KR101116780B1 - Method and system for blocking traffic of mobile terminal - Google Patents

Method and system for blocking traffic of mobile terminal Download PDF

Info

Publication number
KR101116780B1
KR101116780B1 KR1020110078677A KR20110078677A KR101116780B1 KR 101116780 B1 KR101116780 B1 KR 101116780B1 KR 1020110078677 A KR1020110078677 A KR 1020110078677A KR 20110078677 A KR20110078677 A KR 20110078677A KR 101116780 B1 KR101116780 B1 KR 101116780B1
Authority
KR
South Korea
Prior art keywords
traffic
mobile communication
blocking
communication terminal
identifier
Prior art date
Application number
KR1020110078677A
Other languages
Korean (ko)
Inventor
박형배
이윤석
Original Assignee
플러스기술주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 플러스기술주식회사 filed Critical 플러스기술주식회사
Priority to KR1020110078677A priority Critical patent/KR101116780B1/en
Application granted granted Critical
Publication of KR101116780B1 publication Critical patent/KR101116780B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation

Abstract

PURPOSE: A mobile communications terminal traffic blocking method and a system thereof are provided to maintain the security of entrepreneurs, public offices, or the military by blocking the data communication. CONSTITUTION: A traffic mirroring unit mirrors network traffic(S120). An traffic information extracting unit extracts an address of a destination server in mirrored traffic(S130). The traffic information extracting unit searches identifiers of a mobile telecommunications terminal and a base station(S140). A traffic blocking unit searches a blocking policy according to the identifiers(S150). When the mirrored traffic is a target for blocking, the traffic blocking unit transmits a blocking traffic to the mobile terminal(S160,S170).

Description

이동통신 단말기의 트래픽 차단 방법 및 시스템{METHOD AND SYSTEM FOR BLOCKING TRAFFIC OF MOBILE TERMINAL}METHOD AND SYSTEM FOR BLOCKING TRAFFIC OF MOBILE TERMINAL}

본 발명은 이동통신 단말기의 트래픽 차단 방법 및 시스템에 관한 것으로, 보다 상세하게는 이동통신 단말기가 미리 설정된 차단 정책에 위배되어 데이터 통신을 시도하는 경우 이동통신 단말기의 트래픽을 차단하는 방법 및 시스템에 관한 것이다.The present invention relates to a method and system for blocking traffic of a mobile communication terminal, and more particularly, to a method and system for blocking traffic of a mobile communication terminal when the mobile communication terminal attempts data communication in violation of a preset blocking policy. will be.

기업, 관공서 또는 군부대와 같이 업무상 보안이 필요한 곳에서는 보안을 유지하기 위하여 인터넷 접속을 제한할 필요가 있고, 또한 사용자들의 무분별한 인터넷 사용으로 인한 업무 효율 저하를 방지하기 위해서도 업무 외적인 인터넷 접속을 제한할 필요가 있었다.Where business security is required, such as in corporations, government offices or military units, it is necessary to restrict Internet access in order to maintain security, and also to restrict non-business Internet access in order to prevent users from reducing efficiency due to indiscriminate use of the Internet. There was.

이러한 필요성에 의해, 유선망에 대한 인터넷 접속관리 솔루션이 개발되어 사용되고 있다. 유선망에 대한 인터넷 접속관리 솔루션은 기업 등의 내부 네트워크에 설치하여 기업 외부로 전송되는 트래픽을 분석하여 선별적으로 트래픽을 허용/차단하여 업무의 효율성 및 생산성을 향상시키고 기업 등의 내부 정보의 유출을 방지하였다.Due to this need, an internet access management solution for wired networks has been developed and used. Internet access management solution for wired network is installed in the internal network of the company to analyze the traffic sent to the outside of the company to selectively allow / block the traffic to improve work efficiency and productivity and to prevent the leakage of internal information of the company. Prevented.

최근에 PDA, 스마트폰, 태블릿 PC 등의 보급이 대중화되면서, 이동통신을 이용한 인터넷 접속량이 크게 늘어나고 있다. 그러나, 기존의 유선망에 대한 인터넷 접속관리 솔루션은 유선망에 대한 트래픽만을 차단할 수 있기 때문에 이동통신 시스템을 이용한 이동통신 단말의 인터넷 접속은 차단할 수 없는 단점이 있다.Recently, with the spread of PDAs, smart phones, tablet PCs, and the like, the amount of Internet access using mobile communication has increased significantly. However, the conventional Internet access management solution for the wired network can block only the traffic on the wired network, there is a disadvantage that can not block the Internet access of the mobile communication terminal using the mobile communication system.

본 발명이 해결하려는 과제는 이동통신 단말기의 데이터 통신을 차단하여 기업이나 관공서, 군부대 등의 보안을 유지할 수 있게 하고, 업무효율 저하를 방지할 수 있는 이동통신 단말기의 트래픽 차단 방법 및 시스템을 제공하는 데에 있다.The problem to be solved by the present invention is to block the data communication of the mobile communication terminal to maintain the security of enterprises, government offices, military units, etc., and to provide a method and system for blocking traffic of the mobile communication terminal that can prevent a decrease in work efficiency There is.

또한, 본 발명이 해결하려는 과제는 이동통신 시스템의 트래픽을 차단하지 않는 경우에 데이터 통신의 성능을 저하시키지 않는 이동통신 단말기의 트래픽 차단 방법 및 시스템을 제공하는 데에 있다.Another object of the present invention is to provide a traffic blocking method and system for a mobile communication terminal that does not degrade the performance of data communication when the traffic of the mobile communication system is not blocked.

상기 과제를 해결하기 위한 본 발명의 이동통신 단말기의 트래픽 차단 방법의 일 태양은 이동통신 시스템을 이용하여 데이터를 송수신하는 이동통신 단말기의 트래픽 차단 방법에 있어서, 패킷교환 핵심망에서 외부 네트워크로 전송되는 트래픽을 미러링하는 미러링단계, 상기 미러링된 트래픽에 포함된 이동통신 단말기의 IP 주소를 추출하고, 추출된 IP 주소를 이용하여 트래픽을 전송한 이동통신 단말기의 식별자 및 상기 트래픽을 전송한 이동통신 단말기에 무선접속 서비스를 제공하는 기지국의 식별자를 검색하는 IP 할당정보 검색 단계, 상기 검색된 이동통신 단말기의 식별자 및 기지국의 식별자를 차단정책 데이터베이스에 저장된 차단정책과 비교하여 상기 미러링된 트래픽의 차단여부를 판단하는 차단여부 판단 단계, 및 상기 미러링된 트래픽이 차단대상에 해당하는 경우, 상기 미러링된 트래픽에 응답하는 차단 트래픽을 상기 이동통신 단기말로 전송하는 트래픽 차단 단계를 포함한다.One aspect of the traffic blocking method of the mobile communication terminal of the present invention for solving the above problems is a traffic blocking method of a mobile communication terminal for transmitting and receiving data using a mobile communication system, the traffic transmitted from the packet-switched core network to the external network In the mirroring step of mirroring, extracting the IP address of the mobile communication terminal included in the mirrored traffic, wirelessly to the mobile communication terminal and the identifier of the mobile communication terminal transmitting the traffic using the extracted IP address An IP allocation information retrieval step of retrieving an identifier of a base station providing an access service; and a blocker for determining whether the mirrored traffic is blocked by comparing the retrieved identifier of the mobile communication terminal and the identifier of the base station with a blocking policy stored in a blocking policy database. Determining whether, and the mirrored traffic If the destination is blocked, and a blocked traffic and transmitting the blocked traffic in response to the mirrored traffic words, the mobile communication term.

여기에서, 상기 IP 할당정보 검색 단계는 인증서버에 상기 추출된 IP 주소에 대한 이동통신 단말기의 식별자 및 상기 이동통신 단말기에 무선접속 서비스를 제공하는 기지국의 식별자를 요청하는 단계를 포함할 수 있다.Here, the step of retrieving the IP allocation information may include requesting an identifier of a mobile communication terminal for the extracted IP address and an identifier of a base station providing a wireless access service to the mobile communication terminal.

또한, 상기 IP 할당정보 검색 단계는 인증서버로부터 새로 할당되는 IP 주소에 대한 이동통신 단말기의 식별자 및 상기 이동통신 단말기에 무선접속 서비스를 제공하는 기지국의 식별자를 수신하여 저장하고 있는 IP 할당정보 데이터베이스에서 상기 추출된 IP 주소에 대한 이동통신 단말기의 식별자 및 기지국의 식별자를 추출하는 단계를 포함할 수 있다.In the IP allocation information retrieval step, the IP allocation information database receives and stores an identifier of a mobile communication terminal for a newly allocated IP address and an identifier of a base station providing a wireless access service to the mobile communication terminal from an authentication server. The method may include extracting an identifier of the mobile communication terminal and an identifier of the base station with respect to the extracted IP address.

또한, 상기 차단여부 판단 단계는 상기 미러링된 트래픽에 포함된 목적지 서버의 주소 및 현재 시간 중 적어도 하나를 차단정책 데이터베이스에 저장된 차단정책과 비교하는 단계를 포함할 수 있다.In addition, the determining whether the blocking may include comparing the blocking policy stored in the blocking policy database with at least one of the address and the current time of the destination server included in the mirrored traffic.

또한, 상기 차단여부 판단 단계는 상기 검색된 기지국 식별자가 상기 차단정책 데이터베이스에 저장되어 있는 기지국 식별자와 대응하는지 여부를 판단하는 단계를 포함할 수 있다.In addition, the step of determining whether or not the blocking may include determining whether the searched base station identifier corresponds to the base station identifier stored in the blocking policy database.

또한, 상기 차단여부 판단 단계는 상기 검색된 기지국 식별자를 상기 차단정책 데이터베이스에 저장되어 있는 차단 지역을 관할하는 기지국의 식별자에 대응하는지 여부를 판단하는 단계를 포함할 수 있다.In addition, the determining whether or not the blocking may include determining whether the retrieved base station identifier corresponds to an identifier of a base station that manages a blocked area stored in the blocking policy database.

상기 과제를 해결하기 위한 이동통신 단말기의 트래픽 차단 시스템의 일 태양은 이동통신 단말기의 식별자, 상기 식별자의 이동통신 단말기에 대한 차단 지역을 저장하고 있는 차단정책 데이터베이스, 이동통신 시스템의 패킷교환 핵심망에서 외부 네트워크로 전송되는 트래픽을 미러링하는 트래픽 미러링부, 상기 미러링된 트래픽에 포함되어 있는 IP 주소를 추출하고, 상기 추출된 IP 주소를 이용하여 상기 IP 주소에 대응하는 이동통신 단말기의 식별자 및 상기 이동통신 단말기에 무선접속 서비스를 제공하는 기지국의 식별자를 포함하는 IP 할당 정보를 추출하는 트래픽정보 추출부, 및 상기 추출된 이동통신 단말의 식별자 및 기지국의 식별자를 차단정책 데이터베이스에 저장된 차단정책과 비교하여 상기 미러링된 트래픽의 차단여부를 판단하고, 차단대상 트래픽에 해당하는 경우에는 이동통신 단말기에 차단 트래픽을 전송하는 트래픽 차단부를 포함한다.One aspect of a traffic blocking system of a mobile communication terminal for solving the above problems is a block policy database storing an identifier of a mobile communication terminal, a blocking area for the mobile communication terminal of the identifier, and an external terminal in a packet switching core network of the mobile communication system. A traffic mirroring unit for mirroring traffic transmitted to a network, extracting an IP address included in the mirrored traffic, and using the extracted IP address, an identifier of the mobile communication terminal corresponding to the IP address and the mobile communication terminal A traffic information extracting unit for extracting IP allocation information including an identifier of a base station providing a wireless access service to the network; and comparing the extracted identifier of the mobile communication terminal and the identifier of the base station with a blocking policy stored in a blocking policy database to mirror the mirroring; Determine whether blocked traffic is blocked, If the only traffic is to include a target traffic block for transmitting the blocked traffic to the mobile terminal.

여기에서, 이동통신 시스템의 인증서버로부터 이동통신 단말기에 할당된 IP 주소, 상기 IP 주소를 할당받은 이동통신 단말기의 식별자, 상기 이동통신 단말기에 무선접속 서비스를 제공하는 기지국 식별자를 수신하고, 상기 인증서버로부터 전송받은 IP 주소, 이동통신 단말기의 식별자 및 기지국 식별자를 할당 정보를 상기 IP 할당정보 데이터베이스에 업데이트하는, IP 할당 정보 관리부를 더 포함할 수 있다.Here, an IP address assigned to the mobile communication terminal, an identifier of the mobile communication terminal assigned the IP address, a base station identifier for providing a wireless access service to the mobile communication terminal is received from the authentication server of the mobile communication system, and the authentication is performed. The apparatus may further include an IP allocation information manager configured to update allocation information in the IP allocation information database by using an IP address received from a server, an identifier of a mobile communication terminal, and a base station identifier.

또한, 상기 트래픽 차단부는 상기 미러링된 트래픽에 포함된 목적지 서버의 주소 및 현재 시간 중 적어도 하나를 상기 차단정책 데이터베이스에 저장된 차단정책과 비교하여 상기 미러링된 트래픽의 차단 여부를 판단할 수 있다.The traffic blocking unit may determine whether the mirrored traffic is blocked by comparing at least one of an address and a current time of the destination server included in the mirrored traffic with the blocking policy stored in the blocking policy database.

또한, 상기 트래픽 차단부는 상기 추출된 기지국 식별자를 상기 차단정책 데이터베이스에 저장되어 있는 기지국 식별자와 비교하여 상기 미러링된 트래픽의 차단 여부를 판단하는 것을 특징으로 하는, 이동통신 단말기의 트래픽 차단 시스템.The traffic blocking unit may be further configured to determine whether to block the mirrored traffic by comparing the extracted base station identifier with the base station identifier stored in the blocking policy database.

또한, 상기 트래픽 차단부는 상기 추출된 기지국 식별자를 상기 차단정책 데이터베이스에 저장되어 있는 차단 지역을 관할하는 기지국의 식별자와 비교하여 상기 미러링된 트래픽의 차단 여부를 판단할 수 있다.The traffic blocking unit may determine whether the mirrored traffic is blocked by comparing the extracted base station identifier with an identifier of a base station that manages a blocking area stored in the blocking policy database.

상기와 같은 본 발명은 이동통신 시스템의 데이터 통신을 차단하여 기업이나 관공서, 군부대 등의 보안을 유지할 수 있게 하고, 업무효율 저하를 방지할 수 있는 이동통신 단말기의 트래픽 차단 방법 및 시스템을 제공할 수 있다.The present invention as described above can block the data communication of the mobile communication system to maintain security of the enterprise, government offices, military units, etc., and can provide a method and system for blocking traffic of a mobile communication terminal that can prevent a decrease in work efficiency. have.

또한, 본 발명은 이동통신 시스템의 트래픽을 차단하지 않는 경우에는 데이터 통신의 성능을 전혀 저하시키지 않는 이동통신 단말기의 트래픽 차단 방법 및 시스템을 제공할 수 있다.In addition, the present invention can provide a traffic blocking method and system for a mobile communication terminal that does not degrade the performance of data communication at all when the traffic of the mobile communication system is not blocked.

도 1은 본 발명의 이동통신 단말기의 트래픽 차단 방법이 구현되는 이동통신 시스템의 구성을 나타낸 기능블록도이다.
도 2는 본 발명의 실시예에 따른 이동통신 단말기의 트래픽 차단 시스템의 구성을 나타내는 기능블록도이다.
도 3은 본 발명의 실시예에 따른 IP 할당정보 데이터베이스에 저장된 IP 할당 정보를 나타내는 예시 도면이다.
도 4는 본 발명의 실시예에 따른 차단정책 데이터베이스에 저장된 차단정책을 나타내는 예시 도면이다.
도 5는 본 발명의 실시예에 따른 이동통신 단말기의 트래픽 차단 방법의 흐름을 나타내는 흐름도이다.1 is a functional block diagram showing the configuration of a mobile communication system that implements a traffic blocking method of a mobile communication terminal of the present invention.
2 is a functional block diagram showing the configuration of a traffic blocking system of a mobile communication terminal according to an embodiment of the present invention.
3 is an exemplary diagram illustrating IP allocation information stored in an IP allocation information database according to an embodiment of the present invention.
4 is an exemplary diagram illustrating a blocking policy stored in a blocking policy database according to an embodiment of the present invention.
5 is a flowchart illustrating a flow of a traffic blocking method of a mobile communication terminal according to an embodiment of the present invention.

본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.Advantages and features of the present invention and methods for achieving them will be apparent with reference to the embodiments described below in detail with the accompanying drawings. However, the present invention is not limited to the embodiments disclosed below, but can be implemented in various different forms, and only the embodiments make the disclosure of the present invention complete, and the general knowledge in the art to which the present invention belongs. It is provided to fully inform the person having the scope of the invention, which is defined only by the scope of the claims. Like reference numerals refer to like elements throughout.

이하, 첨부된 도면을 참조하여 본 발명의 실시예를 상세히 설명하기로 한다.Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명의 이동통신 단말기의 트래픽 차단 방법이 구현되는 이동통신 시스템의 구성을 나타낸 기능블록도이다.1 is a functional block diagram showing the configuration of a mobile communication system that implements a traffic blocking method of a mobile communication terminal of the present invention.

도 1을 참조하면, 본 발명의 실시예에 따른 이동통신 시스템은 사용자의 이동통신 단말기(100), 이동통신 기지국(200), 패킷교환 핵심망(300), DHCP 서버(400), 트래픽 차단 시스템(500), 및 인증서버(600)을 포함하여 구성된다.1, a mobile communication system according to an embodiment of the present invention is a user's mobile communication terminal 100, mobile communication base station 200, packet switched core network 300, DHCP server 400, traffic blocking system ( 500, and an authentication server 600.

상기 이동통신 단말기(100)는 스마트폰, 셀룰러폰, PDA, 또는 무선모뎀이 장착된 랩탑 컴퓨터일 수 있으나, 이에 한정되는 것은 아니고 이동통신 시스템으로의 무선접속 기능 및 데이터 전송 프로토콜 처리 기능을 가진 어떠한 장치가 되어도 무방하다.The mobile communication terminal 100 may be a smart phone, a cellular phone, a PDA, or a laptop computer equipped with a wireless modem, but is not limited thereto. It may be a device.

이동통신 기지국(200)은 관할하는 소정의 영역에 위치하는 이동통신 단말기(100)에 각종 통신 트래픽을 무선으로 송수신하여 무선접속 서비스를 제공하고, 이동통신 단말기(100)로부터 전송받은 트래픽을 패킷교환 핵심망(300)으로 전달하는 역할을 한다.The mobile communication base station 200 provides a wireless access service by wirelessly transmitting and receiving various communication traffic to the mobile communication terminal 100 located in a predetermined area having jurisdiction, and exchanges packets received from the mobile communication terminal 100. It serves to deliver to the core network (300).

이러한 이동통신 기지국(200)은 넓은 범위의 영역에 무선접속 서비스를 제공하는 기지국 전송기(RTS: Radio Transceiver Subsystem, 210)와 이러한 다수의 기지국 전송기들을 제어하며 관리하는 기지국 제어기(RNC : Radio Network Controller, 220)를 포함하여 구성될 수 있다.The mobile communication base station 200 includes a base station transmitter (RTS: Radio Transceiver Subsystem 210) that provides a wireless access service in a wide range of areas and a base station controller (RNC: Radio Network Controller, which controls and manages a plurality of base station transmitters). 220).

또한, 이동통신 기지국(200)은 펨토셀 기지국(230)과 같은 HNB(Home Node B)로 구성될 수도 있다. 펨토셀 기지국(230)은 예를 들어, 가정이나 사무실과 같이 좁은 지역에 무선접속 서비스를 제공하기 위한 소형 기지국으로, 가정이나 사무실에 설치되어 있는 인터넷 접속망을 통하여 이동통신 단말기(100)로부터 수신한 트래픽을 패킷교환 핵심망(300)으로 전달한다. 이때, 펨토셀 기지국(230)에서 인터넷 접속망을 통하여 전송된 트래픽은 HNB GW(Home Node B Gateway)를 통해 패킷교환 핵심망(300)으로 전달될 수 있다.In addition, the mobile communication base station 200 may be configured with a home node B (HNB) such as a femtocell base station 230. The femtocell base station 230 is, for example, a small base station for providing a wireless access service in a small area such as a home or an office, and traffic received from the mobile communication terminal 100 through an internet access network installed in the home or office. To pass to the packet-switched core network (300). In this case, the traffic transmitted from the femtocell base station 230 through the Internet access network may be delivered to the packet switched core network 300 through the HNB GW (Home Node B Gateway).

패킷교환 핵심망(300)은 SGSN(Serving GPRS Support Node, 310) 및 GGSN(Gateway GPRS Support Node, 320)를 포함하여 구성된다. SGSN(310)은 패킷교환장치로서 이동통신 단말기(100)에 GPRS 서비스를 제공하기 위해 이동통신 단말기(100)의 위치 정보를 저장하고 있으며, 이동통신 단말기(100)의 인증절차 및 GGSN(Gateway GPRS Support Node, 320)과의 정합 기능을 수행한다.The packet switched core network 300 includes a Serving GPRS Support Node (SGSN) 310 and a Gateway GPRS Support Node 320 (GGSN). SGSN 310 stores the location information of the mobile communication terminal 100 to provide a GPRS service to the mobile communication terminal 100 as a packet switching device, the authentication procedure and the GGSN (Gateway GPRS) of the mobile communication terminal 100 Support node 320).

GGSN(320)는 패킷교환 핵심망(300)과 외부 네트워크(700)를 연결하는 게이트웨이 역할을 수행하며, 패킷 데이터 서비스를 위하여 DHCP(Dynamic Host Configuration Protocol) 서버(400)와 연동하여 이동통신 단말기(100)에 IP 주소를 할당하고, 이동통신 단말기(100)로부터 전송되는 트래픽의 라우팅 처리기능을 수행한다. GGSN(320)은 인증서버(Authentication, Authorization, Accounting 서버, 600)와 연동하여 이동통신 단말기(100)에 대한 가입자 인증 절차를 수행할 수 있다.The GGSN 320 serves as a gateway connecting the packet switched core network 300 and the external network 700, and interoperates with a dynamic host configuration protocol (DHCP) server 400 for packet data service. IP address, and performs the routing processing function of the traffic transmitted from the mobile communication terminal (100). The GGSN 320 may perform a subscriber authentication procedure for the mobile communication terminal 100 in association with an authentication server (Authentication, Authorization, Accounting server, 600).

이동통신 기지국(200)을 통하여 패킷교환 핵심망(300)으로 전달된 트래픽은 SGSN(310)을 거쳐 GGSN(Gateway GPRS Support Node, 320)으로 전송되고, GGSN(320)은 트래픽의 프로토콜을 변경하여 외부 네트워크의 목적지 서버로 트래픽이 전송되도록 한다.Traffic transmitted to the packet-switched core network 300 through the mobile communication base station 200 is transmitted to the Gateway GPRS Support Node (GGSN) 320 via the SGSN 310, and the GGSN 320 changes the protocol of the traffic to the outside. Allow traffic to be sent to destination servers on the network.

이동통신 단말기(100)의 모든 데이터 트래픽은 패킷교환 핵심망(300)을 통하여 외부 네트워크(700)로 전송되기 때문에, 패킷교환 핵심망(300)에서 외부 네트워크(700)로 전송되는 트래픽을 검출하면 이동통신 단말기(100)로부터 전송되는 모든 트래픽을 검출할 수 있다.Since all data traffic of the mobile communication terminal 100 is transmitted to the external network 700 through the packet switched core network 300, when the traffic transmitted from the packet switched core network 300 to the external network 700 is detected, the mobile communication is performed. All traffic transmitted from the terminal 100 can be detected.

트래픽 차단 시스템(500)은 이동통신 단말기(100)로부터 전송되는 트래픽을 검출하기 위하여 패킷교환 핵심망(300)의 GGSN(320)에서 외부 네트워크(700)로 연결되는 백본(Backbone) 상에 설치된다. 트래픽 차단 시스템(500)은 패킷교환 핵심망(300)으로부터 외부 네트워크(700)로 전송되는 트래픽을 미러링하고, 트래픽이 차단 대상인지 여부를 판단하여 차단 대상 트래픽의 경우에는 이동통신 단말기(100)로 차단 트래픽을 전송하는 기능을 한다.The traffic blocking system 500 is installed on a backbone connected from the GGSN 320 of the packet switched core network 300 to the external network 700 to detect traffic transmitted from the mobile communication terminal 100. The traffic blocking system 500 mirrors the traffic transmitted from the packet-switched core network 300 to the external network 700 and determines whether the traffic is a blocking target, and blocks the traffic to the mobile terminal 100 in the case of the blocking target traffic. It transmits traffic.

인증서버(AAA: Authentication, Authorization, Accounting, 600)는 GGSN(320)에서 이동통신 단말기(100)에 IP 주소를 할당하기 이전에 이동통신 단말기(100)에 대한 사용자 인증을 수행한다. 인증서버(600)는 GGSN(320)으로부터 이동통신 단말기(100)의 식별자, 기지국의 식별자 등을 포함하는 메시지를 전송받고, 또한, 이동통신 단말기(100)에 할당된 IP 주소를 전송받을 수 있다. 따라서, 인증서버(600)는 이동통신 단말기(100)에 할당되는 IP 주소를 통합적으로 관리할 수 있다.The authentication server (AAA: Authentication, Authorization, Accounting, 600) performs user authentication on the mobile communication terminal 100 before allocating an IP address to the mobile communication terminal 100 in the GGSN 320. The authentication server 600 may receive a message including an identifier of the mobile communication terminal 100, an identifier of a base station, etc. from the GGSN 320, and may also receive an IP address assigned to the mobile communication terminal 100. . Therefore, the authentication server 600 may integrally manage the IP address assigned to the mobile communication terminal 100.

도 2는 본 발명의 실시예에 따른 이동통신 단말기의 트래픽 차단 시스템의 구성을 나타내는 기능블록도이다.2 is a functional block diagram showing the configuration of a traffic blocking system of a mobile communication terminal according to an embodiment of the present invention.

트래픽 차단 시스템(500)은 트래픽 미러링부(510), 트래픽 정보 추출부(520), 트래픽 차단부(530), IP 할당 정보 관리부(540), 차단정책 관리부(550), IP 할당 정보 데이터베이스(560), 차단정책 데이터베이스(570)를 포함한다.The traffic blocking system 500 includes a traffic mirroring unit 510, a traffic information extracting unit 520, a traffic blocking unit 530, an IP allocation information managing unit 540, a blocking policy managing unit 550, and an IP allocation information database 560. ), Blocking policy database 570.

트래픽 미러링부(510)는 이동통신 시스템의 패킷교환 핵심망(300)과 외부 네트워크(700)를 연결하는 백본상에 설치되어, 패킷교환 핵심망(300)에서 외부 네트워크(700)로 전송되는 트래픽을 미러링하는 역할을 한다. 트래픽 미러링부(510)는 미러링된 트래픽을 트래픽정보 추출부(520)로 전송한다.The traffic mirroring unit 510 is installed on the backbone connecting the packet switched core network 300 and the external network 700 of the mobile communication system to mirror traffic transmitted from the packet switched core network 300 to the external network 700. It plays a role. The traffic mirroring unit 510 transmits the mirrored traffic to the traffic information extracting unit 520.

트래픽정보 추출부(520)는 트래픽 미러링부(510)로부터 전송받은 트래픽을 분석하여 미러링된 트래픽에 포함되어 있는 이동통신 단말기(100)의 IP주소, 목적지 서버의 주소 등 트래픽 정보를 추출한다. 또한, 트래픽정보 추출부(520)는 상기 추출된 이동통신 단말기의 IP 주소를 이용하여 IP 할당 정보 데이터베이스(560)에서 상기 미러링된 트래픽을 전송한 이동통신 단말기의 식별자 및 이동통신 단말기를 관할하는 기지국의 식별자를 검색한다.The traffic information extracting unit 520 analyzes the traffic received from the traffic mirroring unit 510 and extracts traffic information such as an IP address of the mobile communication terminal 100 included in the mirrored traffic, an address of a destination server, and the like. In addition, the traffic information extracting unit 520 is a base station that manages the identifier of the mobile communication terminal and the mobile communication terminal that transmitted the mirrored traffic in the IP allocation information database 560 using the extracted IP address of the mobile communication terminal Retrieves the identifier of.

트래픽 차단부(530)는 이동통신 단말기의 식별자, 기지국의 식별자 및 목적지 서버의 주소 중 적어도 하나를 차단정책 데이터베이스(570)에 저장된 차단정책과 비교하여 트래픽이 차단대상 트래픽인지 여부를 판단하고, 차단 대상 트래픽에 해당하는 경우에는 상기 트래픽을 전송한 이동통신 단말기(100)에 차단 트래픽을 전송한다.The traffic blocking unit 530 compares at least one of an identifier of a mobile communication terminal, an identifier of a base station, and an address of a destination server with a blocking policy stored in the blocking policy database 570 to determine whether the traffic is blocking traffic, and If the traffic corresponds to the target traffic, the blocking traffic is transmitted to the mobile communication terminal 100 that has transmitted the traffic.

IP 할당 정보 관리부(540)는 이동통신 단말기(100)에 할당된 IP 주소, 이동통신 단말기(100)의 식별자, 기지국의 식별자를 포함하는 IP 할당 정보를 인증서버(600)에 요청하여 전송받는다. IP 할당 정보 관리부(540)는 전송받은 IP 할당 정보를 IP 할당 정보 데이터베이스에 업데이트하여, IP 할당 정보 데이터베이스가 최신 정보를 유지하게 할 수 있다. IP 할당 정보 관리부(540)는 일정한 시간 간격으로 인증서버(600)에 요청하여 IP 할당 정보를 수신할 수도 있고, 트래픽의 차단 여부를 판단하기 위해 필요한 때마다 IP 할당 정보를 수신할 수도 있다. 또는, 이동통신 단말기에 새로운 IP 주소가 할당될 때마다 IP 할당 정보를 수신할 수도 있다.The IP allocation information manager 540 requests and receives the IP allocation information including the IP address assigned to the mobile communication terminal 100, the identifier of the mobile communication terminal 100, and the identifier of the base station from the authentication server 600. The IP allocation information manager 540 may update the received IP allocation information in the IP allocation information database so that the IP allocation information database maintains the latest information. The IP allocation information manager 540 may request the authentication server 600 at regular time intervals to receive the IP allocation information, or may receive the IP allocation information whenever necessary to determine whether to block traffic. Alternatively, IP allocation information may be received whenever a new IP address is allocated to the mobile communication terminal.

차단정책 관리부(550)는 차단정책을 변경할 권한이 있는 관리자가 차단정책 데이터베이스(570)에 저장된 차단정책을 수정/변경할 수 있는 모듈을 제공한다. 예를 들어, 차단정책 관리부(550)는 차단정책을 수정/변경하는 기능을 가지는 웹페이지를 제공하여, 관리자가 상기 웹페이지에 접속하여 차단정책을 변경할 수 있도록 할 수 있다. 관리자가 수정/변경한 차단정책은 차단정책 데이터베이스(570)에 업데이트된다.The blocking policy manager 550 provides a module that allows an administrator who has the authority to change the blocking policy to modify / change the blocking policy stored in the blocking policy database 570. For example, the blocking policy manager 550 may provide a web page having a function of modifying / changing a blocking policy so that an administrator may access the web page and change the blocking policy. The blocking policy modified / modified by the administrator is updated in the blocking policy database 570.

도 3은 IP 할당정보 데이터베이스에 저장된 IP 할당 정보를 나타내는 예시 도면이고, 도 4는 차단정책 데이터베이스에 저장된 차단정책을 나타내는 예시 도면이다.3 is an exemplary diagram illustrating IP allocation information stored in an IP allocation information database, and FIG. 4 is an exemplary diagram illustrating a blocking policy stored in a blocking policy database.

IP 할당정보 데이터베이스(560)는 각 IP에 대해서, 할당된 이동통신 단말기의 식별자와 기지국의 식별자를 매칭하여 저장하여 둘 수 있다. 도 3을 참조하면, 예를 들어, 11.11.11.11에 해당하는 IP 주소는 AAA1의 식별자를 가지는 이동통신 단말기에 할당되었으며, AAA1의 이동통신 단말기는 BBB1의 식별자를 가지는 기지국을 통해 무선접속 서비스를 제공받고 있음을 알 수 있다.The IP allocation information database 560 may store and store the identifier of the assigned mobile communication terminal and the identifier of the base station for each IP. 3, for example, an IP address corresponding to 11.11.11.11 is assigned to a mobile communication terminal having an identifier of AAA1, and the mobile communication terminal of AAA1 provides a wireless access service through a base station having an identifier of BBB1. I can see that it is.

또한, 차단정책 데이터베이스(570)는 이동통신 단말기 사용자의 이름, 이동통신 단말기의 식별자, 해당 이동통신 단말기 사용자가 속한 정책 그룹, 차단 시간, 차단 지역을 서로 매칭하여 저장하여 둘 수 있다. 도 4를 참조하면, AAA1의 식별자를 가지는 이동통신 단말기의 사용자는 장동건이고, 연구소의 차단정책 그룹에 속하여 있으며, 00시부터 24시까지 차단정책이 적용되고, Area 1, 2, 3 지역에서 차단정책이 적용됨을 알 수 있다.In addition, the blocking policy database 570 may store and store the name of the mobile communication terminal user, the identifier of the mobile communication terminal, the policy group to which the mobile communication terminal user belongs, the blocking time, and the blocking region. Referring to FIG. 4, the user of the mobile communication terminal having an identifier of AAA1 is Jang Dong-Geun, belongs to the blocking policy group of the institute, the blocking policy is applied from 00 to 24 hours, and is blocked in Area 1, 2, and 3 areas. You can see that the policy applies.

또한, 차단정책 데이터베이스(570)에는 차단을 할 목적지 서버의 주소 또는 허용을 할 목적지 서버의 주소를 저장하고 있을 수 있다.In addition, the blocking policy database 570 may store the address of the destination server to block or the address of the destination server to allow.

예를 들어, 업무의 효율성을 저해하는 사이트들을 차단 대상 목적지 주소로 저장을 하여 두고, 상기 차단 대상 이동통신 단말기가 차단 지역에서 차단 대상 목적지 주소로 트래픽을 전송하는 경우에 트래픽의 차단을 할 수 있다.For example, sites that hinder work efficiency may be stored as blocking target addresses, and traffic may be blocked when the blocked mobile communication terminal transmits traffic to the blocked target address in the blocked area. .

반대로, 업무상 필요한 사이트들을 허용 목적지 주소로 저장을 하여 두고, 상기 차단 대상 이동통신 단말기가 차단 지역에서 전송하는 모든 트래픽을 차단하고, 예외적으로 허용 목적지 주소로 전송을 하는 경우에만 트래픽을 허용할 수도 있다.On the contrary, it is also possible to store the necessary sites as business destination addresses, block all traffic transmitted by the blocked mobile communication terminal from the blocked area, and allow the traffic only when transmitting to the allowed destination address. .

이러한 차단 목적지의 주소 또는 허용 목적지의 주소는 모든 이동통신 단말기에 동일하게 적용할 수도 있고, 각각의 이동통신 단말기마다 다르게 설정을 하여 둘 수도 있고, 또는 이동통신 단말기들을 그룹화하여 그룹별로 설정할 수도 있다.The address of the blocked destination or the address of the allowed destination may be equally applied to all mobile communication terminals, may be set differently for each mobile communication terminal, or may be set by grouping mobile communication terminals.

예를 들어, 회사의 연구소 그룹에 속한 단말기들은 높은 수준의 보안을 필요로 하기 때문에 연구 목적과 관련된 사이트만을 허용 목적지로 설정하여 특정 연구 목적 사이트를 제외한 다른 사이트의 접속을 차단할 수 있고, 영업팀 그룹에 속한 단말기들은 낮은 수준의 보안을 필요로 하기 때문에 특정 유해사이트들을 차단 목적지로 설정하여 유해사이트를 제외한 다른 목적지로의 트래픽 전송을 허용할 수 있다.For example, terminals belonging to the company's lab group require a high level of security so that only sites relevant for research purposes can be set as allowed destinations, preventing access to sites other than specific research sites. Because belonging terminals need a low level of security, certain harmful sites can be set as blocking destinations to allow traffic to be sent to other destinations.

도 5는 본 발명의 실시예에 따른 이동통신 단말기의 트래픽 차단 방법의 흐름을 나타내는 흐름도이다.5 is a flowchart illustrating a flow of a traffic blocking method of a mobile communication terminal according to an embodiment of the present invention.

우선, 이동통신 단말기(100)는 데이터 통신을 하기 위해 PDP(Packet Data Protocol) 활성화 요청 메시지와 같은 IP 주소 할당 요청 메시지를 RTS(310) 또는 HNB(320) 등의 기지국(200)을 통해 패킷교환 핵심망의 SGSN(310)으로 전송한다.First, the mobile communication terminal 100 exchanges a packet through an base station 200 such as an RTS 310 or an HNB 320 for an IP address allocation request message such as a packet data protocol (PDP) activation request message for data communication. Send to the SGSN 310 of the core network.

IP 주소 할당 요청 메시지를 수신한 SGSN(310)은 GGSN(320)으로 IP 주소 생성 요청 메시지를 전송하고, 이때, 이동통신 단말기(100)의 식별자 및 상기 이동통신 단말기(100)에 무선 접속 서비스를 제공하는 기지국(200)의 식별자를 전송할 수 있다. 예를 들어, 이동통신 단말기(100)가 RTS 기지국(210)을 통해 무선 접속 서비스를 제공받으면 RTS 기지국(210)의 식별자를 전송할 수 있고, 또는 이동통신 단말기(100)가 펨토셀(230)을 통해 무선 접속 서비스를 제공받으면 펨토셀 기지국(230)의 식별자를 전송할 수 있다. 이러한, 기지국의 식별자는 이동통신 단말기(100)가 트래픽 차단 대상 지역에 있는지를 판단하는 데에 사용될 수 있다.Upon receiving the IP address assignment request message, the SGSN 310 transmits an IP address generation request message to the GGSN 320. In this case, the identifier of the mobile communication terminal 100 and the wireless access service are provided to the mobile communication terminal 100. The identifier of the base station 200 may be transmitted. For example, when the mobile communication terminal 100 receives a radio access service through the RTS base station 210, the mobile communication terminal 100 may transmit an identifier of the RTS base station 210, or the mobile communication terminal 100 may transmit the femtocell 230. When the wireless access service is provided, the identifier of the femtocell base station 230 may be transmitted. The identifier of the base station may be used to determine whether the mobile communication terminal 100 is in a traffic blocking target area.

IP 주소 생성 요청 메시지를 전송받은 GGSN(320)은 인증서버(600)과 연동하여 이동통신 단말기(100)에 대한 인증 절차를 수행하고, DHCP 서버(400)와 연동하여 이동통신 단말기(100)에 부여할 IP 주소를 할당하고, SGSN(310)으로 IP 주소 생성 응답 메시지를 전송한다.The GGSN 320 receiving the IP address generation request message performs an authentication procedure for the mobile communication terminal 100 by interworking with the authentication server 600 and the mobile communication terminal 100 by interworking with the DHCP server 400. An IP address to be assigned is assigned and an IP address generation response message is transmitted to SGSN 310.

이때, GGSN(320)은 인증서버(600)로 할당된 IP 주소와, 이 IP 주소를 부여한 이동통신 단말기의 식별자 및 상기 이동통신 단말기에 무선접속 서비스를 제공하는 RTS 또는 HNB의 식별자, 즉 기지국 식별자를 전송한다.In this case, the GGSN 320 is an IP address assigned to the authentication server 600, an identifier of a mobile communication terminal to which the IP address is assigned, and an identifier of an RTS or HNB that provides a wireless access service to the mobile communication terminal, that is, a base station identifier. Send it.

IP 주소 생성 응답 메시지를 수신한 SGSN(310)은 할당받은 IP 주소를 이동통신 단말기(100)에 전송한다. 이로써, 이동통신 단말기는 할당받은 IP 주소를 이용하여 데이터 통신을 할 수 있게 된다.Upon receiving the IP address generation response message, the SGSN 310 transmits the allocated IP address to the mobile communication terminal 100. As a result, the mobile communication terminal can perform data communication using the assigned IP address.

한편, 트래픽 차단 시스템(500)의 IP 할당정보 관리부(540)는 인증서버(600)로부터 생성된 IP 주소, 상기 IP 주소가 할당된 이동통신 단말기의 식별자 및 이동통신 단말기를 관할하는 기지국의 식별자 등의 IP 주소 할당 정보를 전송받는다(S110).Meanwhile, the IP allocation information management unit 540 of the traffic blocking system 500 may include an IP address generated from the authentication server 600, an identifier of the mobile communication terminal to which the IP address is assigned, and an identifier of a base station that manages the mobile communication terminal. The IP address allocation information is received (S110).

이러한 IP 주소 할당 정보는 새로운 IP 주소가 할당될 때마다 인증서버(600)로부터 전송받을 수도 있으나, 전송받는 시기는 이에 한정되는 것은 아니고, 트래픽의 차단 여부 판단하기 위하여 필요한 때에 인증서버(600)에 요청하여 전송받을 수도 있다.The IP address allocation information may be transmitted from the authentication server 600 whenever a new IP address is allocated. However, the time for receiving the IP address is not limited thereto, and the IP address allocation information may be transmitted to the authentication server 600 when necessary to determine whether to block traffic. It may be requested and sent.

IP 할당 정보 관리부(540)는 전송받은 IP 주소 할당 정보를 IP 주소 할당 데이터베이스에 업데이트하여 저장하여 둘 수 있다.The IP allocation information management unit 540 may update and store the received IP address allocation information in the IP address allocation database.

IP 주소가 할당된 이동통신 단말기(100)가 인터넷에 접속하는 경우, 외부 네트워크(700)의 목적지 서버에 데이터 전송 요청 트래픽을 전송한다. 데이터 전송 요청 트래픽은 이동통신 시스템의 기지국(200) 및 패킷교환 핵심망(300)을 통하여 외부 네트워크(700)로 전송된다.When the mobile communication terminal 100 assigned an IP address accesses the Internet, it transmits data transmission request traffic to a destination server of the external network 700. The data transmission request traffic is transmitted to the external network 700 through the base station 200 and the packet switched core network 300 of the mobile communication system.

이때, 트래픽 미러링부(510)는 이동통신 단말기(100)에서 전송되는 트래픽이 차단대상 트래픽인지를 확인하기 위하여, 패킷교환 핵심망(300)에서 외부 네트워크(700)로 전송되는 트래픽을 미러링하고, 미러링된 트래픽을 트래픽정보 추출부(520)로 전송한다(S120).In this case, the traffic mirroring unit 510 mirrors the traffic transmitted from the packet switched core network 300 to the external network 700 in order to check whether the traffic transmitted from the mobile communication terminal 100 is the blocking target traffic, and mirrors the traffic. The transmitted traffic is transmitted to the traffic information extracting unit 520 (S120).

트래픽정보 추출부(520)는 상기 미러링된 트래픽에 포함되어 있는 이동통신 단말기(100)의 IP 주소를 추출한다. 또한, 트래픽정보 추출부(520)는 상기 미러링된 트래픽에 포함되어 있는 목적지 서버의 주소를 추출할 수 있다(S130).The traffic information extractor 520 extracts the IP address of the mobile communication terminal 100 included in the mirrored traffic. In addition, the traffic information extraction unit 520 may extract the address of the destination server included in the mirrored traffic (S130).

나아가, 트래픽정보 추출부(520)는 상기 미러링된 트래픽으로부터 추출한 IP 주소에 근거하여 상기 이동통신 단말기(100)의 식별자 및 상기 이동통신 단말기(100)에 무선통신 서비스를 제공하는 기지국(200)의 식별자를 검색한다(S140). 이러한 이동통신 단말기의 식별자 및 기지국의 식별자는 필요한 때에 인증서버(600)에 요청하여 전송받을 수도 있고, 이를 저장하여 두고 있는 IP 할당정보 데이터베이스(560)에서 검색할 수도 있다.Further, the traffic information extracting unit 520 of the base station 200 for providing a wireless communication service to the mobile communication terminal 100 and the identifier of the mobile communication terminal 100 based on the IP address extracted from the mirrored traffic. The identifier is searched for (S140). The identifier of the mobile communication terminal and the identifier of the base station may be requested and received by the authentication server 600 when necessary, or may be retrieved from the IP allocation information database 560 stored therein.

트래픽 차단부(530)는 상기 검색된 이동통신 단말기의 식별자, 기지국 식별자, 목적지 서버의 주소, 현재시간 등을 차단정책 데이터베이스(570)에 저장된 차단정책과 비교하여(S150) 차단여부를 결정한다(S160). 구체적으로 살펴보면, 검색된 이동통신 단말기의 식별자가 차단정책 데이터베이스에 저장되어 있는지 여부, 기지국 식별자가 상기 이동통신 단말기의 차단지역에 대응하는지 여부, 현재시간이 차단시간에 해당하는지 여부, 트래픽의 목적지 서버의 주소가 차단대상 주소에 해당하는지 여부 등으로부터 차단여부를 결정한다.The traffic blocking unit 530 determines whether to block by comparing the retrieved identifier of the mobile communication terminal, the identifier of the base station, the address of the destination server, the current time and the like with the blocking policy stored in the blocking policy database 570 (S150). ). Specifically, whether the identifier of the retrieved mobile communication terminal is stored in the blocking policy database, whether the base station identifier corresponds to the blocking area of the mobile communication terminal, whether the current time corresponds to the blocking time, Whether or not the address corresponds to the blocked address is determined.

이때, 차단정책 데이터베이스(570)의 차단 지역은 서울시 강남구 신사동과 같은 특정 지명으로 설정되어 있을 수도 있고, 특정 지역을 관할하는 기지국의 식별자로 설정되어 있을 수도 있다. 즉, RTS의 식별자 또는 펨토셀의 식별자로 설정되어 있을 수 있다. 차단정책 데이터베이스(570)에서 차단 지역이 기지국 식별자로 설정된 경우에는 트래픽 차단부(530)는 미러링된 트래픽으로부터 추출/검색된 기지국 식별자를 차단정책 데이터베이스(570)에 저장된 기지국 식별자와 비교함으로써 차단여부를 결정할 수 있고, 차단정책 데이터베이스(570)에 차단 지역이 특정 지명으로 설정된 경우에는 해당 지역을 관할하는 기지국들의 식별자들로부터 차단여부를 결정할 수 있다.In this case, the blocking area of the blocking policy database 570 may be set to a specific place name, such as Sinsa-dong, Gangnam-gu, Seoul, or may be set to an identifier of a base station having jurisdiction over a specific area. That is, it may be set to an identifier of an RTS or an identifier of a femtocell. When the blocked area is set as the base station identifier in the blocking policy database 570, the traffic blocking unit 530 determines whether to block by comparing the base station identifier extracted / retrieved from the mirrored traffic with the base station identifier stored in the blocking policy database 570. When the blocked area is set to a specific place name in the blocking policy database 570, whether to block the base station may be determined from identifiers of base stations that manage the corresponding area.

상기 미러링된 트래픽이 차단대상에 해당하는 경우, 트래픽차단부(530)는 이동통신 단말기(100)로 차단트래픽을 전송한다(S170). 상기 차단트래픽은 차단정책에 위반이 됨을 알리는 메시지를 포함하는 트래픽일 수 있고, 또는 상기 요청트래픽에 대한 전송 완료 코드를 포함하는 트래픽일 수 있다. 상기 차단트래픽은 이동통신 단말기에 원본 트래픽에 대한 목적지 서버의 응답 트래픽보다 먼저 이동통신 단말기에 전송되기 때문에 이동통신 단말기에 뒤늦게 도착하는 응답 트래픽은 이동통신 단말기에서 폐기되게 되므로 트래픽 차단의 효과가 나타나게 된다.If the mirrored traffic corresponds to the blocking target, the traffic blocking unit 530 transmits the blocking traffic to the mobile communication terminal 100 (S170). The blocking traffic may be traffic including a message indicating that the blocking policy is violated, or may be traffic including a transmission completion code for the request traffic. Since the blocking traffic is transmitted to the mobile communication terminal prior to the response traffic of the destination server for the original traffic to the mobile communication terminal, the response traffic arriving late at the mobile communication terminal is discarded at the mobile communication terminal. .

만일, 상기 미러링된 트래픽이 차단대상에 해당하지 않는다면, 트래픽차단부(530)는 미러링된 트래픽을 폐기하고 아무런 응답 트래픽을 이동통신 단말기(100)로 전송하지 않고 이동통신 단말기(100)의 데이터 접속을 허용한다(S180). 따라서, 이동통신 단말기는 미러링된 트래픽의 원본 트래픽에 대한 목적지 서버의 응답 트래픽을 수신할 수 있기 때문에 트래픽 차단 시스템이 적용되지 않는 경우와 동일하게 데이터 통신을 할 수 있고, 트래픽 차단 시스템에 의한 데이터 통신의 속도 저하는 전혀 발생하지 않는다.If the mirrored traffic does not correspond to the blocking target, the traffic blocking unit 530 discards the mirrored traffic and transmits data of the mobile communication terminal 100 without transmitting any response traffic to the mobile communication terminal 100. Allow (S180). Therefore, since the mobile communication terminal can receive the response traffic of the destination server to the original traffic of the mirrored traffic, it can perform data communication in the same manner as the case where the traffic blocking system is not applied, and the data communication by the traffic blocking system. The slowdown does not occur at all.

이와 같은 프로세스를 통하여, 이동통신 시스템에서 데이터 통신의 성능을 전혀 저하시키지 않고 필요한 장소 및 필요한 시간에서만 이동통신 단말기의 데이터 트래픽을 차단할 수 있게 할 수 있다.Through such a process, it is possible to block data traffic of a mobile communication terminal only at a required place and at a necessary time without degrading the performance of data communication in the mobile communication system.

이상에서 상술한 실시예들은 3GPP 표준에 따른 3세대 이동통신 시스템에서 구현되는 것으로 예를 들어 설명하였으나, 본 발명이 속하는 기술분야의 통상의 지식을 가진 자는 본 발명의 기술적 사상이나 필수적인 특징을 변경하지 않고서 4세대 이동통신 또는 다른 방식의 이동통신 시스템에서 본 발명을 실시할 수 있음을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이고 한정적이 아닌 것으로 이해해야만 한다. 본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구의 범위에 의하여 나타내어지며, 특허청구의 범위의 의미 및 범위 그리고 그 균등 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.Although the above-described embodiments have been described by way of example as being implemented in a 3G mobile communication system according to the 3GPP standard, those of ordinary skill in the art do not change the technical spirit or essential features of the present invention. It will be appreciated that the present invention may be practiced in a fourth generation mobile communication or other mobile communication system without the need. Therefore, it should be understood that the embodiments described above are exemplary in all respects and not restrictive. The scope of the present invention is indicated by the scope of the following claims rather than the detailed description, and all changes or modifications derived from the meaning and scope of the claims and the equivalent concept are included in the scope of the present invention. Should be interpreted.

100: 이동통신 단말기 200: 기지국
210: RTS 220: RNC
230: 펨토셀(HNB, Home Node B) 240: HNB GW(Home Node B Gateway)
300: 패킷교환 핵심망 310: SGSN
320: GGSN 400: DHCP 서버
500: 트래픽 차단 시스템 600: 인증서버
700: 외부 네트워크100: mobile communication terminal 200: base station
210: RTS 220: RNC
230: femtocell (HNB, Home Node B) 240: HNB GW (Home Node B Gateway)
300: packet switched core network 310: SGSN
320: GGSN 400: DHCP Server
500: traffic blocking system 600: authentication server
700: external network

Claims (12)

이동통신 시스템을 이용하여 데이터를 송수신하는 이동통신 단말기의 트래픽 차단 방법에 있어서,
패킷교환 핵심망에서 외부 네트워크로 전송되는 트래픽을 미러링하는 미러링단계;
상기 미러링된 트래픽에 포함된 이동통신 단말기의 IP 주소를 추출하고, 추출된 IP 주소를 이용하여 트래픽을 전송한 이동통신 단말기의 식별자 및 상기 트래픽을 전송한 이동통신 단말기에 무선접속 서비스를 제공하는 기지국의 식별자를 검색하는 IP 할당정보 검색 단계;
상기 검색된 이동통신 단말기의 식별자 및 기지국의 식별자를 차단정책 데이터베이스에 저장된 차단정책과 비교하여 상기 미러링된 트래픽의 차단여부를 판단하는 차단여부 판단 단계; 및
상기 미러링된 트래픽이 차단대상에 해당하는 경우, 상기 미러링된 트래픽에 응답하는 차단 트래픽을 상기 이동통신 단말기로 전송하는 트래픽 차단 단계;를 포함하는, 이동통신 단말기의 트래픽 차단 방법.In the traffic blocking method of a mobile communication terminal for transmitting and receiving data using a mobile communication system,
A mirroring step of mirroring traffic transmitted from the packet switched core network to the external network;
A base station for extracting the IP address of the mobile communication terminal included in the mirrored traffic, and using the extracted IP address to provide an identifier of the mobile communication terminal and a wireless access service to the mobile communication terminal transmitting the traffic. An IP allocation information retrieval step of retrieving an identifier of the IP address;
Determining whether to block the mirrored traffic by comparing the retrieved identifier of the mobile communication terminal and the identifier of the base station with a blocking policy stored in a blocking policy database; And
And a traffic blocking step of transmitting, to the mobile communication terminal, blocking traffic in response to the mirrored traffic when the mirrored traffic corresponds to a blocking target. 제1항에 있어서,
상기 IP 할당정보 검색 단계는
인증서버에 상기 추출된 IP 주소에 대한 이동통신 단말기의 식별자 및 상기 이동통신 단말기에 무선접속 서비스를 제공하는 기지국의 식별자를 요청하는 단계를 포함하는 것을 특징으로 하는, 이동통신 단말기의 트래픽 차단 방법.The method of claim 1,
The IP allocation information search step
And requesting an identifier of a mobile communication terminal for the extracted IP address and an identifier of a base station for providing a wireless access service to the mobile communication terminal to an authentication server. 제1항에 있어서,
상기 IP 할당정보 검색 단계는
인증서버로부터 새로 할당되는 IP 주소에 대한 이동통신 단말기의 식별자 및 상기 이동통신 단말기에 무선접속 서비스를 제공하는 기지국의 식별자를 수신하여 저장하고 있는 IP 할당정보 데이터베이스에서 상기 추출된 IP 주소에 대한 이동통신 단말기의 식별자 및 기지국의 식별자를 추출하는 단계를 포함하는 것을 특징으로 하는, 이동통신 단말기의 트래픽 차단 방법.The method of claim 1,
The IP allocation information search step
Mobile communication for the extracted IP address from the IP allocation information database that receives and stores the identifier of the mobile communication terminal for the newly allocated IP address from the authentication server and the base station for providing a wireless access service to the mobile communication terminal. And extracting an identifier of the terminal and an identifier of the base station. 제1항에 있어서,
상기 차단여부 판단 단계는
상기 미러링된 트래픽에 포함된 목적지 서버의 주소 및 현재 시간 중 적어도 하나를 차단정책 데이터베이스에 저장된 차단정책과 비교하는 단계를 포함하는 것을 특징으로 하는, 이동통신 단말기의 트래픽 차단 방법.The method of claim 1,
The determining whether the blocking step
And comparing at least one of an address and a current time of a destination server included in the mirrored traffic with a blocking policy stored in a blocking policy database. 제1항에 있어서,
상기 차단여부 판단 단계는
상기 검색된 기지국 식별자가 상기 차단정책 데이터베이스에 저장되어 있는 기지국 식별자와 대응하는지 여부를 판단하는 단계를 포함하는 것을 특징으로 하는, 이동통신 단말기의 트래픽 차단 방법.The method of claim 1,
The determining whether the blocking step
And determining whether the retrieved base station identifier corresponds to a base station identifier stored in the blocking policy database. 제1항에 있어서,
상기 차단여부 판단 단계는
상기 검색된 기지국 식별자를 상기 차단정책 데이터베이스에 저장되어 있는 차단 지역을 관할하는 기지국의 식별자에 대응하는지 여부를 판단하는 단계를 포함하는 것을 특징으로 하는, 이동통신 단말기의 트래픽 차단 방법.The method of claim 1,
The determining whether the blocking step
And determining whether the retrieved base station identifier corresponds to an identifier of a base station that manages a blocked area stored in the blocking policy database. 이동통신 단말기의 식별자, 상기 식별자의 이동통신 단말기에 대한 차단 지역을 저장하고 있는 차단정책 데이터베이스;
이동통신 시스템의 패킷교환 핵심망에서 외부 네트워크로 전송되는 트래픽을 미러링하는 트래픽 미러링부;
상기 미러링된 트래픽에 포함되어 있는 IP 주소를 추출하고, 상기 추출된 IP 주소를 이용하여 상기 IP 주소에 대응하는 이동통신 단말기의 식별자 및 상기 이동통신 단말기에 무선접속 서비스를 제공하는 기지국의 식별자를 포함하는 IP 할당 정보를 추출하는 트래픽정보 추출부; 및
상기 추출된 이동통신 단말의 식별자 및 기지국의 식별자를 차단정책 데이터베이스에 저장된 차단정책과 비교하여 상기 미러링된 트래픽의 차단여부를 판단하고, 차단대상 트래픽에 해당하는 경우에는 이동통신 단말기에 차단 트래픽을 전송하는 트래픽 차단부;를 포함하는 이동통신 단말기의 트래픽 차단 시스템.A blocking policy database storing an identifier of the mobile communication terminal and a blocking area for the mobile communication terminal of the identifier;
A traffic mirroring unit for mirroring traffic transmitted from the packet switched core network of the mobile communication system to an external network;
Extracting an IP address included in the mirrored traffic, and using the extracted IP address, an identifier of a mobile communication terminal corresponding to the IP address and an identifier of a base station providing a wireless access service to the mobile communication terminal; A traffic information extraction unit for extracting IP allocation information; And
The identifier of the extracted mobile communication terminal and the identifier of the base station are compared with the blocking policy stored in the blocking policy database to determine whether the mirrored traffic is blocked, and if the traffic corresponds to the blocking target traffic, the blocking traffic is transmitted to the mobile communication terminal. A traffic blocking system of a mobile communication terminal comprising a; traffic blocking unit. 제7항에 있어서,
이동통신 단말기에 할당된 IP 주소, 상기 IP 주소를 할당받은 이동통신 단말기의 식별자, 상기 이동통신 단말기에 무선접속 서비스를 제공하는 기지국 식별자를 저장하고 있는 IP 할당정보 데이터베이스를 더 포함하고,
상기 트래픽정보 추출부는 상기 추출된 IP 주소를 이용하여 상기 IP 할당정보 데이터베이스에서 상기 추출된 IP 주소에 대한 IP 할당 정보를 추출하는 것을 특징으로 하는, 이동통신 단말기의 트래픽 차단 시스템.The method of claim 7, wherein
And an IP allocation information database storing an IP address assigned to the mobile communication terminal, an identifier of the mobile communication terminal assigned the IP address, and a base station identifier for providing a wireless access service to the mobile communication terminal.
The traffic information extracting unit extracts IP allocation information for the extracted IP address from the IP allocation information database using the extracted IP address. 제8항에 있어서,
이동통신 시스템의 인증서버로부터 이동통신 단말기에 할당된 IP 주소, 상기 IP 주소를 할당받은 이동통신 단말기의 식별자, 상기 이동통신 단말기에 무선접속 서비스를 제공하는 기지국 식별자를 수신하고, 상기 인증서버로부터 전송받은 IP 주소, 이동통신 단말기의 식별자 및 기지국 식별자를 할당 정보를 상기 IP 할당정보 데이터베이스에 업데이트하는, IP 할당 정보 관리부를 더 포함하는 것을 특징으로 하는, 이동통신 단말기의 트래픽 차단 시스템.The method of claim 8,
Receives an IP address assigned to the mobile communication terminal, an identifier of the mobile communication terminal assigned the IP address, a base station identifier for providing a wireless access service to the mobile communication terminal from the authentication server of the mobile communication system, and transmits from the authentication server And an IP allocation information management unit for updating the allocation information to the IP allocation information database by receiving the received IP address, the identifier of the mobile communication terminal and the base station identifier. 제7항에 있어서,
상기 트래픽 차단부는 상기 미러링된 트래픽에 포함된 목적지 서버의 주소 및 현재 시간 중 적어도 하나를 상기 차단정책 데이터베이스에 저장된 차단정책과 비교하여 상기 미러링된 트래픽의 차단 여부를 판단하는 것을 특징으로 하는, 이동통신 단말기의 트래픽 차단 시스템.The method of claim 7, wherein
The traffic blocking unit determines whether the mirrored traffic is blocked by comparing at least one of an address and a current time of a destination server included in the mirrored traffic with a blocking policy stored in the blocking policy database. Traffic blocking system of the terminal. 제7항에 있어서,
상기 트래픽 차단부는 상기 추출된 기지국 식별자를 상기 차단정책 데이터베이스에 저장되어 있는 기지국 식별자와 비교하여 상기 미러링된 트래픽의 차단 여부를 판단하는 것을 특징으로 하는, 이동통신 단말기의 트래픽 차단 시스템.The method of claim 7, wherein
The traffic blocking unit compares the extracted base station identifier with the base station identifier stored in the blocking policy database, and determines whether to block the mirrored traffic. 제7항에 있어서,
상기 트래픽 차단부는 상기 추출된 기지국 식별자를 상기 차단정책 데이터베이스에 저장되어 있는 차단 지역을 관할하는 기지국의 식별자와 비교하여 상기 미러링된 트래픽의 차단 여부를 판단하는 것을 특징으로 하는, 이동통신 단말기의 트래픽 차단 시스템.The method of claim 7, wherein
The traffic blocking unit determines whether to block the mirrored traffic by comparing the extracted base station identifier with an identifier of a base station that manages a blocking area stored in the blocking policy database. system.
KR1020110078677A 2011-08-08 2011-08-08 Method and system for blocking traffic of mobile terminal KR101116780B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020110078677A KR101116780B1 (en) 2011-08-08 2011-08-08 Method and system for blocking traffic of mobile terminal

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110078677A KR101116780B1 (en) 2011-08-08 2011-08-08 Method and system for blocking traffic of mobile terminal

Publications (1)

Publication Number Publication Date
KR101116780B1 true KR101116780B1 (en) 2012-02-28

Family

ID=45840515

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110078677A KR101116780B1 (en) 2011-08-08 2011-08-08 Method and system for blocking traffic of mobile terminal

Country Status (1)

Country Link
KR (1) KR101116780B1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20140052686A (en) * 2012-10-25 2014-05-07 에스케이텔레콤 주식회사 Confinement control method of using communication service, and apparatus and system supporting the same
KR101401168B1 (en) 2013-09-27 2014-05-29 플러스기술주식회사 Device and method for network security using ip address
KR101429111B1 (en) 2013-01-11 2014-08-13 주식회사 시큐아이 Security device blocking bypass link using anonymizer server and operating method thereof

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20080057161A (en) * 2006-12-19 2008-06-24 주식회사 케이티프리텔 Intrusion protection device and intrusion protection method for point-to-point tunneling protocol
KR20080113087A (en) * 2006-03-27 2008-12-26 텔레콤 이탈리아 소시에떼 퍼 아찌오니 System for enforcing security policies on mobile communications devices
KR20100061768A (en) * 2008-11-21 2010-06-09 주식회사 케이티 Method and system for providing services of blocking out harmful web-site in mobile communication system, packet-network gateway apparatus for use therein

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20080113087A (en) * 2006-03-27 2008-12-26 텔레콤 이탈리아 소시에떼 퍼 아찌오니 System for enforcing security policies on mobile communications devices
KR20080057161A (en) * 2006-12-19 2008-06-24 주식회사 케이티프리텔 Intrusion protection device and intrusion protection method for point-to-point tunneling protocol
KR20100061768A (en) * 2008-11-21 2010-06-09 주식회사 케이티 Method and system for providing services of blocking out harmful web-site in mobile communication system, packet-network gateway apparatus for use therein

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20140052686A (en) * 2012-10-25 2014-05-07 에스케이텔레콤 주식회사 Confinement control method of using communication service, and apparatus and system supporting the same
KR101942279B1 (en) * 2012-10-25 2019-04-11 에스케이텔레콤 주식회사 Confinement Control Method of Using communication Service, and Apparatus and System supporting the same
KR101429111B1 (en) 2013-01-11 2014-08-13 주식회사 시큐아이 Security device blocking bypass link using anonymizer server and operating method thereof
KR101401168B1 (en) 2013-09-27 2014-05-29 플러스기술주식회사 Device and method for network security using ip address
WO2015046951A1 (en) * 2013-09-27 2015-04-02 플러스기술주식회사 Network security method and device using ip address
US10250560B2 (en) 2013-09-27 2019-04-02 Soosan Int Co., Ltd. Network security method and device using IP address

Similar Documents

Publication Publication Date Title
JP6339713B2 (en) Method for activating user, method for authenticating user, method for controlling user traffic, method for controlling user connection of 3G traffic Wi-Fi network and 3G traffic routing system
US8184575B2 (en) Packet communication network and subscriber-associated-information delivery controller
CN113891430A (en) Communication method, device and system
US20180049069A1 (en) End-to-end quality of service control for a remote service gateway
WO2012126423A2 (en) Method and device for controlling service transmission
US20070223424A1 (en) System and method for restricting packet data services in a wireless communications network
US10470017B2 (en) Identity information processing method, database control system, and related device
KR101504173B1 (en) Charging Method and Apparatus of WiFi Roaming Based on AC-AP Association
EP1547352B1 (en) Mobile terminal identity protection through home location register modification
US20150023350A1 (en) Network connection via a proxy device using a generic access point name
KR101116780B1 (en) Method and system for blocking traffic of mobile terminal
US9402001B2 (en) Separate billing system for BYOD service and separate billing method for data service
US8990941B2 (en) Apparatus for detecting and controlling infected mobile terminal
CN107911813B (en) Transparent mode mobile user identity management method and system
KR101013274B1 (en) Method and system for intercepting unusual call in wireless data communication environment
CN102158866B (en) Authentication method and device applied to WLAN (Wireless Local Area Network)
WO2022249151A1 (en) Centralized afc system information function and procedures in 6 ghz afc controlled networks
KR101504895B1 (en) Separable charge system for byod service and separable charge method for data service
US9788299B2 (en) Base station paging based on traffic content type
KR102216546B1 (en) Method for providing private network service for each application and telecommunication network system, and method for transmitting traffic in terminal
JP6465411B2 (en) COMMUNICATION SYSTEM, SERVER, COMMUNICATION METHOD, AND PROGRAM
CN101547185A (en) Method and system for preventing mutual attack between mobile terminals in mobile network
JP4094485B2 (en) User terminal connection control method and connection control server
KR20130061994A (en) Apparatus and method for femtocell base station migration prevention
US8498626B1 (en) Service-based access for enterprise private network devices to service provider network services

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20141105

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20151125

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20170203

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20180208

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20190128

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20200129

Year of fee payment: 9