은 터널 생성 요청을 처리하기 위한 신호 흐름도를 나타낸다.
도 11은 다양한 실시예들에 따른 데이터 패킷을 포워딩하기 위한 흐름도를 나타낸다.
도 12는 다양한 실시예들에 따른 게이트웨이의 데이터 플로우 테이블 동기화하기 위한 흐름도를 나타낸다.
도 13은 다양한 실시예들에 따른 터널을 해제하기 위한 흐름도를 나타낸다.
도 14는 다양한 실시예들에 따른 제어 플로우 갱신을 위한 신호 흐름도를 나타낸다.
도 15는 다양한 실시예들에 따른 컨트롤러 접속 해제를 위한 신호 흐름도를 나타낸다.
도 16은 다양한 실시예들에 따른 네트워크 접속 해제를 위한 사용자 인터페이스 화면을 나타낸다.
도 17은 다양한 실시예들에 따른 과금 및 터널 정책 확인을 위한 신호 흐름도를 나타낸다.
도 18은 다양한 실시예들에 따른 요금 정보 동기화하기 위한 신호 흐름도를 나타낸다.1 shows an environment including a plurality of networks.
2 illustrates an architecture within a network environment in accordance with various embodiments.
3 is a functional block diagram illustrating a database stored in a controller according to various embodiments of the present disclosure;
4 illustrates a functional block diagram of a node in accordance with various embodiments.
5 may explain an operation of blocking a network connection according to various embodiments of the present disclosure.
6 shows a signal flow diagram for controller connection.
7 shows a user interface screen for connecting to a controller.
8 illustrates a signal flow diagram for user authentication according to various embodiments of the present disclosure.
9 shows a signal flow diagram for processing a network connection.
10 shows a signal flow diagram for processing a tunnel creation request.
11 shows a flowchart for forwarding a data packet according to various embodiments.
12 is a flowchart illustrating a data flow table synchronization of a gateway according to various embodiments of the present disclosure;
13 is a flowchart for releasing a tunnel according to various embodiments.
14 is a flowchart illustrating a signal flow for updating a control flow according to various embodiments of the present disclosure;
15 illustrates a signal flow diagram for disconnecting a controller according to various embodiments of the present disclosure;
16 illustrates a user interface screen for releasing a network connection according to various embodiments of the present disclosure.
17 illustrates a signal flow diagram for charging and tunnel policy confirmation according to various embodiments of the present disclosure.
18 is a signal flow diagram for rate information synchronization according to various embodiments of the present disclosure.
이하, 본 발명의 다양한 실시예가 첨부된 도면을 참조하여 기재된다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 실시예의 다양한 변경(modification), 균등물(equivalent), 및/또는 대체물(alternative)을 포함하는 것으로 이해되어야 할 수 있다.Hereinafter, various embodiments of the present invention will be described with reference to the accompanying drawings. However, this is not intended to limit the present invention to specific embodiments, and it should be understood that various modifications, equivalents, and/or alternatives of the embodiments of the present invention are included.
본 문서에서 아이템에 대응하는 명사의 단수 형은 관련된 문맥상 명백하게 다르게 지시하지 않는 한, 상기 아이템 한 개 또는 복수 개를 포함할 수 있다. 본 문서에서, "A 또는 B", "A 및 B 중 적어도 하나","A 또는 B 중 적어도 하나", "A, B 또는 C", "A, B 및 C 중 적어도 하나" 및 "A, B, 또는 C 중 적어도 하나"와 같은 문구들 각각은 그 문구들 중 해당하는 문구에 함께 나열된 항목들 중 어느 하나, 또는 그들의 모든 가능한 조합을 포함할 수 있다. "제 1", "제 2", 또는 "첫째" 또는 "둘째"와 같은 용어들은 단순히 해당 구성요소를 다른 해당 구성요소와 구분하기 위해 사용될 수 있으며, 해당 구성요소들을 다른 측면(예: 중요성 또는 순서)에서 한정하지 않는다. 어떤(예: 제 1) 구성요소가 다른(예: 제 2) 구성요소에, "기능적으로" 또는 "통신적으로"라는 용어와 함께 또는 이런 용어 없이, "커플드" 또는 "커넥티드"라고 언급된 경우, 그것은 상기 어떤 구성요소가 상기 다른 구성요소에 직접적으로(예: 유선으로), 무선으로, 또는 제 3 구성요소를 통하여 연결될 수 있다는 것을 의미할 수 있다.In this document, the singular form of a noun corresponding to an item may include one or a plurality of items, unless the context clearly indicates otherwise. As used herein, "A or B", "at least one of A and B", "at least one of A or B", "A, B or C", "at least one of A, B and C" and "A; Each of the phrases such as "at least one of B, or C" may include any one of, or all possible combinations of, items listed together in the corresponding one of the phrases. Terms such as "first", "second", or "first" or "second" may be used simply to distinguish the element from other elements in question, and may refer to elements in other aspects (e.g., importance or order) is not limited. It is said that one (eg, first) component is "coupled" or "connected" to another (eg, second) component, with or without the terms "functionally" or "communicatively". Where referenced, it may mean that one component can be connected to the other component directly (eg, by wire), wirelessly, or through a third component.
본 문서에서 설명되는 구성요소들의 각각의 구성요소(예: 모듈 또는 프로그램)는 단수 또는 복수의 개체를 포함할 수 있다. 다양한 실시예들에 따르면, 해당 구성요소들 중 하나 이상의 구성요소들 또는 동작들이 생략되거나, 또는 하나 이상의 다른 구성요소들 또는 동작들이 추가될 수 있다. 대체적으로 또는 추가적으로, 복수의 구성요소들(예: 모듈 또는 프로그램)은 하나의 구성요소로 통합될 수 있다. 이런 경우, 통합된 구성요소는 상기 복수의 구성요소들 각각의 구성요소의 하나 이상의 기능들을 상기 통합 이전에 상기 복수의 구성요소들 중 해당 구성요소에 의해 수행되는 것과 동일 또는 유사하게 수행할 수 있다. 다양한 실시예들에 따르면, 모듈, 프로그램 또는 다른 구성요소에 의해 수행되는 동작들은 순차적으로, 병렬적으로, 반복적으로, 또는 휴리스틱하게 실행되거나, 상기 동작들 중 하나 이상이 다른 순서로 실행되거나, 생략되거나, 또는 하나 이상의 다른 동작들이 추가될 수 있다.Each component (eg, a module or a program) of components described in this document may include a singular or a plurality of entities. According to various embodiments, one or more components or operations among the corresponding components may be omitted, or one or more other components or operations may be added. Alternatively or additionally, a plurality of components (eg, a module or a program) may be integrated into one component. In this case, the integrated component may perform one or more functions of each component of the plurality of components identically or similarly to those performed by the corresponding component among the plurality of components prior to the integration. . According to various embodiments, operations performed by a module, program, or other component are executed sequentially, in parallel, repeatedly, or heuristically, or one or more of the operations are executed in a different order, or omitted. or one or more other operations may be added.
본 문서에서 사용되는 용어 "모듈"은 하드웨어, 소프트웨어 또는 펌웨어로 구현된 유닛을 포함할 수 있으며, 예를 들면, 로직, 논리 블록, 부품, 또는 회로와 같은 용어와 상호 호환적으로 사용될 수 있다. 모듈은, 일체로 구성된 부품 또는 하나 또는 그 이상의 기능을 수행하는, 상기 부품의 최소 단위 또는 그 일부가 될 수 있다. 예를 들면, 일 실시예에 따르면, 모듈은 ASIC(application-specific integrated circuit)의 형태로 구현될 수 있다. As used herein, the term “module” may include a unit implemented in hardware, software, or firmware, and may be used interchangeably with terms such as, for example, logic, logic block, component, or circuit. A module may be an integrally formed part or a minimum unit or a part of the part that performs one or more functions. For example, according to an embodiment, the module may be implemented in the form of an application-specific integrated circuit (ASIC).
본 문서의 다양한 실시예들은 기기(machine) 의해 읽을 수 있는 저장 매체(storage medium)(예: 메모리)에 저장된 하나 이상의 명령어들을 포함하는 소프트웨어(예: 프로그램 또는 애플리케이션)로서 구현될 수 있다. 예를 들면, 기기의 프로세서는, 저장 매체로부터 저장된 하나 이상의 명령어들 중 적어도 하나의 명령을 호출하고, 그것을 실행할 수 있다. 이것은 기기가 상기 호출된 적어도 하나의 명령어에 따라 적어도 하나의 기능을 수행하도록 운영되는 것을 가능하게 할 수 있다. 상기 하나 이상의 명령어들은 컴파일러에 의해 생성된 코드 또는 인터프리터에 의해 실행될 수 있는 코드를 포함할 수 있다. 기기로 읽을 수 있는 저장 매체는, 비일시적(non-transitory) 저장 매체의 형태로 제공될 수 있다. 여기서, '비일시적'은 저장 매체가 실재(tangible)하는 장치이고, 신호(signal)(예: 전자기파)를 포함하지 않는다는 것을 의미할 뿐이며, 이 용어는 데이터가 저장 매체에 반영구적으로 저장되는 경우와 임시적으로 저장되는 경우를 구분하지 않는다.Various embodiments of the present document may be implemented as software (eg, a program or an application) including one or more instructions stored in a storage medium (eg, memory) readable by a machine. For example, the processor of the device may call at least one of the one or more instructions stored from the storage medium and execute it. This may enable the device to be operated to perform at least one function according to the called at least one command. The one or more instructions may include code generated by a compiler or code executable by an interpreter. The device-readable storage medium may be provided in the form of a non-transitory storage medium. Here, 'non-transitory' only means that the storage medium is a tangible device and does not include a signal (eg, electromagnetic wave), and this term is used in cases where data is semi-permanently stored in the storage medium and It does not distinguish between temporary storage cases.
본 문서에 개시된 다양한 실시예들에 따른 방법은 컴퓨터 프로그램 제품(computer program product)에 포함되어 제공될 수 있다. 컴퓨터 프로그램 제품은 상품으로서 판매자 및 구매자 간에 거래될 수 있다. 컴퓨터 프로그램 제품은 기기로 읽을 수 있는 저장 매체(예: compact disc read only memory(CD-ROM))의 형태로 배포되거나, 또는 애플리케이션 스토어를 통해 또는 두 개의 사용자 장치들(예: 스마트폰들) 간에 직접, 온라인으로 배포(예: 다운로드 또는 업로드)될 수 있다. 온라인 배포의 경우에, 컴퓨터 프로그램 제품의 적어도 일부는 제조사의 서버, 애플리케이션 스토어의 서버, 또는 중계 서버의 메모리와 같은 기기로 읽을 수 있는 저장 매체에 적어도 일시 저장되거나, 임시적으로 생성될 수 있다. Methods according to various embodiments disclosed in this document may be provided by being included in a computer program product. Computer program products may be traded between sellers and buyers as commodities. The computer program product is distributed in the form of a machine-readable storage medium (eg compact disc read only memory (CD-ROM)), or via an application store or between two user devices (eg smartphones). It can be distributed directly or online (eg, downloaded or uploaded). In the case of online distribution, at least a portion of the computer program product may be temporarily stored or temporarily created in a machine-readable storage medium such as a memory of a server of a manufacturer, a server of an application store, or a relay server.
도 1은 복수의 네트워크를 포함하는 환경을 나타낸다.1 shows an environment including a plurality of networks.
도 1을 참조하면, 제1 네트워크(10) 및 제2 네트워크(20)는 서로 다른 네트워크일 수 있다. 예를 들어, 제1 네트워크(10)는 인터넷과 같은 공용 네트워크이고, 제2 네트워크(20)는 인트라넷 또는 VPN과 같은 사설 네트워크일 수 있다. Referring to FIG. 1 , the
제1 네트워크(10)는 출발지 노드(101)를 포함할 수 있다. 도 1 및 이하 서술되는 실시예들에서, '출발지 노드'는 데이터 통신을 수행할 수 있는 다양한 형태의 장치일 수 있다. 예를 들어, 출발지 노드(101)는 스마트폰 또는 태블릿과 같은 휴대용 장치, 데스크탑(desktop) 또는 랩탑(laptop)과 같은 컴퓨터 장치, 멀티미디어 장치, 의료 기기, 카메라, 웨어러블 장치, VR(virtual reality) 장치, 또는 가전 장치를 포함할 수 있으며 전술한 기기들에 한정되지 않는다. 예를 들어, 출발지 노드(101)는 애플리케이션을 통해 데이터 패킷을 전송할 수 있는 서버 또는 게이트웨이를 포함할 수 있다. 출발지 노드(101)는 '전자 장치' 또는 '단말'로도 참조될 수 있다. 한편, 도착지 노드(102)는 상술한 출발지 노드(101)와 동일 유사한 장치를 포함할 수 있다.The
출발지 노드(101)는 제2 네트워크(20)로의 접속(access)을 시도하고 제2 네트워크(20)에 포함된 도착지 노드(102)로 데이터를 전송할 수 있다. 출발지 노드(101)는 게이트웨이(103) 및 터널(105)을 통해 데이터를 도착지 노드(102)로 전송할 수 있다. The source node 101 may attempt to access the second network 20 and transmit data to the destination node 102 included in the second network 20 . The source node 101 may transmit data to the destination node 102 through the
출발지 노드(101)의 제1 네트워크(10)에 대한 접속이 승인되면 출발지 노드(101)는 제1 네트워크(10)에 포함된 모든 서버와 통신할 수 있으므로, 출발지 노드(101)는 악성(malicious) 프로그램의 공격으로부터 노출될 수 있다. 예를 들어, 출발지 노드(101)는 인터넷 웹 브라우저(110a), 비즈니스 애플리케이션(110b)과 같은 신뢰된(trusted) 및/또는 보안된(secure) 애플리케이션뿐만 아니라, 악성 코드(110c), 감염된(infected) 비즈니스 애플리케이션(110d)과 같이 신뢰되지 않거나 보안되지 않은 애플리케이션의 데이터를 수신할 수 있다. When the access of the source node 101 to the
악성 프로그램으로부터 감염된 출발지 노드(101)는 제2 네트워크(20)로의 접속 및/또는 데이터 전송을 시도할 수 있다. 제2 네트워크(20)가 VPN과 같이 IP에 기초하여 형성되는 경우, 제2 네트워크(20)는 제2 네트워크(20) 내에 포함되는 복수의 장치들을 개별적으로 모니터링하기 어려울 수 있으며, OSI 계층에서 응용 계층 또는 전송 계층에 대한 보안에 취약할 수 있다. 또한, 터널이 이미 생성된 이후에 출발지 노드(101)가 악성 애플리케이션을 포함하는 경우, 상기 악성 애플리케이션의 데이터는 제2 네트워크(20) 내의 다른 전자 장치(예: 도착지 노드(102))에게 전달될 수 있다.The source node 101 infected with the malicious program may attempt to access and/or transmit data to the second network 20 . When the second network 20 is formed based on IP such as VPN, it may be difficult for the second network 20 to individually monitor a plurality of devices included in the second network 20, and the application in the OSI layer It may be vulnerable to security layer or transport layer. In addition, if the source node 101 includes a malicious application after the tunnel has already been created, the data of the malicious application is transmitted to another electronic device (eg, the destination node 102 ) in the second network 20 . can
도 2는 다양한 실시예들에 따른 네트워크 환경 내의 아키텍처를 나타낸다.2 illustrates an architecture within a network environment in accordance with various embodiments.
도 2를 참조하면, 노드(201), 게이트웨이(203) 및 도착지 노드(204)의 개수는 도 2에 도시된 개수로 제한되는 것은 아니다. 예를 들어, 노드(201)(또는 단말)는 복수의 게이트웨이를 통해 복수의 도착지 노드에게 데이터를 전송할 수 있고, 컨트롤러(202)는 복수의 출발지 노드, 게이트웨이 및 도착지 노드를 관리할 수 있다. 한편, 일부 단말(201-3)은 일부 코어 게이트웨이(203-2)를 거치지 않고도 데이터를 송신할 수 있고, 일부 단말(201-4)은 엣지 게이트웨이(203-1) 및 일부 코어 게이트웨이(203-2)를 거치지 않고도 데이터를 송신할 수 있다. 노드(201) 또는 단말(201-1, 201-2, 201-3, 201-4)은 도 1에 도시된 출발지 노드(101)와 동일 유사한 기능을 수행할 수 있고, 엣지 게이트웨이(203-1) 및 코어 게이트웨이(203-2, 203-3)는 도 1에 도시된 게이트웨이(103)와 동일 유사한 기능을 수행할 수 있고, 도착지 노드(204)는 도 1에 도시된 도착지 노드(102)와 동일 유사한 기능을 수행할 수 있다.Referring to FIG. 2 , the number of the
노드(201)는 지역 A에 있는 단말(201-1), 지역 B에 있는 단말(201-2), 지역 C에 있는 단말(201-3), 및 지역 C에 있는 단말(201-4)을 포함할 수 있다. 노드(201)는 노드(201) 내의 애플리케이션에 대한 모든 네트워크 접속 제어를 위해 접속 제어 애플리케이션 및 네트워크 드라이버를 포함할 수 있다. 노드(201)는 네트워크 접속 발생시 컨트롤러(202)로부터 접속 가능 여부를 확인하고, 접속 가능한 경우에만 컨트롤러(202)에 의해 생성된 데이터 플로우 정보를 통해 접속 대상 네트워크의 경계에 존재하는 게이트웨이(203)로 데이터 패킷을 전송할 수 있다. 터널 및 데이터 플로우 기반 접속성 제어 기술은 노드(201)가 대상 네트워크에 접속하기 위해 컨트롤러(202)에 의해서 인가된 터널(210) 및 데이터 플로우가 존재하는 경우에만 통신이 가능한 구조를 제공하며, 터널 및 데이터 플로우가 존재하지 않는 경우 노드(201)가 통신을 수행할 수 없는 구조를 제공할 수 있다.
본 문서에 기재된 다양한 실시예들에 따르면, 노드(201)는 노드(201) 내에 저장된 애플리케이션의 네트워크 접속을 관리하기 위한 접속 제어 애플리케이션(미도시) 및 네트워크 드라이버(미도시)를 포함할 수 있다. 예를 들어, 접속 제어 애플리케이션은 노드(201) 내에서 운영체제를 포함하는 커널(kernel) 및 네트워크 드라이버를 통해 데이터 패킷의 전송을 제어할 수 있다. According to various embodiments described in this document, the
컨트롤러(202)는 예를 들어, 서버(또는 클라우드 서버)일 수 있다. 컨트롤러(202)는 노드(201), 게이트웨이(203), 및 도착지 노드(204) 사이의 데이터 전송을 관리함으로써 네트워크 환경 내에서 신뢰되는 데이터 전송을 보장할 수 있다. 컨트롤러(202)는 노드(201)의 네트워크 접속 통제 및 게이트웨이(203)와 게이트웨이(203) 사이의 터널(210)의 생성 여부 확인, 각 노드(201) 및 게이트웨이(203)로부터 수신된 보안 이벤트에 따라 생성된 데이터 플로우 제거 및 블랙리스트를 통한 단말의 격리 등 상시 안전한 네트워크 상태를 유지할 수 있다. 예를 들어, 컨트롤러(202)는 정책 정보 또는 블랙리스트 정보를 통해 노드(201)의 도착지 노드(204)에 대한 접속을 관리하거나, 노드(201)와 게이트웨이(203) 사이의 인가된 터널(210)의 생성을 중개하거나, 노드(201) 또는 게이트웨이(203)로부터 수집된 보안 이벤트에 따라서 터널(210)을 제거할 수 있다. 노드(201)는 컨트롤러(202)에 의하여 인가된 터널(210)을 통해서만 도착지 노드(204)와 통신할 수 있으며, 인가된 터널(210)이 존재하지 않으면 단말(2014)은 도착지 노드(204)로의 접속이 차단될 수 있다. 일 실시예에 따르면, 컨트롤러(202)는 노드(201)의 네트워크 접속과 연관된 다양한 동작(예컨대, 등록, 승인, 인증, 갱신, 종료 등)을 수행하기 위하여 노드(201)과 제어 데이터 패킷을 송수신할 수 있다. 또한, 컨트롤러(202)는 도착지 노드(204)의 네트워크 접속 및 네트워크 수신과 연관된 다양한 동작(예컨대, 동록, 승인, 인증, 갱신, 종료 등)을 수행하기 위하여 도착지 노드(204)와 제어 데이터 패킷을 송수신할 수 있다. 제어 데이터 패킷이 전송되는 흐름은 제어 플로우(control flow)로 참조될 수 있다. 한편, 컨트롤러(202)는 서버 또는 외부 서버를 포함할 수 있다. 컨트롤러(202)는 노드(201)의 접속 환경을 컨트롤러 접속, 사용자 인증, 제어 플로우 갱신, 터널 접속 해제 등 여러 단계 및 수시로(예컨대, 일정한 시각마다) 과금 정책 및 과금 테이블을 기반으로 해당 단말이 최적화된 엣지 게이트웨이와의 터널링 기반의 접속을 수행하고, 클라우드 네트워크를 계속적으로 사용할 것인지 여부를 주기적으로 확인할 수 있다. 과금 정책에 의해 클라우드 네트워크를 사용할 수 없는 경우, 해당 엣지 게이트웨이(203-1)와의 터널링을 해제하고 일반 네트워크를 통해서 목적지 네트워크에 존재하는 엣지 게이트웨이와 접속을 수행하며, 해당 절차를 수행시 일반 네트워크로 접속하기 위한 화면을 표시할 수 있다(예: 도 7의 (e)). 컨트롤러(202)는 클라우드 서비스(206)에 연결될 수 있다.The
게이트웨이(203)는 엣지 게이트웨이(203-1), 코어 게이트웨이(203-2), 및 (엣지 게이트웨이 겸용인) 코어 게이트웨이(203-3)를 포함할 수 있다. 게이트웨이(203)는 수신된 데이터 패킷 중 인가된 터널(210)로 수신된 데이터 패킷 중 5 Tuples 정보(프로토콜, 출발지 IP, 출발지 포트, 도착지 IP, 도착지 포트 정보)를 확인하여 출발지 IP 및 도착지 IP, 도착지 포트 정보에 해당하는 데이터 플로우 정보가 존재하는 경우, 도착지 노드(204)로 포워딩할 수 있다. 엣지 게이트웨이(203-1) 및 코어 게이트웨이(203-2, 203-3)의 개수는 도 2에 도시된 개수로 제한되는 것은 아니다.The
엣지 게이트웨이(203-1)는 각각의 지역 및 커버리지별 지원할 단말의 종류, 평균 거리 및 처리할 단말의 수 및 처리 용량, 네트워크 상황에 따른 터널링 종류 및 부하 분산, 네트워크 접속 종류(무선 네트워크, WIFI, 유선 네트워크 등), 고가용성을 위한 요소를 고려하여 클라우드 네트워크에 배치될 수 있다.The edge gateway 203-1 provides the type of terminal to be supported for each region and coverage, the average distance, the number and processing capacity of terminals to be processed, the tunneling type and load distribution according to the network situation, and the network connection type (wireless network, WIFI, wired network, etc.), and may be deployed in a cloud network in consideration of factors for high availability.
각각의 엣지 게이트웨이(203-1)는 클라우드 네트워크 환경에 따라 도착지 노드(204)와 직접적으로 연결되거나 도착지 노드(204) 경계에 존재하는 코어 게이트웨이(203-2)를 통해서 단말과 도착지 노드(204)가 연결되는 방식을 제공함으로써 엣지 게이트웨이(203-1)와 코어 게이트웨이(203-2) 또는 도착지 노드(204) 사이에 클라우드 네트워크 상의 효율적인 라우팅 경로 및 전용 네트워크를 통해 노드(201)가 네트워크 및 지역적 경계 등 다양한 상황에 따라 발생될 수 있는 네트워크 성능 저하 문제를 해결할 수 있다.Each edge gateway 203-1 is directly connected to the
또한, 엣지 게이트웨이(203-1)는 과금되는 구간인 클라우드 네트워크에 존재하고, 과금되지 않는 구간인 일반 네트워크 구간에도 존재할 수 있다.Also, the edge gateway 203 - 1 may exist in the cloud network, which is a charging section, and may exist in a general network section, which is a non-charged section.
컨트롤러(202)에 의해서 통제 받는 노드(201)는, 컨트롤러(202)와 제어 플로우(일종의 세션 및 제어 데이터 패킷 흐름)를 생성하고 노드(201) 및 사용자 인증, 네트워크 접속 요청 등 중앙화된 방식으로 통제가 되며, 제어 플로우의 경로는 노드(201)과 컨트롤러(202)가 엣지 게이트웨이(203-1)를 거치지 않고 직접적으로 통신되거나, 엣지 게이트웨이(203-1)를 통해서 통신이 가능할 수 있다.The
도 3은 다양한 실시예들에 따라 컨트롤러(예컨대, 도 2의 컨트롤러(202))에 저장된 데이터 베이스를 나타내는 기능적 블록도이다. 도 3은 메모리(330)만을 도시하지만, 컨트롤러는 외부 전자 장치(예컨대, 도 2의 단말(201-1, 201-2, 201-3, 201-4), 게이트웨이(203) 또는 도착지 노드(204))와 통신을 수행하기 위한 통신 회로(예컨대, 도 4의 통신 회로(430)) 및 컨트롤러의 전반적인 동작을 제어하기 위한 프로세서(예컨대, 도 4의 프로세서(410))를 더 포함할 수 있다. 3 is a functional block diagram illustrating a database stored in a controller (eg,
도 3을 참조하면, 컨트롤러는 네트워크 접속 및 데이터 전송의 제어를 위한 데이터 베이스(311 내지 317)를 메모리(330)에 저장할 수 있다. Referring to FIG. 3 , the controller may store
접속 정책 데이터 베이스(311)는 식별된 네트워크, 단말, 도착지 노드, 사용자, 또는 애플리케이션이 접속 가능한 네트워크 및/또는 서비스에 대한 정보를 포함할 수 있다. 예를 들어, 노드(201)로부터 도착지 노드(204)에 대한 접속이 요청되면, 컨트롤러(202)는 접속 정책 데이터 베이스(311)에 기초하여 식별된 네트워크(예컨대, 단말이 속하는 네트워크), 노드(201), 사용자(예컨대, 노드(201)의 사용자), 및/또는 애플리케이션(예컨대, 노드(201)에 포함되는 애플리케이션)이 도착지 노드(204)에 접속이 가능한지 여부를 결정할 수 있다. 일 실시예에 있어서, 접속 정책 데이터 베이스(311)는 데이터 패킷 검사 정보를 포함할 수 있다. 예를 들어, 데이터 패킷 검사 정보는, 데이터 패킷 검사 필요 여부를 나타내고 룰 데이터베이스를 포함할 수 있다. 여기서, 룰 데이터베이스는 데이터 패킷 검사 방법(예컨대, 단일 데이터 패킷 검사, 복수 데이터 패킷 검사), 데이터 패킷 검사시 적용할 패턴, 데이터 패킷 검사시 적용할 위치 및 검사 후 처리 방법(예컨대, 데이터 패킷 차단, 데이터 패킷 치환 및 데이터 패킷 복사) 중 적어도 하나를 포함할 수 있다.The
터널 정책 데이터 베이스(312)는 연결(connection) 경로 상에서 단말과 네트워크의 경계에 존재하는 게이트웨이에 연결될 터널의 종류, 암호화 방법, 및 암호화 수준 정보, 단말의 위치, 네트워크 종류 정보, 게이트웨이의 상태 등을 포함하는 여러가지의 환경적 요소에 따라 우선적으로 접속할 수 있는 게이트웨이 정보를 포함할 수 있다. 예를 들어, 노드(201)로부터 도착지 노드(204)에 대한 접속이 요청되면, 컨트롤러(202)는 터널 정책 데이터 베이스(312)에 기초하여 도착지 노드(204)에 접속하기 위한 최적의 터널 및 그에 관한 정보를 단말에게 제공할 수 있다.The tunnel policy database 312 stores the type of tunnel to be connected to the gateway existing at the boundary between the terminal and the network on the connection path, encryption method, and encryption level information, the location of the terminal, network type information, the status of the gateway, etc. It may include gateway information that can be accessed preferentially according to various environmental factors. For example, when a connection to the
블랙리스트 정책 데이터 베이스(313)는 특정 노드(예컨대, 노드(201) 또는 도착지 노드(204))의 접속을 영구적 또는 일시적으로 차단하기 위한 정책을 포함할 수 있다. 블랙리스트 정책 데이터 베이스(313)의 정책은 노드(201), 도착지 노드(204) 또는 게이트웨이(203)에서 주기적으로 수집되는 보안 이벤트 중에서 보안 이벤트의 위험도, 발생 주기, 및/또는 행위 분석을 통해 식별된 정보(예컨대, 단말 ID(identifier), IP 주소, MAC(media access control) 주소, 또는 사용자 ID 중 적어도 하나)에 기초하여 생성될 수 있다.The blacklist policy database 313 may include a policy for permanently or temporarily blocking access of a specific node (eg,
블랙리스트 데이터 베이스(314)는 블랙리스트 정책 데이터 베이스(313)에 의해 차단된 단말, 도착지 노드, IP 주소, MAC 주소, 또는 사용자 중 적어도 하나에 대한 목록을 포함할 수 있다. 예를 들어, 컨트롤러(202)는 도착지 노드(204)로의 접속을 요청하는 노드(201)의 식별 정보가 블랙리스트 데이터 베이스(314)에 포함되면 단말의 접속 요청을 거부함으로써 도착지 노드로부터 단말을 격리시킬 수 있다.The
제어 플로우 테이블(315)은 노드(예컨대, 노드(201) 또는 도착지 노드(204))와 컨트롤러(202) 사이에 생성된 제어 데이터 패킷의 흐름(예컨대, 제어 플로우)을 관리하기 위한 세션(session) 테이블의 일 예이다. 노드(201)가 컨트롤러(202)에 성공적으로 접속하는 경우, 제어 플로우 정보 및 제어 플로우 식별을 위한 식별 정보는 컨트롤러(202)에 의하여 생성될 수 있다. 제어 플로우 정보는 제어 플로우의 식별 정보, 컨트롤러에 대한 접속 및 인증 시 각각 식별되는 IP 주소, 노드 ID(단말 ID), 또는 사용자 ID 중 적어도 하나를 포함할 수 있다. 예를 들어, 단말로부터 도착지 노드에 대한 접속이 요청되면, 컨트롤러(202)는 노드(201)로부터 수신된 제어 플로우 식별 정보를 통해 제어 플로우 정보를 검색하고, 검색된 제어 플로우 정보 내에 포함된 IP 주소, 단말 ID, 또는 사용자 ID 중 적어도 하나를 접속 정책 데이터 베이스(311)에 매핑함으로써 단말이 접속이 가능한지 여부 및 데이터 플로우 생성 여부를 결정할 수 있다.The control flow table 315 is a session for managing the flow (eg, control flow) of control data packets generated between a node (eg,
일 실시예에 따르면, 제어 플로우는 만료 시각을 가질 수 있다. 노드(예컨대, 노드(201) 또는 도착지 노드(204))는 제어 플로우의 만료 시각을 갱신해야 하며, 일정 시간 동안에 만료 시각이 갱신되지 않으면 제어 플로우(또는, 제어 플로우 정보)는 제거될 수 있다. 또한, 단말 또는 게이트웨이로부터 수집된 보안 이벤트에 따라서 즉각적인 접속 차단이 필요하다고 결정되는 경우 또는 단말의 접속 종료 요청에 따라, 컨트롤러(201)는 제어 플로우를 제거할 수 있다. 제어 플로우가 제거되면 기존에 생성된 모든 데이터 플로우가 회수되기 때문에 단말의 모든 접속은 차단될 수 있다.According to one embodiment, the control flow may have an expiration time. The node (eg, the
터널 테이블(316)은 단말과 게이트웨이 그리고 게이트웨이와 게이트웨이(예컨대, 엣지 게이트웨이(203-1)와 코어 게이트웨이(203)) 사이에 연결된 터널을 관리하기 위한 테이블이다. 터널은 예를 들어, 장치 또는 IP 단위로 생성될 수 있다. 예를 들어, 터널 테이블(316)은 노드(201)과 게이트웨이(203), 게이트웨이(203-1)와 게이트웨이(203-2) 사이에 연결된 터널을 관리하기 위한 테이블로서, 유효한 터널이 존재하는 경우, 터널 테이블(316)은 터널을 관리 및 식별하기 위한 터널 식별 정보(터널 ID), 게이트웨이(203)와 컨트롤러(202) 사이의 제어를 위한 제어 플로우 식별 정보(제어 플로우 ID), 터널 엔드 포인트(tunnel end point, TEP), 터널 스타트 포인트(tunnel start point, TSP), 터널 알고리즘, 터널 종류, 및/또는 터널을 관리하기 위한 부가 정보를 포함할 수 있다.The tunnel table 316 is a table for managing a tunnel connected between the terminal and the gateway, and the gateway and the gateway (eg, the edge gateway 203 - 1 and the core gateway 203 ). The tunnel may be created, for example, in units of devices or IPs. For example, the tunnel table 316 is a table for managing a tunnel connected between the
데이터 플로우 테이블(317)은 단말과 게이트웨이 사이에 세부적인 데이터 패킷이 전송되는 흐름(예컨대, 데이터 플로우)을 관리하기 위한 테이블로서, 단말 또는 IP 단위로 생성되는 터널 내에서 TCP 세션, 출발지 단말의 애플리케이션, 또는 보다 세부적인 단위로 데이터 흐름을 관리할 수 있다. 데이터 플로우 테이블(317)은 데이터 플로우 식별 정보, 데이터 플로우가 제어 플로우에 종속되는 경우에는 종속된 제어 플로우 식별 정보, 단말로부터 전송된 데이터 패킷이 인가된 데이터 패킷인지를 식별하기 위한 애플리케이션 ID, 출발지 IP 주소, 도착지 IP 주소, 및/또는 서비스 포트를 포함할 수 있다. 또한, 데이터 플로우 테이블(317)은 데이터 플로우가 이용될 터널의 식별 정보를 포함할 수 있다. 또한, 데이터 플로우 테이블(317)은 데이터 패킷이 유효한지 여부를 판단하기 위한 헤더(또는 헤더 정보)를 포함할 수 있다. 또한, 데이터 플로우 테이블(317)은 데이터 패킷에 인증 정보인 데이터 플로우 헤더가 삽입되었는지 여부, 헤더의 삽입 방식, 데이터 플로우의 인증 필요 여부, 인증 상태, 및/또는 인증 만료 시각을 더 포함할 수 있다. 또한, 데이터 플로우 테이블(317)은 도착지 노드의 단말 정보(예컨대, 출발지 IP), 서비스 포트 정보 및 수신 가능한 애플리케이션 정보를 포함할 수 있다. 일 실시예에서, 데이터 플로우 테이블(317)은 데이터 패킷 검사 정보를 포함할 수 있다. 예를 들어, 데이터 패킷 검사 정보는, 데이터 패킷 검사 필요 여부를 나타내고, 룰 데이터베이스를 포함할 수 있다. 여기서, 룰 데이터베이스는 데이터 패킷 검사 방법(예컨대, 단일 데이터 패킷 검사, 복수 데이터 패킷 검사), 데이터 패킷 검사시 적용할 패턴, 데이터 패킷 검사시 적용할 위치 및 검사 후 처리 방법(예컨대, 데이터 패킷 차단, 데이터 패킷 치환 및 데이터 패킷 복사) 중 적어도 하나를 포함할 수 있다. 또한, 데이터 플로우 테이블(317)은 데이터 플로우를 사용하여 얼마나 데이터 패킷을 전송하였는지를 추적하기 위한 데이터 패킷 포워딩 정보를 포함할 수 있다. The data flow table 317 is a table for managing a flow (eg, data flow) in which detailed data packets are transmitted between a terminal and a gateway, and a TCP session within a tunnel created in units of terminals or IPs, application of a source terminal , or you can manage data flow in more granular units. The data flow table 317 includes data flow identification information, dependent control flow identification information when a data flow is dependent on a control flow, an application ID for identifying whether the data packet transmitted from the terminal is an authorized data packet, a source IP address, destination IP address, and/or service port. Also, the data flow table 317 may include identification information of a tunnel through which the data flow is to be used. Also, the data flow table 317 may include a header (or header information) for determining whether a data packet is valid. In addition, the data flow table 317 may further include whether a data flow header, which is authentication information, is inserted into the data packet, an insertion method of the header, whether or not authentication of the data flow is required, an authentication state, and/or an authentication expiration time. . Also, the data flow table 317 may include terminal information (eg, source IP) of the destination node, service port information, and receivable application information. In one embodiment, the data flow table 317 may include data packet inspection information. For example, the data packet inspection information may indicate whether data packet inspection is required and may include a rule database. Here, the rule database includes a data packet inspection method (eg, single data packet inspection, multiple data packet inspection), a pattern to be applied when inspecting a data packet, a location to be applied when inspecting a data packet, and a processing method after inspection (eg, blocking data packets, data packet replacement and data packet copying). Also, the data flow table 317 may include data packet forwarding information for tracking how many data packets are transmitted using the data flow.
과금 정책 데이터베이스(318)는 노드(201)가 접속할 수 있는 지역별 엣지 게이트웨이(도 2의 203-1에서 "지역 A", "지역 B", "지역 C") 및 해당 엣지 게이트웨이가 배포된 클라우드 사업자 정보, 해당 게이트웨이를 통해서 클라우드 네트워크를 사용할 경우 사용할 수 있는 데이터 패킷의 총량 및 데이터 패킷 총량을 모두 사용하였을 경우 다른 지역의 데이터 패킷 잔여량을 사용하기 위한 정책 설정 등 클라우드 네트워크 사용에 대한 총체적인 계약 및 데이터 패킷 총량 초과시 일반 네트워크 전환 등의 정책 정보 등을 포함할 수 있다.The charging
과금 테이블(319)은 각각의 게이트웨이 연결된 단말이 클라우드 네트워크를 사용하여 목적지 네트워크까지 데이터 패킷을 전송한 총량 및 과금 정보 등을 주기적으로 갱신 및 관리함으로써 과금 정책에 의해 지역별로 사용할 수 있는 데이터 패킷의 총량을 관리하고 해당 데이터를 기초로 과금 정책에 기반하여 일반 네트워크로 전환하거나 추가적인 과금을 수행할 것인지 여부 등을 결정하기 위한 정보로 사용될 수 있다. 과금 테이블(319)의 예시적인 실시예는 다음와 같다.The billing table 319 periodically updates and manages the total amount of data packets that each gateway-connected terminal transmits to the destination network using the cloud network and billing information, so that the total amount of data packets that can be used for each region according to the billing policy. and can be used as information for deciding whether to switch to a general network or perform additional billing based on the billing policy based on the data. An exemplary embodiment of the charging table 319 is as follows.
데이터 패킷을 포워딩하면 게이트웨이(203)는 과금 테이블(319)의 갱신 및 지속적인 노드(201)의 클라우드 네트워크 사용량 측정을 위해 전송한 데이터 패킷 사이즈를 데이터 플로우 테이블(317)에 갱신할 수 있다.When the data packet is forwarded, the
또한, 컨트롤러(202)에 포함된 데이터 플로우 테이블 구조는 노드(201) 및 게이트웨이(203)에 동일하게 적용될 수 있다.Also, the data flow table structure included in the
도 4는 다양한 실시예들에 따른 노드(예컨대, 도 2의 노드(201) 및 도착지 노드(204))의 기능적 블록도를 나타낸다.4 illustrates a functional block diagram of a node (eg,
도 4를 참조하면, 노드(예: 노드(201))는 프로세서(410), 메모리(420), 및 통신 회로(430)를 포함할 수 있다. 일 실시예에 따르면, 노드는 사용자와 인터페이스를 수행하기 위하여 디스플레이(440)를 더 포함할 수 있다. Referring to FIG. 4 , a node (eg, node 201 ) may include a
프로세서(410)는 노드의 전반적인 동작을 제어할 수 있다. 다양한 실시예들에서, 프로세서(410)는 하나의 프로세서 코어(single core)를 포함하거나, 복수의 프로세서 코어들을 포함할 수 있다. 예를 들면, 프로세서(410)는 듀얼 코어(dual-core), 쿼드 코어(quad-core), 헥사 코어(hexa-core) 등의 멀티 코어(multi-core)를 포함할 수 있다. 실시예들에 따라, 프로세서(410)는 내부 또는 외부에 위치된 캐시 메모리(cache memory)를 더 포함할 수 있다. 실시예들에 따라, 프로세서(410)는 하나 이상의 프로세서들로 구성될(configured with) 수 있다. 예를 들면, 프로세서(410)는, 애플리케이션 프로세서(application processor), 통신 프로세서(communication processor), 또는 GPU(graphical processing unit) 중 적어도 하나를 포함할 수 있다. The
프로세서(410)의 전부 또는 일부는 노드 내의 다른 구성 요소(예를 들면, 메모리(420), 통신 회로(430), 또는 디스플레이(440))와 전기적으로(electrically) 또는 작동적으로(operatively) 결합(coupled with)되거나 연결될(connected to) 수 있다. 프로세서(410)는 노드의 다른 구성 요소들의 명령을 수신할 수 있고, 수신된 명령을 해석할 수 있으며, 해석된 명령에 따라 계산을 수행하거나 데이터를 처리할 수 있다. 프로세서(410)는 메모리(420), 통신 회로(430), 또는 디스플레이(440)로부터 수신되는 메시지, 데이터, 명령어, 또는 신호를 해석할 수 있고, 가공할 수 있다. 프로세서(410)는 수신된 메시지, 데이터, 명령어, 또는 신호에 기초하여 새로운 메시지, 데이터, 명령어, 또는 신호를 생성할 수 있다. 프로세서(410)는 가공되거나 생성된 메시지, 데이터, 명령어, 또는 신호를 메모리(420), 통신 회로(430), 또는 디스플레이(440)에게 제공할 수 있다.All or part of the
프로세서(410)는 프로그램에서 생성되거나 발생되는 데이터 또는 신호를 처리할 수 있다. 예를 들면, 프로세서(410)는 프로그램을 실행하거나 제어하기 위해 메모리(420)에게 명령어, 데이터 또는 신호를 요청할 수 있다. 프로세서(410)는 프로그램을 실행하거나 제어하기 위해 메모리(420)에게 명령어, 데이터, 또는 신호를 기록(또는 저장)하거나 갱신할 수 있다. The
메모리(420)는 노드를 제어하는 명령어, 제어 명령어 코드, 제어 데이터, 또는 사용자 데이터를 저장할 수 있다. 예를 들면, 메모리(420)는 애플리케이션(application) 프로그램, OS(operating system)(예컨대, Microsoft Windows, Google Android, Apple iOS, MacOS 등), 미들웨어(middleware), 또는 디바이스 드라이버(device driver) 중 적어도 하나를 포함할 수 있다.The memory 420 may store a command for controlling a node, a control command code, control data, or user data. For example, the memory 420 may include at least one of an application program, an operating system (OS) (eg, Microsoft Windows, Google Android, Apple iOS, MacOS, etc.), middleware, or a device driver. may contain one.
메모리(420)는 휘발성 메모리(volatile memory) 또는 불휘발성(non-volatile memory) 중 하나 이상을 포함할 수 있다. 휘발성 메모리는 DRAM(dynamic random access memory), SRAM(static RAM), SDRAM(synchronous DRAM), PRAM(phase-change RAM), MRAM(magnetic RAM), RRAM(resistive RAM), FeRAM(ferroelectric RAM) 등을 포함할 수 있다. 불휘발성 메모리는 ROM(read only memory), PROM(programmable ROM), EPROM(electrically programmable ROM), EEPROM(electrically erasable programmable ROM), 플래시 메모리(flash memory) 등을 포함할 수 있다. 메모리(420)는 하드 디스크 드라이브(HDD, hard disk drive), 솔리드 스테이트 디스크(SSD, solid state disk), eMMC(embedded multi media card), UFS(universal flash storage)와 같은 불휘발성 매체(medium)를 더 포함할 수 있다. The memory 420 may include one or more of volatile memory and non-volatile memory. Volatile memory includes dynamic random access memory (DRAM), static RAM (SRAM), synchronous DRAM (SDRAM), phase-change RAM (PRAM), magnetic RAM (MRAM), resistive RAM (RRAM), and ferroelectric RAM (FeRAM). may include The nonvolatile memory may include a read only memory (ROM), a programmable ROM (PROM), an electrically programmable ROM (EPROM), an electrically erasable programmable ROM (EEPROM), a flash memory, and the like. The memory 420 includes a nonvolatile medium such as a hard disk drive (HDD), a solid state disk (SSD), an embedded multi media card (eMMC), and a universal flash storage (UFS). may include more.
일 실시예에 따르면, 메모리(420)는 컨트롤러의 메모리(예컨대, 도 3의 메모리(330))에 포함된 정보 중 일부를 저장할 수 있다. 예를 들어, 메모리(420)는 도 3에서 설명된 터널 테이블(316), 데이터 플로우 테이블(317), 과금 정책(318) 및 과금 테이블(319)을 저장할 수 있다.According to an embodiment, the memory 420 may store some of information included in the memory of the controller (eg, the memory 330 of FIG. 3 ). For example, the memory 420 may store the tunnel table 316 , the data flow table 317 , the charging
통신 회로(430)는 노드(예컨대, 도 2의 노드(201))와 외부 전자 장치(예컨대, 도 2의 컨트롤러(202) 또는 게이트웨이(203)) 사이의 유선 또는 무선 통신 연결의 수립, 및 수립된 연결을 통한 통신 수행을 지원할 수 있다. 일 실시예에 따르면, 통신 회로(430)는 무선 통신 회로(예컨대, 셀룰러 통신 회로, 근거리 무선 통신 회로, 또는 GNSS(global navigation satellite system) 통신 회로) 또는 유선 통신 회로(예컨대, LAN(local area network) 통신 회로, 또는 전력선 통신 회로)를 포함하고, 그 중 해당하는 통신 회로를 이용하여 블루투스, WiFi direct 또는 IrDA(infrared data association) 같은 근거리 통신 네트워크 또는 셀룰러 네트워크, 인터넷, 또는 컴퓨터 네트워크와 같은 원거리 통신 네트워크를 통하여 외부 전자 장치와 통신할 수 있다. 상술한 여러 종류의 통신 회로(430)는 하나의 칩으로 구현되거나 또는 각각 별도의 칩으로 구현될 수 있다.
디스플레이(440)는, 컨텐츠, 데이터, 또는 신호를 시각적으로 출력할 수 있다. 다양한 실시예들에서, 디스플레이(440)는 프로세서(410)에 의해 가공된 이미지 데이터를 표시할 수 있다. 실시예들에 따라, 디스플레이(440)는 터치 입력 등을 수신할 수 있는 복수의 터치 센서들(미도시)과 결합됨으로써, 일체형의 터치 스크린(touch screen)으로 구성될(configured with) 수도 있다. 디스플레이(440)가 터치 스크린으로 구성되는 경우, 복수의 터치 센서들은, 디스플레이(440) 위에 배치되거나, 디스플레이(440) 아래에 배치될 수 있다.The
한편, 일 실시예에 따른 서버(예컨대, 컨트롤러(202))는 프로세서(410), 메모리(420), 및 통신 회로(430)를 포함할 수 있다. 서버에 포함되는 프로세서(410), 메모리(420) 및 통신 회로(430)는 상술한 프로세서(410), 메모리(420) 및 통신 회로(430)와 실질적으로 동일할 수 있다.Meanwhile, the server (eg, the controller 202 ) according to an embodiment may include a
도 5는 다양한 실시예들에 따라 네트워크 접속이 차단되는 동작을 설명할 수 있다.5 may explain an operation of blocking a network connection according to various embodiments of the present disclosure.
일 실시예에 따르면, 네트워크 드라이버 및 운영체제의 커널 단에서 차단되어, 접속 제어 애플리케이션(211)을 제외한 어떠한 데이터 패킷도 네트워크로 전송되지 않을 수 있다(접속 제어 애플리케이션에서 접속 차단).According to an embodiment, it is blocked at the kernel end of the network driver and the operating system, so that no data packet except for the
일 실시예에 따르면, 네트워크에 존재하는 단말(210) 중 접속 제어 애플리케이션(211)이 설치되어 있지 않은 비관리 단말의 경우, 네트워크 접속 애플리케이션은 비인가된 데이터 패킷을 네트워크로 전송할 수 있지만, 네트워크 경계에 존재하는 게이트웨이(예컨대 엣지 게이트웨이(203-1)는 인가된 터널 및 데이터 플로우가 존재하지 않는 데이터 패킷을 모두 차단하기 때문에 실질적으로 단말의 데이터 패킷, 특히 TCP 세션(Session) 생성을 위한 데이터 패킷이 차단될 수 있다(터널 미존재에 따른 게이트웨이에서 접속 차단).According to an embodiment, in the case of an unmanaged terminal in which the
이처럼 접속 제어 애플리케이션(211)에서의 접속이 차단되는 경우 또는 터널 미존재에 따른 게이트웨이에서 접속이 차단되는 경우, 노드(201)는 대상 네트워크(예컨대, 도착지 노드(204)에 도달할 수 없는 상태), 즉 격리된 상태가 될 수 있다.As such, when the access in the
도 6 내지 도 7은 다양한 실시예들에 따른 컨트롤러 접속을 위한 동작을 설명할 수 있다. 도 6은 컨트롤러 접속을 위한 신호 흐름도를 나타내고, 도 7은 컨트롤러 접속을 위한 사용자 인터페이스 화면을 나타낸다.6 to 7 may explain an operation for connecting a controller according to various embodiments of the present disclosure. 6 shows a signal flow diagram for controller connection, and FIG. 7 shows a user interface screen for controller connection.
노드(201)가 네트워크를 접속 또는 수신하기 위해서는 컨트롤러(202)에 의하여 인가될 필요가 있으므로, 노드(201)의 접속 제어 애플리케이션(211)은 컨트롤러(202)에게 제어 플로우(제어 데이터 패킷 흐름 및 일련의 세션)의 생성을 요청함으로서 노드(201)의 컨트롤러 접속을 시도할 수 있다. 또한, 접속 제어 애플리케이션(211)은 도 2에서의 접속 제어 애플리케이션(211)을 포함할 수 있다.Since the
도 6을 참조하면, 동작 605에서, 노드(201)는 컨트롤러 접속 이벤트를 감지할 수 있다. 예를 들어, 노드(201)는 노드(201) 내에서 접속 제어 애플리케이션(211)이 설치 및 실행되고, 접속 제어 애플리케이션(211)을 통해 컨트롤러(202)에 대한 접속이 요청됨을 감지할 수 있다.Referring to FIG. 6 , in
일 예로, 도 7을 참조하면, 접속 제어 애플리케이션(211)이 실행되면 노드(201)는 컨트롤러 접속을 위하여 필요한 정보를 수신하기 위한 사용자 인터페이스 화면(710)을 표시할 수 있다. 사용자 인터페이스 화면(710)은 컨트롤러(202)의 IP 또는 도메인을 입력하기 위한 입력 창(711), 사용자 ID를 입력하기 위한 입력 창(712), 비밀번호를 입력하기 위한 입력 창(713), 및/또는 접속 위치를 입력하기 위한 입력 창(714)을 포함할 수 있다. 입력 창들(711 내지 714)에 대한 정보가 입력된 후 인증된 사용자의 컨트롤러 접속을 위한 버튼(715)을 수신함으로써 노드(201)는 컨트롤러 접속 이벤트를 감지할 수 있다. 다른 예를 들어, 노드(201)의 사용자 인증이 아직 완료되지 않은 상태라면, 노드(201)는 비인가된 사용자(즉, 게스트)의 컨트롤러 접속을 위한 버튼(716)을 수신함으로써 컨트롤러 접속 이벤트를 감지할 수 있다.For example, referring to FIG. 7 , when the
동작 610에서, 노드(201)는 컨트롤러 접속 이벤트를 감지한 것에 응답하여 컨트롤러(202)에게 컨트롤러 접속을 요청할 수 있다. 노드(201)는 접속 제어 애플리케이션(211)을 통해 컨트롤러 접속을 요청할 수 있다. 일 실시예에 따르면, 접속 제어 애플리케이션(211)은 노드(201)의 식별 정보(예컨대, 단말 ID, IP 주소, MAC 주소), 노드(201)의 종류, 위치 정보, 환경, 노드(201)가 포함되어 있는 네트워크의 식별 정보, 및/또는 접속 제어 애플리케이션(211)의 식별 정보, 사용자가 선택한 기본 지역 정보 등을 컨트롤러(202)에게 전송할 수 있다.In operation 610 , the
동작 615에서, 컨트롤러(202)는 수신된 요청에 응답하여 노드(201)의 접속 가능 여부를 확인(identify)할 수 있다. 일 실시예에 따르면, 컨트롤러(202)는 컨트롤러(202)의 메모리(예컨대, 도 3의 메모리(330))에 포함된 데이터 베이스에 기반하여 노드(201)의 접속 가능 여부를 확인할 수 있다. 컨트롤러(202)는 접속 제어 애플리케이션(211)으로부터 수신된 정보가 접속 정책 데이터 베이스에 포함되는지 여부와, 노드(201) 및/또는 노드(201)가 속한 네트워크의 식별 정보가 블랙리스트 데이터 베이스에 포함되는지 여부에 기반하여 노드(201)의 접속 가능 여부를 확인할 수 있다. 예를 들어, 컨트롤러(202)는 접속 제어 애플리케이션(211)이 접속 요청한 정보(해당 단말의 종류, 위치 정보, 환경 및 단말이 포함되어 있는 네트워크, 접속 제어 애플리케이션 정보, 사용자가 선택한 기본 지역 정보 등)가 정책에 의해 접속 가능한 상태인지 여부 및/또는 단말 및 네트워크 식별 정보 (단말 ID, IP, MAC 주소 등)가 블랙리스트 데이터 베이스에 포함되는지 여부에 기반하여 노드(201)의 접속 가능 여부를 확인할 수 있다.In
노드(201)가 접속 가능하다면, 동작 620에서, 컨트롤러(202)는 노드(201)와 컨트롤러(202) 사이에 제어 플로우를 생성할 수 있다. 이 경우, 컨트롤러(202)는 난수 형태로 제어 플로우 식별 정보를 생성하고, 노드(201) 및/또는 노드(201)가 속한 네트워크의 식별 정보(예컨대, 단말 ID, IP 주소, MAC 주소 등)를 제어 플로우 테이블에 저장할 수 있다. 제어 플로우 테이블에 저장된 정보(예컨대, 제어 플로우 식별 정보 및/또는 제어 플로우 정보)는 노드(201)의 사용자 인증, 노드(201)의 정보 업데이트, 노드(201)의 네트워크 접속을 위한 정책 확인, 및/또는 유효성 검사에 이용될 수 있다.If
노드(201)가 접속 불가능하거나 블랙리스트에 포함된 경우, 컨트롤러(202)는 동작 615에서 제어 플로우를 생성하지 않고, 노드(201)의 컨트롤러 접속이 불가능함을 나타내는 응답을 노드(201)로 전송할 수 있다. 만약 단말이 접속 불가능한 상태인 경우, 접속 제어 애플리케이션은 화면에 접속 불가 메시지 및 사유를 표시할 수 있다.If the
동작 625에서, 컨트롤러(202)는 식별된 정보(단말, 출발지 네트워크 정보 등)와 매칭된 접속 정책 및 터널 정책에서, 현재 접속된 노드(201)가 기본적으로 연결할 수 있는 목적지 네트워크(도착지 노드) 정보가 존재하는지 확인할 수 있다.In
동작 625에서, 접속이 가능한 경우, 해당 노드(201)가 목적지 네트워크에 접속하기 위해서 제어 플로우에 포함된 단말의 종류, 위치 정보, 환경 및 단말이 포함되어 있는 네트워크 등의 정보와 컨트롤러(202)를 통해서 식별된 단말의 IP 주소 및 단말에서 식별된 단말의 IP 주소 등을 통해서 단말이 연결할 수 있는 터널링 종류와 게이트웨이를 목록화하고, 목록화된 게이트웨이의 상태(처리량, 장애 여부)를 확인하여 목록화된 게이트웨이 중에서 해당 단말에 최적화된 터널 및 게이트웨이 1개를 식별할 수 있다. 게이트웨이(203)는 엣지 게이트웨이(203-1)일 수 있다.In
동작 630에서, 과금 및 터널 정책 확인 절차를 수행하고 그 결과를 전송할 수 있다.In
동작 635에서, 노드(201)가 접속 가능한 터널 및 게이트웨이가 존재하는 경우, 컨트롤러(202)는 게이트웨이(203)에 해당 단말이 터널을 생성할 수 있는 인증 및 일련의 정보를 노드(201)에 전송하고, 해당 터널 생성 정보를 터널 테이블(316)에 등록하며, 해당 터널 생성 정보를 게이트웨이(203)에 전송할 수 있다. 동작 640에서, 게이트웨이(203)(엣지 게이트웨이(203-1))는 컨트롤러(202)로부터 터널 생성 요청을 수신할 수 있다.In operation 635 , if a tunnel and a gateway accessible to the
또한, 해당 게이트웨이(203)가 노드(201)의 제어 플로우 관련 처리를 수행할 수 있는 경우, 해당 노드(201)가 해당 게이트웨이(203)에 제어 플로우 관련 처리를 요청하기 위한 일련의 정보(제어 플로우 처리를 위한 게이트웨이의 IP 주소 및 포트 정보 및 제어 플로우 분산 처리 여부, 해당 게이트웨이에서 처리할 수 있는 명령어 목록 등)를 전송하며, 컨트롤러(202)는 해당 게이트웨이(203)에 제어 플로우 관련 처리를 위한 일련의 정보(해당 단말에 대한 제어 플로우 정보 등)를 전송할 수 있다.In addition, when the
만약 노드(201)에 접속 가능한 터널 및 게이트웨이가 존재하지만 처리량이 많거나 장애 중이여서 터널 접속이 불가능한 경우, 터널 접속 재시도를 위한 정보를 단말에 반환할 수 있다.If there are tunnels and gateways accessible to the
동작 645에서, 노드(201)는 컨트롤러(202)로부터 수신된 접속 요청 결과값을 처리할 수 있다. 만약 접속이 불가능한 경우, 접속 제어 애플리케이션의 실행을 중지하고 종료하거나, 관련 오류 메시지를 표시할 수 있다. 일 실시예에 따르면, 노드(201)의 접속이 불가능함을 나타내는 응답을 수신하면, 노드(201)는 게이트웨이 접속이 불가능함을 나타내는 사용자 인터페이스 화면을 사용자에게 출력할 수 있다. 예를 들어, 도 7을 참조하면, 노드(201)는 접속 제어 애플리케이션(211)을 통해 사용자 인터페이스 화면(720)을 표시할 수 있다. 사용자 인터페이스 화면(720)은, 도 7의 (b)에서 노드(201)의 해당 위치에서 접속 가능한 게이트웨이가 존재하지 않음을 나타내고(717), 도 7의 (c)에서 30초 이후에 다시 접속 시도를 함을 나타내며(718), 도 7의 (d)에서 게이트웨이의 접속이 종료되어 다른 게이트웨이로의 접속을 시도하고 있음을 나타내는(719) 사용자 인터페이스를 포함할 수 있다. In
동작 650에서, 노드(201)는 터널 생성이 필요한 경우, 게이트웨이(203)로 터널 생성 요청을 할 수 있다. 동작 635에서 노드(201)가 접속 가능한 터널(210) 및 게이트웨이(203)가 존재하는 경우, 컨트롤러(202)로부터 수신된 게이트웨이(203)에 해당 노드(201)가 터널(210)을 생성할 수 있는 인증 및 일련의 정보를 이용하여, 터널 생성 요청을 할 수 있고, 동작 640에서 컨트롤러(202)로부터 수신된 해당 터널 생성를 이용하여 게이트웨이(203)(엣지 게이트웨이(203-1))는 노드(201)로부터 요청된 터널 생성을 진행할 수 있다.In operation 650 , when tunnel creation is required, the
도 8은 다양한 실시예들에 따른 사용자 인증을 위한 신호 흐름도를 나타낸다.8 illustrates a signal flow diagram for user authentication according to various embodiments of the present disclosure.
노드(201)가 목적지 네트워크에 대한 상세한 접속 권한을 부여 받기 위해서, 노드(201)의 접속 제어 애플리케이션(211)(예: 도 2의 접속 제어 애플리케이션(211))은 컨트롤러(202)로부터 노드(201)의 사용자에 대한 인증을 받을 수 있다. 접속 제어 애플리케이션(211)은 네트워크의 상세한 접속 권한을 부여 받기 위해 사용자 인증을 수행할 수 있으며, 사용자 ID 및 비밀번호 또는 강화된 인증 방법에 의한 인증 정보를 전송할 수 있다.In order for the
도 8을 참조하면, 동작 805에서, 출발지 노드(201)는 사용자 인증을 위한 입력을 수신할 수 있다. 사용자 인증을 위한 입력은 예를 들어, 사용자 ID 및 비밀번호를 입력하는 사용자 입력일 수 있다. 다른 예를 들어, 사용자 인증을 위한 입력은 보다 강화된 인증을 위한 사용자 입력(예컨대, 생체 정보, 지문, 홍채 등)일 수 있다.Referring to FIG. 8 , in
동작 810에서, 출발지 노드(201)는 컨트롤러(202)에게 사용자 인증을 요청할 수 있다. 예를 들어, 접속 제어 애플리케이션(211)은 사용자 인증을 위한 입력 정보를 컨트롤러(202)에게 전송할 수 있다. 출발지 노드(201)와 컨트롤러(202) 간 제어 플로우가 이미 생성된 상태이면, 접속 제어 애플리케이션(211)은 사용자 인증을 위한 입력 정보를 제어 플로우 식별 정보와 함께 전송할 수 있다.In operation 810 , the
동작 815에서, 컨트롤러(202)는 노드(201)로부터 수신된 정보에 기반하여 사용자를 인증할 수 있다. 예를 들어, 컨트롤러(202)는 수신된 정보에 포함된 사용자 ID, 비밀번호, 및/또는 강화된 인증 정보와, 컨트롤러(202)의 메모리에 포함된 데이터 베이스(예컨대, 도 3의 접속 정책 데이터 베이스(311) 또는 블랙리스트 데이터 베이스(314))에 기반하여 사용자가 접속 가능한 사용자인지 여부 및 사용자가 블랙리스트에 포함되는지 여부를 검사하여 해당 사용자가 차단되어 있는지 여부를 확인할 수 있다.In
접속 가능한 사용자인 경우, 동작 820에서, 전송한 제어 플로우 식별 정보(제어 플로우 ID)를 이용하여 제어 플로우 테이블에서 제어 플로우를 검색하고, 검색된 제어 플로우에의 식별 정보에 사용자 식별 정보(사용자 ID)를 추가할 수 있다. 예를 들어, 사용자가 인증되면, 컨트롤러(202)는 제어 플로우 식별 정보에 사용자의 식별 정보(예컨대, 사용자 ID)를 추가할 수 있으며, 추가된 사용자 식별 정보는 인증된 사용자의 컨트롤러 접속 또는 네트워크 접속에 이용될 수 있다. 컨트롤러(202)는 사용자 인증 결과로써 인증 완료 상태 및 인증된 사용자의 접속 정책 정보를 반환할 수 있다.In case of an accessible user, in
동작 825에서, 컨트롤러(202)는 식별된 정보(예컨대, 단말, 출발지 네트워크 정보, 사용자 ID 등)와 매칭된 접속 및 터널 정책에서, 현재 접속된 단말이 기본적으로 연결할 수 있는 목적지 네트워크 정보가 존재하는지 확인할 수 있다.In
동작 830에서, 과금 및 터널 정책 확인 절차를 수행하고 그 결과를 전송할 수 있다. 접속이 가능한 경우, 해당 노드(201)가 목적지 네트워크(도착지 노드(204))에 접속하기 위해서 제어 플로우에 포함된 단말의 종류, 위치 정보, 환경 및 단말이 포함되어 있는 네트워크 등의 정보와 컨트롤러(202)를 통해서 식별된 단말의 IP 주소 및 단말에서 식별된 단말의 IP 주소 등을 통해서 노드(201)가 연결할 수 있는 터널링 종류와 게이트웨이(203)를 목록화하고, 목록화된 게이트웨이의 상태 (처리량, 장애 여부)를 확인하여 목록화된 게이트웨이 중에서 해당 단말에 최적화된 터널 및 게이트웨이 1개를 식별할 수 있다.In
일 실시예에 따르면, 단말(209)에 접속 가능한 터널(210) 및 게이트웨이(203)가 존재하는 경우, 컨트롤러(202)는 게이트웨이(203)에 해당 노드(201)가 터널(210)을 생성할 수 있는 인증 및 일련의 정보를 노드(201)에 전송하고, 해당 터널 생성 정보를 터널 테이블(316)에 등록하며, 해당 터널 생성 정보를 게이트웨이(203)에 전송할 수 있다.According to an embodiment, when the
만약 단말에 접속 가능한 터널 및 게이트웨이가 존재하지만 처리량이 많거나 장애 중이여서 터널 접속이 불가능한 경우, 터널 접속 재시도를 위한 정보를 단말에 반환할 수 있다.If there are tunnels and gateways accessible to the terminal, but tunnel access is not possible due to a high throughput or a failure, information for retrying the tunnel connection may be returned to the terminal.
다른 실시예에 따르면, 컨트롤러(202)는 사용자 인증이 불가능한 것으로 결정할 수 있다. 예를 들어, 사용자의 식별 정보가 블랙리스트 데이터 베이스에 포함되면 컨트롤러(202)는 사용자 인증이 불가능한 것으로 결정할 수 있다. 이 경우, 동작 820에서 컨트롤러(202)는 사용자 인증이 불가능함을 나타내는 정보를 출발지 노드(201)에게 전송하고, 동작 825에서 출발지 노드(201)는 사용자 인증이 실패함을 나타내는 사용자 인터페이스 화면을 디스플레이를 통해 출력할 수 있다. According to another embodiment, the
도 9는 다양한 실시예들에 따라 네트워크 접속을 제어하는 동작을 설명할 수 있다. 도 9는 네트워크 접속을 처리하기 위한 신호 흐름도를 나타낸다.9 may explain an operation of controlling a network connection according to various embodiments of the present disclosure. 9 shows a signal flow diagram for processing a network connection.
노드(201)가 컨트롤러(202)로부터 인가된 이후에, 출발지 노드(201)는 노드(201)의 접속 제어 애플리케이션(211)을 통해 출발지 노드(201) 내에 저장된 다른 애플리케이션들의 네트워크 접속을 제어함으로서 신뢰된 데이터 전송을 보장할 수 있다.After the
도 9를 참조하면, 동작 905에서, 접속 제어 애플리케이션(211)은 네트워크 접속 이벤트를 감지할 수 있다. 예를 들어, 접속 제어 애플리케이션(211)은 웹 브라우저와 같은 타겟 애플리케이션이 인터넷과 같은 도착지 노드(204)를 포함하는 목적지 네트워크로의 접속을 시도함을 감지할 수 있다. 예를 들어, 사용자는 웹 브라우저를 실행하고 접속하고자 하는 웹 주소를 입력 및 호출할 수 있다.Referring to FIG. 9 , in
동작 910에서, 접속 제어 애플리케이션은 서비스 서버와 통신을 수행해야 하는 경우, 해당 서비스 서버와 통신하기 위해 애플리케이션 식별 정보, 도착지 IP와 포트 정보를 기반하여 데이터 플로우 정보가 존재하는지 확인할 수 있다. 터널 및 데이터 플로우가 존재하는 경우 데이터 패킷을 전송할 수 있다. 만약 데이터 플로우가 존재하지만 유효하지 않은 경우(예컨대, 데이터 패킷 전송 불가 상태), 데이터 패킷은 드롭(DROP)될 수 있다.In
동작 915에서, 만약 데이터 패킷이 존재하지 않거나, 인증 시각이 만료되어 갱신이 필요로 한 경우 및 그 외의 사항(예컨대, 네트워크 접속 실패 시)에 의하여 데이터 플로우를 갱신해야 하는 경우, 유효성 검사 정책에 따라 유효성 검사 절차를 수행할 수 있다. 유효성 검사는 접속 애플리케이션의 무결성 및 안전성 여부에 관한 검사(예컨대, 애플리케이션 위·변조 여부, 코드 사이닝 검사, 핑거프린트 검사 등)를 포함할 수 있다.In
동작 920에서, 접속 제어 애플리케이션(211)은 네트워크 접속 이벤트 이전에 컨트롤러(202)와 생성된 제어 플로우를 식별하기 위한 제어 플로우 식별 정보와 애플리케이션 식별 정보, 접속하고자 하는 서버의 도착지IP 및 포트 정보를 기반으로 네트워크 접속 요청을 수행할 대상을 확인할 수 있다.In
동작 925에서, 컨트롤러(202)는 제어 플로우 상에 식별된 정보 (단말, 사용자, 출발지 네트워크 정보 등)와 매칭된 접속 정책에서, 접속 요청한 식별 정보(애플리케이션, 도착지 IP 및 서비스 포트 정보 등)의 포함 여부 및 해당 식별 정보로 매핑된 도착지 서버와 네트워크 경계 사이에 존재하는 게이트웨이(203)와의 접속 가능 여부를 확인할 수 있다. 접속이 불가능한 경우, 컨트롤러(202)는 노드(201)에 접속 불가 결과를 전송할 수 있다.In
접속이 가능한 경우, 해당 네트워크에 연결된 단말의 접속을 허용하기 위해 터널 정책에서 해당 단말이 위치한 게이트웨이를 확인하고, 해당 단말이 속한 네트워크 경계의 게이트웨이와 접속하고자 하는 목적지 네트워크 경계의 게이트웨이 사이에 터널이 생성되어있는지 여부를 확인하고, 데이터 플로우 테이블에서 해당 도착지 IP와 포트로 접속 가능한 데이터 플로우 정보가 존재하는지 확인할 수 있다. 만약 터널링 생성되어 있고, 데이터 플로우 테이블에서 유효한 데이터 플로우 정보가 없는 경우, 해당 애플리케이션의 접속을 허용할 수 있도록 출발지 IP, 도착지 IP 및 포트 정보를 기반으로 데이터 플로우 정보를 생성하고, 해당 정보를 식별된 게이트웨이에 각각 전송할 수 있다.If access is possible, the gateway where the terminal is located is checked in the tunnel policy to allow access of the terminal connected to the network, and a tunnel is created between the gateway of the network boundary to which the terminal belongs and the gateway of the destination network to access. It can be checked whether or not the data flow is enabled, and it can be checked whether data flow information that can be accessed through the corresponding destination IP and port exists in the data flow table. If tunneling is created and there is no valid data flow information in the data flow table, data flow information is created based on the source IP, destination IP and port information to allow the access of the application, and the information is identified. Each can be transmitted to the gateway.
만약 데이터 플로우 테이블에서 접속 가능한 데이터 플로우 정보가 존재하는 경우, 해당 정보를 단말에 전송할 수 있다.If accessible data flow information exists in the data flow table, the corresponding information may be transmitted to the terminal.
동작 930에서, 접속이 가능한 경우, 해당 노드(201)가 목적지 네트워크에 접속하기 위해서 제어 플로우에 포함된 단말의 종류, 위치 정보, 환경 및 단말이 포함되어 있는 네트워크 등의 정보와 컨트롤러(202)를 통해서 식별된 단말의 IP 주소 및 단말에서 식별된 단말의 IP 주소 등을 통해서 노드(201)가 연결할 수 있는 터널링 종류와 게이트웨이를 목록화하고, 목록화된 게이트웨이의 상태(처리량, 장애 여부 등)를 확인하여 목록화된 게이트웨이 중에서 해당 단말에 최적화된 터널 및 게이트웨이를 식별할 수 있다.In
만약 터널링 생성되어 있고, 데이터 플로우 테이블에서 유효한 데이터 플로우 정보가 없는 경우, 해당 애플리케이션의 접속을 허용할 수 있도록 출발지 IP 주소, 도착지 IP 주소 및 포트 정보를 기반으로 데이터 플로우 정보를 생성하고, 해당 정보를 식별된 게이트웨이에 각각 전송할 수 있다.If tunneling is created and there is no valid data flow information in the data flow table, data flow information is created based on the source IP address, destination IP address and port information to allow the application access, and the information Each can be transmitted to the identified gateway.
만약 데이터 플로우 테이블에서 접속 가능한 데이터 플로우 정보가 존재하는 경우, 해당 정보를 단말(202)에 전송할 수 있다.If accessible data flow information exists in the data flow table, the corresponding information may be transmitted to the terminal 202 .
만약 터널링이 생성되어 있지 않은 경우, 컨트롤러(202)는 단말에 접속 불가 결과(접속 실패)를 전송할 수 있다.If tunneling is not generated, the
동작 935에서, 게이트웨이(203)는 동작 930에서 해당 애플리케이션의 접속을 허용할 수 있도록 출발지 IP 주소, 도착지 IP 주소 및 포트 정보를 기반으로 데이터 플로우 정보를 수신할 수 있다.In
도 10은 터널 생성 요청을 처리하기 위한 신호 흐름도를 나타낸다.10 shows a signal flow diagram for processing a tunnel creation request.
동작 1005에서, 노드(201)는 터널 생성이 필요로 한 경우 터널 생성 요청 이벤트를 감지할 수 있다. 만약 터널 생성시, 컨트롤러(202)로부터 터널 생성에 필요로 한 상세 정보(예컨대, 터널링, 게이트웨이 및 인증 등의 정보)를 수신하지 않고, 단순 터널 생성 필요 여부 및 목적지 네트워크 접속에 필요로 한 터널을 식별하기 위한 정보만 존재하는 경우, 컨트롤러(202)에게 터널 생성 정보 요청 절차를 수행할 수 있다(동작 1010).In operation 1005 , the
만약 터널 생성에 필요로 한 상세 정보가 존재하는 경우 터널 생성 요청 절차를 수행할 수 있다(동작 1025).If detailed information required for tunnel creation exists, a tunnel creation request procedure may be performed (operation 1025).
동작 1010에서, 노드(201)는 터널 생성을 위한 게이트웨이 및 터널링 인증 등을 포함하는 터널 생성에 있어서 필요로 한 일련의 정보를 컨트롤러(202)에 요청할 수 있다.In
동작 1015에서, 노드(201)로부터 터널 생성 정보 요청을 수신하는 경우, 과금 및 터널 정책 확인 절차를 수행하고 그 결과를 노드(201) 및 엣지 게이트웨이(203-1)에 전송할 수 있다. 접속이 가능한 경우, 해당 노드(201)가 목적지 네트워크에 접속하기 위해서 제어 플로우에 포함된 단말의 종류, 위치 정보, 환경 및 단말이 포함되어 있는 네트워크 등의 정보와 컨트롤러(202)를 통해서 식별된 단말의 IP 및 단말에서 식별된 단말의 IP 등을 통해서 단말이 연결할 수 있는 터널링 종류와 게이트웨이를 목록화하고, 목록화된 게이트웨이의 상태 (처리량, 장애 여부)를 확인하여 목록화된 게이트웨이 중에서 해당 단말에 최적화된 터널 및 게이트웨이 1개를 식별할 수 있다. In
만약 단말에 접속 가능한 터널 및 게이트웨이가 존재하는 경우, 컨트롤러(202)는 게이트웨이(203)에 해당 노드(201)가 터널(210)을 생성할 수 있는 인증 및 일련의 정보를 노드(201)에 전송하고, 해당 터널 생성 정보를 터널 테이블(316)에 등록하며, 해당 터널 생성 정보를 게이트웨이(203-1b)에 전송할 수 있다(동작 1015-1).If there is a tunnel and a gateway accessible to the terminal, the
만약 노드(201)에 접속 가능한 터널 및 게이트웨이가 존재하지만 처리량이 많거나 장애 중이여서 터널 접속이 불가능한 경우, 터널 접속 재시도를 위한 정보를 노드(201)에 반환할 수 있다.If a tunnel and a gateway connectable to the
만약 새로운 터널 생성 정보 요청에 따라, 이전에 해당 단말에게 제공한 터널 생성 정보가 유효하지 않은 상태인 경우(예컨대, 단말의 환경 및 네트워크 상황에 따라 이전에 제공된 터널 생성 정보로 게이트웨이에 접속 불가능한 상태인 경우 등), 터널 테이블(316)에서 식별된 터널 정보를 기반으로 해당 게이트웨이(203-1a에 해당 터널 생성 정보로 터널 생성을 할 수 없도록 기존 터널 정보를 제거 요청한다(동작 1015-2).If, in response to a request for new tunnel creation information, the previously provided tunnel creation information to the terminal is invalid (eg, depending on the environment and network conditions of the terminal, it is impossible to access the gateway with the previously provided tunnel creation information. case, etc.), a request is made to delete the existing tunnel information so that tunnel creation cannot be performed using the corresponding tunnel creation information to the corresponding gateway 203-1a based on the tunnel information identified in the tunnel table 316 (operation 1015-2).
동작 1020에서, 노드(201)는 컨트롤러(202)로부터 터널 생성 정보 요청 결과를 수신할 수 있다. 터널 생성 정보가 존재하여 게이트웨이 접속이 가능한 경우, 터널 생성 요청 절차를 수행할 수 있다. 터널 생성 정보가 존재하여 게이트웨이 접속이 불가한 경우, 터널 생성 실패 처리 절차를 수행한다(동작 1040).In operation 1020 , the
동작 1030에서, 노드(201)는 컨트롤러로부터 수신한 터널 생성을 위한 게이트웨이 및 터널링 인증 등 터널 생성이 필요로 한 일련의 정보를 기반으로 해당 게이트웨이에 터널 생성 요청할 수 있다.In operation 1030 , the
네트워크의 상황 (게이트웨이 접속 불가) 및 단말의 상황(해당 터널링 기술 미지원 및 프로토콜 미호환 등), 그 외 게이트웨이와의 터널링 실패로 인하여 터널 생성이 실패한 경우 터널 실패 처리 절차(동작 1040)를 수행할 수 있다.If tunnel creation fails due to network conditions (gateway connection impossible) and terminal conditions (corresponding tunneling technology not supported, protocol incompatibility, etc.) and tunneling failure with other gateways, the tunnel failure handling procedure (operation 1040) can be performed. there is.
해당 게이트웨이와 정상적으로 터널 생성이 완료된 경우, 터널 생성 완료 처리 절차(동작 1035)를 수행한다.When tunnel creation is normally completed with the corresponding gateway, a tunnel creation completion processing procedure (operation 1035) is performed.
동작 1035에서, 노드(201)는 게이트웨이(203)와 터널(210) 생성을 완료한 경우, 터널 생성 완료 정보를 컨트롤러(202)에 전달하며, 컨트롤러(202)는 수신된 터널 생성 완료 정보(단말에 부여된 IP 또는 터널 식별 정보 등)를 기반으로 터널 테이블(316)을 갱신하여(동작 1060) 해당 단말에 연결된 터널을 관리하고 해당 단말 또는 게이트웨이의 연결이 종료되었을 경우 터널을 회수할 수 있도록 할 수 있다.In
동작 1040에서, 노드(201)가 게이트웨이(203)와의 터널(210) 생성에 실패한 경우, 노드(201)가 터널 생성에 필요로 한 일련의 정보를 컨트롤러(202)에 요청하였으나 터널 생성 관련 정보를 수신하지 못하였거나 생성 가능한 터널 정보가 존재하지 않는 경우, 터널 생성 실패 관련 처리를 수행할 수 있다.In
만약 노드(201)가 게이트웨이(203)와 터널 생성에 실패한 경우, 터널 생성과 관련한 일련의 정보(터널 식별 정보 또는 게이트웨이 식별 정보 등 컨트롤러가 해당 단말과 게이트웨이 사이에서 생성하려고 하였던 터널을 식별하기 위한 일련의 정보)를 컨트롤러(202)로 전송할 수 있다.If the
동작 1045에서, 과금 및 터널 정책 확인 절차를 수행하고 그 결과를 노드(201) 및 엣지 게이트웨이(203-1a에 전송할 수 있다. 해당 단말이 전송한 터널 생성 실패 정보를 기반으로 터널 테이블에서 이전에 등록한 생성중인 터널 및 게이트웨이 정보를 식별하고, 식별된 터널 정보를 기반으로 해당 게이트웨이에 해당 터널 생성 정보로 터널 생성을 할 수 없도록 기존 터널 정보를 제거 요청한다.In
만약 노드(201)에 접속 가능한 터널(210) 및 게이트웨이(203)가 존재하는 경우, 컨트롤러(202)는 게이트웨이(203)에 해당 노드(201)가 터널을 생성할 수 있는 인증 및 일련의 정보를 전송하고, 노드(201)에 해당 게이트웨이(210)에 터널을 생성하기 위한 일련의 정보를 전송할 수 있다.If a
만약 해당 터널 생성 정보가 기존에 생성 요청된 터널을 대체하는 경우, 기존 터널에 종속되어 있었던 데이터 플로우 정보를 갱신된 터널로 변경하며, 변경된 데이터 플로우 정보를 게이트웨이(도 10에서 엣지 게이트웨이(203-1a)로 전송할 수 있다.If the corresponding tunnel creation information replaces the previously requested tunnel, the data flow information subordinate to the existing tunnel is changed to the updated tunnel, and the changed data flow information is transferred to the gateway (edge gateway 203-1a in FIG. 10). ) can be transmitted.
또한 기존 게이트웨이(도 10에서 엣지 게이트웨이(203-1b))에는 기존에 생성된 터널 정보를 삭제 요청할 수 있다(동작 1050).Also, the existing gateway (edge gateway 203 - 1b in FIG. 10 ) may request deletion of the previously created tunnel information (operation 1050 ).
만약 노드(201)에 접속 가능한 터널 및 게이트웨이가 존재하지만 처리량이 많거나 장애 중이여서 터널 접속이 불가능한 경우, 터널 접속 재시도를 위한 정보를 단말에 반환한다(동작 1055).If there are tunnels and gateways accessible to the
동작 1055에서, 노드(201)는 컨트롤러(202)로부터 터널 생성 실패 처리 결과를 수신할 수 있다.In operation 1055 , the
만약 새로운 터널 생성 정보가 존재하는 경우, 터널 생성 요청 절차를 수행할 수 있다(동작 1025).If new tunnel creation information exists, a tunnel creation request procedure may be performed (operation 1025).
도 11은 다양한 실시예들에 따른 데이터 패킷을 포워딩하기 위한 흐름도를 나타낸다.11 shows a flowchart for forwarding a data packet according to various embodiments.
일 실시예에 따르면, 게이트웨이(203)가 인가된 터널로 데이터 패킷을 수신하는 경우(동작 1105), IP(Internet Protocol)의 5 Tuples 정보(프로토콜, 출발지 IP, 출발지 포트, 도착지 IP, 도착지 포트 정보)에 포함된 출발지 IP, 도착지 IP, 도착지 포트 정보를 기반으로 데이터 플로우 테이블에서 포워딩 가능한 데이터 플로우가 존재하는지 확인할 수 있다(동작 1110). 데이터 플로우가 존재하는 경우, 해당 데이터 패킷을 포워딩할 수 있다(동작 1115). 데이터 플로우가 존재하지 않는 경우, 해당 데이터 패킷을 드롭(DROP)할 수 있다(동작 1120). 게이트웨이(203)는 데이터 패킷 포워딩 후 해당 데이터 플로우에 포워딩한 데이터 패킷 사이즈를 업데이트할 수 있다(동작 1125).According to an embodiment, when the
도 12는 다양한 실시예들에 따른 게이트웨이의 데이터 플로우 테이블 동기화하기 위한 흐름도를 나타낸다.12 is a flowchart illustrating a data flow table synchronization of a gateway according to various embodiments of the present disclosure;
동작 1205에서, 게이트웨이(203)는 데이터 플로우 테이블 동기화 이벤트를 감지할 수 있다.In
동작 1210에서, 데이터 플로우 테이블 동기화 이벤트를 감지하는 것에 응답하여, 게이트웨이(203)는 상시로 포워딩한 데이터 패킷 정보를 포함하는 데이터 플로우 테이블 정보를 컨트롤러(202)에 전송하여, 컨트롤러(202)는 전송된 당 데이터 플로우 테이블 정보를 기반으로 데이터 플로우 및 과금 테이블을 업데이트할 수 있다.In operation 1210 , in response to detecting the data flow table synchronization event, the
동작 1215에서, 컨트롤러(202)는 업데이트된 과금 테이블(319)을 기반으로 과금 정책(318)에 기반하여 접속된 각각의 노드(201)가 현재 사용중인 경로를 유지할 것인지 여부를 확인할 수 있다. In operation 1215 , the
만약 각각의 노드(201)가 사용중인 경로가 클라우드 네트워크 기반 경로이고 과금 정책에 의해서 더 이상 해당 경로를 사용할 수 없는 경우 해당 노드(201)로 설정된 클라우드 네트워크 기반 경로상에 존재하는 게이트웨이에 기존에 생성된 터널 및 데이터 플로우 정보를 삭제 처리하기 위해 터널 테이블(316) 및 데이터 플로우 테이블(317)을 삭제하여, 해당 게이트웨이(203) 및 노드(201)가 데이터 패킷을 포워딩할 수 없도록 처리할 수 있다.If the route being used by each
컨트롤러(202)는 갱신된 터널 테이블(316) 및 데이터 플로우 테이블(317)을 게이트웨이에 전송할 수 있다.The
동작 1220에서, 게이트웨이는 갱신된 터널 테이블(316) 및 데이터 플로우 테이블(317)에 따라 터널 및 데이터 플로우를 제거해야 하는 경우, 터널 및 데이터 플로우를 제거할 수 있다.In
도 13은 다양한 실시예들에 따른 터널을 해제하기 위한 흐름도를 나타낸다.13 is a flowchart for releasing a tunnel according to various embodiments.
동작 1305에서, 접속 제어 애플리케이션(211)은 터널 접속 해제 여부를 상시 감시하며 터널 해제 이벤트를 감지할 수 있다.In
동작 1310에서, 터널 접속이 해제되었을 경우 컨트롤러(202)에 터널 해제 요청을 수행하며 요청시 해제된 터널을 식별하기 위한 정보, 예컨대 단말에 부여된 IP 또는 터널 식별 정보를 포함하는 정보를 전송할 수 있다.In
동작 1315에서, 컨트롤러(202)는 수신된 터널 해제 정보를 확인하여 터널 테이블(316)에서 해당 터널 식별 정보를 확인하고, 터널 테이블(316)에 존재하는 경우 및 터널 제거가 필요로 한 경우, 기존 게이트웨이(203-1b)(도 13에서 엣지 게이트웨이(203-1b))에 터널 제거 요청을 전송할 수 있다.In
동작 1315에서, 컨트롤러(202)는 해당 터널 접속 해제 요청이 단말 또는 게이트웨이의 네트워크 상황에 따라 종료되었거나 단말에 접속 위치 변화에 따라 최적화된 터널을 제공하기 위해 기존 터널 접속 해제 요청을 하는 경우 등, 노드(201)과 도착지 노드(204) 사이의 접속을 상시 유지하기 위해서 새로운 터널을 생성하기 위한 접속 및 터널 정책을 확인할 수 있다.In
동작 1315에서, 컨트롤러(202)는 수신된 터널 해제 정보를 확인하여 터널 테이블(316)에서 해당 터널 식별 정보를 확인하고, 터널 테이블(316)에 존재하는 경우 및 터널 제거가 필요로 한 경우, 게이트웨이에 터널 제거 요청을 수행할 수 있다.In
컨트롤러(202)는 해당 터널 접속 해제 요청이 노드(201) 또는 게이트웨이(203)의 네트워크 상황에 따라 종료되었거나 노드(201)에 접속 위치 변화에 따라 최적화된 터널을 제공하기 위해 기존 터널 접속 해제 요청을 하는 경우 등, 단말과 목적지 네트워크 간에 접속을 상시 유지하기 위해서 새로운 터널을 생성하기 위한 과금 및 터널 정책 확인 절차를 수행하고 그 결과를 전송할 수 있다.The
동작 1320에서, 기존 게이트웨이에는 기존에 생성된 터널 정보를 삭제 요청할 수 있다.In
만약 단말에 접속 가능한 터널 및 게이트웨이가 존재하지만 처리량이 많거나 장애 중이여서 터널 접속이 불가능한 경우, 터널 접속 재시도를 위한 정보를 단말에 반환할 수 있다.If there are tunnels and gateways accessible to the terminal, but tunnel access is not possible due to a high throughput or a failure, information for retrying the tunnel connection may be returned to the terminal.
만약 접속이 불가능한 경우, 컨트롤러는 단말에 접속 불가 결과를 전송할 수 있다(동작 1330).If access is not possible, the controller may transmit a result of being unable to connect to the terminal (operation 1330).
도 14는 다양한 실시예들에 따른 제어 플로우 갱신을 위한 신호 흐름도를 나타낸다.14 is a flowchart illustrating a signal flow for updating a control flow according to various embodiments of the present disclosure;
노드(201)는 지정된 주기마다 제어 플로우의 만료 시각을 갱신함으로서 컨트롤러(202)로부터 갱신된 제어 플로우를 수신할 수 있다. 또한, 노드(201)는 일정 주기 단위로 데이터 패킷 정보를 컨트롤러(202)로 전송하여, 노드(201)가 정상적으로 동작하고 있음을 확인할 수 있다. 예를 들어, 접속 제어 애플리케이션(211)은 제어 플로우 정보를 유지하고, 현재 단말의 네트워크 접속 상태(연결된 네트워크 정보의 변경, 예를 들어 WIFI에서 모바일 네트워크로 핸드오버되었거나, 무선에서 유선 네트워크로 변경되는 경우 등) 및 환경 정보(단말의 위치 정보 등)를 컨트롤러에 전송하여 컨트롤러로부터 최적화된 터널을 수신하기 위해 주기적으로 부여받은 제어 플로우 ID를 기반으로 제어 플로우를 갱신 요청할 수 있다.The
도 14를 참조하면, 동작 1405에서, 노드(201)의 접속 제어 애플리케이션(211)은 제어 플로우 갱신 이벤트를 감지할 수 있다. 예를 들어, 접속 제어 애플리케이션(211)은 지정된 주기로 제어 플로우 갱신 이벤트를 감지할 수 있다.Referring to FIG. 14 , in
동작 1410에서, 접속 제어 애플리케이션(211)은 컨트롤러(202)에게 제어 플로우 갱신을 요청할 수 있다. 예를 들어, 접속 제어 애플리케이션(211)은 제어 플로우 식별 정보를 컨트롤러(202)에게 전송할 수 있다.In
동작 1415에서, 컨트롤러(202)는 단말이 요청한 제어 플로우 식별 정보를 기반으로 제어 플로우 테이블(315)에서 제어 플로우가 존재하는지 여부를 확인할 수 있다.In
만약 제어 플로우가 존재하지 않는 경우(예컨대, 타 보안 시스템에 의해서 접속 해제, 갱신 시각 초과, 자체적인 위험 탐지 등에 의한 접속 해제 등의 경우), 해당 노드(201)의 접속이 유효하지 않으므로, 접속 불가 정보를 반환할 수 있다.If the control flow does not exist (for example, in the case of disconnection by another security system, over the update time, disconnection due to self-risk detection, etc.), the connection of the
제어 플로우가 존재하는 경우 갱신 시각을 업데이트하고, 과금 및 터널 정책 확인을 요청할 수 있다.If the control flow exists, the update time may be updated, and charging and tunnel policy confirmation may be requested.
동작 1420에서, 컨트롤러(202)는 과금 및 터널 정책 확인 절차를 수행하고 그 결과를 전송할 수 있고, 노드(201)가 전송한 네트워크 접속 상태 및 환경 정보, 갱신시 식별한 단말의 IP 정보 등을 기반으로 대체 터널 생성 여부를 확인할 수 있다.In
대체 터널 생성 여부 확인을 위해 해당 노드(201)가 목적지 네트워크에 접속하기 위해서 제어 플로우에 포함된 단말의 종류, 위치 정보, 환경 및 단말이 포함되어 있는 네트워크 등의 정보와 컨트롤러(202)를 통해서 식별된 단말의 IP 및 단말에서 식별된 단말의 IP 등을 통해서 단말이 연결할 수 있는 터널링 종류와 게이트웨이를 목록화하고, 목록화된 게이트웨이의 상태(처리량, 장애 여부)를 확인하여 목록화된 게이트웨이 중에서 해당 단말에 최적화된 터널 및 게이트웨이 1개를 식별할 수 있다.In order for the
위 과정을 통해 단말에 대체 가능한 터널 및 게이트웨이가 존재하는 경우, 컨트롤러는 게이트웨이에 해당 단말이 터널을 생성할 수 있는 인증 및 일련의 정보를 단말에 전송하고, 해당 터널 생성 정보를 터널 테이블(316)에 등록하며, 해당 터널 생성 정보를 게이트웨이에 전송할 수 있다.If an alternative tunnel and gateway exist in the terminal through the above process, the controller transmits to the gateway authentication and a series of information for the terminal to create a tunnel, and transmits the tunnel creation information to the tunnel table 316 and can transmit the tunnel creation information to the gateway.
만약 해당 터널 생성 정보가 기존에 생성된 터널을 대체하는 경우, 기존 터널에 종속되어 있었던 데이터 플로우 정보를 갱신된 터널로 변경하며, 변경된 데이터 플로우 정보를 게이트웨이로 전송할 수 있다(동작 1430).If the corresponding tunnel creation information replaces the previously created tunnel, the data flow information subordinate to the existing tunnel is changed to the updated tunnel, and the changed data flow information may be transmitted to the gateway (operation 1430).
또한 기존 게이트웨이에는 기존에 생성된 터널 정보를 삭제 요청할 수 있다(동작 1425).Also, the existing gateway may request deletion of previously created tunnel information (operation 1425).
만약 제어 플로우 갱신 결과가 접속 불가인 경우, 애플리케이션을 종료하거나, 애플리케이션의 모든 네트워크 접속을 차단할 수 있다. 제어 플로우 갱신 결과가 정상인 경우, 만약 기존 터널을 제거해야 하는 경우, 터널 해제 절차를 수행할 수 있다(동작 1425). 만약 새로운 터널을 연결해야 하는 경우, 터널 생성 요청 절차를 수행할 수 있다(동작 1430).If the result of the control flow update is that access is not possible, the application may be terminated or all network connections of the application may be blocked. If the control flow update result is normal, if the existing tunnel needs to be removed, a tunnel release procedure may be performed (operation 1425). If a new tunnel needs to be connected, a tunnel creation request procedure may be performed (operation 1430).
도 15는 다양한 실시예들에 따른 컨트롤러 접속 해제를 위한 신호 흐름도를 나타낸다. 도 16은 다양한 실시예들에 따른 네트워크 접속 해제를 위한 사용자 인터페이스 화면을 나타낸다.15 illustrates a signal flow diagram for disconnecting a controller according to various embodiments of the present disclosure; 16 illustrates a user interface screen for releasing a network connection according to various embodiments of the present disclosure.
도 15를 참조하면, 동작 1505에서 노드(201)는 접속 해제를 컨트롤러(202)에게 요청할 수 있다. 예를 들어, 노드(201)는 노드(201)과 컨트롤러(202) 사이의 제어 플로우의 식별 정보를 네트워크 접속 해제를 요청하는 정보와 함께 컨트롤러(202)에게 전송할 수 있다(동작 1510)_.Referring to FIG. 15 , in
일 실시예에 따르면, 노드(201)는 사용자의 요청, 노드(201)의 재시작, 또는 접속 제어 애플리케이션(211)의 요청과 같은 네트워크 접속 해제 이벤트에 응답하여 네트워크 접속 해제를 시도할 수 있다. 예를 들어, 도 16을 참조하면, 노드(201)는 디스플레이를 통해 출력된 사용자 인터페이스 화면(1610)에서 접속 종료 버튼(1615)을 선택하는 사용자 입력을 수신할 수 있다. 노드(201)는 팝업창(1625)을 포함하는 사용자 인터페이스 화면(1620)을 출력함으로써 사용자에게 접속 종료를 재차 확인할 수 있다. 다른 예를 들어, 노드(201)는 사용자 인터페이스 화면(1620)을 출력하지 않고 곧바로 동작 1505를 수행할 수 있다.According to an embodiment, the
동작 1515에서, 컨트롤러(202)는 노드(201)의 요청에 응답하여, 수신된 식별 정보에 대응하는 제어 플로우를 제거(또는 해제)할 수 있다. In
동작 1515에서, 컨트롤러(202)는 제거된 제어 플로우에 종속되는 터널을 제거(또는 해제, 갱신)할 수 있다. 예를 들어, 제거되는 제어 플로우에 종속되는 터널은 다수일 수 있다. 이 경우, 컨트롤러(202)는 제거되는 제어 플로우에 종속되는 모든 터널을 제거(또는 해제)할 수 있다.In
동작 1520에서, 컨트롤러(202)는 게이트웨이(203)에게 제거된 제어 플로우에 종속되는 터널의 제거를 요청할 수 있다. In
동작 1525에서, 게이트웨이(203)는 컨트롤러(202)의 요청에 응답하여 터널을 제거할 수 있다. In
상술한 동작을 통해, 도착지 노드(204)를 포함하는 시스템은, 노드(201)에서 전송되는 데이터 패킷을 더 이상 수신할 수 없는 완전한 차단 및 격리를 제공할 수 있다.Through the above-described operation, the system including the
도 17은 다양한 실시예들에 따른 과금 및 터널 정책 확인을 위한 신호 흐름도를 나타낸다.17 illustrates a signal flow diagram for charging and tunnel policy confirmation according to various embodiments of the present disclosure.
동작 1705에서, 해당 노드(201)가 목적지 네트워크에 접속하기 위해서 제어 플로우에 포함된 노드(201)의 종류, 위치 정보, 환경 및 노드(201)가 포함되어 있는 네트워크 등의 정보와 컨트롤러(202)를 통해서 식별된 노드(201)의 IP 및 노드(201)에서 식별된 노드(201)의 IP 등을 통해서 노드(201)가 연결할 수 있는 터널링 종류와 게이트웨이를 목록화하여 접속 가능한 터널이 존재하는지 여부를 확인할 수 있다.In
만약 접속 가능한 터널이 존재하지 않는 경우, 터널 생성 불가 처리를 할 수 있다(동작 1760).If there is no connectable tunnel, a tunnel creation impossible process may be performed (operation 1760).
동작 1710에서, 터널이 존재한다면, 터널이 해당 노드(201)가 접속 가능한 경로 중에서 클라우드 네트워크 접속이 가능한 경로가 존재하는지 여부를 확인할 수 있다.In
동작 1715에서, 만약 클라우드 네트워크로 접속이 가능한 경로가 존재하는 경우, 과금 정책을 기반으로 클라우드 네트워크 사용 계약이 존재하는지 여부를 확인할 수 있다..In
동작 1720에서, 만약 클라우드 네트워크 사용 계약이 존재하는 경우, 과금 정책 및 과금 테이블을 기반으로 사용 가능한 트래픽이 존재하는지 여부를 확인할 수 있다. 사용 가능한 트래픽이란, 해당 지역에 연결된 노드(201)가 사용할 수 있는 트래픽으로써 사용한도가 정해져 있지 않은 무제한 트래픽 요금 사용 또는 사용한도가 정해져 있어서 과금 테이블(219)에 의해 한도 이상을 초과할 수 없는 경우, 해당 지역에서 사용할 수 있는 트래픽 한도를 초과하였지만 다른 지역의 트래픽을 쉐어하는 형태로 추가 사용한도를 사용할 수 있는 경우 등을 의미한다.In operation 1720, if there is a cloud network use contract, it may be checked whether available traffic exists based on a charging policy and a charging table. Usable traffic refers to traffic that can be used by the
동작 1740에서, 클라우드 네트워크를 사용할 수 있는 경우, 클라우드 네트워크 기준 터널 경로(노드(201)가 클라우드 네트워크 상에 존재하는 노드(201)과 가장 인근에 위치한 엣지 게이트웨이(203-1)와 연결)를 설정하고 터널 생성을 위한 일련의 정보를 노드(201) 및 게이트웨이(203)에 전송할 수 있다.In
만약 동작 1710, 1715, 및 1720의 절차에 따라 클라우드 네트워크를 사용할 수 없는 경우, 일반 네트워크 기준 터널 설정 절차를 수행할 수 있다.If the cloud network cannot be used according to the procedures of
동작 1725에서, 해당 노드(201)가 접속 가능한 경로 중에서 클라우드 네트워크 접속이 불가능한 경우, 기존에 해당 노드(201)가 클라우드 네트워크로 접속한 터널 정보가 존재하는지 여부를 확인할 수 있다.In
동작 1730에서, 클라우드 네트워크로 접속한 터널 정보가 존재하는 경우, 기존 터널 및 데이터 플로우 정보를 삭제할 수 있다.In
동작 1750에서, 만약 클라우드 네트워크로 접속한 터널 정보가 존재하지 않는 경우, 일반 네트워크 기준 터널 경로(노드(201)가 목적지 네트워크에 존재하는 코어 및 엣지 역할을 수행하는 게이트웨이와 직접 연결)를 설정하고 터널 생성을 위한 일련의 정보를 노드(201) 및 게이트웨이에 전송할 수 있다.In
도 18은 다양한 실시예들에 따른 요금 정보 동기화하기 위한 신호 흐름도를 나타낸다.18 is a signal flow diagram for rate information synchronization according to various embodiments of the present disclosure.
컨트롤러(202)는 주기적으로 클라우드 서비스(206)에 접속하여 클라우드 네트워크에 배치된 게이트웨이 및 게이트웨이가 중계하는 구간별 데이터 패킷 포워딩 단가를 클라우드 서비스로부터 수신 및 갱신하여, 실시간으로 과금 테이블(319)을 계산하고 계약 데이터 패킷 이외에 계약 금액으로 환산하여 요금을 산정할 수 있는 방법을 제공할 수 있다(동작 1805, 1810, 1815).The
이상의 설명은 본 문서에 개시된 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 문서에 개시된 실시예들이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 문서에 개시된 실시예들의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. The above description is merely illustrative of the technical idea disclosed in this document, and those of ordinary skill in the art to which the embodiments disclosed in this document belong are not departing from the essential characteristics of the embodiments disclosed in this document. Various modifications and variations will be possible.
따라서, 본 문서에 개시된 실시예들은 본 문서에 개시된 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 문서에 개시된 기술 사상의 범위가 한정되는 것은 아니다. 본 문서에 개시된 기술 사상의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 문서의 권리범위에 포함되는 것으로 해석되어야 할 것이다.Therefore, the embodiments disclosed in this document are for explanation rather than limiting the technical ideas disclosed in this document, and the scope of the technical ideas disclosed in this document is not limited by these embodiments. The protection scope of the technical idea disclosed in this document should be interpreted by the following claims, and all technical ideas within the equivalent range should be interpreted as being included in the scope of the present document.
Claims (8)
통신 회로;
상기 통신 회로와 작동적으로 연결되는 프로세서; 및
상기 프로세서와 작동적으로 연결되고, 접속 제어 애플리케이션을 저장하는 메모리;를 포함하고, 상기 메모리는, 상기 프로세서에 의해서 실행될 때 상기 노드가,
상기 접속 제어 애플리케이션을 통해, 목적지 네트워크에 대한 네트워크 접속 이벤트를 감지하고,
상기 접속 제어 애플리케이션을 통해, 상기 목적지 네트워크에 대응하고 외부 서버로부터 인가된 데이터 플로우 및 터널이 존재하는지 확인하며,
상기 데이터 플로우 및 터널이 존재하면, 데이터 패킷을 상기 터널을 통해 전송하며,
상기 터널은, 상기 외부 서버로부터 수신된 정보에 기초하여 상기 노드와 게이트웨이 사이에 생성되고,
상기 외부 서버로부터 수신된 정보는, 상기 외부 서버에 의하여 목록화된 하나 이상의 터널 및 게이트웨이 중에서, 클라우드 네트워크에 접속되고 데이터 패킷 처리 총량 관리를 통해서 전송 가능한 데이터 용량이 있는 경우 해당 터널 및 게이트웨이 정보를 포함하거나, 또는 전송 가능한 데이터 용량이 없는 경우 상기 노드가 클라우드 네트워크가 아닌 네트워크로 터널링을 수행할 수 있는 터널 및 게이트웨이 정보를 포함하는, 노드. In the node,
communication circuit;
a processor operatively coupled to the communication circuitry; and
a memory operatively coupled to the processor and configured to store a connection control application, wherein the memory, when executed by the processor, causes the node to:
Through the access control application, to detect a network access event to the destination network,
Through the access control application, it is confirmed that there is a data flow and a tunnel corresponding to the destination network and authorized from an external server,
If the data flow and tunnel exist, transmit a data packet through the tunnel;
The tunnel is created between the node and the gateway based on information received from the external server,
The information received from the external server includes, among one or more tunnels and gateways listed by the external server, if there is a data capacity that can be transmitted through the data packet processing amount management while connected to the cloud network, the corresponding tunnel and gateway information or, when there is no transmittable data capacity, the node includes tunnel and gateway information through which the node can perform tunneling to a network other than the cloud network.
상기 노드가 상기 클라우드 네트워크를 통해 연결 중에 상기 게이트웨이의 데이터 용량이 상기 데이터 패킷 처리 총량 관리를 통해서 전송 가능한 데이터 용량 총량을 초과하는 경우, 상기 외부 서버는 상기 게이트웨이와의 터널을 제거하되 상기 노드와 상기 목적지 네트워크 사이에 접속을 유지하기 위해서 상기 클라우드 네트워크가 아닌 네트워크로 전환하기 위해 상기 노드와 상기 클라우드 네트워크가 아닌 네트워크 사이의 새로운 터널을 생성하도록 구성되는, 노드.The method of claim 1,
When the data capacity of the gateway exceeds the total data capacity transmittable through the data packet processing total amount management while the node is connected through the cloud network, the external server removes the tunnel with the gateway, but and create a new tunnel between the node and the non-cloud network to switch to the non-cloud network to maintain a connection between the destination networks.
상기 노드를 상기 클라우드 네트워크로 연결하는 것은,
상기 노드가 접속 가능한 경로 중에서 상기 클라우드 네트워크로 접속이 가능한 경로가 존재하는지 여부를 확인하고,
상기 클라우드 네트워크로 접속이 가능한 경로가 존재하는 경우, 과금 정책에 기초하여 클라우드 네트워크 사용 계약이 존재하는지 여부를 확인하며,
상기 클라우드 네트워크의 사용 계약이 존재하는 경우, 상기 과금 정책 및 과금 테이블에 기초하여 사용 가능한 트래픽이 존재하는지 여부를 확인하고,
사용 가능한 트래픽이 존재하는 경우, 클라우드 네트워크 기준 터널 경로를 설정하며,
상기 터널의 생성을 위한 일련의 정보를 상기 노드 및 및 상기 게이트웨이에 전송하는 것을 포함하고,
상기 일련의 정보는 터널 식별 정보, 게이트웨이 식별 정보, 상기 외부 서버가 상기 노드와 게이트웨이 사이에서 생성하려고 하였던 터널을 식별하기 위한 일련의 정보를 포함하는, 노드.3. The method of claim 2,
Connecting the node to the cloud network comprises:
Checking whether a path accessible to the cloud network exists among the paths accessible to the node,
If there is a path accessible to the cloud network, it is checked whether a cloud network use contract exists based on the billing policy,
If there is a use contract of the cloud network, check whether there is available traffic based on the charging policy and the charging table;
If available traffic exists, establish a tunnel route based on the cloud network,
Transmitting a series of information for creation of the tunnel to the node and the gateway,
The set of information includes tunnel identification information, gateway identification information, and a series of information for identifying a tunnel that the external server is trying to create between the node and the gateway.
상기 클라우드 네트워크 기준 터널 경로는, 상기 노드가 상기 클라우드 네트워크 상에 존재하는 게이트웨이들 중 상기 노드와 거리가 가장 가까운 게이트웨이와 연결하는 경로를 포함하는, 노드.4. The method of claim 3,
The cloud network reference tunnel path includes a path through which the node connects to a gateway having the closest distance to the node among gateways existing on the cloud network.
상기 게이트웨이는, 상기 게이트웨이에서 상기 터널을 통해 데이터 패킷을 목적지 네트워크로 포워딩하는 경우, 과금 테이블 갱신 및 상기 노드의 상기 클라우드 네트워크의 사용량 측정을 위해 전송한 데이터 패킷 사이즈를 데이터 플로우 테이블에 갱신하도록 구성되는, 노드.5. The method of claim 4,
The gateway is configured to update, in a data flow table, a data packet size transmitted for updating a charging table and measuring usage of the cloud network of the node when the gateway forwards a data packet to a destination network through the tunnel , node.
통신 회로;
데이터 베이스를 저장하는 메모리;
상기 통신 회로와 작동적으로 연결되는 프로세서; 및
상기 통신 회로 및 상기 메모리와 작동적으로 연결되는 프로세서를 포함하고, 상기 프로세서는,
노드의 접속 제어 애플리케이션으로부터, 상기 노드에 저장된 타겟 애플리케이션의 목적지 네트워크에 대한 네트워크 접속을 요청하는 제1 요청을 수신하고 - 상기 제1 요청은 제어 플로우의 식별 정보 및 상기 목적지 네트워크의 식별 정보를 포함함 -,
상기 제어 플로우의 식별 정보 및 상기 데이터 베이스에 기반하여 상기 목적지 네트워크가 접속 가능한지 여부를 확인하며,
상기 목적지 네트워크가 접속 가능한 경우, 데이터 패킷 검사 정보를 포함한 데이터 플로우를 생성하고,
상기 데이터 플로우를 생성할 수 없거나 및 생성된 데이터 플로우의 인증 시각이 만료되어 갱신이 필요한 경우, 상기 접속 제어 애플리케이션으로부터 네트워크 접속을 요청하는 제2 요청을 수신하며,
상기 접속 제어 애플리케이션으로부터, 상기 목적지 네트워크에 접속하기 위해서 제어 플로우에 포함된 상기 노드의 종류, 상기 노드의 위치 정보 및 노드가 포함되어 있는 네트워크에 관한 정보를 수신하고,
상기 정보에 기초하여 목록화되는 터널 및 게이트웨이 중에서 게이트웨이의 데이터 용량에 따라 상기 노드가 터널링을 수행할 수 있는 터널링 및 게이트웨이 정보를 상기 노드에 송신하도록 하는 명령어들을 저장하고,
상기 서버는,
상기 게이트웨이의 클라우드 네트워크에 관하여 데이터 패킷 처리 총량 관리를 통해서 전송 가능한 데이터 용량 미만 데이터 용량이 있는 경우, 상기 노드를 상기 클라우드 네트워크로 연결시키고,
상기 게이트웨이의 데이터 용량이 없는 경우, 상기 노드를 클라우드 네트워크가 아닌 네트워크로 연결시키도록 구성되는, 서버.in the server,
communication circuit;
a memory for storing the database;
a processor operatively coupled to the communication circuitry; and
a processor operatively coupled with the communication circuitry and the memory, the processor comprising:
Receive, from a connection control application of a node, a first request requesting a network connection to a destination network of a target application stored in the node, wherein the first request includes identification information of a control flow and identification information of the destination network -,
Checking whether the destination network is accessible based on the identification information of the control flow and the database,
When the destination network is reachable, generating a data flow including data packet inspection information;
When the data flow cannot be created or the authentication time of the created data flow expires and needs to be updated, receiving a second request for network access from the access control application;
Receive, from the access control application, the type of the node included in the control flow to access the destination network, the location information of the node, and information about the network in which the node is included,
Stores instructions for sending tunneling and gateway information that the node can perform tunneling to the node according to the data capacity of the gateway among the tunnels and gateways listed based on the information;
The server is
If there is a data capacity less than the data capacity that can be transmitted through data packet processing total amount management with respect to the cloud network of the gateway, connecting the node to the cloud network,
and connect the node to a network other than the cloud network when the data capacity of the gateway is not present.
노드의 접속 제어 애플리케이션에서, 목적지 네트워크에 대한 네트워크 접속 이벤트를 감지하는 단계;
상기 접속 제어 애플리케이션을 통해, 상기 목적지 네트워크에 대응하고 외부 서버로부터 인가된 데이터 플로우 및 터널이 존재하는지 확인하는 단계; 및
상기 데이터 플로우 및 터널이 존재하면, 데이터 패킷을 상기 터널을 통해 전송하는 단계;를 포함하고,
상기 터널은, 상기 외부 서버로부터 수신된 정보에 기초하여 상기 노드와 게이트웨이 사이에 생성되고,
상기 외부 서버로부터 수신된 정보는, 상기 외부 서버에 의하여 목록화된 하나 이상의 터널 및 게이트웨이 중에서, 클라우드 네트워크에 접속되고 데이터 패킷 처리 총량 관리를 통해서 전송 가능한 데이터 용량이 있는 경우 해당 터널 및 게이트웨이 정보를 포함하거나, 또는 전송 가능한 데이터 용량이 없는 경우 상기 노드가 클라우드 네트워크가 아닌 네트워크로 터널링을 수행할 수 있는 터널 및 게이트웨이 정보를 포함하는, 네트워크 접속 제어 시스템의 동작 방법.A method of operating a network access control system, comprising:
detecting, in a connection control application of a node, a network connection event to a destination network;
checking, through the access control application, whether a data flow and a tunnel corresponding to the destination network and authorized from an external server exist; and
If the data flow and the tunnel exist, transmitting a data packet through the tunnel;
The tunnel is created between the node and the gateway based on information received from the external server,
The information received from the external server includes, among one or more tunnels and gateways listed by the external server, if there is a data capacity that can be transmitted through the data packet processing amount management while connected to the cloud network, the corresponding tunnel and gateway information or, when there is no transmittable data capacity, the node includes tunnel and gateway information for performing tunneling to a network other than the cloud network.
상기 노드에서, 상기 데이터 플로우가 존재하지 않는 경우 상기 외부 서버에게 네트워크 접속 요청을 수행하는 단계; 및
상기 외부 서버에서, 상기 네트워크 접속 요청에 대응하여 할당된 IP 기반으로 네트워크 트래픽 용량 및 잔여량 측정하는 단계
를 더 포함하고,
상기 외부 서버에서, 상기 네트워크 접속 요청에 대응하여 할당된 IP 주소 기반으로 네트워크 트래픽 용량 및 잔여량 측정하는 단계는,
IP 주소가 부여된 게이트웨이를 확인하는 단계;
상기 클라우드 네트워크를 통해서 처리되는 용량을 수집하는 단계;
상기 클라우드 네트워크가 아닌 네트워크를 통해서 처리되는 용량을 수집하는 단계;
상기 노드와 상기 게이트웨이 사이의 구간에서 처리되는 트래픽 용량을 측정하는 단계;
출발지 IP 주소와 도착지 IP 주소를 기준으로 상기 구간에서 트래픽 및 비용을 계산하여 갱신하는 단계;
상기 클라우드 네트워크에서 원가를 조회하는 단계; 및
상기 측정된 용량들에 기초하여 전체 트래픽 및 잔여량을 계산하는 단계
를 포함하는, 네트워크 접속 제어 시스템의 동작 방법.8. The method of claim 7,
performing, at the node, a network connection request to the external server when the data flow does not exist; and
Measuring, in the external server, the network traffic capacity and the remaining amount based on the IP allocated in response to the network access request
further comprising,
Measuring, in the external server, the network traffic capacity and the remaining amount based on the IP address allocated in response to the network access request,
checking the gateway to which the IP address is assigned;
collecting capacity processed through the cloud network;
collecting capacity processed through a network other than the cloud network;
measuring a traffic capacity processed in a section between the node and the gateway;
calculating and updating the traffic and cost in the section based on the source IP address and the destination IP address;
inquiring a cost in the cloud network; and
Calculating total traffic and remaining amount based on the measured capacities
A method of operation of a network access control system comprising a.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020210116649A KR102365775B1 (en) | 2021-09-02 | 2021-09-02 | Billing-based routing processing system in distributed gateway environment and method therefor |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020210116649A KR102365775B1 (en) | 2021-09-02 | 2021-09-02 | Billing-based routing processing system in distributed gateway environment and method therefor |
Publications (1)
Publication Number | Publication Date |
---|---|
KR102365775B1 true KR102365775B1 (en) | 2022-02-23 |
Family
ID=80495600
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020210116649A KR102365775B1 (en) | 2021-09-02 | 2021-09-02 | Billing-based routing processing system in distributed gateway environment and method therefor |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR102365775B1 (en) |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102119257B1 (en) * | 2019-09-24 | 2020-06-26 | 프라이빗테크놀로지 주식회사 | System for controlling network access of terminal based on tunnel and method thereof |
-
2021
- 2021-09-02 KR KR1020210116649A patent/KR102365775B1/en active IP Right Grant
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102119257B1 (en) * | 2019-09-24 | 2020-06-26 | 프라이빗테크놀로지 주식회사 | System for controlling network access of terminal based on tunnel and method thereof |
KR102223827B1 (en) * | 2019-09-24 | 2021-03-08 | 프라이빗테크놀로지 주식회사 | System for authenticating and controlling network access of terminal and method thereof |
KR20210045917A (en) * | 2019-09-24 | 2021-04-27 | 프라이빗테크놀로지 주식회사 | System for controlling network access of node based on tunnel and data flow and method thereof |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7148187B2 (en) | System and method for controlling network connection of terminal based on tunnel | |
KR102349038B1 (en) | Tunneling and gateway access system optimized for distributed gateway environment and method therefor | |
KR102379721B1 (en) | System for controlling network access of application based on tcp session control and method therefor | |
KR102364445B1 (en) | System for controlling network access based on controller and method of the same | |
KR102309115B1 (en) | System and method for controlling network access of data flow based application | |
KR102349039B1 (en) | Control data packet processing system optimized for distributed gateway environment and method therefor | |
KR102407136B1 (en) | System for controlling network access based on controller and method of the same | |
US20210091976A1 (en) | System For Controlling Network Access Of Terminal Based On Tunnel And Method Thereof | |
KR102460696B1 (en) | System for controlling network access based on controller and method of the same | |
KR102460691B1 (en) | System for controlling network access based on controller and method of the same | |
KR102333555B1 (en) | System for controlling network access based on controller and method of the same | |
KR102415567B1 (en) | System for controlling network access of virtualization terminal and method of the same | |
US20210328830A1 (en) | System For Controlling Network Access Of Terminal Based On Tunnel And Method Thereof | |
JP7489147B2 (en) | System and method for authenticating and controlling network connections of terminals - Patents.com | |
KR102449139B1 (en) | System for controlling network access based on controller and method of the same | |
KR102495369B1 (en) | System for controlling network access based on controller and method of the same | |
KR102333554B1 (en) | System for controlling network access based on controller and method of the same | |
KR102502367B1 (en) | System for controlling network access based on controller and method of the same | |
KR102410552B1 (en) | System for controlling transmission and reception of file of application and method thereof | |
KR102427663B1 (en) | System for controlling network access based on controller and method of the same | |
KR102333553B1 (en) | System for controlling network access based on controller and method of the same | |
US20220247720A1 (en) | System for Controlling Network Access of Node on Basis of Tunnel and Data Flow, and Method Therefor | |
KR102365775B1 (en) | Billing-based routing processing system in distributed gateway environment and method therefor | |
KR102407135B1 (en) | System for controlling network access based on controller and method of the same | |
KR102439880B1 (en) | System for controlling transmission and reception of file of application and method thereof |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |