KR20220121045A - Edge computing system and method for controlling network access thereof - Google Patents
Edge computing system and method for controlling network access thereof Download PDFInfo
- Publication number
- KR20220121045A KR20220121045A KR1020210024956A KR20210024956A KR20220121045A KR 20220121045 A KR20220121045 A KR 20220121045A KR 1020210024956 A KR1020210024956 A KR 1020210024956A KR 20210024956 A KR20210024956 A KR 20210024956A KR 20220121045 A KR20220121045 A KR 20220121045A
- Authority
- KR
- South Korea
- Prior art keywords
- user terminal
- access
- module
- information
- nef
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 30
- 230000000903 blocking effect Effects 0.000 claims description 43
- 238000013475 authorization Methods 0.000 claims description 23
- 230000004044 response Effects 0.000 claims description 16
- 238000007689 inspection Methods 0.000 claims description 8
- 230000008569 process Effects 0.000 claims description 6
- 238000011017 operating method Methods 0.000 claims description 3
- 230000006870 function Effects 0.000 description 36
- 238000004590 computer program Methods 0.000 description 11
- 238000010586 diagram Methods 0.000 description 10
- 238000004891 communication Methods 0.000 description 8
- 238000007726 management method Methods 0.000 description 8
- 238000001914 filtration Methods 0.000 description 5
- 238000012546 transfer Methods 0.000 description 5
- 238000010295 mobile communication Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000007480 spreading Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/108—Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/082—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- General Health & Medical Sciences (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Ultra Sonic Daignosis Equipment (AREA)
- Paper (AREA)
Abstract
Description
본 개시는 에지 컴퓨팅(Edge Computing)에 관한 것이다.This disclosure relates to edge computing.
일반적으로 기업은 인터넷을 통해 접근할 수 있는 데이터의 보안을 위해, 접근 가능한 사용자에게 아이디와 패스워드를 발급한 후, 입력된 아이디 및 패스워드로 인증한 사용자에게 데이터 접근을 허가하고 있다. 하지만 사이버 공격이 계속 늘어나면서, 온라인 서비스 보안 운영자는 다양한 보안 기능이 추가된 고가의 하드웨어 장치를 구축하거나, 사용자 불편을 감수 하더라도 추가 인증을 요청하고 있다. 그럼에도 불구하고, 점차 모든 데이터와 모든 사용자 접근을 신뢰할 수 없다는 보안 모델(제로 트러스트)이 확산되고 있어서, 더욱 강화된 인증 절차와 사용자 컨텍스트 확인 절차가 보안 데이터 접근을 위해 요구되고 있다.In general, for the security of data that can be accessed through the Internet, a company issues an ID and password to an accessible user, and then permits data access to a user authenticated with the entered ID and password. However, as cyberattacks continue to increase, online service security operators are either building expensive hardware devices with various security functions added, or requesting additional authentication despite user inconvenience. Nevertheless, as the security model (zero trust) that all data and all user access cannot be trusted is gradually spreading, stronger authentication procedures and user context verification procedures are required for secure data access.
한편, 인터넷을 사용하는 개인 또는 기업은 데이터 보호를 위한 보안 강화뿐만 아니라, 악성 코드, 해킹 프로그램, 유해 사이트, 유해 컨텐츠로의 접근이 원천적으로 차단되는 인터넷 환경을 요구하고 있다. 그러나, 관리자가 접근 차단 도메인을 등록하고 관리하는 것이 쉽지 않다.On the other hand, individuals or companies using the Internet are demanding an Internet environment in which access to malicious codes, hacking programs, harmful sites, and harmful contents is fundamentally blocked as well as to strengthen security for data protection. However, it is not easy for an administrator to register and manage an access blocking domain.
본 개시는 네트워크 노출 기능(Network Exposure Function, NEF) 장치로부터 제공되는 사용자 단말의 위치 컨텍스트를 이용하여 사용자 단말의 네트워크 접근을 제어하는 에지 컴퓨팅 시스템을 제공하는 것이다.The present disclosure provides an edge computing system for controlling network access of a user terminal by using a location context of the user terminal provided from a Network Exposure Function (NEF) device.
본 개시는 사용자 단말의 위치 컨텍스트를 비롯하여, 다양한 종류의 사용자 출입 통제 정보(예를 들면, 신분증, 얼굴 등)를 통합하여 네트워크 접근 가능한 사용자 단말인지 인증하는 에지 컴퓨팅 시스템을 제공하는 것이다.An object of the present disclosure is to provide an edge computing system that integrates various types of user access control information (eg, ID, face, etc.), including the location context of the user terminal, to authenticate whether the user terminal is a network-accessible user terminal.
본 개시는 도메인 이름 기반 또는 패킷 검사 기반으로 사용자 단말의 컨텐츠 접근을 제어하는 에지 컴퓨팅 시스템을 제공하는 것이다.An object of the present disclosure is to provide an edge computing system for controlling content access of a user terminal based on a domain name or packet inspection.
한 실시예에 따라 적어도 하나의 프로세서에 의해 동작하는 에지 컴퓨팅 시스템의 동작 방법으로서, 에지 컴퓨팅 서비스를 이용하는 사용자 목록 그리고 상기 사용자 목록에 포함된 사용자별 네트워크 접근 허용 위치 범위를 포함하는 사용자 권한 정보를 입력받는 단계, 코어망의 네트워크 노출 기능(Network Exposure Function, NEF) 장치로, 상기 사용자 목록에 포함된 사용자 단말들의 위치 컨텍스트를 요청하는 단계, 상기 NEF 장치로부터 수신한 특정 사용자 단말의 위치 컨텍스트가 상기 사용자 권한 정보에 해당하는 경우, 상기 특정 사용자 단말을 상기 에지 컴퓨팅 서비스를 이용할 수 있는 단말로 인증하는 단계를 포함한다. 상기 특정 사용자 단말의 위치 텍스트는 상기 특정 사용자 단말이 접속한 무선망에서 상기 NEF 장치로 전송되는 위치 데이터를 기초로 생성된다.As an operating method of an edge computing system operated by at least one processor according to an embodiment, inputting user authorization information including a list of users using an edge computing service and a network access allowed location range for each user included in the user list Receiving step, a network exposure function (NEF) device of the core network, requesting the location context of the user terminals included in the user list, the location context of the specific user terminal received from the NEF device is the user and authenticating the specific user terminal as a terminal capable of using the edge computing service when it corresponds to the authorization information. The location text of the specific user terminal is generated based on the location data transmitted to the NEF device in the wireless network to which the specific user terminal is connected.
상기 인증하는 단계는 출입 통제 장치에서 입력된 정보를 기초로 상기 특정 사용자 단말에 관계된 사용자의 출입이 허가되고, 상기 특정 사용자 단말의 위치 컨텍스트가 상기 사용자 권한 정보에 해당하는 경우, 상기 특정 사용자 단말을 인증할 수 있다.In the authenticating step, when access of a user related to the specific user terminal is permitted based on the information input from the access control device, and the location context of the specific user terminal corresponds to the user authorization information, the specific user terminal can be authenticated.
상기 출입 통제 장치에서 입력된 정보는 신분증 정보, 얼굴 인식 정보, 그리고 지문 인식 정보 중 적어도 하나를 포함할 수 있다.The information input from the access control device may include at least one of identification information, face recognition information, and fingerprint recognition information.
상기 사용자 권한 정보는 상기 사용자 목록에 포함된 사용자별 네트워크 접근 허용 시간 범위를 더 포함할 수 있다.The user authority information may further include a network access allowed time range for each user included in the user list.
상기 동작 방법은 상기 에지 컴퓨팅 시스템에 의해 의해 제공되는 컨텐츠 서버의 IP 주소를 저장하는 단계, 그리고 인증된 상기 특정 사용자 단말로부터 상기 컨텐츠 서버에 대한 DNS 쿼리를 수신하면, 상기 eDNS 레코드에 저장된 상기 컨텐츠 서버의 IP 주소를 상기 특정 사용자 단말에게 전달하는 단계를 더 포함할 수 있다. The method of operation includes storing an IP address of a content server provided by the edge computing system, and when receiving a DNS query for the content server from the authenticated specific user terminal, the content server stored in the eDNS record It may further include the step of delivering the IP address of the specific user terminal.
상기 동작 방법은 상기 에지 컴퓨팅 시스템에 의해 의해 차단되는 컨텐츠 서버의 도메인 네임을 저장하는 단계, 그리고 인증된 상기 특정 사용자 단말로부터 상기 컨텐츠 서버에 대한 DNS 쿼리를 수신하면, 상기 특정 사용자 단말에게 룩업 실패 응답을 전달하는 단계를 더 포함할 수 있다.The operation method includes storing a domain name of a content server blocked by the edge computing system, and when receiving a DNS query for the content server from the authenticated specific user terminal, a lookup failure response to the specific user terminal It may further include the step of delivering.
상기 동작 방법은 인증된 상기 특정 사용자 단말의 식별 정보, 그리고 접근 차단 및/또는 접근 승인 도메인 정보를 패킷 필터 규칙으로 등록하는 단계, 그리고 상기 패킷 필터 규칙을 기초로 상기 특정 사용자 단말의 트래픽을 통과시키거나 차단하는 단계를 더 포함할 수 있다.The operation method includes registering the authenticated identification information of the specific user terminal and the access blocking and/or access approval domain information as a packet filter rule, and passing the traffic of the specific user terminal based on the packet filter rule Or it may further include a step of blocking.
다른 실시예에 따른 에지 컴퓨팅 시스템으로서, 적어도 하나의 프로세서에 의해 실행되는 복수의 모듈들을 포함한다. 상기 복수의 모듈들은 코어망의 네트워크 노출 기능(Network Exposure Function, NEF) 장치와 연동하여 사용자 단말들의 위치 컨텍스트를 획득하는 NEF-GW(Gateway) 모듈, 에지 컴퓨팅 서비스를 이용하는 사용자 목록 그리고 상기 사용자 목록에 포함된 사용자별 네트워크 접근 허용 위치 범위를 포함하는 사용자 권한 정보를 저장하고, 상기 NEF-GW 모듈로부터 특정 사용자 단말의 위치 컨텍스트를 획득하며, 상기 특정 사용자 단말의 위치 컨텍스트가 상기 사용자 권한 정보에 해당하는 경우, 상기 특정 사용자 단말을 상기 에지 컴퓨팅 서비스를 이용할 수 있는 단말로 인증하는 에지 네트워크 접근 제어(Edge Network Access Control, eNAC) 모듈, 그리고 인증된 상기 특정 사용자 단말의 트래픽을 상기 코어망의 에지에서 처리하는 에지 사용자 플레인 기능(Edge User plan function, eUPF) 모듈을 포함한다.An edge computing system according to another embodiment includes a plurality of modules executed by at least one processor. The plurality of modules is a NEF-GW (Gateway) module that obtains the location context of user terminals in conjunction with a network exposure function (NEF) device of the core network, a user list using an edge computing service, and the user list. Stores user rights information including the included network access permitted location range for each user, obtains the location context of a specific user terminal from the NEF-GW module, and the location context of the specific user terminal corresponds to the user authority information In this case, an edge network access control (eNAC) module that authenticates the specific user terminal as a terminal capable of using the edge computing service, and processes the authenticated traffic of the specific user terminal at the edge of the core network and an edge user plan function (eUPF) module.
상기 에지 컴퓨팅 시스템은 출입 통제 장치에서 입력된 정보를 기초로 사용자의 출입을 허가하는 출입 통제 솔루션 모듈을 더 포함할 수 있다. 상기 eNAC 모듈은 상기 출입 통제 솔루션 모듈로부터 출입 허가된 사용자 정보를 수신하면, 상기 출입 허가된 사용자 정보에 해당하는 위치 컨텍스트를 상기 NEF-GW 모듈로 질의하여, 상기 특정 사용자 단말의 위치 컨텍스트를 획득할 수 있다.The edge computing system may further include an access control solution module that permits access of a user based on information input from the access control device. When the eNAC module receives the access-permitted user information from the access control solution module, it queries the NEF-GW module for the location context corresponding to the access-permitted user information to obtain the location context of the specific user terminal. can
상기 출입 통제 장치에서 입력된 정보는 신분증 정보, 얼굴 인식 정보, 그리고 지문 인식 정보 중 적어도 하나를 포함할 수 있다.The information input from the access control device may include at least one of identification information, face recognition information, and fingerprint recognition information.
상기 에지 컴퓨팅 시스템은 접근 차단 및/또는 접근 승인 도메인 정보, 그리고 접근 승인 도메인들의 IP 주소를 eDNS 레코드에 저장하고, 상기 eUPF 모듈로부터 요청된 DNS 쿼리에 응답하는 eDNS(edge Domain Name Server) 모듈을 더 포함할 수 있다.The edge computing system stores access blocking and/or access authorization domain information, and IP addresses of access authorization domains in an eDNS record, and an edge Domain Name Server (eDNS) module that responds to a DNS query requested from the eUPF module. may include
상기 eDNS 모듈은 상기 NEF-GW 모듈을 통해, 상기 eNAC 모듈에 등록된 접근 차단 및/또는 접근 승인 도메인 정보, 그리고 코어망에서 관리하는 유해 사이트 데이터베이스로부터 전달된 접근 차단 및/또는 접근 승인 도메인 정보를 입력받을 수 있다.The eDNS module, through the NEF-GW module, the access blocking and / or access authorization domain information registered in the eNAC module, and the access blocking and / or access authorization domain information transmitted from the harmful site database managed by the core network. can be input.
상기 eDNS 모듈은 상기 eUPF 모듈로부터, 접근 승인 도메인에 대한 DNS 쿼리를 수신하면, 상기 eDNS 레코드에 저장된 해당 접근 승인 도메인의 IP 주소를 포함하는 룩업 결과를 응답할 수 있다.When receiving a DNS query for the access approval domain from the eUPF module, the eDNS module may respond to a lookup result including the IP address of the corresponding access approval domain stored in the eDNS record.
상기 eDNS 모듈은 상기 eUPF 모듈로부터, 접근 차단 도메인에 대한 DNS 쿼리를 수신하면, 룩업 실패를 응답할 수 있다.When receiving a DNS query for an access blocking domain from the eUPF module, the eDNS module may respond to a lookup failure.
상기 eNAC 모듈은 인증된 상기 특정 사용자 단말의 IP 정보를 상기 NEF-GW 모듈로 전달할 수 있다. 상기 NEF-GW 모듈은 상기 특정 사용자 단말의 IP 정보를 기초로, 상기 특정 사용자 단말의 DNS 쿼리를 상기 eDNS 모듈로 전달하는 라우팅 정책을 생성하고, 상기 라우팅 정책을 상기 eUPF 모듈로 전송할 수 있다. 상기 eUPF 모듈은 상기 라우팅 정책을 라우팅 테이블에 등록할 수 있다.The eNAC module may transmit the authenticated IP information of the specific user terminal to the NEF-GW module. The NEF-GW module may generate a routing policy for forwarding the DNS query of the specific user terminal to the eDNS module based on the IP information of the specific user terminal, and transmit the routing policy to the eUPF module. The eUPF module may register the routing policy in a routing table.
상기 eUPF 모듈은 상기 라우팅 테이블에 등록된 사용자 단말의 제1 DNS 쿼리를 수신하면, 상기 eDNS 모듈로 상기 제1 DNS 쿼리를 전달하고, 상기 라우팅 테이블에 미등록된 사용자 단말의 제2 DNS 쿼리를 수신하면, 중앙의 DNS로 상기 제2 DNS 쿼리를 전달할 수 있다.When the eUPF module receives the first DNS query of the user terminal registered in the routing table, transmits the first DNS query to the eDNS module, and receives the second DNS query of the user terminal not registered in the routing table , the second DNS query may be forwarded to the central DNS.
상기 에지 컴퓨팅 시스템은 인증된 상기 특정 사용자 단말의 식별 정보, 그리고 접근 차단 및/또는 접근 승인 도메인 정보를 패킷 필터 규칙으로 등록하고, 상기 eUPF 모듈로부터 전달된 트래픽을 상기 패킷 필터 규칙에 따라 차단 또는 통과시키는 eDPI(edge Deep Packet Inspection) 모듈을 더 포함할 수 있다.The edge computing system registers the authenticated identification information of the specific user terminal and the access blocking and/or access approval domain information as a packet filter rule, and blocks or passes the traffic transmitted from the eUPF module according to the packet filter rule It may further include an edge Deep Packet Inspection (eDPI) module.
상기 NEF-GW 모듈은 상기 eNAC 모듈로부터 상기 특정 사용자 단말의 식별 정보를 수신하고, 상기 특정 사용자 단말의 식별 정보에 대한 패킷 필터 규칙을 상기 eDPI 모듈로 전달할 수 있다.The NEF-GW module may receive the identification information of the specific user terminal from the eNAC module, and may transmit a packet filter rule for the identification information of the specific user terminal to the eDPI module.
상기 NEF-GW 모듈은 상기 eNAC 모듈에 등록된 접근 차단 및/또는 접근 승인 도메인 정보, 그리고 코어망에서 관리하는 유해 사이트 데이터베이스로부터 전달된 접근 차단 및/또는 접근 승인 도메인 정보를 기초로 패킷 필터 규칙을 생성하고, 생성한 패킷 필터 규칙을 상기 eDPI 모듈로 전달할 수 있다.The NEF-GW module performs packet filter rules based on the access blocking and/or access approval domain information registered in the eNAC module, and the access blocking and/or access approval domain information transmitted from the harmful site database managed by the core network. The generated packet filter rule may be transmitted to the eDPI module.
본 개시에 따르면, 에지 컴퓨팅 시스템은 네트워크 노출 기능(Network Exposure Function, NEF) 장치로부터 제공되는 사용자 단말의 위치 컨텍스트를 이용하여 사용자 단말을 인증할 수 있고, 또한 위치 컨텍스트와 함께 다양한 종류의 사용자 출입 통제 정보를 결합한 다차원 인증을 통해 사용자 단말 인증의 보안성을 높일 수 있다.According to the present disclosure, the edge computing system may authenticate the user terminal using the location context of the user terminal provided from the network exposure function (NEF) device, and also control various types of user access together with the location context. Through multidimensional authentication combining information, the security of user terminal authentication can be improved.
본 개시에 따르면, 에지 컴퓨팅 시스템은 인증된 사용자 단말의 보안 컨텐츠 서버로의 접근을 허가하고, 유해 컨텐츠 서버로의 접근을 차단할 수 있다. According to the present disclosure, the edge computing system may allow the authenticated user terminal to access the secure content server and block the access to the harmful content server.
본 개시에 따르면, MEC 시스템에 구축된 다양한 기능 모듈들 중에서 eNAC 모듈에서만 NEF와 연동하는 게이트웨이 모듈(NEF-GW)에 접근하도록 제한할 수 있어서, MEC 시스템에 구축된 다양한 하위 기능 모듈들을 폐쇄적으로 운영하면서, 기능 모듈들 사이에서 전달되는 데이터의 보안을 강화할 수 있다.According to the present disclosure, it is possible to restrict access to the gateway module (NEF-GW) interworking with the NEF only in the eNAC module among the various functional modules built in the MEC system, so that various sub-function modules built in the MEC system are operated in a closed manner. While doing so, the security of data transferred between functional modules can be strengthened.
본 개시에 따르면, 관리자가 에지 컴퓨팅 시스템을 이용할 수 있는 사용자 목록, 사용자 권한 정보, 인증 정책, 접근 차단/접근 승인할 도메인 정보를 상황별로 설정할 수 있고, 상황별로 사용자 단말 인증 및 컨텐츠 접근을 직접 제어할 수 있어서, 다양한 서비스 환경에 적합한 에지 컴퓨팅 시스템을 제공할 수 있다. According to the present disclosure, an administrator can set a list of users who can use the edge computing system, user authorization information, authentication policy, and domain information to block/approve access by context, and directly control user terminal authentication and content access by context Therefore, it is possible to provide an edge computing system suitable for various service environments.
본 개시에 따르면, 에지 컴퓨팅 시스템에 구축된 다양한 기능들의 MEC 응용을 선택하여 서비스 환경에 적응시킬 수 있고, 기업 전용 네트워크, 캠퍼스 전용 네트워크, 거주민 전용 네트워크 등과 같이 다양한 형태의 에지 네트워크를 제공할 수 있다.According to the present disclosure, the MEC application of various functions built in the edge computing system can be selected and adapted to the service environment, and various types of edge networks can be provided, such as a corporate-only network, a campus-only network, and a resident-only network. .
도 1은 한 실시예에 따른 네트워크 구성도이다.
도 2는 한 실시예에 따른 MEC 시스템의 구성도이다.
도 3은 한 실시예에 따른 사용자 단말 인증 방법의 흐름도이다.
도 4는 한 실시예에 따른 eDNS 기반 컨텐츠 접근 제어를 설명하는 도면이다.
도 5는 한 실시예에 따른 eDNS 기반 컨텐츠 접근 제어 방법의 흐름도이다.
도 6은 한 실시예에 따른 eDPI 기반 컨텐츠 접근 제어를 설명하는 도면이다.
도 7은 한 실시예에 따른 eDPI 기반 컨텐츠 접근 제어 방법의 흐름도이다.
도 8은 한 실시예에 따른 MEC 시스템의 하드웨어 구성도이다.1 is a network configuration diagram according to an embodiment.
2 is a configuration diagram of an MEC system according to an embodiment.
3 is a flowchart of a user terminal authentication method according to an embodiment.
4 is a diagram for explaining eDNS-based content access control according to an embodiment.
5 is a flowchart of an eDNS-based content access control method according to an embodiment.
6 is a diagram for explaining eDPI-based content access control according to an embodiment.
7 is a flowchart of an eDPI-based content access control method according to an embodiment.
8 is a hardware configuration diagram of an MEC system according to an embodiment.
아래에서는 첨부한 도면을 참고로 하여 본 개시의 실시예에 대하여 본 개시가 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 개시는 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 개시를 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.Hereinafter, with reference to the accompanying drawings, embodiments of the present disclosure will be described in detail so that those of ordinary skill in the art to which the present disclosure pertains can easily implement them. However, the present disclosure may be implemented in several different forms and is not limited to the embodiments described herein. And in order to clearly explain the present disclosure in the drawings, parts irrelevant to the description are omitted, and similar reference numerals are attached to similar parts throughout the specification.
본 개시에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다. 네트워크를 구성하는 장치들은 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.In the present disclosure, when a part "includes" a certain component, it means that other components may be further included, rather than excluding other components, unless otherwise stated. The devices constituting the network may be implemented by hardware or software or a combination of hardware and software.
본 개시에서, 사용자 단말(User equipment, UE), 에지 컴퓨팅 시스템, 각종 장치, 각종 모듈은 적어도 하나의 프로세서에 의해 동작하고, 하나 이상의 프로세서, 프로세서에 의하여 실행되는 컴퓨터 프로그램을 로드하는 메모리, 컴퓨터 프로그램 및 각종 데이터를 저장하는 저장 장치, 통신 인터페이스를 포함할 수 있다. 컴퓨터 프로그램은 메모리에 로드될 때 프로세서로 하여금 본 개시의 다양한 실시예에 따른 방법/동작을 수행하도록 하는 명령어들(instruction)을 포함할 수 있다. 즉, 프로세서는 명령어들을 실행함으로써, 본 개시의 다양한 실시예에 따른 방법/동작들을 수행할 수 있다. 명령어는 기능을 기준으로 묶인 일련의 컴퓨터 판독가능 명령어들로서 컴퓨터 프로그램의 구성 요소이자 프로세서에 의해 실행되는 것을 가리킨다.In the present disclosure, a user equipment (UE), an edge computing system, various devices, and various modules are operated by at least one processor, and one or more processors, a memory for loading a computer program executed by the processor, and a computer program and a storage device for storing various data and a communication interface. A computer program may include instructions that, when loaded into memory, cause a processor to perform methods/operations according to various embodiments of the present disclosure. That is, the processor may perform the method/operations according to various embodiments of the present disclosure by executing the instructions. An instruction refers to a set of computer readable instructions grouped on the basis of a function, which is a component of a computer program and is executed by a processor.
본 개시에서, 사용자 단말은, 에지 컴퓨팅 서비스를 이용하는 가입자 단말로서, 코어망의 에지(Edge)에 구축된 에지 컴퓨팅 시스템을 통해 서비스 서버와 연결될 수 있다. 사용자 단말은, 코어망(Core Network)의 UPF(User Plane function)를 통해 트래픽을 송수신할 수도 있으나, 설명에서는 에지 컴퓨팅 시스템의 eUPF(edge UPF)를 통해 트래픽을 송수신하는 경우를 주로 설명한다. In the present disclosure, a user terminal, as a subscriber terminal using an edge computing service, may be connected to a service server through an edge computing system built at an edge of a core network. The user terminal may transmit/receive traffic through a user plane function (UPF) of a core network, but in the description, a case in which traffic is transmitted/received through an edge UPF (eUPF) of an edge computing system is mainly described.
본 개시에서, 사용자 단말은 5G 통신 모듈을 탑재한 5G 디바이스일 수 있고, 휴대 단말, IoT 단말, 차량 단말(vehicle), 디스플레이 단말, 방송 단말, 게임 단말 등 다양한 형태 및 용도의 단말일 수 있다. In the present disclosure, the user terminal may be a 5G device equipped with a 5G communication module, and may be a terminal of various types and uses, such as a portable terminal, an IoT terminal, a vehicle terminal, a display terminal, a broadcasting terminal, and a game terminal.
본 개시에서, 에지 컴퓨팅 시스템은 코어망의 에지에 구축된 자원을 이용하여 저지연 서비스나 에지 네트워크 특화된 서비스를 제공하는 시스템이다. 에지 컴퓨팅 시스템은 다중 접속 에지 컴퓨팅(Multi-Access Edge Computing, MEC) 기술을 따를 수 있고, 설명에서는 MEC 시스템이라고 부를 수 있고, 더 간단하게는 MEC라고 부를 수 있는데, MEC 기술로 한정되는 것은 아니다.In the present disclosure, an edge computing system is a system that provides a low-latency service or an edge-network-specific service by using a resource built at the edge of a core network. The edge computing system may conform to Multi-Access Edge Computing (MEC) technology, may be referred to as an MEC system in the description, or may be referred to as MEC for short, but is not limited to MEC technology.
본 개시에서, 특정 기능이 구현된 장치, 모듈을 부를 때, 장치, 모듈을 생략하고 부를 수 있다.In the present disclosure, when calling a device or module in which a specific function is implemented, the device or module may be omitted and called.
도 1은 한 실시예에 따른 네트워크 구성도이다.1 is a network configuration diagram according to an embodiment.
도 1을 참고하면, 5G 망은 복수의 네트워크 기능들(Network Functions)로 구성되는 코어망(Core network)(10)과, 무선 접속망(Radio Access network, RAN)(20)을 포함할 수 있다. 코어망(10)은 접속 및 이동성 관리 기능(Access and Mobility Management Function, AMF)(11), 세션 관리 기능(Session Management Function, SMF)(12), SMF(12)에 의해 PDU 세션을 생성하고 데이터망(Data Network, DN)에 연결되어 트래픽을 처리하는 사용자 플레인 기능(User Plane Function, UPF)(13), 과금 및 서비스 품질 정책을 제어하는 정책 제어 기능(Policy Control Function, PCF)(14), 가입자 정보를 관리하는 통합 데이터 관리 기능(Unified Data Management, UDM)(15), 써드파티(3rd party)에 네트워크 정보를 제공하는 네트워크 노출 기능(Network Exposure function, NEF)(16), 가입자 인증 기능(Authentication Server Function, AUSF)(17), 네트워크 저장소 기능(Network Repository Function, NRF)(18) 등을 포함할 수 있다. 이외에도, 어플리케이션 기능(Application Function, AF)은 코어망 외부에서, 코어망 내부의 네트워크 기능들과 연동하기 위해 사용하는 네트워크 기능으로서, NEF(16)를 통해 코어망의 네트워크 기능들을 이용할 수 있다. 다음에서는 본 개시와 관련된 네트워크 기능을 중심으로 설명한다.Referring to FIG. 1 , a 5G network may include a
NEF(16)는 RAN 또는 코어망의 기능들과 연동하여, 사용자 단말의 위치, 이동, 연결 상태를 모니터링하고, QoS 제어를 수행할 수 있는 기능이다. 이러한 NEF(16)를 통해, 에지 컴퓨팅 시스템(100)이 사용자 단말의 위치 컨텍스트(UE Location Context)를 획득할 수 있다. 사용자 단말의 위치 컨텍스트는 사용자 단말 식별자(예를 들면, IMSI), 사용자 단말 IP 주소, 사용자 단말이 위치한 셀 정보(Cell ID, Cell tracking, Cell Distance 등), 사용자 단말의 GPS 정보 등을 포함할 수 있다. The
에지 컴퓨팅 시스템(100)은 MEC(Multi-Access Edge Computing) 시스템이라고 부르고, 다양한 기능 모듈들을 포함하는 MEC 클러스터(Cluster)일 수 있다. 사용자 단말(300)은 MEC 시스템(100)의 서비스 지역(MEC Zone)에 구축된 무선 접속망(RAN)(앞으로, “MEC-RAN”이라고 함)(200)을 통해 MEC 시스템(100)에 접속할 수 있다. 여기서, 사용자 단말(300)은 에지 컴퓨팅 서비스를 이용하는 가입자 단말로서, MEC 시스템(100)을 이용할 수 있도록 사용자 권한 정보가 등록된다. NEF(16)는 MEC 시스템(100)의 서비스 지역(MEC Zone)에 구축된 MEC-RAN(200)으로부터 MEC 위치 데이터(MEC Location data)를 주기적으로 수신할 수 있다. MEC 위치 데이터는 자신의 셀 정보와 함께, 셀에 접속한 사용자 단말들의 정보를 포함할 수 있다. NEF(16)는 MEC 위치 데이터로부터 추출한 사용자 단말의 위치 컨텍스트를 MEC 시스템(100)으로 제공할 수 있다. MEC-RAN(200)과 NEF(16)는 예를 들면, ETSI MEC013 문서에 기재된 MEC Location API에 따라 연동할 수 있다.The
도 2는 한 실시예에 따른 MEC 시스템의 구성도이다.2 is a configuration diagram of an MEC system according to an embodiment.
도 2를 참고하면, MEC 시스템(100)은 코어망의 에지에 구축되고, 관리자에 의해 관리될 수 있는 다양한 에지 컴퓨팅 서비스를 제공할 수 있다. 예를 들면, MEC 시스템(100)은 기업 전용 네트워크 서비스, 캠퍼스 전용 네트워크 서비스, 거주민 전용 네트워크 서비스 등을 제공할 수 있다.Referring to FIG. 2 , the
MEC 시스템(100)은 에지 네트워크 접근 제어(Edge Network Access Control, eNAC) 모듈(간단히, “eNAC”라고 함)(110), NEF(16)와 연동하는 게이트웨이 모듈(간단히, “NEF-GW”라고 함)(120), 에지 사용자 플레인 기능(Edge User plan function, eUPF)모듈(간단히, “eUPF”라고 함)(130)을 포함한다. MEC 시스템(100)은 출입 통제 솔루션(Access Control Solution) 모듈(간단히, “ACS”라고 함)(140), 사용자 단말(300)의 DNS(Domain Name Server) 룩업을 처리하는 에지 DNS 모듈(간단히, “eDNS”라고 함)(150), 그리고 패킷 필터링을 처리하는 심층 패킷 검사(Deep Packet Inspection, DPI) 모듈(간단히, “eDPI”라고 함)(160)을 더 포함할 수 있다. MEC 시스템(100)을 구성하는 모듈 종류는 서비스 지역에 따라 선택될 수 있다.
MEC 시스템(100)에 포함된 다양한 모듈들은 응용 레이어에 설치된 복수의 응용들(applications)로 구현되거나, 프로세서 및 메모리를 포함하는 독립적인 컴퓨팅 장치로 구현될 수 있다. Various modules included in the
다양한 모듈들이 응용 레이어에 설치된 복수의 응용들로 구현되는 경우의 아키텍쳐를 살펴보면, MEC 시스템(100)은 적어도 하나의 프로세서 및 메모리를 포함하는 하드웨어 장치(170)를 포함하고, 하드웨어 장치(170)에 의해 제공되는 물리적인 컴퓨팅 자원은 가상화 레이어(Virtualization Layer)(180)를 통해 가상화될 수 있다. 각 MEC 모듈을 위한 가상 컴퓨팅 자원은 각 MEC 모듈의 컴퓨터 프로그램에 포함된 명령어들(instructions)을 실행하여 해당 MEC 모듈의 기능을 제공할 수 있다.Looking at the architecture when various modules are implemented with a plurality of applications installed in the application layer, the
설명에서는 MEC 시스템(100)에 포함된 다양한 모듈들을 동작의 주체로 설명할 수 있다.In the description, various modules included in the
MEC 시스템(100)은 네트워크 접근 가능한 사용자 단말을 인증하고, 인증된 사용자 단말의 컨텐츠 접근 제어를 할 수 있다. 먼저, 사용자 단말 인증을 위한 MEC 모듈들의 동작을 설명한다.The
eNAC(110)는 사용자 목록, 그리고 사용자 권한 정보를 포함하는 사용자 관리 테이블을 관리한다. eNAC(110)는 관리자가 접속할 수 있는 인터페이스를 제공하고, 관리자로부터 사용자 관리 테이블을 등록받을 수 있고, 각종 통계를 관리자에게 제공할 수 있다. 사용자 목록은 사용자 식별 정보를 포함할 수 있고, 사용자 권한 정보는 사용자마다 다양하게 정의될 수 있다. 사용자 권한 정보는 사용자별 네트워크 접근 허용 범위를 포함할 수 있다. 네트워크 접근 허용 범위는 위치 범위, 시간 범위를 포함할 수 있다. 예를 들면, 사용자 관리 테이블은, 사용자 이름, 사용자 단말의 IMSI, 사용자 단말의 이동통신 가입자 번호, 네트워크 접근 허용 위치 및/또는 시간 범위를 포함할 수 있다. The
eNAC(110)는 등록된 사용자 단말들의 위치 컨텍스트를 NEF(16)로부터 획득하기 위해, NEF(16)와 연동하는 NEF-GW(120)로 사용자 정보(예를 들면, 사용자 이름, IMSI, 이동통신 가입자 번호)를 전달하고, NEF-GW(120)로부터 사용자 정보에 대한 위치 컨텍스트(UE GPS, Cell ID, Cell Tracking, Cell Distance, Time Stamp 등)를 수신할 수 있다.
eNAC(110)는 위치 컨텍스트를 이용하여 사용자 단말의 위치를 특정하고, 사용자 단말의 위치 및 현재 시각이 네트워크 접근 허용 범위에 해당하는 경우, 사용자 단말을 MEC 시스템(100)에 의해 제공되는 에지 컴퓨팅 서비스를 이용할 수 있는 단말로 인증할 수 있다.The
NEF-GW(120)는 eNAC(110) 및 NEF(16)와 연동하고, NEF(16)로부터 획득한 사용자 단말의 위치 컨텍스트를 eNAC(110)로 제공한다. 사용자 단말의 위치 컨텍스트는 사용자 단말 식별자(예를 들면, IMSI), 사용자 단말 IP 주소, 사용자 단말이 위치한 셀 정보(Cell ID, Cell tracking, Cell Distance 등), 사용자 단말의 GPS 정보(UE GPS) 등을 포함할 수 있다. The NEF-
NEF-GW(120)는 eNAC(110)로부터 위치 컨텍스트가 요구되는 사용자 정보(사용자 이름, IMSI, 이동통신 가입자 번호)를 전달받고, 사용자 정보에 대한 위치 컨텍스트를 NEF(16)에 요청한다. NEF-GW(120)는 위치 컨텍스트를 구독(subscribe)할 수 있다. 그러면, NEF(16)는 NEF-GW(120)로, 구독한 사용자 정보에 대한 위치 컨텍스트를 전송한다. NEF(16)는 구독 정보에 따라 배포(publish) 시점이 달라질 수 있는데, 주기적으로 전송하거나 위치 컨텍스트가 변동될 때마다 전송할 수 있다. 또는, NEF(16)는 특정 사용자 단말에 대한 위치 컨텍스트를 요청받을 때마다 해당 단말의 위치 컨텍스를 전송할 수 있다.The NEF-
NEF-GW(120)는 NEF(16)로부터 수신한 사용자 위치 컨텍스트를 eNAC(110)로 전달한다. NEF-GW(120)는 eNAC(110)가 질의한 사용자 위치 컨텍스트를 전달하거나, NEF(16)로부터 사용자 위치 컨텍스트를 수신하면, eNAC(110)로 전달할 수 있다.The NEF-
MEC-RAN(200), NEF(16), NEF-GW(120) 사이에서 전송되는 각종 위치 데이터(MEC 위치 데이터 및 위치 컨텍스트)는 보안 망(5G Backbone)에서 암호화된 데이터로 전송될 수 있다. 또한, 위치 컨텍스트는 MEC 시스템(100) 내에서 NEF-GW(120)와 eNAC(110) 사이의 데이터 플레인(Data Plane)을 통해서만 전송되도록 가상화 인터페이스가 설계될 수 있다. 이를 통해, eNAC(110) 이외의 장치나 모듈은 위치 컨텍스트에 접근할 수 없다.Various location data (MEC location data and location context) transmitted between the MEC-
한편, 사용자 단말의 인증 정책이 출입 통제 솔루션(ACS)(140)과 연동하도록 설정될 수 있다. 그러면, eNAC(110)는 ACS(140)로부터 출입 허가된 사용자 정보를 획득하고, 출입 허가된 사용자 정보에 대한 위치 컨텍스트를 NEF-GW(120)에게 요청할 수 있다. eNAC(110)는 NEF-GW(120)로부터 수신한 위치 컨텍스트를 이용하여 출입 허가된 사용자 단말의 위치를 특정하고, 사용자 단말의 위치가 네트워크 접근 허용 위치에 해당하는 경우, 사용자 단말이 MEC 시스템(100)에 의해 제공되는 에지 컴퓨팅 서비스를 이용할 수 있는 단말로 인증할 수 있다.Meanwhile, the authentication policy of the user terminal may be set to interwork with the access control solution (ACS) 140 . Then, the
예를 들면, 기업은 MEC-RAN(200)에 접속한 임직원 단말들이 사내망에 접속할 수 있는 MEC 시스템(100)을 구축하고, MEC 시스템(100)을 통해 사내망으로의 접근을 제어한다고 가정한다. 이때, 보안성을 높이기 위해, eNAC(110)는 임직원 단말들이 MEC-RAN(200)에 접속한 위치 컨텍스트를 이용하여 MEC 서비스 지역에 있는지 확인할 뿐만 아니라, 임직원이 신분증 태깅이나 얼굴 인식을 통해 사무실에 출입한 정보를 추가로 확인한 후에, 임직원 단말의 사내망 접근을 허가할 수 있다. For example, it is assumed that the company establishes the
출입 통제 솔루션(ACS)(140)은 사용자의 출입을 관리하는 다양한 솔루션 중에서 선택될 수 있는데, 예를 들면, 출입 통제 솔루션(ACS)(140)은 사용자에게 발급된 신분증 태그 기반 출입 통제 솔루션, 카메라로 촬영된 얼굴 인식 기반 출입 통제 솔루션, 지문 인식 기반 출입 통제 솔루션 중 적어도 하나가 사용될 수 있다.The access control solution (ACS) 140 may be selected from various solutions for managing the user's access, for example, the access control solution (ACS) 140 is an ID tag-based access control solution issued to the user, a camera At least one of a face recognition-based access control solution photographed with the camera and a fingerprint recognition-based access control solution may be used.
출입 통제 솔루션(ACS)(140)은 특정 위치에 설치된 출입 통제 장치(신분증 태깅 기반 게이트, 얼굴 인식 기반 게이트, 지문 인식 기반 게이트 등)(400)와 연동할 수 있다. 출입 통제 장치(400)는 MEC-RAN(200)을 통해 출입 통제 솔루션(ACS)(140)으로 입력 정보에 대한 출입 허가를 문의할 수 있고, 출입 통제 솔루션(ACS)(140)은 저장된 사용자 출입 통제 정보(신분증 정보, 얼굴 인식 정보, 지문 인식 정보 등)를 기초로 판단한 출입 허가 결과를 회신할 수 있다. 또는 출입 통제 솔루션(ACS)(140)은 출입 통제 장치(400)로부터 인식된 사용자 정보를 전달받고, 해당 사용자 정보에 대한 출입 허가를 판단할 수 있다. 이외에도, 출입 통제 장치(400)에 사용자 출입 허가 여부를 판단하는 기능이 구현된 경우, 출입 통제 솔루션(ACS)(140)은 출입 통제 장치(400)로부터 출입 허가된 사용자 정보를 전달받을 수도 있다.The access control solution (ACS) 140 may interwork with an access control device (ID tagging-based gate, face recognition-based gate, fingerprint recognition-based gate, etc.) 400 installed at a specific location. The
출입 통제 솔루션(ACS)(140)은 출입 허가된 사용자 식별 정보를 eNAC(110)로 전달하도록 구현될 수 있다.The access control solution (ACS) 140 may be implemented to transmit access-approved user identification information to the
eNAC(110), NEF-GW(120), 출입 통제 솔루션(ACS)(140)은 동일한 사용자 정보(예를 들면, IMSI)를 사용하거나, 서로 매핑된 다른 종류의 식별 정보를 사용할 수 있다. 예를 들면, 출입 통제 솔루션(ACS)(140)은 사용자 이름, 사원 번호, 전화번호를 사용자 정보로 사용하고, eNAC(110) 및 NEF-GW(120)은 출입 통제 솔루션(ACS)(140)에서 사용하는 사용자 정보에, 네트워크에서 사용되는 사용자 정보(예를 들면, IMSI)를 매핑해서 관리할 수 있다.The
이렇게, eNAC(110)는 출입 통제 솔루션(ACS)(140) 및 NEF-GW(120)와 연동하여, 사용자 단말(300)을 인증하고, 인증된 사용자 단말(300)은 MEC 시스템(100)에 의해 제공되는 에지 컴퓨팅 서비스를 이용할 수 있다. 이때, MEC 시스템(100)은 인증된 사용자 단말(300)에 대한 컨텐츠 접근 제어를 할 수 있고 이를 위해 eNAC(110)는 인증된 사용자 단말(300)의 식별 정보(IP 정보, IMSI 등)를 NEF-GW(120)로 전달한다. 그러면, NEF-GW(120)가 인증된 사용자 단말(300)의 DNS 쿼리 라우팅 정책을 eUPF(130)에 등록하거나, 인증된 사용자 단말(300)에 대한 패킷 필터링 규칙을 eDPI(160)에 등록함으로써, 인증된 사용자 단말에 대한 컨텐츠 접근 제어를 할 수 있다.In this way, the
eUPF(130)은 NEF-GW(120)로부터, 인증된 사용자 단말(300)에 대한 라우팅 정책을 수신하고, 이를 라우팅 테이블에 등록하여, eDNS(150)로의 플로우 컨트롤을 할 수 있다. 예를 들어, UL CL(Uplink Classifier) 기술을 적용하는 경우, NEF-GW(120)는 인증된 사용자 단말(300)의 IP 정보(Source IP), DNS 통신 포트 정보(TCP/UDP 53번), 그리고 eDNS IP 정보(Destination IP)를 포함하는 라우팅 정책을 eUPF(130)로 전달한다. 그러면, eUPF(130)가, 라우팅 테이블을 기초로, 사용자 단말(300)에서 전송된 53번 포트 요청 패킷(DNS 쿼리)을 목적지인 eDNS(150)로 포워딩할 수 있다.The
eDPI(160)는 NEF-GW(120)로부터, 인증된 사용자 단말(300)의 패킷 필터 규칙을 수신하고, 이를 이용하여 패킷 필터링을 할 수 있다. The
컨텐츠 접근 제어를 위해, eNAC(110)는 관리자로부터 접근 차단/접근 승인 도메인 정보 및 접근 승인 도메인의 IP 주소를 입력받고, 이를 NEF-GW(120)를 통해 eDNS(150)에 등록할 수 있다. 또한, NEF-GW(120)는 NEF(16)로부터 접근 차단/접근 승인 도메인 정보 및 접근 승인 도메인의 IP 주소를 수신할 수 있고, 이를 eDNS(150)에 등록할 수 있다. For content access control, the
eNAC(110)는 관리자로부터 접근 차단/접근 승인 도메인 정보(도메인 네임, URL, IP 주소, 포트 등)를 입력받고, 이를 NEF-GW(120)를 통해 eDPI(160)에 등록할 수 있다. 또한, NEF-GW(120)는 NEF(16)로부터 접근 차단/접근 승인 도메인 정보를 수신할 수 있고, 이를 eDPI(160)에 등록할 수 있다. The
eDNS(150)는 DNS 기반 접근 제어 기능을 제공하는 응용으로서, eUPF(130)로부터 요청된 DNS 룩업을 처리한다. eDNS(150)는 eNAC(110)에 등록된 접근 차단/접근 승인 도메인 정보, 그리고 코어망에서 관리하는 유해 사이트 데이터베이스(Malicious URL DB)로부터 전달된 접근 차단/접근 승인 도메인 정보를 입력받고, 이를 eDNS 레코드로 관리한다. 이때, eDNS 레코드에만 보안 컨텐츠 서버의 IP(End point IP) 주소가 등록되기 때문에, eDNS(150)만이 보안 컨텐츠 서버 도메인에 대한 IP 주소를 회신할 수 있다.The
eDPI(160)는 패킷 검사 기반 접근 제어 기능을 제공하는 응용으로서, eUPF(130)로부터 전달된 트래픽을 패킷 필터 규칙에 따라 차단 또는 통과시킨다. eDPI(160)는 eNAC(110)에 등록된 IP 주소 및 포트 목록, 그리고 코어망에서 관리하는 유해 사이트 데이터베이스로부터 전달된 IP 주소 및 포트 목록을 입력받고, 이를 패킷 필터 규칙에 등록한다. The
사용자 단말(300)은 MEC-RAN(200)을 통해 eUPF(130)에 연결되고, 특정 서버로 접속하기 위한 DNS 쿼리를 전송한다. 그러면, eUPF(130)는 라우팅 테이블을 기초로, 사용자 단말(300)로부터 발신된 DNS 쿼리를 목적지인 eDNS(150)로 전달하여, DNS 쿼리에 대한 룩업을 요청하고, 사용자 단말(300)은 룩업 결과에 따라 특정 서버에 접속하거나 차단될 수 있다.The
또는, eUPF(130)는 eDPI(160)로 사용자 단말(300)의 트래픽을 전달하고, eDPI(160)가 패킷 필터 규칙을 이용한 패킷 검사를 통해, 인증된 사용자 단말(300)의 트래픽을 통과시키거나 차단할 수 있다. Alternatively, the
이렇게, MEC 시스템(100)은 eNAC(110)를 이용한 2차 인증 절차를 통해, 사용자 단말(300)을 에지 컴퓨팅 서비스를 이용할 수 있는 단말로 인증한 이후, eDNS(150) 또는 eDPI(160)를 이용한 컨텐츠 접근 제어를 할 수 있다. 이러한 컨텐츠 접근 제어를 통해, MEC 시스템(100)은 보안이 요구되는 컨텐츠 제공 서버(예를 들면, 사내망 서버)로의 접근을 제어할 수 있고, 또한 유해한 컨텐츠 제공 서버로의 접근을 차단할 수 있다.In this way, the
도 3은 한 실시예에 따른 사용자 단말 인증 방법의 흐름도이다.3 is a flowchart of a user terminal authentication method according to an embodiment.
도 3을 참고하면, eNAC(110)는 사용자 목록 그리고 사용자 권한 정보를 등록한다(S110). 사용자 목록은 사용자 식별 정보를 포함할 수 있고, 사용자 권한 정보는 사용자마다 다양하게 정의될 수 있다. 사용자 권한 정보는 사용자별 네트워크 접근 허용 범위를 포함할 수 있다. 예를 들면, 사용자 관리 테이블은, 사용자 이름, 사용자 단말의 IMSI, 사용자 단말의 이동통신 가입자 번호, 네트워크 접근 허용 위치 및/또는 시간 범위를 포함할 수 있다. 사용자 목록은 사용자 단말(300)을 포함한다고 가정한다.Referring to FIG. 3 , the
eNAC(110)는 에지 컴퓨팅 서비스를 이용하는 사용자 목록을 NEF-GW(120)로 전달한다(S120). NEF-GW(120)로 전달되는 사용자 목록은 위치 컨텍스트가 요구되는 사용자 정보를 포함하는데, 사용자 정보는 NEF(16)와의 연동 프로토콜에 맞춰 정의될 수 있고, 예를 들면, 사용자 이름, IMSI, 이동통신 가입자 번호 중 적어도 하나를 포함할 수 있다. The
NEF-GW(120)는 NEF(16)에 사용자 목록에 포함된 사용자 단말들의 위치 컨텍스트를 요청한다(S130). NEF-GW(120)는 위치 컨텍스트를 구독(subscribe)할 수 있다. NEF-GW(120)는 위치 컨텍스트 구독을 통해, 위치 변화가 발생한 사용자 단말의 위치 컨텍스트를 전용 백본망을 통해 실시간으로 획득할 수 있다. 사용자 목록에 사용자 단말(300)이 포함되어 있다고 가정한다.The NEF-
사용자 단말(300)이 MEC-RAN(200)에 접속(S140)한 이후, NEF(16)는 MEC-RAN(200)으로부터 셀에 접속한 사용자 단말들의 정보를 포함하는 MEC 위치 데이터를 수신한다(S142). MEC-RAN(200)는 주기적으로 또는 사용자 단말이 접속할 때마다 MEC 위치 데이터를 전송할 수 있다. MEC 위치 데이터는 자신의 셀 정보와 함께, 셀에 접속한 사용자 단말들의 정보를 포함할 수 있다.After the
NEF(16)는 MEC 위치 데이터로부터 MEC-RAN(200)에 접속한 사용자 단말(300)의 위치 컨텍스트를 추출하고, 사용자 단말(300)의 위치 컨텍스트를 NEF-GW(120)로 전송한다(S150). NEF(16)는 사용자 단말(300)의 위치 컨텍스트를 요청(구독)한 NEF-GW(120)로, 사용자 단말(300)의 변경된 위치 컨텍스트를 배포(publish)할 수 있다. 사용자 단말의 위치 컨텍스트는 사용자 단말의 위치, 이동, 시각 등을 알 수 있는 정보인 UE GPS, Cell ID, Cell Tracking, Cell Distance, Time Stamp 등을 포함할 수 있다. The
한편, 사용자 단말(300)을 소지한 사용자가 출입 통제 장치(400)에 신분증 태깅 및/또는 생체 정보 인식(얼굴 또는 지문)을 수행하면, 출입 통제 솔루션(ACS)(140)은 출입 통제 장치(400)로부터 신분증 태깅 및/또는 생체 정보 인식(얼굴 또는 지문)으로 입력된 사용자 출입 정보를 수신한다(S160). 예를 들어, 출입 통제를 위해 신분증 태깅 기반 게이트가 설치된 경우, 출입 통제 솔루션(ACS)(140)은 사용자의 신분증 태깅 정보(ID Tag 값)를 eUPF(130)의 사용자 플레인을 통해 입력받을 수 있다. 또는 출입 통제를 위해 얼굴 인식 기반 게이트가 설치된 경우, 출입 통제 솔루션(ACS)(140)은 사용자의 얼굴 영상 또는 이의 특징값을 eUPF(130)의 사용자 플레인을 통해 입력받을 수 있다.On the other hand, when the user carrying the
출입 통제 솔루션(ACS)(140)는 저장된 사용자 출입 통제 정보(신분증 정보, 얼굴 인식 정보, 지문 인식 정보 등)와 입력된 사용자 출입 정보를 비교하여 사용자 출입 허가 여부를 판단하고, 출입 허가된 사용자 정보를 eNAC(110)로 전달한다(S162). 또는, 출입 통제 솔루션(ACS)(140)은 출입 통제 장치(400)로부터 인식된 사용자 정보를 전달받고, 해당 사용자 정보에 대한 출입 허가를 판단할 수 있다. 이외에도, 출입 통제 장치(400)에 사용자 출입 허가 여부를 판단하는 기능이 구현된 경우, 출입 통제 솔루션(ACS)(140)은 출입 통제 장치(400)로부터 출입 허가된 사용자 정보를 전달받을 수도 있다.The access control solution (ACS) 140 compares the stored user access control information (identity card information, face recognition information, fingerprint recognition information, etc.) with the input user access information to determine whether the user is allowed to enter or not, and information about the permitted user to the eNAC 110 (S162). Alternatively, the access control solution (ACS) 140 may receive the recognized user information from the
eNAC(110)는 출입 허가된 사용자 정보에 매핑된 사용자 단말의 위치 컨텍스트를 NEF-GW(120)에 질의한다(S170). 한편, eNAC(110)가 위치 컨텍스트를 NEF-GW(120)에 질의하는 대신, NEF-GW(120)가 변동된 사용자 위치 컨텍스트를 eNAC(110)로 보고할 수 있다.The
NEF-GW(120는 eNAC(110)로, 질의한 사용자 단말(300)의 위치 컨텍스트를 전송한다(S172).The NEF-
eNAC(110)는 수신한 위치 컨텍스트를 이용하여 사용자 단말의 위치를 특정하고, 현재 사용자 단말이 네트워크 접근 허용 위치 범위에 위치하는 지 판단한다(S174). 이때, eNAC(110)는 네트워크 접근 허용 시간 범위에 해당하는 지를 더 판단할 수 있다. eNAC(110)는 현재 사용자 단말이 네트워크 접근 허용 위치 범위에 위치하지 않으면, 인증 실패를 회신할 수 있다.The
eNAC(110)는 판단 결과에 따라, 사용자 단말(300)을 MEC 시스템(100)에 의해 제공되는 에지 컴퓨팅 서비스를 이용할 수 있는 단말로 인증한다(S176). The
이후, eNAC(110)는 인증된 사용자 단말(300)의 식별 정보를 NEF-GW(120)로 전달하면, NEF-GW(120)가 인증된 사용자 단말(300)의 DNS 쿼리 라우팅 정책을 eUPF(130)에 등록하거나, 인증된 사용자 단말(300)에 대한 패킷 필터링 규칙을 eDPI(160)에 등록함으로써, 인증된 사용자 단말에 대한 컨텐츠 접근 제어를 할 수 있다. Thereafter, when the
eUPF(130)은 NEF-GW(120)로부터, 인증된 사용자 단말(300)의 라우팅 정책을 수신하고, 이를 라우팅 테이블에 등록하여, eDNS(150)로의 플로우 컨트롤을 할 수 있다. NEF-GW(120)가, 인증된 사용자 단말(300)의 IP 정보(Source IP), DNS 통신 포트 정보(TCP/UDP 53번), 그리고 eDNS IP 정보(Destination IP)를 포함하는 라우팅 정책을 eUPF(130)로 전송하면, eUPF(130)는 이를 라우팅 테이블에 등록한다. 이후 eUPF(130)는 라우팅 테이블을 기초로 사용자 단말(300)에서 전송된 53번 포트 요청 패킷(DNS 쿼리)을 목적지인 eDNS(150)로 포워딩한다. 이를 통해, 인증된 사용자 단말(300)에서 전송된 DNS 쿼리는 중앙의 CG(carrier Grade) DNS(미도시)가 아닌 eDNS(150)로 전달되고, eDNS(150)는 DNS 쿼리에 대한 룩업 결과를 응답하는데, CG DNS에는 미등록되고 eDNS 레코드에만 등록된 보안 컨텐츠 서버의 IP 정보를 응답할 수 있다.The
eDPI(160)는 NEF-GW(120)로부터 인증된 사용자 단말(300)에 대한 패킷 필터 규칙을 등록한다. 그리고, eDPI(160)는 패킷 필터 규칙을 이용한 패킷 검사(예를 들면, 인증된 사용자 단말의 IP 주소 검사)를 통해, 인증된 사용자 단말(300)의 트래픽을 통과시키거나 차단할 수 있다. The
한편, 도 3의 절차는 다양하게 변경될 수 있다. eNAC(110)는 출입 통제 솔루션 기반 1차 인증과 사용자 위치 컨텍스트 기반 2차 인증의 순서를 변경하여, 사용자 단말(300)에 대한 네트워크 접근 인증을 할 수 있다. 예를 들면, eNAC(110)는 NEF-GW(120)로부터 변동된 사용자 위치 컨텍스트를 먼저 전달받고, 사용자 단말의 위치를 특정한 후, 현재 사용자 단말의 위치가 네트워크 접근 허용 위치 및/또는 시간 범위에 해당하는 지 판단한다. 이후, eNAC(110)는 네트워크 접근 허용 범위에 존재하는 사용자 식별 정보에 대해, 출입 통제 솔루션(ACS)(140)으로부터 출입 허가된 결과를 전달받으면, 사용자 단말(300)을 인증할 수 있다.Meanwhile, the procedure of FIG. 3 may be variously changed. The
도 4는 한 실시예에 따른 eDNS 기반 컨텐츠 접근 제어를 설명하는 도면이고, 도 5는 한 실시예에 따른 eDNS 기반 컨텐츠 접근 제어 방법의 흐름도이다.4 is a diagram for explaining eDNS-based content access control according to an embodiment, and FIG. 5 is a flowchart of an eDNS-based content access control method according to an embodiment.
도 4를 참고하면, eNAC(110)는 관리자로부터 접근 차단/접근 승인 도메인 정보를 입력받고, 도메인 정보를 NEF-GW(120)를 통해 eDNS(150)에 등록할 수 있다. 또한, NEF-GW(120)는 NEF(16)로부터도 접근 차단/접근 승인 도메인 정보를 수신하고, 도메인 정보를 eDNS(150)에 등록할 수 있다. NEF(16)는 코어망에서 관리하는 유해 사이트 데이터베이스(Malicious URL DB)의 접근 차단/접근 승인 도메인 정보를 NEF-GW(120)로 전달할 수 있다. 도메인 정보는 접근 차단/접근 승인 도메인 네임 및 접근 승인 도메인의 IP 주소를 포함할 수 있다.Referring to FIG. 4 , the
eDNS(150)는 eNAC(110)에 관리자가 등록한 접근 차단/접근 승인도메인 정보, 그리고 코어망에서 관리하는 접근 차단/접근 승인 도메인 정보를 입력받고, 이를 eDNS 레코드로 관리한다. 이때, eDNS 레코드는 접근 승인 도메인의 IP 주소를 저장하는데, eDNS 레코드에만 접근 승인 도메인인 보안 컨텐츠 서버의 IP 주소가 등록되어서, 중앙의 CG DNS 룩업을 통해서는 보안 컨텐츠 서버의 IP 주소를 획득할 수 없도록 한다. eDNS 레코드는 접근 차단 도메인에 대한 룩업 실패 응답을 저장할 수 있고, eDNS(150)는 룩업 실패 응답으로서, 시간 초과(timeout) 응답 또는 차단 메시지를 전달하는 웹서버 주소를 응답할 수 있다. The
eDNS 레코드는 사용자가 웹서비스를 사용하는데 매우 중요한 정보이므로, 각 모듈 또는 장치가 직접 레코드 업데이트를 할 수 없고, NEF-GW(120)를 통해서만 업데이트/이력관리를 할 수 있도록 설정될 수 있다.Since the eDNS record is very important information for the user to use the web service, each module or device cannot directly update the record, and can be set to update/history management only through the NEF-
NEF-GW(120)는, eNAC(110)로부터 인증된 사용자 단말(300)의 IP 정보를 수신하고, 인증된 사용자 단말(300)의 DNS 쿼리를 eDNS(150)로 라우팅하는 라우팅 정책을 eUPF(130)에 등록한다. 예를 들면, 라우팅 정책은 인증된 사용자 단말(300)의 IP 정보(Source IP), DNS 통신 포트 정보(TCP/UDP 53번), 그리고 eDNS IP 정보(Destination IP)를 포함할 수 있다. The NEF-
eUPF(130)는 NEF-GW(120)로부터, 인증된 사용자 단말(300)에 대한 라우팅 정책을 수신하고, 이를 라우팅 테이블에 등록하여, eDNS(150)로의 플로우 컨트롤을 할 수 있다. 이후 eUPF(130)는 라우팅 테이블을 기초로 사용자 단말(300)에서 전송된 DNS 쿼리를 eDNS(150)로 포워딩한다. The
eDNS(150)는 eDNS 레코드를 룩업하여, DNS 쿼리에 대한 룩업 결과를 응답을 한다. 룩업 성공 시, eDNS(150)는 DNS 쿼리에 해당하는 IP 주소를 사용자 단말(300)로 전달한다. 그러면, 사용자 단말(300)이 획득한 IP 주소로 접속하는데, eDNS(150)에만 에지 컴퓨팅 서비스에서 제공하는 보안 컨텐츠 서버 도메인이 접근 승인 도메인으로 등록되어 있으므로, 인증된 사용자 단말(300)은 보안 컨텐츠 서버(500) 의 IP 주소를 획득할 수 있다. The
eUPF(130)로부터 수신한 DNS 쿼리가 접근 차단 도메인으로 등록된 유해 컨텐츠 서버(600)를 질의한 경우라면, eDNS(150)는 사용자 단말(300)로 룩업 실패 응답을 전달함으로써, 사용자 단말(300)이 유해 컨텐츠를 이용하지 못하도록 차단할 수 있다.If the DNS query received from the
도 5를 참고하면, 사용자 단말(300)이 eNAC(110)에 의한 네트워크 접근이 허가되기 전에, eUPF(130)로 보안 컨텐츠 서버의 DNS 쿼리를 전송한다(S210). 보안 컨텐츠 서버의 IP 주소는 eDNS 레코드에만 저장되어 있다고 가정하고, 미인증 상태의 사용자 단말(300)을 위해서는 DNS 서버로서 CG DNS(20)가 할당되어 있다고 가정한다.Referring to FIG. 5 , the
eUPF(130)는 사용자 단말(300)의 DNS 쿼리를 중앙의 CG DNS(20)로 포워딩하고, DNS 쿼리에 대한 룩업을 요청한다(S212). 사용자 단말(300)은 eNAC(110)에 의해 인증되지 않은 상태이므로, eUPF(130)에 사용자 단말(300)의 DNS 쿼리를 eDNS(150)로 라우팅하는 라우팅 정책이 등록되어 있지 않다. 따라서, eUPF(130)는 미인증 단말에서요 요청된 DNS 쿼리를 CG DNS(20)로 포워딩한다.The
CG DNS(20)는 DNS 쿼리된 보안 컨텐츠 서버(500)의 IP 주소를 저장하지 않으므로, 도메인 룩업에 실패하고, 사용자 단말(300)로 룩업 실패 응답을 전송한다(S214). 룩업 실패 응답은 시간 초과(timeout) 응답 또는 차단 메시지를 전달하는 웹서버 주소 응답일 수 있다. 이를 통해, MEC 시스템(100)은 네트워크 접근이 미허가된 사용자 단말이 보안 컨텐츠 서버에 접근하는 것을 차단할 수 있다.Since the
이후에, eNAC(110)가 출입 허가된 사용자의 위치 컨텍스트를 기초로 사용자 단말(300)을 인증하면(S220), NEF-GW(120)로 인증된 사용자 단말(300)의 IP 정보를 전달하고(S222), NEF-GW(120)가 eUPF(130)로 사용자 단말(300)의 DNS 쿼리를 eDNS(150)로 라우팅하는 라우팅 정책을 전달하면(S224), eUPF(130)가 사용자 단말(300)의 DNS 쿼리 라우팅 정책을 라우팅 테이블에 등록한다(S226). 예를 들면, 라우팅 정책은 인증된 사용자 단말(300)의 IP 정보(Source IP), DNS 통신 포트 정보(TCP/UDP 53번), 그리고 eDNS IP 정보(Destination IP)를 포함할 수 있다.Thereafter, when the
인증된 사용자 단말(300)이 eUPF(130)로 보안 컨텐츠 서버의 DNS 쿼리를 전송한다(S230). The authenticated
eUPF(130)는 라우팅 테이블을 기초로, 인증된 사용자 단말(300)의 DNS 쿼리를 목적지인 eDNS(150)로 전송한다(S232).The
eDNS(150)는 DNS 쿼리된 보안 컨텐츠 서버(500)의 IP 주소를 eDNS 레코드에서 룩업 성공하고, 사용자 단말(300)로 룩업한 보안 컨텐츠 서버의 IP 주소를 전송한다(S234).The
사용자 단말(300)은 획득한 IP 주소로 보안 컨텐츠 서버(500)에 접속하고, eUPF(130)를 통해 보안 컨텐츠 서버(500)에서 제공하는 보안 컨텐츠를 이용한다(S240).The
사용자 단말(300)이 eUPF(130)로 유해 컨텐츠 서버(600)의 DNS 쿼리를 전송할 수 있다(S250). 유해 컨텐츠 서버(600)는 eDNS 레코드에 접근 차단 도메인으로 저장되어 있다고 가정한다.The
eUPF(130)는 라우팅 테이블을 기초로, 인증된 사용자 단말(300)의 DNS 쿼리를 eDNS(150)로 전송한다(S252).The
eDNS(150)는 DNS 쿼리된 유해 컨텐츠 서버(600)가 eDNS 레코드에서 접근 차단 도메인으로 등록되어 있으므로, 도메인 룩업에 실패하고, 사용자 단말(300)로 룩업 실패 응답을 전송한다(S254). 이를 통해, MEC 시스템(100)은 네트워크 접근이 허가된 사용자 단말이 유해 컨텐츠 서버에 접근하는 것을 차단할 수 있다.Since the DNS-queried
도 6은 한 실시예에 따른 eDPI 기반 컨텐츠 접근 제어를 설명하는 도면이고, 도 7은 한 실시예에 따른 eDPI 기반 컨텐츠 접근 제어 방법의 흐름도이다.6 is a diagram for explaining eDPI-based content access control according to an embodiment, and FIG. 7 is a flowchart of an eDPI-based content access control method according to an embodiment.
도 6을 참고하면, eNAC(110)는 관리자로부터 접근 차단/접근 승인 도메인 정보를 입력받고, 도메인 정보 기초로 생성한 패킷 필터 규칙을 NEF-GW(120)를 통해 eDPI(160)에 등록할 수 있다. 도메인 정보는 접근 차단/접근 승인 도메인 네임, URL, IP 주소, 포트 등을 포함할 수 있다. Referring to FIG. 6 , the
또한, NEF-GW(120)는 NEF(16)로부터 접근 차단/접근 승인을 위한 패킷 필터 규칙을 수신하고, eDPI(160)에 등록할 수 있다. 코어망에서 관리하는 유해 사이트 데이터베이스(Malicious URL DB)의 접근 차단/접근 승인 도메인 정보를 기초로 패킷 필터 규칙이 생성될 수 있다. In addition, the NEF-
NEF-GW(120)는 eNAC(110)로부터 사용자 단말(300)의 식별 정보(IP 정보 또는 IMSI)를 수신하고, 인증된 사용자 단말(300)에 대한 패킷 필터 규칙을 eDPI(160)에 등록할 수 있다. The NEF-
eDPI(160)는 NEF-GW(120)를 통해 등록된 패킷 필터 규칙을 통해, 컨텐츠 접근 제어를 한다. 패킷 필터 규칙은 사용자가 웹서비스를 사용하는데 매우 중요한 정보이므로, 각 응용 또는 장치가 직접 레코드 업데이트를 할 수 없고, NEF-GW(120)를 통해서만 업데이트/이력관리를 할 수 있도록 설정될 수 있다. The
eDPI(160)는 패킷 필터 규칙을 기초로, 사용자 단말(300)에서 접근 승인된 보안 컨텐츠 서버로 발신된 트래픽을 통과시키고, 사용자 단말(300)에서 접근 차단된 유해 컨텐츠 서버로 발신된 트래픽을 차단한다. The
도 7을 참고하면, eDPI(160)는 접근 차단/접근 승인 도메인으로의 패킷 필터링을 위한 패킷 필터 규칙을 등록한다(S310). 패킷 필터 규칙은 네트워크 접근 허가된 사용자 단말에서 접근 승인된 보안 컨텐츠 서버로 향하는 트래픽을 통과시키고, 접근 차단된 유해 컨텐츠 서버로 향하는 트래픽을 차단하는 규칙으로서, 패킷에서 확인할 수 있는 출발지 주소, 목적지 주소, 포트 정보, URL 등으로 구성될 수 있다.Referring to FIG. 7 , the
eNAC(110)가 출입 허가된 사용자의 위치 컨텍스트를 기초로 사용자 단말(300)을 인증하고(S320), NEF-GW(120)로 인증된 사용자 단말(300)의 식별 정보를 전달하고(S322), NEF-GW(120)가 eDPI(160)로 인증된 사용자 단말(300)에 대한 패킷 필터 규칙을 전달하면(S324), eDPI(160)가 패킷 필터 규칙을 등록한다(S326).The
인증된 사용자 단말(300)이 사용자 플레인을 통해 보안 컨텐츠 서버(500)로 향하는 트래픽을 전송한다(S330). 트래픽을 수신한 eUPF(130)는 eDPI(160)로 사용자 단말(300)의 트래픽을 전달한다(S332). eDPI(160)는 패킷 필터 규칙을 기초로, 접근 요청을 통과시킬지 판단하고 인증된 사용자 단말(300)에서 보안 컨텐츠 서버(500)로 향하는 트래픽을 통과시킨다(S334). 이를 통해, 사용자 단말(300)은 보안 컨텐츠 서버(500)에 접속하고, eUPF(130)를 통해 보안 컨텐츠 서버(500)에서 제공하는 보안 컨텐츠를 이용할 수 있다.The authenticated
한편, 사용자 단말(300)이 사용자 플레인을 통해 유해 컨텐츠 서버(600)로 향하는 트래픽을 전송할 수 있다(S340). 트래픽을 수신한 eUPF(130)는 eDPI(160)로 사용자 단말(300)의 트래픽을 전달한다(S342). eDPI(160)는 패킷 필터 규칙을 기초로, 인증된 사용자 단말(300)에서 접근 차단된 유해 컨텐츠 서버(600)로 향하는 트래픽을 차단하고, 사용자 단말(300)로 전송 실패 응답을 전송한다(S344). 전송 실패 응답은 시간 초과(timeout) 응답 또는 차단 메시지를 전달하는 웹서버 주소 응답일 수 있다.Meanwhile, the
이를 통해, MEC 시스템(100)은 네트워크 접근이 허가된 사용자 단말이 유해 컨텐츠 서버에 접근하는 것을 차단할 수 있다.Through this, the
도 8은 한 실시예에 따른 MEC 시스템의 하드웨어 구성도이다.8 is a hardware configuration diagram of an MEC system according to an embodiment.
도 8을 참고하면, MEC 시스템(100)의 하드웨어 장치(170)는 적어도 하나의 프로세서(171), 메모리(173), 저장 장치(175), 네트워크 인터페이스(177)를 포함할 수 있고, 버스를 통해 연결될 수 있다. 이외에도 입력 장치 및 출력 장치 등의 하드웨어가 포함될 수 있다. 하드웨어 장치(170)에 의해 제공되는 물리적인 컴퓨팅 자원은 가상화될 수 있다.Referring to FIG. 8 , the
프로세서(171)는 컴퓨팅 장치의 동작을 제어하는 장치로서, 컴퓨터 프로그램에 포함된 명령들을 처리하는 다양한 형태의 프로세서일 수 있고, 예를 들면, CPU(Central Processing Unit), MPU(Micro Processor Unit), MCU(Micro Controller Unit), GPU(Graphic Processing Unit) 등 일 수 있다. 또한, 프로세서(171)는 위에서 설명한 방법을 실행하기 위한 컴퓨터 프로그램에 대한 연산을 수행할 수 있다.The
메모리(173)는 각종 데이터, 명령 및/또는 정보를 저장한다. 메모리(173)는 본 개시의 동작을 실행하도록 기술된 명령어들이 프로세서(171)에 의해 처리되도록 해당 컴퓨터 프로그램을 저장 장치(175)로부터 로드할 수 있다. 메모리(173)는 예를 들면, ROM(read only memory), RAM(random access memory) 등 일 수 있다. The
저장 장치(175)는 본 개시의 동작을 실행하는데 요구되는 각종 데이터, 컴퓨터 프로그램 등을 저장할 수 있다. 저장 장치(175)는 컴퓨터 프로그램을 비임시적으로 저장할 수 있다. 저장 장치(175)는 비휘발성 메모리로 구현될 수 있다. The
네트워크 인터페이스(177)는 유/무선 통신 모듈일 수 있다.The
하드웨어 장치(170)는 운영 체제를 비롯한 각종 소프트웨어, 컴퓨터 프로그램들을 탑재하고, 이를 실행할 수 있다. 도 2에서 설명한 다양한 MEC 모듈들은 하드웨어 장치(170)에 의해 실행되는데, 가상화된 컴퓨팅 자원을 이용하여 실행될 수 있다. 각 MEC 모듈을 위한 가상 컴퓨팅 자원은 각 MEC 모듈에 포함된 명령어들을 실행하여 해당 MEC 모듈의 기능을 제공한다. 한편, MEC 모듈들 각각은 독립적인 프로세서 및 메모리를 포함하는 컴퓨팅 장치로 구현될 수 있다.The
이와 같이, MEC 시스템(100)은 NEF(16)로부터 제공되는 사용자 단말의 위치 컨텍스트를 이용하여 사용자 단말을 인증할 수 있고, 또한 위치 컨텍스트와 함께 다양한 종류의 사용자 출입 통제 정보를 결합한 다차원 인증을 통해 사용자 단말 인증의 보안성을 높일 수 있다.As such, the
MEC 시스템(100)은 인증된 사용자 단말의 보안 컨텐츠 서버로의 접근을 허가하고, 유해 컨텐츠 서버로의 접근을 차단할 수 있다. The
본 개시에 따르면, MEC 시스템에 구축된 다양한 기능 모듈들 중에서 eNAC(110)에서만 NEF-GW(120)에 접근하도록 제한할 수 있어서, MEC 시스템(100)에 구축된 다양한 하위 기능 모듈들을 폐쇄적으로 운영하면서, 기능 모듈들 사이에서 전달되는 데이터의 보안을 강화할 수 있다.According to the present disclosure, it is possible to restrict access to the NEF-
본 개시에 따르면, 관리자가 MEC 시스템(100)을 이용할 수 있는 사용자 목록, 사용자 권한 정보, 인증 정책, 접근 차단/접근 승인할 도메인 정보를 상황별로 설정할 수 있고, 상황별로 사용자 단말 인증 및 컨텐츠 접근을 직접 제어할 수 있어서, 다양한 서비스 환경에 적합한 MEC 시스템(100)을 제공할 수 있다. According to the present disclosure, an administrator can set a list of users who can use the
MEC 시스템(100)에 구축된 다양한 기능들의 MEC 응용을 선택하여 서비스 환경에 적응시킬 수 있고, 기업 전용 네트워크, 캠퍼스 전용 네트워크, 거주민 전용 네트워크 등과 같이 다양한 형태의 에지 네트워크를 제공할 수 있다.The MEC application of various functions built in the
MEC 시스템(100)은 다음과 같이 다양한 서비스를 제공할 수 있다. The
대부분의 출입 통제 장치는 출입구에 설치된 RFID 태그 게이트 또는 얼굴 인식 기반 게이트가 전부일 수 있다. 그러면, 사이트 내부에서 층별 또는 공간별로 세부적인 네트워크 접근 제어가 불가능하다. 하지만 MEC 시스템(100)을 이용하는 경우, 각 층이나 각 공간에 설치된 MEC-RAN(200)을 통해 사용자 단말의 위치를 세밀하게 추적할 수 있고, 사용자 단말의 위치 및 이동 패턴을 통해 네트워크 접근할 수 있는 사용자 단말 인증 절차를 강화할 수 있습니다. Most access control devices may be all RFID tag gates or face recognition-based gates installed at the entrance. Then, detailed network access control for each floor or space within the site is impossible. However, when using the
아파트와 같은 공동 주택에서 MEC 시스템(100)을 이용하는 경우, 거주민은 아파트 출입과 동시에 유해 컨텐츠 서버로의 접근이 차단되어 청정 인터넷 환경을 제공받을 수 있고, 거주민을 위한 전용 네트워크 서비스를 제공받을 수 있다. When the
공유 오피스 사이트에서 MEC 시스템(100)을 이용하는 경우, 설치된 출입 통제 장치와 연동하는 출입 통제 솔루션(140)을 통해 기존 출입 통제 장치를 이용할 수 있는 2차 인증을 제공할 수 있고, 다양한 소속의 사용자 단말들이 동일한 MEC-RAN(200)에 접속하더라도, 출입자에 매핑된 기업 전용 네트워크로의 접속을 허가할 수 있다.When the
이상에서 설명한 본 개시의 실시예는 장치 및 방법을 통해서만 구현이 되는 것은 아니며, 본 개시의 실시예의 구성에 대응하는 기능을 실현하는 프로그램 또는 그 프로그램이 기록된 기록 매체를 통해 구현될 수도 있다.The embodiment of the present disclosure described above is not implemented only through the apparatus and method, and may be implemented through a program for realizing a function corresponding to the configuration of the embodiment of the present disclosure or a recording medium in which the program is recorded.
이상에서 본 개시의 실시예에 대하여 상세하게 설명하였지만 본 개시의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 개시의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 개시의 권리범위에 속하는 것이다.Although the embodiments of the present disclosure have been described in detail above, the scope of the present disclosure is not limited thereto, and various modifications and improved forms of the present disclosure are also provided by those skilled in the art using the basic concept of the present disclosure as defined in the following claims. is within the scope of the right.
Claims (19)
에지 컴퓨팅 서비스를 이용하는 사용자 목록 그리고 상기 사용자 목록에 포함된 사용자별 네트워크 접근 허용 위치 범위를 포함하는 사용자 권한 정보를 입력받는 단계,
코어망의 네트워크 노출 기능(Network Exposure Function, NEF) 장치로, 상기 사용자 목록에 포함된 사용자 단말들의 위치 컨텍스트를 요청하는 단계,
상기 NEF 장치로부터 수신한 특정 사용자 단말의 위치 컨텍스트가 상기 사용자 권한 정보에 해당하는 경우, 상기 특정 사용자 단말을 상기 에지 컴퓨팅 서비스를 이용할 수 있는 단말로 인증하는 단계를 포함하고,
상기 특정 사용자 단말의 위치 텍스트는 상기 특정 사용자 단말이 접속한 무선망에서 상기 NEF 장치로 전송되는 위치 데이터를 기초로 생성되는, 동작 방법.A method of operating an edge computing system operated by at least one processor, comprising:
receiving user authorization information including a list of users using an edge computing service and a range of network access permitted locations for each user included in the user list;
A network exposure function (NEF) device of the core network, requesting the location context of the user terminals included in the user list;
When the location context of the specific user terminal received from the NEF device corresponds to the user right information, authenticating the specific user terminal as a terminal capable of using the edge computing service,
The location text of the specific user terminal is generated based on the location data transmitted to the NEF device in the wireless network to which the specific user terminal is connected, the operating method.
상기 인증하는 단계는
출입 통제 장치에서 입력된 정보를 기초로 상기 특정 사용자 단말에 관계된 사용자의 출입이 허가되고, 상기 특정 사용자 단말의 위치 컨텍스트가 상기 사용자 권한 정보에 해당하는 경우, 상기 특정 사용자 단말을 인증하는, 동작 방법.In claim 1,
The authentication step is
When access of a user related to the specific user terminal is permitted based on the information input from the access control device and the location context of the specific user terminal corresponds to the user authorization information, the method of authenticating the specific user terminal .
상기 출입 통제 장치에서 입력된 정보는 신분증 정보, 얼굴 인식 정보, 그리고 지문 인식 정보 중 적어도 하나를 포함하는 동작 방법.In claim 2,
The information input from the access control device includes at least one of identification information, face recognition information, and fingerprint recognition information.
상기 사용자 권한 정보는
상기 사용자 목록에 포함된 사용자별 네트워크 접근 허용 시간 범위를 더 포함하는, 동작 방법.In claim 1,
The user rights information is
Further comprising a network access allowed time range for each user included in the user list, the operating method.
상기 에지 컴퓨팅 시스템에 의해 의해 제공되는 컨텐츠 서버의 IP 주소를 저장하는 단계, 그리고
인증된 상기 특정 사용자 단말로부터 상기 컨텐츠 서버에 대한 DNS 쿼리를 수신하면, 상기 eDNS 레코드에 저장된 상기 컨텐츠 서버의 IP 주소를 상기 특정 사용자 단말에게 전달하는 단계
를 더 포함하는, 동작 방법.In claim 1,
storing the IP address of a content server provided by the edge computing system; and
When receiving a DNS query for the content server from the authenticated specific user terminal, transmitting the IP address of the content server stored in the eDNS record to the specific user terminal
Further comprising, the method of operation.
상기 에지 컴퓨팅 시스템에 의해 의해 차단되는 컨텐츠 서버의 도메인 네임을 저장하는 단계, 그리고
인증된 상기 특정 사용자 단말로부터 상기 컨텐츠 서버에 대한 DNS 쿼리를 수신하면, 상기 특정 사용자 단말에게 룩업 실패 응답을 전달하는 단계
를 더 포함하는, 동작 방법.In claim 1,
storing the domain name of the content server blocked by the edge computing system; and
When receiving a DNS query for the content server from the authenticated specific user terminal, forwarding a lookup failure response to the specific user terminal
Further comprising, the method of operation.
인증된 상기 특정 사용자 단말의 식별 정보, 그리고 접근 차단 및/또는 접근 승인 도메인 정보를 패킷 필터 규칙으로 등록하는 단계, 그리고
상기 패킷 필터 규칙을 기초로 상기 특정 사용자 단말의 트래픽을 통과시키거나 차단하는 단계
를 더 포함하는, 동작 방법.In claim 1,
Registering the authenticated identification information of the specific user terminal, and access blocking and/or access approval domain information as a packet filter rule, and
Passing or blocking the traffic of the specific user terminal based on the packet filter rule
Further comprising, the method of operation.
적어도 하나의 프로세서에 의해 실행되는 복수의 모듈들을 포함하고,
상기 복수의 모듈들은
코어망의 네트워크 노출 기능(Network Exposure Function, NEF) 장치와 연동하여 사용자 단말들의 위치 컨텍스트를 획득하는 NEF-GW(Gateway) 모듈,
에지 컴퓨팅 서비스를 이용하는 사용자 목록 그리고 상기 사용자 목록에 포함된 사용자별 네트워크 접근 허용 위치 범위를 포함하는 사용자 권한 정보를 저장하고, 상기 NEF-GW 모듈로부터 특정 사용자 단말의 위치 컨텍스트를 획득하며, 상기 특정 사용자 단말의 위치 컨텍스트가 상기 사용자 권한 정보에 해당하는 경우, 상기 특정 사용자 단말을 상기 에지 컴퓨팅 서비스를 이용할 수 있는 단말로 인증하는 에지 네트워크 접근 제어(Edge Network Access Control, eNAC) 모듈, 그리고
인증된 상기 특정 사용자 단말의 트래픽을 상기 코어망의 에지에서 처리하는 에지 사용자 플레인 기능(Edge User plan function, eUPF) 모듈
을 포함하는 에지 컴퓨팅 시스템.An edge computing system comprising:
a plurality of modules executed by at least one processor;
The plurality of modules
NEF-GW (Gateway) module to obtain the location context of user terminals in conjunction with the network exposure function (NEF) device of the core network,
Stores user authorization information including a list of users using edge computing service and a network access permitted location range for each user included in the user list, obtains the location context of a specific user terminal from the NEF-GW module, and the specific user When the location context of the terminal corresponds to the user right information, an edge network access control (eNAC) module for authenticating the specific user terminal as a terminal capable of using the edge computing service (Edge Network Access Control, eNAC) module, and
An edge user plan function (eUPF) module that processes the authenticated traffic of the specific user terminal at the edge of the core network
An edge computing system comprising a.
출입 통제 장치에서 입력된 정보를 기초로 사용자의 출입을 허가하는 출입 통제 솔루션 모듈을 더 포함하고,
상기 eNAC 모듈은
상기 출입 통제 솔루션 모듈로부터 출입 허가된 사용자 정보를 수신하면, 상기 출입 허가된 사용자 정보에 해당하는 위치 컨텍스트를 상기 NEF-GW 모듈로 질의하여, 상기 특정 사용자 단말의 위치 컨텍스트를 획득하는, 에지 컴퓨팅 시스템.In claim 8,
Further comprising an access control solution module that permits the user's access based on the information input from the access control device,
The eNAC module is
Upon receiving the access-permitted user information from the access control solution module, query the NEF-GW module for a location context corresponding to the access-permitted user information to obtain the location context of the specific user terminal, an edge computing system .
상기 출입 통제 장치에서 입력된 정보는 신분증 정보, 얼굴 인식 정보, 그리고 지문 인식 정보 중 적어도 하나를 포함하는 에지 컴퓨팅 시스템.In claim 9,
The information input from the access control device is an edge computing system including at least one of identification information, face recognition information, and fingerprint recognition information.
접근 차단 및/또는 접근 승인 도메인 정보, 그리고 접근 승인 도메인들의 IP 주소를 eDNS 레코드에 저장하고, 상기 eUPF 모듈로부터 요청된 DNS 쿼리에 응답하는 eDNS(edge Domain Name Server) 모듈
을 더 포함하는, 에지 컴퓨팅 시스템.In claim 8,
An edge Domain Name Server (eDNS) module that stores access blocking and/or access authorization domain information, and IP addresses of access authorization domains in an eDNS record, and responds to a DNS query requested from the eUPF module
Further comprising, an edge computing system.
상기 eDNS 모듈은
상기 NEF-GW 모듈을 통해, 상기 eNAC 모듈에 등록된 접근 차단 및/또는 접근 승인 도메인 정보, 그리고 코어망에서 관리하는 유해 사이트 데이터베이스로부터 전달된 접근 차단 및/또는 접근 승인 도메인 정보를 입력받는, 에지 컴퓨팅 시스템.In claim 11,
The eDNS module is
Through the NEF-GW module, the access blocking and / or access authorization domain information registered in the eNAC module, and receiving the access blocking and / or access authorization domain information transmitted from the harmful site database managed by the core network, edge computing system.
상기 eDNS 모듈은
상기 eUPF 모듈로부터, 접근 승인 도메인에 대한 DNS 쿼리를 수신하면, 상기 eDNS 레코드에 저장된 해당 접근 승인 도메인의 IP 주소를 포함하는 룩업 결과를 응답하는, 에지 컴퓨팅 시스템.In claim 11,
The eDNS module is
When receiving a DNS query for an access authorization domain from the eUPF module, the edge computing system responds to a lookup result including the IP address of the corresponding access authorization domain stored in the eDNS record.
상기 eDNS 모듈은
상기 eUPF 모듈로부터, 접근 차단 도메인에 대한 DNS 쿼리를 수신하면, 룩업 실패를 응답하는, 에지 컴퓨팅 시스템.In claim 11,
The eDNS module is
When receiving a DNS query for an access blocking domain from the eUPF module, responding to a lookup failure.
상기 eNAC 모듈은
인증된 상기 특정 사용자 단말의 IP 정보를 상기 NEF-GW 모듈로 전달하고,
상기 NEF-GW 모듈은
상기 특정 사용자 단말의 IP 정보를 기초로, 상기 특정 사용자 단말의 DNS 쿼리를 상기 eDNS 모듈로 전달하는 라우팅 정책을 생성하고, 상기 라우팅 정책을 상기 eUPF 모듈로 전송하며,
상기 eUPF 모듈은
상기 라우팅 정책을 라우팅 테이블에 등록하는, 에지 컴퓨팅 시스템.In claim 11,
The eNAC module is
Transmitting the authenticated IP information of the specific user terminal to the NEF-GW module,
The NEF-GW module is
based on the IP information of the specific user terminal, generate a routing policy for forwarding the DNS query of the specific user terminal to the eDNS module, and transmit the routing policy to the eUPF module;
The eUPF module is
and registering the routing policy in a routing table.
상기 eUPF 모듈은
상기 라우팅 테이블에 등록된 사용자 단말의 제1 DNS 쿼리를 수신하면, 상기 eDNS 모듈로 상기 제1 DNS 쿼리를 전달하고, 상기 라우팅 테이블에 미등록된 사용자 단말의 제2 DNS 쿼리를 수신하면, 중앙의 DNS로 상기 제2 DNS 쿼리를 전달하는, 에지 컴퓨팅 시스템.In claim 15,
The eUPF module is
Upon receiving the first DNS query of the user terminal registered in the routing table, the first DNS query is transmitted to the eDNS module, and upon receiving the second DNS query of the user terminal not registered in the routing table, the central DNS forwarding the second DNS query to
인증된 상기 특정 사용자 단말의 식별 정보, 그리고 접근 차단 및/또는 접근 승인 도메인 정보를 패킷 필터 규칙으로 등록하고, 상기 eUPF 모듈로부터 전달된 트래픽을 상기 패킷 필터 규칙에 따라 차단 또는 통과시키는 eDPI(edge Deep Packet Inspection) 모듈
을 더 포함하는, 에지 컴퓨팅 시스템.In claim 8,
Edge Deep (eDPI) that registers the authenticated identification information of the specific user terminal and access blocking and/or access approval domain information as a packet filter rule, and blocks or passes the traffic transmitted from the eUPF module according to the packet filter rule Packet Inspection) module
Further comprising, an edge computing system.
상기 NEF-GW 모듈은
상기 eNAC 모듈로부터 상기 특정 사용자 단말의 식별 정보를 수신하고, 상기 특정 사용자 단말의 식별 정보에 대한 패킷 필터 규칙을 상기 eDPI 모듈로 전달하는, 에지 컴퓨팅 시스템.In claim 17,
The NEF-GW module is
Receives identification information of the specific user terminal from the eNAC module, and transmits a packet filter rule for the identification information of the specific user terminal to the eDPI module.
상기 NEF-GW 모듈은
상기 eNAC 모듈에 등록된 접근 차단 및/또는 접근 승인 도메인 정보, 그리고 코어망에서 관리하는 유해 사이트 데이터베이스로부터 전달된 접근 차단 및/또는 접근 승인 도메인 정보를 기초로 패킷 필터 규칙을 생성하고, 생성한 패킷 필터 규칙을 상기 eDPI 모듈로 전달하는, 에지 컴퓨팅 시스템.
In claim 17,
The NEF-GW module is
A packet filter rule is created based on the access blocking and/or access approval domain information registered in the eNAC module, and the access blocking and/or access approval domain information transmitted from the harmful site database managed by the core network, and the generated packet passing filter rules to the eDPI module.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020210024956A KR20220121045A (en) | 2021-02-24 | 2021-02-24 | Edge computing system and method for controlling network access thereof |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020210024956A KR20220121045A (en) | 2021-02-24 | 2021-02-24 | Edge computing system and method for controlling network access thereof |
Publications (1)
Publication Number | Publication Date |
---|---|
KR20220121045A true KR20220121045A (en) | 2022-08-31 |
Family
ID=83061798
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020210024956A KR20220121045A (en) | 2021-02-24 | 2021-02-24 | Edge computing system and method for controlling network access thereof |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR20220121045A (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2024037719A1 (en) * | 2022-08-17 | 2024-02-22 | Huawei Technologies Co., Ltd. | Network entity for routing application data towards a user equipment |
-
2021
- 2021-02-24 KR KR1020210024956A patent/KR20220121045A/en active Search and Examination
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2024037719A1 (en) * | 2022-08-17 | 2024-02-22 | Huawei Technologies Co., Ltd. | Network entity for routing application data towards a user equipment |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11063928B2 (en) | System and method for transferring device identifying information | |
US9197639B2 (en) | Method for sharing data of device in M2M communication and system therefor | |
CN110324287A (en) | Access authentication method, device and server | |
US20040022258A1 (en) | System for providing access control platform service for private networks | |
US9730061B2 (en) | Network authentication | |
CN102739664B (en) | Improve the method and apparatus of safety of network ID authentication | |
FI128171B (en) | Network authentication | |
CN106790251B (en) | User access method and user access system | |
CN114928460A (en) | Multi-tenant application integration framework system based on micro-service architecture | |
CN108449364A (en) | A kind of distributed identity authentication method and cloud certification node | |
CN115664693A (en) | Resource access system, method, electronic device, and storage medium | |
CN116260656B (en) | Main body trusted authentication method and system in zero trust network based on blockchain | |
KR20220121045A (en) | Edge computing system and method for controlling network access thereof | |
US20230370465A1 (en) | Borrower privacy enhancement for shared-line solutions | |
KR20100060130A (en) | System for protecting private information and method thereof | |
CN113037736A (en) | Authentication method, device, system and computer storage medium | |
CN111416815B (en) | Message processing method, electronic device and storage medium | |
KR102556976B1 (en) | Apparatus and Method for Controlling Hierarchical Connection based on Token | |
Sinha et al. | Authorization secured dynamic privileged escalation | |
KR20220121320A (en) | System for authenticating user and device totally and method thereof | |
KR102362320B1 (en) | System and method for communicating of network address mutation on dynamic network security | |
KR102664208B1 (en) | Service providing method based on user network profile | |
WO2023216083A1 (en) | Authentication method and apparatus, and medium and chip | |
WO2024061207A1 (en) | User-level data management method and apparatus, communication device, and readable storage medium | |
CN117278275A (en) | Access right adjustment method, device and storage medium |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination |